求，生成若干個隨機數(shù){rl，r2……rk}，k>=l，并將隨機數(shù){rl,r2……rk}更新到服務(wù)器的數(shù)據(jù)庫，然后將包含隨機數(shù){rl，r2……rk}的消息發(fā)送給終端；
(13)終端收到服務(wù)器發(fā)送的隨機數(shù)消息，獲取其中包含的隨機數(shù){rl，r2……rk}并保存到本地數(shù)據(jù)庫；
(14)結(jié)束。
[0028]優(yōu)選的，所述步驟(11)終端以時間周期T或由用戶觸發(fā)向服務(wù)器申請獲取隨機數(shù)。
[0029]較之現(xiàn)有的登錄WiFi熱點的技術(shù)方案，本發(fā)明具有以下獨特的優(yōu)點:
(I)終端和服務(wù)器雙方身份相互認(rèn)證只需往返通信一次，有效降低登錄熱點時認(rèn)證所需的通信量和時延，加速登錄熱點的過程。
[0030](2)通過在服務(wù)器和終端使用隨機數(shù)表來減少協(xié)議狀態(tài)，改善系統(tǒng)的擴展性和復(fù)雜度。
[0031](3) PMK在生成及使用時均無需在服務(wù)器和終端之間傳輸，第三方無法窺探PMK，
安全度高。
[0032](4)與廣泛使用的WiFi熱點登錄方案——PEAP+RADIUS認(rèn)證協(xié)議兼容，實施容易。
【附圖說明】
[0033]圖1為本發(fā)明的系統(tǒng)示意圖。
[0034]圖2為本發(fā)明具體實施案例提供的終端有網(wǎng)絡(luò)連接的時終端獲取隨機數(shù)的方法流程圖。
[0035]圖3為本發(fā)明具體實施案例提供的終端快速登錄WiFi熱點的方法流程圖。
[0036]圖4為本發(fā)明具體實施案例提供的終端快速登錄WiFi熱點的方法時序圖。
[0037]圖5為傳統(tǒng)的(IEEE 802.1li)企業(yè)模式登錄WiFi熱點方法時序圖。
【具體實施方式】
[0038]下面結(jié)合附圖對本發(fā)明做進(jìn)一步的描述，但本發(fā)明的實施方式并不限于此。
[0039]本發(fā)明的一種終端快速登錄WiFi熱點的系統(tǒng)。如圖1所示，該系統(tǒng)包括服務(wù)器、熱點、終端及其用戶，熱點和終端通過互聯(lián)網(wǎng)與服務(wù)器通信。
[0040]在所述實施方式中，用戶和終端滿足一一對應(yīng)關(guān)系，即:每個用戶只使用一個終端，每個終端只屬于一個用戶。
[0041]在所述實施方式中，用戶已在服務(wù)器注冊{用戶的賬號z，用戶的密碼p}，用戶的賬號Z全局唯一；用戶的密碼P只有用戶自己和服務(wù)器知曉；用戶在服務(wù)器和終端各有一個隨機數(shù)表，當(dāng)用戶注冊時服務(wù)器為其創(chuàng)建一個隨機數(shù)表，其中包含若干個新生成的隨機數(shù)，而用戶在終端的本地隨機數(shù)表初始化為空；服務(wù)器、熱點和終端的任意兩者之間通過建立保密安全信道來進(jìn)行信息交換。在服務(wù)器和熱點之間使用RADIUS協(xié)議通信；在熱點和終端之間使用802.1X協(xié)議通信；在服務(wù)器和終端之間使用PEAP協(xié)議通信，并使用MS-CHAP-V2協(xié)議相互認(rèn)證。終端有一個或多個網(wǎng)絡(luò)接口，比如一個3G移動網(wǎng)絡(luò)接口和一個WiFi無線網(wǎng)絡(luò)接口。
[0042]如圖2，當(dāng)終端有網(wǎng)絡(luò)連接時終端獲取隨機數(shù)的方法:
SlOl:用戶通過終端以{用戶的賬號，用戶的密碼}登錄服務(wù)器。
[0043]S102:用戶通過終端請求獲取隨機數(shù)。
[0044]S103:服務(wù)器收到終端的請求，生成3個隨機數(shù){rl，r2, r3}，并將生成的隨機數(shù){rl,r2,r3}更新到服務(wù)器的數(shù)據(jù)庫，然后將一個包含這些隨機數(shù){rl，r2，r3}記錄的消息發(fā)送給終端。
[0045]S104:終端收到服務(wù)器發(fā)送的消息，獲取其中包含的隨機數(shù){rl，r2，r3}記錄并保存到本地數(shù)據(jù)庫。
[0046]S105:結(jié)束。
[0047]如圖3，為終端登錄WiFi熱點的方法，把本發(fā)明的快速登錄方法嵌入到傳統(tǒng)的PEAP方法里，體現(xiàn)了本發(fā)明與已有協(xié)議的良好兼容性。
[0048]S201:熱點請求終端上報用戶的賬號z。
[0049]S202:終端經(jīng)熱點轉(zhuǎn)發(fā)向服務(wù)器發(fā)送認(rèn)證請求,包含{z, s，a, X=SHAl (p, a)}。
[0050]此步驟中，s是終端當(dāng)前新生成的一個隨機數(shù)；a是從終端的本地隨機數(shù)表中獲取的一個隨機數(shù)；如果本地隨機數(shù)表為空，則隨機數(shù)a=0。
[0051]S203:服務(wù)器收到認(rèn)證請求，判斷消息中是否包含隨機數(shù)s，如是則跳轉(zhuǎn)到步驟S204進(jìn)行快速登錄，否則跳轉(zhuǎn)到S209進(jìn)行傳統(tǒng)的PEAP登錄。
[0052]S204:服務(wù)器以a為關(guān)鍵字查詢用戶的賬號z的隨機數(shù)表，若無記錄則服務(wù)器往終端發(fā)送認(rèn)證失敗的消息，包含{y=SHAl (p, s,rl,r2,r3), rl, r2, r3}，然后跳轉(zhuǎn)到步驟S206。
[0053]此步驟中，{rl,r2,r3}是從用戶的賬號z的隨機數(shù)表按特定方式選取的3個隨機數(shù)。
[0054]S205:服務(wù)器以用戶的賬號z為關(guān)鍵字查詢用戶的密碼P，然后驗證收到的X與SHAl (p，a)是否相符。若相符，則服務(wù)器從隨機數(shù)表中刪除a，并生成一個新的隨機數(shù)r添加到隨機數(shù)表中；然后往熱點發(fā)送PMK=SHAl (p，S，a)，并往終端發(fā)送認(rèn)證成功的消息，包含Iy=SHAl (p，s，r)，r}。若不相符，則服務(wù)器往熱點發(fā)送認(rèn)證失敗消息，跳到步驟S210。
[0055]S206:終端驗證認(rèn)證結(jié)果(成功或者失敗)消息中的y與SHAl (p，s，r)或者SHAl (p，s，rl，r2，r3)是否相符。如否則跳到步驟S210。
[0056]S207:終端從認(rèn)證結(jié)果消息中提取所包含的隨機數(shù)r或者隨機數(shù){rl，r2, r3}并更新到本地隨機數(shù)表，然后從本地隨機數(shù)表刪除a。
[0057]S208:終端如果在步驟S206中收到的認(rèn)證結(jié)果是成功，則以PMK=SHAl (p，s，a)與熱點進(jìn)行WPA2四次握手來建立連接。跳轉(zhuǎn)到步驟S210。
[0058]S209:執(zhí)行傳統(tǒng)的 PEAP 登錄過程(IEEE 802.lli)。
[0059]S210:結(jié)束。
[0060]如圖4、5，較之傳統(tǒng)的(IEEE 802.lli)企業(yè)模式登錄WiFi熱點方法，本發(fā)明具有以下獨特的優(yōu)點:
(I)終端和服務(wù)器雙方身份相互認(rèn)證只需往返通信一次，有效降低登錄熱點時認(rèn)證所需的通信量和時延，加速登錄熱點的過程。
[0061](2)通過在服務(wù)器和終端使用隨機數(shù)表來減少協(xié)議狀態(tài)，改善系統(tǒng)的擴展性和復(fù)雜度。
[0062](3)允許用戶預(yù)先獲取隨機數(shù)，之后用其生成PMK并快速登錄WiFi熱點，這兩個過程相互獨立。PMK在生成及使用時均無需在服務(wù)器和終端之間傳輸，第三方無法窺探PMK，
安全度高。
[0063]上述具體實施方案及實例僅為本專利的優(yōu)選實施方案及實例，不能理解為對本專利的實施方式的限定。對于所屬領(lǐng)域的普通技術(shù)人員來說，在上述說明的基礎(chǔ)上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實施方式予以窮舉。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明權(quán)利要求的保護范圍之內(nèi)。
【主權(quán)項】
1.一種終端快速登錄WiFi熱點的方法，終端和服務(wù)器之間的通信經(jīng)熱點轉(zhuǎn)發(fā)；其特征在于， (1)熱點請求終端上報用戶賬號Z； (2)終端經(jīng)熱點轉(zhuǎn)發(fā)向服務(wù)器發(fā)送認(rèn)證請求,包含{z,s，a, x=hash(p, a)}； 其中s是終端當(dāng)前新生成的一個隨機數(shù)，a是從終端的本地隨機數(shù)表中獲取的一個隨機數(shù)；如果本地隨機數(shù)表為空，則隨機數(shù)a=0，hash為任意哈希函數(shù)； (3)服務(wù)器收到認(rèn)證請求，并以a為關(guān)鍵字查詢用戶賬號z的隨機數(shù)表，若無記錄則服務(wù)器往終端發(fā)送認(rèn)證失敗的消息，包含{y=hash(p, s, rl, r2......rk), rl, r2......rk},然后跳轉(zhuǎn)到步驟(5)； {rl, r2......rk}是從用戶賬號z的隨機數(shù)表選取的k>=l個隨機數(shù)； (4)服務(wù)器以用戶賬號z為關(guān)鍵字查詢用戶密碼P，然后驗證收到的X與hash(p，a)是否相符，相符則服務(wù)器從隨機數(shù)表中刪除a，并生成一個新的隨機數(shù)r添加到隨機數(shù)表中，然后往熱點發(fā)送PMK=hash (p, s, a),并往終端發(fā)送認(rèn)證成功的消息,包含{y=hash (p, s, r),r};否則服務(wù)器往熱點發(fā)送認(rèn)證失敗消息，然后跳到步驟(8)； (5)終端驗證認(rèn)證結(jié)果消息中的y與hash(p,s, r)或者h(yuǎn)ash(p, s, rl, r2......rk)是否相符，相符則跳到步驟(6)，否則跳到步驟(8)； (6)終端從認(rèn)證結(jié)果消息中提取所包含的隨機數(shù)r或者隨機數(shù){rl，r2……rk}并更新到本地隨機數(shù)表，然后從本地隨機數(shù)表刪除隨機數(shù)a ； (7)終端如果在步驟(5)中收到成功的認(rèn)證結(jié)果,則以PMK=hash(p,s, a)與熱點進(jìn)行WPA2四次握手來建立連接； (8)結(jié)束。
2.根據(jù)權(quán)利要求1所述的終端快速登錄WiFi熱點的方法，其特征在于，用戶在服務(wù)器上注冊{用戶的賬號z，用戶的密碼p}，用戶的賬號z全局唯一；用戶的密碼P只有用戶自己和服務(wù)器知曉；用戶在服務(wù)器和終端各有一個隨機數(shù)表，當(dāng)用戶注冊時服務(wù)器為其創(chuàng)建一個隨機數(shù)表，其中包含若干個新生成的隨機數(shù)，用戶在終端的本地隨機數(shù)表初始化為空；服務(wù)器、熱點和終端的任意兩者之間通過建立保密安全信道來進(jìn)行信息交換。
3.根據(jù)權(quán)利要求2所述的終端快速登錄WiFi熱點的方法，其特征在于，在服務(wù)器和熱點之間使用RADIUS協(xié)議通信；在熱點和終端之間使用802.1X協(xié)議通信；在服務(wù)器和終端之間使用PEAP協(xié)議通信，并使用MS-CHAP-V2協(xié)議相互認(rèn)證。
4.根據(jù)權(quán)利要求3所述的終端快速登錄WiFi熱點的方法，其特征在于，終端從服務(wù)器獲取隨機數(shù)有兩種方法，在終端有網(wǎng)絡(luò)連接的時候從服務(wù)器拉取或在終端登錄WiFi熱點的時候從服務(wù)器返回的消息中攜帶； 其中當(dāng)終端有網(wǎng)絡(luò)連接時終端獲取隨機數(shù)的方法: (11)終端向服務(wù)器申請獲取隨機數(shù)； (12)服務(wù)器收到終端的請求，生成若干個隨機數(shù){rl，r2……rk}，k>=l，并將隨機數(shù){rl,r2……rk}更新到服務(wù)器的數(shù)據(jù)庫，然后將包含隨機數(shù){rl，r2……rk}的消息發(fā)送給終端； (13)終端收到服務(wù)器發(fā)送的隨機數(shù)消息，獲取其中包含的隨機數(shù){rl，r2……rk}并保存到本地數(shù)據(jù)庫； (14)結(jié)束。
5.根據(jù)權(quán)利要求4所述的終端快速登錄WiFi熱點的方法，其特征在于，所述步驟(11)終端以時間周期T或由用戶觸發(fā)向服務(wù)器申請獲取隨機數(shù)。
【專利摘要】本發(fā)明提出一種終端快速登錄WiFi熱點的方法，該方法在登錄過程中終端和服務(wù)器雙方身份相互認(rèn)證只需往返通信一次，有效降低登錄熱點時認(rèn)證所需的通信量和時延，加速登錄熱點的過程。其次通過在服務(wù)器和終端使用隨機數(shù)表來減少協(xié)議狀態(tài)，改善系統(tǒng)的擴展性和復(fù)雜度。PMK在生成及使用時均無需在服務(wù)器和終端之間傳輸，第三方無法窺探PMK，安全度高。與廣泛使用的WiFi熱點登錄方案——PEAP+RADIUS認(rèn)證協(xié)議兼容，實施容易。
【IPC分類】H04L29-06
【公開號】CN104683343
【申請?zhí)枴緾N201510094715
【發(fā)明人】何自強, 陳楠, 勞斌, 農(nóng)革
【申請人】中山大學(xué)
【公開日】2015年6月3日
【申請日】2015年3月3日