一种基于WAPI协议的接入认证系统

技术领域

本发明属于接入认证技术领域，具体是一种基于WAPI协议的接入认证系统。

背景技术

公开号为CN102487506A的专利公开了一种基于WAPI协议的接入认证方法、系统和RADIUS服务器。该方法包括无线接入设备将证书鉴别请求分组封装在RADIUS请求报文中发送给RADIUS服务器；RADIUS服务器接收并解析包含证书鉴别请求分组的RADIUS请求报文，进行证书验证，根据验证结果构造鉴别响应分组，将鉴别响应分组封装在RADIUS挑战报文中发送给无线接入设备。通过本发明的WAPI的接入认证方法和系统，只需要部署一个RADIUS服务器，既可以进行证书认证又可以对用户授权、计费，用户部署简单，实现了WAPI认证与RADIUS认证的较好结合。

该专利在基于证书验证的方式给出了一种接入认证系统，这点呢，从硬件本身层面给出了一种合理的验证方式；但是针对于设备丢失或者其他被盗用的情况，如何对用户这个人进行验证，这缺乏一种合理方案；基于此，提供一种解决方案。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一；

为此，本发明提出了一种基于WAPI协议的接入认证系统，包括：

接入发起单元，用于发起向目标接收端的接入请求，接入发起单元在发起接入请求时，需要进行身份验证，通过用户录入账户和账户密钥的时间，确定该对账户密钥进行删减的方式后，得到最终处理后的核定账户密钥；

在得到核定账户秘钥后，接入发起单元会将带有录入账户秘钥时间的账户和核定账户秘钥，传输到认证单元；

认证单元在接收到接入发起单元传输的账户、核定账户秘钥和录入账户秘钥的时间，会首先从数据库内调取出对应账户设置的标准账户秘钥，并依据录入账户秘钥的时间采用身份验证相同方式对标准账户秘钥进行处理，将处理后得到的与传输的核定账户秘钥进行比较，一致时产生初通信号；

认证单元在产生初通信号后会借助核访单元与目标接收端连通，接入目标接收端，目标接收端即为对应需要接入的设备端。

进一步地，进行身份验证的具体方式为：

在发起接入请求后，需要用户录入账户及其对应的账户秘钥；

在用户录入账户秘钥之后，会自动对账户秘钥进行处理，首先获取到账户秘钥，之后会自动获取到用户录入账户秘钥的时间；

根据时间获取到时间代表值，根据月日时分的方式获取得到时间，之后获取到每一个时间上表示的数字，依次将第一个数字到最后一个数字，得到时间代表值Ti，i＝1、...、8；T1到T8表示为对应时间的各个数字；

之后获取到时间代表值Ti，对其进行求和之后，将和值标记为时和值；

当时和值为奇数时，会自动将账户秘钥的顺序值为奇数数值的字符删除，将剩余的标记为核定账户秘钥，顺序值也就是只将账户秘钥按照顺序排列后的顺序数值；当和值不为奇数的话，则将另外的字符删除，得到核定账户秘钥。

进一步地，身份验证的具体方式仅存在管理员指定的接入发起单元上，非法设备不存在该身份验证方式。

进一步地，核访单元在连通目标接收端时，仅接入虚拟的目标接收端，该目标接收端为管理员伪造的虚拟端口。

进一步地，还包括接入单元，接入单元用于连通认证单元和目标接收端。

进一步地，核访单元在与接入虚拟的目标接收端后，会向认证单元返回二次验证信号，此时认证单元和核访单元会进行联合验证，联合验证具体方式为：

S1：首先获取到时和值，将其个位数上的数值标记为间隔标向值，将十位数上的数值标记为重复向值；

S2：获取到重复向值，当其小于等于X1时，均将其标记为X1，否则不做处理；

S3：得到新的间隔标向值和重复向值，将二者按照重复向值在前，间隔标向值在后的顺序组合后显示给接入发起单元的使用用户观察；

S4：并将重复向值和间隔标向值的组合返回到认证单元；

S5：用户在观察到重复向值和间隔标向值的组合时，需要在接入后发起第一条请求信息后将其标记为首发信息，首发信息即为对应用户借助接入发起单元访问目标接收端时录入的内容信息；

S6：在发送首发信息后需要用户借助接入发起单元，每经过对应间隔标向值的时间后，重新将首发信息传输到认证单元，直到除去第一次发送的首发信息后，剩余发送首发信息的次数与重复向值保持一致，此处时间以秒为单位；

S7：当认证单元检测到步骤S6的过程，且满足重复向值和间隔标向值时，产生允许信号；

产生允许信号后认证单元会通过接入单元与目标接收端进行连通，进行真实访问；在没有产生允许信号前，均只能通过核访单元接入虚拟的目标接收端，无法获取到真实信息和进行数据交换过程。

进一步地，步骤S2中的X1为预设数值。

进一步地，还包括管理单元，管理单元与核访单元连通，用于录入所有的预设数值。

与现有技术相比，本发明的有益效果是：

本发明通过接入发起单元在发起接入请求时，进行身份验证，通过用户录入账户和账户密钥的时间，确定该对账户密钥进行删减的方式后，得到最终处理后的核定账户密钥；根据指定设备设置该类验证方式，确定用户使用的设备为合法设备；

之后又通过二次验证的方式，给予了解的用户发出两个数字构成的命令，需要用户按照命令执行操作，确认用户的本人身份，避免了密钥被人盗用的情况下，与目标接收端进行数据交互，同时也能避免其余用户在以一些不合理的形式获取到合法设备后，进行的假冒身份进行数据交互的事情出现，本发明简单有效，且易于实用。

附图说明

图1为本发明的系统框图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本申请提供了一种基于WAPI协议的接入认证系统；

作为本发明的实施例一，具体包括接入发起单元、认证单元、核访单元、目标接收端；

其中，所述接入发起单元，用于发起向目标接收端的接入请求，二者基于WAPI协议连通，位于同一个无线局域网内，接入发起单元在发起接入请求时，需要进行身份验证，身份验证具体方式为：

在发起接入请求后，需要用户录入账户及其对应的账户秘钥；

在用户录入账户秘钥之后，会自动对账户秘钥进行处理，首先获取到账户秘钥，之后会自动获取到用户录入账户秘钥的时间；

根据时间获取到时间代表值，根据月日时分的方式获取得到时间，之后获取到每一个时间上表示的数字，依次将第一个数字到最后一个数字，得到时间代表值Ti，i＝1、...、8；T1到T8表示为对应时间的各个数字，具体举例为若时间为12月28日15时36分，则T1到T8依次表示为1、2、2、8、1、5、3、6这些数字；

之后获取到时间代表值Ti，对其进行求和之后，将和值标记为时和值；

当时和值为奇数时，会自动将账户秘钥的顺序值为奇数数值的字符删除，将剩余的标记为核定账户秘钥，顺序值也就是只将账户秘钥按照顺序排列后的顺序数值；当和值不为奇数的话，则将另外的字符删除，得到核定账户秘钥；

在得到核定账户秘钥后，接入发起单元会将带有录入账户秘钥时间的账户和核定账户秘钥，传输到认证单元；

身份验证的具体方式仅存在管理员指定的接入发起单元上，其余设备不存在该类身份验证方式；

认证单元在接收到接入发起单元传输的账户、核定账户秘钥和录入账户秘钥的时间，会首先从数据库内调取出对应账户设置的标准账户秘钥，并依据录入账户秘钥的时间采用身份验证相同方式对标准账户秘钥进行处理，将处理后得到的与传输的核定账户秘钥进行比较，一致时产生初通信号；

认证单元在产生初通信号后会借助核访单元与目标接收端连通，接入目标接收端，目标接收端即为对应需要接入的设备端；

当然作为本发明的实施例二，在实施例一的基础上，本申请还包括接入单元，接入单元用于连通认证单元和目标接收端，在存在接入单元的情况下，核访单元在连通目标接收端时，仅接入虚拟的目标接收端，该目标接收端为管理员伪造的虚拟端口；

此时核访单元会向认证单元返回二次验证信号，此时认证单元和核访单元会进行联合验证，联合验证具体方式为：

S1：首先获取到时和值，将其个位数上的数值标记为间隔标向值，将十位数上的数值标记为重复向值；

S2：获取到重复向值，当其小于等于X1时，均将其标记为X1，此处X1为预设数值，一般为2，否则不做处理；

S3：得到新的间隔标向值和重复向值，将二者按照重复向值在前，间隔标向值在后的顺序组合后显示给接入发起单元的使用用户观察；

S4：并将重复向值和间隔标向值的组合返回到认证单元；

S5：用户在观察到重复向值和间隔标向值的组合时，需要在接入后发起第一条请求信息后将其标记为首发信息，首发信息即为对应用户借助接入发起单元访问目标接收端时录入的内容信息；

S6：在发送首发信息后需要用户借助接入发起单元，每经过对应间隔标向值的时间后，重新将首发信息传输到认证单元，直到除去第一次发送的首发信息后，剩余发送首发信息的次数与重复向值保持一致，此处时间以秒为单位；

S7：当认证单元检测到步骤S6的过程，且满足重复向值和间隔标向值时，产生允许信号；

产生允许信号后认证单元会通过接入单元与目标接收端进行连通，进行真实访问；在没有产生允许信号前，均只能通过核访单元接入虚拟的目标接收端，无法获取到真实的信息，和进行数据交换过程；

当然需要说明的是，实施例二是在实施例一的基础上实现。

还包括管理单元，管理单元与核访单元连通，用于录入所有的预设数值。

上述公式中的部分数据均是去除量纲取其数值计算，公式是由采集的大量数据经过软件模拟得到最接近真实情况的一个公式；公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者通过大量数据模拟获得。

以上实施例仅用以说明本发明的技术方法而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方法进行修改或等同替换，而不脱离本发明技术方法的精神和范围。