技術領域

本發明屬于無線安全領域，把一次性密碼技術應用到無線局域網登錄上。

背景技術

作為一種公共移動數據接入方式，PWLAN(公共無線局域網)的安全問題成為商業用戶最關心的問題，包括合法用戶身份信息(假冒)的安全，敏感商業信息的安全，防止黑客的攻擊等等，成為影響人們使用PWLAN業務信心的關鍵問題。

目前無線局域網在全球快速發展，網絡建設所采用的方法也都不盡相同，在某種程度上可以說是混亂的，在公共區域中尤為如此。根據Wi-Fi聯盟的資料顯示，目前最普遍接入方式是基于瀏覽器認證，亦稱作通用接入方法(UAM)。通過瀏覽器認證，接入控制器將用戶的瀏覽器重定位到一個本地Web服務器，其過程受TLS保護。用戶到UAM登陸頁面進行身份認證，在發送到Web服務器的表格中輸入用戶名和密碼。這種方法的顯著優點是配置簡單，并且事實上移動用戶只需支持Web瀏覽就可以訪問接入系統。

雖然UAM簡單并且易于采用，它有一些嚴重的缺陷。1)用戶的經驗。若用戶的目的是使用諸如e-mail客戶端的其它一些應用程序，進行網絡訪問的第一步，也就是打開瀏覽器，就并不習慣。2)企業用戶經常需要進行VPN的配置，這與訪問一個本地的Web服務器是相沖突的。3)典型的，UAM把用戶的認證信息暴露給所訪問網絡的Web服務器。這一特征對于不愿暴露用戶數據庫的運營商而言是無法接受的，即使是暴露給合法的漫游伙伴。4)除非用戶手工檢查服務器使用的證書以保護頁面(用戶極少這樣做)，用戶的認證信息可能在不經意間透露給一個運行惡意無線接入點(AP)的攻擊者。

有線局域網通過固定線路連接組建，計算機終端通過網絡接入固定位置物理端口，實現局域網接入，這里沒有直接控制到端口的方法，也不需要控制到端口，這些固定位置的物理端口構成有線局域網的封閉物理空間。但是，由于無線局域網的網絡空間具有開放性和終端可移動性，因此很難通過網絡物理空間來界定終端是否屬于該網絡。隨著無線局域網的廣泛應用，如何通過端口認證來實現用戶級的接入控制就成為一項非?，F實的問題。802.1X正是基于這一需求而出現的一種認證技術，也就是說，對于有線局域網，該項認證沒有存在的意義。

IEEE 802.1X協議，稱為基于端口的訪問控制協議(Port Based Network Access Control Protocol)是由IEEE于2001年6月提出的，符合IEEE 802協議集的局域網接入控制協議，主要目的是為了解決無線局域網用戶的接入認證問題，能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網用戶的認證和授權手段，達到接受合法用戶接入，保護網絡安全的目的。

目前，IEEE 802.1X認證協議作為業界最新的標準認證協議已經得到了很多網絡設備制造商的重視，Cisco、3Com、Avaya、D-Link等紛紛組織研發力量進行基于802.1X協議相關產品的開發。作為軟件廠商，微軟在Windows XP中已經整合了IEEE 802.1X客戶端軟件，無需要另外安裝客戶端軟件。

發明內容

本發明技術解決問題：克服現有技術的不足，提供一種一次性密碼登錄無線局域網的方法，進行路由器登錄認證，實施過程相對簡單，密碼時效短，安全性較高，適用于支持802.1x的路由器。

本發明采用的技術方案為：一種一次性密碼登錄無線局域網的方法，客戶端根據共享密鑰、路由器SSID和客戶端的UNIX時間戳，使用一次性密碼生成算法生成一個一次性密碼，然后在登錄路由器時輸入用戶名及該一次性密碼，路由器把用戶名傳給認證服務器，認證服務器根據用戶名在數據庫中取到共享密鑰，然后再根據路由器SSID及認證服務器的UNIX時間戳也生成一個密碼，比較客戶端發送的密碼與認證服務器生成的密碼是否一致，一致則認證成功。

如圖1所示，所述一次性密碼生成算法如下：

第一步，客戶端和認證服務器由無線局域網系統的密鑰管理中心頒布一個共享密鑰K，客戶端和認證服務器Radius分別保存；

第二步，計算時間參數T，T＝(CurrentUnixTime-T0)/X，CurrentUnixTime為當前系統的UNIX時間戳，即從1970年1月1日到當前時間的秒數，T0為起始時間，可設為0，X為步長，即一次性密碼有效時間，T的長度為8字節；