[发明专利]一种接入认证系统、方法、装置、计算机设备和存储介质

权利要求书

1.一种接入认证系统，其特征在于，所述接入认证系统包括：认证网络管理端以及与至少一个接入认证客户端进行通讯的3A认证服务端，所述3A认证服务端与所述认证网络管理端进行通讯；

所述3A认证服务端，用于获取所述接入认证客户端发送的接入认证请求，所述接入认证请求至少包含所述接入认证客户端的第一身份标识信息以及第一分组密码，所述第一分组密码用于至少一个接入认证客户端接入网络并与所述3A认证服务端进行通讯；判断所述接入认证请求是否与所述认证网络管理端中预先储存的验证信息匹配；当判断所述接入认证请求与所述认证网络管理端中预先储存的验证信息匹配时，与所述接入认证客户端建立连接，并向所述接入认证客户端返回匹配成功信息；

所述认证网络管理端，用于获取已接入所述网络的所述接入认证客户端的第二身份标识信息；根据所述第二身份标识信息和预先生成的第二分组密码生成所述预先储存的验证信息，所述第二分组密码用于至少一个所述接入认证客户端接入网络并与所述3A认证服务端进行通讯；所述第二分组密码共有多个；

其中，所述预先储存的验证信息至少包含所述已接入所述网络的所述接入认证客户端的第二身份标识信息以及所有的所述预先生成的第二分组密码；所述判断所述接入认证请求是否与所述认证网络管理端中预先储存的验证信息匹配的步骤，具体包括：判断所述接入认证请求携带的所述接入认证客户端的第一身份标识信息是否与所述已接入所述网络的所述接入认证客户端的第二身份标识信息匹配；当所述接入认证请求携带的所述接入认证客户端的第一身份标识信息与所述已接入所述网络的所述接入认证客户端的第二身份标识信息匹配时，与所述接入认证客户端建立连接，并向所述接入认证客户端返回匹配成功信息；所述判断所述接入认证请求是否与所述认证网络管理端中预先储存的验证信息匹配的步骤，还包括：判断所述接入认证请求携带的所述第一分组密码是否与所有的所述预先生成的第二分组密码中的任意一个所述第二分组密码匹配；当所述接入认证请求携带的所述第一分组密码与所有的所述预先生成的第二分组密码中的任意一个所述第二分组密码匹配时，与所述接入认证客户端建立连接，并向所述接入认证客户端返回匹配成功信息；

所述3A认证服务端还用于记录所述接入认证客户端发送的所述接入认证请求与所述认证网络管理端中预先储存的验证信息不匹配的次数，以追踪异常的接入认证请求；所述预先生成的第二分组密码是将所述网络的服务集标识信息基于PBKDF2算法计算所述网络的预共享密钥确定的；

所述认证网络管理端获取已接入所述网络的所述接入认证客户端的第二身份标识信息具体是所述认证网络管理端管理各不同的公司/部门的Wi-Fi网络第一分组密码设置，公司/部门管理员可以操作认证网络管理端来添加、禁用、删除当前公司/部门对应网络的第一分组密码，所述当前公司/部门对应网络的第一分组密码是分组Wi-Fi密码，公司管理员在进入平台操作之前需要先完成管理员身份认证，且只能管理自己管辖的公司/部门的网络对应的分组Wi-Fi密码；每个分组Wi-Fi密码的使用方是使用该网络的一个公司，或者一个部门，或者一个员工，或者一个Wi-Fi终端设备；管理员根据需求控制每个分组Wi-Fi密码使用的范围；

每个公司/部门的每个网络有其对应的独立的已绑定终端数据库，通过所述认证网络管理端，管理员可查看位于已绑定终端数据库中包含的已接入所述网络的所述接入认证客户端的第二身份标识信息，该已绑定终端数据库包含已经绑定的Wi-Fi终端设备地址和对应的分组Wi-Fi密码，分组Wi-Fi密码对应的WPA PSK与绑定时间，对应的Wi-Fi网络的SSID以及对应的容许连接Wi-Fi网络的时间、时长、带宽；管理员可选择是否移除任意终端设备的绑定记录，以及是否回收对应的分组Wi-Fi密码绑定次数；

每个公司/部门的每个网络有其对应的独立的分组Wi-Fi密码数据库，分组Wi-Fi密码数据库包含预先生成的第二分组密码，预先生成的第二分组密码包含绑定次数使用完的分组Wi-Fi密码，以及有可剩余的可绑定次数的分组Wi-Fi密码；对于有可绑定此次数的分组Wi-Fi密码，其将被加入到可匹配分组Wi-Fi密码列表中，可匹配分组Wi-Fi密码列表中元素按照每个分组Wi-Fi密码剩余的绑定次数安装降序排列；

其中，接入认证客户端首先关联到Wi-Fi网络提供设备，Wi-Fi网络提供设备发送接入点随机值ANonce到接入认证客户端，接入认证客户端根据输入的密码和Wi-Fi网络的SSID信息计算PSK，使用PSK作为认证所需要的PMK，接入认证客户端生成终端随机值SNonce，然后根据Wi-Fi网络提供设备广播的Wi-Fi认证算法配置来计算PTK，并使用PTK来计算要发送的数据帧的消息完整性校验码MIC，然后发送包含有SNonce和MIC的数据帧到Wi-Fi网络提供设备；当Wi-Fi网络提供设备接收到该数据帧时，Wi-Fi网络提供设备检查该接入认证客户端的地址是否在认证缓存区存在，如果存在则使用缓存中认证数据计算是否符合，如果不符合，且3A认证服务端状态健康，删除缓存中该接入认证客户端的认证数据，继续从3A认证服务端发起认证，如果认证成功，3A认证服务端返回匹配成功信息，匹配成功信息内包含PMK、网络访问策略、认证缓存策略；Wi-Fi网络提供设备根据缓存策略缓存该接入认证客户端的认证信息以便进行候选的验证；如果本地认证缓存没有包含该接入认证客户端的认证信息，则直接提交到3A认证服务端进行候选流程；

根据所述接入认证请求中包含所述接入认证客户端的第一身份标识信息以及第一分组密码，来匹配到对应的公司/部门以及具体Wi-Fi网络，3A认证服务端选择对应的已绑定终端数据库和分组Wi-Fi密码数据库来进行匹配所述接入认证请求；如果3A认证服务端检查所述接入认证客户端地址在黑名单，则返回失败并终止后续流程，如果不在，3A认证服务端在对应的已绑定终端数据库查找该接入认证客户端对应的绑定信息来验证所述第一身份标识信息，如果已绑定终端数据库内存在该接入认证客户端对应的绑定信息，则使用该接入认证客户端对应的绑定信息中的PSK和Wi-Fi网络提供设备发送的认证算法来计算出PTK，然后计算认证请求帧的MIC，如果匹配MIC，则认证通过，返回包含PMK的成功结果并终止流程，如果匹配失败，则对Wi-Fi终端设定的单位时间失败次数加一，如果超过了容许的单位时间内失败次数，那么接入认证客户端地址进入黑名单，并返回失败，终止后续流程。