WLAN用户认证方法、认证服务器及用户设备

技术领域

本发明涉及无线通信技术，尤其涉及一种无线局域网（Wireless Local  Area Networks，简称WLAN）用户认证方法、认证服务器及用户设备（User  Equipment，简称UE）。

背景技术

WLAN系统一般由终端浏览器、门户服务器、宽带接入服务器（Broadband  Remote Access Server，简称BRAS）、本地认证授权计费服务器 （Authentication，Authorization，Accounting Server，简称AAA服务器）、 全国漫游中心、归属地AAA服务器组成，负责实现用户的接入、认证、计 费全过程。

现有WLAN采用校验“账号”与“密码”匹配的方式进行用户认证。其中， 密码由系统随机生成，一般为字母数字混合字符序列，且密码限定位长。具 体地，由AAA服务器生成并保存用户账号和密码，并进行用户认证、授权、 计费等操作。并且，本地的AAA服务器还与BRAS交互，识别并转发异地 用户的认证请求、计费请求与响应。AAA服务器在执行认证授权功能时，主 要包括解析账号、判别漫游、判别账号密码相符、账号状态有效、账号唯一 性、预付费以及个性化绑定校验等过程。

现有的WLAN用户认证方法，依赖于宽带接入账号和密码进行验证，由 于宽带接入账号和密码难以抵御字典或穷举方式的攻击，因此，现有的 WLAN用户认证方法缺乏防抵御手段，安全性差。

发明内容

本发明的第一个方面是提供一种无线局域网WLAN用户认证方法，用以 解决现有技术中WLAN系统采用校验“账号”与“密码”匹配的方式进行用户认 证，以及账号、密码易受字典或穷举方式的攻击，安全性差的缺陷，实现WLAN 系统的安全认证，提高抵御攻击的能力。

本发明的另一个方面是提供一种认证服务器，用以解决现有技术中 WLAN系统认证安全性差的缺陷，实现WLAN系统的安全认证，使得WLAN 的用户认证防抵御手段强，安全性高。

本发明的又一个方面是提供一种用户设备，用以解决现有技术中WLAN 系统认证安全性差的缺陷，增强WLAN的用户认证防抵御手段，提高用户接 入WLAN网络的安全性。

本发明的第一个方面是提供一种无线局域网WLAN用户认证方法，包 括：认证服务器获取用户设备UE（User Equipment，简称UE）发起的认证请 求报文，所述认证请求报文中包括所述UE根据所述认证服务器签发的数字 证书生成的账号数据信息；

所述认证服务器解析所述账号数据信息，当所述账号数据信息有效时， 为所述UE返回认证成功报文。

如上所述的方法，其中，所述认证服务器获取UE发起的认证请求报文 之前，还包括：

所述认证服务器获取所述UE发起的数字证书请求报文，所述数字证书 请求报文中包括数字证书请求信息；

所述认证服务器根据所述数字证书请求信息，生成所述数字证书并返回 给所述UE，以使所述UE根据所述数字证书生成账号数据信息。

如上所述的方法，其中，所述账号数据信息包括：用户标识、域名、随 机数、算法标识、认证信息和数字签名；

如上所述的方法，其中，所述认证服务器解析所述账号数据信息之后， 包括：所述认证服务器判断所述算法标识是否有效，如果是，所述认证服务 器判断所述随机数是否有效，如果是，所述认证服务器判断所述数字签名是 否有效，如果是，执行为所述UE返回认证成功报文的步骤；如果所述认证 服务器判断所述算法标识无效或所述随机数无效或所述数字签名无效，所述 认证服务器为所述UE返回认证失败报文。

本发明的另一个方面是提供一种无线局域网WLAN用户认证方法，包 括：

用户设备UE向认证服务器发起认证请求报文，所述认证请求报文中包 括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息，以使 所述认证服务器解析所述账号数据信息；

所述UE接收所述认证服务器在所述账号数据信息有效时返回的认证成 功报文。

如上所述的方法，其中，所述UE向认证服务器发起认证请求报文之前， 还包括：

所述UE向所述认证服务器发起数字证书请求报文，所述数字证书请求 报文中包括数字证书请求信息，以使所述认证服务器根据所述数字证书请求 信息生成所述数字证书；

所述UE接收所述认证服务器返回的数字证书；

所述UE根据所述数字证书生成账号数据信息。

如上所述的方法，其中，

所述数字证书包括：用户标识、域名和认证信息；

所述UE根据所述数字证书生成账号数据信息包括：所述UE获取所述认 证服务器生成的随机数；所述UE对所述随机数、摘要与加密操作对应的算 法标识和所述数字证书中的所述用户标识、域名及认证信息进行摘要与加密 操作，获得数字签名；所述UE组合所述用户标识、域名、随机数、算法标 识、认证信息和数字签名，生成账号数据信息。

如上所述的方法，其中，

所述账号数据信息包括：账号数据项和密码数据项，所述账号数据项包 括：所述用户标识和所述域名，所述密码数据项包括：所述摘要与加密操作 对应的算法标识、所述随机数、所述认证信息和所述数字签名；

或者，所述账号数据信息包括：账号数据项和密码数据项，所述账号数 据项包括：所述数字签名的第一分拆项、所述用户标识和所述域名，所述密 码数据项包括：所述摘要与加密操作对应的算法标识、所述随机数、所述认 证信息和所述数字签名的第二分拆项。

本发明的又一个方面是提供一种认证服务器，包括：

接收单元，用于获取用户设备UE发起的认证请求报文，所述认证请求 报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信 息；

认证单元，用于解析所述账号数据信息，当所述账号数据信息有效时， 为所述UE返回认证成功报文。

如上所述的认证服务器，其中，还包括：数字证书单元；

所述接收单元还用于获取所述UE发起的数字证书请求报文，所述数字 证书请求报文中包括数字证书请求信息；

所述数字证书单元用于根据所述数字证书请求信息，生成所述数字证书 并返回给所述UE，以使所述UE根据所述数字证书生成账号数据信息。

如上所述的认证服务器，其中，

所述账号数据信息包括：用户标识、域名、随机数、算法标识、认证信 息和数字签名；

所述认证单元具体用于判断所述算法标识是否有效，如果是，判断所述 随机数是否有效，如果是，判断所述数字签名是否有效，如果是，执行为所 述UE返回认证成功报文的步骤；如果所述认证单元判断所述算法标识无效 或所述随机数无效或所述数字签名无效，为所述UE返回认证失败报文。

本发明的再一个方面是提供一种用户设备UE，包括：

请求单元，用于向认证服务器发起认证请求报文，所述认证请求报文中 包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息，以 使所述认证服务器解析所述账号数据信息；

接收单元，用于接收所述认证服务器在所述账号数据信息有效时返回的 认证成功报文。

如上所述的UE，其中，所述请求单元还用于向所述认证服务器发起数字 证书请求报文，所述数字证书请求报文中包括数字证书请求信息，以使所述 认证服务器根据所述数字证书请求信息生成所述数字证书；

所述接收单元还用于接收所述认证服务器返回的数字证书；

所述UE还包括：

账号数据单元，用于根据所述数字证书生成账号数据信息。

如上所述的UE，其中，

所述数字证书包括：用户标识、域名和认证信息；

所述账号数据单元具体用于：

获取所述认证服务器生成的随机数，对所述随机数、摘要与加密操作对 应的算法标识和所述数字证书中的所述用户标识、域名及认证信息进行摘要 与加密操作，获得数字签名，组合所述用户标识、域名、随机数、算法标识、 认证信息和数字签名，生成账号数据信息。

如上所述的用户设备UE，其中，

所述账号数据信息包括：账号数据项和密码数据项，所述账号数据项包 括：所述用户标识和所述域名，所述密码数据项包括：所述摘要与加密操作 对应的算法标识、所述随机数、所述认证信息和所述数字签名；

或者，所述账号数据信息包括：账号数据项和密码数据项，所述账号数 据项包括：所述数字签名的第一分拆项、所述用户标识和所述域名，所述密 码数据项包括：所述摘要与加密操作对应的算法标识、所述随机数、所述认 证信息和所述数字签名的第二分拆项。

由上述发明内容可见，在本发明中，通过验证UE根据认证服务器签发 的数字证书生成的账号数据信息来进行WLAN用户认证，无需用户每次输入 账号与密码，即可实现快速认证，避免了采用字典或穷举方式破解账号密码， 增强了抵御攻击的能力，提高了WLAN用户认证的安全性。

附图说明

图1为本发明实施例一的WLAN用户认证方法的流程图；

图2为本发明实施例二的WLAN用户认证方法的流程图；

图3为本发明实施例三的WLAN用户认证方法的流程图；

图4a为本发明实施例三的一种密码数据项的结构示意图；

图4b为图4a所示的密码数据项对应的账号数据项的结构示意图；

图5a为本发明实施例三的另一种密码数据项的结构示意图；

图5b为图5a所示的密码数据项对应的账号数据项的结构示意图；

图6为本发明实施例四的认证服务器的结构示意图；

图7为本发明实施例五的用户设备的结构示意图；

图8为本发明实施例六的WLAN系统的结构示意图。

具体实施方式

图1为本发明实施例一的WLAN用户认证方法的流程图。该方法的执行 主体为认证服务器。如图1所示，本实施例的方法包括：

步骤101：认证服务器获取用户设备（User Equipment，简称UE）发起 的认证请求报文。

在本步骤中，具体的，认证服务器获取UE发起的认证请求报文，其中， 该认证请求报文中包括UE根据认证服务器签发的数字证书生成的账号数据 信息。具体地，该账号数据信息中包含认证服务器向UE签发的数字证书中 所包含的内容。例如，用户设备UE需要接入WLAN系统时，先发起一个认 证请求报文，该报文中包括UE根据认证服务器签发的数字证书生成的账号 数据信息；然后，认证服务器获取该报文。其中，该用户设备UE可以是手 机终端。

步骤102：认证服务器解析账号数据信息，当账号数据信息有效时，为 UE返回认证成功报文。

该步骤中，认证服务器在对获取的认证请求报文中所包含的账号数据信 息进行解析，当验证账号数据信息有效时，为UE返回认证成功报文；否则， 返回错误消息。

在本发明实施例一中，通过验证UE根据认证服务器签发的数字证书生 成的账号数据信息来进行WLAN用户认证，无需用户每次输入账号与密码， 即可实现快速认证，避免了采用字典或穷举方式破解账号密码，增强了抵御 攻击的能力，提高了WLAN用户认证的安全性。

图2为本发明实施例二的WLAN用户认证方法的流程图，该方法的执行 主体为用户设备，且该用户设备UE可以是手机终端。如图2所示，本实施 例的方法包括如下步骤：

步骤201：用户设备UE向认证服务器发起认证请求报文。

在本步骤中，用户设备UE向认证服务器发起认证请求报文。具体地， 该认证请求报文中包括UE根据认证服务器签发的数字证书生成的账号数据 信息，以使认证服务器解析账号数据信息；例如，用户设备UE需要接入WLAN 系统时，先发起一个认证请求报文，该报文中包括UE根据认证服务器签发 的数字证书生成的账号数据信息；然后，认证服务器会获取该报文，并对该 报文所包含的账号数据信息进行解析。

步骤202：UE接收认证服务器在账号数据信息有效时返回的认证成功报 文。

具体地，在该步骤中，认证服务器在对获取的认证请求报文中所包含的 账号数据信息进行解析，并当验证账号数据信息有效时，为UE返回认证成 功报文。UE接收该认证成功报文。

本发明实施例中，通过验证UE根据认证服务器签发的数字证书生成的 账号数据信息来进行WLAN用户认证，无需用户每次输入账号与密码，即可 实现快速认证，避免了采用字典或穷举方式破解账号密码，增强了抵御攻击 的能力，提高了WLAN用户认证的安全性。

图3为本发明实施例三的WLAN用户认证方法的流程图。如图3所示， 该方法包括：

步骤301：认证服务器获取UE发起的数字证书请求报文；

在本步骤中，具体地，UE发起数字证书请求报文，该数字证书请求报文 中包括数字证书请求信息，认证服务器获取该UE发起的数字证书请求报文。 在本实施例中，该UE可以是手机终端。当用户初次进行WLAN快速登陆时， UE检测到数字证书不存在，即生成公私密钥对，向认证服务器发出包括数字 证书请求信息的报文，以申请数字证书。具体地，该数字证书请求报文中还 包括UE生成的公钥以及终端信息。数字证书请求信息可以包括：用户标识 和域名和认证信息等，也可包括其他能够表明用户身份的信息，或表明用户 身份信息的组合。其中，用户标识可以为用户手机号码和/或终端信息等用户 的唯一标识，优选地，可以为用户的手机号码，域名可以为业务类型和/或归 属地标识和/或国家代码等，认证信息可以为16字节美国标准信息交换码 （American Standard Code for Information Interchange II，简称ASCII），优选 地，可包括UE与手机号码的关联信息和/或UE软件的会话识别码（SESSION  Identity，简称SESSION ID）等内容。

步骤302：认证服务器生成数字证书并返回给UE。

认证服务器根据UE所发的数字证书请求信息，生成数字证书并返回给 UE，UE接收并存储认证服务器发送的数字证书。

具体地，认证服务器解析数字证书请求报文，并判断用户手机号码所对 应的账户状态。认证服务器判断手机号码的账户状态正常，即签发数字证书 并更新关联数据。具体地，该数字证书的内容可以包括用户标识、域名和认 证信息等。用户标识可以为用户的手机号码和/或终端信息等用户的唯一标 识，优选地，可以为用户的手机号码；域名可以为业务类型和/或归属地标识 和/或国家代码等；认证信息可以为16字节ASCII，优选地，可包括UE与手 机号码的关联信息和/或UE软件的SESSION ID等内容。认证服务器将生成 的数字证书返回给UE，UE接收并存储认证服务器发送的数字证书。

数字证书可以只在UE首次安装运行WLAN时生成，UE存储该数字证 书，在以后登录时不需要再次生成数字证书。

步骤303：UE生成账号数据信息。

具体地，UE接收并存储认证服务器发送的数字证书后，在每次需要登录 WLAN时，UE便首先向门户服务器发起超文本传输协议（Hyper Text  Transport Protocol，简称HTTP）请求，门户服务器向认证服务器请求获取随 机数；认证服务器生成随机数，并向门户服务器返回随机数；门户服务器响 应HTTP请求，将随机数返回给UE。然后，UE提取认证服务器发送的数字 证书中所包含的信息，如用户标识、域名和认证信息等信息；然后，UE对用 户标识、域名、随机数、摘要与加密操作对应的算法标识和认证信息等进行 摘要与加密操作，获得数字签名；其中，认证信息可以为16字节ASCII码， 优选地，可包括UE与手机号码的关联信息和/或UE软件的SESSION ID等 内容；算法标识为系统预先定义的1字节ASCII码，代表进行摘要与加密操 作生成数字签名的算法，加密算法的密钥可以为UE生成的公私密钥对中的 私钥。最后，UE将用户标识、域名、随机数、算法标识、认证信息和数字签 名进行组合，生成账号数据信息。

具体地，账号数据信息可以包括：账号数据项和密码数据项。其中，账 号数据项可以包括用户标识、域名等信息，也可包括其他能够表明用户身份 的信息或表明用户身份信息的组合。其中，用户标识可以为用户的手机号码、 终端信息等用户的唯一标识，优选地，可以为用户的手机号码；域名可以包 含业务类型和/或归属地标识和/或国家代码等。密码数据项包括：摘要与加密 操作对应的算法标识、随机数、认证信息和数字签名等。

具体地，根据摘要与加密操作的方式不同，亦即根据算法标识的不同， 密码数据项与其对应的账号数据项可以采用不同的结构。图4a为本发明实施 例三的一种密码数据项的结构示意图；图4b为图4a所示的密码数据项对应 的账号数据项的结构示意图；图5a为本发明实施例三的另一种密码数据项的 结构示意图；图5b为图5a所示的密码数据项对应的账号数据项的结构示意 图。

下面通过具体的实施例对上述两种账号、密码数据项进行说明。

其中，本发明实施例三的一种密码数据项的结构参见图4a，算法标识为 1字节ASCII码，如果算法标识取值为1，代表摘要算法为安全散列算法 （Secure Hash Algorithm，简称SHA）1，加密算法为RSA1024；如果算法 标识取值为2，代表摘要算法为SHA1，加密算法为错误检查纠正码（Error  Correcting Code，简称ECC），密钥位长256bit；如果算法标识取值为3，代 表摘要算法为SHA256，加密算法为ECC，密钥位长256bit。随机数为16字 节ASCII码。认证信息为16字节为ASCII码，优选地，可包括UE与手机号 码的关联信息和/或UE软件的SESSION ID等内容。数字签名是对用户标识、 域名、随机数、摘要与加密操作对应的算法标识和认证信息等账号数据信息 中其他的信息进行摘要与加密操作而生成。

图4a所示的密码数据项对应的账号数据项的结构参见图4b，域名可以为 业务类型和/或归属地标识和/或国家代码等。

采用ECC算法的数字签名，转化为可见ASCII码，长度与格式满足远程 用户拨号认证系统（Remote Authentication Dial In User Service，简称RADIUS） 协议密码数据项要求。因此，当算法标识取值为2或3时，即使用ECC算法 时，账号数据项格式可以为“手机号码域名”，如图4b所示。其中，手机号 码真实有效，以手机号码作为用户标识；域名可以包含业务类型和/或归属地 标志和/或国家代码等。与其对应的密码数据项的格式可以为“算法标识&随机 数&认证信息&数字签名”，如图4a所示。

假设算法标识为2，nvojjhh34io43433为随机数，2349keor3j377332为认 证信息，66vpencpc27829edixbcyl2372f6npjinqw为数字签名，则密码数据项可 以如下：

2nvojjhh34io434332349keor3j37733266vpencpc27829edixbcyl2372f6npjinq w。

假设，186XXXX5588为手机号码，业务类型为wo，归属地标志为bj， 国家代码为cn，其中，账号数据项中的域名包括上述业务类型和/或归属地标 志和/或国家代码，则其对应的账号数据项假设如下：

186XXXX5588wo.bj.cn。

或者，账号数据信息包括：账号数据项和密码数据项。其中，参见图5b， 账号数据项可以包括：数字签名的第一分拆项、用户标识和域名，也可包括 其他能够表明用户身份的信息，或表明用户身份信息的组合。其中，用户标 识可以为用户的手机号码、终端信息等用户的唯一标识，优选地，可以为用 户的手机号码；域名可以包含业务类型和/或归属地标识和/或国家代码等；参 见图5a，密码数据项可以包括：摘要与加密操作对应的算法标识、随机数、 认证信息和数字签名的第二分拆项。

当采用RSA1024算法的数字签名，转化为可见ASCII码，长度超出现网 RADIUS协议密码数据项要求的128字节，故应分拆超出77字节填充到账号 数据项中。此分拆的字节数根据经验值所取，但并不限于此。因此，例如当 算法标识取值为1时，账号数据项格式可以为“数字签名的第一分拆项&手机 号码域名”，如图5b所示。其中，手机号码真实有效，以手机号码作为用 户标识；域名可包含业务类型、归属地标志、国家代码等。密码数据项包括： 摘要与加密操作对应的算法标识、随机数、认证信息和数字签名的第二分拆 项，如图5b所示。

假设，算法标识为1，nvojjhh34io43433为随机数，2349keor3j377332为 认证信息，66vpencpc27829edixbcyl2372f6npjinqweqazc2f53637rteuvncmchrueo  mnlgfhsapbaesrbxu7589233677nnttiummo36500为数字签名的第二分拆项，尚 有77字节的数字签名在账号数据项中。则密码数据项如下：

1nvojjhh34io434332349keor3j37733266vpencpc27829edixbcyl2372f6npjinq  weqazc2f53637rteuvncmchrueomnlgfhsapbaesrbxu7589233677nnttiummo36500

假设，186XXXX5588为手机号码，业务类型为wo，归属地标志为bj， 国家代码为cn。则其对应的账号数据项可如下：

217bcw984micue9eytdunxc8nryxg3b37850nbxt64bex88x2q90x0mnrdrypkd  yjgffdeniosxunry186XXXX5588wo.bj.cn。其中，

217bcw984micue9eytdunxc8nryxg3b37850nbxt64bex88x2q90x0mnrdrypkd  yjgffdeniosxunry为数字签名的第一分拆项，其与上述的数字签名的第二分拆 项共同构成数字签名。

然而，上述账号数据项和密码数据项中各类信息的存储顺序、位长及格 式等并不限于上述实施例所述，可在满足整个数据项长度的范围内，以及满 足编码型号的基础上，进行其他形式的调整或设置。

步骤304：UE发出认证请求报文；

当UE生成账号数据信息后，向认证服务器发起认证请求报文，该报文 中包括UE生成的账号数据信息；然后，认证服务器获取该报文。其中，该 UE可以是手机终端。具体地，认证服务器获取UE发起的认证请求报文的过 程可以包括如下步骤：首先，UE生成认证请求报文并经过门户服务器发送给 宽带接入服务器(Broadband Remote Access Server，简称BRAS)/接入控制器 (Access Controller，简称AC)，然后，该BRAS/AC对认证请求报文进行协议 转换后依次经过本地AAA服务器、全国漫游中心和归属地AAA服务器发送 给认证服务器。

步骤305：认证服务器判断算法标识是否有效；

该步骤中，认证服务器对获取的认证请求报文中所包含的账号数据信息 进行解析，判断算法标识是否有效。此处，判断算法标识是否有效，是判断 该算法标识是否属于针对不同的摘要、加密算法所定义的算法标识，如本实 施例中所定义的算法标识的取值为1、2或3等。具体地，可以将针对不同的 摘要、加密算法所定义的算法标识预先保存在认证服务器中，在对账号数据 信息进行解析后，若其中的算法标识可在认证服务器中找到，即可判定该算 法标识有效；否则，若账号数据信息中的算法标识在认证服务器中未找到， 则判定该算法标识无效。若该算法标识有效，则继续步骤306；若无效，则 执行步骤309。

步骤306：认证服务器判断随机数是否有效；

认证服务器判断算法标识有效后，继续判断随机数是否有效。随机数具 有生命周期。认证服务器在生成随机数之后，在自身的暂存记录中存储该随 机数，在到达该随机数的生命周期时，在暂存记录中删除该随机数。当认证 服务器判断算法标识有效后，继续判断该暂存记录中是否有解析账号数据信 息获得的随机数。若有，则判定随机数有效；否则，若暂存记录中没有解析 账号数据信息获得的随机数，则判定随机数无效。若该随机数有效，则继续 步骤307；若该随机数无效，则执行步骤309。

步骤307：认证服务器判断数字签名是否有效；

认证服务器判断随机数有效后，继续判断数字签名是否有效。具体地， 可以利用由UE发送给认证服务器的公钥对数字签名进行解密，然后判断数 字签名中包含的信息是否与账号数据项或密码数据项中包含的同类信息一 致。例如，判断数字签名中包含的用户标识是否与账号数据项中包含的用户 标识一致，判断数字签名中包含的随机数是否与密码数据项中包含的随机数 一致等等。若数字签名中包含的各项信息均与账号数据项或密码数据项中包 含的同类信息一致，认证服务器判断数字签名有效；否则，若数字签名中包 含的信息中存在与账号数据项或密码数据项中包含的同类信息不同的信息， 则认证服务器判断数字签名无效。若认证服务器判断该数字签名有效，则继 续步骤308；若认证服务器判断该数字签名无效，则转步骤309。

步骤308：认证服务器为UE返回认证成功报文；

认证服务器判断算法标识、随机数、数字签名都有效后，则认证成功， 为UE返回认证成功报文。具体地，认证服务器为UE返回认证成功报文的过 程可以包括如下步骤：首先，认证服务器生成认证成功报文并依次经过归属 地AAA服务器、全国漫游中心和本地AAA服务器发送给BRAS/AC，然后， BRAS/AC对认证成功报文进行协议转换后经过门户服务器发送给UE。

步骤309：认证服务器为UE返回认证失败报文；

认证服务器判断算法标识或随机数或数字签名无效后，则认证失败，为 UE返回认证失败报文。具体地，认证服务器为UE返回认证失败报文的具体 过程可以包括如下步骤：认证服务器生成认证失败报文并依次经过归属地 AAA服务器、全国漫游中心和本地AAA服务器发送给BRAS/AC，BRAS/AC 对认证失败报文进行协议转换后经过门户服务器发送给UE。

在本发明实施例三中，通过验证账号数据信息的方式进行WLAN用户认 证，无需用户每次输入账号与密码，即可实现快速认证，避免了采用字典或 穷举方式破解账号密码，增强了抵御攻击的能力，提高了WLAN用户认证的 安全性。而且，生成的账号数据信息包括账号数据项和密码数据项，其中， 包括用户标识、域名、摘要与加密操作对应的算法标识、随机数、认证信息 和数字签名等信息，根据上述信息生成的账号数据信息安全性高。并且，还 可以对数字签名分拆为两项，分别存储到账号数据项和密码数据项中，通过 分拆保证了将数字签名的全部信息携带在账号数据信息中，进一步保证了账 号数据信息的安全性。

图6为本发明实施例四的认证服务器的结构示意图。如图6所示，该认 证服务器600包括接收单元601和认证单元602。

其中，接收单元601用于获取用户设备UE发起的认证请求报文，且该 认证请求报文中包括UE根据认证服务器600签发的数字证书生成的账号数 据信息；认证单元602用于解析账号数据信息，当账号数据信息有效时，为 UE返回认证成功报文。

本实施例的认证服务器，可以用于执行本发明实施例一所述方法实施例 的技术方案，其实现原理和技术效果类似，此处不再赘述。在上述实施例的 基础上，进一步地，该认证服务器600还可以包括数字证书单元603。接收 单元601还用于获取UE发起的数字证书请求报文，该数字证书请求报文中 包括数字证书请求信息；

数字证书单元603用于根据数字证书请求信息，生成数字证书并返回给 UE，以使UE根据数字证书生成账号数据信息。

在上述实施例的基础上，进一步地，该账号数据信息可以包括：用户标 识、域名、随机数、算法标识、认证信息和数字签名。其中，用户标识可以 为用户手机号码和/或终端信息等用户的唯一标识；域名可以为业务类型和/ 或归属地标识和/或国家代码等；认证信息可以为16字节ASCII码，优选地， 可包括UE与手机号码的关联信息和/或UE软件的SESSION ID等内容；算 法标识为1字节ASCII码，代表进行摘要与加密操作生成数字签名的算法； 数字签名是对用户标识、域名、随机数、摘要与加密操作对应的算法标识和 认证信息等进行摘要与加密操作而生成；随机数由于是随机生成的，没有规 律可循，因此在账号数据信息包括随机数，可使该账号数据信息不易被破解， 防止重放攻击，有效提高了数字证书的安全性。

进一步地，在上述实施例的基础上，认证单元602具体用于判断算法标 识是否有效，如果是，判断随机数是否有效，如果是，判断数字签名是否有 效，如果是，执行为UE返回认证成功报文的步骤；如果认证单元602判断 算法标识无效或随机数无效或数字签名无效，为UE返回认证失败报文。

本实施例的认证服务器，可以用于执行本发明实施例一至本发明实施例 三所述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图7为本发明实施例五的用户设备的结构示意图。如图7所示，本实施 例的用户设备，可以包括：请求单元701和接收单元702。

其中，请求单元701用于向认证服务器发起认证请求报文，认证请求报 文中包括用户设备UE根据认证服务器签发的数字证书生成的账号数据信息， 以使认证服务器解析账号数据信息；

接收单元702用于接收认证服务器在账号数据信息有效时返回的认证成 功报文。

本实施例的用户设备，可以用于执行本发明实施例二所述方法实施例的 技术方案，其实现原理和技术效果类似，此处不再赘述。

进一步地，在上述实施例的基础上，请求单元701还用于向认证服务器 发起数字证书请求报文，具体地，该数字证书请求报文中包括数字证书请求 信息，以使认证服务器根据数字证书请求信息生成数字证书。

接收单元702还用于接收认证服务器返回的数字证书。

进一步地，该用户设备还可以包括账号数据单元703。具体地，该账号 数据单元703可以用于根据数字证书生成账号数据信息。

进一步地，在上述实施例的基础上，数字证书可以包括：用户标识、域 名和认证信息；

账号数据单元703具体可以用于获取认证服务器生成的随机数；对随机 数、摘要与加密操作对应的算法标识和数字证书中的用户标识、域名及认证 信息进行摘要与加密操作，获得数字签名；组合用户标识、域名、随机数、 算法标识、认证信息和数字签名，生成账号数据信息。

进一步地，在上述实施例的基础上，一种可行的实施方式是：账号数据 信息可以包括：账号数据项和密码数据项。其中，账号数据项包括：用户标 识和域名，密码数据项包括：摘要与加密操作对应的算法标识、随机数、认 证信息和数字签名；

或者，另一种可行的实施方式是：账号数据信息可以包括：账号数据项 和密码数据项。其中，账号数据项包括：数字签名的第一分拆项、用户标识 和域名，密码数据项包括：摘要与加密操作对应的算法标识、随机数、认证 信息和数字签名的第二分拆项。

本实施例的用户设备，可以用于执行本发明实施例一至本发明实施例三 所述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本发明实施例六的WLAN系统的结构示意图。如图8所示，在上 述任意实施例技术方案的基础上，本发明实施例的WLAN系统可以包括：门 户服务器100、BRAS/AC200、本地AAA服务器300、全国漫游中心400、 归属地AAA服务器500、认证服务器600和UE700。

首先，在用户初次登陆的时候，UE700向认证服务器600发起数字证书 请求报文，认证服务器600生成数字证书并返回给UE700。

其次，UE700生成账号数据信息。具体地，UE700接收并存储认证服务 器600发送的数字证书后，在每次需要登录时，UE700便首先向门户服务器 100发起HTTP请求，门户服务器100向认证服务器600请求获取随机数； 认证服务器600生成随机数，并向门户服务器100返回随机数；门户服务器 100响应HTTP请求，将随机数返回给UE700。UE700提取认证服务器600 发送的数字证书中所包含的信息，如用户标识、域名和认证信息等信息；然 后，对用户标识、域名、随机数、摘要与加密操作对应的算法标识和认证信 息等进行摘要与加密操作，获得数字签名；最后，UE700将用户标识、域名、 随机数、算法标识、认证信息和数字签名进行组合，生成账号数据信息。

再次，UE700发出认证请求报文，认证服务器600获取该认证请求报文。 具体地，UE700向认证服务器600发起认证请求报文，该认证请求报文经过 门户服务器100发送给BRAS/AC200，该BRAS/AC200对认证请求报文进 行协议转换后依次经过本地AAA服务器300、全国漫游中心400和归属地 AAA服务器500发送给认证服务器600。

认证服务器600获取UE700发起的认证请求报文后，并对其所包含信息 进行认证，认证成功后，将认证成功报文依次经过归属地AAA服务器500、 全国漫游中心400和本地AAA服务器300发送给BRAS/AC200，BRAS/AC 200对认证成功报文进行协议转换后经过门户服务器100再发送给UE700。

当认证服务器600获取UE700发起的认证请求报文后但认证失败，则认 证服务器600生成认证失败报文并依次经过归属地AAA服务器500、全国漫 游中心400和本地AAA服务器300发送给BRAS/AC200，BRAS/AC200对 认证失败报文进行协议转换后经过门户服务器100发送给UE700。

另外，在对非漫游用户，亦即本地用户的认证，则不需通过全国漫游中 心400和归属地AAA服务器500，认证请求报文由BRAS/AC200进行协议转 换后直接由本地AAA服务器300转发至认证服务器600，并经认证服务器600 认证后，将认证响应报文直接发送本地AAA服务器300，再由本地AAA服 务器300发送给BRAS/AC200，BRAS/AC200对认证响应报文进行协议转换 后经过门户服务器100发送给UE700。

在现有技术中，AAA服务器一般都实现认证、授权和计费功能，但对于 本实施例，AAA服务器仅实现授权与计费功能，由认证服务器600单独去实 现认证功能。且认证服务器600作为一个逻辑功能单元，其也可以与AAA服 务器和合并实现。

在本发明实施例六中，认证服务器可以与AAA服务器分别设置，也可以 将认证服务器设置在AAA服务器上，实施方式的灵活性高。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可 读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而 前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码 的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对 其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。