一種驗(yàn)證無線局域網(wǎng)絡(luò)用戶來源的方法、設(shè)備及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及一種驗(yàn)證WLAN (Wireless Local AreaNetwork����,無線局域網(wǎng))用戶來源的方法、設(shè)備及系統(tǒng)�����。
【背景技術(shù)】
[0002]WLAN網(wǎng)絡(luò)具有可移動(dòng)性�����、靈活性��、安全簡(jiǎn)單�、易于調(diào)整和擴(kuò)展等優(yōu)點(diǎn),它是對(duì)傳統(tǒng)有線網(wǎng)絡(luò)的延伸��,被廣泛地應(yīng)用于企業(yè)和家庭中,用戶可通過內(nèi)置有WLAN無線模塊的終端(如個(gè)人計(jì)算機(jī)�、掌上電腦、手機(jī)等)或WLAN網(wǎng)卡的方式獲得互聯(lián)網(wǎng)接入服務(wù)����。
[0003]如圖1所示���,為現(xiàn)有技術(shù)中UE (User Equipment,用戶終端)接入WLAN網(wǎng)絡(luò)的方法流程圖�,其具體處理流程如下:
[0004]步驟101:用戶終端通過標(biāo)準(zhǔn)的 DHCP (Dynamic Host Configurat1n Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議�����,從AC (Access Controller,接入控制器)處獲取規(guī)劃的IP (Internet Protocol�,網(wǎng)絡(luò)互連協(xié)議)地址。
[0005]步驟102:用戶終端打開瀏覽器��,訪問某個(gè)網(wǎng)站��,發(fā)起HTTP(Hypertext TransferProtocol��,超文本傳送協(xié)議)請(qǐng)求�。
[0006]步驟103:AC截獲用戶終端發(fā)起的HTTP請(qǐng)求,對(duì)沒有認(rèn)證過的用戶終端���,AC強(qiáng)制該用戶終端訪問門戶服務(wù)器(即Portal)的URL(Uniform Resource Locator�,統(tǒng)一資源定位符)。
[0007]步驟104:用戶終端根據(jù)AC返回的門戶服務(wù)器的URL向?qū)?yīng)的門戶服務(wù)器發(fā)起訪問請(qǐng)求���。
[0008]步驟105:門戶服務(wù)器接受用戶終端的訪問請(qǐng)求����,向用戶終端推送認(rèn)證頁面���。
[0009]步驟106:用戶終端在認(rèn)證頁面上填入賬號(hào)和密碼等用戶認(rèn)證信息��,以安全的方式�,如 HTTPS POST(Hyper Text Transfer Protocol over Secure Socket Layer, HTTP 的安全版)提交到門戶服務(wù)器�。
[0010]步驟107:門戶服務(wù)器接收到用戶認(rèn)證信息,向RADIUS(Remote Authenticat1nDial In User Service����,遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng))發(fā)出用戶認(rèn)證信息查詢請(qǐng)求。
[0011]步驟108 =RADIUS根據(jù)用戶認(rèn)證信息驗(yàn)證用戶密碼���、查詢用戶認(rèn)證信息��,并向門戶服務(wù)器返回查詢結(jié)果��。若查詢失敗�,門戶服務(wù)器執(zhí)行步驟115,流程至此結(jié)束�����;若查詢成功�,則繼續(xù)執(zhí)行下一步����。
[0012]步驟109:門戶服務(wù)器向AC請(qǐng)求認(rèn)證口令Challenge。
[0013]步驟110:AC 返回認(rèn)證口令 Challenge��。
[0014]步驟111:門戶服務(wù)器將用戶認(rèn)證信息提交到AC���,發(fā)起認(rèn)證�。
[0015]步驟112:AC將用戶認(rèn)證信息發(fā)送到RADIUS�����,進(jìn)行認(rèn)證��。
[0016]步驟113 =RADIUS根據(jù)用戶認(rèn)證信息判斷用戶終端是否合法��,并通知AC。
[0017]步驟114:AC返回認(rèn)證結(jié)果給門戶服務(wù)器����。
[0018]步驟115:門戶服務(wù)器根據(jù)認(rèn)證結(jié)果,向用戶終端推送認(rèn)證結(jié)果頁面�。
[0019]在上述流程中,步驟106����、107、108執(zhí)行了一次認(rèn)證過程�����,用戶終端可從步驟108獲知認(rèn)證結(jié)果(成功或失敗)��。如果有用戶想對(duì)RADIUS進(jìn)行攻擊�,有可能會(huì)針對(duì)這些步驟,自行構(gòu)造認(rèn)證請(qǐng)求數(shù)據(jù)(即用戶名和密碼等用戶認(rèn)證信息)�����,按照步驟106���、107����、108向門戶服務(wù)器發(fā)起認(rèn)證請(qǐng)求,根據(jù)返回結(jié)果即可判斷認(rèn)證請(qǐng)求數(shù)據(jù)是否合法���,若返回認(rèn)證成功的響應(yīng)�,則說明認(rèn)證請(qǐng)求數(shù)據(jù)包中含有正確的用戶名和密碼�。若攻擊者頻繁地發(fā)起認(rèn)證請(qǐng)求,則會(huì)嚴(yán)重影響RADIUS的性能���,甚至?xí)斐蒖ADIUS宕機(jī)�。
[0020]為了防止攻擊者頻繁發(fā)起認(rèn)證請(qǐng)求�����,門戶服務(wù)器需要識(shí)別各用戶終端的來源����,對(duì)惡意用戶終端發(fā)起的認(rèn)證請(qǐng)求不予接受�����,以實(shí)現(xiàn)安全防護(hù)�。
[0021]具體地��,現(xiàn)有技術(shù)中����,由于接入WLAN系統(tǒng)的正常用戶在提交給門戶服務(wù)器的認(rèn)證請(qǐng)求包中會(huì)攜帶有AC�����、AP(Access Point�,無線訪問節(jié)點(diǎn))等信息,因而�,門戶服務(wù)器可根據(jù)認(rèn)證請(qǐng)求包中的AC、AP信息對(duì)用戶終端的來源進(jìn)行定位�����。但是�,由于惡意用戶能夠自行構(gòu)造認(rèn)證請(qǐng)求包,隨意填寫AC���、AP信息�,導(dǎo)致門戶服務(wù)器無法根據(jù)認(rèn)證請(qǐng)求包中的AC�����、AP信息準(zhǔn)確地確定用戶終端的來源。另外�,由于門戶服務(wù)器通常部署于互聯(lián)網(wǎng),攻擊者即使未接入WLAN系統(tǒng)��,也可通過互聯(lián)網(wǎng)向門戶服務(wù)器發(fā)起認(rèn)證請(qǐng)求�����,對(duì)RADIUS實(shí)施攻擊�。因此,門戶服務(wù)器不能根據(jù)請(qǐng)求包中的AC��、AP信息對(duì)用戶終端的來源進(jìn)行定位����,僅能根據(jù)用戶終端來源的IP地址進(jìn)行定位,但若用戶終端處于NAT (Network Address Translat1n���,網(wǎng)絡(luò)地址轉(zhuǎn)換)環(huán)境,那么門戶服務(wù)器只能獲取經(jīng)過NAT轉(zhuǎn)換后的公網(wǎng)IP����,無法獲取用戶的內(nèi)網(wǎng)IP,也就無法定位到用戶終端的具體來源��。
[0022]因此,亟需提供一種新的驗(yàn)證WLAN用戶來源的方法��,來解決目前無法準(zhǔn)確定位終端來源�����,導(dǎo)致WLAN認(rèn)證系統(tǒng)安全性低等問題����。
【發(fā)明內(nèi)容】
[0023]本發(fā)明實(shí)施例提供了一種驗(yàn)證WLAN用戶來源的方法、設(shè)備及系統(tǒng)���,用以解決目前存在的無法準(zhǔn)確定位終端來源���,導(dǎo)致WLAN認(rèn)證系統(tǒng)安全性低的問題。
[0024]本發(fā)明實(shí)施例提供了一種驗(yàn)證WLAN用戶來源的方法�,包括:
[0025]AC截獲終端發(fā)起的網(wǎng)頁訪問請(qǐng)求,若確定所述終端尚未認(rèn)證����,則利用預(yù)先配置的第一共享密鑰、所述終端的終端信息�、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第一加密令牌;并
[0026]將所述第一加密令牌以及門戶服務(wù)器的網(wǎng)址信息發(fā)送給所述終端���,指示所述終端根據(jù)所述網(wǎng)址信息向?qū)?yīng)的門戶服務(wù)器發(fā)送攜帶有用戶認(rèn)證信息��、所述終端的終端信息���、所述終端所關(guān)聯(lián)的AP的信息����、所述AC的信息以及所述第一加密令牌的認(rèn)證請(qǐng)求�,以由所述門戶服務(wù)器根據(jù)預(yù)先配置的第二共享密鑰、所述終端的終端信息�、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端;
[0027]其中�����,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰���。
[0028]進(jìn)一步地���,本發(fā)明實(shí)施例還提供了另一種驗(yàn)證WLAN用戶來源的方法����,包括:
[0029]終端接收接入控制器AC發(fā)送的第一加密令牌以及門戶服務(wù)器的網(wǎng)址信息�,所述第一加密令牌是所述AC截獲所述終端發(fā)起的網(wǎng)頁訪問請(qǐng)求后�����,利用預(yù)先配置的第一共享密鑰��、所述終端的終端信息�����、所述終端所關(guān)聯(lián)的接入點(diǎn)AP的信息以及所述AC的信息生成的��;
[0030]根據(jù)所述網(wǎng)址信息向?qū)?yīng)的門戶服務(wù)器發(fā)送攜帶有用戶認(rèn)證信息�、所述終端的終端信息、所述終端所關(guān)聯(lián)的AP的信息�、所述AC的信息以及所述第一加密令牌的認(rèn)證請(qǐng)求,以由所述門戶服務(wù)器根據(jù)預(yù)先配置的第二共享密鑰�����、所述終端的終端信息�����、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端;
[0031]其中����,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰。
[0032]進(jìn)一步地�����,本發(fā)明實(shí)施例還提供了另一種驗(yàn)證WLAN用戶來源的方法���,包括:
[0033]門戶服務(wù)器接收終端發(fā)送的攜帶有用戶認(rèn)證信息����、所述終端的終端信息��、所述終端所關(guān)聯(lián)的AP的信息�����、接入控制器AC的信息以及第一加密令牌的認(rèn)證請(qǐng)求���;所述第一加密令牌是所述AC截獲所述終端發(fā)起的網(wǎng)頁訪問請(qǐng)求后��,利用預(yù)先配置的第一共享密鑰����、所述終端的終端信息�、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成的;
[0034]根據(jù)預(yù)先配置的第二共享密鑰�����、所述終端的終端信息���、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌�,并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端����;
[0035]其中,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰�。
[0036]進(jìn)一步地,本發(fā)明實(shí)施例還提供了一種AC��,包括:
[0037]獲取單元�,用于截獲終端發(fā)起的網(wǎng)頁訪問請(qǐng)求;
[0038]處理單元����,用于若確定所述終端尚未認(rèn)證,則利用預(yù)先配置的第一共享密鑰、所述終端的終端信息���、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第一加密令牌��;
[0039]發(fā)送單元�,用于將所述第一加密令牌以及門戶服務(wù)器的網(wǎng)址信息發(fā)送給所述終端����,指示所述終端根據(jù)所述網(wǎng)址信息向?qū)?yīng)的門戶服務(wù)器發(fā)送攜帶有用戶認(rèn)證信息、所述終端的終端信息�、所述終端所關(guān)聯(lián)的AP的信息、所述AC的信息以及所述第一加密令牌的認(rèn)證請(qǐng)求�,以由所述門戶服務(wù)器根據(jù)預(yù)先配置的第二共享密鑰、所述終端的終端信息�����、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端���;
[0040]其中�,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰�。
[0041]進(jìn)一步地,本發(fā)明實(shí)施例還提供了一種終端���,包括:
[0042]接收單元�����,用于接收接入控制器AC發(fā)送的第一加密令牌以及門戶服務(wù)器的網(wǎng)址信息�����,所述第一加密令牌是所述AC截獲所述終端發(fā)起的網(wǎng)頁訪問請(qǐng)求后��,利用預(yù)先配置的第一共享密鑰����、所述終端的終端信息�����、所述終端所關(guān)聯(lián)的接入點(diǎn)AP的信息以及所述AC的信息生成的����;
[0043]發(fā)送單元,用于根據(jù)所述網(wǎng)址信息向?qū)?yīng)的門戶服務(wù)器發(fā)送攜帶有用戶認(rèn)證信息���、所述終端的終端信息�、所述終端所關(guān)聯(lián)的AP的信息、所述AC的信息以及所述第一加密令牌的認(rèn)證請(qǐng)求�,以由所述門戶服務(wù)器根據(jù)預(yù)先配置的第二共享密鑰、所述終端的終端信息�、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端;
[0044]其中�����,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰�����。
[0045]進(jìn)一步地���,本發(fā)明實(shí)施例還提供了一種門戶服務(wù)器��,包括:
[0046]接收單元��,用于接收終端發(fā)送的攜帶有用戶認(rèn)證信息���、所述終端的終端信息、所述終端所關(guān)聯(lián)的AP的信息����、接入控制器AC的信息以及第一加密令牌的認(rèn)證請(qǐng)求���;所述第一加密令牌是所述AC截獲所述終端發(fā)起的網(wǎng)頁訪問請(qǐng)求后,利用預(yù)先配置的第一共享密鑰�����、所述終端的終端信息�����、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成的�;
[0047]處理單元���,用于根據(jù)預(yù)先配置的第二共享密鑰��、所述終端的終端信息��、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌����,并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端�;
[0048]其中,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰���。
[0049]進(jìn)一步地�����,本發(fā)明實(shí)施例還提供了一種驗(yàn)證WLAN用戶來源的系統(tǒng)�����,包括:
[0050]AC����,用于截獲終端發(fā)起的網(wǎng)頁訪問請(qǐng)求,若確定所述終端尚未認(rèn)證����,則利用預(yù)先配置的第一共享密鑰、所述終端的終端信息��、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第一加密令牌�,并將所述第一加密令牌以及門戶服務(wù)器的網(wǎng)址信息發(fā)送給所述終端;
[0051]終端����,用于接收AC發(fā)送的第一加密令牌以及門戶服務(wù)器的網(wǎng)址信息,并根據(jù)所述網(wǎng)址信息向?qū)?yīng)的門戶服務(wù)器發(fā)送攜帶有用戶認(rèn)證信息��、所述終端的終端信息、所述終端所關(guān)聯(lián)的AP的信息���、所述AC的信息以及所述第一加密令牌的認(rèn)證請(qǐng)求�����;
[0052]門戶服務(wù)器���,用于接收終端發(fā)送的攜帶有用戶認(rèn)證信息、所述終端的終端信息���、所述終端所關(guān)聯(lián)的接入點(diǎn)AP的信息、接入控制器AC的信息以及第一加密令牌的認(rèn)證請(qǐng)求����;根據(jù)預(yù)先配置的第二共享密鑰、所述終端的終端信息��、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息生成第二加密令牌���,并通過判斷所述第二加密令牌是否與所述第一加密令牌相一致來確定所述終端是否為合法終端�;
[0053]其中����,所述第一共享密鑰與所述第二共享密鑰為同一共享密鑰���。
[0054]本發(fā)明有益效果如下:
[0055]本發(fā)明實(shí)施例提供了一種驗(yàn)證WLAN用戶來源的方法、設(shè)備及系統(tǒng)�,AC在終端重定向時(shí)可利用預(yù)設(shè)的第一共享密鑰、所述終端的終端信息���、所述終端所關(guān)聯(lián)的AP的信息以及自身信息生成第一加密令牌并將重定向URL和所述第一加密令牌告知所述終端�,指示所述終端向?qū)?yīng)的Portal提交攜帶有所述第一加密令牌�����、所述終端的終端信息�����、所述終端所關(guān)聯(lián)的AP的信息以及所述AC的信息的認(rèn)證請(qǐng)求��,以便Portal根據(jù)預(yù)設(shè)的與所述第一共享密鑰相同的第二共享密鑰以及所述終端的終端信息�����、所述終端所關(guān)聯(lián)的A