CN101217805B - 一种无线局域网的接入控制方法 - Google Patents
一种无线局域网的接入控制方法 Download PDFInfo
- Publication number
- CN101217805B CN101217805B CN2008100027850A CN200810002785A CN101217805B CN 101217805 B CN101217805 B CN 101217805B CN 2008100027850 A CN2008100027850 A CN 2008100027850A CN 200810002785 A CN200810002785 A CN 200810002785A CN 101217805 B CN101217805 B CN 101217805B
- Authority
- CN
- China
- Prior art keywords
- access point
- point device
- wireless access
- mobile radio
- radio terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种无线局域网的接入控制方法,在无线接入点设备处于接入允许状态时,允许受信任和非信任无线移动终端认证和关联该无线接入点设备;在无线接入点设备处于不可接入状态时,仅允许受信任无线移动终端认证和关联无线接入点设备,拒绝非信任无线移动终端认证和关联该无线接入点设备。本发明为无线局域网的接入管理提供了一种安全的解决方法,防止未经授权的无线终端任意接入网络,大大提高了无线局域网接入的安全性和可靠性。
Description
技术领域
本发明涉及一种WLAN(Wireless Local Area Network,无线局域网)的接入控制方法。
背景技术
随着无线局域网技术的发展,无线局域网的应用越来越广泛,许多家庭宽带接入网关上都支持了WLAN AP(Access Point,无线接入点)功能,大大地方便了家庭内部网络的无线互联,实现了通过无线方式接入Internet(互联网)的功能。
由于无线局域网是通过空中的无线链路进行传输的,随之而来也会带来很多安全性的隐患,因此安全问题一直是无线局域网应用时关注的一个焦点。目前业内已经有了各种解决无线局域网安全的方案,但目前的无线局域网安全解决方案大都集中在无线数据报文的加密方面,而对于无线移动终端(简称STA)在与无线接入点(简称AP)的链路关联上没有太多的保护措施。
无线局域网组网应用时,AP和STA是必不可少的设备。AP作为无线接入的汇聚设备以及有线网络和无线网络的桥接设备,可以允许STA的接入,实现STA与有线和无线网络之间的互联互通。现有技术中一般通过Shared-Key(共享密钥)认证机制实现对关联接入的认证。根据IEEE(Instituteof Electrical and Electronics Engineers,电气和电子工程师协会)802.11协议的要求,STA与AP之间进行正常的认证和关联的流程如图1所示,其具体步骤如下:
第一步:STA向AP发出身份认证请求。
第二步:AP接收到身份认证请求后,向STA回复一个包含明文信息的认证报文。
第三步:STA接收到包含明文信息的认证报文后,使用WEP(WiredEquivalent Privacy,有线等效保密)加密算法和密钥对明文信息进行加密得到用于身份认证的密文信息,并把该密文信息发送给AP。
第四步:AP接收到STA发送的用于身份认证的密文信息后,使用WEP解密算法和密钥对密文进行解密得到明文信息,并把明文信息与先前发送给该STA的明文信息进行比较,如果两个信息一致,则STA通过身份认证,AP允许STA接入;如果两个信息不一致,则AP禁止该STA接入。
使用Shared-Key身份认证可以在一定程度上防止未经授权的无线终端接入网络,但WLAN的安全接入仍存在一些安全缺陷,具体表现在以下两个方面:
第一,Shared-Key身份认证是基于WEP加密方式的,只有使用WEP加密方式时才能使用对无线网络的关联进行认证,但WEP加密已经被认为是不安全的加密方式,其静态加密密钥很容易被攻破,而且WEP密钥的静态分发方法也不可靠。一旦WEP密钥被攻破或者泄漏,Shared-Key认证也就形同虚设了。
第二,对于使用Open-System(开放系统)方式认证的无线接入点,由于STA与AP之间不需要任何的身份认证过程,导致未经授权的STA很容易接入网络。
综上所述,有必要提供一种用于无线局域网实现安全接入的控制方法,防止未经授权的无线终端任意接入网络。
发明内容
本发明要解决的技术问题是提供一种无线局域网的接入控制方法,防止未经授权的无线终端任意接入网络。
为了解决上述问题,本发明提供了一种无线局域网的接入控制方法,在无线接入点设备处于接入允许状态时,允许受信任和非信任无线移动终端认证和关联该无线接入点设备;在无线接入点设备处于不可接入状态时,仅允许受信任无线移动终端认证和关联无线接入点设备,拒绝非信任无线移动终端认证和关联该无线接入点设备。
进一步地,所述无线接入点设备上设置有接入允许控制功能,通过该接入允许控制功能将无线接入点设备的状态设置为可接入状态或不可接入状态。
进一步地,所述接入允许控制功能设置有接入允许定时器,并在无线接入点设备进入可接入模式的同时启动所述接入允许定时器,在该接入允许定时器的定时周期内,如果某一无线移动终端成功接入无线接入点设备,则中止所述接入允许定时器,并将无线接入点设备的状态设置为不可接入状态;否则,在该接入允许定时器的定时周期结束后,将无线接入点设备的状态设置为不可接入状态。
进一步地,所述无线接入点设备将在该无线接入点设备认证和关联成功的无线移动终端的介质访问控制MAC地址加入受信任的地址列表内;并在接收到无线移动终端的接入请求后,判断该无线移动终端的MAC地址是否在所述受信任的地址列表内,如果是,认为该无线移动终端为受信任无线移动终端;否则,认为该无线移动终端为非信任无线移动终端。
进一步地,所述方法包括以下步骤:
(a)经授权的无线移动终端首次向无线接入点设备发送接入请求消息;
(b)无线接入点设备接收到所述接入请求消息后,发现该无线移动终端的介质访问地址在受信任的地址列表内,则执行步骤(f);否则,执行下一步;
(c)判断无线接入点设备的状态是否为可接入模式,如果是,则执行下一步;否则,执行步骤(h);
(d)判断接入允许定时器的定时周期是否结束,如果是,则执行步骤(g),否则,执行下一步;
(e)将该无线移动终端的介质访问控制地址加入受信任的地址列表内;并中止所述接入允许定时器,将无线接入点设备的状态设置为不可接入模式,执行下一步;
(f)所述无线移动终端在无线接入点设备进行认证和关联,结束;
(g)将无线接入点设备的状态设置为不可接入模式,执行下一步;
(h)拒绝无线移动终端认证和关联该无线接入点设备,结束。
进一步地,所述接入允许控制功能通过接入允许按键开关设置,或者,通过配置管理接口来设置。
进一步地,所述无线接入点设备的默认状态为不可接入状态。
进一步地,所述步骤(f)进一步包括:
所述无线接入点设备返回认证响应消息给所述无线移动终端;
所述无线移动终端向所述无线接入点设备发送关联请求消息;
所述无线接入点设备返回关联响应消息给所述无线移动终端。
进一步地,所述无线移动终端通过开放系统认证机制或者共享密钥认证机制在所述无线接入点设备上进行认证。
进一步地,所述无线移动终端与所述无线接入点设备之间的交互遵循电气和电子工程师协会IEEE802.11协议。
本发明为无线局域网的接入管理提供了一种安全的解决方法,克服了现有无线局域网接入认证方法中的不安全和不可靠等缺点和不足。采用本发明所述方法,与现有技术相比,通过硬件按钮对STA接入进行安全控制,使得无线网络具有了等同于有线网络的接入安全控制能力,对于所有合法STA的接入都是物理可控的,可以从源头上限制非法STA的接入,大大提高了无线局域网接入的安全性和可靠性。另外,本发明所述的实现方法原理简单,实施难度小,开发周期短。
附图说明
图1是现有技术中STA与AP之间进行认证和关联的流程。
图2是本发明实施例加入AP接入控制功能后的认证和关联的流程。
图3是本发明实施例AP上加入的接入控制功能的流程。
具体实施方式
本发明提供了一种无线局域网安全接入的实现方法,其主要的原理说明如下:在AP上提供STA接入允许控制功能,该控制功能可以通过硬件按键实现控制,也可以通过某种配置管理接口以软件的方式提供,本文中以硬件按键方式为例进行说明。如果STA需要接入AP,必须首先在AP上按下接入允许按键,打开接入允许开关后AP进入可接入状态,此时才允许STA接入此AP,这样可以避免未经授权的非法STA任意接入无线网络。
下面结合附图和具体实施例对本发明做进一步的阐述:
如图2所示,本发明是在STA与AP之间的正常认证和关联流程中加入了AP的接入控制功能,防止未经授权的非法STA任意接入无线网络。加入AP接入控制功能后的认证和关联的流程如图2所示。
本发明提供的一种无线局域网的接入控制方法的一个实施例主要包括以下内容:
第一步:无线接入点设备上设置STA接入允许控制功能;
无线接入点设备上缺省的STA接入控制策略是拒绝所有的STA接入,只有按下按键后的有限时间段内,才允许STA与此AP关联和接入此AP。
第二步:在合法STA首次接入AP时,首先需要按下AP上的接入允许按键使能AP上的STA接入允许控制,此时AP进入可接入模式,并同时启动一个接入允许定时器。
第三步:在接入允许定时器的定时周期内,如果有STA试图与AP进行关联,AP允许进行认证和关联的相关流程。如果关联和认证成功,则STA可以正常接入AP,此时AP将此STA的记录为可信任的STA,对MAC(MediaAccess Control,介质访问控制)地址白名单中相应的MAC条目进行可信任标记。如果在该定时周期内没有STA试图接入,则定时周期结束后AP自动恢复为默认的原始状态,即进入不可接入模式。
可选地,在该定时周期内如果某一个STA已经成功接入AP,AP将立刻中止接入允许定时器,并恢复为默认不可接入状态,拒绝其他的STA进行接入;如果其他的STA需要继续接入,必须重新使能AP上的STA接入允许控制开关,相关的流程见前述步骤的描述。
第四步:被列入可信任名单中的STA后续再次与AP进行认证和关联时,AP判断如果此STA已经是可信任STA,则不受AP上STA接入允许控制开关状态的影响,即无论此时接入允许控制开关是否打开,可信任的STA均可以自由接入此AP。如果该STA不是可信任STA,则接入前必须使能AP上的STA接入允许控制开关。
下面用本发明的一个应用实例对本发明方法进行进一步详细说明。
如图3所示,本发明通过AP上的接入控制功能实现STA安全接入,其相关的流程分为如下步骤:
步骤301,AP等待STA发送认证请求;
步骤302,AP接收到STA的认证请求;
步骤303,AP判断此STA的MAC地址是否在受信任的地址列表内,如果是受信任的STA,则直接转到步骤308;否则,执行下一步;
步骤304,如果STA未在受信任的MAC地址列表内,则判断AP是否处于接入允许状态(即之前是否已经按过接入允许按键),如果是,则执行下一步;否则,执行步骤310;
步骤305,通过2分钟定时器是否超时来判断该接入允许状态是否已经过期,如果是,则转到步骤309,否则,执行下一步;
步骤306,如果AP上的接入允许状态未过期,则认为该STA是受信任的,将该STA的MAC地址加入到可信任的MAC地址列表中,并执行下一步;
步骤307,直接结束2分钟定时器,并在此后将AP设置为接入禁止状态,执行下一步;
步骤308,AP与请求认证的STA直接进行正常的认证和关联流程,允许STA接入AP,结束;
步骤309,如果AP上的接入允许状态已经过期则设置AP为接入禁止状态,并执行步骤310;
步骤310,如果AP未处于接入允许状态,或者AP上的接入允许状态已经过期,则AP不会跟STA之间进行认证和关联的交互流程,从而禁止该STA的接入,结束。
在上述的实现方法中,移动终端与无线接入点之间的交互均遵循标准的IEEE802.11协议,因此本发明提出的实现方法对STA没有特殊要求,只需在AP设备上实现用户接入控制功能即可。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种无线局域网的接入控制方法,其特征在于,无线接入点设备将在该无线接入点设备认证和关联成功的无线移动终端的介质访问控制MAC地址加入受信任的地址列表内,包括以下步骤:
(a)经授权的无线移动终端首次向无线接入点设备发送接入请求消息;
(b)无线接入点设备接收到所述接入请求消息后,发现该无线移动终端的介质访问地址在受信任的地址列表内,则认为该无线移动终端为受信任无线移动终端,执行步骤(f);否则,认为该无线移动终端为非信任无线移动终端,执行下一步;
(c)判断无线接入点设备的状态是否为可接入状态,如果是,则执行下一步;否则,执行步骤(h);
(d)判断接入允许定时器的定时周期是否结束,如果是,则执行步骤(g),否则,执行下一步;
(e)将该无线移动终端的介质访问控制地址加入受信任的地址列表内;并中止所述接入允许定时器,将无线接入点设备的状态设置为不可接入状态,执行下一步;
(f)所述无线移动终端在无线接入点设备进行认证和关联,结束;
(g)将无线接入点设备的状态设置为不可接入状态,执行下一步;
(h)拒绝无线移动终端认证和关联该无线接入点设备,结束。
2.如权利要求1所述的接入控制方法,其特征在于,所述无线接入点设备上设置有接入允许控制功能,通过该接入允许控制功能将无线接入点设备的状态设置为可接入状态或不可接入状态。
3.如权利要求2所述的接入控制方法,其特征在于,所述接入允许控制功能设置有接入允许定时器,并在无线接入点设备进入可接入状态的同时启动所述接入允许定时器,在该接入允许定时器的定时周期内,如果某一无线移动终端成功接入无线接入点设备,则中止所述接入允许定时器,并将无线接入点设备的状态设置为不可接入状态;否则,在该接入允许定时器的定时周期结束后,将无线接入点设备的状态设置为不可接入状态。
4.如权利要求2所述的接入控制方法,其特征在于,所述接入允许控制功能通过接入允许按键开关设置,或者,通过配置管理接口来设置。
5.如权利要求1所述的接入控制方法,其特征在于,所述无线接入点设备的默认状态为不可接入状态。
6.如权利要求1所述的接入控制方法,其特征在于,所述步骤(f)进一步包括:
所述无线接入点设备返回认证响应消息给所述无线移动终端;
所述无线移动终端向所述无线接入点设备发送关联请求消息;
所述无线接入点设备返回关联响应消息给所述无线移动终端。
7.如权利要求1或6所述的接入控制方法,其特征在于,所述无线移动终端通过开放系统认证机制或者共享密钥认证机制在所述无线接入点设备上进行认证。
8.如权利要求1或6所述的接入控制方法,其特征在于,所述无线移动终端与所述无线接入点设备之间的交互遵循电气和电子工程师协会IEEE802.11协议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100027850A CN101217805B (zh) | 2008-01-21 | 2008-01-21 | 一种无线局域网的接入控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100027850A CN101217805B (zh) | 2008-01-21 | 2008-01-21 | 一种无线局域网的接入控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101217805A CN101217805A (zh) | 2008-07-09 |
CN101217805B true CN101217805B (zh) | 2011-08-10 |
Family
ID=39624147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100027850A Active CN101217805B (zh) | 2008-01-21 | 2008-01-21 | 一种无线局域网的接入控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101217805B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104168554A (zh) * | 2014-07-21 | 2014-11-26 | 杭州华三通信技术有限公司 | 一种ac与sta进行通信的方法及设备 |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101835257A (zh) * | 2010-04-27 | 2010-09-15 | 中兴通讯股份有限公司 | 一种应用于家庭信息机的注册方法及家庭信息机 |
CN101902741B (zh) * | 2010-07-21 | 2014-07-02 | 中兴通讯股份有限公司 | 移动终端及其接入网络的方法 |
CN102905252B (zh) | 2011-07-26 | 2018-01-16 | 中兴通讯股份有限公司 | 无线局域网中标识分配方法及装置 |
CN103209411B (zh) * | 2012-01-17 | 2016-08-24 | 深圳市共进电子股份有限公司 | 无线网络防假冒接入的方法和装置 |
CN103516739B (zh) * | 2012-06-21 | 2018-10-26 | 中兴通讯股份有限公司 | Sta的剔除方法及装置 |
CN102811451B (zh) * | 2012-07-23 | 2015-06-17 | 福建星网锐捷网络有限公司 | 一种Capwap隧道连接控制方法及装置 |
CN104735727B (zh) * | 2013-12-24 | 2019-02-22 | 中国移动通信集团辽宁有限公司 | 一种基于信号检测的无线局域网分流方法及装置 |
CN103916325A (zh) * | 2014-04-09 | 2014-07-09 | 汕头市奥斯卡网络科技有限公司 | 一种基于硬件开关电路的安全路由器 |
CN104902473A (zh) * | 2014-04-21 | 2015-09-09 | 孟俊 | 一种基于cpk标识认证的无线网络接入认证的方法及装置 |
CN104038939B (zh) * | 2014-06-20 | 2017-10-13 | 珠海市君天电子科技有限公司 | 一种无线ap的身份识别方法及终端 |
CN104185181A (zh) * | 2014-08-20 | 2014-12-03 | 成都千牛信息技术有限公司 | 一种基于iptables的WiFi用户接入控制方法 |
CN104394531A (zh) * | 2014-10-08 | 2015-03-04 | 无锡指网生物识别科技有限公司 | 终端设备的无线网络连接方法 |
CN104394178A (zh) * | 2014-12-18 | 2015-03-04 | 上海市共进通信技术有限公司 | 实现无线局域网快速访问控制的系统及方法 |
CN104812019B (zh) * | 2015-03-13 | 2019-02-22 | 深信服网络科技(深圳)有限公司 | 无线网络的接入方法、无线接入设备及无线控制设备 |
CN104935596B (zh) * | 2015-06-16 | 2018-06-26 | 努比亚技术有限公司 | 一种通信安全处理方法及系统 |
CN105516976A (zh) * | 2015-11-26 | 2016-04-20 | 苏州集联微电子科技有限公司 | 一种非密码式授权无线设备接入Internet的方法 |
CN105262597B (zh) * | 2015-11-30 | 2018-10-19 | 中国联合网络通信集团有限公司 | 网络接入认证方法、客户终端、接入设备及认证设备 |
CN106211351B (zh) * | 2016-07-22 | 2019-07-12 | 中国船舶重工集团公司第七二四研究所 | 一种雷达协同节点随遇接入方法 |
CN106060818A (zh) * | 2016-07-28 | 2016-10-26 | 上海斐讯数据通信技术有限公司 | 连接路由器的方法及路由器 |
CN106231686A (zh) * | 2016-07-28 | 2016-12-14 | 上海斐讯数据通信技术有限公司 | 防蹭网装置、系统及连接路由器的方法 |
CN106851642A (zh) * | 2017-02-16 | 2017-06-13 | 深圳市欣博跃电子有限公司 | 无线上网授权方法及装置 |
CN107148021A (zh) * | 2017-05-27 | 2017-09-08 | 上海斐讯数据通信技术有限公司 | 一种无线接入认证方法及一种无线接入设备 |
CN108712419A (zh) * | 2018-05-18 | 2018-10-26 | 迈普通信技术股份有限公司 | 一种终端授权认证方法、系统及aaa服务器 |
CN112019653B (zh) * | 2020-09-09 | 2022-08-12 | 迈普通信技术股份有限公司 | 接入交换机、ip地址部署方法、装置及可读存储介质 |
CN114598519B (zh) * | 2022-03-02 | 2024-04-12 | 深圳市和为顺网络技术有限公司 | 一种支持终端不掉线设置黑白名单的方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842000A (zh) * | 2005-03-29 | 2006-10-04 | 华为技术有限公司 | 实现无线局域网接入认证的方法 |
CN101192916A (zh) * | 2006-11-23 | 2008-06-04 | 华为技术有限公司 | 无线接入方法及无线接入设备 |
-
2008
- 2008-01-21 CN CN2008100027850A patent/CN101217805B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842000A (zh) * | 2005-03-29 | 2006-10-04 | 华为技术有限公司 | 实现无线局域网接入认证的方法 |
CN101192916A (zh) * | 2006-11-23 | 2008-06-04 | 华为技术有限公司 | 无线接入方法及无线接入设备 |
Non-Patent Citations (3)
Title |
---|
同上. |
马晓燕.基于IEEE802.11无线接入的研究和实现.中国优秀博硕士学位论文全文数据库(硕士)信息科技辑 2007年第1期,ISSN1671-6779.2007,(2007年第1期,ISSN1671-6779),第15页. |
马晓燕.基于IEEE802.11无线接入的研究和实现.中国优秀博硕士学位论文全文数据库(硕士)信息科技辑 2007年第1期,ISSN1671-6779.2007,(2007年第1期,ISSN1671-6779),第15页. * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104168554A (zh) * | 2014-07-21 | 2014-11-26 | 杭州华三通信技术有限公司 | 一种ac与sta进行通信的方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101217805A (zh) | 2008-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101217805B (zh) | 一种无线局域网的接入控制方法 | |
EP1589695B1 (en) | A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
WO2018177188A1 (zh) | 一种基于智能门锁系统的安全通信方法及其智能门锁系统 | |
CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
JP4621200B2 (ja) | 通信装置、通信システム及び認証方法 | |
KR100680177B1 (ko) | 홈 네트워크 외부에서 사용자를 인증하는 방법 | |
US7689211B2 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
Frankel et al. | Establishing wireless robust security networks: a guide to IEEE 802.11 i | |
JP2006345205A (ja) | 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置 | |
CN105828332A (zh) | 一种无线局域网认证机制的改进方法 | |
JP7337912B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
CN109920100A (zh) | 一种智能锁开锁方法及系统 | |
CN112640385A (zh) | 非3gpp设备对核心网络的接入 | |
CN105763517A (zh) | 一种路由器安全接入和控制的方法及系统 | |
KR101319586B1 (ko) | 클라우드 컴퓨팅 시스템 및 클라이언트 인증방법 | |
CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
Sharma et al. | A review on wireless network security | |
CN105812338A (zh) | 一种数据访问管控方法及网络管理设备 | |
Hoeper et al. | Where EAP security claims fail | |
WO2005071922A1 (en) | Method for authentication of external apparatuses in home or wireless networks | |
KR101451163B1 (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
US11139965B2 (en) | Building or enclosure termination closing and/or opening apparatus, and method for operating a building or enclosure termination | |
Bodhe et al. | Wireless LAN security attacks and CCM protocol with some best practices in deployment of services | |
Alliance | The State of Wi-Fi® Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |