一种接入认证方法及装置
技术领域
本发明涉及网络技术领域,尤其涉及一种接入认证方法及装置。
背景技术
随着无线局域网技术的发展,各种无线接入设备也逐渐深入人们的生活。由于无线局域网有一定的有效范围,为了防止其他用户蹭网或者进行无线攻击,家用的无线局域网通常会设置认证方案,例如接入无线局域网时可采用“SSID(Service Set Identifier,服务集标识)+密码”的组合方式来进行认证。
在不降低安全性的前提下,现有的认证方法在用户首次认证时,都不可避免的要通过用户手动输入预设的认证信息来完成接入认证,因此导致首次接入认证的认证过程复杂,造成较差的用户体验。
发明内容
有鉴于此,本发明提供一种接入认证方法及装置,来解决首次接入认证过程复杂的问题。
具体地,本发明是通过如下技术方案实现的:
一种接入认证方法,所述方法应用于智能网关,所述方法包括:
接收接入认证报文,根据所述接入认证报文获取终端设备的距离参数;
根据预设认证策略选择所述距离参数对应的认证方式;
根据所述认证方式对该终端设备进行接入认证。
进一步的,所述接收接入认证报文,包括:
接收终端设备发送的或者已向所述智能网关注册的中继设备转发的接入认证报文。
进一步的,所述距离参数为无线信号物理参数,其中包括:信号强度、信号质量、时间偏移、频率偏移、信号入射角度。
进一步的,所述根据预设认证策略选择所述距离参数对应的认证方式,包括:
根据向所述智能网关注册的中继设备的数量选择相应的区域划分方案;
根据所述区域划分方案判断所述距离参数所在的认证区域;
选择所述认证区域对应的认证方式。
进一步的,所述根据向所述智能网关注册的中继设备的数量选择相应的区域划分方案,包括:
当所述中继设备的数量为零时,所述区域划分方案包括:以所述智能网关为圆心,以预设的第一距离为半径,所形成的圆形区域为第一认证区域;以所述智能网关为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的环形区域为第二认证区域;以所述第一认证区域和所述第二认证区域以外的区域为第三认证区域;
当所述中继设备的数量大于零时,所述区域划分方案包括:分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为半径,所形成的多个圆形区域的集合为第一认证区域;分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的多个环形区域的集合为第二认证区域;以所述第一认证区域和所述第二认证区域以外的区域为第三认证区域。
进一步的,所述选择所述认证区域对应的认证方式,包括:
当认证区域为第一认证区域时,选择的认证方式为免认证;
当认证区域为第二认证区域时,选择的认证方式为管理员认证;
当认证区域为第三认证区域时,选择的认证方式为密码认证。
基于相同的构思,本发明还提供一种接入认证装置,所述装置应用于智能网关,所述装置包括:
报文接收单元,用于接收接入认证报文,根据所述接入认证报文获取终端设备的距离参数;
方式选择单元,用于根据预设认证策略选择所述距离参数对应的认证方式;
接入认证单元,用于根据所述认证方式对该终端设备进行接入认证。
进一步的,所述报文接收单元,具体用于接收终端设备发送的或者已向所述智能网关注册的中继设备转发的接入认证报文。
进一步的,所述距离参数为无线信号物理参数,其中包括:信号强度、信号质量、时间偏移、频率偏移、信号入射角度。
进一步的,所述方式选择单元,包括:
方案选择子单元,用于根据向所述智能网关注册的中继设备的数量选择相应的区域划分方案;
区域判断子单元,用于根据所述区域划分方案判断所述距离参数所在的认证区域;
方式选择子单元,用于选择所述认证区域对应的认证方式。
进一步的,所述方案选择子单元具体用于:
当所述中继设备的数量为零时,所述区域划分方案包括:以所述智能网关为圆心,以预设的第一距离为半径,所形成的圆形区域为第一认证区域;以所述智能网关为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的环形区域为第二认证区域;以所述第一认证区域和所述第二认证区域以外的区域为第三认证区域;
当所述中继设备的数量大于零时,所述区域划分方案包括:分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为半径,所形成的多个圆形区域的集合为第一认证区域;分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的多个环形区域的集合为第二认证区域;以所述第一认证区域和所述第二认证区域以外的区域为第三认证区域。
进一步的,所述方式选择子单元具体用于:
在认证区域为第一认证区域时,选择的认证方式为免认证;
在认证区域为第二认证区域时,选择的认证方式为管理员认证;
在认证区域为第三认证区域时,选择的认证方式为密码认证。
由此可见,本发明的接入认证方法可通过终端设备的距离参数来选择相应的认证方式,并按照所选的认证方式进行接入认证。因此当终端设备位于管理员设置的安全区域时,可以对该终端设备采取免认证方式。从而本发明可以在不降低安全性的前提下,简化接入认证操作,并可以根据用户实际需求进行方案调整,提升用户体验。
附图说明
图1是本发明一种示例性实施方式中的组网架构图;
图2是本发明一种示例性实施方式中的一种接入认证方法的处理流程图;
图3是本发明一种示例性实施方式中的区域划分示意图;
图4是本发明一种示例性实施方式中的接入认证方法的交互流程图;
图5是本发明一种示例性实施方式中接入认证装置所在的智能网关的硬件结构图;
图6是本发明一种示例性实施方式中的一种接入认证装置的逻辑结构图。
具体实施方式
请参见图1,是本发明一种示例性实施方式中的组网架构图,家用的智能网关与家用的中继设备之间建立了无线连接。其中,智能网关主要用于解决各种无线协议模块之间的数据传输,接收家庭网络信息后,处理并传输到外网,同时把外网的控制信息传输到相应的智能家居部件上。中继设备即无线网关或网桥设备,接入中继设备的认证过程一般需要在认证服务器或者支持认证功能的控制器配合下实现。在传统的家用无线局域网中通常采用“SSID+密码”的组合方式来进行接入认证。但在用户首次认证时,都不可避免的要通过用户手动输入预设的认证信息来完成接入认证,因此导致首次接入认证的认证过程复杂,造成较差的用户体验。
为了解决上述问题,本发明的接入认证方法可通过终端设备的距离参数来选择相应的认证方式,并按照所选的认证方式进行接入认证。因此当终端设备位于管理员设置的安全区域时,可以对该终端设备采取免认证方式,从而可以在不降低安全性的前提下,简化接入认证操作,提升用户体验。
请参考图2,是本发明一种示例性实施方式中的一种无线接入认证方法的处理流程图,该方法应用于智能网关,所述方法包括:
步骤201、接收接入认证报文,根据所述接入认证报文获取终端设备的距离参数;
在本发明的实施例中,当终端设备请求接入该智能网关时,智能网关可以收到该终端设备发送的接入认证报文,智能网关根据该接入认证报文中的源MAC(Media AccessControl,媒体访问控制)地址,即该终端设备的MAC地址,来查找该终端设备对应的距离参数。
在本发明可选的实施例中,终端设备还可以选择通过接入已在智能网关上注册的中继设备来连接外网。当终端设备请求接入该中继设备时,会向该中继设备发送接入请求报文,该中继设备收到后将该接入认证报文转发给智能网关。因此该智能网关可以接收到中继设备发送的接入认证报文,并获取接入认证报文中的终端设备的MAC地址,然后根据该MAC地址查找请求接入所述中继设备的终端设备对应的距离参数。
需要说明的是,本发明中的距离参数并非指终端设备与智能网关的物理距离,而是依附于理论距离的相关参数,这些参数一般会随理论距离变大而变小,通常情况下,理论距离与物理距离成正比关系,但若信号传输过程中有障碍物,则障碍物会消弱距离参数的强度,则此时的理论距离要在排除障碍物带来的距离参数的损耗的情况下得出,则在有障碍物时,理论距离大于物理距离。例如终端设备A距离智能网关的物理距离为10米且中间没有信号障碍物,终端设备B距离智能网关的物理距离为8米且中间设有信号障碍物,如墙壁,那么终端设备A对应的理论距离可能小于终端设备B对应的理论距离。
在本发明可选的实施例中,距离参数可以用无线信号物理参数来表示,无线信号物理参数包括:信号强度、信号质量、时间偏移、频率偏移、信号入射角度等。实际应用中可以从中选取一种或多种参数组合作为实际的距离参数使用。
步骤202、根据预设认证策略选择所述距离参数对应的认证方式;
在本实施例中智能网关可以根据预设认证策略来选择终端设备的距离参数对应的认证方式。
在本发明可选的实施例中,该智能网关首先可以根据该智能网关上中继设备的注册数量选择相应的区域划分方案。
当该智能网关上中继设备的注册数量为0时,第一认证区域通常是以智能网关为圆心,以管理员设置的第一距离为半径的圆形区域,通常第一认证区域也被认为免认证区域;第二认证区域可以所述智能网关为圆心,以该第一距离为内径,以预设的第二距离为外径,形成的环形区域,即管理员认证区域;在第一认证区域和第二认证区域以外的区域为第三认证区域,即密码认证区域。由于本发明方案基本是依据离智能网关越近越安全的想法,因此上述第一距离通常小于第二距离。需要说明的是,所述距离均为理论距离,并非实际距离。
除此之外,当该智能网关上中继设备的注册数量大于0时,第一认证区域通常分别是以智能网关及各个中继设备为圆心,以管理员设置的第一距离为半径的多个圆形区域;第二认证区域是分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的多个环形区域的集合;第三认证区域是在所述第一认证区域和所述第二认证区域以外的区域。由此可知该智能网关上注册的中继设备的数量越多,相应认证级别所覆盖的认证区域范围就越大。具体区域划分方案可以根据实际应用场景而定,此处不做限制。当确定区域划分方案后,该智能网关可以根据所述区域划分方案判断所述距离参数所在的认证区域。之后终端设备可以选择所述认证区域对应的认证方式。
在本发明可选的实施例中,当该距离参数位于第一认证区域时,该智能网关为该终端设备选择的认证方式为免认证;当该距离参数位于第二认证区域时,该智能网关为该终端设备选择的认证方式为管理员认证,例如由管理员通过控制器或智能网关进行认证,所述控制器通常与智能网关进行绑定,管理员的手机、手环等智能设备均可以作为控制器使用;当该距离参数位于第三认证区域时,该智能网关为该终端设备选择的认证方式为密码认证。
步骤203、根据所述认证方式对该终端设备进行接入认证。
智能网关在为该终端设备选择相应的认证方式后,可以按照该认证方式的具体要求进行接入认证。
在本发明可选的实施例中,当该终端设备对应认证方式为免认证时,则该智能网关可以将其网络访问权限开放给该终端设备;当该终端设备对应认证方式为管理员认证时,则该智能网关可以向控制器发出消息,以(包括但不限于)手机APP(Application,应用程序)消息或者手环震动方法提示管理员进行控制器认证,只有管理员在控制器一侧通过预设的认证方法(例如点击手机屏幕、在手机屏幕输入特殊图形、点击手环表面、通过特殊手势使手机或者手环传感器得到特殊预设指令等)执行允许操作后,该智能网关才能向该终端设备开放网络访问权限;另外,当控制器不在线时,本发明还可以通过智能网关以(包括但不限于)LED(Light Emitting Diode,发光二极管)灯按照特定频率闪烁等方法,提示管理员进行按键认证,只有管理员在该智能网关通过逻辑可实现的方法(例如触碰触摸键、按下功能开关等)执行允许操作后,该智能网关才能向该终端设备开放网络访问权限;当该终端设备对应认证方式为密码认证时,该智能网关可向终端设备发出HTTP(HypertextTransfer Protocol,超文本传输协议)重定向报文,触发该终端设备开启内置浏览器访问智能网关认证互联网WEB页面,只有该终端设备在所述WEB页面提交用户名和密码,并由智能网关在后台数据库匹配成功后,才能获取网络访问权限。
进一步的,管理员可以在后台数据库中设置可访问的用户列表,因此当终端设备的用户名和密码与该可访问的用户列表相匹配时,才能够允许该终端设备通过接入认证,从而可提高认证安全性。
由此可见,本发明的接入认证方法可通过终端设备的距离参数来选择相应的认证方式,并按照所选的认证方式进行接入认证。因此当终端设备位于管理员设置的安全区域时,可以对该终端设备采取免认证方式。从而本发明可以在不降低安全性的前提下,简化接入认证操作,并可以根据用户实际需求进行方案调整,提升用户体验。
为使本发明的目的、技术方案及优点更加清楚明白,以下基于图1的组网架构,对本发明所述方案作进一步地详细说明。
假设用户购买了1套H3C子母机方案,即1台智能网关加1台中继设备,进行家庭无线覆盖,其中智能网关部署在客厅,中继设备部署在卧室,该中继设备可通过CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点的控制和配置协议)或者厂商私有控制协议在该智能网关上进行注册。以厂商私有控制协议为例,具体来说,该中继设备首先通过私有通道发送DHCP DISCOVER报文并在原报文的基础上新增“Option 208:UNI ID”字段,用来标示私有协议;智能网关根据DHCPDISCOVER报文应答DHCP OFFER报文,并在原报文的基础上新增“Option208:UNI ID”字段;中继设备再私有通道发送DHCP REQUEST报文在原有报文的基础上新增Option信息:Option200:软件版本号;Option 201:配置校验码;Option 202:条码SN;Option 205:无线使能;Option 206:发射功率;Option 207:信道;Option 208:UNI ID等信息;智能网关应答DHCPACK报文,在原报文的基础上新增“Option 208:UNI ID”字段。因此,智能网关可以获取该中继设备的版本信息、配置文件校验码、运行状态和条码SN等信息,从而实现对中继设备的监管。
该用户将所购买的蓝牙手环用于控制器,并与智能网关绑定,例如在智能网关上记录该手环的蓝牙地址。当客人来访时,希望手机(图1中的终端设备)能够获取这个家庭的无线局域网访问权限,快捷的接入方法有两种:
第一种方法,客人携带手机靠近放置在客厅的智能网关,如图3中A处。手机、智能网关的接入认证过程如下:
智能网关按照信标间隔时槽Beacon Interval发送Beacon报文,其中携带自身的SSID,认证方式为不加密。
手机开启无线功能后,在ISM频道(Industrial Scientific Medical,目前为2.4G和5G)内持续监听,当收到智能网关的Beacon报文时,将智能网关的SSID加入手机的无线信道列表。之后手机发送广播探测请求Probe Request报文,其中加入该智能网关的SSID。
智能网关收到手机发送的Probe Request报文后,根据Probe Request报文源MAC地址信息查找该手机的距离参数,如RSSI(Received Signal Strength Indication接收的信号强度)值,并根据中继设备的注册数量选择划分的认证区域,进一步选择该手机对应的认证方式。已知智能网关上注册了一台中继设备,因此可以选择认证区域的划分方案如图3所示,其中第一认证区域为免认证区域,第二认证区域为管理员认证区域,第三认证区域为密码认证区域。智能网关对手机RSSI值进行绝对值计算后,与设置认证区域的第一阈值和第二阈值进行比较,其中第一阈值的绝对值小于第二阈值的绝对值,由于该手机位于图3中的A处,因此手机的RSSI值的绝对值小于第一阈值的绝对值,因此智能网关可以判断该手机处于第一认证区域,即免认证区域。因此智能网关回应探测响应Probe Response报文提供智能网关管理的无线网络信息,以使该手机能够获取到所有的网络访问权限,并接入智能网关管理的无线局域网。
第二种方法,客人携带手机在图3中的B处。手机、智能网关、手环的交互过程如图4所示,其中包括:
手机根据前述方式获取该智能网关对应的SSID,构建并向该智能网关发送ProbeRequest报文,请求接入无线局域网。
智能网关收到手机发送的Probe Request报文后,根据Probe Request报文源MAC地址信息查找该手机的距离参数,如RSSI值,并根据中继设备的注册数量选择划分的认证区域,进一步选择该手机对应的认证方式。已知智能网关上注册了一台中继设备,因此可以选择认证区域的划分方案如图3所示。智能网关对手机RSSI值进行绝对值计算后,与设置认证区域的第一阈值和第二阈值进行比较,其中第一阈值的绝对值小于第二阈值的绝对值,由于该手机位于图3中的B处,因此手机的RSSI值的绝对值大于第一阈值的绝对值且小于第二阈值的绝对值,因此智能网关可以判断该手机处于第二认证区域,即管理员认证区域。
该智能网关向手环发送认证请求消息,例如通过手环连续震动三次,来提示并要求管理员进行确认。管理员可以是该家庭中的成员,管理员在收到认证请求消息时,需要主观判断该手机及其所有者是否为安全的用户,如果是,则进行允许操作,如果不是,则不反馈。如果管理员进行允许操作,例如轻拍手环,则允许该手机端获取所有的网络访问权限。
如果手环不在线,则可以控制智能网关上的LED灯按照特定频率闪烁、颜色变化等方式,提示并要求管理员进行确认。如果获得管理员确认该手机安全,则可通过短按智能网关触摸键或者按下智能网关物理开关的方法,允许手机获取所有的网络访问权限。
当非法用户在房间外即第三认证区域,尝试通过蹭网方式接入无线局域网时,必须输入管理员预设的合法的用户名和密码,否则无法接入无线局域网。
由此可见,本发明的接入认证方法可通过终端设备的距离参数来选择相应的认证方式,并按照所选的认证方式进行接入认证。因此当终端设备位于管理员设置的安全区域时,可以对该终端设备采取免认证方式。从而本发明可以在不降低安全性的前提下,简化接入认证操作,并可以根据用户实际需求进行方案调整,提升用户体验。
基于相同的构思,本发明还提供一种接入认证装置,所述装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的接入认证装置作为一个逻辑意义上的装置,是通过其所在智能网关的CPU读取存储器中对应的计算机程序指令后运行而成。
请参考图5及图6,是本发明一种示例性实施方式中的一种接入认证装置600,所述装置应用于智能网关,所述装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,所述装置600包括:
报文接收单元601,用于接收接入认证报文,根据所述接入认证报文获取终端设备的距离参数;
方式选择单元602,用于根据预设认证策略选择所述距离参数对应的认证方式;
接入认证单元603,用于根据所述认证方式对该终端设备进行接入认证。
可选的,所述报文接收单元601,具体用于接收终端设备发送的或者已向所述智能网关注册的中继设备转发的接入认证报文。
可选的,所述距离参数为无线信号物理参数,包括:
信号强度、信号质量、时间偏移、频率偏移、信号入射角度。
可选的,所述方式选择单元602,包括:
方案选择子单元6021,用于根据向所述智能网关注册的中继设备的数量选择相应的区域划分方案;
区域判断子单元6022,用于根据所述区域划分方案判断所述距离参数所在的认证区域;
方式选择子单元6023,用于选择所述认证区域对应的认证方式。
可选的,所述方案选择子单元6021具体用于:
当所述中继设备的数量为零时,所述区域划分方案包括:以所述智能网关为圆心,以预设的第一距离为半径,所形成的圆形区域为第一认证区域;以所述智能网关为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的环形区域为第二认证区域;以所述第一认证区域和所述第二认证区域以外的区域为第三认证区域;
当所述中继设备的数量大于零时,所述区域划分方案包括:分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为半径,所形成的多个圆形区域的集合为第一认证区域;分别以所述智能网关和每个中继设备为圆心,以预设的第一距离为内径,以预设的第二距离为外径,所形成的多个环形区域的集合为第二认证区域;以所述第一认证区域和所述第二认证区域以外的区域为第三认证区域。
可选的,所述方式选择子单元6023,具体用于:
在认证区域为第一认证区域时,选择的认证方式为免认证;
在认证区域为第二认证区域时,选择的认证方式为管理员认证;
在认证区域为第三认证区域时,选择的认证方式为密码认证。
综上所述,本发明的接入认证方法可通过终端设备的距离参数来选择相应的认证方式,并按照所选的认证方式进行接入认证。因此当终端设备位于管理员设置的安全区域时,可以对该终端设备采取免认证方式。从而本发明可以在不降低安全性的前提下,简化接入认证操作,并可以根据用户实际需求进行方案调整,提升用户体验。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。