CN104936181B - 一种连接指定ap的接入认证方法及装置 - Google Patents
一种连接指定ap的接入认证方法及装置 Download PDFInfo
- Publication number
- CN104936181B CN104936181B CN201510367276.8A CN201510367276A CN104936181B CN 104936181 B CN104936181 B CN 104936181B CN 201510367276 A CN201510367276 A CN 201510367276A CN 104936181 B CN104936181 B CN 104936181B
- Authority
- CN
- China
- Prior art keywords
- terminal device
- mac address
- sent
- access
- addressable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种连接指定AP的接入认证方法及装置,所述方法包括:AC根据AP上送的终端设备的第一请求报文,向认证服务器发起认证;判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏SSID发送至所述终端设备;当所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;当收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种连接指定AP的接入认证方法及装置。
背景技术
电子书包是典型的校园WiFi(Wireless-Fidelity,无线保真)应用之一,其基本原理是学生使用平板电脑等终端设备通过WiFi连接到其所在教室的AP(Wireless AccessPoint,无线访问接入点),然后通过AP绑定的多媒体设备将终端设备中的多媒体内容投射到该教室的显示设备上,从而实现电子教学。
但在应用过程中,由于终端设备通常会根据信号强度来自动选择接入的AP,而学校通常采用统一的SSID(Service Set Identifier,服务集标识)部署,即每个教室部署的AP均为统一的SSID,因此在WiFi信号开放的前提下,无法控制在本班上课的学生能够连接到本教室的AP,由此造成投射混乱的问题。
发明内容
有鉴于此,本发明提供一种连接指定AP的接入认证方法及装置,来解决因无法控制在本班上课的学生能够连接到本教室的AP,而造成的投射混乱问题。
具体地,本发明是通过如下技术方案实现的:
一种连接指定AP的接入认证方法,所述方法应用于AC,所述方法包括:
根据无线访问接入点AP上送的终端设备的第一请求报文,向认证服务器发起认证;
判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏服务集标识SSID发送至所述终端设备;
当所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;
将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;
当收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。
进一步的,所述方法还包括:
接收入口Portal服务器发送的第二请求报文,所述第二请求报文包括终端设备的MAC地址以及认证信息;
根据所述终端设备的MAC地址和所述认证信息,向所述认证服务器发起认证,以使所述认证服务器在所述认证信息验证成功时,将所述终端设备的MAC地址与所述终端设备的可访问AP信息进行绑定。
进一步的,当所述第一请求报文包括所述终端设备的MAC地址时,所述判断所述AP是否为所述终端设备的可访问AP,包括:
接收所述认证服务器下发的所述终端设备的MAC地址对应的可访问AP信息,根据所述可访问AP信息判断所述AP是否为所述终端设备的可访问AP;
当所述第一请求报文包括所述终端设备的MAC地址和所述AP的MAC地址时,所述判断所述AP是否为所述终端设备的可访问AP,包括:
根据所述认证服务器下发的判断结果来确认所述AP是否为所述终端设备的可访问AP。
进一步的,所述判断所述AP为所述终端设备的可访问AP,具体为:
判断所述AP的MAC地址是否与所述可访问AP信息中的MAC地址相匹配;
在所述判断所述AP为所述终端设备的可访问AP之后,还包括:
若否,则向所述AP下发拒绝访问指令,以使所述AP不对所述终端设备进行回应。
进一步的,所述将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,具体为:
通过radius报文将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,其中,所述终端设备的MAC地址携带于radius报文的用户名属性和密码属性中,所述AP的MAC地址携带于所述radius报文的radius属性中。
基于相同的构思,本发明还提供一种连接指定AP的接入认证方法,所述方法应用于AP,所述方法包括:
将终端设备的第一请求报文发送到AC;
当所述AP为所述终端设备的可访问AP时,接收AC下发的允许访问指令,并根据所述允许访问指令将隐藏SSID发送至所述终端设备;
当收到所述终端设备通过所述隐藏SSID发送的第二请求报文时,将所述终端设备的MAC地址和所述AP的MAC地址发送到所述AC;
当收到AC下发的允许接入指令时,与所述终端设备进行连接。
基于相同的构思,本发明还提供一种连接指定AP的接入认证装置,所述装置应用于AC,所述装置包括:
第一发送单元,用于根据AP上送的终端设备的第一请求报文,向认证服务器发起认证;
访问判断单元,用于判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏SSID发送至所述终端设备;
第一接收单元,用于在所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;
第二发送单元,用于将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;
指令下发单元,用于在收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。
进一步的,所述装置还包括:
第二接收单元,用于接收入口Portal服务器发送的第二请求报文,所述第二请求报文包括终端设备的MAC地址以及认证信息;
第三发送单元,用于根据所述终端设备的MAC地址和所述认证信息,向所述认证服务器发起认证,以使所述认证服务器在所述认证信息验证成功时,将所述终端设备的MAC地址与所述终端设备的可访问AP信息进行绑定。
进一步的,当所述第一请求报文包括所述终端设备的MAC地址时,所述访问判断单元,具体用于接收所述认证服务器下发的所述终端设备的MAC地址对应的可访问AP信息,根据所述可访问AP信息判断所述AP是否为所述终端设备的可访问AP;
当所述第一请求报文包括所述终端设备的MAC地址和所述AP的MAC地址时,所述访问判断单元,具体用于根据所述认证服务器下发的判断结果来确认所述AP是否为所述终端设备的可访问AP。
进一步的,所述访问判断单元,具体用于判断所述AP的MAC地址是否与所述可访问AP信息中的MAC地址相匹配;
所述访问判断单元,还用于在所述AP的MAC地址与所述可访问AP信息中的MAC地址不匹配时,向所述AP下发拒绝访问指令,以使所述AP不对所述终端设备进行回应。
进一步的,所述第二发送单元,具体用于通过radius报文将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,其中,所述终端设备的MAC地址携带于radius报文的用户名属性和密码属性中,所述AP的MAC地址携带于所述radius报文的radius属性中。
基于相同的构思,本发明还提供一种连接指定AP的接入认证装置,所述装置应用于AP,所述装置包括:
第一发送单元,用于将终端设备的第一请求报文发送到AC;
指令接收单元,用于在所述AP为所述终端设备的可访问AP时,接收AC下发的允许访问指令,并根据所述允许访问指令将隐藏SSID发送至所述终端设备;
第二发送单元,用于在收到所述终端设备通过所述隐藏SSID发送的第二请求报文时,将所述终端设备的MAC地址和所述AP的MAC地址发送到所述AC;
设备连接单元,用于在收到AC下发的允许接入指令时,与所述终端设备进行连接。
由此可见,本发明可以先将AP的指定SSID隐藏,当终端设备请求接入的AP为可访问AP时,再使该AP将指定SSID发送给终端设备,以使终端设备向指定SSID的AP发送接入请求,并在认证通过后接入指定SSID对应的AP。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
附图说明
图1是本发明一种示例性实施方式中的电子教学组网架构图;
图2是本发明一种示例性实施方式中的一种连接指定AP的接入认证方法的处理流程图;
图3是本发明一种示例性实施方式中的另一种连接指定AP的接入认证方法的处理流程图;
图4是本发明一种示例性实施方式中的连接指定AP的接入认证方法的交互流程图;
图5a是本发明一种示例性实施方式中连接指定AP的接入认证装置所在的AC的硬件结构图;
图5b是本发明一种示例性实施方式中的一种连接指定AP的接入认证装置的逻辑结构图;
图6a是本发明一种示例性实施方式中连接指定AP的接入认证装置所在的AP的硬件结构图;
图6b是本发明一种示例性实施方式中的另一种连接指定AP的接入认证装置的逻辑结构图。
具体实施方式
请参见图1,是本发明一种示例性实施方式中的电子教学组网架构图,其中AC负责控制教室1和教室2的无线接入认证过程;认证服务器和portal(入口)服务器分别协助AC(Access Controller,接入控制器)进行接入认证。每个教室中各部署一个AP,以及与该AP绑定的视频镜像传输设备和投射屏幕。AP用于发射WiFi信号,并在收到终端设备发送的接入请求时对该终端设备进行接入认证,认证成功后,该终端设备可以通过视频镜像传输设备向投射屏幕上投射多媒体文件,实现电子教学。AC与AP1、AP2之间的交换机用于将AP1、AP2发送的认证报文上送到AC,并将AC下发的指令转发到AP1、AP2。
传统的电子教学环境中,AP1、AP2通常被配置为统一的SSID,因此可能会导致当教室1中某学生的位置比较靠近教室2中部署的AP2时,收到的AP2的信号强度大于AP1,所以该学生的终端设备1会连接教室2中AP2,从而造成投射混乱。
为了解决上述问题,本发明可以通过先将AP的指定SSID(也可以成为隐藏SSID)隐藏,当终端设备请求接入的AP为可访问AP时,再使该AP将指定SSID发送给终端设备,以使终端设备向指定SSID的AP发送接入请求,并在认证通过后接入指定SSID对应的AP。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
请参考图2,是本发明一种示例性实施方式中的一种连接指定AP的接入认证方法的处理流程图,该方法应用于AC,该方法包括:
步骤201、根据AP上送的终端设备的第一请求报文,向认证服务器发起认证;
在本实施例中,由于AP的指定SSID被隐藏,因此管理员可以预先为AP设置另一个可见SSID,当终端设备通过扫描到的可见SSID向AP发送第一请求报文时,AP可将该第一请求报文发送至AC。当AC接收到AP发送的第一请求报文时,根据该第一请求报文向认证服务器发起认证,具体可以通过将该第一请求报文中的终端设备的MAC地址及认证信息添加到radius报文的radius属性中,向认证服务器发起radius认证,从而可利用认证服务器判断该AP是否为终端设备的可访问AP。
步骤202、判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏SSID发送至所述终端设备;
在本实施例中,终端设备MAC地址可与该终端设备的可访问AP信息预先在认证服务器上完成了绑定。具体的绑定过程可以通过以下方式实现:
当终端设备首次通过可见SSID对应的AP接入网络时,会进行Portal认证,用户输入用户名和密码,并将该用户名和密码发送给Portal服务器,在发送时还会携带终端设备的MAC地址。之后Portal服务器向AC发送该第二请求报文,发起Portal认证,该第二请求报文包括该终端设备的MAC地址以及认证信息,例如用户名和密码。再由AC根据终端设备的MAC地址以及认证信息向认证服务器发起认证,以使该认证服务器在对终端设备的认证信息验证成功时,将该终端设备的MAC地址与该终端设备的可访问AP信息进行绑定。
在本实施例中,由于终端设备MAC地址与该终端设备的可访问AP信息预先在认证服务器上完成了绑定,因此AC可以根据该第一请求报文向认证服务器发起认证,来通过认证服务器判断该AP是否为该终端设备的可访问AP。
在本发明可选的实施例中,当该第一请求报文包括所述终端设备的MAC地址时,AC可以将所述终端设备的MAC地址发送到该认证服务器。由于用户的可访问AP通常是根据不同的账户来设置,一般环境中多个用户的终端设备可以访问同一账户对应的AP,因此认证服务器可以根据该终端设备的MAC地址获取该终端设备对应的账户,并根据该账户获取所述终端设备对应的可访问AP信息。之后,认证服务器可以将所述可访问AP信息下发到AC,以使AC根据所述可访问AP信息判断上述AP是否为该终端设备的可访问AP。
此外,当该第一请求报文包括该终端设备的MAC地址和该AP的MAC地址时,AC还可以将所述终端设备的MAC地址和AP的MAC地址都发送到该认证服务器。认证服务器根据终端设备的MAC地址获取该终端设备的可访问AP信息后,可以进一步根据该AP的MAC地址来判断该AP是否为所述终端设备的可访问AP,AC则可以根据该认证服务器下发的判断结果来确认所述AP是否为所述终端设备的可访问AP。
在本发明可选的实施例中,可访问AP信息通常包括可访问AP的MAC地址。因此可以通过判断AP的MAC地址是否与可访问AP信息中的MAC地址相匹配;若匹配,则可确定该AP为可访问AP。当AC确定终端设备请求连接的AP是可访问AP时,可以向该AP下发允许访问指令,以使该AP将隐藏SSID下发到该终端设备;若不匹配,则说明AP不是可访问AP。当终端设备请求连接的AP不是可访问AP时,AC可以向该AP下发拒绝访问指令,以使该AP不对所述终端设备进行回应。终端设备的访问请求若在预设时间周期内收不到回应,则可以重新扫描其他AP的可见SSID,重复上述认证过程,直至找到可访问的AP。因此可以减少用户的手动操作,提高接入认证效率。
步骤203、当所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;
在本实施例中,当终端设备向隐藏SSID对应的AP发送接入请求时,该AC可以接收隐藏SSID对应的AP发送所述终端设备的MAC地址和所述AP的MAC地址。
步骤204、将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;
在本实施例中,AC可将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,以使认证服务器根据终端设备的MAC地址和AP的MAC地址验证该AP是否为该终端设备的可访问AP,如果是则可以向所述AC返回认证通过指令。
在可选的实施例中,AC可以通过radius报文将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,其中,所述终端设备的MAC地址携带于radius报文的用户名属性和密码属性中,所述AP的MAC地址携带于所述radius报文的radius属性中,因此可以节省报文的带宽占用。
步骤205、当收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。
当AC收到认证服务器返回的认证通过指令时,可进一步向该AP下发允许接入指令,以使所述AP与该终端设备进行连接。
由此可见,本发明可以先将AP的指定SSID隐藏,当终端设备请求接入的AP为可访问AP时,再使该AP将指定SSID发送给终端设备,以使终端设备向指定SSID的AP发送接入请求,并在认证通过后接入指定SSID对应的AP。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
请参考图3,是本发明一种示例性实施方式中的另一种连接指定AP的接入认证方法的处理流程图,该方法应用于AP,该方法包括:
步骤301、将终端设备的第一请求报文发送到AC;
在本实施例中,当终端设备根据扫描到的可见SSID,向该AP发送第一请求报文时,AP可将该第一请求报文发送给AC,以使AC判断该AP是否为该终端设备的可访问AP。
步骤302、当所述AP为所述终端设备的可访问AP时,接收AC下发的允许访问指令,并根据所述允许访问指令将隐藏SSID发送至所述终端设备;
当AC确定终端设备请求连接的AP是可访问AP时,可以向该AP下发允许访问指令。AP收到所述允许访问指令后,可将自身的隐藏SSID下发到该终端设备。
步骤303、当收到所述终端设备通过所述隐藏SSID发送的第二请求报文时,将所述终端设备的MAC地址和所述AP的MAC地址发送到所述AC;
当终端设备向隐藏SSID对应的AP发送第二请求报文时,该AP可以将所述终端设备的MAC地址和自身的MAC地址发送到AC,以验证该AP是否为该终端设备的可访问AP。
步骤304、当收到AC下发的允许接入指令时,与所述终端设备进行连接。
当AP收到AC下发的允许接入指令时,可与该终端设备进行连接。
由此可见,本发明可以先将AP的指定SSID隐藏,当终端设备请求接入的AP为可访问AP时,再使该AP将指定SSID发送给终端设备,以使终端设备向指定SSID的AP发送接入请求,并在认证通过后接入指定SSID对应的AP。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
为使本发明的目的、技术方案及优点更加清楚明白,以下基于图1的组网架构,对本发明所述方案作进一步地详细说明。
根据本发明的接入认证方法,每个教室部署的AP都开放两个SSID:SSID1和SSID2,其中SSID1是通用的可见SSID,用来供学生注册自己的终端设备,AP发送的SSID1为明文信息,并对该SSID1上启用Web认证;SSID2是指定SSID,每个教室均不同,用户可通过SSID2访问用户所在教室中的Airplay资源,SSID2为隐藏SSID,即AP发送的Beacon里不携带该SSID2信息,并对该SSID2上启用MAC地址认证。假设AP1上配置的两个SSID分别为SSID1-1和SSID1-2;AP2上配置的两个SSID分别为SSID2-1和SSID2-2。此外,每个教室指定一个固定的账号N,供本班内上课的学生使用,如教室1的账号为N1、教室2的账号为N2,并且管理员会在认证服务器上预先配置账号N及其对应的可访问AP信息,例如账号N1的可访问AP为MAC1对应的AP1;账号N2的可访问AP为MAC2对应的AP2。
假设用户位于教室1中使用终端设备1进行接入认证,但由于该用户所在的位置离教室2中的AP2更近,因此该用户的终端设备1会主动接入AP2。根据本发明提供的接入认证方法,强制所述终端设备1接入AP1的处理流程如图4所示,其中包括:
用户通过终端设备1扫描到AP2对应的SSID2-1后,主动关联SSID2-1。由于SSID2-1上预先配置了portal认证规则,因此该用户需要在该终端设备的portal认证界面上输入所在教室的通用用户名和密码,来向portal服务器进行认证。由于该用户位于教室1,因此该用户在终端设备1上输入教室1对应的通用用户名和密码。portal服务器可将收到该终端设备1发送的教室1的通用用户名和密码以及该终端设备的MAC地址MAC0封装成portal认证报文发送到AC。
AC收到portal认证报文后,将教室1的通用用户名、密码以及MAC0等信息封装到第一Radius认证请求的属性字段中,发送到认证服务器。
认证服务器对第一Radius认证请求中的通用用户名、密码进行校验,验证成功后,将MAC0与教室1的账号N1以及该账号N1对应的可访问AP信息(MAC1)进行绑定。
用户主动断开终端设备1与SSID2-1的连接,并按照正常接入认证流程发起Proberequest广播报文,扫描AP。
由于该用户与AP2的距离最近,因此该用户的终端设备1可首先向AP2发送第一Probe Request报文,其中包括该终端设备1的MAC0。AP2收到该第一Probe Request报文后,将该第一Probe Request报文转发到AC。
AC接收AP2发送的第一Probe Request报文后,可获取该第一Probe Request报文中携带终端设备1的MAC0,之后再将终端设备1的MAC0封装到第二Radius认证请求中,发送到认证服务器。
认证服务器可根据第二Radius认证请求中的终端设备1的MAC0查询该MAC0绑定的帐号N1,并查找到其对应的可访问AP信息。由于该N1对应的可访问AP为AP1,其MAC地址为MAC1,则认证服务器可将查询到的可访问AP信息(MAC1)反馈给AC。
AC根据认证服务器返回的可访问AP信息(MAC1),判断该AP2是否为可访问AP。由于AP2的MAC地址为MAC2,与可访问AP信息不匹配,因此可以确定该AP2是不允许访问的AP,因此AC会下发指令到该AP2,使AP2对终端设备1不进行Probe Response回应。
终端设备1发现第一Probe Request报文没有收到响应,则继续扫描AP。然后向AP1发送第二Probe Request报文,其中包括该终端设备1的MAC0。AP1收到该第二ProbeRequest报文后,转发到AC。
AC接收AP1发送的第二Probe Request报文后,可获取该第二Probe Request报文中携带终端设备1的MAC0,之后AC再将终端设备1的MAC0封装到第三Radius认证请求中,发送到认证服务器。
认证服务器可根据第三Radius认证请求中的终端设备1的MAC0查询该MAC0绑定的帐号N1,并查找到其对应的可访问AP信息(MAC1),然后认证服务器可将查询到的可访问AP信息(MAC1)反馈给AC。
AC根据认证服务器返回的可访问AP信息,判断该AP1是否为可访问AP。当AC确定AP1是终端设备1允许访问的AP时,会将AP2的隐藏SSID1-2发送到终端设备。
随后用户可终端设备1向该AP1的SSID1-2发起单播连接请求。AP1收到对SSID1-2的连接请求后,转发到AC,其中包括该终端设备1的MAC0和该AP1的MAC1。
AC收到连接请求后,可以向认证服务器发起MAC认证请求,报文中用户名和密码这两个属性分别用终端设备1的MAC地址MAC0填充,AP1的MAC地址MAC1也被填写到radius属性字段中。
认证服务器根据收到MAC认证请求,校验MAC0绑定的账号N1,并判断AP1的MAC地址MAC 1是否和可访问AP信息中的MAC地址匹配。经判断,该AP1是该终端设备1可访问的AP,因此认证服务器可以返回认证通过指令给AC。
AC收到认证通过指令后,下发控制指令到AP1,允许AP1与终端设备1进行连接。因此,用户的终端设备1通过AP1的接入认证,可以正常上网并访问视频镜像传输设备1。
由此可见,本发明的AC可以先将AP的指定SSID隐藏,当终端设备请求接入的AP为可访问AP时,再将该AP的指定SSID发送给终端设备,以使终端设备向指定SSID的AP发送接入请求,并在认证通过后接入指定SSID对应的AP。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
基于相同的构思,本发明还提供一种连接指定AP的接入认证装置,所述装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的一种连接指定AP的接入认证装置作为一个逻辑意义上的装置,是通过其所在设备的CPU读取存储器中对应的计算机程序指令后运行而成。
请参考图5a及图5b,是本发明一种示例性实施方式中的一种连接指定AP的接入认证装置500,所述装置应用于AC,所述装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,所述装置500包括:
第一发送单元501,用于根据AP上送的终端设备的第一请求报文,向认证服务器发起认证;
访问判断单元502,用于判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏SSID发送至所述终端设备;
第一接收单元503,用于在所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;
第二发送单元504,用于将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;
指令下发单元505,用于在收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。
可选的,所述装置还包括:
第二接收单元506,用于接收入口Portal服务器发送的第二请求报文,所述第二请求报文包括终端设备的MAC地址以及认证信息;
第三发送单元507,用于根据所述终端设备的MAC地址和所述认证信息,向所述认证服务器发起认证,以使所述认证服务器在所述认证信息验证成功时,将所述终端设备的MAC地址与所述终端设备的可访问AP信息进行绑定。
可选的,当所述第一请求报文包括所述终端设备的MAC地址时,所述访问判断单元503,具体用于接收所述认证服务器下发的所述终端设备的MAC地址对应的可访问AP信息,根据所述可访问AP信息判断所述AP是否为所述终端设备的可访问AP;
当所述第一请求报文包括所述终端设备的MAC地址和所述AP的MAC地址时,所述访问判断单元502,具体用于根据所述认证服务器下发的判断结果来确认所述AP是否为所述终端设备的可访问AP。
可选的,所述访问判断单元502,具体用于判断所述AP的MAC地址是否与所述可访问AP信息中的MAC地址相匹配;
所述访问判断单元502,还用于在所述AP的MAC地址与所述可访问AP信息中的MAC地址不匹配时,向所述AP下发拒绝访问指令,以使所述AP不对所述终端设备进行回应。
可选的,所述第二发送单元504,具体用于通过radius报文将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,其中,所述终端设备的MAC地址携带于radius报文的用户名属性和密码属性中,所述AP的MAC地址携带于所述radius报文的radius属性中。
请参考图6a及图6b,是本发明一种示例性实施方式中的另一种连接指定AP的接入认证装置600,所述装置应用于AP,所述装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,所述装置600包括:
第一发送单元601,用于将终端设备的第一请求报文发送到AC;
指令接收单元602,用于在所述AP为所述终端设备的可访问AP时,接收AC下发的允许访问指令,并根据所述允许访问指令将隐藏SSID发送至所述终端设备;
第二发送单元603,用于在收到所述终端设备通过所述隐藏SSID发送的第二请求报文时,将所述终端设备的MAC地址和所述AP的MAC地址发送到所述AC;
设备连接单元604,用于在收到AC下发的允许接入指令时,与所述终端设备进行连接。
综上所述,本发明可以先将AP的指定SSID隐藏,当终端设备请求接入的AP为可访问AP时,再使该AP将指定SSID发送给终端设备,以使终端设备向指定SSID的AP发送接入请求,并在认证通过后接入指定SSID对应的AP。因此可以实现控制终端设备接入指定AP的目的,从而避免投射混乱的问题。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种连接指定无线访问接入点AP的接入认证方法,其特征在于,所述方法应用于接入控制器AC,所述方法包括:
根据无线访问接入点AP上送的终端设备通过扫描到的可见SSID向AP发送的第一请求报文,向认证服务器发起认证;
判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏服务集标识SSID发送至所述终端设备;
当所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;
将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;
当收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收入口Portal服务器发送的第二请求报文,所述第二请求报文包括终端设备的MAC地址以及认证信息;
根据所述终端设备的MAC地址和所述认证信息,向所述认证服务器发起认证,以使所述认证服务器在所述认证信息验证成功时,将所述终端设备的MAC地址与所述终端设备的可访问AP信息进行绑定。
3.根据权利要求1所述的方法,其特征在于,
当所述第一请求报文包括所述终端设备的MAC地址时,所述判断所述AP是否为所述终端设备的可访问AP,包括:
接收所述认证服务器下发的所述终端设备的MAC地址对应的可访问AP信息,根据所述可访问AP信息判断所述AP是否为所述终端设备的可访问AP;
当所述第一请求报文包括所述终端设备的MAC地址和所述AP的MAC地址时,所述判断所述AP是否为所述终端设备的可访问AP,包括:
根据所述认证服务器下发的判断结果来确认所述AP是否为所述终端设备的可访问AP。
4.根据权利要求3所述的方法,其特征在于,
所述判断所述AP为所述终端设备的可访问AP,具体为:
判断所述AP的MAC地址是否与所述可访问AP信息中的MAC地址相匹配;
在所述判断所述AP为所述终端设备的可访问AP之后,还包括:
若否,则向所述AP下发拒绝访问指令,以使所述AP不对所述终端设备进行回应。
5.根据权利要求1所述的方法,其特征在于,所述将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,具体为:
通过radius报文将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,其中,所述终端设备的MAC地址携带于radius报文的用户名属性和密码属性中,所述AP的MAC地址携带于所述radius报文的radius属性中。
6.一种连接指定AP的接入认证方法,其特征在于,所述方法应用于AP,所述方法包括:
将终端设备通过扫描到的可见SSID向AP发送的第一请求报文发送到AC;
当所述AP为所述终端设备的可访问AP时,接收AC下发的允许访问指令,并根据所述允许访问指令将隐藏SSID发送至所述终端设备;
当收到所述终端设备通过所述隐藏SSID发送的第二请求报文时,将所述终端设备的MAC地址和所述AP的MAC地址发送到所述AC;
当收到AC下发的允许接入指令时,与所述终端设备进行连接。
7.一种连接指定AP的接入认证装置,其特征在于,所述装置应用于AC,所述装置包括:
第一发送单元,用于根据AP上送的终端设备通过扫描到的可见SSID向AP发送的第一请求报文,向认证服务器发起认证;
访问判断单元,用于判断所述AP是否为所述终端设备的可访问AP;若是,则向所述AP下发允许访问指令,以使所述AP将隐藏SSID发送至所述终端设备;
第一接收单元,用于在所述终端设备通过所述隐藏SSID请求连接所述AP时,接收所述AP发送所述终端设备的MAC地址和所述AP的MAC地址;
第二发送单元,用于将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器;
指令下发单元,用于在收到所述认证服务器返回的认证通过指令时,向所述AP下发允许接入指令,以使所述AP与所述终端设备进行连接。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二接收单元,用于接收入口Portal服务器发送的第二请求报文,所述第二请求报文包括终端设备的MAC地址以及认证信息;
第三发送单元,用于根据所述终端设备的MAC地址和所述认证信息,向所述认证服务器发起认证,以使所述认证服务器在所述认证信息验证成功时,将所述终端设备的MAC地址与所述终端设备的可访问AP信息进行绑定。
9.根据权利要求7所述的装置,其特征在于,
当所述第一请求报文包括所述终端设备的MAC地址时,所述访问判断单元,具体用于接收所述认证服务器下发的所述终端设备的MAC地址对应的可访问AP信息,根据所述可访问AP信息判断所述AP是否为所述终端设备的可访问AP;
当所述第一请求报文包括所述终端设备的MAC地址和所述AP的MAC地址时,所述访问判断单元,具体用于根据所述认证服务器下发的判断结果来确认所述AP是否为所述终端设备的可访问AP。
10.根据权利要求9所述的装置,其特征在于,
所述访问判断单元,具体用于判断所述AP的MAC地址是否与所述可访问AP信息中的MAC地址相匹配;
所述访问判断单元,还用于在所述AP的MAC地址与所述可访问AP信息中的MAC地址不匹配时,向所述AP下发拒绝访问指令,以使所述AP不对所述终端设备进行回应。
11.根据权利要求7所述的装置,其特征在于,所述第二发送单元,具体用于通过radius报文将所述终端设备的MAC地址和所述AP的MAC地址发送到所述认证服务器,其中,所述终端设备的MAC地址携带于radius报文的用户名属性和密码属性中,所述AP的MAC地址携带于所述radius报文的radius属性中。
12.一种连接指定AP的接入认证装置,其特征在于,所述装置应用于AP,所述装置包括:
第一发送单元,用于将终端设备通过扫描到的可见SSID向AP发送的第一请求报文发送到AC;
指令接收单元,用于在所述AP为所述终端设备的可访问AP时,接收AC下发的允许访问指令,并根据所述允许访问指令将隐藏SSID发送至所述终端设备;
第二发送单元,用于在收到所述终端设备通过所述隐藏SSID发送的第二请求报文时,将所述终端设备的MAC地址和所述AP的MAC地址发送到所述AC;
设备连接单元,用于在收到AC下发的允许接入指令时,与所述终端设备进行连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510367276.8A CN104936181B (zh) | 2015-06-25 | 2015-06-25 | 一种连接指定ap的接入认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510367276.8A CN104936181B (zh) | 2015-06-25 | 2015-06-25 | 一种连接指定ap的接入认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104936181A CN104936181A (zh) | 2015-09-23 |
| CN104936181B true CN104936181B (zh) | 2018-12-25 |
Family
ID=54123084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510367276.8A Active CN104936181B (zh) | 2015-06-25 | 2015-06-25 | 一种连接指定ap的接入认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104936181B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106550360B (zh) * | 2015-09-23 | 2020-06-23 | 中国电信股份有限公司 | WiFi连接方法和系统 |
| CN106375290A (zh) * | 2016-08-29 | 2017-02-01 | 上海斐讯数据通信技术有限公司 | 一种多用户终端共享Portal账户流量的方法、系统及云平台 |
| CN106375998A (zh) * | 2016-08-29 | 2017-02-01 | 上海斐讯数据通信技术有限公司 | 一种多用户终端共享Portal账户流量的方法及系统 |
| CN106572465B (zh) * | 2016-10-18 | 2019-07-30 | 上海众人网络安全技术有限公司 | 一种无线连接方法及系统 |
| CN106572488B (zh) * | 2016-11-02 | 2021-01-08 | 捷开通讯(深圳)有限公司 | 一种终端设备的wifi热点共享方法以及终端设备 |
| CN106686588B (zh) | 2017-02-20 | 2020-02-07 | Oppo广东移动通信有限公司 | 一种无线保真Wi-Fi连接方法及移动终端 |
| CN106888496B (zh) | 2017-02-20 | 2019-10-18 | Oppo广东移动通信有限公司 | 一种无线保真Wi-Fi连接方法及移动终端 |
| CN107360604B (zh) * | 2017-06-23 | 2020-03-27 | 锐捷网络股份有限公司 | 一种引导无线终端关联无线接入点的方法和无线控制器 |
| CN107135506B (zh) * | 2017-07-03 | 2019-11-05 | 迈普通信技术股份有限公司 | 一种portal认证方法、装置及系统 |
| CN107969003B (zh) * | 2017-10-31 | 2020-03-31 | 上海连尚网络科技有限公司 | 一种无线接入认证方法 |
| CN109218334B (zh) * | 2018-11-13 | 2021-11-16 | 迈普通信技术股份有限公司 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141259A (zh) * | 2007-10-22 | 2008-03-12 | 杭州华三通信技术有限公司 | 防止误接入接入点设备的方法及装置 |
| CN101801051B (zh) * | 2010-03-04 | 2013-03-20 | 杭州华三通信技术有限公司 | 一种接入ap的选择方法和设备 |
| CN102480729B (zh) * | 2010-11-22 | 2015-11-25 | 中兴通讯股份有限公司 | 无线接入网中防止假冒用户的方法及接入点 |
| CN102421166A (zh) * | 2011-11-21 | 2012-04-18 | 华为技术有限公司 | 一种发现无线接入点的方法、装置与系统 |
| CN104104516B (zh) * | 2014-07-30 | 2018-12-25 | 新华三技术有限公司 | 一种Portal认证方法和设备 |
-
2015
- 2015-06-25 CN CN201510367276.8A patent/CN104936181B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104936181A (zh) | 2015-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104936181B (zh) | 一种连接指定ap的接入认证方法及装置 | |
| US10686655B2 (en) | Proximity and context aware mobile workspaces in enterprise systems | |
| US10291956B2 (en) | Methods and systems for enabling communications between devices | |
| US10116448B2 (en) | Transaction authorization method and system | |
| CN110351269B (zh) | 通过第三方服务器登录开放平台的方法 | |
| US20070230411A1 (en) | System and method for providing differentiated service levels to wireless devices in a wireless network | |
| US9344417B2 (en) | Authentication method and system | |
| US11765164B2 (en) | Server-based setup for connecting a device to a local area network | |
| US9230286B2 (en) | Methods and systems for associating users through network societies | |
| US20210099441A1 (en) | Method and system for one-time multiple registration chain with pki-credential anchoring and universal registration | |
| WO2018072650A1 (zh) | 移动终端与iptv进行交互的实现方法、装置及平台 | |
| CN105991518B (zh) | 网络接入认证方法及装置 | |
| EP2210389B1 (en) | Apparatus, method, and computer program for establishing a service session | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| CN101668017A (zh) | 一种认证方法和设备 | |
| CN106027565A (zh) | 一种基于pppoe的内外网统一认证的方法和装置 | |
| CN106658498A (zh) | 一种Portal认证的快速漫游方法及WiFi设备 | |
| US20210099874A1 (en) | Method and system for avoidance of user re-registration | |
| CN105939519A (zh) | 一种认证方法及装置 | |
| WO2018036220A1 (zh) | 一种接入无线设备的权限认证方法及系统 | |
| CN108282768A (zh) | 蓝牙设备分享控制和请求方法及电子设备 | |
| CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 | |
| CN109862047A (zh) | 登录服务器的方法、装置及存储介质 | |
| CN106453400B (zh) | 一种认证方法及系统 | |
| CN110198540A (zh) | 认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |