CN105208556A - 认证管理方法、装置、wlan接入设备以及通信系统 - Google Patents
认证管理方法、装置、wlan接入设备以及通信系统 Download PDFInfo
- Publication number
- CN105208556A CN105208556A CN201410291052.9A CN201410291052A CN105208556A CN 105208556 A CN105208556 A CN 105208556A CN 201410291052 A CN201410291052 A CN 201410291052A CN 105208556 A CN105208556 A CN 105208556A
- Authority
- CN
- China
- Prior art keywords
- authentication request
- wlan
- wlan terminal
- authentication
- invalid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本发明公开了一种认证管理方法、装置、WLAN接入设备以及通信系统,在接收到WLAN终端发送的用于建立WLAN连接的认证请求后,判断该认证请求是否是这个WLAN终端连续发送的无效认证请求,如是,不向WLAN管理设备反馈该认证请求的处理结果;也即,在本发明中,对于WLAN终端连续、重复发送的无效的认证请求,不再向WLAN管理设备反馈认证失败的消息通知,只向WLAN管理设备反馈WLAN终端认证成功以及首次认证失败时的消息通知。因此可以大大减少WLAN接入设备与WLAN管理设备之间消息的交互量,避免二者之间出现消息堵塞而引起的各种异常,尤其适用于WLAN接入设备的密钥被WLAN管理设备统一修改的场景下。
Description
技术领域
本发明涉及通信领域,具体涉及一种认证管理方法、装置、WLAN接入设备以及通信系统。
背景技术
WLAN(无线局域网:WirelessLocalAreaNetworks)是指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。随着用户对于高速无线上网需求的愈加强烈、以及笔记本电脑、手机等WLAN终端对高速WLAN的支持愈加普遍,WLAN技术得到越来越广泛的应用,不再局限于家庭无线上网这类私有场合,在机场、图书馆、展厅、咖啡厅、会议大厅等公共区域,均能搜索到WLAN信道并能方便地接入,实现快速的上网。以往的WLAN组网方式,一般为“胖”模式,所谓胖模式,即WLAN接入设备本身的配置一般采取默认数据库的方式,也就是所谓的“自己管理自己”,在网络结构中,每个WLAN接入设备又相互独立,这个时候要想对此WLAN接入设备进行配置、修改,那么,只有通过其WEB页面、telnet等方式进行,由于现如今,对WLAN接入设备的大规模需求,这种模式有一个显著的缺点就是整个网络中,所有的接入设备不能被集中控制,只能单独控制,大规模组网比较困难、网络维护代价很高,运营商级的网络维护也变的几乎不可能。
于是,另外一种“瘦”模式诞生了,所谓瘦模式,即单个WLAN接入设备,只负责数据传输、终端接入的管理、以及加密、认证等工作,剩下的一些配置管理,就交给WLAN管理设备来做,请参见图1所示。也就是说,由胖模式到瘦模式的转变中,WLAN接入设备做的事情少了,WLAN管理设备帮助WLAN接入设备承担了一部分的管理工作,这样由利于WLAN接入设备更“专注于”数据收发这些基本工作,也使得运营商级的大规模组网、维护变得可能。另外,由于目前的WLAN接入设备与终端网卡之间的数据是通过802.11协议,从空口发出、接收回空口的,考虑到安全性的问题,数据加密就显得有必要。目前,WLAN无线局域网中,普遍采用的加密方式一般包括:SHARE-KEY、WPA-PSK、WPA2-PSK、WPA/WAP2-PSK、WPA-EAP、WPA2-EAP、WPA/WPA2-EAP、WAPI-PSK、WAPI-CERT、WEP-EAP等。上述的加密方式的实现上,都需要WLAN接入设备具备一个加密认证模块,来具体负责实施这些加密过程,并负责将加密认证结果通知WLAN接入设备,WLAN接入设备会将这些加密认证结果处理后,告知终端网卡,以便终端网卡及时获知加密认证结果,如果认证成功,终端网卡会进一步发送关联请求给WLAN接入设备。下面以典型的WPA/WAP2-PSK加密方式为例,对WLAN管理设备统一更改协商密钥后,实际现网中出现的问题进行说明:
首先,WLAN终端和WLAN接入设备、WLAN管理设备之间的目前普遍采用的交互方式包括下面几个步骤:
一,WLAN终端(例如pad、笔记本、手机等终端)获取到附近WLAN接入设备的信息后,向WLAN接入设备发出关联请求;
二,WLAN接入设备接收到此关联请求,并建立与该终端的关联;
三,WLAN终端向WLAN接入设备发出加密认证请求;
四,WLAN接入设备的WIFI加密认证管理模块根据认证请求,通过密钥协商、四次握手等认证机制进行认证处理后,将该WLAN终端的认证结果发给WLAN接入设备;
五,WLAN接入设备会将认证结果进一步以报文形式告知WLAN终端,以便WLAN终端根据需要重新选择接入方式;
六,如果加密认证管理模块对该WLAN终端的认证是成功的,那么WLAN终端在收到WLAN接入设备发来的认证成功消息后,就会成功与终端建立连接;
七,WLAN终端与WLAN接入设备成功建立连接后,WLAN接入设备还会通过WLAN接入设备与WLAN管理设备之间的私有协议,将终端成功关联的消息发送给WLAN管理设备;
八,如果加密认证管理模块对该WLAN终端的认证是失败的,那么WLAN接入设备将会发送关联失败消息给WLAN管理设备并发送报文告知WLAN终端,已经认证失败,并且清除终端的相关信息,等待WLAN终端的下一次认证请求。
上述过程中,大规模组网时,WLAN管理设备会不断收到终端的关联成功/失败消息。而此时,如果WLAN接入设备的密钥被WLAN管理设备统一修改,这个时候,WLAN终端会由于密钥错误而被迫掉线,也就会导致该终端的认证是失败的,由于一般WLAN终端网卡采用的机制是默认记住上一次的密钥,并且当密钥认证失败后,会频繁地以上一次保留的密钥去向WLAN接入设备发送认证消息。因此,如果该WLAN管理设备同时管理了大量的WLAN接入设备,而每一个WLAN接入设备又同时接入了大量的WLAN终端网卡,由于WLAN终端网卡的反复重新认证机制,会最终导致WLAN管理设备在同一时刻会收到大量的终端认证失败消息,容易导致WLAN接入设备与WLAN管理设备之间通信链路的堵塞,从而导致设备消息机制的崩溃或WLAN管理设备与WLAN接入设备之间不能正常通信,最终导致WLAN管理设备的管理能力丧失。
发明内容
本发明要解决的主要技术问题是,提供一种认证管理方法、装置、WLAN接入设备以及通信系统,解决现有WLAN通信系统中,WLAN接入设备将每次认证请求的认证结果都反馈给WLAN管理设备易导致WLAN接入设备与WLAN管理设备之间出现堵塞的问题。
为解决上述技术问题,本发明提供一种认证管理方法,包括:
接收WLAN终端发送的用于建立WLAN连接的认证请求;
判断所述认证请求是所述WLAN终端连续发送的无效认证请求时,不向WLAN管理设备反馈该认证请求的处理结果。
在本发明的一种实施例中,判断所述认证请求是否是所述WLAN终端连续发送的无效认证请求包括:
根据所述认证请求进行认证处理,如认证失败,则判断所述WLAN终端上一次的认证是否也失败,如是,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;
或
将所述认证请求与认证失败列表中的无效认证请求进行匹配,如匹配成功,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;所述认证失败列表中存储有WLAN终端最近一次认证为认证失败时发送的认证请求。
在本发明的一种实施例中,还包括:
统计所述WLAN终端连续发送无效认证请求的次数;
当所述WLAN终端连续发送无效认证请求的次数大于设定的次数门限值,和/或者所述WLAN终端连续发送无效认证请求的频率大于设定的频率门限值时,向所述WLAN终端发送用于通知WLAN终端停止发送认证请求的管理指令。
在本发明的一种实施例中,接收所述WLAN终端发送的所述认证请求之前,还包括与所述WLAN终端建立关联;
在向所述WLAN终端连续发送N次所述管理指令后,判断仍收到所述WLAN终端发送的无效认证请求时,断开与所述WLAN终端的关联;所述N大于等于1。
为了解决上述问题,本发明还提供了一种认证管理装置,包括信息接收模块、判断模块以及处理模块;
所述信息接收模块用于接收WLAN终端发送的用于建立WLAN连接的认证请求;
所述判断模块用于判断所述认证请求是否是所述WLAN终端连续发送的无效认证请求,将判断结果发送给所述处理模块;
所述处理模块用在所述判断结果为是时,不向WLAN管理设备反馈该认证请求的处理结果。
在本发明的一种实施例中,所述判断模块包括认证子模块和分析子模块;
所述认证子模块用于对所述认证请求进行认证,如认证失败,通知所述分析子模块;
所述分析子模块用于判断所述WLAN终端上一次的认证是否也失败,如是,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;
或
判断模块包括匹配子模块,用于将所述认证请求与认证失败列表中的无效认证请求进行匹配,如匹配成功,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;所述认证失败列表中存储有WLAN终端最近一次认证为认证失败时发送的认证请求。
在本发明的一种实施例中,还包括统计模块和报文管理模块;
所述统计模块用于统计所述WLAN终端连续发送无效认证请求的次数;
所述报文管理模块用于当所述WLAN终端连续发送无效认证请求的次数大于设定的次数门限值,和/或者所述WLAN终端连续发送无效认证请求的频率大于设定的频率门限值时,向所述WLAN终端发送用于通知WLAN终端停止发送认证请求的管理指令。
在本发明的一种实施例中,包括通信模块和连接管理模块;
所述通信模块用于在所述信息接收模块接收所述认证请求之前,与所述WLAN终端建立关联;
所述连接管理模块用于在所述报文管理模块向所述WLAN终端连续发送N次所述管理指令后,仍收到所述WLAN终端连续发送的无效认证请求时,通知所述通信模块断开与所述WLAN终端的关联;所述N大于等于1。
为了解决上述问题,本发明还提供了一种WLAN接入设备,包括存储器和处理器;所述存储器用于存储至少一个程序指令;所述处理器用于调用所述程序指令执行以下步骤:
接收WLAN终端发送的用于建立WLAN连接的认证请求;
判断所述认证请求是否是所述WLAN终端连续发送的无效认证请求,如是,不向WLAN管理设备反馈该认证请求的处理结果。
为了解决上述问题,本发明还提供了一种通信系统,包括WLAN管理设备、WLAN终端以及如上所述的WLAN接入设备;所述WLAN终端、WLAN接入设备以及WLAN管理设备依次通信连接。
本发明的有益效果是:
本发明提供的一种认证管理方法、装置、WLAN接入设备以及通信系统,在接收到WLAN终端发送的用于建立WLAN连接的认证请求后,判断该认证请求是否是这个WLAN终端连续发送的无效认证请求,如是,不向WLAN管理设备反馈该认证请求的处理结果;也即,在本发明中,对于WLAN终端连续、重复发送的无效的认证请求,WLAN接入设备可不再向WLAN管理设备反馈认证失败的消息通知,只向WLAN管理设备反馈WLAN终端认证成功以及首次认证失败时的消息通知。因此可以大大减少WLAN接入设备与WLAN管理设备之间消息的交互量,避免二者之间出现消息堵塞而引起的各种异常,尤其适用于WLAN接入设备的密钥被WLAN管理设备统一修改的场景下。
附图说明
图1为管理模式为“瘦模式”的WLAN通信系统组网示意图;
图2为本发明另实施例一中提供的认证管理管理方法示意图;
图3为本发明另实施例二中提供的认证管理管理装置示意图;
图4为本发明另实施例三中提供的WLAN接入设备结构示意图;
图5为本发明另实施例三中提供的认证管理管理方法示意图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。
实施例一:
请参见图2所示,本实施例提供的认证管理管理方法适用于管理模式为瘦模式的WLAN通信系统;其包括以下步骤:
步骤201:认证管理装置与WLAN终端(包括支持WLAN连接的笔记本、PAD、智能手机等终端)建立关联;本实施例中的认证管理装置本身可以是图1中所示的WLAN接入设备,也可以独立于WLAN接入设备的其他第三方设备实现;当为WLAN接入设备时,其可直接与WLAN终端建立关联;否则,其可通过WLAN接入设备间接的与WLAN终端建立关联,即认证管理装置与WLAN接入设备建立关联,WLAN接入设备则与WLAN终端建立关联;另外,基于目前的通信,一般是WLAN终端主动发起管理请求;
步骤202:认证管理装置接收WLAN终端发送的用于建立WLAN连接的认证请求;该认证请求中包含认证密钥,且还可包含该WLAN终端的识别信息;
步骤203:认证管理装置判断该认证请求是否是这个WLAN终端连续发送的无效认证请求,如是,转至步骤204;否则,转至步骤205;此处的连续发送的无效认证请求是指该认证请求是认证不能通过的、且该WLAN终端上一次发送的也是认证不能通过的认证请求;
步骤204:认证管理装置不向WLAN管理设备反馈该认证请求的处理结果;也即当本实施例中的认证管理装置为WLAN接入设备实现时,其自身不向WLAN管理设备反馈该认证请求的处理结果;如果该认证管理装置是通过独立于WLAN接入设备的其他第三方设备实现,则向WLAN接入设备发送不向WLAN管理设备反馈该处理结果的通知,以控制WLAN接入设备不向WLAN管理设备反馈处理结果;
步骤205:认证管理装置正常向WLAN管理设备反馈该认证请求的处理结果;例如,如认证成功或失败时,当认证管理装置是通过WLAN接入设备实现,其自身正常向WLAN管理设备反馈该认证成功或失败的处理结果;如果该认证管理装置是通过独立于WLAN接入设备的其他第三方设备实现,则向WLAN接入设备发送正常向WLAN管理设备反馈该处理结果的通知,WLAN接入设备根据该通知正常向WLAN管理设备反馈认证成功或失败的处理结果。
可见,在本实施例中,对于WLAN终端连续、重复发送的无效的认证请求,WLAN接入设备不再向WLAN管理设备反馈认证失败的消息通知,只向WLAN管理设备反馈WLAN终端认证成功以及首次认证失败时的消息通知。因此可以大大减少WLAN接入设备与WLAN管理设备之间消息的交互量,避免二者之间出现消息堵塞而引起的各种异常,包括因为消息堵塞导致WLAN管理设备的管理能力丧失。
应当理解的是,上述步骤203中判断认证请求是否是WLAN终端连续发送的无效认证请求的方式可以根据具体应用场景选择确认。为了更好的理解本发明,下面以两种具体判断方式进行示例性的说明。但应当理解的是并不仅局限于以下两种方式:
方式一:根据接收到的认证请求进行认证处理,如认证失败,则判断该WLAN终端上一次的认证是否也失败,如是,则判定该认证请求为该WLAN终端连续发送的无效认证请求;
方式二:维护一份认证失败列表,该认证失败列表中存储有WLAN终端最近一次认证为认证失败时发送的认证请求;将接收到的认证请求与认证失败列表中的无效认证请求进行匹配,如匹配成功,则判定该认证请求为WLAN终端连续发送的无效认证请求;
例如,针对一个WLAN终端,其第一次发送认证请求时,如认证成功,则不在该认证失败列表中记录该认证请求,如认证失败,则在该认证失败列表中记录该认证请求;然后接收到该WLAN终端发送的第二次认证请求时,判断该第二次发送的认证请求在该认证失败列表中是否有存储(一般需分析认证请求中包含的WLAN终端信息以及认证密钥是否相同),如有,则表明该第二次发送的认证请求与上一次发送的认证失败的认证请求相同,判定为WLAN终端连续发送的无效认证请求;如没有,则对该认证请求进行正常的认证处理,如认证成功,则在认证失败列表中清除有关该WLAN终端的相关消息(例如第二次发送的认证请求可能是修改了认证密钥的请求,此时就需要清除认证列表中保存的第一次发送的认证请求;也即本实施例中的认证失败列表是动态更新的,其主要保存WLAN终端最近一次认证为认证失败时发送的认证请求)。
在本实施例中,为了更利于实现对WLAN终端的管理,认证管理装置还可对WLAN终端连续发送无效认证请求的次数进行统计,基于统计结果直接实现对WLAN终端认证的干预管理,避免WLAN终端一直重复的连续发送无效的认证请求;具体过程包括:
统计WLAN终端连续发送无效认证请求的次数;
判断该WLAN终端连续发送无效认证请求的频率是否大于设定的频率门限值(例如1秒10次),如是,向WLAN终端发送用于通知WLAN终端停止发送认证请求的管理指令;WLAN终端收到该管理指令后,就知道认证已经失败,并被通知不要再重复发送相同的认证请求。
当然,本实施例中,也可直接判断WLAN终端连续发送无效认证请求的次数是否大于设定的次数门限值N1,如是,则向该WLAN中断发送管理指令。例如判断WLAN终端是否连续发送了10次无效认证请求,此时不限定时间,也即不限定是在单位时间(例如1秒)达到多少次,只要是其连续发送的次数大于设定的门限值即可,其与上述通过频率的方式进行管理的区别仅在于统计次数与频率的转换。
本实施例中,频率门限值和/或次数门限值的具体取值可根据具体的WLAN终端的处理能力具体选择设置。
在实际应用中,有可能会出现虽然已经向WLAN终端连续发送了N(N取大于等于1的整数)次发送管理指令,但WLAN终端没有理会,仍重复连续发送无效认证请求过来,此时可直接断开与WLAN终端的关联,以彻底阻止该WLAN终端反复的发送无效认证请求报文。
实施例二:
本实施例提供了认证管理装置,该认证管理装置可以是图1所示系统中的WLAN接入设备,也可以在图1所示系统中额外增加的、独立于WLAN接入设备的其他第三方设备,只要其能实现如下管理过程即可。具体的,请参见图3所示,该认证管理装置包括:通信模块、信息接收模块、判断模块以及处理模块;
通信模块用于与WLAN终端建立关联;
信息接收模块用于接收WLAN终端发送的用于建立WLAN连接的认证请求;该认证请求中包含认证密钥,且还可包含该WLAN终端的识别信息;
判断模块用于判断信息接收模块接收到的认证请求是否是WLAN终端连续发送的无效认证请求,将判断结果发送给处理模块;
处理模块用在判断结果为是时,不向向WLAN管理设备反馈该认证请求的处理结果,;当判断结果为否时,则正常向WLAN管理设备反馈该认证请求的处理结果;例如,当本实施例中的认证管理装置是通过WLAN接入设备实现,处理模块通知其自身内部的信息发送模块不向WLAN管理设备反馈该认证请求的处理结果;如果该认证管理装置是通过独立于WLAN接入设备的其他第三方设备实现,则处理模块可向WLAN接入设备发送不向WLAN管理设备反馈该处理结果的通知,以控制WLAN接入设备不向WLAN管理设备反馈处理结果。
可见,通过本实施例提供的管理装置,可以实现对于WLAN终端连续、重复发送的无效的认证请求,不再向WLAN管理设备反馈认证失败的消息通知,只向WLAN管理设备反馈WLAN终端认证成功以及首次认证失败时的消息通知,可以大大减少WLAN接入设备与WLAN管理设备之间消息的交互量。
本实施例中判断模块判断信息接收模块接收到的认证请求是否是WLAN终端连续发送的无效认证请求的方式可以根据具体应用场景选择确认。为了更好的理解本发明,下面以两种具体判断方式进行示例性的说明。但应当理解的是并不仅局限于以下两种方式:
方式一:判断模块包括认证子模块和分析子模块;
认证子模块对认证请求进行认证,如认证失败,通知分析子模块;
分析子模块用于判断WLAN终端上一次的认证是否也失败,如是,则判定该认证请求为WLAN终端连续发送的无效认证请求;
方式二:判断模块包括匹配子模块,用于将认证请求与认证失败列表中的无效认证请求进行匹配,如匹配成功,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;此处的认证失败列表中存储有WLAN终端最近一次认证为认证失败时发送的认证请求。例如,针对一个WLAN终端,其第一次发送认证请求时,如认证成功,则不在该认证失败列表中记录该认证请求,如认证失败,则在该认证失败列表中记录该认证请求;然后接收到该WLAN终端发送的第二次认证请求时,判断该第二次发送的认证请求在该认证失败列表中是否有存储(一般需分析认证请求中包含的WLAN终端信息以及认证密钥是否相同),如有,则表明该第二次发送的认证请求与上一次发送的认证失败的认证请求相同,判定为WLAN终端连续发送的无效认证请求;如没有,则对该认证请求进行正常的认证处理,如认证成功,则在认证失败列表中清除有关该WLAN终端的相关消息(例如第二次发送的认证请求可能是修改了认证密钥的请求,此时就需要清除认证列表中保存的第一次发送的认证请求;也即本实施例中的认证失败列表是动态更新的,其主要保存WLAN终端最近一次认证为认证失败时发送的认证请求)。
在本实施例中,为了更利于实现对WLAN终端的管理,还可对WLAN终端连续发送无效认证请求的次数进行统计,基于统计结果直接实现对WLAN终端认证的干预管理,避免WLAN终端一直重复的连续发送无效的认证请求。因此,本实施例中的认证管理装置还可包括统计模块和报文管理模块;
统计模块用于统计WLAN终端连续发送无效认证请求的次数;
报文管理模块用于在判断WLAN终端连续发送无效认证请求的频率大于设定的频率门限值时,向WLAN终端发送用于通知WLAN终端停止发送认证请求的管理指令。WLAN终端收到该管理指令后,就知道认证已经失败,并被通知不要再重复发送相同的认证请求。
当然,本实施例中,报文管理模块也可直接判断WLAN终端连续发送无效认证请求的次数是否大于设定的次数门限值N1,如是,则向该WLAN中断发送管理指令。例如,判断WLAN终端是否连续发送了10次无效认证请求,此时可不限定时间,也即可不限定是在单位时间(例如1秒)必须发送多少次,只要是其连续发送的次数大于设定的门限值即可。其与上述通过频率的方式进行管理的区别仅在于统计次数与频率的转换。
在实际应用中,有可能会出现报文管理模块虽然已经向WLAN终端连续发送了N(N取大于等于1的整数)次发送管理指令,但WLAN终端没有理会,仍重复连续发送无效认证请求过来,此时可直接断开与WLAN终端的关联,以彻底阻止该WLAN终端反复的发送无效认证请求报文。因此,本实施例中的认证管理装置还可进一步包括连接管理模块,用于在报文管理模块向WLAN终端连续发送N次管理指令后,仍收到WLAN终端连续发送的无效认证请求时,通知通信模块断开与WLAN终端的关联。
实施例三:
本实施例提供了一种通信系统,包括依次通信连接的WLAN管理设备、WLAN接入设备以及WLAN终端;其中,请参见图4所示,WLAN接入设备包括存储器和处理器;存储器用于存储至少一个程序指令,处理器用于调用程序指令执行上述实施例一中的认证管理过程。具体至少包括以下步骤:
与WLAN终端建立关联;
接收WLAN终端发送的用于建立WLAN连接的认证请求;
判断该认证请求是否是WLAN终端连续发送的无效认证请求,如是,不向WLAN管理设备反馈该认证请求的处理结果。
即本实施例以认证管理装置为WLAN接入设备为例进行的示例说明。另外,以上各步骤的具体实现方式在实施例一中已经有明确说明,在此不再赘述。本实施例下面以一个完整、具体的应用场景为例,并以上述实施例中的提供的两种判断方式中的方式一为例进行说明。此处:
一,WLAN管理设备与WLAN接入设备之间的交互方式为:主要采用目前比较常见的交互方式,CAPWAP协议方式,这也是目前运营商级的WLAN集中控制设备普遍采用的协议方式,其协议的标准化工作也在各大运营商的推动下,基本统一,实现了各厂商设备之间的互通互联;
二,WLAN接入设备与其内部的认证子模块之间交互方式为:认证子模块可采用一个单独进程,与WLAN接入设备之间采用ioctl命令行方式下发终端的认证/加密结果,WLAN接入设备则通过发送netlink消息的方式,将WLAN终端的认证请求发送给认证子模块;
三,WLAN接入设备与WLAN终端的网卡之间,完全遵照802.11协议的规定进行正常通信。
请参见图5所示,该管理过程包括:
步骤501:WLAN终端获取到附近WLAN接入设备的信息后,与WLAN接入设备完成正常关联的报文交互,建立关联;
步骤502:WLAN终端与WLAN接入设备建立关联之后,WLAN接入设备将收到WLAN终端发送的认证请求;
步骤503:WLAN接入设备接收该认证请求;
步骤504:WLAN接入设备的认证子模块通过密钥协商、四次握手等机制对该认证请求进行认证,将认证结果发给WLAN接入设备;
步骤505:WLAN接入设备将该认证结果进一步以报文形式告知WLAN终端;
步骤506:WLAN接入设备判断该认证结果是否为认证成功,如是,转至步骤507;否则,转至步骤508;应当理解的是,步骤505与步骤506之间并无严格的时序限制,可同时进行,也可一前一后进行;
步骤507:WLAN接入设备成功与WLAN终端建立连接;WLAN接入设备还会通过WLAN接入设备与WLAN管理设备之间的私有协议,将终端成功关联的消息发送给WLAN管理设备;
步骤508:判断该WLAN终端上一次认证是否也是失败,即判断该认证请求是否是WLAN终端重复发送的无效认证请求;如是,转至步骤509;否则,转至步骤510;
步骤509:禁止向WLAN管理设备重复反馈该认证请求认证失败的消息。
步骤510:正常向WLAN管理设备反馈该认证请求的处理结果。
可见,本发明提供的方案可以对WLAN终端连续发送来的重复的、无效的认证请求进行识别,并阻止对该认证请求报文的处理结果继续发送到上层进行处理,减轻WLAN接入设备与WLAN管理设备之间的报文交互压力,避免在大规模密钥协商错误的情况下,WLAN接入设备与WLAN管理设备之间报文交互机制的崩溃。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种认证管理方法,其特征在于,包括:
接收WLAN终端发送的用于建立WLAN连接的认证请求;
当判定所述认证请求是所述WLAN终端连续发送的无效认证请求时,不向WLAN管理设备反馈该认证请求的处理结果。
2.如权利要求1所述的认证管理方法,其特征在于,判定所述认证请求是连续发送的无效认证请求包括:
根据所述认证请求进行认证处理,如认证失败,则判断所述WLAN终端上一次的认证是否也失败,如是,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;
或
将所述认证请求与认证失败列表中的无效认证请求进行匹配,如匹配成功,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;所述认证失败列表中存储有WLAN终端最近一次认证为认证失败时发送的认证请求。
3.如权利要求1或2所述的认证管理方法,其特征在于,还包括:
统计所述WLAN终端连续发送无效认证请求的次数;
当所述WLAN终端连续发送无效认证请求的次数大于设定的次数门限值,和/或者所述WLAN终端连续发送无效认证请求的频率大于设定的频率门限值时,向所述WLAN终端发送用于通知WLAN终端停止发送认证请求的管理指令。
4.如权利要求3所述的认证管理方法,其特征在于,接收所述WLAN终端发送的所述认证请求之前,还包括与所述WLAN终端建立关联;
在向所述WLAN终端连续发送N次所述管理指令后,若仍收到所述WLAN终端发送的无效认证请求,则断开与所述WLAN终端的关联;所述N大于等于1。
5.一种认证管理装置,其特征在于,包括信息接收模块、判断模块以及处理模块;
所述信息接收模块用于接收WLAN终端发送的用于建立WLAN连接的认证请求;
所述判断模块用于判断所述认证请求是所述WLAN终端连续发送的无效认证请求时,将判断结果发送给所述处理模块;
所述处理模块用在收到所述判断结果后,不向WLAN管理设备反馈该认证请求的处理结果。
6.如权利要求5所述的认证管理装置,其特征在于,所述判断模块包括认证子模块和分析子模块;
所述认证子模块用于对所述认证请求进行认证,如认证失败,通知所述分析子模块;
所述分析子模块用于判断所述WLAN终端上一次的认证是否也失败,如是,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;
或
判断模块包括匹配子模块,用于将所述认证请求与认证失败列表中的无效认证请求进行匹配,如匹配成功,则判定该认证请求为所述WLAN终端连续发送的无效认证请求;所述认证失败列表中存储有WLAN终端最近一次认证为认证失败时发送的认证请求。
7.如权利要求5或6所述的认证管理装置,其特征在于,还包括统计模块和报文管理模块;
所述统计模块用于统计所述WLAN终端连续发送无效认证请求的次数;
所述报文管理模块用于在判断所述WLAN终端连续发送无效认证请求的次数大于设定的次数门限值,和/或连续发送无效认证请求的频率大于设定的频率门限值时,向所述WLAN终端发送用于通知WLAN终端停止发送认证请求的管理指令。
8.如权利要求7所述的认证管理装置,其特征在于,包括通信模块和连接管理模块;
所述通信模块用于在所述信息接收模块接收所述认证请求之前,与所述WLAN终端建立关联;
所述连接管理模块用于在所述报文管理模块向所述WLAN终端连续发送N次所述管理指令后,仍收到所述WLAN终端发送的无效认证请求时,通知所述通信模块断开与所述WLAN终端的关联;所述N大于等于1。
9.一种WLAN接入设备,其特征在于,包括存储器和处理器;所述存储器用于存储至少一个程序指令;所述处理器用于调用所述程序指令执行以下步骤:
接收WLAN终端发送的用于建立WLAN连接的认证请求;
判断所述认证请求是否是所述WLAN终端连续发送的无效认证请求,如是,不向WLAN管理设备反馈该认证请求的处理结果。
10.一种通信系统,其特征在于,包括WLAN管理设备、WLAN终端以及如权利要求9所述的WLAN接入设备;所述WLAN终端、WLAN接入设备以及WLAN管理设备依次通信连接。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410291052.9A CN105208556A (zh) | 2014-06-25 | 2014-06-25 | 认证管理方法、装置、wlan接入设备以及通信系统 |
PCT/CN2014/090238 WO2015196687A1 (zh) | 2014-06-25 | 2014-11-04 | 认证管理方法、装置、wlan接入设备以及通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410291052.9A CN105208556A (zh) | 2014-06-25 | 2014-06-25 | 认证管理方法、装置、wlan接入设备以及通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105208556A true CN105208556A (zh) | 2015-12-30 |
Family
ID=54936628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410291052.9A Withdrawn CN105208556A (zh) | 2014-06-25 | 2014-06-25 | 认证管理方法、装置、wlan接入设备以及通信系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105208556A (zh) |
WO (1) | WO2015196687A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105848149A (zh) * | 2016-05-13 | 2016-08-10 | 上海斐讯数据通信技术有限公司 | 一种无线局域网的安全认证方法 |
CN111010371A (zh) * | 2019-11-15 | 2020-04-14 | 广东电力信息科技有限公司 | 基于ipv6自动配置实现终端稳定进入的方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113434830B (zh) * | 2020-03-23 | 2023-01-31 | 杭州海康威视数字技术股份有限公司 | 一种权限控制的方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141259A (zh) * | 2007-10-22 | 2008-03-12 | 杭州华三通信技术有限公司 | 防止误接入接入点设备的方法及装置 |
CN101645817A (zh) * | 2008-08-05 | 2010-02-10 | 中兴通讯股份有限公司 | 一种无线网络接入系统及其阻止非法用户恶意接入的方法 |
WO2014039276A1 (en) * | 2012-09-07 | 2014-03-13 | Qualcomm Incorporated | Systems, apparatus, and methods for association in multi-hop networks |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102299803A (zh) * | 2011-09-09 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 安全认证方法及装置、认证设备及认证服务器 |
-
2014
- 2014-06-25 CN CN201410291052.9A patent/CN105208556A/zh not_active Withdrawn
- 2014-11-04 WO PCT/CN2014/090238 patent/WO2015196687A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141259A (zh) * | 2007-10-22 | 2008-03-12 | 杭州华三通信技术有限公司 | 防止误接入接入点设备的方法及装置 |
CN101645817A (zh) * | 2008-08-05 | 2010-02-10 | 中兴通讯股份有限公司 | 一种无线网络接入系统及其阻止非法用户恶意接入的方法 |
WO2014039276A1 (en) * | 2012-09-07 | 2014-03-13 | Qualcomm Incorporated | Systems, apparatus, and methods for association in multi-hop networks |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105848149A (zh) * | 2016-05-13 | 2016-08-10 | 上海斐讯数据通信技术有限公司 | 一种无线局域网的安全认证方法 |
CN111010371A (zh) * | 2019-11-15 | 2020-04-14 | 广东电力信息科技有限公司 | 基于ipv6自动配置实现终端稳定进入的方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2015196687A1 (zh) | 2015-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104982021B (zh) | 向无线对接服务认证无线对接方的方法、设备、存储介质 | |
CN105379190B (zh) | 用于指示服务集标识符的系统和方法 | |
JP5897137B2 (ja) | ワイヤレスローカルエリアネットワーク認証方法およびモバイル端末 | |
CN101854625B (zh) | 安全算法选择处理方法与装置、网络实体及通信系统 | |
CN101039310B (zh) | 链路共享服务装置以及通信方法 | |
CN204350029U (zh) | 数据交互系统 | |
CN102461317A (zh) | 无线网络中的直接对等链路建立 | |
CN103392328A (zh) | 远程控制通讯终端工作的服务器和方法及通讯终端 | |
CN101588366B (zh) | 基于SaaS接入企业信息系统的系统和方法 | |
CN101883355A (zh) | 终端参数的配置方法和系统、终端管理装置 | |
CN105634737A (zh) | 一种数据传输方法、终端及其系统 | |
EP4030802A1 (en) | Method and apparatus for managing subscription data | |
CN102612030B (zh) | 无线接入配置方法及系统、无线接入设备、终端 | |
CN105208556A (zh) | 认证管理方法、装置、wlan接入设备以及通信系统 | |
CN101159907A (zh) | 一种多模移动通信终端的加密方法及加密系统 | |
CN103973874A (zh) | 一种设备关联的方法及设备 | |
CN103199990A (zh) | 一种路由协议认证迁移的方法和装置 | |
CN104079325B (zh) | 一种信息共享的方法和电子设备 | |
CN103873245B (zh) | 虚拟机系统数据加密方法及设备 | |
CN104092826A (zh) | 终端上个人信息的共享方法及装置 | |
CN103686704A (zh) | 终端与网络侧通信方法和设备 | |
CN102811153A (zh) | Vlan状态的协商方法及边缘设备 | |
CN105340353A (zh) | 设备到设备通信安全 | |
CN107770769B (zh) | 一种加密方法、网络侧设备及终端 | |
CN106605417A (zh) | 用于无线对接体验的管理能力 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20151230 |