CN105656854B - 一种验证无线局域网络用户来源的方法、设备及系统 - Google Patents
一种验证无线局域网络用户来源的方法、设备及系统 Download PDFInfo
- Publication number
- CN105656854B CN105656854B CN201410645099.0A CN201410645099A CN105656854B CN 105656854 B CN105656854 B CN 105656854B CN 201410645099 A CN201410645099 A CN 201410645099A CN 105656854 B CN105656854 B CN 105656854B
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- shared key
- token
- portal server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000012545 processing Methods 0.000 claims description 21
- 230000006399 behavior Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 17
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种验证WLAN用户来源的方法、设备及系统,AC在终端重定向时可利用预设的共享密钥、终端信息、终端所关联的AP的信息以及自身信息生成第一加密令牌并将第一加密令牌告知终端,指示终端向对应的Portal提交携带有第一加密令牌、终端信息、AP信息与AC信息的认证请求,以便Portal根据预设的同一共享密钥以及终端信息、AP与AC的信息生成第二加密令牌并通过判断第二加密令牌是否与第一加密令牌相一致来确定该终端是否为合法终端,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对恶意用户进行拦截,提高了系统的安全性以及健壮性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种验证WLAN(Wireless Local AreaNetwork,无线局域网)用户来源的方法、设备及系统。
背景技术
WLAN网络具有可移动性、灵活性、安全简单、易于调整和扩展等优点,它是对传统有线网络的延伸,被广泛地应用于企业和家庭中,用户可通过内置有WLAN无线模块的终端(如个人计算机、掌上电脑、手机等)或WLAN网卡的方式获得互联网接入服务。
如图1所示,为现有技术中UE(User Equipment,用户终端)接入WLAN网络的方法流程图,其具体处理流程如下:
步骤101:用户终端通过标准的DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议,从AC(Access Controller,接入控制器)处获取规划的IP(InternetProtocol,网络互连协议)地址。
步骤102:用户终端打开浏览器,访问某个网站,发起HTTP(Hypertext TransferProtocol,超文本传送协议)请求。
步骤103:AC截获用户终端发起的HTTP请求,对没有认证过的用户终端,AC强制该用户终端访问门户服务器(即Portal)的URL(Uniform Resource Locator,统一资源定位符)。
步骤104:用户终端根据AC返回的门户服务器的URL向对应的门户服务器发起访问请求。
步骤105:门户服务器接受用户终端的访问请求,向用户终端推送认证页面。
步骤106:用户终端在认证页面上填入账号和密码等用户认证信息,以安全的方式,如HTTPS POST(Hyper Text Transfer Protocol over Secure Socket Layer,HTTP的安全版)提交到门户服务器。
步骤107:门户服务器接收到用户认证信息,向RADIUS(Remote AuthenticationDial In User Service,远程用户拨号认证系统)发出用户认证信息查询请求。
步骤108:RADIUS根据用户认证信息验证用户密码、查询用户认证信息,并向门户服务器返回查询结果。若查询失败,门户服务器执行步骤115,流程至此结束;若查询成功,则继续执行下一步。
步骤109:门户服务器向AC请求认证口令Challenge。
步骤110:AC返回认证口令Challenge。
步骤111:门户服务器将用户认证信息提交到AC,发起认证。
步骤112:AC将用户认证信息发送到RADIUS,进行认证。
步骤113:RADIUS根据用户认证信息判断用户终端是否合法,并通知AC。
步骤114:AC返回认证结果给门户服务器。
步骤115:门户服务器根据认证结果,向用户终端推送认证结果页面。
在上述流程中,步骤106、107、108执行了一次认证过程,用户终端可从步骤108获知认证结果(成功或失败)。如果有用户想对RADIUS进行攻击,有可能会针对这些步骤,自行构造认证请求数据(即用户名和密码等用户认证信息),按照步骤106、107、108向门户服务器发起认证请求,根据返回结果即可判断认证请求数据是否合法,若返回认证成功的响应,则说明认证请求数据包中含有正确的用户名和密码。若攻击者频繁地发起认证请求,则会严重影响RADIUS的性能,甚至会造成RADIUS宕机。
为了防止攻击者频繁发起认证请求,门户服务器需要识别各用户终端的来源,对恶意用户终端发起的认证请求不予接受,以实现安全防护。
具体地,现有技术中,由于接入WLAN系统的正常用户在提交给门户服务器的认证请求包中会携带有AC、AP(Access Point,无线访问节点)等信息,因而,门户服务器可根据认证请求包中的AC、AP信息对用户终端的来源进行定位。但是,由于恶意用户能够自行构造认证请求包,随意填写AC、AP信息,导致门户服务器无法根据认证请求包中的AC、AP信息准确地确定用户终端的来源。另外,由于门户服务器通常部署于互联网,攻击者即使未接入WLAN系统,也可通过互联网向门户服务器发起认证请求,对RADIUS实施攻击。因此,门户服务器不能根据请求包中的AC、AP信息对用户终端的来源进行定位,仅能根据用户终端来源的IP地址进行定位,但若用户终端处于NAT(Network Address Translation,网络地址转换)环境,那么门户服务器只能获取经过NAT转换后的公网IP,无法获取用户的内网IP,也就无法定位到用户终端的具体来源。
因此,亟需提供一种新的验证WLAN用户来源的方法,来解决目前无法准确定位终端来源,导致WLAN认证系统安全性低等问题。
发明内容
本发明实施例提供了一种验证WLAN用户来源的方法、设备及系统,用以解决目前存在的无法准确定位终端来源,导致WLAN认证系统安全性低的问题。
本发明实施例提供了一种验证WLAN用户来源的方法,包括:
AC截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌;并
将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,本发明实施例还提供了另一种验证WLAN用户来源的方法,包括:
终端接收接入控制器AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的;
根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,本发明实施例还提供了另一种验证WLAN用户来源的方法,包括:
门户服务器接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,本发明实施例还提供了一种AC,包括:
获取单元,用于截获终端发起的网页访问请求;
处理单元,用于若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌;
发送单元,用于将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,本发明实施例还提供了一种终端,包括:
接收单元,用于接收接入控制器AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的;
发送单元,用于根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,本发明实施例还提供了一种门户服务器,包括:
接收单元,用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
处理单元,用于根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,本发明实施例还提供了一种验证WLAN用户来源的系统,包括:
AC,用于截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌,并将所述第一加密令牌以及门户服务器的网址信息发送给所述终端;
终端,用于接收AC发送的第一加密令牌以及门户服务器的网址信息,并根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求;
门户服务器,用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的接入点AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求;根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
本发明有益效果如下:
本发明实施例提供了一种验证WLAN用户来源的方法、设备及系统,AC在终端重定向时可利用预设的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及自身信息生成第一加密令牌并将重定向URL和所述第一加密令牌告知所述终端,指示所述终端向对应的Portal提交携带有所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息的认证请求,以便Portal根据预设的与所述第一共享密钥相同的第二共享密钥以及所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端。
也就是说,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为现有验证WLAN用户来源的方法的流程示意图;
图2所示为本发明实施例一中一种验证WLAN用户来源的方法的流程示意图;
图3所示为本发明实施例二中另一种验证WLAN用户来源的方法的流程示意图;
图4所示为本发明实施例三中另一种验证WLAN用户来源的方法的流程示意图;
图5所示为本发明实施例四中一种验证WLAN用户来源的方法的多方交互流程示意图;
图6所示为本发明实施例五中一种AC的结构示意图;
图7所示为本发明实施例六中一种终端的结构示意图;
图8所示为本发明实施例七中一种门户服务器的结构示意图;
图9所示为本发明实施例八中一种验证WLAN用户来源的系统的结构示意图。
具体实施方式
本发明实施例提供了一种验证WLAN用户来源的方法、设备及系统,AC在终端重定向时可利用预设的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及自身信息生成第一加密令牌并将重定向URL和所述第一加密令牌告知所述终端,指示所述终端向对应的Portal提交携带有所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息的认证请求,以便Portal根据预设的与所述第一共享密钥相同的第二共享密钥以及所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端。
也就是说,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
其中,WLAN认证系统主要可包含AP、AC、门户服务器(即Portal)和RADIUS等网元。上述各网元的相关功能描述可如下所述:AP是无线用户的接入点;AC是接入控制器,主要完成WLAN用户的接入控制,计费信息采集以及无线业务管理和控制等;Portal具备强制Portal、认证页面推送、下线通知等功能;RADIUS为用户认证服务器,在收到来自AC的用户认证服务请求后,可对用户进行认证,并将认证结果通知AC。
下面为了使本发明的目的、技术方案和优点更加清楚,将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一:
本发明实施例一提供了一种验证WLAN用户来源的方法,如图2所示,其为本发明实施例一所述验证WLAN用户来源的方法的流程示意图,所述方法可包括以下步骤:
步骤201:AC截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌。
其中,所述终端的终端信息、以及所述终端所关联的AP的信息通常可携带在所述终端所发起的所述网页访问请求(通常可为http请求)中,本发明实施例对此不作任何限定。
具体地,所述终端的终端信息可以是任何能够唯一标识所述终端的信息,如所述终端的名称、所述终端的IP(网际协议)地址或所述终端的MAC(媒体接入控制)地址等;类似地,所述终端所关联的AP的信息可以是任何能够唯一标识所述AP的信息,如所述AP的名称、所述AP的IP地址或所述AP的MAC地址等;再有,所述AC的信息可以是任何能够唯一标识所述AC的信息,如所述AC的名称、所述AC的IP地址或所述AC的MAC地址等,本发明实施例对此均不作赘述。
进一步地,需要说明的是,与现有技术类似,所述终端在发起相应的网页访问请求之前,通常已关联至相应的AP,并通过标准的DHCP协议,从AC处获取到规划的IP地址等信息,本发明实施例对此不再赘述。
具体地,步骤201中所述AC利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌,可实施为如下方式:
方式一:利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第一加密令牌;
可选地,在本方式一中,所述AC可利用以下公式生成相应的第一加密令牌Token:
Token=Session_ID||HMAC(K,(Session_ID,UE_info,AC_info,AP_info));
其中,所述Session_ID即为用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识,并且,其通常是由所述AC产生的,且,针对任意两个不同的会话,其所对应的会话标识互不相同;所述K即为所述第一共享密钥,所述UE_info即为所述终端的终端信息(如所述终端的IP地址、MAC地址等),所述AC_info即为所述AC的信息(如所述AC的IP地址、MAC地址等),所述AP_info即为所述AP的信息(如所述AP的IP地址、MAC地址等)。
方式二:利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第一加密令牌。
可选地,与方式一类似,在本方式二中,所述AC可利用以下公式生成相应的第一加密令牌Token:
Token=Time||HMAC(K,(Time,UE_info,AC_info,AP_info));
其中,所述Time即为所述AC截获到所述网页访问请求时所对应的时间戳,所述K即为所述第一共享密钥,所述UE_info即为所述终端的终端信息,所述AC_info即为所述AC的信息,所述AP_info即为所述AP的信息。
需要说明的是,在本发明所述实施例中,除了可采用上述HMAC(Hashed MessageAuthentication Code,散列消息身份验证码)-SHA1(Secure Hash Algorithm,安全散列算法)的方式计算第一加密令牌Token之外,还可采用对称密码算法,如AES(AdvancedEncryption Standard,高级加密标准)或非对称密码算法,如RSA(RSA algorithm,RSA密码算法)等计算该第一加密令牌Token,本发明实施例对此不作任何限定。但是,由于采用上述HMAC-SHA1的方式计算第一加密令牌Token时,所消耗的资源极小,远低于普通的对称密码运算和非对称密码运算,对设备要求较低,因此,优选地,在本发明所述实施例中,通常可选用HMAC-SHA1的方式计算第一加密令牌Token。
步骤202:将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端,其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
也就是说,所述AC可将第一加密令牌(即Token)和相应的门户服务器的网址信息,如门户服务器的URL发送给所述终端,强制所述终端根据所述门户服务器的网址信息访问对应的门户服务器。
之后,所述门户服务器可根据所述终端的访问请求,向所述终端推送认证页面(具体可为WEB认证页面)。相应地,所述终端可根据所述门户服务器返回的认证页面,向所述门户服务器发送携带有用户认证信息(如帐号、密码等信息)、所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息的认证请求,以使得所述门户服务器在接收到所述认证请求时,可根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并将所述第一加密令牌与所述第二加密令牌进行比对,若比对成功,则可确定所述终端的用户认证信息合法(即所述终端为合法终端)并执行后续的认证流程,若比对失败,则可确定所述终端的用户认证信息非法(即所述终端为非法终端)并拒绝接受该终端发起的认证请求。
需要说明的是,在本发明所述实施例中,所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌的方式与所述AC根据预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌的方式相同,本发明实施例对此不作赘述。
也就是说,在本发明所述技术方案中,AC在终端重定向时可利用预设的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及自身信息生成第一加密令牌并将重定向URL和所述第一加密令牌告知所述终端,指示所述终端向对应的Portal提交携带有所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息、以及所述AC的信息的认证请求,以便Portal根据预设的与所述第一共享密钥相同的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、以及所述AC的信息生成第二加密令牌并可仅接受携带有与所述第二加密令牌一致的第一加密令牌的认证请求。
即,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
实施例二:
本发明实施例二以执行方为终端为例,对本发明实施例一中所述验证WLAN用户来源的方法进行进一步说明,如图3所示,其为本发明实施例二所述验证WLAN用户来源的方法的流程示意图,所述方法可包括以下步骤:
步骤301:终端接收AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的。
具体地,与本发明实施例一中的相关描述类似,所述第一加密令牌通常可以是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述终端发起的网页访问请求与所述门户服务器所建立的会话的会话标识生成的;或者,还可以是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述终端发起的网页访问请求时所对应的时间戳生成的,本发明实施例对此不作赘述。
步骤302:根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
具体地,步骤302,根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,可具体实施为以下步骤:
S1:根据所述网址信息,访问对应的门户服务器;
S2:根据所述门户服务器返回的认证页面,向所述门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求。
其中,所述用户认证信息可以是用户在认证页面上填入的账号、密码等信息,本发明实施例对此不作任何限定。
也就是说,在本发明实施例二所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
实施例三:
本发明实施例三以执行方为门户服务器为例,对本发明实施例一中所述验证WLAN用户来源的方法进行进一步说明,如图4所示,其为本发明实施例三所述验证WLAN用户来源的方法的流程示意图,所述方法可包括以下步骤:
步骤401:门户服务器接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌的认证请求;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的。
具体地,与本发明实施例一中的相关描述类似,所述第一加密令牌通常可以是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述终端发起的网页访问请求与所述门户服务器所建立的会话的会话标识生成的;或者,还可以是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述终端发起的网页访问请求时所对应的时间戳生成的,本发明实施例对此不作赘述。
再有,在门户服务器接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌的认证请求之前,门户服务器还可以接收所述终端根据AC返回的重定向URL(即门户服务器的网址信息)发送的访问请求,并根据该访问请求向所述终端推送认证页面,以由终端根据该认证页面向所述门户服务器提交携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌的认证请求,本发明实施例对此不作赘述。
另外,所述用户认证信息可以是用户在认证页面上填入的账号、密码等信息,本发明实施例对此不作任何限定。
步骤402:根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
具体地,与所述AC根据预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌的方式相同,所述门户服务器可通过以下方式,根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌:
方式一:利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第二加密令牌;
可选地,在本方式一中,所述门户服务器可利用以下公式生成相应的第二加密令牌XToken:
XToken=Session_ID||HMAC(K,(Session_ID,UE_info,AC_info,AP_info));
其中,所述Session_ID即为用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识,所述K即为所述第二共享密钥,所述UE_info即为所述终端的终端信息,所述AC_info即为所述AC的信息,所述AP_info即为所述AP的信息。另外需要说明的是,所述门户服务器具体可根据所述第一加密令牌,获取其中所涉及到的Session_ID,即会话标识;或者,也可以直接从所述AC处获取相应的会话标识,本发明实施例对此不作任何限定。
方式二:利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第二加密令牌。
可选地,与方式一类似,在本方式二中,所述门户服务器可利用以下公式生成相应的第二加密令牌XToken:
XToken=Time||HMAC(K,(Time,UE_info,AC_info,AP_info));
其中,所述Time即为所述AC截获到所述网页访问请求时所对应的时间戳,其中,该时间戳通常可对应一个有效期,且该有效期可根据实际情况进行调整设定;所述K即为所述第一共享密钥,所述UE_info即为所述终端的终端信息,所述AC_info即为所述AC的信息,所述AP_info即为所述AP的信息。另外需要说明的是,所述门户服务器具体可根据所述第一加密令牌,获取其中所涉及到的时间戳,当然,还可以直接从所述AC处获取所述时间戳,本发明实施例对此不作任何限定。
需要说明的是,在本发明所述实施例中,除了可采用上述HMAC-SHA1的方式计算第二加密令牌XToken之外,还可采用对称密码算法或非对称密码算法等计算该第二加密令牌XToken,本发明实施例对此不作任何限定。但是,由于采用上述HMAC-SHA1的方式计算第二加密令牌XToken时,所消耗的资源极小,远低于普通的对称密码运算和非对称密码运算,对设备要求较低,因此,优选地,在本发明所述实施例中,通常可选用HMAC-SHA1的方式计算第二加密令牌XToken。
进一步地,步骤402,通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端,可具体实施为:
将所述第一加密令牌与所述第二加密令牌进行比对,若比对成功,则可确定所述终端的用户认证信息合法,即所述终端为合法终端,之后可继续执行后续的认证流程;若比对失败,则可确定所述终端的用户认证信息非法,即所述终端为非法终端,并拒绝接受该终端发起的认证请求,本发明实施例对此不作赘述。
进一步地,若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述终端发起的网页访问请求与所述门户服务器所建立的会话的会话标识生成的,则在步骤402根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,所述方法还可包括:
确定用于标识所述AC根据截获到的所述终端发起的网页访问请求与所述门户服务器所建立的会话的会话标识未被使用过。
这是因为,AC根据不同的网页访问请求与所述门户服务器所建立的不同的会话所对应的会话标识互不相同,因此,若确定根据新的网页访问请求所生成的会话的会话标识已经使用过,则说明与该新的网页访问请求所对应的认证数据非法,因而可予以丢弃并可直接向终端返回认证失败消息。也就是说,即使攻击者能够获取到合法的第一共享密钥,也仅能向门户服务器提交一次用户认证请求,当其再次使用相同的第一共享密钥时,由于对应的会话标识已经失效,因此,门户服务器将不予正确响应,导致其攻击失败,从而可极大地提高WLAN认证系统的安全性。
进一步地,若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述终端发起的网页访问请求时所对应的时间戳生成的,则在步骤303根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,所述方法还可包括:
确定所述AC截获到所述终端发起的网页访问请求时所对应的时间戳未超过设定的有效期。
这是因为,AC截获到终端发起的网页访问请求时所对应的时间戳通常具备一个有效期,若超过该有效期,则可确定与该网页访问请求所对应的认证数据非法,因而可予以丢弃并可直接向终端返回认证失败消息。也就是说,攻击者只能在时间戳有效期内向门户服务器提交认证请求,若时间戳的有效期较短,则攻击者将不能发起持续的攻击行为,从而提高了WLAN认证系统的安全性。
下面详细说明步骤402中确定所述终端的用户认证信息合法后的后续认证流程所涉及到的各步骤,如以下步骤B1-B9:
步骤B1:门户服务器向RADIUS发出用户认证信息查询请求。
步骤B2:RADIUS根据用户认证信息验证用户密码、查询用户认证信息,并向门户服务器返回查询结果。若查询失败,门户服务器执行步骤B9,流程至此结束;若查询成功,则继续执行下一步B3。
步骤B3:门户服务器服务器向AC请求认证口令Challenge。
步骤B4:AC返回认证口令Challenge。
步骤B5:门户服务器将用户认证信息提交到AC,发起认证。
步骤B6:AC将用户认证信息发送到RADIUS,进行认证。
步骤B7:RADIUS根据用户认证信息判断终端用户是否合法,并通知AC。
步骤B8:AC返回认证结果给门户服务器。
步骤B9:门户服务器根据认证结果,向终端用户推送认证结果页面。
本发明实施例三提供了一种验证WLAN用户来源的方法,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。例如,当采用方式一生成Token且攻击者获取到合法的Token时,攻击者也仅能向Portal提交一次认证请求,再次使用相同的Token时,由于Session_ID已失效,使得Portal将不予正确响应,导致其攻击失败。而当采用方式二生成Token时,攻击者只能在时间戳有效期内向Portal提交认证请求,由于时间戳的有效期通常较短,因此,使得攻击者将不能发起持续的攻击行为,使得系统的安全性大大提升。
实施例四:
本发明实施例四以UE、AP、AC、门户服务器以及RADIUS等多方交互执行为例,对本发明实施例一至实施例三中所述验证WLAN用户来源的方法进行进一步说明,如图5所示,其为本发明实施例四所述的验证WLAN用户来源的方法的流程示意图,所述方法可包括以下步骤:
步骤501:AC与门户服务器预先配置相同的共享密钥。
步骤502:终端关联至AP,通过标准的DHCP协议,从AC处获取规划的IP地址。
步骤503:终端打开浏览器,访问某个网站,发起网页访问请求。
步骤504:AC截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息生成第一加密令牌。
具体地,所述AC可通过以下方式生成第一加密令牌:
方式一:利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第一加密令牌;
方式二:利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第一加密令牌。
步骤505:AC将所述第一加密令牌以及门户服务器的网址信息发送给所述终端。
步骤506:终端根据接收到的所述门户服务器的网址信息访问对应的门户服务器。
步骤507:门户服务器接受终端的访问请求,向终端推送认证页面。
步骤508:终端通过所述门户服务器返回的认证页面,向所述门户服务器发送携带有用户认证信息(如账号、密码等信息)、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求。
步骤509:门户服务器在接收到所述认证请求后,根据预先配置的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息生成第二加密令牌,并将所述第一加密令牌与所述第二加密令牌进行比对,若比对成功,则确定所述终端的用户认证信息合法并继续执行下一步;若比对失败,则执行步骤518,流程至此结束。
具体地,所述门户服务器根据预先配置的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌的方式与所述AC根据预先配置的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌的方式相同,即,可利用所述共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第二加密令牌,或者,可利用所述共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第二加密令牌。
进一步地,若所述第一加密令牌是所述AC利用所述共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述终端发起的网页访问请求与所述门户服务器所建立的会话的会话标识生成的,则在所述门户服务器根据预先配置的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,所述方法还可包括:
确定用于标识所述AC根据截获到的所述终端发起的网页访问请求与所述门户服务器所建立的会话的会话标识未被使用过。
这是因为,AC根据不同的网页访问请求与所述门户服务器所建立的不同的会话所对应的会话标识互不相同,因此,若确定根据新的网页访问请求所生成的会话的会话标识已经使用过,则说明与该新的网页访问请求所对应的认证数据非法,因而可予以丢弃并可直接向终端返回认证失败消息或跳转至步骤518,而无需再次执行计算第二加密令牌的操作。
进一步地,若所述第一加密令牌是所述AC利用所述共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述终端发起的网页访问请求时所对应的时间戳生成的,则在所述门户服务器根据预先配置的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,所述方法还可包括:
确定所述AC截获到所述终端发起的网页访问请求时所对应的时间戳未超过设定的有效期。
这是因为,AC截获到终端发起的网页访问请求时所对应的时间戳通常具备一个有效期,若超过该有效期,则可确定与该网页访问请求所对应的认证数据非法,因而可予以丢弃并可直接向终端返回认证失败消息或跳转至步骤518,而无需再次执行计算第二加密令牌的操作。
步骤510:门户服务器向RADIUS发出用户认证信息查询请求。
步骤511:RADIUS根据用户认证信息验证用户密码、查询用户认证信息,并向门户服务器返回查询结果。若查询失败,门户服务器执行步骤518,流程至此结束;若查询成功,则继续执行下一步。
步骤512:门户服务器服务器向AC请求认证口令Challenge。
步骤513:AC返回认证口令Challenge。
步骤514:门户服务器将用户认证信息提交到AC,发起认证。
步骤515:AC将用户认证信息发送到RADIUS,进行认证。
步骤516:RADIUS根据用户认证信息判断终端用户是否合法,并通知AC。
步骤517:AC返回认证结果给门户服务器。
步骤518:门户服务器根据认证结果,向终端用户推送认证结果页面。
本发明实施例四提供了一种验证WLAN用户来源的方法,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
实施例五:
本发明实施例五提供了一种可用以实现本发明实施例一中所述方法的AC,其结构示意图如图6所示,包括:
获取单元61,可用于截获终端发起的网页访问请求;
处理单元62,可用于若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌;
其中,所述终端的终端信息、以及所述终端所关联的AP的信息通常可携带在所述终端所发起的所述网页访问请求(通常可为http请求)中,本发明实施例对此不作任何限定。
发送单元63,可用于将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,所述处理单元62,可具体用于利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第一加密令牌;或者
利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第一加密令牌。
本发明实施例五提供了一种AC,在本发明所述技术方案中,AC在终端重定向时可利用预设的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及自身信息生成第一加密令牌并将重定向URL和所述第一加密令牌告知所述终端,指示所述终端向对应的Portal提交携带有所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息、以及所述AC的信息的认证请求,以便Portal根据预设的与所述第一共享密钥相同的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端。
即,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
实施例六:
本发明实施例六提供了一种可用以实现本发明实施例二中所述方法的终端,其结构示意图如图7所示,包括:
接收单元71,可用于接收AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的;
具体地,所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的;或者,是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的;
发送单元72,可用于根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
进一步地,所述发送单元72,可具体用于根据所述网址信息,访问对应的门户服务器;并根据所述门户服务器返回的认证页面,向所述门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求。
本发明实施例六提供了一种终端,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
实施例七:
本发明实施例七提供了一种可用以实现本发明实施例三中所述方法的门户服务器,其结构示意图如图8所示,包括:
接收单元81,可用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及以及第一加密令牌的认证请求;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
处理单元82,可用于根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
具体地,所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的;或者,是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的;
所述处理单元82,可具体用于利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第二加密令牌;或者,
利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第二加密令牌。
进一步地,在一实施例中,所述门户服务器还可包括:
确定单元83,可用于若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的,则在所述处理单元82根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,确定用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识未被使用过;或者
还用于若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的,则在所述处理单元82根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,确定所述AC截获到所述网页访问请求时所对应的的时间戳未超过设定的有效期。
本发明实施例七提供了一种门户服务器,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。例如,当采用方式一生成Token且攻击者获取到合法的Token时,攻击者也仅能向Portal提交一次认证请求,再次使用相同的Token时,由于Session_ID已失效,使得Portal将不予正确响应,导致其攻击失败。而当采用方式二生成Token时,攻击者只能在时间戳有效期内向Portal提交认证请求,由于时间戳的有效期通常较短,因此,使得攻击者将不能发起持续的攻击行为,使得系统的安全性大大提升。
实施例八:
本发明实施例八提供了一种可用以实现本发明实施例一到四中任意所述方法的验证WLAN用户来源的系统,其结构示意图如图9所示,包括:
AC91,可用于截获终端92发起的网页访问请求,若确定所述终端92尚未认证,则利用预先配置的第一共享密钥、所述终端92的终端信息、所述终端92所关联的AP的信息以及所述AC91的信息生成第一加密令牌,并将所述第一加密令牌以及门户服务器93的网址信息发送给所述终端92;
终端92,用于接收AC91发送的第一加密令牌以及门户服务器93的网址信息,并根据所述网址信息向对应的门户服务器93发送携带有用户认证信息、所述终端92的终端信息、所述终端92所关联的AP的信息、所述AC91的信息以及所述第一加密令牌的认证请求;
门户服务器93,可用于接收所述终端92发送的携带有用户认证信息、所述终端92的终端信息、所述终端92所关联的AP的信息、AC91的信息以及第一加密令牌的认证请求;根据预先配置的第二共享密钥、所述终端92的终端信息、所述终端92所关联的AP的信息以及所述AC91的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端92是否为合法终端92;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
本发明实施例八提供了一种验证WLAN用户来源的系统,在本发明所述技术方案中,AC在终端重定向时可利用预设的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及自身信息生成第一加密令牌并将重定向URL和所述第一加密令牌告知所述终端,指示所述终端向对应的Portal提交携带有所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息、以及所述AC的信息的认证请求,以便Portal根据预设的与所述第一共享密钥相同的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端。
即,在本发明所述技术方案中,终端向Portal提交的认证数据中包含有所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌,并且,所述第一加密令牌需要使用AC与Portal之间预设的共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息才能产生,从而可防止攻击者随意填写终端信息和AP、AC信息,使得Portal可根据AP、AC信息及终端信息准确判断用户来源,以便对具有恶意攻击行为的恶意用户进行拦截,提高了WLAN认证系统的安全性以及健壮性。
另外,由于终端向Portal提交的认证数据(如第一加密令牌)能够使用AC和Portal之间预设的共享密钥来保护,攻击者不能自行构造和产生相应的认证数据,仅能通过接入WLAN系统以正常登录Portal的方式获取合法的认证数据,从而还可在避免了攻击者通过互联网向Portal发起认证请求进行攻击的行为的基础上,进一步提高WLAN认证系统的安全性以及健壮性。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种验证无线局域网络WLAN用户来源的方法,其特征在于,包括:
接入控制器AC截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成第一加密令牌,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;并
将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
2.如权利要求1所述的方法,其特征在于,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌,包括:
利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第一加密令牌;或者
利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第一加密令牌。
3.一种验证无线局域网络WLAN用户来源的方法,其特征在于,包括:
终端接收接入控制器AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;
根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
4.如权利要求3所述的方法,其特征在于,根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,包括:
根据所述网址信息,访问对应的门户服务器;并
根据所述门户服务器返回的认证页面,向所述门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求。
5.一种验证无线局域网络WLAN用户来源的方法,其特征在于,包括:
门户服务器接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的接入点AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
6.如权利要求5所述的方法,其特征在于,所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的;或者,是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的;
根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,包括:
利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第二加密令牌;或者,
利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第二加密令牌。
7.如权利要求6所述的方法,其特征在于,若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的,则在根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,所述方法还包括:
确定用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识未被使用过;
若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的,则在根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,所述方法还包括:
确定所述AC截获到所述网页访问请求时所对应的时间戳未超过设定的有效期。
8.一种接入控制器AC,其特征在于,包括:
获取单元,用于截获终端发起的网页访问请求;
处理单元,用于若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成第一加密令牌,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;
发送单元,用于将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
9.如权利要求8所述的AC,其特征在于,
所述处理单元,具体用于利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第一加密令牌;或者
利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第一加密令牌。
10.一种终端,其特征在于,包括:
接收单元,用于接收接入控制器AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;
发送单元,用于根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
11.如权利要求10所述的终端,其特征在于,
所述发送单元,具体用于根据所述网址信息,访问对应的门户服务器;并根据所述门户服务器返回的认证页面,向所述门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求。
12.一种门户服务器,其特征在于,包括:
接收单元,用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的接入点AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
处理单元,用于根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
13.如权利要求12所述的门户服务器,其特征在于,所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的;或者,是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的;
所述处理单元,具体用于利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成第二加密令牌;或者,
利用所述第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成第二加密令牌。
14.如权利要求12或13所述的门户服务器,其特征在于,所述门户服务器还包括:
确定单元,用于若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识生成的,则在所述处理单元根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,确定用于标识所述AC根据截获到的所述网页访问请求与所述门户服务器所建立的会话的会话标识未被使用过;或者
还用于若所述第一加密令牌是所述AC利用所述第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述AC截获到所述网页访问请求时所对应的时间戳生成的,则在所述处理单元根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌之前,确定所述AC截获到所述网页访问请求时所对应的时间戳未超过设定的有效期。
15.一种验证无线局域网络WLAN用户来源的系统,其特征在于,包括:
接入控制器AC,用于截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成第一加密令牌,并将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,其中,所述终端的终端信息是能够唯一标识所述终端的信息,所述终端所关联的AP的信息是能够唯一标识所述AP的信息,所述AC的信息是能够唯一标识所述AC的信息;
终端,用于接收AC发送的第一加密令牌以及门户服务器的网址信息,并根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求;
门户服务器,用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、AC的信息以及第一加密令牌的认证请求;根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410645099.0A CN105656854B (zh) | 2014-11-12 | 2014-11-12 | 一种验证无线局域网络用户来源的方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410645099.0A CN105656854B (zh) | 2014-11-12 | 2014-11-12 | 一种验证无线局域网络用户来源的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105656854A CN105656854A (zh) | 2016-06-08 |
| CN105656854B true CN105656854B (zh) | 2019-04-26 |
Family
ID=56478882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410645099.0A Active CN105656854B (zh) | 2014-11-12 | 2014-11-12 | 一种验证无线局域网络用户来源的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105656854B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341413A (zh) * | 2016-09-29 | 2017-01-18 | 上海斐讯数据通信技术有限公司 | 一种portal认证方法及装置 |
| CN108933794B (zh) * | 2018-08-22 | 2021-08-10 | 广州视源电子科技股份有限公司 | 一种加入企业策略的方法、装置、设备及服务器 |
| CN109218334B (zh) * | 2018-11-13 | 2021-11-16 | 迈普通信技术股份有限公司 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
| CN112702306B (zh) * | 2019-10-23 | 2023-05-09 | 中国移动通信有限公司研究院 | 智能服务共享的方法、装置、设备和存储介质 |
| CN118488441A (zh) * | 2024-05-27 | 2024-08-13 | 深圳市英利标准检测技术有限公司 | 一种入网认证检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN101998405A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | 中国移动通信集团公司 | 无线局域网终端认证方法及系统 |
| CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100299517A1 (en) * | 2009-05-22 | 2010-11-25 | Nuvon, Inc. | Network System with a Plurality of Networked Devices with Various Connection Protocols |
| US9332054B2 (en) * | 2012-04-04 | 2016-05-03 | Aruba Networks, Inc. | Captive portal redirection using display layout information |
-
2014
- 2014-11-12 CN CN201410645099.0A patent/CN105656854B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN101998405A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | 中国移动通信集团公司 | 无线局域网终端认证方法及系统 |
| CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105656854A (zh) | 2016-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US10033715B2 (en) | Password-less authentication system and method | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| US10547602B2 (en) | Communications methods and apparatus related to web initiated sessions | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| US9015819B2 (en) | Method and system for single sign-on | |
| US10225260B2 (en) | Enhanced authentication security | |
| US10530763B2 (en) | Late binding authentication | |
| US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| US9203839B2 (en) | User authentication method and apparatus | |
| CN105656854B (zh) | 一种验证无线局域网络用户来源的方法、设备及系统 | |
| US20160381001A1 (en) | Method and apparatus for identity authentication between systems | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| CN106375348B (zh) | 一种Portal认证方法和装置 | |
| CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
| WO2016011588A1 (zh) | 移动管理实体、归属服务器、终端、身份认证系统和方法 | |
| TW201638822A (zh) | 進程的身份認證方法和裝置 | |
| WO2014180431A1 (zh) | 一种网管安全认证方法、装置、系统及计算机存储介质 | |
| CN109729045B (zh) | 单点登录方法、系统、服务器以及存储介质 | |
| WO2013004104A1 (zh) | 单点登录方法及系统 | |
| CN116707961A (zh) | 用户认证方法、计算机设备及计算机存储介质 | |
| KR20170111809A (ko) | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 | |
| CN106506476B (zh) | 安全修改设备信息的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |