CN105813078A - 网络认证方法、装置、系统以及具有认证功能的ap - Google Patents
网络认证方法、装置、系统以及具有认证功能的ap Download PDFInfo
- Publication number
- CN105813078A CN105813078A CN201610297666.7A CN201610297666A CN105813078A CN 105813078 A CN105813078 A CN 105813078A CN 201610297666 A CN201610297666 A CN 201610297666A CN 105813078 A CN105813078 A CN 105813078A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- terminal
- authentication
- bridge
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/12—Access point controller devices
Abstract
本发明涉及数据通信技术领域,具体而言,涉及一种网络认证方法、装置系统以及具有认证功能的AP。网络认证方法包括:获取用户终端所发送的终端关联请求信息;根据所述终端关联请求信息,执行与用户终端之间的关联,并生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息;当收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。该方法不需要使用专用认证路由器,能够在二层转发的AP上完成认证功能。
Description
技术领域
本发明涉及数据通信技术领域,具体而言,涉及一种网络认证方法、装置系统以及具有认证功能的AP。
背景技术
AC(AccessController,接入控制器)是一种网络设备,负责管理某个区域内无线网络中的AP(ACCESSPOINT,无线接入点)。其主要功能包括:对不同的AP下发配置、修改配置、射频智能管理、用户接入控制等。目前的无线网络覆盖技术,多采用云AC+AP+认证路由器的组网方案,即云AC设置在网络侧,其携带有认证服务器;云AC通过相应的NAT接口与DHCP服务器连接;DHCP服务器还连接有认证路由器;认证路由器通过2层网络与AP连接。这种组网方法通过认证路由器以及云AC所携带的认证服务器来完成对用户终端的认证。
这种无线网络覆盖技术中,不论是哪种规模的组网,都需要至少一台高性能的专用认证路由器,这就导致在规模较小的组网中,性能的浪费,而在规模较大的组网中,性能又无法满足用户的要求。
发明内容
有鉴于此,本发明实施例的目的在于提供一种网络认证方法、装置系统以及具有认证功能的AP。不需要使用专用认证路由器,能够在二层转发的AP上完成认证功能。
第一方面,本发明实施例提供了一种应用于具有认证功能的AP上,包括:
获取用户终端所发送的终端关联请求信息;
根据所述终端关联请求信息,执行与用户终端之间的关联,并生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息;
当收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中:所述终端关联请求信息以及所述终端关联信息中均包括:所述用户终端的MAC地址;
所述响应信息具体包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端已经被关联过时所生成的已关联响应信息;
或者,所述相应信息包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端并未被关联过时所生成的未关联响应信息;
所述未关联响应信息包括:portal认证信息;
根据所述响应信息执行用户认证具体包括:
当所述响应信息为未关联响应信息时,执行用户认证。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中:所述执行用户认证具体包括:
向所述用户终端发送所述portal认证信息,以使所述用户终端根据所述portal认证信息向用户显示portal界面;
接收所述用户终端根据所述portal界面所生成的portal认证登录请求,并将所述portal认证登录请求转发至服务器,以使所述服务器根据所述portal认证登录请求执行用户终端在服务器的登录,并生成终端放行指令;
接收所述终端放行指令,并根据所述终端放行指令,执行终端放行。
第二方面,本发明实施例还提供一种网络认证装置,应用于具有认证功能的AP上,包括:
信息接受模块,用于获取用户终端所发送的终端关联请求信息;
关联执行模块,用于根据所述终端关联请求,执行与用户终端之间的关联,
终端上报模块,用于生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息;
认证处理模块,用于在收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中:所述终端关联请求信息以及所述终端关联信息中均包括:所述用户终端的MAC地址;
所述响应信息具体包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端已经被关联过时所生成的已关联响应信息;
或者,所述相应信息包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端并未被关联过时所生成的未关联响应信息;
所述未关联响应信息包括:portal认证信息;
根据所述响应信息执行用户认证具体包括:
当所述响应信息为未关联响应信息时,执行用户认证。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中:所述认证处理模块具体包括:
portal认证信息发送模块,用于向所述用户终端发送所述portal认证信息,以使所述用户终端根据所述portal认证信息向用户显示portal界面;
信息转发模块,用于接收所述用户终端根据所述portal界面所生成的portal认证登录请求,并将所述portal认证登录请求转发至服务器,以使所述服务器根据所述portal认证登录请求执行用户终端在服务器的登录,并生成终端放行指令;
终端放行模块,用于接收所述终端放行指令,并根据所述终端放行指令,执行终端放行。
第三方面,本发明实施例还提供一种具有认证功能的AP,包括:网桥、与所述网桥连接的至少一个无线接口和至少一个有线接口;所述网桥还连接有认证处理模块;
其中,所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文传递给所述网桥;
所述网桥用于根据所述数据报文传递给所述认证处理模块;所述认证处理模块用于对未通过认证的用户终端,应用如上述第一方面任意一项所述的方法对用户终端进行网络认证;
所述认证处理模块还用于将通过认证的用户终端执行终端放行。
第四方面,本发明实施例还提供了另一种具有认证功能的AP,包括:网桥、与所述网桥连接的第一地址修改模块以及第二地址修改模块;所述第一地址修改模块连接有至少一个无线接口;所述第二地址修改模块连接至少一个有线接口;所述网桥还连接有三层转发模块;
所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文转发给所述第一地址修改模块;
所述第一地址修改模块用于将所述数据报文的目的MAC地址修改为AP的MAC地址,并将修改目的MAC地址之后的数据报文传递给所述网桥;
所述网桥用于将所述修改目的MAC地址之后的数据报文转发给所述三层转发模块;
所述三层转发模块用于对未通过认证的用户终端,应用如上述第一方面任意一项所述的方法对用户终端进行网络认证;
所述三层转发模块还用于对通过认证的用户终端,执行终端放行,并将修改目的MAC地址之后的数据报文再转发给网桥;
所述网桥还用于将修改目的MAC地址之后的数据报文发送至第二地址修改模块;
所述第二地址修改模块用于将修改目的MAC地址之后的数据报文还原为原来的数据报文,通过所述有线接口,发送给路由器。
第五方面,本发明实施例还提供了另一种具有认证功能的AP,包括:网桥、与所述网桥连接的至少一个无线接口和至少一个有线接口;所述网桥还连接有网络过滤器;
其中,所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文传递给所述网桥;
所述网桥用于根据所述数据报文传递给所述网络过滤器;所述网络过滤器用于对未通过认证的用户终端,应用如上述第一方面任意一项所述的方法对用户终端进行网络认证;
所述网路过滤器还用于将通过认证的用户终端执行终端放行。
第六方面,本发明实施例还提供了一种网络认证系统,包括:如上述第三方面、第四方面或者第五方面所述的具有认证功能的AP;
所述具有认证功能的AP上设置有如上述第二方面所述的认证装置;
所述认证装置应用如上述第一方面所述认证方法对用户终端进行认证。
本发明实施例所提供的网络认证方法、装置系统以及具有认证功能的AP,使用具有认证功能的AP,在获取到用户终端所发送的终端关联请求信息之后,会根据终端关联请求信息执行与用户终端之间的关联,并生成终端关联信息上报给服务器(即云AC)。服务器在接收到该终端关联上报信息之后,根据不同的情况生成相应的响应信息,AP根据响应信息,在再次接收到用户终端所发送的终端数据时,执行用户的认证,在这个过程当中,认证的时候是直接由AP进行认证的,不需要用户再使用专用认证路由器,能够在AP上完成认证功能。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的一种网络认证方法的流程图;
图2示出了本发明实施例所提供的网络认证方法中,执行用户认证的具体方法的流程图;
图3示出了本发明实施例所提供的一种网络认证装置的结构示意图;
图4示出了本发明实施例所提供的一种网络认证装置中,认证处理模块的结构示意图;
图5示出了本发明实施例所提供的一种具有认证功能的AP的数据转发原理图;
图6示出了本发明实施例所提供的另一种具有认证功能的AP的数据转发原理图;
图7示出了本发明实施例所提供的另一种具有认证功能的AP的数据转发原理图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前的AC无线覆盖方案一般有两种:
第一种:采用FITAP+AC的方案,即通过AC来管理多个AP,AP和AC之间采用隧道协议进行通讯。无线接入报文的处理在AP和AC之间分担实现。AC负责无线网络的接入控制、转发和统计、AP的配置控制、漫游管理、FITAP的网关代理、安全控制等。而FITAP负责802.11报文的加解密、802.11的PHY(网卡芯片)及射频功能、接受无线控制器(AC)的管理、RF空口的统计等简单功能、FITAP的配置保存在AC中,FITAP启动时会自动从AC下载合适的设备配置信息。AC保存FITAP的最新软件,并负责FITAP软件的自动更新。这种无线覆盖方案中,用户在实现AC无线覆盖的时候,需要购买至少一台AC,而AC硬件成本本身比较高,同时,还需要专业的技术人员来进行维护,不管无线覆盖的范围有多大,都需要一台AC方可实现。例如,当无线覆盖范围比较大的时候,需要10台的AP才可以完成整个的无线覆盖,需要购买一台AC,而无线覆盖范围较小,仅需要3台AP便可以完成无线覆盖,也需要购买一台AC,从而造成了无线覆盖的成本过高的问题。
第二种:采用云AC+AP+认证路由器的组网方案,即云AC设置在网络侧,其携带有认证服务器;云AC通过相应的NAT接口与DHCP服务器连接;DHCP服务器还连接有认证路由器;认证路由器通过2层网络与AP连接。这种组网方法通过认证路由器以及云AC所携带的认证服务器来完成对用户终端的认证。其虽然不需要再像第一种无线覆盖方案一样,不管是无线覆盖的范围有多大,都需要购买一台AC,但是用户还是需要购买一台较高性能的专用的认证路由器(认证路由器服务于所有的AP和用户终端,因此需要有较高的性能),导致这种无线网络覆盖技术中,不论是哪种规模的组网,都需要至少一台高性能的专用认证路由器,这就导致在规模较小的组网中,性能的浪费,而在规模较大的组网中,性能又无法满足用户的要求。
基于此,本申请提供的一种网络认证方法、装置以及系统,可以不使用专用的路由器就能够完成无线网络覆盖。该方法应用于由具有认证功能的AP、普通路由器、云AC所组成的Wi-Fi系统中。另外还可以用于其他需要认证的系统中。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种网络认证方法进行详细介绍,
参见图1所示,本发明实施例所提供的网络认证方法应用于具有认证功能的AP上,其执行主体为AP。该方法具体包括:
S101:获取用户终端所发送的终端关联请求信息。
S102:根据所述终端关联请求信息,执行与用户终端之间的关联,并生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息。
S103:当收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。
在具体实现的时候,AP一般具有一个网桥(或者交换机)以及与该网桥连接的多个无线接口,无线接口用于实现与用户终端的连接;网桥实现对用户终端所发送的相关数据的处理以及转发;在网桥上,还连接有一个有线接口,该有线接口连接有一个路由器,路由器与互联网连接。用户终端(例如智能手机、具有无线网卡的电脑、PAD等具有无线上网功能的终端)开启网络搜索功能之后,会搜索到当前AP所发出的无线电信号。在搜索到该无线电信号后,可以自动或者被动的通过该无线电信号实现与无线接口之间的信息交互。无线终端会生成终端关联请求信息,发送给其中一个无线接口。该无线接口在接收到该终端关联请求信息之后,会将该终端关联请求信息发送给网桥。一般地,终端关联请求信息中至少应当包括用户终端的MAC地址。另外还可以包括用户终端所获取的临时IP地址等。
在具体实现的时候,网桥在接收到终端关联请求之后,会根据终端关联请求执行与用户终端之间的关联,并且会生成响应的关联响应发送给对应的用户终端。用户终端在接收到该关联响应之后,进入与AP的关联状态,即如果该用户终端再次向互联网发送数据的时候,是直接向与之关联的AP发送,通过AP实现数据的转发。而其在接收互联网的响应数据的时候,也是要通过AP进行转发才可以接收到的。
AP在执行了与用户终端之间的关联之后,会生成终端关联信息上报给服务器(即云AC)。在服务器中,设置有一个终端管理模块,而在与终端管理模块所连接的数据库中,会存储有一个关联终端的列表,在该列表中,保存有所有的已经与AP进行过关联,且关联在有效期内的用户终端的MAC地址。一般地,一个商家对应有一个终端管理模块(服务器中的执行终端管理功能的单元可以只有一个,会根据具体的不同商家被虚拟的进行划分成不同的终端管理模块),而每一个终端管理模块,管理该商家所对应的所有AP(可以是一个也可以是多个),每一个AP均可以连接多个用户终端。与每一个终端管理模块所对应的关联终端列表中,应当保存所有与AP关联的用户终端。而同时,所保存的用户终端应当是处于关联的有效期内。
根据不同的策略,可以针对不同的用户终端设置不同的有效期。例如,在某商场内,如果某一个用户终端为该商场的VIP客户,那么该用户终端进行过一次认证之后,就应当长期处于关联状态,即与该用户终端所对应的MAC地址应当长期的(一周、一月或者更久,商家可以根据自己的实际需要进行设定)被保存在用户终端的列表中。如果用户终端仅仅为一般用户或者游客,那么关联的有效期可以是几个小时、一天等较短的时间。一旦超出了该有效期,那么该用户终端的MAC地址就要从用户终端的列表中进入失效状态或者直接被删除,用户想要再次通过该商家的无线网络上网的时候,就只能够再次进行验证,或者需要再次重新进行关联。
需要注意的是,由于用户终端的列表中保存了与商家对应的所有AP所关联的用户终端,而每一个AP的覆盖范围都是有限的,因此当用户从其中一个AP的覆盖范围移动到另外一个AP的覆盖范围的时候,该用户终端仅仅会完成与新的AP之间的关联,新的AP不需要再次对该有效的用户终端进行验证。
终端关联信息中会包括用户终端的MAC地址,终端管理模块会在接收到终端关联信息之后,根据终端关联信息中的MAC地址,从用户终端的列表中进行检索,判断该用户终端是否被关联过,且处于关联的有效期内,并根据检索的结果,生成相应的响应信息。
一般地,响应信息具体包括两种:
1、所述服务器根据所述用户终端的MAC地址判断所述用户终端已经被关联过时所生成的已关联响应信息;即用户终端列表中已经保存过该用户终端的MAC地址,且该用户终端还在有效期内,那么就认为该用户终端被关联,同时也被认证过,且处于认证的有效期内,不需要再次进行认证。AP在接收到服务器所生成的已关联响应信息后,会将用户终端加入自己的白名单,当AP再次接收到该用户终端所发送的上网数据(HTTP数据)的时候,会直接将该上网数据通过转发给路由器,由路由器将上网数据发送到互联网中。
2、所述服务器根据所述用户终端的MAC地址判断所述用户终端并未被关联过时所生成的未关联响应信息。即用户终端列表中并未保存过该用户终端的MAC地址,或者该用户终端的关联已经过期,就认为该用户终端需要进行重新的认证。服务器所生成的未关联响应信息中包含了portal认证信息。AP在接收到该未关联响应信息之后,在再次接收到用户终端所发送的上网数据(http数据)的时候,根据该portal认证信息,向用户终端返回portal认证的URL,使得用户终端向用户显示portal界面。用户可以在该portal界面中填入验证信息,以便AP完成用户终端的认证。
本发明实施例所提供的网络认证方法,使用具有认证功能的AP,在获取到用户终端所发送的终端关联请求信息之后,会根据终端关联请求信息执行与用户终端之间的关联,并生成终端关联信息上报给服务器(即云AC)。服务器在接收到该终端关联上报信息之后,根据不同的情况生成相应的响应信息,AP根据响应信息,在再次接收到用户终端所发送的终端数据时,执行用户的认证,在这个过程当中,认证的时候是直接由AP进行认证的,不需要用户再使用专用认证路由器,能够在AP上完成认证功能。
参见图2所示,本发明实施例还提供一种执行用户认证的具体方法,该方法包括:
S201:向所述用户终端发送所述portal认证信息,以使所述用户终端根据所述portal认证信息向用户显示portal界面。
在具体实施的时候,该portal认证信息一般是由服务器发送给AP的,AP在接收到用户终端再一次所发送的终端数据之后,会直接将该portal认证信息发送给用户终端。该portal认证信息一般是一个URL信息,用户终端在接收到该URL信息之后,会在浏览器界面显示portal界面。一般地,针对不同的用户,portal界面可以是不同的,例如,AP可以自动获取用户的浏览历史,在生成终端关联信息上报给服务器的时候,也会将浏览历史发送给服务器。服务器在接收到该浏览历史数据的时候,会根据用户的浏览历史数据,判断用户比较感兴趣的内容,从而可以针对该用户生成推送消息,并将推送消息作为portal认证信息的一部分发送给AP。AP在将portal认证信息发送给用户终端之后,用户终端会对在portal界面对推送消息进行显示。
另外,需要注意的是,还可以直接将portal认证信息所对应的URL保存在AP中,portal认证信息仅仅作为一个触发指令,只要AP接收到了该触发指令,就会将与该触发指令对应的URL发送给用户终端。针对不同的用户终端,portal认证信息可以是不同的,其所对应的URL也可以不同。例如,某用户终端之前进行过认证,但是认证已经生效,这种用户终端可以对应有一种URL,另外一个用户终端并未进行过认证,这种用户终端可以对应有另外一种URL,具体的,均可以根据用户的实际需要进行具体的设置。
S202:接收所述用户终端根据所述portal界面所生成的portal认证登录请求,并将所述portal认证登录请求转发至服务器,以使所述服务器根据所述portal认证登录请求执行用户终端在服务器的登录,并生成终端放行指令;
在具体实现的时候,当用户终端接收到portal认证信息之后,会对portal认证信息进行解析,向用户显示相应的portal界面。在该portal界面中,会向用户显示一个认证登录框,用户可以在该认证登录框中填写认证需要的相关信息(比如说手机号码、即使发送到响应手机的验证码等)。用户界面将用户所填写的相关信息转化为portal认证登录请求,并将该portal认证登录请求发送给AP。AP在接收到该portal认证登录请求之后,会将其转发给服务器。在服务器上设置有一个portal服务模块。该portal服务模块用于接收该portal认证登录请求,并对portal认证登录请求中的相关信息进行验证。如果验证通过,向通过AP向用户终端发送验证通过的提示。服务器中的认证管理模块还会向AP发送认证通过的终端放行指令。
S203:接收所述终端放行指令,并根据所述终端放行指令,执行终端放行。
在具体实现的时候,AP在接收到该终端放行指令之后,会对相应的用户终端放行,即再次受到用户终端所发送的上网数据之后,会将上网数据直接通过路由器发送至互联网中。执行放行的过程有多种。例如,可以在AP中设置一个用户终端的白名单,对于已经经过验证的用户终端,AP可以根据终端放行指令,将其MAC地址加入该白名单中,AP在接收到用户终端所发送的上网数据的时候,会将上网数据中的MAC地址解析出来,如果其MAC地址在该名单中,那么就会将上网数据转发至路由器,由路由器发送至互联网。而由互联网给用户终端所发送的反馈信息则再次经由AP的解析,在反馈信息中应当包含了用户终端的MAC地址,如果该MAC地址在白名单中,那么AP将该反馈信息发送至相应的用户终端。另外,在AC在向用户终端发送通过验证的提示的时候,会同时向用户终端发送一个具有时间限制的令牌码;用户终端所发送的上网数据中应当包含该令牌码。AP会对该令牌码进行校验。如果该令牌码处于有效状态,那么AP将用户终端的上网数据转发给路由器(由于用户终端是与AP关联的,互联网的反馈数据可以直接由AP转发给用户终端)。如果该令牌码失效,那么需要用户终端重新向AC申请新的令牌码(已经认证过的可以不需要再次进行认证,只需要再次申请令牌码即可),或者需要用户终端再一次执行认证后,方可获取新的令牌码。
本发明又一实施例还提供一种网络认证装置,该装置应用于具有认证功能的AP上。参见图3所示,本发明实施例所提供的网络认证装置包括:
信息接受模块,用于获取用户终端所发送的终端关联请求信息;
关联执行模块,用于根据所述终端关联请求,执行与用户终端之间的关联,
终端上报模块,用于生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息;
认证处理模块,用于在收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。
本实施例中,信息接受模块、关联执行模块、终端上报模块和认证处理模块的具体功能和交互方式,可参见图1对应的实施例的记载,在此不再赘述。
本发明实施例所提供的网络认证装置,使用具有认证功能的AP,在获取到用户终端所发送的终端关联请求信息之后,会根据终端关联请求信息执行与用户终端之间的关联,并生成终端关联信息上报给服务器(即云AC)。服务器在接收到该终端关联上报信息之后,根据不同的情况生成相应的响应信息,AP根据响应信息,在再次接收到用户终端所发送的终端数据时,执行用户的认证,在这个过程当中,认证的时候是直接由AP进行认证的,不需要用户再使用专用认证路由器,能够在AP上完成认证功能。
在本发明各个实施方式中,本发明实施例所提供的网络认证装置中,所述终端关联请求信息以及所述终端关联信息中均包括:所述用户终端的MAC地址;
所述响应信息具体包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端已经被关联过时所生成的已关联响应信息;
或者,所述相应信息包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端并未被关联过时所生成的未关联响应信息;
所述未关联响应信息包括:portal认证信息;
根据所述响应信息执行用户认证具体包括:
当所述响应信息为未关联响应信息时,执行用户认证。
参见图4所示,本发明实施例所提供的网络认证装置中,认证处理模块具体包括:portal认证信息发送模块,用于向所述用户终端发送所述portal认证信息,以使所述用户终端根据所述portal认证信息向用户显示portal界面;
信息转发模块,用于接收所述用户终端根据所述portal界面所生成的portal认证登录请求,并将所述portal认证登录请求转发至服务器,以使所述服务器根据所述portal认证登录请求执行用户终端在服务器的登录,并生成终端放行指令;
终端放行模块,用于接收所述终端放行指令,并根据所述终端放行指令,执行终端放行。
参见图5所示,本发明另一实施例还提供一种具有认证功能的AP,包括:网桥、与所述网桥连接的至少一个无线接口和至少一个有线接口;所述网桥还连接有认证处理模块;
其中,所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文传递给所述网桥;
所述网桥用于根据所述数据报文传递给所述认证处理模块;所述认证处理模块用于对未通过认证的用户终端,应用如上述图1-图2所对应的实施例中所述的网络认证方法对用户终端进行网络认证;
所述认证处理模块还用于将通过认证的用户终端执行终端放行。
在具体实施的时候,该AP实现数据转发的过程为:用户终端将终端数据发送给无线接口ath0(其中ath0和ath1均为无线接口),无线接口将上网数据抓发给网桥br-lan,网桥将终端数据转发给认证处理模块,由认证处理模块对终端数据进行源MAC地址的解析,根据解析出的用户终端的MAC地址判断用户终端是否在被放行的用户终端之列,如果没有,则认证处理模块劫持该终端数据,并使用如上述图1和图2所对应的网络认证方法,执行对用户终端的认证。此时需要注意的是,被劫持的终端数据一般为http数据报文。如果是DNS、DHCP类型的数据报文,则直接放行,以使用户终端能够获取IP,以及解析域名。如果该用户终端在被放行的用户终端之列,那么认证处理模块不会对终端数据进行劫持,会再次将终端数据转发给网桥br-lan,并由网桥经有线接口eth0发送给路由器。反之,当路由器接收到互联网的反馈数据的时候,会通过有线接口eth0将反馈数据发送给网桥br-lan,网桥将反馈数据转发至认证处理模块,认证处理模块对反馈数据进行目的MAC地址的解析,根据解析出的用户终端的MAC地址判断用户终端是否在被放行的用户终端之列,如果没有,则对反馈数据进行拦截,如果有,则对反馈数据进行放行,将反馈数据转发给网桥br-lan,由网桥br-lan将反馈数据经由无线接口ath0转发给数据终端。
参见图6所示,本发明另一实施例还提供另一种具有认证功能的AP,包括:网桥、与所述网桥连接的第一地址修改模块以及第二地址修改模块;所述第一地址修改模块连接有至少一个无线接口;所述第二地址修改模块连接至少一个有线接口;所述网桥还连接有三层转发模块;
所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文转发给所述第一地址修改模块;
所述第一地址修改模块用于将所述数据报文的目的MAC地址修改为AP的MAC地址,并将修改目的MAC地址之后的数据报文传递给所述网桥;
所述网桥用于将所述修改目的MAC地址之后的数据报文转发给所述三层转发模块;
所述三层转发模块用于对未通过认证的用户终端,应用如上述权利要求1-4任意一项所述的方法对用户终端进行网络认证;
所述三层转发模块还用于对通过认证的用户终端,执行终端放行,并将修改目的MAC地址之后的数据报文再转发给网桥;
所述网桥还用于将修改目的MAC地址之后的数据报文发送至第二地址修改模块;
所述第二地址修改模块用于将修改目的MAC地址之后的数据报文还原为原来的数据报文,通过所述有线接口,发送给路由器。
其中,三层转发模块的作用与上述图5所对应的实施例中的认证处理模块的作用是类似的。区别在与,三层转发模块有网络拦截器(Netfilter)以及路由转发表构成。网络拦截器设置有认证模块,黑白名单以及portal跳转,使用如上述图1和图2所对应的网络认证方法,执行对用户终端的认证。而由于第一地址修改模块将所述数据报文的目的MAC地址修改为AP的MAC地址,强制终端数据通过三层转发模块进行路由(路由转发表),路由完成之后,将目的MAC地址和源MAC地址修改为原始状态,达到终端数据既走三层路由,又表现为二层转发的目的。
优选地,在网络拦截器中,还设置有一个广告模块。该广告模块用于向用户终端推送广告信息。当互联网的反馈信息由路由器发送至有线接口eth0的时候,经过第二地址修改模块,将反馈信息的目的MAC地址修改为AP的MAC地址,并将修改了目的MAC地址之后的反馈数据发送给网桥br-lan,网桥br-lan将修改了目的MAC地址的反馈数据发送给网络拦截器,网络拦截器除了判断该反馈数据是否需要被拦截之外,其广告模块还会不需要拦截的反馈数据中增加需要推送给用户终端的广告信息,并将添加了广告信息之后的反馈数据再发给网桥br-lan,网桥br-lan将添加了广告信息之后的反馈信息再发送给第一地址修改模块,第一地址修改模块将添加了广告信息之后的反馈信息的目的MAC地址还原,并将还原之后的反馈信息以及广告信息一起经由无线接口ath0发送给用户终端进行显示。
参见图7所示,本发明另一实施例还提供另一种具有认证功能的AP,包括:网桥、与所述网桥连接的至少一个无线接口和至少一个有线接口;所述网桥还连接有网络过滤器;
其中,所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文传递给所述网桥;
所述网桥用于根据所述数据报文传递给所述网络过滤器;所述网络过滤器用于对未通过认证的用户终端,应用如上述权利要求1-4任意一项所述的方法对用户终端进行网络认证;
所述网路过滤器还用于将通过认证的用户终端执行终端放行。
在具体实现的时候,网桥br-lan在接收到用户终端所发送的终端数据之后,会开启linux内核CONFIG_BRIDGE_NETFILTER宏,直接调用网络拦截器(Netfilter),完成终端数据项网络拦截器的转发。网络拦截器所实现的功能与上述图6所对应的实施例中的功能一致。实际上,CONFIG_BRIDGE_NETFILTER宏的作用与上述图6所对应的实施例中,路由转发表、第一地址修改模块以及第二地址修改模块的作用是一样的。其具体的工作过程在此不再赘述。
本发明又一实施例还提供了一种网络认证系统,包括:如上述图5、图6或图7所对应的实施例所述的具有认证功能的AP;
所述具有认证功能的AP上设置有上述图3-图4所对应的实施例中所述的认证装置;
所述认证装置应用如图1-图2所述认证方法对用户终端进行认证。
本发明实施例所提供的网络认证方法、装置、系统以及具有认证功能的AP的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络认证方法,其特征在于,应用于具有认证功能的AP上,包括:
获取用户终端所发送的终端关联请求信息;
根据所述终端关联请求信息,执行与用户终端之间的关联,并生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息;
当收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。
2.根据权利要求1所述的方法,其特征在于,所述终端关联请求信息以及所述终端关联信息中均包括:所述用户终端的MAC地址;
所述响应信息具体包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端已经被关联过时所生成的已关联响应信息;
或者,
所述相应信息包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端并未被关联过时所生成的未关联响应信息;
所述未关联响应信息包括:portal认证信息;
根据所述响应信息执行用户认证具体包括:
当所述响应信息为未关联响应信息时,执行用户认证。
3.根据权利要求2所述的方法,其特征在于,所述执行用户认证具体包括:
向所述用户终端发送所述portal认证信息,以使所述用户终端根据所述portal认证信息向用户显示portal界面;
接收所述用户终端根据所述portal界面所生成的portal认证登录请求,并将所述portal认证登录请求转发至服务器,以使所述服务器根据所述portal认证登录请求执行用户终端在服务器的登录,并生成终端放行指令;
接收所述终端放行指令,并根据所述终端放行指令,执行终端放行。
4.一种网络认证装置,其特征在于,应用于具有认证功能的AP上,包括:
信息接受模块,用于获取用户终端所发送的终端关联请求信息;
关联执行模块,用于根据所述终端关联请求,执行与用户终端之间的关联,
终端上报模块,用于生成终端关联信息上报给服务器,以使所述服务器根据所述终端关联信息生成响应信息;
认证处理模块,用于在收到关联的所述用户终端所发送的终端数据时,根据所述响应信息执行用户认证。
5.根据权利要求4所述的装置,其特征在于,所述终端关联请求信息以及所述终端关联信息中均包括:所述用户终端的MAC地址;
所述响应信息具体包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端已经被关联过时所生成的已关联响应信息;
或者,所述相应信息包括:所述服务器根据所述用户终端的MAC地址判断所述用户终端并未被关联过时所生成的未关联响应信息;
所述未关联响应信息包括:portal认证信息;
根据所述响应信息执行用户认证具体包括:
当所述响应信息为未关联响应信息时,执行用户认证。
6.根据权利要求5所述的装置,其特征在于,所述认证处理模块具体包括:
portal认证信息发送模块,用于向所述用户终端发送所述portal认证信息,以使所述用户终端根据所述portal认证信息向用户显示portal界面;
信息转发模块,用于接收所述用户终端根据所述portal界面所生成的portal认证登录请求,并将所述portal认证登录请求转发至服务器,以使所述服务器根据所述portal认证登录请求执行用户终端在服务器的登录,并生成终端放行指令;
终端放行模块,用于接收所述终端放行指令,并根据所述终端放行指令,执行终端放行。
7.一种具有认证功能的AP,其特征在于,包括:网桥、与所述网桥连接的至少一个无线接口和至少一个有线接口;所述网桥还连接有认证处理模块;
其中,所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文传递给所述网桥;
所述网桥用于根据所述数据报文传递给所述认证处理模块;所述认证处理模块用于对未通过认证的用户终端,应用如上述权利要求1-3任意一项所述的方法对用户终端进行网络认证;
所述认证处理模块还用于将通过认证的用户终端执行终端放行。
8.一种具有认证功能的AP,其特征在于,包括:网桥、与所述网桥连接的第一地址修改模块以及第二地址修改模块;所述第一地址修改模块连接有至少一个无线接口;所述第二地址修改模块连接至少一个有线接口;所述网桥还连接有三层转发模块;
所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文转发给所述第一地址修改模块;
所述第一地址修改模块用于将所述数据报文的目的MAC地址修改为AP的MAC地址,并将修改目的MAC地址之后的数据报文传递给所述网桥;
所述网桥用于将所述修改目的MAC地址之后的数据报文转发给所述三层转发模块;
所述三层转发模块用于对未通过认证的用户终端,应用如上述权利要求1-3任意一项所述的方法对用户终端进行网络认证;
所述三层转发模块还用于对通过认证的用户终端,执行终端放行,并将修改目的MAC地址之后的数据报文再转发给网桥;
所述网桥还用于将修改目的MAC地址之后的数据报文发送至第二地址修改模块;
所述第二地址修改模块用于将修改目的MAC地址之后的数据报文还原为原来的数据报文,通过所述有线接口,发送给路由器。
9.一种具有认证功能的AP,其特征在于,包括:网桥、与所述网桥连接的至少一个无线接口和至少一个有线接口;所述网桥还连接有网络过滤器;
其中,所述无线接口用于接收用户终端所发送的数据报文,并将所述数据报文传递给所述网桥;
所述网桥用于根据所述数据报文传递给所述网络过滤器;
所述网络过滤器用于对未通过认证的用户终端,应用如上述权利要求1-3任意一项所述的方法对用户终端进行网络认证;
所述网路过滤器还用于将通过认证的用户终端执行终端放行。
10.一种网络认证系统,其特征在于,包括:如权利要求7、8或者9所述的具有认证功能的AP;
所述具有认证功能的AP上设置有如权利要求4-6任意一项所述的认证装置;
所述认证装置应用如权利要求1-3任意一项所述认证方法对用户终端进行认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610297666.7A CN105813078A (zh) | 2016-05-05 | 2016-05-05 | 网络认证方法、装置、系统以及具有认证功能的ap |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610297666.7A CN105813078A (zh) | 2016-05-05 | 2016-05-05 | 网络认证方法、装置、系统以及具有认证功能的ap |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105813078A true CN105813078A (zh) | 2016-07-27 |
Family
ID=56456376
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610297666.7A Pending CN105813078A (zh) | 2016-05-05 | 2016-05-05 | 网络认证方法、装置、系统以及具有认证功能的ap |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105813078A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107248998A (zh) * | 2017-07-04 | 2017-10-13 | 上海斐讯数据通信技术有限公司 | 一种终端设备的应用程序客户端的认证方法和装置 |
CN110198317A (zh) * | 2019-05-31 | 2019-09-03 | 烽火通信科技股份有限公司 | 一种基于端口的Portal认证方法及系统 |
CN111641733A (zh) * | 2020-06-07 | 2020-09-08 | 深圳市乙辰科技股份有限公司 | 一种网桥设备管理方法、装置和可读存储介质 |
CN113660169A (zh) * | 2021-08-18 | 2021-11-16 | 青岛海信宽带多媒体技术有限公司 | 一种路由器及路由器Mesh组网回传链路切换方法 |
CN113741330A (zh) * | 2021-09-08 | 2021-12-03 | 珠海格力电器股份有限公司 | 基于plc电力线通信技术的联网安全验证系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
CN104320781A (zh) * | 2014-11-27 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种移动终端的认证方法及认证系统 |
US20150089592A1 (en) * | 2013-09-21 | 2015-03-26 | Avaya Inc. | Captive portal systems, methods, and devices |
CN105376739A (zh) * | 2015-12-04 | 2016-03-02 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
CN105516960A (zh) * | 2015-12-09 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 无感知认证方法系统,基于该方法系统的管理方法、系统 |
-
2016
- 2016-05-05 CN CN201610297666.7A patent/CN105813078A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150089592A1 (en) * | 2013-09-21 | 2015-03-26 | Avaya Inc. | Captive portal systems, methods, and devices |
CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
CN104320781A (zh) * | 2014-11-27 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种移动终端的认证方法及认证系统 |
CN105376739A (zh) * | 2015-12-04 | 2016-03-02 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
CN105516960A (zh) * | 2015-12-09 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 无感知认证方法系统,基于该方法系统的管理方法、系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107248998A (zh) * | 2017-07-04 | 2017-10-13 | 上海斐讯数据通信技术有限公司 | 一种终端设备的应用程序客户端的认证方法和装置 |
CN110198317A (zh) * | 2019-05-31 | 2019-09-03 | 烽火通信科技股份有限公司 | 一种基于端口的Portal认证方法及系统 |
CN111641733A (zh) * | 2020-06-07 | 2020-09-08 | 深圳市乙辰科技股份有限公司 | 一种网桥设备管理方法、装置和可读存储介质 |
CN113660169A (zh) * | 2021-08-18 | 2021-11-16 | 青岛海信宽带多媒体技术有限公司 | 一种路由器及路由器Mesh组网回传链路切换方法 |
CN113660169B (zh) * | 2021-08-18 | 2023-02-17 | 青岛海信宽带多媒体技术有限公司 | 一种路由器及路由器Mesh组网回传链路切换方法 |
CN113741330A (zh) * | 2021-09-08 | 2021-12-03 | 珠海格力电器股份有限公司 | 基于plc电力线通信技术的联网安全验证系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104283843B (zh) | 一种用户登陆的方法、装置及系统 | |
CN103746812B (zh) | 一种接入认证方法及系统 | |
CN105813078A (zh) | 网络认证方法、装置、系统以及具有认证功能的ap | |
CN105049410B (zh) | 一种账号登录方法、装置及系统 | |
CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
CN106851632A (zh) | 一种智能设备接入无线局域网的方法及装置 | |
CN103607290B (zh) | 一种设置网络连接参数的方法和装置 | |
CN102783119A (zh) | 访问控制方法、系统及接入终端 | |
CN107182053B (zh) | 一种用于连接隐藏无线接入点的方法与设备 | |
CN101764808B (zh) | 自动登录的认证处理方法、服务器和系统 | |
CN105592180B (zh) | 一种Portal认证的方法和装置 | |
CN103905399A (zh) | 一种帐号登录管理的方法和装置 | |
CN104158818A (zh) | 一种单点登录方法及系统 | |
CN103109517A (zh) | 一种双栈终端访问服务器的方法、终端和系统 | |
WO2017219748A1 (zh) | 访问权限的确定、页面的访问方法及装置 | |
CN102347964B (zh) | 登陆网站的方法、系统、信息聚集平台及网站 | |
CN105847223A (zh) | 一种终端设备的认证方法和设备 | |
CN104580376A (zh) | 在局域网中建立终端之间连接的方法、装置和系统 | |
CN107567021A (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
CA2559645A1 (en) | Open wireless access point detection and identification in a data network | |
CN105991640A (zh) | 处理http请求的方法及装置 | |
CN102984261B (zh) | 基于手机终端的网络业务登录方法、设备和系统 | |
CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
CN101945053B (zh) | 一种报文的发送方法和装置 | |
CN105743891A (zh) | 上网方法、装置、服务器及路由器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160727 |
|
RJ01 | Rejection of invention patent application after publication |