一种无线局域网的安全认证方法
技术领域
本发明涉及WLAN(Wireless Local Areal Network,无线局域网)接入认证领域,尤其涉及一种应用于无线局域网的安全认证方法。
背景技术
Portal(无线接入)认证是无线局域网接入认证的主流技术之一,当用户接入某一无线局域网时,会弹出Portal页面,提示用户输入帐户信息,完成接入认证。由于无线局域网线路不稳定容易出现丢包或因Portal页面过大网页打开时间过长,用户通常会频繁刷新Web页面来获取Portal网页,这一操作会对Portal服务器造成一定的负荷压力。由于无线的资源非常有限,Portal服务器资源也有限,当无线覆盖区域用户规模比较大时,用户频繁刷新Web获取Portal页面,会产生大量的无交效冗余Portal请求,占用无线资源,从而对Portal服务器造成较大的压力。当用户终端设备由于某种原因(如中毒等因素)导致频繁输出大量请求网络服务时,会占用巨大的无线资源,甚至会导致整个无线局域网瘫痪。
发明内容
针对现有的无线局域网认证时存在的上述问题,现提供一种旨在实现可过滤掉冗余Portal请求,节约无线宽带资源,降低Portal服务器负担的无线局域网的安全认证方法。
具体技术方案如下:
一种无线局域网的安全认证方法,应用于无线局域网中网关设备对移动终端接入认证服务器的认证请求的管理,包括下述步骤:
S1.所述移动终端输出所述认证请求至所述网关设备;
S2.所述网关设备提取所述认证请求中的所述移动终端的物理地址,并将所述物理地址添加到预设的监控表单中;
S3.所述网关设备识别所述认证请求是否为预设请求,若否,执行步骤S4;若是,执行步骤S6;
S4.所述网关设备在第一预设周期内采用第一预设策略监测所述移动终端,并将第一次接收到的所述认证请求重定向为所述预设请求发送至所述认证服务器;
S5.所述认证服务器根据所述预设请求对所述移动终端进行认证,结束;
S6.所述网关设备在第二预设周期内采用第二预设策略监测所述移动终端,并将第一次接收到的所述认证请求发送至所述认证服务器,返回执行步骤S5。
优选的,所述预设请求为访问所述认证服务器的请求。
优选的,所述第一预设策略为:
S41.所述网关设备在第一预设周期内累计所述移动终端输出的所述认证请求的次数;
S42.所述网关设备判断所述次数是否在第一阈值区间内,若是,执行步骤S43;若否,执行步骤S44;
S43.所述网关设备将第一次接收到的所述认证请求重定向为所述预设请求发送至所述认证服务器,执行步骤S5;
S44.所述网关设备判断所述次数是否在第二阈值区间内,若是,执行步骤S45;若否,执行步骤S46;
S45.所述网关设备将所述移动终端的所述物理地址从所述监控表单中清除,并将所述物理地址添加到第一屏蔽表单,并生成相应的解除认证请求,将所述接触认证请求发送至所述认证服务器,所述网关设备清空所述移动终端输出的所述认证请求的次数,执行步骤S5;
S46.所述网关设备将所述移动终端的所述物理地址从所述监控表单中清除,并将所述物理地址添加到第二屏蔽表单,并生成相应的解除认证请求,将所述接触认证请求发送至所述认证服务器,所述网关设备清空所述移动终端输出的所述认证请求的次数,执行步骤S5。
优选的,所述网关设备用以在预设时间间隔内屏蔽所述第一屏蔽表单中的所述物理地址对应的所述移动终端发送的所述认证请求。
优选的,所述网关设备用以屏蔽所述第二屏蔽表单中的所述物理地址对应的所述移动终端发送的所述认证请求。
优选的,所述步骤S5中所述认证服务器根据所述预设请求对所述移动终端进行认证,当认证成功时,控制所述网关设备将所述移动终端的所述物理地址从所述监控表单中清除,并控制所述网关设备清空所述移动终端输出的所述认证请求的次数;
当认证成功且所述认证服务器接收到所述解除认证请求时,所述认证服务器解除对所述移动终端的认证权限。
优选的,所述第二预设策略为:
S61.所述网关设备在第二预设周期内累计所述移动终端输出的所述认证请求的次数;
S62.所述网关设备判断所述次数是否在第三阈值区间内,若是,执行步骤S43;若否,执行步骤S64;
S63.所述网关设备将第一次接收到的所述认证请求发送至所述认证服务器,执行步骤S5;
S64.所述网关设备判断所述次数是否在第四阈值区间内,若是,执行步骤S65;若否,执行步骤S66;
S65.所述网关设备将所述移动终端的所述物理地址从所述监控表单中清除,并将所述物理地址添加到所述第一屏蔽表单,并生成相应的解除认证请求,将所述接触认证请求发送至所述认证服务器,所述网关设备清空所述移动终端输出的所述认证请求的次数,执行步骤S5;
S66.所述网关设备将所述移动终端的所述物理地址从所述监控表单中清除,并将所述物理地址添加到所述第二屏蔽表单,并生成相应的解除认证请求,将所述接触认证请求发送至所述认证服务器,所述网关设备清空所述移动终端输出的所述认证请求的次数,执行步骤S5。
优选的,所述第一阈值区间为:[1,100],和/或
所述第二阈值区间为:(100,1000]。
优选的,所述第三阈值区间为:[1,10],和/或
所述第四阈值区间为:(10,100]。
优选的,所述认证请求为超文本传输协议请求。
上述技术方案的有益效果:
本技术方案中,通过识别移动终端发送的认证请求,采用相应的预设策略针对移动终端发送请求的频率和相似程度来判断是否为大量重复的认证请求,从而丢弃冗余认证请求,节约了无线宽带,减少了认证服务器的运行压力。
附图说明
图1为本发明所述的无线局域网的安全认证方法的第一种实施例的方法流程图;
图2为本发明所述的无线局域网的安全认证方法的第二种实施例的方法流程图;
图3为本发明所述的无线局域网的安全认证方法的第三种实施例的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
如图1所示,一种无线局域网的安全认证方法,应用于网关设备对移动终端接入认证服务器的认证请求的管理,包括下述步骤:
S1.移动终端输出认证请求至网关设备;
S2.网关设备提取认证请求中的移动终端的MAC地址(Media Access Control,物理地址),并将物理地址添加到预设的监控表单中;
S3.网关设备识别认证请求是否为预设请求,若否,执行步骤S4;若是,执行步骤S6;
S4.网关设备在第一预设周期内采用第一预设策略监测移动终端,并将第一次接收到的认证请求重定向为预设请求发送至认证服务器;
S5.认证服务器根据预设请求对移动终端进行认证,结束;
S6.网关设备在第二预设周期内采用第二预设策略监测移动终端,并将第一次接收到的认证请求发送至认证服务器,返回执行步骤S5。
进一步地,预设请求为访问认证服务器的请求。认证请求为超文本传输协议请求。
在本实施例中,通过识别移动终端发送的认证请求,采用相应的预设策略针对移动终端发送请求的频率和相似程度来判断是否为大量重复的认证请求,从而丢弃冗余认证请求,节约了无线宽带,减少了认证服务器的运行压力。
如图2所示,在优选的实施例中,第一预设策略为:
S41.网关设备在第一预设周期内累计移动终端输出的认证请求的次数;
S42.网关设备判断次数是否在第一阈值区间内,若是,执行步骤S43;若否,执行步骤S44;
S43.网关设备将第一次接收到的认证请求重定向为预设请求发送至认证服务器,执行步骤S5;
S44.网关设备判断次数是否在第二阈值区间内,若是,执行步骤S45;若否,执行步骤S46;
S45.网关设备将移动终端的物理地址从监控表单中清除,并将物理地址添加到第一屏蔽表单,并生成相应的解除认证请求,将接触认证请求发送至认证服务器,网关设备清空移动终端输出的认证请求的次数,执行步骤S5;
S46.网关设备将移动终端的物理地址从监控表单中清除,并将物理地址添加到第二屏蔽表单,并生成相应的解除认证请求,将接触认证请求发送至认证服务器,网关设备清空移动终端输出的认证请求的次数,执行步骤S5。
进一步地,所述第一阈值区间为:[1,100],和/或所述第二阈值区间为:(100,1000]。
在本实施例中,以第一预设周期为3秒为例:
网关设备通过监听本地80端口,获取移动终端发送的认证请求;当认证请求不是预设请求时;网关设备记录此移动终端的MAC地址,并统计该移动终端发起的认证请求的次数N1;
若此移动终端在3秒内访问外网URL地址(一级域名相同视为同一URL(UniformResource Locator,统一资源定位符)地址)的次数1≤N1≤100,则网关设备将移动终端的第一次认证请求的响应报文重定向为预设请求指定的URL地址,发送至认证服务器,并忽略之后的所有认证请求,以减少认证服务器的运行压力;移动终端获得网关设备重定向的认证响应网页,通过浏览器打开Portal认证页面,继续后续的认证操作;认证成功后,此移动终端的认证请求的次数N1恢复默认值零,并将移动终端的MAC地址从监控表单中删除;
若此移动终端在3秒内访问外网URL地址(一级域名相同视为同一URL地址)的次数100<N1≤1000,则丢弃之后的所有认证请求,以减少认证服务器的运行压力;将此移动终端的MAC地址加入第一屏蔽表单(默认24小时有效),认证服务器控制网关设备将移动终端的物理地址从监控表单中清除,并控制网关设备清空移动终端输出的认证请求的次数,若认证成功则解除认证;
若此移动终端在3秒内访问同一URL地址(一级域名相同视为同一URL地址)的认证请求的次数N1大于1000,则丢弃之后的所有认证请求,以减少认证服务器的运行压力;将此移动终端的MAC地址加入第二屏蔽表单(永久黑名单),认证服务器控制网关设备将移动终端的物理地址从监控表单中清除,并控制网关设备清空移动终端输出的认证请求的次数,若认证成功则解除认证。
在优选的实施例中,网关设备用以在预设时间间隔内屏蔽第一屏蔽表单中的物理地址对应的移动终端发送的认证请求。
在本实施例中,以预设时间间隔为24小时为例,网关设备可对加入第一屏蔽表单中的物理地址在24小时之内屏蔽其发送的认证请求。
在优选的实施例中,网关设备用以屏蔽第二屏蔽表单中的物理地址对应的移动终端发送的认证请求。
在本实施例中,网关设备可对加入第二屏蔽表单中的物理地址采用永久屏蔽的方式屏蔽其发送的认证请求。
在优选的实施例中,步骤S5中认证服务器根据预设请求对移动终端进行认证,当认证成功时,控制网关设备将移动终端的物理地址从监控表单中清除,并控制网关设备清空移动终端输出的认证请求的次数;
当认证成功且认证服务器接收到解除认证请求时,认证服务器解除对移动终端的认证权限。
如图3所示,在优选的实施例中,第二预设策略为:
S61.网关设备在第二预设周期内累计移动终端输出的认证请求的次数;
S62.网关设备判断次数是否在第三阈值区间内,若是,执行步骤S43;若否,执行步骤S64;
S63.网关设备将第一次接收到的认证请求发送至认证服务器,执行步骤S5;
S64.网关设备判断次数是否在第四阈值区间内,若是,执行步骤S65;若否,执行步骤S66;
S65.网关设备将移动终端的物理地址从监控表单中清除,并将物理地址添加到第一屏蔽表单,并生成相应的解除认证请求,将接触认证请求发送至认证服务器,网关设备清空移动终端输出的认证请求的次数,执行步骤S5;
S66.网关设备将移动终端的物理地址从监控表单中清除,并将物理地址添加到第二屏蔽表单,并生成相应的解除认证请求,将接触认证请求发送至认证服务器,网关设备清空移动终端输出的认证请求的次数,执行步骤S5。
进一步地,所述第三阈值区间为:[1,10],和/或
所述第四阈值区间为:(10,100]。
在本实施例中,以第二预设周期为3秒为例:
网关设备通过监听本地80端口,获取移动终端发送的认证请求;当认证请求是预设请求时;网关设备记录此移动终端的MAC地址,并统计该移动终端发起的认证请求的次数N2;
若此移动终端在3秒内访问URL地址(一级域名相同视为同一URL(UniformResource Locator,统一资源定位符)地址)的次数1≤N2≤10,则网关设备将移动终端的第一次认证请求的响应报文发送至认证服务器,并忽略之后的所有认证请求,以减少认证服务器的运行压力;移动终端获得网关设备的认证响应网页,通过浏览器打开Portal认证页面,继续后续的认证操作;认证成功后,此移动终端的认证请求的次数N2恢复默认值零,并将移动终端的MAC地址从监控表单中删除;
若此移动终端在3秒内访问URL地址(一级域名相同视为同一URL地址)的次数10<N2≤100,则丢弃之后的所有认证请求,以减少认证服务器的运行压力;将此移动终端的MAC地址加入第一屏蔽表单(默认24小时有效),认证服务器控制网关设备将移动终端的物理地址从监控表单中清除,并控制网关设备清空移动终端输出的认证请求的次数,若认证成功则解除认证;
若此移动终端在3秒内访问同一URL地址(一级域名相同视为同一URL地址)的认证请求的次数N2大于100,则丢弃之后的所有认证请求,以减少认证服务器的运行压力;将此移动终端的MAC地址加入第二屏蔽表单(永久黑名单),认证服务器控制网关设备将移动终端的物理地址从监控表单中清除,并控制网关设备清空移动终端输出的认证请求的次数,若认证成功则解除认证。
本技术方案中的网关设备可采用无线接入点,或无线接入云节点。
本发明可识别移动终端发送的认证请求,采用相应的预设策略针对移动终端发送请求的频率和相似程度来判断是否为大量重复的认证请求,从而丢弃冗余认证请求,从而改善认证服务器的性能,还可防止人为“黑客”攻击,提高了认证服务器的安全性和可靠性。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。