CN107566418B - 一种安全管理的方法及接入设备 - Google Patents
一种安全管理的方法及接入设备 Download PDFInfo
- Publication number
- CN107566418B CN107566418B CN201711012986.4A CN201711012986A CN107566418B CN 107566418 B CN107566418 B CN 107566418B CN 201711012986 A CN201711012986 A CN 201711012986A CN 107566418 B CN107566418 B CN 107566418B
- Authority
- CN
- China
- Prior art keywords
- request message
- terminal
- message
- access
- judgment result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种安全管理的方法及接入设备,用以解决现有技术中存在无线网络较易受到反制攻击的问题,从而实现有效防止反击攻击,避免用户终端频繁出现上下线的过程,确保网络数据能正常通信的技术效果。具体包括:接入设备接收来自终端的第一请求报文;接入设备判断所述第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果;当第一判断结果为是时,接入设备进一步判断本地为终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,终端对应的代理站点用于唯一标识终端,并管理所述终端的第一请求报文;接入设备基于第一请求报文及第二判断结果,识别第一请求报文是否为异常请求报文,在为是时丢弃第一请求报文。
Description
技术领域
本发明涉及网络信息领域,尤其是涉及一种安全管理的方法及接入设备。
背景技术
随着互联网技术的不断发展,人们在享受着网络带来的各种便利的同时,也每天都被网络带来的各种风险所威胁着。
尤其是在最近几年中,各种便携式终端诸如手机、平板电脑等的兴起,及无线网络的普及,许多商家、公共交通工具等都会为用户提供无线网络访问互联网,而用户想要使用无线网络对互联网进行访问时,通常需要用户的用户终端先加入对应的无线局域网中。
但,在无线局域网(Wireless Local Area Network,WLAN)中,要让用户终端能够访问互联网,通常需要一个无线接入设备(Access Point,AP)来完成数据的传输工作。
然而,在无线局域网中,由于无线接入设备通常只是起到数据转发的作用,且一般都工作在开放频段,这就使得攻击者可以通过一些抓包手段,就能轻易的捕获到用户终端与无线接入设备之间的交互信息,进而让无线网络较易受到反制攻击,从而让用户终端不能正常接入无线局域网络、威胁用户信息安全、降低用户体验。
发明内容
本发明提供一种安全管理的方法及接入设备,用以解决现有技术中存在无线网络较易受到反制攻击的问题。
第一方面,为解决上述技术问题,本发明实施例提供的一种安全管理的方法的技术方案如下:
接入设备接收来自终端的第一请求报文;
所述接入设备判断所述第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果;
当所述第一判断结果为是时,所述接入设备进一步判断本地为所述终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,所述终端对应的代理站点用于唯一标识所述终端,并管理所述终端的第一请求报文;
接入设备基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,在为是时丢弃所述第一请求报文。
可选的,当所述第一判断结果为否时,还包括:
所述第一请求报文为请求认证的请求报文时,
若所述接入设备判断所述终端对应的代理站点不存在,则所述接入设备基于所述终端的第一标识为所述终端创建对应的代理站点,并发送所述第一请求报文到所述接入控制器;其中,所述第一标识为所述终端的唯一标识;
若所述接入设备判断所述终端对应的代理站点存在,则所述接入设备针对所述第一请求报文返回认证成功的应答报文到所述终端。
可选的,在发送所述第一请求报文到所述接入控制器之后,还包括:
所述接入设备接收所述接入控制器针对所述第一请求报文返回的第一应答报文;
所述接入设备判断所述第一应答报文是否为所述认证成功的应答报文,在为是时,将所述代理站点设置为已认证状态,并返回所述第一应答报文给所述终端;在为否时,删除所述代理站点。
可选的,当所述第一判断结果为否时,还包括:
所述第一请求报文为请求关联的请求报文时,
若所述接入设备判断所述终端对应的代理站点存在,则判断所述代理站点是否已关联,获得第三判断结果;若所述第三判断结果为是,则所述接入设备针对所述第一请求报文返回关联成功的应答报文;
若所述接入设备判断所述终端对应的代理站点不存在,则所述第一请求报文为所述异常请求报文,所述接入设备针对所述第一请求报文返回拒绝关联的应答报文。
可选的,当所述第三判断结果为否时,还包括:
所述接入设备向所述接入控制器发送所述第一请求报文;并接收所述接入控制器针对所述第一请求报文返回的第二应答报文;
所述接入设备返回所述第二应答报文到所述终端;其中,当所述第二应答报文为关联成功的应答报文时,将所述代理站点置为关联状态。
可选的,所述接入设备基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,包括:
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为否,确定所述第一请求报文为异常请求报文,则所述接入设备丢弃所述第一请求报文,并删除所述代理站点;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为是,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并修改代理站点的超时时间为代理超时时间;
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为是,则所述第一请求报文为所述正常请求报文,所述接入设备向所述接入控制器发送解关联的请求报文;其中,所述正常请求报文为来自用户终端的请求报文;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为否时,则所述第一请求报文为正常请求报文,所述接入设备向所述接入控制器发送解认证的请求报文,并删除所述代理站点。
第二方面,本发明实施例提供了一种接入设备,应用于无线网络中,包括:
接收单元,用于接收来自终端的第一请求报文;
判断单元,用于判断所述第一请求是否为解认证或解关联的请求报文,以获得第一判断结果;当所述第一判断结果为是时,进一步判断本地为所述终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,所述终端对应的代理站点用于唯一标识所述终端,并管理所述终端的第一请求报文;
识别单元,用于基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,在为是时丢弃所述第一请求报文。
可选的,当所述第一判断结果为否时,所述判断单元还用于:
所述第一请求报文为请求认证的请求报文时,
若判断所述终端对应的代理站点不存在,则基于所述终端的第一标识为所述终端创建对应的代理站点,并发送所述第一请求报文到所述接入控制器;其中,所述第一标识为所述终端的唯一标识;
若判断所述终端对应的代理站点存在,则针对所述第一请求报文返回认证成功的应答报文到所述终端。
可选的,在发送所述第一请求报文到所述接入控制器之后,所述判断单元还用于:
接收所述接入控制器针对所述第一请求报文返回的第一应答报文;
判断所述第一应答报文是否为所述认证成功的应答报文,在为是时,将所述代理站点设置为已认证状态,并返回所述第一应答报文给所述终端;在为否时,删除所述代理站点。
可选的,当所述第一判断结果为否时,所述判断单元还用于:
所述第一请求报文为请求关联的请求报文时,
若判断所述终端对应的代理站点存在,则判断所述代理站点是否已关联,获得第三判断结果;若所述第三判断结果为是,则针对所述第一请求报文返回关联成功的应答报文;
若判断所述终端对应的代理站点不存在,则所述第一请求报文为所述异常请求报文,针对所述第一请求报文返回拒绝关联的应答报文。
可选的,当所述第三判断结果为否时,所述判断单元还用于:
向所述接入控制器发送所述第一请求报文;并接收所述接入控制器针对所述第一请求报文返回的第二应答报文;
返回所述第二应答报文到所述终端;其中,当所述第二应答报文为关联成功的应答报文时,将所述代理站点置为关联状态。
可选的,基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,所述识别单元还包括:
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为否,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并删除所述代理站点;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为是,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并修改代理站点的超时时间为代理超时时间;
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为是,则所述第一请求报文为所述正常请求报文,向所述接入控制器发送解关联的请求报文;其中,所述正常请求报文为来自用户终端的请求报文;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为否时,则所述第一请求报文为正常请求报文,向所述接入控制器发送解认证的请求报文,并删除所述代理站点。
通过本发明实施例的上述一个或多个实施例中的技术方案,本发明实施例至少具有如下技术效果:
1、在本申请提供的实施例中,通过接入设备端在接收到用户终端请求认证后,在本地为用户终端创建对应代理站点的方式,能唯一识别用户终端,进而在接收到来自终端的第一请求报文后,能通过代理站点及其关联状态,识别出第一请求报文是否为来自攻击者的异常请求报文,在第一请求报文时异常请求报文时丢弃第一请求报文。从而能有效的防止反击攻击,避免用户终端频繁出现上下线的过程,进而确保网络数据能正常通信。
2、在本申请提供的实施例中,通过在接入设备端为终端设置对应的代理站点,使用户终端的关联过程在接入设备端实现隔离,从而能够有效的提升网络安全,进一步提升用户的网络体验。
3、在本申请提供的实施例中,由于通过在接入设备端为终端创建的代理站点的方式,能够有效的防止反制攻击,使得接入控制器能够避免频繁处理终端的上下线过程,进而能够提高接入控制器的工作效率、使无线网络能保持在畅通状态,进一步的提升用户体验。
附图说明
图1为在无线局域网下一终端接入网络的传统上线过程;
图2为在无线局域网下一终端离开网络的传统下线过程;
图3为本发明实施例提供的一种安全管理的方法的流程图;
图4为本发明实施例提供的一种接入设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本文中描述的技术不仅限于在无线局域网中应用,还可用于其它无线网络中,例如通过公众移动通信网实现的无线网络(如4G,3G或GPRS)。
以下,对本发明实施例中的部分用于进行解释说明,以便本领域的技术人员理解。
接入设备(AP,Access Point):无线覆盖设备,相当于一个连接有线网和无线网的桥,其主要作用是将各个无线网络客户端连接到一起,实现大范围、多用户的无线接。接入设备可以分为“瘦”AP和胖AP。
“瘦”AP:此类接入设备也称无线网桥、无线网关。它的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据。
“胖”AP:此类接入设备被称为无线路由器。一般具备WAN、LAN两个接口,多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能。
接入控制器(AC,Access Controller):又被称为无线接入控制器(WirelessAccess Point Controller),是无线局域网接入控制设备,负责将来自不同AP的数据进行汇聚并接入Internet,同时完成AP设备的配置管理和无线用户的认证、管理,以及带宽、访问、切换、安全等控制功能。
反制攻击,即攻击者模拟接入设备发送一个解认证请求,导致用户终端下线。
首先介绍本发明实施例的技术背景。
在无线局域网中,终端是通过接入设备接入网络的,终端可以是如手机、平板电脑、笔记本等,在本领域中相对于接入设备而言,终端也可以被称为站点(STA,Stat ion),使用终端的用户有可能是有正常访问网络需求的正常用户,也有可能是要对网络进行攻击阻碍正常用户上网或窃取用户上网信息的攻击者。
为区别上述两种情况,在本申请中将有正常访问网络需求的正常用户使用的终端统称为用户终端,而将对网络实施攻击的攻击者使用的终端成为攻击终端。
而决定用户接入网络是需要进行链路认证的,整个过程由接入控制器进行管理。在接入控制器对终端进行链路认证通常被称为上线过程和下线过程。
请参见图1,在无线局域网下一终端接入网络的传统上线过程如下:
步骤101:终端向接入设备发送认证请求。
步骤102:接入设备将认证请求转发给接入控制器。
步骤103:接入控制器基于认证请求,返回认证应答给接入设备。
步骤104:接入设备将认证应答转发给终端。
步骤105:终端向接入设备发送关联/重关联请求。
由于终端在首次连接网络时需要关联接入控制器,之后如果终端之后出现掉线的情况,则需要重关联入控制器。
步骤106:接入设备将关联/重关联请求转发给接入控制器。
步骤107:接入控制器基于关联/重关联请求,返回关联/重关联应答给接入设备。
步骤108:接入设备将关联/重关联应答返回给终端。
至此,终端便能访问网络了。
请参见图2,在无线局域网下一终端离开网络的传统下线过程如下:
步骤201:终端向接入设备发送解关联请求。
步骤202:接入设备将解关联请求转发给接入控制器。
步骤203:接入控制器基于解关联请求,返回解关联应答给接入设备。
步骤204:接入设备将解关联应答转发给终端。
步骤205:终端向接入设备发送解认证请求。
步骤206:接入设备将解认证请求转发给接入控制器。
步骤207:接入控制器基于解认证请求,返回解认证应答给接入设备。
步骤208:接入设备将解认证应答返回给终端。
至此,终端便完成了正常的下线过程,不连接网络。
然而,由于在传统的方案中,认证/解认证、关联/解关联等请求报文,都是直接送到接入设备上进行处理,而接入设备也仅是作为简单的报文中继端。
因此,在攻击者通过一些技术抓包手段,就能轻易的捕捉到用户终端和交互设备之间的交互信息,进而导致无线网络较易收到反制攻击,使用户终端出现频繁的上下线过程、并使接入设备不断的处理用户终端的上下线过程,从而不仅影响了网络数据的正常通信,还使用户的网络安全受到威胁,降低用户的网络体验。
有鉴于此,在本发明的实施例中,通过接入设备端在接收到用户终端请求认证后,在本地为用户终端创建对应代理站点的方式,能唯一识别用户终端,进而在接收到来自终端的第一请求报文后,能通过代理站点及其关联状态,识别出第一请求报文是否为来自攻击者的异常请求报文,在第一请求报文时异常请求报文时丢弃异常请求报文。从而能有效的防止反击攻击,确保网络数据能正常通信,并保护用户的网络安全、提升用户的网络体验。
下面结合附图介绍本发明实施例提供的技术方案。
请参见图3,本发明实施例提供一种安全管理的方法,该方法的处理过程如下。
步骤301:接入设备接收来自终端的第一请求报文。
通过图1的内容可以清楚的知道,当终端初次连接到无线网络中时,需要向接入设备发送请求认证的请求报文,并在终端接收到认证成功的应答报文后,再向接入设备发送请求关联的报文,并在终端接收到关联成功的应答报文之后,终端才能正常使用无线网络。
当然,如果终端之前已经进行过认证,并且未发起过解认证的请求报文,那么在终端因为某些原因而掉线后,只需要再次请求重关联便能重新连接到网络中了。
而通过图2可知,终端正常下线的过程是先需要发送请求解关联的请求报文,再发送请求解认证的请求报文之后便不使用无线网络了。
所以,对于接入设备而言,接入设备收到的第一请求报文可能是请求认证、请求关联、请求重关联、请求解关联、请求解认证中的任一一种请求报文。在接入设备接收来自终端的第一请求报文之后,便是要判断出第一请求报文具体是上述哪种请求报文,进而才能进行相应的处理,具体请见步骤302。
步骤302:接入设备判断第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果。
第一判断结果为否时,将出现下面两种情况,具体为:
情况一、接入设备判断出,第一请求报文为请求认证的请求报文时,则会进一步的判断终端对应的代理站点是否存在。
若接入设备判断终端对应的代理站点不存在,则接入设备基于终端的第一标识在本地为终端创建对应的代理站点,并发送第一请求报文到接入控制器以对终端进行认证;其中,第一标识为终端的唯一标识,例如可以为终端的MAC地址,当然也可以是其它能唯一标识终端的标识信息,在此不做限定。
在发送第一请求报文到接入控制器,接入控制器对第一请求报文为请求认证的请求报文进行认证之后,接入设备首先会接收接入控制器针对第一请求报文返回的第一应答报文;然后判断第一应答报文是否为认证成功的应答报文,在为是时,将终端对应的代理站点设置为已认证状态,并返回第一应答报文给终端;在为否时,删除所述代理站点。
若所述接入设备判断终端对应的代理站点存在,则接入设备针对第一请求报文返回认证成功的应答报文到所述终端。这就说明,之前站点已经被接入控制器认证过,不需要接入控制器再进行重复认证,接入设备可以根据本地已存储的该终端对应的代理站点的认证状态,返回认证成功的应答报文给该终端,进而减少接入控制器的工作量、提高接入控制器的工作效率。
情况二、接入设备判断出,第一请求报文为请求关联的请求报文时,也需要进一步的判断终端对应的代理站点是否存在。
需要说明的是,此处的关联应理解为图1中的关联和重关联两种情况,由于它们的工作过程都是一样的,就不再分开描述,以免重复赘述。
若接入设备判断终端对应的代理站点存在,则判断代理站点是否已关联,获得第三判断结果。
当第三判断结果为否,则接入设备向接入控制器发送第一请求报文;并接收接入控制器针对第一请求报文返回的第二应答报文;然后返回第二应答报文到终端;其中,当第二应答报文为关联成功的应答报文时,接入设备将代理站点置为关联状态。
当第三判断结果为是,则接入设备针对第一请求报文返回关联成功的应答报文。
因为终端有可能是第一次请求关联,也可能是第N次请求关联(即重关联),所以在接入设备判断出终端对应的代理站点存在时,还需要进一步的判断终端对应的代理站点是否已关联,如果判断出已关联过便不需再向接入控制器请求关联,只需接入设备基于终端对应的代理站点的关联状态,将关联成功的应答报文返回给终端。
若接入设备判断终端对应的代理站点不存在,则代理设备可以确定第一请求报文为异常请求报文,便会针对第一请求报文返回拒绝关联的应答报文给终端。
由于终端的正常上线是先认证后关联,也就是说终端认证成功是终端能进行关联的必要条件,而在本申请提供的实施例中,在对请求终端请求认证时便会在接入设备端为终端创建对应的代理站点,并在终端认证失败时删除为终端创建的代理站点,所以,只要接入设备判断出终端对应的代理站点不存在,就能确定第一请求报文是来自攻击终端的异常请求报文。
在步骤302中,接入设备判断第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果,对应第一判断结果为是的情况处理如下。
步骤303:当第一判断结果为是时,接入设备进一步判断本地为终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,终端对应的代理站点用于唯一标识终端,并管理终端的第一请求报文。
步骤304:接入设备基于第一请求报文及第二判断结果,识别第一请求报文是否为异常请求报文,在为是时丢弃第一请求报文。
这又将出现下面两种情况,具体为:
情况一、当第一请求报文为解关联的请求报文时,若第二判断结果为否,则接入设备丢弃第一请求报文,并删除代理站点;若第二判断结果为是,则第一请求报文为正常请求报文,接入设备向接入控制器发送解关联的请求报文;其中,正常请求报文为来自用户终端的请求报文。
情况二、当第一请求报文为解认证的请求报文时,若第二判断结果为是,则丢弃第一请求报文,并修改代理站点的超时时间为代理超时时间;若第二判断结果为否时,则第一请求报文为正常请求报文,接入设备向接入控制器发送解认证的请求报文,并删除代理站点。
根据图2可知,对于有正常上网需求的用户终端而言,下线时的正常过程必然是先发送请求解关联的请求报文,再发送请求解认证的请求报文,而在用户终端上线后用户终端正常情况下是处于关联状态的。
所以,接入设备可以通过为用户终端设置的代理站点,在收到第一请求报文为解关联的请求报文后进一步判断代理站点是否处于关联状态,如果处于关联状态则说明是第一请求报文是正常请求报文。进而可以接入设备可以向接入控制器发送第一请求报文为解关联的请求报文,并在接入设备接收到接入来自接入控制器针对解关联的请求报文返回的应答报文后,并用户终端对应的代理站点置为解关联状态,和将应答报文返回给用户终端。
进一步的,用户终端在接收到成功解关联的应答报文之后,向接入设备在发送请求解认证的请求报文。故而,当接入设备接收到的第一请求报文为请求解认证的请求报文时,也需要进一步的判断代理站点是否处于关联状态,如果不处于关联状态,则说明终端是按照正常的下线过程进行下线的,接入设备可以确定第一请求报文是来自用户终端正常请求报文,接入设备将向接入控制器发送解认证的请求报文,并在接收到接入控制器针对第一请求报文为解认证的请求报文返回的应答报文时,删除用户终端对应的代理站点,以完成用户终端的下线过程。
然而,若第一请求报文为来自攻击终端的请求报文时,根据图1的内容可知,攻击终端想要让用户终端不能上网,只需通过抓包手段截获用户终端的标识信息,如MAC地址,伪装成用户终端发送解认证或解关联的请求报文,便能让用户终端掉线,进而不能正常上网。故结合图2可知,要识别出第一请求报文为来自攻击者的请求报文,只需要通过代理站点判断下线过程是否是按正常的逻辑下线的即可,具体的可分为下面两种情况。
情况一、第一请求报文为请求解关联的请求报文时,若用户终端对应的代理站点为非关联状态,则接入设备判断出第一请求报文为异常请求报文,进而将第一请求报文丢弃,并删除代理站点。
情况二、第一请求报文为请求解认证的请求报文时,若用户终端对应的代理站点为关联状态,则接入设备仍然可以判断出第一请求报文为异常请求报文,进而将第一请求报文丢弃,并修改代理站点的超时时间为代理超时时间。
请参见图4,基于同一发明构思,本发明一实施例提供一种接入设备,应用于无线网络中,该接入设备的具体实施方式可参见方法实施例部分的描述,重复之处不再赘述,该接入设备包括:
接收单元401,用于接收来自终端的第一请求报文;
判断单元402,用于判断所述第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果;当所述第一判断结果为是时,进一步判断本地为所述终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,所述终端对应的代理站点用于唯一标识所述终端,并管理所述终端的第一请求报文;
识别单元403,用于基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,在为是时丢弃所述第一请求报文。
可选的,当所述第一判断结果为否时,所述判断单元402还用于:
所述第一请求报文为请求认证的请求报文时,
若判断所述终端对应的代理站点不存在,则基于所述终端的第一标识为所述终端创建对应的代理站点,并发送所述第一请求报文到所述接入控制器;其中,所述第一标识为所述终端的唯一标识;
若判断所述终端对应的代理站点存在,则针对所述第一请求报文返回认证成功的应答报文到所述终端。
可选的,在发送所述第一请求报文到所述接入控制器之后,所述判断单元402还用于:
接收所述接入控制器针对所述第一请求报文返回的第一应答报文;
判断所述第一应答报文是否为所述认证成功的应答报文,在为是时,将所述代理站点设置为已认证状态,并返回所述第一应答报文给所述终端;在为否时,删除所述代理站点。
可选的,当所述第一判断结果为否时,所述判断单元402还用于:
所述第一请求报文为请求关联的请求报文时,
若判断所述终端对应的代理站点存在,则判断所述代理站点是否已关联,获得第三判断结果;若所述第三判断结果为是,则针对所述第一请求报文返回关联成功的应答报文;
若判断所述终端对应的代理站点不存在,则所述第一请求报文为所述异常请求报文,针对所述第一请求报文返回拒绝关联的应答报文。
可选的,当所述第三判断结果为否时,所述判断单元402还用于:
向所述接入控制器发送所述第一请求报文;并接收所述接入控制器针对所述第一请求报文返回的第二应答报文;
返回所述第二应答报文到所述终端;其中,当所述第二应答报文为关联成功的应答报文时,将所述代理站点置为关联状态。
可选的,基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,所述识别单元403还包括:
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为否,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并删除所述代理站点;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为是,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并修改代理站点的超时时间为代理超时时间;
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为是,则所述第一请求报文为所述正常请求报文,向所述接入控制器发送解关联的请求报文;其中,所述正常请求报文为来自用户终端的请求报文;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为否时,则所述第一请求报文为正常请求报文,向所述接入控制器发送解认证的请求报文,并删除所述代理站点。
在本申请提供的实施例中,通过接入设备端在接收到用户终端请求认证后,在本地为用户终端创建对应代理站点的方式,能唯一识别用户终端,进而在接收到来自终端的第一请求报文后,能通过代理站点及其关联状态,识别出第一请求报文是否为来自攻击者的异常请求报文,在第一请求报文时异常请求报文时丢弃第一请求报文。从而能有效的防止反击攻击,避免用户终端频繁出现上下线的过程,进而确保网络数据能正常通信。
进一步的,在本申请提供的实施例中,通过在接入设备端为终端设置对应的代理站点,使用户终端的关联过程在接入设备端实现隔离,从而能够有效的提升网络安全,进一步提升用户的网络体验。
进一步的,在本申请提供的实施例中,由于通过在接入设备端为终端创建的代理站点的方式,能够有效的防止反制攻击,使得接入控制器能够避免频繁处理终端的上下线过程,进而能够提高接入控制器的工作效率、使无线网络能保持在畅通状态,进一步的提升用户体验。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种安全管理的方法,应用于无线网络中,其特征在于,包括:
接入设备接收来自终端的第一请求报文;
所述接入设备判断所述第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果;
当所述第一判断结果为是时,所述接入设备进一步判断本地为所述终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,所述终端对应的代理站点用于唯一标识所述终端,并管理所述终端的第一请求报文;
接入设备基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,在为是时丢弃所述第一请求报文。
2.如权利要求1所述的方法,其特征在于,当所述第一判断结果为否时,还包括:
所述第一请求报文为请求认证的请求报文时,
若所述接入设备判断所述终端对应的代理站点不存在,则所述接入设备基于所述终端的第一标识为所述终端创建对应的代理站点,并发送所述第一请求报文到所述接入控制器;其中,所述第一标识为所述终端的唯一标识;
若所述接入设备判断所述终端对应的代理站点存在,则所述接入设备针对所述第一请求报文返回认证成功的应答报文到所述终端。
3.如权利要求2所述的方法,其特征在于,在发送所述第一请求报文到所述接入控制器之后,还包括:
所述接入设备接收所述接入控制器针对所述第一请求报文返回的第一应答报文;
所述接入设备判断所述第一应答报文是否为所述认证成功的应答报文,在为是时,将所述代理站点设置为已认证状态,并返回所述第一应答报文给所述终端;在为否时,删除所述代理站点。
4.如权利要求3所述的方法,其特征在于,当所述第一判断结果为否时,还包括:
所述第一请求报文为请求关联的请求报文时,
若所述接入设备判断所述终端对应的代理站点存在,则判断所述代理站点是否已关联,获得第三判断结果;若所述第三判断结果为是,则所述接入设备针对所述第一请求报文返回关联成功的应答报文;
若所述接入设备判断所述终端对应的代理站点不存在,则所述第一请求报文为所述异常请求报文,所述接入设备针对所述第一请求报文返回拒绝关联的应答报文。
5.如权利要求4所述的方法,其特征在于,当所述第三判断结果为否时,还包括:
所述接入设备向所述接入控制器发送所述第一请求报文;并接收所述接入控制器针对所述第一请求报文返回的第二应答报文;
所述接入设备返回所述第二应答报文到所述终端;其中,当所述第二应答报文为关联成功的应答报文时,将所述代理站点置为关联状态。
6.如权利要求1-5任一权项所述的方法,其特征在于,所述接入设备基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,包括:
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为否,确定所述第一请求报文为异常请求报文,则所述接入设备丢弃所述第一请求报文,并删除所述代理站点;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为是,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并修改代理站点的超时时间为代理超时时间;
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为是,则所述第一请求报文为正常请求报文,所述接入设备向所述接入控制器发送解关联的请求报文;其中,所述正常请求报文为来自用户终端的请求报文;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为否时,则所述第一请求报文为正常请求报文,所述接入设备向所述接入控制器发送解认证的请求报文,并删除所述代理站点。
7.一种接入设备,应用于无线网络中,其特征在于,包括:
接收单元,用于接收来自终端的第一请求报文;
判断单元,用于判断所述第一请求报文是否为解认证或解关联的请求报文,以获得第一判断结果;当所述第一判断结果为是时,进一步判断本地为所述终端设置的代理站点与接入控制器是否已关联,获得第二判断结果;其中,所述终端对应的代理站点用于唯一标识所述终端,并管理所述终端的第一请求报文;
识别单元,用于基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,在为是时丢弃所述第一请求报文。
8.如权利要求7所述的接入设备,其特征在于,当所述第一判断结果为否时,所述判断单元还用于:
所述第一请求报文为请求认证的请求报文时,
若判断所述终端对应的代理站点不存在,则基于所述终端的第一标识为所述终端创建对应的代理站点,并发送所述第一请求报文到所述接入控制器;其中,所述第一标识为所述终端的唯一标识;
若判断所述终端对应的代理站点存在,则针对所述第一请求报文返回认证成功的应答报文到所述终端。
9.如权利要求8所述的接入设备,其特征在于,在发送所述第一请求报文到所述接入控制器之后,所述判断单元还用于:
接收所述接入控制器针对所述第一请求报文返回的第一应答报文;
判断所述第一应答报文是否为所述认证成功的应答报文,在为是时,将所述代理站点设置为已认证状态,并返回所述第一应答报文给所述终端;在为否时,删除所述代理站点。
10.如权利要求9所述的接入设备,其特征在于,当所述第一判断结果为否时,所述判断单元还用于:
所述第一请求报文为请求关联的请求报文时,
若判断所述终端对应的代理站点存在,则判断所述代理站点是否已关联,获得第三判断结果;若所述第三判断结果为是,则针对所述第一请求报文返回关联成功的应答报文;
若判断所述终端对应的代理站点不存在,则所述第一请求报文为所述异常请求报文,针对所述第一请求报文返回拒绝关联的应答报文。
11.如权利要求10所述的接入设备,其特征在于,当所述第三判断结果为否时,所述判断单元还用于:
向所述接入控制器发送所述第一请求报文;并接收所述接入控制器针对所述第一请求报文返回的第二应答报文;
返回所述第二应答报文到所述终端;其中,当所述第二应答报文为关联成功的应答报文时,将所述代理站点置为关联状态。
12.如权利要求7-11任一权项所述的接入设备,其特征在于,基于所述第一请求报文及所述第二判断结果,识别所述第一请求报文是否为异常请求报文,所述识别单元还包括:
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为否,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并删除所述代理站点;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为是,确定所述第一请求报文为异常请求报文,则丢弃所述第一请求报文,并修改代理站点的超时时间为代理超时时间;
当所述第一请求报文为解关联的请求报文时,若所述第二判断结果为是,则所述第一请求报文为正常请求报文,向所述接入控制器发送解关联的请求报文;其中,所述正常请求报文为来自用户终端的请求报文;或
当所述第一请求报文为解认证的请求报文时,若所述第二判断结果为否时,则所述第一请求报文为正常请求报文,向所述接入控制器发送解认证的请求报文,并删除所述代理站点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711012986.4A CN107566418B (zh) | 2017-10-26 | 2017-10-26 | 一种安全管理的方法及接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711012986.4A CN107566418B (zh) | 2017-10-26 | 2017-10-26 | 一种安全管理的方法及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107566418A CN107566418A (zh) | 2018-01-09 |
| CN107566418B true CN107566418B (zh) | 2020-03-27 |
Family
ID=61031491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711012986.4A Active CN107566418B (zh) | 2017-10-26 | 2017-10-26 | 一种安全管理的方法及接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566418B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822141B (zh) * | 2019-10-31 | 2023-03-31 | 中国电信股份有限公司 | 在wlan中防攻击的方法、装置、用户终端和计算机可读介质 |
| CN114124581B (zh) * | 2022-01-27 | 2022-05-17 | 深圳融安网络科技有限公司 | 报文处理方法、防火墙及可读存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8625497B2 (en) * | 2003-12-24 | 2014-01-07 | Intel Corporation | Method, apparatus and system to manage distributed channel access with time reservation |
| US20090240794A1 (en) * | 2008-03-20 | 2009-09-24 | Huaiyu Liu | Techniques utilizing a layer-2 proxy for energy-efficient service discovery and connectivity in networks |
| CN101883361B (zh) * | 2009-05-08 | 2015-05-27 | 华为技术有限公司 | 一种用户设备在接入网之间的切换方法、设备及系统 |
| CN101959177B (zh) * | 2009-07-17 | 2013-09-25 | 华为终端有限公司 | 从非WiFi网络向WiFi网络切换的处理方法及设备 |
| CN102420880B (zh) * | 2011-12-15 | 2014-04-02 | 福建星网锐捷网络有限公司 | Ip地址管理的方法、系统及装置 |
| CN103905389B (zh) * | 2012-12-26 | 2017-05-24 | 华为终端有限公司 | 基于中继设备的安全关联、数据传输方法及装置、系统 |
| US20160065575A1 (en) * | 2013-04-28 | 2016-03-03 | Zte Corporation | Communication Managing Method and Communication System |
| US10122438B2 (en) * | 2013-11-01 | 2018-11-06 | Qualcomm Incorporated | Systems, methods and devices for modifying relay operation of a wireless device |
| CN103945445A (zh) * | 2014-03-13 | 2014-07-23 | 京信通信技术(广州)有限公司 | 一种测试接入控制器性能的方法及装置 |
| CN105376739B (zh) * | 2015-12-04 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
-
2017
- 2017-10-26 CN CN201711012986.4A patent/CN107566418B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107566418A (zh) | 2018-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3021549B1 (en) | Terminal authentication apparatus and method | |
| US9769732B2 (en) | Wireless network connection establishment method and terminal device | |
| EP2432265B1 (en) | Method and apparatus for sending a key on a wireless local area network | |
| US9912673B2 (en) | Method and device for secure network access | |
| CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
| JP2008537644A (ja) | 無線ネットワークにおけるモバイルユニットの高速ローミングの方法およびシステム | |
| CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| CN107567017B (zh) | 无线连接系统、装置及方法 | |
| CN104104516A (zh) | 一种Portal认证方法和设备 | |
| CN105939519B (zh) | 一种认证方法及装置 | |
| CN107566418B (zh) | 一种安全管理的方法及接入设备 | |
| US20080126455A1 (en) | Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs | |
| CN109936515A (zh) | 接入配置方法、信息提供方法及装置 | |
| CN111565165A (zh) | 一种云手机认证、维持和状态变更系统及方法 | |
| EP2955945B1 (en) | Method and system for implementing authentication and accounting in interaction between wireless local area network and fixed network | |
| CN113873491A (zh) | 通信装置、系统和计算机可读存储介质 | |
| US9602493B2 (en) | Implicit challenge authentication process | |
| CN108259454A (zh) | 一种Portal认证方法和装置 | |
| CN107181798A (zh) | 一种网络访问的实现方法及系统 | |
| CN105791238A (zh) | 防止无线局域网dhcp泛洪攻击的方法 | |
| EP3107322B1 (en) | Network security appliance to imitate a wireless access point of a local area network through coordination of multiple radios | |
| CN102984700A (zh) | 一种安全信息存储设备、认证方法及系统 | |
| CN107579955B (zh) | 一种动态主机配置协议监听与防护方法和系统 | |
| EP3119053B1 (en) | Method of establishing a data communication between a mobile entity and the internet | |
| CN105187538A (zh) | 一种Web认证噪声处理方法及处理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |