CN114222296B - 一种无线网的安全接入方法和系统 - Google Patents
一种无线网的安全接入方法和系统 Download PDFInfo
- Publication number
- CN114222296B CN114222296B CN202111394701.4A CN202111394701A CN114222296B CN 114222296 B CN114222296 B CN 114222296B CN 202111394701 A CN202111394701 A CN 202111394701A CN 114222296 B CN114222296 B CN 114222296B
- Authority
- CN
- China
- Prior art keywords
- information
- port
- access
- wireless network
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及一种无线网的安全接入方法和系统。所述方法包括:接入节点获取经由无线网发送的关联请求信息;接入节点将关联请求信息传输到目标接入控制器,以由目标接入控制器根据关联请求信息中包括的第一身份标识和端口信息,对无线网的端口接入权限进行认证;在认证成功时,接入节点接收目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向无线网转发关联应答信息;无线网基于预设的加密方式对传输数据进行加密得到加密信息,通过端口认证信息所指示的认证端口向接入节点发送加密信息;接入节点基于加密方式所对应的解密方式,对接收到的加密信息进行解密,并在解密成功时,建立无线网的安全接入。
Description
技术领域
本申请涉及网络通信技术领域,特别是涉及一种无线网的安全接入方法和系统。
背景技术
虽然无线环境搭建简单、且使用方便,但是开放的无线环境也带来了安全上的问题,安全性问题是无线网应用过程中所要面对的最重要的一个问题。其中,无线网是以空气为媒介、且通过电波进行传输的,很容易出现电波泄漏,导致数据被窃听,现有的无线网络安全接入机制包括基于设备物理指纹特征的无线网络接入等方法,虽然该机制能够利用无线设备的物理指纹特征与身份标识信息对接入到内部网络的无线设备进行身份验证,从而增强网络系统的安全性,但是由于物理指纹特征比较复杂,特征提取工作很难准确的进行。因此,基于现有的技术方案进行无线网的安全接入的时候,存在接入难度高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低接入难度的无线网的安全接入方法和系统。
一种无线网的安全接入方法,所述方法包括:
接入节点获取经由无线网发送的关联请求信息,所述关联请求信息中包括有用于对所述无线网的身份进行标识的第一身份标识,以及端口信息;
所述接入节点将所述关联请求信息传输到目标接入控制器,以由所述目标接入控制器根据所述第一身份标识和端口信息,对所述无线网的端口接入权限进行认证;
在认证成功时,所述接入节点接收由所述目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向所述无线网转发所述关联应答信息;
所述无线网基于预设的加密方式对传输数据进行加密得到加密信息,并通过所述端口认证信息所指示的认证端口向接入节点发送所述加密信息;
所述接入节点基于与所述加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与所述无线网之间的安全接入。
一种无线网的安全接入系统,其特征在于,所述系统包括接入节点、无线网和目标接入控制器,其中:
所述接入节点,用于获取经由无线网发送的关联请求信息,所述关联请求信息中包括有用于对所述无线网的身份进行标识的第一身份标识,以及端口信息;
所述接入节点,还用于将所述关联请求信息传输到目标接入控制器,以由所述目标接入控制器根据所述第一身份标识和端口信息,对所述无线网的端口接入权限进行认证;
所述接入节点,还用于在认证成功时,接收由所述目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向所述无线网转发所述关联应答信息;
所述无线网,用于基于预设的加密方式对传输数据进行加密得到加密信息,并通过所述端口认证信息所指示的认证端口向接入节点发送所述加密信息;
所述接入节点,还用于基于与所述加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与所述无线网之间的安全接入。
上述无线网的安全接入方法和系统,一方面,接入节点获取无线网发送的关联请求信息,且,该关联请求信息将传输到目标接入控制器,由目标接入控制器基于关联请求信息中携带的第一身份标识和端口信息对无线网的端口接入权限进行认证,并在认证成功时,生成确认信息,由此限制了未经授权的用户或设备通过接入端口进行资源访问,提高了接入安全性。另一方面,接入节点在成功接收到确认信息时,将生成关联应答信息,并向无线网转发该关联应答信息,以协助无线网根据确认信息中的端口认证信息进行认证端口的确认,基于上述的端口认证方式在降低端口认证难度的基础上,能够降低无线网的接入难度。最后,接入节点基于与预设加密方式相匹配的解密方式,对当前获取到的加密信息进行解密,并基于解密结果,判断当前解密所得的传输数据是否是无线网所签署的,若是,则建立与所述无线网之间的安全接入,如此,便避免了非法用户/终端的中途拦截,保证了传输数据的安全传输。并且,在此过程中只有恢复出明文才能实现无线网的安全接入,可以保障安全接入和认证端口的有效性。
附图说明
图1为一个实施例中无线网的安全接入方法的应用环境图;
图2为一个实施例中无线网的安全接入方法的流程示意图;
图3为一个实施例中无线网的安全接入系统的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的无线网的安全接入方法,可以应用于如图1所示的应用环境中。其中,接入节点102通过网络分别连接到无线网104与目标接入控制器106进行通信。在一个实施例中,在进行无线网的安全接入时,首先,接入节点102获取经由无线网104发送的关联请求信息,关联请求信息中包括有用于对无线网104的身份进行标识的第一身份标识,以及端口信息。接着,接入节点102将关联请求信息传输到目标接入控制器106,以由目标接入控制器106根据第一身份标识和端口信息,对无线网104的端口接入权限进行认证;接着,在认证成功时,接入节点102接收由目标接入控制器106反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向无线网104转发关联应答信息。接着,无线网104基于预设的加密方式对传输数据进行加密得到加密信息,并通过端口认证信息所指示的认证端口向接入节点102发送加密信息;接着,接入节点102基于与加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与无线网104之间的安全接入。
需要说明的是,接入节点102可以但不限于是路由器和交换机。无线网104、目标接入控制器106可以但不限于是终端和服务器;其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种无线网的安全接入方法,以该方法应用于图1中的应用场景为例进行说明,包括以下步骤:
步骤S202,接入节点获取经由无线网发送的关联请求信息,关联请求信息中包括有用于对无线网的身份进行标识的第一身份标识,以及端口信息。
具体的,第一身份标识可以理解为用户ID(Identity document,身份标识),其也称为序列号或帐号,是某个体系中相对唯一的编码,相当于是一种“身份证”在某一具体的事物中,身份标识号一般是不变的,至于用什么来标识该事物,则由设计者自己制定的规则来确定。端口信息可以理解为反映无线网的源端口以及目的端口的信息,其中,源端口是指发出数据包的设备(即无线网)的端口,目的端口则时接收该数据包的设备(即处于接入节点服务范围内的目标接收设备)的端口,无线网与目标接收设备之间可以基于传输层协议(即传输层传输数据所采用的协议)进行数据交互。
步骤S204,接入节点将关联请求信息传输到目标接入控制器,以由目标接入控制器根据第一身份标识和端口信息,对无线网的端口接入权限进行认证。
具体地,目标接入控制器根据第一身份标识和端口信息,对无线网的端口接入权限进行认证,包括:目标接入控制器获取预设的第二列表,第二列表中记录了多项具备网络接入权限的目标身份标识;目标接入控制器将第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,根据端口信息,确定相应的通信端口;目标接入控制器通过预设的端口认证协议,对各通信端口的端口接入权限进行认证,并生成相应的端口认证信息;目标接入控制器基于端口认证信息,对无线网的端口接入权限进行认证,并在认证成功时,生成确认信息。
在其中一个实施例中,第二列表可以为以表格为容器,按照一定的线性序列,排列而成的数据项的集合。
在其中一个实施例中,目标接入控制器可以通过以下实施步骤,将第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配:
(1)目标接入控制器从第二列表中查询出处所需匹配的目标身份标识,并通过正则匹配方式(当然,也可以采用字符串匹配等方法,本申请实施例对此不作限定),将第一身份标识与相应的目标身份标识进行匹配,且,在匹配成功时,即认为当前请求接入的无线网具备合法接入身份,该无线网具备进入接入节点提供的服务范围,进行资源访问以及资源共享的资格。
(2)目标接入控制器对无线网的各个通信端口的接入权限进行认证,并生成相应的端口认证信息。其中:
在一个实施例中,目标接入控制器可以采用IEEE 802.1x协议进行端口接入权限的认证。需要说明的是,在采用IEEE 802.1x协议对任一通信端口进行接入权限认证时,目标接入控制器将在自启动状态下激活该协议,并将该通信端口的端口状态设置为未授权状态。自启动状态下,除了EAPOL(EAP over LANs局域网上的扩展认证协议)报文外,不允许任何业务数据的输入或输出。当该通信端口认证通过之后,其端口状态将从先前的未授权状态切换到授权状态,当前无线网将允许通过该通信端口进行正常的数据通信。
(3)目标接入控制器在确定相应的通信端口具备接入权限,即认证成功时,将生成相应的确认信息。其中:
在一个实施例中,目标接入控制器可以基于预设的字符串(例如,“yes”或者“success”等)进行确认信息的生成,当然,其也可以基于预设的文字(例如,“认证成功”或“可以接入”等)等方式生成确认信息,本申请实施例对比不作限定。
上述实施例中,在确定无线网具备合法接入身份的情况下,进一步采用采用IEEE802.1x协议对其各个通信端口的接入权限进行认证,进一步限制了未经授权的用户或设备通过接入端口进行资源访问。
步骤S206,在认证成功时,接入节点接收由目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向无线网转发关联应答信息。
具体的,端口认证信息包括认证成功信息和认证失败信息;目标接入控制器通过预设的端口认证协议,对各通信端口的端口接入权限进行认证,并生成相应的端口认证信息,包括:目标接入控制器通过预设的端口认证协议对各通信端口的端口接入权限进行认证;在第一通信端口的端口接入权限认证成功时,目标接入控制器将第一通信端口的控制状态设置为授权状态,并生成相应的认证成功信息;在第二通信端口的端口接入权限认证失败时,目标接入控制器将第二通信端口的控制状态设置为未授权状态,并生成相应的认证失败信息。
在其中一个实施例中,基于IEEE 802.1x的端口认证过程,也就是对端口控制状态的认证过程。在认证系统部分的端口有以下三种控制状态:1、Force Authorized:强开,端口一直维持授权状态。2、Force Unauthorized:强关,端口一直维持未授权状态。3、Auto:自动状态。其中,端口的控制状态即决定了工作点是否能接入到接入节点所服务的范围内。
上述实施例中,在第一端口认证的过程中,将首先激活IEEE 802.1x协议,并设置第一端口的控制状态为未授权状态,以及通知设备管理模块,当前需要进行第一端口的认证。以自动状态(即Auto)启用802.1x认证端口的初始状态一般为非授权状态(即unauthorized),在该状态下,除了802.1x的EAPOL报文外不允许任何业务数据的输入以及输出。当第一端口通过认证后,其端口状态切换到授权状态(即authorized)。本实施例中,在认证通过之前,第一端口的控制状态固定设为unauthorized,此时只能通过EAPOL的802.1x认证报文。在认证通过时,该第一端口的控制状态将由unauthorized切换为authorized,此时远端认证服务器可以下发用户的属性信息,如IP地址、VLAN参数、用户访问控制列表等。在一个实施例中,在第一端口认证通过后,用户的流量将接受上述属性信息的监管,此时的第一端口可以通过任何报文。
步骤S208,无线网基于预设的加密方式对传输数据进行加密得到加密信息,并通过端口认证信息所指示的认证端口向接入节点发送加密信息。
具体地,无线网通过端口认证信息所指示的认证端口向接入节点发送加密信息,包括:无线网在确认接收到的认证成功信息时,从各通信端口中筛选出控制状态为授权状态的第一通信端口,并将筛选出的第一通信端口作为认证端口;无线网通过认证端口向接入节点发送加密信息。
在其中一个实施例中,无线网在接收到认证成功信息时,即可以确定当前存在具备接入权限的第一通信端口,此时只需要对各个通信端口的控制状态进行识别,即可从各通信端口中筛选出控制状态为授权状态的第一通信端口。
在一个实施例中,无线网可以基于正则匹配方式,在访问到任一通信端口的控制状态时,将预设的表征授权状态的正则表达式与相应通信端口的控制状态进行匹配,并在匹配成功时,将该第一通信端口作为认证端口,并基于该第一通信端口进行传输数据的传输。
在一个实施例中,在无线网将预设的表征授权状态的正则表达式与相应通信端口的控制状态进行匹配,且在匹配失败时,将该第二通信端口作为非认证端口,并禁止通过该第二通信端口传输数据。
上述实施例中,基于正则匹配方式从各通信端口中筛选出控制状态为授权状态的第一通信端口,可以迅速地用极简单的方式达到字符串的复杂控制,提高了端口筛选效率。
步骤S210,接入节点基于与加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与无线网之间的安全接入。
具体地,无线网通过自身私钥对待传输的数据进行加密计算,以将该传输数据转换为加密信息。无线网基于步骤S208,根据接收到的端口认证信息进行认证端口的确认,并通过当前确认到的认证端口将加密信息传输到接入节点,由接入节点进行解密。
在其中一个实施例中,无线网可以采用非对称加密方法,对待传输的传输数据进行加密计算,需要说明的是,非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
示例性的,非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。
在一个实施例中,也可以采用对称加密方法等加密算法实现对传输数据的加密,本申请实施例对此不作限定。
上述实施例中,基于非对称算法进行传输数据的加密,其算法强度复杂、安全性高,基于该算法进行传输数据的加密,避免了非法用户/终端的中途拦截,提高了传输数据的传输安全性。
上述无线网的安全接入方法中,一方面,接入节点获取无线网发送的关联请求信息,且,该关联请求信息将传输到目标接入控制器,由目标接入控制器基于关联请求信息中携带的第一身份标识和端口信息对无线网的端口接入权限进行认证,并在认证成功时,生成确认信息,由此限制了未经授权的用户或设备通过接入端口进行资源访问,提高了接入安全性。另一方面,接入节点在成功接收到确认信息时,将生成关联应答信息,并向无线网转发该关联应答信息,以协助无线网根据确认信息中的端口认证信息进行认证端口的确认,基于上述的端口认证方式在降低端口认证难度的基础上,能够降低无线网的接入难度。最后,接入节点基于与预设加密方式相匹配的解密方式,对当前获取到的加密信息进行解密,并基于解密结果,判断当前解密所得的传输数据是否是无线网所签署的,若是,则建立与所述无线网之间的安全接入,如此,便避免了非法用户/终端的中途拦截,保证了传输数据的安全传输。并且,在此过程中只有恢复出明文才能实现无线网的安全接入,可以保障安全接入和认证端口的有效性。
在一个实施例中,关联请求信息中还包括有用于对所需接入的目标接入控制器的身份进行标识的目标第二身份标识;在将关联请求信息传输到目标接入控制器的步骤之前,该方法还包括:接入节点获取预设的第一列表,第一列表中记录了第二身份标识与对应接入控制器之间的映射关系;接入节点对获取到的关联请求信息进行解析,以得到相应的目标第二身份标识;接入节点基于第二身份标识与对应接入控制器之间的映射关系,从第一列表中查找出与目标第二身份标识所对应的目标接入控制器。
具体的,第一列表中记录了第二身份标识和对应接入控制器之间的映射关系,在接入节点获取到关联请求信息之后,首先,将由接入节点从关联请求信息中解析出目标第二身份标识。然后,再由接入节点基于预先记录的第二身份标识和对应接入控制器之间的映射关系,从第一列表中查找出与目标第二身份标识所对应的目标接入控制器。
在其中一个实施例中,接入节点可以基于预设的正则表达式,进行目标第二身份标识的解析,例如,在接入节点需要从关联请求信息“javapythonc++php”中,提取出目标第二身份标识“python”时,可以参考以下步骤:
(1)由接入节点通过下述的方式进行关联请求信息的定义:
key="javapythonc++php";
(2)接入节点执行re.findall()方法,以从定义的“javapythonc++php”解析出“python”字段。在一个实施例中,接入节点可以执行re.findall('python',key)[0]方法进行“python”字段的解析。
需要说明的是,接入节点也可以采用其他的方式进行目标第二身份标识的解析,例如bs4数据解析等方法,本申请实施例对此不作限定。其中,bs4数据解析的原理为首先实例化一个“BeautifulSoup”的对象,然后,再调用“BeautifulSoup”对象中的相关方法和属性进行标签定位和数据提取。
上述实施例中,基于预设的正则表达式或bs4数据解析方法进行目标第二身份标识,提高了目标第二身份标识的解析效率,为目标接入控制器的查找提供了便利。
在一个实施例中,该方法还包括:当利用解密方式对接收到的加密信息进行解密,且在解密失败时,接入节点将当前请求安全接入的无线网作为垃圾节点,以及,获取垃圾节点的目标IP地址,并基于预设的地址存储队列,进行目标IP地址的存储。
基于上述实施例,在执行目标接入控制器根据端口信息,确定相应的通信端口的步骤之前,该方法还包括:目标接入控制器将第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,获取相应无线网的IP地址;目标接入控制器将获取到的IP地址与垃圾地址队列中存入的各项目标IP地址分别进行匹配,并在匹配失败时,进行通信端口的确认。
具体的,第二列表中记录了多个具备合法接入身份的目标无线网分别对应的目标身份标识,目标接入控制器在获取到第一身份标识时,即可将该第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配。若匹配成功,则认为该无线网具备合法接入身份,但为了进一步避免无线网的非法接入,在一个实施例中,将由目标接入控制器将前述匹配成功的无线网的IP地址与垃圾地址队列中存入的各项目标IP地址分别进行匹配,若匹配失败,将对该无线网开放端口认证权限,以对无线网的对各通信端口的端口接入权限进行认证。
在其中一个实施例中,目标接入控制器在将获取到的第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配时,可以基于第一身份标识设置搜索条件,并基于该搜索条件,判断能否从第二列表中搜索出相应的目标身份标识,具体的,在搜索成功时,即认为匹配成功。在一个实施例中,目标接入控制器在将获取到的IP地址与垃圾地址队列中存入的各项目标IP地址进行匹配时,也可参考上述方式,本申请实施例对此不作过多说明。
上述实施例中,通过预设的第二列表以及地址存储队列进行无线网的合法接入身份的认证,避免了无效无线网的非法接入,提高了接入安全性。
在一个实施例中,该方法还包括:无线网从已建立安全接入的第一接入节点所对应的第一服务范围内,进入到未与无线网建立安全接入的第二接入节点所对应的第二服务范围时,第二接入节点获取经由无线网传输的重关联请求信息,重关联请求信息中携带有用于对无线网与第一接入节点之间的关联关系进行标识的关联信息;第二接入节点将关联信息转发到目标接入控制器,以由目标接入控制器根据获取到的关联信息生成相应的断开控制指令,以及确定第一接入节点的数据接收地址;目标接入控制器根据数据接收地址,将断开控制指令传输到第一接入节点,控制第一接入节点断开与工作点之间的连接。
具体的,当无线网从已建立安全接入的第一接入节点所对应的第一服务范围内,进入到未与无线网建立安全接入的第二接入节点所对应的第二服务范围时,将执行以下步骤:
首先,无线网将与第二接入节点之间建立连接,并在连接成功时,向第二接入节点发送重关联请求信息。
接着,第二接入节点在接收到重关联请求信息时,将把该重关联请求信息转发到目标接入控制器,通知目标接入控制器当前需要断开无线网与第一接入节点之间的连接。
最后,由目标接入控制器根据重关联请求信息中携带的关联信息,进行第一接入节点的搜索,并在搜索成功时,生成相应的断开控制指令,并基于第一接入节点的数据接收地址,将该断开控制指令传输到第一接入节点,控制第一接入节点断开与工作点之间的连接。
在一个实施例中,当无线网确定已与第一接入节点断开连接时,即可执行步骤S202-S212的内容,以建立与第二接入节点之间的安全接入。示例性的,无线网可以通过下述方式来确定是否断开与第一接入节点之间的连接:
无线网向第一接入节点发送TCP请求报文请求建立TCP连接,当无线网在预设时间范围内未接收到第一接入节点反馈的TCP应答报文时,即可确定当前已与第一接入节点之间断开了连接。此时,无线网可以与第二接入节点进行协商,以建立与第二接入节点之间的安全接入。
上述实施例中,无线网在请求建立与第二接入节点之间的安全接入之前,通过目标接入控制器断开第一接入节点与工作点之间的连接,由此避免了第一接入节点与工作点之间的无效接入,提高了资源利用效率。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图3所示,提供了一种无线网的安全接入系统300,该系统300包括接入节点301、无线网302和目标接入控制器303,其中:
接入节点301用于获取经由无线网发送的关联请求信息,关联请求信息中包括有用于对无线网的身份进行标识的第一身份标识,以及端口信息。
接入节点301还用于将关联请求信息传输到目标接入控制器,以由目标接入控制器根据第一身份标识和端口信息,对无线网的端口接入权限进行认证。
接入节点301还用于在认证成功时,接收由目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向无线网转发关联应答信息。
无线网302用于基于预设的加密方式对传输数据进行加密得到加密信息,并通过端口认证信息所指示的认证端口向接入节点发送加密信息。
接入节点301还用于基于与加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与无线网之间的安全接入。
在其中一个实施例中,关联请求信息中还包括有用于对所需接入的目标接入控制器的身份进行标识的目标第二身份标识,其中:
接入节点301还用于获取预设的第一列表,第一列表中记录了第二身份标识与对应接入控制器之间的映射关系;对获取到的关联请求信息进行解析,以得到相应的目标第二身份标识;基于第二身份标识与对应接入控制器之间的映射关系,从第一列表中查找出与目标第二身份标识所对应的目标接入控制器。
在其中一个实施例中,目标接入控制器303还用于获取预设的第二列表,第二列表中记录了多项具备网络接入权限的目标身份标识;将第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,根据端口信息,确定相应的通信端口;通过预设的端口认证协议,对各通信端口的端口接入权限进行认证,并生成相应的端口认证信息;基于端口认证信息,对无线网的端口接入权限进行认证,并在认证成功时,生成确认信息。
在其中一个实施例中,接入节点301还用于当利用解密方式对接收到的加密信息进行解密,且在解密失败时,将当前请求安全接入的无线网作为垃圾节点,以及,获取垃圾节点的目标IP地址,并基于预设的地址存储队列,进行目标IP地址的存储。
基于上述实施例,目标接入控制器303还用于将第一身份标识与第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,获取相应无线网的IP地址;将获取到的IP地址与垃圾地址队列中存入的各项目标IP地址分别进行匹配,并在匹配失败时,进行通信端口的确认。
在其中一个实施例中,端口认证信息包括认证成功信息和认证失败信息,目标接入控制器303还用于通过预设的端口认证协议对各通信端口的端口接入权限进行认证;在第一通信端口的端口接入权限认证成功时,目标接入控制器将第一通信端口的控制状态设置为授权状态,并生成相应的认证成功信息;在第二通信端口的端口接入权限认证失败时,目标接入控制器将第二通信端口的控制状态设置为未授权状态,并生成相应的认证失败信息。
在其中一个实施例中,无线网302还用于在确认接收到的认证成功信息时,从各通信端口中筛选出控制状态为授权状态的第一通信端口,并将筛选出的第一通信端口作为认证端口;通过认证端口向接入节点发送加密信息。
在其中一个实施例中,在无线网从已建立安全接入的第一接入节点所对应的第一服务范围内,进入到未与无线网建立安全接入的第二接入节点所对应的第二服务范围时,第二接入节点还用于获取经由无线网传输的重关联请求信息,重关联请求信息中携带有用于对无线网与第一接入节点之间的关联关系进行标识的关联信息;将关联信息转发到目标接入控制器,以由目标接入控制器根据获取到的关联信息生成相应的断开控制指令,以及确定第一接入节点的数据接收地址。
基于上述的实施例,目标接入控制器还用于根据数据接收地址,将断开控制指令传输到第一接入节点,控制第一接入节点断开与工作点之间的连接。
上述无线网的安全接入系统,一方面,接入节点获取无线网发送的关联请求信息,且,该关联请求信息将传输到目标接入控制器,由目标接入控制器基于关联请求信息中携带的第一身份标识和端口信息对无线网的端口接入权限进行认证,并在认证成功时,生成确认信息,由此限制了未经授权的用户或设备通过接入端口进行资源访问,提高了接入安全性。另一方面,接入节点在成功接收到确认信息时,将生成关联应答信息,并向无线网转发该关联应答信息,以协助无线网根据确认信息中的端口认证信息进行认证端口的确认,基于上述的端口认证方式在降低端口认证难度的基础上,能够降低无线网的接入难度。最后,接入节点基于与预设加密方式相匹配的解密方式,对当前获取到的加密信息进行解密,并基于解密结果,判断当前解密所得的传输数据是否是无线网所签署的,若是,则建立与所述无线网之间的安全接入,如此,便避免了非法用户/终端的中途拦截,保证了传输数据的安全传输。并且,在此过程中只有恢复出明文才能实现无线网的安全接入,可以保障安全接入和认证端口的有效性。
关于无线网的安全接入系统的具体限定可以参见上文中对于无线网的安全接入系统方法的限定,在此不再赘述。上述无线网的安全接入系统系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种无线网的安全接入方法,其特征在于,所述方法包括:
接入节点获取经由无线网发送的关联请求信息,所述关联请求信息中包括有用于对所述无线网的身份进行标识的第一身份标识、用于对所需接入的目标接入控制器的身份进行标识的目标第二身份标识,以及端口信息;
所述接入节点获取预设的第一列表,所述第一列表中记录了第二身份标识与对应接入控制器之间的映射关系;
所述接入节点对获取到的所述关联请求信息进行解析,以得到相应的目标第二身份标识;
所述接入节点基于所述第二身份标识与对应接入控制器之间的映射关系,从所述第一列表中查找出与所述目标第二身份标识所对应的目标接入控制器;
所述接入节点将所述关联请求信息传输到所述目标接入控制器,以由所述目标接入控制器获取预设的第二列表,将所述第一身份标识与所述第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,根据所述端口信息,确定相应的通信端口,通过预设的端口认证协议,对各所述通信端口的端口接入权限进行认证,并生成相应的端口认证信息,基于所述端口认证信息,对所述无线网的端口接入权限进行认证,并在认证成功时,生成确认信息;其中,所述第二列表中记录了多项具备网络接入权限的目标身份标识;
在认证成功时,所述接入节点接收由所述目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向所述无线网转发所述关联应答信息;
所述无线网基于预设的加密方式对传输数据进行加密得到加密信息,并通过所述端口认证信息所指示的认证端口向接入节点发送所述加密信息;
所述接入节点基于与所述加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与所述无线网之间的安全接入;
所述无线网从已建立安全接入的第一接入节点所对应的第一服务范围内,进入到未与所述无线网建立安全接入的第二接入节点所对应的第二服务范围时,所述第二接入节点获取经由所述无线网传输的重关联请求信息,所述重关联请求信息中携带有用于对所述无线网与所述第一接入节点之间的关联关系进行标识的关联信息;
所述第二接入节点将所述关联信息转发到所述目标接入控制器,以由所述目标接入控制器根据获取到的关联信息生成相应的断开控制指令,以及确定所述第一接入节点的数据接收地址;
所述目标接入控制器根据所述数据接收地址,将所述断开控制指令传输到所述第一接入节点,控制所述第一接入节点断开与工作点之间的连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当利用所述解密方式对接收到的加密信息进行解密,且在解密失败时,所述接入节点将当前请求安全接入的无线网作为垃圾节点,以及,获取所述垃圾节点的目标IP地址,并基于预设的地址存储队列,进行目标IP地址的存储;
在所述目标接入控制器根据所述端口信息,确定相应的通信端口的步骤之前,所述方法还包括:
所述目标接入控制器将所述第一身份标识与所述第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,获取相应无线网的IP地址;
所述目标接入控制器将获取到的IP地址与所述垃圾地址队列中存入的各项目标IP地址分别进行匹配,并在匹配失败时,进行通信端口的确认。
3.根据权利要求1所述的方法,其特征在于,所述端口认证信息包括认证成功信息和认证失败信息;所述目标接入控制器通过预设的端口认证协议,对各所述通信端口的端口接入权限进行认证,并生成相应的端口认证信息,包括:
所述目标接入控制器通过预设的端口认证协议对各所述通信端口的端口接入权限进行认证;
在第一通信端口的端口接入权限认证成功时,所述目标接入控制器将所述第一通信端口的控制状态设置为授权状态,并生成相应的认证成功信息;
在第二通信端口的端口接入权限认证失败时,所述目标接入控制器将所述第二通信端口的控制状态设置为未授权状态,并生成相应的认证失败信息。
4.根据权利要求3所述的方法,其特征在于,所述无线网通过所述端口认证信息所指示的认证端口向接入节点发送所述加密信息,包括:
所述无线网在确认接收到的认证成功信息时,从各所述通信端口中筛选出控制状态为授权状态的第一通信端口,并将筛选出的第一通信端口作为认证端口;
所述无线网通过所述认证端口向接入节点发送所述加密信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述无线网从已建立安全接入的第一接入节点所对应的第一服务范围内,进入到未与所述无线网建立安全接入的第二接入节点所对应的第二服务范围时,所述第二接入节点获取经由所述无线网传输的重关联请求信息,所述重关联请求信息中携带有用于对所述无线网与所述第一接入节点之间的关联关系进行标识的关联信息;
所述第二接入节点将所述关联信息转发到所述目标接入控制器,以由所述目标接入控制器根据获取到的关联信息生成相应的断开控制指令,以及确定所述第一接入节点的数据接收地址;
所述目标接入控制器根据所述数据接收地址,将所述断开控制指令传输到所述第一接入节点,控制所述第一接入节点断开与所述工作点之间的连接。
6.根据权利要求1所述的方法,其特征在于,所述接入节点包括路由器或交换机。
7.根据权利要求1所述的方法,其特征在于,所述第一身份标识包括用户ID。
8.根据权利要求1所述的方法,其特征在于,所述无线网包括终端或服务器。
9.根据权利要求1所述的方法,其特征在于,所述目标接入控制器包括终端或服务器。
10.一种无线网的安全接入系统,其特征在于,所述系统包括接入节点、无线网和目标接入控制器,其中:
所述接入节点,用于获取经由无线网发送的关联请求信息,所述关联请求信息中包括有用于对所述无线网的身份进行标识的第一身份标识、用于对所需接入的目标接入控制器的身份进行标识的目标第二身份标识,以及端口信息;
所述接入节点,还用于获取预设的第一列表,所述第一列表中记录了第二身份标识与对应接入控制器之间的映射关系;对获取到的所述关联请求信息进行解析,以得到相应的目标第二身份标识;基于所述第二身份标识与对应接入控制器之间的映射关系,从所述第一列表中查找出与所述目标第二身份标识所对应的目标接入控制器;
所述接入节点,还用于将所述关联请求信息传输到目标接入控制器,以由所述目标接入控制器获取预设的第二列表,所述第二列表中记录了多项具备网络接入权限的目标身份标识;将所述第一身份标识与所述第二列表中记录的各项目标身份标识分别进行匹配,并在匹配成功时,根据所述端口信息,确定相应的通信端口,通过预设的端口认证协议,对各所述通信端口的端口接入权限进行认证,并生成相应的端口认证信息,基于所述端口认证信息,对所述无线网的端口接入权限进行认证,并在认证成功时,生成确认信息;
所述接入节点,还用于在认证成功时,接收由所述目标接入控制器反馈的确认信息,根据确认信息中的端口认证信息,生成关联应答信息,向所述无线网转发所述关联应答信息;
所述无线网,用于基于预设的加密方式对传输数据进行加密得到加密信息,并通过所述端口认证信息所指示的认证端口向接入节点发送所述加密信息;
所述接入节点,还用于基于与所述加密方式相匹配的解密方式,对接收到的加密信息进行解密,并在解密成功时,在相应服务范围内建立与所述无线网之间的安全接入;
所述无线网,还用于从已建立安全接入的第一接入节点所对应的第一服务范围内,进入到未与所述无线网建立安全接入的第二接入节点所对应的第二服务范围时,所述第二接入节点获取经由所述无线网传输的重关联请求信息,所述重关联请求信息中携带有用于对所述无线网与所述第一接入节点之间的关联关系进行标识的关联信息;
所述第二接入节点,用于将所述关联信息转发到所述目标接入控制器,以由所述目标接入控制器根据获取到的关联信息生成相应的断开控制指令,以及确定所述第一接入节点的数据接收地址;
所述目标接入控制器,还用于根据所述数据接收地址,将所述断开控制指令传输到所述第一接入节点,控制所述第一接入节点断开与工作点之间的连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111394701.4A CN114222296B (zh) | 2021-11-23 | 2021-11-23 | 一种无线网的安全接入方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111394701.4A CN114222296B (zh) | 2021-11-23 | 2021-11-23 | 一种无线网的安全接入方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114222296A CN114222296A (zh) | 2022-03-22 |
| CN114222296B true CN114222296B (zh) | 2023-08-08 |
Family
ID=80697953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111394701.4A Active CN114222296B (zh) | 2021-11-23 | 2021-11-23 | 一种无线网的安全接入方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114222296B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN110708170A (zh) * | 2019-12-13 | 2020-01-17 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置以及计算机可读存储介质 |
| CN111372295A (zh) * | 2020-03-17 | 2020-07-03 | 重庆邮电大学 | 一种移动设备在工业无线网络中的跨信道无缝切换方法 |
| CN112423299A (zh) * | 2020-04-16 | 2021-02-26 | 岭博科技(北京)有限公司 | 一种基于身份认证进行无线接入的方法及系统 |
-
2021
- 2021-11-23 CN CN202111394701.4A patent/CN114222296B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN110708170A (zh) * | 2019-12-13 | 2020-01-17 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置以及计算机可读存储介质 |
| CN111372295A (zh) * | 2020-03-17 | 2020-07-03 | 重庆邮电大学 | 一种移动设备在工业无线网络中的跨信道无缝切换方法 |
| CN112423299A (zh) * | 2020-04-16 | 2021-02-26 | 岭博科技(北京)有限公司 | 一种基于身份认证进行无线接入的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114222296A (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3090520B1 (en) | System and method for securing machine-to-machine communications | |
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
| US9838870B2 (en) | Apparatus and method for authenticating network devices | |
| US9491174B2 (en) | System and method for authenticating a user | |
| US20030196084A1 (en) | System and method for secure wireless communications using PKI | |
| EP1835688A1 (en) | SIM based authentication | |
| EP2544117A1 (en) | Method and system for sharing or storing personal data without loss of privacy | |
| CN109951513B (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
| CN105027493A (zh) | 安全移动应用连接总线 | |
| WO2022111187A1 (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| KR102146940B1 (ko) | 토큰 위변조 검증 방법 | |
| WO2018010150A1 (zh) | 一种认证方法和认证系统 | |
| US10909254B2 (en) | Object level encryption system including encryption key management system | |
| CN104468074A (zh) | 应用程序之间认证的方法及设备 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| CN111934888B (zh) | 一种改进软件定义网络的安全通信系统 | |
| US9485229B2 (en) | Object level encryption system including encryption key management system | |
| CN116709325B (zh) | 一种基于高速加密算法的移动设备安全认证方法 | |
| US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN114222296B (zh) | 一种无线网的安全接入方法和系统 | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| CN114268499B (zh) | 数据传输方法、装置、系统、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |