一種無線局域網的安全認證方法
【專利摘要】本發明公開了一種無線局域網的安全認證方法,應用于無線局域網中網關設備對移動終端接入認證服務器的認證請求的管理,包括下述步驟:S1移動終端輸出認證請求至網關設備;S2網關設備提取認證請求中的移動終端的物理地址,并將物理地址添加到預設的監控表單中;S3網關設備識別認證請求是否為預設請求,若否執行S4;若是執行S6;S4網關設備在第一預設周期內采用第一預設策略監測移動終端,并將第一次接收到的認證請求重定向為預設請求發送至認證服務器;S5認證服務器根據預設請求對移動終端進行認證,結束;S6網關設備在第二預設周期內采用第二預設策略監測移動終端,并將第一次接收到的認證請求發送至認證服務器,返回步驟S5。
【專利說明】
一種無線局域網的安全認證方法
技術領域
[0001 ] 本發明涉及WLAN(Wireless Local Areal Network,無線局域網)接入認證領域,尤其涉及一種應用于無線局域網的安全認證方法。
【背景技術】
[0002]Portal (無線接入)認證是無線局域網接入認證的主流技術之一,當用戶接入某一無線局域網時,會彈出Portal頁面,提示用戶輸入帳戶信息,完成接入認證。由于無線局域網線路不穩定容易出現丟包或因Portal頁面過大網頁打開時間過長,用戶通常會頻繁刷新Web頁面來獲取Portal網頁,這一操作會對Portal服務器造成一定的負荷壓力。由于無線的資源非常有限,Portal服務器資源也有限,當無線覆蓋區域用戶規模比較大時,用戶頻繁刷新Web獲取PortaI頁面,會產生大量的無交效冗余PortaI請求,占用無線資源,從而對Portal服務器造成較大的壓力。當用戶終端設備由于某種原因(如中毒等因素)導致頻繁輸出大量請求網絡服務時,會占用巨大的無線資源,甚至會導致整個無線局域網癱瘓。
【發明內容】
[0003]針對現有的無線局域網認證時存在的上述問題,現提供一種旨在實現可過濾掉冗余Portal請求,節約無線寬帶資源,降低Portal服務器負擔的無線局域網的安全認證方法。
[0004]具體技術方案如下:
[0005]—種無線局域網的安全認證方法,應用于無線局域網中網關設備對移動終端接入認證服務器的認證請求的管理,包括下述步驟:
[0006]S1.所述移動終端輸出所述認證請求至所述網關設備;
[0007]S2.所述網關設備提取所述認證請求中的所述移動終端的物理地址,并將所述物理地址添加到預設的監控表單中;
[0008]S3.所述網關設備識別所述認證請求是否為預設請求,若否,執行步驟S4;若是,執行步驟S6 ;
[0009]S4.所述網關設備在第一預設周期內采用第一預設策略監測所述移動終端,并將第一次接收到的所述認證請求重定向為所述預設請求發送至所述認證服務器;
[0010]S5.所述認證服務器根據所述預設請求對所述移動終端進行認證,結束;
[0011 ] S6.所述網關設備在第二預設周期內采用第二預設策略監測所述移動終端,并將第一次接收到的所述認證請求發送至所述認證服務器,返回執行步驟S5。
[0012]優選的,所述預設請求為訪問所述認證服務器的請求。
[0013]優選的,所述第一預設策略為:
[0014]S41.所述網關設備在第一預設周期內累計所述移動終端輸出的所述認證請求的次數;
[0015]S42.所述網關設備判斷所述次數是否在第一閾值區間內,若是,執行步驟S43;若否,執行步驟S44;
[0016]S43.所述網關設備將第一次接收到的所述認證請求重定向為所述預設請求發送至所述認證服務器,執行步驟S5;
[0017]S44.所述網關設備判斷所述次數是否在第二閾值區間內,若是,執行步驟S45;若否,執行步驟S46;
[0018]S45.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到第一屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5;
[0019]S46.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到第二屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5。
[0020]優選的,所述網關設備用以在預設時間間隔內屏蔽所述第一屏蔽表單中的所述物理地址對應的所述移動終端發送的所述認證請求。
[0021]優選的,所述網關設備用以屏蔽所述第二屏蔽表單中的所述物理地址對應的所述移動終端發送的所述認證請求。
[0022]優選的,所述步驟S5中所述認證服務器根據所述預設請求對所述移動終端進行認證,當認證成功時,控制所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并控制所述網關設備清空所述移動終端輸出的所述認證請求的次數;
[0023]當認證成功且所述認證服務器接收到所述解除認證請求時,所述認證服務器解除對所述移動終端的認證權限。
[0024]優選的,所述第二預設策略為:
[0025]S61.所述網關設備在第二預設周期內累計所述移動終端輸出的所述認證請求的次數;
[0026]S62.所述網關設備判斷所述次數是否在第三閾值區間內,若是,執行步驟S43;若否,執行步驟S64;
[0027]S63.所述網關設備將第一次接收到的所述認證請求發送至所述認證服務器,執行步驟S5;
[0028]S64.所述網關設備判斷所述次數是否在第四閾值區間內,若是,執行步驟S65;若否,執行步驟S66;
[0029]S65.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到所述第一屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5 ;
[0030]S66.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到所述第二屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5。
[0031 ]優選的,所述第一閾值區間為:[I,100],和/或
[0032]所述第二閾值區間為:(100,1000]。
[0033]優選的,所述第三閾值區間為:[I,10],和/或
[0034]所述第四閾值區間為:(10,100]。
[0035]優選的,所述認證請求為超文本傳輸協議請求。
[0036]上述技術方案的有益效果:
[0037]本技術方案中,通過識別移動終端發送的認證請求,采用相應的預設策略針對移動終端發送請求的頻率和相似程度來判斷是否為大量重復的認證請求,從而丟棄冗余認證請求,節約了無線寬帶,減少了認證服務器的運行壓力。
【附圖說明】
[0038]圖1為本發明所述的無線局域網的安全認證方法的第一種實施例的方法流程圖;
[0039]圖2為本發明所述的無線局域網的安全認證方法的第二種實施例的方法流程圖;
[0040]圖3為本發明所述的無線局域網的安全認證方法的第三種實施例的方法流程圖。
【具體實施方式】
[0041]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動的前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
[0042]需要說明的是,在不沖突的情況下,本發明中的實施例及實施例中的特征可以相互組合。
[0043]下面結合附圖和具體實施例對本發明作進一步說明,但不作為本發明的限定。
[0044]如圖1所示,一種無線局域網的安全認證方法,應用于網關設備對移動終端接入認證服務器的認證請求的管理,包括下述步驟:
[0045]S1.移動終端輸出認證請求至網關設備;
[0046]S2.網關設備提取認證請求中的移動終端的MAC地址(Media Access Control,物理地址),并將物理地址添加到預設的監控表單中;
[0047]S3.網關設備識別認證請求是否為預設請求,若否,執行步驟S4;若是,執行步驟S6;
[0048]S4.網關設備在第一預設周期內采用第一預設策略監測移動終端,并將第一次接收到的認證請求重定向為預設請求發送至認證服務器;
[0049]S5.認證服務器根據預設請求對移動終端進行認證,結束;
[0050]S6.網關設備在第二預設周期內采用第二預設策略監測移動終端,并將第一次接收到的認證請求發送至認證服務器,返回執行步驟S5。
[0051]進一步地,預設請求為訪問認證服務器的請求。認證請求為超文本傳輸協議請求。
[0052]在本實施例中,通過識別移動終端發送的認證請求,采用相應的預設策略針對移動終端發送請求的頻率和相似程度來判斷是否為大量重復的認證請求,從而丟棄冗余認證請求,節約了無線寬帶,減少了認證服務器的運行壓力。
[0053]如圖2所示,在優選的實施例中,第一預設策略為:
[0054]S41.網關設備在第一預設周期內累計移動終端輸出的認證請求的次數;
[0055]S42.網關設備判斷次數是否在第一閾值區間內,若是,執行步驟S43;若否,執行步驟 S44;
[0056]S43.網關設備將第一次接收到的認證請求重定向為預設請求發送至認證服務器,執行步驟S5 ;
[0057]S44.網關設備判斷次數是否在第二閾值區間內,若是,執行步驟S45;若否,執行步驟 S46;
[0058]S45.網關設備將移動終端的物理地址從監控表單中清除,并將物理地址添加到第一屏蔽表單,并生成相應的解除認證請求,將接觸認證請求發送至認證服務器,網關設備清空移動終端輸出的認證請求的次數,執行步驟S5;
[0059]S46.網關設備將移動終端的物理地址從監控表單中清除,并將物理地址添加到第二屏蔽表單,并生成相應的解除認證請求,將接觸認證請求發送至認證服務器,網關設備清空移動終端輸出的認證請求的次數,執行步驟S5。
[0060]進一步地,所述第一閾值區間為:[I,100],和/或所述第二閾值區間為:(100,
ιοοο]ο
[0061 ]在本實施例中,以第一預設周期為3秒為例:
[0062]網關設備通過監聽本地80端口,獲取移動終端發送的認證請求;當認證請求不是預設請求時;網關設備記錄此移動終端的MAC地址,并統計該移動終端發起的認證請求的次數NI;
[0063 ] 若此移動終端在3秒內訪問外網URL地址(一級域名相同視為同一URL (Un i f ο rmResource Locator,統一資源定位符)地址)的次數I < NI < 100,則網關設備將移動終端的第一次認證請求的響應報文重定向為預設請求指定的URL地址,發送至認證服務器,并忽略之后的所有認證請求,以減少認證服務器的運行壓力;移動終端獲得網關設備重定向的認證響應網頁,通過瀏覽器打開Portal認證頁面,繼續后續的認證操作;認證成功后,此移動終端的認證請求的次數NI恢復默認值零,并將移動終端的MAC地址從監控表單中刪除;
[0064]若此移動終端在3秒內訪問外網URL地址(一級域名相同視為同一URL地址)的次數100<N1 < 1000,則丟棄之后的所有認證請求,以減少認證服務器的運行壓力;將此移動終端的MAC地址加入第一屏蔽表單(默認24小時有效),認證服務器控制網關設備將移動終端的物理地址從監控表單中清除,并控制網關設備清空移動終端輸出的認證請求的次數,若認證成功則解除認證;
[0065]若此移動終端在3秒內訪問同一 URL地址(一級域名相同視為同一 URL地址)的認證請求的次數NI大于1000,則丟棄之后的所有認證請求,以減少認證服務器的運行壓力;將此移動終端的MAC地址加入第二屏蔽表單(永久黑名單),認證服務器控制網關設備將移動終端的物理地址從監控表單中清除,并控制網關設備清空移動終端輸出的認證請求的次數,若認證成功則解除認證。
[0066]在優選的實施例中,網關設備用以在預設時間間隔內屏蔽第一屏蔽表單中的物理地址對應的移動終端發送的認證請求。
[0067]在本實施例中,以預設時間間隔為24小時為例,網關設備可對加入第一屏蔽表單中的物理地址在24小時之內屏蔽其發送的認證請求。
[0068]在優選的實施例中,網關設備用以屏蔽第二屏蔽表單中的物理地址對應的移動終端發送的認證請求。
[0069]在本實施例中,網關設備可對加入第二屏蔽表單中的物理地址采用永久屏蔽的方式屏蔽其發送的認證請求。
[0070]在優選的實施例中,步驟S5中認證服務器根據預設請求對移動終端進行認證,當認證成功時,控制網關設備將移動終端的物理地址從監控表單中清除,并控制網關設備清空移動終端輸出的認證請求的次數;
[0071]當認證成功且認證服務器接收到解除認證請求時,認證服務器解除對移動終端的認證權限。
[0072]如圖3所示,在優選的實施例中,第二預設策略為:
[0073]S61.網關設備在第二預設周期內累計移動終端輸出的認證請求的次數;
[0074]S62.網關設備判斷次數是否在第三閾值區間內,若是,執行步驟S43;若否,執行步驟 S64;
[0075]S63.網關設備將第一次接收到的認證請求發送至認證服務器,執行步驟S5;
[0076]S64.網關設備判斷次數是否在第四閾值區間內,若是,執行步驟S65;若否,執行步驟 S66;
[0077]S65.網關設備將移動終端的物理地址從監控表單中清除,并將物理地址添加到第一屏蔽表單,并生成相應的解除認證請求,將接觸認證請求發送至認證服務器,網關設備清空移動終端輸出的認證請求的次數,執行步驟S5;
[0078]S66.網關設備將移動終端的物理地址從監控表單中清除,并將物理地址添加到第二屏蔽表單,并生成相應的解除認證請求,將接觸認證請求發送至認證服務器,網關設備清空移動終端輸出的認證請求的次數,執行步驟S5。
[0079]進一步地,所述第三閾值區間為:[I,10],和/或
[0080]所述第四閾值區間為:(10,100]。
[0081 ]在本實施例中,以第二預設周期為3秒為例:
[0082]網關設備通過監聽本地80端口,獲取移動終端發送的認證請求;當認證請求是預設請求時;網關設備記錄此移動終端的MAC地址,并統計該移動終端發起的認證請求的次數N2;
[0083]若此移動終端在3秒內訪問U R L地址(一級域名相同視為同一 U R L (U n i f ο r mResource Locator,統一資源定位符)地址)的次數I < N2 < 10,則網關設備將移動終端的第一次認證請求的響應報文發送至認證服務器,并忽略之后的所有認證請求,以減少認證服務器的運行壓力;移動終端獲得網關設備的認證響應網頁,通過瀏覽器打開Portal認證頁面,繼續后續的認證操作;認證成功后,此移動終端的認證請求的次數N2恢復默認值零,并將移動終端的MAC地址從監控表單中刪除;
[0084]若此移動終端在3秒內訪問URL地址(一級域名相同視為同一URL地址)的次數10〈N2 < 100,則丟棄之后的所有認證請求,以減少認證服務器的運行壓力;將此移動終端的MAC地址加入第一屏蔽表單(默認24小時有效),認證服務器控制網關設備將移動終端的物理地址從監控表單中清除,并控制網關設備清空移動終端輸出的認證請求的次數,若認證成功則解除認證;
[0085]若此移動終端在3秒內訪問同一 URL地址(一級域名相同視為同一 URL地址)的認證請求的次數N2大于100,則丟棄之后的所有認證請求,以減少認證服務器的運行壓力;將此移動終端的MAC地址加入第二屏蔽表單(永久黑名單),認證服務器控制網關設備將移動終端的物理地址從監控表單中清除,并控制網關設備清空移動終端輸出的認證請求的次數,若認證成功則解除認證。
[0086]本技術方案中的網關設備可采用無線接入點,或無線接入云節點。
[0087]本發明可識別移動終端發送的認證請求,采用相應的預設策略針對移動終端發送請求的頻率和相似程度來判斷是否為大量重復的認證請求,從而丟棄冗余認證請求,從而改善認證服務器的性能,還可防止人為“黑客”攻擊,提高了認證服務器的安全性和可靠性。
[0088]以上所述僅為本發明較佳的實施例,并非因此限制本發明的實施方式及保護范圍,對于本領域技術人員而言,應當能夠意識到凡運用本發明說明書及圖示內容所作出的等同替換和顯而易見的變化所得到的方案,均應當包含在本發明的保護范圍內。
【主權項】
1.一種無線局域網的安全認證方法,其特征在于,應用于無線局域網中網關設備對移動終端接入認證服務器的認證請求的管理,包括下述步驟: 51.所述移動終端輸出所述認證請求至所述網關設備; 52.所述網關設備提取所述認證請求中的所述移動終端的物理地址,并將所述物理地址添加到預設的監控表單中; 53.所述網關設備識別所述認證請求是否為預設請求,若否,執行步驟S4;若是,執行步驟S6; 54.所述網關設備在第一預設周期內采用第一預設策略監測所述移動終端,并將第一次接收到的所述認證請求重定向為所述預設請求發送至所述認證服務器; 55.所述認證服務器根據所述預設請求對所述移動終端進行認證,結束; 56.所述網關設備在第二預設周期內采用第二預設策略監測所述移動終端,并將第一次接收到的所述認證請求發送至所述認證服務器,返回執行步驟S5。2.如權利要求1所述的無線局域網的安全認證方法,其特征在于,所述預設請求為訪問所述認證服務器的請求。3.如權利要求1所述的無線局域網的安全認證方法,其特征在于,所述第一預設策略為: 541.所述網關設備在第一預設周期內累計所述移動終端輸出的所述認證請求的次數; 542.所述網關設備判斷所述次數是否在第一閾值區間內,若是,執行步驟S43;若否,執行步驟S44; 543.所述網關設備將第一次接收到的所述認證請求重定向為所述預設請求發送至所述認證服務器,執行步驟S5; 544.所述網關設備判斷所述次數是否在第二閾值區間內,若是,執行步驟S45;若否,執行步驟S46 ; 545.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到第一屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5; 546.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到第二屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5o4.如權利要求3所述的無線局域網的安全認證方法,其特征在于,所述網關設備用以在預設時間間隔內屏蔽所述第一屏蔽表單中的所述物理地址對應的所述移動終端發送的所述認證請求。5.如權利要求3所述的無線局域網的安全認證方法,其特征在于,所述網關設備用以屏蔽所述第二屏蔽表單中的所述物理地址對應的所述移動終端發送的所述認證請求。6.如權利要求3所述的無線局域網的安全認證方法,其特征在于,所述步驟S5中所述認證服務器根據所述預設請求對所述移動終端進行認證,當認證成功時,控制所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并控制所述網關設備清空所述移動終端輸出的所述認證請求的次數; 當認證成功且所述認證服務器接收到所述解除認證請求時,所述認證服務器解除對所述移動終端的認證權限。7.如權利要求3所述的無線局域網的安全認證方法,其特征在于,所述第二預設策略為: 561.所述網關設備在第二預設周期內累計所述移動終端輸出的所述認證請求的次數; 562.所述網關設備判斷所述次數是否在第三閾值區間內,若是,執行步驟S43;若否,執行步驟S64; 563.所述網關設備將第一次接收到的所述認證請求發送至所述認證服務器,執行步驟S5; 564.所述網關設備判斷所述次數是否在第四閾值區間內,若是,執行步驟S65;若否,執行步驟S66; 565.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到所述第一屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5; 566.所述網關設備將所述移動終端的所述物理地址從所述監控表單中清除,并將所述物理地址添加到所述第二屏蔽表單,并生成相應的解除認證請求,將所述接觸認證請求發送至所述認證服務器,所述網關設備清空所述移動終端輸出的所述認證請求的次數,執行步驟S5。8.如權利要求3所述的無線局域網的安全認證方法,其特征在于,所述第一閾值區間為:[1,100],和/或 所述第二閾值區間為:(100,1000]。9.如權利要求7所述的無線局域網的安全認證方法,其特征在于,所述第三閾值區間為:[1,10],和/或 所述第四閾值區間為:(10,100]。10.如權利要求1所述的無線局域網的安全認證方法,其特征在于,所述認證請求為超文本傳輸協議請求。
【文檔編號】H04W84/12GK105848149SQ201610321088
【公開日】2016年8月10日
【申請日】2016年5月13日
【發明人】樂毅
【申請人】上海斐訊數據通信技術有限公司