CN101977383A - 网络接入的认证处理方法、***、客户端和服务器 - Google Patents
网络接入的认证处理方法、***、客户端和服务器 Download PDFInfo
- Publication number
- CN101977383A CN101977383A CN2010102444776A CN201010244477A CN101977383A CN 101977383 A CN101977383 A CN 101977383A CN 2010102444776 A CN2010102444776 A CN 2010102444776A CN 201010244477 A CN201010244477 A CN 201010244477A CN 101977383 A CN101977383 A CN 101977383A
- Authority
- CN
- China
- Prior art keywords
- client
- authentication
- identification information
- additional identification
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种网络接入的认证处理方法、***、客户端和服务器,其中,方法包括:接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息;对所述认证附加标识信息与本地计算的预置附加标识信息进行校验处理;当所述认证附加标识信息与所述预置附加标识信息不一致时,对非法接入的客户端进行识别处理。网络接入服务器包括接收模块、校验模块和识别模块。客户端包括发送模块、校验触发模块和识别触发模块。本发明还提供一种网络接入的认证处理***。本发明解决了现有技术中采用用户名和密码进行无线网络身份认证所存在的无线网络接入的安全问题,大大提高了无线网络中用户进行入网接入的安全性。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种网络接入的认证处理方法、***、客户端和服务器。
背景技术
随着无线网络技术的不断发展,无线网络的普及率越来越高,更多的企业和单位开始采用无线网络进行网络访问。业界一般采用802.1X协议来进行无线入网检查,即在用户接入网络之前采用用户名和密码进行身份认证,只有拥有合法身份的用户才能接入到网络中。然而,由于无线网络技术固有的特点,即需要通过无线信号进行无线通讯报文的传播,无线网络和有限网络相比,存在天然的安全问题。如无线网络易受到攻击;用户的网络接入账号可能被攻击者窃取并非法侵入网络中;当账号丢失后,用户也无法及时发现,且无法对问题进行定位等。
在现有技术中,为了解决802.1X协议的认证技术中存在的上述问题,通常通过以下方法来提高网络的安全性:强制要求用户采用较复杂的密码来提高密码强度、在无线交换机上通过主动绑定IP地址和介质接入控制(Media Access Control;以下简称:MAC)地址来进行IP地址或MAC地址的过滤、禁用动态主机设置协议(Dynamic Host Configuration Protocol;以下简称:DHCP)服务或服务集标识(Service Set Identifier;以下简称:SSID)广播等。
然而,现有技术中的上述方法仍然存在实施成本高、网络管理工作量大、无法彻底解决无线网络安全等,导致无线网络的接入安全仍受到威胁。
发明内容
本发明提供一种网络接入的认证处理方法、***、客户端和服务器,用以解决现有技术中采用用户名和密码进行无线网络身份认证所存在的无线网络接入的安全问题,提高无线网络中用户进行入网接入的安全性。
本发明提供一种网络接入的认证处理方法,包括:
接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息;
对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理;
当所述认证附加标识信息与所述预置附加标识信息不一致时,对非法接入的客户端进行识别处理。
本发明提供一种网络接入服务器,包括:
接收模块,用于接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息;
校验模块,用于对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理;
识别模块,用于当所述认证附加标识信息与所述预置附加标识信息不一致时,对非法接入的客户端进行识别处理。
本发明提供一种客户端,包括:
发送模块,用于向网络接入服务器发送认证请求消息,在所述认证请求消息中携带认证附加标识信息;
校验触发模块,用于触发所述网络接入服务器对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理;
识别触发模块,用于当所述认证附加标识信息与所述预置附加标识信息不一致时,触发所述网络接入服务器对非法接入的客户端进行识别处理。
本发明还提供一种网络接入的认证处理***,包括网络设备、上述网络接入服务器以及上述客户端。
本发明的网络接入的认证处理方法、***、客户端和服务器,网络接入服务器通过从客户端发送的认证请求消息中提取认证附加标识信息,并对该认证附加标识信息和本地计算生成的预置附加标识信息进行校验处理,当校验错误时,对非法接入的客户端进行识别处理;本实施例解决了现有技术中采用用户名和密码进行无线网络身份认证所存在的无线网络接入的安全问题,大大提高了无线网络中用户进行入网接入的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网络接入的认证处理方法实施例一的流程图;
图2为本发明网络接入的认证处理方法实施例二的信令图;
图3为本发明网络接入的认证处理方法实施例二中认证请求消息的消息格式示意图;
图4为本发明网络接入的认证处理方法实施例二中认证响应消息的消息格式示意图;
图5为本发明网络接入服务器实施例一的结构示意图;
图6为本发明网络接入服务器实施例二的结构示意图;
图7为本发明客户端实施例一的结构示意图;
图8为本发明客户端实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在无线网络中,无线通讯报文是通过无线信号在空气中传播的,因此不管无线用户客户端的身份如何,只要在无线信号覆盖得到的地方都可以进行网络接入,即意味着任何接入网络的客户端均可以通过无线网络进行攻击和机密信息的窃取,无线网络中的用户客户端的安全性受到极大威胁。尽管目前业界一般采用802.1X协议来进行无线入网检查,即采用基于802.1X的PEAP-MSCHAP V2来支持用户的用户名密码的认证,只有拥有合法身份的用户才能接入无线网络。然而由于网络使用人员普遍没有安全意识,一般密码均设置得比较简单,且不注重上网账号的保护,因此很容易使一些别有用心的非法用户通过各种手段获取到行号信息,例如暴力破解手段,然后偷偷地进行无线网络的入侵,以窃取重要资料。而即使用户的账号密码丢失,用户也很难及时察觉,网络管理员也无法获取到任何追踪的信息,很难对非法用户的攻击行为进行定位处理,无法为后续提高无线网络安全的提高做参考。
在后续的对无线网络安全的研究过程中,针对上述存在的安全问题,业界也提出了多种解决措施。例如通过提高密码强度来提高网络安全性,强制要求上网用户必须采用8位以上的用户名和密码,提高非法攻击用户进行暴力破解的难度;但是管理员很难强制上网用户设置这么长的密码,而且由于记忆比较困难,如果上网用户将账号密码记录到其他地方,反而增加了不安全性;同时,这种方法也无法防止非法用户通过其他手段来获取账号密码信息,如木马等手段。或者在无线交换机上进行IP地址和MAC地址的过滤,由于非法用户可以通过截获和破解空气中传播的无线信号获得IP地址和MAC地址,便可以修改操作***访问网络使用的IP地址和MAC地址;因此该方法也不能完全解决上述问题,且其需要对一个个IP地址和MAC地址进行主动绑定,工作量较大,可实施性也不强。或者通过禁用DHCP服务或SSID广播方式,使非法用户需要尝试各种手段来访问网络,而非法用户可以通过无线抓包等方式便可以轻易地获得上网用户所使用的IP地址或可用的SSID;同时禁用DHCP服务的方法要求无线网络采用静态IP地址,其将会使得网络管理的工作量大大提高。或者采用证书认证,如采用EAP-TLS认证,而不采用用户名密码来作为认证的标识;但证书同样可以被窃取,如果采用U-KEY证书来解决证书被窃取的问题,则存在成本高昂的问题,则该方法无法得到普及;同时采用证书认证需要搭建相应的***来进行证书管理,如证书申请、合法性校验、证书过期处理和证书吊销处理等,导致成本高昂,对管理员的要求也非常高。由此可见,目前业界采用的各种方法均存在各种各样的问题,主要表现为实施成本高、网络管理工作量大、无法彻底解决网络安全问题等。而下述介绍的本发明实施例将一一解决上述现有技术中存在的各种问题,提高网络接入的安全性。
图1为本发明网络接入的认证处理方法实施例一的流程图,如图1所示,本实施例提供了一种网络接入的认证处理方法,可以具体包括如下步骤:
步骤101,网络接入服务器接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息。
本实施例主要针对无线网络中的网络接入应用场景,此处的客户端主要为无线客户端,网络接入服务器可以具体为远程身份验证拨入用户服务(Remote Authentication Dial-In User Service;以下简称:RADIUS)服务器。在客户端进行网络接入的认证时,客户端先向网络接入服务器发送认证请求消息,客户端可以具体通过网络设备向网络接入服务器发送该认证请求消息。其中,网络设备可以具体为交换机、接入点(Access Point;以下简称:AP)等,在客户端发送的认证请求消息中携带认证附加标识信息。本实施例中的认证附加标识信息可以用于唯一标识该待认证的客户端。
步骤102,网络接入服务器对所述认证附加标识信息与网络接入服务器本地计算生成的预置附加标识信息进行校验处理。
网络接入服务器在接收到客户端发送的认证请请求消息后,从该认证请求消息中提取其中携带的认证附加标识信息,将该认证附加标识信息与网络接入服务器本地计算生成的预置附加标识信息进行校验处理。其中,预置附加标识信息为网络接入服务器在对客户端进行认证时根据获取的客户端标识在网络接入服务器本地计算得到的,该预置附加标识信息为与当前待认证的客户端对应的附加标识信息。
具体地,网络接入服务器可以具体通过主动配置方式或自动学习方式来获取客户端标识,网络接入服务器在获取到客户端标识后,将客户端标识保存在网络接入服务器本地,当客户端进行认证时,再根据该客户端标识和随机生成的挑战值计算生成预置附加标识信息。当网络接入服务器通过主动配置方式获取客户端标识时,可以通过用户首次注册或在客户端运行相关软件等方式主动获取待认证的客户端的客户端标识。当网络接入服务器通过自动学习方式获取客户端标识时,可以从客户端发送的首次认证请求消息中提取该客户端对应的客户端标识。本步骤为网络接入服务器对当前接收到的认证附加标识信息和本地计算得到的对应的预置附加标识信息进行校验处理,即比较二者是否一致。
步骤103,当所述认证附加标识信息与所述预置附加标识信息不一致时,网络接入服务器对非法接入的客户端进行识别处理。
网络接入服务器经过对认证附加标识信息和预置附加标识信息的比较,当判断二者一致时,则继续进行后续的用户名密码的校验,如果校验成功,则将该客户端接入到无线网络中,用户可以通过该客户端进行正常的无线网络访问,不对其进行任何限制。而当认证附加标识信息与预置附加标识信息不一致时,即该客户端的附加标识校验错误,表明该客户端对应的上网账号使用异常,则网络接入服务器不再进行后续的用户名密码的校验过程,仍然允许该上网用户通过该客户端接入无线网络,但需要对非法接入的客户端进行识别处理,如可以根据之前的认证交互过程获取非法接入的客户端的位置信息、对应的交换机或路由器等信息,对非法接入的客户端的后续上网过程进行监控,并对其进行定位等。
具体地,本步骤103可以具体为:当附加标识信息校验错误时,网络接入服务器可以向网络设备下发隔离策略,通过该网络设备对该客户端的网络接入过程进行监控和隔离处理。即网络设备根据接收到的隔离策略对该客户端后续对无线网络的访问过程进行监控和隔离处理,具体可以控制该客户端,使其只能访问特定的不包含任何机密资源的无线网络,而通过该客户端进行无线网络访问的非法用户不会察觉到其已被监控和隔离。由此可见,本实施例通过这种附加标识信息的校验,当校验错误时该非法用户无法访问包含机密资源的无线网络,可以有效解决合法用户的上网账号丢失的无线网络访问的安全问题,且不直接拒绝非法用户的上网行为,而对其后续的上网行为进行监控,为后续对非法用户的定位打下基础。
本实施例提供了一种网络接入的认证处理方法,网络接入服务器通过从客户端发送的认证请求消息中提取认证附加标识信息,并对该认证附加标识信息和本地计算生成的预置附加标识信息进行校验处理,当校验错误时,对非法接入的客户端进行识别处理;本实施例解决了现有技术中采用用户名和密码进行无线网络身份认证所存在的无线网络接入的安全问题,大大提高了无线网络中用户进行入网接入的安全性。且本实施例与现有技术中提高密码强度的方法相比,直接通过唯一标识合法用户的客户端的附加标识信息来进行身份认证,而无需强制用户采用复杂用户名密码,同时解决了由于弱密码和用户账号丢失带来的安全问题。且本实施例相比于在交换机上进行IP地址和MAC地址过滤的方法,所有附加标识信息的获取和校验均由网络接入服务器后台自动完成,无需管理员主动操作,未增加任何网络管理工作量。另外,本实施例与禁用DHCP服务或SSID广播相比,可以彻底解决非法用户入侵的问题,且无需搭建任何成本高昂的认证***。
图2为本发明网络接入的认证处理方法实施例二的信令图,如图2所示,本实施例提供了一种网络接入的认证处理方法,本实施例具体针对网络接入服务器通过自动学习方式获取预置附加标识信息的应用场景,可以具体包括如下步骤:
步骤201,客户端向网络设备发送首次认证请求消息,在首次认证请求消息中携带客户端标识。
在客户端进行无线网络的网络接入认证之前,网络接入服务器通过自动学习方式获取客户端标识,具体先通过客户端第一次向网络接入服务器进行认证的过程来获取。在本实施例中,客户端的第一次认证过程不包含对附加标识信息的校验。客户端通过网络设备向网络接入服务器上传客户端标识。具体客户端先向网络设备发送首次认证请求消息,在首次认证请求消息中携带客户端标识。
步骤202,网络设备将首次认证请求消息转发到网络接入服务器。
网络设备在接收到客户端发送的首次认证请求消息后,将该首次认证请求消息转发到网络接入服务器上,在该首次认证请求消息中携带该待认证的客户端唯一对应的客户端标识。
步骤203,网络接入服务器将客户端标识保存在本地。
网络接入服务器在接收到网络设备转发的首次认证请求消息后,从该首次认证请求消息中提取出其中携带的客户端标识,并将该客户端标识保存在网络接入服务器本地,以留作后续过程中计算附加标识信息而使用。在本实施例中,客户端标识为待认证的客户端唯一具有的标识,其可以由实施者根据实际的情况进行选择设置,如根据本单位或个人的相关特征进行配置。例如,客户端标识可以为本单位统一采购的操作***的注册码、指定的杀毒软件序列号、本单位自主开发的某业务客户端的校验码、管理(Administrator;以下简称:AD)域的域名、主机名称标识后缀等信息中的一个或多个的组合,通常可以使用硬盘序列号作为客户端标识。
步骤204,在客户端进行接入认证时,网络接入服务器生成一个挑战值,并将挑战值保存在本地。
网络接入服务器可以在客户端进行认证时,在本地生成一个挑战值(Challenge值),即随机生成一个随机数,并将该挑战值保存在网络接入服务器本地,以留作后续过程中计算附加标识信息而使用。
步骤205,网络接入服务器向网络设备下发应用数据消息,在应用数据消息中携带挑战值。
网络接入服务器将生成的挑战值保存在本地的同时,也将该挑战值通过网络设备向待认证的客户端下发,具体可以先向网络设备发送应用数据消息,将该挑战值携带在该应用数据消息中。
步骤206,网络设备向客户端转发应用数据消息。
网络设备在接收到网络接入服务器下发的携带挑战值的应用数据消息后,将该应用数据消息转发到待认证的客户端,在该应用数据消息中携带之前生成的挑战值。
步骤207,客户端根据自身的客户端标识和挑战值计算生成认证附加标识信息。
客户端在接收到网络设备转发的应用数据消息后,从该应用数据消息中提取出网络接入服务器生成的挑战值。客户端从本地获取自身的客户端标识,客户端根据该客户端标识和挑战值,采用加密算法,如信息-摘要算法(message-digest algorithm 5;以下简称:MD5)计算生成一个16位的认证附加标识信息。此处的认证附加标识信息为本实施例中的一个附加标识信息,其只是为了与后续网络接入服务器计算出的预置附加标识信息作区别,并不代表其他含义。
步骤208,客户端向网络设备发送认证请求消息,在认证请求消息中携带认证附加标识信息。
在客户端向网络接入服务器进行网络接入认证时,通过网络设备向网络接入服务器发送认证请求消息,客户端先将认证请求消息发送到网络设备,在该认证请求消息中携带上述步骤207中计算生成的认证附加标识信息。图3为本发明网络接入的认证处理方法实施例二中认证请求消息的消息格式示意图,如图3所示,在本实施例中,客户端向网络接入服务器上传的认证附加标识信息可以携带在认证请求消息中。具体地,图中字段Type占用1个字节,其值必须为26,表示MSCHAPV2类型;字段opCode占用1个字节,其值必须为2;字段MS-CHAPV2-ID占用1个字节;字段MS-Length占用2个字节;字段value-size占用1个字节,其值必须为0x31;字段response占用49个字节,response的内容可以参考协议<draft-kamath-pppext-eap-mschapv2-02.txt>章节2.2关于response的描述部分;字段name用于表示上网帐号中的用户名,其可以为不定长度的字符,在本实施例中,可以在该字段中添加上传到网络接入服务器进行校验所需要的附加标识信息。
步骤209,网络设备将该认证请求消息转发到网络接入服务器。
网络设备在接收到客户端发送的认证请求消息后,将该认证请求消息转发到网络接入服务器,在该认证请求消息中携带认证附加标识信息。
步骤210,网络接入服务器根据本地保存的客户端标识和生成的挑战值计算生成预置附加标识信息。
网络接入服务器在接收到客户端上传的首次认证请求消息后,从该首次认证请求消息中提取其中携带的客户端唯一对应的客户端标识。网络接入服务器根据该客户端标识和步骤204中计算生成并保存在本地的挑战值计算生成预置附加标识信息,网络接入服务器采用步骤207中客户端计算认证附加标识信息时相同的方法来计算生成预置附加标识信息。此处的预置附加标识信息为本实施例中的一个附加标识信息,其只是为了与之前客户端计算出的认证附加标识信息作区别,并不代表其他含义。网络接入服务器在计算生成预置附加标识信息后,将该预置附加标识信息保存在本地,以备后续校验处理时使用。
步骤211,网络接入服务器对认证附加标识信息和预置附加标识信息进行校验处理。
网络接入服务器在接收到客户端通过网络设备上传的认证请求消息后,从该认证请求消息中提取出认证附加标识信息。网络接入服务器对该认证附加标识信息和在本地计算生成的该客户端对应的预置附加标识信息进行校验处理,判断二者是否一致。
步骤212,当认证附加标识信息和预置附加标识信息不一致时,网络接入服务器向网络设备下发隔离策略。
经过校验处理后,当认证附加标识信息和预置附加标识信息不一致,即校验正确时,网络接入服务器才进行真正的上网账号校验,即对用户的用户名密码进行校验,当校验成功后,表明该用户为合法用户,用户可以通过该客户端进行正常的无线网络的访问。当认证附加标识信息和预置附加标识信息不一致,即校验错误时,表明该上网账号使用异常,很可能由于客户端获取的自身的客户端标识与合法客户端的客户端标识不同,导致计算得到的认证附加标识信息改变,与之前上传到网络接入服务器的预置附加标识信息不同,则网络接入服务器不再进行后续的上网账号校验,但仍然允许该用户接入无线网络。此时,网络接入服务器向网络设备下发隔离策略。
步骤213,网络设备根据隔离策略对客户端的网络接入过程进行监控和隔离处理。
网络设备在接收到网络接入服务器下发的隔离策略后,根据该隔离策略对该客户端后续的网络接入过程进行监控和隔离处理。网络设备根据隔离策略对客户端的上网行为进行控制,使用户通过该客户端只能访问指定的无任何机密资源的无线网络,且使入侵者不会觉察到其已经被监控和隔离。本实施例通过对附加标识信息校验的方式,可以解决上网帐号丢失的无线网络访问安全问题,并未后续定位非法用户打下基础。由于在进行密码校验前,需要先进行附加标识信息的校验,而由于附加标识信息无法校验通过时,不会进行真正的用户名和密码校验,因此本实施例也能够防止非法用户通过暴力破解来进行弱密码的攻击。
步骤214,网络接入服务器将客户端的接入认证校验错误过程记录到认证日志中,并向管理员发送告警通知。
在附加标识信息校验错误后,网络接入服务器还对客户端的该接入认证校验错误过程进行记录,将其记录到认证日志中。即当网络接入服务器发现用户在使用某账号进行认证时,由于附加标识信息的校验错误而导致上网用户被隔离时,网络接入服务器将该情况记录在认证日志中,以备后续查询或审计时使用。同时,网络接入服务器还向网络管理员发送告警通知,具体可以通过短信或Email等方式通知管理员。
步骤215,网络接入服务器根据所述认证日志对非法接入的客户端的上网行为进行审计,并对所述非法接入的客户端进行定位处理。
在附加标识信息校验错误后,网络接入服务器还根据记录的认证日志对非法接入的客户端的上网行为进行审计,并根据客户端向网络接入服务器上传的附加标识信息和网络设备向网络接入服务器上传的相关信息,如SSID、AP的MAC地址等,或者采用业界流行的其他无线定位技术,对该非法接入的用户进行定位处理,以抓获该非法攻击用户。
步骤216,网络接入服务器通过网络设备向合法客户端下发认证响应消息,在认证响应消息中携带提示信息。
在附加标识信息校验错误后,当合法的上网用户下次进行无线网络访问时,网络接入服务器通过网络设备向该合法的上网用户的客户端下发认证响应消息,在该认证响应消息中携带提示信息,该提示信息用于提示合法的上网用户其账号可能已被盗取。这样,合法的上网用户便可以及时发现账号被盗,并对用户名密码进行修改。图4为本发明网络接入的认证处理方法实施例二中认证响应消息的消息格式示意图,如图4所示,在本实施例中,客户端向网络接入服务器下发的提示信息可以携带在认证响应消息中。具体地,图中字段type、字段opCode、字段MS-CHAPV2-ID和字段MS-Length与上述图3中相应的字段类似,此处不再赘述。在本发明中,采用字段Message 来下发提示信息警告合法的上网用户其帐号被盗,要求其对用户名和密码进行修改。
需要指出的是,本实施例中的上述各个步骤之间并不存在必然的时序关系,如上述步骤201-203的执行过程和步骤204-210的执行过程可以是独立的,即第二次认证过程并非紧接在首次认证之后便执行,再如步骤216也并非紧接在步骤215之后执行,该步骤为在合法用户进行认证时才执行的,本实施例将这些执行过程集中到一个图中只是为了更加完整地对本发明的方案进行说明,但本发明的技术方案中各个步骤的执行过程并不限于上述各时序关系。
在本实施例中,由于PEAP-MSCHAP V2认证过程中的消息传输是封装在传输层安全(transport layer security;以下简称:TLS)隧道中实现的,因此非法攻击用户无法获知传输的具体信息,因此也无法通过截取报文来进行破解。同时由于附加标识信息中增加了challenge来作为计算的一个要素,因此非法攻击用户也无法通过重放等方式来伪造这个唯一标识符。另外,由于PEAP-MSCHAP V2协议是基于可扩展身份验证协(Extension Authentication Protocol;以下简称:EAP)的,并且可以承载于RADIUS协议中。因此,本实施例中的网络接入服务器为支持PEAP-MSCHAP V2协议的RADIUS服务器,SSID和AP的MAC地址便是通过RADIUS报文上传的。
本实施例提供了一种网络接入的认证处理方法,网络接入服务器通过从客户端发送的认证请求消息中提取认证附加标识信息,并对该认证附加标识信息和本地计算的预置附加标识信息进行校验处理,当校验错误时,通过向网络设备下发隔离策略,根据该隔离策略对该客户端的网络接入过程进行监控和隔离处理;本实施例解决了现有技术中采用用户名和密码进行无线网络身份认证所存在的无线网络接入的安全问题,大大提高了无线网络中用户进行入网接入的安全性,且网络管理员能够对非法攻击和入侵无线网络的行为进行审核、定位处理。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图5为本发明网络接入服务器实施例一的结构示意图,如图5所示,本实施例提供了一种网络接入服务器,可以具体执行上述方法实施例一中的各个步骤,此处不再赘述。本实施例提供的网络接入服务器可以包括接收模块501、校验模块502和识别模块503。其中,接收模块501用于接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息。校验模块502用于对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理。识别模块503用于当所述认证附加标识信息与所述预置附加标识信息不一致时,对非法接入的客户端进行识别处理。
图6为本发明网络接入服务器实施例二的结构示意图,如图6所示,本实施例提供了一种网络接入服务器,可以具体执行上述方法实施例二中的各个步骤,此处不再赘述。本实施例提供的网络接入服务器在上述图5所示的实施例的基础之上,还可以包括生成模块601和第一计算模块602。其中,生成模块601用于在所述客户端进行认证之前,生成一个挑战值,将所述挑战值下发到所述客户端,并在本地进行保存。第一计算模块602用于根据本地保存的所述客户端标识和所述挑战值计算生成所述预置附加标识信息。其中,接收模块501接收到的认证请求消息中携带的认证附加标识信息由客户端根据从自身获取的客户端标识和接收到的所述挑战值生成。
进一步地,本实施例提供的网络接入服务器还可以包括获取模块603,获取模块603用于在所述客户端进行认证之前,从接收到的所述客户端发送的首次认证请求消息中提取客户端标识或通过主动配置方式从所述客户端预先获取客户端标识,并将所述客户端标识在本地进行保存。
更进一步地,本实施例提供的网络接入服务器中的识别模块503可以具体包括隔离单元513,隔离单元513用于向网络设备下发隔离策略,触发所述网络设备根据所述隔离策略对所述客户端的网络接入过程进行监控和隔离处理。
更进一步地,本实施例提供的网络接入服务器中的识别模块503还可以具体包括日志记录单元523和定位单元533。其中,日志记录单元523用于将客户端自身的接入认证校验错误过程记录到认证日志中,并向管理员发送告警通知。定位单元533用于根据所述认证日志对非法接入的客户端的上网行为进行审计,并对所述非法接入的客户端进行定位处理。
本实施例提供了一种网络接入服务器,通过从客户端发送的认证请求消息中提取认证附加标识信息,并对该认证附加标识信息和本地计算的预置附加标识信息进行校验处理,当校验错误时,对非法接入的客户端进行识别处理;本实施例解决了现有技术中采用用户名和密码进行无线网络身份认证所存在的无线网络接入的安全问题,大大提高了无线网络中用户进行入网接入的安全性,且网络管理员能够对非法攻击和入侵无线网络的行为进行审核、定位处理。
图7为本发明客户端实施例一的结构示意图,如图7所示,本实施例提供了一种客户端,可以具体包括发送模块701、校验触发模块702和识别触发模块703。其中,发送模块701用于向网络接入服务器发送认证请求消息,在所述认证请求消息中携带认证附加标识信息。校验触发模块702用于触发所述网络接入服务器对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理。识别触发模块703用于当所述认证附加标识信息与所述预置附加标识信息不一致时,触发所述网络接入服务器对非法接入的客户端进行识别处理。
图8为本发明客户端实施例二的结构示意图,如图8所示,本实施例提供的客户端在上述图7所示的客户端的基础之上,还可以包括第二计算模块801,第二计算模块801用于根据从客户端自身获取的客户端标识和接收到的从所述网络接入服务器下发的挑战值计算生成所述认证附加标识信息。
本实施例提供了一种网络接入的认证处理***,可以包括网络设备、上述图5或图6所示的网络接入服务器,以及上述图7或图8所示的客户端。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种网络接入的认证处理方法,其特征在于,包括:
接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息;
对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理;
当所述认证附加标识信息与所述预置附加标识信息不一致时,对非法接入的客户端进行识别处理。
2.根据权利要求1所述的方法,其特征在于,还包括:
生成一个挑战值,将所述挑战值下发到所述客户端,并在本地进行保存;
根据本地保存的客户端标识和所述挑战值计算生成所述预置附加标识信息。
3.根据权利要求1或2所述的方法,其特征在于,在所述客户端进行认证之前,还包括:
从接收到的所述客户端发送的首次认证请求消息中提取客户端标识或通过主动配置方式从所述客户端预先获取客户端标识,并将所述客户端标识在本地进行保存。
4.根据权利要求2所述的方法,其特征在于,所述认证附加标识信息由所述客户端根据从自身获取的客户端标识和接收到的所述挑战值生成。
5.根据权利要求1所述的方法,其特征在于,所述对非法接入的客户端进行识别处理包括:
向网络设备下发隔离策略,由所述网络设备根据所述隔离策略对所述客户端的网络接入过程进行监控和隔离处理。
6.根据权利要求1所述的方法,其特征在于,所述对非法接入的客户端进行识别处理包括:
将所述客户端的接入认证校验错误过程记录到认证日志中,并向管理员发送告警通知;
根据所述认证日志对非法接入的客户端的上网行为进行审计,并对所述非法接入的客户端进行定位处理。
7.一种网络接入服务器,其特征在于,包括:
接收模块,用于接收客户端发送的认证请求消息,在所述认证请求消息中携带认证附加标识信息;
校验模块,用于对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理;
识别模块,用于当所述认证附加标识信息与所述预置附加标识信息不一致时,对非法接入的客户端进行识别处理。
8.根据权利要求7所述的服务器,其特征在于,还包括:
生成模块,用于生成一个挑战值,将所述挑战值下发到所述客户端,并在本地进行保存;
第一计算模块,用于根据本地保存的客户端标识和所述挑战值计算生成所述预置附加标识信息。
9.根据权利要求7或8所述的服务器,其特征在于,还包括:
获取模块,用于在所述客户端进行认证之前,从接收到的所述客户端发送的首次认证请求消息中提取客户端标识或通过主动配置方式从所述客户端预先获取客户端标识,并将所述客户端标识在本地进行保存。
10.根据权利要求7所述的服务器,其特征在于,所述识别模块包括:
隔离单元,用于向网络设备下发隔离策略,触发所述网络设备根据所述隔离策略对所述客户端的网络接入过程进行监控和隔离处理。
11.根据权利要求7所述的服务器,其特征在于,所述识别模块包括:
日志记录单元,用于将客户端自身的接入认证校验错误过程记录到认证日志中,并向管理员发送告警通知;
定位单元,用于根据所述认证日志对非法接入的客户端的上网行为进行审计,并对所述非法接入的客户端进行定位处理。
12.一种客户端,其特征在于,包括:
发送模块,用于向网络接入服务器发送认证请求消息,在所述认证请求消息中携带认证附加标识信息;
校验触发模块,用于触发所述网络接入服务器对所述认证附加标识信息与本地计算生成的预置附加标识信息进行校验处理;
识别触发模块,用于当所述认证附加标识信息与所述预置附加标识信息不一致时,触发所述网络接入服务器对非法接入的客户端进行识别处理。
13.根据权利要求12所述的客户端,其特征在于,还包括:
第二计算模块,用于根据从客户端自身获取的客户端标识和接收到的从所述网络接入服务器下发的挑战值计算生成所述认证附加标识信息。
14.一种网络接入的认证处理***,其特征在于,包括网络设备、上述权利要求7-11中任一项所述的网络接入服务器以及上述权利要求12或13所述的客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102444776A CN101977383A (zh) | 2010-08-03 | 2010-08-03 | 网络接入的认证处理方法、***、客户端和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102444776A CN101977383A (zh) | 2010-08-03 | 2010-08-03 | 网络接入的认证处理方法、***、客户端和服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101977383A true CN101977383A (zh) | 2011-02-16 |
Family
ID=43577223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102444776A Pending CN101977383A (zh) | 2010-08-03 | 2010-08-03 | 网络接入的认证处理方法、***、客户端和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101977383A (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158483A (zh) * | 2011-03-11 | 2011-08-17 | 青岛海信传媒网络技术有限公司 | 智能电视的接入认证方法、***、智能电视及认证服务器 |
| CN102546636A (zh) * | 2012-01-10 | 2012-07-04 | 北京邮电大学 | 监测受限资源的方法和装置 |
| CN102752305A (zh) * | 2011-03-29 | 2012-10-24 | 英特尔公司 | 能够实现高效同步的认证网络接入的技术 |
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN103166702A (zh) * | 2013-02-05 | 2013-06-19 | 何建亿 | 通过音频方式配置无线网络的方法与装置 |
| CN103179127A (zh) * | 2013-03-28 | 2013-06-26 | 华为技术有限公司 | 一种处理消息的方法、装置及*** |
| CN103384249A (zh) * | 2013-07-08 | 2013-11-06 | 北京星网锐捷网络技术有限公司 | 网络接入认证方法、装置及***、认证服务器 |
| WO2014139097A1 (en) * | 2013-03-13 | 2014-09-18 | Intel Corporation | Systems and methods for account recovery using a platform attestation credential |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | ***通信集团公司 | 一种业务设备认证方法及设备 |
| CN105188055A (zh) * | 2015-08-14 | 2015-12-23 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN105847234A (zh) * | 2016-03-11 | 2016-08-10 | 中国联合网络通信集团有限公司 | 可疑终端接入预警方法、网关管理平台及网关设备 |
| CN106375301A (zh) * | 2016-08-30 | 2017-02-01 | 成都源知信息技术有限公司 | 一种网络设备认证方法及认证设备 |
| CN106954216A (zh) * | 2017-04-28 | 2017-07-14 | 北京北信源软件股份有限公司 | 基于802.1x协议的认证方法及*** |
| CN106992958A (zh) * | 2016-01-21 | 2017-07-28 | 阿里巴巴集团控股有限公司 | 一种通过丢失账号定位恶意账号的方法和*** |
| CN107360095A (zh) * | 2017-07-13 | 2017-11-17 | 惠州高盛达科技有限公司 | 基于客户端主机名称的端口转发在路由器中的实现方法 |
| CN108882240A (zh) * | 2018-07-11 | 2018-11-23 | 北京奇安信科技有限公司 | 移动设备接入网络的实现方法及装置 |
| CN111031540A (zh) * | 2019-11-22 | 2020-04-17 | 儒庭信息技术(上海)有限公司 | 一种无线网络连接方法及计算机存储介质 |
| CN111130797A (zh) * | 2019-12-23 | 2020-05-08 | 深圳市永达电子信息股份有限公司 | 一种基于挑战应答的安全防护***、方法及存储介质 |
| WO2021087973A1 (en) * | 2019-11-08 | 2021-05-14 | Zte Corporation | Wireless communication method for registration procedure |
| US11816195B2 (en) * | 2019-08-14 | 2023-11-14 | Nec Corporation | Information processing apparatus, information processing method, and storage medium |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN101621801A (zh) * | 2009-08-11 | 2010-01-06 | 深圳华为通信技术有限公司 | 无线局域网的认证方法、***及服务器、终端 |
| CN101867929A (zh) * | 2010-05-25 | 2010-10-20 | 北京星网锐捷网络技术有限公司 | 认证方法、***、认证服务器和终端设备 |
-
2010
- 2010-08-03 CN CN2010102444776A patent/CN101977383A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN101621801A (zh) * | 2009-08-11 | 2010-01-06 | 深圳华为通信技术有限公司 | 无线局域网的认证方法、***及服务器、终端 |
| CN101867929A (zh) * | 2010-05-25 | 2010-10-20 | 北京星网锐捷网络技术有限公司 | 认证方法、***、认证服务器和终端设备 |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158483A (zh) * | 2011-03-11 | 2011-08-17 | 青岛海信传媒网络技术有限公司 | 智能电视的接入认证方法、***、智能电视及认证服务器 |
| CN102752305A (zh) * | 2011-03-29 | 2012-10-24 | 英特尔公司 | 能够实现高效同步的认证网络接入的技术 |
| CN102752305B (zh) * | 2011-03-29 | 2016-08-03 | 英特尔公司 | 能够实现高效同步的认证网络接入的技术 |
| US9521108B2 (en) | 2011-03-29 | 2016-12-13 | Intel Corporation | Techniques enabling efficient synchronized authenticated network access |
| CN102546636A (zh) * | 2012-01-10 | 2012-07-04 | 北京邮电大学 | 监测受限资源的方法和装置 |
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN103166702A (zh) * | 2013-02-05 | 2013-06-19 | 何建亿 | 通过音频方式配置无线网络的方法与装置 |
| US9600671B2 (en) | 2013-03-13 | 2017-03-21 | Intel Corporation | Systems and methods for account recovery using a platform attestation credential |
| WO2014139097A1 (en) * | 2013-03-13 | 2014-09-18 | Intel Corporation | Systems and methods for account recovery using a platform attestation credential |
| US9378371B2 (en) | 2013-03-13 | 2016-06-28 | Intel Corporation | Systems and methods for account recovery using a platform attestation credential |
| CN103179127B (zh) * | 2013-03-28 | 2016-03-02 | 华为技术有限公司 | 一种处理消息的方法、装置及*** |
| CN103179127A (zh) * | 2013-03-28 | 2013-06-26 | 华为技术有限公司 | 一种处理消息的方法、装置及*** |
| CN103384249A (zh) * | 2013-07-08 | 2013-11-06 | 北京星网锐捷网络技术有限公司 | 网络接入认证方法、装置及***、认证服务器 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | ***通信集团公司 | 一种业务设备认证方法及设备 |
| CN104660405B (zh) * | 2013-11-21 | 2018-06-12 | ***通信集团公司 | 一种业务设备认证方法及设备 |
| CN105188055B (zh) * | 2015-08-14 | 2018-06-12 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN105188055A (zh) * | 2015-08-14 | 2015-12-23 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入点以及服务器 |
| CN106992958B (zh) * | 2016-01-21 | 2020-11-06 | 阿里巴巴集团控股有限公司 | 一种通过丢失账号定位恶意账号的方法和*** |
| CN106992958A (zh) * | 2016-01-21 | 2017-07-28 | 阿里巴巴集团控股有限公司 | 一种通过丢失账号定位恶意账号的方法和*** |
| CN105847234A (zh) * | 2016-03-11 | 2016-08-10 | 中国联合网络通信集团有限公司 | 可疑终端接入预警方法、网关管理平台及网关设备 |
| CN105847234B (zh) * | 2016-03-11 | 2018-11-20 | 中国联合网络通信集团有限公司 | 可疑终端接入预警方法、网关管理平台及网关设备 |
| CN106375301B (zh) * | 2016-08-30 | 2020-01-03 | 成都源知信息技术有限公司 | 一种网络设备认证方法及认证设备 |
| CN106375301A (zh) * | 2016-08-30 | 2017-02-01 | 成都源知信息技术有限公司 | 一种网络设备认证方法及认证设备 |
| CN106954216A (zh) * | 2017-04-28 | 2017-07-14 | 北京北信源软件股份有限公司 | 基于802.1x协议的认证方法及*** |
| CN106954216B (zh) * | 2017-04-28 | 2020-07-14 | 北京北信源软件股份有限公司 | 基于802.1x协议的认证方法及*** |
| CN107360095A (zh) * | 2017-07-13 | 2017-11-17 | 惠州高盛达科技有限公司 | 基于客户端主机名称的端口转发在路由器中的实现方法 |
| CN107360095B (zh) * | 2017-07-13 | 2020-06-23 | 惠州高盛达科技有限公司 | 基于客户端主机名称的端口转发在路由器中的实现方法 |
| CN108882240A (zh) * | 2018-07-11 | 2018-11-23 | 北京奇安信科技有限公司 | 移动设备接入网络的实现方法及装置 |
| CN108882240B (zh) * | 2018-07-11 | 2021-08-17 | 奇安信科技集团股份有限公司 | 移动设备接入网络的实现方法及装置 |
| US11816195B2 (en) * | 2019-08-14 | 2023-11-14 | Nec Corporation | Information processing apparatus, information processing method, and storage medium |
| WO2021087973A1 (en) * | 2019-11-08 | 2021-05-14 | Zte Corporation | Wireless communication method for registration procedure |
| CN111031540A (zh) * | 2019-11-22 | 2020-04-17 | 儒庭信息技术(上海)有限公司 | 一种无线网络连接方法及计算机存储介质 |
| CN111130797A (zh) * | 2019-12-23 | 2020-05-08 | 深圳市永达电子信息股份有限公司 | 一种基于挑战应答的安全防护***、方法及存储介质 |
| CN111130797B (zh) * | 2019-12-23 | 2022-09-09 | 深圳市永达电子信息股份有限公司 | 一种基于挑战应答的安全防护***、方法及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101977383A (zh) | 网络接入的认证处理方法、***、客户端和服务器 | |
| EP3453136B1 (en) | Methods and apparatus for device authentication and secure data exchange between a server application and a device | |
| EP1834451B1 (en) | Network infrastructure validation of network management frames | |
| WO2016141856A1 (zh) | 一种用于网络应用访问的验证方法、装置和*** | |
| CN103763356B (zh) | 一种安全套接层连接的建立方法、装置及*** | |
| CN104283848B (zh) | 终端接入方法和装置 | |
| CN104869102B (zh) | 基于xAuth协议的授权方法、装置和*** | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及*** | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CN106559785B (zh) | 认证方法、设备和***以及接入设备和终端 | |
| CN109347875A (zh) | 物联网设备、物联网平台及接入物联网平台的方法和*** | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其*** | |
| WO2011063744A1 (zh) | 一种eap认证中的标识认证方法、***和设备 | |
| CA3058180A1 (en) | Secure media casting bypassing mobile devices | |
| KR100957044B1 (ko) | 커버로스를 이용한 상호 인증 방법 및 그 시스템 | |
| CN105099686B (zh) | 数据同步的方法、服务器、终端及*** | |
| EP4274192A1 (en) | Access control method and apparatus, and network-side device, terminal and blockchain node | |
| CN103036906B (zh) | 网络设备的认证方法、装置、接入设备和可控设备 | |
| CN111314269B (zh) | 一种地址自动分配协议安全认证方法及设备 | |
| CN104580154A (zh) | Web服务安全访问方法、***及相应的服务器 | |
| KR20130057678A (ko) | 인증서 검증 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| KR101692161B1 (ko) | 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법 | |
| Mallik et al. | Understanding Man-in-the-middle-attack through Survey of Literature | |
| CN105790932A (zh) | 一种通过使用机器码为基础的加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110216 |