具有距离认证功能的无线网关***的认证方法
技术领域
本发明涉及无线网关***,具体涉及的是一种具有距离认证功能的无线网关***的认证方法。
背景技术
无线局域网WLAN技术已经广泛地应用于企业和运营商网络。由于无线通信使用开放性的无线信道资源作为传输媒介,导致非法用户蹭网,甚至发起对WLAN网络的攻击或窃取用户的机密信息。
如何保证WLAN的安全性一直是WLAN技术应用所面临的重要问题之一。虽然国际标准组织推出了IEEE802.11i(WPA、WPA2)等安全标准,但是缺少对无线接入设备与无线客户端身份的安全认证。国内也在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的无线局域网鉴别与保密基础结构WAPI来保证无线局域网的安全。WAPI机制采用一系列密码算法(例如基于公钥密码体制的椭圆曲线密码算法、基于对称密钥体制的分组密码算法等)实现对无线客户端设备的身份鉴别,但其鉴别过程较为复杂,执行效率较低,并且还存在密钥管理的安全隐患。
因此,设计复杂度低、安全性高且可扩展性强的无线网关***对无线客户端身份进行认证是十分必要的。
发明内容
本发明的目的在于提供一种具有距离认证功能的无线网关***的认证方法,主要解决现有的无线网关***存在设计复杂、且安全性低的问题。
为了实现上述目的,本发明采用的技术方案如下:
方案一
具有距离认证功能的无线网关***的认证方法,所述的无线网关***包括控制模块、连接模块、认证模块以及更新模块,其中:
连接模块,用于连通无线客户端,接收其状态信息,并根据控制模块的指令允许或禁止无线客户端访问网络;
认证模块,用于接收控制模块传送的关于鉴别无线客户端的请求,对无线客户端访问网络的合法性进行认证并将认证结果反馈给控制模块;
控制模块,用于接收连接模块所关联的无线客户端设备信息并判定无线客户端设备的状态;触发认证模块对无线客户端的合法性进行鉴别并接收认证模块的认证结果;分发认证结果至连接模块;
更新模块,与认证模块连接、用于定时更新无线客户端认证状态信息;
所述的认证方法则包括以下步骤:
S1:连接模块与无线客户端连通,接收其状态信息,并向控制模块发送该信息;
S2:控制模块处理该信息,判断无线客户端当前是否是允许访问网络的状态,是,则保持该无线客户端与连接模块的连通,允许其继续访问网络;否,则进入步骤S3,控制模块向认证模块发送对该无线客户端的合法性进行鉴别的请求;
S3:认证模块接收请求,并发送认证响应至控制模块;
S4:控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端的连接,同时认证模块开始对无线客户端进行距离认证,鉴别其合法性,并将认证结果发送至控制模块;该步骤中,认证模块对无线客户端进行距离认证的具体过程是:
(1)认证模块设定能够进行认证的精确距离;所述认证模块设定的认证距离为100cm以内;
(2)认证模块在该认证距离内以固定的数据传输率发送数据包;
(3)认证模块判断无线客户端是否在设定的认证距离内接收到该数据包,是,则认证成功;否,则认证失败;
S5:控制模块处理接收的认证结果,并将其分发至连接模块;
S6:连接模块根据认证结果允许或禁止无线客户端访问网络;
上述步骤S1~S6中,更新模块定时更新无线客户端的认证状态信息。
方案二
具有距离认证功能的无线网关***的认证方法,所述的无线网关***包括控制模块、连接模块、认证模块以及更新模块,其中:
连接模块,用于连通无线客户端,接收其状态信息,并根据控制模块的指令允许或禁止无线客户端访问网络;
认证模块,用于接收控制模块传送的关于鉴别无线客户端的请求,对无线客户端访问网络的合法性进行认证并将认证结果反馈给控制模块;
控制模块,用于接收连接模块所关联的无线客户端设备信息并判定无线客户端设备的状态;触发认证模块对无线客户端的合法性进行鉴别并接收认证模块的认证结果;分发认证结果至连接模块;
更新模块,与认证模块连接、用于定时更新无线客户端认证状态信息;
所述的认证方法则包括以下步骤:
S1:连接模块与无线客户端连通,接收其状态信息,并向控制模块发送该信息;
S2:控制模块处理该信息,判断无线客户端当前是否是允许访问网络的状态,是,则保持该无线客户端与连接模块的连通,允许其继续访问网络;否,则进入步骤S3,控制模块向认证模块发送对该无线客户端的合法性进行鉴别的请求;
S3:认证模块接收请求,并发送认证响应至控制模块;
S4:控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端的连接,同时认证模块开始对无线客户端进行距离认证,鉴别其合法性,并将认证结果发送至控制模块;该步骤中,认证模块对无线客户端进行距离认证的具体过程是:
(1)认证模块设定能够进行认证的距离范围;所述认证模块的认证距离为100cm以内;
(2)无线客户端发送探询请求,认证模块接收该探询请求并向无线客户端进行回复,该回复的数据包只能在认证模块设定的距离范围内接收到;
(3)认证模块判断无线客户端是否有接收到回复的数据包,是,则认证成功;否,则认证失败;
S5:控制模块处理接收的认证结果,并将其分发至连接模块;
S6:连接模块根据认证结果允许或禁止无线客户端访问网络;
上述步骤S1~S6中,更新模块定时更新无线客户端的认证状态信息。
与现有技术相比,本发明具有以下有益效果:
(1)本发明硬件结构合理,操作流程简洁,成本低廉,使用方便。
(2)本发明与传统的基于密钥的无线客户端设备身份鉴别方案相比,其采用的距离认证无线客户端身份的技术方案,通过与无线客户端在一定距离下建立连接并对其合法性进行鉴别,从而不仅简化了认证的过程,易于实现,而且可以实时控制无线客户端设备接入网络,并且免去了密钥管理的安全隐患。因此,本发明解决了现有技术设计复杂度高、安全性低的问题,实现了现有技术无法取得的有益效果,其具有突出的实质性特点和显著的进步。
(3)本发明设置了两种距离认证模式,可以灵活控制认证的安全级别,大大增强了本发明的可扩展性,优化了整体方案。
(4)本发明还设置了更新模块,可以对无线客户端的状态进行动态更新,方便用户知晓无线客户端当前能否访问网络。
附图说明
图1为本发明的***框图。
图2为本发明的使用状态示意图。
图3为本发明的流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例1
如图1所示,本发明提供一种具有空间感知能力的无线网关***,该***包括连接模块、认证模块、控制模块以及更新模块,所有的模块均为硬件,并且所述连接模块和认证模块均与控制模块连接,所述更新模块则与认证模块连接。
如图2所示,所述连接模块用于与无线客户端连通,并接收其状态信息,然后向控制模块发送该状态信息。所述认证模块用于接收控制模块传送的关于鉴别无线客户端的请求,对无线客户端访问网络的合法性进行认证并将认证结果反馈给控制模块。所述控制模块用于接收连接模块所关联的无线客户端设备信息并判定无线客户端设备的状态;触发认证模块对无线客户端的合法性进行鉴别并接收认证模块的认证结果;分发认证结果至连接模块。而所述更新模块则用于定时更新无线客户端的认证状态信息。
下面对本实施例的认证流程进行详细介绍。
如图3所示,本实施例的认证流程包括以下步骤:
(1)连接模块与无线客户端连通,进行验证关联,接收其状态信息,并向控制模块发送该信息;
(2)控制模块处理该信息,判断无线客户端当前是否是允许访问网络的状态,是,则保持该无线客户端与连接模块的连通,允许其继续访问网络;否,则进入步骤(3),控制模块向认证模块发送对该无线客户端的合法性进行鉴别的请求;
(3)认证模块接收请求,并发送认证响应至控制模块;
(4)控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端的连接,同时认证模块开始对无线客户端进行距离认证,鉴别其合法性,并将认证结果发送至控制模块;
本步骤中距离认证的具体方式如下:
(a)认证模块设定能够进行认证的精确距离;
(b)认证模块在该认证距离内以固定的数据传输率发送数据包;
(c)认证模块判断无线客户端是否在设定的认证距离内接收到该数据包,是,则认证成功;否,则认证失败。
(5)控制模块处理接收的认证结果,并将其分发至连接模块;
(6)连接模块根据该认证结果允许或禁止无线客户端访问网络,即,若认证成功,则连接模块保持与无线客户端的连通,并允许其继续访问网络;若认证失败,则连接模块不再与无线客户端进行连通,并禁止其访问网络。
另外,在上述步骤执行的过程中,更新模块定时对无线客户端的认证状态信息,其在认证的过程中,更改无线客户端的状态信息为“禁止”。当认证结束后,若结果为认证成功,则更改无线客户端的状态信息为“允许”;若结果为认证失败,则更改无线客户端的状态信息为“禁止”。更新模块定时更新无线客户端状态也使得用户能够一目了然地知晓无线客户端当前能否访问网络。
为方便理解本实施例的技术方案,下面以一个试验案例来对其进行阐述。
一个家庭环境中安置有三台无线客户端设备A、B、C,以及无线网关***。各个无线客户端在更新模块中的初始状态信息如下:
无线客户端设备 |
状态信息 |
A |
禁止访问网络 |
B |
禁止访问网络 |
C |
允许访问网络 |
认证模块设定的认证距离为30cm,无线客户端设备A、B、C与认证模块的距离分别为20cm、45cm和25cm,则无线网关***对三台设备的认证过程分别如下:
对无线客户端设备A的认证
(1)连接模块与无线客户端设备A连通,进行验证关联,接收其状态信息,并向控制模块发送该信息;
(2)控制模块处理该信息,判定无线客户端当前是禁止访问网络的状态,并向认证模块发送对无线客户端设备A的合法性进行鉴别的请求;
(3)认证模块接收请求,并发送认证响应至控制模块;
(4)控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端设备A的连接,同时认证模块开始对无线客户端设备A进行距离认证,鉴别其合法性,由于无线客户端设备A与认证模块的距离为20cm,而认证模块的认证距离为30cm,因此无线客户端设备A可以接收到认证模块以固定数据传输率传输的数据包,并反馈给认证模块;
(5)认证模块判定无线客户端设备A接收到了数据包,生成认证成功的结果并将该认证结果发送至控制模块;
(6)控制模块处理接收的认证结果,并将其分发至连接模块;
(7)连接模块根据认证成功的结果,保持与无线客户端设备A的连通,并允许其访问网络。
同时,更新模块将无线客户端设备A当前的状态信息更新为“允许访问网络”。
对无线客户端设备B的认证
(1)连接模块与无线客户端设备B连通,进行验证关联,接收其状态信息,并向控制模块发送该信息;
(2)控制模块处理该信息,判定无线客户端当前是禁止访问网络的状态,并向认证模块发送对无线客户端设备B的合法性进行鉴别的请求;
(3)认证模块接收请求,并发送认证响应至控制模块;
(4)控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端设备B的连接,同时认证模块开始对无线客户端设备B进行距离认证,鉴别其合法性,由于无线客户端设备B与认证模块的距离为45cm,而认证模块的认证距离为30cm,因此无线客户端设备B无法接收到认证模块以固定数据传输率传输的数据包;
(5)认证模块没有接收到来自无线客户端设备B的反馈,因此判定无线客户端设备B没有接收到了数据包,并生成认证失败的结果,然后将该认证结果发送至控制模块;
(6)控制模块处理接收的认证结果,并将其分发至连接模块;
(7)连接模块根据认证失败的结果,不与无线客户端设备B连通,并禁止其访问网络。
同时,更新模块将无线客户端设备B当前的状态信息更新为“禁止访问网络”。
对无线客户端设备C的认证
(1)连接模块与无线客户端设备C连通,进行验证关联,接收其状态信息,并向控制模块发送该信息;
(2)控制模块处理该信息,判定无线客户端当前是允许访问网络的状态,并反馈给连接模块;
(3)连接模块接收反馈并继续保持与无线客户端设备C的连通,允许其访问网络。
同时,更新模块将无线客户端设备C当前的状态信息更新为“允许访问网络”。
实施例2
与实施例1的不同点在于,本实施例中,认证模块的认证方式有所不同。本实施例中认证模块的认证过程如下:
(1)认证模块设定能够进行认证的距离范围;
(2)无线客户端发送探询请求,认证模块接收该探询请求并向无线客户端进行回复,该回复的数据包只能在认证模块设定的距离范围内接收到;
(3)认证模块判断无线客户端是否有接收到回复的数据包,是,则认证成功;否,则认证失败。
同样,为方便理解本实施例的技术方案,本实施例也以一个试验案例来对其进行阐述,如下:
一个家庭环境中安置有两台无线客户端设备A、B,以及无线网关***。各个无线客户端在更新模块中的初始状态信息如下:
无线客户端设备 |
状态信息 |
A |
禁止访问网络 |
B |
禁止访问网络 |
认证模块设定的认证距离为100cm内,无线客户端设备A、B与认证模块的距离分别为85cm、120cm,则无线网关***对两台设备的认证过程分别如下:
对无线客户端设备A的认证
(1)连接模块与无线客户端设备A连通,进行验证关联,接收其状态信息,并向控制模块发送该信息;
(2)控制模块处理该信息,判定无线客户端当前是禁止访问网络的状态,并向认证模块发送对无线客户端设备A的合法性进行鉴别的请求;
(3)认证模块接收请求,并发送认证响应至控制模块;
(4)控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端设备A的连接,连接断开的同时无线客户端设备A发送探询请求;
(5)认证模块接收该探询请求并向无线客户端设备A进行回复,由于认证模块设定接收回复数据包的距离是100cm,而无线客户端设备A与认证模块的距离为85cm,因此无线客户端设备A接收到了认证模块发送的数据包,并反馈给认证模块;
(6)认证模块判定无线客户端设备A接收到了回复数据包,生成认证成功的结果并将该认证结果发送至控制模块;
(7)控制模块处理接收的认证结果,并将其分发至连接模块;
(8)连接模块根据认证成功的结果,保持与无线客户端设备A的连通,并允许其访问网络。
同时,更新模块将无线客户端设备A当前的状态信息更新为“允许访问网络”。
对无线客户端设备B的认证
(1)连接模块与无线客户端设备B连通,进行验证关联,接收其状态信息,并向控制模块发送该信息;
(2)控制模块处理该信息,判定无线客户端当前是禁止访问网络的状态,并向认证模块发送对无线客户端设备B的合法性进行鉴别的请求;
(3)认证模块接收请求,并发送认证响应至控制模块;
(4)控制模块向连接模块发送认证激活触发,控制连接模块断开与无线客户端设备B的连接,连接断开的同时无线客户端设备B发送探询请求;
(5)认证模块接收该探询请求并向无线客户端设备B进行回复,由于认证模块设定接收回复数据包的距离是100cm,而无线客户端设备B与认证模块的距离为120cm,因此无线客户端设备B无法接收到认证模块发送的数据包;
(6)认证模块没有接收到无线客户端设备B的反馈,因此判定无线客户端设备B没有接收到回复数据包,并生成认证失败的结果,然后将该认证结果发送至控制模块;
(7)控制模块处理接收的认证结果,并将其分发至连接模块;
(8)连接模块根据认证失败的结果,不与无线客户端设备B连通,并禁止其访问网络。
同时,更新模块将无线客户端设备B当前的状态信息更新为“禁止访问网络”。
上述实施例仅为本发明较佳的两个实施例,不应当用以限制本发明的保护范围。本发明实施例中的试验案例仅仅只是为了阐述本发明的实施过程,而在基于上述设计的前提下,为解决同样的技术问题或是依靠本发明主体设计思想进行小范围的改动或润色,其大体形式上仍然采用本发明的设计理念,并且所采用的技术方案的实质仍然与本发明一致的,也应当在本发明的保护范围内。