局域网终端的认证方法和装置制造方法
【专利摘要】本发明公开了一种局域网终端的认证方法和装置。其中,局域网终端的认证方法,包括:接收第一虚拟局域网中的终端发起的认证请求;对认证请求进行验证;以及若通过验证,则获得第二虚拟局域网的地址信息,并为终端分配地址信息,以使终端根据地址信息访问第二虚拟局域网。本发明实施例的局域网终端的认证方法和装置,通过在局域网中划分可信虚拟局域网和不可信虚拟局域网,并在不可信虚拟局域网中设置AP隔离,使不可信虚拟局域网中的终端通过验证后才可访问可信虚拟局域网,在不提高成本的前提下,有效地提高了局域网的安全性,保护了局域网中的终端的信息安全。
【专利说明】局域网终端的认证方法和装置
【技术领域】
[0001]本发明涉及计算机网络【技术领域】,尤其涉及一种局域网终端的认证方法和装置。
【背景技术】
[0002]随着科技的发展,无线网络越来越普及。电脑、手机、平板电脑等都可以通过无线路由器连接上网,甚至物联网设备也可以通过无线路由器连接到无线网络中进行使用。因此,网络安全已成为重要的课题之一。
[0003]目前,可通过WEP (Wired Equivalent Privacy,有线等效保密)、WPA (Wi_FiProtected Access,无线保真安全接入)、WPA2等加密方式进行密码验证。当验证成功后,电脑等终端设备可连接至局域网,并可对其他局域网内的终端设备进行访问。
[0004]但是,在实现本发明的过程中发明人发现现有技术至少存在以下问题:此种加密认证的方法并没有对局域网内的访问权限进行限制,一旦破解WIFI (无线保真)密码,局域网内的其他终端设备的信息将面临泄露的危险。
【发明内容】
[0005]本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的一个目的在于提出一种局域网终端的认证方法。该方法能够有效地提高局域网的安全性,从而保护局域网中的终端的信息安全。
[0006]本发明的第二个目的在于提出一种局域网终端的认证装置。
[0007]为了实现上述目的,本发明第一方面实施例的局域网终端的认证方法,包括:接收第一虚拟局域网中的终端发起的认证请求;对所述认证请求进行验证;以及若通过验证,则获得第二虚拟局域网的地址信息,并为所述终端分配所述地址信息,以使所述终端根据所述地址信息访问第二虚拟局域网。
[0008]本发明实施例的局域网终端的认证方法,通过在局域网中划分可信虚拟局域网和不可信虚拟局域网,并在不可信虚拟局域网中设置AP隔离,使不可信虚拟局域网中的终端通过验证后才可访问可信虚拟局域网,在不提高成本的前提下,有效地提高了局域网的安全性,保护了局域网中的终端的信息安全。
[0009]为了实现上述目的,本发明第二方面实施例的局域网终端的认证装置,包括:接收模块,用于接收第一虚拟局域网中的终端发起的认证请求;验证模块,用于对所述认证请求进行验证;以及分配模块,用于当所述认证请求通过验证时,获得第二虚拟局域网的地址信息,并为所述终端分配所述地址信息,以使所述终端根据所述地址信息访问第二虚拟局域网。
[0010]本发明实施例的局域网终端的认证装置,通过在局域网中划分可信虚拟局域网和不可信虚拟局域网,并在不可信虚拟局域网中设置AP隔离,使不可信虚拟局域网中的终端通过验证后才可访问可信虚拟局域网,在不提高成本的前提下,有效地提高了局域网的安全性,保护了局域网中的终端的信息安全。
【专利附图】
【附图说明】
[0011]图1是根据本发明一个实施例的局域网终端的认证方法的流程图。
[0012]图2是根据本发明一个具体实施例的局域网终端的认证方法的流程图。
[0013]图3是入侵用户破解WIFI密码,访问局域网的示意图。
[0014]图4是根据本发明一个实施例的可信虚拟局域网防止入侵者访问的示意图。
[0015]图5为根据本发明一个实施例的局域网终端的认证装置的结构示意图。
【具体实施方式】
[0016]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
[0017]下面参考附图描述本发明实施例的局域网终端的认证方法和装置。
[0018]图1是根据本发明一个实施例的局域网终端的认证方法的流程图。
[0019]如图1所示,局域网终端的认证方法包括:
[0020]SlOl,接收第一虚拟局域网中的终端发起的认证请求。
[0021]在本发明的实施例中,可将局域网划分为第一虚拟局域网和第二虚拟局域网,SP不可信虚拟局域网和可信虚拟局域网,两个虚拟局域网无法互相访问。其中,不可信虚拟局域网可设置AP(Access Point)隔离,禁止不可信虚拟局域网中的终端互相访问。不可信虚拟局域网中的终端只能访问不可信虚拟局域网的网关。
[0022]举例来说,可信虚拟局域网的地址信息可为192.168.1.50-192.168.1.99,不可信虚拟局域网的地址信息可为192.168.2.50-192.168.2.99。不可信虚拟局域网的网关地址信息可为 192.168.2.254。
[0023]具体地,路由器可向终端提供不可信虚拟局域网的网关地址信息,然后通过PPTP(点对点隧道协议)认证拨号方式接收不可信虚拟局域网中的终端根据网关地址信息发起的认证请求。
[0024]例如:用户可在不可信虚拟局域网中的终端上进行拨号操作,在拨号程序窗口中输入用户名、密码等信息,以发起认证请求。
[0025]当然,用户也可以通过手机建立VPN(虚拟专用网络)连接,输入用户名、密码等信息,以发起认证请求。
[0026]S102,对认证请求进行验证。
[0027]OPENWRT(开放式无线路由)是一个可写的路由器操作系统。本实施例中,可基于OPENWRT系统对认证请求进行验证。
[0028]S103,若通过验证,则获得第二虚拟局域网的地址信息,并为终端分配地址信息,以使终端根据地址信息访问第二虚拟局域网。
[0029]在本发明的实施例中,当认证请求验证通过时,路由器可根据认证请求,获取可信虚拟局域网的地址池中的至少一个地址信息,并分配给通过验证的终端。在终端获得该地址信息后,可以访问可信虚拟局域网。
[0030]其中,地址池是通过选取预设范围内的地址信息而建立的。举例来说,可选取192.168.1.50到192.168.1.99作为可信虚拟局域网的地址池,当一个不可信虚拟局域网中的终端通过验证时,可从以上地址范围内选取一个地址信息如192.168.1.78分配给终端,使该终端可以访问可信虚拟局域网。
[0031]在本发明的实施例中,路由器还可获取终端的物理地址信息,然后根据物理地址信息为终端分配地址信息,以使终端根据地址信息访问可信虚拟局域网。
[0032]举例来说,局域网中包括四个终端A、B、C、D,其中A和B可信。路由器可根据A和B的物理地址信息,将A和B加入至可信虚拟局域网。而未加入可信虚拟局域网的C和D默认在不可信虚拟局域网中。此时,A和B之间可以互相访问,C和D均无法访问A和B所在的可信虚拟局域网。由于不可信虚拟局域网设置有AP隔离,C和D之间也无法互相访问。如果C和D想访问可信虚拟局域网,则需要通过PPTP拨号连接进行验证。当C发起拨号连接时,需要输入用户名和密码,如果C输入的用户名和密码正确,则C通过验证,可加入至可信虚拟局域网,能够与A和B互相访问;当D发起拨号连接时,需要输入用户名和密码,如果D输入的用户名和密码不正确,则D未通过验证,无法访问可信虚拟局域网。
[0033]本发明实施例的局域网终端的认证方法,通过在局域网中划分可信虚拟局域网和不可信虚拟局域网,并在不可信虚拟局域网中设置AP隔离,使不可信虚拟局域网中的终端通过验证后才可访问可信虚拟局域网,在不提高成本的前提下,有效地提高了局域网的安全性,保护了局域网中的终端的信息安全。
[0034]图2是根据本发明一个具体实施例的局域网终端的认证方法的流程图。
[0035]如图2所示,局域网终端的认证方法包括:
[0036]S201,在局域网中建立可信虚拟局域网。
[0037]如图3所示,无线局域网中包括手机、笔记本电脑、台式电脑和物联网设备等,如果用户(此处用户为入侵用户)破解了无线局域网的WIFI (无线保真)密码,则入侵用户可获得局域网中设备的信息,并可以通过无线局域网访问互联网。因此本实施例中,在局域网中建立一个可信虚拟局域网将可信的设备加入至可信虚拟局域网中,使可信的设备可以互相访问,而入侵用户虽然能够破解WIFI密码进入局域网,但无法访问可信虚拟局域网。
[0038]S202,接收用户发送的认证请求,并进行验证。
[0039]如图4所示,用户(即入侵用户)虽然破解WIFI密码加入至局域网中,但处于不可信虚拟局域网中,所以若想访问可信虚拟局域网,则需要进行PPTP拨号验证。
[0040]S203,验证不通过,用户无法访问可信虚拟局域网。
[0041]若用户(即入侵用户)无法破解PPTP拨号验证的用户名和密码等信息,则无法访问可信虚拟局域网。
[0042]本发明实施例的局域网终端的认证方法,通过在局域网中划分可信虚拟局域网和不可信虚拟局域网,并在不可信虚拟局域网中设置AP隔离,有效地防止了入侵者获取局域网中设备的信息,提高了局域网的安全性。
[0043]为了实现上述实施例,本发明还提出一种局域网终端的认证装置。
[0044]图5为根据本发明一个实施例的局域网终端的认证装置的结构示意图。
[0045]如图5所示,该局域网终端的认证装置包括:接收模块110、验证模块120和分配模块130。
[0046]接收模块110用于接收第一虚拟局域网中的终端发起的认证请求。
[0047]具体地,接收模块110可向终端提供不可信虚拟局域网的网关地址信息,然后通过PPTP(点对点隧道协议)认证拨号方式接收不可信虚拟局域网中的终端根据网关地址信息发起的认证请求。
[0048]验证模块120用于对认证请求进行验证。
[0049]OPENWRT是一个可写的路由器操作系统。本实施例中,验证模块120可基于OPENWRT系统对认证请求进行验证。
[0050]分配模块130用于当认证请求通过验证时,获得第二虚拟局域网的地址信息,并为终端分配地址信息,以使终端根据地址信息访问第二虚拟局域网。
[0051]在本发明的实施例中,当认证请求验证通过时,分配模块130可根据认证请求,获取可信虚拟局域网的地址池中的至少一个地址信息,并分配给通过验证的终端。在终端获得该地址信息后,可以访问可信虚拟局域网。
[0052]其中,地址池是通过选取预设范围内的地址信息而建立的。举例来说,可选取192.168.1.50到192.168.1.99作为可信虚拟局域网的地址池,当一个不可信虚拟局域网中的终端通过验证时,可从以上地址范围内选取一个地址信息如192.168.1.78分配给终端,使该终端可以访问可信虚拟局域网。
[0053]此外,局域网终端的认证装置还可包括建立模块140和获取模块150。
[0054]建立模块140用于在接收第一虚拟局域网中的终端发起的认证请求之前,建立第一虚拟局域网,并在第一虚拟局域网中设置AP隔离,然后建立第二虚拟局域网。
[0055]在本发明的实施例中,建立模块140可将局域网划分为第一虚拟局域网和第二虚拟局域网,即不可信虚拟局域网和可信虚拟局域网,两个虚拟局域网无法互相访问。然后在不可信虚拟局域网中设置AP(Access Point)隔离,禁止不可信虚拟局域网中的终端互相访问。不可信虚拟局域网中的终端只能访问不可信虚拟局域网的网关。
[0056]获取模块150用于获取终端的物理地址信息。
[0057]在本发明的实施例中,获取模块150可获取终端的物理地址信息,然后分配模块130根据物理地址信息为终端分配地址信息,以使终端根据地址信息访问可信虚拟局域网。
[0058]本发明实施例的局域网终端的认证装置,通过在局域网中划分可信虚拟局域网和不可信虚拟局域网,并在不可信虚拟局域网中设置AP隔离,使不可信虚拟局域网中的终端通过验证后才可访问可信虚拟局域网,在不提高成本的前提下,有效地提高了局域网的安全性,保护了局域网中的终端的信息安全。
[0059]此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
[0060]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0061]尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
【权利要求】
1.一种局域网终端的认证方法,其特征在于,所述局域网包括第一虚拟局域网和第二虚拟局域网,所述第一虚拟局域网中的终端无线接入点AP隔离,所述方法包括: 接收第一虚拟局域网中的终端发起的认证请求; 对所述认证请求进行验证;以及 若通过验证,则获得第二虚拟局域网的地址信息,并为所述终端分配所述地址信息,以使所述终端根据所述地址信息访问第二虚拟局域网。
2.根据权利要求1所述的方法,其特征在于,所述接收第一虚拟局域网中的终端发起的认证请求,包括: 向所述终端提供所述第一虚拟局域网的网关地址信息; 接收所述终端根据所述网关地址信息发起的认证请求。
3.根据权利要求1所述的方法,其特征在于,所述对所述认证请求进行验证,包括: 基于开放式无线路由OPENWRT操作系统对所述认证请求进行验证。
4.根据权利要求1所述的方法,其特征在于,所述获得第二虚拟局域网的地址信息,包括: 根据所述认证请求,获取所述第二虚拟局域网的地址池中的至少一个地址信息。
5.根据权利要求1所述的方法,其特征在于,在所述接收第一虚拟局域网中的终端发起的认证请求之前,还包括: 建立所述第一虚拟局域网,并在所述第一虚拟局域网中设置AP隔离;以及 建立所述第二虚拟局域网。
6.根据权利要求1所述的方法,其特征在于,所述方法,还包括: 获取所述终端的物理地址信息; 根据所述物理地址信息为所述终端分配所述地址信息,以使所述终端根据所述地址信息访问第二虚拟局域网。
7.根据权利要求1所述的方法,其特征在于,所述第一虚拟局域网包括不可信虚拟局域网。
8.根据权利要求1所述的方法,其特征在于,所述第二虚拟局域网包括可信虚拟局域网。
9.根据权利要求2所述的方法,其特征在于,所述接收所述第一虚拟局域网中的终端根据所述网关地址信息发起的认证请求,包括: 通过点对点隧道协议PPTP认证拨号方式接收所述第一虚拟局域网中的终端根据所述网关地址信息发起的认证请求。
10.根据权利要求4所述的方法,其特征在于,在所述获取所述第二虚拟局域网的地址池中的至少一个地址信息之前,还包括: 选取预设范围内的地址信息,建立所述地址池。
11.一种局域网终端的认证装置,其特征在于,所述局域网包括第一虚拟局域网和第二虚拟局域网,所述第一虚拟局域网中的终端无线接入点AP隔离,所述装置包括: 接收模块,用于接收第一虚拟局域网中的终端发起的认证请求; 验证模块,用于对所述认证请求进行验证;以及 分配模块,用于当所述认证请求通过验证时,获得第二虚拟局域网的地址信息,并为所述终端分配所述地址信息,以使所述终端根据所述地址信息访问第二虚拟局域网。
12.根据权利要求11所述的装置,其特征在于,所述接收模块,具体用于: 向所述终端提供所述第一虚拟局域网的网关地址信息; 接收所述终端根据所述网关地址信息发起的认证请求。
13.根据权利要求11所述的装置,其特征在于,所述验证模块,具体用于: 基于开放式无线路由OPENWRT操作系统对所述认证请求进行验证。
14.根据权利要求11所述的装置,其特征在于,所述分配模块,具体用于: 根据所述认证请求,获取所述第二虚拟局域网的地址池中的至少一个地址信息。
15.根据权利要求11所述的装置,其特征在于,所述装置还包括: 建立模块,用于:在所述接收第一虚拟局域网中的终端发起的认证请求之前,建立所述第一虚拟局域网,并在所述第一虚拟局域网中设置AP隔离;以及 建立所述第二虚拟局域网。
16.根据权利要求11所述的装置,其特征在于,所述装置还包括:获取模块,用于获取所述终端的物理地址信息; 其中,所述分配模块,还用于:根据所述物理地址信息为所述终端分配所述地址信息,以使所述终端根据所述地址信息访问第二虚拟局域网。
17.根据权利要求11所述的装置,其特征在于,所述第一虚拟局域网包括不可信虚拟局域网。
18.根据权利要求11所述的装置,其特征在于,所述第二虚拟局域网包括可信虚拟局域网。
19.根据权利要求12所述的装置,其特征在于,所述接收模块,具体用于: 通过点对点隧道协议PPTP认证拨号方式接收所述第一虚拟局域网中的终端根据所述网关地址信息发起的认证请求。
20.根据权利要求14所述的装置,其特征在于,所述建立模块,还用于: 在所述获取所述第二虚拟局域网的地址池中的至少一个地址信息之前,选取预设范围内的地址信息,建立所述地址池。
【文档编号】H04L29/06GK104243467SQ201410458502
【公开日】2014年12月24日 申请日期:2014年9月10日 优先权日:2014年9月10日
【发明者】郑伟鹏, 李容, 官金檀, 危文, 杨军 申请人:珠海市君天电子科技有限公司