一种终端设备的认证方法和设备的制造方法

一种终端设备的认证方法和设备的制造方法
【专利摘要】本申请公开了一种终端设备的认证方法和设备，应用于无线接入点AP处于本地转发模式的场景下，其特征在于，该方法包括：所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息；所述AP将所述终端类型信息发送至接入控制器AC，以使得：所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据该终端类型信息所下发的控制策略；所述AP接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。本申请中，认证服务器依旧可以对终端设备进行认证，进而保证了公共网络的安全。
【专利说明】
_种终端设备的认证方法和设备
技术领域
[0001]本申请涉及通信技术领域，特别是涉及一种终端设备的认证方法和设备。
【背景技术】
[0002]移动智能终端包括智能手机和平板电脑等，而在现实生活中智能手机和平板电脑的发货量已经超越了传统的PC(Personal Computer，个人电脑)和笔记本的发货量的总和，移动智能终端普及由量变到质变。同时，移动智能终端拥有PC和笔记本中的大多数功能，因此，人们越来越多的将移动智能终端用于生活、工作和学习中。在人群密集，接入网络的设备多种多样的环境中，比如公共热点、车站、校园等，对于这样的场景，对BYOD(BringYour Own Devices,自带终端)的解决方案不仅可以让有线、无线终端设备通过一体化无感知认证接入网络，还可以对访问设备进行监管。BYOD在当前得到越来越广泛的应用。
[0003]在传统的终端互联时代，终端设备以PC为主，因此，终端准入控制也是以控制PC为主。但是，在BYOD时代，越来越多的人们使用自己的移动智能终端进行工作和学习，终端设备不再仅限于PC，终端设备类型各种各样，比如智能手机、平板电脑，这种场景下，终端设备的管理，变得更加的复杂。要实现对终端设备的管理，需要提前知道这是一台什么样的终端，包括操作系统、型号等，以便根据该终端设备的终端类型下发相应的控制策略来对该终端设备进行控制，以使自带终端得到有效监管，避免由于自带终端引起的网络公共安全问题。
[0004]但是在AP(Access Point，无线接入点)处于本地转发的场景下，采用本地转发时，如图1所示，终端设备的数据报文不再经过AC转发，因此，AC无法监听到终端设备的DHCP请求中的DHCP请求报文，以至于AC无法将终端类型信息发送给AAA (Authenticat1nAuthorizat1n Accounting，认证服务器)对终端设备进行认证，导致AAA无法下发控制策略，以使AP不能对终端设备进行相应的控制，如果此时进行接入的终端设备为自带终端，那么就不能对该自带终端进行有效的监管，从而威胁到网络公共安全。

【发明内容】

[0005]本申请实施例提供一种终端设备的认证方法和设备，以使AP能够获取终端设备的终端类型信息，从而让AAA获取终端类型信息对终端设备进行认证，进而保证网络的公共安全。
[0006]为达到上述目的，本申请实施例提供一种终端设备的认证方法，应用于无线接入点AP处于本地转发模式的场景下，其特征在于，该方法包括:
[0007]所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息;
[0008]所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据该终端类型信息所下发的控制策略；
[0009]所述AP接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。
[0010]所述协议请求报文为动态主机设置协议DHCP请求报文，所述终端类型信息为DHCP请求报文中的选项0pt1n55信息；
[0011]或者，
[0012]所述协议请求报文为超文本传输协议用户代理HTTP请求报文，所述终端类型信息为所述HTTP请求报文中的USER AGENT信息。
[0013]所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息，还包括:
[0014]所述AP监听终端设备的DHCP请求报文，获取所述DHCP请求报文中的选项0pt1n55 信息；
[0015]所述AP将所述DHCP请求报文发送至DHCP服务器，以使得所述DHCP服务器为所述终端设备分配IP地址；
[0016]所述AP监听所述终端设备基于所述IP地址发起HTTP请求报文，获取所述HTTP请求报文中的USER AGENT信息；
[0017]所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据该终端类型信息所下发的控制策略，还包括:
[0018]所述AP对所述HTTP请求报文进行重定向，将所述选项0pt1n55信息和所述USERAGENT信息发送至AC，以使得:所述AC将所述选项0pt1n55信息和所述USER AGENT信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据所述选项0pt1n55信息和所述USER AGENT信息生成的控制策略。
[0019]所述AP和所述AC之间建立有专有隧道；所述AP通过所述专有隧道将所述终端类型信息发送至所述AC。
[0020]一种无线接入点设备，无线接入点AP处于本地转发模式的场景下，其特征在于，该设备包括:
[0021]监听模块，用于监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息；
[0022]发送模块，用于将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据该终端类型信息所下发的控制策略；
[0023]接收模块，用于接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。
[0024]所述协议请求报文为动态主机设置协议DHCP请求报文，所述终端类型信息为DHCP请求报文中的选项0pt1n55信息；
[0025]或者，
[0026]所述协议请求报文为超文本传输协议用户代理HTTP请求报文，所述终端类型信息为所述HTTP请求报文中的USER AGENT信息
[0027]所述监听模块，还具体用于:
[0028]监听终端设备的DHCP请求报文，获取所述DHCP请求报文中的选项0pt1n55信息;
[0029]将所述DHCP请求报文发送至DHCP服务器，以使得所述DHCP服务器为所述终端设备分配IP地址；
[0030]监听所述终端设备基于所述IP地址发起HTTP请求报文，获取所述HTTP请求报文中的USER AGENT信息；
[0031]所述发送模块，还具体用于:
[0032]对所述HTTP请求报文进行重定向，将所述选项0pt1n55信息和所述USER AGENT信息发送至AC，以使得:所述AC将所述选项0pt1n55信息和所述USER AGENT信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据所述选项0pt1n55信息和所述USERAGENT信息生成的控制策略。
[0033]所述AP和所述AC之间建立有专有隧道；所述AP通过所述专有隧道将所述终端类型信息发送至所述AC。
[0034]与现有技术相比，本申请实施例至少具有以下优点:
[0035]本申请实施例中，AP通过监听终端设备发送的协议请求报文，并获取所述协议报文中的终端类型信息，所述AP将所述终端类型信息发送至接入控制器AC，从而可以在AP进行本地转发时，AC无法获取终端类型信息的情况下，通过AP的对协议请求报文的监听，从中提取终端类型信息，并将该终端类型信息发送给AC，以使得所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并下发相应的控制策略，对BYOD进行控制，保证了公共网络的安全。
【附图说明】
[0036]图1是现有技术AP处于本地转发的场景下AC无法对终端设备进行认证示意图；
[0037]图2是本申请实施例提供的一种终端设备的认证方法流程图；
[0038]图3是本申请实施例AP处于本地转发的场景下对终端设备的认证示意图；
[0039]图4是本申请实施例提出的一种无线接入点设备结构示意图。
【具体实施方式】
[0040]在AP处于本地转发的场景下，如图1所示，终端设备与AP相关联，并向DHCP服务器发起DHCP请求报文以获取IP地址，在终端设备通过认证后，该终端设备所发送的数据报文便可以直接经过本地路由就可以与网络进行交互，由于终端设备的数据报文不再流经AC，从而AC无法监听到终端设备发送的DHCP请求报文，以至于AAA无法根据设备的终端类型信息对终端设备进行认证，进而致使AAA无法下发相应的控制策略，从而使AP无法对终端设备进行有效监管，当终端设备为自带终端，且该自带终端在某企业内部网使用时，由于企业内部网不能对该自带终端进行有效监管，可能会导致该自带终端对企业内部网造成安全威胁，或该自带终端获取企业内部资料，致使企业内部的重要信息泄密。
[0041]本申请实施例提出一种终端设备的认证方法，AP通过监听终端设备发送的协议请求报文，并获取所述协议报文中的终端类型信息，所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并下发相应的控制策略，对BYOD进行控制，从而达到了对终端设备进行有效监管的目的，保证了公共网络的安全。
[0042]基于上述应用场景，如图2所示，所述终端设备的认证方法包括以下步骤:
[0043]步骤201，所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息。
[0044]步骤202，所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据该终端类型信息所下发的控制策略。
[0045]步骤203，所述AP接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。
[0046]其中，所述协议请求报文为动态主机设置协议DHCP请求报文，所述终端类型信息为DHCP请求报文中的选项0pt1n55信息；或者，所述协议请求报文为超文本传输协议用户代理HTTP请求报文，所述终端类型信息为所述HTTP请求报文中的USER AGENT信息。所述DHCP请求报文或HTTP请求报文是通过所述终端设备与所述AP进行关联，并向DHCP服务器发起DHCP请求报文以获取IP地址，所述终端设备基于所述IP地址发起HTTP请求报文时得到的。
[0047]除此之外，终端类型信息还可以是DHCP请求报文中的选项0pt1n60信息，该选项0pt1n60信息可以标识出所连接的终端设备的厂家。
[0048]本申请实施例中，AP通过监听终端设备发送的协议请求报文，并获取所述协议报文中的终端类型信息，所述AP将所述终端类型信息发送至接入控制器AC，从而可以在AP进行本地转发时，AC无法获取终端类型信息的情况下，通过AP的对协议请求报文的监听，从中提取终端类型信息，并将该终端类型信息发送给AC，以使所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并下发相应的控制策略，对终端设备接入网络进行控制，保证了公共网络的安全。
[0049]具体的，如图3所示，终端设备在与网络进行数据报文的交互之前，要先与AP进行关联，具体为:所述终端设备需要先向AP发送DHCP请求报文请求IP地址，在位于出口路由器位置的DHCP服务器为终端设备分配IP地址后，该终端设备通过IP地址向AP发送HTTP请求报文，其后，AP会进行对于终端设备的认证，当该终端设备通过认证后才能使终端设备进行数据报文的交互。因此，在上述过程中AP可以获取终端设备发送的DHCP请求报文和HTTP请求报文，并且，所述DHCP请求报文中和HTTP请求报文中都有终端类型信息，且所包含的终端类型信息是不一样的。
[0050]因此，所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息，还包括:
[0051]所述AP监听终端设备的DHCP请求报文，获取所述DHCP请求报文中的选项0pt1n55 信息；
[0052]所述AP将所述DHCP请求报文发送至DHCP服务器，并将所述DHCP服务器为所述终端设备分配的IP地址转发至所述终端设备；
[0053]所述AP监听所述终端设备基于所述IP地址发起HTTP请求报文，获取所述HTTP请求报文中的USER AGENT信息。
[0054]所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据该终端类型信息所下发的控制策略，还包括:
[0055]所述AP对所述HTTP请求报文进行重定向，将所述选项0pt1n55信息和所述USERAGENT信息发送至AC，以使得:所述AC将所述选项0pt1n55信息和所述USER AGENT信息发送至AAA对所述终端设备进行认证，并接收所述AAA根据所述选项0pt1n55信息和所述USER AGENT信息生成的控制策略。
[0056]具体的，在所述AP接收HTTP请求报文后，所述AP判断所述终端设备是否进行了认证，如果所述终端设备未进行认证，所述AP需要将HTTP请求报文重定向到入口 portal服务器，此时，所述AP将DHCP请求报文中的选项0pt1n55信息和HTTP请求报文中的USERAGENT信息发送给AC，并进一步发送给AAA进行认证。
[0057]如果AAA接收的是上述两种信息，那么可以使AAA识别终端类型的准确度大大提高，这样可以让下发所述控制策略则更加准确，这样，这种识别终端类型的方式也适应于非入门Portal认证的场景，例如:802.1x认证。
[0058]所述AP和所述AC之间建立有专有隧道，所述AP通过所述专有隧道将所述终端类型信息发送至所述AC。其中，所述专有信道可以为CAPWAP (Control And Provis1ning ofWireless Access Points Protocol Specificat1n，控制隧道)信道，当然，AP 将所述终端类型信息发送给AC时，也可以通过其他信道发送。当然，在实际的应用场景中，可以根据需要选择相应发送信道，凡是能够达到相应的发送目的的均可以应用于本申请所提出的技术方案，这样的变化并不影响本申请的保护范围。
[0059]上述所述AP获取的协议请求报文也可以为其他能够AAA确定控制策略的协议、请求或信息等内容，如:DHCP 0pt1n60和MAC地址前缀(DHCP 0pt1n60和MAC地址前缀的前24位都会有厂家标识，AP可以根据厂家标识确定终端类型信息)等，在实际的应用场景中，可以根据需要选择获取的信息，凡是能够达到相同目的的信息均可以应用于本申请所提出的技术方案，这样的变化并不影响本申请的保护范围。
[0060]在终端设备与AP进行关联时，所述AP还可以获得:终端设备的用户权限信息、终端设备的MAC(Media Access Control，媒体访问控制)地址等信息。
[0061 ] 所述AP在将所述DHCP请求报文中的选项0pt1n55和/或所述USERAGENT信息发送给AC时，还可以将用户权限信息发送给AC，所述AC将用户权限信息和终端类型信息封装在Radius协议中，所述Radius协议通过Radius认证报文或计费更新报文发送给所述AAA0
[0062]所述AAA根据终端设备的用户权限信息和终端类型信息共同确定终端设备的控制策略，进一步的，用户权限等级越高，那么下发的控制策略允许终端设备进行接入的可能性越大。
[0063]在所述HTTP请求报文的USER AGENT信息中包含终端设备中的浏览器类型、操作系统、浏览器内核等信息。如果AAA获取的终端类型信息中包含USER AGENT信息，那么，AAA还可以根据USER AGENT信息确定被访问网络的返回信息在所述终端设备上显示时的排布策略。同时，在AAA下发控制策略时，将所述排布策略一起下发给AC，所述AC将所述控制策略和所述排布策略发送给AP。
[0064]所述AP根据所述控制策略判断是否允许当前正在进行接入的终端设备接入当前网络，如果允许，所述AP根据排布策略控制网络返回的信息在终端设备显示器上的排布方式。
[0065]同时，所述AP根据终端设备的MAC地址可以精确的找到进行接入的终端设备，以使网络返回的信息能够准确的发送到相应的终端设备上。
[0066]基于上述处理，在AP处于本地转发的场景下，AAA依旧能够获取终端类型信息，从而能够使AAA下发相应的控制策略，对BYOD进行控制，保证了公共网络的安全。
[0067]在本申请中，AP通过监听终端设备发送的协议请求报文，并获取所述协议报文中的终端类型信息，所述AP将所述终端类型信息发送至接入控制器AC，从而可以在AP进行本地转发时，AC无法获取终端类型信息的情况下，通过AP的对协议请求报文的监听，从中提取终端类型信息，并将该终端类型信息发送给AC，以使得所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并下发相应的控制策略，对BYOD进行控制，保证了公共网络的安全。当然，在实际的应用场景中，可以根据需要选择获取相关信息的方法和种类，凡是能够达到相应效果和目的都可以应用于本申请所提出的技术方案，这样的变化并不影响本申请的保护范围。
[0068]基于与上述方法同样的申请构思，本申请还提出了一种无线接入点设备，如图4所述，该设备包括:
[0069]监听模块41，用于监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息。
[0070]发送模块42，用于将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据该终端类型信息所下发的控制策略。
[0071]接收模块43，用于接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。
[0072]所述协议请求报文为动态主机设置协议DHCP请求报文，所述终端类型信息为DHCP请求报文中的选项0pt1n55信息；或者，所述协议请求报文为超文本传输协议用户代理HTTP请求报文，所述终端类型信息为所述HTTP请求报文中的USER AGENT信息
[0073]所述监听模块，还具体用于:
[0074]监听终端设备的DHCP请求报文，获取所述DHCP请求报文中的选项0pt1n55信息;
[0075]将所述DHCP请求报文发送至DHCP服务器，并将所述DHCP服务器为所述终端设备分配的IP地址转发至所述终端设备；
[0076]监听所述终端设备基于所述IP地址发起HTTP请求报文，以使得所述DHCP服务器为所述终端设备分配IP地址；
[0077]所述发送模块，还具体用于:
[0078]对所述HTTP请求报文进行重定向，将所述选项0pt1n55信息和所述USER AGENT信息发送至AC，以使得:所述AC将所述选项0pt1n55信息和所述USER AGENT信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据所述选项0pt1n55信息和所述USER AGENT信息生成的控制策略。
[0079]所述AP和所述AC之间建立有专有隧道；所述AP通过所述专有隧道将所述终端类型信息发送至所述AC。
[0080]基于上述处理，在AP处于本地转发的场景下，AAA依旧能够获取终端类型信息，从而能够使AAA下发相应的控制策略，对BYOD进行控制，保证了公共网络的安全。
[0081]通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。
[0082]本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本申请所必须的。
[0083]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
[0084]以上公开的仅为本申请的具体实施例，但是，本申请并非局限于此，任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
【主权项】
1.一种终端设备的认证方法，应用于无线接入点AP处于本地转发模式的场景下，其特征在于，该方法包括: 所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息； 所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据该终端类型信息所下发的控制策略； 所述AP接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。2.如权利要求1所述方法，其特征在于，所述协议请求报文为动态主机设置协议DHCP请求报文，所述终端类型信息为DHCP请求报文中的选项Opt1n55信息； 或者， 所述协议请求报文为超文本传输协议用户代理HTTP请求报文，所述终端类型信息为所述HTTP请求报文中的USER AGENT信息。3.如权利要求1所述方法，其特征在于，所述AP监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息，还包括: 所述AP监听终端设备的DHCP请求报文，获取所述DHCP请求报文中的选项Opt1n55信息； 所述AP将所述DHCP请求报文发送至DHCP服务器，以使得所述DHCP服务器为所述终端设备分配IP地址； 所述AP监听所述终端设备基于所述IP地址发起HTTP请求报文，获取所述HTTP请求报文中的USER AGENT信息； 所述AP将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据该终端类型信息所下发的控制策略，还包括: 所述AP对所述HTTP请求报文进行重定向，将所述选项Opt1n55信息和所述USERAGENT信息发送至AC，以使得:所述AC将所述选项Opt1n55信息和所述USER AGENT信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据所述选项Opt1n55信息和所述USER AGENT信息生成的控制策略。4.如权利要求1-3任一项所述方法，其特征在于，所述AP和所述AC之间建立有专有隧道；所述AP通过所述专有隧道将所述终端类型信息发送至所述AC。5.一种无线接入点设备，无线接入点AP处于本地转发模式的场景下，其特征在于，该设备包括: 监听模块，用于监听终端设备的协议请求报文，获取所述协议请求报文中的终端类型信息； 发送模块，用于将所述终端类型信息发送至接入控制器AC，以使得:所述AC将所述终端类型信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据该终端类型信息所下发的控制策略； 接收模块，用于接收所述AC所转发的控制策略，对所述终端设备的访问进行控制。6.如权利要求5所述设备，其特征在于，所述协议请求报文为动态主机设置协议DHCP请求报文，所述终端类型信息为DHCP请求报文中的选项Opt1n55信息； 或者， 所述协议请求报文为超文本传输协议用户代理HTTP请求报文，所述终端类型信息为所述HTTP请求报文中的USER AGENT信息。7.如权利要求5所述设备，其特征在于，所述监听模块，还具体用于: 监听终端设备的DHCP请求报文，获取所述DHCP请求报文中的选项Opt1n55信息； 将所述DHCP请求报文发送至DHCP服务器，以使得所述DHCP服务器为所述终端设备分配IP地址； 监听所述终端设备基于所述IP地址发起HTTP请求报文，获取所述HTTP请求报文中的USER AGENT 信息； 所述发送模块，还具体用于: 对所述HTTP请求报文进行重定向，将所述选项Opt1n55信息和所述USER AGENT信息发送至AC，以使得:所述AC将所述选项Opt1n55信息和所述USER AGENT信息发送至认证服务器对所述终端设备进行认证，并接收所述认证服务器根据所述选项Opt1n55信息和所述USER AGENT信息生成的控制策略。8.如权利要求5-7所述设备，其特征在于，所述AP和所述AC之间建立有专有隧道；所述AP通过所述专有隧道将所述终端类型信息发送至所述AC。
【文档编号】H04L29/06GK105847223SQ201510020236
【公开日】2016年8月10日
【申请日】2015年1月15日
【发明人】郑涛
【申请人】杭州华三通信技术有限公司