一种网络认证方法、访问控制方法和网络接入设备的制造方法
【专利摘要】一种网络认证方法、访问控制方法和网络接入设备,其中,提供一实施所述网络认证方法的网络接入设备,所述网络认证方法包括:当根据认证信息对终端进行身份认证后,所述网络接入设备不向所述终端反馈认证结果,并与所述终端建立关联。通过网络认证方法、访问控制方法和网络接入设备,当完成对终端的认证信息后,由于网络接入设备不会反馈相应的验证结果,而是直接与终端建立关联,因此连接的用户并不知道是否真正接入成功,这样就可以让非法用户无法确认是否破解到正确的密码,从而可避免其利用向网络接入设备发送各种组合的密码不断进行验证,最终破解出密码。
【专利说明】
一种网络认证方法、访问控制方法和网络接入设备
技术领域
[0001]本发明涉及网络技术领域,特别是涉及一种网络认证方法、访问控制方法和网络接入设备。
【背景技术】
[0002]随着网络技术的飞速发展,信息传播和信息获取的途径都发生了前所未有的变化,使人类社会迈入了以网络技术、数字化技术为核心的信息时代。尤其是当下无线网络技术的广泛应用,因其灵活性、可扩展、可移动等优势,更是进一步地破除了实时信息获取的障碍,给人们的生活带来了巨大的便利。随着无线网络技术的日趋成熟,无线传输的速率越来越快,无线网络的用户也越来越多。
[0003]如果密码设置较简单,则无线密码容易被破解,例如,非法用户可以通过向网络接入设备发送各种组合的密码不断进行验证,从而导致无线网络被占用。这已成为很多无线网络用户担忧的问题。因此如何增强网络安全性,防范网络被非法占用,是网络设计和网络管理中需要考虑的问题。
【发明内容】
[0004]本发明实施例所要解决的技术问题是网络认证密码易被非法用户破解,导致无线网络被占用。
[0005]为了解决上述问题,本发明实施例提供了一种网络认证方法,提供一实施所述网络认证方法的网络接入设备,所述网络认证方法包括:
[0006]当根据认证信息对终端进行身份认证后,所述网络接入设备不向所述终端反馈认证结果,并与所述终端建立关联。
[0007]为了解决上述问题,本发明实施例提供了一种访问控制方法,于实施如上述的网络认证方法后还包括:
[0008]当所述网络接入设备接收到所述终端的数据转发请求时,根据所述身份认证的认证结果选择是否进行数据转发。
[0009]可选的,上述的访问控制方法,还包括:
[0010]所述网络接入设备建立一合法用户列表;
[0011 ] 所述于根据所述认证信息对所述终端进行身份认证后还包括:当认证通过后,所述网络接入设备将所述终端加入合法用户列表;
[0012]所述根据所述身份认证的认证结果选择是否进行数据转发包括:所述网络接入设备将所述终端于所述合法用户列表中进行匹配;如果匹配成功,则所述网络接入设备进行数据转发。
[0013]可选的,上述的访问控制方法,所述网络接入设备将所述终端于所述合法用户列表中进行匹配后还包括:如果匹配失败,所述网络接入设备请求所述终端发送身份认证信息。
[0014]可选的,上述的访问控制方法,还包括:
[0015]所述网络接入设备建立一非法用户列表;
[0016]所述于根据所述认证信息对所述终端进行身份认证后还包括:当认证失败后,所述网络接入设备将所述终端加入非法用户列表。
[0017]为了解决上述的技术问题,本发明实施例还公开了一种网络接入设备,包括:
[0018]认证单元,用于根据认证信息对终端进行身份认证;
[0019]关联单元,用于当所述认证单元完成身份认证后,不向所述终端反馈认证结果,并与所述终端建立关联。
[0020]可选的,上述的网络接入设备,还包括:
[0021]处理单元,用于当所述网络接入设备接收到所述终端的数据转发请求时,根据所述身份认证的认证结果选择是否进行数据转发。
[0022]可选的,上述的网络接入设备,还包括:
[0023]建立单元,用于建立一合法用户列表;
[0024]修改单元,用于当认证通过后,所述网络接入设备将所述终端加入合法用户列表;
[0025]所述处理单元包括:
[0026]匹配模块,用于将所述终端于所述合法用户列表中进行匹配;
[0027]转发模块,用于当所述匹配模块匹配成功时,进行数据转发。
[0028]可选的,上述的网络接入设备,所述处理单元还包括:
[0029]请求模块,用于当所述匹配模块匹配失败时,所述网络接入设备请求所述终端发送身份认证信息。
[0030]可选的,上述的网络接入设备,所述建立单元还用于建立一非法用户列表;所述修改单元还用于当认证失败后,将所述终端加入非法用户列表。
[0031]与现有技术相比,本发明的技术方案具有以下优点:
[0032]当完成对终端的认证信息后,由于网络接入设备不会反馈相应的验证结果,而是直接与终端建立关联,因此连接的用户并不知道是否真正接入成功,这样就可以让非法用户无法确认是否破解到正确的密码,从而可避免其利用向网络接入设备发送各种组合的密码不断进行验证,最终破解出密码。
[0033]进一步的,通过建立一包括所有认证通过终端的合法用户列表,并在接收到终端的数据转发请求时,将终端在所述合法用户列表中进行匹配以判断该终端是否认证通过为合法用户,进而决定是否进行数据转发,实现了对非法用户访问网络的控制。
[0034]进一步的,当终端未能在合法用户列表中匹配到对应的数据项时,要求终端再次进行身份认证,以避免由于用户认证信息输入错误导致无法访问网络。
[0035]进一步的,通过建立一包括所有认证失败终端的非法用户列表,可以通过登录网络接入设备看到有哪些非法客户端在无线网络中。
【附图说明】
[0036]图1是本发明实施例中一种网络认证方法的流程图;
[0037]图2是本发明实施例中一种访问控制方法的流程图;
[0038]图3是本发明实施例中一种网络接入设备的结构不思图ο
【具体实施方式】
[0039]根据现有网络接入的认证机制,网络终端设备可以不断地向网络接入设备发送认证信息以进行身份认证,因此这就给网络安全造成了隐患。非法用户可以尝试以暴力破解的方式进行身份验证,最终达到密码破解,占用网络带宽的目的。对于一些设置简单的密码,目前的破解方法只需要几分钟而已。
[0040]针对上述现有技术中存在的技术问题,本发明实施例在完成对终端的认证信息后,由于网络接入设备不会反馈相应的验证结果,而是直接与终端建立关联,因此连接的用户并不知道是否真正接入成功,这样就可以让非法用户无法确认是否破解到正确的密码,从而避免其利用向网络接入设备发送各种组合的密码不断进行验证,最终破解出密码。
[0041]为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
[0042]本发明实施例提供了一种网络认证方法,可以适用于有线网络或无线网络环境中,用于接受网络终端用户接入,并为所述网络终端用户提供数据转发服务,以实现用户上网的任何网络接入设备。例如,可以是路由器,可以是无线AP等。
[0043]本发明实施例的一种网络认证方法,通过上述的网络接入设备实施。为了说明方便起见,本发明实施例以无线网络中的无线路由器为例进行说明。但是可以理解的是,本发明实施例也可以通过无线AP来实施,或者可以适用于有线网络环境下。具体来说,如图1所示,所述网络认证方法可以包括:
[0044]步骤SlOl,根据认证信息对终端进行身份认证;
[0045]无线终端接入AP的过程包括扫描、认证和关联三个步骤。在扫描阶段,无线终端在加入网络之前,首先需要在所处区域搜索网络,包括通过发送Probe Request帧来请求加入网络的主动扫描方式或通过侦听无线AP定期广播Beacon帧(携带自身的SSID和信道信息)的被动扫描方式。
[0046]当无线终端收到AP反馈的ProbeResponse帧发现无线网络后,从候选AP中选择一个向其发送认证请求信息向指定AP请求认证。具体来说,在本发明实施例中,AP与所述无线终端之间的认证步骤可以包括:
[0047]第一步:所述无线终端向AP发送认证请求报文Authenticat1n request;
[0048]第二步:AP发送一个包含明文的报文Plain text challenge给所述无线终端,进行密码验证;
[0049]第三步:所述无线终端用认证密码加密明文,形成Cipher text challenge报文,发送给AP校验;
[0050]第四步:AP将密文解密和明文比较。如果相同,则判定验证成功,如果不相同,则判定验证失败,从而完成验证操作。
[0051]步骤S102,所述网络接入设备不向所述终端反馈认证结果,并与所述终端建立关耳关。
[0052]在现有技术中,当AP完成对所述无线终端的验证操作后,如果验证通过,则会向STA发送Authenticat1n response报文;如果验证失败,贝Ij由所述AP反馈验证失败的信息,由所述无线终端继续进行验证操作。
[0053]而在本发明实施例中,当AP完成对所述无线终端的验证操作后,无论验证是否通过,AP都会向所述无线终端发送Authenticat1n response报文,这样作为无线终端来说,都会默认为验证已经通过。因此所述无线终端会进入下一步的关联操作,即向AP发送关联请求报文Associat1n request在收到该关联请求报文Associat1n request后,会向无线终端发送关联应答报文Associat1n response,从而完成关联操作。
[0054]通过本发明实施例,由于终端的用户无法知道密码是否真正验证通过,因此非法用户难以通过不断尝试不同密码组合的方式破解出密码,阻止了想占用无线网络的非法用户上网,增加了破解密码的难度,在很大程度上增加了网络的安全性。
[0055]在前述实施例的基础上,本发明另一实施例还提供了一种访问控制方法,以进一步实现对非法用户占用网络的控制。如图2所示,所述的网络认证方法可以包括:
[0056]步骤S201?步骤S202,根据认证信息对终端进行身份认证;所述网络接入设备不向所述终端反馈认证结果,并与所述终端建立关联;
[0057]所述步骤S201?步骤S202与前一实施例中的步骤SlOl?步骤S102相应,因此可以查看其相应内容,此处不再赘述。
[0058]步骤S203,当所述网络接入设备接收到所述终端的数据转发请求时,根据所述身份认证的认证结果选择是否进行数据转发。
[0059]在具体实施中,所述网络接入设备可以预先建立一合法用户列表。当所述网络接入设备根据认证信息对终端进行身份认证后,如果身份认证认证通过,则所述网络接入设备将所述终端加入合法用户列表中。当所述网络接入设备接收到所述终端的数据转发请求时,所述网络接入设备将所述终端于所述合法用户列表中进行匹配。如果匹配成功,则所述网络接入设备进行数据转发,如果匹配失败,未找到相应的匹配项,则所述网络接入设备不进行数据转发。
[0060]通过建立一包括所有认证通过终端的合法用户列表,并在接收到终端的数据转发请求时,将终端在所述合法用户列表中进行匹配以判断该终端是否认证通过为合法用户,进而决定是否进行数据转发,实现了对非法用户访问网络的控制。
[0061]在上述的具体实施中,所述合法用户列表可以是一张关联了所述无线终端设备MAC地址的映射表。当把认证通过的无线终端的MAC地址存入该映射表中,而当AP接收到无线终端请求转发的数据包时,首先解析数据包,查看源MAC地址,如果源MAC地址在所述映射表中,则查看相对应的目的地址,做相对应的转发处理。如果源MAC地址不在所述映射表中,则丢弃此数据包。
[0062]在上述的具体实施中,为了避免用户因为无意输错验证信息而导致不能上网,所述网络接入设备将所述终端于所述合法用户列表中进行匹配后还可以包括:如果没能在所述合法用户列表中找到对应的匹配项而导致匹配失败,所述网络接入设备可以要求终端再次进行身份认证,如再次发送一个包含明文的报文Plain text challenge给所述无线终端,进行密码验证,以避免由于用户认证信息输入错误导致无法访问网络。
[0063]在另一种具体实施中,为了进一步实现对网络情况的实时监控,所述网络接入设备还可以预先建立一非法用户列表。当所述网络接入设备根据认证信息对终端进行身份认证后,如果所述身份认证认证失败,则所述网络接入设备将所述终端加入非法用户列表。这样,网络管理人员可以通过登录网络接入设备看到有哪些非法客户端在无线网络中,进而选择进行进一步的处理。
[0064]具体来说,可以在AP上设置一与所述非法用户列表关联的访问控制指令,对非法用户列表中的网络终端的访问权限进行限制。例如,可以是直接丢弃数据包从而拒绝终端的任何数据转发请求;或者在所述访问控制指令中设置拒绝访问的目标地址,或者在所述访问控制指令中设置拒绝的网络端口,从而过滤网络终端所提出的特定网络服务请求(例如设置拒绝14000端口,以过滤语音文件发送的请求)等。通过设置所述访问控制指令,可以实现网络管理的优化。例如,在公司内部,如果并非要禁止所有未授权的一般访客的连网请求,而只是禁止其对特定地址的访问,则通过在所述访问控制指令中设置拒绝访问的目标地址,就可以实现禁止其对特定目标地址的访问,而不影响其他的正常上网,从而实现了授权用户网络和访客网络的区分,进一步地提高了本实施例的应用范围。
[0065]在上述的具体实施中,同样的,所述非法用户列表可以是一张关联了所述无线终端设备MAC地址的映射表,此处不再赘述。
[0066]综上,通过本发明实施例的一种访问控制方法,在前述实施例的基础上,进一步地实现了对非法用户上网的控制,同时还可以通过对非法用户上网权限的设置,实现授权用户网络和一般访客网络的区分,进一步地提高本实施例的应用范围。
[0067]本发明实施例还提供了一种与第一个实施例中的网络认证方法相对应的网络接入设备。如图3所示,所述网络接入设备可以包括:
[0068]认证单元,用于根据认证信息对终端进行身份认证;
[0069]关联单元,用于当所述认证单元完成身份认证后,不向所述终端反馈认证结果,并与所述终端建立关联。
[0070]在现有技术中,当AP完成对所述无线终端的验证操作后,如果验证通过,则会向STA发送Authenti cat 1n response报文,进而,如果验证失败,则由所述AP反馈验证失败的信息,由所述无线终端继续进行验证操作。
[0071]而在本发明实施例中,当AP完成对所述无线终端的验证操作后,无论验证是否通过,AP都会向所述无线终端发送Authenticat1n response报文,这样作为无线终端来说,都会默认为验证已经通过。因此所述无线终端会进入下一步的关联操作,即向AP发送关联请求报文Associat1n request,AP在收到该关联请求报文Associat1n request后,会向STA发送关联应答报文Associat1n response,从而完成关联操作。
[0072]通过本发明实施例,由于终端的用户无法知道密码是否真正验证通过,因此非法用户难以通过不断尝试不同密码组合的方式破解出密码,阻止了想占用无线网络的非法用户上网,增加了破解密码的难度,在很大程度上增加了网络的安全性。
[0073]在具体实施中,所述网络接入设备还可以包括处理单元,用于当所述网络接入设备接收到所述终端的数据转发请求时,根据所述身份认证的认证结果选择是否进行数据转发。
[0074]如图3所示,在上述的具体实施中,所述网络接入设备可以包括:
[0075]建立单元,用于建立一合法用户列表;
[0076]修改单元,用于当认证通过后,所述网络接入设备将所述终端加入合法用户列表;
[0077]所述处理单元可以包括:
[0078]匹配模块,用于将所述终端于所述合法用户列表中进行匹配;
[0079]转发模块,用于当所述匹配模块匹配成功时,进行数据转发;如果匹配失败,则所述网络接入设备不进行数据转发。
[0080]所述合法用户列表可以是一张关联了所述无线终端设备MAC地址的映射表。当把认证通过的无线终端的MAC地址存入该映射表中,而当AP接收到无线终端请求转发的数据包时,首先解析数据包,查看源MAC地址,如果源MAC地址在所述映射表中,则查看相对应的目的地址,做相对应的转发处理。如果源MAC地址不在所述映射表中,则丢弃此数据包。
[0081]为了避免用户因为无意输错验证信息而导致不能上网,如图3所示,所述网络接入设备还可以包括请求模块,用于当所述匹配模块匹配失败时,所述网络接入设备请求所述终端发送身份认证信息,如再次发送一个包含明文的报文Plain text challenge给所述无线终端,进行密码验证,以避免由于用户认证信息输入错误导致无法访问网络。
[0082]在另一种具体实施中,为了进一步实现对网络情况的实时监控,所述建立单元还可以用于建立一非法用户列表;所述修改单元还用于当认证失败后,将所述终端加入非法用户列表。这样,网络管理人员可以通过登录网络接入设备看到有哪些非法客户端在无线网络中,进而选择进行进一步的处理。
[0083]具体来说,可以在AP上设置一与所述非法用户列表关联的访问控制指令,对非法用户列表中的网络终端的访问权限进行限制。例如,可以是直接丢弃数据包从而拒绝终端的任何数据转发请求;或者在所述访问控制指令中设置拒绝访问的目标地址,或者在所述访问控制指令中设置拒绝的网络端口,从而过滤网络终端所提出的特定网络服务请求(例如设置拒绝14000端口,以过滤语音文件发送的请求)等。通过设置所述访问控制指令,可以实现网络管理的优化。例如,在公司内部,当并非要禁止所有未授权的一般访客的连网请求,而只是禁止其对特定地址的访问时,通过在所述访问控制指令中设置拒绝访问的目标地址,就可以实现禁止其对特定目标地址的访问,而不影响其他的正常上网,从而实现了授权用户网络和访客网络的区分,进一步地提高了本实施例的应用范围。
[0084]在上述的具体实施中,同样的,所述非法用户列表可以是一张关联了所述无线终端设备MAC地址的映射表,此处不再赘述。
[0085]本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:R0M、RAM、磁盘或光盘等。
[0086]虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
【主权项】
1.一种网络认证方法,其特征在于,提供一实施所述网络认证方法的网络接入设备,所述网络认证方法包括: 当根据认证信息对终端进行身份认证后,所述网络接入设备不向所述终端反馈认证结果,并与所述终端建立关联。2.—种访问控制方法,其特征在于,于实施如权利要求1所述的网络认证方法后还包括: 当所述网络接入设备接收到所述终端的数据转发请求时,根据所述身份认证的认证结果选择是否进行数据转发。3.如权利要求2所述的访问控制方法,其特征在于,还包括: 所述网络接入设备建立一合法用户列表; 所述根据认证信息对终端进行身份认证后还包括:当认证通过后,所述网络接入设备将所述终端加入合法用户列表; 所述根据所述身份认证的认证结果选择是否进行数据转发包括:所述网络接入设备将所述终端于所述合法用户列表中进行匹配;如果匹配成功,则所述网络接入设备进行数据转发。4.如权利要求3所述的访问控制方法,其特征在于,所述网络接入设备将所述终端于所述合法用户列表中进行匹配后还包括:如果匹配失败,所述网络接入设备请求所述终端发送身份认证信息。5.如权利要求2所述的访问控制方法,其特征在于,还包括: 所述网络接入设备建立一非法用户列表; 所述根据认证信息对终端进行身份认证后还包括:当认证失败后,所述网络接入设备将所述终端加入非法用户列表。6.一种网络接入设备,其特征在于,包括: 认证单元,用于根据认证信息对终端进行身份认证; 关联单元,用于当所述认证单元完成身份认证后,不向所述终端反馈认证结果,并与所述终端建立关联。7.如权利要求6所述的网络接入设备,其特征在于,还包括: 处理单元,用于当所述网络接入设备接收到所述终端的数据转发请求时,根据所述身份认证的认证结果选择是否进行数据转发。8.如权利要求7所述的网络接入设备,其特征在于,还包括: 建立单元,用于建立一合法用户列表; 修改单元,用于当认证通过后,所述网络接入设备将所述终端加入合法用户列表; 所述处理单元包括: 匹配模块,用于将所述终端于所述合法用户列表中进行匹配; 转发模块,用于当所述匹配模块匹配成功时,进行数据转发。9.如权利要求8所述的网络接入设备,其特征在于,所述处理单元还包括: 请求模块,用于当所述匹配模块匹配失败时,所述网络接入设备请求所述终端发送身份认证信息。10.如权利要求8所述的网络接入设备,其特征在于,所述建立单元还用于建立一非法用户列表;所述修改单元还用于当认证失败后,将所述终端加入非法用户列表。
【文档编号】H04L29/06GK105915557SQ201610503902
【公开日】2016年8月31日
【申请日】2016年6月30日
【发明人】何国荣
【申请人】上海斐讯数据通信技术有限公司