一种强制wlan用户下线的方法及装置的制造方法
【技术领域】
[0001]本发明涉及WLAN网络安全领域,更具体地说,涉及一种强制WLAN用户下线的方法及装置。
【背景技术】
[0002]当前,在WLAN网络(Wireless Local Area Networks)中对用户进行安全管理,强制在线的WLAN用户下线的方法,只能是通过运营商WLAN网络中的AAA(Authenticat1nAuthorizat1n Accounting)服务器或者是Portal服务器中的网管系统对WLAN用户进行手动强制下线处理,这种手动的方法下线效率低,操作步骤繁琐,且当针对大量的WLAN用户的安全管理工作量比较大时,需要WLAN网络运营商投入大量的人力和时间进行操作,并且还不能按照管理WLAN用户的区域进行强制下线的操作,只能对单个用户进行手动的下线处理。
【发明内容】
[0003]本发明要解决的技术问题在于,针对现有强制WLAN用户下线的不足,提供一种。
[0004]本发明的技术方案为:一种强制WLAN用户下线的方法,该方法应用在包括AC设备和Radius服务器的WLAN网络中,其特征在于:该方法包括以下步骤:
[0005]S1、实时采集所有WLAN用户与Radius服务器交互的Radius信令数据及用户业务数据,形成数据包;
[0006]S2、Radius协议解析插件对所述数据包中的所述Radius信令数据进行解码,并提取出关键字段信息,组合成一条完整的状态信息;
[0007]S3、将所述完整的状态信息以记录形式存储在数据库中;
[0008]S4、触发系统管理者输入的管理策略信息的指令;
[0009]S5、根据所述策略信息,形成查询条件,并根据该查询条件,查询所述数据库中的所述完整的状态信息,并根据所述完整的状态信息和共享密钥信息,伪造强制下线的Disconnect request 信令。
[0010]在上述方法中,所述步骤S2具体包括以下步骤:
[0011]S201、从所述数据包中过滤出所述Radius信令数据;
[0012]S202、从所述Radius信令数据中过滤出接入认证数据,将所述接入认证数据中的接入请求消息通过第一 Key键关联所述接入认证数据中的接入接收消息或者所述接入认证数据中的接入拒绝消息,若所述关联到的信息为所述接入认证数据中的接入接收消息,提取出所述接入请求消息中的第一关键字段信息;
[0013]S203、从所述Radius信令数据中过滤出计费数据,提取出所述计费数据中的第二关键字段信息;
[0014]S204、将所述第一关键字段信息与所述第二关键字段信息通过第二 Key键和第三Key键进行关联,组合成一条WLAN用户完整的状态信息。
[0015]在上述方法中,所述第一 Key键为封包标识;所述第一关键字段信息包括开始时间、帐号、热点区域、AC设备的IP地址;所述第二关键字段信息包括用户的帐号、消息的开始时间、用户上下线信息;所述第二 Key键为开始时间及第三Key键为帐号。
[0016]在上述方法中,所述步骤S5还包括:
[0017]对所述Disconnect request信令进行逐层封包,再发送给所述AC设备,其中,封包的顺序依次为Radius数据包、UDP数据包、IP数据包、Ethernet数据包。
[0018]在上述方法中,所述Disconnect request信令的结构包括Code、Identifier、Length、Authenticator、Attribute,且所述 Authenticator 由单向哈希算法计算得到。
[0019]本发明还提供了一种强制WLAN用户下线的装置,其特征在于,包括采集模块和WLAN用户管理系统,且WLAN用户管理系统包括Radius协议解析插件、数据库、显示模块及程序模块,其中,所述采集模块用于采集WLAN网络中的所有数据;所述Radius协议解析插件用于对Radius信令数据进行解码,并提取出关键字段信息;所述显示模块用于与系统管理者进行交互;所述数据库用于存储所述关键字段信息;所述程序模块用于伪造Disconnect request 信令。
[0020]在上述装置中,所述Radius协议解析插件还将所述关键字段信息进行关联,并组合成一条完整的状态信息。
[0021]在上述装置中,在所述Radius协议解析插件所述关键字段信息进行关联,采用第一 Key键、第二 Key键及第三Key键,其中所述第一 Key键为封包标识,所述第二 Key键为开始时间及所述第三Key键为帐号;所述关键字段信息包括第一关键字段信息和第二关键字段信息,其中所述第一关键字段信息包括开始时间、帐号、热点区域、AC设备的IP地址;所述第二关键字段信息包括用户的帐号、消息的开始时间、用户上下线信息。
[0022]在上述装置中,所述显示模块输入管理WLAN用户的策略信息;所述程序模块将所述策略信息中的区域信息组装成查询条件,发送给所述数据库,所述数据库根据该查询条件查询所述数据库中匹配该查询条件的完整的状态信息,并将该完整的状态信息返回至所述程序模块;所述程序模块还根据所述完整的状态信息和共享密钥信息伪造Disconnectrequest信令,及逐层进行封包所述Disconnect request信令,并分发至AC设备。
[0023]在上述装置中,在所述程序模块中,所述Disconnect request信令的结构包括Code、Identifier、Length、Authenticator、Attribute,且所述 Authenticator 由单向哈希算法计算得到。
[0024]当需要对发生WLAN网络安全事件的区域进行管理时,通过伪造Radius的Disconnect request消息,对WLAN网络区域中的大批量在线用户进行全自动的强制下线处理,提高管理效率,即可有效地管理WLAN网络中的用户,强制在线的WLAN用户下线,实现安全管理用户使用WLAN网络的目的,并且不需要对WLAN运营网络进行修改,简化管理步骤及人工成本,进一步,可实现按照管理WLAN的区域及大批量来管理用户的目的。
【附图说明】
[0025]图1是本发明本发明实施例的一个地市的WLAN现网的系统结构示意图。
[0026]图2是本发明为本发明实施例的强制WLAN用户下线的装置。
[0027]图3是本发明实施例的强制WLAN用户下线的方法流程图。
[0028]图4是图3的步骤S32中Radius协议解析及提取关键字段的流程图。
[0029]图5是图3的步骤S35中的伪造强制下线用户的Radius信令及处理的流程图。
【具体实施方式】
[0030]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0031]如图1所示,为本发明实施例的一个地市的WLAN现网的系统结构示意图。
[0032]该系统结构包括用户设备1、AP (Access Point) 2、AC (Access Controller,接入点的控制设备)3、汇聚交换机4、地市核心路由器5、Radius服务器6、Portal服务器7、采集模块8、WLAN用户管理系统9。
[0033]用户设备I可以是接入WLAN网络的PC机、移动手机、PDA (Personal DigitalAssistant)等设备,通过无线通信方式与接入点AP 2连接;
[0034]AP 2,即WLAN用户接入时的无线接入点,用于提供无线网络服务,该设备与用户设备I通过无线通信方式进行连接,与AC 3通过有线以太网的形式进行互联;
[0035]AC 3,用于与其连接的多个接入点AP 2,Portal服务器7及Radius服务器6进行信令交互,完成WLAN用户的登陆、认证、计费等功能,通过以太网的形式一端连接一个管理区域中的多个接入点AP 2,另一端连接汇聚交换机4的一端;
[0036]汇聚交换机设备4用于汇聚不同管理区域的多个AC 3上WLAN网络中的信令及用户业务数据,如图所示,一端分别连接区域%至区域aN的AC 3,另一端连接地市核心路由器5 ;
[0037]地市核心路由器5用于负责转发本地市所有的业务数据,其中包括WLAN网络中的信令和用户业务数据,并执行NAT (Network Address Translat1n,网络地址转换)的功能,一端连接多个汇聚交换机4 (图未示出),另一端连接省公司的核心路由设备(图未示出);
[0038]Radius服务器6用于负责WLAN用户的认证、鉴权、计费;Portal服务器7用于强制推送用户登录界面,完成用户的登陆;
[0039]WLAN用户信令及用户业务数据的采集模块8,位于汇聚交换机与地市核心路由器之间的接口上,该接口类型在物理上通常使用光口或以太网电口,用于采集WLAN网络中的所有数据;
[0040]WLAN用户管理系统9,用于接收采集模块8采集过来的WLAN网络中的所有数据,并通过端口过滤出WLAN网络中的信令数据,同时对信令数据进行解码、提取出关键字段信息,根据关键字段信息中的内容,伪造强