一种验证无线局域网络用户来源的方法、设备及系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种验证WLAN (Wireless Local AreaNetwork,无线局域网)用户来源的方法、设备及系统。
【背景技术】
[0002]WLAN网络具有可移动性、灵活性、安全简单、易于调整和扩展等优点,它是对传统有线网络的延伸,被广泛地应用于企业和家庭中,用户可通过内置有WLAN无线模块的终端(如个人计算机、掌上电脑、手机等)或WLAN网卡的方式获得互联网接入服务。
[0003]如图1所示,为现有技术中UE (User Equipment,用户终端)接入WLAN网络的方法流程图,其具体处理流程如下:
[0004]步骤101:用户终端通过标准的 DHCP (Dynamic Host Configurat1n Protocol,动态主机配置协议)协议,从AC (Access Controller,接入控制器)处获取规划的IP (Internet Protocol,网络互连协议)地址。
[0005]步骤102:用户终端打开浏览器,访问某个网站,发起HTTP(Hypertext TransferProtocol,超文本传送协议)请求。
[0006]步骤103:AC截获用户终端发起的HTTP请求,对没有认证过的用户终端,AC强制该用户终端访问门户服务器(即Portal)的URL(Uniform Resource Locator,统一资源定位符)。
[0007]步骤104:用户终端根据AC返回的门户服务器的URL向对应的门户服务器发起访问请求。
[0008]步骤105:门户服务器接受用户终端的访问请求,向用户终端推送认证页面。
[0009]步骤106:用户终端在认证页面上填入账号和密码等用户认证信息,以安全的方式,如 HTTPS POST(Hyper Text Transfer Protocol over Secure Socket Layer, HTTP 的安全版)提交到门户服务器。
[0010]步骤107:门户服务器接收到用户认证信息,向RADIUS(Remote Authenticat1nDial In User Service,远程用户拨号认证系统)发出用户认证信息查询请求。
[0011]步骤108 =RADIUS根据用户认证信息验证用户密码、查询用户认证信息,并向门户服务器返回查询结果。若查询失败,门户服务器执行步骤115,流程至此结束;若查询成功,则继续执行下一步。
[0012]步骤109:门户服务器向AC请求认证口令Challenge。
[0013]步骤110:AC 返回认证口令 Challenge。
[0014]步骤111:门户服务器将用户认证信息提交到AC,发起认证。
[0015]步骤112:AC将用户认证信息发送到RADIUS,进行认证。
[0016]步骤113 =RADIUS根据用户认证信息判断用户终端是否合法,并通知AC。
[0017]步骤114:AC返回认证结果给门户服务器。
[0018]步骤115:门户服务器根据认证结果,向用户终端推送认证结果页面。
[0019]在上述流程中,步骤106、107、108执行了一次认证过程,用户终端可从步骤108获知认证结果(成功或失败)。如果有用户想对RADIUS进行攻击,有可能会针对这些步骤,自行构造认证请求数据(即用户名和密码等用户认证信息),按照步骤106、107、108向门户服务器发起认证请求,根据返回结果即可判断认证请求数据是否合法,若返回认证成功的响应,则说明认证请求数据包中含有正确的用户名和密码。若攻击者频繁地发起认证请求,则会严重影响RADIUS的性能,甚至会造成RADIUS宕机。
[0020]为了防止攻击者频繁发起认证请求,门户服务器需要识别各用户终端的来源,对恶意用户终端发起的认证请求不予接受,以实现安全防护。
[0021]具体地,现有技术中,由于接入WLAN系统的正常用户在提交给门户服务器的认证请求包中会携带有AC、AP(Access Point,无线访问节点)等信息,因而,门户服务器可根据认证请求包中的AC、AP信息对用户终端的来源进行定位。但是,由于恶意用户能够自行构造认证请求包,随意填写AC、AP信息,导致门户服务器无法根据认证请求包中的AC、AP信息准确地确定用户终端的来源。另外,由于门户服务器通常部署于互联网,攻击者即使未接入WLAN系统,也可通过互联网向门户服务器发起认证请求,对RADIUS实施攻击。因此,门户服务器不能根据请求包中的AC、AP信息对用户终端的来源进行定位,仅能根据用户终端来源的IP地址进行定位,但若用户终端处于NAT (Network Address Translat1n,网络地址转换)环境,那么门户服务器只能获取经过NAT转换后的公网IP,无法获取用户的内网IP,也就无法定位到用户终端的具体来源。
[0022]因此,亟需提供一种新的验证WLAN用户来源的方法,来解决目前无法准确定位终端来源,导致WLAN认证系统安全性低等问题。
【发明内容】
[0023]本发明实施例提供了一种验证WLAN用户来源的方法、设备及系统,用以解决目前存在的无法准确定位终端来源,导致WLAN认证系统安全性低的问题。
[0024]本发明实施例提供了一种验证WLAN用户来源的方法,包括:
[0025]AC截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌;并
[0026]将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0027]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0028]进一步地,本发明实施例还提供了另一种验证WLAN用户来源的方法,包括:
[0029]终端接收接入控制器AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的;
[0030]根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0031]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0032]进一步地,本发明实施例还提供了另一种验证WLAN用户来源的方法,包括:
[0033]门户服务器接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
[0034]根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0035]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0036]进一步地,本发明实施例还提供了一种AC,包括:
[0037]获取单元,用于截获终端发起的网页访问请求;
[0038]处理单元,用于若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌;
[0039]发送单元,用于将所述第一加密令牌以及门户服务器的网址信息发送给所述终端,指示所述终端根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0040]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0041]进一步地,本发明实施例还提供了一种终端,包括:
[0042]接收单元,用于接收接入控制器AC发送的第一加密令牌以及门户服务器的网址信息,所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的接入点AP的信息以及所述AC的信息生成的;
[0043]发送单元,用于根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求,以由所述门户服务器根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0044]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0045]进一步地,本发明实施例还提供了一种门户服务器,包括:
[0046]接收单元,用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求;所述第一加密令牌是所述AC截获所述终端发起的网页访问请求后,利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成的;
[0047]处理单元,用于根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0048]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0049]进一步地,本发明实施例还提供了一种验证WLAN用户来源的系统,包括:
[0050]AC,用于截获终端发起的网页访问请求,若确定所述终端尚未认证,则利用预先配置的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第一加密令牌,并将所述第一加密令牌以及门户服务器的网址信息发送给所述终端;
[0051]终端,用于接收AC发送的第一加密令牌以及门户服务器的网址信息,并根据所述网址信息向对应的门户服务器发送携带有用户认证信息、所述终端的终端信息、所述终端所关联的AP的信息、所述AC的信息以及所述第一加密令牌的认证请求;
[0052]门户服务器,用于接收终端发送的携带有用户认证信息、所述终端的终端信息、所述终端所关联的接入点AP的信息、接入控制器AC的信息以及第一加密令牌的认证请求;根据预先配置的第二共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息生成第二加密令牌,并通过判断所述第二加密令牌是否与所述第一加密令牌相一致来确定所述终端是否为合法终端;
[0053]其中,所述第一共享密钥与所述第二共享密钥为同一共享密钥。
[0054]本发明有益效果如下:
[0055]本发明实施例提供了一种验证WLAN用户来源的方法、设备及系统,AC在终端重定向时可利用预设的第一共享密钥、所述终端的终端信息、所述终端所关联的AP的信息以及自身信息生成第一加密令牌并将重定向URL和所述第一加密令牌告知所述终端,指示所述终端向对应的Portal提交携带有所述第一加密令牌、所述终端的终端信息、所述终端所关联的AP的信息以及所述AC的信息的认证请求,以便Portal根据预设的与所述第一共享密钥相同的第二共享密钥以及所述终端的终端信息、所述终端所关联的A