[0050] 为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都应当属于本申请保护的范围。
[0051] 实施例一:
[0052] 图1是本发明实施例一种无线认证方法的流程图,参见图1,该无线认证方法包括步骤:
[0053] S1:预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系;
[0054] S2:当客户端(STA)接入服务集标识(SSID),并以所述服务集标识(SSID)对应的域进行接入认证时,无线终端(AP/NAS)通过文档协议认证报文(Radius Access Request报文)(Radius Access Request报文)指明所在域,再由文档协议服务器(Radius服务器)补全客户端(STA/SU)输入的用户名的域名信息后提交给目录协议服务器(LDAP服务器)进行接入认证。
[0055] 本发明的有益效果是:本发明由于预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系,故而本方法可以使用原有目录协议服务器(LDAP服务器)对用户进行授权和管理,无须舍弃现有的目录协议服务器(LDAP服务器)而另行重新的管理体系,减少资源浪费,并减少改进所需的成本;更重要的,本方法中用户无须在客户端(STA)完全的输入所有的账号信息,仅需输入部分,而由文档协议服务器(Radius服务器)补全用户名的域名信息,即根据服务集标识(SSID)与域的关联关系,并通过无线终端(AP/NAS)和文档协议服务器(Radius服务器)的配合自动完成了用户域的识别和添加,从而减少了用户输入量,快速完成账号信息的输入,提高了用户使用体验。
[0056] 本发明所涉及的域主要指的是LDAP服务器所对应的域名,LDAP服务器可以对应一个或多个域名,本发明建立的是其中某一个选定的域名和服务集标识的关联关系。
[0057] 本发明所涉及的无线终端主要指的是AP(WirelessAccessPoint),即无线访问接入点,当然也可以是网络访问服务器NAS。
[0058] 本发明所涉及的客户端,指的是无线局域网的最基本组成单元STA,主要包括终端用户设备、无线网络接口和网络软件三部分。
[0059] 本发明所涉及的服务集标识指的是SSID(Service Set Identifier的缩写),SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。
[0060] 本发明所涉及的LDAP指的是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,文档协议服务器(LDAP服务器)是基于该协议建立的服务器。
[0061] 本发明所涉及的Radius是一种用于在需要认证其链接的网络访问服务器NAS和共享认证服务器之间进行认证、授权和记帐信息的文档协议;文档协议服务器(Radius服务器)是基于该文档协议的服务器。
[0062] 图2是本实施例优选的无线认证方法的流程图,参考图1和图2可知:
[0063] 本实施例优选的,步骤S1包括:
[0064] S1-1:预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系[0065] S1-2:将服务集标识(SSID)设置为第二无线安全接入认证(WPA2企业级认证),支持文档协议认证(Radius认证),并与第三方用户数据源(LDAP用户数据源)关联;
[0066] 步骤S2包括:
[0067] S2-1:将客户端(STA)与服务集标识(SSID)进行关联;
[0068] S2-2:当客户端(STA)检测到输入用户名和用户密码,并以用户名和用户密码关联的服务集标识(SSID)对应的域进行接入认证时,无线终端(AP/NAS)将服务集标识(SSID)、用户名和用户密码封装到文档协议认证报文(Radius Access Request报文)中,并将所述文档协议认证报文(Radius Access Request报文)发送到文档协议服务器(Radius服务器);
[0069] S2-3:文档协议服务器(Radius服务器)根据服务集标识(SSID)、用户名和用户密码补全用户名的域名信息,并提交给目录协议服务器(LDAP服务器)进行接入认证。本方案中,服务集标识(SSID)与目录协议服务器(LDAP服务器)的关联、同时与客户端(STA)进行关联,如此通过该服务集标识(SSID)能够关联和使用存储在目录协议服务器(LDAP服务器)中的用户数据,而通过客户端(STA)输入用户名和用户密码则能够通过服务集标识(SSID)关联到用户数据,进而能够帮助文档协议服务器(Radius服务器)进行域名信息的补全,从而使得用户可以仅仅进行部分账号信息的输入,而达到无线认证的目的,避免了繁琐的域名信息输入占用用户的时间,影响用户的使用体验。
[0070] 其中,该文档协议认证(Radius认证)协议指的是802.1X文档协议认证(Radius认证)协议。
[0071] 具体的,建立服务集标识(SSID)和目录协议服务器(LDAP服务器)之间的关联,实际上是建立无线终端(AP/NAS)的服务集标识(SSID)SSID和LDAP server认证域之间的关联关系,比如,SSID_name与name.com域关联;该关联关系的设置可以通过AC设置页面完成,该AC指的是接入控制器(Access Controller或Wireless Access Point Controller),即无线控制器,是一种网络设备,负责管理某个区域内无线网络中的无线终端(AP/NAS)。
[0072] 另外,例如带域名信息的用户名为user@name.com,则其中user是用户名,name.com是其所在的域;用户只需输入user即可,极大的减少了用户的输入工作量,给用户以便利。
[0073] 本实施例优选的,步骤S2-3包括:
[0074] 文档协议服务器(Radius服务器)解析文档协议认证报文(Radius Access Request报文),并根据解析结果拼装形成带域名信息的用户名;
[0075] 目录协议服务器(LDAP服务器)收到用户查询请求报文后,对用户进行查找,若查询成功,则向文档协议服务器(Radius服务器)发送查询成功的回应报文;
[0076] 文档协议服务器(Radius服务器)根据回应报文,向目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),获得验证密码加密字(NT_Password加密字),然后将验证密码加密字(NT_Password加密字)与从客户端(STA)得到的用户密码对应的加密字进行比对,以判断是否接入认证成功。本方案中,用户名和用户密码先后进行验证,先进行用户名的查询验证,若查询得到方才进行后续步骤,避免无用的用户名占用系统资源;若用户名查询存在,再基于用户名进行密码验证,以确保无线认证的安全性。
[0077] 其中,该用户查询请求报文指的是用户查询请求报文(User DN Search Request)。
[0078] 本实施例优选的,文档协议服务器(Radius服务器)根据回应报文,向目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),获得验证密码加密字(NT_Password加密字),然后将验证密码加密字(NT_Password加密字)同客户端(STA)得到的用户密码对应的加密字进行比对,以判断是否接入认证成功的步骤包括:
[0079] 文档协议服务器(Radius服务器)接收到回应报文后,向目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),并获取返回的对应用户密码经摘要算法(MD5)计算后的验证密码加密字(NT_Password加密字);
[0080] 文档协议服务器(Radius服务器)将验证密码加密字(NT_Password加密字)封装在访问认证报文(Access Challenge报文)字段里,然后发送给无线终端(AP/NAS);
[0081] 无线终端(AP/NAS)收到文档协议服务器(Radius服务器)发送的访问认证报文(Access Challenge报文)后,发送摘要算法认证请求消息(EAP-Request/MD5-Challenge)给客户端(STA),要求客户端(STA)认证;
[0082] 客户端(STA)收到摘要算法认证请求消息(EAP-Request/MD5-Challenge)后,根据客户端(STA)输入的用户密码做摘要算法(MD5)运算后,将用户密码加密字通过摘要算法认证响应消息(EAP-Response/MD5-Challenge)响应给无线终端(AP/NAS);
[0083] 无线终端(AP/NAS)将客户端(STA)上报的用户密码加密字上报给文档协议服务器(Radius服务器);
[0084] 文档协议服务器(Radius服务器)将客户端(STA)上报的用户密码加密字和从目录协议服务器(LDAP服务器)获得的验证密码加密字(NT_Password加密字)进行比对,以判断是否接入认证成功。本方案中,具体介绍了用户名验证和用户密码验证的过程,通过多次反复验证保证无线认证的安全性。
[0085] 本实施例优选的,文档协议服务器(Radius服务器)根据所述带域名信息的用户名向目录协议服务器(LDAP服务器)发送用户查询请求报文的步骤包括:
[0086] 文档协议服务器(Radius服务器)将所述带域名信息的用户名封装到用户查询请求报文中,并将用户查询请求报文发送到所在域内的目录协议服务器(LDAP服务器)。目录协议服务器(LDAP服务器)未必只有一个,若存在多个时,可以根据预先设置将其发送到对应的目录协议服务器(LDAP服务器),而无须进行广播式的遍寻,提高了无线认证系统的认证效率。
[0087] 本实施例优选的,目录协议服务器(LDAP服务器)收到用户查询请求报文后,对用户进行查找,若查询成功,则向Radius发送查询成功的回应报文的步骤包括:
[0088] 根据用户查询请求报文中的查询,对用户进行查找。在用户请求报文中加入查询起始地址、查询范围、以及过滤条件等信息,可以缩小查询范围,进行效率查询。
[0089] 本实施例优选的,若用户查询请求报文的结果为查询失败,则LDAP向文档协议服务器(Radius服务器)发送查询失败的回应报文,则结束以服务集标识(SSID)进行的接入认证步骤,接入认证失败。无线认证过程包括查询过程,若查询失败,则结束接入认证过程,避免占用系统资源。
[0090] 本实施例优选的,若客户端(STA)上报的用户密码加密字和从目录协议服务器(LDAP服务器)获得的验证密码加密字(NT_Password加密字)的比对结果为不一致,即用户密码认证失败,则结束以所述服务集标识(SSID)进行的接入认证步骤,接入认证失败。无线认证过程包括密码验证,若密码验证失败,则结束接入认证过程,避免占用系统资源。
[0091] 本实施例优选的,步骤S2-2中,
[0092] 根据第二无线安全接入认证和文档协议认证(WAP2企业级认证和Radius认证),客户端(STA)弹出预设对话框;
[0093] 预设对话框用于检测用户名和用户密码的输入。客户端(STA)弹出预设对话框,且该预设对话框只需用户进行用户名和用户密码的输入,该用户名指的是不带域名信息的用户名,且无需用户自行选择补全域名信息,而由文档协议服务器(Radius服务器)自行补全,这使得用户可以进行快速的账号信息输入,提高用户体验。
[0094] 本实施例优选的,文档协议认证报文(Radius Access Request报文)包括标识字段(NAS_ID),标识字段(NAS_ID)包括服务集标识信息(SSID信息)。文档协议认证报文(Radius Access Request报文)加入服务集标识信息(SSID信息),方便文档协议服务器(Radius服务器)进行域名信息补全。
[0095] 实施例二:
[0096] 图3是本发明实施例二一种无线认证系统,该系统使用本发明任一公开的认证方法,该系统包括:
[0097] 客户端(STA)10,用于接入服务集标识(SSID)和输入用户名;
[0098] 无线终端(AP/NAS)20,用于发出服务集标识(SSID),以及在预设条件下,向文档协议服务器(Radius服务器)发送文档协议认证报文(Radius Access Request报文),以指明客户端(STA/SU)输入的用户名的所在域;
[0099] 文档协议服务器(Radius服务器)30,用于根据无线终端(AP/NAS)发送来的文档协议认证报文(Radius Access Request报文)和客户端(STA/SU)输入的用户名,补全用户名的域名信息并提交给目录协议服务器(LDAP服务器)进行接入认证;
[0100] 目录协议服务器(LDAP服务器)40,用于执行以服务集标识(SSID)对应的域进行的接入认证;
[0101] 关联模块50,用于预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系。
[0102] 该域指的是对应于该目录协议服务器(LDAP服务器)40的一个域名。
[0103] 其中,该关联模块可以集成在无线终端(AP/NAS)或者目录协议服务器(LDAP服务器)处,也可以单独设置。
[0104] 以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。