申请/专利权人：华讯高科股份有限公司

申请日：2016-11-28

公开（公告）日：2021-01-19

公开（公告）号：CN106412904B

主分类号：H04W12/06(20090101)

分类号：H04W12/06(20090101);H04W12/12(20090101);H04L29/12(20060101)

优先权：

专利状态码：有效-授权

法律状态：2021.01.19#授权;2017.09.26#著录事项变更;2017.05.24#实质审查的生效;2017.02.15#公开

摘要：本发明涉及无线通信技术领域，具体为一种防假冒用户认证权限的方法，包括如下步骤：1WIFI设备接入终端设备；2WIFI设备生成与步骤1中所述终端设备相对应的防假冒标识；3WIFI设备将所述终端设备的认证信息同步骤2中生成的所述防假冒标识一起送至认证服务器并与所述认证服务器存储的终端设备的认证信息和防假冒标识进行匹配，若匹配成功，则不用认证直接允许访问网络；若匹配不成功，则需要进行认证，快速便捷、安全性更高。

主权项：1.一种防假冒用户认证权限的方法，其特征在于：包括如下步骤：1WIFI设备接入终端设备；2WIFI设备生成与步骤1中所述终端设备相对应的防假冒标识；3WIFI设备将所述终端设备的认证信息同步骤2中生成的所述防假冒标识一起送至认证服务器并与所述认证服务器存储的终端设备的认证信息和防假冒标识进行匹配，若匹配成功，则不用认证直接允许访问网络；若匹配不成功，则需要进行认证，认证过程包括：若认证服务器认证成功，则允许所述终端设备访问网络，且将所述终端设备的认证信息与所述防假冒标识进行绑定以用于当所述终端设备重新接入网络后匹配并判断是否直接允许所述终端设备访问网络而不用进行认证；若认证服务器认证不成功，则不允许所述终端设备访问网络；步骤2中的所述防假冒标识通过如下方法生成：2-1.所述终端设备向WIFI设备发送DHCP请求报文；2-2.WIFI设备利用所述DHCP请求报文的字段信息进行算数运算得到结果数值并将所述结果数值作为防假冒标识；所述字段信息为option字段。

全文数据：一种防假冒用户认证权限的方法及系统技术领域[0001] 本发明涉及无线通信技术领域，具体为一种防假冒用户认证权限的方法及系统。背景技术[0002] 随着互联网和无线网络的发展，越来越多的人使用无线WIFI设备接入网络，在一些公共场所，如:机场、火车站、商场等，都能看到免费商业WIFI设备接入的身影。这些公共的商业WIFI设备基本上都是采用无线开放式接入，再加页面认证的方式提供，用户接入无线网络并不需要密码，可以直接接入，接入之后访问页面会弹出认证页面，只要用户按要求认证即可访问网络，当通过认证的用户，在不同的商业WIFI设备之间发生漫游的时候，并不需要进行重新认证，系统会根据用户的MAC或IP地址查询用户是否已认证，如果为已认证用户，则不需要再次认证，由于无线接入采用的都是非加密的方式，用户的MAC和IP地址是很容易泄露的，非法用户得到合法用户的MAC或IP地址之后，可以通过伪造MAC或IP的方式，通过无感知漫游认证的漏洞，以伪造的身份接入并访问网络，从而造成巨大的安全隐患。该已有的方案是通过截获用户的MAC、IP和DHCP指纹信息上报认证服务器，并进行绑定使用，启动DHCP指纹包括生产厂商、设备类型、操作系统信息，当一个已认证的MAC和IP的用户重新接入系统时，需要同时查询DHCP指纹信息是否匹配，否则将禁止新接入用户使用网络，但是存在的一下的缺点:一，并不是所有终端的DHCP报文中都会携带生产厂商、设备类型、操作系统，有的可能携带部分，有的可能什么都不携带;二，生产厂商、设备类型、操作系统并不是以直观的方式携带在DHCP报文中，往往需要去查询数据库的经验数据才能得出，比如:通过查询opt1n55的经验数据来判断终端的类型、生产厂家等信息，并且由于是经验数据，查询出来的结果也不是百分百准确，所以不管在便捷性上或者安全性上都存在很大的不足。[0003] 由此，很多公司也尝试采用其他的方案，如公开号为CN102480729B的专利公开的一种无线接入网中防止假冒用户的方法及接入点。该方法包括:建立一个或多个虚拟接入点，其中，虚拟接入点具有与其相对应的基本服务集标识BSSID;根据终端的MAC地址将终端连接到一个虚拟接入点，并对终端进行认证;对于通过认证的合法终端，将合法终端的IP地址和或MAC地址与合法终端连接的虚拟接入点的BSSID进行绑定，确定合法终端与虚拟接入点的绑定关系;根据绑定关系转发合法终端发送的数据帧，丢弃假冒终端发送的数据帧。借助于本发明的技术方案，能够实现在802.11无线接入网中防止假冒用户的目的，该方案安全性有一定提高，但是稳定性不高，便捷性不够好，数据容易出错。又如公开号为CN101179583B的专利公开了一种防止用户假冒上网的方法:交换设备接收来自用户设备的认证消息，所述认证消息中包括用户地址信息；所述交换设备根据所述认证消息对所述用户设备认证成功后，将所述用户地址信息与端口进行动态绑定，获得绑定关系;所述交换设备根据所述绑定关系对用户设备进行准入控制。本发明公开了一种防止用户假冒上网的设备。本发明防止用户使用假冒的IPMAC欺骗上网，减少部署和维护的工作量，该方案同一存在这一的问题，这种动态绑定关系稳定性不高，便捷性不够好，数据容易出错。发明内容[0004] 本发明的目的是提供一种快速便捷、安全性更高的防假冒用户认证权限的方法及系统。[0005] 本发明的上述技术目的是通过以下技术方案得以实现的:一种防假冒用户认证权限的方法，包括如下步骤:1 WIFI设备接入终端设备；2 WIFI设备生成与步骤I中所述终端设备相对应的防假冒标识；3 WIFI设备将所述终端设备的认证信息同步骤2中生成的所述防假冒标识一起送至认证服务器并与所述认证服务器存储的终端设备的认证信息和防假冒标识进行匹配，若匹配成功，则不用认证直接允许访问网络;若匹配不成功，则需要进行认证，认证过程包括:若认证服务器认证成功，则允许所述终端设备访问网络，且将所述终端设备的认证信息与所述防假冒标识进行绑定以用于当所述终端设备重新接入网络后匹配并判断是否直接允许所述终端设备访问网络而不用进行认证；若认证服务器认证不成功，则不允许所述终端设备访问网络。[0006]作为对本发明的优选，步骤2中的所述防假冒标识通过如下方法生成:2-1.所述终端设备向WIFI设备发送DHCP请求报文；2-2.WIFI设备利用所述DHCP请求报文的字段信息进行算数运算得到结果数值并将所述结果数值作为防假冒标识。[0007]作为对本发明的优选，所述字段信息为opt1n字段。[0008] 作为对本发明的优选，所述终端设备的认证信息包括MAC地址。[0009] 作为对本发明的优选，所述终端设备的认证信息包括IP地址。[0010] 本发明还公开了一种防假冒用户认证权限的系统，包括认证服务器、WIFI设备和终端设备，所述终端设备包括终端通信模块、终端信息发送模块，其中，所述终端通信模块用于接入WIFI设备；所述终端信息发送模块用于终端设备向WIFI设备发送信息，WIFI设备包括终端设备信息接收模块、防假冒标识生成模块、WIFI设备信息发送模块，其中，所述终端设备信息接收模块用于接收终端设备的信息；所述防假冒标识生成模块用于生成与终端设备相对应的防假冒标识；所述WIFI设备信息发送模块用于向认证服务器发送终端设备的信息和防假冒标识，认证服务器包括认证模块、绑定模块、匹配模块，其中，所述认证模块用于对终端设备信息中的认证信息进行认证；所述绑定模块用于对所述认证信息认证成功后将所述认证信息与所述防假冒标识绑定；所述匹配模块用于终端设备重新接入网络后重新匹配并判断是否直接允许所述终端设备访问网络而不用进行再次认证。[0011]作为对本发明的优选，认证服务器还包括数据存储模块，所述数据存储模块用于存储终端设备的信息和防假冒标识。[0012]作为对本发明的优选，所述终端设备向WIFI设备的发送信息中包括终端设备的DHCP请求报文、MAC地址和或IP地址。[0013]作为对本发明的优选，所述防假冒标识生成模块包括DHCP请求报文opt1n字段获取子模块、算数运算子模块，其中，所述DHCP请求报文opt1n字段获取子模块用于获取DHCP请求报文opt1n字段的十六进制值；所述算数运算子模块用于将DHCP请求报文opt1n字段的十六进制值进行算数运算得到结果数值并将所述结果数值作为防假冒标识。[00M]作为对本发明的优选，所述认证模块采用的认证方式为portal认证。[0015] 本发明同样是利用了不同的终端设备发送的信息是不一样的这一特点，来实现终端的防假冒认证，本方案并不关心终端设备发送的信息的具体的内容，比如:生产厂商、设备类型、操作系统信息等，而是采用纯数学的方法，解决了现有技术存在的缺陷。附图说明[0016]图1是本发明实施例1的流程图；图2是本发明实施例1的其中一个案例的示意图；图3是本发明实施例2的系统模块图。具体实施方式[0017]以下具体实施例仅仅是对本发明的解释，其并不是对本发明的限制，本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改，但只要在本发明的权利要求范围内都受到专利法的保护。[0018] 实施例1一种防假冒用户认证权限的方法，包括如下步骤:1 WIFI设备接入终端设备；2 WIFI设备生成与步骤I中所述终端设备相对应的防假冒标识；3 WIFI设备将所述终端设备的认证信息同步骤2中生成的所述防假冒标识一起送至认证服务器并与所述认证服务器存储的终端设备的认证信息和防假冒标识进行匹配，若匹配成功，则不用认证直接允许访问网络;若匹配不成功，则需要进行认证，认证过程包括:若认证服务器认证成功，则允许所述终端设备访问网络，且将所述终端设备的认证信息与所述防假冒标识进行绑定以用于当所述终端设备重新接入网络后匹配并判断是否直接允许所述终端设备访问网络而不用进行认证；若认证服务器认证不成功，则不允许所述终端设备访问网络。[0019]上述所称的终端设备也即用户端终端设备或者简称用户，上述方法实施的环境是在无线网络中，用户能够在不同的WIFI设备之间发生漫游，上述步骤I中WIFI设备接入终端设备如果是终端设备第一次接入该网络或者是在该网络未认证成功过包括终端设备需要重新进行认证的情况的，则WIFI设备根据接入终端上报的信息生成相对应的防假冒标识，然后，将该防假冒标识信息同所述终端设备的认证信息一起发送至认证服务器进行认证，当然，认证服务器优先设置存储单元用于存储各个防假冒标识信息和各个终端设备的认证信息，接着，通过选用比较优化的认证方式进行认证，因为与所述认证服务器存储的绑定着的终端设备的认证信息和防假冒标识进行匹配肯定是不会成功的，也即匹配不成功，所以肯定是会进行认证的，当第一次接入该网络或者是在该网络未认证成功过的情况，比如，采用通过用户名、密码进行portal认证的方式等，portal认证需要用户通过输入用户名、密码来进行操作，比较简单易行，如果认证成功，则允许所述终端设备访问网络，且将所述终端设备的认证信息与所述防假冒标识进行绑定，该绑定是用于当所述终端设备重新接入网络后匹配并判断是否直接允许所述终端设备访问网络而不用进行再次认证，也就是说:当认证成功后的该所述终端设备重新接入网络后，并接入至相同或者不同的WIFI设备后，该重新接入的WIFI设备会重新生成一个该终端设备的防假冒标识，同样发送将至所述终端设备的认证信息与新的防假冒标识发送至认证服务器，认证服务器将原来存储的绑定着的终端设备的认证信息和防假冒标识与当前接入的终端设备的认证信息和新的防假冒标识进行同时匹配，上述方案的匹配也就是前述两者之间的匹配，如果两者完全一致，则用户可以直接上网而不用认证，如果两者不完全一致，则用户需要进行重新认证，现有的技术中，终端设备的认证信息是相对容易被盗用的，而本申请中增加了防假冒标识，两者同时的匹配判定，则可以非常有效地防止假冒用户认证的成功了，也即，如果是假冒的用户，也可以说是不合法的用户，即便他盗用了终端设备的认证信息，由于防假冒标识的唯一性，不同终端形成的防假冒标识不同，则认证服务器就很好判断是不匹配的情况，则要求其进行认证，认证不通过就不会允许其访问网络，只有原来合法用户进行认证匹配的终端设备才能访问网络，实现上网；那么，如果若认证服务器认证不成功，则直接不允许所述终端设备访问网络的意义在于，即便是合法的用户由于输入信息的错误或者本身存在的问题等，也有可能认证不成功，当然，有些可识别的非法用户是直接进行认证不成功的动作，认证不成功的话则跟以往一样，不允许其访问网络，这时，已经生成的防假冒标识和终端设备的认证信息也是可以进行存储保留作为原始数据来作为他用，也可以定时进行清理这些没通过认证的相应终端设备的防假冒标识和终端设备的认证信息，另外，认证服务器可以主动或者被动要求终端设备重新进行认证。[0020]上述方案阐述的主要是当终端设备第一次接入该无线网络的WIFI设备或者是未认证成功过包括终端设备需要重新进行认证的情况时需要进行的防假冒用户认证权限的方案最重要的部分，下面再讲述一下终端设备二次、三次等后续进行接入网络时候的方法后续过程，也可以说是重新接入无线网络，此时，终端设备同样需要先接入到WIFI设备，这个WIFI设备可以是同一台，也可以是不同的可以漫游的WIFI设备，则重新接入后，同样的，WIFI设备生成新的与所述终端设备相对应的防假冒标识并将该终端设备当前的认证信息同新生成的当前的防假冒标识一起送至认证服务器，同样是先进行匹配工作，但先不进行认证，而是进行经过认证绑定着的该终端设备的认证信息同防假冒标识与该终端设备当前的认证信息同新生成的当前的防假冒标识之间的同时进行匹配，如果完全一致，则不用再进行认证，可直接允许其访问网络，如果不完全一致，也就是不匹配，则需要用户重新进行认证，认证成功才能允许其访问网络。一般情况下，认证成功的用户是会匹配成功无需进行认证的，但是很多二次接入的时候，如果出现异常，该方法则可以防止如其被病毒入侵后产生异常等情况下去访问网络而带来的危害。[0021] 上述整个方法的流程图如图1所示。[0022] 进一步地，步骤2中的所述防假冒标识通过如下方法生成:2-1.所述终端设备向WIFI设备发送DHCP请求报文；2-2.WIFI设备利用所述DHCP请求报文的字段信息进行算数运算得到结果数值并将所述结果数值作为防假冒标识。[0023] 所述字段信息为opt1n字段。可以利用DHCP的opt1n字段的十六进制值做“与”的算数运算，从而得到一个结果数值作为防假冒标识；或者可以利用DHCP的opt1n字段的十六进制值做“或”的算数运算，从而得到一个结果数值作为防假冒标识，或者可以利用DHCP的opt1n字段的十六进制值做“异或”的算数运算，从而得到一个结果数值作为防假冒标识，上述为采用单一运算的方法将单个值作为防假冒标识，更进一步，“与”的算数运算、“或”的算数运算、“异或”的算数运算三个运算的值两两结合着作为防假冒标识，或者三者结合作为防假冒标识。[0024]当然也可以采用其他的数学的运算得到数值单个或者多个组合地作为防假冒标识。[0025] 另外，所述终端设备的认证信息包括MAC地址。[0026] 更进一步，所述终端设备的认证信息包括IP地址。[0027] 这样，通过MAC地址和IP地址的信息，则用户接入WIFI设备，WIFI设备获取用户的MAC、IP和DHCP请求信息，然后WIFI设备利用DHCP的opt1n字段通过运算得到防假冒标识，防假冒标识的运算法则可以有多种实现方法，如上述所述的方法，当WIFI设备生成防假冒标识之后，将获取的MAC、IP和防假冒标识一起送到认证服务器做数据存储，当然首先会进行匹配，若匹配不成功，说明是需要认证的，则进行相关认证，认证成功之后，服务器将用户的MAC、IP和防假冒标识数据进行绑定，当用户重新接入网络时，认证服务器会重新再次去匹配其MAC、IP和防假冒标识，如果三者不完全一致，则用户需要进行重新认证，如果完全一致，则用户可以直接上网而不用进行认证。[0028] 下面介绍一种案例，如图2所示，合法用户STAl在WIFIl上通过用户名、密码portal认证成功访问网络，STAl在认证服务器上绑定的MAC地址00:00:11:11:22:22、IP地址192.168.1.20、防假冒标识？1。3了41通过漫游接入了¥正12，由于¥正12上报3了六1的嫩:、1?和防假冒标识与认证服务器保存的一致，并且STAl已经通过了认证，此时STAl接入WIFI2之后不需要再输入用户名、密码认证即可直接上网。[0029] 非法用户STA2想通过模拟合法用户STAl的MAC和IP地址的方式接入WIFI2欺骗上网，WIFI2截获STA2的MAC地址00:00:11:11:22:22、IP地址192.168.1.20、防假冒标识F2，然后上报认证服务器，服务器判断出STA2的防假冒标识F2与已认证的MAC和IP地址不相匹配，禁止STA2上网，并要求其进行portal认证。[0030] 本发明同样是利用了不同的终端设备发送的信息存在不一样的这一特点，来实现终端设备的防假冒认证。但是本方案并不关心信息具体的内容，比如:生产厂商、设备类型、操作系统信息等，而是采用纯数学的方法，从而避免了现有技术中存在问题带来的缺陷，这样既保证了已认证合法用户漫游认证的快速便捷，也保证了用户上网权限的安全性。[0031] 实施例2一种防假冒用户认证权限的系统，包括认证服务器、WIFI设备和终端设备，所述终端设备包括终端通信模块、终端信息发送模块，其中，所述终端通信模块用于接入WIFI设备；所述终端信息发送模块用于终端设备向WIFI设备发送信息，WIFI设备包括终端设备信息接收模块、防假冒标识生成模块、WIFI设备信息发送模块，其中，所述终端设备信息接收模块用于接收终端设备的信息；所述防假冒标识生成模块用于生成与终端设备相对应的防假冒标识；所述WIFI设备信息发送模块用于向认证服务器发送终端设备的信息和防假冒标识，认证服务器包括认证模块、绑定模块、匹配模块，其中，所述认证模块用于对终端设备信息中的认证信息进行认证；所述绑定模块用于对所述认证信息认证成功后将所述认证信息与所述防假冒标识绑定；所述匹配模块用于终端设备重新接入网络后重新匹配并判断是否直接允许所述终端设备访问网络而不用进行再次认证。[0032]上述系统可以供实施例1中的方法进行使用，系统模块图如图3所示，有效防止假冒用户认证权限。[0033] 进一步地，所述认证服务器还包括数据存储模块，所述数据存储模块用于存储终端设备的信息和防假冒标识。[0034] 进一步地，所述终端设备向WIFI设备的发送信息中包括终端设备的DHCP请求报文、MAC地址和或IP地址。[0035] 进一步地，所述防假冒标识生成模块包括DHCP请求报文opt1n字段获取子模块、算数运算子模块，其中，所述DHCP请求报文opt1n字段获取子模块用于获取DHCP请求报文opt1n字段的十六进制值；所述算数运算子模块用于将DHCP请求报文opt1n字段的十六进制值进行算数运算得到结果数值并将所述结果数值作为防假冒标识。算数运算子模块进一步包括“与”运算模块或者“或”运算模块或者“异或”运算模块来进行算数运算并得到结果数值来作为防假冒标识，也可以两两结合将两个值作为防假冒标识。[0036] 进一步地，所述认证模块采用的认证方式为portal认证。portal认证方式具有:不需要安装认证客户端，减少客户端的维护工作量;便于运营，可以在portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。目前在公共场合也有很多的WIFI热点.WIFI本身不加密，但是当用户访问网络的时候，会要求用户输入用户名和密码.认证成功后就可以上网了。[0037] 上述系统可以有效进行防假冒用户认证权限，通过方法的选择，以防止伪造的身份接入并访问网络从而造成巨大的安全隐患，提高整个网络的安全性，可操作性更好，也更加便捷快速，对于数据的传输和处理会更加合理。[0038] 本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

权利要求：1.一种防假冒用户认证权限的方法，其特征在于:包括如下步骤:1 WIFI设备接入终端设备；2 WIFI设备生成与步骤I中所述终端设备相对应的防假冒标识；3 WIFI设备将所述终端设备的认证信息同步骤2中生成的所述防假冒标识一起送至认证服务器并与所述认证服务器存储的终端设备的认证信息和防假冒标识进行匹配，若匹配成功，则不用认证直接允许访问网络;若匹配不成功，则需要进行认证，认证过程包括:若认证服务器认证成功，则允许所述终端设备访问网络，且将所述终端设备的认证信息与所述防假冒标识进行绑定以用于当所述终端设备重新接入网络后匹配并判断是否直接允许所述终端设备访问网络而不用进行认证；若认证服务器认证不成功，则不允许所述终端设备访问网络。2.根据权利要求1所述的一种防假冒用户认证权限的方法，其特征在于:步骤2中的所述防假冒标识通过如下方法生成:2-1.所述终端设备向WIFI设备发送DHCP请求报文；2-2.WIFI设备利用所述DHCP请求报文的字段信息进行算数运算得到结果数值并将所述结果数值作为防假冒标识。3.根据权利要求2所述的一种防假冒用户认证权限的方法，其特征在于:所述字段信息为opt1n字段。4.根据权利要求1所述的一种防假冒用户认证权限的方法，其特征在于:所述终端设备的认证信息包括MAC地址。5.根据权利要求1所述的一种防假冒用户认证权限的方法，其特征在于:所述终端设备的认证信息包括IP地址。6.—种防假冒用户认证权限的系统，其特征在于:包括认证服务器、WIFI设备和终端设备，所述终端设备包括终端通信模块、终端信息发送模块，其中，所述终端通信模块用于接入WIFI设备；所述终端信息发送模块用于终端设备向WIFI设备发送信息，WIFI设备包括终端设备信息接收模块、防假冒标识生成模块、WIFI设备信息发送模块，其中，所述终端设备信息接收模块用于接收终端设备的信息；所述防假冒标识生成模块用于生成与终端设备相对应的防假冒标识；所述WIFI设备信息发送模块用于向认证服务器发送终端设备的信息和防假冒标识，认证服务器包括认证模块、绑定模块、匹配模块，其中，所述认证模块用于对终端设备信息中的认证信息进行认证；所述绑定模块用于对所述认证信息认证成功后将所述认证信息与所述防假冒标识绑定；所述匹配模块用于终端设备重新接入网络后重新匹配并判断是否直接允许所述终端设备访问网络而不用进行再次认证。7.根据权利要求6所述的一种防假冒用户认证权限的系统，其特征在于:所述认证服务器还包括数据存储模块，所述数据存储模块用于存储终端设备的信息和防假冒标识。8.根据权利要求6所述的一种防假冒用户认证权限的系统，其特征在于:所述终端设备向WIFI设备的发送信息中包括终端设备的DHCP请求报文、MAC地址和或IP地址。9.根据权利要求8所述的一种防假冒用户认证权限的系统，其特征在于:所述防假冒标识生成模块包括DHCP请求报文opt1n字段获取子模块、算数运算子模块，其中，所述DHCP请求报文opt1n字段获取子模块用于获取DHCP请求报文opt1n字段的十六进制值；所述算数运算子模块用于将DHCP请求报文opt1n字段的十六进制值进行算数运算得到结果数值并将所述结果数值作为防假冒标识。10.根据权利要求6所述的一种防假冒用户认证权限的系统，其特征在于:所述认证模块采用的认证方式为portal认证。

百度查询： 华讯高科股份有限公司 一种防假冒用户认证权限的方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD