CN112202799B - 一种实现用户和/或终端与ssid绑定的认证系统及方法 - Google Patents

Abstract

本发明公开了一种实现用户和/或终端与SSID绑定的认证系统及方法，在RADIUS模块以及认证接入控制模块中实现用户和/或终端与SSID绑定，无需改变原有用户凭证数据库的结构，在对接多种用户凭证数据库的应用场景可以减少实施的难度和成本，便于多个SSID精细化权限控制的管理；通过用户和/或终端与SSID的绑定关系验证，在保护无线安全的同时，可达到使用较少的RADIUS服务器和用户凭证数据库实现精细化的SSID接入控制，降低了成本，易于操作。

Description

一种实现用户和/或终端与SSID绑定的认证系统及方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于802.1x的用户和/或终端与SSID进行绑定连接的系统及方法。

背景技术

企业中的无线局域网具有无线连接以及连接用户多等特性，为了保护企业无线局域网被暴力破解和非授权的连接，企业部署服务设置标志符(Service Set Identifier,SSID)时常设置安全性为WPA(Wi-Fi Protected Access)或者WPA2(Wi-Fi ProtectedAccess II)企业模式。WPA企业模式要求对每个接入的终端进行接入认证，典型的认证是802.1x认证方式，认证的信息包括接入的SSID信息、用户输入的认证凭据、终端的媒体接入控制地址(Media Access Control Address,MAC地址)。WPA\WPA2的802.1x认证由终端、无线接入点(Wirelress Access Point)、RADIUS服务器、用户凭证数据库这几个实体相互协作完成，如图1所示。终端是请求接入局域网的用户终端，它由无线接入点对其进行认证。无线接入点是局域网中控制终端接入的网络设备，位于终端与RADIUS服务器之间，为终端提供接入网络的端口(物理端口或逻辑端口)，并通过与RADIUS服务器交互对接入的终端进行认证。RADIUS(Remote Authentication Dial In User Service)服务器通过与用户凭证数据库交互对终端进行认证、授权、计费。用户凭证数据库用于保存用户验证信息，并提供用于验证用户验证信息的查询API(Application Programming Interface)或认证API。

当企业中部署了多个SSID，且期望多个SSID能访问的范围不相同，如市场部的SSID能访问市场部专有的资源，研发部的SSID能访问研发部专有的资源。要实现研发部的用户或终端只能连接研发部的SSID，市场部的用户或终端只能连接市场部的SSID，需要SSID关联不同的RADIUS服务器且各个RADIUS服务器所关联的用户凭证数据库不能相同，但普遍情况下企业的多个部门的用户验证信息都存储在同一个用户凭证数据库中，RADIUS服务器的数量也有限。

将某个用户只能连接指定SSID的过程称为”SSID与用户绑定”，将某台终端只能连接指定SSID的过程称为”SSID与终端绑定”。典型的SSID配置以及接入的总体流程如图2所示，具体包括：

1、进行RADIUS的服务器配置；2、配置无线接入点；3、用户使用终端接入SSID。

配置RADIUS服务器的流程如图3所示，具体包括：

1.1安装FreeRADIUS软件(FreeRADIUS软件是一种公开源代码的提供RADIUS服务软件)；

1.2修改FreeRADIUS的SQL模块(Structured Query Language，结构化查询语言)的配置(以用户凭证数据库为MySQL数据库为例，若为其他的用户凭证数据库如AD域(ActiveDirectory Domain)服务器或者LDAP(LightWeight Directory Access Protocol)服务器则需要修改其他模块的配置)；

1.3修改FreeRADIUS的RADIUS客户端地址范围以允许无线接入点连接并修改对应的RADIUS共享密钥；

1.4启动FreeRADIUS服务。

配置无线接入点流程如图4所示，具体包括：

2.1创建RADIUS服务模板R1，输入RADIUS服务器的IP地址以及RADIUS共享密钥；

2.2创建AAA(认证Authentication，授权Authorization，记帐Accounting)方案A1，关联认证与模板为RADIUS服务模板R1；

2.3创建SSID，并将SSID的认证方式设为开放式系统，认证方法为EAP(ExtensibleAuthentication Protocol，可扩展认证协议)，关联AAA方案为A1；

2.4开启SSID，至此接入该SSID的终端由无线接入点与RADIUS服务器进行交互对其进行认证。

用户接入SSID的流程如图5所示，具体包括：

3.1用户操作终端即认证客户端选择需要连接的SSID；

3.2终端与无线接入点进行SSID关联，对应图5的(1)、(2)；

3.3无线接入点向终端发送EAP认证请求，对应图5的(3)、(4)；

3.4终端返回匿名身份用户名给无线接入点，对应图5的(5)；

3.5无线接入点将匿名身份用户名进行EAPoR(EAP over RADIUS)封装至RADIUS报文并发送给RADIUS服务器，对应图5的(6)；

3.6终端通过无线接入点与RADIUS服务器进行EAP类型协商并建立TLS(TransportLayer Security)隧道，协商的结果为EAP-TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security Authenticated Protocol)，内层认证方法使用PAP(Password authentication protocol)，对应图5的(7)至(16)；

3.7终端请求用户输入用户名及密码；

3.8用户输入用户名及密码；

3.9终端将用户输入的用户名及密码进行EAP-TTLS/PAP封装，发送给无线接入点。PAP报文包含用户名和密码加密封装在EAP-TTLS建立的TLS隧道中。对应图5的(17)；

3.10无线接入点将收到的EAP-TTLS报文进行EAPoR(EAP over RADIUS)封装，发送给RADIUS服务器，对应图5的(18)；

3.11RADIUS服务器收到RADIUS报文，对报文进行EAPoR(EAP over RADIUS)解封装，取得EAP-TTLS报文，并对取得的EAP-TTLS报文进行TLS解密，解密得到包含用户名密码的PAP报文，对PAP报文进行解封装获取用户名及密码并将用户名及密码作为认证API(application programming interface)的参数，调用用户凭证数据库的认证API，对应图5的(19)；

3.12用户凭证数据库收到认证请求，验证用户名及密码相匹配，返回认证成功给RADIUS服务器，对应图5的(20)；

3.13RADIUS服务器收到用户凭证数据库的认证成功结果，生成EAP-Success并进行EAPoR封装，并返回RADIUS认证成功报文给无线接入点，对应图5的(21)；

3.14无线接入点收到RADIUS服务器返回的RADIUS认证成功报文，对报文进行EAPoR解封装，取到EAP认证成功报文，将EAP认证成功报文发送给终端，对应图5的(22)；

3.15终端收到EAP认证成功报文，与无线接入点进行EAP-KEY4路握手，握手完成终端接入网络，对应图5的(23)；

3.16用户通过终端使用无线接入点提供的网络资源。

配置多个SSID并接入的流程，只需要重复“无线接入点配置”以及“用户接入SSID”即可。通过以上流程可知，多个SSID需要进行精细化的接入权限细分，“SSID与用户绑定”以及“SSID与终端绑定”可以在以下几个环节做控制：

一是认证客户端关联SSID的环节；二是无线接入点对认证客户端进行EAP认证的环节；三是RADIUS服务器与无线接入点进行RADIUS认证的环节；四是用户凭证数据库验证用户的环节。但是在以上环节进行用户和/或终端与SSID的绑定存在以下弊端：

1、终端的操作系统类型繁多，操作系统的客户端不支持“SSID与用户绑定”，即使操作系统支持，仍需要对用户的终端进行设置，防护及时性降低，操作维护成本高。

2、在无线接入点上做控制，“SSID与用户绑定”、“SSID与终端绑定”这两种场景要求不同厂商的无线接入点都支持，且不同厂商的无线接入点的配置有较大差异，对无线接入点的厂家和型号有要求。终端使用EAP-PEAP(Protected Extensible AuthenticationProtocol，受保护的可扩展认证协议)或者EAP-TTLS(Extensible AuthenticationProtocol-Tunneled Transport Layer Security Authenticated Protocol)方法进行认证时，真实的用户名是在TLS隧道内传输，无线接入点无法提取，也就无法实现“SSID与用户绑定”。

3、FreeRADIUS支持通过配置文件的方式实现“SSID与用户绑定”、“SSID与终端绑定”，但通过配置文件的方式配置，当用户数量较多或终端较多时，配置文件会变得很长，导致配置文件难以维护；增加一个“SSID与用户绑定”或“SSID与终端绑定”条目需要重启FreeRADIUS程序，才能使新增加的条目生效，反复重启FreeRADIUS程序降低了RADIUS服务的持续可用性。

4、在用户凭证数据库验证用户的环节控制，需要对用户凭证数据库的认证API进行修改，且用户的凭证数据库种类繁多，不同的用户凭证数据库差异较大，且支持定制开发的程度也不同，需要对所有的用户凭证数据库进行修改需要大量的时间；且用户数据库发生迁移或替换时需要考虑新的用户凭证数据库是否支持“SSID与用户绑定”、“SSID与终端绑定”。

发明内容

本发明的目的在于提供一种实现用户和/或终端与SSID绑定的认证系统及方法，以解决企业多个SSID精细化权限控制时不便于管理、维护成本高、以及无法实现“SSID与用户绑定”和/或“SSID与终端绑定”等问题。

本发明独立权利要求的技术方案解决了上述发明目的中的一个或多个技术问题。

本发明提供一种实现用户和/或终端与SSID绑定的认证系统，包括：终端、无线接入点、RADIUS模块、认证接入控制模块、用户凭证数据库；

所述无线接入点位于终端与RADIUS模块之间，无线接入点用于为终端提供接入网络的端口，并通过与RADIUS模块交互对接入的终端进行认证；

所述RADIUS模块，用于通过与接入认证控制模块以及用户凭证数据库交互对终端进行认证、授权、计费；

所述认证接入控制模块包括绑定数据配置单元和绑定规则验证单元；所述绑定数据配置单元，用于提供图形界面展示、编辑用户名和/或终端与SSID的绑定关系，以及生成和更新绑定数据；所述绑定规则验证单元，用于提供绑定验证接口，根据绑定规则验证绑定数据与绑定验证接口的请求参数是否匹配，并生成绑定验证结果；

所述用户凭证数据库包括存储单元和第一用户验证单元；所述存储单元用于存储用户验证信息，所述用户验证信息包括用户名和验证信息；所述第一用户验证单元提供用户验证接口，判断存储单元中的用户验证信息与用户验证接口参数中的用户验证信息是否匹配，并生成验证结果。

进一步地，所述RADIUS模块包括RADIUS报文处理单元、接入规则验证单元、第二用户验证单元；

所述RADIUS报文处理单元，用于接收无线接入点发送的RADIUS报文，从所述RADIUS报文中提取用户接入位置、终端信息以及用户验证信息，并将用户接入位置、终端信息以及用户验证信息发送给接入规则验证单元和第二用户验证单元；还用于根据接入规则验证单元返回的接入规则验证结果、第二用户验证单元返回的用户验证结果计算RADIUS认证请求结果，返回RADIUS认证请求结果给所述无线接入点；

所述接入规则验证单元，用于接收RADIUS报文处理单元发送的用户接入位置、终端信息以及用户验证信息，并将用户接入位置、终端信息以及用户验证信息作为绑定验证接口的请求参数发送给绑定规则验证单元，根据绑定规则验证单元返回的绑定验证结果生成接入规则验证结果；

所述第二用户验证单元，用于接收RADIUS报文处理单元发送的用户验证信息，并将用户验证信息作为调用参数，调用第一用户验证单元的用户验证接口，根据第一用户验证单元的验证结果生成用户验证结果。

进一步地，所述终端包括手机、平板电脑、笔记本电脑、具备WiFi功能和天线的台式电脑。

优选地，所述无线接入点包括符合IEEE802.11i-2004标准的无线接入点或无线路由器。

本发明还提供一种实现用户和/或终端与SSID绑定的认证方法，包括：

步骤1：终端与无线接入点进行SSID关联；

步骤2：无线接入点向终端发送EAP-Request/Identity认证请求；

步骤3：根据所述EAP-Request/Identity认证请求，终端弹出认证窗口请求用户输入用户名及验证信息；

步骤4：终端发送EAP-Response/Identity报文给无线接入点，所述EAP-Response/Identity报文包含用户名；

步骤5：无线接入点将EAP-Response/Identity报文、用户接入位置以及终端信息封装为RADIUS报文，并将所述RADIUS报文发送至RADIUS模块；

步骤6：终端与RADIUS模块进行EAP类型协商以及TLS(Transport LayerSecurity)隧道建立；

步骤7：终端在所述TLS隧道内传输用户名和验证信息给RADIUS模块；

步骤8：RADIUS模块从所述RADIUS报文中提取用户接入位置、终端信息以及用户验证信息，并将用户接入位置、终端信息以及用户验证信息发送给认证接入控制模块；

RADIUS模块将用户验证信息发送给用户凭证数据库；所述用户验证信息包括用户名和验证信息；

步骤9：认证接入控制模块根据用户接入位置、终端信息以及用户验证信息判断是否符合绑定规则，返回绑定验证结果；

用户凭证数据库的用户验证接口根据RADIUS模块发送的用户验证信息与用户验证接口参数中的用户验证信息是否匹配生成并返回验证结果；

步骤10：RADIUS模块根据认证接入控制模块返回的绑定验证结果计算接入规则验证结果；

若认证接入控制模块返回的绑定验证结果为符合绑定规则，则接入规则验证结果为成功；若认证接入控制模块返回的绑定验证结果为不符合绑定规则，则接入规则验证结果为失败；

RADIUS模块根据用户凭证数据库返回的验证结果生成用户验证结果；

若用户凭证数据库返回验证成功，则用户验证结果为成功；若用户凭证数据库返回验证失败，则用户验证结果为失败；

步骤11：RADIUS模块根据接入规则验证结果和用户验证结果，生成认证结果；

若接入规则验证结果为成功且用户验证结果为成功，则返回RADIUS/ACCESS-ACCEPT给无线接入点，无线接入点允许用户接入；若接入规则验证结果与用户验证结果中任意一个为失败或两者都为失败，则返回RADIUS/ACCESS-REJECT给无线接入点，无线接入点拒绝用户接入。

本发明所述认证方法，在RADIUS模块中实现认证过程增加用户与SSID绑定和/或终端与SSID绑定控制，并由认证接入控制模块实现用户与SSID绑定和/或终端与SSID绑定规则验证，无需改变原有用户凭证数据库的结构，在对接多种用户凭证数据库的应用场景可以减少实施的难度和成本，便于多个SSID精细化权限控制的管理；通过用户和/或终端与SSID的绑定关系验证，在保护无线安全的同时，可达到使用较少的RADIUS服务器和用户凭证数据库实现精细化的SSID接入控制，降低了成本，易于操作。

进一步地，所述步骤4中，用户名为真实用户名或匿名身份用户名。

进一步地，所述无线接入点将终端发送的EAP-Response/Identity报文封装在RADIUS报文的EAP-Message属性中；

所述无线接入点将用户接入位置封装在RADIUS报文的Called-Station-Id属性中，用户接入位置的封装形式为无线接入点的MAC地址:SSID；

所述无线接入点将终端信息封装在RADIUS报文的Calling-Station-Id属性中。

优选地，所述用户接入位置为无线接入点的MAC地址以及接入的SSID。

进一步地，所述EAP类型协商的结果为外层EAP类型/内层认证方法，所述外层EAP类型为EAP-PEAP或EAP-TTLS；当外层EAP类型为EAP-PEAP时，内层认证方法为EAP-MSCHAPv2(Microsoft EAP CHAP Extensions Protocol,Version 2)、EAP-GTC(Generic TokenCard)、EAP-MD5(MD5-Challenge)中的任意一种；当外层EAP类型为EAP-TTLS时，内层认证方法为EAP-MSCHAPv2、EAP-GTC、EAP-MD5-Challenge、PAP(Password authenticationprotocol)中的任意一种。

使用EAP-PEAP类型或EAP-TTLS类型，EAP认证分为两个阶段，TLS隧道建立阶段以及隧道内认证阶段，通过建立TLS隧道并在隧道内传输认证报文，可增强安全性和隐私性。

优选地，所述TLS隧道为EAP-PEAP或EAP-TTLS建立的TLS隧道。

进一步地，所述步骤7中，用户名为用户输入的用户名，即非匿名身份的用户名。

优选地，所述验证信息为EAP-PEAP、EAP-TTLS内层认证方法的响应报文，所述响应报文的内容为密码或基于密码的挑战值响应。

进一步地，所述步骤9中，绑定规则为：

先进行用户名与SSID的绑定验证，再进行终端信息与SSID的绑定验证；若用户名与SSID绑定验证失败，则不符合绑定规则；若终端信息与SSID绑定验证失败，则不符合绑定规则；若用户名与SSID的绑定验证成功，且终端信息与SSID绑定验证成功，则符合绑定规则。

优选地，所述终端信息为终端用于连接SSID的无线网卡的MAC地址。

进一步地，所述用户名与SSID的绑定规则为：

若用户名存在绑定条目，将接入的SSID与绑定的SSID进行比较，若匹配，则绑定验证成功，否则绑定验证失败；若用户名不存在绑定条目，则绑定验证成功。

优选地，所述终端信息与SSID的绑定规则为：

若终端信息存在绑定条目，将接入的SSID与绑定的SSID进行比较，若匹配，则绑定验证成功，否则绑定验证失败；若终端信息不存在绑定条目，则绑定验证成功。

有益效果

与现有技术相比，本发明所提供的一种实现用户和/或终端与SSID绑定的认证系统及方法，在RADIUS模块以及认证接入控制模块中实现用户和/或终端与SSID绑定，无需改变原有用户凭证数据库的结构，在对接多种用户凭证数据库的应用场景可以减少实施的难度和成本，便于多个SSID精细化权限控制的管理；通过用户和/或终端与SSID的绑定关系验证，在保护无线安全的同时，可达到使用较少的RADIUS服务器和用户凭证数据库实现精细化的SSID接入控制，降低了成本，易于操作。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一个实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明背景技术中802.1x认证的结构图；

图2是本发明背景技术中典型的SSID配置以及接入的总体流程图；

图3是本发明背景技术中配置RADIUS服务器的流程图；

图4是本发明背景技术中无线接入点配置流程图；

图5是本发明背景技术中用户接入SSID的流程图；

图6是本发明实施例中认证系统的结构示意图；

图7是本发明实施例中在PC_A上使用USER_A连接SSID_A的流程图；

图8是本发明实施例中在PC_A上使用USER_A连接SSID_A的报文交互图；

图9是本发明实施例中用户与SSID绑定关系验证流程图；

图10是本发明实施例中用户名与SSID绑定验证流程图；

图11是本发明实施例中终端与SSID绑定验证流程图；

图12是本发明实施例中在PC_A上使用USER_A连接SSID_B的报文交互图。

具体实施方式

下面结合本发明实施例中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例所提供的一种实现用户和/或终端与SSID绑定的认证系统及方法，首先进行环境部署。

部署认证环境：包括3个终端(即认证客户端)PC_A、PC_B和PC_C，这3个终端的MAC地址分别为MAC_A、MAC_B和MAC_C，无线接入点配置RADIUS服务模板template_1，并配置AAA方案domain_1，将domain_1与template_1关联，并两个开启WPA2安全性的SSID：SSID_A以及SSID_B，SSID_A与SSID_B的AAA域方案都使用domain_1。

如图6所示，部署RADIUS模块、认证接入控制模块以及用户凭证数据库，认证接入控制模块具备以下功能：添加/修改用户或终端与SSID的绑定关系、查询用户或终端与SSID的绑定关系、对其他模块或系统提供API进行用户和/或终端与SSID绑定规则验证；RADIUS模块使用开源的FreeRADIUS，FreeRADIUS主体程序具备RADIUS报文处理单元的功能，FreeRADIUS的EAP扩展模块具备用户验证单元的功能也具备RADIUS报文处理单元的功能EAP模块可解析提取EAP-PEAP以及EAP-TTLS所建立的TLS隧道内的信息，以及基于FreeRADIUS扩展接口开发的SSID绑定验证模块；用户凭证数据库使用MySQL数据库。

在认证系统建立账户USER_A，并配置账户USER_A与SSID_A进行绑定；建立账户USER_B，并配置账户USER_B与SSID_B进行绑定，以及MAC_B与SSID_B进行绑定；建立账户USER_C，不做SSID绑定。

经过以上部署和配置，在PC_A使用USER_A及对应的密码只能接入SSID_A，连接SSID_B为拒绝接入。在PC_A使用USER_B及对应的密码只能接入SSID_B，连接SSID_A为拒绝接入。在PC_B使用任何账户连接SSID_A都为拒绝接入，使用USER_B、USER_C可连接SSID_B。在PC_C上使用USER_C连接SSID_A以及SSID_B均可成功接入。

如图7和8所示，在PC_A上使用USER_A连接SSID_A的具体过程为：

1、在PC_A上设置SSID_A连接属性，使用的认证方式为WPA2企业，网络验证方法为EAP-TTLS/PAP，启用并设置匿名身份用户名为anonymous。

2、使用PC_A连接SSID_A。

3、无线接入点向PC_A发送EAP-Request/Identity认证请求，对应图8中的(4)。

4、PC_A弹出认证窗口请求用户输入用户名及密码，用户输入USER_A以及对应的密码。

5、PC_A发送EAP-Response/Identity报文给无线接入点，EAP-Response/Identity报文包含用户名anonymous，对应图8中的(5)。

6、无线接入点将MAC地址：MAC_A封装在RADIUS报文的Calling-Station-Id属性中，无线接入点将接入的SSID_A附加在RADIUS报文的Calling-Station-Id属性中，无线接入点将PC_A发送的EAP-Response/Identity报文封装在RADIUS报文的EAP-Message属性中，并将RADIUS报文发送给RADIUS模块，对应图8中的(6)。

7、PC_A与RADIUS模块进行EAP类型协商以及TLS隧道建立，外层EAP类型为EAP-TTLS，内层认证方法为PAP，对应图8中的(7)～(16)。

8、PC_A将USER_A以及对应的密码通过TLS隧道传输给RADIUS模块，对应图8中的(17)、(18)。

9、RADIUS模块收到PC_A发送的USER_A以及对应的密码，使用用户名USER_A以及MAC地址MAC_A，调用认证接入控制模块的绑定验证接口，对应图8的(19)，认证接入控制模块对接入SSID_A做SSID绑定规则验证，验证通过，如图9～11所示。

10、认证系统的RADIUS模块使用SQL模块查询用户凭证数据库，验证用户及密码是否匹配，验证通过，对应图8的(21)、(22)。

11、RADIUS模块返回ACCESS-ACCEPT给无线接入点，无线接入点允许PC_A的接入，接入成功，对应图8的(24)、(25)。

如图12所示，在PC_A上使用USER_A连接SSID_B的具体过程为：

1、在PC_A上设置SSID_B连接属性，使用的认证方式为WPA2企业，网络验证方法为EAP-TTLS/PAP，启用并设置匿名身份用户名为anonymous。

2、使用PC_A连接SSID_B。

3、无线接入点向PC_A发送EAP-Request/Identity认证请求，对应图12中的(4)。

4、PC_A弹出认证窗口请求用户输入用户名及密码，用户输入USER_A以及对应的密码。

5、PC_A发送EAP-Response/Identity报文给无线接入点，EAP-Response/Identity报文包含用户名anonymous，对应图12中的(5)。

6、无线接入点将MAC地址：MAC_A封装在RADIUS报文的Calling-Station-Id属性中，无线接入点将接入的SSID_B附加在RADIUS报文的Calling-Station-Id属性中，无线接入点将PC_A发送的EAP-Request/Identity报文封装在RADIUS报文的EAP-Message属性中，并将RADIUS报文发送给RADIUS模块，对应图12中的(6)。

7、PC_A与RADIUS模块进行EAP类型协商以及TLS隧道建立，外层EAP类型为EAP-TTLS，内层认证方法为PAP，对应图12中的(7)～(16)。

8、PC_A将USER_A以及对应的密码通过TLS隧道传输给RADIUS模块，对应图12中的(17)、(18)。

9、RADIUS模块收到PC_A发送的USER_A以及对应的密码，使用用户名USER_A以及MAC地址MAC_A，调用认证接入控制模块的接口，对应图12的(19)，认证接入控制模块对接入SSID_B做SSID绑定规则验证，验证不通过，对应图12的(20)。

10、认证系统的RADIUS模块使用SQL模块查询用户凭证数据库，验证用户及密码是否匹配，验证通过，对应图12的(21)、(22)。

11、RADIUS模块返回ACCESS-REJECT给无线接入点，无线接入点拒绝PC_A的接入，接入失败，对应图12的(24)、(25)。

其他的组合流程类似，主要差别用户/终端与SSID绑定验证结果不同。其中用户凭证数据库可以是LDAP服务器或者AD域服务器等外部服务器。

以上所揭露的仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或变型，都应涵盖在本发明的保护范围之内。

Claims (15)

1.一种实现用户和/或终端与SSID绑定的认证系统，包括终端、无线接入点和用户凭证数据库；其特征在于，所述系统还包括RADIUS模块和认证接入控制模块；

所述无线接入点位于终端与RADIUS模块之间，无线接入点用于为终端提供接入网络的端口，并通过与RADIUS模块交互对接入的终端进行认证；

所述RADIUS模块，用于通过与接入认证控制模块以及用户凭证数据库交互对终端进行认证、授权、计费；

所述RADIUS模块包括RADIUS报文处理单元、接入规则验证单元、第二用户验证单元；

所述RADIUS报文处理单元，用于接收无线接入点发送的RADIUS报文，从所述RADIUS报文中提取用户接入位置、终端信息以及用户验证信息，并将用户接入位置、终端信息以及用户验证信息发送给接入规则验证单元和第二用户验证单元；还用于根据接入规则验证单元返回的接入规则验证结果、第二用户验证单元返回的用户验证结果计算RADIUS认证请求结果，返回RADIUS认证请求结果给所述无线接入点；

所述接入规则验证单元，用于接收RADIUS报文处理单元发送的用户接入位置、终端信息以及用户验证信息，并将用户接入位置、终端信息以及用户验证信息作为绑定验证接口的请求参数发送给绑定规则验证单元，根据绑定规则验证单元返回的绑定验证结果生成接入规则验证结果；

所述第二用户验证单元，用于接收RADIUS报文处理单元发送的用户验证信息，并将用户验证信息作为调用参数，调用第一用户验证单元的用户验证接口，根据第一用户验证单元的验证结果生成用户验证结果；

所述认证接入控制模块包括绑定数据配置单元和绑定规则验证单元；所述绑定数据配置单元，用于提供图形界面展示、编辑用户名和/或终端与SSID的绑定关系，以及生成和更新绑定数据；所述绑定规则验证单元，用于提供绑定验证接口，根据绑定规则验证绑定数据与绑定验证接口的请求参数是否匹配，并生成绑定验证结果；

所述用户凭证数据库包括存储单元和第一用户验证单元；所述存储单元用于存储用户验证信息，所述用户验证信息包括用户名和验证信息；所述第一用户验证单元提供用户验证接口，判断存储单元中的用户验证信息与用户验证接口参数中的用户验证信息是否匹配，并生成验证结果。

2.如权利要求1所述的认证系统，其特征在于：所述终端包括手机、平板电脑、笔记本电脑、具备WiFi功能和天线的台式电脑。

3.如权利要求1所述的认证系统，其特征在于：所述无线接入点包括符合IEEE802.11i-2004标准的无线接入点或无线路由器。

4.一种实现用户和/或终端与SSID绑定的认证方法，其特征在于，包括：

步骤1：终端与无线接入点进行SSID关联；

步骤2：无线接入点向终端发送EAP-Request/Identity认证请求；

步骤3：根据所述EAP-Request/Identity认证请求，终端弹出认证窗口请求用户输入用户名及验证信息；

步骤4：终端发送EAP-Response/Identity报文给无线接入点，所述EAP-Response/Identity报文包含用户名；

步骤5：无线接入点将EAP-Response/Identity报文、用户接入位置以及终端信息封装为RADIUS报文，并将所述RADIUS报文发送至RADIUS模块；

步骤6：终端与RADIUS模块进行EAP类型协商以及TLS隧道建立；

步骤7：终端在所述TLS隧道内传输用户名和验证信息给RADIUS模块；

步骤8：RADIUS模块从所述RADIUS报文中提取用户接入位置、终端信息以及用户验证信息，并将用户接入位置、终端信息以及用户验证信息发送给认证接入控制模块；

RADIUS模块将用户验证信息发送给用户凭证数据库；所述用户验证信息包括用户名和验证信息；

步骤9：认证接入控制模块根据用户接入位置、终端信息以及用户验证信息判断是否符合绑定规则，返回绑定验证结果；

用户凭证数据库的用户验证接口根据RADIUS模块发送的用户验证信息与用户验证接口参数中的用户验证信息是否匹配生成并返回验证结果；

步骤10：RADIUS模块根据认证接入控制模块返回的绑定验证结果计算接入规则验证结果；

若认证接入控制模块返回的绑定验证结果为符合绑定规则，则接入规则验证结果为成功；若认证接入控制模块返回的绑定验证结果为不符合绑定规则，则接入规则验证结果为失败；

RADIUS模块根据用户凭证数据库返回的验证结果生成用户验证结果；

若用户凭证数据库返回验证成功，则用户验证结果为成功；若用户凭证数据库返回验证失败，则用户验证结果为失败；

步骤11：RADIUS模块根据接入规则验证结果和用户验证结果，生成认证结果；

若接入规则验证结果为成功且用户验证结果为成功，则返回RADIUS/ACCESS-ACCEPT给无线接入点，无线接入点允许用户接入；若接入规则验证结果与用户验证结果中任意一个为失败或两者都为失败，则返回RADIUS/ACCESS-REJECT给无线接入点，无线接入点拒绝用户接入。

5.如权利要求4所述的认证方法，其特征在于：所述步骤4中，用户名为真实用户名或匿名身份用户名。

6.如权利要求4所述的认证方法，其特征在于：所述无线接入点将终端发送的EAP-Response/Identity报文封装在RADIUS报文的EAP-Message属性中；

所述无线接入点将用户接入位置封装在RADIUS报文的Called-Station-Id属性中，用户接入位置的封装形式为无线接入点的MAC地址:SSID；

所述无线接入点将终端信息封装在RADIUS报文的Calling-Station-Id属性中。

7.如权利要求4所述的认证方法，其特征在于：所述用户接入位置为无线接入点的MAC地址以及接入的SSID。

8.如权利要求4所述的认证方法，其特征在于：所述EAP类型协商的结果为外层EAP类型/内层认证方法，所述外层EAP类型为EAP-PEAP或EAP-TTLS；当外层EAP类型为EAP-PEAP时，内层认证方法为EAP-MSCHAPv2、EAP-GTC、EAP-MD5中的任意一种；当外层EAP类型为EAP-TTLS时，内层认证方法为EAP-MSCHAPv2、EAP-GTC、EAP-MD5-Challenge、PAP中的任意一种。

9.如权利要求4所述的认证方法，其特征在于：所述TLS隧道为EAP-PEAP或EAP-TTLS建立的TLS隧道。

10.如权利要求4所述的认证方法，其特征在于：所述步骤7中，用户名为用户输入的用户名，即非匿名身份的用户名。

11.如权利要求4所述的认证方法，其特征在于：所述验证信息为EAP-PEAP、EAP-TTLS内层认证方法的响应报文，所述响应报文的内容为密码或基于密码的挑战值响应。

12.如权利要求4~11中任一项所述的认证方法，其特征在于：所述步骤9中，绑定规则为：

先进行用户名与SSID的绑定验证，再进行终端信息与SSID的绑定验证；若用户名与SSID绑定验证失败，则不符合绑定规则；若终端信息与SSID绑定验证失败，则不符合绑定规则；若用户名与SSID的绑定验证成功，且终端信息与SSID绑定验证成功，则符合绑定规则。

13.如权利要求4所述的认证方法，其特征在于：所述终端信息为终端用于连接SSID的无线网卡的MAC地址。

14.如权利要求12所述的认证方法，其特征在于：所述用户名与SSID的绑定规则为：

若用户名存在绑定条目，将接入的SSID与绑定的SSID进行比较，若匹配，则绑定验证成功，否则绑定验证失败；若用户名不存在绑定条目，则绑定验证成功。

15.如权利要求12所述的认证方法，其特征在于：所述终端信息与SSID的绑定规则为：

若终端信息存在绑定条目，将接入的SSID与绑定的SSID进行比较，若匹配，则绑定验证成功，否则绑定验证失败；若终端信息不存在绑定条目，则绑定验证成功。

Images