[发明专利]一种用户身份确定方法及装置和系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种用户身份确定方法及装置和系统 

背景技术

目前无线局域网WLAN的Web认证机制中，用户的认证由接入控制器AC、门户Portal服务器和RADIUS(Remote Authentication Dial In User Service)认证服务器共同完成。用户认证时，用户所在客户端与接入点AP建立连接后，与AC之间完成DHCP地址分配，即AC为该用户所在客户端分配地址，AC通知Portal服务器向该用户所在客户端发送认证页面，该用户通过其所在客户端将用户名和用户密码发送给Portal服务器，然后，AC、Portal服务器和RADIUS认证服务器共同完成对该用户的认证，认证通过后，由Portal向该用户所在客户端发送认证通过页面。 

在用户认证通过后，AC中会维持一个会话状态表，用于记录已通过认证的用户会话，即会话状态表中存储该用户所在客户端的地址。目前，一般以IP地址或者IP地址+MAC地址作为该会话状态表的识别索引，当网络侧收到客户端发送的访问请求时，如果该客户端的源IP地址或者源IP地址+源MAC地址已经存在于当前会话状态表的记录中，则认为该客户端用户已经通过认证，确定其为合法用户。WLAN仅进行一次用户认证，然后通过客户端的IP地址+MAC来识别客户端用户。由于IP地址和MAC地址的信息都可以进行篡改，因此，这种方式很容易导致非法用户不进行用户认证，而是通过冒用合法用户身份的方式来免费使用WLAN业务。 

常见的一种攻击方式为非法用户通过发起地址欺骗攻击来避免用户认证过程，冒用合法用户身份，具体实现方式为：恶意攻击者利用DOS等攻击方式使已通过认证的某用户所在客户端失效，然后将自己所在客户端的IP/MAC 地址伪装成该合法用户所在客户端的IP/MAC地址，并发起访问请求，由于AC通过IP/MAC地址无法识别出该客户端用户为非法用户，导致非法用户可以达到免费访问网络的目的。 

发明内容

本发明提供一种用户身份确定方法及装置和系统，用以限制非法用户通过地址欺骗非法访问网络，提高对用户身份确定的准确性。 

本发明实施例提供一种用户身份确定方法，包括： 

无线局域网网络侧在用户认证通过后，随机生成第一信息，并使用与认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密，将加密结果发送给所述认证通过用户所在客户端，并记录当前时刻为所述认证通过用户对应的身份合法时刻； 

所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息，在上报周期到达时，按照设定的变换策略将所述第一信息变换成第二信息，并使用所述共享密钥加密所述第二信息，将加密结果通过设定格式报文携带发送到所述网络侧； 

所述网络侧接收到客户端发送的所述设定格式报文，且确定使用与所述客户端的地址对应的共享密钥从所述设定格式报文中解密出的信息为所述第二信息时，用当前时刻更新该客户端用户对应的身份合法时刻； 

所述网络侧在检测周期到达时，将所述身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。 

本发明实施例还提供一种接入控制器，包括： 

生成单元，用于在用户认证通过后，随机生成第一信息； 

加密发送单元，用于使用与认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密，将加密结果发送给所述认证通过用户所在客户端，并记录当前时刻为所述认证通过用户对应的身份合法时刻； 

接收单元，用于接收客户端发送的设定格式报文； 

解密确定单元，用于接收到客户端发送的所述设定格式报文，且确定使用与所述客户端的地址对应的共享密钥从所述设定格式报文中解密出的信息为第二信息时，用当前时刻更新该客户端用户对应的身份合法时刻，其中，所述第二信息为按照设定的变换策略由所述第一信息变换得到的信息； 

检测单元，用于在检测周期到达时，将所述身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。 

本发明实施例还提供一种用户身份确定系统，包括上述接入控制器，还包括：门户服务器； 

所述接入控制器，还用于在确定出非法用户后，发送身份确定非法消息给所述门户服务器，并删除存储的非法用户所在客户端的地址及所述非法用户所在客户端的地址对应的共享密钥和第一信息；