CN101621527B - VPN中基于Portal的安全认证的实现方法、系统和设备 - Google Patents
VPN中基于Portal的安全认证的实现方法、系统和设备 Download PDFInfo
- Publication number
- CN101621527B CN101621527B CN2009101629503A CN200910162950A CN101621527B CN 101621527 B CN101621527 B CN 101621527B CN 2009101629503 A CN2009101629503 A CN 2009101629503A CN 200910162950 A CN200910162950 A CN 200910162950A CN 101621527 B CN101621527 B CN 101621527B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- server
- vpn
- portal
- portal server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VPN中基于Portal的安全认证的实现方法、系统和设备。本发明中,为用户终端所属的VPN设置对应的Portal服务器、认证服务器和安全策略服务器。当接入设备接收到未认证的用户终端发送的访问请求时,与用户终端所属的VPN对应的Portal服务器、认证服务器和安全策略服务器配合,实现了MPLS/VPN的环境中对用户终端进行基于Portal的安全认证。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种VPN中基于Portal的安全认证的实现方法、系统和设备。
背景技术
现有技术中,Portal安全认证协议的整体框架示意图如图1所示,主要由四部分组成:
(1)Portal客户端:可以使用WEB浏览器或具有相应功能的程序,其提供用户可见的Portal上下线界面,并处理相应的客户端侧的认证流程。
(2)Portal服务器:Portal服务器是Portal认证的核心,其检测到Portal客户端发起认证,并与BAS交互,使BAS在认证通过后对用户开放相应的权限。
(3)BAS(Broadband Access Server,宽带接入服务器):控制用户访问权限的核心设备,其接受Portal服务器发送的用户认证请求并将其转换为相应的RADIUS(Remote Authentication Dial In User Service,远程地址拨号用户服务)认证报文,到认证服务器进行用户身份认证。
(4)认证服务器:对用户进行身份认证,可以为AAA(Authentication/Authorization/Accounting,鉴权/授权/计费)服务器。
基于Portal协议的用户终端上线流程如图2所示,包括:
(1)用户终端上线,发送连接请求或被强制重定向到Portal服务器的认证网页。
(2)Portal服务器向BAS发送认证请求报文。
(3)BAS进行认证,成功后,向Portal服务器返回认证成功,同时开放此用户终端的访问权限。
(4)Portal服务器通知用户终端Portal认证成功。
基于Portal协议的用户终端下线流程如图3所示,包括:
(1)用户终端通过HTTP(Hyper Text Transfer Protocol,超文本传送协议)下线。
(2)Portal服务器向BAS发送下线请求报文。
(3)BAS向认证服务器发送计费结束报文,接收到认证服务器的成功响应后,向Portal服务器返回下线请求确认,同时关闭此用户终端的访问权限。
(4)Portal服务器通知用户终端Portal下线成功。
上述图3所示的流程中,BAS和认证服务器间可能发生报文的重传过程,以使BAS和认证服务器彼此确认接收到对方发送的报文。
在添加了安全认证流程后,Portal的认证流程如图4所示。其中,安全认证中,由认证服务器和安全策略服务器与BAS、Portal服务器配合,用于检测接入网络的认证终端是否安全,包括但不限于检查终端的防病毒软件状态/版本,检查终端运行的软件,检查终端的操作系统补丁是否符合要求。
在网络中要实现图4所示的安全认证的流程,需要以下几个前提:
(1)Portal客户端能够与Portal服务器通信。
(2)BAS能够与Portal服务器通信。
(3)BAS能够与认证服务器通信。
(4)Portal客户端能够与安全策略服务器通信。
(5)安全策略服务器能够与认证服务器通信。
(6)网络中的用户侧IP地址不能重叠。
现有的MPLS(Multiprotocol Label Switch,多协议标签交换)/VPN(VirtualPrivate Network,虚拟专用网)一种网络环境如图5所示。当在MPLS/VPN环境中部署基于Portal的安全认证时,则同样需要满足上述几个前提。
但是,Portal认证需要基于单独的三层接口配置,对接口下的Portal客户端进行认证,而现有的MPLS/VPN环境中各个Portal客户端处于不同的VPN中,Portal认证不支持对各VPN中的Portal客户端进行认证。所以,在MPLS/VPN的环境中,现有技术无法部署Portal认证以及安全认证。
发明内容
本发明提供一种VPN中基于Portal的安全认证的实现方法、系统和设备,用于实现MPLS/VPN的环境中,对用户终端进行基于Portal的安全认证。
为达到上述目的,本发明提供一种虚拟专用网VPN中基于Portal的安全认证的实现方法,应用于包括用户终端、接入设备、Portal服务器、认证服务器以及安全策略服务器的VPN中,包括:
接入设备接收到未认证的用户终端发送的访问请求时,获取与所述用户终端所属的VPN对应的Portal服务器,将所述用户终端重定向到所述Portal服务器;
所述接入设备接收到所述Portal服务器发送的对所述用户终端的认证请求时,获取与所述用户终端所属的VPN对应的认证服务器,向所述认证服务器发送对所述用户终端的身份认证请求;
所述接入设备接收到所述认证服务器发送的身份认证成功通知时,通知所述Portal服务器,由所述Portal服务器将安全策略服务器的地址通知所述用户终端,由所述安全策略服务器对所述用户终端进行安全认证。
其中,还包括:
在所述接入设备中,对于各用户终端所属的VPN,配置每一VPN对应的Portal服务器、安全策略认证服务器和认证服务器。
其中,还包括:
所述接入设备接收到未认证的用户终端发送的访问请求时,根据所述访问请求中携带的用户终端名,获取所述用户终端所属的VPN;
所述接入设备接收到所述Portal服务器发送的对所述用户终端的认证请求时,根据所述认证请求中携带的用户终端名,获取所述用户终端所属的VPN。
其中,各VPN中各用户终端的IP地址不发生重叠时,所述Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在所述Portal服务器、认证服务器以及安全策略服务器。
本发明还提供一种VPN中基于Portal的安全认证系统,包括:
接入设备,用于接收到未认证的用户终端发送的访问请求时,获取与所述用户终端所属的VPN对应的Portal服务器,将所述用户终端重定向到所述Portal服务器;接收到所述Portal服务器发送的对所述用户终端的认证请求时,获取与所述用户终端所属的VPN对应的认证服务器,向所述认证服务器发送对所述用户终端的身份认证请求;
Portal服务器,用于对于所述重定向的用户终端,向所述接入设备发送对所述用户终端的认证请求;接收到所述接入设备在所述用户终端的身份认证成功后发送的通知时,将安全策略服务器的地址通知所述用户终端;
认证服务器,用于接收到所述接入设备发送的对所述用户终端的身份认证请求时,对所述用户终端进行身份认证,并在身份认证成功时通知所述接入设备;
安全策略服务器,用于接收到所述用户终端的安全认证请求时,对所述用户终端进行安全认证。
其中,各VPN中各用户终端的IP地址不发生重叠时,所述Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在所述Portal服务器、认证服务器以及安全策略服务器。
本发明还提供一种接入设备,用于VPN中基于Portal的安全认证,应用于包括用户终端、接入设备、Portal服务器、认证服务器以及安全策略服务器的VPN中,包括:
Portal服务器获取单元,用于接收到未认证的用户终端发送的访问请求时,获取与所述用户终端所属的VPN对应的Portal服务器,将所述用户终端重定向到所述Portal服务器;
认证服务器获取单元,用于接收到所述Portal服务器发送的对所述用户终端的认证请求时,获取与所述用户终端所属的VPN对应的认证服务器,向所述认证服务器发送对所述用户终端的身份认证请求;
Portal服务器通知单元,用于接收到所述认证服务器发送的身份认证成功通知时,通知所述Portal服务器,由所述Portal服务器将安全策略服务器的地址通知所述用户终端,由所述安全策略服务器对所述用户终端进行安全认证。
其中,还包括:
配置单元,对于各用户终端所属的VPN,配置每一VPN对应的Portal服务器和认证服务器,并提供给所述Portal服务器获取单元和认证服务器获取单元。
其中,其特征在于,
所述Portal服务器获取单元,具体用于接收到未认证的用户终端发送的访问请求时,根据所述访问请求中携带的用户终端名,获取所述用户终端所属的VPN;
所述认证服务器获取单元,具体用于接收到所述Portal服务器发送的对所述用户终端的认证请求时,根据所述认证请求中携带的用户终端名,获取所述用户终端所属的VPN。
其中,各VPN中各用户终端的IP地址不发生重叠时,所述Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在所述Portal服务器、认证服务器以及安全策略服务器。
与现有技术相比,本发明具有以下优点:
接入设备接收到未认证的用户终端发送的访问请求时,与用户终端所属的VPN对应的Portal服务器、认证服务器和安全策略服务器配合,实现了MPLS/VPN的环境中对用户终端进行基于Portal的安全认证。
附图说明
图1是现有技术中Portal协议整体框架的示意图;
图2是现有技术中基于Portal协议的上线流程图;
图3是现有技术中基于Portal协议的下线流程图;
图4是现有技术中基于Portal的安全认证的流程图;
图5是现有技术中MPLS/VPN的组网环境示意图;
图6是本发明中提供的基于Portal的安全认证的流程图;
图7是本发明中提供的接入设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明的核心思想在于,在VPN网络环境中配置Portal认证协议时,在每一用户终端所在的VPN与Portal认证服务器、安全策略服务器、认证服务器之间分别建立对应关系,并将对应关系存储在接入设备(如BAS)中,使得在认证时可以根据用户终端所属的VPN选择对应的Portal认证服务器、安全策略服务器和认证服务器,并保证Portal客户端能够与Portal服务器、安全策略服务器通信;保证BAS能够与Portal服务器、认证服务器通信;保证安全策略服务器能够与认证服务器通信,从而实现VPN中基于Portal的安全认证。
具体的,本发明中提供了一种VPN中基于Portal的安全认证的实现方法,如图6所示,包括:
步骤s601、接入设备接收到未认证的用户终端发送的访问请求时,获取与用户终端所属的VPN对应的Portal服务器,将用户终端重定向到Portal服务器。
步骤s602、接入设备接收到Portal服务器发送的对用户终端的认证请求时,获取与用户终端所属的VPN对应的认证服务器,向认证服务器发送对用户终端的身份认证请求。
步骤s603、接入设备接收到认证服务器发送的身份认证成功通知时,通知Portal服务器,由Portal服务器将安全策略服务器的地址通知用户终端,由安全策略服务器对用户终端进行安全认证。
以下分别结合两各不同的应用场景,描述本发明的具体实施方式。
(场景一)
各个VPN中的用户终端的IP地址不发生重叠。
针对场景一,本发明中提供的基于Portal的安全认证实现方法如下:
在网络中,按照预定策略事先设置一个公用VPN用于部署Portal服务器、认证服务器以及安全策略服务器。保证各个VPN中的用户终端能够访问到此VPN中的各服务器,并且接入设备也能够访问到此VPN中的各服务器。该公用VPN可以是网络中已经存在的公用VPN,或单独建立的公用VPN。
本应用场景中提供的MPLS/VPN环境中,为了使得BAS以及Portal服务器能够识别各个用户终端所属的VPN,对各个VPN中用户终端的用户终端名规定一定的统一标准,用户终端名需要表示为形如UsernameVPNID的形式。具有相同Username的用户终端可以属于多个VPN中,通过VPNID,可以确定用户终端所属的VPN。
另外,本应用场景中提供的MPLS/VPN环境中,在作为PE的BAS上的各个VPN接口中进行Portal服务器的配置,使得BAS能够根据用户终端发送的HTTP请求选择对应的Portal服务器,以对各个VPN中的用户终端进行Portal认证。当在BAS上配置Portal认证服务器时,为了能够将来自不同的VPN中的用户终端强制重定向到公共VPN中的Portal服务器上,因此在BAS上配置Portal认证服务器时需要增加配置一个公共VPN属性,用于标识与用户终端所属的VPN对应的Portal服务器。假设当一个来自VPNa的用户终端发送任意的HTTP请求访问网页时,BAS根据该请求中携带的用户终端的用户终端名如User1VPNa,以及VPN接口上的Portal服务器配置,确定与VPNa对应的Portal服务器为位于公共VPN(如VPN-P)中的Portal服务器,则将这个属于VPNa的用户终端强制重定向到公共VPN(如VPN-P)中的Portal服务器的认证页面上。当对一个用户终端进行认证时,由于VPNa中的用户终端能够访问VPN-P中的Portal服务器,所以Portal认证的过程能够继续正常进行。
对于在公用VPN中配置的Portal服务器,由于其需要各个用户VPN中的用户终端访问,所以在保证用户终端IP地址不重叠的情况下,需要扩展Portal服务器的功能,使其能够识别各个VPN中的用户终端,并对各个VPN中的用户终端进行正确的认证。与BAS相似,Portal服务器能够根据用户终端名得知用户终端所属的VPN。并向BAS发送对用户终端的认证请求,认证请求中同样携带用户终端名。
BAS接收到Portal服务器发送的对用户终端的认证请求时,根据认证请求中携带的用户终端名可以获得用户终端所属的VPN,获取与用户终端所属的VPN对应的认证服务器(可以为AAA服务器,关于认证服务器的功用可以参考上述图1~图4所示的流程),向认证服务器发送对用户终端的身份认证请求。对于用户终端的用户终端名如User1VPNa,以及接口上的Portal服务器配置,确定与VPNa对应的认证服务器为位于公共VPN(如VPN-P)中的认证服务器。
当认证服务器对用户终端的认证成功后,向接入设备发送认证成功通知,接入设备通知Portal服务器,Portal服务器向用户终端发送的安全策略服务器的地址同样位于公共VPN中,这样就保证了用户终端可以访问安全策略服务器,安全认证能够实现。
经过上述的处理,当存在一个能够被用户VPN及BAS都能够访问的公共VPN、且公共VPN中部署了Portal服务器、认证服务器以及安全策略服务器时,就能够满足基于Portal的安全认证的要求,实现VPN中基于Portal的安全认证。
(场景二)
各个用户VPN中的用户IP地址重叠,但是不能互访,也不需要部署公共VPN。
该场景中,在网络的每个用户VPN中按照预定策略事先设置一套Portal服务器、认证服务器以及安全认证服务器。用于对每个VPN的用户进行基于Portal的安全认证。
本发明提供的MPLS/VPN环境中,为了使得BAS以及Portal服务器能够识别各个用户终端所属的VPN,对各个VPN中用户终端的用户终端名规定一定的统一标准,用户终端名需要表示为形如UsernameVPNID的形式。具有相同Username的用户终端可以属于多个VPN中,通过VPNID,可以确定用户终端所属的VPN。
本发明提供的MPLS/VPN环境中,在作为PE的BAS上的各个VPN接口中进行Portal服务器的配置,使得BAS能够根据用户终端发送的HTTP请求选择对应的Portal服务器,,以对各个VPN中的用户终端进行Portal认证。在BAS上配置Portal认证服务器时,为了能够将来自不同的VPN中的用户终端强制重定向到特定VPN(本应用场景中即为用户终端所属的VPN)中的Portal服务器上,因此在BAS上配置Portal认证服务器时增加配置一个VPN属性,用于标识与用户终端所属的VPN对应的Portal服务器。假设当一个来自VPNa的用户终端发送任意的HTTP请求访问网页时,BAS根据该请求中携带的用户终端的用户终端名如User1VPNa,以及VPN接口上的Portal服务器配置,确定与VPNa对应的Portal服务器为位于特定VPN(本应用场景中仍为VPNa)中的Portal服务器,则将这个属于VPNa的用户终端强制重定向到VPNa中的Portal服务器的认证页面上。当对一个属于VPNa的用户终端进行认证时,由于Portal服务器位于VPNa,所以用户终端可以访问Portal服务器,Portal认证的过程能够继续正常进行。
对于在用户终端所属的VPN中配置的Portal服务器,需要扩展Portal服务器的功能,使其能够识别用户终端所属的VPN,并对各个VPN中的用户终端进行正确的认证。与BAS相似,Portal服务器能够根据用户终端名得知用户终端所属的VPN。并向BAS发送对用户终端的认证请求,认证请求中同样携带用户终端名。
BAS接收到Portal服务器发送的对用户终端的认证请求时,根据认证请求中携带的用户终端名可以获得用户终端所属的VPN,获取与用户终端所属的VPN对应的位于特定VPN(本应用场景中即为用户终端所属的VPN)中的认证服务器,向认证服务器发送对用户终端的身份认证请求。对于用户终端的用户终端名如User1VPNa,以及接口上的Portal服务器配置,确定与VPNa对应的认证服务器为位于特定VPN(本应用场景中仍为VPNa)中的认证服务器。
当认证服务器对用户终端的认证成功后,向接入设备发送认证成功通知,接入设备通知Portal服务器,Portal服务器向用户终端发送的安全策略服务器的地址同样位于VPNa中,这样就保证了用户终端可以访问安全策略服务器,安全认证能够实现。
经过上述的处理,在各个用户终端所属的VPN中部署了Portal服务器、认证服务器以及安全策略服务器,能够满足基于Portal的安全认证的要求,实现VPN中基于Portal的安全认证。
通过使用本发明提供的方法,使得接入设备接收到未认证的用户终端发送的访问请求时,与用户终端所属的VPN对应的Portal服务器、认证服务器和安全策略服务器配合,实现了MPLS/VPN的环境中对用户终端进行基于Portal的安全认证。
本发明还提供一种VPN中基于Portal的安全认证系统,包括:
接入设备,用于接收到未认证的用户终端发送的访问请求时,获取与用户终端所属的VPN对应的Portal服务器,将用户终端重定向到Portal服务器;接收到Portal服务器发送的对用户终端的认证请求时,获取与用户终端所属的VPN对应的认证服务器,向认证服务器发送对用户终端的身份认证请求;
Portal服务器,用于对于重定向的用户终端,向接入设备发送对用户终端的认证请求;接收到接入设备在用户终端的身份认证成功后发送的通知时,将安全策略服务器的地址通知用户终端;
认证服务器,用于接收到接入设备发送的对用户终端的身份认证请求时,对用户终端进行身份认证,并在身份认证成功时通知接入设备;
安全策略服务器,用于接收到用户终端的安全认证请求时,对用户终端进行安全认证。
其中,各VPN中各用户终端的IP地址不发生重叠时,Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在Portal服务器、认证服务器以及安全策略服务器。
本发明还提供一种接入设备,用于VPN中基于Portal的安全认证,如图7所示,包括:
Portal服务器获取单元10,用于接收到未认证的用户终端发送的访问请求时,获取与用户终端所属的VPN对应的Portal服务器,将用户终端重定向到Portal服务器;具体的,接收到未认证的用户终端发送的访问请求时,根据访问请求中携带的用户终端名,获取用户终端所属的VPN;
认证服务器获取单元20,用于接收到Portal服务器发送的对用户终端的认证请求时,获取与用户终端所属的VPN对应的认证服务器,向认证服务器发送对用户终端的身份认证请求;
Portal服务器通知单元30,用于接收到认证服务器发送的身份认证成功通知时,通知Portal服务器,由Portal服务器将安全策略服务器的地址通知用户终端,由安全策略服务器对用户终端进行安全认证。具体的,接收到Portal服务器发送的对用户终端的认证请求时,根据认证请求中携带的用户终端名,获取用户终端所属的VPN。
其中,还包括:
配置单元40,对于各用户终端所属的VPN,配置每一VPN对应的Portal服务器和认证服务器,并提供给Portal服务器获取单元10和认证服务器获取单元20,用于Portal服务器获取单元10获取与用户终端所属的VPN对应的Portal服务器,认证服务器获取单元20获取与用户终端所属的VPN对应的认证服务器。
通过使用本发明提供的系统和设备,使得接入设备接收到未认证的用户终端发送的访问请求时,与用户终端所属的VPN对应的Portal服务器、认证服务器和安全策略服务器配合,实现了MPLS/VPN的环境中对用户终端进行基于Portal的安全认证。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的单元或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的单元可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
Claims (10)
1.一种虚拟专用网VPN中基于Portal的安全认证的实现方法,应用于包括用户终端、接入设备、Portal服务器、认证服务器以及安全策略服务器的VPN中,其特征在于,包括:
接入设备接收到未认证的用户终端发送的访问请求时,获取与所述用户终端所属的VPN对应的Portal服务器,将所述用户终端重定向到所述Portal服务器;
所述接入设备接收到所述Portal服务器发送的对所述用户终端的认证请求时,获取与所述用户终端所属的VPN对应的认证服务器,向所述认证服务器发送对所述用户终端的身份认证请求;
所述接入设备接收到所述认证服务器发送的身份认证成功通知时,通知所述Portal服务器,由所述Portal服务器将安全策略服务器的地址通知所述用户终端,由所述安全策略服务器对所述用户终端进行安全认证。
2.如权利要求1所述的方法,其特征在于,还包括:
在所述接入设备中,对于各用户终端所属的VPN,配置每一VPN对应的Portal服务器、安全策略认证服务器和认证服务器。
3.如权利要求1所述的方法,其特征在于,还包括:
所述接入设备接收到未认证的用户终端发送的访问请求时,根据所述访问请求中携带的用户终端名,获取所述用户终端所属的VPN;
所述接入设备接收到所述Portal服务器发送的对所述用户终端的认证请求时,根据所述认证请求中携带的用户终端名,获取所述用户终端所属的VPN。
4.如权利要求1至3中任一项所述的方法,其特征在于,
各VPN中各用户终端的IP地址不发生重叠时,所述Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在所述Portal服务器、认证服务器以及安全策略服务器。
5.一种虚拟专用网VPN中基于Portal的安全认证系统,其特征在于,包括:
接入设备,用于接收到未认证的用户终端发送的访问请求时,获取与所述用户终端所属的VPN对应的Portal服务器,将所述用户终端重定向到所述Portal服务器;接收到所述Portal服务器发送的对所述用户终端的认证请求时,获取与所述用户终端所属的VPN对应的认证服务器,向所述认证服务器发送对所述用户终端的身份认证请求;
Portal服务器,用于对于所述重定向的用户终端,向所述接入设备发送对所述用户终端的认证请求;接收到所述接入设备在所述用户终端的身份认证成功后发送的通知时,将安全策略服务器的地址通知所述用户终端;
认证服务器,用于接收到所述接入设备发送的对所述用户终端的身份认证请求时,对所述用户终端进行身份认证,并在身份认证成功时通知所述接入设备;
安全策略服务器,用于接收到所述用户终端的安全认证请求时,对所述用户终端进行安全认证。
6.如权利要求5所述的系统,其特征在于,
各VPN中各用户终端的IP地址不发生重叠时,所述Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在所述Portal服务器、认证服务器以及安全策略服务器。
7.一种接入设备,用于VPN中基于Portal的安全认证,应用于包括用户终端、接入设备、Portal服务器、认证服务器以及安全策略服务器的VPN中,其特征在于,包括:
Portal服务器获取单元,用于接收到未认证的用户终端发送的访问请求时,获取与所述用户终端所属的VPN对应的Portal服务器,将所述用户终端重定向到所述Portal服务器;
认证服务器获取单元,用于接收到所述Portal服务器发送的对所述用户终端的认证请求时,获取与所述用户终端所属的VPN对应的认证服务器,向所述认证服务器发送对所述用户终端的身份认证请求;
Portal服务器通知单元,用于接收到所述认证服务器发送的身份认证成功通知时,通知所述Portal服务器,由所述Portal服务器将安全策略服务器的地址通知所述用户终端,由所述安全策略服务器对所述用户终端进行安全认证。
8.如权利要求7所述的接入设备,其特征在于,还包括:
配置单元,对于各用户终端所属的VPN,配置每一VPN对应的Portal服务器和认证服务器,并提供给所述Portal服务器获取单元和认证服务器获取单元。
9.如权利要求7所述的接入设备,其特征在于,
所述Portal服务器获取单元,具体用于接收到未认证的用户终端发送的访问请求时,根据所述访问请求中携带的用户终端名,获取所述用户终端所属的VPN;
所述认证服务器获取单元,具体用于接收到所述Portal服务器发送的对所述用户终端的认证请求时,根据所述认证请求中携带的用户终端名,获取所述用户终端所属的VPN。
10.如权利要求7至9中任一项所述的接入设备,其特征在于,
各VPN中各用户终端的IP地址不发生重叠时,所述Portal服务器、认证服务器以及安全策略服务器位于各用户终端所属的VPN均可访问的公共VPN中;
各VPN中各用户终端的IP地址发生重叠时,各用户终端所属的VPN中均存在所述Portal服务器、认证服务器以及安全策略服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101629503A CN101621527B (zh) | 2009-08-21 | 2009-08-21 | VPN中基于Portal的安全认证的实现方法、系统和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101629503A CN101621527B (zh) | 2009-08-21 | 2009-08-21 | VPN中基于Portal的安全认证的实现方法、系统和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101621527A CN101621527A (zh) | 2010-01-06 |
CN101621527B true CN101621527B (zh) | 2012-07-11 |
Family
ID=41514568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101629503A Expired - Fee Related CN101621527B (zh) | 2009-08-21 | 2009-08-21 | VPN中基于Portal的安全认证的实现方法、系统和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101621527B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101867579B (zh) * | 2010-06-09 | 2013-07-03 | 杭州华三通信技术有限公司 | 一种用户网络访问权限切换方法及其装置 |
CN102045398B (zh) * | 2010-12-24 | 2013-08-28 | 杭州华三通信技术有限公司 | 一种基于Portal的分布式控制方法和设备 |
CN102984044B (zh) * | 2012-11-16 | 2016-08-10 | 深圳市深信服电子科技有限公司 | 基于虚拟专用网络实现数据传输安全性的方法和装置 |
CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和系统 |
CN106656921A (zh) * | 2015-10-30 | 2017-05-10 | 华为技术有限公司 | 一种安全策略服务器的地址获取方法和设备 |
CN105516153B (zh) * | 2015-12-15 | 2019-03-29 | 百度在线网络技术(北京)有限公司 | 一种账号验证的方法和装置 |
CN109495362B (zh) * | 2018-12-25 | 2020-12-11 | 新华三技术有限公司 | 一种接入认证方法及装置 |
CN114124529B (zh) * | 2021-11-23 | 2024-03-29 | 国网山东省电力公司电力科学研究院 | 用于并网测试数据加密/解密的方法及装置、数据处理方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588853A (zh) * | 2004-07-13 | 2005-03-02 | 中国工商银行 | 一种基于网络的统一认证方法及系统 |
CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及系统 |
CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
-
2009
- 2009-08-21 CN CN2009101629503A patent/CN101621527B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588853A (zh) * | 2004-07-13 | 2005-03-02 | 中国工商银行 | 一种基于网络的统一认证方法及系统 |
CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
CN1753364A (zh) * | 2005-10-26 | 2006-03-29 | 杭州华为三康技术有限公司 | 网络接入控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101621527A (zh) | 2010-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101621527B (zh) | VPN中基于Portal的安全认证的实现方法、系统和设备 | |
CN110692280B (zh) | 一种网络接入方法、设备及系统 | |
KR101914408B1 (ko) | 인터넷 액세스 인증 방법 및 클라이언트, 그리고 컴퓨터 저장 매체 | |
CN103746812B (zh) | 一种接入认证方法及系统 | |
CN106851632B (zh) | 一种智能设备接入无线局域网的方法及装置 | |
JP6717528B2 (ja) | 中継サーバを用いて電子デバイスに遠隔端末支援を提供する方法、装置およびシステム | |
EP3255832A1 (en) | Dynamic encryption method, terminal and server | |
CN102457514B (zh) | 面向移动终端的无线网络的短信身份认证方法 | |
US9967099B2 (en) | Method and apparatus for providing information | |
CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
CN103392186A (zh) | 一种支付方法、支付网关及支付客户端 | |
JP2014160942A5 (zh) | ||
WO2015043455A1 (zh) | 数据传输方法、设备及系统 | |
CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
CN112689316B (zh) | 智能设备的绑定方法、装置和存储介质及电子装置 | |
CN109451042A (zh) | 用于无屏智能设备的配网方法 | |
CN105262773A (zh) | 一种物联网系统的验证方法及装置 | |
WO2018076675A1 (zh) | 一种网络接入方法、路由设备和终端和计算机存储介质 | |
CN103369000A (zh) | 一种数据传输方法及系统 | |
CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
CN111786989B (zh) | 通信处理方法、装置及电子设备 | |
CN115379590B (zh) | 蓝牙连接建立方法、装置、电子设备及计算机存储介质 | |
CN110072235B (zh) | 智能设备的联网方法、装置、电子装置和存储介质 | |
CN109451497A (zh) | 无线网络连接方法及装置、电子设备、存储介质 | |
CN105874430A (zh) | 用于路由器应用的分发机制 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120711 Termination date: 20200821 |