CN101668017A - 一种认证方法和设备 - Google Patents
一种认证方法和设备 Download PDFInfo
- Publication number
- CN101668017A CN101668017A CN200910176468A CN200910176468A CN101668017A CN 101668017 A CN101668017 A CN 101668017A CN 200910176468 A CN200910176468 A CN 200910176468A CN 200910176468 A CN200910176468 A CN 200910176468A CN 101668017 A CN101668017 A CN 101668017A
- Authority
- CN
- China
- Prior art keywords
- port
- user terminal
- layers
- access device
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种认证方法和设备。该方法应用于二层接入设备,包括:从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述二层接入设备的端口是否为受限端口;所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求重定向到认证服务器;将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。通过使用本发明,在二层接入设备中实现了对请求访问内网或外网网络资源用户终端的快速简便认证。
Description
技术领域
本发明涉及通讯领域,尤其涉及一种认证方法和设备。
背景技术
在IEEE802LAN(Local Area Network,局域网)所定义的局域网环境中,未经授权的网络设备可以通过物理的连接口接入局域网,或者是未经授权的用户可以通过已经连接到局域网的设备进入网络。例如:一个可以访问公共网络的大厦的办公网,或者是某个组织机构与其他组织连接的网络。在这样的网络环境中,往往不希望未经授权的设备或用户连接到网络,使用网络提供的服务。
随着局域网技术的广泛应用,特别是在运营网络中的应用,对接入网络的设备的安全认证要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点,同时又能够对用户或设备访问网络的合法性提供认证,是目前业界讨论的焦点。
对此,现有技术中提出了基于802.1x的认证方式和给予Portal的认证方式,以下分别进行介绍。
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口如VLAN(Virtual LocalArea Network,虚拟局域网)端口。对于无线局域网来说,一个端口就是一个通道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,只允许802.1x的认证协议报文通过。现有技术中基于802.1x的认证方式的组网结构示意图如图1所示。
802.1x的体系结构如图2所示。它的体系结构中包括三个部分,即客户端、设备端和认证服务器。
对于客户端,通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.1x认证。
对于设备端,通常为支持802.1x协议的网络设备,它为客户端提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备如LANSwitch和AP上实现802.1x认证。
对于认证服务器,是为认证系统提供认证服务的实体,一般使用RADIUS服务器来实现认证服务器的认证和授权功能。
客户端和设备端之间运行802.1x定义的EAPoL(Extensible AuthenticationProtocol over LAN,基于LAN的扩展鉴权协议)协议。当设备端工作于中继方式时,设备端与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS协议),以便穿越复杂的网络到达认证服务器;当设备端工作于终结方式时,设备端终结EAPoL消息,将其转换为其它认证协议(如RADIUS)后传递用户认证信息给认证服务器系统。
对于Portal认证,其应用的一个具体组网方案实例如图3所示。图3中左下角只表示了一个交换机和一个BAS设备(Broadband Access Server,宽带接入服务器)。而在实际组网过程中,如果用户数较多,用户可以挂接在多个交换机下,多个交换机再接入到多个BAS上。所有的BAS通过一个核心路由器(也可以是高端交换机)连接到互联网上,服务器(CAMS服务器,Portal服务器等)放在机房中,通过一台交换机连到核心路由器上。
对于一个未认证用户,如果在IE地址栏中输入了一个互联网的地址,那么此HTTP请求在经过BAS设备时会被BAS设备重定向到Portal的认证主页上,用户在认证主页中输入认证信息后提交,Portal服务器会将用户的认证信息传递给BAS设备,然后BAS再与CAMS服务器通信进行认证和计费,如果认证通过,BAS会根据用户的IP设置用户访问互联网的权限,用户可以访问外部的互联网。
现有技术中存在的题在于:
使用802.1X认证的用户终端系统通常要安装一个客户端软件,用户终端通过启动这个客户端软件发起802.1x协议的认证过程。而且802.1x认证是由EAPoL协议来传递交互信息的,为支持基于端口的接入控制,客户端系统需支持EAPOL协议,而且网络侧的设备端也要支持802.1x协议,因此使用条件较复杂,同时该认证方式配置较复杂,使用不够方便。
而Portal认证是基于三层的接入控制,它能控制用户访问路由器所连接的外网资源,虽然不需要在客户端安装客户端软件,但只能控制三层接入,对于二层网络不能进行控制。如图3所示,在认证没有通过的时候,用户虽然不能访问Internet的网络资源,但却可以任意访问Router的内部网络资源,不能实现最大限度的控制。
发明内容
本发明提供一种认证方法和设备,用于在二层接入设备中实现对请求访问网络资源用户终端的快速简便认证。
本发明提供了一种认证方法,应用于二层接入设备,包括:
从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述二层接入设备的端口是否为受限端口;
所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求重定向到认证服务器;
将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;
接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。
其中,所述将所述用户终端的HTTP请求重定向到认证服务器包括:
预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器;
获取所述用户终端所属的VLAN,将所述用户终端的HTTP请求重定向到与所述VLAN对应的认证服务器。
其中,还包括:所述用户终端返回的内容连续多次未通过所述认证服务器的认证时,将所述二层接入设备的端口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口处于休眠状态的时间到达预设的时间时,将所述二层接入设备的端口设置为受限状态。
其中,还包括:对于认证通过的所述用户终端,定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址,当不存在时,则将所述二层接入设备的端口设置为受限状态。
本发明还提供一种认证方法,应用于二层接入设备,包括:
用户终端通过浏览器发送访问内网或者外网地址的HTTP请求;
二层接入设备通过与所述用户终端连接的处于受限状态的端口接收所述HTTP请求,当HTTP请求中携带的目标地址为域名,则通过域名系统DNS解析获取所述域名对应的IP地址并继续下一步骤;如果目标地址为IP地址,则直接进行下一步骤;
所述二层接入设备通过传输控制协议TCP仿冒与所述用户终端建立虚假链接,记录所述用户终端的IP、MAC、VLAN、端口、访问地址信息中的一种或多种;
所述二层接入设备将所述用户终端发送的HTTP请求重定向到认证服务功能;
所述认证服务功能向所述二层接入设备返回认证页面,所述二层接入设备将所述认证页面发送给所述用户终端,要求所述用户终端提供合法的身份标识如用户名和密码;
所述用户终端输入用户名和密码,并提交给所述二层接入设备,所述二层接入设备将所述用户终端发送的内容发送给所述认证服务功能;
所述认证服务功能对所述用户终端的认证通过后通知所述二层接入设备,所述二层接入设备将所述用户终端的所连接的端口设置为非受限状态,正常转发所有报文。
本发明还提供一种二层接入设备,包括:
消息交互单元,用于与用户终端和认证服务器交互消息;具体的,从二层接入设备的端口接收用户终端发送的访问外网或内网地址的HTTP请求;将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;接收所述认证服务器发送的认证通过消息;
端口状态判断单元,用于当所述消息交互单元从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述端口是否为受限端口;
重定向单元,用于当所述端口状态判断单元判断所述二层接入设备的端口为受限端口时,将所述消息交互单元接收到的用户终端的HTTP请求重定向到认证服务器;
端口状态设置单元,用于当所述消息交互单元接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。
其中,所述重定向单元包括:
配置子单元,用于预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器;
重定向子单元,用于获取所述用户终端所属的VLAN,将所述用户终端的HTTP请求重定向到与所述VLAN对应的认证服务器。
其中,所述端口状态设置单元还用于:当所述用户终端返回的内容连续多次未通过所述认证服务器的认证时,将所述二层接入设备的端口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口处于休眠状态的时间到达预设的时间时,将二层接入设备的端口设置为受限状态。
其中,所述端口状态设置单元还用于:对于认证通过的所述用户终端,定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址,当不存在时,则将所述二层接入设备的端口设置为受限状态。
其中,所述认证服务器的功能与本交换设备中的认证功能实现时,还包括:
认证单元,用于对重定向后的用户终端的HTTP请求进行认证,并发送认证结果到所述端口状态设置单元。
与现有技术相比,本发明具有以下优点:
在二层接入设备中,将从二层接入设备的端口接收到用户终端发送的访问地址的HTTP请求重定向到认证服务器进行认证,并根据认证结果对端口状态进行设置,实现了对请求访问内网或外网网络资源用户终端的快速简便认证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中基于802.1x的认证方式的组网结构示意图;
图2是现有技术中802.1x的体系结构示意图;
图3是现有技术中Portal认证方式的组网结构示意图;
图4是本发明中提供的认证方法的流程图;
图5是本发明应用场景中认证方法所使用的组网结构示意图;
图6是本发明应用场景中认证方法所应用的组网场景示意图;
图7是本发明另一应用场景中认证方法所应用的组网场景示意图;
图8是本发明中提供的二层接入设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明中提供了一种认证方法,如图4所示,应用于二层接入设备,由二层接入设备以端口为单位对各端口下连接的用户终端进行接入控制。具体的,根据从各下行端口接收到的用户终端访问内网或外网地址的HTTP请求,将用户终端重定向到认证服务器进行认证,根据认证结果设置端口状态,允许或禁止该端口下的用户终端访问内部和外部网络。该方法包括:
步骤s401、从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断二层接入设备的端口是否为受限端口;
步骤s402、二层接入设备的端口为受限端口时,将用户终端的HTTP请求重定向到认证服务器;
步骤s403、将认证服务器发送的认证页面发送给用户终端,并将用户终端返回的内容发送到认证服务器;
步骤s404、接收到认证服务器发送的认证通过消息时,将该二层接入设备的端口设置为非受限端口,允许该二层接入设备的端口下连接的用户终端访问外网和/或内网地址。
以下结合具体的应用场景,对本发明中应用于二层接入设备的认证方法进行详细说明。本发明提供的认证方法所应用的网络中,参见图5,包括:
请求者系统:通常是拥有浏览器的用户终端,用户终端可以通过浏览器发送访问某一网址的HTTP请求。
认证系统:本发明的认证系统位于二层接入设备LAN Switch中,其与请求者系统中的用户终端设备连接的端口是LAN Switch上的物理端口。接收到用户终端发送的HTTP请求时,若端口不受限,则对请求进行正常转发;当端口受限时,需要对用户终端进行认证,对于该认证过程将在下文进行描述。
认证服务器系统:本发明中的认证服务器可以由二层接入设备内部的功能实现,也可以为与二层接入设备的接口连接的外部认证服务器。本发明的认证中,支持对多VLAN内的用户终端的认证,并为不同的VLAN配置绑定对应的认证服务器。为不同VLAN配置绑定的认证服务器IP可以相同,也可以不同。来自不同VLAN的用户终端的HTTP请求报文会分别被重定向到与VLAN对应的认证服务器上,以触发对用户终端的认证。为不同的VLAN配置不同的认证服务器的原因在于,在端口受限时,VLAN内用户终端的HTTP请求报文无法转发到外网或者其他VLAN,因此需要为每个绑定一个认证服务器,使得用户终端的HTTP请求报文可以被重定向到可达的认证服务器。不同的VLAN所绑定的认证服务器可以相同。
本发明中提供的认证方法是基于端口的认证方式,在初始状态,二层接入设备的各下行端口处于BLOCK状态,即受限状态,可以允许DHCP(是Dynamic Host Configuration Protocol,动态主机分配协议)报文、DNS(DomainName System,域名系统)报文和ARP(Address Resolution Protocol,地址解析协议)报文等协议报文通过,完成IP的初始化。当连接着处于受限状态的端口的用户终端通过浏览器发送请求访问某一内网或者外网地址的HTTP请求时,二层接入设备的处理具体包括以下两种处理情况:
(1)HTTP请求中的目标地址是域名时,则二层接入设备通过与DNS服务器的交互并完成域名解析。二层接入设备从DNS服务器获得域名对应的IP地址后,根据域名对应的IP地址与用户终端建立TCP仿冒连接。
(2)HTTP请求中的目标地址是IP地址,则无需上述与DNS服务器的交互过程,直接进入TCP仿冒,二层接入设备根据HTTP请求中的IP地址和用户终端建立TCP仿冒连接。
二层接入设备通过HTTP重定向,将该HTTP请求重定向到认证服务器进行认证。当认证服务器对用户终端的认证通过时,二层接入设备根据认证服务器的通知,将该端口设置为NORMAL状态,既非受限状态,连接在该端口下的用户终端可以通过该端口正常与外部网络通信。本发明中,因为认证是基于端口进行的,所以当一个端口下有一个用户终端的认证通过时,端口即进入非受限状态,直至认证通过的用户终端下线导致端口再次进入受限状态前,该端口的其他用户终端访问内网或者外网的HTTP请求报文将不再需要认证。如果用户因为某些原因连续认证三次都没有通过验证(认证次数可以根据需要进行设置),则端口进入SLEEP状态,此时拒绝连接请求,直到通过一定时间后(端口处于SLEEP的时间可以根据需要进行设定),端口重新进入BLOCK状态。
当认证服务器的功能由二层接入设备自身的认证功能实现时,其组网场景如图6所示。具体的,该组网场景下的认证方法的认证过程包括:
(1)用户终端通过浏览器发送访问某一内网或者外网地址的HTTP请求;
(2)二层接入设备通过与用户终端连接的处于受限状态的端口接收该HTTP请求,如果HTTP请求中携带的目标地址为域名,则通过DNS解析获取域名对应的IP地址并进行步骤(3);如果目标地址为IP地址,则直接进行步骤(3);
(3)二层接入设备通过TCP仿冒与用户终端建立虚假链接,记录下该认证用户终端的IP、MAC、VLAN、端口、访问地址等相关信息;
(4)二层接入设备将用户终端发送的HTTP请求重定向到认证服务功能,该认证服务功能可以由二层接入设备的本地认证服务功能实现、或由二层接入设备外部的认证服务器实现,以下以该认证服务功能为二层接入设备的本地认证服务功能为例进行说明;
(5)本地认证服务功能向二层接入设备返回一个认证页面,二层接入设备将该认证页面发送给用户终端,要求用户终端提供合法的身份标识,如用户名/密码;
(6)用户终端输入用户名和密码,并提交给二层接入设备,二层接入设备将用户终端发送的内容发送给本地认证服务功能;本发明的一个应用场景中,对用户终端的认证通过对用户终端输入的用户名和密码进行,本地认证服务功能中预先存储一个包括所有合法的用户名和对应的密码的数据库,当用户终端输入的用户名和密码与数据库中一已经存在的记录匹配时,判断认证通过。该认证过程与用户终端的MAC地址、IP地址、接入二层接入设备的端口无关,即用户只要获知了合法的用户名和密码,就可以通过不同的用户终端接入网络。
(7)本地认证服务功能对用户终端的认证通过后通知二层接入设备,二层接入设备将该用户终端所连接的受限端口设置为非受限状态,正常转发所有报文。认证完成后,二层接入设备把用户终端重定向到认证前用户终端试图访问的地址。
用户终端的认证通过后,二层接入设备可以定时浏览本设备中的MAC地址表,对于该MAC地址表中存储的用户终端的MAC地址,二层接入设备会在检测到用户终端下线、或者在预设的老化时间内没有接收到用户终端的探测响应时,将用户终端的MAC地址从该MAC地址表中删除。对于设置为非受限状态的端口,二层接入设备可以根据定时判断使得端口认证通过的用户终端的MAC地址在本设备的MAC地址表中是否还存在。如不存在则将端口老化,并将端口由非受限状态设置为受限状态。此时通过该端口访问网络的用户终端必须重新认证后才能正常访问网络。
当认证服务器的功能由二层接入设备外部的认证服务器实现时,其组网场景如图7所示。该组网场景下的认证方式为远程认证方式,和图6所示的应用场景中的本地认证方式差别不大,只是把本地认证服务器改为独立的远端服务器(如RADIUS服务器)。此时认证所需要的用户名和密码都保存在远端服务器,二层接入设备从端口接收到用户通过浏览器发送的HTTP请求时,将该用户终端重定向到认证服务器;二层接入设备接收到认证服务器发送的认证页面时,将认证页面转发给用户终端,用户终端输入用户名和密码,二层接入设备将用户终端输入的用户名和密码后发送到认证服务器进行认证处理。该认证流程与图6所示的场景下的认证流程相似,在此不进行重复描述。
本发明提供的上述应用于二层接入设备的认证方法中,基于二层接入设备的端口对用户终端访问内网和外网的HTTP请求进行认证,将从二层接入设备的端口接收到用户终端发送的访问地址的HTTP请求重定向到认证服务器进行认证,并根据认证结果对端口状态进行受限状态和非受限状态的设置,实现了对请求访问网络资源用户终端的快速简便认证,可以同时实现对用户终端访问内网和外网网络资源的控制。同时,对于非受限状态的端口,根据本地MAC地址表中的用户终端的MAC地址进行老化,实现对非受限状态的端口的控制。
本发明与基于Portal的认证相比,区别在于应用于二层接入设备上,而Portal认证应用于BAS路由设备上,因此本发明可以实现对内网的访问控制,这是现有的Portal认证无法实现的。另外,Portal认证中,根据用户终端的IP地址将用户终端归属到不同的域,对于与未经过认证的用户终端,其访问权限是受控制的,只能访问WEB服务器等资源(可以通过ACL控制实现)。在认证通过后,该用户终端将属于另外一个域,在这个域里,用户终端对外网的访问是不受控制的。本发明提供的方法中,认证是基于端口进行的。
本发明还提供一种二层接入设备,如图8所示,包括:
消息交互单元10,用于与用户终端和认证服务器交互消息;具体的,从二层接入设备的端口接收用户终端发送的访问外网或内网地址的HTTP请求;将认证服务器发送的认证页面发送给用户终端,并将用户终端返回的内容发送到认证服务器;接收认证服务器发送的认证通过消息;
端口状态判断单元20,用于当消息交互单元10从二层接入设备的端口接收到用户终端发送的访问地址的HTTP请求时,判断该二层接入设备的端口是否为受限端口;
重定向单元30,用于当端口状态判断单元20判断二层接入设备的端口为受限端口时,将消息交互单元接收到的用户终端的HTTP请求重定向到认证服务器。当基于VLAN进行认证服务器的配置时,重定向单元30包括:配置子单元,用于预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器;重定向子单元,用于获取用户终端所属的VLAN,将用户终端的HTTP请求重定向到与VLAN对应的认证服务器。
端口状态设置单元40,用于当消息交互单元10接收到认证服务器发送的认证通过消息时,将二层接入设备的端口设置为非受限端口,允许该二层接入设备的端口下连接的用户终端访问外网和/或内网地址。还可以用于:当用户终端返回的内容连续多次未通过认证服务器的认证时,将二层接入设备的端口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口处于休眠状态的时间到达预设的时间时,将二层接入设备的端口设置为受限状态。还可以用于:对于认证通过的用户终端,定时检查本地MAC地址表项中是否存在用户终端的MAC地址,当不存在时,则将对应二层接入设备的端口设置为受限状态。
认证单元50,用于对重定向后的用户终端的HTTP请求进行认证,并发送认证结果到端口状态设置单元40。该认证单元50的功能也可以由二层接入设备外部的具有认证功能的设备实现。
本发明提供的上述二层接入设备中,将从二层接入设备的端口接收到用户终端发送的访问地址的HTTP请求重定向到认证服务器进行认证,并根据认证结果对端口状态进行设置,实现了对请求访问内网或外网网络资源用户终端的快速简便认证。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的单元或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的单元可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
Claims (10)
1、一种认证方法,其特征在于,应用于二层接入设备,包括:
从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述二层接入设备的端口是否为受限端口;
所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求重定向到认证服务器;
将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;
接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。
2、如权利要求1所述的方法,其特征在于,所述将所述用户终端的HTTP请求重定向到认证服务器包括:
预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器;
获取所述用户终端所属的VLAN,将所述用户终端的HTTP请求重定向到与所述VLAN对应的认证服务器。
3、如权利要求1所述的方法,其特征在于,还包括:所述用户终端返回的内容连续多次未通过所述认证服务器的认证时,将所述二层接入设备的端口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口处于休眠状态的时间到达预设的时间时,将所述二层接入设备的端口设置为受限状态。
4、如权利要求1所述的方法,其特征在于,还包括:
对于认证通过的所述用户终端,定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址,当不存在时,则将所述二层接入设备的端口设置为受限状态。
5、一种认证方法,其特征在于,应用于二层接入设备,包括:
用户终端通过浏览器发送访问内网或者外网地址的HTTP请求;
二层接入设备通过与所述用户终端连接的处于受限状态的端口接收所述HTTP请求,当HTTP请求中携带的目标地址为域名,则通过域名系统DNS解析获取所述域名对应的IP地址并继续下一步骤;如果目标地址为IP地址,则直接进行下一步骤;
所述二层接入设备通过传输控制协议TCP仿冒与所述用户终端建立虚假链接,记录所述用户终端的IP、MAC、VLAN、端口、访问地址信息中的一种或多种;
所述二层接入设备将所述用户终端发送的HTTP请求重定向到认证服务功能;
所述认证服务功能向所述二层接入设备返回认证页面,所述二层接入设备将所述认证页面发送给所述用户终端,要求所述用户终端提供合法的身份标识如用户名和密码;
所述用户终端输入用户名和密码,并提交给所述二层接入设备,所述二层接入设备将所述用户终端发送的内容发送给所述认证服务功能;
所述认证服务功能对所述用户终端的认证通过后通知所述二层接入设备,所述二层接入设备将所述用户终端的所连接的端口设置为非受限状态,正常转发所有报文。
6、一种二层接入设备,其特征在于,包括:
消息交互单元,用于与用户终端和认证服务器交互消息;具体的,从二层接入设备的端口接收用户终端发送的访问外网或内网地址的HTTP请求;将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;接收所述认证服务器发送的认证通过消息;
端口状态判断单元,用于当所述消息交互单元从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述端口是否为受限端口;
重定向单元,用于当所述端口状态判断单元判断所述二层接入设备的端口为受限端口时,将所述消息交互单元接收到的用户终端的HTTP请求重定向到认证服务器;
端口状态设置单元,用于当所述消息交互单元接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。
7、如权利要求6所述的二层接入设备,其特征在于,所述重定向单元包括:
配置子单元,用于预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器;
重定向子单元,用于获取所述用户终端所属的VLAN,将所述用户终端的HTTP请求重定向到与所述VLAN对应的认证服务器。
8、如权利要求6所述的二层接入设备,其特征在于,所述端口状态设置单元还用于:当所述用户终端返回的内容连续多次未通过所述认证服务器的认证时,将所述二层接入设备的端口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口处于休眠状态的时间到达预设的时间时,将二层接入设备的端口设置为受限状态。
9、如权利要求6所述的二层接入设备,其特征在于,所述端口状态设置单元还用于:对于认证通过的所述用户终端,定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址,当不存在时,则将所述二层接入设备的端口设置为受限状态。
10、如权利要求6至9中任一项所述的二层接入设备,其特征在于,所述认证服务器的功能与本交换设备中的认证功能实现时,还包括:
认证单元,用于对重定向后的用户终端的HTTP请求进行认证,并发送认证结果到所述端口状态设置单元。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910176468A CN101668017B (zh) | 2009-09-16 | 2009-09-16 | 一种认证方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910176468A CN101668017B (zh) | 2009-09-16 | 2009-09-16 | 一种认证方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101668017A true CN101668017A (zh) | 2010-03-10 |
CN101668017B CN101668017B (zh) | 2012-09-26 |
Family
ID=41804457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910176468A Active CN101668017B (zh) | 2009-09-16 | 2009-09-16 | 一种认证方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101668017B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102333081A (zh) * | 2011-08-03 | 2012-01-25 | 北京星网锐捷网络技术有限公司 | 认证方法、设备及系统 |
CN102916949A (zh) * | 2012-10-11 | 2013-02-06 | 北京东土科技股份有限公司 | 一种Web认证方法及装置 |
CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
CN106254495A (zh) * | 2016-08-17 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种重定向方法及装置 |
CN106803822A (zh) * | 2015-11-26 | 2017-06-06 | 北京网御星云信息技术有限公司 | 网络应用的安全接入方法和装置 |
CN106921970A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 一种接入认证方法、装置和系统 |
CN107124408A (zh) * | 2017-04-24 | 2017-09-01 | 深圳市元基科技开发有限公司 | 一种安全受控终端的入网控制方法及系统 |
CN107800715A (zh) * | 2017-11-13 | 2018-03-13 | 迈普通信技术股份有限公司 | 一种Portal认证方法及接入设备 |
CN109067729A (zh) * | 2018-07-26 | 2018-12-21 | 新华三技术有限公司 | 一种认证方法及装置 |
CN110831003A (zh) * | 2018-08-13 | 2020-02-21 | 广东亿迅科技有限公司 | 基于wlan灵活接入网络的认证方法及系统 |
CN115296926A (zh) * | 2022-09-27 | 2022-11-04 | 杭州安恒信息技术股份有限公司 | 一种网络流量管控方法、装置、设备及介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1893638A (zh) * | 2005-07-07 | 2007-01-10 | 沈阳鼎通科技有限公司 | 交互式网络电视用户的实时认证方法 |
-
2009
- 2009-09-16 CN CN200910176468A patent/CN101668017B/zh active Active
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102333081A (zh) * | 2011-08-03 | 2012-01-25 | 北京星网锐捷网络技术有限公司 | 认证方法、设备及系统 |
CN102333081B (zh) * | 2011-08-03 | 2014-01-22 | 北京星网锐捷网络技术有限公司 | 认证方法、设备及系统 |
CN102916949A (zh) * | 2012-10-11 | 2013-02-06 | 北京东土科技股份有限公司 | 一种Web认证方法及装置 |
CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
CN106803822A (zh) * | 2015-11-26 | 2017-06-06 | 北京网御星云信息技术有限公司 | 网络应用的安全接入方法和装置 |
CN106921970A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 一种接入认证方法、装置和系统 |
CN106254495A (zh) * | 2016-08-17 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种重定向方法及装置 |
CN107124408B (zh) * | 2017-04-24 | 2020-03-31 | 上海易杵行智能科技有限公司 | 一种安全受控终端的入网控制方法及系统 |
CN107124408A (zh) * | 2017-04-24 | 2017-09-01 | 深圳市元基科技开发有限公司 | 一种安全受控终端的入网控制方法及系统 |
CN107800715A (zh) * | 2017-11-13 | 2018-03-13 | 迈普通信技术股份有限公司 | 一种Portal认证方法及接入设备 |
CN107800715B (zh) * | 2017-11-13 | 2019-12-10 | 迈普通信技术股份有限公司 | 一种Portal认证方法及接入设备 |
CN109067729A (zh) * | 2018-07-26 | 2018-12-21 | 新华三技术有限公司 | 一种认证方法及装置 |
CN109067729B (zh) * | 2018-07-26 | 2021-12-24 | 新华三技术有限公司 | 一种认证方法及装置 |
CN110831003A (zh) * | 2018-08-13 | 2020-02-21 | 广东亿迅科技有限公司 | 基于wlan灵活接入网络的认证方法及系统 |
CN110831003B (zh) * | 2018-08-13 | 2023-10-13 | 广东亿迅科技有限公司 | 基于wlan灵活接入网络的认证方法及系统 |
CN115296926A (zh) * | 2022-09-27 | 2022-11-04 | 杭州安恒信息技术股份有限公司 | 一种网络流量管控方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101668017B (zh) | 2012-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101668017B (zh) | 一种认证方法和设备 | |
CN101133618B (zh) | 连接公共网络中的vpn用户 | |
CN101369893B (zh) | 一种对临时用户进行局域网络接入认证的方法 | |
CN101741817B (zh) | 一种多网络融合系统、装置及方法 | |
CN100591013C (zh) | 实现认证的方法和认证系统 | |
CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
CN101379795A (zh) | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 | |
CN106878135B (zh) | 一种连接方法及装置 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN104104654A (zh) | 一种设置Wifi访问权限、Wifi认证的方法和设备 | |
WO2003029916A2 (en) | Method and system for managing data traffic in wireless networks | |
CN103200159B (zh) | 一种网络访问方法和设备 | |
JP2006524005A (ja) | ゲスト・ユーザーおよびローカル・ユーザーの双方のために企業用のホット・スポットにおけるシームレスなアクセスを提供する技術 | |
CN101087236B (zh) | Vpn接入方法和设备 | |
CN105592180B (zh) | 一种Portal认证的方法和装置 | |
CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
CN107659934A (zh) | 一种无线网络连接的控制方法及无线网络接入设备 | |
CN109413649A (zh) | 一种接入认证方法及装置 | |
CN106686592B (zh) | 一种带有认证的网络接入方法及系统 | |
CN109218389A (zh) | 处理业务请求的方法、装置和存储介质以及电子设备 | |
CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 | |
AU2017344389B2 (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration | |
CN102045398B (zh) | 一种基于Portal的分布式控制方法和设备 | |
CN102075504A (zh) | 一种实现二层门户认证的方法、系统及门户服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |