CN102111406B - 一种认证方法、系统和dhcp代理服务器 - Google Patents
一种认证方法、系统和dhcp代理服务器 Download PDFInfo
- Publication number
- CN102111406B CN102111406B CN201010612102.0A CN201010612102A CN102111406B CN 102111406 B CN102111406 B CN 102111406B CN 201010612102 A CN201010612102 A CN 201010612102A CN 102111406 B CN102111406 B CN 102111406B
- Authority
- CN
- China
- Prior art keywords
- terminal
- dhcp
- server
- dns
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供了一种认证方法、系统和DHCP代理服务器。其中,该方法包括:A,DHCP代理服务器截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文,并判断终端是否安全,如果不安全,则将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以使终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求;B,DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。采用本发明,无需接入设备的配合即可实现终端的认证。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种认证方法、系统和动态主机配置协议(DHCP)代理服务器。
背景技术
伴随着信息时代的飞速发展,网络安全面临着前所未有的考验。为了保证企业网内部的安全性和可用性,在网络建设上,我们不仅要从企业网外围封堵非法入侵(如:安装防火墙、防病毒软件、各种入侵检测软件等),而且还要控制企业网内部的终端在接入网络前的合法性和安全性。
目前,针对终端接入网络的安全控制,业界已经出现了多种认证方式,其中,比较成熟的认证方案为IEEE 802.1x和WEB网关方案,下面分别进行描述:
IEEE 802.1X方案
IEEE 802.1X定义了基于端口的网络接入控制协议(Port-based NetworkAccess Control),该网络接入控制协议是二层标准协议,其根据用户认证成功与否,控制端口的打开或者关闭,具体如图1所示。
参见图1,图1为现有技术中IEEE 802.1X方案示意图。在图1中,IEEE802.1X方案涉及以下三个组成部分:
1、客户端:
该客户端,为额外安装在终端上的软件,其为LAN所连接的一端的实体(entity),用于触使终端向认证系统(Authenticator)发起认证请求,以便对其身份的合法性进行检验。
2、认证系统:
该认证系统,为LAN连接的一端用于认证客户端的实体,其通常为支持IEEE 802.1X协议的接入设备,用于为客户端提供服务端口。
3、认证服务器(Authentication Server):
该认证服务器为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的认证请求,来判断该客户端是否有权使用认证系统所提供的网络服务。
基于上述描述,IEEE 802.1X方案具体为:在初始阶段,关闭接入设备为一客户端提供的服务端口,该客户端为特意安装在终端,用于发起认证的客户端,此时,该服务端口仅允许该客户端发送的认证报文通过,如此,安装了该客户端的终端无法被分配到IP地址,进而也无法接入网络;当认证服务器通过认证报文的认证后,打开该服务端口,此时,该服务端口允许所有报文通过。如此,如图1所示,安装了该客户端的终端可通过发送DHCP请求报文给DHCP服务器,以获取IP地址,进而根据该IP地址访问Internet资源。
以上对IEEE 802.1X方案进行了描述。该方案虽然能实现客户端的认证,但是,由于该方案基于二层认证协议,认证策略比较简单,新业务支持能力较弱,以及兼容性差;并且,该方案要求终端额外安装客户端,安装过程复杂,给用户使用带来不方便。
为了解决IEEE 802.1X方案带来的技术问题,现有技术又提出了WEB网关认证方案,该WEB网关认证方案较IEEE 802.1X方案有了一定的改进,即免安装客户端,用户使用起来比较方便,以及该方案大多采用三层协议,能够比较方便的支持新业务,下面对WEB网关认证方案进行描述。
参见图2,图2为现有技术中WEB网关认证方案示意图。在图2中,该WEB网关认证方案涉及以下四个组成部分:
1、认证客户端:
该认证客户端用于访问网络资源,是发起身份认证的源头。
2、接入设备:
该接入设备用于控制认证客户端访问网络资源。在认证客户端发起认证过程中,接入设备收到WEB网关服务器的请求后,与认证服务器进行认证交互。
3、WEB网关服务器:
该WEB网关服务器用于提供WEB身份认证的网页,同时,WEB网关收到认证客户端的认证请求后,与接入设备进行认证交互。
4、认证服务器:
该认证服务器用于提供认证服务。
基于上面描述,WEB网关认证方案具体为:认证客户端发送HTTP请求,接入设备接收到HTTP请求后,将该HTTP请求重定向到WEB网关服务器,WEB网关服务器通过接入设备发送认证请求至认证服务器,当认证服务器通过该认证请求后,接入设备放开对认证客户端的权限控制,如此,认证客户端可访问Internet资源。
从上面对WEB网关认证方案的描述可以知道,虽然该WEB网关认证方案能够解决IEEE 802.1X方案带来的技术问题,但是,在具体实现中,该WEB网关认证方案只能通过网页方式(即发送HTTP请求)进行用户身份认证,而无法进行终端机自身的安全检查(如:是否安装防病毒软件等),并且,该WEB网关认证方案通常采用私有协议,并要求使用支持WEB网关私有协议的接入设备,如此,就需要改造企业网现有的网络架构,进行接入设备的重新部署和升级。
发明内容
本发明提供了认证方法、系统和DHCP服务器,无需接入设备的配合即可实现终端的认证。
本发明提供的技术方案包括:
一种认证方法,该方法应用于包含终端、认证服务器、DHCP服务器和DNS服务器的系统中,其特征在于,所述系统还包括:DHCP代理服务器和DNS代理服务器;该方法包括:
A,DHCP代理服务器截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文,并判断终端是否安全,如果不安全,则将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以使终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求;
B,DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。
一种认证系统,该系统包括:终端、认证服务器、DHCP服务器和DNS服务器;其关键在于,该系统还包括:DHCP代理服务器和DNS代理服务器;
所述DHCP服务器用于向终端发送携带了DNS服务器地址的DHCP回应报文;
所述DHCP代理服务器用于截获所述DHCP服务器发送的DHCP回应报文,并判断所述终端是否安全,如果所述终端不安全,则将该DHCP回应报文中DNS服务器的地址修改为所述DNS代理服务器的地址,向所述终端转发修改后的DHCP回应报文;
所述终端用于在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求;
所述DNS代理服务器用于接收到域名解析请求后,触使所述认证服务器对所述终端进行认证。
一种应用于认证的DHCP代理服务器,包括:
截获单元,用于截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文;
判断单元,用于判断终端是否安全;
处理单元,用于在所述判断单元的判断结果为否时,将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以保证终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求,由该DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。
由以上技术方案可以看出,本发明中,通过增加DHCP代理服务器和DNS代理服务器,并利用网络中已部署的DHCP和DNS服务机制,能够保证终端无需额外安装客户端,无需接入设备的配合,即可实现终端的认证;
进一步地,由于本发明不依赖于接入设备,因此,无需调整当前的网络架构,实现比较简单。
附图说明
图1为现有技术中IEEE 802.1X方案示意图;
图2为现有技术中WEB网关认证方案示意图;
图3为本发明实施例提供的基本流程图;
图4为本发明实施例提供的详细流程图;
图5为本发明实施例提供的组网示意图;
图6为本发明实施例提供的步骤418的操作流程图;
图7为本发明实施例提供的认证系统的结构图;
图8为本发明实施例提供的DHCP代理服务器的结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明实施例提供的认证方法主要利用网络中已部署的DHCP和DNS服务机制,能够保证终端无需额外安装客户端,无需接入设备的配合,即可实现身份认证和安全认证,具体参见图3所示的流程。
参见图3,图3为本发明实施例提供的基本流程图。该流程适用于包含终端、认证服务器、DHCP服务器、DNS服务器、DHCP代理服务器和DNS代理服务器的系统。
本流程中,DHCP代理服务器可为安装在DHCP服务器上的代理插件,当然,作为本发明实施例的一种扩展,该DHCP代理服务器也可为独立于DHCP服务器的一个实体。该DHCP代理服务器用于拦截DHCP服务器向终端发送的DHCP回应报文,并根据终端的安全与否确定是否修改该DHCP回应报文中携带的DNS服务器的地址。
DNS代理服务器,其可独立于DNS服务器,也可为DNS服务器中的功能单元,本发明实施例并不具体限定。该DNS代理服务器用于接收到终端的域名解析请求时,触使认证服务器对该终端进行认证。
认证服务器、DHCP服务器和DNS服务器具有的功能均与现有技术类似,这里不再赘述。
基于上面的描述,图3所示的流程可包括以下步骤:
步骤301,DHCP代理服务器截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文,并判断终端是否安全,如果不安全,则将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以使终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求。
步骤302,DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。
至此,完成了图3所示的流程。下面通过图4对图3所示的流程进行描述。
参见图4,图4为本发明实施例提供的详细流程图。本流程可基于图5所示的组网。该组网中除了包含上面描述的客户端、认证服务器、DHCP服务器、DNS服务器、DHCP代理服务器和DNS代理服务器之外,还可以进一步包括:用于推送DHCP认证页面的DHCP WEB服务器。该DHCP WEB服务器为DHCP WEB的门户网站,为用户推出认证页面并下载客户端至终端,具体见步骤416至步骤420的描述。
本流程以DHCP回应报文为DHCP服务器对终端发送的用于请求IP地址的DHCP请求报文的回应报文为例,其他情况原理类似。其中,该DHCP回应报文至少包含以下三个字段:用于承载DNS服务器地址的第一字段、用于承载终端MAC地址的第二字段和用于承载所述DHCP服务器为所述终端分配的IP地址的第三字段。基于此,图4所示的流程可包括以下步骤:
步骤401,终端在启动后发送DHCP请求报文至DHCP服务器,以请求DHCP服务器为其分配IP地址。
步骤402,DHCP服务器接收到DHCP请求报文后,从已划分的IP地址池中找到对应的IP地址,将该IP地址、终端的MAC地址和对应的DNS服务器的地址分别携带在DHCP回应报文的第三字段、第二字段和第一字段中,之后向终端发送该DHCP回应报文。
也就是说,执行完到本步骤402时,该DHCP回应报文携带的是DNS服务器的地址。
步骤403,DHCP代理服务器截获DHCP服务器向终端发送的DHCP回应报文,并判断所述DHCP回应报文中第二字段的MAC地址是否为免认证的MAC地址,如果是,执行步骤404,否则,执行步骤405。
针对某些组网,部分终端如服务器和打印机等无需进行身份认证和安全认证,即可接入网络。也就是说,针对向这部分终端发送的DHCP回应报文,DHCP代理服务器代理会放过,直接执行步骤404,以达到免认证的目的。本实施例中,为了达到该目的,可根据实际情况在DHCP代理服务器上创建一个免认证MAC地址列表。如此,步骤403中的判断为:DHCP代理服务器判断DHCP回应报文中第二字段的MAC地址是否在免认证MAC地址列表中,如果是,则确定DHCP回应报文中第二字段的MAC地址为免认证的MAC地址,否则,确定DHCP回应报文中第二字段的MAC地址不为免认证的MAC地址。
步骤404,向终端转发DHCP回应报文。之后执行步骤412。
步骤405,DHCP代理服务器发送询问请求至认证服务器,以询问所述终端是否安全。
步骤406,认证服务器接收到所述询问请求后,判断已创建的安全信息列表中是否存在所述终端的安全信息,如果是,执行步骤407,否则,执行步骤410。
在执行本步骤406之前,认证服务器会预先创建一个安全信息列表,该安全信息列表在初始阶段可为空,也可包含管理人员根据实际情况输入的若干个终端的安全信息,之后,由认证服务器在完成针对终端的认证后添加,具体见步骤419。该安全信息列表包含了终端标识和安全信息之间的对应关系,其中,该安全信息可表示不安全或者安全。
基于此,可以知道,所述询问请求可包含所述终端的标识,步骤406中的判断具体为:认证服务器以所述终端的标识为关键字,从所述安全信息列表中查找包含该关键字的对应关系,如果查找到,确定所述安全信息列表存在所述终端的安全信息,否则,确定所述安全信息列表不存在所述终端的安全信息。
步骤407,将所述终端的安全信息发送给DHCP代理服务器。之后执行步骤408。
步骤408,DHCP代理服务器判断该安全信息表示安全还是不安全,如果是前者,则返回执行步骤404,否则,执行步骤409。
步骤409,将所述DHCP回应报文中第一字段的地址修改为DNS代理服务器的地址,并向终端转发修改后的DHCP回应报文。之后执行步骤412。
也就是说,执行完本步骤409时,第一字段的地址不再是DNS服务器的地址,而是DNS代理服务器的地址。
步骤410,将不存在的通知发送给DHCP代理服务器。之后执行步骤411。
步骤411,DHCP代理服务器接收到不存在的通知时,为所述DHCP回应报文中第三字段的IP地址设置租期期限,以使所述终端在所述IP地址的租期期限到达时,再次返回步骤401中发送DHCP请求报文的操作,并在完成设置后,向所述终端发送设置后的DHCP回应报文。之后执行步骤412。
需要说明的是,作为本发明实施例的一种扩展,步骤405中,如果DHCP代理服务器无法和认证服务器通信,即步骤405中的询问请求发送失败,也可直接执行本步骤411中的设置操作。
步骤412,终端接收到DHCP回应报文后,存储该DHCP回应报文中第一字段、第二字段和第三字段的内容,并在访问外部网络资源时,向所述第一字段中的地址发送域名解析请求。
本步骤412中,终端接收的DHCP回应报文中第一字段的地址存在以下两种情况:其中一种情况为:第一字段的地址为DNS服务器的地址(记为情况1),该情况1下,DHCP代理服务器未对DHCP服务器发送的DHCP回应报文作任何处理,即通过步骤404发送的DHCP回应报文;另一种情况为:第一字段的地址为DNS代理服务器的地址(记为情况2),该情况2下,DHCP代理服务器对DHCP服务器发送的DHCP回应报文中第一字段的地址进行了修改,即通过步骤409发送的DHCP回应报文。针对情况1,终端向DNS服务器发送域名解析请求,以使DNS服务器执行域名解析操作(该操作与现有技术类似,这里不再赘述),具体见步骤414;针对情况2,终端向DNS代理服务器发送域名解析请求,以使DNS代理服务器接收到域名解析请求后,触使认证服务器对该终端进行认证,具体见步骤415。
另外,执行到本步骤412时,终端接收的DHCP回应报文中第三字段的IP地址也存在两种情况,一种情况为该IP地址被设置了租期期限,另一种情况为该IP地址未被设置租期期限。针对IP地址被设置了租期期限的情况,终端需要实时监控该租期期限是否到达,如果是,则返回步骤401中发送DHCP请求报文的操作。针对IP地址未被设置租期期限的情况,可按照现有方式处理,也可长期使用该IP地址,本发明实施例并不具体限定。
步骤413,如果DNS服务器接收到域名解析请求,则执行步骤414,如果DNS代理服务器接收到域名解析请求,则执行步骤415。
针对情况1,由于该情况1下,第一字段的地址为DNS服务器的地址,因此,步骤412中的向第一字段中的地址发送域名解析请求实质为:向DNS服务器发送域名解析请求,因此,执行到本步骤413时,DNS服务器会接收到域名解析请求,之后执行步骤414。针对情况2,由于该情况2下,第一字段的地址为DNS代理服务器的地址,此时,步骤412中的向第一字段中的地址发送域名解析请求实质为:向DNS代理服务器发送域名解析请求,因此,执行到本步骤413时,DNS代理服务器会接收到域名解析请求,之后执行步骤415。
步骤414,DNS服务器接收到域名解析操作后,执行域名解析操作,并返回解析后的域名给终端,以使终端访问外部网络资源。结束当前流程。
本步骤414中,DNS服务器执行的操作与现有协议中DNS服务器执行的操作类似,这里不再赘述
步骤415,DNS代理服务器判断所述域名解析请求携带的域名是否为免认证域名,如果是,直接将所述域名解析请求发送给DNS服务器,之后返回步骤414,否则,执行步骤416。
在组网中,有些域名的访问是放开的,不安全终端也是可以访问的。为了达到该目的,需要预先在DNS代理服务器上创建免认证域名列表。基于此,步骤415中的判断为:以所述域名解析请求携带的域名为关键字在所述免认证域名列表中查找所述关键字,如果查找到,则确定所述域名解析请求携带的域名为免认证域名,否则,确定所述域名解析请求携带的域名不为免认证域名。
步骤416,DNS代理服务器将所述域名解析为所述DHCP WEB服务器的地址,并发送给终端,以使所述终端向所述DHCP WEB服务器的地址发送HTTP请求。
步骤417,DHCP WEB服务器接收到所述HTTP请求后,提供DHCP认证页面给所述终端,以使所述终端通过所述DHCP认证页面提交认证请求,并在接收到所述认证请求后,提供客户端至所述终端。
本实施例中,终端通过DHCP认证页面提交认证请求时,还可进一步提交认证参数。
本实施例中,客户端是DHCP WEB服务器提供给终端的,其采用JAVAWEB START方式自动下载并运行,该终端的用户没有任何感知。
步骤418,客户端触使认证服务器对所述终端进行认证。
也就是说,该客户端用于实现终端的认证,其具体可参见图6。步骤419,认证服务器在完成终端的认证后,记录认证结果至所述安全信息列表中,并发送认证结果至终端。
步骤420,客户端在获知终端通过认证时,触使所述终端返回执行步骤401中发送DHCP请求报文的操作。结束当前流程。
至此,完成图4所示的流程。
在步骤418中,认证服务器对终端进行认证具体可包括:身份认证和安全认证,其中,安全认证是在身份认证通过之后执行。基于此,步骤419具体为:如果终端通过安全认证,确定该终端的安全信息为安全,并记录至所述已创建的安全信息列表中,在所述终端未通过安全认证或者身份认证后,确定该终端的安全信息为不安全,并记录至所述已创建的安全信息列表;之后,发送认证结果(该认证结果包含终端通过安全认证、通过身份认证、未通过安全认证和未通过身份认证的结果)至终端。步骤420的终端通过认证实质为通过安全认证。
下面对上述步骤418中的操作进行描述。
参见图6,图6为本发明实施例提供的步骤418的操作流程图。如图6所示,该流程可包括以下步骤:
步骤601,客户端触使终端发送身份认证请求至认证服务器。
在上述步骤417中,DHCP WEB服务器提供的客户端携带了用户终端在所述DHCP认证页面中提交的认证参数,如此,本步骤601中的身份认证请求可以携带所述认证参数。
步骤602,所述认证服务器对所述终端进行身份认证,在终端通过身份认证时,告知给客户端。
通常,为实现身份认证,会预先配置一个身份认证参数表,当认证服务器接收到身份认证请求后,会将该身份认证请求携带的认证参数和身份认证参数表中的相应认证参数进行匹配,如果完全匹配,则表示终端通过身份认证,否则,则表示终端未通过身份认证。
作为本发明实施例的一种扩展,在终端未通过身份认证时,也可告知给客户端,只不过该客户端不再执行下述步骤603。
步骤603,所述客户端在所述终端通过身份认证后,触使终端发送安全认证请求至认证服务器。
步骤604,所述认证服务器对所述终端进行安全认证。
至此,完成了图6所示的流程。
在图6所示的流程中,步骤603和步骤604之间还可进一步包括以下步骤:所述认证服务器接收到安全认证请求后,确定用于对该终端进行安全认证的认证策略,并告知给客户端;客户端从终端上查找该认证策略对应的安全认证参数,并触使终端通知给认证服务器。基于此,步骤604具体为:认证服务器对该安全认证参数进行安全认证,通常,为实现安全认证,会预先配置一个安全认证参数表,当认证服务器接收到安全认证参数后,会将该安全认证参数和安全认证参数表中的相应认证参数进行匹配,如果完全匹配,则表示终端通过身份认证,否则,则表示终端未通过身份认证。
至此,完成了对本发明实施例提供的方法的描述。
参见图7,图7为本发明实施例提供的认证系统结构图。如图7所示,该系统包括:终端701、认证服务器702、DHCP服务器703和DNS服务器704;其关键在于,该系统还包括:DHCP代理服务器705和DNS代理服务器706。
其中,DHCP服务器703用于向终端701发送携带了DNS服务器地址的DHCP回应报文;
DHCP代理服务器705用于截获DHCP服务器703发送的DHCP回应报文,并判断终端701是否安全,如果终端701不安全,则将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端701转发修改后的DHCP回应报文;
终端701用于在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器706的地址发送域名解析请求;
DNS代理服务器706用于接收到域名解析请求后,触使认证服务器702对终端701进行认证。
本实施例中,所述DHCP回应报文还携带了终端的MAC地址;基于此,DHCP代理服务器705在执行判断终端是否安全之前进一步判断所述DHCP回应报文携带的终端MAC地址是否为免认证的MAC地址,如果否,继续执行判断终端701是否安全的操作,否则,向终端701转发截获的DHCP回应报文;
终端701还用于接收该截获的DHCP回应报文,并在访问外部网络资源时,向该DHCP回应报文携带的DNS服务器的地址发送域名解析请求;
DNS服务器704用于在接收到域名解析请求后,执行域名解析操作,并将解析后的域名发送给终端701,以使终端701访问外部网络资源。
本实施例中,DNS代理服务器706在接收到域名解析请求之后,且在触使认证服务器对终端进行认证之前,进一步用于判断所述域名解析请求携带的域名是否为免认证域名,如果否,执行触使认证服务器702对终端701进行认证的操作,如果是,直接将所述域名解析请求发送给DNS704,由DNS服务器704对该域名解析请求携带的域名进行解析、并将解析后的域名发送给终端,以使终端访问外部网络资源。
如图7所示,该系统还包括:DHCP WEB服务器707和客户端708;
DNS代理服务器706用于将所述域名解析请求携带的域名解析为所述DHCP WEB服务器的地址,并发送给终端,以使所述终端向所述DHCP WEB服务器的地址发送HTTP请求;
DHCP WEB服务器707用于接收到所述HTTP请求后,提供DHCP认证页面给所述终端,以使所述终端通过所述DHCP认证页面提交认证请求;以及在接收到所述认证请求后,提供客户端至所述终端。可以看出,客户端708是运行在终端701上的。
终端701上的客户端708用于触使认证服务器702对终端701进行认证。
本实施例中,所述DHCP回应报文为DHCP服务器703对终端发送的用于请求IP地址的DHCP请求报文的回应;认证服务器702在所述终端通过认证后,告知给所述终端;该终端上的客户端在获知所述终端通过安全认证时,触使所述终端发送DHCP请求报文。
另外,本发明实施例还提供了一种应用于认证的DHCP代理服务器。参见图8,图8为本发明实施例提供的DHCP代理服务器结构图。如图8所示,该DHCP代理服务器包括:
截获单元801,用于截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文;
判断单元802,用于判断终端是否安全;
处理单元803,用于在判断单元802的判断结果为否时,将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以保证终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求,由该DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。
至此,完成图8所示的DHCP代理服务器的结构描述。
以上对本发明实施例提供的系统和DHCP代理服务器的结构进行了描述。
由以上技术方案可以看出,本发明达到的技术效果为:
1),通过安装一个DHCP代理服务器,该DHCP代理服务器不会影响DHCP服务器为终端分配IP地址的操作,并且,该DHCP代理服务器通常是搭载在现有DHCP服务器上的一个插件,部署方便,不影响现有架构。
2),通过在网络中部署一个DNS代理服务器,DNS代理服务器将不安全终端的域名解析请求全部定向到DHCP WEB服务器上,以使DHCP WEB服务器向不安全终端提供认证页面。该DNS代理服务器利用了已有的域名解析机制,无需任何接入设备的配合即可使DHCP WEB服务器推出认证页面,部署方便。
3),DHCP WEB认证页面可自动将客户端下载至终端,触使终端发起认证,这样,一方面避免了在用户终端安装客户端的复杂性,另一方面,又实现了以WEB方式实现认证(该认证可包括身份认证和安全认证)。
4),DHCP代理服务器在发送查询请求失败或者认证服务器无法确定客户端的安全情况时,利用DHCP分配IP地址的租期特性,为DHCP回应报文中的IP地址定义一个租期期限(该期限一般比较短),在租期期限达时,终端会再次发送DHCP请求报文请求IP地址,保证第一时间进入本发明提供的方法。
5),本发明中,通过DHCP代理服务器提供免认证MAC地址的控制实现某些无需受到认证限制即可直接访问外网的特定终端尽快访问到外网;进一步地,本发明通过DNS代理服务器提供免认证域名的控制实现某些终端无需认证即可访问DNS服务器,这提高了本发明的应用性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (16)
1.一种认证方法,该方法应用于包含终端、认证服务器、DHCP服务器和DNS服务器的系统中,其特征在于,所述系统还包括:DHCP代理服务器和DNS代理服务器;该方法包括:
A,DHCP代理服务器截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文,并判断终端是否安全,如果不安全,则将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以使终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求;
B,DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。
2.根据权利要求1所述的方法,其特征在于,步骤A中,判断终端是否安全包括:
A1,所述DHCP代理服务器发送询问请求至所述认证服务器;
A2,所述认证服务器接收到所述询问请求后,判断已创建的安全信息列表中是否存在所述终端的安全信息,如果是,将该存在的安全信息发送给所述DHCP代理服务器;
A3,所述DHCP代理服务器判断该终端的安全信息是表示安全还是不安全,如果是前者,则确定终端安全,如果是后者,则确定终端不安全。
3.根据权利要求1或2所述的方法,其特征在于,所述DHCP回应报文还携带了终端的MAC地址;
步骤A中,DHCP代理服务器在判断终端是否安全之前进一步包括:
判断所述DHCP回应报文携带的终端MAC地址是否为免认证的MAC地址,如果否,继续执行判断终端是否安全的操作。
4.根据权利要求3所述的方法,其特征在于,如果判断出终端安全,或者,如果判断出DHCP回应报文携带的终端MAC地址为免认证的MAC地址,则该方法进一步包括:
向终端转发该截获的DHCP回应报文,以使终端在接收到该DHCP回应报文后,若需要访问外部网络资源,向该DHCP回应报文包含的DNS服务器的地址发送域名解析请求;
当DNS服务器接收到域名解析请求后,执行域名解析操作,并将解析后的域名发送给终端,以使终端访问外部网络资源。
5.根据权利要求2所述的方法,其特征在于,所述DHCP回应报文为DHCP服务器对终端发送的用于请求IP地址的DHCP请求报文的回应,其还携带了DHCP服务器为所述终端分配的IP地址;
如果步骤A1中的询问请求发送失败,或者步骤A2中的判断结果为否,则该方法进一步包括:所述DHCP代理服务器为所述DHCP回应报文携带的IP地址设置租期期限,在完成设置后向所述终端发送设置后的DHCP回应报文,以使所述终端在接收的DHCP回应报文所携带的IP地址的租期期限到达时,再次发送所述DHCP请求报文,并返回步骤A。
6.根据权利要求1所述的方法,其特征在于,步骤B中,DNS代理服务器在接收到域名解析请求之后,且在触使认证服务器对终端进行认证之前,进一步包括:
判断所述域名解析请求携带的域名是否为免认证域名,如果否,执行触使认证服务器对终端进行认证的操作,如果是,直接将所述域名解析请求发送给DNS服务器,由DNS服务器对该域名解析请求携带的域名进行解析、并将解析后的域名发送给终端,以使终端访问外部网络资源。
7.根据权利要求1或6所述的方法,其特征在于,所述系统还包括:用于推送DHCP认证页面的DHCP WEB服务器;
步骤B中,DNS代理服务器触使认证服务器对所述终端进行认证包括:
B1,DNS代理服务器将所述域名解析请求携带的域名解析为所述DHCP WEB服务器的地址,并发送给终端,以使所述终端向所述DHCP WEB服务器的地址发送HTTP请求;
B2,所述DHCP WEB服务器接收到所述HTTP请求后,提供DHCP认证页 面给所述终端,以使所述终端通过所述DHCP认证页面提交认证请求;
B3,所述DHCP WEB服务器在接收到所述认证请求后,提供客户端至所述终端;
B4,所述客户端触使所述认证服务器对所述终端进行认证。
8.根据权利要求7所述的方法,其特征在于,步骤B4包括:
B41,客户端触使终端发送身份认证请求至认证服务器;
B42,所述认证服务器对所述终端进行身份认证,在所述终端通过身份认证后,告知给终端;
B43,所述客户端在获知所述终端通过身份认证后触使终端发送安全认证请求至认证服务器;
B44,所述认证服务器对所述终端进行安全认证。
9.根据权利要求8所述的方法,其特征在于,该方法进一步包括:所述认证服务器在所述终端通过安全认证后,确定该终端的安全信息为安全,并记录至已创建的安全信息列表中,在所述终端未通过安全认证或者身份认证后,确定该终端的安全信息为不安全,并记录至所述已创建的安全信息列表。
10.根据权利要求8或9所述的方法,其特征在于,所述DHCP回应报文为DHCP服务器对终端发送的用于请求IP地址的DHCP请求报文的回应;
该方法进一步包括:所述认证服务器在所述终端通过安全认证后,告知给所述终端,所述客户端在获知所述终端通过安全认证时,触使所述终端发送DHCP请求报文,并返回执行步骤A。
11.一种认证系统,该系统包括:终端、认证服务器、DHCP服务器和DNS服务器;其特征在于,该系统还包括:DHCP代理服务器和DNS代理服务器;
所述DHCP服务器用于向终端发送携带了DNS服务器地址的DHCP回应报文;
所述DHCP代理服务器用于截获所述DHCP服务器发送的DHCP回应报文,并判断所述终端是否安全,如果所述终端不安全,则将该DHCP回应报文中DNS服务器的地址修改为所述DNS代理服务器的地址,向所述终端转发修改后的 DHCP回应报文;
所述终端用于在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求;
所述DNS代理服务器用于接收到域名解析请求后,触使所述认证服务器对所述终端进行认证。
12.根据权利要求11所述的系统,其特征在于,所述DHCP回应报文还携带了终端的MAC地址;
所述DHCP代理服务器在执行判断终端是否安全之前进一步判断所述DHCP回应报文携带的终端MAC地址是否为免认证的MAC地址,如果否,继续执行判断终端是否安全的操作,否则,向终端转发截获的DHCP回应报文;
所述终端还用于接收该截获的DHCP回应报文,并在访问外部网络资源时,向该DHCP回应报文携带的DNS服务器的地址发送域名解析请求;
所述DNS服务器用于在接收到域名解析请求后,执行域名解析操作,并将解析后的域名发送给终端,以使终端访问外部网络资源。
13.根据权利要求11所述的系统,其特征在于,所述DNS代理服务器在接收到域名解析请求之后,且在触使认证服务器对终端进行认证之前,进一步用于判断所述域名解析请求携带的域名是否为免认证域名,如果否,执行触使认证服务器对终端进行认证的操作,如果是,直接将所述域名解析请求发送给DNS服务器,由DNS服务器对该域名解析请求携带的域名进行解析、并将解析后的域名发送给终端,以使终端访问外部网络资源。
14.根据权利要求11或13所述的系统,其特征在于,所述系统还包括:DHCP WEB服务器和客户端;
所述DNS代理服务器用于将所述域名解析请求携带的域名解析为所述DHCP WEB服务器的地址,并发送给终端,以使所述终端向所述DHCP WEB服务器的地址发送HTTP请求;
所述DHCP WEB服务器用于接收到所述HTTP请求后,提供DHCP认证页面给所述终端,以使所述终端通过所述DHCP认证页面提交认证请求;以及在 接收到所述认证请求后,提供客户端至所述终端;
所述客户端用于触使所述认证服务器对所述终端进行认证。
15.根据权利要求14所述的系统,其特征在于,所述DHCP回应报文为DHCP服务器对终端发送的用于请求IP地址的DHCP请求报文的回应;
所述认证服务器在所述终端通过认证后,告知给所述终端;
所述客户端在获知所述终端通过安全认证时,触使所述终端发送DHCP请求报文。
16.一种应用于认证的DHCP代理服务器,其特征在于,所述DHCP代理服务器包括:
截获单元,用于截获DHCP服务器向终端发送的携带了DNS服务器地址的DHCP回应报文;
判断单元,用于判断终端是否安全;
处理单元,用于在所述判断单元的判断结果为否时,将该DHCP回应报文中DNS服务器的地址修改为DNS代理服务器的地址,向终端转发修改后的DHCP回应报文,以保证终端在接收到修改后的DHCP回应报文后,若需要访问外部网络资源,向DNS代理服务器的地址发送域名解析请求,由该DNS代理服务器接收到域名解析请求后,触使认证服务器对所述终端进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010612102.0A CN102111406B (zh) | 2010-12-20 | 2010-12-20 | 一种认证方法、系统和dhcp代理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010612102.0A CN102111406B (zh) | 2010-12-20 | 2010-12-20 | 一种认证方法、系统和dhcp代理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102111406A CN102111406A (zh) | 2011-06-29 |
| CN102111406B true CN102111406B (zh) | 2014-02-05 |
Family
ID=44175436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010612102.0A Expired - Fee Related CN102111406B (zh) | 2010-12-20 | 2010-12-20 | 一种认证方法、系统和dhcp代理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102111406B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404317A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
| CN103327008A (zh) * | 2013-05-22 | 2013-09-25 | 杭州华三通信技术有限公司 | 一种http重定向方法及装置 |
| CN103297564B (zh) * | 2013-07-03 | 2016-12-28 | 深圳市共进电子股份有限公司 | 一种自动切换外部代理服务器地址的方法 |
| CN104427499B (zh) * | 2013-09-11 | 2018-11-13 | 中国电信股份有限公司 | 基于万维网的无线局域网接入认证方法与系统 |
| CN104735050B (zh) * | 2014-12-19 | 2018-03-20 | 武汉烽火网络有限责任公司 | 一种融合mac认证和web认证的认证方法 |
| CN107786502B (zh) * | 2016-08-26 | 2022-03-22 | 中兴通讯股份有限公司 | 一种认证代理方法、装置和设备 |
| CN106330948A (zh) * | 2016-09-09 | 2017-01-11 | 杭州华三通信技术有限公司 | 一种报文控制方法及装置 |
| CN108093091B (zh) * | 2016-11-22 | 2021-06-08 | 华为数字技术(苏州)有限公司 | 一种获取主机附加信息的方法和代理设备 |
| CN106878337A (zh) * | 2017-03-29 | 2017-06-20 | 华南理工大学 | 一种实现接入网源地址验证的Web认证方法与系统 |
| CN107241456A (zh) * | 2017-05-12 | 2017-10-10 | 北京星网锐捷网络技术有限公司 | 一种终端接入控制的方法和服务器 |
| CN108337257B (zh) * | 2018-01-31 | 2020-12-04 | 新华三技术有限公司 | 一种免认证访问方法和网关设备 |
| CN111263364B (zh) * | 2018-12-03 | 2022-08-02 | 中国电信股份有限公司 | WiFi认证方法、系统、DNS服务器和计算机可存储介质 |
| CN111787044A (zh) * | 2019-12-23 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 物联网终端平台 |
| CN111586199B (zh) * | 2020-04-29 | 2023-01-24 | 杭州迪普科技股份有限公司 | 无线接入设备及其数据处理方法 |
| CN115001745B (zh) * | 2022-04-24 | 2024-01-30 | 四川天邑康和通信股份有限公司 | 一种基于政企网关的内网用户本地认证的系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1458760A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络的安全接入方法 |
| CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN101145907A (zh) * | 2006-09-11 | 2008-03-19 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及系统 |
| CN101426004A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 三层会话的接入方法、系统及设备 |
| CN101631133A (zh) * | 2008-07-15 | 2010-01-20 | 华为技术有限公司 | 一种域名解析系统、设备及方法 |
-
2010
- 2010-12-20 CN CN201010612102.0A patent/CN102111406B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1458760A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络的安全接入方法 |
| CN101145907A (zh) * | 2006-09-11 | 2008-03-19 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及系统 |
| CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN101426004A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 三层会话的接入方法、系统及设备 |
| CN101631133A (zh) * | 2008-07-15 | 2010-01-20 | 华为技术有限公司 | 一种域名解析系统、设备及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102111406A (zh) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102111406B (zh) | 一种认证方法、系统和dhcp代理服务器 | |
| CN110417776B (zh) | 一种身份认证方法及装置 | |
| JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| US8281381B2 (en) | Techniques for environment single sign on | |
| US9043591B2 (en) | Image forming apparatus, information processing method, and storage medium | |
| US7904952B2 (en) | System and method for access control | |
| JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| US8769128B2 (en) | Method for extranet security | |
| CN107637044B (zh) | 安全带内服务检测 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US8191123B2 (en) | Provisioning a network appliance | |
| US9882965B2 (en) | Techniques for network process identity enablement | |
| US9071443B2 (en) | Automated service platform prospecting | |
| WO2013086968A1 (zh) | 一种网络安全防护方法、设备和系统 | |
| CN105592046B (zh) | 一种免认证访问方法和装置 | |
| CN100512107C (zh) | 一种安全认证方法 | |
| CN102271136A (zh) | Nat网络环境下的访问控制方法和设备 | |
| US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
| CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
| CN110502315A (zh) | 一种远程访问物理机的方法、装置及系统 | |
| Zegzhda et al. | Actual vulnerabilities of industrial automation protocols of an open platform communications series | |
| CN109067729B (zh) | 一种认证方法及装置 | |
| CN108076500B (zh) | 局域网管理的方法、装置及计算机可读存储介质 | |
| CN106856471B (zh) | 802.1x下ad域登录认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140205 Termination date: 20191220 |