CN102916946B - 接入控制方法及系统 - Google Patents
接入控制方法及系统 Download PDFInfo
- Publication number
- CN102916946B CN102916946B CN201210375240.0A CN201210375240A CN102916946B CN 102916946 B CN102916946 B CN 102916946B CN 201210375240 A CN201210375240 A CN 201210375240A CN 102916946 B CN102916946 B CN 102916946B
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- router
- certification
- authentication
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000011217 control strategy Methods 0.000 claims abstract description 20
- 238000005516 engineering process Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及网络安全技术领域,公开了一种接入控制方法,包括以下步骤:S1、认证服务器为用户设备分配上网账号,为路由器分配认证账号,为所述路由器生成用户列表,同时为每个用户设备设置上网时间控制策略;S2、当用户设备向网络发起接入请求时,网络中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对用户设备和路由器进行身份认证,若认证成功,则允许用户设备接入网络,否则拒绝用户设备接入网络。本发明能够以极低的成本,通过简单配置解决上网的安全接入问题,并能够对每个用户设备的接入网络时间进行细粒度的灵活控制。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种接入控制方法及系统。
背景技术
现有家庭上网,通过有线路由器或者无线路由器,家庭成员设备的各种设备均都接入上网,但当前使用的接入方式,主要是设置一个共享口令,供家庭成员设备共同使用,由此存在两个主要问题,一个问题是接入认证本身不安全(共享的简单静态口令),面临被蹭网的风险;另外一个问题是没有把家庭成员设备区别开来,每个家庭成员设备输入的共享口令是都是相同的,做不到对单独的家庭成员设备接入上网进行时间控制。如果要实现上述功能,则对设备要求高,因此实现成本高。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何以极低的成本解决上网的安全接入问题,并对每个用户设备的接入网络时间进行细粒度的灵活控制。
(二)技术方案
为了解决上述技术问题,本发明提供一种接入控制方法,包括以下步骤:
S1、认证服务器为用户设备分配上网账号,为路由器分配认证账号,为所述路由器生成用户列表,同时为每个用户设备设置上网时间控制策略;
S2、当用户设备向网络发起接入请求时,网络中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对用户设备和路由器进行身份认证,若认证成功,则允许用户设备接入网络,否则拒绝用户设备接入网络。
优选地,所述上网账号包括用户名usera和密码passworda,所述认证账号包括路由器的唯一身份标识hid1和共享RADIUS口令hpwd1。
优选地,所述上网时间控制策略用于定义用户设备的上网时间段。
优选地,步骤S2中,所述用户设备为支持802.1x认证的终端设备。
优选地,所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
优选地,步骤S2具体包括:
S21、当用户设备向网络发起接入请求时,用户设备启动802.1x认证,从用户设备输入唯一身份标识hid1与用户名usera的组合以及密码passworda;
S22、认证服务器取出唯一身份标识hid1,以验证路由器的共享RADIUS口令hpwd1是否正确,并取出用户名usera,验证密码passworda是否正确,然后验证用户名usera是否在hid1对应的用户列表里,并验证该用户设备的上网时间控制策略是否正确,如果都正确,则允许该用户设备接入网络,否则拒绝该用户设备接入网络。
优选地,所述唯一身份标识hid1与用户名usera的组合为hid1\\usera或者userahid1或者其他类似形式。
优选地,所述网络为互联网,所述认证服务器设置在互联网中。
本发明还提供了一种接入控制系统,包括:依次连接的用户设备、路由器以及认证服务器,所述认证服务器用于根据所述用户设备的上网账号、所述路由器的认证账号、用户列表以及上网时间控制策略对所述用户设备和路由器进行身份认证,并根据认证结果判断是否允许所述用户设备接入网络。
优选地,所述用户设备为支持802.1x认证的终端设备。
优选地,所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
优选地,所述用户设备为PC、笔记本、平板电脑和智能手机中的一种。
(三)有益效果
上述技术方案具有如下优点:通过将认证服务器部署在互联网中,通过配置路由器(例如家庭路由器)的RADIUS指向认证中心,启用802.1x来完成用户设备(例如家庭成员设备,包括计算机、笔记本、平板、智能手机)的接入认证和时间控制。每个用户设备的帐号都在认证服务器进行管理,每个路由器在认证服务器有唯一的标识和私有的RADIUS共享口令,通过启用802.1x和RADIUS,用户设备接入网络时需要输入用户名附加唯一标识和口令,认证服务器通过路由器唯一标识与其私有的RADIUS共享口令完成对路由器的鉴别,通过用户列表及用户设备的用户名和口令完成对用户的身份认证,然后根据时间控制策略,进一步判断是否允许接入,从而完成所有用户设备的接入认证和时间控制。与现有技术相比,本发明无需额外添加任何控制设备或者装置,也不改变任何网络拓扑,只需要在现在的设备基础上将认证指向互联网上的认证服务器,用户设备也不用安装相应的客户端程序。认证服务器支持多个家庭路由器同时使用,完成所有用户设备帐号管理和时间策略管理,完成路由器唯一的标识和私有的RADIUS共享口令管理,从而很好的控制了总体成本。
附图说明
图1是本发明的方法流程图;
图2是本发明的系统结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
以下通过家庭上网为例说明本发明的方案,其中,家庭成员设备通过ADSL或者宽带或者其他模式接入互联网。
如图1所示,本发明提供一种接入控制方法,包括以下步骤:
S1、认证服务器为家庭成员设备(即用户设备)分配上网账号(每个上网帐号可选择静态口令、动态口令认证或者数字证书认证,比如其上网帐号为usera/passworda),为家庭路由器分配认证账号(或称为私有认证账号),同时为所述家庭路由器生成用户列表(该列表存储在认证服务器中),同时为每个家庭成员设备的上网时间控制策略;在分配所述上网账号和认证账号后,家庭管理员将家庭路由器认证账号中的唯一身份标识告诉家庭成员;所述上网账号包括用户名和密码,所述认证账号包括路由器的唯一身份标识和共享RADIUS口令(也可以称为RADIUS共享口令);
S2、认证服务器部署在互联网,准备就绪。当家庭成员设备向互联网发起接入请求时,互联网中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对家庭成员设备和家庭路由器进行身份认证,若认证成功,则允许家庭成员设备接入网络,否则,返回失败结果给家庭路由器,家庭路由器终止家庭成员设备的网络接入。
本实施例中,所述上网时间控制策略用于定义家庭成员设备的上网时间段,包括每天上网时间段,每周的周几上网,节假日上网时间控制等。
本实施例中,步骤S2中,所述家庭成员设备为支持802.1x认证的终端设备。
本实施例中,所述家庭路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
本实施例中,认证服务器管理所有用户帐号,包括注册、修改密码、修改帐号、帐号重置等,并为家庭成员设备提供各种认证机制,包括静态口令认证,短信动态口令认证,手机软令牌认证,PC软令牌认证,硬件令牌认证,数字证书认证等。认证服务器还可以配置临时来宾帐号,可以设置来宾帐号的有效期等策略。
本实施例中,步骤S2具体包括:
S21、当家庭成员设备向互联网发起接入请求时,家庭成员设备启动802.1x认证,从用户设备输入唯一身份标识hid1与用户名usera的组合(例如hid1\\usera或者userahid1或者其他类似形式)以及密码passworda;其中,每个家庭路由器的标识不一样,每个家庭成员设备的帐号也不一样,因此认证服务器可以同时为多个家庭路由器提供接入认证和时间控制服务。
S22、家庭路由器与认证服务器通过EAP/PEAP完成具体认证。认证过程中,所述认证服务器取出唯一身份标识hid1,以验证家庭路由器的共享RADIUS口令hpwd1是否正确,并取出用户名usera,验证密码passworda是否正确,然后验证用户名usera是否在hid1对应的用户列表里,并验证该家庭成员设备的上网时间控制策略是否正确,如果都正确,则返回认证成功结果给家庭路由器,允许该家庭成员设备接入互联网,否则返回失败结果给家庭路由器,拒绝该家庭成员设备接入网络。
步骤S22中,通过路由器的唯一身份标识hid1及其共享RADIUS口令hpwd1来完成对家庭路由器的认证,通过家庭成员设备的用户名usera及其密码Password完成对家庭成员设备的认证和时间控制。其中,认证路由器的路由器标识由用户输入,在RADIUS协议中,路由器无法传递路由器的标识(即路由器的用户名),只能根据根据共享口令(RADIUS一般就只能设置一个相同的共享口令)来完成,因此通常情况只能区别是否为合法路由器,而无法区分某个特定路由器,通过用户输入路由器标识以及为每个路由器配置不同的私有共享口令就解决了路由器认证和识别问题。
如图2所示,本发明还提供了一种相应的接入控制系统,包括:依次连接的家庭成员设备、家庭路由器以及认证服务器,所述认证服务器用于根据所述家庭成员设备的上网账号、所述家庭路由器的认证账号、用户列表以及上网时间控制策略对所述家庭成员设备和家庭路由器进行身份认证,并根据认证结果判断是否允许所述家庭成员设备接入网络。
本实施例中,所述家庭成员设备为支持802.1x认证的终端设备。
本实施例中,所述家庭路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
本实施例中,所述家庭成员设备为PC、笔记本、平板电脑和智能手机中的一种。
由以上实施例可以看出,本发明通过将认证服务器部署在互联网中,通过配置家庭路由器的RADIUS指向认证中心,启用802.1x来完成家庭成员设备的接入认证和时间控制。每个用户设备的帐号都在认证服务器进行管理,每个路由器在认证服务器有唯一的标识和私有的RADIUS共享口令,通过启用802.1x和RADIUS,用户设备接入网络时需要输入用户名附加唯一标识和口令,认证服务器通过路由器唯一标识与其私有的RADIUS共享口令完成对路由器的鉴别,通过用户列表及用户设备的用户名和口令完成对用户的身份认证,然后根据时间控制策略,进一步判断是否允许接入,从而完成所有用户设备的接入认证和时间控制。与现有技术相比,本发明无需额外添加任何控制设备或者装置,也不改变任何网络拓扑,只需要在现在的设备基础上(大多数路由器都内置RADIUS和802.1x支持)将认证指向互联网上的认证服务器,用户设备也不用安装相应的客户端程序(大部分都支持802.1x)。认证服务器支持多个家庭路由器同时使用,完成所有用户设备帐号管理和时间策略管理,完成路由器唯一的标识和私有的RADIUS共享口令管理,从而很好的控制了总体成本。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (10)
1.一种接入控制方法,其特征在于,包括以下步骤:
S1、认证服务器为用户设备分配上网账号,为路由器分配认证账号,为所述路由器生成用户列表,同时为每个用户设备设置上网时间控制策略;
S2、当用户设备向网络发起接入请求时,网络中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对用户设备和路由器进行身份认证,若认证成功,则允许用户设备接入网络,否则拒绝用户设备接入网络;
所述上网账号包括用户名usera和密码passworda,所述认证账号包括路由器的唯一身份标识hid1和共享RADIUS口令hpwd1;
步骤S2具体包括:
S21、当用户设备向网络发起接入请求时,用户设备启动802.1x认证,从用户设备输入唯一身份标识hid1与用户名usera的组合,以及密码passworda;
S22、认证服务器取出唯一身份标识hid1,以验证路由器的共享RADIUS口令hpwd1是否正确,并取出用户名usera,验证密码passworda是否正确,然后验证用户名usera是否在hid1对应的用户列表里,并验证该用户设备的上网时间控制策略是否正确,如果都正确,则允许该用户设备接入网络,否则拒绝该用户设备接入网络。
2.如权利要求1所述的方法,其特征在于,所述上网时间控制策略用于定义用户设备的上网时间段。
3.如权利要求1所述的方法,其特征在于,步骤S2中,所述用户设备为支持802.1x认证的终端设备。
4.如权利要求3所述的方法,其特征在于,所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
5.如权利要求1所述的方法,其特征在于,所述唯一身份标识hid1与用户名usera的组合为hid1\\usera或者userahid1。
6.如权利要求1~5中任一项所述的方法,其特征在于,所述网络为互联网,所述认证服务器设置在互联网中。
7.一种接入控制系统,其特征在于,包括:依次连接的用户设备、路由器以及认证服务器,所述认证服务器用于根据所述用户设备的上网账号、所述路由器的认证账号、用户列表以及上网时间控制策略对所述用户设备和路由器进行身份认证,并根据认证结果判断是否允许所述用户设备接入网络;
所述上网账号包括用户名usera和密码passworda,所述认证账号包括路由器的唯一身份标识hid1和共享RADIUS口令hpwd1;
对所述用户设备和路由器进行身份认证,具体包括:
当用户设备向网络发起接入请求时,用户设备启动802.1x认证,从用户设备输入唯一身份标识hid1与用户名usera的组合,以及密码passworda;
认证服务器取出唯一身份标识hid1,以验证路由器的共享RADIUS口令hpwd1是否正确,并取出用户名usera,验证密码passworda是否正确,然后验证用户名usera是否在hid1对应的用户列表里,并验证该用户设备的上网时间控制策略是否正确,如果都正确,则允许该用户设备接入网络,否则拒绝该用户设备接入网络。
8.如权利要求7所述的系统,其特征在于,所述用户设备为支持802.1x认证的终端设备。
9.如权利要求7所述的系统,其特征在于,所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
10.如权利要求7或8或9所述的系统,其特征在于,所述用户设备为PC、笔记本、平板电脑和智能手机中的一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210375240.0A CN102916946B (zh) | 2012-09-29 | 2012-09-29 | 接入控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210375240.0A CN102916946B (zh) | 2012-09-29 | 2012-09-29 | 接入控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102916946A CN102916946A (zh) | 2013-02-06 |
| CN102916946B true CN102916946B (zh) | 2015-08-19 |
Family
ID=47615180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210375240.0A Expired - Fee Related CN102916946B (zh) | 2012-09-29 | 2012-09-29 | 接入控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102916946B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200059B (zh) * | 2013-04-08 | 2019-05-24 | 中兴通讯股份有限公司 | 安全网络接入处理方法及装置 |
| CN103873471A (zh) * | 2014-03-18 | 2014-06-18 | 绿网天下(福建)网络科技有限公司 | 机顶盒使用时间的管控方法 |
| CN105610597A (zh) * | 2014-11-21 | 2016-05-25 | 中兴通讯股份有限公司 | 一种认证方法和设备、信息发送方法 |
| CN105163312B (zh) * | 2015-07-31 | 2019-02-15 | 中国联合网络通信集团有限公司 | 无线网络接入方法和无线网络接入装置 |
| CN105915359A (zh) * | 2015-10-22 | 2016-08-31 | 乐视致新电子科技(天津)有限公司 | 控制设备联网状况的方法、装置及系统 |
| CN105872794A (zh) * | 2015-11-16 | 2016-08-17 | 乐视致新电子科技(天津)有限公司 | 共享视频的方法及装置 |
| CN105872618A (zh) * | 2015-11-16 | 2016-08-17 | 乐视致新电子科技(天津)有限公司 | 视频资源共享方法、系统及相关设备 |
| CN108391267A (zh) * | 2018-01-05 | 2018-08-10 | 绿网天下(福建)网络科技股份有限公司 | 一种基于定制路由器的课中上网管理方法及系统 |
| CN111918287A (zh) * | 2019-05-10 | 2020-11-10 | 大唐移动通信设备有限公司 | 一种信息处理方法和装置 |
| CN111031545A (zh) * | 2019-12-24 | 2020-04-17 | Oppo广东移动通信有限公司 | 无线网络接入控制方法及装置、中继设备和电子设备 |
| CN115589337B (zh) * | 2022-11-29 | 2023-02-24 | 电子科大科园股份有限公司 | 网络连接方法与系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1503518A (zh) * | 2002-11-26 | 2004-06-09 | 华为技术有限公司 | 基于802.1x协议的网络接入设备管理方法 |
| CN1874226A (zh) * | 2006-06-26 | 2006-12-06 | 杭州华为三康技术有限公司 | 终端接入方法及系统 |
| CN101369893A (zh) * | 2008-10-06 | 2009-02-18 | 中国移动通信集团设计院有限公司 | 一种对临时用户进行局域网络接入认证的方法 |
| CN101521577A (zh) * | 2009-04-01 | 2009-09-02 | 中国电信股份有限公司 | 基于家庭网关的认证凭证统一管理方法、系统和家庭网关 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1562343A1 (fr) * | 2004-02-09 | 2005-08-10 | France Telecom | Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP |
-
2012
- 2012-09-29 CN CN201210375240.0A patent/CN102916946B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1503518A (zh) * | 2002-11-26 | 2004-06-09 | 华为技术有限公司 | 基于802.1x协议的网络接入设备管理方法 |
| CN1874226A (zh) * | 2006-06-26 | 2006-12-06 | 杭州华为三康技术有限公司 | 终端接入方法及系统 |
| CN101369893A (zh) * | 2008-10-06 | 2009-02-18 | 中国移动通信集团设计院有限公司 | 一种对临时用户进行局域网络接入认证的方法 |
| CN101521577A (zh) * | 2009-04-01 | 2009-09-02 | 中国电信股份有限公司 | 基于家庭网关的认证凭证统一管理方法、系统和家庭网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102916946A (zh) | 2013-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102916946B (zh) | 接入控制方法及系统 | |
| EP2013758B1 (en) | Dynamic authentication in secured wireless networks | |
| CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
| US8869253B2 (en) | Electronic system for securing electronic services | |
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| US9787683B2 (en) | Seamless wi-fi subscription remediation | |
| US9065903B2 (en) | User-based authentication for realtime communications | |
| CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
| CN103746983A (zh) | 一种接入认证方法及认证服务器 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
| CN105450616B (zh) | 一种终端的认证方法、受信判定网关、认证服务器和系统 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| US20110252237A1 (en) | Authorizing Remote Access Points | |
| CN104767621A (zh) | 一种移动应用访问企业数据的单点安全认证方法 | |
| US9703987B2 (en) | Identity based connected services | |
| JP2016057672A (ja) | 端末別認証払い出し制御装置、認証キー払い出し機能設定装置、方法およびプログラム | |
| CN103209107A (zh) | 一种实现用户访问控制的方法 | |
| CN105376074B (zh) | 一种局域网内客户端计算机的启动、计时控制方法及系统 | |
| CN102137044A (zh) | 一种基于社区平台的群组信息安全交互的方法及系统 | |
| CN104285458A (zh) | 无线网络接入方法、系统以及终端 | |
| CN103888946B (zh) | 用于户外大屏的用户认证方法和装置 | |
| CN105847239A (zh) | 一种用户认证方式的确定方法及装置 | |
| CN107770119A (zh) | 一种网络准入指定域的控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170914 Address after: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100085, D, block 7A83, block 28, information road, Beijing, Haidian District Patentee before: Li Yongqi |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150819 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |