CN103179554B - 无线宽带网络接入控制方法、装置与网络设备 - Google Patents
无线宽带网络接入控制方法、装置与网络设备 Download PDFInfo
- Publication number
- CN103179554B CN103179554B CN201110437090.7A CN201110437090A CN103179554B CN 103179554 B CN103179554 B CN 103179554B CN 201110437090 A CN201110437090 A CN 201110437090A CN 103179554 B CN103179554 B CN 103179554B
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- server side
- dhcp server
- http request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种无线宽带网络接入控制方法、装置与网络设备,用于解决无线宽带网络接入安全问题,该无线宽带网络接入控制方法包括:DHCP服务端通过与终端的交互获取终端的动态IP地址分配请求;DHCP服务端为终端分配第一IP地址,并接收终端发起的第一HTTP请求,第一HTTP请求的源IP地址为第一IP地址;DHCP服务端基于第一HTTP请求对终端进行安全认证,并得一认证结果;在认证结果为终端为合法终端时,DHCP服务端向第一HTTP请求对应的目标网络地址转发第一HTTP请求。本发明的有益效果为:消除了现有的终端通过智能终端访问外网的流程中存在的安全隐患。
Description
技术领域
本发明涉及无线宽带网络接入领域,更具体的,涉及一种无线宽带网络接入控制方法、装置与网络设备。
背景技术
目前,智能移动终端设备(智能手机或者平板电脑)都自带WiFi无线网卡以及蜂窝无线网卡(GPRS/TD/CDMA等),智能终端都可以通过这两个无线网卡访问互联网。现在有这样一种应用场景,智能终端通过WiFi网卡与其它带WiFi的设备共享蜂窝网络数据,即智能终端作为WiFi无线路由器(网络中继),为其它终端设备提供与蜂窝网络交互的服务,或者说,其它终端设备通过智能终端访问蜂窝网络。
终端通过具有WiFi无线路由功能的智能终端(以下简称为DHCP服务端)访问蜂窝网络的流程包括:
第一步,终端向DHCP(DynamicHostConfigureProtocol、动态主机配置协议)服务端发起DHCP动态IP分配请求;
第二步,DHCP服务端查找一个空闲的IP地址返回给终端;
第三步,终端使用该IP地址通过DHCP服务端向蜂窝网络发送IP数据包,其中,DHCP服务端接收到终端发送的IP数据包后,直接向蜂窝网络转发IP数据包。
在现有的终端通过DHCP服务端访问蜂窝网络的流程中,当终端通过DHCP服务端向蜂窝网络发送IP数据包时,DHCP服务端直接转发IP数据包,不对终端的权限进行认证,这种情况下,任何一个使用DHCP服务端分配的IP地址都可以通过DHCP服务端访问蜂窝网络,会给DHCP服务端和网络带来安全隐患。
因此,在现有技术中,存在终端通过DHCP服务端访问蜂窝网络的流程中存在安全隐患的问题,而对于该问题尚未提出理想的解决方案。
发明内容
本发明提供一种无线宽带网络接入控制方法、装置与网络设备,用于解决现有技术中存在的终端通过DHCP服务端访问蜂窝网络的流程中存在安全隐患的问题。
为实现上述目的,根据本发明的一个方面,提供一种无线宽带网络接入控制方法,并采用以下技术方案:
无线宽带网络接入控制方法包括:DHCP服务端通过与终端的交互获取所述终端的动态IP地址分配请求;所述DHCP服务端为所述终端分配第一IP地址,并接收所述终端发起的第一HTTP请求,所述第一HTTP请求的源IP地址为所述第一IP地址;所述DHCP服务端基于所述第一HTTP请求对所述终端进行安全认证,并得一认证结果;在所述认证结果为所述终端为合法终端时,所述DHCP服务端向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求。
进一步地,DHCP服务端基于第一HTTP请求对终端进行安全认证,并得一认证结果包括:所述DHCP服务端将所述终端重定向到一预设认证页面,并基于所述认证页面,接收所述终端提供的认证信息;所述DHCP服务端将所述认证信息与预设认证信息做比较,并得一比较结果;以及在所述比较结果为所述认证信息为合法认证信息时,执行所述DHCP服务端向所述第一HTTP请求的目标网络地址转发所述第一HTTP请求。
进一步地,在DHCP服务端通过与终端的交互获取终端的动态IP地址分配请求之前,无线宽带网络接入控制方法还包括:所述DHCP服务端预先设置禁止转发所有的IP数据包。
进一步地,在所述DHCP服务端将所述终端重定向到一预设认证页面,并基于所述认证页面,接收所述终端提供的认证信息之前,所述无线宽带网络接入控制方法还包括:所述DHCP服务端验证所述第一IP地址是否为合法IP地址,并得一验证结果;在所述验证结果为所述第一IP地址为合法IP地址时,执行所述DHCP服务端向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求;在所述验证结果为第一IP地址为非法IP地址时,执行所述DHCP服务端向所述终端发送一认证页面。
进一步地,在比较结果为认证信息为合法认证信息时之后,无线宽带网络接入控制方法还包括:所述DHCP服务端向预设列表增加所述第一IP地址。
进一步地,验证结果为第一IP地址为合法IP地址包括:第一IP地址为以下任意一种时,DHCP服务端确认第一IP地址为合法IP地址:第一IP地址与一授权的用户信息进行了绑定;第一IP地址带有与访问外网对应的权限标识;和第一IP地址为已被DHCP服务端授权的IP地址。
进一步地,在DHCP服务端为终端分配第一IP地址,并接受终端根据第一IP地址发起的第一HTTP请求之后,无线宽带网络接入控制方法还包括:DHCP服务端采用心跳机制对终端进行在线监测,并得一监测结果;在监测结果为终端掉线时,DHCP服务端则回收分配给终端的第一IP地址,并禁止转发第一IP地址对应的数据包。
进一步地,在监测结果为终端掉线时,则DHCP服务端回收分配给终端的第一IP地址,并禁止转发第一IP地址对应的数据包之后,无线宽带网络接入控制方法还包括:DHCP服务端再次接收到终端的访问请求时,对终端重新进行安全认证。
进一步地,无线宽带网络接入控制方法还包括:DHCP服务端对认证页面进行加密处理。
进一步地,DHCP服务端为具有WIFI无线路由功能的终端。
根据本发明的另外一个方面,提供一种无线宽带网络接入控制装置,并采用以下技术方案:
无线宽带网络接入控制装置包括:
获取模块,用于通过与终端的交互获取所述终端的动态IP地址分配请求;分配模块,用于为所述终端分配第一IP地址,并接收所述终端发起的第一HTTP请求,所述第一HTTP请求的源IP地址为所述第一IP地址;认证模块,用于基于所述第一HTTP请求对所述终端进行安全认证,并得一认证结果;转发模块,用于在所述认证结果为所述终端为合法终端时,向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求。
进一步地,所述认证模块包括:重定向模块,用于将所述终端重定向到一预设认证页面,并基于所述认证页面,接收所述终端提供的认证信息;比较模块,用于将所述认证信息与预设认证信息做比较,并得一比较结果;以及第一执行模块,用于在所述比较结果为所述认证信息为合法认证信息时,执行向所述第一HTTP请求的目标网络地址转发所述第一HTTP请求。
进一步地,无线宽带网络接入控制装置还包括:禁止模块,用于预先设置禁止转发所有的IP数据包。
进一步地,无线宽带网络接入控制装置还包括:验证模块,用于验证所述第一IP地址是否为合法IP地址,并得一验证结果;第二执行模块,用于在所述验证结果为所述第一IP地址为合法IP地址时,执行向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求;第三执行模块,用于在所述验证结果为第一IP地址为非法IP地址时,执行向所述终端发送一认证页面。
进一步地,无线宽带网络接入控制装置还包括:增加模块,用于向预设列表增加所述第一IP地址。
进一步地,所述验证模块包括:确认模块,用于所述第一IP地址为以下任意一种时,确认所述第一IP地址为合法IP地址:所述第一IP地址与一授权的用户信息进行了绑定;所述第一IP地址带有与访问外网对应的权限标识;和所述第一IP地址为已被所述DHCP服务端授权的IP地址。
根据本发明的又一个方面,提供一种网络设备,并采用以下技术方案:
网络设备包括上述的无线宽带网络接入控制装置。
本发明通过HTTP重定向强制推送Web认证页面与IPTable修改策略控制网络数据传输相结合的方式,在终端通过具有Wifi无线路由功能的智能终端访问外网的过程中设置了对终端的认证环节,消除了现有的终端通过智能终端访问外网的流程中存在的安全隐患。
除了上面所描述的目的、特征和优点之外,本发明还有其它的目的、特征和优点。下面将参照图,对本发明作进一步详细的说明。
附图说明
图1表示本发明实施例所述的无线宽带网络接入控制方法的主要流程图;
图2表示本发明实施例所述的无线宽带网络接入控制方法的具体流程图;以及
图3表示本发明实施例所述的无线宽带网络接入控制装置的主要结构示意图。
具体实施方式
以下结合附图对本发明的实施例进行详细说明,但是本发明可以由权利要求限定和覆盖的多种不同方式实施。
图1表示本发明实施例所述无线宽带网络接入控制方法的主要流程图。
参见图1所示,无线宽带网络接入控制方法包括:
S101:DHCP服务端通过与终端的交互获取终端的动态IP地址分配请求;
S103:DHCP服务端为终端分配第一IP地址,并接受终端的第一HTTP请求,该第一HTTP请求的源IP地址为第一IP地址;
S105:DHCP服务端基于第一HTTP请求对终端进行安全认证,并得一认证结果;
S107:在认证结果为终端为合法终端时,DHCP服务端向第一HTTP请求对应的目标网络地址转发第一HTTP请求。
在本实施例的上述技术方案中,DHCP服务端对接入的终端进行安全认证,只用通过安全认证的终端才通过DHCP服务端向网络转发IP数据包,而在现有的终端通过DHCP服务端访问蜂窝网络的流程中,当终端通过DHCP服务端向蜂窝网络发送IP数据包时,DHCP服务端直接转发IP数据包,不对终端的权限进行认证,这种情况下,任何一个使用DHCP服务端分配的IP地址都可以通过DHCP服务端访问蜂窝网络,这样会给DHCP服务端和网络带来安全隐患。在步骤S101中,DHCP服务端与终端的交互使用标准的DHCP服务端协议,包括DHCPDISCOVER、DHCPOFFER、DHCPREQUEST、DHCPACK/NACK等过程。
优选地,DHCP服务端基于第一HTTP请求对终端进行安全认证,并得一认证结果包括:所述DHCP服务端将所述终端重定向到一预设认证页面,并基于认证页面,接收终端提供的认证信息;DHCP服务端将认证信息与预设认证信息做比较,并得一比较结果;以及在比较结果为认证信息为合法认证信息时,执行DHCP服务端向第一HTTP请求的目标网络地址转发第一HTTP请求。
在本实施例的上述技术方案中,采用的安全认证方法为向终端强制推送一认证页面,需要终端用户提供认证信息,DHCP服务端虚拟成该终端要访问的网站,与该终端建立TCP连接,并向该终端返回HTTP重定向信息,该终端收到HTTP重定向信息后,自动访问DHCP服务端的Web个性认证页面,并将携带有用户名及密码的身份验证请求发给DHCP服务端;DHCP服务端接收到该终端提交的身份验证请求后,对用户名及密码进行校验;如果校验不正确,则向该终端返回认证失败及原因;如果校验正确,则在IPTable中增加该IP的数据处理策略,允许转发该IP的数据包,并向该终端返回认证成功信息。
需要说明的是,在上述实施例中,DHCP服务端维护授权的用户名及密码表,授权的用户名及密码可以预先存储在DHCP服务端,用于后续的用户名及密码校验。当用户打开终端上的浏览器、输入任何正确的网址进行访问时,DHCP服务端监听到该终端的HTTP请求,并分析该HTTP请求的源IP地址是否为合法的IP地址,如果否,则DHCP服务端虚拟成目的IP地址与该终端建立TCP连接,并向该终端返回HTTP重定向信息,当该终端接收到HTTP重定向信息时,该终端将自动访问DHCP服务端的Web个性认证页面,使用该终端的用户在Web认证页面中填入用户名及密码,该终端将携带有用户名及密码的身份验证请求发给DHCP服务端。
优选地,在DHCP服务端通过与终端的交互获取终端的动态IP地址分配请求之前,无线宽带网络接入控制方法还包括:DHCP服务端通过删除Netfilter中的IPTable禁止转发所有的IP数据包。
在本实施例的上述技术方案中,DHCP服务端删除Netfilter中IPTable当前的处理策略,加入禁止所有IP数据包转发的策略;需要说明的是,如果执行了这个步骤,则DHCP服务端直接对接入的终端进行页面认证。而不必要对该终端进行IP地址验证,因为既然已经禁止转发所有IP数据包,那么说明所有IP都不是授权IP,或者说明所有IP都不具有访问外网的权限,DHCP服务端不会转发终端的HTTP请求,所以在收到终端的HTTP请求时,不需要对IP地址的合法性进行判断,而是可以直接进入用户名及密码的校验过程。如果不需要执行DHCP服务端删除Netfilter中IPTable当前的处理策略,加入禁止所有IP数据包转发的策略这个步骤,例如已经设置了允许转发某个或某些IP的数据包的策略,则需要对终端的IP地址进行合法性判断。删除Netfilter中IPTable当前的处理策略具体可通过以下命令实现:“iptables-tfilter-Fiptables-IFORWARD-s192.168.x0/24-jDROP/REJECT”。其中,源地址为无线局域网络(即DHCP服务端所在的无线局域网)的IP字段,即禁止向外网转发局域网内所有设备的IP数据包,这样可以达到控制未授权设备不能访问外网的目的。
优选地,在所述DHCP服务端将所述终端重定向到一预设认证页面,并基于认证页面,接收终端提供的认证信息之前,无线宽带网络接入控制方法还包括:DHCP服务端验证第一IP地址是否为合法IP地址,并得一验证结果;在验证结果为第一IP地址为合法IP地址时,执行DHCP服务端向第一HTTP请求对应的目标网络地址转发第一HTTP请求;在验证结果为第一IP地址为非法IP地址时,执行DHCP服务端向终端发送一认证页面。
在本实施例的上述技术方案中,DHCP服务端查找一个空闲的IP地址返回给该终端;该终端向DHCP服务端发送任意一个正确网址的访问请求,DHCP服务端查询该终端的IP是否为合法IP,即判断该终端的IP是否有访问外网的权限;如果是,则直接向外网转发该IP的数据包;如果否,对给终端进行页面认证程序。
而且,DHCP服务端将终端提交的用户名及密码与授权的用户名及密码进行比对,如果错误,则向该终端返回认证失败信息;如果正确,则在IPTable中添加该IP的处理策略,例如将该IP与用户名及密码进行绑定,或者为该IP设置允许访问外网权限的标识,或者将该IP加入到授权IP列表中,从而允许转发该IP的数据包,使用的命令可以如下:“iptables-IFORWARD-s192.168.xx-jACCEPT”。
需要说明的是,只有提交授权的用户名及密码的终端才能通过用户名及密码的校验。在实际应用中,使用终端的用户可以提前获知授权的用户名及密码,当需要在认证页面中输入用户名及密码时,输入授权的用户名及密码即可通过用户名及密码的校验,当然,预先没有获知授权的用户名及密码的用户,一般也无法在认证页面中输入授权的用户名及密码,这样无法通过校验,进而也无法通过DHCP服务端访问外网。
优选地,在比较结果为认证信息为合法认证信息时之后,无线宽带网络接入控制方法还包括:DHCP服务端在向预设列增加第一IP地。
在本实施例的上述技术方案中,对于认证合法的IP地址可在DHCP服务端向Netfilter中的IPTable增加第一IP地址的处理策略,已备下次该IP地址再次访问时,作为合法性认证的参考标准。
优选地,验证结果为第一IP地址为合法IP地址包括:第一IP地址为以下任意一种时,DHCP服务端确认第一IP地址为合法IP地址:第一IP地址与一授权的用户信息进行了绑定;第一IP地址带有与访问外网对应的权限标识;或第一IP地址为已被DHCP服务端授权的IP地址。
在本实施例的上述技术方案中,HCP服务端判断HTTP请求的源IP地址是否为合法的IP地址,具体可以是指,判断该IP地址是否已与某一授权的用户名及密码进行了绑定,或者判断该IP地址是否对应有访问外网的权限标识,或者判断该IP地址是否是授权IP地址,如果是,则确定该IP地址是合法的IP地址,否则,确定该IP地址当前是非法的。
优选地,在DHCP服务端为终端分配第一IP地址,并接受终端根据第一IP地址发起的第一HTTP请求之后,无线宽带网络接入控制方法还包括:DHCP服务端采用心跳机制对终端进行在线监测,并得一监测结果;在监测结果为终端掉线时,DHCP服务端则回收分配给终端的第一IP地址,并禁止转发第一IP地址对应的数据包。
优选地,在监测结果为终端掉线时,则DHCP服务端回收分配给终端的第一IP地址,并禁止转发第一IP地址对应的数据包之后,无线宽带网络接入控制方法还包括:DHCP服务端再次接收到终端的访问请求时,对终端重新进行安全认证。
在本实施例的上述技术方案中,DHCP服务端可以采用心跳机制进行终端在线检测,如果发现终端已经掉线,则回收之前为终端分配的IP,并禁止转发该IP数据包。终端在下次请求接入外网时,必须重新进行认证。相关的命令可以如下:“iptables-IFORWARD-s192.168.x.x-jDROP/REJECT”。
优选地,无线宽带网络接入控制方法还包括:DHCP服务端对认证页面进行加密处理。
在本实施例的上述技术方案中,可以对认证页面的用户名密码进行加密,以增加网络的安全性。
优选地,DHCP服务端为具有WIFI无线路由功能的终端。
在本实施例的上述技术方案中,具有Wifi无线路由功能的智能终端,均可采用HTTP重定向强制推送Web认证页面与IPTable修改策略控制网络数据传输相结合的方式,实现无线宽带网络接入认证与控制。
图2表示本发明实施例无线宽带网络接入控制方法的具体流程图。
参见图2所示,无线宽带网络接入控制方法具体包括:
步骤1:DHCP服务端禁止所有IP数据包的转发;
步骤2:DHCP服务端接收用户的动态IP地址分配请求;
步骤3:DHCP服务端为终端分配一IP地址;
步骤4:DHCP服务端接收用户一任意HTTP请求;
步骤5:DHCP服务端验证该IP地址用户是否为合法用户,若是,向HTTP请求对应的目标地址转发该HTTP请求,若否,执行步骤6;
步骤6:DHCP服务端重定向WEB认证页面;
步骤7:DHCP服务端接收终端用户提交的用户名及密码;
步骤8:DHCP服务端验证用户的用户名及密码是否正确,若是,执行步骤10,若否,执行步骤9;
步骤9:DHCP服务端向该终端返回认证失败信息;
步骤10:DHCP服务端开发该用户IP访问网络的权限,转发该IP的数据包;
步骤11:DHCP服务端向终端返回认证成功的信息。
图3表示本发明实施例无线宽带网络接入控制装置的主要结构示意图。
参见图3所示,无线宽带网络接入控制装置包括:获取模块30,用于通过与终端的交互获取终端的动态IP地址分配请求;分配模块32,用于为终端分配第一IP地址,并接收终端发起的第一HTTP请求,该第一HTTP请求的源IP地址为第一IP地址;认证模块34,用于基于第一HTTP请求对终端进行安全认证,并得一认证结果;转发模块36,用于在认证结果为终端为合法终端时,向第一HTTP请求对应的目标网络地址转发第一HTTP请求。
可选地,认证模块34包括重新定向模块(图中未示),用于将所述终端重定向到一预设认证页面,并基于认证页面,接收终端提供的认证信息;比较模块(图中未示),用于将认证信息与预设认证信息做比较,并得一比较结果;以及第一执行模块(图中未示),用于在比较结果为认证信息为合法认证信息时,执行DHCP服务端向第一HTTP请求的目标网络地址转发第一HTTP请求。
可选地,无线宽带网络接入控制装置还包括禁止模块(图中未示),用于通过删除Netfilter中的IPTable禁止转发所有的IP数据包。
可选地,无线宽带网络接入控制装置还包括验证模块(图中未示),用于验证第一IP地址是否为合法IP地址,并得一验证结果;第二执行模块(图中未示),用于在验证结果为第一IP地址为合法IP地址时,执行向第一HTTP请求对应的目标网络地址转发第一HTTP请求;第三执行模块(图中未示),用于在验证结果为第一IP地址为非法IP地址时,执行向终端发送一认证页面。
可选地,无线宽带网络接入控制装置还包括增加模块(图中未示),用于在向Netfilter中的IPTable增加第一IP地址的处理策略。
可选地,验证模块包括确认模块(图中未示),用于第一IP地址为以下任意一种时,确认第一IP地址为合法IP地址:第一IP地址与一授权的用户信息进行了绑定;第一IP地址带有与访问外网对应的权限标识;或第一IP地址为已被DHCP服务端授权的IP地址。
可选地,无线宽带网络接入控制装置还包括监测模块(图中未示),用于采用心跳机制对终端进行在线监测,并得一监测结果;回收模块(图中未示),用于在监测结果为终端以及掉线时,则回收分配给终端的第一IP地址,并禁止转发第一IP地址对应的数据包。
可选地,无线宽带网络接入控制装置还包括加密模块(图中未示),用于对认证页面进行加密处理。
网络设备包括上述的无线宽带网络接入控制装置。
通过上述本发明的上述实施例,本领域技术人员可以发现,本发明提出的一种基于无线宽带网络接入控制方法、装置与网络设备,可通过DHCP服务端(具有Wifi无线路由功能的智能终端)接收到终端发给外网(例如蜂窝网、互联网等网络)的IP数据包时,需要对IP数据包进行认证,而不是直接进行转发在具有Wifi无线路由功能的智能终端中,采用HTTP重定向强制推送Web认证页面与IPTable修改策略控制网络数据传输相结合的方式,实现无线宽带网络接入认证与控制。本发明通过HTTP重定向强制推送Web认证页面与IPTable修改策略控制网络数据传输相结合的方式,在终端通过具有Wifi无线路由功能的智能终端访问外网的过程中设置了对终端的认证环节,消除了现有的终端通过智能终端访问外网的流程中存在的安全隐患。
Claims (14)
1.一种无线宽带网络接入控制方法,其特征在于,包括:
DHCP服务端通过与终端的交互获取所述终端的动态IP地址分配请求;
所述DHCP服务端为所述终端分配第一IP地址,并接收所述终端发起的第一HTTP请求,所述第一HTTP请求的源IP地址为所述第一IP地址;
所述DHCP服务端基于所述第一HTTP请求对所述终端进行安全认证,并得一认证结果;
在所述认证结果为所述终端为合法终端时,所述DHCP服务端向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求;
其中,所述DHCP服务端为具有WIFI无线路由功能和蜂窝无线上网功能的移动智能终端,所述终端的功能包括:WIFI无线上网功能;
所述DHCP服务端基于所述第一HTTP请求对所述终端进行安全认证,并得一认证结果包括:
所述DHCP服务端将所述终端重定向到一预设认证页面,并基于所述认证页面,接收所述终端提供的认证信息;
所述DHCP服务端将所述认证信息与预设认证信息做比较,并得一比较结果;以及
在所述比较结果为所述认证信息为合法认证信息时,执行所述DHCP服务端向所述第一HTTP请求的目标网络地址转发所述第一HTTP请求。
2.如权利要求1所述的无线宽带网络接入控制方法,其特征在于,在所述DHCP服务端通过与终端的交互获取所述终端的动态IP地址分配请求之前,所述无线宽带网络接入控制方法还包括:
所述DHCP服务端预先设置禁止转发所有的IP数据包。
3.如权利要求1所述的无线宽带网络接入控制方法,其特征在于,在所述DHCP服务端将所述终端重定向到一预设认证页面,并基于所述认证页面,接收所述终端提供的认证信息之前,所述无线宽带网络接入控制方法还包括:
所述DHCP服务端验证所述第一IP地址是否为合法IP地址,并得一验证结果;
在所述验证结果为所述第一IP地址为合法IP地址时,执行所述DHCP服务端向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求;
在所述验证结果为第一IP地址为非法IP地址时,执行所述DHCP服务端向所述终端发送一认证页面。
4.如权利要求1所述的无线宽带网络接入控制方法,其特征在于,在所述比较结果为所述认证信息为合法认证信息时之后,所述无线宽带网络接入控制方法还包括:
所述DHCP服务端向预设列表增加所述第一IP地址。
5.如权利要求3所述的无线宽带网络接入控制方法,其特征在于,所述验证结果为所述第一IP地址为合法IP地址包括:
所述第一IP地址为以下任意一种时,所述DHCP服务端确认所述第一IP地址为合法IP地址:
所述第一IP地址与一授权的用户信息进行了绑定;
所述第一IP地址带有与访问外网对应的权限标识;和
所述第一IP地址为已被所述DHCP服务端授权的IP地址。
6.如权利要求1所述的无线宽带网络接入控制方法,其特征在于,在所述DHCP服务端为所述终端分配第一IP地址,并接收所述终端发起的第一HTTP请求,所述第一HTTP请求的源IP地址为所述第一IP地址之后,所述无线宽带网络接入控制方法还包括:
所述DHCP服务端采用心跳机制对所述终端进行在线监测,并得一监测结果;
在所述监测结果为所述终端掉线时,所述DHCP服务端则回收分配给所述终端的第一IP地址,并禁止转发所述第一IP地址对应的数据包。
7.如权利要求6所述的无线宽带网络接入控制方法,其特征在于,在所述监测结果为所述终端掉线时,则所述DHCP服务端回收分配给所述终端的第一IP地址,并禁止转发所述第一IP地址对应的数据包之后,所述无线宽带网络接入控制方法还包括:
所述DHCP服务端再次接收到所述终端的访问请求时,对所述终端重新进行安全认证。
8.如权利要求1或3所述的无线宽带网络接入控制方法,其特征在于,还包括:
所述DHCP服务端对所述认证页面进行加密处理。
9.一种无线宽带网络接入控制装置,设置在DHCP服务端,其特征在于,包括:
获取模块,用于通过与终端的交互获取所述终端的动态IP地址分配请求;
分配模块,用于为所述终端分配第一IP地址,并接收所述终端发起的第一HTTP请求,所述第一HTTP请求的源IP地址为所述第一IP地址;
认证模块,用于基于所述第一HTTP请求对所述终端进行安全认证,并得一认证结果;
转发模块,用于在所述认证结果为所述终端为合法终端时,向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求;
其中,所述DHCP服务端为具有WIFI无线路由功能和蜂窝无线上网功能的移动智能终端,所述终端的功能包括:WIFI无线上网功能;
所述认证模块包括:
重定向模块,用于将所述终端重定向到一预设认证页面,并基于所述认证页面,接收所述终端提供的认证信息;
比较模块,用于将所述认证信息与预设认证信息做比较,并得一比较结果;以及
第一执行模块,用于在所述比较结果为所述认证信息为合法认证信息时,执行向所述第一HTTP请求的目标网络地址转发所述第一HTTP请求。
10.如权利要求9所述的无线宽带网络接入控制装置,其特征在于,还包括:
禁止模块,用于预先设置禁止转发所有的IP数据包。
11.如权利要求9所述的无线宽带网络接入控制装置,其特征在于,还包括:
验证模块,用于验证所述第一IP地址是否为合法IP地址,并得一验证结果;
第二执行模块,用于在所述验证结果为所述第一IP地址为合法IP地址时,执行向所述第一HTTP请求对应的目标网络地址转发所述第一HTTP请求;
第三执行模块,用于在所述验证结果为第一IP地址为非法IP地址时,执行向所述终端发送一认证页面。
12.如权利要求9所述的无线宽带网络接入控制装置,其特征在于,还包括:
增加模块,用于向预设列表增加所述第一IP地址。
13.如权利要求11所述的无线宽带网络接入控制装置,其特征在于,所述验证模块包括:
确认模块,用于所述第一IP地址为以下任意一种时,确认所述第一IP地址为合法IP地址:
所述第一IP地址与一授权的用户信息进行了绑定;
所述第一IP地址带有与访问外网对应的权限标识;和
所述第一IP地址为已被所述DHCP服务端授权的IP地址。
14.一种网络设备,作为DHCP服务端,其特征在于,包括权利要求9至13中任一项所述的无线宽带网络接入控制装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110437090.7A CN103179554B (zh) | 2011-12-22 | 2011-12-22 | 无线宽带网络接入控制方法、装置与网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110437090.7A CN103179554B (zh) | 2011-12-22 | 2011-12-22 | 无线宽带网络接入控制方法、装置与网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103179554A CN103179554A (zh) | 2013-06-26 |
CN103179554B true CN103179554B (zh) | 2016-06-22 |
Family
ID=48639116
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110437090.7A Active CN103179554B (zh) | 2011-12-22 | 2011-12-22 | 无线宽带网络接入控制方法、装置与网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103179554B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104285458A (zh) * | 2014-06-24 | 2015-01-14 | 华为技术有限公司 | 无线网络接入方法、系统以及终端 |
CN104185181A (zh) * | 2014-08-20 | 2014-12-03 | 成都千牛信息技术有限公司 | 一种基于iptables的WiFi用户接入控制方法 |
CN104283895A (zh) * | 2014-10-29 | 2015-01-14 | 上海斐讯数据通信技术有限公司 | 一种用于无线路由器的强制门户认证控制系统及控制方法 |
CN105187400B (zh) * | 2015-08-12 | 2018-04-27 | 莱诺斯科技(北京)股份有限公司 | 一种移动终端安全防护系统与安全防护方法 |
CN105208559A (zh) * | 2015-08-18 | 2015-12-30 | 耿懿超 | 一种无线网络配置方法及其配置装置 |
CN105791290A (zh) * | 2016-03-02 | 2016-07-20 | 上海斐讯数据通信技术有限公司 | 网络连接的认证方法和设备 |
CN107241456A (zh) * | 2017-05-12 | 2017-10-10 | 北京星网锐捷网络技术有限公司 | 一种终端接入控制的方法和服务器 |
CN109391601B (zh) * | 2017-08-10 | 2021-02-12 | 华为技术有限公司 | 一种授予终端网络权限的方法、装置及设备 |
CN108574693A (zh) * | 2018-04-17 | 2018-09-25 | 四川斐讯信息技术有限公司 | 一种无线路由器的接入管理方法及无线路由器 |
CN115589337B (zh) * | 2022-11-29 | 2023-02-24 | 电子科大科园股份有限公司 | 网络连接方法与系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1538706A (zh) * | 2003-10-23 | 2004-10-20 | 港湾网络有限公司 | 一种用于web认证的http重定向方法 |
CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
CN101267304A (zh) * | 2007-03-13 | 2008-09-17 | 华为技术有限公司 | 一种上网权限控制方法、装置及系统 |
CN101442565A (zh) * | 2008-12-18 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种固定虚拟网络地址的分配方法和网关 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8935416B2 (en) * | 2006-04-21 | 2015-01-13 | Fortinet, Inc. | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer |
-
2011
- 2011-12-22 CN CN201110437090.7A patent/CN103179554B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1538706A (zh) * | 2003-10-23 | 2004-10-20 | 港湾网络有限公司 | 一种用于web认证的http重定向方法 |
CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
CN101267304A (zh) * | 2007-03-13 | 2008-09-17 | 华为技术有限公司 | 一种上网权限控制方法、装置及系统 |
CN101442565A (zh) * | 2008-12-18 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种固定虚拟网络地址的分配方法和网关 |
Also Published As
Publication number | Publication date |
---|---|
CN103179554A (zh) | 2013-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103179554B (zh) | 无线宽带网络接入控制方法、装置与网络设备 | |
CN104767715B (zh) | 网络接入控制方法和设备 | |
CN104427499B (zh) | 基于万维网的无线局域网接入认证方法与系统 | |
US9225706B2 (en) | Multiple access point zero sign-on | |
US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
KR101971167B1 (ko) | 이주자에 의해 야기된 코어 네트워크 트래픽의 감소 | |
CN101163000B (zh) | 一种二次认证方法及系统 | |
CN104158824B (zh) | 网络实名认证方法及系统 | |
US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
US20180351943A1 (en) | Server for providing a token | |
CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
DK2924944T3 (en) | Presence authentication | |
JP2010507842A (ja) | リモートサーバアクセスを認証するためのシステムおよび方法 | |
CN102739664B (zh) | 提高网络身份认证安全性的方法和装置 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
EP3143780B1 (en) | Device authentication to capillary gateway | |
CN103329091A (zh) | 交叉接入登录控制器 | |
JP7135206B2 (ja) | アクセス認証 | |
CN107508822A (zh) | 访问控制方法及装置 | |
CN101764808A (zh) | 自动登录的认证处理方法、服务器和系统 | |
CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
CN106330948A (zh) | 一种报文控制方法及装置 | |
CN107872445A (zh) | 接入认证方法、设备和认证系统 | |
CN105873053B (zh) | 一种接入认证页面嵌入网页的方法、系统及无线接入点 | |
CN101621527A (zh) | VPN中基于Portal的安全认证的实现方法、系统和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |