CN103957194B - 一种网络协议ip接入方法及接入设备 - Google Patents
一种网络协议ip接入方法及接入设备 Download PDFInfo
- Publication number
- CN103957194B CN103957194B CN201410136326.7A CN201410136326A CN103957194B CN 103957194 B CN103957194 B CN 103957194B CN 201410136326 A CN201410136326 A CN 201410136326A CN 103957194 B CN103957194 B CN 103957194B
- Authority
- CN
- China
- Prior art keywords
- address
- initial
- user equipment
- access device
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络协议IP接入方法,由接入设备在用户设备通过Portal认证后保留用户设备在Portal认证过程中所使用的初始网络协议IP地址,禁止该初始IP地址被分配给其他用户设备,随后将在接收到所述用户设备的IP地址申请请求时为用户设备分配的新IP地址,并保存新IP地址与初始IP地址之间的对应关系。从而使接入设备以及认证服务器可以不必随时感知用户的IP地址更换,极大的增强了NAS设备的组网灵活性。本发明同时还公开了一种接入设备。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种网络协议IP接入方法。本发明同时还涉及一种接入设备。
背景技术
如图1所示,为现有技术中Portal系统组成示意图,其中各设备及其功能如下:
认证客户端:安装于用户终端的客户端系统,为运行(Hyper Text TransportProtocol,超文本传输协议)HTTP/(Hypertext Transfer Protocol Secure,安全超文本传输协议)HTTPS协议的浏览器或运行Portal客户端软件的主机。
接入设备:交换机、路由器等宽带接入设备的统称,主要有以下三方面的作用:
(1)在认证之前,将用户的所有HTTP请求都重定向到Portal服务器;
(2)在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能;
(3)在认证通过后,允许用户访问被管理员授权的互联网资源。
Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的身份。
认证/计费服务器:与接入设备进行交互,完成对用户的认证和计费。
对于这一类认证接入系统,用户通常在接入前首先利用(Internet Protocol,网络协议)IP层进行物理接入。具体地,用户首先必须获得IP地址,并且可以使用此IP访问认证页面,其他访问权限是受限的。在用户通过认证页面提交身份信息并认证成功后,用户才能真正实现逻辑上的接入,拥有授权的的访问权限(如访问外网,访问公司内网敏感信息等)。
然而,在上述流程中,用户的IP地址是不更换的,认证后仍然使用认证前的IP地址。考虑无线接入场景,如果发生大量的无效用户首先获得IP,但因为没有真实有效的接入凭据,最终无法逻辑接入的情况,会浪费很多的IP地址。对于运营商公共热点场景而言是不可接受的。所以,运营商针对此种接入情况下一般首先会提供一个私网的IP地址,用户通过NAT(Network Address Translator,网络地址转换)的方式访问外网。如图2所示,为现有技术中的一种二次地址分配认证方式的流程示意图,主要包括如下流程:
(1)Portal用户通过HTTP协议访问外部网络。HTTP报文经过接入设备时,对于访问Portal Web服务器或设定的免认证地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到PortalWeb服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。
(2)Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(3)Portal认证服务器与接入设备之间进行CHAP(Challenge HandshakeAuthentication Protocol,质询握手验证协议)认证交互。若采用PAP(PasswordAuthentication Protocol,密码验证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(4)Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(5)接入设备与RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)服务器之间进行RADIUS协议报文的交互。
(6)接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(7)Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(8)客户端收到认证通过报文后,通过DHCP(Dynamic host configurationprotocol,动态主机配置协议)获得新的公网IP地址,并通知Portal认证服务器用户已获得新IP地址。
(9)Portal认证服务器通知接入设备客户端获得新公网IP地址。
(10)接入设备通过DHCP模块得知用户IP地址变化后,通告Portal认证服务器已检测到用户IP变化。
(11)当Portal认证服务器接收到客户端以及接入设备发送的关于用户IP变化的通告后,通知客户端上线成功。
(12)Portal认证服务器向接入设备发送IP变化确认报文。
(13)客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(14)安全策略服务器根据用户的安全性授权用户访问指定的网络资
源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
通过以上流程可以看出,Portal Server需要不断的基于用户的认证以及在线情况对用户IP地址的变化进行感知以及通告操作。这不仅需要针对接入设备、认证服务器以及用户设备设立尽可能周全的通知机制,而且设备之间频繁的交互对其本身来说也会造成极大的通信负荷。
发明内容
本发明提供了一种网络协议IP接入方法,用以解决现有技术中设备需不断感知用户IP地址变化所带来的性能负担问题,包括:
当用户设备通过Portal认证后,所述接入设备保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址,禁止所述初始IP地址被分配给其他用户设备;
所述接入设备在接收到所述用户设备的IP地址申请请求时,为所述用户设备分配新IP地址,并保存所述新IP地址与所述初始IP地址之间的对应关系。
相应地,本发明还提出了一种接入设备,包括:
保留模块,用于当用户设备通过Portal认证后保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址,禁止所述初始IP地址被分配给其他用户设备;
分配模块,用于在接收到所述用户设备的IP地址申请请求时,为所述用户设备分配新IP地址,并保存所述新IP地址与所述初始IP地址之间的对应关系。
由此可见,通过应用以上技术方案,由接入设备在用户设备通过Portal认证后保留用户设备在Portal认证过程中所使用的初始网络协议IP地址,禁止该初始IP地址被分配给其他用户设备,随后将在接收到所述用户设备的IP地址申请请求时为用户设备分配的新IP地址,并保存新IP地址与初始IP地址之间的对应关系。从而使接入设备以及认证服务器可以不必随时感知用户的IP地址更换,极大的增强了NAS设备的组网灵活性。
附图说明
图1为现有技术中Portal系统组成示意图;
图2为现有技术中二次地址分配认证方式的流程示意图;
图3为本发明提出的一种网络协议IP接入方法流程示意图;
图4为本发明具体实施例所提出的一种IP接入方法示意图;
图5为本发明提出的一种接入设备的结构示意图。
具体实施方式
有鉴于现有技术中所存在的技术问题,本发明提出了一种网络协议IP接入方法,基于网页的接入场景(Portal)下,核心思想是在认证前不分配有效的公网IP,只分配私网IP用于认证,称为初始IP。该初始IP(认证IP)在用户在线期间,与DHCP联动保留,不分给其他用户。同时在维持初始IP不变的前提下使新的IP(授权IP)能够随意更换,从而在分配公网IP后,或者多公网IP时(如IP和IPv6双栈),甚至分配的公网IP为IPv6地址时,能够实现基于用户的原始IP握手检查和下线处理。
如图3所示,该方法具体包括以下步骤:
S301,当用户设备通过Portal认证后,所述接入设备保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址,禁止所述初始IP地址被分配给其他用户设备。
由于用户在接入前都需要进行Portal认证,因此在该步骤之前,接入设备将会接收到用户设备发送的接入请求,随后用户设备分配所述初始IP地址,以使所述用户设备使用所述初始IP地址与所述认证服务器进行认证。由于本发明后续都将初始IP地址与新IP地址进行了绑定,因此该步骤中所分配的初始IP地址必须是与已保留的IP地址均不同的IP地址。
S302,所述接入设备在接收到所述用户设备的IP地址申请请求时,为所述用户设备分配新IP地址,并保存所述新IP地址与所述初始IP地址之间的对应关系。
在对应设置保存完毕之后,为了保证认证服务器能够与用户实现无缝通信,针对接入服务器与用户设备之间的检测报文,接入设备分别采用以下方式处理:
当所述接入设备接收到目的IP地址为所述初始IP地址的检测报文时,所述接入设备将所述目的IP地址替换为所述新IP地址,并将所述检测报文发送至所述用户设备;
当所述接入设备接收到源IP地址为所述新IP地址的检测报文时,所述接入设备在将所述源IP地址替换为所述初始IP地址后转发所述检测报文。
此外,针对用户下线的情况,当所述接入设备收到所述用户设备发往所述认证服务器的下线请求报文时,所述接入设备在将所述下线请求报文中的新IP地址替换为所述初始IP地址后发送所述下线请求报文至所述认证服务器。而接入设备在确认所述用户设备下线后,解除所述新IP地址与所述初始IP地址之间的对应关系,并回收所述初始IP地址。
为了进一步阐述本发明的技术思想,现结合如图4所示具体的应用场景,对本发明的技术方案进行说明:
(1)初始IP地址分配:终端PC物理接入NAS后,由NAS设备上的DHCP模块为终端分配IP地址,称为初始IP。此IP可以与PortalSever通信,但不能访问外部网络。
(2)IP地址保留:用户使用初始IP完成Portal认证后,此时,PortalServer上记录的用户是初始IP。Portal模块通知DHCP绑定此初始IP,不会再分配给其他的终端。之后,用户释放初始IP时,DHCP也不会把初始IP分配给其它用户。终端申请新的IP地址时,用户已经通过认证,因此Portal控制DHCP,为用户分配新的IP,如公网IP,可以与外部网络进行通信。
(3)保留IP地址通信:PortalServer与终端(初始IP)通信时(如检查用户是否在线),报文经过接口A发出时,Portal检查目的IP是初始IP,使用终端当前的IP进行目的IP替换后,发送给终端。终端处理后,发送响应报文,Portal模块再进行源IP替换,完成PortalServer和终端的报文交互。在此需要指出的是,终端使用当前IP访问外部网络时,Portal不会进行源IP替换。
(4)下线回收IP地址:在PortalServer通知NAS设备用户下线时,因为Portal记录了初始IP,因此,可以正常完成下线操作。当终端主动向PortalServer发起下线请求时,Portal模块将用户的源IP替换为初始IP,把请求发送给PortalServer。用户下线后,Portal通知DHCP释放初始IP,由DHCP真正回收初始IP。
为实现以上技术目的,本发明同时还提出了一种接入设备,应用于包括所述接入设备、用户设备以及认证服务器的系统中,如图5所示,包括:
保留模块510,用于当用户设备通过Portal认证后保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址,禁止所述初始IP地址被分配给其他用户设备;
分配模块520,用于在接收到所述用户设备的IP地址申请请求时,为所述用户设备分配新IP地址,并保存所述新IP地址与所述初始IP地址之间的对应关系。
具体的,所述分配模块,还用于在所述接入设备保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址之前,接收所述用户设备发送的接入请求,为所述用户设备分配所述初始IP地址,以使所述用户设备使用所述初始IP地址与所述认证服务器进行认证;所述初始IP地址为与已保留的IP地址均不同的IP地址。
具体的,还包括替换模块,用于当所述接入设备接收到目的IP地址为所述初始IP地址的检测报文时,将所述目的IP地址替换为所述新IP地址,并将所述检测报文发送至所述用户设备;或,当所述接入设备接收到源IP地址为所述新IP地址的检测报文时,将所述源IP地址替换为所述初始IP地址后转发所述检测报文。
具体的,所述替换模块,还用于当所述接入设备收到所述用户设备发往所述认证服务器的下线请求报文时,在将所述下线请求报文中的新IP地址替换为所述初始IP地址后发送所述下线请求报文至所述认证服务器;在确认所述用户设备下线后,解除所述新IP地址与所述初始IP地址之间的对应关系,并回收所述初始IP地址。
通过应用以上技术方案,由接入设备在用户设备通过Portal认证后保留用户设备在Portal认证过程中所使用的初始网络协议IP地址,禁止该初始IP地址被分配给其他用户设备,随后将在接收到所述用户设备的IP地址申请请求时为用户设备分配的新IP地址,并保存新IP地址与初始IP地址之间的对应关系。从而使接入设备以及认证服务器可以不必随时感知用户的IP地址更换,极大的增强了NAS设备的组网灵活性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (8)
1.一种网络协议IP接入方法,其特征在于,包括:
当用户设备通过Portal认证后,接入设备保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址,禁止所述初始IP地址被分配给其他用户设备;
所述接入设备在接收到所述用户设备的IP地址申请请求时,为所述用户设备分配新IP地址,并保存所述新IP地址与所述初始IP地址之间的对应关系。
2.如权利要求1所述的方法,其特征在于,在所述接入设备保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址之前,还包括:
所述接入设备接收所述用户设备发送的接入请求,为所述用户设备分配所述初始IP地址,以使所述用户设备使用所述初始IP地址与所述认证服务器进行认证;所述初始IP地址为与已保留的分配给其他所述用户的初始IP地址均不同的IP地址。
3.如权利要求2所述的方法,其特征在于,在保存所述新IP地址与所述初始IP地址之间的对应关系之后,还包括:
当所述接入设备接收到目的IP地址为所述初始IP地址的检测报文时,所述接入设备将所述目的IP地址替换为所述新IP地址,并将所述检测报文发送至所述用户设备;
当所述接入设备接收到源IP地址为所述新IP地址的检测报文时,所述接入设备在将所述源IP地址替换为所述初始IP地址后转发所述检测报文。
4.如权利要求2所述的方法,其特征在于,在所述接入设备保存所述新IP地址与所述初始IP地址之间的对应关系之后,还包括:
当所述接入设备收到所述用户设备发往所述认证服务器的下线请求报文时,所述接入设备在将所述下线请求报文中的新IP地址替换为所述初始IP地址后发送所述下线请求报文至所述认证服务器;
所述接入设备在确认所述用户设备下线后,解除所述新IP地址与所述初始IP地址之间的对应关系,并回收所述初始IP地址。
5.一种接入设备,其特征在于,包括:
保留模块,用于当用户设备通过Portal认证后保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址,禁止所述初始IP地址被分配给其他用户设备;
分配模块,用于在接收到所述用户设备的IP地址申请请求时,为所述用户设备分配新IP地址,并保存所述新IP地址与所述初始IP地址之间的对应关系。
6.如权利要求5所述的接入设备,其特征在于,所述分配模块,还用于:
在所述接入设备保留所述用户设备在所述Portal认证过程中所使用的初始网络协议IP地址之前,接收所述用户设备发送的接入请求,为所述用户设备分配所述初始IP地址,以使所述用户设备使用所述初始IP地址与所述认证服务器进行认证;所述初始IP地址为已保留的分配给其他所述用户的初始IP地址均不同的IP地址。
7.如权利要求6所述的接入设备,其特征在于,还包括:
替换模块,用于当所述接入设备接收到目的IP地址为所述初始IP地址的检测报文时,将所述目的IP地址替换为所述新IP地址,并将所述检测报文发送至所述用户设备;
或,当所述接入设备接收到源IP地址为所述新IP地址的检测报文时,将所述源IP地址替换为所述初始IP地址后转发所述检测报文。
8.如权利要求7所述的接入设备,其特征在于,所述替换模块,还用于:
当所述接入设备收到所述用户设备发往所述认证服务器的下线请求报文时,在将所述下线请求报文中的新IP地址替换为所述初始IP地址后发送所述下线请求报文至所述认证服务器;
在确认所述用户设备下线后,解除所述新IP地址与所述初始IP地址之间的对应关系,并回收所述初始IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410136326.7A CN103957194B (zh) | 2014-04-04 | 2014-04-04 | 一种网络协议ip接入方法及接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410136326.7A CN103957194B (zh) | 2014-04-04 | 2014-04-04 | 一种网络协议ip接入方法及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103957194A CN103957194A (zh) | 2014-07-30 |
| CN103957194B true CN103957194B (zh) | 2017-09-15 |
Family
ID=51334420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410136326.7A Active CN103957194B (zh) | 2014-04-04 | 2014-04-04 | 一种网络协议ip接入方法及接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103957194B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681267B (zh) * | 2014-11-21 | 2019-11-29 | 南京中兴新软件有限责任公司 | 数据传送方法及装置 |
| CN104954508B (zh) * | 2015-06-24 | 2018-03-27 | 北京网瑞达科技有限公司 | 一种用于dhcp协议辅助计费的系统及其辅助计费方法 |
| CN106936942A (zh) * | 2017-03-07 | 2017-07-07 | 迈普通信技术股份有限公司 | 一种dhcp地址回收系统及方法 |
| CN107580325B (zh) * | 2017-08-02 | 2021-08-06 | 台州智奥通信设备有限公司 | Wds连接方法、无线接入点及终端设备 |
| CN107979655A (zh) * | 2017-09-29 | 2018-05-01 | 新华三技术有限公司 | 访问控制方法、接入控制装置和接入设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1458763A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络的接入方法 |
| CN102036227A (zh) * | 2009-09-27 | 2011-04-27 | 中国移动通信集团公司 | 一种数据业务的用户标识获取方法、系统及装置 |
| CN102572005A (zh) * | 2011-11-23 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种ip地址分配方法和设备 |
| CN103414709A (zh) * | 2013-08-02 | 2013-11-27 | 杭州华三通信技术有限公司 | 用户身份绑定、协助绑定的方法及装置 |
-
2014
- 2014-04-04 CN CN201410136326.7A patent/CN103957194B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1458763A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络的接入方法 |
| CN102036227A (zh) * | 2009-09-27 | 2011-04-27 | 中国移动通信集团公司 | 一种数据业务的用户标识获取方法、系统及装置 |
| CN102572005A (zh) * | 2011-11-23 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种ip地址分配方法和设备 |
| CN103414709A (zh) * | 2013-08-02 | 2013-11-27 | 杭州华三通信技术有限公司 | 用户身份绑定、协助绑定的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103957194A (zh) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| US9438630B2 (en) | Network access control using subnet addressing | |
| EP3068093B1 (en) | Security authentication method and bidirectional forwarding detection method | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN103179554B (zh) | 无线宽带网络接入控制方法、装置与网络设备 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103856332A (zh) | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN104202338A (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN106059802B (zh) | 一种终端接入认证方法及装置 | |
| US11303633B1 (en) | Identity security gateway agent | |
| US10917406B2 (en) | Access control method and system, and switch | |
| CN109101811B (zh) | 一种基于SSH隧道的可控Oracle会话的运维与审计方法 | |
| CN104660523A (zh) | 一种网络准入控制系统 | |
| CN101309279B (zh) | 终端访问的控制方法、系统和设备 | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| CN101621527A (zh) | VPN中基于Portal的安全认证的实现方法、系统和设备 | |
| CN104821951A (zh) | 一种安全通信的方法和装置 | |
| CN102045398A (zh) | 一种基于Portal的分布式控制方法和设备 | |
| JP2016066298A (ja) | 中継装置、通信システム、情報処理方法、及び、プログラム | |
| US20100005181A1 (en) | Method and system for controlling a terminal access and terminal for controlling an access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |