CN107733931A - 入口认证方法、装置及入口服务器 - Google Patents
入口认证方法、装置及入口服务器 Download PDFInfo
- Publication number
- CN107733931A CN107733931A CN201711236811.1A CN201711236811A CN107733931A CN 107733931 A CN107733931 A CN 107733931A CN 201711236811 A CN201711236811 A CN 201711236811A CN 107733931 A CN107733931 A CN 107733931A
- Authority
- CN
- China
- Prior art keywords
- access device
- standard grade
- access
- way converting
- portal server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供一种入口认证方法、装置及入口服务器。所述入口服务器获取用户终端的上线认证信息;判断是否与接入设备之间保持有双向转发侦测会话;若与所述接入设备之间保持有所述双向转发侦测会话,则将所述上线认证信息发送至所述接入设备;若与所述接入设备之间没有保持所述双向转发侦测会话,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备。通过所述双向转发侦测会话来判断所述入口服务器与所述接入设备之间的可信关系,简化了入口认证的流程,可以有效节省时间和系统资源开销,提高了认证效率。
Description
技术领域
本公开涉及网络通信技术领域,具体而言,涉及一种入口认证方法、装置及入口服务器。
背景技术
入口(Portal)认证通常也称为Web认证,即通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。在采用了Portal认证的组网环境中,未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在入口服务器提供的网站上进行Portal认证,认证通过后才可以使用这些互联网中的设备或资源。
在Portal认证流程中,一般由接入设备获取到用户终端的网络访问请求,当接入设备检测到用户终端未经认证时,将用户终端的网络访问请求重定向至入口服务器。然后由入口服务器为用户终端提供一个认证页面,获取用户终端输入的认证信息(例如用户名和密码),并将认证信息发送给接入设备。接入设备在将认证信息发送给认证服务器进行认证。在认证流程中,接入设备与入口服务器之间需要在确定通信连接可信时才进行数据交互,以保证整个组网环境的安全和稳定性。
发明内容
为了克服现有技术中的上述不足,本公开的目的在于提供一种入口认证方法,应用于入口服务器;所述方法包括:
获取用户终端的上线认证信息;
判断入口服务器与接入设备之间是否保持有双向转发侦测会话;
若所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话,将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
本公开的另一目的在于提供一种入口认证方法,应用于入口认证系统,所述入口认证系统包括入口服务器、接入设备及认证服务器;所述方法包括:
所述入口服务器接收用户终端的访问请求,获取用户终端的上线认证信息;
所述入口服务器判断是否与接入设备之间保持有双向转发侦测会话;
若所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话,则将所述上线认证信息发送至所述接入设备;
所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
本公开的另一目的在于提供一种入口认证装置,应用于入口服务器;所述装置包括:
认证信息获取模块,用于获取用户终端的上线认证信息;
判断模块,用于判断入口服务器与接入设备之间是否保持有双向转发侦测会话;
第一执行模块,用于在所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话时,将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
本公开的另一目的在于提供一种入口服务器,所述入口服务器包括:
存储器;
处理器;及
入口认证装置,包括一个或多个存储于所述存储器中并由所述处理器执行的软件功能模块,所述入口认证装置包括:
认证信息获取模块,用于获取用户终端的上线认证信息;
判断模块,用于判断入口服务器与接入设备之间是否保持有双向转发侦测会话;
第一执行模块,用于在所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话时,将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
本公开的另一目的在于提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,实现本公开提供的所述入口认证方法。
相对于现有技术而言,本公开具有以下有益效果:
本公开提供的入口认证方法、装置及入口服务器,通过所述入口服务器与所述接入设备之间的双向转发侦测会话来判断所述入口服务器与所述接入设备之间的可信关系。如此,简化了入口认证的流程,可以有效节省时间和系统资源开销,提高了认证效率。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本公开实施例提供的入口认证系统的示意图之一;
图2为本公开实施例提供的入口认证方法的步骤流程示意图;
图3为本公开实施例提供的入口认证系统的示意图之二;
图4为本公开实施例提供的入口服务器的示意图;
图5为本公开实施例提供的入口认证装置的示意图。
图标:10-入口认证系统;100-入口服务器;110-入口认证装置;111-认证信息获取模块;112-判断模块;113-第一执行模块;114-第二执行模块;115-授权结果发送模块;116-会话管理模块;120-存储器;130-处理器;140-通信单元;200-接入设备;300-认证服务器;400-安全策略服务器;20-用户终端;30-外部网络。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本公开的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本公开中的具体含义。
入口服务器在获取用户的上线认证信息后,需要先确认与接入设备之间的可信关系,然后再将上线认证信息发送给接入设备。常用的入口服务器与接入设备的交互方案中,进行可信关系确认的流程复杂,即使在已经建立可信关系后,每次有用户终端上限时,仍然会对可信关系进行反复确认,占用了时间,产生不必要的系统开销和资源浪费。
而在实际常规的组网环境中,入口服务器与接入设备之间的通信通常都是稳定可靠的,入口服务器与接入设备建立并保持可信的通信连接后,不需要反复进行可信关系的确认。
故在本实施例中,发明人设计通过检测入口服务器与接入设备之间的双向转发侦测会话(Bidirectional Forward Detection session,BFD session)的状态来确认两者之间的可信关系,以简化入口认证的流程。
请参照图1,图1为本公开实施例提供的入口认证系统10的交互示意图,所述入口认证系统10包括接入设备200、入口服务器100及认证服务器300。
所述接入设备200分别与所述入口服务器100及认证服务器300连接,由所述接入设备200、入口服务器100及认证服务器300组成内部认证网络。
同时,所述接入设备200还可以分别与用户终端20及外部网络30连接,所述用户终端20在通过所述入口认证系统10的认证后,可以通过所述接入设备200访问外部网络30。在本实施例中,所述外部网络30可以为Internet。
可选地,在本实施例中,所述接入设备200可以直接与所述用户终端20采用有线连接进行通信,也可以经过如无线接入点(Wireless Access Point,AP)等无线设备与所述用户终端20建立无线通信。
请参照图2,图2为应用于图1所示入口认证系统10的一种入口认证方法的流程图,以下将对所述方法包括各个步骤进行详细阐述。
步骤S110,所述接入设备200接收用户终端20发送的访问请求。
所述接入设备200与所述用户终端20建立通信后,可以接收所述用户终端20发起的网络访问请求,并对所述网络访问请求的目的地址进行检测判断。
当检测到所述网络访问请求为访问所述入口服务器100或预设的免认证范围内的地址时,所述接入设备200允许所述网络访问请求通过。
当检测到所述网络访问请求为访问其他地址时,进入步骤S120。
步骤S120,将所述网络访问请求重定向至所述入口服务器100,以使所述用户终端20对所述入口服务器100发起访问。
在本实施例中,所述入口服务器100针对将未经过认证的用户终端20针对不在免认证范围内的地址发送的网络访问请求,回复重定向报文,使所述用户终端20根据所述重定向报文向所述入口服务器100发起访问。
步骤S130,所述入口服务器100接收用户终端20的访问,获取用户终端20的上线认证信息。
在本实施例中,所述入口服务器100接收所述用户终端20的访问请求后,向所述用户终端20提供一认证界面,并获取用户在所述认证界面上输入的上线认证信息。所述入口服务器100在获取到上线认证信息后,可先对所述上线认证信息进行初步认证,在初步认证通过后,将所述上线认证信息发送给所述接入设备200以进行进一步的认证。
可选地,在本实施例中,所述入口服务器100可以为独立工作的服务器,完成提供所述认证界面及与接入设备200交互所述上线认证信息的工作。所述入口服务器100也可以为由Portal Web服务器及Portal认证服务器300组成,其中,所述Portal Web服务器用于提供所述认证界面,并将获得的所述上线认证信息发送给所述Portal认证服务器300。由所述Portal认证服务器300进行对所述上线认证信息的初步认证,并完成与所述接入设备200交互所述上线认证信息。
所述入口服务器100在将所述上线认证信息发送给所述接入设备200之前,需要先通过步骤S140确认与所述接入设备200之间的可信关系。
步骤S140,所述入口服务器100判断是否与接入设备200之间保持有双向转发侦测会话。
所述入口服务器100在确认与所述接入设备200的可信关系前,需要先获得所述用户终端20请求上线的一些基础信息,如上线的端口、VLAN等信息。故在本实施例中,请参照图3,所述入口服务器100先与所述接入设备200进行基础信息报文交互,向所述接入设备200请求关于所述用户终端20认证请求上线的一些基础信息。
例如,所述入口服务器100先向所述接入设备200发送基础信息请求报文(REQ_INFO报文),所述接入设备200在接收到REQ_INFO报文后,将所述用户终端20请求上线的基础信息组成基础信息应答报文(ACK_INFO报文)发送给所述入口服务器100。其中,所述基础信息可以包括认证交互使用的质询握手协议(例如,采用PAP协议或是CHAP协议)、用户终端的IP地址及用户终端上线使用的端口号等。
所述入口服务器100在完成所述基础信息报文交互后,确认与接入设备200之间的可信关系,然后所述入口服务器100将获得的所述上线认证信息发送给接入设备200进行之后的验证步骤。
现有方法中,所述入口服务器100与所述接入设备200根据所述基础信息交互中确认的质询握手协议进行质询报文交互,相互核对交互加密核对的信息(如明文密码内容),以确认所述入口服务器100与所述接入设备200之间的可信关系。
例如,所述入口服务器100先向所述接入设备200发送质询请求报文(REQ_CHALLENGE报文),所述接入设备200在接收到REQ_CHALLENGE报文后,向所述接入设备200回复质询确认报文(ACK_CHALLENGE报文)。
通常的组网场景中,所述入口服务器100与所述接入设备200之间的通信一般都是稳定可靠的。对于接入设备200而言,所述入口服务器100与接入设备200之间在进行一次可信关系的确认后,在一端时间内均会保持稳定可信的通信状态。
但是现有方法中,每当有新的用户终端20请求上线时,所述入口服务器100都需要与所述接入设备200进行一次所述质询报文的交互来确认可信关系。而实际上,所述入口服务器100与接入设备200之间的通信是已经确认过稳定可信,不需要重复进行复杂的确认动作。
故在本实施例中,发明人设计采用检测所述接入设备200与所述入口服务器100之间的双向转发侦测会话来确认可信关系。
所述双向转发侦测会话是一种用于检测两个通信点之间故障的网络协议。在所述入口服务器100与所述接入设备200之间进行过一次可信关系确认后,构建一个双向转发侦测会话,如果所述双向转发侦测会话一直保持,则说明所述入口服务器100和所述接入设备200之间没有出现变动,可信关系是保持稳定的,则不需要重复进行所述质询报文的交互。
具体地,所述入口服务器100在与所述接入设备200完成所述基础信息报文交互之后,判断是否与接入设备200之间保持有双向转发侦测会话。
若与所述接入设备200之间保持有所述双向转发侦测会话,则表示所述入口服务器100与所述接入设备200之间保持着可信稳定的通信,进入步骤S150。
若与所述接入设备200之间未保持有所述双向转发侦测会话,则表示所述入口服务器100与所述接入设备200之间没有可信稳定的通信,进入步骤S160。
步骤S150,所述入口服务器100将所述上线认证信息发送至所述接入设备200。
在本实施例中,若检测到所述入口服务器100与所述接入设备200之间存在双向转发侦测会话,且所述双向转发侦测会话的状态为保持状态(UP状态)时,认为与所述接入设备200之间为已经确认过的可信稳定通信,则直接将所述上线认证信息发送给所述接入设备200进行后续认证步骤。
步骤S160,所述入口服务器100向所述接入设备200发送质询请求报文,并在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备200。
在本实施例中,所述双向转发侦测会话不为UP状态的情形至少包括以下两种。
在一种情形中,如果所述入口服务器100与所述接入设备200间没有建立双向转发侦测会话,表示所述入口服务器100与所述接入设备200间尚未进行过可信关系的确认,则所述入口服务器100与所述接入设备200向通过一次质询报文交互确认可信关系,并构建双向转发侦测会话。
具体地,所述入口服务器100向所述接入设备200发送质询请求报文,在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备200。
并且,在完成后续认证步骤,所述用户终端20上线成功后,所述入口服务器100与所述接入设备200建立双向转发侦测会话。如此,所述入口服务器100之后需要向所述接入设备200发送其他用户终端20的上线认证信息时,可以通过检测所述双向转发侦测会话确认可信关系。
在另一种情形中,如果所述入口服务器100与所述接入设备200之间建立有双向转发侦测会话但该双向转发侦测会话为断开状态(down状态),表示所述入口服务器100与所述接入设备200之间的通信可能出现变动或者可能出现故障,通信不再稳定可信。则所述入口服务器100删除当前的所述双向转发侦测会话,然后所述入口服务器100与所述接入设备200向通过一次质询报文交互确认可信关系,并构建新的双向转发侦测会话。
例如,用户在所述接入设备200或者入口服务器100上进行了对方互信认证方面的配置更改(比如更改明文密码等),做出更改的一端需要删除本端的双向转发侦测会话。在其中一端的所述双向转发侦测会话删除后,另一端会检测到所述双向转发侦测会话的状态为down。
如此,使得互信的关系依赖所述双向转发侦测会话的状态,如果接入设备200或入口服务器100上互信关系的发生修改或变更,说明所述双向转发侦测会话也已经不可信赖,所以在做出更改一端需要删除原来建立的双向转发侦测会话。
再例如,如果在所述入口服务器100上所述双向转发侦测会话因为本端超时导致状态为down,则也需要删除双向转发侦测会话。本端超时导致会话状态为down的原因可能是对端接入设备200因为某些原因出现故障无法及时发送所述双向转发侦测会话的保活报文,这种情况下,所述入口服务器100也要进行删除原来建立的所述双向转发侦测会话。
具体地,所述入口服务器100删除当前的所述双向转发侦测会话,然后向所述接入设备200发送质询请求报文,在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备200。
并且,在完成后续认证步骤,所述用户终端20上线成功后,所述入口服务器100与所述接入设备200建立新的双向转发侦测会话。
步骤S170,所述接入设备200将所述上线认证信息发送至认证服务器300进行认证。
在本实施例中,所述接入设备200在获得所述上线认证信息后,可以与所述认证服务器300进行认证协议(如RADIUS协议)的报文交互,以将所述上线认证信息发送至所述认证服务器300进行认证,并从所述认证服务器300获得认证授权结果。所述认证服务器300可以为AAA(Authentication Authorization Accounting,验证、授权和记账)服务器。
步骤S180,所述接入设备200根据所述认证服务器300对所述上线认证信息的做出的认证授权结果对所述用户终端20的访问流量进行控制。
可选地,所述接入设备200还可以将所述认证授权结果后发送至所述入口服务器100,所述入口服务器100可以在提供给所述用户终端20的认证界面上显示所述认证授权结果,例如,提示认证(上线)成功或失败。
进一步地,请参照图3,在本实施例中,所述入口认证系统10还可以包括安全策略服务器400。当所述认证授权结果为认证通过时,所述入口服务器100可以针对所述认证授权结果向所述接入设备200回复认证确认应答。所述接入设备200通知所述安全策略服务器400获取所述用户终端20的安全信息,例如,是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
所述安全策略服务器400根据获取到的所述安全信息生成访问策略并发送给所述接入设备200。所述接入设备200根据所述安全访问策略对所述用户终端20的访问流量进行控制。
基于上述设计,本实施例提供的入口认证方法采用检测所述双向转发侦测协议的方式代替反复的质询报文交互,简化了入口认证的流程,可以有效节省时间和系统资源开销,提高了认证效率。
请参照图4,图4是图1所示的入口服务器100的方框示意图。所述入口服务器100包括入口认证装置110、存储器120、处理器130、通信单元140。
所述存储器120、处理器130以及通信单元140各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述入口认证装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器120中或固化在所述入口服务器100的操作系统(operating system,OS)中的软件功能模块。所述处理器130用于执行所述存储器120中存储的可执行模块,例如所述入口认证装置110所包括的软件功能模块及计算机程序等。
其中,所述存储器120可以是,但不限于,随机存取存储器(RandomAccess Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器120用于存储程序,所述处理器130在接收到执行指令后,执行所述程序。所述通信单元140用于建立所述入口服务器100与所述接入设备之间的通信。
所述处理器130可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
请参照图5,图5为应用与图1所示入口服务器100的一种入口认证装置110的示意图,所述入口认证装置110包括认证信息获取模块111、判断模块112、第一执行模块113及第二执行模块114。
所述认证信息获取模块111,用于获取用户终端20的上线认证信息。
本实施例中,所述认证信息获取模块111可用于执行图2所示的步骤S130,关于所述认证信息获取模块111的具体描述可参对所述步骤S130的描述。
所述判断模块112,用于判断是否与接入设备200之间保持有双向转发侦测会话。
本实施例中,所述判断模块112可用于执行图2所示的步骤S140,关于所述判断模块112的具体描述可参对所述步骤S140的描述。
所述第一执行模块113,用于若所述入口服务器100与所述接入设备200之间保持有所述双向转发侦测会话,则将所述上线认证信息发送至所述接入设备200,以使所述接入设备200将所述上线认证信息发送至认证服务器300进行认证。
本实施例中,所述第一执行模块113可用于执行图2所示的步骤S150,关于所述第一执行模块113的具体描述可参对所述步骤S150的描述。
所述第二执行模块114,用于若所述入口服务器100与所述接入设备200之间没有保持所述双向转发侦测会话,向所述接入设备200发送质询请求报文,并在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备200,以使所述接入设备200将所述上线认证信息发送至认证服务器300进行认证。
本实施例中,所述第二执行模块114可用于执行图2所示的步骤S160,关于所述第二执行模块114的具体描述可参对所述步骤S160的描述。
可选地,所述第二执行模块114在所述入口服务器100与所述接入设备200之间未保持有所述双向转发侦测会话时,向所述接入设备200发送质询请求报文,并在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备200的方式具体为:
如果所述入口服务器100与所述接入设备200间没有建立双向转发侦测会话,则向所述接入设备200发送质询请求报文,在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备200;并在所述用户终端20上线成功后,与所述接入设备200建立双向转发侦测会话。
如果所述入口服务器100与所述接入设备200之间建立有双向转发侦测会话但该双向转发侦测会话为断开状态,则删除当前的所述双向转发侦测会话,向所述接入设备200发送质询请求报文,在接收到所述接入设备200基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备200;并在所述用户终端20上线成功后,重新构建与所述接入设备200之间的双向转发侦测会话。
可选地,请再次参照图5,所述入口认证装置110还可以包括授权结果发送模块115。
所述授权结果发送模块115,用于从所述接入设备200获取所述认证服务器300对所述上线认证信息的认证授权结果,并将所述认证授权结果发送至所述用户终端20。
可选地,请再次参照图5,所述装置还可以包括会话管理模块116。
所述会话管理模块116,用于在检测到本端互信认证配置更改时,删除与所述接入设备200之间的双向转发侦测会话。
综上所述,本公开提供的入口认证方法、装置及入口服务器100,通过所述入口服务器100与所述接入设备200之间的双向转发侦测会话来判断所述入口服务器100与所述接入设备200之间的可信关系。如此,简化了入口认证的流程,可以有效节省时间和系统资源开销,提高了认证效率。
在本公开所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (19)
1.一种入口认证方法,其特征在于,应用于入口服务器;所述方法包括:
获取用户终端的上线认证信息;
判断入口服务器与接入设备之间是否保持有双向转发侦测会话;
若所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话,将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
2.根据权利要求1所述的方法,其特征在于,在所述判断入口服务器与接入设备之间是否保持有双向转发侦测会话的步骤之后,所述方法还包括:
若所述入口服务器与所述接入设备之间未保持有所述双向转发侦测会话,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
3.根据权利要求2所述的方法,其特征在于,所述若所述入口服务器与所述接入设备之间未保持有所述双向转发侦测会话,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备的步骤,包括:
如果所述入口服务器与所述接入设备间没有建立双向转发侦测会话,则向所述接入设备发送质询请求报文,在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备;并在所述用户终端上线成功后,与所述接入设备建立双向转发侦测会话;
如果所述入口服务器与所述接入设备之间建立有双向转发侦测会话但该双向转发侦测会话为断开状态,则删除当前的所述双向转发侦测会话,向所述接入设备发送质询请求报文,在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备;并在所述用户终端上线成功后,重新构建与所述接入设备之间的双向转发侦测会话。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述接入设备获取所述认证服务器对所述上线认证信息的认证授权结果,根据所述认证授权结果对所述用户终端的访问流量进行控制。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在检测到用于与所述接入设备进行可信关系确认的配置发生更改时,删除与所述接入设备之间的双向转发侦测会话。
6.一种入口认证方法,其特征在于,应用于入口认证系统,所述入口认证系统包括入口服务器、接入设备及认证服务器;所述方法包括:
所述入口服务器接收用户终端的访问请求,获取用户终端的上线认证信息;
所述入口服务器判断是否与接入设备之间保持有双向转发侦测会话;
若所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话,则将所述上线认证信息发送至所述接入设备;
所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
7.根据权利要求6所述的方法,其特征在于,所述入口服务器判断是否与接入设备之间保持有双向转发侦测会话的步骤之后,所述方法还包括:
若所述入口服务器与所述接入设备之间未保持有所述双向转发侦测会话,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备。
8.根据权利要求7所述的方法,其特征在于,所述若所述入口服务器与所述接入设备之间没有保持所述双向转发侦测会话,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备的步骤,包括:
如果入口服务器与所述接入设备间没有建立双向转发侦测会话,则向所述接入设备发送质询请求报文,在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备;并在所述用户终端上线成功后,与所述接入设备建立双向转发侦测会话;
如果入口服务器与所述接入设备之间建立有双向转发侦测会话但该双向转发侦测会话为断开状态时,则删除当前的所述双向转发侦测会话,向所述接入设备发送质询请求报文,在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备;并在所述用户终端上线成功后,重新构建与所述接入设备之间的双向转发侦测会话。
9.根据权利要求6所述的方法,其特征在于,所述入口服务器接收所述用户终端的访问,获取用户终端的上线认证信息的步骤之前,所述方法还包括:
所述接入设备接收用户终端发送的访问请求;
将未经过认证的用户终端针对不在免认证范围内的地址发送的网络访问请求重定向至所述入口服务器,以使所述用户终端对所述入口服务器发起访问。
10.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述接入设备根据所述认证服务器对所述上线认证信息的做出的认证授权结果对所述用户终端的访问流量进行控制。
11.根据权利要求10所述的方法,其特征在于,所述入口认证系统还包括安全策略服务器;所述接入设备根据所述认证授权结果对所述用户终端的访问流量进行控制的步骤,包括:
所述接入设备在所述认证授权结果为认证通过时,通知所述安全策略服务器获取所述用户终端的安全信息;
所述接入设备获取所述安全策略服务器基于所述安全信息生成的安全访问策略,并根据所述安全访问策略对所述用户终端的访问流量进行控制。
12.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述入口服务器或所述接入设备在检测到本端用于进行可信关系确认的配置发生更改时,删除与对应对端设备之间的双向转发侦测会话。
13.一种入口认证装置,其特征在于,应用于入口服务器;所述装置包括:
认证信息获取模块,用于获取用户终端的上线认证信息;
判断模块,用于判断入口服务器与接入设备之间是否保持有双向转发侦测会话;
第一执行模块,用于在所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话时,将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第二执行模块,用于在所述入口服务器与所述接入设备之间未保持所述双向转发侦测会话时,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
15.根据权利要求14所述的装置,其特征在于,所述第二执行模块在所述入口服务器与所述接入设备之间未保持有所述双向转发侦测会话时,向所述接入设备发送质询请求报文,并在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,再将所述上线认证信息发送至所述接入设备的方式具体为:
如果所述入口服务器与所述接入设备间没有建立双向转发侦测会话,则向所述接入设备发送质询请求报文,在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备;并在所述用户终端上线成功后,与所述接入设备建立双向转发侦测会话;
如果所述入口服务器与所述接入设备之间建立有双向转发侦测会话但该双向转发侦测会话为断开状态,则删除当前的所述双向转发侦测会话,向所述接入设备发送质询请求报文,在接收到所述接入设备基于所述质询请求报文反馈的质询确认报文后,将所述上线认证信息发送至所述接入设备;并在所述用户终端上线成功后,重新构建与所述接入设备之间的双向转发侦测会话。
16.根据权利要求13所述的装置,其特征在于,所述装置还包括:
流量控制模块,用于从所述接入设备获取所述认证服务器对所述上线认证信息的认证授权结果,根据所述认证授权结果对所述用户终端的访问流量进行控制。
17.根据权利要求13所述的装置,其特征在于,所述装置还包括:
会话管理模块,用于在检测到本端互信认证配置更改时,删除与所述接入设备之间的双向转发侦测会话。
18.一种入口服务器,其特征在于,所述入口服务器包括:
存储器;
处理器;及
入口认证装置,包括一个或多个存储于所述存储器中并由所述处理器执行的软件功能模块,所述入口认证装置包括:
认证信息获取模块,用于获取用户终端的上线认证信息;
判断模块,用于判断入口服务器与接入设备之间是否保持有双向转发侦测会话;
第一执行模块,用于在所述入口服务器与所述接入设备之间保持有所述双向转发侦测会话时,将所述上线认证信息发送至所述接入设备,以使所述接入设备将所述上线认证信息发送至认证服务器进行认证授权。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被执行时,实现权利要求1-5中任意一项所述的入口认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711236811.1A CN107733931B (zh) | 2017-11-30 | 2017-11-30 | 入口认证方法、装置及入口服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711236811.1A CN107733931B (zh) | 2017-11-30 | 2017-11-30 | 入口认证方法、装置及入口服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107733931A true CN107733931A (zh) | 2018-02-23 |
| CN107733931B CN107733931B (zh) | 2021-03-09 |
Family
ID=61220711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711236811.1A Active CN107733931B (zh) | 2017-11-30 | 2017-11-30 | 入口认证方法、装置及入口服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733931B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231679A (zh) * | 2020-09-29 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种终端设备验证方法、装置及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340339A (zh) * | 2008-08-15 | 2009-01-07 | 杭州华三通信技术有限公司 | 宽带接入服务器集群系统及装置 |
| CN101437021A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种对接入提示信息的处理方法、系统及装置 |
| CN101783773A (zh) * | 2009-01-21 | 2010-07-21 | 华为技术有限公司 | Ip会话存活监控方法及系统、家庭网关和网络设备 |
| CN105592038A (zh) * | 2015-07-13 | 2016-05-18 | 杭州华三通信技术有限公司 | Portal认证方法及装置 |
| US9467332B2 (en) * | 2013-02-15 | 2016-10-11 | Fujitsu Limited | Node failure detection for distributed linear protection |
| CN106453119A (zh) * | 2016-11-18 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种认证控制方法及装置 |
| CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
-
2017
- 2017-11-30 CN CN201711236811.1A patent/CN107733931B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437021A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种对接入提示信息的处理方法、系统及装置 |
| CN101340339A (zh) * | 2008-08-15 | 2009-01-07 | 杭州华三通信技术有限公司 | 宽带接入服务器集群系统及装置 |
| CN101783773A (zh) * | 2009-01-21 | 2010-07-21 | 华为技术有限公司 | Ip会话存活监控方法及系统、家庭网关和网络设备 |
| US9467332B2 (en) * | 2013-02-15 | 2016-10-11 | Fujitsu Limited | Node failure detection for distributed linear protection |
| CN105592038A (zh) * | 2015-07-13 | 2016-05-18 | 杭州华三通信技术有限公司 | Portal认证方法及装置 |
| CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
| CN106453119A (zh) * | 2016-11-18 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种认证控制方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231679A (zh) * | 2020-09-29 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种终端设备验证方法、装置及存储介质 |
| CN112231679B (zh) * | 2020-09-29 | 2023-03-28 | 新华三信息安全技术有限公司 | 一种终端设备验证方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107733931B (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230262062A1 (en) | Machine-to-Machine Network Assisted Bootstrapping | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| CN113545018A (zh) | 使用网络组件作为区块链节点来保护电信网络 | |
| CA2575819A1 (en) | Method and apparatus for determining authentication capabilities | |
| CN101621380B (zh) | 一种终端安全状态评估方法、网络设备及系统 | |
| CN109150874A (zh) | 访问认证方法、装置及认证设备 | |
| CN107438074A (zh) | 一种DDoS攻击的防护方法及装置 | |
| US11805104B2 (en) | Computing system operational methods and apparatus | |
| CN105871881A (zh) | 一种基于Openwrt路由器的Portal认证的方法 | |
| CN106878139A (zh) | 基于802.1x协议的认证逃生方法及装置 | |
| US8051464B2 (en) | Method for provisioning policy on user devices in wired and wireless networks | |
| CN107733931A (zh) | 入口认证方法、装置及入口服务器 | |
| CN114765805A (zh) | 一种通信方法、网络设备、基站及计算机可读存储介质 | |
| KR101480706B1 (ko) | 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 | |
| EP2781071A1 (en) | Secure tunneling platform system and method | |
| CN103856933B (zh) | 一种漫游终端的认证方法、装置及服务器 | |
| US11985113B2 (en) | Computing system operational methods and apparatus | |
| CN106506520A (zh) | 一种基于单点登录的认证方法及装置 | |
| Mortágua et al. | Enhancing 802.1 X authentication with identity providers using EAP-OAUTH and OAuth 2.0 | |
| Liu | Residential Network Security: Using Software-defined Networking to Inspect and Label Traffic | |
| CN106100889A (zh) | 一种snmp协议安全的增强方法及装置 | |
| Mortágua et al. | Enhancing 802.1 x Authentication with Identity Providers: Introducing Eap-Oauth for Secure and Flexible Network Access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |