访客接入网络的认证方法、认证服务器和系统技术方案

本申请公开了一种访客接入网络的方法、认证服务器和系统，涉及通信领域，一种访客接入网络的方法，包括：认证服务器从接入服务器NAS接收来自访客的认证请求；所述认证服务器从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别；所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。本申请实施例用于访客接入认证。

Authentication method, authentication server and system for visitor access network

The invention discloses a method, a visitor access network authentication server and system, relates to the field of communication, including the method, a visitor access network: the authentication server receives from the visitors from the NAS access server authentication request; the authentication server acquires the visitors from the audit server behavior level, the behavior level for instructions according to the safety level of the guest history network access behavior was determined; the authentication server according to the behavior level and certification strategy to determine whether to allow the visitors access network. This application example is used for visitor access authentication.

【技术实现步骤摘要】
访客接入网络的认证方法、认证服务器和系统
本专利技术涉及通信领域，尤其涉及一种访客接入网络的认证方法、认证服务器和系统。
技术介绍
随着计算机及互联网技术的飞速发展，政府、银行、企业等单位都部署有无线或有线网络供员工和访客使用。出于安全性等因素考虑，上述无线网络均不是完全开放式网络，都需要进行认证授权后方可上网。目前接入认证授权方式主要有两种，一种是企业级802.1x的加密认证，另一种是半开放式的Portal认证。根据公安部对于网络信息安全的要求，对于上述任何方式进行接入认证上网的用户上网行为均需要进行记录和审计。整个通信系统包括接入终端、网络接入服务器(NetworkAccessServer，NAS)、认证服务器和行为审计服务器。接入终端通过NAS向认证服务器发起Radius认证请求，认证服务器根据认证策略进行认证，行为审计服务器用于对用户上网行为进行记录及审计。目前，认证服务器中的认证策略均为事先配置，属于静态策略，对于认证通过的用户后续进行非法的网络行为无法进行约束和制止。
技术实现思路
本申请的实施例提供一种访客接入网络的认证方法、认证服务器和系统，用于实现动态允许访客接入网络。为达到上述目的，本申请的实施例采用如下技术方案：第一方面，提供了一种访客接入网络的认证方法，该方法包括：认证服务器从接入服务器NAS接收来自访客的认证请求；所述认证服务器从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别；所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。第二方面，提供了一种认证服务器，包括：接收单元，用于从接入服务器NAS接收来自访客的认证请求；获取单元，用于从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别；认证单元，用于根据所述行为级别和认证策略确定是否允许所述访客接入网络。第三方面，提供了一种实名审计系统，其特征在于，包括接入服务器NAS、行为审计服务器以及如第二方面所述的认证服务器。第四方面，提供了一种存储一个或多个程序的计算机可读存储介质，其特征在于，所述一个或多个程序包括指令，所述指令当被计算机执行时使所述计算机执行如第一方面所述的方法。本申请的实施例提供的访客接入网络的认证方法、认证服务器和系统，通过将行为审计服务器对访客的审计结果加以利用，根据访客网络行为的合法性级别，动态地对其网络接入和访问权限进行调整，以允许或拒绝其访问网络，相对于现有的解决方案具有以下有益效果。可以根据访客的历史动态行为对其网络访问权限进行限制，安全性更高；由于整个认证流程无大的变化，可以有效的兼容原有的认证流程，即无行为审计服务器，该流程仍然有效，兼容性强。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。图1为本申请的实施例提供的实名审计系统的示意图；图2为本申请的实施例提供的访客接入网络的认证方法的流程示意图；图3为本申请的实施例提供的认证服务器的结构示意图。具体实施方式下面结合附图，对本申请的实施例进行描述。本申请的实施例提供了一种实名审计系统，参照图1中所示，包括：网络接入服务器(NetworkAccessServer，NAS)11、认证服务器12、行为审计服务器13。接入终端14通过NAS11向认证服务器12发起Radius认证请求，认证服务器12根据认证策略进行认证，行为审计服务器13用于对用户上网行为进行记录及审计。接入终端14可以包括需要接入网络的个人电脑(PersonalComputer，PC)、笔记本、手机等。NAS11负责完成访客终端的接入。认证服务器12实现与NAS设备11的交互完成认证授权，并与行为审计服务器13交互获取访客的行为级别。行为审计服务器13用于对访客的上网行为进行记录和审计。本申请的实施例提供了一种访客接入网络的认证方法，参照图2中所示，该方法包括：S101、访客的接入终端连接无线保真(Wireless-Fidelity，WIFI)或有线网络。S102、访客向接入终端输入该访客的账号及密码，接入终端向NAS发起认证请求。该认证请求中包括访客的账号及密码，用于区分具体访客。S103、NAS向认证服务器发起Radius认证请求。S104、认证服务器从NAS接收来自访客的认证请求后，从行为审计服务器获取该访客的行为级别。行为审计服务器存储了各个客户的历史访问网络的用户行为，有的行为可能是非法有的行为可能是合法，并且合法的程度可能不同，因此可以通过行为级别指示根据该访客的历史网络访问行为确定的安全级别。例如将安全级别分为5级，1级为合法，5级为非法。S105、认证服务器根据行为级别和认证策略确定是否允许访客接入网络。认证策略用于指示允许访问网络的访客的行为级别；和/或认证策略用于指示禁止访问网络的访客的行为级别。例如，认证策略配置为可以允许行为级别为1-3级的访客接入网络，而禁止行为级别为4-5级的访客接入网络。S106、如果不允许访客接入网络，则认证服务器通过NAS向接入终端返回认证失败。S107、如果允许访客接入网络，则认证服务器根据认证策略进行后续认证过程。如果认证成功，则向NAS返回认证成功，NAS设备开通访客的接入终端的网络访问权限，并向访客的接入终端返回认证成功。如果认证失败，则认证服务器通过NAS向接入终端返回认证失败。S108、如果允许访客接入网络并且认证成功，则访客的接入终端开始访问网络。S109、行为审计服务器对访客的上网行为进行记录和审计。本申请的技术方案通过将行为审计服务器对访客的审计结果加以利用，根据访客网络行为的合法性级别，动态地对其网络接入和访问权限进行调整，以允许或拒绝其访问网络，相对于现有的解决方案具有以下有益效果。可以根据访客的历史动态行为对其网络访问权限进行限制，安全性更高；由于整个认证流程无大的变化，可以有效的兼容原有的认证流程，即无行为审计服务器，该流程仍然有效，兼容性强。本申请实施例提供了一种认证服务器，应用于上述方法和系统，参照图3中所示，该服务器12包括：接收单元1201，用于从NAS接收来自访客的认证请求；获取单元1202，用于从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据所述访客历史网络访问行为的安全级别；认证单元1203，用于根据所述行为级别和认证策略确定是否允许所述访客接入网络。在一种可能的实施方式中，认证单元1203，还用于如果允许访客接入网络，则所述认证服务器根据认证策略进行后续认证过程。在一种可能的实施方式中，认证服务器12还包括发送单元，用于如果不允许访客接入网络，则通过所述NAS返回认证失败。在一种可能的实施方式中，认证服务器12还包括配置单元，用于配置认证策略，认证策略用于指示允许访问网络的访客的行为级别和/或用于指示禁止访问网络的访客的行为级别。由于本申请实施例中的服务器可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本申请实施例在此不再赘述。需要说明的是，获取单元、认证单元可以为单独设立的处理器，也可以集成在控制器的某一个处理器中实现，此外，也可以以程序代码的形式存储于控制本文档来自技高网...

【技术保护点】
一种访客接入网络的认证方法，其特征在于，包括：认证服务器从接入服务器NAS接收来自访客的认证请求；所述认证服务器从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别；所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。

【技术特征摘要】
1.一种访客接入网络的认证方法，其特征在于，包括：认证服务器从接入服务器NAS接收来自访客的认证请求；所述认证服务器从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据所述访客历史网络访问行为确定的安全级别；所述认证服务器根据所述行为级别和认证策略确定是否允许所述访客接入网络。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：如果允许访客接入网络，则所述认证服务器根据认证策略进行后续认证过程。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：如果不允许访客接入网络，则所述认证服务器通过所述NAS返回认证失败。4.根据权利要求1-3所述的方法，其特征在于，所述认证策略用于指示允许访问网络的访客的行为级别；和/或所述认证策略用于指示禁止访问网络的访客的行为级别。5.一种认证服务器，其特征在于，包括：接收单元，用于从接入服务器NAS接收来自访客的认证请求；获取单元，用于从行为审计服务器获取所述访客的行为级别，所述行为级别用于指示根据...

【专利技术属性】
技术研发人员：陈睿，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51