【技术实现步骤摘要】
一种网络接入认证控制系统
本专利技术涉及互联网
,特别涉及一种网络接入认证控制系统。
技术介绍
近年来网络应用飞速发展,在某些应用场景下需要对接入网络的终端进行接入认证控制,只有通过认证的终端可以接入网络。常见的网络接入认证控制方法包括“基于802.1x协议的接入认证控制方法”和“基于mac地址的接入认证控制方法”。图1描述了基于802.1x协议的接入认证控制系统,该系统使用802.1x协议对终端进行认证和接入控制。该系统包括安装在终端的“认证客户端”软件、“802.1x接入认证控制器”和“认证服务器”。用户在终端打开“认证客户端”软件,输入用户名和密码,便可以可以开始终端的认证过程了。“认证客户端”软件和“802.1x接入认证控制器”采用EAPOL(EAPoverLAN。802.1x协议规定的报文格式。)报文相互沟通,而“802.1x接入认证控制器”作为终端的代理和“认证服务器”进行沟通(采用EAP中继或EAP终结方式)。合法用户信息存储在“认证服务器”中。一旦认证通过,则“802.1x接入认证控制器”允许该
【技术保护点】
1.一种网络接入认证控制系统,其特征在于,包括:接入认证控制器、安装在终端上的认证客户端、网络接入模块和接入策略库模块,其中,所述接入认证控制器分别与所述终端和网络基础设施通信连接;/n所述接入认证控制器包括:网桥模块、认证模块和接入控制模块,其中,/n所述网桥模块用于在终端和网络基础设施之间进行数据转发,所述网桥模块配置的IP地址与所述终端位于同一网段;/n所述认证模块在所述网桥模块的指定TCP端口上进行监听,提供认证服务;/n所述接入控制模块用于对放行的协议报文进行控制;/n所述接入策略库模块用于定义允许网络接入的合法规则;/n所述网络接入模块用于在终端启动后,开始监听...
【技术特征摘要】
1.一种网络接入认证控制系统,其特征在于,包括:接入认证控制器、安装在终端上的认证客户端、网络接入模块和接入策略库模块,其中,所述接入认证控制器分别与所述终端和网络基础设施通信连接;
所述接入认证控制器包括:网桥模块、认证模块和接入控制模块,其中,
所述网桥模块用于在终端和网络基础设施之间进行数据转发,所述网桥模块配置的IP地址与所述终端位于同一网段;
所述认证模块在所述网桥模块的指定TCP端口上进行监听,提供认证服务;
所述接入控制模块用于对放行的协议报文进行控制;
所述接入策略库模块用于定义允许网络接入的合法规则;
所述网络接入模块用于在终端启动后,开始监听所述终端发送出的连接请求事件,对所述连接请求事件进行判断,如果符合所述接入策略库模块的合法规则,则向所述认证客户端通知该事件;
所述认证客户端用于在收到网络接入模块的通知后,启动接入认证流程,与所述认证模块进行认证协议的交互,
由接入认证控制器对终端进行认证,同时所述终端也对所述接入认证控制器进行认证,当上述两个认证同时通过后,由网络接入模块和所述接入控制模块分别建立相应的网络访问通道,允许所述终端通过该接入认证控制器接入网络。
2.如权利要求1所述的网络接入认证控制系统,其特征在于,所述网桥模块通过LAN网口与所述终端连接,通过WAN网口与所述网络基础设施连接。
3.如权利要求1所述的网络接入认证控制系统,其特征在于,所述网络接入模块还用于在发现存在已建立的网络访问通道在预设时间内没有报文通过时,则将该事件上报给所述认证客户端模块,所述网络接入模块响应所述认证客户端模块的指令,创建或关闭网络访问通道。
4.如权利要求1所述的网络接入认证控制系统,其特征在于,在所述终端启动后,通过DHCP协议获得IP地址、子网掩码和默认网关,由所述网络接入模块监听所述终端发送出的网络报文,并通过所述接入控制模块放行DHCP协议、ARP协议和认证协议报文,丢弃其他报文。
5.如权利要求1所述的网络接入认证控制系统,其特征在于,所述网络接入模块向所述认证客户端通知终端发送连接请求事件时,通知内容包括终端网口的mac地址、终端网口IP地址、目的IP地址、协议、源端口号、目的端口号。
6.如权利要求1所述的网络接入认证控制系统,其特征在于,所述认证客户端和认证模块之间交互认证协议,包括:
所述认证客户端向所述认证模块发送消息s1;
所述认证模块收到消息s1后,检查终端证书的有效性;如果有效,则生成随机数r1_acc并构造s2消息发送给所述认证客户端;
所述...
【专利技术属性】
技术研发人员:陈玉柱,邓宏亮,刘聪,
申请(专利权)人:阳光凯讯北京科技有限公司,奇趣互联北京科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。