一种网络的认证和计费的系统及方法技术方案

一种网络的认证和计费的系统及方法。该系统包括安全接入管理器（ＤＣＢＡ－３０００Ｗ）、用户安全接入综合管理系统（ＤＣＢＩ－３０００）、园区网络、８０２．１ｘ交换机和二次转一次认证客户端（ＤＣＮ－ＵｎｉＣｌｉｅｎｔ）；它可实现内网采用８０２．１ｘ安全控制，外网采用ｗｅｂ网关认证进行计费，实现二次认证转一次的功能。该方法包括：１．首先由用户发起，使用二次转一次认证客户端（ＤＣＮ－ＵｎｉＣｌｉｅｎｔ）做８０２．１ｘ的认证；２．如果８０２．１ｘ认证返回的结果是认证成功，则要在认证成功报文中提取相应数据；是否要求二次转一次认证客户端（ＤＣＮ－ＵｎｉＣｌｉｅｎｔ）自动发起第二次针对千兆安全接入管理器（ＤＣＢＡ－３０００Ｗ）的认证；如果包含在８０２．１ｘ认证成功报文中的相应数据指示该用户需要发起第二次认证，则执行下面的步骤；３．针对千兆安全接入管理器（ＤＣＢＡ－３０００Ｗ）发起认证，完成第二次认证的过程。

【技术实现步骤摘要】
一种网络的认证和计费的系统及方法
本专利技术属于网络通讯领域，特别是指一种网络的认证和计费的系统及方法。
技术介绍
在企业网或园区网的网络建设时，在内网接入层安全控制上，一般要在网络接入层使用802.1x交换机，采用802.1x认证技术进行网络接入层的控制。如果要进行用户上网计费，特别是内外网访问区分计费，或者内网访问不计费、外网访问计费这种方式，一般要在网络的出口处使用计费网关设备，采用web认证技术进行外网访问的计费与控制。传统方式上，如果需要同时实现内网802.1x控制、外网计费网关控制的方式，则可同时在内网采用802.1x认证技术，在外网采用web认证技术。这种网络方式如图1所示：内外网区分控制、区分计费的组网方式。但目前，这种方式在具体的核心产品认证计费系统Radius Server和认证客户端上至少具有下列特征之一：-->1、在上网客户机的认证操作上，只能把802.1x认证和web认证做为完全独立的二次认证来操作，即：首先上网用户要进行内网802.1x的认证，然后，上网用户还要手动进行外网访问的web认证。上网用户要独立地进行两次基本上不相干的认证操作，非常麻烦；2、传统的认证计费服务器(Radius Server)：为了使计费不产生混乱，一般都采用认证帐号的唯一性认证，即：某一帐号如果已经认证通过处于在线状态，其他人就不再用这个帐号进行上网认证。所以，传统方式上解决内网802.1x及外网web认证时，同一上网者在第一次的802.1x认证和第二次的web认证时，还不能采用同一个帐号进行认证。因此，对一个用户而言，就需要在radius server认证服务器上开两套用户名/密码，这样上网用户不得不记住两套用户/密码，以分别进行内网的802.1x认证和外网的web认证。这样，就给用户带来很大的麻烦。
技术实现思路
本专利技术的目的在于克服
技术介绍
中的而提供一种网络的认证和计费的系统及方法。它是一种二次认证转一次认证(DCN-UniAuthentication)技术。并通过具体产品″DCBI-3000安全接入控制和认证计费系统DCBI-3000″和″DCN-UniClient统一认证客户端DCN-UniClient″来得到实现。本专利技术是在校园网、大中型企事业单位网络中，内网采用802.1x进行接入控制，同时对上外网的访问也要进行认证计费的应用。它是由用户需-->要手动操作的内网访问认证、外网访问认证的二次认证，根据用户是否欠费、是否有权限访问外网等条件，自动实现内网802.1x认证和外网的计费网关的web认证的二次认证转为一次认证操作的技术。本专利技术可根据内外网的访问区分计费。并可解决在内外网认证计费区分控制时，用户需要进行二次拔号认证；以及在内外网认证计费区分控制时，内网用户名/密码和外网认证的用户名/密码要分别设置的问题。本专利技术的技术方案是：一种网络的认证和计费的系统，其特征在于：它包括：安全接入管理器(DCBA-3000W)、用户安全接入综合管理系统(DCBI-3000)、园区网络、802.1x交换机和二次转一次认证客户端(DCN-UniClient)；它可实现内网采用802.1x安全控制，外网采用web网关认证进行计费，实现二次认证转一次的功能。其中：所述的用户安全接入综合管理系统(DCBI-3000)，它是(神州数码)的认证计费AAA(认证、计费、授权)服务器，在支持标准的802.1x认证、PAP认证的基础上，增加了对用户的MAC地址、IP地址的信息收集功能，同时增加了用户在802.1x认证通过之后，根据是否欠费、是否有权限访问外网等信息，来确定该用户是否要发起针对外网网关DCBA-3000W的认证，如果需要外网认证，则这个信息通过802.1x交换机传递给二次转一次认证客户端(DCN-UniClient)。所述的安全接入管理器(DCBA-3000W)，是外网访问认证计费系统，是标准的基于PAP认证的网关。所述的二次转一次认证客户端(DCN-UniClient)，它包括：增强802.1x-->的认证协议栈、Web认证协议栈两种协议栈的整合。对于增强的802.1x认证协议栈是在国际标准的802.1x协议栈基础上加了数据项的扩展，这些扩展项包括：用户的IP地址、MAC地址信息；并在802.1x认证通过后，根据用户安全接入综合管理系统(DCBI-3000)下发是否有权限进行外网认证的信息自动发起针对外网网关安全接入管理器(DCBA-3000W)的认证。而web的认证方式则是采用标准的PAP协议。所述的802.1x交换机，主要是(神州数码)增强的802.1x协议栈，交换机中的802.1x协议是在国际标准的802.1x协议的基础上增加了对认证用户的IP地址、MAC地址的识别判断，并将这些信息上传给用户安全接入综合管理系统(DCBI-3000)。一种网络的认证和计费的方法，其特征在于：它包括：步骤1：首先由用户发起，使用二次转一次认证客户端(DCN-UniClient)做802.1x的认证；步骤2：如果802.1x认证返回的结果是认证成功，则要在认证成功报文中提取相应数据；是否要求二次转一次认证客户端(DCN-UniClient)自动发起第二次针对安全接入管理器(DCBA-3000W)的认证；如果包含在802.1x认证成功报文中的相应数据指示该用户需要发起第二次认证，则执行下面的步骤3；步骤3：针对安全接入管理器(DCBA-3000W)发起认证，完成第二次认证的过程。本专利技术的优点在于：1、由于内网采用802.1x增强型认证技术(在DCBI-3000上采用的是-->EAPoR或CHAP扩展认证)进行接入层控制，在网络出口处采用接入管理器的web增强认证技术(在DCBI-3000上采用的是PAP或CHAP扩展认证)进行控制，对于DCBI-3000系统来讲，可采用同一套用户/密码进行认证，并且DCBI-3000能自动区分是内网认证还是外网认证。2、802.1x增强认证和web增强认证，可根据上网用户上内网、还是内外网同时上的不同需求进行选择进行认证，并且二种认证方式在用户操作上只需要进行一次认证拨号操作即可。3、可记录用户上内网、外网的不同的流量和时长，实现内、外网区分计费。也可实现内网只认证不计费，只在外网计费。附图说明图1：现有技术中的内外网区分控制、区分计费的组网方式。图2：本专利技术的方框图。图3：本专利技术二次认证转一次认证的原理图。图4：本专利技术802.1x认证过程交互图。图5：本专利技术发起第二次认证的逻辑判断原理图。图6：本专利技术第二次认证的PAP认证的交互图。图7-1：本专利技术二次转一次认证客户端(DCN-UniClient)的第一部分原理图。图7-2：本专利技术二次转一次认证客户端(DCN-UniClient)的第二部分原理图。-->具体实施方式下面结合说明书附图及实施例，对本专利技术作进一步的说明。如图2所示，本专利技术网络的认证和计费的系统，它包括：互联网通过路由器2与安全接入管理器3(DCBA-3000W)相连接；用户安全接入综合管理系统4(DCBI-3000)分别与安全接入管理器3(DCBA-3000W)及园区网络5相连接；园区网络5分别与802.1x交换机6和二次转一次认证客户端7(DCN-U本文档来自技高网...

【技术保护点】
一种网络的认证和计费的系统，其特征在于：它包括：安全接入管理器（ＤＣＢＡ－３０００Ｗ）、用户安全接入综合管理系统（ＤＣＢＩ－３０００）、园区网络、８０２．１ｘ交换机和二次转一次认证客户端（ＤＣＮ－ＵｎｉＣｌｉｅｎｔ）；它可实现内网采用８０２．１ｘ安全控制，外网采用ｗｅｂ网关认证进行计费，实现二次认证转一次的功能。

【技术特征摘要】
CN 2005-4-6 200510063067.01、一种网络的认证和计费的系统，其特征在于：它包括：安全接入管理器(DCBA-3000W)、用户安全接入综合管理系统(DCBI-3000)、园区网络、802.1x交换机和二次转一次认证客户端(DCN-UniClient)；它可实现内网采用802.1x安全控制，外网采用web网关认证进行计费，实现二次认证转一次的功能。2、根据权利要求1所述的网络的认证和计费的系统，其特征在于：所述的用户安全接入综合管理系统(DCBI-3000)，它是增强型的认证计费AAA服务器，在支持标准的802.1x认证、PAP认证的基础上，增加了对用户的MAC地址、IP地址的信息收集功能，同时增加了用户在802.1x认证通过之后，根据是否欠费、是否有权限访问外网等信息，来确定该用户是否要发起针对外网网关DCBA-3000W的认证，如果需要外网认证，则这个信息通过802.1x交换机传递给二次转一次认证客户端(DCN-UniClient)二次转一次认证客户端。3、根据权利要求1所述的网络的认证和计费的系统，其特征在于：所述的安全接入管理器(DCBA-3000W)，是外网访问认证计费系统，是标准的基于PAP认证的网关。4、根据权利要求1所述的网络的认证和计费的系统，其特征在于：所述的二次转一次认证客户端(DCN-UniClient)，它包括：增强802.1x的认证协议栈、Web认证协议栈两种协议栈的整合。5、根据权利要求1或4所述的网络的认证和计费的系统，其特征在于：所述的二次转一次认证客户端(DCN-UniClient)，对于增强的802.1x认证协议栈是在国际标准的802.1x协议栈基础上加了数据项的扩展，这些扩展项包括：用户的IP地址、MAC地址信息：并在802.1x认证通过后，根据用户安全接入综合管理系统(DCBI-3000)下发是否有权限进行外网认证的信息自动发起针对外网网关安全接入管理器(DCBA-3000W)的认证；而web的认证方式则是采用标准的PAP协议。6、根据权利要求1所述的网络的认证和计费的系统，其特征在于：所述的802.1x交换机，主要是增强的802.1x协议栈，交换机中的802.1x协议是在国际标准的802.1x协议的基础上增加了对认证用户的IP地址、MAC地址的识别判断，并将这些信息上传给用户安全接入综合管理系统(DCBI-3000)。7、一种网络的认证和计费的方法，其特征在于：它包括：步骤1：首先由用户发起，使用二次转一次认证客户端(DCN-UniClient)做802.1x的认证；步骤2：如果802.1x认证返回的结果是认证成功，则要在认证成功报文中提取相应数据；是否要求二次转一次认证客户端(DCN-UniClient)自动发起第二次针对安全接入管理器(DCBA-3000W)的认证；如果包含在802.1x认证成功报文中的相应数据指示该用户需要发起第二次认证，则执行下面的步骤3；步骤3：针对安全接入管理器(DCBA-3000W)发起认证，完成第二次认证的过程。8、根据权利要求7所述的网络的认证和计费的方法，其特征在于：内网采用802.1x认证，它包括：在DCBI-3000上采用的是EAPoR或CHAP扩展认证进行接入层控制；在网络出口处采用接入管理器的web认证，它包括：在DCBI-3000上采用的是PAP或CHAP扩展认证进行控制；对于DCBI-3000系统来讲，可采用同一套用户/密码进行认证，并且DCBI-3000能自动区分是内网认证还是外网认证。9、...

【专利技术属性】
技术研发人员：颜世峰，
申请(专利权)人：神州数码网络北京有限公司，
类型：发明
国别省市：11[中国|北京]