本发明专利技术公开了一种认证方法和设备。该方法应用于二层接入设备,包括:从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述二层接入设备的端口是否为受限端口;所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求重定向到认证服务器;将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。通过使用本发明专利技术,在二层接入设备中实现了对请求访问内网或外网网络资源用户终端的快速简便认证。
【技术实现步骤摘要】
本专利技术涉及通讯领域,尤其涉及一种认证方法和设备。
技术介绍
在IEEE802 LAN (Local Area Network,局域网)所定义的局域网环境中, 未经授权的网络设备可以通过物理的连接口接入局域网,或者是未经授权的 用户可以通过已经连接到局域网的设备进入网络。例如 一个可以访问公共 网络的大厦的办公网,或者是某个组织机构与其他组织连接的网络。在这样 的网络环境中,往往不希望未经授权的设备或用户连接到网络,使用网络提 供的服务。随着局域网技术的广泛应用,特别是在运营网络中的应用,对接入网络 的设备的安全认证要求已经提到了议事日程上。如何既能够利用局域网技术 简单、廉价的组网特点,同时又能够对用户或设备访问网络的合法性提供认 证,是目前业界讨论的焦点。对此,现有技术中提出了基于802.1x的认证方式和给予Portal的认证方 式,以下分别进行介绍。802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策 略。端口可以是一个物理端口 ,也可以是一个逻辑端口如VLAN( Virtual Local Area Network,虚拟局域网)端口。对于无线局域网来说, 一个端口就是一个 通道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口, 如果认证成功那么就打开这个端口,允许所有的报文通过;如果认证不 成功就使这个端口保持关闭,只允许802.1x的认证协议报文通过。现有 技术中基于802.1x的认证方式的组网结构示意图如图1所示。802.1x的体系结构如图2所示。它的体系结构中包括三个部分,即客户 端、设备端和认证服务器。对于客户端,通常是支持802.1x认证的用户终端设备,用户通过启动客 户端软件发起802.1x认证。对于设备端,通常为支持802.1x协议的网络设备,它为客户端提供服务 端口 ,该端口可以是物理端口也可以是逻辑端口 , 一般在用户接入设备如LAN Switch和AP上实现802.1x认证。对于认证服务器,是为认证系统提供认证服务的实体, 一般使用RADIUS 服务器来实现认证服务器的认证和授权功能。Protocol over LAN,基于LAN的扩展鉴权协议)协议。当设备端工作于中继 方式时,设备端与认证服务器之间也运行EAP协议,EAP帧中封装认证数据, 将该协议承载在其它高层次协议中(如RADIUS协议),以便穿越复杂的网 络到达认证服务器;当设备端工作于终结方式时,设备端终结EAPoL消息, 将其转换为其它认证协议(如RADIUS)后传递用户认证信息给认证服务器 系统。对于Portal认证,其应用的一个具体组网方案实例如图3所示。图3中左 下角只表示了 一个交换机和一个BAS设备(Broadband Access Server,宽带接 入服务器)。而在实际组网过程中,如果用户数较多,用户可以挂接在多个 交换机下,多个交换机再接入到多个BAS上。所有的BAS通过一个核心路由 器(也可以是高端交换机)连接到互联网上,服务器(CAMS服务器,Portal 服务器等)放在机房中,通过一台交换机连到核心路由器上。对于一个未认证用户,如果在IE地址栏中输入了一个互联网的地址,那 么此HTTP请求在经过BAS设备时会被BAS设备重定向到Portal的认证主页 上,用户在认证主页中输入认证信息后提交,Portal服务器会将用户的认证信 息传递给BAS设备,然后BAS再与CAMS服务器通信进行认证和计费,如 果认证通过,BAS会根据用户的IP设置用户访问互联网的权限,用户可以访 问外部的互联网。现有技术中存在的题在于使用802.1X认证的用户终端系统通常要安装一个客户端软件,用户终端通过启动这个客户端软件发起802.1x协议的认i正过程。而且802.1x认证是由 EAPoL协议来传递交互信息的,为支持基于端口的接入控制,客户端系统需 支持EAPOL协议,而且网络侧的设备端也要支持802.1x协议,因此使用条 件较复杂,同时该认证方式配置较复杂,使用不够方便。而Portal认证是基于三层的接入控制,它能控制用户访问路由器所连接的 外网资源,虽然不需要在客户端安装客户端软件,但只能控制三层接入,对 于二层网络不能进4亍控制。如图3所示,在i/^正没有通过的时候,用户虽然 不能访问Internet的网络资源,但却可以任意访问Router的内部网络资源,不 能实现最大限度的控制。
技术实现思路
本专利技术提供一种认证方法和设备,用于在二层接入设备中实现对请求访 问网络资源用户终端的快速简便认证。本专利技术提供了一种认证方法,应用于二层接入设备,包括从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的 HTTP请求时,判断所述二层接入设备的端口是否为受限端口 ;所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求 重定向到认证服务器;将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户 终端返回的内容发送到所述认证服务器;接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的 端口设置为非受限端口 ,允许所述二层接入设备的端口下连接的用户终端访 问外网和/或内网地址。其中,所述将所述用户终端的HTTP请求重定向到认证服务器包括预先为二层接入设备的端口下的每一 VLAN配置相应的认证服务器;获取所述用户终端所属的VLAN,将所述用户终端的HTTP请求重定向 到与所述VLAN对应的认证服务器。其中,还包括所述用户终端返回的内容连续多次未通过所述认证服务器的认证时,将所述二层接入设备的端口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口处于《木眠状态的时间到达预设的时间时,将所述二层接入设备的端口设置为受限状态。其中,还包括对于认证通过的所述用户终端,定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址,当不存在时,则将所述二层接入设备的端口设置为受限状态。本专利技术还提供一种认证方法,应用于二层接入设备,包括 用户终端通过浏览器发送访问内网或者外网地址的HTTP请求; 二层接入设备通过与所述用户终端连接的处于受限状态的端口接收所述HTTP请求,当HTTP请求中携带的目标地址为域名,则通过域名系统DNS解析获取所述域名对应的IP地址并继续下一步骤;如果目标地址为IP地址,则直接进行下一步骤;所述二层接入设备通过传输控制协议TCP仿冒与所述用户终端建立虚假链接,记录所述用户终端的IP、 MAC、 VLAN、端口、访问地址信息中的一种或多种;所述二层接入设备将所述用户终端发送的HTTP请求重定向到认证服务 功能;所述认证服务功能向所述二层接入设备返回认i正页面,所述二层接入设 备将所述认证页面发送给所述用户终端,要求所述用户终端提供合法的身份 标识如用户名和密^5马;所述用户终端输入用户名和密码,并提交给所述二层接入设备,所述二 层接入设备将所述用户终端发送的内容发送给所述认证服务功能;所述认证服务功能对所述用户终端的认证通过后通知所述二层接入设 备,所述二层接入设备将所述用户终端的所连接的端口设置为非受限状态, 正常转发所有t艮文。本专利技术还提供一种二层接入设备,包括消息交互单元,用于与用户终端和认证服务器交互消息;具体的本文档来自技高网...
【技术保护点】
一种认证方法,其特征在于,应用于二层接入设备,包括: 从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述二层接入设备的端口是否为受限端口; 所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求重定向到认证服务器; 将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器; 接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。
【技术特征摘要】
1、一种认证方法,其特征在于,应用于二层接入设备,包括从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时,判断所述二层接入设备的端口是否为受限端口;所述二层接入设备的端口为受限端口时,将所述用户终端的HTTP请求重定向到认证服务器;将所述认证服务器发送的认证页面发送给所述用户终端,并将所述用户终端返回的内容发送到所述认证服务器;接收到所述认证服务器发送的认证通过消息时,将所述二层接入设备的端口设置为非受限端口,允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。2、 如权利要求1所述的方法,其特征在于,所述将所述用户终端的HTTP 请求重定向到认证服务器包括预先为二层接入设备的端口下的每一 VLAN配置相应的认证服务器; 获取所述用户终端所属的VLAN,将所述用户终端的HTTP请求重定向 到与所述VLAN对应的认证服务器。3、 如权利要求l所述的方法,其特征在于,还包括所述用户终端返回 的内容连续多次未通过所述认证服务器的认证时,将所述二层接入设备的端 口设置为休眠状态,拒绝接收到的任何HTTP请求;在二层接入设备的端口 处于休眠状态的时间到达预设的时间时,将所述二层接入设备的端口设置为 受限状态。4、 如权利要求1所述的方法,其特征在于,还包括 对于认证通过的所述用户终端,定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址,当不存在时,则将所述二层接入设备的端口设置 为受限状态。5、 一种认证方法,其特征在于,应用于二层接入设备,包括 用户终端通过浏览器发送访问内网或者外网地址的HTTP请求; 二层接入设备通过与所述用户 终端连接的处于受限状态的端口接收所述HTTP请求,当HTTP请求中携带的目标地址为域名,则通过域名系统DNS解析获取所述域名对应的IP地址并继续下一步骤;如果目标地址为IP地址, 则直接进行下一步骤;所述二层接入设备通过传输控制协议TCP仿冒与所述用户终端建立虚4艮 链接,记录所述用户终端的IP、 MAC、 VLAN、端口、访问地址信息中的一 种或多种;所述二层接入设备将所述用户终端发送的HTTP请求重定向到认证服务 功能;所述认证服务功能向所述二层接入设备返回认证页面,所述二层接入设 备将所述认证页面发送给所述用户终端,要求所述用户终端提供合法的身份 标识如用户名和密码;所述用户终端输入用户名和密码,并提交给所述二层接入设备,所述...
【专利技术属性】
技术研发人员:鲍利江,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。