专利名称:网络接入控制方法及系统的制作方法
技术领域:
本发明涉及网络通信技术,特别涉及网络终端设备接入控制方法及系统。
背景技术:
传统的网络接入控制方法一般有两种,一种是根据802. IX协议(基于客户端/服务器的访问控制和认证协议)的控制方法,一种是MAC (媒体访问控制协议)地址绑定控制方法。802. IX技术网络终端设备需要安装802. IX客户端程序,管理和维护工作量很大,而且很多终端设备不支持安装802. IX,因此有很多终端设备需要依靠MAC地址绑定方法辅助,而MAC地址绑定方法需要收集大量的MAC地址,并手工在接入设备上完成绑定工作。 为了解决这类问题,有人提出了 Portal+MAC地址绑定方案,即利用Portal服务器接入未认证的终端设备,当终端设备用户输入用户名(账户)和密码后,向接入设备发起Portal认证过程,接入设备将Portal服务器传回的用户名和密码发到认证服务器如AAA服务器(验证、授权和记账服务器)进行认证,认证成功后允许终端设备接入的同时,Portal服务器将该用户名、密码与终端MAC地址存储下来。当下次该MAC地址所在的终端设备访问系统时,Portal服务器查询之前保存的MAC地址对应的用户名和密码,并利用保存的用户名和密码自动发起Portal认证过程,这样用户无需再次输入自己的用户名和密码,而直接访问网络。但是这种方法存在用户第二次访问网络时,需要查询Portal服务器,并重新发起Portal认证过程,导致用户接入速度比较慢,且要求Portal服务器具有比较高的处理性能,限制了终端设备接入数量。
发明内容
本发明所要解决的技术问题,就是提供一种网络接入控制方法及系统,提高终端设备接入速度和数量。本发明解决所述技术问题,采用的技术方案是,网络接入控制方法,包括步骤A、终端设备初次接入时,通过网络服务器向认证服务器发起初次认证请求;B、初次认证通过后,认证服务器存储终端设备的身份信息并与用户信息绑定;C、终端设备再次接入时,直接向认证服务器发起认证请求;D、认证服务器核对终端设备的身份信息,该身份信息与认证服务器存储的信息匹配则认证通过,允许终端设备接入网络进行访问。具体的,所述身份信息包括终端设备的MAC地址。进一步的,步骤A中,所述初次认证包括步骤Al、终端设备发起HTTP访问请求;A2、接入设备拦截终端设备的HTTP报文,获得终端设备的MAC地址,检查该MAC地址对应的终端设备是否已经认证通过,如是,则允许该MAC地址对应的终端设备访问网络,否则使用该MAC地址作为用户名向认证服务器发起认证请求;
A3、认证服务器返回认证不通过响应给所述接入设备;A4、接入设备接收到认证不通过的响应后,将终端设备的HTTP请求重定向到网络服务器,并携带终端设备的MAC地址、步骤Al中要访问的网页地址;A5、网络服务器向终端设备返回认证网页;A6、用户在所述认证网页中输入账号、密码,并提交该认证网页;A7、网络服务器校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的MAC地址保存到认证服务器中,并将网页重定向到步骤Al中用户访问的网页地址;A8、终端设备重新访问原来的网页; A9、接入设备拦截终端设备的HTTP报文,获得终端设备的MAC地址,接入设备使用该MAC地址作为用户名直接向认证服务器发起认证请求;A10、认证服务器返回认证通过响应给接入设备;All、接入设备接收到认证通过的响应后,允许该MAC地址对应的终端设备访问网络,并在本地保存该MAC地址。进一步的,步骤C中,所述再次接入包括步骤Cl、终端设备发起HTTP访问请求;C2、接入设备拦截终端设备的HTTP报文,获得终端设备的MAC地址,如果接入设备中存在该终端设备的MAC地址,接入设备允许该MAC地址访问网络;如果接入设备中不存在终端设备的MAC地址,接入设备重新向认证服务器发送认证请求报文;C3、认证服务器直接返回认证通过响应给接入设备;C4、接入设备接收到认证通过响应后,允许该MAC地址对应的终端设备访问网络,并在本地保存该MAC地址。具体的,所述认证服务器为AAA服务器、所述网络服务器为WEB服务器。网络接入控制系统,包括终端设备、接入设备、网络服务器、认证服务所述终端设备,用于访问网络,发起认证请求;在初次接入时,通过网络服务器向认证服务器发起初次认证请求;所述终端设备再次接入时,直接向认证服务器发起认证请求;所述接入设备,用于连接终端设备、网络服务器和认证服务器;所述接入设备接收到认证通过响应后,允许终端设备访问网络,并在本地临时保存该终端设备的MAC地址信
肩、O所述网络服务器,用于终端设备的首次认证,校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的身份信息保存到认证服务器中;所述认证服务器,用于响应认证请求并保存通过认证的终端设备身份信息。所述身份信息包括终端设备的MAC地址。进一步的,所述接入设备,还用于在终端设备首次发起访问网络的HTTP请求时,拦截终端设备的HTTP报文,获得终端设备的MAC地址,检查该MAC地址是否已经认证通过,如果已经认证过则允许该MAC地址对应的终端设备访问网络,如果没有则使用该MAC地址作为用户名向认证服务器发起认证请求;并在接收到认证服务器返回的认证不通过响应后,将终端设备的HTTP请求重定向到网络服务器,并携带终端设备的MAC地址以及首次发起访问网络的网页地址;
所述认证服务器,还用于在终端设备首次发起访问网络的HTTP请求时,接收接入设备发起的认证请求,返回认证不通过响应给所述接入设备;所述网络服务器,还用于接收到接入设备的重定向请求后,向终端设备返回认证网页;接收到终端设备的用户在所述认证网页中输入的账号、密码后,校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的MAC地址保存到认证服务器中,并将网页重定向到终端设备的用户首次发起访问网络的网页地址。进一步的,所述接入设备,还用于在终端设备再次发起访问网络的HTTP请求时,拦截终端设备的HTTP报文,获得终端设备的MAC地址,如果本地存在该终端设备的MAC地址,允许该MAC地址对应的终端设备访问网络;如果不存在终端设备的MAC地址,接入设备重新向认证服务器发送认证请求报文;在接收到认证服务器返回认证通过响应后,允许该MAC地址对应的终端设备访问网络,并保存该MAC地址到本地。
所述认证服务器为AAA服务器、所述网络服务器为WEB服务器。本发明的有益效果是,由于先向认证服务器发起认证过程,因此只有当终端设备第一次访问网络时需要重定向到网络服务器进行认证,后续将不需要访问网络服务器,简化了接入控制过程,加快了用户接入网络的速度,并降低了网络服务器的性能要求,能够满足更大的终端设备接入量。
图I是本发明系统结构示意图。图2是本发明网络接入控制方法的流程图。
具体实施例方式下面结合附图,详细描述本发明的技术方案。如图I所示,本发明实施例的网络接入控制系统包括终端设备、接入设备、网络服务器、认证服务器。本发明的终端设备,可以是智能手机、平板电脑、个人计算机、网络电视终端等。本发明的终端设备用于访问网络,发起认证请求。终端设备初次接入时,通过接入设备发起初次认证请求;再次接入时,由接入设备直接向认证服务器发起认证请求。本发明的接入设备,可以是以太网交换机、无线接入点等。接入设备用于连接终端设备、网络服务器和认证服务器,将终端设备接入网络。接入设备接收到认证通过响应后,允许终端设备访问网络,并在本地临时保存该终端设备的MAC地址。本发明的网络服务器为支持通过网页认证用户的WEB服务器,用于终端设备的首次认证,校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的身份信息保存到认证服务器中。本发明的认证服务器为支持认证授权的服务器,例如AAA认证服务器;用于响应认证请求,并保存通过认证的终端设备身份信息,如MAC地址等。参见图2,本发明的网络接入控制方法,包括步骤步骤201,终端设备初次接入时,通过网络服务器向认证服务器发起初次认证请求;
步骤202,初次认证通过后,认证服务器存储终端设备的身份信息并与用户信息绑定;步骤203,终端设备再次接入时,直接向认证服务器发起认证请求;步骤204,认证服务器核对终端设备的身份信息,该身份信息与认证服务器存储的信息匹配则认证通过,允许终端设备接入网络进行访问。下面的描述中除非另有说明,认证服务器为AAA认证服务器,网络服务器为WEB服务器。本发明实施例的网络接入控制方法具体步骤如下I、用户在终端设备上打开WEB浏览器,通过WEB浏览器访问任意网页;2、接入设备拦截终端设备访问WEB服务器的HTTP (超文本传输协议)报文,获得终端设备的MAC地址,接入设备检查该MAC是否已经认证通过,如果已经认证过则不处理,如果没有则使用该MAC地址作为用户名向AAA服务器发起认证请求; 3、如果终端设备是首次接入网络,则由于AAA服务器中没有保存该终端的MAC地址,因此AAA服务器返回认证不通过响应给接入设备;4、接入设备接收到认证不通过响应后,将用户的HTTP请求重定向到WEB服务器,并携带终端设备的MAC地址、步骤I中用户要访问的网页;5、接入设备向终端设备推送WEB服务器的认证网页;6、用户在认证网页中输入自己的账号、密码,并提交该网页;7、WEB服务器校验用户提交的账号、密码是否正确,如果正确则将该终端的MAC地址保存到AAA服务器中,并将网页重定向到步骤I中用户访问的网页地址;8、终端设备重新访问原来的网页;9、接入设备再次拦截终端设备访问WEB服务器的HTTP报文,获得终端设备的MAC地址,由于这时该终端设备在接入设备上依然没有认证通过,接入设备使用该MAC地址作为用户名向AAA服务器发起认证请求;10、由于AAA服务器中已经保存了该终端的MAC地址,因此AAA服务器返回认证通过响应给接入设备;11、接入设备接收到认证通过的响应后,允许该MAC地址对应的终端设备访问网络,并保存该终端设备的MAC地址到本地;12、终端设备首次接入认证过程完成,可以任意访问网络中的资源。由于过长时间没有访问网络或者其他原因,接入设备会将终端设备MAC地址删除以节约网络资源。13、当终端设备再次接入网络时,重新发起HTTP访问请求;14、接入设备拦截终端设备访问WEB服务器的HTTP报文,获得终端设备的MAC地址,此时接入设备已经删除了终端设备的MAC地址,接入设备会重新向AAA服务器发送认证请求报文;15、由于AAA服务器中已经保存了该终端的MAC地址,因此AAA服务器直接返回认证通过响应给接入设备;16、接入设备接收到认证通过响应后,允许该MAC对应地址的终端设备访问网络,并保存该MAC地址到本地;17、终端设备再次接入认证成功,并可以任意访问网络中的资源。
实施例下面是终端设备通过认证接入网络过程I、用户在终端设备上打开WEB浏览器,通过WEB浏览器访问任意网页,例如访问“http://www. maipu. com”;2、接入设备拦截终端设备访问WEB服务器的HTTP报文,获得终端设备的MAC地址,接入设备检查该MAC是否已经认证通过,如果已经认证过则不处理,如果没有则使用该MAC地址作为用户名,向AAA服务器发送RADIUS Access-Request (认证请求)报文;3、如果终端设备是首次接入网络,则由于AAA服务器中没有保存该终端设备的MAC地址,因此AAA服务器返回Access-Reject (认证拒绝)响应给接入设备;
·
4、接入设备接收到Access-Reject响应后,将用户的HTTP请求重定向到WEB服务器,并携带终端设备的MAC地址、用户要访问的网页,例如“http://auth. maipu. com/login. jsp mac=00-50-56-C0-00-01&url=http://www. maipu. com,,;5、终端设备接收WEB服务器返回的认证页面“http://auth. maipu. com/login,jsp”,打开认证网页,该网页中包含接受用户输入账号、密码的输入框及提交按钮;6、用户在认证网页中输入自己的账号、密码,并提交该网页;7、WEB服务器通过自身的用户数据库校验用户提交的帐号、密码是否正确,也可以通过外部认证源校验,例如=ActiveDirectory服务器(活动目录服务器),如果正确则访问AAA服务器提供的API (应用程序接口)例如SOAP接口(简单对象访问协议接口),将该终端的MAC地址保存到AAA服务器中,并将网页重定向到“http://www. maipu. com” ;8、终端设备重新访问 “http://www. maipu. com” ;9、接入设备再次拦截终端设备访问WEB服务器的HTTP报文,获得终端设备的MAC地址,由于这时该终端设备在接入设备上依然没有认证通过,接入设备使用该MAC地址作为用户名向AAA服务器发送RADIUS Access-Request请求报文;10、由于AAA服务器中已经保存了该终端设备的MAC地址,因此AAA服务器返回Access-Accept (认证通过)响应给接入设备;11、接入设备接收到AccessAccept响应后,允许该MAC地址访问网络,并保存该MAC地址到本地。此时终端设备首次认证过程完成,终端设备上成功打开“http://www. maipu.com”,并可以任意访问网络中其他网站。由于过长时间没有访问网络或者其他原因,终端设备会将接入设备MAC地址删除以节约网络资源。12、当终端设备想再次接入网络时,例如访问“http://www. maipu. com” ;13、接入设备拦截终端设备访问WEB服务器的HTTP报文,获得终端设备的MAC地址,此时接入设备已经删除了终端设备的MAC地址,接入设备会重新向AAA服务器发送RADIUSAccess-Request 请求报文;14、由于AAA服务器中已经保存了该终端的MAC地址,因此AAA服务器返回Access-Accept响应给接入设备;15、接入设备接收到Access-Acc^pt响应后,允许该MAC地址对应的终端设备访问网络,并保存该MAC地址到本地;
16、终端设备上成功打开“http://www. maipu. com”,并可以任意访问网络中其他网站,再次接入成功。
·
权利要求
1.网络接入控制方法,包括步骤 A、终端设备初次接入时,通过网络服务器向认证服务器发起初次认证请求; B、初次认证通过后,认证服务器存储终端设备的身份信息并与用户信息绑定; C、终端设备再次接入时,直接向认证服务器发起认证请求; D、认证服务器核对终端设备的身份信息,该身份信息与认证服务器存储的信息匹配则认证通过,允许终端设备接入网络进行访问。
2.根据权利要求I所述的网络接入控制方法,其特征在于,所述身份信息包括终端设备的MAC地址。
3.根据权利要求I所述的网络接入控制方法,其特征在于,步骤A中,所述初次认证包括步骤 Al、终端设备发起HTTP访问请求; A2、接入设备拦截终端设备的HTTP报文,获得终端设备的MAC地址,检查该MAC地址对应的终端设备是否已经认证通过,如是,则允许该MAC地址对应的终端设备访问网络,否则使用该MAC地址作为用户名向认证服务器发起认证请求; A3、认证服务器返回认证不通过响应给所述接入设备; A4、接入设备接收到认证不通过的响应后,将终端设备的HTTP请求重定向到网络服务器,并携带终端设备的MAC地址、步骤Al中要访问的网页地址; A5、网络服务器向终端设备返回认证网页; A6、用户在所述认证网页中输入账号、密码,并提交该认证网页; A7、网络服务器校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的MAC地址保存到认证服务器中,并将网页重定向到步骤Al中用户访问的网页地址; AS、终端设备重新访问原来的网页; A9、接入设备拦截终端设备的HTTP报文,获得终端设备的MAC地址,接入设备使用该MAC地址作为用户名直接向认证服务器发起认证请求; A10、认证服务器返回认证通过响应给接入设备; All、接入设备接收到认证通过的响应后,允许该MAC地址对应的终端设备访问网络,并在本地保存该MAC地址。
4.根据权利要求I所述的网络接入控制方法,其特征在于,步骤C中,所述再次接入包括步骤 Cl、终端设备发起HTTP访问请求; C2、接入设备拦截终端设备的HTTP报文,获得终端设备的MAC地址,如果接入设备中存在该终端设备的MAC地址,接入设备允许该MAC地址对应的终端设备访问网络;如果接入设备中不存在终端设备的MAC地址,接入设备重新向认证服务器发送认证请求报文; C3、认证服务器直接返回认证通过响应给接入设备; C4、接入设备接收到认证通过响应后,允许该MAC地址对应的终端设备访问网络,并在本地保存该MAC地址。
5.根据权利要求I所述的网络接入控制方法,其特征在于,所述认证服务器为AAA服务器,所述网络服务器为WEB服务器。
6.网络接入控制系统,包括终端设备、接入设备、网络服务器、认证服务器,其特征在于: 所述终端设备,用于访问网络,发起认证请求;在初次接入时,通过网络服务器向认证服务器发起初次认证请求;所述终端设备再次接入时,直接向认证服务器发起认证请求; 所述接入设备,用于连接终端设备、网络服务器和认证服务器;所述接入设备接收到认证通过响应后,允许终端设备访问网络,并在本地临时保存该终端设备的MAC地址信息。
所述网络服务器,用于终端设备的首次认证,校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的身份信息保存到认证服务器中; 所述认证服务器,用于响应认证请求并保存通过认证的终端设备身份信息。
7.根据权利要求6所述的网络接入控制系统,其特征在于,所述身份信息包括终端设备的MAC地址。
8.根据权利要求6所述的网络接入控制系统,其特征在于,所述接入设备,还用于在终端设备首次发起访问网络的HTTP请求时,拦截终端设备的HTTP报文,获得终端设备的MAC地址,检查该MAC地址是否已经认证通过,如果已经认证过则允许该MAC地址对应的终端设备访问网络,如果没有则使用该MAC地址作为用户名向认证服务器发起认证请求;并在接收到认证服务器返回的认证不通过响应后,将终端设备的HTTP请求重定向到网络服务器,并携带终端设备的MAC地址以及首次发起访问网络的网页地址; 所述认证服务器,还用于在终端设备首次发起访问网络的HTTP请求时,接收接入设备发起的认证请求,返回认证不通过响应给所述接入设备; 所述网络服务器,还用于接收到接入设备的重定向请求后,向终端设备返回认证网页;接收到终端设备的用户在所述认证网页中输入的账号、密码后,校验终端设备提交的账号、密码是否正确,如果正确则将该终端设备的MAC地址保存到认证服务器中,并将网页重定向到终端设备的用户首次发起访问网络的网页地址。
9.根据权利要求6所述的网络接入控制系统,其特征在于,所述接入设备,还用于在终端设备再次发起访问网络的HTTP请求时,拦截终端设备的HTTP报文,获得终端设备的MAC地址,如果本地存在该终端设备的MAC地址,允许该MAC地址对应的终端设备访问网络;如果不存在终端设备的MAC地址,接入设备重新向认证服务器发送认证请求报文;在接收到认证服务器返回认证通过响应后,允许该MAC地址对应的终端设备访问网络,并保存该MAC地址到本地。
10.根据权利要求6-9任一项所述的网络接入控制系统,其特征在于,所述认证服务器为AAA服务器、所述网络服务器为WEB服务器。
全文摘要
本发明涉及网络通信技术。本发明针对现有技术接入速度比较慢的缺点,公开了一种网络接入控制方法及系统,提高终端设备接入速度和数量。本发明的网络接入控制方法,包括步骤A、终端设备初次接入时,通过网络服务器向认证服务器发起初次认证请求;B、初次认证通过后,认证服务器存储终端设备的身份信息并与用户信息绑定;C、终端设备再次接入时,直接向认证服务器发起认证请求;D、认证服务器核对终端设备的身份信息,该身份信息与认证服务器存储的信息匹配则认证通过,允许终端设备接入网络进行访问。本发明的网络接入控制系统,包括终端设备、接入设备、网络服务器、认证服务。本发明简化了接入控制过程,加快了用户接入网络的速度。
文档编号H04L29/08GK102984173SQ20121053887
公开日2013年3月20日 申请日期2012年12月13日 优先权日2012年12月13日
发明者吴飞, 田华, 权吉欢 申请人:迈普通信技术股份有限公司