本發明專利技術公開了一種實現接入網源地址驗證的Web認證方法,包括:接入網控制設備獲取用戶從DHCP服務器得到的DHCP報文,該報文包括用戶使用的合法IP地址,接入網控制設備記錄下用戶的IP地址,用戶進行http請求,接入網控制設備將用戶請求重定向至Web認證服務器,用戶將身份認證信息及IP地址發送至Web認證服務器進行Web認證,Web認證服務器與DHCP服務器進行交互,將獲得的IP地址與DHCP服務器中真實分配的地址進行比較確認后,Web認證服務器發送認證通過信息至接入網控制設備,接入網控制設備打開用戶訪問網絡權限。通過上述方案,實現了一種更為安全可靠的接入網源地址驗證及安全認證管理。
【技術實現步驟摘要】
一種實現接入網源地址驗證的Web認證方法與系統
本專利技術涉及網絡安全
,具體涉及一種實現接入網源地址驗證的Web認證方法與系統。
技術介紹
網絡的迅速發展給網絡的管理與安全帶來了許多新的挑戰,為了實現對網絡的有效管理,控制用戶的網絡接入、防止未授權用戶使用網絡,對用戶進行接入認證是接入網絡管理與安全的關鍵技術。隨著科學技術的快速發展,各種智能移動終端(如智能手機、平板電腦)越來越普及,對接入網認證技術提出了更高的要求和挑戰,傳統的接入網認證方法流程,用戶終端通過無線網絡接入互聯網,接入網控制設備通過向Web認證服務器發送http請求,使用戶終端獲得Web認證頁面,用戶通過填寫相應的用戶名密碼提交到Web認證端進行認證,認證通過后,用戶終端獲得上網權限,在用戶上網的過程中,若用戶關閉Web認證頁面,則視為用戶下線,Web認證服務器向接入控制設備發送下線通知。近年來,由于各種智能移動終端的普及,操作系統的多種多樣,休眠模式、省電模式等工作方式復雜化,使得用戶認證過程具體的實現也各不相同,大量的源地址偽造攻擊,對傳統的接入網認證技術提出了更高的要求和挑戰。
技術實現思路
本專利技術的目的是針對上述現有技術的不足,提供了一種實現接入網源地址驗證的Web認證方法,通過DHCP服務器與Web認證服務器相結合的方法,將用戶終端源地址的真實性交由Web認證服務器來確認,實現了用戶終端設備訪問網絡的安全性。本專利技術的另一目的在于提供一種實現接入網源地址驗證的Web認證系統。本專利技術的目的可以通過如下技術方案實現:一種實現接入網源地址驗證的Web認證方法,所述方法包括以下步驟:步驟S1、用戶終端通過接入網控制設備接入網絡,通過DHCP協議與DHCP服務器通信獲得基本的網絡配置信息,接入網控制設備將其中的合法IP地址進行綁定存儲;步驟S2、用戶終端發起http請求,接入網控制設備對其進行重定向至Web認證服務器,同時將步驟S1中用戶終端所獲取的IP地址一并傳送給Web認證服務器;步驟S3、Web認證服務器通過與DHCP服務器進行交互,確認用戶終端所使用的IP地址真實分配,同時返回認證頁面給用戶終端,用戶終端完成認證信息輸入后,由Web認證服務器對用戶進行最終認證,若認證通過,將消息發送至接入網控制設備,否則繼續執行步驟S3;步驟S4、接入網控制設備在收到Web認證服務器的通過認證消息后,打開接入用戶的網絡訪問權限;步驟S5、用戶獲取到認證成功的頁面后,顯示基本在線信息,并與Web認證服務器保持定時聯系;步驟S6、用戶正常下線,Web認證服務器對用戶終端進行下線處理。進一步地,所述步驟S3的具體過程為:Web認證服務器向用戶終端返回認證頁面,用戶終端在認證頁面上輸入用戶名和密碼,Web認證服務器通過查詢用戶數據庫對用戶進行認證,并與DHCP地址分配服務器驗證用戶IP地址的真實合法性,如所有檢查通過,則Web認證服務器發送認證通過信息給接入網控制設備;如果用戶未通過檢查,則繼續執行步驟S3。進一步地,所述步驟S4的具體過程為:Web認證服務器確定用戶終端認證信息通過后,向接入網控制設備發送認證成功通知,接入網控制設備收到Web認證服務器的認證通過信息后,根據下發的授權信息,更新維護的訪問控制列表,設置對應的數據報文過濾規則,允許符合對應IP、MAC、VLAN、PORT的數據報文通過,使用戶終端能夠正常訪問網絡,并實現對所有用戶報文的IP、MAC、PORT、VLAN的綁定過濾。進一步地,所述步驟S5的具體過程為:Web認證服務器返回用戶終端認證成功頁面,用戶能夠正常使用網絡,認證成功后用戶終端認證頁面顯示基本在線信息,并與Web認證服務器保持定時聯系,一方面,Web認證服務器中設置好認證頁面的心跳(在線)超時時間,當用戶終端認證通過后,Web認證服務器將設置好的心跳時間發送給用戶終端,用戶終端在保留Web認證頁面的同時,根據這一心跳時間定時周期地向Web認證服務器發送在線信息,另外,此定時周期時間小于所設置的認證頁面的心跳(在線)超時時間;另一方面,Web認證服務器與DHCP服務器進行交互,定時對用戶終端是否在線進行輪詢,實時判斷用戶在線信息,解決當用戶意外關閉在線認證頁面時,Web認證服務器將無法獲取認證頁面所發送的在線信息,而通過查詢DCHP服務器的信息,控制用戶的網絡訪問權限,提高整個認證系統的穩定性。進一步地,所述步驟S6的具體過程為:當Web認證服務器檢測到接入用戶終端下線后,Web認證服務器記錄用戶的下線信息,并通知接入網控制設備,接入網控制設備收到用戶下線的信息后進行相應的操作,使下線后用戶終端返回未認證前網絡使用受限的狀態。本專利技術的另一目的可以通過如下技術方案實現:一種實現接入網源地址驗證的Web認證系統,所述系統包括:提供傳統命令行配置界面功能的CLI界面管理模塊、通過SNMP協議對接入網控制設備進行遠程管理的SNMP管理模塊、監控接入控制系統的整體運行狀態,根據策略在控制系統出現異常時執行相應操作,提高接入網控制設備的穩定性和可用性功能的系統監控模塊、以及提供與Web認證結合的接入網源地址驗證功能的源地址驗證模塊。進一步地,所述CLI界面管理模塊能夠使用串行接口、telnet或者ssh等方式連接至接入網控制設備,通過命令行模式界面進行配置。進一步地,所述源地址驗證模塊包括:對源地址驗證模塊實施整體協調控制功能的整體控制模塊、提取多元組綁定信息,并調用綁定表模塊的接口插入多元組綁定信息的捕包模塊、存儲和維護多元組綁定信息,并根據這些信息執行邏輯操作的綁定表模塊、對用戶終端的報文進行實際底層操作的執行模塊、實現各個模塊間通信的通信模塊、以及提供基于接入網控制設備Web認證功能的Web認證模塊。進一步地,所述多元組包括MAC、IP、PORT和VLAN,所述綁定表模塊內部維護一份綁定表,包括MAC、IP、PORT、VLAN、ACLSN、認證狀態信息,所述執行模塊使用ACL機制實現報文的過濾操作,支持使用IP、MAC、PORT、VLAN過濾報文。進一步地,所述Web認證模塊包括:對非以本控制設備為目的地址的HTTP協議數據包進行處理,實現偽裝目的主機響應功能的地址轉換模塊、以及利用HTTP協議本身提供的重定向方法,通過利用本控制設備內的嵌入式HTTP服務器和動態腳本響應用戶終端HTTP請求,使其重定向到認證頁面的HTTP重定向模塊。本專利技術與現有技術相比,具有如下優點和有益效果:1、本專利技術通過在Web認證的流程中識別和驗證用戶終端的真實IP地址,保證了對接入網安全性的有效管理。2、本專利技術利用DHCP服務器的查詢接口,獲取用戶真實分配的IP地址,保證了用戶源IP地址的真實合法性,同時在Web認證服務器上進行用戶名密碼的身份信息認證,降低了對接入控制設備的硬件要求,實現接入網源地址驗證及Web認證,提高了接入網認證系統的可靠安全性。附圖說明圖1為傳統的接入網認證方法流程圖。圖2為本專利技術實施例2的一種實現接入網源地址驗證的Web認證系統的模塊示意圖。圖3為本專利技術實施例2的一種實現接入網源地址驗證的Web認證系統執行認證時的信息交互示意圖。具體實施方式下面結合實施例及附圖對本專利技術作進一步詳細的描述,但本專利技術的實施方式不限于本文檔來自技高網...
【技術保護點】
一種實現接入網源地址驗證的Web認證方法,其特征在于,所述方法包括以下步驟:步驟S1、用戶終端通過接入網控制設備接入網絡,通過DHCP協議與DHCP服務器通信獲得基本的網絡配置信息,接入網控制設備將其中的合法IP地址進行綁定存儲;步驟S2、用戶終端發起http請求,接入網控制設備對其進行重定向至Web認證服務器,同時將步驟S1中用戶終端所獲取的IP地址一并傳送給Web認證服務器;步驟S3、Web認證服務器通過與DHCP服務器進行交互,確認用戶終端所使用的IP地址真實分配,同時返回認證頁面給用戶終端,用戶終端完成認證信息輸入后,由Web認證服務器對用戶進行最終認證,若認證通過,將消息發送至接入網控制設備,否則繼續執行步驟S3;步驟S4、接入網控制設備在收到Web認證服務器的通過認證消息后,打開接入用戶的網絡訪問權限;步驟S5、用戶獲取到認證成功的頁面后,顯示基本在線信息,并與Web認證服務器保持定時聯系;步驟S6、用戶正常下線,Web認證服務器對用戶終端進行下線處理。
【技術特征摘要】
1.一種實現接入網源地址驗證的Web認證方法,其特征在于,所述方法包括以下步驟:步驟S1、用戶終端通過接入網控制設備接入網絡,通過DHCP協議與DHCP服務器通信獲得基本的網絡配置信息,接入網控制設備將其中的合法IP地址進行綁定存儲;步驟S2、用戶終端發起http請求,接入網控制設備對其進行重定向至Web認證服務器,同時將步驟S1中用戶終端所獲取的IP地址一并傳送給Web認證服務器;步驟S3、Web認證服務器通過與DHCP服務器進行交互,確認用戶終端所使用的IP地址真實分配,同時返回認證頁面給用戶終端,用戶終端完成認證信息輸入后,由Web認證服務器對用戶進行最終認證,若認證通過,將消息發送至接入網控制設備,否則繼續執行步驟S3;步驟S4、接入網控制設備在收到Web認證服務器的通過認證消息后,打開接入用戶的網絡訪問權限;步驟S5、用戶獲取到認證成功的頁面后,顯示基本在線信息,并與Web認證服務器保持定時聯系;步驟S6、用戶正常下線,Web認證服務器對用戶終端進行下線處理。2.根據權利要求1所述的一種實現接入網源地址驗證的Web認證方法,其特征在于:所述步驟S3的具體過程為:Web認證服務器向用戶終端返回認證頁面,用戶終端在認證頁面上輸入用戶名和密碼,Web認證服務器通過查詢用戶數據庫對用戶進行認證,并與DHCP地址分配服務器驗證用戶IP地址的真實合法性,如所有檢查通過,則Web認證服務器發送認證通過信息給接入網控制設備;如果用戶未通過檢查,則繼續執行步驟S3。3.根據權利要求1所述的一種實現接入網源地址驗證的Web認證方法,其特征在于:所述步驟S4的具體過程為:Web認證服務器確定用戶終端認證信息通過后,向接入網控制設備發送認證成功通知,接入網控制設備收到Web認證服務器的認證通過信息后,根據下發的授權信息,更新維護的訪問控制列表,設置對應的數據報文過濾規則,允許符合對應IP、MAC、VLAN、PORT的數據報文通過,使用戶終端能夠正常訪問網絡,并實現對所有用戶報文的IP、MAC、PORT、VLAN的綁定過濾。4.根據權利要求1所述的一種實現接入網源地址驗證的Web認證方法,其特征在于:所述步驟S5的具體過程為:Web認證服務器返回用戶終端認證成功頁面,用戶能夠正常使用網絡,認證成功后用戶終端認證頁面顯示基本在線信息,并與Web認證服務器保持定時聯系,一方面,Web認證服務器中設置好認證頁面的心跳超時時間,當用戶終端認證通過后,Web認證服務器將設置好的心跳時間發送給用戶終端,用戶終端在保留Web認證頁面的同時,根據這一心跳時間定時周期地向Web認證服務器發送在線信息,另外,此定時周期時間小于所設置的認證頁面的心跳超時時...
【專利技術屬性】
技術研發人員:張凌,丁超文,
申請(專利權)人:華南理工大學,
類型:發明
國別省市:廣東,44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。