CN102075567B - 认证方法、客户端、服务器、直通服务器及认证*** - Google Patents
认证方法、客户端、服务器、直通服务器及认证*** Download PDFInfo
- Publication number
- CN102075567B CN102075567B CN 201010606479 CN201010606479A CN102075567B CN 102075567 B CN102075567 B CN 102075567B CN 201010606479 CN201010606479 CN 201010606479 CN 201010606479 A CN201010606479 A CN 201010606479A CN 102075567 B CN102075567 B CN 102075567B
- Authority
- CN
- China
- Prior art keywords
- authentication
- address
- authentication client
- client
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了认证方法、客户端、服务器、直通服务器及认证***。该认证方法包括:认证客户端向认证服务器发送用户信息以进行一次认证,并在一次认证通过后获取认证服务器发送的携带有直通服务器IP地址的一次认证成功信息,其中直通服务器用于实现认证客户端与认证服务器之间的信息交互;认证客户端从DHCP服务器获取认证客户端的IP地址;认证客户端根据直通服务器IP地址将认证客户端的IP地址和用户信息通过直通服务器转发至认证服务器,以使认证服务器对认证客户端进行二次认证。该方法可提供在DHCP环境下无需重设交换机且无需断开连接的IP地址认证。
Description
技术领域
本发明涉及一种网络通信技术,尤其涉及一种认证方法、客户端、服务器、直通服务器及认证***。
背景技术
802.1X协议是基于Client/Server(客户端/服务器端模式)的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN(Local AreaNetwork,局域网)/WLAN(Wireless Local Area Network,无线局域网)。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1X只允许基于局域网的扩展认证协议(Extensible Authentication Protocol over LAN,EAPOL)数据通过交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
动态主机设置协议(Dynamic Host Configuration Protocol,以下简称为DHCP)是一个局域网的网络协议,使用UDP协议工作,主要用于由内部网络或网络服务供应商为用户动态分配IP地址。该DHCP采用动态分配(Dynamic Allocation)方式为用户分配IP地址,即当DHCP第一次从DHCP服务器端租用到IP地址之后,并非永久的使用该地址,只要租约到期,客户端就得释放(release)这个IP地址,以给其它工作站使用。因此利用DHCP能够将同一IP地址轮流分配给不同时间上网的多个用户。可见这种动态分配比自动分配更加灵活,且能够更加充分地利用IP资源。
在802.1X认证体系下,必须在认证端口被授权打开之后,DHCP相关的报文才能进出认证端口,也就是说,在802.1X认证体系下,在未经认证的条件下,认证客户端个人计算机(Personal Computer,以下简称PC)无法通过DHCP的方式获取到客户端的IP地址,即认证客户端PC只能在认证通过之后才能获取到动态IP地址。在这种情况下,在认证服务器对认证客户端进行验证的过程中,客户端的IP地址就无法通过802.1X认证传递到认证服务器,使得认证服务器也就无法对该IP地址进行接入身份的获取和校验。由于IP地址涉及一些其他的业务,比如通过IP地址进行流量计费,访问监控等等,因为在对客户端的身份验证过程中没有对IP地址信息进行验证,所以无法开展这些业务。
现有技术中,为解决上述问题主要采用以下两种方案:
其中一种是通过对交换机进行设置,以使得认证端口在被授权打开之前,就允许DHCP报文自由出入,即使得用户在无需认证通过时就可以通过DHCP动态获取IP地址,从而认证时可将该IP地址通过802.1X协议传递给认证服务器进行校验。这种方案由于需由交换机来支持认证端口授权打开前让报文自由通过,一方面对于有线交换机的设置增加了成本,另一方面该方案在无线接入交换机上无法实现;更为重要的,采用这种方案,由于在身份认证通过前就让可以自由进出,导致了安全隐患;
另一种是采用两次认证,即在第一次认证通过后打开认证端口使客户端PC通过DHCP的方式获取到IP地址,并在获取到IP地址通过交换机向认证服务器发出第二次认证请求。由于交换机在接收客户端的认证请求后,若判断获知该客户端为已认证用户,则丢弃该认证请求或直接将该客户端断线,因此,在发起第二次认证请求之前,客户端需先断开连接。这种方案可能导致在客户端断开连接后再次以DHCP方式动态获取到的IP地址发生改变,从而造成基于IP地址进行的业务发生错误;而且,对于一次上网需由交换机进行两次认证,增加了交换机的处理压力,使得其认证相关性能的成本成倍增长;此外,这种断线后再重新认证的过程也为客户端的用户带来了极大的不便。
发明内容
针对上述缺陷,本发明提供一种认证方法,包括:
认证客户端向认证服务器发送用户信息以进行一次认证,并在所述一次认证通过后获取所述认证服务器发送的携带有直通服务器IP地址的一次认证成功信息,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
所述认证客户端从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址;
所述认证客户端根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,以使所述认证服务器对所述认证客户端进行二次认证。
根据本发明的又一方面,还提供一种认证客户端,包括:
第一接发模块,用于通过交换机向认证服务器发送用户信息以进行一次认证,并在认证通过后获取所述认证服务器发送的携带有直通服务器IP地址的一次认证成功信息,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
IP地址获取模块,用于在接收到所述一次认证成功信息后从DHCP服务器获取所述认证客户端的IP地址;
第二接发模块,用于成功获取所述认证客户端的IP地址后,根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,以使所述认证服务器对所述认证客户端进行二次认证。
根据本发明的又一方面,还提供另一种认证方法,包括:
认证服务器通过交换机获取认证客户端发送的用户信息以进行一次认证,并在所述一次认证通过后向所述认证客户端发送携带有直通服务器IP地址的一次认证成功信息,以供所述认证客户端根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
所述认证服务器根据获取的认证客户端的IP地址和所述用户信息对所述认证客户端进行二次认证。
根据本发明的又一方面,还提供一种认证服务器,包括:
一次认证模块,用于通过交换机获取认证客户端发送的用户信息以进行一次认证;
认证结果发送模块,用于在所述一次认证通过后向所述认证客户端发送携带有直通服务器IP地址的一次认证成功信息,以供所述认证客户端在获取所述一次认证成功信息后从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址、并根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
二次认证模块,用于根据获取的认证客户端的IP地址和所述用户信息对所述认证客户端进行二次认证。
根据本发明的又一方面,还提供另一种认证方法,包括:
直通服务器获取通过一次认证的认证客户端发送的认证客户端的IP地址和用户信息,所述认证客户端的IP地址和所述用户信息是所述认证客户端根据所述一次认证通过后认证服务器返回的所述直通服务器IP地址而发送的;
所述直通服务器将所述认证客户端的IP地址和用户信息发送至所述认证服务器,以供所述认证服务器对所述认证客户端进行二次认证。
根据本发明的又一方面,还提供一种直通服务器,包括:
二次认证信息获取模块,用于获取通过一次认证的认证客户端发送的认证客户端的IP地址和用户信息,所述认证客户端的IP地址和所述用户信息是所述认证客户端根据所述一次认证通过后认证服务器返回的所述直通服务器IP地址而发送的;
二次认证信息发送模块,用于将所述认证客户端的IP地址和用户信息发送至所述认证服务器,以供所述认证服务器对所述认证客户端进行二次认证。
根据本发明的再一方面,还提供一种认证***,包括:本发明提供的认证客户端、本发明提供的认证服务器、本发明提供的直通服务器、DHCP服务器以及设置在所述认证客户端与所述认证服务器之间的交换机。
根据本发明的认证方法、认证客户端、认证服务器、直通服务器及认证***实现了DHCP环境下认证服务器对客户端的IP地址认证,并且由于无需将交换机设置为在客户端认证通过前即可允许DHCP报文的通过,从而一方面避免了改造交换机的高成本,另一方面还避免了这种设置所导致的网络安全性的降低;而且由于采用直通服务器作为二次认证信息的传输通道,既避免了利用交换机进行二次认证时需主动断线所带来的缺陷,还在能够实现客户端与认证服务器进行信息交互的基础上确保认证服务器不暴露在网络中,保障了认证服务器的安全。
附图说明
图1为802.1X的体系结构示意图。
图2为应用本发明认证方法的认证***架构图。
图3为本发明第一实施例的认证方法的流程图。
图4为本发明认证方法中认证服务器进行二次认证的流程图。
图5为本发明认证方法中二次认证过程的流程图。
图6为本发明第二实施例的认证方法的流程图。
图7为本发明第三实施例的认证方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图,对本发明的技术方案进行清楚、完整地描述。
802.1X认证是目前主流的基于端口的网络接入控制认证。图1为802.1X的体系结构示意图。如图1所示,802.1X的体系结构由三个实体组成,包括认证客户端11a、交换机12a及认证服务器13a,其中认证客户端11a一般安装在PC中,认证服务器13a一般驻留在运营商的计费、认证与授权(AAA)中心内。其中,认证客户端11a与交换机12a之间通过EAPOL报文进行认证消息传送,交换机12a与认证服务器13a之间通过远程用户拨号认证***(Remote Authentication Dial In User Service,Radius)报文进行认证消息传送。
Radius是一种在网络接入服务器(Network Access Server,NAS)和共享认证服务器间传输认证、授权和配置信息的协议,其还用于在NAS与共享认证服务器之间的计费信息。Radius使用用户数据报协议(User DatagramProtocol,UDP)作为其传输协议,主要具有以下特征:
其一,Radius采用客户端/服务器(Client/Server,C/S)模式,其中NAS作为Radius的客户端,负责将用户信息传递给指定的Radius服务器,然后根据返回的信息进行操作;Radius服务器负责接收用户连接请求,并在认证用户后,返回所有必要的配置信息以便客户端为用户提供服务,并且Radius服务器可以作为其他Radius服务器或认证服务器的代理;其二,较高的网络安全性:Radius的客户端与服务器之间的通信是通过共享密钥的使用来鉴别的,这个共享密钥不会通过网络传送;此外,任何用户口令在客户机和Radius的客户端与服务器间发送时都需要进行加密,以避免通过非安全网络获取用户密码;其三,认证机制灵活:Radius服务器支持多种用户认证方法,当用户提供了用户名和原始口令后,Radius服务器可支持PPP、PAP、CHAP或UNIX登录和其他认证机制;其四,协议的可扩充性:所有的事务都是由不同长度的“属性-长度-值”的三元组构成的,新的属性值的加入不会影响到原有协议的执行。
下面以802.1X认证体系作为示例,将其应用于本发明认证方法,以对本发明认证方法进行详细说明。
图2为应用本发明认证方法的认证***架构图,如图2所示,该认证***包括认证客户端10、交换机20、认证服务器30、DHCP服务器40和直通服务器50,其中,直通服务器50与认证服务器30相对应,其用于实现认证客户端10与认证服务器30之间的信息交互。
图3为本发明第一实施例的认证方法的流程图。结合参考图2和图3,本发明认证方法包括:
步骤S100a,认证客户端10向认证服务器30发送用户信息以进行一次认证,并在一次认证通过后获取认证服务器30发送的携带有直通服务器IP地址的一次认证成功信息,其中直通服务器50用于实现认证客户端10与认证服务器30之间的信息交互;
具体地,上述步骤S100a可包括以下步骤:
步骤S101,用户登录认证客户端10;
步骤S102,认证客户端10收到用户登录的消息后,向交换机20发送包含用户信息的EAPOL报文以发起第一次802.1X认证过程,其中用户信息为认证客户端10接入互联网的接入信息,例如包括认证客户端的计算机标识、MAC地址、以及用户名和密码等;
步骤S103,交换机20将获取的EAPOL报文中的用户信息通过Radius报文发送给远端的认证服务器30进行认证;
步骤S104,若认证失败,则认证服务器30通过交换机20向认证客户端10返回认证失败信息,以使该认证客户端10下线。认证通过后,认证服务器30缓存该认证客户端的Radius报文,并向交换机20发送携带有直通服务器IP地址的认证成功信息,以由交换机20将该认证成功信息发送至认证客户端。其中,直通服务器IP地址与认证服务器唯一对应,且直通服务器可以是单独设置的、能够实现认证客户端与认证服务器相隔离、且能够分别与两者进行通信的任意服务器。
步骤S200a,认证客户端10从DHCP服务器40获取认证客户端10的IP地址;
具体地,上述步骤S200a可包括以下步骤:
步骤S201,认证客户端10接收到认证服务器30返回的认证成功信息后,通过交换机20向DHCP服务器40发送IP地址请求;
步骤S202,DHCP服务器40响应IP地址请求,为认证客户端10分配IP地址,并通过交换机20将其返回认证客户端10。
步骤S300a,认证客户端10根据直通服务器IP地址将认证客户端10的IP地址和用户信息通过直通服务器50转发至认证服务器30,以使认证服务器30对认证客户端10进行二次认证。
具体地,上述步骤S300a可包括以下步骤:
步骤S301,认证客户端10对所接收到的一次认证成功信息进行解析,获取直通服务器IP地址;
步骤S302,认证客户端10根据获取的直通服务器IP地址,采用直通协议通过交换机20将认证客户端10的IP地址和用户信息发送至直通服务器50,并由直通服务器50将其发送至认证服务器30;
表1为直通协议中的字段内容列表。
表1
认证客户端10按照表1中的格式封装用户IP(即认证客户端10的IP地址)及用户信息等数据,以形成直通协议数据包,并添加相应的源端口及目的端口信息,以形成在网络中传输的数据报文(该报文例如为TCP报文或UDP报文,优选采用UDP报文,即利用UDP协议进行通信,其能够提高网络中的认证客户端与直通服务器之间的多点通信的效率)。认证客户端10将该UDP报文经由交换机20发送至目的端口(即直通服务器IP地址)。
直通服务器50获取UDP报文后,对该UDP报文进行解析以获取数据包,并检验该数据包的格式是否符合直通协议的数据包格式,若符合,则认定该数据包为安全的认证信息数据包,向认证客户端10返回一个响应,并将该数据包形成第二次认证报文(该报文例如为TCP报文或UDP报文,优选采用TCP报文,即利用TCP协议进行通信,其能够提高直通服务器与认证服务器之间的单点通信的可靠性)、传送至认证服务器30;若不符合,则认定该数据包为非认证信息数据包,将其丢弃。直通服务器50向认证服务器30发送的数据的格式如表2中所示:
表2
步骤S303,认证服务器30获取直通服务器50传来第二次认证报文后,对认证客户端10进行包含IP地址认证的二次认证,该二次认证例如包括黑名单校验、BACL校验、IP唯一性校验等。
图4为本发明认证方法中认证服务器30进行二次认证的流程图。如图4所示,认证服务器30获取直通服务器传来的第二次认证报文后,从该第二次认证报文中解析出用户IP及用户信息;并对该用户IP及用户信息进行封装以获取用于进行二次认证的Radius报文,具体地,例如根据用户信息查找并获取该认证服务器30所缓存的对应于该认证客户端10的一次认证Radius报文,并根据最新接收的用户IP地址和用户信息对该Radius报文中的用户信息进行更新,即获取包含IP地址信息的二次认证Radius报文;根据该二次认证Radius报文对认证客户端10进行认证,并返回认证结果。
表3示出了认证服务器30向直通服务器50发送认证结果的数据的结构。认证服务器30的兼容模块根据表3所示的数据结构形成向直通服务器50发送的认证结果:
表3
兼容模块生成符合表3格式的认证结果数据后,以TCP报文形式将认证结果发送至直通服务器50。
直通服务器50获取上述认证结果报文后,需将其转化为直通协议报文发送至认证客户端。直通服务器50向认证客户端下发认证结果数据的格式如表4所示:
表4
图5为本发明认证方法中二次认证过程的流程图。如图5所示,在该二次认证过程中,首先由认证客户端向直通服务器发送包含用户IP地址和用户信息的二次认证直通请求;直通服务器接收到该请求后,返回给认证客户端一个确收该请求的直通响应,并将该请求中包含的用户IP地址和用户信息发送至认证服务器;认证服务器根据该信息进行二次认证后,经由直通服务器向认证客户端返回二次认证结果;认证客户端在接收到二次认证结果后向直通服务器发送直通响应以告知其已成功。
根据本发明上述实施例的认证方法,由于认证客户端在第一次认证成功后能够从认证服务器获取直通服务器IP地址,所以能在从DHCP服务器获取用户IP后,将该用户IP连同其他的用户信息经由直通服务器发送到认证服务器以进行包含IP地址认证的二次认证,从而实现了DHCP环境下认证服务器对客户端的IP地址认证。由于在该认证方法中,无需对交换机设置以使其在客户端认证通过前即可允许DHCP报文的通过,从而一方面避免了改造交换机的高成本,另一方面还避免了这种设置所导致的网络安全性的降低;还由于在该方法中,采用了直通服务器在认证客户端与认证服务器之间转发第二次认证信息,既避免了仍利用交换机进行二次认证所存在的缺陷,还在能够实现客户端与认证服务器进行信息交互的基础上确保认证服务器不暴露在网络中,因此即使有恶意软件探听到交换机与客户端之间的交互信息,也仅能获知直通服务器的IP地址、而无法查找到认证服务器,从而保障了认证服务器的安全性。
虽然在上述实施例中,以802.1X认证体系为例对本发明认证方法进行了说明,但本领域的技术人员应当理解,任何基于客户端/服务器模式的认证***架构均能够用于实现本发明。而且,虽然在上述实施例中,认证服务器进行第二次认证的过程例示为:根据第二次认证报文中包含的用户认证信息(包括用户IP等信息)对其在先缓存的一次认证Radius报文进行更新,之后按照与一次认证相同的流程对更新后的Radius报文进行认证,但本领域的技术人员应当理解,认证服务器也可采取任何其它报文处理及客户端认证的方式来完成二次认证,其均能够用于实现本发明的认证方法。
进一步地,在上述实施例的认证方法中,认证客户端根据直通服务器IP地址将认证客户端的IP地址和用户信息通过直通服务器转发至认证服务器的步骤后,还包括:若满足预置的重发标准或断线标准,则对认证客户端的IP地址和用户信息进行重发或主动断线。
根据上述实施例的认证方法,由于可根据预设的条件,由认证客户端进重发/断线,一方面通过重发提高了该认证方法的认证成功率;另一方面通过断线避免了无限重发为网络带来的负担。
具体地,认证客户端发出二次认证请求后(即向直通服务器发送认证客户端的IP地址和用户信息),若在一预设重发时限(例如为3s)内未收到返回的认证结果,则触动重发机制,重新发送二次认证请求;若重发达一预设重发次数(例如为3次),则主动断线,提示用户“认证服务器连接超时”,并将断线原因发送至认证服务器以便记录;而且,若认证客户端收到的二次认证结果为认证失败,也会主动断线,并按照报文中的信息提示用户。
进一步地,在上述实施例的认证方法中,若认证客户端发出二次认证请求后,接收到认证服务器返回的二次认证成功信息,则向用户显示认证成功提示消息(例如为报文中的信息)。并进一步优选为:仅在接收到二次认证成功信息后向用户显示该认证成功提示消息,即在接收到第一次认证成功信息后并不提示用户已认证成功。因为第一次认证成功后,认证服务器并未对客户端的IP地址进行认证,所以尚未开通与IP地址相关的业务,若此时即提示用户认证成功,则可能导致因用户的操作而导致业务计费不准确等问题,若采用上述方式,则能够避免这种问题的发生。
根据本发明的又一方面,还提供了一种认证客户端,包括第一接发模块、IP地址获取模块和第二接发模块,其中:
第一接发模块,用于向认证服务器发送用户信息以进行一次认证,并在认证通过后获取认证服务器发送的携带有直通服务器IP地址的一次认证成功信息,其中直通服务器用于实现认证客户端与认证服务器之间的信息交互;
IP地址获取模块,用于在接收到一次认证成功信息后从DHCP服务器获取认证客户端的IP地址;
第二接发模块,用于成功获取认证客户端的IP地址后,根据直通服务器IP地址将认证客户端的IP地址和用户信息通过直通服务器转发至认证服务器,以使认证服务器对认证客户端进行二次认证。
上述实施例的认证客户端的具体操作流程与上述第一实施例的认证方法相同,故在此不再赘述。
根据上述实施例的认证客户端,由于能够在一次认证成功后,根据一次认证成功信息中包含的直通服务器IP地址,向直通服务器上传从DHCP服务器获取的自身IP地址和用户信息,从而能够在无需重新设置交换机且无需断线的情况下实现包含IP地址认证的二次认证。
进一步地,在上述实施例的认证客户端中,第一接发模块所进行的一次认证的过程是802.1X认证过程。
进一步地,在上述实施例的认证客户端中,第一接发模块与直通服务器通过用户数据报协议进行通信。
根据上述实施例的认证客户端,由于网络中存在多个认证客户端,使得客户端与直通服务器之间的通信为多点通信,通过利用用户数据报协议进行通信能够提高与直通服务器之间的数据传送效率。
进一步地,在上述实施例的认证客户端中,第二接发模块在根据直通服务器IP地址将认证客户端的IP地址和用户信息通过直通服务器转发至至认证服务器后,若满足预置的重发标准或断线标准,则对认证客户端的IP地址和用户信息进行重发或主动断线。
根据上述实施例的认证客户端,通过第二接发模块设置了重发或断线机制,一方面通过重发机制提高了认证成功率;另一方面通过断线机制避免了无限重发为网络带来的负担。
进一步地,在上述实施例的认证客户端中,还包括显示模块,与第二接发模块连接,用于根据第二接发模块接收到认证服务器端返回的二次认证成功信息后向显示模块发送的显示请求,显示认证成功提示消息。
根据本发明的又一方面,还提供了另一种认证方法。图6为本发明第二实施例的认证方法的流程图。如图6所示,该认证方法包括:
步骤S100b,认证服务器获取认证客户端发送的用户信息以进行一次认证,并在一次认证通过后向认证客户端发送携带有直通服务器IP地址的一次认证成功信息,以供认证客户端根据直通服务器IP地址将认证客户端的IP地址和用户信息通过直通服务器转发至认证服务器,其中直通服务器用于实现认证客户端与认证服务器之间的信息交互;
步骤S200b,认证服务器根据获取的认证客户端的IP地址和用户信息对认证客户端进行二次认证。
上述第二实施例的认证方法的流程与上述第一实施例的认证方法的流程相同,故在此不再赘述。
根据上述实施例的认证方法,由于认证服务器在向认证客户端返回第一次认证成功消息时向其提供直通服务器IP地址,使得认证客户端能够在获取自身的IP地址后将包含IP地址的二次认证信息发送至直通服务器,以实现该认证服务器能够通过从直通服务器获取二次认证信息对该认证客户端进行包含IP认证的二次认证。并且,由于在该认证方法中,未将交换机设置为在客户端认证通过前即可允许DHCP报文的通过,从而一方面避免了改造交换机的高成本,另一方面还避免了这种设置所导致的网络安全性的降低;还由于在该方法中,采用了直通服务器作为第二次认证信息的传输通道,既避免了仍利用交换机进行二次认证所存在的缺陷,还在能够实现客户端与认证服务器进行信息交互的基础上确保认证服务器不暴露在网络中,因此即使有恶意软件探听到交换机与客户端之间的交互信息,也仅能获知直通服务器的IP地址、而无法查找到认证服务器,从而保障了认证服务器的安全性。
进一步地,在上述实施例的认证方法中,一次认证的过程是802.1X认证过程。
进一步地,在上述实施例的认证方法中,认证服务器根据获取的认证客户端的IP地址和用户信息对认证客户端进行二次认证的步骤之后还包括:
认证服务器在二次认证通过后向认证客户端发送二次认证成功信息,以供认证客户端在接收到二次认证成功信息后显示认证成功提示消息。
进一步地,在上述实施例的认证方法中,认证服务器根据获取的认证客户端的IP地址和用户信息对认证客户端进行二次认证的步骤包括:
认证服务器获取认证客户端的IP地址和用户信息;
认证服务器从缓存模块获取认证客户端的一次认证的Radius报文,根据认证客户端的IP地址和用户信息对一次认证的Radius报文进行更新获取二次认证的Radius报文,并对二次认证的Radius报文进行认证。
根据上述实施例的认证方法,由于在获取到认证客户端的IP地址和用户信息后,将所获取的信息转化为与一次认证的Radius报文相同格式的二次认证的Radius报文,即对于二次认证的Radius报文可采用与一次认证相同的认证机制进行认证,极大地缩减了两次认证的差异化,从而简化了对认证服务器的设置。
根据本发明的又一方面,还提供了一种认证服务器,包括:
一次认证模块,用于获取认证客户端发送的用户信息以进行一次认证;
认证结果发送模块,用于在一次认证通过后向认证客户端发送携带有直通服务器IP地址的一次认证成功信息,以供认证客户端在获取一次认证成功信息后从DHCP服务器获取认证客户端的IP地址、并根据直通服务器IP地址将认证客户端的IP地址和用户信息通过直通服务器转发至认证服务器,其中直通服务器用于实现认证客户端与认证服务器之间的信息交互;
二次认证模块,用于根据获取的认证客户端的IP地址和用户信息对认证客户端进行二次认证。
上述实施例的认证服务器的具体操作流程与上述第二实施例的认证方法相同,故在此不再赘述。
根据上述实施例的认证服务器,由于设置能够在一次认证成功后向认证客户端提供携带有直通服务器IP地址的认证结果发送模块,和能够根据从直通服务器获取的认证客户端的IP地址和用户信息对认证客户端进行包含IP地址认证的二次认证的二次认证模块,从而实现了在无需重新设置交换机且无需令认证客户端断线的情况下,对认证客户端进行包含IP地址认证的二次认证。
进一步地,在上述实施例的认证服务器中,还包括缓存模块,用于缓存一次认证的Radius报文;相应地,二次认证模块包括:
信息获取模块,用于获取认证客户端的IP地址和用户信息;
信息处理模块,用于从缓存模块获取认证客户端的一次认证的Radius报文,根据认证客户端的IP地址和用户信息对一次认证的Radius报文进行更新以获取二次认证的Radius报文,并对二次认证的Radius报文进行认证。
根据上述实施例的认证服务器,其通过信息获取模块获取到认证客户端的IP地址和用户信息后,由信息处理模块将所获取的信息转化为与一次认证的Radius报文相同格式的二次认证的Radius报文,即对于信息处理模块输出的二次认证的Radius报文可采用与一次认证相同的认证机制进行认证,极大地缩减了两次认证的差异化,从而简化了对认证服务器的设置。
根据本发明的又一方面,还提供了一种认证方法。图7为本发明第三实施例的认证方法的流程图。如图7所示,该认证方法包括:
步骤S100c,直通服务器获取通过一次认证的认证客户端发送的认证客户端的IP地址和用户信息,该认证客户端的IP地址和用户信息是认证客户端根据一次认证通过后认证服务器返回的直通服务器IP地址而发送的;
步骤S200c,直通服务器将认证客户端的IP地址和用户信息发送至认证服务器,以供认证服务器对认证客户端进行二次认证。
上述第三实施例的认证方法的流程与上述第一实施例的认证方法相同,故在此不再赘述。
根据上述实施例的认证方法,通过利用直通服务器作为二次认证信息的传递机构,实现了在无需重新设置交换机、或在一次认证成功后断开连接的条件下即可进行二次认证。
进一步地,在上述实施例的认证方法中,直通服务器获取通过一次认证的认证客户端发送的认证客户端的IP地址及用户信息的步骤之后还包括:
将所获取的认证客户端的IP地址和用户信息的格式与预置的直通数据格式进行比较,若比较获知一致,则将认证客户端的IP地址和用户信息发送至认证服务器;若不一致,则结束认证流程。
根据上述实施例的认证方法,由于直通服务器在接收到数据后,通过将数据格式以预置的直通数据格式进行比较,来判断该数据是否为安全的二次认证信息,从而能够识别出恶意攻击报文并丢弃,避免了将这些恶意攻击报文发送至认证服务器,从而提高了认证服务器的安全性。
根据本发明的又一方面,还提供了一种直通服务器,包括:
二次认证信息获取模块,用于获取通过一次认证的认证客户端发送的认证客户端的IP地址和用户信息,该认证客户端的IP地址和用户信息是认证客户端根据一次认证通过后认证服务器返回的直通服务器IP地址而发送的;
二次认证信息发送模块,用于将认证客户端的IP地址和用户信息发送至认证服务器,以供认证服务器对认证客户端进行二次认证。
上述实施例的直通服务器的具体操作流程与上述第三实施例的认证方法相同,故在此不再赘述。
根据上述实施例的直通服务器,能够在无需断开连接或重新设置交换机的条件下为已通过一次认证的认证客户端提供二次认证通道。
进一步地,在上述实施例的直通服务器中,还包括:
检测模块,用于将所获取的认证客户端的IP地址和用户信息的格式与预置的直通数据格式进行比较,若比较获知一致,则将其发送至认证服务器;若不一致,则结束认证流程。
根据上述实施例的直通服务器,能够提高与其对应的认证服务器的安全性。
根据本发明的再一方面,还提供了一种认证***,其包括上述任一实施例的认证客户端、上述任一实施例的认证服务器、上述任一实施例的直通服务器、DHCP服务器以及设置在认证客户端与认证服务器之间的交换机。
上述实施例的认证***中,认证客户端、认证服务器和直通服务器的操作流程分别与上述装置实施例的操作流程相同,故在此不再赘述。
根据上述实施例的认证***,实现了在无需重新设置交换机、且无需中途将客户端断开连接的条件下,认证服务器对认证客户端的IP地址认证。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (17)
1.一种认证方法,其特征在于,包括:
认证客户端向认证服务器发送用户信息以进行一次认证,并在所述一次认证通过后获取所述认证服务器发送的携带有直通服务器IP地址的一次认证成功信息,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
所述认证客户端从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址;
所述认证客户端根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,以使所述认证服务器对所述认证客户端进行二次认证。
2.根据权利要求1所述的认证方法,其特征在于,所述认证客户端根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器的步骤包括:
所述认证客户端通过用户数据报协议将所述认证客户端的IP地址和所述用户信息发送至所述直通服务器,并由所述直通服务器通过传输控制协议将所接收的所述认证客户端的IP地址和所述用户信息发送至所述认证服务器。
3.根据权利要求1或2所述的认证方法,其特征在于,所述认证客户端根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器的步骤后,还包括:若满足预置的重发标准或断线标准,则对所述认证客户端的IP地址和所述用户信息进行重发或主动断线。
4.根据权利要求1或2所述的认证方法,其特征在于,所述认证客户端根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器发送至所述认证服务器的步骤后还包括:
所述认证客户端在接收到所述认证服务器返回的二次认证成功信息后显示认证成功提示消息。
5.一种认证客户端,其特征在于,包括:
第一接发模块,用于通过交换机向认证服务器发送用户信息以进行一次认证,并在认证通过后获取所述认证服务器发送的携带有直通服务器IP地址的一次认证成功信息,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
IP地址获取模块,用于在接收到所述一次认证成功信息后从DHCP服务器获取所述认证客户端的IP地址;
第二接发模块,用于成功获取所述认证客户端的IP地址后,根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,以使所述认证服务器对所述认证客户端进行二次认证。
6.根据权利要求5所述的认证客户端,其特征在于,所述第一接发模块与所述直通服务器通过用户数据报协议进行通信。
7.根据权利要求5或6所述的认证客户端,其特征在于,所述第二接发模块还用于在根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器后,若满足预置的重发标准或断线标准,则对所述认证客户端的IP地址和所述用户信息进行重发或主动断线。
8.根据权利要求5或6所述的认证客户端,其特征在于,还包括:
显示模块,与所述第二接发模块连接,用于根据所述第二接发模块接收到所述认证服务器端返回的二次认证成功信息后向所述显示模块发送的显示请求,显示认证成功提示消息。
9.一种认证方法,其特征在于,包括:
认证服务器获取认证客户端发送的用户信息以进行一次认证,并在所述一次认证通过后向所述认证客户端发送携带有直通服务器IP地址的一次认证成功信息,以供所述认证客户端在获取所述一次认证成功信息后从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址,并根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
所述认证服务器根据获取的认证客户端的IP地址和所述用户信息对所述认证客户端进行二次认证。
10.根据权利要求9所述的认证方法,其特征在于,所述认证服务器根据获取的认证客户端的IP地址和所述用户信息对所述认证客户端进行二次认证的步骤包括:
所述认证服务器获取所述认证客户端的IP地址和所述用户信息;
所述认证服务器从缓存模块获取所述认证客户端的所述一次认证的远程用户拨号认证***Radius报文,根据所述认证客户端的IP地址和所述用户信息对所述一次认证的Radius报文进行更新获取二次认证的Radius报文,并对所述二次认证的Radius报文进行认证。
11.一种认证服务器,其特征在于,包括:
一次认证模块,用于通过交换机获取认证客户端发送的用户信息以进行一次认证;
认证结果发送模块,用于在所述一次认证通过后向所述认证客户端发送携带有直通服务器IP地址的一次认证成功信息,以供所述认证客户端在获取所述一次认证成功信息后从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址、并根据所述直通服务器IP地址将所述认证客户端的IP地址和所述用户信息通过所述直通服务器转发至所述认证服务器,其中所述直通服务器用于实现所述认证客户端与所述认证服务器之间的信息交互;
二次认证模块,用于根据获取的认证客户端的IP地址和所述用户信息对所述认证客户端进行二次认证。
12.根据权利要求11所述的认证服务器,其特征在于,还包括缓存模块,用于缓存所述一次认证的远程用户拨号认证***Radius报文;相应地,所述二次认证模块包括:
信息获取模块,用于获取所述认证客户端的IP地址和所述用户信息;
信息处理模块,用于从所述缓存模块获取所述认证客户端的所述一次认证的Radius报文,根据所述认证客户端的IP地址和所述用户信息对所述一次认证的Radius报文进行更新获取二次认证的Radius报文,并对所述二次认证的Radius报文进行认证。
13.一种认证方法,其特征在于,包括:
直通服务器获取通过一次认证的认证客户端发送的认证客户端的IP地址和用户信息,所述认证客户端的IP地址和所述用户信息是所述认证客户端在所述一次认证通过后从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址,并根据所述一次认证通过后认证服务器返回的所述直通服务器IP地址而发送的;
所述直通服务器将所述认证客户端的IP地址和用户信息发送至所述认证服务器,以供所述认证服务器对所述认证客户端进行二次认证。
14.根据权利要求13所述的认证方法,其特征在于,所述直通服务器获取通过一次认证的认证客户端发送的认证客户端的IP地址及用户信息的步骤之后还包括:
将所获取的所述认证客户端的IP地址和用户信息的格式与预置的直通数据格式进行比较,若比较获知一致,则将所述认证客户端的IP地址和用户信息发送至所述认证服务器;若不一致,则结束认证流程。
15.一种直通服务器,其特征在于,包括:
二次认证信息获取模块,用于获取通过一次认证的认证客户端发送的认证客户端的IP地址和用户信息,所述认证客户端的IP地址和所述用户信息是所述认证客户端在所述一次认证通过后从动态主机配置协议DHCP服务器获取所述认证客户端的IP地址,并根据所述一次认证通过后认证服务器返回的所述直通服务器IP地址而发送的;
二次认证信息发送模块,用于将所述认证客户端的IP地址和用户信息发送至所述认证服务器,以供所述认证服务器对所述认证客户端进行二次认证。
16.根据权利要求15所述的直通服务器,其特征在于,还包括:
检测模块,用于将所获取的所述认证客户端的IP地址和用户信息的格式与预置的直通数据格式进行比较,若比较获知一致,则将其发送至所述认证服务器;若不一致,则结束认证流程。
17.一种认证***,其特征在于,包括如权利要求5~8任一所述的认证客户端、如权利要求11或12所述的认证服务器、如权利要求15或16所述的直通服务器、DHCP服务器及设置在所述认证客户端与所述认证服务器之间的交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010606479 CN102075567B (zh) | 2010-12-24 | 2010-12-24 | 认证方法、客户端、服务器、直通服务器及认证*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010606479 CN102075567B (zh) | 2010-12-24 | 2010-12-24 | 认证方法、客户端、服务器、直通服务器及认证*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102075567A CN102075567A (zh) | 2011-05-25 |
| CN102075567B true CN102075567B (zh) | 2013-09-18 |
Family
ID=44033908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010606479 Active CN102075567B (zh) | 2010-12-24 | 2010-12-24 | 认证方法、客户端、服务器、直通服务器及认证*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102075567B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523220B (zh) * | 2011-12-19 | 2014-11-26 | 北京星网锐捷网络技术有限公司 | Web认证方法、用于web认证的客户端及接入层设备 |
| CN104081804B (zh) * | 2013-01-17 | 2018-03-13 | 华为技术有限公司 | 一种移动网络对终端认证的方法和网元、终端 |
| CN106487706A (zh) * | 2016-09-28 | 2017-03-08 | 苏州迈科网络安全技术股份有限公司 | 基于TCP协议的设备功能许可的license认证方法及认证平台 |
| CN114745138B (zh) * | 2022-05-20 | 2022-08-26 | 长扬科技(北京)有限公司 | 一种设备认证方法、装置、控制平台及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553341A (zh) * | 2003-06-08 | 2004-12-08 | 华为技术有限公司 | 基于客户端的网络地址分配方法 |
| CN101764808A (zh) * | 2009-12-22 | 2010-06-30 | 中国联合网络通信集团有限公司 | 自动登录的认证处理方法、服务器和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1177445C (zh) * | 2001-09-29 | 2004-11-24 | 华为技术有限公司 | 一种pc客户端的安全认证方法 |
-
2010
- 2010-12-24 CN CN 201010606479 patent/CN102075567B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553341A (zh) * | 2003-06-08 | 2004-12-08 | 华为技术有限公司 | 基于客户端的网络地址分配方法 |
| CN101764808A (zh) * | 2009-12-22 | 2010-06-30 | 中国联合网络通信集团有限公司 | 自动登录的认证处理方法、服务器和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102075567A (zh) | 2011-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| CN107534651B (zh) | 用于传送会话标识符的方法及设备 | |
| CN101369893B (zh) | 一种对临时用户进行局域网络接入认证的方法 | |
| US7624181B2 (en) | Techniques for authenticating a subscriber for an access network using DHCP | |
| CN100591013C (zh) | 实现认证的方法和认证*** | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| US9344417B2 (en) | Authentication method and system | |
| US10250581B2 (en) | Client, server, radius capability negotiation method and system between client and server | |
| WO2016106560A1 (zh) | 一种实现远程接入的方法、装置及*** | |
| CN102271134B (zh) | 网络配置信息的配置方法、***、客户端及认证服务器 | |
| US9648650B2 (en) | Pairing of devices through separate networks | |
| CN111194035B (zh) | 一种网络连接方法、装置和存储介质 | |
| CN103916853A (zh) | 一种无线局域网中接入节点的控制方法及通信*** | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及*** | |
| CN101715009A (zh) | 一种安全的地址分配方法、检测装置、设备和*** | |
| CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证*** | |
| CN109962781B (zh) | 一种数字证书分发装置 | |
| CN101207475A (zh) | 一种网络***的防止非授权连结方法 | |
| CN106453400B (zh) | 一种认证方法及*** | |
| WO2009012729A1 (fr) | Procédé, système et dispositif de conversion d'authentification d'accès à un réseau | |
| CN102883265B (zh) | 接入用户的位置信息发送和接收方法、设备及*** | |
| CN102271125B (zh) | 跨设备进行802.1x认证的方法及接入设备、接入控制设备 | |
| CN102447710A (zh) | 一种用户访问权限控制方法及*** | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201217 Address after: 200030 full floor, 4 / F, 190 Guyi Road, Xuhui District, Shanghai Patentee after: Shanghai Ruishan Network Co., Ltd Address before: 100036 Beijing Haidian District City 33 Fuxing Road Cuiwei East 1106 Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |