CN105072129B - 认证方法和*** - Google Patents
认证方法和*** Download PDFInfo
- Publication number
- CN105072129B CN105072129B CN201510536318.6A CN201510536318A CN105072129B CN 105072129 B CN105072129 B CN 105072129B CN 201510536318 A CN201510536318 A CN 201510536318A CN 105072129 B CN105072129 B CN 105072129B
- Authority
- CN
- China
- Prior art keywords
- user
- association
- authentication
- authentication information
- unicast message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及通信领域,公开了认证方法和***。该***包括:DUT设备,被设置为拦截单播报文;路由管理模块,被设置为根据存储的与用户关联的认证信息发送被拦截的单播报文,其中,根据在与用户关联的认证信息确定用户未通过认证的情况下,所述路由管理模块被配置为将该用户重定向到认证设备,在根据与用户关联的认证信息确定用户订购的套餐的情况下,将被拦截的单播报文透传到与所述用户对应的计费设备。本发明通过更改现有的认证模式,将流量导入运营商的套餐组合设备,使得用户能够根据自己的需要选择运营商及套餐组合,在为高校用户提供了多样化服务的同时,也可以为运营商导入更多的流量,实现运营商的增值服务。
Description
技术领域
本发明涉及通信领域,具体地,涉及一种认证方法和***以及路由管理模块和方法。
背景技术
随着中国高等教育的发展,高等院校的信息化建设也随着中国高等教育的发展而高速发展起来。为了给高校学生提供随时、随地、随需、无所不在的全新学习环境,高校校园网络中的应用类型逐渐增加,对交互体验也提出了更高的要求。随着网络技术的发展,在网络上传输的数据量也越来越大,如何保证网络的安全以及服务质量成为急需解决的问题,而精细化管理则是高校校园网络的必然选择。
众所周知,网络安全是精细化管理的前提条件,如何实现网络安全和精细化运营是本发明核心技术所在。图1显示了Web认证组网图,在该网络中,核心设备可以通过开启Web认证将全网用户的管理集中起来,从而可以方便网络部署,降低后续监控维护的代价,其中开启认证的设备被我们称为NAS(Network Access Security)设备。用户通过认证以后可以正常访问网络。
图2示出了用户认证的基本流程,其中NAS拦截未认证用户的任何HTTP请求报文,并充当目的网址与用户建立伪连接,将用户重定向到认证服务器,完成认证过程。
然而,由于图1所示的网络结构不能根据不同运营商提供的不同套餐组合来满足日益增长的不同层次客户的不同需求,因此有必要提供一种新的技术方案来使得客户有更多的选择。
发明内容
本发明的目的是提供一种认证方法和***以及路由管理模块和方法,以实现为客户提供不同的套餐组合。
本发明提供了一种认证***,该***包括:DUT设备,被设置为拦截单播报文;路由管理模块,被设置为根据存储的与用户关联的认证信息发送被拦截的单播报文,其中,根据在与用户关联的认证信息确定用户未通过认证的情况下,所述路由管理模块被配置为将该用户重定向到认证设备,在根据与用户关联的认证信息确定用户订购的套餐的情况下,将被拦截的单播报文透传到与所述用户对应的计费设备。
优选地,所述单播报文为HTTP单播报文。
优选地,所述用户订购的套餐从用户的认证响应中获取;所述与用户关联的认证信息存储在用户的认证表项中,所述用户的认证表项通过复制所述用户的路由表项并扩展认证字段得到;其中所述与用户关联的认证信息存储在所述认证字段中。
优选地,所述路由管理模块还通过标识符标识单播报文对应的与用户关联的认证信息。
优选地,所述路由管理模块还被设置为在所述用户被认证后,根据所述标识符得到所述用户订购的套餐以透传所述用户的单播报文。
本发明提供了一种认证方法,该方法包括:拦截单播报文;根据存储的与用户关联的认证信息发送被拦截的单播报文,其中,根据在与用户关联的认证信息确定用户未通过认证的情况下,将该用户重定向到认证设备,在根据与用户关联的认证信息确定用户订购的套餐的情况下,将被拦截的单播报文透传到与所述用户对应的计费设备。
优选地,所述单播报文为HTTP单播报文。
优选地,所述用户订购的套餐从用户的认证响应中获取,所述与用户关联的认证信息存储在用户的认证表项中,所述用户的认证表项通过复制所述用户的路由表项并扩展认证字段得到;其中所述与用户关联的认证信息存储在所述认证字段中。
优选地,该方法还包括:通过标识符标识单播报文对应的与用户关联的认证信息。
优选地,该方法还包括:在所述用户被认证后,根据所述标识符得到所述用户订购的套餐以透传所述用户的单播报文。
本发明通过从认证设备的认证响应中获取用户订购的套餐,并根据用户订购的套餐将流量导入现有运营商的套餐组合设备,从而使得用户能够根据自己的需要选择运营商以及套餐组合,在为高校用户提供了多样化服务的同时,也可以为运营商导入更多的流量,实现运营商的增值服务。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是Web认证组网图;
图2是现有技术中的用户认证流程;
图3是本发明提供的运营商网络部署示意图;
图4是本发明提供的认证流程图;
图5是本发明提供的用户认证表项建立流程图;
图6是本发明提供的路由管理模块示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明中,为了实现为高校用户提供不同的套餐组合,将认证后的用户的流量导入到相应的运营商的计费设备,从而实现本发明的目的。图3示出了运营商的网络部署,未经认证的用户在接入网络时需要通过认证。在本发明中,为了实现提供不同的套餐组合,用户需要首先与运营商签约购买相应的套餐,用户在与运营商签约后,并可以获得认证需要的信息,例如用户名和密码。用户在接入网络时,可以通过例如用户名和密码的认证信息发起Web认证请求,该Web认证请求是HTTP单播报文,被测设备(Device under test,DUT)设备可以截获HTTP单播报文后传送到路由管理模块,路由管理模块查看用户认证表项确认没有与该用户对应的认证表项,由于该用户未经认证,需要通过DUT设备将该用户重定向到认证设备,认证通过后,可以根据认证响应为该用户建立认证表项,其中认证表项中含有表征该用户所订购的套餐的参数,该参数来自于认证响应。可替换地,也可以在路由管理模块发现没有对应的认证表项时,为该用户建立认证表项,将该用户认证表项中与用户所订购的套餐的参数对应的认证字段用默认值表示,该默认值表示该用户尚未通过认证,例如默认值0表示用户没有通过认证,1表示选择了***的套餐,2表示选择***的套餐,3表示选择中国电信的套餐。如上所述,认证表项可以通过与用户对应的路由表项复制以后添加在同一个路由表中,并将与用户对应的路由表项进行扩展得到认证表项,例如添加认证字段,该认证字段可以表征用户是否通过认证,如果通过认证的话,该认证字段还可以表征用户所选择的套餐。由于每个用户具有不同的IP地址,所有可以通过IP地址来区分不同的表项。可替换地,可以将与用户对应的路由表项组成另一个认证表。此外,在认证表项与路由表使用相同的表的情况下,为了便于后续作业,认证表项中还可以扩展单播报文标识,并可以为单播报文建立特定的标识,例如4001,在接收到后续单播报文时,可以先查询该标识,并通过该标识找到所有的单播报文对应的用户,并通过用户的IP地址找到用户订购的套餐对应的参数(即认证字段的值,可以通过该值确定用户选择了哪个运营商的套餐),可以加快搜索的进度。在得到该用户所订购的套餐所对应的参数以后,可以通过DUT设备将单播报文透传到该用户对应的计费设备,从而实现对运营商的流量导入,在满足用户需求的同时,也可以实现运营商为用户提供增值服务。在本发明中,路由管理模块可以与DUT设备集成在一起。
图4示出了本发明提供的一种认证流程图。在该流程中,DUT设备接收到用户发送的单播报文以后(步骤401),将单播报文上传到路由管理模块(步骤403),路由管理模块可以在认证表项中查询该用户是否已经通过认证,可以也就是通过查询是否存在于该用户对应的认证表项来确定用户是否通过认证(步骤405)。如果没有查询到与该用户对应的认证表项,则可以为该用户建立一个认证表项(例如可以复制该用户对应的路由表项并对其进行扩展,例如增加认证字段,还可以增加单播报文标识),并将单播报文发送到认证设备(步骤407),该认证设备可以是Web认证设备,其中为该用户建立的认证表项中与该用户所订购的套餐的参数对应的认证字段设置为默认值(即认证字段的值为默认值0)。随后可以在用户认证通过的情况下,根据认证设备返回的认证响应中所携带的与该用户所订购的套餐对应的参数修改认证表项中相应的认证字段,从而以后的报文可以直接根据该参数透传(步骤409)。如果路由管理模块通过查询发现该用户已经通过认证,则可以读取与该用户所订购的套餐对应的参数(步骤411),即认证字段中除了默认值0以外的值。在确定用户所订购的套餐以后,可以通过DUT设备将该单播报文透传到该用户对应的计费设备(步骤413),该计费设备可以是运营商套餐所连接的业务线卡,多个不同的运营商的套餐业务显卡可以设置于同一个计费设备中,也可以分别位于不同的计费设备中。此后,经过计费的单播报文可以传送到因特网。
此外,还可以在认证表项中,标识用户的类型,例如标识该用户为IPv4类型。因为目前互联网采用的协议分为IPv4和IPv6,根据用户的的类型可以确定用户使用的协议类型,从而能够正确路由该用户的报文。
图5是为用户建立认证表项的流程。在确认用户认证表项中不存在该用户的情况下(步骤501),可以为通过复制该用户的路由表项并增加标识符VRF字段和认证字段classid(步骤503),如上所述,此时认证字段classid的值为默认值,VRF的值可以为预设值,例如4001。路由管理模块建立认证表项以后,可以直接将用户重定向到认证设备,也可以通过查询认证字段classid的值,确认其为默认值后将用户重定向到认证设备(步骤505)。认证设备在对用户进行认证之后,可以在认证响应中携带该用户订购的套餐对应的参数,路由管理模块可以根据用户订购的套餐来设置classid的值。至此,为用户建立认证表项的过程完成,后续数据传输的过程中,可以通过查询classid字段来将用户的数据正确地路由到相应的业务卡。
以上从***的角度阐明了本发明的认证方法以及***。可以看出,路由管理模块在整个流程中处于非常重要的地位,下面从路由管理模块的角度详细说明。
如图6所示,本发明提供的路由管理模块包括存储单元、认证转发单元以及透传单元。对于现代的网络设备而言,存储单元是必不可少的设备,对于本发明而言,该存储单元可以用来存储与用户关联的认证信息,例如可以是表征该用户没有经过认证的默认值(例如0),也可以是用户经过认证并且与该用户订购的套餐对应的参数(例如1、2或3);认证转发单元可以在用户没有经过认证的情况下,将该用户重定向到认证设备,而透传单元可以在用户已经通过认证的情况下,按照用户订购的套餐对应的参数将单播报文透传到相应的计费设备。在本发明中,认证设备可以是Web认证设备。
相应地,本发明还提供了一种路由管理方法,该方法中,如果根据认证信息确定该用户尚未通过认证,则将该用户重定向到认证设备,如果根据认证信息能够确定已经通过认证,并且可以确定用户订购的套餐,则可以将单播报文透传到与所述用户对应的计费设备。认证信息可以是以认证表项的形式存储。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。
Claims (10)
1.一种认证***,其特征在于,该***包括:
DUT设备,被设置为拦截单播报文;
路由管理模块,被设置为根据存储的与用户关联的认证信息发送被拦截的单播报文,其中,根据在与用户关联的认证信息确定用户未通过认证的情况下,所述路由管理模块被配置为将该用户重定向到认证设备,在根据与用户关联的认证信息确定用户订购的套餐的情况下,将被拦截的单播报文透传到与所述用户对应的计费设备;
其中,在所述认证设备上认证通过后,根据认证响应为所述用户建立认证表项,其中,认证表项中含有表征该用户所订购的套餐的参数,该参数来自于认证响应。
2.根据权利要求1所述的***,其特征在于,所述单播报文为HTTP单播报文。
3.根据权利要求1所述的***,其特征在于,所述用户订购的套餐从用户的认证响应中获取;所述与用户关联的认证信息存储在用户的认证表项中,所述用户的认证表项通过复制所述用户的路由表项并扩展认证字段得到;其中所述与用户关联的认证信息存储在所述认证字段中。
4.根据权利要求1-3中任意一项所述的***,其特征在于,所述路由管理模块还通过标识符标识单播报文对应的与用户关联的认证信息。
5.根据权利要求4所述的***,其特征在于,所述路由管理模块还被设置为在所述用户被认证后,根据所述标识符得到所述用户订购的套餐以透传所述用户的单播报文。
6.一种认证方法,其特征在于,该方法包括:
拦截单播报文;
根据存储的与用户关联的认证信息发送被拦截的单播报文,其中,根据在与用户关联的认证信息确定用户未通过认证的情况下,将该用户重定向到认证设备,
在根据与用户关联的认证信息确定用户订购的套餐的情况下,将被拦截的单播报文透传到与所述用户对应的计费设备;其中,在所述认证设备上认证通过后,根据认证响应为所述用户建立认证表项,其中,认证表项中含有表征该用户所订购的套餐的参数,该参数来自于认证响应。
7.根据权利要求6所述的方法,其特征在于,所述单播报文为HTTP单播报文。
8.根据权利要求6所述的方法,其特征在于,所述用户订购的套餐从用户的认证响应中获取,所述与用户关联的认证信息存储在用户的认证表项中,所述用户的认证表项通过复制所述用户的路由表项并扩展认证字段得到;其中所述与用户关联的认证信息存储在所述认证字段中。
9.根据权利要求6至8中任意一项所述的方法,其特征在于,该方法还包括:
通过标识符标识单播报文对应的与用户关联的认证信息。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:
在所述用户被认证后,根据所述标识符得到所述用户订购的套餐以透传所述用户的单播报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510536318.6A CN105072129B (zh) | 2015-08-27 | 2015-08-27 | 认证方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510536318.6A CN105072129B (zh) | 2015-08-27 | 2015-08-27 | 认证方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105072129A CN105072129A (zh) | 2015-11-18 |
| CN105072129B true CN105072129B (zh) | 2018-08-03 |
Family
ID=54501408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510536318.6A Active CN105072129B (zh) | 2015-08-27 | 2015-08-27 | 认证方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105072129B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112104621B (zh) * | 2020-08-31 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种流量管理方法及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101600185A (zh) * | 2009-07-14 | 2009-12-09 | 中国联合网络通信集团有限公司 | 跨网络域增值业务套餐的订购方法、***和业务管理平台 |
| CN102378171A (zh) * | 2010-08-16 | 2012-03-14 | ***通信集团公司 | 自动认证方法及***、Portal服务器、RADIUS服务器 |
| CN104821940A (zh) * | 2015-04-16 | 2015-08-05 | 京信通信技术(广州)有限公司 | 一种发送portal重定向地址的方法及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7551925B2 (en) * | 2005-11-21 | 2009-06-23 | Accenture Global Services Gmbh | Unified directory system including a data model for managing access to telecommunications services |
-
2015
- 2015-08-27 CN CN201510536318.6A patent/CN105072129B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101600185A (zh) * | 2009-07-14 | 2009-12-09 | 中国联合网络通信集团有限公司 | 跨网络域增值业务套餐的订购方法、***和业务管理平台 |
| CN102378171A (zh) * | 2010-08-16 | 2012-03-14 | ***通信集团公司 | 自动认证方法及***、Portal服务器、RADIUS服务器 |
| CN104821940A (zh) * | 2015-04-16 | 2015-08-05 | 京信通信技术(广州)有限公司 | 一种发送portal重定向地址的方法及设备 |
Non-Patent Citations (2)
| Title |
|---|
| 以CNGI-IPv6升级为契机构建下一代校园网;林强等;《中国教育网络》;20110605;全文 * |
| 校园网认证***运维之经验;张洁卉;《中国教育网络》;20140905;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105072129A (zh) | 2015-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1643691B1 (en) | Remote access vpn mediation method and mediation device | |
| CN104104654A (zh) | 一种设置Wifi访问权限、Wifi认证的方法和设备 | |
| CN104158824B (zh) | 网络实名认证方法及*** | |
| CN105162777B (zh) | 一种无线网络登录方法及装置 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和*** | |
| CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
| US10862890B2 (en) | Method and system related to authentication of users for accessing data networks | |
| CN106878135A (zh) | 一种连接方法及装置 | |
| CN107347054A (zh) | 一种身份验证方法和装置 | |
| CN104469762A (zh) | 一种3g/wifi无线路由器用户分级控制方法 | |
| CN108900484A (zh) | 一种访问权限信息的生成方法和装置 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| CN106357601A (zh) | 数据访问方法、装置及*** | |
| CN106559785A (zh) | 认证方法、设备和***以及接入设备和终端 | |
| CN107135506B (zh) | 一种portal认证方法、装置及*** | |
| CN109769249A (zh) | 一种认证方法、***及其装置 | |
| CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN106453349A (zh) | 账号登录方法及装置 | |
| CN109726545A (zh) | 一种信息显示方法、设备、计算机可读存储介质和装置 | |
| CN104469770B (zh) | 面向第三方应用的wlan认证方法、平台和*** | |
| CN106954212A (zh) | 一种Portal认证方法及*** | |
| CN107707560B (zh) | 认证方法、***、网络接入设备及Portal服务器 | |
| CN105072129B (zh) | 认证方法和*** | |
| CN108834146A (zh) | 一种终端与认证网关之间的双向身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |