本发明专利技术公开了一种实现接入网源地址验证的Web认证方法,包括:接入网控制设备获取用户从DHCP服务器得到的DHCP报文,该报文包括用户使用的合法IP地址,接入网控制设备记录下用户的IP地址,用户进行http请求,接入网控制设备将用户请求重定向至Web认证服务器,用户将身份认证信息及IP地址发送至Web认证服务器进行Web认证,Web认证服务器与DHCP服务器进行交互,将获得的IP地址与DHCP服务器中真实分配的地址进行比较确认后,Web认证服务器发送认证通过信息至接入网控制设备,接入网控制设备打开用户访问网络权限。通过上述方案,实现了一种更为安全可靠的接入网源地址验证及安全认证管理。
【技术实现步骤摘要】
一种实现接入网源地址验证的Web认证方法与系统
本专利技术涉及网络安全
,具体涉及一种实现接入网源地址验证的Web认证方法与系统。
技术介绍
网络的迅速发展给网络的管理与安全带来了许多新的挑战,为了实现对网络的有效管理,控制用户的网络接入、防止未授权用户使用网络,对用户进行接入认证是接入网络管理与安全的关键技术。随着科学技术的快速发展,各种智能移动终端(如智能手机、平板电脑)越来越普及,对接入网认证技术提出了更高的要求和挑战,传统的接入网认证方法流程,用户终端通过无线网络接入互联网,接入网控制设备通过向Web认证服务器发送http请求,使用户终端获得Web认证页面,用户通过填写相应的用户名密码提交到Web认证端进行认证,认证通过后,用户终端获得上网权限,在用户上网的过程中,若用户关闭Web认证页面,则视为用户下线,Web认证服务器向接入控制设备发送下线通知。近年来,由于各种智能移动终端的普及,操作系统的多种多样,休眠模式、省电模式等工作方式复杂化,使得用户认证过程具体的实现也各不相同,大量的源地址伪造攻击,对传统的接入网认证技术提出了更高的要求和挑战。
技术实现思路
本专利技术的目的是针对上述现有技术的不足,提供了一种实现接入网源地址验证的Web认证方法,通过DHCP服务器与Web认证服务器相结合的方法,将用户终端源地址的真实性交由Web认证服务器来确认,实现了用户终端设备访问网络的安全性。本专利技术的另一目的在于提供一种实现接入网源地址验证的Web认证系统。本专利技术的目的可以通过如下技术方案实现:一种实现接入网源地址验证的Web认证方法,所述方法包括以下步骤:步骤S1、用户终端通过接入网控制设备接入网络,通过DHCP协议与DHCP服务器通信获得基本的网络配置信息,接入网控制设备将其中的合法IP地址进行绑定存储;步骤S2、用户终端发起http请求,接入网控制设备对其进行重定向至Web认证服务器,同时将步骤S1中用户终端所获取的IP地址一并传送给Web认证服务器;步骤S3、Web认证服务器通过与DHCP服务器进行交互,确认用户终端所使用的IP地址真实分配,同时返回认证页面给用户终端,用户终端完成认证信息输入后,由Web认证服务器对用户进行最终认证,若认证通过,将消息发送至接入网控制设备,否则继续执行步骤S3;步骤S4、接入网控制设备在收到Web认证服务器的通过认证消息后,打开接入用户的网络访问权限;步骤S5、用户获取到认证成功的页面后,显示基本在线信息,并与Web认证服务器保持定时联系;步骤S6、用户正常下线,Web认证服务器对用户终端进行下线处理。进一步地,所述步骤S3的具体过程为:Web认证服务器向用户终端返回认证页面,用户终端在认证页面上输入用户名和密码,Web认证服务器通过查询用户数据库对用户进行认证,并与DHCP地址分配服务器验证用户IP地址的真实合法性,如所有检查通过,则Web认证服务器发送认证通过信息给接入网控制设备;如果用户未通过检查,则继续执行步骤S3。进一步地,所述步骤S4的具体过程为:Web认证服务器确定用户终端认证信息通过后,向接入网控制设备发送认证成功通知,接入网控制设备收到Web认证服务器的认证通过信息后,根据下发的授权信息,更新维护的访问控制列表,设置对应的数据报文过滤规则,允许符合对应IP、MAC、VLAN、PORT的数据报文通过,使用户终端能够正常访问网络,并实现对所有用户报文的IP、MAC、PORT、VLAN的绑定过滤。进一步地,所述步骤S5的具体过程为:Web认证服务器返回用户终端认证成功页面,用户能够正常使用网络,认证成功后用户终端认证页面显示基本在线信息,并与Web认证服务器保持定时联系,一方面,Web认证服务器中设置好认证页面的心跳(在线)超时时间,当用户终端认证通过后,Web认证服务器将设置好的心跳时间发送给用户终端,用户终端在保留Web认证页面的同时,根据这一心跳时间定时周期地向Web认证服务器发送在线信息,另外,此定时周期时间小于所设置的认证页面的心跳(在线)超时时间;另一方面,Web认证服务器与DHCP服务器进行交互,定时对用户终端是否在线进行轮询,实时判断用户在线信息,解决当用户意外关闭在线认证页面时,Web认证服务器将无法获取认证页面所发送的在线信息,而通过查询DCHP服务器的信息,控制用户的网络访问权限,提高整个认证系统的稳定性。进一步地,所述步骤S6的具体过程为:当Web认证服务器检测到接入用户终端下线后,Web认证服务器记录用户的下线信息,并通知接入网控制设备,接入网控制设备收到用户下线的信息后进行相应的操作,使下线后用户终端返回未认证前网络使用受限的状态。本专利技术的另一目的可以通过如下技术方案实现:一种实现接入网源地址验证的Web认证系统,所述系统包括:提供传统命令行配置界面功能的CLI界面管理模块、通过SNMP协议对接入网控制设备进行远程管理的SNMP管理模块、监控接入控制系统的整体运行状态,根据策略在控制系统出现异常时执行相应操作,提高接入网控制设备的稳定性和可用性功能的系统监控模块、以及提供与Web认证结合的接入网源地址验证功能的源地址验证模块。进一步地,所述CLI界面管理模块能够使用串行接口、telnet或者ssh等方式连接至接入网控制设备,通过命令行模式界面进行配置。进一步地,所述源地址验证模块包括:对源地址验证模块实施整体协调控制功能的整体控制模块、提取多元组绑定信息,并调用绑定表模块的接口插入多元组绑定信息的捕包模块、存储和维护多元组绑定信息,并根据这些信息执行逻辑操作的绑定表模块、对用户终端的报文进行实际底层操作的执行模块、实现各个模块间通信的通信模块、以及提供基于接入网控制设备Web认证功能的Web认证模块。进一步地,所述多元组包括MAC、IP、PORT和VLAN,所述绑定表模块内部维护一份绑定表,包括MAC、IP、PORT、VLAN、ACLSN、认证状态信息,所述执行模块使用ACL机制实现报文的过滤操作,支持使用IP、MAC、PORT、VLAN过滤报文。进一步地,所述Web认证模块包括:对非以本控制设备为目的地址的HTTP协议数据包进行处理,实现伪装目的主机响应功能的地址转换模块、以及利用HTTP协议本身提供的重定向方法,通过利用本控制设备内的嵌入式HTTP服务器和动态脚本响应用户终端HTTP请求,使其重定向到认证页面的HTTP重定向模块。本专利技术与现有技术相比,具有如下优点和有益效果:1、本专利技术通过在Web认证的流程中识别和验证用户终端的真实IP地址,保证了对接入网安全性的有效管理。2、本专利技术利用DHCP服务器的查询接口,获取用户真实分配的IP地址,保证了用户源IP地址的真实合法性,同时在Web认证服务器上进行用户名密码的身份信息认证,降低了对接入控制设备的硬件要求,实现接入网源地址验证及Web认证,提高了接入网认证系统的可靠安全性。附图说明图1为传统的接入网认证方法流程图。图2为本专利技术实施例2的一种实现接入网源地址验证的Web认证系统的模块示意图。图3为本专利技术实施例2的一种实现接入网源地址验证的Web认证系统执行认证时的信息交互示意图。具体实施方式下面结合实施例及附图对本专利技术作进一步详细的描述,但本专利技术的实施方式不限于本文档来自技高网...
【技术保护点】
一种实现接入网源地址验证的Web认证方法,其特征在于,所述方法包括以下步骤:步骤S1、用户终端通过接入网控制设备接入网络,通过DHCP协议与DHCP服务器通信获得基本的网络配置信息,接入网控制设备将其中的合法IP地址进行绑定存储;步骤S2、用户终端发起http请求,接入网控制设备对其进行重定向至Web认证服务器,同时将步骤S1中用户终端所获取的IP地址一并传送给Web认证服务器;步骤S3、Web认证服务器通过与DHCP服务器进行交互,确认用户终端所使用的IP地址真实分配,同时返回认证页面给用户终端,用户终端完成认证信息输入后,由Web认证服务器对用户进行最终认证,若认证通过,将消息发送至接入网控制设备,否则继续执行步骤S3;步骤S4、接入网控制设备在收到Web认证服务器的通过认证消息后,打开接入用户的网络访问权限;步骤S5、用户获取到认证成功的页面后,显示基本在线信息,并与Web认证服务器保持定时联系;步骤S6、用户正常下线,Web认证服务器对用户终端进行下线处理。
【技术特征摘要】
1.一种实现接入网源地址验证的Web认证方法,其特征在于,所述方法包括以下步骤:步骤S1、用户终端通过接入网控制设备接入网络,通过DHCP协议与DHCP服务器通信获得基本的网络配置信息,接入网控制设备将其中的合法IP地址进行绑定存储;步骤S2、用户终端发起http请求,接入网控制设备对其进行重定向至Web认证服务器,同时将步骤S1中用户终端所获取的IP地址一并传送给Web认证服务器;步骤S3、Web认证服务器通过与DHCP服务器进行交互,确认用户终端所使用的IP地址真实分配,同时返回认证页面给用户终端,用户终端完成认证信息输入后,由Web认证服务器对用户进行最终认证,若认证通过,将消息发送至接入网控制设备,否则继续执行步骤S3;步骤S4、接入网控制设备在收到Web认证服务器的通过认证消息后,打开接入用户的网络访问权限;步骤S5、用户获取到认证成功的页面后,显示基本在线信息,并与Web认证服务器保持定时联系;步骤S6、用户正常下线,Web认证服务器对用户终端进行下线处理。2.根据权利要求1所述的一种实现接入网源地址验证的Web认证方法,其特征在于:所述步骤S3的具体过程为:Web认证服务器向用户终端返回认证页面,用户终端在认证页面上输入用户名和密码,Web认证服务器通过查询用户数据库对用户进行认证,并与DHCP地址分配服务器验证用户IP地址的真实合法性,如所有检查通过,则Web认证服务器发送认证通过信息给接入网控制设备;如果用户未通过检查,则继续执行步骤S3。3.根据权利要求1所述的一种实现接入网源地址验证的Web认证方法,其特征在于:所述步骤S4的具体过程为:Web认证服务器确定用户终端认证信息通过后,向接入网控制设备发送认证成功通知,接入网控制设备收到Web认证服务器的认证通过信息后,根据下发的授权信息,更新维护的访问控制列表,设置对应的数据报文过滤规则,允许符合对应IP、MAC、VLAN、PORT的数据报文通过,使用户终端能够正常访问网络,并实现对所有用户报文的IP、MAC、PORT、VLAN的绑定过滤。4.根据权利要求1所述的一种实现接入网源地址验证的Web认证方法,其特征在于:所述步骤S5的具体过程为:Web认证服务器返回用户终端认证成功页面,用户能够正常使用网络,认证成功后用户终端认证页面显示基本在线信息,并与Web认证服务器保持定时联系,一方面,Web认证服务器中设置好认证页面的心跳超时时间,当用户终端认证通过后,Web认证服务器将设置好的心跳时间发送给用户终端,用户终端在保留Web认证页面的同时,根据这一心跳时间定时周期地向Web认证服务器发送在线信息,另外,此定时周期时间小于所设置的认证页面的心跳超时时...
【专利技术属性】
技术研发人员:张凌,丁超文,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。