专利名称::一种二次认证方法及系统的制作方法
技术领域:
:本发明涉及802.1x协议的认证和WebPortal认证技术,特别是涉及当管理者需要根据用户的访问权限进行限制,认证服务器需要区分用户的访问区域即内外网时,以便认证服务器采取内外网不同的计费策略进行计费的一种二次认证方法及系统。
背景技术:
:校园网和企业网可以通过802.1x和WebPortal等多种方式进行用户认证,但如果只进行一种认证很难区分用户的访问区域即内外网;这样认证计费服务器就很难根据用户的内外网分别计费的需求进行计费。目前802.1X用户认证成功的消息流程图,如图2所示,包括如下详细步步骤201,客户端向接入设备发送一EAPoL开始报文,开始802.1x认证接入;步骤202,接入设备向客户端发送EAPIdentity身份请求报文,要求客户端将用户名送上来;步骤203,客户端回应一EAPIdentity身份应答报文给接入设备的请求,其中包括用户名;步骤204,接入设备将EAPIdentity身份应答报文封装到远程认证拨号用户服务(RADIUS)接入请求报文中,发送给认证服务器;步骤205,认证服务器产生质询报文并将其发送到接入设备;步骤206,接入设备通过EAP请求报文将RADIUS接入MD5Challenge质询报文发送给客户端,要求客户端进行认证;步骤207,客户端收到EAPMD5Challenge质询请求报文后,将用户的密码和质询报文做加密算法处理后的质询密码,以EAP应答报文回应给接入设备;步骤208,接入设备将质询报文、质询密码和用户名一起发送到认证服务器,由认证服务器进行认证步骤209,若认证成功,认证服务器回应认证成功报文到接入设备;步骤210,接入设备向客户端发送EAPOL-Success成功报文,连通受控端口,网络认证流程结束。Portal认证过程的消息流程图,如图1所示,以用户上线Chap认证流程为例,具体流程如下-1.用户访问网站,经过接入认证设备重定向到Web认证服务器,Web认证服务器推送认证页面;2.用户填入用户名、密码,提交页面,向Web认证服务器发起连接请求;3.Web认证服务器向接入认证设备请求Challenge;4.接入认证设备分配Challenge给Web认证服务器;5.Web认证服务器向接入认证设备发起认证请求;6.而后接入认证设备进行RADIUS认证,获得RADIUS认证结果;7.接入认证设备向Web认证服务器送认证结果;8.Web认证服务器将认证结果填入页面,和门户网站一起推送给客户;9.Web认证服务器回应确认收到认证结果的报文。
发明内容为了解决上述问题,本发明提供了一种二次认证方法及系统,其目的在于,提供一种可以区分用户的访问区域即内外网的方法及系统,用户根据访问资源的需要进行相应的认证方法,即给用户提供可以选择二次认证的模式。本发明提供了一种二次认证方法,具有以下步骤用户上线时,先进行内部网络认证,然后进行外部网络认证,用于对用户使用内部网络的计费策略进行计费;用户下线时,先进行外部网络认证,然后进行内部网络认证,用于对用户使用外部网络的计费策略进行计费。所述内部网络认证通过S02.1x的方式进行认证,所述外部网络认证通过WebPortal的方式进行认证。用户上线时,还包括具体如下步骤步骤31、认证服务器回应认证成功报文到接入设备,并将Portal认证的页面和端口信息置于成功报文的数据域中;步骤32、接入设备向客户端发送EAPOL-Success成功报文,将Portal认证的页面和端口信息置于成功报文的数据域中,连通受控端口,运行客户端访问内部网络资源,内部网络认证结束。用户上线时,所述外部网络认证包括如下具体步骤步骤41、二次认证客户端根据802.1x返回的Portal认证通用资源定位符和端口信息,通过远程登录、超文本传输协议或安全超文本传输协议方式访问Web认证服务器以获取认证页面;步骤42、Web认证服务器的Portal认证页面请求用户的用户名和密码等用户标识信息;步骤43、二次认证客户端将802.1x认证时保存的用户名和密码等用户标识信息,通过远程登录、超文本传输协议或安全超文本传输协议方式发送到Web认证服务器,以等待Web认证服务器的认证;步骤44、Web认证服务器向外网认证设备发起请求认证,然后等待外网认证设备与验证、授权、计费(AAA)认证服务器完成Radius交互过程;步骤45、外网认证设备通过与认证服务器的交互,向Web认证服务器返回认证结果;步骤46、Web认证服务器将认证结果返回到二次认证客户端,所述外部网络认证结束。当EAPoL包所传送的包类型是EAP-Packet时,对EAPoL包进行扩展,具体步骤是将EAPoL包的包数据部分进一步分为编码域、标识符域、数据长度域和数据域四个部分。所述编码域表征所传送的EAP-Packet的报文类型是EAP-Request、EAP-Response、EAP-Success或EAP-Failure;所述标识符域用于辅助应答报文匹配对应请求报文的域;所述数据长度域为包含编码域、标识符域、数据长度域和数据域的数据长度;所述数据域用于发送Portal认证的页面和端口信息。本发明提供了一种二次认证系统,包括个人电脑、内网接入认证设备、外网接入认证设备、因特网、Web认证服务器和验证、授权、计费认证服务器,所述个人电脑与所述内网接入认证设备连接,用于对用户进行内部网络认证;所述内网接入认证设备与所述外网接入认证设备连接,用于接收外部网络认证请求和返回外部网络认证结果;所述外网接入认证设备连接与所述因特网连接,用于使外部网络认证成功的用户接入外部网络;所述Web认证服务器和与所述外网接入认证设备连接,用于接收用户的请求信息和返回所述认证结果;所述验证、授权、计费认证服务器与所述外网接入认证设备连接,用于对用户进行认证。所述内网接入认证设备连接多个所述个人电脑。多个所述所述内网接入认证设备之间互相连接,其中之一与所述外网接入认证设备连接。本发明是通过将现有的802.1x认证和Portal认证相结合的二次认证的方法,达到管理员对内外网资源分别控制的目的,以不同权限控制用户对内外网资源的访问,并提供了一种区分用户访问的内外网资源的方法及系统,可以根据用户访问资源时的接入设备IP地址来达到根据不同的计费策略进行计费。图1是现有的Portal认证示意图2是现有的802.1x的认证过程的消息流程图3是本发明的结合802.1x认证过程和Portal认证进行二次认证的消息流程图4是本发明的二次认证的系统示意图;图5是本发明的客户端的上线认证处理的流程示意图;图6是本发明的客户端的下线认证处理的流程示意图;图7是EAPoL包和EAP-Packet的格式示意图。具体实施例方式本发明的目的在于提供一种可以区分用户的访问区域即内外网的方法,用户根据访问资源的需要进行相应的认证方法,即给用户提供可以选择二次认证的模式如用户选择只认证内网则只需要进行802.1X认证结束;或者同时认证内外网的要求则由客户端自动完成二次认证即顺序进行802.lx和WebPortal认证,通过802.1x认证成功后向用户传送Portal认证页面进行Portal认证,然后认证服务器可以根据内网的802.1x认证和外网的Portal认证的接入设备NAS的IP地址来区分用户的资源访问,这样认证服务器就可以根据用户的认证方式及相应的计费策略分别进行计费。针对不同的用户采取不同的计费策略,如对内网进行按时间计费,而对外网进行按流量计费;或者都按时间计费,但是计费的费率不同的方式。为实现本发明的上述目的,提供802.1x和WebPortal认证的系统的示意图如图4所示,个人电脑(PC)401与内网接入认证设备402连接,多个内网接入认证设备402之间互相连接,其中一个内网接入认证设备402与外网接入认证设备403连接,外网接入认证设备403与因特网(Internet)404连接,Web认证服务器405和验证、授权、计费(AAA)认证服务器406同时外网接入认证设备403连接。与在完成现有的S02.1x认证成功过程即实现了内网上线的情况下,才能进行Portal认证以实现外网上线的情况如图3所示,技术方案的实现需要以下步骤在认证服务器向用户发送S02.1x认证成功报文时,认证服务器通过将后台需要进行的第二次Portal认证的通用资源定位符(URL)地址和端口信息置于成功报文中,通过接入设备向用户发送Portal认证信息,然后客户端通过远程登录(tdnet)、超文本传输协议(http)或安全超文本传输协议(https)方式在后台获取Portal认证URL信息,获取Portal认证请求信息,然后客户端通过tdnet、http或https方式将第一次认证时用户输入的用户名和密码按指定格式发送到Portal认证页面,等待外网接入设备与认证服务器的交互并等待认证返回结果。其中该方法进一步包括,在用户需要内外网下线的情况时(如图6所示):在用户认证成功后,客户端提供给用户两种下线方式即外网下线,内外网下线。外网下线只需要完成Portal认证下线过程,而内外网下线则需要先完成Portal认证下线后完成802.1x下线过程。由上述方法可以看出,本发明是通过将现有的802.1x认证和Portal认证相结合的二次认证的方法,达到管理员对内外网资源分别控制的目的,以不同权限控制用户对内外网资源的访问,并提供了一种区分用户访问的内外网资源的方法,即认证服务器根据用户802.1x认证时的内网认证接入设备的IP地址和Portal认证时的外网认证接入设备的IP地址达到区分用户访问资源的方法,这样认证服务器就可以根据用户访问资源时的接入设备IP地址来达到根据不同的计费策略进行计费的目的。本发明同时利用了现有的EAP-Success报文,对EAP-Success报文的格式进行扩展,即在EAP-Success报文中定义了第二次认证的Portal认证页面和端口信息。使用二次认证客户端的方法,不仅提供了一种让认证服务器可以区分用户的访问资源即根据不同认证方法对应不同的内外网认证接入设备的IP地址,以便计费服务器可以根据用户内外网的访问资源和访问内外网时需要不同的计费策略以达到进行分别计费的目的,同时并解决了用户使用方便性的问题即需要用户一次性输入用户名和密码就可以完成两次认证,第二次认证过程只在后台进行,以图形界面反馈给用户两次认证的结果。下面对上述各部分进行详细说明。本发明是通过将802.1x认证和Portal认证过程的统一,以控制对内外网资源的访问,并且认证服务器可以根据不同的内外网计费策略分别计费。同时利用了现有的EAP-Success报文,对EAP-Success报文的格式进行扩展,即在EAP-Success报文中定义了第二次认证的Portal认证页面和端口信息,将Portal认证页面信息传送给二次认证客户端。二次认证是实现了802.1x认证和Portal认证过程的结合,二次认证过程上线认证的情况参见图3所示,具体的认证处理过程如下步骤301-308,与现有技术中的步骤201到208完全相同,首先由客户端将用户名和密码提交给接入设备,接入设备将用户名和密码提交给认证服务器,若认证失败,认证服务器通过接入设备将EAPFailure报文发送给客户端;若认证成功,则执行步骤309。步骤309,认证服务器回应认证成功报文到接入设备,并将Portal认证的页面和端口信息置于成功报文的数据域中;步骤310,接入设备向客户端发送EAPOL-Success成功报文,将Portal认证的页面和端口信息置于成功报文的数据域中,连通受控端口,运行客户端访问内部网络资源,内部网络认证流程结束。然后二次认证客户端根据用户的选择是否进行外网认证,如不需要外网认证,则认证过程结束,而用户只能访问内部网络资源;如需要访问外部网络资源,则需要二次认证客户端在后台进行第二次即Portal认证过程,这里具体的认证处理过程如下-步骤311,二次认证客户端根据802.lx返回的Portal认证URL和端口信息,通过telnet、http或https方式访问Web认证服务器以获取认证页面;步骤312,Web认证服务器的Portal认证页面请求用户的用户名和密码等用户标识信息;步骤313,二次认证客户端将802.1x认证时保存的用户名和密码等用户标识信息,通过telnet、http或https方式发送到Web认证服务器,以等待Web认证服务器的认证;步骤314,Web认证服务器向外网认证设备发起请求认证,然后等待外网认证设备与AAA认证服务器完成Radius交互过程(跟内网认证设备与AAA认证服务器的交互过程相同);步骤315,外网认证设备通过与认证服务器的交互,向Web认证服务器返回认证结果;步骤316,Web认证服务器将认证结果返回到二次认证客户端,认证流程结束。图5是二次认证客户端的上线认证流程的情况。客户端501根据用户选择是否进行外网认证首先进行802.1x认证过程502,判断802.1x是否认证成功503,完成后把认证结果反馈给用户,如认证失败504或通过判断用户是否启用外网认证505得知用户不需进行外网认证,则内网认证结束506;否则客户端利用802.1x认证成功报文中携带的Portal认证页面,同时利用二次认证客户端的802.1x中的用户名和密码,通过telnet、http或https方式通过外网认证设备发送给Web认证服务器507,判断Portal是否认证成功508,并把提示用户认证失败509或者提示用户认证成功510的Portal认证结果反馈给用户。客户端提供给用户两种下线方式即外网下线,内外网下线。外网下线只需要完成Portal认证下线过程,而内外网下线则需要先完成Portal认证下线后完成802.1x下线过程。图6是在用户需要内外网下线的情况,客户端601在用户认证成功后602,需要先完成Portal认证下线后603完成802.1x下线过程604。图7是EAPoL(基于局域网的扩展认证协议)包和EAP-Packet(扩展认证协议的Packet报文)的格式示意图。EAPoL包由目的MAC地址、源MAC地址、以太网PAE报文类型(PAE报文值为2)、EAP协议版本号(0x01)、包类型(EAPoL报文类型如图7所示,此字段用于指示包所传输的数据类型,如传输的数据类型为EAP-Packet时,取值0)、包长度(不包含包的头部数据)及包数据等字段组成。如图7所示,本发明中的EAPSuccess报文数据内容填充EAP-Packet报文类型(EAP-Packet的报文类型如表1所示)为EAPSuccess,则值为3。标识符域(Identifier)为辅助匹配Response应答,即辅助应答报文匹配对应请求报文的域。数据长度域(Length)为包含编码域(Code)、标识符域(Identifier)、数据长度域(Length)及后面数据域(Data)的数据长度,将Portal认证的页面和端口信息填入Data域。表1是EAPoL包中的包类型域取值示意。如图7,当传输的包类型为EAP-Packet(认证信息帧,用于承载认证信息)时,包类型域取值为0;当传输的包类型为EAPOL-Start(认证发起帧,Supplicant和Authenticator均可以发起)时,包类型域取值为h当传输的包类型为EAPOL-Logoff(退出请求帧,可主动终止己认证状态)时,包类型域取值为2;当传输的包类型为EAPOL-Key(密钥信息帧,支持对EAP报文的加密)时,包类型域取值为3;当传输的包类型EAPOL-Encapsulated-ASF-Alert(用于支持AlertStandardForumASF的Alerting消息)时,包类型域取值为4。表2是EAP-Packet包中的数据类型域取值示意。如表1,当EAP-Packet的报文类型为EAP-Request时,取值为1;报文类型为EAP-Response时,取值为2;报文类型为EAP-Success时,取值为3;报文类型为EAP-Failure时,取值为4。表lEAPoL包中的包类型域取值<table>tableseeoriginaldocumentpage11</column></row><table><table>tableseeoriginaldocumentpage12</column></row><table>综上所述,本发明是通过将现有的802.1x认证和Portal认证相结合的二次认证的方法,达到管理员对内外网资源分别控制的目的,以不同权限控制用户对内外网资源的访问,并提供了一种区分用户访问的内外网资源的方法及系统,可以根据用户访问资源时的接入设备IP地址来达到根据不同的计费策略进行计费。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明,而是由权利要求书的范围来确定的。权利要求1.一种二次认证方法,其特征在于,具有以下步骤用户上线时,先进行内部网络认证,然后进行外部网络认证,用于对用户使用内部网络的计费策略进行计费;用户下线时,先进行外部网络认证,然后进行内部网络认证,用于对用户使用外部网络的计费策略进行计费。2.如权利要求1所述的二次认证方法,其特征在于,所述内部网络认证通过802.1x的方式进行认证,所述外部网络认证通过WebPortal的方式进行认证o3.如权利要求2所述的二次认证方法,其特征在于,用户上线时,还包括具体如下步骤步骤31、认证服务器回应认证成功报文到接入设备,并将Portal认证的页面和端口信息置于成功报文的数据域中;步骤32、接入设备向客户端发送EAPOL-Success成功报文,将Portal认证的页面和端口信息置于成功报文的数据域中,连通受控端口,运行客户端访问内部网络资源,内部网络认证结束。4.如权利要求3所述的二次认证方法,其特征在于,用户上线时,所述外部网络认证包括如下具体步骤步骤41、二次认证客户端根据802.1x返回的Portal认证通用资源定位符和端口信息,通过远程登录、超文本传输协议或安全超文本传输协议方式访问Web认证服务器以获取认证页面;步骤42、Web认证服务器的Portal认证页面请求用户的用户名和密码等用户标识信息;步骤43、二次认证客户端将802.1x认证时保存的用户名和密码等用户标识信息,通过远程登录、超文本传输协议或安全超文本传输协议方式发送到Web认证服务器,以等待Web认证服务器的认证;步骤44、Web认证服务器向外网认证设备发起请求认证,然后等待外网认证设备与验证、授权、计费认证服务器完成远程认证拨号用户服务交互过程;步骤45、外网认证设备通过与认证服务器的交互,向Web认证服务器返回认证结果;步骤46、Web认证服务器将认证结果返回到二次认证客户端,所述外部网络认证结束。5.如权利要求4所述的二次认证方法,其特征在于,当EAPoL包所传送的包类型是EAP-Packet时,对EAPoL包进行扩展,具体步骤是将EAPoL包的包数据部分进一步分为编码域、标识符域、数据长度域和数据域四个部分。6.如权利要求5所述的二次认证方法,其特征在于,所述编码Code域表征所传送的EAP-Packet的报文类型是EAP-Request、EAP-Response、EAP-Success或EAP-Failure;所述标识符域用于辅助应答报文匹配对应请求报文的域;所述数据长度域为包含编码域、标识符域、数据长度域和数据域的数据长度;所述数据域用于发送Portal认证的页面和端口信息。7.—种二次认证系统,包括个人电脑、内网接入认证设备、外网接入认证设备、因特网、Web认证服务器和验证、授权、计费认证服务器,其特征在于,所述个人电脑与所述内网接入认证设备连接,用于对用户进行内部网络认证;所述内网接入认证设备与所述外网接入认证设备连接,用于接收外部网络认证请求和返回外部网络认证结果;所述外网接入认证设备连接与所述因特网连接,用于使外部网络认证成功的用户接入外部网络;所述Web认证服务器和与所述外网接入认证设备连接,用于接收用户的请求信息和返回所述认证结果;所述验证、授权、计费认证服务器与所述外网接入认证设备连接,用于对用户进行认证。8.如权利要求7所述的二次认证系统,其特征在于,所述内网接入认证设备连接多个所述个人电脑。9.如权利要求8所述的二次认证系统,其特征在于,多个所述所述内网接入认证设备之间互相连接,其中之一与所述外网接入认证设备连接。全文摘要本发明涉及一种二次认证方法,具有以下步骤用户上线时,先进行内部网络认证,然后进行外部网络认证,用于对用户使用内部网络的计费策略进行计费;用户下线时,先进行外部网络认证,然后进行内部网络认证,用于对用户使用外部网络的计费策略进行计费。本发明是通过将现有的802.1x认证和Portal认证相结合的二次认证的方法,达到管理员对内外网资源分别控制的目的,以不同权限控制用户对内外网资源的访问,并提供了一种区分用户访问的内外网资源的方法及系统,可以根据用户访问资源时的接入设备IP地址来达到根据不同的计费策略进行计费。文档编号H04L9/32GK101163000SQ200610113760公开日2008年4月16日申请日期2006年10月13日优先权日2006年10月13日发明者峰严,卢应华,黄小华申请人:中兴通讯股份有限公司