一种可扩展的分布式wlan网络用户认证方法

专利名称：一种可扩展的分布式wlan网络用户认证方法
技术领域：
本发明涉及一种网络用户认证方法，特别是涉及了ー种可扩展、分布式的网络用户认证方法。
背景技术：
传统的网络用户认证系统构架是由多个802. Ix网关设备和ー个或者多个RADIUS服务器组成的。802. Ix为IEEE Std 802. 1χ-2001基于端ロ的访问控制协议，可以克服PPPoE (point-to-point protocol over ethernet)方式带来的诸多问题，并避免引入宽带接入服务器所帯来的巨大投资。802. Ix协议限制未经授权的用户/设备通过接入端ロ访问LAN/WAN。在获得交換机或LAN提供的各种业务之前，802. Ix对连接到交換机端口上的用户进行认证。在认证通过之前，802. Ix只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交換机端ロ。认证通过以后，正常的数据可以顺利地通过以太网端ロ。802. Ix协议体系结构包括三个重要的部分Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器(即RADIUS服务器)。但是由于传统方式往往需要专线接入来完成，仍然需要较大的投资，不适合中小企业或者特殊场所的部署WLAN网络覆盖。

发明内容
本发明的目的是克服上述背景技术的不足，提供ー种WLAN网络用户认证方法，该方法应具有投资小、用户使用便利的特点。
本发明提供的技术方案是ー种可扩展的分布式WLAN网络用户认证方法，依次包括以下步骤
1)按以下方式建立可扩展的网络用户认证系统多个认证网关均通过外网直接与存储全部用户信息的用户管理服务器连接，而无线用户终端通过无线AP在其中的ー个认证网关进入认证流程；
2)用户管理服务器通过外网IP和端ロ映射表组织认证网关生成P2P网络，并由各个认证网关通过彼此之间的TCP长连接组成虚拟统ー认证网关。所述步骤2)中的虚拟统一认证网关的组成方式是
每ー个认证网关在固定时间向用户管理服务器发送同步TCP报文，用户管理服务器将每ー个认证网关的外部IP和端ロ记录至ー张映射表中；
用户管理服务器在收到每ー个认证网关的同步TCP报文后发送回执；
每ー个认证网关收到回执后，存储或者更新自身的映射表，然后根据映射表向相应ID的认证网关建立TCP长连接。所述步骤I)中的认证流程是
401步骤当无线用户终端接入网络；
402步骤认证网关向用户设备发布认证Web页面；403步骤用户输入登录信息；
404步骤认证网关根据已经同步的用户信息库，判断登录的权限；
如果认证网关无法查找到正确用户信息，则进入405步骤向用户管理服务器查找用户登录权限信息；
如果认证网关得到正确的登录信息，则进入406步骤所有认证网关同步这个用户信
息ο如果此次登录认证还需要扩展登录方式，则进入407步骤认证网关向用户管理服务器提交认证请求；
如果用户管理服务器认证成功，认证网关收到合法的用户信息，则进入408步骤认证网关缓存用户扩展登录信息；
如果在405和407步骤中，用户管理服务器认证失败，则进入409步骤用户管理服务器向认证网关发送认证失败信息；
410步骤认证网关通过认证页面根据向用户终端发布认证失败指令代码；
411步骤用户终端Web页面根据向用户提供可视化界面的认证失败提示。当任何ー个认证网关完成408步骤后，即通过虚拟统一网关中的各个TCP链接和其他每ー个认证网关同步相关用户认证信息。如果某ー个或者多个TCP链路中断时，该项用户认证信息就缓存在用户管理服务器中；等到相关认证网关向用户管理服务器发送同步TCP报文时，相关信息即时下传至认证网关，同时修复虚拟统ー认证网关的相应TCP链接。本发明的有益效果是由于采用了分布式认证网关结构和分集认证的方法，使得网络用户认证的功能得到显著扩展；而且能够利用直接现有的外网及相关设备(对网络质量要求不高)，投资得以大幅降低(仅为现有网络用户认证系统的10-20%)，工程安装和维护也简单；适应了中小企业的经营需求，以及在特殊场所WLAN网络的应用需要。


图I是本发明中的网络用户认证系统的构架示意图。图2是本发明中的虚拟统一认证网关的构架示意图。图3是本发明中的用户管理服务器发送的映射表结构示意图。图4是本发明中的认证流程示意图。
具体实施例方式本发明的要点是采用了分布式认证网关结构(即在所需要的地区或场合设置多个具有认证功能的网关)和分集认证(即将认证功能分开，由各个认证网关分别承担)的方法，用户管理服务器加上所连通的网关，取代了传统方式中的RADIUS服务器和认证Web服务器的职能。本发明建立的可扩展的网络用户认证系统如图I所示多个认证网关均通过外网直接与用户管理服务器连接；而无线用户终端通过无线AP在其中的ー个认证网关进入认证流程(即基于B/S结构的认证交互流程，采用网络软件实现)。用户管理服务器存储全部用户信息，并通过外网IP和端ロ映射表组织认证网关生成P2P网络，并由各个认证网关通过彼此之间的TCP长连接建立TCP通道，组成虚拟统ー认证网关(图2所示)。每ー个认证网关在固定时间(比如每一分钟)向用户管理服务器发送同步TCP报文，用户管理服务器将每ー个认证网关的外部IP和端ロ记录至ー张映射表(如图3所示，为常规的映射表结构)中。用户管理服务器在收到每ー个认证网关的同步TCP报文后发送回执，即映射表。每ー个认证网关收到回执后，存储或者更新自身的映射表，然后根据映射表向相应ID (IP地址)的认证网关建立TCP长连接通道。认证流程(如图4所示)
当无线终端用户按照401步骤接入网络时，认证网关根据402步骤向用户设备发布认证Web页面；
依据403步骤，用户输入登录信息；认证网关根据404步骤已经同步的用户信息库，判断登录的权限；
如果网关无法查找到正确用户信息，便根据405步骤，向用户管理服务器查找用户登录权限信息；
如果认证网关得到正确的登录信息，便根据406步骤同步这个用户信息；
如果此次登录认证还需要扩展登录方式(比如短信认证等方法)，认证网关按照407步骤向用户管理服务器提交认证请求；
当认证网关收到合法的用户信息后，按照408步骤，缓存用户扩展登录信息；
如果在405和407步骤中，用户管理服务器认证失败，便按照409步骤向认证网关发送认证失败信息；
认证网关通过认证页面根据410步骤向用户终端发布认证失败指令代码。用户终端Web页面根据411步骤向用户提供可视化界面的认证失败提示。当任何ー个认证网关完成408步骤后，通过虚拟统ー网关中的各个TCP链接，与其他每ー个认证网关同步相关用户认证信息。如果某ー个或者多个TCP链路中断时，该项用户认证信息会缓存在用户管理服务器中，等到相关认证网关向服务器发送同步TCP报文时，相关信息即时下传至认证网关，同时修复虚拟统ー认证网关的相应TCP链接。实施例
一家连锁餐饮公司在全国各地开设了多家餐厅，每家餐厅都需要部署无线网络，以便向客户提供上网服务。客户需要通过身份认证来获取上网服务资格。如果使用传统集中式认证方案的话，每个餐厅都需要网络专线接驳到一台远程RADIUS服务器，而且由于用户量较大，所以RADIUS服务器需要较高的配置。这种方式的投资太大，远远超出了这家餐饮公司的预算。目前该餐厅使用了分布式认证方案，在每个餐厅部署一台认证网关接驳到一台普通配置的用户管理服务器即可，无需昂贵的网络专线和高配置RADIUS服务器。和传统集中式认证方案相比，分布式认证方案的设备投资很低(降为原先的10%左右)，对于网络质量要求低，工程安装和维护简易。
权利要求
1.一种可扩展的分布式WLAN网络用户认证方法，依次包括以下步骤 O建立可扩展的网络用户认证系统；该认证系统的结构是多个认证网关均直接与存储全部用户信息的用户管理服务器连接，而无线用户终端通过无线AP接入其中的一个认证网关进行认证； 2)用户管理服务器通过外部IP和端口映射表组织认证网关生成P2P网络，并由各个认证网关通过彼此之间的TCP长连接组成虚拟统一认证网关。
2.根据权利要求I所述的一种可扩展的分布式WLAN网络用户认证方法，其特征在于所述虚拟统一认证网关的工作流程是 每一个认证网关在固定时间向用户管理服务器发送同步TCP报文，用户管理服务器将每一个认证网关的外部IP和端口记录至一张映射表中； 用户管理服务器在收到每一个认证网关的同步TCP报文后发送回执； 每一个认证网关收到回执后，存储或者更新自身的映射表，然后根据映射表向相应ID的认证网关建立TCP长连接。
3.根据权利要求2所述的一种可扩展的分布式WLAN网络用户认证方法，其特征在于所述步骤I)中认证的流程是 401步骤当无线用户终端接入网络； 402步骤认证网关根据向用户设备发布认证Web页面； 403步骤用户输入登录信息； 404步骤认证网关根据已经同步的用户信息库，判断登录的权限； 如果认证网关无法查找到正确用户信息，则进入405步骤向用户管理服务器查找用户登录权限信息； 如果认证网关得到正确的登录信息，则进入406步骤所有认证网关同步这个用户信肩、O
4.根据权利要求3所述的一种可扩展的分布式WLAN网络用户认证方法，其特征在于如果此次登录认证还需要扩展登录方式，则进入407步骤认证网关向用户管理服务器提交认证请求； 如果用户管理服务器认证成功，认证网关收到合法的用户信息，则进入408步骤认证网关缓存用户扩展登录信息； 如果在405和407步骤中，用户管理服务器认证失败，则进入409步骤用户管理服务器向认证网关发送认证失败信息； 410步骤认证网关通过认证页面根据向用户终端发布认证失败指令代码； 411步骤用户终端Web页面根据向用户提供可视化界面的认证失败提示。
5.根据权利要求4所述的一种可扩展的分布式WLAN网络用户认证方法，其特征在于当任何一个认证网关完成408步骤后，即通过虚拟统一网关中的各个TCP链接和其他每一个认证网关同步相关用户认证信息。
6.根据权利要求5所述的一种可扩展的分布式WLAN网络用户认证方法，其特征在于如果某一个或者多个TCP链路中断时，该项用户认证信息就缓存在用户管理服务器中；等到相关认证网关向用户管理服务器发送同步TCP报文时，相关信息即时下传至认证网关，同时修复虚拟统一认证网关的相应TCP链接。
全文摘要
本发明涉及一种可扩展的分布式WLAN网络用户认证方法。所要解决的技术问题是提供的方法应具有投资小、用户使用便利的特点。技术方案是一种可扩展的分布式WLAN网络用户认证方法，依次包括以下步骤1)按以下方式建立可扩展的网络用户认证系统多个认证网关均通过外网直接与存储全部用户信息的用户管理服务器连接，而无线用户终端通过无线AP在其中的一个认证网关进入认证流程；2)用户管理服务器通过外网IP和端口映射表组织认证网关生成P2P网络，并由各个认证网关通过彼此之间的TCP长连接组成虚拟统一认证网关。
文档编号H04W12/06GK102665216SQ20121013569
公开日2012年9月12日 申请日期2012年5月3日 优先权日2012年5月3日
发明者赵霏 申请人:杭州热望信息技术有限公司