基于本地链路地址的SAVI代理认证系统及方法与流程

本发明涉及计算机网络技术领域，尤其涉及一种基于本地链路地址的SAVI代理认证系统，用于为教育网内的SAVI系统提供更加方便使用和部署的认证上网方式。

背景技术：

近年来，随着中国互联网产业高速发展，信息网络已经成为社会发展的重要保证。SAVI系统是教育网内部的真实源地址认证上网系统。学校里的用户，例如学生，要想通过SAVI系统上网，需要提供注册的用户NID(即用户名，10位数字)和密码，该用户NID一般会和学号等身份信息绑定。用户上网时，输入自己的用户NID和密码。认证通过后，SAVI系统给用户分配IPv6地址，该IPv6地址后64位会含有NID的信息。当用户访问IPv6网站时，用户所有的对外通信都是通过这个分配的IPv6地址来进行的。网络管理员可以通过这个IPv6地址追溯到NID信息，这样也就能够查到是哪个学号的人去上的网。SAVI的认证过程需要用户名和密码，传统方式是开发各个平台的上网客户端。需要开发的Windows、Linux、MAC OS、iOS、Andriod客户端的版本众多，部署、运行成本太高。用户需要自行安装，使用起来不方便；而且有的平台需要最高root权限，更导致有的用户无法实现root而上网。

技术实现要素：

为解决上述现有技术中存在的问题，本发明提出一种基于本地链路地址的SAVI代理认证系统。通过在用户上网的同一网段部署基于本地链路地址的SAVI代理认证系统，可以代理用户SAVI认证，使用户不用安装客户端即可上网。

根据本发明一方面，提供了一种基于本地链路地址的SAVI代理认证系统，其包括：

SAVI交换机，其用于将客户端接入至网络，并在客户端初始接入时，为客户端分配一个本地链路地址，还将客户端的MAC地址和本地链路地址关联存储在MIB数据表中；

SAVI网管系统，用于定期查看所述MIB数据表，并在MIB数据表中有新的表项时，将新的表项中的MAC地址和本地链路地址存储在SAVI认证数据库中；

Web Portal子系统，其用于当客户端初始联网时，弹出用户认证页面，提示用户输入客户端的NID和密码，并将客户端的NID、密码和本地链路地址转发给SAVI代理认证子系统；

SAVI代理认证子系统，其使用客户端的NID、密码和本地链路地址对客户端的身份信息向SAVI认证系统进行认证；

SAVI DHCP服务器，其用于接收客户端的IPV6地址分配请求，并在所述客户端认证通过后，为其返回IPV6地址，

根据本发明另一方面，提供了一种基于本地链路地址的SAVI代理认证方法，该方法包括：

步骤1、当客户端初始接入到SAVI网络时，SAVI交换机为其分配一个本地链路地址，同时将客户端的MAC地址和本地链路地址都保存在SAVI交换机的MIB数据表中；

步骤2、SAVI网管系统定期读取SAVI交换机MIB数据表，并在MIB数据表中有新的表项时，将新的表项中的MAC地址和本地链路地址存储在SAVI认证数据库中；

步骤3、当客户端访问web网站时，Web Portal系统向客户端弹出认证页面，提示输入客户端的NID和密码；

步骤4、Web Portal系统获得客户端的NID和密码后，将所述客户端的NID、密码和本地链路地址发送给SAVI代理认证子系统；

步骤5、所述SAVI代理认证子系统使用客户端的NID、密码和本地链路地址对客户端的身份信息向SAVI认证系统进行认证；

步骤6、所述客户端认证成功后，SAVI DHCP服务器为其分配IPv6地址，同时将所述IPv6地址与所述客户端的MAC地址、本地链路地址关联存储到SAVI认证数据库中；

步骤7、当客户端再次用本机MAC地址申请IPv6地址时，SAVIDHCP服务器把记录IPv6地址返回给客户端。

本发明提出的上述方案通过将本地链路地址、Web Portal、代理认证模块结合，实现实时、高效认证和上网功能，用于向教育网内用户提供SAVI认证服务。该系统采用标准的HTTP协议，使得各种终端平台无需安装认证客户端即可进行认证，并且具有很好的兼容性，避免了各种终端操作系统各自的特性，极大的节约了各种客户端开发和部署的成本。

附图说明

图1为本发明中基于本地链路地址的SAVI代理认证系统架构图；

图2为本发明中SAVI代理认证过程流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体细节，并参照附图，对本发明进一步详细说明。根据本发明的实施例程，能够清晰展示该发明下代理SAVI认证功能。

本发明提出了一种基于本地链路地址的SAVI代理认证系统。该系统基于IPv6协议中的本地链路地址进行初始认证过程，并且采用标准的HTTP协议。如图1所示，该系统包括：

Web Portal子系统，其用于当客户端初始联网时，弹出用户认证页面，提示用户输入上网的NID和密码，并把密码发给SAVI代理认证子系统。

SAVI代理认证子系统，使用用户输入的NID和密码对用户身份信息向SAVI认证系统进行认证，并在认证成功后将用户的NID及用户的地址存储在SAVI认证数据库中。

所述系统还包括：

SAVI交换机，其用于将客户端接入至网络，并在终端初始接入网络时，为终端分配一个本地链路地址，其还将客户端的MAC地址和本地链路地址关联存储在MIB数据表中；客户端在于所述SAVI交换机断开后，SAVI交换机将该客户端在MIB数据表中的表项删除；

SAVI网管系统，用于定期查看MIB数据表，并在MIB数据表中有新的表项时，将新的表项中的MAC地址和本地链路地址存储在SAVI认证数据库中；此外，在MIB数据表中对应某个客户端的表项被删除后，其删除SAVI认证数据库中与该客户端对应的表项，即删除该客户端的MAC地址、本地链路地址和NID；

SAVI DHCP服务器，其用于接收客户端的IPV6地址分配请求，并在所述客户端认证通过后，为其返回IPV6地址。下面通过具体的实施例详细介绍所述系统的各个组成部分，参见附图2：

1、SAVI交换机配置

首先，应对SAVI的接入交换机进行配置。配置主要有两点：第一点是打开邻居发现(Neighbor Discovery，ND)，让接入终端能够获取IPv6网关地址，配置的IPv6网关地址就是Web Portal服务器的本地链路地址，目的是使刚接入网络的终端的数据报文发到Web Portal服务器，Web Portal服务器发现如果是防问外网的HTTP请求，就将其重定向到登录页面，登录页面会有输入NID和密码的表单，让用户输入验证其身份信息；第二点是不要配置路由器通告(Router Advertisement，RA)报文中的路由地址前缀信息，但是配置交换机参数使用DHCPv6，这样让接入终端无法获得无状态IPv6地址，只能通过DHCPv6去申请有状态IPv6地址。

2、用户终端物理接入时后台操作

当用户终端物理接入SAVI网络时，即有线终端插上网线并开机，无线终端连上无线AP(无线访问接入点)信号时，SAVI交换机会为其生成一个本地链路地址，即FE80：：x：x：x：x/64。同时SAVI系统中的网管系统会定期(如间隔数秒钟)去读取SAVI交换机的MIB表中数据，当网管系统读取到MAC和本地链路地址的数据时，它会发现有新的终端接入了进来，因为发现了新来的MAC地址和本地链路地址。网管系统会把这个新的数据添加到SAVI的认证数据库中，在数据库一行中保存MAC地址、本地链路地址。这个是后台操作，对用户终端完全没有影响。注意，由于交换机的配置，此时用户终端中有且仅有的IPv6地址就是这个本地链路地址，默认网关是Web Portal服务器的本地链路地址。

3、用户终端访问网站时的操作

当用户终端中打开浏览器访问网站时，这个HTTP请求就发送到了Web Portal服务器。Web Portal服务器拦截到HTTP请求后，就返回登录认证的页面。Web Portal服务器对于其它协议的数据包，例如FTP等，则全部丢弃。用户终端上显示了登录认证的页面，用户就知道还没有认证，此时他就必须输入用户名即NID和密码。用户输入NID和密码后，并按按钮提交认证，如果正确则会提示认证成功，否则提示认证失败。

4、SAVI代理认证系统的操作

当用户输入NID和密码并提交信息时，Web Portal服务器把三个用户信息发送给SAVI代理认证系统。这三个用户信息是用户的本地链路地址、用户的NID、用户的密码。SAVI代理认证系统得到这些信息后，把用户的NID和密码发送给SAVI认证系统的NID管理服务器去进行认证。如果认证失败，NID管理服务器返回失败原因，SAVI代理认证系统把原因返回给Web Portal服务器，Web Portal服务器把其返回给用户页面。如果认证成功，NID管理服务器把本地链路地址、NID保存到SAVI的认证数据库中。注意，由于在第二步中网管系统已经把SAVI交换机中的MAC地址和本地链路地址保存到同一数据库中同一表中了，此时NID管理服务器只要根据本地链路地址找到表中这行，把NID保存到对应字段即可。那么如果在第二步中网管系统还没有去读取MIB表呢，此时数据库中就没有此行了，此时NID管理服务器需要插入一条新行，包括本地链路地址、NID，当网管系统去读取MIB表后，网管系统根据本地链路地址找到表中这行，把MAC地址保存到对应字段即可。

5、用户终端获得IPv6地址时的操作

在第一步中，SAVI交换机是配置成用有状态DHCPv6分配用户的地址的，所以用户终端一连上物理网络获得本地链路地址后就会去请求DHCP服务分配地址。SAVI的DHCPv6服务器接收到这个DHCP请求后，就去查询SAVI的认证数据库，根据用户终端MAC地址查询。如果在第二步中的网管系统还没有去读取MIB表，数据库中就没有相关数据，SAVI的DHCPv6服务器就不返回给用户地址信息；如果查到了，但是如果用户没有认证成功，这条数据中没有NID信息，说明用户还没认证或认证不成功，SAVI的DHCPv6服务器也不返回给用户地址信息。在这两种情况下，用户终端的DHCP请求没有得到响应，用户终端就会反复发送DHCPv6请求，而SAVI的DHCPv6服务器则会等到MAC、本地链路地址、NID信息都齐全后才会真正根据SAVI的地址生成方案(使用用户NID、MAC、时间三个元素)来生成全球单播IPv6地址，并返回给用户终端。用户终端反复请求地址期间，仅有本地链路地址是无法访问外部网站的。DHCPv6服务器返回IPv6地址给用户终端时，同时返回DNS服务器地址和新的默认网关地址，这样用户就能访问外部网站了。DHCPv6服务器返回IPv6地址的同时，SAVI交换机也会把用户MAC和IPv6地址加入到交换机绑定表(MIB表)中。交换机绑定表进行访问控制，加入到绑定表中就允许该IPv6地址的数据包通过交换机端口，不在绑定表中的IPv6地址数据包就被丢弃。

6、用户终端断网时的操作

用户终端断网离开，如果用户终端发送DHCP Release请求，SAVI的DHCPv6服务器收到请求后，根据其MAC地址可以删除前述数据库中的表项。如果用户终端直接关机或拔网线等方式断网，则SAVI交换机会根据物理链路断开删除交换机绑定表项，SAVI的网管系统读取到表项的删除，也会删除前述数据库中的表项。其它断网操作与SAVI系统原始断网操作一样，此处不再累述。

本发明另一实施例中，还提出了一种基于本地链路地址的SAVI代理认证方法，该方法包括：

步骤1、当客户端初始接入到SAVI网络时，SAVI交换机为其分配一个本地链路地址，同时将客户端的MAC地址和本地链路地址都保存在SAVI交换机的MIB数据表中；

步骤2、SAVI网管系统定期读取SAVI交换机MIB数据表，并在MIB数据表中有新的表项时，将新的表项中的MAC地址和本地链路地址存储在SAVI认证数据库中；

步骤3、当客户端访问web网站时，Web Portal系统向客户端弹出认证页面，提示输入客户端的NID和密码；

步骤4、Web Portal系统获得客户端的NID和密码后，将所述客户端的NID、密码和本地链路地址发送给SAVI代理认证子系统；

步骤5、所述SAVI代理认证子系统使用客户端的NID、密码和本地链路地址对客户端的身份信息向SAVI认证系统进行认证；

步骤6、所述客户端认证成功后，SAVI DHCP服务器为其分配IPv6地址，同时将所述IPv6地址与所述客户端的MAC地址、本地链路地址关联存储到SAVI认证数据库中；

步骤7、当客户端再次用本机MAC地址申请IPv6地址时，SAVIDHCP服务器把记录IPv6地址返回给客户端。

以上所述的具体实施例程，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例程而已，并不用于限制本发明，凡在本漏洞新发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。