一种网络接入认证方法及系统的制作方法
【技术领域】
[0001 ]本发明涉及安全认证技术,具体涉及一种网络接入认证方法及系统。
【背景技术】
[0002]接入认证服务器出于可靠性考虑,一般都会采用双机互备(一台主认证服务器,另一台作为备份认证服务器),其中主认证服务器拥有写数据权限,备份认证服务器仅作为数据备份,仅有数据读取权限,因此主认证服务器正常工作期间,备份认证服务器仅作为主认证服务器的数据备份,实时同步主认证服务器的数据,不可运行认证业务。如果主认证服务器宕机,通过HA (高可靠)技术,备份认证服务器将被切换为主认证服务器,此时备份认证服务器将具有数据写权限,可以运行认证业务。
[0003]主控认证服务器正常工作的工作流程如图1所示:
[0004]1)终端(手机、pc或笔记本)向NAS设备发起上网请求,如802.lx或portal协议报文。
[0005]2)NAS设备收到请求后,向主认证服务器对外提供的虚拟IP地址发起radius认证请求。
[0006]3)主认证服务器收到radius认证请求报文,查询NAS设备信息(IP地址、radius密钥),以及认证用户名对应的密码。然后校验该用户是否具备上网权限,并将认证结果日志写入到数据存储模块。
[0007]4)主认证服务器实时同步认证数据(认证结果日志、在线用户等)到备份认证服务器。
[0008]5)主认证服务器将认证结果反馈给NAS设备,NAS设备根据认证结果决定是否开启该终端的网络访问权限。
[0009]6)NAS设备反馈上网请求结果给终端。
[0010]当主认证认证服务器宕机,备份认证服务器的工作流程如图2所示:
[0011 ] 1)备份认证服务器链路HA模块检测到主控服务器宕机,HA模块切换备份认证服务器为主认证服务器,切换对外IP地址为虚拟地址并启动认证服务,具备数据写入权限,并对外提供认证服务。
[0012]2)终端(手机、pc或笔记本)向NAS设备发起上网请求,如802.lx或portal协议报文。
[0013]3)NAS设备收到请求后,向备份认证服务器对外提供的虚拟IP地址发起radius认证请求。
[0014]4)备份认证服务器收到radius认证请求报文,查询NAS设备信息(IP地址、radius密钥),以及认证用户名对应的密码。然后校验该用户是否具备上网权限,并将认证结果日志保存。
[0015]5)备份认证服务器将认证结果反馈给NAS设备,NAS设备根据认证结果决定是否开启该终端的网络访问权限。
[0016]6)NAS设备反馈上网请求结果给终端。
[0017]现有的主备认证服务器解决方案存在如下的问题:
[0018]1.负载不均衡:
[0019]主认证服务器和备份认证服务器不能同时运行认证业务,主认证服务器的负载尚;
[0020]2.浪费系统资源:
[0021 ] 主认证服务器正常工作情况下,备份认证服务器不运行认证业务,浪费资源;
[0022]3.系统复杂度高:
[0023]系统结构复杂,需要额外引入HA模块;
[0024]4.可靠性差:
[0025]主备认证服务器切换存在一定的时间延迟,导致部分认证数据丢失,影响用户业务。
【发明内容】
[0026]本发明所要解决的技术问题是:提出一种网络接入认证方法及系统,解决传统技术中主备认证服务器方案存在的负载不均衡、浪费系统资源、系统复杂度高和可靠性差的问题。
[0027]本发明解决上述技术问题所采用的方案是,一种网络接入认证系统,包括终端设备、NAS设备、第一认证服务器和第二认证服务器;
[0028]所述终端设备,用于向NAS设备发起上网请求;
[0029]所述NAS设备,用于随机将第一认证服务器或第二认证服务器分别配置为主认证服务器和备份认证服务器,在收到终端设备的上网请求后,判断当前配置的主认证服务器是否宕机,若未宕机则向配置的主认证服务器发送radius认证请求;若宕机,则向配置的备份认证服务器发送radius认证请求;
[0030]所述第一认证服务器和第二认证服务器之间实时同步认证配置数据,并在接收到NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果;
[0031]所述NAS设备还用于根据认证结果决定是否开启终端设备网络访问权限。
[0032]进一步的,所述第一认证服务器和第二认证服务器中均包括:认证模块、配置数据存储模块和业务数据存储模块:
[0033]所述认证模块,用于接收并处理NAS设备发送的radius认证请求,从配置数据存储模块中读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果;
[0034]所述配置数据存储模块,用于存储认证配置数据;
[0035]所述业务数据存储模块,用于存储认证结果日志及在线用户信息;
[0036]所述主控认证服务器和备份认证服务器之间实时同步认证配置数据。
[0037]进一步的,所述认证配置数据包括NAS设备信息、用户认证数据及认证策略,其中NAS设备信息包括NAS设备的IP地址及其radius密钥;所述用户认证数据包括用户名及其对应密码;所述认证策略包括用户允许接入时间、用户黑白名单。
[0038]进一步的,所述认证模块接收并处理NAS设备发送的radius认证请求,从配置数据存储模块中读取认证配置数据对用户信息进行认证的方法是:
[0039]认证模块从radius认证请求的源IP地址从配置数据存储模块中读取该IP地址对应的NAS设备的radius密钥,解码radius认证请求报文提取出用户认证数据,并与配置数据存储模块交互对所述用户认证数据进行认证。
[0040]进一步的,所述认证结果日志包括:认证时间、NAS设备、认证结果、终端用户信息;所述在线用户信息包括在线用户名称、上线时间、接入地点、接入设备、终端地址信息。
[0041]此外,本发明的另一目的还在于提出一种网络接入认证方法,其包括以下步骤:
[0042]A.NAS设备随机将第一认证服务器或第二认证服务器分别配置为主认证服务器和备份认证服务器;
[0043]B.终端设备向NAS设备发起上网请求;
[0044]C.NAS设备在收到终端设备的上网请求后,判断当前配置的主认证服务器是否宕机,若未宕机则向配置的主认证服务器发送radius认证请求,进入步骤D;若宕机,则向配置的备份认证服务器发送radius认证请求,进入步骤E ;
[0045]D.主认证服务器接收并处理NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果,进入步骤F;
[0046]E.备份认证服务器接收并处理NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果,进入步骤F;
[0047]F.NAS设备根据收到的认证结果决定是否开放终端设备的网络访问权限。
[0048]进一步的,步骤B中,终端设备向NAS设备发起的请求报文中携带用户认证数据。
[0049]进一步的,步骤D和E中,所述接收并处理NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证的方法是:
[0050]认证模块从radius认证请求的源IP地址从配置数据存储模块中读取该IP地址对应的NAS设备的radius密钥,解码radius认证请求报文提取出用户认证数据,并与配置数据存储模块交互对所述用户认证数据进行认证。
[0051 ] 进一步的,所述步骤D中还包括:
[0052]主认证服务器向业务数据存储模块保存认证结果日志,如果认证成功,同时保存用户在线信息;
[0053]所述步骤E中还包括:
[0054]备份认证服务器向业务数据存储模块保存认证结果日志,如果认证成功,同时保存用户在线信息。
[0055]进一步的,所述认证结果日志包括:认证时间、NAS设备、认证结果、终端用户信息;所述在线用户信息包括在线用户名称、上线时间、接入地点、接入设备、终端地址信息。
[0056]本发明的有益效果是:通过分离接入认证配置数据和认证业务数据,使得主备认证服务器均能正常运行认证业务,因此相对于传统技术的主备认证服务器解决方案具有以下优势:
[0057]1)主备负载均衡:
[0058]NAS设备可随机将radius认证请求指定到主控认证服务器或备份认证服务器进行认证,可有效降低主控服务器的运行负荷;
[0059]2)系统高可靠:
[0060]通过在NAS设备上面实现主备认证服务器的选择,没有在备份认证服务器上进行宕机检测和切换,能够保证认证请求数据不丢包,实现系统高可靠性;
[0061]3)充分利用资源:
[0062]即使主控认证服务器正常工作情况下,备份认证服务器也能正常运行认证业务,充分利用资源。
【附图说明】
[0063]图1为现有技术中主认证服务器正常工作流程图;
[0064]图2为现有技术中主认证服务器宕机时,备份认证服务器工作流程图;
[0065]图3为本发明实施例一中网络接入认证系统工作流程图;
[0066]图4为本发明实施例二中网络接入认证方法流程图。
【具体实施方式】
[0067]本发明旨在提出一种网络接入认证方法及系统,解决传统技术中主备认证服务器方案存在的负载不均衡、浪费系统资源、系统复杂度高和可靠性差的问题。
[0068]下面结合附图及实施例对本发明的方案作更进一步的描述:
[0069]实施例一:
[0070]如图3所示,本例中的网络接入认证系统包括终端设备、NAS设备、第一认证服务器、第二认证服务器;所述终端设备,用于向NAS设备发起上网请求;其中终端设备为需要接入网络的PC、笔记本、手机、掌上电脑、网络打印机等,能发起上网认证请求,如802.lx、pppoe、web