认证等;
[0071 ]所述NAS设备,用于随机将第一认证服务器或第二认证服务器分别配置为主认证服务器和备份认证服务器,在收到终端设备的上网请求后,判断当前配置的主认证服务器是否宕机,若未宕机则向配置的主认证服务器发送radius认证请求;若宕机,则向配置的备份认证服务器发送radius认证请求;
[0072]所述第一认证服务器和第二认证服务器中均包括认证模块、配置数据存储模块和业务数据存储模块;
[0073]所述认证模块,用于接收并处理NAS设备发送的radius认证请求,从配置数据存储模块中读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果;
[0074]认证模块从radius认证请求的源IP地址从配置数据存储模块中读取该IP地址对应的NAS设备的radius密钥,解码radius认证请求报文提取出用户认证数据,并与配置数据存储模块交互对所述用户认证数据进行认证。
[0075]所述配置数据存储模块,用于存储认证配置数据;
[0076]所述业务数据存储模块,用于存储认证结果日志及在线用户信息。所述认证结果日志包括:认证时间、NAS设备、认证结果、终端用户信息;所述在线用户信息包括在线用户名称、上线时间、接入地点、接入设备、终端地址信息。
[0077]第一认证服务器和第二认证服务器之间实时同步认证配置数据;这里的认证配置数据包括NAS设备信息、用户认证数据及认证策略,其中NAS设备信息包括NAS设备的IP地址及其radius密钥;所述用户认证数据包括用户名及其对应密码;所述认证策略包括用户允许接入时间、用户黑白名单。
[0078]基于上述网络接入认证系统,在配置的主认证服务器宕机后,通过NAS设备认证服务器主备切换功能保证认证请求报文能够发送到备份认证服务器,保证其可靠性。
[0079]实施例二:
[0080]以NAS设备将第一认证服务器配置为主认证服务器,将第二认证服务器配置为备份认证服务器为例来说明接入认证方法流程:如图4所示,
[0081 ] 1)第一认证服务器实时向第二认证服务器同步认证配置数据。配置数据包括NAS设备的IP地址、radius密钥,认证用户名和认证密码,认证策略(如用户允许接入时间、用户黑白名单等)。
[0082]2)终端设备向NAS设备发起上网请求,该请求报文携带了认证用户名和密码。
[0083]3)NAS设备收到终端设备的上网请求,提取出认证用户名和密码,并封装为radius认证请求报文,如第一认证服务器正常工作,则向第一认证服务器发送radius认证请求报文。否则转步骤8)。
[0084]4)第一认证服务器的认证模块收到NAS设备发送的radius认证请求报文,根据radius源IP从配置数据存储模块读取该IP地址对应的NAS设备的radius密钥,解码radius认证报文,提取出认证用户名和密码,然后再从配置数据存储模块读取并校验认证用户信息。
[0085]5)第一认证服务器向认证业务数据存储模块保存认证结果日志(包括认证时间、NAS设备、认证结果、终端用户等信息),如果认证成功,还需要保存在线用户信息(在线用户名称、上线时间、接入地点、接入设备、终端地址等)。
[0086]6)第一认证服务器将认证结果radius响应报文返回给NAS设备。
[0087]7)NAS设备根据认证结果,决定是否开放终端网络访问权限。同时反馈给终端上网请求结果。
[0088]8)在上述步骤3)中,如果NAS设备探测到第一认证服务器宕机,则向第二认证服务器发送radius认证请求报文。
[0089]9)第二认证服务器的认证模块收到NAS设备发送的radius认证请求报文,根据radius源IP从配置数据存储模块读取该IP地址对应的NAS设备的radius密钥,解码radius认证报文,提取出认证用户名和密码,然后再从配置数据存储模块读取并校验认证用户信息。
[0090]10)第二认证服务器向认证业务数据存储模块保存认证结果日志(包括认证时间、NAS设备、认证结果、终端用户等信息),如果认证成功,还需要保存在线用户信息(在线用户名称、上线时间、接入地点、接入设备、终端地址等)。
[0091]11)第二认证服务器将认证结果radius响应报文返回给NAS设备。
[0092]12)NAS设备根据认证结果,决定是否开放终端网络访问权限,同时反馈给终端上网请求结果。
[0093]同理,NAS设备也可以选择将第二认证服务器配置为主认证服务器,将第一认证服务器配置为备份认证服务器;在此种配置下,NAS设备在收到终端设备的上网请求后,首先判断第二认证服务器是否宕机,如果未宕机,则向第二认证服务器发送上网请求;若宕机,则选择第一认证服务器发送上网请求。
【主权项】
1.一种网络接入认证系统,其特征在于,包括终端设备、NAS设备、第一认证服务器和第二认证服务器; 所述终端设备,用于向NAS设备发起上网请求; 所述NAS设备,用于随机将第一认证服务器或第二认证服务器分别配置为主认证服务器和备份认证服务器,在收到终端设备的上网请求后,判断当前配置的主认证服务器是否宕机,若未宕机则向配置的主认证服务器发送radius认证请求;若宕机,则向配置的备份认证服务器发送radius认证请求; 所述第一认证服务器和第二认证服务器之间实时同步认证配置数据,并在接收到NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果; 所述NAS设备还用于根据认证结果决定是否开启终端设备网络访问权限。2.如权利要求1所述的一种网络接入认证系统,其特征在于,所述第一认证服务器和第二认证服务器中均包括认证模块、配置数据存储模块和业务数据存储模块; 所述认证模块,用于接收并处理NAS设备发送的radius认证请求,从配置数据存储模块中读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果; 所述配置数据存储模块,用于存储认证配置数据; 所述业务数据存储模块,用于存储认证结果日志及在线用户信息。3.如权利要求2所述的一种网络接入认证系统,其特征在于,所述认证模块接收并处理NAS设备发送的radius认证请求,从配置数据存储模块中读取认证配置数据对用户信息进行认证的方法是: 认证模块从radius认证请求的源IP地址从配置数据存储模块中读取该IP地址对应的NAS设备的radius密钥,解码radius认证请求报文提取出用户认证数据,并与配置数据存储模块交互对所述用户认证数据进行认证。4.如权利要求1-3任一项所述的一种网络接入认证系统,其特征在于,所述认证配置数据包括NAS设备信息、用户认证数据及认证策略,其中NAS设备信息包括NAS设备的IP地址及其radius密钥;所述用户认证数据包括用户名及其对应密码;所述认证策略包括用户允许接入时间、用户黑白名单。5.如权利要求1-3任一项所述的一种网络接入认证系统,其特征在于,所述认证结果日志包括:认证时间、NAS设备、认证结果、终端用户信息;所述在线用户信息包括在线用户名称、上线时间、接入地点、接入设备、终端地址信息。6.一种网络接入认证方法,其特征在于,包括以下步骤: A.NAS设备随机将第一认证服务器或第二认证服务器分别配置为主认证服务器和备份认证服务器; B.终端设备向NAS设备发起上网请求; C.NAS设备在收到终端设备的上网请求后,判断当前配置的主认证服务器是否宕机,若未宕机则向配置的主认证服务器发送radius认证请求,进入步骤D;若宕机,则向配置的备份认证服务器发送radius认证请求,进入步骤E ; D.主认证服务器接收并处理NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果,进入步骤F; E.备份认证服务器接收并处理NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证,并向NAS设备反馈认证结果,进入步骤F; F.NAS设备根据收到的认证结果决定是否开放终端设备的网络访问权限。7.如权利要求6所述的一种网络接入认证方法,其特征在于,步骤B中,终端设备向NAS设备发起的请求报文中携带用户认证数据。8.如权利要求6所述的一种网络接入认证方法,其特征在于,步骤D和E中,所述接收并处理NAS设备发送的radius认证请求后,读取认证配置数据对用户信息进行认证的方法是: 认证模块从radius认证请求的源IP地址从配置数据存储模块中读取该IP地址对应的NAS设备的radius密钥,解码radius认证请求报文提取出用户认证数据,并与配置数据存储模块交互对所述用户认证数据进行认证。9.如权利要求6所述的一种网络接入认证方法,其特征在于, 所述步骤D中,还包括: 主认证服务器向业务数据存储模块保存认证结果日志,如果认证成功,同时保存用户在线信息; 所述步骤E中,还包括: 备份认证服务器向业务数据存储模块保存认证结果日志,如果认证成功,同时保存用户在线信息。10.如权利要求6-9任一项所述的一种网络接入认证方法,其特征在于, 所述认证结果日志包括:认证时间、NAS设备、认证结果、终端用户信息;所述在线用户信息包括在线用户名称、上线时间、接入地点、接入设备、终端地址信息。
【专利摘要】本发明涉及安全认证技术,其公开了一种网络接入认证方法及系统,解决传统技术中主备认证服务器方案存在的负载不均衡、浪费系统资源、系统复杂度高和可靠性差的问题。该方法可概括为:NAS设备随机将第一认证服务器或第二认证服务器配置为主认证服务器和备份认证服务器,在收到终端设备的上网请求后,判断当前配置的主认证服务器是否宕机,若未宕机则向配置的主认证服务器发送radius认证请求;若宕机,则向配置的备份认证服务器发送radius认证请求;此外本发明还公开了相应的认证系统,适用于网络安全认证。
【IPC分类】H04L1/22, H04L29/06, H04L12/24, H04L29/08
【公开号】CN105430016
【申请号】CN201511022034
【发明人】黄山, 吴飞
【申请人】迈普通信技术股份有限公司
【公开日】2016年3月23日
【申请日】2015年12月30日