一种处理认证报文方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及网络通信技术,具体地,涉及一种处理认证报文方法、装置及系统。
【背景技术】
[0002]目前校园使用的认证方式包括以太网点到点协议(Point-to-PointProtocolOver Ethernet,简称PPP0E)、802.lx、Web Portal等主要认证方式。其中Web认证方式,用户无需安装专用的客户端认证软件,使用普通的浏览器软件即可进行身份认证,访问网络。因此,这种认证方式在校园网、企业网、政务网等行业中得到了广泛的应用。
[0003]Web认证从前往后大致可以分为:TCP报文拦截并建立伪连接,HTTP报文拦截并重定向,用户认证,用户认证成功或失败这几个过程。
[0004]1.TCP报文拦截并建立伪连接:当未认证的用户想要访问网络上的资源时,用户PC发起HTTP请求前,先会进行TCP三次握手的报文交互,设备会拦截TCP报文,跟用户进行TCP三次握手的伪连接。每一次进行TCP三次握手,设备都会进行拦截,然后伪装成目的IP跟用户PC进行三次握手。
[0005]2.HTTP报文拦截并重定向过程:TCP伪连接建立后,用户PC主动发出http get请求。设备拦截该请求报文,根据HTTP协议,返回http 200重定向报文给用户。其中,重定向报文包含页面推送服务器Portal Server的URL(统一资源定位符Uniform ResourceLocator),该URL携带有一些必要的加密参数用于Portal Server识别用户。
[0006]3.认证过程:用户PC收到重定向报文后,向重定向URL发起http get请求;PortalServer在收到用户浏览器的http请求之后,返回认证页面给用户;用户在认证页面上填写用户名密码并提交;Portal Server收到报文后,按照CHAP(询问握手认证协议ChallengeHandshake Authenticat1n Protocol)流程向NAS(网络接入服务器Network AccessServer)请求Challenge;请求成功后,Portal Server将用户名密码和Challenge ID及MD5(Message Digest Algorithm,消息摘要算法第五版)算法加密后的ChalIenge-Password,一起提交到NAS,向NAS发起认证请求;NAS将Challenge相关信息和用户名密码一起送到Radius(远程访问拨号用户服务Remote Authenticat1n Dial In User Service)Server,由Radius Server进行认证。
[0007]4.用户认证成功或失败:Radius Server根据NAS提交的信息判断用户名密码是否合法,ChalIenge相关信息是否一致。若成功,Radius Server向NAS返回认证成功报文,并携带协议参数,以及用户的相关参数给用户授权;若失败,Radius Server向NAS返回认证失败报文。NAS返回认证结果(包括相关参数)给Portal Server ;Portal Server根据NAS返回的认证结果,推送成功或失败页面给用户。
[0008]随着极简网络的推广,即认证上收,本来设置在多台接入设备的认证功能,全部移到一台核心设备上。这样就可能在一台核心设备下要认证万级的用户。要是在认证高峰期,用户量这么大,有可能达到每秒万级的认证需求,对核心设备的性能要求就非常的高。核心设备上通过管理板集中处理所有的认证过程,统一维护认证的表项信息,这就造成管理板负载过高,不堪重负,无法承担大容量的认证场景,核心设备的认证性能就成为了一个瓶颈。分布式认证应运而生,但在分布式认证的方法中,由于线卡独立进行认证处理及表项安装的操作,缺乏统一的维护管理,可能导致同一用户在不同线卡间出现冲突或表项安装的现象。
【发明内容】
[0009]有鉴于此,本发明实施例提供了一种处理认证报文方法、装置及系统,用以解决由于线卡独立进行认证处理及表项安装的操作,缺乏统一的维护管理,可能导致同一用户在不同线卡间出现冲突或表项安装的问题。
[0010]本发明实施例技术方案如下:
[0011 ] 一种处理认证报文的方法,包括以下步骤:
[0012]当线卡获取用户发送的携带认证信息的报文时,根据接收到的所述线卡发送的从所述携带认证信息的报文中提取的所述用户的唯一标识确认所述用户是否已经认证,当所述用户已经认证时,指示所述线卡向所述用户反馈用户已经认证消息。
[0013]一种处理认证报文的装置,包括:
[0014]报文接收模块,用于当线卡获取用户发送的携带认证信息的报文时,接收所述线卡发送的从所述携带认证信息的报文中提取的所述用户的唯一标识,
[0015]判断模块,用于根据所述用户的唯一标识确认所述用户是否已经认证,
[0016]指示模块,用于当所述用户已经认证时,指示所述线卡向所述用户反馈用户已经认证消息。
[0017]一种处理认证报文的系统,包括:
[0018]线卡,用于获取用户发送的携带认证信息的报文,发送从所述携带认证信息的报文中提取的所述用户的唯一标识,
[0019]主控卡,用于根据接收到的所述线卡发送的从所述携带认证信息的报文中提取的所述用户的唯一标识确认所述用户是否已经认证,当所述用户已经认证时,指示所述线卡向所述用户反馈用户已经认证消息。
[0020]本发明实施例提供的一种方法、装置及系统通过当线卡获取用户发送的携带认证信息的报文时,根据接收到的所述线卡发送的从所述携带认证信息的报文中提取的所述用户的唯一标识确认所述用户是否已经认证,当所述用户已经认证时,指示所述线卡向所述用户反馈用户已经认证消息,解决了由于线卡独立进行认证处理及表项安装的操作,缺乏统一的维护管理,可能导致同一用户在不同线卡间出现冲突或表项安装的问题。
[0021]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0022]图1为本发明一实施例的方法流程图;
[0023]图2为本发明一实施例的方法流程图;
[0024]图3为本发明一实施例的方法流程图;
[0025]图4为本发明一实施例的装置结构框图;
[0026]图5为本发明一实施例的装置结构框图;
[0027]图6为本发明一实施例的系统结构框图。
【具体实施方式】
[0028]以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
[0029]针对由于线卡独立进行认证处理及表项安装的操作,缺乏统一的维护管理,可能导致同一用户在不同线卡间出现冲突或表项安装的问题,本发明实施例提供了一种处理认证报文的方法以解决该问题。
[0030]如图1所示,在本发明一个实施例中,提出一种处理认证报文的方法,包括以下步骤:
[0031]SlOl,当线卡获取用户发送的携带认证信息的报文时,根据接收到的所述线卡发送的从所述携带认证信息的报文中提取的所述用户的唯一标识确认所述用户是否已经认证;
[0032]S103,当所述用户已经认证时,指示所述线卡向所述用户反馈用户已经认证消息。
[0033]该实施例解决了由于线卡独立进行认证处理及表项安装的操作,缺乏统一的维护管理,可能导致同一用户在不同线卡间出现冲突或表项安装的问题。
[0034]可选的,源IP+源MAC+P0RT+VID为用户的唯一标识,当然其他可以唯一标识用户的方法也在本发明的保护范围中;
[0035]可选的,步骤SlOl具体包括:
[0036]当线卡获取用户发送的携带认证信息的报文,根据所述报文中携带的认