专利名称:接入控制设备、接入控制系统和接入控制方法
技术领域:
本发明涉及网络接入控制技术,尤其涉及一种在接入控制设备上集成有认证功能的接入控制系统、接入控制方法及接入控制设备。
背景技术:
伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效地控制,是保证企业网络安全运行的前提,也是目前企业网络安全管理急需解决的问题。
目前,作为解决网络安全问题的重要技术及管理手段,网络接入认证技术也迅速普及。传统的用户网络接入认证方式主要有802.1X(基于端口的访问控制协议)认证和Portal(门户)认证。
请参阅图1,其为802.1x协议应用体系的用户接入控制系统的结构框图。它包括安装有802.1x客户端的用户终端11、接入控制设备12和认证服务器13。认证服务器13通常驻留在运营商的AAA(计费、认证和授权)中心。用户每次通过802.1x客户端发起身份认证请求,接入控制设备12通过转发该认证请求至认证服务器13,验证用户身份。
对网络接入用户实施802.1x认证时要求网络中接入层或汇聚层交换机支持1x功能,在接入端口或汇聚端口启动1x认证。用户在完成身份认证前,交换机的端口为受控状态,只有1x报文可以被转发;用户身份认证完成后,受控端口打开,用户可以正常访问网络。1x功能一旦被启用,用户在身份认证通过前,无法进行正常的网络访问。
上述802.1x协议应用体系的接入控制系统需要设置客户端,即要求每一用户终端安装一客户端,而且需要根据用户网络环境进行必要的配置,使用复杂。另外,客户端与接入控制设备之间只能是二层转发,通常接入控制设备只有接入层交换机或BAS(宽带接入服务器)设备才支持802.1x协议认证,具有局限性。
为此,Portal认证由于使用WEB页面登录网络、其操作简单、无需客户端受到用户欢迎,因此被广泛使用。请参阅图2,其为Portal协议应用体系的接入控制系统的结构框图。该接入控制系统包括用户终端21、接入控制设备22、Portal服务器24和认证服务器23。该用户接入控制系统的用户终端11可以安装客户端软件,也可以不安装专门的客户端软件。用户终端21通常不安装专门的客户端软件,只需浏览器就能完成用户认证,这对用户来说较为方便。
用户终端21通过DHCP(动态主机配置)协议获取到IP地址,但是用户使用获取的IP地址并不能登录预访问网络,在认证通过前只能访问特定的IP地址,这个地址是Portal服务器24的IP地址。由Portal服务器24向用户下发Portal认证Web页面。用户在认证页面上输入用户名、密码,提交给Portal服务器24,由Portal服务器24将获取到的用户名和密码发送给接入控制设备22,并由接入控制设备22通过认证服务器23对用户进行认证。在认证通过后,才允许用户进行正常的网络访问。
但是,上述的接入控制系统和对应的接入控制方法还存在以下缺陷第一上述的接入控制系统需要额外的Portal服务器,大大增加用户认证的成本。通常,接入控制系统是对用户的网络访问行为进行有效地控制,每一接入控制系统不仅需要配置一Portal服务器,而且在日常还需要对Portal服务器进行维护,成本很高。
第二在接入控制过程中,每一用户终端的密码需要先提交给Portal服务器,再由Portal服务器发给对应接入控制设备,后由接入控制设备发给认证服务器进行认证。过程复杂且效率低,而且容易引起信息外泄,从而降低安全。
第三若和Portal服务器连接的接入控制设备有多个,每一控制设备下配置有多个用户终端,当多个用户同时需要身份认证时,容易造成访问Portal服务器出现瓶颈的情况发生,进而引起网络阻塞,从而降低整个网络数据传输的速率。
发明内容
本发明的一目的在于提供一种接入控制设备,以解决现有技术中用户接入网络的认证过程需要额外的Portal服务器,从而增加成本的技术问题。
本发明的另一目的在于提供接入控制系统和方法,以解决现有技术中用户接入网络的认证过程需要额外的Portal服务器,从而增加成本的技术问题。
为了达到本发明的目的,本发明公开了一种接入控制设备,所述接入控制设备包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问,以及接收到身份认证信息后通过与预先存储的身份信息进行比对完成对用户身份的认证,或者接收到身份认证信息通过访问外部认证服务器完成对用户身份的认证;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
所述接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件后,禁止该用户访问外部网络。
所述接入控制设备还包括访问权限限制单元限制用户的访问权限,使其只能访问受限网络资源。
一种接入控制系统,包括用户终端,还包括和用户终端连接的接入控制设备,所述接入控制设备包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问,以及接收web服务器的身份认证信息后,通过与预先存储的身份信息进行比对完成对用户身份的认证;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
所述接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件后,禁止该用户访问外部网络。
一种接入控制系统,包括用户终端,还包括和用户终端连接的接入控制设备,和接入控制设备连接的认证服务器,所述接入控制设备包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
认证服务器,用于接收从接入控制单元发送的认证请求,完成对用户的身份认证,并将认证结果返回至接入控制单元。
所述接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件,禁止该用户访问外部网络。所述接入控制设备还包括访问权限限制单元限制用户的访问权限,使其只能访问受限网络资源。
一种接入控制方法,包括以下步骤(1)在接入控制设备上集成web服务单元;(2)当用户接入网络时,web服务单元获得用户身份认证信息,通过接入控制设备预先保存的身份信息或访问外部的认证服务器完成对用户的身份认证,并将认证结果通过web页面返回至对应的用户终端;(3)使通过身份认证的用户访问外部网络资源。
本方法还包括定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络。另外,本方法还包括设定认证成功页面始终打开;接收用户结束对外部网络访问的触发事件,禁止该用户访问外部网络。
本发明的接入控制系统不需要额外的Portal服务器,就能实现对用户的网络访问行为进行有效地控制,降低了控制的成本。并且,用户终端的密码等表征本用户身份信息只需提供给接入控制设备进行认证即可,不容易引起信息外泄,提高认证过程的安全性。另外,各个对用户的认证都在内部网络的接入控制设备完成,认证简单。通常,用户在接入控制系统的网络部署时,即可购买本发明的接入控制设备,用户投资小且部署方便。
图1为802.1x协议应用体系的用户接入控制系统的结构框图;图2为Portal协议应用体系的接入控制系统的结构框图;图3为本发明公开的接入控制设备的原理结构示意图;图4为本发明公开的第一种接入控制系统的原理结构示意图;图5为本发明公开的第二种接入控制系统的原理结构示意图;图6为本发明公开的接入控制方法的流程图。
具体实施例方式
以下结合附图,具体说明本发明。
本发明的核心在于,本发明在接入控制设备中集成一web服务单元,不仅不需要客户端,而且也不需要增加额外设备,另外,本发明的接入控制系统可以适用二层网络,而且也适用于三层网络。
请参照图3,其为一种接入控制设备的结构示意图。该接入控制设备包括接入控制单元51和web服务单元52,其中接入控制单元51用于控制用户对外部网络的访问,以及接收到身份认证信息后通过与预先存储的身份信息进行比对完成对用户身份的认证,或者接收到身份认证信息通过访问外部认证服务部完成对用户身份的认证;web服务单元52用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
该接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件后,禁止该用户访问外部网络。
该接入控制设备还包括访问权限限制单元限制用户的访问权限,使其只能访问受限网络资源。
本发明在接入控制设备中集成一web服务单元,在接入控制过程中,不仅不需要客户端,而且也不需要增加额外设备,操作方便且节省成本。
事实上,上述的接入控制设备有两种不具有认证功能的接入控制设备和具有认证功能的接入控制设备。以下就分别介绍包括有不具有认证功能的接入控制设备的接入控制系统(即后续的第一种接入控制系统)和包括集成认证功能的接入控制设备的接入控制系统(即后续的第二种接入控制系统)。
请参阅图4,其为本发明公开的第一种接入控制系统的原理结构示意图。它包括用户终端31、和用户终端连接的接入控制设备32,所述接入控制设备32包括接入控制单元321和web服务单元322,其中接入控制单元321用于控制用户对外部网络的访问,以及接收web服务单元322的身份认证信息后,通过与预先存储的身份信息进行比对完成对用户身份的认证;web服务单元322用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元321,后将返回的认证结果发送至所述用户终端。
用户终端31通过接入控制设备32访问外部网络资源(网络B)时,接入控制设备32检查用户的身份状态,对未经过身份认证的用户,禁止访问受限制的网络资源。如果用户要访问受限制的网络资源,首先通过HTTP访问一个任意的主机,该HTTP访问请求被接入控制设备截获后,根据用户的IP(还可以包括MAC地址)检查通过认证的用户表,由于该用户不在表中,表示还没有认证通过,且被访问的资源是受限制的资源,则设备仿冒用户访问的设备进行回应。回应中表明用户的访问需要临时重定向,被重定向的URL为web服务单元322提供的Web认证页面,这样,用户可以进行用户身份认证。该认证可以基于用户终端的IP地址实现(还可以包括用户的MAC地址),检查用户终端的源IP地址,如果该IP地址不在已认证用户的IP地址列表中,则认为拥有此IP地址的终端用户未经认证。Web服务单元322获得用户在认证登录页面上输入的用户名和密码后,提交至接入控制单元321,接入控制单元321将该用户名和密码与预先存储的身份信息进行比对,完成对用户的身份认证,并将认证结果返回至web服务单元322。Web服务单元322根据返回的认证结果返回对应的认证成功页面或返回认证失败页面。并且,当认证成功时,接入控制单元321允许对应的用户终端访问外部网络资源。
本发明的接入控制系统不需要额外的Portal服务器,就能实现对用户的网络访问行为进行有效地控制,降低了控制的成本。并且,用户终端的密码等表征本用户身份信息只需提供给接入控制设备进行认证即可,不容易引起信息外泄,提高认证过程的安全性。另外,各个对用户的认证都在内部网络(网络A)的接入控制设备完成,认证简单。通常,用户在接入控制系统的网络部署时,即可购买本发明的接入控制设备,用户投资小且部署方便。
当然,本系统也可以还包括与接入控制设备32直接连接或通过网络与接入控制设备32连接的认证服务器,用于接收从接入控制设备32发送的认证请求,完成对用户的身份认证或安全认证,并将认证结果返回至认证服务器。
本发明的接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则从已认证用户表中删除该用户,禁止该用户访问外部网络,以及接收用户结束对外部网络访问的触发事件,从已认证用户表中删除该用户,禁止该用户访问外部网络。当向用户终端返回认证成功页面时,使能“永久连接”选项,这样用户在下载完认证成功页面后该页面会一直存在,直至用户点击该页面上的退出按钮。若用户点击该页面上的退出按钮,则向接入控制设备32发送该用户结束对外部网部访问的触发事件,用户在线状态检测单元捕获该消息后,将该用户的IP从已认证用户的IP地址列表中删除,并禁止该用户访问外部网络。用户在线状态检测单元也可以定周期检测该用户是否在线,比如,在预设时间内检测该用户是否访问过外部网络,若没有,则认定该用户不在线。当用户不在线时,将该用户的IP从已认证用户的IP地址列表中删除,并禁止该用户访问外部网络。
本发明还可以对认证通过的用户通过ACL控制该用户只能访问受限网络资源。本领域的技术人员知道,ACL是一种访问控制技术,使用包过滤技术,在路由器/交换机上读取第二层、第三层及第四层包头中的信息,如源地址,目的地址、源地址、目的端口等,根椐预先定义好的规则对包进行过滤,从而达到访问控制的目的。
本发明还包括访问权限限制单元,用于限制用户的访问权限,使用只能访问受限网络资源。比如,本发明预先在接入控制设备上设定受控ACL,其列表中包括受限网络资源的IP地址或网段。当用户身份认证通过后,使该用户只能访问ACL所列的网络资源。
需要说明的是,用户终端31、接入控制设备32、认证服务器33之间的通信可以采用预设的非对称密码加密进行报文合法性验证。
用户信息可以分散到每一接入控制设备上,也可以集中到认证服务器(Radius、Tacacs)上。请参阅图5,其为本发明公开的第二种接入控制系统的原理结构示意图。它包括用户终端41,和用户终端41连接的接入控制设备42,和接入控制设备42连接的认证服务器43,所述接入控制设备42包括接入控制单元421和web服务单元422,其中接入控制单元421用于控制用户对外部网络的访问;web服务单元422用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
认证服务器43,用于接收从接入控制设备发送的认证请求,完成对用户的身份认证,并将认证结果返回至认证服务器。认证服务器可以是外部的通用RADIUS服务器、TACACS服务器等。RADIUS拨入用户服务远程认证。是一种认证服务器协议,其中有用户数据库。接入控制设备与RADIUS服务器通过交互完成用户的认证工作。TACACS一种用于终端接入访问控制用户认证的协议。与RADIUS完成类似的功能。
和本发明公开的第一种接入控制系统相比,接入控制设备42不在本端保存有需要认证的用户信息,将获得的用户终端的需要认证信息直接发送至认证服务器43,进行认证。
需要说明的是,用户终端41、接入控制设备42、认证服务器43之间的通信可以采用预设的非对称密码加密进行报文合法性验证。
本发明公开一种接入控制方法。请参阅图6,它包括S110在接入控制设备上集成web服务单元;S120当用户接入网络时,web服务单元获得用户身份认证信息,通过接入控制设备预先保存的身份信息或访问外部的认证服务器完成对用户的身份认证,并将认证结果通过web页面返回至对应的用户终端;S130使通过身份认证的用户访问外部网络资源。
在接入控制设备中集成一个Web服务单元,并增加一个登录页面、认证成功页面、认证失败页面。当接入控制设备的接入控制单元发现一个访问Web服务的报文时,预先判断该用户是否经过认证,若经过认证,则允许其访问外部网络,若没有则将该用户的web访问强制重定向到web服务单元的认证页面。用户在认证页面中输入的用户名和密码等需要认证的信息,将其提交给Web服务单元。Web服务单元将获得的用户名和密码等需要认证的信息发送至接入控制单元,接入控制单元通过预先存储于本端的身份信息或访问外部的认证服务器对用户进行认证。认证失败后向用户返回认证失败页面。如果认证成功,向用户返回认证成功页面,允许用户访问外部网络。认证成功页面会始终打开,具有用户在线状态检测的功能。用户可以在认证成功页面上点击退出按钮结束对外部网络的访问。用户退出后,接入设备删除用户,禁止用户对外部的访问。如果在一定的时间内检测不到用户在线,则禁止用户访问外部网络。
本发明的认证流程简单,不容易引起网络阻塞,并提高了认证的速度。另外,由于认证成功页码采用保活机制,用户可以在需要的时候下线,对于需要计费的用户,接入控制设备可以准确记录用户的在线时间。
以上公开的仅为本发明的几个具体实施例,但本发明并非局限于此,任何本领域的技术人员能思之的变化,都应落在本发明的保护范围内。
权利要求
1.一种接入控制设备,其特征在于,包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问,以及接收到身份认证信息后通过与预先存储的身份信息进行比对完成对用户身份的认证,或者接收到身份认证信息通过访问外部认证服务器完成对用户身份的认证;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
2.如权利要求1所述的接入控制设备,还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件后,禁止该用户访问外部网络。
3.如权利要求1或2所述的接入控制设备,其特征在于,还包括访问权限限制单元限制用户的访问权限,使其只能访问受限网络资源。
4.一种接入控制系统,包括用户终端,其特征在于,还包括和用户终端连接的接入控制设备,所述接入控制设备包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问,以及接收web服务器的身份认证信息后,通过与预先存储的身份信息进行比对完成对用户身份的认证;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。
5.如权利要求4所述的系统,其特征在于,所述接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件后,禁止该用户访问外部网络。
6.一种接入控制系统,包括用户终端,其特征在于,还包括和用户终端连接的接入控制设备,和接入控制设备连接的认证服务器,所述接入控制设备包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。认证服务器,用于接收从接入控制单元发送的认证请求,完成对用户的身份认证,并将认证结果返回至接入控制单元。
7.如权利要求6所述的系统,其特征在于,所述接入控制设备还包括用户在线状态检测单元,用于定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络,和/或接收用户结束对外部网络访问的触发事件,禁止该用户访问外部网络。
8.如权利要求6或7所述的系统,其特征在于,所述接入控制设备还包括访问权限限制单元限制用户的访问权限,使其只能访问受限网络资源。
9.一种接入控制方法,其特征在于,包括(1)在接入控制设备上集成web服务单元;(2)当用户接入网络时,web服务单元获得用户身份认证信息,通过接入控制设备预先保存的身份信息或访问外部的认证服务器完成对用户的身份认证,并将认证结果通过web页面返回至对应的用户终端;(3)使通过身份认证的用户访问外部网络资源。
10.如权利要求9所述的方法,其特征在于,还包括定周期检测通过认证的用户是否在线,若不在线则禁止该用户访问外部网络。
11.如权利要求9所述的方法,其特征在于,还包括设定认证成功页面始终打开;接收用户结束对外部网络访问的触发事件,禁止该用户访问外部网络。
全文摘要
一种接入控制设备,包括接入控制单元和web服务单元,其中接入控制单元用于控制用户对外部网络的访问,以及接收到身份认证信息后通过与预先存储的身份信息进行比对完成对用户身份的认证,或者接收到身份认证信息通过访问外部认证服务部完成对用户身份的认证;web服务单元用于在用户接入网络时获得用户身份认证信息,并将用户身份认证信息发送至接入控制单元,后将返回的认证结果发送至所述用户终端。本发明的接入控制设备不需要额外的Portal服务器,就能实现对用户的网络访问行为进行有效地控制,降低了控制的成本。并且,用户终端的密码等表征本用户身份信息只需提供给接入控制设备进行认证即可,不容易引起信息外泄,提高认证过程的安全性。
文档编号H04L9/32GK1889465SQ20061010359
公开日2007年1月3日 申请日期2006年7月25日 优先权日2006年7月25日
发明者杨银柱 申请人:杭州华为三康技术有限公司