终端接入方法和装置制造方法

终端接入方法和装置制造方法
【专利摘要】本申请提供了终端接入方法和装置。其中，该方法包括：网络接入设备获取终端的用户指纹信息；网络接入设备在所述终端被认证之前发送所述终端的用户指纹信息至入口Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。采用本发明，能够实现网络接入设备通过协议报文将终端的用户指纹信息发送给Portal服务器，无需在DHCP Server上安装用于将终端的用户指纹信息发送给认证服务器的DHCP Agent插件。
【专利说明】终端接入方法和装置

【技术领域】
[0001]本申请涉及网络通信技术，特别涉及终端接入方法和装置。

【背景技术】
[0002]随着以iPhone、iPad、Android等为代表的智能电话和平板电脑的流行，自带设备(BYOD:Bring Your Own Device)逐渐进入人们的视野,越来越多的企业员工会带着自己的终端设备到办公室工作。这种方式不仅方便了员工的选择，同时让企业节省一大笔办公电脑的固定投资。
[0003]企业允许员工或者访客携带自己的终端设备进入公司网络，公司网络就需要智能识别出这些终端设备的型号，是否是公司的资产，并给与终端设备不同的权限。
[0004]图1所示的流程示出了公司网络如何为企业员工或者企业访客携带的终端设备分配权限。以下为便于描述，均将企业员工或者企业访客携带的终端设备称为终端。
[0005]图1所示的流程包括以下步骤:
[0006]步骤101,终端向动态主机设置协议(DHCP: Dynami cHo s tConf i gurat i onPro toco I)服务器(Server)申请IP地址，DHCP服务器返回DHCP客户端请求的IP地址。
[0007]步骤102,终端发送超文本传输协议(HTTP:Hypertexttransferprotocol)请求。
[0008]步骤103，网络接入设备接收到所述HTTP请求后，返回HTTP redirc (重定向)报文至终端。
[0009]所述HTTP重定向报文携带入口(Portal)服务器的网址。
[0010]步骤104，终端访问所述HTTP重定向报文中Portal服务器的网址。
[0011]步骤105，Portal服务器接收所述终端的访问时，从DHCP Server上安装的DHCP代理(Agent)插件中获取终端的用户指纹信息。
[0012]DHCP Agent插件是安装在DHCP Server上的，终端在申请IP地址、以及请求其他网络配置参数时与DHCP Server之间交互的所有DHCP报文都会经过此插件，此插件会依据经过的DHCP报文记录终端的用户指纹信息。具体地，终端的用户指纹信息至少包括终端的MAC地址、终端的网络配置参数。这里，终端的网络配置参数一般携带在DHCP Server返回给终端的DHCP报文的选项0PT10N55中，因此，终端的网络配置参数也称0PT10N55数据信肩、O
[0013]步骤106，Portal服务器根据获取的终端的用户指纹信息推送给终端对应的认证页面。
[0014]具体地，Portal服务器可依赖于终端的用户指纹信息确定终端的类型，该类型可为终端，或者为企业终端，当Portal服务器确定出终端时，推送终端对应的认证页面，而当Portal服务器确定出企业终端时，推送企业终端对应的认证页面。其中，终端对应的认证页面与企业终端对应的认证页面不同。
[0015]步骤107，终端在接收的认证页面提供验证信息比如用户名、密码给Portal服务器进行认证。
[0016]步骤108，Portal服务器、远程身份验证拨入用户服务(Radius)服务器通过标准的认证过程对验证信息进行认证，并根据之前获取的该终端的用户指纹信息下发该终端对应的访问控制列表(ACL -.Access Control List)权限至网络接入设备,并通知终端认证成功。
[0017]步骤109，终端访问网络，网络接入设备根据接收的该终端对应的ACL权限控制该终端的网络访问。
[0018]至此，完成图1所示流程。
[0019]从图1所示流程可以看出，在现有技术中，为了给企业员工或者企业访客携带的终端设备分配权限，需要在DHCP Server上安装DHCP Agent插件，由该DHCP Agent插件将终端的用户指纹信息发送给Portal服务器，这会增加DHCP Server的成本，且影响DHCPServer的处理性能,并且，DHCP Agent插件仅支持一种固定的操作系统，当Portal服务器和DHCP Agent插件支持的操作系统不一致，Portal服务器还需要对获取的终端的用户指纹信息进行处理，这样也增加了 Portal服务器的处理性能。


【发明内容】

[0020]本申请提供了终端接入方法和装置，以实现网络接入设备通过协议报文将终端的用户指纹信息发送给Portal服务器，避免在DHCP Server上安装DHCP Agent插件。
[0021]本申请提供的技术方案包括:
[0022]一种终端接入方法，包括:
[0023]网络接入设备获取终端的用户指纹信息；
[0024]网络接入设备在所述终端被认证之前发送所述终端的用户指纹信息至入口Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0025]一种终端接入方法，包括:
[0026]入口 Portal服务器接收所述终端在被认证之前发送的、且被重定向至本Portal服务器的HTTP请求；
[0027]Portal服务器发送信息请求报文至网络接入设备，以请求所述终端的用户指纹信息；
[0028]Portal服务器接收所述网络接入设备发送的所述终端的用户指纹信息，向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0029]一种终端接入方法，包括:
[0030]入口 Portal服务器接收所述终端在被认证之前访问本Portal服务器时发送的所述终端的用户指纹信息；
[0031]Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0032]一种网络接入设备，包括:
[0033]获取单元，用于记录终端的用户指纹信息；
[0034]发送单元，用于在所述终端被认证之前发送所述终端的用户指纹信息至入口Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0035]一种服务器，所述服务器为入口 Portal服务器，包括:
[0036]接收单元，用于接收所述终端在被认证之前发送的、且被重定向至本Portal服务器的HTTP请求；
[0037]请求单元，用于发送信息请求报文至网络接入设备，以请求所述终端的用户指纹信息；
[0038]推送单元，用于依据所述网络接入设备发送的所述终端的用户指纹信息向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0039]一种服务器，所述服务器为入口 Portal服务器，包括:
[0040]接收单元，用于接收所述终端在被认证之前访问本Portal服务器时发送的所述终端的用户指纹信息；
[0041]推送单元，用于向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0042]由以上技术方案可以看出，本发明中，由网络接入设备预先获取终端的用户指纹信息，不需要在DHCP Server上安装用于将终端的用户指纹信息发送给Portal服务器的DHCP Agent插件，而是由网络接入设备在终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。这避免了在DHCP Server上安装用于将终端的用户指纹信息发送给Portal服务器的DHCP Agent插件，实现了由网络接入设备通过协议报文将终端的用户指纹信息发送给Portal服务器。

【专利附图】

【附图说明】
[0043]图1为现有网络访问流程图；
[0044]图2为本发明实施例提供的方法流程图；
[0045]图3为本发明实施例1提供的方法流程图；
[0046]图4为本发明实施例2提供的方法流程图；
[0047]图5为本发明实施例提供的网络接入设备结构图；
[0048]图6为本发明实施例提供的服务器结构图；
[0049]图7为本发明实施例提供的服务器另一结构图。

【具体实施方式】
[0050]为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。
[0051]本发明提供的方法通过图2进行描述:
[0052]参见图2，图2为本发明实施例提供的方法流程图。如图2所示，该流程可包括以下步骤:
[0053]步骤201，网络接入设备获取终端的用户指纹信息。
[0054]步骤202，网络接入设备在所述终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0055]至此，完成图2所示的流程。
[0056]从图2所示流程可以看出，本发明中，在为企业员工或者企业访客携带的终端分配权限时，不需要在DHCP Server上安装用于将终端的用户指纹信息发送给Portal服务器的DHCP Agent插件，而是由网络接入设备在终端被认证之前主动将终端的用户指纹信息至入口 Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0057]下面通过两个实施例对图2所示的本发明提供的方法进行描述:
[0058]实施例1:
[0059]本实施例1中，Portal服务器在接收到终端被认证之前发送的超文本传输协议(HTTP)请求时向网络接入设备发送信息请求报文，由网络接入设备依据所述信息请求报文携带的所述终端的IP地址查找所述终端的用户指纹信息，并通过信息响应报文发送至所述Portal服务器。
[0060]这里，在不改进Portal协议的前提下，信息请求报文可为Portal协议中原本用于请求查询所述终端的用户物理信息的报文，具体为REQ-1NFO报文。对应地，信息响应报文可为Portal协议中原本用于响应所述终端的用户物理信息的报文。在所述信息请求报文为REQ-1NFO报文时，所述信息响应报文为ACK-1NFO报文。
[0061]也就是说，本实施例1中，将原本用于请求查询终端的用户物理信息的REQ-1NFO报文，使该REQ-1NFO报文不再单单地请求终端的用户物理信息，而是在请求终端的用户物理信息的基础上进一步请求终端的用户指纹信息。同理，本实施例1对响应终端用户物理信息的ACK-1NFO报文也进行了改进，使ACK-1NFO报文不再单单地携带终端的用户物理信息，而是在携带终端的用户物理信息的基础上进一步携带终端的用户指纹信息。
[0062]当然，本实施例1中，信息请求报文、信息响应报文也可为基于本发明新创建的符合Portal协议格式的报文。
[0063]下面以信息请求报文为REQ-1NFO报文，信息响应报文为ACK-1NF0报文为例对本实施例1提供的方法进行描述:
[0064]参见图3，图3为本发明实施例1提供的方法流程图。在图3所示的流程中，以终端的用户指纹信息包括终端的MAC地址、opt1n55信息,终端标识为终端IP地址为例。
[0065]如图3所示，该流程可包括以下步骤:
[0066]步骤301，网络接入设备在终端与DHCP Server交互过程中记录终端获取的IP地址、opt1n55数据信息。
[0067]步骤302，网络接入设备建立所述终端的地址解析协议(ARP)表项，所述ARP表项中至少包括所述终端的IP地址、MAC地址。
[0068]本步骤302中，网络接入设备建立终端的ARP表项的原理与现有技术建立ARP表项的原理类似，这里不再赘述。
[0069]步骤303，终端在被认证之前发送HTTP请求。
[0070]步骤304，网络接入设备接收来自终端的HTTP请求，并返回一个携带统一资源定位符(URL:UniformResourceLocator)的 HTTP 重定向(redirect)报文给终端。
[0071]这里，HTTP redirect报文携带的URL为Portal服务器的网址。
[0072]步骤305,终端依据接收到的HTTP redirect报文携带的URL访问Portal服务器。
[0073]步骤306，Portal服务器在终端访问本Portal服务器时，发送REQ-1NFO报文至网络接入设备。
[0074]所述REQ-1NFO报文携带了所述终端的IP地址。
[0075]步骤307，网络接入设备接收所述REQ-1NFO报文，依据所述REQ-1NFO报文携带的IP地址在本地建立的ARP表项中查找所述终端MAC地址，以及依据所述REQ-1NFO报文携带的IP地址在本地记录的opt1n55数据信息中查找所述终端的opt1n55数据信息，将查找到的所述终端MAC地址、opt1n55数据信息组成终端的用户指纹信息并携带在ACK-1NFO报文中发送至Portal服务器。
[0076]步骤308，Portal服务器依据ACK-1NFO报文中携带的所述终端的用户指纹信息向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0077]具体地，Portal服务器依赖于终端的用户指纹信息确定终端的类型，当确定出终端为访客时，推送访客对应的认证页面，而当Portal服务器确定出所述终端为企业员工的终端时，推送企业终端对应的认证页面。其中，访客对应的认证页面与企业终端对应的认证页面一般不同。
[0078]作为本发明的一个实施例，为保证终端接入网络时，终端是安全，本发明中，可在终端接入网络前先对终端进行病毒扫描，确定终端安全后再对终端进行认证。
[0079]为实现在终端接入网络前先对终端进行病毒扫描，本发明中，优选地，可由Portal服务器向终端推送认证页面时在认证页面中嵌入病毒扫描标识，通过终端对病毒扫描标识的触发来对终端进行扫描，具体见步骤309至步骤310。其中，病毒扫描标识在认证页面中可以按钮的形式存在，也可以输入框的形式存在，本发明并不具体限定。
[0080]步骤309，所述终端在接收的所述认证页面上触发病毒扫描标识。
[0081]步骤310，Portal服务器在接收到所述终端对病毒扫描标识的触发时，启动对终端进行扫描，在通过扫描确定终端安全时，允许所述终端输入验证信息进行认证，而在通过扫描确定终端不安全时比如有病毒，则提示终端进行杀毒，在完成杀毒后，才允许所述终端输入验证信息进行认证。
[0082]本发明中，步骤310具体实现时，可通过以下两种方式实现:
[0083]方式1:
[0084]Portal服务器在接收到所述终端对病毒扫描标识的触发时，触发终端自身安装的防病毒软件对所述终端进行扫描；
[0085]终端在完成扫描后发送扫描结果给Portal服务器；
[0086]Portal服务器接收所述终端在完成扫描后发送的扫描结果，如果所述扫描结果为所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后，才允许所述终端输入验证信息进行认证，如果所述扫描结果为所述终端安全，允许所述终端输入验证信息进行认证。
[0087]也即，方式I是由终端在Portal服务器的触发下通过自身安装的防病毒软件进行扫描。
[0088]方式2:
[0089]Portal服务器在接收到所述终端对病毒扫描标识的触发时，远程控制本Portal服务器安装的防病毒软件对所述终端进行扫描，在完成扫描后如果确认所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后，才允许所述终端输入验证信息进行认证，如果确认所述终端安全，允许所述终端输入验证信息进行认证。
[0090]也即，方式2是由Portal服务器通过自身安装的防病毒软件对终端进行远程扫描。
[0091]在上述两个方式中，终端输入的验证信息可为用户账号、密码
[0092]步骤311，终端在被允许输入验证信息时，在所述认证页面中输入验证信息，并提交至Portal服务器。
[0093]步骤312, Portal服务器通过Portal协议封装所述验证信息形成Portal认证报文并发送至网络接入设备。
[0094]步骤313，网络接入设备将所述终端的用户指纹信息和所述Portal认证报文携带的验证信息携带在远程身份验证拨入用户服务(Radius)认证报文中发送给Radius服务器。
[0095]步骤314，Radius服务器对所述Radius认证报文携带的验证信息进行认证，在所述验证信息通过认证后通知网络接入设备终端认证成功，并依据所述Radius认证报文携带的终端的用户指纹信息下发所述终端的网络访问权限。
[0096]具体地，Radius服务器依赖于终端的用户指纹信息确定终端的类型，当确定出终端为访客时，下发对应访客的网络访问权限，而当确定出所述终端为企业员工的终端时，下发对应企业终端的网络访问权限。其中，访客对应的网络访问权限与企业终端对应的网络访问权限一般不同。
[0097]步骤315，网络接入设备接收并保存所述终端的网络访问权限，并将终端认证成功通知给Portal服务器，由Portal服务器通知终端。
[0098]步骤316，终端访问网络，网络接入设备依据所述终端的网络访问权限识别所述终端的网络访问是否越界，如果是，通知Portal服务器所述终端越界访问，由Portal服务器提供越界访问的提示给所述终端，或者提供所述终端即将加入隔离区域的提示给所述终端。
[0099]作为本发明的一个实施例，上述步骤316可进一步包括:
[0100]网络接入设备进一步通知Radius服务器重新下发所述终端对应的网络访问权限；
[0101]Radius服务器重新下发所述终端对应的网络访问权限，
[0102]网络接入设备接收并保存到Radius服务器重新下发的所述终端对应的网络访问权限，并删除之前保存的该终端对应的网络访问权限，以使得网络接入设备仅保存Radius服务器下发的所述终端最新的网络访问权限。
[0103]至此，完成图3所示的流程。
[0104]从图3所示流程可以看出，本发明中，由网络接入设备预先记录终端的用户指纹信息，不需要在DHCP Server上安装用于将终端的用户指纹信息发送给Portal服务器的DHCP Agent插件,而是当Portal服务器接收到终端被重定向至本Portal服务器访问时，通过Portal协议中的协议报文比如REQ-1NFO报文去网络接入设备请求终端的用户指纹信息；
[0105]进一步地，本发明中，Portal向终端推送的认证页面潜入了病毒扫描标识，只有终端安全时才对终端进行认证，这能构保证终端安全后接入网络；
[0106]更进一步地，本发明中，能够细分出终端是否越界访问，并在终端越界访问时，提供越界访问的提示给所述终端，或者提供所述终端即将加入隔离区域的提示给所述终端，提高网络的安全。
[0107]下面对实施例2进行描述:
[0108]实施例2:
[0109]参见图4，图4为本发明实施例2提供的方法流程图。在图4所示的流程中，以终端的用户指纹信息包括终端的MAC地址、opt1n55信息为例。
[0110]如图4所示，该流程可包括以下步骤:
[0111]步骤401至步骤403与实施例1中的步骤301至步骤303相同。
[0112]步骤404，网络接入设备接收来自终端的HTTP请求，并返回一个携带统一资源定位符(URL:UniformResourceLocator)和所述终端的用户指纹信息的HTTP重定向(redirect)报文给终端。
[0113]这里，HTTPredirect 报文携带的 URL 为 Portal Server 的网址。
[0114]步骤405,所述终端依据接收到的HTTP redirect报文携带的URL访问PortalServer,并将所述HTTP redirect报文携带的终端的用户指纹信息发送至Portal服务器。
[0115]步骤406，Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0116]步骤407至步骤415与实施例1中的步骤309至步骤316相同，这里不再赘述。
[0117]至此，完成图4所示流程。
[0118]以上通过实施例1和实施例2对本发明提供的方法进行了描述，下面对本发明提供的装置进行描述:
[0119]参见图5，图5为本发明实施例提供的网络接入设备结构图。如图5所示，该网络接入设备包括:
[0120]获取单元，用于记录终端的用户指纹信息；
[0121]发送单元，用于在所述终端被认证之前发送所述终端的用户指纹信息至入口Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0122]本发明中，所述终端的用户指纹信息至少包括所述终端的MAC地址、选项opt1n55数据信息；
[0123]所述获取单元通过以下步骤获取终端的用户指纹信息:
[0124]在终端与动态主机设置协议DHCP服务器交互过程中记录终端的标识和终端的opt1n55数据信息；
[0125]学习终端的MAC地址，并建立所述终端的地址解析协议ARP表项，所述ARP表项中至少包括所述终端的标识、MAC地址。
[0126]本发明中，发送单元通过以下两种结构方式在所述终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器:
[0127]第一种结构方式:
[0128]所述发送单元包括:
[0129]接收子单元，用于接收入口 Portal服务器发送的信息请求报文，所述信息请求报文是所述Portal服务器在收到终端在被认证之前发送的超文本传输协议HTTP请求时发送的；
[0130]发送子单元，用于依据所述信息请求报文携带的所述终端的标识查找所述终端的用户指纹信息，并将查找到的所述终端的用户指纹信息通过信息响应报文发送至所述Portal服务器。
[0131]第二种结构方式:
[0132]所述发送单元包括:
[0133]接收子单元，用于接收所述终端在被认证之前发起的超文本传输协议HTTP请求；
[0134]发送子单元，用于将所述终端的用户指纹信息和入口 Portal服务器的网址携带在重定向报文中返回给所述终端，以使终端在访问重定向报文中Portal服务器的网址时将所述终端的用户指纹信息发送至Portal服务器。
[0135]本发明中，所述认证页面中嵌入了病毒扫描标识；
[0136]本发明中，所述接收子单元进一步接收所述Portal服务器发送的Portal认证报文，所述Portal认证报文携带了所述终端在触发了所述认证页面嵌入的病毒扫描标识、且经过防病毒扫描验证本终端安全后在所述认证页面提交的验证信息；
[0137]基于此，如图5所示，所述网络接入设备进一步包括:
[0138]认证请求单元，用于将所述终端的用户指纹信息和所述Portal认证报文携带的验证信息携带在Radius认证报文中发送给远程身份验证拨入用户服务Radius服务器；
[0139]存储单元，用于接收并保存Radius服务器在所述验证信息通过认证后依据所述终端的用户指纹信息下发的所述终端的网络访问权限；
[0140]识别单元，用于当接收到所述终端的网络访问时，依据所述终端的网络访问权限识别所述终端的网络访问是否越界，如果是，将所述终端越界访问的消息通知给Portal服务器，以使Portal服务器提供越界访问的提示给所述终端，或者使Portal服务器提供所述终端即将加入隔离区域的提示给所述终端。
[0141]本发明中，所述识别单元进一步通知Radius服务器重新下发所述终端对应的网络访问权限；
[0142]所述存储单元接收到Radius服务器重新下发的所述终端对应的网络访问权限时，删除之前保存的该终端对应的网络访问权限，仅保存Radius服务器下发的所述终端最新的网络访问权限。
[0143]至此，完成图5所示的网络接入设备的描述。
[0144]参见图6，图6为本发明实施例提供的服务器的结构图。所述服务器为入口 Portal服务器，如图6所示，包括:
[0145]接收单元，用于接收所述终端在被认证之前发送的、且被重定向至本Portal服务器的HTTP请求；
[0146]请求单元，用于发送信息请求报文至网络接入设备，以请求所述终端的用户指纹信息；
[0147]推送单元，用于依据所述网络接入设备发送的所述终端的用户指纹信息向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0148]本发明中，所述认证页面嵌入了病毒扫描标识；
[0149]本发明中，所述接收单元进一步接收所述终端在所述认证页面上对嵌入的病毒扫描标识的触发；
[0150]本发明中，所述服务器进一步包括:控制单元；
[0151]所述控制单元，用于在所述接收单元接收到病毒扫描标识的触发时，
[0152]触发终端自身安装的防病毒软件对所述终端进行扫描，接收所述终端在完成扫描后发送的扫描结果，如果所述扫描结果为所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果所述扫描结果为所述终端安全，允许所述终端输入验证信息进行认证；或者，
[0153]远程控制本Portal服务器安装的防病毒软件对所述终端进行扫描，在完成扫描后如果确认所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果确认所述终端安全，允许所述终端输入验证信息进行认证；
[0154]基于此，本发明中，所述接收单元进一步接收所述终端在允许输入验证信息后在所述认证页面提交的验证信息；
[0155]所述推送单元进一步通过Portal协议封装所述验证信息形成Portal认证报文并发送至网络接入设备，以由网络接入设备将所述验证信息发送至远程身份验证拨入用户服务Radius服务器进行认证。
[0156]至此，完成图6所示的服务器结构图。
[0157]作为本发明另一实施例，本发明还提供了服务器的另一结构图。
[0158]参见图7，图7为本发明实施例提供的服务器的另一结构图。如图7所示，该服务器可包括:
[0159]接收单元，用于接收所述终端在被认证之前访问本Portal服务器时发送的所述终端的用户指纹信息；
[0160]推送单元，用于向所述终端推出与所述终端的用户指纹信息对应的认证页面。
[0161]优选地，本发明中，所述认证页面嵌入了病毒扫描标识；
[0162]所述接收单元进一步接收所述终端在所述认证页面上对嵌入的病毒扫描标识的触发；
[0163]所述服务器进一步包括:控制单元；
[0164]所述控制单元，用于在所述接收单元接收到病毒扫描标识的触发时，
[0165]触发终端自身安装的防病毒软件对所述终端进行扫描，接收所述终端在完成扫描后发送的扫描结果，如果所述扫描结果为所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果所述扫描结果为所述终端安全，允许所述终端输入验证信息进行认证；或者，
[0166]远程控制本Portal服务器安装的防病毒软件对所述终端进行扫描，在完成扫描后如果确认所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果确认所述终端安全，允许所述终端输入验证信息进行认证；
[0167]基于此，所述接收单元进一步接收所述终端在允许输入验证信息后在所述认证页面提交的验证信息；
[0168]所述推送单元进一步通过Portal协议封装所述验证信息形成Portal认证报文并发送至网络接入设备，以由网络接入设备将所述验证信息发送至远程身份验证拨入用户服务Radius服务器进行认证。
[0169]至此，完成图7所示的服务器的另一结构图。
[0170]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种终端接入方法，其特征在于，该方法包括: 网络接入设备获取终端的用户指纹信息； 网络接入设备在所述终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
2.根据权利要求1所述的方法，其特征在于，所述终端的用户指纹信息至少包括所述终端的MAC地址、选项opt1n55数据信息； 所述网络接入设备通过以下步骤获取终端的用户指纹信息: 网络接入设备在终端与动态主机设置协议DHCP服务器交互过程中记录终端的标识和终端的opt1n55数据信息； 网络接入设备学习终端的MAC地址，并建立所述终端的地址解析协议ARP表项，所述ARP表项中至少包括所述终端的标识、MAC地址。
3.根据权利要求1所述的方法，其特征在于，所述网络接入设备在终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器包括: 网络接入设备接收入口 Portal服务器发送的信息请求报文，所述信息请求报文是所述Portal服务器收到终端在被认证之前发送的超文本传输协议HTTP请求时发送的； 网络接入设备依据所述信息请求报文携带的所述终端的标识查找所述终端的用户指纹信息，并将查找到的所述终端的用户指纹信息通过信息响应报文发送至所述Portal服务器。
4.根据权利要求3所述的方法，其特征在于，所述信息请求报文为Portal协议中原本用于请求查询所述终端的用户物理信息的报文，具体为REQ-1NFO报文； 所述信息响应报文为Portal协议中原本用于响应查询所述终端的用户物理信息的报文，进一步携带了所述终端的用户物理信息；在所述信息请求报文为REQ-1NFO报文时，所述信息响应报文为ACK-1NFO报文。
5.根据权利要求1所述的方法，其特征在于，所述网络接入设备在终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器包括: 网络接入设备接收所述终端在被认证之前发起的超文本传输协议HTTP请求； 网络接入设备将所述终端的用户指纹信息和入口 Portal服务器的网址携带在重定向报文中返回给所述终端，以使终端在访问重定向报文中Portal服务器的网址时将所述终端的用户指纹信息发送至Portal服务器。
6.根据权利要求3或5所述的方法，其特征在于，所述认证页面中嵌入了病毒扫描标识； 所述网络接入设备进一步包括: 接收所述Portal服务器发送的Portal认证报文,所述Portal认证报文携带了所述终端在触发了所述认证页面嵌入的病毒扫描标识、且经过防病毒扫描验证本终端安全后在所述认证页面提交的验证信息； 将所述终端的用户指纹信息和所述Portal认证报文携带的验证信息携带在远程身份验证拨入用户服务Radius认证报文中发送给Radius服务器； 接收并保存Radius服务器在所述验证信息通过认证后依据所述终端的用户指纹信息下发的所述终端的网络访问权限； 当接收到所述终端的网络访问时，依据所述终端的网络访问权限识别所述终端的网络访问是否越界，如果是，将所述终端越界访问的消息通知给Portal服务器，以使Portal服务器提供越界访问的提示给所述终端，或者使Portal服务器提供所述终端即将加入隔离区域的提示给所述终端。
7.根据权利要求6所述的方法，其特征在于，所述网络接入设备在将所述终端越界访问的消息通知给Portal服务器进一步包括: 通知Radius服务器重新下发所述终端对应的网络访问权限； 网络接入设备接收到Radius服务器重新下发的所述终端对应的网络访问权限时，删除之前保存的该终端对应的网络访问权限，仅保存Radius服务器下发的所述终端最新的网络访问权限。
8.—种终端接入方法，其特征在于，该方法包括: 入口 Portal服务器接收所述终端在被认证之前发送的、且被重定向至本Portal服务器的HTTP请求； Portal服务器发送信息请求报文至网络接入设备，以请求所述终端的用户指纹信息；Portal服务器接收所述网络接入设备发送的所述终端的用户指纹信息，向所述终端推出与所述终端的用户指纹信息对应的认证页面。
9.一种终端接入方法，其特征在于，该方法包括: 入口 Portal服务器接收所述终端在被认证之前访问本Portal服务器时发送的所述终端的用户指纹信息； Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
10.根据权利要求8或9所述的方法，其特征在于，所述Portal服务器向所述终端推送的认证页面嵌入了病毒扫描标识； 所述Portal服务器进一步包括: 接收所述终端在所述认证页面上对嵌入的病毒扫描标识的触发； 触发终端自身安装的防病毒软件对所述终端进行扫描，接收所述终端在完成扫描后发送的扫描结果，如果所述扫描结果为所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果所述扫描结果为所述终端安全，允许所述终端输入验证信息进行认证；或者，远程控制本Portal服务器安装的防病毒软件对所述终端进行扫描，在完成扫描后如果确认所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果确认所述终端安全，允许所述终端输入验证信息进行认证； 接收所述终端在允许输入验证信息后在所述认证页面提交的验证信息； 通过Portal协议封装所述验证信息形成Portal认证报文并发送至网络接入设备，以由网络接入设备将所述验证信息发送至远程身份验证拨入用户服务Radius服务器进行认证。
11.一种网络接入设备，其特征在于，该网络接入设备包括: 获取单元，用于记录终端的用户指纹信息； 发送单元，用于在所述终端被认证之前发送所述终端的用户指纹信息至入口 Portal服务器，以使所述Portal服务器向所述终端推出与所述终端的用户指纹信息对应的认证页面。
12.根据权利要求11所述的网络接入设备，其特征在于，所述终端的用户指纹信息至少包括所述终端的MAC地址、选项opt1n55数据信息； 所述获取单元通过以下步骤获取终端的用户指纹信息: 在终端与动态主机设置协议DHCP服务器交互过程中记录终端的标识和终端的opt1n55数据信息； 学习终端的MAC地址，并建立所述终端的地址解析协议ARP表项，所述ARP表项中至少包括所述终端的标识、MAC地址。
13.根据权利要求11所述的网络接入设备，其特征在于，所述发送单元包括: 接收子单元，用于接收入口 Portal服务器发送的信息请求报文，所述信息请求报文是所述Portal服务器在收到终端在被认证之前发送的超文本传输协议HTTP请求时发送的；发送子单元，用于依据所述信息请求报文携带的所述终端的标识查找所述终端的用户指纹信息，并将查找到的所述终端的用户指纹信息通过信息响应报文发送至所述Portal服务器。
14.根据权利要求11所述的网络接入设备，其特征在于，所述发送单元包括: 接收子单元，用于接收所述终端在被认证之前发起的超文本传输协议HTTP请求； 发送子单元，用于将所述终端的用户指纹信息和入口 Portal服务器的网址携带在重定向报文中返回给所述终端，以使终端在访问重定向报文中Portal服务器的网址时将所述终端的用户指纹信息发送至Portal服务器。
15.根据权利要求13或14所述的网络接入设备，其特征在于，所述认证页面中嵌入了病毒扫描标识； 所述接收子单元进一步接收所述Portal服务器发送的Portal认证报文,所述Portal认证报文携带了所述终端在触发了所述认证页面嵌入的病毒扫描标识、且经过防病毒扫描验证本终端安全后在所述认证页面提交的验证信息； 所述网络接入设备进一步包括: 认证请求单元，用于将所述终端的用户指纹信息和所述Portal认证报文携带的验证信息携带在Radius认证报文中发送给远程身份验证拨入用户服务Radius服务器； 存储单元，用于接收并保存Radius服务器在所述验证信息通过认证后依据所述终端的用户指纹信息下发的所述终端的网络访问权限； 识别单元，用于当接收到所述终端的网络访问时，依据所述终端的网络访问权限识别所述终端的网络访问是否越界，如果是，将所述终端越界访问的消息通知给Portal服务器，以使Portal服务器提供越界访问的提示给所述终端，或者使Portal服务器提供所述终端即将加入隔离区域的提示给所述终端。
16.根据权利要求15所述的网络接入设备，其特征在于，所述识别单元进一步通知Radius服务器重新下发所述终端对应的网络访问权限； 所述存储单元接收到Radius服务器重新下发的所述终端对应的网络访问权限时，删除之前保存的该终端对应的网络访问权限，仅保存Radius服务器下发的所述终端最新的网络访问权限。
17.一种服务器，其特征在于，所述服务器为入口 Portal服务器，包括: 接收单元，用于接收所述终端在被认证之前发送的、且被重定向至本Portal服务器的HTTP请求； 请求单元，用于发送信息请求报文至网络接入设备，以请求所述终端的用户指纹信息； 推送单元，用于依据所述网络接入设备发送的所述终端的用户指纹信息向所述终端推出与所述终端的用户指纹信息对应的认证页面。
18.一种服务器，其特征在于，所述服务器为入口 Portal服务器，包括: 接收单元，用于接收所述终端在被认证之前访问本Portal服务器时发送的所述终端的用户指纹信息； 推送单元，用于向所述终端推出与所述终端的用户指纹信息对应的认证页面。
19.根据权利要求17或18所述的服务器，其特征在于，所述认证页面嵌入了病毒扫描标识； 所述接收单元进一步接收所述终端在所述认证页面上对嵌入的病毒扫描标识的触发； 所述服务器进一步包括:控制单元； 所述控制单元，用于在所述接收单元接收到病毒扫描标识的触发时， 触发终端自身安装的防病毒软件对所述终端进行扫描，接收所述终端在完成扫描后发送的扫描结果，如果所述扫描结果为所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果所述扫描结果为所述终端安全，允许所述终端输入验证信息进行认证；或者， 远程控制本Portal服务器安装的防病毒软件对所述终端进行扫描，在完成扫描后如果确认所述终端不安全，则提示所述终端进行杀毒，在完成杀毒后才允许所述终端输入验证信息进行认证，如果确认所述终端安全，允许所述终端输入验证信息进行认证； 所述接收单元进一步接收所述终端在允许输入验证信息后在所述认证页面提交的验证信息； 所述推送单元进一步通过Portal协议封装所述验证信息形成Portal认证报文并发送至网络接入设备，以由网络接入设备将所述验证信息发送至远程身份验证拨入用户服务Radius服务器进行认证。
【文档编号】H04L29/06GK104283848SQ201310278636
【公开日】2015年1月14日 申请日期:2013年7月3日 优先权日:2013年7月3日
【发明者】邱春侠 申请人:杭州华三通信技术有限公司