一种带有认证的网络接入方法及系统与流程
本发明涉及信息安全领域,尤其涉及一种带有认证的网络接入方法及系统。
背景技术:
随着无线通信技术的发展以及移动终端的普及,无线通信的方式的应用越来越广泛,尤其是像商场、酒店、机场等公共场所。这种公共场所的无线网络,在用户接入时一般都需要进行身份认证,目前带有认证的网络接入方式主要由三种:
(1)通过网络设备认证;
(2)通过AD域认证;
(3)通过网络设备和AD域两者结合认证;
第一种认证方式的问题是:只认设备不认用户,注册过程比较麻烦,而且注册信息(IP地址)可以被伪造;
第二种认证方式存在的问题是:只认用户不认设备,用户与设备不绑定,并且需要在整个基础设施中引入微软的AD域管理,操作比较繁琐;
第三种认证方式虽然可以同时认证用户和设备,但是认证方式死板不灵活,以及必须在整个基础设施中引入微软的AD域管理的问题,操作比较繁琐。
技术实现要素:
本发明的目的是为了克服现有技术的不足,提供一种带有认证的网络接入方法及系统。
本发明提供了一种带有认证的网络接入方法,包括:
步骤S1:终端设备获取IP地址并根据所述IP地址向交换机发送访问请求;
步骤S2:所述交换机判断所述终端设备是否通过认证,是则允许所述终端设备访问网络,否则所述交换机给所述终端设备返回重定向状态码和已认证的URL地址,执行步骤S3;
步骤S3:所述终端设备根据所述重定向状态码和已认证的URL地址重定向到所述认证服务器的认证页面;
步骤S4:所述认证服务器根据访问用户在所述认证页面输入的信息判断访问用户的身份是否合法,是则执行步骤S5,否则给所述终端设备发送接入失败信息;
步骤S5:所述认证服务器给所述交换机发送认证通过信息;
步骤S6:所述认证服务器给所述终端设备发送认证通过信息;
步骤S7:所述终端设备根据所述IP地址向所述交换机发送访问请求,返回步骤S2。
其中,所述终端设备获取IP地址,具体为:所述终端设备获取静态的IP地址或获取动态的IP地址。
其中,所述终端设备获取静态的IP地址或获取动态的IP地址之前还包括:
所述终端设备判断是否需要获取动态的IP地址,是则通过发送获取IP指令获取动态的IP地址,否则获取静态IP地址。
其中,所述终端设备判断是否需要获取动态的IP地址,具体包括:所述终端设备判断配置项中是否设置自动获取IP地址,是则需要获取动态的IP地址,否则不需要获取动态的IP地址。
其中,所述步骤S5还包括:所述认证服务器给配置服务器发送认证通过信息;所述交换机和所述配置服务器分别将所述认证通过信息中的IP地址和对应MAC地址进行绑定保存;
所述获取动态的IP地址包括:
步骤P1:所述终端设备通过所述交换机向所述配置服务器发送所述获取IP指令;
步骤P2:所述配置服务器判断所述获取IP指令中的MAC地址是否通过认证,是则执行步骤P4,否则执行步骤P3;
步骤P3:所述配置服务器为所述终端设备分配IP地址并与所述MAC地址对应保存,将所述IP地址发送给所述终端设备,执行步骤S1;
步骤P4:所述配置服务器判断所述获取IP指令中的MAC地址是否有效,是则执行步骤P5,否则执行步骤P6;
步骤P5:所述配置服务器根据所述MAC地址获取对应的IP地址,并将获取到的IP地址发送给所述终端设备,执行步骤S1;
步骤P6:所述配置服务器通知所述交换机和所述认证服务器删除与所述MAC地址对应的IP地址,为所述终端设备分配新的IP地址并与所述MAC地址对应保存,将所述新的IP地址发送给所述终端设备,执行步骤S1。
其中,所述步骤P2包括:所述配置服务器判断是否保存了所述获取IP指令中的MAC地址,是则所述MAC地址通过认证,否则所述MAC地址未通过认证。
其中,所述执行步骤S1之前还包括:
步骤A1:所述终端设备获取到IP地址后给所述配置服务器发送IP确认指令;
步骤A2:所述配置服务器收到所述IP确认指令后给所述终端设备返回确认响应数据。
其中,所述步骤P4包括:
所述配置服务器判断所述获取IP指令中的MAC地址的格式是否合法,是则所述MAC地址有效,否则所述MAC地址无效;或
所述配置服务器判断所述获取IP指令中的MAC地址是否已经被其他用户使用,是则所述MAC地址无效,否则所述MAC地址有效。
其中,所述交换机判断所述终端设备是否通过认证,包括:所述交换机判断是否注册了所述终端设备的IP地址,是则所述终端设备通过认证,否则所述终端设备未通过认证。
其中,在所述步骤S4之前包括:
步骤b1:所述认证服务器在所述交换机中查询所述IP地址对应的MAC地址,如找到则执行步骤b2,否则通知所述终端设备认证失败;
步骤b2:所述认证服务器判断所述MAC地址与所述URL地址是否匹配,是则执行步骤S4,否则通知所述终端设备认证失败。
其中,所述方法还包括:所述认证服务器每隔预设时长进入定时中断,所述定时中断包括:
所述认证服务器判断所述终端设备是否在线,是则退出定时中断,否则通知所述交换机设备不在线,所述交换机解除所述MAC地址与所述IP地址的绑定,并删除保存的所述IP地址。
其中,所述方法还包括:所述认证服务器每隔预设时长进入定时中断,所述定时中断包括:
所述认证服务器判断所述终端设备是否过期,是则通知所述交换机设备过期,所述交换机解除所述MAC地址与所述IP地址的绑定,并删除保存的所述IP地址,否则通知所述终端设可以访问网络。
其中,所述认证服务器判断所述终端设备是否过期,具体为:所述认证服务器判断是否到达设备周期,是则所述终端设备过期,否则所述终端设备未过期。
其中,所述方法还包括:所述认证服务器每隔预设时长进入定时中断,所述定时中断包括:
步骤c1:所述终端设备接收用户的登录信息,并将所述登录信息发送给所述认证服务器;
步骤c2:所述认证服务器根据所述登录信息对用户身份进行认证,如认证通过则通知所述终端设备可以访问网络,否则执行步骤c3;
步骤c3:所述认证服务器通知所述终端设备认证未通过;
步骤c4:所述终端设备向所述认证服务器发送删除指令;
步骤c5:所述认证服务器通知所述配置服务器删除保存的所述MAC地址;
步骤c6:所述认证服务器通知所述交换机解除所述MAC地址与所述IP地址的绑定,并删除保存的所述IP地址;
步骤c7:所述认证服务器给所述终端设备发送删除设备成功信息。
其中,所述步骤S4与所述步骤S5之间包括:
步骤d1:所述认证服器判断所述访问用户是否支持多台设备,是则执行步骤d3,否则执行步骤d2;
步骤d2:认证服务器判断所述访问用户是否注册过其他设备,是则通知所述交换机删除其他设备的IP信息,通知所述配置服务器删除保存的其他设备信息,删除自身保存的其他设备信息,执行步骤d3,否则执行步骤d3;
步骤d3:所述认证服务器添加所述访问用户注册的设备信息,执行步骤S5。
本发明又提供了一种带有认证的网络接入系统,包括包括终端设备、交换机和认证服务器;
所述终端设备包括:
第一获取模块,用于获取IP地址;
第一发送模块,用于根据所述IP地址向所述交换机发送访问请求;
第一接收模块,用于接收所述交换机发送的所述重定向状态码和已认证的URL地址;
定向模块,用于根据所述重定向状态码和已认证的URL地址重定向到所述认证服务器的认证页面;
所述交换机包括:
第二接收模块,用于接收所述终端设备发送的访问请求;
第一判断模块,用于判断所述终端设备是否通过认证,是则允许所述终端设备访问网络,否则触发第二发送模块;
所述第二发送模块,用于给所述终端设备返回重定向状态码和已认证的URL地址;
所述认证服务器包括:
第二判断模块,用于根据访问用户在所述认证页面输入的信息判断访问用户的身份是否合法;
第三发送模块,用于当所述第二判断模块判断为是时分别给所述交换机和所述终端设备发送认证通过信息,当所述第二判断模块判断为否时给所述终端设备发送接入失败信息。
其中,所述第一获取模块具体用于获取静态的IP地址或获取动态的IP地址。
其中,所述终端设备还包括:
第三判断模块,用于判断所述终端设备是否需要获取动态的IP地址,是则触发所述第一获取模块通过发送获取IP指令获取动态的IP地址,否则触发所述第一获取模块获取静态IP地址。
其中,所述第三判断模块具体用于判断配置项中是否设置自动获取IP地址,是则需要获取动态的IP地址,否则不需要获取动态的IP地址。
其中,所述第三发送模块还用于当所述第二判断模块判断为是时给配置服务器发送认证通过信息;
所述交换机还包括第一绑定模块,用于将所述认证通过信息中的IP地址和对应MAC地址进行绑定保存;
所述配置服务器包括第二绑定模块,用于将所述认证通过信息中的IP地址和对应MAC地址进行绑定保存;
所述第一获取模块具体用于通过所述交换机向所述配置服务器发送所述获取IP指令;并接收所述配置服务器发送的新的IP地址;
所述配置服务器还包括:
第四判断模块,用于判断所述获取IP指令中的MAC地址是否通过认证,是则触发第五分配模块,否则触发第一判断模块;
所述第一分配模块,用于为所述终端设备分配IP地址并与所述MAC地址对应保存,将所述IP地址发送给所述终端设备,执行步骤S1;
所述第五判断模块,用于判断所述获取IP指令中的MAC地址是否有效,是则触发第二获取模块,否则触发通知保存模块;
所述第二获取模块,用于根据所述MAC地址获取对应的IP地址,并将获取到的IP地址发送给所述终端设备,执行步骤S1;
所述通知保存模块,用于通知所述交换机和所述认证服务器删除与所述MAC地址对应的IP地址,为所述终端设备分配新的IP地址并与所述MAC地址对应保存;
所述第三发送模块,还用于将所述第一分配模块分配的IP地址、所述第二获取模块获取到的IP地址、所述通知保存模块分配的新的IP地址发送给所述终端设备。
其中,所述第四判断模块具体用于判断是否保存了所述获取IP指令中的MAC地址,是则所述MAC地址通过认证,否则所述MAC地址未通过认证。
其中,所述系统还包括配置服务器,所述配置服务器包括第四发送模块;
所述第一发送模块,还用于给所述配置服务器发送IP确认指令;
所述第四发送模块,用于在收到所述IP确认指令后给所述终端设备返回确认响应数据。
其中,所述第五判断模块具体用于判断所述获取IP指令中的MAC地址的格式是否合法,是则所述MAC地址有效,否则所述MAC地址无效;或具体用于判断所述获取IP指令中的MAC地址是否已经被其他用户使用,是则所述MAC地址无效,否则所述MAC地址有效。
其中,所述第一判断模块具体用于判断是否注册了所述终端设备的IP地址,是则所述终端设备通过认证,否则所述终端设备未通过认证。
其中,所述认证服务器还包括:
第一查询模块,用于在所述交换机中查询所述IP地址对应的MAC地址,如找到则触发第六判断模块,否则通知所述终端设备认证失败;
所述第六判断模块,用于判断所述MAC地址与所述URL地址是否匹配,是则触发所述第二判断模块,否则通知所述终端设备认证失败。
其中,所述认证服务器包括第一定时模块,用于每隔预设时长后,判断所述终端设备是否在线,是则退出定时中断,否则通知所述交换机设备不在线;
所述交换机包括第一解绑模块,用于接收到所述第一定时模块发送的设备不在线时,解除所述MAC地址与所述IP地址的绑定,并删除保存的所述IP地址。
其中,所述认证服务器包括第二定时模块,用于每隔预设时长后,判断所述终端设备是否过期,是则通知所述交换机设备过期,否则通知所述终端设备可以访问网络;
所述交换机包括第二解绑模块,用于接收到所述第二定时模块发送的设备过期时,解除所述MAC地址与所述IP地址的绑定,并删除保存的所述IP地址。
其中,所述第二定时模块具体用于判断是否到达设备周期,是则所述终端设备过期,否则所述终端设备未过期。
其中,所述认证服务器还包括定时模块,
所述第一接收模块还用于接收用户的登录信息;
所述第一发送模块,还用于将所述登录信息发送给所述认证服务器,还用于向所述认证服务器发送删除指令;
所述第三接收模块还用于接收所述登录信息和所述删除指令;
所述定时模块包括:
认证单元,用于根据所述登录信息对用户身份进行认证,如认证通过则通知所述终端设备可以访问网络,否则触发第一通知单元;
所述第一通知单元,用于通知所述终端设备认证未通过;
第二通知单元,用于当接收到所述删除指令时通知所述配置服务器删除保存的所述MAC地址,通知所述交换机解除所述MAC地址与所述IP地址的绑定;
删除单元,用于删除保存的所述IP地址;
所述第三发送模块,还用于给所述终端设备发送删除设备成功信息。
其中,所述认证服务器还包括:
第七判断模块,用于判断所述访问用户是否支持多台设备,是则触发添加模块,否则触发第八判断模块;
所述第八判断模块,用于判断所述访问用户是否注册过其他设备,是则通知所述交换机删除其他设备的IP信息,通知所述配置服务器删除保存的其他设备信息,删除自身保存的其他设备信息,触发添加模块,否则触发添加模块;
所述添加模块,用于添加所述访问用户注册的设备信息。
本发明与现有技术相比,具有以下优点:方便的结合了用户认证及设备认证的方式;极大的简化了网络接入的注册认证过程;方便灵活的控制接入时间及接入权限。
附图说明
图1为本发明实施例一提供的一种带有认证的网络接入方法流程图;
图2为本发明实施例二提供的一种带有认证的网络接入方法流程图;
图3为本发明实施例三提供的一种带有认证的网络接入方法流程图;
图4为本发明实施例四提供的一种带有认证的网络接入系统方框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一提供一种带有认证的网络接入方法,应用于包括终端设备、交换机和认证服务器的系统中,如图1所示,包括:
步骤101:终端设备获取IP地址并根据IP地址向交换机发送访问请求;
具体的,在本实施例中,步骤S1包括:终端设备获取静态的IP地址或获取动态的IP地址,在该步骤之前还可以包括:终端设备判断是否需要获取动态的IP地址,是则通过发送获取IP指令获取动态的IP地址,否则获取静态IP地址;静态IP地址即用户自己设定的IP地址;
终端设备判断是否需要获取动态的IP地址,具体为:终端设备判断配置项中是否设置自动获取IP地址,是则需要获取动态的IP地址,否则不需要获取动态的IP地址;
步骤102:交换机判断终端设备是否通过认证,是则允许终端设备访问网络,否则执行步骤103;
具体的,在本实施例中,交换机判断是否注册有终端设备的IP地址,是则终端设备通过认证,否则终端设备未通过认证;
步骤103:交换机给终端设备返回重定向状态码和已认证的URL地址;
步骤104:终端设备根据重定向状态码和URL地址重定向到认证服务器的认证页面;
步骤105:认证服务器根据访问用户在认证页面输入的信息判断用户的身份是否合法,是则给交换机发送认证通过信息,执行步骤106,否则给终端设备发送接入失败信息;
优选的,在本实施例中,步骤105包括:认证服务器通过判断认证页面输入的用户名和密码是否正确,是则判断用户的身份合法,否则用户的身份不合法;判断用户身份是否合法还可以通过其他方式如判断输入的动态口令是否正确或终端设备对输入的信息进行数字签名然后认证服务器进行验签来实现,其实现方式并不限于上述方式,现有判断用户身份合法的方式均可实现,在此不再赘述;
步骤106:认证服务器给终端设备发送认证通过信息;
在本实施例中,步骤106还包括:认证服务器设置设备周期或设备状态标识;
步骤107:终端设备根据接IP地址向交换机发送访问请求,返回步骤102。
在本实施例中,认证服务器每隔预设时长进入定时中断,定时中断处理流程包括:
认证服务器判断终端设备是否在线,是则退出定时中断,否则通知交换机终端设备不在线,交换机解除MAC地址与IP地址的绑定,并删除保存的IP地址;
具体的,在本实施例中,认证服务器获取终端设备的状态标识,并判断设置的设备状态标识是否与获取的终端设备的状态标识匹配,是则终端设备在线,否则终端设备不在线,删除设置的设备状态。
上述中断处理还可以通过以下方式来实现;认证服务器判断终端设备是否过期,是则通知交换机设备过期,交换机解除MAC地址与IP地址的绑定,并删除保存的该终端设备的IP地址,否则通知终端设备可以访问网络。认证服务器判断终端设备是否过期,具体为:认证服务器判断是否到达设备周期,是则终端设备过期,否则终端设备未过期。
实施例二
本发明实施例二提供一种带有认证的网络接入方法,应用于包括终端设备、交换机、认证服务器和配置服务器的系统中,如图2所示,包括:
步骤201:终端设备判断是否需要获取动态的IP地址,是则执行步骤202,否则获取静态IP地址,执行步骤211;
具体的,在本实施例中,终端设备判断配置项中是否设置自动获取IP地址,是则需要获取动态的IP地址,否则不需要获取动态的IP地址;
在本实施例中,如终端设备判断不需要获取动态的IP地址即需要获取用户手动设置的IP地址;
步骤202:终端设备向交换机发送获取IP指令;
例如,本实施例中发送的IP指令为:ff ff ff ff ff ff 14 fe b5 ee c5 a3 08 00 45 0001 48 63 ce 00 00 80 11 d5 d7 00 00 00 00 ff ff ff ff 00 44 00 43 01 34 01 45 01 0106 00 04 90 ca 51 00 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 14 feb5 ee c5 a3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 63 82 53 63 35 01 01 3d 07 0114 fe b5 ee c5 a3 32 04 c0 a8 04 ce 0c 07 6d 74 65 73 74 30 32 3c 08 4d 53 46 54 2035 2e 30 37 0c 01 0f 03 06 2c 2e 2f 1f 21 79 f9 2b ff 00 00 00 00 00 00 00 00;
步骤203:交换机向配置服务器发送获取IP指令;
在本实施例中,IP指令中包括MAC地址;MAC(Media Access Control或者Medium Access Control)地址,为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址。因此一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址。
例如,上述IP指令中的MAC地址为第70-75位数据:14 fe b5 ee c5 a3;
步骤204:配置服务器判断获取IP指令中的MAC地址是否通过认证,是则执行步骤206,否则执行步骤205;
本实施例中的配置服务器用于动态为主机配置协议;
具体的,在本实施例中,配置服务器判断是否保存了获取IP指令中的MAC地址,是则获取IP指令中的MAC地址通过认证,否则获取IP指令中的MAC地址未通过认证;
在本实施例中,配置服务器保存的MAC地址与IP地址一一对应;
步骤205:配置服务器为终端设备随机分配IP地址并与MAC地址对应保存,将该IP地址发送给终端设备,执行步骤209;
例如,该步骤发送给终端设备的数据包为:ff ff ff ff ff ff 14 fe b5 dd fa e6 0800 45 10 01 48 00 00 00 00 80 11 74 1e c0 a8 04 cf ff ff ff ff 00 43 00 44 01 34 31 4602 01 06 00 04 90 ca 51 00 00 80 00 00 00 00 00 c0 a8 32 0a c0 a8 04 cf 00 00 00 0014 fe b5 ee c5 a3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 63 82 53 63 35 01 02 36 04c0 a8 04 cf 33 04 00 00 70 80 01 04ff ff ff 00 0f 0c 6d 74 65 73 74 30 33 2e 70 61 6765 03 04 c0 a8 32 fe 06 04 c0 a8 00 01 ff 00 00 00 00 00 00;其中的IP地址为:c0a8 04 cf,十进制表达法为192.168.0.207;
步骤206:配置服务器判断获取IP指令中的MAC地址是否有效,是则执行步骤207,否则执行步骤208;
具体的,在本实施例中,步骤206包括:配置服务器判断获取IP指令中的MAC地址的格式是否合法,是则MAC地址有效,否则MAC地址无效;或,配置服务器判断获取IP指令中的MAC地址是否已经被其他用户使用,是则MAC地址无效,否则MAC地址有效。
步骤207:配置服务器根据MAC地址获取对应的IP地址,并将该IP地址发送给终端设备,执行步骤209;
步骤208:配置服务器通知交换机和认证服务器删除该MAC地址对应的IP地址,并为终端设备随机分配IP地址并与MAC地址对应保存,将该IP地址发送给终端设备,执行步骤209;
步骤209:终端设备获取到IP地址后给配置服务器发送IP确认指令;
例如,本实施例中发送的IP确认指令为:ff ff ff ff ff ff 14 fe b5 ee c5 a3 08 0045 00 01 52 63 cf 00 00 80 11 d5 cc 00 00 00 00 ff ff ff ff 00 44 00 43 01 3e 01 4f 0101 06 00 04 90 ca 51 00 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0014 fe b5 ee c5 a3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 63 82 53 63 35 01 03 3d 0701 14 fe b5 ee c5 a3 32 04 c0 a8 32 0a 36 04 c0 a8 04 cf 0c 07 6d 74 65 73 74 30 3251 0a 00 00 00 6d 74 65 73 74 30 32 3c 08 4d 53 46 54 20 35 2e 30 37 0c 01 0f 03 062c 2e 2f 1f 21 79 f9 2b ff;
步骤210:配置服务器接收到IP确认指令后给终端设备返回确认响应数据;
例如,本实施例中返回的确认响应数据为:ff ff ff ff ff ff 14 fe b5 dd fa e6 0800 45 10 01 48 00 00 00 00 80 11 74 1e c0 a8 04 cf ff ff ff ff 00 43 00 44 01 34 2e 4602 01 06 00 04 90 ca 51 00 00 80 00 00 00 00 00 c0 a8 32 0a c0 a8 04 cf 00 00 00 0014 fe b5 ee c5 a3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 63 82 53 63 35 01 05 36 04c0 a8 04 cf 33 04 00 00 70 80 01 04 ff ff ff 00 0f 0c 6d 74 65 73 74 30 33 2e 70 61 6765 03 04 c0 a8 32 fe 06 04 c0 a8 00 01 ff 00 00 00 00 00 00 00 00 00 00 00 00;
步骤211:终端设备根据IP地址向交换机发送访问请求;
例如,本实施例中发送的访问请求为:http://1.1.1.1;
步骤212:交换机判断终端设备是否通过认证,是则允许终端设备访问网络,否则执行步骤213;
具体的,在本实施例中,交换机判断是否注册有终端设备的IP地址,是则终端设备通过认证,否则终端设备未通过认证;
步骤213:交换机给终端设备返回重定向状态码和已认证的URL地址;
例如,在本实施例中,重定向状态码为302,已认证的URL地址为:http://10.0.201.253/?mac=a4:1f:72:75:cd:4a&url=http://1.1.1.1&nasname=48switch&wlanuserip=10.0.200.252;其中,http://10.0.201.253为认证服务器URL地址,a4:1f:72:75:cd:4a为MAC地址,http://1.1.1.1为终端设备原本企图访问的地址,48switch为交换机的名字,10.0.200.252为终端设备的IP地址,&为连接符号;
步骤214:终端设备根据重定向状态码和URL地址重定向到认证服务器的认证页面;
步骤215:认证服务器根据访问用户在认证页面输入的信息判断用户身份是否合法,是则执行步骤216,否则给终端设备发送接入失败信息;
具体的,在本实施例中,认证服务器通过用户信息判断用户身份是否合法;例如:判断输入的用户名和密码是否正确,是则用户身份合法,否则用户身份不合法;判断用户身份是否合法还可以通过其他方式如判断输入的动态口令是否正确或终端设备对输入的信息进行数字签名然后认证服务器进行验签来实现,其实现方式并不限于上述方式,现有判断用户身份合法的方式均可实现,在此不再赘述;
在本实施例中,如在安全要求较高的环境中则认证服务器需要验证IP是否被伪造,即在步骤215之前包括:认证服务器在交换机中查询IP地址对应的MAC地址,判断该MAC地址与URL地址是否匹配,是则IP地址未被伪造,执行步骤215,否则IP地址被伪造,通知终端设备认证失败,禁止访问;如在交换机中找不到IP地址则认证服务器也会通知终端设备认证失败,禁止访问;具体的,本实施例中的URL地址中包括MAC地址;
步骤216:认证服务器给交换机发送附带IP地址信息和MAC地址信息的认证通过信息;
在本实施例中,交换机接收到通过认证信息后将该IP地址和MAC静态绑定;
步骤217:认证服务器给配置服务器发送附带IP地址信息和MAC地址信息的认证通过信息;
在本实施例中,配置服务器接收到认证通过信息后设置对应的MAC地址通过认证;例如,本实施例中的认证通过信息为:01 00 0a 00 c8 fc a4 1f 72 75 cd 4a;
步骤218:认证服务器给终端设备发送认证通过信息;
在本实施例中,步骤218还包括:认证服务器设置设备周期或设备状态标识;
其中,本实施例中的步骤216、217、218没有先后顺序,顺序可以任意调换;
步骤219:终端设备根据IP地址向交换机发送访问请求,返回步骤212。
在本实施例中,认证服务器每隔预设时长进入定时中断,定时中断处理流程包括:
认证服务器判断终端设备是否在线,是则退出定时中断,否则通知交换机设备不在线,交换机解除MAC地址与IP地址的绑定并删除保存的该终端设备的IP地址;
具体的,在本实施例中,认证服务器获取终端设备的状态标识,并判断预设的设备状态标识是否与获取的终端设备的状态标识匹配,是则终端设备在线,否则终端设备不在线,删除设置的设备状态标识。
上述中断处理还可以通过以下两种方式来实现:
第一种实现方式:认证服务器判断终端设备是否过期,是则通知交换机设备过期,交换机解除MAC地址与IP地址的绑定并删除保存的该终端设备的IP地址,否则通知终端设备可以访问网络。认证服务器判断终端设备是否过期,具体为:认证服务器判断是否到达设备周期,是则终端设备过期,否则终端设备未过期。
第二种实现方式:
步骤a1:终端设备接收用户的登录信息,并将该登录信息发送给认证服务器;
步骤a2:认证服务器根据登录信息对用户身份进行认证,如认证通过则允许终端设备访问网络,否则执行步骤a3;
具体的,在本实施例中,认证服务器判断登录信息中的用户名和密码是否与保存的用户名和密码相匹配,是则认证通过,否则认证未通过;
步骤a3:认证服务器通知终端设备认证未通过;
步骤a4:终端设备向认证服务器发送删除指令;
步骤a5:认证服务器通知配置服务器删除保存的该MAC地址;
在本实施例中,如MAC地址被删除则表示该MAC地址无效;
步骤a6:认证服务器通知交换机解除MAC地址与IP地址的绑定,并删除保存的对应IP地址;
步骤a7:认证服务器给终端设备发送删除设备成功信息。
在本实施例中,临时使用或多个用户共用同一台设备时中断处理采用第一种方式;固定用户或长期使用中断处理采用第二种方式。
实施例三
本发明实施例三提供一种带有认证的网络接入方法,应用于包括终端设备、交换机、认证服务器和DHCP(中文名称:动态主机配置协议)服务器的系统中,在本实施例中,用户可以在多台终端设备进行登录,如图3所示,本实施方法包括:
步骤301:终端设备判断是否需要获取动态的IP地址,是则执行步骤302,否则获取静态IP地址,执行步骤311;
具体的,在本实施例中,终端设备判断配置项中是否设置自动获取IP地址,是则需要获取动态的IP地址,否则不需要获取动态的IP地址;
步骤302:终端设备向交换机发送获取IP指令;
步骤303:交换机向配置服务器发送获取IP指令;
步骤304:配置服务器判断获取IP指令中的MAC地址是否通过认证,是则执行步骤306,否则执行步骤305;
具体的,在本实施例中,配置服务器判断是否保存了该获取IP指令中的MAC地址,是则获取IP指令中的MAC地址通过认证,否则获取IP指令中的MAC地址未通过认证;
在本实施例中,配置服务器保存的MAC地址与IP地址一一对应;
步骤305:配置服务器为终端设备随机分配IP地址并与MAC地址对应保存,将该IP地址发送给终端设备,执行步骤309;
步骤306:配置服务器判断获取IP指令中的MAC地址是否有效,是则执行步骤307,否则执行步骤308;
步骤307:配置服务器根据MAC地址获取对应的IP地址,并将该IP地址发送给终端设备,执行步骤309;
步骤308:配置服务器通知交换机和认证服务器删除该MAC地址对应的IP地址,并为终端设备随机分配IP地址并与MAC地址对应保存,将该IP地址发送给终端设备,执行步骤309;
步骤309:终端设备获取到IP地址后给配置服务器发送IP确认指令;
步骤310:配置服务器收到IP确认指令后给终端设备返回确认响应数据;
在本实施例中,步骤309和步骤310可省略;
步骤311:终端设备根据IP地址向交换机发送访问请求;
步骤312:交换机判断终端设备是否通过认证,是则允许终端设备访问网络,否则执行步骤313;
具体的,在本实施例中,交换机判断是否注册有终端设备的IP地址,是则终端设备通过认证,否则终端设备未通过认证;
步骤313:交换机给终端设备返回重定向状态码和已认证的URL地址;
步骤314:终端设备根据URL地址重定向到认证服务器的认证页面;
步骤315:认证服务器根据访问用户在认证页面输入的信息判断用户身份是否合法,是则执行步骤316,否则给终端设备返回认证失败信息;
具体的,在本实施例中,认证服务器通过认证页面输入的用户信息判断用户身份是否合法;例如:判断输入的用户名和密码是否正确,是则用户身份合法,否则用户身份不合法;
步骤316:认证服器判断访问用户是否支持多台设备,是则执行步骤318,否则执行步骤317;
步骤317:认证服务器判断该访问用户是否注册过其他设备,是则通知交换机删除其他设备的IP信息,通知配置服务器删除保存的其他设备信息,删除自身保存的其他设备信息,执行步骤318,否则执行步骤318;
步骤318:认证服务器添加该访问用户注册的设备信息,执行步骤319;
步骤319:认证服务器给交换机发送附带IP地址信息和MAC地址信息的认证通过信息;
在本实施例中,交换机接收到通过认证信息后将该IP地址和MAC静态绑定;
步骤320:认证服务器给配置服务器发送附带IP地址信息和MAC地址信息的认证通过信息;
在本实施例中,配置服务器接收到认证通过信息后设置对应的MAC地址通过认证;
步骤321:认证服务器给终端设备发送认证通过信息;
在本实施例中,步骤321还包括:认证服务器设置设备周期或设备状态标识;
步骤322:终端设备向交换机发送访问请求,返回步骤312。
在本实施例中,认证服务器每隔预设时长进入定时中断,定时中断处理流程包括:
认证服务器判断终端设备是否在线,是则退出定时中断,否则通知交换机设备不在线,交换机解除MAC地址与IP地址的绑定,并删除保存的IP地址;
具体的,在本实施例中,认证服务器获取终端设备的状态标识,并判断设置的设备状态标识是否与获取的终端设备的状态标识匹配,是则终端设备在线,否则终端设备不在线,删除设置的设备状态。
本发明可以在用户需要接入到网络时,通过浏览器跳转到指定页面,在指定页面提交用户名密码或其他需要的认证信息(如OTP,证书等),服务器通过验证,并根据用户的信息向网络设备开放指定的时间,及指定的权限接入网络。
实施例四
本发明实施例四提供一种带有认证的网络接入系统,如图4所示,包括终端设备1、交换机2和认证服务器3;
终端设备1包括:
第一获取模块11,用于获取IP地址;
在本实施例中,第一获取模块11具体用于获取静态IP地址或获取动态的IP地址;
第一发送模块12,用于根据IP地址向交换机2发送访问请求;
第一接收模块13,用于接收交换机2发送的重定向状态码和已认证的URL地址;
定向模块14,用于根据重定向状态码和已认证的URL地址重定向到认证服务器3的认证页面;
交换机2包括:
第二接收模块21,用于接收终端设备1发送的访问请求;
第一判断模块22,用于判断终端设备1是否通过认证,是则允许终端设备1访问网络,否则触发第二发送模块23;
在本实施例中,第一判断模块22具体用于判断是否注册了终端设备1的IP地址,是则终端设备1通过认证,否则终端设备1未通过认证;
第二发送模块23,用于给终端设备1返回重定向状态码和已认证的URL地址;
认证服务器3包括:
第二判断模块31,用于根据访问用户在认证页面输入的信息判断访问用户的身份是否合法;
第三发送模块32,用于当第二判断模块31判断为是时分别给交换机2和终端设备1发送认证通过信息,当第二判断模块31判断为否时给终端设备1发送接入失败信息。
在本实施例中,终端设备1还包括:
第三判断模块,用于判断终端设备1是否需要获取动态的IP地址,是则触发第一获取模块11通过发送获取IP指令获取动态的IP地址,否则触发第一获取模块11获取静态IP地址。第三判断模块具体用于判断配置项中是否设置自动获取IP地址,是则需要获取动态的IP地址,否则不需要获取动态的IP地址。
在本实施例中,第三发送模块32还用于当第二判断模块31判断为是时给配置服务器发送认证通过信息;
交换机2还包括第一绑定模块,用于将认证通过信息中的IP地址和对应MAC地址进行绑定保存;
配置服务器包括第二绑定模块,用于将认证通过信息中的IP地址和对应MAC地址进行绑定保存;
第一获取模块11具体用于通过交换机2向配置服务器发送获取IP指令;并接收配置服务器发送的新的IP地址;
配置服务器还包括:
第四判断模块,用于判断获取IP指令中的MAC地址是否通过认证,是则触发第一分配模块,否则触发第五判断模块;
在本实施例中,第四判断模块具体用于判断是否保存了获取IP指令中的MAC地址,是则MAC地址通过认证,否则MAC地址未通过认证;
第一分配模块,用于为终端设备1分配IP地址并与MAC地址对应保存,将IP地址发送给终端设备1,执行步骤S1;
第五判断模块,用于判断获取IP指令中的MAC地址是否有效,是则触发第二获取模块,否则触发通知保存模块;
在本实施例中,第五判断模块具体用于判断获取IP指令中的MAC地址的格式是否合法,是则MAC地址有效,否则MAC地址无效;或具体用于判断获取IP指令中的MAC地址是否已经被其他用户使用,是则MAC地址无效,否则MAC地址有效;
第二获取模块,用于根据MAC地址获取对应的IP地址,并将获取到的IP地址发送给终端设备,执行步骤S1;
通知保存模块,用于通知交换机和认证服务器删除与MAC地址对应的IP地址,为终端设备1分配新的IP地址并与MAC地址对应保存;
第三发送模块,还用于将第一分配模块分配的IP地址、第二获取模块获取到的IP地址、通知保存模块分配的新的IP地址发送给终端设备1。
本实施例的系统还包括配置服务器,配置服务器包括第四发送模块;
第一发送模块,还用于给配置服务器发送IP确认指令;
第四发送模块,用于在收到IP确认指令后给终端设备1返回确认响应数据。
在本实施例中,认证服务器3还包括:
第一查询模块,用于在交换机2中查询IP地址对应的MAC地址,如找到则触发第六判断模块,否则通知终端设备1认证失败;
第六判断模块,用于判断MAC地址与URL地址是否匹配,是则触发第二判断模块31,否则通知终端设备2认证失败。
本实施例中的认证服务器3包括第一定时模块,用于每隔预设时长后,判断终端设备1是否在线,是则退出定时中断,否则通知交换机2设备不在线;
交换机2包括第一解绑模块,用于接收到第一定时模块发送的设备不在线时,解除MAC地址与IP地址的绑定,并删除保存的IP地址。
本实施例中的认证服务器3包括第二定时模块,用于每隔预设时长后,判断终端设备是否过期,是则通知交换机2设备过期,否则通知终端设备1可以访问网络;第二定时模块具体用于判断是否到达设备周期,是则终端设备1过期,否则终端设备1未过期。
交换机2包括第二解绑模块,用于接收到第二定时模块发送的设备过期时,解除MAC地址与IP地址的绑定,并删除保存的IP地址。
在本实施例中,认证服务器3还包括定时模块,
第一接收模块13,还用于接收用户的登录信息;
第一发送模块12,还用于将登录信息发送给认证服务,3,还用于向认证服务器3发送删除指令;
第三接收模块还用于接收登录信息和删除指令;
定时模块包括:
认证单元,用于根据登录信息对用户身份进行认证,如认证通过则通知终端设备可以访问网络,否则触发第一通知单元;
第一通知单元,用于通知终端设备认证未通过;
第二通知单元,用于当接收到删除指令时通知配置服务器删除保存的MAC地址,通知交换机2解除MAC地址与IP地址的绑定;
删除单元,用于删除保存的IP地址;
第三发送模块32,还用于给终端设备1发送删除设备成功信息。
在本实施例中,认证服务器3还包括:
第七判断模块,用于判断访问用户是否支持多台设备,是则触发添加模块,否则触发第八判断模块;
第八判断模块,用于判断访问用户是否注册过其他设备,是则通知交换机删除其他设备的IP信息,通知配置服务器删除保存的其他设备信息,删除自身保存的其他设备信息,触发添加模块,否则触发添加模块;
添加模块,用于添加访问用户注册的设备信息。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!