1.一种网络安全接入的认证方法,其特征在于,包括以下步骤:
(1)新用户终端接入网络,发起HTTP协议的Web访问请求,安全接入控制交换机的Web认证模块拦截用户访问请求,学习用户终端的相关多元组信息,并重定向用户访问到Web接入认证服务器,学习用户终端多元组信息是指通过捕获和分析用户终端发出的HTTPAC地址用户多元组信息、用户终端IP地址用户多元组信息、用户终端接入的VLAN号用户多元组信息和用户终端接入的交换机端口号用户多元组信息;用户终端信息学习单元可通过捕获和解释用户终端发出的HTTP连接报文中的第一个TCP连接数据报文中获得多元组信息;
(2)Web接入认证服务器验证重定向信息,如果正确,则Web接入认证服务器从重定向信息中提取交换机IP地址和用户终端多元组信息,并返回用户终端认证Web页面;
(3)用户在用户终端的认证页面上输入用户名和密码,Web接入认证服务器对用户进行认证,如果未通过认证,则继续执行步骤(3);
(4)用户如通过认证,则Web接入认证服务器查询用户的QoS接入等级,得到用户对应的DSCP值;
(5)Web接入认证服务器通过控制接口模块发送认证通过信息和DSCP值给安全接入控制交换机;
(6)安全接入控制交换机收到Web接入认证服务器的认证通过信息和DSCP值后,安全接入控制交换机执行用户认证通过相关动作,允许符合对应多元组信息的报文通过;同时检查和设置用户报文的DSCP值,使得用户IP报文的DSCP值通过安全接入控制交换机后均设置为相应值。
2.根据权利要求1所述的应用于网络安全接入的认证方法,其特征在于,所述步骤(1)中,所述重定向用户访问Web接入认证服务器,是指将用户的HTTP访问重定向到Web接入认证服务器的web认证页面;同时重定向HTTP链接中携带接入安全接入控制交换机的IP地址、用户MAC地址、用户接入的交换机端口、用户接入的VLAN信息、随机数和哈希计算值;所述接入安全接入控制交换机的IP地址用符号IPSW表示,所述用户MAC地址用符号MACU表示,所述用户接入的交换机端口用符号PORTSW表示,所述用户接入的VLAN信息用符号VLANU表示,所述随机数用符号RAND表示,所述哈希计算值用符号SHS表示;所述SHS是安全接入控制交换机对IPSW、MACU、PORTSW、VLANU、RAND、用户IP地址、接入认证当前时间和密码进行哈希计算后的值,且密码是由安全接入控制交换机和Web接入认证服务器共享的秘密信息;所述用户IP地址用符号IPU表示,所述接入认证当前时间用符号TimeS表示,所述密码用符号PASSWD表示。
3.根据权利要求1所述的应用于网络安全接入的认证方法,其特征在于,所述步骤(2)中,所述Web接入认证服务器验证重定向信息是指,Web接入认证服务器提取重定向信息中的IPSW、MAC、PORTSW、VLAN、RAND和SHS值,以及提取用户报文源IP地址、接入认证当前时间和密码,然后对IPSW、MAC、PORTSW、VLAN、RAND、IPU、Time2和PASSWD进行哈希计算得到值SHW,如果SHW和SHS相同,则通过验证;所述用户报文源IP地址用符号IPU表示,所述接入认证当前时间用符号Time2表示,所述密码用符号PASSWD表示。
4.根据权利要求1所述的网络安全接入的认证方法,其特征在于,所述步骤(3)中,所述Web接入认证服务器对用户进行认证,除对用户的用户名和密码进行认证之外,还包括用户终端IP地址的合法性验证,Web接入认证服务器通过与IP地址分配服务器的交互来查询用户IP地址是否合法。
5.一种实现如权利要求1所述的网络安全接入的认证方法的网络安全接入的认证系统,其特征在于,包括:安全接入控制交换机、Web接入认证服务器和用户终端,所述Web接入认证服务器通过网络与安全接入控制交换机互联,所述安全接入控制交换机通过接入网络连接用户终端;所述Web接入认证服务器用于用户终端接入管理、Web认证、对所述安全接入控制交换机进行接入控制和QoS设置、与外部系统进行交互以及记录用户终端接入认证相关日志;所述安全接入控制交换机用于学习和维护用户终端的多元组信息、拦截和重定向未认证用户终端HTTP访问请求到Web接入认证服务器以及接受所述Web接入认证服务器的接入控制和QoS设置,通过报文过滤方式对用户终端报文进行接入验证,并检查和设置IP报文的DSCP值。
6.根据权利要求5所述的网络安全接入的认证系统,其特征在于,所述Web接入认证服务器包括以下单元:用户接入管理单元,用于管理和存储用户名、密码哈希值、用户安全接入权限、用户接入QoS参数和用户有效期;Web认证单元,用于实现Web认证逻辑功能,与用户终端交互;用户接入日志单元,用于记录用户接入网络的日志;交换机控制接口单元,用于对安全接入控制交换机进行查询和控制操作;外部通信接口单元,用于提供地址分配服务器与认证系统进行交互的接口以及网络管理系统与认证系统进行交互的接口。
7.根据权利要求5所述的网络安全接入的认证系统,其特征在于,所述安全接入控制交换机包括:用户终端信息学习单元,用于学习用户终端的相关多元组信息、多元组信息包括用户终端的MAC地址和IP地址、所在VLAN号以及所接入的交换机端口号;多元组信息维护单元,用于维护用户终端相关的多元组信息;Web认证单元,用于拦截和重定向未认证用户终端HTTP访问请求的模块;控制代理单元,用于接收web认证服务器的控制和信息查询;报文过滤单元,用于根据用户终端多元组信息对用户终端发出的所有报文进行报文过滤,以及检查和设置用户IP报文的DSCP值。