基于网络接入安全设备的认证方法及装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,具体涉及一种基于网络接入安全(Network AccessSecurity,NAS)设备的认证方法及装置。
【背景技术】
[0002]目前,随着互联网技术的迅猛发展,网络安全已经成为一个全球性问题。从目前市场应用来看,对访问网络的用户进行身份认证已成为保障网络安全的重要手段。因此,安全、有效、便捷的接入认证技术成为了近年的研究热点。
[0003]现在,主要的接入认证方式有PPPoE、IEEE802.lx和Web认证。其中Web认证因为无需客户端安装任何认证软件,使用浏览器即可完成认证以及能够开展与业务密切相关的广告、服务选择和信息发布等增值业务的优点,得到了越来越广泛的应用。
[0004]在典型的Web认证组网中,通常是在核心设备的接口上开启Web认证,将全网用户的管理集中到核心设备上,方便整网部署,降低后续监控维护的代价。核心设备作为全网用户的网关,下联用户只有通过身份认证之后才能正常的访问网络,这里,为方便描述,将开启身份认证的核心设备统一称为NAS设备。
[0005]现有的用户身份认证上线的基本流程,主要包括:TCP报文的拦截、TCP伪连接的建立、HTTP报文的重定向、服务器端认证以及NAS端的上网权限设置。用户在认证网页提交相应认证信息后,若在服务器端通过认证,服务器将通知NAS设备设置相应用户信息,并放行该用户的报文。Web认证的主要流程包括:1、在认证之前,NAS设备将未认证用户发出的所有HTTP请求进行拦截后,重定向到Portal服务器,如此,在用户的浏览器处弹出认证页面;2、用户通过认证页面输入认证信息,如用户名、口令、校验码等,与Portal服务器进行交互;3、Portal服务器将接收到的用户的认证信息发送给NAS设备;4、NAS设备向Radius服务器发起认证,并将认证结果反馈至Portal服务器;5、Portal服务器向客户端返回认证结果页面,提示认证结果为成功或失败。
[0006]当NAS设备重启,所有在线用户需要重新接入网络,NAS设备需要对用户发出的所有HTTP请求进行拦截,并重定向到Portal服务器,而由于NAS设备处理能力有限,会导致超大量HTTP请求不能及时处理,造成处理延时,用户不能及时完成身份认证。
【发明内容】
[0007]本发明的实施例提供了一种基于NAS设备的认证方法,能够及时处理用户HTTP请求报文,完成身份认证。
[0008]本发明提供了如下方案:
[0009]—种基于网络接入安全NAS设备的认证方法,包括:
[0010]所述NAS设备重启,进入自由时间,放行接收到的用户的报文;
[0011]所述自由时间到时,进入拦截时间,按照预设的拦截条件,拦截接收到的HTTP请求报文以完成重认证。
[0012]—种基于网络接入安全NAS设备的认证装置,所述装置包括:放行模块和拦截模块;其中,
[0013]所述放行模块,用于当所述NAS设备重启,进入自由时间,放行接收到的用户的报文;
[0014]所述拦截模块,用于所述自由时间到时,进入拦截时间,按照预设的拦截条件,拦截接收到的HTTP请求报文以完成重认证。
[0015]由上述本发明的实施例提供的技术方案可以看出,本发明实施例提供的基于NAS设备的认证方法及装置,当NAS设备重启时,首先进入一个自由时间,在该时间内,放行所有接收到的HTTP请求报文,如此,可使因NAS设备重启而中断上网的用户在自由时间内迅速恢复上网,后续进入拦截时间,按照拦截条件对HTTP请求报文进行拦截,将符合拦截条件的HTTP请求报文进行重认证,放行不符合拦截条件的HTTP请求报文,逐步实现用户的重认证,最大限度的降低了 NAS设备重启造成用户上网中断的影响,能够迅速实现用户的重认证。
【附图说明】
[0016]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本发明实施例提供的基于NAS设备的认证方法的实现流程示意图;
[0018]图2为本发明实施例一提供的基于NAS设备的认证方法的实现流程示意图;
[0019]图3为本发明实施例提供的基于NAS设备的认证装置的结构示意图。
【具体实施方式】
[0020]为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0021]图1为本发明实施例提供的基于NAS设备的认证方法的实现流程示意图;如图1所示,本实施例包括下述步骤:
[0022]步骤101,所述NAS设备重启,进入自由时间,放行接收到的用户的报文;
[0023]这里,所述自由时间是指NAS设备将接收到的所有报文全部放行,如此,发送报文的用户均可正常接入网络。优选地,所述自由时间的时长较短,如30秒、1分钟、2分钟、5分钟等等均可,主要取决于设备重启过程的耗时,只要能够保证设备重启过程中,将接收到的用户报文全部放行,等设备重启成功,准确就绪,此时自由时间结束,进入拦截时间即可。
[0024]步骤102,所述自由时间到时,进入拦截时间,按照预设的拦截条件,拦截接收到的HTTP请求报文以完成重认证。
[0025]这里,当所述拦截时间包括多个拦截时间段时,每个拦截时间段各自对应一个预设的拦截条件,依次进入所述拦截时间段,按照所述拦截时间段对应的拦截条件,拦截接收到的HTTP请求报文以完成重认证。这里,所述拦截时间可根据NAS设备的处理能力进行确定,例如,若该NAS设备每分钟可处理5000个用户的重认证,此时有12000个用户需要重认证,则可将拦截时间设置为2分钟,如此,该拦截时间包括2个时长为1分钟的拦截时间段。
[0026]具体地,若拦截时间由第一、第二….第η拦截时间段组成,第一、第二…第η拦截时间段分别对应的拦截条件为第一、第二…第η预设拦截条件,这里η为正整数。首先进入第一拦截时间段时,拦截符合第一预设拦截条件的用户的HTTP请求报文进行重认证,放行不符合第一预设拦截条件的用户的所有报文;然后进入第二拦截时间段,拦截符合第二预设拦截条件的用户的HTTP请求报文进行重认证,放行不符合第二预设拦截条件的用户的所有报文;以此类推,直至将接收到的HTTP请求报文全部拦截。这里,所述拦截时间和拦截条件可根据实际需要进行预先设置。
[0027]应当理解,若第η拦截时间段到时后,仍未将接收到的HTTP请求报文全部拦截,则后续处理流程即可将接收到的HTTP请求报文全部拦截,不需再参照拦截条件进行拦截。
[0028]图2为本发明实施例一提供的基于NAS设备的认证方法的实现流程示意图,如图2所示,所述实施例一包括下述步骤:
[0029]步骤201,所述NAS设备重启,进入自由时间,放行接收到的用户的报文;
[0030]步骤202,当所述自由时间到时,进入第一拦截时间段,拦截接收到的符合第一预设拦截条件的用户的HTTP请求报文以完成重认证,放行不符合第一预设拦截条件的用户的所有报文;
[0031]具体地,当所述自由时间到时,进入第一拦截时间段,拦截源IP地址在预设的第一 IP地址范围内的未认证的用户的HTTP请求报文进行重认证,放行源IP地址在所述第一IP地址范围外的用户的所有报文;这里,所述第一 IP地址范围可以为A-B,所述源IP地址为用户的报文中的源IP地址;
[0032]步骤203,当所述第一拦截时间段到时,进入第二拦截时间段,拦截接收到的符合第二预设拦截条件的用户的HTTP请求报文以完成重认证,放行不符合第二预设拦截条件的用户的所有报文。
[0033]当所述第一拦截时间段到时,进入第二拦截时间段,拦截源IP地址在预设第二 IP地址范围内的未认证的用户的HTTP请求报文进行重认证,放行源IP地址在所述第二 IP地址范围外用户的所有报文;这里,所述第一 IP地址范围包含在第二 IP地址范围内,比如所述第二 IP地址范围可以为A-C,这里,A、B、C为IP地址,且C > B,例如,A为1,B为20,C为30。
[0034]应当理解,上述实施例中所述自由时间到时,进入拦截时间,按照预设的拦截条件,拦截接收到的HTTP请求报文以完成重认证,还可以具体为:
[0035]当所述自由时间到时,进入第一拦截时间段,拦截(源IP地址&0x0F)〈l的未认证的用户的HTTP请求报文进行重认证,放行(源IP地址&0x0F)彡1的用户的所有报文;
[0036]当所述第一拦截时间段到时,进入第二拦截时间段,拦截(源IP地址&0x0F)〈2的未认证的用户的HTTP请求报文进行重认证,放行(源IP地址&0x0F)彡2的用户的所有报文;
[0037]当所述第二拦截时间段到时,进入第三拦截时间段,拦截(源IP地址&0x0F)〈3的未认证的用户的HTTP请求报文进行重认证,放行(源IP地址&0x0F)彡3的用户的所有报文。
[0038]其中,源IP地址与OxOF进行按位与的操作,本质是通过位运算区分不同范围的IP地址,应当理解,现有其他区分IP地址的方式均可以利用,不对本发明实施例造成限定。
[0039]图3为本发明实施例提供的基于NAS设备的认证装置的结构示意图,如图3所示,所述装置包括:放行模块31和拦截模块32 ;其中,
[0040]所述放行模块31,用于当所述NAS设备重启,进入自由时间,放行接收到的用户的报文;
[0041]所述拦截模块32,用于所述自由时间到时,进入拦截时间,按照预设的拦截条件,拦截接收到的HTTP请求报文以完成重认证。
[0042]可选的,所述拦截模块32,具体用于当所述拦截时间包括多个拦截时间段时,每个拦截时间段各自对应一个预设的拦截条件,依次进入所述拦截时间段,按照所述拦截时间段对应的拦截条件,拦截接收到的HTTP请求报文以完成重认证。
[0043]可选的,所述拦截模块32,具体用于当所述自由时间到时,进入第一拦截时间段,拦截接收到的符合第一预设拦截条件的用