專利名稱:一種認(rèn)證方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域��,尤其涉及一種認(rèn)證方法和設(shè)備�����。
背景技術(shù):
在IEEE802 LAN (Local Area Network,局域網(wǎng))所定義的局域網(wǎng)環(huán)境中��, 未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備可以通過(guò)物理的連接口接入局域網(wǎng)�����,或者是未經(jīng)授權(quán)的 用戶可以通過(guò)已經(jīng)連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。例如 一個(gè)可以訪問(wèn)公共 網(wǎng)絡(luò)的大廈的辦公網(wǎng)�,或者是某個(gè)組織機(jī)構(gòu)與其他組織連接的網(wǎng)絡(luò)��。在這樣 的網(wǎng)絡(luò)環(huán)境中,往往不希望未經(jīng)授權(quán)的設(shè)備或用戶連接到網(wǎng)絡(luò)�����,使用網(wǎng)絡(luò)提 供的服務(wù)。
隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用����,特別是在運(yùn)營(yíng)網(wǎng)絡(luò)中的應(yīng)用,對(duì)接入網(wǎng)絡(luò) 的設(shè)備的安全認(rèn)證要求已經(jīng)提到了議事日程上�����。如何既能夠利用局域網(wǎng)技術(shù) 簡(jiǎn)單��、廉價(jià)的組網(wǎng)特點(diǎn)����,同時(shí)又能夠?qū)τ脩艋蛟O(shè)備訪問(wèn)網(wǎng)絡(luò)的合法性提供認(rèn) 證���,是目前業(yè)界討論的焦點(diǎn)�。
對(duì)此,現(xiàn)有技術(shù)中提出了基于802.1x的認(rèn)證方式和給予Portal的認(rèn)證方 式����,以下分別進(jìn)行介紹�����。
802.1x是一種基于端口的認(rèn)證協(xié)議�����,是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策 略。端口可以是一個(gè)物理端口 ���,也可以是一個(gè)邏輯端口如VLAN( Virtual Local Area Network,虛擬局域網(wǎng))端口。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)��, 一個(gè)端口就是一個(gè) 通道��。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口�����, 如果認(rèn)證成功那么就"打開(kāi)"這個(gè)端口�����,允許所有的報(bào)文通過(guò)�����;如果認(rèn)證不 成功就使這個(gè)端口保持"關(guān)閉"�����,只允許802.1x的認(rèn)證協(xié)議報(bào)文通過(guò)。現(xiàn)有 技術(shù)中基于802.1x的認(rèn)證方式的組網(wǎng)結(jié)構(gòu)示意圖如圖1所示�����。
802.1x的體系結(jié)構(gòu)如圖2所示����。它的體系結(jié)構(gòu)中包括三個(gè)部分��,即客戶 端����、設(shè)備端和認(rèn)證服務(wù)器。對(duì)于客戶端�,通常是支持802.1x認(rèn)證的用戶終端設(shè)備,用戶通過(guò)啟動(dòng)客 戶端軟件發(fā)起802.1x認(rèn)證�����。
對(duì)于設(shè)備端�����,通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備����,它為客戶端提供服務(wù) 端口 ����,該端口可以是物理端口也可以是邏輯端口 �, 一般在用戶接入設(shè)備如LAN Switch和AP上實(shí)現(xiàn)802.1x認(rèn)證�。
對(duì)于認(rèn)證服務(wù)器,是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體����, 一般使用RADIUS 服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能����。
Protocol over LAN,基于LAN的擴(kuò)展鑒權(quán)協(xié)議)協(xié)議�。當(dāng)設(shè)備端工作于中繼 方式時(shí)�����,設(shè)備端與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議����,EAP幀中封裝認(rèn)證數(shù)據(jù)�, 將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS協(xié)議)�,以便穿越復(fù)雜的網(wǎng) 絡(luò)到達(dá)認(rèn)證服務(wù)器����;當(dāng)設(shè)備端工作于終結(jié)方式時(shí),設(shè)備端終結(jié)EAPoL消息���, 將其轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS)后傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器 系統(tǒng)���。
對(duì)于Portal認(rèn)證���,其應(yīng)用的一個(gè)具體組網(wǎng)方案實(shí)例如圖3所示��。圖3中左 下角只表示了 一個(gè)交換機(jī)和一個(gè)BAS設(shè)備(Broadband Access Server,寬帶接 入服務(wù)器)�����。而在實(shí)際組網(wǎng)過(guò)程中����,如果用戶數(shù)較多�,用戶可以掛接在多個(gè) 交換機(jī)下,多個(gè)交換機(jī)再接入到多個(gè)BAS上��。所有的BAS通過(guò)一個(gè)核心路由 器(也可以是高端交換機(jī))連接到互聯(lián)網(wǎng)上,服務(wù)器(CAMS服務(wù)器,Portal 服務(wù)器等)放在機(jī)房中�,通過(guò)一臺(tái)交換機(jī)連到核心路由器上��。
對(duì)于一個(gè)未認(rèn)證用戶��,如果在IE地址欄中輸入了一個(gè)互聯(lián)網(wǎng)的地址,那 么此HTTP請(qǐng)求在經(jīng)過(guò)BAS設(shè)備時(shí)會(huì)被BAS設(shè)備重定向到Portal的認(rèn)證主頁(yè) 上��,用戶在認(rèn)證主頁(yè)中輸入認(rèn)證信息后提交�����,Portal服務(wù)器會(huì)將用戶的認(rèn)證信 息傳遞給BAS設(shè)備,然后BAS再與CAMS服務(wù)器通信進(jìn)行認(rèn)證和計(jì)費(fèi),如 果認(rèn)證通過(guò)�,BAS會(huì)根據(jù)用戶的IP設(shè)置用戶訪問(wèn)互聯(lián)網(wǎng)的權(quán)限,用戶可以訪 問(wèn)外部的互聯(lián)網(wǎng)�����。
現(xiàn)有技術(shù)中存在的題在于
使用802.1X認(rèn)證的用戶終端系統(tǒng)通常要安裝一個(gè)客戶端軟件���,用戶終端通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)i正過(guò)程�����。而且802.1x認(rèn)證是由 EAPoL協(xié)議來(lái)傳遞交互信息的��,為支持基于端口的接入控制�����,客戶端系統(tǒng)需 支持EAPOL協(xié)議�����,而且網(wǎng)絡(luò)側(cè)的設(shè)備端也要支持802.1x協(xié)議�����,因此使用條 件較復(fù)雜,同時(shí)該認(rèn)證方式配置較復(fù)雜����,使用不夠方便。
而Portal認(rèn)證是基于三層的接入控制,它能控制用戶訪問(wèn)路由器所連接的 外網(wǎng)資源��,雖然不需要在客戶端安裝客戶端軟件����,但只能控制三層接入,對(duì) 于二層網(wǎng)絡(luò)不能進(jìn)4亍控制。如圖3所示�����,在i/^正沒(méi)有通過(guò)的時(shí)候,用戶雖然 不能訪問(wèn)Internet的網(wǎng)絡(luò)資源�,但卻可以任意訪問(wèn)Router的內(nèi)部網(wǎng)絡(luò)資源,不 能實(shí)現(xiàn)最大限度的控制���。
發(fā)明內(nèi)容
本發(fā)明提供一種認(rèn)證方法和設(shè)備,用于在二層接入設(shè)備中實(shí)現(xiàn)對(duì)請(qǐng)求訪 問(wèn)網(wǎng)絡(luò)資源用戶終端的快速簡(jiǎn)便認(rèn)證���。
本發(fā)明提供了一種認(rèn)證方法�,應(yīng)用于二層接入設(shè)備,包括
從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的 HTTP請(qǐng)求時(shí)�����,判斷所述二層接入設(shè)備的端口是否為受限端口 ����;
所述二層接入設(shè)備的端口為受限端口時(shí),將所述用戶終端的HTTP請(qǐng)求 重定向到認(rèn)證服務(wù)器�;
將所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給所述用戶終端���,并將所述用戶 終端返回的內(nèi)容發(fā)送到所述認(rèn)證服務(wù)器�;
接收到所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息時(shí)��,將所述二層接入設(shè)備的 端口設(shè)置為非受限端口 ��,允許所述二層接入設(shè)備的端口下連接的用戶終端訪 問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址。
其中����,所述將所述用戶終端的HTTP請(qǐng)求重定向到認(rèn)證服務(wù)器包括
預(yù)先為二層接入設(shè)備的端口下的每一 VLAN配置相應(yīng)的認(rèn)證服務(wù)器��;
獲取所述用戶終端所屬的VLAN,將所述用戶終端的HTTP請(qǐng)求重定向 到與所述VLAN對(duì)應(yīng)的認(rèn)證服務(wù)器����。
其中,還包括所述用戶終端返回的內(nèi)容連續(xù)多次未通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證時(shí)����,將所述二層接入設(shè)備的端口設(shè)置為休眠狀態(tài)�����,拒絕接收到的任
何HTTP請(qǐng)求����;在二層接入設(shè)備的端口處于《木眠狀態(tài)的時(shí)間到達(dá)預(yù)設(shè)的時(shí)間
時(shí)����,將所述二層接入設(shè)備的端口設(shè)置為受限狀態(tài)�����。
其中�,還包括對(duì)于認(rèn)證通過(guò)的所述用戶終端��,定時(shí)檢查本地MAC地址
表項(xiàng)中是否存在所述用戶終端的MAC地址�,當(dāng)不存在時(shí)��,則將所述二層接入
設(shè)備的端口設(shè)置為受限狀態(tài)���。
本發(fā)明還提供一種認(rèn)證方法,應(yīng)用于二層接入設(shè)備�����,包括 用戶終端通過(guò)瀏覽器發(fā)送訪問(wèn)內(nèi)網(wǎng)或者外網(wǎng)地址的HTTP請(qǐng)求���; 二層接入設(shè)備通過(guò)與所述用戶終端連接的處于受限狀態(tài)的端口接收所述
HTTP請(qǐng)求,當(dāng)HTTP請(qǐng)求中攜帶的目標(biāo)地址為域名����,則通過(guò)域名系統(tǒng)DNS
解析獲取所述域名對(duì)應(yīng)的IP地址并繼續(xù)下一步驟����;如果目標(biāo)地址為IP地址�,
則直接進(jìn)行下一步驟�����;
所述二層接入設(shè)備通過(guò)傳輸控制協(xié)議TCP仿冒與所述用戶終端建立虛假
鏈接,記錄所述用戶終端的IP���、 MAC、 VLAN�、端口����、訪問(wèn)地址信息中的一
種或多種�;
所述二層接入設(shè)備將所述用戶終端發(fā)送的HTTP請(qǐng)求重定向到認(rèn)證服務(wù) 功能����;
所述認(rèn)證服務(wù)功能向所述二層接入設(shè)備返回認(rèn)i正頁(yè)面��,所述二層接入設(shè) 備將所述認(rèn)證頁(yè)面發(fā)送給所述用戶終端,要求所述用戶終端提供合法的身份 標(biāo)識(shí)如用戶名和密^5馬��;
所述用戶終端輸入用戶名和密碼�,并提交給所述二層接入設(shè)備��,所述二 層接入設(shè)備將所述用戶終端發(fā)送的內(nèi)容發(fā)送給所述認(rèn)證服務(wù)功能;
所述認(rèn)證服務(wù)功能對(duì)所述用戶終端的認(rèn)證通過(guò)后通知所述二層接入設(shè) 備���,所述二層接入設(shè)備將所述用戶終端的所連接的端口設(shè)置為非受限狀態(tài)����, 正常轉(zhuǎn)發(fā)所有"t艮文。
本發(fā)明還提供一種二層接入設(shè)備,包括
消息交互單元����,用于與用戶終端和認(rèn)證服務(wù)器交互消息;具體的,從二 層接入設(shè)備的端口接收用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求�����;將所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給所述用戶終端�����,并將所述用戶終端
返回的內(nèi)容發(fā)送到所述認(rèn)證服務(wù)器;接收所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消 臺(tái)
端口狀態(tài)判斷單元�����,用于當(dāng)所述消息交互單元從二層接入設(shè)備的端口接
收到用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求時(shí)����,判斷所述端口是 否為受限端口;
重定向單元��,用于當(dāng)所述端口狀態(tài)判斷單元判斷所述二層接入設(shè)備的端 口為受限端口時(shí),將所述消息交互單元接收到的用戶終端的HTTP請(qǐng)求重定 向到認(rèn)證服務(wù)器��;
端口狀態(tài)設(shè)置單元�,用于當(dāng)所述消息交互單元接收到所述認(rèn)證服務(wù)器發(fā) 送的認(rèn)證通過(guò)消息時(shí)�����,將所述二層接入設(shè)備的端口設(shè)置為非受限端口����,允許 所述二層接入設(shè)備的端口下連接的用戶終端訪問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址����。
其中�����,所述重定向單元包括
配置子單元��,用于預(yù)先為二層接入設(shè)備的端口下的每一 VLAN配置相應(yīng) 的認(rèn)證服務(wù)器��;
重定向子單元,用于獲取所述用戶終端所屬的VLAN,將所述用戶終端 的HTTP請(qǐng)求重定向到與所述VLAN對(duì)應(yīng)的認(rèn)證服務(wù)器����。
其中��,所述端口狀態(tài)設(shè)置單元還用于當(dāng)所述用戶終端返回的內(nèi)容連續(xù) 多次未通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證時(shí),將所述二層接入設(shè)備的端口設(shè)置為休 眠狀態(tài)���,拒絕接收到的任何HTTP請(qǐng)求�;在二層接入設(shè)備的端口處于休眠狀 態(tài)的時(shí)間到達(dá)預(yù)設(shè)的時(shí)間時(shí)���,將二層接入設(shè)備的端口設(shè)置為受限狀態(tài)�����。
其中,所述端口狀態(tài)設(shè)置單元還用于對(duì)于認(rèn)證通過(guò)的所述用戶終端�, 定時(shí)檢查本地MAC地址表項(xiàng)中是否存在所述用戶終端的MAC地址��,當(dāng)不存 在時(shí)��,則將所述二層接入設(shè)備的端口設(shè)置為受限狀態(tài)���。
其中�����,所述認(rèn)證服務(wù)器的功能與本交換設(shè)備中的認(rèn)證功能實(shí)現(xiàn)時(shí)���,還包
括
認(rèn)證單元����,用于對(duì)重定向后的用戶終端的HTTP請(qǐng)求進(jìn)行認(rèn)證���,并發(fā)送 認(rèn)證結(jié)果到所述端口狀態(tài)設(shè)置單元�����。與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下優(yōu)點(diǎn)
在二層接入設(shè)備中�����,將從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪 問(wèn)地址的HTTP請(qǐng)求重定向到認(rèn)證服務(wù)器進(jìn)行認(rèn)證,并4艮據(jù)認(rèn)證結(jié)果對(duì)端口 狀態(tài)進(jìn)行設(shè)置�����,實(shí)現(xiàn)了對(duì)請(qǐng)求訪問(wèn)內(nèi)網(wǎng)或外網(wǎng)網(wǎng)絡(luò)資源用戶終端的快速簡(jiǎn)便 認(rèn)證。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見(jiàn)地�,下面 描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����, 在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。 圖1是現(xiàn)有技術(shù)中基于802.1x的認(rèn)證方式的組網(wǎng)結(jié)構(gòu)示意圖; 圖2是現(xiàn)有技術(shù)中802.1x的體系結(jié)構(gòu)示意圖�����; 圖3是現(xiàn)有技術(shù)中Portal認(rèn)證方式的組網(wǎng)結(jié)構(gòu)示意圖; 圖4是本發(fā)明中提供的認(rèn)證方法的流程圖��; 圖5是本發(fā)明應(yīng)用場(chǎng)景中認(rèn)證方法所使用的組網(wǎng)結(jié)構(gòu)示意圖�; 圖6是本發(fā)明應(yīng)用場(chǎng)景中認(rèn)證方法所應(yīng)用的組網(wǎng)場(chǎng)景示意圖�����; 圖7是本發(fā)明另一應(yīng)用場(chǎng)景中認(rèn)證方法所應(yīng)用的組網(wǎng)場(chǎng)景示意圖����; 圖8是本發(fā)明中提供的二層接入設(shè)備的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚����、完整地描述,顯然����,所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例��,而不 是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出 創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
本發(fā)明中提供了一種認(rèn)證方法,如圖4所示�,應(yīng)用于二層接入設(shè)備����,由 二層接入設(shè)備以端口為單位對(duì)各端口下連接的用戶終端進(jìn)行接入控制�����。具體 的��,根據(jù)從各下行端口接收到的用戶終端訪問(wèn)內(nèi)網(wǎng)或外網(wǎng)地址的HTTP請(qǐng)求�����,將用戶終端重定向到認(rèn)證服務(wù)器進(jìn)行認(rèn)證�,根據(jù)認(rèn)證結(jié)果設(shè)置端口狀態(tài),允
許或禁止該端口下的用戶終端訪問(wèn)內(nèi)部和外部網(wǎng)絡(luò)�。該方法包括
步驟s401���、從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi) 網(wǎng)地址的HTTP請(qǐng)求時(shí)����,判斷二層接入設(shè)備的端口是否為受限端口�;
步驟s402 �����、 二層接入"i殳備的端口為受限端口時(shí)���,將用戶終端的HTTP請(qǐng) 求重定向到認(rèn)證服務(wù)器��;
步驟s403�����、將認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給用戶終端,并將用戶終 端返回的內(nèi)容發(fā)送到認(rèn)證服務(wù)器��;
步驟s404���、接收到認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息時(shí)���,將該二層接入設(shè) 備的端口設(shè)置為非受限端口 �,允許該二層接入i殳備的端口下連接的用戶終端 訪問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址��。
以下結(jié)合具體的應(yīng)用場(chǎng)景���,對(duì)本發(fā)明中應(yīng)用于二層接入設(shè)備的認(rèn)證方法 進(jìn)行詳細(xì)說(shuō)明。本發(fā)明提供的認(rèn)證方法所應(yīng)用的網(wǎng)絡(luò)中,參見(jiàn)圖5��,包括
請(qǐng)求者系統(tǒng)通常是擁有瀏覽器的用戶終端�����,用戶終端可以通過(guò)瀏覽器 發(fā)送訪問(wèn)某一網(wǎng)址的HTTP請(qǐng)求�。
認(rèn)證系統(tǒng)本發(fā)明的認(rèn)證系統(tǒng)位于二層接入設(shè)備LAN Switch中���,其與請(qǐng) 求者系統(tǒng)中的用戶終端設(shè)備連接的端口是LAN Switch上的物理端口 ����。接收到 用戶終端發(fā)送的HTTP請(qǐng)求時(shí)����,若端口不受限���,則對(duì)請(qǐng)求進(jìn)行正常轉(zhuǎn)發(fā)����;當(dāng) 端口受限時(shí)�,需要對(duì)用戶終端進(jìn)行認(rèn)證,對(duì)于該i人i正過(guò)程將在下文進(jìn)行描述�。
認(rèn)證服務(wù)器系統(tǒng)本發(fā)明中的認(rèn)證服務(wù)器可以由二層接入設(shè)備內(nèi)部的功 能實(shí)現(xiàn)��,也可以為與二層接入設(shè)備的接口連接的外部認(rèn)證服務(wù)器�����。本發(fā)明的 認(rèn)證中�����,支持對(duì)多VLAN內(nèi)的用戶終端的認(rèn)證�,并為不同的VLAN配置綁定 對(duì)應(yīng)的認(rèn)證服務(wù)器。為不同VLAN配置綁定的認(rèn)證服務(wù)器IP可以相同�����,也可 以不同。來(lái)自不同VLAN的用戶終端的HTTP請(qǐng)求報(bào)文會(huì)分別被重定向到與 VLAN對(duì)應(yīng)的認(rèn)證服務(wù)器上��,以觸發(fā)對(duì)用戶終端的認(rèn)證����。為不同的VLAN配 置不同的認(rèn)證服務(wù)器的原因在于����,在端口受限時(shí)����,VLAN內(nèi)用戶終端的HTTP 請(qǐng)求報(bào)文無(wú)法轉(zhuǎn)發(fā)到外網(wǎng)或者其他VLAN���,因此需要為每個(gè)綁定一個(gè)認(rèn)證服 務(wù)器�,使得用戶終端的HTTP請(qǐng)求報(bào)文可以被重定向到可達(dá)的認(rèn)證服務(wù)器�����。不同的VLAN所綁定的認(rèn)證服務(wù)器可以相同����。
本發(fā)明中提供的認(rèn)證方法是基于端口的認(rèn)證方式����,在初始狀態(tài)�����,二層接 入設(shè)備的各下行端口處于BLOCK狀態(tài)���,即受限狀態(tài)��,可以允許DHCP(是 Dynamic Host Configuration Protocol,動(dòng)態(tài)主才幾分配協(xié)i義)才艮文����、DNS (Domain Name System,;或名系統(tǒng))才艮文和ARP ( Address Resolution Protocol,地址解 析協(xié)議)報(bào)文等協(xié)議報(bào)文通過(guò)�����,完成IP的初始化�����。當(dāng)連接著處于受限狀態(tài)的 端口的用戶終端通過(guò)瀏覽器發(fā)送請(qǐng)求訪問(wèn)某一內(nèi)網(wǎng)或者外網(wǎng)地址的HTTP請(qǐng) 求時(shí)��,二層接入設(shè)備的處理具體包括以下兩種處理情況
(1) HTTP請(qǐng)求中的目標(biāo)地址是域名時(shí)�����,則二層4妄入設(shè)備通過(guò)與DNS服 務(wù)器的交互并完成域名解析�。二層接入設(shè)備從DNS服務(wù)器獲得域名對(duì)應(yīng)的IP 地址后����,根據(jù)域名對(duì)應(yīng)的IP地址與用戶終端建立TCP仿冒連接��。
(2 ) HTTP請(qǐng)求中的目標(biāo)地址是IP地址,則無(wú)需上述與DNS服務(wù)器的 交互過(guò)程����,直接進(jìn)入TCP仿冒,二層接入設(shè)備根據(jù)HTTP請(qǐng)求中的IP地址和 用戶終端建立TCP仿冒連接��。
二層接入設(shè)備通過(guò)HTTP重定向��,將該HTTP請(qǐng)求重定向到認(rèn)證服務(wù)器 進(jìn)行認(rèn)證。當(dāng)認(rèn)證服務(wù)器對(duì)用戶終端的認(rèn)證通過(guò)時(shí)�,二層接入設(shè)備根據(jù)認(rèn)證 服務(wù)器的通知�,將該端口設(shè)置為NORMAL狀態(tài)�����,既非受限狀態(tài)��,連接在該端 口下的用戶終端可以通過(guò)該端口正常與外部網(wǎng)絡(luò)通信�。本發(fā)明中�����,因?yàn)檎J(rèn)證 是基于端口進(jìn)行的��,所以當(dāng)一個(gè)端口下有一個(gè)用戶終端的認(rèn)證通過(guò)時(shí)�����,端口 即進(jìn)入非受限狀態(tài)�,直至認(rèn)證通過(guò)的用戶終端下線導(dǎo)致端口再次進(jìn)入受限狀 態(tài)前,該端口的其他用戶終端訪問(wèn)內(nèi)網(wǎng)或者外網(wǎng)的HTTP請(qǐng)求報(bào)文將不再需 要認(rèn)證��。如果用戶因?yàn)槟承┰蜻B續(xù)認(rèn)證三次都沒(méi)有通過(guò)驗(yàn)證(認(rèn)證次數(shù)可 以根據(jù)需要進(jìn)行設(shè)置)��,則端口進(jìn)入SLEEP狀態(tài)��,此時(shí)拒絕連接請(qǐng)求�,直到 通過(guò)一定時(shí)間后(端口處于SLEEP的時(shí)間可以根據(jù)需要進(jìn)行設(shè)定)��,端口重 新進(jìn)入BLOCK狀態(tài)��。
當(dāng)認(rèn)證服務(wù)器的功能由二層接入設(shè)備自身的認(rèn)證功能實(shí)現(xiàn)時(shí)��,其組網(wǎng)場(chǎng) 景如圖6所示。具體的�,該組網(wǎng)場(chǎng)景下的認(rèn)證方法的認(rèn)證過(guò)程包括
(1 )用戶終端通過(guò)瀏覽器發(fā)送訪問(wèn)某一內(nèi)網(wǎng)或者外網(wǎng)地址的HTTP請(qǐng)求���;(2 ) 二層接入設(shè)備通過(guò)與用戶終端連接的處于受限狀態(tài)的端口接收該 HTTP請(qǐng)求��,如果HTTP請(qǐng)求中攜帶的目標(biāo)地址為域名���,則通過(guò)DNS解析獲 取域名對(duì)應(yīng)的IP地址并進(jìn)行步驟(3);如果目標(biāo)地址為IP地址���,則直接進(jìn) 行步驟(3 );(3 ) 二層接入設(shè)備通過(guò)TCP仿冒與用戶終端建立虛假鏈接���,記錄下該認(rèn) 證用戶終端的IP、 MAC、 VLAN��、端口�����、訪問(wèn)地址等相關(guān)信息����;(4 )二層接入設(shè)備將用戶終端發(fā)送的HTTP請(qǐng)求重定向到認(rèn)證服務(wù)功能�����, 該認(rèn)證服務(wù)功能可以由二層接入設(shè)備的本地認(rèn)證服務(wù)功能實(shí)現(xiàn)、或由二層接 入設(shè)備外部的認(rèn)證服務(wù)器實(shí)現(xiàn)�����,以下以該認(rèn)證月良務(wù)功能為二層接入設(shè)備的本 地認(rèn)證服務(wù)功能為例進(jìn)行說(shuō)明���;(5) 本地認(rèn)證服務(wù)功能向二層接入設(shè)備返回一個(gè)認(rèn)證頁(yè)面��,二層接入設(shè) 備將該認(rèn)證頁(yè)面發(fā)送給用戶終端�,要求用戶終端提供合法的身份標(biāo)識(shí)��,如用 戶名/密碼���;(6) 用戶終端輸入用戶名和密碼�,并提交給二層接入設(shè)備,二層接入設(shè) 備將用戶終端發(fā)送的內(nèi)容發(fā)送給本地認(rèn)證服務(wù)功能���;本發(fā)明的一個(gè)應(yīng)用場(chǎng)景 中��,對(duì)用戶終端的認(rèn)i正通過(guò)對(duì)用戶終端輸入的用戶名和密碼進(jìn)4亍��,本地認(rèn)證 服務(wù)功能中預(yù)先存儲(chǔ)一個(gè)包括所有合法的用戶名和對(duì)應(yīng)的密碼的數(shù)據(jù)庫(kù),當(dāng) 用戶終端輸入的用戶名和密碼與數(shù)據(jù)庫(kù)中 一 已經(jīng)存在的記錄匹配時(shí)���,判斷認(rèn) 證通過(guò)��。該認(rèn)證過(guò)程與用戶終端的MAC地址�、IP地址����、接入二層接入設(shè)備 的端口無(wú)關(guān)���,即用戶只要獲知了合法的用戶名和密碼�,就可以通過(guò)不同的用 戶終端接入網(wǎng)絡(luò)。(7) 本地認(rèn)證服務(wù)功能對(duì)用戶終端的認(rèn)證通過(guò)后通知二層接入設(shè)備,二 層接入設(shè)備將該用戶終端所連接的受限端口設(shè)置為非受限狀態(tài)����,正常轉(zhuǎn)發(fā)所 有報(bào)文。認(rèn)證完成后,二層接入設(shè)備把用戶終端重定向到認(rèn)證前用戶終端試 圖訪問(wèn)的地址��。用戶終端的認(rèn)證通過(guò)后�����,二層接入設(shè)備可以定時(shí)瀏覽本設(shè)備中的MAC地 址表,對(duì)于該MAC地址表中存儲(chǔ)的用戶終端的MAC地址����,二層接入設(shè)^^ 在檢測(cè)到用戶終端下線�、或者在預(yù)設(shè)的老化時(shí)間內(nèi)沒(méi)有接收到用戶終端的探在則將端口 老化,并將端口由非受限狀態(tài)設(shè)置為受限狀態(tài)��。此時(shí)通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)的 用戶終端必須重新iU正后才能正常訪問(wèn)網(wǎng)絡(luò)�。當(dāng)認(rèn)證服務(wù)器的功能由二層接入設(shè)備外部的認(rèn)證服務(wù)器實(shí)現(xiàn)時(shí),其組網(wǎng) 場(chǎng)景如圖7所示�。該組網(wǎng)場(chǎng)景下的認(rèn)證方式為遠(yuǎn)禾呈: 人i正方式,和圖6所示的 應(yīng)用場(chǎng)景中的本地認(rèn)證方式差別不大��,只是把本地認(rèn)證服務(wù)器改為獨(dú)立的遠(yuǎn) 端服務(wù)器(如RADIUS服務(wù)器)�。此時(shí)認(rèn)證所需要的用戶名和密碼都保存在 遠(yuǎn)端服務(wù)器�����,二層接入設(shè)備從端口接收到用戶通過(guò)瀏覽器發(fā)送的HTTP請(qǐng)求 時(shí)���,將該用戶終端重定向到認(rèn)證服務(wù)器��;二層接入設(shè)備接收到認(rèn)證服務(wù)器發(fā) 送的認(rèn)證頁(yè)面時(shí)�����,將認(rèn)證頁(yè)面轉(zhuǎn)發(fā)給用戶終端�,用戶終端輸入用戶名和密碼, 二層接入設(shè)備將用戶終端輸入的用戶名和密碼后發(fā)送到認(rèn)證服務(wù)器進(jìn)行認(rèn)證 處理�。該iU正流程與圖6所示的場(chǎng)景下的認(rèn)i正流程相似�����,在此不進(jìn)行重復(fù)描 述�。本發(fā)明提供的上述應(yīng)用于二層接入設(shè)備的認(rèn)證方法中���,基于二層接入設(shè) 備的端口對(duì)用戶終端訪問(wèn)內(nèi)網(wǎng)和外網(wǎng)的HTTP請(qǐng)求進(jìn)行認(rèn)證��,將從二層接入 設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)地址的HTTP請(qǐng)求重定向到認(rèn)證服務(wù) 器進(jìn)行認(rèn)證,并根據(jù)認(rèn)證結(jié)果對(duì)端口狀態(tài)進(jìn)行受限狀態(tài)和非受限狀態(tài)的設(shè)置�, 實(shí)現(xiàn)了對(duì)請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源用戶終端的快速筒便認(rèn)證,可以同時(shí)實(shí)現(xiàn)對(duì)用戶 終端訪問(wèn)內(nèi)網(wǎng)和外網(wǎng)網(wǎng)絡(luò)資源的控制��。同時(shí)���,對(duì)于非受限狀態(tài)的端口���,根據(jù) 本地MAC地址表中的用戶終端的MAC地址進(jìn)行老化����,實(shí)現(xiàn)對(duì)非受限狀態(tài)的 端口的控制����。本發(fā)明與基于Portal的認(rèn)證相比�����,區(qū)別在于應(yīng)用于二層接入設(shè)備上����,而 Portal認(rèn)證應(yīng)用于BAS路由設(shè)備上,因此本發(fā)明可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的訪問(wèn)控制��, 這是現(xiàn)有的Portal認(rèn)證無(wú)法實(shí)現(xiàn)的。另外�,Portal認(rèn)證中�����,根據(jù)用戶終端的IP 地址將用戶終端歸屬到不同的域,對(duì)于與未經(jīng)過(guò)認(rèn)證的用戶終端,其訪問(wèn)權(quán) 限是受控制的����,只能訪問(wèn)WEB服務(wù)器等資源(可以通過(guò)ACL控制實(shí)現(xiàn))。在認(rèn)證通過(guò)后,該用戶終端將屬于另外一個(gè)域��,在這個(gè)域里�����,用戶終端對(duì)外 網(wǎng)的訪問(wèn)是不受控制的���。本發(fā)明提供的方法中�����,認(rèn)證是基于端口進(jìn)行的�����。本發(fā)明還提供一種二層接入設(shè)備�����,如圖8所示,包括消息交互單元10,用于與用戶終端和認(rèn)證服務(wù)器交互消息����;具體的�����,從二層接入設(shè)備的端口接收用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求��;將認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給用戶終端���,并將用戶終端返回的內(nèi)容發(fā)送到認(rèn)證服務(wù)器�;接收認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息���;端口狀態(tài)判斷單元20���,用于當(dāng)消息交互單元IO從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)地址的HTTP請(qǐng)求時(shí)��,判斷該二層接入設(shè)備的端口是否為受限端口����;重定向單元30,用于當(dāng)端口狀態(tài)判斷單元20判斷二層4妻入設(shè)備的端口為 受限端口時(shí)�����,將消息交互單元接收到的用戶終端的HTTP請(qǐng)求重定向到認(rèn)證 服務(wù)器。當(dāng)基于VLAN進(jìn)行認(rèn)證服務(wù)器的配置時(shí)��,重定向單元30包括配置 子單元�����,用于預(yù)先為二層接入設(shè)備的端口下的每一 VLAN配置相應(yīng)的認(rèn)證服 務(wù)器�;重定向子單元��,用于獲取用戶終端所屬的VLAN,將用戶終端的HTTP 請(qǐng)求重定向到與VLAN對(duì)應(yīng)的認(rèn)證服務(wù)器��。端口狀態(tài)設(shè)置單元40��,用于當(dāng)消息交互單元IO接收到認(rèn)證服務(wù)器發(fā)送的 認(rèn)證通過(guò)消息時(shí)����,將二層接入設(shè)備的端口設(shè)置為非受限端口,允許該二層接 入設(shè)備的端口下連接的用戶終端訪問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址。還可以用于當(dāng)用 戶終端返回的內(nèi)容連續(xù)多次未通過(guò)認(rèn)證服務(wù)器的認(rèn)證時(shí)�����,將二層接入設(shè)備的 端口設(shè)置為休眠狀態(tài)��,拒絕接收到的任何HTTP請(qǐng)求�����;在二層接入設(shè)備的端 口處于休眠狀態(tài)的時(shí)間到達(dá)預(yù)設(shè)的時(shí)間時(shí)����,將二層接入設(shè)備的端口設(shè)置為受 限狀態(tài)��。還可以用于對(duì)于認(rèn)證通過(guò)的用戶終端�,定時(shí)檢查本地MAC地址表 項(xiàng)中是否存在用戶終端的MAC地址,當(dāng)不存在時(shí)�,則將對(duì)應(yīng)二層接入設(shè)備的 端口設(shè)置為受限狀態(tài)��。認(rèn)證單元50��,用于對(duì)重定向后的用戶終端的HTTP請(qǐng)求進(jìn)行認(rèn)證����,并發(fā) 送認(rèn)證結(jié)果到端口狀態(tài)設(shè)置單元40���。該iU正單元50的功能也可以由二層接入 設(shè)備外部的具有認(rèn)證功能的設(shè)備實(shí)現(xiàn)。務(wù)器進(jìn)行認(rèn)證�,并根據(jù) 認(rèn)證結(jié)果對(duì)端口狀態(tài)進(jìn)行設(shè)置,實(shí)現(xiàn)了對(duì)請(qǐng)求訪問(wèn)內(nèi)網(wǎng)或外網(wǎng)網(wǎng)絡(luò)資源用戶 終端的快速簡(jiǎn)便認(rèn)證。通過(guò)以上的實(shí)施方式的描述���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可以通過(guò)硬件實(shí)現(xiàn)���,也可以借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)�����。 基于這樣的理解�����,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)��,該軟 件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM, U盤���,移動(dòng)硬 盤等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服 務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法����。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的 單元或流程并不一定是實(shí)施本發(fā)明所必須的��。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的單元可以按照實(shí)施例描述 進(jìn)行分布于實(shí)施例的裝置中�,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一 個(gè)或多個(gè)裝置中。上述實(shí)施例的單元可以合并為一個(gè)單元���,也可以進(jìn)一步拆 分成多個(gè)子單元����。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述�,不代表實(shí)施例的優(yōu)劣���。
權(quán)利要求
1�、一種認(rèn)證方法�,其特征在于,應(yīng)用于二層接入設(shè)備�����,包括從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求時(shí)�,判斷所述二層接入設(shè)備的端口是否為受限端口;所述二層接入設(shè)備的端口為受限端口時(shí),將所述用戶終端的HTTP請(qǐng)求重定向到認(rèn)證服務(wù)器��;將所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給所述用戶終端,并將所述用戶終端返回的內(nèi)容發(fā)送到所述認(rèn)證服務(wù)器����;接收到所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息時(shí)��,將所述二層接入設(shè)備的端口設(shè)置為非受限端口,允許所述二層接入設(shè)備的端口下連接的用戶終端訪問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址����。
2、 如權(quán)利要求1所述的方法�����,其特征在于�����,所述將所述用戶終端的HTTP 請(qǐng)求重定向到認(rèn)證服務(wù)器包括預(yù)先為二層接入設(shè)備的端口下的每一 VLAN配置相應(yīng)的認(rèn)證服務(wù)器; 獲取所述用戶終端所屬的VLAN�,將所述用戶終端的HTTP請(qǐng)求重定向 到與所述VLAN對(duì)應(yīng)的認(rèn)證服務(wù)器���。
3���、 如權(quán)利要求l所述的方法,其特征在于�,還包括所述用戶終端返回 的內(nèi)容連續(xù)多次未通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證時(shí)���,將所述二層接入設(shè)備的端 口設(shè)置為休眠狀態(tài)����,拒絕接收到的任何HTTP請(qǐng)求��;在二層接入設(shè)備的端口 處于休眠狀態(tài)的時(shí)間到達(dá)預(yù)設(shè)的時(shí)間時(shí),將所述二層接入設(shè)備的端口設(shè)置為 受限狀態(tài)��。
4�����、 如權(quán)利要求1所述的方法,其特征在于����,還包括 對(duì)于認(rèn)證通過(guò)的所述用戶終端,定時(shí)檢查本地MAC地址表項(xiàng)中是否存在所述用戶終端的MAC地址����,當(dāng)不存在時(shí)��,則將所述二層接入設(shè)備的端口設(shè)置 為受限狀態(tài)���。
5��、 一種認(rèn)證方法,其特征在于����,應(yīng)用于二層接入設(shè)備,包括 用戶終端通過(guò)瀏覽器發(fā)送訪問(wèn)內(nèi)網(wǎng)或者外網(wǎng)地址的HTTP請(qǐng)求����; 二層接入設(shè)備通過(guò)與所述用戶 終端連接的處于受限狀態(tài)的端口接收所述HTTP請(qǐng)求�,當(dāng)HTTP請(qǐng)求中攜帶的目標(biāo)地址為域名��,則通過(guò)域名系統(tǒng)DNS解析獲取所述域名對(duì)應(yīng)的IP地址并繼續(xù)下一步驟;如果目標(biāo)地址為IP地址��, 則直接進(jìn)行下一步驟;所述二層接入設(shè)備通過(guò)傳輸控制協(xié)議TCP仿冒與所述用戶終端建立虛4艮 鏈接�����,記錄所述用戶終端的IP��、 MAC�����、 VLAN、端口��、訪問(wèn)地址信息中的一 種或多種��;所述二層接入設(shè)備將所述用戶終端發(fā)送的HTTP請(qǐng)求重定向到認(rèn)證服務(wù) 功能;所述認(rèn)證服務(wù)功能向所述二層接入設(shè)備返回認(rèn)證頁(yè)面�,所述二層接入設(shè) 備將所述認(rèn)證頁(yè)面發(fā)送給所述用戶終端,要求所述用戶終端提供合法的身份 標(biāo)識(shí)如用戶名和密碼���;所述用戶終端輸入用戶名和密碼��,并提交給所述二層接入設(shè)備����,所述二 層接入設(shè)備將所述用戶終端發(fā)送的內(nèi)容發(fā)送給所述認(rèn)證服務(wù)功能;所述認(rèn)證服務(wù)功能對(duì)所述用戶終端的認(rèn)證通過(guò)后通知所述二層接入設(shè) 備�,所述二層接入設(shè)備將所述用戶終端的所連接的端口設(shè)置為非受限狀態(tài)�, 正常轉(zhuǎn)發(fā)所有報(bào)文。
6、 一種二層接入i殳備���,其特征在于���,包括消息交互單元��,用于與用戶終端和認(rèn)證服務(wù)器交互消息����;具體的��,從二層接入設(shè)備的端口接收用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求���;將所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給所述用戶終端����,并將所述用戶終端返回的內(nèi)容發(fā)送到所述認(rèn)證服務(wù)器��;接收所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消 自 端口狀態(tài)判斷單元�,用于g所述消息交互單元從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求時(shí),判斷所述端口是 否為受限端口�;重定向單元��,用于當(dāng)所述端口狀態(tài)判斷單元判斷所述二層接入設(shè)備的端 口為受限端口時(shí),將所述消息交互單元接收到的用戶終端的HTTP請(qǐng)求重定 向到認(rèn)證服務(wù)器����;端口狀態(tài)設(shè)置單元,用于當(dāng)所述消息交互單元接收到所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息時(shí)�,將所述二層接入設(shè)備的端口設(shè)置為非受限端口��,允許 所述二層接入設(shè)備的端口下連接的用戶終端訪問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址��。
7���、 如權(quán)利要求6所述的二層接入設(shè)備,其特征在于��,所述重定向單元包括配置子單元,用于預(yù)先為二層接入設(shè)備的端口下的每一 VLAN配置相應(yīng) 的認(rèn)證服務(wù)器�;重定向子單元�,用于獲取所述用戶終端所屬的VLAN����,將所述用戶終端 的HTTP請(qǐng)求重定向到與所述VLAN對(duì)應(yīng)的認(rèn)證服務(wù)器�。
8���、 如權(quán)利要求6所述的二層接入設(shè)備��,其特征在于�,所述端口狀態(tài)設(shè)置 單元還用于當(dāng)所述用戶終端返回的內(nèi)容連續(xù)多次未通過(guò)所述認(rèn)證服務(wù)器的 認(rèn)證時(shí),將所述二層接入設(shè)備的端口設(shè)置為休眠狀態(tài)���,拒絕接收到的任何 HTTP請(qǐng)求����;在二層接入設(shè)備的端口處于休眠狀態(tài)的時(shí)間到達(dá)預(yù)設(shè)的時(shí)間時(shí), 將二層接入設(shè)備的端口設(shè)置為受限狀態(tài)����。
9����、 如權(quán)利要求6所述的二層接入設(shè)備��,其特征在于,所述端口狀態(tài)設(shè)置 單元還用于對(duì)于認(rèn)證通過(guò)的所述用戶終端�����,定時(shí)檢查本地MAC地址表項(xiàng)中 是否存在所述用戶終端的MAC地址���,當(dāng)不存在時(shí)��,則將所述二層接入設(shè)備的 端口設(shè)置為受限狀態(tài)���。
10、 如權(quán)利要求6至9中任一項(xiàng)所述的二層接入設(shè)備����,其特征在于,所 述認(rèn)證服務(wù)器的功能與本交換設(shè)備中的認(rèn)證功能實(shí)現(xiàn)時(shí)���,還包括認(rèn)證單元�,用于對(duì)重定向后的用戶終端的HTTP請(qǐng)求進(jìn)行認(rèn)證���,并發(fā)送 認(rèn)證結(jié)果到所述端口狀態(tài)設(shè)置單元�。
全文摘要
本發(fā)明公開(kāi)了一種認(rèn)證方法和設(shè)備�����。該方法應(yīng)用于二層接入設(shè)備��,包括從二層接入設(shè)備的端口接收到用戶終端發(fā)送的訪問(wèn)外網(wǎng)或內(nèi)網(wǎng)地址的HTTP請(qǐng)求時(shí)�����,判斷所述二層接入設(shè)備的端口是否為受限端口�����;所述二層接入設(shè)備的端口為受限端口時(shí)����,將所述用戶終端的HTTP請(qǐng)求重定向到認(rèn)證服務(wù)器;將所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證頁(yè)面發(fā)送給所述用戶終端�,并將所述用戶終端返回的內(nèi)容發(fā)送到所述認(rèn)證服務(wù)器��;接收到所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息時(shí)����,將所述二層接入設(shè)備的端口設(shè)置為非受限端口,允許所述二層接入設(shè)備的端口下連接的用戶終端訪問(wèn)外網(wǎng)和/或內(nèi)網(wǎng)地址�����。通過(guò)使用本發(fā)明�����,在二層接入設(shè)備中實(shí)現(xiàn)了對(duì)請(qǐng)求訪問(wèn)內(nèi)網(wǎng)或外網(wǎng)網(wǎng)絡(luò)資源用戶終端的快速簡(jiǎn)便認(rèn)證。
文檔編號(hào)H04L29/06GK101668017SQ200910176468
公開(kāi)日2010年3月10日 申請(qǐng)日期2009年9月16日 優(yōu)先權(quán)日2009年9月16日
發(fā)明者鮑利江 申請(qǐng)人:杭州華三通信技術(shù)有限公司