專利名稱:一種可擴(kuò)展的分布式wlan網(wǎng)絡(luò)用戶認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)用戶認(rèn)證方法���,特別是涉及了ー種可擴(kuò)展��、分布式的網(wǎng)絡(luò)用戶認(rèn)證方法�。
背景技術(shù):
傳統(tǒng)的網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)構(gòu)架是由多個802. Ix網(wǎng)關(guān)設(shè)備和ー個或者多個RADIUS服務(wù)器組成的����。802. Ix為IEEE Std 802. 1χ-2001基于端ロ的訪問控制協(xié)議�,可以克服PPPoE (point-to-point protocol over ethernet)方式帶來的諸多問題��,并避免引入寬帶接入服務(wù)器所帯來的巨大投資����。802. Ix協(xié)議限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端ロ訪問LAN/WAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前�,802. Ix對連接到交換機(jī)端口上的用戶進(jìn)行認(rèn)證。在認(rèn)證通過之前��,802. Ix只允許EAPOL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端ロ���。認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端ロ��。802. Ix協(xié)議體系結(jié)構(gòu)包括三個重要的部分Supplicant System客戶端��、Authenticator System認(rèn)證系統(tǒng)��、Authentication Server System認(rèn)證服務(wù)器(即RADIUS服務(wù)器)����。但是由于傳統(tǒng)方式往往需要專線接入來完成,仍然需要較大的投資����,不適合中小企業(yè)或者特殊場所的部署WLAN網(wǎng)絡(luò)覆蓋����。
發(fā)明內(nèi)容
本發(fā)明的目的是克服上述背景技術(shù)的不足����,提供ー種WLAN網(wǎng)絡(luò)用戶認(rèn)證方法,該方法應(yīng)具有投資小��、用戶使用便利的特點(diǎn)��。
本發(fā)明提供的技術(shù)方案是ー種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法����,依次包括以下步驟
1)按以下方式建立可擴(kuò)展的網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)多個認(rèn)證網(wǎng)關(guān)均通過外網(wǎng)直接與存儲全部用戶信息的用戶管理服務(wù)器連接,而無線用戶終端通過無線AP在其中的ー個認(rèn)證網(wǎng)關(guān)進(jìn)入認(rèn)證流程����;
2)用戶管理服務(wù)器通過外網(wǎng)IP和端ロ映射表組織認(rèn)證網(wǎng)關(guān)生成P2P網(wǎng)絡(luò),并由各個認(rèn)證網(wǎng)關(guān)通過彼此之間的TCP長連接組成虛擬統(tǒng)ー認(rèn)證網(wǎng)關(guān)�����。所述步驟2)中的虛擬統(tǒng)一認(rèn)證網(wǎng)關(guān)的組成方式是
每ー個認(rèn)證網(wǎng)關(guān)在固定時間向用戶管理服務(wù)器發(fā)送同步TCP報(bào)文���,用戶管理服務(wù)器將每ー個認(rèn)證網(wǎng)關(guān)的外部IP和端ロ記錄至ー張映射表中����;
用戶管理服務(wù)器在收到每ー個認(rèn)證網(wǎng)關(guān)的同步TCP報(bào)文后發(fā)送回執(zhí);
每ー個認(rèn)證網(wǎng)關(guān)收到回執(zhí)后���,存儲或者更新自身的映射表�,然后根據(jù)映射表向相應(yīng)ID的認(rèn)證網(wǎng)關(guān)建立TCP長連接�����。所述步驟I)中的認(rèn)證流程是
401步驟當(dāng)無線用戶終端接入網(wǎng)絡(luò)�;
402步驟認(rèn)證網(wǎng)關(guān)向用戶設(shè)備發(fā)布認(rèn)證Web頁面;403步驟用戶輸入登錄信息�;
404步驟認(rèn)證網(wǎng)關(guān)根據(jù)已經(jīng)同步的用戶信息庫����,判斷登錄的權(quán)限;
如果認(rèn)證網(wǎng)關(guān)無法查找到正確用戶信息���,則進(jìn)入405步驟向用戶管理服務(wù)器查找用戶登錄權(quán)限信息����;
如果認(rèn)證網(wǎng)關(guān)得到正確的登錄信息,則進(jìn)入406步驟所有認(rèn)證網(wǎng)關(guān)同步這個用戶信
息ο如果此次登錄認(rèn)證還需要擴(kuò)展登錄方式���,則進(jìn)入407步驟認(rèn)證網(wǎng)關(guān)向用戶管理服務(wù)器提交認(rèn)證請求�;
如果用戶管理服務(wù)器認(rèn)證成功��,認(rèn)證網(wǎng)關(guān)收到合法的用戶信息���,則進(jìn)入408步驟認(rèn)證網(wǎng)關(guān)緩存用戶擴(kuò)展登錄信息����;
如果在405和407步驟中�,用戶管理服務(wù)器認(rèn)證失敗,則進(jìn)入409步驟用戶管理服務(wù)器向認(rèn)證網(wǎng)關(guān)發(fā)送認(rèn)證失敗信息�;
410步驟認(rèn)證網(wǎng)關(guān)通過認(rèn)證頁面根據(jù)向用戶終端發(fā)布認(rèn)證失敗指令代碼;
411步驟用戶終端Web頁面根據(jù)向用戶提供可視化界面的認(rèn)證失敗提示�。當(dāng)任何ー個認(rèn)證網(wǎng)關(guān)完成408步驟后,即通過虛擬統(tǒng)一網(wǎng)關(guān)中的各個TCP鏈接和其他每ー個認(rèn)證網(wǎng)關(guān)同步相關(guān)用戶認(rèn)證信息���。如果某ー個或者多個TCP鏈路中斷時��,該項(xiàng)用戶認(rèn)證信息就緩存在用戶管理服務(wù)器中�;等到相關(guān)認(rèn)證網(wǎng)關(guān)向用戶管理服務(wù)器發(fā)送同步TCP報(bào)文時�����,相關(guān)信息即時下傳至認(rèn)證網(wǎng)關(guān),同時修復(fù)虛擬統(tǒng)ー認(rèn)證網(wǎng)關(guān)的相應(yīng)TCP鏈接�����。本發(fā)明的有益效果是由于采用了分布式認(rèn)證網(wǎng)關(guān)結(jié)構(gòu)和分集認(rèn)證的方法�����,使得網(wǎng)絡(luò)用戶認(rèn)證的功能得到顯著擴(kuò)展���;而且能夠利用直接現(xiàn)有的外網(wǎng)及相關(guān)設(shè)備(對網(wǎng)絡(luò)質(zhì)量要求不高)���,投資得以大幅降低(僅為現(xiàn)有網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)的10-20%),工程安裝和維護(hù)也簡單����;適應(yīng)了中小企業(yè)的經(jīng)營需求����,以及在特殊場所WLAN網(wǎng)絡(luò)的應(yīng)用需要。
圖I是本發(fā)明中的網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)的構(gòu)架示意圖�����。圖2是本發(fā)明中的虛擬統(tǒng)一認(rèn)證網(wǎng)關(guān)的構(gòu)架示意圖。圖3是本發(fā)明中的用戶管理服務(wù)器發(fā)送的映射表結(jié)構(gòu)示意圖��。圖4是本發(fā)明中的認(rèn)證流程示意圖��。
具體實(shí)施例方式本發(fā)明的要點(diǎn)是采用了分布式認(rèn)證網(wǎng)關(guān)結(jié)構(gòu)(即在所需要的地區(qū)或場合設(shè)置多個具有認(rèn)證功能的網(wǎng)關(guān))和分集認(rèn)證(即將認(rèn)證功能分開�,由各個認(rèn)證網(wǎng)關(guān)分別承擔(dān))的方法,用戶管理服務(wù)器加上所連通的網(wǎng)關(guān)�,取代了傳統(tǒng)方式中的RADIUS服務(wù)器和認(rèn)證Web服務(wù)器的職能。本發(fā)明建立的可擴(kuò)展的網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)如圖I所示多個認(rèn)證網(wǎng)關(guān)均通過外網(wǎng)直接與用戶管理服務(wù)器連接�����;而無線用戶終端通過無線AP在其中的ー個認(rèn)證網(wǎng)關(guān)進(jìn)入認(rèn)證流程(即基于B/S結(jié)構(gòu)的認(rèn)證交互流程�����,采用網(wǎng)絡(luò)軟件實(shí)現(xiàn))�。用戶管理服務(wù)器存儲全部用戶信息,并通過外網(wǎng)IP和端ロ映射表組織認(rèn)證網(wǎng)關(guān)生成P2P網(wǎng)絡(luò)�����,并由各個認(rèn)證網(wǎng)關(guān)通過彼此之間的TCP長連接建立TCP通道,組成虛擬統(tǒng)ー認(rèn)證網(wǎng)關(guān)(圖2所示)����。每ー個認(rèn)證網(wǎng)關(guān)在固定時間(比如每一分鐘)向用戶管理服務(wù)器發(fā)送同步TCP報(bào)文,用戶管理服務(wù)器將每ー個認(rèn)證網(wǎng)關(guān)的外部IP和端ロ記錄至ー張映射表(如圖3所示�,為常規(guī)的映射表結(jié)構(gòu))中。用戶管理服務(wù)器在收到每ー個認(rèn)證網(wǎng)關(guān)的同步TCP報(bào)文后發(fā)送回執(zhí)����,即映射表。每ー個認(rèn)證網(wǎng)關(guān)收到回執(zhí)后���,存儲或者更新自身的映射表����,然后根據(jù)映射表向相應(yīng)ID (IP地址)的認(rèn)證網(wǎng)關(guān)建立TCP長連接通道�。認(rèn)證流程(如圖4所示)
當(dāng)無線終端用戶按照401步驟接入網(wǎng)絡(luò)時,認(rèn)證網(wǎng)關(guān)根據(jù)402步驟向用戶設(shè)備發(fā)布認(rèn)證Web頁面��;
依據(jù)403步驟�����,用戶輸入登錄信息�����;認(rèn)證網(wǎng)關(guān)根據(jù)404步驟已經(jīng)同步的用戶信息庫���,判斷登錄的權(quán)限��;
如果網(wǎng)關(guān)無法查找到正確用戶信息�,便根據(jù)405步驟��,向用戶管理服務(wù)器查找用戶登錄權(quán)限信息��;
如果認(rèn)證網(wǎng)關(guān)得到正確的登錄信息��,便根據(jù)406步驟同步這個用戶信息�����;
如果此次登錄認(rèn)證還需要擴(kuò)展登錄方式(比如短信認(rèn)證等方法)�,認(rèn)證網(wǎng)關(guān)按照407步驟向用戶管理服務(wù)器提交認(rèn)證請求;
當(dāng)認(rèn)證網(wǎng)關(guān)收到合法的用戶信息后���,按照408步驟��,緩存用戶擴(kuò)展登錄信息���;
如果在405和407步驟中����,用戶管理服務(wù)器認(rèn)證失敗����,便按照409步驟向認(rèn)證網(wǎng)關(guān)發(fā)送認(rèn)證失敗信息;
認(rèn)證網(wǎng)關(guān)通過認(rèn)證頁面根據(jù)410步驟向用戶終端發(fā)布認(rèn)證失敗指令代碼��。用戶終端Web頁面根據(jù)411步驟向用戶提供可視化界面的認(rèn)證失敗提示���。當(dāng)任何ー個認(rèn)證網(wǎng)關(guān)完成408步驟后���,通過虛擬統(tǒng)ー網(wǎng)關(guān)中的各個TCP鏈接,與其他每ー個認(rèn)證網(wǎng)關(guān)同步相關(guān)用戶認(rèn)證信息�。如果某ー個或者多個TCP鏈路中斷時,該項(xiàng)用戶認(rèn)證信息會緩存在用戶管理服務(wù)器中���,等到相關(guān)認(rèn)證網(wǎng)關(guān)向服務(wù)器發(fā)送同步TCP報(bào)文時����,相關(guān)信息即時下傳至認(rèn)證網(wǎng)關(guān)����,同時修復(fù)虛擬統(tǒng)ー認(rèn)證網(wǎng)關(guān)的相應(yīng)TCP鏈接�。實(shí)施例
一家連鎖餐飲公司在全國各地開設(shè)了多家餐廳�,每家餐廳都需要部署無線網(wǎng)絡(luò)���,以便向客戶提供上網(wǎng)服務(wù)���。客戶需要通過身份認(rèn)證來獲取上網(wǎng)服務(wù)資格�。如果使用傳統(tǒng)集中式認(rèn)證方案的話,每個餐廳都需要網(wǎng)絡(luò)專線接駁到一臺遠(yuǎn)程RADIUS服務(wù)器�,而且由于用戶量較大,所以RADIUS服務(wù)器需要較高的配置�����。這種方式的投資太大���,遠(yuǎn)遠(yuǎn)超出了這家餐飲公司的預(yù)算�����。目前該餐廳使用了分布式認(rèn)證方案���,在每個餐廳部署一臺認(rèn)證網(wǎng)關(guān)接駁到一臺普通配置的用戶管理服務(wù)器即可����,無需昂貴的網(wǎng)絡(luò)專線和高配置RADIUS服務(wù)器����。和傳統(tǒng)集中式認(rèn)證方案相比,分布式認(rèn)證方案的設(shè)備投資很低(降為原先的10%左右)����,對于網(wǎng)絡(luò)質(zhì)量要求低,工程安裝和維護(hù)簡易�����。
權(quán)利要求
1.一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法��,依次包括以下步驟 O建立可擴(kuò)展的網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)�;該認(rèn)證系統(tǒng)的結(jié)構(gòu)是多個認(rèn)證網(wǎng)關(guān)均直接與存儲全部用戶信息的用戶管理服務(wù)器連接,而無線用戶終端通過無線AP接入其中的一個認(rèn)證網(wǎng)關(guān)進(jìn)行認(rèn)證����; 2)用戶管理服務(wù)器通過外部IP和端口映射表組織認(rèn)證網(wǎng)關(guān)生成P2P網(wǎng)絡(luò),并由各個認(rèn)證網(wǎng)關(guān)通過彼此之間的TCP長連接組成虛擬統(tǒng)一認(rèn)證網(wǎng)關(guān)����。
2.根據(jù)權(quán)利要求I所述的一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法�����,其特征在于所述虛擬統(tǒng)一認(rèn)證網(wǎng)關(guān)的工作流程是 每一個認(rèn)證網(wǎng)關(guān)在固定時間向用戶管理服務(wù)器發(fā)送同步TCP報(bào)文����,用戶管理服務(wù)器將每一個認(rèn)證網(wǎng)關(guān)的外部IP和端口記錄至一張映射表中��; 用戶管理服務(wù)器在收到每一個認(rèn)證網(wǎng)關(guān)的同步TCP報(bào)文后發(fā)送回執(zhí)��; 每一個認(rèn)證網(wǎng)關(guān)收到回執(zhí)后���,存儲或者更新自身的映射表,然后根據(jù)映射表向相應(yīng)ID的認(rèn)證網(wǎng)關(guān)建立TCP長連接��。
3.根據(jù)權(quán)利要求2所述的一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法�����,其特征在于所述步驟I)中認(rèn)證的流程是 401步驟當(dāng)無線用戶終端接入網(wǎng)絡(luò)�; 402步驟認(rèn)證網(wǎng)關(guān)根據(jù)向用戶設(shè)備發(fā)布認(rèn)證Web頁面; 403步驟用戶輸入登錄信息����; 404步驟認(rèn)證網(wǎng)關(guān)根據(jù)已經(jīng)同步的用戶信息庫�����,判斷登錄的權(quán)限��; 如果認(rèn)證網(wǎng)關(guān)無法查找到正確用戶信息��,則進(jìn)入405步驟向用戶管理服務(wù)器查找用戶登錄權(quán)限信息��; 如果認(rèn)證網(wǎng)關(guān)得到正確的登錄信息����,則進(jìn)入406步驟所有認(rèn)證網(wǎng)關(guān)同步這個用戶信肩��、O
4.根據(jù)權(quán)利要求3所述的一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法����,其特征在于如果此次登錄認(rèn)證還需要擴(kuò)展登錄方式,則進(jìn)入407步驟認(rèn)證網(wǎng)關(guān)向用戶管理服務(wù)器提交認(rèn)證請求����; 如果用戶管理服務(wù)器認(rèn)證成功,認(rèn)證網(wǎng)關(guān)收到合法的用戶信息�,則進(jìn)入408步驟認(rèn)證網(wǎng)關(guān)緩存用戶擴(kuò)展登錄信息���; 如果在405和407步驟中,用戶管理服務(wù)器認(rèn)證失敗���,則進(jìn)入409步驟用戶管理服務(wù)器向認(rèn)證網(wǎng)關(guān)發(fā)送認(rèn)證失敗信息��; 410步驟認(rèn)證網(wǎng)關(guān)通過認(rèn)證頁面根據(jù)向用戶終端發(fā)布認(rèn)證失敗指令代碼�����; 411步驟用戶終端Web頁面根據(jù)向用戶提供可視化界面的認(rèn)證失敗提示。
5.根據(jù)權(quán)利要求4所述的一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法���,其特征在于當(dāng)任何一個認(rèn)證網(wǎng)關(guān)完成408步驟后��,即通過虛擬統(tǒng)一網(wǎng)關(guān)中的各個TCP鏈接和其他每一個認(rèn)證網(wǎng)關(guān)同步相關(guān)用戶認(rèn)證信息�����。
6.根據(jù)權(quán)利要求5所述的一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法���,其特征在于如果某一個或者多個TCP鏈路中斷時,該項(xiàng)用戶認(rèn)證信息就緩存在用戶管理服務(wù)器中�;等到相關(guān)認(rèn)證網(wǎng)關(guān)向用戶管理服務(wù)器發(fā)送同步TCP報(bào)文時�����,相關(guān)信息即時下傳至認(rèn)證網(wǎng)關(guān)�,同時修復(fù)虛擬統(tǒng)一認(rèn)證網(wǎng)關(guān)的相應(yīng)TCP鏈接��。
全文摘要
本發(fā)明涉及一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法���。所要解決的技術(shù)問題是提供的方法應(yīng)具有投資小�、用戶使用便利的特點(diǎn)�����。技術(shù)方案是一種可擴(kuò)展的分布式WLAN網(wǎng)絡(luò)用戶認(rèn)證方法����,依次包括以下步驟1)按以下方式建立可擴(kuò)展的網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)多個認(rèn)證網(wǎng)關(guān)均通過外網(wǎng)直接與存儲全部用戶信息的用戶管理服務(wù)器連接,而無線用戶終端通過無線AP在其中的一個認(rèn)證網(wǎng)關(guān)進(jìn)入認(rèn)證流程��;2)用戶管理服務(wù)器通過外網(wǎng)IP和端口映射表組織認(rèn)證網(wǎng)關(guān)生成P2P網(wǎng)絡(luò)���,并由各個認(rèn)證網(wǎng)關(guān)通過彼此之間的TCP長連接組成虛擬統(tǒng)一認(rèn)證網(wǎng)關(guān)���。
文檔編號H04W12/06GK102665216SQ20121013569
公開日2012年9月12日 申請日期2012年5月3日 優(yōu)先權(quán)日2012年5月3日
發(fā)明者趙霏 申請人:杭州熱望信息技術(shù)有限公司