基于網(wǎng)絡(luò)接入安全設(shè)備的認證方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及一種基于網(wǎng)絡(luò)接入安全(Network AccessSecurity���,NAS)設(shè)備的認證方法及裝置�。
【背景技術(shù)】
[0002]目前��,隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展�����,網(wǎng)絡(luò)安全已經(jīng)成為一個全球性問題�����。從目前市場應(yīng)用來看��,對訪問網(wǎng)絡(luò)的用戶進行身份認證已成為保障網(wǎng)絡(luò)安全的重要手段�。因此,安全����、有效、便捷的接入認證技術(shù)成為了近年的研究熱點。
[0003]現(xiàn)在��,主要的接入認證方式有PPPoE�����、IEEE802.lx和Web認證��。其中Web認證因為無需客戶端安裝任何認證軟件����,使用瀏覽器即可完成認證以及能夠開展與業(yè)務(wù)密切相關(guān)的廣告���、服務(wù)選擇和信息發(fā)布等增值業(yè)務(wù)的優(yōu)點�����,得到了越來越廣泛的應(yīng)用���。
[0004]在典型的Web認證組網(wǎng)中,通常是在核心設(shè)備的接口上開啟Web認證����,將全網(wǎng)用戶的管理集中到核心設(shè)備上,方便整網(wǎng)部署�,降低后續(xù)監(jiān)控維護的代價�。核心設(shè)備作為全網(wǎng)用戶的網(wǎng)關(guān)�,下聯(lián)用戶只有通過身份認證之后才能正常的訪問網(wǎng)絡(luò),這里���,為方便描述����,將開啟身份認證的核心設(shè)備統(tǒng)一稱為NAS設(shè)備��。
[0005]現(xiàn)有的用戶身份認證上線的基本流程�,主要包括:TCP報文的攔截、TCP偽連接的建立���、HTTP報文的重定向����、服務(wù)器端認證以及NAS端的上網(wǎng)權(quán)限設(shè)置���。用戶在認證網(wǎng)頁提交相應(yīng)認證信息后���,若在服務(wù)器端通過認證,服務(wù)器將通知NAS設(shè)備設(shè)置相應(yīng)用戶信息,并放行該用戶的報文���。Web認證的主要流程包括:1����、在認證之前�����,NAS設(shè)備將未認證用戶發(fā)出的所有HTTP請求進行攔截后�����,重定向到Portal服務(wù)器�,如此�,在用戶的瀏覽器處彈出認證頁面;2���、用戶通過認證頁面輸入認證信息�����,如用戶名����、口令、校驗碼等��,與Portal服務(wù)器進行交互�����;3����、Portal服務(wù)器將接收到的用戶的認證信息發(fā)送給NAS設(shè)備;4�、NAS設(shè)備向Radius服務(wù)器發(fā)起認證,并將認證結(jié)果反饋至Portal服務(wù)器���;5�、Portal服務(wù)器向客戶端返回認證結(jié)果頁面�����,提示認證結(jié)果為成功或失敗�����。
[0006]當(dāng)NAS設(shè)備重啟,所有在線用戶需要重新接入網(wǎng)絡(luò)���,NAS設(shè)備需要對用戶發(fā)出的所有HTTP請求進行攔截����,并重定向到Portal服務(wù)器��,而由于NAS設(shè)備處理能力有限��,會導(dǎo)致超大量HTTP請求不能及時處理��,造成處理延時��,用戶不能及時完成身份認證�。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的實施例提供了一種基于NAS設(shè)備的認證方法��,能夠及時處理用戶HTTP請求報文����,完成身份認證。
[0008]本發(fā)明提供了如下方案:
[0009]—種基于網(wǎng)絡(luò)接入安全NAS設(shè)備的認證方法�,包括:
[0010]所述NAS設(shè)備重啟,進入自由時間����,放行接收到的用戶的報文�;
[0011]所述自由時間到時���,進入攔截時間����,按照預(yù)設(shè)的攔截條件��,攔截接收到的HTTP請求報文以完成重認證����。
[0012]—種基于網(wǎng)絡(luò)接入安全NAS設(shè)備的認證裝置,所述裝置包括:放行模塊和攔截模塊���;其中�����,
[0013]所述放行模塊���,用于當(dāng)所述NAS設(shè)備重啟,進入自由時間����,放行接收到的用戶的報文��;
[0014]所述攔截模塊����,用于所述自由時間到時���,進入攔截時間��,按照預(yù)設(shè)的攔截條件����,攔截接收到的HTTP請求報文以完成重認證�。
[0015]由上述本發(fā)明的實施例提供的技術(shù)方案可以看出,本發(fā)明實施例提供的基于NAS設(shè)備的認證方法及裝置��,當(dāng)NAS設(shè)備重啟時���,首先進入一個自由時間,在該時間內(nèi)���,放行所有接收到的HTTP請求報文�����,如此�����,可使因NAS設(shè)備重啟而中斷上網(wǎng)的用戶在自由時間內(nèi)迅速恢復(fù)上網(wǎng)�����,后續(xù)進入攔截時間��,按照攔截條件對HTTP請求報文進行攔截�����,將符合攔截條件的HTTP請求報文進行重認證�����,放行不符合攔截條件的HTTP請求報文�,逐步實現(xiàn)用戶的重認證,最大限度的降低了 NAS設(shè)備重啟造成用戶上網(wǎng)中斷的影響���,能夠迅速實現(xiàn)用戶的重認證�����。
【附圖說明】
[0016]為了更清楚地說明本發(fā)明實施例的技術(shù)方案�����,下面將對實施例描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖����。
[0017]圖1為本發(fā)明實施例提供的基于NAS設(shè)備的認證方法的實現(xiàn)流程示意圖�����;
[0018]圖2為本發(fā)明實施例一提供的基于NAS設(shè)備的認證方法的實現(xiàn)流程示意圖���;
[0019]圖3為本發(fā)明實施例提供的基于NAS設(shè)備的認證裝置的結(jié)構(gòu)示意圖����。
【具體實施方式】
[0020]為便于對本發(fā)明實施例的理解����,下面將結(jié)合附圖以幾個具體實施例為例做進一步的解釋說明,且各個實施例并不構(gòu)成對本發(fā)明實施例的限定�����。
[0021]圖1為本發(fā)明實施例提供的基于NAS設(shè)備的認證方法的實現(xiàn)流程示意圖�;如圖1所示,本實施例包括下述步驟:
[0022]步驟101�����,所述NAS設(shè)備重啟��,進入自由時間���,放行接收到的用戶的報文���;
[0023]這里,所述自由時間是指NAS設(shè)備將接收到的所有報文全部放行,如此��,發(fā)送報文的用戶均可正常接入網(wǎng)絡(luò)���。優(yōu)選地���,所述自由時間的時長較短,如30秒�、1分鐘、2分鐘�����、5分鐘等等均可�,主要取決于設(shè)備重啟過程的耗時,只要能夠保證設(shè)備重啟過程中��,將接收到的用戶報文全部放行���,等設(shè)備重啟成功�����,準確就緒�����,此時自由時間結(jié)束�,進入攔截時間即可�。
[0024]步驟102,所述自由時間到時���,進入攔截時間�����,按照預(yù)設(shè)的攔截條件�,攔截接收到的HTTP請求報文以完成重認證�����。
[0025]這里�,當(dāng)所述攔截時間包括多個攔截時間段時,每個攔截時間段各自對應(yīng)一個預(yù)設(shè)的攔截條件��,依次進入所述攔截時間段�����,按照所述攔截時間段對應(yīng)的攔截條件,攔截接收到的HTTP請求報文以完成重認證�����。這里�,所述攔截時間可根據(jù)NAS設(shè)備的處理能力進行確定,例如���,若該NAS設(shè)備每分鐘可處理5000個用戶的重認證��,此時有12000個用戶需要重認證�����,則可將攔截時間設(shè)置為2分鐘����,如此����,該攔截時間包括2個時長為1分鐘的攔截時間段。
[0026]具體地���,若攔截時間由第一����、第二….第η攔截時間段組成,第一���、第二…第η攔截時間段分別對應(yīng)的攔截條件為第一�����、第二…第η預(yù)設(shè)攔截條件,這里η為正整數(shù)��。首先進入第一攔截時間段時�,攔截符合第一預(yù)設(shè)攔截條件的用戶的HTTP請求報文進行重認證,放行不符合第一預(yù)設(shè)攔截條件的用戶的所有報文���;然后進入第二攔截時間段�,攔截符合第二預(yù)設(shè)攔截條件的用戶的HTTP請求報文進行重認證�����,放行不符合第二預(yù)設(shè)攔截條件的用戶的所有報文�;以此類推,直至將接收到的HTTP請求報文全部攔截�。這里�����,所述攔截時間和攔截條件可根據(jù)實際需要進行預(yù)先設(shè)置�。
[0027]應(yīng)當(dāng)理解���,若第η攔截時間段到時后����,仍未將接收到的HTTP請求報文全部攔截�,則后續(xù)處理流程即可將接收到的HTTP請求報文全部攔截,不需再參照攔截條件進行攔截��。
[0028]圖2為本發(fā)明實施例一提供的基于NAS設(shè)備的認證方法的實現(xiàn)流程示意圖�����,如圖2所示�,所述實施例一包括下述步驟:
[0029]步驟201,所述NAS設(shè)備重啟�����,進入自由時間�����,放行接收到的用戶的報文;
[0030]步驟202�����,當(dāng)所述自由時間到時����,進入第一攔截時間段,攔截接收到的符合第一預(yù)設(shè)攔截條件的用戶的HTTP請求報文以完成重認證���,放行不符合第一預(yù)設(shè)攔截條件的用戶的所有報文;
[0031]具體地��,當(dāng)所述自由時間到時�,進入第一攔截時間段,攔截源IP地址在預(yù)設(shè)的第一 IP地址范圍內(nèi)的未認證的用戶的HTTP請求報文進行重認證�,放行源IP地址在所述第一IP地址范圍外的用戶的所有報文;這里�,所述第一 IP地址范圍可以為A-B,所述源IP地址為用戶的報文中的源IP地址��;
[0032]步驟203���,當(dāng)所述第一攔截時間段到時���,進入第二攔截時間段��,攔截接收到的符合第二預(yù)設(shè)攔截條件的用戶的HTTP請求報文以完成重認證�,放行不符合第二預(yù)設(shè)攔截條件的用戶的所有報文�。
[0033]當(dāng)所述第一攔截時間段到時,進入第二攔截時間段���,攔截源IP地址在預(yù)設(shè)第二 IP地址范圍內(nèi)的未認證的用戶的HTTP請求報文進行重認證����,放行源IP地址在所述第二 IP地址范圍外用戶的所有報文�����;這里����,所述第一 IP地址范圍包含在第二 IP地址范圍內(nèi),比如所述第二 IP地址范圍可以為A-C���,這里��,A���、B����、C為IP地址�,且C > B,例如�����,A為1����,B為20��,C為30���。
[0034]應(yīng)當(dāng)理解�����,上述實施例中所述自由時間到時�,進入攔截時間,按照預(yù)設(shè)的攔截條件�,攔截接收到的HTTP請求報文以完成重認證,還可以具體為:
[0035]當(dāng)所述自由時間到時����,進入第一攔截時間段,攔截(源IP地址&0x0F)〈l的未認證的用戶的HTTP請求報文進行重認證���,放行(源IP地址&0x0F)彡1的用戶的所有報文����;
[0036]當(dāng)所述第一攔截時間段到時�����,進入第二攔截時間段��,攔截(源IP地址&0x0F)〈2的未認證的用戶的HTTP請求報文進行重認證�,放行(源IP地址&0x0F)彡2的用戶的所有報文;
[0037]當(dāng)所述第二攔截時間段到時��,進入第三攔截時間段�,攔截(源IP地址&0x0F)〈3的未認證的用戶的HTTP請求報文進行重認證,放行(源IP地址&0x0F)彡3的用戶的所有報文。
[0038]其中����,源IP地址與OxOF進行按位與的操作,本質(zhì)是通過位運算區(qū)分不同范圍的IP地址���,應(yīng)當(dāng)理解���,現(xiàn)有其他區(qū)分IP地址的方式均可以利用,不對本發(fā)明實施例造成限定��。
[0039]圖3為本發(fā)明實施例提供的基于NAS設(shè)備的認證裝置的結(jié)構(gòu)示意圖���,如圖3所示��,所述裝置包括:放行模塊31和攔截模塊32 ;其中�����,
[0040]所述放行模塊31,用于當(dāng)所述NAS設(shè)備重啟��,進入自由時間�,放行接收到的用戶的報文;
[0041]所述攔截模塊32,用于所述自由時間到時���,進入攔截時間���,按照預(yù)設(shè)的攔截條件,攔截接收到的HTTP請求報文以完成重認證�。
[0042]可選的,所述攔截模塊32�,具體用于當(dāng)所述攔截時間包括多個攔截時間段時,每個攔截時間段各自對應(yīng)一個預(yù)設(shè)的攔截條件�����,依次進入所述攔截時間段���,按照所述攔截時間段對應(yīng)的攔截條件����,攔截接收到的HTTP請求報文以完成重認證�����。
[0043]可選的����,所述攔截模塊32��,具體用于當(dāng)所述自由時間到時�,進入第一攔截時間段�����,攔截接收到的符合第一預(yù)設(shè)攔截條件的用