專利名稱:一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)通訊領(lǐng)域����,特別是指一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)及方法。
背景技術(shù):
在企業(yè)網(wǎng)或園區(qū)網(wǎng)的網(wǎng)絡(luò)建設(shè)時(shí)��,在內(nèi)網(wǎng)接入層安全控制上���,一般要在網(wǎng)絡(luò)接入層使用802.1x交換機(jī)��,采用802.1x認(rèn)證技術(shù)進(jìn)行網(wǎng)絡(luò)接入層的控制����。如果要進(jìn)行用戶上網(wǎng)計(jì)費(fèi)�����,特別是內(nèi)外網(wǎng)訪問區(qū)分計(jì)費(fèi),或者內(nèi)網(wǎng)訪問不計(jì)費(fèi)����、外網(wǎng)訪問計(jì)費(fèi)這種方式,一般要在網(wǎng)絡(luò)的出口處使用計(jì)費(fèi)網(wǎng)關(guān)設(shè)備����,采用web認(rèn)證技術(shù)進(jìn)行外網(wǎng)訪問的計(jì)費(fèi)與控制。傳統(tǒng)方式上��,如果需要同時(shí)實(shí)現(xiàn)內(nèi)網(wǎng)802.1x控制���、外網(wǎng)計(jì)費(fèi)網(wǎng)關(guān)控制的方式,則可同時(shí)在內(nèi)網(wǎng)采用802.1x認(rèn)證技術(shù)�,在外網(wǎng)采用web認(rèn)證技術(shù)。這種網(wǎng)絡(luò)方式如圖1所示內(nèi)外網(wǎng)區(qū)分控制����、區(qū)分計(jì)費(fèi)的組網(wǎng)方式。但目前���,這種方式在具體的核心產(chǎn)品認(rèn)證計(jì)費(fèi)系統(tǒng)Radius Server和認(rèn)證客戶端上至少具有下列特征之一
1�����、在上網(wǎng)客戶機(jī)的認(rèn)證操作上��,只能把802.1x認(rèn)證和web認(rèn)證做為完全獨(dú)立的二次認(rèn)證來操作��,即首先上網(wǎng)用戶要進(jìn)行內(nèi)網(wǎng)802.1x的認(rèn)證��,然后�����,上網(wǎng)用戶還要手動(dòng)進(jìn)行外網(wǎng)訪問的web認(rèn)證�����。上網(wǎng)用戶要獨(dú)立地進(jìn)行兩次基本上不相干的認(rèn)證操作�����,非常麻煩�;2、傳統(tǒng)的認(rèn)證計(jì)費(fèi)服務(wù)器(Radius Server)為了使計(jì)費(fèi)不產(chǎn)生混亂�����,一般都采用認(rèn)證帳號(hào)的唯一性認(rèn)證�����,即某一帳號(hào)如果已經(jīng)認(rèn)證通過處于在線狀態(tài),其他人就不再用這個(gè)帳號(hào)進(jìn)行上網(wǎng)認(rèn)證���。所以����,傳統(tǒng)方式上解決內(nèi)網(wǎng)802.1x及外網(wǎng)web認(rèn)證時(shí)���,同一上網(wǎng)者在第一次的802.1x認(rèn)證和第二次的web認(rèn)證時(shí)�����,還不能采用同一個(gè)帳號(hào)進(jìn)行認(rèn)證。
因此�����,對(duì)一個(gè)用戶而言���,就需要在radius server認(rèn)證服務(wù)器上開兩套用戶名/密碼�����,這樣上網(wǎng)用戶不得不記住兩套用戶/密碼�����,以分別進(jìn)行內(nèi)網(wǎng)的802.1x認(rèn)證和外網(wǎng)的web認(rèn)證�����。這樣��,就給用戶帶來很大的麻煩��。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服背景技術(shù)中的而提供一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)及方法�����。它是一種二次認(rèn)證轉(zhuǎn)一次認(rèn)證(DCN-UniAuthentication)技術(shù)�。
并通過具體產(chǎn)品″DCBI-3000安全接入控制和認(rèn)證計(jì)費(fèi)系統(tǒng)DCBI-3000″和″DCN-UniClient統(tǒng)一認(rèn)證客戶端DCN-UniClient″來得到實(shí)現(xiàn)。
本發(fā)明是在校園網(wǎng)�����、大中型企事業(yè)單位網(wǎng)絡(luò)中����,內(nèi)網(wǎng)采用802.1x進(jìn)行接入控制�,同時(shí)對(duì)上外網(wǎng)的訪問也要進(jìn)行認(rèn)證計(jì)費(fèi)的應(yīng)用��。它是由用戶需要手動(dòng)操作的內(nèi)網(wǎng)訪問認(rèn)證�����、外網(wǎng)訪問認(rèn)證的二次認(rèn)證���,根據(jù)用戶是否欠費(fèi)����、是否有權(quán)限訪問外網(wǎng)等條件�����,自動(dòng)實(shí)現(xiàn)內(nèi)網(wǎng)802.1x認(rèn)證和外網(wǎng)的計(jì)費(fèi)網(wǎng)關(guān)的web認(rèn)證的二次認(rèn)證轉(zhuǎn)為一次認(rèn)證操作的技術(shù)����。本發(fā)明可根據(jù)內(nèi)外網(wǎng)的訪問區(qū)分計(jì)費(fèi)��。并可解決在內(nèi)外網(wǎng)認(rèn)證計(jì)費(fèi)區(qū)分控制時(shí)��,用戶需要進(jìn)行二次拔號(hào)認(rèn)證�����;以及在內(nèi)外網(wǎng)認(rèn)證計(jì)費(fèi)區(qū)分控制時(shí),內(nèi)網(wǎng)用戶名/密碼和外網(wǎng)認(rèn)證的用戶名/密碼要分別設(shè)置的問題���。
本發(fā)明的技術(shù)方案是一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)�����,其特征在于它包括安全接入管理器(DCBA-3000W)�����、用戶安全接入綜合管理系統(tǒng)(DCBI-3000)���、園區(qū)網(wǎng)絡(luò)、802.1x交換機(jī)和二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)����;它可實(shí)現(xiàn)內(nèi)網(wǎng)采用802.1x安全控制,外網(wǎng)采用web網(wǎng)關(guān)認(rèn)證進(jìn)行計(jì)費(fèi)����,實(shí)現(xiàn)二次認(rèn)證轉(zhuǎn)一次的功能。
其中所述的用戶安全接入綜合管理系統(tǒng)(DCBI-3000)��,它是(神州數(shù)碼)的認(rèn)證計(jì)費(fèi)AAA(認(rèn)證、計(jì)費(fèi)�、授權(quán))服務(wù)器,在支持標(biāo)準(zhǔn)的802.1x認(rèn)證�、PAP認(rèn)證的基礎(chǔ)上,增加了對(duì)用戶的MAC地址����、IP地址的信息收集功能,同時(shí)增加了用戶在802.1x認(rèn)證通過之后���,根據(jù)是否欠費(fèi)�����、是否有權(quán)限訪問外網(wǎng)等信息�,來確定該用戶是否要發(fā)起針對(duì)外網(wǎng)網(wǎng)關(guān)DCBA-3000W的認(rèn)證���,如果需要外網(wǎng)認(rèn)證�����,則這個(gè)信息通過802.1x交換機(jī)傳遞給二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)。
所述的安全接入管理器(DCBA-3000W)����,是外網(wǎng)訪問認(rèn)證計(jì)費(fèi)系統(tǒng)�,是標(biāo)準(zhǔn)的基于PAP認(rèn)證的網(wǎng)關(guān)�����。
所述的二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)�����,它包括增強(qiáng)802.1x的認(rèn)證協(xié)議棧���、Web認(rèn)證協(xié)議棧兩種協(xié)議棧的整合����。對(duì)于增強(qiáng)的802.1x認(rèn)證協(xié)議棧是在國際標(biāo)準(zhǔn)的802.1x協(xié)議?;A(chǔ)上加了數(shù)據(jù)項(xiàng)的擴(kuò)展,這些擴(kuò)展項(xiàng)包括用戶的IP地址�����、MAC地址信息�����;并在802.1x認(rèn)證通過后,根據(jù)用戶安全接入綜合管理系統(tǒng)(DCBI-3000)下發(fā)是否有權(quán)限進(jìn)行外網(wǎng)認(rèn)證的信息自動(dòng)發(fā)起針對(duì)外網(wǎng)網(wǎng)關(guān)安全接入管理器(DCBA-3000W)的認(rèn)證����。而web的認(rèn)證方式則是采用標(biāo)準(zhǔn)的PAP協(xié)議。
所述的802.1x交換機(jī)��,主要是(神州數(shù)碼)增強(qiáng)的802.1x協(xié)議棧��,交換機(jī)中的802.1x協(xié)議是在國際標(biāo)準(zhǔn)的802.1x協(xié)議的基礎(chǔ)上增加了對(duì)認(rèn)證用戶的IP地址�����、MAC地址的識(shí)別判斷�����,并將這些信息上傳給用戶安全接入綜合管理系統(tǒng)(DCBI-3000)����。
一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法,其特征在于它包括步驟1首先由用戶發(fā)起����,使用二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)做802.1x的認(rèn)證�;步驟2如果802.1x認(rèn)證返回的結(jié)果是認(rèn)證成功�,則要在認(rèn)證成功報(bào)文中提取相應(yīng)數(shù)據(jù)�����;是否要求二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)自動(dòng)發(fā)起第二次針對(duì)安全接入管理器(DCBA-3000W)的認(rèn)證�����;如果包含在802.1x認(rèn)證成功報(bào)文中的相應(yīng)數(shù)據(jù)指示該用戶需要發(fā)起第二次認(rèn)證�����,則執(zhí)行下面的步驟3���;步驟3針對(duì)安全接入管理器(DCBA-3000W)發(fā)起認(rèn)證��,完成第二次認(rèn)證的過程�����。
本發(fā)明的優(yōu)點(diǎn)在于1�����、由于內(nèi)網(wǎng)采用802.1x增強(qiáng)型認(rèn)證技術(shù)(在DCBI-3000上采用的是EAPoR或CHAP擴(kuò)展認(rèn)證)進(jìn)行接入層控制�,在網(wǎng)絡(luò)出口處采用接入管理器的web增強(qiáng)認(rèn)證技術(shù)(在DCBI-3000上采用的是PAP或CHAP擴(kuò)展認(rèn)證)進(jìn)行控制,對(duì)于DCBI-3000系統(tǒng)來講�,可采用同一套用戶/密碼進(jìn)行認(rèn)證,并且DCBI-3000能自動(dòng)區(qū)分是內(nèi)網(wǎng)認(rèn)證還是外網(wǎng)認(rèn)證����。
2、802.1x增強(qiáng)認(rèn)證和web增強(qiáng)認(rèn)證��,可根據(jù)上網(wǎng)用戶上內(nèi)網(wǎng)���、還是內(nèi)外網(wǎng)同時(shí)上的不同需求進(jìn)行選擇進(jìn)行認(rèn)證���,并且二種認(rèn)證方式在用戶操作上只需要進(jìn)行一次認(rèn)證撥號(hào)操作即可。
3����、可記錄用戶上內(nèi)網(wǎng)、外網(wǎng)的不同的流量和時(shí)長�,實(shí)現(xiàn)內(nèi)、外網(wǎng)區(qū)分計(jì)費(fèi)�。也可實(shí)現(xiàn)內(nèi)網(wǎng)只認(rèn)證不計(jì)費(fèi),只在外網(wǎng)計(jì)費(fèi)���。
圖1現(xiàn)有技術(shù)中的內(nèi)外網(wǎng)區(qū)分控制�、區(qū)分計(jì)費(fèi)的組網(wǎng)方式。
圖2本發(fā)明的方框圖�。
圖3本發(fā)明二次認(rèn)證轉(zhuǎn)一次認(rèn)證的原理圖。
圖4本發(fā)明802.1x認(rèn)證過程交互圖�����。
圖5本發(fā)明發(fā)起第二次認(rèn)證的邏輯判斷原理圖�。
圖6本發(fā)明第二次認(rèn)證的PAP認(rèn)證的交互圖����。
圖7-1本發(fā)明二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)的第一部分原理圖。
圖7-2本發(fā)明二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)的第二部分原理圖��。
具體實(shí)施例方式
下面結(jié)合說明書附圖及實(shí)施例�����,對(duì)本發(fā)明作進(jìn)一步的說明��。
如圖2所示�,本發(fā)明網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng),它包括互聯(lián)網(wǎng)通過路由器2與安全接入管理器3(DCBA-3000W)相連接���;用戶安全接入綜合管理系統(tǒng)4(DCBI-3000)分別與安全接入管理器3(DCBA-3000W)及園區(qū)網(wǎng)絡(luò)5相連接���;園區(qū)網(wǎng)絡(luò)5分別與802.1x交換機(jī)6和二次轉(zhuǎn)一次認(rèn)證客戶端7(DCN-UniClient)相連接����,它可實(shí)現(xiàn)內(nèi)網(wǎng)采用802.1x安全控制�����,外網(wǎng)采用web網(wǎng)關(guān)認(rèn)證進(jìn)行計(jì)費(fèi)��,實(shí)現(xiàn)二次認(rèn)證轉(zhuǎn)一次的功能��。
其中��,安全接入管理器3(DCBA-3000W)它是外網(wǎng)訪問認(rèn)證計(jì)費(fèi)系統(tǒng)���;用戶安全接入綜合管理系統(tǒng)4(DCBI-3000)它是神州數(shù)碼增強(qiáng)型的認(rèn)證計(jì)費(fèi)服務(wù)器���;802.1x交換機(jī)6是神州數(shù)碼增強(qiáng)的802.1x協(xié)議棧,它支持802.1x協(xié)議的以太交換機(jī)���;二次轉(zhuǎn)一次認(rèn)證客戶端7(DCN-UniClient)它包括神州數(shù)碼增強(qiáng)802.1x的認(rèn)證協(xié)議棧���、Web認(rèn)證協(xié)議棧兩種協(xié)議棧的整合�����。
本發(fā)明網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法�����,它包括步驟1首先由用戶發(fā)起,使用二次轉(zhuǎn)一次認(rèn)證客戶端7(DCN-UniClient)做802.1x的認(rèn)證�����;步驟2如果802.1x認(rèn)證返回的結(jié)果是認(rèn)證成功���,則要在認(rèn)證成功報(bào)文中提取相應(yīng)數(shù)據(jù)����;是否要求二次轉(zhuǎn)一次認(rèn)證客戶端7(DCN-UniClient)自動(dòng)發(fā)起第二次針對(duì)安全接入管理器3(DCBA-3000W)的認(rèn)證��;如果包含在802.1x認(rèn)證成功報(bào)文中的相應(yīng)數(shù)據(jù)指示該用戶需要發(fā)起第二次認(rèn)證�,則執(zhí)行下面的步驟3;步驟3針對(duì)安全接入管理器3(DCBA-3000W)發(fā)起認(rèn)證����,完成第二次認(rèn)證的過程�����。
如圖3所示���,本發(fā)明二次認(rèn)證轉(zhuǎn)一次認(rèn)證的基本原理及控制流程是在DCBI-3000上要設(shè)計(jì)成能夠區(qū)分內(nèi)外網(wǎng)進(jìn)行認(rèn)證的模式,區(qū)分的方法是在DCBI-3000上配置NAS接入設(shè)備(例如802.1x交換機(jī)��、接入管理器待)時(shí)指定哪些是內(nèi)網(wǎng)設(shè)備��、哪些是外網(wǎng)設(shè)備��。當(dāng)這些NAS接入設(shè)備向DCBI-3000發(fā)出認(rèn)證請(qǐng)求報(bào)文時(shí)�����,DCBI-3000會(huì)根據(jù)這些認(rèn)證報(bào)文的源IP地址是來自哪個(gè)預(yù)先配置好的NAS接入設(shè)備�����,來確定是內(nèi)網(wǎng)認(rèn)證����,還是外網(wǎng)認(rèn)證�。因此����,這種區(qū)分認(rèn)證報(bào)文是屬于內(nèi)網(wǎng)認(rèn)證還是外網(wǎng)認(rèn)證的機(jī)理,完全是在DCBI-3000上通過對(duì)NAS接入設(shè)備的屬性設(shè)置實(shí)現(xiàn)的��。
在認(rèn)證通后���,DCBI-3000通過上述方法確定認(rèn)證是上內(nèi)網(wǎng)�、還是上外網(wǎng)后�����,將認(rèn)證用戶的信息顯示在內(nèi)網(wǎng)訪問的在線用戶表中或外網(wǎng)訪問的在線用戶表中�,這個(gè)數(shù)據(jù)直接影響內(nèi)�、外網(wǎng)訪問的不同計(jì)費(fèi)策略。
用戶完成此認(rèn)證需要使用DCN-UniClient作為認(rèn)證客戶端軟件進(jìn)行上網(wǎng)認(rèn)證���。在認(rèn)證時(shí)�����,DCN-UniClient首先對(duì)接入層的802.1x交換機(jī)發(fā)起認(rèn)證��,802.1x交換機(jī)將該認(rèn)證請(qǐng)求中繼到DCBI-3000上�,DCBI-3000會(huì)根據(jù)一些控制信息(例如該用戶在內(nèi)網(wǎng)訪問收費(fèi)的情況下是否欠費(fèi)、是否附合安全綁定信息等等)判斷該用戶的狀態(tài)���,如果用戶狀態(tài)通過��,就接著判斷此認(rèn)證請(qǐng)求是訪問內(nèi)網(wǎng)�、還是訪問外網(wǎng)的��。
因?yàn)?�,此認(rèn)證是接入層認(rèn)證�,所以,應(yīng)該通過上面的方法歸為內(nèi)網(wǎng)的訪問認(rèn)證�����。然后DCBI-3000判斷此用戶是否有訪問外部網(wǎng)絡(luò)的權(quán)利(例如該用戶外網(wǎng)訪問不欠費(fèi)等等)����,并將該信息通知給DCN-UniClient。通知的方法是將該數(shù)據(jù)附加在內(nèi)網(wǎng)認(rèn)證的成功應(yīng)答報(bào)文中����,通過802.1x交換機(jī)傳給DCN-UniClient���。
在DCN-UniClient收到內(nèi)網(wǎng)認(rèn)證的成功就答報(bào)文后,會(huì)分析附加在報(bào)文后面的有關(guān)該用戶是否有外網(wǎng)訪問權(quán)利的數(shù)據(jù)�����。如果有���,則自動(dòng)發(fā)起第二次認(rèn)證用于對(duì)外網(wǎng)的訪問認(rèn)證���;如果沒外網(wǎng)訪問權(quán)利,則不發(fā)第二次用于訪問外網(wǎng)的認(rèn)證��,從而用戶不能門外網(wǎng)�。
這個(gè)過程對(duì)于上網(wǎng)者而言,只有一次拔號(hào)過程�,所以稱之為“二次認(rèn)證轉(zhuǎn)一次認(rèn)證”���。
在控制流程中傳送數(shù)據(jù)1����、DCN-UniClient向802.1x交換機(jī)在認(rèn)證時(shí)發(fā)送的數(shù)據(jù)它包括客戶機(jī)的IP配置,包括IP���、Mask���、Default Gateway、DNS���;客戶機(jī)的MAC地址����;認(rèn)證用的安全數(shù)據(jù)�����,例如用戶名����、加密后的密碼等。
2���、802.1x交換機(jī)向DCBI-3000在認(rèn)證時(shí)發(fā)送的數(shù)據(jù)客戶機(jī)的IP配置����,包括IP、Mask�、Default Gateway、DNS�;客戶機(jī)的MAC地址;認(rèn)證用的安全數(shù)據(jù)�,例如用戶名、加密后的密碼等��;交換機(jī)的一些數(shù)據(jù)�,例如交換機(jī)的IP、廠商號(hào)���、端口號(hào)�����、所屬VLAN等���。
3、DCBI-3000向802.1x交換機(jī)發(fā)送的認(rèn)證應(yīng)答數(shù)據(jù)�����,其中一些數(shù)據(jù)在特定情況下才回傳的認(rèn)證是否通過��,如果認(rèn)證不通過����,回送認(rèn)證不通過的原因。如果認(rèn)證通過還要回送下面的數(shù)據(jù)�;用戶本次可以在線的時(shí)長數(shù)據(jù);用戶本次在線可以使用的流量的多少����;授權(quán)給用戶的VLAN的值;廣告信息��;是否啟動(dòng)用戶訪問外網(wǎng)的認(rèn)證功能��;(本條數(shù)據(jù)是決定二次認(rèn)證轉(zhuǎn)一次認(rèn)證的關(guān)鍵數(shù)據(jù))授權(quán)給用戶的IP配置數(shù)據(jù)�����。
網(wǎng)絡(luò)安全告警服務(wù)器的IP地址��。
4��、802.1x交換機(jī)向DCN-UniClient發(fā)送的認(rèn)證應(yīng)答數(shù)據(jù)��,其中一些數(shù)據(jù)在特定情況下才回傳的認(rèn)證是否通過���,如果認(rèn)證不通過����,回送認(rèn)證不通過的原因。如果認(rèn)證通過還要回送下面的數(shù)據(jù)�����;廣告信息����;是否啟動(dòng)用戶訪問外網(wǎng)的認(rèn)證功能;(本條數(shù)據(jù)是決定二次認(rèn)證轉(zhuǎn)一次認(rèn)證的關(guān)鍵數(shù)據(jù))授權(quán)給用戶的IP配置數(shù)據(jù)��。
網(wǎng)絡(luò)安全告警服務(wù)器的IP地址�。
這些數(shù)據(jù)決定是否自動(dòng)實(shí)現(xiàn)二次認(rèn)證轉(zhuǎn)一次認(rèn)證。
如果上面所描述的下發(fā)給DCN-UniClient的數(shù)據(jù)包括″啟動(dòng)用戶訪問外網(wǎng)的認(rèn)證功能″�����,則還要后續(xù)操作�����,并且接著傳下面的數(shù)據(jù)�。
5����、DCN-UniClient向DCBA-3000W在認(rèn)證時(shí)發(fā)送的數(shù)據(jù)(與上面提到的1在格式上不同)客戶機(jī)的IP配置���,包括IP、Mask���、Default Gateway�、DNS���;客戶機(jī)的MAC地址���;認(rèn)證用的安全數(shù)據(jù),例如用戶名�、加密后的密碼等。
6��、DCBA-3000W向DCBI-3000在認(rèn)證時(shí)發(fā)送的數(shù)據(jù)(與上面提到的2在格式上不同)客戶機(jī)的IP配置��,包括IP��、Mask��、Default Gateway、DNS��;客戶機(jī)的MAC地址����;認(rèn)證用的安全數(shù)據(jù),例如用戶名��、加密后的密碼等�;DCBA-3000W的一些數(shù)據(jù),例如IP地址�、廠商號(hào)、端口號(hào)���。
7��、DCBI-3000向DCBA-3000W發(fā)送的認(rèn)證應(yīng)答數(shù)據(jù)(與上面提到的3在格式上不同)認(rèn)證是否通過�����,如果認(rèn)證不通過����,回送認(rèn)證不通過的原因。如果認(rèn)證通過還要回送下面的數(shù)據(jù)�����;用戶本次可以在線的時(shí)長數(shù)據(jù)�����;用戶本次在線可以使用的流量的多少���。
8、DCBA-3000W向DCN-UniClient發(fā)送的認(rèn)證應(yīng)答數(shù)據(jù)認(rèn)證是否通過�����,如果認(rèn)證不通過��,回送認(rèn)證不通過的原因����。本發(fā)明的原理圖如圖3所示,如圖3中標(biāo)號(hào)1所示用戶通過DCN-UniClient進(jìn)行上網(wǎng)認(rèn)證���,DCN-UniClient向802.1x交換機(jī)發(fā)送認(rèn)證請(qǐng)求�,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的1所述���,這此數(shù)據(jù)封裝在EAPoL格式的報(bào)文�;如圖3中標(biāo)號(hào)2所示802.1x交換機(jī)收到該數(shù)據(jù)后,經(jīng)過某此處理后�,再將認(rèn)證數(shù)據(jù)封裝在EAPoR的報(bào)文中發(fā)送給DCBI-3000,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的2所述�;如圖3中標(biāo)號(hào)3所示DCBI-3000對(duì)該認(rèn)證請(qǐng)求進(jìn)行判斷,并經(jīng)過幾次報(bào)文交換后��,給出該用戶是否可以認(rèn)證通過的決定����。如果能通過,DCBI-3000還根據(jù)該請(qǐng)求報(bào)文的源IP是訪問內(nèi)網(wǎng)認(rèn)證還是訪問外網(wǎng)認(rèn)證����,如果是本次認(rèn)證是內(nèi)網(wǎng)認(rèn)證,則還是判斷該用戶是否能夠訪問外網(wǎng)����,并將相應(yīng)的結(jié)果發(fā)給802.1x交換機(jī),發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的3所述�;如圖3中標(biāo)號(hào)4所示802.1x在收到上面的報(bào)文后,經(jīng)過處理��,再將結(jié)果傳給DCN-UniClient,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的4所述���;如圖3中標(biāo)號(hào)5所示DCN-UniClient在收到上述報(bào)文后�����,讀取其中數(shù)據(jù)決定該用戶是否在訪問外網(wǎng)的權(quán)利�。如果有此權(quán)利��,則自動(dòng)發(fā)起第二次對(duì)外網(wǎng)的認(rèn)證���,報(bào)文格式是自定的web認(rèn)證的格式,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的5所述���;如圖3中標(biāo)號(hào)6所示�,DCBA-3000W仍然要將收到的認(rèn)證請(qǐng)求報(bào)文經(jīng)過處理后�,再發(fā)給DCBI-3000,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的6所述����;
如圖3中標(biāo)號(hào)7所示DCBI-3000根據(jù)報(bào)文的源IP可判斷出此認(rèn)證是對(duì)外網(wǎng)訪問的認(rèn)證,并決定是否允許該用戶認(rèn)證通過����,并將結(jié)果發(fā)給DCBA-3000W�����,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的7所述����;如圖3中標(biāo)號(hào)8所示DCBA-3000W收到該報(bào)文后��,將結(jié)果傳給DCN-UniClient�����,發(fā)出的主要數(shù)據(jù)內(nèi)容如上節(jié)″在控制流程中傳送的一些數(shù)據(jù)″中的8所述�。
以上過程完成后,DCN-UniClient還要分別與802.1x交換機(jī)��、DCBA-3000W保持著握手?��;钔ㄓ?,以探測(cè)是否會(huì)有異常掉線等情況發(fā)生�����。
本發(fā)明802.1x認(rèn)證過程交互圖,如圖4所示�����。第一次認(rèn)證的802.1x認(rèn)證為了了解更多的接入用戶信息����,在EAP-Response/Identity報(bào)文中增加用戶的IP、MAC地址等��,用于在DCBI-3000的在線用戶界面上進(jìn)行顯示�。本過程可參見IEEE 802.1x標(biāo)準(zhǔn)。
本發(fā)明發(fā)起第二次認(rèn)證的邏輯判斷原理圖��,如圖5所示�����。當(dāng)收到EAP-Success時(shí)�����,如果報(bào)文中有要求DCN-UniClient發(fā)起外網(wǎng)的認(rèn)證信息���,則進(jìn)行圖6的業(yè)務(wù)流程��,發(fā)起對(duì)外網(wǎng)網(wǎng)關(guān)DCBA-3000W��;如果無上述認(rèn)證信息���,則完成認(rèn)證過程,用戶只能上內(nèi)網(wǎng)����。這是本發(fā)明的核心部分。對(duì)于DCN-UniClient�,判斷收到的″EAP-Success″報(bào)文中是否攜帶了要求DCN-UniClient對(duì)外網(wǎng)DCBA-3000W發(fā)起PAP認(rèn)證的信息。在第一次的802.1x認(rèn)證通過后��,由DCBI-3000在認(rèn)證成功的報(bào)文中增加了該用戶是否有權(quán)發(fā)起第二次認(rèn)證的功能�����。
本發(fā)明第二次認(rèn)證的PAP認(rèn)證的交互圖��,如圖6所示�。圖6中“標(biāo)準(zhǔn)”是指符合國際工程師協(xié)會(huì)的Radius、PAP相關(guān)的RFC標(biāo)準(zhǔn)�����。
本發(fā)明二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)的原理圖,如圖7-1����、7-2所示,它是一個(gè)完整的自動(dòng)完成二次認(rèn)證過程的流程處理圖��。其核心部分是在第一次認(rèn)證過程中增加了用戶的IP和MAC地址����,并且在第一次認(rèn)證成功后,在返回給二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)的認(rèn)證成功報(bào)文中增加該用戶是否有權(quán)發(fā)起第二次認(rèn)證的選項(xiàng)����,然后根據(jù)該選項(xiàng)自動(dòng)發(fā)起第二次認(rèn)證過程。
本發(fā)明二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)的處理過程具體描述如下1)���、首先�,二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)向802.1x交換機(jī)發(fā)起EAPoL-Start報(bào)文��;2)���、二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)等待802.1x交換機(jī)的回應(yīng)報(bào)文EAP-Request/Identity;3)收到回應(yīng)報(bào)文EAP-Request/Identity后��,使用EAP協(xié)議發(fā)送EAP-Response/Identity;4)��、然后等待交換機(jī)的回應(yīng)報(bào)文EAP-Response/Identity����;收到回應(yīng)報(bào)文EAP-Response/Identity,使用EAP協(xié)議發(fā)送EAP-Response/MD5Challenge�����;5)�、然后等待交換機(jī)的回應(yīng)報(bào)文EAP-Success/Failure;6)���、如果收到EAP-Failure報(bào)文���,則該用戶的第一次認(rèn)證過程失敗,該用戶不能上網(wǎng)����;7)、如果收到的是EAP-Success���,則在該報(bào)文中我們?cè)黾恿擞糜诒硎驹撚脩羰欠裼袡?quán)限訪問外網(wǎng)的數(shù)據(jù)表示項(xiàng)���,并且在該報(bào)文中指出了用于進(jìn)行第二次認(rèn)證的網(wǎng)關(guān)DCBA-3000W的IP地址�����。繼續(xù)進(jìn)行下面的操作����;8)�����、從收到的EAP-Success報(bào)文中提取DCBA-3000W的IP地址����;9)、使用PAP協(xié)議向DCBA-3000W發(fā)送認(rèn)證報(bào)文����;10)、等待DCBA-3000W的Success/Failure�����;11)����、如果收到的回應(yīng)是Success,則該用戶二次認(rèn)證成功�����,內(nèi)網(wǎng)�����、外網(wǎng)都可以上�;如果收到的回應(yīng)是Failure,則該用戶只能上內(nèi)網(wǎng)�����,不能訪問經(jīng)由DCBA-3000W的外部網(wǎng)絡(luò)���。
在上述步驟3����、4�����、5、10中��,如果DCN-UniClient可能存在等待由802.1x交換機(jī)或DCBA-3000W的各種回應(yīng)報(bào)文超時(shí)的情況�����,在重發(fā)次數(shù)沒有超過閥值的情況下�����,DCN-UniClient則會(huì)重新發(fā)送先前發(fā)過的報(bào)文����;如果等待回應(yīng)的報(bào)文超時(shí),并且重新發(fā)送的次數(shù)已經(jīng)超過了閥值���,則DCN-UniClient認(rèn)為認(rèn)證失?���?��;在第一次的802.1x認(rèn)證失敗的情況下����,則認(rèn)證用戶不能上網(wǎng),如上述步驟中12��、13��、14所示��;如果在第二次認(rèn)證失敗的情況下����,則用戶只能上基于802.1x交換機(jī)的內(nèi)網(wǎng)����,而不能經(jīng)由DCBA-3000W訪問外網(wǎng),如上述步驟中15所示���。
權(quán)利要求
1.一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)���,其特征在于它包括安全接入管理器(DCBA-3000W)、用戶安全接入綜合管理系統(tǒng)(DCBI-3000)�、園區(qū)網(wǎng)絡(luò)、802.1x交換機(jī)和二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)�����;它可實(shí)現(xiàn)內(nèi)網(wǎng)采用802.1x安全控制,外網(wǎng)采用web網(wǎng)關(guān)認(rèn)證進(jìn)行計(jì)費(fèi)���,實(shí)現(xiàn)二次認(rèn)證轉(zhuǎn)一次的功能�。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)�,其特征在于所述的用戶安全接入綜合管理系統(tǒng)(DCBI-3000),它是增強(qiáng)型的認(rèn)證計(jì)費(fèi)AAA服務(wù)器���,在支持標(biāo)準(zhǔn)的802.1x認(rèn)證���、PAP認(rèn)證的基礎(chǔ)上,增加了對(duì)用戶的MAC地址����、IP地址的信息收集功能,同時(shí)增加了用戶在802.1x認(rèn)證通過之后���,根據(jù)是否欠費(fèi)����、是否有權(quán)限訪問外網(wǎng)等信息����,來確定該用戶是否要發(fā)起針對(duì)外網(wǎng)網(wǎng)關(guān)DCBA-3000W的認(rèn)證���,如果需要外網(wǎng)認(rèn)證,則這個(gè)信息通過802.1x交換機(jī)傳遞給二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)二次轉(zhuǎn)一次認(rèn)證客戶端�。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng),其特征在于所述的安全接入管理器(DCBA-3000W)��,是外網(wǎng)訪問認(rèn)證計(jì)費(fèi)系統(tǒng)��,是標(biāo)準(zhǔn)的基于PAP認(rèn)證的網(wǎng)關(guān)��。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)�,其特征在于所述的二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)��,它包括增強(qiáng)802.1x的認(rèn)證協(xié)議棧�、Web認(rèn)證協(xié)議棧兩種協(xié)議棧的整合。
5.根據(jù)權(quán)利要求1或4所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)����,其特征在于所述的二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient),對(duì)于增強(qiáng)的802.1x認(rèn)證協(xié)議棧是在國際標(biāo)準(zhǔn)的802.1x協(xié)議?�;A(chǔ)上加了數(shù)據(jù)項(xiàng)的擴(kuò)展�����,這些擴(kuò)展項(xiàng)包括用戶的IP地址、MAC地址信息并在802.1x認(rèn)證通過后����,根據(jù)用戶安全接入綜合管理系統(tǒng)(DCBI-3000)下發(fā)是否有權(quán)限進(jìn)行外網(wǎng)認(rèn)證的信息自動(dòng)發(fā)起針對(duì)外網(wǎng)網(wǎng)關(guān)安全接入管理器(DCBA-3000W)的認(rèn)證;而web的認(rèn)證方式則是采用標(biāo)準(zhǔn)的PAP協(xié)議�����。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)�����,其特征在于所述的802.1x交換機(jī)�����,主要是增強(qiáng)的802.1x協(xié)議棧�,交換機(jī)中的802.1x協(xié)議是在國際標(biāo)準(zhǔn)的802.1x協(xié)議的基礎(chǔ)上增加了對(duì)認(rèn)證用戶的IP地址、MAC地址的識(shí)別判斷����,并將這些信息上傳給用戶安全接入綜合管理系統(tǒng)(DCBI-3000)。
7.一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法����,其特征在于它包括步驟1首先由用戶發(fā)起��,使用二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)做802.1x的認(rèn)證�����;步驟2如果802.1x認(rèn)證返回的結(jié)果是認(rèn)證成功����,則要在認(rèn)證成功報(bào)文中提取相應(yīng)數(shù)據(jù)��;是否要求二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)自動(dòng)發(fā)起第二次針對(duì)安全接入管理器(DCBA-3000W)的認(rèn)證�����;如果包含在802.1x認(rèn)證成功報(bào)文中的相應(yīng)數(shù)據(jù)指示該用戶需要發(fā)起第二次認(rèn)證�,則執(zhí)行下面的步驟3�;步驟3針對(duì)安全接入管理器(DCBA-3000W)發(fā)起認(rèn)證,完成第二次認(rèn)證的過程���。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法���,其特征在于內(nèi)網(wǎng)采用802.1x認(rèn)證�,它包括在DCBI-3000上采用的是EAPoR或CHAP擴(kuò)展認(rèn)證進(jìn)行接入層控制��;在網(wǎng)絡(luò)出口處采用接入管理器的web認(rèn)證����,它包括在DCBI-3000上采用的是PAP或CHAP擴(kuò)展認(rèn)證進(jìn)行控制;對(duì)于DCBI-3000系統(tǒng)來講����,可采用同一套用戶/密碼進(jìn)行認(rèn)證,并且DCBI-3000能自動(dòng)區(qū)分是內(nèi)網(wǎng)認(rèn)證還是外網(wǎng)認(rèn)證���。
9.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法�,其特征在于802.1x認(rèn)證和web認(rèn)證�,可根據(jù)上網(wǎng)用戶上內(nèi)網(wǎng)、還是內(nèi)外網(wǎng)同時(shí)上的不同需求進(jìn)行選擇進(jìn)行認(rèn)證��,并且二種認(rèn)證方式在用戶操作上只需要進(jìn)行一次認(rèn)證撥號(hào)操作即可�����。
10.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法����,其特征在于它可記錄用戶上內(nèi)網(wǎng)����、外網(wǎng)的不同的流量和時(shí)長����,實(shí)現(xiàn)內(nèi)、外網(wǎng)區(qū)分計(jì)費(fèi)����;也可實(shí)現(xiàn)內(nèi)網(wǎng)只認(rèn)證不計(jì)費(fèi),只在外網(wǎng)計(jì)費(fèi)����。
11.根據(jù)權(quán)利要求1或7所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法,其特征在于DCN-UniClient向802.1x交換機(jī)在認(rèn)證時(shí)發(fā)送的數(shù)據(jù)它包括客戶機(jī)的IP配置���,包括IP、Mask�����、Default Gateway��、DNS�����;客戶機(jī)的MAC地址。
12.根據(jù)權(quán)利要求1或7所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法���,其特征在于802.1x交換機(jī)向DCBI-3000在認(rèn)證時(shí)發(fā)送的數(shù)據(jù)客戶機(jī)的IP配置�����,包括IP��、Mask��、Default Gateway��、DNS��;客戶機(jī)的MAC地址�。
13.一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法����,其特征在于它包括1)、首先�����,二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)向802.1x交換機(jī)發(fā)起EAPoL-Start報(bào)文;2)���、二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)等待802.1x交換機(jī)的回應(yīng)報(bào)文EAP-Request/Identity��;3)收到回應(yīng)報(bào)文EAP-Request/Identity后���,使用EAP協(xié)議發(fā)送EAP-Response/Identity;4)�����、然后等待交換機(jī)的回應(yīng)報(bào)文EAP-Response/Identity�����;收到回應(yīng)報(bào)文EAP-Response/Identity�����,使用EAP協(xié)議發(fā)送EAP-Response/MD5Challenge��;5)��、然后等待交換機(jī)的回應(yīng)報(bào)文EAP-Success/Failure�����;6)���、如果收到EAP-Failure報(bào)文����,則該用戶的第一次認(rèn)證過程失敗����,該用戶不能上網(wǎng);7)��、如果收到的是EAP-Success����,則在該報(bào)文中我們?cè)黾恿擞糜诒硎驹撚脩羰欠裼袡?quán)限訪問外網(wǎng)的數(shù)據(jù)表示項(xiàng),并且在該報(bào)文中指出了用于進(jìn)行第二次認(rèn)證的網(wǎng)關(guān)DCBA-3000W的IP地址����。繼續(xù)進(jìn)行下面的操作;8)��、從收到的EAP-Success報(bào)文中提取DCBA-3000W的IP地址;9)����、使用PAP協(xié)議向DCBA-3000W發(fā)送認(rèn)證報(bào)文;10)����、等待DCBA-3000W的Success/Failure;11)���、如果收到的回應(yīng)是Success���,則該用戶二次認(rèn)證成功,內(nèi)網(wǎng)�、外網(wǎng)都可以上;如果收到的回應(yīng)是Failure��,則該用戶只能上內(nèi)網(wǎng)��,不能訪問經(jīng)由DCBA-3000W的外部網(wǎng)絡(luò)��。
14.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法�,其特征在于在步驟3、4�、5����、10中�����,如果DCN-UniClient可能存在等待由802.1x交換機(jī)或DCBA-3000W的各種回應(yīng)報(bào)文超時(shí)的情況��,在重發(fā)次數(shù)沒有超過閥值的情況下���,DCN-UniClient則會(huì)重新發(fā)送先前發(fā)過的報(bào)文。
15.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法��,其特征在于如果等待回應(yīng)的報(bào)文超時(shí)��,并且重新發(fā)送的次數(shù)已經(jīng)超過了閥值�����,則DCN-UniClient認(rèn)為認(rèn)證失敗����。
16.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法,其特征在于在步驟12�����、13、14中�����,在第一次的802.1x認(rèn)證失敗的情況下���,則認(rèn)證用戶不能上網(wǎng)���。
17.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的方法,其特征在于在步驟15中��,如果在第二次認(rèn)證失敗的情況下��,則用戶只能上基于802.1x交換機(jī)的內(nèi)網(wǎng)���,而不能經(jīng)由DCBA-3000W訪問外網(wǎng)���。
全文摘要
一種網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)的系統(tǒng)及方法。該系統(tǒng)包括安全接入管理器(DCBA-3000W)����、用戶安全接入綜合管理系統(tǒng)(DCBI-3000)�、園區(qū)網(wǎng)絡(luò)���、802.1x交換機(jī)和二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)�����;它可實(shí)現(xiàn)內(nèi)網(wǎng)采用802.1x安全控制,外網(wǎng)采用web網(wǎng)關(guān)認(rèn)證進(jìn)行計(jì)費(fèi)��,實(shí)現(xiàn)二次認(rèn)證轉(zhuǎn)一次的功能�。該方法包括1.首先由用戶發(fā)起,使用二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)做802.1x的認(rèn)證��;2.如果802.1x認(rèn)證返回的結(jié)果是認(rèn)證成功�,則要在認(rèn)證成功報(bào)文中提取相應(yīng)數(shù)據(jù);是否要求二次轉(zhuǎn)一次認(rèn)證客戶端(DCN-UniClient)自動(dòng)發(fā)起第二次針對(duì)千兆安全接入管理器(DCBA-3000W)的認(rèn)證���;如果包含在802.1x認(rèn)證成功報(bào)文中的相應(yīng)數(shù)據(jù)指示該用戶需要發(fā)起第二次認(rèn)證���,則執(zhí)行下面的步驟;3.針對(duì)千兆安全接入管理器(DCBA-3000W)發(fā)起認(rèn)證�����,完成第二次認(rèn)證的過程。
文檔編號(hào)H04L12/14GK1855933SQ200610067170
公開日2006年11月1日 申請(qǐng)日期2006年4月6日 優(yōu)先權(quán)日2005年4月6日
發(fā)明者顏世峰 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司