專利名稱：一種可擴展的分布式wlan網(wǎng)絡用戶認證方法
技術領域：
本發(fā)明涉及一種網(wǎng)絡用戶認證方法，特別是涉及了ー種可擴展、分布式的網(wǎng)絡用戶認證方法。
背景技術：
傳統(tǒng)的網(wǎng)絡用戶認證系統(tǒng)構架是由多個802. Ix網(wǎng)關設備和ー個或者多個RADIUS服務器組成的。802. Ix為IEEE Std 802. 1χ-2001基于端ロ的訪問控制協(xié)議，可以克服PPPoE (point-to-point protocol over ethernet)方式帶來的諸多問題，并避免引入寬帶接入服務器所帯來的巨大投資。802. Ix協(xié)議限制未經(jīng)授權的用戶/設備通過接入端ロ訪問LAN/WAN。在獲得交換機或LAN提供的各種業(yè)務之前，802. Ix對連接到交換機端口上的用戶進行認證。在認證通過之前，802. Ix只允許EAPOL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端ロ。認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端ロ。802. Ix協(xié)議體系結(jié)構包括三個重要的部分Supplicant System客戶端、Authenticator System認證系統(tǒng)、Authentication Server System認證服務器(即RADIUS服務器)。但是由于傳統(tǒng)方式往往需要專線接入來完成，仍然需要較大的投資，不適合中小企業(yè)或者特殊場所的部署WLAN網(wǎng)絡覆蓋。

發(fā)明內(nèi)容
本發(fā)明的目的是克服上述背景技術的不足，提供ー種WLAN網(wǎng)絡用戶認證方法，該方法應具有投資小、用戶使用便利的特點。
本發(fā)明提供的技術方案是ー種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，依次包括以下步驟
1)按以下方式建立可擴展的網(wǎng)絡用戶認證系統(tǒng)多個認證網(wǎng)關均通過外網(wǎng)直接與存儲全部用戶信息的用戶管理服務器連接，而無線用戶終端通過無線AP在其中的ー個認證網(wǎng)關進入認證流程；
2)用戶管理服務器通過外網(wǎng)IP和端ロ映射表組織認證網(wǎng)關生成P2P網(wǎng)絡，并由各個認證網(wǎng)關通過彼此之間的TCP長連接組成虛擬統(tǒng)ー認證網(wǎng)關。所述步驟2)中的虛擬統(tǒng)一認證網(wǎng)關的組成方式是
每ー個認證網(wǎng)關在固定時間向用戶管理服務器發(fā)送同步TCP報文，用戶管理服務器將每ー個認證網(wǎng)關的外部IP和端ロ記錄至ー張映射表中；
用戶管理服務器在收到每ー個認證網(wǎng)關的同步TCP報文后發(fā)送回執(zhí)；
每ー個認證網(wǎng)關收到回執(zhí)后，存儲或者更新自身的映射表，然后根據(jù)映射表向相應ID的認證網(wǎng)關建立TCP長連接。所述步驟I)中的認證流程是
401步驟當無線用戶終端接入網(wǎng)絡；
402步驟認證網(wǎng)關向用戶設備發(fā)布認證Web頁面；403步驟用戶輸入登錄信息；
404步驟認證網(wǎng)關根據(jù)已經(jīng)同步的用戶信息庫，判斷登錄的權限；
如果認證網(wǎng)關無法查找到正確用戶信息，則進入405步驟向用戶管理服務器查找用戶登錄權限信息；
如果認證網(wǎng)關得到正確的登錄信息，則進入406步驟所有認證網(wǎng)關同步這個用戶信
息ο如果此次登錄認證還需要擴展登錄方式，則進入407步驟認證網(wǎng)關向用戶管理服務器提交認證請求；
如果用戶管理服務器認證成功，認證網(wǎng)關收到合法的用戶信息，則進入408步驟認證網(wǎng)關緩存用戶擴展登錄信息；
如果在405和407步驟中，用戶管理服務器認證失敗，則進入409步驟用戶管理服務器向認證網(wǎng)關發(fā)送認證失敗信息；
410步驟認證網(wǎng)關通過認證頁面根據(jù)向用戶終端發(fā)布認證失敗指令代碼；
411步驟用戶終端Web頁面根據(jù)向用戶提供可視化界面的認證失敗提示。當任何ー個認證網(wǎng)關完成408步驟后，即通過虛擬統(tǒng)一網(wǎng)關中的各個TCP鏈接和其他每ー個認證網(wǎng)關同步相關用戶認證信息。如果某ー個或者多個TCP鏈路中斷時，該項用戶認證信息就緩存在用戶管理服務器中；等到相關認證網(wǎng)關向用戶管理服務器發(fā)送同步TCP報文時，相關信息即時下傳至認證網(wǎng)關，同時修復虛擬統(tǒng)ー認證網(wǎng)關的相應TCP鏈接。本發(fā)明的有益效果是由于采用了分布式認證網(wǎng)關結(jié)構和分集認證的方法，使得網(wǎng)絡用戶認證的功能得到顯著擴展；而且能夠利用直接現(xiàn)有的外網(wǎng)及相關設備(對網(wǎng)絡質(zhì)量要求不高)，投資得以大幅降低(僅為現(xiàn)有網(wǎng)絡用戶認證系統(tǒng)的10-20%)，工程安裝和維護也簡單；適應了中小企業(yè)的經(jīng)營需求，以及在特殊場所WLAN網(wǎng)絡的應用需要。


圖I是本發(fā)明中的網(wǎng)絡用戶認證系統(tǒng)的構架示意圖。圖2是本發(fā)明中的虛擬統(tǒng)一認證網(wǎng)關的構架示意圖。圖3是本發(fā)明中的用戶管理服務器發(fā)送的映射表結(jié)構示意圖。圖4是本發(fā)明中的認證流程示意圖。
具體實施例方式本發(fā)明的要點是采用了分布式認證網(wǎng)關結(jié)構(即在所需要的地區(qū)或場合設置多個具有認證功能的網(wǎng)關)和分集認證(即將認證功能分開，由各個認證網(wǎng)關分別承擔)的方法，用戶管理服務器加上所連通的網(wǎng)關，取代了傳統(tǒng)方式中的RADIUS服務器和認證Web服務器的職能。本發(fā)明建立的可擴展的網(wǎng)絡用戶認證系統(tǒng)如圖I所示多個認證網(wǎng)關均通過外網(wǎng)直接與用戶管理服務器連接；而無線用戶終端通過無線AP在其中的ー個認證網(wǎng)關進入認證流程(即基于B/S結(jié)構的認證交互流程，采用網(wǎng)絡軟件實現(xiàn))。用戶管理服務器存儲全部用戶信息，并通過外網(wǎng)IP和端ロ映射表組織認證網(wǎng)關生成P2P網(wǎng)絡，并由各個認證網(wǎng)關通過彼此之間的TCP長連接建立TCP通道，組成虛擬統(tǒng)ー認證網(wǎng)關(圖2所示)。每ー個認證網(wǎng)關在固定時間(比如每一分鐘)向用戶管理服務器發(fā)送同步TCP報文，用戶管理服務器將每ー個認證網(wǎng)關的外部IP和端ロ記錄至ー張映射表(如圖3所示，為常規(guī)的映射表結(jié)構)中。用戶管理服務器在收到每ー個認證網(wǎng)關的同步TCP報文后發(fā)送回執(zhí)，即映射表。每ー個認證網(wǎng)關收到回執(zhí)后，存儲或者更新自身的映射表，然后根據(jù)映射表向相應ID (IP地址)的認證網(wǎng)關建立TCP長連接通道。認證流程(如圖4所示)
當無線終端用戶按照401步驟接入網(wǎng)絡時，認證網(wǎng)關根據(jù)402步驟向用戶設備發(fā)布認證Web頁面；
依據(jù)403步驟，用戶輸入登錄信息；認證網(wǎng)關根據(jù)404步驟已經(jīng)同步的用戶信息庫，判斷登錄的權限；
如果網(wǎng)關無法查找到正確用戶信息，便根據(jù)405步驟，向用戶管理服務器查找用戶登錄權限信息；
如果認證網(wǎng)關得到正確的登錄信息，便根據(jù)406步驟同步這個用戶信息；
如果此次登錄認證還需要擴展登錄方式(比如短信認證等方法)，認證網(wǎng)關按照407步驟向用戶管理服務器提交認證請求；
當認證網(wǎng)關收到合法的用戶信息后，按照408步驟，緩存用戶擴展登錄信息；
如果在405和407步驟中，用戶管理服務器認證失敗，便按照409步驟向認證網(wǎng)關發(fā)送認證失敗信息；
認證網(wǎng)關通過認證頁面根據(jù)410步驟向用戶終端發(fā)布認證失敗指令代碼。用戶終端Web頁面根據(jù)411步驟向用戶提供可視化界面的認證失敗提示。當任何ー個認證網(wǎng)關完成408步驟后，通過虛擬統(tǒng)ー網(wǎng)關中的各個TCP鏈接，與其他每ー個認證網(wǎng)關同步相關用戶認證信息。如果某ー個或者多個TCP鏈路中斷時，該項用戶認證信息會緩存在用戶管理服務器中，等到相關認證網(wǎng)關向服務器發(fā)送同步TCP報文時，相關信息即時下傳至認證網(wǎng)關，同時修復虛擬統(tǒng)ー認證網(wǎng)關的相應TCP鏈接。實施例
一家連鎖餐飲公司在全國各地開設了多家餐廳，每家餐廳都需要部署無線網(wǎng)絡，以便向客戶提供上網(wǎng)服務?？蛻粜枰ㄟ^身份認證來獲取上網(wǎng)服務資格。如果使用傳統(tǒng)集中式認證方案的話，每個餐廳都需要網(wǎng)絡專線接駁到一臺遠程RADIUS服務器，而且由于用戶量較大，所以RADIUS服務器需要較高的配置。這種方式的投資太大，遠遠超出了這家餐飲公司的預算。目前該餐廳使用了分布式認證方案，在每個餐廳部署一臺認證網(wǎng)關接駁到一臺普通配置的用戶管理服務器即可，無需昂貴的網(wǎng)絡專線和高配置RADIUS服務器。和傳統(tǒng)集中式認證方案相比，分布式認證方案的設備投資很低(降為原先的10%左右)，對于網(wǎng)絡質(zhì)量要求低，工程安裝和維護簡易。
權利要求
1.一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，依次包括以下步驟 O建立可擴展的網(wǎng)絡用戶認證系統(tǒng)；該認證系統(tǒng)的結(jié)構是多個認證網(wǎng)關均直接與存儲全部用戶信息的用戶管理服務器連接，而無線用戶終端通過無線AP接入其中的一個認證網(wǎng)關進行認證； 2)用戶管理服務器通過外部IP和端口映射表組織認證網(wǎng)關生成P2P網(wǎng)絡，并由各個認證網(wǎng)關通過彼此之間的TCP長連接組成虛擬統(tǒng)一認證網(wǎng)關。
2.根據(jù)權利要求I所述的一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，其特征在于所述虛擬統(tǒng)一認證網(wǎng)關的工作流程是 每一個認證網(wǎng)關在固定時間向用戶管理服務器發(fā)送同步TCP報文，用戶管理服務器將每一個認證網(wǎng)關的外部IP和端口記錄至一張映射表中； 用戶管理服務器在收到每一個認證網(wǎng)關的同步TCP報文后發(fā)送回執(zhí)； 每一個認證網(wǎng)關收到回執(zhí)后，存儲或者更新自身的映射表，然后根據(jù)映射表向相應ID的認證網(wǎng)關建立TCP長連接。
3.根據(jù)權利要求2所述的一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，其特征在于所述步驟I)中認證的流程是 401步驟當無線用戶終端接入網(wǎng)絡； 402步驟認證網(wǎng)關根據(jù)向用戶設備發(fā)布認證Web頁面； 403步驟用戶輸入登錄信息； 404步驟認證網(wǎng)關根據(jù)已經(jīng)同步的用戶信息庫，判斷登錄的權限； 如果認證網(wǎng)關無法查找到正確用戶信息，則進入405步驟向用戶管理服務器查找用戶登錄權限信息； 如果認證網(wǎng)關得到正確的登錄信息，則進入406步驟所有認證網(wǎng)關同步這個用戶信肩、O
4.根據(jù)權利要求3所述的一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，其特征在于如果此次登錄認證還需要擴展登錄方式，則進入407步驟認證網(wǎng)關向用戶管理服務器提交認證請求； 如果用戶管理服務器認證成功，認證網(wǎng)關收到合法的用戶信息，則進入408步驟認證網(wǎng)關緩存用戶擴展登錄信息； 如果在405和407步驟中，用戶管理服務器認證失敗，則進入409步驟用戶管理服務器向認證網(wǎng)關發(fā)送認證失敗信息； 410步驟認證網(wǎng)關通過認證頁面根據(jù)向用戶終端發(fā)布認證失敗指令代碼； 411步驟用戶終端Web頁面根據(jù)向用戶提供可視化界面的認證失敗提示。
5.根據(jù)權利要求4所述的一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，其特征在于當任何一個認證網(wǎng)關完成408步驟后，即通過虛擬統(tǒng)一網(wǎng)關中的各個TCP鏈接和其他每一個認證網(wǎng)關同步相關用戶認證信息。
6.根據(jù)權利要求5所述的一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，其特征在于如果某一個或者多個TCP鏈路中斷時，該項用戶認證信息就緩存在用戶管理服務器中；等到相關認證網(wǎng)關向用戶管理服務器發(fā)送同步TCP報文時，相關信息即時下傳至認證網(wǎng)關，同時修復虛擬統(tǒng)一認證網(wǎng)關的相應TCP鏈接。
全文摘要
本發(fā)明涉及一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法。所要解決的技術問題是提供的方法應具有投資小、用戶使用便利的特點。技術方案是一種可擴展的分布式WLAN網(wǎng)絡用戶認證方法，依次包括以下步驟1)按以下方式建立可擴展的網(wǎng)絡用戶認證系統(tǒng)多個認證網(wǎng)關均通過外網(wǎng)直接與存儲全部用戶信息的用戶管理服務器連接，而無線用戶終端通過無線AP在其中的一個認證網(wǎng)關進入認證流程；2)用戶管理服務器通過外網(wǎng)IP和端口映射表組織認證網(wǎng)關生成P2P網(wǎng)絡，并由各個認證網(wǎng)關通過彼此之間的TCP長連接組成虛擬統(tǒng)一認證網(wǎng)關。
文檔編號H04W12/06GK102665216SQ20121013569
公開日2012年9月12日 申請日期2012年5月3日 優(yōu)先權日2012年5月3日
發(fā)明者趙霏 申請人:杭州熱望信息技術有限公司