一種處理認(rèn)證報文方法��、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)��,具體地���,涉及一種處理認(rèn)證報文方法�、裝置及系統(tǒng)����。
【背景技術(shù)】
[0002]目前校園使用的認(rèn)證方式包括以太網(wǎng)點到點協(xié)議(Point-to-PointProtocolOver Ethernet,簡稱PPP0E)�����、802.lx����、Web Portal等主要認(rèn)證方式。其中Web認(rèn)證方式,用戶無需安裝專用的客戶端認(rèn)證軟件���,使用普通的瀏覽器軟件即可進(jìn)行身份認(rèn)證����,訪問網(wǎng)絡(luò)�����。因此�����,這種認(rèn)證方式在校園網(wǎng)���、企業(yè)網(wǎng)、政務(wù)網(wǎng)等行業(yè)中得到了廣泛的應(yīng)用�����。
[0003]Web認(rèn)證從前往后大致可以分為:TCP報文攔截并建立偽連接��,HTTP報文攔截并重定向����,用戶認(rèn)證�����,用戶認(rèn)證成功或失敗這幾個過程��。
[0004]1.TCP報文攔截并建立偽連接:當(dāng)未認(rèn)證的用戶想要訪問網(wǎng)絡(luò)上的資源時����,用戶PC發(fā)起HTTP請求前�,先會進(jìn)行TCP三次握手的報文交互,設(shè)備會攔截TCP報文�,跟用戶進(jìn)行TCP三次握手的偽連接。每一次進(jìn)行TCP三次握手����,設(shè)備都會進(jìn)行攔截,然后偽裝成目的IP跟用戶PC進(jìn)行三次握手���。
[0005]2.HTTP報文攔截并重定向過程:TCP偽連接建立后���,用戶PC主動發(fā)出http get請求。設(shè)備攔截該請求報文�����,根據(jù)HTTP協(xié)議,返回http 200重定向報文給用戶���。其中��,重定向報文包含頁面推送服務(wù)器Portal Server的URL(統(tǒng)一資源定位符Uniform ResourceLocator)���,該URL攜帶有一些必要的加密參數(shù)用于Portal Server識別用戶。
[0006]3.認(rèn)證過程:用戶PC收到重定向報文后��,向重定向URL發(fā)起http get請求;PortalServer在收到用戶瀏覽器的http請求之后�,返回認(rèn)證頁面給用戶;用戶在認(rèn)證頁面上填寫用戶名密碼并提交;Portal Server收到報文后��,按照CHAP(詢問握手認(rèn)證協(xié)議ChallengeHandshake Authenticat1n Protocol)流程向NAS(網(wǎng)絡(luò)接入服務(wù)器Network AccessServer)請求Challenge����;請求成功后��,Portal Server將用戶名密碼和Challenge ID及MD5(Message Digest Algorithm,消息摘要算法第五版)算法加密后的ChalIenge-Password�����,一起提交到NAS,向NAS發(fā)起認(rèn)證請求;NAS將Challenge相關(guān)信息和用戶名密碼一起送到Radius(遠(yuǎn)程訪問撥號用戶服務(wù)Remote Authenticat1n Dial In User Service)Server��,由Radius Server進(jìn)行認(rèn)證�。
[0007]4.用戶認(rèn)證成功或失敗:Radius Server根據(jù)NAS提交的信息判斷用戶名密碼是否合法,ChalIenge相關(guān)信息是否一致�����。若成功�����,Radius Server向NAS返回認(rèn)證成功報文��,并攜帶協(xié)議參數(shù)�,以及用戶的相關(guān)參數(shù)給用戶授權(quán);若失敗,Radius Server向NAS返回認(rèn)證失敗報文�����。NAS返回認(rèn)證結(jié)果(包括相關(guān)參數(shù))給Portal Server �;Portal Server根據(jù)NAS返回的認(rèn)證結(jié)果,推送成功或失敗頁面給用戶�。
[0008]隨著極簡網(wǎng)絡(luò)的推廣,即認(rèn)證上收�,本來設(shè)置在多臺接入設(shè)備的認(rèn)證功能�,全部移到一臺核心設(shè)備上��。這樣就可能在一臺核心設(shè)備下要認(rèn)證萬級的用戶�����。要是在認(rèn)證高峰期�,用戶量這么大,有可能達(dá)到每秒萬級的認(rèn)證需求����,對核心設(shè)備的性能要求就非常的高。核心設(shè)備上通過管理板集中處理所有的認(rèn)證過程����,統(tǒng)一維護(hù)認(rèn)證的表項信息,這就造成管理板負(fù)載過高�����,不堪重負(fù)����,無法承擔(dān)大容量的認(rèn)證場景�,核心設(shè)備的認(rèn)證性能就成為了一個瓶頸����。分布式認(rèn)證應(yīng)運(yùn)而生����,但在分布式認(rèn)證的方法中,由于線卡獨立進(jìn)行認(rèn)證處理及表項安裝的操作����,缺乏統(tǒng)一的維護(hù)管理,可能導(dǎo)致同一用戶在不同線卡間出現(xiàn)沖突或表項安裝的現(xiàn)象��。
【發(fā)明內(nèi)容】
[0009]有鑒于此��,本發(fā)明實施例提供了一種處理認(rèn)證報文方法��、裝置及系統(tǒng)���,用以解決由于線卡獨立進(jìn)行認(rèn)證處理及表項安裝的操作��,缺乏統(tǒng)一的維護(hù)管理����,可能導(dǎo)致同一用戶在不同線卡間出現(xiàn)沖突或表項安裝的問題�����。
[0010]本發(fā)明實施例技術(shù)方案如下:
[0011 ] 一種處理認(rèn)證報文的方法,包括以下步驟:
[0012]當(dāng)線卡獲取用戶發(fā)送的攜帶認(rèn)證信息的報文時��,根據(jù)接收到的所述線卡發(fā)送的從所述攜帶認(rèn)證信息的報文中提取的所述用戶的唯一標(biāo)識確認(rèn)所述用戶是否已經(jīng)認(rèn)證�,當(dāng)所述用戶已經(jīng)認(rèn)證時,指示所述線卡向所述用戶反饋用戶已經(jīng)認(rèn)證消息�。
[0013]一種處理認(rèn)證報文的裝置,包括:
[0014]報文接收模塊���,用于當(dāng)線卡獲取用戶發(fā)送的攜帶認(rèn)證信息的報文時�,接收所述線卡發(fā)送的從所述攜帶認(rèn)證信息的報文中提取的所述用戶的唯一標(biāo)識��,
[0015]判斷模塊��,用于根據(jù)所述用戶的唯一標(biāo)識確認(rèn)所述用戶是否已經(jīng)認(rèn)證���,
[0016]指示模塊��,用于當(dāng)所述用戶已經(jīng)認(rèn)證時�,指示所述線卡向所述用戶反饋用戶已經(jīng)認(rèn)證消息�。
[0017]一種處理認(rèn)證報文的系統(tǒng),包括:
[0018]線卡���,用于獲取用戶發(fā)送的攜帶認(rèn)證信息的報文�����,發(fā)送從所述攜帶認(rèn)證信息的報文中提取的所述用戶的唯一標(biāo)識���,
[0019]主控卡,用于根據(jù)接收到的所述線卡發(fā)送的從所述攜帶認(rèn)證信息的報文中提取的所述用戶的唯一標(biāo)識確認(rèn)所述用戶是否已經(jīng)認(rèn)證�,當(dāng)所述用戶已經(jīng)認(rèn)證時,指示所述線卡向所述用戶反饋用戶已經(jīng)認(rèn)證消息��。
[0020]本發(fā)明實施例提供的一種方法���、裝置及系統(tǒng)通過當(dāng)線卡獲取用戶發(fā)送的攜帶認(rèn)證信息的報文時���,根據(jù)接收到的所述線卡發(fā)送的從所述攜帶認(rèn)證信息的報文中提取的所述用戶的唯一標(biāo)識確認(rèn)所述用戶是否已經(jīng)認(rèn)證,當(dāng)所述用戶已經(jīng)認(rèn)證時����,指示所述線卡向所述用戶反饋用戶已經(jīng)認(rèn)證消息,解決了由于線卡獨立進(jìn)行認(rèn)證處理及表項安裝的操作�����,缺乏統(tǒng)一的維護(hù)管理,可能導(dǎo)致同一用戶在不同線卡間出現(xiàn)沖突或表項安裝的問題����。
[0021]本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述,并且����,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解�����。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書�����、權(quán)利要求書����、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。
【附圖說明】
[0022]圖1為本發(fā)明一實施例的方法流程圖����;
[0023]圖2為本發(fā)明一實施例的方法流程圖;
[0024]圖3為本發(fā)明一實施例的方法流程圖;
[0025]圖4為本發(fā)明一實施例的裝置結(jié)構(gòu)框圖�;
[0026]圖5為本發(fā)明一實施例的裝置結(jié)構(gòu)框圖;
[0027]圖6為本發(fā)明一實施例的系統(tǒng)結(jié)構(gòu)框圖����。
【具體實施方式】
[0028]以下結(jié)合附圖對本發(fā)明的實施例進(jìn)行說明,應(yīng)當(dāng)理解����,此處所描述的實施例僅用于說明和解釋本發(fā)明�����,并不用于限定本發(fā)明����。
[0029]針對由于線卡獨立進(jìn)行認(rèn)證處理及表項安裝的操作,缺乏統(tǒng)一的維護(hù)管理�����,可能導(dǎo)致同一用戶在不同線卡間出現(xiàn)沖突或表項安裝的問題����,本發(fā)明實施例提供了一種處理認(rèn)證報文的方法以解決該問題。
[0030]如圖1所示,在本發(fā)明一個實施例中�����,提出一種處理認(rèn)證報文的方法����,包括以下步驟:
[0031]SlOl,當(dāng)線卡獲取用戶發(fā)送的攜帶認(rèn)證信息的報文時���,根據(jù)接收到的所述線卡發(fā)送的從所述攜帶認(rèn)證信息的報文中提取的所述用戶的唯一標(biāo)識確認(rèn)所述用戶是否已經(jīng)認(rèn)證��;
[0032]S103�����,當(dāng)所述用戶已經(jīng)認(rèn)證時�����,指示所述線卡向所述用戶反饋用戶已經(jīng)認(rèn)證消息����。
[0033]該實施例解決了由于線卡獨立進(jìn)行認(rèn)證處理及表項安裝的操作����,缺乏統(tǒng)一的維護(hù)管理�����,可能導(dǎo)致同一用戶在不同線卡間出現(xiàn)沖突或表項安裝的問題���。
[0034]可選的,源IP+源MAC+P0RT+VID為用戶的唯一標(biāo)識�,當(dāng)然其他可以唯一標(biāo)識用戶的方法也在本發(fā)明的保護(hù)范圍中;
[0035]可選的�����,步驟SlOl具體包括:
[0036]當(dāng)線卡獲取用戶發(fā)送的攜帶認(rèn)證信息的報文�,根據(jù)所述報文中攜帶的認(rèn)