基于網(wǎng)絡(luò)接入安全設(shè)備的認(rèn)證方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域�,具體涉及一種基于網(wǎng)絡(luò)接入安全(Network AccessSecurity�,NAS)設(shè)備的認(rèn)證方法及裝置。
【背景技術(shù)】
[0002]目前�,隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)全球性問題����。從目前市場(chǎng)應(yīng)用來看�����,對(duì)訪問網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證已成為保障網(wǎng)絡(luò)安全的重要手段����。因此�,安全、有效����、便捷的接入認(rèn)證技術(shù)成為了近年的研究熱點(diǎn)。
[0003]現(xiàn)在��,主要的接入認(rèn)證方式有PPPoE�、IEEE802.lx和Web認(rèn)證。其中Web認(rèn)證因?yàn)闊o需客戶端安裝任何認(rèn)證軟件�����,使用瀏覽器即可完成認(rèn)證以及能夠開展與業(yè)務(wù)密切相關(guān)的廣告����、服務(wù)選擇和信息發(fā)布等增值業(yè)務(wù)的優(yōu)點(diǎn)����,得到了越來越廣泛的應(yīng)用���。
[0004]在典型的Web認(rèn)證組網(wǎng)中���,通常是在核心設(shè)備的接口上開啟Web認(rèn)證,將全網(wǎng)用戶的管理集中到核心設(shè)備上����,方便整網(wǎng)部署,降低后續(xù)監(jiān)控維護(hù)的代價(jià)��。核心設(shè)備作為全網(wǎng)用戶的網(wǎng)關(guān)�,下聯(lián)用戶只有通過身份認(rèn)證之后才能正常的訪問網(wǎng)絡(luò),這里�����,為方便描述����,將開啟身份認(rèn)證的核心設(shè)備統(tǒng)一稱為NAS設(shè)備����。
[0005]現(xiàn)有的用戶身份認(rèn)證上線的基本流程��,主要包括:TCP報(bào)文的攔截��、TCP偽連接的建立�����、HTTP報(bào)文的重定向���、服務(wù)器端認(rèn)證以及NAS端的上網(wǎng)權(quán)限設(shè)置。用戶在認(rèn)證網(wǎng)頁提交相應(yīng)認(rèn)證信息后����,若在服務(wù)器端通過認(rèn)證,服務(wù)器將通知NAS設(shè)備設(shè)置相應(yīng)用戶信息��,并放行該用戶的報(bào)文�����。Web認(rèn)證的主要流程包括:1���、在認(rèn)證之前�,NAS設(shè)備將未認(rèn)證用戶發(fā)出的所有HTTP請(qǐng)求進(jìn)行攔截后,重定向到Portal服務(wù)器���,如此����,在用戶的瀏覽器處彈出認(rèn)證頁面�����;2��、用戶通過認(rèn)證頁面輸入認(rèn)證信息����,如用戶名、口令��、校驗(yàn)碼等�,與Portal服務(wù)器進(jìn)行交互;3���、Portal服務(wù)器將接收到的用戶的認(rèn)證信息發(fā)送給NAS設(shè)備;4、NAS設(shè)備向Radius服務(wù)器發(fā)起認(rèn)證����,并將認(rèn)證結(jié)果反饋至Portal服務(wù)器;5�、Portal服務(wù)器向客戶端返回認(rèn)證結(jié)果頁面,提示認(rèn)證結(jié)果為成功或失敗�。
[0006]當(dāng)NAS設(shè)備重啟,所有在線用戶需要重新接入網(wǎng)絡(luò)�,NAS設(shè)備需要對(duì)用戶發(fā)出的所有HTTP請(qǐng)求進(jìn)行攔截,并重定向到Portal服務(wù)器���,而由于NAS設(shè)備處理能力有限��,會(huì)導(dǎo)致超大量HTTP請(qǐng)求不能及時(shí)處理�����,造成處理延時(shí)��,用戶不能及時(shí)完成身份認(rèn)證���。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的實(shí)施例提供了一種基于NAS設(shè)備的認(rèn)證方法,能夠及時(shí)處理用戶HTTP請(qǐng)求報(bào)文��,完成身份認(rèn)證。
[0008]本發(fā)明提供了如下方案:
[0009]—種基于網(wǎng)絡(luò)接入安全NAS設(shè)備的認(rèn)證方法���,包括:
[0010]所述NAS設(shè)備重啟�����,進(jìn)入自由時(shí)間�,放行接收到的用戶的報(bào)文�����;
[0011]所述自由時(shí)間到時(shí)�,進(jìn)入攔截時(shí)間,按照預(yù)設(shè)的攔截條件���,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證�����。
[0012]—種基于網(wǎng)絡(luò)接入安全NAS設(shè)備的認(rèn)證裝置�����,所述裝置包括:放行模塊和攔截模塊�;其中,
[0013]所述放行模塊���,用于當(dāng)所述NAS設(shè)備重啟,進(jìn)入自由時(shí)間���,放行接收到的用戶的報(bào)文����;
[0014]所述攔截模塊��,用于所述自由時(shí)間到時(shí)��,進(jìn)入攔截時(shí)間��,按照預(yù)設(shè)的攔截條件��,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證���。
[0015]由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出����,本發(fā)明實(shí)施例提供的基于NAS設(shè)備的認(rèn)證方法及裝置��,當(dāng)NAS設(shè)備重啟時(shí),首先進(jìn)入一個(gè)自由時(shí)間�,在該時(shí)間內(nèi),放行所有接收到的HTTP請(qǐng)求報(bào)文�,如此,可使因NAS設(shè)備重啟而中斷上網(wǎng)的用戶在自由時(shí)間內(nèi)迅速恢復(fù)上網(wǎng)��,后續(xù)進(jìn)入攔截時(shí)間��,按照攔截條件對(duì)HTTP請(qǐng)求報(bào)文進(jìn)行攔截�,將符合攔截條件的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證,放行不符合攔截條件的HTTP請(qǐng)求報(bào)文��,逐步實(shí)現(xiàn)用戶的重認(rèn)證���,最大限度的降低了 NAS設(shè)備重啟造成用戶上網(wǎng)中斷的影響��,能夠迅速實(shí)現(xiàn)用戶的重認(rèn)證����。
【附圖說明】
[0016]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案��,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0017]圖1為本發(fā)明實(shí)施例提供的基于NAS設(shè)備的認(rèn)證方法的實(shí)現(xiàn)流程示意圖����;
[0018]圖2為本發(fā)明實(shí)施例一提供的基于NAS設(shè)備的認(rèn)證方法的實(shí)現(xiàn)流程示意圖;
[0019]圖3為本發(fā)明實(shí)施例提供的基于NAS設(shè)備的認(rèn)證裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0020]為便于對(duì)本發(fā)明實(shí)施例的理解,下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例做進(jìn)一步的解釋說明��,且各個(gè)實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定���。
[0021]圖1為本發(fā)明實(shí)施例提供的基于NAS設(shè)備的認(rèn)證方法的實(shí)現(xiàn)流程示意圖�;如圖1所示��,本實(shí)施例包括下述步驟:
[0022]步驟101,所述NAS設(shè)備重啟���,進(jìn)入自由時(shí)間���,放行接收到的用戶的報(bào)文;
[0023]這里��,所述自由時(shí)間是指NAS設(shè)備將接收到的所有報(bào)文全部放行�,如此,發(fā)送報(bào)文的用戶均可正常接入網(wǎng)絡(luò)��。優(yōu)選地��,所述自由時(shí)間的時(shí)長(zhǎng)較短��,如30秒�、1分鐘、2分鐘�、5分鐘等等均可,主要取決于設(shè)備重啟過程的耗時(shí)�,只要能夠保證設(shè)備重啟過程中,將接收到的用戶報(bào)文全部放行���,等設(shè)備重啟成功�����,準(zhǔn)確就緒��,此時(shí)自由時(shí)間結(jié)束�,進(jìn)入攔截時(shí)間即可。
[0024]步驟102��,所述自由時(shí)間到時(shí)�����,進(jìn)入攔截時(shí)間���,按照預(yù)設(shè)的攔截條件,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證�����。
[0025]這里�,當(dāng)所述攔截時(shí)間包括多個(gè)攔截時(shí)間段時(shí),每個(gè)攔截時(shí)間段各自對(duì)應(yīng)一個(gè)預(yù)設(shè)的攔截條件���,依次進(jìn)入所述攔截時(shí)間段����,按照所述攔截時(shí)間段對(duì)應(yīng)的攔截條件,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證����。這里,所述攔截時(shí)間可根據(jù)NAS設(shè)備的處理能力進(jìn)行確定���,例如��,若該NAS設(shè)備每分鐘可處理5000個(gè)用戶的重認(rèn)證����,此時(shí)有12000個(gè)用戶需要重認(rèn)證��,則可將攔截時(shí)間設(shè)置為2分鐘�,如此,該攔截時(shí)間包括2個(gè)時(shí)長(zhǎng)為1分鐘的攔截時(shí)間段���。
[0026]具體地�,若攔截時(shí)間由第一�����、第二….第η攔截時(shí)間段組成,第一�����、第二…第η攔截時(shí)間段分別對(duì)應(yīng)的攔截條件為第一���、第二…第η預(yù)設(shè)攔截條件���,這里η為正整數(shù)。首先進(jìn)入第一攔截時(shí)間段時(shí)���,攔截符合第一預(yù)設(shè)攔截條件的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證�����,放行不符合第一預(yù)設(shè)攔截條件的用戶的所有報(bào)文;然后進(jìn)入第二攔截時(shí)間段����,攔截符合第二預(yù)設(shè)攔截條件的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證,放行不符合第二預(yù)設(shè)攔截條件的用戶的所有報(bào)文��;以此類推,直至將接收到的HTTP請(qǐng)求報(bào)文全部攔截����。這里,所述攔截時(shí)間和攔截條件可根據(jù)實(shí)際需要進(jìn)行預(yù)先設(shè)置����。
[0027]應(yīng)當(dāng)理解,若第η攔截時(shí)間段到時(shí)后�,仍未將接收到的HTTP請(qǐng)求報(bào)文全部攔截,則后續(xù)處理流程即可將接收到的HTTP請(qǐng)求報(bào)文全部攔截����,不需再參照攔截條件進(jìn)行攔截。
[0028]圖2為本發(fā)明實(shí)施例一提供的基于NAS設(shè)備的認(rèn)證方法的實(shí)現(xiàn)流程示意圖����,如圖2所示,所述實(shí)施例一包括下述步驟:
[0029]步驟201����,所述NAS設(shè)備重啟,進(jìn)入自由時(shí)間�����,放行接收到的用戶的報(bào)文;
[0030]步驟202�,當(dāng)所述自由時(shí)間到時(shí),進(jìn)入第一攔截時(shí)間段�����,攔截接收到的符合第一預(yù)設(shè)攔截條件的用戶的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證���,放行不符合第一預(yù)設(shè)攔截條件的用戶的所有報(bào)文����;
[0031]具體地�����,當(dāng)所述自由時(shí)間到時(shí)�����,進(jìn)入第一攔截時(shí)間段���,攔截源IP地址在預(yù)設(shè)的第一 IP地址范圍內(nèi)的未認(rèn)證的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證,放行源IP地址在所述第一IP地址范圍外的用戶的所有報(bào)文���;這里��,所述第一 IP地址范圍可以為A-B���,所述源IP地址為用戶的報(bào)文中的源IP地址���;
[0032]步驟203,當(dāng)所述第一攔截時(shí)間段到時(shí)��,進(jìn)入第二攔截時(shí)間段���,攔截接收到的符合第二預(yù)設(shè)攔截條件的用戶的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證�,放行不符合第二預(yù)設(shè)攔截條件的用戶的所有報(bào)文�����。
[0033]當(dāng)所述第一攔截時(shí)間段到時(shí)��,進(jìn)入第二攔截時(shí)間段����,攔截源IP地址在預(yù)設(shè)第二 IP地址范圍內(nèi)的未認(rèn)證的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證,放行源IP地址在所述第二 IP地址范圍外用戶的所有報(bào)文�����;這里,所述第一 IP地址范圍包含在第二 IP地址范圍內(nèi)����,比如所述第二 IP地址范圍可以為A-C,這里�����,A�����、B��、C為IP地址��,且C > B���,例如�����,A為1����,B為20���,C為30�。
[0034]應(yīng)當(dāng)理解��,上述實(shí)施例中所述自由時(shí)間到時(shí)��,進(jìn)入攔截時(shí)間���,按照預(yù)設(shè)的攔截條件����,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證��,還可以具體為:
[0035]當(dāng)所述自由時(shí)間到時(shí)�,進(jìn)入第一攔截時(shí)間段,攔截(源IP地址&0x0F)〈l的未認(rèn)證的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證��,放行(源IP地址&0x0F)彡1的用戶的所有報(bào)文��;
[0036]當(dāng)所述第一攔截時(shí)間段到時(shí)��,進(jìn)入第二攔截時(shí)間段,攔截(源IP地址&0x0F)〈2的未認(rèn)證的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證�,放行(源IP地址&0x0F)彡2的用戶的所有報(bào)文;
[0037]當(dāng)所述第二攔截時(shí)間段到時(shí)�����,進(jìn)入第三攔截時(shí)間段�����,攔截(源IP地址&0x0F)〈3的未認(rèn)證的用戶的HTTP請(qǐng)求報(bào)文進(jìn)行重認(rèn)證��,放行(源IP地址&0x0F)彡3的用戶的所有報(bào)文��。
[0038]其中�,源IP地址與OxOF進(jìn)行按位與的操作,本質(zhì)是通過位運(yùn)算區(qū)分不同范圍的IP地址���,應(yīng)當(dāng)理解����,現(xiàn)有其他區(qū)分IP地址的方式均可以利用�����,不對(duì)本發(fā)明實(shí)施例造成限定。
[0039]圖3為本發(fā)明實(shí)施例提供的基于NAS設(shè)備的認(rèn)證裝置的結(jié)構(gòu)示意圖���,如圖3所示,所述裝置包括:放行模塊31和攔截模塊32 ;其中��,
[0040]所述放行模塊31���,用于當(dāng)所述NAS設(shè)備重啟�,進(jìn)入自由時(shí)間����,放行接收到的用戶的報(bào)文;
[0041]所述攔截模塊32�����,用于所述自由時(shí)間到時(shí)���,進(jìn)入攔截時(shí)間��,按照預(yù)設(shè)的攔截條件���,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證���。
[0042]可選的,所述攔截模塊32�,具體用于當(dāng)所述攔截時(shí)間包括多個(gè)攔截時(shí)間段時(shí),每個(gè)攔截時(shí)間段各自對(duì)應(yīng)一個(gè)預(yù)設(shè)的攔截條件����,依次進(jìn)入所述攔截時(shí)間段,按照所述攔截時(shí)間段對(duì)應(yīng)的攔截條件��,攔截接收到的HTTP請(qǐng)求報(bào)文以完成重認(rèn)證����。
[0043]可選的,所述攔截模塊32���,具體用于當(dāng)所述自由時(shí)間到時(shí)�,進(jìn)入第一攔截時(shí)間段�,攔截接收到的符合第一預(yù)設(shè)攔截條件的用