一种融合MAC认证和WEB认证的认证方法.pdf

本发明适用于互联网领域，提供了一种融合mac认证和web认证的认证方法，包括：逻辑网络实体向认证服务器发送第一mac认证请求报文；认证服务器返回第一mac认证应答报文，应答报文中携带重定向URL和会话标识值；逻辑网络实体返回重定向URL给终端设备；认证服务器根据web认证信息，确认终端用户web认证通过后，返回web认证通过的响应消息给逻辑网络实体；逻辑网络实体在接收到web认证通过的响应消息后，发送第二mac认证请求报文给认证服务器，第二mac认证请求报文中携带会话标识值；认证服务器在确认接收到的第二mac认证请求报文中携带会话标识值时，向逻辑网络实体返回mac认证通过的消息。本发明主要是服务器下发重定向url，可以避免在逻辑网络实体上的人工配置，减少了配置量。

权利要求书1.  一种融合mac认证和web认证的认证方法，其中，终端设备的认证包含了mac认证 和web认证两部分，所述终端设备触发mac地址认证，其特征在于，所述方法包括： 所述逻辑网络实体向认证服务器发送第一mac认证请求报文； 所述认证服务器返回第一mac认证应答报文，所述应答报文中携带重定向统一资源定位 符URL和会话标识值； 所述逻辑网络实体返回所述重定向URL给所述终端设备，以便所述终端设备根据所述重 定向URL访问web认证页面，并通过终端用户完成web认证信息的输入； 所述认证服务器根据所述web认证信息，确认终端用户web认证通过后，返回web认证 通过的响应消息给所述逻辑网络实体； 所述逻辑网络实体在接收到所述web认证通过的响应消息后，发送第二mac认证请求报 文给所述认证服务器，所述第二mac认证请求报文中携带所述会话标识值； 所述认证服务器在确认接收到的第二mac认证请求报文中携带所述会话标识值时，向逻 辑网络实体返回mac认证通过的消息。 2.  如权利要求1所述的方法，其特征在于，所述逻辑网络实体向认证服务器发送第一 mac认证请求报文之前，还包括： 所述逻辑网络实体判断自身存储的会话表中是否存在所述终端设备的mac地址的会话表 项； 如果会话表项不存在，则在所述逻辑网络实体的会话表中创建存储所述终端设备的mac 地址的会话表项。 3.  如权利要求1或2所述的方法，其特征在于，所述逻辑网络实体在接收到第一mac 认证应答报文后，还包括： 逻辑网络实体在所述终端设备的mac地址的会话表项中记录所述重定向URL和会话标 识值。 4.  如权利要求1-3任一所述的方法，其特征在于，所述终端设备根据所述重定向URL 访问web认证页面，并通过终端用户完成web认证信息的输入web认证页面，具体包括： 终端设备在接收到携带重定向URL报文后； 发起访问重定向URL地址所对应的web认证页面的请求； 终端用户在所述web认证页面中输入用户账户和用户密码，并提交，由认证服务器完成 web认证。 5.  如权利要求4所述的方法，其特征在于，所述确认终端用户web认证通过，具体包 括： 验证接收到用户账户和用户密码是合法的，则确认终端用户web认证通过。 6.  如权利要求1-5任一所述的方法，其特征在于，所述进行所述终端设备的mac认证， 具体包括： 所述认证服务器验证第二mac认证请求报文中是否携带有认证服务器下发的会话标识 值，若第二mac认证请求报文中携带有服务器下发的会话标识值，则第二mac认证通过。 7.  如权利要求1-6任一所述的方法，其特征在于，所述终端触发mac认证的方式，包括： 终端设备发送动态主机配置协议DHCP请求、超文本传输协议HTTP请求或超文本传输 协议安全HTTPS请求。 8.  如权利要求1-7任一所述的方法，其特征在于，所述网络逻辑实体，具体为： 以太网交换机、路由器或调制解调器。

说明书一种融合mac认证和web认证的认证方法
技术领域
本发明属于互联网领域，尤其涉及一种融合mac认证和web认证的认证方法。
背景技术
在现有的接入侧网络中，常见的终端用户认证方法有mac认证，802.1x认证和web认证。 802.1x认证需要终端用户安装特定的认证客户端，web认证是基于IP地址的，对终端用户的 控制力度无法达到mac地址级别，mac认证是一种针对终端设备的认证方式。
目前网络接入侧常见的认证方式要么是针对终端设备的，要么是针对终端用户的。并没 有涉及将两种方式有效结合在一起的方法。
发明内容
本发明实施例的目的在于提供一种融合mac认证和web认证的认证方法，以解决现有技 术认证方式单一的问题。
本发明实施例是这样实现的，一种融合mac认证和web认证的认证方法，其中，终端设 备的认证包含了mac认证和web认证，所述终端设备触发mac地址认证，所述方法包括：
所述逻辑网络实体向认证服务器发送第一mac认证请求报文；所述认证服务器返回第一 mac认证应答报文，所述应答报文中携带重定向统一资源定位符URL和会话标识值；所述逻 辑网络实体返回所述重定向URL给所述终端设备，以便所述终端设备根据所述重定向URL 访问web认证页面，并通过终端用户完成web认证信息的输入；所述认证服务器根据所述 web认证信息，确认终端用户web认证通过后，返回web认证通过的响应消息给所述逻辑网 络实体；所述逻辑网络实体在接收到所述web认证通过的响应消息后，发送第二mac认证请 求报文给所述认证服务器，所述第二mac认证请求报文中携带所述会话标识值；所述认证服 务器在确认接收到的第二mac认证请求报文中携带所述会话标识值时，向逻辑网络实体返回 mac认证通过的消息。
本发明实施例提供的一种融合mac认证和web认证的认证方法的有益效果包括：本发明 所述的一种融合mac认证和web认证的方法，能实现对终端设备和终端用户的双重认证，显 著提高网络接入侧的安全性；能减少网管人员的配置量，降低网络维护成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需 要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其 他的附图。
图1是本发明实施例提供的一种融合mac认证和web认证的认证方法的流程图；
图2是本发明实施例提供的一种融合mac认证和web认证的认证方法的流程图；
图3是本发明实施例提供的一种融合mac认证和web认证的认证方法的流程图；
图4是本发明实施例提供的一种融合mac认证和web认证的认证方法的流程图；
图5是本发明实施例提供的一种融合mac认证和web认证的认证方法的信令流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发 明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用 于限定本发明。
本发明各实施例中，使用了终端设备和终端用户两种称呼方式，主要是为了和执行动作 在逻辑上更匹配，而其中终端用户即拥有所述终端设备使用能力的人。为了说明本发明所述 的技术方案，下面通过具体实施例来进行说明。
实施例一
如图1所示为本发明提供的一种融合mac认证和web认证的认证方法的流程图，其中， 终端设备的认证包含了mac认证和web认证，所述终端用户触发了逻辑网络实体的对终端设 备的mac认证，所述触发第一mac认证消息的方式具体可以是：终端用户发送动态主机配置 协议(Dynamic host configuration protocol，DHCP)请求、超文本传输协议(Hyper Text Transport  Protocol，HTTP)请求或超文本传输协议安全(Hyper Text Transfer Protocol，HTTPS)请求。 如图1所示，所述方法包括以下步骤：
在步骤101中，所述逻辑网络实体向认证服务器发送第一mac认证请求报文。
在步骤102中，所述认证服务器返回第一mac认证应答报文，所述应答报文中携带重定 向统一资源定位符URL和会话标识值。
在步骤103中，所述逻辑网络实体返回所述重定向URL给所述终端设备，以便所述终端 设备根据所述重定向URL访问web认证页面，并通过终端用户完成web认证信息的输入。
在步骤104中，所述认证服务器根据所述web认证信息，确认终端用户web认证通过后， 返回web认证通过的响应消息给所述逻辑网络实体。
在步骤105中，所述逻辑网络实体在接收到所述web认证通过的响应消息后，发送第二 mac认证请求报文给所述认证服务器，所述第二mac认证请求报文中携带所述会话标识值。
在步骤106中，所述认证服务器在确认接收到的第二mac认证请求报文中携带会话标识 值时，并向逻辑网络实体返回mac认证通过的消息。
本发明所述的一种融合mac认证和web认证的方法，能实现对终端设备和终端用户的双 重认证，显著提高网络接入侧的安全性；能减少网管人员的配置量，降低网络维护成本。
优选的，结合本实施例存在一种方案，其中，所述逻辑网络实体向认证服务器发送第一 mac认证请求报文之前，还包括：
所述逻辑网络实体判断自身存储的会话表中是否存在所述终端设备的mac地址的会话表 项；如果会话表项不存在，则在所述逻辑网络实体的会话表中创建存储所述终端设备的mac 地址的会话表项。
优选的，结合本实施例存在一种方案，其中，所述逻辑网络实体在接收到第一mac认证 应答报文后，还包括：
逻辑网络实体在所述终端设备的mac地址的会话表项中记录所述重定向URL和会话标 识值。
优选的，结合本实施例存在一种方案，其中，所述web认证页面终端设备根据所述重定 向URL访问web认证页面，并通过终端用户完成web认证信息的输入，具体包括：
终端设备在接收到携带重定向URL报文后；发起访问重定向URL地址所对应的web认 证页面的请求；终端用户在所述web认证页面中输入用户账户和用户密码，并提交，由认证 服务器完成web认证。
优选的，结合本实施例存在一种方案，其中，所述确认终端用户web认证通过，具体包 括：
验证接收到用户账户和用户密码是合法的，则确认终端用户web认证通过。
优选的，结合本实施例存在一种方案，其中，所述进行所述终端设备的mac认证，具体 包括：
所述认证服务器验证第二mac认证请求报文中是否携带有认证服务器下发的会话标识 值，若第二mac认证请求报文中携带有服务器下发的会话标识值，则第二mac认证通过。
优选的，结合本实施例存在一种方案，其中，所述终端触发mac认证的方式，包括：
终端设备发送动态主机配置协议DHCP请求、超文本传输协议HTTP请求或超文本传输 协议安全HTTPS请求。
优选的，结合本实施例存在一种方案，其中，所述网络逻辑实体，具体为：以太网交换 机、路由器或调制解调器。
实施例二
如图2所示为本发明实施例提供的一种融合mac认证和web认证的认证方法的流程，由 图2可知，本实施例侧重于阐述逻辑网络实体在发送第一mac认证请求之前的操作内容，具 体包括：
在步骤201中，触发终端设备的mac认证。
触发终端设备的mac认证的方式，可以是终端设备向逻辑网络实体发送DHCP请求、 HTTP请求或HTTPS请求时，但终端设备触发mac认证的方式并不局限于上述方式。终端设 备触发mac认证后，执行步骤202。
在步骤202中，终端设备触发mac认证之后，逻辑网络实体从收到的终端设备的报文中 提取出报文的源mac地址。所述的报文的源mac地址实际上就是终端设备的mac地址，以此 源mac地址作为查找关键字查找会话表项，若会话表项中存在所述源mac地址，则执行步骤 203，否则，执行步骤204。
在步骤203中，若逻辑网络实体中存在会话表项，则继续判断该会话表项中的终端用户 认证状态是否为认证成功，即mac认证和web认证是否都通过。若终端用户的认证状态为认 证成功，则执行步骤205，否则，执行步骤206。
在步骤204中，若逻辑网络实体中不存在会话表项，则创建会话表项，然后执行步骤206。
在步骤205中，逻辑网络实体转发终端用户的数据包。若逻辑网络实体中存在会话表项， 且会话表项中的终端用户认证状态为认证成功，则逻辑网络实体不再拦截终端用户的数据包， 而是直接转发终端用户的数据包。
在步骤206中，处理流程进入终端用户的web认证流程(进入步骤301)。本实施例通 过引入用户认证状态，将mac认证和web认证做了统一管理，优化了判断是否为所述终端设 备提供数据包转发业务的步骤，并且，将实施例一中有关mac认证的内容做了具体的阐述。
实施例三
如图3所示，本实施例是针对实施例一中有关web认证内容的细化，具体衔接在实施例 二的步骤206之后，与实施例二组合成为方案。具体包括：
在步骤301中，逻辑网络实体向认证服务器发送第一mac认证请求。
其中，所述逻辑网络实体在接收到终端设备的HTTP请求或者HTTPS请求后，触发对终 端设备的mac认证，在发送所述第一mac认证请求之前，还具体包含一个TCP仿冒操作， 所述的TCP仿冒的操作是指逻辑网络实体拦截来自终端设备的HTTP请求或者HTTPS请求 后，修改HTTP请求报文(或者HTTPS请求报文)中的目的地址和目的端口号为逻辑网络实 体的本地地址和本地端口号，所述的逻辑网络实体的本地地址包括VLAN接口地址，但不局 限于VLAN接口地址。
在步骤302中，web认证页面认证服务器返回第一mac认证应答报文，所述应答报文中 携带重定向统一资源定位符URL和会话标识值。
web认证页面逻辑网络实体寻找存储的会话表中对应终端设备的会话表项，并在该会话 表项中web认证页面添加所述重定向URL。所述重定向URL是由认证服务器下发的，记录 在逻辑网络实体的会话表项中，该重定向URL指向web认证的web认证页面。
在步骤303中，逻辑网络实体将所述重定向URL返回给终端设备。
在步骤304中，终端设备向所述重定向URL指向的web认证页面发起访问请求。
逻辑网络实体拦截终端用户的HTTP请求或者HTTPS请求后，所述HTTP请求或者 HTTPS请求指向所述重定向URL。具体的，逻辑网络实体进行TCP仿冒，即将该HTTP请 求或者HTTPS请求中的接收地址调整为逻辑网络实体的地址web认证页面web认证页面。
终端用户的浏览器跳转至web认证页面后，执行步骤305。
在步骤305中，认证服务器通过逻辑网络实体，向终端设备返回web认证页面。
在步骤306中，终端用户在web认证页面上，输入用户名和密码，进行web认证。终端 用户在web认证页面上输入用户名和密码后，执行步骤307。
在步骤307中，判断终端用户web认证是否通过，若终端用户web认证通过，则执行步 骤308，否则，执行步骤305。若终端用户web认证成功，则认证服务器向终端设备推送认 证成功页面；若终端用户web认证失败，则服务器向终端设备推送认证失败页面。通常情况 下，终端用户可以在认证失败页面上再次输入用户名和密码进行web认证。
具体实现中，终端用户web认证成功后，web认证服务器会以心跳保持报文或者流量监 控的方式，来判断终端用户是否下线。所述的web认证服务器利用心跳保持报文来判断终端 用户是否下线的方式，是指终端用户通过web认证后，终端设备定时向认证服务器发送心跳 保持报文，若认证服务器在一段时间内未收到终端设备发送的心跳保持报文，则认为终端用 户下线。所述的认证服务器利用流量监控来判断终端用户是否在线的方式，是指逻辑网络实 体每隔一定时间就统计终端用户的实时流量信息，并将终端用户的实时流量信息发往认证服 务器，若一段时间内终端用户的流量值小于服务器预设的阈值，则服务器认为终端用户下线。
在步骤309中，终端用户web认证通过，终端用户通过web认证后，认证服务器会向逻 辑网络实体返回认证通过相应消息。处理流程进入终端设备再次进行mac认证的处理流程(进 入步骤401)。
实施例四
本实施例是针对实施例一中终端设备发送第二mac认证消息，结合了具体的实现环境的 阐述，本实施例中会话标识值具体为session-id值，如图4所示，具体包括以下步骤：
在步骤401中，终端用户在步骤304中通过了web认证，逻辑网络实体向认证服务器发 送针对终端设备的第二mac认证请求报文。
具体的，当逻辑网络实体收到web认证服务器发送的终端用户web认证通过的信息后， 便发送所述第二mac认证请求报文。所述第二mac认证请求报文中携带有session-id值。
在步骤402中，认证服务器判断所述第二mac认证请求报文中是否携带有服务器下发的 session-id，若该第二mac认证请求报文中携带有服务器下发的session-id，则执行步骤403， 否则，执行步骤404。
在步骤403中，第二mac认证请求报文中，携带有认证服务器下发的session-id，终端设 备的mac认证通过，逻辑网络实体确认终端设备的mac认证和web认证都通过后，转发终端 用户的流量。
在步骤404中，第二mac认证请求报文中，没有携带服务器下发的session-id，终端设 备的mac认证不通过，返回认证失败消息。
所述认证失败消息包括：由于用户名和密码输入错误造成的、由于网络连接不稳定造成 的、由于mac地址错误造成的等等。
综上所述，这些流程有机结合组成了该发明专利想要实现的功能。本发明有以下两个优 点：第一，可以减少网管人员的配置量，具体的，不用在逻辑网络实体中人工的输入重定向 URL，而是利用了第一mac认证应答报文，实现了逻辑网络实体对于该参数的获取，从而降 低网络维护成本；第二，可以实现对终端设备和终端用户的双重认证，显著提高网络接入侧 的安全性。
实施例五
如图5所示，本实施例基于实施例一的方法，结合了实施例二、三、四中具体实现手段， 以信令图的方式，展示了作为本发明方法执行主体的终端设备、逻辑网络实体和认证服务器 之间的信令交互关系，具体包括：
在步骤501中，终端设备触发mac认证。
在步骤502中，逻辑网络实体验证会话表中是否存在对应所述终端设备的mac地址的会 话表项。
具体的执行实施例二中步骤202至步骤206之间的内容。
在步骤503中，逻辑网络实体发送第一mac认证请求报文给认证服务器。
其中，第一mac认证请求报文仅仅是对报文的一种称呼，而其实质并非是用来完成mac 认证，而是为了获取重定向URL和会话标识值用。
在步骤504中，认证服务器返回第一mac认证应答报文，携带重定向URL和session-id 值。
在步骤505中，逻辑网络实体发送携带重定向URL的消息给终端设备。
具体实现中，一般是终端设备发起了http请求，逻辑网络实体才可以通过TCP仿冒，返 回http应答，在应答中携带重定向url。
在步骤506中，终端用户通过寻址所述重定向URL访问认证服务器上的web认证页面， 并通过在web认证页面上输入认证信息，来实现web认证。
在步骤507中，认证服务器依据步骤506中获取的认证信息，验证该终端用户的web认 证通过。
在步骤508中，认证服务器向逻辑网络实体发送web认证通过消息。
在步骤509中，逻辑网络实体在确认该终端设备的web认证通过后，向认证服务器发送 第二mac认证请求报文，该报文中携带session-id。
在步骤510中，认证服务器验证第二mac认证请求报文中是否携带有认证服务器下发的 会话标识值，若第二mac认证请求报文中携带有服务器下发的会话标识值，则第二mac认证 通过。
在步骤511中，向逻辑网络实体返回第二mac认证应答报文，该报文包含mac认证通过 消息。
在步骤512中，逻辑网络实体在接收到所述第二mac认证应答报文，并确认mac认证和 web认证都通过后，开始转发所述终端设备的数据包。
相关步骤的具体实现和可扩展方案可借鉴实施例二、三、四，在本实施例中不再赘述。
本实施例通过详尽而连贯的流程，介绍了本发明提出的方法在具体实施例中的实现方式， 相比较现有技术，能实现对终端设备和终端用户的双重认证，显著提高网络接入侧的安全性； 能减少网管人员的配置量，降低网络维护成本。
本领域普通技术人员还可以理解，实现上述实施例方法中的全部或部分步骤是可以通过 程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的 存储介质，包括ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原 则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。