技術(shù)領(lǐng)域

本發(fā)明涉及802.1x協(xié)議的認(rèn)證和Web?Portal認(rèn)證技術(shù)，特別是涉及當(dāng)管理者需要根據(jù)用戶的訪問權(quán)限進(jìn)行限制，認(rèn)證服務(wù)器需要區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)時(shí)，以便認(rèn)證服務(wù)器采取內(nèi)外網(wǎng)不同的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)的一種二次認(rèn)證方法及系統(tǒng)。

背景技術(shù)

校園網(wǎng)和企業(yè)網(wǎng)可以通過802.1x和Web?Portal等多種方式進(jìn)行用戶認(rèn)證，但如果只進(jìn)行一種認(rèn)證很難區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)；這樣認(rèn)證計(jì)費(fèi)服務(wù)器就很難根據(jù)用戶的內(nèi)外網(wǎng)分別計(jì)費(fèi)的需求進(jìn)行計(jì)費(fèi)。

目前802.1X用戶認(rèn)證成功的消息流程圖，如圖2所示，包括如下詳細(xì)步驟：

步驟201，客戶端向接入設(shè)備發(fā)送一EAPoL開始報(bào)文，開始802.1x認(rèn)證接入；

步驟202，接入設(shè)備向客戶端發(fā)送EAP?Identity身份請求報(bào)文，要求客戶端將用戶名送上來；

步驟203，客戶端回應(yīng)一EAP?Identity身份應(yīng)答報(bào)文給接入設(shè)備的請求，其中包括用戶名；

步驟204，接入設(shè)備將EAP?Identity身份應(yīng)答報(bào)文封裝到遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(RADIUS)接入請求報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；

步驟205，認(rèn)證服務(wù)器產(chǎn)生質(zhì)詢報(bào)文并將其發(fā)送到接入設(shè)備；

步驟206，接入設(shè)備通過EAP請求報(bào)文將RADIUS接入MD5Challenge質(zhì)詢報(bào)文發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；

步驟207，客戶端收到EAP?MD5Challenge質(zhì)詢請求報(bào)文后，將用戶的密碼和質(zhì)詢報(bào)文做加密算法處理后的質(zhì)詢密碼，以EAP應(yīng)答報(bào)文回應(yīng)給接入設(shè)備；

步驟208，接入設(shè)備將質(zhì)詢報(bào)文、質(zhì)詢密碼和用戶名一起發(fā)送到認(rèn)證服務(wù)器，由認(rèn)證服務(wù)器進(jìn)行認(rèn)證：

步驟209，若認(rèn)證成功，認(rèn)證服務(wù)器回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備；

步驟210，接入設(shè)備向客戶端發(fā)送EAPOL-Success成功報(bào)文，連通受控端口，網(wǎng)絡(luò)認(rèn)證流程結(jié)束。

Portal認(rèn)證過程的消息流程圖，如圖1所示，以用戶上線Chap認(rèn)證流程為例，具體流程如下：

1.用戶訪問網(wǎng)站，經(jīng)過接入認(rèn)證設(shè)備重定向到Web認(rèn)證服務(wù)器，Web認(rèn)證服務(wù)器推送認(rèn)證頁面；

2.用戶填入用戶名、密碼，提交頁面，向Web認(rèn)證服務(wù)器發(fā)起連接請求；

3.Web認(rèn)證服務(wù)器向接入認(rèn)證設(shè)備請求Challenge；

4.接入認(rèn)證設(shè)備分配Challenge給Web認(rèn)證服務(wù)器；

5.Web認(rèn)證服務(wù)器向接入認(rèn)證設(shè)備發(fā)起認(rèn)證請求；

6.而后接入認(rèn)證設(shè)備進(jìn)行RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；

7.接入認(rèn)證設(shè)備向Web認(rèn)證服務(wù)器送認(rèn)證結(jié)果；

8.Web認(rèn)證服務(wù)器將認(rèn)證結(jié)果填入頁面，和門戶網(wǎng)站一起推送給客戶；

9.Web認(rèn)證服務(wù)器回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文。

發(fā)明內(nèi)容

為了解決上述問題，本發(fā)明提供了一種二次認(rèn)證方法及系統(tǒng)，其目的在于，提供一種可以區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)的方法及系統(tǒng)，用戶根據(jù)訪問資源的需要進(jìn)行相應(yīng)的認(rèn)證方法，即給用戶提供可以選擇二次認(rèn)證的模式。

本發(fā)明提供了一種二次認(rèn)證方法，具有以下步驟：

用戶上線時(shí)，先進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用內(nèi)部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)；

用戶下線時(shí)，先進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用外部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。

所述內(nèi)部網(wǎng)絡(luò)認(rèn)證通過802.1x的方式進(jìn)行認(rèn)證，所述外部網(wǎng)絡(luò)認(rèn)證通過Web?Portal的方式進(jìn)行認(rèn)證。

用戶上線時(shí)，還包括具體如下步驟：

步驟31、認(rèn)證服務(wù)器回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備，并將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中；

步驟32、接入設(shè)備向客戶端發(fā)送EAPOL-Success成功報(bào)文，將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中，連通受控端口，運(yùn)行客戶端訪問內(nèi)部網(wǎng)絡(luò)資源，內(nèi)部網(wǎng)絡(luò)認(rèn)證結(jié)束。

用戶上線時(shí)，所述外部網(wǎng)絡(luò)認(rèn)證包括如下具體步驟：

步驟41、二次認(rèn)證客戶端根據(jù)802.1x返回的Portal認(rèn)證通用資源定位符和端口信息，通過遠(yuǎn)程登錄、超文本傳輸協(xié)議或安全超文本傳輸協(xié)議方式訪問Web認(rèn)證服務(wù)器以獲取認(rèn)證頁面；

步驟42、Web認(rèn)證服務(wù)器的Portal認(rèn)證頁面請求用戶的用戶名和密碼等用戶標(biāo)識信息；