技術領域

本發明涉及一種網絡用戶認證方法，特別是涉及了一種可擴展、分布式的網絡用戶認證方法。?

背景技術

傳統的網絡用戶認證系統構架是由多個802.1x網關設備和一個或者多個RADIUS服務器組成的。802.1x為IEEE?Std?802.1x-2001基于端口的訪問控制協議，可以克服PPPoE（point-to-point?protocol?over?ethernet）方式帶來的諸多問題，并避免引入寬帶接入服務器所帶來的巨大投資。802.1x協議限制未經授權的用戶/設備通過接入端口訪問LAN/WAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶進行認證。在認證通過之前，802.1x只允許EAPOL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口。認證通過以后，正常的數據可以順利地通過以太網端口。?802.1x協議體系結構包括三個重要的部分：Supplicant?System客戶端、Authenticator?System認證系統、Authentication?Server?System認證服務器（即RADIUS服務器）。

但是由于傳統方式往往需要專線接入來完成，仍然需要較大的投資，不適合中小企業或者特殊場所的部署WLAN網絡覆蓋。?

發明內容

本發明的目的是克服上述背景技術的不足，提供一種WLAN網絡用戶認證方法，該方法應具有投資小、用戶使用便利的特點。

本發明提供的技術方案是：一種可擴展的分布式WLAN網絡用戶認證方法，依次包括以下步驟：

1）按以下方式建立可擴展的網絡用戶認證系統：多個認證網關均通過外網直接與存儲全部用戶信息的用戶管理服務器連接，而無線用戶終端通過無線AP在其中的一個認證網關進入認證流程；

2）用戶管理服務器通過外網IP和端口映射表組織認證網關生成P2P網絡，并由各個認證網關通過彼此之間的TCP長連接組成虛擬統一認證網關。

所述步驟2）中的虛擬統一認證網關的組成方式是：

每一個認證網關在固定時間向用戶管理服務器發送同步TCP報文，用戶管理服務器將每一個認證網關的外部IP和端口記錄至一張映射表中；

用戶管理服務器在收到每一個認證網關的同步TCP報文后發送回執；

每一個認證網關收到回執后，存儲或者更新自身的映射表，然后根據映射表向相應ID的認證網關建立TCP長連接。

所述步驟1）中的認證流程是：

401步驟：當無線用戶終端接入網絡；

402步驟：認證網關向用戶設備發布認證Web頁面；

403步驟：用戶輸入登錄信息；

404步驟：認證網關根據已經同步的用戶信息庫，判斷登錄的權限；

如果認證網關無法查找到正確用戶信息，則進入405步驟：向用戶管理服務器查找用戶登錄權限信息；

如果認證網關得到正確的登錄信息，則進入406步驟：所有認證網關同步這個用戶信息。

如果此次登錄認證還需要擴展登錄方式，則進入407步驟：認證網關向用戶管理服務器提交認證請求；

如果用戶管理服務器認證成功，認證網關收到合法的用戶信息，則進入408步驟：認證網關緩存用戶擴展登錄信息；

如果在405和407?步驟中，用戶管理服務器認證失敗，則進入409步驟：用戶管理服務器向認證網關發送認證失敗信息；

410步驟：認證網關通過認證頁面根據向用戶終端發布認證失敗指令代碼；

411步驟：用戶終端Web頁面根據向用戶提供可視化界面的認證失敗提示。

當任何一個認證網關完成408步驟后，即通過虛擬統一網關中的各個TCP鏈接和其他每一個認證網關同步相關用戶認證信息。

如果某一個或者多個TCP鏈路中斷時，該項用戶認證信息就緩存在用戶管理服務器中；等到相關認證網關向用戶管理服務器發送同步TCP報文時，相關信息即時下傳至認證網關，同時修復虛擬統一認證網關的相應TCP鏈接。

本發明的有益效果是：由于采用了分布式認證網關結構和分集認證的方法，使得網絡用戶認證的功能得到顯著擴展；而且能夠利用直接現有的外網及相關設備（對網絡質量要求不高），投資得以大幅降低（僅為現有網絡用戶認證系統的10-20%），工程安裝和維護也簡單；適應了中小企業的經營需求，以及在特殊場所WLAN網絡的應用需要。

附圖說明

圖1是本發明中的網絡用戶認證系統的構架示意圖。

圖2是本發明中的虛擬統一認證網關的構架示意圖。