基于交换机的网络认证系统及其认证方法

admin管理员组

文章数量:1531448

2024年7月24日发(作者：)

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(21)申请号 CN2.8

(22)申请日 2013.08.07

(71)申请人 华南理工大学

地址 510641 广东省广州市天河区五山路381号

(72)发明人 胡金龙 张凌 许勇 周杰 唐文军 叶昭 王昊翔 陈启愉 高亚军 吴灿荣 覃攸 陈虹

钊

(74)专利代理机构 广州市华学知识产权代理有限公司

代理人 蔡茂略

(51)

H04L29/06

H04L29/12

(10)申请公布号 CN 103428211 A

(43)申请公布日 2013.12.04

权利要求说明书 说明书 幅图

(54)发明名称

基于交换机的网络认证系统及其认

证方法

(57)摘要

本发明公开了一种基于交换机的网

络认证系统，包括安全接入控制交换机、

安全管理服务器、地址分配服务器、Web

接入认证服务器和用户终端；本发明还公

开了一种应用于基于交换机的网络认证系

统的认证方法，包括以下步骤：步骤1：

安全管理服务器进行安全策略配置；步骤

2：用户终端接入网络，安全接入交换机学

习用户终端相关信息；步骤3：机根据用

户终端相关信息和安全策略，安全接入交

换确定用户终端是否需要Web认证上网；

步骤4：如需Web认证，Web认证服务器

对用户进行认证；步骤5：如通过认证，

安全接入交换机允许用户终端上网。具有

可实现网络接入用户的多元素绑定的Web

认证，提升了网络认证安全性，提高了网

络可信度等优点。

法律状态

法律状态公告日

法律状态信息

法律状态

权 利 要 求 说 明 书

1.基于交换机的网络认证系统，包括若干安全接入控制交换机、安全管理

所

服务器、地址分配服务器、Web接入认证服务器和用户终端，其特征在于：

述安全管理服务器通过互联网分别与所述地址分配服务器、所

服务器和所述安全接入控制交换机互联，地址分

器还分别通过互联网与安全接入控

接入网络与用户终端

全接入

述Web接入认证

配服务器和Web接入认证服务

制交换机互联，安全接入控制交换机还通过

相连；安全管理服务器包括依次连接的安全策略模块、安

管理模块和管理控制接口模块；地址分配服务器包括DHCPv4地址分配

模块、DHCPv6地址分配模块、SLAAC地址分配模块、地址分配日志模块

址分配控制代理模块，所述地址分配控制代理模块和地址分配

DHCPv4地址分配模块、DHCPv6地址分配模块

安全接入控制交换机包括接入控制

模块、Web认证模

和接入

和地

日志模块分别与

和SLAAC地址分配模块相连；

代理模块、地址学习模块、多元组关系维护

块、接入控制日志模块和过滤模块，所述接入控制代理模块

控制日志模块同时与地址学习模块、多元组关系维护模块和Web认证模

块相连，所述多元组关系维护模块还与地址学习模块、Web认证模块和过

块相连；Web接入认证服务器包括用户Web认证模块、Web

用户信息数据库模块、交换机接入控制接口模块、

户信息管理接口模块，所述Web

息管理接口模块、用

Web

滤模

认证管理模块、

Web认证控制代理模块和用

认证管理模块与用户Web认证模块、用户信

户信息数据库模块和Web认证控制代理模块相连，用户

认证模块还与用户信息数据库模块和交换机接入控制接口模块相连。

2.按权利1所述基于交换机的网络认证系统，其特征在于：所述安全接入

交

控制交换机的多元组关系维护模块中包括一个多元组关系表，安全接入控制

换机的接入控制代理模块、地址学习模块、和Web认证模块

关系表进行更新、创建和删除等操作，所述多元

包含关系表条目的序号、用户终端

交换机端口、终端

是否加

可以对所述多元组

组关系表是指一个二维数据表，

IPv4地址、用户终端IPv6地址、终端接入

MAC地址、终端所属VLAN号、是否需要Web认证参数、

载到过滤模块和条目有效期这9个数据段。

3.一种应用于权利要求1所述的基于交换机的网络认证系统的认证方法，

步骤1：安全管理服务器按照设置的安全策略，通过控制接口模块对地址

其特征在于，包括以下步骤：

分配服务器、安全接入交换机和接入认证服务器

进行配置；

步骤2：终端接入网络，通过DHCPv4、DHCPv6、SLAAC等互联网协议

配

与地址分配服务器交互，安全接入交换机的地址学习模块侦听终端与地址分

服务器之间的报文，学习地址分配服务器分配给终端的IP地

器认可的IP地址，以及终端的MAC地址和终

址或地址分配服务

端接入的交换机端口；

步骤3：安全接入交换机将地址学习模块学习到的用户终端相关信息发送

给多元组关系维护模块，根据这些信息，和安全策略服务器设置的安全策略，

多元组关系维护模块确定接入终端是否需要Web认证，如果

网则更新多元组关系表的对应条目项，过滤模块

则，允许符合对应PORT、MAC、

无需Web认证上

设置对应的数据报文过滤规

VLAN、IPv4或IPv6的数据报文通过，用 户终端通过交换机上

如果需网，并实现对所有报文的IP、MAC、PORT、VLAN验证；

要Web认证，则执行步骤4；

步骤4：安全接入交换机的Web认证模块拦截对应终端的HTTP请求，并

把该请求重定向到Web认证服务器，Web认证服务器回复终端认证HTTP

终端输入的用户名和密码，Web认证服务器对用户进

则Web认证服务器发送认证通过

系表；如果用户未通

页面，

行认证，如通过用户认证，

信息给安全接入交换机，交换机更新多元组关

过认证，则继续执行步骤4；

步骤5：安全接入交换机检查多元组关系表，通过过滤模块设置对应的数

据报文过滤规则，允许符合对应PORT、MAC、VLAN、IPv4或IPv6的数

文通过，使通过Web认证的用户终端上网，并实现对所有上

PORT、VLAN的绑定过滤。

据报

网报文的IP、MAC、

说 明 书

技术领域

本发明涉及一种网络接入认证技术，特别涉及一种基于交换机的网络认证

背景技术

随着网络用户数量急剧增加，网络管理问题和安全问题日趋严峻，针对园

来

区网的用户多且分散、用户对网络需求各异等特点，传统的接入认证系统越

越难以适应网络规模增大和用户需求多样性的要求，使得传统认证的

突显。

系统及其认证方法。

弊端日益

Web认证是目前运用较广的一种方式，它依托于Web浏览器，通过HTTP以

及HTTPS协议和Web认证服务器进行交互认证。相比于802.1x等传统的

证方式，其优点在于不需要特定的客户端软件，降低运营成本，

值业务。传统的Web认证常常在出口网关设备上实现

使得内网存在安全隐患；而现有基于网络接入设

络接入设备上实现了网络流量的准入控制，

但由于没有对通过Web认证的所

的合法性检查，因而

骗和攻击行为

接入认

同时可提供增

网络流量的准出控制，这

备的Web认证方案，虽然在网

在一定程度上提高了内网的安全性，

有用户数据报文进行的源MAC地址、源IP地址

可能产生虚假地址欺骗及相关网络攻击，并且这类网络欺

难以追踪，使得网络管理人员越来越难以对网络实行有效管理。

发明内容

本发明的首要目的在于克服现有技术的缺点与不足，提供一种基于交换机

的网络认证系统，该系统可以在网络接入层通过Web认证实现接入用户的

多元

素绑定。

本发明的另一目的在于克服现有技术的缺点与不足，提供一种应用于基于

本发明的首要目的通过下述技术方案实现：一种基于交换机的网络认证系

统，包括多个安全接入控制交换机、安全管理服务器、

入认证服务器和用户终端，且安全管理服务器通

接入认证服务器和安全接入控制交换机互

服务器还通过网络与安全接入控制

入网络连接着用户终端。

交换机的网络认证系统的认证方法，该方法有效地提升了网络认证的安全性，

有效地提高了网络的可信度。

地址分配服务器、Web接

过网络与地址分配服务器、Web

联，地址分配服务器和Web接入认证

交换机互联，安全接入控制交换机还通过接

所述安全管理服务器包括依次连接的安全策略模块、安全接入管理模块和

所述地址分配服务器包括DHCPv4地址分配模块、DHCPv6地址分配模块、无

状态地址自动配置（SLAAC）地址分配模块、地址分配日志模块和地址分

代理模块，所述地址分配控制代理模块和地址分配日志模块分

分配模块、DHCPv6地址分配模块和SLAAC地址分配

管理控制接口模块；

配控制

别与DHCPv4地址

模块相连；

所述安全接入控制交换机包括接入控制代理模块、地址学习模块、多元组

关系维护模块、Web认证模块、接入控制日志模块和过滤模块，所述接入

理模块和接入控制日志模块同时与地址学习模块、多元组关系

认证模块相连，所述多元组关系维护模块还与地址学习

滤模块相连；

控制代

维护模块和Web

模块、Web认证模块和过

所述Web接入认证服务器包括用户Web认证模块、Web认证管理模块、用户

信息数据库模块、交换机接入控制接口模块、Web认证控制代理模块和用

管理接口模块，所述Web认证管理模块与用户Web认证模块、

口模块、用户信息数据库模块和Web认证控制代理模

块还与用户信息数据库模块和交换机接入控制接

户信息

用户信息管理接

块相连，用户Web认证模

口模块相连。

本发明的另一目的通过以下技术方案实现：一种应用于基于交换机的网络

步骤1：安全管理服务器按照设置的安全策略，通过控制接口模块对地址

步骤2：终端接入网络，通过DHCPv4、DHCPv6、SLAAC等互联网协议

配

与地址分配服务器交互，安全接入交换机的地址学习模块侦听终端与地址分

服务器之间的报文，学习地址分配服务器分配给终端的IP地址或地

器认可的IP地址，以及终端的MAC地址和终端接入的交换

分配服务器、安全接入交换机和接入认证服务器进行配置；

认证系统的认证方法，包括以下步骤：

址分配服务

机端口；

步骤3：安全接入交换机将地址学习模块学习到的用户终端相关信息（IP、

PORT、MAC、Time、VLAN）发送给多元组关系维护模块，根据这些信息，

和安全策略服务器设置的安全策略，多元

要Web认证，如果无需Web认证

滤模块设置对应的数据报文

IPv4或IPv6的数据

的IP、MAC、

组关系维护模块确定接入终端是否需

上网则更新多元组关系表的对应条目项，过

过滤规则，允许符合对应PORT、MAC、VLAN、

报文通过，用户终端通过交换机上网，并实现对所有报文

PORT、VLAN验证；如果需要Web认证，则执行步骤4；

步骤4：安全接入交换机的Web认证模块拦截对应终端的HTTP请求，并

把该请求重定向到Web认证服务器，Web认证服务器回复终端认证HTTP

终端输入的用户名和密码，Web认证服务器对用户进行认证，

则Web认证服务器发送认证通过信息给安全接入交换

系表；如果用户未通过认证，则继续执行步骤4；

页面，

如通过用户认证，

机，交换机更新多元组关

步骤5：安全接入交换机检查多元组关系表，通过过滤模块设置对应的数

据报文过滤规则，允许符合对应PORT、MAC、VLAN、IPv4或IPv6的数

文通过，使通过Web认证的用户终端上网，并实现对所有上网报文

PORT、VLAN的绑定过滤。

据报

的IP、MAC、

本发明的认证方法具体实行方式如下：

所述安全管理服务器负责网络认证的安全策略管理和接入控制策略设置，

配

并通过控制接口模块对地址分配服务器、接入交换机和接入认证服务器进行

置；地址分配服务器利用DHCPv4地址分配模块、DHCPv6地址分配

SLAAC地址分配模块为接入用户终端分配IPv4和IPv6地址；

换机通过地址学习模块学习得到用户终端的地址相关信

表，结合Web认证，实现对用户数据报文多元

模块学习是指安全接入控制交换机的通过

址分配服务器的交互信息，学习终

地址，以及终端的MAC地

务器负责网络认证的

对地址分配服

利用

模块或

安全接入控制交

息，更新多元组关系

组过滤认证上网；所述地址学习

其地址学习模块侦听用户终端与地

端从地址分配服务器获得或认可的网络IP

址、接入交换机的端口（PORT）；即：安全管理服

安全策略管理和接入控制策略设置，并通过控制接口模块

务器、接入交换机和接入认证服务器进行配置；地址分配服务器

DHCPv4地址分配模块为接入用户终端分配IPv4地址，DHCPv6地址分

配模块或SLAAC地址分配模块为接入用户终端分配IPv6地址；安全接入

交换机通过地址学习模块学习得到用户终端的地址相关信息，更新多

表，结合Web认证，实现对用户数据报文多元组过滤认证上

控制

元组关系

网。

所述更新多元组关系表是指安全接入控制交换机的多元组关系维护模块

根据地址学习模块获得的信息，所述地址学习模块获得

PORT、MAC和VLAN，，根据交换机的安全

应的VLAN信息，以及根据IPv4或IPv6、

和安全策略来判断是否需要进行

为1，否则为0，如Web认

需Web认证且允许

2。所述更新

据地址

的信息为IPv4或IPv6、

策略获得相应PORT和MAC对

PORT、MAC和VLAN这四个元素

WEB认证，如需要Web认证则设置参数Auth

证通过，则设置Action为1，否则为0。其中如无

该终端上网则设置参数Auth为0的同时设置参数Action为

多元组关系表是指安全接入控制交换机的多元组关系维护模块根

学习模块获得的信息（IPv4或IPv6、PORT、MAC、Time）和安全策略

来判断是否需要进行Web认证，如需要Web认证则设置Web认证参数

为1，否则参数Auth为0，如Web认证通过，则设置Action为1，

为0。

Auth

否则Action

所述地址学习模块学习是指安全接入控制交换机的通过其地址学习模块

得

侦听用户终端与地址分配服务器的交互信息，学习终端从地址分配服务器获

或认可的网络IP地址，以及终端的MAC地址，终端所连接的接入

口（PORT），及终端所属VLAN号。 交换机的端

所述多元组关系表是指一个二维数据表，包含关系表条目的序号（Num）、

机

用户终端IPv4地址（IPv4）、用户终端IPv6地址（IPv6）、终端接入交换

端口（PORT）、终端MAC地址（MAC）、终端所属VLAN号

是否需要Web认证参数（Auth）、是否加载到过滤模块（VLAN）、

（Action）、条目有效

期（Time）等9个数据段。

所述安全策略是指安全管理服务器的安全策略模块所产生的，终端接入

网络所需要遵从的安全要求，包括地址分配安全策略、接入控制安全策略和

Web认证安全策略等三类安全策略，其中地址分配安全策略是指对

务器根据MAC地址给终端分配IP地址的安全策略；接入控

全接入交换机根据地址学习模块获得的信息来确定终端

要Web认证，是否无需Web认证且允许终端上

Web认证服务器对用户进行认证所实行

时间间隔等。

地址分配服

制安全策略是指安

接入的策略，如是否需

网等；Web认证安全策略是

的策略，如一次认证成功后再次进行的

所述Web认证是指安全接入控制交换机的Web认证模块根据多元组关系

服

维护模块的Auth参数决定是否将用户的HTTP请求重定向到Web接入认证

务器；Web接入认证服务器的用户Web认证模块利用用户信息数据

用户和密码信息对用户进行认证，

模块对安全接入控制交换机

机的安全控制代理根

维护模块对应

护模块

库模块的

用户通过认证后，通过交换机接入控制接口

发出相应用户的认证通过指令；安全接入控制交换

据Web接入认证服务器的认证通过指令，设置多元组关系

多元组关系表项的Action参数为1，过滤模块根据多元组关系维

多元组关系表的Action参数，加载相应过滤规则（IPv4或IPv6、PORT、

MAC、VLAN）到过滤模块中，安全接入控制交换机的过滤模块对所有的

数据报文的进行验证，只有符合过滤规则的数据报文将通过，并丢弃

报文，其中过滤模块还包含若干缺省过滤规则，缺省允许用户

服务器之间的DHCPv4、DHCPv6和SLAAC报文交互，

器之间的DNS报文交互，以及终端与Web接入

用户

其余数据

终端与地址分配

用户终端与DNS服务

认证服务器之间的报文交互。

本发明的工作原理：

1）安全管理服务器根据安全策略通过控制接口模块对地址分配服务器、

2）用户终端接入网络，通过DHCPv4、DHCPv6、SLAAC等互联网协议

认

从地址分配服务器获取终端IPv4地址、IPv6地址，或选择地址分配服务器

可的IPv6地址，以及获取子网掩码、网关、域名解释服务器地址等

安全接入交换机和Web接入认证服务器进行安全策略的配置。

信息。

安全接入交换机的地址学习模块侦听终端与地址分配服务器之间的数据

配

报文，学习地址分配服务器分配给终端的IPv4地址或IPv6地址，或地址分

服务器认可的IPv6地址，以及终端的MAC地址和终端接入的交换

端所属VLAN号。 机端口，终

3）安全接入交换机将学习到的终端的相关信息（IPv4或IPv6、PORT、

MAC、Time、VLAN）发送给多元组关系维护模块，根据这些信息，和安

略服务器设置的安全策略，多元组关系维护模块确定接入终端是否需

认证，如果无需Web认证上网则更新多元组关系表的对应条

置对应的规则（允许符合IPv4或IPv6、PORT、MAC、

过），用户终端通过交换机上网，并实现对所有报文的

验证；如果需要Web认证，则进行Web认证。

全策

要Web

目项，过滤模块设

VLAN的数据报文通

IP、MAC、PORT、VLAN

4）在Web认证中，安全接入交换机的Web认证模块拦截用户终端的HTTP

证

请求，并把该请求重定向到Web认证服务器，Web认证服务器回复终端认

HTTP页面，终端输入的用户名和密码，通过认证后，Web认证服务

认证信息给交换机，交换机更新多元组关系表，并通过过滤模

据报文过滤规则（允许符合

器发送通过

块设置对应的数

对应IPv4或IPv6、PORT、MAC、VLAN的数据报 文通过），完成对用

PORT、户用户名和密码的认证，同时实现对所有报文的IP、MAC、

VLAN验证。

本发明相对于现有技术具有如下的优点及效果：

1、本发明可以实现网络接入用户的多元素绑定的Web认证，有效提升网络

滤

2、安全管理服务器通过网络对安全接入交换机、地址分配服务器和Web

3、本方案支持DHCPv4、DHCPv6和SLAAC三种动态地址分配方式，同

附图说明

图1是本发明基于交换机的网络认证系统的结构示意图。

图2是图1所示的交换机的内部结构示意图。

图3是图1所示的认证系统工作流程的内部结构示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方

式不限于此。

时支持IPv4和IPv6两种接入网络环境，具有更好的扩展性。

认证服务器的灵活控制，更加适合各种网络接入环境和应用安全需求。

认证的安全性，提高网络的可信度；安全接入控制交换机采用多元组规则过

实现Web认证，提高了接入网络的安全性。

实施例

如图1所示，一种基于交换机的网络认证系统，包括多个安全接入控制交

户

换机、安全管理服务器、地址分配服务器、WEB接入认证服务器和多个用

客户机，安全管理服务器通过互联网与地址分配服务器、Web接入

和安全接入控制交换机互联，地址分配服务器和Web接入认

联网与安全接入控制交换机互联，安全接入控制交换机

用户终端。

认证服务器

证服务器还通过互

还通过接入网络连接着

如图2所示，安全接入控制交换机包括接入控制代理模块、地址学习模块、

多元组关系维护模块、Web认证模块、接入控制日志模块和过滤模块，接

制代理模块和接入控制日志模块同时与地址学习模块、多元组关系维

Web认证模块相连，所述多元组

块和过滤模块相连。

入控

护模块和

关系维护模块还与地址学习模块、Web认证模

如图3所示，基于交换机的网络认证系统的工作流程：

1）安全管理服务器按照设置的安全策略，通过控制接口模块对地址分配

一些安全策略配置的例子：哪些交换机或交换机的哪些接口需要进行接入

认证？确定哪些MAC地址的终端可以获得哪个网段的IP地址？确定哪些

机接口或MAC地址的终端需要进行Web认证等。

服务器、安全接入交换机和Web接入认证服务器进行配置。

交换

2）终端接入网络，通过DHCPv4、DHCPv6、SLAAC等互联网协议与地

址分配服务器交互，获取IPv4和IPv6地址，或选择IPv6地址，以及获取

子网

掩码、网关、域名解释服务器地址等信息。

安全接入交换机的地址学习模块侦听终端与地址分配服务器之间的报文，

器

3）安全接入交换机将学习到的终端的相关信息（IPv4或IPv6、PORT、

MAC、Time）发送给多元组关系维护模块，根据这些信息，和安全策略服

设置的安全策略，多元组关系维护模块确定接入终端是否需要Web

无需要Web认证用户即可上网，则更新多元组关系表，设置

Auth为0，Action为2，并转到步骤5）；如果需要

学习地址分配服务器分配给终端的IPv4地址或IPv6地址，或地址分配服务

认可的IPv6地址，以及终端的MAC地址和终端接入的交换机端口。

务器

认证，如果

对应条目的参数

Web认证，则执行步骤4）。

4）安全接入交换机的Web认证模块拦截对应用户终端的HTTP请求，并把

该请求重定向到Web认证服务器，Web认证服务器回复终端认证HTTP页

终端输入的用户名和密码，如Web认证服务器通过用户认证，则

器发送认证通过信息给安全接入交换机，交换机更新多

面，

Web认证服务

元组关系表，否则4）。

5）安全接入交换机检查多元组关系表，如果参数Action为1或2，则通过

过滤模块设置对应的数据报文过滤规则，允许符合对应IPv4或IPv6、

MAC、VLAN的数据报文通过），实现通过Web认证或无需

终端上网，并实现对所有上网报文的IP、MAC、PORT、

PORT、

Web认证的用户

VLAN的绑定过滤。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实

施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修

饰、 替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护

本文标签： 认证模块接入地址