一種寬帶網絡接入認證方法

專利名稱：一種寬帶網絡接入認證方法
所屬領域本發明涉及電信運營中寬帶網絡接入領域，更具體地，涉及寬帶網絡接入認證。
背景技術：
目前寬帶用戶接入認證的一種方法是DHCP+Web(DHCPDynamic HostConfiguration Protocol，動態主機配置協議；Web環球網)認證方式。其過程如下首先用戶訪問瀏覽網絡接入服務提供商的Web認證服務器(WAS)，獲取認證網頁，在認證網頁中輸入安全性信息(通常為用戶名、口令)并發給Web認證服務器，由WAS在收到該信息后，按RADIUS協議將其封裝為認證請求數據包發給接入控制器(ACAccess Controler)，AC做為代理將上述認證請求數據包處理后再發送給RADIUS服務器，AC收到RADIUS服務器返回的認證結果，如果認證結果為認證成功，AC在本地對用戶連接進行授權，同時AC向WAS發送認證響應，由WAS通過認證網頁通知客戶端認證結果；采用上述方案能有效解決局域網用戶級節點的網絡接入的認證問題。
在這種方式中，為了讓用戶能了解其網絡登錄狀態并向用戶提供下線功能，用戶電腦上必須存在一個不能關閉的瀏覽器窗口，否則，用戶無法知道自己的網絡狀態，也沒有方法去退出登錄狀態。而用戶往往比較討厭這個不能關掉的瀏覽器窗口。

發明內容
本發明要解決的技術問題是，提出一種能克服現有技術的上述缺點的接入認證方法。
本發明提出的接入用戶認證方法，包括以下步驟1、認證軟件Web安裝，可以包括用戶瀏覽器被AC重定向到Web服務器的軟件安裝頁面；軟件安裝頁面自動為用戶安裝認證軟件或由用戶手動下載安裝認證軟件；2、用戶啟動或自動啟動認證軟件，用戶輸入認證需要的信息；3、認證軟件將認證信息發送給AC；4、AC返回認證結果，如果認證通過，開放權限。
本發明避免了Web認證方式中為給用戶提供下線功能電腦上必須有一個不能關閉的瀏覽器窗口的缺陷。


圖1是本發明應用的系統組網方式示意圖；圖2是本發明的認證流程圖。
具體實施例方式
圖1是本發明應用的系統組網方式示意圖，圖中接入網絡通常是2層交換機，但也可以是其它接入設備，如DSL(Digital Subscriber Line數字用戶線)。
圖2是本發明的流程圖。下面結合圖2對本發明的實施進行詳細說明。
一、認證軟件Web安裝1、用戶瀏覽器被接入控制器(AC)重定向到Web服務器的軟件安裝頁面；1)用戶開機后，由AC通過DHCP協議為其分配一個IP地址，參見圖2中第1、2步；2)AC將用戶訪問權限設置為用戶只能訪問Web服務器；3)當用戶啟動瀏覽器，打開任意一個網站網頁時，AC將頁面重定向到Web服務器的認證軟件(AuthClient)安裝頁面；見圖2中第3、4、5、6步。
重定向方法可以是AC檢查沒有通過認證的用戶電腦發出的所有報文，如果不是HTTP報文，則丟棄。如果發現是HTTP報文，則分析這個報文，并偽造出一個目的服務器的Http應答報文，報文內容則是一個Http重定向包，重定向地址指向Web服務器的AuthClient軟件安裝頁面，用戶的瀏覽器收到這個應答包后，就會打開Web服務器的AuthClient軟件安裝頁面。
2、軟件安裝頁面自動為用戶安裝認證軟件或由用戶手動下載安裝認證軟件AuthClient軟件安裝頁面采用動態網頁技術，如ASP(Active Server Page活動服務頁面)，JSP(Java Server Page，Java服務頁面)，PHP(Hypertext Preprocessor，超文本處理語言)等，檢測用戶電腦的操作系統和瀏覽器種類。
如果發現是Windows操作系統，瀏覽器是IE(Internet Explorer)，Web服務器會將用戶頁面轉到IE專用的AuthClient軟件安裝頁面，這個AuthClient軟件安裝頁面中嵌入一個ActiveX控件(這個控件需要用戶同意運行)，這個控件會檢查用戶是否已經安裝過AuthClient。
如果沒有安裝AuthClient，則這個ActiveX控件自動把AuthClient下載并安裝到用戶電腦上并啟動AuthClient，啟動完畢后，這個ActiveX控件可以通過進程間通訊向AuthClient發送諸如AC的地址，認證端口號等信息，AuthClient將這些信息記錄在注冊表中。見圖2中第7、8步。
如果AuthClient已經安裝了，則這個ActiveX控件直接啟動AuthClient，并同樣將相關參數傳給AuthClient。見圖2中第8步。
如果發現用戶使用的是其它操作系統，則將用戶轉向到一個Java版本的AuthClient安裝頁面，用戶手動下載并運行Java版本的AuthClient。
Java版本的AuthClient可以利用美國Sun公司的Web Start技術來完成安裝與運行。
二、用戶啟動或自動啟動認證軟件，用戶輸入認證需要的信息如果用戶已經安裝了AuthClient，則可以不通過上面的步驟來啟動AuthClient，而是將AuthClient設置為開機運行或直接啟動AuthClient軟件。
用戶在AuthClient軟件登錄界面上輸入用戶名和口令等認證信息，點擊“登錄”按鈕。
三、認證軟件將認證信息發送給ACAuthClient將用戶IP地址、用戶名和口令等認證信息加密后通過IP包發送給AC。見圖2中第9步.
AuthClient和AC的加密方法可以采用挑戰-響應方式，即AuthClient首先向AC請求Chanllege，AC在收到請求Challenge報文的時候隨機生成長度為16個字節隨機數返回給AuthClient，這個隨機數就是Chanllege。
AuthClient用獲得的Chanllege對用戶密碼進行CHAP(CHAPChallenge HandshakeAuthentication Protocol挑戰-握手驗證協議)加密后發給AC，AC將用戶名和口令等認證信息送到Radius Server進行認證，或進行本地認證；四、AC返回認證結果，如果認證通過，開放權限AC將認證結果通知AuthClient。如果認證通過，AC修改用戶的權限，允許用戶可以訪問外部的網絡(如Internet)。見圖2中第10步。
通過認證后的AuthClient可以最小化到用戶電腦任務條上的托盤區(任務條的右部，通常顯示時間)上，用戶需要下線時，打開AuthClient下線界面，將下線請求發給AC，AC收到后通知Radius停止計費，關閉用戶權限。
AuthClient可以啟動一個端口(如1814)來監聽AC發來的報文，AC也啟動端口(如2000)來監聽AuthClient的報文。AuthClient和AC通過定期的報文交換來了解狀態，從而達到比較準確計時。
權利要求
1.一種寬帶網絡接入認證方法，包括以下步驟1.1認證軟件Web安裝；1.2用戶啟動或自動啟動認證軟件，用戶輸入認證需要的信息；1.3認證軟件將認證信息發送給接入控制器；1.4接入控制器返回認證結果，如果認證通過，開放權限。
2.權利要求1所述的寬帶網絡接入認證方法，其特征在于，所述認證軟件Web安裝包括2.1用戶瀏覽器被接入控制器重定向到Web服務器的軟件安裝頁面；2.2軟件安裝頁面自動為用戶安裝認證軟件或由用戶手動下載安裝認證軟件安裝。
3.權利要求2所述的寬帶網絡接入認證方法，其特征在于，所述步驟2.1包括3.1用戶開機后，由接入控制器通過動態主機配置協議為其分配一個IP地址；3.2接入控制器將用戶訪問權限設置為用戶只能訪問Web服務器；3.3當用戶啟動瀏覽器，打開任意一個網站網頁時，接入控制器將頁面重定向到Web服務器的認證軟件安裝頁面。
4.權利要求2或3所述的寬帶網絡接入認證方法，其特征在于，所述重定向方法為接入控制器檢查沒有通過認證的用戶電腦發出的所有報文，如果不是Http報文，則丟棄；如果是Http報文，則分析這個報文，并偽造出一個目的服務器的Http應答報文，報文內容則是一個Http重定向包，重定向地址指向Web服務器的認證軟件安裝頁面，用戶的瀏覽器收到這個應答包后，就會打開Web服務器的認證軟件安裝頁面。
5.權利要求2所述的寬帶網絡接入認證方法，其特征在于，所述步驟2.2包括5.1認證軟件安裝頁面采用動態網頁技術，檢測用戶電腦的操作系統和瀏覽器種類；5.2如果發現是Windows操作系統，瀏覽器是IE，Web服務器將用戶頁面轉到IE專用的認證軟件安裝頁面，這個認證軟件安裝頁面中嵌入一個ActiveX控件，這個控件會檢查用戶是否已經安裝過認證軟件；如果沒有安裝認證軟件，則這個ActiveX控件自動把認證軟件下載并安裝到用戶電腦上并啟動認證軟件，啟動完畢后，這個ActiveX控件可以通過進程間通訊向認證軟件發送諸如接入控制器的地址，認證端口號等信息，認證軟件將這些信息記錄在注冊表中；如果認證軟件已經安裝了，則這個ActiveX控件直接啟動認證軟件，并同樣將相關參數傳給認證軟件；如果發現用戶使用的是其它操作系統，則將用戶轉向到一個Java版本的認證軟件安裝頁面，用戶手動下載并運行Java版本的認證軟件。
6.權利要求1所述的寬帶網絡接入認證方法，其特征在于，所述認證軟件將認證信息發送給接入控制器，是指將用戶IP地址、用戶名和口令等認證信息加密后通過IP包發送給接入控制器。
全文摘要
一種寬帶網絡接入認證方法，用戶認證軟件Web安裝，可以包括用戶瀏覽器被AC重定向到Web服務器的軟件安裝頁面，軟件安裝頁面自動為用戶安裝認證軟件或由用戶手動下載安裝認證軟件；用戶啟動或自動啟動認證軟件，用戶輸入認證需要的信息；認證軟件將認證信息發送給AC；AC返回認證結果，如果認證通過，開放權限。本發明避免了Web認證方式中為給用戶提供下線功能電腦上必須有一個不能關閉的瀏覽器窗口的缺陷。
文檔編號H04L9/32GK1801703SQ200410103248
公開日2006年7月12日 申請日期2004年12月31日 優先權日2004年12月31日
發明者金曉靜, 程瓊 申請人:中興通訊股份有限公司