本发明涉及数据通信领域,尤其是一种终端接入控制的方法和服务器。
背景技术:
在医院,政府等内网环境中,为了对终端做安全校验,一般是采用802.1x或者portal认证的方式。该流程无法获取终端资产信息,因此又演化了推送一个web页面,让用户自己输入个人信息,提交后,管理员授权,完成终端上线流程。一个完整的认证流程,一般包括以下步骤:
(一)dhcp过程:
dhcp租约过程就是dhcp终端动态获取ip地址的过程。
dhcp租约过程分为四步:
①终端请求ip地址(终端发dhcpdiscover广播包);
②服务器响应(服务器发dhcpoffer广播包);
③终端选择ip地址(终端发dhcprequest广播包);
④服务器确定租约(服务器发dhcpack/dhcpnak广播包)
(二)portal认证过程
portal认证通常也称为web认证,一般将portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的portal认证网站,输入用户名和密码进行认证,这种开始portal认证的方式称作主动认证。反之,如果用户试图通过http访问其他外网,将被强制访问portal认证网站,从而开始portal认证过程,这种方式称作强制认证。
这种认证方式有账号(用户名和密码),存在较多维护和使用的麻烦;
在医院/政府等内网环境中,逐渐形成了一种简化的认证流程。即在portal认证过程中推送web页面,用户输入个人信息,之后管理员授权后,完成整体上线过程。
现有技术方案中存在以下问题:
需要借助于portal认证流程,该方案部署也较为麻烦,比如需要将网络中所有接入设备设置为nas(网络接入服务器networkattachedserver),逐一配置portal认证功能,不同厂家还有产品型号和软件版本兼容性问题(因为对于portal认证流程,业界没有统一的标准)。
技术实现要素:
为了解决上述技术问题,本发明的实施例采用如下技术方案:
一种终端接入控制的方法,应用于包含dns服务模块和dhcp服务模块的服务器中,包括:
接收终端发送的第一dhcp地址分配请求,
根据所述第一dhcp地址分配请求给所述终端分配第一ip地址,所述第一ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的黑名单中;为所述第一ip地址设置第一租约;
将所述第一ip地址和所述服务器的ip地址发送给所述终端,以便于所述终端在所述第一租约内以所述第一ip地址为源ip地址,以所述服务器的ip地址为目的ip地址向所述服务器发送dns解析请求;
接收所述dns解析请求,当所述第一ip地址在预设的地址池中时,向所述终端发送认证信息输入页面,以便于所述终端通过所述页面输入并向所述服务器提交第一认证信息;
接收所述第一认证信息并确认所述第一认证信息的合法性;
当所述第一认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与所述dhcp服务模块分配的第二ip地址进行绑定;
接收所述终端在所述第一租约结束后发送的第二dhcp地址分配请求,根据所述第二dhcp地址分配请求中的mac地址查询对应的所述第二ip地址;
将所述第二ip地址发送给所述终端,以便于所述终端根据所述第二ip地址接入网络。
可选的,所述第一认证信息包括:登录所述终端的用户的身份信息。
可选的,所述方法还包括:
获取第二认证信息,所述第二认证信息包括:所述终端的标识和/或所述终端的位置信息;
所述确认所述第一认证信息的合法性的步骤具体包括:
确认所述第一认证信息和所述第二认证信息的合法性;
所述当所述第一认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与第二ip地址进行绑定的步骤具体包括:
当所述第一认证信息和所述第二认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与第二ip地址进行绑定。
可选的,所述第二ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的白名单中。
可选的,所述方法还包括,对所述第二ip地址设置第二租约,所述第二租约大于所述第一租约。
本发明实施例的另一方面在于还提供一种终端接入控制的服务器,包括:
第一接收模块,用于接收终端发送的第一dhcp地址分配请求,
地址分配模块,用于根据所述第一dhcp地址分配请求给所述终端分配第一ip地址,所述第一ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的黑名单中;
设置模块,用于为所述第一ip地址设置第一租约;
第一发送模块,用于将所述第一ip地址和所述服务器的ip地址发送给所述终端,以便于所述终端在所述第一租约内以所述第一ip地址为源ip地址,以所述服务器的ip地址为目的ip地址向所述服务器发送dns解析请求;
第二接收模块,用于接收所述dns解析请求,
第二发送模块,用于当所述第一ip地址在预设的地址池中时,向所述终端发送认证信息输入页面,以便于所述终端通过所述页面输入并向所述服务器提交第一认证信息;
认证信息获取模块,用于接收所述第一认证信息;
认证模块,用于确认所述第一认证信息的合法性;
绑定模块,用于当所述第一认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与地址分配模块分配的第二ip地址进行绑定;
第一接收模块,还用于接收所述终端在所述第一租约结束后发送的第二dhcp地址分配请求,
查询模块,用于根据所述第二dhcp地址分配请求中的mac地址查询对应的所述第二ip地址;
所述第一发送模块,还用于将所述第二ip地址发送给所述终端,以便于所述终端根据所述第二ip地址接入网络。
可选的,所述第一认证信息包括:登录所述终端的用户的身份信息。
可选的,
所述认证信息获取模块还用于,获取第二认证信息,所述第二认证信息包括:所述终端的标识和/或所述终端的位置信息;
所述认证模块具体用于:
确认所述第一认证信息和所述第二认证信息的合法性;
所述绑定模块具体用于:
当所述第一认证信息和所述第二认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与第二ip地址进行绑定。
可选的,所述第二ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的白名单中。
可选的,所述设置模块,还用于对所述第二ip地址设置第二租约,所述第二租约大于所述第一租约。
本发明实施例的有益效果在于:解决了传统利用portal认证采集用户自然信息时部署复杂的问题,避免了接入网络设备配置的麻烦和各种接入网络设备兼容性问题,整个方案具有良好的适配性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的一种方法流程图;
图2为本发明实施例的一种方法流程图;
图3为本发明实施例的一种装置结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一实施例提供一种终端接入控制的方法,应用于包含dns服务模块和dhcp服务模块的服务器中,如图1所示,包括:
s101,接收终端发送的第一dhcp地址分配请求,
s103,根据所述第一dhcp地址分配请求给所述终端分配第一ip地址,所述第一ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的黑名单中;
其中,在步骤s101和s103中,未被授权过的新终端通过dhcp过程动态获取ip地址,此时,服务器区的dhcp服务模块判断该终端第一次上线(通过查找dhcp内部数据库),根据dhcp地址分配请求报文中携带的giaddr参数查找对应的地址池,找到后,再进一步确认该地址池配置的临时网段,此时给该终端分配未被使用的临时ip地址,即第一ip地址;
s105,为所述第一ip地址设置第一租约;可选的,第一租约的默认临时租期5分钟(该参数可以设置);
s107,将所述第一ip地址和所述服务器的ip地址发送给所述终端,以便于所述终端在所述第一租约内以所述第一ip地址为源ip地址,以所述服务器的ip地址为目的ip地址向所述服务器发送dns解析请求;
其中,该终端发起任何http页面访问,都会触发dns查询报文,报文会通过路由转发给所述服务器;
s109,接收所述dns解析请求,
s111,当所述第一ip地址在预设的地址池中时,向所述终端发送认证信息输入页面,以便于所述终端通过所述页面输入并向所述服务器提交第一认证信息;
其中,服务器查看dns解析请求报文的源ip地址,如果能够匹配预先配置的源ip网段(临时ip地址段),则向终端推送预先定义的http页面。让终端用户输入姓名,职务,邮箱,电话,部门等信息。
s113,接收所述第一认证信息;
s115,确认所述第一认证信息的合法性;
其中,终端用户在5分钟内提交第一认证信息,则该第一认证信息会出现在服务器对应的“新用户授权”界面;如果超过5分钟未完成提交,则重新走步骤s101;如果第一认证信息已经提交,但管理员还未确认所述第一认证信息的合法性,则dns服务模块会推送用户提交的回显信息给用户,并告知用户请等候管理员审核或者联系管理员;
s117,当所述第一认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与所述dhcp服务模块分配的第二ip地址进行绑定;
其中,如果管理员确认所述第一认证信息合法,则会从合法ip段选择空闲ip地址,即第二ip地址,分配给该终端;
s119,接收所述终端在所述第一租约结束后发送的第二dhcp地址分配请求,
s121,根据所述第二dhcp地址分配请求中的mac地址查询对应的所述第二ip地址;
s123,将所述第二ip地址发送给所述终端,以便于所述终端根据所述第二ip地址接入网络。
本发明实施例的有益效果在于:解决了传统利用portal认证采集用户自然信息时部署复杂的问题,避免了接入网络设备配置的麻烦和各种接入网络设备兼容性问题,整个方案具有良好的适配性。
可选的,基于本发明第一实施例,本发明第二实施例中,所述第一认证信息包括:登录所述终端的用户的身份信息。
可选的,基于本发明第一实施例或第二实施例,本发明第三实施例如图2所示,所述方法还包括:
s1011,获取第二认证信息,所述第二认证信息包括:所述终端的标识和/或所述终端的位置信息;其中,可以从所述第一dhcp地址分配请求中获取第二认证信息;在其他实施例中,步骤s1011可以在步骤s101与步骤s117之间的任何步骤进行,这里不一一赘述。
所述步骤s115具体包括:
确认所述第一认证信息和所述第二认证信息的合法性;
所述步骤s117具体包括:
当所述第一认证信息和所述第二认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与第二ip地址进行绑定。
可选的,基于本发明第一实施例,本发明第四实施例中,所述第二ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的白名单中。
可选的,基于本发明第一实施例,本发明第五实施例中,所述方法还包括:对所述第二ip地址设置第二租约,所述第二租约大于所述第一租约。
本发明实施例的另一方面在于还提供一种终端接入控制的服务器,本发明第六实施例如图3所示,包括:
第一接收模块201,用于接收终端发送的第一dhcp地址分配请求,
地址分配模块203,用于根据所述第一dhcp地址分配请求给所述终端分配第一ip地址,所述第一ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的黑名单中;
设置模块205,用于为所述第一ip地址设置第一租约;
第一发送模块207,用于将所述第一ip地址和所述服务器的ip地址发送给所述终端,以便于所述终端在所述第一租约内以所述第一ip地址为源ip地址,以所述服务器的ip地址为目的ip地址向所述服务器发送dns解析请求;
第二接收模块209,用于接收所述dns解析请求,
第二发送模块211,用于当所述第一ip地址在预设的地址池中时,向所述终端发送认证信息输入页面,以便于所述终端通过所述页面输入并向所述服务器提交第一认证信息;
认证信息获取模块213,用于接收所述第一认证信息;
认证模块215,用于确认所述第一认证信息的合法性;
绑定模块217,用于当所述第一认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与地址分配模块203分配的第二ip地址进行绑定;
第一接收模块201,还用于接收所述终端在所述第一租约结束后发送的第二dhcp地址分配请求,
查询模块219,用于根据所述第二dhcp地址分配请求中的mac地址查询对应的所述第二ip地址;
所述第一发送模块207,还用于将所述第二ip地址发送给所述终端,以便于所述终端根据所述第二ip地址接入网络。
可选的,基于本发明第六实施例,本发明第七实施例中,所述第一认证信息包括:登录所述终端的用户的身份信息。
可选的,基于本发明第六实施例和第七实施例,本发明第八实施例中,
所述认证信息获取模块213还用于,获取第二认证信息,所述第二认证信息包括:所述终端的标识和/或所述终端的位置信息;
所述认证模块215具体用于:
确认所述第一认证信息和所述第二认证信息的合法性;
所述绑定模块217具体用于:
当所述第一认证信息和所述第二认证信息合法时,将所述第一dhcp地址分配请求中的mac地址与第二ip地址进行绑定。
可选的,基于本发明第六实施例,本发明第九实施例中,所述第二ip地址在与所述服务器处于同一网络的网关设备上的访问外部网络的白名单中。
可选的,基于本发明第六实施例,本发明第十实施例中,所述设置模块205,还用于对所述第二ip地址设置第二租约,所述第二租约大于所述第一租约。
本发明实施例的有益效果在于:解决了传统利用portal认证采集用户自然信息时部署复杂的问题,避免了接入网络设备配置的麻烦和各种接入网络设备兼容性问题,整个方案具有良好的适配性。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。