一种宽带城域网实现无感知统一认证的方法

一种宽带城域网实现无感知统一认证的方法

　　技术领域

　　本发明主要涉及城域网相关技术领域，具体是一种宽带城域网实现无感知统一认证的方法。

　　背景技术

　　随着宽带城域网信息化的飞速发展，给员工工作带来便利的同时，也给宽带城域网管理者如何安全有效的管理城域网带来诸多挑战。上网用户如何进行实名管理、用户设备如何进行有效登记、保证网络安全的前提下如何提升用户体验都是管理者直接面临的难道。

　　宽带城域网建设以“顶层设计、统一标准、分步实施”为原则，以“实名认证、集中管理、无线漫游”为目标，以“强中心，弱分支”为思路。通过部署认证系统实现用户准出认证，解决用户实名上网的认证管理要求。随着网络安全法和网络等级保护2.0制度对城域网用户认证和日志管理提出了新的要求，原来的认证系统已不能很好地满足需求，主要体现为用户设备指纹(如MAC地址)无法自动获取、用户无法实现自主管理、有线设备无法管控、用户设备无法无感知使用等。为此，对原有认证系统进行重新设计开发以满足使用需求是本领域技术人员需要解决的一项技术问题。

　　发明内容

　　为解决目前技术的不足，本发明结合现有技术，从实际应用出发，提供一种宽带城域网实现无感知统一认证的方法，采用WEB Portal的认证方式，在不安装C/S端程序的情况下跨三层获取设备指纹信息，同时将设备、帐号、用户、日志等进行关联，最终实现用户无感知认证的优秀体验，适用于教育网、企业园区网等使用。

　　为发明的技术方案如下：

　　一种宽带城域网实现无感知统一认证的方法，该认证方法基于云平台认证系统与网络核心系统联动完成准入授权、基于云平台认证系统与出口设备联动完成准出认证，其中，

　　准入授权方法包括：

　　用户新设备首次进入宽带城域网，由DDI管理对该设备进行准入授权操作，DDI管理分给该设备一个隔离区的IP，在ACL的访问控制限制下，使得该设备只能和DDI管理进行通信；

　　用户通过Web Portal页面向DDI管理提交用户名密码，DDI管理向云平台认证系统进行身份验证，成功后双方将用户相关信息各自写入本地库，完成授权操作；

　　设备授权成功后，DDI管理重新发放正常区IP给用户设备，同时通知云平台认证系统该设备正在进行上线操作，双方将该设备确定为在线状态；

　　准出认证方法包括：

　　在正常授权后的用户设备访问互联网资源时，由出口设备对其做准出认证，用户通过Web Portal页面向出口设备提交用户名密码，出口设备向云平台认证系统进行验证，成功后出口设备从云平台认证系统获得该设备对应的基本信息，双方同时将该设备设为在线。

　　进一步，在设备DHCP租期到期时，若设备没有进行续租，DDI管理将通知云平台认证系统该设备租期到期，双方将该设备确定为离线状态。

　　进一步，用户可以通过云平台认证系统将不再使用的设备进行授权信息删除操作，此时，DDI管理会同步进行删除。

　　进一步，DDI管理提供授权信息和在线信息的同步接口以供云平台认证系统进行同步。

　　进一步，由出口设备记录认证用户的可追溯信息。

　　进一步，出口设备提供在线信息的同步接口以供云平台认证系统进行同步。

　　进一步，认证系统体系之间的通信采用基于Token算法的身份验证机制，具体为：

　　DDI管理和出口设备作为请求方，定期通过用户名密码向云平台认证系统进行身份验证，成功后云平台认证系统将产生一个对应的Token给对方，请求方基于Token可以在有效时间内和云平台认证系统进行通讯，云平台认证系统可以通过Token值确认出通信对象的身份；

　　每次获取到的Token值有固定的有效时间，过期后将会失效，DDI管理和出口设备必须在失效前定时重新获取或失效后第一时间重新获取。

　　进一步，认证系统体系所有系统之间的通信内容进行DES对称加密。

　　进一步，认证系统体系启用通信IP限制，除预设好的成员IP以外，来自其他IP的认证请求将全部被拒绝。

　　进一步，宽带城域网内的设备如果一定的时间内没有访问互联网，认证系统体系将默认用户已暂时离开该设备，出口设备将会对其做离线操作，该设备再次访问互联网将需要重新认证；

　　用户可以通过云平台认证系统对该设备进行无感知设置，设置后的设备进入宽带城域网，DDI管理发放DHCP给该设备上线的同时，云平台认证系统将会通知出口设备自动模拟该用户的上线操作，此后用户设备访问互联网将不再需要进行准出认证。

　　本发明的有益效果：

　　1、本发明实现有线无线一体化统一认证，采用WEB Portal的认证方式，在不安装C/S端程序的情况下跨三层获取设备指纹信息，同时将设备、帐号、用户、日志等进行关联，最终实现用户无感知认证的优秀体验。

　　2、本发明的认证系统将与云平台紧密结合，成为云平台的一个功能模块，用户使用唯一的云平台帐号实现设备注册、认证和管理，能够提升用户使用体验。

　　3、本发明中，用户自主管理功能丰富，个人用户通过系统进行自主设备管理和上网记录查看；管理员可对本地用户进行集中管理和上网行为统计分析；区级管理员可对用户的上线信息、身份分组、权限分组、系统日志、接口账号、统计分析等进行全面管理。

　　4、本发明中，可实现无感知认证，用户设备进入宽带城域网环境，认证系统能自动识别设备的归属用户并进行自动认证，减少用户输入用户名和密码的步骤。

　　附图说明

　　附图1为本发明准入授权流程图；

　　附图2为本发明准出认证流程图。

　　具体实施方式

　　结合附图和具体实施例，对本发明作进一步说明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所限定的范围。

　　如图1、2所示，为本发明提供的宽带城域网实现无感知统一认证的方法相关流程图。

　　本发明采用“三方联动”实现，部署在城域网骨干网络节点。不改变原有网络结构，实现改动最小化，效益最大化。本发明采用云平台认证系统进行用户控制，DDI管理进行准入控制，出口设备进行上网行为准出控制，三方进行有效联动，完成对入网设备、用户信息、上网日志的统一管理。

　　在本发明中，选择采用松耦合的模式发明和设计认证，确定云平台认证系统为关键系统，DDI管理和出口设备相互之间不进行直接通信，这样即可以避免多方交叉通信引起数据同步问题，又可以减少三方开发的人员多方协调，缩短开发时间。

　　本发明的准入授权方法，如图1所示，通过云平台认证系统与网络核心系统联动完成准入授权，准入授权具体包括：

　　(1)用户新设备首次进入宽带城域网，由DDI管理对该设备进行准入授权操作，DDI管理分给该设备一个隔离区的IP，在ACL的访问控制限制下，该设备此时只能和DDI管理进行通信，避免非法接入用户对城域网内其他设备产生影响。

　　(2)用户通过Web Portal页面向DDI管理提交用户名密码，DDI管理向云平台认证系统进行身份验证，成功后双方会将用户标识ID、设备MAC、设备OS、设备类型等信息各自写入本地库，完成授权操作。

　　(3)设备授权成功后，DDI管理会在很短的时间内重新发放正常区IP给用户设备(此后该设备再次入网将直接分配正常区IP，无需重复授权)，同时会通知云平台认证系统该设备正在进行上线操作，双方将该设备确定为在线状态。

　　(4)在设备DHCP租期到期时，若设备没有进行续租，DDI管理将通知云平台认证系统该设备租期到期，双方将该设备确定为离线状态。

　　(5)用户可以通过云平台认证系统将不再使用的设备进行授权信息删除操作，DDI管理会同步进行删除。

　　(6)为预防特殊情况引起的双方信息不同步现象，DDI管理提供授权信息和在线信息的同步接口以供云平台认证系统进行同步。

　　本发明的准出认证方法，如图2所示，通过云平台认证系统与出口设备联动完成准出认证，准入授权具体包括：

　　(1)正常授权后的用户设备访问互联网资源时，出口设备会对其做准出认证，用户同样通过Web Portal页面向出口设备提交用户名密码，出口设备向云平台认证系统进行验证，成功后出口设备从云平台认证系统获得该设备对应的MAC、用户标识ID等基本信息，双方同时将该设备设为在线。本设计有效的解决了出口设备在城域网跨三层结构下无法取得设备真实MAC信息的弊端，实现了出口设备上的用户名、IP、MAC三者相对应。

　　(2)出口设备准确的记录下认证用户的用户ID、用户昵称账号、真实姓名、手机号、终端类型、MAC、上线时间、上网行为等信息，做到可查可追溯。

　　(3)为预防特殊情况引起的双方信息不同步现象，出口设备提供在线信息的同步接口以供云平台认证系统进行同步。

　　对于本发明的安全通信方法：

　　信息安全是宽带城域网建设中的一个重点内容，与用户个人相关的敏感性信息更要特别注意，因此，在本发明中，认证系统体系之间的通信遵循以下几点要求算法。

　　(1)身份验证采用Token算法

　　认证系统体系之间的通信选用了基于Token的身份验证机制，本验证方法目前很多大型网站都在使用，如Facebook，Twitter，Google+，Github等等。DDI管理和出口设备作为请求方，定期通过用户名密码向云平台认证系统进行身份验证，成功后云平台认证系统将产生一个对应的Token给对方，请求方凭借这个Token可以在有效时间内和云平台认证系统进行通讯，云平台认证系统可以通过Token值确认出通信对象的身份。每次获取到的Token值有固定的有效时间，过期后将会失效，DDI管理和出口设备必须在失效前定时重新获取或失效后第一时间重新获取。Token机制大大减少了通讯中用户名密码的验证传递，可以有效的保障用户名密码安全。

　　(2)通信内容加密算法

　　为保障通信内容的安全，防止非法人员抓包分析，认证系统体系所有系统之间的通信内容都会进行DES对称加密，采用了多层混淆的方式使密文的统计特性与密钥的取值之间的关系尽可能复杂化，以使密钥和明文以及密文之间的依赖性对非法人员来说无法利用，有效避免在通信过程中引起的信息泄露。

　　(3)通信主机IP限制算法

　　认证系统体系启用了通信IP限制，除预设好的成员IP以外，来自其他IP的认证请求将全部被拒绝。

　　本发明同时能够实现无感知认证：

　　为避免他人非法使用，保障用户信息安全，宽带城域网内的设备如果一定的时间没有访问互联网，认证系统体系将默认用户已暂时离开该设备，出口设备将会对其做离线操作，该设备再次访问互联网将需要重新认证。但对于用户的私人设备如手机等，正常情况下极少会被他人非法使用，却因为该安全机制经常需要进行重复认证。

　　针对该情况，本发明推出了私人设备无感知认证服务，用户在保证个人设备不会被他人使用的前提下，并愿意为该设备的上网行为负责，可以通过云平台认证系统对该设备进行无感知设置。设置后的设备进入宽带城域网，DDI管理发放DHCP给该设备上线的同时，云平台认证系统将会通知出口设备自动模拟该用户的上线操作，此后用户设备访问互联网将不再需要进行准出认证，达到无感知的认证效果。

　　可见，本发明实现有线无线一体化统一认证，采用WEB Portal的认证方式，在不安装C/S端程序的情况下跨三层获取设备指纹信息，同时将设备、帐号、用户、日志等进行关联，最终可实现用户无感知认证的优秀体验，其适用于教育网、企业园区网等。