[发明专利]一种认证方法和设备

权利要求书

1.一种认证方法，其特征在于，应用于二层接入设备，包括：

从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时，判断所述二层接入设备的端口是否为受限端口；

所述二层接入设备的端口为受限端口时，将所述用户终端的HTTP请求重定向到认证服务器；

将所述认证服务器发送的认证页面发送给所述用户终端，并将所述用户终端返回的内容发送到所述认证服务器；

接收到所述认证服务器发送的认证通过消息时，将所述二层接入设备的端口设置为非受限端口，允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。

2.如权利要求1所述的方法，其特征在于，所述将所述用户终端的HTTP请求重定向到认证服务器包括：

预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器；

获取所述用户终端所属的VLAN，将所述用户终端的HTTP请求重定向到与所述VLAN对应的认证服务器。

3.如权利要求1所述的方法，其特征在于，还包括：所述用户终端返回的内容连续多次未通过所述认证服务器的认证时，将所述二层接入设备的端口设置为休眠状态，拒绝接收到的任何HTTP请求；在二层接入设备的端口处于休眠状态的时间到达预设的时间时，将所述二层接入设备的端口设置为受限状态。

4.如权利要求1所述的方法，其特征在于，还包括：

对于认证通过的所述用户终端，定时检查本地MAC地址表项中是否存在所述用户终端的MAC地址，当不存在时，则将所述二层接入设备的端口设置为受限状态。

5.一种认证方法，其特征在于，应用于二层接入设备，包括：

用户终端通过浏览器发送访问内网或者外网地址的HTTP请求；

二层接入设备通过与所述用户终端连接的处于受限状态的端口接收所述HTTP请求，当HTTP请求中携带的目标地址为域名，则通过域名系统DNS 解析获取所述域名对应的IP地址并继续下一步骤；如果目标地址为IP地址，则直接进行下一步骤；

所述二层接入设备通过传输控制协议TCP仿冒与所述用户终端建立虚假链接，记录所述用户终端的IP、MAC、VLAN、端口、访问地址信息中的一种或多种；

所述二层接入设备将所述用户终端发送的HTTP请求重定向到认证服务功能；

所述认证服务功能向所述二层接入设备返回认证页面，所述二层接入设备将所述认证页面发送给所述用户终端，要求所述用户终端提供合法的身份标识，该身份标识包括用户名和密码；

所述用户终端输入用户名和密码，并提交给所述二层接入设备，所述二层接入设备将所述用户终端发送的内容发送给所述认证服务功能；

所述认证服务功能对所述用户终端的认证通过后通知所述二层接入设备，所述二层接入设备将所述用户终端的所连接的端口设置为非受限状态，正常转发所有报文。

6.一种二层接入设备，其特征在于，包括：

消息交互单元，用于与用户终端和认证服务器交互消息；具体的，从二层接入设备的端口接收用户终端发送的访问外网或内网地址的HTTP请求；将所述认证服务器发送的认证页面发送给所述用户终端，并将所述用户终端返回的内容发送到所述认证服务器；接收所述认证服务器发送的认证通过消息；

端口状态判断单元，用于当所述消息交互单元从二层接入设备的端口接收到用户终端发送的访问外网或内网地址的HTTP请求时，判断所述端口是否为受限端口；

重定向单元，用于当所述端口状态判断单元判断所述二层接入设备的端口为受限端口时，将所述消息交互单元接收到的用户终端的HTTP请求重定向到认证服务器；

端口状态设置单元，用于当所述消息交互单元接收到所述认证服务器发 送的认证通过消息时，将所述二层接入设备的端口设置为非受限端口，允许所述二层接入设备的端口下连接的用户终端访问外网和/或内网地址。

7.如权利要求6所述的二层接入设备，其特征在于，所述重定向单元包括：

配置子单元，用于预先为二层接入设备的端口下的每一VLAN配置相应的认证服务器；

重定向子单元，用于获取所述用户终端所属的VLAN，将所述用户终端的HTTP请求重定向到与所述VLAN对应的认证服务器。