[发明专利]一种认证方法、系统和DHCP代理服务器

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种认证方法、系统和动态主机配置协议(DHCP)代理服务器。

背景技术

伴随着信息时代的飞速发展，网络安全面临着前所未有的考验。为了保证企业网内部的安全性和可用性，在网络建设上，我们不仅要从企业网外围封堵非法入侵(如：安装防火墙、防病毒软件、各种入侵检测软件等)，而且还要控制企业网内部的终端在接入网络前的合法性和安全性。

目前，针对终端接入网络的安全控制，业界已经出现了多种认证方式，其中，比较成熟的认证方案为IEEE 802.1x和WEB网关方案，下面分别进行描述：

IEEE 802.1X方案

IEEE 802.1X定义了基于端口的网络接入控制协议(Port-based NetworkAccess Control)，该网络接入控制协议是二层标准协议，其根据用户认证成功与否，控制端口的打开或者关闭，具体如图1所示。

参见图1，图1为现有技术中IEEE 802.1X方案示意图。在图1中，IEEE802.1X方案涉及以下三个组成部分：

1、客户端：

该客户端，为额外安装在终端上的软件，其为LAN所连接的一端的实体(entity)，用于触使终端向认证系统(Authenticator)发起认证请求，以便对其身份的合法性进行检验。

2、认证系统：

该认证系统，为LAN连接的一端用于认证客户端的实体，其通常为支持IEEE 802.1X协议的接入设备，用于为客户端提供服务端口。

3、认证服务器(Authentication Server)：

该认证服务器为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的认证请求，来判断该客户端是否有权使用认证系统所提供的网络服务。

基于上述描述，IEEE 802.1X方案具体为：在初始阶段，关闭接入设备为一客户端提供的服务端口，该客户端为特意安装在终端，用于发起认证的客户端，此时，该服务端口仅允许该客户端发送的认证报文通过，如此，安装了该客户端的终端无法被分配到IP地址，进而也无法接入网络；当认证服务器通过认证报文的认证后，打开该服务端口，此时，该服务端口允许所有报文通过。如此，如图1所示，安装了该客户端的终端可通过发送DHCP请求报文给DHCP服务器，以获取IP地址，进而根据该IP地址访问Internet资源。

以上对IEEE 802.1X方案进行了描述。该方案虽然能实现客户端的认证，但是，由于该方案基于二层认证协议，认证策略比较简单，新业务支持能力较弱，以及兼容性差；并且，该方案要求终端额外安装客户端，安装过程复杂，给用户使用带来不方便。

为了解决IEEE 802.1X方案带来的技术问题，现有技术又提出了WEB网关认证方案，该WEB网关认证方案较IEEE 802.1X方案有了一定的改进，即免安装客户端，用户使用起来比较方便，以及该方案大多采用三层协议，能够比较方便的支持新业务，下面对WEB网关认证方案进行描述。

参见图2，图2为现有技术中WEB网关认证方案示意图。在图2中，该WEB网关认证方案涉及以下四个组成部分：

1、认证客户端：

该认证客户端用于访问网络资源，是发起身份认证的源头。

2、接入设备：

该接入设备用于控制认证客户端访问网络资源。在认证客户端发起认证过程中，接入设备收到WEB网关服务器的请求后，与认证服务器进行认证交互。

3、WEB网关服务器：

该WEB网关服务器用于提供WEB身份认证的网页，同时，WEB网关收到认证客户端的认证请求后，与接入设备进行认证交互。

4、认证服务器：

该认证服务器用于提供认证服务。

基于上面描述，WEB网关认证方案具体为：认证客户端发送HTTP请求，接入设备接收到HTTP请求后，将该HTTP请求重定向到WEB网关服务器，WEB网关服务器通过接入设备发送认证请求至认证服务器，当认证服务器通过该认证请求后，接入设备放开对认证客户端的权限控制，如此，认证客户端可访问Internet资源。