接入控制方法及系统

1.一种接入控制方法，其特征在于，包括以下步骤：
S1、认证服务器为用户设备分配上网账号，为路由器分配认证账号，为所述路由器生成用户列表，同时为每个用户设备设置上网时间控制策略；
S2、当用户设备向网络发起接入请求时，网络中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对用户设备和路由器进行身份认证，若认证成功，则允许用户设备接入网络，否则拒绝用户设备接入网络；
所述上网账号包括用户名usera和密码passworda，所述认证账号包括路由器的唯一身份标识hid1和共享RADIUS口令hpwd1；
步骤S2具体包括：
S21、当用户设备向网络发起接入请求时，用户设备启动802.1x认证，从用户设备输入唯一身份标识hid1与用户名usera的组合，以及密码passworda；
S22、认证服务器取出唯一身份标识hid1，以验证路由器的共享RADIUS口令hpwd1是否正确，并取出用户名usera，验证密码passworda是否正确，然后验证用户名usera是否在hid1对应的用户列表里，并验证该用户设备的上网时间控制策略是否正确，如果都正确，则允许该用户设备接入网络，否则拒绝该用户设备接入网络。
2.如权利要求1所述的方法，其特征在于，所述上网时间控制策略用于定义用户设备的上网时间段。
3.如权利要求1所述的方法，其特征在于，步骤S2中，所述用户设备为支持802.1x认证的终端设备。
4.如权利要求3所述的方法，其特征在于，所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
5.如权利要求1所述的方法，其特征在于，所述唯一身份标识hid1与用户名usera的组合为hid1\\usera或者usera@hid1。
6.如权利要求1～5中任一项所述的方法，其特征在于，所述网络为互联网，所述认证服务器设置在互联网中。
7.一种接入控制系统，其特征在于，包括：依次连接的用户设备、路由器以及认证服务器，所述认证服务器用于根据所述用户设备的上网账号、所述路由器的认证账号、用户列表以及上网时间控制策略对所述用户设备和路由器进行身份认证，并根据认证结果判断是否允许所述用户设备接入网络；
所述上网账号包括用户名usera和密码passworda，所述认证账号包括路由器的唯一身份标识hid1和共享RADIUS口令hpwd1；
对所述用户设备和路由器进行身份认证，具体包括：
当用户设备向网络发起接入请求时，用户设备启动802.1x认证，从用户设备输入唯一身份标识hid1与用户名usera的组合，以及密码passworda；
认证服务器取出唯一身份标识hid1，以验证路由器的共享RADIUS口令hpwd1是否正确，并取出用户名usera，验证密码passworda是否正确，然后验证用户名usera是否在hid1对应的用户列表里，并验证该用户设备的上网时间控制策略是否正确，如果都正确，则允许该用户设备接入网络，否则拒绝该用户设备接入网络。
8.如权利要求7所述的系统，其特征在于，所述用户设备为支持802.1x认证的终端设备。
9.如权利要求7所述的系统，其特征在于，所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。
10.如权利要求7或8或9所述的系统，其特征在于，所述用户设备为PC、笔记本、平板电脑和智能手机中的一种。

接入控制方法及系统\n技术领域\n[0001] 本发明涉及网络安全技术领域，特别是涉及一种接入控制方法及系统。\n背景技术\n[0002] 现有家庭上网，通过有线路由器或者无线路由器，家庭成员设备的各种设备均都接入上网，但当前使用的接入方式，主要是设置一个共享口令，供家庭成员设备共同使用，由此存在两个主要问题，一个问题是接入认证本身不安全（共享的简单静态口令），面临被蹭网的风险；另外一个问题是没有把家庭成员设备区别开来，每个家庭成员设备输入的共享口令是都是相同的，做不到对单独的家庭成员设备接入上网进行时间控制。如果要实现上述功能，则对设备要求高，因此实现成本高。\n发明内容\n[0003] （一）要解决的技术问题\n[0004] 本发明要解决的技术问题是：如何以极低的成本解决上网的安全接入问题，并对每个用户设备的接入网络时间进行细粒度的灵活控制。\n[0005] （二）技术方案\n[0006] 为了解决上述技术问题，本发明提供一种接入控制方法，包括以下步骤：\n[0007] S1、认证服务器为用户设备分配上网账号，为路由器分配认证账号，为所述路由器生成用户列表，同时为每个用户设备设置上网时间控制策略；\n[0008] S2、当用户设备向网络发起接入请求时，网络中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对用户设备和路由器进行身份认证，若认证成功，则允许用户设备接入网络，否则拒绝用户设备接入网络。\n[0009] 优选地，所述上网账号包括用户名usera和密码passworda，所述认证账号包括路由器的唯一身份标识hid1和共享RADIUS口令hpwd1。\n[0010] 优选地，所述上网时间控制策略用于定义用户设备的上网时间段。\n[0011] 优选地，步骤S2中，所述用户设备为支持802.1x认证的终端设备。\n[0012] 优选地，所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。\n[0013] 优选地，步骤S2具体包括：\n[0014] S21、当用户设备向网络发起接入请求时，用户设备启动802.1x认证，从用户设备输入唯一身份标识hid1与用户名usera的组合以及密码passworda；\n[0015] S22、认证服务器取出唯一身份标识hid1，以验证路由器的共享RADIUS口令hpwd1是否正确，并取出用户名usera，验证密码passworda是否正确，然后验证用户名usera是否在hid1对应的用户列表里，并验证该用户设备的上网时间控制策略是否正确，如果都正确，则允许该用户设备接入网络，否则拒绝该用户设备接入网络。\n[0016] 优选地，所述唯一身份标识hid1与用户名usera的组合为hid1\\usera或者usera@hid1或者其他类似形式。\n[0017] 优选地，所述网络为互联网，所述认证服务器设置在互联网中。\n[0018] 本发明还提供了一种接入控制系统，包括：依次连接的用户设备、路由器以及认证服务器，所述认证服务器用于根据所述用户设备的上网账号、所述路由器的认证账号、用户列表以及上网时间控制策略对所述用户设备和路由器进行身份认证，并根据认证结果判断是否允许所述用户设备接入网络。\n[0019] 优选地，所述用户设备为支持802.1x认证的终端设备。\n[0020] 优选地，所述路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。\n[0021] 优选地，所述用户设备为PC、笔记本、平板电脑和智能手机中的一种。\n[0022] （三）有益效果\n[0023] 上述技术方案具有如下优点：通过将认证服务器部署在互联网中，通过配置路由器（例如家庭路由器）的RADIUS指向认证中心，启用802.1x来完成用户设备（例如家庭成员设备，包括计算机、笔记本、平板、智能手机）的接入认证和时间控制。每个用户设备的帐号都在认证服务器进行管理，每个路由器在认证服务器有唯一的标识和私有的RADIUS共享口令，通过启用802.1x和RADIUS，用户设备接入网络时需要输入用户名附加唯一标识和口令，认证服务器通过路由器唯一标识与其私有的RADIUS共享口令完成对路由器的鉴别，通过用户列表及用户设备的用户名和口令完成对用户的身份认证，然后根据时间控制策略，进一步判断是否允许接入，从而完成所有用户设备的接入认证和时间控制。与现有技术相比，本发明无需额外添加任何控制设备或者装置，也不改变任何网络拓扑，只需要在现在的设备基础上将认证指向互联网上的认证服务器，用户设备也不用安装相应的客户端程序。\n认证服务器支持多个家庭路由器同时使用，完成所有用户设备帐号管理和时间策略管理，完成路由器唯一的标识和私有的RADIUS共享口令管理，从而很好的控制了总体成本。\n附图说明\n[0024] 图1是本发明的方法流程图；\n[0025] 图2是本发明的系统结构示意图。\n具体实施方式\n[0026] 下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。\n[0027] 以下通过家庭上网为例说明本发明的方案，其中，家庭成员设备通过ADSL或者宽带或者其他模式接入互联网。\n[0028] 如图1所示，本发明提供一种接入控制方法，包括以下步骤：\n[0029] S1、认证服务器为家庭成员设备（即用户设备）分配上网账号（每个上网帐号可选择静态口令、动态口令认证或者数字证书认证，比如其上网帐号为usera/passworda），为家庭路由器分配认证账号（或称为私有认证账号），同时为所述家庭路由器生成用户列表（该列表存储在认证服务器中），同时为每个家庭成员设备的上网时间控制策略；在分配所述上网账号和认证账号后，家庭管理员将家庭路由器认证账号中的唯一身份标识告诉家庭成员；所述上网账号包括用户名和密码，所述认证账号包括路由器的唯一身份标识和共享RADIUS口令（也可以称为RADIUS共享口令）；\n[0030] S2、认证服务器部署在互联网，准备就绪。当家庭成员设备向互联网发起接入请求时，互联网中的认证服务器根据所述上网账号、认证账号、用户列表以及上网时间控制策略对家庭成员设备和家庭路由器进行身份认证，若认证成功，则允许家庭成员设备接入网络，否则，返回失败结果给家庭路由器，家庭路由器终止家庭成员设备的网络接入。\n[0031] 本实施例中，所述上网时间控制策略用于定义家庭成员设备的上网时间段，包括每天上网时间段，每周的周几上网，节假日上网时间控制等。\n[0032] 本实施例中，步骤S2中，所述家庭成员设备为支持802.1x认证的终端设备。\n[0033] 本实施例中，所述家庭路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。\n[0034] 本实施例中，认证服务器管理所有用户帐号，包括注册、修改密码、修改帐号、帐号重置等，并为家庭成员设备提供各种认证机制，包括静态口令认证，短信动态口令认证，手机软令牌认证，PC软令牌认证，硬件令牌认证，数字证书认证等。认证服务器还可以配置临时来宾帐号，可以设置来宾帐号的有效期等策略。\n[0035] 本实施例中，步骤S2具体包括：\n[0036] S21、当家庭成员设备向互联网发起接入请求时，家庭成员设备启动802.1x认证，从用户设备输入唯一身份标识hid1与用户名usera的组合（例如hid1\\usera或者usera@hid1或者其他类似形式）以及密码passworda；其中，每个家庭路由器的标识不一样，每个家庭成员设备的帐号也不一样，因此认证服务器可以同时为多个家庭路由器提供接入认证和时间控制服务。\n[0037] S22、家庭路由器与认证服务器通过EAP/PEAP完成具体认证。认证过程中，所述认证服务器取出唯一身份标识hid1，以验证家庭路由器的共享RADIUS口令hpwd1是否正确，并取出用户名usera，验证密码passworda是否正确，然后验证用户名usera是否在hid1对应的用户列表里，并验证该家庭成员设备的上网时间控制策略是否正确，如果都正确，则返回认证成功结果给家庭路由器，允许该家庭成员设备接入互联网，否则返回失败结果给家庭路由器，拒绝该家庭成员设备接入网络。\n[0038] 步骤S22中，通过路由器的唯一身份标识hid1及其共享RADIUS口令hpwd1来完成对家庭路由器的认证，通过家庭成员设备的用户名usera及其密码Password完成对家庭成员设备的认证和时间控制。其中，认证路由器的路由器标识由用户输入，在RADIUS协议中，路由器无法传递路由器的标识（即路由器的用户名），只能根据根据共享口令（RADIUS一般就只能设置一个相同的共享口令）来完成，因此通常情况只能区别是否为合法路由器，而无法区分某个特定路由器，通过用户输入路由器标识以及为每个路由器配置不同的私有共享口令就解决了路由器认证和识别问题。\n[0039] 如图2所示，本发明还提供了一种相应的接入控制系统，包括：依次连接的家庭成员设备、家庭路由器以及认证服务器，所述认证服务器用于根据所述家庭成员设备的上网账号、所述家庭路由器的认证账号、用户列表以及上网时间控制策略对所述家庭成员设备和家庭路由器进行身份认证，并根据认证结果判断是否允许所述家庭成员设备接入网络。\n[0040] 本实施例中，所述家庭成员设备为支持802.1x认证的终端设备。\n[0041] 本实施例中，所述家庭路由器为支持RADIUS认证和802.1x认证的有线路由器或无线路由器。\n[0042] 本实施例中，所述家庭成员设备为PC、笔记本、平板电脑和智能手机中的一种。\n[0043] 由以上实施例可以看出，本发明通过将认证服务器部署在互联网中，通过配置家庭路由器的RADIUS指向认证中心，启用802.1x来完成家庭成员设备的接入认证和时间控制。每个用户设备的帐号都在认证服务器进行管理，每个路由器在认证服务器有唯一的标识和私有的RADIUS共享口令，通过启用802.1x和RADIUS，用户设备接入网络时需要输入用户名附加唯一标识和口令，认证服务器通过路由器唯一标识与其私有的RADIUS共享口令完成对路由器的鉴别，通过用户列表及用户设备的用户名和口令完成对用户的身份认证，然后根据时间控制策略，进一步判断是否允许接入，从而完成所有用户设备的接入认证和时间控制。与现有技术相比，本发明无需额外添加任何控制设备或者装置，也不改变任何网络拓扑，只需要在现在的设备基础上（大多数路由器都内置RADIUS和802.1x支持）将认证指向互联网上的认证服务器，用户设备也不用安装相应的客户端程序（大部分都支持\n802.1x）。认证服务器支持多个家庭路由器同时使用，完成所有用户设备帐号管理和时间策略管理，完成路由器唯一的标识和私有的RADIUS共享口令管理，从而很好的控制了总体成本。\n[0044] 以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本发明的保护范围。