一种宽带网络接入认证方法

1.一种宽带网络接入认证方法，包括以下步骤：
1.1用户浏览器被接入控制器重定向到Web服务器的软件安装页面；若软件安装页面判断到已安装过认证软件则自动启动所述认证软件；若未安装过则软件安装页面自动为用户安装认证软件或由用户手动下载安装认证软件；
1.2用户在所述认证软件中输入认证需要的信息；
1.3认证软件将认证信息发送给接入控制器；
1.4接入控制器返回认证结果，如果认证通过，开放权限；
1.5当认证通过时，所述认证软件最小化到用户电脑任务条上的托盘区，用户需要下线时通过托盘区重新打开所述认证软件，通过所述认证软件向接入控制器发送下线请求。
2.权利要求1所述的宽带网络接入认证方法，其特征在于，所述步骤1.1包括：
2.1用户开机后，由接入控制器通过动态主机配置协议为其分配一个IP地址；
2.2接入控制器将用户访问权限设置为用户只能访问Web服务器；
2.3当用户启动浏览器，打开任意一个网站网页时，接入控制器将页面重定向到Web服务器的认证软件安装页面。
3.权利要求1或2所述的宽带网络接入认证方法，其特征在于，所述重定向方法为：接入控制器检查没有通过认证的用户电脑发出的所有报文，如果不是Http报文，则丢弃；如果是Http报文，则分析这个报文，并伪造出一个目的服务器的Http应答报文，报文内容则是一个Http重定向包，重定向地址指向Web服务器的认证软件安装页面，用户的浏览器收到这个应答包后，就会打开Web服务器的认证软件安装页面。
4.权利要求1所述的宽带网络接入认证方法，其特征在于，所述步骤1.1包括：
4.1认证软件安装页面采用动态网页技术，检测用户电脑的操作系统和浏览器种类；
4.2如果发现是Windows操作系统，浏览器是IE，Web服务器将用户页面转到IE专用的认证软件安装页面，这个认证软件安装页面中嵌入一个ActiveX控件，这个控件会检查用户是否已经安装过认证软件；如果没有安装认证软件，则这个ActiveX控件自动把认证软件下载并安装到用户电脑上并启动认证软件，启动完毕后，这个ActiveX控件可以通过进程间通讯向认证软件发送接入控制器的地址、认证端口号，认证软件将这些信息记录在注册表中；如果认证软件已经安装了，则这个ActiveX控件直接启动认证软件，并同样将相关参数传给认证软件；如果发现用户使用的是其它操作系统，则将用户转向到一个Java版本的认证软件安装页面，用户手动下载并运行Java版本的认证软件。
5.权利要求1所述的宽带网络接入认证方法，其特征在于，所述认证软件将认证信息发送给接入控制器，是指将用户IP地址、用户名和口令加密后通过IP包发送给接入控制器。

一种宽带网络接入认证方法\n[0001] 所属领域\n[0002] 本发明涉及电信运营中宽带网络接入领域，更具体地，涉及宽带网络接入认证。\n背景技术\n[0003] 目 前 宽 带 用 户 接 入 认 证 的 一 种 方 法 是DHCP+Web(DHCP：Dynamic HostConfiguration Protocol，动态主机配置协议；Web：环球网)认证方式。其过程如下：\n首先用户访问浏览网络接入服务提供商的Web认证服务器(WAS)，获取认证网页，在认证网页中输入安全性信息(通常为用户名、口令)并发给Web认证服务器，由WAS在收到该信息后，按RADIUS协议将其封装为认证请求数据包发给接入控制器(AC：Access Controler)，AC做为代理将上述认证请求数据包处理后再发送给RADIUS服务器，AC收到RADIUS服务器返回的认证结果，如果认证结果为认证成功，AC在本地对用户连接进行授权，同时AC向WAS发送认证响应，由WAS通过认证网页通知客户端认证结果；采用上述方案能有效解决局域网用户级节点的网络接入的认证问题。\n[0004] 在这种方式中，为了让用户能了解其网络登录状态并向用户提供下线功能，用户电脑上必须存在一个不能关闭的浏览器窗口，否则，用户无法知道自己的网络状态，也没有方法去退出登录状态。而用户往往比较讨厌这个不能关掉的浏览器窗口。\n发明内容\n[0005] 本发明要解决的技术问题是，提出一种能克服现有技术的上述缺点的接入认证方法。\n[0006] 本发明提出的接入用户认证方法，包括以下步骤\n[0007] 1、认证软件Web安装，可以包括：\n[0008] 用户浏览器被AC重定向到Web服务器的软件安装页面；\n[0009] 软件安装页面自动为用户安装认证软件或由用户手动下载安装认证软件；\n[0010] 2、用户启动或自动启动认证软件，用户输入认证需要的信息；\n[0011] 3、认证软件将认证信息发送给AC；\n[0012] 4、AC返回认证结果，如果认证通过，开放权限。\n[0013] 本发明避免了Web认证方式中为给用户提供下线功能电脑上必须有一个不能关闭的浏览器窗口的缺陷。\n附图说明\n[0014] 图1是本发明应用的系统组网方式示意图；\n[0015] 图2是本发明的认证流程图。\n具体实施方式\n[0016] 图1是本发明应用的系统组网方式示意图，图中接入网络通常是2层交换机，但也可以是其它接入设备，如DSL(Digital Subscriber Line数字用户线)。\n[0017] 图2是本发明的流程图。下面结合图2对本发明的实施进行详细说明。\n[0018] 一、认证软件Web安装\n[0019] 1、用户浏览器被接入控制器(AC)重定向到Web服务器的软件安装页面；\n[0020] 1)用户开机后，由AC通过DHCP协议为其分配一个IP地址，参见图2中第1、2步；\n[0021] 2)AC将用户访问权限设置为用户只能访问Web服务器；\n[0022] 3)当用户启动浏览器，打开任意一个网站网页时，AC将页面重定向到Web服务器的认证软件(AuthClient)安装页面；见图2中第3、4、5、6步。\n[0023] 重定向方法可以是：AC检查没有通过认证的用户电脑发出的所有报文，如果不是HTTP报文，则丢弃。如果发现是HTTP报文，则分析这个报文，并伪造出一个目的服务器的Http应答报文，报文内容则是一个Http重定向包，重定向地址指向Web服务器的AuthClient软件安装页面，用户的浏览器收到这个应答包后，就会打开Web服务器的AuthClient软件安装页面。\n[0024] 2、软件安装页面自动为用户安装认证软件或由用户手动下载安装认证软件[0025] AuthClient软件安装页面采用动态网页技术，如ASP(Active Server Page活动服务页面)，JSP(Java Server Page，Java服务页面)，PHP(Hypertext Preprocessor，超文本处理语言)等，检测用户电脑的操作系统和浏览器种类。\n[0026] 如果发现是Windows操作系统，浏览器是IE(Internet Explorer)，Web服务器会将用户页面转到IE专用的AuthClient软件安装页面，这个AuthClient软件安装页面中嵌入一个ActiveX控件(这个控件需要用户同意运行)，这个控件会检查用户是否已经安装过AuthClient。\n[0027] 如果没有安装AuthClient，则这个ActiveX控件自动把AuthClient下载并安装到用户电脑上并启动AuthClient，启动完毕后，这个ActiveX控件可以通过进程间通讯向AuthClient发送诸如AC的地址，认证端口号等信息，AuthClient将这些信息记录在注册表中。见图2中第7、8步。\n[0028] 如果AuthClient已经安装了，则这个ActiveX控件直接启动AuthClient，并同样将相关参数传给AuthClient。见图2中第8步。\n[0029] 如果发现用户使用的是其它操作系统，则将用户转向到一个Java版本的AuthClient安装页面，用户手动下载并运行Java版本的AuthClient。\n[0030] Java版本的AuthClient可以利用美国Sun公司的Web Start技术来完成安装与运行。\n[0031] 二、用户启动或自动启动认证软件，用户输入认证需要的信息\n[0032] 如果用户已经安装了AuthClient，则可以不通过上面的步骤来启动AuthClient，而是将AuthClient设置为开机运行或直接启动AuthClient软件。\n[0033] 用户在AuthClient软件登录界面上输入用户名和口令等认证信息，点击“登录”按钮。\n[0034] 三、认证软件将认证信息发送给AC\n[0035] AuthClient将用户IP地址、用户名和口令等认证信息加密后通过IP包发送给AC。见图2中第9步.\n[0036] AuthClient和AC的加密方法可以采用挑战-响应方式，即AuthClient首先向AC请求Chanllege，AC在收到请求Challenge报文的时候随机生成长度为16个字节随机数返回给AuthClient，这个随机数就是Chanllege。\n[0037] AuthClient用获得 的Chanllege对用 户密码 进行CHAP(CHAP：Challenge HandshakeAuthentication Protocol挑战-握手验证协议)加密后发给AC，AC将用户名和口令等认证信息送到Radius Server进行认证，或进行本地认证；\n[0038] 四、AC返回认证结果，如果认证通过，开放权限\n[0039] AC将认证结果通知AuthClient。如果认证通过，AC修改用户的权限，允许用户可以访问外部的网络(如Internet)。见图2中第10步。\n[0040] 通过认证后的AuthClient可以最小化到用户电脑任务条上的托盘区(任务条的右部，通常显示时间)上，用户需要下线时，打开AuthClient下线界面，将下线请求发给AC，AC收到后通知Radius停止计费，关闭用户权限。\n[0041] AuthClient可以启动一个端口(如1814)来监听AC发来的报文，AC也启动端口(如2000)来监听AuthClient的报文。AuthClient和AC通过定期的报文交换来了解状态，从而达到比较准确计时。