專利名稱：：一種二次認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及802.1x協(xié)議的認(rèn)證和WebPortal認(rèn)證技術(shù)，特別是涉及當(dāng)管理者需要根據(jù)用戶的訪問權(quán)限進(jìn)行限制，認(rèn)證服務(wù)器需要區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)時，以便認(rèn)證服務(wù)器采取內(nèi)外網(wǎng)不同的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)的一種二次認(rèn)證方法及系統(tǒng)。
背景技術(shù)：
：校園網(wǎng)和企業(yè)網(wǎng)可以通過802.1x和WebPortal等多種方式進(jìn)行用戶認(rèn)證，但如果只進(jìn)行一種認(rèn)證很難區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)；這樣認(rèn)證計(jì)費(fèi)服務(wù)器就很難根據(jù)用戶的內(nèi)外網(wǎng)分別計(jì)費(fèi)的需求進(jìn)行計(jì)費(fèi)。目前802.1X用戶認(rèn)證成功的消息流程圖，如圖2所示，包括如下詳細(xì)步步驟201，客戶端向接入設(shè)備發(fā)送一EAPoL開始報(bào)文，開始802.1x認(rèn)證接入；步驟202，接入設(shè)備向客戶端發(fā)送EAPIdentity身份請求報(bào)文，要求客戶端將用戶名送上來；步驟203，客戶端回應(yīng)一EAPIdentity身份應(yīng)答報(bào)文給接入設(shè)備的請求，其中包括用戶名；步驟204，接入設(shè)備將EAPIdentity身份應(yīng)答報(bào)文封裝到遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(RADIUS)接入請求報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；步驟205，認(rèn)證服務(wù)器產(chǎn)生質(zhì)詢報(bào)文并將其發(fā)送到接入設(shè)備；步驟206，接入設(shè)備通過EAP請求報(bào)文將RADIUS接入MD5Challenge質(zhì)詢報(bào)文發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；步驟207，客戶端收到EAPMD5Challenge質(zhì)詢請求報(bào)文后，將用戶的密碼和質(zhì)詢報(bào)文做加密算法處理后的質(zhì)詢密碼，以EAP應(yīng)答報(bào)文回應(yīng)給接入設(shè)備；步驟208，接入設(shè)備將質(zhì)詢報(bào)文、質(zhì)詢密碼和用戶名一起發(fā)送到認(rèn)證服務(wù)器，由認(rèn)證服務(wù)器進(jìn)行認(rèn)證步驟209，若認(rèn)證成功，認(rèn)證服務(wù)器回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備；步驟210，接入設(shè)備向客戶端發(fā)送EAPOL-Success成功報(bào)文，連通受控端口，網(wǎng)絡(luò)認(rèn)證流程結(jié)束。Portal認(rèn)證過程的消息流程圖，如圖1所示，以用戶上線Chap認(rèn)證流程為例，具體流程如下-1.用戶訪問網(wǎng)站，經(jīng)過接入認(rèn)證設(shè)備重定向到Web認(rèn)證服務(wù)器，Web認(rèn)證服務(wù)器推送認(rèn)證頁面；2.用戶填入用戶名、密碼，提交頁面，向Web認(rèn)證服務(wù)器發(fā)起連接請求；3.Web認(rèn)證服務(wù)器向接入認(rèn)證設(shè)備請求Challenge;4.接入認(rèn)證設(shè)備分配Challenge給Web認(rèn)證服務(wù)器；5.Web認(rèn)證服務(wù)器向接入認(rèn)證設(shè)備發(fā)起認(rèn)證請求；6.而后接入認(rèn)證設(shè)備進(jìn)行RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；7.接入認(rèn)證設(shè)備向Web認(rèn)證服務(wù)器送認(rèn)證結(jié)果；8.Web認(rèn)證服務(wù)器將認(rèn)證結(jié)果填入頁面，和門戶網(wǎng)站一起推送給客戶；9.Web認(rèn)證服務(wù)器回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文。
發(fā)明內(nèi)容為了解決上述問題，本發(fā)明提供了一種二次認(rèn)證方法及系統(tǒng)，其目的在于，提供一種可以區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)的方法及系統(tǒng)，用戶根據(jù)訪問資源的需要進(jìn)行相應(yīng)的認(rèn)證方法，即給用戶提供可以選擇二次認(rèn)證的模式。本發(fā)明提供了一種二次認(rèn)證方法，具有以下步驟用戶上線時，先進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用內(nèi)部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)；用戶下線時，先進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用外部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。所述內(nèi)部網(wǎng)絡(luò)認(rèn)證通過S02.1x的方式進(jìn)行認(rèn)證，所述外部網(wǎng)絡(luò)認(rèn)證通過WebPortal的方式進(jìn)行認(rèn)證。用戶上線時，還包括具體如下步驟步驟31、認(rèn)證服務(wù)器回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備，并將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中；步驟32、接入設(shè)備向客戶端發(fā)送EAPOL-Success成功報(bào)文，將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中，連通受控端口，運(yùn)行客戶端訪問內(nèi)部網(wǎng)絡(luò)資源，內(nèi)部網(wǎng)絡(luò)認(rèn)證結(jié)束。用戶上線時，所述外部網(wǎng)絡(luò)認(rèn)證包括如下具體步驟步驟41、二次認(rèn)證客戶端根據(jù)802.1x返回的Portal認(rèn)證通用資源定位符和端口信息，通過遠(yuǎn)程登錄、超文本傳輸協(xié)議或安全超文本傳輸協(xié)議方式訪問Web認(rèn)證服務(wù)器以獲取認(rèn)證頁面；步驟42、Web認(rèn)證服務(wù)器的Portal認(rèn)證頁面請求用戶的用戶名和密碼等用戶標(biāo)識信息；步驟43、二次認(rèn)證客戶端將802.1x認(rèn)證時保存的用戶名和密碼等用戶標(biāo)識信息，通過遠(yuǎn)程登錄、超文本傳輸協(xié)議或安全超文本傳輸協(xié)議方式發(fā)送到Web認(rèn)證服務(wù)器，以等待Web認(rèn)證服務(wù)器的認(rèn)證；步驟44、Web認(rèn)證服務(wù)器向外網(wǎng)認(rèn)證設(shè)備發(fā)起請求認(rèn)證，然后等待外網(wǎng)認(rèn)證設(shè)備與驗(yàn)證、授權(quán)、計(jì)費(fèi)(AAA)認(rèn)證服務(wù)器完成Radius交互過程；步驟45、外網(wǎng)認(rèn)證設(shè)備通過與認(rèn)證服務(wù)器的交互，向Web認(rèn)證服務(wù)器返回認(rèn)證結(jié)果；步驟46、Web認(rèn)證服務(wù)器將認(rèn)證結(jié)果返回到二次認(rèn)證客戶端，所述外部網(wǎng)絡(luò)認(rèn)證結(jié)束。當(dāng)EAPoL包所傳送的包類型是EAP-Packet時，對EAPoL包進(jìn)行擴(kuò)展，具體步驟是將EAPoL包的包數(shù)據(jù)部分進(jìn)一步分為編碼域、標(biāo)識符域、數(shù)據(jù)長度域和數(shù)據(jù)域四個部分。所述編碼域表征所傳送的EAP-Packet的報(bào)文類型是EAP-Request、EAP-Response、EAP-Success或EAP-Failure;所述標(biāo)識符域用于輔助應(yīng)答報(bào)文匹配對應(yīng)請求報(bào)文的域；所述數(shù)據(jù)長度域?yàn)榘幋a域、標(biāo)識符域、數(shù)據(jù)長度域和數(shù)據(jù)域的數(shù)據(jù)長度；所述數(shù)據(jù)域用于發(fā)送Portal認(rèn)證的頁面和端口信息。本發(fā)明提供了一種二次認(rèn)證系統(tǒng)，包括個人電腦、內(nèi)網(wǎng)接入認(rèn)證設(shè)備、外網(wǎng)接入認(rèn)證設(shè)備、因特網(wǎng)、Web認(rèn)證服務(wù)器和驗(yàn)證、授權(quán)、計(jì)費(fèi)認(rèn)證服務(wù)器，所述個人電腦與所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備連接，用于對用戶進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證；所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備與所述外網(wǎng)接入認(rèn)證設(shè)備連接，用于接收外部網(wǎng)絡(luò)認(rèn)證請求和返回外部網(wǎng)絡(luò)認(rèn)證結(jié)果；所述外網(wǎng)接入認(rèn)證設(shè)備連接與所述因特網(wǎng)連接，用于使外部網(wǎng)絡(luò)認(rèn)證成功的用戶接入外部網(wǎng)絡(luò)；所述Web認(rèn)證服務(wù)器和與所述外網(wǎng)接入認(rèn)證設(shè)備連接，用于接收用戶的請求信息和返回所述認(rèn)證結(jié)果；所述驗(yàn)證、授權(quán)、計(jì)費(fèi)認(rèn)證服務(wù)器與所述外網(wǎng)接入認(rèn)證設(shè)備連接，用于對用戶進(jìn)行認(rèn)證。所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備連接多個所述個人電腦。多個所述所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備之間互相連接，其中之一與所述外網(wǎng)接入認(rèn)證設(shè)備連接。本發(fā)明是通過將現(xiàn)有的802.1x認(rèn)證和Portal認(rèn)證相結(jié)合的二次認(rèn)證的方法，達(dá)到管理員對內(nèi)外網(wǎng)資源分別控制的目的，以不同權(quán)限控制用戶對內(nèi)外網(wǎng)資源的訪問，并提供了一種區(qū)分用戶訪問的內(nèi)外網(wǎng)資源的方法及系統(tǒng)，可以根據(jù)用戶訪問資源時的接入設(shè)備IP地址來達(dá)到根據(jù)不同的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。圖1是現(xiàn)有的Portal認(rèn)證示意圖2是現(xiàn)有的802.1x的認(rèn)證過程的消息流程圖3是本發(fā)明的結(jié)合802.1x認(rèn)證過程和Portal認(rèn)證進(jìn)行二次認(rèn)證的消息流程圖4是本發(fā)明的二次認(rèn)證的系統(tǒng)示意圖；圖5是本發(fā)明的客戶端的上線認(rèn)證處理的流程示意圖；圖6是本發(fā)明的客戶端的下線認(rèn)證處理的流程示意圖；圖7是EAPoL包和EAP-Packet的格式示意圖。具體實(shí)施例方式本發(fā)明的目的在于提供一種可以區(qū)分用戶的訪問區(qū)域即內(nèi)外網(wǎng)的方法，用戶根據(jù)訪問資源的需要進(jìn)行相應(yīng)的認(rèn)證方法，即給用戶提供可以選擇二次認(rèn)證的模式如用戶選擇只認(rèn)證內(nèi)網(wǎng)則只需要進(jìn)行802.1X認(rèn)證結(jié)束；或者同時認(rèn)證內(nèi)外網(wǎng)的要求則由客戶端自動完成二次認(rèn)證即順序進(jìn)行802.lx和WebPortal認(rèn)證，通過802.1x認(rèn)證成功后向用戶傳送Portal認(rèn)證頁面進(jìn)行Portal認(rèn)證，然后認(rèn)證服務(wù)器可以根據(jù)內(nèi)網(wǎng)的802.1x認(rèn)證和外網(wǎng)的Portal認(rèn)證的接入設(shè)備NAS的IP地址來區(qū)分用戶的資源訪問，這樣認(rèn)證服務(wù)器就可以根據(jù)用戶的認(rèn)證方式及相應(yīng)的計(jì)費(fèi)策略分別進(jìn)行計(jì)費(fèi)。針對不同的用戶采取不同的計(jì)費(fèi)策略，如對內(nèi)網(wǎng)進(jìn)行按時間計(jì)費(fèi)，而對外網(wǎng)進(jìn)行按流量計(jì)費(fèi)；或者都按時間計(jì)費(fèi)，但是計(jì)費(fèi)的費(fèi)率不同的方式。為實(shí)現(xiàn)本發(fā)明的上述目的，提供802.1x和WebPortal認(rèn)證的系統(tǒng)的示意圖如圖4所示，個人電腦(PC)401與內(nèi)網(wǎng)接入認(rèn)證設(shè)備402連接，多個內(nèi)網(wǎng)接入認(rèn)證設(shè)備402之間互相連接，其中一個內(nèi)網(wǎng)接入認(rèn)證設(shè)備402與外網(wǎng)接入認(rèn)證設(shè)備403連接，外網(wǎng)接入認(rèn)證設(shè)備403與因特網(wǎng)(Internet)404連接，Web認(rèn)證服務(wù)器405和驗(yàn)證、授權(quán)、計(jì)費(fèi)(AAA)認(rèn)證服務(wù)器406同時外網(wǎng)接入認(rèn)證設(shè)備403連接。與在完成現(xiàn)有的S02.1x認(rèn)證成功過程即實(shí)現(xiàn)了內(nèi)網(wǎng)上線的情況下，才能進(jìn)行Portal認(rèn)證以實(shí)現(xiàn)外網(wǎng)上線的情況如圖3所示，技術(shù)方案的實(shí)現(xiàn)需要以下步驟在認(rèn)證服務(wù)器向用戶發(fā)送S02.1x認(rèn)證成功報(bào)文時，認(rèn)證服務(wù)器通過將后臺需要進(jìn)行的第二次Portal認(rèn)證的通用資源定位符(URL)地址和端口信息置于成功報(bào)文中，通過接入設(shè)備向用戶發(fā)送Portal認(rèn)證信息，然后客戶端通過遠(yuǎn)程登錄(tdnet)、超文本傳輸協(xié)議(http)或安全超文本傳輸協(xié)議(https)方式在后臺獲取Portal認(rèn)證URL信息，獲取Portal認(rèn)證請求信息，然后客戶端通過tdnet、http或https方式將第一次認(rèn)證時用戶輸入的用戶名和密碼按指定格式發(fā)送到Portal認(rèn)證頁面，等待外網(wǎng)接入設(shè)備與認(rèn)證服務(wù)器的交互并等待認(rèn)證返回結(jié)果。其中該方法進(jìn)一步包括，在用戶需要內(nèi)外網(wǎng)下線的情況時(如圖6所示):在用戶認(rèn)證成功后，客戶端提供給用戶兩種下線方式即外網(wǎng)下線，內(nèi)外網(wǎng)下線。外網(wǎng)下線只需要完成Portal認(rèn)證下線過程，而內(nèi)外網(wǎng)下線則需要先完成Portal認(rèn)證下線后完成802.1x下線過程。由上述方法可以看出，本發(fā)明是通過將現(xiàn)有的802.1x認(rèn)證和Portal認(rèn)證相結(jié)合的二次認(rèn)證的方法，達(dá)到管理員對內(nèi)外網(wǎng)資源分別控制的目的，以不同權(quán)限控制用戶對內(nèi)外網(wǎng)資源的訪問，并提供了一種區(qū)分用戶訪問的內(nèi)外網(wǎng)資源的方法，即認(rèn)證服務(wù)器根據(jù)用戶802.1x認(rèn)證時的內(nèi)網(wǎng)認(rèn)證接入設(shè)備的IP地址和Portal認(rèn)證時的外網(wǎng)認(rèn)證接入設(shè)備的IP地址達(dá)到區(qū)分用戶訪問資源的方法，這樣認(rèn)證服務(wù)器就可以根據(jù)用戶訪問資源時的接入設(shè)備IP地址來達(dá)到根據(jù)不同的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)的目的。本發(fā)明同時利用了現(xiàn)有的EAP-Success報(bào)文，對EAP-Success報(bào)文的格式進(jìn)行擴(kuò)展，即在EAP-Success報(bào)文中定義了第二次認(rèn)證的Portal認(rèn)證頁面和端口信息。使用二次認(rèn)證客戶端的方法，不僅提供了一種讓認(rèn)證服務(wù)器可以區(qū)分用戶的訪問資源即根據(jù)不同認(rèn)證方法對應(yīng)不同的內(nèi)外網(wǎng)認(rèn)證接入設(shè)備的IP地址，以便計(jì)費(fèi)服務(wù)器可以根據(jù)用戶內(nèi)外網(wǎng)的訪問資源和訪問內(nèi)外網(wǎng)時需要不同的計(jì)費(fèi)策略以達(dá)到進(jìn)行分別計(jì)費(fèi)的目的，同時并解決了用戶使用方便性的問題即需要用戶一次性輸入用戶名和密碼就可以完成兩次認(rèn)證，第二次認(rèn)證過程只在后臺進(jìn)行，以圖形界面反饋給用戶兩次認(rèn)證的結(jié)果。下面對上述各部分進(jìn)行詳細(xì)說明。本發(fā)明是通過將802.1x認(rèn)證和Portal認(rèn)證過程的統(tǒng)一，以控制對內(nèi)外網(wǎng)資源的訪問，并且認(rèn)證服務(wù)器可以根據(jù)不同的內(nèi)外網(wǎng)計(jì)費(fèi)策略分別計(jì)費(fèi)。同時利用了現(xiàn)有的EAP-Success報(bào)文，對EAP-Success報(bào)文的格式進(jìn)行擴(kuò)展，即在EAP-Success報(bào)文中定義了第二次認(rèn)證的Portal認(rèn)證頁面和端口信息，將Portal認(rèn)證頁面信息傳送給二次認(rèn)證客戶端。二次認(rèn)證是實(shí)現(xiàn)了802.1x認(rèn)證和Portal認(rèn)證過程的結(jié)合，二次認(rèn)證過程上線認(rèn)證的情況參見圖3所示，具體的認(rèn)證處理過程如下步驟301-308，與現(xiàn)有技術(shù)中的步驟201到208完全相同，首先由客戶端將用戶名和密碼提交給接入設(shè)備，接入設(shè)備將用戶名和密碼提交給認(rèn)證服務(wù)器，若認(rèn)證失敗，認(rèn)證服務(wù)器通過接入設(shè)備將EAPFailure報(bào)文發(fā)送給客戶端；若認(rèn)證成功，則執(zhí)行步驟309。步驟309，認(rèn)證服務(wù)器回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備，并將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中；步驟310，接入設(shè)備向客戶端發(fā)送EAPOL-Success成功報(bào)文，將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中，連通受控端口，運(yùn)行客戶端訪問內(nèi)部網(wǎng)絡(luò)資源，內(nèi)部網(wǎng)絡(luò)認(rèn)證流程結(jié)束。然后二次認(rèn)證客戶端根據(jù)用戶的選擇是否進(jìn)行外網(wǎng)認(rèn)證，如不需要外網(wǎng)認(rèn)證，則認(rèn)證過程結(jié)束，而用戶只能訪問內(nèi)部網(wǎng)絡(luò)資源；如需要訪問外部網(wǎng)絡(luò)資源，則需要二次認(rèn)證客戶端在后臺進(jìn)行第二次即Portal認(rèn)證過程，這里具體的認(rèn)證處理過程如下-步驟311，二次認(rèn)證客戶端根據(jù)802.lx返回的Portal認(rèn)證URL和端口信息，通過telnet、http或https方式訪問Web認(rèn)證服務(wù)器以獲取認(rèn)證頁面；步驟312，Web認(rèn)證服務(wù)器的Portal認(rèn)證頁面請求用戶的用戶名和密碼等用戶標(biāo)識信息；步驟313，二次認(rèn)證客戶端將802.1x認(rèn)證時保存的用戶名和密碼等用戶標(biāo)識信息，通過telnet、http或https方式發(fā)送到Web認(rèn)證服務(wù)器，以等待Web認(rèn)證服務(wù)器的認(rèn)證；步驟314，Web認(rèn)證服務(wù)器向外網(wǎng)認(rèn)證設(shè)備發(fā)起請求認(rèn)證，然后等待外網(wǎng)認(rèn)證設(shè)備與AAA認(rèn)證服務(wù)器完成Radius交互過程(跟內(nèi)網(wǎng)認(rèn)證設(shè)備與AAA認(rèn)證服務(wù)器的交互過程相同)；步驟315，外網(wǎng)認(rèn)證設(shè)備通過與認(rèn)證服務(wù)器的交互，向Web認(rèn)證服務(wù)器返回認(rèn)證結(jié)果；步驟316，Web認(rèn)證服務(wù)器將認(rèn)證結(jié)果返回到二次認(rèn)證客戶端，認(rèn)證流程結(jié)束。圖5是二次認(rèn)證客戶端的上線認(rèn)證流程的情況。客戶端501根據(jù)用戶選擇是否進(jìn)行外網(wǎng)認(rèn)證首先進(jìn)行802.1x認(rèn)證過程502，判斷802.1x是否認(rèn)證成功503，完成后把認(rèn)證結(jié)果反饋給用戶，如認(rèn)證失敗504或通過判斷用戶是否啟用外網(wǎng)認(rèn)證505得知用戶不需進(jìn)行外網(wǎng)認(rèn)證，則內(nèi)網(wǎng)認(rèn)證結(jié)束506;否則客戶端利用802.1x認(rèn)證成功報(bào)文中攜帶的Portal認(rèn)證頁面，同時利用二次認(rèn)證客戶端的802.1x中的用戶名和密碼，通過telnet、http或https方式通過外網(wǎng)認(rèn)證設(shè)備發(fā)送給Web認(rèn)證服務(wù)器507，判斷Portal是否認(rèn)證成功508，并把提示用戶認(rèn)證失敗509或者提示用戶認(rèn)證成功510的Portal認(rèn)證結(jié)果反饋給用戶?？蛻舳颂峁┙o用戶兩種下線方式即外網(wǎng)下線，內(nèi)外網(wǎng)下線。外網(wǎng)下線只需要完成Portal認(rèn)證下線過程，而內(nèi)外網(wǎng)下線則需要先完成Portal認(rèn)證下線后完成802.1x下線過程。圖6是在用戶需要內(nèi)外網(wǎng)下線的情況，客戶端601在用戶認(rèn)證成功后602，需要先完成Portal認(rèn)證下線后603完成802.1x下線過程604。圖7是EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)包和EAP-Packet(擴(kuò)展認(rèn)證協(xié)議的Packet報(bào)文)的格式示意圖。EAPoL包由目的MAC地址、源MAC地址、以太網(wǎng)PAE報(bào)文類型(PAE報(bào)文值為2)、EAP協(xié)議版本號(0x01)、包類型(EAPoL報(bào)文類型如圖7所示，此字段用于指示包所傳輸?shù)臄?shù)據(jù)類型，如傳輸?shù)臄?shù)據(jù)類型為EAP-Packet時，取值0)、包長度(不包含包的頭部數(shù)據(jù))及包數(shù)據(jù)等字段組成。如圖7所示，本發(fā)明中的EAPSuccess報(bào)文數(shù)據(jù)內(nèi)容填充EAP-Packet報(bào)文類型(EAP-Packet的報(bào)文類型如表1所示)為EAPSuccess,則值為3。標(biāo)識符域(Identifier)為輔助匹配Response應(yīng)答，即輔助應(yīng)答報(bào)文匹配對應(yīng)請求報(bào)文的域。數(shù)據(jù)長度域(Length)為包含編碼域(Code)、標(biāo)識符域(Identifier)、數(shù)據(jù)長度域(Length)及后面數(shù)據(jù)域(Data)的數(shù)據(jù)長度，將Portal認(rèn)證的頁面和端口信息填入Data域。表1是EAPoL包中的包類型域取值示意。如圖7，當(dāng)傳輸?shù)陌愋蜑镋AP-Packet(認(rèn)證信息幀，用于承載認(rèn)證信息)時，包類型域取值為0;當(dāng)傳輸?shù)陌愋蜑镋APOL-Start(認(rèn)證發(fā)起幀，Supplicant和Authenticator均可以發(fā)起)時，包類型域取值為h當(dāng)傳輸?shù)陌愋蜑镋APOL-Logoff(退出請求幀，可主動終止己認(rèn)證狀態(tài))時，包類型域取值為2;當(dāng)傳輸?shù)陌愋蜑镋APOL-Key(密鑰信息幀，支持對EAP報(bào)文的加密)時，包類型域取值為3;當(dāng)傳輸?shù)陌愋虴APOL-Encapsulated-ASF-Alert(用于支持AlertStandardForumASF的Alerting消息)時，包類型域取值為4。表2是EAP-Packet包中的數(shù)據(jù)類型域取值示意。如表1，當(dāng)EAP-Packet的報(bào)文類型為EAP-Request時，取值為1;報(bào)文類型為EAP-Response時，取值為2;報(bào)文類型為EAP-Success時，取值為3;報(bào)文類型為EAP-Failure時，取值為4。表lEAPoL包中的包類型域取值<table>tableseeoriginaldocumentpage11</column></row><table><table>tableseeoriginaldocumentpage12</column></row><table>綜上所述，本發(fā)明是通過將現(xiàn)有的802.1x認(rèn)證和Portal認(rèn)證相結(jié)合的二次認(rèn)證的方法，達(dá)到管理員對內(nèi)外網(wǎng)資源分別控制的目的，以不同權(quán)限控制用戶對內(nèi)外網(wǎng)資源的訪問，并提供了一種區(qū)分用戶訪問的內(nèi)外網(wǎng)資源的方法及系統(tǒng)，可以根據(jù)用戶訪問資源時的接入設(shè)備IP地址來達(dá)到根據(jù)不同的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。本領(lǐng)域的技術(shù)人員在不脫離權(quán)利要求書確定的本發(fā)明的精神和范圍的條件下，還可以對以上內(nèi)容進(jìn)行各種各樣的修改。因此本發(fā)明的范圍并不僅限于以上的說明，而是由權(quán)利要求書的范圍來確定的。權(quán)利要求1.一種二次認(rèn)證方法，其特征在于，具有以下步驟用戶上線時，先進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用內(nèi)部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)；用戶下線時，先進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用外部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。2.如權(quán)利要求1所述的二次認(rèn)證方法，其特征在于，所述內(nèi)部網(wǎng)絡(luò)認(rèn)證通過802.1x的方式進(jìn)行認(rèn)證，所述外部網(wǎng)絡(luò)認(rèn)證通過WebPortal的方式進(jìn)行認(rèn)證o3.如權(quán)利要求2所述的二次認(rèn)證方法，其特征在于，用戶上線時，還包括具體如下步驟步驟31、認(rèn)證服務(wù)器回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備，并將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中；步驟32、接入設(shè)備向客戶端發(fā)送EAPOL-Success成功報(bào)文，將Portal認(rèn)證的頁面和端口信息置于成功報(bào)文的數(shù)據(jù)域中，連通受控端口，運(yùn)行客戶端訪問內(nèi)部網(wǎng)絡(luò)資源，內(nèi)部網(wǎng)絡(luò)認(rèn)證結(jié)束。4.如權(quán)利要求3所述的二次認(rèn)證方法，其特征在于，用戶上線時，所述外部網(wǎng)絡(luò)認(rèn)證包括如下具體步驟步驟41、二次認(rèn)證客戶端根據(jù)802.1x返回的Portal認(rèn)證通用資源定位符和端口信息，通過遠(yuǎn)程登錄、超文本傳輸協(xié)議或安全超文本傳輸協(xié)議方式訪問Web認(rèn)證服務(wù)器以獲取認(rèn)證頁面；步驟42、Web認(rèn)證服務(wù)器的Portal認(rèn)證頁面請求用戶的用戶名和密碼等用戶標(biāo)識信息；步驟43、二次認(rèn)證客戶端將802.1x認(rèn)證時保存的用戶名和密碼等用戶標(biāo)識信息，通過遠(yuǎn)程登錄、超文本傳輸協(xié)議或安全超文本傳輸協(xié)議方式發(fā)送到Web認(rèn)證服務(wù)器，以等待Web認(rèn)證服務(wù)器的認(rèn)證；步驟44、Web認(rèn)證服務(wù)器向外網(wǎng)認(rèn)證設(shè)備發(fā)起請求認(rèn)證，然后等待外網(wǎng)認(rèn)證設(shè)備與驗(yàn)證、授權(quán)、計(jì)費(fèi)認(rèn)證服務(wù)器完成遠(yuǎn)程認(rèn)證撥號用戶服務(wù)交互過程;步驟45、外網(wǎng)認(rèn)證設(shè)備通過與認(rèn)證服務(wù)器的交互，向Web認(rèn)證服務(wù)器返回認(rèn)證結(jié)果；步驟46、Web認(rèn)證服務(wù)器將認(rèn)證結(jié)果返回到二次認(rèn)證客戶端，所述外部網(wǎng)絡(luò)認(rèn)證結(jié)束。5.如權(quán)利要求4所述的二次認(rèn)證方法，其特征在于，當(dāng)EAPoL包所傳送的包類型是EAP-Packet時，對EAPoL包進(jìn)行擴(kuò)展，具體步驟是將EAPoL包的包數(shù)據(jù)部分進(jìn)一步分為編碼域、標(biāo)識符域、數(shù)據(jù)長度域和數(shù)據(jù)域四個部分。6.如權(quán)利要求5所述的二次認(rèn)證方法，其特征在于，所述編碼Code域表征所傳送的EAP-Packet的報(bào)文類型是EAP-Request、EAP-Response、EAP-Success或EAP-Failure;所述標(biāo)識符域用于輔助應(yīng)答報(bào)文匹配對應(yīng)請求報(bào)文的域；所述數(shù)據(jù)長度域?yàn)榘幋a域、標(biāo)識符域、數(shù)據(jù)長度域和數(shù)據(jù)域的數(shù)據(jù)長度；所述數(shù)據(jù)域用于發(fā)送Portal認(rèn)證的頁面和端口信息。7.—種二次認(rèn)證系統(tǒng)，包括個人電腦、內(nèi)網(wǎng)接入認(rèn)證設(shè)備、外網(wǎng)接入認(rèn)證設(shè)備、因特網(wǎng)、Web認(rèn)證服務(wù)器和驗(yàn)證、授權(quán)、計(jì)費(fèi)認(rèn)證服務(wù)器，其特征在于，所述個人電腦與所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備連接，用于對用戶進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證；所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備與所述外網(wǎng)接入認(rèn)證設(shè)備連接，用于接收外部網(wǎng)絡(luò)認(rèn)證請求和返回外部網(wǎng)絡(luò)認(rèn)證結(jié)果；所述外網(wǎng)接入認(rèn)證設(shè)備連接與所述因特網(wǎng)連接，用于使外部網(wǎng)絡(luò)認(rèn)證成功的用戶接入外部網(wǎng)絡(luò)；所述Web認(rèn)證服務(wù)器和與所述外網(wǎng)接入認(rèn)證設(shè)備連接，用于接收用戶的請求信息和返回所述認(rèn)證結(jié)果；所述驗(yàn)證、授權(quán)、計(jì)費(fèi)認(rèn)證服務(wù)器與所述外網(wǎng)接入認(rèn)證設(shè)備連接，用于對用戶進(jìn)行認(rèn)證。8.如權(quán)利要求7所述的二次認(rèn)證系統(tǒng)，其特征在于，所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備連接多個所述個人電腦。9.如權(quán)利要求8所述的二次認(rèn)證系統(tǒng)，其特征在于，多個所述所述內(nèi)網(wǎng)接入認(rèn)證設(shè)備之間互相連接，其中之一與所述外網(wǎng)接入認(rèn)證設(shè)備連接。全文摘要本發(fā)明涉及一種二次認(rèn)證方法，具有以下步驟用戶上線時，先進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用內(nèi)部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)；用戶下線時，先進(jìn)行外部網(wǎng)絡(luò)認(rèn)證，然后進(jìn)行內(nèi)部網(wǎng)絡(luò)認(rèn)證，用于對用戶使用外部網(wǎng)絡(luò)的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。本發(fā)明是通過將現(xiàn)有的802.1x認(rèn)證和Portal認(rèn)證相結(jié)合的二次認(rèn)證的方法，達(dá)到管理員對內(nèi)外網(wǎng)資源分別控制的目的，以不同權(quán)限控制用戶對內(nèi)外網(wǎng)資源的訪問，并提供了一種區(qū)分用戶訪問的內(nèi)外網(wǎng)資源的方法及系統(tǒng)，可以根據(jù)用戶訪問資源時的接入設(shè)備IP地址來達(dá)到根據(jù)不同的計(jì)費(fèi)策略進(jìn)行計(jì)費(fèi)。文檔編號H04L9/32GK101163000SQ200610113760公開日2008年4月16日申請日期2006年10月13日優(yōu)先權(quán)日2006年10月13日發(fā)明者峰嚴(yán),盧應(yīng)華,黃小華申請人:中興通訊股份有限公司