專利名稱:一種認(rèn)證方法、系統(tǒng)和dhcp代理服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種認(rèn)證方法、系統(tǒng)和動(dòng)態(tài)主機(jī)配置協(xié) 議(DHCP)代理服務(wù)器。
背景技術(shù):
伴隨著信息時(shí)代的飛速發(fā)展,網(wǎng)絡(luò)安全面臨著前所未有的考驗(yàn)。為了保證企業(yè)網(wǎng) 內(nèi)部的安全性和可用性,在網(wǎng)絡(luò)建設(shè)上,我們不僅要從企業(yè)網(wǎng)外圍封堵非法入侵(如安裝 防火墻、防病毒軟件、各種入侵檢測(cè)軟件等),而且還要控制企業(yè)網(wǎng)內(nèi)部的終端在接入網(wǎng)絡(luò) 前的合法性和安全性。目前,針對(duì)終端接入網(wǎng)絡(luò)的安全控制,業(yè)界已經(jīng)出現(xiàn)了多種認(rèn)證方式,其中,比較 成熟的認(rèn)證方案為IEEE 802. Ix和TOB網(wǎng)關(guān)方案,下面分別進(jìn)行描述IEEE 802. IX 方案IEEE 802. IX定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議(Port-based NetworkAccess Control),該網(wǎng)絡(luò)接入控制協(xié)議是二層標(biāo)準(zhǔn)協(xié)議,其根據(jù)用戶認(rèn)證成功與否,控制端口的打 開(kāi)或者關(guān)閉,具體如圖1所示。參見(jiàn)圖1,圖1為現(xiàn)有技術(shù)中IEEE 802. IX方案示意圖。在圖1中,IEEE802. IX方 案涉及以下三個(gè)組成部分1、客戶端該客戶端,為額外安裝在終端上的軟件,其為L(zhǎng)AN所連接的一端的實(shí)體(entity), 用于觸使終端向認(rèn)證系統(tǒng)(Authenticator)發(fā)起認(rèn)證請(qǐng)求,以便對(duì)其身份的合法性進(jìn)行檢驗(yàn)。2、認(rèn)證系統(tǒng)該認(rèn)證系統(tǒng),為L(zhǎng)AN連接的一端用于認(rèn)證客戶端的實(shí)體,其通常為支持IEEE 802. IX協(xié)議的接入設(shè)備,用于為客戶端提供服務(wù)端口。3、認(rèn)證月艮務(wù)器(Authentication Server)該認(rèn)證服務(wù)器為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體。這里認(rèn)證服務(wù)器所提供的服務(wù)是 指通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的認(rèn)證請(qǐng)求,來(lái)判斷該客戶端是否有權(quán)使用認(rèn)證系統(tǒng)所提供的網(wǎng) 絡(luò)服務(wù)?;谏鲜雒枋觯琁EEE 802. IX方案具體為在初始階段,關(guān)閉接入設(shè)備為一客戶 端提供的服務(wù)端口,該客戶端為特意安裝在終端,用于發(fā)起認(rèn)證的客戶端,此時(shí),該服務(wù)端 口僅允許該客戶端發(fā)送的認(rèn)證報(bào)文通過(guò),如此,安裝了該客戶端的終端無(wú)法被分配到IP地 址,進(jìn)而也無(wú)法接入網(wǎng)絡(luò);當(dāng)認(rèn)證服務(wù)器通過(guò)認(rèn)證報(bào)文的認(rèn)證后,打開(kāi)該服務(wù)端口,此時(shí),該 服務(wù)端口允許所有報(bào)文通過(guò)。如此,如圖1所示,安裝了該客戶端的終端可通過(guò)發(fā)送DHCP 請(qǐng)求報(bào)文給DHCP服務(wù)器,以獲取IP地址,進(jìn)而根據(jù)該IP地址訪問(wèn)hternet資源。以上對(duì)IEEE 802. IX方案進(jìn)行了描述。該方案雖然能實(shí)現(xiàn)客戶端的認(rèn)證,但是,由 于該方案基于二層認(rèn)證協(xié)議,認(rèn)證策略比較簡(jiǎn)單,新業(yè)務(wù)支持能力較弱,以及兼容性差;并且,該方案要求終端額外安裝客戶端,安裝過(guò)程復(fù)雜,給用戶使用帶來(lái)不方便。為了解決IEEE 802. IX方案帶來(lái)的技術(shù)問(wèn)題,現(xiàn)有技術(shù)又提出了 WEB網(wǎng)關(guān)認(rèn)證方 案,該WEB網(wǎng)關(guān)認(rèn)證方案較IEEE 802. IX方案有了一定的改進(jìn),即免安裝客戶端,用戶使用 起來(lái)比較方便,以及該方案大多采用三層協(xié)議,能夠比較方便的支持新業(yè)務(wù),下面對(duì)WEB網(wǎng) 關(guān)認(rèn)證方案進(jìn)行描述。參見(jiàn)圖2,圖2為現(xiàn)有技術(shù)中TOB網(wǎng)關(guān)認(rèn)證方案示意圖。在圖2中,該TOB網(wǎng)關(guān)認(rèn) 證方案涉及以下四個(gè)組成部分1、認(rèn)證客戶端該認(rèn)證客戶端用于訪問(wèn)網(wǎng)絡(luò)資源,是發(fā)起身份認(rèn)證的源頭。2、接入設(shè)備該接入設(shè)備用于控制認(rèn)證客戶端訪問(wèn)網(wǎng)絡(luò)資源。在認(rèn)證客戶端發(fā)起認(rèn)證過(guò)程中, 接入設(shè)備收到WEB網(wǎng)關(guān)服務(wù)器的請(qǐng)求后,與認(rèn)證服務(wù)器進(jìn)行認(rèn)證交互。3、TOB網(wǎng)關(guān)服務(wù)器該WEB網(wǎng)關(guān)服務(wù)器用于提供WEB身份認(rèn)證的網(wǎng)頁(yè),同時(shí),TOB網(wǎng)關(guān)收到認(rèn)證客戶端 的認(rèn)證請(qǐng)求后,與接入設(shè)備進(jìn)行認(rèn)證交互。4、認(rèn)證服務(wù)器該認(rèn)證服務(wù)器用于提供認(rèn)證服務(wù)?;谏厦婷枋觯琓OB網(wǎng)關(guān)認(rèn)證方案具體為認(rèn)證客戶端發(fā)送HTTP請(qǐng)求,接入設(shè)備接 收到HTTP請(qǐng)求后,將該HTTP請(qǐng)求重定向到WEB網(wǎng)關(guān)服務(wù)器,TOB網(wǎng)關(guān)服務(wù)器通過(guò)接入設(shè)備 發(fā)送認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器,當(dāng)認(rèn)證服務(wù)器通過(guò)該認(rèn)證請(qǐng)求后,接入設(shè)備放開(kāi)對(duì)認(rèn)證客戶 端的權(quán)限控制,如此,認(rèn)證客戶端可訪問(wèn)hternet資源。從上面對(duì)WEB網(wǎng)關(guān)認(rèn)證方案的描述可以知道,雖然該WEB網(wǎng)關(guān)認(rèn)證方案能夠解決 IEEE 802. IX方案帶來(lái)的技術(shù)問(wèn)題,但是,在具體實(shí)現(xiàn)中,該WEB網(wǎng)關(guān)認(rèn)證方案只能通過(guò)網(wǎng) 頁(yè)方式(即發(fā)送HTTP請(qǐng)求)進(jìn)行用戶身份認(rèn)證,而無(wú)法進(jìn)行終端機(jī)自身的安全檢查(如 是否安裝防病毒軟件等),并且,該WEB網(wǎng)關(guān)認(rèn)證方案通常采用私有協(xié)議,并要求使用支持 WEB網(wǎng)關(guān)私有協(xié)議的接入設(shè)備,如此,就需要改造企業(yè)網(wǎng)現(xiàn)有的網(wǎng)絡(luò)架構(gòu),進(jìn)行接入設(shè)備的 重新部署和升級(jí)。
發(fā)明內(nèi)容
本發(fā)明提供了認(rèn)證方法、系統(tǒng)和DHCP服務(wù)器,無(wú)需接入設(shè)備的配合即可實(shí)現(xiàn)終端 的認(rèn)證。本發(fā)明提供的技術(shù)方案包括一種認(rèn)證方法,該方法應(yīng)用于包含終端、認(rèn)證服務(wù)器、DHCP服務(wù)器和DNS服務(wù)器的 系統(tǒng)中,其特征在于,所述系統(tǒng)還包括=DHCP代理服務(wù)器和DNS代理服務(wù)器;該方法包括A,DHCP代理服務(wù)器截獲DHCP服務(wù)器向終端發(fā)送的攜帶了 DNS服務(wù)器地址的DHCP 回應(yīng)報(bào)文,并判斷終端是否安全,如果不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器的地址修 改為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以使終端在接收到修改 后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的地址發(fā)送域名解析 請(qǐng)求;
B,DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證。一種認(rèn)證系統(tǒng),該系統(tǒng)包括終端、認(rèn)證服務(wù)器、DHCP服務(wù)器和DNS服務(wù)器;其關(guān)鍵 在于,該系統(tǒng)還包括DHCP代理服務(wù)器和DNS代理服務(wù)器;所述DHCP服務(wù)器用于向終端發(fā)送攜帶了 DNS服務(wù)器地址的DHCP回應(yīng)報(bào)文;所述DHCP代理服務(wù)器用于截獲所述DHCP服務(wù)器發(fā)送的DHCP回應(yīng)報(bào)文,并判斷所 述終端是否安全,如果所述終端不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器的地址修改為 所述DNS代理服務(wù)器的地址,向所述終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文;所述終端用于在接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向 DNS代理服務(wù)器的地址發(fā)送域名解析請(qǐng)求;所述DNS代理服務(wù)器用于接收到域名解析請(qǐng)求后,觸使所述認(rèn)證服務(wù)器對(duì)所述終 端進(jìn)行認(rèn)證。一種應(yīng)用于認(rèn)證的DHCP代理服務(wù)器,包括截獲單元,用于截獲DHCP服務(wù)器向終端發(fā)送的攜帶了 DNS服務(wù)器地址的DHCP回 應(yīng)報(bào)文;判斷單元,用于判斷終端是否安全;處理單元,用于在所述判斷單元的判斷結(jié)果為否時(shí),將該DHCP回應(yīng)報(bào)文中DNS服 務(wù)器的地址修改為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以保證終 端在接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的地 址發(fā)送域名解析請(qǐng)求,由該DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)所 述終端進(jìn)行認(rèn)證。由以上技術(shù)方案可以看出,本發(fā)明中,通過(guò)增加DHCP代理服務(wù)器和DNS代理服務(wù) 器,并利用網(wǎng)絡(luò)中已部署的DHCP和DNS服務(wù)機(jī)制,能夠保證終端無(wú)需額外安裝客戶端,無(wú)需 接入設(shè)備的配合,即可實(shí)現(xiàn)終端的認(rèn)證;進(jìn)一步地,由于本發(fā)明不依賴于接入設(shè)備,因此,無(wú)需調(diào)整當(dāng)前的網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn) 比較簡(jiǎn)單。
圖1為現(xiàn)有技術(shù)中IEEE 802. IX方案示意圖;圖2為現(xiàn)有技術(shù)中WEB網(wǎng)關(guān)認(rèn)證方案示意圖;圖3為本發(fā)明實(shí)施例提供的基本流程圖;圖4為本發(fā)明實(shí)施例提供的詳細(xì)流程圖;圖5為本發(fā)明實(shí)施例提供的組網(wǎng)示意圖;圖6為本發(fā)明實(shí)施例提供的步驟418的操作流程圖;圖7為本發(fā)明實(shí)施例提供的認(rèn)證系統(tǒng)的結(jié)構(gòu)圖;圖8為本發(fā)明實(shí)施例提供的DHCP代理服務(wù)器的結(jié)構(gòu)圖。
具體實(shí)施例方式為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體實(shí)施例對(duì) 本發(fā)明進(jìn)行詳細(xì)描述。
本發(fā)明實(shí)施例提供的認(rèn)證方法主要利用網(wǎng)絡(luò)中已部署的DHCP和DNS服務(wù)機(jī)制,能 夠保證終端無(wú)需額外安裝客戶端,無(wú)需接入設(shè)備的配合,即可實(shí)現(xiàn)身份認(rèn)證和安全認(rèn)證,具 體參見(jiàn)圖3所示的流程。參見(jiàn)圖3,圖3為本發(fā)明實(shí)施例提供的基本流程圖。該流程適用于包含終端、認(rèn)證 服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、DHCP代理服務(wù)器和DNS代理服務(wù)器的系統(tǒng)。本流程中,DHCP代理服務(wù)器可為安裝在DHCP服務(wù)器上的代理插件,當(dāng)然,作為本 發(fā)明實(shí)施例的一種擴(kuò)展,該DHCP代理服務(wù)器也可為獨(dú)立于DHCP服務(wù)器的一個(gè)實(shí)體。該DHCP 代理服務(wù)器用于攔截DHCP服務(wù)器向終端發(fā)送的DHCP回應(yīng)報(bào)文,并根據(jù)終端的安全與否確 定是否修改該DHCP回應(yīng)報(bào)文中攜帶的DNS服務(wù)器的地址。DNS代理服務(wù)器,其可獨(dú)立于DNS服務(wù)器,也可為DNS服務(wù)器中的功能單元,本發(fā)明 實(shí)施例并不具體限定。該DNS代理服務(wù)器用于接收到終端的域名解析請(qǐng)求時(shí),觸使認(rèn)證服 務(wù)器對(duì)該終端進(jìn)行認(rèn)證。認(rèn)證服務(wù)器、DHCP服務(wù)器和DNS服務(wù)器具有的功能均與現(xiàn)有技術(shù)類似,這里不再 贅述?;谏厦娴拿枋?,圖3所示的流程可包括以下步驟步驟301,DHCP代理服務(wù)器截獲DHCP服務(wù)器向終端發(fā)送的攜帶了 DNS服務(wù)器地址 的DHCP回應(yīng)報(bào)文,并判斷終端是否安全,如果不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器 的地址修改為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以使終端在接 收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的地址發(fā)送 域名解析請(qǐng)求。步驟302,DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)所述終端進(jìn) 行認(rèn)證。至此,完成了圖3所示的流程。下面通過(guò)圖4對(duì)圖3所示的流程進(jìn)行描述。參見(jiàn)圖4,圖4為本發(fā)明實(shí)施例提供的詳細(xì)流程圖。本流程可基于圖5所示的組 網(wǎng)。該組網(wǎng)中除了包含上面描述的客戶端、認(rèn)證服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、DHCP代 理服務(wù)器和DNS代理服務(wù)器之外,還可以進(jìn)一步包括用于推送DHCP認(rèn)證頁(yè)面的DHCP WEB 服務(wù)器。該DHCP TOB服務(wù)器為DHCP WEB的門(mén)戶網(wǎng)站,為用戶推出認(rèn)證頁(yè)面并下載客戶端 至終端,具體見(jiàn)步驟416至步驟420的描述。本流程以DHCP回應(yīng)報(bào)文為DHCP服務(wù)器對(duì)終端發(fā)送的用于請(qǐng)求IP地址的DHCP請(qǐng) 求報(bào)文的回應(yīng)報(bào)文為例,其他情況原理類似。其中,該DHCP回應(yīng)報(bào)文至少包含以下三個(gè)字 段用于承載DNS服務(wù)器地址的第一字段、用于承載終端MAC地址的第二字段和用于承載所 述DHCP服務(wù)器為所述終端分配的IP地址的第三字段。基于此,圖4所示的流程可包括以 下步驟步驟401,終端在啟動(dòng)后發(fā)送DHCP請(qǐng)求報(bào)文至DHCP服務(wù)器,以請(qǐng)求DHCP服務(wù)器為 其分配IP地址。步驟402,DHCP服務(wù)器接收到DHCP請(qǐng)求報(bào)文后,從已劃分的IP地址池中找到對(duì)應(yīng) 的IP地址,將該IP地址、終端的MAC地址和對(duì)應(yīng)的DNS服務(wù)器的地址分別攜帶在DHCP回 應(yīng)報(bào)文的第三字段、第二字段和第一字段中,之后向終端發(fā)送該DHCP回應(yīng)報(bào)文。也就是說(shuō),執(zhí)行完到本步驟402時(shí),該DHCP回應(yīng)報(bào)文攜帶的是DNS服務(wù)器的地址。
步驟403,DHCP代理服務(wù)器截獲DHCP服務(wù)器向終端發(fā)送的DHCP回應(yīng)報(bào)文,并判 斷所述DHCP回應(yīng)報(bào)文中第二字段的MAC地址是否為免認(rèn)證的MAC地址,如果是,執(zhí)行步驟 404,否則,執(zhí)行步驟405。針對(duì)某些組網(wǎng),部分終端如服務(wù)器和打印機(jī)等無(wú)需進(jìn)行身份認(rèn)證和安全認(rèn)證,即 可接入網(wǎng)絡(luò)。也就是說(shuō),針對(duì)向這部分終端發(fā)送的DHCP回應(yīng)報(bào)文,DHCP代理服務(wù)器代理會(huì) 放過(guò),直接執(zhí)行步驟404,以達(dá)到免認(rèn)證的目的。本實(shí)施例中,為了達(dá)到該目的,可根據(jù)實(shí)際 情況在DHCP代理服務(wù)器上創(chuàng)建一個(gè)免認(rèn)證MAC地址列表。如此,步驟403中的判斷為DHCP 代理服務(wù)器判斷DHCP回應(yīng)報(bào)文中第二字段的MAC地址是否在免認(rèn)證MAC地址列表中,如果 是,則確定DHCP回應(yīng)報(bào)文中第二字段的MAC地址為免認(rèn)證的MAC地址,否則,確定DHCP回 應(yīng)報(bào)文中第二字段的MAC地址不為免認(rèn)證的MAC地址。步驟404,向終端轉(zhuǎn)發(fā)DHCP回應(yīng)報(bào)文。之后執(zhí)行步驟412。步驟405,DHCP代理服務(wù)器發(fā)送詢問(wèn)請(qǐng)求至認(rèn)證服務(wù)器,以詢問(wèn)所述終端是否安 全。步驟406,認(rèn)證服務(wù)器接收到所述詢問(wèn)請(qǐng)求后,判斷已創(chuàng)建的安全信息列表中是否 存在所述終端的安全信息,如果是,執(zhí)行步驟407,否則,執(zhí)行步驟410。在執(zhí)行本步驟406之前,認(rèn)證服務(wù)器會(huì)預(yù)先創(chuàng)建一個(gè)安全信息列表,該安全信息 列表在初始階段可為空,也可包含管理人員根據(jù)實(shí)際情況輸入的若干個(gè)終端的安全信息, 之后,由認(rèn)證服務(wù)器在完成針對(duì)終端的認(rèn)證后添加,具體見(jiàn)步驟419。該安全信息列表包含 了終端標(biāo)識(shí)和安全信息之間的對(duì)應(yīng)關(guān)系,其中,該安全信息可表示不安全或者安全?;诖?,可以知道,所述詢問(wèn)請(qǐng)求可包含所述終端的標(biāo)識(shí),步驟406中的判斷具體 為認(rèn)證服務(wù)器以所述終端的標(biāo)識(shí)為關(guān)鍵字,從所述安全信息列表中查找包含該關(guān)鍵字的 對(duì)應(yīng)關(guān)系,如果查找到,確定所述安全信息列表存在所述終端的安全信息,否則,確定所述 安全信息列表不存在所述終端的安全信息。步驟407,將所述終端的安全信息發(fā)送給DHCP代理服務(wù)器。之后執(zhí)行步驟408。步驟408,DHCP代理服務(wù)器判斷該安全信息表示安全還是不安全,如果是前者,則 返回執(zhí)行步驟404,否則,執(zhí)行步驟409。步驟409,將所述DHCP回應(yīng)報(bào)文中第一字段的地址修改為DNS代理服務(wù)器的地址, 并向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文。之后執(zhí)行步驟412。也就是說(shuō),執(zhí)行完本步驟409時(shí),第一字段的地址不再是DNS服務(wù)器的地址,而是 DNS代理服務(wù)器的地址。步驟410,將不存在的通知發(fā)送給DHCP代理服務(wù)器。之后執(zhí)行步驟411。步驟411,DHCP代理服務(wù)器接收到不存在的通知時(shí),為所述DHCP回應(yīng)報(bào)文中第三 字段的IP地址設(shè)置租期期限,以使所述終端在所述IP地址的租期期限到達(dá)時(shí),再次返回步 驟401中發(fā)送DHCP請(qǐng)求報(bào)文的操作,并在完成設(shè)置后,向所述終端發(fā)送設(shè)置后的DHCP回應(yīng) 報(bào)文。之后執(zhí)行步驟412。需要說(shuō)明的是,作為本發(fā)明實(shí)施例的一種擴(kuò)展,步驟405中,如果DHCP代理服務(wù)器 無(wú)法和認(rèn)證服務(wù)器通信,即步驟405中的詢問(wèn)請(qǐng)求發(fā)送失敗,也可直接執(zhí)行本步驟411中的 設(shè)置操作。步驟412,終端接收到DHCP回應(yīng)報(bào)文后,存儲(chǔ)該DHCP回應(yīng)報(bào)文中第一字段、第二字段和第三字段的內(nèi)容,并在訪問(wèn)外部網(wǎng)絡(luò)資源時(shí),向所述第一字段中的地址發(fā)送域名解析 請(qǐng)求。本步驟412中,終端接收的DHCP回應(yīng)報(bào)文中第一字段的地址存在以下兩種情況 其中一種情況為第一字段的地址為DNS服務(wù)器的地址(記為情況1),該情況1下,DHCP代 理服務(wù)器未對(duì)DHCP服務(wù)器發(fā)送的DHCP回應(yīng)報(bào)文作任何處理,即通過(guò)步驟404發(fā)送的DHCP 回應(yīng)報(bào)文;另一種情況為第一字段的地址為DNS代理服務(wù)器的地址(記為情況幻,該情況 2下,DHCP代理服務(wù)器對(duì)DHCP服務(wù)器發(fā)送的DHCP回應(yīng)報(bào)文中第一字段的地址進(jìn)行了修改, 即通過(guò)步驟409發(fā)送的DHCP回應(yīng)報(bào)文。針對(duì)情況1,終端向DNS服務(wù)器發(fā)送域名解析請(qǐng)求, 以使DNS服務(wù)器執(zhí)行域名解析操作(該操作與現(xiàn)有技術(shù)類似,這里不再贅述),具體見(jiàn)步驟 414 ;針對(duì)情況2,終端向DNS代理服務(wù)器發(fā)送域名解析請(qǐng)求,以使DNS代理服務(wù)器接收到域 名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)該終端進(jìn)行認(rèn)證,具體見(jiàn)步驟415。另外,執(zhí)行到本步驟412時(shí),終端接收的DHCP回應(yīng)報(bào)文中第三字段的IP地址也存 在兩種情況,一種情況為該IP地址被設(shè)置了租期期限,另一種情況為該IP地址未被設(shè)置租 期期限。針對(duì)IP地址被設(shè)置了租期期限的情況,終端需要實(shí)時(shí)監(jiān)控該租期期限是否到達(dá), 如果是,則返回步驟401中發(fā)送DHCP請(qǐng)求報(bào)文的操作。針對(duì)IP地址未被設(shè)置租期期限的 情況,可按照現(xiàn)有方式處理,也可長(zhǎng)期使用該IP地址,本發(fā)明實(shí)施例并不具體限定。步驟413,如果DNS服務(wù)器接收到域名解析請(qǐng)求,則執(zhí)行步驟414,如果DNS代理服 務(wù)器接收到域名解析請(qǐng)求,則執(zhí)行步驟415。針對(duì)情況1,由于該情況1下,第一字段的地址為DNS服務(wù)器的地址,因此,步驟 412中的向第一字段中的地址發(fā)送域名解析請(qǐng)求實(shí)質(zhì)為向DNS服務(wù)器發(fā)送域名解析請(qǐng)求, 因此,執(zhí)行到本步驟413時(shí),DNS服務(wù)器會(huì)接收到域名解析請(qǐng)求,之后執(zhí)行步驟414。針對(duì)情 況2,由于該情況2下,第一字段的地址為DNS代理服務(wù)器的地址,此時(shí),步驟412中的向第 一字段中的地址發(fā)送域名解析請(qǐng)求實(shí)質(zhì)為向DNS代理服務(wù)器發(fā)送域名解析請(qǐng)求,因此,執(zhí) 行到本步驟413時(shí),DNS代理服務(wù)器會(huì)接收到域名解析請(qǐng)求,之后執(zhí)行步驟415。步驟414,DNS服務(wù)器接收到域名解析操作后,執(zhí)行域名解析操作,并返回解析后 的域名給終端,以使終端訪問(wèn)外部網(wǎng)絡(luò)資源。結(jié)束當(dāng)前流程。本步驟414中,DNS服務(wù)器執(zhí)行的操作與現(xiàn)有協(xié)議中DNS服務(wù)器執(zhí)行的操作類似, 這里不再贅述步驟415,DNS代理服務(wù)器判斷所述域名解析請(qǐng)求攜帶的域名是否為免認(rèn)證域名, 如果是,直接將所述域名解析請(qǐng)求發(fā)送給DNS服務(wù)器,之后返回步驟414,否則,執(zhí)行步驟 416。在組網(wǎng)中,有些域名的訪問(wèn)是放開(kāi)的,不安全終端也是可以訪問(wèn)的。為了達(dá)到該目 的,需要預(yù)先在DNS代理服務(wù)器上創(chuàng)建免認(rèn)證域名列表?;诖耍襟E415中的判斷為以 所述域名解析請(qǐng)求攜帶的域名為關(guān)鍵字在所述免認(rèn)證域名列表中查找所述關(guān)鍵字,如果查 找到,則確定所述域名解析請(qǐng)求攜帶的域名為免認(rèn)證域名,否則,確定所述域名解析請(qǐng)求攜 帶的域名不為免認(rèn)證域名。步驟416,DNS代理服務(wù)器將所述域名解析為所述DHCP WEB服務(wù)器的地址,并發(fā)送 給終端,以使所述終端向所述DHCP WEB服務(wù)器的地址發(fā)送HTTP請(qǐng)求。步驟417,DHCP WEB服務(wù)器接收到所述HTTP請(qǐng)求后,提供DHCP認(rèn)證頁(yè)面給所述終端,以使所述終端通過(guò)所述DHCP認(rèn)證頁(yè)面提交認(rèn)證請(qǐng)求,并在接收到所述認(rèn)證請(qǐng)求后,提 供客戶端至所述終端。本實(shí)施例中,終端通過(guò)DHCP認(rèn)證頁(yè)面提交認(rèn)證請(qǐng)求時(shí),還可進(jìn)一步提交認(rèn)證參數(shù)。本實(shí)施例中,客戶端是DHCP WEB服務(wù)器提供給終端的,其采用JAVAWEB START方 式自動(dòng)下載并運(yùn)行,該終端的用戶沒(méi)有任何感知。步驟418,客戶端觸使認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證。也就是說(shuō),該客戶端用于實(shí)現(xiàn)終端的認(rèn)證,其具體可參見(jiàn)圖6。步驟419,認(rèn)證服務(wù) 器在完成終端的認(rèn)證后,記錄認(rèn)證結(jié)果至所述安全信息列表中,并發(fā)送認(rèn)證結(jié)果至終端。步驟420,客戶端在獲知終端通過(guò)認(rèn)證時(shí),觸使所述終端返回執(zhí)行步驟401中發(fā)送 DHCP請(qǐng)求報(bào)文的操作。結(jié)束當(dāng)前流程。至此,完成圖4所示的流程。在步驟418中,認(rèn)證服務(wù)器對(duì)終端進(jìn)行認(rèn)證具體可包括身份認(rèn)證和安全認(rèn)證,其 中,安全認(rèn)證是在身份認(rèn)證通過(guò)之后執(zhí)行?;诖?,步驟419具體為如果終端通過(guò)安全認(rèn) 證,確定該終端的安全信息為安全,并記錄至所述已創(chuàng)建的安全信息列表中,在所述終端未 通過(guò)安全認(rèn)證或者身份認(rèn)證后,確定該終端的安全信息為不安全,并記錄至所述已創(chuàng)建的 安全信息列表;之后,發(fā)送認(rèn)證結(jié)果(該認(rèn)證結(jié)果包含終端通過(guò)安全認(rèn)證、通過(guò)身份認(rèn)證、 未通過(guò)安全認(rèn)證和未通過(guò)身份認(rèn)證的結(jié)果)至終端。步驟420的終端通過(guò)認(rèn)證實(shí)質(zhì)為通過(guò) 安全認(rèn)證。下面對(duì)上述步驟418中的操作進(jìn)行描述。參見(jiàn)圖6,圖6為本發(fā)明實(shí)施例提供的步驟418的操作流程圖。如圖6所示,該流 程可包括以下步驟步驟601,客戶端觸使終端發(fā)送身份認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器。在上述步驟417中,DHCP WEB服務(wù)器提供的客戶端攜帶了用戶終端在所述DHCP認(rèn) 證頁(yè)面中提交的認(rèn)證參數(shù),如此,本步驟601中的身份認(rèn)證請(qǐng)求可以攜帶所述認(rèn)證參數(shù)。步驟602,所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行身份認(rèn)證,在終端通過(guò)身份認(rèn)證時(shí),告 知給客戶端。通常,為實(shí)現(xiàn)身份認(rèn)證,會(huì)預(yù)先配置一個(gè)身份認(rèn)證參數(shù)表,當(dāng)認(rèn)證服務(wù)器接收到身 份認(rèn)證請(qǐng)求后,會(huì)將該身份認(rèn)證請(qǐng)求攜帶的認(rèn)證參數(shù)和身份認(rèn)證參數(shù)表中的相應(yīng)認(rèn)證參數(shù) 進(jìn)行匹配,如果完全匹配,則表示終端通過(guò)身份認(rèn)證,否則,則表示終端未通過(guò)身份認(rèn)證。作為本發(fā)明實(shí)施例的一種擴(kuò)展,在終端未通過(guò)身份認(rèn)證時(shí),也可告知給客戶端,只 不過(guò)該客戶端不再執(zhí)行下述步驟603。步驟603,所述客戶端在所述終端通過(guò)身份認(rèn)證后,觸使終端發(fā)送安全認(rèn)證請(qǐng)求至 認(rèn)證服務(wù)器。步驟604,所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行安全認(rèn)證。至此,完成了圖6所示的流程。在圖6所示的流程中,步驟603和步驟604之間還可進(jìn)一步包括以下步驟所述認(rèn) 證服務(wù)器接收到安全認(rèn)證請(qǐng)求后,確定用于對(duì)該終端進(jìn)行安全認(rèn)證的認(rèn)證策略,并告知給 客戶端;客戶端從終端上查找該認(rèn)證策略對(duì)應(yīng)的安全認(rèn)證參數(shù),并觸使終端通知給認(rèn)證服
11務(wù)器?;诖?,步驟604具體為認(rèn)證服務(wù)器對(duì)該安全認(rèn)證參數(shù)進(jìn)行安全認(rèn)證,通常,為實(shí)現(xiàn) 安全認(rèn)證,會(huì)預(yù)先配置一個(gè)安全認(rèn)證參數(shù)表,當(dāng)認(rèn)證服務(wù)器接收到安全認(rèn)證參數(shù)后,會(huì)將該 安全認(rèn)證參數(shù)和安全認(rèn)證參數(shù)表中的相應(yīng)認(rèn)證參數(shù)進(jìn)行匹配,如果完全匹配,則表示終端 通過(guò)身份認(rèn)證,否則,則表示終端未通過(guò)身份認(rèn)證。至此,完成了對(duì)本發(fā)明實(shí)施例提供的方法的描述。參見(jiàn)圖7,圖7為本發(fā)明實(shí)施例提供的認(rèn)證系統(tǒng)結(jié)構(gòu)圖。如圖7所示,該系統(tǒng)包括 終端701、認(rèn)證服務(wù)器702、DHCP服務(wù)器703和DNS服務(wù)器704 ;其關(guān)鍵在于,該系統(tǒng)還包括 DHCP代理服務(wù)器705和DNS代理服務(wù)器706。其中,DHCP服務(wù)器703用于向終端701發(fā)送攜帶了 DNS服務(wù)器地址的DHCP回應(yīng) 報(bào)文;DHCP代理服務(wù)器705用于截獲DHCP服務(wù)器703發(fā)送的DHCP回應(yīng)報(bào)文,并判斷終 端701是否安全,如果終端701不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器的地址修改為 DNS代理服務(wù)器的地址,向終端701轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文;終端701用于在接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向 DNS代理服務(wù)器706的地址發(fā)送域名解析請(qǐng)求;DNS代理服務(wù)器706用于接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器702對(duì)終端701 進(jìn)行認(rèn)證。本實(shí)施例中,所述DHCP回應(yīng)報(bào)文還攜帶了終端的MAC地址;基于此,DHCP代理服 務(wù)器705在執(zhí)行判斷終端是否安全之前進(jìn)一步判斷所述DHCP回應(yīng)報(bào)文攜帶的終端MAC地 址是否為免認(rèn)證的MAC地址,如果否,繼續(xù)執(zhí)行判斷終端701是否安全的操作,否則,向終端 701轉(zhuǎn)發(fā)截獲的DHCP回應(yīng)報(bào)文;終端701還用于接收該截獲的DHCP回應(yīng)報(bào)文,并在訪問(wèn)外部網(wǎng)絡(luò)資源時(shí),向該 DHCP回應(yīng)報(bào)文攜帶的DNS服務(wù)器的地址發(fā)送域名解析請(qǐng)求;DNS服務(wù)器704用于在接收到域名解析請(qǐng)求后,執(zhí)行域名解析操作,并將解析后的 域名發(fā)送給終端701,以使終端701訪問(wèn)外部網(wǎng)絡(luò)資源。本實(shí)施例中,DNS代理服務(wù)器706在接收到域名解析請(qǐng)求之后,且在觸使認(rèn)證服 務(wù)器對(duì)終端進(jìn)行認(rèn)證之前,進(jìn)一步用于判斷所述域名解析請(qǐng)求攜帶的域名是否為免認(rèn)證域 名,如果否,執(zhí)行觸使認(rèn)證服務(wù)器702對(duì)終端701進(jìn)行認(rèn)證的操作,如果是,直接將所述域名 解析請(qǐng)求發(fā)送給DNS704,由DNS服務(wù)器704對(duì)該域名解析請(qǐng)求攜帶的域名進(jìn)行解析、并將解 析后的域名發(fā)送給終端,以使終端訪問(wèn)外部網(wǎng)絡(luò)資源。如圖7所示,該系統(tǒng)還包括DHCP WEB服務(wù)器707和客戶端708 ;DNS代理服務(wù)器706用于將所述域名解析請(qǐng)求攜帶的域名解析為所述DHCP WEB服 務(wù)器的地址,并發(fā)送給終端,以使所述終端向所述DHCP WEB服務(wù)器的地址發(fā)送HTTP請(qǐng)求;DHCP WEB服務(wù)器707用于接收到所述HTTP請(qǐng)求后,提供DHCP認(rèn)證頁(yè)面給所述終 端,以使所述終端通過(guò)所述DHCP認(rèn)證頁(yè)面提交認(rèn)證請(qǐng)求;以及在接收到所述認(rèn)證請(qǐng)求后, 提供客戶端至所述終端??梢钥闯?,客戶端708是運(yùn)行在終端701上的。終端701上的客戶端708用于觸使認(rèn)證服務(wù)器702對(duì)終端701進(jìn)行認(rèn)證。本實(shí)施例中,所述DHCP回應(yīng)報(bào)文為DHCP服務(wù)器703對(duì)終端發(fā)送的用于請(qǐng)求IP地 址的DHCP請(qǐng)求報(bào)文的回應(yīng);認(rèn)證服務(wù)器702在所述終端通過(guò)認(rèn)證后,告知給所述終端;該終端上的客戶端在獲知所述終端通過(guò)安全認(rèn)證時(shí),觸使所述終端發(fā)送DHCP請(qǐng)求報(bào)文。另外,本發(fā)明實(shí)施例還提供了一種應(yīng)用于認(rèn)證的DHCP代理服務(wù)器。參見(jiàn)圖8,圖8 為本發(fā)明實(shí)施例提供的DHCP代理服務(wù)器結(jié)構(gòu)圖。如圖8所示,該DHCP代理服務(wù)器包括截獲單元801,用于截獲DHCP服務(wù)器向終端發(fā)送的攜帶了 DNS服務(wù)器地址的DHCP 回應(yīng)報(bào)文;判斷單元802,用于判斷終端是否安全;處理單元803,用于在判斷單元802的判斷結(jié)果為否時(shí),將該DHCP回應(yīng)報(bào)文中DNS 服務(wù)器的地址修改為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以保證 終端在接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的 地址發(fā)送域名解析請(qǐng)求,由該DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì) 所述終端進(jìn)行認(rèn)證。至此,完成圖8所示的DHCP代理服務(wù)器的結(jié)構(gòu)描述。以上對(duì)本發(fā)明實(shí)施例提供的系統(tǒng)和DHCP代理服務(wù)器的結(jié)構(gòu)進(jìn)行了描述。由以上技術(shù)方案可以看出,本發(fā)明達(dá)到的技術(shù)效果為1),通過(guò)安裝一個(gè)DHCP代理服務(wù)器,該DHCP代理服務(wù)器不會(huì)影響DHCP服務(wù)器為 終端分配IP地址的操作,并且,該DHCP代理服務(wù)器通常是搭載在現(xiàn)有DHCP服務(wù)器上的一 個(gè)插件,部署方便,不影響現(xiàn)有架構(gòu)。2),通過(guò)在網(wǎng)絡(luò)中部署一個(gè)DNS代理服務(wù)器,DNS代理服務(wù)器將不安全終端的域名 解析請(qǐng)求全部定向到DHCP WEB服務(wù)器上,以使DHCP WEB服務(wù)器向不安全終端提供認(rèn)證頁(yè) 面。該DNS代理服務(wù)器利用了已有的域名解析機(jī)制,無(wú)需任何接入設(shè)備的配合即可使DHCP WEB服務(wù)器推出認(rèn)證頁(yè)面,部署方便。3),DHCP WEB認(rèn)證頁(yè)面可自動(dòng)將客戶端下載至終端,觸使終端發(fā)起認(rèn)證,這樣,一 方面避免了在用戶終端安裝客戶端的復(fù)雜性,另一方面,又實(shí)現(xiàn)了以WEB方式實(shí)現(xiàn)認(rèn)證(該 認(rèn)證可包括身份認(rèn)證和安全認(rèn)證)。4), DHCP代理服務(wù)器在發(fā)送查詢請(qǐng)求失敗或者認(rèn)證服務(wù)器無(wú)法確定客戶端的安全 情況時(shí),利用DHCP分配IP地址的租期特性,為DHCP回應(yīng)報(bào)文中的IP地址定義一個(gè)租期期 限(該期限一般比較短),在租期期限達(dá)時(shí),終端會(huì)再次發(fā)送DHCP請(qǐng)求報(bào)文請(qǐng)求IP地址,保 證第一時(shí)間進(jìn)入本發(fā)明提供的方法。5),本發(fā)明中,通過(guò)DHCP代理服務(wù)器提供免認(rèn)證MAC地址的控制實(shí)現(xiàn)某些無(wú)需受 到認(rèn)證限制即可直接訪問(wèn)外網(wǎng)的特定終端盡快訪問(wèn)到外網(wǎng);進(jìn)一步地,本發(fā)明通過(guò)DNS代 理服務(wù)器提供免認(rèn)證域名的控制實(shí)現(xiàn)某些終端無(wú)需認(rèn)證即可訪問(wèn)DNS服務(wù)器,這提高了本 發(fā)明的應(yīng)用性。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精 神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種認(rèn)證方法,該方法應(yīng)用于包含終端、認(rèn)證服務(wù)器、DHCP服務(wù)器和DNS服務(wù)器的系 統(tǒng)中,其特征在于,所述系統(tǒng)還包括=DHCP代理服務(wù)器和DNS代理服務(wù)器;該方法包括A,DHCP代理服務(wù)器截獲DHCP服務(wù)器向終端發(fā)送的攜帶了 DNS服務(wù)器地址的DHCP回 應(yīng)報(bào)文,并判斷終端是否安全,如果不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器的地址修改 為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以使終端在接收到修改后 的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的地址發(fā)送域名解析請(qǐng) 求;B,DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟A中,判斷終端是否安全包括Al,所述DHCP代理服務(wù)器發(fā)送詢問(wèn)請(qǐng)求至所述認(rèn)證服務(wù)器;A2,所述認(rèn)證服務(wù)器接收到所述詢問(wèn)請(qǐng)求后,判斷已創(chuàng)建的安全信息列表中是否存在 所述終端的安全信息,如果是,將該存在的安全信息發(fā)送給所述DHCP代理服務(wù)器;A3,所述DHCP代理服務(wù)器判斷該終端的安全信息是表示安全還是不安全,如果是前 者,則確定終端安全,如果是后者,則確定終端不安全。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述DHCP回應(yīng)報(bào)文還攜帶了終端的 MAC地址;步驟A中,DHCP代理服務(wù)器在判斷終端是否安全之前進(jìn)一步包括判斷所述DHCP回應(yīng)報(bào)文攜帶的終端MAC地址是否為免認(rèn)證的MAC地址,如果否,繼續(xù) 執(zhí)行判斷終端是否安全的操作。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,如果判斷出終端安全,或者,如果判斷出 DHCP回應(yīng)報(bào)文攜帶的終端MAC地址為免認(rèn)證的MAC地址,則該方法進(jìn)一步包括向終端轉(zhuǎn)發(fā)該截獲的DHCP回應(yīng)報(bào)文,以使終端在接收到該DHCP回應(yīng)報(bào)文后,若需要訪 問(wèn)外部網(wǎng)絡(luò)資源,向該DHCP回應(yīng)報(bào)文包含的DNS服務(wù)器的地址發(fā)送域名解析請(qǐng)求;當(dāng)DNS服務(wù)器接收到域名解析請(qǐng)求后,執(zhí)行域名解析操作,并將解析后的域名發(fā)送給 終端,以使終端訪問(wèn)外部網(wǎng)絡(luò)資源。
5.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述DHCP回應(yīng)報(bào)文為DHCP服務(wù)器對(duì)終端 發(fā)送的用于請(qǐng)求IP地址的DHCP請(qǐng)求報(bào)文的回應(yīng),其還攜帶了 DHCP服務(wù)器為所述終端分配 的IP地址;如果步驟Al中的詢問(wèn)請(qǐng)求發(fā)送失敗,或者步驟A2中的判斷結(jié)果為否,則該方法進(jìn)一步 包括所述DHCP代理服務(wù)器為所述DHCP回應(yīng)報(bào)文攜帶的IP地址設(shè)置租期期限,在完成設(shè) 置后向所述終端發(fā)送設(shè)置后的DHCP回應(yīng)報(bào)文,以使所述終端在接收的DHCP回應(yīng)報(bào)文所攜 帶的IP地址的租期期限到達(dá)時(shí),再次發(fā)送所述DHCP請(qǐng)求報(bào)文,并返回步驟A。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟B中,DNS代理服務(wù)器在接收到域名 解析請(qǐng)求之后,且在觸使認(rèn)證服務(wù)器對(duì)終端進(jìn)行認(rèn)證之前,進(jìn)一步包括判斷所述域名解析請(qǐng)求攜帶的域名是否為免認(rèn)證域名,如果否,執(zhí)行觸使認(rèn)證服務(wù)器 對(duì)終端進(jìn)行認(rèn)證的操作,如果是,直接將所述域名解析請(qǐng)求發(fā)送給DNS服務(wù)器,由DNS服務(wù) 器對(duì)該域名解析請(qǐng)求攜帶的域名進(jìn)行解析、并將解析后的域名發(fā)送給終端,以使終端訪問(wèn) 外部網(wǎng)絡(luò)資源。
7.根據(jù)權(quán)利要求1或6所述的方法,其特征在于,所述系統(tǒng)還包括用于推送DHCP認(rèn)證頁(yè)面的DHCP WEB服務(wù)器;步驟B中,DNS代理服務(wù)器觸使認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證包括 Bi,DNS代理服務(wù)器將所述域名解析請(qǐng)求攜帶的域名解析為所述DHCPWEB服務(wù)器的地 址,并發(fā)送給終端,以使所述終端向所述DHCP WEB服務(wù)器的地址發(fā)送HTTP請(qǐng)求;B2,所述DHCP WEB服務(wù)器接收到所述HTTP請(qǐng)求后,提供DHCP認(rèn)證頁(yè)面給所述終端,以 使所述終端通過(guò)所述DHCP認(rèn)證頁(yè)面提交認(rèn)證請(qǐng)求;B3,所述DHCP WEB服務(wù)器在接收到所述認(rèn)證請(qǐng)求后,提供客戶端至所述終端; B4,所述客戶端觸使所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,步驟B4包括 B41,客戶端觸使終端發(fā)送身份認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器;B42,所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行身份認(rèn)證,在所述終端通過(guò)身份認(rèn)證后,告知給 終端;B43,所述客戶端在獲知所述終端通過(guò)身份認(rèn)證后觸使終端發(fā)送安全認(rèn)證請(qǐng)求至認(rèn)證 服務(wù)器;B44,所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行安全認(rèn)證。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,該方法進(jìn)一步包括所述認(rèn)證服務(wù)器在所 述終端通過(guò)安全認(rèn)證后,確定該終端的安全信息為安全,并記錄至所述已創(chuàng)建的安全信息 列表中,在所述終端未通過(guò)安全認(rèn)證或者身份認(rèn)證后,確定該終端的安全信息為不安全,并 記錄至所述已創(chuàng)建的安全信息列表。
10.根據(jù)權(quán)利要求8或9所述的方法,其特征在于,所述DHCP回應(yīng)報(bào)文為DHCP服務(wù)器 對(duì)終端發(fā)送的用于請(qǐng)求IP地址的DHCP請(qǐng)求報(bào)文的回應(yīng);該方法進(jìn)一步包括所述認(rèn)證服務(wù)器在所述終端通過(guò)安全認(rèn)證后,告知給所述終端,所 述客戶端在獲知所述終端通過(guò)安全認(rèn)證時(shí),觸使所述終端發(fā)送DHCP請(qǐng)求報(bào)文,并返回執(zhí)行 步驟A。
11.一種認(rèn)證系統(tǒng),該系統(tǒng)包括終端、認(rèn)證服務(wù)器、DHCP服務(wù)器和DNS服務(wù)器;其特征 在于,該系統(tǒng)還包括DHCP代理服務(wù)器和DNS代理服務(wù)器;所述DHCP服務(wù)器用于向終端發(fā)送攜帶了 DNS服務(wù)器地址的DHCP回應(yīng)報(bào)文; 所述DHCP代理服務(wù)器用于截獲所述DHCP服務(wù)器發(fā)送的DHCP回應(yīng)報(bào)文,并判斷所述終 端是否安全,如果所述終端不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器的地址修改為所述 DNS代理服務(wù)器的地址,向所述終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文;所述終端用于在接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS 代理服務(wù)器的地址發(fā)送域名解析請(qǐng)求;所述DNS代理服務(wù)器用于接收到域名解析請(qǐng)求后,觸使所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn) 行認(rèn)證。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述DHCP回應(yīng)報(bào)文還攜帶了終端的 MAC地址;所述DHCP代理服務(wù)器在執(zhí)行判斷終端是否安全之前進(jìn)一步判斷所述DHCP回應(yīng)報(bào)文攜 帶的終端MAC地址是否為免認(rèn)證的MAC地址,如果否,繼續(xù)執(zhí)行判斷終端是否安全的操作, 否則,向終端轉(zhuǎn)發(fā)截獲的DHCP回應(yīng)報(bào)文;所述終端還用于接收該截獲的DHCP回應(yīng)報(bào)文,并在訪問(wèn)外部網(wǎng)絡(luò)資源時(shí),向該DHCP回 應(yīng)報(bào)文攜帶的DNS服務(wù)器的地址發(fā)送域名解析請(qǐng)求;所述DNS服務(wù)器用于在接收到域名解析請(qǐng)求后,執(zhí)行域名解析操作,并將解析后的域 名發(fā)送給終端,以使終端訪問(wèn)外部網(wǎng)絡(luò)資源。
13.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述DNS代理服務(wù)器在接收到域名解析 請(qǐng)求之后,且在觸使認(rèn)證服務(wù)器對(duì)終端進(jìn)行認(rèn)證之前,進(jìn)一步用于判斷所述域名解析請(qǐng)求 攜帶的域名是否為免認(rèn)證域名,如果否,執(zhí)行觸使認(rèn)證服務(wù)器對(duì)終端進(jìn)行認(rèn)證的操作,如果 是,直接將所述域名解析請(qǐng)求發(fā)送給DNS服務(wù)器,由DNS服務(wù)器對(duì)該域名解析請(qǐng)求攜帶的域 名進(jìn)行解析、并將解析后的域名發(fā)送給終端,以使終端訪問(wèn)外部網(wǎng)絡(luò)資源。
14.根據(jù)權(quán)利要求11或13所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括DHCPTOB服務(wù) 器和客戶端;所述DNS代理服務(wù)器用于將所述域名解析請(qǐng)求攜帶的域名解析為所述DHCP WEB服務(wù) 器的地址,并發(fā)送給終端,以使所述終端向所述DHCP WEB服務(wù)器的地址發(fā)送HTTP請(qǐng)求;所述DHCP WEB服務(wù)器用于接收到所述HTTP請(qǐng)求后,提供DHCP認(rèn)證頁(yè)面給所述終端, 以使所述終端通過(guò)所述DHCP認(rèn)證頁(yè)面提交認(rèn)證請(qǐng)求;以及在接收到所述認(rèn)證請(qǐng)求后,提供 客戶端至所述終端;所述客戶端用于觸使所述認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證。
15.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于,所述DHCP回應(yīng)報(bào)文為DHCP服務(wù)器對(duì)終 端發(fā)送的用于請(qǐng)求IP地址的DHCP請(qǐng)求報(bào)文的回應(yīng);所述認(rèn)證服務(wù)器在所述終端通過(guò)認(rèn)證后,告知給所述終端;所述客戶端在獲知所述終端通過(guò)安全認(rèn)證時(shí),觸使所述終端發(fā)送DHCP請(qǐng)求報(bào)文。
16.一種應(yīng)用于認(rèn)證的DHCP代理服務(wù)器,其特征在于,所述DHCP代理服務(wù)器包括截獲單元,用于截獲DHCP服務(wù)器向終端發(fā)送的攜帶了 DNS服務(wù)器地址的DHCP回應(yīng)報(bào)文;判斷單元,用于判斷終端是否安全;處理單元,用于在所述判斷單元的判斷結(jié)果為否時(shí),將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器 的地址修改為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以保證終端在 接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的地址發(fā) 送域名解析請(qǐng)求,由該DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)所述終 端進(jìn)行認(rèn)證。
全文摘要
本發(fā)明提供了一種認(rèn)證方法、系統(tǒng)和DHCP代理服務(wù)器。其中,該方法包括A,DHCP代理服務(wù)器截獲DHCP服務(wù)器向終端發(fā)送的攜帶了DNS服務(wù)器地址的DHCP回應(yīng)報(bào)文,并判斷終端是否安全,如果不安全,則將該DHCP回應(yīng)報(bào)文中DNS服務(wù)器的地址修改為DNS代理服務(wù)器的地址,向終端轉(zhuǎn)發(fā)修改后的DHCP回應(yīng)報(bào)文,以使終端在接收到修改后的DHCP回應(yīng)報(bào)文后,若需要訪問(wèn)外部網(wǎng)絡(luò)資源,向DNS代理服務(wù)器的地址發(fā)送域名解析請(qǐng)求;B,DNS代理服務(wù)器接收到域名解析請(qǐng)求后,觸使認(rèn)證服務(wù)器對(duì)所述終端進(jìn)行認(rèn)證。采用本發(fā)明,無(wú)需接入設(shè)備的配合即可實(shí)現(xiàn)終端的認(rèn)證。
文檔編號(hào)H04L29/12GK102111406SQ20101061210
公開(kāi)日2011年6月29日 申請(qǐng)日期2010年12月20日 優(yōu)先權(quán)日2010年12月20日
發(fā)明者于紅, 劉安 申請(qǐng)人:杭州華三通信技術(shù)有限公司