本發(fā)明涉及數(shù)據(jù)通信領域,尤其是一種終端接入控制的方法和服務器。
背景技術(shù):
在醫(yī)院,政府等內(nèi)網(wǎng)環(huán)境中,為了對終端做安全校驗,一般是采用802.1x或者portal認證的方式。該流程無法獲取終端資產(chǎn)信息,因此又演化了推送一個web頁面,讓用戶自己輸入個人信息,提交后,管理員授權(quán),完成終端上線流程。一個完整的認證流程,一般包括以下步驟:
(一)dhcp過程:
dhcp租約過程就是dhcp終端動態(tài)獲取ip地址的過程。
dhcp租約過程分為四步:
①終端請求ip地址(終端發(fā)dhcpdiscover廣播包);
②服務器響應(服務器發(fā)dhcpoffer廣播包);
③終端選擇ip地址(終端發(fā)dhcprequest廣播包);
④服務器確定租約(服務器發(fā)dhcpack/dhcpnak廣播包)
(二)portal認證過程
portal認證通常也稱為web認證,一般將portal認證網(wǎng)站稱為門戶網(wǎng)站。
未認證用戶上網(wǎng)時,設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時,必須在門戶網(wǎng)站進行認證,只有認證通過后才可以使用互聯(lián)網(wǎng)資源。
用戶可以主動訪問已知的portal認證網(wǎng)站,輸入用戶名和密碼進行認證,這種開始portal認證的方式稱作主動認證。反之,如果用戶試圖通過http訪問其他外網(wǎng),將被強制訪問portal認證網(wǎng)站,從而開始portal認證過程,這種方式稱作強制認證。
這種認證方式有賬號(用戶名和密碼),存在較多維護和使用的麻煩;
在醫(yī)院/政府等內(nèi)網(wǎng)環(huán)境中,逐漸形成了一種簡化的認證流程。即在portal認證過程中推送web頁面,用戶輸入個人信息,之后管理員授權(quán)后,完成整體上線過程。
現(xiàn)有技術(shù)方案中存在以下問題:
需要借助于portal認證流程,該方案部署也較為麻煩,比如需要將網(wǎng)絡中所有接入設備設置為nas(網(wǎng)絡接入服務器networkattachedserver),逐一配置portal認證功能,不同廠家還有產(chǎn)品型號和軟件版本兼容性問題(因為對于portal認證流程,業(yè)界沒有統(tǒng)一的標準)。
技術(shù)實現(xiàn)要素:
為了解決上述技術(shù)問題,本發(fā)明的實施例采用如下技術(shù)方案:
一種終端接入控制的方法,應用于包含dns服務模塊和dhcp服務模塊的服務器中,包括:
接收終端發(fā)送的第一dhcp地址分配請求,
根據(jù)所述第一dhcp地址分配請求給所述終端分配第一ip地址,所述第一ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的黑名單中;為所述第一ip地址設置第一租約;
將所述第一ip地址和所述服務器的ip地址發(fā)送給所述終端,以便于所述終端在所述第一租約內(nèi)以所述第一ip地址為源ip地址,以所述服務器的ip地址為目的ip地址向所述服務器發(fā)送dns解析請求;
接收所述dns解析請求,當所述第一ip地址在預設的地址池中時,向所述終端發(fā)送認證信息輸入頁面,以便于所述終端通過所述頁面輸入并向所述服務器提交第一認證信息;
接收所述第一認證信息并確認所述第一認證信息的合法性;
當所述第一認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與所述dhcp服務模塊分配的第二ip地址進行綁定;
接收所述終端在所述第一租約結(jié)束后發(fā)送的第二dhcp地址分配請求,根據(jù)所述第二dhcp地址分配請求中的mac地址查詢對應的所述第二ip地址;
將所述第二ip地址發(fā)送給所述終端,以便于所述終端根據(jù)所述第二ip地址接入網(wǎng)絡。
可選的,所述第一認證信息包括:登錄所述終端的用戶的身份信息。
可選的,所述方法還包括:
獲取第二認證信息,所述第二認證信息包括:所述終端的標識和/或所述終端的位置信息;
所述確認所述第一認證信息的合法性的步驟具體包括:
確認所述第一認證信息和所述第二認證信息的合法性;
所述當所述第一認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與第二ip地址進行綁定的步驟具體包括:
當所述第一認證信息和所述第二認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與第二ip地址進行綁定。
可選的,所述第二ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的白名單中。
可選的,所述方法還包括,對所述第二ip地址設置第二租約,所述第二租約大于所述第一租約。
本發(fā)明實施例的另一方面在于還提供一種終端接入控制的服務器,包括:
第一接收模塊,用于接收終端發(fā)送的第一dhcp地址分配請求,
地址分配模塊,用于根據(jù)所述第一dhcp地址分配請求給所述終端分配第一ip地址,所述第一ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的黑名單中;
設置模塊,用于為所述第一ip地址設置第一租約;
第一發(fā)送模塊,用于將所述第一ip地址和所述服務器的ip地址發(fā)送給所述終端,以便于所述終端在所述第一租約內(nèi)以所述第一ip地址為源ip地址,以所述服務器的ip地址為目的ip地址向所述服務器發(fā)送dns解析請求;
第二接收模塊,用于接收所述dns解析請求,
第二發(fā)送模塊,用于當所述第一ip地址在預設的地址池中時,向所述終端發(fā)送認證信息輸入頁面,以便于所述終端通過所述頁面輸入并向所述服務器提交第一認證信息;
認證信息獲取模塊,用于接收所述第一認證信息;
認證模塊,用于確認所述第一認證信息的合法性;
綁定模塊,用于當所述第一認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與地址分配模塊分配的第二ip地址進行綁定;
第一接收模塊,還用于接收所述終端在所述第一租約結(jié)束后發(fā)送的第二dhcp地址分配請求,
查詢模塊,用于根據(jù)所述第二dhcp地址分配請求中的mac地址查詢對應的所述第二ip地址;
所述第一發(fā)送模塊,還用于將所述第二ip地址發(fā)送給所述終端,以便于所述終端根據(jù)所述第二ip地址接入網(wǎng)絡。
可選的,所述第一認證信息包括:登錄所述終端的用戶的身份信息。
可選的,
所述認證信息獲取模塊還用于,獲取第二認證信息,所述第二認證信息包括:所述終端的標識和/或所述終端的位置信息;
所述認證模塊具體用于:
確認所述第一認證信息和所述第二認證信息的合法性;
所述綁定模塊具體用于:
當所述第一認證信息和所述第二認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與第二ip地址進行綁定。
可選的,所述第二ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的白名單中。
可選的,所述設置模塊,還用于對所述第二ip地址設置第二租約,所述第二租約大于所述第一租約。
本發(fā)明實施例的有益效果在于:解決了傳統(tǒng)利用portal認證采集用戶自然信息時部署復雜的問題,避免了接入網(wǎng)絡設備配置的麻煩和各種接入網(wǎng)絡設備兼容性問題,整個方案具有良好的適配性。
附圖說明
為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實施例的一種方法流程圖;
圖2為本發(fā)明實施例的一種方法流程圖;
圖3為本發(fā)明實施例的一種裝置結(jié)構(gòu)圖。
具體實施方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明第一實施例提供一種終端接入控制的方法,應用于包含dns服務模塊和dhcp服務模塊的服務器中,如圖1所示,包括:
s101,接收終端發(fā)送的第一dhcp地址分配請求,
s103,根據(jù)所述第一dhcp地址分配請求給所述終端分配第一ip地址,所述第一ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的黑名單中;
其中,在步驟s101和s103中,未被授權(quán)過的新終端通過dhcp過程動態(tài)獲取ip地址,此時,服務器區(qū)的dhcp服務模塊判斷該終端第一次上線(通過查找dhcp內(nèi)部數(shù)據(jù)庫),根據(jù)dhcp地址分配請求報文中攜帶的giaddr參數(shù)查找對應的地址池,找到后,再進一步確認該地址池配置的臨時網(wǎng)段,此時給該終端分配未被使用的臨時ip地址,即第一ip地址;
s105,為所述第一ip地址設置第一租約;可選的,第一租約的默認臨時租期5分鐘(該參數(shù)可以設置);
s107,將所述第一ip地址和所述服務器的ip地址發(fā)送給所述終端,以便于所述終端在所述第一租約內(nèi)以所述第一ip地址為源ip地址,以所述服務器的ip地址為目的ip地址向所述服務器發(fā)送dns解析請求;
其中,該終端發(fā)起任何http頁面訪問,都會觸發(fā)dns查詢報文,報文會通過路由轉(zhuǎn)發(fā)給所述服務器;
s109,接收所述dns解析請求,
s111,當所述第一ip地址在預設的地址池中時,向所述終端發(fā)送認證信息輸入頁面,以便于所述終端通過所述頁面輸入并向所述服務器提交第一認證信息;
其中,服務器查看dns解析請求報文的源ip地址,如果能夠匹配預先配置的源ip網(wǎng)段(臨時ip地址段),則向終端推送預先定義的http頁面。讓終端用戶輸入姓名,職務,郵箱,電話,部門等信息。
s113,接收所述第一認證信息;
s115,確認所述第一認證信息的合法性;
其中,終端用戶在5分鐘內(nèi)提交第一認證信息,則該第一認證信息會出現(xiàn)在服務器對應的“新用戶授權(quán)”界面;如果超過5分鐘未完成提交,則重新走步驟s101;如果第一認證信息已經(jīng)提交,但管理員還未確認所述第一認證信息的合法性,則dns服務模塊會推送用戶提交的回顯信息給用戶,并告知用戶請等候管理員審核或者聯(lián)系管理員;
s117,當所述第一認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與所述dhcp服務模塊分配的第二ip地址進行綁定;
其中,如果管理員確認所述第一認證信息合法,則會從合法ip段選擇空閑ip地址,即第二ip地址,分配給該終端;
s119,接收所述終端在所述第一租約結(jié)束后發(fā)送的第二dhcp地址分配請求,
s121,根據(jù)所述第二dhcp地址分配請求中的mac地址查詢對應的所述第二ip地址;
s123,將所述第二ip地址發(fā)送給所述終端,以便于所述終端根據(jù)所述第二ip地址接入網(wǎng)絡。
本發(fā)明實施例的有益效果在于:解決了傳統(tǒng)利用portal認證采集用戶自然信息時部署復雜的問題,避免了接入網(wǎng)絡設備配置的麻煩和各種接入網(wǎng)絡設備兼容性問題,整個方案具有良好的適配性。
可選的,基于本發(fā)明第一實施例,本發(fā)明第二實施例中,所述第一認證信息包括:登錄所述終端的用戶的身份信息。
可選的,基于本發(fā)明第一實施例或第二實施例,本發(fā)明第三實施例如圖2所示,所述方法還包括:
s1011,獲取第二認證信息,所述第二認證信息包括:所述終端的標識和/或所述終端的位置信息;其中,可以從所述第一dhcp地址分配請求中獲取第二認證信息;在其他實施例中,步驟s1011可以在步驟s101與步驟s117之間的任何步驟進行,這里不一一贅述。
所述步驟s115具體包括:
確認所述第一認證信息和所述第二認證信息的合法性;
所述步驟s117具體包括:
當所述第一認證信息和所述第二認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與第二ip地址進行綁定。
可選的,基于本發(fā)明第一實施例,本發(fā)明第四實施例中,所述第二ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的白名單中。
可選的,基于本發(fā)明第一實施例,本發(fā)明第五實施例中,所述方法還包括:對所述第二ip地址設置第二租約,所述第二租約大于所述第一租約。
本發(fā)明實施例的另一方面在于還提供一種終端接入控制的服務器,本發(fā)明第六實施例如圖3所示,包括:
第一接收模塊201,用于接收終端發(fā)送的第一dhcp地址分配請求,
地址分配模塊203,用于根據(jù)所述第一dhcp地址分配請求給所述終端分配第一ip地址,所述第一ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的黑名單中;
設置模塊205,用于為所述第一ip地址設置第一租約;
第一發(fā)送模塊207,用于將所述第一ip地址和所述服務器的ip地址發(fā)送給所述終端,以便于所述終端在所述第一租約內(nèi)以所述第一ip地址為源ip地址,以所述服務器的ip地址為目的ip地址向所述服務器發(fā)送dns解析請求;
第二接收模塊209,用于接收所述dns解析請求,
第二發(fā)送模塊211,用于當所述第一ip地址在預設的地址池中時,向所述終端發(fā)送認證信息輸入頁面,以便于所述終端通過所述頁面輸入并向所述服務器提交第一認證信息;
認證信息獲取模塊213,用于接收所述第一認證信息;
認證模塊215,用于確認所述第一認證信息的合法性;
綁定模塊217,用于當所述第一認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與地址分配模塊203分配的第二ip地址進行綁定;
第一接收模塊201,還用于接收所述終端在所述第一租約結(jié)束后發(fā)送的第二dhcp地址分配請求,
查詢模塊219,用于根據(jù)所述第二dhcp地址分配請求中的mac地址查詢對應的所述第二ip地址;
所述第一發(fā)送模塊207,還用于將所述第二ip地址發(fā)送給所述終端,以便于所述終端根據(jù)所述第二ip地址接入網(wǎng)絡。
可選的,基于本發(fā)明第六實施例,本發(fā)明第七實施例中,所述第一認證信息包括:登錄所述終端的用戶的身份信息。
可選的,基于本發(fā)明第六實施例和第七實施例,本發(fā)明第八實施例中,
所述認證信息獲取模塊213還用于,獲取第二認證信息,所述第二認證信息包括:所述終端的標識和/或所述終端的位置信息;
所述認證模塊215具體用于:
確認所述第一認證信息和所述第二認證信息的合法性;
所述綁定模塊217具體用于:
當所述第一認證信息和所述第二認證信息合法時,將所述第一dhcp地址分配請求中的mac地址與第二ip地址進行綁定。
可選的,基于本發(fā)明第六實施例,本發(fā)明第九實施例中,所述第二ip地址在與所述服務器處于同一網(wǎng)絡的網(wǎng)關(guān)設備上的訪問外部網(wǎng)絡的白名單中。
可選的,基于本發(fā)明第六實施例,本發(fā)明第十實施例中,所述設置模塊205,還用于對所述第二ip地址設置第二租約,所述第二租約大于所述第一租約。
本發(fā)明實施例的有益效果在于:解決了傳統(tǒng)利用portal認證采集用戶自然信息時部署復雜的問題,避免了接入網(wǎng)絡設備配置的麻煩和各種接入網(wǎng)絡設備兼容性問題,整個方案具有良好的適配性。
本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
最后應說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術(shù)人員應當理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。