[发明专利]一种终端接入控制的方法和服务器

说明书

技术领域

本发明涉及数据通信领域，尤其是一种终端接入控制的方法和服务器。

背景技术

在医院，政府等内网环境中，为了对终端做安全校验，一般是采用802.1x或者Portal认证的方式。该流程无法获取终端资产信息，因此又演化了推送一个Web页面，让用户自己输入个人信息，提交后，管理员授权，完成终端上线流程。一个完整的认证流程，一般包括以下步骤：

(一)DHCP过程：

DHCP租约过程就是DHCP终端动态获取IP地址的过程。

DHCP租约过程分为四步：

①终端请求IP地址(终端发DHCPDISCOVER广播包)；

②服务器响应(服务器发DHCPOFFER广播包)；

③终端选择IP地址(终端发DHCPREQUEST广播包)；

④服务器确定租约(服务器发DHCPACK/DHCPNAK广播包)

(二)Portal认证过程

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

这种认证方式有账号(用户名和密码)，存在较多维护和使用的麻烦；

在医院/政府等内网环境中，逐渐形成了一种简化的认证流程。即在Portal认证过程中推送Web页面，用户输入个人信息，之后管理员授权后，完成整体上线过程。

现有技术方案中存在以下问题：

需要借助于Portal认证流程，该方案部署也较为麻烦，比如需要将网络中所有接入设备设置为NAS(网络接入服务器Network Attached Server)，逐一配置Portal认证功能，不同厂家还有产品型号和软件版本兼容性问题(因为对于Portal认证流程，业界没有统一的标准)。

发明内容

为了解决上述技术问题，本发明的实施例采用如下技术方案：

一种终端接入控制的方法，应用于包含DNS服务模块和DHCP服务模块的服务器中，包括：

接收终端发送的第一DHCP地址分配请求，

根据所述第一DHCP地址分配请求给所述终端分配第一IP地址，所述第一IP地址在与所述服务器处于同一网络的网关设备上的访问外部网络的黑名单中；为所述第一IP地址设置第一租约；

将所述第一IP地址和所述服务器的IP地址发送给所述终端，以便于所述终端在所述第一租约内以所述第一IP地址为源IP地址，以所述服务器的IP地址为目的IP地址向所述服务器发送DNS解析请求；

接收所述DNS解析请求，当所述第一IP地址在预设的地址池中时，向所述终端发送认证信息输入页面，以便于所述终端通过所述页面输入并向所述服务器提交第一认证信息；

接收所述第一认证信息并确认所述第一认证信息的合法性；

当所述第一认证信息合法时，将所述第一DHCP地址分配请求中的MAC地址与所述DHCP服务模块分配的第二IP地址进行绑定；

接收所述终端在所述第一租约结束后发送的第二DHCP地址分配请求，根据所述第二DHCP地址分配请求中的MAC地址查询对应的所述第二IP地址；

将所述第二IP地址发送给所述终端，以便于所述终端根据所述第二IP地址接入网络。

可选的，所述第一认证信息包括：登录所述终端的用户的身份信息。

可选的，所述方法还包括：

获取第二认证信息，所述第二认证信息包括：所述终端的标识和/或所述终端的位置信息；

所述确认所述第一认证信息的合法性的步骤具体包括：

确认所述第一认证信息和所述第二认证信息的合法性；

所述当所述第一认证信息合法时，将所述第一DHCP地址分配请求中的MAC地址与第二IP地址进行绑定的步骤具体包括：

当所述第一认证信息和所述第二认证信息合法时，将所述第一DHCP地址分配请求中的MAC地址与第二IP地址进行绑定。