CN102137109A - 一种访问控制方法、接入设备及系统 - Google Patents
一种访问控制方法、接入设备及系统 Download PDFInfo
- Publication number
- CN102137109A CN102137109A CN2011100659195A CN201110065919A CN102137109A CN 102137109 A CN102137109 A CN 102137109A CN 2011100659195 A CN2011100659195 A CN 2011100659195A CN 201110065919 A CN201110065919 A CN 201110065919A CN 102137109 A CN102137109 A CN 102137109A
- Authority
- CN
- China
- Prior art keywords
- mac address
- binding relationship
- port
- binding
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000004044 response Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 description 10
- 238000012217 deletion Methods 0.000 description 9
- 230000037430 deletion Effects 0.000 description 9
- 238000012360 testing method Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 4
- 102100039558 Galectin-3 Human genes 0.000 description 4
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 4
- 101150051246 MAC2 gene Proteins 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000013508 migration Methods 0.000 description 3
- 230000005012 migration Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000012467 final product Substances 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了访问控制方法、接入设备及系统,包括:接收访问请求,获取IP地址和MAC地址;当MAC地址已经绑定、与MAC地址进行绑定的绑定端口与当前端口不相同、MAC地址与绑定端口的绑定关系为无效时,删除MAC地址与绑定端口的绑定关系,建立与当前端口的绑定关系;当MAC地址没有绑定、当前端口上绑定的MAC地址的数量已经达到最大值、且当前端口上的绑定关系中包含无效的绑定关系时,删除无效的绑定关系,建立MAC地址与当前端口的绑定关系。本发明公开的访问控制方法,通过对绑定关系有效性的检测判定接收的协议请求是地址欺骗还是正常的业务需要导致的合法地址迁移,实现了即满足安全特性的需要,又满足特殊场景的需求。
Description
技术领域
本发明涉及通信领域,尤其涉及一种访问控制方法、接入设备及系统。
背景技术
在IP(Internet Protocol,网络协议)网络或者IPv6(Internet Protocol Version 6,新一代网络协议)网络模型中,一个CPE/RG(customer premises equipment/router gateway,用户站/路由型网关)要访问网络资源,和其它CPE/RG进行通信,必须获取唯一的IP地址(IPv6地址或者IPv6前缀)。目前,根据不同的链路层封装,CPE/RG获取IP地址、IPv6地址或者IPv6前缀的方式主要有两种:IPoE(IP over Ethernet,IP承载在以太链路上)链路封装类型主要通过DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议或者DHCPv6(Dynamic Host Configuration Protocol for IPv6,新一代动态主机配置协议)协议动态获取IP地址(IPv6地址或者IPv6前缀),以及PPPoE(Point to Point over Ethernet,点对点协议承载在以太链路上)链路封装类型通过PPPoE协议获取IP地址(IPv6地址或者IPv6前缀)。
IPoE链路封装类型安全性比较低,恶意CPE/RG可以通过仿冒其它CPE/RG的IP地址(IPv6地址或者IPv6前缀)或MAC地址进行欺骗,网络容易受到攻击。在网络安全越来越重要的情况下,必须要提供更安全的接入方法,防止网络攻击。AN(Access Node,接入节点)在网络架构中负责给CPE/RG提供接入网络的服务,是最接近CPE/RG的设备,需要处理DHCP协议(DHCPv6协议),因此,目前AN上防IP地址欺骗和防MAC地址欺骗的接入方法是基于DHCP协议的原理来实现的。
AN通过监听DHCP报文,获取到CPE/RG的MAC地址和DHCP Server分配给CPE/RG的IP地址,并且与AN上的用户侧端口建立绑定关系。用户端口不一定是物理端口,根据不同的接入方式,也可以是虚拟的通道端口,通常在同一端口上可以允许绑定多个MAC地址和IP地址,但要限制绑定的数量,超过该限制值后,不再绑定新的MAC地址和IP地址。
在转发平面转发报文时,通过获取接收报文的用户侧端口,检查报文的MAC地址和IP地址是否符合已经建立的绑定关系,如果符合,则允许访问接入,如果不符合,则不能进行访问,从而实现防止用户进行MAC地址欺骗和IP地址欺骗的目的。在控制平面,如果新的CPE/RG使用与已经绑定MAC地址相同的MAC地址发起DHCP协议申请IP地址,也会检查已经建立的绑定关系,如果用户端口信息不同,认为是属于MAC地址欺骗,丢弃该DHCP协议报文。建立绑定关系的有效时间,根据DHCP协议的原理,与DHCP分配的IP地址的租期相同,当租期到期则删除绑定关系表。
CPE/RG通过DHCP协议申请IP地址时,为了减少DHCP协议报文占用的网络资源,通常租期时间都会比较长,一般在24小时以上,在这段时间内,绑定关系表一直是生效的。但是,当进行开局测试时,可能会使用相同的终端在不同端口上测试DHCP业务是否正常,需要将MAC地址和IP地址在短时间内在不同用户端口上迁移,在这种场景下,因为已经在一端口上绑定了MAC和IP地址,当相同MAC地址迁移到其他端口上进行DHCP协议申请时,会被认为是MAC地址欺骗,不能进行申请,必须等到原绑定关系租期到期删除后,才能在另一端口上申请。由于租期时间一般比较长,所以无法实现上述业务。另外,当一端口上绑定关系表规格已经满的情况下,更换其中一个访问设备,例如终端损坏,更换终端时,需要使用新的MAC地址进行DHCP协议申请,但因为旧的绑定表项租期较长,旧的绑定关系依然存在,新的MAC地址将不能进行申请,所以也无法实现该业务。
由此可见,现有技术防止用户进行MAC地址欺骗和IP地址欺骗的访问控制方法适用性较差,影响了正常业务的进行。
发明内容
有鉴于此,本发明提供一种访问控制方法、接入设备及系统,以解决现有技术中绑定关系建立方法,其具体方案如下:
一种访问控制方法,包括:
接收访问请求,获取用户的网络协议IP地址和用户的介质访问控制MAC地址;
当所述MAC地址已经绑定、与所述MAC地址进行绑定的绑定端口与接收访问请求的当前端口不相同、且所述MAC地址与所述绑定端口间的绑定关系为无效时,删除所述MAC地址与所述绑定端口间的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;
当所述MAC地址没有绑定、所述当前端口上绑定的MAC地址的数量已经达到最大值、且所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除所述无效的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问。
一种接入设备,包括:
接收模块,用于接收协议请求,获取用户获得的网络协议IP地址和用户的介质访问控制MAC地址;
第一绑定状态判断模块,用于判断所述MAC地址是否已经绑定;
第一端口判断模块,用于判断与所述MAC地址进行绑定的绑定端口与所述接收协议请求的当前端口是否相同;
第一绑定关系判断模块,用于判断所述MAC地址与所述绑定端口间的绑定关系是否为无效;
第一建立模块,用于当判断出所述MAC地址已经绑定、与所述MAC地址进行绑定的绑定端口与接收请求的当前端口不相同、且所述MAC地址与所述绑定端口间的绑定关系为无效时,删除所述MAC地址与所述绑定端口间的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;
绑定数量判断模块,用于当判断出所述MAC地址没有绑定时,判断所述当前端口上绑定的MAC地址的数量是否已经达到最大值;
第二绑定关系判断模块,用于当判断出所述当前端口上绑定的MAC地址的数量已经达到最大值时,判断所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中是否包含无效的绑定关系;
第二建立模块,用于当所述MAC地址没有绑定、所述当前端口上绑定的MAC地址的数量已经达到最大值、且所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除所述无效的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问。
一种访问控制系统,包括:终端设备和接入设备,其中:
所述终端设备用于,向接入设备发送访问请求;
所述接入设备用于,接收所述访问请求,获取用户的网络协议IP地址和用户的介质访问控制MAC地址,当所述MAC地址已经绑定、与所述MAC地址进行绑定的绑定端口与接收请求的当前端口不相同、且所述MAC地址与所述绑定端口间的绑定关系为无效时,删除所述MAC地址与所述绑定端口间的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;当所述MAC地址没有绑定,所述当前端口上绑定的MAC地址的数量已经达到最大值、且所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除所述无效的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问。
从上述技术方案可以看出,本发明实施例公开的访问控制方法,通过对绑定关系的有效性检测判定接收的协议请求是MAC地址欺骗还是正常的业务需要导致的IP和MAC合法地址迁移,从而实现了即满足安全特性的需要,又满足特殊场景的需求,扩大了该方法的应用范围。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的访问控制方法的流程图;
图2为本发明实施例公开的又一访问控制方法的流程图;
图3为本发明实施例公开的又一访问控制方法的流程图;
图4为本发明实施例公开的接入设备的结构示意图;
图5为本发明实施例公开的访问控制系统的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开的访问控制方法的流程如图1所示,包括:
步骤S11、接入设备接收终端设备发送的DHCP协议请求,获取用户获得的IP地址和用户的MAC地址;
本实施例中的协议可以为DHCP或者新一代动态主机配置协议DHCPv6。当为DHCPv6时,对应的IP地址为IPv6地址、IPv6前缀。在此选用DHCP作为举例描述。
接入设备接收CPE/RG发送的DHCP,CPE/RG已经通过DHCP协议获取到IP地址。
步骤S12、判断MAC地址是否已经绑定,若是,则执行步骤S13,若否,则执行步骤S14;
AN上保存所有的MAC、IP、端口对应关系,判断该获取到的用户MAC是否已经和端口建立起了对应关系,即进行了绑定。
步骤S13、当绑定端口与接收DHCP的当前端口不相同,且绑定关系为无效时,删除MAC地址与绑定端口的绑定关系,建立MAC地址与当前端口的绑定关系,执行步骤S15;
当接收DHCP的当前端口并非与MAC绑定的端口时,则说明CPE/RG在并未与其绑定的端口进行访问,此时需要去检测与MAC的绑定关系是否仍然有效,即,检测MAC和与其绑定的端口间是否仍然能够进行正常的通信,如果不能,则证明其绑定关系已经无效,该无效的原因可能是CPE/RG在原来绑定的端口上掉线,即表示CPE/RG已经从原来的端口移除,此时需要将该端口与MAC的绑定关系删除,以保证该MAC可以在其他的端口上进行绑定,并保证正常的访问。
步骤S14、当接收DHCP的当前端口上绑定的MAC地址的数量已经达到最大值,且其中包含无效的绑定关系时,删除无效的绑定关系,建立MAC地址与当前端口的绑定关系,执行步骤S15;
当接收DHCP的当前端口上绑定的MAC地址的数量已经达到最大值,即AN上设置的规格已满,无法直接建立发起DHCP用户的未被绑定的MAC与当前端口的绑定关系。此时需要判断与该端口相关的绑定关系是否有效,即判断与该端口建立的绑定关系是否都能保证正常的通信,如果都能保证正常通信,则表示绑定关系都有效,如果存在无法保证正常通信的绑定关系,则表明该绑定关系已经无效,无效的原因可能是租期时间到达,或者是CPE/RG在该端口上掉线,此时,可删除该无效的绑定关系,建立起发起DHCP用户的未被绑定的MAC与当前端口的绑定关系。
步骤S15、允许用户访问。
在建立起发起DHCP用户的MAC与当前端口的绑定关系后,则可以允许用户进行访问。
本实施例公开的访问控制方法中,通过获取接收的DHCP中的用户MAC地址,判断该MAC地址是否已经绑定,进而根据其是否已经被绑定以及如果被绑定,其绑定关系的状态来确定是否需要删除无效的绑定关系,建立新的绑定关系以进行正常的接入访问,从而解决了现有技术中,由于绑定关系租期未到,无法建立新的绑定关系,以及由于端口上绑定的MAC地址的数量已经达到最大值,需要更换终端时,无法建立新的绑定关系,影响正常的业务进行的问题,提高了访问控制方法的通用性。
此外,在上一实施例的上述步骤后,还可以包括:
步骤S16、当MAC地址已经绑定且绑定端口与当前端口不相同,且绑定关系为有效时,确定为MAC地址欺骗,拒绝用户访问;
此时,通过判断得到MAC与绑定端口的绑定关系仍然有效,说明该MAC对应的CPE/RG仍然与其绑定端口相连,而当前接收的DHCP属于MAC地址欺骗,丢弃该DHCP协议报文,拒绝用户访问。
步骤S17、当MAC地址已经绑定且绑定端口与当前端口相同时,允许用户访问。
此步骤中表示,CPE/RG在与其绑定的端口上进行访问,由于AN上预先保存有其MAC与端口以及IP地址的绑定关系,则允许其进行访问。
下面结合一个具体例子对本实施例进行详细描述:
假设终端A的MAC地址为MAC1,通过DHCP协议获取到IP地址为IP1,如果AN在端口Port1上建立了MAC1和IP1的绑定关系,并且保存。其绑定关系的租期为24小时。在租期内,如果将终端A从端口Port1上移除,从端口Port2上接入,此时由于终端A的MAC地址已经绑定,但是接收用户访问请求的端口并非与MAC1绑定的端口port1,AN则判断MAC1对应的绑定关系是否有效,此时由于终端A已经从Port1上移除了,所以该绑定关系已经无效,则AN删除该无效的绑定关系,建立起MAC1与当前接入端口Port2的绑定关系,以允许用户进行访问。
假设端口Port1上绑定关系表规格已经满足最大值,即在该端口上绑定的MAC地址的数量已经达到最大值,如果此时其中的一个终端B损坏,需要将其更换为终端A,由于此时在AN上存储有Port1与终端B的MAC地址MAC2和IP地址IP2的绑定关系,而该绑定关系由于终端B的损坏已经无效,则此时,AN删除该无效的绑定关系,使得能够建立起终端A的MAC地址MAC1和Port1的绑定关系,使得终端A能够正常的通过AN进行访问。
本发明公开的又一访问控制方法的流程如图2所示,该过程适用于如开局测试时,使用相同的终端在不同端口上测试DHCP业务是否正常的情况,其具体过程包括:
步骤S21、接收DHCP报文,获取用户获得的IP地址和用户的MAC地址;
假设AN在端口Port1上建立了MAC地址(MAC1)和IP地址(IP1)绑定关系。则AN此时存储了Port1、MAC1和IP1的绑定关系。
步骤S22、判断获取的用户MAC地址是否已经被绑定,如果是已绑定,则判断绑定端口与接收DHCP报文的当前端口是否不相同;如果不相同,则执行步骤S23;
如果AN在当前端口Port2接收到CPE/RG发起的DHCP协议,获取该CPE/RG的MAC地址为MAC1,在绑定关系表中查找到该MAC1,获得其绑定关系为MAC1、IP1与port1绑定;由于端口Port2与Port1并不相同,确定绑定端口与接收报文的当前端口不相同。
步骤S23、判断该用户MAC地址对应的绑定关系是否有效,若有效,则执行步骤S24,若无效,则执行步骤S25;
具体的可以为向绑定端口发送目标IP为用户获得的IP的请求报文;判断是否接收到绑定端口返回的应答报文,如果接收到返回的应答报文,则确定绑定关系有效;如果没有接收到返回的应答报文,则确定绑定关系无效。
AN向Port1发起目标IP是IP1的ARP请求报文。
本实施例中的请求报文还可以为邻居发现ND报文。
如果AN收到port1返回的应答报文,则确定该端口port1仍然能正常通信,即确定MAC1、IP1和port1这个绑定关系为有效。如果AN没有收到port1返回的应答报文,则确定该端口无法正常通信,即确定MAC1、IP1和port1这个绑定关系为无效。
步骤S24、确定为MAC地址欺骗,拒绝用户访问;
如果绑定关系有效,说明该CPE/RG仍然进行着与端口Port1的联系,MAC1也仍然与Port1相绑定,则证明此时接收的DHCP为MAC欺骗,阻止其进行访问,以保证访问过程的安全性。
步骤S25、删除MAC地址在当前对应关系表中的绑定关系,建立MAC地址与当前端口的绑定关系,允许用户访问。
如果绑定关系无效,说明该CPE/RG已经在Port1掉线,不管是否已经到租期规定时间,直接删除旧的绑定关系即Port1与MAC1、IP1绑定关系,允许MAC1在新的用户端口Port2发起DHCP协议请求,进行访问,并建立MAC1、IP1与Port2的绑定关系,保存在对应关系表中。
本实施例中并不限定允许用户访问的步骤发生在建立起新的绑定关系之后,其同样可以在允许用户访问的同时建立该绑定关系,或者允许用户访问之后建立绑定关系。
本实施例也并不限定采用向IP1发送请求报文的方式来判断绑定关系是否有效,其同样可以采用检测物理端口状态判断是否原端口上的CPE/RG已经掉线,即检查原有的绑定关系所在的Port链路状态是否正常,例如,是否仍然连接,如果正常,则说明有效,如果不正常,则说明无效。还可以采用流量检测来判断CPE/RG是否在线,检测统计的报文数量,如果报文统计数量一直增加,说明用户在线,绑定关系有效,否则,绑定关系无效。
本实施例具体描述了将该方法应用于例如开局测试业务时,使用相同的终端在不同端口上测试DHCP业务的情况,虽然此时终端的MAC已经在其他端口建立绑定关系,租期时间未到,该绑定关系仍然存在,但是,为了实现当前对其他端口的测试,采用不等待租期时间到来,直接删除原来绑定关系的方式,从而使其可以实现利用相同终端测试不同端口业务情况的目的,扩大了该方法的适用范围。
该方法通过对绑定关系的有效性检测判定接收的协议请求是MAC地址欺骗还是正常的业务需要导致的IP和MAC合法地址迁移,从而既满足安全特性的需要,又满足特殊场景的需求,扩大了该方法的应用范围,并且由于其只在特定的情况下进行绑定关系的有效性检测,与现有技术中为了满足特殊场景的需求,采用较短的时间间隔发请求报文进行探测的方法相比,减轻了AN设备的负载,占用了较少的网络带宽资源。
本实施例并不限定图2所示流程只适用于开局测试的场景,凡是涉及到访问控制的情况都是本实施例方法所适用的范围,例如也可以应用于固定宽带接入的宽带网络网关控制设备BNG上,以及WLAN(Wireless Local Area Networks,无线局域网络)网络的AP(Wireless Access Point,无线访问接入点)、AC(Wireless Access Controller,无线接入控制器)上。
本发明公开的又一访问控制方法的流程如图3所示,该过程适用于更换新的访问设备后,向绑定关系数量达到最大值的端口发送请求的情况下,其具体过程为:
步骤S31、接收DHCP,获取用户获得的IP地址和用户的MAC地址;
假设AN在端口Port1上建立了MAC地址(MAC1)和IP地址(IP1)绑定关系。则AN此时存储了Port1、MAC1和IP1的绑定关系。如果CPE/RG设备故障,更换了一个新的CPE/RG,或者更新了该CPE/RG的MAC地址,例如MAC2。该CPE/RG使用MAC2发起DHCP协议请求,其发起请求的端口并不限定,可以仍为Port1,也可以为其他的端口。
步骤S32、确定MAC地址没有绑定,判断当前端口上绑定的MAC地址的数量是否已经达到最大值,若是,则执行步骤S33,若否,则执行步骤S36;
由于AN上存储有端口、MAC地址和IP地址的对应关系,其利用存储的对应关系,判断出MAC2并没有在端口上进行绑定。但是,当前端口上绑定的MAC地址的数量也已经达到了最大值,其具体的判别依据可以为判断代表该端口设置规格的属性值是否为预设值,例如,是否为1。若为1,则表明规格已满,数量达到了最大值,若不为1,则表明规格未满,仍可以进行与MAC地址的绑定。
步骤S33、判断该用户MAC地址对应的绑定关系是否有效,若有效,则执行步骤S34,若无效,则执行步骤S35;
具体的可以为:向与当前端口绑定的MAC地址对应的IP地址分别发送请求报文。假设当前端口上绑定的MAC地址为MAC1、MAC3和MAC4,其对应的IP地址分别为IP1、IP3和IP4,则本步骤中,向IP1、IP3和IP4分别发送请求报文。如果AN收到port1返回的由IP1返回的应答报文,即确定MAC1、IP1和port1这个绑定关系为有效,如果AN收到IP3返回的应答报文,则确定MAC3、IP3和port1这个绑定关系为有效,如果AN没有收到IP4返回的应答报文,则可以确定MAC4、IP4和port1这个绑定关系为无效,
步骤S34、确定不存在无效绑定关系,结束;
不存在无效的绑定关系,则无法建立新的绑定关系,则该访问不能进行。
步骤S35、删除无效的绑定关系;
将无效的绑定关系删除,此时确定的无效的绑定关系可能为一个也可能为多个。使得当前端口上可以建立新的绑定关系。
步骤S36、建立MAC地址与当前端口的绑定关系,允许用户访问。
本实施例也并不限定采用向IP1发送请求报文的方式来判断绑定关系是否有效,其同样可以采用检测物理端口状态判断是否原端口上的CPE/RG已经掉线,即检查原有的绑定关系所在的Port链路状态是否正常,例如,是否仍然连接,如果正常,则说明有效,如果不正常,则说明无效。还可以采用流量检测来判断CPE/RG是否在线,检测统计的报文数量,如果报文统计数量一直增加,说明用户在线,绑定关系有效,否则,绑定关系无效。
本实施例公开的判断当前端口上的绑定的MAC地址的数量是否已经达到最大值并且当其达到最大值时检测无效的绑定关系的过程同样也可适用于如图2所示的实施例中,建立MAC地址与当前端口的绑定关系步骤里面,以保证该步骤能够实现,保证访问的正常进行。
本发明同时公开了一种接入设备,其结构如图4所示,包括:
接收模块41、绑定状态判断模块42、第一端口判断模块43、第一绑定关系判断模块44、第一建立模块45、绑定数量判断模块46、第二绑定关系判断模块47和第二建立模块48,其中:
接收模块41用于接收访问请求,获取用户的IP地址和用户的MAC地址;绑定状态判断模块42,用于判断MAC地址是否已经绑定;第一端口判断模块43,用于判断与MAC地址进行绑定的绑定端口与接收协议请求的当前端口是否相同;第一绑定关系判断模块44,用于判断MAC地址与绑定端口间的绑定关系是否为无效;第一建立模块45,用于当判断出MAC地址已经绑定、与MAC地址进行绑定的绑定端口与接收请求的当前端口不相同、且MAC地址与绑定端口间的绑定关系为无效时,删除MAC地址与绑定端口间的绑定关系,建立MAC地址与当前端口的绑定关系,允许用户访问;绑定数量判断模块46,用于当判断出MAC地址没有绑定时,判断当前端口上绑定的MAC地址的数量是否已经达到最大值;第二绑定关系判断模块47,用于当判断出当前端口上绑定的MAC地址的数量已经达到最大值时,判断当前端口与当前端口上绑定的MAC地址间的绑定关系中是否包含无效的绑定关系;第二建立模块48,用于当MAC地址没有绑定、当前端口上绑定的MAC地址的数量已经达到最大值、且当前端口与当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除无效的绑定关系,建立MAC地址与当前端口的绑定关系,允许用户访问。
进一步的,第一绑定关系判断模块44包括:
第一发送单元441用于向绑定端口发送目标IP地址为所获得的用户IP地址的请求报文;第一判断单元442用于判断是否接收到绑定端口返回的应答报文;第一确定单元443用于当接收到绑定端口返回的应答报文时,确定绑定关系为有效,若否,则确定绑定关系为无效。
第二绑定关系判断模块47包括:
第二发送单元471用于向与当前端口绑定的MAC地址对应的用户获得的IP地址分别发送请求报文;第二判断单元472用于判断是否接收到与每一个IP地址对应的应答报文;第二确定单元473用于当接收到与每一个IP地址对应的应答报文时,确定不包含无效绑定关系;若否,则确定包含无效绑定关系。
其中,该接入设备各个模块及单元的功能如下所述:
接收模块接收访问请求,获取用户的IP地址和用户的MAC地址,绑定状态判断模块判断所述MAC地址是否已经绑定,第一端口判断模块判断绑定端口与所述接收访问请求的当前端口是否相同,第一绑定关系判断模块判断所述绑定关系是否为无效,当所述判断出所述MAC地址已经绑定、绑定端口与所述当前端口不相同、且所述绑定关系为无效时,第一建立模块删除所述绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;当所述第一端口判断模块判断出所述MAC地址没有绑定时,绑定数量判断模块判断所述当前端口上绑定的MAC地址的数量是否已经达到最大值,当判断出所述当前端口上绑定的MAC地址的数量已经达到最大值时,第二绑定关系判断模块判断当前端口与当前端口上绑定的MAC地址间的绑定关系中是否包含无效的绑定关系,当其中包含无效的绑定关系时,第二建立模块删除该无效的绑定关系,建立MAC地址与当前端口的绑定关系,允许用户访问。
更进一步的,本发明同时公开了一种访问控制系统,其结构如图5所示,包括:终端设备51和接入设备52,其中:
终端设备51用于,向接入设备52发送访问请求;接入设备52用于接收来自终端设备的访问请求,获取用户的网络协议IP地址和用户的介质访问控制MAC地址,当MAC地址已经绑定、与MAC地址进行绑定的绑定端口与接收请求的当前端口不相同、且MAC地址与绑定端口间的绑定关系为无效时,删除MAC地址与绑定端口间的绑定关系,建立MAC地址与当前端口的绑定关系,允许用户访问;当MAC地址没有绑定、当前端口上绑定的MAC地址的数量已经达到最大值、且当前端口与当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除无效的绑定关系,建立MAC地址与当前端口的绑定关系,允许用户访问。
本实施例中的接入设备的具体结构可以如图4所示。
本实施例公开的访问控制系统,由于接入设备能够通过对绑定关系的有效性检测判定接收的协议请求是MAC地址欺骗还是正常的业务需要导致的IP和MAC合法地址迁移,从而既满足安全特性的需要,又满足特殊场景的需求,扩大了该方法的应用范围,并且由于其只在特定的情况下进行绑定关系的有效性检测,与现有技术中为了满足特殊场景的需求,系统采用较短的时间间隔发请求报文进行探测的方法相比,减轻了AN设备的负载,占用了较少的网络带宽资源。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种访问控制方法,其特征在于,包括:
接收访问请求,获取用户的网络协议IP地址和用户的介质访问控制MAC地址;
当所述MAC地址已经绑定、与所述MAC地址进行绑定的绑定端口与接收访问请求的当前端口不相同、且所述MAC地址与所述绑定端口间的绑定关系为无效时,删除所述MAC地址与所述绑定端口间的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;
当所述MAC地址没有绑定、所述当前端口上绑定的MAC地址的数量已经达到最大值、且所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除所述无效的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问。
2.根据权利要求1所述的方法,其特征在于,当所述MAC地址已经绑定且绑定端口与所述当前端口不相同,且所述绑定关系为有效时,确定为MAC地址欺骗,拒绝用户访问。
3.根据权利要求1所述的方法,其特征在于,按照以下步骤确定所述绑定关系是否为无效:
向所述绑定端口发送目标IP地址为所述获得的用户IP地址的请求报文;
判断是否接收到所述绑定端口返回的应答报文,若是,则确定所述绑定关系为有效,若否,则确定所述绑定关系为无效。
4.根据权利要求1所述的方法,其特征在于,按照以下步骤确定是否包含无效的绑定关系:
向与所述当前端口绑定的MAC地址对应的用户IP地址分别发送请求报文;
判断是否分别接收到与每一个IP地址对应的应答报文,若是,则确定不包含无效绑定关系,若否,则确定包含无效绑定关系。
5.根据权利要求3或4所述的方法,其特征在于,所述请求报文包括:地址解析协议报文ARP或邻居发现ND报文。
6.一种接入设备,其特征在于,包括:
接收模块,用于接收协议请求,获取用户获得的网络协议IP地址和用户的介质访问控制MAC地址;
第一绑定状态判断模块,用于判断所述MAC地址是否已经绑定;
第一端口判断模块,用于判断与所述MAC地址进行绑定的绑定端口与所述接收协议请求的当前端口是否相同;
第一绑定关系判断模块,用于判断所述MAC地址与所述绑定端口间的绑定关系是否为无效;
第一建立模块,用于当判断出所述MAC地址已经绑定、与所述MAC地址进行绑定的绑定端口与接收请求的当前端口不相同、且所述MAC地址与所述绑定端口间的绑定关系为无效时,删除所述MAC地址与所述绑定端口间的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;
绑定数量判断模块,用于当判断出所述MAC地址没有绑定时,判断所述当前端口上绑定的MAC地址的数量是否已经达到最大值;
第二绑定关系判断模块,用于当判断出所述当前端口上绑定的MAC地址的数量已经达到最大值时,判断所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中是否包含无效的绑定关系;
第二建立模块,用于当所述MAC地址没有绑定、所述当前端口上绑定的MAC地址的数量已经达到最大值、且所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除所述无效的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问。
7.根据权利要求6所述的装置,其特征在于,所述第一绑定关系判断模块包括:
第一发送单元,用于向所述绑定端口发送目标IP地址为所述获得的用户IP地址的请求报文;
第一判断单元,用于判断是否接收到所述绑定端口返回的应答报文;
第一绑定关系确定单元,用于当接收到所述绑定端口返回的应答报文时,确定所述MAC地址与所述绑定端口间的绑定关系为有效;若否,则确定所述MAC地址与所述绑定端口间的绑定关系为无效。
8.根据权利要求6所述的装置,其特征在于,所述第二绑定关系判断模块包括:
第二发送单元,用于向与所述当前端口绑定的MAC地址对应的用户的IP地址分别发送请求报文;
第二判断单元,用于判断是否接收到与每一个所述IP地址对应的应答报文;
第二确定单元,用于当接收到与每一个所述IP地址对应的应答报文时,确定不包含无效绑定关系;若否,则确定包含无效绑定关系。
9.一种访问控制系统,其特征在于,包括:终端设备和接入设备,其中:
所述终端设备用于,向接入设备发送访问请求;
所述接入设备用于,接收所述访问请求,获取用户的网络协议IP地址和用户的介质访问控制MAC地址,当所述MAC地址已经绑定、与所述MAC地址进行绑定的绑定端口与接收请求的当前端口不相同、且所述MAC地址与所述绑定端口间的绑定关系为无效时,删除所述MAC地址与所述绑定端口间的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问;当所述MAC地址没有绑定,所述当前端口上绑定的MAC地址的数量已经达到最大值、且所述当前端口与所述当前端口上绑定的MAC地址间的绑定关系中包含无效的绑定关系时,删除所述无效的绑定关系,建立所述MAC地址与所述当前端口的绑定关系,允许用户访问。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110065919.5A CN102137109B (zh) | 2011-03-18 | 2011-03-18 | 一种访问控制方法、接入设备及系统 |
| EP12761353.7A EP2677716A4 (en) | 2011-03-18 | 2012-03-16 | ACCESS CONTROL METHOD, ACCESS DEVICE AND SYSTEM |
| PCT/CN2012/072457 WO2012126335A1 (zh) | 2011-03-18 | 2012-03-16 | 一种访问控制方法、接入设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110065919.5A CN102137109B (zh) | 2011-03-18 | 2011-03-18 | 一种访问控制方法、接入设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102137109A true CN102137109A (zh) | 2011-07-27 |
| CN102137109B CN102137109B (zh) | 2013-08-28 |
Family
ID=44296764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110065919.5A Expired - Fee Related CN102137109B (zh) | 2011-03-18 | 2011-03-18 | 一种访问控制方法、接入设备及系统 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2677716A4 (zh) |
| CN (1) | CN102137109B (zh) |
| WO (1) | WO2012126335A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012126335A1 (zh) * | 2011-03-18 | 2012-09-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
| CN103078813A (zh) * | 2013-01-04 | 2013-05-01 | 西安交大捷普网络科技有限公司 | 基于snmp协议的终端安全接入的控制方法 |
| CN105743670A (zh) * | 2014-12-09 | 2016-07-06 | 华为技术有限公司 | 访问控制方法、系统和接入点 |
| CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
| CN109347816A (zh) * | 2018-10-10 | 2019-02-15 | 上海易杵行智能科技有限公司 | 一种用于端口与接入设备的绑定方法及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10630700B2 (en) | 2016-10-28 | 2020-04-21 | Hewlett Packard Enterprise Development Lp | Probe counter state for neighbor discovery |
| US11258757B2 (en) | 2019-02-28 | 2022-02-22 | Vmware, Inc. | Management of blacklists and duplicate addresses in software defined networks |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004025926A1 (en) * | 2002-09-16 | 2004-03-25 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN101610206A (zh) * | 2008-06-17 | 2009-12-23 | 华为技术有限公司 | 一种绑定/解绑定的处理方法、系统和装置 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453447A (zh) * | 2007-12-03 | 2009-06-10 | 华为技术有限公司 | 动态主机配置协议dhcp用户老化的方法及接入设备 |
| CN101800741B (zh) * | 2010-01-25 | 2014-08-20 | 中兴通讯股份有限公司 | 一种防止非法媒体访问控制地址迁移的装置及方法 |
| CN102137109B (zh) * | 2011-03-18 | 2013-08-28 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
-
2011
- 2011-03-18 CN CN201110065919.5A patent/CN102137109B/zh not_active Expired - Fee Related
-
2012
- 2012-03-16 EP EP12761353.7A patent/EP2677716A4/en not_active Withdrawn
- 2012-03-16 WO PCT/CN2012/072457 patent/WO2012126335A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004025926A1 (en) * | 2002-09-16 | 2004-03-25 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN101610206A (zh) * | 2008-06-17 | 2009-12-23 | 华为技术有限公司 | 一种绑定/解绑定的处理方法、系统和装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012126335A1 (zh) * | 2011-03-18 | 2012-09-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
| CN103078813A (zh) * | 2013-01-04 | 2013-05-01 | 西安交大捷普网络科技有限公司 | 基于snmp协议的终端安全接入的控制方法 |
| CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
| CN105743670A (zh) * | 2014-12-09 | 2016-07-06 | 华为技术有限公司 | 访问控制方法、系统和接入点 |
| CN105743670B (zh) * | 2014-12-09 | 2019-02-05 | 华为技术有限公司 | 访问控制方法、系统和接入点 |
| US10289504B2 (en) | 2014-12-09 | 2019-05-14 | Huawei Technologies Co., Ltd. | Access control method and system, and access point |
| CN109347816A (zh) * | 2018-10-10 | 2019-02-15 | 上海易杵行智能科技有限公司 | 一种用于端口与接入设备的绑定方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012126335A1 (zh) | 2012-09-27 |
| EP2677716A4 (en) | 2014-02-26 |
| EP2677716A1 (en) | 2013-12-25 |
| CN102137109B (zh) | 2013-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102137109B (zh) | 一种访问控制方法、接入设备及系统 | |
| US8875233B2 (en) | Isolation VLAN for layer two access networks | |
| EP3310025B1 (en) | User migration | |
| EP2364543B1 (en) | Broadband network access | |
| CN101764734B (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| US8862705B2 (en) | Secure DHCP processing for layer two access networks | |
| CN101562807B (zh) | 移动虚拟专用网通信的方法、装置及系统 | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| US8699515B2 (en) | Limiting of network device resources responsive to IPv6 originating entity identification | |
| US20090175197A1 (en) | Method and system for detection of nat devices in a network | |
| CN101741702A (zh) | 实现arp请求广播限制的方法和装置 | |
| KR101358775B1 (ko) | 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치 | |
| CN102404293A (zh) | 一种双栈用户管理方法及宽带接入服务器 | |
| CN102571729A (zh) | Ipv6网络接入认证方法、装置及系统 | |
| KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
| CN104601743A (zh) | 基于以太的IP转发IPoE双栈用户接入控制方法和设备 | |
| CN103987098B (zh) | Ipv4网络与ipv6网络间的切换方法和系统 | |
| CN102281263B (zh) | 一种建立iSCSI会话的方法和iSCSI发起方 | |
| CN101783819A (zh) | 一种利用IPv6过渡协议支持对等网络地址转换的系统及方法 | |
| CN101184039A (zh) | 一种以太网负载均衡的方法 | |
| CN102158866B (zh) | 应用于wlan中的验证方法和装置 | |
| CN103856571B (zh) | 一种自适应网路连接方法和系统 | |
| US20130022048A1 (en) | Method and network node for use in link level communication in a data communications network | |
| KR101382527B1 (ko) | 에이알피 포이즈닝 방지를 위한 네트워크 보안방법 및 보안시스템 | |
| WO2012111833A1 (ja) | 通信システム、ルータ、スイッチングハブ、および通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NANTONG BEICHENG TECHNOLOGY ENTREPRENEURIAL MANAGE Free format text: FORMER OWNER: HUIZHOU ZHITAI ENTERPRISE MANAGEMENT CO., LTD. Effective date: 20141128 Owner name: HUIZHOU ZHITAI ENTERPRISE MANAGEMENT CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20141128 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 516003 HUIZHOU, GUANGDONG PROVINCE Free format text: CORRECT: ADDRESS; FROM: 516003 HUIZHOU, GUANGDONG PROVINCE TO: 226000 NANTONG, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20141128 Address after: 226000 Jiangsu province Nantong City Outer Ring Road No. 639 Patentee after: NANTONG BEICHENG SCIENCE & TECHNOLOGY ENTREPRENEURIAL MANAGEMENT Co.,Ltd. Address before: 516003 Huizhou City, Guangdong Province Patentee before: HUIZHOU ZHITAI ENTERPRISE MANAGEMENT CO.,LTD. Effective date of registration: 20141128 Address after: 516003 Huizhou City, Guangdong Province Patentee after: HUIZHOU ZHITAI ENTERPRISE MANAGEMENT CO.,LTD. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170710 Address after: 226000, Jiangsu City, Nantong province Gangzha Tang Street City Industrial Park Patentee after: JIANGSU JINTONGYUAN INDUSTRIAL Co.,Ltd. Address before: 226000 Jiangsu province Nantong City Outer Ring Road No. 639 Patentee before: NANTONG BEICHENG SCIENCE & TECHNOLOGY ENTREPRENEURIAL MANAGEMENT Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130828 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |