CN102255916A - 接入认证方法、设备、服务器及系统 - Google Patents
接入认证方法、设备、服务器及系统 Download PDFInfo
- Publication number
- CN102255916A CN102255916A CN201110210884XA CN201110210884A CN102255916A CN 102255916 A CN102255916 A CN 102255916A CN 201110210884X A CN201110210884X A CN 201110210884XA CN 201110210884 A CN201110210884 A CN 201110210884A CN 102255916 A CN102255916 A CN 102255916A
- Authority
- CN
- China
- Prior art keywords
- access
- message
- equipment
- authentication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明实施例提供一种接入认证方法、设备、服务器及系统。方法包括:网络接入设备向接入认证服务器发送接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的EI;接收所述接入认证服务器返回的认证应答消息。本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
Description
技术领域
本发明实施例涉及通信技术领域,尤其是一种接入认证方法、设备、服务器及系统。
背景技术
出于管理和计费的需求,互联网的接入服务提供者需要对网络接入设备进行认证和访问控制,其认证方法分为两类:第一类是对网络接入设备的物理信息进行认证,例如MAC地址,然后将分配的IP地址同物理信息绑定起来;第二类是对网络接入设备的账号信息进行认证,认证通过后再进行IP地址的分配和相关信息的绑定。第一类认证方法和具体的接入环境相关,一旦网络接入设备变更接入位置,其身份信息的表现形式就发生了变化;第二类认证方法和应用层协议相关,不同接入网不同的接入方式可能要求网络接入设备支持不同的认证协议,会导致网络接入设备安装不同的认证客户端,如PPPoE,802.1x等等,其身份信息的表现形式也就发生了变化。当网络接入设备身份信息的表现形式发生了变化时,会使得之前的认证失效,而难以对变化后的网络接入设备行为进行溯源审计。
因此,现有的认证方法,都存在因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
发明内容
本发明实施例提供一种接入认证方法、设备、服务器及系统,避免现有的认证方法存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
一方面,本发明实施例提供一种接入认证方法,包括:
网络接入设备向接入认证服务器发送接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
接收所述接入认证服务器返回的认证应答消息。
另一方面,本发明实施例还提供一种接入认证方法,包括:
接收网络接入设备发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
根据所述源IP地址中的EI对所述网络接入设备进行认证。
另一方面,本发明实施例还提供一种接入认证方法,包括:
接收接入认证服务器发送的注册消息,所述注册消息包含网络接入设备的实体标识符EI;
根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
向所述接入认证服务器发送注册应答消息。
另一方面,本发明实施例提供一种网络接入设备,包括:
认证请求模块,用于向接入认证服务器发送包含接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
第一接收模块,用于接收所述接入认证服务器返回的认证应答消息。
另一方面,本发明实施例提供一种接入认证服务器,包括:
第二接收模块,用于接收网络接入设备发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
认证模块,用于根据所述源IP地址中的EI对所述网络接入设备进行认证。
另一方面,本发明实施例提供一种接入控制设备,包括:
第三接收模块,用于接收接入认证服务器发送的注册信息,所述注册信息包含网络接入设备的实体标识符EI;
访问控制模块,用于根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
第三发送模块,用于向所述接入认证服务器发送注册应答消息。
再一方面,本发明实施例提供一种接入认证系统,包括:依次连接的如上所述的网络接入设备、接入控制设备和接入认证服务器。
本发明通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的实体标识符EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种接入认证方法实施例一的流程示意图。
图2为本发明实施例提供的一种接入认证方法实施例二的流程示意图。
图3为本发明实施例提供的一种接入认证方法实施例三的流程示意图。
图4为本发明实施例提供的一种接入认证方法实施例四的流程示意图。
图5为本发明实施例提供的一种接入认证方法实施例五的信令流程图。
图6为本发明实施例提供的一种网络接入设备实施例的结构示意图。
图7为本发明实施例提供的一种接入认证服务器实施例的结构示意图。
图8为本发明实施例提供的一种接入控制设备实施例的结构示意图。
图9为本发明实施例提供的一种接入认证系统实施例的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的主要思路是:提出一种面向网络接入实体IP地址中实体标识符(Entity Identifier,以下简称EI)的接入认证方法。以IPv6地址为例,IPv6地址是互联网IPv6协议使用的地址类型,长度128位。根据IETF的规定,目前IPv6地址最多前64位可用于子网前缀的标识,称之为网络前缀,路由器根据网络前缀选择转发路径。EI的特征包括:1)全局唯一性,EI唯一地标识网络接入实体,不随接入位置和时间的变化而变化;2)EI绑定信息的可验证性,EI分配者负责提供绑定在EI上的身份信息的查询和验证。本发明实施例通过在IPv6地址的后64位中携带网络接入实体的EI,使得可以基于IP地址标识使用该IP地址的网络接入实体。通过对IP地址中EI的验证,本发明实施例解决了现有的认证方法存在的因网络接入实体身份信息的表现形式发生变化而难以对网络接入实体进行溯源审计的问题,并为源IP地址验证提供了支持。
图1为本发明实施例提供的一种接入认证方法实施例一的流程示意图。如图1所示,该方法包括:
步骤101、网络接入设备向接入认证服务器发送接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的EI;
这里的接入认证请求的源IP即所述网络接入设备的IP地址。这里的EI可以是网络接入设备在接入网络之前通过带外机制分配得到的,具体在分配时可以将该EI与网络接入设备和/或网络接入设备的使用者的身份信息绑定,本实施例对此不作限定。应用中,网络接入设备的IP地址通常还包含子网前缀,请求子网前缀等接入参数是网络接入设备接入互联网的必要步骤,这里的网络接入设备可以通过路由通告或动态主机设置协议(Dynamic HostConfiguration Protocol,简称DHCP)请求获得所述子网前缀。
另外,网络接入设备可以从广播消息中获取接入认证服务器的地址。
步骤102、接收所述接入认证服务器返回的认证应答消息。
若认证应答消息指示认证通过,则所述网络接入设备可以接入网络,若认证应答消息指示认证未通过,则所述网络接入设备无法接入网络。
本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图2为本发明实施例提供的一种接入认证方法实施例二的流程示意图。如图2所示,该方法包括:
步骤201、接收网络接入设备发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的EI;
步骤202、根据所述源IP地址中的EI对所述网络接入设备进行认证。
这里的接入认证服务器可以从给所述网络接入设备分配该EI的第三方设备获取所述EI对应的授权信息,具体的第三方设备与接入认证服务器之间如何进行授权信息的同步,本实施例不作限定。应用中,若认证通过则接入认证服务器可以向网络接入设备返回指示认证成功的认证应答消息,并指示接入控制设备允许该网络接入设备接入网络;若认证不通过,还可以在所述指示认证失败的认证应答消息中携带认证失败的错误代码,指示网络接入设备由于何种原因认证不通过;本实施例对此不作限定。
本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图3为本发明实施例提供的一种接入认证方法实施例三的流程示意图。如图3所示,该方法包括:
步骤301、接收接入认证服务器发送的注册消息,所述注册消息包含网络接入设备的EI;
步骤302、根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
步骤303、向所述接入认证服务器发送注册应答消息。
这里的接入控制设备是所述网路接入设备接入网络的必经设备,通常接入认证请求也会先到达接入控制设备,接入控制设备识别出这是一个接入认证请求后会将该接入认证请求放行,发到接入认证服务器。应用中,若步骤302成功执行,则步骤303中的注册应答消息指示注册成功,若步骤302未成功执行,则步骤303中的注册应答消息指示注册失败,进一步地,还可以在注册应答消息中反馈错误代码,以便调试。
本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图4为本发明实施例提供的一种接入认证方法实施例四的流程示意图。如图4所示,该方法包括:
步骤401、网络接入设备获取分配的EI和所述EI对应的私钥;
这里的私钥在分配所述EI时获得的。
步骤402、所述网络接入设备接入网络,获取子网前缀;
步骤403、根据所述子网前缀和所述EI生成自身的IP地址;
步骤404、生成接入认证请求,并根据所述私钥对所述接入认证请求进行签名,将所述签名后的接入认证请求发送给接入认证服务器;
这里的接入认证请求的源IP地址即为步骤403中生成的IP地址,也就是说,接入认证请求的源IP地址包含所述EI。
步骤405、所述接入认证服务器获取所述接入认证请求中的EI对应的授权信息,所述授权信息包含所述EI和与所述私钥对应的公钥;
步骤406、所述接入认证服务器根据所述授权信息对所述接入认证请求进行验证,若验证不通过则执行步骤407,若验证通过则执行步骤408;
步骤407、向所述网络接入设备返回指示认证失败的认证应答消息,结束。
步骤408、生成所述网络接入设备的注册信息,所述注册信息包含所述EI;
步骤409、向接入控制设备发送所述注册信息;
这里通过所述注册信息指示所述接入控制设备允许所述网络接入设备接入网络。
步骤410、所述接入控制设备根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
步骤411、向所述接入认证服务器反馈指示注册成功的注册应答消息;
步骤412、所述接入认证服务器接收到所述注册应答消息后,向所述网络接入设备返回指示认证成功的认证应答消息。
为了对网络接入设备的接入行为进行更进一步的控制,步骤408中的注册信息除了EI之外,还可以包括所述网络接入设备的接入有效时间、接入密钥、介质接入控制(Media Access Control,简称MAC)地址、端口号中任何一种或两种都包括。对应地,当步骤408中的注册信息包括接入有效时间、接入密钥、MAC地址或端口号时,步骤410中的访问控制记录和步骤412中的认证应答消息中也相应地包含接入有效时间、接入密钥、MAC地址或端口号。
应用中,接入注册完成后,网络接入设备的EI已经被添加在接入控制设备的访问控制列表里,携带该EI的数据包就可以经由接入控制设备路由至外部网络。在这种场景下,还可以包括:
所述网络接入设备发送数据报文,所述数据报文的源IP地址包含所述EI;
所述接入控制设备接收所述数据报文,判断所述访问控制列表中是否有包含所述EI的访问控制记录,若有则根据所述访问控制记录对所述数据报文进行处理,若没有则丢弃所述数据报文。
当然,若在步骤412之前执行上述步骤,则没有对应的访问控制记录,若在步骤412之后,则有对应的访问控制记录。
若所述访问控制记录中还包含接入有效时间、接入密钥、MAC地址或端口号,则所述根据所述访问控制记录对所述数据报文进行处理包括对所述数据报文的进一步验证。举例来说,若访问控制记录中包含接入密钥,由于对应地认证应答消息也包含该接入密钥,这种情况下,网络接入设备会根据该接入密钥对数据报文进行签名后发出,对应地,所述接入控制设备接收到该数据报文后,可以根据所述访问控制记录中的接入密钥对所述数据报文的签名进行验证,验证通过后将所述数据报文发送出去,较优地还可以将所述签名去除并将去除签名的数据报文发送出去。具体地,所述接入控制设备可以采用密钥相关的哈希运算消息认证码(keyed-Hash Message AuthenticationCode,简称HMAC)方式对所述数据报文的签名进行验证。若是验证不通过,则丢弃所述数据报文。若访问控制记录中包含MAC地址或端口号,则所述接入网络设备在接收到该数据报文后,还可以获取该数据报文的源MAC地址或接收该数据报文的端口号,以和访问控制记录中的MAC地址或端口号进行比对验证。若访问控制记录中包含接入有效时间,所述接入网络设备在接收到该数据报文后还可以根据接收时间、访问控制记录中的接入有效时间以及该访问控制记录的生成时间,判断该网络接入设备的接入有效时间是否过期,若过期则丢弃该数据报文,若未过期则放行该数据报文。
上述接入密钥由接入认证服务器生成,是网络接入设备和接入控制设备共享的接入密钥,可以提高网络接入设备和接入控制设备间通信数据的安全性。通过所述接入有效时间,可以控制网络接入设备一次认证通过后的接入时间,当接入有效时间过期后网络接入设备需要重新向接入认证服务器请求接入。具体的,重新请求接入的实现方式包括但不限于以下两种:
1)若上次收到的接入注册应答消息中包含接入密钥的话,网络接入设备可以使用所述接入密钥对这次的接入认证请求进行签名,并将包含签名的接入认证请求发送给接入认证服务器;
2)私钥签名,也就是采用EI的私钥对接入认证请求进行签名,并将包含签名的接入认证请求发送给接入认证服务器。
重新请求接入认证后即可以更新接入权限,为了接入安全性,接入认证服务器可以重新生成接入密钥,然后分别通过步骤408中的注册信息和步骤412中的认证应答消息向接入控制设备和网络接入设备分发。
如果网络接入设备没有在所述接入有效时间过期之前重新向接入认证服务器发送接入认证请求,并成功跟新接入权限,接入认证服务器也可以注销该网络接入设备的接入权限,并通知接入控制设备将该网络接入设备的EI对应的访问控制记录从访问控制列表中删除。
具体地,接入认证服务器可以判断所述网络接入设备是否在所述接入有效时间过期之前重新进行了认证,若未重新认证则向所述接入控制设备发送包含所述EI的权限过期消息,以指示所述接入控制设备拒绝所述网络接入设备接入网络;对应地,接入控制设备接收所述接入认证请求发送的权限过期消息,所述权限过期消息包含所述EI;根据所述权限过期消息删除包含所述EI的所述访问控制记录。这样的话,接入认证服务器实际上维护了接入网内有效IP地址的数据库,包括IP地址的EI部分,IP地址前缀部分(接入位置)以及该IP地址的有效时间(EI的接入有效时间)以及其他IP地址信息。
另外,当注册信息中包含接入密钥时,为了保证接入密钥的机密性,步骤408接入认证服务器还可以通过预先建立安全的信息通道将包含所述接入密钥的注册信息发送给所述接入控制设备。对应地,步骤412中,接入认证服务器还可以以密文的形式将接入密钥携带在认证应答消息中发给网络接入设备。
本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。进一步地,通过EI的注册机制,接入控制设备不仅可以确定网络接入实体的身份,还可以将每个数据包同其发送源关联起来,可以有效防止数据包的源地址伪造。
图5为本发明实施例提供的一种接入认证方法实施例五的信令流程图。如图所示,该方法包括:
步骤501、网络接入设备接收第一跳路由器发送的接入控制信息通告;
这里的网络接入设备可以是接入网络的主机等设备。接入控制信息通告中包含接入认证服务器的IP地址。
步骤502、网络接入设备向接入认证服务器发送接入认证请求;
这里的接入认证请求包含所述网络接入设备的EI和私钥对该请求的签名;
步骤503、接入认证服务器对网络接入设备进行身份验证,并选择相关的接入参数;
这里的接入参数可以包含接入有效时间、接入密钥等。
步骤504、接入认证服务器向接入控制设备进行所述网络接入设备的接入注册;
相当于将所述接入网络设备的注册信息发给接入控制设备,所述注册信息包括网络接入设备的EI,可选地还包括接入认证服务器选择的上述接入参数。
步骤505、接入控制设备存储所述网络接入设备的注册信息;
步骤506、接入控制设备向接入认证服务器返回注册应答消息;
步骤507、接入认证服务器存储所述网络接入设备的注册信息;
步骤508、接入认证服务器向网络接入设备返回认证应答消息。
这里的认证应答消息包含EI,可选地还包括接入有效时间、接入密钥等。
本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图6为本发明实施例提供的一种网络接入设备实施例的结构示意图。如图6所示,该设备包括:
认证请求模块61,用于向接入认证服务器发送包含接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的EI;
第一接收模块62,用于接收所述接入认证服务器返回的认证应答消息。
在本发明的一个可选的实施例中,接入认证服务器返回的认证应答消息中包含接入密钥,则该设备还包括:
签名模块63,用于用所述接入密钥对数据报文进行签名;
第一发送模块64,用于发送所述签名后的数据报文。
在本发明的又一可选的实施例中,接入认证服务器返回的认证应答消息中包含接入有效时间,则认证请求模块61还用于,若所述认证应答消息包含接入有效时间,则在所述接入有效时间过期之前,重新向所述接入认证服务器发送所述接入认证请求。
应用中,该设备还可以包括:
前缀获取模块65,用于通过路由通告或DHCP请求获得子网前缀;
地址生成模块66,用于根据所述子网前缀和所述EI生成所述源IP地址。
在本发明的又一可选的实施例中,为了使对网络接入设备的身份验证更可靠,认证请求模块61具体用于,
获取所述EI的私钥;
生成所述接入认证请求,并根据所述私钥对所述接入认证请求进行签名。
本实施例的具体实现参照本发明实施例提供的一种接入认证方法实施例一、四或五。本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图7为本发明实施例提供的一种接入认证服务器实施例的结构示意图。如图7所示,该服务器包括:
第二接收模块71,用于接收网络接入设备发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的EI;
认证模块72,用于根据所述源IP地址中的EI对所述网络接入设备进行认证。
在本发明的一个可选的实施例中,还包括:
注册模块73,用于在认证通过后,生成所述网络接入设备的注册信息,所述注册信息包含所述EI;
第二发送模块74,用于向接入控制设备发送所述注册消息,以指示所述接入控制设备允许所述网络接入设备接入网络;
第二接收模块71还用于,接收所述接入控制设备返回的注册应答消息;
第二发送模块74还用于,向所述网络接入设备发送认证应答消息,所述认证应答消息包含所述注册消息。
这里的注册应答消息指示注册成功,认证应答消息指示认证通过。另外,若所述注册应答消息指示注册失败,则第二发送模块74向网络接入设备发的认证应答消息指示认证失败,也就相应地不包含所述注册信息。
在本发明的又一可选的实施例中,所述接入认证请求包含所述EI对应的私钥对所述接入认证请求的签名,认证模块72具体用于,
获取所述EI对应的授权信息,所述授权信息包含所述EI和与所述私钥对应的公钥;
根据所述授权信息对所述接入认证请求进行验证。
在本发明的又一可选的实施例中,所述注册消息还包含接入有效时间,该服务器还包括:
权限更新模块75,用于判断所述网络接入设备是否在所述接入有效时间过期之前重新进行了认证,若未重新认证则向所述接入控制设备发送包含所述EI的权限过期消息,以指示所述接入控制设备拒绝所述网络接入设备接入网络。
本实施例的具体实现参照本发明实施例提供的一种接入认证方法实施例二、四或五。本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图8为本发明实施例提供的一种接入控制设备实施例的结构示意图。如图8所示,该设备包括:
第三接收模块81,用于接收接入认证服务器发送的注册信息,所述注册信息包含网络接入设备的EI;
访问控制模块82,用于根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
第三发送模块83,用于向所述接入认证服务器发送注册应答消息。
在本发明的一个可选的实施例中,第三接收模块81还用于,接收所述网络接入设备发送的数据报文,所述数据报文的源IP地址包含所述EI;
对应地,该设备还包括:
报文处理模块84,用于查找所述访问控制列表中是否有包含所述EI的访问控制记录,若有则根据所述访问控制记录对所述数据报文进行处理,若没有则丢弃所述数据报文。
在本发明的又一可选的实施例中,若所述注册信息还包含接入密钥,访问控制模块82具体用于,根据所述注册信息生成包含所述EI和所述接入密钥的访问控制记录;
报文处理模块84具体用于,查找所述访问控制列表中是否有包含所述EI的访问控制记录,若有则根据所述访问控制记录中的所述接入密钥对所述数据报文进行验证,验证通过后将所述数据报文发送出去。
在本发明的又一可选的实施例中,若所述注册信息还包含接入有效时间,访问控制模块82具体用于,根据所述注册信息生成包含所述EI和所述接入有效时间的访问控制记录;
报文处理模块84具体用于,判断所述接入有效时间是否过期,若未过期则发送所述数据报文,若过期则丢弃所述数据报文。
进一步地,第三接收模块81还用于,接收所述接入认证服务器发送的包含所述EI的权限过期消息;
访问控制模块82还用于,根据所述权限过期消息删除包含所述EI和所述接入有效时间的所述访问控制记录。
在本发明的又一可选的实施例中,第三接收模块81还用于,接收所述网络接入设备发送的接入认证请求;
第三发送模块83还用于,将所述接入认证请求发送给所述认证服务器。
本实施例的具体实现参照本发明实施例提供的一种接入认证方法实施例三、四或五。本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
图9为本发明实施例提供的一种接入认证系统实施例的结构示意图。如图9所示,该系统包括:依次连接的网络接入设备91、接入控制设备92和接入认证服务器93,其中,网络接入设备91为如本发明实施例提供的一种网络接入设备实施例所述的设备,接入控制设备92为如本发明实施例提供的一种接入控制设备实施例所述的设备,接入认证服务器93为如本发明实施例提供的一种接入认证服务器实施例所述的服务器。
本实施例的具体实现参照本发明实施例提供的一种接入认证方法实施例一至五。本发明实施例通过网络接入设备IP地址中包括的唯一标识网络接入设备身份的EI对网络接入设备进行认证以及接入控制,使得无论接入环境和位置如何改变,网络接入设备IP地址中包含的EI不会变,进而避免了现有的认证方法中存在的因网络接入设备身份信息的表现形式发生变化而难以对网络接入设备进行溯源审计的问题。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (29)
1.一种接入认证方法,其特征在于,包括:
网络接入设备向接入认证服务器发送接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
接收所述接入认证服务器返回的认证应答消息。
2.根据权利要求1所述的方法,其特征在于,所述网络接入设备向接入认证服务器发送接入认证请求之前还包括:
获取所述EI和私钥;
生成所述接入认证请求,并根据所述私钥对所述接入认证请求进行签名。
3.根据权利要求1或2所述的方法,其特征在于,若所述认证应答消息中包含接入密钥,则所述接收所述接入认证服务器返回的认证应答消息之后还包括:
用所述接入密钥对数据报文进行签名;
发送所述签名后的数据报文。
4.根据权利要求1或2所述的方法,其特征在于,若所述认证应答消息中包含接入有效时间,则所述接收所述接入认证服务器返回的认证应答消息之后还包括:
在所述接入有效时间过期之前,重新向所述接入认证服务器发送所述接入认证请求。
5.根据权利要求1或2所述的方法,其特征在于,所述网络接入设备向接入认证服务器发送接入认证请求之前还包括:
根据子网前缀和所述EI生成所述源IP地址。
6.一种接入认证方法,其特征在于,包括:
接收网络接入设备发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
根据所述源IP地址中的EI对所述网络接入设备进行认证。
7.根据权利要求6所述的方法,其特征在于,在认证通过后,所述方法还包括:
生成所述网络接入设备的注册信息,所述注册信息包含所述EI;
向接入控制设备发送所述注册消息,以指示所述接入控制设备允许所述网络接入设备接入网络;
接收所述接入控制设备返回的注册应答消息;
向所述网络接入设备发送认证应答消息,所述认证应答消息包含所述注册消息。
8.根据权利要求6或7所述的方法,其特征在于,所述接入认证请求包含私钥对所述接入认证请求的签名,所述根据所述源IP地址中的实体标识符对所述网络接入设备进行认证具体包括:
获取所述EI对应的授权信息,所述授权信息包含所述EI和与所述私钥对应的公钥;
根据所述授权信息对所述接入认证请求进行验证。
9.根据权利要求7所述的方法,其特征在于,所述注册消息包含接入有效时间,所述向所述网络接入设备发送所述认证应答消息之后还包括:
判断所述网络接入设备是否在所述接入有效时间过期之前重新进行了认证,若未重新认证则向所述接入控制设备发送包含所述实体标识符的权限过期消息,以指示所述接入控制设备拒绝所述网络接入设备接入网络。
10.一种接入认证方法,其特征在于,包括:
接收接入认证服务器发送的注册消息,所述注册消息包含网络接入设备的实体标识符EI;
根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
向所述接入认证服务器发送注册应答消息。
11.根据权利要求10所述的方法,其特征在于,还包括:
接收所述网络接入设备发送的数据报文,所述数据报文的源IP地址包含所述EI;
查找所述访问控制列表中是否有包含所述EI的访问控制记录,若有则根据所述访问控制记录对所述数据报文进行处理,若没有则丢弃所述数据报文。
12.根据权利要求11所述的方法,其特征在于,若所述注册消息还包含接入密钥,则所述访问控制记录也包含所述接入密钥,所述根据所述访问控制记录对所述数据报文进行处理具体包括:
根据所述访问控制记录中的所述接入密钥对所述数据报文进行验证,若验证通过则发送所述数据报文,若验证不通过则丢弃所述数据报文。
13.根据权利要求11所述的方法,其特征在于,若所述注册消息还包含接入有效时间,则所述访问控制记录也包含所述接入有效时间,所述根据所述访问控制记录对所述数据报文进行处理具体包括:
判断所述接入有效时间是否过期,若未过期则发送所述数据报文,若过期则丢弃所述数据报文。
14.根据权利要求13所述的方法,其特征在于,所述向所述接入认证服务器发送注册应答消息之后还包括:
接收所述接入认证请求发送的权限过期消息,所述权限过期消息包含所述EI;
根据所述权限过期消息删除包含所述EI的所述访问控制记录。
15.一种网络接入设备,其特征在于,包括:
认证请求模块,用于向接入认证服务器发送包含接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
第一接收模块,用于接收所述接入认证服务器返回的认证应答消息。
16.根据权利要求15所述的设备,其特征在于,所述认证请求模块具体用于,
获取所述EI和私钥;
生成所述接入认证请求,并根据所述私钥对所述接入认证请求进行签名。
17.根据权利要求15或16所述的设备,其特征在于,若所述认证应答消息中包含接入密钥,则还包括:
签名模块,用于用所述接入密钥对数据报文进行签名;
第一发送模块,用于发送所述签名后的数据报文。
18.根据权利要求15或16所述的设备,其特征在于,若所述认证应答消息中包含接入有效时间,则所述认证请求模块具体用于,
在所述接入有效时间过期之前,重新向所述接入认证服务器发送所述接入认证请求。
19.根据权利要求15或16所述的设备,其特征在于,还包括:
地址生成模块,用于根据子网前缀和所述EI生成所述源IP地址。
20.一种接入认证服务器,其特征在于,包括:
第二接收模块,用于接收网络接入设备发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入设备的实体标识符EI;
认证模块,用于根据所述源IP地址中的EI对所述网络接入设备进行认证。
21.根据权利要求20所述的服务器,其特征在于,还包括:
注册模块,用于在认证通过后,生成所述网络接入设备的注册信息,所述注册信息包含所述EI;
第二发送模块,用于向接入控制设备发送所述注册消息,以指示所述接入控制设备允许所述网络接入设备接入网络;
所述第二接收模块还用于,接收所述接入控制设备返回的注册应答消息;
所述第二发送模块还用于,向所述网络接入设备发送认证应答消息,所述认证应答消息包含所述注册消息。
22.根据权利要求21或22所述的服务器,其特征在于,所述接入认证请求包含私钥对所述接入认证请求的签名,所述认证模块具体用于,
获取所述EI对应的授权信息,所述授权信息包含所述EI和与所述私钥对应的公钥;
根据所述授权信息对所述接入认证请求进行验证。
23.根据权利要求21所述的服务器,其特征在于,若所述注册消息包含接入有效时间,则还包括:
权限更新模块,用于判断所述网络接入设备是否在所述接入有效时间过期之前重新进行了认证,若未重新认证则向所述接入控制设备发送包含所述EI的权限过期消息,以指示所述接入控制设备拒绝所述网络接入设备接入网络。
24.一种接入控制设备,其特征在于,包括:
第三接收模块,用于接收接入认证服务器发送的注册信息,所述注册信息包含网络接入设备的实体标识符EI;
访问控制模块,用于根据所述注册信息生成包含所述EI的访问控制记录,将所述访问控制记录写入访问控制列表以允许所述网络接入设备接入网络;
第三发送模块,用于向所述接入认证服务器发送注册应答消息。
25.根据权利要求24所述的设备,其特征在于,所述第三接收模块还用于,接收所述网络接入设备发送的数据报文,所述数据报文的源IP地址包含所述EI;
还包括:
报文处理模块,用于查找所述访问控制列表中是否有包含所述EI的访问控制记录,若有则根据所述访问控制记录对所述数据报文进行处理,若没有则丢弃所述数据报文。
26.根据权利要求25所述的设备,其特征在于,若所述注册信息还包含接入密钥,则
所述访问控制模块具体用于,根据所述注册信息生成包含所述EI和所述接入密钥的访问控制记录;
所述报文处理模块具体用于,根据所述访问控制记录中的所述接入密钥对所述数据报文进行验证,若验证通过则发送所述数据报文,若验证不通过则丢弃所述数据报文。
27.根据权利要求25所述的设备,其特征在于,若所述注册信息还包含接入有效时间,则
所述访问控制模块具体用于,根据所述注册信息生成包含所述EI和所述接入有效时间的访问控制记录;
所述报文处理模块具体用于,判断所述接入有效时间是否过期,若未过期则发送所述数据报文,若过期则丢弃所述数据报文。
28.根据权利要求27所述的设备,其特征在于,所述第三接收模块还用于,接收所述接入认证服务器发送的包含所述EI的权限过期消息;
所述访问控制模块还用于,根据所述权限过期消息删除包含所述EI的所述访问控制记录。
29.一种接入认证系统,其特征在于,包括:依次连接的如权利要求15~19任一所述的网络接入设备、如权利要求24~28任一所述的接入控制设备和如权利要求20~23任一所述的接入认证服务器。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110210884XA CN102255916A (zh) | 2011-07-26 | 2011-07-26 | 接入认证方法、设备、服务器及系统 |
| PCT/CN2011/083703 WO2013013481A1 (zh) | 2011-07-26 | 2011-12-08 | 接入认证方法、设备、服务器及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110210884XA CN102255916A (zh) | 2011-07-26 | 2011-07-26 | 接入认证方法、设备、服务器及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102255916A true CN102255916A (zh) | 2011-11-23 |
Family
ID=44982912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110210884XA Pending CN102255916A (zh) | 2011-07-26 | 2011-07-26 | 接入认证方法、设备、服务器及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102255916A (zh) |
| WO (1) | WO2013013481A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013013481A1 (zh) * | 2011-07-26 | 2013-01-31 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| CN103986769A (zh) * | 2014-05-20 | 2014-08-13 | 东南大学 | 一种标识网业务访问控制方法 |
| CN104378457A (zh) * | 2014-11-26 | 2015-02-25 | 中国联合网络通信集团有限公司 | 一种分配ip地址的方法、装置及系统 |
| CN105610841A (zh) * | 2015-12-31 | 2016-05-25 | 国网智能电网研究院 | 一种基于可溯源的用户信息认证方法 |
| CN106330836A (zh) * | 2015-07-01 | 2017-01-11 | 北京京东尚科信息技术有限公司 | 一种服务端对客户端的访问控制方法 |
| CN106936685A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种基于实时交互的通讯方法及系统 |
| CN107104872A (zh) * | 2016-02-23 | 2017-08-29 | 华为技术有限公司 | 接入控制方法、装置及系统 |
| CN109257343A (zh) * | 2018-09-05 | 2019-01-22 | 沈阳理工大学 | 一种基于矩阵映射的复合维度反接入认证方法 |
| CN109525403A (zh) * | 2018-12-29 | 2019-03-26 | 陕西师范大学 | 一种支持用户全动态并行操作的抗泄露公开云审计方法 |
| CN110611890A (zh) * | 2019-09-17 | 2019-12-24 | Oppo广东移动通信有限公司 | 通知消息控制方法及相关装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| CN101145907A (zh) * | 2006-09-11 | 2008-03-19 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及系统 |
| EP2051432A1 (en) * | 2006-08-31 | 2009-04-22 | Huawei Technologies Co., Ltd. | An authentication method, system, supplicant and authenticator |
| CN102065423A (zh) * | 2010-12-13 | 2011-05-18 | 中国联合网络通信集团有限公司 | 节点接入认证方法、接入认证节点、接入节点和通信系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255916A (zh) * | 2011-07-26 | 2011-11-23 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
-
2011
- 2011-07-26 CN CN201110210884XA patent/CN102255916A/zh active Pending
- 2011-12-08 WO PCT/CN2011/083703 patent/WO2013013481A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2051432A1 (en) * | 2006-08-31 | 2009-04-22 | Huawei Technologies Co., Ltd. | An authentication method, system, supplicant and authenticator |
| CN101145907A (zh) * | 2006-09-11 | 2008-03-19 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及系统 |
| CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| CN102065423A (zh) * | 2010-12-13 | 2011-05-18 | 中国联合网络通信集团有限公司 | 节点接入认证方法、接入认证节点、接入节点和通信系统 |
Non-Patent Citations (1)
| Title |
|---|
| DI MA等: "Host-Identifier-Based Scheme for Source Accountability of the Internet", 《12TH IFIP/IEEE IM 2011: MINI CONFERENCE》, 27 May 2011 (2011-05-27), pages 539 - 546, XP032035391, DOI: doi:10.1109/INM.2011.5990557 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013013481A1 (zh) * | 2011-07-26 | 2013-01-31 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| CN103986769A (zh) * | 2014-05-20 | 2014-08-13 | 东南大学 | 一种标识网业务访问控制方法 |
| CN103986769B (zh) * | 2014-05-20 | 2015-01-21 | 东南大学 | 一种标识网业务访问控制方法 |
| CN104378457A (zh) * | 2014-11-26 | 2015-02-25 | 中国联合网络通信集团有限公司 | 一种分配ip地址的方法、装置及系统 |
| CN106330836A (zh) * | 2015-07-01 | 2017-01-11 | 北京京东尚科信息技术有限公司 | 一种服务端对客户端的访问控制方法 |
| CN106936685A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种基于实时交互的通讯方法及系统 |
| CN105610841B (zh) * | 2015-12-31 | 2020-10-23 | 国网智能电网研究院 | 一种基于可溯源的用户信息认证方法 |
| CN105610841A (zh) * | 2015-12-31 | 2016-05-25 | 国网智能电网研究院 | 一种基于可溯源的用户信息认证方法 |
| CN107104872B (zh) * | 2016-02-23 | 2020-11-03 | 华为技术有限公司 | 接入控制方法、装置及系统 |
| CN107104872A (zh) * | 2016-02-23 | 2017-08-29 | 华为技术有限公司 | 接入控制方法、装置及系统 |
| US11095478B2 (en) | 2016-02-23 | 2021-08-17 | Huawei Technologies Co., Ltd. | Access control method, apparatus, and system |
| CN109257343A (zh) * | 2018-09-05 | 2019-01-22 | 沈阳理工大学 | 一种基于矩阵映射的复合维度反接入认证方法 |
| CN109257343B (zh) * | 2018-09-05 | 2020-11-10 | 沈阳理工大学 | 一种基于矩阵映射的复合维度反接入认证方法 |
| CN109525403A (zh) * | 2018-12-29 | 2019-03-26 | 陕西师范大学 | 一种支持用户全动态并行操作的抗泄露公开云审计方法 |
| CN109525403B (zh) * | 2018-12-29 | 2021-11-02 | 广州市溢信科技股份有限公司 | 一种支持用户全动态并行操作的抗泄露公开云审计方法 |
| CN110611890A (zh) * | 2019-09-17 | 2019-12-24 | Oppo广东移动通信有限公司 | 通知消息控制方法及相关装置 |
| CN110611890B (zh) * | 2019-09-17 | 2021-07-06 | Oppo广东移动通信有限公司 | 通知消息控制方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013013481A1 (zh) | 2013-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255916A (zh) | 接入认证方法、设备、服务器及系统 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN100539595C (zh) | 一种基于dhcp扩展属性的ip地址分配方法 | |
| CN101401387B (zh) | 用于嵌入式设备的访问控制方法 | |
| EP2604021B1 (en) | Certificate revocation | |
| CN101924801B (zh) | Ip地址管理方法和系统、动态主机配置协议服务器 | |
| EP2604022B1 (en) | Certificate revocation | |
| CN102420690A (zh) | 一种工业控制系统中身份与权限的融合认证方法及系统 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| KR20120104193A (ko) | 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템 | |
| CN102271134A (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| EP2845404A1 (en) | Network application function authorisation in a generic bootstrapping architecture | |
| CN109728901B (zh) | 数字签名认证方法、装置和系统 | |
| CN102255983A (zh) | 实体标识符分配系统、溯源、认证方法及服务器 | |
| US8275987B2 (en) | Method for transmission of DHCP messages | |
| Li et al. | Secure DHCPv6 mechanism for DHCPv6 security and privacy protection | |
| CN102457482B (zh) | 一种认证方法、装置和系统 | |
| CN111314269A (zh) | 一种地址自动分配协议安全认证方法及设备 | |
| CN101232369B (zh) | 动态主机配置协议中密钥分发方法和系统 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN106453308A (zh) | 一种防止arp欺骗的方法 | |
| CN111835716B (zh) | 认证通信方法、服务器、设备及存储介质 | |
| US11575661B2 (en) | Centralized management of private networks | |
| EP2663049A1 (en) | Authentication method based on dhcp, dhcp server and client | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111123 |