CN104243254B - 一种PPPoE接入方法及设备 - Google Patents
一种PPPoE接入方法及设备 Download PDFInfo
- Publication number
- CN104243254B CN104243254B CN201410515707.6A CN201410515707A CN104243254B CN 104243254 B CN104243254 B CN 104243254B CN 201410515707 A CN201410515707 A CN 201410515707A CN 104243254 B CN104243254 B CN 104243254B
- Authority
- CN
- China
- Prior art keywords
- access device
- messages
- access
- pppoe
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 238000000131 plasma-assisted desorption ionisation Methods 0.000 claims abstract 17
- 238000012360 testing method Methods 0.000 claims description 38
- 238000010276 construction Methods 0.000 claims description 10
- 238000002360 preparation method Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 13
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 1
- 240000002853 Nelumbo nucifera Species 0.000 description 1
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明的实施例提供一种PPPoE接入方法及设备,涉及通信领域,能够避免用户设备与伪装的接入设备进行PPPoE接入,从而有效地保证了用户信息的安全性。该方法可以包括:广播PADI报文;若在第一预定时间内,接收到M个接入设备分别回复的M个PADO报文,则根据M个PADO报文生成验证报文;其中,每个PADO报文中携带各接入设备的地址信息;验证报文包括M个接入设备的地址信息;M>1;根据M个接入设备的地址信息,将验证报文向M个接入设备发送,以便第一接入设备根据验证报文屏蔽掉其余M‑1个接入设备发送的报文;若在第二预定时间内,仅接收第一接入设备发送的PADO报文,则与第一接入设备完成PPPoE接入。
Description
技术领域
本发明涉及通信领域,尤其涉及一种PPPoE接入方法及设备。
背景技术
目前,在网络接入技术中,采用的认证技术主要有PPPoE(Point to PointProtocol over Ethernet,以太网的点对点协议)接入技术、802.1X及Web认证等,其中,以PPPoE接入技术在通信技术领域中使用得最普遍。
现有技术中,PPPoE接入过程可分为两个阶段:发现阶段和PPP(Point to PointProtocol,点对点协议)会话阶段。其中,发现阶段具体包括:
(1)、用户设备广播PADI(PPPoE Active Discovery Initiation)报文。
(2)、用户设备接收到一个或多个接入设备回复的PADO(PPPoE Active DiscoveryOffer)报文。其中,PADO报文中携带有接入设备的MAC地址。
(3)、用户设备将第一个回复PADO报文的接入设备确定为选定的接入设备,向其发送PADR(PPPoE Active Discovery Request)报文。
(4)、用户设备接收选定的接入设备回复的PADS(PAD Session-confirmation)报文,完成PPP会话的建立。其中,PADS报文中携带有PPP会话标识。
会话阶段具体为:用户设备根据该PPP会话标识及选定的接入设备的MAC地址,与选定的接入设备进行PPP会话,并与选定的接入设备进行PPPoE接入,实现用户设备与选定的接入设备之间的数据通信。
然而,在现有的PPPoE接入过程的发现阶段中,用户设备在广播PADI报文后,会直接将第一个回复PADO报文的接入设备确定为选定的接入设备,这存在着很大的隐患。如果有攻击者伪装成接入设备接收到该PADI报文后,从真正的接入设备(合法的接入设备)处获取回复的PADO报文,并将该PADO报文第一个回复至用户设备,那么,用户设备就会误将该伪装的接入设备确定为选定的接入设备,完成PPPoE接入。进而就会让伪装的接入设备非法获取到该用户设备的相关信息。
发明内容
本发明的实施例提供一种PPPoE接入方法及设备,能够避免用户设备与伪装的接入设备进行PPPoE接入,从而有效地保证了用户信息的安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种PPPoE接入方法,应用于用户设备,包括:
广播PADI报文;
若在第一预定时间内,接收到M个接入设备分别回复的M个PADO报文,则根据所述M个PADO报文生成验证报文;其中,每个PADO报文中均携带有接入设备的地址信息;所述验证报文包括M个接入设备的地址信息;所述M>1;
根据M个接入设备各自的地址信息,将所述验证报文向所述M个接入设备发送,以便第一接入设备根据所述验证报文屏蔽掉其余M-1个接入设备发送的报文,所述第一接入设备为真正的接入设备;
若在第二预定时间内,仅接收所述第一接入设备发送的PADO报文,则与所述第一接入设备完成PPPoE接入。
在第一方面的第一种可能的实现方式中,所述与所述第一接入设备完成PPPoE接入之后,所述方法还包括:存储所述第一接入设备的地址信息;
再次进行PPPoE接入时,若确定存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文;若在所述第一预定时间内,接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
结合前述的第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述再次进行PPPoE接入时,若确定存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文之后,所述方法还包括:
若在所述第一预定时间内,未接收到所述第一接入设备回复的PADO报文,则广播PADI报文。
第二方面,本发明实施例提供一种PPPoE接入方法,应用于接入设备,包括:
接收用户设备发送的PADI报文;
向所述用户设备发送PADO报文;所述PADO报文中携带有自身的地址信息;
接收所述用户设备发送的验证报文;所述验证报文中携带有所述接入设备自身的地址信息、以及N个其他接入设备的地址信息;所述N≥1:
根据所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文;
向所述用户设备发送所述PADO报文;
与所述用户设备完成PPPoE接入。
在第二方面的第一种可能的实现方式中,所述根据所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文,包括:
构造测试用PADI报文;
根据所述N个其他接入设备的地址信息,将所述测试用PADI报文向所述N个其他接入设备发送;
接收所述N个其他接入设备回复的测试用PADO报文;
根据所述N个其他接入设备的地址信息,向所述N个其他接入设备连接的交换机发送指令,指示所述交换机屏蔽掉所述N个其他接入设备的PPPoE数据报文。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,构造的所述测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
第三方面,本发明实施例提供一种用户设备,包括:
发送单元,用于广播PADI报文;
接收单元,用于接收每个接入设备分别回复的PADO报文;
生成单元,用于若在第一预定时间内,所述接收单元接收到M个接入设备分别回复的M个PADO报文,则根据所述M个PADO报文生成验证报文;其中,每个PADO报文中均携带有接入设备的地址信息;所述验证报文包括M个接入设备的地址信息;所述M>1;
所述发送单元,还用于根据所述接收单元接收的M个接入设备各自的地址信息,将所述生成单元生成的所述验证报文向所述M个接入设备发送,以便第一接入设备根据所述验证报文屏蔽掉其余M-1个接入设备发送的报文,所述第一接入设备为真正的接入设备;
所述接收单元,还用于接收所述第一接入设备发送的PADO报文;
接入单元,用于若在第二预定时间内,所述接收单元仅接收到所述第一接入设备发送的PADO报文,则与所述第一接入设备完成PPPoE接入。
在第三方面的第一种可能的实现方式中,所述用户设备还包括存储单元,
所述存储单元,用于所述接入单元与所述第一接入设备完成PPPoE接入之后,存储所述接收单元接收的所述第一接入设备的地址信息;
所述发送单元,还用于再次进行PPPoE接入时,若确定所述存储单元存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文;
所述接入单元,还用于若在所述第一预定时间内,所述接收单元接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
结合前述的第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述发送单元,还用于所述再次进行PPPoE接入时,若确定所述存储单元存储有所述第一接入设备的地址信息,则根据所述接收单元接收的所述第一接入设备的地址信息向所述第一接入设备发送PADI报文之后,若在所述第一预定时间内,所述接收单元未接收到所述第一接入设备回复的PADO报文,则广播PADI报文。
第四方面,本发明实施例提供一种接入设备,包括:
接收单元,用于接收用户设备发送的PADI报文;
发送单元,用于向所述用户设备发送PADO报文;所述PADO报文中携带有自身的地址信息;
所述接收单元,还用于接收所述用户设备发送的验证报文;所述验证报文中携带有所述接入设备自身的地址信息、以及N个其他接入设备的地址信息;所述N≥1;
屏蔽单元,用于根据所述接收单元接收的所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文;
所述发送单元,还用于向所述用户设备发送所述PADO报文;
接入单元,用于与所述用户设备完成PPPoE接入。
在第四方面的第一种可能的实现方式中,所述接入设备还包括构造单元,
所述构造单元,用于构造测试用PADI报文;
所述发送单元,具体用于根据所述接收单元接收的所述N个其他接入设备的地址信息,将所述构造单元构造的所述测试用PADI报文向所述N个其他接入设备发送;
所述接收单元,具体用于接收所述N个其他接入设备回复的测试用PADO报文;
所述屏蔽单元,具体用于根据所述接收单元接收的所述N个其他接入设备的地址信息,向所述N个其他接入设备连接的交换机发送指令,指示所述交换机屏蔽掉所述N个其他接入设备的PPPoE数据报文。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述构造单元构造的所述测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
本发明实施例提供的一种PPPoE接入方法及设备,在用户设备广播PADI报文后,当接收到多个接入设备回复的PADO后,不再直接与第一个回复PADO报文的接入设备进行PPPoE接入,而是向各个接入设备发送携带有各接入设备地址信息的验证信息。这样,合法的接入设备(第一接入设备)在接收到验证信息后能够根据其他接入设备的地址信息屏蔽掉那些非法的接入设备发送的报文,从而使得用户设备不再收到非法的接入设备(伪装的接入设备)发送的PPPoE的相关报文,保证了用户设备只与合法的接入设备建立PPPoE连接,进而防止了用户信息的泄露,有效保护了用户信息的安全。
附图说明
图1为本发明实施例应用架构图;
图2为本发明实施例提供的一种PPPoE接入方法的流程图一;
图3为本发明实施例还提供的一种PPPoE接入方法的流程图二;
图4为本发明实施例提供的一种PPPoE接入方法的交互图;
图5为本发明实施例提供的一种用户设备的结构示意图一;
图6为本发明实施例提供的一种用户设备的结构示意图二;
图7为本发明实施例提供的一种接入设备的结构示意图一;
图8为本发明实施例提供的一种接入设备的结构示意图二;
图9为本发明实施例提供的一种用户设备的结构示意图三;
图10为本发明实施例提供的一种接入设备的结构示意图三。
具体实施方式
下面结合附图对本发明实施例提供的一种PPPoE接入方法及设备进行详细地描述。
实施例一
需要说明的是,本发明实施例应用在与用户设备在同一个二层接入网络中,只有一个真正的接入设备,即合法的接入设备的情况下。如图1所示,本发明实施例的应用基于PPPoE(Point to Point Protocol over Ethernet,以太网的点对点协议)协议上的网络结构,具体为:用户设备(PPPoE终端)通过以太网交换机,连接到真正的接入设备(接入服务器)上,该接入设备的网络侧连接到Internet。在用户设备和以太网交换机之间,以及以太网交换机和接入设备之间的链路为以太网链路。
本领域技术人员可知,用户设备具有PPPoE功能和广播功能,以太网交换机具有桥接转发功能,以及接入设备具有PPPoE终结功能和广播功能。且只有真正的接入设备才能与英特网连接,使得用户设备通过接入该接入设备连接到英特网。
本发明的实施例提供一种PPPoE接入方法,应用于用户设备侧,如图2所示,该方法可以包括:
S101、用户设备广播PADI(PPPoE Active Discovery Initiation)报文。
S102、若在第一预定时间内,该用户设备接收到M个接入设备分别回复的M个PADO(PPPoE Active Discovery Offer)报文,则该用户设备根据该M个PADO报文生成验证报文,其中,每个PADO报文中均携带有接入设备的地址信息,该验证报文包括M个接入设备的地址信息,M>1。
用户设备在进行PPPoE接入时,要先搜索可接入的接入设备,再与搜索到的接入设备进行PPPoE接入。
本发明实施例中的用户设备搜索可接入的接入设备,即用户设备进行PPPoE接入时,该用户设备广播PADI报文,以搜索第一接入设备,若用户设备接收到M个接入设备分别回复的PADO报文,则表征该M个第一接入设备被用户设备搜索到了,该M个接入设备可用于与该用户设备进行PPPoE接入。
可以理解的是,基于本发明的应用场景的限定,M个接入设备中包括M-1个伪装的接入设备和一个真正的接入设备。
可选的,真正的接入设备可以为BRAS(Broadband ReMote Access Server,宽带远程接入服务器)和SR(Service Router,全业务路由器)等。
可选的,第一预定时间可以为30秒,具体的时间可以根据实际情况设定,本发明不作限制。
需要说明的是,本发明实施例提供的PPPoE接入方法中,由于应用场景中的二层接入网络中只有一个合法的接入设备,用户设备只有与合法的接入设备上进行PPPoE接入,才能进行正确的数据传输。当用户设备通过广播的方式发送PADI报文,并且将策略设置为等待预定时间,在该第一预定时间内接收到的M个接入设备分别回复的PADO报文,M大于1时,用户设备可认为网络中有攻击者伪装的其他M-1个接入设备在尝试与该用户设备进行PPPoE接入。这时,用户设备将进入验证阶段,以判断哪个才是真正的接入设备,以完成与真正的接入设备的PPPoE接入。
可选的,每个PADO报文中均携带有接入设备的地址信息,例如接入设备的MAC(Media Access Control,媒体访问控制)地址。
需要说明的是,PADI报文和PADO报文为PPPoE数据报文,而PPPoE数据报文是被承载在以太网数据帧中进行传送的。具体的,PPPoE数据报文是封装在以太网的数据域(净载荷区)中进行传送的。以太网数据帧格式如表1所示,包括:目的地址、源地址、类型域、净载荷和帧校验。其中,类型域中的字段内容表征以太网数据域中承载的数据报文的协议类型,例如,在PPPoE的发现阶段,以太网的类型域的字段为:0x8863;而在PPPoE的会话阶段,以太网的类型域的字段为0x8864。帧校验用于表征以太网数据域中的数据报文传送的正确性。
表1
需要说明的是,用户设备通过以太网数据帧发送PADI报文,该以太网数据帧中的源地址为该用户设备的MAC地址,每个接入设备通过一个以太网数据帧发送的PADO报文,该每一个以太网数据帧中的目的地址为用户设备的MAC地址,源地址为该每个接入设备的MAC地址。
进一步地,封装在以太网的数据域中的PPPoE数据报文的格式如表2所示,包括:版本、类型、代码(Code)、会话ID(Identity,身份标识号)、长度域和净载荷。其中,会话ID为接入设备与用户设备进行会话时的标识。代码用于表征PPPoE数据报文的类型,例如,PADI的代码字段为:0x09,PADO的代码字段为:0x07,PADR的代码字段为:0x019以及PADS的代码字段为:0x65。用户设备和接入设备可以分别根据PPPoE数据报文的代码,得知接收的PPPoE数据报文的类型,从而做出相应的响应。
表2
需要说明的是,在PPPoE的净载荷区,封装着PPPoE接入过程中的数据信息,例如,在PPPoE的发现阶段,PPPoE数据报文的净载荷区中填充一些Tag(标记),该Tag类似于PPP配置参数选项,例如,用户设备在接收M个接入设备分别发送的M个PADO报文时,该每个PADO报文的净载荷中填充有0x0102,由此可知每个接入设备的名字,从而使用户设备得知该PADO是哪个接入设备发送的。具体的Tag类型如表3所示;而在PPPoE的会话阶段,净载荷中承载的为PPP的报文。
表3
进一步地,用户设备的验证通过验证报文来实现,在验证阶段中,用户设备生成验证报文,并根据每个接入设备的MAC地址,将该验证报文发送至每个接入设备。其中,该验证报文的获取为:用户设备将M个PADO报文中分别携带的各自接入设备的地址信息存储在新构造的报文中,形成验证报文,因此该验证报文包括M个接入设备的地址信息。
示例性的,用户设备在30秒内,接收到A、B和C三个接入设备回复的PADO报文,其中,A回复的PADO中携带有A的MAC地址,B回复的PADO中携带有B的MAC地址,以及C回复的PADO中携带有C的MAC地址,于是用户设备将A的MAC地址、B的MAC地址和C的MAC地址都存储在新构造报文中,即生成了验证报文。
具体的,用户设备将发送PADO报文的M个接入设备的MAC地址存储下来,并将该M个接入设备的MAC地址封装在PPPoE数据报文的净载荷区,形成验证报文。
具体的,验证报文可以为与PPPoE数据报文格式相同的报文,并将该验证报文中代码的字段的设置为未被占用的某个值,这样,当接入设备接收到该验证报文后,可以根据该验证报文的代码字段解析出该报文的类型,从而进行验证过程。
S103、该用户设备根据M个接入设备各自的地址信息,将该验证报文向该M个接入设备发送,以便第一接入设备根据该验证报文屏蔽掉其余M-1个接入设备发送的报文,该第一接入设备为真正的接入设备。
具体的,在生成验证报文后,用户设备根据M个接入设备的地址信息,向与M个接入设备对应的M个接入设备分别发送该验证报文,以完成验证的过程,使得第一接入设备根据该M个接入设备的地址信息,能够屏蔽掉除自己外的其余M-1个接入设备发送的报文,即通过验证报文,找到了唯一合法的第一接入设备。
需要说明的是,由于本发明实施例中的用户设备要接入的第一接入设备为合法的接入设备,因此,用户设备避免了接入其他攻击者伪装的接入设备的攻击。
可以理解的是,当用户设备接收到的大于1个PADO报文时,即用户设备搜索到M个第一接入设备,M大于1时,由于一个用户设备对应一个合法的接入设备,可以推出,M个接入设备中可能存在恶意的攻击者,即伪装的接入设备,因此,用户设备通过验证报文,对该M个接入设备进行验证,屏蔽掉其余M-1个接入设备,找到唯一合法的一个第一接入设备继续接入,从而避免与伪装的接入设备进行PPPoE接入而造成的用户信息的泄露,能够提高PPPoE接入时的用户信息的安全性。
需要说明的是,具体的用户设备发送完验证报文后的验证过程为接入设备侧的方法,将在本实施例的后面部分进行详细的说明。
S104、若在第二预定时间内,该用户设备仅接收第一接入设备发送的PADO报文,则该用户设备与该第一接入设备完成PPPoE接入。
若在第二预定时间内,用户设备仅接收第一接入设备重新发送的PADO报文,则该用户设备将此时回复的该第一接入设备认为是选定的接入设备,以及该用户设备向该第一接入设备发送PADR(PPPoE Active Discovery Request)报文,最后,该用户设备接收该第一接入设备回复的PADS(PAD Session-confirmation)报文,从而完成用户设备与该接入设备的会话建立,可以开始进行两者之间的会话,完成PPPoE接入。
需要说明的是,本发明实施例提供的PPPoE接入方法中,在用户设备发送验证报文后,由于第一接入设备屏蔽其他M-1个接入设备的过程是需要时间的,而在第一接入设备未屏蔽全部的M-1个接入设备时,未被屏蔽的伪装的接入设备可能还在向用户设备不断地发送PADO报文,当第一接入设备在屏蔽了其他M-1个接入设备后,就只有第一接入设备向用户设备发送PADO报文,这种情况下,用户设备又接收了多个接入设备发送的PADO报文,进入了验证阶段,此时的第一接入设备已经把其他M-1个接入设备屏蔽掉了,因此,这时用户设备在第二预定时间内,仅接收第一接入设备发送的PADO报文,与该第一设备完成PPPoE接入。
进一步地,用户设备与第一接入设备进行会话时需根据会话ID来识别。会话未建立时的PPPoE数据报文中的会话ID均为零。用户设备接收到第一接入设备发送的PADS报文,就可获取该用户设备与该接入设备的一个会话ID,即会话ID在PADS报文中设置有不为零的值,在后续该用户设备与该第一接入设备的交互中,该会话ID是唯一不变的。
可以理解的是,由于其他M-1个接入设备都被屏蔽掉了,故用户设备就仅接收到第一接入设备发送PADO报文,并与该第一接入设备进行PPPoE接入。
需要说明的是,在本发明实施例提供的PPPoE接入方法中,用户设备在成功完成PPPoE接入后,可存储当前接入设备的相关接入信息,为下次该用户设备进行PPPoE接入提供便利。
本发明的实施例还提供一种PPPoE接入方法,应用于与用户设备在同一个二层接入网络的真正的接入设备,即第一接入设备侧,如图3所示,该方法可以包括:
S201、第一接入设备接收用户设备发送的PADI报文。
S202、该第一接入设备向该用户设备发送PADO报文,该PADO报文中携带有自身的地址信息。
用户设备在与第一接入设备进行PPPoE接入时,用户设备先搜索可用的接入设备,即第一接入设备接收到该用户设备发送的PADI报文,该第一接入设备回应该PADI报文,即该第一接入设备向该用户设备发送PADO报文。
进一步地,PADI报文中携带有用户设备的MAC地址,PADO报文中携带有该第一接入设备的MAC地址。
具体的,第一接入设备可以根据用户设备的MAC地址,向该用户设备发送PADO报文,以告知该用户设备第一接入设备的MAC地址。
S203、该第一接入设备接收该用户设备发送的验证报文,该验证报文中携带有该第一接入设备自身的地址信息、以及N个其他接入设备的地址信息,N≥1。
需要说明的是,本发明实施例还提供的PPPoE接入方法中,只有在用户设备搜索到多个接入设备时才进行验证的过程,以确定多个接入设备中的唯一合法的第一接入设备。
在PPPoE接入过程中,第一接入设备回复PADO报文后,该第一接入设备接收到用户设备发送的验证报文,该验证报文的净载荷区中存储有该第一接入设备MAC地址和N个接入设备MAC地址,其中,用户设备可以根据第一接入设备的MAC地址,向第一接入设备发送验证报文。
需要说明的是,N可以与前述的实施例中的M-1相同。
S204、该第一接入设备根据该N个其他接入设备的地址信息,屏蔽掉该N个其他接入设备发送的报文。
需要说明的是,第一接入设备为与用户设备在同一个二层接入网络中的真正的接入设备,该第一接入设备根据验证报文可以知道,除自己的MAC地址外,还可获知N个接入设备的MAC地址,因此,该第一接入设备可知该N个接入设备为攻击者伪装的接入设备,于是,该第一接入设备通过与该N个接入设备连接的交换机进行指令交互,以屏蔽掉该N个其他接入设备发送的报文。
可选的,N个其他接入设备发送的报文可以为PPPoE数据报文。
可以理解的是,若第一接入设备屏蔽掉伪装的其他接入设备发送的报文,则该伪装的接入设备就不能通过交换机从第一接入设备获取PADO报文或PADS报文,因而该伪装的接入设备不能将该PADO报文或PADS报文转发给用户设备,从而阻止了用户设备与该伪装的接入设备的PPPoE接入,避免造成用户信息的泄露。
需要说明的是,具体的第一接入设备根据验证报文屏蔽掉其余N个接入设备发送的报文过程,将在后续实施例中进行详细的说明。
S205、该第一接入设备向该用户设备发送该PADO报文。
S206、该第一接入设备与该用户设备完成PPPoE接入。
由于第一接入设备根据该N个其他接入设备的地址信息,屏蔽掉该N个其他接入设备发送的报文,因此,只有真正的第一接入设备完成了测试后,重新发送与测试用PADI报文对应的测试用PADO报文,才能使得用户设备与该第一接入设备完成PPPoE接入。
需要说明的是,本发明实施中用户设备可以为计算机主机、网络机顶盒等设备。
本发明实施例提供的一种PPPoE接入方法,在用户设备广播PADI报文后,当接收到多个接入设备回复的PADO后,不再直接与第一个回复PADO报文的接入设备进行PPPoE接入,而是向各个接入设备发送携带有各接入设备地址信息的验证信息。这样,合法的接入设备(第一接入设备)在接收到验证信息后能够根据其他接入设备的地址信息屏蔽掉那些非法的接入设备发送的报文,从而使得用户设备不再收到非法的接入设备(伪装的接入设备)发送的PPPoE的相关报文,保证了用户设备只与合法的接入设备建立PPPoE连接,进而防止了用户信息的泄露,有效保护了用户信息的安全。
实施例二
本发明的实施例还提供一种PPPoE接入方法,以用户设备为计算机主机,接入设备为BRAS为例进行说明,如图4所示,该方法可以包括:
S301、计算机主机广播PADI报文。
S302、若在第一预定时间内,该计算机主机接收到M个BRAS分别回复的M个PADO报文,则该计算机主机根据该M个PADO报文生成验证报文,其中,每个PADO报文中均携带有BRAS的地址信息,该验证报文包括M个BRAS的地址信息,M>1。
具体的若在第一预定时间内,该计算机主机接收到M个BRAS分别回复的M个PADO报文,则该计算机主机根据该M个PADO报文生成验证报文的过程及相关描述可参照本发明实施例中的S102的步骤及其描述,此处不再赘述。
可选的,第一预定时间可以为25秒,具体的时间设置可根据实际情况而定,本发明不作限制。
S303、该计算机主机根据M个BRAS各自的地址信息,将该验证报文向该M个BRAS发送。
具体的该计算机主机根据M个BRAS各自的地址信息,将该验证报文向该M个BRAS发送的过程及相关描述可参照本发明实施例中的S103的步骤及其描述,此处不再赘述。
S304、该第一BRAS构造测试用PADI报文,该第一BRAS为真正的接入设备。
可选的,构造的测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
需要说明的是,只有真正的第一BRAS才可以生成测试用PADI报文,对计算机主机搜索到的伪装的其他BRAS的进行检验,并将承载该测试用PADI报文的以太网数据帧的源地址信息设置为随机的,以避免引起攻击者的防范。
S305、该第一BRAS根据M-1个其他BRAS的地址信息,将该测试用PADI报文向M-1个其他BRAS发送。
S306、该第一BRAS接收该M-1个其他BRAS回复的测试用PADO报文。
S307、该第一BRAS根据该M-1个其他BRAS的地址信息,向该M-1个其他BRAS连接的交换机发送指令,指示该交换机屏蔽掉该M-1个其他BRAS的PPPoE数据报文。
具体的,M个BRAS中的每个BRAS根据验证报文,都可获取该验证报文中的M个BRAS的MAC地址。M个BRAS中的第一BRAS根据获取的M-1个除自己外的其他BRAS的MAC地址,向该M-1个BRAS发送构造的测试用PADI报文,以验证该M-1个BRAS是否为攻击者伪装的BRAS。若M-1个BRAS中有回复给该第一BRAS的测试用PADO报文,该第一BRAS则确定回复该测试用PADO报文的BRAS为伪装的BRAS,并通过与该伪装的BRAS连接的以太网交换机发送指令,告知该以太网交换机拦截该伪装的BRAS发送的报文,达到屏蔽该M-1个BRAS发送报文的目的。
进一步地,第一BRAS确定回复测试用PADO报文的BRAS为伪装的BRAS后,该第一BRAS以后不回应由该伪装的BRAS发送的各种报文,达到屏蔽该M-1个BRAS发送报文的目的。或者,该第一BRAS将确定的伪装的BRAS的信息告知计算机主机,让计算机主机屏蔽在该伪装的BRAS发送的报文,拒绝与该伪装的BRAS进行PPPoE接入。具体的屏蔽伪装的BRAS的实现方式,可由实际设置时设计,本发明不作限制。
可以理解的是,若第一BRAS屏蔽掉伪装的BRAS发送的报文,则该伪装的BRAS就不能从第一BRAS处获取PADO报文或PADS报文,因而不能冒充该第一BRAS,将该PADO报文或PADS报文转发给计算机主机,阻止了计算机主机与该伪装的BRAS的PPPoE接入,避免造成用户信息的泄露。
S308、若在第二预定时间内,该计算机主机仅接收到第一BRAS回复的PADO报文,则该计算机主机与该第一BRAS完成PPPoE接入。
需要说明的是,一个二层接入网络只有一个合法的BRAS,计算机主机只与合法的BRAS可进行正确的PPPoE接入。
计算机主机广播PADI报文,在网络中进行接入设备的搜索,若该计算机主机在一段时间内,搜索到第一BRAS,即仅接收到第一BRAS回复的PADO,则该计算机主机则搜索到了合法的BRAS,这时,用户设备直接与该第一BRAS进行PPPoE接入即可。
具体的,若计算机主机搜索到的第一BRAS只有一个,该计算机主机则认为该第一BRAS为唯一合法的BRAS,因此,该计算机主机可以与该第一BRAS建立会话,完成PPPoE接入。具体的建立会话,完成PPPoE接入的方法与上个实施例中的方法相同,此处不再赘述。
可选的,第二预定时间可以为30秒,具体的时间设置可根据实际情况而定,本发明不作限制。
S309、该计算机主机存储第一BRAS的地址信息。
S310、该计算机主机再次进行PPPoE接入时,若确定存储有该第一BRAS的地址信息,则根据该第一BRAS的地址信息向该第一BRAS发送PADI报文。
计算机存储与其成功进行PPPoE的第一BRAS的MAC地址,以便在该计算机主机再次要进行PPPoE接入时,可以先查看是否可以在上次接入过的第一BRAS上再次接入,这样,可避免进行正常PPPoE时的繁复过程,提高计算机主机进行PPPoE接入的效率。
具体的,计算机主机通过单播向第一BRAS发送PADI报文。
可以理解的是,当用户设备成功进行PPPoE接入后,再次进行PPPoE接入时,将采用单播向第一BRAS发送PADI报文,这样,伪装的BRAS就不会接受到计算机主机发送的PADI报文,而进行虚假的PPPoE接入了,既提高了PPPoE接入效率,又避免了被攻击的可能。
进一步地,若在第一预定时间内,接收到该第一BRAS回复的PADO报文,则与该第一BRAS完成PPPoE接入;若在第一预定时间内,未接收到该第一BRAS回复的PADO报文,则广播PADI报文。
特别的,第一预定时间可以与第二预定时间相同,也可以与第二预定时间不同,预定时间设置的合理即可,本发明不作限制。
需要说明的是,计算机主机在再次进行PPPoE接入时,上次接入过的第一BRAS可能会因为故障或计算机主机变更合法的BRAS等原因而无法回应计算机主机的PADI报文,即让计算机主机无法使用该第一BRAS。在这种情况下,计算机主机执行S301,进行正常的PPPoE接入机制。
示例性的,假设与计算机主机1在同一个二层接入网络的第一BRAS为A,而该B为该第一BRAS的备用BRAS,当A发生故障时,B可代替A的工作。计算机主机1与A进行过PPPoE接入,当A发生故障时,B代替A的工作后,计算机主机1向A发送PADI报文后,无法接收到A回复的PADO报文,因此,计算机主机1广播PADI报文,以进行PPPoE的接入。
需要说明的是,计算机主机若未接收到第一BRAS回复的PADO报文时,会多尝试几次再放弃。
进一步地,S301之后,也可以直接执行S308-S310,具体的执行顺序可根据实际情况执行,本发明不作限制。
本发明实施例提供的一种PPPoE接入方法,在用户设备广播PADI报文后,当接收到多个接入设备回复的PADO后,不再直接与第一个回复PADO报文的接入设备进行PPPoE接入,而是向各个接入设备发送携带有各接入设备地址信息的验证信息。这样,合法的接入设备(第一接入设备)在接收到验证信息后能够根据其他接入设备的地址信息屏蔽掉那些非法的接入设备发送的报文,从而使得用户设备不再收到非法的接入设备(伪装的接入设备)发送的PPPoE的相关报文,保证了用户设备只与合法的接入设备建立PPPoE连接,进而防止了用户信息的泄露,有效保护了用户信息的安全。
实施例三
如图5所示,本发明实施例提供一种用户设备1,对应用户设备侧的方法,该用户设备1包括:
发送单元10,用于广播PADI报文。
接收单元12,用于接收每个接入设备分别回复的PADO报文。
生成单元11,用于若在第一预定时间内,所述接收单元12接收到M个接入设备分别回复的M个PADO报文,则根据所述M个PADO报文生成验证报文;其中,每个PADO报文中均携带有接入设备的地址信息;所述验证报文包括M个接入设备的地址信息;所述M>1。
所述发送单元10,还用于根据所述接收单元12接收的M个接入设备各自的地址信息,将所述生成单元11生成的所述验证报文向所述M个接入设备发送,以便第一接入设备根据所述验证报文屏蔽掉其余M-1个接入设备发送的报文,所述第一接入设备为真正的接入设备。
所述接收单元12,还用于接收所述第一接入设备发送的PADO报文。
接入单元13,用于若在第二预定时间内,所述接收单元12仅接收到所述第一接入设备发送的PADO报文,则与所述第一接入设备完成PPPoE接入。
需要说明的是,接收单元12接收到第一接入设备发送的PADO报文,接入单元13才能与该第一接入设备完成PPPoE接入,因此,用户设备1的接收单元12与接入单元13连接。
可选的,所述接入单元13,还用于在所述广播PADI报文之后,若在预定时间内,所述接收单元12仅接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
可选的,如图6所示,所述用户设备1还包括存储单元14。
所述存储单元14,用于所述接入单元13与所述第一接入设备完成PPPoE接入之后,存储所述接收单元12接收的所述第一接入设备的地址信息。
所述发送单元10,还用于再次进行PPPoE接入时,若确定所述存储单元14存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文。
所述接入单元13,还用于若在所述第一预定时间内,所述接收单元12接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
可选的,所述发送单元10,还用于所述再次进行PPPoE接入时,若确定所述存储单元14存储有所述第一接入设备的地址信息,则根据所述接收单元12接收的所述第一接入设备的地址信息向所述第一接入设备发送PADI报文之后,若在所述第一预定时间内,所述接收单元12未接收到所述第一接入设备回复的PADO报文,则广播PADI报文。
需要说明的是,本发明实施中用户设备可以为计算机主机、网络机顶盒等设备。
本发明实施例提供的一种用户设备,在用户设备广播PADI报文后,当接收到多个接入设备回复的PADO后,不再直接与第一个回复PADO报文的接入设备进行PPPoE接入,而是向各个接入设备发送携带有各接入设备地址信息的验证信息。这样,合法的接入设备(第一接入设备)在接收到验证信息后能够根据其他接入设备的地址信息屏蔽掉那些非法的接入设备发送的报文,从而使得用户设备不再收到非法的接入设备(伪装的接入设备)发送的PPPoE的相关报文,保证了用户设备只与合法的接入设备建立PPPoE连接,进而防止了用户信息的泄露,有效保护了用户信息的安全。
如图7所示,本发明实施例还提供一种接入设备2,对应接入设备侧的方法,该接入设备2包括:
接收单元20,用于接收用户设备发送的PADI报文。
发送单元21,用于向所述用户设备发送PADO报文;所述PADO报文中携带有自身的地址信息。
所述接收单元20,还用于接收所述用户设备发送的验证报文;所述验证报文中携带有所述接入设备自身的地址信息、以及N个其他接入设备的地址信息;所述N≥1。
屏蔽单元22,用于根据所述接收单元12接收的所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文。
所述发送单元21,还用于向所述用户设备发送所述PADO报文。
接入单元23,用于与所述用户设备完成PPPoE接入。
需要说明的是,只有接收单元20接收到PADI报文,发送单元21才会回复与该PADI报文的应答,即PADO报文,因此,接收单元20与发送单元21连接;且发送单元21向用户设备发送PADO,才能使得接入单元23与用户设备完成PPPoE接入,因此,接入单元23与发送单元.21连接。
可选的,如图8所示,所述接入设备2还包括构造单元24。
所述构造单元24,用于构造测试用PADI报文。
所述发送单元21,具体用于根据所述接收单元20接收的所述N个其他接入设备的地址信息,将所述构造单元24构造的所述测试用PADI报文向所述N个其他接入设备发送。
所述接收单元20,具体用于接收所述N个其他接入设备回复的测试用PADO报文。
所述屏蔽单元22,具体用于根据所述接收单元20接收的所述N个其他接入设备的地址信息,向所述N个其他接入设备连接的交换机发送指令,指示所述交换机屏蔽掉所述N个其他接入设备的PPPoE数据报文。
可选的,所述构造单元24构造的所述测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
需要说明的是,本发明实施例中的接入设备可以为BRAS和SR等。
本发明实施例提供的一种接入设备,通过合法的接入设备对伪装的接入设备的屏蔽,使得计算机主机只与合法的接入设备进行PPPoE接入,即屏蔽掉了伪装的其他接入设备发送的报文,避免了用户设备与该伪装的接入设备进行PPPoE接入时的用户信息泄露的问题,进而提高PPPoE接入时用户信息的安全性。
实施例四
如图9所示,本发明实施例提供一种用户设备,对应用户设备侧的方法,该用户设备可以包括:接收器15、发送器16、处理器17及存储器18,其中,接收器15、发送器16和存储器18均与处理器17连接,例如,发送器16、接收器15和存储器18可以均与处理器17通过总线连接。
接收器15和发送器16可以集成在一起,构成收发机,该收发机可以具有一个或多个天线。
存储器18用于存储可执行程序代码,该程序代码包括计算机操作指令。存储器18可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
处理器17可以是一个中央处理器,或者是特定集成电路,或者是被配置成实施本发明实施例的一个或多个集成电路。
具体的,所述发送器16可用于广播PADI报文;所述接收器15可用于接收每个接入设备分别回复的PADO报文;所述处理器17可用于若在第一预定时间内,所述接收器15接收到M个接入设备分别回复的M个PADO报文,则根据所述M个PADO报文生成验证报文;其中,每个PADO报文中均携带有接入设备的地址信息;所述验证报文包括M个接入设备的地址信息;所述M>1;所述发送器16还用于根据所述接收器15接收的M个接入设备各自的地址信息,将所述处理器17生成的所述验证报文向所述M个接入设备发送,以便第一接入设备根据所述验证报文屏蔽掉其余M-1个接入设备发送的报文,所述第一接入设备为真正的接入设备;所述接收器15还用于接收所述第一接入设备发送的PADO报文;所述处理器17还用于若在第二预定时间内,所述接收器15仅接收到所述第一接入设备发送的PADO报文,则与所述第一接入设备完成PPPoE接入,以及所述存储器18可用于存储PADO报文及其软件代码,以及控制所述用户设备完成上述过程的软件程序,从而使得所述处理器17通过执行上述软件程序并调用上述软件代码,完成上述过程。
可选的,所述处理器17,还用于在所述广播PADI报文之后,若在预定时间内,所述接收器15仅接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
可选的,所述存储器18,还用于所述处理器17与所述第一接入设备完成PPPoE接入之后,存储所述接收器15接收的所述第一接入设备的地址信息。
所述发送器16,还用于再次进行PPPoE接入时,若确定所述处理器17存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文。
所述处理器17,还用于若在所述第一预定时间内,所述接收器15接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
可选的,所述发送器16,还用于所述再次进行PPPoE接入时,若确定所述处理器17存储有所述第一接入设备的地址信息,则根据所述接收器15接收的所述第一接入设备的地址信息向所述第一接入设备发送PADI报文之后,若在所述第一预定时间内,所述接收器15未接收到所述第一接入设备回复的PADO报文,则广播PADI报文。
需要说明的是,本发明实施中用户设备可以为计算机主机、网络机顶盒等设备。
本发明实施例提供的一种用户设备,在用户设备广播PADI报文后,当接收到多个接入设备回复的PADO后,不再直接与第一个回复PADO报文的接入设备进行PPPoE接入,而是向各个接入设备发送携带有各接入设备地址信息的验证信息。这样,合法的接入设备(第一接入设备)在接收到验证信息后能够根据其他接入设备的地址信息屏蔽掉那些非法的接入设备发送的报文,从而使得用户设备不再收到非法的接入设备(伪装的接入设备)发送的PPPoE的相关报文,保证了用户设备只与合法的接入设备建立PPPoE连接,进而防止了用户信息的泄露,有效保护了用户信息的安全。
如图10所示,本发明实施例还提供一种接入设备,对应接入设备侧的方法,该接入设备可以包括:接收器25、发送器26、处理器27及存储器28,其中,接收器25、发送器26和存储器28均与处理器27连接,例如,发送器26、接收器25和存储器28可以均与处理器27通过总线连接。
接收器25和发送器26可以集成在一起,构成收发机,该收发机可以具有一个或多个天线。
存储器28用于存储可执行程序代码,该程序代码包括计算机操作指令。存储器28可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
处理器27可以是一个中央处理器,或者是特定集成电路,或者是被配置成实施本发明实施例的一个或多个集成电路。
具体的,所述接收器25可用于接收用户设备发送的PADI报文;所述发送器26可用于向所述用户设备发送PADO报文;所述PADO报文中携带有自身的地址信息;所述接收器25还用于接收所述用户设备发送的验证报文;所述验证报文中携带有所述接入设备自身的地址信息、以及N个其他接入设备的地址信息;所述N≥1;所述处理器27可用于根据所述接收器25接收的所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文;所述发送器26,还用于向所述用户设备发送所述PADO报文;所述处理器27还用于与所述用户设备完成PPPoE接入;以及所述存储器28可用于存储PADI报文及其软件代码和验证报文及其软件代码,以及控制所述接入设备完成上述过程的软件程序,从而使得所述处理器27通过执行上述软件程序并调用上述软件代码,完成上述过程。
可选的,所述处理器27,还用于构造测试用PADI报文。
所述发送器26,具体用于根据所述接收器25接收的所述N个其他接入设备的地址信息,将所述处理器27构造的所述测试用PADI报文向所述N个其他接入设备发送。
所述接收器25,具体用于接收所述N个其他接入设备回复的测试用PADO报文。
所述处理器27,具体用于根据所述接收器25接收的所述N个其他接入设备的地址信息,向所述N个其他接入设备连接的交换机发送指令,指示所述交换机屏蔽掉所述N个其他接入设备的PPPoE数据报文。
可选的,所述处理器27构造的所述测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
需要说明的是,本发明实施例中的接入设备可以为BRAS和SR等。
本发明实施例提供的一种接入设备,通过合法的接入设备对伪装的接入设备的屏蔽,使得计算机主机只与合法的接入设备进行PPPoE接入,即屏蔽掉了伪装的其他接入设备发送的报文,避免了用户设备与该伪装的接入设备进行PPPoE接入时的用户信息泄露的问题,进而提高PPPoE接入时用户信息的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种以太网的点对点协议PPPoE接入方法,应用于用户设备,其特征在于,包括:
广播PADI报文;
若在第一预定时间内,接收到M个接入设备分别回复的M个PADO报文,则根据所述M个PADO报文生成验证报文;其中,每个PADO报文中均携带有接入设备的地址信息;所述验证报文包括M个接入设备的地址信息;所述M>1;
根据M个接入设备各自的地址信息,将所述验证报文向所述M个接入设备发送,以便第一接入设备根据所述验证报文屏蔽掉其余M-1个接入设备发送的报文,所述第一接入设备为真正的接入设备;
若在第二预定时间内,仅接收到所述第一接入设备发送的PADO报文,则与所述第一接入设备完成PPPoE接入。
2.根据权利要求1所述的PPPoE接入方法,其特征在于,所述与所述第一接入设备完成PPPoE接入之后,所述方法还包括:存储所述第一接入设备的地址信息;
再次进行PPPoE接入时,若确定存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文;若在所述第一预定时间内,接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
3.根据权利要求2所述的PPPoE接入方法,其特征在于,所述再次进行PPPoE接入时,若确定存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文之后,所述方法还包括:
若在所述第一预定时间内,未接收到所述第一接入设备回复的PADO报文,则广播PADI报文。
4.一种以太网的点对点协议PPPoE接入方法,应用于接入设备,其特征在于,包括:
接收用户设备发送的PADI报文;
向所述用户设备发送PADO报文;所述PADO报文中携带有所述接入设备自身的地址信息;
接收所述用户设备发送的验证报文;所述验证报文中携带有所述接入设备自身的地址信息、以及N个其他接入设备的地址信息;所述N≥1;
根据所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文;
向所述用户设备发送所述PADO报文;
与所述用户设备完成PPPoE接入。
5.根据权利要求4所述的方法,其特征在于,所述根据所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文,包括:
构造测试用PADI报文;
根据所述N个其他接入设备的地址信息,将所述测试用PADI报文向所述N个其他接入设备发送;
接收所述N个其他接入设备回复的测试用PADO报文;
根据所述N个其他接入设备的地址信息,向所述N个其他接入设备连接的交换机发送指令,指示所述交换机屏蔽掉所述N个其他接入设备的PPPoE数据报文。
6.根据权利要求5所述的方法,其特征在于,构造的所述测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
7.一种用户设备,其特征在于,包括:
发送单元,用于广播PADI报文;
接收单元,用于接收每个接入设备分别回复的PADO报文;
生成单元,用于若在第一预定时间内,所述接收单元接收到M个接入设备分别回复的M个PADO报文,则根据所述M个PADO报文生成验证报文;其中,每个PADO报文中均携带有接入设备的地址信息;所述验证报文包括M个接入设备的地址信息;所述M>1;
所述发送单元,还用于根据所述接收单元接收的M个接入设备各自的地址信息,将所述生成单元生成的所述验证报文向所述M个接入设备发送,以便第一接入设备根据所述验证报文屏蔽掉其余M-1个接入设备发送的报文,所述第一接入设备为真正的接入设备;
所述接收单元,还用于接收所述第一接入设备发送的PADO报文;
接入单元,用于若在第二预定时间内,所述接收单元仅接收到所述第一接入设备发送的PADO报文,则与所述第一接入设备完成PPPoE接入。
8.根据权利要求7所述的用户设备,其特征在于,所述用户设备还包括存储单元,
所述存储单元,用于所述接入单元与所述第一接入设备完成PPPoE接入之后,存储所述接收单元接收的所述第一接入设备的地址信息;
所述发送单元,还用于再次进行PPPoE接入时,若确定所述存储单元存储有所述第一接入设备的地址信息,则根据所述第一接入设备的地址信息向所述第一接入设备发送PADI报文;
所述接入单元,还用于若在所述第一预定时间内,所述接收单元接收到所述第一接入设备回复的PADO报文,则与所述第一接入设备完成PPPoE接入。
9.根据权利要求8所述的用户设备,其特征在于,
所述发送单元,还用于所述再次进行PPPoE接入时,若确定所述存储单元存储有所述第一接入设备的地址信息,则根据所述接收单元接收的所述第一接入设备的地址信息向所述第一接入设备发送PADI报文之后,若在所述第一预定时间内,所述接收单元未接收到所述第一接入设备回复的PADO报文,则广播PADI报文。
10.一种接入设备,其特征在于,包括:
接收单元,用于接收用户设备发送的PADI报文;
发送单元,用于向所述用户设备发送PADO报文;所述PADO报文中携带有所述接入设备自身的地址信息;
所述接收单元,还用于接收所述用户设备发送的验证报文;所述验证报文中携带有所述接入设备自身的地址信息、以及N个其他接入设备的地址信息;所述N≥1;
屏蔽单元,用于根据所述接收单元接收的所述N个其他接入设备的地址信息,屏蔽掉所述N个其他接入设备发送的报文;
所述发送单元,还用于向所述用户设备发送所述PADO报文;
接入单元,用于与所述用户设备完成PPPoE接入。
11.根据权利要求10所述的接入设备,其特征在于,所述接入设备还包括构造单元,
所述构造单元,用于构造测试用PADI报文;
所述发送单元,具体用于根据所述接收单元接收的所述N个其他接入设备的地址信息,将所述构造单元构造的所述测试用PADI报文向所述N个其他接入设备发送;
所述接收单元,具体用于接收所述N个其他接入设备回复的测试用PADO报文;
所述屏蔽单元,具体用于根据所述接收单元接收的所述N个其他接入设备的地址信息,向所述N个其他接入设备连接的交换机发送指令,指示所述交换机屏蔽掉所述N个其他接入设备的PPPoE数据报文。
12.根据权利要求11所述的接入设备,其特征在于,所述构造单元构造的所述测试用PADI报文所在的数据帧中携带有随机生成的地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410515707.6A CN104243254B (zh) | 2014-09-29 | 2014-09-29 | 一种PPPoE接入方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410515707.6A CN104243254B (zh) | 2014-09-29 | 2014-09-29 | 一种PPPoE接入方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243254A CN104243254A (zh) | 2014-12-24 |
| CN104243254B true CN104243254B (zh) | 2017-08-25 |
Family
ID=52230650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410515707.6A Active CN104243254B (zh) | 2014-09-29 | 2014-09-29 | 一种PPPoE接入方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243254B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110958272B (zh) * | 2015-06-04 | 2021-10-15 | 华为技术有限公司 | 身份认证方法、身份认证系统和相关设备 |
| CN107070757B (zh) * | 2017-03-06 | 2020-03-27 | 北京安博通科技股份有限公司 | 建立网络连接的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282229A (zh) * | 2007-04-06 | 2008-10-08 | 中兴通讯股份有限公司 | PPPoE实现广播业务的方法 |
| CN101547158A (zh) * | 2009-05-13 | 2009-09-30 | 杭州华三通信技术有限公司 | PPPoE会话中的PADT报文交互方法和设备 |
| CN102394857A (zh) * | 2011-06-29 | 2012-03-28 | 福建星网锐捷网络有限公司 | 以太网上点对点协议会话建立方法、装置及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080225749A1 (en) * | 2007-03-13 | 2008-09-18 | Dennis Peng | Auto-configuration of a network device |
| WO2014111166A1 (en) * | 2013-01-21 | 2014-07-24 | Nokia Solutions And Networks Oy | Using pppoe to discover, request and set-up additional pdn connections |
-
2014
- 2014-09-29 CN CN201410515707.6A patent/CN104243254B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282229A (zh) * | 2007-04-06 | 2008-10-08 | 中兴通讯股份有限公司 | PPPoE实现广播业务的方法 |
| CN101547158A (zh) * | 2009-05-13 | 2009-09-30 | 杭州华三通信技术有限公司 | PPPoE会话中的PADT报文交互方法和设备 |
| CN102394857A (zh) * | 2011-06-29 | 2012-03-28 | 福建星网锐捷网络有限公司 | 以太网上点对点协议会话建立方法、装置及设备 |
Non-Patent Citations (2)
| Title |
|---|
| 一种PPPoE的安全认证方式涉及;李军,钮焱;《西华大学自然学报(自然科学版)》;20080315;第27卷(第2期);第27页-第29页 * |
| 基于PPPoE的无线局域网安全和认证;马吉洲,金志刚;《微处理机》;20071215(第6期);第35页-第37页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243254A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104158808B (zh) | 基于APP应用的Portal认证方法及其装置 | |
| CN104468865B (zh) | 域名解析控制、响应方法及相应的装置 | |
| CN103944890B (zh) | 基于客户端/服务器模式的虚拟交互系统及方法 | |
| CN103825895B (zh) | 一种信息处理方法及电子设备 | |
| CN104158818B (zh) | 一种单点登录方法及系统 | |
| CN106921636A (zh) | 身份认证方法及装置 | |
| CN108881308A (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN107508907A (zh) | 一种数据传输方法及装置 | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| CN108737585A (zh) | Ip地址的分配方法及装置 | |
| US11683404B2 (en) | Communication network system and method for network communication | |
| CN105657710A (zh) | 一种无线网络认证方法及系统 | |
| CN108156092A (zh) | 报文传输控制方法和装置 | |
| CN106713057A (zh) | 用于进行隧道检测的方法、装置及系统 | |
| CN108322366A (zh) | 接入网络的方法、装置和系统 | |
| CN106713522A (zh) | 一种无线保真Wi‑Fi连接方法及移动终端 | |
| CN106713311A (zh) | 一种降低dns劫持风险的方法和装置 | |
| CN105591967B (zh) | 一种数据传输方法和装置 | |
| CN103051598B (zh) | 安全接入互联网业务的方法、用户设备和分组接入网关 | |
| CN108377499A (zh) | 一种网络接入方法、路由设备和终端 | |
| CN103312677B (zh) | 终端、服务器和通信连接的建立方法 | |
| CN104243254B (zh) | 一种PPPoE接入方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |