CN104333552B - 一种认证确定方法及接入设备 - Google Patents
一种认证确定方法及接入设备 Download PDFInfo
- Publication number
- CN104333552B CN104333552B CN201410614070.6A CN201410614070A CN104333552B CN 104333552 B CN104333552 B CN 104333552B CN 201410614070 A CN201410614070 A CN 201410614070A CN 104333552 B CN104333552 B CN 104333552B
- Authority
- CN
- China
- Prior art keywords
- port
- terminal
- message
- address
- mapping table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种认证确定方法及接入设备,包括:当AC接收到第一终端的网络访问请求报文时,确定是否存在基于第一终端的MAC地址建立的映射表;当存在时,判断接收上述报文的第一端口及其所属第一vlan与确定的映射表记录的第二端口及其所属第二vlan是否为同一vlan的同一端口;若否,通过第一端口发送以上述报文的源IP地址为目的IP地址的第一探测请求报文,以及通过第二端口发送以映射表记录的IP地址为目的地址的第二探测请求报文;根据是否接收到第一探测响应报文,以及第二探测响应报文的结果,确定对第一终端进行的认证。本发明提供的认证确定方法更加合理。本发明涉及通信技术领域。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种认证确定方法及接入设备。
背景技术
Portal在英语中有“入口”的意思,一般将Portal认证网站称为门户网站。Portal认证通常也被称为网络Web认证。与802.1x认证方式相比,Web认证具有较强的易用性。用户不需要安装认证客户端,只需要在终端上使用浏览器,输入用户名和密码,即可完成认证,实现访问控制。图1为现有技术中无线Web认证的典型组网方式示意图。
如图1所示,现有技术中无线Web认证的典型组网方式包括五个基本角色:STA、接入点(AP,Access Point)、接入控制器(AC,Access Controller)、Portal服务器,Radius服务器。其中,STA可以为终端设备,终端设备上安装有运行超文本传输协议(HTTP,HyperText Transfer Protocol)的浏览器,用户上网时可以发出HTTP请求;AP为接入点,用于使终端设备接入网络;AC为无线控制器,用于实现用户强制Portal、业务控制,接收Portal服务器Server发起的认证请求,完成用户认证功能;Portal服务器可以为门户网站,用于推送认证页面,接收无线局域网(WLAN,Wireless Local Area Network)用户的认证信息,向AC发起用户认证请求以及用户下线通知;Radius服务器用于终端设备接入认证,计费,授权实体。
现有技术中,Web认证流程大致如下:在AC上将某个热点配置Web认证,该热点的STA获取AP的网际协议(IP,Internet Protocol)地址后,打开浏览器访问某个网站,AC将STA发送的报文拦截,并假冒该网站与STA进行三次握手,握手成功后,若AC接收到该STA发送的http请求request报文,并且该报文中含有获得get或头head字段,则AC向该STA回复http302报文,将STA重定向至Portal服务器,STA根据重定向地址访问Portal服务器,并接收Portal服务器推送的登录页面,STA将用户名和密码发送给Portal服务器,Portal服务器根据接收的用户名和密码使Radius服务器对STA进行认证,在认证成功之后,AC将该STA置为上线,允许该STA的IP报文通过,在Portal服务器侧,将认证成功的STA的MAC地址以及认证时使用的用户名和密码对应保存。
当STA关闭网页之后再重新打开网页时,由于STA已经经过了Web认证,此时可以不进行Web认证,而进行接入认证,大致流程概括如下:AC发现http流量,根据发送http请求的STA的MAC地址,查询该MAC地址是否绑定且不在黑名单,当确定该MAC地址已经绑定且不在黑名单时,将MAC地址发送给Portal服务器发起对STA的认证,Portal服务器将与MAC地址绑定的用户名和密码发送给AC,AC将接收到的用户名和密码发送给Radius服务器,使Radius服务器对STA进行认证。
但是,目前市面上存在很多不符合MAC地址唯一性要求的终端,这些终端的MAC地址可能重复,现有技术中这类终端接入通过AC访问的网络时,AC会根据该终端的MAC地址确定对该终端进行Web认证或者接入认证,而如果与该终端具有相同MAC地址的授权用户已经登录,该未授权用户会将已登录授权用户踢下线。
发明内容
本发明实施例提供了一种认证确定方法及接入设备,用以解决现有技术中AC确定需要对终端进行的认证时确定方法不合理的问题。
基于上述问题,本发明实施例提供的一种认证确定方法,包括:
当接入控制器AC接收到第一终端发送的网络访问请求报文时,确定是否存在基于所述第一终端的媒体访问控制(MAC,Media Access Control)地址建立的映射表,
其中,所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网(vlan,virtual local area network)、以及该映射表对应终端发送数据包的源IP地址;
当确定存在基于所述第一终端的MAC地址建立的映射表时,判断接收所述网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;
当判断结果为否时,通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文;
根据是否接收到所述第一探测请求报文对应的第一探测响应报文,以及所述第二探测请求报文对应的第二探测响应报文的结果,确定对所述第一终端进行的认证。
本发明实施例提供的一种接入控制器,包括:
接收模块,用于当接收到第一终端发送的网络访问请求报文时,确定是否存在基于所述第一终端的MAC地址建立的映射表,
其中,所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属vlan、以及该映射表对应终端发送数据包的源IP地址;
判断模块,用于当所述接收模块确定出存在基于所述第一终端的MAC地址建立的映射表时,判断接收所述网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;
发送模块,用于当所述判断模块的判断结果为否时,通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文;
确定模块,用于根据所述接收模块是否接收到所述第一探测请求报文对应的第一探测响应报文,以及所述第二探测请求报文对应的第二探测响应报文的结果,确定对所述第一终端进行的认证。
本发明实施例的有益效果包括:
本发明实施例提供的一种认证确定方法及接入设备,包括:当AC接收到第一终端的网络访问请求报文时,确定是否存在基于第一终端的MAC地址建立的映射表,其中,映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属vlan、以及该映射表对应终端发送数据包的源IP地址;当确定存在基于第一终端的MAC地址建立的映射表时,判断接收网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;当判断结果为否时,通过第一端口发送以网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过第二端口发送以映射表记录的IP地址为目的地址的第二探测请求报文;根据是否接收到第一探测请求报文对应的第一探测响应报文,以及第二探测请求报文对应的第二探测响应报文的结果,确定对第一终端进行的认证。本发明实施例提供的一种认证确定方法,当AC接收到第一终端发送的网络访问请求,并根据第一终端的MAC地址查找到基于该MAC地址建立的映射表时,不会直接将该映射表确定为第一终端对应的映射表,而是将接收网络访问请求的第一端口及其所属第一vlan与映射表记录的第二端口及其所属第二vlan进行比对,并在二者不一致时,分别通过第一端口和第二端口发送第一探测请求报文和第二探测请求报文,对第一终端当前的认证情况进行进一步判断,并根据针对第一探测请求报文和第二探测请求报文对应的响应报文的接收情况确定后续需要对第一终端进行的认证,现有技术中,当查找到的映射表对应的第二终端与第一终端为具有相同MAC地址的终端时,会直接将映射表确定为第一终端的映射表,并在对第一终端进行接入认证之后将第二终端踢下线,而本发明实施例提供的认证确定方法,会根据接收到网络访问请求的第一端口及其所属第一vlan以及映射表记录的第二端口及其所属第二vlan,对第一终端与映射表的关系进行进一步确认,并根据进一步确认的结果为第一终端提供相应的认证,可见,本发明实施例提供的认证确定方法更加合理。
附图说明
图1为本发明背景技术提供的无线Web认证的典型组网方式示意图;
图2为本发明实施例提供的一种认证确定方法的流程图;
图3为本发明实施例1提供的一种认证确定方法的流程图;
图4为本发明实施例例1提供的Portal服务器、Radius服务器、AC、AP、及终端网络结构示意图;
图5为本发明实施例例1提供的一种认证确定方法之一的流程图;
图6为本发明实施例例1提供的一种认证确定方法之二的流程图;
图7为本发明实施例提供的一种接入控制器的结构示意图。
具体实施方式
本发明实施例提供了一种认证确定方法及接入设备,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明实施例提供一种认证确定方法,应用于用户终端侧,如图2所示,包括:
S201、当AC接收到第一终端发送的网络访问请求报文时,确定是否存在基于第一终端的MAC地址建立的映射表,
其中,映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属vlan、以及该映射表对应终端发送数据包的源IP地址。
S202、当确定存在基于第一终端的MAC地址建立的映射表时,判断接收网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口。
S203、当S202得到的判断结果为否时,通过第一端口发送以网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过第二端口发送以映射表记录的IP地址为目的地址的第二探测请求报文。
S204、根据是否接收到S203中第一探测请求报文对应的第一探测响应报文,以及S203中第二探测请求报文对应的第二探测响应报文的结果,确定对第一终端进行的认证。
进一步地,本发明实施例提供的一种认证确定方法,当AC接收到第一终端发送的网络访问请求,并根据第一终端的MAC地址查找到基于该MAC地址建立的映射表时,不会直接将该映射表确定为第一终端对应的映射表,而是将接收网络访问请求的第一端口及其所属第一vlan与映射表记录的第二端口及其所属第二vlan进行比对,并在二者不一致时,分别通过第一端口和第二端口发送第一探测请求报文和第二探测请求报文,对第一终端当前的认证情况进行进一步判断,并根据针对第一探测请求报文和第二探测请求报文对应的响应报文的接收情况确定后续需要对第一终端进行的认证,本发明实施例提供的一种认证确定方法与现有技术相比更加合理。
下面结合附图,用具体实施例对本发明提供的方法及相关设备进行详细描述。
实施例1:
本发明实施例1中,提供一种认证确定方法,如图3所示,具体包括如下步骤:
S301、当AC接收到第一终端发送的网络访问请求报文时,确定是否存在基于第一终端的MAC地址建立的映射表;若存在,则进入步骤S302,否则,进入步骤S308。
其中,映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属vlan、以及该映射表对应终端发送数据包的源IP地址。
进一步地,当AC首次接收到第一终端发送的网络访问请求报文时,会先使第一终端进行Web认证,在第一终端通过Web认证之后,为第一终端建立映射表,后续第一终端关闭网页之后再重新打开网页时,由于第一终端已经通过了Web认证,为了提高效率,可以不对第一终端进行Web认证,而是进行接入认证,由于通过Web认证的终端会建立映射表,在进行接入认证之前,需要AC根据第一终端的MAC地址,确认是否为第一终端建立了映射表,若未建立,说明第一终端未通过Web认证,可能是首次访问AC,则后续可以进行Web认证,若存在第一终端的MAC地址对应的映射表,说明第一终端通过了Web认证,后续可以进行接入认证等操作。
进一步地,映射表的形式可以为多种,例如可以为一个映射表也可以为多个映射表,较佳地,映射表可以包括静态mac表和静态arp表,静态mac表可以用于二层转发,静态arp表可以用于将第三层的IP地址映射成mac地址,这样将映射表分为静态mac表和静态arp表可以方便使用。
其中,静态mac表的结构可以为:(vlan_id,port_id,mac,标志位=static,重复标志位=0);静态arp表的结构可以为:(vlan_id,port_id,mac,ip,标志位=static)。
进一步地,在静态mac表中,mac表征向AC发送数据包的终端的MAC地址,vlan_id表征AC接收到该MAC地址所标识终端发送的数据包的vlan,port_id表征AC接收到该MAC地址所标识终端发送的数据包的端口,标志位为静态表征AC可以将动态学习到的终端的MAC地址转化为静态MAC地址,重复标识位用于标识静态mac表中记录的MAC地址与其他静态mac表中记录的MAC地址是否重复,例如:可以设置当本静态mac表中记录的MAC地址与其他静态mac表中记录的MAC地址重复时,重复标识位为1,否则为0;
在静态arp表中,vlan_id,port_id,mac的含义与静态mac表中对应项的含义相同,ip表征AC接收到该MAC地址所标识终端的IP地址,标志位为静态表征AC可以将动态学习到的arp转化为静态ARP,也就是说,可以将学习到MAC地址和ip地址的对应关系变成静态,这样,首先动态arp老化时间短,静态arp老化时间长,将动态arp转化为静态arp可以增长arp老化时间,其次,由于是静态arp当接收到arp攻击报文时,不会根据arp攻击报文中携带的arp信息对静态arp信息进行修改,防止了arp欺骗。
S302、当确定存在基于第一终端的MAC地址建立的映射表时,判断接收网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;若是,则进入步骤S314,否则,进入步骤S303。
进一步地,本步骤中,当确定存在基于第一终端的MAC地址建立的映射表时,与现有技术不同,不会直接确定该映射表即为第一终端对应的映射表,因为还存在多个终端具有重复MAC地址的情况,或者同MAC地址欺骗报文的情况等,因此,需要根据接收网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口进行进一步判断,若是同一vlan的同一端口,那么可以确定确定的映射表为与第一终端对应的映射表,对第一终端进行接入认证,若不是同一vlan的同一端口,需要后续步骤进行进一步地确认。
S303、当判断结果为否时,通过第一端口发送以网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过第二端口发送以映射表记录的IP地址为目的地址的第二探测请求报文。
S304、判断是否满足条件一、条件二、条件三、或条件四;若满足条件一,则进入步骤S305;若满足条件二,则进入步骤S306;若满足条件三或者条件四,则进入步骤S307。
进一步地,条件一可以为:在第一端口接收到第一探测请求报文对应的第一探测响应报文,且在第二端口接收到第二探测请求报文对应的第二探测响应报文,且第一探测响应报文与第二探测响应报文的源IP地址不同;
条件二可以为:在第一端口接收到第一探测请求报文对应的第一探测响应报文,且在第二端口未接收到第二探测请求报文对应的第二探测响应报文;
条件三可以为:在第一端口未接收到第一探测请求报文对应的第一探测响应报文,且在第二端口接收到第二探测请求报文对应的第二探测响应报文;
条件四可以为:在第一端口接收到第一探测请求报文对应的第一探测响应报文,且在第二端口接收到第二探测请求报文对应的第二探测响应报文,且第一探测响应报文与第二探测响应报文的源IP地址相同。
进一步地,本步骤中,第一探测请求报文和第二探测请求报文可以为arp请求报文,对应地,第一探测响应报文和第二探测响应报文可以为arp响应报文。
进一步地,当第一端口和第二端口均为接收到对应的探测应答报文时,可以认为发送的探测请求报文可能被终端中的防火墙屏蔽,终端无法正常接收,因此无法正常回复对应的探测响应报文。
S305、确定第一终端与映射表记录的MAC地址对应的第二终端为具有相同MAC地址的不同终端,触发对第一终端进行Web认证。进入步骤S308。
进一步地,本步骤中,当在第一端口接收到第一探测请求报文对应的第一探测响应报文,且在第二端口接收到第二探测请求报文对应的第二探测响应报文,且第一探测响应报文与第二探测响应报文的源IP地址不同时,可以确定在第一端口接收到的第一探测响应报文为第一终端接收到第一探测请求报文之后回复的,在第二端口接收到的第二探测响应报文为第二终端接收到第二探测请求报文之后回复的,其中,第二终端为S302中确定的映射表对应的终端,并且第一终端与映射表记录的MAC地址对应的第二终端为具有相同MAC地址的不同终端,也就是说,尽管步骤S302中确定的映射表记录的MAC地址与第一终端的MAC地址相同,但是并不是第一终端对应的映射表,而是与和第一终端具有相同MAC地址的第二终端对应的映射表,并且AC中并不存在与第一终端对应的映射表,第一终端为首次访问AC,需要对第一终端进行Web认证。
进一步地,本步骤中,可以将第一终端和第二终端分别对应的静态mac表中的重复标识位置1,表征存在与自身MAC地址重复MAC地址的映射表。
S306、确定第一终端发生了迁移,触发对所述第一终端进行接入认证。进入步骤S314。
进一步地,本步骤中,当在第一端口接收到第一探测请求报文对应的第一探测响应报文,且在第二端口未接收到第二探测请求报文对应的第二探测响应报文时,可以确定第一终端为S302中确定的映射表对应的终端,但是,在建立映射表时,第一终端通过AC的第二vlan的第二端口向AC发送报文,当前第一终端发生了迁移,通过AC的第一vlan的第一端口向AC发送报文。可以进一步对第一终端进行接入认证。
S307、确定网络访问请求报文为非法报文,将确定的非法报文丢弃。本流程结束。
进一步地,当在第一端口未接收到第一探测请求报文对应的第一探测响应报文,且在第二端口接收到第二探测请求报文对应的第二探测响应报文时,可以确定步骤S302中确定的映射表依然为与第二终端对应的映射表,并且第二终端未发生迁移,依旧通过第二vlan的第二端口向AC发送数据包,而第一终端并未通过第一vlan的第一端口回复第一探测响应报文,通过第一vlan的第一端口接收的报文为攻击报文,可以将攻击报文丢弃;
当在第一端口接收到第一探测请求报文对应的第一探测响应报文,且在第二端口接收到第二探测请求报文对应的第二探测响应报文,且第一探测响应报文与第二探测响应报文的源IP地址相同时,确定第一终端的MAC地址和第二终端的MAC地址相同,且第一终端的IP地址与第二终端的IP地址相同,那么通过第一vlan的第一端口接收的报文为非法报文,可以将非法报文丢弃。
S308、对第一终端进行Web认证。
S309、当S308中Web认证通过之后,为第一终端建立映射表。
其中,第一终端的映射表中对应记录有第一终端的MAC地址、第一端口、第一vlan、以及网络访问请求报文的源IP地址。
进一步地,本步骤中,可以为第一终端建立静态mac表和静态arp表,其中,静态mac表中记录有第一vlan、第一端口、第一终端的MAC地址、以及置1的重复标识;静态arp表中记录有第一vlan、第一端口、以及第一终端的IP地址。
S310、接收网络侧发送的需要转发给终端的报文,判断接收到的报文的目的MAC地址是否为重复的MAC地址,若是,则进入步骤S312,否则,进入步骤S311。
S311、将S310接收的报文转发给对应的终端,本流程结束。
S312、将接收到的报文重定向到广播端口。
其中,预先设置一个尚未启用的端口为广播端口,并使广播端口与具有相同MAC地址的不同映射表中的各端口构成端口广播组。
进一步地,当步骤S310中接收到网络侧发送的需要转发给终端的报文时,由于AC中端口的特性,每个端口只能与一个MAC地址对应,也就是说,当第一端口学习到第一终端的MAC地址,第二端口学习到第二终端的MAC地址,且第一终端和第二终端的MAC地址相同,则无法使第一端口和第二端口均与相同的MAC地址进行通信,只能由后学习到该MAC地址的端口与该MAC地址通信,那么,如果通过第一端口与该MAC地址通信,第一终端与第二终端的数据包将均通过第一端口进行转发,第二终端将无法接收到数据包,如果通过第二端口与该MAC地址通信,第一终端与第二终端的数据包将均通过第二端口进行转发,第一终端将无法接收到数据包。
因此,为了解决上述问题,本发明实施例中预先设置一个尚未启用的端口为广播端口,并使广播端口与具有相同MAC地址的不同映射表中的各端口构成端口广播组,具体实施时,可以预先将端口广播组广播端口设置为混合型Hybrid端口,预先将端口广播组构成的vlan设置为广播vlan,那么通过该Hybrid端口发出的报文不带广播vlan的信息;当接收到来自网络侧的报文时,根据报文中的目的IP地址在静态arp表中进行查询,从静态arp表中确定与该目的IP地址对应的MAC地址,再根据该MAC地址确定对应的静态mac表,并确定静态mac表中的重复标识位是否置位,若重复标识位未置位,确定不存在与该静态mac表所记录的MAC地址具有重复MAC地址的静态mac表,可以直接通过该静态mac表中记录的vlan和port将报文转发给对应终端,若重复标识位置位,则根据该静态mac表中的端口所在的端口广播组,将接收的报文重定向到端口广播组中的广播端口。
S313、通过广播端口将接收到的报文广播给端口广播组中除广播端口之外的端口,使端口广播组中除广播端口之外的端口将接收到的广播报文发送出去。本流程结束。
进一步地,本步骤中,可以通过广播端口将接收到的报文广播给端口广播组中除该广播端口之外的端口;端口广播组中除广播端口之外的端口将接收到的不带广播vlan标识的广播报文添加该端口所在静态MAC表中记录的vlan发送出去。
进一步地,尽管本步骤中具有重复MAC地址的终端均会接收到发送给具有重复MAC地址的终端中任意终端的报文,终端会根据接收到报文的目的地址自动将目的地址为自身的报文接收而将目的地址不是自身的报文丢弃,保证具有重复MAC地址的终端均能够接收到发送给自身的报文。
进一步地,步骤S310~S313为本发明实施例提供的为具有相同MAC地址的终端进行报文转发的方法,该方法可以独立于本实施例单独使用。
S314、将第一终端的MAC地址、第一端口、第一vlan、以及第一终端的IP地址携带于接入认证请求,发送给Radius服务器。
其中,Radius服务器用于当记录的第一终端的MAC地址及IP地址所标识的用户名和密码通过Web认证时,向AC回复表征接入认证成功的接入认证响应,以及当接入认证请求中携带的第一端口和/或第一vlan与Radius服务器中对应的记录不同时,使用接入认证请求中携带的第一端口和/或第一vlan将对应的记录更新。
S315、当第一终端的MAC地址及IP地址所标识的用户名和密码组已经通过Web认证时,接收表征接入认证成功的接入认证响应。本流程结束。
进一步地,步骤S314和步骤S315为本发明实施例提供的接入认证方法。由于进行接入认证的终端均已经通过了Web认证,在Web认证通过之后,Radius服务器记录了该终端的相关信息,可以包括但不限于:终端的MAC地址、IP地址、进行Web认证时使用的用户名、密码、终端与AC进行通信的vlan和端口。当需要对第一终端进行接入认证时,AC可以将第一终端的MAC地址、第一端口、第一vlan、以及第一终端的IP地址携带于接入认证请求,发送给Radius服务器,Radius服务器根据接收到的第一终端的MAC地址和第一终端的IP地址,查找对应的用户名以及密码,并且在确定查找到的用户名和密码已经通过了Web认证之后,确定可以使第一终端通过接入认证,并向AC回复通过接入认证的接入认证响应,与现有技术中进行接入认证时需要通过一定的算法对第一终端对应的用户名及密码进行运算并进行认证相比,在现有移动环境中,针对移动终端移动比较频繁,会频繁触发接入认证过程的情况,提高了整体认证性能。
进一步地,对于第一终端发生迁移的情况,Radius服务器还可以在接入认证请求中携带的第一端口和/或第一vlan与自身记录的对应项不同时,使用接入认证请求中携带的第一端口和/或第一vlan对对应的记录进行更新,以保证后续对第一终端发送的指示更加准确。本发明实施例中,假设终端采用静态IP地址,尽管第一终端发生迁移,IP地址可以保持不变。
进一步地,本步骤中,对于第一终端发生迁移的情况,如果第一终端发生迁移之后AC接收第一终端发送的数据包的vlan信息和/或端口信息发生了变化,需要将AC中记录的第一终端对应映射表中的对应信息进行更新。
进一步地,步骤S314~S315为本发明实施例提供的接入认证方法,该方法可以独立于本实施例单独使用。
进一步地,对应于Radius服务器侧的认证确定方法,可以包括如下步骤:
步骤一、接收AC发送的携带有终端的MAC地址、接收终端发送数据包的端口及该端口所属vlan、以及终端的IP地址的接入认证请求。
步骤二、当记录的终端的MAC地址及IP地址所标识的用户名和密码通过Web认证时,向AC回复表征接入认证成功的接入认证响应。
步骤三、当步骤一中接收的接入认证请求中携带的端口和/或该端口所属vlan与对应的记录不同时,使用步骤一中接收的接入认证请求中携带的端口和/或该端口所属vlan将对应的记录更新。
进一步地,步骤二和步骤三的执行没有严格的先后顺序。
下面以具体的应用场景对实施例1提供的一种认证确定方法进行举例说明:
例1:图4为Portal服务器、Radius服务器、AC、AP、及终端网络结构示意图,如图4所示,终端1通过AP1与AC的vlan1的端口1连接,终端2通过AP2与AC的vlan1的端口2连接,AC与Portal服务器和Radius服务器分别相连,其中,Portal服务器的IP地址为10.1.1.52,Radius服务器的IP地址为10.1.1.53,AC的IP地址为10.1.1.1。
假设场景一:终端1和终端2为具有相同MAC地址的不同终端,终端1的MAC地址为0000.0000.0001,终端1的IP地址为192.168.1.10,终端2的MAC地址为0000.0000.0001,终端2的IP地址为192.168.1.20。终端1已经通过Web认证,在AC中记录有终端1对应的静态mac表1和静态arp表1,应用本发明实施例提供的认证确定方法,如图5所示,对终端2认证包括如下步骤:
S501、AC通过vlan1的端口2接收终端2发送的网络访问请求,确定存在基于终端2的MAC地址建立的映射表。
进一步地,由于终端1和终端2具有相同的MAC地址,且终端1已经通过了Web认证,因此,AC确定出的映射表为与终端1对应的静态mac表1和静态arp表1,其中,
静态mac表1:(vlan_id=vlan1,port_id=port1,MAC=0000.0000.0001,标志位=static,重复标志位=0);
静态arp表1:(vlan_id=vlan1,port_id=port1,IP=192.168.1.10,MAC=0000.0000.0001,标志位=static)。
S502、确定接收网络访问请求报文的vlan1的端口2与映射表记录的vlan1的端口1不为同一vlan的同一端口。
S503、通过vlan1的端口2发送以网络访问请求报文的源IP地址192.168.1.20为目的IP地址的第一探测请求报文,以及通过vlan1的端口1以映射表记录的IP地址192.168.1.10为目的地址的第二探测请求报文。
S504、在vlan1的端口2接收到第一探测请求报文对应的第一探测响应报文,且在vlan1的端口1接收到第二探测请求报文对应的第二探测响应报文,且第一探测响应报文与第二探测响应报文的源IP地址不同。
S505、确定终端2与映射表的MAC地址对应的终端1为具有相同MAC地址的不同终端,触发对终端2进行Web认证。
S506、对终端2进行Web认证。
S507、当终端2通过Web认证之后,为终端2建立映射表。
进一步地,本步骤中,AC为终端2建立的静态mac表2和静态mac表2可以如下:
静态mac表2:(vlan_id=vlan1,port_id=port2,MAC=0000.0000.0001,标志位=static,重复标志位=1);
静态arp表2:(vlan_id=vlan1,port_id=port2,IP=192.168.1.20,MAC=0000.0000.0001,标志位=static)。
并且,将终端1对应的静态mac表1中的重复标志位置为1。
S508、接收网络侧发送的需要转发给终端的报文,确定接收到的报文的目的MAC地址为重复的MAC地址。
进一步地,本步骤中,根据报文中的目的IP地址192.168.1.20,从对应的静态arp表2中确定出对应的MAC地址0000.0000.0001,根据该MAC地址对应的静态mac表1和静态mac表2确定静态mac表1和静态mac表2中的重复标识位置位,确定MAC地址为重复的MAC地址。
S509、将接收到的报文重定向到广播端口。
进一步地,可以预先设置一个AC中尚未使用的端口为广播端口,并使广播端口与vlan1的端口1、及vlan1的端口2构成端口广播组,并且将广播端口设置为Hybrid端口,将端口广播组构成的vlan设置为广播vlan。
S510、通过广播端口将接收到的报文广播给端口1及端口2,使端口1及端口2将接收到的广播报文发送出去。
本步骤中,由于广播端口设置为Hybrid端口,因此,广播给端口1和端口2的报文可以不带有广播vlan,使得通过端口1和端口2分别将报文发送出去时,可以添加各自所述的vlan(即vlan1)。进一步地,尽管接收到的报文中的目的IP地址192.168.1.20,也就是接收到的报文为发送给终端2的报文,本步骤中,通过端口1和端口2均转发了该报文,那么,通过端口1转发的报文由于目的地址与终端1的目的地址不同,会被终端1丢弃,通过端口2转发的报文会被终端2正确接收并处理,使得具有相同MAC地址的终端能够接收到发送给自身的数据包。
假设场景二:终端1和终端1’为发生迁移的同一终端,终端1的MAC地址为0000.0000.0001,终端1的IP地址为192.168.1.10。终端1已经通过Web认证,并且终端1在通过Web认证时,通过vlan1的端口1与AC相连,在AC中记录有终端1对应的静态mac表1和静态arp表1,现在终端1从vlan1的端口1迁移到vlan1的端口2成为终端1’,应用本发明实施例提供的认证确定方法,如图6所示,对终端1’认证包括如下步骤:
S601、AC通过vlan1的端口2接收终端1’发送的网络访问请求,确定存在基于终端1’的MAC地址建立的映射表。
进一步地,AC确定出的映射表为与终端1对应的静态mac表1和静态arp表1,其中,
静态mac表1:(vlan_id=vlan1,port_id=port1,MAC=0000.0000.0001,标志位=static,重复标志位=0);
静态arp表1:(vlan_id=vlan1,port_id=port1,IP=192.168.1.10,MAC=0000.0000.0001,标志位=static)。
S602、确定接收网络访问请求报文的vlan1的端口2与映射表记录的vlan1的端口1不为同一vlan的同一端口。
S603、通过vlan1的端口2发送以网络访问请求报文的源IP地址192.168.1.10为目的IP地址的第一探测请求报文,以及通过vlan1的端口1以映射表记录的IP地址192.168.1.10为目的地址的第二探测请求报文。
S604、在vlan1的端口2接收到第一探测请求报文对应的第一探测响应报文,且在vlan1的端口1未接收到第二探测请求报文对应的第二探测响应报文。
S605、确定终端1’与映射表的MAC地址对应的终端1为发生了迁移的同一终端,触发对终端1’进行接入认证。
S606、将终端1’的MAC地址、端口2、vlan1、以及IP地址携带于接入认证请求,发送给Radius服务器。
进一步地,本步骤中,Radius服务器中记录有终端1的MAC地址、端口1、vlan1、以及IP地址,Radius服务器根据终端1’的与终端1相同的MAC地址和IP地址共同标识的用户名和密码,确定该用户名和密码已经通过Web认证,向AC回复表征对终端1’接入认证成功的接入认证响应。进一步地,由于终端1’的端口信息(端口2)与Radius服务器中记录的终端1的端口信息(端口1)不同,Radius服务器使用端口2将记录的端口1进行更新。
S607、当第一终端的MAC地址及IP地址所标识的用户名和密码组已经通过Web认证时,接收表征接入认证成功的接入认证响应。
进一步地,本步骤中,AC将自身保存的终端1对应的静态mac表1和静态arp表1更新为终端1’对应的静态mac表1’和静态arp表1’:
静态mac表1’:(vlan_id=vlan1,port_id=port2,MAC=0000.0000.0001,标志位=static,重复标志位=0);
静态arp表1’:(vlan_id=vlan1,port_id=port2,IP=192.168.1.10,MAC=0000.0000.0001,标志位=static)。
基于同一发明构思,本发明实施例还提供了一种接入控制器,由于这些接入控制器所解决问题的原理与前述一种认证确定方法相似,因此该接入控制器的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种接入控制器,如图7所示,包括如下模块:
接收模块701,用于当接收到第一终端发送的网络访问请求报文时,确定是否存在基于所述第一终端的媒体访问控制MAC地址建立的映射表,
其中,所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网vlan、以及该映射表对应终端发送数据包的源网际协议IP地址;
判断模块702,用于当所述接收模块701确定出存在基于所述第一终端的MAC地址建立的映射表时,判断接收所述网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;
发送模块703,用于当所述判断模块702的判断结果为否时,通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文;
确定模块704,用于根据是否接收到所述第一探测请求报文对应的第一探测响应报文,以及所述第二探测请求报文对应的第二探测响应报文的结果,确定对所述第一终端进行的认证。
进一步地,所述确定模块704,具体用于当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文,且所述第一探测响应报文与所述第二探测响应报文的源IP地址不同时,确定所述第一终端与所述映射表记录的MAC地址对应的第二终端为具有相同MAC地址的不同终端,确定对所述第一终端进行Web认证。
进一步地,所述接入控制器,还包括:建立模块705;
所述建立模块705,用于在所述第一终端通过Web认证之后,为所述第一终端建立映射表;
其中,所述第一终端的映射表中对应记录有所述第一终端的MAC地址、所述第一端口、所述第一vlan、以及所述网络访问请求报文的源IP地址。
进一步地,所述接入控制器,还包括:重定向模块706和广播模块707;
所述重定向模块706,用于当接收到网络侧发送的需要转发给终端的报文时,且当根据接收的报文的目的IP地址确定该接收的报文的目的MAC地址为重复的MAC地址时,将接收到的报文重定向到所述广播端口;
所述广播模块707,用于通过所述广播端口将所述重定向模块706重定向的报文广播给所述端口广播组中除所述广播端口之外的端口,使所述端口广播组中除所述广播端口之外的端口将接收到的广播报文发送出去;
其中,预先设置一个尚未启用的端口为广播端口,并使广播端口与具有相同MAC地址的不同映射表中的各端口构成端口广播组。
进一步地,所述确定模块704,具体用于当在所述第一端口未接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文时,确定所述网络访问请求报文为非法报文,将确定的非法报文丢弃;
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文,且所述第一探测响应报文与第二探测响应报文的源IP地址相同时,确定所述网络访问请求报文为非法报文,将确定的非法报文丢弃;
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口未接收到所述第二探测请求报文对应的第二探测响应报文时,确定所述第一终端发生了迁移,确定对所述第一终端进行接入认证。
进一步地,所述发送模块703,还用于当所述确定模块704确定出对所述第一终端进行的认证为接入认证时,将所述第一终端的MAC地址、所述第一端口、所述第一vlan、以及所述第一终端的IP地址携带于接入认证请求,发送给Radius服务器,
其中,所述Radius服务器用于当记录的所述第一终端的MAC地址及IP地址所标识的用户名和密码通过Web认证时,向AC回复表征接入认证成功的接入认证响应,以及当所述接入认证请求中携带的所述第一端口和/或所述第一vlan与所述Radius服务器中对应的记录不同时,使用所述接入认证请求中携带的所述第一端口和/或所述第一vlan将对应的记录更新;
所述接收模块701,还用于当所述第一终端的MAC地址及IP地址所标识的用户名和密码组已经通过Web认证时,接收表征接入认证成功的接入认证响应。
上述各单元的功能可对应于图2至图3所示流程中的相应处理步骤,在此不再赘述。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种认证确定方法,其特征在于,包括:
当接入控制器AC接收到第一终端发送的网络访问请求报文时,确定是否存在基于所述第一终端的媒体访问控制MAC地址建立的映射表,
其中,所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网vlan、以及该映射表对应终端发送数据包的源网际协议IP地址;
当确定存在基于所述第一终端的MAC地址建立的映射表时,判断接收所述网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;
当判断结果为否时,通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文;
根据是否接收到所述第一探测请求报文对应的第一探测响应报文,以及所述第二探测请求报文对应的第二探测响应报文的结果,确定对所述第一终端进行的认证;
其中,根据是否接收到所述第一探测请求报文对应的第一探测响应报文,以及所述第二探测请求报文对应的第二探测响应报文的结果,确定对所述第一终端进行的认证,具体包括:
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文,且所述第一探测响应报文与所述第二探测响应报文的源IP地址不同时,确定所述第一终端与所述映射表记录的MAC地址对应的第二终端为具有相同MAC地址的不同终端,确定对所述第一终端进行Web认证;
当在所述第一端口未接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文时,确定所述网络访问请求报文为非法报文,将确定的非法报文丢弃;
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文,且所述第一探测响应报文与第二探测响应报文的源IP地址相同时,确定所述网络访问请求报文为非法报文,将确定的非法报文丢弃;
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口未接收到所述第二探测请求报文对应的第二探测响应报文时,确定所述第一终端发生了迁移,确定对所述第一终端进行接入认证。
2.如权利要求1所述的方法,其特征在于,在所述第一终端通过Web认证之后,还包括:
为所述第一终端建立映射表;
其中,所述第一终端的映射表中对应记录有所述第一终端的MAC地址、所述第一端口、所述第一vlan、以及所述网络访问请求报文的源IP地址。
3.如权利要求1-2任一项所述的方法,其特征在于,预先设置一个尚未启用的端口为广播端口,并使广播端口与具有相同MAC地址的不同映射表中的各端口构成端口广播组;
当接收到网络侧发送的需要转发给终端的报文时,还包括:
当根据接收的报文的目的IP地址确定该接收的报文的目的MAC地址为重复的MAC地址时,将接收到的报文重定向到所述广播端口;
通过所述广播端口将接收到的报文广播给所述端口广播组中除所述广播端口之外的端口,使所述端口广播组中除所述广播端口之外的端口将接收到的广播报文发送出去。
4.如权利要求1-2任一项所述的方法,其特征在于,当确定出对所述第一终端进行的认证为接入认证时,还包括:采用如下方法对所述第一终端进行接入认证:
将所述第一终端的MAC地址、所述第一端口、所述第一vlan、以及所述第一终端的IP地址携带于接入认证请求,发送给Radius服务器,
其中,所述Radius服务器用于当记录的所述第一终端的MAC地址及IP地址所标识的用户名和密码通过Web认证时,向AC回复表征接入认证成功的接入认证响应,以及当所述接入认证请求中携带的所述第一端口和/或所述第一vlan与所述Radius服务器中对应的记录不同时,使用所述接入认证请求中携带的所述第一端口和/或所述第一vlan将对应的记录更新;
当所述第一终端的MAC地址及IP地址所标识的用户名和密码组已经通过Web认证时,接收表征接入认证成功的接入认证响应。
5.一种接入控制器,其特征在于,包括:
接收模块,用于当接收到第一终端发送的网络访问请求报文时,确定是否存在基于所述第一终端的媒体访问控制MAC地址建立的映射表,
其中,所述映射表用于对应记录该映射表对应终端的MAC地址、接收该映射表对应终端发送数据包的端口及该端口所属虚拟局域网vlan、以及该映射表对应终端发送数据包的源网际协议IP地址;
判断模块,用于当所述接收模块确定出存在基于所述第一终端的MAC地址建立的映射表时,判断接收所述网络访问请求报文的第一端口及第一端口所属第一vlan与确定的映射表记录的第二端口及第二端口所属第二vlan是否为同一vlan的同一端口;
发送模块,用于当所述判断模块的判断结果为否时,通过所述第一端口发送以所述网络访问请求报文的源IP地址为目的IP地址的第一探测请求报文,以及通过所述第二端口发送以所述映射表记录的IP地址为目的地址的第二探测请求报文;
确定模块,用于根据是否接收到所述第一探测请求报文对应的第一探测响应报文,以及所述第二探测请求报文对应的第二探测响应报文的结果,确定对所述第一终端进行的认证;
其中,所述确定模块,具体用于当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文,且所述第一探测响应报文与所述第二探测响应报文的源IP地址不同时,确定所述第一终端与所述映射表记录的MAC地址对应的第二终端为具有相同MAC地址的不同终端,确定对所述第一终端进行Web认证;
当在所述第一端口未接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文时,确定所述网络访问请求报文为非法报文,将确定的非法报文丢弃;
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口接收到所述第二探测请求报文对应的第二探测响应报文,且所述第一探测响应报文与第二探测响应报文的源IP地址相同时,确定所述网络访问请求报文为非法报文,将确定的非法报文丢弃;
当在所述第一端口接收到所述第一探测请求报文对应的第一探测响应报文,且在所述第二端口未接收到所述第二探测请求报文对应的第二探测响应报文时,确定所述第一终端发生了迁移,确定对所述第一终端进行接入认证。
6.如权利要求5所述的接入控制器,其特征在于,还包括:建立模块;
所述建立模块,用于在所述第一终端通过Web认证之后,为所述第一终端建立映射表;
其中,所述第一终端的映射表中对应记录有所述第一终端的MAC地址、所述第一端口、所述第一vlan、以及所述网络访问请求报文的源IP地址。
7.如权利要求5-6任一项所述的接入控制器,其特征在于,预先设置一个尚未启用的端口为广播端口,并使广播端口与具有相同MAC地址的不同映射表中的各端口构成端口广播组;
还包括:重定向模块和广播模块;
所述重定向模块,用于当接收到网络侧发送的需要转发给终端的报文时,且当根据接收的报文的目的IP地址确定该接收的报文的目的MAC地址为重复的MAC地址时,将接收到的报文重定向到所述广播端口;
所述广播模块,用于通过所述广播端口将所述重定向模块重定向的报文广播给所述端口广播组中除所述广播端口之外的端口,使所述端口广播组中除所述广播端口之外的端口将接收到的广播报文发送出去。
8.如权利要求5-6任一项所述的接入控制器,其特征在于,所述发送模块,还用于当所述确定模块确定出对所述第一终端进行的认证为接入认证时,将所述第一终端的MAC地址、所述第一端口、所述第一vlan、以及所述第一终端的IP地址携带于接入认证请求,发送给Radius服务器,
其中,所述Radius服务器用于当记录的所述第一终端的MAC地址及IP地址所标识的用户名和密码通过Web认证时,向AC回复表征接入认证成功的接入认证响应,以及当所述接入认证请求中携带的所述第一端口和/或所述第一vlan与所述Radius服务器中对应的记录不同时,使用所述接入认证请求中携带的所述第一端口和/或所述第一vlan将对应的记录更新;
所述接收模块,还用于当所述第一终端的MAC地址及IP地址所标识的用户名和密码组已经通过Web认证时,接收表征接入认证成功的接入认证响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410614070.6A CN104333552B (zh) | 2014-11-04 | 2014-11-04 | 一种认证确定方法及接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410614070.6A CN104333552B (zh) | 2014-11-04 | 2014-11-04 | 一种认证确定方法及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104333552A CN104333552A (zh) | 2015-02-04 |
| CN104333552B true CN104333552B (zh) | 2017-11-24 |
Family
ID=52408203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410614070.6A Active CN104333552B (zh) | 2014-11-04 | 2014-11-04 | 一种认证确定方法及接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104333552B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015002574B4 (de) * | 2015-02-27 | 2018-06-21 | Audi Ag | Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung |
| CN104717216B (zh) * | 2015-03-12 | 2018-09-07 | 福建星网锐捷网络有限公司 | 一种网络接入控制方法、装置及核心设备 |
| CN104821925B (zh) * | 2015-04-28 | 2018-08-07 | 福建星网锐捷网络有限公司 | 一种数据交互方法、系统及设备 |
| CN105391733B (zh) * | 2015-12-09 | 2018-08-03 | 福建星网锐捷网络有限公司 | 一种802.1x认证用户迁移防攻击的方法和系统 |
| CN106921970A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 一种接入认证方法、装置和系统 |
| CN106453016A (zh) * | 2016-11-11 | 2017-02-22 | 北京经纬恒润科技有限公司 | 报文匹配关系的生成方法及装置 |
| CN108683660B (zh) * | 2018-05-14 | 2020-09-08 | 杭州迪普科技股份有限公司 | 一种mac地址认证处理方法及装置 |
| CN108833426B (zh) * | 2018-06-27 | 2021-03-02 | 北京小米移动软件有限公司 | 发送登陆页面的方法和装置 |
| CN109327462B (zh) * | 2018-11-14 | 2020-10-27 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
| CN109587121B (zh) * | 2018-11-20 | 2021-06-18 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
| CN109495878B (zh) * | 2018-12-24 | 2021-05-28 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN112383555B (zh) * | 2020-11-17 | 2022-06-03 | 宏图智能物流股份有限公司 | 一种物流网络中的网络请求有效性验证方法 |
| CN114500175B (zh) * | 2022-02-21 | 2022-09-16 | 北京至周科技有限公司 | 基于用户设备ip地址反向划分归属vlan的通信方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1665189A (zh) * | 2004-03-02 | 2005-09-07 | 阿尔卡特公司 | 授权接入数据通信网络的方法和相关设备 |
| CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
| CN102137109A (zh) * | 2011-03-18 | 2011-07-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
-
2014
- 2014-11-04 CN CN201410614070.6A patent/CN104333552B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1665189A (zh) * | 2004-03-02 | 2005-09-07 | 阿尔卡特公司 | 授权接入数据通信网络的方法和相关设备 |
| CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
| CN102137109A (zh) * | 2011-03-18 | 2011-07-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104333552A (zh) | 2015-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104333552B (zh) | 一种认证确定方法及接入设备 | |
| JP6054484B2 (ja) | 割り当てられたネットワークアドレスを有するデバイスにアクセスするクライアントローカルプロキシサーバを使用したシステムおよび方法 | |
| US9401962B2 (en) | Traffic steering system | |
| EP2936881B1 (en) | Connecting to a wireless network using social network identifier | |
| US9369473B2 (en) | Method and system for extending network resources campus-wide based on user role and location | |
| US8364130B2 (en) | Establishing sessions between devices in a network | |
| CN105743670B (zh) | 访问控制方法、系统和接入点 | |
| RU2010136944A (ru) | Многократная регистрация мобильных ip и взаимодействие pcc | |
| JP5911037B2 (ja) | プロキシによるWi−Fi認証 | |
| CN106105158B (zh) | 用于在搜索者装置与目标装置之间建立连接的方法和系统 | |
| JP2014514633A (ja) | 割り当てられたネットワークアドレスを有するデバイスにアクセスするウェブプロキシサーバを使用したシステムおよび方法 | |
| WO2020164526A1 (zh) | 一种分布式系统中的节点控制方法和相关装置 | |
| CN104320327A (zh) | 基于社交网络同一账号的多角色同时在线实现方法及系统 | |
| JP2015513815A (ja) | デバイス制御方法および装置 | |
| JP2014509161A (ja) | 割り当てられたネットワークアドレスを有するデバイスにアクセスするためのシステムおよび方法 | |
| Wang et al. | Crowdsourcing-based content-centric network: a social perspective | |
| CN109769249A (zh) | 一种认证方法、系统及其装置 | |
| CN103942271B (zh) | 用户信息查找系统及方法 | |
| CN105847223A (zh) | 一种终端设备的认证方法和设备 | |
| CN110460641A (zh) | 数据传输方法、装置及系统 | |
| JP2022537070A (ja) | 通信方法及び関連デバイス | |
| CN105635148B (zh) | 一种Portal认证方法及装置 | |
| JP5544016B2 (ja) | Id/ロケータ分離ネットワークにおけるユーザーのicpウェブサイトログイン方法、システム及びログイン装置 | |
| CN107172211A (zh) | 通信连接请求建立方法及服务器 | |
| CN104717640B (zh) | 一种基于定位的无线网络通信的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |