CN104703121A - 控制设备访问的方法、系统及网络侧设备 - Google Patents

控制设备访问的方法、系统及网络侧设备 Download PDF

Info

Publication number
CN104703121A
CN104703121A CN201310646951.1A CN201310646951A CN104703121A CN 104703121 A CN104703121 A CN 104703121A CN 201310646951 A CN201310646951 A CN 201310646951A CN 104703121 A CN104703121 A CN 104703121A
Authority
CN
China
Prior art keywords
user side
side equipment
described user
position information
current geographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310646951.1A
Other languages
English (en)
Other versions
CN104703121B (zh
Inventor
田旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310646951.1A priority Critical patent/CN104703121B/zh
Publication of CN104703121A publication Critical patent/CN104703121A/zh
Application granted granted Critical
Publication of CN104703121B publication Critical patent/CN104703121B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种控制设备访问的方法,用于提高网络安全性。所述方法包括:接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。本发明还公开了相应的网络侧设备及控制设备访问的系统。

Description

控制设备访问的方法、系统及网络侧设备
技术领域
本发明涉及通信领域,特别涉及一种控制设备访问的方法、系统及网络侧设备。
背景技术
企业分支和总部进行广域网互联时,分支路由器通常会采用虚拟专用网(virtual private network,简称VPN)技术接入企业总部。企业总部会对分支的身份进行验证,例如用户名、密码等信息。
随着无线通信技术的发展,企业分支可以部署无线路由器接入企业总部。无线路由器的部署相对灵活,可以不受有线部署制约,部署在任意的地理位置。但对于某些对地理位置安全性要求较高的场景,例如银行分支,通常是希望无线路由器能够固定在一段地理范围内使用,以防止被盗,提高安全性。如果无线路由器已不处于安全的地理范围,则需要防止该无线路由器还能连接到VPN网络,造成信息泄露。
发明内容
本发明实施例提供一种控制设备访问的方法、系统及网络侧设备,用于解决现有技术中VPN技术不支持对地理位置信息进行身份认证的技术问题。
第一方面,本发明提供一种控制设备访问的方法,包括:
接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;
根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;
如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
结合第一方面,在第一方面的第一种可能的实现方式中,在接收用户侧设备发送的认证消息之前,还包括:接收所述用户侧设备发送的资源请求消息,并向所述用户侧设备发送认证请求。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,在与所述用户侧设备建立连接之后,还包括:定时向所述用户侧设备发送所述认证请求,接收所述用户侧设备返回的所述认证消息。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,包括:
根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;
根据所述预设地理位置信息判断所述当前地理位置信息是否合法;
当判定所述当前地理位置信息合法时,确定所述用户侧设备认证通过;当判定所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第四种可能的实现方式中,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,包括:
将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,以使所述服务器确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;
接收所述服务器返回的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
第二方面,本发明提供一种网络侧设备,包括:
接收模块,用于接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;
认证模块,用于根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;
建立模块,用于如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
结合第二方面,在第一方面的第一种可能的实现方式中,所述设备还包括发送模块;
所述接收模块还用于:接收所述用户侧设备发送的资源请求消息;
所述发送模块,用于在所述接收模块接收到所述用户侧设备发送的资源请求消息之后,向所述用户侧设备发送认证请求;
所述发送模块,还用于定时向所述用户侧设备发送所述认证请求。
结合第二方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述认证模块具体用于:根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;根据所述预设地理位置信息判断所述当前地理位置信息是否合法;当判定所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当判定所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
结合第二方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述认证模块具体用于:将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,以使所述服务器确定与所述用户侧设备标识对应的预设地理位置信息并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;接收所述服务器返回的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
第三方面,本发明提供一种控制设备访问的系统,包括:
网络侧设备,用于接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接;
用户侧设备,用于获得所述当前地理位置信息;向所述网络侧设备发送所述认证消息;接收所述网络侧设备发送的响应消息,所述响应消息用于指示所述用户侧设备的认证是否通过。
本发明实施例中所述网络侧设备可以根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,确认所述用户侧设备所在的地理位置是否合法,从而可以确定是否允许所述用户侧设备接入,这样,如果所述用户侧设备所在的地理位置不合法,所述网络侧设备可以确定所述用户侧设备的认证不通过,从而所述用户侧设备无法接入,保证了信息的安全性,防止信息泄露,提高网络安全性。
附图说明
图1为本发明实施例提供的一种控制设备访问的方法流程图;
图2为本发明实施例提供的控制设备访问的方法中连接建立阶段的交互流程图;
图3为本发明实施例提供的网络侧设备的一种结构图;
图4为本发明实施例提供的控制设备访问的系统结构图;
图5为本发明实施例提供的网络侧设备的另一种结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种控制设备访问的方法,可以应用于网络侧设备,所述方法可以包括:接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
本发明实施例中所述用户侧设备在获得所述当前地理位置信息后,可以向所述网络侧设备发送所述认证消息,所述网络侧设备可以根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,确认所述用户侧设备所在的地理位置是否合法,从而可以确定是否允许所述用户侧设备接入,这样,如果所述用户侧设备所在的地理位置不合法,所述网络侧设备可以确定所述用户侧设备的认证不通过,从而所述用户侧设备无法接入,保证了信息的安全性,防止信息泄露,提高网络安全性。
用户侧设备,可以是位于用户侧的路由器,例如可以是无线路由器。
网络侧设备可以是位于网络侧的路由器,例如可以是无线路由器。
举例来说,企业分支通过VPN接入企业总部,所述网络侧设备可以是企业总部的网关设备,例如路由器,所述用户侧设备可以是企业分支的网关设备,例如无线路由器。
服务器例如可以是验证、授权和记账(Authentication、Authorization、Accounting,简称AAA)服务器,也可以是其他能够提供验证授权的服务,或者专用于本发明中地理位置认证的服务器,本申请对此并不限定。
请参见图1,本发明实施例提供一种控制设备访问的方法,应用于网络侧设备,所述方法包括:
步骤101:接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息。
所述用户侧设备可以首先获得自身的所述当前地理位置信息,所述当前地理位置信息可以是所述用户侧设备当前所在地理位置的信息。
本发明实施例中,所述当前地理位置信息中至少可以包括所述用户侧设备当前所在地理位置的坐标信息或当前所在地理位置的标识信息。
所述用户侧设备当前所在地理位置的坐标信息,可以包括所述用户侧设备当前所在地理位置的经度、纬度,还可以包括所述用户侧设备当前所在地理位置的高度,或者还可以包括所述用户侧设备当前所在地理位置的其他信息。
网络侧设备可能对其管辖范围内的各地理位置进行编号,则每个地理位置都有其对应的编号,该编号就可以称为该地理位置的标识信息。
本发明实施例中,所述用户侧设备可以是企业分支的网关设备,例如无线路由器。所述网络侧设备可以是企业总部的网关设备,例如路由器,可以是无线路由器也可以是有线路由器。
当所述用户侧设备需要与所述网络侧设备建立连接,访问网络侧设备的资源时,会向所述网络侧设备发送所述认证消息。
步骤102:根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证。
所述用户侧设备在向所述网络侧设备发送所述认证消息时,所述认证消息中一般都会携带所述用户侧设备标识信息。所述网络侧设备在接收到所述认证消息后,可以根据所述认证消息中携带的所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证。
本发明实施例中,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,具体可以是:根据所述用户侧设备标识,及预先存储的用户侧设备标识与预设地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;根据所述预设地理位置信息判断所述当前地理位置信息是否合法;当判定所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当判定所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
所述网络侧设备中可以预先存储有用户侧设备标识与预设地理位置信息之间的对应关系,这样可以为每个用户侧设备标识预设与其对应的合法位置。所述网络侧设备在获得所述认证消息后,可以确定所述用户侧设备标识,并根据所述用户侧设备标识查找所述对应关系,得到与所述用户侧设备标识对应的预设地理位置信息。所述网络侧设备可以将所述当前地理位置信息与所述预设地理位置信息进行比对,如果二者不一致,则所述网络侧设备可以判定所述当前地理位置信息不合法,从而可以确定所述用户侧设备认证不通过;如果二者一致,则所述网络侧设备可以判定所述当前地理位置信息合法,从而可以确定所述用户侧设备认证通过。
本发明实施例中,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,具体也可以是:所述网络侧设备将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,例如AAA服务器,以使所述服务器根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;所述网络侧设备接收所述服务器发送的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
本发明实施例中,所述网络侧设备在接收到所述认证消息后,可以解析所述认证消息,所述认证消息中可以包括所述用户侧设备的身份信息,例如是所述用户侧设备的用户名、密码、国际移动用户识别码(International MobileSubscriber Identification Number,简称IMSI)等,还可以包括所述当前地理位置信息。所述网络侧设备可以将解析出的信息转换为所述服务器能够识别的格式,并将所述当前地理位置信息按照所述服务器能够识别的格式发送给所述服务器。
所述服务器中可以预先存储有用户侧设备标识与预设地理位置信息之间的所述对应关系,这样可以为每个用户侧设备标识预设与其对应的合法的地理位置。所述服务器在接收到所述用户侧设备标识信息和所述当前地理位置信息后,根据所述用户侧设备标识信息查找所述对应关系,确定与所述用户侧设备标识对应的预设地理位置信息。所述服务器可以将所述当前地理位置信息与所述预设地理位置信息进行比对,判断所述当前地理位置信息是否合法;如果二者不一致,则可以判定所述当前地理位置信息不合法,如果二者一致,则可以判定所述当前地理位置信息合法。进一步的,所述服务器将判断结果发送给所述网络侧设备,所述网络侧设备根据所述判断结果确定所述用户侧设备认证是否通过;如果所述判断结果表示所述当前地理位置信息不合法,则确定所述用户侧设备认证不通过,如果所述判断结果表示所述当前地理位置信息合法,则确定所述用户侧设备认证通过。
所述网络侧设备判断所述当前地理位置信息是否合法,或者所述服务器判断所述当前地理位置信息是否合法的方式可以通过所述用户侧设备所在的地理位置的坐标信息,例如经度、纬度,来判断所述当前的地理位置是否合法,或者也可以是通过所述用户侧设备所在的地理位置的标识信息,例如编号,来判断所述当前的地理位置是否合法。
如果所述当前地理位置信息中既包括有所述用户侧设备所在的地理位置的坐标信息,也包括所述用户侧设备所在的地理位置的标识信息,则可以从中任选一种信息来判断所述当前地理位置信息是否合法,或者,可以优选通过所述用户侧设备所在的地理位置的坐标信息来判断所述当前地理位置信息是否合法。
可选的,如果通过地理位置的坐标信息来判断所述当前地理位置信息是否合法,则所述当前地理位置信息包括所述用户侧设备当前的地理位置坐标,相应地,根据所述预设地理位置信息判断所述当前地理位置信息是否合法,具体包括:判断所述用户侧设备当前的地理位置坐标是否在所述预设地理位置信息确定出的预定范围内;当所述用户侧设备当前的地理位置坐标在所述预定范围内时,确定所述当前地理位置信息合法,当所述用户侧设备当前的地理位置坐标不在所述预定范围内时,确定所述当前地理位置信息不合法。这种情况下,可以为用户侧设备规定一个预设范围,则所述预设地理位置信息包括对应所述预设范围的地理位置坐标。
本发明实施例中,所述地理位置的坐标信息可以包括所述用户侧设备所在的地理位置的经度和纬度,还可以包括高度。
接下来,以所述地理位置的坐标信息中包括经度和纬度为例,介绍一种判断所述用户侧设备当前的地理位置坐标是否在所述预定范围内的方式。
具体的,可以根据以下公式来进行判断:
(rev_lo-set_lo)2+(rev_la-set_la)2≤set_rad2    (1)
其中,公式(1)中的rev_lo表示所述当前地理位置信息中的当前经度,set_lo表示所述预设地理位置信息中的预设经度,rev_la表示所述当前地理位置信息中的当前纬度,set_la表示所述预设地理位置信息中的预设纬度,set_rad表示为所述用户侧设备预设的半径。如果所述地理位置的坐标信息与所述预设地理位置坐标能够满足公式(1),则说明所述当前地理位置信息合法,如果所述地理位置的坐标信息与所述预设地理位置坐标不能够满足公式(1),则说明所述当前地理位置信息不合法。
判断方式可以有多种,在此只是给出一种示例,并不代表判断方式的全部。
本发明实施例中,如果所述当前地理位置信息中包括所述用户侧设备当前的地理位置的标识,根据所述预设地理位置信息判断所述当前地理位置信息是否合法,具体包括:判断所述用户侧设备当前的地理位置的标识与所述预设地理位置的标识是否一致;其中,当所述用户侧设备当前的地理位置的标识与所述预设地理位置的标识一致时,确定所述当前地理位置信息合法,当所述当前的地理位置的标识与所述预设地理位置的标识不一致时,确定所述当前地理位置信息不合法。
本发明实施例中,地理位置的标识可以根据情况而有所不同,例如,如果在3G网络中,则地理位置的标识可以是Cell-ID(无线网络的小区号),或者地理位置的标识也可以是其他标识,只要地理位置的标识能够用于标示相应的地理位置即可,本发明对此不作限制。
本发明实施例中,对所述用户侧设备进行认证,可以仅仅是对所述用户侧设备的地理位置是否合法进行认证,或者,也可以既对所述用户侧设备的地理位置是否合法进行认证,也对所述用户侧设备的身份是否合法进行认证。对所述用户侧设备的身份是否合法进行认证,具体可以包括:所述网络侧设备或者所述服务器中可以存储有一列表,所述列表中存储有各合法的用户侧设备的设备标识。在接收到所述认证请求后,所述网络侧设备或者所述服务器可以首先在所述列表中查询,判断所述列表中是否有所述用户侧设备标识,如果确定所述列表中有所述用户侧设备标识,则可以确定所述用户侧设备的身份是合法的,可以继续对所述用户侧设备的地理位置进行认证,如果确定所述列表中没有所述用户侧设备标识,则可以确定所述用户侧设备的身份就是不合法的,可以无需进行后续的地理位置认证,直接可以拒绝与所述用户侧设备建立连接,或者如果是在保活阶段进行的认证,可以直接断开与所述用户侧设备之间的连接。
本发明实施例中,所述网络侧设备可以是控制用户侧设备对目的网络资源的访问,例如所述网络侧设备可以是所述用户侧设备的网关,如果所述用户侧设备认证成功,则所述用户侧设备可以通过所述网络侧设备访问目的网络,如果所述用户侧设备认证失败,则所述用户侧设备无法通过所述网络侧设备访问目的网络。
进一步的,本发明实施例中,在根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证之后,还可以包括:向所述用户侧设备发送响应消息,所述响应消息用于告知所述用户侧设备,所述用户侧设备的认证是否通过。
步骤103:如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
本发明实施例中,所述连接可以是VPN隧道。
可选地,在步骤101,接收所述用户侧设备发送的认证消息之前,所述方法还包括:接收所述用户侧设备发送的资源请求消息,并向所述用户侧设备发送认证请求。相应地,在与所述用户侧设备建立连接之后,所述方法还包括:向所述用户侧设备提供所请求的资源。
可选地,前面所述网络侧设备对用户侧设备认证并建立连接的过程,可以看做连接建立阶段;在所述网络侧设备与所述用户侧设备的连接建立之后,进入保活阶段,所述方法还可以包括:
所述网络侧设备定时向所述用户侧设备发送所述认证请求,并接收所述用户侧设备返回的认证消息;根据所述认证消息,对所述用户侧设备进行认证,如果认证通过,则保持所述连接;如果认证不通过,可以主动断开所述连接,也可以再发送认证请求,如果经过多次认证均不通过的情况下,再断开所述连接。
当然,在所述网络侧设备与所述用户侧设备建立连接之后,所述用户侧设备的地理位置可能会发生变化。如果用户侧设备的地理位置发生变化,所述用户侧设备可以主动向所述网络侧设备发送认证消息,所述认证消息中包括所述用户侧设备变化后的地理位置信息;所述网络侧设备接收所述用户侧设备发送的所述认证消息,并对所述用户侧设备进行认证。当然,如果用户侧设备的地理位置发送变化,所述用户侧设备不主动向所述网络侧设备发送认证消息;所述网络侧设备也可以通过保活阶段定时发送认证请求对所述用户侧设备进行认证,这样可以保证用户侧设备在预设范围内才能认证通过,访问目的网络资源,从而提高网络安全性。
可选地,用户侧设备与网络侧设备建立连接后,保活阶段的认证过程,与用户侧设备在初次访问网络侧设备时,连接建立阶段的认证过程,如上所述,基本是相同的,具体可参考步骤102。
请参见图2,为本发明实施例提供的连接建立阶段的交互流程图。在该实施例中,以企业分支的分支无线路由器为所述用户侧设备,以企业总部的总部路由器为所述网络侧设备,且通过服务器,例如AAA服务器进行认证为例,说明本发明实施例提供的控制设备接入的方法。
具体地,在分支无线路由器需要与总部路由器建立连接时,所述分支无线路由器首先向所述总部路由器发送VPN建立请求,所述VPN建立请求中包括有所述分支无线路由器的身份信息和所述当前地理位置信息。这里,所述VPN建立请求即相当于所述认证消息。
所述总部路由器接收到所述VPN建立请求后,解析所述VPN建立请求中的VPN参数信息,并将解析出的VPN参数信息转换为AAA服务器能够识别的信息携带在AAA消息中,向所述AAA服务器发送认证请求,该认证请求中包括所述用户侧设备标识信息和所述当前地理位置信息。
所述AAA服务器接收到该认证请求后,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证。认证结束后,AAA服务器将得到的认证结果发给所述总部路由器。
所述总部路由器可以生成响应消息,并发送给所述分支无线路由器。从图2中可以看出,在不同情况下,所述响应消息中可以携带不同的信息。例如,如果对所述用户侧设备认证成功,则所述响应消息中可以携带VPN建立成功的信息,即通过所述响应消息告知所述用户侧设备,所述用户侧设备的认证成功,此时允许所述用户侧设备访问总部资源。如果对所述用户侧设备认证失败,则所述响应消息中可以携带VPN建立失败的信息,即通过所述响应消息告知所述用户侧设备,所述用户侧设备的认证失败,此时不允许所述用户侧设备访问总部资源。
请参见图3,本发明实施例提供一种网络侧设备,所述网络侧设备可以包括接收模块301、认证模块302和建立模块303。较佳的,图3中的所述网络侧设备与图1和图2中的网络侧设备是同一网络侧设备。
接收模块301可以用于接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息。
认证模块302可以用于根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证。
建立模块303可以用于如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
本发明实施例中,所述网络侧设备还可以包括发送模块。
所述发送模块用于:向所述用户侧设备发送响应消息,所述响应消息用于指示对所述用户侧设备认证通过或不通过。
本发明实施例中,接收模块301还可以用于:接收所述用户侧设备发送的资源请求消息;所述发送模块还可以用于:向所述用户侧设备发送认证请求。
具体地,所述发送模块可以在所述接收模块301接收到所述用户侧设备发送的资源请求消息之后,向所述用户侧设备发送认证请求;也可以在保活阶段,定时向所述用户侧设备发送认证请求。
进一步地,认证模块302具体可以用于:根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;根据所述预设地理位置信息判断所述当前地理位置信息是否合法;其中,当判定所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当判定所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
认证模块302具体还可以用于:通过所述发送模块将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,以使所述服务器确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;及,通过接收模块301接收所述服务器返回的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
请参见图4,本发明实施例提供一种控制设备访问的系统,所述系统可以包括网络侧设备401和用户侧设备402。
所述网络侧设备401用于接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
所述用户侧设备402用于获得所述当前地理位置信息;向所述网络侧设备发送所述认证消息;接收所述网络侧设备发送的响应消息,所述响应消息用于指示所述用户侧设备的认证是否通过。
进一步地,所述系统还可以包括服务器,所述服务器用于接收所述网络侧设备401发送的所述用户侧设备标识信息和所述当前地理位置信息,确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法,及向所述网络侧设备发送判断结果。
具体地,所述服务器可以用于接收所述网络侧设备401发送的所述用户侧设备标识信息和所述当前地理位置信息,根据所述用户侧设备标识信息及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法,及向所述网络侧设备401发送判断结果;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备402认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备402认证未通过。
相应地,所述网络侧设备401具体用于接收所述判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备402认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备402认证未通过。
请参见图5,本发明实施例提供一种网络侧设备,包括:处理器510、存储器520、接口530和总线540;处理器510、存储器520和接口530通过所述总线540相互连接。
存储器520用于存储程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器520可能包含高速随机存取存储器(randomaccess memory,简称RAM)存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
接口530用于与用户侧设备通信。
处理器510执行存储器520所存放的程序,以实现本发明实施例提供的控制设备访问的方法,包括:
接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
所述方法还包括:在对所述用户侧设备认证通过之后,向所述用户侧设备发送响应消息,指示对所述用户侧设备认证通过。
在接收所述用户侧设备发送的认证消息之前,所述方法还包括:接收所述用户侧设备发送的资源请求消息,并向所述用户侧设备发送认证请求。相应地,在与所述用户侧设备建立连接之后,所述方法还包括:向所述用户侧设备提供所请求的资源。
可选地,前面所述网络侧设备对用户侧设备认证并建立连接的过程,可以看做连接建立阶段;在所述网络侧设备与所述用户侧设备的连接建立之后,进入保活阶段,所述方法还包括:定时向所述用户侧设备发送认证请求,接收所述用户侧设备返回的认证消息。根据所述认证消息,对所述用户侧设备进行认证,如果认证通过,则保持所述连接;如果认证不通过,可以主动断开所述连接,也可以再发送认证请求,如果经过多次认证均不通过的情况下,再断开所述连接。
所述根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证具体包括:根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;根据所述预设地理位置信息判断所述当前地理位置信息是否合法;其中,当所述认证结果表示当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述认证结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
可选地,接口530还用于与服务器通信。所述根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,具体包括:将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,以使所述服务器确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;接收所述服务器返回的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过。其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
本发明实施例中所述用户侧设备在获得所述当前地理位置信息后,可以向所述网络侧设备发送所述认证消息,所述网络侧设备可以根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,确认所述用户侧设备所在的地理位置是否合法,从而可以确定是否允许所述用户侧设备接入,这样,如果所述用户侧设备所在的地理位置不合法,所述网络侧设备可以确定所述用户侧设备的认证不通过,从而所述用户侧设备无法接入,保证了信息的安全性,防止信息泄露,提高网络安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以对本申请的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,不应理解为对本发明的限制。本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种控制设备访问的方法,其特征在于,包括:
接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;
根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;
如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
2.如权利要求1所述的方法,其特征在于,在接收用户侧设备发送的认证消息之前,还包括:接收所述用户侧设备发送的资源请求消息,并向所述用户侧设备发送认证请求。
3.如权利要求1或2所述的方法,其特征在于,在与所述用户侧设备建立连接之后,还包括:定时向所述用户侧设备发送认证请求,接收所述用户侧设备返回的认证消息。
4.如权利要求1-3任一所述的方法,其特征在于,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,包括:
根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;
根据所述预设地理位置信息判断所述当前地理位置信息是否合法;
当判定所述当前地理位置信息合法时,确定所述用户侧设备认证通过;当判定所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
5.如权利要求1-3任一所述的方法,其特征在于,根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证,包括:
将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,以使所述服务器确定与所述用户侧设备标识对应的预设地理位置信息,并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;
接收所述服务器返回的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
6.一种网络侧设备,其特征在于,包括:
接收模块,用于接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;
认证模块,用于根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;
建立模块,用于如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接。
7.如权利要求6所述的设备,其特征在于,所述设备还包括发送模块;
所述接收模块还用于:接收所述用户侧设备发送的资源请求消息;
所述发送模块,用于在所述接收模块接收到所述用户侧设备发送的资源请求消息之后,向所述用户侧设备发送认证请求;
所述发送模块,还用于定时向所述用户侧设备发送所述认证请求。
8.如权利要求6或7所述的设备,其特征在于,所述认证模块具体用于:根据所述用户侧设备标识及预先存储的用户侧设备标识与地理位置信息之间的对应关系,确定与所述用户侧设备标识对应的预设地理位置信息;根据所述预设地理位置信息判断所述当前地理位置信息是否合法;当判定所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当判定所述当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
9.如权利要求6或7所述的设备,其特征在于,所述认证模块具体用于:将所述用户侧设备标识信息和所述当前地理位置信息发送至服务器,以使所述服务器确定与所述用户侧设备标识对应的预设地理位置信息并根据所述预设地理位置信息判断所述当前地理位置信息是否合法;接收所述服务器返回的判断结果,并根据所述判断结果确定所述用户侧设备认证是否通过;其中,当所述判断结果表示所述当前地理位置信息合法时,确定所述用户侧设备认证通过,当所述判断结果表示当前地理位置信息不合法时,确定所述用户侧设备认证未通过。
10.一种控制设备访问的系统,其特征在于,包括:
网络侧设备,用于接收用户侧设备发送的认证消息,所述认证消息中包括所述用户侧设备的当前地理位置信息;根据所述用户侧设备标识信息和所述当前地理位置信息对所述用户侧设备进行认证;如果对所述用户侧设备认证通过,则与所述用户侧设备建立连接;
用户侧设备,用于获得所述当前地理位置信息;向所述网络侧设备发送所述认证消息;接收所述网络侧设备发送的响应消息,所述响应消息用于指示所述用户侧设备的认证是否通过。
CN201310646951.1A 2013-12-04 2013-12-04 控制设备访问的方法、系统及网络侧设备 Active CN104703121B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310646951.1A CN104703121B (zh) 2013-12-04 2013-12-04 控制设备访问的方法、系统及网络侧设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310646951.1A CN104703121B (zh) 2013-12-04 2013-12-04 控制设备访问的方法、系统及网络侧设备

Publications (2)

Publication Number Publication Date
CN104703121A true CN104703121A (zh) 2015-06-10
CN104703121B CN104703121B (zh) 2018-07-20

Family

ID=53349813

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310646951.1A Active CN104703121B (zh) 2013-12-04 2013-12-04 控制设备访问的方法、系统及网络侧设备

Country Status (1)

Country Link
CN (1) CN104703121B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241759A (zh) * 2017-06-28 2017-10-10 上海斐讯数据通信技术有限公司 一种监控无线接入设备位置的方法及系统
CN108055422A (zh) * 2017-12-20 2018-05-18 珠海奔图电子有限公司 成像方法、成像设备及成像系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050239453A1 (en) * 2000-11-22 2005-10-27 Vikberg Jari T Mobile communication network
CN101335984A (zh) * 2007-06-25 2008-12-31 华为技术有限公司 家用微型基站接入控制方法及系统
CN101345673A (zh) * 2008-05-21 2009-01-14 华为技术有限公司 位置合法性检测的方法、通信系统、接入设备及上层管理网元
CN101686164A (zh) * 2008-09-24 2010-03-31 华为技术有限公司 无线接入设备的定位方法和位置验证方法及无线接入设备
CN102711083A (zh) * 2008-05-21 2012-10-03 华为技术有限公司 位置合法性检测的方法、通信系统、接入设备及上层管理网元

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050239453A1 (en) * 2000-11-22 2005-10-27 Vikberg Jari T Mobile communication network
CN101335984A (zh) * 2007-06-25 2008-12-31 华为技术有限公司 家用微型基站接入控制方法及系统
CN101345673A (zh) * 2008-05-21 2009-01-14 华为技术有限公司 位置合法性检测的方法、通信系统、接入设备及上层管理网元
CN102711083A (zh) * 2008-05-21 2012-10-03 华为技术有限公司 位置合法性检测的方法、通信系统、接入设备及上层管理网元
CN101686164A (zh) * 2008-09-24 2010-03-31 华为技术有限公司 无线接入设备的定位方法和位置验证方法及无线接入设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241759A (zh) * 2017-06-28 2017-10-10 上海斐讯数据通信技术有限公司 一种监控无线接入设备位置的方法及系统
CN108055422A (zh) * 2017-12-20 2018-05-18 珠海奔图电子有限公司 成像方法、成像设备及成像系统
CN108055422B (zh) * 2017-12-20 2019-12-24 珠海奔图电子有限公司 成像方法、成像设备及成像系统

Also Published As

Publication number Publication date
CN104703121B (zh) 2018-07-20

Similar Documents

Publication Publication Date Title
CN111865598B (zh) 网络功能服务的身份校验方法及相关装置
CN106851632B (zh) 一种智能设备接入无线局域网的方法及装置
CN105188055A (zh) 无线网络接入方法、无线接入点以及服务器
CN104519020A (zh) 管理无线网络登录密码分享功能的方法、服务器及系统
CN103746983A (zh) 一种接入认证方法及认证服务器
CN105072112A (zh) 一种身份认证方法及装置
CN104767715A (zh) 网络接入控制方法和设备
CN102427583B (zh) 无线局域网接入认证的方法及装置
CN105516163A (zh) 一种登录方法及终端设备及通信系统
CN103517377A (zh) 无线网络访问方法、Wifi接入点及终端
US10820265B2 (en) IoT device connectivity provisioning
CN104125567A (zh) 家庭基站接入网络侧的鉴权方法、装置及家庭基站
CN106535089A (zh) 机器对机器虚拟私有网络
CN103905514A (zh) 服务器、终端设备以及网络数据存取权限管理方法
CN110266674B (zh) 一种内网访问方法及相关装置
CN105704154B (zh) 一种基于RESTful的服务处理方法、装置及系统
CN101600188B (zh) 一种基于漫游的认证方法及装置
CN107113615B (zh) 一种对接入点ap的认证方法、系统及相关设备
CN105049546A (zh) 一种dhcp服务器为客户端分配ip地址的方法及装置
CN104703121A (zh) 控制设备访问的方法、系统及网络侧设备
CN113810899A (zh) eSIM设备配置系统、方法、装置及存储介质
CN104469772A (zh) 一种网点设备认证方法、装置及认证系统
JP2022525370A (ja) Sm‐srプラットフォームを介してセキュアエレメントのオペレーティングシステムに透過的にパッチを適用する方法
CN101562526B (zh) 数据交互的方法、系统及设备
CN106454826A (zh) 一种ap接入ac的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant