CN104869117A - 一种安全认证方法及装置 - Google Patents
一种安全认证方法及装置 Download PDFInfo
- Publication number
- CN104869117A CN104869117A CN201510246036.2A CN201510246036A CN104869117A CN 104869117 A CN104869117 A CN 104869117A CN 201510246036 A CN201510246036 A CN 201510246036A CN 104869117 A CN104869117 A CN 104869117A
- Authority
- CN
- China
- Prior art keywords
- client
- timestamp
- certification
- client device
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种安全认证方法及装置,该方法包括:接收客户端设备发送的携带客户端设备的MAC地址和第一客户时间戳的第一客户认证请求,第一客户时间戳为客户端设备发送第一客户认证请求时的设备时间戳;记录接收第一客户认证请求的第一服务器时间戳;判断是否存在MAC地址与客户端设备的MAC地址相同的认证表项;当存在时,根据第一客户时间戳和认证表项中记录的上一次通过认证时接收的客户时间戳以及第一服务器时间戳和认证表项中记录的上一次通过认证时的服务器时间戳来进行认证。本申请简化了认证流程,提高了网络安全性。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种安全认证方法及装置。
背景技术
随着网络应用的越来越广泛,网络安全变得更加重要。目前最常见的安全威胁来自于网络资源的非法使用,针对该问题的解决方法是在客户端设备接入网络时,通过用户名、密码或者动态口令等方式对客户身份进行认证。但该认证方式要求客户端设备每次启动时输入用户名、密码或动态口令,对于一些安全性要求不高的系统,该认证方式显得过于繁琐。
现有技术方案提出一种基于MAC(Media Access Control,介质访问控制)的安全认证方式,即采用客户端设备的MAC地址作为客户端设备的身份标识。但该认证方式仍然存在漏洞,即当合法客户端设备下线时,非法客户端设备可以修改、假冒合法客户端设备的MAC地址,从而接入网络使用合法客户端设备的网络资源,因此,现有技术方案仍然存在网络安全性不高的问题。
发明内容
有鉴于此,本申请提供一种安全认证方法及装置。
具体地,本申请是通过如下技术方案实现的:
本申请提供一种安全认证方法,应用于认证服务器上,该方法包括:
接收客户端设备发送的第一客户认证请求,所述第一客户认证请求中携带所述客户端设备的MAC地址和第一客户时间戳,所述第一客户时间戳为所述客户端设备发送所述第一客户认证请求时的设备时间戳;
记录接收所述第一客户认证请求的第一服务器时间戳;
判断本地是否存在MAC地址与所述客户端设备的MAC地址相同的认证表项,所述认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系;
当本地存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,
根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证。
本申请还提供一种安全认证方法,应用于客户端设备上,该方法包括:
在所述客户端设备上线时,将所述客户端设备的MAC地址和第一客户时间戳添加到第一客户认证请求中,所述第一客户时间戳为所述客户端设备当前的设备时间戳;
向认证服务器发送所述第一客户认证请求,以使所述认证服务器根据所述MAC地址和所述第一客户时间戳对所述客户端设备进行认证。
本申请还提供一种安全认证装置,应用于认证服务器上,该装置包括:
接收单元,用于接收客户端设备发送的第一客户认证请求,所述第一客户认证请求中携带所述客户端设备的MAC地址和第一客户时间戳,所述第一客户时间戳为所述客户端设备发送所述第一客户认证请求时的设备时间戳;
记录单元,用于记录接收所述第一客户认证请求的第一服务器时间戳;
判断单元,用于判断本地是否存在MAC地址与所述客户端设备的MAC地址相同的认证表项,所述认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系;
认证单元,用于当本地存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证。
本申请还提供一种安全认证装置,应用于客户端设备上,该装置包括:
添加单元,用于在所述客户端设备上线时,将所述客户端设备的MAC地址和第一客户时间戳添加到第一客户认证请求中,所述第一客户时间戳为所述客户端设备当前的设备时间戳;
发送单元,用于向认证服务器发送所述第一客户认证请求,以使所述认证服务器根据所述MAC地址和所述第一客户时间戳对所述客户端设备进行认证。
由以上描述可以看出,本申请通过结合MAC地址和时间戳信息对客户设备进行认证,简化了认证流程,同时,提高了网络安全性。
附图说明
图1是本申请一示例性实施例示出的认证系统示意图;
图2是本申请一示例性实施例示出的一种安全认证方法流程图;
图3是本申请另一示例性实施例示出的一种安全认证方法流程图;
图4是本申请一示例性实施例示出的一种安全认证装置的结构示意图;
图5是本申请另一示例性实施例示出的一种安全认证装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1所示为认证系统示意图。其中,PC1和PC2为用户上网所使用的客户端设备,GW为认证网关,Server为认证服务器。用户在使用客户端设备上线时,需手动输入身份信息,例如,用户名、密码或动态口令,以向认证服务器进行认证,只有通过认证的客户端设备才可以访问外网。
但是,每次上线都手动输入身份信息对于一些安全性要求不高的系统显得过于繁琐,现有技术方案采用MAC地址作为客户端设备的身份标识,利用MAC地址的唯一性,减少输入身份信息的次数。但是,该技术方案仍然存在安全漏洞,当合法客户端设备下线后,其它客户端设备可以修改、假冒合法客户端设备的MAC地址通过认证,侵占合法客户端设备的网络资源。
针对上述问题,本申请实施例提出一种安全认证方法,该方法在客户端设备发送的客户认证请求中携带MAC地址和时间戳信息,认证服务器根据接收到的MAC地址和时间戳信息结合上一次客户端设备通过认证时的时间戳信息对客户端设备进行认证。
参见图2,为本申请安全认证方法的一个实施例流程图,该实施例从认证服务器侧对认证过程进行描述。
步骤201,接收客户端设备发送的第一客户认证请求,所述第一客户认证请求中携带所述客户端设备的MAC地址和第一客户时间戳,所述第一客户时间戳为所述客户端设备发送所述第一客户认证请求时的设备时间戳。
客户端设备上线时会主动发送认证请求,以下将该认证请求称为第一客户认证请求。认证服务器接收到客户端设备发送的第一客户认证请求后,从该第一客户认证请求中获取客户端设备的MAC地址和第一客户时间戳,该第一客户时间戳是客户端设备发送第一客户认证请求时在该第一客户认证请求中添加的客户端设备的设备时间戳。
步骤202,记录接收所述第一客户认证请求的第一服务器时间戳。
认证服务器除了可以通过步骤201从第一客户认证请求中获取客户端设备的MAC地址和第一客户时间戳,还记录接收到该第一客户认证请求时的服务器时间,以下将该服务器时间称为第一服务器时间戳。
步骤203,判断本地是否存在MAC地址与所述客户端设备的MAC地址相同的认证表项,所述认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系。
本步骤中,认证服务器查询本地维护的认证表项,判断是否存在MAC地址与获取的客户端设备的MAC地址相同的认证表项,该认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系。根据判断结果执行后续处理。
步骤204,当本地存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证。
当本地存在MAC地址与客户端设备的MAC地址相同的认证表项时,说明该客户端设备曾认证成功过,因此,可直接从认证表项中获取该客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳。
认证服务器根据第一客户时间戳和上一次通过认证时接收的客户时间戳以及第一服务器时间戳和上一次通过认证时的服务器时间戳对客户端设备进行认证,具体可通过以下两种方式进行认证。
方式一,判断从第一客户认证请求中获取的第一客户时间戳和客户端设备上一次通过认证时认证服务器接收的客户时间戳的差值是否与第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等,根据判断结果确认客户端设备是否通过认证。具体为,当第一客户时间戳和上一次通过认证时认证服务器接收的客户时间戳的差值与第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等时,确认该客户端设备通过认证;当第一客户时间戳和上一次通过认证时认证服务器接收的客户时间戳的差值与第一服务器时间戳和上一次通过认证时的服务器时间戳的差值不相等时,确认该客户端设备认证失败。
方式二,判断从第一客户认证请求中获取的第一客户时间戳和客户端设备上一次通过认证时认证服务器接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和是否与所述第一服务器时间戳相等,根据判断结果确认客户端设备是否通过认证。具体为,当第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与第一服务器时间戳相等时,确认客户端设备通过认证;当第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与第一服务器时间戳不相等时,确认该客户端设备认证失败。
在通过方式一或方式二对客户端设备进行认证后,根据认证结果分以下两种情况进行处理。
当客户端设备通过认证时,根据第一客户时间戳和第一服务器时间戳刷新客户端设备的MAC地址对应的认证表项,以作为客户端设备下一次认证时的判断依据。
当客户端设备认证失败时,认证服务器可以向客户端设备发送身份认证通知,以使客户端设备输入身份信息进行认证,避免由于客户端设备自身时间调整而导致的认证失败。
客户端设备将输入的身份信息携带在认证请求中发送给认证服务器,以下将携带客户端设备身份信息的认证请求称为第二客户认证请求。在该第二客户认证请求中还携带第二客户时间戳,该第二客户时间戳为客户端设备发送第二客户认证请求时的设备时间戳。
认证服务器接收到客户端设备根据身份认证通知回应的第二客户认证请求后,从该第二客户认证请求中获取客户端设备的身份信息以及第二客户时间戳,同时,记录接收第二客户认证请求时的服务器时间,以下将该服务器时间称为第二服务器时间戳。
认证服务器根据获取的身份信息对客户端设备进行认证,当客户端设备通过身份认证时,根据第二客户时间戳和第二服务器时间戳刷新该客户端设备的MAC地址对应的认证表项,以简化该客户端设备再次上线时的认证流程,此时的第二客户时间戳和第二服务器时间戳,即分别为该客户端设备再次上线时的上一次通过认证时的服务器时间戳和接收的客户时间戳。
上述处理过程为本地存在MAC地址与客户端设备的MAC地址相同的认证表项时的处理过程,当本地不存在MAC地址与客户端设备的MAC地址相同的认证表项时,说明该客户端设备未进行过认证或始终未通过认证,则认证服务器可采取与前述身份认证相同的处理流程。
具体为,认证服务器向客户端设备发送身份认证通知。接收客户端设备根据身份认证通知回应的第二客户认证请求,该第二客户认证请求中携带客户端设备的身份信息以及第二客户时间戳,该第二客户时间戳为客户端设备发送第二客户认证请求时的设备时间戳。记录接收第二客户认证请求时的第二服务器时间戳。在通过身份信息确定客户端设备通过认证时,生成包含客户端设备的MAC地址、第二客户时间戳以及第二服务器时间戳对应关系的认证表项,以简化该客户端设备再次上线时的认证流程,此时的第二客户时间戳和第二服务器时间戳,即分别为该客户端设备再次上线时的上一次通过认证时的服务器时间戳和接收的客户时间戳。具体可参见前述身份认证过程的描述,在此不再赘述。
参见图3,为本申请安全认证方法的另一个实施例流程图,该实施例从客户端设备侧对认证过程进行描述。
步骤301,在所述客户端设备上线时,将所述客户端设备的MAC地址和第一客户时间戳添加到第一客户认证请求中,所述第一客户时间戳为所述客户端设备当前的设备时间戳。
步骤302,向认证服务器发送所述第一客户认证请求,以使所述认证服务器根据所述MAC地址和所述第一客户时间戳对所述客户端设备进行认证。
具体可参见前述认证服务器侧的描述,在此不再赘述。
本申请实施例在MAC地址的基础上结合客户端设备和认证服务器的时间戳信息对客户端设备进行认证,主要是利用了不同客户端设备的时间戳不可能完全一致这一特点,当非法客户端设备假冒合法客户端设备的MAC地址信息发起认证请求时,根据非法客户端设备的时间戳和认证服务器中记录的合法客户端设备上一次通过认证时的时间戳不可能得出前述方式一或方式二中的等式关系,从而使得非法客户端设备无法通过认证。可见,通过本申请可以进一步提高客户端设备接入认证的安全性。
现仍以图1为例,详细介绍认证过程。
假设,PC1为合法客户端设备,PC2为非法客户端设备。Server中已记录PC1上一次通过认证时的认证表项,参见表1。
| MAC地址 | 客户时间戳 | 服务器时间戳 |
| 11-22-33-44-55-66 | 2015/04/07 8:30:00 | 2015/04/07 8:30:10 |
表1
PC1再次上线时,将PC1的MAC地址(11-22-33-44-55-66)和当前设备时间戳(假设为2015/04/07 13:30:00)添加到第一客户认证请求中发送给Server。Server接收到该第一客户认证请求后,记录接收该第一客户认证请求时的服务器时间戳(假设为2015/04/07 13:30:10),并从该第一客户认证请求中获取客户端设备的MAC地址和时间戳。根据获取的MAC地址查询表1,找到与该MAC地址匹配的认证表项,获取该认证表项中的客户时间戳(2015/04/07 8:30:00)和服务器时间戳(2015/04/07 8:30:10)。
假设采用前述方式一确认客户端设备的合法性,则计算第一客户认证请求中的客户时间戳(2015/04/07 13:30:00)与认证表项中的客户时间戳(2015/04/07 8:30:00)的差值为05:00:00;计算认证服务器此次接收第一客户认证请求的服务器时间戳(2015/04/07 13:30:10)与认证表项中的服务器时间戳(2015/04/07 8:30:10)的差值为05:00:00。时间差值相等,因此,确认此次上线的客户端设备是合法客户端设备,允许该客户端设备访问外网。同时,根据此次认证通过时的服务器时间戳(2015/04/07 13:30:10)和接收的客户时间戳(2015/04/07 13:30:00)更新表1中的认证表项。
如果上述认证过程不是PC1发起,而是PC2假冒PC1的MAC地址(11-22-33-44-55-66)向Server发起认证,那么,在PC2发送的第一客户认证请求中会携带MAC地址(11-22-33-44-55-66)和PC2的设备时间戳。假设,以PC1的时钟为参考时,PC2发送第一客户认证请求时的设备时间戳应为2015/04/07 13:30:00,但不同客户端设备的时钟不可能完全相同,以PC2自身的时钟为参考时,PC2发送第一客户认证请求时的设备时间戳为2015/04/07 13:30:01。当然,客户端设备的时间戳信息可以精度更高,例如,微秒级或纳秒级,本实施例中只是示例性说明,并不作任何限制。
认证服务器接收PC2发送的第一客户认证请求后,记录接收该第一客户认证请求时的服务器时间戳(2015/04/07 13:30:10),并从该第一客户认证请求中获取客户端设备的MAC地址和时间戳。根据获取的MAC地址查询表1,找到与该MAC地址匹配的认证表项,获取该认证表项中的客户时间戳(2015/04/07 8:30:00)和服务器时间戳(2015/04/07 8:30:10)。计算第一客户认证请求中的客户时间戳(2015/04/07 13:30:01)与认证表项中的客户时间戳(2015/04/07 8:30:00)的差值为05:00:01;计算认证服务器此次接收第一客户认证请求的服务器时间戳(2015/04/07 13:30:10)与认证表项中的服务器时间戳(2015/04/07 8:30:10)的差值为05:00:00。时间差值不相等,因此,初步确认此次为非法客户端设备假冒PC1上线,禁止该非法客户端设备访问外网。
当然,既使是PC1发起的认证也存在认证不通过的可能,例如,在两次认证之间PC1的时钟作过调整,此时,PC1也无法通过上述认证过程。因此,认证服务器在初步确定为非法客户端设备上线时,可以向该客户端设备发送身份认证通知,通知客户端设备输入用户名、密码或动态口令等身份信息进行认证。如果客户端设备可以通过认证,则排除该客户端设备的非法嫌疑,允许其访问网络,同时,根据此次身份认证通过时的客户端设备和认证服务器的时间戳更新认证服务器中的认证表项,以便后续以调整后的时钟为参考对客户端设备进行认证;如果该客户端设备未通过认证,则确认该客户端设备是非法客户端设备,禁止其访问网络。
由上述描述可以看出,本申请在MAC地址基础上结合时间戳信息对客户设备进行认证,简化了认证流程,同时,进一步提高了网络安全性。
与前述安全认证方法的实施例相对应,本申请还提供了安全认证装置的实施例。
请参考图4,为本申请一个实施例中的安全认证装置的结构示意图。该安全认证装置包括接收单元401、记录单元402、判断单元403以及认证单元404,其中:
接收单元401,用于接收客户端设备发送的第一客户认证请求,所述第一客户认证请求中携带所述客户端设备的MAC地址和第一客户时间戳,所述第一客户时间戳为所述客户端设备发送所述第一客户认证请求时的设备时间戳;
记录单元402,用于记录接收所述第一客户认证请求的第一服务器时间戳;
判断单元403,用于判断本地是否存在MAC地址与所述客户端设备的MAC地址相同的认证表项,所述认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系;
认证单元404,用于当本地存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证。
进一步地,
所述认证单元404,具体用于判断所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值是否与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等;当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等时,确认所述客户端设备通过认证;或者,判断所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和是否与所述第一服务器时间戳相等;当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与所述第一服务器时间戳相等时,确认所述客户端设备通过认证;当所述客户端设备通过认证时,根据所述第一客户时间戳和所述第一服务器时间戳刷新所述客户端设备的MAC地址对应的认证表项。
进一步地,
所述认证单元404,还用于当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值不相等时,或者,当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与所述第一服务器时间戳不相等时,向所述客户端设备发送身份认证通知;接收所述客户端设备根据所述身份认证通知回应的第二客户认证请求,所述第二客户认证请求中携带所述客户端设备的身份信息以及第二客户时间戳,所述第二客户时间戳为所述客户端设备发送所述第二客户认证请求时的设备时间戳;记录接收所述第二客户认证请求时的第二服务器时间戳;在通过所述身份信息确定所述客户端设备通过认证时,根据所述第二客户时间戳和所述第二服务器时间戳刷新所述客户端设备的MAC地址对应的认证表项。
进一步地,
所述认证单元404,还用于当本地不存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,向所述客户端设备发送身份认证通知;接收所述客户端设备根据所述身份认证通知回应的第二客户认证请求,所述第二客户认证请求中携带所述客户端设备的身份信息以及第二客户时间戳,所述第二客户时间戳为所述客户端设备发送所述第二客户认证请求之前的设备时间戳;记录接收所述第二客户认证请求时的第二服务器时间戳;在通过所述身份信息确定所述客户端设备通过认证时,生成包含所述客户端设备的MAC地址、所述第二客户时间戳以及所述第二服务器时间戳对应关系的认证表项。
请参考图5,为本申请另一个实施例中的安全认证装置的结构示意图。该安全认证装置包括添加单元501和发送单元502,其中:
添加单元501,用于在所述客户端设备上线时,将所述客户端设备的MAC地址和第一客户时间戳添加到第一客户认证请求中,所述第一客户时间戳为所述客户端设备当前的设备时间戳;
发送单元502,用于向认证服务器发送所述第一客户认证请求,以使所述认证服务器根据所述MAC地址和所述第一客户时间戳对所述客户端设备进行认证。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种安全认证方法,应用于认证服务器上,其特征在于,该方法包括:
接收客户端设备发送的第一客户认证请求,所述第一客户认证请求中携带所述客户端设备的MAC地址和第一客户时间戳,所述第一客户时间戳为所述客户端设备发送所述第一客户认证请求时的设备时间戳;
记录接收所述第一客户认证请求的第一服务器时间戳;
判断本地是否存在MAC地址与所述客户端设备的MAC地址相同的认证表项,所述认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系;
当本地存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证,包括:
判断所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值是否与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等;
当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等时,确认所述客户端设备通过认证;
或者,
判断所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和是否与所述第一服务器时间戳相等;
当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与所述第一服务器时间戳相等时,确认所述客户端设备通过认证;
当所述客户端设备通过认证时,根据所述第一客户时间戳和所述第一服务器时间戳刷新所述客户端设备的MAC地址对应的认证表项。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值不相等时,或者,当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与所述第一服务器时间戳不相等时,向所述客户端设备发送身份认证通知;
接收所述客户端设备根据所述身份认证通知回应的第二客户认证请求,所述第二客户认证请求中携带所述客户端设备的身份信息以及第二客户时间戳,所述第二客户时间戳为所述客户端设备发送所述第二客户认证请求时的设备时间戳;
记录接收所述第二客户认证请求时的第二服务器时间戳;
在通过所述身份信息确定所述客户端设备通过认证时,根据所述第二客户时间戳和所述第二服务器时间戳刷新所述客户端设备的MAC地址对应的认证表项。
4.如权利要求1至3任一所述的方法,其特征在于,所述方法还包括:
当本地不存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,向所述客户端设备发送身份认证通知;
接收所述客户端设备根据所述身份认证通知回应的第二客户认证请求,所述第二客户认证请求中携带所述客户端设备的身份信息以及第二客户时间戳,所述第二客户时间戳为所述客户端设备发送所述第二客户认证请求时的设备时间戳;
记录接收所述第二客户认证请求时的第二服务器时间戳;
在通过所述身份信息确定所述客户端设备通过认证时,生成包含所述客户端设备的MAC地址、所述第二客户时间戳以及所述第二服务器时间戳对应关系的认证表项。
5.一种安全认证方法,应用于客户端设备上,其特征在于,该方法包括:
在所述客户端设备上线时,将所述客户端设备的MAC地址和第一客户时间戳添加到第一客户认证请求中,所述第一客户时间戳为所述客户端设备当前的设备时间戳;
向认证服务器发送所述第一客户认证请求,以使所述认证服务器根据所述MAC地址和所述第一客户时间戳对所述客户端设备进行认证。
6.一种安全认证装置,应用于认证服务器上,其特征在于,该装置包括:
接收单元,用于接收客户端设备发送的第一客户认证请求,所述第一客户认证请求中携带所述客户端设备的MAC地址和第一客户时间戳,所述第一客户时间戳为所述客户端设备发送所述第一客户认证请求时的设备时间戳;
记录单元,用于记录接收所述第一客户认证请求的第一服务器时间戳;
判断单元,用于判断本地是否存在MAC地址与所述客户端设备的MAC地址相同的认证表项,所述认证表项中记录客户端设备的MAC地址以及客户端设备上一次通过认证时的服务器时间戳和接收的客户时间戳的对应关系;
认证单元,用于当本地存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,根据所述第一客户时间戳和上一次通过认证时接收的客户时间戳以及所述第一服务器时间戳和上一次通过认证时的服务器时间戳来进行认证。
7.如权利要求6所述的装置,其特征在于:
所述认证单元,具体用于判断所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值是否与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等;当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值相等时,确认所述客户端设备通过认证;或者,判断所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和是否与所述第一服务器时间戳相等;当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与所述第一服务器时间戳相等时,确认所述客户端设备通过认证;当所述客户端设备通过认证时,根据所述第一客户时间戳和所述第一服务器时间戳刷新所述客户端设备的MAC地址对应的认证表项。
8.如权利要求7所述的装置,其特征在于:
所述认证单元,还用于当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值与所述第一服务器时间戳和上一次通过认证时的服务器时间戳的差值不相等时,或者,当所述第一客户时间戳和上一次通过认证时接收的客户时间戳的差值加上一次通过认证时的服务器时间戳的总和与所述第一服务器时间戳不相等时,向所述客户端设备发送身份认证通知;接收所述客户端设备根据所述身份认证通知回应的第二客户认证请求,所述第二客户认证请求中携带所述客户端设备的身份信息以及第二客户时间戳,所述第二客户时间戳为所述客户端设备发送所述第二客户认证请求时的设备时间戳;记录接收所述第二客户认证请求时的第二服务器时间戳;在通过所述身份信息确定所述客户端设备通过认证时,根据所述第二客户时间戳和所述第二服务器时间戳刷新所述客户端设备的MAC地址对应的认证表项。
9.如权利要求6至8任一所述的装置,其特征在于:
所述认证单元,还用于当本地不存在MAC地址与所述客户端设备的MAC地址相同的认证表项时,向所述客户端设备发送身份认证通知;接收所述客户端设备根据所述身份认证通知回应的第二客户认证请求,所述第二客户认证请求中携带所述客户端设备的身份信息以及第二客户时间戳,所述第二客户时间戳为所述客户端设备发送所述第二客户认证请求之前的设备时间戳;记录接收所述第二客户认证请求时的第二服务器时间戳;在通过所述身份信息确定所述客户端设备通过认证时,生成包含所述客户端设备的MAC地址、所述第二客户时间戳以及所述第二服务器时间戳对应关系的认证表项。
10.一种安全认证装置,应用于客户端设备上,其特征在于,该装置包括:
添加单元,用于在所述客户端设备上线时,将所述客户端设备的MAC地址和第一客户时间戳添加到第一客户认证请求中,所述第一客户时间戳为所述客户端设备当前的设备时间戳;
发送单元,用于向认证服务器发送所述第一客户认证请求,以使所述认证服务器根据所述MAC地址和所述第一客户时间戳对所述客户端设备进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510246036.2A CN104869117B (zh) | 2015-05-14 | 2015-05-14 | 一种安全认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510246036.2A CN104869117B (zh) | 2015-05-14 | 2015-05-14 | 一种安全认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104869117A true CN104869117A (zh) | 2015-08-26 |
| CN104869117B CN104869117B (zh) | 2018-08-24 |
Family
ID=53914640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510246036.2A Active CN104869117B (zh) | 2015-05-14 | 2015-05-14 | 一种安全认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104869117B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357694A (zh) * | 2016-11-10 | 2017-01-25 | 天脉聚源(北京)传媒科技有限公司 | 一种访问请求处理方法及装置 |
| CN109347841A (zh) * | 2018-10-26 | 2019-02-15 | 深圳市元征科技股份有限公司 | Mac地址认证方法、装置、终端、服务器及存储介质 |
| WO2020206899A1 (zh) * | 2019-04-12 | 2020-10-15 | 平安科技(深圳)有限公司 | 基于时间戳的身份验证方法、装置、设备及存储介质 |
| US11349867B2 (en) | 2018-12-31 | 2022-05-31 | Forescout Technologies, Inc. | Rogue device detection including mac address spoofing detection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040008844A1 (en) * | 2002-07-09 | 2004-01-15 | David Lide | Changing a codec or MAC size without affecting the encryption key in packetcable communication |
| CN101697542A (zh) * | 2009-10-19 | 2010-04-21 | 中兴通讯股份有限公司 | 认证方法、软交换机和终端 |
| CN104333854A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | WiFi 计费方法和系统 |
| CN104394180A (zh) * | 2014-12-18 | 2015-03-04 | 电子科技大学 | 一种无线终端认证方法、无线路由器及系统 |
| CN104468607A (zh) * | 2014-12-24 | 2015-03-25 | 四川金网通电子科技有限公司 | 多服务器认证方法 |
-
2015
- 2015-05-14 CN CN201510246036.2A patent/CN104869117B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040008844A1 (en) * | 2002-07-09 | 2004-01-15 | David Lide | Changing a codec or MAC size without affecting the encryption key in packetcable communication |
| CN101697542A (zh) * | 2009-10-19 | 2010-04-21 | 中兴通讯股份有限公司 | 认证方法、软交换机和终端 |
| CN104333854A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | WiFi 计费方法和系统 |
| CN104394180A (zh) * | 2014-12-18 | 2015-03-04 | 电子科技大学 | 一种无线终端认证方法、无线路由器及系统 |
| CN104468607A (zh) * | 2014-12-24 | 2015-03-25 | 四川金网通电子科技有限公司 | 多服务器认证方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357694A (zh) * | 2016-11-10 | 2017-01-25 | 天脉聚源(北京)传媒科技有限公司 | 一种访问请求处理方法及装置 |
| CN109347841A (zh) * | 2018-10-26 | 2019-02-15 | 深圳市元征科技股份有限公司 | Mac地址认证方法、装置、终端、服务器及存储介质 |
| US11349867B2 (en) | 2018-12-31 | 2022-05-31 | Forescout Technologies, Inc. | Rogue device detection including mac address spoofing detection |
| US12028371B2 (en) | 2018-12-31 | 2024-07-02 | Forescout Technologies, Inc. | Rogue device detection including MAC address spoofing detection |
| WO2020206899A1 (zh) * | 2019-04-12 | 2020-10-15 | 平安科技(深圳)有限公司 | 基于时间戳的身份验证方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104869117B (zh) | 2018-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6651096B1 (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| US11281762B2 (en) | Method and apparatus for facilitating the login of an account | |
| US10341093B2 (en) | Method, apparatus and system for device identification | |
| US9674699B2 (en) | System and methods for secure communication in mobile devices | |
| EP2705642B1 (en) | System and method for providing access credentials | |
| EP3005648B1 (en) | Terminal identification method, and method, system and apparatus of registering machine identification code | |
| EP3316544B1 (en) | Token generation and authentication method, and authentication server | |
| JP2018509947A5 (zh) | ||
| US8527762B2 (en) | Method for realizing an authentication center and an authentication system thereof | |
| CN108023881B (zh) | 应用程序的登录方法、装置、介质及电子设备 | |
| CN104378379A (zh) | 一种数字内容加密传输方法、设备和系统 | |
| CN104869117A (zh) | 一种安全认证方法及装置 | |
| TW201433133A (zh) | 認證與授權的方法及系統 | |
| CN105337967B (zh) | 实现用户登录目标服务器的方法、系统和中心服务器 | |
| CN106209727B (zh) | 一种会话访问方法和装置 | |
| US20160191482A1 (en) | System and method for providing authenticated communications from a remote device to a local device | |
| CN103812651A (zh) | 密码验证方法、装置及系统 | |
| US10205757B2 (en) | Communications methods, apparatus and systems for correlating registrations, service requests and calls | |
| CN102036241A (zh) | 一种认证方法和系统 | |
| CN109218334A (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| JP2016515240A (ja) | 普遍的な持続性クラウドサービスを提供するシステム、方法及びコンピュータプログラムプロダクト | |
| CN102932219A (zh) | 动态组网设备注册与注销的方法 | |
| CN105357185B (zh) | 共享帐号登录验证方法、装置及系统 | |
| CN104753755A (zh) | 系统接入方法、装置、应用客户端和im后台系统 | |
| WO2021133152A1 (en) | A method for authenticating and synchronizing offline data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |