CN104982004B - 管理网络安全的方法及接入设备 - Google Patents
管理网络安全的方法及接入设备 Download PDFInfo
- Publication number
- CN104982004B CN104982004B CN201380002558.7A CN201380002558A CN104982004B CN 104982004 B CN104982004 B CN 104982004B CN 201380002558 A CN201380002558 A CN 201380002558A CN 104982004 B CN104982004 B CN 104982004B
- Authority
- CN
- China
- Prior art keywords
- user equipment
- message
- access device
- period
- network side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种管理网络安全的方法及接入设备,该方法包括:在设定的时期内,接入设备对控制报文进行侦听;如果侦听到的控制报文表征对应的用户设备处于上线过程,则转发用户设备的数据报文,在用户设备成功上线后,利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息;经过设定的时期后,接入设备利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。基于上述技术方案,本发明实施例在保证了网络安全的同时,不会影响用户体验。同时,降低了实际应用中开启网络安全功能的难度。
Description
技术领域
本发明实施例涉及通信领域,并且更具体地,涉及一种管理网络安全的方法及接入设备。
背景技术
随着网络环境复杂程度的加深,针对合法用户的各种网络攻击也随之产生。较为常见的是对以太网转发要素中的IP(Internet Protocol,互联网协议)地址和MAC(MediaAccess Control,媒体接入控制)地址进行仿冒,破坏网络设备基于IP地址和MAC地址的转发表项,进而影响合法用户上网。这类攻击被称之为MAC欺骗和IP欺骗。
例如,用户User A为合法用户,使用MAC1访问网络,上一级网络设备将学习到MAC1对应于User A所在的端口。若此时存在一个非法用户User B,同样使用MAC1作为源MAC访问网络,则上一级网络设备中的MAC1将漂移至User B所在的端口。这样,原本发送给User A的数据会发送给User B。或者,User A使用IP1访问网络,上一级网络设备通过ARP(AddressResolution Protocol,地址解析协议)报文学习到User A的MAC地址,并生成ARP表项。在进行下行转发时,网络设备基于学习到的ARP表项,根据IP1查找User A的MAC地址和所在端口,然后将报文转发至User A。若此时存在非法用户User B,使用与User A相同的IP地址IP1访问网络,发送ARP报文干扰上一级网络设备的ARP学习,导致原本要发送给User A的报文将转发至User B。从而,合法用户User A的业务将受到影响。
由于最靠近用户侧的接入设备一般无法判断用户的合法性,目前通常采用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)和PPPoE(Point-to-PointProtocol over Ethernet,以太网点到点协议)对用户的MAC进行动态绑定,要求用户访问网络时携带的MAC地址必须是通过DHCP过程获取到合法IP或通过PPPoE完成拨号的MAC地址,否则禁止该用户访问网络。
然而,当网络设备已经处于运行状态,大量合法用户已经完成了DHCP获取IP地址或PPPoE拨号过程,且在访问网络。若此时将防MAC欺骗或防IP欺骗功能开启,网络设备无法通过DHCP和PPPoE过程获取到用户设备的合法IP和MAC地址,将会中断所有用户设备的业务,直到用户设备重新发起DHCP过程和PPPoE拨号过程。因此,在实际应用中难以开启网络安全功能,严重影响了用户体验。
发明内容
本发明实施例提供了一种管理网络安全的方法及接入设备,能够在保证网络安全的同时,不影响用户体验。
第一方面,本发明实施例提供了一种管理网络安全的接入设备,包括:包括侦听单元和控制单元,其中,在设定的时期内,侦听单元用于侦听控制报文;如果侦听到的控制报文表征对应的用户设备处于上线过程,控制单元用于,转发用户设备的数据报文,在用户设备成功上线后,利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息;经过设定的时期后,控制单元用于,利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
结合第一方面,在第一方面的第一种实现方式中,如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,控制单元具体用于,获取接入设备上接收来自对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征对应的用户设备成功上线的DHCP响应报文,从DHCP响应报文中获取对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。
结合第一方面及其上述实现方式,在第一方面的第二种实现方式中,设定的时期不小于用户设备的用户租期。
结合第一方面及其上述实现方式,在第一方面的第三种实现方式中,如果侦听到的报文表征用户设备通过以太网点对点PPPoE协议上线,控制单元具体用于,获取接入设备上接收来自用户设备的PPPoE请求报文的端口信息,在用户设备成功上线后,从PPPoE请求报文中获取用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。
结合第一方面及其上述实现方式,在第一方面的第四种实现方式中,设定的时期不小于用户设备进行重新拨号的时间间隔。
结合第一方面及其上述实现方式,在第一方面的第五种实现方式中,经过设定的时期后,控制单元还用于,丢弃未通过认证的报文。
结合第一方面及其上述实现方式,在第一方面的第六种实现方式中,控制单元还用于,根据配置命令开启网络安全功能。
第二方面,本发明实施例提供了一种管理网络安全的方法,包括:在设定的时期内,接入设备对控制报文进行侦听;如果侦听到的控制报文表征对应的用户设备处于上线过程,则转发用户设备的数据报文,在用户设备成功上线后,利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息;经过设定的时期后,接入设备利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
结合第二方面,在第一方面的第一种实现方式中,如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,接入设备获取接入设备上接收来自对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征对应的用户设备成功上线的DHCP响应报文,从DHCP响应报文中获取对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。
结合第二方面及其上述实现方式,在第一方面的第二种实现方式中,设定的时期不小于用户设备的用户租期。
结合第二方面及其上述实现方式,在第一方面的第三种实现方式中,如果侦听到的报文表征用户设备通过以太网点对点PPPoE协议上线,接入设备获取接入设备上接收来自用户设备的PPPoE请求报文的端口信息,在用户设备成功上线后,从PPPoE请求报文中获取用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。
结合第二方面及其上述实现方式,在第一方面的第四种实现方式中,设定的时期不小于用户设备进行重新拨号的时间间隔。
结合第二方面及其上述实现方式,在第一方面的第五种实现方式中,经过设定的时期后,该方法还包括:接入设备丢弃未通过认证的报文。
结合第二方面及其上述实现方式,在第一方面的第六种实现方式中,在接入设备对控制报文进行侦听之前,该方法还包括:接入设备根据配置命令开启网络安全功能。
基于上述技术方案,在设定的时期内,接入设备生成认证信息,但不禁止用户设备与网络侧设备之间进行报文传输。在设定的时期后,接入设备对发往网络侧的报文进行认证,将通过认证的报文转发到网络侧。本发明实施例在保证了网络安全的同时,不会影响用户体验。同时,降低了实际应用中开启网络安全功能的难度。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例可应用的通信系统的示意性结构图。
图2是本发明一个实施例的管理网络安全的方法的示意性流程图。
图3是本发明另一实施例的管理网络安全的方法的示意性流程图。
图4是本发明一个实施例的接入设备的示意性框图。
图5是本发明另一实施例的接入设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
图1是本发明实施例可应用的通信系统的示意性结构图。图1的通信系统中括用户设备(101a,101b)、接入设备102和网络服务器103。在该通信系统中,用户设备(101a,101b)连接到接入设备102,接入设备102通过网络连接到网络服务器103。本发明实施例对通信系统中用户设备、接入设备和网络服务器的数量不作限定。
接入设备为网络侧设备(例如,网络服务器)与本地交换机(连接到用户设备)之间的通信提供接口。例如,OLT(Optical Line Terminal,光线路终端)和DSLAM(DigitalSubscriber Line Access Multiplexer,数字用户线集中器)。网络服务器为用户设备提供网络服务,可以是支持DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)和/或PPPoE(Point-to-Point Protocol over Ethernet,以太网点对点协议)的网络服务器,例如,BRAS(Broadband Remote Access Server,宽带接入服务器)、DHCP服务器等。
在接入设备上需要对合法用户提供安全上的保障,现实中往往合法用户会受到非法用户个各种攻击。
例如,假设用户设备101a为合法用户,使用MAC1与网络侧设备(例如,网络服务器103)进行通信。接入设备102将学习到MAC1对应于用户设备101a所在的通信端口,以便于将欲发送给用户设备101a的网络侧数据转发到该通信端口。此时,若非法用户设备101b同样使用MAC1访问网络,接入设备102也会学习到MAC1对应于用户设备101b所在的通信端口。这样,接入设备102会将发送给用户设备101a的数据发送到用户设备101b所在的通信端口,影响了用户设备101a的正常业务。
这种情况下,接入设备可以开启网络安全功能,通过动态绑定用设备的IP地址或MAC地址,来防止非法用户设备仿冒合法用户设备进行通信。由于用户设备101a已经完成了DHCP获取合法IP的过程或PPPoE拨号过程,若此时接入设备102开启网络安全功能,会因为无法通过DHCP过程或PPPoE过程获取到用户设备的合法IP和MAC地址而中断用户设备101a的业务,也即禁止了用户设备101a与网络侧设备之间进行报文传输。只有通知用户设备101a重新发起DHCP获取合法IP的过程或者PPPoE拨号过程,才能恢复用户设备101a的正常业务。从而为开启网络安全功能带来了困难,同时影响了用户体验。
本发明实施例提供一种管理网络安全的方法机接入设备,能够平滑开启网络安全功能,在保证了网络安全的同时,不会影响用户体验。
图2是本发明一个实施例的管理网络安全的方法的示意性流程图。图2的方法200可以由接入设备执行,例如,图1所示的接入设备102。
201,在设定的时期内,接入设备对控制报文进行侦听。
202,如果侦听到的控制报文表征对应的用户设备处于上线过程,则转发用户设备的数据报文,在用户设备成功上线后,利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息。
203,经过设定的时期后,接入设备利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
基于上述技术方案,在设定的时期内,接入设备生成认证信息,但不禁止用户设备与网络侧设备之间进行报文传输。在设定的时期后,接入设备对发往网络侧的报文进行认证,将通过认证的报文转发到网络侧。本发明实施例在保证了网络安全的同时,不会影响用户体验。同时,降低了实际应用中开启网络安全功能的难度。
应理解,用户设备和位于网络侧的网络服务器之间交互的报文既可能有控制报文也可能有数据报文。本实施例在接入设备上设定一个过渡的时期,在这个设定的时期内,由接入设备对控制报文进行侦听,从控制报文中收集用户设备的认证信息,并对用户设备的数据报文进行转发。其中,对数据报文进行转发的过程可以是不区分是来自合法的用户设备还是非法的用户设备。
还应理解,在接入设备生成认证信息之后,还可以继续侦听用户设备与网络侧设备之间传输的控制报文,并维护该认证信息。例如,根据侦听到的控制报文重新创建、修改或者删除该认证信息。
可选地,作为一个实施例,如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,接入设备获取接入设备上接收来自对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征对应的用户设备成功上线的DHCP响应报文,从DHCP响应报文中获取对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。在这种情况下,DHCP请求报文可以是DHCP Request报文,DHCP响应报文可以是DHCP Ack报文。
可选地,作为另一实施例,设定的时期不小于用户设备的用户租期。
这样,在开启网络安全功能之后,不会因为设定的时期太短,导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文,从而不能生成该用户设备对应的认证信息。在经过设定的时期后,接入设备认定该用户设备为非法用户,禁止该用户设备与网络侧设备之间传输报文。因此,提高了接入设备管理网络安全的性能,同时提升了用户体验。
可选地,作为另一实施例,如果侦听到的报文表征用户设备通过以太网点对点PPPoE协议上线,接入设备获取接入设备上接收来自用户设备的PPPoE请求报文的端口信息,在用户设备成功上线后,从PPPoE请求报文中获取用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。在这种情况下,PPPoE请求报文可以是PADI报文或者PADR报文中的一种,表明用户设备成功上线的报文可以是PADS报文。
可选地,作为另一实施例,设定的时期不小于用户设备进行重新拨号的时间间隔。
这样,在开启网络安全功能之后,不会因为设定的时期太短,导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文,从而不能生成该用户设备对应的认证信息。在经过设定的时期后,接入设备认定该用户设备为非法用户,禁止该用户设备与网络侧设备之间传输报文。因此,提高了接入设备管理网络安全的性能,同时提升了用户体验。
可选地,作为另一实施例,经过设定的时期后,接入设备丢弃未通过认证的报文。
可选地,作为另一实施例,在接入设备对控制报文进行侦听之前,接入设备根据配置命令开启网络安全功能。
可选地,对于设定的时期的时长,如果侦听到控制报文表明所有的用户设备都是通过DHCP协议上线,则设定的时期可以是不小于所述用户设备的用户租期,用户租期可以是网络服务器上设定的一个固定值;如果侦听到的控制报文表明所有的用户都是通过PPPoE协议上线,则设定的时期可以是不小于所述用户设备进行重新拨号的时间间隔;如果侦听到的控制报文表明这2种协议都会使用,则设定的时期选择用户租期和重新拨号的时间间隔中较大的一个。
可选地,作为另一实施例,接入设备利用生成的认证信息对发往网络侧的数据报文进行认证时,可以将侦听到数据报文中携带的IP地址或MAC地址与侦听到数据报文的通信端口的对应关系,与认证信息中的对应关系表进行比较。如果与对应关系表一致,说明该用户设备为合法用户,该用户设备通过认证;如果与对应关系表不一致,说明该用户设备为非法用户,该用户设备认证失败。
可选地,作为另一实施例,在生成认证信息之后,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息。
这样,接入设备根据侦听到的控制报文,对认证信息进行维护,例如,修改或者删除该认证信息。这种情况下,在用户设备进行合法迁移时,接入设备能够保证该认证信息实时有效,不会错误地禁止或允许用户设备与网络侧设备之间传输报文,进一步提升了用户体验。
可选地,作为另一实施例,经过设定的时期后,在进行全局维护时,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止用户设备与网络侧设备之间进行报文传输;在停止全局维护时,接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备进行全局维护的过程中,暂停网络安全功能,不再禁止用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在全局维护期间接入设备正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止全局维护时,可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
可选地,作为另一实施例,经过设定的时期后,若进行虚拟局域网VLAN(VirtualLocal Area Network,虚拟局域网)维护,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止VLAN内的用户设备与网络侧设备之间进行报文传输;在停止VLAN维护时,接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备进行VLAN维护的过程中,暂停接入设备在该VLAN内的网络安全功能,不再禁止该VLAN内的用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在VLAN维护期间接入设备正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止VLAN维护时,可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
可选地,作为另一实施例,经过设定的时期后,在对用户设备对应的通信端口进行维护时,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止维护中的用户设备与网络侧设备之间进行报文传输;在停止维护用户设备对应的通信端口时,接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备对其中一个用户设备对应的端口进行维护时,暂停对该用户设备的网络安全功能,不再禁止该用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在维护期间接入设备正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止全局维护时,可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
下面将结合具体的例子详细描述本发明实施例。应注意,这些例子只是为了帮助本领域技术人员更好地理解本发明实施例,而非限制本发明实施例的范围。
图3是本发明另一实施例的管理网络安全的方法的示意性流程图。如图3所示,在接入设备开启网络安全功能后,接入设备可以按照以下步骤管理网络安全。
用户可以为接入设备设置一个过渡时段,在过渡时段内,接入设备侦听用户设备与网络侧设备之间传输的控制报文,并根据控制报文生成认证信息。另外,在生成认证信息后,接入设备可以继续侦听用户设备与网络侧设备之间传输的控制报文,并根据侦听到的控制报文对认证信息进行维护,例如,修改或删除认证信息。这样可以实时保证认证信息的有效性,进而可以提高管理效率。
301,接入设备侦听用户设备与网络侧设备之间传输的控制报文。例如,接入设备侦听用户设备DHCP获取合法IP地址过程中与网络侧设备交互的控制报文。或者,接入设备侦听用户设备PPPoE拨号过程中与网络侧设备之间传输的控制报文。
302,接入设备生成认证信息。接入设备根据步骤301中侦听到的控制报文生成认证信息,例如,从该控制报文中提取IP地址或者MAC地址,生成该IP地址或MAC地址与通信端口之间的对应关系表,将该对应关系表作为认证信息。
在过渡时段期满后,接入设备接收到用户设备向网络侧设备发送的控制报文或数据报文时,对用户设备进行认证,允许通过认证的用户设备与网络侧设备之间进行报文传输,禁止未通过认证的用户设备与网络侧设备之间进行报文传输。
303,用户设备向接入设备发送控制报文或数据报文。用户设备与网络侧设备进行通信时,先将报文发送至接入设备。
304,接入设备对用户设备进行认证。由于,过渡时段已经期满,接入设备接收到用户设备发送的控制报文或数据报文时,需要根据该控制报文或数据报文对该用户进行认证。若该控制报文或数据报文中携带的IP地址或MAC地址与通信端口的对应关系与认证信息中的对应关系一致,该用户设备通过认证,否则,该用户设备认证失败。
305,认证通过时,将在步骤303中从用户设备接收到的控制报文或数据报文转发到网络侧设备,该用户设备能够正常访问网络。
306,认证失败时,将在步骤303中从用户设备接收到的控制报文或数据报文丢弃,该用户设备不能访问网络。
基于上述技术方案,在开启网络安全功能之后的过渡时段内,接入设备生成认证信息,但不禁止用户设备与网络侧设备之间进行报文传输。在过渡时段期满时,接入设备对用户设备进行认证,禁止未通过认证的用户设备与网络侧设备之间进行报文传输。本发明实施例在保证了网络安全的同时,不会影响用户体验。同时,降低了实际应用中开启网络安全功能的难度。
图4是本发明一个实施例的接入设备的示意性框图。图4的接入设备40包括侦听单元401和控制单元402。
在设定的时期内,侦听单元401用于侦听控制报文;
如果侦听到的控制报文表征对应的用户设备处于上线过程,控制单元402用于,转发用户设备的数据报文,在用户设备成功上线后,利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息;
经过设定的时期后,控制单元402用于,利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
基于上述技术方案,在设定的时期内,接入设备生成认证信息,但不禁止用户设备与网络侧设备之间进行报文传输。在设定的时期后,接入设备对发往网络侧的报文进行认证,将通过认证的报文转发到网络侧。本发明实施例在保证了网络安全的同时,不会影响用户体验。同时,降低了实际应用中开启网络安全功能的难度。
应理解,用户设备和位于网络侧的网络服务器之间交互的报文既可能有控制报文也可能有数据报文。本实施例在接入设备上设定一个过渡的时期,在这个设定的时期内,由接入设备对控制报文进行侦听,从控制报文中收集用户设备的认证信息,并对用户设备的数据报文进行转发。其中,对数据报文进行转发的过程可以是不区分是来自合法的用户设备还是非法的用户设备。
还应理解,在接入设备生成认证信息之后,还可以继续侦听用户设备与网络侧设备之间传输的控制报文,并维护该认证信息。例如,根据侦听到的控制报文重新创建、修改或者删除该认证信息。
可选地,作为一个实施例,如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,控制单元402具体用于,获取接入设备上接收来自对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征对应的用户设备成功上线的DHCP响应报文,从DHCP响应报文中获取对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。在这种情况下,DHCP请求报文可以是DHCP Request报文,DHCP响应报文可以是DHCP Ack报文。
可选地,作为另一实施例,设定的时期不小于用户设备的用户租期。
这样,在开启网络安全功能之后,不会因为设定的时期太短,导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文,从而不能生成该用户设备对应的认证信息。在经过设定的时期后,接入设备认定该用户设备为非法用户,禁止该用户设备与网络侧设备之间传输报文。因此,提高了接入设备管理网络安全的性能,同时提升了用户体验。
可选地,作为另一实施例,如果侦听到的报文表征用户设备通过以太网点对点PPPoE协议上线,控制单元402具体用于,获取接入设备上接收来自用户设备的PPPoE请求报文的端口信息,在用户设备成功上线后,从PPPoE请求报文中获取用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。在这种情况下,PPPoE请求报文可以是PADI报文或者PADR报文中的一种,表明用户设备成功上线的报文可以是PADS报文。
可选地在,作为另一实施例,设定的时期不小于用户设备进行重新拨号的时间间隔。
这样,在开启网络安全功能之后,不会因为设定的时期太短,导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文,从而不能生成该用户设备对应的认证信息。在经过设定的时期后,接入设备认定该用户设备为非法用户,禁止该用户设备与网络侧设备之间传输报文。因此,提高了接入设备管理网络安全的性能,同时提升了用户体验。
可选地,作为另一实施例,经过设定的时期后,控制单元402还用于,丢弃未通过认证的报文。
可选地,作为另一实施例,控制单元402还用于,根据配置命令开启网络安全功能。
可选地,作为另一实施例,控制单元402具体用于,将侦听到数据报文中携带的IP地址或MAC地址与侦听到数据报文的通信端口的对应关系,与认证信息中的对应关系表进行比较。如果与对应关系表一致,说明该用户设备为合法用户,该用户设备通过认证;如果与对应关系表不一致,说明该用户设备为非法用户,该用户设备认证失败。
可选地,作为另一实施例,控制单元402还用于,根据侦听单元401侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息。
这样,接入设备根据侦听到的控制报文,对认证信息进行维护,例如,修改或者删除该认证信息。这种情况下,在用户设备进行合法迁移时,接入设备能够保证该认证信息实时有效,不会错误地禁止或允许用户设备与网络侧设备之间传输报文,进一步提升了用户体验。
可选地,作为另一实施例,在进行全局维护时,控制单元402用于,根据侦听单元侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止用户设备与网络侧设备之间进行报文传输;在停止全局维护时,控制单元402恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备进行全局维护的过程中,暂停网络安全功能,不再禁止用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在全局维护期间控制单元402正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止全局维护时,接入设备可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
可选地,作为另一实施例,在进行虚拟局域网VLAN维护时,控制单元402用于,根据侦听单元侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止VLAN内的用户设备与网络侧设备之间进行报文传输;在停止VLAN维护时,控制单元402恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备进行VLAN维护的过程中,暂停接入设备在该VLAN内的网络安全功能,不再禁止该VLAN内的用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在VLAN维护期间控制单元402正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止VLAN维护时,接入设备可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
可选地,作为另一实施例,在对用户设备对应的通信端口进行维护时,控制单元402用于,根据侦听单元侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止维护中的用户设备与网络侧设备之间进行报文传输;在停止维护用户设备对应的通信端口时,控制单元402恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备对其中一个用户设备对应的端口进行维护时,暂停对该用户设备的网络安全功能,不再禁止该用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在维护期间控制单元402正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止全局维护时,接入设备可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
图5是本发明另一实施例的接入设备的示意性框图。
图5的接入设备50可用于实现上述方法实施例中各步骤及方法。图5的实施例中,接入设备50包括发射电路502、接收电路503、处理器504、存储器505及接口501。处理器504控制接入设备50的操作,并且可用于处理信号。处理器504还可以称为CPU(CentralProcessing Unit,中央处理单元)。存储器505可以包括只读存储器和随机存取存储器,并向处理器504提供指令和数据。存储器505的一部分还可以包括非易失行随机存取存储器(NVRAM)。发射电路502和接收电路503可以耦合到接口501。控制存储设备机群磨损均衡的设备50的各个组件通过总线系统509耦合在一起,其中总线系统509除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图中将各种总线都标为总线系统509。
具体地,存储器505可存储使得处理器504执行以下操作的指令:
在设定的时期内,对控制报文进行侦听;
如果侦听到的控制报文表征对应的用户设备处于上线过程,则转发用户设备的数据报文,在用户设备成功上线后,利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息;
经过设定的时期后,利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
基于上述技术方案,在设定的时期内,接入设备生成认证信息,但不禁止用户设备与网络侧设备之间进行报文传输。在设定的时期后,接入设备对发往网络侧的报文进行认证,将通过认证的报文转发到网络侧。本发明实施例在保证了网络安全的同时,不会影响用户体验。同时,降低了实际应用中开启网络安全功能的难度。
应理解,用户设备和位于网络侧的网络服务器之间交互的报文既可能有控制报文也可能有数据报文。本实施例在接入设备上设定一个过渡的时期,在这个设定的时期内,由接入设备对控制报文进行侦听,从控制报文中收集用户设备的认证信息,并对用户设备的数据报文进行转发。其中,对数据报文进行转发的过程可以是不区分是来自合法的用户设备还是非法的用户设备。
还应理解,在接入设备生成认证信息之后,还可以继续侦听用户设备与网络侧设备之间传输的控制报文,并维护该认证信息。例如,根据侦听到的控制报文重新创建、修改或者删除该认证信息。
可选地作为一个实施例,存储器505还可存储使得处理器504执行以下操作的指令:
如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,获取接入设备上接收来自对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征对应的用户设备成功上线的DHCP响应报文,从DHCP响应报文中获取对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
设定的时期不小于用户设备的用户租期。
这样,在开启网络安全功能之后,不会因为设定的时期太短,导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文,从而不能生成该用户设备对应的认证信息。在经过设定的时期后,接入设备认定该用户设备为非法用户,禁止该用户设备与网络侧设备之间传输报文。因此,提高了接入设备管理网络安全的性能,同时提升了用户体验。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
如果侦听到的报文表征用户设备通过以太网点对点PPPoE协议上线,接入设备获取接入设备上接收来自用户设备的PPPoE请求报文的端口信息,在用户设备成功上线后,从PPPoE请求报文中获取用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
设定的时期不小于用户设备进行重新拨号的时间间隔。
这样,在开启网络安全功能之后,不会因为设定的时期太短,导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文,从而不能生成该用户设备对应的认证信息。在经过设定的时期后,接入设备认定该用户设备为非法用户,禁止该用户设备与网络侧设备之间传输报文。因此,提高了接入设备管理网络安全的性能,同时提升了用户体验。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
经过设定的时期后,丢弃未通过认证的报文。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
在接入设备对控制报文进行侦听之前,根据配置命令开启网络安全功能。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
在进行全局维护时,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止用户设备与网络侧设备之间进行报文传输;在停止全局维护时,接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备进行全局维护的过程中,暂停网络安全功能,不再禁止用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在全局维护期间接入设备正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止全局维护时,可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
若进行虚拟局域网VLAN维护,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止VLAN内的用户设备与网络侧设备之间进行报文传输;在停止VLAN维护时,接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备进行VLAN维护的过程中,暂停接入设备在该VLAN内的网络安全功能,不再禁止该VLAN内的用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在VLAN维护期间接入设备正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止VLAN维护时,可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
可选地作为另一施例,存储器505还可存储使得处理器504执行以下操作的指令:
在预设的过渡时段期满时,若对用户设备对应的通信端口进行维护,接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文,维护认证信息,不禁止维护中的用户设备与网络侧设备之间进行报文传输;在停止维护用户设备对应的通信端口时,接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。
这样,接入设备对其中一个用户设备对应的端口进行维护时,暂停对该用户设备的网络安全功能,不再禁止该用户设备与网络侧设备之间传输报文,避免了合法用户不能正常访问网络的问题,提升了用户体验。同时,在维护期间接入设备正常维护认证信息(例如,创建、修改或删除认证信息),以便在停止全局维护时,可以快速恢复到正常的网络安全管理状态,而不必先经历一个过渡时段。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种管理网络安全的方法,其特征在于,包括:
在设定的时期内,接入设备对控制报文进行侦听;
如果侦听到的控制报文表征对应的用户设备处于上线过程,则转发所述用户设备的数据报文,在所述用户设备成功上线后,利用所述用户设备的上线请求报文或者来自网络侧表征所述用户设备上线成功的响应报文生成认证信息;
经过所述设定的时期后,所述接入设备利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
2.根据权利要求1所述的方法,其特征在于,如果所述侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,所述接入设备获取所述接入设备上接收来自所述对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征所述对应的用户设备成功上线的DHCP响应报文,从所述DHCP响应报文中获取所述对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。
3.根据权利要求2所述的方法,其特征在于,所述设定的时期不小于所述用户设备的用户租期。
4.根据权利要求1所述的方法,其特征在于,如果所述侦听到的报文表征所述用户设备通过以太网点对点PPPoE协议上线,所述接入设备获取所述接入设备上接收来自所述用户设备的PPPoE请求报文的端口信息,在所述用户设备成功上线后,从所述PPPoE请求报文中获取所述用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。
5.根据权利要求4所述的方法,其特征在于,所述设定的时期不小于所述用户设备进行重新拨号的时间间隔。
6.根据权利要求1至5中任一项所述的方法,其特征在于,经过所述设定的时期后,所述方法还包括:
所述接入设备丢弃未通过认证的报文。
7.根据权利要求1至5中任一项所述的方法,其特征在于,在所述接入设备对控制报文进行侦听之前,所述方法还包括:
所述接入设备根据配置命令开启网络安全功能。
8.一种管理网络安全的接入设备,其特征在于,包括侦听单元和控制单元,其中,
在设定的时期内,所述侦听单元用于侦听控制报文;
如果侦听到的控制报文表征对应的用户设备处于上线过程,所述控制单元用于,转发所述用户设备的数据报文,在所述用户设备成功上线后,利用所述用户设备的上线请求报文或者来自网络侧表征所述用户设备上线成功的响应报文生成认证信息;
经过所述设定的时期后,所述控制单元用于,利用生成的认证信息对发往网络侧的数据报文进行认证,将通过认证的数据报文转发到网络侧。
9.根据权利要求8所述的接入设备,其特征在于,如果所述侦听到的控制报文表征对应的用户设备通过动态主机配置协议DHCP协议上线,所述控制单元具体用于,获取所述接入设备上接收来自所述对应的用户设备的DHCP请求报文的端口信息,捕获来自网络侧表征所述对应的用户设备成功上线的DHCP响应报文,从所述DHCP响应报文中获取所述对应的用户设备的互联网协议IP地址,将获取的IP地址和端口信息对应起来形成认证信息。
10.根据权利要求9所述的接入设备,其特征在于,所述设定的时期不小于所述用户设备的用户租期。
11.根据权利要求8所述的接入设备,其特征在于,如果所述侦听到的报文表征所述用户设备通过以太网点对点PPPoE协议上线,所述控制单元具体用于,获取所述接入设备上接收来自所述用户设备的PPPoE请求报文的端口信息,在所述用户设备成功上线后,从所述PPPoE请求报文中获取所述用户设备的媒体接入控制MAC地址,将获取的MAC地址和端口信息对应起来形成认证信息。
12.根据权利要求11所述的接入设备,其特征在于,所述设定的时期不小于所述用户设备进行重新拨号的时间间隔。
13.根据权利要求8至12中任一项所述的接入设备,其特征在于,经过所述设定的时期后,所述控制单元还用于,丢弃未通过认证的报文。
14.根据权利要求8至12中任一项所述的接入设备,其特征在于,所述控制单元还用于,根据配置命令开启网络安全功能。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2013/091178 WO2015100645A1 (zh) | 2013-12-31 | 2013-12-31 | 管理网络安全的方法及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104982004A CN104982004A (zh) | 2015-10-14 |
| CN104982004B true CN104982004B (zh) | 2018-08-14 |
Family
ID=53492988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380002558.7A Active CN104982004B (zh) | 2013-12-31 | 2013-12-31 | 管理网络安全的方法及接入设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104982004B (zh) |
| WO (1) | WO2015100645A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109451497B (zh) * | 2018-11-23 | 2021-07-06 | Oppo广东移动通信有限公司 | 无线网络连接方法及装置、电子设备、存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1855812A (zh) * | 2005-04-25 | 2006-11-01 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
| CN101098290A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 一种在an上实现ip地址防欺骗的装置及其方法 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567883B (zh) * | 2005-04-25 | 2013-12-18 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
| US7903647B2 (en) * | 2005-11-29 | 2011-03-08 | Cisco Technology, Inc. | Extending sso for DHCP snooping to two box redundancy |
-
2013
- 2013-12-31 CN CN201380002558.7A patent/CN104982004B/zh active Active
- 2013-12-31 WO PCT/CN2013/091178 patent/WO2015100645A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1855812A (zh) * | 2005-04-25 | 2006-11-01 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
| CN101098290A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 一种在an上实现ip地址防欺骗的装置及其方法 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104982004A (zh) | 2015-10-14 |
| WO2015100645A1 (zh) | 2015-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5111618B2 (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
| TWI495301B (zh) | 控制封包的階層式速率限制 | |
| EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
| EP1863217B1 (en) | A method, system and apparatus for preventing from counterfeiting the mac address | |
| CN107707435B (zh) | 一种报文处理方法和装置 | |
| US7451479B2 (en) | Network apparatus with secure IPSec mechanism and method for operating the same | |
| KR20060125372A (ko) | 다중 영구가상회선 접속환경을 위한 중간 인증관리 시스템및 그 방법 | |
| CN101567883B (zh) | 防止mac地址仿冒的实现方法 | |
| CN101888329A (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN107241313A (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN102137073A (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| CN106301847A (zh) | 接入点接口配置恢复方法、装置及家庭网关 | |
| CN108156092A (zh) | 报文传输控制方法和装置 | |
| CN106878270A (zh) | 基于portal协议的增强型接入控制设备 | |
| CN104982004B (zh) | 管理网络安全的方法及接入设备 | |
| WO2014120661A1 (en) | Recovering lost device information in cable networks | |
| CN106131177A (zh) | 一种报文处理方法及装置 | |
| CN100438446C (zh) | 接入控制设备、接入控制系统和接入控制方法 | |
| EP1694024A1 (en) | Network apparatus and method for providing secure port-based VPN communications | |
| CN109150925B (zh) | IPoE静态认证方法及系统 | |
| CN106453308A (zh) | 一种防止arp欺骗的方法 | |
| CN105978774B (zh) | 一种接入认证的方法和装置 | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| Cisco | Protocol Translator Manual | |
| Cisco | Protocol Translator Manual |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |