CN105262724B - 一种用于身份验证的方法与设备 - Google Patents
一种用于身份验证的方法与设备 Download PDFInfo
- Publication number
- CN105262724B CN105262724B CN201510566226.2A CN201510566226A CN105262724B CN 105262724 B CN105262724 B CN 105262724B CN 201510566226 A CN201510566226 A CN 201510566226A CN 105262724 B CN105262724 B CN 105262724B
- Authority
- CN
- China
- Prior art keywords
- equipment
- upstream data
- forwarded
- verifying
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的目的是提供一种用于身份验证的方法与设备。本申请通过获取应用策略路由配置的网络设备所转发的上行数据,对所述上行数据进行解析,以获取用于身份验证的业务数据,然后根据所述业务数据判断发送所述上行数据的用户身份是否已通过验证,若所述用户身份已通过验证,则将所述上行数据转发至对应的目的地址,若所述用户身份尚未通过验证,则将封装后的DNS相应报文发送至对应的用户设备,以完成身份验证。与现有技术相比,简捷、高效地满足了安全需求。进一步地,应用策略路由配置对上行流量进行控制,避免了拥堵状况,保证了数据转发的高效性;通过为业务层设置休眠周期,节约系统资源,提升用户体验。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种用于身份验证的技术。
背景技术
信息技术的发展给人们带来便利的同时也带来了安全问题,为了满足安全需求,在用户设备入网时通常需要验证用户身份。然而,现有的多种用户身份验证技术存在一些不足,例如在多网段环境下部署用户身份验证系统,需要多个服务器支撑,对资源的利用不够高效。而且,在现有技术中,上下行流量通常都要通过准入服务器,导致服务器压力过大,影响用户体验。
发明内容
本申请的一个目的是提供一种用于身份验证的方法与设备。
根据本申请的一个方面,提供了一种用于身份验证的方法,其中,该方法包括:
a获取网络设备所转发的上行数据;
b对所述上行数据进行解析,以获取对应的业务数据;
c根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。
进一步地,该方法还包括:
d若所述用户身份已通过验证,将所述上行数据转发至对应的目的地址。
进一步地,该方法还包括:
e若所述用户身份尚未通过验证,将DNS相应报文封装后发送至对应的用户设备。
进一步地,所述网络设备包括路由器或交换机。
进一步地,所述步骤b包括:对所述上行数据进行解析,以从以太网帧、IP报文和/或TCP/UDP段获取对应的业务数据。
进一步地,所述步骤d包括:若所述用户身份已通过验证,通过包过滤模块将所述上行数据转发至对应的目的地址。
进一步地,所述DNS相应报文用于指引所述用户设备访问对应的认证页面。
进一步地,该方法还包括:应用策略路由配置所述网络设备的物理接口或虚拟接口的入口方向,以实现对上行流量的控制;其中,所述步骤a包括:获取所述网络设备基于所述策略路由所转发的上行数据。
进一步地,该方法还包括:当业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据。
根据本申请的另一个方面,提供了一种用于身份验证的设备,其中,该设备包括:
第一装置,用于获取网络设备所转发的上行数据;
第二装置,用于对所述上行数据进行解析,以获取对应的业务数据;
第三装置,用于根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。
进一步地,该设备还包括:第四装置,用于若所述用户身份已通过验证,将所述上行数据转发至对应的目的地址。
进一步地,该设备还包括:第五装置,用于若所述用户身份尚未通过验证,将DNS相应报文封装后发送至对应的用户设备。
进一步地,所述网络设备包括路由器或交换机。
进一步地,所述第二装置用于:对所述上行数据进行解析,以从以太网帧、IP报文和/或TCP/UDP段获取对应的业务数据。
进一步地,所述第四装置用于:若所述用户身份已通过验证,通过包过滤模块将所述上行数据转发至对应的目的地址。
进一步地,所述DNS相应报文用于指引所述用户设备访问对应的认证页面。
进一步地,该设备还包括:第六装置,用于应用策略路由配置所述网络设备的物理接口或虚拟接口的入口方向,以实现对上行流量的控制;其中,所述第一装置用于:获取所述网络设备基于所述策略路由所转发的上行数据。
进一步地,该设备还包括:第七装置,用于当业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据。
与现有技术相比,本申请首先获取网络设备所转发的上行数据,对所述上行数据进行解析以获取对应的业务数据,然后根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。若所述用户身份已通过验证,则将所述上行数据转发至对应的目的地址;若所述用户身份尚未通过验证,则将封装后的DNS相应报文发送至对应的用户设备,指引所述用户设备访问对应的认证页面,以通过身份验证,简捷、高效地满足了安全需求。进一步地,应用策略路由配置的所述网络设备实现对上行流量的控制,避免了拥堵状况,保证了数据转发的高效性。进一步地,通过在业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据,节约系统资源,提升用户体验。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个方面的一种用于身份验证的方法流程图;
图2示出根据本申请一个实施例的一种用于身份验证的方法流程图;
图3示出根据本申请另一个方面的一种用于身份验证的设备示意图;
图4示出根据本申请一个实施例的一种用于身份验证的设备示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本申请通过获取应用策略路由配置的网络设备所转发的上行数据,对所述上行数据进行解析,以获取用于身份验证的业务数据,然后根据所述业务数据判断发送所述上行数据的用户身份是否已通过验证,若所述用户身份已通过验证,则将所述上行数据转发至对应的目的地址,若所述用户身份尚未通过验证,则将封装后的DNS相应报文发送至对应的用户设备,以完成身份验证。本申请中的用于身份验证的设备可以包括但不限于:可以实现身份验证功能的服务器、路由器或交换机等。
图1示出根据本申请一个方面的一种用于身份验证的方法流程图。
该方法包括步骤S11、步骤S12和步骤S13。具体地,在步骤S11中,设备1获取网络设备所转发的上行数据;在步骤S12中,设备1对所述上行数据进行解析,以获取对应的业务数据;在步骤S13中,设备1根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。
在此,所述设备1包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、PDA等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(AdHoc网络)等。优选地,设备1还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的脚本程序。当然,本领域技术人员应能理解上述设备1仅为举例,其他现有的或今后可能出现的设备1如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
设备1的各个步骤之间是持续不断工作的。具体地,在步骤S11中,设备1持续获取网络设备所转发的上行数据,在步骤S12中,设备1持续对所述上行数据进行解析,以获取对应的业务数据,在步骤S13中,设备1持续根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证,直至步骤S11中设备1停止获取网络设备所转发的上行数据。
在步骤S11中,设备1获取网络设备所转发的上行数据。
在此,所述网络设备优选地可以为网络三层设备,所述网络三层设备指的是工作在网络层(OSI七层协议中的第三层)的设备,例如,路由器是最常用的网络三层设备,它通过IP地址确定数据转发的地址。所述上行数据指的是用户设备发送出的数据,相应地,下行数据指的是用户设备接收到的数据。在具体的实施例中,所述网络设备转发用户设备发送出的所述上行数据。
具体地,所述网络设备包括路由器或交换机。
在此,所述路由器工作在网络层。所述交换机优选地可以为工作在网络层的三层交换机,也可以为工作在数据链路层(OSI七层协议中的第二层)的二层交换机。
优选地,该方法还可以包括:设备1应用策略路由配置所述网络设备的物理接口或虚拟接口的入口方向,以实现对上行流量的控制;其中,在步骤S11中,设备1获取所述网络设备基于所述策略路由所转发的上行数据。
在此,所述策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,可以使数据包按照指定的策略进行转发。应用策略路由需要指定策略路由所使用的路由图,一个路由图由很多条策略组成,每个策略都定义了一个或多个匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,对于符合路由图中某个策略的数据包将按照该策略中定义的操作进行处理。
在具体的实施例中,通过应用相应的策略路由配置,在所述网络设备的物理接口或虚拟接口的入口方向控制上行流量,对接收到的所有数据包进行检查,禁止尚未通过身份验证的用户设备入网,还可以通过设置上行流量的速度限制避免拥堵状况的发生。优选地,并不对下行流量进行控制,避免给设备1带来过大的压力。
优选地,该方法还可以包括:设备1当业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据。
在此,所述业务层指的是实现本申请的程序代码的业务逻辑层。(在体系架构中,业务逻辑层负责业务规则的制定、业务流程的实现等与业务需求有关的设计,它处于数据访问层与表示层中间,起到了数据交换中承上启下的作用。)所述休眠指的是程序中不执行任何动作的挂起状态,当所述业务层休眠时间到达一个休眠周期时,判断设备1是否继续获取所述网络设备所转发的上行数据,以节约系统资源。
在步骤S12中,设备1对所述上行数据进行解析,以获取对应的业务数据。
在具体的实施例中,所述解析可以包括解封装,所述上行数据可以是能通过物理链路进行传输的电磁信号,通过解封装得到以太网帧、IP报文和/或TCP/UDP段。所述业务数据指的是用于身份验证的数据,以字节数组的形式呈现。
具体地,在步骤S12中,设备1对所述上行数据进行解析,以从以太网帧、IP报文和/或TCP/UDP段获取对应的业务数据。
在具体的实施例中,对以太网帧进行解析包括解析目的地址和源地址;对IP报文进行解析包括对32位源IP地址和32位目的IP地址进行解析;对TCP/UDP段进行解析包括对16位源端口号进行解析并校验协议。所述业务数据包括源MAC(Media Access Control,介质访问控制)地址、目的IP地址、协议号、目的端口等。
在步骤S13中,设备1根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。
例如,可以通过所述业务数据中的源MAC地址、目的IP地址、协议号、目的端口等来判断用户身份是否已通过验证。具体地,可以通过源MAC地址的认证标志是否为1,目的IP地址是否为设备1的IP地址等方法来进行判断。当然,本领域技术人员应能理解上述判断用户身份是否已通过验证的方式仅为举例,其他现有的或今后可能出现的判断用户身份是否已通过验证的方式如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
图2示出根据本申请一个实施例的一种用于身份验证的方法流程图。
该方法包括步骤S21、步骤S22、步骤S23、步骤S24和步骤S25。在此,步骤S21、步骤S22、步骤S23与图1中步骤S11、步骤S12、步骤S13的内容相同或基本相同,为简明起见,不再赘述。
具体地,在步骤S24中,若所述用户身份已通过验证,设备1将所述上行数据转发至对应的目的地址。在步骤S25中,若所述用户身份尚未通过验证,设备1将DNS相应报文封装后发送至对应的用户设备。
在此,若根据所述业务数据确定发送所述上行数据的用户身份已通过验证,则可以根据所述上行数据的目的地址进行相应的转发。
优选地,若所述用户身份已通过验证,在步骤S24中,设备1通过包过滤模块将所述上行数据转发至对应的目的地址。
在具体的实施例中,所述包过滤模块可以为iptables(IP信息包过滤系统及防火墙),可以将iptables设置为常规的转发规则,例如,源IP地址为用户设备的IP地址,目的IP地址为0.0.0.0等,不限制格式地转发所有数据包(上行数据)。
在此,若根据所述业务数据确定发送所述上行数据的用户身份尚未通过验证,则暂不转发所述上行数据,而是将DNS相应报文封装后发送至发送该上行数据的用户设备。
具体地,所述DNS相应报文用于指引所述用户设备访问对应的认证页面。
在具体的实施例中,用户设备获取DNS相应报文后,解析得到所述对应的认证页面的域名,然后可以通过该用户设备的浏览器访问所述认证页面。接下来,用户可以输入用户名与密码以通过身份验证,下次设备1再接收到该用户设备发送的上行数据,通过所述业务数据确定该用户设备已通过身份验证,那么将按目的地址转发该用户设备所发送的上行数据,而不需要再向该用户设备发送封装后的DNS相应报文。
图3示出根据本申请另一个方面的一种用于身份验证的设备1,其中,设备1包括第一装置11、第二装置12和第三装置13。
具体地,所述第一装置11获取网络设备所转发的上行数据;所述第二装置12对所述上行数据进行解析,以获取对应的业务数据;所述第三装置13根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。
在此,所述设备1包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、PDA等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(AdHoc网络)等。优选地,设备1还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的脚本程序。当然,本领域技术人员应能理解上述设备1仅为举例,其他现有的或今后可能出现的设备1如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
上述各装置之间是持续不断工作的,在此,本领域技术人员应理解“持续”是指上述各装置分别实时地或者按照设定的或实时调整的工作模式要求,例如所述第一装置11持续获取网络设备所转发的上行数据,所述第二装置12持续对所述上行数据进行解析,以获取对应的业务数据,所述第三装置13持续根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证,直至所述第一装置11停止获取网络设备所转发的上行数据。
所述第一装置11获取网络设备所转发的上行数据。
在此,所述网络设备优选地可以为网络三层设备,所述网络三层设备指的是工作在网络层(OSI七层协议中的第三层)的设备,例如,路由器是最常用的网络三层设备,它通过IP地址确定数据转发的地址。所述上行数据指的是用户设备发送出的数据,相应地,下行数据指的是用户设备接收到的数据。在具体的实施例中,所述网络设备转发用户设备发送出的所述上行数据。
具体地,所述网络设备包括路由器或交换机。
在此,所述路由器工作在网络层。所述交换机优选地可以为工作在网络层的三层交换机,也可以为工作在数据链路层(OSI七层协议中的第二层)的二层交换机。
优选地,设备1还可以包括第六装置(图中未示出)。所述第六装置应用策略路由配置所述网络设备的物理接口或虚拟接口的入口方向,以实现对上行流量的控制;其中,所述第一装置11获取所述网络设备基于所述策略路由所转发的上行数据。
在此,所述策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,可以使数据包按照指定的策略进行转发。应用策略路由需要指定策略路由所使用的路由图,一个路由图由很多条策略组成,每个策略都定义了一个或多个匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,对于符合路由图中某个策略的数据包将按照该策略中定义的操作进行处理。
在具体的实施例中,通过应用相应的策略路由配置,在所述网络设备的物理接口或虚拟接口的入口方向控制上行流量,对接收到的所有数据包进行检查,禁止尚未通过身份验证的用户设备入网,还可以通过设置上行流量的速度限制避免拥堵状况的发生。优选地,并不对下行流量进行控制,避免给设备1带来过大的压力。
优选地,设备1还可以包括第七装置(图中未示出)。所述第七装置当业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据。
在此,所述业务层指的是实现本申请的程序代码的业务逻辑层。(在体系架构中,业务逻辑层负责业务规则的制定、业务流程的实现等与业务需求有关的设计,它处于数据访问层与表示层中间,起到了数据交换中承上启下的作用。)所述休眠指的是程序中不执行任何动作的挂起状态,当所述业务层休眠时间到达一个休眠周期时,判断设备1是否继续获取所述网络设备所转发的上行数据,以节约系统资源。
所述第二装置12对所述上行数据进行解析,以获取对应的业务数据。
在具体的实施例中,所述解析可以包括解封装,所述上行数据可以是能通过物理链路进行传输的电磁信号,通过解封装得到以太网帧、IP报文和/或TCP/UDP段。所述业务数据指的是用于身份验证的数据,以字节数组的形式呈现。
具体地,所述第二装置12对所述上行数据进行解析,以从以太网帧、IP报文和/或TCP/UDP段获取对应的业务数据。
在具体的实施例中,对以太网帧进行解析包括解析目的地址和源地址;对IP报文进行解析包括对32位源IP地址和32位目的IP地址进行解析;对TCP/UDP段进行解析包括对16位源端口号进行解析并校验协议。所述业务数据包括源MAC(Media Access Control,介质访问控制)地址、目的IP地址、协议号、目的端口等。
所述第三装置13根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。
例如,可以通过所述业务数据中的源MAC地址、目的IP地址、协议号、目的端口等来判断用户身份是否已通过验证。具体地,可以通过源MAC地址的认证标志是否为1,目的IP地址是否为设备1的IP地址等方法来进行判断。当然,本领域技术人员应能理解上述判断用户身份是否已通过验证的方式仅为举例,其他现有的或今后可能出现的判断用户身份是否已通过验证的方式如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
图4示出根据本申请一个实施例的一种用于身份验证的设备1,其中,设备1包括第一装置11’、第二装置12’、第三装置13’、第四装置14’和第五装置15’。
在此,所述第一装置11’、第二装置12’、第三装置13’与图3中第一装置11、第二装置12、第三装置13的内容相同或基本相同,为简明起见,不再赘述。
具体地,若所述用户身份已通过验证,所述第四装置14’将所述上行数据转发至对应的目的地址。若所述用户身份尚未通过验证,所述第五装置15’将DNS相应报文封装后发送至对应的用户设备。
在此,若根据所述业务数据确定发送所述上行数据的用户身份已通过验证,则可以根据所述上行数据的目的地址进行相应的转发。
优选地,若所述用户身份已通过验证,所述第四装置14’通过包过滤模块将所述上行数据转发至对应的目的地址。
在具体的实施例中,所述包过滤模块可以为iptables(IP信息包过滤系统及防火墙),可以将iptables设置为常规的转发规则,例如,源IP地址为用户设备的IP地址,目的IP地址为0.0.0.0等,不限制格式地转发所有数据包(上行数据)。
在此,若根据所述业务数据确定发送所述上行数据的用户身份尚未通过验证,则暂不转发所述上行数据,而是将DNS相应报文封装后发送至发送该上行数据的用户设备。
具体地,所述DNS相应报文用于指引所述用户设备访问对应的认证页面。
在具体的实施例中,用户设备获取DNS相应报文后,解析得到所述对应的认证页面的域名,然后可以通过该用户设备的浏览器访问所述认证页面。接下来,用户可以输入用户名与密码以通过身份验证,下次设备1再接收到该用户设备发送的上行数据,通过所述业务数据确定该用户设备已通过身份验证,那么将按目的地址转发该用户设备所发送的上行数据,而不需要再向该用户设备发送封装后的DNS相应报文。
与现有技术相比,本申请首先获取网络设备所转发的上行数据,对所述上行数据进行解析以获取对应的业务数据,然后根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证。若所述用户身份已通过验证,则将所述上行数据转发至对应的目的地址;若所述用户身份尚未通过验证,则将封装后的DNS相应报文发送至对应的用户设备,指引所述用户设备访问对应的认证页面,以通过身份验证,简捷、高效地满足了安全需求。进一步地,应用策略路由配置的所述网络设备实现对上行流量的控制,避免了拥堵状况,保证了数据转发的高效性。进一步地,通过在业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据,节约系统资源,提升用户体验。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (10)
1.一种用于身份验证的方法,其中,该方法包括:
应用策略路由配置网络设备的物理接口或虚拟接口的入口方向,以实现对上行流量的控制,且设置上行流量的速度限制并不对下行流量进行控制,其中,所述策略路由可以使数据包按照指定的策略进行转发,其中,应用策略路由需要指定策略路由所使用的路由图,一个路由图由很多条策略组成,每个策略都定义了一个或多个匹配规则和对应操作;
a获取所述网络设备基于所述策略路由所转发的上行数据;
b对所述上行数据进行解析,以获取对应的业务数据;
c根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证;
其中,所述网络设备包括路由器或交换机,
其中,所述步骤b包括:对所述上行数据进行解析,以从以太网帧、IP报文和/或TCP/UDP段获取对应的业务数据;
当业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据。
2.根据权利要求1所述的方法,其中,该方法还包括:
d若所述用户身份已通过验证,将所述上行数据转发至对应的目的地址。
3.根据权利要求2所述的方法,其中,该方法还包括:
e若所述用户身份尚未通过验证,将DNS相应报文封装后发送至对应的用户设备。
4.根据权利要求2所述的方法,其中,所述步骤d包括:
若所述用户身份已通过验证,通过包过滤模块将所述上行数据转发至对应的目的地址。
5.根据权利要求3所述的方法,其中,所述DNS相应报文用于指引所述用户设备访问对应的认证页面。
6.一种用于身份验证的设备,其中,该设备包括:
第六装置,用于应用策略路由配置网络设备的物理接口或虚拟接口的入口方向,以实现对上行流量的控制,且设置上行流量的速度限制并不对下行流量进行控制,其中,所述策略路由可以使数据包按照指定的策略进行转发,其中,应用策略路由需要指定策略路由所使用的路由图,一个路由图由很多条策略组成,每个策略都定义了一个或多个匹配规则和对应操作;
第一装置,获取所述网络设备基于所述策略路由所转发的上行数据;
第二装置,用于对所述上行数据进行解析,以获取对应的业务数据;
第三装置,用于根据所述业务数据确定发送所述上行数据的用户身份是否已通过验证;
其中,所述网络设备包括路由器或交换机;
其中,所述第二装置用于:对所述上行数据进行解析,以从以太网帧、IP报文和/或TCP/UDP段获取对应的业务数据;
第七装置,用于当业务层到达休眠周期时判断是否获取所述网络设备所转发的上行数据。
7.根据权利要求6所述的设备,其中,该设备还包括:
第四装置,用于若所述用户身份已通过验证,将所述上行数据转发至对应的目的地址。
8.根据权利要求7所述的设备,其中,该设备还包括:
第五装置,用于若所述用户身份尚未通过验证,将DNS相应报文封装后发送至对应的用户设备。
9.根据权利要求7所述的设备,其中,所述第四装置用于:
若所述用户身份已通过验证,通过包过滤模块将所述上行数据转发至对应的目的地址。
10.根据权利要求8所述的设备,其中,所述DNS相应报文用于指引所述用户设备访问对应的认证页面。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510566226.2A CN105262724B (zh) | 2015-09-08 | 2015-09-08 | 一种用于身份验证的方法与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510566226.2A CN105262724B (zh) | 2015-09-08 | 2015-09-08 | 一种用于身份验证的方法与设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105262724A CN105262724A (zh) | 2016-01-20 |
| CN105262724B true CN105262724B (zh) | 2019-05-14 |
Family
ID=55102230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510566226.2A Active CN105262724B (zh) | 2015-09-08 | 2015-09-08 | 一种用于身份验证的方法与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105262724B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553638A (zh) * | 2003-06-06 | 2004-12-08 | 华为技术有限公司 | 一种基于身份认证的地址转换方法 |
| CN101715009A (zh) * | 2009-12-28 | 2010-05-26 | 北京星网锐捷网络技术有限公司 | 一种安全的地址分配方法、检测装置、设备和系统 |
| CN102571806A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065367B (zh) * | 2010-12-30 | 2013-08-07 | 华为技术有限公司 | 一种业务控制方法及装置 |
-
2015
- 2015-09-08 CN CN201510566226.2A patent/CN105262724B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553638A (zh) * | 2003-06-06 | 2004-12-08 | 华为技术有限公司 | 一种基于身份认证的地址转换方法 |
| CN101715009A (zh) * | 2009-12-28 | 2010-05-26 | 北京星网锐捷网络技术有限公司 | 一种安全的地址分配方法、检测装置、设备和系统 |
| CN102571806A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105262724A (zh) | 2016-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6568270B2 (ja) | サービス層サウスバウンドインターフェースおよびサービスの質 | |
| CN111556136B (zh) | 一种电力边缘物联代理内部容器间的数据交互方法 | |
| CN104937896B (zh) | 地址解析协议消息的处理方法和转发器、控制器 | |
| WO2018054397A1 (zh) | 业务功能链检测路径的方法和装置 | |
| CN107079023A (zh) | 用于下一代蜂窝网络的用户面安全 | |
| CN108271227B (zh) | 一种跨rat的终端状态确定方法及终端 | |
| CN103210669A (zh) | 用于路由关键通讯的系统和方法 | |
| CN103491076B (zh) | 一种网络攻击的防范方法和系统 | |
| CN106688277A (zh) | 在时隙化信道调频网络中的有效集中式资源和调度管理 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| WO2018188662A1 (zh) | 信息通告方法及装置 | |
| CN103581062A (zh) | 用于处理未知单播数据包的方法和系统 | |
| CN105359467B (zh) | 通过集中的端到端连接传输包的方法和系统 | |
| CN104378249B (zh) | 数据链路的检测方法、装置、系统、控制器及网关 | |
| CN106899500B (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
| WO2017167102A1 (zh) | 消息完整性认证信息的生成和验证方法、装置及验证系统 | |
| CN104137641A (zh) | 保持应用在线的方法、永久在线控制器和设备 | |
| WO2016078312A1 (zh) | 单板测试方法及装置 | |
| CN105324961B (zh) | Gre隧道实现方法、接入点和网关 | |
| CN103152360A (zh) | 一种基于无线路由器的访客访问网络的方法 | |
| CN109729122A (zh) | 确定以太网mac地址的方法及装置 | |
| WO2016101600A1 (zh) | 线卡的确定、确定处理方法及装置、线卡的确定系统 | |
| CN105262724B (zh) | 一种用于身份验证的方法与设备 | |
| WO2017211252A1 (zh) | 业务流调度方法及装置、设备、存储介质 | |
| CN107872309A (zh) | 一种网络传输介质和速率的自适应方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |