CN105282270A - 一种防止ip地址冒用的方法、装置及系统 - Google Patents

一种防止ip地址冒用的方法、装置及系统 Download PDF

Info

Publication number
CN105282270A
CN105282270A CN201510738238.9A CN201510738238A CN105282270A CN 105282270 A CN105282270 A CN 105282270A CN 201510738238 A CN201510738238 A CN 201510738238A CN 105282270 A CN105282270 A CN 105282270A
Authority
CN
China
Prior art keywords
user terminal
described user
address
authentication
certification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510738238.9A
Other languages
English (en)
Other versions
CN105282270B (zh
Inventor
杨敬民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Star Net Ruijie Networks Co Ltd
Original Assignee
Beijing Star Net Ruijie Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Star Net Ruijie Networks Co Ltd filed Critical Beijing Star Net Ruijie Networks Co Ltd
Priority to CN201510738238.9A priority Critical patent/CN105282270B/zh
Publication of CN105282270A publication Critical patent/CN105282270A/zh
Application granted granted Critical
Publication of CN105282270B publication Critical patent/CN105282270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种防止IP地址冒用的方法、装置及系统,该方法包括:确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。本发明能够避免IP地址冒用问题的出现。

Description

一种防止IP地址冒用的方法、装置及系统
技术领域
本发明涉及网络技术领域,尤其涉及一种防止IP地址冒用的方法、装置及系统。
背景技术
网关认证计费系统对用户进行认证开始计费的流程如下:
步骤1,用户通过动态主机配置协议(DynamicHostConfigurationProtocol,DHCP),从DHCP服务器获取IP(InternetProtocol,网络协议)地址;
步骤2,用户打开浏览器,比如IE。输入要访问的网址,比如www.baidu.com.cn;
步骤3,携带有用户IP地址的http报文路由到认证计费网关,被认证计费网关拦截。
步骤4,认证计费网关向用户重定向http页面,重定向地址为eportal服务器的web认证登陆界面;
步骤5,用户输入用户名和密码,点击认证。
步骤6,Eportal服务器接收到用户的认证请求后,向radius服务器发起认证,并将认证通过与否的信息同步给认证计费网关;
步骤7,如果用户认证通过,认证计费网关记录用户的IP地址与用户名的对应关系,并启动流量信息统计,通过记录该IP地址的流量对用户的流量使用情况进行计费,并定期将流量信息同步给radius服务器。
该计费系统中,由于认证计费网关与DHCP服务器为独立的设备,认证计费网关上的认证信息不能同步给DHCP服务器,同样DHCP服务器上的IP地址分配或释放信息不能同步给认证计费网关,会导致以下问题:
在用户A向DHCP服务器发送release报文但未向认证计费网关发送下线报文场景(比如用户正常关机但未点击认证页面上的下线按钮)下,DHCP服务器释放用户A的IP地址,但是,认证计费网关并不能得知用户A的IP地址已被释放,当其他用户通过DHCP服务器获取到用户A之前使用的IP时,由于认证计费网关中记录的信息是该IP地址与用户A对应,此时其他用户无需认证即可上网,而认证计费网关认为此时用户A还在线,并将该IP产生的流量对应的费用记录到用户A的账户上,从而带来IP冒用的问题。
发明内容
本发明提供一种防止IP地址冒用的方法、装置及系统,用以解决现有技术中存在的IP地址冒用的问题。
一种防止IP地址冒用的方法,包括:
确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
所述方法,还包括:
确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
本发明实施例可以节省IP地址资源。
所述方法,在网络侧的动态主机配置协议DHCP服务器上执行确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息的操作;在网络侧的认证服务器上执行根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证的操作;
在所述认证服务器上执行确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线的操作;在所述DHCP服务器上执行确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址的操作。
所述方法中,DHCP服务器采用如下方式将更新后的基本信息发送给认证服务器:
根据更新后的基本信息生成基本信息更新报文,所述基本信息更新报文至少包括用于表示所述基本信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述IP地址分配状态的IP地址分配状态标志位;
将所述基本信息更新报文的目的IP地址设置为所述认证服务器的IP地址并发送;
所述认证服务器采用如下方式将所述更新后的认证信息发送给DHCP服务器,具体包括:
根据更新后的认证状态生成认证信息更新报文,所述认证信息更新报文至少包括用于表示所述认证信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述用户终端的认证状态的认证状态标志位;
将所述认证信息更新报文的目的IP地址设置为所述DHCP服务器的IP地址并发送。
本发明实施例使得原本相互独立的两个物理实体进行通信,从而避免了IP地址冒用的问题以及IP地址资源浪费的问题。
所述方法中,根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证,具体包括:
根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新;
根据更新后的认证状态,对所述用户终端进行认证。
本发明实施例根据更新后的认证状态对用户终端进行重新认证,从而确定是否针对所述用户终端对应的用户执行下线操作,进而避免现有技术的中的IP地址冒用问题的出现。
所述方法中,根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新,具体包括:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;
确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;
确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
所述方法中,根据更新后的认证状态,对所述用户终端进行认证,具体包括:
确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;
确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线。
本发明实施例通过解析用户终端的认证状态来确定是否对用户终端执行下线操作,从而避免IP地址冒用的问题。
本发明还提供一种防止IP地址冒用的系统,包括:
动态主机配置协议DHCP模块,用于确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
认证模块,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
所述系统中,所述认证模块还用于,确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
所述DHCP模块还用于,确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
所述系统中,所述认证模块属于网络侧的认证服务器,所述DHCP模块属于所述网络侧的DHCP服务器。
所述系统中,所述认证模块,具体包括:
第一更新单元,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新;
认证单元,用于根据更新后的认证状态,对所述用户终端进行认证。
所述系统中,所述第一更新单元具体用于:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;
确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;
确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
所述系统中,所述认证单元具体用于:
确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;
确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线。
本发明还提供一种防止IP地址冒用的装置,包括:
第一更新单元,用于确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
认证单元,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
所述装置,还包括:
第二更新单元,用于确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
确定单元,用于确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
利用本发明实施例提供的防止IP地址冒用的方法、装置及系统具有以下有益效果:网络侧实时更新用户终端的IP地址分配状态并根据更新后的IP地址分配状态对用户终端进行认证,根据认证结果确定是否对用户终端实施下线操作,从而避免了IP地址冒用问题的出现。
附图说明
图1为本发明实施例提供的防止IP地址冒用的方法流程图;
图2为本发明实施例提供的防止IP地址资源的方法流程图;
图3为本发明实施例提供的DHCP服务器将更新后的基本信息发送给认证服务器的方式流程图;
图4为本发明实施例提供的认证服务器将更新后的认证状态发送给DHCP服务器的方式流程图;
图5为本发明实施例提供的基本信息更新报文格式示意图;
图6为本发明实施例提供的认证信息更新报文格式示意图;
图7为本发明实施例提供的根据用户终端的MAC地址以及用户终端的IP地址分配状态,对所述用户终端进行认证的方式流程图;
图8为本发明实施例提供的防止IP地址冒用系统示意图;
图9为本发明实施例提供的防止IP地址冒用装置示意图。
具体实施方式
下面结合附图和实施例对本发明提供的防止IP地址冒用的方法、系统及装置进行更详细地说明。
需要说明的是,本发明实施例中用户终端获取IP地址的方式为DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)方式,即,连接用户终端的接入设备(比如接入交换机)上开启dhcpsnooping和ipsourseguard。本发明实施例的应用场景为用户在用户终端上输入用户名和密码后,网络侧的认证服务器认证通过后,用户终端能够正常上网时,本发明实施例的网络侧包括:汇聚网关、核心设备、接入交换机、认证服务器、DHCP服务器、Radius服务器等,即,本发明实施例的应用于网关认证计费系统中。
本发明实施例提供一种防止IP地址冒用的方法,如图1所示,包括:
步骤101,确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的MAC地址以及所述用户终端的IP地址分配状态。
具体的,当用户需要更改IP(InternetProtocol,互联网协议)地址或者需要将该用户的用户终端的IP地址释放时,用户终端向网络侧发送IP地址释放(realease)报文;网络侧与用户终端之间基于DHCP协议通信,并实时获取DHCP报文,解析并提取DHCP报文中所述用户终端的MAC地址、用户终端被分配的IP地址等信息。当网络侧接收到用户终端发送的realease报文时,网络侧根据该用户终端的MAC(MediaAccessControl,媒体访问控制)地址查找到该用户终端对应的IP地址,并将该用户终端的IP地址释放,同时将预先存储的该用户终端的基本信息中的IP地址分配状态更新,该基本信息至少包括用户终端的MAC地址以及该用户终端的IP地址分配状态。
具体的,可使用不同的标识来表示用户终端的基本信息中的IP地址分配状态,比如:0表示IP地址的分配状态为未分配,1表示IP地址的分配状态为已分配且使用中,2表示IP地址的分配状态为已分配且已释放。用户终端的IP地址的分配状态初始为未分配状态;当以DHCP方式为用户终端分配IP地址后,该用户终端对应的IP地址分配状态为已分配且使用中;当网络侧将该用户终端的IP地址释放后,该用户终端的IP地址分配状态为已分配且已释放,即该用户终端已经被分配过IP地址但为其分配的IP地址处于被释放状态。
本发明实施例中,更新预先存储的用户终端的基本信息的时机还可以为:确定为用户终端分配的IP地址的租约时间到期且未接收到续约请求时。
步骤102,根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
本发明实施例中,确定接收到用户终端IP地址释放报文时,修改该用户终端的IP地址分配状态;根据修改后的IP地址分配状态,对该用户终端进行认证,如果该用户终端的IP地址分配状态为已分配且已释放时,则用户终端认证不通过,不允许该用户终端再进行上网操作,并对该用户终端执行下线操作,解除对该用户终端对应的用户的流量计费,从而避免了IP地址冒用的问题。
优选地,所述用户终端的基本信息还包括:用户终端被分配的IP地址、IP地址的租约时间以及所述用户终端的认证状态。
其中,用户终端的认证状态包括未认证、已认证且在线以及已认证且已下线这三种状态,未认证表示该用户终端未被认证过为初始状态,已认证且在线表示该用户终端被认证通过且该用户终端可进行上网操作,已认证且已下线表示该用户终端被认证过但已经下线,不能进行上网操作。
沿用现有技术部分,在用户A向认证计费网关发送下线报文,但未向DHCP服务器发送release报文的场景(比如用户A在一定时间长度内未执行上网操作,认证计费网关强制用户A下线)下,由于认证计费网关已将用户A与用户A的IP地址之间的对应关系解除,此时计费系统不再对用户A进行流量计费,但是DHCP服务器并不能得知用户A的IP地址已经可以释放掉,此时DHCP服务器只能在用户A的IP地址的租约时间到期时,才会释放该IP地址,从而导致IP地址资源浪费的问题。因此,优选地,如图2所示,为了解决现有技术中导致的IP地址资源浪费的问题,本发明实施例还包括:
步骤201,确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线。
具体的,当网络侧接收到用户终端发送的下线报文时,表明用户主动要求下线,网络侧根据该下线报文对用户终端的认证状态进行更新。如果网络侧接收到用户终端发送的下线报文时,该用户终端的认证状态为已认证且已下线,则该用户终端的认证状态不需要更新;如果网络侧接收到用户终端发送的下线报文时,该用户终端的认证状态为已认证且在线,则将该用户终端的认证状态更新为已认证且已下线。网络侧确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,说明用户终端在预设时长内没有进行上网操作,此时网络侧主动对该用户执行下线操作,并更新用户终端的认证状态。上文已对用户终端的认证状态的进行解释说明,这里不再赘述。具体的,可使用不同的标识来表示不同的认证状态,比如:0表示未认证,1表示已认证且在线,2表示已认证且已下线。
步骤202,确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
具体的,确定所述更新后的用户终端的认证状态为已认证且在线时,将所述用户终端的IP地址分配状态更新为已分配且使用中。网络侧确定用户终端的认证状态为已认证且已下线时,说明该用户终端不在进行上网操作,此时将用户终端的IP地址分配状态更新为已分配且已释放,并释放该用户终端的IP地址,从而节省IP地址资源。
图2提供的实施例可以与图1提供的实施例结合实施,即,在图1提供的实施例实施完毕后,当接收到用户终端发送的下线报文或者确定用户终端在预设时长内的网络流量小于设定流量阈值时,更新该用户终端的认证状态。当然,图2提供的实施例也可以单独实施。
具体的,图1提供的实施例中,步骤101和步骤102可以在同一物理实体行执行,也可在不同物理实体上执行。当步骤101和步骤102可以在同一物理实体行执行时,该物理实体优选为认证计费网关;当步骤101和步骤102在不同物理实体上执行时,步骤101在网络侧的动态主机配置协议DHCP服务器上执行,步骤102在网络侧的认证服务器上执行,优选地,该认证服务器为认证计费网关设备。图2提供的实施例,步骤201在网络侧的认证服务器上执行,步骤202在网络侧的DHCP服务器上执行。
当步骤101和步骤102在不同物理实体上执行时,DHCP服务器将更新后的基本信息发送给认证服务器,如图3所示,具体包括:
步骤301,根据更新后的基本信息生成基本信息更新报文,所述基本信息更新报文至少包括用于表示所述基本信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述IP地址分配状态的IP地址分配状态标志位。
步骤302,将所述基本信息更新报文的目的IP地址设置为所述认证服务器的IP地址并发送。
当步骤201和步骤202在不同的物理实体上执行时,认证服务器将更新后的认证状态发送给DHCP服务器,如图4所示,具体包括:
步骤401,根据更新后的认证状态生成认证信息更新报文,所述认证信息更新报文至少包括用于表示所述认证信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述用户终端的认证状态的认证状态标志位。
步骤402,将所述认证信息更新报文的目的IP地址设置为所述DHCP服务器的IP地址并发送。
DHCP服务器收到认证信息更新报文后,根据报文中携带的用户终端的MAC地址查找到与所述用户终端对应的IP地址分配状态,根据更新后的认证状态对IP地址分配状态进行更新。
图3和图4提供的实施例使得原本相互独立的两个物理实体进行通信,并通过基本信息更新报文将更新后的基本信息传输给认证服务器,从而使得认证服务器根据更新后的基本信息确定是否允许该用户终端进行网络操作,从而避免了IP地址冒用的问题,通过认证信息更新报文将更新后的认证状态发送给DHCP服务器,从而使得DHCP服务器根据更新后的认证状态确定是否释放该用户终端的IP地址,从而避免IP地址资源浪费的问题。
针对图3提供的实施例,基本信息更新报文的格式如图5所示,该基本信息更新报文的目的IP地址指向认证服务器的IP地址,从而将该基本信息更新报文发送给认证服务器。优选地,该基本信息更新报文还包括用户终端IP地址。报文标志位为8bit,用户终端MAC地址为48bit,IP地址分配状态标志位为8bit,用户终端IP地址为32bit。
进一步地,认证服务器接收到DHCP服务器发送的报文时,解析该报文,根据解析后的报文的报文标志位确定该报文是否为基本信息更新报文,比如,报文标志位为3时,确定该报文为基本信息更新报文;确定为基本信息更新报文后,根据报文中携带的用户MAC地址和/或用户终端IP地址确定该基本信息更新报文对应的用户终端,并确定IP地址分配状态标识位的取值,根据IP地址分配状态标识位的取值确定更新后的IP地址分配状态;根据更新后的IP地址分配状态更新用户终端的认证状态,其中,不同取值的IP地址分配状态标识位标识不同的IP地址分配状态,比如,0表示该用户终端未被分配IP地址,1表示该用户终端已分配IP地址且使用中,2表示该用户终端已分配IP地址且已释放。
优选地,认证服务器接收到DHCP服务器发送的基本信息更新报文后,向DHCP服务器发送针对基本信息更新报文的基本信息应答报文,该基本信息应答报文的格式与基本信息更新报文的格式相同,但是其中的报文标志位的取值与基本信息更新报文的取值不同,比如,报文标志位取值为4表示该报文为基本信息应答报文。具体的,认证服务器在发送该基本信息应答报文时,将该基本信息应答报文的目的IP地址指向DHCP服务器的IP地址。
针对图4提供的实施例,认证信息更新报文的格式如图6所示,该认证信息更新报文的目的IP地址指向DHCP服务器的IP地址,从而将该认证信息更新报文发送给DHCP服务器。优选地,该认证信息更新报文还包括用户终端IP地址。报文标志位为8bit,用户终端MAC地址为48bit,认证状态标志位为8bit,用户终端IP地址为32bit。
进一步地,DHCP服务器接收到认证服务器发送的报文时,解析该报文,根据解析后的报文的报文标志位确定该报文是否为认证信息更新报文,比如,报文标志位为1时,确定该报文为认证信息更新报文;确定为认证信息更新报文后,根据报文中携带的用户MAC地址和/或用户终端IP地址确定该认证信息更新报文对应的用户终端,并确定认证状态标识位的取值,根据认证状态标识位的取值确定更新后的认证状态;根据更新后的认证状态更新用户终端的IP地址分配状态,其中,不同取值的认证状态标识位标识不同的认证状态,比如,0表示该用户终端未认证,1表示该用户终端已认证且在线,2表示该用户终端已认证且已下线。
优选地,DHCP服务器接收到认证服务器发送的认证信息更新报文后,向认证服务器发送针对认证信息更新报文的认证信息应答报文,该认证信息应答报文的格式与认证信息更新报文的格式相同,但是其中的报文标志位的取值与认证信息更新报文的取值不同,比如,报文标志位取值为2表示该报文为认证信息应答报文。具体的,DHCP服务器在发送该认证信息应答报文时,将该认证信息应答报文的目的IP地址指向认证服务器的IP地址。
其中,不同的报文标识位表示不同的报文,认证信息更新报文、认证信息应答报文、基本信息更新报文以及基本信息应答报文对应的报文标识位不同。
优选地,步骤102根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证,如图7所示,具体包括:
步骤501,根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新。
步骤502,根据更新后的认证状态,对所述用户终端进行认证。
具体的,根据更新后的认证状态对用户终端进行重新认证,从而确定是否针对所述用户终端对应的用户执行下线操作,进而避免现有技术的中的IP地址冒用问题的出现。
具体的,步骤501根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新,具体包括:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
需要说明的是,根据基本信息中的MAC地址可查找到与该MAC地址对应的用户终端,从而确定该用户终端的认证状态;由于一个MAC地址对应一个用户终端,因此也可认为一个MAC地址对应一个认证状态。用户终端的IP地址释放后,需要将该用户终端的用户名与IP地址的绑定关系解除,即对该用户终端执行下线操作,本发明实施例通过解析用户终端的认证状态来确定是否对用户终端执行下线操作,从而避免IP地址冒用的问题。
优选地,步骤502根据更新后的认证状态,对所述用户终端进行认证,具体包括:
确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线,即允许所述用户终端执行上网操作。
本优选实施例中,确定用户终端的更新后的认证状态为已认证且在线时,该用户终端继续在线,并对针对该用户终端对应的账户(用户)进行正常流量统计以及计费操作。
具体的,一个用户名可对应多个用户终端,用户终端对应的用户名即用户账户,一个用户账户可在多个用户终端上登录。
基于上述各实施例,当用户终端的认证状态为已认证且已下线,并检测到同一用户或者用户终端再次上线时,认证模块确定该用户对应的用户终端的MAC地址是否与上次上线时使用的MAC地址相同,若相同,则直接认证通过,这样可以避免用户重复输入用户名和密码,从而实现无感知认证,提高用户体验。
本发明还提供一种防止IP地址冒用的系统,如图8所示,包括:
动态主机配置协议DHCP模块801,用于确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
认证模块802,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
优选地,所述的系统中,所述认证模块还用于,确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;所述DHCP模块还用于,确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
本发明实施例中的DHCP模块和认证模块可以属于不同的物理实体也可属于相同的物理实体。优选地,所述认证模块属于网络侧的认证服务器,所述DHCP模块属于所述网络侧的DHCP服务器,即二者属于不同的物理实体。
优选地,DHCP服务器采用如下方式将更新后的基本信息发送给认证服务器:
根据更新后的基本信息生成基本信息更新报文,所述基本信息更新报文至少包括用于表示所述基本信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述IP地址分配状态的IP地址分配状态标志位;将所述基本信息更新报文的目的IP地址设置为所述认证服务器的IP地址并发送。
优选地,所述认证服务器采用如下方式将所述更新后的认证信息发送给DHCP服务器,具体包括:
根据更新后的认证状态生成认证信息更新报文,所述认证信息更新报文至少包括用于表示所述认证信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述用户终端的认证状态的认证状态标志位;将所述认证信息更新报文的目的IP地址设置为所述DHCP服务器的IP地址并发送。
优选地,所述系统中,所述认证模块,具体包括:
第一更新单元,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新;
认证单元,用于根据更新后的认证状态,对所述用户终端进行认证。
优选地,所述系统中,所述第一更新单元具体用于:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
优选地,所述系统中,所述认证单元具体用于:确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线。
本发明实施例还提供一种防止IP地址冒用的装置,如图9所示,包括:
第一更新单元901,用于确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
认证单元902,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
优选地,所述装置,还包括:
第二更新单元903,用于确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
确定单元904,用于确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
优选地,所述装置中,所述第一更新的单元属于网络侧的DHCP服务器,认证单元属于网络侧的认证服务器;第二更新单元属于网络侧的认证服务器,确定单元属于网络侧的DHCP服务器。在该优选实施例的基础上,进一步优选地,第一更新单元采用如下方式将更新后的基本信息发送给认证单元:
根据更新后的基本信息生成基本信息更新报文,所述基本信息更新报文至少包括用于表示所述基本信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述IP地址分配状态的IP地址分配状态标志位;
将所述基本信息更新报文的目的IP地址设置为所述认证服务器的IP地址并发送;
所述第二更新单元采用如下方式将所述更新后的认证信息发送给确定单元,具体包括:
根据更新后的认证状态生成认证信息更新报文,所述认证信息更新报文至少包括用于表示所述认证信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述用户终端的认证状态的认证状态标志位;
将所述认证信息更新报文的目的IP地址设置为所述DHCP服务器的IP地址并发送。
优选地,所述装置中,所述认证单元具体用于:
根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新;
根据更新后的认证状态,对所述用户终端进行认证。
优选地,所述装置中,所述认证单元在根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新时,具体用于:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;
确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;
确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
优选地,所述装置中所述认证单元在根据更新后的认证状态,对所述用户终端进行认证时,具体用于:
确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;
确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线。
利用本发明实施例提供的防止IP地址冒用的方法、装置及系统具有以下有益效果:网络侧实时更新用户终端的IP地址分配状态并根据更新后的IP地址分配状态对用户终端进行认证,根据认证结果确定是否对用户终端实施下线操作,从而避免了IP地址冒用问题的出现。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (15)

1.一种防止IP地址冒用的方法,其特征在于,包括:
确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
2.如权利要求1所述的方法,其特征在于,还包括:
确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
3.如权利要求2所述的方法,其特征在于,在网络侧的动态主机配置协议DHCP服务器上执行确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息的操作;在网络侧的认证服务器上执行根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证的操作;
在所述认证服务器上执行确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线的操作;在所述DHCP服务器上执行确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址的操作。
4.如权利要求3所述的方法,其特征在于,DHCP服务器采用如下方式将更新后的基本信息发送给认证服务器:
根据更新后的基本信息生成基本信息更新报文,所述基本信息更新报文至少包括用于表示所述基本信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述IP地址分配状态的IP地址分配状态标志位;
将所述基本信息更新报文的目的IP地址设置为所述认证服务器的IP地址并发送;
所述认证服务器采用如下方式将所述更新后的认证信息发送给DHCP服务器,具体包括:
根据更新后的认证状态生成认证信息更新报文,所述认证信息更新报文至少包括用于表示所述认证信息更新报文的报文标志位、所述用户终端的MAC地址以及用于表示所述用户终端的认证状态的认证状态标志位;
将所述认证信息更新报文的目的IP地址设置为所述DHCP服务器的IP地址并发送。
5.如权利要求1所述的方法,其特征在于,根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证,具体包括:
根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新;
根据更新后的认证状态,对所述用户终端进行认证。
6.如权利要求5所述的方法,其特征在于,根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新,具体包括:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;
确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;
确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
7.如权利要求6所述的方法,其特征在于,根据更新后的认证状态,对所述用户终端进行认证,具体包括:
确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;
确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线。
8.一种防止IP地址冒用的系统,其特征在于,包括:
动态主机配置协议DHCP模块,用于确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
认证模块,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
9.如权利要求8所述的系统,其特征在于,
所述认证模块还用于,确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
所述DHCP模块还用于,确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
10.如权利要求9所述的系统,其特征在于,所述认证模块属于网络侧的认证服务器,所述DHCP模块属于所述网络侧的DHCP服务器。
11.如权利要求8所述的系统,其特征在于,所述认证模块,具体包括:
第一更新单元,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态对所述用户终端的认证状态进行更新;
认证单元,用于根据更新后的认证状态,对所述用户终端进行认证。
12.如权利要求11所述的系统,其特征在于,所述第一更新单元具体用于:
根据所述基本信息中的用户终端的MAC地址查找与该用户终端对应的认证状态;
确定所述IP地址分配状态为已分配且已释放时,将所述查找到的认证状态更新为已认证且已下线;
确定所述IP地址分配状态为已分配且使用中时,将所述查找到的认证状态更新为已认证且在线。
13.如权利要求12所述的系统,其特征在于,所述认证单元具体用于:
确定所述用户终端的更新后的认证状态为已认证且已下线时,确定对所述用户终端执行下线操作;
确定所述用户终端的更新后的认证状态为已认证且在线时,确定所述用户终端的认证通过,并允许所述用户终端上线。
14.一种防止IP地址冒用的装置,其特征在于,包括:
第一更新单元,用于确定接收到用户终端发送的release报文时,更新预先存储的所述用户终端的基本信息,所述基本信息包括所述用户终端的媒体访问控制MAC地址以及所述用户终端的网络协议IP地址分配状态;
认证单元,用于根据所述用户终端的MAC地址以及所述用户终端的IP地址分配状态,对所述用户终端进行认证。
15.如权利要求14所述的装置,其特征在于,还包括:
第二更新单元,用于确定接收到所述用户终端发送的下线报文时,或者,确定所述用户终端在预设时长内的网络流量小于设定流量阈值时,将所述用户终端的认证状态更新为已认证且已下线;
确定单元,用于确定所述用户终端的更新后的认证状态为已认证且已下线时,将所述用户终端的IP地址分配状态修改为已分配且已释放,并释放所述用户终端的IP地址。
CN201510738238.9A 2015-11-03 2015-11-03 一种防止ip地址冒用的方法、装置及系统 Active CN105282270B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510738238.9A CN105282270B (zh) 2015-11-03 2015-11-03 一种防止ip地址冒用的方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510738238.9A CN105282270B (zh) 2015-11-03 2015-11-03 一种防止ip地址冒用的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN105282270A true CN105282270A (zh) 2016-01-27
CN105282270B CN105282270B (zh) 2019-09-20

Family

ID=55150573

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510738238.9A Active CN105282270B (zh) 2015-11-03 2015-11-03 一种防止ip地址冒用的方法、装置及系统

Country Status (1)

Country Link
CN (1) CN105282270B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110311929A (zh) * 2019-08-01 2019-10-08 江苏芯盛智能科技有限公司 一种访问控制方法、装置及电子设备和存储介质
CN111132162A (zh) * 2019-12-26 2020-05-08 新华三技术有限公司成都分公司 一种终端信息的获取方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304406A (zh) * 2007-05-12 2008-11-12 华为技术有限公司 一种会话连接的管理方法及装置、系统
CN101447879A (zh) * 2009-01-13 2009-06-03 杭州华三通信技术有限公司 一种计费的方法及接入设备
CN103476143A (zh) * 2012-06-07 2013-12-25 中国移动通信集团公司 一种wlan释放ip资源的方法、装置及系统
CN103546348A (zh) * 2013-10-30 2014-01-29 上海斐讯数据通信技术有限公司 一种认证用户异常下线的检测方法
CN104954508A (zh) * 2015-06-24 2015-09-30 北京网瑞达科技有限公司 一种用于dhcp协议辅助计费的系统及其辅助计费方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304406A (zh) * 2007-05-12 2008-11-12 华为技术有限公司 一种会话连接的管理方法及装置、系统
CN101447879A (zh) * 2009-01-13 2009-06-03 杭州华三通信技术有限公司 一种计费的方法及接入设备
CN103476143A (zh) * 2012-06-07 2013-12-25 中国移动通信集团公司 一种wlan释放ip资源的方法、装置及系统
CN103546348A (zh) * 2013-10-30 2014-01-29 上海斐讯数据通信技术有限公司 一种认证用户异常下线的检测方法
CN104954508A (zh) * 2015-06-24 2015-09-30 北京网瑞达科技有限公司 一种用于dhcp协议辅助计费的系统及其辅助计费方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110311929A (zh) * 2019-08-01 2019-10-08 江苏芯盛智能科技有限公司 一种访问控制方法、装置及电子设备和存储介质
CN110311929B (zh) * 2019-08-01 2022-01-07 江苏芯盛智能科技有限公司 一种访问控制方法、装置及电子设备和存储介质
CN111132162A (zh) * 2019-12-26 2020-05-08 新华三技术有限公司成都分公司 一种终端信息的获取方法及装置
CN111132162B (zh) * 2019-12-26 2022-11-22 新华三技术有限公司成都分公司 一种终端信息的获取方法及装置

Also Published As

Publication number Publication date
CN105282270B (zh) 2019-09-20

Similar Documents

Publication Publication Date Title
CN110677405B (zh) 一种数据处理方法、装置、电子设备及存储介质
CN102244866B (zh) 门户认证方法及接入控制器
KR100959523B1 (ko) 사용자를 위한 서비스 품질 관리 방법 및 이를 수행하기위한 시스템
CN113709839A (zh) 多网关网络切换方法、装置、系统、电子设备及存储介质
CN100461766C (zh) 一种为实时流媒体业务分配资源的方法及装置
CN101795449A (zh) 一种无线网络中终端的接入控制方法和设备
CN105228126A (zh) 一种网络接入点托管的方法及系统
CN104581442A (zh) 一种实现终端wifi对讲的方法及装置
CN104679528A (zh) 应用程序远程更新的方法和装置
CN104601743A (zh) 基于以太的IP转发IPoE双栈用户接入控制方法和设备
CN108966363B (zh) 一种连接建立方法及装置
CN105979202B (zh) 一种数据传输方法及装置
CN106790734B (zh) 一种网络地址分配方法及装置
CN111901162A (zh) 物联网设备及其配网方法、物联网系统
CN109391597B (zh) 认证方法、认证系统以及通信系统
CN104618522A (zh) 终端ip地址自动更新的方法及以太网接入设备
CN104243625A (zh) 一种ip地址的分配方法及装置
CN101325587A (zh) 一种dhcp会话监测方法
CN105282270A (zh) 一种防止ip地址冒用的方法、装置及系统
CN105049546A (zh) 一种dhcp服务器为客户端分配ip地址的方法及装置
CN102164150B (zh) 策略下发处理方法、设备、服务器和系统
CN103024737A (zh) 可信任非3gpp接入网元、接入移动网络及去附着方法
CN103888435A (zh) 用于业务接纳控制的方法、装置和系统
CN104219337A (zh) 应用于sdn中的ip地址分配方法和设备
CN109981462B (zh) 一种报文处理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant