CN105592037B - 一种mac地址认证方法和装置 - Google Patents
一种mac地址认证方法和装置 Download PDFInfo
- Publication number
- CN105592037B CN105592037B CN201510406247.8A CN201510406247A CN105592037B CN 105592037 B CN105592037 B CN 105592037B CN 201510406247 A CN201510406247 A CN 201510406247A CN 105592037 B CN105592037 B CN 105592037B
- Authority
- CN
- China
- Prior art keywords
- authentication
- mac address
- user
- radius server
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种MAC地址认证方法和装置。该方法包括:接入设备在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到临时本地认证数据库中,并设置对应的老化定时器,在所述老化定时器超时时,从临时本地认证数据库删除所述用户的认证信息;接入设备在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询临时本地认证数据库是否存在对应的认证信息,如果是,由所述接入设备进行本地认证,否则,由RADIUS服务器进行远程认证。应用本发明实施例能够减轻RADIUS服务器的处理负担,提高用户上线成功率。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种MAC地址认证方法和装置。
背景技术
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,认证过程中,也不需要用户手动输入用户名或者密码。
接入设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,启动对该用户的MAC地址认证。目前,接入设备支持两种方式的MAC地址认证:一种方式是通过远程认证拨号用户服务(Remote Authentication Dial-In User Service,RADIUS)服务器进行远程认证,另一种方式是直接在接入设备进行本地认证。
当配置为由RADIUS服务器对MAC地址认证请求进行远程认证时,需要预先在RADIUS服务器中存储用户名和密码信息,接入设备作为RADIUS服务器的客户端,与RADIUS服务器配合完成MAC地址认证。具体地,接入设备根据MAC地址认证请求确定请求MAC认证的用户的用户名和密码,将所述用户名和密码发送给RADIUS服务器进行验证,RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当配置为由接入设备对MAC地址认证请求进行本地认证时,需要在接入设备上配置本地用户名和密码。接入设备根据MAC地址认证请求确定请求MAC地址认证的用户的用户名和密码,将所述用户名和密码与配置的本地用户名和密码进行匹配,用户名和密码匹配成功后,用户可以访问网络。
目前,接入设备的端口或者被配置为由RADIUS服务器对经由该端口接收的MAC地址认证请求进行远程认证,或者被配置为由该接入设备本身对经由该端口接收的MAC地址认证请求进行本地认证。当接入设备的端口被配置为由RADIUS服务器对经由该端口接收的MAC地址认证请求进行远程认证时,存在以下的技术问题:
当用户经过远程认证成功上线后,若接入设备在一个下线检测定时器间隔之内,没有收到在线用户的报文,将切断该在线用户的连接,同时通知RADIUS服务器停止对其计费。然而,接入设备配置的下线检测定时器的值可能对某些用户而言不是那么合理,会导致用户反复下线又重新上线,无疑增加了RADIUS服务器的处理负担。比如,下线检测定时器配置为3分钟,某个已经在线的用户有3分钟没有报文发出,被自动下线,却在第3分01秒的时刻发出了一个报文,此时又要重新去RADIUS服务器进行MAC地址认证。并且,如果用户再次请求上线时,RADIUS服务器较繁忙、或者RADIUS服务器与接入设备之间的网络出现故障,RADIUS服务器将无法及时响应用户的MAC地址认证请求,导致用户上线失败。
发明内容
有鉴于此,本发明提出了一种MAC地址认证方法和装置,能够减轻RADIUS服务器的处理负担,提高用户上线成功率。
本发明提出的技术方案是:
一种MAC地址认证方法,该方法包括:
接入设备创建临时本地认证数据库,所述临时本地认证数据库用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息;
接入设备在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到所述临时本地认证数据库中,并设置对应的老化定时器,在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息;
接入设备在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询所述临时本地认证数据库中是否存在所述MAC地址认证请求对应的用户认证信息,如果是,由所述接入设备对所述MAC地址认证请求进行MAC地址认证,否则,由RADIUS服务器对所述MAC地址认证请求进行MAC地址认证。
一种MAC地址认证装置,该装置包括本地认证数据库、远程认证缓冲模块和MAC地址认证模块;
所述临时本地认证数据库,用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息;
所述远程认证缓冲模块,用于在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到所述临时本地认证数据库中,并设置对应的老化定时器,在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息;
所述MAC地址认证模块,用于在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询所述临时本地认证数据库中是否存在所述MAC地址认证请求对应的用户认证信息,如果是,由所述接入设备对所述MAC地址认证请求进行MAC地址认证,否则,由RADIUS服务器对所述MAC地址认证请求进行MAC地址认证。
由上述技术方案可见,本发明实施例中,在接入设备设置临时本地认证数据库,用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息,具体地,在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到所述临时本地认证数据库中,并设置所述用户对应的老化定时器,在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息,这样,接入设备在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,首先查询临时本地认证数据库,如果在所述临时本地认证数据库中查找到存在所述MAC地址认证请求对应的用户认证信息,则由所述接入设备对所述MAC地址认证请求进行本地认证,只有在所述临时本地认证数据库中不存在所述MAC地址认证请求对应的用户认证信息时,才由RADIUS服务器对所述MAC地址认证请求进行远程认证。
因此,当用户经由RADIUS服务器对MAC地址进行远程认证成功上线以后,如果由于网络原因或者不合理的设置等原因导致下线,进而再次发起上线请求,由于该用户的认证信息已经被加入到临时本地认证数据库,因此,当再次发起上线请求时,可以直接由接入设备对其进行本地的MAC地址认证,而不必再由RADIUS服务器对其进行远程认证,因此,能够减轻RADIUS服务器的处理负担,并且,也不会由于此时RADIUS服务器较繁忙、或者RADIUS服务器与接入设备之间的网络出现故障等原因导致用户再次上线失败,从而提高了用户上线成功率。
另外,由于本发明实施例在将远程认证用户的认证信息加入到临时本地认证数据库时,设置了相应的老化定时器,因此除了能够避免用户在下线后的合理时间段内(即老化定时器超时以前)再次上线而对RADIUS服务器造成的处理负担、提高再次上线的成功率以外,还能够在所述合理时间段结束之后、即所述老化定时器超时之后,继续由RADIUS服务器对远程认证用户进行MAC地址认证,从而保证了认证的安全性和RADIUS服务器对远程认证用户的可控性。
附图说明
图1是本发明实施例提供的MAC地址认证方法的流程图。
图2是应用图1所示MAC地址认证方法的示例的系统组成示意图。
图3是本发明实施例提供的接入设备的硬件结构连接图。
图4是本发明实施例提供的MAC地址认证装置的结构示意图。
具体实施方式
本发明实施例提供了一种灵活的MAC地址认证方法,针对通过RADIUS服务器进行MAC地址认证而上线的远程认证用户,在其下线时,将其认证信息加入到临时本地认证数据库中去,当接入设备通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,优先从临时本地认证数据库中查找用户的认证信息,若存在,则按照本地认证方式由该接入设备完成相应用户的MAC地址认证,因此,能够一定程度上减轻RADIUS服务器的繁忙程度,也能够更灵活地完成MAC地址认证功能。
图1是本发明实施例提供的MAC地址认证方法的流程图。
如图1所示,该流程包括:
步骤101,接入设备在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到临时本地认证数据库中。
其中,现有技术中的本地认证数据库用于存储通过被配置为由接入设备进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息,与之不同的是,本发明实施例中所创建的临时本地认证数据库用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息,其中,只有在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,所述用户的认证信息才会存储到所述临时本地认证数据库。
其中,在将用户的认证信息存储到临时本地认证数据库中时,还进一步设置所述用户对应的老化定时器,从而在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息。
步骤102,接入设备在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询所述临时本地认证数据库中是否存在所述MAC地址认证请求对应的用户认证信息,如果是,执行步骤103,否则,执行步骤104。
步骤103,由所述接入设备对所述MAC地址认证请求进行MAC地址认证。
步骤104,由RADIUS服务器对所述MAC地址认证请求进行MAC地址认证。
可见,本发明实施例中,接入设备在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,优先从临时本地认证数据库中查找用户的认证信息,若查找到相应用户的认证信息,直接在接入设备本地进行MAC地址认证,如果本地认证通过,则允许该用户上线;若在临时本地认证数据库中查找不到相应用户的认证信息,再通过RADIUS服务器进行远程的MAC地址认证。
为了便于描述,将被配置为由RADIUS服务器进行MAC地址认证的端口称为远程认证端口,将通过所述远程认证端口向接入设备发送MAC地址认证请求的用户称为远程认证用户。
可见,通过本发明实施例,如果远程认证用户在一段时间内通过远程认证端口频繁反复上下线,则在第一次下线时,该远程认证用户的认证信息将被存入临时本地认证数据库,后续再次通过远程认证端口上线时,能够从临时本地认证数据库查找到该远程认证用户的认证信息,因此,只要由接入设备进行本地的MAC地址认证即可,不需要再由RADIUS服务器进行远程的MAC地址认证,因此能够避免某些远程认证用户在一段时间内通过远程认证端口频繁反复上下线给RADIUS服务器造成处理压力。
在避免远程认证用户通过远程认证端口频繁反复上下线给RADIUS服务器造成处理压力的同时,为了进一步提高RADIUS服务器对远程认证用户的可控性,本发明实施例提出,接入设备可以设置集中认证定时器,在所述集中认证定时器超时时,从所述临时本地认证数据库读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证,在接收到所述RADIUS服务器反馈的认证结果后,将所述读取的认证信息从所述临时本地认证数据库删除。
接入设备通过设置集中认证定时器,每当该集中认证定时器超时,接入设备都针对临时本地认证数据库中存储的认证信息对应的用户,通过RADIUS服务器进行MAC地址认证,认证通过后,RADIUS服务器就可以控制这些用户的强制下线等功能,若认证不通过,则通知接入设备将不通过的用户下线。每次完成集中认证后,接入设备将完成集中认证的用户从临时本地认证数据库中删除。
本发明实施例还提出,在集中认证过程中,接入设备向所述RADIUS服务器发送的集中认证请求中可以携带一个或两个以上用户的认证信息,并且接入设备接收所述RADIUS服务器对所述一个或两个以上用户的MAC地址认证结果。通过在集中认证请求中携带一个或两个以上用户的认证信息,可以通过与RADIUS服务器的一次网络连接实现对多个用户的MAC地址认证,进一步提高集中认证的效率,减少网络连接次数,节省网络资源。
如果在集中认证过程中,如果无法从所述RADIUS服务器获取MAC地址认证结果,比如RADIUS服务器因为故障或网络连接等问题无法完成MAC地址认证,或者,接入设备由于故障或网络连接等问题无法发送MAC地址认证请求或接收MAC地址认证结果,则可以记录无法从所述RADIUS服务器获取MAC地址认证结果的连续次数,将该连续次数与预设阈值比较,如果未超过预设阈值,则等待下一次集中认证定时器超时并继续向RADIUS服务器发起MAC地址认证,如果超过预设阈值,则接入设备将临时本地认证数据库中的认证信息对应的用户强制下线,并将临时本地认证数据库中的认证信息删除,避免RADIUS服务器由于长期无法完成MAC地址认证而失去对临时本地认证数据库中的认证信息对应的远程认证用户的控制,导致接入设备针对这些远程认证用户在不合理的时间长度内一直采用本地的MAC地址认证方式进行MAC地址认证,从而保证对远程认证用户进行MAC地址认证的可靠性。
其中,RADIUS服务器完成MAC地址认证得到的认证结果包括认证通过和认证不通过两种情况,当认证通过时,则用户可以继续访问网络资源,如果认证不通过,则RADIUS服务器可以指令接入设备将认证不通过的用户下线,并将认证不通过的用户的MAC地址加入到静默MAC地址列表,在静默时间内,对来自此MAC地址列表中的MAC地址的用户报文直接做丢弃处理,以防止非法MAC地址短时间内的重复认证。
下面,结合具体的例子,对本发明实施例提供的MAC地址认证方法的实施过程进行示例性的说明。
图2是应用图1所示MAC地址认证方法的示例的系统组成示意图。
如图2所示,用户主机Host1通过端口GigabitEthernet1/0/1连接到接入设备上,接入设备与RADIUS服务器相连,接入设备的端口GigabitEthernet1/0/1(GE1/0/1)被配置为通过RADIUS服务器对请求接入的用户进行MAC地址认证,以控制用户对Internet资源的访问,换言之,GigabitEthernet1/0/1(GE1/0/1)端口被配置为远程认证端口,其中,网络中包括IP地址为10.0.0.1的FTP服务器以及其他网络资源,当用户经过MAC地址认证成功并上线后,接入设备允许上线的用户访问FTP服务器以及其他网络资源。本例中,在MAC地址认证过程中,使用用户的源MAC地址做为该用户的用户名和密码。
接入设备可以预先创建动态的本地接入用户信息数据库,该动态的本地接入用户信息数据库相当于图1所示方法中的临时本地认证数据库,用于在通过RADIUS服务器进行MAC地址认证而上线的远程认证用户下线时,存储所述远程认证用户的认证信息。接入设备上还存在静态的本地接入用户信息数据库,用于存储通过被配置为由接入设备进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息。
用户主机Host1通过端口GigabitEthernet1/0/1连接到接入设备,当接入设备通过该GigabitEthernet1/0/1端口接收到用户主机Host1发送的MAC地址认证请求时,由于该GigabitEthernet1/0/1端口被配置为远程认证端口,因此,接入设备首先从临时本地认证数据库中查询该用户主机Host1的认证信息,如果没有查询到该用户主机Host1的认证信息,比如,该临时本地认证数据库为空,则该接入设备启动RADIUS服务器的远程认证方式,向RADIUS服务器发送MAC地址认证请求,以询问该用户是否能够上线。
RADIUS服务器接收所述MAC地址认证请求,由于该RADIUS服务器中存储有MAC地址为00-e0-fc-12-34的该用户主机1的用户信息,因此所述RADIUS服务器依据所述用户信息对所述MAC地址认证请求进行验证,假设验证结果为通过,则所述RADIUS服务器通知接入设备该用户可以上线。
接入设备接收到该通知后,在端口GigabitEthernet1/0/1上允许该用户主机1上线,该用户主机1可以访问相应的网络资源。
接入设备上设置有下线检测定时器,如果在该下线检测定时器计时期间,在线用户一直没有报文发出,则在该下线检测定时器超时时,该在线用户将被自动下线。
假设用户主机1在上线一段时间之后一直没有访问网络资源,接入设备在下线检测定时器的计时期间在端口GigabitEthernet1/0/1上一直没有检测到该用户主机1的报文流量,因此在该下线检测定时器超时时让该用户主机1下线,或者该接入设备的GigabitEthernet1/0/1端口突然出现了瞬间故障导致该用户主机1下线,总之,用户主机1由于除了RADIUS服务器指令其下线以外的其他原因而下线,则接入设备将该用户主机1的用户认证信息写入到本地的动态接入用户信息数据库、即临时本地认证数据库中,并为之启动一个老化定时器,比如启动一个5分钟的定时器。
假设老化定时器的定时时长为5分钟,如果该用户主机1在下线后5分钟以内又重新通过GigabitEthernet1/0/1端口向接入设备发起MAC地址认证从而请求上线,则接入设备在查找本地的动态接入用户信息数据库时将能够查找到该用户主机1的用户认证信息,因此接入设备本地针对该用户主机1进行MAC地址认证,并在认证通过后,允许该用户主机1访问网络资源,如果认证不通过,则不允许该用户主机1访问网络资源,直接从本地的动态接入用户信息数据库中删除该用户主机1的认证信息,同时将该用户主机1的MAC地址加入静默MAC列表中。
反之,如果该用户主机1是在下线5分钟之后又重新通过GigabitEthernet1/0/1端口向接入设备发起MAC地址认证从而请求上线,由于该用户已经下线超过5分钟,该用户在动态接入用户信息数据库中的认证信息因为老化定时器超时而被删除,因此,此时接入设备在查找本地的动态接入用户信息数据库时将无法查找到该用户主机1的用户认证信息,因此接入设备仍然请求RADIUS服务器对该用户主机1进行远程的MAC地址认证。
接入设备通过设置集中认证定时器,可以对动态接入用户信息数据库中的认证信息对应的用户由RADIUS服务器进行集中的MAC地址认证,以便RADIUS服务器能够对动态接入用户信息数据库中的认证信息对应的用户进行控制。
比如,假设所述用户主机1在下线后5分钟以内又重新通过GigabitEthernet1/0/1端口再次上线成功,如果接入设备的集中认证定时器是2分钟,则接入设备每隔2分钟会向RADIUS服务器发起一次集中认证,即,接入设备针对经由该接入设备进行本地的MAC地址认证而上线的远程认证用户,向RADIUS服务器发起MAC地址认证请求,如果RADIUS服务器通过相应远程认证用户的MAC地址认证,并通知相应远程认证用户可以上线,同时,接入设备将相应远程认证用户的认证信息从本地的动态接入用户数据库中删除,如果RADIUS服务器未通过相应远程认证用户的MAC地址认证,并通知相应远程认证用户下线,则接入设备将相应远程认证用户下线,并将其认证信息从本地的动态接入用户数据库中删除。
可见,当远程认证用户短时间内频繁反复上下线时,本发明实施例在一定程度上减轻了RADIUS服务器处理认证事件的负担,提高了MAC地址认证的效率。比如:在用户与接入设备相连的远程认证端口发生瞬时故障导致用户强制下线后又重新上线的情况下,采用本发明实施例可以大大减少接入设备与RADIUS服务器之间的认证报文交互,减轻了对RADIUS服务器的压力,节省了网络资源。
而且,本发明实施例还能够缓解由于网络故障导致采用RADIUS服务器进行MAC地址认证失败所带来的不利影响。比如:当接入设备与RADIUS服务器之间的网络出现短暂故障时,采用本发明实施例,可以保证某些远程认证用户能够通过在接入设备本地进行MAC地址认证的方式上线,待接入设备与RADIUS服务器之间的网络故障恢复后,再由接入设备通过RADIUS服务器集中对相应的远程认证用户进行MAC地址认证,从而避免接入设备与RADIUS服务器之间的网络故障的干扰。
针对上述方法,本发明实施例还公开了一种接入设备,该接入设备中包括MAC地址认证装置。
图3是本发明实施例提供的接入设备的硬件结构连接图。
如图3所示,该接入设备包括处理器、网络接口、内存和非易失性存储器,且上述各硬件通过总线连接,其中:
非易失性存储器,用于存储指令代码;所述指令代码被处理器执行时完成的操作主要为内存中的MAC地址认证装置完成的功能。
处理器,用于与非易失性存储器通信,读取和执行非易失性存储器中存储的所述指令代码,完成上述MAC地址认证装置完成的功能。
内存,当非易失性存储器中的所述指令代码被执行时完成的操作主要为内存中的MAC地址认证装置完成的功能。
从软件层面而言,应用于接入设备的MAC地址认证装置如图4所示。
图4是本发明实施例提供的MAC地址认证装置的结构示意图。
如图4所示,该装置包括临时本地认证数据库401、远程认证缓冲模块402和MAC地址认证模块403。
临时本地认证数据库401,用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息。
远程认证缓冲模块402,用于在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到所述临时本地认证数据库401中,并设置对应的老化定时器,在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息。
MAC地址认证模块403,用于在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询所述临时本地认证数据库401中是否存在所述MAC地址认证请求对应的用户认证信息,如果是,由所述接入设备对所述MAC地址认证请求进行MAC地址认证,否则,由RADIUS服务器对所述MAC地址认证请求进行MAC地址认证。
远程认证缓冲模块402,还可以用于设置集中认证定时器,在所述集中认证定时器超时时,从所述临时本地认证数据库401读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证,在接收到所述RADIUS服务器反馈的认证结果后,将所述读取的认证信息从所述临时本地认证数据库401删除。
远程认证缓冲模块402,具体可以用于向所述RADIUS服务器发送集中认证请求,所述集中认证请求中携带有一个或两个以上用户的认证信息,接收所述RADIUS服务器对所述一个或两个以上用户的MAC地址认证结果。
远程认证缓冲模块402,具体可以用于在通过RADIUS服务器对读取的认证信息进行MAC地址认证时,如果无法从所述RADIUS服务器获取MAC地址认证结果,则记录无法从所述RADIUS服务器获取MAC地址认证结果的连续次数,判断所述连续次数是否达到预设阈值,如果是,将所述临时本地认证数据库401中的认证信息对应的用户下线,并删除所述临时本地认证数据库401中的认证信息,否则,等待集中认证定时器下一次超时,并在下一次超时时,从所述临时本地认证数据库401读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证。
其中,所述认证完成可以包括认证通过或认证不通过。
远程认证缓冲模块402,具体可以用于在通过RADIUS服务器对读取的认证信息进行MAC地址认证不通过时,将认证不通过的用户下线,并将认证不通过的用户的MAC地址加入到静默MAC地址列表。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种MAC地址认证方法,其特征在于,该方法包括:
接入设备创建临时本地认证数据库,所述临时本地认证数据库用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息;
接入设备在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到所述临时本地认证数据库中,并设置对应的老化定时器,在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息;
接入设备在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询所述临时本地认证数据库中是否存在所述MAC地址认证请求对应的用户认证信息,如果是,由所述接入设备对所述MAC地址认证请求进行MAC地址认证,否则,由RADIUS服务器对所述MAC地址认证请求进行MAC地址认证;
接入设备设置集中认证定时器,在所述集中认证定时器超时时,从所述临时本地认证数据库读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证,在接收到所述RADIUS服务器反馈的认证结果后,将所述读取的认证信息从所述临时本地认证数据库删除。
2.根据权利要求1所述的方法,其特征在于,由RADIUS服务器对读取的认证信息进行MAC地址认证包括:
接入设备向所述RADIUS服务器发送集中认证请求,所述集中认证请求中携带一个或者多个用户的认证信息,接收所述RADIUS服务器对所述一个或者多个用户的MAC地址认证结果。
3.根据权利要求1或2所述的方法,其特征在于,该方法还包括:
在通过RADIUS服务器对读取的认证信息进行MAC地址认证时,如果无法从所述RADIUS服务器获取MAC地址认证结果,则接入设备记录无法从所述RADIUS服务器获取MAC地址认证结果的连续次数,判断所述连续次数是否达到预设阈值,如果是,接入设备将所述临时本地认证数据库中的认证信息对应的用户下线,并删除所述临时本地认证数据库中的认证信息,否则,等待集中认证定时器下一次超时,并在下一次超时时,从所述临时本地认证数据库读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证。
4.根据权利要求1或2所述的方法,其特征在于,该方法还包括:
在通过RADIUS服务器对读取的认证信息进行MAC地址认证不通过时,接入设备将认证不通过的用户下线,并将认证不通过的用户的MAC地址加入到静默MAC地址列表。
5.一种MAC地址认证装置,其特征在于,该装置包括临时本地认证数据库、远程认证缓冲模块和MAC地址认证模块;
所述临时本地认证数据库,用于存储通过被配置为由RADIUS服务器进行MAC地址认证的端口接收的MAC地址认证请求对应的用户认证信息;
所述远程认证缓冲模块,用于在通过RADIUS服务器进行MAC地址认证而上线的用户下线时,将所述用户的认证信息存储到所述临时本地认证数据库中,并设置对应的老化定时器,在所述老化定时器超时时,从所述临时本地认证数据库中删除所述用户的认证信息;所述MAC地址认证模块,用于在通过被配置为由RADIUS服务器进行MAC地址认证的端口接收用户的MAC地址认证请求时,查询所述临时本地认证数据库中是否存在所述MAC地址认证请求对应的用户认证信息,如果是,由接入设备对所述MAC地址认证请求进行MAC地址认证,否则,由RADIUS服务器对所述MAC地址认证请求进行MAC地址认证;
所述远程认证缓冲模块,还用于设置集中认证定时器,在所述集中认证定时器超时时,从所述临时本地认证数据库读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证,在接收到所述RADIUS服务器反馈的认证结果后,将所述读取的认证信息从所述临时本地认证数据库删除。
6.根据权利要求5所述的装置,其特征在于,
所述远程认证缓冲模块,用于向所述RADIUS服务器发送集中认证请求,所述集中认证请求中携带有一个或者多个用户的认证信息,接收所述RADIUS服务器对所述一个或者多个用户的MAC地址认证结果。
7.根据权利要求5或6所述的装置,其特征在于,
所述远程认证缓冲模块,用于在通过RADIUS服务器对读取的认证信息进行MAC地址认证时,如果无法从所述RADIUS服务器获取MAC地址认证结果,则记录无法从所述RADIUS服务器获取MAC地址认证结果的连续次数,判断所述连续次数是否达到预设阈值,如果是,将所述临时本地认证数据库中的认证信息对应的用户下线,并删除所述临时本地认证数据库中的认证信息,否则,等待集中认证定时器下一次超时,并在下一次超时时,从所述临时本地认证数据库读取用户的认证信息,通过RADIUS服务器对读取的认证信息进行MAC地址认证。
8.根据权利要求5或6所述的装置,其特征在于,
所述远程认证缓冲模块,用于在通过RADIUS服务器对读取的认证信息进行MAC地址认证不通过时,将认证不通过的用户下线,并将认证不通过的用户的MAC地址加入到静默MAC地址列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510406247.8A CN105592037B (zh) | 2015-07-10 | 2015-07-10 | 一种mac地址认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510406247.8A CN105592037B (zh) | 2015-07-10 | 2015-07-10 | 一种mac地址认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592037A CN105592037A (zh) | 2016-05-18 |
| CN105592037B true CN105592037B (zh) | 2019-03-15 |
Family
ID=55931255
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510406247.8A Active CN105592037B (zh) | 2015-07-10 | 2015-07-10 | 一种mac地址认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592037B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453408B (zh) * | 2016-11-21 | 2020-01-03 | 新华三技术有限公司 | 一种防仿冒下线攻击的方法和装置 |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN106911687B (zh) * | 2017-02-20 | 2020-04-10 | 深圳国泰安教育技术有限公司 | 一种页面构建控制方法和装置 |
| CN107547501B (zh) * | 2017-05-26 | 2020-05-12 | 新华三技术有限公司 | 身份认证方法及装置 |
| CN107332649B (zh) * | 2017-06-28 | 2020-05-08 | 迈普通信技术股份有限公司 | 802.1x客户端下线方法及802.1x系统 |
| CN108259457B (zh) * | 2017-09-27 | 2021-06-29 | 新华三技术有限公司 | 一种web认证方法及装置 |
| CN108076500B (zh) * | 2017-12-13 | 2021-04-02 | 北京小米移动软件有限公司 | 局域网管理的方法、装置及计算机可读存储介质 |
| CN108712312B (zh) * | 2018-05-31 | 2021-05-07 | 新华三技术有限公司 | 上线认证请求调度方法、装置及计算机设备 |
| CN109274657A (zh) * | 2018-09-04 | 2019-01-25 | 深圳市吉祥腾达科技有限公司 | 一种基于web进行接入认证的方法与系统 |
| CN109005119B (zh) * | 2018-09-29 | 2021-02-09 | 新华三技术有限公司合肥分公司 | 一种设置mac地址认证下线检测时间的方法及交换机 |
| CN115567261A (zh) * | 2022-09-20 | 2023-01-03 | 浪潮思科网络科技有限公司 | 一种接入设备的认证方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212294A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 上网认证的实现方法和系统 |
| CN101232372A (zh) * | 2007-01-26 | 2008-07-30 | 华为技术有限公司 | 认证方法、认证系统和认证装置 |
| KR100904215B1 (ko) * | 2008-11-19 | 2009-06-25 | 넷큐브테크놀러지 주식회사 | 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 |
| CN102137401A (zh) * | 2010-12-09 | 2011-07-27 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
| CN102185871A (zh) * | 2011-06-09 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种报文的处理方法和设备 |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及系统 |
-
2015
- 2015-07-10 CN CN201510406247.8A patent/CN105592037B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212294A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 上网认证的实现方法和系统 |
| CN101232372A (zh) * | 2007-01-26 | 2008-07-30 | 华为技术有限公司 | 认证方法、认证系统和认证装置 |
| KR100904215B1 (ko) * | 2008-11-19 | 2009-06-25 | 넷큐브테크놀러지 주식회사 | 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 |
| CN102137401A (zh) * | 2010-12-09 | 2011-07-27 | 华为技术有限公司 | 无线局域网集中式802.1x认证方法及装置和系统 |
| CN102185871A (zh) * | 2011-06-09 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种报文的处理方法和设备 |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592037A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105592037B (zh) | 一种mac地址认证方法和装置 | |
| CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
| CN105337949B (zh) | 一种SSO认证方法、web服务器、认证中心和token校验中心 | |
| CN104283848B (zh) | 终端接入方法和装置 | |
| CN105939348B (zh) | Mac地址认证方法以及装置 | |
| CN105323253B (zh) | 一种身份验证方法及装置 | |
| CN112822222B (zh) | 登录验证方法、自动登录的验证方法、服务端及客户端 | |
| CN107770140A (zh) | 一种单点登录认证方法及装置 | |
| CN105450614B (zh) | 一种服务器账户登录方法、装置以及系统 | |
| CN106060072B (zh) | 认证方法以及装置 | |
| CN102984173A (zh) | 网络接入控制方法及系统 | |
| CN107835155B (zh) | 一种双认证保护方法及装置 | |
| CN109802835A (zh) | 一种安全认证方法、系统及api网关 | |
| WO2017177691A1 (zh) | 一种入口认证方法和系统 | |
| CN105991518B (zh) | 网络接入认证方法及装置 | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| CN104821940A (zh) | 一种发送portal重定向地址的方法及设备 | |
| WO2015131524A1 (zh) | 远程访问服务器的方法及web服务器 | |
| CN109818742A (zh) | 一种设备调试方法、装置及存储介质 | |
| US7917941B2 (en) | System and method for providing physical web security using IP addresses | |
| CN108111486B (zh) | 一种免重复登录的方法及装置 | |
| CN103024040A (zh) | 处理网页认证用户重复登录的方法和系统 | |
| CN104837134B (zh) | 一种Web认证用户登录方法、设备和系统 | |
| CN106162640A (zh) | 一种portal认证方法及系统 | |
| CN107566329A (zh) | 一种访问控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |