CN105959251B - 一种防止nat穿越认证的方法及装置 - Google Patents
一种防止nat穿越认证的方法及装置 Download PDFInfo
- Publication number
- CN105959251B CN105959251B CN201510752009.2A CN201510752009A CN105959251B CN 105959251 B CN105959251 B CN 105959251B CN 201510752009 A CN201510752009 A CN 201510752009A CN 105959251 B CN105959251 B CN 105959251B
- Authority
- CN
- China
- Prior art keywords
- address
- authentication
- message
- client
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防止NAT穿越认证的方法及装置,所述方法应用于认证设备,所述方法包括:收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;判断所述第一IP地址与所述第二IP地址是否相同;若不相同,则返回认证失败报文。因此可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防止NAT穿越认证的方法及装置。
背景技术
在宽带接入网络中,安全认证既能防止用户非法使用网络,也能保证用户的上网行为可以被实名审计,是网络管理的重要方法之一。
安全认证一般要求一个帐号只允许一个用户上网使用,而标识用户身份的方法通常是使用客户端的IP地址与账户相关联。但是由于NAT技术的普及,当多个用户通过一台NAT设备访问网络时,由于每个用户都可以分配到相同的公网地址,也就可以都使用该公网地址对应的认证账户访问网络资源。这种一个账户多人共享的情况,不仅会影响网络安全监管,还会给网络运营商带来极大的损失。
发明内容
有鉴于此,本发明提供一种防止NAT穿越认证的方法及装置来解决一个账户多人共享的问题。
具体地,本发明是通过如下技术方案实现的:
本发明通过一种防止NAT穿越认证的方法,所述方法应用于认证设备,所述方法包括:
收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;
判断所述第一IP地址与所述第二IP地址是否相同;
若不相同,则返回认证失败报文。
进一步的,所述第一IP地址为所述认证报文的源IP地址;
所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。
进一步的,所述方法还包括:
收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址;
判断所述目的IP地址是否为所述认证设备自身的IP地址;
若是,则将所述认证设备自身的IP地址发送至所述客户端。
进一步的,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。
进一步的,所述方法还包括:
若所述第一IP地址与所述第二IP地址相同,则进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
基于相同的构思,本发明还提供一种防止NAT穿越认证的装置,所述装置应用于认证设备,所述装置包括:
地址获取单元,用于收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;
地址判断单元,用于判断所述第一IP地址与所述第二IP地址是否相同;
报文返回单元,用于在所述第一IP地址与所述第二IP地址不相同时,返回认证失败报文。
进一步的,所述第一IP地址为所述认证报文的源IP地址;
所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。
进一步的,所述装置还包括:
地址发送单元,用于在收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址,判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。
进一步的,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。
进一步的,所述报文返回单元,还用于在所述第一IP地址与所述第二IP地址相同时,进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
附图说明
图1是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的处理流程图;
图2是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的交互流程图;
图3本发明一种示例性实施方式中的防止NAT穿越认证的装置所在的认证设备的硬件结构图;
图4本发明一种示例性实施方式中的一种防止NAT穿越认证的装置的逻辑结构图。
具体实施方式
为了解决现有技术存在的问题,本发明提供一种防止NAT穿越认证的方法及装置,可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
请参考图1,是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的处理流程图,其中该方法应用于认证设备。所述方法包括:
步骤101、收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;
在本实施例中,当用户通过客户端进行认证时,客户端会向认证设备发送认证报文,所述认证报文中包括第一IP地址以及所述认证报文携带第二IP地址。所述第一IP地址为所述认证报文的源IP地址;所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。因此当认证设备收到认证报文时,可以从认证报文中获取所述第一IP地址和第二IP地址。
步骤102、判断所述第一IP地址与所述第二IP地址是否相同;
当认证设备获取认证报文中的所述第一IP地址和第二IP地址后,可以进一步判断所述第一IP地址和第二IP地址是否相同。
步骤103、若所述第一IP地址与所述第二IP地址不相同,则返回认证失败报文。
当认证设备判断所述第一IP地址与所述第二IP地址相同,则可以确认所述认证报文是客户端未经过NAT穿越发送而来的,因此可以向该客户端返回认证成功报文,以使该客户端通过认证并开始验证认证报文中携带的用户名及密码等认证信息,即将认证报文中的用户名和密码与本地保存的用户名和密码进行比较,若认证设备判断所述第一IP地址与所述第二IP地址不同,则可以认为所述认证报文是客户端经过NAT穿越发送而来的,因此可以向该客户端返回认证失败报文来拒绝访问网络。
另外,若所述第一IP地址与所述第二IP地址相同则可以认为所述认证报文是未经过NAT穿越发送而来的,因此可以进一步获取该认证报文中的认证信息,例如用户名和密码等,并对该认证信息进行验证,若验证通过,则可以允许该客户端访问网络。
由于现有技术中仅通过用户名和密码进行认证,无法通过这些信息来判断认证报文是否经过NAT穿越。由于NAT穿越后,源IP地址会发生变化。因此本发明可以通过在认证报文中携带客户端的IP地址,从而可以由认证设备将认证报文的源IP地址与其携带的客户端的IP地址进行比较来判断该认证报文是否经过NAT穿越而来。从而可以有效避免NAT穿越认证导致的一个账户多人共享的问题。
由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
需要说明的是,当客户端首次发送报文时,需要先获知该认证设备的IP地址。在在本发明可选的实施例中,管理员可以为客户端预先设置目的IP地址。该目的IP地址可以为管理员与认证设备预先约定好的非网络预留的私网IP地址。当客户端首次发送报文时,可以发送目的IP地址为预设目的IP地址的单播报文。由于非网络预留的IP地址不属于国内公网地址,也不属于内网预留地址,因此该报文可以通过默认路由在网络中转发,并且该报文是单播报文,因此可以跨三层网络转发。当收到客户端根据预设目的IP地址发送的单播报文时,可以获取所述目的IP地址;然后判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。则客户端可以获取该认证设备的IP地址以便于后续发送认证报文。
为使本发明的目的、技术方案及优点更加清楚明白,下面对本发明该方案作进一步地详细说明。
请参考图2是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的交互流程图,其中包括:
当客户端首次发送报文时,可以根据管理员预设的IP地址1.2.1.2作为首次发送的单播报文的目的IP地址。由于IP地址1.2.1.2的不属于国内公网地址,也不属于内网预留地址,因此该报文可以通过默认路由在网络中转发,并且单播报文可以跨三层网络转发,因此当认证设备收到目的地址为1.2.1.2的报文后,发现该IP地址是预先约定的IP地址,因此可以确认该报文为客户端的发现报文,因此认证设备可以在响应报文中携带自己的IP地址,发送到该客户端,因此客户端后续发送的报文的目的地址则为该认证设备的IP地址。之后,当所述客户端进行认证时,可以向所述认证设备发送认证报文,其中认证报文包括用户名、密码、客户端的IP地址,以及源IP地址和目的IP地址。
若是在有源NAT设备的网络环境中,该认证报文经过NAT设备后,其源IP地址将会变为NAT地址池中的IP地址,因此当该认证报文到达认证设备后,该认证设备可以获取该认证报文的源IP地址和报文中携带的客户端的IP地址比较,如果上述两个IP地址不同,则说明认证报文经过了NAT设备,因此该认证设备可以向所述客户端返回的认证响应报文,已通知客户端认证失败;如果上述两个IP地址相同,则说明认证报文未经过NAT设备,因此该认证设备可以进一步进行用户名和密码的验证,并在验证成功后返回认证响应报文,已通知客户端认证成功。之后,认证设备可以将该客户端添加到白名单中,从而使客户端可以正常上网。并且,在客户端访问网络过程中,可以与认证设备之间定时发送心跳报文。
由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
基于相同的构思,本发明还提供一种防止NAT穿越认证的装置,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的防止NAT穿越认证的装置作为一个逻辑意义上的装置,是通过其所在认证设备的CPU将存储器中对应的计算机程序指令读取后运行而成。
请参考图3及图4,是本发明一种示例性实施方式中的一种防止NAT穿越认证的装置400,所述装置应用于认证设备,该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置400包括:
地址获取单元401,用于收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;
地址判断单元402,用于判断所述第一IP地址与所述第二IP地址是否相同;
报文返回单元403,用于在所述第一IP地址与所述第二IP地址不相同时,返回认证失败报文。
可选的,所述第一IP地址为所述认证报文的源IP地址;
所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。
可选的,所述装置还包括:
地址发送单元404,用于在收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址,判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。
可选的,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。
可选的,所述报文返回单元403,还用于在所述第一IP地址与所述第二IP地址相同时,进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种防止NAT穿越认证的方法,其特征在于,所述方法应用于认证设备,所述方法包括:
收到认证报文时,获取所述认证报文中的第一IP地址与所述认证报文携带的第二IP地址;
判断所述第一IP地址与所述第二IP地址是否相同;
若不相同,则返回认证失败报文;
收到客户端根据预设目的IP地址发送的单播报文时,获取所述单播报文的目的IP地址;判断所述单播报文的目的IP地址是否为预先约定的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端,所述预设目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。
2.根据权利要求1所述的方法,其特征在于,
所述第一IP地址为所述认证报文的源IP地址;
所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一IP地址与所述第二IP地址相同,则进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
4.一种防止NAT穿越认证的装置,其特征在于,所述装置应用于认证设备,所述装置包括:
地址获取单元,用于收到认证报文时,获取所述认证报文中的第一IP地址与所述认证报文携带的第二IP地址;
地址判断单元,用于判断所述第一IP地址与所述第二IP地址是否相同;
报文返回单元,用于在所述第一IP地址与所述第二IP地址不相同时,返回认证失败报文;
地址发送单元,用于在收到客户端根据预设目的IP地址发送的单播报文时,获取所述单播报文的目的IP地址,判断所述单播报文的目的IP地址是否为预先约定的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端,所述预设目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。
5.根据权利要求4所述的装置,其特征在于,
所述第一IP地址为所述认证报文的源IP地址;
所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。
6.根据权利要求4所述的装置,其特征在于,
所述报文返回单元,还用于在所述第一IP地址与所述第二IP地址相同时,进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510752009.2A CN105959251B (zh) | 2015-11-06 | 2015-11-06 | 一种防止nat穿越认证的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510752009.2A CN105959251B (zh) | 2015-11-06 | 2015-11-06 | 一种防止nat穿越认证的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105959251A CN105959251A (zh) | 2016-09-21 |
CN105959251B true CN105959251B (zh) | 2019-12-06 |
Family
ID=56917200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510752009.2A Active CN105959251B (zh) | 2015-11-06 | 2015-11-06 | 一种防止nat穿越认证的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105959251B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951562B (zh) * | 2019-03-29 | 2020-12-25 | 深圳市网心科技有限公司 | Nat穿透方法和系统、电子设备和存储介质 |
CN112565182B (zh) * | 2020-10-28 | 2023-06-27 | 锐捷网络股份有限公司 | 数据处理方法、系统、电子设备及网关设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125568A (zh) * | 2014-08-11 | 2014-10-29 | 醴陵恒茂电子科技有限公司 | 无线接入点安全认证方法和系统 |
CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610156B (zh) * | 2009-08-04 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种双协议栈用户认证的方法、设备及系统 |
-
2015
- 2015-11-06 CN CN201510752009.2A patent/CN105959251B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125568A (zh) * | 2014-08-11 | 2014-10-29 | 醴陵恒茂电子科技有限公司 | 无线接入点安全认证方法和系统 |
CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105959251A (zh) | 2016-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9515888B2 (en) | Wireless local area network gateway configuration | |
CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
CN105635084B (zh) | 终端认证装置及方法 | |
CN106790758B (zh) | 一种访问nat网络内部的网络对象的方法及装置 | |
CN104144163B (zh) | 身份验证方法、装置及系统 | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN104580553B (zh) | 网络地址转换设备的识别方法和装置 | |
CN109413649B (zh) | 一种接入认证方法及装置 | |
CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
US20120030351A1 (en) | Management server, communication cutoff device and information processing system | |
CN104219339A (zh) | 一种检测局域网中地址解析协议攻击的方法及装置 | |
CN105592180B (zh) | 一种Portal认证的方法和装置 | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
CN111935123B (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
WO2018076675A1 (zh) | 一种网络接入方法、路由设备和终端和计算机存储介质 | |
EP3545451A1 (en) | Automatic forwarding of access requests and responses thereto | |
CN113542094A (zh) | 访问权限的控制方法及装置 | |
WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
CN105959251B (zh) | 一种防止nat穿越认证的方法及装置 | |
CN108076500B (zh) | 局域网管理的方法、装置及计算机可读存储介质 | |
US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
CN110166474B (zh) | 一种报文处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |