CN106059802B - 一种终端接入认证方法及装置 - Google Patents
一种终端接入认证方法及装置 Download PDFInfo
- Publication number
- CN106059802B CN106059802B CN201610355907.9A CN201610355907A CN106059802B CN 106059802 B CN106059802 B CN 106059802B CN 201610355907 A CN201610355907 A CN 201610355907A CN 106059802 B CN106059802 B CN 106059802B
- Authority
- CN
- China
- Prior art keywords
- authenticated
- access
- dumb terminal
- authentication
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种终端接入认证方法及装置。所述方法包括:接入设备根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,所述第一访问权限为预设的访客访问权限。应用本发明实施例,能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种终端接入认证方法及装置。
背景技术
在现有的企业实际网络中,终端通常包括哑终端与非哑终端,哑终端包括IP电话、网络打印机等,非哑终端包括台式电脑、笔记本电脑、平板电脑和智能手机等。它们在接入企业网络时都需要进行接入认证。
现有技术中,由于哑终端具有无用户界面等自身特点,其一般采用MAC无感知认证,这种认证方式无需用户干预,由终端自动发起。而非哑终端一般采用用户手工认证的方式,即需要用户输入用户名和密码以完成连网认证操作,实现专属于该用户的访问权限。在网络实际部署时,哑终端与非哑终端都通过接入设备向认证服务器进行认证。图1为终端、接入设备和认证服务器的一种连接示意图。由于接入设备数量众多,如果一一区分哑终端和办公用机的接入端口,接入设备的工作量将非常大,后期也难以维护。因此,部署时不再区分哑终端和非哑终端,接入设备的端口下同时启用用户手工认证与MAC无感知认证。
这样就导致一个问题,在非哑终端通过手工认证接入网络前,接入设备会将该非哑终端当做哑终端,从而发起MAC无感知认证,当该MAC无感知认证无法通过认证时,该端口会不断地重复发起认证请求,并且,该认证请求发送的频率很高,直到用户发起手工认证并认证通过,这种重复的无感知认证请求才停止。而这种高频的无感知认证请求将导致认证服务器性能降低,影响其对正常认证请求的及时响应。
发明内容
本发明实施例的目的在于提供了一种终端接入认证方法及装置,能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
为了达到上述目的,本发明公开了一种终端接入认证方法,应用于接入设备,所述方法包括:
根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;
接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;
确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
为了达到上述目的,本发明公开了另一种终端接入认证方法,应用于认证服务器,所述方法包括:
接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址;
根据所述第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一MAC地址对应的第一组策略;
向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
为了达到上述目的,本发明公开了一种终端接入认证装置,应用于接入设备,所述装置包括:
第一发送模块,用于根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;
第一接收模块,用于接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;
第一确定模块,用于确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
为了达到上述目的,本发明公开了另一种终端接入认证装置,应用于认证服务器,所述装置包括:
第二接收模块,用于接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址;
第二确定模块,用于根据所述第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一MAC地址对应的第一组策略;
第二发送模块,用于向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
由上述技术方案可见,本发明实施例中,接入设备首先根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;认证服务器接收接入设备发送的MAC无感知认证请求,并根据第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定第一MAC地址对应的第一组策略,然后向接入设备发送第一组策略;接入设备接收认证服务器根据所述第一MAC地址反馈的第一组策略,然后确定第一组策略对应的第一访问权限,并根据第一访问权限确定待认证非哑终端的访问权限。
也就是说,本实施例中,接入设备将针对待认证非哑终端的MAC无感知认证请求发送至认证服务器,认证服务器反馈针对待认证非哑终端的第一组策略,并将其发送至接入设备,接入设备根据第一组策略对应的第一访问权限,确定待认证非哑终端的访问权限,由于确定了待认证非哑终端的访问权限后即完成了待认证非哑终端向认证服务器的认证请求,接入设备不会再发起针对待认证非哑终端的MAC无感知认证请求,因此能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为终端、接入设备和认证服务器的一种连接示意图;
图2为本发明实施例提供的一种终端接入认证方法的流程示意图;
图3为本发明实施例提供的另一种终端接入认证方法的流程示意图;
图4为本发明实施例提供的一种终端接入认证装置的结构示意图;
图5为本发明实施例提供的另一种终端接入认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种终端接入认证方法及装置,能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
本发明中,要解决的主要问题是,由于接入设备无法区分非哑终端和哑终端,通常它会将端口对应的设备都当做哑终端来处理,即针对非哑终端也会发起MAC无感知认证,非哑终端在没有通过MAC无感知认证的情况下不断发起MAC无感知认证的问题。为了解决这个问题,一种思路是,可以允许非哑终端通过MAC无感知认证,但是只是授予非哑终端很小的访问权限。具体的访问权限的制定可以根据不同厂商的规定来实现。
下面通过具体实施例,对本发明进行详细说明。
图2为本发明实施例提供的一种终端接入认证方法的流程示意图,应用于接入设备,所述方法包括如下步骤:
步骤S201:根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求。
其中,非哑终端可以是台式电脑、笔记本电脑、平板电脑和智能手机等设备。对应的,哑终端可以是IP电话、打印机、复印机、传真机、绘图仪、扫描仪等设备。接入设备可以是交换机、路由器等设备。认证服务器可以是具备认证、授权、计费功能的服务器。
可以理解的是,待认证非哑终端与接入设备的相应端口相连。当待认证非哑终端有认证需求时,接入设备上与该待认证非哑终端对应的端口可以感知到非哑终端有连网需求,但是接入设备无法区分该端口对应的设备是哑终端还是非哑终端,它通常会将每个端口对应的设备都当做哑终端来对待,发起MAC无感知认证请求。因此,接入设备便根据该待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求。具体的,待认证非哑终端可以在多种情况下有认证需求,包括需要连接网络时或需要执行特定操作时等。
具体的,第一MAC地址可以通过预先保存在接入设备上的ARP表获取,即,当接入设备感知到待认证非哑终端有认证需求时,直接获取第一MAC地址。也可以是,待认证非哑终端向接入设备发送自身的第一MAC地址。当然,获得第一MAC地址还可以包括其他方式,本发明实施例对此不做限定。
步骤S202:接收所述认证服务器根据所述第一MAC地址反馈的第一组策略。
其中,第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的,组策略代表一系列的访问权限,是表征访问权限的分组的策略。本实施例中,组策略可以是访问权限的分组的策略名称,也可以是访问权限的具体策略内容。例如,设定MAC地址段对应的组策略的策略名称为策略A,策略A的具体策略内容包括:允许访问IP地址为1.1.1.1的服务器的内容,不允许访问除上述IP地址之外的其他IP地址。
值得指出的是,由于本实施例是在待认证非哑终端进行手工认证之前为其开放的部分访问权限,是为了避免待认证非哑终端因无法通过MAC无感知认证而不断发起MAC无感知认证的问题所作出的对策。因此,组策略对应的访问权限属于访客访问权限,不同于手工认证获得的访问权限,该访客访问权限是同一组策略对应的非哑终端共同具有的访问权限,是一种受限制的、只能实现部分连网功能的权限。与其对应的非访客访问权限则是,用户通过手工认证获得的针对每个用户的个性化的访问权限。其中,手工认证一般需要通过用户名和密码来实现。
例如,有的厂商非常注重安全性,出于对安全的考虑,上述访客访问权限可以是允许待认证非哑终端访问微软服务器和防病毒软件服务器。这样,有利于非哑终端自动更新操作系统和防病毒软件的补丁。
也可以是,有的厂商非常注重物流信息的时效性,那么上述访客访问权限可以是允许待认证非哑终端访问物流公司服务器。这样,非哑终端可以尽可能早地获取到最新的物流信息。
进一步的,不同厂商可以根据MAC地址段设定不同的组策略,即不同的MAC地址段可以对应不同的访客访问权限。
需要说明的是,非哑终端的MAC地址与组策略的对应关系是预先配置在认证服务器中的。
步骤S203:确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限。
其中,所述第一访问权限为预设的访客访问权限。
具体的,如果接入设备接收到的第一组策略包括策略名称,并没有包括第一组策略的具体策略内容,那么接入设备根据预先保存的组策略与访问权限的对应关系,确定第一组策略对应的第一访问权限。如果接入设备接收到的第一组策略包括第一组策略的具体策略内容,那么接入设备直接根据第一组策略的具体策略内容确定第一访问权限。
当确定第一访问权限之后,可以将第一访问权限确定为待认证非哑终端的访问权限,也可以根据第一访问权限得到第二访问权限,将第二访问权限确定为待认证非哑终端的访问权限,其中,第二访问权限为与第一访问权限不同的访问权限。当然,本发明实施例对根据第一访问权限确定待认证非哑终端的访问权限的具体过程不做限定。
由上述内容可知,本实施例中,接入设备将针对待认证非哑终端的MAC无感知认证请求发送至认证服务器,接收认证服务器反馈的针对待认证非哑终端的第一组策略,然后根据确定的第一组策略对应的第一访问权限,确定待认证非哑终端的访问权限。由于确定了待认证非哑终端的访问权限后即完成了待认证非哑终端向认证服务器的认证请求,接入设备不会再发起针对待认证非哑终端的MAC无感知认证请求,因此能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
当待认证非哑终端通过MAC无感知认证之后,接入设备还可以发起针对待认证非哑终端的手工认证请求,以求完成针对待认证非哑终端的手工认证。因此,在本发明的另一实施例中,对图2所示实施例进行改进,具体的,在图2所示实施例之后,所述方法还可以包括:
步骤1:向所述认证服务器发送所述待认证非哑终端的手工认证请求。
具体的,接入设备可以在接收到待认证非哑终端发送的手工认证指令后执行步骤1,也可以在接收到待认证非哑终端发送的用户名、密码、MAC地址等信息之后执行步骤1。当然,执行步骤1的触发条件还可以有其他的,本发明对此不做限定。
在实际应用中,手工认证请求可以为采用802.1x协议的认证,也可以为采用Portal协议的认证,当然,也可以包括其他手工认证方式,本发明对此不做具体限定。手工认证请求可以采用对现有技术中的报文加以改进后的报文实现发送,也可以采用其他报文形式发送。具体的,向认证服务器发送待认证非哑终端的手工认证请求属于现有技术,其具体过程此处不再赘述。
步骤2:接收所述认证服务器发送的针对所述待认证非哑终端的第一下线请求。
其中,第一下线请求可以采用对现有技术中的报文加以改进后的报文实现发送,也可以采用其他报文形式发送,本发明对此不做限定。
当认证服务器接收到手工认证请求时,会首先判断待认证非哑终端是否已经通过MAC无感知认证,如果是,则发送第一下线通知,以使待认证非哑终端的MAC无感知认证下线,便于响应针对待认证非哑终端的手工认证过程。
步骤3:响应所述第一下线请求,释放所述待认证非哑终端的第一访问权限,并向所述认证服务器反馈所述待认证非哑终端的第一下线通知,以使所述认证服务器响应所述手工认证请求。
需要说明的是,响应第一下线请求即是释放待认证非哑终端的第一访问权限,取消待认证非哑终端的第一访问权限。
图3为本发明实施例提供的另一种终端接入认证方法的流程示意图,应用于认证服务器,所述方法具体包括如下步骤:
步骤S301:接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求。
其中,所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址。
可以理解的是,认证服务器能够根据MAC地址识别出哑终端和非哑终端,这属于现有技术,其具体过程此处不再赘述。
步骤S302:根据所述第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一MAC地址对应的第一组策略。
具体的,认证服务器从非哑终端的MAC地址与组策略的对应关系中查找该第一MAC地址,将查找到的第一MAC地址对应的组策略确定为第一组策略。如果认证服务器无法从非哑终端的MAC地址与组策略的对应关系中查找到第一MAC地址,则不做处理。此时,说明该待认证非哑终端的MAC地址没有被预先配置在认证服务器中,或者该MAC无感知认证请求属于虚假请求。
步骤S303:向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限。
其中,所述第一访问权限为预设的访客访问权限。
由上述内容可知,本实施例中,认证服务器根据待认证非哑终端的第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定待认证非哑终端的第一组策略,并将第一组策略发送至接入设备,以使接入设备确定第一组策略对应的第一访问权限,并根据第一访问权限确定待认证非哑终端的访问权限。由于确定了待认证非哑终端的访问权限后即完成了待认证非哑终端向认证服务器的认证请求,接入设备不会再发起针对待认证非哑终端的MAC无感知认证请求,因此能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
当待认证非哑终端通过MAC无感知认证之后,认证服务器还可以接收到接入设备针对待认证非哑终端发起的手工认证请求,还要完成针对待认证非哑终端的手工认证。因此,在本发明的另一实施例中,在图3所示实施例中,所述方法还可以包括:
步骤1:接收所述接入设备发送的针对所述待认证非哑终端的手工认证请求。
其中,手工认证即是指需要用户手工输入用户名和密码的认证方式。接入设备通过与认证服务器的一系列认证交互,最终完成非哑终端的手工认证后,非哑终端可以获得预先设定的专属于该用户的访问权限。
步骤2:根据所述第一MAC地址,判断所述待认证非哑终端是否已通过MAC无感知认证,如果是,则执行步骤3。
如果判断出待认证非哑终端没有通过MAC无感知认证,则执行响应所述手工认证请求的步骤。具体的,可以判断是否能够从MAC无感知认证在线列表中查找到该第一MAC地址,如果是,则说明待认证非哑终端已通过MAC无感知认证,否则,说明待认证非哑终端没有通过MAC无感知认证。当然,判断待认证非哑终端是否已通过MAC无感知认证还可以有其他具体的实施方式,本发明对此不做具体限定。
需要说明的是,第一MAC地址可以是从手工认证请求中获得的,也可以是认证服务器根据手工认证请求中的标识向接入设备索取的,当然,第一MAC地址还可以是采用其他方式获得的,本发明对此不做具体限定。
步骤3:向所述接入设备发送针对所述待认证非哑终端的第一下线请求。
步骤4:接收所述接入设备反馈的针对所述待认证非哑终端的第一下线通知,并响应所述手工认证请求。
可以理解的是,当待认证非哑终端的MAC无感知认证被下线时,认证服务器才可以响应其手工认证请求,并经过认证服务器与接入设备之间的一系列交互过程,确定是否完成对待认证非哑终端的手工认证。具体的,响应所述手工认证请求即是需要接入设备和认证服务器通过交互确定是否通过待认证非哑终端的手工认证,该过程属于现有技术,其具体过程此处不再赘述。
在本发明的另一实施例中,为了使认证服务器中记录的MAC无感知认证在线信息更加准确,在图3所示实施例的基础上,在接收到所述接入设备反馈的第一下线通知之后,所述方法还可以包括:清除所述待认证非哑终端的MAC无感知认证在线记录。
图2所示实施例和图3所示实施例属于同一个发明构思,两者可以相互参照。
下面以支持RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议的终端、认证服务器和网络接入系统(Network Access System,NAS)中的接入设备为例,再对本发明进行详细说明。
其中,认证服务器为具备认证、授权和计费功能的AAA(Authentication,Authorization,Accounting,认证,授权,计费)服务器。
根据RFC(Request For Comments)规定,厂商可以由自己定义各自的私有属性,通过私有属性,厂商可以实现自己的定制内容,在本例中,组策略可以通过厂商私有属性实现。在非哑终端例如PC机接入网络前,在针对NAS接入设备发起的MAC无感知认证请求反馈报文时,认证服务器负责在私有属性中下发组策略的策略名称,该策略名称代表的具体策略内容由NAS接入设备负责解释。在业务部署时,组策略应由实施人员事先在NAS接入设备上进行配置,组策略代表一系列访问权限,举个例子,可以限定PC机通过手工认证接入网络前被允许访问的服务器权限、企业内部应用的资源权限等。例如,企业PC机出于安全考虑一般都有自动更新操作系统以及更新防病毒软件补丁的需求,因此组策略即可配置放开对相应的两个服务器的访问权限,组策略的具体策略内容可以考虑通过如下几条ACL规则实现:
rule 0 permit ip//微软服务器地址
rule 1 permit ip//防病毒软件服务器地址
rule 2 deny ip all
也就是说,上述访问权限限制第一MAC地址可以访问微软服务器和防病毒软件服务器,但是不能访问除此之外的其他IP地址。
下面具体说明方案实施的过程。
NAS接入设备根据待认证非哑终端的第一MAC地址,通过Code=1的认证请求报文Access-Request向认证服务器发送MAC无感知认证请求。该Access-Request报文携带第一MAC地址。认证服务器根据第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定第一组策略,并将携带有第一组策略的策略名称A的认证成功报文Access-Accept发送给NAS接入设备。
NAS接入设备接收Access-Accept报文,根据该报文中携带的策略名称A,从预先保存的组策略与访问权限的对应关系中获得A的具体策略内容,A的具体策略内容如下:
Rule0:permit 1.1.1.1
Rule1:permit 10.2.2.0
Rule2:permit 255.82.2.0
Rule3:deny ip all
NAS接入设备将上述A的具体策略内容确定为第一访问权限,并将该第一访问权限确定为待认证非哑终端的访问权限。
当NAS接入设备接收到待认证非哑终端发起的手工认证请求时,通过Access-Request报文向认证服务器发送待认证非哑终端的手工认证请求。认证服务器根据待认证非哑终端的第一MAC地址,判断出待认证非哑终端已通过MAC无感知认证,则通过Disconnect-Request报文向NAS接入设备发送针对待认证非哑终端的第一下线请求。NAS接入设备在接收到该Disconnect-Request报文时,向认证服务器反馈Disconnect-ACK报文以确认收到该Disconnect-Request报文。此时,NAS接入设备响应第一下线请求,释放待认证非哑终端的第一访问权限,然后通过计费结束请求报文Accounting-Request向认证服务器反馈待认证非哑终端的第一下线通知。认证服务器接收到Accounting-Request报文后即确认待认证非哑终端的MAC无感知认证已经下线,即可响应待认证非哑终端的手工认证请求。
具体的,认证服务器响应手工认证请求,与NAS接入设备之间进行一些列认证交互,然后反馈认证成功报文Access-Accept,NAS接入设备收到该Access-Accept报文后,释放待认证非哑终端的访问权限,并向待认证非哑终端发送认证成功的通知报文,待认证非哑终端接收到该通知报文后,向用户呈现手工认证上线成功的提示。
其中,通过认证成功报文Access-Accept发送第一组策略时,需要对现有的Access-Accept报文加以改进。现有的Access-Accept报文格式见表1:
表1
其中,表1中的Attribute为属性域,用来在请求和响应报文中携带报文属性,实现认证、授权、计费等功能,采用(Type、length、Value)三元组的形式提供。因此,可以在Attribute中写入第一组策略,具体的,Attribute的格式可以见表2:
表2
其中,表2中的Specified attribute value可以用来写入第一组策略的策略名称和/或具体策略内容。
由于RADIUS协议具有良好的可扩展性,因此协议中定义的26号属性(VenderSpecific)被用来扩展以支持供应商自己定义的扩展属性,主要指不适于常规使用的属性扩展。但不允许对RADIUS协议中的操作有影响。当服务器不具备去解释由终端发送过来的供应商特性信息时,服务器必须忽略它(过程可以被记录下来)。当没有收到预期属性情况下,终端(对应NAS接入设备)也应该尝试在没有它的情况下运作。
图4为本发明实施例提供的一种终端接入认证装置的结构示意图,与图2所示方法实施例相对应,应用于接入设备,所述装置包括:第一发送模块401、第一接收模块402和第一确定模块403;
其中,第一发送模块401,用于根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;
第一接收模块402,用于接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;
第一确定模块403,用于确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
在本实施例中,所述第一发送模块401,还用于向所述认证服务器发送所述待认证非哑终端的手工认证请求;
所述第一接收模块402,还用于接收所述认证服务器发送的针对所述待认证非哑终端的第一下线请求;
所述装置还包括第一响应模块(图中未示出),其用于响应所述第一下线请求,释放所述待认证非哑终端的第一访问权限,并向所述认证服务器反馈所述待认证非哑终端的第一下线通知,以使所述认证服务器响应所述手工认证请求。
图5为本发明实施例提供的另一种终端接入认证装置的结构示意图,与图3所示方法实施例相对应,应用于认证服务器,所述装置包括:第二接收模块501、第二确定模块502和第二发送模块503;
其中,第二接收模块501,用于接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址;
第二确定模块502,用于根据所述第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一MAC地址对应的第一组策略;
第二发送模块503,用于向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
在本实施例中,所述第二接收模块501,还用于接收所述接入设备发送的针对所述待认证非哑终端的手工认证请求;
所述装置还可以包括判断模块(图中未示出),其用于根据所述第一MAC地址,判断所述待认证非哑终端是否已通过MAC无感知认证;
所述第二发送模块503,还用于当所述待认证非哑终端已通过MAC无感知认证时,向所述接入设备发送针对所述待认证非哑终端的第一下线请求;
所述装置还可以包括第二响应模块(图中未示出),其用于接收所述接入设备反馈的针对所述待认证非哑终端的第一下线通知,并响应所述手工认证请求。
在本实施例中,所述装置还可以包括清除模块(图中未示出);
所述清除模块,用于在接收到所述接入设备反馈的第一下线通知之后,清除所述待认证非哑终端的MAC无感知认证在线记录。
由于上述装置实施例是基于方法实施例得到的,与该方法具有相同的技术效果,因此装置实施例的技术效果在此不再赘述。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解,上述实施方式中的全部或部分步骤是能够通过程序指令相关的硬件来完成的,所述的程序可以存储于计算机可读取存储介质中。这里所称存储介质,是指ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种终端接入认证方法,其特征在于,应用于接入设备,所述方法包括:
根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;
接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;
确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述认证服务器发送所述待认证非哑终端的手工认证请求;
接收所述认证服务器发送的针对所述待认证非哑终端的第一下线请求;
响应所述第一下线请求,释放所述待认证非哑终端的第一访问权限,并向所述认证服务器反馈所述待认证非哑终端的第一下线通知,以使所述认证服务器响应所述手工认证请求。
3.一种终端接入认证方法,其特征在于,应用于认证服务器,所述方法包括:
接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址;
根据所述第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一MAC地址对应的第一组策略;
向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收所述接入设备发送的针对所述待认证非哑终端的手工认证请求;
根据所述第一MAC地址,判断所述待认证非哑终端是否已通过MAC无感知认证;
如果是,则向所述接入设备发送针对所述待认证非哑终端的第一下线请求;
接收所述接入设备反馈的针对所述待认证非哑终端的第一下线通知,并响应所述手工认证请求。
5.根据权利要求4所述的方法,其特征在于,在接收到所述接入设备反馈的第一下线通知之后,所述方法还包括:
清除所述待认证非哑终端的MAC无感知认证在线记录。
6.一种终端接入认证装置,其特征在于,应用于接入设备,所述装置包括:
第一发送模块,用于根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;
第一接收模块,用于接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;
第一确定模块,用于确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
7.根据权利要求6所述的装置,其特征在于,所述第一发送模块,还用于向所述认证服务器发送所述待认证非哑终端的手工认证请求;
所述第一接收模块,还用于接收所述认证服务器发送的针对所述待认证非哑终端的第一下线请求;
所述装置还包括第一响应模块,用于响应所述第一下线请求,释放所述待认证非哑终端的第一访问权限,并向所述认证服务器反馈所述待认证非哑终端的第一下线通知,以使所述认证服务器响应所述手工认证请求。
8.一种终端接入认证装置,其特征在于,应用于认证服务器,所述装置包括:
第二接收模块,用于接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址;
第二确定模块,用于根据所述第一MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一MAC地址对应的第一组策略;
第二发送模块,用于向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
9.根据权利要求8所述的装置,其特征在于,所述第二接收模块,还用于接收所述接入设备发送的针对所述待认证非哑终端的手工认证请求;
所述装置还包括判断模块,用于根据所述第一MAC地址,判断所述待认证非哑终端是否已通过MAC无感知认证;
所述第二发送模块,还用于当所述待认证非哑终端已通过MAC无感知认证时,向所述接入设备发送针对所述待认证非哑终端的第一下线请求;
所述装置还包括第二响应模块,其用于接收所述接入设备反馈的针对所述待认证非哑终端的第一下线通知,并响应所述手工认证请求。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括清除模块;
所述清除模块,用于在接收到所述接入设备反馈的第一下线通知之后,清除所述待认证非哑终端的MAC无感知认证在线记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610355907.9A CN106059802B (zh) | 2016-05-25 | 2016-05-25 | 一种终端接入认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610355907.9A CN106059802B (zh) | 2016-05-25 | 2016-05-25 | 一种终端接入认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106059802A CN106059802A (zh) | 2016-10-26 |
| CN106059802B true CN106059802B (zh) | 2020-11-27 |
Family
ID=57175575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610355907.9A Active CN106059802B (zh) | 2016-05-25 | 2016-05-25 | 一种终端接入认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106059802B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391601B (zh) * | 2017-08-10 | 2021-02-12 | 华为技术有限公司 | 一种授予终端网络权限的方法、装置及设备 |
| CN108092988B (zh) * | 2017-12-28 | 2021-06-22 | 北京网瑞达科技有限公司 | 基于动态创建临时密码的无感知认证授权网络系统和方法 |
| CN108632253B (zh) * | 2018-04-04 | 2021-09-10 | 平安科技(深圳)有限公司 | 基于移动终端的客户数据安全访问方法及装置 |
| CN109586928A (zh) * | 2018-12-21 | 2019-04-05 | 杭州全维技术股份有限公司 | 一种基于网络设备的上网行为阻断方法 |
| CN111143782B (zh) * | 2019-11-08 | 2023-02-28 | 深圳市元征科技股份有限公司 | 应用软件的权限管理方法、装置、服务器及存储介质 |
| CN114124473B (zh) * | 2021-11-02 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102437946A (zh) * | 2010-09-29 | 2012-05-02 | 杭州华三通信技术有限公司 | 一种接入控制的方法、nas设备及认证服务器 |
| CN102916826A (zh) * | 2011-08-01 | 2013-02-06 | 中兴通讯股份有限公司 | 网络接入的控制方法及装置 |
| CN103067407A (zh) * | 2013-01-17 | 2013-04-24 | 中兴通讯股份有限公司 | 用户终端接入网络的认证方法及装置 |
| CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
| CN105246073A (zh) * | 2015-08-28 | 2016-01-13 | 深圳市信锐网科技术有限公司 | 无线网络的接入认证方法及服务器 |
| CN105451225A (zh) * | 2016-01-21 | 2016-03-30 | 上海斐讯数据通信技术有限公司 | 一种接入认证方法及接入认证设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8498617B2 (en) * | 2004-08-20 | 2013-07-30 | Telecom Italia S.P.A. | Method for enrolling a user terminal in a wireless local area network |
| WO2013032426A1 (en) * | 2011-08-26 | 2013-03-07 | Hewlett-Packard Development Company, L.P. | Managing access to a network |
-
2016
- 2016-05-25 CN CN201610355907.9A patent/CN106059802B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102437946A (zh) * | 2010-09-29 | 2012-05-02 | 杭州华三通信技术有限公司 | 一种接入控制的方法、nas设备及认证服务器 |
| CN102916826A (zh) * | 2011-08-01 | 2013-02-06 | 中兴通讯股份有限公司 | 网络接入的控制方法及装置 |
| CN103067407A (zh) * | 2013-01-17 | 2013-04-24 | 中兴通讯股份有限公司 | 用户终端接入网络的认证方法及装置 |
| CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
| CN105246073A (zh) * | 2015-08-28 | 2016-01-13 | 深圳市信锐网科技术有限公司 | 无线网络的接入认证方法及服务器 |
| CN105451225A (zh) * | 2016-01-21 | 2016-03-30 | 上海斐讯数据通信技术有限公司 | 一种接入认证方法及接入认证设备 |
Non-Patent Citations (1)
| Title |
|---|
| WLAN 无感知认证关键技术探讨;李林江;《电信科学》;20130920;第44-50页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106059802A (zh) | 2016-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106059802B (zh) | 一种终端接入认证方法及装置 | |
| US10757094B2 (en) | Trusted container | |
| US10083290B2 (en) | Hardware-based device authentication | |
| US20200045039A1 (en) | Hardware-based device authentication | |
| JP4524288B2 (ja) | 検疫システム | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| EP3592017B1 (en) | Credential information processing method and apparatus for network connection, and application (app) | |
| US9052861B1 (en) | Secure connections between a proxy server and a base station device | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US8272043B2 (en) | Firewall control system | |
| US11855993B2 (en) | Data shield system with multi-factor authentication | |
| US20200267146A1 (en) | Network analytics for network security enforcement | |
| US20220060463A1 (en) | Method for managing network devices, apparatus, and computer readable storage medium | |
| CN112929388A (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| US11252143B2 (en) | Authentication system, authentication server and authentication method | |
| CN116996305A (zh) | 一种多层次安全认证方法、系统、设备、存储介质及入口网关 | |
| KR102284183B1 (ko) | 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법 | |
| KR20160012546A (ko) | 이동단말기의 원격제어시스템 | |
| CN111711612B (zh) | 通信控制方法、对通信请求进行处理的方法及其装置 | |
| CN115150170B (zh) | 安全策略配置方法、装置、电子设备和存储介质 | |
| CN115834182A (zh) | 一种用户身份认证的方法、装置、存储介质及电子设备 | |
| CN113271285A (zh) | 接入网络的方法和装置 | |
| CN114124886A (zh) | 基于终端设备类型的网络地址转换控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |