CN106060072B - 认证方法以及装置 - Google Patents
认证方法以及装置 Download PDFInfo
- Publication number
- CN106060072B CN106060072B CN201610532411.4A CN201610532411A CN106060072B CN 106060072 B CN106060072 B CN 106060072B CN 201610532411 A CN201610532411 A CN 201610532411A CN 106060072 B CN106060072 B CN 106060072B
- Authority
- CN
- China
- Prior art keywords
- terminal device
- safety
- mac
- authentication
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了认证方法以及装置,其中该方法包括:Radius服务器接收终端设备发送的媒体访问控制MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址;在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息;若在所述认证数据库中查找到与该MAC地址对应的账号信息,确定所述MAC地址通过MAC认证;向所述终端设备发送具有第一虚拟局域网标识VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证,进而提高网络的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及认证方法以及装置。
背景技术
随着网络技术的迅猛发展,可以接入网络的终端设备类型越来越多。当不同类型的用户利用终端设备接入企业网络等安全级别较高的网络时,由于终端设备的防护能力较弱,很容易被一些非法软件控制,非法入侵核心网络服务器,进而对接入的网络的安全问题造成极大的威胁。
发明内容
针对现有技术的缺陷,本发明提供了认证方法以及装置。
本发明提供一种认证方法,应用于Radius服务器,其中该方法包括:
接收终端设备发送的媒体访问控制MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址;
在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息;
若在所述认证数据库中查找到与该MAC地址对应的账号信息,确定所述MAC地址通过MAC认证;
向所述终端设备发送具有第一虚拟局域网标识VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证。
本发明提供一种认证方法,应用于安全认证服务器,其中该方法包括:
接收终端设备发送的账号校验请求报文,获取所述账号校验请求报文携带的账号信息;
判断所述账号信息是否通过账号校验;
当确定所述账号信息通过账号校验时,将所述账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,控制断开所述终端设备的网络连接,以使所述终端设备根据所述账号信息对所述MAC地址进行MAC认证。
本发明还提供一种认证装置,应用于Radius服务器,该装置包括:
接收单元,用于接收终端设备发送的MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址;
查找单元,用于在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息;
确定单元,用于在所述认证数据库中查找到与该MAC地址对应的账号信息时,确定所述MAC地址通过MAC认证;
发送单元,用于向所述终端设备发送具有第一VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证。
本发明还提供一种认证装置,应用于安全认证服务器,该装置包括:
接收单元,用于接收终端设备发送的账号校验请求报文,获取所述账号校验请求报文携带的账号信息;
判断单元,用于判断所述账号信息是否通过账号校验;
保存单元,用于当确定所述账号信息通过账号校验时,将所述账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,控制断开所述终端设备的网络连接,以使所述终端设备根据所述账号信息对所述MAC地址进行MAC认证。
本发明提供的认证方法以及装置,通过在认证数据库查找到终端设备的MAC地址对应的账号信息确定MAC地址通过MAC认证时,为终端设备分配用于表征该终端设备通过MAC认证的第一Vlan,以使终端设备根据第一Vlan向安全认证服务器进行终端设备的安全认证,进而消除因终端设备安全性较差而对网络带来的威胁,提高网络的安全性。
附图说明
图1是本发明实施例中一种认证方法所应用的网络环境示意图;
图2是本发明实施例中一种认证方法流程示意图;
图3是本发明实施例中另一种认证方法流程示意图;
图4是本发明实施例中一种认证装置的逻辑结构示意图;
图5是本发明实施例中另一种认证装置的逻辑结构示意图;
图6是本发明实施例中认证装置所在Radius服务器或安全认证服务器的硬件架构示意图。
具体实施方式
为使本申请的目的,技术方案及优点更加清楚明白,以下参照附图对本申请方案做进一步的详细说明。
为了解决现有技术中存在的问题,本发明提供了一种认证方法以及装置。
图1示出了本发明提供的一种认证方法所应用的网络环境示意图,包括终端设备11、为终端设备提供MAC(Media Access Control,媒体访问控制)地址认证的Radius(Remote Authentication Dial In User Service,远程用户拨号认证系统)服务器12、为终端设备提供安全认证的安全认证服务器13以及连接接入网络的终端设备的交换机14。其中,终端设备可以是智能手机、平板电脑等设备,Radius服务器以及安全认证服务器可以是具有MAC认证功能以及安全认证功能的一台服务器,也可以分别是多台服务器。
请参考图2,为本发明提供的认证方法的处理流程示意图,该认证方法可应用于Radius服务器,该方法包括以下步骤:
步骤201,接收终端设备发送的MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址。
本实施方式中,当终端设备需要连接无线网络时,则扫描空口环境中的信标Beacon帧,并根据Beacon帧携带的SSID(Service Set Identifier,服务集标识)自动或者手动选择待接入的无线网络。在终端设备选择了待接入的无线网络后,Radius服务器即可接收到来自终端设备的MAC认证请求报文,该MAC认证请求报文中携带有终端设备的MAC地址,其目的是请求Radius服务器对该终端设备的MAC地址进行MAC认证。
Radius服务器获取MAC认证请求报文中的MAC地址,并执行步骤202,以对该终端设备的MAC地址进行MAC认证。
步骤202,在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息。
本实施方式中,预存的认证数据库中保存有通过账号校验的终端设备的账号信息以及MAC地址的对应关系,该认证数据库可以存储在Radius服务器也可以存储于可被访问的远端设备,例如,安全认证服务器,或者其他服务器等。如果该认证数据库存储在Radius服务器以外的其他设备,在访问该认证数据库时,只要确定该认证数据库所在设备的IP地址等地址信息,即可访问该认证数据库,获取对应的账号信息。在Radius服务器对终端设备进行MAC地址的MAC认证时,若该认证数据库存储在Radius服务器自身,则直接访问该存储在Radius服务器的认证数据库;如果该认证数据库存储在Radius服务器以外的其他设备,可以根据已知的认证数据库所在设备的IP地址访问该认证数据库,查找认证数据库中是否有与该终端设备的MAC地址对应的账号信息,当未查找到与该MAC地址对应的账号信息时,执行步骤203;当查找到与该MAC地址对应的账号信息时,执行步骤205。
步骤203,通过预设的缺省账号认证确定所述MAC地址通过缺省认证;
本实施方式还预先设置有缺省账号的认证方式,即:在根据终端设备发送的MAC认证请求报文中的MAC地址在认证数据库中未查找到与其对应的账号信息时,可以确定该终端设备的MAC地址通过缺省认证。
并且,还指定有在终端设备的MAC地址通过MAC认证时为终端设备分配的第一VlanID(Virtual Local Area Network Identification,虚拟局域网标识),以及在终端设备的MAC地址通过缺省认证时为终端设备分配的第二VlanID。其中,第一VlanID为预先配置的用于表征终端设备为通过MAC认证的合法终端设备;第二VlanID为预先配置的用于表征终端设备为未通过MAC认证的待认证的终端设备,以使分配了第二VlanID的终端设备再次进行MAC认证。步骤204,向所述终端设备发送具有第二VlanID的缺省认证通过报文,以使所述终端设备根据所述第二VlanID获取安全认证服务器的地址信息,并根据所述地址信息进行账号校验。
当确认该终端设备的MAC地址通过缺省认证时,Radius服务器为终端设备分配第二VlanID,以表示终端设备的MAC地址通过缺省认证,但是并未通过安全认证,并将第二VlanID携带在缺省认证成功报文中发送至终端设备。
终端设备在接收到缺省认证成功报文后,获取该缺省认证成功报文中携带的第二VlanID,并根据该第二VlanID生成DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)请求报文发送至DHCP服务器,以使DHCP服务器根据该第二VlanID为该终端设备分配与该第二VlanID对应的IP地址,当终端设备接收到DHCP服务器回复的DHCP响应报文后,即可以将该DHCP响应报文中携带的IP地址作为终端设备的源IP地址与其他设备进行通信。
当终端设备通过缺省认证后,由用户打开终端设备安装的认证客户端,认证客户端在被打开时可以向交换机自动发送HTTP(HyperText Transfer Protocol,超文本传输协议)请求报文,交换机接收到HTTP请求报文后,根据预设的重定向URL回复HTTP响应报文,该重定向URL(Uniform Resoure Locator,统一资源定位器)中携带有安全认证服务器的IP地址以及端口号,当终端设备接收到该HTTP响应报文后,可以保存该安全认证服务器的IP地址以及端口号,并根据该安全认证服务器的IP地址以及端口号向安全认证服务器发起账号校验。
当获取安全认证服务器的IP地址以及端口号后,用户可以在认证客户端的登录界面输入已注册的账号信息,该账号信息包括账号名以及密码。终端设备可以根据终端设备的MAC地址以及用户输入的账号信息生成账号校验报文,并按照从重定向URL中获取的安全认证服务器的IP地址、端口号发送至对应的安全认证服务器,以使安全认证服务器对该账号信息进行认证。
安全认证服务器在对终端设备的账号信息认证通过后,可以将该账号信息与终端设备的MAC地址的对应关系保存至认证数据库中,并向交换机发送具有该终端设备MAC地址的下线通知,由交换机断开与终端设备连接的端口以强制终端设备下线,以使终端设备重新进行对MAC地址的MAC认证。
其中,在安全认证服务器将该账号信息与终端设备的MAC地址的对应关系保存至认证数据库时,若该认证数据库存储于该安全认证服务器,那么安全认证服务器可以直接将该对应关系进行保存;然而,若该认证数据库存储于其他设备,则需要由安全认证服务器通过预存的存储认证数据库的设备IP地址访问该存储认证数据库的设备,以将该对应关系保存至认证数据库中。
当终端设备被强制下线后,可以继续扫描空口环境中的无线网络,并在选择即将接入的无线网络后,重新向Radius服务器发送MAC认证请求报文。Radius服务器在接收到该MAC认证请求报文后,执行步骤201。
步骤205,确定所述MAC地址通过MAC认证。
当Radius服务器在认证数据库中查找到与MAC地址对应的账号信息,确定终端设备已根据上述步骤201-205完成了对MAC地址的缺省认证以及账号校验。并且,在通过账号校验后,认证数据库中保存了该MAC地址与对应账号信息的对应关系,此时,可以确定该MAC地址通过MAC认证。
步骤206,向所述终端设备发送具有第一VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证。
Radius服务器确定终端设备的MAC地址认证通过后,确定终端设备已经获知安全认证服务器的地址信息,则可以重新为终端设备分配第一VlanID,以表示终端设备的MAC地址通过MAC认证,并将第一VlanID携带在MAC认证成功报文中发送至终端设备。
终端设备在接收到MAC认证成功报文后,可以获取该第一Vlan ID,并根据该第一VlanID再次生成DHCP请求报文发送至DHCP服务器,以使DHCP服务器为终端设备重新分配与该第一VlanID对应的IP地址,在完成上述步骤之后,终端设备则接入无线网络,并可以根据新分配的IP地址进行网络通信。
由于该新的IP地址所属的Vlan是当确定MAC地址通过MAC认证时分配的,因此,当终端设备获得新的IP地址后,终端设备可以根据该IP地址确定其MAC地址通过MAC认证,也即:通过提供的账号信息成功登录认证客户端。此时,为了保证网络的安全性,终端设备可以根据获取的重定向URL中携带的安全认证服务器的IP地址以及端口号向安全认证服务器发送安全认证报文,安全认证报文中携带有认证客户端对终端设备进行安全性扫描后得到的安全检查信息,以使安全认证服务器根据该安全检查信息确定终端设备是否安全,并根据检查结果对终端设备进行相应地处理。
另外,在终端设备的MAC地址通过MAC认证后,若Radius服务器通过交换机检测到终端设备下线,可以删除认证数据库中与下线终端设备的MAC地址对应的账号信息,以使该终端设备在再次上线时可以重新进行MAC认证以及安全认证,保证接入的终端设备是安全的终端设备,进而提升网络的安全性。
由此可见,本发明提供的认证方法通过在认证数据库查找到终端设备的MAC地址对应的账号信息确定MAC地址通过MAC认证时,为终端设备分配第一Vlan,以使终端设备根据第一Vlan向安全认证服务器进行终端设备的安全认证,以消除因终端设备安全性较差而对网络带来的威胁,提高网络的安全性。
请参考图3,为本发明提供的认证方法的处理流程示意图,该认证方法可应用于安全认证服务器,该方法包括以下步骤:
步骤301,接收终端设备发送的账号校验请求报文,获取所述账号校验请求报文携带的账号信息;
本实施方式中,当对终端设备的MAC地址进行MAC认证过程中,若在预设的认证数据库中未查找到与终端设备的MAC地址对应的账号信息,即:终端设备的MAC地址通过了缺省认证,但是并未通过MAC认证,则会由终端设备根据用户在认证客户端输入的账号信息以及终端设备的MAC地址生成账号校验请求报文发送至安全认证服务器以进行账号校验,安全认证服务器接收到该账号校验请求报文后,可以获取该账号校验请求报文中携带的账号信息,并执行步骤302,以对该账号进行校验。
步骤302,判断所述账号信息是否通过账号校验;
本实施方式中还预存有账号信息库,账号信息库中存储有用户在需要访问网络时,注册的用于登录认证客户端的账号信息,该账号信息包括账号名以及密码。
进一步的,账号信息库中还存储有与该账号信息对应的MAC地址。
判断账号信息是否通过账号校验的过程为:
在预存的账号信息库中查找是否存在该账号校验请求报文中携带的账号信息;
当账号信息库中存在该账号信息,确定该账号信息通过账号校验;
当账号信息库中不存在该账号信息,确定该账号信息未通过账号校验。
当确定该账号信息通过账号校验时,执行步骤303,否则,向Radius服务器发送账号校验失败报文。
步骤303,当确定所述账号信息通过账号校验时,将所述账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,控制断开所述终端设备的网络连接,以使所述终端设备对所述MAC地址进行MAC认证。
当确定账号校验请求报文中携带的账号信息通过账号校验时,可以将账号校验报文中携带的MAC地址与该账号信息的对应关系保存至认证数据库中,以使Radius服务器在对该终端设备的MAC地址进行MAC认证时,可以根据该认证数据库判断终端设备的MAC地址是否通过MAC地址。该认证数据库可以存储于该安全认证服务器,也可以存储于可远程访问的其他设备,例如,Radius服务器,或者其他服务器等。如果该认证数据库存储在安全认证服务器以外的其他设备,在访问该认证数据库时,只要确定该认证数据库所在设备的IP地址等地址信息,即可访问该认证数据库,并将MAC地址与该账号信息的对应关系保存至认证数据库中。
由于在安全认证服务器接收到账号校验报文时,可以说明终端设备的MAC地址虽然通过了缺省认证,但是并未通过MAC认证,那么可以由安全认证服务器向连接终端设备的交换机发送下线通知报文,该下线通知报文中具有未通过MAC认证的终端设备的MAC地址,以使交换机接收到该下线通知报文后,控制断开与该未通过MAC认证的终端设备连接的端口,强制该终端设备下线,进而使得终端设备重新进行MAC认证。
当终端设备重新进行MAC认证时,由于认证数据库中已经保存有其MAC地址与账号信息的对应关系,因此,在终端设备再次进行MAC认证时则可以根据该认证数据库中的对应关系通过MAC认证。
当终端设备的MAC地址通过MAC认证后,为保证网络的安全性,终端设备的认证客户端还可以对终端设备进行安全性扫描,得到安全检查信息,并将携带有安全检查信息的安全认证报文发送至安全认证服务器以进行安全认证。
安全认证服务器接收到终端设备发送的安全认证报文后,获取安全认证报文中携带的终端设备的安全检查信息,并根据安全检查信息确定终端设备是否通过安全认证。
其中,该安全检查信息包括检查终端设备是否安装杀毒软件、是否对补丁进行了更新、密码强度是否较弱、屏保手势是否过于简单等等。
当安全认证服务器根据该安全检查信息确定终端设备安全性较差时,则可以根据检测结果对终端设备进行一定程度的阻断、修复或者权限限制等,以防止不安全的终端设备对网络的接入和危害。
例如,对于需要进行阻断的终端设备:当对安全检查信息进行综合评判后,确定终端设备安全性较差,可以通过向交换机下发ACL的方式控制终端设备接入网络,进而对终端设备发送的流量进行阻断。
对于需要修复的终端设备:当确定终端设备未安装杀毒软件时,可以通知终端设备进行安装;当确定终端设备未对补丁进行更新时,可以通知终端设备及时进行补丁更新;当密码强度较弱或者屏保手势过于简单时,通知终端设备及时更换较为复杂的密码或屏保手势等方式对终端设备进行修复。
由此可见,本发明提供的认证方法在确定终端设备发送的账号信息通过账号校验时,将账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,并控制断开终端设备的网络连接,以使终端设备对其MAC地址进行MAC认证,并在MAC认证通过后进行安全认证,进而从源头消除了因终端设备安全性较差而对网络带来的威胁,提高网络的安全性。
本发明还提供一种认证装置,图4为该认证装置的结构示意图,该装置可以应用于Radius服务器,该认证装置可以包括接收单元401、查找单元402、确定单元403以及发送单元404。其中:
接收单元401,用于接收终端设备发送的MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址;
查找单元402,用于在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息;
确定单元403,用于在所述认证数据库中查找到与该MAC地址对应的账号信息时,确定所述MAC地址通过MAC认证;
发送单元404,用于向所述终端设备发送具有第一VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证。
进一步地,所述确定单元403还可以用于当上述查找单元在所述认证数据库中未查找到与所述MAC地址对应的账号信息时,通过预设的缺省账号认证确定所述MAC地址通过缺省认证;所述发送单元404还用于向所述终端设备发送具有第二Vlan的缺省认证通过报文,以使所述终端设备根据所述第二Vlan获取安全认证服务器的地址信息,并根据所述地址信息进行账号校验。
进一步地,所述装置还可以包括删除单元405,用于在检测到所述终端设备在通过对MAC地址的MAC认证之后下线,删除所述认证数据库中与所述终端设备的MAC地址对应的账号信息。
本发明应用于Radius服务器的认证装置在具体的处理流程中可以与上述应用于Radius服务器的认证方法的处理流程一致,在此不再赘述。
本发明还提供一种认证装置,图5为该认证装置的结构示意图,该装置可以应用于安全认证服务器,该认证装置可以包括接收单元501、判断单元502以及保存单元503。其中:
接收单元501,用于接收终端设备发送的账号校验请求报文,获取所述账号校验请求报文携带的账号信息;
判断单元502,用于判断所述账号信息是否通过账号校验;
保存单元503,用于当确定所述账号信息通过账号校验时,将所述账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,控制断开所述终端设备的网络连接,以使所述终端设备根据所述账号信息对所述MAC地址进行MAC认证。
进一步地,所述装置还可以包括获取单元504以及确定单元505。其中:
获取单元504,用于接收终端设备发送的安全认证报文,并获取所述安全认证报文中携带的终端设备的安全检查信息;
确定单元505,用于根据认证请求报文中携带的安全检查信息确定所述终端设备是否通过安全认证。
本发明应用于安全认证服务器的认证装置在具体的处理流程中可以与上述应用于安全认证服务器的认证方法的处理流程一致,在此不再赘述。
上述装置可以通过软件实现,也可以通过硬件实现,本发明认证装置所在Radius服务器以及安全认证服务器的硬件架构示意图均可参考图6所示,其基本硬件环境包括中央处理器CPU601、转发芯片602、存储器603以及其他硬件604,其中存储器603中包括机器可读指令,CPU601读取并执行机器可读指令执行图4、5中各单元的功能。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种认证方法,应用于远程用户拨号认证系统Radius服务器,其特征在于,所述方法包括:
接收终端设备发送的媒体访问控制MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址;
在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息;
若在所述认证数据库中查找到与该MAC地址对应的账号信息,确定所述MAC地址通过MAC认证;
向所述终端设备发送具有第一虚拟局域网标识VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证;
所述安全认证的方式为:所述终端设备将携带有安全检查信息的安全认证报文发送至安全认证服务器,以由安全认证服务器根据所述安全认证报文中携带的安全检查信息确定所述终端设备是否通过安全认证。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在所述认证数据库中未查找到与所述MAC地址对应的账号信息,通过预设的缺省账号认证确定所述MAC地址通过缺省认证;
向所述终端设备发送具有第二VlanID的缺省认证通过报文,以使所述终端设备根据所述第二VlanID获取安全认证服务器的地址信息,并根据所述地址信息进行账号校验。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在检测到所述终端设备在通过对MAC地址的MAC认证之后下线,删除所述认证数据库中与所述终端设备的MAC地址对应的账号信息。
4.一种认证方法,应用于安全认证服务器,其特征在于,所述方法包括:
接收终端设备发送的账号校验请求报文,获取所述账号校验请求报文携带的账号信息;
判断所述账号信息是否通过账号校验;
当确定所述账号信息通过账号校验时,将所述账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,控制断开所述终端设备的网络连接,以使所述终端设备根据所述账号信息对所述MAC地址进行MAC认证;
接收终端设备发送的安全认证报文,获取所述安全认证报文中携带的终端设备的安全检查信息;
根据认证请求报文中携带的安全检查信息确定所述终端设备是否通过安全认证。
5.一种认证装置,应用于Radius服务器,其特征在于,所述装置包括:
接收单元,用于接收终端设备发送的MAC认证请求报文,获取所述MAC认证请求报文中携带的MAC地址;
查找单元,用于在预存的认证数据库中查找是否有与所述MAC地址对应的账号信息;
确定单元,用于在所述认证数据库中查找到与该MAC地址对应的账号信息时,确定所述MAC地址通过MAC认证;
发送单元,用于向所述终端设备发送具有第一VlanID的MAC认证通过报文,以使所述终端设备根据所述第一VlanID向安全认证服务器进行安全认证;
所述安全认证的方式为:所述终端设备将携带有安全检查信息的安全认证报文发送至安全认证服务器,以由安全认证服务器根据所述安全认证报文中携带的安全检查信息确定所述终端设备是否通过安全认证。
6.根据权利要求5所述的装置,其特征在于,所述确定单元还用于:
当上述查找单元在所述认证数据库中未查找到与所述MAC地址对应的账号信息时,通过预设的缺省账号认证确定所述MAC地址通过缺省认证;
所述发送单元还用于:
向所述终端设备发送具有第二VlanID的缺省认证通过报文,以使所述终端设备根据所述第二VlanID获取安全认证服务器的地址信息,并根据所述地址信息进行账号校验。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
删除单元,用于在检测到所述终端设备在通过对MAC地址的MAC认证之后下线,删除所述认证数据库中与所述终端设备的MAC地址对应的账号信息。
8.一种认证装置,应用于安全认证服务器,其特征在于,所述装置包括:
接收单元,用于接收终端设备发送的账号校验请求报文,获取所述账号校验请求报文携带的账号信息;
判断单元,用于判断所述账号信息是否通过账号校验;
保存单元,用于当确定所述账号信息通过账号校验时,将所述账号信息与所述终端设备的MAC地址的对应关系信息保存至认证数据库中,控制断开所述终端设备的网络连接,以使所述终端设备根据所述账号信息对所述MAC地址进行MAC认证;
获取单元,用于接收终端设备发送的安全认证报文,并获取所述安全认证报文中携带的终端设备的安全检查信息;
确定单元,用于根据认证请求报文中携带的安全检查信息确定所述终端设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610532411.4A CN106060072B (zh) | 2016-06-30 | 2016-06-30 | 认证方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610532411.4A CN106060072B (zh) | 2016-06-30 | 2016-06-30 | 认证方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106060072A CN106060072A (zh) | 2016-10-26 |
| CN106060072B true CN106060072B (zh) | 2019-09-06 |
Family
ID=57185572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610532411.4A Active CN106060072B (zh) | 2016-06-30 | 2016-06-30 | 认证方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106060072B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360184B (zh) | 2017-08-14 | 2020-09-08 | 杭州迪普科技股份有限公司 | 终端设备认证方法和装置 |
| CN108011892B (zh) * | 2017-12-26 | 2021-04-27 | 成都智库二八六一信息技术有限公司 | 一种基于安全管理服务器的数据库安全管理方法 |
| CN108429742B (zh) * | 2018-02-28 | 2021-06-08 | 新华三技术有限公司 | 认证方法、装置及认证服务器 |
| CN109005119B (zh) * | 2018-09-29 | 2021-02-09 | 新华三技术有限公司合肥分公司 | 一种设置mac地址认证下线检测时间的方法及交换机 |
| CN112822160B (zh) * | 2020-12-29 | 2022-10-21 | 新华三技术有限公司 | 一种设备识别方法、装置、设备及机器可读存储介质 |
| CN113285929B (zh) * | 2021-05-10 | 2023-03-24 | 新华三技术有限公司 | 一种终端合法性检测方法及装置 |
| CN114238889A (zh) * | 2021-12-13 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种数据库登录方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039021B1 (en) * | 1999-10-05 | 2006-05-02 | Nec Corporation | Authentication method and apparatus for a wireless LAN system |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及系统 |
| CN103442358A (zh) * | 2013-08-30 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
| CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
| CN103986793A (zh) * | 2013-02-07 | 2014-08-13 | 杭州华三通信技术有限公司 | 一种提升Portal认证用户IP地址使用效率的方法及系统 |
| CN104811439A (zh) * | 2015-03-30 | 2015-07-29 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
-
2016
- 2016-06-30 CN CN201610532411.4A patent/CN106060072B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039021B1 (en) * | 1999-10-05 | 2006-05-02 | Nec Corporation | Authentication method and apparatus for a wireless LAN system |
| CN102404346A (zh) * | 2011-12-27 | 2012-04-04 | 神州数码网络(北京)有限公司 | 一种互联网用户访问权限的控制方法及系统 |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及系统 |
| CN103986793A (zh) * | 2013-02-07 | 2014-08-13 | 杭州华三通信技术有限公司 | 一种提升Portal认证用户IP地址使用效率的方法及系统 |
| CN103442358A (zh) * | 2013-08-30 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
| CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
| CN104811439A (zh) * | 2015-03-30 | 2015-07-29 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106060072A (zh) | 2016-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106060072B (zh) | 认证方法以及装置 | |
| CN112597472B (zh) | 单点登录方法、装置及存储介质 | |
| US10594692B2 (en) | Systems and methods for endpoint management classification | |
| US20180324170A1 (en) | Method and apparatus for allocating device identifiers | |
| CN110324338B (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
| JP6337642B2 (ja) | パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント | |
| WO2018188558A1 (zh) | 账号权限的识别方法及装置 | |
| US20130254857A1 (en) | Preventing Unauthorized Account Access Using Compromised Login Credentials | |
| KR101910605B1 (ko) | 무선 단말의 네트워크 접속 제어 시스템 및 방법 | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN111555920B (zh) | 一种智能运维方法、系统、设备和用户端 | |
| CN106302332A (zh) | 用户数据的访问控制方法、装置及系统 | |
| CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
| CN107294910B (zh) | 一种登录方法和服务器 | |
| CN105681258A (zh) | 基于第三方服务器的会话方法和会话装置 | |
| WO2015078247A1 (en) | Method, apparatus and terminal for monitoring phishing | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| CN108076500B (zh) | 局域网管理的方法、装置及计算机可读存储介质 | |
| KR101879843B1 (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 | |
| CN112398787B (zh) | 邮箱登录验证的方法、装置、计算机设备及存储介质 | |
| CN100438446C (zh) | 接入控制设备、接入控制系统和接入控制方法 | |
| CN109756899B (zh) | 网络连接方法、装置、计算机设备和存储介质 | |
| CN116962149A (zh) | 网络故障的检测方法和装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |