CN107046568B - 一种认证方法和装置 - Google Patents
一种认证方法和装置 Download PDFInfo
- Publication number
- CN107046568B CN107046568B CN201710097323.0A CN201710097323A CN107046568B CN 107046568 B CN107046568 B CN 107046568B CN 201710097323 A CN201710097323 A CN 201710097323A CN 107046568 B CN107046568 B CN 107046568B
- Authority
- CN
- China
- Prior art keywords
- message
- user
- access
- authentication
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种认证方法和装置,该方法包括:接收来自终端设备的第一报文,所述第一报文是PPPoE发现阶段的报文;利用所述第一报文确定所述终端设备对应的用户接入属性;查询用户关联表中是否存在所述用户接入属性;如果否,则忽略所述第一报文,并确定所述终端设备认证失败。通过本申请的技术方案,可以在PPPoE发现阶段对终端设备进行合法性判断,在确认终端设备不合法的情况下,终止与终端设备的交互,避免接入设备与终端设备的频繁交互、避免接入设备与认证服务器的频繁交互,可以有效防止攻击,避免对接入设备和认证服务器造成负担、造成不必要的开销。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种认证方法和装置。
背景技术
PPPoE(Point-to-Point Protocol over Ethernet,基于以太网的点对点协议)是对PPP的扩展,通过在以太网上建立PPPoE会话,将PPP报文封装在以太网帧之内,从而在以太网上提供点对点的连接,解决了PPP无法应用于以太网的问题。此外,接入设备可以通过PPPoE对接入的每台终端设备实现控制、认证、计费等功能。而且,由于PPPoE可以结合以太网的经济性、PPP的可扩展性、PPP的管理控制功能等,从而使得PPPoE被广泛应用于小区接入组网等环境中。
发明内容
本申请提供一种认证方法,应用于接入设备,所述方法包括:
接收来自终端设备的第一报文,所述第一报文是PPPoE发现阶段的报文;
利用所述第一报文确定所述终端设备对应的用户接入属性;
查询用户关联表中是否存在所述用户接入属性;
如果否,则忽略所述第一报文,并确定所述终端设备认证失败。
本申请提供一种认证装置,应用于接入设备,所述装置包括:
接收模块,用于接收来自终端设备的第一报文,所述第一报文是基于以太网的点对点协议PPPoE发现阶段的报文;
确定模块,用于利用第一报文确定所述终端设备对应的用户接入属性;
查询模块,用于查询用户关联表中是否存在所述用户接入属性;
处理模块,用于当查询结果为所述用户关联表中不存在所述用户接入属性时,则忽略所述第一报文,并确定所述终端设备认证失败。
基于上述技术方案,本申请实施例中,可以在接收到PPPoE发现阶段的第一报文(如PADI报文)时,就利用第一报文确定终端设备对应的用户接入属性,并查询用户关联表中是否存在该用户接入属性,如果否,则忽略该第一报文,并确定终端设备认证失败。这样可以在PPPoE发现阶段对终端设备进行合法性判断,在确认终端设备不合法的情况下,终止与终端设备的交互,避免接入设备与终端设备的频繁交互、避免接入设备与认证服务器的频繁交互,可以有效防止攻击,避免对接入设备和认证服务器造成负担、造成不必要的开销。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的应用场景示意图;
图2是本申请一种实施方式中的认证方法的流程图;
图3是本申请一种实施方式中的接入设备的硬件结构图;
图4是本申请一种实施方式中的认证装置的结构图。
具体实施方式
在本申请使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在一个例子中,在基于PPPoE的认证过程中,可以包括发现(Discovery)阶段和会话阶段,会话阶段可以包括LCP(Link Control Protocol,链路控制协议)阶段、认证阶段、NCP(Network Control Protocol,网络控制协议)阶段等。
针对发现阶段,处理流程包括:PPPoE客户端以广播方式发送PADI(PPPoE ActiveDiscovery Initiation,PPPoE主动发现初始化)报文;PPPoE服务端在接收到PADI报文后,向PPPoE客户端返回PADO(PPPoE Active Discovery Offer,PPPoE主动发现提供)报文。PPPoE客户端在接收到PADO报文后,向PPPoE服务端发送PADR(PPPoE Active DiscoveryRequest,PPPoE主动发现请求)报文;PPPoE服务端在接收到PADR报文后,向PPPoE客户端返回PADS(PPPoE Active Discovery Session-confirmation,PPPoE主动发现会话配置)报文。
针对LCP阶段,用于完成MTU(Maximum Transmission Unit,最大传输单元)协商、是否进行认证和采用何种认证方式的协商。LCP阶段的处理流程包括:PPPoE客户端向PPPoE服务端发送Config-Request(配置请求)报文,PPPoE服务端向PPPoE客户端发送Config-Request报文。PPPoE服务端/PPPoE客户端在收到Config-Request报文后,返回Config-ACK(配置肯定)报文或Config-NAK(配置否定)报文。若PPPoE服务端、PPPoE客户端均接收到Config-ACK报文,则标志LCP链路建立成功,可以结束LCP阶段,否则继续发送Config-Request报文,一直到PPPoE服务端、PPPoE客户端均接收到Config-ACK报文。
针对认证阶段,根据LCP阶段协商的认证方式进行认证,如认证方式为PAP(Password Authentication Protocol,口令认证协议)、CHAP(Challenge HandshakeAuthentication Protocol,质询握手认证协议)、802.11认证协议等,无论哪种认证方式,认证阶段的处理流程均可以包括:PPPoE客户端向PPPoE服务端发送携带用户名和密码的报文,PPPoE服务端向AAA(Authentication Authorization Accounting,认证授权计费)服务器发送携带用户名和密码的认证报文,AAA服务器利用用户名和密码进行认证。若认证成功,AAA服务器向接入设备返回认证成功报文,若认证失败,AAA服务器向接入设备返回认证失败报文。接入设备收到认证成功报文时,允许PPPoE客户端访问网络,执行NCP阶段。接入设备收到认证失败报文后,拒绝PPPoE客户端访问网络,结束PPPoE认证过程。
针对NCP阶段,可以用于协商PPP报文的网络层参数,如PPPoE客户端的IP地址、DNS(Domain Name System,域名系统)服务器的IP地址等,NCP阶段的处理流程与LCP阶段的处理流程类似,在此不再详加赘述。
基于上述发现阶段、LCP阶段、认证阶段、NCP阶段,可以完成PPPoE的认证过程,PPPoE客户端可以通过PPPoE服务端访问网络。但是,若PPPoE客户端提供的用户名和/或密码发生错误,则PPPoE认证失败,PPPoE客户端无法通过PPPoE服务端访问网络。从上述流程可以看出,PPPoE客户端在认证阶段才提供用户名和密码,也就是,在认证阶段才分析出PPPoE客户端是否可以访问网络。若用户名和/或密码发生错误(如攻击者反复输入错误的用户名和/或密码),则发现阶段的报文、LCP阶段的报文、认证阶段的报文(PPPoE服务端与PPPoE客户端交互的报文、PPPoE服务端与AAA服务器交互的报文),会对PPPoE服务端和AAA服务器造成负担、造成不必要的开销,造成带宽浪费。
针对上述发现,本申请实施例提出一种认证方法,可以在接收到PADI报文时,在PPPoE发现阶段对PPPoE客户端进行合法性判断,在确认PPPoE客户端不合法的情况下,终止与PPPoE客户端的交互,避免PPPoE服务端与PPPoE客户端的频繁交互、避免PPPoE服务端与AAA服务器的频繁交互,可以有效防止攻击,避免对PPPoE服务端和AAA服务器造成负担、造成不必要的开销。
参见图1所示,为本申请实施例提出的认证方法的应用场景示意图,该认证方法可以应用于包括接入设备、终端设备、认证服务器的PPPoE系统中。其中,接入设备可以是配置有PPPoE服务端的设备,如可以为BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备等。终端设备可以是配置有PPPoE客户端的设备,如可以为主机等。认证服务器可以为AAA服务器等。
在上述应用场景下,参见图2所示,为本申请实施例提出的认证方法的流程图,该方法可以应用于接入设备,且该方法可以包括以下步骤:
步骤201,接收来自终端设备的第一报文,该第一报文可以是PPPoE发现阶段的报文。例如,该第一报文可以是PPPoE发现阶段的PADI报文。
在一个例子中,支持PPPoE的终端设备可以通过广播方式发送PADI报文,从而在局域网内寻找可用的接入设备,以通过接入设备接入网络。基于此,与终端设备在同一局域网内的接入设备会接收到该终端设备发送的PADI报文。
步骤202,利用该第一报文确定终端设备对应的用户接入属性。
在一个例子中,该用户接入属性可以包括但不限于:用户属性和接入属性,且该第一报文可以携带终端设备对应的用户属性。基于此,针对“利用该第一报文确定终端设备对应的用户接入属性”的过程,可以包括但不限于如下方式:从该第一报文中解析出该终端设备对应的用户属性,并根据该第一报文的接收接口(即接收到第一报文的接口)确定该终端设备对应的接入属性。
在一个例子中,该用户属性是指第一报文携带的属性,而该接入属性是指未携带在第一报文的属性。其中,该用户属性可以包括但不限于以下信息之一或者任意组合:用户名、MAC(Media Access Control,介质访问控制)地址、VLAN(Virtual Local AreaNetwork,虚拟局域网)信息等。该接入属性可以包括但不限于:第一报文的接收接口。当然,上述用户属性和接入属性只是本申请的一个示例,在实际应用中并不局限于上述内容,例如,该用户属性还可以包括密码,该接入属性还可以包括用户组信息以及其它特殊授权属性。本申请实施例对此用户属性的内容、接入属性的内容不做限制,以上述为例进行说明。
步骤203,查询用户关联表中是否存在该用户接入属性。如果否,则执行步骤204。其中,该用户关联表用于记录能够通过认证的用户接入属性。
在一个例子中,针对用户关联表的维护过程,可以包括但不限于如下方式:接入设备接收来自认证服务器的第二报文,该第二报文可以携带能够通过认证的用户接入属性,且该第二报文是认证服务器确定该接入设备合法时向接入设备发送的。之后,接入设备可以从该第二报文中解析出能够通过认证的用户接入属性,并在所述用户关联表中记录所述能够通过认证的用户接入属性。
其中,能够通过认证的用户接入属性可以包括但不限于以下信息之一或者任意组合:用户名、MAC地址、VLAN信息、接收接口等。当然,上述用户接入属性只是本申请一个示例,实际应用并不局限于上述内容,例如,用户接入属性还可以包括密码、用户组信息,本申请实施例对此用户接入属性不做限制。
其中,认证服务器可以主动判断接入设备是否合法,并在接入设备合法时,向接入设备发送携带用户接入属性的第二报文。或者,认证服务器还可以在接收到来自接入设备的请求消息(用于请求用户接入属性)时,判断接入设备是否合法,并在接入设备合法时,向接入设备发送携带用户接入属性的第二报文。
步骤204,忽略该第一报文,并确定该终端设备认证失败。
在一个例子中,在查询用户关联表中是否存在该用户接入属性之后,如果存在该用户接入属性,则处理第一报文,即处理PADI报文,向终端设备返回PADO报文。之后,执行上述发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,对此发现阶段、LCP阶段、认证阶段、NCP阶段的处理不再重复赘述。由于用户关联表中存在该用户接入属性,因此在认证阶段中,终端设备提供的用户名和密码等信息可以通过认证,从而允许终端设备通过接入设备访问网络。
在另一个例子中,在查询用户关联表中是否存在该用户接入属性之后,如果存在该用户接入属性,还可以获取认证服务器的可达状态;若可达状态为不可达,则可以忽略第一报文,并确定该终端设备认证失败;若可达状态为可达,则可以处理第一报文,即可以处理PADI报文,向终端设备返回PADO报文。之后,执行上述发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,对此发现阶段、LCP阶段、认证阶段、NCP阶段的处理不再重复赘述。
其中,认证服务器的可达状态是指接入设备与认证服务器的可达状态。当可达状态为不可达时,表示接入设备与认证服务器之间不可达,即接入设备向认证服务器发送的报文无法发送给认证服务器。基于此,接入设备无法将认证阶段的认证报文发送至认证服务器,从而导致认证失败。本申请实施例中,当可达状态为不可达时,在接收到PADI报文后,就忽略该PADI报文,并确定终端设备认证失败,从而不再执行发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,因此可以减少报文交互数量,避免执行到认证阶段才发现认证失败。
当可达状态为可达时,表示接入设备与认证服务器之间可达,即接入设备向认证服务器发送的报文可以发送给认证服务器。基于此,接入设备可以将认证阶段的认证报文发送至认证服务器,因此,当可达状态为可达时,在接收到PADI报文后,可以执行上述发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,对此发现阶段、LCP阶段、认证阶段、NCP阶段的处理不再重复赘述。
在一个例子中,针对“获取认证服务器的可达状态”的过程,接入设备可以获取公网侧出口链路状态、接入设备与认证服务器的互通状态。若公网侧出口链路状态为down、或者接入设备与认证服务器的互通状态为无法互通,则认证服务器的可达状态为不可达;若公网侧出口链路状态为up、且接入设备与认证服务器的互通状态为互通,则认证服务器的可达状态为可达。当然,上述方式只是获取认证服务器的可达状态的一个示例,对此获取过程不做限制。
基于上述技术方案,本申请实施例中,可以在接收到PPPoE发现阶段的第一报文(如PADI报文)时,就利用第一报文确定终端设备对应的用户接入属性,并查询用户关联表中是否存在该用户接入属性,如果否,则忽略该第一报文,并确定终端设备认证失败。这样,可以在PPPoE发现阶段对终端设备进行合法性判断,在确认终端设备不合法的情况下,终止与终端设备的交互,避免接入设备与终端设备的频繁交互、避免接入设备与认证服务器的频繁交互,可以有效防止攻击,避免对接入设备和认证服务器造成负担、造成不必要的开销。
以下结合具体的应用场景,对本申请实施例的上述技术方案进行详细说明。本应用场景的组网图可以参见图1所示,其中,接入设备可以是配置有PPPoE服务端的设备,终端设备可以是配置有PPPoE客户端的设备,认证服务器可以为AAA服务器等。本申请实施例提出的认证方法可以包括以下步骤:
步骤1、接入设备向认证服务器发送用于请求用户接入属性的请求消息。
步骤2、认证服务器判断接入设备是否合法。如果是,执行步骤3;如果否,拒绝向接入设备发送用户接入属性,采用传统流程进行处理,对此不再赘述。
其中,在上述请求消息可以携带接入设备的鉴权标识,认证服务器可以通过该鉴权标识判断接入设备是否合法,如认证服务器可以维护所有合法的鉴权标识,并基于本地维护的鉴权标识判断接入设备是否合法,对此过程不做限制。
步骤3、认证服务器从本地查询到能够通过认证的用户接入属性。
步骤4、认证服务器将携带该用户接入属性的第二报文发送给接入设备。
步骤5、接入设备接收来自认证服务器的第二报文,并从该第二报文中解析出用户接入属性,并在预先配置的用户关联表中记录该用户接入属性。
在一个例子中,该用户接入属性可以包括但不限于以下信息之一或者任意组合:用户名、MAC地址、VLAN信息、接收接口等。当然,上述用户接入属性只是本申请一个示例,实际应用中并不局限于上述内容,例如,用户接入属性还可以包括密码、用户组信息,本申请实施例对此用户接入属性不做限制。
在一个例子中,可以在接入设备上配置提前认证功能,基于此提前认证功能,接入设备可以维护用户关联表,并与认证服务器建立连接关系,并向认证服务器发送用于请求用户接入属性的请求消息。而且,认证服务器可以将本地维护的用户接入属性同步到接入设备,而接入设备可以在预先配置的用户关联表中记录该用户接入属性。如表1所示,为该用户关联表的一个示例。
表1
| 用户名 | MAC地址 | 接收接口 | VLAN信息 |
| user1 | 0010-9405-5f12 | GE1/3/2.1 | 100 |
| user2 | 0010-9405-5f33 | GE1/3/3.2 | 200 |
在一个例子中,当认证服务器本地的用户接入属性发生变化(如增加新的用户接入属性或者已有的用户接入属性发生变化)时,认证服务器还可以将变化后的用户接入属性发送给接入设备,接入设备更新用户关联表中记录的用户接入属性,如增加新的用户接入设备或者修改已有的用户接入属性。
步骤6、接入设备接收来自终端设备的PADI报文(即上述第一报文)。
在一个例子中,支持PPPoE的终端设备可以通过广播方式发送PADI报文,在局域网内寻找可用的接入设备,以通过接入设备接入网络。基于此,与终端设备在同一局域网内的接入设备会接收到该终端设备发送的PADI报文。
在一个例子中,终端设备在发送PADI报文时,会对PADI报文进行扩展,即在PADI报文的Tag(标签)字段携带用户名,该Tag字段为PADI报文中有效载荷的标签字段。此外,终端设备还可以将本终端设备的MAC地址等内容添加到PADI报文,对此过程不再限制。而且,终端设备与接入设备之间的网络设备(如二层交换机等)在接收到PADI报文后,还可以将终端设备对应的VLAN信息添加到PADI报文,对此过程不再限制。
综上,接入设备收到的PADI报文包括用户名(如user1)、MAC地址(如0010-9405-5f12)、VLAN信息(如100)等。
步骤7、接入设备从PADI报文中解析出终端设备对应的用户属性,该用户属性包括但不限于以下信息之一或者任意组合:用户名、MAC地址、VLAN信息等,如user1、0010-9405-5f12、VLAN100等。
步骤8、接入设备根据PADI报文的接收接口确定终端设备对应的接入属性,该接入属性可以包括但不限于:PADI报文的接收接口。例如,当接入设备通过接口GE1/3/2.1接收到PADI报文后,则接入属性包括接口GE1/3/2.1。
步骤9、接入设备将用户属性和接入属性组成用户接入属性,该用户接入属性可以包括user1、0010-9405-5f12、VLAN100、接口GE1/3/2.1。
步骤10、接入设备查询表1所示的用户关联表中是否存在该用户接入属性。如果否,则执行步骤11,如果是,则执行步骤12。如表1所示,该用户关联表中存在user1、0010-9405-5f12、VLAN100、接口GE1/3/2.1。
步骤11、接入设备忽略PADI报文,并确定终端设备认证失败,结束流程。
步骤12、接入设备获取认证服务器的可达状态。若该可达状态为不可达,则可以执行步骤13;若该可达状态为可达,则可以执行步骤14。
步骤13、接入设备忽略PADI报文,并确定终端设备认证失败,结束流程。
步骤14、接入设备处理该PADI报文,向终端设备返回PADO报文。之后,执行上述发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,对此发现阶段、LCP阶段、认证阶段、NCP阶段的处理不再重复赘述。
其中,认证服务器的可达状态是指接入设备与认证服务器的可达状态。当可达状态为不可达时,表示接入设备与认证服务器之间不可达,即接入设备向认证服务器发送的报文无法发送给认证服务器。基于此,接入设备无法将认证阶段的认证报文发送至认证服务器,从而导致认证失败。本申请实施例中,当可达状态为不可达时,在接收到PADI报文后,就忽略该PADI报文,并确定终端设备认证失败,从而不再执行发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,因此可以减少报文交互数量,避免执行到认证阶段才发现认证失败。当可达状态为可达时,表示接入设备与认证服务器之间可达,即接入设备向认证服务器发送的报文可以发送给认证服务器。基于此,接入设备可以将认证阶段的认证报文发送至认证服务器,因此,当可达状态为可达时,在接收到PADI报文后,可以执行上述发现阶段、LCP阶段、认证阶段、NCP阶段等其它流程,对此发现阶段、LCP阶段、认证阶段、NCP阶段的处理不再赘述。
基于上述技术方案,本申请实施例中,可以在接收到PPPoE发现阶段的PADI报文时,就利用该PADI报文确定终端设备对应的用户接入属性,并查询用户关联表中是否存在该用户接入属性,如果否,则忽略该PADI报文,并确定终端设备认证失败。这样,可以在PPPoE发现阶段对终端设备进行合法性判断,在确认终端设备不合法的情况下,终止与终端设备的交互,避免接入设备与终端设备的频繁交互、避免接入设备与认证服务器的频繁交互,可以有效防止攻击,避免对接入设备和认证服务器造成负担、造成不必要的开销。
基于与上述方法同样的申请构思,本申请实施例中还提供了一种认证装置,该认证装置可以应用在接入设备上。其中,该认证装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过该认证装置所在的接入设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本申请提出的认证装置所在的接入设备的一种硬件结构图,除了图3所示的处理器、非易失性存储器外,接入设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该接入设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图4所示,为本申请提出的认证装置的结构图,所述装置包括:
接收模块11,用于接收来自终端设备的第一报文,所述第一报文是基于以太网的点对点协议PPPoE发现阶段的报文;
确定模块12,用于利用所述第一报文确定终端设备对应的用户接入属性;
查询模块13,用于查询用户关联表中是否存在所述用户接入属性;
处理模块14,用于当查询结果为所述用户关联表中不存在所述用户接入属性时,则忽略所述第一报文,并确定所述终端设备认证失败。
在一个例子中,所述接收模块11,还用于接收来自认证服务器的第二报文,所述第二报文携带能够通过认证的用户接入属性,而且,所述第二报文是所述认证服务器确定所述接入设备合法时发送的;
所述处理模块12,还用于从所述第二报文中解析出所述能够通过认证的用户接入属性,并在用户关联表中记录所述能够通过认证的用户接入属性。
在一个例子中,所述确定模块12确定的所述用户接入属性包括用户属性和接入属性,所述接收模块11接收的所述第一报文携带所述终端设备对应的用户属性;所述确定模块12,具体用于在利用所述第一报文确定所述终端设备对应的用户接入属性的过程中,从所述第一报文中解析出所述终端设备对应的用户属性,并根据所述第一报文的接收接口确定所述终端设备对应的接入属性。
在一个例子中,所述接收模块11接收的所述第一报文为PADI报文;所述确定模块12解析出的所述用户属性具体包括以下信息之一或者任意组合:用户名、介质访问控制MAC地址、虚拟局域网VLAN信息;所述确定模块12确定的所述接入属性具体包括:所述第一报文的接收接口。
在一个例子中,所述处理模块14,还用于当查询结果为所述用户关联表中存在所述用户接入属性时,则获取认证服务器的可达状态;若所述可达状态为不可达,则忽略所述第一报文,并确定所述终端设备认证失败;若所述可达状态为可达,则处理所述第一报文。
基于上述技术方案,本申请实施例中,可以在接收到PPPoE发现阶段的第一报文(如PADI报文)时,就利用第一报文确定终端设备对应的用户接入属性,并查询用户关联表中是否存在该用户接入属性,如果否,则忽略该第一报文,并确定终端设备认证失败。这样,可以在PPPoE发现阶段对终端设备进行合法性判断,在确认终端设备不合法的情况下,终止与终端设备的交互,避免接入设备与终端设备的频繁交互、避免接入设备与认证服务器的频繁交互,可以有效防止攻击,避免对接入设备和认证服务器造成负担、造成不必要的开销。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可以采用完全硬件实施例、完全软件实施例、或者结合软件和硬件方面的实施例的形式。而且,本申请可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种认证方法,应用于接入设备,其特征在于,所述方法包括:
接收来自终端设备的第一报文,所述第一报文是PPPoE发现阶段的报文;
利用所述第一报文确定所述终端设备对应的用户接入属性;
查询用户关联表中是否存在所述用户接入属性;
如果否,则忽略所述第一报文,并确定所述终端设备认证失败;
如果是,则获取认证服务器的可达状态;若可达状态为不可达,忽略所述第一报文,确定所述终端设备认证失败;若可达状态为可达,则处理所述第一报文;其中,当可达状态为不可达时,表示接入设备与认证服务器之间不可达;当可达状态为可达时,表示接入设备与认证服务器之间可达。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收来自认证服务器的第二报文,所述第二报文携带能够通过认证的用户接入属性,所述第二报文是认证服务器确定所述接入设备合法时发送的;
从所述第二报文中解析出所述能够通过认证的用户接入属性;
在用户关联表中记录所述能够通过认证的用户接入属性。
3.根据权利要求1或2所述的方法,其特征在于,所述用户接入属性包括用户属性和接入属性,所述第一报文携带所述终端设备对应的用户属性;所述利用所述第一报文确定所述终端设备对应的用户接入属性的过程,具体包括:
从所述第一报文中解析出所述终端设备对应的用户属性;
根据所述第一报文的接收接口确定所述终端设备对应的接入属性。
4.根据权利要求3所述的方法,其特征在于,
所述第一报文具体为PPPoE主动发现初始化PADI报文;
所述用户属性具体包括以下信息之一或者任意组合:用户名、介质访问控制MAC地址、虚拟局域网VLAN信息;
所述接入属性具体包括:所述第一报文的接收接口。
5.一种认证装置,应用于接入设备,其特征在于,所述装置包括:
接收模块,用于接收来自终端设备的第一报文,所述第一报文是基于以太网的点对点协议PPPoE发现阶段的报文;
确定模块,用于利用第一报文确定所述终端设备对应的用户接入属性;
查询模块,用于查询用户关联表中是否存在所述用户接入属性;
处理模块,用于当查询结果为所述用户关联表中不存在所述用户接入属性时,则忽略所述第一报文,并确定所述终端设备认证失败;
当查询结果为所述用户关联表中存在所述用户接入属性时,则获取认证服务器的可达状态;若所述可达状态为不可达,忽略所述第一报文,确定所述终端设备认证失败;若可达状态为可达,则处理所述第一报文;其中,当可达状态为不可达时,表示接入设备与认证服务器之间不可达;当可达状态为可达时,表示接入设备与认证服务器之间可达。
6.根据权利要求5所述的装置,其特征在于,所述接收模块,还用于接收来自认证服务器的第二报文,所述第二报文携带能够通过认证的用户接入属性,所述第二报文是所述认证服务器确定所述接入设备合法时发送的;
所述处理模块,还用于从所述第二报文中解析出所述能够通过认证的用户接入属性,并在用户关联表中记录所述能够通过认证的用户接入属性。
7.根据权利要求5或6所述的装置,其特征在于,
所述确定模块确定的所述用户接入属性包括用户属性和接入属性,所述接收模块接收的所述第一报文携带所述终端设备对应的用户属性;
所述确定模块,具体用于在利用所述第一报文确定所述终端设备对应的用户接入属性的过程中,从所述第一报文中解析出所述终端设备对应的用户属性,并根据所述第一报文的接收接口确定所述终端设备对应的接入属性。
8.根据权利要求7所述的装置,其特征在于,
所述接收模块接收的所述第一报文为PPPoE主动发现初始化PADI报文;
所述确定模块解析出的所述用户属性具体包括以下信息之一或者任意组合:用户名、介质访问控制MAC地址、虚拟局域网VLAN信息;
所述确定模块确定的所述接入属性具体包括:所述第一报文的接收接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710097323.0A CN107046568B (zh) | 2017-02-22 | 2017-02-22 | 一种认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710097323.0A CN107046568B (zh) | 2017-02-22 | 2017-02-22 | 一种认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107046568A CN107046568A (zh) | 2017-08-15 |
| CN107046568B true CN107046568B (zh) | 2020-10-09 |
Family
ID=59545101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710097323.0A Active CN107046568B (zh) | 2017-02-22 | 2017-02-22 | 一种认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107046568B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900394B (zh) * | 2018-06-28 | 2021-01-08 | 重庆广用通信技术有限责任公司 | 一种PPPoE内外网帐号无序转换方法及系统 |
| CN113206827B (zh) * | 2021-03-29 | 2022-10-21 | 北京华三通信技术有限公司 | 报文处理方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013005027A (ja) * | 2011-06-13 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | 無線通信システムおよびアクセスポイント |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100550913C (zh) * | 2007-03-06 | 2009-10-14 | 华为技术有限公司 | 一种认证方法和系统 |
| JP2011004024A (ja) * | 2009-06-17 | 2011-01-06 | Hitachi Ltd | 通信装置 |
| CN102055762A (zh) * | 2010-12-03 | 2011-05-11 | 中国联合网络通信集团有限公司 | 宽带网络接入方法和系统、dslam及bras |
| CN104301336A (zh) * | 2014-11-14 | 2015-01-21 | 深圳市共进电子股份有限公司 | PPPoE接入的认证方法 |
| CN104852974B (zh) * | 2015-04-29 | 2018-10-02 | 华为技术有限公司 | 一种在PPPoE认证过程中的报文处理方法及相关设备 |
-
2017
- 2017-02-22 CN CN201710097323.0A patent/CN107046568B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013005027A (ja) * | 2011-06-13 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | 無線通信システムおよびアクセスポイント |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107046568A (zh) | 2017-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4782139B2 (ja) | モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム | |
| US8484695B2 (en) | System and method for providing access control | |
| EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
| US9967738B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
| JP2009540649A (ja) | 向上した信号能力を持つパーソナルトークン | |
| US11265244B2 (en) | Data transmission method, PNF SDN controller, VNF SDN controller, and data transmission system | |
| WO2016192608A2 (zh) | 身份认证方法、身份认证系统和相关设备 | |
| US20210234835A1 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| US9553861B1 (en) | Systems and methods for managing access to services provided by wireline service providers | |
| CN107046568B (zh) | 一种认证方法和装置 | |
| US7917638B1 (en) | Transparent reconnection | |
| CN107547618B (zh) | 一种会话拆除方法和装置 | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| WO2024000975A1 (zh) | 一种会话建立系统、方法、电子设备及存储介质 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| US20220329569A1 (en) | Metaverse Application Gateway Connection Mechanism for Use in a Private Communication Architecture | |
| US20220385638A1 (en) | Private Matter Gateway Connection Mechanism for Use in a Private Communication Architecture | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| CN114928459A (zh) | 用于私有通讯架构的连接方法与电脑可读取媒体 | |
| CN109962831B (zh) | 虚拟客户终端设备、路由器、存储介质和通信方法 | |
| US11818572B2 (en) | Multiple authenticated identities for a single wireless association | |
| US20230413353A1 (en) | Inter-plmn user plane integration | |
| CN113556742B (zh) | 一种网络架构及分流策略配置方法 | |
| CN105939372A (zh) | 一种PPPoE会话建立方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |