CN107181759B - 一种用户设备的认证方法及装置 - Google Patents

一种用户设备的认证方法及装置 Download PDF

Info

Publication number
CN107181759B
CN107181759B CN201710542578.3A CN201710542578A CN107181759B CN 107181759 B CN107181759 B CN 107181759B CN 201710542578 A CN201710542578 A CN 201710542578A CN 107181759 B CN107181759 B CN 107181759B
Authority
CN
China
Prior art keywords
authentication
information
user equipment
message
forwarded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710542578.3A
Other languages
English (en)
Other versions
CN107181759A (zh
Inventor
王富涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201710542578.3A priority Critical patent/CN107181759B/zh
Publication of CN107181759A publication Critical patent/CN107181759A/zh
Application granted granted Critical
Publication of CN107181759B publication Critical patent/CN107181759B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种用户设备的认证方法及装置。本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障。

Description

一种用户设备的认证方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种用户设备的认证方法及装置。
背景技术
目前,用户设备的认证方式通常是基于用户设备的标识信息和/或账号信息的认证。而当用户设备的标识信息被攻击设备仿冒或者账号信息被攻击设备窃取时,攻击设备仍然可以基于上述认证方式认证成功,从而对用户设备的安全构成威胁。
发明内容
有鉴于此,本发明提供一种用户设备的认证方法及装置,以避免攻击设备利用仿冒的用户设备标识信息或窃取的账号信息认证成功,对用户设备的安全构成威胁。
根据本发明第一个实施例的第一方面,提供一种用户设备的认证方法,所述方法应用于接入设备,所述方法包括:
接收用户设备发送的待转发报文,所述待转发报文携带所述用户设备的地址信息;
确定认证成功表中是否存在所述地址信息;所述认证成功表记录了认证成功的用户设备的地址信息;
若不存在,则向认证服务器发送认证请求报文,所述认证请求报文携带接入设备信息和所述待转发报文中携带的用户设备信息,以使所述认证服务器根据所述接入设备信息和用户设备信息,对所述用户设备进行认证。
根据本发明第一个实施例的第二方面,提供一种用户设备的认证装置,所述装置应用于接入设备,所述装置包括:
接收单元,用于接收用户设备发送的待转发报文,所述待转发报文携带所述用户设备的地址信息;
确定单元,用于确定认证成功表中是否存在所述地址信息;所述认证成功表记录了认证成功的用户设备的地址信息;
发送单元,用于在认证成功表中不存在所述地址信息时,向认证服务器发送认证请求报文,所述认证请求报文携带接入设备信息和所述待转发报文中携带的用户设备信息,以使所述认证服务器根据所述接入设备信息和用户设备信息,对所述用户设备进行认证。
根据本发明第二个实施例的第一方面,提供一种用户设备的认证方法,所述方法应用于认证服务器,所述方法包括:
接收接入设备发送的认证请求报文;
获得所述认证请求报文中的接入设备信息和用户设备信息;
根据所述接入设备信息和用户设备信息进行认证;
若认证成功,则向所述接入设备发送针对所述认证请求报文的认证成功报文;若认证失败,则向所述接入设备发送针对所述认证请求报文的认证失败报文。
根据本发明第二个实施例的第二方面,提供一种用户设备的认证装置,所述装置应用于接入设备,所述装置包括:
接收单元,用于接收用户设备发送的待转发报文,所述待转发报文携带所述用户设备的地址信息;
确定单元,用于确定认证成功表中是否存在所述地址信息;所述认证成功表记录了认证成功的用户设备的地址信息;
发送单元,用于在认证成功表中不存在所述地址信息时,向认证服务器发送认证请求报文,所述认证请求报文携带接入设备信息和所述待转发报文中携带的用户设备信息,以使所述认证服务器根据所述接入设备信息和用户设备信息,对所述用户设备进行认证。
本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障。
附图说明
图1是本发明一种用户设备的认证方法的示例性场景图;
图2是本发明一种用户设备的认证方法的第一个实施例流程图;
图3是本发明一种用户设备的认证方法的第二个实施例流程图;
图4是本发明一种用户设备认证装置实施例的第一个结构图;
图5是本发明一种用户设备认证装置实施例的第二个结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1是本发明一种用户设备的认证方法的示例性场景图。本场景图包括用户设备、接入设备以及认证服务器。其中,用户设备需要通过接入设备转发报文;接入设备在接收到用户设备发送的待转发报文后,可以在认证成功表中不存在待转发报文中携带的用户设备的地址信息时,向认证服务器发送携带接入设备信息和用户设备信息的认证请求报文,其中,接入设备可以是接入交换机、路由器等网络设备;在接收到接入设备发送的认证请求报文后,认证服务器可以根据认证请求报文中携带的接入设备信息和用户设备信息对用户设备进行认证,并基于认证结果,向接入设备返回针对认证请求报文的认证成功报文或者认证失败报文。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图2,图2是本发明一种用户设备的认证方法的第一个实施例流程图,该实施例应用于接入设备,该流程图可以包括以下步骤:
步骤201:接收用户设备发送的待转发报文,待转发报文携带用户设备的地址信息;
本实施例中,用户设备的地址信息可以是用户设备的IP地址和/或MAC地址等。
步骤202:确定认证成功表中是否存在上述地址信息;认证成功表记录了认证成功的用户设备的地址信息;若不存在,执行步骤203;
在一个实施例中,认证成功表可以是源MAC表,源MAC表记录了已经认证成功的用户设备的MAC地址;若源MAC表中存在待转发报文中的源MAC地址,则对待转发报文进行转发,否则执行步骤203。
在另一个实施例中,认证成功表可以是ACL表(Access Control List,访问控制列表),ACL表除记录已经认证成功的用户设备的地址信息外,还记录端口信息,端口信息包括待转发报文在接入设备中的入端口和/或该入端口对应的VLAN(Virtual Local AreaNetwork,虚拟局域网);
具体的,在接收到一个待转发报文后,接入设备确定该待转发报文在接入设备中的入端口和/或该入端口对应的VLAN;
若ACL表中存在一个ACL表项,记录了该待转发报文中携带的用户设备的地址信息,及所确定的入端口和/或该入端口对应的VLAN,则对待转发报文进行转发,否则,执行步骤203。
其中,上述ACL表可以包括如下表1示出的内容:
IP地址 MAC地址 入端口 入端口对应的VLAN
IP1 IP1 入端口1 VLAN1
IP2 IP2 入端口2 VLAN2
表1
本实施例中,若认证成功表中存在上述地址信息,则转发用户设备发送的待转发报文。
在一个实施例中,若认证成功表中不存在上述地址信息,则可在执行步骤203之前,执行以下步骤:
确定认证失败表中是否存在端口信息和待转发报文中携带的地址信息;其中,上述端口信息包括待转发报文的入端口和/或该入端口对应的VLAN,认证失败表记录了认证失败的用户设备的端口信息和地址信息,认证失败的用户设备的端口信息和地址信息,是在接收到用户设备的认证失败报文后,添加至认证失败表中的;
若存在,则丢弃待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,并在接收到针对所述认证请求报文的认证失败报文后,在认证失败表中添加上述端口信息和上述待转发报文中携带的地址信息。
其中,上述认证失败表可以是一个ACL表。
具体地,在接收到针对一台用户设备的认证失败报文后,可在定时时长内比如5分钟内,不向认证服务器发送该用户设备的认证请求报文,以避免攻击设备通过频繁发送待转发报文的形式占用接入设备的CPU资源、内存资源及沿途带宽。
如在接收到用户设备3的认证失败报文后,可以在认证失败表中添加如表2所示的表项,其中,可假设用户设备3的IP地址为IP3、MAC地址为MAC3,待转发报文的入端口为入端口3,入端口3对应的VLAN为VLAN3:
用户设备IP 用户设备MAC 入端口 入端口对应的VLAN
IP3 MAC3 入端口3 VLAN3
表2
当定时时长5分钟过后,自动删除该表项,从而使接入设备无法在认证失败表中查询得到该表项,并向认证服务器发送针对用户设备3的认证请求报文。
在另一个实施例中,若认证成功表中不存在上述地址信息,还可以在执行步骤203之前,执行以下步骤:
确定正在认证表中是否存在端口信息和待转发报文中携带的地址信息;其中,上述端口信息包括待转发报文的入端口和/或该入端口对应的VLAN,正在认证表记录了正在认证的用户设备的端口信息和地址信息,正在认证的用户设备的端口信息和地址信息,是在向认证服务器发送认证请求报文之后,添加至正在认证表中的;
若存在,则丢弃待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,在正在认证表中添加上述端口信息和待转发报文中携带的地址信息;并在接收到针对认证请求报文的认证失败报文或者认证成功报文后,从正在认证表中删除添加的端口信息和待转发报文中携带的地址信息。
具体的,为避免针对一台用户设备重复向认证服务器发送认证请求报文,可以建立如上的正在认证表。当从正在认证表中查询到用户设备的地址信息和端口信息时,丢弃该用户设备发送的待转发报文;或者对该用户设备发送的待转发报文进行缓存,并在接收到认证服务器针对该用户设备的认证成功报文后,转发缓存的待转发报文,而在接收到针对该用户设备的认证失败报文后,丢弃缓存的待转发报文;并从正在认证表中删除查询到的用户设备的地址信息和端口信息。
步骤203:向认证服务器发送认证请求报文,认证请求报文携带接入设备信息和待转发报文中携带的用户设备信息,以使认证服务器根据接入设备信息和用户设备信息,对用户设备进行认证。
本实施例中,用户设备信息包括用户设备的IP地址和/或MAC地址;接入设备信息包括接入设备标识信息,或者,接入设备标识信息和端口信息;接入设备标识信息,包括接入设备的IP地址和/或MAC地址,端口信息包括待转发报文的入端口和/或该入端口对应的VLAN。
作为一个实施例,接入设备可以将上述列举的所有用户设备信息和接入设备信息,添加至认证请求报文中发送给认证请求设备,以使认证请求设备根据自身记录的该用户设备和接入设备的全部信息或者部分信息,对该用户设备进行认证,以保证认证结果的准确性。
作为一个实施例,可以将上述认证成功表、认证失败表及正在认证表,合并成为一张认证信息表,该认证信息表中可以记录用户设备的IP地址、MAC地址,该用户设备发送的待转发报文在接入设备中的入端口及该入端口对应的VLAN,以及该用户设备的认证状态,其中,认证状态可以包括认证成功、认证失败或正在认证。
具体的,在接收到待转发报文,并确定待转发报文的入端口及该入端口对应的VLAN后,接入设备可以确定认证信息表中是否存在与该待转发报文匹配的认证信息表项;
若存在,则确定该存在的认证信息表项中记录的认证状态;若认证状态为正在认证,则丢该待转发报文,若认证状态为认证成功,则对该待转发报文进行转发,若认证状态为认证失败,则同样丢弃该待转发报文;
若不存在,则向认证服务器发送认证请求报文,该认证请求报文中记录上述用户设备的IP地址、MAC地址,上述接入设备的IP地址、MAC地址以及上述待转发报文在接入设备中的入端口及该入端口对应的VLAN;在认证信息表中添加一个认证信息表项,且认证信息表项中记录的认证状态为正在认证;在接收到认证服务器针对上述认证请求报文返回的认证成功报文后,将上述添加的认证信息表项中记录的认证状态更新为认证成功;在接收到认证服务器针对上述认证请求报文返回的认证失败报文后,将上述添加的认证信息表项中记录的认证状态更新为认证失败,并同时启动一个定时器,当定时时长到达后,删除上述添加的认证信息表项,以使上述用户设备得以重新认证。
本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障。
参见图3,图3是本发明一种用户设备的认证方法的第二个实施例流程图,该实施例应用于认证服务器,该流程图可以包括以下步骤:
步骤301:接收接入设备发送的认证请求报文;
步骤302:获得认证请求报文中的接入设备信息和用户设备信息;
本实施例中,用户设备信息包括用户设备的IP地址和/或MAC地址;接入设备信息包括接入设备标识信息,或者,接入设备标识信息和端口信息;接入设备标识信息,包括接入设备的IP地址和/或MAC地址,端口信息包括待转发报文的入端口和/或该入端口对应的VLAN。
步骤303:根据接入设备信息和用户设备信息进行认证;若认证成功,执行步骤304;若认证失败,执行步骤305;
本实施例中,认证服务器可以根据认证请求报文中携带的用户设备信息,在认证信息表中,查找与该认证请求报文匹配的认证信息表项;若认证请求报文中携带的接入设备信息与查找到的认证信息表项中记录的接入设备信息一致,则确定该用户设备认证成功,否则确定该用户设备认证失败。
在一个实施例中,认证信息表中可以记录如下表3所示的内容:
Figure BDA0001342197810000101
表3
在另一个实施例中,也可以不记录表3中示出的入端口和/或VLAN。即认证信息表中的内容,可以根据认证的精确程度进行增删,但至少需要保留接入设备的标识信息,从而使攻击设备无法在其它位置,通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,保障用户设备的安全。
在精确认证条件下,若认证请求报文中携带的一项内容比如VLAN,与认证信息表中记录的VLAN不一致,则确定该认证请求报文对应的用户设备认证失败。
在一个实施例中,认证请求报文可以携带步骤302中列举的所有信息,以避免认证信息表中记录有认证请求报文中未携带信息,而导致该认证请求报文对应的用户设备认证失败。
本实施例中,当组网中的用户设备需要更换、移动、增减时,可以开启认证服务器的认证信息表学习功能,以使认证服务器根据接入设备发送的需要更新的用户设备信息和接入设备信息,对认证信息表进行同步更新;其中,接入设备可以通过向认证服务器发送控制报文,使认证服务器开启或者关闭认证信息表学习功能。
步骤304:向接入设备发送针对上述认证请求报文的认证成功报文;
步骤305:向接入设备发送针对上述认证请求报文的认证失败报文。
本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障
以下将给出本发明一种用户设备的认证方法的第三个实施例和第四个实施例。与前述实施例不同的是,下述实施例将通过接入设备与认证服务器之间的交互,以及接入设备内部CPU和芯片之间的交互,对本发明实施例的流程进行说明,有利于读者理解。
第三个实施例:
步骤1:接入设备芯片接收用户设备发送的待转发报文,获得待转发报文中携带的用户设备的MAC地址;确定源MAC表中是否存在获得的MAC地址;若不存在,则将该待转发报文对应的端口信息和待转发报文上送至接入设备CPU。
若存在,则根据存在的源MAC表项对待转发报文进行转发。
其中,端口信息包括待转发报文在接入设备中的入端口和入端口对应的VLAN。接入设备芯片可以将端口信息添加至待转发报文中上送至接入设备CPU;
本实施例中,接入设备芯片在将待转发报文上送至接入设备CPU时,可以根据需要,对待转发报文进行限速,比如在1秒内向接入设备CPU发送至多10000个待转发报文,以减小接入设备CPU的通信压力。
将待转发报文上送至接入设备CPU,是指将待转发报文重定向至接入设备CPU。
步骤2:接入设备CPU接收端口信息和待转发报文,并获得待转发报文中携带的用户设备的地址信息;确定认证失败表中是否存在一认证失败表项记录该地址信息和该端口信息;若不存在,则执行步骤3。
本实施例中,用户设备的地址信息可以包括用户设备的MAC地址和IP地址;认证失败表位于接入设备CPU中;
若存在,则丢弃接收的端口信息和待转发报文。
步骤3:接入设备CPU确定正在认证表中是否存在一正在认证表项记录该地址信息和该端口信息;若不存在,则向认证服务器发送认证请求报文,并在正在认证表中添加一正在认证表项,记录该地址信息和该端口信息,其中,该认证请求报文中携带用户设备信息和接入设备信息;
本实施例中,用户设备信息和接入设备信息可参见上述步骤202,在此不再赘述;
若存在,则丢弃接收的端口信息和待转发报文。
步骤4:认证服务器接收接入设备发送的认证请求报文;获得认证请求报文中的接入设备信息和用户设备信息;根据接入设备信息和用户设备信息进行认证;若认证成功,则向接入设备发送针对上述认证请求报文的认证成功报文;若认证失败,则向接入设备发送针对上述认证请求报文的认证失败报文。
步骤5:接入设备CPU在接收到上述认证成功报文后,获得认证成功报文中携带的用户设备的MAC地址,向接入设备芯片下发该MAC地址对应的源MAC表项,并从正在认证表中删除步骤3中添加的正在认证表项;接入设备CPU在接收到上述认证失败报文后,从正在认证表中删除步骤3中添加的正在认证表项,并将认证失败表中添加一认证失败表项,记录删除的正在认证表项中记录的地址信息和端口信息,同时启动定时器,在定时器溢出后,将该添加的认证失败表项从认证失败表中删除。
本实施例中,接入设备CPU可以定时如5分钟,向接入设备芯片下发一重新认证表,该重新认证表用于当源MAC表中存在待转发报文中携带的源MAC地址时,将该待转发报文对应的端口信息和该待转发报文上送至接入设备CPU进行重新认证,若认证成功,则保留对应的源MAC表项,否则,删除对应的源MAC表项,以防止用户设备的IP地址和/或端口信息已经发生改变,与认证服务器中相应认证信息表项中记录的IP地址和/或端口信息不匹配时,该用户设备发送的待转发报文仍然可以实现基于存在的对应源MAC表项直接转发的现象的发生,从而保证了认证结果的可靠性。其中,重新认证表可以通过ACL表的方式实现;且基于重新认证表的待转发报文的上送方式为拷贝上送,并不影响该待转发报文基于源MAC表项的转发。
本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障。
第四个实施例:与第三个实施例不同的是,本实施例中的认证失败表位于接入设备芯片中。
步骤1:接入设备芯片接收用户设备发送的待转发报文,获得待转发报文中携带的用户设备的地址信息和该待转发报文对应的端口信息;确定认证失败表中是否存在一认证失败表项记录该地址信息和该端口信息;若不存在,则执行步骤2;
若存在,则丢弃该待转发报文;
步骤2:从获得的地址信息中得到源MAC地址,确定源MAC表中是否存在获得的源MAC地址,若不存在,则将该端口信息和待转发报文上送至接入设备CPU;
若存在,则对该待转发报文进行转发。
步骤3:接入设备CPU接收端口信息和待转发报文,确定正在认证表中是否存在一正在认证表项记录该地址信息和该端口信息;若不存在,则向认证服务器发送认证请求报文,并在正在认证表中添加一正在认证表项,记录该地址信息和该端口信息,其中,该认证请求报文中携带用户设备信息和接入设备信息;
若存在,则丢弃接收的端口信息和待转发报文。
步骤4:同第三个实施例的步骤4。
步骤5:接入设备CPU在接收到上述认证成功报文后,获得认证成功报文中携带的用户设备的MAC地址,向接入设备芯片下发该MAC地址对应的源MAC表项,并从正在认证表中删除步骤3中添加的正在认证表项;接入设备CPU在接收到上述认证失败报文后,从正在认证表中删除步骤3中添加的正在认证表项,生成一认证失败表项,用于记录获得的该地址信息和端口信息,并将生成的认证失败表项下发至接入设备芯片,同时启动定时器,在定时器溢出后,向接入设备芯片下发删除该认证失败表项的指令,以使接入设备芯片删除该认证失败表项。
步骤6:接入设备芯片在认证失败表中添加接收到的认证失败表项,并在接收到接入设备CPU下发的删除该认证失败表项的指令后,将该认证失败表项从认证失败表中删除。
本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障。
与前述一种用户设备认证方法的实施例相对应,本发明还提供了一种用户设备认证装置的实施例。
参见图4,图4是本发明一种用户设备认证装置实施例的第一个结构图,本装置实施例应用于接入设备,该装置可以包括:接收单元410、确定单元420、发送单元430。
其中,接收单元410,用于接收用户设备发送的待转发报文,待转发报文携带用户设备的地址信息;
确定单元420,用于确定认证成功表中是否存在上述地址信息;认证成功表记录了认证成功的用户设备的地址信息;
发送单元430,用于在认证成功表中不存在上述地址信息时,向认证服务器发送认证请求报文,认证请求报文携带接入设备信息和待转发报文中携带的用户设备信息,以使认证服务器根据接入设备信息和用户设备信息,对用户设备进行认证。
在以上装置实施例的一种实现方式中,用户设备信息包括用户设备的IP地址和/或MAC地址;
接入设备信息包括接入设备标识信息,或者,接入设备标识信息和端口信息;接入设备标识信息,包括接入设备的IP地址和/或MAC地址,端口信息包括待转发报文的入端口和/或上述入端口对应的VLAN。
参见图5,图5是本发明一种用户设备认证装置实施例的第二个结构图,本装置实施例应用于认证服务器,该装置可以包括:接收单元510、获得单元520、认证单元530。
其中,接收单元510,用于接收接入设备发送的认证请求报文;
获得单元520,用于获得认证请求报文中的接入设备信息和用户设备信息;
认证单元530,用于根据接入设备信息和用户设备信息进行认证;若认证成功,则向接入设备发送针对认证请求报文的认证成功报文;若认证失败,则向接入设备发送针对认证请求报文的认证失败报文。
本实施例中,接入设备通过将用户设备信息和接入设备信息一同发送至认证服务器,可以使得认证服务器根据接收到的用户设备信息和接入设备信息,实现基于用户设备接入位置的认证。通过将用户设备的接入位置信息纳入到认证过程中,可以使得攻击设备在其它位置,无法通过仿冒的用户设备的标识信息或窃取的账号信息成功认证,从而使得用户设备的安全得到了有力的保障。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种用户设备的认证方法,所述方法应用于接入设备,其特征在于,所述方法包括:
接收用户设备发送的待转发报文,所述待转发报文携带所述用户设备的用户设备信息,所述用户设备信息中包括所述用户设备的地址信息;所述用户设备信息包括用户设备的IP地址和/或MAC地址;
确定认证成功表中是否存在所述地址信息;所述认证成功表记录了认证成功的用户设备的地址信息;
若不存在,则向认证服务器发送认证请求报文,所述认证请求报文携带接入设备信息和所述待转发报文中携带的用户设备信息,以使所述认证服务器根据所述接入设备信息和用户设备信息,对所述用户设备进行认证;
所述向认证服务器发送认证请求报文之前,还包括:
确定正在认证表中是否存在端口信息和所述待转发报文中携带的地址信息;其中,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN,所述正在认证表记录了正在认证的用户设备的端口信息和地址信息,所述正在认证的用户设备的端口信息和地址信息,是在向认证服务器发送认证请求报文之后,添加至所述正在认证表中的;
若存在,则丢弃所述待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,在所述正在认证表中添加所述端口信息和所述待转发报文中携带的地址信息,并对该用户设备发送的待转发报文进行缓存,并在接收到认证服务器针对该用户设备的认证成功报文后,转发缓存的待转发报文。
2.根据权利要求1所述的方法,其特征在于,
所述接入设备信息包括接入设备标识信息,或者,接入设备标识信息和端口信息;所述接入设备标识信息,包括接入设备的IP地址和/或MAC地址,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN。
3.根据权利要求1所述的方法,其特征在于,所述向认证服务器发送认证请求报文之前,还包括:
确定认证失败表中是否存在端口信息和所述待转发报文中携带的地址信息;其中,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN,所述认证失败表记录了认证失败的用户设备的端口信息和地址信息,所述认证失败的用户设备的端口信息和地址信息,是在接收到用户设备的认证失败报文后,添加至所述认证失败表中的;
若存在,则丢弃所述待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,并在接收到针对所述认证请求报文的认证失败报文后,在所述认证失败表中添加所述端口信息和所述待转发报文中携带的地址信息。
4.根据权利要求3所述的方法,其特征在于,所述在认证失败表中添加所述端口信息和所述待转发报文中携带的地址信息之后,还包括:
启动一个定时器,在所述定时器溢出后,删除该添加的端口信息和地址信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到针对所述认证请求报文的认证失败报文或者认证成功报文后,从所述正在认证表中删除添加的所述端口信息和所述待转发报文中携带的地址信息。
6.一种用户设备的认证方法,所述方法应用于认证服务器,其特征在于,所述方法包括:
接收接入设备发送的认证请求报文;
获得所述认证请求报文中的接入设备信息和用户设备信息;所述用户设备信息包括用户设备的IP地址和/或MAC地址;
根据所述接入设备信息和用户设备信息进行认证;
若认证成功,则向所述接入设备发送针对所述认证请求报文的认证成功报文;若认证失败,则向所述接入设备发送针对所述认证请求报文的认证失败报文;
所述接入设备向认证服务器发送认证请求报文之前,还包括:
确定正在认证表中是否存在端口信息和待转发报文中携带的地址信息;其中,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN,所述正在认证表记录了正在认证的用户设备的端口信息和地址信息,所述正在认证的用户设备的端口信息和地址信息,是在向认证服务器发送认证请求报文之后,添加至所述正在认证表中的;所述待转发报文是由所述用户设备发送,包括所述用户设备的地址信息;
若存在,则丢弃所述待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,在所述正在认证表中添加所述端口信息和所述待转发报文中携带的地址信息,并对该用户设备发送的待转发报文进行缓存,并在接收到认证服务器针对该用户设备的认证成功报文后,转发缓存的待转发报文。
7.根据权利要求6所述的方法,其特征在于,
所述用户设备信息包括用户设备的IP地址和/或MAC地址;
所述接入设备信息包括接入设备标识信息,或者,接入设备标识信息和端口信息;所述接入设备标识信息,包括接入设备的IP地址和/或MAC地址,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN。
8.一种用户设备的认证装置,所述装置应用于接入设备,其特征在于,所述装置包括:
接收单元,用于接收用户设备发送的待转发报文,所述待转发报文携带所述用户设备的用户设备信息,所述用户设备信息中包括所述用户设备的地址信息;所述用户设备信息包括用户设备的IP地址和/或MAC地址;
确定单元,用于确定认证成功表中是否存在所述地址信息;所述认证成功表记录了认证成功的用户设备的地址信息;
发送单元,用于在认证成功表中不存在所述地址信息时,向认证服务器发送认证请求报文,所述认证请求报文携带接入设备信息和所述待转发报文中携带的用户设备信息,以使所述认证服务器根据所述接入设备信息和用户设备信息,对所述用户设备进行认证;
所述发送单元,具体用于向认证服务器发送认证请求报文之前,确定正在认证表中是否存在端口信息和所述待转发报文中携带的地址信息;其中,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN,所述正在认证表记录了正在认证的用户设备的端口信息和地址信息,所述正在认证的用户设备的端口信息和地址信息,是在向认证服务器发送认证请求报文之后,添加至所述正在认证表中的;
若存在,则丢弃所述待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,在所述正在认证表中添加所述端口信息和所述待转发报文中携带的地址信息,并对该用户设备发送的待转发报文进行缓存,并在接收到认证服务器针对该用户设备的认证成功报文后,转发缓存的待转发报文。
9.根据权利要求8所述的装置,其特征在于,
所述接入设备信息包括接入设备标识信息,或者,接入设备标识信息和端口信息;所述接入设备标识信息,包括接入设备的IP地址和/或MAC地址,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN。
10.一种用户设备的认证装置,所述装置应用于认证服务器,其特征在于,所述装置包括:
接收单元,用于接收接入设备发送的认证请求报文;所述用户设备信息包括用户设备的IP地址和/或MAC地址;
获得单元,用于获得所述认证请求报文中的接入设备信息和用户设备信息;
认证单元,用于根据所述接入设备信息和用户设备信息进行认证;若认证成功,则向所述接入设备发送针对所述认证请求报文的认证成功报文;若认证失败,则向所述接入设备发送针对所述认证请求报文的认证失败报文;
所述接入设备向认证服务器发送认证请求报文之前,还包括:
确定正在认证表中是否存在端口信息和待转发报文中携带的地址信息;其中,所述端口信息包括所述待转发报文的入端口和/或所述入端口对应的VLAN,所述正在认证表记录了正在认证的用户设备的端口信息和地址信息,所述正在认证的用户设备的端口信息和地址信息,是在向认证服务器发送认证请求报文之后,添加至所述正在认证表中的;所述待转发报文是由所述用户设备发送,包括所述用户设备的地址信息;
若存在,则丢弃所述待转发报文;
若不存在,则执行向认证服务器发送认证请求报文的步骤,在所述正在认证表中添加所述端口信息和所述待转发报文中携带的地址信息,并对该用户设备发送的待转发报文进行缓存,并在接收到认证服务器针对该用户设备的认证成功报文后,转发缓存的待转发报文。
CN201710542578.3A 2017-07-05 2017-07-05 一种用户设备的认证方法及装置 Active CN107181759B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710542578.3A CN107181759B (zh) 2017-07-05 2017-07-05 一种用户设备的认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710542578.3A CN107181759B (zh) 2017-07-05 2017-07-05 一种用户设备的认证方法及装置

Publications (2)

Publication Number Publication Date
CN107181759A CN107181759A (zh) 2017-09-19
CN107181759B true CN107181759B (zh) 2020-07-07

Family

ID=59845237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710542578.3A Active CN107181759B (zh) 2017-07-05 2017-07-05 一种用户设备的认证方法及装置

Country Status (1)

Country Link
CN (1) CN107181759B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108306875B (zh) * 2018-01-29 2021-08-13 新华三技术有限公司 一种控制有线终端接入的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064666A (zh) * 2006-04-27 2007-10-31 上海贝尔阿尔卡特股份有限公司 基于端口和用户信息来控制用户设备接入的方法及装置
CN102883265A (zh) * 2012-09-20 2013-01-16 中国联合网络通信集团有限公司 接入用户的位置信息发送和接收方法、设备及系统
CN105978859A (zh) * 2016-04-25 2016-09-28 杭州华三通信技术有限公司 一种报文处理的方法和装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7155526B2 (en) * 2002-06-19 2006-12-26 Azaire Networks, Inc. Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network
CN100352203C (zh) * 2003-09-04 2007-11-28 华为技术有限公司 控制宽带网络用户接入网络的方法
CN101567883B (zh) * 2005-04-25 2013-12-18 华为技术有限公司 防止mac地址仿冒的实现方法
CN101557290A (zh) * 2009-05-15 2009-10-14 中兴通讯股份有限公司 一种端口定位实时认证的方法
CN101600188B (zh) * 2009-07-30 2012-10-17 杭州华三通信技术有限公司 一种基于漫游的认证方法及装置
CN104506510B (zh) * 2014-12-15 2017-02-08 百度在线网络技术(北京)有限公司 用于设备认证的方法、装置及认证服务系统
CN106559785B (zh) * 2015-09-30 2020-02-14 中国电信股份有限公司 认证方法、设备和系统以及接入设备和终端

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064666A (zh) * 2006-04-27 2007-10-31 上海贝尔阿尔卡特股份有限公司 基于端口和用户信息来控制用户设备接入的方法及装置
CN102883265A (zh) * 2012-09-20 2013-01-16 中国联合网络通信集团有限公司 接入用户的位置信息发送和接收方法、设备及系统
CN105978859A (zh) * 2016-04-25 2016-09-28 杭州华三通信技术有限公司 一种报文处理的方法和装置

Also Published As

Publication number Publication date
CN107181759A (zh) 2017-09-19

Similar Documents

Publication Publication Date Title
CN107104872B (zh) 接入控制方法、装置及系统
US10187299B2 (en) Method for using authenticated requests to select network routes
CN109327395B (zh) 一种报文处理方法及装置
CN111131544B (zh) 一种实现nat穿越的方法
CN109067937B (zh) 终端准入控制方法、装置、设备、系统及存储介质
CN108600109B (zh) 一种报文转发方法和装置
CN107438068B (zh) 一种防arp攻击的方法及装置
CN105939326A (zh) 处理报文的方法及装置
CN106101011B (zh) 一种报文处理方法及装置
CN106878199B (zh) 一种接入信息的配置方法和装置
CN107404470A (zh) 接入控制方法及装置
CN107171857B (zh) 一种基于用户组的网络虚拟化方法和装置
US20150381739A1 (en) Network session control
EP1739921A1 (en) Progressive wiretap
CN106060097B (zh) 一种信息安全竞赛的管理系统及管理方法
CN111327599B (zh) 一种认证过程的处理方法及装置
US10764307B2 (en) Extracted data classification to determine if a DNS packet is malicious
CN101808097A (zh) 一种防arp攻击方法和设备
CN107181759B (zh) 一种用户设备的认证方法及装置
CN107105072B (zh) 一种创建arp表项的方法和装置
CN112637373B (zh) 一种保持哑终端在线的方法及设备
CN106656975A (zh) 一种攻击防御方法及装置
CN109067788A (zh) 一种接入认证的方法及装置
CN110943962B (zh) 一种认证方法、网络设备和认证服务器以及转发设备
CN108123955A (zh) 安全表项的管理方法、装置、设备及机器可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant