CN107294961A - 一种用户真实信息安全认证系统和方法 - Google Patents
一种用户真实信息安全认证系统和方法 Download PDFInfo
- Publication number
- CN107294961A CN107294961A CN201710430439.1A CN201710430439A CN107294961A CN 107294961 A CN107294961 A CN 107294961A CN 201710430439 A CN201710430439 A CN 201710430439A CN 107294961 A CN107294961 A CN 107294961A
- Authority
- CN
- China
- Prior art keywords
- user
- interchanger
- address
- information
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用户真实信息安全认证系统和方法,主要由基础架构层、控制层和应用层构成,包括用户主机、无线路由器、交换机和服务器;基础架构层包括无线路由器和交换机;控制层包括服务器中的用户信息认证模块和信息存储系统;应用层包括web应用;本发明首先对用户主机的IP地址合法性进行验证,防止用户主机的IP地址伪造;接着在验证到用户主机的IP地址合法的情况下,将用户主机发送的用户数据包发送至服务器中进行认证;在认证成功后,通知交换机允许发送用户数据包的用户主机的流量,否则,通知交换机阻止发送用户数据包的用户主机的流量,本发明能够完全保证用户的真实性,在提高认证系统扩展性的同时,简化了用户认证的操作。
Description
技术领域
本发明涉及计算机网络技术,特别涉及一种用户真实信息安全认证系统和方法。
背景技术
目前,据有关媒体报道,高校大学生有偿代替签到已经发展成为一条产业链,公共课成为了替课的重灾区,而且还能够全天候替课,能够对付各种刁钻的老师。大多数的替课者都是学生,随着需求的增加,替课已经逐步发展成为了一个校园中的灰色产业链。
现在应用比较广泛的签到方式主要有上课点到签到、指纹签到、打卡签到的方式。上课点到签到比较耗费时间和精力,效率最低,并不能解决代签的问题。打卡签到在效率上有了一定的提升,但是仍然不能解决代替签到的问题。指纹签到相较而言是最好的选择,它能够唯一的识别用户身份。但是它的缺点也很明显,扩展性太差,一方面学生必须要到指定的地点才能完成签到,另一方面指纹要求清洁,指纹系统的防破坏能力及稳定性也有待提高。而其他的签到方式比如眼虹签到以及人脸识别签到则成本太高,不适用。
随着智能手机的出现,现在也出现了一些手机考勤方法,这些考勤方法不能实现对用户身份信息的认证,很难避免代打卡以及代班的情况。
发明内容
本发明的目的在于克服现有技术的缺点与不足,提供一种用户真实信息安全认证系统,该系统能够完全保证用户身份的真实性,彻底解决一些签到或者考勤系统中存在的用户真实信息验证问题,在提高认证系统扩展性的同时,简化了用户认证的操作和网络管理。
本发明的第二目的在于提供一种用户真实信息安全认证方法。
本发明的第一目的通过下述技术方案实现:一种用户真实信息安全认证系统,主要由基础架构层、控制层和应用层构成,包括用户主机、无线路由器、交换机和服务器;其特征在于,所述基础架构层包括无线路由器和交换机,用于负责数据转发;所述控制层包括服务器中的用户信息认证模块和信息存储系统,用于负责数据的处理;所述应用层包括web应用,用于负责数据的展示;
所述用户主机通过无线网络连接无线路由器,用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址;用于接收交换机通过无线路由器转发的RA通告,并且获取RA通告的前缀自动生成IP地址;用于在生成IP地址后发送DAD NS重复地址检测报文至无线路由器,通过无线路由器转发给交换机;用于发送用户数据包至无线路由器,通过无线路由器转发给交换机;
所述无线路由器,用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包;用于将接收到的DHCP数据包发送给交换机;用于将交换机发送的RA通告转发给用户主机;用于将用户主机发送的DAD NS重复地址检测报文转发至交换机;用于监听用户主机发送的用户数据包;用于将监听到的用户数据包转发至交换机;
所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机,用于监听通过SAVI功能端口传送过来的DHCP数据包,在监听到有DHCP数据包时,通过无线路由器发送RA通过至用户主机;用于在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时,将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定,生成绑定锚,其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口,即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;用于在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证,在验证成功的情况认证用户主机的IP地址是合法的,在验证失败的情况下认证用户主机的IP地址是非法的,此时过滤掉该用户主机;用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块;
所述服务器中的信息存储系统,用于存储用户信息以及认证信息;
服务器中的用户信息认证模块,用于在获取到交换机发送的用户数据包后,根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证;用于在用户信息认证成功后,将对应认证信息存储进服务器的信息存储系统中,并且通知交换机允许对应发送用户数据包的用户主机的流量;用于在用户信息认证失败后,通知交换机阻止对应发送用户数据包的用户主机的流量;
所述web应用,用于下发控制指令至服务器;用于调用并且展示用户信息和网络状态信息。
优选的,所述无线路由器为移植了开源的OpenWrt系统的路由器,所述控制层还包括服务器中的SDN控制器;
所述无线路由器还包括,用于通过OpenFlow协议与服务器中的SDN控制器进行通信,具体为:用于通过OpenFlow协议接收SDN控制器发送的控制指令,并且根据控制指令生成流表,然后将流表与其监听到的用户数据包进行匹配;当控制指令为获取网络状态信息以及用户信息时,将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中,当控制指令为过滤掉异常流量时,将与流表匹配的用户数据包进行丢弃;
所述服务器中的SDN控制器,用于在接收到应用层的web应用下发的控制命令时,通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上,所述控制指令包括获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令;用于接收无线路由器通过OpenFlow协议发送的匹配成功的用户数据包,然后解析出匹配成功的用户数据包中的用户信息和网络状态信息,最后将解析出的用户信息和网络状态信息供web应用调用;
所述web应用,用于下发获取网络状态以及用户信息的控制指令至SDN控制器;用于展示SDN控制器解析出的用户信息和网络状态信息。
优选的,所述服务器中的信息存储系统存储的用户信息为外界导入的信息,其中的每个用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到;其中所述用户账号信息包括用户账号登入时所需要的用户名和用户密码;
所述用户主机为具有指纹识别功能的终端;所述应用层还包括运行在用户主机的应用程序;所述运行在用户主机的应用程序为指纹识别应用程序,包括用户账号登入模块、指纹信息获取模块和用户数据包生成模块;
所述用户账号登入模块,用于提供用户账号的登入;
所述指纹信息获取模块,用于获取各用户账号下由移动终端输入的指纹信息;
所述用户数据包生成模块,用于将用户账号下获取到的指纹信息和用户账号信息所构成的用户信息以及源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包,然后通过用户主机发送至无线路由器;其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口,即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;
所述服务器中的信息存储系统存储的认证信息包括用户数据包中的用户信息、源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息以及用户信息认证时间信息。
更进一步的,所述交换机在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来,然后与交换机中的绑定锚进行对比,若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号相同,则表示验证通过。
更进一步的,所述无线路由器通过流表与其监听到的用户数据包进行匹配时,匹配的项目包括源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息,即当无线路由器监听到的某一用户数据包和流表中的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息相同时,则该用户数据包即为匹配成功的数据包;
所述服务器中的SDN控制器为Floodlight控制器。
本发明的第二目的通过下述技术方案实现:一种基于上述用户真实信息安全认证系统实现的用户真实信息安全认证方法,步骤如下:
S1、在服务器的信息存储系统中导入用户信息;
S2、当各用户主机连接上无线路由器中的无线路由器时,向无线路由器中的DHCP服务器发送DHCP数据包,请求DHCP服务器分配合法IP地址;无线路由器DHCP数据包后,将其转发给交换机;
S3、交换机监听到通过SAVI功能端口传送过来的DHCP数据包时,通过无线路由器将RA转发至对应的用户主机;用户主机接收到交换机通过无线路由器转发的RA通告后,获取RA通告的前缀自动生成IP地址,然后发送DAD NS重复地址检测报文至无线路由器,通过无线路由器转发至交换机;
S4、交换机在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时,将对应发送DHCP数据包的用户主机的IP地址、MAC地址以及交换机SAVI功能端口号进行绑定,生成绑定锚,并且对生成的绑定锚进行存储,其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口;
S5、在用户主机发送的用户数据包通过无线路由器到达交换机时,交换机通过源地址验证SAVI模块将用户数据包解析后与交换机中存储的绑定锚进行对比验证,在验证成功的情况认证用户主机的IP地址是合法的,然后将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块,在验证失败的情况下认证用户主机的IP地址是非法的,此时交换机过滤掉该用户主机;
S6、服务器中的用户信息认证模块在接收到交换机发送的用户数据包后,根据信息存储系统中存储的用户信息对用户数据包中的用户信息进行认证,在用户信息认证成功后,将对应的认证信息存储至服务器的信息存储系统中,同时通知交换机允许对应发送用户数据包的用户主机的流量;在用户信息认证失败后,则通知交换机阻止对应发送用户数据包的用户主机的流量。
优选的,所述无线路由器为移植了开源的OpenWrt系统的路由器,所述控制层还包括服务器中的SDN控制器;还包括以下步骤:
S7、当服务器中的SDN控制器接收到web应用下发的控制命令时,通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上;当无线路由器通过OpenFlow协议接收SDN控制器发送的控制指令时,根据接收到的该控制指令生成流表,然后将该流表与无线路由器监听到的用户数据包进行匹配;其中当控制指令为要获取网络状态信息以及用户信息时,则无线路由器将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中;当控制指令为过滤掉异常流量时,则无线路由器将与流表匹配的用户数据包进行丢弃;
S8、SDN控制器在接收到无线路由器通过OpenFlow协议发送的用户数据包后,解析出用户数据包中的用户信息和网络状态信息,然后将解析出的用户信息和网络状态信息供web应用调用。
优选的,步骤S1中在服务器的信息存储系统中导入的用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到;
所述应用层还包括运行在用户主机的应用程序;所述运行在用户主机的应用程序为指纹识别应用程序;所述步骤S5中,用户通过指纹识别应用程序登入用户账号,当对应用户账号下获取到由用户主机输入的指纹信息时,将对应用户账号下获取到的指纹信息和用户账号信息构成的用户信息与源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包,然后通过用户主机将用户数据包发送至无线路由器,其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口,即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;
步骤S6中存储进服务器的信息存储系统中的认证信息包括用户数据包中的用户信息和源IP地址、目的IP地址、源MAC地址、目的MAC地址、交换机SAVI功能端口号信息以及用户信息认证时间信息。
优选的,步骤S5中,交换机在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来,然后与交换机中的绑定锚进行对比,若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号相同,则表示验证成功,否则表示验证失败。
更进一步的,所述步骤S7中无线路由器通过流表与其监听到的用户数据包进行匹配时,匹配的项目包括源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息,即当无线路由器监听到的某一用户数据包和流表中的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息相同时,则该用户数据包即为匹配成功的数据包;
所述服务器中的SDN控制器Floodlight控制器,Floodlight控制器通过TCP协议与无线路由器上的OpenvSwitch模块建立连接;
所述步骤S7中的异常流量指的是流量值超过一定限度的流量。
本发明相对于现有技术具有如下的优点及效果:
(1)本发明主要由基础架构层、控制层和应用层构成,包括用户主机、无线路由器、交换机和服务器;其中用户主机在连接上无线路由器后,发送DHCP数据包请求分配合法IP地址,交换机根据DHCP数据包请求使得用户主机分配到合法的IP地址,并且将各提出DHCP数据包的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号进行绑定,生成绑定锚;在用户主机发送用户数据包至无线路由器时,交换机通过源地址验证SAVI模块和绑定锚对用户主机的IP地址合法性进行验证;然后将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块,服务器的用户信息认证模块根据信息存储系统中存储的用户信息对用户数据包中的用户信息进行认证,在认证成功后,则通知交换机允许对应发送用户数据包的用户主机的流量,否则通知交换机阻止对应发送用户数据包的用户主机的流量。可见,本发明首先对用户主机的IP地址合法性进行验证,通过网络技术来保证用户主机的合法性,防止用户主机的IP地址伪造;接着在验证到用户主机的IP地址合法的情况下,将用户主机发送的用户数据包发送至服务器中进行认证;在认证成功后,通知交换机允许发送用户数据包的用户主机的流量,在认证失败后,则通知交换机阻止发送用户数据包的用户主机的流量,可见本发明能够完全保证用户的真实性,彻底解决一些签到或者考勤系统中存在的用户真实信息验证问题,在提高认证系统扩展性的同时,简化了用户认证的操作。
(2)本发明中用户主机发送的用户数据包是封装了用户指纹信息和用户账号信息所构成的用户信息以及源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机端口号的信息,交换机通过在验证用户主机IP地址的合法性的时候,同时验证了用户数据包中的交换机SAVI功能端口号和源MAC地址与绑定锚中的交换机SAVI功能端口号和MAC地址是否一致,。服务器的用户信息认证模块存储的具有指纹信息的用户信息对用户数据包中具有指纹信息的用户信息进行认证。可见,本发明在认证过程中即认证了交换机SAVI功能端口,也认证了用户信息中的指纹信息,即同时通过生物识别(即指纹信息)与位置定位(即指定的交换机SAVI功能端口)的方式来保证了用户身份的真实性,具有能够保证用户身份完全真实的优点。
(3)本发明中无线路由器为移植了开源的OpenWrt系统的路由器,通过OpenFlow协议无线路由器就能与服务器中的SDN控制器进行通信;其中OpenWrt是专门应用在路由器上的一个Linux系统,在这个系统上,用户可以自定义应用,安装到OpenWrt系统上,即可实现相应的功能,简化了网络模块开发的工作。OpenWrt系统中的OpenvSwitch模块是一个高质量的、多层虚拟交换机,用来支持标准的管理接口和协议,比如OpenFlow协议。
(4)本发明中应用层中的web应用主要用于调用并且展示用户信息和网络状态信息。当管理员想获取用户信息和网络状态信息时或者当管理员通过展示的网络状态信息发现异常流量时,可以通过web应用向服务器的SDN控制器下发相应的控制命令,然后服务器的SDN控制器通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上;当控制指令为获取网络状态和用户信息的控制指令时,通过无线路由器上生成的流表对控制指令中的信息进行匹配,将流表中对应匹配成功的用户数据包通过OpenFlow协议发送至SDN控制器中;当控制指令为过滤掉异常流量时,则无线路由器将异常流量对应用户主机发送的用户数据包进行丢弃,即完成异常流量的过滤,从而阻止合法用户的一些不安全行为,可见本发明能够实现网络的全局监控,进一步简化了网络的管理和操作。
附图说明
图1是本发明用户真实信息安全认证系统的结构框图。
图2是本发明用户真实信息安全认证系统的结构架构图。
图3是本发明用户真实信息安全认证系统应用到教学签到时交换机、无线路由器和用户主机的位置示意图。
图4是本发明用户真实信息安全认证系统应用到教学签到时各位置的用户主机与交换机SAVI功能端口号对应图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例
本发明公开一种用户真实信息安全认证系统,如图1,包括用户主机、无线路由器、交换机和服务器,如图2所示,主要由基础架构层、控制层和应用层构成;其特征在于,所述基础架构层包括无线路由器和交换机,用于负责数据转发;所述控制层包括服务器中的SDN控制器、用户信息认证模块和信息存储系统,用于负责数据的处理;所述应用层包括web应用和运行在用户主机的应用程序,用于负责数据的展示;其中:
用户主机通过无线网络连接无线路由器,用于向无线路由器发送DHCP数据包请求无线路由器中的DHCP服务器分配合法IP地址;用于接收交换机通过无线路由器转发的RA通告,并且获取RA通告的前缀自动生成IP地址;用于在生成IP地址后发送DAD NS重复地址检测报文至无线路由器,通过无线路由器转发给交换机;用于发送用户数据包至无线路由器,通过无线路由器转发给交换机。
无线路由器为移植了开源的OpenWrt系统的路由器,并且在该OpenWrt系统中植入了OpenvSwitch模块;用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包;用于将接收到的DHCP数据包发送给交换机;用于将交换机发送的RA通告转发给用户主机;用于将用户主机发送的DAD NS重复地址检测报文转发至交换机;用于监听用户主机发送的用户数据包;用于将监听到的用户数据包转发至交换机;用于通过OpenFlow协议与服务器中的SDN控制器进行通信,具体为:用于通过OpenFlow协议接收SDN控制器发送的控制指令,并且根据控制指令生成流表,然后将流表与与其监听到的用户数据包进行匹配;当控制指令为获取网络状态信息以及用户信息时,将与流表匹配的用户数据包通过OpenFlow协议经过交换机发送至SDN控制器中,当控制指令为过滤掉异常流量时,将与流表匹配的用户数据包进行丢弃;本实施例中无线路由器通过流表与其监听到的用户数据包进行匹配时,匹配的项目包括源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息,即当无线路由器监听到的某一用户数据包和流表中的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息相同时,则该用户数据包即为匹配成功的数据包;
交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机,用于监听通过SAVI功能端口传送过来的DHCP数据包,在监听到有DHCP数据包时,通过无线路由器发送RA通过至用户主机;用于在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时,将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定,生成绑定锚,其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口,即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;用于在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证,在验证成功的情况认证用户主机的IP地址是合法的,在验证失败的情况下认证用户主机的IP地址是非法的,此时过滤掉该用户主机;用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块;其中本实施例中交换机在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来,然后与交换机中的绑定锚进行对比,若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号相同,则表示验证通过。
服务器中的信息存储系统,用于存储用户信息以及认证信息。服务器中的信息存储系统存储的用户信息为外界导入的信息,其中的每个用户信息由用户账号信息、用户账号对应的指纹信息以及UUID(Universally Unique Identifier,全局唯一标识符)生成器生成的UUID绑定后得到;其中所述用户账号信息包括用户账号登入时所需要的用户名和用户密码。服务器中的信息存储系统存储的认证信息包括用户数据包中的用户信息、源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息以及用户信息认证时间信息。
服务器中的用户信息认证模块,用于在获取到交换机发送的用户数据包后,根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证;用于在用户信息认证成功后,将对应认证信息存储进服务器的信息存储系统中,并且通知交换机允许对应发送用户数据包的用户主机的流量;用于在用户信息认证失败后,通知交换机阻止对应发送用户数据包的用户主机的流量;
所述服务器中的SDN控制器,用于在接收到应用层的web应用下发的控制命令时,通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上,所述控制指令包括获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令;用于接收无线路由器通过OpenFlow协议发送的匹配成功的用户数据包,然后解析出匹配成功的用户数据包中的用户信息和网络状态信息,最后将解析出的用户信息和网络状态信息通过API接口供上层应用层web应用调用;本实施例中服务器中的SDN控制器为Floodlight控制器,Floodlight控制器通过TCP协议与无线路由器上的OpenvSwitch模块建立连接。
web应用,用于下发获取网络状态以及用户信息的控制指令至SDN控制器;用于展示SDN控制器解析出的用户信息和网络状态信息,方便管理员的管理和控制网络;管理员可以通过web应用下发控制指令,如获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令。
本实施例中用户主机为具有指纹识别功能的终端;应用层所包括的运行在用户主机的应用程序为指纹识别应用程序,包括用户账号登入模块、指纹信息获取模块和用户数据包生成模块;其中
用户账号登入模块,用于提供用户账号的登入;
指纹信息获取模块,用于获取各用户账号下由移动终端输入的指纹信息;
用户数据包生成模块,用于将用户账号下获取到的指纹信息和用户账号信息所构成的用户信息以及源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包,然后通过用户主机发送至无线路由器;其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口,即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口。
当本实施例的用户真实信息安全认证系统应用到教学签到时,如图3所示,将每个教室分别布置一个无线路由器,其中各无线路由器分别连接一个交换机的不同SAVI功能端口;同一个教室的用户主机发送的用户数据包中的包括交换机SAVI功能端口号对应为该教室无线路由器所连接的交换机SAVI功能端口,如图4中所示,用户主机1和用户主机2均处于教室一,它们连接同一台无线路由器,所以用户主机1和用户主机2发送的用户数据包中包括的交换机SAVI功能端口号相同,均为端口1;同理,用户主机3和用户主机4均处于教室一,它们连接同一台无线路由器,所以用户主机3和用户主机4发送的用户数据包中包括的交换机SAVI功能端口号相同,均为端口2;用户主机5和用户主机6均处于教室一,它们连接同一台无线路由器,所以用户主机5和用户主机6发送的用户数据包中的包括的交换机SAVI功能端口号相同,均为端口3。
本实施例中还公开了一种基于上述用户真实信息安全认证系统实现的用户真实信息安全认证方法,步骤如下:
S1、首先在无线路由器上移植OpenWrt系统,并且在该OpenWrt系统中植入了OpenvSwitch模块,对无线路由器设置特定的SSID(服务集标识),并且采用了WPA加密方案,防止用户信息被窃取;针对交换机移植源地址验证SAVI模块,并且配置好支持源地址验证SAVI的交换机端口;针对服务器安装和启动用户认证模块,建立信息存储系统,同时在服务器上启动SDN控制器Floodlight控制器,通过TCP协议与无线路由器上的OpenvSwitch模块建立连接,成功建立连接后,SDN控制器便能正常工作。然后在服务器的信息存储系统中导入用户信息,其中导入的用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到,用户账号信息包括用户账号登入时所需要的用户名和用户密码;
S2、当各用户主机连接上无线路由器中的无线路由器时,向无线路由器中的DHCP服务器发送DHCP数据包,请求DHCP服务器分配合法IP地址;无线路由器接收到DHCP数据包后,将其转发给交换机;
S3、交换机监听到通过SAVI功能端口传送过来的DHCP数据包时,通过无线路由器将RA转发至对应的用户主机;用户主机接收到交换机通过无线路由器转发的RA通告后,获取RA通告的前缀自动生成IP地址,然后发送DAD NS重复地址检测报文至无线路由器,通过无线路由器转发至交换机;
S4、交换机在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时,将对应发送DHCP数据包的用户主机的IP地址、MAC地址以及交换机SAVI功能端口号进行绑定,生成绑定锚,并且对生成的绑定锚进行存储,其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口,即发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;
S5、在用户主机发送的用户数据包通过无线路由器到达交换机时,交换机通过源地址验证SAVI模块将用户数据包解析后与交换机中存储的绑定锚进行对比验证,在验证成功的情况认证用户主机的IP地址是合法的,然后将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块,在验证失败的情况下认证用户主机的IP地址是非法的,此时交换机过滤掉该用户主机;
其中本步骤中用户主机的IP地址合法性验证过程具体为:交换机在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来,然后与交换机中的绑定锚进行对比,若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号相同,则表示验证成功,否则表示验证失败。
S6、服务器中的用户信息认证模块在接收到交换机发送的用户数据包后,根据信息存储系统中存储的用户信息对用户数据包中的用户信息进行认证,在用户信息认证成功后,将对应的认证信息存储至服务器的信息存储系统中,同时通知交换机允许对应发送用户数据包的用户主机的流量;在用户信息认证失败后,则通知交换机阻止对应发送用户数据包的用户主机的流量。其中当用户数据包中的用户信息和信息存储系统中存储的某一用户信息相同时,即为用户信息认证成功;若信息存储系统中不存在和用户数据包中的用户信息相同的用户信息,则用户信息认证失败;
本步骤中存储进服务器的信息存储系统中的认证信息包括用户数据包中的用户信息和源IP地址、目的IP地址、源MAC地址、目的MAC地址、交换机SAVI功能端口号信息以及用户信息认证时间信息。
S7、当服务器中的SDN控制器接收到web应用下发的控制命令时,通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上;当无线路由器通过OpenFlow协议接收SDN控制器发送的控制指令时,根据接收到的该控制指令生成流表,然后将该流表与无线路由器监听到的用户数据包进行匹配;其中当控制指令为要获取网络状态信息以及用户信息时,则无线路由器将与流表匹配的用户数据包通过OpenFlow协议经过交换机发送至SDN控制器中;当控制指令为过滤掉异常流量时,则无线路由器将与流表匹配的用户数据包进行丢弃;
本步骤中无线路由器通过流表与其监听到的用户数据包进行匹配时,匹配的项目包括源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息,即当无线路由器监听到的某一用户数据包和流表中的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息相同时,则该用户数据包即为匹配成功的数据包。例如当web应用发出控制指令需要获取源MAC地址为00:01的用户信息时,则无线路由器接收到相关控制指令后,生成一个关于该控制指令的流表,通过该流表去匹配源MAC地址为00:01的用户数据包,当匹配到时,即匹配成功时,将该匹配到的用户数据包发送至SDN控制器。
S8、SDN控制器在接收到无线路由器通过OpenFlow协议发送的用户数据包后,解析出用户数据包中的用户信息和网络状态信息,然后将解析出的用户信息和网络状态信息供web应用调用。
本实施例中用户主机为设置有指纹识别应用程序的移动终端,该移动终端可以为手机或平板电脑;上述步骤S5中,用户通过指纹识别应用程序登入用户账号,当对应用户账号下获取到由用户主机输入的指纹信息时,将对应用户账号下获取到的指纹信息和用户账号信息构成的用户信息与源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包,然后通过用户主机将用户数据包发送至无线路由器,其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口,即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (10)
1.一种用户真实信息安全认证系统,主要由基础架构层、控制层和应用层构成,包括用户主机、无线路由器、交换机和服务器;其特征在于,所述基础架构层包括无线路由器和交换机,用于负责数据转发;所述控制层包括服务器中的用户信息认证模块和信息存储系统,用于负责数据的处理;所述应用层包括web应用,用于负责数据的展示;
所述用户主机通过无线网络连接无线路由器,用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址;用于接收交换机通过无线路由器转发的RA通告,并且获取RA通告的前缀自动生成IP地址;用于在生成IP地址后发送DAD NS重复地址检测报文至无线路由器,通过无线路由器转发给交换机;用于发送用户数据包至无线路由器,通过无线路由器转发给交换机;
所述无线路由器,用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包;用于将接收到的DHCP数据包发送给交换机;用于将交换机发送的RA通告转发给用户主机;用于将用户主机发送的DAD NS重复地址检测报文转发至交换机;用于监听用户主机发送的用户数据包;用于将监听到的用户数据包转发至交换机;
所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机,用于监听通过SAVI功能端口传送过来的DHCP数据包,在监听到有DHCP数据包时,通过无线路由器发送RA通过至用户主机;用于在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时,将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定,生成绑定锚,其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口,即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;用于在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证,在验证成功的情况认证用户主机的IP地址是合法的,在验证失败的情况下认证用户主机的IP地址是非法的,此时过滤掉该用户主机;用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块;
所述服务器中的信息存储系统,用于存储用户信息以及认证信息;
服务器中的用户信息认证模块,用于在获取到交换机发送的用户数据包后,根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证;用于在用户信息认证成功后,将对应认证信息存储进服务器的信息存储系统中,并且通知交换机允许对应发送用户数据包的用户主机的流量;用于在用户信息认证失败后,通知交换机阻止对应发送用户数据包的用户主机的流量;
所述web应用,用于下发控制指令至服务器;用于调用并且展示用户信息和网络状态信息。
2.根据权利要求1所述的用户真实信息安全认证系统,其特征在于,
所述无线路由器为移植了开源的OpenWrt系统的路由器,所述控制层还包括服务器中的SDN控制器;
所述无线路由器还包括,用于通过OpenFlow协议与服务器中的SDN控制器进行通信,具体为:用于通过OpenFlow协议接收SDN控制器发送的控制指令,并且根据控制指令生成流表,然后将流表与其监听到的用户数据包进行匹配;当控制指令为获取网络状态信息以及用户信息时,将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中,当控制指令为过滤掉异常流量时,将与流表匹配的用户数据包进行丢弃;
所述服务器中的SDN控制器,用于在接收到应用层的web应用下发的控制命令时,通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上,所述控制指令包括获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令;用于接收无线路由器通过OpenFlow协议发送的匹配成功的用户数据包,然后解析出匹配成功的用户数据包中的用户信息和网络状态信息,最后将解析出的用户信息和网络状态信息供web应用调用;
所述web应用,用于下发获取网络状态以及用户信息的控制指令至SDN控制器;用于展示SDN控制器解析出的用户信息和网络状态信息。
3.根据权利要求1或2所述的用户真实信息安全认证系统,其特征在于,所述服务器中的信息存储系统存储的用户信息为外界导入的信息,其中的每个用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到;其中所述用户账号信息包括用户账号登入时所需要的用户名和用户密码;
所述用户主机为具有指纹识别功能的终端;所述应用层还包括运行在用户主机的应用程序;所述运行在用户主机的应用程序为指纹识别应用程序,包括用户账号登入模块、指纹信息获取模块和用户数据包生成模块;
所述用户账号登入模块,用于提供用户账号的登入;
所述指纹信息获取模块,用于获取各用户账号下由移动终端输入的指纹信息;
所述用户数据包生成模块,用于将用户账号下获取到的指纹信息和用户账号信息所构成的用户信息以及源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包,然后通过用户主机发送至无线路由器;其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口,即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;
所述服务器中的信息存储系统存储的认证信息包括用户数据包中的用户信息、源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息以及用户信息认证时间信息。
4.根据权利要求3所述的用户真实信息安全认证系统,其特征在于,
所述交换机在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来,然后与交换机中的绑定锚进行对比,若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号相同,则表示验证通过。
5.根据权利要求2所述的用户真实信息安全认证系统,其特征在于,所述无线路由器通过流表与其监听到的用户数据包进行匹配时,匹配的项目包括源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息,即当无线路由器监听到的某一用户数据包和流表中的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息相同时,则该用户数据包即为匹配成功的数据包;
所述服务器中的SDN控制器为Floodlight控制器。
6.一种基于权利要求1所述用户真实信息安全认证系统实现的用户真实信息安全认证方法,其特征在于,步骤如下:
S1、在服务器的信息存储系统中导入用户信息;
S2、当各用户主机连接上无线路由器中的无线路由器时,向无线路由器中的DHCP服务器发送DHCP数据包,请求DHCP服务器分配合法IP地址;无线路由器DHCP数据包后,将其转发给交换机;
S3、交换机监听到通过SAVI功能端口传送过来的DHCP数据包时,通过无线路由器将RA转发至对应的用户主机;用户主机接收到交换机通过无线路由器转发的RA通告后,获取RA通告的前缀自动生成IP地址,然后发送DAD NS重复地址检测报文至无线路由器,通过无线路由器转发至交换机;
S4、交换机在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时,将对应发送DHCP数据包的用户主机的IP地址、MAC地址以及交换机SAVI功能端口号进行绑定,生成绑定锚,并且对生成的绑定锚进行存储,其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口;
S5、在用户主机发送的用户数据包通过无线路由器到达交换机时,交换机通过源地址验证SAVI模块将用户数据包解析后与交换机中存储的绑定锚进行对比验证,在验证成功的情况认证用户主机的IP地址是合法的,然后将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块,在验证失败的情况下认证用户主机的IP地址是非法的,此时交换机过滤掉该用户主机;
S6、服务器中的用户信息认证模块在接收到交换机发送的用户数据包后,根据信息存储系统中存储的用户信息对用户数据包中的用户信息进行认证,在用户信息认证成功后,将对应的认证信息存储至服务器的信息存储系统中,同时通知交换机允许对应发送用户数据包的用户主机的流量;在用户信息认证失败后,则通知交换机阻止对应发送用户数据包的用户主机的流量。
7.根据权利要求6所述的用户真实信息安全认证方法,其特征在于,所述无线路由器为移植了开源的OpenWrt系统的路由器,所述控制层还包括服务器中的SDN控制器;还包括以下步骤:
S7、当服务器中的SDN控制器接收到web应用下发的控制命令时,通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上;当无线路由器通过OpenFlow协议接收SDN控制器发送的控制指令时,根据接收到的该控制指令生成流表,然后将该流表与无线路由器监听到的用户数据包进行匹配;其中当控制指令为要获取网络状态信息以及用户信息时,则无线路由器将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中;当控制指令为过滤掉异常流量时,则无线路由器将与流表匹配的用户数据包进行丢弃;
S8、SDN控制器在接收到无线路由器通过OpenFlow协议发送的用户数据包后,解析出用户数据包中的用户信息和网络状态信息,然后将解析出的用户信息和网络状态信息供web应用调用。
8.根据权利要求6或7所述的用户真实信息安全认证方法,其特征在于,步骤S1中在服务器的信息存储系统中导入的用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到;
所述应用层还包括运行在用户主机的应用程序;所述运行在用户主机的应用程序为指纹识别应用程序;所述步骤S5中,用户通过指纹识别应用程序登入用户账号,当对应用户账号下获取到由用户主机输入的指纹信息时,将对应用户账号下获取到的指纹信息和用户账号信息构成的用户信息与源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包,然后通过用户主机将用户数据包发送至无线路由器,其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口,即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口;
步骤S6中存储进服务器的信息存储系统中的认证信息包括用户数据包中的用户信息和源IP地址、目的IP地址、源MAC地址、目的MAC地址、交换机SAVI功能端口号信息以及用户信息认证时间信息。
9.根据权利要求8所述的用户真实信息安全认证方法,其特征在于,
步骤S5中,交换机在接收到用户数据包时,通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来,然后与交换机中的绑定锚进行对比,若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号相同,则表示验证成功,否则表示验证失败。
10.根据权利要求7所述的用户真实信息安全认证方法,其特征在于,所述步骤S7中无线路由器通过流表与其监听到的用户数据包进行匹配时,匹配的项目包括源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息,即当无线路由器监听到的某一用户数据包和流表中的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址信息相同时,则该用户数据包即为匹配成功的数据包;
所述服务器中的SDN控制器Floodlight控制器,Floodlight控制器通过TCP协议与无线路由器上的OpenvSwitch模块建立连接;
所述步骤S7中的异常流量指的是流量值超过一定限度的流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710430439.1A CN107294961A (zh) | 2017-06-09 | 2017-06-09 | 一种用户真实信息安全认证系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710430439.1A CN107294961A (zh) | 2017-06-09 | 2017-06-09 | 一种用户真实信息安全认证系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107294961A true CN107294961A (zh) | 2017-10-24 |
Family
ID=60096125
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710430439.1A Pending CN107294961A (zh) | 2017-06-09 | 2017-06-09 | 一种用户真实信息安全认证系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107294961A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468475A (zh) * | 2020-11-19 | 2021-03-09 | 清华大学 | 一种接入子网源地址验证方法及系统 |
| CN114531264A (zh) * | 2020-11-23 | 2022-05-24 | 迈络思科技有限公司 | 认证和数据通道控制 |
| CN115002748A (zh) * | 2022-06-02 | 2022-09-02 | 清华大学 | 一种地址配置方法、系统及网络设备 |
| CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577675A (zh) * | 2009-06-02 | 2009-11-11 | 杭州华三通信技术有限公司 | IPv6网络中邻居表保护方法及邻居表保护装置 |
| CN102123376A (zh) * | 2011-01-14 | 2011-07-13 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
| CN103595712A (zh) * | 2013-11-06 | 2014-02-19 | 福建星网锐捷网络有限公司 | 一种Web认证方法、装置及系统 |
| CN105119911A (zh) * | 2015-07-28 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种基于sdn流的安全认证方法及系统 |
-
2017
- 2017-06-09 CN CN201710430439.1A patent/CN107294961A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577675A (zh) * | 2009-06-02 | 2009-11-11 | 杭州华三通信技术有限公司 | IPv6网络中邻居表保护方法及邻居表保护装置 |
| CN102123376A (zh) * | 2011-01-14 | 2011-07-13 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
| CN103595712A (zh) * | 2013-11-06 | 2014-02-19 | 福建星网锐捷网络有限公司 | 一种Web认证方法、装置及系统 |
| CN105119911A (zh) * | 2015-07-28 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种基于sdn流的安全认证方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈虹钊: "基于交换机的安全接入系统研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468475A (zh) * | 2020-11-19 | 2021-03-09 | 清华大学 | 一种接入子网源地址验证方法及系统 |
| CN112468475B (zh) * | 2020-11-19 | 2021-11-30 | 清华大学 | 一种接入子网源地址验证方法及系统 |
| CN114531264A (zh) * | 2020-11-23 | 2022-05-24 | 迈络思科技有限公司 | 认证和数据通道控制 |
| CN115002748A (zh) * | 2022-06-02 | 2022-09-02 | 清华大学 | 一种地址配置方法、系统及网络设备 |
| CN115002748B (zh) * | 2022-06-02 | 2024-02-02 | 清华大学 | 一种地址配置方法、系统及网络设备 |
| CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
| CN116389032B (zh) * | 2022-12-29 | 2023-12-08 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN106302502B (zh) | 一种安全访问认证处理方法、用户终端和服务端 | |
| CN107294961A (zh) | 一种用户真实信息安全认证系统和方法 | |
| US20160105410A1 (en) | OMA DM Based Terminal Authentication Method, Terminal and Server | |
| CN101547095B (zh) | 基于数字证书的应用服务管理系统及管理方法 | |
| CN103107996B (zh) | 数字证书在线下载方法及系统、数字证书发放平台 | |
| CN108965215A (zh) | 一种多融合联动响应的动态安全方法与系统 | |
| CN104704789B (zh) | 网络认证 | |
| CN106850680A (zh) | 一种用于轨道交通设备的智能身份认证方法及装置 | |
| EP1717986A1 (en) | Key distribution method | |
| WO2005036852A8 (en) | Apparatuses and method for authentication in heterogeneuous ip networks | |
| US20090227226A1 (en) | Enhanced manageability in wireless data communication systems | |
| CN102006271A (zh) | 用于在线交易的ip地址安全多信道认证 | |
| CN104426656B (zh) | 数据收发方法及系统、消息的处理方法及装置 | |
| CN107508847A (zh) | 一种连接建立方法、装置和设备 | |
| CN108696479A (zh) | 一种物联网认证系统和物联网认证方法 | |
| CN108024243B (zh) | 一种eSIM卡入网通信方法及其系统 | |
| CN101547096B (zh) | 基于数字证书的网络会议系统及其管理方法 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN109347875A (zh) | 物联网设备、物联网平台及接入物联网平台的方法和系统 | |
| CN103281224A (zh) | 一种智能照明控制系统中can总线安全通信方法 | |
| CN105577618A (zh) | 认证方法及装置 | |
| CN108600234A (zh) | 一种身份验证方法、装置和移动终端 | |
| CN104113547B (zh) | 一种sip安全防范视频监控入网控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171024 |
|
| RJ01 | Rejection of invention patent application after publication |