CN107360184B - 终端设备认证方法和装置 - Google Patents

终端设备认证方法和装置 Download PDF

Info

Publication number
CN107360184B
CN107360184B CN201710691066.3A CN201710691066A CN107360184B CN 107360184 B CN107360184 B CN 107360184B CN 201710691066 A CN201710691066 A CN 201710691066A CN 107360184 B CN107360184 B CN 107360184B
Authority
CN
China
Prior art keywords
authentication
white list
address
source
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710691066.3A
Other languages
English (en)
Other versions
CN107360184A (zh
Inventor
王富涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201710691066.3A priority Critical patent/CN107360184B/zh
Publication of CN107360184A publication Critical patent/CN107360184A/zh
Priority to US16/100,918 priority patent/US10944744B2/en
Application granted granted Critical
Publication of CN107360184B publication Critical patent/CN107360184B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种终端设备认证方法和装置:根据认证通过的终端设备的携带终端设备的MAC地址的认证报文,生成包括认证报文的源IP地址和终端设备的MAC地址的对应关系的第一认证白名单;根据终端设备的数据报文的源IP地址查找第一认证白名单;将未命中第一认证白名单的源IP地址发送至管理设备,由管理设备根据源IP地址查找基于认证设备发送的第一认证白名单,以及接收到的终端设备的设备信息生成的第二地址白名单,并在源IP地址命中第二认证白名单时返回认证通过信息;在源IP地址命中第一认证白名单或接收到管理设备发送的认证通过信息时,确定终端设备认证通过。本申请技术方案可以简化用户操作,减少终端设备认证失败的可能性。

Description

终端设备认证方法和装置
技术领域
本申请涉及通信技术领域,尤其涉及一种终端设备认证方法和装置。
背景技术
目前,在主流接入认证方式中,例如:Portal认证等,终端设备每次接入网络时都需要用户通过认证页面输入用户名和密码等信息,再由认证设备根据用户输入的用户名和密码来判断终端设备是否可以接入网络。但对于用户而言,这样的方式在操作上极为不便,影响用户的上网体验。
发明内容
有鉴于此,本申请提供一种终端设备认证方法和装置。具体地,本申请是通过如下技术方案实现的:
第一方面,本申请提供一种终端设备认证方法,所述方法应用于认证设备,包括:
对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成第一认证白名单,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
在监测到终端设备的数据报文时,根据所述数据报文的源IP地址查找第一认证白名单;
如果所述源IP地址命中所述第一认证白名单,则确定所述终端设备认证通过;
如果所述源IP地址未命中所述第一认证白名单,则将所述源IP地址发送至管理设备,以使所述管理设备根据所述源IP地址查找第二地址白名单,并在所述源IP地址命中所述第二认证白名单时返回认证通过信息,所述第二认证白名单由所述管理设备基于所述认证设备发送的所述第一认证白名单,以及接收到的终端设备的设备信息生成;
在接收到所述管理设备发送的所述认证通过信息时,确定所述终端设备认证通过。
第二方面,本申请提供一种终端设备认证方法,所述方法应用于管理设备,包括:
在接收到认证设备发送的终端设备数据报文的源IP地址时,根据所述IP地址查找本地第二认证白名单,所述第二认证白名单由所述管理设备基于所述认证设备发送的第一认证白名单,以及接收到的终端设备的设备信息生成,所述第一认证白名单由所述认证设备对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
如果所述源IP地址命中所述第二认证白名单,则向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
第三方面,本申请提供一种终端设备认证装置,所述装置应用于认证设备,包括:
认证单元,用于对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成第一认证白名单,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
第一查找单元,用于在监测到终端设备的数据报文时,根据所述数据报文的源IP地址查找第一认证白名单;
第一确定单元,用于如果所述源IP地址命中所述第一认证白名单,则确定所述终端设备认证通过;
第一发送单元,用于如果所述源IP地址未命中所述第一认证白名单,则将所述源IP地址发送至管理设备,以使所述管理设备根据所述源IP地址查找第二地址白名单,并在所述源IP地址命中所述第二认证白名单时返回认证通过信息,所述第二认证白名单由所述管理设备基于所述认证设备发送的所述第一认证白名单,以及接收到的终端设备的设备信息生成;
第二确定单元,用于在接收到所述管理设备发送的所述认证通过信息时,确定所述终端设备认证通过。
第四方面,本申请提供一种终端设备认证装置,所述装置应用于管理设备,包括:
第一查找单元,用于在接收到认证设备发送的终端设备数据报文的源IP地址时,根据所述IP地址查找本地第二认证白名单,所述第二认证白名单由所述管理设备基于所述认证设备发送的第一认证白名单,以及接收到的终端设备的设备信息生成,所述第一认证白名单由所述认证设备对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
第一返回单元,用于在所述源IP地址命中所述第二认证白名单时,向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
分析上述技术方案可知,认证设备可以在终端设备认证通过后,根据该终端设备的携带其MAC地址的认证报文生成第一认证白名单,该第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系。另一方面,管理设备可以基于认证设备发送的第一认证白名单,和接收到的终端设备的设备信息生成第二认证白名单,这样可以保证该第二认证白名单中的设备信息与实际的设备信息保持一致。在对终端设备进行认证时,首先由认证设备基于该终端设备的IP地址和第一认证白名单对该终端设备进行认证。对于IP地址未命中该第一认证白名单的终端设备,认证设备可以将其IP地址发送至管理设备,由管理设备基于第二认证白名单对该终端设备进行认证。对于认证通过的终端设备,用户无需再次通过认证页面输入用户名和密码。本申请技术方案适用于终端设备与认证设备不在同一局域网内,且终端设备的IP地址发生变化的情况,在简化用户操作的同时,减少了由终端设备的IP地址变化导致终端设备认证失败的可能性。
附图说明
图1是相关技术中一种认证系统的组网架构图;
图2是本申请一示例性实施例示出的一种认证系统的组网架构图;
图3是本申请一示例性实施例示出的一种终端设备认证方法的流程图;
图4是本申请一示例性实施例示出的另一种终端设备认证方法的流程图;
图5是本申请一示例性实施例示出的一种终端设备认证装置所在设备的硬件结构图;
图6是本申请一示例性实施例示出的另一种终端设备认证装置所在设备的硬件结构图;
图7是本申请一示例性实施例示出的一种终端设备认证装置的框图;
图8是本申请一示例性实施例示出的另一种终端设备认证装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
相关技术中,终端设备在首次接入网络时,需要用户通过认证页面输入用户名和密码等信息,该终端设备可以基于用户输入的用户名和密码,构造认证报文并发送给认证设备。认证设备在接收到终端设备发送的认证报文后,可以先根据其中携带的用户名和密码,对该终端设备进行认证,即判断该终端设备是否可以接入网络。在确定该终端设备认证通过后,为了减少用户输入用户名和密码的次数,简化用户操作,认证设备可以解析该认证报文的源MAC地址,作为该终端设备的MAC地址,并将该MAC地址添加至本地保存的认证白名单中;或者,认证设备也可以解析该认证报文的源IP地址,作为该终端设备的IP地址,并将该IP地址添加至本地保存的认证白名单中。当该终端设备再次接入网络时,认证设备可以根据该终端设备发送的数据报文的源MAC地址或源IP地址查找该认证白名单,并在该源MAC地址或该源IP地址命中该认证白名单时,确定该终端设备认证通过,免去用户再次输入用户名和密码的操作。
请参考图1,为相关技术中一种认证系统的组网架构图。如图1所示,终端设备与认证设备不在同一局域网中。
在上述情况下,终端设备发送的报文在通过网关设备时,网关设备会将该报文的源MAC地址修改为该网关设备的MAC地址,即认证设备接收到的终端设备1、终端设备2的认证报文,以及监测到的终端设备1、终端设备2的数据报文,其源MAC地址均为该网关设备的MAC地址,而非对应的终端设备的MAC地址。此时如果继续采用基于MAC地址的认证白名单,则可能会导致终端设备认证失败,用户需要再次通过认证页面输入用户名和密码进行认证,给用户造成不便。
另一方面,在实际应用中,在局域网内可以基于DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)为终端设备分配IP地址,因此终端设备每次接入网络时,其IP地址可能会发生变化。此时如果继续采用基于IP地址的认证白名单,也可能会导致终端设备认证失败,用户需要再次通过认证页面输入用户名和密码进行认证。
为了解决上述问题,本申请提供一种终端设备认证方法,以减少终端设备认证失败的可能性。
请参考图2,为本申请一示例性实施例示出的一种认证系统的组网架构图。与图1所示的认证系统相比,图2所示的认证系统中还包括管理设备。管理设备可以与多个认证设备(图中未示出)建立连接,从而对该多个认证设备保存的认证白名单进行统一管理。管理设备可以是独立的物理设备,也可以是虚拟的逻辑设备,比如:与认证设备同在一台物理设备中,本申请对此不作特殊限制。
请参考图3,为本申请一示例性实施例示出的一种终端设备认证方法的流程图。该方法可以应用在图2所示的认证设备中,包括以下步骤:
步骤301:对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成第一认证白名单,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系。
步骤302:在监测到终端设备的数据报文时,根据所述数据报文的源IP地址查找第一认证白名单。
步骤303:如果所述源IP地址命中所述第一认证白名单,则确定所述终端设备认证通过。
步骤304:如果所述源IP地址未命中所述第一认证白名单,则将所述源IP地址发送至管理设备,以使所述管理设备根据所述源IP地址查找第二地址白名单,并在所述源IP地址命中所述第二认证白名单时返回认证通过信息,所述第二认证白名单由所述管理设备基于所述认证设备发送的所述第一认证白名单,以及接收到的终端设备的设备信息生成。
步骤305:在接收到所述管理设备发送的所述认证通过信息时,确定所述终端设备认证通过。
与图3所示的实施例相应地,请参考图4,为本申请一示例性实施例示出的另一种终端设备认证方法的流程图。该方法可以应用于图2所示的管理设备中,包括如下步骤:
步骤401:在接收到认证设备发送的终端设备数据报文的源IP地址时,根据所述IP地址查找本地第二认证白名单,所述第二认证白名单由所述管理设备基于所述认证设备发送的第一认证白名单,以及接收到的终端设备的设备信息生成,所述第一认证白名单由所述认证设备对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系。
步骤402:如果所述源IP地址命中所述第二认证白名单,则向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
在本实施例中,与相关技术类似,终端设备在首次接入网络时,需要用户通过认证页面输入用户名和密码等信息,该终端设备可以基于用户输入的用户名和密码,构造认证报文并发送给认证设备。由于该终端设备与认证设备不在同一局域网中,因此网关设备会首先接收到该认证报文,并将该认证报文的源MAC地址修改为该网关设备的MAC地址。在这样的情况下,由于认证报文的源MAC地址已经被修改为网关设备的MAC地址,为了使认证设备可以获取到该终端设备的MAC地址,可以由终端设备接入的接入交换机或网关设备,在该认证报文中添加该终端设备的MAC地址,比如:在报文的预留字段中添加终端设备的MAC地址等,并将修改后的认证报文发送给认证设备。认证设备在接收到该修改后的认证报文,可以对该修改后的认证报文进行解析,以获取该修改后的认证报文的源IP地址、该修改后的认证报文中携带的用户名和密码,以及接入交换机或网关设备在该认证报文中添加的该终端设备的MAC地址等信息。认证设备在基于该用户名和密码确定该终端设备认证通过后,可以将该源IP地址作为该终端设备当前使用的IP地址,从而可以得到该终端设备的IP地址和MAC地址等设备信息。后续,认证设备可以生成第一认证白名单,该第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系,以解决终端设备和认证设备不在同一局域网中导致认证设备无法获取终端MAC地址的问题。认证设备在生成该第一认证白名单后,可以将该第一认证白名单发送至管理设备。具体地,认证设备可以按照用户预先设置的时间周期将该第一认证白名单发送至管理设备,也可以在将新的认证通过的终端设备的设备信息添加至该第一认证白名单后,将更新后的第一认证白名单发送至管理设备。
另一方面,终端设备可以定期构造携带该终端设备MAC地址和其当前使用的IP地址等设备信息的通告报文,并将该通告报文发送至管理设备。管理设备在接收到该终端设备发送的通告报文时,可以解析获取该通告报文中该终端设备的IP地址和MAC地址等设备信息。
在另一个例子中,可以由终端设备接入的接入交换机或网关设备,基于其接收到的终端设备的数据报文,定期构造携带该终端设备当前使用的IP地址和该终端设备的MAC地址等设备信息的通告报文,并将该通告报文发送至管理设备。管理设备在接收到该通告报文时,可以解析获取该通告报文中该终端设备的IP地址和MAC地址等设备信息。
管理设备在接收到某一终端设备的设备信息后,可以根据该设备信息中的MAC地址查找认证设备发送的第一认证白名单,以检测该第一认证白名单中该MAC地址对应的IP地址,与管理设备接收到的该终端设备的设备信息中的IP地址是否相同。由于在局域网内可以基于DHCP为终端设备分配IP地址,因此终端设备的IP地址可能会发生变化,即如果该第一认证白名单中该MAC地址对应的IP地址,与管理设备接收到的该终端设备的设备信息中的IP地址不同,则说明该终端设备的IP地址已经发生变化。在这种情况下,管理设备可以将该第一认证白名单中该MAC地址对应的IP地址,更新为管理设备接收到的该终端设备的设备信息中的IP地址,以生成第二认证白名单保存在本地。这样可以使管理设备保存的第二认证白名单中各终端设备的IP地址与该终端设备实际的IP地址保持一致,减少由该终端设备的IP地址发生变化导致终端设备认证失败的可能性。
在本实施例中,认证设备在监测到某一终端设备的数据报文时,可以根据该数据报文的源IP地址,即该终端设备的IP地址查找本地保存的第一认证白名单,以对该终端设备进行认证。
基于上述查找结果,如果上述源IP地址命中上述第一认证白名单,则说明上述终端设备此前已通过认证,因此认证设备可以直接确定该终端设备认证通过,免去用户再次通过认证页面输入用户名和密码的操作。
如果上述源IP地址未命中上述第一认证白名单,则说明上述终端设备可能尚未通过认证,也可能此前已通过认证,但由于在局域网内基于DHCP为终端设备分配IP地址,导致该终端设备本次接入网络时的IP地址与此前接入网络时的IP地址不同。因此认证设备可以将该源IP地址发送至管理设备,由管理设备基于本地保存的第二认证白名单对该终端设备进行进一步的认证。
在本实施例中,管理设备在接收到认证设备发送的上述源IP地址后,可以根据该源IP地址查找本地保存的第二认证白名单。
基于上述查找结果,如果上述源IP地址命中上述第二认证白名单,则说明上述终端设备此前已通过认证,但其IP地址发生了变化,因此管理设备可以向认证设备返回认证通过信息。认证设备在接收到管理设备发送的对应该终端设备的认证通过信息后,可以确定该终端设备认证通过,免去用户通过该终端设备提供的认证页面输入用户名和密码的操作。
在实际应用中,上述认证通过信息中还可以包括上述第二认证白名单中的上述终端设备的设备信息。认证设备在接收到该认证通过信息后,除可以确定该终端设备认证通过外,还可以基于该设备信息更新上述第一认证白名单。具体地,认证设备在接收到该认证通过信息后,可以根据其中包括的设备信息中的MAC地址(或者除IP地址外的其他设备信息),查找该第一认证白名单,并将该MAC地址命中的第一认证白名单表项中的IP地址,更新为该设备信息中的IP地址。采用这样的方式,认证设备在再次监测到该终端设备的数据报文时,即可基于更新后的第一认证白名单确定该终端设备认证通过,无需再由管理设备对该终端设备进行的认证,提高了认证效率。
如果上述源IP地址未命中上述第二认证白名单,则说明上述终端设备尚未通过认证,此时管理设备可以向认证设备返回认证失败信息。认证设备在接收到管理设备发送的对应该终端设备的认证失败信息后,可以向该终端设备返回认证页面,以通过该终端设备为用户提供认证页面。用户可以通过该认证页面输入用户名和密码,并由认证设备根据用户输入的用户名和密码对该终端设备进行认证,即判断该终端设备是否可以接入网络。
由上述实施例可见,认证设备可以在终端设备认证通过后,根据该终端设备的携带其MAC地址的认证报文生成第一认证白名单,该第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系。另一方面,管理设备可以基于认证设备发送的第一认证白名单,和接收到的终端设备的设备信息生成第二认证白名单,这样可以保证该第二认证白名单中的设备信息与实际的设备信息保持一致。在对终端设备进行认证时,首先由认证设备基于该终端设备的IP地址和第一认证白名单对该终端设备进行认证。对于IP地址未命中该第一认证白名单的终端设备,认证设备可以将其IP地址发送至管理设备,由管理设备基于第二认证白名单对该终端设备进行认证。对于认证通过的终端设备,用户无需再次通过认证页面输入用户名和密码。本申请技术方案适用于终端设备与认证设备不在同一局域网内,且终端设备的IP地址发生变化的情况,在简化用户操作的同时,减少了由终端设备的IP地址变化导致终端设备认证失败的可能性。
以图2所示的认证系统为例,假设终端设备1的MAC地址为MAC地址1,终端设备2的MAC地址为MAC地址2。某一天在终端设备1和终端设备2首次接入网络时,基于DHCP为终端设备1分配的IP地址为IP地址1,为终端设备2分配的IP地址为IP地址2。
由于终端设备1首次接入网络,因此需要用户通过认证页面输入用户名和密码等信息,终端设备1可以基于用户输入的用户名和密码,构造认证报文并发送给认证设备。网关设备可以首先接收到该认证报文,并在该认证报文中添加MAC地址1后,将修改后的认证报文发送给认证设备。认证设备在接收到该修改后的认证报文,可以对该修改后的认证报文进行解析,以获取该修改后的认证报文的源IP地址为IP地址1、该修改后的认证报文中携带的用户名和密码,以及网关设备在该认证报文中添加的MAC地址1。终端设备在基于该用户名和密码确定终端设备1认证通过后,可以将终端设备1的包括IP地址1和MAC地址1在内的设备信息添加至本地保存的第一认证白名单中。同理,假设终端设备2也认证通过,则认证设备中可以保存如下表1所示的第一认证白名单:
IP地址 MAC地址
IP地址1 MAC地址1
IP地址2 MAC地址2
表1
认证设备在接收到终端设备1发送的源IP地址为IP地址1的数据报文时,由于IP地址1命中如上表1所示的第一认证白名单,因此认证设备可以确定终端设备1认证通过,用户无需输入用户名和密码进行认证,认证设备即可对终端设备1发送的数据报文进行转发。
认证设备在生成如上表1所示的第一认证白名单后,可以将该第一认证白名单发送至管理设备。
另一方面,网关设备可以基于其接收到的终端设备1的数据报文,定期构造携带终端设备1的IP地址1和MAC地址1等设备信息的通告报文,并将该通告报文发送至管理设备。管理设备在接收到该通告报文时,可以解析获取该通告报文中终端设备1的IP地址1和MAC地址1等设备信息。
假设第二天在终端设备1和终端设备2再次接入网络时,基于DHCP为终端设备1分配的IP地址变化为IP地址3,但为终端设备2分配的IP地址仍为IP地址2,则管理设备在接收到网关设备发送的通告报文时,可以解析获取终端设备1的IP地址3和MAC地址1等设备信息,以及终端设备2的IP地址2和MAC地址2等设备信息。
管理设备可以根据MAC地址1查找认证设备发送的如上表1所示的第一认证白名单,由于该第一认证白名单中MAC地址1对应的IP地址为IP地址1,与管理设备接收到的终端设备1的IP地址3不同,因此管理设备可以将该第一认证白名单中MAC地址1对应的IP地址1更新为IP地址3。同理,管理设备可以根据MAC地址2查找该第一认证白名单,由于该第一认证白名单中MAC地址2对应的IP地址与管理设备接收到的终端设备2的IP地址均为IP地址2,因此管理设备无需对该第一认证白名单中MAC地址1对应的IP地址2进行更新。此时,管理设备可以生成如下表2所示的第二认证白名单:
IP地址 MAC地址
IP地址3 MAC地址1
IP地址2 MAC地址2
表2
认证设备在接收到终端设备1发送的源IP地址为IP地址3的数据报文时,由于IP地址3未命中如上表1所示的第一认证白名单,因此认证设备可以将IP地址3发送至管理设备,由管理设备基于如上表2所示的第二认证白名单对终端设备1进行进一步的认证。
管理设备在接收到认证设备发送的IP地址3后,可以根据IP地址3查找如上表2所示的第二认证白名单。由于IP地址3命中该第二认证白名单,因此管理设备可以向认证设备返回认证通过信息。认证设备在接收到管理设备发送的该认证通过信息后,可以确定终端设备1认证通过,用户无需输入用户名和密码进行认证,认证设备即可对终端设备1发送的数据报文进行转发。
另一方面,上述认证通过信息中还可以包括终端设备1的IP地址3和MAC地址1等设备信息。认证设备在接收到该认证通过信息后,除可以确定终端设备1认证通过之外,还可以根据MAC地址1查找如上表1所示的第一认证白名单。由于该第一认证白名单中MAC地址1对应的IP地址为IP地址1,与该认证通过信息中终端设备1的IP地址3不同,因此认证设备可以将该第一认证白名单中MAC地址1对应的IP地址1更新为IP地址3,以得到如下表3所示的更新后的第一认证白名单:
IP地址 MAC地址
IP地址3 MAC地址1
IP地址2 MAC地址2
表3
后续,认证设备在再次接收到终端设备1发送的源IP地址为IP地址3的数据报文时,由于IP地址3命中如上表3所示的第一认证白名单,因此认证设备可以确定终端设备1认证通过,用户无需输入用户名和密码进行认证,认证设备即可对终端设备1发送的数据报文进行转发。
为了更好地兼容终端设备与认证设备在同一局域网中的情况,认证设备在根据某一终端设备的数据报文的源IP地址查找本地保存的第一认证白名单后,确定该源IP地址未命中该第一认证白名单,可以先判断该终端设备与本认证设备是否在同一局域网中。具体地,认证设备可以根据该源IP地址和该数据报文的入接口,查找本地保存的ARP表,如果该源IP地址和该入接口命中该ARP表,则可以说明该终端设备与本认证设备在同一局域网中;或者,认证设备也可以判断该数据报文中的TTL值是否为255、128、64、32这四个数值中的一个,如果是,则可以说明该终端设备与本认证设备在同一局域网中。
基于上述判断结果,如果上述终端设备与认证设备不在同一局域网中,则参考图3和图4所示的实施例,认证设备可以将上述源IP地址发送至管理设备,由管理设备对该终端设备进行进一步的认证。
如果上述终端设备与认证设备在同一局域网中,则在这种情况下,该终端设备的数据报文的源MAC地址,即为该终端设备的MAC地址,因此认证设备可以根据该源MAC地址查找上述第一认证白名单。
基于上述查找结果,如果上述源MAC地址命中上述第一认证白名单,则说明上述终端设备此前已通过认证,因此认证设备可以确定该终端设备认证通过,免去用户通过该终端设备提供的认证页面输入用户名和密码的操作。
如果上述源MAC地址未命中上述第一认证白名单,则说明上述终端设备可能尚未通过认证,也可能此前已在另一认证设备处通过认证,但尚未在本认证设备处通过认证,因此认证设备可以将该源MAC地址发送至管理设备,由管理设备基于本地保存的第二认证白名单对该终端设备进行进一步的认证。
管理设备在接收到认证设备发送的上述终端设备的源MAC地址时,可以根据该源MAC地址查找本地保存的第二认证白名单。基于该查找结果,如果该源MAC地址命中该第二认证白名单,则说明该终端设备此前已通过认证,因此管理设备可以向认证设备返回认证通过信息;如果该源MAC地址未命中该第二认证白名单,则说明该终端设备尚未通过认证,因此管理设备可以向认证设备返回认证失败信息。
与前述终端设备认证方法的实施例相对应,本申请还提供了终端设备认证装置的实施例。
本申请终端设备认证装置的实施例可以应用在认证设备和管理设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请终端设备认证装置所在认证设备的一种硬件结构图,如图6所示,为本申请终端设备认证装置所在管理设备的一种硬件结构图。除了图5和图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该终端设备认证的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图7,为本申请一示例性实施例示出的一种终端设备认证装置的框图。该终端设备认证装置700可以应用在图5所示的认证设备上,包括:
认证单元701,用于对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成第一认证白名单,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
第一查找单元702,用于在监测到终端设备的数据报文时,根据所述数据报文的源IP地址查找第一认证白名单;
第一确定单元703,用于如果所述源IP地址命中所述第一认证白名单,则确定所述终端设备认证通过;
第一发送单元704,用于如果所述源IP地址未命中所述第一认证白名单,则将所述源IP地址发送至管理设备,以使所述管理设备根据所述源IP地址查找第二地址白名单,并在所述源IP地址命中所述第二认证白名单时返回认证通过信息,所述第二认证白名单由所述管理设备基于所述认证设备发送的所述第一认证白名单,以及接收到的终端设备的设备信息生成;
第二确定单元705,用于在接收到所述管理设备发送的所述认证通过信息时,确定所述终端设备认证通过。
在一个可选的实施例中,在所述第一发送单元704在所述源IP地址未命中所述第一认证白名单时,将所述源IP地址发送至管理设备之前,所述装置700还可以包括:
判断单元706,用于判断所述终端设备和本设备是否在同一局域网中;
第二发送单元707,用于在所述终端设备和本设备不在同一局域网中时,将所述源IP地址发送至所述管理设备;
第二查找单元708,用于在所述终端设备和本设备在同一局域网中时,根据所述数据报文的源MAC地址查找所述第一认证白名单;
所述装置700还可以包括:
第三确定单元709,用于在所述源MAC地址命中所述第一认证白名单时,确定所述终端设备认证通过;
第三发送单元710,用于在所述源MAC地址未命中所述第一认证白名单时,将所述源MAC地址发送至所述管理设备,以使所述管理设备根据所述源MAC地址查找所述第二认证白名单,并在所述源MAC地址命中所述第二认证白名单时返回认证通过信息。
请参考图8,为本申请一示例性实施例示出的另一种终端设备认证装置的框图。该终端设备认证装置800可以应用在图6所示的管理设备上,包括:
第一查找单元801,用于在接收到认证设备发送的终端设备数据报文的源IP地址时,根据所述IP地址查找本地第二认证白名单,所述第二认证白名单由所述管理设备基于所述认证设备发送的第一认证白名单,以及接收到的终端设备的设备信息生成,所述第一认证白名单由所述认证设备对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
第一返回单元802,用于在所述源IP地址命中所述第二认证白名单时,向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
在一个可选的实施例中,所述装置800还可以包括:
第二查找单元803,用于在接收到所述认证设备发送的终端设备数据报文的源MAC地址时,根据所述MAC地址查找所述第二认证白名单;
第二返回单元804,用于在所述源MAC地址命中所述第二认证白名单时,向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
在另一个可选的实施例中,所述装置800还可以包括:
第三查找单元805,用于在接收到终端设备的设备信息后,根据设备信息中的MAC地址查找认证设备发送的第一认证白名单;
更新单元806,用于将所述第一认证白名单中所述MAC地址对应的IP地址更新为所述设备信息中的IP地址,以生成第二认证白名单。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种终端设备认证方法,其特征在于,所述方法应用于认证设备,包括:
对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成第一认证白名单,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
在监测到终端设备的数据报文时,根据所述数据报文的源IP地址查找第一认证白名单;
如果所述源IP地址命中所述第一认证白名单,则确定所述终端设备认证通过;
如果所述源IP地址未命中所述第一认证白名单,则将所述源IP地址发送至管理设备,以使所述管理设备根据所述源IP地址查找第二认证白名单,并在所述源IP地址命中所述第二认证白名单时返回认证通过信息,所述第二认证白名单由所述管理设备基于所述认证设备发送的所述第一认证白名单,以及接收到的由接入设备或网关设备定期构造并发送的携带终端设备的设备信息的通告报文生成;其中,所述管理设备与若干所述认证设备连接;
在接收到所述管理设备发送的所述认证通过信息时,确定所述终端设备认证通过。
2.根据权利要求1所述的方法,其特征在于,
如果所述源IP地址未命中所述第一认证白名单,则在将所述源IP地址发送至管理设备之前,还包括:
判断所述终端设备和本设备是否在同一局域网中;
如果所述终端设备和本设备不在同一局域网中,则将所述源IP地址发送至所述管理设备;
如果所述终端设备和本设备在同一局域网中,则根据所述数据报文的源MAC地址查找所述第一认证白名单;
所述方法还包括:
如果所述源MAC地址命中所述第一认证白名单,则确定所述终端设备认证通过;
如果所述源MAC地址未命中所述第一认证白名单,则将所述源MAC地址发送至所述管理设备,以使所述管理设备根据所述源MAC地址查找所述第二认证白名单,并在所述源MAC地址命中所述第二认证白名单时返回认证通过信息。
3.一种终端设备认证方法,其特征在于,所述方法应用于管理设备,包括:
在接收到认证设备发送的终端设备数据报文的源IP地址时,根据所述IP地址查找本地第二认证白名单,所述第二认证白名单由所述管理设备基于所述认证设备发送的第一认证白名单,以及接收到的由接入设备或网关设备定期构造并发送的携带终端设备的设备信息的通告报文生成,所述第一认证白名单由所述认证设备对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;其中,所述管理设备与若干所述认证设备连接;
如果所述源IP地址命中所述第二认证白名单,则向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在接收到所述认证设备发送的终端设备数据报文的源MAC地址时,根据所述MAC地址查找所述第二认证白名单;
如果所述源MAC地址命中所述第二认证白名单,则向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
5.根据权利要求3所述的方法,其特征在于,所述第二认证白名单的生成过程包括:
在接收到终端设备的设备信息后,根据设备信息中的MAC地址查找认证设备发送的第一认证白名单;
将所述第一认证白名单中所述MAC地址对应的IP地址更新为所述设备信息中的IP地址,以生成第二认证白名单。
6.一种终端设备认证装置,其特征在于,所述装置应用于认证设备,包括:
认证单元,用于对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成第一认证白名单,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;
第一查找单元,用于在监测到终端设备的数据报文时,根据所述数据报文的源IP地址查找第一认证白名单;
第一确定单元,用于如果所述源IP地址命中所述第一认证白名单,则确定所述终端设备认证通过;
第一发送单元,用于如果所述源IP地址未命中所述第一认证白名单,则将所述源IP地址发送至管理设备,以使所述管理设备根据所述源IP地址查找第二认证白名单,并在所述源IP地址命中所述第二认证白名单时返回认证通过信息,所述第二认证白名单由所述管理设备基于所述认证设备发送的所述第一认证白名单,以及接收到的由接入设备或网关设备定期构造并发送的携带终端设备的设备信息的通告报文生成;其中,所述管理设备与若干所述认证设备连接;
第二确定单元,用于在接收到所述管理设备发送的所述认证通过信息时,确定所述终端设备认证通过。
7.根据权利要求6所述的装置,其特征在于,在所述第一发送单元在所述源IP地址未命中所述第一认证白名单时,将所述源IP地址发送至管理设备之前,所述装置还包括:
判断单元,用于判断所述终端设备和本设备是否在同一局域网中;
第二发送单元,用于在所述终端设备和本设备不在同一局域网中时,将所述源IP地址发送至所述管理设备;
第二查找单元,用于在所述终端设备和本设备在同一局域网中时,根据所述数据报文的源MAC地址查找所述第一认证白名单;
所述装置还包括:
第三确定单元,用于在所述源MAC地址命中所述第一认证白名单时,确定所述终端设备认证通过;
第三发送单元,用于在所述源MAC地址未命中所述第一认证白名单时,将所述源MAC地址发送至所述管理设备,以使所述管理设备根据所述源MAC地址查找所述第二认证白名单,并在所述源MAC地址命中所述第二认证白名单时返回认证通过信息。
8.一种终端设备认证装置,其特征在于,所述装置应用于管理设备,包括:
第一查找单元,用于在接收到认证设备发送的终端设备数据报文的源IP地址时,根据所述IP地址查找本地第二认证白名单,所述第二认证白名单由所述管理设备基于所述认证设备发送的第一认证白名单,以及接收到的由接入设备或网关设备定期构造并发送的携带终端设备的设备信息的通告报文生成,所述第一认证白名单由所述认证设备对终端设备进行认证,并在认证通过后根据所述终端设备的认证报文生成,所述认证报文中携带所述终端设备的MAC地址,所述第一认证白名单中包括认证报文的源IP地址和所述终端设备的MAC地址的对应关系;其中,所述管理设备与若干所述认证设备连接;
第一返回单元,用于在所述源IP地址命中所述第二认证白名单时,向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二查找单元,用于在接收到所述认证设备发送的终端设备数据报文的源MAC地址时,根据所述MAC地址查找所述第二认证白名单;
第二返回单元,用于在所述源MAC地址命中所述第二认证白名单时,向所述认证设备返回认证通过信息,以使所述认证设备在接收到所述认证通过信息时,确定对应的终端设备认证通过。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三查找单元,用于在接收到终端设备的设备信息后,根据设备信息中的MAC地址查找认证设备发送的第一认证白名单;
更新单元,用于将所述第一认证白名单中所述MAC地址对应的IP地址更新为所述设备信息中的IP地址,以生成第二认证白名单。
CN201710691066.3A 2017-08-14 2017-08-14 终端设备认证方法和装置 Active CN107360184B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201710691066.3A CN107360184B (zh) 2017-08-14 2017-08-14 终端设备认证方法和装置
US16/100,918 US10944744B2 (en) 2017-08-14 2018-08-10 Verifying terminal device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710691066.3A CN107360184B (zh) 2017-08-14 2017-08-14 终端设备认证方法和装置

Publications (2)

Publication Number Publication Date
CN107360184A CN107360184A (zh) 2017-11-17
CN107360184B true CN107360184B (zh) 2020-09-08

Family

ID=60287415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710691066.3A Active CN107360184B (zh) 2017-08-14 2017-08-14 终端设备认证方法和装置

Country Status (2)

Country Link
US (1) US10944744B2 (zh)
CN (1) CN107360184B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9800762B2 (en) * 2015-03-03 2017-10-24 Ricoh Company, Ltd. Non-transitory computer-readable information recording medium, information processing apparatus, and communications system
CN108600153A (zh) * 2018-03-05 2018-09-28 北京小米移动软件有限公司 验证方法及装置
CN110943962B (zh) * 2018-09-21 2021-01-29 华为技术有限公司 一种认证方法、网络设备和认证服务器以及转发设备
CN110677425B (zh) * 2019-09-30 2021-09-21 华南理工大学广州学院 一种匹配goose报文的防火墙系统的匹配方法
CN110661806B (zh) * 2019-09-30 2021-07-30 华南理工大学广州学院 一种智能变电站过程总线防火墙系统
CN111314384A (zh) * 2020-03-23 2020-06-19 杭州迪普科技股份有限公司 一种终端认证方法、装置及设备
CN112242996A (zh) * 2020-09-28 2021-01-19 成都长虹网络科技有限责任公司 智能网关控制方法、装置和可读存储介质
CN114793483A (zh) * 2020-11-24 2022-07-26 京东方科技集团股份有限公司 会议系统、会议信息推送方法和装置
CN112492597B (zh) * 2020-12-14 2023-03-24 中国联合网络通信集团有限公司 一种认证方法及装置
US20230208803A1 (en) * 2021-12-29 2023-06-29 Mastercard International Incorporated Ip address control system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932363A (zh) * 2012-11-08 2013-02-13 杭州迪普科技有限公司 一种内网pc访问外网的控制方法和装置
CN105939348A (zh) * 2016-05-16 2016-09-14 杭州迪普科技有限公司 Mac地址认证方法以及装置
CN105939519A (zh) * 2015-08-27 2016-09-14 杭州迪普科技有限公司 一种认证方法及装置
CN106060072A (zh) * 2016-06-30 2016-10-26 杭州华三通信技术有限公司 认证方法以及装置
CN106230781A (zh) * 2016-07-18 2016-12-14 杭州迪普科技有限公司 基于Web认证技术的防止网络攻击的方法及装置
CN106973126A (zh) * 2017-05-26 2017-07-21 杭州迪普科技股份有限公司 一种arp应答方法及装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9386023B2 (en) * 2009-10-09 2016-07-05 Blackberry Limited Method, apparatus and system for managing packet delivery
US20140082693A1 (en) * 2012-09-14 2014-03-20 Shaun Wackerly Updating security bindings in a network device
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
US10680893B2 (en) * 2015-10-27 2020-06-09 Alaxala Networks Corporation Communication device, system, and method
KR20180013608A (ko) * 2016-07-29 2018-02-07 삼성전자주식회사 전자 장치의 전력 소모 감소를 위한 방법 및 장치
CN109804610B (zh) * 2017-03-23 2022-05-13 柏思科技有限公司 限制具有网络功能的设备的数据流量传输的方法和系统
GB2565612B (en) * 2017-03-23 2022-04-06 Pismo Labs Technology Ltd Method and System for Updating a Whitelist at a Network Node
US10567379B2 (en) * 2017-06-26 2020-02-18 Bank Of America Corporation Network switch port access control and information security
US11032302B2 (en) * 2017-07-31 2021-06-08 Perspecta Labs Inc. Traffic anomaly detection for IoT devices in field area network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932363A (zh) * 2012-11-08 2013-02-13 杭州迪普科技有限公司 一种内网pc访问外网的控制方法和装置
CN105939519A (zh) * 2015-08-27 2016-09-14 杭州迪普科技有限公司 一种认证方法及装置
CN105939348A (zh) * 2016-05-16 2016-09-14 杭州迪普科技有限公司 Mac地址认证方法以及装置
CN106060072A (zh) * 2016-06-30 2016-10-26 杭州华三通信技术有限公司 认证方法以及装置
CN106230781A (zh) * 2016-07-18 2016-12-14 杭州迪普科技有限公司 基于Web认证技术的防止网络攻击的方法及装置
CN106973126A (zh) * 2017-05-26 2017-07-21 杭州迪普科技股份有限公司 一种arp应答方法及装置

Also Published As

Publication number Publication date
US20190052636A1 (en) 2019-02-14
CN107360184A (zh) 2017-11-17
US10944744B2 (en) 2021-03-09

Similar Documents

Publication Publication Date Title
CN107360184B (zh) 终端设备认证方法和装置
US9515988B2 (en) Device and method for split DNS communications
US10097566B1 (en) Identifying targets of network attacks
EP2837159B1 (en) System asset repository management
CN103825895B (zh) 一种信息处理方法及电子设备
US9258289B2 (en) Authentication of IP source addresses
US20160057101A1 (en) Asset detection system
US9215234B2 (en) Security actions based on client identity databases
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
EP3945739A1 (en) Non-intrusive / agentless network device identification
US11283757B2 (en) Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs)
CN112272164B (zh) 报文处理方法及装置
CN109240796A (zh) 虚拟机信息获取方法及装置
CN112839331A (zh) 一种用于无线局域网Portal认证逃生的用户信息认证方法
CN107147581B (zh) 路由表项的维护方法和装置
Reshmi et al. Light weight cryptographic address generation (LW-CGA) using system state entropy gathering for IPv6 based MANETs
CN104426881A (zh) 一种检测恶意行为的方法及装置
CN113595812B (zh) 一种客户端识别方法、装置、存储介质及网络设备
US20180288612A1 (en) User equipment and method for protection of user privacy in communication networks
CN109379339B (zh) 一种Portal认证方法及装置
JP6484166B2 (ja) 名前解決装置、名前解決方法及び名前解決プログラム
CN109617817B (zh) 一种mlag组网的转发表项的生成方法及装置
US20200267116A1 (en) Internet protocol version six address management
CN114338809B (zh) 访问控制方法、装置、电子设备和存储介质
US11075911B2 (en) Group-based treatment of network addresses

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant