CN107483480B - 一种地址的处理方法及装置 - Google Patents
一种地址的处理方法及装置 Download PDFInfo
- Publication number
- CN107483480B CN107483480B CN201710813541.XA CN201710813541A CN107483480B CN 107483480 B CN107483480 B CN 107483480B CN 201710813541 A CN201710813541 A CN 201710813541A CN 107483480 B CN107483480 B CN 107483480B
- Authority
- CN
- China
- Prior art keywords
- address
- white list
- authentication
- mac address
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种地址的处理方法及装置,应用在认证设备中,方法包括:若接收到来自终端设备的第一认证报文,获取第一认证报文对应终端设备的第一IP地址,并从第一认证报文的预设字段中提取出终端设备的MAC地址;向第一服务器发送已提取出MAC地址的第二认证报文,第一服务器用于基于第二认证报文中的用户名及密码确认用户等级;若接收第一服务器基于第二认证报文返回的用户等级为第一用户等级,建立第一IP地址与MAC地址之间的绑定关系。在第一白名单中记录绑定关系。应用本发明实施例,认证设备可以基于终端设备的MAC地址及第一白名单对该终端设备进行认证,IP地址发生改变的同一终端设备不需要进行多次认证,大大提高了认证效率。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种地址的处理方法及装置。
背景技术
当终端设备向认证设备发送上网流量时,认证设备确认该上网流量中携带的终端设备的IP地址是否存在于白名单中。
现有技术中,同一终端设备的IP地址并非固定不变的,若认证设备确定终端设备的IP地址与白名单匹配成功,则的IP地址发生变更后的IP地址可能无法与认证设备的白名单匹配成功。
同一终端设备的MAC地址为固定的,由于认证设备的白名单中并未记录终端设备的MAC地址,因此认证设备基于白名单无法认证改变了IP地址的同一终端设备。
发明内容
有鉴于此,本发明提供一种地址的处理方法及装置,以解决认证设备基于白名单无法认证改变了IP地址的同一终端设备的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种地址的处理方法,所述方法包括:
若接收到来自终端设备的第一认证报文,获取所述第一认证报文对应所述终端设备的第一IP地址,并从所述第一认证报文的预设字段中提取出所述终端设备的MAC地址;
向第一服务器发送已提取出所述MAC地址的第二认证报文,所述第一服务器用于基于所述第二认证报文中的用户名及密码确认用户等级;
若接收所述第一服务器基于所述第二认证报文返回的用户等级为第一用户等级,建立所述第一IP地址与所述MAC地址之间的绑定关系;
在第一白名单中记录所述绑定关系。
根据本发明的第二方面,提出了一种IP地址的确定方法,所述方法包括:
若接收到来自终端设备的请求分配IP地址的请求报文,则从所述请求报文中获取所述终端设备的MAC地址;
基于所述MAC地址,从第二白名单中确定与所述MAC地址绑定的第二IP地址,所述MAC地址与所述第二IP地址的绑定关系通过上述权利要求1-7任一所述的方法建立;
向所述终端设备发送携带所述第二IP地址的响应报文。
根据本发明的第三方面,提出了一种地址的处理装置,包括:
地址提取模块,用于若接收到来自终端设备的第一认证报文,获取所述第一认证报文对应所述终端设备的第一IP地址,并从所述第一认证报文的预设字段中提取出所述终端设备的MAC地址;
第一报文发送模块,用于向第一服务器发送已提取出所述MAC地址的第二认证报文,所述第一服务器用于基于所述第二认证报文中的用户名及密码确认用户等级;
绑定关系建立模块,用于若接收所述第一服务器基于所述第二认证报文返回的用户等级为第一用户等级,建立所述第一IP地址与所述MAC地址之间的绑定关系。
绑定关系记录模块,用于在第一白名单中记录所述绑定关系。
根据本发明的第四方面,提出了一种IP地址的确定装置,包括:
MAC地址获取模块,用于若接收到来自终端设备的请求分配IP地址的请求报文,则从所述请求报文中获取所述终端设备的MAC地址;
IP地址确定模块,用于基于所述MAC地址,从第二白名单中确定与所述MAC地址绑定的第一IP地址,所述MAC地址与所述第一IP地址的绑定关系通过上述第三方面所述的装置建立;
第二报文发送模块,用于向所述终端设备发送携带所述第一IP地址的响应报文。
由以上技术方案可见,若认证设备接收到来自终端设备的第一认证报文,认证设备获取第一认证报文对应终端设备的第一IP地址,并从第一认证报文的预设字段中提取出终端设备的MAC地址,认证设备向第一服务器发送已提取出MAC地址的第二认证报文,若认证设备接收第一服务器基于第二认证报文返回的第一用户等级,则认证设备建立第一IP地址与MAC地址之间的绑定关系,认证设备在第一白名单中记录该绑定关系。若同一终端设备的IP地址发生了改变,认证设备可以基于终端设备的MAC地址及第一白名单对该终端设备进行认证,IP地址发生改变的同一终端设备不需要进行多次认证,大大提高了认证效率。
附图说明
图1A是本发明提供的地址的处理方法所适用的网络架构图;
图1B是本发明在图1A基础上提供的设备之间交互的实施例流程图;
图2是本发明提供的一个地址的处理方法的实施例流程图;
图3是本发明提供的另一个地址的处理方法的实施例流程图;
图4是本发明提供的再一个地址的处理方法的实施例流程图;
图5是本发明提供的一个IP地址的确定方法的实施例流程图;
图6是本发明提供的一种认证设备的硬件结构图;
图7是本发明提供的一个地址的处理装置的实施例框图;
图8是本发明提供的另一个地址的处理装置的实施例框图;
图9是本发明提供的一个IP地址的确定装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1A是本发明提供的地址的处理方法所适用的网络架构图;图1B是本发明在图1A基础上提供的设备之间交互的实施例流程图。如图1A所示,该网络架构图中包括:终端设备11、动态主机配置协议(Dynamic Host Configuration Protocol,简称为DHCP)服务器12、交换机13、认证设备14、Portal服务器15(可视为本发明中的第一服务器)和总信息平台服务器16(可视为本发明中的第二服务器)。图1A中以一台个人计算机为终端设备11作为示例,手机、平板电脑、智能手表等也可以作为终端设备11;终端设备11需要上网时,DHCP服务器12用于为终端设备11分配IP地址;认证设备14用于认证IP地址是否存在于第一白名单之中;Portal服务器15用于对终端设备11进行Portal认证;总信息平台服务器16用于收集组网中全部认证设备记录的白名单信息。通常,终端设备11需要上网上,首先向DHCP服务器12申请一个第一IP地址,若认证设备14和总信息平台服务器16各自对应的白名单中均未匹配到该第一IP地址,则认证设备14向终端设备11发送Portal认证页面。终端设备11接收到认证设备14发送的Portal认证页面,用户根据Portal认证页面中的提示输入用户名及密码。结合图1B的实施例流程图,在步骤101中,终端设备11向交换机13发送携带用户名及密码的请求认证报文;在步骤102中,交换机13获取终端设备11对应的MAC地址并将MAC地址添加在请求认证报文中的预设字段,生成第一认证报文。本领域技术人员可以理解的是,请求认证报文在网络中被转发时,MAC地址会发生改变,因此将MAC地址添加在请求认证报文中可以确保认证设备14获取到终端设备11对应的MAC地址。在步骤103中,交换机13向认证设备14发送该第一认证报文;在步骤104中,认证设备14获取终端设备11对应的第一IP地址,并从该第一认证报文的预设字段中提取出该MAC地址生成第二认证报文;在步骤105中,认证设备14向Portal服务器15发送已提取出MAC地址的第二认证报文;在步骤106中,Portal服务器15基于第二认证报文中的用户名及密码确认用户等级,本领域技术人员可以理解的是,Portal服务器15中可以预先对不同用户设定不同用户等级,例如酒店的工作人员和客人,酒店的工作人员携带的终端设备每天都要接入酒店网络,而客人入住酒店天数少,客人携带的终端设备接入酒店网络次数少,针对酒店工作人员,可以预先为酒店工作人员每个人分配一个用户名及密码,并将酒店工作人员每个人分配的用户名及密码记录到Portal服务器15中,酒店工作人员每个人分配的用户名及密码对应的用户等级可以设定为第一用户等级,而非酒店工作人员尝试登陆认证时的用户名和密码对应第二用户等级。在步骤107中,Portal服务器15向认证设备14返回用户等级;在步骤108中,认证设备14确认用户等级是第一用户等级还是第二用户等级,若认证设备14确认用户等级为第一用户等级,则认证设备14建立第一IP地址与MAC地址之间的绑定关系,认证设备14在自身的第一白名单中记录该绑定关系;在步骤109中,认证设备14向DHCP服务器12、总信息平台服务器16发送该绑定关系。
通过本发明实施例,若同一终端设备的IP地址发生了改变,认证设备可以基于终端设备的MAC地址及第一白名单对该终端设备进行认证,IP地址发生改变的同一终端设备不需要进行多次认证,大大提高了认证效率。
为对本发明进行进一步说明,提供下列实施例:
图2是本发明提供的一个地址的处理方法的实施例流程图,结合图1B进行示例性说明,如图2所示,包括如下步骤:
步骤201:若接收到来自终端设备的第一认证报文,获取第一认证报文对应终端设备的第一IP地址,并从第一认证报文的预设字段中提取出终端设备的MAC地址。
步骤202:向第一服务器发送已提取出MAC地址的第二认证报文,第一服务器用于基于第二认证报文中的用户名及密码确认用户等级。
步骤203:若接收第一服务器基于第二认证报文返回的用户等级,则确定用户等级为第一用户等级还是第二用户等级,若用户等级为第一用户等级,则执行步骤204-步骤205,若用户等级为第二用户等级,则执行步骤206。
步骤204:建立第一IP地址与MAC地址之间的绑定关系。
步骤205:在第一白名单中记录绑定关系。
步骤206:将第一IP地址记录在第一白名单中。
在步骤201中,在一实施例中,若认证设备14接收到来自终端设备11的第一认证报文,认证设备14获取第一认证报文对应终端设备11的第一IP地址,并从第一认证报文的预设字段中提取出终端设备11的MAC地址,第一IP地址例如为192.168.1.1,MAC地址例如为00:24:15:0a:1c:01。
在步骤202中,在一实施例中,结合步骤201,认证设备14向Portal服务器15发送已提取出MAC地址00:24:15:0a:1c:01的第二认证报文,Portal服务器15用于基于第二认证报文中的用户名及密码确认用户等级,用户名例如为ABC,密码例如为123456。
在步骤203中,在一实施例中,若认证设备14接收Portal服务器15基于第二认证报文返回的用户等级,则认证设备14确定用户等级为第一用户等级还是第二用户等级,若用户等级为第一用户等级,则执行步骤204-步骤205,若用户等级为第二用户等级,则执行步骤206。
在步骤204中,在一实施例中,若用户等级为第一用户等级,认证设备14建立第一IP地址192.168.1.1与MAC地址00:24:15:0a:1c:01之间的绑定关系。
在步骤205中,在一实施例中,第一白名单为认证设备14中记录的白名单,认证设备14在第一白名单中记录该绑定关系。如下述表1所示,为第一白名单的示例图:
表1
序号 | IP地址 | MAC地址 |
1 | 192.168.1.6 | 00:16:34:0a:1c:02 |
2 | 192.168.1.1 | 00:24:15:0a:1c:01 |
3 | - | - |
表1中,序号1对应IP地址192.168.1.6及MAC地址00:16:34:0a:1c:02;序号2为步骤204中绑定的第一IP地址192.168.1.1与MAC地址00:24:15:0a:1c:01;序号3对应的“-”表示记录为空。
本领域技术人员可以理解的是,下述步骤206为非必要技术特征。
在步骤206中,在一实施例中,若用户等级为第二用户等级,认证设备14将第一IP地址记录在第一白名单中。如下述表2所示,为将第一IP地址记录在第一白名单中时第一白名单的示例图:
表2
序号 | IP地址 | MAC地址 |
1 | 192.168.1.6 | 00:16:34:0a:1c:02 |
2 | 192.168.1.1 | - |
3 | - | - |
表2中,第一IP地址192.168.1.1对应的的MAC地址为“-”。本领域技术人员可以理解的是,若用户等级为第二用户等级,则无需为该第一IP地址绑定MAC,结合图1B中的酒店客人的示例,例如酒店客人对应第二用户等级,酒店客人入住时间短,酒店客人携带的接入网络的终端设备接入次数少,无需为酒店客人保留第一IP地址与MAC地址的绑定关系,减少了对第一白名单资源的浪费。
本发明实施例中,若认证设备接收到来自终端设备的第一认证报文,认证设备获取第一认证报文对应终端设备的第一IP地址,并从第一认证报文的预设字段中提取出终端设备的MAC地址,认证设备向第一服务器发送已提取出MAC地址的第二认证报文,若认证设备接收第一服务器基于第二认证报文返回的第一用户等级,则认证设备建立第一IP地址与MAC地址之间的绑定关系,认证设备在第一白名单中记录该绑定关系。若同一终端设备的IP地址发生了改变,认证设备可以基于终端设备的MAC地址及第一白名单对该终端设备进行认证,IP地址发生改变的同一终端设备不需要进行多次认证,大大提高了认证效率。
图3是本发明提供的另一个地址的处理方法的实施例流程图,本发明实施例结合图2,在步骤201-步骤206的基础上,进行示例性说明,如图3所示,包括如下步骤:
步骤301:在第一白名单中设定绑定关系的有效时长。
步骤302:若绑定关系在第一白名单中的存在时长大于或者等于有效时长,则在第一白名单中解除第一IP地址与MAC地址的绑定关系。
步骤303:在第一白名单中删除有效时长。
在步骤301中,认证设备14在第一白名单中设定绑定关系的有效时长,有效时长例如为1年。如下述表3所示,为在表1基础上添加了有效时长的第一白名单的示例图:
表3
序号 | IP地址 | MAC地址 | 有效时长 |
1 | 192.168.1.6 | 00:16:34:0a:1c:02 | 1年 |
2 | 192.168.1.1 | 00:24:15:0a:1c:01 | 1年 |
3 | - | - | - |
表3中,序号1对应的IP地址192.168.1.6及MAC地址00:16:34:0a:1c:02的绑定有效时长为1年,序号2对应的第一IP地址192.168.1.1与MAC地址00:24:15:0a:1c:01的绑定有效时长为1年。
在步骤302中,若绑定关系在第一白名单中的存在时长大于或者等于有效时长时,认证设备14则在第一白名单中解除第一IP地址与MAC地址的绑定关系。
在步骤303中,认证设备14在第一白名单中删除有效时长。
结合步骤302-步骤303,以及上述表3,如下述表4所示,为认证设备14在第一白名单中解除第一IP地址192.168.1.1与MAC地址00:24:15:0a:1c:01的绑定关系,在第一白名单中删除有效时长的第一白名单的示例图:
表4
序号 | IP地址 | MAC地址 | 有效时长 |
1 | 192.168.1.6 | 00:16:34:0a:1c:02 | 1年 |
2 | - | - | - |
3 | - | - | - |
表4中,序号2对应的第一IP地址192.168.1.1、MAC地址00:24:15:0a:1c:01及有效时长1年均被删除,记录为“-”。
本发明实施例中,认证设备14在第一白名单中设定绑定关系的有效时长,若绑定关系在第一白名单中的存在时长大于或者等于有效时长,则在第一白名单中解除第一IP地址与MAC地址的绑定关系,认证设备14在第一白名单中删除有效时长。通过设置合适的有效时长,可以确保在有效时长内MAC地址对应的终端设备11无需重复验证,有效时长失效时,对第一白名单的资源进行了回收。
图4是本发明提供的再一个地址的处理方法的实施例流程图,本发明实施例结合图1B进行示例性说明,如图4所示,包括如下步骤:
步骤401:分别向DHCP服务器、第二服务器发送绑定关系及有效时长,第二服务器用于记录全部认证设备的白名单信息。
步骤402:若接收到终端设备的上网流量,则获取上网流量中携带的终端设备对应的第二IP地址。
步骤403:确定第一白名单中是否存在第二IP地址,若第一白名单中存在第二IP地址,则执行步骤404,若第一白名单中不存在第二IP地址,则执行步骤405。
步骤404:确定第二IP地址认证成功。
步骤405:向第二服务器发送第二IP地址。
在步骤401中,结合图1B中的步骤109,认证设备14分别向DHCP服务器12、总信息平台服务器16发送绑定关系及有效时长,总信息平台服务器16用于记录全部认证设备的白名单信息,组网中可能包含多个认证设备。
在步骤402中,若认证设备14接收到终端设备11的上网流量,则认证设备14获取上网流量中携带的终端设备11对应的第二IP地址。本领域人员可以理解的是,终端设备11上网时的IP地址为DHCP服务器12分配的,由于步骤401中,DHCP服务器12接收并记录认证设备14发送的第一IP地址192.168.1.1与MAC地址00:24:15:0a:1c:01绑定关系及有效时长1年。当DHCP服务器12接收到终端设备11发送的分配IP地址请求报文时,DHCP服务器12基于终端设备11的MAC地址00:24:15:0a:1c:01,将与MAC地址00:24:15:0a:1c:01绑定的第一IP地址192.168.1.1分配给终端设备11,因此在有效时长1年内终端设备11被DHCP服务器12分配的IP地址保持不变,此时的第二IP地址与第一IP地址一致。认证设备14获取上网流量中携带的终端设备11对应的第二IP地址192.168.1.1。
在步骤403中,认证设备14确定第一白名单中是否存在第二IP地址,若第一白名单中存在第二IP地址,则执行步骤404,若第一白名单中不存在第二IP地址,则执行步骤405。
在步骤404中,认证设备14确定第二IP地址192.168.1.1认证成功。
在步骤405中,向总信息平台服务器16发送第二IP地址第二IP地址192.168.1.1。
本发明实施例中,认证设备14分别向DHCP服务器12、总信息平台服务器16发送绑定关系及有效时长,若认证设备14接收到终端设备11的上网流量,则认证设备14获取上网流量中携带的终端设备11对应的第二IP地址,认证设备14确定第一白名单中是否存在第二IP地址,若第一白名单中存在第二IP地址,则确定第二IP地址认证成功,若第一白名单中不存在第二IP地址,则向总信息平台服务器16发送第二IP地址,总信息平台服务器16基于全部认证设备的白名单信息对第二IP地址再次进行查找认证。由于DHCP服务器12接收到了认证设备14发送的MAC地址与第一IP地址的绑定关系及有效时长,因此在有效时长内终端设备11被DHCP服务器12分配的第一IP地址保持不变,终端设备11在有效时长内通过固定的第一IP地址向认证设备14发起认证,认证设备14认证成功后直接针对第一IP地址对应的第一认证报文进行转发,无需向终端设备11发送重定向portal页面,实现无感知认证,大大提高了认证效率。
图5是本发明提供的一个IP地址的确定方法的实施例流程图。结合图1A、图2、图3、图4,该IP地址的确定方法可以应用在图1A所示的DHCP服务器12中,如图5所示,包括如下步骤:
步骤501:若接收到来自终端设备的请求分配IP地址的请求报文,则从请求报文中获取终端设备的MAC地址。
步骤502:基于MAC地址,从第二白名单中确定与MAC地址绑定的第一IP地址,MAC地址与第一IP地址的绑定关系通过图2-图4所示实施例流程图中任一的方法建立。
步骤503:向终端设备发送携带第一IP地址的响应报文。
在步骤501中,在一实施例中,结合图2中的步骤201的相关描述,若DHCP服务器12接收到来自终端设备11的请求分配IP地址的请求报文,则DHCP服务器12从请求报文中获取终端设备的MAC地址00:24:15:0a:1c:01。
在步骤502中,在一实施例中,结合步骤402,DHCP服务器12基于MAC地址00:24:15:0a:1c:01,从第二白名单(DHCP服务器12中记录的白名单)中确定与MAC地址00:24:15:0a:1c:01绑定的第一IP地址192.168.1.1,需要说明的是,MAC地址与第一IP地址的绑定关系可以通过图2-图4所示实施例流程图中任一的方法建立。在有效时长1年内终端设备11被DHCP服务器12分配的IP地址保持不变。
在步骤503中,在一实施例中,DHCP服务器12向终端设备11发送携带第一IP地址192.168.1.1的响应报文。
本发明实施例中,DHCP服务器接收认证设备发送的MAC地址与第一IP地址的绑定关系及有效时长,并将该绑定关系及有效时长记录在第二白名单中,有效时长内,DHCP服务器基于终端设备的MAC地址为终端设备确定第一IP地址,使得终端设备在有效时长内向认证设备发起认证时的第一IP地址不会发生变化,有效时长内,终端设备无需再次进行认证,实现了无感知认证,大大提高了认证效率。
对应于上述地址的处理方法,本发明还提出了图6所示的认证设备的硬件结构图。请参考图6,在硬件层面,该认证设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成地址的处理装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
本领域技术人员可以理解的是,对应于上述IP地址的确定方法,本发明提出的DHCP服务器的硬件结构图与图6所示的认证设备的硬件结构图一致,DHCP服务器的相关描述可以参考上述图6对认证设备的描述,此处不做赘述。
图7是本发明提供的一个地址的处理装置的实施例框图,如图7所示,该地址的处理装置可以包括:地址提取模块71、第一报文发送模块72、绑定关系建立模块73、绑定关系记录模块74,其中:
地址提取模块71,用于若接收到来自终端设备的第一认证报文,获取第一认证报文对应终端设备的第一IP地址,并从第一认证报文的预设字段中提取出终端设备的MAC地址;
第一报文发送模块72,用于向第一服务器发送已提取出MAC地址的第二认证报文,第一服务器用于基于第二认证报文中的用户名及密码确认用户等级;
绑定关系建立模块73,用于若接收第一服务器基于第二认证报文返回的用户等级为第一用户等级,建立第一IP地址与MAC地址之间的绑定关系;
绑定关系记录模块74,用于在第一白名单中记录绑定关系。
图8是本发明提供的另一个地址的处理装置的实施例框图,如图8所示,在上述图7所示实施例的基础上,地址的处理装置还包括:
有效时长设定模块75,用于在第一白名单中设定绑定关系的有效时长;
绑定关系解除模块76,用于若绑定关系在第一白名单中的存在时长大于或者等于有效时长,则在第一白名单中解除第一IP地址与MAC地址的绑定关系;
有效时长删除模块77,用于在第一白名单中删除有效时长。
在一实施例中,地址的处理装置还包括:
信息发送模块78,用于分别向DHCP服务器、第二服务器发送绑定关系及有效时长,第二服务器用于记录全部认证设备的白名单信息。
在一实施例中,地址的处理装置还包括:
IP地址记录模块79,用于若接收第一服务器基于第二认证报文返回的用户等级为第二用户等级,则将第一IP地址记录在第一白名单中。
在一实施例中,地址的处理装置还包括:
IP地址获取模块80,用于若接收到终端设备的上网流量,则获取上网流量中携带的终端设备对应的第二IP地址;
第一确定模块81,用于确定第一白名单中是否存在第二IP地址;
第二确定模块82,用于若第一白名单中存在第二IP地址,则确定第二IP地址认证成功;
第三确定模块83,用于若第一白名单中不存在第二IP地址,则向第二服务器发送第二IP地址。
图9是本发明提供的一个IP地址的确定装置的实施例框图,如图9所示,该IP地址的确定装置可以包括:MAC地址获取模块91、IP地址确定模块92、第二报文发送模块93,其中:
MAC地址获取模块91,用于若接收到来自终端设备的请求分配IP地址的请求报文,则从请求报文中获取终端设备的MAC地址;
IP地址确定模块92,用于基于MAC地址,从第二白名单中确定与MAC地址绑定的第一IP地址,MAC地址与第一IP地址的绑定关系通过上述图7、图8中任一的装置建立;
第二报文发送模块93,用于向终端设备发送携带第一IP地址的响应报文。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,认证设备建立了第一IP地址与MAC地址之间的绑定关系,认证设备在第一白名单中记录该绑定关系。若同一终端设备的IP地址发生了改变,认证设备可以基于终端设备的MAC地址及第一白名单对该终端设备进行认证,IP地址发生改变的同一终端设备不需要进行多次认证,大大提高了认证效率。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种地址的处理方法,应用在认证设备中,其特征在于,所述方法包括:
若接收到来自终端设备的第一认证报文,获取所述第一认证报文对应所述终端设备的第一IP地址,并从所述第一认证报文的预设字段中提取出所述终端设备的MAC地址;
向第一服务器发送已提取出所述MAC地址的第二认证报文,所述第一服务器用于基于所述第二认证报文中的用户名及密码确认用户等级;
若接收所述第一服务器基于所述第二认证报文返回的用户等级为第一用户等级,建立所述第一IP地址与所述MAC地址之间的绑定关系;
在第一白名单中记录所述绑定关系并设定所述绑定关系的有效时长;
分别向DHCP服务器、第二服务器发送所述绑定关系及所述有效时长,所述第二服务器用于记录全部认证设备的白名单信息;
根据所述第一白名单对所述终端设备的上网流量进行IP地址处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述绑定关系在所述第一白名单中的存在时长大于或者等于所述有效时长,则在所述第一白名单中解除所述第一IP地址与所述MAC地址的绑定关系;
在所述第一白名单中删除所述有效时长。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若接收所述第一服务器基于所述第二认证报文返回的用户等级为第二用户等级,则将所述第一IP地址记录在所述第一白名单中。
4.根据权利要求1任一所述的方法,其特征在于,所述根据所述第一白名单对所述终端设备的上网流量进行IP地址处理,包括:
若接收到所述上网流量,则获取所述上网流量中携带的所述终端设备对应的第二IP地址;
确定所述第一白名单中是否存在所述第二IP地址;
若所述第一白名单中存在所述第二IP地址,则确定所述第二IP地址认证成功;
若所述第一白名单中不存在所述第二IP地址,则向所述第二服务器发送所述第二IP地址。
5.一种IP地址的确定方法,应用在DHCP服务器中,其特征在于,所述方法包括:
若接收到来自终端设备的请求分配IP地址的请求报文,则从所述请求报文中获取所述终端设备的MAC地址;
基于所述MAC地址,从第二白名单中确定与所述MAC地址绑定的第一IP地址,所述MAC地址与所述第一IP地址的绑定关系通过上述权利要求1-4任一所述的方法建立;
向所述终端设备发送携带所述第一IP地址的响应报文。
6.一种地址的处理装置,其特征在于,所述装置包括:
地址提取模块,用于若接收到来自终端设备的第一认证报文,获取所述第一认证报文对应所述终端设备的第一IP地址,并从所述第一认证报文的预设字段中提取出所述终端设备的MAC地址;
第一报文发送模块,用于向第一服务器发送已提取出所述MAC地址的第二认证报文,所述第一服务器用于基于所述第二认证报文中的用户名及密码确认用户等级;
绑定关系建立模块,用于若接收所述第一服务器基于所述第二认证报文返回的用户等级为第一用户等级,建立所述第一IP地址与所述MAC地址之间的绑定关系;
绑定关系记录模块,用于在第一白名单中记录所述绑定关系并设定所述绑定关系的有效时长;
绑定关系发送模块,用于分别向DHCP服务器、第二服务器发送所述绑定关系及所述有效时长,所述第二服务器用于记录全部认证设备的白名单信息;
地址处理模块,用于根据所述第一白名单对所述终端设备的上网流量进行IP地址处理。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
绑定关系解除模块,用于若所述绑定关系在所述第一白名单中的存在时长大于或者等于所述有效时长,则在所述第一白名单中解除所述第一IP地址与所述MAC地址的绑定关系;
有效时长删除模块,用于在所述第一白名单中删除所述有效时长。
8.一种IP地址的确定装置,其特征在于,所述装置包括:
MAC地址获取模块,用于若接收到来自终端设备的请求分配IP地址的请求报文,则从所述请求报文中获取所述终端设备的MAC地址;
IP地址确定模块,用于基于所述MAC地址,从第二白名单中确定与所述MAC地址绑定的第一IP地址,所述MAC地址与所述第一IP地址的绑定关系通过上述权利要求6-7任一所述的装置建立;
第二报文发送模块,用于向所述终端设备发送携带所述第一IP地址的响应报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710813541.XA CN107483480B (zh) | 2017-09-11 | 2017-09-11 | 一种地址的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710813541.XA CN107483480B (zh) | 2017-09-11 | 2017-09-11 | 一种地址的处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107483480A CN107483480A (zh) | 2017-12-15 |
CN107483480B true CN107483480B (zh) | 2020-05-12 |
Family
ID=60585192
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710813541.XA Active CN107483480B (zh) | 2017-09-11 | 2017-09-11 | 一种地址的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107483480B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111628968B (zh) * | 2020-04-23 | 2022-07-12 | 新华三技术有限公司合肥分公司 | 认证方法、装置、认证系统以及网络设备 |
CN112511521B (zh) * | 2020-11-23 | 2022-07-22 | 中国联合网络通信集团有限公司 | 基于ddpg算法的ip地址黑灰名单分析方法及服务器 |
CN114157475B (zh) * | 2021-11-30 | 2023-09-19 | 迈普通信技术股份有限公司 | 一种设备接入方法、装置,认证设备及接入设备 |
CN115835204A (zh) * | 2022-11-22 | 2023-03-21 | 上海连尚网络科技有限公司 | 一种用于热点连接放行的方法、设备、介质及程序产品 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
CN101247396B (zh) * | 2008-02-20 | 2011-06-15 | 北大方正集团有限公司 | 一种分配ip地址的方法、装置及系统 |
CN105472054B (zh) * | 2014-09-05 | 2019-05-24 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
CN105939519B (zh) * | 2015-08-27 | 2019-07-09 | 杭州迪普科技股份有限公司 | 一种认证方法及装置 |
CN105939348B (zh) * | 2016-05-16 | 2019-09-17 | 杭州迪普科技股份有限公司 | Mac地址认证方法以及装置 |
CN107105072B (zh) * | 2017-05-18 | 2020-02-11 | 杭州迪普科技股份有限公司 | 一种创建arp表项的方法和装置 |
-
2017
- 2017-09-11 CN CN201710813541.XA patent/CN107483480B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN107483480A (zh) | 2017-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107483480B (zh) | 一种地址的处理方法及装置 | |
JP6280641B2 (ja) | アカウントログイン方法、デバイス及びシステム | |
CN106844000B (zh) | 一种多用户环境下利用浏览器访问Linux容器集群的方法和装置 | |
CN108737585B (zh) | Ip地址的分配方法及装置 | |
EP1876754A1 (en) | Method system and server for implementing dhcp address security allocation | |
CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
CN110417730B (zh) | 多应用程序的统一接入方法及相关设备 | |
CN106535219B (zh) | 一种用户信息回填方法及装置 | |
CN105592180B (zh) | 一种Portal认证的方法和装置 | |
EP2928141A1 (en) | Ipv6 address tracing method, device, and system | |
CN104158818A (zh) | 一种单点登录方法及系统 | |
CN105323325A (zh) | 一种身份位置分离网络中的地址分配方法及接入服务节点 | |
CN105610771A (zh) | 一种关联账户的方法及账户关联装置 | |
US20170180506A1 (en) | Method and apparatus for obtaining user account | |
CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
CN107995070A (zh) | 基于ipoe的连网控制方法、装置和bras | |
CN107733764B (zh) | 虚拟可扩展局域网隧道的建立方法、系统以及相关设备 | |
CN105516395A (zh) | 网络地址分配方法和装置 | |
EP3016423A1 (en) | Network safety monitoring method and system | |
CN103037442A (zh) | 一种实现流量分离调度的方法及系统 | |
CN107241456A (zh) | 一种终端接入控制的方法和服务器 | |
CN105610669A (zh) | 一种Supervlan扁平化网络的地址分配方法及设备 | |
CN103179224B (zh) | 一种ip地址配置的方法、客户端及服务器 | |
CN107547501B (zh) | 身份认证方法及装置 | |
CN110708301A (zh) | 一种用户请求处理方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |