CN107547568B - 认证方法和装置 - Google Patents
认证方法和装置 Download PDFInfo
- Publication number
- CN107547568B CN107547568B CN201710910490.2A CN201710910490A CN107547568B CN 107547568 B CN107547568 B CN 107547568B CN 201710910490 A CN201710910490 A CN 201710910490A CN 107547568 B CN107547568 B CN 107547568B
- Authority
- CN
- China
- Prior art keywords
- access
- area
- user side
- user
- data plane
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种认证方法和装置。该方法包括:在允许用户侧访问第一区域的情况下,数据平面判断是否满足第二区域对应的触发条件,所述第二区域的访问权限与所述第一区域不同;如果满足所述触发条件,则所述数据平面向所述控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。在转控分离模式下,将第二区域认证的触发判断的过程改由数据平面来执行,数据平面无需将触发报文透传给控制平面,减少从数据平面向控制平面透传的报文数量,降低控制平面的负担。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种认证方法和装置。
背景技术
普通认证流程为:触发报文触发用户在BRAS(Broadband Remote Access Server,宽带远程接入服务器)上进行用户名、密码的认证。BRAS与3A(Authentication、Authorization、Accounting,验证、授权和记账)服务器(如图1所示的RADIUS SERVER)通信认证通过后,用户在准入区域内上线。用户可访问准入范围内资源。
图1是转控分离组网下的无感知认证的组网示意图。如图1所示,无感知认证流程为:触发报文触发用户在BRAS的受控区域内上线,只能访问受控的资源。当用户达到阈值触发条件后,BRAS采用用户的特征向MAC(Media Access Control,媒体访问控制)触发(trigger)服务器(如图1所示的Portal Server)查询用户名、密码。如查询成功,采用该密码向3A服务器进行认证。认证通过后,允许用户在准入区域内上线,可访问准入范围内资源。
转控分离是将传统BRAS认证授权计费的功能和转发的功能分开。将一台设备(BRAS设备)拆成一台服务器(下面简称CP控制平面(control plane),主要功能是完成认证授权计费)与一台转发设备(下面简称DP,主要功能是完成用户在其相应的授权范围内转发)。DP与CP分离的一个实现方式是,DP将用户的触发报文上送到CP上,从而引发用户在CP上进行认证。对于无感知认证的转控分离组网,比起普通认证流程而言,多了一步认证。一次是受控区域的认证,另一次是准入区域的无感知的认证。这两次认证都要求DP将相应的触发报文送到CP上。当某时刻采用无感知上线的用户量较多时,会对CP带来较大的性能压力。
发明内容
有鉴于此,本公开提出了一种认证方法和装置。
根据本公开的一方面,提供了一种认证方法,应用于VBRAS,所述方法包括:
在允许用户侧访问第一区域的情况下,数据平面判断是否满足第二区域对应的触发条件,所述第二区域的访问权限与所述第一区域不同;
如果满足所述触发条件,则所述数据平面向控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。
根据本公开的另一方面,提供了一种认证装置,应用于VBRAS的数据平面,所述装置包括:
判断模块,用于在允许用户侧访问第一区域的情况下,判断是否满足第二区域对应的触发条件,所述第二区域的访问权限与所述第一区域不同;
发送模块,用于如果满足所述触发条件,则向控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。
本公开在转控分离模式下,将第二区域认证的触发判断的过程改由数据平面来执行,数据平面无需将触发报文透传给控制平面,减少从数据平面向控制平面透传的报文数量,降低控制平面的负担。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1是转控分离组网下的无感知认证的组网示意图。
图2是典型的转控分离的无感知认证的流程图。
图3示出根据本公开一实施例的认证方法的流程图。
图4示出根据本公开一实施例的认证方法的另一流程图。
图5示出根据本公开另一实施例的认证方法的流程图。
图6示出根据本公开另一实施例的认证方法另一的流程图。
图7示出根据本公开另一实施例的认证方法的流程图。
图8示出根据本公开另一实施例的认证方法的应用示例的流程图。
图9示出根据本公开一实施例的认证装置的结构框图。
图10示出根据本公开一实施例的认证装置的另一结构框图。
图11示出根据本公开另一实施例的认证装置的结构框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图2是典型的转控分离的无感知认证的流程图。如图2所示,DP将触发报文通过隧道透传给CP。CP收到触发报文触发用户的认证,并形成会话下发给DP。用户在受控区域企图上线时,DP会将用户的触发报文透传给CP。CP完成受控区域认证后,下发会话给DP形成受控区域会话。此时完成第一次认证。DP将用户在受控区域内的触发报文透传给CP。CP收到触发报文后,完成准入区域的无感知认证的后续流程。此时完成第二次认证。
因此,DP需要两次将触发报文透传给CP。由CP触发对用户的认证,形成会话后,下发给DP。然后,用户在DP上可访问授权范围内资源。
上述实现方式在第二次认证时具有以下不足点:
首先,在未完成对用户的认证情况下,用户的报文会持续的送给CP,由CP判断是否进行认证。对于传统认证方式,用户认证的时间跨度短。而对于无感知认证,用户两度认证的时间跨度长,在两度认证期间的用户报文统统透传给CP,显然增加了CP的负荷。尤其是大量此类用户同时上线的情况下,DP向CP透传大量的认证报文和非认证报文,会显著的增加CP的负担,导致效率低下。
其次,CP由于接收的是透传的报文,许多能够鉴别用户身份的有价值的信息无法传递给CP,带来安全隐患。比如用户的上线接口等。CP接收DP透传的用户的触发报文中,有价值的信息可能只有用户的MAC(二层接入)或IP(三层接入)。因此,CP在向MAC触发(TRIGGER)服务器查询用户的账户和密码时,能够提供的身份鉴别信息很少。在相当程度上,典型的无感知认证失去了采用用户名和密码认证的安全优势。
图3示出根据本公开一实施例的认证方法的流程图。如图3所示,该认证方法可以应用于VBRAS(Virtual Broadband Remote Access Server,虚拟宽带远程接入服务器)数据平面,该方法包括:
步骤301、在允许用户侧访问第一区域的情况下,数据平面判断是否满足第二区域对应的触发条件,第二区域的访问权限与第一区域不同。
步骤302、如果满足所述触发条件,则所述数据平面向控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。
在本公开中,对于是否允许用户访问第一区域的认证,可以在控制平面(CP)中进行。DP收到用户侧请求访问第一区域的触发报文时,将该触发报文透传给CP。CP收到触发报文后,进行是否允许用户访问第一区域的认证。在认证成功后,形成第一区域会话下发给DP。DP收到第一区域会话后,允许用户侧访问第一区域。
在允许用户侧访问第一区域的情况下,DP判断是否满足第二区域对应的触发条件。其中,判断是否满足第二区域对应的触发条件的方式可以有多种。
例如,如果从用户侧收到的报文中的端口号为设定协议的端口号,则判定为满足触发条件。其中,设定协议包括但不限于各种四层的协议。例如HTTP(Hyper Text TransferProtocol,超文本传输协议)、HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输协议安全套接字层)、UDP(User Datagram Protocol,用户数据报协议)、FTP(File Transfer Protocol,文件传输协议)、SSH(Secure Shell,安全外壳)等。在DP上可以通过设置访问控制列表(Access Control List,ACL)来控制端口号的匹配,能够对用户进行分类管理,有利于保证安全性。
再如,如果从用户侧收到的报文的流量达到设定阈值,如达到10M字节,则判定为满足触发条件。通过限定流量阈值可以防攻击,减少过低流量触发认证对系统的压力。此外,还可以防止过量访问。例如,新用户上线时,允许新用户访问一部分免费的资源,得到该用户访问的流量达到一定阈值后,则发起第二区域的认证,认证通过再允许该用户访问收费资源。
在一种可能的实现方式中,如图4所示,该方法还包括:
步骤400、在数据平面设置用户侧的第一访问权限和第二访问权限,所述第一访问权限为允许用户侧访问第一区域的权限,所述第二访问权限为允许用户侧访问第二区域的权限。
例如,在数据平面(DP)上可以采用QoS(Quality of Service,服务质量)方式预设用户侧的访问权限。例如,可以在DP上设置多个ACL,DP通过ACL控制用户侧的访问权限,不同的ACL对应的访问权限可以不同。
例如,第一区域对应的ACL包括允许用户侧免费访问的资源,第二区域对应的ACL包括允许用户侧付费后访问的资源。
在一种可能的实现方式中,如图4所示,该方法还包括:
步骤401、在允许用户侧访问第一区域的情况下,数据平面从所述用户侧获取用户身份信息。
步骤402、对所述用户身份信息进行认证。
在本公开中,步骤301、302,与步骤401、402没有时序限制。可以先执行步骤301、302,也可以先执行步骤401、402,或者并行。
在本公开中,DP可以向用户侧发起获取用户身份信息的流程。DP既可以自主的发起该流程,也可以在检测到允许用户侧访问第一区域时(例如,用户侧向DP发起某一请求访问第二区域的普通报文或触发报文)发起该流程。此外,如果DP收到用户侧请求访问第二区域的触发报文,则可以不直接将触发报文透传给CP。
在一种可能的实现方式中,数据平面从用户侧获取用户身份信息的过程可以包括:数据平面向用户侧(例如客户端插件)请求数字签名。数据平面接收来自用户侧的公钥。数据平面接收来自用户侧的采用私钥加密的用户身份信息。数据平面采用公钥对加密的信息进行解密,得到用户身份信息。
在一种可能的实现方式中,对所述用户身份信息进行认证,包括:
数据平面对所述用户身份信息与合法信息进行匹配,所述合法信息是预设的允许访问第二区域的各用户的身份信息;或者,
数据平面向控制平面发送所述用户身份信息,以使得所述控制平面对所述用户身份信息与所述合法信息进行匹配。
具体而言,可以预先设置判断用户身份信息是否合乎要求的判断准则(即合法信息),例如,保存一些允许访问第二区域的用户的身份信息。这些判断准则可以存储于DP上,也可存储与其他与DP相连的服务器上,也可由CP和相关服务器交互取得后直接下发到DP上去,也可以存储与CP上。
例如,DP可以从DHCP模块取得相关信息,以判断组网是否是二层组网,从而判断收到的用户身份信息中的MAC地址是否可信。
另外,MAC地址并不是判断用户是否可信的唯一准则。例如,可以从DHCP模块取得相关用户信息,也可从端口管理模块取得上送端口信息,也可从其他模块取得相关信息,一并判断分析。再如,上述的密钥加密解密过程,也是DP与客户端自行进行的交互,并以此作为用户的身份信息依据判断用户是否可信。
如果DP判断用户身份信息与合法信息不匹配,DP可以向CP发送匹配失败消息,并发送所述用户身份信息。然后,CP再向MAC触发服务器发送所述用户身份信息,由所述MAC触发服务器基于所述用户身份信息进行查找判断。
如果DP判断用户身份信息与合法信息匹配成功,DP可以向CP控制平面发送匹配成功消息。然后CP可以向MAC触发服务器请求用户名和密码。
在一种可能的实现方式中,如图4所示,该方法还包括:
步骤403、如果所述数据平面接收到所述控制平面回复的用于表示状态改变的刷新会话,则允许所述用户侧访问第二区域。
在一种可能的实现方式中,如图4所示,该方法还包括:
步骤404、如果所述数据平面接收到所述控制平面回复的用于表示状态未改变的更新失败结果,则允许所述用户侧访问第一区域。
具体而言,如果CP收到MAC触发服务器返回的查找成功的结果,CP更改自身的状态。例如,由允许访问第一区域的状态,修改为允许访问第二区域的状态。如果DP判断满足触发条件,则向CP发送会话刷新请求。CP收到会话刷新请求后,向DP返回第二区域会话,以刷新DP上的会话。
如果CP收到MAC触发服务器返回的查找失败的结果,CP保持自身的状态。例如,仍然为允许访问第一区域的状态。如果DP判断满足触发条件,则向CP发送会话刷新请求。CP收到会话刷新请求后,再向DP返回更新失败结果。
本实施例的认证方法,在转控分离模式下,将第二区域认证的触发判断的过程改由数据平面来执行,数据平面无需将触发报文透传给控制平面,减少从数据平面向控制平面透传的报文数量,降低控制平面的负担。并且CP可以提前进行第二区域的认证,在DP判断满足触发条件后,直接返回认证结果(例如查找到的用户名、密码等),从而提高认证效率,减少等待时间。进一步地,数据平面向控制平面发送用户身份信息,可以增加从数据平面向控制平面传递的有用的信息量,有利于增加认证过程的安全性。
图5示出根据本公开另一实施例的认证方法的流程图。如图5所示,该认证方法可以应用于控制平面,该方法包括:
步骤501、控制平面接收来自数据平面的会话刷新请求,所述会话刷新请求是数据平面在满足第二区域对应的触发条件的情况下发送的。
步骤502、控制平面确定是否允许用户侧访问第二区域。
在一种可能的实现方式中,如图6所示,该方法还包括:
步骤601、控制平面接收来自数据平面的用户身份信息,其中,所述用户身份信息是在允许用户侧访问第一区域的情况下所述数据平面从所述用户侧获取的;
步骤602、控制平面对所述用户身份信息进行认证。
在一种可能的实现方式中,步骤602包括:
所述控制平面对所述用户身份信息与合法信息进行匹配,如果匹配成功,则向MAC触发服务器请求与用户侧的MAC地址对应的用户名和密码,所述合法信息是预设的允许访问第二区域的各用户的身份信息。
在一种可能的实现方式中,步骤502包括:
所述控制平面向MAC触发服务器发送所述用户身份信息,由MAC触发服务器查找是否存在与所述用户身份信息对应的用户名和密码。
例如,如果CP从DP收到用户身份信息,CP可以根据预设的判断准则判断收到的用户身份信息是否合法。如果合法,则向MAC触发服务器发送MAC地址,在MAC触发服务器中查找对应的用户名和密码。此外,CP也可以将用户身份信息直接发送到MAC触发服务器中进行查找,查找时不止考虑MAC地址,还可以考虑端口号等其他信息,从而保证安全性。
此外,如果在DP上已经对用户身份信息进行了成功认证,则可以不用再向CP发送用户身份信息。
在一种可能的实现方式中,如图6所示,该方法还包括:
步骤603、在MAC触发服务器查找成功的情况下,所述控制平面更改用户会话的认证授权状态。
这种情况下,步骤502可以包括:步骤604、如果收到所述会话刷新请求,则所述控制平面向数据平面回复刷新会话,所述刷新会话用于允许所述用户访问第二区域的资源。
其中,当MAC触发服务器查找成功后,控制平面使用MAC触发服务器返回的用户名和密码进行3A认证。3A认证通过之后,在控制平面进行第二区域的授权,计费就绪。当控制平面收到来自数据平面的刷新请求,并由控制平面向数据平面下发会话成功之后,进行计费。
在一种可能的实现方式中,如图6所示,该方法还包括:
步骤605、在MAC触发服务器查找失败的情况下,所述控制平面保持用户会话的认证授权状态。
这种情况下,步骤502可以包括:步骤606、如果收到所述数据平面在满足触发条件下发送的会话刷新请求,则所述控制平面向数据平面回复更新失败结果,所述更新失败结果用于允许所述用户访问第一区域的资源。
本实施例的认证过程与上一实施例类似,可以参见上一实施例中的相关描述。
图7示出根据本公开另一实施例的认证方法的流程图。与图2相比,本公开对于无感知的两步认证过程,可将第二步认证的触发条件判断下放到DP上。因此,在第二步认证期间不需要将用户的触发报文透传给CP。CP只需要接收DP发送的相关的用户身份信息,向MACTRIGGER服务器查询。并且,完成认证后,CP直接下发结果给DP,从而解放CP的负担。此外,如果由DP对用户身份信息进行了认证,也可以不向CP发送用户身份信息。
如图7所示,以第一区域为具有普通访问权限的受控区域,第二区域为付费访问权限的准入区域为例,该认证方法的具体实现过程可以包括:
步骤701、对于受控区域的认证,可以采用与图2类似的流程,DP将来自用户侧的触发报文透传到CP。在CP侧形成首步认证会话(如图中的受控区域会话)并下发到DP。
步骤702、DP形成受控区域会话后,维护自身的认证状态机。即,DP被下发首步认证会话后,不再把从用户侧收到的报文透传给CP,而是自主的完成对该受控区域会话的用户侧的触发条件的判断(假定此时,用户侧完成首步上线动作,尚未触发二步认证)。DP判断满足触发条件时,直接向CP发送会话刷新请求。
步骤703、在CP侧,当形成首步认证会话后,根据DP送上来的相关的用户身份信息向MAC TRIGGER服务器查询(例如通过用户MAC查询用户的用户名和密码)。
例如,MAC TRIGGER服务器收到用户身份信息后,根据其中的用户MAC地址查询用户的用户名和密码。如查询成功,则CP直接将用户会话的认证授权状态更改为二步认证后的状态。但CP可以不向DP下发该CP的会话状态,并就绪计费功能。如查询不成功,则CP保持会话状态不变。
步骤704、DP侧的用户在其流量达到阈值后,或者有特殊报文触发满足无感知认证的触发条件后,DP直接向CP发送会话刷新请求。该刷新请求可以由接入模块通过openflow(开放流)协议封装的报文发送给CP。
步骤705、收到刷新请求的CP,立即根据自己的状态,向DP刷新会话。如CP上的会话在上述步骤703出现变更,则开启计费功能,并向DP下发会话结果。如CP在上的会话在上述步骤703未变化,则向DP回复更新失败的结果。
步骤706、DP如果收到CP下发的会话更新,则改变授权进入准入范围内的会话状态。如DP收到CP回复的更新失败的结果,则继续其原有流程。这种情况下,用户只能访问受控区域。如果用户希望进入准入区域,则只能通过手工输入用户名和密码的方式进行认证。如过通过,再进入准入区域。
图7与图2的无感知认证流程相比,具有以下优点:
首先,本公开将无感知认证的触发事件(DP)与无感知认证的认证行为(CP)分离。例如,在CP上取出用户侧的用户名和密码,而由DP判断用户侧是否满足触发条件,在满足触发条件的情况下DP向CP发送openflow协议报文请求刷新。因此,可以在控制平面提前将无感知认证的结果准备好,等到DP判断无感知触发条件成功后直接返回认证结果,提高了效率。尤其在应对短时间内大量用户同时企图无感知认证时的情况,大幅减小了CP的压力和负载。
其次,仅将用户的报文发送给CP用于触发无感知认证,因此CP能够得到的身份信息很少,只有例如IP地址和MAC地址(而这两者恰恰是可以由非法用户伪造的)。本公开中DP将用户在受控区域内的信息直接反馈给CP,而不是通过报文让CP自己提取。因此,IP地址和MAC地址不再成为CP向MAC TRIGGER服务器查询的唯一指标,还可以包括上线端口、上线时间等,甚至可以由用户与DP提前协商好的密钥进行综合决策。而这些都依赖于DP能够将这些用户身份信息传递给CP,而不仅仅是透传报文。
关于安全性的改进,可分为两个方面。
一、DP直接与客户端相连(二层接入),能够获取的信息量,比CP更多。除了IP地址和MAC地址,DP还能获取用户接入的端口、用户访问目标的地址、上线时间等用户身份信息。此类信息可以在用户进入受控区域后,直接由DP获取,并通过DP反馈给CP,由CP提取特征后向MAC TRIGGER服务器查询。
此类信息可以通过DP与CP之间以TLV的方式封装成报文,以便CP从TLV方式的报文中进行获取。报文形式的示例如下表所示:
表1无感知用户身份信息
二、DP与客户端之间可以存在无感知认证的私有实现,具体过程如下:
1)用户(客户端)首次接入时,被HTTP重定向。用户向DP发送触发报文(流量触发)(S801)。如果DP通过CP向MAC触发服务器查询失败,向客户端推送登陆界面,提供浏览器插件的下载(S802)。在客户端输入用户名密码、登陆成功后(S803)。MAC触发服务器记录用户的MAC地址。然后,如果用户下线,则恢复用户的未认证初始状态(S804)。
2)用户向DP发送流量,DP根据收到的流量触发(S805)进入请求签名流程,如图8所示。例如,DP收到用户在受控区域发送的第一条报文,即可触发请求签名流程。当然,也可以通过收到用户在受控区域发送的报文的流量达到设定阈值再触发请求签名流程。流量触发仅是一种示例,也可以有别的触发方式。例如,通过HTTP协议报文触发等。
3)DP向客户端插件请求数字签名(S806)。客户端插件发送公钥给DP(S807)。DP确认收到公钥(S808)。然后客户端采用私钥加密MAC地址并发送给DP(S809)。DP收到后,采用公钥解密(S810)。与允许访问准入区域的各用户的MAC地址(也可以是别的类型的信息,例如端口号、IP地址等)进行匹配。如匹配,则向CP发送匹配成功的消息。如不匹配,则向CP发送普通无感知认证所用的用户身份信息(例如MAC地址、IP地址、端口位置、上线时间、访问目标等)。如果请求数字签名失败,表明用户可能尚未安装用于非对称加密的插件。因此可以返回步骤S802,执行重定向动作,向用户推送非对称加密插件。
4)CP如收到匹配成功的结果,则直接向MAC TRIGGER服务器请求用户名、密码。
5)CP如收到匹配失败的结果,则向MAC TRIGGER传递由DP送上来的(MAC地址、IP地址、端口位置、上线时间、访问目标等)用户身份信息。由MAC TRIGGER服务器判断,用户身份信息是否查询成功,并向CP返回结果。
其中,客户的签名为使用私钥对MAC地址进行加密的密文。该密文对于获取公钥的DP可以将密文解析成MAC地址,从而确认客户的身份。非法用户可以获取公钥,但是无法获取客户的私钥,从而无法伪造客户的签名,进而解决了鉴别用户是否为真正合法用户的问题。
此外,请求签名的过程可以DP和DP向客户端提供的插件之间进行。这个过程对用户来说是无感知的,因此,用户仍然能够达到无感知上线的目的。
本公开在转控分离模式下,无感知认证过程中,能够阻断透传报文上送CP,即DP保留一定的计算和用户会话控制功能,并不再完全被动接收CP的控制,从而降低CP的压力负载。
本公开在转控分离模式下,无感知认证过程中,DP能够和客户端进行简要的通信,从而直接达到鉴别用户身份的目的,或者向CP传递更多的用户信息,交由CP判断用户可信度。
因此,本公开提高了转控分离模式下用户无感知认证的效率,从DP上减少向CP透传的报文数量,降低CP的负担。并且,增加了从DP传递到CP的额外的有效信息量,增加无感知认证的安全性。
图9示出根据本公开一实施例的认证装置的结构框图。如图9所示,该认证装置应用于VBRAS的数据平面,该装置包括:
判断模块81,用于在允许用户侧访问第一区域的情况下,判断是否满足第二区域对应的触发条件,所述第二区域的访问权限与所述第一区域不同;
发送模块83,用于如果满足所述触发条件,则向所述控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。
在一种可能的实现方式中,如图10所示,所述装置还包括:
获取模块85,用于在允许用户侧访问第一区域的情况下,从所述用户侧获取用户身份信息;
认证模块87,用于对所述用户身份信息进行认证。
在一种可能的实现方式中,所述获取模块85还用于:向用户侧请求数字签名;接收来自用户侧的公钥;接收来自用户侧的采用私钥加密的用户身份信息;采用所述公钥对加密的信息进行解密,得到所述用户身份信息。
在一种可能的实现方式中,所述认证模块87还用于:
对所述用户身份信息与合法信息进行匹配,所述合法信息是预设的允许访问第二区域的各用户的身份信息;或者,
向控制平面发送所述用户身份信息,以使得所述控制平面对所述用户身份信息与所述合法信息进行匹配。
在一种可能的实现方式中,所述判断模块81还用于:
如果从用户侧收到的报文中的端口号为设定协议的端口号,则所述数据平面判定为满足所述触发条件;或者,
如果从用户侧收到的报文的流量达到设定阈值,则所述数据平面判定为满足所述触发条件。
在一种可能的实现方式中,所述发送模块83还用于:
如果所述数据平面接收到所述控制平面回复的用于表示状态改变的刷新会话,则允许所述用户侧访问第二区域;或者,
如果所述数据平面接收到所述控制平面回复的用于表示状态未改变的更新失败结果,则允许所述用户侧访问第一区域。
在一种可能的实现方式中,如图10所示,所述装置还包括:
设置模块89,用于在所述数据平面设置用户侧的第一访问权限和第二访问权限,所述第一访问权限为允许用户侧访问第一区域的权限,所述第二访问权限为允许用户侧访问第二区域的权限。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图11示出根据本公开另一实施例的认证装置的结构框图。参照图11,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与认证逻辑对应的机器可执行指令以执行上文所述的认证方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (16)
1.一种认证方法,其特征在于,应用于虚拟宽带远程接入服务器VBRAS,所述方法包括:
在允许用户侧访问第一区域的情况下,数据平面判断是否满足第二区域对应的触发条件,所述第二区域的访问权限与所述第一区域不同;
如果满足所述触发条件,则所述数据平面向控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。
2.根据权利要求1所述的方法,其特征在于,还包括:
在允许用户侧访问第一区域的情况下,所述数据平面从所述用户侧获取用户身份信息;
对所述用户身份信息进行认证。
3.根据权利要求2所述的方法,其特征在于,数据平面从所述用户侧获取用户身份信息,包括:
所述数据平面向用户侧请求数字签名;
所述数据平面接收来自用户侧的公钥;
所述数据平面接收来自用户侧的采用私钥加密的用户身份信息;
所述数据平面采用所述公钥对加密的信息进行解密,得到所述用户身份信息。
4.根据权利要求2所述的方法,其特征在于,对所述用户身份信息进行认证,包括:
数据平面对所述用户身份信息与合法信息进行匹配,所述合法信息是预设的允许访问第二区域的各用户的身份信息;或者,
数据平面向控制平面发送所述用户身份信息,以使得所述控制平面对所述用户身份信息与所述合法信息进行匹配。
5.根据权利要求4所述的方法,其特征在于,所述数据平面判断是否满足第二区域对应的触发条件,包括:
如果从用户侧收到的报文中的端口号为设定协议的端口号,则所述数据平面判定为满足所述触发条件;或者,
如果从用户侧收到的报文的流量达到设定阈值,则所述数据平面判定为满足所述触发条件。
6.根据权利要求4或5所述的方法,其特征在于,所述数据平面向所述控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域,包括:
如果所述数据平面接收到所述控制平面回复的用于表示状态改变的刷新会话,则允许所述用户侧访问第二区域;或者,
如果所述数据平面接收到所述控制平面回复的用于表示状态未改变的更新失败结果,则允许所述用户侧访问第一区域。
7.根据权利要求1至5中任一项所述的方法,其特征在于,还包括:
在所述数据平面设置用户侧的第一访问权限和第二访问权限,所述第一访问权限为允许用户侧访问第一区域的权限,所述第二访问权限为允许用户侧访问第二区域的权限。
8.根据权利要求6所述的方法,其特征在于,还包括:
在所述数据平面设置用户侧的第一访问权限和第二访问权限,所述第一访问权限为允许用户侧访问第一区域的权限,所述第二访问权限为允许用户侧访问第二区域的权限。
9.一种认证装置,其特征在于,应用于VBRAS的数据平面,所述装置包括:
判断模块,用于在允许用户侧访问第一区域的情况下,判断是否满足第二区域对应的触发条件,所述第二区域的访问权限与所述第一区域不同;
发送模块,用于如果满足所述触发条件,则向控制平面发送会话刷新请求,以确定是否允许用户侧访问第二区域。
10.根据权利要求9所述的装置,其特征在于,还包括:
获取模块,用于在允许用户侧访问第一区域的情况下,从所述用户侧获取用户身份信息;
认证模块,用于对所述用户身份信息进行认证。
11.根据权利要求10所述的装置,其特征在于,所述获取模块还用于:
向用户侧请求数字签名;
接收来自用户侧的公钥;
接收来自用户侧的采用私钥加密的用户身份信息;
采用所述公钥对加密的信息进行解密,得到所述用户身份信息。
12.根据权利要求10所述的装置,其特征在于,所述认证模块还用于:
对所述用户身份信息与合法信息进行匹配,所述合法信息是预设的允许访问第二区域的各用户的身份信息;或者,
向控制平面发送所述用户身份信息,以使得所述控制平面对所述用户身份信息与所述合法信息进行匹配。
13.根据权利要求12所述的装置,其特征在于,所述判断模块还用于:
如果从用户侧收到的报文中的端口号为设定协议的端口号,则所述数据平面判定为满足所述触发条件;或者,
如果从用户侧收到的报文的流量达到设定阈值,则所述数据平面判定为满足所述触发条件。
14.根据权利要求12或13所述的装置,其特征在于,所述发送模块还用于:
如果所述数据平面接收到所述控制平面回复的用于表示状态改变的刷新会话,则允许所述用户侧访问第二区域;或者,
如果所述数据平面接收到所述控制平面回复的用于表示状态未改变的更新失败结果,则允许所述用户侧访问第一区域。
15.根据权利要求10至13中任一项所述的装置,其特征在于,还包括:
设置模块,用于在所述数据平面设置用户侧的第一访问权限和第二访问权限,所述第一访问权限为允许用户侧访问第一区域的权限,所述第二访问权限为允许用户侧访问第二区域的权限。
16.根据权利要求14所述的装置,其特征在于,还包括:
设置模块,用于在所述数据平面设置用户侧的第一访问权限和第二访问权限,所述第一访问权限为允许用户侧访问第一区域的权限,所述第二访问权限为允许用户侧访问第二区域的权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710910490.2A CN107547568B (zh) | 2017-09-29 | 2017-09-29 | 认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710910490.2A CN107547568B (zh) | 2017-09-29 | 2017-09-29 | 认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547568A CN107547568A (zh) | 2018-01-05 |
| CN107547568B true CN107547568B (zh) | 2020-07-07 |
Family
ID=60964907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710910490.2A Active CN107547568B (zh) | 2017-09-29 | 2017-09-29 | 认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547568B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113329454B (zh) * | 2020-02-29 | 2023-01-06 | 华为技术有限公司 | 发布路由的方法、网元、系统及设备 |
| CN116760610B (zh) * | 2023-06-30 | 2024-05-07 | 中国科学院空天信息创新研究院 | 网络受限条件下的用户跨域认证系统、方法、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103874069A (zh) * | 2014-03-24 | 2014-06-18 | 杭州华三通信技术有限公司 | 一种无线终端mac认证装置和方法 |
| CN104702607A (zh) * | 2015-03-12 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种软件定义网络的接入认证方法、装置和系统 |
| JP2016149719A (ja) * | 2015-02-13 | 2016-08-18 | 日本電信電話株式会社 | トラヒック振り分けシステム、トラヒック振り分け方法及びトラヒック振り分けプログラム |
| CN106685847A (zh) * | 2015-11-06 | 2017-05-17 | 华为技术有限公司 | 一种报文处理方法、装置及设备 |
| CN106850517A (zh) * | 2015-12-04 | 2017-06-13 | 北京京东尚科信息技术有限公司 | 一种解决内外网重复登录的方法、装置及系统 |
-
2017
- 2017-09-29 CN CN201710910490.2A patent/CN107547568B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103874069A (zh) * | 2014-03-24 | 2014-06-18 | 杭州华三通信技术有限公司 | 一种无线终端mac认证装置和方法 |
| JP2016149719A (ja) * | 2015-02-13 | 2016-08-18 | 日本電信電話株式会社 | トラヒック振り分けシステム、トラヒック振り分け方法及びトラヒック振り分けプログラム |
| CN104702607A (zh) * | 2015-03-12 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种软件定义网络的接入认证方法、装置和系统 |
| CN106685847A (zh) * | 2015-11-06 | 2017-05-17 | 华为技术有限公司 | 一种报文处理方法、装置及设备 |
| CN106850517A (zh) * | 2015-12-04 | 2017-06-13 | 北京京东尚科信息技术有限公司 | 一种解决内外网重复登录的方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547568A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| USRE45532E1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| TWI330482B (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| US7093127B2 (en) | System and method for computer storage security | |
| US7197568B2 (en) | Secure cache of web session information using web browser cookies | |
| US7774611B2 (en) | Enforcing file authorization access | |
| US6971005B1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| US11233790B2 (en) | Network-based NT LAN manager (NTLM) relay attack detection and prevention | |
| WO2016180202A1 (zh) | 一种安全通讯的方法和装置 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| KR20070078051A (ko) | Imx 세션 제어 및 인증 | |
| US7231518B1 (en) | System and method for authenticating a storage device for use with driver software in a storage network | |
| TW200810465A (en) | Mutual authentication between two parties using two consecutive one-time passwords | |
| CN101536438A (zh) | 使用授权令牌分离认证和授权服务的系统 | |
| CN101779413A (zh) | 用于通信的方法和设备以及用于控制通信的方法和设备 | |
| WO2016078419A1 (zh) | 一种开放授权方法、装置及开放平台 | |
| CN110771124B (zh) | 对本地网络上的数据存储系统的访问的基于云的管理 | |
| KR20210095093A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN101873216B (zh) | 主机认证方法、数据包发送方法和接收方法 | |
| CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
| KR102278808B1 (ko) | Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법 | |
| CN107547568B (zh) | 认证方法和装置 | |
| CN114499999B (zh) | 身份认证方法、装置、平台、车辆、设备及介质 | |
| CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN109561428B (zh) | 远程鉴权方法及其装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230602 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |