CN107707435B - 一种报文处理方法和装置 - Google Patents
一种报文处理方法和装置 Download PDFInfo
- Publication number
- CN107707435B CN107707435B CN201710828888.1A CN201710828888A CN107707435B CN 107707435 B CN107707435 B CN 107707435B CN 201710828888 A CN201710828888 A CN 201710828888A CN 107707435 B CN107707435 B CN 107707435B
- Authority
- CN
- China
- Prior art keywords
- authentication
- access information
- dhcp
- mac address
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2876—Handling of subscriber policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文处理方法和装置。该方法应用于宽带远程接入服务器BRAS,所述方法包括:接收第一动态主机配置协议DHCP请求报文,所述第一DHCP请求报文包括第一MAC地址和所述第一MAC地址对应的第一认证接入信息;当所述第一MAC地址已记录在所述BRAS的DHCP允许表中时,判断所述第一认证接入信息是否与所述DHCP允许表中记录的所述第一MAC地址对应的认证接入信息匹配;如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配,则丢弃所述第一DHCP请求报文。通过BRAS预先对认证请求进行过滤,终止仿冒请求流入认证服务器,以节约网络设备和服务器资源。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种报文处理方法和装置。
背景技术
基于以太网的互联网协议(英文:IP over Ethernet,简称:IPoE)认证是基于用户上网的物理位置对用户进行认证和计费的一种接入认证方式,包括基本的动态主机配置协议(Dynamic Host Configuration Protocol,简称:DHCP)功能。
如图1所示,为一种典型的IPoE认证的接入组网,基于上述接入组网,用户接入互联网的过程为:用户通过终端发起DHCP请求报文,该DHCP请求报文经过数字用户线路接入复用器(英文:Digital Subscriber Line Access Multiplexer,简称:DSLAM)添加终端所在的物理线路位置信息后,发送到交换机(英文:Link Switch,简称:LSW),再经交换机发送到宽带远程接入服务器(英文:Broadband Remote Access Server,简称:BRAS)。由BRAS将DHCP请求报文分流到认证服务器进行IPoE认证,通过认证服务器控制用户只能利用固定位置的终端登录账号连接网络。例如,用户只能在自己的家里接入网络,在其他地方无法接入,这样可以防止其他人盗用用户的账号后,通过其他位置的终端接入网络。
然而现在的问题是,当合法用户未通过终端1连接在线时,如果出现非法用户通过终端2仿冒终端1的媒体介入控制层(英文:Media Access Control,简称:MAC)地址进行拨号上网。BRAS收到终端2发送的包括仿冒MAC的DHCP请求报文后,仍会触发IPoE认证流程,即BRAS发送认证请求报文到认证服务器进行认证。认证服务器通过合法用户的账号和合法用户终端的位置绑定信息来拒绝该认证,使得该非法用户无法获取地址上线,但是由于非法用户终端2持续获取不到IP地址,因此,终端2会反复向BRAS发送DHCP请求报文,而BRAS也会向认证服务器反复发送认证请求报文,导致IPoE认证流程会反复触发,对网络设备和认证服务器资源都是一种消耗和浪费。
发明内容
本申请提供了一种报文处理方法和装置,以解决现有技术中仿冒MAC认证的拒绝流程反复出发,对网络设备和认证服务器资源造成浪费的问题。
根据本申请的一个方面,提供了一种报文处理方法,该方法应用于宽带远程接入服务器BRAS,所述方法包括:
接收第一动态主机配置协议DHCP请求报文,所述第一DHCP请求报文包括第一MAC地址和所述第一MAC地址对应的第一认证接入信息;
当所述第一MAC地址已记录在所述BRAS的DHCP允许表中时,判断所述第一认证接入信息是否与所述DHCP允许表中记录的所述第一MAC地址对应的认证接入信息匹配;
如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配,则丢弃所述第一DHCP请求报文。
在一种可能的实现方式中,所述认证接入信息包括:用户接入信息、所述BRAS接收DHCP请求报文的入口信息以及发送DHCP请求报文的终端接入的虚拟局域网VLAN标识;
所述判断所述第一认证接入信息是否与所述DHCP允许表中记录的认证接入信息匹配,具体包括:
比较所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识是否分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识中存在任一信息未对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配。
在一种可能的实现方式中,所述方法还包括:
当所述第一MAC地址未记录在所述DHCP允许表中时,向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息;
或者,所述方法还包括:
如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配,则向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
在一种可能的实现方式中,所述接收第一动态主机配置协议DHCP请求报文之前,所述方法还包括:
接收第二DHCP请求报文,所述第二DHCP请求报文包括第二MAC地址;
向认证服务器发送第二认证请求报文,所述第二认证请求报文包括所述第二MAC地址;
接收所述认证服务器在确定所述第二MAC地址已记录在所述认证服务器的认证信息表时返回的认证应答报文,所述认证应答报文包括所述认证信息表中记录的所述第二MAC地址和所述第二MAC地址对应的认证接入信息;
根据所述认证应答报文中的所述第二MAC地址和所述第二MAC地址对应的认证接入信息,建立所述DHCP允许表。
在一种可能的实现方式中,所述DHCP允许表还包括与所述DHCP表中记录的MAC地址对应的表项老化时间,所述方法还包括:
当在所述表项老化时间内未接收到包括所述MAC地址的DHCP请求报文时,将所述表项老化时间表征的所述DHCP允许表中记录的MAC地址以及与所述MAC地址对应的认证接入信息从所述DHCP允许表中移除。
根据本申请的另一个方面,提供了一种报文处理装置,该装置应用于宽带远程接入服务器BRAS,所述装置包括:
接收单元,用于接收第一动态主机配置协议DHCP请求报文,所述第一DHCP请求报文包括第一MAC地址和所述第一MAC地址对应的第一认证接入信息;
判断单元,用于当所述第一MAC地址已记录在DHCP允许表中时,判断所述第一认证接入信息是否与所述DHCP允许表中记录的所述第一MAC地址对应的认证接入信息匹配;
处理单元,用于在所述判断单元判断出所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配时,丢弃所述第一DHCP请求报文。
在一种可能的实现方式中,所述认证接入信息包括:用户接入信息、所述BRAS接收DHCP请求报文的入口信息以及发送DHCP请求报文的终端接入的虚拟局域网VLAN标识;
所述判断单元具体用于:
比较所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识是否分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识中存在任一信息未对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配。
在一种可能的实现方式中,所述装置还包括:
发送单元,所述发送单元用于:
当所述第一MAC地址未记录在所述DHCP允许表中时,向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息;
或者,如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配时,则向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
在一种可能的实现方式中,所述接收单元,还用于接收第二DHCP请求报文,所述第二DHCP请求报文包括第二MAC地址;
所述发送单元,还用于向认证服务器发送第二认证请求报文,所述第二认证请求报文包括所述第二MAC地址;
所述接收单元,还用于接收所述认证服务器在确定所述第二MAC地址已记录在所述认证服务器的认证信息表时返回的认证应答报文,所述认证应答报文包括所述认证信息表中记录的所述第二MAC地址和所述第二MAC地址对应的认证接入信息;
所述装置还包括:
建立单元,用于根据所述认证应答报文中的所述第二MAC地址和所述第二MAC地址对应的认证接入信息,建立所述DHCP允许表。
在一种可能的实现方式中,所述DHCP允许表还包括与所述DHCP表中记录的MAC地址对应的表项老化时间,所述装置还包括:
删除单元,用于当在所述表项老化时间内未接收到包括所述MAC地址的DHCP请求报文时,将所述表项老化时间表征的所述DHCP允许表中记录的MAC地址以及与所述MAC地址对应的认证接入信息从所述DHCP允许表中移除。
根据本申请的再一个方面,提供了一种报文处理装置,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
根据本申请的又一个方面,提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现如上任一所述的方法步骤。
本申请的有益效果是:通过利用BRAS中存储的动态主机配置协议(英文:DynamicHost Configuration Protocol,简称:DHCP)允许表,对接收到的DHCP请求报文进行MAC地址和认证接入信息的匹配,若MAC地址匹配成功但认证接入信息匹配不成功则丢弃该DHCP请求报文,从而可以避免非法终端的DHCP请求报文反复触发IPoE认证流程,节约网络设备和认证服务器资源。
附图说明
图1一种典型IPOE认证的接入组网结构示意图;
图2为本申请实施例提供的报文处理方法流程示意图;
图3为本申请实施例提供的报文处理方法中BRAS的防攻击处理过程示意图;
图4为本申请实施例提供的报文处理装置的结构示意图;
图5为本申请实施例提供的报文处理装置硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请实施例。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响用于确定”。
本申请实施例技术构思是,利用BRAS上存储的DHCP允许表中存储的对应于合法(正常)用户终端的第二MAC地址和第二认证接入信息,对接收到的DHCP请求报文进行MAC地址和认证接入信息的匹配。若匹配不成功则丢弃该DHCP请求报文,从而,通过非法(仿冒)用户终端发送的包括MAC地址的DHCP请求报文不会再转发到认证服务器触发IPoE认证流程,避免了仿冒用户的DHCP请求报文反复触发IPoE认证流程,节约了网络设备和认证服务器资源。
其中,本申请实施例中的BRAS是一种面向宽带网络应用的接入网关,是宽带接入网和骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功能。
IPoE(IP over Ethernet)是一种常见的宽带接入方式,基于用户的物理位置对用户进行认证和计费,可采用DHCP请求报文的方式,借助DHCP请求报文中扩展字段(OPTION字段)的信息进行认证。
图2为本申请实施例提供的报文处理方法流程示意图,如图2所示,本申请实施例提供的报文处理方法应用于BRAS,该方法具体包括下述步骤。
步骤S110:BRAS接收第一动态主机配置协议DHCP请求报文,其中,第一DHCP请求报文包括第一MAC地址和第一MAC地址对应的第一认证接入信息。
具体地,用户希望进行上网操作,终端接收到用户输入的上网指令后,发起获取IP地址流程。终端向DSLAM发送DHCP请求报文,该DHCP请求报文携带终端的MAC地址、该DHCP请求报文的流入BRAS接口的入口信息、终端接入的虚拟局域网(英文:Virtual Local AreaNetwork,简称:VLAN)标识。DSLAM接收到DHCP请求报文后,根据终端的MAC地址将该终端的用户接入信息携带在DHCP请求报文中,生成第一DHCP请求报文。
DSLAM通过LSW向BRAS发送第一DHCP请求报文。其中,第一DHCP请求报文包括第一MAC地址和与第一MAC地址对应的第一认证接入信息。
可以理解的是,第一MAC地址为源MAC地址,该源MAC地址为用户终端的MAC地址。DHCP请求报文的入口信息、终端接入VLAN的标识和用户接入信息构成第一认证接入信息。第一认证接入信息与终端的MAC地址对应。
步骤S120:当第一MAC地址已记录在BRAS的DHCP允许表中时,BRAS判断第一认证接入信息是否与DHCP允许表中记录的第一MAC地址对应的认证接入信息匹配。
具体地,BRAS接收到第一DHCP请求报文后,从中获取第一MAC地址和第一MAC地址对应的第一认证接入信息。
在本申请实施例中,BRAS中已存储了一个DHCP允许表,在该表中存储了至少一个终端(该终端为合法用户的终端)的MAC地址和与该MAC地址对应的认证接入信息。
BRAS首先判断第一MAC地址是否已经记录在DHCP允许表中,也即是判断第一MAC地址是否与DHCP允许表中的MAC地址匹配。
可以理解的是,如果在DHCP允许表中已记录了第一MAC地址,则BRAS可确定该第一MAC地址所表征的终端在先已触发过IPoE流程,即该终端在先已请求过IP地址,并通过该IP地址访问网络。
如果第一MAC地址与DHCP允许表中某个MAC地址相同,则BRAS确定第一MAC地址已经记录在DHCP允许表,并判断第一认证接入信息是否与DHCP允许表中记录的第一MAC地址对应的认证接入信息匹配。
步骤S130:如果第一认证接入信息与DHCP允许表中记录的认证接入信息不匹配,则BRAS丢弃所述第一DHCP请求报文。
具体地,根据步骤S120的判断,如果第一认证接入信息与DHCP允许表中记录的认证接入信息不匹配,则BRAS可确定该第一DHCP请求报文不是由合法终端发出的,而是由非法终端盗用了合法终端的源MAC地址而发出的。因此,BRAS在确定出该第一DHCP请求报文为非法终端发出后,将该第一DHCP报文丢弃,使其不再被发送到认证服务器进行IPoE认证,从而解决了非法终端反复发起的IPoE认证流程对BRAS和认证服务器进行攻击的问题,节约了BRAS和认证服务器的网络资源。
其中,本申请实施例中的DHCP允许表也可称之为防攻击表。因此,通过应用本申请实施例提供的报文处理方法,通过利用BRAS中存储的DHCP允许表,BRAS对接收到的DHCP请求报文进行MAC地址和认证接入信息的匹配,若MAC地址匹配成功但认证接入信息匹配不成功则BRAS丢弃该DHCP请求报文,从而可以避免非法终端发送的DHCP请求报文反复触发认证的流程,节约网络设备和认证服务器资源。
可选地,在本申请实施例中,作为示例而非限定,前述所涉及的认证接入信息包括:用户接入信息、BRAS接收DHCP请求报文的入口信息以及发送DHCP请求报文的终端接入的虚拟局域网VLAN标识。
步骤S120中BRAS判断第一认证接入信息是否与DHCP允许表中记录的第一MAC地址对应的认证接入信息匹配,具体包括:
BRAS比较第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识是否分别与DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同。
如果第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识分别与DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同,则BRAS判断第一认证接入信息与DHCP允许表中记录的认证接入信息匹配。
如果第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识与DHCP允许表中记录的认证接入信息包括的用户接入信息、入口信息以及VLAN标识中存在任一信息未对应相同,也即是存在一个信息未对应相同,则BRAS判断第一认证接入信息与DHCP允许表中记录的认证接入信息不匹配。
如图1所示,其中,前述涉及的用户接入信息,是连接终端的网络设备封装在DHCP请求报文中的,如,网络设备可以是DSLAM。
在一个例子中,用户接入信息为DSLAM添加的标识终端位置的信息。在实际应用中,通过上述用户接入信息,可以区分属于同一个VLAN且连接至BRAS同一个接口的两个终端发送的请求报文,从而精确实现合法用户和非法用户的区分,以进行攻击防御。
当然,除此之外,其他能够用于帮助判断该DHCP请求报文发送终端是否为合法用户终端的信息,都可以作为认证接入信息添加到匹配过程中,这里不再一一列举。
可选地,在本申请实施例中,上述方法还包括:
当第一MAC地址未记录在DHCP允许表中时,BRAS向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
也就是说,BRAS在DHCP允许表中未找到与第一MAC地址相同的MAC地址时,BRAS确定该第一MAC地址所表征的终端为一个准备接入网络的新终端。BRAS向认证服务器发送第一认证请求报文,由认证服务器启动IPoE认证流程。
或者,上述方法还包括:如果第一认证接入信息与DHCP允许表中记录的认证接入信息匹配,则BRAS向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
也就是说,BRAS在DHCP允许表中已找到与第一MAC地址相同的MAC地址时,BRAS确定该第一MAC地址所表征的终端为在先已接入过网络的终端,且对应第一MAC地址的第一认证接入信息与BRAS在先保存的认证接入信息相同,即可确定该终端确为合法用户登录使用的终端。由于MAC地址和认证接入信息匹配成功,BRAS向认证服务器发送第一认证请求报文,由认证服务器启动IPoE认证流程。
可选地,在本申请实施例中,在步骤S110接收第一DHCP请求报文之前,上述方法还包括建立DHCP允许表的过程。通过该过程,可使BRAS建立所述DHCP允许表,从而在后续执行过程中,根据已建立的DHCP允许表,对接收到的DHCP请求报文进行筛选过滤,从而避免非法终端发送的DHCP请求报文反复触发认证的流程,节约网络设备和认证服务器资源。
具体地,在一个例子中,BRAS接收第二DHCP请求报文。可以理解的是,该第二DHCP请求报文的发送过程与第一DHCP请求报文的发送过程相同,在此不再复述。其中,第二DHCP请求报文包括第二MAC地址和第二MAC地址对应的第二认证接入信息。
BRAS从第二DHCP请求报文中获取第二MAC地址和第二MAC地址对应的第二认证接入信息,并向认证服务器发送第二认证请求报文,该第二认证请求报文包括第二MAC地址和第二认证接入信息。可以理解的,认证服务器接收BRAS发送的第二认证请求报文,根据第二认证请求报文中的第二MAC地址和第二MAC地址对应的第二认证接入信息,对第二DHCP请求报文进行认证,将认证结果通过认证应答报文返回给BRAS,此为常规的IPoE认证流程,在此不再赘述。
本例子中,认证服务器接收到第二认证请求报文,并从中获取第二MAC地址和第二认证接入信息后,先判断第二MAC地址是否已记录在自身的认证信息表中,也即是判断第二MAC地址是否与认证信息表中的MAC地址匹配,认证服务器的认证信息表中,即存储着合法用户连接网络所用终端的MAC地址以及这些合法终端MAC地址对应的认证接入信息。
如果认证服务器确定第二MAC地址已记录在认证信息表,则在返回给BRAS的认证应答报文中携带认证信息表中记录的第二MAC地址和第二MAC地址对应的认证接入信息,即认证应答报文包括认证信息表中记录的第二MAC地址和认证信息表中记录的第二MAC地址对应的认证接入信息。
BRAS接收认证服务器返回的认证应答报文,根据认证应答报文中的第二MAC地址和第二MAC地址对应的认证接入信息,建立DHCP允许表。
在另一个例子中,BRAS接收第二DHCP请求报文并从第二DHCP请求报文中获取第二MAC地址和第二MAC地址对应的第二认证接入信息,并向认证服务器发送第二MAC地址和第二认证接入信息。
认证服务器接收到第二MAC地址和第二认证接入信息后,先判断第二MAC地址是否已记录在自身的认证信息表中,也即是判断第二MAC地址是否与认证信息表中的MAC地址匹配。
如果认证服务器确定第二MAC地址未记录在认证信息表中,或者认证信息表中仅记录第二MAC地址,而没有记录第二MAC地址的认证接入信息(即第二MAC地址在黑名单列表中),也即该第二MAC地址对应的终端本身就不是合法用户的终端,则认证服务器在返回给BRAS的认证应答报文中携带该第二MAC地址以及预设的固定信息。
BRAS接收认证服务器返回的认证应答报文,若认证应答报文中携带的是第二MAC地址和预设的固定信息,则可知该第二MAC地址为非法地址,BRAS根据该认证应答报文的第二MAC地址建立MAC地址黑名单,或者根据该认证应答报文的第二MAC地址和预设的固定信息,建立DHCP允许表,其中,预设的固定信息是无法与MAC地址对应的认证接入信息匹配成功的信息,从而使DHCP允许表起到黑名单的作用,拦截非法报文。
可选地,在本申请实施例中,前述涉及的DHCP允许表还包括与DHCP表中记录的MAC地址对应的表项老化时间,上述方法还包括:
当在所述表项老化时间内未接收到包括所述MAC地址的DHCP请求报文时,BRAS将表项老化时间表征的DHCP允许表中记录的MAC地址以及与MAC地址对应的认证接入信息从DHCP允许表中移除。
将该MAC地址以及对应的认证接入信息从DHCP允许表中移除,可以是将该MAC地址以及对应的认证接入信息从DHCP允许表中删除。
通过设置表项老化时间,BRAS可以在不需要对某一MAC地址进行匹配时,释放BRAS处理该MAC地址所需的网络资源,实现资源的节约利用。
基于图1所示的组网,描述本申请实施例中报文处理方法的过程。
在一个例子中,合法终端1的MAC地址为mac1,终端1接入VLAN的标识为vlan1,终端1通过交换机接入BRAS的接口为port1,数字用户线路接入复用器1根据mac1添加的用户接入信息为accessinfo1,认证服务器上已配置了认证信息表,在表中存储了该mac1和认证接入信息之间的对应关系,认证信息表限制该合法终端1只能从指定接口、指定vlan、指定位置接入才能认证通过。
下面具体对BRAS如何建立DHCP允许表的过程进行详细描述。
具体地,结合前述例子,终端1接收到用户输入的上网指令后,生成DHCP请求报文。终端1向数字用户线路接入复用器1发送DHCP请求报文。
可以理解的是,该DHCP请求报文中携带mac1、port1以及vlan1。
数字用户线路接入复用器1接收到该DHCP请求报文后,根据mac1将终端1的accessinfo1携带在认证接入信息1中,并生成DHCP请求报文。从而,生成的DHCP请求报文包括mac1和与mac1对应的认证接入信息1,认证接入信息1中包括port1、vlan1以及accessinfo1。
数字用户线路接入复用器1向交换机转发DHCP请求报文。交换机接收到DHCP请求报文后,从中获取vlan1标识,并在vlan1内向BRAS广播发送DHCP报文请求。BRAS收到DHCP请求报文后,其内部的接入模块提取DHCP请求报文中的mac1和认证接入信息1包括的port1、vlan1以及accessinfo1。接入模块将提取到的accessinfo1、vlan1以及port1传输至BRAS内部的认证模块,该认证模块再根据已配置的拼接规则将mac1、port1、vlan1以及accessinfo1进行拼接处理,生成认证请求报文,并将认证请求报文发送给认证服务器进行认证。认证服务器接收到认证请求报文后,从中获取mac1、port1、vlan1以及accessinfo1。认证服务器首先判断mac1是否已记录在认证信息表中。
在一种情况中,如果mac1已记录在认证信息表,且认证信息表中已记录mac1对应的认证接入信息,则此时,认证服务器可以不再进行认证接入信息的匹配(也即是,不再对port1、vlan1以及accessinfo1与认证信息表中记录的mac1对应的认证接入信息所包括的port、vlan以及accessinfo进行认证匹配)。认证服务器根据mac1从认证信息表中获取对应的认证接入信息(例如,可以是port1、vlan1以及accessinfo1;当然,也可以是port1、vlan1以及accessinfo2),并生成认证应答报文。
其中,在认证应答报文中包括认证信息表中记录的mac1和在认证信息表中记录的与mac1对应的认证接入信息。认证服务器向BRAS发送该认证应答报文。
BRAS接收认证服务器返回的认证应答报文,根据认证应答报文中记录的mac1和认证应答报文中记录的与mac1对应的认证接入信息,建立DHCP允许表。
在另一种情况中,如果mac1未记录在认证信息表中,或者认证信息表中仅记录第二MAC地址,而没有记录第二MAC地址的认证接入信息(即第二MAC地址在黑名单列表),可知该mac1是非法MAC地址,则认证服务器在返回的认证应答报文中,携带mac1和预设的固定信息。
BRAS接收认证服务器返回的认证应答报文,若认证应答报文中携带的是mac1和预设的固定信息,则BRAS根据mac1信息,建立MAC地址黑名单,以拦截MAC地址为mac1的非法报文,或者,BRAS根据mac1信息和预设的固定信息建立DHCP允许表,该预设的固定信息是无法与MAC地址对应的认证接入信息匹配成功的信息,从而使DHCP允许表起到黑名单的作用,拦截MAC地址为mac1的非法报文。进一步地,BRAS建立的DHCP允许表如下表所示。在DHCP允许表中可以包括如下主要字段:
表1DHCP允许表
下面结合图3所示的BRAS处理过程示意图,对报文处理方法的过程进行详细描述。如图3所示,具体包括下述步骤。
步骤310、BRAS接收第一DHCP请求报文。
具体地,基于本申请前述实施例,BRAS接收到第一DHCP请求报文后,从第一DHCP请求报文中获取mac1和mac1对应的认证接入信息1。
步骤320、BRAS判断mac1是否已记录在BRAS的DHCP允许表中。
具体地,如表1所示,BRAS获取到mac1后,判断mac1是否已记录在BRAS的DHCP允许表中。如果是,则BRAS确定mac1对应的终端可能在先已发起过IPoE认证流程,终端对应的用户为旧用户,执行步骤330;如果否,则BRAS确定mac1对应的终端可能在先未发起过IPoE认证流程,终端对应的用户为新用户,执行步骤350。
步骤330、BRAS判断第一认证接入信息是否与DHCP允许表中记录的第一MAC地址对应的认证接入信息匹配。
具体地,根据320的判断,BRAS确定mac1已记录在DHCP允许表中后,BRAS判断认证接入信息1是否与DHCP允许表中记录的mac1对应的认证接入信息匹配。如果是,则BRAS确定该终端是在指定接口、指定vlan、指定位置接入,该终端为合法终端,执行步骤350;如果否,则BRAS确定该终端是非法终端,且其在盗用合法终端的mac1触发IPoE认证流程,执行步骤340。
可以理解的是,认证接入信息的具体匹配过程在本申请前述实施例中已详细描述过,在此不再复述。
步骤340、丢弃第一DHCP请求报文。
具体地,根据步骤330的判断,BRAS将非法终端发送的第一DHCP请求报文丢弃。过滤掉非法终端发送的DHCP请求报文,拦截流向认证服务器的非法DHCP请求报文,从而降低了BRAS和认证服务器的网络资源消耗。
步骤350、BRAS启动IPoE认证流程。
具体地,根据步骤320以及330的判断,当BRAS确定终端是一个新用户的终端,或者,该终端为合法终端时,BRAS启动IPoE认证流程。
可以理解的是,IPoE认证流程为现有技术流程,在此不再复述。
通过本申请实施例的描述,不管是合法终端发起的IPoE认证流程还是非法终端发起的IPoE认证流程,都会在触发一次IPoE认证流程后,认证服务器下发MAC对应的认证接入信息至BRAS,以使BRAS生成DHCP允许表。DHCP允许表使BRAS当再次接收到DHCP请求报文时,过滤非法终端发送的的DHCP请求报文,拦截流向认证服务器的非法DHCP请求报文,从而降低了BRAS和认证服务器的网络资源消耗。
可选地,在本申请实施例中,对于DHCP允许表中各MAC地址对应的表项老化时间,还可以在BRAS每次执行完步骤310至步骤350后刷新重置,以保证对非法DHCP请求报文的过滤效果;或者,在网络资源紧张时,需要尽可能减少网络资源使用的情况下,该表项老化时间也可设置为固定值,到达该固定值后马上实现网络资源释放。
图4为本申请报文处理装置一个实施例的结构示意图,如图4所示,
一种报文处理装置40,该装置应用于宽带远程接入服务器BRAS,所述装置包括:
接收单元410,用于接收第一动态主机配置协议DHCP请求报文,所述第一DHCP请求报文包括第一MAC地址和所述第一MAC地址对应的第一认证接入信息。
判断单元420,用于当所述第一MAC地址已记录在DHCP允许表中时,判断所述第一认证接入信息是否与所述DHCP允许表中记录的所述第二MAC地址对应的认证接入信息匹配。
处理单元430,用于在所述判断单元420判断出所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配时,丢弃所述第一DHCP请求报文。
可选地,在本申请实施例中,所述认证接入信息包括:用户接入信息、所述BRAS接收DHCP请求报文的入口信息以及发送DHCP请求报文的终端接入的虚拟局域网VLAN标识。
所述判断单元420具体用于:
比较所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识是否分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同。
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配。
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识中存在任一信息未对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配。
可选地,在本申请实施例中,所述装置还包括:
发送单元(未图示),所述发送单元用于:
当所述第一MAC地址未记录在所述DHCP允许表中时,向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
或者,如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配时,则向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
可选地,在本申请实施例中,所述接收单元410,在还用于接收第二DHCP请求报文,所述第二DHCP请求报文包括第二MAC地址和所述第二MAC地址对应的第二认证接入信息。
所述发送单元,还用于向认证服务器发送第二认证请求报文,所述第二认证请求报文包括所述第二MAC地址和所述第二认证接入信息。
可以理解的,认证服务器接收BRAS发送单元发送的第二认证请求报文,根据第二认证请求报文中的第二MAC地址和第二MAC地址对应的第二认证接入信息,对第二DHCP请求报文进行认证,将认证结果通过认证应答报文返回给BRAS,此为常规的IPoE认证流程,在此不再赘述。
所述接收单元410,还用于接收所述认证服务器在确定所述第二MAC地址已记录在所述认证服务器的认证信息表时返回的认证应答报文,所述认证应答报文包括所述认证信息表中记录的所述第二MAC地址和所述第二MAC地址对应的认证接入信息。
所述装置还包括:
建立单元(未图示),用于根据所述认证应答报文中的所述第二MAC地址和所述第二MAC地址对应的认证接入信息,建立所述DHCP允许表。
与前述所述方法相对应地,所述建立单元,还用于在认证应答报文中携带的是第二MAC地址和预设的固定信息时,根据该认证应答报文的第二MAC地址建立MAC地址黑名单,或者根据该认证应答报文的第二MAC地址和预设的固定信息,建立DHCP允许表,其中,预设的固定信息是无法与MAC地址对应的认证接入信息匹配成功的信息。
可选地,在本申请实施例中,所述DHCP允许表还包括与所述DHCP表中记录的MAC地址对应的表项老化时间,所述装置还包括:
删除单元(未图示),用于当在所述表项老化时间内未接收到包括所述MAC地址的DHCP请求报文时,将所述表项老化时间表征的所述DHCP允许表中记录的MAC地址以及与MAC地址对应的认证接入信息从所述DHCP允许表中移除。
本申请实施例提供的报文处理装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,可通过处理器将非易失性存储器中与报文处理方法对应的机器可执行指令读取到易失性存储器中运行。从硬件层面而言,如图5所示,为本申请实施例提供的一种报文处理装置硬件结构图,除了图5所示的处理器510、内部总线520、网络接口530、易失性存储器540、以及非易失性存储器550之外,根据该报文处理装置的实际功能,还可以包括其他硬件,对此不再赘述。
在不同的实施例中,所述非易失性存储器550可以是:存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。所述易失性存储器540可以是:RAM(RADOM ACCESS MEMORY,随机存取存储器)。
进一步,非易失性存储器550和易失性存储器540作为机器可读存储介质,其上可存储由处理器510执行的报文处理方法对应的机器可执行指令。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还公开了一种报文处理装置,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的报文处理方法步骤。
本申请实施例还公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述任一所述的报文处理方法步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种报文处理方法,其特征在于,该方法应用于宽带远程接入服务器BRAS,用于DHCP请求报文触发IPoE认证之前,所述方法包括:
接收第一动态主机配置协议DHCP请求报文,所述第一DHCP请求报文包括第一MAC地址和所述第一MAC地址对应的第一认证接入信息;所述认证接入信息包括:用户接入信息、所述BRAS接收DHCP请求报文的入口信息以及发送DHCP请求报文的终端接入的虚拟局域网VLAN标识;
当所述第一MAC地址已记录在所述BRAS的DHCP允许表中时,判断所述第一认证接入信息是否与所述DHCP允许表中记录的所述第一MAC地址对应的认证接入信息匹配;
如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配,则丢弃所述第一DHCP请求报文。
2.根据权利要求1所述的报文处理方法,其特征在于,所述判断所述第一认证接入信息是否与所述DHCP允许表中记录的认证接入信息匹配,具体包括:
比较所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识是否分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识中存在任一信息未对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配。
3.根据权利要求1所述的报文处理方法,其特征在于,所述方法还包括:
当所述第一MAC地址未记录在所述DHCP允许表中时,向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息;
或者,所述方法还包括:
如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配,则向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
4.根据权利要求1所述的报文处理方法,其特征在于,所述接收第一动态主机配置协议DHCP请求报文之前,所述方法还包括:
接收第二DHCP请求报文,所述第二DHCP请求报文包括第二MAC地址;
向认证服务器发送第二认证请求报文,所述第二认证请求报文包括所述第二MAC地址;
接收所述认证服务器在确定所述第二MAC地址已记录在所述认证服务器的认证信息表时返回的认证应答报文,所述认证应答报文包括所述认证信息表中记录的所述第二MAC地址和所述第二MAC地址对应的认证接入信息;
根据所述认证应答报文中的所述第二MAC地址和所述第二MAC地址对应的认证接入信息,建立所述DHCP允许表。
5.根据权利要求1所述的报文处理方法,其特征在于,所述DHCP允许表还包括与所述DHCP表中记录的MAC地址对应的表项老化时间,所述方法还包括:
当在所述表项老化时间内未接收到包括所述MAC地址的DHCP请求报文时,将所述表项老化时间表征的所述DHCP允许表中记录的MAC地址以及与所述MAC地址对应的认证接入信息从所述DHCP允许表中移除。
6.一种报文处理装置,其特征在于,该装置应用于宽带远程接入服务器BRAS,用于DHCP请求报文触发IPoE认证之前,所述装置包括:
接收单元,用于接收第一动态主机配置协议DHCP请求报文,所述第一DHCP请求报文包括第一MAC地址和所述第一MAC地址对应的第一认证接入信息;所述认证接入信息包括:用户接入信息、所述BRAS接收DHCP请求报文的入口信息以及发送DHCP请求报文的终端接入的虚拟局域网VLAN标识;
判断单元,用于当所述第一MAC地址已记录在DHCP允许表中时,判断所述第一认证接入信息是否与所述DHCP允许表中记录的所述第一MAC地址对应的认证接入信息匹配;
处理单元,用于在所述判断单元判断出所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配时,丢弃所述第一DHCP请求报文。
7.根据权利要求6所述的报文处理装置,其特征在于,
所述判断单元具体用于:
比较所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识是否分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识分别与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配;
如果所述第一认证接入信息包括的用户接入信息、入口信息以及VLAN标识与所述DHCP允许表中记录的认证接入信息所包括的用户接入信息、入口信息以及VLAN标识中存在任一信息未对应相同,则确定所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息不匹配。
8.根据权利要求6所述的报文处理装置,其特征在于,所述装置还包括:
发送单元,所述发送单元用于:
当所述第一MAC地址未记录在所述DHCP允许表中时,向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息;
或者,如果所述第一认证接入信息与所述DHCP允许表中记录的认证接入信息匹配时,则向认证服务器发送第一认证请求报文,所述第一认证请求报文包括所述第一MAC地址和第一认证接入信息。
9.根据权利要求8所述的报文处理装置,其特征在于,所述接收单元,还用于接收第二DHCP请求报文,所述第二DHCP请求报文包括第二MAC地址;
所述发送单元,还用于向认证服务器发送第二认证请求报文,所述第二认证请求报文包括所述第二MAC地址;
所述接收单元,还用于接收所述认证服务器在确定所述第二MAC地址已记录在所述认证服务器的认证信息表时返回的认证应答报文,所述认证应答报文包括所述认证信息表中记录的所述第二MAC地址和所述第二MAC地址对应的认证接入信息;
所述装置还包括:
建立单元,用于根据所述认证应答报文中的所述第二MAC地址和所述第二MAC地址对应的认证接入信息,建立所述DHCP允许表。
10.根据权利要求6所述的报文处理装置,其特征在于,所述DHCP允许表还包括与所述DHCP表中记录的MAC地址对应的表项老化时间,所述装置还包括:
删除单元,用于当在所述表项老化时间内未接收到包括所述MAC地址的DHCP请求报文时,将所述表项老化时间表征的所述DHCP允许表中记录的MAC地址以及与所述MAC地址对应的认证接入信息从所述DHCP允许表中移除。
11.一种报文处理装置,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710828888.1A CN107707435B (zh) | 2017-09-14 | 2017-09-14 | 一种报文处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710828888.1A CN107707435B (zh) | 2017-09-14 | 2017-09-14 | 一种报文处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107707435A CN107707435A (zh) | 2018-02-16 |
CN107707435B true CN107707435B (zh) | 2020-11-20 |
Family
ID=61172665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710828888.1A Active CN107707435B (zh) | 2017-09-14 | 2017-09-14 | 一种报文处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107707435B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040025B (zh) * | 2018-07-09 | 2020-02-04 | 新华三技术有限公司 | 一种报文处理方法及装置 |
CN111478879B (zh) * | 2020-02-29 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种dhcp续约方法、装置及电子设备、机器可读存储介质 |
CN113852588B (zh) * | 2020-06-28 | 2023-03-10 | 华为技术有限公司 | 报文处理方法,up设备和cp设备,通信系统和介质 |
CN114501445B (zh) * | 2022-01-06 | 2024-02-09 | 新华三技术有限公司合肥分公司 | 一种接入控制方法及装置 |
CN114710332B (zh) * | 2022-03-23 | 2023-09-15 | 新华三技术有限公司 | 一种许可防克隆方法及装置 |
CN115225372B (zh) * | 2022-07-18 | 2024-02-13 | 镁佳(北京)科技有限公司 | 一种mqtt客户端接入方法、系统、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
CN1855812A (zh) * | 2005-04-25 | 2006-11-01 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
CN101272247A (zh) * | 2007-03-23 | 2008-09-24 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及设备及系统 |
CN101656760A (zh) * | 2009-09-17 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种地址分配方法和一种接入控制设备 |
US7827310B1 (en) * | 2006-04-27 | 2010-11-02 | Alcatel Lucent | Host connectivity verification |
CN102098269A (zh) * | 2009-12-15 | 2011-06-15 | 中兴通讯股份有限公司 | 一种宽带接入系统中mac地址过滤的方法 |
CN104767765A (zh) * | 2015-04-29 | 2015-07-08 | 杭州华三通信技术有限公司 | 提高用户上线速度的方法和宽带远程接入服务器接入设备 |
-
2017
- 2017-09-14 CN CN201710828888.1A patent/CN107707435B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855812A (zh) * | 2005-04-25 | 2006-11-01 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
US7827310B1 (en) * | 2006-04-27 | 2010-11-02 | Alcatel Lucent | Host connectivity verification |
CN101272247A (zh) * | 2007-03-23 | 2008-09-24 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及设备及系统 |
CN101656760A (zh) * | 2009-09-17 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种地址分配方法和一种接入控制设备 |
CN102098269A (zh) * | 2009-12-15 | 2011-06-15 | 中兴通讯股份有限公司 | 一种宽带接入系统中mac地址过滤的方法 |
CN104767765A (zh) * | 2015-04-29 | 2015-07-08 | 杭州华三通信技术有限公司 | 提高用户上线速度的方法和宽带远程接入服务器接入设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107707435A (zh) | 2018-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107707435B (zh) | 一种报文处理方法和装置 | |
JP5111618B2 (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
US9882904B2 (en) | System and method for filtering network traffic | |
EP1876754A1 (en) | Method system and server for implementing dhcp address security allocation | |
US7861076B2 (en) | Using authentication server accounting to create a common security database | |
CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
WO2008131667A1 (fr) | Procédé, dispositif d'identification des flux de services et procédé, système de protection contre une attaque par déni de service | |
JP2001506432A (ja) | 分散型マルチサーバ・ネットワーク環境において未登録システムを活性化する方法 | |
WO2008131658A1 (fr) | Procédé et dispositif pour fureter le dhcp | |
WO2010022574A1 (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
US7343485B1 (en) | System and method for maintaining protocol status information in a network device | |
KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
CN111740943B (zh) | 一种防攻击方法、装置、设备及机器可读存储介质 | |
JP2001326696A (ja) | アクセス制御方法 | |
CN109660535A (zh) | Linux系统中数据的处理方法和装置 | |
CN107800697B (zh) | 接入认证方法及装置 | |
WO2008131650A1 (fr) | Procédé de furetage de dhcp et dispositif associé | |
EP3407553B1 (en) | Pppoe message transmission method and pppoe server | |
CN105978774B (zh) | 一种接入认证的方法和装置 | |
CN101945143A (zh) | 一种在混合组网下防止报文地址欺骗的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |