CN108306875B - 一种控制有线终端接入的方法及装置 - Google Patents
一种控制有线终端接入的方法及装置 Download PDFInfo
- Publication number
- CN108306875B CN108306875B CN201810084909.8A CN201810084909A CN108306875B CN 108306875 B CN108306875 B CN 108306875B CN 201810084909 A CN201810084909 A CN 201810084909A CN 108306875 B CN108306875 B CN 108306875B
- Authority
- CN
- China
- Prior art keywords
- access
- terminal
- accessed
- mac address
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012795 verification Methods 0.000 claims abstract description 84
- 238000012545 processing Methods 0.000 claims abstract description 47
- 230000032683 aging Effects 0.000 claims description 35
- 230000001960 triggered effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000008447 perception Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 101000713503 Homo sapiens Solute carrier family 13 member 1 Proteins 0.000 description 2
- 102100036743 Solute carrier family 13 member 1 Human genes 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 101150105138 nas2 gene Proteins 0.000 description 2
- 101100347993 Caenorhabditis elegans nas-1 gene Proteins 0.000 description 1
- 101100348008 Caenorhabditis elegans nas-2 gene Proteins 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种控制有线终端接入的方法,属于通信技术领域。所述方法应用于认证服务器。所述方法包括:接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。采用本发明,可以提高网络中的数据安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种控制有线终端接入的方法及装置。
背景技术
随着互联网技术的发展,智能园区的应用越来越广泛,比如可以应用在公司、学校中等。智能园区中会设置有局域网,智能园区中的用户通常使用有线终端访问该网络。用户通过有线终端访问网络时,该网络中的认证服务器通常进行身份认证,其中,MAC(MediaAccess Control,媒体访问控制)+PORTAL的认证方式是常用的认证方式之一。
在MAC+PORTAL的认证中,有线终端上线后,首先需要进行PORTAL认证(即账号信息和密码验证)。具体过程为:用户需要在认证界面中输入账户信息(比如账号)和密码,有线终端通过接入服务器将该账户信息和密码发送给认证服务器,认证服务器根据该账户信息和密码进行身份验证,如果验证通过,则会存储该MAC地址的相关表项,并对该有线终端进行接入处理,以使该有线终端可以访问网络;如果未通过,则拒绝该有线终端接入。接入服务器中设置有MAC老化周期,认证服务器中设置有无感知老化周期,其中,一个无感知老化周期包含多个MAC老化周期。当达到MAC老化周期时,如果该有线终端需要访问该网络,需要进行MAC认证,具体过程为:接入服务器接收到该有线终端发送的数据报文时,会将该数据报文重定向至认证服务器,由于当前处于无感知老化周期内,因此,认证服务器只需判断本地是否存储有该数据报文所包含的MAC地址,如果是,则对该有线终端进行接入处理;否则,拒绝该有线终端接入。
然而,网络中可能存在其他仿冒终端仿冒该有线终端的MAC地址接入网络,由于仿冒终端的MAC地址与该有线终端的MAC地址相同,因此,认证服务器会允许该仿冒终端接入网络,导致网络中的数据安全性较差。
发明内容
本申请实施例的目的在于提供一种控制有线终端接入的方法及装置,以实现提高网络中的数据安全性。具体技术方案如下:
第一方面,提供了一种控制有线终端接入的方法,所述方法应用于认证服务器。所述方法包括:
接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;
在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;
如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
第二方面,提供了一种控制有线终端接入的装置,所述装置应用于认证服务器。所述装置包括:
接收模块,用于接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;
查询模块,用于在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;
处理模块,用于如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
第三方面,提供了一种认证服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面所述的方法步骤。
本发明实施例提供的控制有线终端接入的方法,可以应用于认证服务器,认证服务器可以接收接入服务器发送的接入请求,该接入请求中携带有待接入终端的MAC地址和第一接入位置,认证服务器在预先存储的MAC认证表中,查询MAC地址对应的第二接入位置,如果第一接入位置与第二接入位置相同,则对待接入终端进行接入处理,否则,对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入。基于本方案,即使其他仿冒终端能够仿冒某有线终端的MAC地址,但由于接入位置发生变化,需要进行账户信息和密码验证,所以,认证服务器可以通过账户信息和密码来进行识别,从而避免仿冒终端访问该网络,提高了网络中的数据安全性。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种系统框架图;
图2为本发明实施例提供的一种控制有线终端接入的方法流程图;
图3为本发明实施例提供的一种控制有线终端接入的方法流程图;
图4为本发明实施例提供的一种控制有线终端接入的装置的结构示意图;
图5为本发明实施例提供的一种控制有线终端接入的装置的结构示意图;
图6为本发明实施例提供的一种控制有线终端接入的装置的结构示意图;
图7为本发明实施例提供的一种认证服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供了一种控制有线终端接入的方法,该方法可以应用于认证服务器,该认证服务器可以是某智能园区中的服务器。智能园区的网络系统中还可以包括接入服务器和核心交换机等。其中,认证服务器可以为EIA(Endpoint intelligence Access,终端智能接入)设备、接入服务器可以为NAS(network access server,网络接入服务器),核心交换机可以为SPINE(汇聚交换机)。如图1所示,为本发明实施例提供的系统框架图,包括EIA、SPINE、NAS1、NAS2和多个有线终端,即PC1、PC2、PC3和PC4。其中,NAS1和NAS2通过SPINE与EIA连接,PC1和PC2通过NAS1接入网络;PC3和PC4通过NAS2接入网络。其中,接入服务器中会存储MAC表和路由表,认证服务器中存储有MAC认证表,接入服务器和认证服务器可以基于本地存储的表项,对待接入的终端进行身份认证,从而避免仿冒终端接入网络。
为了便于理解本方案,下面将结合有线终端的上线过程,对上述表项的建立过程及具体内容进行说明。
本发明实施例中,有线终端上线后,会向接入服务器发送接入报文,该接入报文中携带有该有线终端的MAC地址,接入服务器则会检测到该有线终端上线,然后可以根据该有线终端接入网络的端口(即接入服务器中该有线终端对应的端口),确定该有线终端所属的VLAN(Virtual Local Area Network,虚拟局域网),从而得到该有线终端的接入位置。接入位置可以包括该端口(即PORT)的端口信息和VLAN的标识。接入服务器可以通过SPINE向认证服务器发送接入请求,该接入请求中可以携带有该MAC地址和接入位置。认证服务器接收到接入请求后,会下发认证界面的显示数据,有线终端接收到显示数据后,会显示该认证界面。用户在认证界面中输入账户信息(比如账号)和密码,有线终端通过接入服务器将该账户信息和密码发送给认证服务器,认证服务器根据该账户信息和密码进行身份验证,如果未通过,则拒绝该有线终端接入。如果验证通过,则会在MAC认证表中,存储该MAC地址的相关表项,该表项中可以包括该MAC地址、该MAC地址对应的接入位置、账号、预先存储的该账号对应的接入组和安全组。MAC认证表中可以如表一所示:
表一
| MAC | 账号 | 接入组 | 安全组 | 接入位置 |
| 1-1-2 | PC1 | 研发组 | VSI100 | imposter |
认证服务器验证通过后,还可以向接入服务器发送关联表,关联表中可以包括接入位置和VSIID。关联表可以如表二所示:
表二
| PORT+VLAN | VSIID |
| imposter | VSI100 |
接入服务器接收到该关联表后,可以根据该关联表学习MAC表和路由表。其中,MAC表中可以包括MAC地址和该MAC地址的端口对应的VLAN的标识,MAC表可以如表三所示:
表三
| MAC | PORT |
| 1-1-2 | VLAN2 |
路由表可以包括学习到的IP(Internet Protocol,互联网协议)地址和该IP地址对应的VLAN的标识,路由表可以如表四所示:
表四
| DEST IP | NEXT HOP | INTER FACE |
| 192.168.20.2 | 192.168.20.2 | VLAN2 |
其中,192.168.20.2是学习到的该有线终端的IP地址,VLAN2为该IP地址对应的VLAN的标识。
这样,基于上述过程,该有线终端可以接入到智能园区的网络中,访问该网络中的数据。
在MAC+PORTAL的认证方式中,接入服务器中预先设置有MAC老化周期,认证服务器中预先存储有无感知老化周期,其中,一个无感知老化周期包含多个MAC老化周期。接入服务器完成上述处理后,会进入该有线终端的MAC老化周期,当达到MAC老化周期的时长时,接入服务器在本地存储的MAC表中,删除该MAC对应的表项。同理,认证服务器完成上述处理后,会进入该有线终端的无感知老化周期,当达到无感知老化周期的时长时,认证服务器会重新对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入,并删除该MAC对应的表项。在一个无感知老化周期内,当达到该MAC地址的MAC老化周期后,如果接入服务器接收到某终端发送的携带有该MAC地址的数据报文,则会向认证服务器发送接入请求,认证服务器则可以通过本方案提供的控制有线终端接入的方法,判断该终端是否可以接入网络。基于本发明实施例提供的控制有线终端接入的方法,在一个无感知老化周期内,即使其他仿冒终端仿冒能够某有线终端的MAC地址,但由于接入位置发生变化,需要进行账户信息和密码验证,所以,认证服务器可以通过账户信息和密码来进行识别,从而避免仿冒终端访问该网络,提高了网络中的数据安全性。
如图2所示,该方法可以包括以下步骤:
步骤201,接收接入服务器发送的接入请求。
其中,接入请求中携带有待接入终端的MAC地址和第一接入位置。
在实施中,接入服务器可以接收某终端发送的数据报文,该数据报文中可以携带有MAC地址。接入服务器可以对该数据报文进行解析,获取该数据报文中的MAC地址,然后可以在本地存储的MAC表中,查找是否存在该MAC地址对应的表项,如果存在,则可以根据该数据报文的目的地址对该数据报文进行转发,以使该终端可以访问网络。如果不存在(比如接入服务器在达到MAC老化周期后,删除了该MAC地址对应的表项),则可以根据该终端(即待接入终端)接入网络的端口,确定待接入终端所属的VLAN,从而得到待接入终端的接入位置(即第一接入位置)。接入位置可以包括该端口的端口信息(即PORT的标识)和VLAN的标识。接入服务器可以通过SPINE向认证服务器发送接入请求,该接入请求中可以携带有待接入终端的MAC地址和第一接入位置。认证服务器则可以接收该接入请求,对该接入请求进行解析,获取待接入终端的MAC地址和第一接入位置,以便进行后续处理。
步骤202,在预先存储的MAC认证表中,查询MAC地址对应的第二接入位置。
在实施中,认证服务器获取到待接入终端的MAC地址和第一接入位置后,可以在预先存储的MAC认证表中,查询该MAC地址对应的表项,进而获取到该MAC地址在MAC认证表中对应的接入位置(即第二接入位置)。
可选的,实际中也会存在无线终端作为仿冒终端的情况,因此,认证服务器可以根据接入服务器的类型信息,来判断当前接入的终端是否是仿冒终端,具体的处理过程可以为:获取接入服务器的类型信息;判断类型信息是否表示有线终端的接入服务器,如果是,则执行在预先存储的MAC认证表中,查询MAC地址对应的第二接入位置步骤;否则,拒绝待接入终端接入。
在实施中,如果待接入终端为有线终端,则待接入终端会通过有线终端的接入服务器访问网络,其中,有线终端的接入服务器通常为leaf节点;如果待接入终端为无线终端,则待接入终端会通过无线终端的接入服务器访问网络,其中,无线终端的接入服务器通常为AC(Access Controller,接入控制器)。
认证服务器接收到接入服务器发送的接入请求后,可以获取该接入服务器的类型信息。例如,接入服务器向认证服务器发送的接入请求中,可以携带有该接入服务器的类型信息,认证服务器可以对该接入请求进行解析,获取该接入服务器的类型信息;或者,接入请求中会携带该接入服务器的标识(比如IP地址),认证服务器可以根据该接入服务器的标识,在预先存储接入服务器的标识和类型信息的对应关系中,查找该接入服务器对应的类型信息。这样,认证服务器可以识别出该接入服务器是leaf节点或AC。由于本方案中,智能园区中允许有线终端接入,因此,认证服务器可以先判断接收到的类型信息是否表示有线终端的接入服务器,如果是,则执行步骤202,以进行进一步识别待接入终端是否为仿冒终端,否则,说明待接入终端为仿冒终端,可以拒绝待接入终端接入。
可选的,如果认证服务器在预先存储的MAC认证表中,未查询到该MAC地址,则说明待接入终端可能是首次上线,认证服务器可以对待接入终端进行账户信息和密码验证(即portal认证);如果验证通过,则可以对待接入终端进行接入处理;如果验证未通过,则可以拒绝待接入终端接入。
可选的,认证服务器在接收到接入请求后,可先判断该接入请求中携带的MAC地址,是否达到了无感知老化周期,如果未达到该MAC地址对应的无感知老化周期,则执行步骤202的判断处理(即根据接入位置和/或接入服务器的类型信息进行判断);如果达到了该MAC地址对应的无感知老化周期,则可以对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入,该验证过程后续会进行详细说明。这样,当达到MAC地址对应的无感知老化周期时,该终端需要重新进行安全性较高的portal认证,提高了网络中的数据安全性。
步骤203,如果第一接入位置与第二接入位置相同,则对待接入终端进行接入处理;否则,对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入。
在实施中,认证服务器获取到第二接入位置后,可以判断第一接入位置与第二接入位置是否相同,如果相同,则说明该待接入终端为原有线终端,可以对待接入终端进行接入处理,比如向接入服务器发送关联表,以使接入服务器根据该关联表学习MAC表和路由表,进而实现该有线终端访问网络中的数据;如果不相同,则说明该待接入终端非原有线终端,可以对待接入终端进行账户信息和密码验证,以便进一步确认该待接入终端是否为仿冒终端。如果验证通过,对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入。这样,在检测到MAC地址相同但接入位置不同的终端接入网络时,可以通过安全性较高的验证方式(即账户信息和密码验证)进行验证,从而避免仿冒终端接入网络,提高了网络中的数据安全性。
可选的,对待接入终端进行账户信息和密码验证的具体处理过程可以如下:通过接入服务器向待接入终端发送预先存储的认证界面的显示数据;接收待接入终端发送的账户信息和密码;判断接收到的账户信息和密码,是否与预先存储的MAC地址对应的账户信息和密码相同,如果相同,则判定验证通过;否则,判定验证未通过。
在实施中,认证服务器中可以预先存储认证界面的显示数据,当需要进行账户信息和密码验证时,认证服务器可以将该显示数据发送给接入服务器,接入服务器则会将该显示数据发送给对应的待接入终端,待接入终端接收到显示数据后,可以显示该认证界面,用户则会在认证界面中输入账户信息(比如账号)和密码,待接入终端可以通过接入服务器将该账户信息和密码发送给认证服务器,认证服务器接收到账户信息和密码后,可以获取预先存储的该待接入终端的MAC地址对应的账户信息和密码,然后判断接收到的账户信息和密码,与预先存储的MAC地址对应的账户信息和密码是否相同,如果相同,则判定验证通过;否则,判定验证未通过。
本实施例还提供了一种控制有线终端接入的方法,如图3所示,该方法可以包括以下步骤:
步骤301,接收接入服务器发送的接入请求。
其中,接入请求中携带有待接入终端的MAC地址和第一接入位置。
步骤302,判断是否达到该MAC地址对应的无感知老化周期。
如果是,执行步骤307,否则,执行步骤303。
步骤303,获取该接入服务器的类型信息。
步骤304,判断该类型信息是否表示有线终端的接入服务器,如果是,则执行步骤305;否则,执行步骤309。
步骤305,在预先存储的MAC认证表中,查询该MAC地址对应的第二接入位置。
步骤306,判断第一接入位置与第二接入位置是否相同。
如果是,则执行步骤308;否则,执行步骤307。
步骤307,对待接入终端进行账户信息和密码验证。
如果验证通过,则执行步骤308;如果验证未通过,则执行步骤309。
步骤308,对待接入终端进行接入处理。
步骤309,拒绝待接入终端接入。
本发明实施例中,认证服务器可以接收接入服务器发送的接入请求,该接入请求中携带有待接入终端的MAC地址和第一接入位置,认证服务器在预先存储的MAC认证表中,查询MAC地址对应的第二接入位置,如果第一接入位置与第二接入位置相同,则对待接入终端进行接入处理,否则,对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入。基于本方案,即使其他仿冒终端仿冒能够某有线终端的MAC地址,但由于接入位置发生变化,需要进行账户信息和密码验证,所以,认证服务器可以通过账户信息和密码来进行识别,从而避免仿冒终端访问该网络,提高了网络中的数据安全性。
基于相同的技术构思,本发明施例还提供了一种控制有线终端接入的装置,所述装置应用于认证服务器,如图4所示,所述装置包括:
接收模块410,用于接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;
查询模块420,用于在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;
处理模块430,用于如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
可选的,如图5所示,所述装置还包括:
获取模块440,用于获取所述接入服务器的类型信息;
第一判断模块450,用于判断所述类型信息是否表示有线终端的接入服务器,如果是,则触发所述查询模块执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;否则,拒绝所述待接入终端接入。
可选的,所述处理模块430,还用于:
如果在预先存储的MAC认证表中未查询到所述MAC地址,则对所述待接入终端进行账户信息和密码验证;
如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
可选的,所述处理模块430,还用于:
向所述待接入终端发送预先存储的认证界面的显示数据;
接收所述待接入终端发送的账户信息和密码;
判断接收到的账户信息和密码,是否与预先存储的所述MAC地址对应的账户信息和密码相同,如果相同,则判定验证通过;否则,判定验证未通过。
可选的,如图6所示,所述装置还包括:
第二判断模块460,用于判断是否达到所述MAC地址对应的无感知老化周期;
如果未达到所述MAC地址对应的无感知老化周期,则触发所述查询模块执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;
如果达到所述MAC地址对应的无感知老化周期,则触发验证模块470对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
本发明实施例中,认证服务器可以接收接入服务器发送的接入请求,该接入请求中携带有待接入终端的MAC地址和第一接入位置,认证服务器在预先存储的MAC认证表中,查询MAC地址对应的第二接入位置,如果第一接入位置与第二接入位置相同,则对待接入终端进行接入处理,否则,对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入。基于本方案,即使其他仿冒终端能够仿冒某有线终端的MAC地址,但由于接入位置发生变化,需要进行账户信息和密码验证,所以,认证服务器可以通过账户信息和密码来进行识别,从而避免仿冒终端访问该网络,提高了网络中的数据安全性。
本申请实施例还提供了一种认证服务器,如图7所示,包括处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信,
存储器703,用于存放计算机程序;
处理器701,用于执行存储器703上所存放的程序时,以使该认证服务器执行如下步骤:
接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;
在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;
如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
可选的,所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置之前,所述方法还包括:
获取所述接入服务器的类型信息;
判断所述类型信息是否表示有线终端的接入服务器,如果是,则执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;否则,拒绝所述待接入终端接入。
可选的,所述方法还包括:
如果在预先存储的MAC认证表中未查询到所述MAC地址,则对所述待接入终端进行账户信息和密码验证;
如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
可选的,所述对所述待接入终端进行账户信息和密码验证,包括:
向所述待接入终端发送预先存储的认证界面的显示数据;
接收所述待接入终端发送的账户信息和密码;
判断接收到的账户信息和密码,是否与预先存储的所述MAC地址对应的账户信息和密码相同,如果相同,则判定验证通过;否则,判定验证未通过。
可选的,所述方法还包括:
判断是否达到所述MAC地址对应的无感知老化周期;
如果未达到所述MAC地址对应的无感知老化周期,则执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;
如果达到所述MAC地址对应的无感知老化周期,则对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例中,认证服务器可以接收接入服务器发送的接入请求,该接入请求中携带有待接入终端的MAC地址和第一接入位置,认证服务器在预先存储的MAC认证表中,查询MAC地址对应的第二接入位置,如果第一接入位置与第二接入位置相同,则对待接入终端进行接入处理,否则,对待接入终端进行账户信息和密码验证,如果验证通过,则对待接入终端进行接入处理;如果验证未通过,则拒绝待接入终端接入。基于本方案,即使其他仿冒终端能够仿冒某有线终端的MAC地址,但由于接入位置发生变化,需要进行账户信息和密码验证,所以,认证服务器可以通过账户信息和密码来进行识别,从而避免仿冒终端访问该网络,提高了网络中的数据安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (9)
1.一种控制有线终端接入的方法,其特征在于,所述方法应用于认证服务器,所述方法包括:
接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;
在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;
如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入;
在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置之前,所述方法还包括:
获取所述接入服务器的类型信息;
判断所述类型信息是否表示有线终端的接入服务器,如果是,则执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;否则,拒绝所述待接入终端接入。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果在预先存储的MAC认证表中未查询到所述MAC地址,则对所述待接入终端进行账户信息和密码验证;
如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
3.根据权利要求1所述的方法,其特征在于,所述对所述待接入终端进行账户信息和密码验证,包括:
向所述待接入终端发送预先存储的认证界面的显示数据;
接收所述待接入终端发送的账户信息和密码;
判断接收到的账户信息和密码,是否与预先存储的所述MAC地址对应的账户信息和密码相同,如果相同,则判定验证通过;否则,判定验证未通过。
4.根据权利要求1所述的方法,其特征在于,所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置之前,所述方法还包括:
判断是否达到所述MAC地址对应的无感知老化周期;
如果未达到所述MAC地址对应的无感知老化周期,则执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;
如果达到所述MAC地址对应的无感知老化周期,则对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
5.一种控制有线终端接入的装置,其特征在于,所述装置应用于认证服务器,所述装置包括:
接收模块,用于接收接入服务器发送的接入请求,所述接入请求中携带有待接入终端的MAC地址和第一接入位置;
查询模块,用于在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置;
处理模块,用于如果所述第一接入位置与所述第二接入位置相同,则对所述待接入终端进行接入处理;否则,对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入;
所述装置还包括:
获取模块,用于获取所述接入服务器的类型信息;
第一判断模块,用于判断所述类型信息是否表示有线终端的接入服务器,如果是,则触发所述查询模块执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;否则,拒绝所述待接入终端接入。
6.根据权利要求5所述的装置,其特征在于,所述处理模块,还用于:
如果在预先存储的MAC认证表中未查询到所述MAC地址,则对所述待接入终端进行账户信息和密码验证;
如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
7.根据权利要求5所述的装置,其特征在于,所述处理模块,还用于:
向所述待接入终端发送预先存储的认证界面的显示数据;
接收所述待接入终端发送的账户信息和密码;
判断接收到的账户信息和密码,是否与预先存储的所述MAC地址对应的账户信息和密码相同,如果相同,则判定验证通过;否则,判定验证未通过。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二判断模块,用于判断是否达到所述MAC地址对应的无感知老化周期;
如果未达到所述MAC地址对应的无感知老化周期,则触发所述查询模块执行所述在预先存储的MAC认证表中,查询所述MAC地址对应的第二接入位置步骤;
如果达到所述MAC地址对应的无感知老化周期,则触发验证模块对所述待接入终端进行账户信息和密码验证,如果验证通过,则对所述待接入终端进行接入处理;如果验证未通过,则拒绝所述待接入终端接入。
9.一种认证服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810084909.8A CN108306875B (zh) | 2018-01-29 | 2018-01-29 | 一种控制有线终端接入的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810084909.8A CN108306875B (zh) | 2018-01-29 | 2018-01-29 | 一种控制有线终端接入的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108306875A CN108306875A (zh) | 2018-07-20 |
| CN108306875B true CN108306875B (zh) | 2021-08-13 |
Family
ID=62866922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810084909.8A Active CN108306875B (zh) | 2018-01-29 | 2018-01-29 | 一种控制有线终端接入的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108306875B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835741B (zh) * | 2020-07-03 | 2022-06-07 | 南京普建维思信息技术有限公司 | 基于共识机制和智能合约的物联设备安全接入系统及方法 |
| CN112311771B (zh) * | 2020-09-30 | 2022-05-24 | 新华三大数据技术有限公司 | 一种管理用户接入设备的方法、管理设备和网络设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746983A (zh) * | 2013-12-30 | 2014-04-23 | 迈普通信技术股份有限公司 | 一种接入认证方法及认证服务器 |
| US9253175B1 (en) * | 2007-04-12 | 2016-02-02 | Marvell International Ltd. | Authentication of computing devices using augmented credentials to enable actions-per-group |
| CN105592458A (zh) * | 2014-10-22 | 2016-05-18 | 中国电信股份有限公司 | 无线局域网业务的认证方法和系统、服务器 |
| CN107026813A (zh) * | 2016-01-29 | 2017-08-08 | 中国电信股份有限公司 | WiFi网络的接入认证方法、系统以及门户服务器 |
| CN107181759A (zh) * | 2017-07-05 | 2017-09-19 | 杭州迪普科技股份有限公司 | 一种用户设备的认证方法及装置 |
-
2018
- 2018-01-29 CN CN201810084909.8A patent/CN108306875B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9253175B1 (en) * | 2007-04-12 | 2016-02-02 | Marvell International Ltd. | Authentication of computing devices using augmented credentials to enable actions-per-group |
| CN103746983A (zh) * | 2013-12-30 | 2014-04-23 | 迈普通信技术股份有限公司 | 一种接入认证方法及认证服务器 |
| CN105592458A (zh) * | 2014-10-22 | 2016-05-18 | 中国电信股份有限公司 | 无线局域网业务的认证方法和系统、服务器 |
| CN107026813A (zh) * | 2016-01-29 | 2017-08-08 | 中国电信股份有限公司 | WiFi网络的接入认证方法、系统以及门户服务器 |
| CN107181759A (zh) * | 2017-07-05 | 2017-09-19 | 杭州迪普科技股份有限公司 | 一种用户设备的认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108306875A (zh) | 2018-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106301785B (zh) | 一种智能家居设备与智能终端的绑定方法及系统 | |
| US10666661B2 (en) | Authorization processing method and device | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
| CN106060072B (zh) | 认证方法以及装置 | |
| US11765164B2 (en) | Server-based setup for connecting a device to a local area network | |
| CN103916400B (zh) | 一种用户账号管理方法及系统 | |
| CN104202365B (zh) | 一种集群式智能网关平台部署扩展业务应用的方法 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN105992204A (zh) | 移动智能终端应用程序的访问认证方法及装置 | |
| CN101668017A (zh) | 一种认证方法和设备 | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及系统 | |
| CN104144095A (zh) | 终端认证方法及交换机 | |
| CN109769249B (zh) | 一种认证方法、系统及其装置 | |
| CN104468619B (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN108306875B (zh) | 一种控制有线终端接入的方法及装置 | |
| CN110830336A (zh) | 一种智能家居的WiFi设备管理的方法及装置 | |
| CN107872445A (zh) | 接入认证方法、设备和认证系统 | |
| CN105208030A (zh) | 一种无线网络漫游方法 | |
| CN113848737A (zh) | 智能设备控制方法、装置、系统、云服务器和存储介质 | |
| CN107493293A (zh) | 一种sip终端接入鉴权的方法 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| CN106535189B (zh) | 网络访问控制信息配置方法、装置及出口网关 | |
| CN100438446C (zh) | 接入控制设备、接入控制系统和接入控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240624 Address after: Room 301, Block D, Building 1, No. 459 Jianghong Road, Hangzhou City, Zhejiang Province, 310052 Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Country or region after: China Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. Country or region before: China |