CN108712398B - 认证服务器的端口认证方法、服务器、交换机和存储介质 - Google Patents
认证服务器的端口认证方法、服务器、交换机和存储介质 Download PDFInfo
- Publication number
- CN108712398B CN108712398B CN201810401269.9A CN201810401269A CN108712398B CN 108712398 B CN108712398 B CN 108712398B CN 201810401269 A CN201810401269 A CN 201810401269A CN 108712398 B CN108712398 B CN 108712398B
- Authority
- CN
- China
- Prior art keywords
- switch
- configuration information
- authentication server
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种认证服务器的端口认证方法、服务器、交换机和存储介质。该认证服务器的端口认证方法适用于交换机向认证服务器申请开启认证服务器上与交换机直连的端口的场景,方法包括:认证服务器对与认证服务器直连的交换机的身份认证通过后,向交换机发送上报配置信息的请求报文;认证服务器接收交换机的配置响应报文,配置响应报文包括交换机根据请求报文查询得到的配置信息;认证服务器将配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与交换机直连的端口。本发明实施例保证即将作为代理者的交换机按照认证服务器设定的配置进行工作,有效降低了由配置信息的篡改造成的安全隐患的可能性。
Description
技术领域
本发明实施例涉及网络通信技术,尤其涉及一种认证服务器的端口认证方法、服务器、交换机和存储介质。
背景技术
可信交换网络系统要求每个接入用户进行认证与控制,保证通信实体之间的可信关系和控制。对于现有的终端设备,现有的电气和电子工程师协会(Institute ofElectrical and Electronics Engineers,简称:IEEE)802.1x协议已经进行了规范和实现。IEEE802.1x协议称为基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,达到接收合法用户输入,保护网络安全的目的。
图1为现有IEEE802.1x认证体系的组成结构示意图。如图1所示,基于IEEE802.1x协议的认证体系包括以下三个组成部分:申请者(Supplicant)、认证设备(Authenticator)和认证服务器(Authentication Server),其中,申请者:申请者需要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x认证。为了支持基于端口的接入控制,申请者需要支持基于局域网的扩展认证协议(EAP Over LAN,简称:EAPoL);代理者:在申请者和认证服务器之间起到代理作用,能够将来自申请者的EAPoL认证请求报文转为远程用户拨号认证服务(Remote Authentication Dial In User Service,简称:RADIUS)报文发到认证服务器,将认证服务器返回的RADIUS报文转为EAPoL报文发送给申请者。认证设备根据认证服务器对申请者的认证请求结果,来决定是否将申请者的接入物理端口打开;认证服务器:认证服务器是指能够具备处理入网身份认证和访问权限检查能力的专用服务器,通常为RADIUS服务器,认证服务器能够检查申请者和认证设备的身份、类型和网络访问权限,并且通过认证设备向申请者返回身份认证应答结果。认证设备和认证服务器之间通过承载于RADIUS协议之上的扩展认证协议(Extensible Authentication Protocol,简称:EAP)进行通信。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
网络接入认证设备通过判断待接入的设备是否拥有认证协议需要的口令和/或密钥来确认是否允许该待接入设备接入,其目的就是为了保证接入网络的是一个安全的设备,而不是一个攻击者。
如上所述,申请者发起认证过程,提供用户名和密码等信息,该信息一般采用EAPoL报文,认证设备收到申请者的EAPoL报文后,将其中的信息加密并以用户数据报协议(User Datagram Protocol,简称:UDP)报文的形式发送给认证服务器。但是,认证服务器并不会对代理者(即认证服务器直连的交换机)进行认证,这种情况下,认证服务器的网络端口是不受控制的,任何连接到该网络端口的网络设备均可以访问认证服务器,故存在一定的安全隐患。
发明内容
本发明实施例提供一种认证服务器的端口认证方法、服务器、交换机和存储介质,以保证即将作为代理者的交换机按照网络管理员预定的设置进行工作,有效降低了由配置信息的篡改造成的安全隐患的可能性。
第一方面,本发明实施例提供了一种认证服务器的端口认证方法,所述方法适用于交换机向认证服务器申请开启所述认证服务器上与所述交换机直连的端口的场景,所述方法包括:
所述认证服务器对与所述认证服务器直连的交换机的身份认证通过后,向所述交换机发送上报配置信息的请求报文;
所述认证服务器接收所述交换机的配置响应报文,所述配置响应报文包括所述交换机根据所述请求报文查询得到的配置信息;
所述认证服务器将所述配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与所述交换机直连的端口。
可选的,在所述认证服务器开启与所述交换机直连的端口之后,还包括:
所述认证服务器接收所述交换机主动发送的状态响应报文,所述状态响应报文包括所述交换机的配置信息;或者,
所述认证服务器定期向所述交换机发送状态查询报文,接收所述交换机根据定期接收到的状态查询报文反馈的状态响应报文,所述状态响应报文包括所述交换机根据所述状态查询报文查询得到的配置信息。
可选的,在所述认证服务器接收所述交换机主动发送的状态响应报文之后,或者,在所述认证服务器接收所述交换机根据定期接收到的状态查询报文反馈的状态响应报文之后,还包括:
所述认证服务器将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配,当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后,关闭与所述交换机直连的端口。
可选的,所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败,包括:
所述状态响应报文中的配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致;或者,所述当前设定的交换机配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
可选的,在所述认证服务器开启与所述交换机直连的端口之前,还包括:
所述认证服务器逐次向所述交换机发送所述请求报文,各所述请求报文所请求的配置信息各不相同;
对应于各次的请求报文,所述认证服务器在接收到配置响应报文,所述配置响应报文包括与当前请求报文对应的配置信息;
所述认证服务器将各次的配置信息分别与设定的交换机配置信息进行匹配,当全部匹配成功后,确定开启与所述交换机直连的端口。
可选的,在所述认证服务器开启与所述交换机直连的端口之后,还包括:
所述认证服务器逐次向所述交换机发送状态查询报文,各所述状态查询报文所请求的配置信息各不相同;
对应于各次的状态查询报文,所述认证服务器接收状态响应报文,所述状态响应报文包括与当前状态查询报文对应的配置信息;
对应于各次的状态查询报文,所述认证服务器将接收到的配置信息分别与设定的交换机配置信息进行匹配,当有一次状态查询报文中配置信息与设定的配置信息匹配失败后,关闭与所述交换机直连的端口。
可选的,所述配置响应报文或者所述状态响应报文为EAP认证响应报文;所述方法还包括:
所述认证服务器根据所述EAP认证响应报文对所述交换机进行认证,或者,所述认证服务器将所述EAP认证响应报文转换为RADIUS接入请求报文,根据所述RADIUS接入请求报文对所述交换机进行认证。
第二方面,本发明实施例提供了一种认证服务器的端口认证方法,包括:
交换机通过与所述交换机直连的认证服务器的身份认证后,接收所述认证服务器发送的上报配置信息的请求报文;
所述交换机根据所述请求报文查询得到对应的配置信息;
所述交换机向所述认证服务器发送配置响应报文,所述配置响应报文包括所述配置信息;
所述交换机通过配置认证后,接收所述认证服务器发送的认证成功的报文。
可选的,在所述交换机接收所述认证服务器发送的认证成功的报文之后,还包括:
所述交换机在配置信息发生改变时,向所述认证服务器发送状态响应报文,所述状态响应报文包括改变后的配置信息;或者,
所述交换机在接收到所述认证服务器发送的状态查询报文时,向所述认证服务器发送状态响应报文,所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
第三方面,本发明实施例提供了一种服务器,包括:
发送模块,用于对与服务器直连的交换机的身份认证通过后,向所述交换机发送上报配置信息的请求报文;
接收模块,用于接收所述交换机的配置响应报文,所述配置响应报文包括所述交换机根据所述请求报文查询得到的配置信息;
认证模块,用于将所述配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与所述交换机直连的端口。
可选的,所述接收模块,还用于接收所述交换机主动发送的状态响应报文,所述状态响应报文包括所述交换机的配置信息。
可选的,所述发送模块,还用于定期向所述交换机发送状态查询报文;
所述接收模块,还用于接收所述交换机根据定期接收到的状态查询报文反馈的状态响应报文,所述状态响应报文包括所述交换机根据所述状态查询报文查询得到的配置信息。
可选的,所述认证模块,还用于将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配,当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后,关闭与所述交换机直连的端口。
可选的,所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败,包括:
所述状态响应报文中的配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致;或者,所述当前设定的交换机配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
可选的,所述发送模块,还用于逐次向所述交换机发送所述请求报文,各所述请求报文所请求的配置信息各不相同;
所述接收模块,还用于对应于各次的请求报文,接收配置响应报文,所述配置响应报文包括与当前请求报文对应的配置信息;
所述认证模块,还用于将各次的配置信息分别与设定的交换机配置信息进行匹配,当全部匹配成功后,确定开启与所述交换机直连的端口。
可选的,所述发送模块,还用于逐次向所述交换机发送状态查询报文,各所述状态查询报文所请求的配置信息各不相同;
所述接收模块,还用于对应于各次的状态查询报文,接收状态响应报文,所述状态响应报文包括与当前状态查询报文对应的配置信息;
所述认证模块,还用于对应于各次的状态查询报文,将接收到的配置信息与设定的交换机配置信息进行匹配,当有一次状态查询报文中配置信息与设定的配置信息匹配失败后,关闭与所述交换机直连的端口。
可选的,所述配置响应报文或者所述状态响应报文为EAP认证响应报文;所述认证模块,还用于根据所述EAP认证响应报文对所述交换机进行认证,或者,将所述EAP认证响应报文转换为RADIUS接入请求报文,根据所述RADIUS接入请求报文对所述交换机进行认证。
第四方面,本发明实施例提供了一种交换机,包括:
接收模块,用于通过与交换机直连的认证服务器的身份认证后接收所述认证服务器发送的上报配置信息的请求报文;
查询模块,用于根据所述请求报文查询得到对应的配置信息;
发送模块,用于向所述认证服务器发送配置响应报文,所述配置响应报文包括所述配置信息。
可选的,所述发送模块,还用于在配置信息发生改变时,向所述认证服务器发送状态响应报文,所述状态响应报文包括改变后的配置信息;或者,在接收到所述认证服务器发送的状态查询报文时,向所述认证服务器发送状态响应报文,所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
第五方面,本发明实施例提供了一种服务器,所述服务器包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述第一方面中任一所述的认证服务器的端口认证方法。
第六方面,本发明实施例提供了一种交换机,所述交换机包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述第二方面中任一所述的认证服务器的端口认证方法。
第七方面,本发明实施例提供了一种包含可执行指令的存储介质,所述可执行指令在由处理器执行时用于执行如上述第一方面或第二方面中任一所述的认证服务器的端口认证方法。
本发明实施例通过在对作为申请者的交换机进行身份认证后,再对该交换机的配置信息进行认证,实现远程集中监控网络环境中与认证服务器直连的交换机的配置信息安全检测,保证即将作为代理者的交换机按照认证服务器设定的配置进行工作,一旦其网络配置被修改,认证服务器将断开与该交换机的直连端口,有效降低了由配置信息的篡改造成的安全隐患的可能性。
附图说明
图1为现有IEEE802.1x认证体系的组成结构示意图;
图2为本发明实施例一提供的认证服务器的端口认证方法的流程图;
图3为现有的认证服务器与交换机直连的网络拓扑结构示意图;
图4为本发明实施例二提供的认证服务器的端口认证方法的流程图;
图5为本发明实施例三提供的网络拓扑的组成结构示意图;
图6为本发明实施例四提供的服务器的结构示意图;
图7为本发明实施例五提供的交换机的结构示意图;
图8为本发明实施例六提供的一种设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明实施例,而非对本发明实施例的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明实施例相关的部分而非全部结构。
实施例一
图2为本发明实施例一提供的认证服务器的端口认证方法的流程图,图3为现有的认证服务器与交换机直连的网络拓扑结构示意图,如图3所示,交换机和认证服务器直连的,交换机先作为申请者向认证服务器请求开启认证服务器上与交换机直连的端口,认证服务器在该过程中兼具代理者的作用。一旦认证服务器对其认证通过,作为申请者的交换机就升级为认证设备,为其他需要认证的交换机提供代理,此时,网络拓扑结构就变成图1所示的结构,即交换机升级成图1中的第二交换机作为代理者,其他交换机相当于图1中的第一交换机作为申请者,第一交换机作为申请者向认证服务器申请加入第二交换机所在网络,第二交换机充当代理者在第一交换机和认证服务器之间进行报文中转,将来自第一交换机的EAPoL报文转为RADIUS报文发到认证服务器,将认证服务器返回的RADIUS报文转为EAPoL报文发送给第一交换机。本发明实施例的方法具体包括如下步骤:
步骤101、认证服务器对与认证服务器直连的交换机的身份认证通过后,向交换机发送上报配置信息的请求报文;
交换机发起身份认证,将自己的用户名和密码发送给认证服务器,可以采用EAP的类型-长度-值(Type-length-value,简称:TLV)格式封装该报文。认证服务器接收到EAP报文后,和预先存储的数据信息进行匹配,一旦匹配成功,认证服务器向交换机发送上报配置信息的请求报文,该报文也可以采用EAP报文格式。
步骤102、认证服务器接收交换机的配置响应报文,该配置响应报文包括交换机根据请求报文查询得到的配置信息;
交换机在接收到来自认证服务器的请求报文后,根据请求报文中请求的内容,查询自己的配置,并将查询到的配置信息封装成配置响应报文发送给认证服务器,该报文可以采用EAP报文格式。
可选的,认证服务器逐次向交换机发送请求报文,各请求报文所请求的配置信息各不相同;对应于各次的请求报文,认证服务器接收配置响应报文,配置响应报文包括与当前请求报文对应的配置信息;认证服务器将各次的配置信息分别与设定的交换机配置信息进行匹配,当全部匹配成功后,开启与交换机直连的端口。
上述方法可以分多次获取第一交换机的配置信息,如果一次请求查询的配置信息较多,可能会造成配置响应报文过长,但是网络传输中对报文的长度是有限制的,过长的查询结果一个报文携带不了。因此,将过长的报文拆分开多次处理可以降低解析报文的难度,加快响应速度。
上述过程可以有两种实现方案,一种是认证服务器逐次向直连的交换机发出请求报文,对应于各请求报文的配置信息都收到后,认证服务器再分别匹配各次的配置信息;另一种是认证服务器对上一次请求报文请求的配置信息匹配成功之后,再发下一个请求报文,如果上一次匹配失败,则不会再发下一个请求报文。
交换机接入网络的认证过程中,认证服务器要求直连的交换机发送其配置信息可以分类别逐次进行,例如,按照配置信息的类别、重要性进行划分,认证服务器一次只要求交换机反馈其中的一个或多个配置信息,每次认证服务器将接收到的报文中的配置信息与设定的交换机配置信息进行匹配,如果匹配成功则请求交换机发送另一批配置信息再进行匹配。这样多次报文往返后,认证服务器可以查询完所有需要检测的配置信息。而在该过程中,一旦认证服务器发现出现信息不一致的情况,就会及时关闭与交换机直连的端口。认证服务器的上述过程的长短取决于认证服务器对交换机所要查询的配置信息的多少。
步骤103、认证服务器将配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与交换机直连的端口。
认证服务器接收到配置响应报文后,从中解析出配置信息,将该配置信息与设定的交换机配置信息进行匹配,如果匹配成功,认证服务器开启与交换机直连的端口。配置信息包括以下任一种或多种信息:协议配置信息、端口配置信息和过滤转发配置信息,其中,协议配置信息包括路由协议信息、组播协议信息和STP协议信息,端口配置信息包括风暴控制信息、端口聚合信息、端口镜像信息、端口隔离信息、流量控制信息和VLAN配置信息,过滤转发配置信息包括访问控制列表的配置。其中,端口聚合是指例如交换机上的两个端口A和B,服务器要求该交换机的配置是A端口和B端口聚合成一个端口;VLAN配置信息包括认证服务器可以要求交换机哪个端口在哪个VLAN,或者是哪几个端口组成一个VLAN。认证服务器对交换机的配置认证通过后,开启与交换机直连的端口,此时交换机可以向认证服务器传输TCP、UDP等业务报文,例如,RADIUS报文,而如果没有开启直连的端口,交换机只能向认证服务器传EAPoL报文。认证服务器对交换机的配置认证通过后,会向交换机发送一个RADIUS形式的认证成功报文。
在认证服务器开启与交换机直连的端口之后,为避免通过认证后交换机的配置信息发生变化,或者,认证服务器设定的交换机配置信息发生变化,导致交换机的配置信息与认证服务器设定的交换机配置信息不一致,造成安全隐患,可以采用以下方式检测交换机的配置信息是否有发生改变,避免上述问题发生:认证服务器逐次向交换机发送状态查询报文,各状态查询报文所请求的配置信息各不相同;对应于各次的状态查询报文,认证服务器接收状态响应报文,状态响应报文包括与当前状态查询报文对应的配置信息;对应于各次的状态查询报文,认证服务器将接收到的配置信息与设定的交换机配置信息进行匹配,当有一次状态查询报文中配置信息与设定的配置信息匹配失败后,关闭与交换机直连的端口。
上述方法可以分多次获取第一交换机的配置信息,如果一次请求查询的配置信息较多,可能会造成配置响应报文过长,但是网络传输中对报文的长度是有限制的,过长的查询结果一个报文携带不了。因此,将过长的报文拆分开多次处理可以降低解析报文的难度,加快响应速度。
上述过程可以有两种实现方案,一种是认证服务器逐次向第一交换机发出请求报文,对应于各请求报文的配置信息都收到后,认证服务器再分别匹配各次的配置信息;另一种是认证服务器对上一次请求报文请求的配置信息匹配成功之后,再发下一个请求报文,如果上一次匹配失败,则不会再发下一个请求报文。
无论是接入网络的认证过程还是接入网络后的再检测过程,认证服务器要求直连的交换机发送其配置信息可以分类别逐次进行,例如,按照配置信息的类别、重要性进行划分,认证服务器一次只要求交换机反馈其中的一个或多个配置信息,每次认证服务器将接收到的报文中的配置信息与设定的交换机配置信息进行匹配,如果匹配成功则请求交换机发送另一批配置信息再进行匹配。这样多次报文往返后,认证服务器可以查询完所有需要检测的配置信息。而在该过程中,一旦认证服务器发现出现信息不一致的情况,就会及时关闭与交换机直连的端口。认证服务器的上述过程的长短取决于认证服务器对交换机所要查询的配置信息的多少。
本实施例的技术方案,通过在对作为申请者的交换机进行身份认证后,再对该交换机的配置信息进行认证,实现远程集中监控网络环境中与认证服务器直连的交换机的配置信息安全检测,保证即将作为代理者的交换机按照认证服务器设定的配置进行工作,一旦其网络配置被修改,认证服务器将断开与该交换机的直连端口,有效降低了由配置信息的篡改造成的安全隐患的可能性。
在上述技术方案的基础上,在认证服务器开启与交换机直连的端口之后,为避免通过认证后交换机的配置信息发生变化,或者,认证服务器设定的交换机配置信息发生变化,导致交换机的配置信息与认证服务器设定的交换机配置信息不一致,造成安全隐患,还可以采用以下两种方式检测交换机的配置信息是否有发生改变,避免上述问题发生:认证服务器接收交换机主动发送的状态响应报文,状态响应报文包括交换机的配置信息;或者,认证服务器定期向交换机发送状态查询报文,接收交换机根据定期接收到的状态查询报文反馈的状态响应报文,状态响应报文包括交换机根据状态查询报文查询得到的配置信息。
认证服务器在开启了与交换机直连的端口之后,还可以采用两种方式检测该交换机的配置信息是否有发生改变,一种是交换机主动发送状态响应报文,该报文是由交换机的配置信息发生改变的事件触发的,另一种是认证服务器定期向交换机发送状态查询报文,交换机响应该报文发送状态响应报文。比较而言,定期查询的方式占用的系统资源较大,并且实时性不高,但优点是认证服务器可以根据交换机的响应来判断交换机的状态,即使交换机不给出响应,认证服务器也可以将其隔离;主动上报的方式具有很好的实时性,能够及时的发现交换机的配置发生变化,反应速度更快,但缺点是一旦交换机的数据收集或发送功能发生故障,认证服务器将一直认为该交换机处于可信状态。本发明实施例可以采用这两种方式结合的方式在开启与交换机直连的端口后继续检测其配置信息。
通过上述两种方式,认证服务器一旦发现直连的交换机的配置信息发生改变(状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败),就关闭与交换机直连的端口。状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败包括:状态响应报文中的配置信息发生变化,使得状态响应报文中的配置信息与当前设定的交换机配置信息不一致;或者,当前设定的交换机配置信息发生变化,使得状态响应报文中的配置信息与当前设定的交换机配置信息不一致。例如,认证服务器在刚开始接入认证的时候,要求交换机报告TCP21端口的状态,并要求TCP21端口为打开,而在运行一段时间后,认证服务器又被设定为希望TCP21端口关闭,若认证服务器感知到交换机的TCP21端口打开时,会关闭与交换机直连的端口。这样可以实现远程集中监控网络环境中与认证服务器直连的交换机的配置信息安全检测,保证即将作为代理者的交换机按照网络管理员预定的设置进行工作,一旦其网络配置被修改,认证服务器将断开与该交换机的直连端口,禁止其接入网络。
在上述技术方案的基础上,交换机发送给认证服务器的配置响应报文或者状态响应报文均可以采用EAP认证响应报文,认证服务器在对交换机进行认证的过程中可以采用两种认证方式,一种是直接根据EAP认证响应报文对交换机进行认证,另一种是将EAP认证响应报文转换为RADIUS接入请求报文,根据RADIUS接入请求报文对交换机进行认证。
实施例二
图4为本发明实施例二提供的认证服务器的端口认证方法的流程图,如图3所示,交换机和认证服务器直连的,交换机先作为申请者向认证服务器请求开启认证服务器上与交换机直连的端口,认证服务器在该过程中兼具代理者的作用。一旦认证服务器对其认证通过,作为申请者的交换机就升级为认证设备,为其他需要认证的交换机提供代理,此时,网络拓扑结构就变成图1所示的结构,即交换机升级成图1中的第二交换机作为代理者,其他交换机相当于图1中的第一交换机作为申请者,第一交换机作为申请者向认证服务器申请加入第二交换机所在网络,第二交换机充当代理者在第一交换机和认证服务器之间进行报文中转,将来自第一交换机的EAPoL报文转为RADIUS报文发到认证服务器,将认证服务器返回的RADIUS报文转为EAPoL报文发送给第一交换机。本发明实施例的方法具体包括如下步骤:
步骤201、交换机通过与交换机直连的认证服务器的身份认证后接收认证服务器发送的上报配置信息的请求报文;
交换机发起身份认证,将自己的用户名和密码发送给认证服务器,可以采用EAP的TLV格式封装该报文。认证服务器接收到EAP报文后,和预先存储的数据信息进行匹配,一旦匹配成功,认证服务器向交换机发送上报配置信息的请求报文,该报文也可以采用EAP报文格式。
步骤202、交换机根据请求报文查询得到对应的配置信息;
为了保证认证过程的安全可靠,在交换机与认证服务器直连的情况下,该交换机在通过认证服务器的认证之前,不允许任何其他网络设备接入该交换机。因此交换机在认证过程中要对自身的配置信息进行检查,确保其他业务端口都处于阻塞状态(即各个端口开启了802.1x协议),并将配置信息传递给认证服务器进行配置信息的认证。交换机在接收到来自认证服务器的请求报文后,根据请求报文中请求的内容,从各个配置模块中查询自己的配置,并将查询到的配置信息封装成配置响应报文发送给认证服务器,该报文可以采用EAP报文格式。
步骤203、交换机向认证服务器发送配置响应报文,该配置响应报文包括配置信息。
本实施例的技术方案,通过在对作为申请者的交换机进行身份认证后,再对该交换机的配置信息进行认证,实现远程集中监控网络环境中与认证服务器直连的交换机的配置信息安全检测,保证即将作为代理者的交换机按照网络管理员预定的设置进行工作,一旦其网络配置被修改,认证服务器将断开与该交换机的直连端口,有效降低了由配置信息的篡改造成的安全隐患的可能性。
实施例三
图5为本发明实施例三提供的网络拓扑的组成结构示意图,参照图5,根据上面的网络拓扑,共使用了4个认证服务器,为了保证网络的安全性,认证服务器开启端口认证功能,直连的交换机包括0-0、1-0、2-0、3-0,这些交换机均需要先作为申请者向各自直连的认证服务器发起认证来开启与认证服务器直连的端口,如果认证通过,交换机0-0、1-0、2-0、3-0升级为代理者,而分别与交换机0-0、1-0、2-0、3-0连接的交换机或终端可以作为新的申请者请求加入代理者所在网络,如果认证失败,会导致与其相连的任意一个交换机都无法接入网络,终端也无法互相通信,只有当认证服务器对直连的交换机认证通过,认证服务器开启直连端口,标准的“申请者”--“认证设备”--“认证服务器”的架构才能建立起来,此时认证服务器只需要拥有标准的RADIUS功能即可。例如,为了防止各个终端网络设备之间直接的互相访问,在交换机0-0的1、2、3端口(Port)设置了VLAN,将3个端口划分到不同的局域网中。交换机0-0的配置信息可以由管理员以配置文件的形式保存在认证服务器0-0,由认证服务器0-0的认证任务查询使用。交换机0-0在发起认证之后,认证服务器0-0和交换机0-0按照上述方法实施例中的步骤进行信息交互,认证服务器0-0会要求交换机0-0将自己的端口所属的VLAN信息发送上来,交换机0-0将端口1属于VLAN1,端口2属于VLAN2,端口3属于VLAN3等信息以TLV格式封装起来,发送给认证服务器0-0。认证服务器0-0将接收的配置信息和设定的交换机配置信息匹配后认定一致,则认证得以通过,认证服务器0-0开启与交换机0-0直连的端口,交换机0-0接入网络。认证服务器0-0会在后续的过程中定期的向交换机0-0发送状态查询报文,如果发现交换机0-0的端口1的VLAN值发生改变,认证服务器0-0会立刻关闭与交换机0-0直连的端口,将交换机0-0从网络中断开。
实施例四
图6为本发明实施例四提供的服务器的结构示意图,参照图6,该服务器包括:发送模块11、接收模块12和认证模块13,其中,发送模块11,用于对与服务器直连的交换机的身份认证通过后,向所述交换机发送上报配置信息的请求报文;接收模块12,用于接收所述交换机的配置响应报文,所述配置响应报文包括所述交换机根据所述请求报文查询得到的配置信息;认证模块13,用于将所述配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与所述交换机直连的端口。
在上述技术方案的基础上,所述接收模块12,还用于接收所述交换机主动发送的状态响应报文,所述状态响应报文包括所述交换机的配置信息。
在上述技术方案的基础上,所述发送模块11,还用于定期向所述交换机发送状态查询报文;所述接收模块12,还用于接收所述交换机根据定期接收到的状态查询报文反馈的状态响应报文,所述状态响应报文包括所述交换机根据所述状态查询报文查询得到的配置信息。
在上述技术方案的基础上,所述认证模块13,还用于将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配,当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后,关闭与所述交换机直连的端口。
在上述技术方案的基础上,所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败,包括:所述状态响应报文中的配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致;或者,所述当前设定的交换机配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
在上述技术方案的基础上,所述发送模块11,还用于逐次向所述交换机发送所述请求报文,各所述请求报文所请求的配置信息各不相同;所述接收模块12,还用于对应于各次的请求报文,接收配置响应报文,所述配置响应报文包括与当前请求报文对应的配置信息;所述认证模块13,还用于将各次的配置信息分别与设定的交换机配置信息进行匹配,当全部匹配成功后,开启与所述交换机直连的端口。
在上述技术方案的基础上,所述发送模块11,还用于逐次向所述交换机发送状态查询报文,各所述状态查询报文所请求的配置信息各不相同;所述接收模块12,还用于对应于各次的状态查询报文,接收状态响应报文,所述状态响应报文包括与当前状态查询报文对应的配置信息;所述认证模块13,还用于对应于各次的状态查询报文,将接收到的配置信息与设定的交换机配置信息进行匹配,当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后,关闭与所述交换机直连的端口。
在上述技术方案的基础上,所述配置响应报文或者所述状态响应报文为EAP认证响应报文;所述认证模块13,还用于根据所述EAP认证响应报文对所述交换机进行认证,或者,将所述EAP认证响应报文转换为RADIUS接入请求报文,根据所述RADIUS接入请求报文对所述交换机进行认证。
本发明实施例所提供的服务器可执行本发明任意实施例所提供的认证服务器的端口认证方法,具备执行方法相应的功能模块和有益效果。
实施例五
图7为本发明实施例五提供的交换机的结构示意图,参照图7,该交换机包括:接收模块21、查询模块22和发送模块23,其中,接收模块21,用于通过与交换机直连的认证服务器的身份认证后接收所述认证服务器发送的上报配置信息的请求报文;查询模块22,用于根据所述请求报文查询得到对应的配置信息;发送模块23,用于向所述认证服务器发送配置响应报文,所述配置响应报文包括所述配置信息。
在上述技术方案的基础上,所述发送模块23,还用于在配置信息发生改变时,向所述认证服务器发送状态响应报文,所述状态响应报文包括改变后的配置信息;或者,在接收到所述认证服务器发送的状态查询报文时,向所述认证服务器发送状态响应报文,所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
本发明实施例所提供的交换机可执行本发明任意实施例所提供的认证服务器的端口认证方法,具备执行方法相应的功能模块和有益效果。
实施例六
图8为本发明实施例六提供的一种设备的结构示意图,如图8所示,该设备可以是实施例四中的服务器,也可以是实施例五中的交换机,该设备包括处理器30、存储器31、输入装置32和输出装置33;设备中处理器30的数量可以是一个或多个,图8中以一个处理器30为例;设备中的处理器30、存储器31、输入装置32和输出装置33可以通过总线或其他方式连接,图8中以通过总线连接为例。
存储器31作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的认证服务器的端口认证方法对应的程序指令/模块。处理器30通过运行存储在存储器31中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的认证服务器的端口认证方法。
存储器31可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器31可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器31可进一步包括相对于处理器30远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置32可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置33可包括显示屏等显示设备。
实施例七
本发明实施例七还提供一种包含可执行指令的存储介质,所述可执行指令在由处理器执行时用于执行本发明任意实施例所提供的认证服务器的端口认证方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明实施例可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明实施例各个实施例所述的方法。
值得注意的是,上述装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明实施例的保护范围。
注意,上述仅为本发明实施例的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明实施例不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明实施例的保护范围。因此,虽然通过以上实施例对本发明实施例进行了较为详细的说明,但是本发明实施例不仅仅限于以上实施例,在不脱离本发明实施例构思的情况下,还可以包括更多其他等效实施例,而本发明实施例的范围由所附的权利要求范围决定。
Claims (14)
1.一种认证服务器的端口认证方法,其特征在于,所述方法适用于交换机向认证服务器申请开启所述认证服务器上与所述交换机直连的端口的场景,所述方法包括:
所述认证服务器对与所述认证服务器直连的交换机的身份认证通过后,向所述交换机发送上报配置信息的请求报文;
所述认证服务器接收所述交换机的配置响应报文,所述配置响应报文包括所述交换机根据所述请求报文查询得到的配置信息,所述配置信息用于保证所述交换机按照所述认证服务器设定的配置进行工作,所述配置信息包括以下任一种或多种信息:协议配置信息、端口配置信息和过滤转发配置信息;
所述认证服务器将所述配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与所述交换机直连的端口。
2.根据权利要求1所述的方法,其特征在于,在所述认证服务器开启与所述交换机直连的端口之后,还包括:
所述认证服务器接收所述交换机主动发送的状态响应报文,所述状态响应报文包括所述交换机的配置信息;或者,
所述认证服务器定期向所述交换机发送状态查询报文,接收所述交换机根据定期接收到的状态查询报文反馈的状态响应报文,所述状态响应报文包括所述交换机根据所述状态查询报文查询得到的配置信息。
3.根据权利要求2所述的方法,其特征在于,在所述认证服务器接收所述交换机主动发送的状态响应报文之后,或者,在所述认证服务器接收所述交换机根据定期接收到的状态查询报文反馈的状态响应报文之后,还包括:
所述认证服务器将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配,当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后,关闭与所述交换机直连的端口。
4.根据权利要求3所述的方法,其特征在于,所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败,包括:
所述状态响应报文中的配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致;或者,所述当前设定的交换机配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
5.根据权利要求1所述的方法,其特征在于,在所述认证服务器开启与所述交换机直连的端口之前,还包括:
所述认证服务器逐次向所述交换机发送所述请求报文,各所述请求报文所请求的配置信息各不相同;
对应于各次的请求报文,所述认证服务器在接收到配置响应报文,所述配置响应报文包括与当前请求报文对应的配置信息;
所述认证服务器将各次的配置信息分别与设定的交换机配置信息进行匹配,当全部匹配成功后,确定开启与所述交换机直连的端口。
6.根据权利要求1所述的方法,其特征在于,在所述认证服务器开启与所述交换机直连的端口之后,还包括:
所述认证服务器逐次向所述交换机发送状态查询报文,各所述状态查询报文所请求的配置信息各不相同;
对应于各次的状态查询报文,所述认证服务器接收状态响应报文,所述状态响应报文包括与当前状态查询报文对应的配置信息;
对应于各次的状态查询报文,所述认证服务器将接收到的配置信息分别与设定的交换机配置信息进行匹配,当有一次状态查询报文中配置信息与设定的配置信息匹配失败后,关闭与所述交换机直连的端口。
7.根据权利要求2-4和权利要求6中任一项所述的方法,其特征在于,所述配置响应报文或者所述状态响应报文为EAP认证响应报文;所述方法还包括:
所述认证服务器根据所述EAP认证响应报文对所述交换机进行认证,或者,所述认证服务器将所述EAP认证响应报文转换为RADIUS接入请求报文,根据所述RADIUS接入请求报文对所述交换机进行认证。
8.一种认证服务器的端口认证方法,其特征在于,包括:
交换机在通过与所述交换机直连的认证服务器的身份认证后,接收所述认证服务器发送的上报配置信息的请求报文;
所述交换机根据所述请求报文查询得到对应的配置信息;
所述交换机向所述认证服务器发送配置响应报文,所述配置响应报文包括所述配置信息,所述配置信息用于保证所述交换机按照所述认证服务器设定的配置进行工作,所述配置信息包括以下任一种或多种信息:协议配置信息、端口配置信息和过滤转发配置信息;
所述交换机通过配置认证后,接收所述认证服务器发送的认证成功的报文。
9.根据权利要求8所述的方法,其特征在于,在所述交换机接收所述认证服务器发送的认证成功的报文之后,还包括:
所述交换机在配置信息发生改变时,向所述认证服务器发送状态响应报文,所述状态响应报文包括改变后的配置信息;或者,
所述交换机在接收到所述认证服务器发送的状态查询报文时,向所述认证服务器发送状态响应报文,所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
10.一种服务器,其特征在于,包括:
发送模块,用于对与服务器直连的交换机的身份认证通过后,向所述交换机发送上报配置信息的请求报文;
接收模块,用于接收所述交换机的配置响应报文,所述配置响应报文包括所述交换机根据所述请求报文查询得到的配置信息,所述配置信息用于保证所述交换机按照所述认证服务器设定的配置进行工作,所述配置信息包括以下任一种或多种信息:协议配置信息、端口配置信息和过滤转发配置信息;
认证模块,用于将所述配置信息与设定的交换机配置信息进行匹配,当匹配成功后,开启与所述交换机直连的端口。
11.一种交换机,其特征在于,包括:
接收模块,用于在通过与交换机直连的认证服务器的身份认证后,接收所述认证服务器发送的上报配置信息的请求报文;
查询模块,用于根据所述请求报文查询得到对应的配置信息;
发送模块,用于向所述认证服务器发送配置响应报文,所述配置响应报文包括所述配置信息,所述配置信息用于保证所述交换机按照所述认证服务器设定的配置进行工作,所述配置信息包括以下任一种或多种信息:协议配置信息、端口配置信息和过滤转发配置信息;
所述接收模块,还用于通过配置认证后,接收所述认证服务器发送的认证成功的报文。
12.一种服务器,其特征在于,所述服务器包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的认证服务器的端口认证方法。
13.一种交换机,其特征在于,所述交换机包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求8或9所述的认证服务器的端口认证方法。
14.一种计算机可读存储介质,其上存储有可执行指令,其特征在于,所述可执行指令在由处理器执行时用于执行如权利要求1-9中任一所述的认证服务器的端口认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810401269.9A CN108712398B (zh) | 2018-04-28 | 2018-04-28 | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810401269.9A CN108712398B (zh) | 2018-04-28 | 2018-04-28 | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108712398A CN108712398A (zh) | 2018-10-26 |
| CN108712398B true CN108712398B (zh) | 2021-07-16 |
Family
ID=63868715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810401269.9A Active CN108712398B (zh) | 2018-04-28 | 2018-04-28 | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108712398B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109617918B (zh) * | 2019-01-21 | 2021-11-05 | 锚丁科技(武汉)有限责任公司 | 一种安全运维网关及其运维方法 |
| CN112417402B (zh) * | 2020-11-27 | 2024-04-12 | 亿企赢网络科技有限公司 | 权限控制方法、权限控制装置、权限控制设备及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7103772B2 (en) * | 2003-05-02 | 2006-09-05 | Giritech A/S | Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers |
| CN101150406B (zh) * | 2006-09-18 | 2011-06-08 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及相关装置 |
| CN101355557B (zh) * | 2008-09-05 | 2011-06-22 | 杭州华三通信技术有限公司 | 在mpls/vpn网络中实现网络接入控制的方法及系统 |
| CN106209750B (zh) * | 2015-05-08 | 2019-11-19 | 深圳市腾讯计算机系统有限公司 | 一种网络分配方法、服务器、网络接入设备及系统 |
| US20170010783A1 (en) * | 2015-07-07 | 2017-01-12 | The John Avery Company | Emergency call smart phone application |
| CN107086997A (zh) * | 2017-04-20 | 2017-08-22 | 无锡锐格思信息技术有限公司 | 通过syslog协议上报设备的配置信息的方法 |
| CN107395566B (zh) * | 2017-06-16 | 2020-10-23 | 北京小米移动软件有限公司 | 认证方法及装置 |
| CN107919982A (zh) * | 2017-10-31 | 2018-04-17 | 江苏省未来网络创新研究院 | 一种dci管理平台及其管理方法 |
| CN107623701B (zh) * | 2017-10-31 | 2020-07-14 | 江苏神州信源系统工程有限公司 | 一种基于802.1x的快速安全认证方法与装置 |
-
2018
- 2018-04-28 CN CN201810401269.9A patent/CN108712398B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108712398A (zh) | 2018-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7934258B2 (en) | System and method for remote authentication security management | |
| US7836488B2 (en) | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network | |
| JP5068495B2 (ja) | 分散型認証機能 | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
| US20150207793A1 (en) | Feature Enablement or Disablement Based on Discovery Message | |
| CN113556274B (zh) | 终端接入认证的方法、装置、系统、控制器及设备 | |
| US20090064291A1 (en) | System and method for relaying authentication at network attachment | |
| US20120054358A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| WO2017012142A1 (zh) | 一种双连接安全通讯的方法及装置 | |
| US20120054359A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| CN107995216B (zh) | 一种安全认证方法、装置、认证服务器及存储介质 | |
| WO2003081839A1 (fr) | Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x | |
| CN108712398B (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| CN110868362B (zh) | 一种MACsec非受控端口报文的处理方法及装置 | |
| CN111901116B (zh) | 一种基于eap-md5改进协议的身份认证方法及系统 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN108667832B (zh) | 基于配置信息的认证方法、服务器、交换机和存储介质 | |
| US20230099263A1 (en) | Secure link aggregation | |
| CN100428748C (zh) | 一种基于双重身份的多方通信方法 | |
| KR20170038568A (ko) | Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법 | |
| Khemissa et al. | Centralized architecture for ECU security management in connected and autonomous vehicles | |
| CN112929417B (zh) | 报文处理方法及装置 | |
| US8607058B2 (en) | Port access control in a shared link environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |