CN108881308B - 一种用户终端及其认证方法、系统、介质 - Google Patents
一种用户终端及其认证方法、系统、介质 Download PDFInfo
- Publication number
- CN108881308B CN108881308B CN201810907976.5A CN201810907976A CN108881308B CN 108881308 B CN108881308 B CN 108881308B CN 201810907976 A CN201810907976 A CN 201810907976A CN 108881308 B CN108881308 B CN 108881308B
- Authority
- CN
- China
- Prior art keywords
- savi
- address
- authentication
- user
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
- H04L61/2553—Binding renewal aspects, e.g. using keep-alive messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/686—Types of network addresses using dual-stack hosts, e.g. in Internet protocol version 4 [IPv4]/Internet protocol version 6 [IPv6] networks
Abstract
本发明提供了一种用户终端的认证方法,该方法包括:S1,将用户信息发送至SAVI交换机,该SAVI交换机用于将用户信息转发RADIUS服务器,RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至SAVI交换机,其中,若该认证结果为认证通过,则将用户信息中的MAC地址及用户名对应地存储于SAVI数据库中;S2,获取SAVI交换机发送的认证结果;S3,向SAVI地址生成服务器发送IPv6地址分配请求,其中,所述IPv6地址分配请求中包括用户终端的MAC地址,SAVI地址生成服务器根据该MAC地址在SAVI数据库中查询是否存在对应的用户名,若存在,则向用户终端发送IPv6地址;S4,获取SAVI地址生成服务器发送的IPv6地址。另外,本公开还公开了一种用户终端,认证系统和计算机可读介质。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种用户终端及其认证方法、系统、介质。
背景技术
近年来,随着中国互联网产业的高速发展,信息网络已经成为社会发展必不可少的工具,为保证用户上网地址的安全合法性,基于源地址合法性验证的(SAVI,SourceAddress Validation Architecture)技术得到越来越广泛的应用,尤其是教育网内部的SAVI系统更是保证用户真实源地址认证上网的重要保证。在教育网内部,学校里面的用户,例如学生,在通过SAVI系统上网时,需要提供注册过的用户NID(网络识别码,此处指用户名)和密码,NID一般会和学号等身份信息绑定,当用户上网时,输入自己的NID和密码,上网登录系统会对其进行验证,验证通过后,SAVI系统会给用户分配IPv6地址,该IPv6地址后64位会含有NID的信息,当用户访问IPv6网站时,用户可以通过分配的IPv6地址对外通信,网络管理员也可以通过IPv6地址追溯NID信息,进而得出上网用户的学号等身份信息。
在对SAVI系统的认证过程中需要用户输入NID和密码,传统的方式是需要开发各种平台上网客户端,如需要开发的Windows、Linux、MAC iOS、iOS、Andriod等版本的客户端,部署、运营成本很高,而且用户需要根据自己的计算机类型自行安装客户端,使用起来很不方便,有的平台还需要很高的root权限,导致很多用户的计算机因为无法实现root而不能上网。
发明内容
基于以上问题,本发明提供了一种用户终端及其认证方法、系统、介质,具体包括如下:
本发明公开了一种用户终端的认证方法,包括:
S1,将用户信息发送至SAVI交换机,该SAVI交换机用于将用户信息转发RADIUS服务器,RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至SAVI交换机,其中,若该认证结果为认证通过,则将用户信息中的MAC地址及用户名对应地存储于SAVI数据库中;
S2,获取SAVI交换机发送的认证结果;
S3,向SAVI地址生成服务器发送IPv6地址分配请求,其中,IPv6地址分配请求中包括用户终端的MAC地址,SAVI地址生成服务器根据该MAC地址在SAVI数据库中查询是否存在对应的用户名,若存在,则向用户终端发送IPv6地址;
S4,获取SAVI地址生成服务器发送的IPv6地址。
可选地,步骤S1之前还包括:
S0,与SAVI交换机建立连接;
S0’,获取SAVI交换机发送的802.1x认证消息,该802.1x认证消息用于提示用户输入用户信息。
可选地,SAVI交换机包括MIB绑定表,步骤S4还包括:SAVI交换机将IPv6地址和MAC地址存入MIB绑定表中,该MIB绑定表用于供SAVI网管系统周期性地查询,若SAVI网管系统查询MIB绑定表有新的IPv6地址和MAC地址时,将新的IPv6地址和MAC地址存储于SAVI数据库中。
可选地,用户终端的认证方法,还包括:
S51,向SAVI地址生成服务器发送断网请求,SAVI地址生成服务器根据MAC地址将SAVI数据库中对应的用户信息删除。
可选地,用户终端的认证方法,还包括:
S52,未向SAVI地址生成服务器发送断网请求而直接断网,SAVI交换机删除MIB绑定表中的IPv6地址和MAC地址,以使SAVI网管系统在MIB绑定表中查询不到对应的IPv6地址和MAC地址,从而删除SAVI数据库中对应的IPv6地址和MAC地址。
本发明还提供了一种SAVI交换机的认证方法,包括:
S1,接收用户信息,并将用户信息发送至RADIUS服务器,RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,其中,若该认证结果为认证通过,则将用户信息中的MAC地址及用户名对应地存储于SAVI数据库中,并将认证结果发送至SAVI交换机;
S2,获取RADIUS服务器发送的认证结果,并将该认证结果转发至用户终端,使用户终端向SAVI地址生成服务器发送IPv6地址分配请求,其中,IPv6地址分配请求中包括用户终端的MAC地址,SAVI地址生成服务器根据该MAC地址在SAVI数据库中查询是否存在对应的用户名,若存在,则生成IPv6地址,并将IPv6地址发送至SAVI交换机;
S3,接收IPv6地址,并将IPv6地址发送至用户终端。
可选地,SAVI交换机的认证方法,还包括:
S0,与用户终端建立连接;
S0’,向用户终端发送的802.1x认证消息,以提示用户输入用户信息。
本发明还提供了一种用户终端,包括:
处理器;
存储器,其存储有计算机可执行程序,该程序在被处理器执行时,使得处理器执行上述认证方法。
本发明还提供了一种用户终端认证系统,包括:
用户认证模块,将用户信息发送至SAVI交换机,该SAVI交换机用于将用户信息转发RADIUS服务器,RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至SAVI交换机,其中,若该认证结果为认证通过,则将用户信息中的MAC地址及用户名对应地存储于SAVI数据库中;
获取认证结果模块,获取SAVI交换机发送的认证结果;
IPv6地址请求模块,向SAVI地址生成服务器发送IPv6地址分配请求,其中,IPv6地址分配请求中包括用户终端的MAC地址,SAVI地址生成服务器根据该MAC地址在SAVI数据库中查询是否存在对应的用户名,若存在,则向用户终端发送IPv6地址;
获取IPv6地址模块,获取SAVI地址生成服务器发送的IPv6地址。
本发明还提供了一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行上述认证方法。
附图说明
图1示意性示出了本公开实施例用户终端认证的系统结构示意图。
图2示意性示出了本公开实施例中用户终端认证的详细流程图。
图3示意性示出了本公开实施例中用户终端认证的方法流程图。
图4示意性示出了本公开实施例中的用户终端框图。
图5示意性示出了本公开实施例中用户终端认证的系统框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
802.1x协议是基于Client/Server的访问控制和认证协议,其可以限制未经授权的用户/设备通过端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证,在通过认证之前,802.1x只允许基于局域网的扩展认证协议(EAPOL)数据通过设备连接的交换机端口,认证通过以后,正常的数据可以顺利地通过以太网端口。
在传统的IPv4的网络中,在转发IP地址时,很少对IP的源地址的真实性进行检查,因此IP源地址容易被伪造,造成很多网络安全问题,IPv6引入后,在协议的安全性上有了显著提高,但仍没有完全解决源地址欺骗所带来的安全问题,基于源地址欺骗的网络攻击仍是IPv6网络的主要安全威胁之一。随着IPv4地址的枯竭,IPv6得到了越来越广泛的应用,因此真实源地址验证成为了构建下一代互联网的基础,近年来国内外的研究中,基于源地址合法性验证的(SAVI,Source Address Validation Architecture)得到了国际互联网标准化组织互联网工程任务组的验证,受到了国内外研究机构的一致肯定,该技术可以根据在网络中部署位置的不同,其将源地址验证方案分成相互协作的三种机制,分别为:接入网IPv6源地址验证,域内IPv6源地址验证,域间IPv6源地址验证。这三种机制可以分别实现IP地址、IP前缀、自治系统之间三个不同颗粒度的真实IPv6源地址验证,因此,SAVI验证体系很好第适应了现有互联网分层体系,支持分层部署在网络不同位置、满足不同粒度需求的源地址验证,可以通过三个不同网络层级的源地址验证、识别,对伪造源地址的分组进行过滤,进而保证网络中所有分组源IPv6地址的全网唯一性,另外,该验证体系还可以通过在接入网内和其他不同网络层级上建立不同颗粒度的IPv6地址到其他标识的绑定关系,可以将IPv6地址逐级定位到最终网络实体,保证任何攻击行为的可追溯性。
本发明将802.1x认证技术和SAVI认证系统结合,使各种类型的网络终端无需安装认证客户端即可实现实时、高效、安全的上网功能,极大的节省了各种客户端开发和部署成本。
图1示意性示出了本公开实施例用户终端认证的系统结构示意图,由图1可以看出该系统主要包括网络接口、同时开启802.1x和SAVI的交换机、SAVI地址生成服务器、SAVI网管服务器、RADIUS服务器、SAVI数据库、无线访问接入点(AP,Wireless Access point),以及各个网络终端。
其中,网络接口用于将交换机接入网络实现信息交换;
SAVI交换机,其具有802.1x认证功能,可以在用户认证通过后为其开启对应的网络接入端口,进而可以进行数据包的传递,该交换机不需要配置路由通告(RA,RouterAdvertisement)报文中的路由地址前缀信息,使用户终端无法获得无状态IPv6地址,只能通过SAVI地址生成服务器申请有状态IPv6地址,该SAVI的交换机同时开启了SAVI功能,监听SAVI地址生成服务器的回应包,当SAVI地址生成服务器经过SAVI交换机为用户返回IPv6地址时,会将用户的MAC地址和IPv6地址加入其内的MIB绑定表中,为该用户的IPv6地址分配端口,此后,该端口则允许该IPv6地址的数据包进行传输,进而使用户可以通过交换机和网络接口进行数据交互。
RADIUS服务器,用户进行802.1x认证通过后,通过查询SAVI数据库对用户认证信息进行认证,将认证结果返回SAVI交换机,同时将认证通过的用户信息存入SAVI数据库的在线用户表中。
SAVI地址生成服务器,用于当用户终端通过802.1x认证后,接收用户终端IPv6地址分配请求,为用户终端返回IPv6地址,同时将IPv6地址和用户终端的MAC地址放入SAVI数据库的在线用户表的对应表项中;当用户终端发送了断网请求(DHCP Release请求)时,该SAVI地址生成服务器收到请求后,会根据该用户终端的MAC地址删除SAVI数据库的在线用户表中对应的表项,该表项中包括用户的NID,IPv6地址等信息。
SAVI网管系统,用于定期查看MIB绑定表,在MIB绑定表中有新用户信息时,将所述新用户信息中的MAC地址和IPv6地址存储在所述SAVI数据库的日志记录表中,该日志记录表可以长时间保持用户的MAC地址、IPv6地址等信息。当用户终端通过直接关机或拔网线等方式断网时,SAVI交换机会根据物理链路删除MIB绑定表中对应的表项,SAVI的网管系统读取到MIB绑定表中的表项被删除后,删除SAVI数据库中在线用户表中对应的表项。
无线访问接入点AP,用于无线设备用户接入有线网络。
另外,该系统还包括存在于用户终端操作系统中的802.1x认证系统,用于当用户终端初始联网时,弹出对话框,提示用户输入SAVI系统的NID和密码,并将该NID和密码通过基于局域网的扩展认证协议(EAPOL,Extensible Authentication Protocol Over LAN)转发给SAVI交换机。
图2示意性示出了本公开实施例中用户终端认证的详细流程图;图3示意性示出了本公开实施例中用户终端认证的方法流程图。
如图2和图3所示,该用户终端的认证过程如下:
S1,将用户信息发送至SAVI交换机,该SAVI交换机用于将用户信息转发RADIUS服务器,RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至SAVI交换机,其中,若该认证结果为认证通过,则将用户信息中的MAC地址及用户名对应地存储于SAVI数据库中。
当用户终端物理连上SAVI交换机时,即有线终端插上网线并开机,或者无线终端连上无线AP时,SAVI交换机会与用户终端进行通信,首先,在用户终端上,由于SAVI交换机包括802.1x功能,因此操作系统会弹出802.1x认证对话框,提示用户输入NID和密码,用户输入NID和密码后,提交认证。
SAVI交换机将用户认证信息(NID和密码)转发给RADIUS系统,RADIUS系统包含有SAVI数据库,在SAVI数据库中包含有预设的用户认证信息,RADIUS系统通过将转发而来的用户认证信息和SAVI数据库中预设的用户信息进行比对,如果相同则认证成功,此时RADIUS系统会将用户终端的MAC地址、用户NID等用户信息绑定后存储于SAVI数据库的在线用户表中,如果RADIUS系统认证失败,则会向SAVI交换机返回失败原因,RADIUS系统认证成功后,会向SAVI交换机返回认证成功的结果。
S2,获取SAVI交换机发送的认证结果。
SAVI交换机得到RADIUS系统返回的认证结果后会将认证结果转发给用户终端,如果没有通过认证,则用户终端向网络发送的请求就得不到响应,如果认证成功,则用户终端向网络发送的请求会进一步得到响应,具体的实现步骤如下:
S21,如果认证通过,则SAVI交换机会打开用户终端接入的物理端口,使用户的数据包能够传输;
S22,SAVI交换机为用户终端打开物理端口后,用户终端的数据包可以通过该端口传输。
S3,向SAVI地址生成服务器发送IPv6地址分配请求,其中,所述IPv6地址分配请求中包括所述用户终端的MAC地址,SAVI地址生成服务器根据该MAC地址在所述SAVI数据库中查询是否存在对应的用户名,若存在,则向用户终端发送IPv6地址。
SAVI交换机为用户终端打开物理端口后,此时用户终端会通过该端口向SAVI地址生成服务器发送IPv6地址请求,其中,在用户发送的请求中包含有用户终端的MAC地址,SAVI地址生成服务器收到IPv6地址请求后,根据该用户终端的MAC地址再次查询SAVI数据库,如果查到对应的NID,则根据该MAC地址、NID和时间为用户终端分配全球单播的IPv6地址,并将该IPv6地址返回给该用户终端,同时返回DNS服务器地址和默认网关地址,并通过该SAVI交换机的物理端口将IPv6地址、DNS服务器地址和默认网关地址返回给用户终端,这样用户可以访问外部网站。
S4,获取SAVI地址生成服务器发送的IPv6地址。
SAVI地址生成服务器向该用户终端发送IPv6地址的同时会发送DNS服务器地址和默认网关地址,并通过SAVI交换机的物理端口将IPv6地址、DNS服务器地址和默认网关地址返回给用户终端,这样用户可以访问外部网站。
SAVI交换机在传输IPv6地址同时会将用户的MAC地址和IPv6地址加入其内的MIB绑定表中,该MIB绑定表主要进行访问控制,MIB绑定表允许存在于其中的IPv6地址的数据包通过SAVI交换机物理端口,进而使用户终端可以通过交换机与网络接口进行数据交互。
SAVI地址生成服务器为用户返回IPv6地址后,会将该IPv6地址添加到SAVI数据库的在线用户表中,此时即完成了连网过程。
当用户终端成功接入网络后,SAVI网管系统会定期查看SAVI交换机中的MIB绑定表中的表项,获取在线用户及用户终端的信息,如MAC地址、NID、IPv6地址等等,当MIB绑定表中有新的用户信息时,将新用户信息中的MAC地址、IPv6地址等信息存储在SAVI数据库的日志记录表中,用于长时间记录用户上网信息。
该日志记录表保存用户上网信息(如MAC地址、IPv6地址等)的时间,可以根据不同的业务需求设置不同的IPv6地址生存期,如暑假时用户上网频繁,此时就可以将IPv6地址生存期设置的长一些,例如20天、30天等,当网络系统存在安全隐患时,可以设置的时间短一些,用户认证频繁一些,以保证上网安全性等,在IPv6地址的生存期内,断网后的用户再次请求上网时,可以直接由SAVI地址生成服务器调出日志记录表中的IPv6地址给用户,此时用户不必再重新进行802.1x认证。
值得注意的是,由于SAVI交换机被配置成用有状态SAVI地址生成服务器分配用户终端IPv6地址,因此用户终端一旦连上物理网络就会向SAVI地址生成服务器发送分配IPv6地址请求,如果用户首次接入网络还没来得及进行802.1x认证或者认证失败或者用户再次接入网络的时间超过了IPv6地址生存期的期限,SAVI数据库中的在线用户表和日志记录表中就不会存在用户的MAC地址和NID信息,此时用户终端的IPv6地址请求就得不到响应,而后用户终端会反复向SAVI地址生成服务器发送IPv6地址请求,如果用户终端在反复发送IPv6地址请求的过程中,用户输入了NID和密码,通过了认证,则SAVI数据库会立即存在用户终端的MAC地址和NID,进而SAVI地址生成服务器会为其分配IPv6地址,使其成功接入网络。
S5,向SAVI地址生成服务器发送断网请求,SAVI地址生成服务器根据MAC地址将SAVI数据库中对应的用户信息删除;未向SAVI地址生成服务器发送断网请求而直接断网,SAVI交换机删除MIB绑定表中的IPv6地址和MAC地址,SAVI的网管系统查不到对应的IPv6地址和MAC地址,删除SAVI数据库中对应的用户信息。
当用户终端需要断网离开时,如果用户终端发送了断网请求(DHCP Release),SAVI地址生成服务收到请求后,根据该用户终端的MAC地址删除SAVI数据库的在线用户表中对应的表项,该表项中包括用户的NID,IPv6地址等信息。
如果用户终端通过直接关机或拔网线等方式断网,则SAVI交换机会根据物理链路删除MIB绑定表中的表项,SAVI的网管系统读取到MIB绑定表中的表项被删除,而后删除SAVI数据库中在线用户表中对应的表项。
综上所述,本发明通过将802.1x技术和SAVI认证系统相结合,可以使用户上网时,不必安装上网认证客户端,避免各种终端操作系统的不兼容等问题,实现实时、高效上网认证,极大的节约了各种客户端开发和部署成本。
如图4所示,用户终端400包括处理器410和存储器420。该用户终端400可以执行上面参考图3描述的方法,以进行消息处理。
具体地,处理器410例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器410还可以包括用于缓存用途的板载存储器。处理器410可以是用于执行参考图3描述的根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
存储器420,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
存储器420可以包括计算机程序421,该计算机程序421可以包括代码/计算机可执行指令,其在由处理器410执行时使得处理器410执行例如上面结合图3所描述的方法流程及其任何变形。
计算机程序421可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序421中的代码可以包括一个或多个程序模块,例如包括421A、模块421B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器410执行时,使得处理器410可以执行例如上面结合图3所描述的方法流程及其任何变形。
图5示意性示出了根据本公开实施例的用户终端认证的系统框图。
如图5所示,用户终端认证的系统500包括:用户认证模块510、获取认证结果模块520、IPv6地址请求模块530及获取IPv6地址模块540。
具体的,用户认证模块510,将用户信息发送至SAVI交换机,该SAVI交换机用于将用户信息转发RADIUS服务器,所述RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至SAVI交换机,其中,若该认证结果为认证通过,则将用户信息中的MAC地址及用户名对应地存储于SAVI数据库中;
获取认证结果模块520,获取SAVI交换机发送的认证结果;
IPv6地址请求模块530,向SAVI地址生成服务器发送IPv6地址分配请求,其中,IPv6地址分配请求中包括用户终端的MAC地址,SAVI地址生成服务器根据该MAC地址在SAVI数据库中查询是否存在对应的用户名,若存在,则向用户终端发送IPv6地址;
获取IPv6地址模块540,获取SAVI地址生成服务器发送的IPv6地址。
可以理解的是,用户认证模块510、获取认证结果模块520、IPv6地址请求模块530及获取IPv6地址模块540可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本发明的实施例,用户认证模块510、获取认证结果模块520、IPv6地址请求模块530及获取IPv6地址模块540中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以以对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式的适当组合来实现。或者,用户认证模块510、获取认证结果模块520、IPv6地址请求模块530及获取IPv6地址模块540中的至少一个可以至少被部分地实现为计算机程序模块,当该程序被计算机运行时,可以执行相应模块的功能。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种用户终端的认证方法,包括:
S0,与SAVI交换机建立连接;
S0’,获取所述SAVI交换机发送的802.1x认证消息,该802.1x认证消息用于提示所述用户输入用户信息;
S1,将用户信息发送至SAVI交换机,该SAVI交换机用于将所述用户信息转发RADIUS服务器,所述RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至所述SAVI交换机,其中,若该认证结果为认证通过,则将所述用户信息中的MAC地址及用户名对应地存储于所述SAVI数据库中;
S2,获取所述SAVI交换机发送的认证结果;
S3,向SAVI地址生成服务器发送IPv6地址分配请求,其中,所述IPv6地址分配请求中包括所述用户终端的MAC地址,所述SAVI地址生成服务器根据该MAC地址在所述SAVI数据库中查询是否存在对应的用户名,若存在,则向所述用户终端发送IPv6地址;
S4,获取所述SAVI地址生成服务器发送的IPv6地址。
2.根据权利要求1所述的用户终端的认证方法,其中,所述SAVI交换机包括MIB绑定表,步骤S4还包括:所述SAVI交换机将所述IPv6地址和MAC地址存入MIB绑定表中,该MIB绑定表用于供SAVI网管系统周期性地查询,若所述SAVI网管系统查询所述MIB绑定表有新的IPv6地址和MAC地址时,将所述新的IPv6地址和MAC地址存储于所述SAVI数据库中。
3.根据权利要求1所述的用户终端的认证方法,还包括:
S51,向所述SAVI地址生成服务器发送断网请求,所述SAVI地址生成服务器根据所述MAC地址将所述SAVI数据库中对应的用户信息删除。
4.根据权利要求2所述的用户终端的认证方法,还包括:
S52,未向SAVI地址生成服务器发送断网请求而直接断网,所述SAVI交换机删除所述MIB绑定表中的所述IPv6地址和MAC地址,以使所述SAVI网管系统在所述MIB绑定表中查询不到对应的IPv6地址和MAC地址,从而删除SAVI数据库中对应的IPv6地址和MAC地址。
5.一种SAVI交换机的认证方法,包括:
S0,与用户终端建立连接;
S0’,向所述用户终端发送802.1x认证消息,以提示用户输入用户信息;
S1,接收用户信息,并将所述用户信息发送至RADIUS服务器,所述RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,其中,若该认证结果为认证通过,则将所述用户信息中的MAC地址及用户名对应地存储于所述SAVI数据库中,并将认证结果发送至所述SAVI交换机;
S2,获取所述RADIUS服务器发送的认证结果,并将该认证结果转发至用户终端,使所述用户终端向SAVI地址生成服务器发送IPv6地址分配请求,其中,所述IPv6地址分配请求中包括所述用户终端的MAC地址,所述SAVI地址生成服务器根据该MAC地址在所述SAVI数据库中查询是否存在对应的用户名,若存在,则生成IPv6地址,并将所述IPv6地址发送至所述SAVI交换机;
S3,接收所述IPv6地址,并将所述IPv6地址发送至所述用户终端。
6.一种用户终端,包括:
处理器;
存储器,其存储有计算机可执行程序,该程序在被所述处理器执行时,使得所述处理器执行如权利要求1~5中的认证方法。
7.一种用户终端认证系统,包括:
用户认证模块,与SAVI交换机建立连接,获取所述SAVI交换机发送的802.1x认证消息,该802.1x认证消息用于提示所述用户输入用户信息,将用户信息发送至SAVI交换机,该SAVI交换机用于将所述用户信息转发RADIUS服务器,所述RADIUS服务器通过查询SAVI数据库对用户信息进行802.1x认证,并将认证结果发送至所述SAVI交换机,其中,若该认证结果为认证通过,则将所述用户信息中的MAC地址及用户名对应地存储于所述SAVI数据库中;
获取认证结果模块,获取所述SAVI交换机发送的认证结果;
IPv6地址请求模块,向SAVI地址生成服务器发送IPv6地址分配请求,其中,所述IPv6地址分配请求中包括所述用户终端的MAC地址,所述SAVI地址生成服务器根据该MAC地址在所述SAVI数据库中查询是否存在对应的用户名,若存在,则向所述用户终端发送IPv6地址;
获取IPv6地址模块,获取SAVI地址生成服务器发送的IPv6地址。
8.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~5中的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810907976.5A CN108881308B (zh) | 2018-08-09 | 2018-08-09 | 一种用户终端及其认证方法、系统、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810907976.5A CN108881308B (zh) | 2018-08-09 | 2018-08-09 | 一种用户终端及其认证方法、系统、介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881308A CN108881308A (zh) | 2018-11-23 |
| CN108881308B true CN108881308B (zh) | 2021-10-12 |
Family
ID=64317678
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810907976.5A Active CN108881308B (zh) | 2018-08-09 | 2018-08-09 | 一种用户终端及其认证方法、系统、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881308B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111327561B (zh) * | 2018-12-13 | 2022-06-03 | 中国电信股份有限公司 | 认证方法、系统、认证服务器和计算机可读存储介质 |
| CN110035082B (zh) * | 2019-04-15 | 2020-10-13 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| CN110300384A (zh) * | 2019-07-01 | 2019-10-01 | 北京讯腾智慧科技股份有限公司 | 一种基于北斗卫星通信的应急通信方法及系统 |
| CN111010371A (zh) * | 2019-11-15 | 2020-04-14 | 广东电力信息科技有限公司 | 基于ipv6自动配置实现终端稳定进入的方法 |
| CN111740961B (zh) * | 2020-05-26 | 2022-02-22 | 北京华三通信技术有限公司 | 通信方法及装置 |
| CN111917736B (zh) * | 2020-07-13 | 2023-04-18 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
| CN112492058A (zh) * | 2020-11-16 | 2021-03-12 | 赛尔网络有限公司 | 真实源IPv6地址的分配方法、系统、电子设备和介质 |
| CN112910863A (zh) * | 2021-01-19 | 2021-06-04 | 清华大学 | 一种网络溯源方法及系统 |
| CN113079512B (zh) * | 2021-03-11 | 2022-06-28 | 武汉思普崚技术有限公司 | 一种支持终端漫游的方法、装置及存储介质 |
| CN114172731A (zh) * | 2021-12-09 | 2022-03-11 | 赛尔网络有限公司 | IPv6地址的快速验证溯源方法、装置、设备及介质 |
| CN115002748B (zh) * | 2022-06-02 | 2024-02-02 | 清华大学 | 一种地址配置方法、系统及网络设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9270638B2 (en) * | 2012-01-20 | 2016-02-23 | Cisco Technology, Inc. | Managing address validation states in switches snooping IPv6 |
| CN103428211B (zh) * | 2013-08-07 | 2016-12-28 | 华南理工大学 | 基于交换机的网络认证系统及其认证方法 |
| CN106330894B (zh) * | 2016-08-22 | 2019-11-22 | 赛尔网络有限公司 | 基于本地链路地址的savi代理认证系统及方法 |
-
2018
- 2018-08-09 CN CN201810907976.5A patent/CN108881308B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881308A (zh) | 2018-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US10601810B2 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| US9015855B2 (en) | Secure tunneling platform system and method | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| US10200352B2 (en) | System and method for secure application communication between networked processors | |
| CN110650076B (zh) | Vxlan的实现方法,网络设备和通信系统 | |
| US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US10397047B2 (en) | Apparatus, system, and method for secure remote configuration of network devices | |
| US11765164B2 (en) | Server-based setup for connecting a device to a local area network | |
| US10623395B2 (en) | System and method for directory service authentication on a service processor | |
| CN108900484B (zh) | 一种访问权限信息的生成方法和装置 | |
| WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| US11019032B2 (en) | Virtual private networks without software requirements | |
| CN113542389A (zh) | 用于私有通信架构的私有云端路由服务器连接机制 | |
| CN101945053A (zh) | 一种报文的发送方法和装置 | |
| CN110943962B (zh) | 一种认证方法、网络设备和认证服务器以及转发设备 | |
| CN110602693B (zh) | 无线网络的组网方法和设备 | |
| US10356112B2 (en) | Method of mitigating cookie-injection and cookie-replaying attacks | |
| CN104270368A (zh) | 认证方法、认证服务器和认证系统 | |
| US11888898B2 (en) | Network configuration security using encrypted transport | |
| Farrell | Security in the Wild | |
| CN106330894B (zh) | 基于本地链路地址的savi代理认证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211208 Address after: 100084 Beijing Haidian District Zhongguancun East Road 1 hospital Qinghua science and Technology Park 8 Building B block seal building Patentee after: CERNET Co.,Ltd. Address before: 100084 B1001-C 8, building 1, Zhongguancun East Road, Haidian District, Beijing, 2. Patentee before: NEXT GENERATION INTERNET MAJOR APPLICATION TECHNOLOGY (BEIJING) ENGINEERING RESEARCH CENTER Co.,Ltd. |
|
| TR01 | Transfer of patent right |