CN109862043B - 一种终端认证的方法及装置 - Google Patents

一种终端认证的方法及装置 Download PDF

Info

Publication number
CN109862043B
CN109862043B CN201910245740.4A CN201910245740A CN109862043B CN 109862043 B CN109862043 B CN 109862043B CN 201910245740 A CN201910245740 A CN 201910245740A CN 109862043 B CN109862043 B CN 109862043B
Authority
CN
China
Prior art keywords
terminal
authenticated
authentication
address
binding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910245740.4A
Other languages
English (en)
Other versions
CN109862043A (zh
Inventor
陈金花
曲翠芳
高星超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201910245740.4A priority Critical patent/CN109862043B/zh
Publication of CN109862043A publication Critical patent/CN109862043A/zh
Application granted granted Critical
Publication of CN109862043B publication Critical patent/CN109862043B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供了一种终端认证的方法及装置,涉及通信技术领域。该方法应用于接入设备,该方法包括:获取待认证终端的特征信息;向绑定服务器发送查询报文,查询报文携带有待认证终端的地址和特征信息,以使绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息,并向接入设备发送查询回复报文;如果接收到表示查询成功的查询回复报文,则根据表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带目标身份认证信息的认证报文,以使AAA服务器对目标身份认证信息进行认证。采用本申请,可以提高网络中的数据安全性。

Description

一种终端认证的方法及装置
技术领域
本申请涉及通信技术领域,特别是涉及一种终端认证的方法及装置。
背景技术
在门户Portal认证环境中,基于MAC(英文:Media Access Control Address,中文:媒体访问控制地址)地址的快速认证又称为MAC-trigger(触发)认证或无感知认证,是一种无需用户输入身份认证信息而对用户终端的网络访问权限进行控制的技术。
目前,无感知认证的网络中部署有绑定服务器、Portal服务器和接入设备,用户终端通过接入设备与绑定服务器和Portal服务器连接。其中,绑定服务器用于存储终端的MAC地址和身份认证信息的对应关系,以在无感知认证时,为接入设备提供与用户终端的MAC地址对应的身份认证信息,该身份认证信息可以包括用户名和密码。
当用户终端初次进行认证时,接入设备向Portal服务器请求Portal认证页面,并向该用户终端推送请求的Portal认证页面,该用户终端显示该Portal认证页面,以使Portal服务器获取用户根据Portal认证页面输入的身份认证信息。其中,身份认证信息可以包括用户名和密码。
Portal服务器获取到用户输入的身份认证信息后,向接入设备发送携带有用户输入的身份认证信息的认证请求,接入设备接收到该认证请求后,根据用户输入的身份认证信息进行认证。
如果认证成功,接入设备向绑定服务器发送携带该用户终端的MAC地址和用户输入的身份认证信息的绑定请求。
绑定服务器接收到该绑定请求后,将该用户终端的MAC地址和用户输入的身份认证信息进行关联存储,以存储该用户终端的MAC地址和身份认证信息的对应关系。
当该用户终端再次进行认证时,接入设备获取该用户终端的MAC地址,并将该用户终端的地址携带在查询报文中发送给绑定服务器,绑定服务器根据查询报文携带的该用户终端的MAC地址,查找该用户终端的MAC地址对应的身份认证信息。如果绑定服务器查找到该用户终端的MAC地址对应的身份认证信息,则绑定服务器将该身份认证信息发送给接入设备,接入设备根据该身份认证信息向AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务器进行认证,进而使得该用户终端获取访问网络资源的权限。
然而,网络中可能存在其他仿冒终端仿冒该用户终端的MAC地址接入网络,由于仿冒终端的MAC地址与该用户终端的MAC地址相同,因此,接入设备会允许该仿冒终端接入网络,导致网络中的数据安全性较差。
发明内容
本申请实施例的目的在于提供一种终端认证的方法及装置,可以提高网络中的数据安全性。具体技术方案如下:
第一方面,提供了一种终端认证的方法,所述方法应用于接入设备,所述方法包括:
获取待认证终端的特征信息,所述特征信息用于标识所述待认证终端;
向绑定服务器发送查询报文,所述查询报文携带有所述待认证终端的地址和特征信息,以使所述绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息,并向所述接入设备发送查询回复报文;
如果接收到表示查询成功的查询回复报文,则根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带所述目标身份认证信息的认证报文,以使所述AAA服务器对所述目标身份认证信息进行认证。
可选的,所述获取待认证终端的特征信息,包括:
接收待认证终端发送的动态主机配置协议DHCP报文,所述DHCP报文携带所述待认证终端的特征信息,并从所述DHCP报文中获取所述待认证终端的特征信息;
接收待认证终端发送的关联请求报文,所述关联请求报文携带所述待认证终端的特征信息,并从所述关联请求报文中获取所述待认证终端的特征信息。
可选的,所述向绑定服务器发送查询报文,包括:
在检测到所述待认证终端的访问流量达到预设流量阈值时,向绑定服务器发送查询报文。
可选的,所述方法还包括:
如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向门户Portal服务器请求Portal认证页面,并将所述Portal认证页面推送给所述待认证终端,以使所述待认证终端显示所述Portal认证页面,获取用户输入的身份认证信息;
接收所述待认证终端通过所述Portal服务器发送的认证请求报文,所述认证请求报文携带有所述用户输入的身份认证信息;
向所述AAA服务器发送携带所述用户输入的身份认证信息的认证报文,以使所述AAA服务器对所述用户输入的身份认证信息进行认证,并向所述接入设备发送认证结果;
接收所述AAA服务器发送的认证结果;
如果所述认证结果为认证成功,则向所述绑定服务器发送绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息,以使所述绑定服务器存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
第二方面,提供了一种终端认证的方法,所述方法应用于绑定服务器,所述方法包括:
接收接入设备发送的查询报文,所述查询报文携带有待认证终端的地址和特征信息;
根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息;
向所述接入设备发送查询回复报文,以使所述接入设备在接收到表示查询成功的查询回复报文时,根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向AAA服务器发送携带所述目标认证信息的认证报文。
可选的,所述方法还包括:
接收所述接入设备发送的绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和用户输入的身份认证信息;
存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
第三方面,提供了一种终端认证的装置,所述装置应用于接入设备,所述装置包括:
获取模块,用于获取待认证终端的特征信息,所述特征信息用于标识所述待认证终端;
第一发送模块,用于向绑定服务器发送查询报文,所述查询报文携带有所述待认证终端的地址和特征信息,以使所述绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息,并向所述接入设备发送查询回复报文;
第一认证模块,用于如果接收到表示查询成功的查询回复报文,则根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带所述目标身份认证信息的认证报文,以使所述AAA服务器对所述目标身份认证信息进行认证。
可选的,所述获取模块,具体用于:
接收待认证终端发送的DHCP报文,所述DHCP报文携带所述待认证终端的特征信息,并从所述DHCP报文中获取所述待认证终端的特征信息;
接收待认证终端发送的关联请求报文,所述关联请求报文携带所述待认证终端的特征信息,并从所述关联请求报文中获取所述待认证终端的特征信息。
可选的,所述第一发送模块,具体用于:
在检测到所述待认证终端的访问流量达到预设流量阈值时,向绑定服务器发送查询报文。
可选的,所述装置还包括:
第一请求模块,用于如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向门户Portal服务器请求Portal认证页面,并将所述Portal认证页面推送给所述待认证终端,以使所述待认证终端显示所述Portal认证页面,获取用户输入的身份认证信息;
第一接收模块,用于接收所述待认证终端通过所述Portal服务器发送的认证请求报文,所述认证请求报文携带有所述用户输入的身份认证信息;
第二认证模块,用于向所述AAA服务器发送携带所述用户输入的身份认证信息的认证报文,以使所述AAA服务器对所述用户输入的身份认证信息进行认证,并向所述接入设备发送认证结果;
第二接收模块,用于接收所述AAA服务器发送的认证结果;
第二请求模块,用于如果所述认证结果为认证成功,则向所述绑定服务器发送绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息,以使所述绑定服务器存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
第四方面,提供了一种终端认证的装置,所述装置应用于绑定服务器,所述装置包括:
第三接收模块,用于接收接入设备发送的查询报文,所述查询报文携带有待认证终端的地址和特征信息;
查询模块,用于根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息;
第二发送模块,用于向所述接入设备发送查询回复报文,以使所述接入设备在接收到表示查询成功的查询回复报文时,根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向AAA服务器发送携带所述目标认证信息的认证报文。
可选的,所述装置还包括:
第四接收模块,用于接收所述接入设备发送的绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和用户输入的身份认证信息;
存储模块,用于存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
第五方面,提供了一种接入设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面所述的方法步骤。
第六方面,提供了一种绑定服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第二方面所述的方法步骤。
第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法步骤。
第八方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第二方面所述的方法步骤。
第九方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面所述的方法。
第十方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第二方面所述的方法。
本申请实施例提供的一种终端认证的方法及装置,应用于接入设备,可以获取待认证终端的特征信息,其中,特征信息用于标识待认证终端。然后,向绑定服务器发送查询报文,其中,查询报文携带有待认证终端的地址和特征信息,以使绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息,并向接入设备发送查询回复报文。如果接收到表示查询成功的查询回复报文,则根据表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带目标身份认证信息的认证报文,以使AAA服务器对目标身份认证信息进行认证。本申请中,在仿冒终端仿冒可以进行无感知认证的终端的地址时,接入设备可以获取仿冒终端的地址和特征信息,并将仿冒终端的地址和特征信息发送给绑定服务器,绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与仿冒终端的地址和特征信息对应的目标身份认证信息,因特征信息未被仿冒终端仿冒,绑定服务器无法查询到目标身份认证信息,接入设备将获取不到目标身份认证信息,无感知认证失败,该仿冒终端无法接入网络,提高了网络中的数据安全性。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种终端认证网络的结构示意图;
图2为本申请实施例提供的一种终端认证的方法流程图;
图3为本申请实施例提供的一种获取待认证终端的地址、特征信息和身份认证信息的对应关系的方法流程图;
图4为本申请实施例提供的一种终端认证的方法流程图;
图5为本申请实施例提供的一种终端认证的方法流程图;
图6为本申请实施例提供的一种终端认证的装置结构示意图;
图7为本申请实施例提供的一种终端认证的装置结构示意图;
图8为本申请实施例提供的一种接入设备的结构示意图;
图9为本申请实施例提供的一种绑定服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种终端认证的方法,应用于终端认证网络中的接入设备和绑定服务器。其中,接入设备可以为AC(Access Controller,接入控制器)或AP(AccessPoint,接入点)。如图1所示,本申请实施例提供了一种终端认证网络的结构示意图。该网络包括:AP、AC、交换机、绑定服务器、Portal服务器和AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务器。终端与AP连接,AP与AC连接,AC与互联网连接,AC与绑定服务器、Portal服务器和AAA服务器连接。其中,AAA服务器可以用RADIUS(RemoteAuthentication Dial In User Service,远程用户拨号认证服务)服务器代替,Portal服务器可以包括Portal Web(网站)服务器和Portal认证服务器,Portal服务器、绑定服务器和AAA服务器可以集成为一体。
本申请实施例提供的一种终端认证的方法及装置,应用于接入设备,可以获取待认证终端的特征信息,其中,特征信息用于标识待认证终端。然后,向绑定服务器发送查询报文,其中,查询报文携带有待认证终端的地址和特征信息,以使绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息,并向接入设备发送查询回复报文。如果接收到表示查询成功的查询回复报文,则根据表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带目标身份认证信息的认证报文,以使AAA服务器对目标身份认证信息进行认证。本申请中,在仿冒终端仿冒可以进行无感知认证的终端的地址时,接入设备可以获取仿冒终端的地址和特征信息,并将仿冒终端的地址和特征信息发送给绑定服务器,绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与仿冒终端的地址和特征信息对应的目标身份认证信息,因特征信息未被仿冒终端仿冒,绑定服务器无法查询到目标身份认证信息,接入设备将获取不到目标身份认证信息,无感知认证失败,该仿冒终端无法接入网络,提高了网络中的数据安全性。
如图2所示,本申请实施例提供了一种终端认证的方法,该方法应用于接入设备,具体步骤如下。
步骤201,获取待认证终端的特征信息。
其中,特征信息用于标识待认证终端。
本申请实施例中,接入设备获取待认证终端的特征信息的具体处理方式可以是多种多样的,本申请实施例提供了两种可能的实现方式。
方式一:接收待认证终端发送的DHCP报文,并从DHCP报文中获取待认证终端的特征信息。
其中,DHCP报文携带待认证终端的特征信息。
本申请实施例中,待认证终端可以向DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器,请求IP(Internet Protocol,互联网协议)地址,在请求IP地址的过程中,待认证终端会通过接入设备向DHCP服务器发送DHCH报文,比如DHCPDiscovery(发现)报文、DHCP Request(请求)报文等。接入设备可以获取DHCH报文,并获取DHCH报文中的DHCP Option(选项)信息,比如待认证终端的计算机名(Option 12)、请求参数列表选项(Option55)、网卡厂商信息(Option 60)、物理网卡信息(Option 61)等,然后将获取的DHCP Option信息作为待认证终端的特征信息。
方式二:接收待认证终端发送的关联请求报文,并从关联请求报文获取待认证终端的特征信息。
其中,关联请求报文携带待认证终端的特征信息。
本申请实施例中,待认证终端与接入设备关联连接的过程中,待认证终端会向接入设备发送关联请求报文,关联请求报文中携带有待认证终端的物理网卡信息,接入设备可以接收关联请求报文,并获取关联请求报文中携带的物理网卡信息,并将获取的物理网卡信息作为待认证终端的特征信息。
可选的,接入设备可以将待认证终端的地址和特征信息存储到本地,得到待认证终端对应的MAC-Trigger(触发)表项。其中,待认证终端对应的MAC-Trigger表项可以如表一所示,MAC-Trigger表项包括以下信息:待认证终端的MAC地址:MAC1;待认证终端的特征信息:DHCP Option信息;表项的老化时间:Timer(定时器);绑定状态:Default(默认)。
表一
MAC地址 特征信息 老化时间 绑定状态
MAC1 DHCP Option信息 Timer Default
步骤202,向绑定服务器发送查询报文。
其中,查询报文携带有待认证终端的地址和特征信息。待认证终端的地址可以为待认证终端MAC地址或IP地址。
本申请实施例中,在检测到待认证终端访问网络资源时,接入设备可以向绑定服务器发送查询报文。比如,在检测到待认证终端发送的网络访问请求时,接入设备可以获取待认证终端对应的MAC-Trigger表项中待认证终端的MAC地址和特征信息,然后向绑定服务器发送查询报文。相应的,绑定服务接收到查询报文后,可以根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息,并向接入设备发送查询回复报文。其中,在查询到与待认证终端的地址和特征信息对应的目标身份认证信息时,绑定服务器向接入设备发送表示查询成功的查询回复报文,表示查询成功的查询回复报文携带有目标身份认证信息。在未查询到与待认证终端的地址和特征信息对应的目标身份认证信息时,绑定服务器向接入设备发送表示查询失败的查询回复报文。
可选的,本申请实施例还提供了一种向绑定服务器发送查询报文的方法示例,具体过程为:在检测到待认证终端的访问流量达到预设的流量阈值时,向绑定服务器发送查询报文。
本申请实施例中,待认证终端与接入设备连接后,可以通过接入设备访问网络资源。相应的,接入设备可以统计待认证终端的访问流量,在检测到待认证终端的访问流量达到预设的流量阈值时,接入设备可以向绑定服务器发送查询报文。例如,流量阈值可以设置为1M。
步骤203,如果接收到表示查询成功的查询回复报文,则根据表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带目标身份认证信息的认证报文。
本申请实施例中,在发送查询报文后,接入设备可以启动MAC-Trigger表项中的定时器进行计时,在达到预设时长之前,如果接入设备接收到表示查询成功的查询回复报文,则接入设备根据表示查询成功的查询回复报文携带的目标身份认证信息,向AAA服务器发送携带目标身份认证信息的认证报文。例如,接入设备可以向AAA服务器发送RADIUS认证报文,其中,RADIUS认证报文中携带目标身份认证信息。AAA服务器接收到携带目标身份认证信息的认证报文后,可以对目标身份认证信息进行认证,并向接入设备反馈认证结果。如果认证成功,则接入设备允许待认证终端访问网络资源,例如,接入设备可以生成待认证终端对应的Portal表项,其中,Portal表项包括待认证终端的地址,在接入设备再次接收到待认证终端发送的网络访问请求时,接入设备可以查询本地是否存在待认证终端对应的Portal表项,如果存在待认证终端对应的Portal表项,则放行待认证终端发送的网络访问请求。如果认证失败,则接入设备禁止待认证终端访问网络资源,并向待认证终端反馈认证失败信息。
其中,步骤201-203的认证过程为无感知认证,相应的,在步骤201-203的认证过程中,认证成功可称为无感知认证成功,认证失败可称为无感知认证失败。
可选的,如果无感知认证成功,则接入设备可以将MAC-trigger表项中的绑定状态设置为Bind(绑定)状态,Bind状态用于表示认证成功,以便用户查询。如果无感知认证失败,则接入设备可以将MAC-trigger表项中的绑定状态设置为No-Bind(未绑定)状态,No-Bind状态用于表示认证失败。这样,在接入设备再次接收到待认证终端的网络访问请求时,接入设备可以检测待认证终端对应的MAC-Trigger表项中的绑定状态,如果绑定状态为No-Bind状态,则确定无感知认证失败,接入设备可以向待认证终端推送Portal认证页面,以获取用户输入的身份认证信息,并采用用户输入的身份认证信息进行认证,即进行普通Portal认证。在普通Portal认证成功时,接入设备可以将待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息发送给绑定服务器,绑定服务器可以存储待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息的对应关系,具体过程可以参考后续步骤301-305。
本申请中,在仿冒终端仿冒可以进行无感知认证的终端的地址时,接入设备可以获取仿冒终端的地址和特征信息,并将仿冒终端的地址和特征信息发送给绑定服务器,绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与仿冒终端的地址和特征信息对应的目标身份认证信息,因特征信息未被仿冒终端仿冒,绑定服务器无法查询到目标身份认证信息,接入设备将获取不到目标身份认证信息,无感知认证失败,该仿冒终端无法接入网络,提高了网络中的数据安全性。
可选的,在接入设备接收到表示查询失败的查询回复报文或未接收到查询回复报文时,接入设备可以向待认证终端推送Portal认证页面,以获取用户输入的身份认证信息,并根据该用户输入的身份认证信息进行认证,并在认证成功的情况下,向绑定服务器发送待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息,以使绑定服务器存储待认证终端的地址、特征信息和身份认证信息的对应关系。如图3所示,具体步骤如下。
步骤301,如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向Portal服务器请求Portal认证页面,并将Portal认证页面推送给待认证终端。
本申请实施例中,在接入设备未接收到查询回复报文,或者接入设备接收到表示查询失败的查询回复报文的情况下,当接入设备接收到待认证终端发送的网络访问请求时,接入设备可以向Portal服务器请求Portal认证页面,并将Portal认证页面推送给认证终端。
一个示例中,接入设备在发送查询报文后,可以启动MAC-Trigger表项中的定时器进行计时,在达到预设时长时,如果接入设备未接收到查询回复报文,则确定无感知认证失败,禁止待认证终端访问网络资源。此时,接入设备可以将MAC-Trigger表项删除,或将MAC-Trigger表项中的绑定状态设置为No-Bind状态。或者,如果接入设备接收到表示查询失败的查询回复报文,则确定无感知认证失败,禁止待认证终端访问网络资源,并可以将MAC-Trigger表项中的绑定状态设置为No-Bind状态。
当接入设备接收到待认证终端发送的网络访问请求时,接入设备可以查询本地是否存在待认证终端对应的Portal表项,若不存在待认证终端对应的Portal表项,则表示待认证终端未认证成功,接入设备可以查询本地是否存在待认证终端对应的MAC-Trigger表项。如果存在待认证终端对应的MAC-Trigger表项,则获取待认证终端对应的MAC-Trigger表项中的绑定状态,若绑定状态为No-Bind状态,则表示待认证终端未认证成功,接入设备可以向Portal服务器请求Portal认证页面,并将Portal认证页面推送给待认证终端。如果不存在待认证终端对应的MAC-Trigger表项,则表明接入设备未接收到绑定服务器发送的查询回复报文,确定待认证终端未认证成功,接入设备可以向Portal服务器请求Portal认证页面,并将Portal认证页面推送给待认证终端。
相应的,待认证终端可以显示Portal认证页面,用户可以根据Portal认证页面向待认证终端输入身份认证信息,待认证终端可以将用户输入的身份认证信息发送给Portal服务器。Portal服务器接收到用户输入的身份认证信息后,可以向接入设备发送认证请求报文。其中,认证请求报文携带有用户输入的身份认证信息。其中,Portal服务器可以包括Portal Web服务器和Portal认证服务器。
在另一个示例中,如果接入设备接收到表示查询失败的查询回复报文或未接收到查询回复报文,则接入设备向Portal Web服务器请求Portal认证页面,并将Portal认证页面推送给认证终端。相应的,待认证终端可以显示Portal认证页面,用户可以根据Portal认证页面向用户终端输入身份认证信息,待认证终端可以将用户输入的身份认证信息发送给Portal Web服务器。Portal Web服务器接收到用户输入的身份认证信息后,可以将用户输入的身份认证信息发送给Portal认证服务器。Portal认证服务器接收到用户输入的身份认证信息后,可以向接入设备发送认证请求报文。
可选的,Portal服务器接收到用户输入的身份认证信息后,Portal服务器可以向接入设备发起CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证或PAP(Password Authentication Protocol,密码认证协议)认证。
其中,Portal服务器向接入设备发起CHAP认证时,Portal服务器与接入设备进行Challenge(质询)认证交互。如果Challenge认证成功,则Portal服务器向接入设备发送认证请求报文。
Portal服务器向接入设备发起PAP认证时,Portal服务器向接入设备发送认证请求报文。
步骤302,接收待认证终端通过Portal服务器发送的认证请求报文。
其中,认证请求报文携带有用户输入的身份认证信息。
步骤303,向AAA服务器发送携带用户输入的身份认证信息的认证报文。
本申请实施例中,接入设备可以向AAA服务器发送RADIUS认证报文,其中,RADIUS认证报文中携带用户输入的身份认证信息。AAA服务器接收到RADIUS认证报文后,可以对用户输入的身份认证信息进行认证,并向接入设备反馈认证结果。
步骤304,接收AAA服务器发送的认证结果。
其中,步骤301~步骤304中采用用户输入的身份认证信息进行认证的过程为普通Portal认证,相应的,采用用户输入的身份认证信息进行认证时,认证成功可称为普通Portal认证成功,认证失败可称为普通Portal认证失败。
步骤305,如果认证结果为认证成功,则向绑定服务器发送绑定请求报文。
其中,绑定请求报文携带有待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息。
本申请实施例中,如果认证结果为认证成功(即普通Portal认证成功),则接入设备向绑定服务器发送绑定请求报文。相应的,绑定服务器接收到绑定请求报文后,绑定服务器可以存储待认证终端的地址、特征信息和身份认证信息的对应关系。如果认证结果为认证成功,则接入设备可以允许待认证终端访问网络资源,例如,接入设备可以生成待认证终端对应的Portal表项,其中,Portal表项中携带有待认证终端的地址,在接入设备接收到待认证终端的网络访问请求时,可以查询本地是否存在待认证终端对应的Portal表项,如果存在待认证终端对应的Portal表项,则放行待认证终端发送的网络访问请求。如果认证失败(即普通Portal认证失败),则接入设备禁止待认证终端访问网络资源,并向待认证终端反馈认证失败信息。
可选的,如果普通Portal认证成功,则删除待认证终端对应的MAC-Trigger表项;如果普通Portal认证失败,则将待认证设备对应的MAC-Trigger表项中的绑定状态保持为No-Bind状态。
这样,当接入设备再次接收到待认证终端的网络访问请求时,接入设备可以查询本地是否存在待认证终端对应的Portal表项,若不存在待认证终端对应的Portal表项,则表示待认证终端未认证成功,接入设备可以查询本地是否存在待认证终端对应的MAC-Trigger表项。
如果存在待认证终端对应的MAC-Trigger表项,则获取待认证终端对应的MAC-Trigger表项中的绑定状态。如果绑定状态为No-Bind状态,则确定待认证终端未认证成功,接入设备可以向Portal服务器请求Portal认证页面,并将Portal认证页面推送给待认证终端,以继续进行普通Portal认证。
如果不存在待认证终端对应的MAC-Trigger表项,则表明接入设备未接收到绑定服务器发送的查询回复报文,确定待认证终端未认证成功,接入设备可以向Portal服务器请求Portal认证页面,并将Portal认证页面推送给待认证终端,以继续进行普通Portal认证。
如图4所示,本申请实施例还提供了一种终端认证的方法,应用于绑定服务器,具体步骤如下:
步骤401,接收接入设备发送的查询报文。
其中,查询报文携带有待认证终端的地址和特征信息。
步骤402,根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息。
本申请实施例中,接入设备可以根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息。
步骤403,向接入设备发送查询回复报文。
本申请实施例中,如果查询到与待认证终端的地址和特征信息对应的目标身份认证信息,则绑定服务器向接入设备发送表示查询成功的查询回复报文。其中,表示查询成功的查询回复报文中携带有目标身份认证信息。相应的,接入设备接收到表示查询成功的查询回复报文后,可以根据目标身份认证信息进行认证。如果未查询到与待认证终端的地址和特征信息对应的目标身份认证信息,则绑定服务器向接入设备发送表示查询失败的查询回复报文。
可选的,如果查询到与待认证终端的地址和特征信息对应的目标身份认证信息,绑定服务器可以将目标身份认证信息传输给Portal服务器,Portal服务器可以向接入设备发起CHAP认证或PAP认证。
其中,Portal服务器向接入设备发起CHAP认证时,Portal服务器与接入设备进行Challenge(质询)认证交互。如果Challenge认证成功,则Portal服务器向接入设备发送目标身份认证信息。
Portal服务器向接入设备发起PAP认证时,Portal服务器向接入设备发送目标身份认证信息。
本申请中,在仿冒终端仿冒可以进行无感知认证的终端的地址时,接入设备可以获取仿冒终端的地址和特征信息,并将仿冒终端的地址和特征信息发送给绑定服务器,绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与仿冒终端的地址和特征信息对应的目标身份认证信息,因特征信息未被仿冒终端仿冒,所述绑定服务器无法查询到目标身份认证信息,接入设备将确定仿冒终端认证失败,并禁止该仿冒终端接入网络,提高了网络中的数据安全性。
可选的,本申请实施例还提供了一种获取待认证终端的地址、特征信息和身份认证信息的对应关系方法,具体过程为:接收接入设备发送的绑定请求报文,绑定请求报文携带有待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息;存储待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息的对应关系。
本申请实施例中,绑定服务器接收接入设备发送的绑定请求报文。其中,绑定请求报文携带有待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息。然后,绑定服务器存储待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息的对应关系。
如图5所示,本申请实施例还提供了一种终端认证的方法示例,应用于图1所示的组网,具体步骤如下。
步骤501,接入设备AC获取待认证终端的特征信息。
步骤502,接入设备向绑定服务器发送查询报文。
其中,查询报文中携带待认证终端的地址和特征信息。
步骤503,绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与待认证终端的地址和特征信息对应的目标身份认证信息。
步骤504,绑定服务器向接入设备发送查询回复报文。
步骤505,如果接收到表示查询成功的查询回复报文,则接入设备根据目标身份认证信息与AAA服务器进行认证。
其中,表示查询成功的查询回复报文中携带有目标身份认证信息。
步骤506,如果接收到表示查询失败的查询回复报文,或未接收到查询回复报文,则接入设备向待认证终端推送向Portal服务器请求的Portal认证页面。
应当理解的是,步骤505与506为两种情况择一执行,并没有执行顺序的先后。
步骤507,待认证终端获取用户输入的身份认证信息。
步骤508,待认证终端向Portal服务器发送用户输入的身份认证信息。
步骤509,Portal服务器向接入设备发送认证请求报文。
其中,认证请求报文中携带有用户输入的身份认证信息。
步骤510,接入设备根据用户输入的身份认证信息与AAA服务器进行认证。
步骤511,如果认证成功,则接入设备向绑定服务器发送绑定请求报文。
其中,绑定请求报文中携带待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息。
步骤512,绑定服务器接收绑定请求报文,存储待认证终端的地址、待认证终端的特征信息和用户输入的身份认证信息的对应关系。
基于相同的技术构思,如图6所示,本申请实施例还提供了一种终端认证的装置,所述装置应用于接入设备,所述装置包括:
获取模块601,用于获取待认证终端的特征信息,所述特征信息用于标识所述待认证终端;
第一发送模块602,用于向绑定服务器发送查询报文,所述查询报文携带有所述待认证终端的地址和特征信息,以使所述绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息,并向所述接入设备发送查询回复报文;
第一认证模块603,用于如果接收到表示查询成功的查询回复报文,则根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带所述目标身份认证信息的认证报文,以使所述AAA服务器对所述目标身份认证信息进行认证。
可选的,所述获取模块601,具体用于:
接收待认证终端发送的DHCP报文,所述DHCP报文携带所述待认证终端的特征信息,并从所述DHCP报文中获取所述待认证终端的特征信息;
接收待认证终端发送的关联请求报文,所述关联请求报文携带所述待认证终端的特征信息,并从所述关联请求报文中获取所述待认证终端的特征信息。
可选的,所述第一发送模块602,具体用于:
在检测到所述待认证终端的访问流量达到预设流量阈值时,向绑定服务器发送查询报文。
可选的,所述装置还包括:
第一请求模块,用于如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向门户Portal服务器请求Portal认证页面,并将所述Portal认证页面推送给所述待认证终端,以使所述待认证终端显示所述Portal认证页面,获取用户输入的身份认证信息;
第一接收模块,用于接收所述待认证终端通过所述Portal服务器发送的认证请求报文,所述认证请求报文携带有所述用户输入的身份认证信息;
第二认证模块,用于向所述AAA服务器发送携带所述用户输入的身份认证信息的认证报文,以使所述AAA服务器对所述用户输入的身份认证信息进行认证,并向所述接入设备发送认证结果;
第二接收模块,用于接收所述AAA服务器发送的认证结果;
第二请求模块,用于如果所述认证结果为认证成功,则向所述绑定服务器发送绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息,以使所述绑定服务器存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
基于相同的技术构思,如图7所示,本申请实施例还提供了一种终端认证的装置,所述装置应用于绑定服务器,所述装置包括:
第三接收模块701,用于接收接入设备发送的查询报文,所述查询报文携带有待认证终端的地址和特征信息;
查询模块702,用于根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息;
第二发送模块703,用于向所述接入设备发送查询回复报文,以使所述接入设备在接收到表示查询成功的查询回复报文时,根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向AAA服务器发送携带所述目标认证信息的认证报文。
可选的,所述装置还包括:
第四接收模块,用于接收所述接入设备发送的绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和用户输入的身份认证信息;
存储模块,用于存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
本申请实施例还提供了一种接入设备,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现如下步骤:
获取待认证终端的特征信息,所述特征信息用于标识所述待认证终端;
向绑定服务器发送查询报文,所述查询报文携带有所述待认证终端的地址和特征信息,以使所述绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息,并向所述接入设备发送查询回复报文;
如果接收到表示查询成功的查询回复报文,则根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带所述目标身份认证信息的认证报文,以使所述AAA服务器对所述目标身份认证信息进行认证。
可选的,所述获取待认证终端的特征信息,包括:
接收待认证终端发送的动态主机配置协议DHCP报文,所述DHCP报文携带所述待认证终端的特征信息,并从所述DHCP报文中获取所述待认证终端的特征信息;
接收待认证终端发送的关联请求报文,所述关联请求报文携带所述待认证终端的特征信息,并从所述关联请求报文中获取所述待认证终端的特征信息。
可选的,所述向绑定服务器发送查询报文,包括:
在检测到所述待认证终端的访问流量达到预设流量阈值时,向绑定服务器发送查询报文。
可选的,所述方法还包括:
如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向门户Portal服务器请求Portal认证页面,并将所述Portal认证页面推送给所述待认证终端,以使所述待认证终端显示所述Portal认证页面,获取用户输入的身份认证信息;
接收所述待认证终端通过所述Portal服务器发送的认证请求报文,所述认证请求报文携带有所述用户输入的身份认证信息;
向所述AAA服务器发送携带所述用户输入的身份认证信息的认证报文,以使所述AAA服务器对所述用户输入的身份认证信息进行认证,并向所述接入设备发送认证结果;
接收所述AAA服务器发送的认证结果;
如果所述认证结果为认证成功,则向所述绑定服务器发送绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息,以使所述绑定服务器存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
本申请实施例还提供了一种绑定服务器,如图9所示,包括处理器901、通信接口902、存储器903和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信,
存储器903,用于存放计算机程序;
处理器901,用于执行存储器903上所存放的程序时,实现如下步骤:
接收接入设备发送的查询报文,所述查询报文携带有待认证终端的地址和特征信息;
根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息;
向所述接入设备发送查询回复报文,以使所述接入设备在接收到表示查询成功的查询回复报文时,根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向AAA服务器发送携带所述目标认证信息的认证报文。
可选的,所述方法还包括:
接收所述接入设备发送的绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和用户输入的身份认证信息;
存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一终端认证的方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一终端认证的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质、计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (16)

1.一种终端认证的方法,其特征在于,所述方法应用于接入设备,所述方法包括:
从待认证终端发送的报文中获取所述待认证终端的地址和特征信息,并将其保存在本地得到所述待认证终端对应的表项,所述表项包括:待认证终端的地址,待认证终端的特征信息,表项的老化时间,绑定状态,所述特征信息用于标识所述待认证终端;
向绑定服务器发送查询报文,所述查询报文携带有所述待认证终端的地址和特征信息,以使所述绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息,并向所述接入设备发送查询回复报文;
如果接收到表示查询成功的查询回复报文,则根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带所述目标身份认证信息的认证报文,以使所述AAA服务器对所述目标身份认证信息进行认证;
其中,当所述认证的结果为认证成功时,所述接入设备将所述表项中的绑定状态设置为绑定状态,当所述认证的结果为认证失败时,所述接入设备将所述表项中的绑定状态设置为未绑定状态。
2.根据权利要求1所述的方法,其特征在于,所述从待认证终端发送的报文中获取所述待认证终端的特征信息,包括:
接收待认证终端发送的动态主机配置协议DHCP报文,所述DHCP报文携带所述待认证终端的特征信息,并从所述DHCP报文中获取所述待认证终端的特征信息;
接收待认证终端发送的关联请求报文,所述关联请求报文携带所述待认证终端的特征信息,并从所述关联请求报文中获取所述待认证终端的特征信息。
3.根据权利要求1所述的方法,其特征在于,所述向绑定服务器发送查询报文,包括:
在检测到所述待认证终端的访问流量达到预设流量阈值时,向绑定服务器发送查询报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向门户Portal服务器请求Portal认证页面,并将所述Portal认证页面推送给所述待认证终端,以使所述待认证终端显示所述Portal认证页面,获取用户输入的身份认证信息;
接收所述待认证终端通过所述Portal服务器发送的认证请求报文,所述认证请求报文携带有所述用户输入的身份认证信息;
向所述AAA服务器发送携带所述用户输入的身份认证信息的认证报文,以使所述AAA服务器对所述用户输入的身份认证信息进行认证,并向所述接入设备发送认证结果;
接收所述AAA服务器发送的认证结果;
如果所述认证结果为认证成功,则向所述绑定服务器发送绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息,以使所述绑定服务器存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
5.一种终端认证的方法,其特征在于,所述方法应用于绑定服务器,所述方法包括:
接收接入设备发送的查询报文,所述查询报文携带有待认证终端的地址和特征信息,其中,所述接入设备在接收到所述待认证终端发送的报文时,会获取所述待认证终端的地址和特征信息,并将其保存在本地得到所述待认证终端对应的表项,所述表项包括:待认证终端的地址,待认证终端的特征信息,表项的老化时间,绑定状态;
根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息;
向所述接入设备发送查询回复报文,以使所述接入设备在接收到表示查询成功的查询回复报文时,根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向AAA服务器发送携带所述目标认证信息的认证报文;
其中,当所述认证的结果为认证成功时,所述接入设备将所述表项中的绑定状态设置为绑定状态,当所述认证的结果为认证失败时,所述接入设备将所述表项中的绑定状态设置为未绑定状态。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述接入设备发送的绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和用户输入的身份认证信息;
存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
7.一种终端认证的装置,其特征在于,所述装置应用于接入设备,所述装置包括:
获取模块,用于从待认证终端发送的报文中获取所述待认证终端的地址和特征信息,并将其保存在本地得到所述待认证终端对应的表项,所述表项包括:待认证终端的地址,待认证终端的特征信息,表项的老化时间,绑定状态,所述特征信息用于标识所述待认证终端;
第一发送模块,用于向绑定服务器发送查询报文,所述查询报文携带有所述待认证终端的地址和特征信息,以使所述绑定服务器根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息,并向所述接入设备发送查询回复报文;
第一认证模块,用于如果接收到表示查询成功的查询回复报文,则根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向认证授权计费AAA服务器发送携带所述目标身份认证信息的认证报文,以使所述AAA服务器对所述目标身份认证信息进行认证;
其中,当所述认证的结果为认证成功时,所述接入设备将所述表项中的绑定状态设置为绑定状态,当所述认证的结果为认证失败时,所述接入设备将所述表项中的绑定状态设置为未绑定状态。
8.根据权利要求7所述的装置,其特征在于,所述获取模块,具体用于:
接收待认证终端发送的DHCP报文,所述DHCP报文携带所述待认证终端的特征信息,并从所述DHCP报文中获取所述待认证终端的特征信息;
接收待认证终端发送的关联请求报文,所述关联请求报文携带所述待认证终端的特征信息,并从所述关联请求报文中获取所述待认证终端的特征信息。
9.根据权利要求7所述的装置,其特征在于,所述第一发送模块,具体用于:
在检测到所述待认证终端的访问流量达到预设流量阈值时,向绑定服务器发送查询报文。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一请求模块,用于如果接收到表示查询失败的查询回复报文或未接收到查询回复报文,则向门户Portal服务器请求Portal认证页面,并将所述Portal认证页面推送给所述待认证终端,以使所述待认证终端显示所述Portal认证页面,获取用户输入的身份认证信息;
第一接收模块,用于接收所述待认证终端通过所述Portal服务器发送的认证请求报文,所述认证请求报文携带有所述用户输入的身份认证信息;
第二认证模块,用于向所述AAA服务器发送携带所述用户输入的身份认证信息的认证报文,以使所述AAA服务器对所述用户输入的身份认证信息进行认证,并向所述接入设备发送认证结果;
第二接收模块,用于接收所述AAA服务器发送的认证结果;
第二请求模块,用于如果所述认证结果为认证成功,则向所述绑定服务器发送绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息,以使所述绑定服务器存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
11.一种终端认证的装置,其特征在于,所述装置应用于绑定服务器,所述装置包括:
第三接收模块,用于接收接入设备发送的查询报文,所述查询报文携带有待认证终端的地址和特征信息,其中,所述接入设备在接收到所述待认证终端发送的报文时,会获取所述待认证终端的地址和特征信息,并将其保存在本地得到所述待认证终端对应的表项,所述表项包括:待认证终端的地址,待认证终端的特征信息,表项的老化时间,绑定状态;
查询模块,用于根据预先存储的终端的地址、特征信息和身份认证信息的对应关系,查询与所述待认证终端的地址和特征信息对应的目标身份认证信息;
第二发送模块,用于向所述接入设备发送查询回复报文,以使所述接入设备在接收到表示查询成功的查询回复报文时,根据所述表示查询成功的查询回复报文中携带的目标身份认证信息,向AAA服务器发送携带所述目标认证信息的认证报文;
其中,当所述认证的结果为认证成功时,所述接入设备将所述表项中的绑定状态设置为绑定状态,当所述认证的结果为认证失败时,所述接入设备将所述表项中的绑定状态设置为未绑定状态。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第四接收模块,用于接收所述接入设备发送的绑定请求报文,所述绑定请求报文携带有所述待认证终端的地址、所述待认证终端的特征信息和用户输入的身份认证信息;
存储模块,用于存储所述待认证终端的地址、所述待认证终端的特征信息和所述用户输入的身份认证信息的对应关系。
13.一种接入设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
14.一种绑定服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求5-6任一所述的方法步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求5-6任一所述的方法步骤。
CN201910245740.4A 2019-03-28 2019-03-28 一种终端认证的方法及装置 Active CN109862043B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910245740.4A CN109862043B (zh) 2019-03-28 2019-03-28 一种终端认证的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910245740.4A CN109862043B (zh) 2019-03-28 2019-03-28 一种终端认证的方法及装置

Publications (2)

Publication Number Publication Date
CN109862043A CN109862043A (zh) 2019-06-07
CN109862043B true CN109862043B (zh) 2022-03-22

Family

ID=66902359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910245740.4A Active CN109862043B (zh) 2019-03-28 2019-03-28 一种终端认证的方法及装置

Country Status (1)

Country Link
CN (1) CN109862043B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602130B (zh) * 2019-09-24 2021-10-08 中盈优创资讯科技有限公司 终端认证系统及方法、设备端、认证服务器
CN110650142B (zh) * 2019-09-25 2022-05-24 腾讯科技(深圳)有限公司 访问请求处理方法、装置、系统、存储介质和计算机设备
CN111314384A (zh) * 2020-03-23 2020-06-19 杭州迪普科技股份有限公司 一种终端认证方法、装置及设备
CN111491351B (zh) * 2020-04-28 2022-04-19 国家广播电视总局广播电视科学研究院 一种基于认证信息感知WiFi终端上线的方法及系统
CN114338055B (zh) * 2020-09-25 2023-10-13 腾讯科技(深圳)有限公司 一种身份认证方法及装置
CN114567451B (zh) * 2020-11-27 2023-05-05 腾讯科技(深圳)有限公司 身份核验方法、装置、计算机设备和存储介质
CN113038472A (zh) * 2021-03-15 2021-06-25 南京林业大学 一种高校校园网禁止无线路由器dhcp获取地址的方法
CN113660283A (zh) * 2021-08-25 2021-11-16 新华三云计算技术有限公司 一种合法性认证方法以及装置
CN114050901B (zh) * 2021-09-28 2023-10-27 新华三大数据技术有限公司 终端的认证方法、装置、电子设备及可读存储介质
CN114363067B (zh) * 2022-01-04 2023-05-16 抖音视界有限公司 一种网络准入控制方法、装置、计算机设备及存储介质
CN114513348A (zh) * 2022-01-28 2022-05-17 新华三技术有限公司 一种终端认证的方法、云平台和云ap
CN115102769A (zh) * 2022-06-24 2022-09-23 国家石油天然气管网集团有限公司 Scada系统接入认证方法、装置、设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932785A (zh) * 2011-08-12 2013-02-13 中国移动通信集团浙江有限公司 一种无线局域网的快速认证方法、系统和设备
CN103874069A (zh) * 2014-03-24 2014-06-18 杭州华三通信技术有限公司 一种无线终端mac认证装置和方法
CN103079201B (zh) * 2011-10-26 2015-06-03 中兴通讯股份有限公司 无线局域网的快速认证方法、ac及系统
CN107547497A (zh) * 2017-05-10 2018-01-05 新华三技术有限公司 一种无感知portal认证方法及装置
CN109391472A (zh) * 2017-08-04 2019-02-26 迈普通信技术股份有限公司 无线网络认证方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7917142B2 (en) * 2006-03-03 2011-03-29 Samsung Electronics Co., Ltd. Comprehensive registration method for wireless communication system
CN103916854A (zh) * 2013-01-08 2014-07-09 中兴通讯股份有限公司 一种无线局域网络用户接入固定宽带网络的方法和系统
CN103501495A (zh) * 2013-10-16 2014-01-08 苏州汉明科技有限公司 融合Portal/Web认证和MAC认证的WLAN无感知认证方法
CN104980412B (zh) * 2014-04-14 2018-07-13 阿里巴巴集团控股有限公司 一种应用客户端、服务端及对应的Portal认证方法
CN107026813B (zh) * 2016-01-29 2019-12-20 中国电信股份有限公司 WiFi网络的接入认证方法、系统以及门户服务器
CN106488453A (zh) * 2016-12-07 2017-03-08 上海斐讯数据通信技术有限公司 一种portal认证的方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932785A (zh) * 2011-08-12 2013-02-13 中国移动通信集团浙江有限公司 一种无线局域网的快速认证方法、系统和设备
CN103079201B (zh) * 2011-10-26 2015-06-03 中兴通讯股份有限公司 无线局域网的快速认证方法、ac及系统
CN103874069A (zh) * 2014-03-24 2014-06-18 杭州华三通信技术有限公司 一种无线终端mac认证装置和方法
CN107547497A (zh) * 2017-05-10 2018-01-05 新华三技术有限公司 一种无感知portal认证方法及装置
CN109391472A (zh) * 2017-08-04 2019-02-26 迈普通信技术股份有限公司 无线网络认证方法及装置

Also Published As

Publication number Publication date
CN109862043A (zh) 2019-06-07

Similar Documents

Publication Publication Date Title
CN109862043B (zh) 一种终端认证的方法及装置
US9268922B2 (en) Registration of devices in a digital rights management environment
WO2016165536A1 (zh) 一种身份验证方法和设备
JP6007458B2 (ja) パケット受信方法、ディープ・パケット・インスペクション装置及びシステム
US9549318B2 (en) System and method for delayed device registration on a network
CN112069493B (zh) 认证系统及认证方法
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
US9787678B2 (en) Multifactor authentication for mail server access
CN106060072B (zh) 认证方法以及装置
CN108259457B (zh) 一种web认证方法及装置
CN105516055B (zh) 数据访问方法、访问设备、目标设备及管理服务器
CN112583607A (zh) 一种设备访问管理方法、装置、系统及存储介质
CN103874069A (zh) 一种无线终端mac认证装置和方法
CN106686592B (zh) 一种带有认证的网络接入方法及系统
CN106911681A (zh) 上网认证方法及装置
CN112819454A (zh) 支付方法、网关设备、服务器及存储介质
CN106789858B (zh) 一种访问控制方法和装置以及服务器
CN107682372A (zh) 用于Portal逃生的用户信息获取及认证方法、装置和接入设备
CN102215486B (zh) 接入网络的方法及系统、网络认证方法及设备、终端
CN106330948A (zh) 一种报文控制方法及装置
CN115695012A (zh) 一种登录请求的处理方法、装置、电子设备及存储介质
US20160124689A1 (en) Non-transitory computer readable recording medium storing an account management program, image forming apparatus and image forming system
CN113812125B (zh) 登录行为的校验方法及装置、系统、存储介质、电子装置
CN112929388A (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN108076500A (zh) 局域网管理的方法、装置及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant