CN110582085B - 一种通信方法、装置和系统 - Google Patents

一种通信方法、装置和系统 Download PDF

Info

Publication number
CN110582085B
CN110582085B CN201810596431.7A CN201810596431A CN110582085B CN 110582085 B CN110582085 B CN 110582085B CN 201810596431 A CN201810596431 A CN 201810596431A CN 110582085 B CN110582085 B CN 110582085B
Authority
CN
China
Prior art keywords
authentication
terminal
network
cpe
accessed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810596431.7A
Other languages
English (en)
Other versions
CN110582085A (zh
Inventor
刘明
闫锐
袁乃华
陈贵荣
范晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu TD Tech Ltd
Original Assignee
Chengdu TD Tech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu TD Tech Ltd filed Critical Chengdu TD Tech Ltd
Priority to CN201810596431.7A priority Critical patent/CN110582085B/zh
Publication of CN110582085A publication Critical patent/CN110582085A/zh
Application granted granted Critical
Publication of CN110582085B publication Critical patent/CN110582085B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种通信方法、装置和系统。包括:CPE设备判断通过LAN端口接入的终端是否已经认证通过;如果终端已经认证通过,则CPE设备转发终端和专用网络之间的交互通信信息;如果终端没有认证,则CPE设备利用认证服务器对终端进行认证。本发明的通信方法、装置和系统,利用LTE网络中的认证服务器,对接入LTE网络的CPE设备所下挂的LAN装置进行认证,从而解决了CPE设备下挂的LAN装置的合法性认证的问题,提高了整个通信系统的安全性。

Description

一种通信方法、装置和系统
技术领域
本发明涉及通信技术领域,特别涉及一种提高通过CPE设备的LAN端口接入LTE网络的终端设备的合法性的通信方法、装置和系统。
背景技术
在LTE(Long Term Evolution,长期演进)系统网络中,CPE(Customer PremiseEquipment,客户终端设备)作为一种LTE无线终端网关实现了客户端网络和客户服务器网络通过LTE无线网络的互联。
如图1所示,为现有的一种利用CPE设备并通过LTE网络接入企业PDN的网络结构简图。CPE设备通过例如3G、4G、5G通信技术,经由基站、LTE核心网而与企业PDN(Public DataNetwork,公用数据网)网络进行通信。CPE设备的LAN(Local Area Network,局域网)可挂接多种设备,这些设备通过CPE的转发而实现与企业PDN之间的信息交互。
目前CPE设备的LAN(Local Area Network,局域网)侧接下挂设备时,普遍提供了两种接入方式。一种是Wi-Fi接入,该种方式中,CPE作为AP(Wireless Access Point,无线访问接入点),可供移动终端(如手机等)、平板电脑、笔记本电脑或者其它各种Wi-Fi设备接入;另外一种是有线接入方式,提供以太网接口(Ethernet Interface),可以连接有线摄像头、客户有线数据采集终端等设备。
下挂设备通过Wi-Fi接入CPE时,需要通过Wi-Fi设备常用的认证方法(如WEP、WPA等)才能接入,具有安全保证性。而下挂设备通过有线方式接入CPE时,CPE并不认证下挂设备的合法性,而直接把下挂设备的IP(Internet Protocol,互联网协议)报文转发到企业PDN网络中。
在专用网络LTE的CPE设备的固定场景应用中,CPE大多放在室外。不法分子很容易利用这种应用场景中的CPE接入自己的设备。而CPE的LAN侧对有线接入的设备并不做合法性认证,就会可能导致不法分子通过LTE网络攻击企业的PDN(Public Data Network,公用数据网)网络。
现有技术中,CPE可以对下挂设备(即LAN设备)的MAC(Media Access Control,媒体访问控制)地址(即物理地址)进行过滤,但是MAC地址很容易被截获假冒,所以安全性还是不高。
产生上述问题的原因主要在于,首先CPE用在公网LTE网络中的,而公网LTE网络又会对接Internet(互联网)网络。而Internet网络中,本身攻击就无处不在。所以在设计之初,并没有要求CPE不能引入攻击。另外,公网CPE一般是用在家庭使用,不会被外人随便接入。
而专网CPE大多是从公网CPE继承而来,如上所述,原有的CPE的设计和产品并没有意识到该问题,同时,对于下挂设备的认证,也没有统一的标准。
发明内容
有鉴于此,本发明提供一种通信方法、装置和系统,以提高通过CPE设备的LAN端口接入LTE网络的终端设备的合法性,从而提高整个通信系统的安全性。
本申请的技术方案是这样实现的:
一种通信方法,包括:
CPE设备判断通过LAN端口接入的终端是否已经认证通过;
如果所述终端已经认证通过,则所述CPE设备转发所述终端和专用网络之间的交互通信信息;
如果所述终端没有认证,则所述CPE设备利用认证服务器对所述终端进行认证。
进一步,所述CPE设备利用所述认证服务器判断所述终端是否已经认证通过。
进一步,所述认证服务器为RADIUS认证服务器。
进一步,所述终端通过LAN端口连接于所述CPE设备,所述CPE设备通过LTE网络与所述专用网络进行通信。
进一步,所述认证的认证协议为802.1x,所述认证的认证模式为物理地址MAC认证模式。
进一步,所述认证服务器接入于所述LTE网络。
一种通信装置,包括:
认证判断模块,用于判断通过LAN端口接入的终端是否已经认证通过;
通信模块,用于在所述认证判断模块判断出所述终端已经认证通过后,转发所述终端和专用网络之间的交互通信信息;
认证处理模块,用于在所述认证判断模块判断出所述终端没有认证后,利用认证服务器对所述终端进行认证。
一种通信系统,包括:
终端、CPE设备、认证服务器和专用网络;其中,
所述终端通过LAN端口接入所述CPE设备,所述CPE设备通过LTE网络与所述专用网络进行通信;
所述CPE设备判断所述终端是否已经认证通过,如果所述终端已经认证通过,则所述CPE设备转发所述终端和专用网络之间的交互通信信息,如果所述终端没有认证,则所述CPE设备利用认证服务器对所述终端进行认证。
进一步,所述认证服务器为RADIUS认证服务器。
进一步,所述认证服务器接入于所述LTE网络。
从上述方案可以看出,本发明的通信方法、装置和系统,利用LTE网络中的认证服务器,对接入LTE网络的CPE设备所下挂的LAN装置进行认证,从而解决了CPE设备下挂的LAN装置的合法性认证的问题,提高了整个通信系统的安全性。
附图说明
图1为现有的一种利用CPE设备并通过LTE网络接入企业PDN的网络结构简图。
图2为本发明实施例的通信方法流程图;
图3为本发明实施例的通信系统示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
如图1所示,本发明实施例提供了一种通信方法,包括:
步骤1、CPE设备判断通过LAN端口接入的终端是否已经认证通过;
步骤2、如果终端已经认证通过,则CPE设备转发终端和专用网络之间的交互通信信息;
步骤3、如果端没有认证,则CPE设备利用认证服务器对终端进行认证。
在一个具体实施例中,在步骤2中,CPE设备利用认证服务器判断终端是否已经认证通过。作为一个具体实施例,认证服务器为RADIUS(Remote Authentication Dial InUser Service,远程拨号认证服务)认证服务器,认证服务器接入于LTE网络。认证的认证协议为802.1x,认证的认证模式为MAC认证模式。
在一个具体实施例中,终端通过LAN端口连接于CPE设备,CPE设备通过LTE网络与专用网络进行通信。
本发明实施例还提供了一种通信装置,包括认证判断模块、通信模块和认证处理模块。其中,认证判断模块用于判断通过LAN端口接入的终端是否已经认证通过。通信模块用于在认证判断模块判断出终端已经认证通过后,转发终端和专用网络之间的交互通信信息。认证处理模块用于在认证判断模块判断出终端没有认证后,利用认证服务器对终端进行认证。
另外,本发明实施例还提供了一种通信系统,如图3所示,包括终端1、CPE设备2、认证服务器3和专用网络4。其中,终端1通过LAN端口接入CPE设备2,CPE设备2通过LTE网络5与专用网络4进行通信。CPE设备2判断终端1是否已经认证通过,如果终端1已经认证通过,则CPE设备2转发终端1和专用网络4之间的交互通信信息,如果终端1没有认证,则CPE设备2利用认证服务器3对终端1进行认证。
在一个具体实施例中,认证服务器3为RADIUS认证服务器。认证服务器3接入于LTE网络5。
在一个具体实施例中,LTE网络5包括基站51和核心网52。专用网络4接入于核心网52,认证服务器3接入于核心网52。CPE设备2通过基站51接入LTE网络5。终端1例如通过LAN连接于CPE设备2的计算机、摄像机等设备。CPE设备2可下挂多个终端1,而每个基站51可以接入多个CPE设备2。
在一个具体实施例中,CPE设备2对下挂的终端1进行接入认证,认证协议采用802.1x。采用MAC认证模式对下挂的每个终端1进行认证。
在一个具体实施例中,CPE设备2上联对接RADIUS认证服务器,CPE设备2下挂的每个终端1都必须在RADIUS认证服务器进行开户。CPE设备2获取到下挂终端1的接入用户名和密码后,交由RADIUS认证服务器进行合法性检查。
一旦下挂终端1的MAC合法性认证通过,才允许后续的下挂终端1进行IP报文转发(CPE用户面报文)。
为实现本发明的目的,在意一个具体实施例中,可在CPE设备的linux内核内增加如下处理模块。
1)设备认证判决模块:解析收到以太网报文的源MAC地址(即终端的MAC地址),如果已经认证通过,则进行正常的网络协议栈处理流程;如果源MAC地址没有认证,则转入设备认证处理模块。
2)设备认证处理模块:负责终端的首次认证发起和802.1x认证协议的报文接收和发送处理。
同时,在CPE用户面增加设备认证处理应用程序,该程序主要实现如下功能:
1)终端认证的发起。
2)和终端交互的802.1x协议解析和状态流程处理。
3)终端认证状态的维护。
4)与RADIUS认证服务器进行通信,请求终端的用户名和密码认证,并获取认证结果。
本发明的通信方法、装置和系统,利用LTE网络中的认证服务器,对接入LTE网络的CPE设备所下挂的LAN装置进行认证,从而解决了CPE设备下挂的LAN装置的合法性认证的问题,提高了整个通信系统的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (8)

1.一种通信方法,其特征在于,包括:
CPE设备判断通过LAN端口以有线接入方式接入的终端是否已经认证通过,其中,所述CPE设备通过基站接入LTE网络,所述CPE设备放在室外;
如果所述终端已经认证通过,则所述CPE设备转发所述终端和专用网络之间的交互通信信息,其中,所述专用网络接入于所述LTE网络中的核心网;
如果所述终端没有认证,则所述CPE设备利用认证服务器对所述终端进行认证,其中,所述认证服务器接入于所述核心网。
2.根据权利要求1所述的通信方法,其特征在于:
所述CPE设备利用所述认证服务器判断所述终端是否已经认证通过。
3.根据权利要求1所述的通信方法,其特征在于:
所述认证服务器为RADIUS认证服务器。
4.根据权利要求1所述的通信方法,其特征在于:
所述终端通过LAN端口连接于所述CPE设备,所述CPE设备通过LTE网络与所述专用网络进行通信。
5.根据权利要求3所述的通信方法,其特征在于:
所述认证的认证协议为802.1x,所述认证的认证模式为物理地址MAC认证模式。
6.一种通信装置,其特征在于,所述通信装置放在室外,所述通信装置通过基站接入LTE网络,包括:
认证判断模块,用于判断通过LAN端口以有线接入方式接入的终端是否已经认证通过;
通信模块,用于在所述认证判断模块判断出所述终端已经认证通过后,转发所述终端和专用网络之间的交互通信信息,其中,所述专用网络接入于所述LTE网络中的核心网;
认证处理模块,用于在所述认证判断模块判断出所述终端没有认证后,利用认证服务器对所述终端进行认证,其中,所述认证服务器接入于所述核心网。
7.一种通信系统,其特征在于,包括:
终端、CPE设备、认证服务器和专用网络;其中,
所述终端通过LAN端口以有线接入方式接入所述CPE设备,所述CPE设备通过LTE网络与所述专用网络进行通信,所述CPE设备放在室外;
所述CPE设备判断所述终端是否已经认证通过,如果所述终端已经认证通过,则所述CPE设备转发所述终端和专用网络之间的交互通信信息,如果所述终端没有认证,则所述CPE设备利用认证服务器对所述终端进行认证;
所述CPE设备通过基站接入所述LTE网络,所述专用网络接入于所述LTE网络中的核心网,所述认证服务器接入于所述核心网。
8.根据权利要求7所述的通信系统,其特征在于:
所述认证服务器为RADIUS认证服务器。
CN201810596431.7A 2018-06-11 2018-06-11 一种通信方法、装置和系统 Active CN110582085B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810596431.7A CN110582085B (zh) 2018-06-11 2018-06-11 一种通信方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810596431.7A CN110582085B (zh) 2018-06-11 2018-06-11 一种通信方法、装置和系统

Publications (2)

Publication Number Publication Date
CN110582085A CN110582085A (zh) 2019-12-17
CN110582085B true CN110582085B (zh) 2022-12-16

Family

ID=68809477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810596431.7A Active CN110582085B (zh) 2018-06-11 2018-06-11 一种通信方法、装置和系统

Country Status (1)

Country Link
CN (1) CN110582085B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115696333A (zh) * 2021-07-30 2023-02-03 华为技术有限公司 一种无线通信方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102572830A (zh) * 2012-01-19 2012-07-11 华为技术有限公司 终端接入认证的方法及用户端设备
WO2013067911A1 (zh) * 2011-11-09 2013-05-16 中兴通讯股份有限公司 一种接入认证方法、系统及设备
CN105933353A (zh) * 2016-07-05 2016-09-07 北京万维星辰科技有限公司 安全登录的实现方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080235778A1 (en) * 2007-03-21 2008-09-25 Motorola, Inc. Communication network, an access network element and a method of operation therefor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013067911A1 (zh) * 2011-11-09 2013-05-16 中兴通讯股份有限公司 一种接入认证方法、系统及设备
CN102572830A (zh) * 2012-01-19 2012-07-11 华为技术有限公司 终端接入认证的方法及用户端设备
CN105933353A (zh) * 2016-07-05 2016-09-07 北京万维星辰科技有限公司 安全登录的实现方法及系统

Also Published As

Publication number Publication date
CN110582085A (zh) 2019-12-17

Similar Documents

Publication Publication Date Title
EP3008935B1 (en) Mobile device authentication in heterogeneous communication networks scenario
CN1781099B (zh) 在公共热点中的客户终端的自动配置
US8856290B2 (en) Method and apparatus for exchanging configuration information in a wireless local area network
EP3223549B1 (en) Wireless network access method and access apparatus, client and storage medium
WO2019017840A1 (zh) 网络验证方法、相关设备及系统
US20080060061A1 (en) System and method for automatic network logon over a wireless network
CN103716795A (zh) 一种无线网络安全接入方法、装置和系统
US20110296501A1 (en) Connecting Devices to an Existing Secure Wireless Network
WO2017219673A1 (zh) VoWiFi网络接入方法和系统、终端
CN104735027B (zh) 一种安全认证方法及鉴权认证服务器
DK2924944T3 (en) Presence authentication
WO2013148565A1 (en) Secure and automatic connection to wireless network
WO2017054617A1 (zh) 一种对wifi网络的认证方法、装置和系统
CN108377574A (zh) 一种双卡双通的通信方法、终端、网络及系统
WO2015018327A1 (zh) 一种终端设备与网关设备间的互联方法和装置
WO2016131289A1 (zh) 无线热点安全性检测方法、装置及用户设备
CN103297968A (zh) 一种无线终端认证的方法、设备及系统
CN107864475A (zh) 基于Portal+动态密码的WiFi快捷认证方法
CN113411286B (zh) 基于5g技术的访问处理方法及装置、电子设备、存储介质
CN107659935B (zh) 一种认证方法、认证服务器、网管系统及认证系统
CN105025273B (zh) 楼宇可视对讲系统的连接方法、密码设置方法及系统
CN110582085B (zh) 一种通信方法、装置和系统
CN117119463A (zh) 一种用于5g专网的cpe安全认证方法和系统
WO2015100874A1 (zh) 家庭网关接入管理方法和系统
CN102075567B (zh) 认证方法、客户端、服务器、直通服务器及认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant