CN110602130B - 终端认证系统及方法、设备端、认证服务器 - Google Patents
终端认证系统及方法、设备端、认证服务器 Download PDFInfo
- Publication number
- CN110602130B CN110602130B CN201910903822.3A CN201910903822A CN110602130B CN 110602130 B CN110602130 B CN 110602130B CN 201910903822 A CN201910903822 A CN 201910903822A CN 110602130 B CN110602130 B CN 110602130B
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- configuration information
- request
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种终端认证系统及方法、设备端、认证服务器,该系统包括:设备端,用于:在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;认证服务器,用于:获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;接收设备端发送的认证请求;根据认证请求和终端认证白名单,获得认证结果;将认证结果发送至设备端。本发明可对终端接入设备端时进行认证,安全性高。
Description
技术领域
本发明涉及通信领域,尤其涉及一种终端认证系统及方法、设备端、认证服务器。
背景技术
随着网络通信技术的不断发展,网络安全问题变得尤其突出,终端在接入设备端(例如交换机)时进行认证是一种可以有效保障网络安全的方法,但目前终端认证方法一般只考虑终端配置信息,因此终端接入时的安全性较低。
发明内容
本发明实施例提出一种终端认证系统,可对终端接入设备端时进行认证,安全性高,该系统包括:
设备端,用于:
在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;
认证服务器,用于:
获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
接收设备端发送的认证请求;
根据认证请求和终端认证白名单,获得认证结果;
将认证结果发送至设备端;
认证服务器具体用于:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
本发明实施例提出一种设备端,可对终端接入设备端时进行认证,安全性高,该设备端包括:
认证请求发送模块,用于在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
认证模块,用于接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;所述认证结果是所述认证服务器根据认证请求和预先配置的终端认证白名单获得的,步骤包括:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
本发明实施例提出一种认证服务器,可对终端接入设备端时进行认证,安全性高,该认证服务器包括:
白名单获得模块,用于获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
认证请求接收模块,用于接收设备端发送的认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
认证结果获得模块,用于根据认证请求和终端认证白名单,获得认证结果;
认证结果发送模块,用于将认证结果发送至设备端,所述认证结果用于设备端允许或拒绝终端接入;
认证结果获得模块具体用于:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
本发明实施例提出一种终端认证方法,可对终端接入设备端时进行认证,安全性高,该方法包括:
在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;所述认证结果是所述认证服务器根据认证请求和预先配置的终端认证白名单获得的,步骤包括:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
本发明实施例还提出一种终端认证方法,可对终端接入设备端时进行认证,安全性高,该方法包括:
获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
接收设备端发送的认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
根据认证请求和终端认证白名单,获得认证结果;
将认证结果发送至设备端,所述认证结果用于设备端允许或拒绝终端接入;
根据认证请求和终端认证白名单,获得认证结果,包括:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
本发明实施例还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述终端认证方法。
本发明实施例还提出了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述终端认证方法的计算机程序。
在本发明实施例中,设备端,用于:在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;认证服务器,用于:获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;接收设备端发送的认证请求;根据认证请求和终端认证白名单,获得认证结果;将认证结果发送至设备端。在上述终端认证系统中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例提出的终端认证系统的示意图;
图2为本发明实施例中终端认证系统的另一示意图;
图3为本发明实施例中设备端配置信息的示意图;
图4为本发明实施例中通过页面接收新增的配置的终端认证白名单的示意图;
图5为本发明实施例中批量导入终端的示意图;
图6为本发明实施例中一个Radius认证请求包的示意图;
图7为本发明实施例中设备端发送的记账开始包的示意图;
图8为本发明实施例中设备端发送的记账结束包的示意图;
图9为本发明实施例中终端认证记账日志的界面示意图;
图10为本发明实施例中终端详情的界面示意图;
图11为本发明实施例中采用终端认证系统进行终端认证的详细流程图;
图12为本发明实施例提出的设备端的示意图;
图13为本发明实施例提出的认证服务器的示意图;
图14为本发明实施例提出的终端认证方法的流程图;
图15为本发明实施例提出的另一种终端认证方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
在本说明书的描述中,所使用的“包含”、“包括”、“具有”、“含有”等,均为开放性的用语,即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本申请的实施,其中的步骤顺序不作限定,可根据需要作适当调整。
目前,终端经常长期处于不可管状态,对于终端的在线情况以及接入情况,用户没有一个直观的了解,一般只有通过登录交换机来查看上述情况,但这对用户的设备操作要求较高,而现有技术中,终端认证方法除了终端接入时的安全性较低之外,并不能让用户可随时了解终端在线情况;另外,目前存在流氓终端的异常接入,即不法分子可通过修改PC端的MAC地址,作为伪终端接入设备端,也使得终端接入时的安全性较低。因此,本发明实施例提出一种终端认证系统及方法、设备端、认证服务器,用以解决上述问题。
图1为本发明实施例提出的终端认证系统的示意图,如图1所示,该方法系统包括:
设备端,用于:
在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;
认证服务器,用于:
获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
接收设备端发送的认证请求;
根据认证请求和终端认证白名单,获得认证结果;
将认证结果发送至设备端。
在上述终端认证系统中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高,同时是一种多维度终端认证方法,具有较高的推广价值。
在一实施例中,认证服务器具体用于:
获得预先配置的设备端配置信息;
将所述设备端配置信息发送至设备端;
设备端具体用于:
接收认证服务器发送的设备端配置信息,生成认证请求。
在一实施例中,设备端具体用于:
在终端接入设备端时,获得所述终端的终端配置信息;
根据终端配置信息和接收的设备端配置信息,生成认证请求。
具体实施时,图2为本发明实施例中终端认证系统认证的流程示意图,如图2所示,终端为需要认证的哑终端,也可称为客户端,设备端用于终端接入,设备端可以为交换机,也可以为终端接入的其他设备,A为受控端口,B为非受控端口。首先,认证服务器获得预先配置的设备端配置信息,并发送至设备端,所述设备端配置信息包括设备端IP和牵手密钥,图3为本发明实施例中设备端配置信息的示意图,图3中的设备端为交换机,设备端IP即终端IP,该设备端配置信息可以通过界面的方式接收用户输入,在用户输入完成后,生成设备端配置信息,如下为设备端配置信息的一种存储文件格式:
/usr/freeradius/etc/raddb/clients.conf
client 192.168.199.34{
ipaddr =192.168.199.34 ----交换机IP
secret =testing123 ---牵手密钥
然后,在终端接入设备端时,设备端获得所述终端的终端配置信息,之后,图2中的设备端提供的服务可根据终端配置信息和接收的设备端配置信息,生成认证请求,设备端PAE(Physical Address Extension,物理地址扩展)将认证请求发送至认证服务器。
认证服务器首先获得预先配置的终端认证白名单,图4为本发明实施例中通过页面接收新增的配置的终端认证白名单的示意图,如图4所示,所述终端认证白名单包括多个终端的终端配置信息,终端配置信息包括终端的MAC地址。
在一实施例中,所述终端配置信息还包括用户名、密码、接入的设备端IP、接入的设备端端口中的其中一种或任意组合。
图4中,用户名、密码、确认密码、MAC地址、授权状态为必填字段。
获得预先配置的终端认证白名单除了新增终端外,还可以批量导入已有的终端,图5为本发明实施例中批量导入终端的示意图。在配置终端认证白名单完成后,即可获得终端认证白名单的配置文件,如下为一个终端认证白名单的配置文件的示例:
/usr/freeradius/etc/raddb/users
[root@test~]#more../usr/freeradius/etc/raddb/users
liyf Cleartext-Password:="testing",Calling-Station-Id=E4-C7-22-61-50-FF,NAS-IP-Address=192.168.199.34,NAS-Port-Id="slot=2;subslot=0;port=3"。
在一实施例中,终端、设备端和认证服务器均支持802.1X协议;
所述认证请求采用Radius协议。
基于上述实施例,认证服务器获得预先配置的终端认证白名单后,可以接收设备端发送的认证请求,这里认证请求即可以是Radius协议认证请求。图6为本发明实施例中一个Radius认证请求包的示意图。
认证服务器根据认证请求和终端认证白名单,获得认证结果;将认证结果发送至设备端。设备端接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入。
具体实施时,认证服务器根据认证请求和终端认证白名单,获得认证结果的过程包括多种,下面给出其中一个实施例。
在一实施例中,认证服务器具体用于:
在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;
根据终端的MAC地址,判断所述终端是否为可信任终端;
在所述终端不是可信任终端时,认证结果为认证失败;
在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;
在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
在一实施例中,设备端还用于:
在认证结果为认证通过或终端上线时,向认证服务器发送记账开始包,所述记账开始包用于提示认证服务器所述终端处于上线状态;
在终端下线时,向认证服务器发送记账结束包,所述记账结束包用于提示认证服务器所述终端处于下线状态。
在一实施例中,认证服务器还用于:
在接收到记账结束包时,生成终端下线告警信息;
在接收到记账结束包的一段时长内再次接收到记账开始包时,生成终端上线提示信息。
图7为本发明实施例中设备端发送的记账开始包的示意图,如图7所示,记账开始包的开始字段为acc_status_type=start。图8为本发明实施例中设备端发送的记账结束包的示意图,如图8所示,记账结束包的开始字段为acc_status_type=stop。
在一实施例中,认证服务器还用于:
记录终端认证日志,所述终端认证日志包括终端的配置信息、终端上线时间点和下线时间点、终端认证时间点,终端认证失败次数、终端下线告警信息和终端上线提示信息中的其中一种或任意组合。
图9为本发明实施例中终端认证记账日志的界面示意图。在终端上线时,实时终端认证日志,在终端下线时,记录下线时间点,并发送实时告警给用户,让用户及时了解异常终端的情况,在用户处理后,终端重新上线后,重新记录终端记账日志,保证时时刻刻都是反映终端跟交换机连接的最真实的情况,具有高时效性。图10为本发明实施例中终端详情的界面示意图,可对在线的终端的详细信息进行记录,节点为接入交换机所在节点,点击详情,可以查看这个终端所有的记账日志,使用户可以直观的了解终端的接入信息,方便以后核查。
基于上述实施例,本发明提出如下一个实施例来说明采用终端认证系统进行终端认证的详细流程,图11为本发明实施例中采用终端认证系统进行终端认证的详细流程图,如图11所示,在一实施例中,采用终端认证系统进行终端认证的详细流程包括:
步骤1101,认证服务器获得预先配置的终端认证白名单;
步骤1102,认证服务器获得预先配置的设备端配置信息;
步骤1103,认证服务器将所述设备端配置信息发送至设备端;
步骤1104,终端接入设备;
步骤1105,设备端获得所述终端的终端配置信息,根据终端配置信息和接收的设备端配置信息,生成认证请求;
步骤1106,设备端向认证服务器发送认证请求;
步骤1107,认证服务器在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;
步骤1108,认证服务器根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败;
步骤1109,认证服务器将认证结果发送至设备端;
步骤1110,设备端接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,向认证服务器发送记账开始包;在认证结果为认证失败时,拒绝终端接入;
步骤1111,设备端在终端上线时,向认证服务器发送记账开始包;
步骤1112,认证服务器在接收到记账结束包时,生成终端下线告警信息;
步骤1113,设备端在终端下线时,向认证服务器发送记账结束包;
步骤1114,认证服务器在接收到记账结束包的一段时长内再次接收到记账开始包时,生成终端上线提示信息;
步骤1115,认证服务器记录终端认证日志。
当然,可以理解的是,上述采用终端认证系统进行终端认证的详细流程还可以有其他变化例,相关变化例均应落入本发明的保护范围。
综上所述,在本发明实施例提出的系统中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高。同时,由于考虑了终端的MAC地址,可从根源上避免流氓终端的接入,避免PC端修改MAC地址而进行的异常接入的情况。本发明实施例记录了终端认证日志,可使用户对终端的情况有直观的了解;可获得终端下线告警信息和终端上线提示信息,具有高时效性和准确性,解决终端长期处于不可管的状态。
本发明实施例还提出一种设备端,图12为本发明实施例提出的设备端的示意图,如图12所示,该设备端包括:
认证请求发送模块,用于在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
认证模块,用于接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;所述认证结果是所述认证服务器根据认证请求和预先配置的终端认证白名单获得的。
在一实施例中,认证请求发送模块具体用于:
在终端接入设备端时,获得所述终端的终端配置信息,所述终端配置信息是由认证服务器发送的;
根据终端配置信息和接收的设备端配置信息,生成认证请求。
在一实施例中,所述终端配置信息还包括用户名、密码、接入的设备端IP、接入的设备端端口中的其中一种或任意组合。
在一实施例中,设备端还包括记账模块,用于:
在认证结果为认证通过或终端上线时,向认证服务器发送记账开始包,所述记账开始包用于提示认证服务器所述终端处于上线状态;
在终端下线时,向认证服务器发送记账结束包,所述记账结束包用于提示认证服务器所述终端处于下线状态。
综上所述,在本发明实施例提出的设备端中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高。同时,由于考虑了终端的MAC地址,可从根源上避免流氓终端的接入,避免PC端修改MAC地址而进行的异常接入的情况。
本发明实施例还提出一种认证服务器,图13为本发明实施例提出的认证服务器的示意图,如图13所示,该认证服务器包括:
白名单获得模块,用于获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
认证请求接收模块,用于接收设备端发送的认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
认证结果获得模块,用于根据认证请求和终端认证白名单,获得认证结果;
认证结果发送模块,用于将认证结果发送至设备端,所述认证结果用于设备端允许或拒绝终端接入。
在一实施例中,所述认证服务器还包括设备端配置信息获得模块,用于:
获得预先配置的设备端配置信息,设备端用于根据所述设备端配置信息生成认证请求;
将所述设备端配置信息发送至设备端。
在一实施例中,所述终端配置信息还包括用户名、密码、接入的设备端IP、接入的设备端端口中的其中一种或任意组合。
在一实施例中,认证结果获得模块具体用于:
在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;
根据终端的MAC地址,判断所述终端是否为可信任终端;
在所述终端不是可信任终端时,认证结果为认证失败;
在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;
在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
在一实施例中,认证服务器还包括预警模块,用于:
在接收到记账结束包时,生成终端下线告警信息;
在接收到记账结束包的一段时长内再次接收到记账开始包时,生成终端上线提示信息。
在一实施例中,认证服务器还包括记账模块,用于:
记录终端认证日志,所述终端认证日志包括终端的配置信息、终端上线时间点和下线时间点、终端认证时间点,终端认证失败次数、终端下线告警信息和终端上线提示信息中的其中一种或任意组合。
综上所述,在本发明实施例提出的认证服务器中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高。同时,由于考虑了终端的MAC地址,可从根源上避免流氓终端的接入,避免PC端修改MAC地址而进行的异常接入的情况。本发明实施例记录了终端认证日志,可使用户对终端的情况有直观的了解;可获得终端下线告警信息和终端上线提示信息,具有高时效性和准确性,解决终端长期处于不可管的状态。
本发明实施例还提出一种终端认证方法,图14为本发明实施例提出的终端认证方法的流程图,如图14所示,该方法包括:
步骤1401,在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
步骤1402,接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;所述认证结果是所述认证服务器根据认证请求和预先配置的终端认证白名单获得的。
在一实施例中,所述方法还包括:
在终端接入设备端时,获得所述终端的终端配置信息,所述终端配置信息是由认证服务器发送的;
根据终端配置信息和接收的设备端配置信息,生成认证请求。
在一实施例中,所述方法还包括:
在认证结果为认证通过或终端上线时,向认证服务器发送记账开始包,所述记账开始包用于提示认证服务器所述终端处于上线状态;
在终端下线时,向认证服务器发送记账结束包,所述记账结束包用于提示认证服务器所述终端处于下线状态。
综上所述,在本发明实施例提出的方法中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高。同时,由于考虑了终端的MAC地址,可从根源上避免流氓终端的接入,避免PC端修改MAC地址而进行的异常接入的情况。
本发明实施例还提出另一种终端认证方法,图15为本发明实施例提出的另一种终端认证方法的流程图,如图15所示,该方法包括:
步骤1501,获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
步骤1502,接收设备端发送的认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
步骤1503,根据认证请求和终端认证白名单,获得认证结果;
步骤1504,将认证结果发送至设备端,所述认证结果用于设备端允许或拒绝终端接入。
在一实施例中,所述方法还包括:
获得预先配置的设备端配置信息,设备端用于根据所述设备端配置信息生成认证请求;
将所述设备端配置信息发送至设备端。
在一实施例中,所述终端配置信息还包括用户名、密码、接入的设备端IP、接入的设备端端口中的其中一种或任意组合。
在一实施例中,根据认证请求和终端认证白名单,获得认证结果,包括:
在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;
根据终端的MAC地址,判断所述终端是否为可信任终端;
在所述终端不是可信任终端时,认证结果为认证失败;
在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;
在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
在一实施例中,所述方法还包括:
在接收到记账结束包时,生成终端下线告警信息;
在接收到记账结束包的一段时长内再次接收到记账开始包时,生成终端上线提示信息。
在一实施例中,所述方法还包括:
记录终端认证日志,所述终端认证日志包括终端的配置信息、终端上线时间点和下线时间点、终端认证时间点,终端认证失败次数、终端下线告警信息和终端上线提示信息中的其中一种或任意组合。
综上所述,在上述方法中,在认证请求中包括设备端配置信息和终端配置信息,并根据认证请求和预先配置的终端认证白名单获得认证结果,即认证结果的获得考虑了设备端配置信息中的牵手密钥和终端配置信息中的MAC地址,以及终端认证白名单,因此,安全性高。同时,由于考虑了终端的MAC地址,可从根源上避免流氓终端的接入,避免PC端修改MAC地址而进行的异常接入的情况。本发明实施例记录了终端认证日志,可使用户对终端的情况有直观的了解;可获得终端下线告警信息和终端上线提示信息,具有高时效性和准确性,解决终端长期处于不可管的状态。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种终端认证系统,其特征在于,包括:
设备端,用于:
在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;
认证服务器,用于:
获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
接收设备端发送的认证请求;
根据认证请求和终端认证白名单,获得认证结果;
将认证结果发送至设备端;
认证服务器具体用于:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
2.如权利要求1所述的终端认证系统,其特征在于,认证服务器具体用于:
获得预先配置的设备端配置信息;
将所述设备端配置信息发送至设备端;
设备端具体用于:
接收认证服务器发送的设备端配置信息,生成认证请求。
3.如权利要求2所述的终端认证系统,其特征在于,设备端具体用于:
在终端接入设备端时,获得所述终端的终端配置信息;
根据终端配置信息和接收的设备端配置信息,生成认证请求。
4.如权利要求1所述的终端认证系统,其特征在于,所述终端配置信息还包括用户名、密码、接入的设备端IP、接入的设备端端口中的其中一种或任意组合。
5.如权利要求1所述的终端认证系统,其特征在于,设备端还用于:
在认证结果为认证通过或终端上线时,向认证服务器发送记账开始包,所述记账开始包用于提示认证服务器所述终端处于上线状态;
在终端下线时,向认证服务器发送记账结束包,所述记账结束包用于提示认证服务器所述终端处于下线状态。
6.如权利要求5所述的终端认证系统,其特征在于,认证服务器还用于:
在接收到记账结束包时,生成终端下线告警信息;
在接收到记账结束包的一段时长内再次接收到记账开始包时,生成终端上线提示信息。
7.如权利要求6所述的终端认证系统,其特征在于,认证服务器还用于:
记录终端认证日志,所述终端认证日志包括终端的配置信息、终端上线时间点和下线时间点、终端认证时间点,终端认证失败次数、终端下线告警信息和终端上线提示信息中的其中一种或任意组合。
8.如权利要求1所述的终端认证系统,其特征在于,终端、设备端和认证服务器均支持802.1X协议;
所述认证请求采用Radius协议。
9.一种设备端,其特征在于,包括:
认证请求发送模块,用于在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
认证模块,用于接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;所述认证结果是所述认证服务器根据认证请求和预先配置的终端认证白名单获得的,步骤包括:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
10.一种认证服务器,其特征在于,包括:
白名单获得模块,用于获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
认证请求接收模块,用于接收设备端发送的认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
认证结果获得模块,用于根据认证请求和终端认证白名单,获得认证结果;
认证结果发送模块,用于将认证结果发送至设备端,所述认证结果用于设备端允许或拒绝终端接入;
认证结果获得模块具体用于:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
11.一种终端认证方法,其特征在于,包括:
在终端接入设备端时,向认证服务器发送认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
接收认证服务器返回的认证结果,在认证结果为认证通过时,允许终端接入,在认证结果为认证失败时,拒绝终端接入;所述认证结果是所述认证服务器根据认证请求和预先配置的终端认证白名单获得的,步骤包括:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
12.一种终端认证方法,其特征在于,包括:
获得预先配置的终端认证白名单,所述终端认证白名单包括多个终端的终端配置信息;
接收设备端发送的认证请求,所述认证请求包括设备端配置信息和终端配置信息,所述设备端配置信息包括设备端IP和牵手密钥,所述终端配置信息包括终端的MAC地址;
根据认证请求和终端认证白名单,获得认证结果;
将认证结果发送至设备端,所述认证结果用于设备端允许或拒绝终端接入;
根据认证请求和终端认证白名单,获得认证结果,包括:在根据认证请求中的牵手密钥,确定所述认证请求为非异常请求时,从认证请求中,识别出终端的MAC地址;根据终端的MAC地址,判断所述终端是否为可信任终端;在所述终端不是可信任终端时,认证结果为认证失败;在所述终端是可信任终端时,对比认证请求中的终端配置信息与终端认证白名单中终端的终端配置信息;在认证请求中的终端配置信息与终端认证白名单中任一终端的终端配置信息一致时,认证结果为认证通过,否则认证结果为认证失败。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求11至12任一项所述方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序在被处理器执行时,实现权利要求11至12任一项所述方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910903822.3A CN110602130B (zh) | 2019-09-24 | 2019-09-24 | 终端认证系统及方法、设备端、认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910903822.3A CN110602130B (zh) | 2019-09-24 | 2019-09-24 | 终端认证系统及方法、设备端、认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602130A CN110602130A (zh) | 2019-12-20 |
| CN110602130B true CN110602130B (zh) | 2021-10-08 |
Family
ID=68863057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910903822.3A Active CN110602130B (zh) | 2019-09-24 | 2019-09-24 | 终端认证系统及方法、设备端、认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602130B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111092869B (zh) * | 2019-12-10 | 2022-03-08 | 中盈优创资讯科技有限公司 | 终端接入办公网络安全管控方法及认证服务器 |
| CN113163404B (zh) * | 2021-04-28 | 2023-04-28 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| CN117240606A (zh) * | 2023-11-10 | 2023-12-15 | 新华三网络信息安全软件有限公司 | 哑终端的认证方法及认证系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562811B (zh) * | 2009-05-14 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种会聚式wlan中由wtp完成wpi时的sta漫游切换方法及其系统 |
| US9160739B2 (en) * | 2012-05-21 | 2015-10-13 | Invisible Text, LLC | Secure data transmission system |
| CN103888414B (zh) * | 2012-12-19 | 2017-05-03 | 中国移动通信集团公司 | 一种数据处理方法和设备 |
| CN103795714A (zh) * | 2014-01-20 | 2014-05-14 | 中国建设银行股份有限公司 | 一种身份认证系统和方法 |
| CN106559785B (zh) * | 2015-09-30 | 2020-02-14 | 中国电信股份有限公司 | 认证方法、设备和系统以及接入设备和终端 |
| CN105262597B (zh) * | 2015-11-30 | 2018-10-19 | 中国联合网络通信集团有限公司 | 网络接入认证方法、客户终端、接入设备及认证设备 |
| CN106131066B (zh) * | 2016-08-26 | 2019-09-17 | 新华三技术有限公司 | 一种认证方法及装置 |
| CN106453400B (zh) * | 2016-11-16 | 2019-09-13 | 深圳创维数字技术有限公司 | 一种认证方法及系统 |
| CN107135506B (zh) * | 2017-07-03 | 2019-11-05 | 迈普通信技术股份有限公司 | 一种portal认证方法、装置及系统 |
| CN109862043B (zh) * | 2019-03-28 | 2022-03-22 | 新华三技术有限公司 | 一种终端认证的方法及装置 |
-
2019
- 2019-09-24 CN CN201910903822.3A patent/CN110602130B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| LAN用户接入软件认证方案的实现;陈华;《涪陵师范学院学报》;20031030(第05期);全文 * |
| 基于嵌入式802.1x协议的多元素绑定技术;轩志远等;《江苏科技大学学报(自然科学版)》;20060430(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110602130A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| CN105376216B (zh) | 一种远程访问方法、代理服务器及客户端 | |
| CN110602130B (zh) | 终端认证系统及方法、设备端、认证服务器 | |
| US9130935B2 (en) | System and method for providing access credentials | |
| CN103384237A (zh) | 一种共享IaaS业务云账号的方法、及共享平台和网络装置 | |
| CN111800378B (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| JPH08507416A (ja) | クライアントサーバ通信の認証のための方法及び装置 | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN112671708B (zh) | 认证方法及系统、portal服务器、安全策略服务器 | |
| CN113472545B (zh) | 设备入网方法、装置、设备、存储介质和通信系统 | |
| CN113873041B (zh) | 报文传输方法、装置、网络设备及计算机可读存储介质 | |
| US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN115086042A (zh) | 用户身份认证方法、用户身份认证系统及计算机存储介质 | |
| CN108768987B (zh) | 数据交互方法、装置及系统 | |
| CN107045603A (zh) | 一种应用的调用控制方法和装置 | |
| CN114598500A (zh) | 一种安全服务提供方法、平台、电子设备、介质及程序 | |
| CN113886802A (zh) | 安全认证方法、装置、电子设备和存储介质 | |
| CN113596823A (zh) | 切片网络保护方法及装置 | |
| CN106506520B (zh) | 一种基于单点登录的认证方法及装置 | |
| CN114124483B (zh) | 获取路由器后台超级管理员权限的方法、系统及设备 | |
| CN116996236B (zh) | 一种数据库操作认证处理方法和装置 | |
| CN114257471B (zh) | 验证方法、网络设备及存储介质 | |
| CN115694843B (zh) | 避免仿冒的摄像机接入管理方法、系统、设备和介质 | |
| CN111404871B (zh) | 服务器对接方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 702-2, No. 4811, Cao'an Highway, Jiading District, Shanghai Patentee after: CHINA UNITECHS Address before: 100872 5th floor, Renmin culture building, 59 Zhongguancun Street, Haidian District, Beijing Patentee before: CHINA UNITECHS |
|
| CP02 | Change in the address of a patent holder |