CN111654485A - 一种客户端的认证方法以及设备 - Google Patents

一种客户端的认证方法以及设备 Download PDF

Info

Publication number
CN111654485A
CN111654485A CN202010454460.7A CN202010454460A CN111654485A CN 111654485 A CN111654485 A CN 111654485A CN 202010454460 A CN202010454460 A CN 202010454460A CN 111654485 A CN111654485 A CN 111654485A
Authority
CN
China
Prior art keywords
address
client
authentication
message
hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010454460.7A
Other languages
English (en)
Other versions
CN111654485B (zh
Inventor
熊定山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202010454460.7A priority Critical patent/CN111654485B/zh
Publication of CN111654485A publication Critical patent/CN111654485A/zh
Application granted granted Critical
Publication of CN111654485B publication Critical patent/CN111654485B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种客户端的认证方法以及设备,该设备获取未认证的客户端的网络地址、硬件地址和连接端口;在地址映射软件表中记录客户端的地址映射软件表项,以使来自客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查;该设备还向客户端通知虚拟局域网的网关的临时硬件地址;将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。

Description

一种客户端的认证方法以及设备
技术领域
本申请涉及通信技术,具体地讲是一种客户端的认证方法以及设备。
背景技术
Portal(入口)认证系统中,客户端向DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器请求地址以及网关IP地址。客户端获得设备IP地址和网关IP地址之后,向网关发送访问网址的协议报文时,接入设备将未通过认证的客户端的所有HTTP/HTTPS请求都重定向到Portal Web服务器进行认证。在认证过程中,客户端通过认证协议报文与Portal认证服务器、AAA服务器交互,完成身份认证/授权/计费的功能。
为了避免未通过认证的客户端访问网址或发送数据报文,接入设备的各端口设置四类接入控制表项(ACL,Access Control List):
第一类认证重定向表项,将网段(例如VLAN100)通过端口(例如port1)收到的所有HTTP/HTTPS报文重定向至Portal Web服务器进行认证。
第二类认证报文允许表项,允许网段(VLAN100)内通过端口(port1)收到的所有目的IP地址是Portal Web服务器的网络地址(IPv4或IP6地址)的认证报文;
第三类未认证过滤表项,过滤网段(VLAN100)通过端口(例如Port1)收到的所有报文。
第四类已认证用户访问表项:允许网段(VLAN100)通过端口(Port1)收到的已认证IP(IPv4地址或IPv6地址)报文可以访问网络,即认证客户端认证成功后,接入设备下发第四类ACL规则,允许该客户端正常上网。
但是现有认证的缺点在于,新增一个已认证客户端,就需要新增一个第四类已认证用户访问表项,从而通过每个第四类表项单独允许每个已认证客户端的三层报文的转发。但是接入设备的ACL表项的数目有限,当不同VLAN的已认证客户端都增加时,接入设备的ACL表项资源不足,无法转发已认证客户端的三层报文。
发明内容
本申请目的在于提供一种客户端认证方法以及设备,能够对未通过认证的客户端进行单播反向路径转发检查。
为实现上述目的,本申请提供了一种客户端认证方法,其中该方法包括:
获取未认证的客户端的网络地址、硬件地址和连接端口;
在地址映射软件表中记录客户端的地址映射软件表项,以使来自客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查;其中,地址映射软件表项记录客户端的网络地址、硬件地址和连接端口;向客户端通知虚拟局域网的网关的临时硬件地址;将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。
为实现上述目的,本申请还提供了一种客户端认证设备,其中该设备包括:中继模块,用于获取未认证的客户端的网络地址、硬件地址和连接端口;表项模块,用于在地址映射软件表中记录客户端的地址映射软件表项,以使来自客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查;其中,地址映射软件表项记录客户端的网络地址、硬件地址和连接端口;安全模块,用于向客户端通知虚拟局域网的网关的临时硬件地址,将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。
本申请的有益效果在于,能够对未通过认证的客户端进行单播反向路径转发检查。
附图说明
图1为本申请提供的客户端的认证方法实施例的流程图;
图2为本申请提供的网址访问请求报文重定向实施例的流程图;
图3为本申请提供的客户端的认证报文转发实施例的流程图;
图4为本申请提供的客户端的认证设备实施例的示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。
使用的术语中,术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图1为本申请提供的客户端的认证方法实施例的流程图,该认证方法包括:
步骤101,获取未认证的客户端的网络地址、硬件地址和连接端口。
Portal(入口)认证系统中,接入设备作为DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)中继设备,接入设备收到虚拟局域网(譬如VLAN100)的客户端的DHCP请求报文时,通过DHCP中继功能获取客户端的MAC地址以及接入设备连接客户端的连接端口(譬如,通过DHCP请求报文的接收端口获取连接端口port1);接入设备收到DHCP服务器的响应报文时,通过DHCP中继功能获取DHCP服务器分配给客户端的IP地址。
本申请以下以IPv4为例进行说明,但是本申请同样适用于IPv6协议。
步骤102,在地址映射软件表中记录客户端的地址映射软件表项。
本申请不同于现有技术,接入设备会对客户端进行URPF(Unicast Reverse PathForwarding,单播反向路径转发)检查。接入设备通过DHCP中继功能获得了可用于客户端的URPF检查的IP地址、MAC地址以及连接端口,不会生成在交换芯片设置硬件表项,而是将这些URPF信息存储为软件表项,这样对来自客户端的IP地址进行URPF检查时,因为无法查找到硬件表项引发查找失败,使客户端发出的数据报文无法通过URPF检查,不仅实现了未认证客户端的安全认证,还能够有效节约有效地硬件资源。
接入设备将用于URPF检查的客户端的网络地址、硬件地址和连接端口的记录在地址映射软件表项。
步骤103,向客户端通知虚拟局域网的网关的临时硬件地址;
客户端根据DHCP服务器的DHCP响应报文获得IP地址和网关IP地址后,会发送ARP(Address Resolution Protocol,地址解析协议)请求报文,请求网关的MAC地址。
接入设备收到ARP请求报文,发送单播的ARP响应报文,用以将网关的临时MAC地址(譬如MAC1),发送给客户端。
步骤104,将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。
为未通过认证的客户端通知网关的临时MAC地址,这样接入设备通过报文的目的MAC地址就可以识别出来自未认证客户端,并将这些来自未认证客户端的报文发送到入口服务器。
图1的有益效果在于,接入设备通过单播反向路径转发检查检查,避免了未认证客户端非法获得了网关正式的硬件地址并向网关发送访问网络的报文,确保了未认证客户端无法通过网关接入的网络,同时,接入设备通过报文的目的硬件地址就可以识别需要将哪些报文发往入口网络服务器进行认证。
图2为本申请提供的网址访问请求报文重定向实施例的流程图;该实施例包括以下步骤:
步骤201,接收来自客户端的网址访问请求报文;其中,网址访问请求的目的MAC地址为临时硬件地址。
未认证客户端获得网关的临时MAC地址MAC1(硬件地址),发送目的MAC地址是MAC1的HTTP/HTTPS协议报文。
步骤202,根据认证重定向表项将网址访问请求报文重定向到入口网络服务器。
接入设备配置有以下3类ACL规则:
认证重定向表项,将虚拟局域网内的指定端口进来的目的MAC是MAC1的所有HTTP报文都重定向到访问Portal Web服务器。认证重定向表项匹配项包括:网址访问请求报文的报文类型HTTP/HTTPS、虚拟局域网的标识VLAN100、端口标识port1以及临时硬件地址MAC1;动作项为重定向发往portal Web服务器。
认证报文允许表项,允许vlan100内的端口port1进来的目的MAC是MAC1且目的IP地址是Portal Web服务器的IPv4地址的认证报文可以访问。认证报文允许表项匹配项包括:Portal Web服务器的IPv4地址、虚拟局域网的标识VLAN100、端口标识port1以及临时硬件地址MAC1;动作项为允许转发。
未认证过滤表项:过滤vlan100内的端口port1进来的目的MAC是MAC1的所有IPv4报文。未认证过滤表项匹配项包括:虚拟局域网的标识VLAN 100、端口标识port1以及临时硬件地址MAC1;动作项为丢弃。
接入设备通过端口port1收到来自客户端的HTTP/HTTPS报文,在接入控制表中根据目的MAC地址MAC1、报文类型HTTP/HTTPS以及接收端口port1,查找到认证重定向表项,接入设备将认证报文发往portal Web服务器启动portal认证。
图3为本申请提供的客户端的认证报文转发实施例的流程图;
步骤301,接收来自客户端的认证报文;其中,认证报文的目的MAC地址为临时硬件地址。
客户端开始portal认证后,根据获得网关的临时MAC地址MAC1(硬件地址),发送目的MAC地址是MAC1的认证报文。
步骤302,根据认证报文允许表项将认证报文发往网关,以使网关将认证报文发送至入口网络服务器进行认证。
接入设备通过端口port1收到来自客户端的认证报文,在接入控制表中根据认证报文的目的MAC地址MAC1、作为目的IP地址的入口网络服务器的网络地址以及接收端口port1,查找到认证报文允许表项,接入设备将认证报文发往VLAN100的网关,由网关根据目的IP地址最终发往入口网络服务器。
客户端通过认证之前,如果试图向VLAN100的网关发送IPv4报文,客户端向获取VLAN100网关的临时MAC地址MAC1发送IPv4三层报文。
接入设备通过port1收到目的MAC地址为MAC1的数据报文时,根据VLAN100、port1以及MAC1在接入控制表中查找到上述未认证过滤表项。接入设备根据未认证过滤表项丢弃客户端发往VLAN100的三层报文。
当portal Web服务器完成对客户端的认证后,portal Web服务器向客户端发送认证成功的通知报文。接入设备为客户端转发认证成功通知报文时,获知客户端通过认证。
接入设备在客户端通过认证后,向客户端发送免费ARP报文,向客户端通知VLAN100网关的IP地址对应的正式MAC地址MAC2。客户端收到免费ARP表项之后,将ARP表项中VLAN100网关IP地址的MAC地址修改为MAC2。
接入设备将地址映射软件表项同步为地址映射硬件表的地址映射硬件表项。
客户端更新ARP表项后,向VLAN100网关的正式MAC地址MAC2发送IPv4三层报文。接入设备通过port1收到目的MAC地址为MAC2的数据报文时,在接入控制表汇中没查找到匹配表项;接入设备在地址映射硬件表查找到网关IP地址对应的MAC地址MAC2,确定与收到数据报文的目的MAC地址一致,URPF检查成功。接入设备完成URPF检查后,在MAC地址表中查找到目的MAC地址MAC2匹配的MAC地址表项,然后通过MAC地址表项中的端口发送数据报文,使认证后的客户端的数据报文发往VLAN100的网关,由VLAN100网关发往VLAN100外的其他设备。或者,接入设备功能集成在网关,本申请各实施例中,接入设备收到目的MAC地址是MAC2的各类报文后,确定是发往VLAN100网关的报文,执行三层转发,剥掉以太网头,根据内层的目的IP地址执行三层转发,重新封装二层头,然后根据新封装的二层头的目的MAC地址转发。
无论是接入设备将目的MAC地址是MAC2的报文发往网关还是接入设备集成在网关,对收到目的MAC地址是MAC2的报文进行三层转发,都可以应用于本申请。
客户端通过认证后,客户端的HTTP/HTTPS协议报文到达接入设备后,由于HTTP/HTTPS协议报文的目的MAC地址为MAC2,这些HTTP/HTTPS协议报文不会匹配到认证重定向表项,也能够通过URPF检查,最后发往VLAN100网关。
相较于现有技术,接入设备通过对客户端进行URPF检查,不仅保障了未认证客户端无法通过网关访问网络,还确保了通过URPF检查的客户端的报文被发往VLAN网关,这样接入设备就无需设置现有技术中大量的第四类已认证用户访问表项,进一步节约了接入设备的交换芯片的有限的硬件转发资源。
本申请上述实施例以IPv4为例进行了说明,当本申请应用于IPv6网络,客户端通过ND(Neighbor Discovery,邻居发现)协议报文请求硬件地址。
图4为本申请提供的客户端的认证设备400实施例的示意图。该认证设备400具有交换芯片410,CPU420以及存储器430。交换芯片410具有芯片存储模块411、中继模块412、表项模块413、通知模块414、安全模块415。CPU420具有同步模块421。
芯片存储模块411,用于存储接入控制表以及地址映射硬件表。
存储器430,用于存储有地址映射软件表。
中继模块412,用于获取未认证的客户端的网络地址、硬件地址和连接端口。
表项模块413,用于通过与CPU420的芯片间通信在存储器430的地址映射软件表中记录客户端的地址映射软件表项。该地址映射软件表项记录客户端的网络地址、硬件地址和连接端口。
表项模块413不在交换芯片的芯片存储模块的地址映射硬件表设置硬件表项,这样安全模块415后续无法查找到硬件表项,使客户端发出的报文无法通过URPF检查,不仅实现了未认证客户端的安全认证,还能够有效节约有效地硬件资源。
通知模块414,用于向客户端通知虚拟局域网的网关的临时硬件地址。
安全模块415,用于根据接入控制表将客户端发往网关的临时硬件地址的报文发送至入口网络服务器进行认证。
安全模块415,还用于获取来自客户端的网址访问请求报文;其中,网址访问请求的目的MAC地址为临时硬件地址;根据认证重定向表项将网址访问请求报文重定向到入口网络服务器;认证重定向表项匹配项包括:网址访问请求报文的报文类型、虚拟局域网的标识、接收端口标识以及临时硬件地址。
安全模块415,还用于获取来自客户端的认证报文;根据认证报文允许表项将认证报文发往网关;其中,认证报文的目的MAC地址为临时硬件地址,认证报文允许表项匹配项包括:入口网络服务器的网络地址、虚拟局域网的标识、接收端口标识以及临时硬件地址。
安全模块415,还用于获取来自客户端的三层报文;根据存储的未认证过滤表项丢弃收到的未认证客户端的三层报文;其中,未认证过滤表项的匹配项包括:虚拟局域网的标识、连接端口标识以及临时硬件地址。
通知模块414,还用于确定客户端通过认证,向客户端通知网关的正式网关硬件地址。
交换芯片410和CPU420通过芯片间通信,将客户端通过认证的消息通知到CPU420。CPU420的同步模块421用于将存储器430中的地址映射软件表项同步为芯片存储模块411中地址映射硬件表的地址映射硬件表项
安全模块415,根据通过认证的客户端的三层报文在网络地址映射硬件表查找到地址映射硬件表项,确定认证的客户端的三层报文通过单播反向路径转发检查。
相较于现有技术,接入设备通过对客户端进行URPF检查,保障了未认证客户端无法通过网关访问网络,还确保了通过URPF检查的客户端的报文被发往VLAN网关从而访问其他设备,这样接入设备就无需设置现有技术中大量的第四类已认证用户访问表项,进一步节约了接入设备的交换芯片的有限的硬件转发资源。
以上仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种客户端的认证方法,其特征在于,所述方法包括:
获取未认证的客户端的网络地址、硬件地址和连接端口;
在地址映射软件表中记录所述客户端的地址映射软件表项,以使来自所述客户端的网络地址的三层报文在地址映射硬件表查找失败而无法通过单播反向路径转发检查;其中,所述地址映射软件表项记录所述客户端的网络地址、硬件地址和连接端口;
向所述客户端通知虚拟局域网的网关的临时硬件地址;
将所述客户端发往所述网关的所述临时硬件地址的报文发送至入口网络服务器进行认证。
2.根据权利要求1所述的方法,其特征在于,将所述客户端发往所述网关的所述临时硬件地址的报文发送至入口网络服务器进行认证包括:
获取来自所述客户端的网址访问请求报文;其中,所述网址访问请求的目的MAC地址为所述临时硬件地址;
根据认证重定向表项将所述网址访问请求报文重定向到所述入口网络服务器;所述认证重定向表项匹配项包括:所述网址访问请求报文的报文类型、所述虚拟局域网的标识、接收端口标识以及所述临时硬件地址。
3.根据权利要求1所述的方法,其特征在于,将所述客户端发往所述网关的所述临时硬件地址的报文发送至入口网络服务器进行认证还包括:
获取来自所述客户端的认证报文;其中,所述认证报文的目的MAC地址为所述临时硬件地址;
根据认证报文允许表项将所述认证报文发往所述网关,以使所述网关将所述认证报文发送至所述入口网络服务器进行认证;其中,所述认证报文允许表项匹配项包括:所述入口网络服务器的网络地址、所述虚拟局域网的标识、所述接收端口标识以及所述临时硬件地址。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
识别所述客户端发往所述网关的三层报文;
根据存储的未认证过滤表项丢弃收到的所述三层报文;所述未认证过滤表项的匹配项包括:所述虚拟局域网的标识、所述连接端口标识以及所述临时硬件地址。
5.根据权利要求1所述的方法,其特征在于,所述方法包括:
确定所述客户端通过认证;
向所述客户端通知所述网关的正式网关硬件地址;
将所述地址映射软件表项同步为所述地址映射硬件表的地址映射硬件表项,以使来自所述客户端的网络地址的三层报文在所述网络地址映射硬件表查找成功而通过单播反向路径转发检查。
6.一种客户端的认证设备,其特征在于,所述设备包括:
第一存储模块,用于存储接入控制表以及地址映射硬件表;
第二存储模块,用于存储地址映射软件表;
中继模块,用于获取未认证的客户端的网络地址、硬件地址和连接端口;
表项模块,用于在所述地址映射软件表中记录所述客户端的地址映射软件表项;其中,所述地址映射软件表项记录所述客户端的网络地址、硬件地址和连接端口;
通知模块,用于向所述客户端通知虚拟局域网的网关的临时硬件地址;
安全模块,用于根据所述接入控制表将所述客户端发往所述网关的所述临时硬件地址的报文发送至入口网络服务器进行认证。
7.根据权利要求6所述的设备,其特征在于,
所述安全模块,还用于获取来自所述客户端的网址访问请求报文;其中,所述网址访问请求的目的MAC地址为所述临时硬件地址;根据认证重定向表项将所述网址访问请求报文重定向到所述入口网络服务器;所述认证重定向表项匹配项包括:所述网址访问请求报文的报文类型、所述虚拟局域网的标识、接收端口标识以及所述临时硬件地址。
8.根据权利要求6所述的设备,其特征在于,
所述安全模块,还用于获取来自所述客户端的认证报文;根据认证报文允许表项将所述认证报文发往所述网关;其中,所述认证报文的目的MAC地址为所述临时硬件地址,所述认证报文允许表项匹配项包括:所述入口网络服务器的网络地址、所述虚拟局域网的标识、所述接收端口标识以及所述临时硬件地址。
9.根据权利要求7或8所述的设备,其特征在于,
所述安全模块,还用于获取来自所述客户端的三层报文;根据存储的未认证过滤表项丢弃收到的所述未认证客户端的三层报文;其中,所述未认证过滤表项的匹配项包括:所述虚拟局域网的标识、所述连接端口标识以及所述临时硬件地址。
10.根据权利要求9所述的设备,其特征在于,所属设备还包括同步模块;
所述通知模块,还用于确定所述客户端通过认证,向所述客户端通知所述网关的正式网关硬件地址;
所述同步模块,还用于将所述地址映射软件表项同步为所述地址映射硬件表的地址映射硬件表项;
所述安全模块,还用于根据通过认证的所述客户端的三层报文在所述网络地址映射硬件表查找到所述地址映射硬件表项,确定认证的所述客户端的三层报文通过单播反向路径转发检查。
CN202010454460.7A 2020-05-26 2020-05-26 一种客户端的认证方法以及设备 Active CN111654485B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010454460.7A CN111654485B (zh) 2020-05-26 2020-05-26 一种客户端的认证方法以及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010454460.7A CN111654485B (zh) 2020-05-26 2020-05-26 一种客户端的认证方法以及设备

Publications (2)

Publication Number Publication Date
CN111654485A true CN111654485A (zh) 2020-09-11
CN111654485B CN111654485B (zh) 2023-04-07

Family

ID=72349588

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010454460.7A Active CN111654485B (zh) 2020-05-26 2020-05-26 一种客户端的认证方法以及设备

Country Status (1)

Country Link
CN (1) CN111654485B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113556274A (zh) * 2021-07-20 2021-10-26 迈普通信技术股份有限公司 终端接入认证的方法、装置、系统、控制器及设备
CN113872833A (zh) * 2021-09-30 2021-12-31 新华三信息安全技术有限公司 一种检测路径可达的方法、系统及设备
CN114785534A (zh) * 2022-01-06 2022-07-22 新华三技术有限公司 通信方法及装置
CN115001745A (zh) * 2022-04-24 2022-09-02 四川天邑康和通信股份有限公司 一种基于政企网关的内网用户本地认证的系统及方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750512A (zh) * 2005-09-27 2006-03-22 杭州华为三康技术有限公司 单播反向路径转发方法
CN101237378A (zh) * 2008-03-11 2008-08-06 杭州华三通信技术有限公司 虚拟局域网的映射方法和设备
CN101902463A (zh) * 2010-04-22 2010-12-01 国家无线电监测中心检测中心 一种适用于移动用户的传感器网络访问控制方法及系统
CN101945117A (zh) * 2010-09-28 2011-01-12 杭州华三通信技术有限公司 防止源地址欺骗攻击的方法及设备
JP2015050698A (ja) * 2013-09-03 2015-03-16 古河電気工業株式会社 ネットワークシステム、ブランチルータ、および、その制御方法
CN104660597A (zh) * 2015-02-11 2015-05-27 福建星网锐捷网络有限公司 三层认证方法、装置及三层认证交换机
CN107493297A (zh) * 2017-09-08 2017-12-19 安徽皖通邮电股份有限公司 一种VxLAN隧道接入认证的方法
CN108259454A (zh) * 2017-06-22 2018-07-06 新华三技术有限公司 一种Portal认证方法和装置
CN109005119A (zh) * 2018-09-29 2018-12-14 新华三技术有限公司合肥分公司 一种设置mac地址认证下线检测时间的方法及交换机
CN110366173A (zh) * 2019-08-23 2019-10-22 中国联合网络通信集团有限公司 一种实现终端设备接入网络的方法和网关

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750512A (zh) * 2005-09-27 2006-03-22 杭州华为三康技术有限公司 单播反向路径转发方法
CN101237378A (zh) * 2008-03-11 2008-08-06 杭州华三通信技术有限公司 虚拟局域网的映射方法和设备
CN101902463A (zh) * 2010-04-22 2010-12-01 国家无线电监测中心检测中心 一种适用于移动用户的传感器网络访问控制方法及系统
CN101945117A (zh) * 2010-09-28 2011-01-12 杭州华三通信技术有限公司 防止源地址欺骗攻击的方法及设备
JP2015050698A (ja) * 2013-09-03 2015-03-16 古河電気工業株式会社 ネットワークシステム、ブランチルータ、および、その制御方法
CN104660597A (zh) * 2015-02-11 2015-05-27 福建星网锐捷网络有限公司 三层认证方法、装置及三层认证交换机
CN108259454A (zh) * 2017-06-22 2018-07-06 新华三技术有限公司 一种Portal认证方法和装置
CN107493297A (zh) * 2017-09-08 2017-12-19 安徽皖通邮电股份有限公司 一种VxLAN隧道接入认证的方法
CN109005119A (zh) * 2018-09-29 2018-12-14 新华三技术有限公司合肥分公司 一种设置mac地址认证下线检测时间的方法及交换机
CN110366173A (zh) * 2019-08-23 2019-10-22 中国联合网络通信集团有限公司 一种实现终端设备接入网络的方法和网关

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张可;汪有杰;程绍银;王理冬;: "DDoS攻击中的IP源地址伪造协同处置方法" *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113556274A (zh) * 2021-07-20 2021-10-26 迈普通信技术股份有限公司 终端接入认证的方法、装置、系统、控制器及设备
CN113556274B (zh) * 2021-07-20 2022-05-17 迈普通信技术股份有限公司 终端接入认证的方法、装置、系统、控制器及设备
CN113872833A (zh) * 2021-09-30 2021-12-31 新华三信息安全技术有限公司 一种检测路径可达的方法、系统及设备
CN113872833B (zh) * 2021-09-30 2023-11-07 新华三信息安全技术有限公司 一种检测路径可达的方法、系统及设备
CN114785534A (zh) * 2022-01-06 2022-07-22 新华三技术有限公司 通信方法及装置
CN114785534B (zh) * 2022-01-06 2023-10-27 新华三技术有限公司 通信方法及装置
CN115001745A (zh) * 2022-04-24 2022-09-02 四川天邑康和通信股份有限公司 一种基于政企网关的内网用户本地认证的系统及方法
CN115001745B (zh) * 2022-04-24 2024-01-30 四川天邑康和通信股份有限公司 一种基于政企网关的内网用户本地认证的系统及方法

Also Published As

Publication number Publication date
CN111654485B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
CN111654485B (zh) 一种客户端的认证方法以及设备
US8875233B2 (en) Isolation VLAN for layer two access networks
EP1559237B1 (en) Method and arrangement for preventing illegitimate use of ip addresses
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
CN101415012B (zh) 一种防御地址解析协议报文攻击的方法和系统
CN101345743B (zh) 防止利用地址解析协议进行网络攻击的方法及其系统
US20090129386A1 (en) Operator Shop Selection
US20040213172A1 (en) Anti-spoofing system and method
US7861076B2 (en) Using authentication server accounting to create a common security database
WO2010072096A1 (zh) IPv6环境下提高邻居发现安全性的方法及宽带接入设备
WO2009094928A1 (fr) Procédé et équipement de transmission d'un message basé sur le protocole de tunnel de niveau 2
CN107707435B (zh) 一种报文处理方法和装置
CN104270325B (zh) CPE设备基于Linux实现公网接入用户数限制的系统及方法
CN112637373B (zh) 一种保持哑终端在线的方法及设备
WO2017107871A1 (zh) 访问控制方法和网络设备
CN110493366A (zh) 一种接入点加入网络管理的方法及装置
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
EP2677716A1 (en) Access control method, access device and system
JP2001326696A (ja) アクセス制御方法
US11212279B1 (en) MAC address theft detection in a distributed link layer switched network based on trust level comparison
JP3994412B2 (ja) ネットワークシステム、網内識別子の設定方法、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
CN114710388B (zh) 一种校园网安全系统及网络监护系统
EP2671401B1 (en) Verification in wireless local area network
JP2019041176A (ja) 不正接続遮断装置及び不正接続遮断方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant