CN113556337A - 终端地址识别方法、网络系统、电子设备及存储介质 - Google Patents
终端地址识别方法、网络系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113556337A CN113556337A CN202110817253.8A CN202110817253A CN113556337A CN 113556337 A CN113556337 A CN 113556337A CN 202110817253 A CN202110817253 A CN 202110817253A CN 113556337 A CN113556337 A CN 113556337A
- Authority
- CN
- China
- Prior art keywords
- address
- access
- target
- terminal device
- target terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 87
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 11
- 230000008859 change Effects 0.000 description 9
- 230000003068 static effect Effects 0.000 description 9
- 238000007726 management method Methods 0.000 description 8
- 238000013475 authorization Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002035 prolonged effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种终端地址识别方法、网络系统、电子设备及存储介质,涉及通信技术领域。该方法中,认证服务器通过接收接入设备在感知到终端设备的IP地址发生变更时发送的通知信息,根据通知信息获取终端设备的当前IP地址,并根据获得的网络规划信息判断当前IP地址是否为非法篡改的IP地址,如此可以实现对非法篡改的IP地址进行识别,以实现对网络系统的安全防护。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种终端地址识别方法、网络系统、电子设备及存储介质。
背景技术
为了确保网络安全,在园区办公网络中,通常需要对接入网络中的计算机、服务器、打印机等终端设备做网络访问策略控制。
目前通常是基于IP地址进行网络访问策略控制,所以为终端设备分配的IP地址决定了终端设备在网络中的访问权限,而终端设备的IP地址的修改不受管理员的管控,如果用户随意篡改终端设备的IP地址,势必会导致网络中IP地址管理混乱,网络访问控制策略形同虚设,进而导致对网络安全造成较大的威胁。
发明内容
本申请实施例的目的在于提供一种终端地址识别方法、网络系统、电子设备及存储介质,用以改善现有技术中用户随意篡改终端设备的IP地址导致对网络安全造成较大威胁的问题。
第一方面,本申请实施例提供了一种终端地址识别方法,应用于网络系统中的认证服务器,所述网络系统还包括接入设备,所述接入设备与所述认证服务器建立网络连接,所述接入设备用于连接终端设备,所述方法包括:
接收所述接入设备发送的表征目标终端设备的IP地址发生改变的通知信息;
根据所述通知信息获取所述目标终端设备的当前IP地址;
获取所述目标终端设备对应的网络规划信息;
根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
在上述实现过程中,认证服务器通过接收接入设备在感知到终端设备的IP地址发生变更时发送的通知信息,根据通知信息获取终端设备的当前IP地址,并根据获得的网络规划信息判断当前IP地址是否为非法篡改的IP地址,如此可以实现对非法篡改的IP地址进行识别,以实现对网络系统的安全防护。
可选地,所述网络规划信息包括终端设备的IP地址与终端设备的MAC地址的绑定关系,所述根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址,包括:
查找所述网络规划信息中与所述目标终端设备的MAC地址绑定的IP地址是否包括所述当前IP地址;
若否,则确定所述当前IP地址为非法篡改的IP地址。
在上述实现过程中,通过结合网络规划信息中MAC地址与IP地址的绑定关系来识别终端设备的当前IP地址是否是非法篡改的,从而能及时感知到终端设备的IP地址的非法篡改。
可选地,所述网络规划信息包括终端设备的MAC地址和接入信息与终端设备的IP地址的绑定关系,所述接入信息包括终端设备的认证账户、接入位置、接入时间中的至少一种信息;所述根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址,包括:
获取所述目标终端设备的目标接入信息和目标MAC地址;
查找所述网络规划信息中与所述目标接入信息和目标MAC地址绑定的IP地址是否包括所述当前IP地址;
若否,则确定所述当前IP地址为非法篡改的IP地址。
在上述实现过程中,通过结合接入信息来识别终端设备的当前IP地址是否是非法篡改的,从而可以从多个维度来对终端设备的IP地址非法篡改进行更准确地识别。
可选地,所述方法还包括:
在确定所述当前IP地址为非法篡改的IP地址时,向所述接入设备发送下线所述目标终端设备的通知信息,并拒绝所述目标终端设备的再次认证请求。这样可避免终端设备对网络进行非法访问,确保网络安全。
第二方面,本申请实施例提供了一种终端地址识别方法,应用于网络系统中的接入设备,所述网络系统还包括认证服务器,所述接入设备与所述认证服务器连接,所述接入设备用于连接终端设备,所述方法包括:
接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
在查找表中查找获得所述目标MAC地址对应的历史IP地址;
在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器发送表征所述目标终端设备的IP地址发生改变的通知信息,以使所述认证服务器根据获取的所述目标终端设备对应的网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
在上述实现过程中,通过接入设备及时感知到终端设备的IP地址的变化情况,然后及时向认证服务器发送通知信息,使得认证服务器可以根据获得的网络规划信息判断当前IP地址是否为非法篡改的IP地址,如此可以实现对非法篡改的IP地址进行识别,以实现对网络系统的安全防护。
可选地,所述网络系统还包括DHCP服务器,所述目标终端设备采用DHCP方式动态分配IP地址时,所述方法还包括:
接收所述目标终端设备发送的DHCP报文;
将所述DHCP报文发送给所述DHCP服务器,以使所述DHCP服务器查找与所述目标终端设备的MAC地址绑定的IP地址;
接收所述DHCP服务器发送的回复报文,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址,或者所述回复报文中携带有空闲IP地址,所述空闲IP地址为所述DHCP服务器在未查找到有与所述目标终端设备的MAC地址绑定的IP地址时,从地址池中获取的。
可选地,所述DHCP报文中还携带有所述目标终端设备的接入信息,所述接入信息包括认证账户、接入位置、接入时间中的至少一种信息,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址是指与所述目标终端设备的MAC地址和所述接入信息绑定的IP地址。这样可满足终端设备在不同场景下IP地址可变的需求,以适应更多的应用场景。
第三方面,本申请实施例提供一种网络系统,所述网络系统包括接入设备和认证服务器,所述接入设备与所述认证服务器建立网络连接,所述接入设备用于连接终端设备;
所述接入设备,用于接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
所述接入设备,用于在查找表中查找获得所述目标MAC地址对应的历史IP地址;
所述接入设备,用于在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器发送表征所述目标终端设备的IP地址发生改变的通知信息;
所述认证服务器,用于根据所述通知信息获取所述目标终端设备的当前IP地址;
所述认证服务器,用于获取所述目标终端设备对应的网络规划信息;
所述认证服务器,用于根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
可选地,所述网络系统还包括DHCP服务器,所述DHCP服务器与所述认证服务器、所述接入设备建立网络连接;
所述DHCP服务器,用于获取各个终端设备对应的网络规划信息,所述网络规划信息包括各个终端设备的MAC地址和接入信息与IP地址的绑定关系,所述接入信息包括认证账户、接入位置、接入时间中的至少一种信息;
所述DHCP服务器,还用于从所述接入设备接收所述目标终端设备发送的DHCP报文,并获取所述DHCP报文中携带的所述目标终端设备的目标MAC地址和目标接入信息;
所述DHCP服务器,还用于根据所述目标MAC地址和所述目标接入信息查找所述网络规划信息,获取所述目标MAC地址和所述目标接入信息绑定的目标IP地址,并向所述接入设备发送回复报文,所述回复报文携带有所述目标IP地址;
所述接入设备,用于将所述目标IP地址发送给所述目标终端设备。
第四方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面或第二方面提供的所述方法中的步骤。
第五方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面或第二方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络系统的结构示意图;
图2为本申请实施例提供的一种接入设备的结构示意图;
图3为本申请实施例提供的一种DHCP服务器的结构示意图;
图4为本申请实施例提供的一种认证服务器的结构示意图;
图5为本申请实施例提供的一种终端地址识别方法的流程图;
图6为本申请实施例提供的另一种终端地址识别方法的流程图;
图7为本申请实施例提供的一种终端地址识别方法的交互流程图;
图8为本申请实施例提供的一种终端地址识别装置的结构框图;
图9为本申请实施例提供的另一种终端地址识别装置的结构框图;
图10为本申请实施例提供的一种用于执行终端地址识别方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供一种终端地址识别方法,该方法应用于认证服务器,通过接收接入设备在感知到终端设备的IP地址发生变更时发送的通知信息,根据通知信息获取终端设备的当前IP地址,并根据获得的网络规划信息判断当前IP地址是否为非法篡改的IP地址,如此可以实现对非法篡改的IP地址进行识别,以实现对网络系统的安全防护。
为了便于理解,下面先对网络系统进行简单介绍,如图1所示,网络系统100包括认证服务器110和接入设备120,网络系统100还可以包括DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器,在一些实施方式中,DHCP服务器130可以和接入设备120部署在同一设备上(即接入设备120上可以单独部署DHCP服务)。为了便于理解,图1中将DHCP服务器130与接入设备120分开示出。
所述接入设备120,用于接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
所述接入设备120,用于在查找表中查找获得所述目标MAC地址对应的历史IP地址;
所述接入设备120,用于在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器110发送表征所述目标终端设备的IP地址发生改变的通知信息;
所述认证服务器110,用于根据所述通知信息获取所述目标终端设备的当前IP地址;
所述认证服务器110,用于获取所述目标终端设备对应的网络规划信息;
所述认证服务器110,用于根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
其中,接入设备120可以为网关、路由器、交换机、接入控制器、无线接入点等设备。如图2所示,接入设备120可以包括第一准入认证单元122、第一地址变更感知单元124、报文接收转发单元126和DHCP处理单元128。
第一准入认证单元122,用于支持标准的802.1X、Radius认证,在实际应用时,为了对终端设备进行网络访问控制,在终端设备接入网络之前需要对终端设备进行准入认证,而为了触发终端设备进行准入认证,需要在所有的接入端口上开启802.1X、Radius认证。
第一地址变更感知单元124,用于根据MAC表、ARP表等查找表来确定终端设备的IP地址的变化情况,并可将变化信息通过syslog、snmp trap、radius计费报文、其他数据通道(例如netconf等)等通知到认证服务器110。
报文接收转发单元126,用于接收终端设备发送的认证报文、DHCP相关报文,并将报文转交给第一准入认证单元122、DHCP处理单元128处理,再将处理后的报文转发到认证服务器110或DHCP服务器130。
DHCP处理单元128,用于对终端设备发送的DHCP Discover报文、DHCP Request报文、DHCP Release报文中增加option选项携带认证账号等信息,并在Relay agent IPaddress字段带上网关IP地址后,发送给DHCP服务器130。
如图3所示,DHCP服务器130可以与认证服务器110、接入设备120建立网络连接,DHCP服务器130可以包括地址池管理单元132、静态IP地址管理单元134和IP地址分配管理单元136。
IP地址分配管理单元136,用于支持标准的动态主机配置协议;接收并解析终端设备发送的DHCP相关报文,获取网关IP地址、终端设备的MAC地址、认证账号等信息,根据网关IP地址确定所属地址池,根据终端设备的MAC地址、认证账号等信息判断是否存在已有的静态IP地址绑定信息,如果已有绑定的静态IP地址信息则为该终端设备分配此IP地址,如果没有,则从地址池中为终端设备分配一个空闲IP地址,并将终端设备的MAC地址和认证账号、IP地址的绑定关系发送给静态IP地址管理单元134进行存储,将分配的IP地址通过DHCPoffer报文发送给终端设备。
地址池管理单元132,用于管理维护DHCP地址池,地址池信息主要包括子网、掩码、网关IP地址、租约等信息,并支持管理地址池中的已分配IP地址、未分配的空闲IP地址。
静态IP地址管理单元134,用于管理地址池中的终端设备的MAC地址、认证账号等信息与IP地址的静态绑定关系。
DHCP服务器130在为终端设备进行动态IP地址分配时,DHCP服务器可以获取各个终端设备对应的网络规划信息,该网络规划信息包括各个终端设备的MAC地址和接入信息与IP地址的绑定关系,接入信息包括认证账户、接入位置、接入时间中的至少一种信息。
网络规划信息示例如下:
研发区域办公PC终端设备规划到业务网络1(网段192.168.100.0/24,VLAN 100);财务区域办公PC终端设备规划到业务网络2(网段192.168.200.0/24,VLAN 200);所有区域办公PC终端设备在下班时间规划到业务网络3(网段193.168.100.0/24,VLAN 300);打印机终端设备规划到业务网络4(网段194.168.100.0/24,VLAN 400);IP电话终端设备规划到业务网络5(网段195.168.100.0/24,VLAN 500)。
其中,研发区域、财务区域可以为接入位置,即接入位置具体可以根据接入设备所在区域做关系映射实现。上班时间、下班时间可以为接入时间。
在一些实施方式中,还可以根据终端类型来为终端设备进行网络规划,即接入信息还可以包括终端类型,如上述的PC、打印机、IP电话等属于终端设备类型。
DHCP服务器130可以根据终端设备的IP地址请求,为终端设备下发对应的IP地址。如DHCP服务器130从接入设备120接收所述目标终端设备发送的DHCP报文,并获取所述DHCP报文中携带的所述目标终端设备的目标MAC地址和目标接入信息,然后根据目标MAC地址和目标接入信息查找网络规划信息,获取目标MAC地址和目标接入信息绑定的目标IP地址,并向接入设备120发送回复报文,该回复报文携带有所述目标IP地址。接入设备120可将目标IP地址发送给目标终端设备,从而实现为目标终端设备动态分配IP地址。
为了对各个终端设备进行网络访问控制,可以预先在DHCP服务器130上规划好各个终端设备的网络,如DHCP服务器130上还可以配置有规划中心单元138,规划中心单元138包括网络规划单元、IP地址规划单元。需要说明的是,规划中心单元138也可以不部署在DHCP服务器130中,其可以单独部署在其他独立的服务器中。或者,规划中心单元138也可以部署在认证服务器110上,具体地,规划中心单元138的部署情况可以根据实际需求灵活部署。
网络规划单元,可支持按认证账户、终端设备的MAC地址、接入信息等维度将终端设备划分到不同VLAN、IP段;IP地址规划单元,可支持按认证账户、终端设备的MAC地址、接入信息等维度为终端设备分配指定的IP地址(如上述示例)。也就是说,管理员可以在规划中心单元138为各个终端设备预先规划相应的IP地址,然后获得网络规划信息后下发给DHCP服务器130,这样DHCP服务器130后续在进行IP地址分配时,可以通过查找绑定的IP地址进行分配。
本申请中的认证服务器110可以为AAA(Authentication、Authorization、Accounting,认证、授权和记账)服务器,是一个能够处理用户访问请求的服务器程序,提供认证授权以及记账服务,主要目的是管理用户访问网络服务器,对具有访问权的用户提供服务。
如图4所示,认证服务器110可以包括第二准入认证单元112、授权单元114、第二地址变更感知单元116、IP地址合规检查单元118。
第二准入认证单元112,用于支持标准的Radius认证协议;支持解析Radius协议报文中的终端设备的MAC地址、终端设备的IP地址、接入设备120的IP地址、接入设备120的MAC地址、认证账号等信息做标准的radius认证。
授权单元114,用于根据规划中心单元138的网络规划信息查询终端设备所属的网络VLAN,并通过Radius属性将终端归属VLAN信息发送给接入设备120,接入设备120将终端设备所连接的接入端口加入到此VLAN;
第二地址变更感知单元116,用于接收接入设备120发送的syslog日志、snmp trap报文、radius计费报文、netconf等通知信息等,获取终端设备的MAC地址、接入位置、接入时间、认证账号以及变化后的IP地址等信息,感知终端设备的IP地址变化情况。
IP地址合规检查单元118,用于感知到终端设备的IP地址变化后,检查终端设备的IP地址的合规性,如果判断IP地址为非法篡改、私改则调用第二准入认证单元112将终端设备下线达到隔离效果。
在执行本申请的方法之前,需要对各个设备进行相应的配置,如下:
接入设备120与终端设备直连的接入端口需要开启802.1X认证;接入设备120如果同时作为网关设备,需要在网关接口上配置DHCP Relay,中继的目标IP设置为DHCP服务器130的地址,这样就可以实现在不同子网和物理网段之间处理和转发DHCP信息的功能;
根据组网需求,可以在规划中心单元138规划好各业务网络(包括子网、掩码、网关、租约等信息),规划业务网络后会在DHCP服务器130上同步创建DHCP地址池;根据实际需求,在规划中心单元138按认证账号、终端设备的MAC地址、接入位置、接入时间等维度将终端设备规划到不同业务网络;
根据实际需求,在规划中心单元138按认证账号、终端设备的MAC地址、接入位置、接入时间等维度为终端设备提前分配好IP地址(这样可满足终端设备在不同场景下IP地址可变,同一场景下IP地址固定的需求),并在DHCP服务器130对应DHCP地址池中预生成静态IP地址绑定关系(如MAC地址、接入位置、接入时间与IP地址的绑定关系);
在认证服务器110上配置好接入设备120的相关信息,如接入设备120的IP地址、Radius密钥等信息;
在认证服务器110上配置好认证账户信息、准入认证策略等,为后续实现对终端设备的准入认证。
终端设备为了访问网络,需要先进行准入认证,下面对终端设备的准入认证过程进行简单介绍。终端设备的准入认证流程如下:
1)终端设备通过物理连线或者无线WiFi连接到接入设备;
2)因为在接入设备的接入端口开启了802.1X认证,终端设备在准入认证之前没有网络访问权限,需要用户打开802.1X认证客户端(可以是操作系统自带),输入账号密码发起802.1X认证请求;
3)接入设备接收到终端设备发送的认证请求报文后,解析该报文,转换为Radius认证请求(Access-Request)报文后报文被发送到认证服务器,Radius认证请求报文属性中会携带终端设备的MAC地址、终端设备IP地址(该IP地址是预先通过人为静态分配的IP地址)、认证账号、接入设备的IP地址、接入设备的MAC地址、接入端口等信息;
4)认证服务器收到Radius认证请求报文后,解析并提取其报文的属性信息,根据认证账号、准入认证策略确定终端设备是否能认证通过放行;如果认证账号错误或者不满足准入认证策略,认证服务器向接入设备发送Radius拒绝准入(Access-Reject)报文;如果认证账号正确且满足准入认证策略,认证服务器向接入设备发送Radius接受准入(Access-Accept)报文,如果规划中心存在匹配的业务网络,则会在报文属性中携带业务网络的VLAN号,对终端设备所连接的接入端口授权VLAN;
5)接入设备收到认证服务器发送的接受准入(Access-Accept)报文时,放通此终端设备的MAC地址的网络访问权限,如果报文中有授权VLAN时将接入端口加入到授权VLAN中;
6)终端设备正常加入业务网络VLAN,并且终端设备的MAC地址的网络访问权限已经被放通,如果终端设备是静态分配的IP地址,则终端设备可以正常访问网络,准入授权流程结束;
7)如果终端设备是动态分配IP地址,由于经过上述的准入授权流程后,终端设备此时还没有分配到IP地址,所以IP层的网络权限还未放通,但是链路层的访问权限已经放通了,终端设备的DHCP相关报文能够被正常广播,并在接入设备上的对应VLAN网关接口上被中继到DHCP服务器;
8)接入设备中继DHCP报文时,将网关接口的IP地址设置为中继代理IP地址,并可在option选项中设置终端设备的认证账号、接入位置、接入时间等信息;
9)DHCP服务器收到DHCP相关报文并解析报文,然后可按照相应的地址分配方法为终端设备分配对应的IP地址(该过程在后续实施例详细介绍);终端设备获得IP地址后,接入设备可根据IP地址的访问权限为终端设备放通IP层的网络权限。
结合上述的介绍,下面结合方法实施例详细介绍具体的实现过程。
请参照图5,图5为本申请实施例提供的一种终端地址识别方法的流程图,该方法应用于认证服务器,包括如下步骤:
步骤S110:接收接入设备发送的表征目标终端设备的IP地址发生改变的通知信息。
在终端设备进行准入认证后(如上述介绍的准入认证流程),终端设备可以正常进行网络访问。而为了确保网络安全,规划了不同的终端设备的IP地址所能访问网络的权限,有的终端设备为了能够访问到更高权限的网络,可能会非法篡改自己的IP地址,在篡改之后,终端设备再次访问业务网络时,会向接入设备发送相应的业务报文,该业务报文中携带有终端设备的IP地址(该IP地址为篡改之后的IP地址)和MAC地址。
其中,目标终端设备是指接入设备所连接的多个终端设备中的一个,且是指IP地址发生了篡改的终端设备。如业务报文若是目标终端设备发送的,则接入设备可从业务报文中获取目标终端设备的当前IP地址和目标MAC地址。
接入设备中维护有相应的查找表,如路由表、MAC表和ARP表等,接入设备在进行业务报文转发时,需要通过这些查找表来进行转发,而为了使得接入设备能够及时感知到终端设备的IP地址的变化情况,接入设备获得目标终端设备的信息后,在查找表中查找获得目标MAC地址对应的历史IP地址(因为查找表中存储有MAC地址和IP地址的对应关系),然后接入设备可判断历史IP地址与当前IP地址是否一致,若不一致,则认为目标终端设备的IP地址发生了更改,若一致,则认为没有更改,接入设备进行正常的业务报文转发即可。
若目标终端设备的IP地址发生了更改,接入设备向认证服务器发送表征目标终端设备的IP地址发生改变的通知信息,如向认证服务器通过syslog、snmp trap、radius计费报文、其他数据通道等向认证服务器发送通知信息,即syslog日志、snmp trap报文、radius计费报文为通知信息,通知信息中可携带有目标终端设备的MAC地址、当前IP地址和历史IP地址,或者通知信息是一种特殊格式的提示信息,其携带有目标终端设备的MAC地址,认证服务器在接收到该特殊格式的提示信息后,即可知晓目标终端设备的IP地址发生了更改。
步骤S120:根据通知信息获取目标终端设备的当前IP地址。
认证服务器接收到通知信息后,若通知信息中携带有目标终端设备的当前IP地址,则可直接从通知信息中提取当前IP地址即可。或者,若通知信息中没有携带目标终端设备的当前IP地址,认证服务器可再向接入设备发送目标终端设备的当前IP地址的获取请求,接入设备可根据获取请求向认证服务器发送目标终端设备的当前IP地址。
步骤S130:获取目标终端设备对应的网络规划信息。
认证服务器可从DHCP服务器中的规划中心单元获取目标终端设备对应的网络规划信息,如根据目标终端设备的目标MAC地址查找目标终端设备的网络规划信息。网络规划信息包括目标终端设备所属的VLAN、IP段、IP地址等。或者,规划中心单元在获得各个终端设备的网络规划信息后,将其发送给认证服务器进行存储,这样认证服务器也可以从自身存储的信息中获取目标终端设备的网络规划信息。
步骤S140:根据网络规划信息判断当前IP地址是否为非法篡改的IP地址。
认证服务器在获得网络规划信息后,可根据网络规划信息判断当前IP地址是否合法。
在一些实施方式中,网络规划信息包括终端设备的IP地址与终端设备的MAC地址的绑定关系,认证服务器可以查找网络规划信息中与目标终端设备的MAC地址绑定的IP地址是否包括当前IP地址,若否,则确定当前IP地址为非法篡改的IP地址,反之,则确定当前IP地址不是非法篡改的IP地址。
例如,目标终端设备对应的网络规划信息为:MAC地址-IP地址1、IP地址2,若IP地址1和IP地址2不包括当前IP地址(如当前IP地址为IP地址3),则认为当前IP地址并不是为目标终端设备所规划的IP地址,表示目标终端设备的IP地址存在非法篡改。反之,若当前IP地址为IP地址2,则存在于网络规划信息中,则认为当前IP地址不是非法篡改的,是合法的。
在上述实现过程中,认证服务器通过接收接入设备在感知到终端设备的IP地址发生变更时发送的通知信息,根据通知信息获取终端设备的当前IP地址,并根据获得的网络规划信息判断当前IP地址是否为非法篡改的IP地址,如此可以实现对非法篡改的IP地址进行识别,以实现对网络系统的安全防护。
在上述实施例的基础上,为了对终端设备实现更精细化的访问控制,以适应更多的应用场景,网络规划信息可以包括终端设备的MAC地址和接入信息与终端设备的IP地址的绑定关系,接入信息包括终端设备的认证账户、接入位置、接入时间中的至少一种,其中接入位置是指终端设备所连接的接入设备所在的位置,这些接入信息可以由终端设备携带在上述的通知信息中一并发送给认证服务器。
这样认证服务器在判断目标终端设备的IP地址是否非法篡改时,可以获取目标终端设备的目标接入信息和目标MAC地址,然后查找网络规划信息中与目标接入信息和目标MAC地址绑定的IP地址是否包括当前IP地址,若否,则确定当前IP地址为非法篡改的IP地址,反之,若是,则确定当前IP地址不是非法篡改的IP地址。
例如,规划中心单元预先规划了终端设备的接入信息和MAC地址与IP地址的绑定关系,在接入信息不同时,所规划的IP地址也可以不同。所以,认证服务器可以结合目标终端设备的接入信息来判断当前IP地址是否非法篡改。一个终端设备所对应的网络规划信息可能有多条,认证服务器可根据目标终端设备的MAC地址查找到包含有该MAC地址的网络规划信息,例如,查找到的网络规划信息有:MAC地址1-接入信息1-IP地址1,MAC地址1-接入信息2-IP地址2。所以,还可以将目标接入信息与网络规划信息中的接入信息进行比对,然后找到对应的IP地址,如目标接入信息为接入信息1,则继续判断对应的IP地址1是否为当前IP地址,若否,则确定当前IP地址为非法篡改的IP地址,反之,若当前IP地址为IP地址1,则确定当前IP地址不是非法篡改的。若目标接入信息不是接入信息1和接入信息2,则表示针对该接入信息还为规划相应的IP地址,此时也可确定当前IP地址也是非法篡改的。
在上述实现过程中,通过结合接入信息来识别终端设备的当前IP地址是否是非法篡改的,从而可以从多个维度来对终端设备的IP地址非法篡改进行更准确地识别。
在上述实施例的基础上,网络规划信息可以从规划中心单元中获取,规划中心单元中存储有各个终端设备对应的网络规划信息。当然,网络规划信息也可以是规划中心单元规划好后,发送给认证服务器进行存储,这样认证服务器可以直接从自身存储的网络规划信息中查找目标终端设备对应的网络规划信息。
在上述实施例的基础上,为了确保网络安全,认证服务器在确定当前IP地址为非法篡改时,拒绝目标终端设备的再次认证请求。
例如,认证服务器在确定当前IP地址为非法篡改时,可以对目标终端设备的当前IP地址标识为非法IP地址,然后向接入设备发送下线目标终端设备的通知信息,接入设备接收到通知信息后将该目标终端设备从准入终端中移入未准入终端中,使得该目标终端设备需要重新进行准入认证,后续目标终端设备在进行准入认证时(如上述的准入认证流程),重新向接入设备发送认证请求报文,然后接入设备向认证服务器发送Radius认证请求报文,认证服务器从该报文中获取目标终端设备的IP地址,若识别到该IP地址标识为非法IP地址时,则向接入设备发送拒绝准入报文,以拒绝目标终端设备的再次认证请求,从而可使得目标终端设备无法利用当前IP地址进行非法网络访问,确保了网络安全。
在上述实施例的基础上,目标终端设备若是配置了动态IP地址分配,则目标终端设备在进行准入认证(此时只能在链路层进行网络访问)后,还需要向DHCP服务器请求分配IP地址,此时目标终端设备可以向接入设备发送DHCP报文,然后接入设备将DHCP报文发送给DHCP服务器,DHCP服务器查找与目标终端设备的MAC地址绑定的IP地址,如DHCP服务器在规划中心单元中查找与目标终端设备的MAC地址绑定的IP地址,若DHCP服务器未查找到对应的绑定的IP地址,则从地址池中获取空闲IP地址,并将空闲IP地址携带在回复报文中发送给接入设备,接入设备再将该回复报文发送给目标终端设备,目标终端设备则将空闲IP地址作为自身的IP地址使用。而若DHCP服务器查找到有对应绑定的IP地址,则将该IP地址携带在回复报文中发送给接入设备,然后DHCP服务器可将该IP地址与目标终端设备的MAC地址建立相应的绑定关系后存储在规划中心单元。这样目标终端设备则可获得DHCP服务器为其分配的IP地址。
下面详细介绍通过DHCP服务器为终端设备进行动态IP地址分配的实现过程。
DHCP协议通常被应用在大型的局域网络环境下,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态地获得IP地址、网关地址、DNS服务器地址等信息,并能够提升地址的使用率。DHCP协议采用UDP作为传输协议,终端设备发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给终端设备的68号端口,详细流程如下:
1)DHCP Client(终端设备)以广播的方式发出DHCP Discover报文;
2)所有的DHCP Server(DHCP服务器)都能够接收到DHCP Client发送的DHCPDiscover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文;
DHCP Offer报文中“Your(Client)IP Address”字段就是DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录;
3)DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文;
DHCP Client会发出一个广播的DHCP Request报文,在option选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址;
4)DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息;
5)DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用,如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCP Server发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程;
6)DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配;
在使用租期超过50%时,DHCP Client会以单播形式向DHCP Server发送DHCPRequest报文来续租IP地址。如果DHCP Client成功收到DHCP Server发送的DHCP ACK报文,则按相应时间延长IP地址租期;如果没有收到DHCP Server发送的DHCP ACK报文,则DHCPClient继续使用这个IP地址;
在使用租期超过87.5%时,DHCP Client会以广播形式向DHCP Server发送DHCPRequest报文来续租IP地址。如果DHCP Client成功收到DHCP Server发送的DHCP ACK报文,则按相应时间延长IP地址租期;如果没有收到DHCP Server发送的DHCP ACK报文,则DHCPClient继续使用这个IP地址,直到IP地址使用租期到期时,DHCP Client才会向DHCPServer发送DHCP Release报文来释放这个IP地址,并开始新的IP地址申请过程;
所以,如果终端设备配置了动态IP地址获取方式,那么终端设备在进行准入认证流程后,会通过上述方式来向DHCP服务器请求对应的IP地址,后续如果终端设备对DHCP服务器分配的IP地址进行了非法篡改,为了及时感知到终端设备更改后的IP地址是否合法,本申请中通过上述的方法进行识别。
而为了对终端设备进行更精细化的访问控制,以适应更多的应用场景,如在同一终端设备在不同的区域可能需要划分不同的网络具有不同的权限,需要根据接入位置分配指定的IP地址,或者如公共区域的办公电脑、会议终端等,需要根据使用者的身份划分网络,分配不同的IP地址,如果都由管理员进行手动配置,则会导致维护管理成本较高。所以,本申请中,目标终端设备在请求IP地址时,还可以在DHCP报文中携带有目标终端设备的接入信息,如在DHCP报文的option选项中增加接入信息,这样在不影响协议标准化的情况下,可以将接入信息携带在整个DHCP过程中,使IP地址的划分更加灵活。
其中,接入信息可以包括但不限于:认证账户、接入位置、接入时间中的至少一种信息,这样DHCP服务器在查找IP地址时,可以查找与接入信息和目标终端设备的MAC地址绑定的IP地址,若查找到,则在回复报文中携带所查找到的IP地址返回给接入设备。若未查找到,则为目标终端设备分配空闲IP地址,然后携带在回复报文中返回给接入设备,DHCP服务器还可以将空闲IP地址与MAC地址、接入信息建立绑定关系后存储在规划中心单元,或者将该绑定关系发送给认证服务器进行存储。
请参照图6,图6为本申请实施例提供的另一种终端地址识别方法的流程图,该方法应用于接入设备,包括如下步骤:
步骤S210:接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
步骤S220:在查找表中查找获得所述目标MAC地址对应的历史IP地址;
步骤S230:在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器发送表征所述目标终端设备的IP地址发生改变的通知信息,以使所述认证服务器根据获取的所述目标终端设备对应的网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
可选地,所述网络系统还包括DHCP服务器,所述接收目标终端设备发送的业务报文之前,所述方法还包括:
接收所述目标终端设备发送的DHCP报文;
将所述DHCP报文发送给所述DHCP服务器,以使所述DHCP服务器查找与所述目标终端设备的MAC地址绑定的IP地址;
接收所述DHCP服务器发送的回复报文,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址,或者所述回复报文中携带有空闲IP地址,所述空闲IP地址为所述DHCP服务器在未查找到有与所述目标终端设备的MAC地址绑定的IP地址时,从地址池中获取的。
可选地,所述DHCP报文中还携带有所述目标终端设备的接入信息,所述接入信息包括认证账户、接入位置、接入时间中的至少一种信息,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址是指与所述目标终端设备的MAC地址和所述接入信息绑定的IP地址。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,该方法实施例的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
为了便于理解,下面可结合图7对本申请的方法进行理解,图7为具体的交互过程示意图。整个过程大致如下:终端设备通过物理连线与接入设备连接,然后进行准入认证,认证过程中,认证服务器可以从规划中心单元获取为其分配的网络VLAN(预先在规划中心单元进行网络规划、IP地址规划,并根据规划好的信息在DHCP服务器中创建地址池以及静态绑定IP地址表)。若终端设备是配置了动态IP地址分配,则向DHCP服务器请求IP地址,DHCP服务器进行相应处理后为终端设备分配对应的IP地址,后续如果终端设备非法篡改了IP地址,则在下次发起准入认证时,认证服务器对该IP地址是否是非法篡改进行识别,若是非法篡改,则对该终端设备进行下线处理,以确保网络安全。
请参照图8,图8为本申请实施例提供的一种终端地址识别装置200的结构框图,该装置200可以是认证服务器上的模块、程序段或代码。应理解,该装置200与上述图5方法实施例对应,能够执行图5方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
通知信息接收模块210,用于接收所述接入设备发送的表征目标终端设备的IP地址发生改变的通知信息;
地址获取模块220,用于根据所述通知信息获取所述目标终端设备的当前IP地址;
规划信息获取模块230,用于获取所述目标终端设备对应的网络规划信息;
地址识别模块240,用于根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
可选地,所述网络规划信息包括终端设备的IP地址与终端设备的MAC地址的绑定关系,所述地址识别模块240,用于查找所述网络规划信息中与所述目标终端设备的MAC地址绑定的IP地址是否包括所述当前IP地址;若否,则确定所述当前IP地址为非法篡改的IP地址。
可选地,所述网络规划信息包括终端设备的MAC地址和接入信息与终端设备的IP地址的绑定关系,所述接入信息包括终端设备的认证账户、接入位置、接入时间中的至少一种信息;所述地址识别模块240,用于获取所述目标终端设备的目标接入信息和目标MAC地址;查找所述网络规划信息中与所述目标接入信息和目标MAC地址绑定的IP地址是否包括所述当前IP地址;若否,则确定所述当前IP地址为非法篡改的IP地址。
可选地,所述装置200还包括:
拒绝准入模块,用于在确定所述当前IP地址为非法篡改的IP地址时,向所述接入设备发送下线所述目标终端设备的通知信息,并拒绝所述目标终端设备的再次认证请求。
请参照图9,图9为本申请实施例提供的另一种终端地址识别装置300的结构框图,该装置300可以是接入设备上的模块、程序段或代码。应理解,该装置300与上述图6方法实施例对应,能够执行图6方法实施例涉及的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置300包括:
报文接收模块310,用于接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
地址查找模块320,用于在查找表中查找获得所述目标MAC地址对应的历史IP地址;
信息发送模块330,用于在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器发送表征所述目标终端设备的IP地址发生改变的通知信息,以使所述认证服务器根据获取的所述目标终端设备对应的网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
可选地,所述装置300还包括:
DHCP报文接收模块,用于接收所述目标终端设备发送的DHCP报文;
DHCP报文发送模块,用于将所述DHCP报文发送给所述DHCP服务器,以使所述DHCP服务器查找与所述目标终端设备的MAC地址绑定的IP地址;
回复报文接收模块,用于接收所述DHCP服务器发送的回复报文,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址,或者所述回复报文中携带有空闲IP地址,所述空闲IP地址为所述DHCP服务器在未查找到有与所述目标终端设备的MAC地址绑定的IP地址时,从地址池中获取的。
可选地,所述DHCP报文中还携带有所述目标终端设备的接入信息,所述接入信息包括认证账户、接入位置、接入时间中的至少一种信息,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址是指与所述目标终端设备的MAC地址和所述接入信息绑定的IP地址。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图10,图10为本申请实施例提供的一种用于执行终端地址识别方法的电子设备的结构示意图,所述电子设备可以为上述的认证服务器或接入设备,其可以包括:至少一个处理器410,例如CPU,至少一个通信接口420,至少一个存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口420用于与其他节点设备进行信令或数据的通信。存储器430可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器430可选的还可以是至少一个位于远离前述处理器的存储装置。存储器430中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器410执行时,电子设备执行上述图5或图6所示方法过程。
可以理解,图10所示的结构仅为示意,所述电子设备还可包括比图10中所示更多或者更少的组件,或者具有与图10所示不同的配置。图10中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图5或图6所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:接收所述接入设备发送的表征目标终端设备的IP地址发生改变的通知信息;根据所述通知信息获取所述目标终端设备的当前IP地址;获取所述目标终端设备对应的网络规划信息;根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
综上所述,本申请实施例提供一种终端地址识别方法、网络系统、电子设备及存储介质,该方法中,认证服务器通过接收接入设备在感知到终端设备的IP地址发生变更时发送的通知信息,根据通知信息获取终端设备的当前IP地址,并根据获得的网络规划信息判断当前IP地址是否为非法篡改的IP地址,如此可以实现对非法篡改的IP地址进行识别,以实现对网络系统的安全防护。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种终端地址识别方法,其特征在于,应用于网络系统中的认证服务器,所述网络系统还包括接入设备,所述接入设备与所述认证服务器建立网络连接,所述接入设备用于连接终端设备,所述方法包括:
接收所述接入设备发送的表征目标终端设备的IP地址发生改变的通知信息;
根据所述通知信息获取所述目标终端设备的当前IP地址;
获取所述目标终端设备对应的网络规划信息;
根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
2.根据权利要求1所述的方法,其特征在于,所述网络规划信息包括终端设备的IP地址与终端设备的MAC地址的绑定关系,所述根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址,包括:
查找所述网络规划信息中与所述目标终端设备的MAC地址绑定的IP地址是否包括所述当前IP地址;
若否,则确定所述当前IP地址为非法篡改的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述网络规划信息包括终端设备的MAC地址和接入信息与终端设备的IP地址的绑定关系,所述接入信息包括终端设备的认证账户、接入位置、接入时间中的至少一种信息;所述根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址,包括:
获取所述目标终端设备的目标接入信息和目标MAC地址;
查找所述网络规划信息中与所述目标接入信息和目标MAC地址绑定的IP地址是否包括所述当前IP地址;
若否,则确定所述当前IP地址为非法篡改的IP地址。
4.根据权利要求1-3任一所述的方法,其特征在于,所述方法还包括:
在确定所述当前IP地址为非法篡改的IP地址时,向所述接入设备发送下线所述目标终端设备的通知信息,并拒绝所述目标终端设备的再次认证请求。
5.一种终端地址识别方法,其特征在于,应用于网络系统中的接入设备,所述网络系统还包括认证服务器,所述接入设备与所述认证服务器连接,所述接入设备用于连接终端设备,所述方法包括:
接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
在查找表中查找获得所述目标MAC地址对应的历史IP地址;
在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器发送表征所述目标终端设备的IP地址发生改变的通知信息,以使所述认证服务器根据获取的所述目标终端设备对应的网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
6.根据权利要求5所述的方法,其特征在于,所述网络系统还包括DHCP服务器,所述目标终端设备采用DHCP方式动态分配IP地址时,所述方法还包括:
接收所述目标终端设备发送的DHCP报文;
将所述DHCP报文发送给所述DHCP服务器,以使所述DHCP服务器查找与所述目标终端设备的MAC地址绑定的IP地址;
接收所述DHCP服务器发送的回复报文,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址,或者所述回复报文中携带有空闲IP地址,所述空闲IP地址为所述DHCP服务器在未查找到有与所述目标终端设备的MAC地址绑定的IP地址时,从地址池中获取的。
7.根据权利要求6所述的方法,其特征在于,所述DHCP报文中还携带有所述目标终端设备的接入信息,所述接入信息包括认证账户、接入位置、接入时间中的至少一种信息,所述回复报文中携带有与所述目标终端设备的MAC地址绑定的IP地址是指与所述目标终端设备的MAC地址和所述接入信息绑定的IP地址。
8.一种网络系统,其特征在于,所述网络系统包括接入设备和认证服务器,所述接入设备与所述认证服务器建立网络连接,所述接入设备用于连接终端设备;
所述接入设备,用于接收目标终端设备发送的业务报文,并从所述业务报文中提取所述目标终端设备的当前IP地址和目标MAC地址;
所述接入设备,用于在查找表中查找获得所述目标MAC地址对应的历史IP地址;
所述接入设备,用于在确定所述历史IP地址与所述当前IP地址不一致时,向所述认证服务器发送表征所述目标终端设备的IP地址发生改变的通知信息;
所述认证服务器,用于根据所述通知信息获取所述目标终端设备的当前IP地址;
所述认证服务器,用于获取所述目标终端设备对应的网络规划信息;
所述认证服务器,用于根据所述网络规划信息判断所述当前IP地址是否为非法篡改的IP地址。
9.根据权利要求8所述的网络系统,其特征在于,所述网络系统还包括DHCP服务器,所述DHCP服务器与所述认证服务器、所述接入设备建立网络连接;
所述DHCP服务器,用于获取各个终端设备对应的网络规划信息,所述网络规划信息包括各个终端设备的MAC地址和接入信息与IP地址的绑定关系,所述接入信息包括认证账户、接入位置、接入时间中的至少一种信息;
所述DHCP服务器,还用于从所述接入设备接收所述目标终端设备发送的DHCP报文,并获取所述DHCP报文中携带的所述目标终端设备的目标MAC地址和目标接入信息;
所述DHCP服务器,还用于根据所述目标MAC地址和所述目标接入信息查找所述网络规划信息,获取所述目标MAC地址和所述目标接入信息绑定的目标IP地址,并向所述接入设备发送回复报文,所述回复报文携带有所述目标IP地址;
所述接入设备,用于将所述目标IP地址发送给所述目标终端设备。
10.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-4任一所述的方法或如权利要求5-7任一所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-4任一所述的方法或如权利要求5-7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110817253.8A CN113556337A (zh) | 2021-07-20 | 2021-07-20 | 终端地址识别方法、网络系统、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110817253.8A CN113556337A (zh) | 2021-07-20 | 2021-07-20 | 终端地址识别方法、网络系统、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113556337A true CN113556337A (zh) | 2021-10-26 |
Family
ID=78103483
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110817253.8A Pending CN113556337A (zh) | 2021-07-20 | 2021-07-20 | 终端地址识别方法、网络系统、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113556337A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114423005A (zh) * | 2021-12-22 | 2022-04-29 | 新华三大数据技术有限公司 | 一种无线网络配置方法、装置、设备及机器可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1630256A (zh) * | 2003-12-16 | 2005-06-22 | 华为技术有限公司 | 一种在上网过程中防止ip地址盗用的实现方法 |
CN101895587A (zh) * | 2010-07-06 | 2010-11-24 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置和系统 |
CN102480729A (zh) * | 2010-11-22 | 2012-05-30 | 中兴通讯股份有限公司 | 无线接入网中防止假冒用户的方法及接入点 |
WO2012119386A1 (zh) * | 2011-08-12 | 2012-09-13 | 华为技术有限公司 | 一种接入网络中的认证方法、设备和系统 |
CN106878483A (zh) * | 2017-01-24 | 2017-06-20 | 新华三技术有限公司 | 一种ip地址分配方法及装置 |
CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
-
2021
- 2021-07-20 CN CN202110817253.8A patent/CN113556337A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1630256A (zh) * | 2003-12-16 | 2005-06-22 | 华为技术有限公司 | 一种在上网过程中防止ip地址盗用的实现方法 |
CN101895587A (zh) * | 2010-07-06 | 2010-11-24 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置和系统 |
CN102480729A (zh) * | 2010-11-22 | 2012-05-30 | 中兴通讯股份有限公司 | 无线接入网中防止假冒用户的方法及接入点 |
WO2012119386A1 (zh) * | 2011-08-12 | 2012-09-13 | 华为技术有限公司 | 一种接入网络中的认证方法、设备和系统 |
CN106878483A (zh) * | 2017-01-24 | 2017-06-20 | 新华三技术有限公司 | 一种ip地址分配方法及装置 |
CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
CN108418806A (zh) * | 2018-02-05 | 2018-08-17 | 新华三信息安全技术有限公司 | 一种报文的处理方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114423005A (zh) * | 2021-12-22 | 2022-04-29 | 新华三大数据技术有限公司 | 一种无线网络配置方法、装置、设备及机器可读存储介质 |
CN114423005B (zh) * | 2021-12-22 | 2024-02-09 | 新华三大数据技术有限公司 | 一种无线网络配置方法、装置、设备及机器可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7596614B2 (en) | Network including snooping | |
US7720057B2 (en) | Packet relay apparatus and control method for data relay apparatus | |
US10142159B2 (en) | IP address allocation | |
CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
US20100275248A1 (en) | Method, apparatus and system for selecting service network | |
US9246872B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
CN101895587B (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
KR20040042247A (ko) | 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템 | |
US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
CN113556274B (zh) | 终端接入认证的方法、装置、系统、控制器及设备 | |
CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
CN101621433B (zh) | 接入设备的配置方法、装置及系统 | |
CN109936515B (zh) | 接入配置方法、信息提供方法及装置 | |
CN104270325A (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
CN102571811A (zh) | 用户接入权限控制系统和方法 | |
JP2001326696A (ja) | アクセス制御方法 | |
CN104253798A (zh) | 一种网络安全监控方法和系统 | |
CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 | |
WO2009079896A1 (fr) | Procédé d'authenfication d'accès utilisateur fondé sur un protocole de configuration d'hôte dynamique | |
CN106341374B (zh) | 一种限制非许可用户设备接入家庭网关的方法和装置 | |
CN109120738B (zh) | Dhcp服务器及其进行网络内部设备管理的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211026 |