CN114050901B - 终端的认证方法、装置、电子设备及可读存储介质 - Google Patents

终端的认证方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN114050901B
CN114050901B CN202111143048.4A CN202111143048A CN114050901B CN 114050901 B CN114050901 B CN 114050901B CN 202111143048 A CN202111143048 A CN 202111143048A CN 114050901 B CN114050901 B CN 114050901B
Authority
CN
China
Prior art keywords
terminal
authenticated
authentication
identification information
authentication request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111143048.4A
Other languages
English (en)
Other versions
CN114050901A (zh
Inventor
许文雨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Big Data Technologies Co Ltd
Original Assignee
New H3C Big Data Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Big Data Technologies Co Ltd filed Critical New H3C Big Data Technologies Co Ltd
Priority to CN202111143048.4A priority Critical patent/CN114050901B/zh
Publication of CN114050901A publication Critical patent/CN114050901A/zh
Application granted granted Critical
Publication of CN114050901B publication Critical patent/CN114050901B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种终端的认证方法、装置、电子设备及可读存储介质。其中,该方法包括:服务器获取待认证终端对应的网络地址以及标识信息,生成待认证终端的上线通知,并按照网络地址将上线通知发送至待认证终端,并基于网络地址以及标识信息向待认证终端发送上线通知;待认证终端接收服务器发送的上线通知,生成认证请求,并将该认证请求发送至服务器;服务器接收对应于上线通知的认证请求,并基于认证请求所携带的待认证终端的标识信息对待认证终端进行身份认证。通过实施本发明,避免了终端被仿冒,保证了终端认证安全性,通过在服务器端触发终端发起认证,无需终端干预,克服了依赖终端才能进行认证的缺陷。

Description

终端的认证方法、装置、电子设备及可读存储介质
技术领域
本发明涉及终端自动认证技术领域,具体涉及一种终端的认证方法、装置、电子设备及可读存储介质。
背景技术
目前的终端自动认证过程通常是由终端设备周期性地向Portal服务器发起认证查询,Portal服务器则可以查询该终端设备是否完成认证绑定,即该终端设备是否完成初次Portal认证,若该终端设备已经完成认证绑定,则Portal服务器直接发起Portal认证,直至Radius认证成功后返回认证成功报文。现有的终端认证一般是一次认证后,后续可实现无感知认证,后续认证可以由服务器向终端设备主动发起MAC地址的认证。但是首次认证需要终端设备主动发起认证,过分依赖终端设备,且在后续无感知认证过程中,只有终端设备的MAC地址,没有其他终端设备的特征,很容易被仿冒,存在认证安全隐患。
发明内容
有鉴于此,本发明实施例提供了一种终端的认证方法、装置、电子设备及可读存储介质,以解决现有终端设备认证过分依赖终端设备,MAC地址易被仿冒,存在认证安全隐患的问题。
根据第一方面,本发明实施例提供了一种终端的认证方法,应用于服务器,所述服务器中预先维护有各个终端对应的网络地址和标识信息,所述方法包括:获取待认证终端对应的所述网络地址以及所述标识信息,所述标识信息为用于表征所述待认证终端的唯一性标识因子;生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,所述上线通知中携带所述待认证终端的标识信息;接收所述待认证终端发送的对应于所述上线通知的认证请求,所述认证请求携带所述待认证终端的标识信息;基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证。
本发明实施例提供的终端的认证方法,服务器中预先维护有各个终端对应的网络地址和标识信息,服务器通过获取待认证终端对应的网络地址以及标识信息,并生成待认证终端的上线通知,按照网络地址将上线通知发送至待认证终端,以使待认证终端进行上线,该上线通知中携带有待认证终端的标识信息。服务器在接收到待认证终端发送的认证请求时,基于该认证请求所携带的待认证终端的标识信息对待认证终端进行身份认证,避免终端被仿冒,保证了终端认证安全性。通过在服务器端触发终端发起认证,无需终端干预,克服了依赖终端才能进行认证的缺陷。
结合第一方面,在第一方面第一实施方式中,所述生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,包括:生成对应于所述待认证终端的令牌信息,所述令牌信息全局唯一;基于所述待认证终端的标识信息以及所述令牌信息生成所述上线通知;按照所述网络地址将所述上线通知发送至所述待认证终端。
本发明实施例提供的终端的认证方法,服务器通过生成对应于待认证终端的令牌信息,并基于待认证终端的标识信息以及令牌信息生成上线通知,按照网络地址将上线通知发送至待认证终端,由此实现了服务器上线通知的精准发送,避免在线终端重复认证。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,包括:校验所述认证请求所携带的标识信息与所述服务器预先设置的标识信息是否一致;当所述认证请求所携带的标识信息与所述服务器预先设置的标识信息一致时,判定所述待认证终端认证成功。
结合第一方面第二实施方式,在第一方面第三实施方式中,所述基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,还包括:解析所述认证请求中携带的令牌信息;校验所述认证请求所携带的令牌信息与所述服务器生成的令牌信息是否一致;当所述认证请求所携带的令牌信息与所述服务器生成的令牌信息一致时,判定所述待认证终端认证成功。
本发明实施例提供的终端的认证方法,通过将认证请求中携带的标识信息以及令牌信息与预先设置的标识信息以及服务器生成的令牌信息进行一致性比较,以确定待认证终端的身份,降低了待认证终端被仿冒的可能性,保证了终端认证安全性。
根据第二方面,本发明实施例提供了一种终端的认证方法,应用于待认证终端,所述方法包括:接收服务器发送的上线通知,生成认证请求,其中,所述上线通知携带有待认证终端的标识信息;向所述服务器发送所述认证请求,所述认证请求携带所述待认证终端的标识信息,以使所述服务器基于所述认证请求对所述待认证终端进行身份认证。
本发明实施例提供的终端的认证方法,待认证终端在接收服务器发送的上线通知时向服务器发送认证请求,以使服务器基于认证请求进行待认证终端的身份认证,其中,上线通知携带有待认证终端的标识信息,认证请求携带有待认证终端的标识信息。该方法中待认证终端的身份认证无需终端主动发起,而是由服务器触发,由此避免了待认证终端被仿冒而存在的认证安全隐患,且待认证终端发起的认知请求和服务器下发的上线通知均携带有待认证终端的标识信息,进一步避免了终端被仿冒,保证了终端的认证安全性。
结合第二方面,在第二方面第一实施方式中,所述生成认证请求,包括:获取所述待认证终端对应的标识信息,并从所述上线通知中解析出所述待认证终端的令牌信息;基于所述待认证终端对应的标识信息以及所述令牌信息,生成所述待认证终端的认证请求。
本发明实施例提供的终端的认证方法,通过获取待认证终端对应的标识信息,并从上线通知中解析出待认证终端的令牌信息,基于标识信息以及令牌信息生成待认证终端的认证请求。该方法降低了待认证终端被仿冒的可能性,保证了终端认证安全性。
根据第三方面,本发明实施例提供了一种终端的认证装置,应用于服务器,所述服务器中预先维护有各个终端对应的网络地址和标识信息,所述装置包括:检测模块,用于获取待认证终端对应的所述网络地址以及所述标识信息,所述标识信息为用于表征所述待认证终端的唯一性标识因子;第一发送模块,用于生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,所述上线通知中携带所述待认证终端的标识信息;第一接收模块,用于接收所述待认证终端发送的对应于所述上线通知的认证请求,所述认证请求携带所述待认证终端的标识信息;认证模块,用于基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证。
本发明实施例提供的终端的认证装置,服务器中预先维护有各个终端对应的网络地址和标识信息,服务器通过获取待认证终端对应的网络地址以及标识信息,并生成待认证终端的上线通知,按照网络地址将上线通知发送至待认证终端,以使待认证终端进行上线,该上线通知中携带有待认证终端的标识信息。服务器在接收到待认证终端发送的认证请求时,基于该认证请求所携带的待认证终端的标识信息对待认证终端进行身份认证,避免终端被仿冒,保证了终端认证安全性。通过在服务器端触发终端发起认证,无需终端干预,克服了依赖终端才能进行认证的缺陷。
根据第四方面,本发明实施例提供了一种终端的认证装置,应用于待认证终端,所述装置包括:第二接收模块,用于接收服务器发送的上线通知,生成认证请求,其中,所述上线通知携带有待认证终端的标识信息;第二发送模块,用于向所述服务器发送所述认证请求,所述认证请求携带所述待认证终端的标识信息,以使得所述服务器基于所述认证请求对所述待认证终端进行身份认证。
本发明实施例提供的终端的认证装置,待认证终端在接收到服务器的上线通知后触发认证请求,由此待认证终端的身份认证无需终端主动发起,避免了待认证终端被仿冒而存在的认证安全隐患,且待认证终端发起的认知请求和服务器下发的上线通知均携带有待认证终端的标识信息,进一步避免了终端被仿冒,保证了终端的认证安全性。
根据第五方面,本发明实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或第一方面任一实施方式所述的终端的认证方法,或执行第二方面或第二方面第一实施方式所述的终端的认证方法。
根据第六方面,本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行第一方面或第一方面任一实施方式所述的终端的认证方法,或执行第二方面或第二方面第一实施方式所述的终端的认证方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例服务器侧的终端的认证方法的流程图;
图2是根据本发明实施例服务器侧的终端的认证方法的另一流程图;
图3是根据本发明实施例终端侧的终端的认证方法的流程图;
图4是根据本发明实施例终端侧的终端的认证方法的另一流程图;
图5是根据本发明优选实施例的终端的认证方法的流程图;
图6是根据本发明实施例服务器侧的终端的认证装置的结构框图;
图7是根据本发明实施例终端侧的终端的认证装置的结构框图;
图8是本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的终端认证一般是一次认证后,后续可实现无感知认证,后续认证可以由服务器向终端设备主动发起MAC地址的认证。但是首次认证需要终端设备主动发起认证,过分依赖终端设备,且在后续无感知认证过程中,只有终端设备的MAC地址,没有其他终端设备的特征,很容易被仿冒,存在认证安全隐患。
基于此,本发明技术方案通过服务器端触发无感知认证,同时基于多个唯一性标识因子进行终端认证,避免了终端被仿冒的安全隐患。
根据本发明实施例,提供了一种终端的认证方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种终端的认证方法,可用于服务器,服务器中预先维护有各个终端对应的网络地址和标识信息,图1是根据本发明实施例的终端的认证方法的流程图,如图1所示,该流程包括如下步骤:
S11,获取待认证终端对应的网络地址以及标识信息,标识信息为用于表征待认证终端的唯一性标识因子。
待认证终端为需要身份认证的不在线终端,具体地,服务器按照预设的周期对各个终端的在线状态进行查询,相比于实时查询而言,降低了服务器的检测负担。服务器根据终端的在线状态确定出不在线终端,该不在线终端即为待认证终端。具体地,当该终端首次接入服务器时,其必然不在线,那么该终端必须经过认证才能接入,该终端即为待认证终端;当终端已经完成认证但由于特殊情况(例如故障、断电等)而掉线时,当服务器检测到其不在线时,可以将其认定为待认证终端。
网络地址为待认证终端的IP地址,标识信息是用于表征待认证终端唯一性的信息,该标识信息可以包括至少两种类型的唯一性标识因子,例如,该标识信息可以包括终端MAC地址和主板序列号,还可以包括终端MAC地址和硬盘序列号,还可以包括终端MAC地址、主板序列号以及硬盘序列号,当然还可以包括其他任意能够标识终端设备唯一性的标识,此处不作具体限定,本领域技术人员可以根据实际需要确定。
服务器可以获取与其连接的待认证终端,并对待认证终端对应的网络地址以及标识信息等进行预注册。服务器对各个终端的在线状态进行检测,确定出不在线终端,即待认证终端,从预注册信息中获取该待认证终端的网络地址以及标识信息。
S12,生成待认证终端的上线通知,并按照网络地址将上线通知发送至待认证终端,其中,上线通知中携带有待认证终端的标识信息。
服务器基于标识信息生成待认证终端的上线通知,即上线通知中携带有待认证终端的标识信息。服务器按照网络地址将携带有标识信息的上线通知发送至待认证终端。
可选地,服务器还可以基于待认证终端的标识信息以及网络地址生成待认证终端的上线通知,即上线通知中携带有带认证终端的标识信息以及网络地址,以使服务器能够根据该标识信息以及网络地址将上线通知发送至待认证终端。
S13,接收待认证终端发送的对应于上线通知的认证请求,该认证请求携带有待认证终端的标识信息。
认证请求为待认证终端在接收到上线通知时触发认证请求生成的,待认证终端将该认证请求发送至服务器,该认证请求中至少包含有待认证终端的标识信息,相应地,服务器则可以接收待认证终端发送的认证请求,以对待认证终端进行身份认证。
S14,基于认证请求所携带的标识信息对待认证终端进行身份认证。
服务器在接收到待认证终端发送的认证请求时,从该认证请求中解析出其所携带的标识信息,并对其所携带的标识信息进行校验,以确定该待认证终端的身份。当认证请求所携带的标识信息通过校验时,判定待认证终端通过身份认证,服务器可以向该待认证终端发送认证成功报文,此时该待认证终端上线。
本实施例提供的终端的认证方法,服务器中预先维护有各个终端对应的网络地址和标识信息,服务器通过获取待认证终端对应的网络地址以及标识信息,并生成待认证终端的上线通知,按照网络地址将上线通知发送至待认证终端,以使待认证终端进行上线,该上线通知中携带有待认证终端的标识信息。服务器在接收到待认证终端发送的认证请求时,基于该认证请求所携带的待认证终端的标识信息对待认证终端进行身份认证,避免终端被仿冒,保证了终端认证安全性。通过在服务器端触发终端发起认证,无需终端干预,克服了依赖终端才能进行认证的缺陷。
在本实施例中提供了一种终端的认证方法,可用于服务器,图2是根据本发明实施例的终端的认证方法的流程图,如图2所示,该流程包括如下步骤:
S21,获取待认证终端对应的网络地址以及标识信息,标识信息为用于表征待认证终端的唯一性标识因子。详细说明参见上述实施例对应步骤S11的相关描述,此处不再赘述。
S22,生成待认证终端的上线通知,并按照网络地址将上线通知发送至待认证终端,其中,上线通知中携带有待认证终端的标识信息。
具体地,上述步骤S22可以包括:
S221,生成对应于待认证终端的令牌信息,其中,令牌信息全局唯一。
令牌信息用于证明终端的身份信息,例如,服务器可以根据终端唯一标识、时间戳以及随机数生成待认证终端的令牌信息。此处对令牌信息不做具体限定,只要保证该令牌信息能够全局唯一即可。
S222,基于待认证终端的标识信息以及令牌信息生成上线通知。
服务器将待认证终端的标识信息以及令牌信息封装为上线通知的报文,以便于在接收到待认证终端发送的认证请求时,能够基于认证请求中的令牌信息以及标识信息确认待认证终端的身份,避免待认证终端被仿冒而导致的认证安全隐患。
S223,按照网络地址将上线通知发送至待认证终端。
服务器在生成待认证终端的上线通知后,将上线通知的报文发送至与网络地址对应的待认证终端,以使待认证终端在接收到该上线通知时主动向服务器发起身份认证。
S23,接收待认证终端发送的对应于上线通知的认证请求,该认证请求携带有待认证终端的标识信息。详细说明参见上述实施例对应步骤S13的相关描述,此处不再赘述。
S24,基于认证请求所携带的标识信息对待认证终端进行身份认证。
具体地,上述步骤S24可以包括:
S241,校验认证请求所携带的标识信息与服务器预先设置的标识信息是否一致。
认证请求所携带的标识信息为待认证终端的唯一标识信息,包括该待认证终端的MAC地址、主板序列号以及硬盘序列号等至少两种类型的唯一性标识因子。比较认证请求中所携带的标识信息与服务器预先设置的标识信息,判断认证请求中所携带标识信息对应的终端与服务器中预先设置标识信息对应的终端是否为同一终端,当认证请求所携带的标识信息与服务器预先设置的标识信息一致时,执行步骤S242,否则,执行其他操作,该其他操作可以是判定待认证终端存在认证安全隐患,也可以是再次发送上线通知以重新对该待认证终端进行身份认证,此处对其他操作不做具体限定,本领域技术人员可以根据实际需要确定。
S242,判定待认证终端认证成功。
当认证请求所携带的标识信息与服务器预先设置的标识信息一致时,表示待认证终端安全,能够接入服务器,此时服务器判定该待认证终端通过认证,并通过宽度接入服务器等接入设备向终端发送认证成功报文。
可选地,在校验认证请求所携带的标识信息与服务器预先设置的标识信息是否一致的同时,上述步骤S24还可以包括:
S243,解析认证请求中携带的令牌信息。
认证请求中携带的令牌信息为服务器发送的上线通知中所包含的令牌信息。待认证终端在向服务器发送认证请求时,将其接收到的令牌信息一并封装在认证请求的报文中,相应地,服务器在接收到待认证终端发送的认证请求后,基于其与待认证终端之间的通信协议解析认证请求,从该认证请求中解析出令牌信息。
S244,校验认证请求所携带的令牌信息与服务器生成的令牌信息是否一致。
比较认证请求所携带的令牌信息与服务器本地生成的令牌信息是否一致,以进一步确定该待认证终端的身份,避免终端被恶意仿冒。当认证请求所携带的令牌信息与服务器生成的令牌信息一致时,执行步骤S245,否则执行其他操作,该其他操作可以是判定待认证终端存在认证安全隐患,也可以是再次校验,此处对其他操作不做具体限定,本领域技术人员可以根据实际需要确定。
S245,判定待认证终端认证成功。
当认证请求所携带的令牌信息与服务器生成的令牌信息一致时,表示待认证终端安全,能够接入服务器,此时服务器判定该待认证终端通过认证,并通过宽度接入服务器等接入设备向终端发送认证成功报文。
本发明实施例提供的终端的认证方法,服务器通过生成对应于待认证终端的令牌信息,并基于待认证终端的标识信息以及令牌信息生成上线通知,按照网络地址将上线通知发送至待认证终端,由此实现了服务器上线通知的精准发送,避免在线终端重复认证。通过将认证请求中携带的标识信息以及令牌信息与预先设置的标识信息以及服务器生成的令牌信息进行一致性比较,以确定待认证终端的身份,降低了待认证终端被仿冒的可能性,保证了终端认证安全性。
在本实施例中提供了一种终端的认证方法,可用于待认证终端,图3是根据本发明实施例的终端的认证方法的流程图,如图3所示,该流程图包括如下步骤:
S31,接收服务器发送的上线通知,生成认证请求,其中,上线通知携带有待认证终端的标识信息。
待认证终端接收到服务器发送的上线通知时,主动触发认证请求,其中,上线通知中携带有待认证终端的标识信息,标识信息可以包括至少两种类型的唯一性标识因子,以便于将上线通知准备发送至待认证终端。具体地,待认证终端在接收到上线通知后,可以获取上线通知中所携带的标识信息,并将该标识信息封装至认证请求的报文中。
S32,向服务器发送认证请求,该认证请求携带有待认证终端的标识信息,以使服务器基于认证请求对待认证终端进行身份认证。
待认证终端将其生成的认证请求发送至服务器,便于服务器根据进行终端的身份认证。具体地,待认证终端在接收到上线通知时,可以向Portal服务器发送Portal认证,由Portal服务器将Portal认证发送至宽度接入服务器等接入设备,再由该接入设备向认证服务器发送RADIUS认证,以实现待认证终端的身份认证。
本实施例提供的终端的认证方法,待认证终端在接收服务器发送的上线通知时向服务器发送认证请求,以使服务器基于认证请求进行待认证终端的身份认证,其中,上线通知携带有待认证终端的标识信息,认证请求携带有待认证终端的标识信息。该方法中待认证终端的身份认证无需终端主动发起,而是由服务器触发,由此避免了待认证终端被仿冒而存在的认证安全隐患,且待认证终端发起的认知请求和服务器下发的上线通知均携带有待认证终端的标识信息,进一步避免了终端被仿冒,保证了终端的认证安全性。
在本实施例中提供了一种终端的认证方法,可用于待认证终端,图4是根据本发明实施例的终端的认证方法的流程图,如图4所示,该流程图包括如下步骤:
S41,接收服务器发送的上线通知,生成认证请求,其中,上线通知携带有待认证终端的标识信息。
具体地,上述步骤S41可以包括:
S411,接收服务器发送的上线通知。详细说明参见上述实施例的相关说明,此处不再赘述。
S412,获取待认证终端对应的标识信息,并从上线通知中解析出待认证终端的令牌信息。
待认证终端对应的标识信息为待认证终端收集的用于表征自身唯一性的标识信息,其中,该标识信息可以包括终端的MAC地址、硬件序列号以及主板序列号等多个唯一性标识因子。令牌信息为服务器生成的全局唯一的用于表征待认证终端身份的信息。待认证终端在接收到上线通知时,从上线通知中解析出令牌信息,以便基于该令牌信息向服务器发送认证请求。
S413,基于待认证终端对应的标识信息以及令牌信息,生成待认证终端的认证请求。
待认证终端将其对应的标识上线通知中所包含的用于终端身份认证的令牌信息一并封装至认证请求的报文中,即待认证终端的认证请求中携带有待认证终端对应的标识信息以及令牌信息。
S42,向服务器发送认证请求,该认证请求携带有待认证终端的标识信息,以使服务器基于认证请求对待认证终端进行身份认证。详细说明参见上述实施例对应的相关说明。
本实施例提供的终端的认证方法,通过获取待认证终端对应的标识信息,并从上线通知中解析出待认证终端的令牌信息,基于标识信息以及令牌信息生成待认证终端的认证请求。该方法降低了待认证终端被仿冒的可能性,保证了终端认证安全性。
本实施例以一具体实例进行终端的认证方法说明,该方法中的无感知认证由服务器端触发,服务器端主要包括:Portal服务器、宽带接入设备(BAS)、控制器Controller以及AAA服务器,所有待认证终端的设备信息均由服务器端预先设置,减少了待认证终端被仿冒的范围。如图5所示,该终端的认证方法包括:
S51,在控制器Controller预先设置待认证终端的设备信息,包括终端IP地址以及至少两种类型的任意能够标识终端设备唯一性的标识因子。
S52,由控制器Controller向AAA服务器周期性轮询终端的在线状态。
S53,AAA服务器向控制器Controller反馈不在线终端,即待认证终端。
S54,控制器Controller生成唯一的对应于该待认证终端的令牌信息。
S55,向待认证终端下发上线通知,该上线通知中携带有终端的标识信息和令牌信息Token,例如将MD5(终端唯一标识+时间戳+随机数)作为令牌信息。
S56,待认证终端收集其对应的标识信息,在收到上线通知后,自动向Portal服务器发起Portal认证请求,并携带其唯一的标识信息以及令牌信息Token。
S57,Portal服务器将该Portal认证请求发送至BAS设备。
S58,BAS设备在收到Portal认证请求,触发RADIUS认证请求,并将其发送至AAA服务器。
S59,AAA服务器将RADIUS认证请求转发至控制器Controller。
S510,控制器Controller在收到RADIUS认证请求后,对待认证终端的标识信息以及令牌信息Token进行校验。
S511,校验通过后,回应BAS设备认证成功报文;并由BAS设备将该认证成功报文转发至待认证终端。
本实施例的终端认证方法对于终端使用者而言是无感知的,由此解决了传统无感知存在的终端被仿冒的安全隐患。通过令牌信息Token的使用,达到了与有感知情况下终端输入用户名、密码一样的安全认证效果。
在本实施例中还提供了一种终端的认证装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种终端的认证装置,用于服务器,服务器中预先维护有各个终端对应的网络地址和标识信息,如图6所示,该终端的认证装置包括:
检测模块61,用于获取待认证终端对应的网络地址以及标识信息,标识信息为用于表征待认证终端的唯一性标识因子。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
第一发送模块62,用于生成待认证终端的上线通知,并按照网络地址将上线通知发送至待认证终端,其中,上线通知中携带有待认证终端的标识信息。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
第一接收模块63,用于接收待认证终端发送的对应于上线通知的认证请求,该认证请求携带有待认证终端的标识信息。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
认证模块64,用于基于认证请求所携带的标识信息对待认证终端进行身份认证。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
本实施例中的终端的认证装置是以功能单元的形式来呈现,这里的单元是指ASIC电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本实施例提供一种终端的认证装置,用于待认证终端,如图7所示,该终端的认证装置包括:
第二接收模块71,用于接收服务器发送的上线通知,生成认证请求,其中,上线通知携带有待认证终端的标识信息。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
第二发送模块72,用于向服务器发送认证请求,该认证请求携带有待认证终端的标识信息,以使服务器基于认证请求对待认证终端进行身份认证。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
本实施例中的终端的认证装置是以功能单元的形式来呈现,这里的单元是指ASIC电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种电子设备,该电子设备可以是待认证终端,也可以是服务器,该电子设备具有上述图6或图7所示的终端的认证装置。
请参阅图8,图8是本发明可选实施例提供的一种电子设备的结构示意图,如图8所示,该电子设备可以包括:至少一个处理器801,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口803,存储器804,至少一个通信总线802。其中,通信总线802用于实现这些组件之间的连接通信。其中,通信接口803可以包括显示屏(Display)、键盘(Keyboard),可选通信接口803还可以包括标准的有线接口、无线接口。存储器804可以是高速RAM存储器(Random Access Memory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器804可选的还可以是至少一个位于远离前述处理器801的存储装置。其中处理器801可以结合图6或图7所描述的装置,存储器804中存储应用程序,且处理器801调用存储器804中存储的程序代码,以用于执行上述任一方法步骤。
其中,通信总线802可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。通信总线802可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器804可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器804还可以包括上述种类存储器的组合。
其中,处理器801可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器801还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,存储器804还用于存储程序指令。处理器801可以调用程序指令,实现如本申请图1至图5实施例中所示的终端的认证方法。
本发明实施例还提供了一种非暂态计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的终端的认证方法的处理方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (8)

1.一种终端的认证方法,其特征在于,应用于服务器,所述服务器中预先维护有各个终端对应的网络地址和标识信息,所述方法包括:
获取待认证终端对应的所述网络地址以及所述标识信息,所述标识信息为用于表征所述待认证终端的唯一性标识因子;
生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,所述上线通知中携带所述待认证终端的标识信息;
接收所述待认证终端发送的对应于所述上线通知的认证请求,所述认证请求携带所述待认证终端的标识信息;
基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证;
所述生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,包括:
生成对应于所述待认证终端的令牌信息,所述令牌信息全局唯一;
基于所述待认证终端的标识信息以及所述令牌信息生成所述上线通知;
按照所述网络地址将所述上线通知发送至所述待认证终端;
所述基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,还包括:
解析所述认证请求中携带的令牌信息;
校验所述认证请求所携带的令牌信息与所述服务器生成的令牌信息是否一致;
当所述认证请求所携带的令牌信息与所述服务器生成的令牌信息一致时,判定所述待认证终端认证成功。
2.根据权利要求1所述的方法,其特征在于,所述基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,包括:
校验所述认证请求所携带的标识信息与所述服务器预先设置的标识信息是否一致;
当所述认证请求所携带的标识信息与所述服务器预先设置的标识信息一致时,判定所述待认证终端认证成功。
3.一种终端的认证方法,其特征在于,应用于待认证终端,所述方法包括:
接收服务器发送的上线通知,生成认证请求,其中,所述上线通知携带有待认证终端的标识信息,所述服务器中预先维护有各个终端对应的网络地址和标识信息,所述标识信息为用于表征所述待认证终端的唯一性标识因子,所述服务器生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,包括:生成对应于所述待认证终端的令牌信息,所述令牌信息全局唯一;基于所述待认证终端的标识信息以及所述令牌信息生成所述上线通知;按照所述网络地址将所述上线通知发送至所述待认证终端;
向所述服务器发送所述认证请求,所述认证请求携带所述待认证终端的标识信息,以使所述服务器基于所述认证请求对所述待认证终端进行身份认证,其中,所述服务器基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,还包括:解析所述认证请求中携带的令牌信息;校验所述认证请求所携带的令牌信息与所述服务器生成的令牌信息是否一致;当所述认证请求所携带的令牌信息与所述服务器生成的令牌信息一致时,判定所述待认证终端认证成功。
4.根据权利要求3所述的方法,其特征在于,所述生成认证请求,包括:
获取所述待认证终端对应的标识信息,并从所述上线通知中解析出所述待认证终端的令牌信息;
基于所述待认证终端对应的标识信息以及所述令牌信息,生成所述待认证终端的认证请求。
5.一种终端的认证装置,其特征在于,应用于服务器,所述服务器中预先维护有各个终端对应的网络地址和标识信息,所述装置包括:
检测模块,用于获取待认证终端对应的所述网络地址以及所述标识信息,所述标识信息为用于表征所述待认证终端的唯一性标识因子;
第一发送模块,用于生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,所述上线通知中携带所述待认证终端的标识信息;
第一接收模块,用于接收所述待认证终端发送的对应于所述上线通知的认证请求,所述认证请求携带所述待认证终端的标识信息;
认证模块,用于基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证;
所述生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,所述第一发送模块具体用于:
生成对应于所述待认证终端的令牌信息,所述令牌信息全局唯一;
基于所述待认证终端的标识信息以及所述令牌信息生成所述上线通知;
按照所述网络地址将所述上线通知发送至所述待认证终端;
所述基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,所述认证模块还用于:
解析所述认证请求中携带的令牌信息;
校验所述认证请求所携带的令牌信息与所述服务器生成的令牌信息是否一致;
当所述认证请求所携带的令牌信息与所述服务器生成的令牌信息一致时,判定所述待认证终端认证成功。
6.一种终端的认证装置,其特征在于,应用于终端,所述装置包括:
第二接收模块,用于接收服务器发送的上线通知,生成认证请求,其中,所述上线通知携带有待认证终端的标识信息,所述服务器中预先维护有各个终端对应的网络地址和标识信息,所述标识信息为用于表征所述待认证终端的唯一性标识因子,所述服务器生成所述待认证终端的上线通知,并按照所述网络地址将所述上线通知发送至所述待认证终端,包括:生成对应于所述待认证终端的令牌信息,所述令牌信息全局唯一;基于所述待认证终端的标识信息以及所述令牌信息生成所述上线通知;按照所述网络地址将所述上线通知发送至所述待认证终端;
第二发送模块,用于向所述服务器发送所述认证请求,所述认证请求携带所述待认证终端的标识信息,以使得所述服务器基于所述认证请求对所述待认证终端进行身份认证,其中,所述服务器基于所述认证请求所携带的标识信息对所述待认证终端进行身份认证,还包括:解析所述认证请求中携带的令牌信息;校验所述认证请求所携带的令牌信息与所述服务器生成的令牌信息是否一致;当所述认证请求所携带的令牌信息与所述服务器生成的令牌信息一致时,判定所述待认证终端认证成功。
7.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-2任一项所述的终端的认证方法,或执行权利要求3或4所述的终端的认证方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行权利要求1-2任一项所述的终端的认证方法,或执行权利要求3或4所述的终端的认证方法。
CN202111143048.4A 2021-09-28 2021-09-28 终端的认证方法、装置、电子设备及可读存储介质 Active CN114050901B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111143048.4A CN114050901B (zh) 2021-09-28 2021-09-28 终端的认证方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111143048.4A CN114050901B (zh) 2021-09-28 2021-09-28 终端的认证方法、装置、电子设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN114050901A CN114050901A (zh) 2022-02-15
CN114050901B true CN114050901B (zh) 2023-10-27

Family

ID=80204708

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111143048.4A Active CN114050901B (zh) 2021-09-28 2021-09-28 终端的认证方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN114050901B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115514478A (zh) * 2022-09-22 2022-12-23 广西电网有限责任公司南宁供电局 一种配电智能终端的加密认证方法、系统及存储介质
CN116170151A (zh) * 2022-12-27 2023-05-26 海尔优家智能科技(北京)有限公司 物联网终端关联方法及物联网终端关联系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105007579A (zh) * 2014-04-24 2015-10-28 中国移动通信集团广东有限公司 一种无线局域网接入认证方法及终端
CN106878283A (zh) * 2017-01-13 2017-06-20 新华三技术有限公司 一种认证方法及装置
CN107222460A (zh) * 2017-05-03 2017-09-29 飞天诚信科技股份有限公司 一种服务器数据存储空间共享的方法及装置
CN109495362A (zh) * 2018-12-25 2019-03-19 新华三技术有限公司 一种接入认证方法及装置
CN109862043A (zh) * 2019-03-28 2019-06-07 新华三技术有限公司 一种终端认证的方法及装置
CN110505188A (zh) * 2018-05-18 2019-11-26 华为技术有限公司 一种终端认证方法、相关设备和认证系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018095416A1 (zh) * 2016-11-24 2018-05-31 腾讯科技(深圳)有限公司 信息处理方法、装置及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105007579A (zh) * 2014-04-24 2015-10-28 中国移动通信集团广东有限公司 一种无线局域网接入认证方法及终端
CN106878283A (zh) * 2017-01-13 2017-06-20 新华三技术有限公司 一种认证方法及装置
CN107222460A (zh) * 2017-05-03 2017-09-29 飞天诚信科技股份有限公司 一种服务器数据存储空间共享的方法及装置
CN110505188A (zh) * 2018-05-18 2019-11-26 华为技术有限公司 一种终端认证方法、相关设备和认证系统
CN109495362A (zh) * 2018-12-25 2019-03-19 新华三技术有限公司 一种接入认证方法及装置
CN109862043A (zh) * 2019-03-28 2019-06-07 新华三技术有限公司 一种终端认证的方法及装置

Also Published As

Publication number Publication date
CN114050901A (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
CN114050901B (zh) 终端的认证方法、装置、电子设备及可读存储介质
CN105337949B (zh) 一种SSO认证方法、web服务器、认证中心和token校验中心
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
WO2016165536A1 (zh) 一种身份验证方法和设备
CN107770226B (zh) 一种智能家居的控制方法、装置、家庭网关及移动终端
CN104580553B (zh) 网络地址转换设备的识别方法和装置
CN105791235B (zh) 一种配置信息下载方法和设备
CN109067746B (zh) 客户端与服务器之间的通信方法及装置
CN113848737A (zh) 智能设备控制方法、装置、系统、云服务器和存储介质
CN112506570A (zh) 设备指令下发方法、系统和服务器
CN112269981A (zh) 基于区块链算力设备数据搭建方法、服务器和存储介质
CN117978781B (zh) 一种总线模块ip地址修改方法、装置、设备及存储介质
CN110602130B (zh) 终端认证系统及方法、设备端、认证服务器
CN114430340A (zh) 一种跨域单点登录方法、装置及设备
US20210067824A1 (en) Video stream check method and system, computer device and storage medium
CN114500090B (zh) 用于免密登录的信息处理方法及装置
CN111901298A (zh) Sslvpn认证时云短信平台的确定方法、装置及电子设备
CN107172082B (zh) 一种文件共享方法及系统
CN114157472B (zh) 一种网络访问控制方法、装置、设备及存储介质
CN113935008B (zh) 用户认证方法、装置、电子设备及计算机可读存储介质
CN105635060A (zh) 一种获取应用数据的方法、鉴权认证服务器及网关
CN114050910A (zh) 一种终端授权方法、装置、系统、设备及可读存储介质
CN112804201A (zh) 一种获取设备信息的方法及装置
WO2006059852A1 (en) Method and system for providing resources by using virtual path
CN113987455A (zh) 一种基于bs架构的工控系统多因素认证登录方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant