CN114531250A - 终端身份认证实现方法、系统和控制器 - Google Patents
终端身份认证实现方法、系统和控制器 Download PDFInfo
- Publication number
- CN114531250A CN114531250A CN202011189617.4A CN202011189617A CN114531250A CN 114531250 A CN114531250 A CN 114531250A CN 202011189617 A CN202011189617 A CN 202011189617A CN 114531250 A CN114531250 A CN 114531250A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- identity authentication
- controller
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000004590 computer program Methods 0.000 claims description 10
- 238000011217 control strategy Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开公开了一种终端身份认证实现方法、系统和控制器,涉及网络安全技术领域。该方法包括:接收终端在接入业务系统前发送的无状态的认证消息;提取认证消息中的终端的身份认证信息;对终端的身份认证信息进行认证;以及根据认证结果控制接入网关进行相应业务端口的开关。本公开终端在接入业务系统前,必须先向控制器发送认证消息,仅身份认证通过的终端,才被允许接入业务系统,解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种终端身份认证实现方法、系统和控制器。
背景技术
目前,服务端系统普遍采用的端口开放模式,合法设备和非法设备等任意设备都可以向服务端发起TCP(Transmission Control Protocol,传输控制协议)连接请求。只有在终端和服务端建立连接后,服务端才能对终端设备的身份合法性进行鉴别,这就导致服务器需要维护大量的会话,并且也给非法终端分配了访问资源。
发明内容
本公开要解决的一个技术问题是,提供一种终端身份认证实现方法、系统和控制器,能够解决非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
根据本公开一方面,提出一种终端身份认证实现方法,包括:接收终端在接入业务系统前发送的无状态的认证消息;提取认证消息中的终端的身份认证信息;对终端的身份认证信息进行认证;以及根据认证结果控制接入网关进行相应业务端口的开关。
在一些实施例中,认证消息为用户数据报协议UDP认证消息。
在一些实施例中,开放UDP端口,以便通过UDP端口接收终端发送的UDP认证消息。
在一些实施例中,根据认证结果控制接入网关进行相应业务端口的开关包括:若终端通过身份认证,则向接入网关发送端口开放控制策略,以指示接入网关开放终端与接入网关建立连接的端口。
根据本公开的另一方面,还提出一种控制器,包括:认证接收模块,被配置为接收终端在接入业务系统前发送的无状态的认证消息;认证解析模块,被配置为提取认证消息中的终端的身份认证信息;身份认证模块,被配置为对终端的身份认证信息进行认证;以及业务端口控制模块,被配置为根据认证结果控制接入网关进行相应业务端口的开关。
在一些实施例中,认证消息为用户数据报协议UDP认证消息。
在一些实施例中,控制器开放UDP端口,以便认证接收模块通过UDP端口接收终端发送的UDP认证消息。
根据本公开的另一方面,还提出一种控制器,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上述的终端身份认证实现方法。
根据本公开的另一方面,还提出一种终端身份认证实现系统,包括:上述的控制器;终端,被配置为在接入业务系统前向控制器发送认证消息;接入网关,被配置为根据控制器发送的端口开放控制策略开放端口;以及业务系统,被配置为通过接入网关开放的端口与终端建立连接。
根据本公开的另一方面,还提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述的终端身份认证实现方法。
本公开实施例中,终端在接入业务系统前,必须先向控制器发送认证消息,仅身份认证通过的终端,才被允许接入业务系统,解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开终端身份认证实现方法的一些实施例的流程示意图。
图2为本公开终端身份认证实现方法的另一些实施例的流程示意图。
图3为本公开控制器的一些实施例的结构示意图。
图4为本公开控制器的另一些实施例的结构示意图。
图5为本公开终端身份认证实现系统的一些实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
图1为本公开终端身份认证实现方法的一些实施例的流程示意图。该实施例由服务端接入网元侧新增的控制器执行。
在步骤110,接收终端在接入业务系统前发送的无状态的认证消息。无状态的认证消息是指控制器不与终端建立连接,即控制器接收认证消息后,不向终端反馈任何信息。
在一些实施例中,该认证消息为UDP(User Datagram Protocol,用户数据报协议)认证消息。
在一些实施例中,终端在接入业务系统前,需先发送无状态的UDP认证包,该认证包中携带终端身份认证信息。
在一些实施例中,控制器开放UDP端口,使得终端能够通过该UDP端口发送UDP认证消息。
在步骤120,提取认证消息中的终端的身份认证信息。
在一些实施例中,对接收到的UDP认证包进行解析,提取相应的身份认证信息。
在步骤130,对终端的身份认证信息进行认证。
例如,通过认证中心完成对终端的身份认证。
在步骤140,根据认证结果控制接入网关进行相应业务端口的开关。
在一些实施例中,若终端通过身份认证,则控制器向接入网关发送端口开放控制策略,以指示接入网关开放终端与接入网关建立连接的端口。即接入网关针对该终端定向打开所需接口。
在上述实施例中,终端在接入业务系统前,必须先向控制器发送认证消息,仅身份认证通过的终端,才被允许接入业务系统,解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
图2为本公开终端身份认证实现方法的另一些实施例的流程示意图。
在步骤210,终端向控制器的认证接收模块发送包含身份认证信息的UDP包。
该认证接收模块只负责接收信息,而不向终端反馈任何信息。终端例如为智能设备。
在步骤220,认证接收模块将UDP包转发至认证解析模块。
在步骤230,认证解析模块解析UDP包,并提取身份认证信息。
在步骤240,认证解析模块向身份认证模块发送身份认证请求。
在步骤250,身份认证模块对完成终端的身份认证。
在步骤260,身份认证模块向业务端口控制模块发送端口开放控制策略。
在步骤270,业务端口控制模块向接入网关发送端口开放控制策略。
在步骤280,接入网关针对该终端定向开放TCP端口。例如,针对该终端,开放P1端口。
在步骤290,终端通过该TCP端口请求与接入网关建立连接,接入网关识别该终端的身份后,进行放行。
该实施例中,即便是认证系统也不允许认证通过前就建立与业务系统的连接。
在步骤2100,终端与业务系统进行业务交互。终端与业务系统建立TCP连接,进而能够进行业务交互。
在上述实施例中,终端与控制器在不建立任何端口连接的情况下,由终端向控制器发送UDP认证消息,控制器对认证消息进行解析并完成身份认证,最后根据认证结果通知接入网关进行定向端口控制,能够实现对零信任安全的终端进行身份认证后,才允许终端接入业务系统,服务端不再给非法终端分配访问资源,因此,无需维护大量的会话,减少了服务端的资源占用率。
图3为本公开控制器的一些实施例的结构示意图。该控制器包括认证接收模块310、认证解析模块320、身份认证模块330和业务端口控制模块340。
认证接收模块310被配置为接收终端在接入业务系统前发送的无状态的认证消息。
在一些实施例中,该认证消息为UDP认证消息。控制器开放UDP端口,使得终端能够通过该UDP端口发送UDP认证消息。
认证接收模块310只负责接收消息,而不向终端反馈任何信息。
认证解析模块320被配置为提取认证消息中的终端的身份认证信息。
在一些实施例中,认证解析模块320对接收到的UDP认证包进行解析,提取相应的身份认证信息。
身份认证模块330被配置为对终端的身份认证信息进行认证。
身份认证模块330例如为身份认证中心。
业务端口控制模块340被配置为根据认证结果控制接入网关进行相应业务端口的开关。
在一些实施例中,若终端通过身份认证,则业务端口控制模块340向接入网关发送端口开放控制策略,以指示接入网关开放终端与接入网关建立连接的端口。即接入网关针对该终端定向打开所需接口,终端通过该接口请求与接入网关建立连接,接入网关识别该终端的身份后进行放行,终端与业务系统进行业务交互。
在上述实施例中,终端在接入业务系统前,必须先发送认证消息,仅身份认证通过的终端,控制器才被允许接入业务系统,解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
图4为本公开控制器的另一些实施例的结构示意图。该控制器400包括存储器410和处理器420。其中:存储器410可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1-2所对应实施例中的指令。处理器420耦接至存储器410,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器420用于执行存储器中存储的指令。
在一些实施例中,处理器420通过BUS总线430耦合至存储器410。该控制器400还可以通过存储接口440连接至外部存储系统450以便调用外部数据,还可以通过网络接口460连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够实现对零信任安全的终端进行身份认证后,才允许终端接入业务系统,服务端不再给非法终端分配访问资源,因此,无需维护大量的会话,减少了服务端的资源占用率。
图5为本公开终端身份认证实现系统的一些实施例的结构示意图。该终端身份认证实现系统包括控制器510、终端520、接入网关530和业务系统540。控制器510已在上述实施例中进行了详细介绍,此处不在进一步阐述。
终端520被配置为在接入业务系统540前向控制器510发送认证消息。
接入网关530被配置为根据控制器510发送的端口开放控制策略开放端口。
业务系统540被配置为通过接入网关530开放的端口与终端520建立连接。即终端520通过接入网关530的端口与接入网关530建立连接,接入网关530对终端510进行身份识别后,终端520可以与业务系统540建立连接。
在上述实施例中,终端在接入业务系统前,必须先发送认证消息,仅身份认证通过的终端,才被允许接入业务系统,解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
在另一些实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1-2所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (10)
1.一种终端身份认证实现方法,包括:
接收终端在接入业务系统前发送的无状态的认证消息;
提取所述认证消息中的所述终端的身份认证信息;
对所述终端的身份认证信息进行认证;以及
根据认证结果控制接入网关进行相应业务端口的开关。
2.根据权利要求1所述的终端身份认证实现方法,其中,
所述认证消息为用户数据报协议UDP认证消息。
3.根据权利要求2所述的终端身份认证实现方法,其中,
开放UDP端口,以便通过所述UDP端口接收所述终端发送的UDP认证消息。
4.根据权利要求1至3任一所述的终端身份认证实现方法,其中,根据认证结果控制接入网关进行相应业务端口的开关包括:
若所述终端通过身份认证,则向所述接入网关发送端口开放控制策略,以指示所述接入网关开放所述终端与所述接入网关建立连接的端口。
5.一种控制器,包括:
认证接收模块,被配置为接收终端在接入业务系统前发送的无状态的认证消息;
认证解析模块,被配置为提取所述认证消息中的所述终端的身份认证信息;
身份认证模块,被配置为对所述终端的身份认证信息进行认证;以及
业务端口控制模块,被配置为根据认证结果控制接入网关进行相应业务端口的开关。
6.根据权利要求5所述的控制器,其中,
所述认证消息为用户数据报协议UDP认证消息。
7.根据权利要求5或6所述的控制器,其中,
所述控制器开放UDP端口,以便所述认证接收模块通过所述UDP端口接收所述终端发送的UDP认证消息。
8.一种控制器,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至4任一项所述的终端身份认证实现方法。
9.一种终端身份认证实现系统,包括:
权利要求5至8任一所述的控制器;
终端,被配置为在接入业务系统前向所述控制器发送认证消息;
接入网关,被配置为根据所述控制器发送的端口开放控制策略开放端口;以及
业务系统,被配置为通过所述接入网关开放的端口与所述终端建立连接。
10.一种非瞬时性计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至4任一项所述的终端身份认证实现方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011189617.4A CN114531250A (zh) | 2020-10-30 | 2020-10-30 | 终端身份认证实现方法、系统和控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011189617.4A CN114531250A (zh) | 2020-10-30 | 2020-10-30 | 终端身份认证实现方法、系统和控制器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114531250A true CN114531250A (zh) | 2022-05-24 |
Family
ID=81618542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011189617.4A Pending CN114531250A (zh) | 2020-10-30 | 2020-10-30 | 终端身份认证实现方法、系统和控制器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114531250A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070234428A1 (en) * | 2006-03-22 | 2007-10-04 | Rash Michael B | Method for secure single-packet remote authorization |
US20170180518A1 (en) * | 2015-12-22 | 2017-06-22 | Markany Inc. | Authentication system, method, client and recording medium using tcp sync packet |
CN108429730A (zh) * | 2018-01-22 | 2018-08-21 | 北京智涵芯宇科技有限公司 | 无反馈安全认证与访问控制方法 |
CN110830447A (zh) * | 2019-10-14 | 2020-02-21 | 云深互联(北京)科技有限公司 | 一种spa单包授权的方法及装置 |
CN111586025A (zh) * | 2020-04-30 | 2020-08-25 | 广州市品高软件股份有限公司 | 一种基于sdn的sdp安全组实现方法及安全系统 |
CN111770090A (zh) * | 2020-06-29 | 2020-10-13 | 深圳市联软科技股份有限公司 | 一种单包授权方法及系统 |
-
2020
- 2020-10-30 CN CN202011189617.4A patent/CN114531250A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070234428A1 (en) * | 2006-03-22 | 2007-10-04 | Rash Michael B | Method for secure single-packet remote authorization |
US20170180518A1 (en) * | 2015-12-22 | 2017-06-22 | Markany Inc. | Authentication system, method, client and recording medium using tcp sync packet |
CN108429730A (zh) * | 2018-01-22 | 2018-08-21 | 北京智涵芯宇科技有限公司 | 无反馈安全认证与访问控制方法 |
CN110830447A (zh) * | 2019-10-14 | 2020-02-21 | 云深互联(北京)科技有限公司 | 一种spa单包授权的方法及装置 |
CN111586025A (zh) * | 2020-04-30 | 2020-08-25 | 广州市品高软件股份有限公司 | 一种基于sdn的sdp安全组实现方法及安全系统 |
CN111770090A (zh) * | 2020-06-29 | 2020-10-13 | 深圳市联软科技股份有限公司 | 一种单包授权方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107979514B (zh) | 一种对设备进行绑定的方法和设备 | |
WO2018202284A1 (en) | Authorizing access to user data | |
CN111083102A (zh) | 一种物联网数据处理方法、装置及设备 | |
US9912667B2 (en) | Managing private and public service set utilization | |
CN106506515B (zh) | 一种认证方法和装置 | |
WO2022001474A1 (zh) | 网络切片连接管理方法、终端及计算机可读存储介质 | |
CN106612267B (zh) | 一种验证方法及验证装置 | |
JP2020514863A (ja) | 証明書取得方法、認証方法及びネットワークデバイス | |
CN111865872A (zh) | 一种网络切片内终端安全策略实现方法及设备 | |
CN104994094A (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
CN114567880A (zh) | 通信方法、系统以及计算机可读存储介质 | |
CN106060042A (zh) | 数据处理方法及装置 | |
CN109040225B (zh) | 一种动态端口桌面接入管理方法和系统 | |
CN109391650B (zh) | 一种建立会话的方法及装置 | |
CN110572476B (zh) | 一种远程控制方法、装置及设备 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
CN105577579A (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 | |
CN103248487A (zh) | 近场通信认证方法、证书授权中心及近场通信设备 | |
CN114531250A (zh) | 终端身份认证实现方法、系统和控制器 | |
CN113810173A (zh) | 一种校验应用信息的方法、报文处理方法及装置 | |
WO2014089968A1 (zh) | 虚拟机系统数据加密方法及设备 | |
CN109729515B (zh) | 用于实现机卡绑定的方法、用户识别卡和物联网终端 | |
CN115941795B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
CN116032546A (zh) | 一种资源访问方法、装置及电子设备 | |
WO2016139911A1 (ja) | 情報処理装置、情報処理方法及びプログラムを格納した非一時的なコンピュータ可読媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |