WO2015100645A1

WO2015100645A1 - 管理网络安全的方法及接入设备

Info

Publication number: WO2015100645A1
Application number: PCT/CN2013/091178
Authority: WO
Inventors: 黄河; 吴文竞; 王海军
Original assignee: 华为技术有限公司
Priority date: 2013-12-31
Filing date: 2013-12-31
Publication date: 2015-07-09
Also published as: CN104982004B; CN104982004A

Abstract

　本发明实施例公开了一种管理网络安全的方法及接入设备，该方法包括：在设定的时期内，接入设备对控制报文进行侦听；如果侦听到的控制报文表征对应的用户设备处于上线过程，则转发用户设备的数据报文，在用户设备成功上线后，利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息；经过设定的时期后，接入设备利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。基于上述技术方案，本发明实施例在保证了网络安全的同时，不会影响用户体验。同时，降低了实际应用中开启网络安全功能的难度。

Description

管理网络安全的方法及接入设备技术领域

本发明实施例涉及通信领域，并且更具体地，涉及一种管理网络安全的方法及接入设备。背景技术

随着网络环境复杂程度的加深，针对合法用户的各种网络攻击也随之产生。较为常见的是对以太网转发要素中的 IP ( Internet Protocol , 互联网协议 ) 地址和 MAC ( Media Access Control, 媒体接入控制 )地址进行仿冒，破坏网络设备基于 IP地址和 MAC地址的转发表项，进而影响合法用户上网。这类攻击被称之为 MAC欺骗和 IP欺骗。

例如，用户 User A为合法用户，使用 MAC1访问网络，上一级网络设备将学习到 MAC1对应于 User A所在的端口。若此时存在一个非法用户 User B , 同样使用 MAC 1作为源 MAC访问网络，则上一级网络设备中的 MAC 1 将漂移至 User B所在的端口。这样，原本发送给 User A的数据会发送给 User B。或者， User A使用 IP1访问网络，上一级网络设备通过 ARP ( Address Resolution Protocol, 地址解析协议 )报文学习到 User A的 MAC地址，并生成 ARP表项。在进行下行转发时，网络设备基于学习到的 ARP表项，根据 IP1查找 User A的 MAC地址和所在端口，然后将文转发至 User A。若此时存在非法用户 User B , 使用与 User A相同的 IP地址 IP1访问网络，发送 ARP报文干扰上一级网络设备的 ARP学习，导致原本要发送给 User A的报文将转发至 User B。从而，合法用户 User A的业务将受到影响。

由于最靠近用户侧的接入设备一般无法判断用户的合法性，目前通常采用 DHCP( Dynamic Host Configuration Protocol ,动态主机配置协议）和 PPPoE ( Point- to-Point Protocol over Ethernet, 以太网点到点协议 )对用户的 MAC 进行动态绑定，要求用户访问网络时携带的 MAC地址必须是通过 DHCP过程获取到合法 IP或通过 PPPoE完成拨号的 MAC地址，否则禁止该用户访问网络。

然而，当网络设备已经处于运行状态，大量合法用户已经完成了 DHCP 获取 IP地址或 PPPoE拨号过程，且在访问网络。若此时将防 MAC欺骗或防 IP欺骗功能开启，网络设备无法通过 DHCP和 PPPoE过程获取到用户设备的合法 IP和 MAC地址，将会中断所有用户设备的业务，直到用户设备重新发起 DHCP过程和 PPPoE拨号过程。因此，在实际应用中难以开启网络安全功能，严重影响了用户体验。发明内容

本发明实施例提供了一种管理网络安全的方法及接入设备，能够在保证网络安全的同时，不影响用户体验。

第一方面，本发明实施例提供了一种管理网络安全的接入设备，包括：包括侦听单元和控制单元，其中，在设定的时期内，侦听单元用于侦听控制报文；如果侦听到的控制报文表征对应的用户设备处于上线过程，控制单元用于，转发用户设备的数据报文，在用户设备成功上线后，利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息；经过设定的时期后，控制单元用于，利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

结合第一方面，在第一方面的第一种实现方式中，如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，控制单元具体用于，获取接入设备上接收来自对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征对应的用户设备成功上线的 DHCP响应报文，从 DHCP响应报文中获取对应的用户设备的互联网协议 IP地址，将获取的 IP 地址和端口信息对应起来形成认证信息。

结合第一方面及其上述实现方式，在第一方面的第二种实现方式中，设定的时期不小于用户设备的用户租期。

结合第一方面及其上述实现方式，在第一方面的第三种实现方式中，如果侦听到的报文表征用户设备通过以太网点对点 PPPoE协议上线，控制单元具体用于，获取接入设备上接收来自用户设备的 PPPoE请求报文的端口信息，在用户设备成功上线后，从 PPPoE请求报文中获取用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。

结合第一方面及其上述实现方式，在第一方面的第四种实现方式中，设定的时期不小于用户设备进行重新拨号的时间间隔。

结合第一方面及其上述实现方式，在第一方面的第五种实现方式中，经过设定的时期后，控制单元还用于，丟弃未通过认证的报文。

结合第一方面及其上述实现方式，在第一方面的第六种实现方式中，控制单元还用于，根据配置命令开启网络安全功能。

第二方面，本发明实施例提供了一种管理网络安全的方法，包括：在设定的时期内，接入设备对控制报文进行侦听；如果侦听到的控制报文表征对应的用户设备处于上线过程，则转发用户设备的数据报文，在用户设备成功上线后，利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息；经过设定的时期后，接入设备利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

结合第二方面，在第一方面的第一种实现方式中，如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，接入设备获取接入设备上接收来自对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征对应的用户设备成功上线的 DHCP响应报文，从 DHCP响应 4艮文中获取对应的用户设备的互联网协议 IP地址，将获取的 IP地址和端口信息对应起来形成认证信息。

结合第二方面及其上述实现方式，在第一方面的第二种实现方式中，设定的时期不小于用户设备的用户租期。

结合第二方面及其上述实现方式，在第一方面的第三种实现方式中，如果侦听到的报文表征用户设备通过以太网点对点 PPPoE协议上线，接入设备获取接入设备上接收来自用户设备的 PPPoE请求报文的端口信息，在用户设备成功上线后，从 PPPoE请求报文中获取用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。

结合第二方面及其上述实现方式，在第一方面的第四种实现方式中，设定的时期不小于用户设备进行重新拨号的时间间隔。

结合第二方面及其上述实现方式，在第一方面的第五种实现方式中，经过设定的时期后，该方法还包括：接入设备丟弃未通过认证的报文。

结合第二方面及其上述实现方式，在第一方面的第六种实现方式中，在接入设备对控制报文进行侦听之前，该方法还包括：接入设备根据配置命令开启网络安全功能。

基于上述技术方案，在设定的时期内，接入设备生成认证信息，但不禁止用户设备与网络侧设备之间进行报文传输。在设定的时期后，接入设备对发往网络侧的报文进行认证，将通过认证的报文转发到网络侧。本发明实施例在保证了网络安全的同时，不会影响用户体验。同时，降低了实际应用中开启网络安全功能的难度。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明实施例可应用的通信系统的示意性结构图。

图 2是本发明一个实施例的管理网络安全的方法的示意性流程图。

图 3是本发明另一实施例的管理网络安全的方法的示意性流程图。

图 4是本发明一个实施例的接入设备的示意性框图。

图 5是本发明另一实施例的接入设备的示意性框图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

图 1是本发明实施例可应用的通信系统的示意性结构图。图 1的通信系统中括用户设备 ( 101a, 101b )、接入设备 102和网络服务器 103。在该通信系统中，用户设备（101a, 101b )连接到接入设备 102, 接入设备 102通过网络连接到网络服务器 103。本发明实施例对通信系统中用户设备、接入设备和网络服务器的数量不作限定。

接入设备为网络侧设备 (例如，网络服务器 )与本地交换机（连接到用户设备 )之间的通信提供接口。例如， OLT ( Optical Line Terminal, 光线路终端）和 DSLAM ( Digital Subscriber Line Access Multiplexer, 数字用户线集中器）。网络服务器为用户设备提供网络服务，可以是支持 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置十办议 )和 /或 PPPoE ( Point-to-Point Protocol over Ethernet, 以太网点对点协议）的网络服务器，例如， BRAS ( Broadband Remote Access Server, 宽带接入服务器）、 DHCP服务器等。

在接入设备上需要对合法用户提供安全上的保障，现实中往往合法用户会受到非法用户个各种攻击。

例如，假设用户设备 101a为合法用户，使用 MAC1与网络侧设备 (例如，网络服务器 103 )进行通信。接入设备 102将学习到 MAC1对应于用户设备 101a所在的通信端口，以便于将欲发送给用户设备 101a的网络侧数据转发到该通信端口。此时，若非法用户设备 101b同样使用 MAC1访问网络，接入设备 102也会学习到 MAC1对应于用户设备 101b所在的通信端口。这样，接入设备 102会将发送给用户设备 101a的数据发送到用户设备 101b所在的通信端口，影响了用户设备 101a的正常业务。

这种情况下，接入设备可以开启网络安全功能，通过动态绑定用设备的 IP地址或 MAC地址，来防止非法用户设备仿冒合法用户设备进行通信。由于用户设备 101a已经完成了 DHCP获取合法 IP的过程或 PPPoE拨号过程，若此时接入设备 102 开启网络安全功能，会因为无法通过 DHCP 过程或 PPPoE过程获取到用户设备的合法 IP和 MAC地址而中断用户设备 101a 的业务，也即禁止了用户设备 101a与网络侧设备之间进行报文传输。只有通知用户设备 101a重新发起 DHCP获取合法 IP的过程或者 PPPoE拨号过程，才能恢复用户设备 101a的正常业务。从而为开启网络安全功能带来了困难，同时影响了用户体验。

本发明实施例提供一种管理网络安全的方法机接入设备，能够平滑开启网络安全功能，在保证了网络安全的同时，不会影响用户体验。

图 2是本发明一个实施例的管理网络安全的方法的示意性流程图。图 2 的方法 200可以由接入设备执行，例如，图 1所示的接入设备 102。

201 , 在设定的时期内，接入设备对控制报文进行侦听。

202, 如果侦听到的控制报文表征对应的用户设备处于上线过程，则转发用户设备的数据报文，在用户设备成功上线后，利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息。

203 , 经过设定的时期后，接入设备利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

基于上述技术方案，在设定的时期内，接入设备生成认证信息，但不禁止用户设备与网络侧设备之间进行报文传输。在设定的时期后，接入设备对发往网络侧的报文进行认证，将通过认证的报文转发到网络侧。本发明实施例在保证了网络安全的同时，不会影响用户体验。同时，降低了实际应用中开启网络安全功能的难度。

应理解，用户设备和位于网络侧的网络服务器之间交互的报文既可能有控制报文也可能有数据报文。本实施例在接入设备上设定一个过渡的时期，在这个设定的时期内，由接入设备对控制报文进行侦听，从控制报文中收集用户设备的认证信息，并对用户设备的数据报文进行转发。其中，对数据报文进行转发的过程可以是不区分是来自合法的用户设备还是非法的用户设备。

还应理解，在接入设备生成认证信息之后，还可以继续侦听用户设备与网络侧设备之间传输的控制报文，并维护该认证信息。例如，根据侦听到的控制报文重新创建、修改或者删除该认证信息。

可选地，作为一个实施例，如果侦听到的控制 "¾文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，接入设备获取接入设备上接收来自对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征对应的用户设备成功上线的 DHCP响应报文，从 DHCP响应报文中获取对应的用户设备的互联网协议 IP地址，将获取的 IP地址和端口信息对应起来形成认证信息。在这种情况下， DHCP请求报文可以是 DHCP Request报文， DHCP 响应报文可以是 DHCP Ack报文。

可选地，作为另一实施例，设定的时期不小于用户设备的用户租期。这样，在开启网络安全功能之后，不会因为设定的时期太短，导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文，从而不能生成该用户设备对应的认证信息。在经过设定的时期后，接入设备认定该用户设备为非法用户，禁止该用户设备与网络侧设备之间传输报文。因此，提高了接入设备管理网络安全的性能，同时提升了用户体验。

可选地，作为另一实施例，如果侦听到的报文表征用户设备通过以太网点对点 PPPoE 协议上线，接入设备获取接入设备上接收来自用户设备的 PPPoE请求报文的端口信息，在用户设备成功上线后，从 PPPoE请求报文中获取用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。在这种情况下， PPPoE请求报文可以是 PADI报文或者 PADR报文中的一种，表明用户设备成功上线的报文可以是 PADS报文。

可选地，作为另一实施例，设定的时期不小于用户设备进行重新拨号的时间间隔。

这样，在开启网络安全功能之后，不会因为设定的时期太短，导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文，从而不能生成该用户设备对应的认证信息。在经过设定的时期后，接入设备认定该用户设备为非法用户，禁止该用户设备与网络侧设备之间传输报文。因此，提高了接入设备管理网络安全的性能，同时提升了用户体验。

可选地，作为另一实施例，经过设定的时期后，接入设备丟弃未通过认证的报文。

可选地，作为另一实施例，在接入设备对控制报文进行侦听之前，接入设备根据配置命令开启网络安全功能。

可选地，对于设定的时期的时长，如果侦听到控制报文表明所有的用户设备都是通过 DHCP协议上线，则设定的时期可以是不小于所述用户设备的用户租期，用户租期可以是网络服务器上设定的一个固定值；如果侦听到的控制报文表明所有的用户都是通过 PPPoE协议上线，则设定的时期可以是不小于所述用户设备进行重新拨号的时间间隔；如果侦听到的控制报文表明这 2种协议都会使用，则设定的时期选择用户租期和重新拨号的时间间隔中较大的一个。

可选地，作为另一实施例，接入设备利用生成的认证信息对发往网络侧的数据报文进行认证时，可以将侦听到数据报文中携带的 IP地址或 MAC地址与侦听到数据报文的通信端口的对应关系，与认证信息中的对应关系表进行比较。如果与对应关系表一致，说明该用户设备为合法用户，该用户设备通过认证；如果与对应关系表不一致，说明该用户设备为非法用户，该用户设备认证失败。

可选地，作为另一实施例，在生成认证信息之后，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息。

这样，接入设备根据侦听到的控制报文，对认证信息进行维护，例如，修改或者删除该认证信息。这种情况下，在用户设备进行合法迁移时，接入设备能够保证该认证信息实时有效，不会错误地禁止或允许用户设备与网络侧设备之间传输报文，进一步提升了用户体验。

可选地，作为另一实施例，经过设定的时期后，在进行全局维护时，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止用户设备与网络侧设备之间进行报文传输；在停止全局维护时，接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备进行全局维护的过程中，暂停网络安全功能，不再禁止用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在全局维护期间接入设备正常维护认证信息 (例如，创建、修改或删除认证信息），以便在停止全局维护时，可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。

可选地，作为另一实施例，经过设定的时期后，若进行虚拟局域网 VLAN ( Virtual Local Area Network, 虚拟局域网）维护，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止 VLAN内的用户设备与网络侧设备之间进行报文传输；在停止 VLAN维护时，接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备进行 VLAN维护的过程中，暂停接入设备在该 VLAN 内的网络安全功能，不再禁止该 VLAN内的用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在 VLAN维护期间接入设备正常维护认证信息（例如，创建、修改或删除认证信息），以便在停止 VLAN维护时，可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。

可选地，作为另一实施例，经过设定的时期后，在对用户设备对应的通信端口进行维护时，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止维护中的用户设备与网络侧设备之间进行报文传输；在停止维护用户设备对应的通信端口时，接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备对其中一个用户设备对应的端口进行维护时，暂停对该用户设备的网络安全功能，不再禁止该用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在维护期间接入设备正常维护认证信息（例如，创建、修改或删除认证信息），以便在停止全局维护时，可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。

下面将结合具体的例子详细描述本发明实施例。应注意，这些例子只是为了帮助本领域技术人员更好地理解本发明实施例，而非限制本发明实施例的范围。

图 3是本发明另一实施例的管理网络安全的方法的示意性流程图。如图

3所示，在接入设备开启网络安全功能后，接入设备可以按照以下步骤管理网络安全。

用户可以为接入设备设置一个过渡时段，在过渡时段内，接入设备侦听用户设备与网络侧设备之间传输的控制报文，并根据控制报文生成认证信息。另外，在生成认证信息后，接入设备可以继续侦听用户设备与网络侧设备之间传输的控制报文，并根据侦听到的控制报文对认证信息进行维护，例如，修改或删除认证信息。这样可以实时保证认证信息的有效性，进而可以提高管理效率。

301 , 接入设备侦听用户设备与网络侧设备之间传输的控制报文。例如，接入设备侦听用户设备 DHCP获取合法 IP地址过程中与网络侧设备交互的控制报文。或者，接入设备侦听用户设备 PPPoE拨号过程中与网络侧设备之间传输的控制报文。

302, 接入设备生成认证信息。接入设备根据步骤 301 中侦听到的控制报文生成认证信息，例如，从该控制报文中提取 IP地址或者 MAC地址，生成该 IP地址或 MAC地址与通信端口之间的对应关系表，将该对应关系表作为认证信息。

在过渡时段期满后，接入设备接收到用户设备向网络侧设备发送的控制报文或数据报文时，对用户设备进行认证，允许通过认证的用户设备与网络侧设备之间进行报文传输，禁止未通过认证的用户设备与网络侧设备之间进行报文传输。

303 , 用户设备向接入设备发送控制报文或数据报文。用户设备与网络侧设备进行通信时，先将报文发送至接入设备。

304, 接入设备对用户设备进行认证。由于，过渡时段已经期满，接入设备接收到用户设备发送的控制报文或数据报文时，需要根据该控制报文或数据报文对该用户进行认证。若该控制报文或数据报文中携带的 IP地址或 MAC 地址与通信端口的对应关系与认证信息中的对应关系一致，该用户设备通过认证，否则，该用户设备认证失败。

305 , 认证通过时，将在步骤 303 中从用户设备接收到的控制报文或数据报文转发到网络侧设备，该用户设备能够正常访问网络。

306, 认证失败时，将在步骤 303 中从用户设备接收到的控制报文或数据报文丟弃，该用户设备不能访问网络。

基于上述技术方案，在开启网络安全功能之后的过渡时段内，接入设备生成认证信息，但不禁止用户设备与网络侧设备之间进行报文传输。在过渡时段期满时，接入设备对用户设备进行认证，禁止未通过认证的用户设备与网络侧设备之间进行报文传输。本发明实施例在保证了网络安全的同时，不会影响用户体验。同时，降低了实际应用中开启网络安全功能的难度。

图 4是本发明一个实施例的接入设备的示意性框图。图 4的接入设备 40 包括侦听单元 401和控制单元 402。

在设定的时期内，侦听单元 401用于侦听控制报文；

如果侦听到的控制报文表征对应的用户设备处于上线过程，控制单元 402用于，转发用户设备的数据报文，在用户设备成功上线后，利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息；

经过设定的时期后，控制单元 402用于，利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

可选地，作为一个实施例，如果侦听到的控制 4艮文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，控制单元 402具体用于，获取接入设备上接收来自对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征对应的用户设备成功上线的 DHCP响应报文，从 DHCP响应报文中获取对应的用户设备的互联网协议 IP地址，将获取的 IP地址和端口信息对应起来形成认证信息。在这种情况下， DHCP 请求报文可以是 DHCP Request报文， DHCP响应报文可以是 DHCP Ack报文。

可选地，作为另一实施例，如果侦听到的报文表征用户设备通过以太网点对点 PPPoE协议上线，控制单元 402具体用于，获取接入设备上接收来自用户设备的 PPPoE请求报文的端口信息，在用户设备成功上线后，从 PPPoE 请求报文中获取用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。在这种情况下， PPPoE请求报文可以是 PADI报文或者 PADR报文中的一种，表明用户设备成功上线的报文可以是 PADS才艮文。

可选地在，作为另一实施例，设定的时期不小于用户设备进行重新拨号的时间间隔。

可选地，作为另一实施例，经过设定的时期后，控制单元 402还用于，丟弃未通过认证的报文。可选地，作为另一实施例，控制单元 402还用于，根据配置命令开启网络安全功能。

可选地，作为另一实施例，控制单元 402具体用于，将侦听到数据报文中携带的 IP地址或 MAC地址与侦听到数据报文的通信端口的对应关系，与认证信息中的对应关系表进行比较。如果与对应关系表一致，说明该用户设备为合法用户，该用户设备通过认证；如果与对应关系表不一致，说明该用户设备为非法用户，该用户设备认证失败。

可选地，作为另一实施例，控制单元 402还用于，根据侦听单元 401侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息。

可选地，作为另一实施例，在进行全局维护时，控制单元 402用于，根据侦听单元侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止用户设备与网络侧设备之间进行报文传输；在停止全局维护时，控制单元 402恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备进行全局维护的过程中，暂停网络安全功能，不再禁止用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在全局维护期间控制单元 402正常维护认证信息（例如，创建、修改或删除认证信息），以便在停止全局维护时，接入设备可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。

可选地，作为另一实施例，在进行虚拟局域网 VLAN维护时，控制单元

402用于，根据侦听单元侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止 VLAN内的用户设备与网络侧设备之间进行报文传输；在停止 VLAN维护时，控制单元 402恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备进行 VLAN维护的过程中，暂停接入设备在该 VLAN 内的网络安全功能，不再禁止该 VLAN内的用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在 VLAN维护期间控制单元 402正常维护认证信息（例如，创建、修改或删除认证信息），以便在停止 VLAN维护时，接入设备可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。

可选地，作为另一实施例，在对用户设备对应的通信端口进行维护时，控制单元 402用于，根据侦听单元侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止维护中的用户设备与网络侧设备之间进行 "¾文传输；在停止维护用户设备对应的通信端口时，控制单元 402恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备对其中一个用户设备对应的端口进行维护时，暂停对该用户设备的网络安全功能，不再禁止该用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在维护期间控制单元 402正常维护认证信息（例如，创建、修改或删除认证信息），以便在停止全局维护时，接入设备可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。

图 5是本发明另一实施例的接入设备的示意性框图。的实施例中，接入设备 50包括发射电路 502、接收电路 503、处理器 504、存储器 505及接口 501。处理器 504控制接入设备 50的操作，并且可用于处理信号。处理器 504还可以称为 CPU ( Central Processing Unit, 中央处理单元）。存储器 505可以包括只读存储器和随机存取存储器，并向处理器 504 提供指令和数据。存储器 505的一部分还可以包括非易失行随机存取存储器 ( NVRAM )。发射电路 502和接收电路 503可以耦合到接口 501。控制存储设备机群磨损均衡的设备 50的各个组件通过总线系统 509耦合在一起，其中总线系统 509除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图中将各种总线都标为总线系统 509。

具体地，存储器 505可存储使得处理器 504执行以下操作的指令：在设定的时期内，对控制报文进行侦听；

如果侦听到的控制报文表征对应的用户设备处于上线过程，则转发用户设备的数据报文，在用户设备成功上线后，利用用户设备的上线请求报文或者来自网络侧表征用户设备上线成功的响应报文生成认证信息；经过设定的时期后，利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

还应理解，在接入设备生成认证信息之后，还可以继续侦听用户设备与网络侧设备之间传输的控制报文，并维护该认证信息。例如，根据侦听到的控制报文重新创建、修改或者删除该认证信息。操作的指令：

如果侦听到的控制报文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，获取接入设备上接收来自对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征对应的用户设备成功上线的 DHCP响应报文，从 DHCP响应报文中获取对应的用户设备的互联网协议 IP地址，将获取的 IP地址和端口信息对应起来形成认证信息。作的指令：

设定的时期不小于用户设备的用户租期。

这样，在开启网络安全功能之后，不会因为设定的时期太短，导致在过渡时段内没有侦听到用户设备与网络侧设备之间传输的控制报文，从而不能生成该用户设备对应的认证信息。在经过设定的时期后，接入设备认定该用户设备为非法用户，禁止该用户设备与网络侧设备之间传输报文。因此，提高了接入设备管理网络安全的性能，同时提升了用户体验。作的指令：

如果侦听到的报文表征用户设备通过以太网点对点 PPPoE协议上线，接入设备获取接入设备上接收来自用户设备的 PPPoE请求报文的端口信息，在用户设备成功上线后，从 PPPoE请求报文中获取用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。作的指令：

设定的时期不小于用户设备进行重新拨号的时间间隔。

经过设定的时期后，丟弃未通过认证的报文。作的指令：

在接入设备对控制报文进行侦听之前，根据配置命令开启网络安全功能。作的指令：

在进行全局维护时，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止用户设备与网络侧设备之间进行报文传输；在停止全局维护时，接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备进行全局维护的过程中，暂停网络安全功能，不再禁止用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在全局维护期间接入设备正常维护认证信息 (例如，创建、修改或删除认证信息），以便在停止全局维护时，可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。作的指令：

若进行虚拟局域网 VLAN维护，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止 VLAN内的用户设备与网络侧设备之间进行报文传输；在停止 VLAN维护时，接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

这样，接入设备进行 VLAN维护的过程中，暂停接入设备在该 VLAN 内的网络安全功能，不再禁止该 VLAN内的用户设备与网络侧设备之间传输报文，避免了合法用户不能正常访问网络的问题，提升了用户体验。同时，在 VLAN维护期间接入设备正常维护认证信息（例如，创建、修改或删除认证信息），以便在停止 VLAN维护时，可以快速恢复到正常的网络安全管理状态，而不必先经历一个过渡时段。作的指令：

在预设的过渡时段期满时，若对用户设备对应的通信端口进行维护，接入设备根据侦听到的用户设备与网络侧设备之间传输的控制报文，维护认证信息，不禁止维护中的用户设备与网络侧设备之间进行报文传输；在停止维护用户设备对应的通信端口时，接入设备恢复到禁止未通过认证的用户设备与网络设备之间进行报文传输。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和筒洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ROM, Read-Only Memory )、随机存取存储器 ( RAM, Random Access Memory )、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

权利要求

1、一种管理网络安全的方法，其特征在于，包括：

在设定的时期内，接入设备对控制报文进行侦听；

如果侦听到的控制报文表征对应的用户设备处于上线过程，则转发所述用户设备的数据报文，在所述用户设备成功上线后，利用所述用户设备的上线请求报文或者来自网络侧表征所述用户设备上线成功的响应报文生成认证信息；

经过所述设定的时期后，所述接入设备利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

2、根据权利要求 1所述的方法，其特征在于，如果所述侦听到的控制报文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，所述接入设备获取所述接入设备上接收来自所述对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征所述对应的用户设备成功上线的 DHCP响应报文，从所述 DHCP响应报文中获取所述对应的用户设备的互联网协议 IP 地址，将获取的 IP地址和端口信息对应起来形成认证信息。

3、根据权利要求 2所述的方法，其特征在于，所述设定的时期不小于所述用户设备的用户租期。

4、根据权利要求 1所述的方法，其特征在于，如果所述侦听到的报文表征所述用户设备通过以太网点对点 PPPoE协议上线，所述接入设备获取所述接入设备上接收来自所述用户设备的 PPPoE请求报文的端口信息，在所述用户设备成功上线后，从所述 PPPoE请求报文中获取所述用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。

5、根据权利要求 4所述的方法，其特征在于，所述设定的时期不小于所述用户设备进行重新拨号的时间间隔。

6、根据权利要求 1至 5中任一项所述的方法，其特征在于，经过所述设定的时期后，所述方法还包括：

所述接入设备丟弃未通过认证的报文。

7、根据权利要求 1至 6中任一项所述的方法，其特征在于，在所述接入设备对控制报文进行侦听之前，所述方法还包括：

所述接入设备根据配置命令开启网络安全功能。

8、一种管理网络安全的接入设备，其特征在于，包括侦听单元和控制单元，其中，

在设定的时期内，所述侦听单元用于侦听控制报文；

如果侦听到的控制报文表征对应的用户设备处于上线过程，所述控制单元用于，转发所述用户设备的数据报文，在所述用户设备成功上线后，利用所述用户设备的上线请求报文或者来自网络侧表征所述用户设备上线成功的响应艮文生成认证信息；

经过所述设定的时期后，所述控制单元用于，利用生成的认证信息对发往网络侧的数据报文进行认证，将通过认证的数据报文转发到网络侧。

9、根据权利要求 8所述的接入设备，其特征在于，如果所述侦听到的控制文表征对应的用户设备通过动态主机配置协议 DHCP协议上线，所述控制单元具体用于，获取所述接入设备上接收来自所述对应的用户设备的 DHCP请求报文的端口信息，捕获来自网络侧表征所述对应的用户设备成功上线的 DHCP响应报文，从所述 DHCP响应报文中获取所述对应的用户设备的互联网协议 IP地址，将获取的 IP地址和端口信息对应起来形成认证信息。

10、根据权利要求 9所述的接入设备，其特征在于，所述设定的时期不小于所述用户设备的用户租期。

11、根据权利要求 8所述的接入设备，其特征在于，如果所述侦听到的报文表征所述用户设备通过以太网点对点 PPPoE协议上线，所述控制单元具体用于，获取所述接入设备上接收来自所述用户设备的 PPPoE请求报文的端口信息，在所述用户设备成功上线后，从所述 PPPoE请求报文中获取所述用户设备的媒体接入控制 MAC地址，将获取的 MAC地址和端口信息对应起来形成认证信息。

12、根据权利要求 11所述的接入设备，其特征在于，所述设定的时期不小于所述用户设备进行重新拨号的时间间隔。

13、根据权利要求 8至 12中任一项所述的接入设备，其特征在于，经过所述设定的时期后，所述控制单元还用于，丟弃未通过认证的报文。

14、根据权利要求 8至 13中任一项所述的接入设备，其特征在于，所述控制单元还用于，根据配置命令开启网络安全功能。