CN105635084A - 终端认证装置及方法 - Google Patents
终端认证装置及方法 Download PDFInfo
- Publication number
- CN105635084A CN105635084A CN201410652814.3A CN201410652814A CN105635084A CN 105635084 A CN105635084 A CN 105635084A CN 201410652814 A CN201410652814 A CN 201410652814A CN 105635084 A CN105635084 A CN 105635084A
- Authority
- CN
- China
- Prior art keywords
- terminal
- mac address
- authentication
- instruction
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种终端认证装置及方法,属于通信安全领域。所述方法包括:认证点将终端的MAC地址发送给认证服务器,认证服务器根据预设的MAC地址列表对MAC地址进行认证;在认证结果表示终端不属于预设的MAC地址列表时,由安全网关根据终端的数据流检测终端是否为可信任终端,并根据检测结果指示认证服务器更新MAC地址列表;并在更新MAC地址列表后,触发认证点对终端进行重新认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入网络,无需将终端的MAC地址手动加入认证服务器,减少了工作量。
Description
技术领域
本发明涉及通信安全领域,特别涉及一种终端认证装置及方法。
背景技术
监控网络中会设置有很多的网络摄像头。
出于网络安全的考虑,网络摄像头需要认证通过后才能接入监控网络。目前的一种终端准入方法是:预先设置一个认证服务器(英文:authenticationserver),该认证服务器中保存了可信任网络摄像头的介质访问控制(英文:mediaaccesscontrol;简称:MAC)地址列表,也称白名单(英文:whitelist)。当一个网络摄像头与认证点建立物理连接后,认证点会接收到该网络摄像头的MAC地址,然后将该MAC地址发送给认证服务器。认证服务器检测该MAC地址是否属于白名单;如果属于白名单,则认证服务器向认证点发送认证通过的信息,认证点允许该网络摄像头接入监控网络;如果不属于白名单,则认证服务器向认证点发送认证失败的信息,认证点拒绝该网络摄像头接入监控网络。
由于监控网络中的网络摄像头数量巨大且经常更换,有很多新更换的网络摄像头不在认证服务器的白名单中,但又是可信任网络摄像头。如果直接拒绝这些网络摄像头接入监控网络,将严重影响正常监控。如果逐个查出这些网络摄像头的MAC地址并加入认证服务器的白名单中,工作量又极其巨大,可操行性较差。
发明内容
为了解决直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题,本发明实施例提供了一种终端认证装置及方法。所述技术方案如下:
根据本发明实施例的第一方面,提供了一种终端认证装置,所述装置包括:
地址接收模块,用于接收来自终端的数据流,根据所述终端的数据流获取所述终端的MAC地址;
地址发送模块,用于将所述终端的MAC地址发送给认证服务器;
结果接收模块,用于接收所述认证服务器的认证结果;
数据流发送模块,用于在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;
重新认证模块,用于接收所述认证服务器发送的携带有所述MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。
在第一方面的第一种可能的实施方式中,所述重新认证模块,用于:
接收所述认证服务器发送的携带有所述MAC地址的第一指示,所述第一指示用于指示对所述终端的MAC地址所对应的网络访问端口进行重启;
在所述网络访问端口重启后,再次接收来自所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
在第一方面的第二种可能的实施方式中,所述重新认证模块,包括:
接收所述认证服务器发送的携带有所述MAC地址的第二指示,所述第二指示用于指示对所述MAC地址所对应的连接进行切断;
在所述连接切断后,再次接收来自所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址发送给所述认证服务器进行重认证。
根据本发明实施例的第二方面,提供了一种终端认证装置,所述装置包括:
认证接收模块,用于接收认证点发送的终端的介质访问控制MAC地址;
地址认证模块,用于根据预设的MAC地址列表对所述MAC地址进行认证;
结果发送模块,用于在所述MAC地址不属于所述预设的MAC地址列表时,向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的认证结果;
指示接收模块,用于接收安全网关发送的指示,所述指示携带有所述终端的MAC地址以及所述终端是否为可信任终端的标识;
列表更新模块,用于根据所述安全网关发送的指示更新所述MAC地址列表;
报文发送模块,用于根据所述安全网关发送的指示向所述认证点发送携带有所述终端的MAC地址的重新认证指示。
在第二方面的第一种可能的实施方式中,所述列表更新模块,用于:
在所述指示携带有所述终端为可信任终端的标识时,将所述终端的MAC地址添加入可信任终端的MAC地址列表;
在所述指示携带有所述终端为不可信任终端的标识时,将所述终端的MAC地址添加入不可信任终端的MAC地址列表。
根据本发明实施例的第三方面,提供了一种终端认证方法,所述方法包括:
接收来自终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址发送给认证服务器;
接收所述认证服务器的认证结果;
在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;
接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。
在第三方面的第一种可能的实施方式中,所述接收所述认证服务器发送的携带有所述MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证,包括:
接收所述认证服务器发送的携带有所述终端的MAC地址的第一指示,所述第一指示用于指示对所述MAC地址所对应的网络访问端口进行重启;
在所述网络访问端口重启后,再次接收所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
在第三方面的第二种可能的实施方式中,所述接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证,包括:
接收所述认证服务器发送的携带有所述终端的MAC地址的第二指示,所述第二指示用于指示对所述MAC地址所对应的连接进行切断;
在所述连接切断后,再次接收所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
根据本发明实施例的第四方面,提供了一种终端认证方法,所述方法包括:
接收认证点发送的终端的介质访问控制MAC地址;
根据预设的MAC地址列表对所述MAC地址进行认证;
在所述MAC地址不属于所述MAC地址列表时,向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的认证结果;
接收安全网关发送的指示,所述指示携带有所述终端的MAC地址以及所述终端是否为可信任终端的标识;
根据所述安全网关发送的指示更新所述MAC地址列表;
根据所述安全网关发送的指示向所述认证点发送携带有所述终端的MAC地址的重新认证指示。
在第四方面的第一种可能的实施方式中,所述根据所述安全网关发送的指示更新所述MAC地址列表,包括:
在所述指示携带有所述终端为可信任终端的标识时,将所述终端的MAC地址添加入可信任终端的MAC地址列表;
在所述指示携带有所述终端为不可信任终端的标识时,将所述终端的MAC地址添加入不可信任终端的MAC地址列表。
本发明实施例提供的技术方案带来的有益效果是:
通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端为是否可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入目标网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的网络架构的结构示意图。
图2是本发明一个实施例提供的终端认证装置的结构方框图。
图3是本发明另一个实施例提供的终端认证装置的结构方框图。
图4是本发明另一个实施例提供的终端认证装置的结构方框图。
图5是本发明一个实施例提供的认证点的结构方框图。
图6是本发明一个实施例提供的认证服务器的结构方框图。
图7是本发明一个实施例提供的终端认证方法的方法流程图。
图8是本发明另一个实施例提供的终端认证方法的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参考图1,其示出了本发明一个实施例提供的网络架构的结构示意图。该实施环境包括终端120、认证点140、安全网关160和认证服务器180。
终端120可以是:网络摄像头(英文:webcamera)、移动电话(英文:mobiletelephone)、平板电脑(英文:tabletcomputer)、笔记本电脑(英文:notebookcomputer)和台式计算机(英文:desktopcomputer)等等。终端120通过有线网络或无线网络与认证点140相连。本申请中以终端120是网络摄像头来举例说明。
认证点(英文:authenticator)140可以是网络交换机。终端120通过认证点140提供的网络访问端口(英文:networkaccessport)接入目标网络。认证点140可以将终端120的MAC地址发送给认证服务器180进行认证,并在认证通过后,准许终端120接入目标网络。认证点140通过有线网络或无线网络与安全网关160相连。认证点140还通过有线网络或无线网络与认证服务器180相连。
安全网关160用于检测终端的数据流(英文:datastream)是否可信,以及根据终端的数据流检测终端是否为可信任终端。安全网关160和认证点140通过有线网络或无线网络相连。安全网关160可以建立隧道与认证点140相连。安全网关160还通过有线网络或无线网络与认证服务器180相连。数据流是终端120在访问目标网络时,从访问开始到访问结束的过程中的一组指令、数据包或报文的集合。
认证服务器180,又称控制器,是用于通过预设的MAC地址列表对终端120进行认证的服务器。
其中,预设的MAC地址列表可以包括:可信任终端的MAC地址列表。
预设的MAC地址列表也可以包括:不可信任终端的MAC地址列表。
预设的MAC地址列表还可以包括:可信任终端的MAC地址和不可信任终端的MAC地址列表。
其中,可信任终端的MAC地址列表,也称白名单;不可信任终端的MAC地址列表,也称黑名单。
请参考图2,其示出了本发明实施例提供的一种终端认证装置的结构方框图。该终端认证装置可以通过软件、硬件或者两者的结合实现成为图1中的认证点的全部或者一部分。该终端认证装置,包括:
地址接收模块210,用于接收来自终端的数据流,根据终端的数据流获取终端的MAC地址。
地址发送模块220,用于将终端的MAC地址发送给认证服务器。该认证服务器用于根据预设的MAC地址列表对该MAC地址进行认证。
结果接收模块230,用于接收认证服务器的认证结果。
数据流发送模块240,用于在认证结果表示终端的MAC地址不属于认证服务器中预设的MAC地址列表时,将终端的数据流发送给安全网关,该安全网关用于根据终端的数据流检测终端是否为可信任终端,并根据检测结果指示认证服务器更新MAC地址列表。
重新认证模块250,用于接收认证服务器发送的携带有终端的MAC地址的重新认证指示,根据重新认证指示对终端进行重新认证。
综上所述,本实施例提供的终端认证装置,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
请参考图3,其示出了本发明实施例提供的一种终端认证装置的结构方框图。该终端认证装置可以通过软件、硬件或者两者的结合实现成为图1中的认证点的全部或者一部分。该终端认证装置,包括:
地址接收模块210,用于接收来自终端的数据流,根据终端的数据流获取终端的MAC地址。
地址发送模块220,用于将终端的MAC地址发送给认证服务器。该认证服务器用于根据预设的MAC地址列表对该MAC地址进行认证。
结果接收模块230,用于接收认证服务器的认证结果。
数据流发送模块240,用于在认证结果表示终端的MAC地址不属于认证服务器中预设的MAC地址列表时,将终端的数据流发送给安全网关,该安全网关用于根据终端的数据流检测终端是否为可信任终端,并根据检测结果指示认证服务器更新MAC地址列表。
重新认证模块250,用于接收认证服务器发送的携带有终端的MAC地址的重新认证指示,根据重新认证指示对终端进行重新认证。
在一种可能的实施方式中,重新认证模块250,用于接收认证服务器发送的携带有终端的MAC地址的第一指示,第一指示用于指示对该终端的MAC地址所对应的网络访问端口进行重启;在网络访问端口重启后,再次接收终端的数据流,根据该数据流获取终端的MAC地址;将终端的MAC地址重新发送给认证服务器进行认证。
在另一种可能的实施方式中,重新认证模块250,用于接收认证服务器发送的携带有终端的MAC地址的第二指示,第二指示用于指示对MAC地址所对应的连接进行切断;在该连接切断后,再次接收来自终端的数据流,根据数据流获取终端的MAC地址;将终端的MAC地址发送给认证服务器进行重认证。
在再一种可能的实施方式中,该装置,还包括:
数据流接收模块262,用于接收安全网关发送的终端的数据流。该数据流是安全网关检测到该数据流为可信任的数据流后发送的。
数据流转发模块264,用于将该数据流转发至目标网络。
综上所述,本实施例提供的终端认证装置,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
本实施例提供的终端认证装置,还通过提供两种不同的触发方式,来触发认证点对终端的重新认证,使得本实施例能够适应不同的实施场景,提高本实施例的适用性。
本实施例提供的终端认证装置,还通过接收安全网关在终端的数据流可信时所发送的数据流,将该数据流转发至目标网络中,使得即便终端的MAC地址不属于MAC地址列表,但只要该终端的数据流是可信任的数据流,依然准许接入目标网络,达到了安全网关在检测终端是否为可信任终端的过程中,终端也能够正常接入目标网络的效果。
请参考图4,其示出了本发明一个实施例提供的终端认证装置的结构方框图。该终端认证装置可以通过软件、硬件或者两者的结合实现成为图1中的认证服务器的全部或者部分。该终端认证装置,包括:
认证接收模块410,用于接收认证点发送的终端的MAC地址。
地址认证模块420,用于根据预设的MAC地址列表对MAC地址进行认证。
结果发送模块430,用于在MAC地址不属于预设的MAC地址列表时,向认证点发送用于表示终端的MAC地址不属于MAC地址列表的认证结果。
指示接收模块440,用于接收安全网关发送的指示,该指示携带有终端的MAC地址以及终端是否为可信任终端的标识。
列表更新模块450,用于根据安全网关发送的指示更新MAC地址列表。
报文发送模块460,用于根据安全网关发送的指示向认证点发送携带有终端的MAC地址的重新认证指示。该认证点用于根据重新认证报文对终端进行重认证。
综上所述,本实施例提供的终端认证装置,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
在基于图4提供的可选的实施例中,报文发送模块460,用于向认证点发送携带有终端的MAC地址的第一指示。该第一指示用于触发认证点对MAC地址所对应的网络访问端口进行重启,并在网络访问端口重启后根据再次接收到的终端的数据流获取终端的MAC地址,并将终端的MAC地址重新发送给认证服务器进行认证。
在基于图4提供的可选的实施例中,报文发送模块460,用于向认证点发送携带有终端的MAC地址的第二指示。该第二指示用于触发认证点对MAC地址所对应的连接进行切断,并在连接切断后根据再次接收到的终端的数据流获取终端的MAC地址,并将终端的MAC地址重新发送给认证服务器进行认证。
在基于图4提供的可选的实施例中,列表更新模块450,用于:
在安全网关发送的指示携带有终端为可信任终端的标识时,将终端的MAC地址添加入可信任终端的MAC地址列表;
在安全网关发送的指示携带有终端为不可信任终端的标识时,将终端的MAC地址添加入不可信任终端的MAC地址列表。
本实施例提供的终端认证装置,还通过提供两种不同的触发方式,来触发认证点对终端的重新认证,使得本实施例能够适应不同的实施场景,提高本实施例的适用性。
请参考图5,其示出了本发明一个实施例提供的认证点的结构方框图。该认证点500包括:处理器520、存储器540和网络访问端口560。
其中,处理器520、存储器540和网络访问端口560可以通过总线50相连。不同的网络访问端口560可以分别与终端、安全网关或认证服务器相连。存储器540可以是随机存取存储器(英文:random-accessmemory,简称:RAM)、只读存储器(英文:read-onlymemory,简称:ROM)、闪存或其他固态存储器技术。存储器540用于存储一个或者一个以上的指令,该指令用于实现一种终端认证方法。处理器520用于根据上述指令执行如下操作:
处理器520用于通过网络访问端口560接收来自终端的数据流,根据数据流获取终端的介质访问控制MAC地址。
处理器520用于通过网络访问端口560将终端的MAC地址发送给认证服务器。
处理器520用于通过网络访问端口560接收认证服务器的认证结果。
处理器520用于在认证结果表示终端的MAC地址不属于认证服务器中预设的MAC地址列表时,通过网络访问端口560将终端的数据流发送给安全网关。
处理器520用于通过网络访问端口560接收认证服务器发送的携带有终端的MAC地址的重新认证指示,根据该重新认证指示对终端进行重新认证。
综上所述,本实施例提供的认证点,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
在基于图5提供的可选的实施例中,处理器520还用于根据上述指令执行如下操作:
处理器520用于通过网络访问端口560接收认证服务器发送的携带有终端的MAC地址的第一指示,该第一指示用于指示对MAC地址所对应的网络访问端口560进行重启;在网络访问端口重启后,通过网络访问端口560再次接收终端的数据流,根据终端的数据流获取终端的MAC地址;通过网络访问端口560将终端的MAC地址重新发送给认证服务器进行认证。
在基于图5提供的可选的实施例中,处理器520还用于根据上述指令执行如下操作:
处理器520用于通过网络访问端口560接收认证服务器发送的携带有MAC地址的第二指示,第二指示用于指示对该MAC地址所对应的连接进行切断;在该连接切断后,通过网络访问端口560接收终端的MAC地址;通过网络访问端口560将终端的MAC地址重新发送给认证服务器进行认证。
在基于图5提供的可选的实施例中,处理器520还用于根据上述指令执行如下操作:
处理器520用于通过网络访问端口560接收安全网关发送的终端的数据流。该数据流是安全网关检测到数据流为可信任的数据流后发送的;
处理器520用于通过网络访问端口560将数据流转发至目标网络。
请参考图6,其示出了本发明一个实施例提供的认证服务器的结构方框图。该认证服务器600包括:处理器620、存储器640和收发器760,处理器620和存储器640可以通过总线70相连。存储器640可以是RAM、ROM、闪存或其他固态存储器技术。存储器640用于存储一个或者一个以上的指令,该指令用于实现一种终端认证方法。处理器620用于根据上述指令执行如下操作:
处理器620用于通过收发器660接收认证点发送的终端的介质访问控制MAC地址。
处理器620用于根据预设的MAC地址列表对MAC地址进行认证。
处理器620用于在终端的MAC地址不属于MAC地址列表时,向认证点发送用于表示终端的MAC地址不属于MAC地址列表的认证结果。该认证点用于将终端的数据流发送给安全网关,安全网关用于根据终端的数据流检测终端是否为可信任终端。
处理器620用于通过收发器660接收安全网关发送的指示,该指示携带有终端的MAC地址以及该终端是否为可信任终端的标识。
处理器620用于根据安全网关发送的指示更新MAC地址列表。
处理器620用于根据安全网关发送的指示,通过收发器660向认证点发送携带有终端的MAC地址的重新认证指示。
综上所述,本实施例提供的认证服务器,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
在基于图6提供的可选的实施例中,处理器620还用于根据上述指令执行如下操作:
处理器620用于通过收发器660向认证点发送携带有终端的MAC地址的第一指示,该第一指示用于触发认证点对终端的MAC地址所对应的网络访问端口进行重启,并在网络访问端口重启后根据再次接收到的终端的数据流获取终端的MAC地址,并将终端的MAC地址重新发送给认证服务器进行认证。
处理器620用于通过收发器660向认证点发送携带有终端的MAC地址的第二指示。该第二指示用于触发认证点对MAC地址所对应的连接进行切断,并在连接切断后根据再次接收到的终端的数据流获取终端的MAC地址,并将终端的MAC地址重新发送给认证服务器进行认证。
在基于图6提供的可选的实施例中,处理器620还用于根据上述指令执行如下操作:
处理器620用于通过收发器660向认证点发送携带有MAC地址的第二报文,认证点用于根据第二报文对MAC地址所对应的连接进行软切断,并在连接软切断后根据接收到的终端的MAC地址进行重认证。
在基于图6提供的可选的实施例中,处理器620还用于根据上述指令执行如下操作:
在安全网关发送的指示携带有终端为可信任终端的标识时,将终端的MAC地址添加入可信任终端的MAC地址列表;
在安全网关发送的指示携带有终端为不可信任终端的标识时,将终端的MAC地址添加入不可信任终端的MAC地址列表。
图7示出了本发明实施例提供的一种终端认证方法的方法流程图。本实施例以该终端认证方法应用于图1所示的网络架构中来举例说明。该方法包括:
步骤701,认证点接收终端的数据流,并根据终端的数据流获取终端的MAC地址。
步骤702,认证点将终端的MAC地址发送给认证服务器。
步骤703,认证服务器接收认证点发送的终端的MAC地址。
步骤704,认证服务器根据预设的MAC地址列表对该MAC地址进行认证。
步骤705,在终端的MAC地址不属于预设的MAC地址列表时,认证服务器向认证点发送用于表示终端的MAC地址不属于MAC地址列表的认证结果。
步骤706,认证点接收认证服务器的认证结果。
步骤707,在认证结果表示终端的MAC地址不属于MAC地址列表时,认证点将终端的数据流发送给安全网关。
步骤708,安全网关根据终端的数据流检测终端是否为可信任终端。
步骤709,安全网关向认证服务器发送指示。
该指示携带有该终端的MAC地址以及该终端是否为可信任终端的标识。
步骤710,认证服务器接收安全网关发送的指示;
步骤711,认证服务器根据安全网关发送的指示更新MAC地址列表;
步骤712,认证服务器根据安全网关发送的指示向认证点发送携带有该终端的MAC地址的重新认证指示;
步骤713,认证点接收认证服务器发送的携带有终端的MAC地址的重新认证指示,根据重新认证指示对终端进行重新认证。
综上所述,本实施例提供的终端认证方法,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
需要说明的是,上述步骤701、步骤702、步骤706、步骤707和步骤713可以实现成为认证点一侧的终端认证方法;上述步骤703、步骤704、步骤705、步骤710、步骤711和步骤712可以实现成为认证服务器一侧的终端认证方法。
请参考图8,其示出了本发明另一实施例提供的终端认证方法的方法流程图。本实施例以该终端认证方法应用于图1所示的网络架构中来举例说明。该方法包括:
步骤801,认证点接收终端的数据流,根据该数据流获取终端的MAC地址。
终端与认证点建立物理连接后,终端会自动向认证点发送携带有自身的MAC地址的报文。认证点从接收到的报文中提取终端的MAC地址。
步骤802,认证点将终端的MAC地址发送给认证服务器。
步骤803,认证服务器接收认证点发送的终端的MAC地址。
步骤804,认证服务器根据预设的MAC地址列表对该MAC地址进行认证。
认证服务器中预设的MAC地址列表,包括:可信任终端的MAC地址列表。
或,预设的MAC地址列表包括:不可信任终端的MAC地址列表。
或,预设的MAC地址列表包括:可信任终端的MAC地址和不可信任终端的MAC地址列表。
其中,可信任终端的MAC地址列表,也称白名单;不可信任终端的MAC地址列表,也称黑名单。以认证服务器中的MAC地址列表同时包括可信任终端的MAC地址列表和不可信任终端的MAC地址列表为例:
若终端的MAC地址属于可信任终端的MAC地址列表,则认证服务器的认证结果为该终端属于白色用户组(英文:whiteusergroup)。
若终端的MAC地址属于不可信任终端的MAC地址列表,则认证服务器的认证结果为该终端属于黑色用户组(英文:blackusergroup)。
若终端的MAC地址既不属于可信任终端的MAC地址列表又不属于不可信任终端的MAC地址列表,则认证服务器的认证结果为该终端属于灰色用户组(英文:greyusergroup)。灰色用户组是认证服务器根据预设的MAC地址列表无法确定是否为可信任终端的终端所属于的用户组。也即,当一个终端的MAC地址不属于认证服务器中预设的MAC地址列表时,认证服务器暂时无法确定该终端是否为可信任终端,则把该终端归为灰色用户组。
步骤805,认证服务器向认证点发送认证结果。
若终端的MAC地址属于可信任终端的MAC地址列表,则认证服务器向认证点发送用于表示终端属于白色用户组的认证结果。
若终端的MAC地址属于不可信任终端的MAC地址列表,则认证服务器向认证点发送用于表示终端属于黑色用户组的认证结果。
若终端的MAC地址既不属于可信任终端的MAC地址列表又不属于不可信任终端的MAC地址列表,也即终端的MAC地址不属于预设的MAC地址列表时,认证服务器向认证点发送用于表示终端属于灰色用户组的认证结果。换句话说,认证服务器向认证点发送用于表示终端的MAC地址不属于预设的MAC地址列表的认证结果。
步骤806,认证点接收认证服务器的认证结果。
步骤807,在认证结果表示终端属于白色用户组时,认证点准许终端接入目标网络。
在认证结果表示终端属于白色用户组时,认证点将终端所使用的网络访问端口(英文:networkaccessport)设置为处于已认证状态的受控端口,从而准许终端接入目标网络。在认证点是交换机、终端是网络摄像头时,该网络访问端口可以是交换机上与网络摄像头相连的物理端口。
步骤808,在认证结果表示终端属于黑色用户组时,认证点拒绝终端接入目标网络。
在认证结果表示终端属于黑色用户组时,认证点将终端所使用的网络访问端口设置为处于未认证状态的受控端口,从而拒绝终端接入目标网络。
步骤809,在认证结果表示终端属于灰色用户组时,认证点将终端的数据流发送给安全网关。
在认证结果表示终端属于灰色用户组,或者说终端的MAC地址不属于预设的MAC地址列表不属于预设的MAC地址列表时,由于终端是否可信的状态处于未知,认证点将该终端的数据流发送给安全网关。
在认证点和安全网关之间建立有隧道时,认证点接收该终端的数据流中的指令、数据包或报文,然后将该指令、数据包或报文通过隧道重定向发送给安全网关。
该隧道可以是通用路由封装(英文:GenericRoutingEncapsulation,简称:GRE)隧道。
作为一种可能的实施方式,认证点中设置有三个MAC地址列表:白色用户组的MAC地址列表、黑色用户组的MAC地址列表、灰色用户组的MAC地址列表。其中,认证点将每个终端的MAC地址按照认证结果添加入上述三个列表中的一个。对于属于白色用户组的终端的数据流,认证点根据数据流的目的地址转发至目标网络中;对于属于黑色用户组的终端的数据流,认证点可以丢弃该数据流,或者将该数据流发送给病毒服务器进行分析;对于属于灰色用户组的终端的数据流,认证点重定向发送至安全网关。
步骤810,安全网关根据终端的数据流检测终端是否可信。
安全网关中预先设置有数据流行为规则集。该数据流行为规则集包括:
可信任数据流的行为规则,或,
不可信任数据流的行为规则,或,
可信任数据流的行为规则和不可信任数据流的行为规则。
行为规则可以使用一组五元组信息来表征,一组五元组信息包括有源IP、源端口、目的端口和协议中的至少一种信息。
比如,一条可信任数据流的行为规则包括:源端口为5800,目的端口为7080,协议是协议A。如果数据流符合该行为规则,则认为该数据流是可信任数据流。
行为规则还可以使用其他形式来表征,比如当终端发出的指令是符合扫描或嗅探的指令时,认为该终端的数据流是不可信任数据流。
终端的数据流是指预定时长内的数据流,或者包括n个指令、数据包或报文的同一数据流,或者包括n个指令、数据包或报文的不同数据流。比如,安全网关检测一个终端在10分钟之内的数据流,然后生成检测结果;又比如,安全网关连续检测终端的数据流中的100个报文,然后生成检测结果。
需要说明的是,安全网关生成检测结果时的策略可以有多种实施方式,比如:
1、当终端在预设时间段内的数据流全部与可信任数据流的行为规则匹配时,安全网关确定该终端为可信任终端。
2、当终端的数据流中的连续n个指令、数据包或报文全部与可信任数据流的行为规则匹配时,安全网关确定该终端为可信任终端,n为正整数。
3、当终端在预设时间段内的数据流中的指令、数据包或报文与可信任数据流的行为规则匹配的比例高于第一比例,且数据流中的指令、数据包或报文均与不可信任数据流的行为规则不匹配时,安全网关确定该终端为可信任终端。
4、当终端的数据流中的连续n个指令、数据包或报文与可信任数据流的行为规则匹配的比例高于第二比例,且数据流中的连续n个指令、数据包或报文均与不可信任数据流的行为规则不匹配时,安全网关确定该终端为可信任终端,n为正整数。
5、当终端的数据流中的任一指令、数据包或报文与不可信任数据流的行为规则匹配时,安全网关确定该终端为不可信任终端。
6、当终端在预设时间段内的数据流中的指令、数据包或报文与不可信任数据流的行为规则匹配的比例高于第三比例时,安全网关确定该终端为不可信任终端。
7、当终端的数据流中的连续n个指令、数据包或报文与不可信任数据流的行为规则匹配的比例高于第四比例时,安全网关确定该终端为不可信任终端,n为正整数。
8、当终端在预设时间段内的数据流中的指令、数据包或报文与可信任数据流的行为规则和不可信任数据流的行为规则均不匹配的比例高于第五比例时,安全网关确定该终端为不可信任终端。
9、当终端的数据流中的连续n个指令、数据包或报文与可信任数据流的行为规则和不可信任数据流的行为规则均不匹配的比例高于第六比例时,安全网关确定该终端为不可信任终端,n为正整数。
其中,第一比例、第二比例、第三比例、第四比例、第五比例、第六比例可以在安全网关内部预先设置。
步骤811,安全网关向认证服务器发送指示,该指示携带有终端的MAC地址以及该终端是否为可信任终端的标识。
安全网关根据检测结果向认证服务器发送指示。该指示携带有终端的MAC地址和是否为可信任终端的标识。
步骤812,认证服务器接收安全网关发送的指示。
步骤813,认证服务器根据安全网关发送的指示更新MAC地址列表。
在安全网关发送的指示携带有终端为可信任终端的标识时,认证服务器将终端的MAC地址添加入可信任终端的MAC地址列表。
在安全网关发送的指示携带有终端为不可信任终端的标识时,认证服务器将终端的MAC地址添加入不可信任终端的MAC地址列表。
步骤814,认证服务器根据安全网关发送的指示向认证点发送携带有该终端的MAC地址的重新认证指示。
本步骤可以采用如下两种方式中的任意一种实现:
第一,认证服务器向认证点发送携带有该终端的MAC地址的第一指示,该第一指示用于指示认证点对该MAC地址所对应的网络访问端口进行重启。
第二,认证服务器向认证点发送携带有该终端的MAC地址的第二指示,该第二指示用于指示认证点对该MAC地址所对应的连接进行切断。
步骤815,认证点接收认证服务器发送的携带有终端的MAC地址的重新认证指示,根据重新认证指示对终端进行认证。
作为一种可能的实现方式,认证点接收认证服务器发送的携带有终端的MAC地址的第一指示,该第一指示用于指示对该MAC地址所对应的网络访问端口进行重启。认证点对该网络访问端口进行重启。在该网络访问端口重启后,终端会再次自动发送携带有MAC地址的数据流给认证点,认证点接收该终端的数据流,根据该终端的数据流获取终端的MAC地址,并将终端的MAC地址重新发送给认证服务器进行认证。
作为另一种可能的实现方式,认证点接收认证服务器发送的携带有终端的MAC地址的第二指示,该第二指示用于指示对MAC地址所对应的连接进行切断。认证点对该连接进行切断。在该连接切断以后,终端会再次自动发送携带有MAC地址的数据流给认证点,认证点接收该终端的数据流获取终端的MAC地址,并将终端的MAC地址重新发送给认证服务器进行认证。
然后,认证服务器根据更新后的MAC地址列表对该终端的MAC地址进行认证,具体细节可以参考步骤801至步骤806的描述。
综上所述,本实施例提供的终端认证方法,通过在终端的MAC地址不属于预设的MAC地址列表时,认证点将终端的数据流发送给安全网关,由安全网关检测该终端是否为可信任终端后,指示认证服务器更新MAC地址列表,并在更新MAC地址列表后向认证点发送重新认证指示,使得认证点重新对终端进行认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入监控网络,无需将终端的MAC地址手动加入认证服务器中,减少了工作量,加强了可操作性的效果。
本实施例提供的终端认证方法,还通过提供两种不同的触发方式,来触发认证点对终端的重新认证,使得本实施例能够适应不同的实施场景,提高本实施例的适用性。
需要说明的是,上述步骤801、步骤802、步骤806、步骤807、步骤808、步骤809和步骤815可以实现成为认证点一侧的终端认证方法;上述步骤803、步骤804、步骤805、步骤812、步骤813和步骤814可以实现成为认证服务器一侧的终端认证方法。
需要补充说明的是,步骤810之后,还可以包括如下步骤:
步骤一,安全网关在检测到终端的数据流符合可信任数据流的行为规则时,将该数据流发送给认证点;
安全网关可以将符合可信任数据流的行为规则的数据流通过隧道再发送给认证点。
步骤二,认证点接收安全网关发送的终端的数据流。
该数据流是安全网关检测到该数据流为可信任数据流后发送的。
步骤三,认证点将数据流转发至目标网络。
步骤四,安全网关在检测到终端的数据流符合不可信任数据流的行为规则时,可以丢弃该数据流或者将该数据流发送给病毒服务器进行分析。
综上所述,本实施例提供的终端认证方法,还通过接收安全网关在终端的数据流可信时所发送的数据流,将该数据流转发至目标网络中,使得即便终端的MAC地址不属于MAC地址列表,但只要该终端的数据流是可信任数据流,依然准许接入目标网络,达到了安全网关在检测终端是否为可信任终端的过程中,终端能够正常接入目标网络的效果。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令处理器完成,所述的程序可以存储于计算机可读存储介质中,所述存储介质是非短暂性(英文:non-transitory)介质,可以是随机存取存储器,只读存储器,快闪存储器,硬盘,固态硬盘,磁带(英文:magnetictape),软盘(英文:floppydisk),光盘(英文:opticaldisc)及其任意组合。
Claims (10)
1.一种终端认证装置,其特征在于,所述装置包括:
地址接收模块,用于接收来自终端的数据流,根据所述终端的数据流获取所述终端的介质访问控制MAC地址;
地址发送模块,用于将所述终端的MAC地址发送给认证服务器;
结果接收模块,用于接收所述认证服务器的认证结果;
数据流发送模块,用于在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;
重新认证模块,用于接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。
2.根据权利要求1所述的装置,其特征在于,所述重新认证模块,用于:
接收所述认证服务器发送的携带有所述终端的MAC地址的第一指示,所述第一指示用于指示对所述终端的MAC地址所对应的网络访问端口进行重启;
在所述网络访问端口重启后,再次接收来自所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
3.根据权利要求1所述的装置,其特征在于,所述重新认证模块,用于:
接收所述认证服务器发送的携带有所述终端的MAC地址的第二指示,所述第二指示用于指示对所述MAC地址所对应的连接进行切断;
在所述连接切断后,再次接收来自所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
4.一种终端认证装置,其特征在于,所述装置包括:
认证接收模块,用于接收认证点发送的终端的介质访问控制MAC地址;
地址认证模块,用于根据预设的MAC地址列表对所述MAC地址进行认证;
结果发送模块,用于在所述MAC地址不属于所述预设的MAC地址列表时,向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的认证结果;
指示接收模块,用于接收安全网关发送的指示,所述指示携带有所述终端的MAC地址以及所述终端是否为可信任终端的标识;
列表更新模块,用于根据所述安全网关发送的指示更新所述MAC地址列表;
报文发送模块,用于根据所述安全网关发送的指示向所述认证点发送携带有所述终端的MAC地址的重新认证指示。
5.根据权利要求4所述的装置,其特征在于,所述列表更新模块,用于:
在所述指示携带有所述终端为可信任终端的标识时,将所述终端的MAC地址添加入可信任终端对应的MAC地址列表;
在所述指示携带有所述终端为不可信任终端的标识时,将所述终端的MAC地址添加入不可信任终端的MAC地址列表。
6.一种终端认证方法,其特征在于,所述方法包括:
接收来自终端的数据流,根据所述数据流获取所述终端的介质访问控制MAC地址;
将所述终端的MAC地址发送给认证服务器;
接收所述认证服务器的认证结果;
在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;
接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。
7.根据权利要求6所述的方法,其特征在于,所述接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证,包括:
接收所述认证服务器发送的携带有所述终端的MAC地址的第一指示,所述第一指示用于指示对所述MAC地址所对应的网络访问端口进行重启;
在所述网络访问端口重启后,再次接收所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
8.根据权利要求6所述的方法,其特征在于,所述接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,与所述认证服务器重新对所述终端进行认证,包括:
接收所述认证服务器发送的携带有所述终端的MAC地址的第二指示,所述第二指示用于指示对所述MAC地址所对应的连接进行切断;
在所述连接切断后,再次接收所述终端的数据流,根据所述数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
9.一种终端认证方法,其特征在于,所述方法包括:
接收认证点发送的终端的介质访问控制MAC地址;
根据预设的MAC地址列表对所述MAC地址进行认证;
在所述MAC地址不属于所述MAC地址列表时,向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的认证结果;
接收所述安全网关发送的指示,所述指示携带有所述终端的MAC地址以及所述终端是否为可信任终端的标识;
根据所述安全网关发送的指示更新所述MAC地址列表;
根据所述安全网关发送的指示向所述认证点发送携带有所述终端的MAC地址的重新认证指示。
10.根据权利要求9所述的方法,其特征在于,所述根据所述安全网关发送的指示更新所述MAC地址列表,包括:
在所述指示携带有所述终端为可信任终端的标识时,将所述终端的MAC地址添加入可信任终端的MAC地址列表;
在所述指示携带有所述终端为不可信任终端的标识时,将所述终端的MAC地址添加入不可信任终端的MAC地址列表。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410652814.3A CN105635084B (zh) | 2014-11-17 | 2014-11-17 | 终端认证装置及方法 |
| EP15191827.3A EP3021549B1 (en) | 2014-11-17 | 2015-10-28 | Terminal authentication apparatus and method |
| US14/939,450 US20160142393A1 (en) | 2014-11-17 | 2015-11-12 | Terminal Authentication Apparatus and Method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410652814.3A CN105635084B (zh) | 2014-11-17 | 2014-11-17 | 终端认证装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105635084A true CN105635084A (zh) | 2016-06-01 |
| CN105635084B CN105635084B (zh) | 2018-12-14 |
Family
ID=54608259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410652814.3A Active CN105635084B (zh) | 2014-11-17 | 2014-11-17 | 终端认证装置及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20160142393A1 (zh) |
| EP (1) | EP3021549B1 (zh) |
| CN (1) | CN105635084B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889552A (zh) * | 2019-04-18 | 2019-06-14 | 南瑞集团有限公司 | 电力营销终端异常流量监控方法、***及电力营销*** |
| WO2021027777A1 (zh) * | 2019-08-14 | 2021-02-18 | 深圳前海微众银行股份有限公司 | 终端可信性识别方法、装置、设备与计算机可读存储介质 |
| WO2022037326A1 (zh) * | 2020-08-20 | 2022-02-24 | 华为技术有限公司 | 一种接入管理方法、认证点和认证服务器 |
| CN115913614A (zh) * | 2022-09-19 | 2023-04-04 | 上海辰锐信息科技有限公司 | 一种网络准入装置及方法 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10201505791PA (en) * | 2015-07-24 | 2017-02-27 | Mastercard International Inc | Method for securing an electronic transaction request from a computing device for fraud detection |
| US10382436B2 (en) * | 2016-11-22 | 2019-08-13 | Daniel Chien | Network security based on device identifiers and network addresses |
| CN106777915B (zh) * | 2016-11-29 | 2021-01-05 | 清华大学 | 基于植入式医疗***的数据处理方法及装置 |
| US11188622B2 (en) | 2018-09-28 | 2021-11-30 | Daniel Chien | Systems and methods for computer security |
| US10826912B2 (en) | 2018-12-14 | 2020-11-03 | Daniel Chien | Timestamp-based authentication |
| US10848489B2 (en) | 2018-12-14 | 2020-11-24 | Daniel Chien | Timestamp-based authentication with redirection |
| US10955830B2 (en) * | 2019-02-08 | 2021-03-23 | Nebbiolo Technologies, Inc. | Systems and methods for designing and securing edge data processing pipelines |
| US11582230B2 (en) * | 2019-05-03 | 2023-02-14 | Zte Corporation | Dynamic MAC address change mechanism for wireless communications |
| US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
| US11438145B2 (en) | 2020-05-31 | 2022-09-06 | Daniel Chien | Shared key generation based on dual clocks |
| US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
| CN113315824B (zh) * | 2021-05-26 | 2023-04-18 | 武汉悦学帮网络技术有限公司 | 一种应用的灰度发布方法、装置及应用的灰度发布*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1728637A (zh) * | 2005-07-15 | 2006-02-01 | 陈相宁 | 入网终端物理唯一性识别方法和终端接入认证*** |
| US20060114872A1 (en) * | 2004-12-01 | 2006-06-01 | Canon Kabushiki Kaisha | Wireless control apparatus, system, control method, and program |
| CN102271133A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和*** |
| EP2770689A1 (en) * | 2013-02-20 | 2014-08-27 | ALAXALA Networks Corporation | Authentication method, transfer apparatus, and authentication server |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4909875B2 (ja) * | 2007-11-27 | 2012-04-04 | アラクサラネットワークス株式会社 | パケット中継装置 |
| CN103813330A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种通信终端、***以及权限管理方法 |
-
2014
- 2014-11-17 CN CN201410652814.3A patent/CN105635084B/zh active Active
-
2015
- 2015-10-28 EP EP15191827.3A patent/EP3021549B1/en active Active
- 2015-11-12 US US14/939,450 patent/US20160142393A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060114872A1 (en) * | 2004-12-01 | 2006-06-01 | Canon Kabushiki Kaisha | Wireless control apparatus, system, control method, and program |
| CN1728637A (zh) * | 2005-07-15 | 2006-02-01 | 陈相宁 | 入网终端物理唯一性识别方法和终端接入认证*** |
| CN102271133A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和*** |
| EP2770689A1 (en) * | 2013-02-20 | 2014-08-27 | ALAXALA Networks Corporation | Authentication method, transfer apparatus, and authentication server |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889552A (zh) * | 2019-04-18 | 2019-06-14 | 南瑞集团有限公司 | 电力营销终端异常流量监控方法、***及电力营销*** |
| WO2021027777A1 (zh) * | 2019-08-14 | 2021-02-18 | 深圳前海微众银行股份有限公司 | 终端可信性识别方法、装置、设备与计算机可读存储介质 |
| WO2022037326A1 (zh) * | 2020-08-20 | 2022-02-24 | 华为技术有限公司 | 一种接入管理方法、认证点和认证服务器 |
| CN115913614A (zh) * | 2022-09-19 | 2023-04-04 | 上海辰锐信息科技有限公司 | 一种网络准入装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160142393A1 (en) | 2016-05-19 |
| CN105635084B (zh) | 2018-12-14 |
| EP3021549B1 (en) | 2018-02-28 |
| EP3021549A1 (en) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105635084A (zh) | 终端认证装置及方法 | |
| CN110199509B (zh) | 使用多路径验证的未授权接入点检测 | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US20120198519A1 (en) | Restricting Network Access While Connected to an Untrusted Network | |
| CN113206814B (zh) | 一种网络事件处理方法、装置及可读存储介质 | |
| US9253160B2 (en) | Methods, systems, and media for secure connection management and automatic compression over metered data connections | |
| WO2020205318A1 (en) | Data store for communication authentication | |
| US10798125B2 (en) | System and method for network entity assisted honeypot access point detection | |
| CN111194035B (zh) | 一种网络连接方法、装置和存储介质 | |
| CN107682887A (zh) | 一种路由器控制、防蹭网的方法及*** | |
| CN113271299B (zh) | 一种登录方法和服务器 | |
| US20080126455A1 (en) | Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs | |
| CN111901208A (zh) | 智能设备控制方法、装置、智能控制面板及存储介质 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| CN109428870A (zh) | 基于物联网的网络攻击处理方法、装置及*** | |
| CN109361695B (zh) | 对网络接入的授权方法、装置、计算机设备和存储介质 | |
| CN107566418B (zh) | 一种安全管理的方法及接入设备 | |
| WO2016165674A1 (zh) | 一种终端可信环境运行方法及装置 | |
| CN103685134A (zh) | Wlan网络资源访问控制方法及装置 | |
| CN105915565B (zh) | 一种认证方法、装置和*** | |
| US9350759B1 (en) | Network security appliance to imitate a wireless access point of a local area network through coordination of multiple radios | |
| JP6126062B2 (ja) | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 | |
| US11937085B2 (en) | Methods, systems, and media for creating temporary virtual access points using WiFi routers when portals cannot be presented | |
| KR101418364B1 (ko) | 데이터 서비스 방법 및 단말 | |
| US11153340B1 (en) | Elimination of listen ports on a publically accessible computer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |