CN107888383B - 登录认证方法及装置 - Google Patents

登录认证方法及装置 Download PDF

Info

Publication number
CN107888383B
CN107888383B CN201711204123.7A CN201711204123A CN107888383B CN 107888383 B CN107888383 B CN 107888383B CN 201711204123 A CN201711204123 A CN 201711204123A CN 107888383 B CN107888383 B CN 107888383B
Authority
CN
China
Prior art keywords
equipment
information
user name
password
logical operation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711204123.7A
Other languages
English (en)
Other versions
CN107888383A (zh
Inventor
陈瑶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201711204123.7A priority Critical patent/CN107888383B/zh
Publication of CN107888383A publication Critical patent/CN107888383A/zh
Application granted granted Critical
Publication of CN107888383B publication Critical patent/CN107888383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本公开涉及一种登录认证方法及装置。该方法包括:接收来自于TM设备的第一报文,第一报文携带TM设备的信息;对TM设备的信息和/或TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据逻辑运算结果,生成TC设备对应的用户名和密码;在接收到来自于TM设备的会话请求的情况下,根据会话请求携带的用于登录TC设备的用户名和密码以及生成的TC设备对应的用户名和密码对会话请求进行登录认证。本公开的登录认证方法及装置,各个TC设备对应的用户名和密码动态产生,无需TC设备的管理员自己静态配置。此外,各个TC设备对应的用户名和密码基本上不会出现彼此一致的情形,整体上极大地提高SmartMC网络的安全性。

Description

登录认证方法及装置
技术领域
本公开涉及安全技术领域,尤其涉及一种登录认证方法及装置。
背景技术
相关技术中,SmartMC(Smart Management Center,智能网络中心)可以用于解决大量分散网络设备的集中管理问题。在SmartMC网络中,可以包括一个TM(TopologyMaster,拓扑管理者)设备和多个TC(Topology Client,拓扑被管理者)设备。目前,实现TM设备将TC设备加入到自己的管理域有两种方式:自动添加TC设备或手动添加TC设备。
自动添加TC设备的过程如下:TM设备和TC设备进行基础配置。在网络设备连接好之后,TM设备和TC设备分别打开SmartMC服务。TM设备与TC设备间建立NETCONF(NetworkConfiguration Protocol,网络配置协议)会话。在NETCONF会话建立成功之后,TM设备通过NETCONF会话获取TC设备的信息,例如TC设备的端口信息、LLDP(Link Layer DiscoveryProtocol,链路层发现协议)邻居信息、STP(Spanning Tree Protocol,生成树协议)信息、设备类型、软件版本等。TM设备与TC设备建立TCP(Transmission Control Protocol,传输控制协议)连接,并将TC设备加入到SmartMC网络。TM设备通过NETCONF会话获取到的各个TC设备的LLDP邻居信息形成SmartMC网络拓扑。
手动添加TC设备的过程如下:通过手动建立SmartMC网络时,TM设备与TC设备不进行SmartMC报文交互。用户登录TM设备的网络页面,在SmartMC管理页面中输入TC设备的IP(Internet Protocol,网络协议)地址、用户名和密码,手动将TC设备加入到SmartMC网络。TC设备加入到SmartMC网络之后,TM设备获取TC设备的信息以形成SmartMC网络拓扑:通过建立NETCONF会话获取各个TC设备的LLDP邻居信息,以及通过SNMP(Simple NetworkManagement Protocol,简单网络管理协议)获取请求获取各个TC设备的软硬件信息。
发明内容
有鉴于此,本公开提出了一种登录认证方法及装置,以解决相关技术中使用统一的用户名和密码对整个SmartMC网络存在极大的安全隐患的问题。
根据本公开的一方面,提供了一种登录认证方法,用于TC设备,包括:
接收来自于TM设备的第一报文,所述第一报文携带TM设备的信息;
对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码;
在接收到来自于所述TM设备的会话请求的情况下,根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
根据本公开的另一方面,提供了一种登录认证方法,用于TM设备,包括:
向TC设备发送第一报文,并接收所述TC设备根据所述第一报文返回的第二报文,所述第二报文携带所述TC设备的信息;
对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求;
向所述TC设备发送所述会话请求,以使得所述TC设备根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
根据本公开的另一方面,提供了一种登录认证装置,用于TC设备,包括:
第一接收模块,用于接收来自于TM设备的第一报文,所述第一报文携带TM设备的信息;
第一生成模块,用于对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码;
登录认证模块,用于在接收到来自于所述TM设备的会话请求的情况下,根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
根据本公开的另一方面,提供了一种登录认证装置,用于TM设备,包括:
第二发送模块,用于向TC设备发送第一报文,并接收所述TC设备根据所述第一报文返回的第二报文,所述第二报文携带所述TC设备的信息;
第二生成模块,用于对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求;
第二发送模块,用于向所述TC设备发送所述会话请求,以使得所述TC设备根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
本公开的登录认证方法及装置,各个TC设备对应的用户名和密码动态产生,无需TC设备的管理员自己静态配置。此外,TM设备能够生成用于登录各个TC设备的用户名和密码,并且能够明确用户名和密码与哪个TC设备对应,不存在对应错乱现象。各个TC设备对应的用户名和密码基本上不会出现彼此一致的情形,即使部分TC设备的管理员账号被截获,其他TC设备的安全性则不受影响,整体上极大地提高SmartMC网络的安全性。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出相关技术中TM设备和TC设备建立会话的流程图。
图2示出根据本公开一实施例的登录认证方法的流程图。
图3示出根据本公开一实施例的登录认证方法的流程图。
图4示出根据本公开一实施例的TM设备和TC设备建立会话的流程图。
图5示出根据本公开一实施例的登录认证装置的框图。
图6示出根据本公开一实施例的登录认证装置的一示意性的框图。
图7示出根据本公开一实施例的登录认证装置的框图。
图8是根据一示例性实施例示出的一种用于登录认证装置900的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出相关技术中TM设备和TC设备建立会话的流程图。如图1所示,TM设备在网络中发送Type值为3的广播报文,携带TM设备的网桥MAC(Media Access Control,媒体介入控制层)地址、VLAN(Virtual Local Area Network,虚拟局域网)虚接口的IP地址等信息。TC设备接收到来自于TM设备的报文之后,记录TM设备的桥MAC地址、VLAN虚接口的IP地址等信息,然后应答Type值为4的单播报文,携带TC设备的桥MAC地址,VLAN虚接口的IP地址等信息。TM设备接收到来自于TC设备的报文之后,获取TC设备的桥MAC地址、VLAN虚接口的IP地址等信息,并向TC设备发送NETCONF会话请求,携带建立NETCONF会话所需要的用户名和密码。
相关技术中,TM设备发送的NETCONF会话请求携带的用于登录TC设备的用户名和密码静态保存在TC设备内部,所有的TC设备均需要使用这个用户名和密码对TM设备的请求进行登录认证。换言之,TM设备与TC设备建立NETCONF会话使用统一的用户名和密码。其中,用户名和密码可以在TC设备出厂前定制,也可以由用户手工创建。所有的TC设备采用统一的用户名和密码进行登录认证,如果认证报文被截获,所有的TC设备的管理员权限的用户名和密码都将被窃取。因此,使用统一的用户名和密码对整个SmartMC网络的来说存在着极大的安全隐患。此外,设备具有NETCONF会话数连接限制,若用户名和密码被窃取之后,如果有用户恶意攻击,把所有的TC设备的所有会话均占满,TM设备将受到会话连接数限制而不能再登录成功,从而不能将TC设备加入管理域,无法对TC设备进行管理。
目前,TM设备把TC设备加入管理域之后,可以修改密码。虽然密码可以修改,但是用户名不能修改或重建。在密码修改完成之后,所有的TC设备使用用户名和修改后的密码进行登录认证,由此所有的TC设备仍使用统一的用户名和密码,对整个SmartMC网络的来说依旧存在着极大的安全隐患。
针对上述相关技术中所存在的技术问题,图2示出根据本公开一实施例的登录认证方法的流程图。该方法用于TC设备中。如图2所示,该方法包括步骤S21至步骤S23。
在步骤S21中,接收来自于TM设备的第一报文,第一报文携带TM设备的信息。
在步骤S22中,对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成该TC设备对应的用户名和密码。
在步骤S23中,在接收到来自于TM设备的会话请求的情况下,根据该会话请求携带的用于登录该TC设备的用户名和密码以及生成的该TC设备对应的用户名和密码对该会话请求进行登录认证。
其中,TM设备的信息可以包括TM设备的桥MAC地址和IP地址等信息,TC设备的信息可以包括TC设备的桥MAC地址和IP地址等信息,本公开对此不作限制。TM设备能够向TC设备发送会话请求,在该会话请求携带的用于登录该TC设备的用户名和密码与生成的该TC设备对应的用户名和密码匹配的情况下,TM设备能够登录TC设备,从而实现TM设备将该TC设备加入到自己的管理域,进而实现TM设备对该TC设备的管理。
在一种实现方式中,在TM设备和TC设备之间进行协议报文交互的过程中,将TM设备和TC设备之间的具有唯一标识性的信息作为用户名和密码的动态生成因子。由此保证各个TC设备可以生成不同的用户名和密码,能够提高SmartMC网络的安全性。其中,TM设备和TC设备之间进行协议报文交互的过程可以指TM设备广播报文发现TC设备,TC设备单播报文应答TM设备的过程。
本公开的登录认证方法,可以根据TM设备的信息、或该TC设备的信息、或TM设备的信息和该TC设备的信息,生成该TC设备对应的用户名和密码。由于在SmartMC网络中,可以包括一个TM设备和多个TC设备。因而优先级从高到低可以如下所述:TM设备的信息和该TC设备的信息、或该TC设备的信息、或TM设备的信息,由此能够保证各个TC设备对应的用户名和密码基本上不会出现彼此一致的情形,即使部分TC设备的管理员账号被截获,其他TC设备的安全性则不受影响,整体上极大地提高SmartMC网络的安全性。
在一种实现方式中,在接收到来自于TM设备的会话请求之前,该方法还包括:向TM设备发送第二报文,第二报文携带该TC设备的信息,以使得TM设备对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成携带用于登录该TC设备的用户名和密码的会话请求。
在一种实现方式中,对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成该TC设备对应的用户名和密码。该逻辑运算包括对数字化后的设备信息的数字位移运算(例如循环位移运算),例如包括:调整TM设备的信息和/或该TC设备的信息循环移动预设位数,生成该TC设备对应的用户名和密码;其中,TM设备的信息包括TM设备的桥MAC地址和IP地址,该TC设备的信息包括该TC设备的桥MAC地址和IP地址。
作为一个示例,在TM设备和TC设备之间进行协议报文交互的过程中,可以在协议报文中携带用于生成用户名和密码的整数类型的Key值,定义为左/右循环移位因子。由此TC设备能够根据协议报文中携带的Key值和循环位移方向,调整TM设备的信息和/或该TC设备的信息循环移动预设位数,生成该TC设备对应的用户名和密码。
例如,可以将TC设备的桥MAC地址按照左/右循环移动方向移动Key值次,并将得到的结果作为用户名;可以将TC设备的VLAN虚接口的IP地址按照左/右循环移动方向移动Key值次,并将得到的结果作为密码。
再例如,可以将TC设备的VLAN虚接口的IP地址按照左/右循环移动方向移动Key值次,并将得到的结果作为用户名;可以将TC设备的桥MAC地址按照左/右循环移动方向移动Key值次,并将得到的结果作为密码。
再例如,可以将TC设备的桥MAC地址按照左循环移动方向移动Key值次,并将得到的结果作为用户名;可以将TC设备的桥MAC地址按照右循环移动方向移动Key值次,并将得到的结果作为密码。
其中,Key值可以随机生成或预先设置,本公开对此不作限制。例如,Key的确定方式可以设置为:在TM设备和TC设备打开SmartMC服务的情况下,Key值可以在SmartMC进程启动时随机产生。由此,如果SmartMC网络遭受到攻击,则TM设备和TC设备可以分别重新打开SmartMC服务,Key值可以在SmartMC进程重启时进行更新,各个TC设备对应的用户名和密码在很大概率上将会动态变化,将在很大程度上保护SmartMC网络的安全。
需要说明的是,尽管以Key值、TC设备的桥MAC地址和VLAN虚接口的IP地址作为示例介绍了生成用户名和密码的方式如上,但本领域技术人员能够理解,本公开应不限于此。本领域技术人员可以根据实际应用场景灵活设置生成用户名和密码的方式。
在一种实现方式中,对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成该TC设备对应的用户名和密码。该逻辑运算包括对数字化后的设备信息进行叠加组合运算,例如包括:对TM设备的信息和/或该TC设备的信息进行组合,生成该TC设备对应的用户名和密码;其中,TM设备的信息包括TM设备的桥MAC地址和IP地址,该TC设备的信息包括该TC设备的桥MAC地址和IP地址。
作为一个示例,在TM设备和TC设备之间进行协议报文交互的过程中,可以在协议报文中携带用于生成用户名和密码的组合方式。由此TC设备能够根据协议报文中携带的组合方式,对TM设备的信息和/或该TC设备的信息进行组合,生成该TC设备对应的用户名和密码。
其中,可以将TM设备的桥MAC地址和VLAN虚接口的IP地址,以及TC设备的桥MAC地址和VLAN虚接口的IP地址进行各种类型的组合,以生成用户名和密码。例如,可以将MACTM+MACTC组合作为用户名,将IPTM+IPTC组合作为密码。再例如,可以将MACTM+IPTC组合作为用户名,将MACTC+IPTM组合作为密码。其中,MACTM指TM设备的桥MAC地址,MACTC指TC设备的桥MAC地址,IPTM指TM设备的VLAN虚接口的IP地址,IPTC指TC设备的VLAN虚接口的IP地址。
其中,组合方式可以随机生成或预先设置,本公开对此不作限制。例如,组合方式的确定方式可以设置为:在TM设备和TC设备打开SmartMC服务的情况下,组合方式可以在SmartMC进程启动时随机产生。由此,如果SmartMC网络遭受到攻击,则TM设备和TC设备可以分别重新打开SmartMC服务,组合方式可以在SmartMC进程重启时进行更新,各个TC设备对应的用户名和密码在很大概率上将会动态变化,将在很大程度上保护SmartMC网络的安全。
需要说明的是,尽管以MACTM+MACTC作为用户名,IPTM+IPTC作为密码作为示例介绍了生成用户名和密码的方式如上,但本领域技术人员能够理解,本公开应不限于此。本领域技术人员可以根据实际应用场景灵活设置生成用户名和密码的方式。
在一种实现方式中,根据该会话请求携带的用于登录该TC设备的用户名和密码以及生成的该TC设备对应的用户名和密码对该会话请求进行登录认证,包括:在该会话请求携带的用于登录该TC设备的用户名和密码与生成的该TC设备对应的用户名和密码匹配的情况下,生成用于表示登录认证成功的认证结果;或在该会话请求携带的用于登录该TC设备的用户名和密码与生成的该TC设备对应的用户名和密码不匹配的情况下,生成用于表示登录认证失败的认证结果。
在一种实现方式中,TC设备向TM设备发送用于表示登录认证成功的认证结果,在TM设备接收到来自于TC设备的用于表示登录认证成功的认证结果的情况下,TM设备将该TC设备加入到自己的管理域,进而实现TM设备对该TC设备的管理。
在一种实现方式中,TC设备向TM设备发送用于表示登录认证失败的认证结果,在TM设备接收到来自于TC设备的用于表示登录认证失败的认证结果的情况下,TM设备不将该TC设备加入到自己的管理域,无法实现TM设备对该TC设备的管理。
本公开的登录认证方法,各个TC设备对应的用户名和密码动态产生,无需TC设备的管理员自己静态配置。此外,TM设备能够生成用于登录各个TC设备的用户名和密码,并且能够明确用户名和密码与哪个TC设备对应,不存在对应错乱现象。各个TC设备对应的用户名和密码基本上不会出现彼此一致的情形,即使部分TC设备的管理员账号被截获,其他TC设备的安全性则不受影响,整体上极大地提高SmartMC网络的安全性。
图3示出根据本公开一实施例的登录认证方法的流程图。该方法用于TM设备中。如图3所示,该方法包括步骤S31至步骤S33。
在步骤S31中,向TC设备发送第一报文,并接收该TC设备根据第一报文返回的第二报文,第二报文携带该TC设备的信息。
在步骤S32中,对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成携带用于登录该TC设备的用户名和密码的会话请求。
在步骤S33中,向该TC设备发送该会话请求,以使得该TC设备根据该会话请求携带的用于登录该TC设备的用户名和密码以及生成的该TC设备对应的用户名和密码对该会话请求进行登录认证。
在一种实现方式中,对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成携带用于登录该TC设备的用户名和密码的会话请求,包括:调整TM设备的信息和/或该TC设备的信息循环移动预设位数,生成用于登录该TC设备的用户名和密码,并生成携带用于登录该TC设备的用户名和密码的会话请求;其中,TM设备的信息包括TM设备的桥MAC地址和IP地址,该TC设备的信息包括该TC设备的桥MAC地址和IP地址。
在一种实现方式中,对TM设备的信息和/或该TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据该逻辑运算结果,生成携带用于登录该TC设备的用户名和密码的会话请求,包括:对TM设备的信息和/或该TC设备的信息进行组合,生成用于登录该TC设备的用户名和密码,并生成携带用于登录该TC设备的用户名和密码的会话请求;其中,TM设备的信息包括TM设备的桥MAC地址和IP地址,该TC设备的信息包括该TC设备的桥MAC地址和IP地址。
图4示出根据本公开一实施例的TM设备和TC设备建立会话的流程图。如图4所示,TM设备在SmartMC服务进程启动时,随机产生一个整数类型的Key值(记为Key1),定义为左循环移位因子,取值范围可以为0-255(以Key1等于10为例)。TM设备在网络中发送Type值为3的广播报文,携带TM设备的桥MAC地址、VLAN虚接口的IP地址、Key1等信息。TM设备发送的广播报文用于发现TC设备。TC设备在SmartMC服务进程启动时,随机产生一个整数类型的Key值(记为Key2),定义为右循环移位因子,取值范围可以为0-255(以Key2等于20为例)。TC设备在接收到来自于TM设备的广播报文之后,根据TM设备发送的报文中的Key1、TC设备产生的Key2以及TC设备的信息(例如TC设备的桥MAC地址和VLAN虚接口的IP地址),动态生成一组循环移位获取到的用户名和密码。
以TC设备的桥MAC地址为012345679abc,VLAN虚接口的IP地址的16进制数为01010164(即点分十进制数为1.1.1.100)作为示例,生成动态用户名和密码过程如下:将桥MAC地址字符串012345679abc按照TM设备发送的报文中携带的Key1向左循环移动10次,得到结果bc012345679a,并将结果bc012345679a作为动态生成的用户名。将VLAN虚接口的IP地址的16进制数01010164按照TC设备产生的Key2向右循环移动20次,得到结果01640101,并将结果01640101作为动态生成的密码。
在TC设备动态生成TC设备对应的用户名和密码之后,TC设备中动态生成用户名为bc012345679a,密码为01640101的一组本地认证账户。然后,TC设备应答Type值为4的单播报文,携带TC设备的桥MAC地址、VLAN虚接口的IP地址、Key2等信息。TM设备在接收到来自于TC设备的单播报文之后,根据TM设备产生的Key1、TC设备发送的报文中的Key2、TC设备的信息(例如TC设备的桥MAC地址和VLAN虚接口的IP地址),动态生成一组循环移位获取到的用户名和密码。换言之,TM设备采用与TC设备相同的方式获取用户名和密码,由此TM设备生成的用户名和密码与TC设备生成的用户名和密码能够保持一致,从而使得TM设备能够通过自身生成的用户名和密码登录TC设备,并将TC设备加入到自己的管理域,进而实现对TC设备的管理。
在TM设备动态生成用于登录TC设备的用户名和密码之后,TM设备向TC设备发送NETCONF会话请求,携带建立NETCONF会话所需要的用户名和密码(即TM设备生成的用户名和密码)。TC设备在接收到来自于TM设备的NETCONF会话请求之后,解析NETCONF会话请求携带的用户名和密码,与TC设备本地动态生成的用户名和密码进行校验,生成用于表示认证成功或认证失败的认证结果,并将认证结果反馈给TM设备。在TM设备接收到来自于TC设备的用于表示认证成功的认证结果时,TM设备将TC设备加入到自己的管理域,进而实现对TC设备的管理。
在TM设备对TC设备进行管理的过程中,如果TC设备出现掉线,TM设备感知到TC设备下线后,将存储的TC设备对应的用户名和密码删除,回收本地资源。如果TM设备的服务关闭,TM设备删除动态生成用户名和密码,回收本地资源。如果TC设备的服务关闭,TC设备删除动态生成用户名和密码,回收本地资源。如果TM设备和TC设备的服务重启,则对应的Key值发生变化,重新进行TM设备将TC设备加入管理域的过程时,TM设备和TC设备均更新用户名和密码。由此保证各个TC设备可以生成不同的用户名和密码,能够提高SmartMC网络的安全性。
图5示出根据本公开一实施例的登录认证装置的框图。该装置用于TC设备中。如图5所示,该装置包括:
第一接收模块51,用于接收来自于TM设备的第一报文,所述第一报文携带TM设备的信息;第一生成模块52,用于对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码;登录认证模块53,用于在接收到来自于所述TM设备的会话请求的情况下,根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
图6示出根据本公开一实施例的登录认证装置的一示意性的框图。如图6所示:
在一种实现方式中,所述装置还包括:第一发送模块54,用于向所述TM设备发送第二报文,所述第二报文携带所述TC设备的信息,以使得所述TM设备对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求。
在一种实现方式中,所述第一生成模块52包括:第一运算模块521,用于调整所述TM设备的信息和/或所述TC设备的信息循环移动预设位数,生成所述TC设备对应的用户名和密码;其中,所述TM设备的信息包括所述TM设备的桥MAC地址和IP地址,所述TC设备的信息包括所述TC设备的桥MAC地址和IP地址。
在一种实现方式中,所述第一生成模块52包括:第二运算模块522,用于对所述TM设备的信息和/或所述TC设备的信息进行组合,生成所述TC设备对应的用户名和密码;其中,所述TM设备的信息包括所述TM设备的桥MAC地址和IP地址,所述TC设备的信息包括所述TC设备的桥MAC地址和IP地址。
在一种实现方式中,所述登录认证模块53用于:在所述会话请求携带的用于登录所述TC设备的用户名和密码与生成的所述TC设备对应的用户名和密码匹配的情况下,生成用于表示登录认证成功的认证结果;或在所述会话请求携带的用于登录所述TC设备的用户名和密码与生成的所述TC设备对应的用户名和密码不匹配的情况下,生成用于表示登录认证失败的认证结果。
图7示出根据本公开一实施例的登录认证装置的框图。该装置用于TM设备中。如图7所示,该装置包括:
第二发送模块71,用于向TC设备发送第一报文,并接收所述TC设备根据所述第一报文返回的第二报文,所述第二报文携带所述TC设备的信息;第二生成模块72,用于对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求;第二发送模块73,用于向所述TC设备发送所述会话请求,以使得所述TC设备根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
本公开的登录认证装置,各个TC设备对应的用户名和密码动态产生,无需TC设备的管理员自己静态配置。此外,TM设备能够生成用于登录各个TC设备的用户名和密码,并且能够明确用户名和密码与哪个TC设备对应,不存在对应错乱现象。各个TC设备对应的用户名和密码基本上不会出现彼此一致的情形,即使部分TC设备的管理员账号被截获,其他TC设备的安全性则不受影响,整体上极大地提高SmartMC网络的安全性。
图8是根据一示例性实施例示出的一种用于登录认证装置900的框图。参照图8,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由***总线903通信。并且,处理器901通过读取机器可读存储介质902中与登录认证逻辑对应的机器可执行指令以执行上文所述的登录认证方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (10)

1.一种登录认证方法,其特征在于,用于智能管理中心SmartMC网络中的拓扑被管理者TC设备,包括:
接收来自于智能管理中心SmartMC网络中的拓扑管理者TM设备的第一报文,所述第一报文携带TM设备的信息;
对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码;
在接收到来自于所述TM设备的会话请求的情况下,根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证;
在接收到来自于所述TM设备的会话请求之前,所述方法还包括:
向所述TM设备发送第二报文,所述第二报文携带所述TC设备的信息,以使得所述TM设备对所述TM设备的信息和所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求。
2.根据权利要求1所述的方法,其特征在于,对所述TM设备的信息和所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码,包括:
调整所述TM设备的信息和/或所述TC设备的信息循环移动预设位数,生成所述TC设备对应的用户名和密码;其中,所述TM设备的信息包括所述TM设备的桥MAC地址和IP地址,所述TC设备的信息包括所述TC设备的桥MAC地址和IP地址。
3.根据权利要求1所述的方法,其特征在于,对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码,包括:
对所述TM设备的信息和/或所述TC设备的信息进行组合,生成所述TC设备对应的用户名和密码;其中,所述TM设备的信息包括所述TM设备的桥MAC地址和IP地址,所述TC设备的信息包括所述TC设备的桥MAC地址和IP地址。
4.根据权利要求1所述的方法,其特征在于,根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证,包括:
在所述会话请求携带的用于登录所述TC设备的用户名和密码与生成的所述TC设备对应的用户名和密码匹配的情况下,生成用于表示登录认证成功的认证结果;或
在所述会话请求携带的用于登录所述TC设备的用户名和密码与生成的所述TC设备对应的用户名和密码不匹配的情况下,生成用于表示登录认证失败的认证结果。
5.一种登录认证方法,其特征在于,用于智能管理中心SmartMC网络中的拓扑管理者TM设备,包括:
向智能管理中心SmartMC网络中的拓扑被管理者TC设备发送第一报文,并接收所述TC设备根据所述第一报文返回的第二报文,所述第二报文携带所述TC设备的信息;
对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求;
向所述TC设备发送所述会话请求,以使得所述TC设备根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
6.一种登录认证装置,其特征在于,用于智能管理中心SmartMC网络中的拓扑被管理者TC设备,包括:
第一接收模块,用于接收来自于智能管理中心SmartMC网络中的拓扑管理者TM设备的第一报文,所述第一报文携带TM设备的信息;
第一生成模块,用于对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成所述TC设备对应的用户名和密码;
登录认证模块,用于在接收到来自于所述TM设备的会话请求的情况下,根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证;
所述装置还包括:
第一发送模块,用于向所述TM设备发送第二报文,所述第二报文携带所述TC设备的信息,以使得所述TM设备对所述TM设备的信息和所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求。
7.根据权利要求6所述的装置,其特征在于,所述第一生成模块包括:
第一运算模块,用于调整所述TM设备的信息和/或所述TC设备的信息循环移动预设位数,生成所述TC设备对应的用户名和密码;其中,所述TM设备的信息包括所述TM设备的桥MAC地址和IP地址,所述TC设备的信息包括所述TC设备的桥MAC地址和IP地址。
8.根据权利要求6所述的装置,其特征在于,所述第一生成模块包括:
第二运算模块,用于对所述TM设备的信息和/或所述TC设备的信息进行组合,生成所述TC设备对应的用户名和密码;其中,所述TM设备的信息包括所述TM设备的桥MAC地址和IP地址,所述TC设备的信息包括所述TC设备的桥MAC地址和IP地址。
9.根据权利要求6所述的装置,其特征在于,所述登录认证模块用于:
在所述会话请求携带的用于登录所述TC设备的用户名和密码与生成的所述TC设备对应的用户名和密码匹配的情况下,生成用于表示登录认证成功的认证结果;或
在所述会话请求携带的用于登录所述TC设备的用户名和密码与生成的所述TC设备对应的用户名和密码不匹配的情况下,生成用于表示登录认证失败的认证结果。
10.一种登录认证装置,其特征在于,用于智能管理中心SmartMC网络中的拓扑管理者TM设备,包括:
第二发送模块,用于向智能管理中心SmartMC网络中的拓扑被管理者TC设备发送第一报文,并接收所述TC设备根据所述第一报文返回的第二报文,所述第二报文携带所述TC设备的信息;
第二生成模块,用于对所述TM设备的信息和/或所述TC设备的信息进行逻辑运算处理,得到逻辑运算结果,并根据所述逻辑运算结果,生成携带用于登录所述TC设备的用户名和密码的会话请求;
第二发送模块,用于向所述TC设备发送所述会话请求,以使得所述TC设备根据所述会话请求携带的用于登录所述TC设备的用户名和密码以及生成的所述TC设备对应的用户名和密码对所述会话请求进行登录认证。
CN201711204123.7A 2017-11-27 2017-11-27 登录认证方法及装置 Active CN107888383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711204123.7A CN107888383B (zh) 2017-11-27 2017-11-27 登录认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711204123.7A CN107888383B (zh) 2017-11-27 2017-11-27 登录认证方法及装置

Publications (2)

Publication Number Publication Date
CN107888383A CN107888383A (zh) 2018-04-06
CN107888383B true CN107888383B (zh) 2020-10-09

Family

ID=61775498

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711204123.7A Active CN107888383B (zh) 2017-11-27 2017-11-27 登录认证方法及装置

Country Status (1)

Country Link
CN (1) CN107888383B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113765917B (zh) * 2021-09-07 2023-05-30 北京鼎普科技股份有限公司 一种认证方法、windows客户端、服务端及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201208331A (en) * 2010-08-04 2012-02-16 Hon Hai Prec Ind Co Ltd Network access device and method for accessing a network
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN106341372A (zh) * 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 终端的认证处理、认证方法及装置、***
CN107295519A (zh) * 2017-08-21 2017-10-24 深圳市信锐网科技术有限公司 一种无线网络接入方法、装置及***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8424057B2 (en) * 2007-12-28 2013-04-16 Ebay, Inc. Mobile anti-phishing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201208331A (en) * 2010-08-04 2012-02-16 Hon Hai Prec Ind Co Ltd Network access device and method for accessing a network
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN106341372A (zh) * 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 终端的认证处理、认证方法及装置、***
CN107295519A (zh) * 2017-08-21 2017-10-24 深圳市信锐网科技术有限公司 一种无线网络接入方法、装置及***

Also Published As

Publication number Publication date
CN107888383A (zh) 2018-04-06

Similar Documents

Publication Publication Date Title
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
US8577044B2 (en) Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment
US7953227B2 (en) Method for securely and automatically configuring access points
US7822982B2 (en) Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment
US7562384B1 (en) Method and apparatus for providing a secure name resolution service for network devices
CN101232372B (zh) 认证方法、认证***和认证装置
US8195944B2 (en) Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys
CN103580980A (zh) 虚拟网络自动发现和自动配置的方法及其装置
EP2408140B1 (en) Method, control point, apparatus and communication system for configuring access right
CN113595847B (zh) 远程接入方法、***、设备和介质
WO2020030537A1 (en) Method and apparatus for security management in 5g networks
CN110519259B (zh) 云平台对象间通讯加密配置方法、装置及可读存储介质
JP2016531464A (ja) 通信ネットワークにおけるセキュアサービス管理
CN105049546A (zh) 一种dhcp服务器为客户端分配ip地址的方法及装置
CN107888383B (zh) 登录认证方法及装置
WO2020147854A1 (zh) 认证方法、装置、***以及存储介质
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
WO2021134562A1 (zh) 配置设备更换方法、装置、设备及存储介质
CN116388998A (zh) 一种基于白名单的审计处理方法和装置
US11831775B1 (en) Using secure tokens for stateless software defined networking
CN108123943B (zh) 信息验证方法及装置
CN114679303B (zh) 一种用于卫星互联网的源地址验证方法及装置
US7631344B2 (en) Distributed authentication framework stack
CN105610667B (zh) 建立虚拟专用网通道的方法和装置
CN109962831B (zh) 虚拟客户终端设备、路由器、存储介质和通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant