CN110035082A - 一种交换机准入认证方法、交换机及*** - Google Patents
一种交换机准入认证方法、交换机及*** Download PDFInfo
- Publication number
- CN110035082A CN110035082A CN201910298572.5A CN201910298572A CN110035082A CN 110035082 A CN110035082 A CN 110035082A CN 201910298572 A CN201910298572 A CN 201910298572A CN 110035082 A CN110035082 A CN 110035082A
- Authority
- CN
- China
- Prior art keywords
- terminal
- interchanger
- verification process
- mac address
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 126
- 238000012795 verification Methods 0.000 claims abstract description 72
- 238000004590 computer program Methods 0.000 claims description 8
- 230000001360 synchronised effect Effects 0.000 claims description 7
- 230000001052 transient effect Effects 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种交换机准入认证方法、交换机及***。所述方法包括接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路,本发明实施例通过内嵌在交换机中的认证服务器,根据接收到的由终端发送的数据报文,由认证服务器根据预设的密码体制向终端发起认证过程,并与安装在终端的客户端进行交互后,判断所述终端是否通过认证,若通过,则所述交换机开启所述终端与网络的通路,从而提高了认证和准入控制的完全性和及时性。
Description
技术领域
本发明实施例涉及电子通信技术领域,尤其涉及一种交换机准入认证方法、交换机及***。
背景技术
接入层交换机目前没有身份认证(以下称认证)功能,也不具备完善的网络接入控制(以下称准入)能力,仅提供基于媒体访问控制(Media Access Control Address,MAC)地址的简单准入能力,存在认证机制缺陷,在MAC地址被修改和仿冒的情况下,不能分辨接入设备身份真伪,致使准入失效,存在实施违规接入或恶意接入的安全问题,是重要的安全漏洞之一。
现有技术的对于终端访问的认证和准入功能的身份确认和认证过程都是终结在认证服务器(Radius Server)上。作为认证***中核心地位的RadiusServer是认证***中的风险集中点。从架构上来说,终结于RadiusServer上的现行认证方式,因其直接暴露在网上,一旦失效或被攻破或遭到分布式拒绝服务(Distributed Denial of Service,DDOS)攻击,认证***就会失效。此外,还有一些和接入交换机完全无关的认证准入方式,如基于数据镜像的网关方式,基于动态地址分配协议的认证准入方式,基于HTTP协议的Portal认证方式等。现有架构的身份认证和准入***,认证和准入过程都是由接入端发起,在接入端不主动发起认证的场景是无能为力的。
因此,现有技术相较于交换机的认证和准入控制过程不够安全。
发明内容
本发明实施例提供一种交换机准入认证方法、交换机及***,用以解决现有技术中对于交换机的认证和准入控制过程不够安全的问题。
第一方面,本发明实施例提供了一种交换机准入认证方法,包括:
接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;
根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;
根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
第二方面,本发明实施例提供了一种用于准入认证的交换机,包括:
数据接收模块,用于接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;
认证服务器模块,用于根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;
接入控制模块,用于根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
第三方面,本发明实施例提供了一种用于准入认证的***,其特征在于,包括:
预设数量如上所述的任一交换机,所有的交换机平行部署在网络边缘,内嵌认证服务关闭面向网络的端口,并通过预设的认证数据同步协议保持认证数据的一致性。
第四方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;
根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;
根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
第五方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;
根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;
根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
本发明实施例提供的交换机准入认证方法、交换机及***,通过内嵌在交换机中的认证服务器,根据接收到的由终端发送的数据报文,由认证服务器根据预设的密码体制向终端发起认证过程,并与安装在终端的客户端进行交互后,判断所述终端是否通过认证,若通过,则所述交换机开启所述终端与网络的通路,从而提高了认证和准入控制的完全性和及时性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的交换机准入认证方法流程图;
图2为本发明实施例的另一交换机准入认证方法流程图;
图3为本发明实施例的用于准入认证的交换机结构示意图;
图4为本发明实施例的用于准入认证的***结构示意图;
图5示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的交换机准入认证方法流程图,如图1所示,所述方法包括:
步骤S01、接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址。
接入层交换机是网络边界设备,当终端要访问网络时,向网络发送的数据报文将先发送到与所述终端相连的交换机,所述数据报文至少包括有该终端的MAC地址。
步骤S02、根据所述MAC地址和预设的密码体制,向所述终端发起认证过程。
现有技术中的交换机不存在认证和准入能力,仅是作为一个数据报文的转发点,仅在终端发起认证请求时,才根据认证请求中包含的认证服务器的IP地址,将所述认证请求发送给认证服务器,从而进行认证过程。另外,由于现有的认证协议是基于业务的,因此,当终端在执行不需要进行认证的业务时,将不会向认证服务器发起认证请求。此时,所述终端发起的数据报文不包含所述认证服务器的IP地址,交换机也不会将该数据报文发送给认证服务器。
而本发明实施例所采用的交换机,包含了认证服务器的认证和准入功能,相当于将所述认证服务器内嵌到所述交换机中。
当所述交换机接收到由终端发送的数据报文时,将由内嵌的认证服务器根据所述数据报文中包含的MAC地址,以及预设的密码体制,向所述终端发起认证过程。而所述终端则通过安装的客户端来与交换机中的认证服务器进行信息交换,以实现认证过程。
所述密码体制可以根据实际的需要来进行设定,例如,采用公钥密码体制,使用多种密码学算法和私有算法,包括PKI,IPK,SM2,RSA和私有算法。所述交换机的认证服务器采用了私有的随机数筛选算法,客户端采用了组合标识算法,认证过程采用SM2/RSA算法。具体的认证过程举例如下:
认证服务器用所述MAC地址对应的公钥加密一段定长随机数据,以二层协议发送到与MAC对应的终端;当该终端的客户端监听到认证服务器发来的随机数据,使用本地私钥解密数据;客户端使用本地私钥签名解密数据,并向所述交换机发送回复消息;再由所述交换机的认证服务器来对所述回复消息进行认证判断。
步骤S03、根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
所述交换机的认证服务器在认证过程中通过对所述终端发送的回复消息的解析,并进行验证。若所述认证服务器验证成功,则判定所述终端本次认证通过;否则,则判定所述终端本次认证失败。
若所述终端本次认证通过,则所述交换机开启所述终端与网络的连接通路,控制接入端口到交换矩阵的数据通路,从而将终端发送的数据报文发送给网络。
由上可知,由于所述认证服务器内嵌于交换机,所以所述认证服务器无需通过IP址来进行访问,也就使通过IP地址对认证服务器发动网络攻击成为不可能。同时,内嵌式的认证服务器可以减少数据传输,从提高认证过程的效率。
本发明实施例通过内嵌在交换机的认证服务器,根据接收到的由终端发送的数据报文,由认证服务器根据预设的密码体制向终端发起认证过程,并与安装在终端的客户端进行交互后,判断所述终端是否通过认证,若通过,则所述交换机开启所述终端与网络的通路,从而提高了认证和准入控制的完全性和及时性。
图2为本发明实施例的另一交换机准入认证方法流程图,如图2所示,在所述步骤S03后所述方法还包括:
步骤S04、周期性的向已经通过认证的终端发送新的认证过程。
为了减少不必要的认证过程,在通过认证过程后,若所述交换机的认证服务器判定所述终端认证通过,将不再对由该终端后续发送的数据报文,执行认证过程,而是直接进行转发。同时,周期性的由所述交换机的认证服务器向所述终端发起新的认证过程。
具体的实施方式,关闭所述交换机的自学习功能,由所述认证服务器根据认证结果对所述交换机的MAC表进行更新。将所有已经通过认证的终端对应的MAC地址记录到该交换机的MAC表中,以使所述交换机在后续接收到由该MAC地址发送的数据报文时,根据所述MAC表,直接将所述数据报文转发给网络,不再发送给内嵌的认证服务器来发起认证过程。同时,所述认证服务器维护与所述MAC表同步的认证列表,并根据所述认证列表,周期性得向表中的与MAC地址对应的终端发起新的认证过程。所述周期,可以为每个MAC地址分别设定一个计时器,在计时器到达周期时,向该MAC地址对应的终端发起新的认证过程,或者为该认证列表设定一个列表计时器,在该列表计时器到达周期是时,向该MAC列表中所有的MAC地址对应的终端依次发起新的认证过程。
步骤S05、若根据新的认证过程中接收到的由所述终端发送的所述回复消息,判定所述终端本次认证失败,则关闭所述终端与网络的连接通路。
所述终端的客户端也同样根据新的认证过程与所述交换机的认证服务器进行信息交换。若所述认证服务器依然判断所述终端本次认证通过,则继续等待所述周期时长后,再向该终端发起下一次认证过程。
而若所述认证服务器判断所述终端本次认证失败,则所述交换机将关闭所述终端与网络的连接通路。同时,将该终端对应的MAC地址从所述MAC表和认证列表中删除。此时,若所述终端再次向交换机发送数据报文,则将由所述认证服务器重新发起认证过程。
本发明实施例通过由认证服务器周期性的向已经通过认证的终端发起认证过程,从而更好得提高了认证和准入控制的完全性和认证的效率。
基于上述实施例,进一步地,所述方法还包括:
若判定所述终端本次认证失败,则根据预设时长开启与所述终端对应的停止计时器,从而在所述停止计时器结束前不再接收由所述终端发送的数据报文。
为了防止终端在没有通过认证时,依然大量发起数据报文,从而降低了交换机内嵌的认证服务器的认证效率。当所述交换机的认证服务器判断所述终端本次认证失败时,所述交换机将关闭与所述终端的连接端口,不接收由所述终端发送的任何数据报文,并开启与所述终端的MAC地址对应的停止计时器。所述停止计时器的时长可以根据实际的需要来进行设定,直到该停止计时器达到预设的时长时,所述交换机将重新开启与所述终端的连接端口,以监听该终端发送的数据报文。
本发明实施例通过判定所述终端认证失败后,在预设的时长内,停止接收该终端发送的数据报文,从而减少了认证服务器被攻击的风险,并提高了所述认证有服务器的认证效率。
基于上述实施例,进一步地,所述方法还包括:
将所述数据报文的MAC地址在预存的MAC地址列表中查询,若不存在,则所述交换机判定所述终端本次认证失败。
所述交换机还包括MAC地址列表,所述MAC地址列表包括所有允许接入的MAC地址。当交换机接收到由终端发送的数据报文时,所述认证服务器将通过查询所述MAC地址列表,若该数据报文的MAC地址不在所述MAC地址列表中,则直接判定该终端本次认证失败,将该数据报文抛弃。
将所有认证失败的数据报文的MAC地址记录到日志中,以使后续的追溯和管理,例如,可以根据该日志对MAC地址列表进行主动或被动的删减。
本发明实施例通过将数据报文的MAC地址与预置的MAC地址列表进行比对,认证服务器将判定不包括在该MAC地址列表中的数据报文认证失败,从而减少了认证服务器被攻击的风险,并提高了所述认证有服务器的认证效率。
图3为本发明实施例的用于准入认证的交换机结构示意图,如图3所示,所述交换机至少包括:数据接收模块10、认证服务器模块11和接入控制模块12;其中,
所述数据接收模块10用于接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;所述认证服务器模块11用于根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;所述接入控制模块12用于根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。具体地:
当终端要访问网络时,向网络发送的数据报文将先发送到所述数据接收模块10,所述数据报文至少包括有该终端的MAC地址。
当所述数据接收模块10接收到由终端发送的数据报文后将发送认证服务器模块11,由所述认证服务器模块11根据所述数据报文中包含的MAC地址,以及预设的密码体制,向所述终端发起认证过程。而所述终端则通过安装的客户端来与交换机中的认证服务器进行信息交换,以实现认证过程。
所述密码体制可以根据实际的需要来进行设定,例如,采用公钥密码体制,使用多种密码学算法和私有算法,包括PKI,IPK,SM2,RSA和私有算法。所述认证服务器模块11采用了私有的随机数筛选算法,客户端采用了组合标识算法,认证过程采用SM2/RSA算法。
所述认证服务器模块11在认证过程中通过对所述终端发送的回复消息的解析,并进行验证。若所述认证服务器模块11验证成功,则判定所述终端本次认证通过;否则,则判定所述终端本次认证失败。
若所述终端本次认证通过,则所述认证服务器模块11指示所述接入控制模块开启所述终端与网络的连接通路,控制接入端口到交换矩阵的数据通路,从而将终端发送的数据报文发送给网络。
本发明实施例提供的交换机用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过数据接收模块10接收到的由终端发送的数据报文,由认证服务器模块11根据预设的密码体制向终端发起认证过程,并与安装在终端的客户端进行交互后,判断所述终端是否通过认证,若通过,则所述接入控制模块12开启所述终端与网络的通路,从而提高了认证和准入控制的完全性和及时性。
基于上述实施例,进一步地,所述认证服务器模块还用于:
周期性的向已经通过认证的终端发送新的认证过程;
若根据新的认证过程中接收到的由所述终端发送的所述回复消息,判定所述终端本次认证失败,则关闭所述终端与网络的连接通路。
为了减少不必要的认证过程,在通过认证过程后,若所述认证服务器模块判定所述终端认证通过,将不再对由该终端后续发送的数据报文,执行认证过程,而是直接进行转发。同时,周期性的由所述认证服务器模块向所述终端发起新的认证过程。
具体的实施方式,所述认证服务器模块设置认证列表将所有已经通过认证的终端对应的MAC地址发送给数据接收模块,以记录到所述数据接收模块预设的MAC表中,以使所述数据接收模块在后续接收到由该MAC地址发送的数据报文时,根据所述MAC表,直接将所述数据报文转发给网络,不再发送给认证服务器模块来发起认证过程。同时,所述认证服务器模块设置并维护与所述MAC表同步的认证列表,并根据所述认证列表,周期性得向表中的与MAC地址对应的终端发起新的认证过程。
而所述终端的客户端也同样根据新的认证过程与所述交换机的认证服务器模块进行信息交换。若所述认证服务器模块依然判断所述终端本次认证通过,则继续等待所述周期时长后,再向该终端发起下一次认证过程。
而若所述认证服务器模块判断所述终端本次认证失败,则指示所述接入控制模块关闭所述终端与网络的连接通路。同时,将该终端对应的MAC地址从所述认证列表中删除,并指示所述数据接收模块同步所述MAC表。此时,若所述数据接收模块再次接收到由所述终端发送的数据报文,则将发送给所述认证服务器模块来重新发起认证过程。
本发明实施例提供的交换机用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过由认证服务器模块周期性得向已经通过认证的终端发起认证过程,从而更好得提高了认证和准入控制的完全性和认证的效率。
基于上述实施例,进一步地,所述论证服务器模块还用于:
若判定所述终端本次认证失败,则根据预设时长开启与所述终端对应的停止计时器,以使所述数据接收模块在所述停止计时器结束前不再接收由所述终端发送的数据报文。
为了防止终端在没有通过认证时,依然大量发起数据报文,从而降低了认证服务器模块的认证效率。当所述认证服务器模块判断所述终端本次认证失败时,所述数据接收模块将关闭与所述终端的连接端口,不接收由所述终端发送的任何数据报文,并开启与所述终端的MAC地址对应的停止计时器。所述停止计时器的时长可以根据实际的需要来进行设定,直到该停止计时器达到预设的时长时,所述数据接收模块将重新开启与所述终端的连接端口,以监听该终端发送的数据报文。
本发明实施例提供的交换机用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过将在所述认证服务器模块判定所述终端认证失败后,在预设的时长内,所述数据接收模块停止接收该终端发送的数据报文,从而减少了认证服务器模块被攻击的风险,并提高了所述认证有服务器的认证效率。
图4为本发明实施例的用于准入认证的***结构示意图,如图4所示,其特征在于,包括:
预设数量的如上述实施例所述的任一交换机,所有的交换机平行部署在网络边缘,内嵌认证服务关闭面向网络的端口,并通过预设的同步协议保持认证数据的一致性。
本发明实施例的用于准入认证的***采用分布式边缘计算架构,将多个内嵌认证服务器的交换机平行部署在网络边缘。每个交换机中的认证服务器打开面向终端的南向接口,关闭面向网络的北向接口,以使每个认证服务器仅负责接入到该交换机的终端的认证过程。
另外,同一网络中平行部署的每个交换机的认证服务器之间通过预设的认证数据同步协议(Authenitication Data Synchronization Protocol,ADSP),进行认证数据的同步,所述认证数据包括上述实施例所述的认证列表、MAC地址列表等。具体的方法,可以指定其中一个认证服务器为主服务器Master,而其它的是从服务器Slave,由所述主服务器对认证数据进行管理和执行同步操作。
本发明实施例提供的***用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过在在网络中平行部署预设数量的交换机,来负责与所述交换机接入的终端的认证过程,并且根据预设的认证数据同步协议,实现各个认证服务器之间认证数据的同步,从而以网络边界为认证控制位置,使认证更准确,认证过程在直接连接的设备之间完成,认证行程最短,避免网络因素的影响;分布式部署分散认证负荷,省略掉传统的认证服务器,认证速度快、效率高;关闭北向接口,无法从网络上攻击,提高了自身安全性高;认证过程简洁,认证数据短小,操作管理简便;适合各种规模的工业控制网络和企业内部网络,通用性和扩展性实现接入的终端在全网移动性,即认证接入不受位置限制。
图5示例了一种电子设备的实体结构示意图,如图5所示,该服务器可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行如下方法:接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
本领域普通技术人员可以理解:此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种交换机准入认证方法,其特征在于,包括:
接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;
根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;
根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
周期性的向已经通过认证的终端发送新的认证过程;
若根据新的认证过程中接收到的由所述终端发送的所述回复消息,判定所述终端本次认证失败,则关闭所述终端与网络的连接通路。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若判定所述终端本次认证失败,则根据预设时长开启与所述终端对应的停止计时器,从而在所述停止计时器结束前不再接收由所述终端发送的数据报文。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
将所述数据报文的MAC地址在预存的MAC地址列表中查询,若不存在,则所述交换机判定所述终端本次认证失败。
5.一种用于准入认证的交换机,其特征在于,包括:
数据接收模块,用于接收由终端发送的数据报文,所述数据报文至少包括所述终端的MAC地址;
认证服务器模块,用于根据所述MAC地址和预设的密码体制,向所述终端发起认证过程;
接入控制模块,用于根据所述认证过程中接收到的由所述终端发送的回复消息,若判定所述终端本次认证通过,则打开所述终端与网络的连接通路。
6.根据权利要求5所述用于准入认证的交换机,其特征在于,所述认证服务器模块还用于:
周期性的向已经通过认证的终端发送新的认证过程;
若根据新的认证过程中接收到的由所述终端发送的所述回复消息,判定所述终端本次认证失败,则关闭所述终端与网络的连接通路。
7.根据权利要求6所述用于准入认证的交换机,其特征在于,所述论证服务器模块还用于:
若判定所述终端本次认证失败,则根据预设时长开启与所述终端对应的停止计时器,以使所述数据接收模块在所述停止计时器结束前不再接收由所述终端发送的数据报文。
8.一种用于准入认证的***,其特征在于,包括:
预设数量如权利要求5-7所述的任一交换机,所有的交换机平行部署在网络边缘,内嵌认证服务关闭面向网络的端口,并通过预设的认证数据同步协议保持认证数据的一致性。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述交换机准入认证方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述交换机准入认证方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910298572.5A CN110035082B (zh) | 2019-04-15 | 2019-04-15 | 一种交换机准入认证方法、交换机及*** |
| PCT/CN2019/000221 WO2020210925A1 (zh) | 2019-04-15 | 2019-11-18 | 一种交换机准入认证方法、交换机及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910298572.5A CN110035082B (zh) | 2019-04-15 | 2019-04-15 | 一种交换机准入认证方法、交换机及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110035082A true CN110035082A (zh) | 2019-07-19 |
| CN110035082B CN110035082B (zh) | 2020-10-13 |
Family
ID=67238380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910298572.5A Active CN110035082B (zh) | 2019-04-15 | 2019-04-15 | 一种交换机准入认证方法、交换机及*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110035082B (zh) |
| WO (1) | WO2020210925A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020210925A1 (zh) * | 2019-04-15 | 2020-10-22 | 北京北信源软件股份有限公司 | 一种交换机准入认证方法、交换机及*** |
| CN113037502A (zh) * | 2021-05-25 | 2021-06-25 | 广东信通通信有限公司 | 交换机安全准入方法、装置、存储介质和网络*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141448A (zh) * | 2007-09-28 | 2008-03-12 | 西安大唐电信有限公司 | 在以太网无源光网络上实现IEEE802.1x用户端口认证的方法 |
| CN101217575A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN103428211A (zh) * | 2013-08-07 | 2013-12-04 | 华南理工大学 | 基于交换机的网络认证***及其认证方法 |
| CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN104144095A (zh) * | 2014-08-08 | 2014-11-12 | 福建星网锐捷网络有限公司 | 终端认证方法及交换机 |
| CN106789986A (zh) * | 2016-12-08 | 2017-05-31 | 浙江宇视科技有限公司 | 监控设备认证方法及装置 |
| CN106850210A (zh) * | 2017-02-28 | 2017-06-13 | 努比亚技术有限公司 | 移动终端语音通话处理方法及移动终端 |
| CN108881308A (zh) * | 2018-08-09 | 2018-11-23 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 一种用户终端及其认证方法、***、介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7836488B2 (en) * | 2005-08-18 | 2010-11-16 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network |
| CN110035082B (zh) * | 2019-04-15 | 2020-10-13 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及*** |
-
2019
- 2019-04-15 CN CN201910298572.5A patent/CN110035082B/zh active Active
- 2019-11-18 WO PCT/CN2019/000221 patent/WO2020210925A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141448A (zh) * | 2007-09-28 | 2008-03-12 | 西安大唐电信有限公司 | 在以太网无源光网络上实现IEEE802.1x用户端口认证的方法 |
| CN101217575A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN103428211A (zh) * | 2013-08-07 | 2013-12-04 | 华南理工大学 | 基于交换机的网络认证***及其认证方法 |
| CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN104144095A (zh) * | 2014-08-08 | 2014-11-12 | 福建星网锐捷网络有限公司 | 终端认证方法及交换机 |
| CN106789986A (zh) * | 2016-12-08 | 2017-05-31 | 浙江宇视科技有限公司 | 监控设备认证方法及装置 |
| CN106850210A (zh) * | 2017-02-28 | 2017-06-13 | 努比亚技术有限公司 | 移动终端语音通话处理方法及移动终端 |
| CN108881308A (zh) * | 2018-08-09 | 2018-11-23 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 一种用户终端及其认证方法、***、介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020210925A1 (zh) * | 2019-04-15 | 2020-10-22 | 北京北信源软件股份有限公司 | 一种交换机准入认证方法、交换机及*** |
| CN113037502A (zh) * | 2021-05-25 | 2021-06-25 | 广东信通通信有限公司 | 交换机安全准入方法、装置、存储介质和网络*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110035082B (zh) | 2020-10-13 |
| WO2020210925A1 (zh) | 2020-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109327477A (zh) | 认证鉴权方法、装置及存储介质 | |
| CN105933353B (zh) | 安全登录的实现方法及*** | |
| CN104335546B (zh) | 使用邻居发现来为其它应用创建信任信息的方法和装置 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN104735065B (zh) | 一种数据处理方法、电子设备及服务器 | |
| CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN106341372A (zh) | 终端的认证处理、认证方法及装置、*** | |
| CN102271133B (zh) | 认证方法、装置和*** | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和*** | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN102271134A (zh) | 网络配置信息的配置方法、***、客户端及认证服务器 | |
| CN109726531A (zh) | 一种基于区块链智能合约的营销终端安全管控方法 | |
| CN109246133A (zh) | 一种基于生物识别的网络接入认证方法 | |
| CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
| CN107872588B (zh) | 呼叫处理方法、相关装置及*** | |
| CN109818943A (zh) | 一种适用于低轨卫星物联网的认证方法 | |
| CN110035082A (zh) | 一种交换机准入认证方法、交换机及*** | |
| CN105578464B (zh) | 一种增强的wlan证书鉴别方法、装置及*** | |
| CN101699893B (zh) | 认证服务器集群的鉴别服务实体ase状态的更改方法 | |
| CN106603512B (zh) | 一种基于sdn架构的is-is路由协议的可信认证方法 | |
| CN101938428B (zh) | 一种报文的传输方法和设备 | |
| CN105978774B (zh) | 一种接入认证的方法和装置 | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 | |
| CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100195 Room 301, floor 3, building 103, No. 3, minzhuang Road, Haidian District, Beijing Patentee after: Mixin (Beijing) Digital Technology Co.,Ltd. Address before: 100093 301, 3rd floor, building 103, 3 minzhuang Road, Haidian District, Beijing Patentee before: BEIJING BEIXINYUAN INFORMATION SECURITY TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230718 Address after: Room 1602, Block C, Zhongguancun Science and Technology Development Building, No. 34 Zhongguancun South Street, Haidian District, Beijing, 100080 Patentee after: BEIJING VRV SOFTWARE Corp.,Ltd. Address before: 100195 Room 301, floor 3, building 103, No. 3, minzhuang Road, Haidian District, Beijing Patentee before: Mixin (Beijing) Digital Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240308 Address after: Room 1501, 12th Floor, Building 3, No. 34 Zhongguancun South Street, Haidian District, Beijing, 100080 Patentee after: Federation of Industry and Commerce Lingchuang (Beijing) Technology Co.,Ltd. Country or region after: China Address before: Room 1602, Block C, Zhongguancun Science and Technology Development Building, No. 34 Zhongguancun South Street, Haidian District, Beijing, 100080 Patentee before: BEIJING VRV SOFTWARE Corp.,Ltd. Country or region before: China |