一种入网控制方法、装置、网络设备和存储介质转让专利
申请号 : CN202210625939.1
文献号 : CN115001826B
文献日 : 2023-04-11
发明人 : 李风华 , 吴建平 , 刘莹 , 何林 , 李星 , 李崇荣 , 王浩 , 苏楠枝 , 蒋军峰 , 王立久
申请人 : 清华大学 , 新华三技术有限公司 , 华为技术有限公司
摘要 :
本申请涉及一种入网控制方法、系统、网络设备和存储介质,其中,该方法包括:获取至少两个已完成身份认证的用户设备对应的入网用标识信息;将至少两个用户设备对应的入网用标识信息进行比较;基于比较结果,确定用户行为,并对用户设备进行管理;能够通过同一无线网络环境下的用户设备进行仿冒地址的过滤,提高了网络安全性。
权利要求 :
1.一种入网控制方法,其特征在于,所述方法包括:
获取至少两个已完成身份认证的用户设备对应的入网用标识信息;
将所述至少两个用户设备对应的入网用标识信息进行比较;
基于比较结果,确定用户行为,并对所述用户设备进行管理;
所述获取至少两个已完成身份认证的用户设备对应的入网用标识信息,包括:获取每个所述用户设备进行身份认证时所构建的第一绑定表,以及接入设备监听IP地址配置过程中所构建的第二绑定表;根据所述用户设备对应的第一绑定表及第二绑定表,分别建立第三绑定表,其中,所述第三绑定表表征为待进行比较的所述入网用标识信息;其中,所述第一绑定关系包括:MAC地址及用户名构建的绑定关系;所述第二绑定关系包括:IP地址及用户名构建的绑定关系;第三绑定关系包括:所述MAC地址、用户名及IP地址构成的绑定关系;
所述基于比较结果,确定用户行为,包括:
若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同时,确定存在IP地址和/或MAC地址虚假的恶意用户;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同及所述MAC地址均相同,但所述IP地址不同时,确定所述用户设备IP地址更新;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同及所述IP地址均相同,但所述MAC地址不同时,确定用户驶用新设备登录,并获取原先的IP地址;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同,但所述MAC地址及IP地址均不同时,确定为所述至少两个用户设备为同一用户的不同终端;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均相同时,确定为同一用户;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均不同时,确定所述至少两个用户设备为不同用户的不同终端。
2.根据权利要求1所述的方法,其特征在于,在基于比较结果,对所述用户设备进行管理之前,所述方法包括:选择预设处理模式,并结合选择结果以及所述比较结果对所述用户设备进行管理;其中,所述预设处理模式至少包括以下两种:第一模式及第二模式。
3.根据权利要求2所述的方法,其特征在于,在所述选择结果表征为第一模式时,基于比较结果,对所述用户设备进行管理,包括:若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同,则将所述至少两个用户设备均进行下线操作,并将所述至少两个用户设备加入黑名单;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名及IP地址均相同,但MAC地址不同,则允许所述至少两个用户设备中的在后入网用户设备上线,将在先入网用户设备进行下线操作;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同但IP地址不同时、或所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均相同、或所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均不同时,允许所述至少两个用户设备上线。
4.根据权利要求2所述的方法,其特征在于,在所述选择结果表征为第二模式时,基于比较结果,对所述用户设备进行管理,包括:若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同,则对所述至少两个用户设备均进行告警记录;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名及IP地址均相同,但MAC地址不同,则允许所述至少两个用户设备中的在后入网用户设备上线,将在先入网用户设备进行下线操作;
或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同但IP地址不同、或所述至少两个用户设备的用户名、MAC地址及IP地址均相同、或所述至少两个用户设备的用户名、MAC地址及IP地址均不同时,允许所述至少两个用户设备上线。
5.一种入网控制系统,其特征在于,所述系统包括:
绑定表控制器,用于执行于执行权利要求1至4中任一项所述的入网控制方法的步骤。
6.根据权利要求5所述的系统,其特征在于,所述系统还包括:
认证服务器,用于对用户设备进行身份认证;
接入设备,与所述认证服务器连接,用于监听IP地址配置过程;
其中,所述接入设备具备SAVI功能,在所述SAVI功能开启状态下,所述接入设备监听IP地址配置过程。
7.一种网络设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的入网控制方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的入网控制方法的步骤。
说明书 :
一种入网控制方法、装置、网络设备和存储介质
技术领域
[0001] 本申请涉及互联网技术领域,特别是涉及一种入网控制方法、装置、网络设备和存储介质。
背景技术
[0002] 在WLAN网络中,终端设备在获取IPv6地址时,无论是DHCPv6(Dynamic Host Configuration Protocol for IPv6,IPv6动态主机配置协议)分配地址方式还是SLAAC(Stateless address autoconfiguration,无状态地址自动配置)方式,恶意终端都可以通过仿冒MAC地址或IP地址的方式,造成网络资源滥用、用户网络行为不可追溯等网络安全问题。
发明内容
[0003] 基于此,有必要针对上述技术问题,提供一种能够对仿冒地址进行过滤以保证完网络安全的的入网控制方法、装置、网络设备和存储介质。
[0004] 根据本申请实施例的第一方面,提供了一种入网控制方法,所述方法包括:
[0005] 获取至少两个已完成身份认证的用户设备对应的入网用标识信息;
[0006] 将所述至少两个用户设备对应的入网用标识信息进行比较;
[0007] 基于比较结果,确定用户行为,并对所述用户设备进行管理。
[0008] 可选的,获取至少两个已完成身份认证的用户设备对应的入网用标识信息,包括:
[0009] 获取每个所述用户设备进行身份认证时所构建的第一绑定表,以及接入设备监听IP地址配置过程中所构建的第二绑定表;
[0010] 根据所述用户设备对应的第一绑定表及第二绑定表,分别建立第三绑定表,其中,所述第三绑定表表征为待进行比较的所述入网用标识信息;
[0011] 其中,所述第一绑定关系包括:MAC地址及用户名构建的绑定关系;所述第二绑定关系包括:IP地址及用户名构建的绑定关系;第三绑定关系包括:所述MAC地址、用户名及IP地址构成的绑定关系。
[0012] 可选的,在基于比较结果,对所述用户设备进行管理之前,所述方法包括:
[0013] 选择预设处理模式,并结合选择结果以及所述比较结果对所述用户设备进行管理;其中,所述预设处理模式至少包括以下两种:第一模式及第二模式。
[0014] 可选的,在所述选择结果表征为第一模式时,基于比较结果,对所述用户设备进行管理,包括:
[0015] 若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同,则将所述至少两个用户设备均进行下线操作,并将所述至少两个用户设备加入黑名单;
[0016] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名及IP地址均相同,但MAC地址不同,则允许所述至少两个用户设备中的在后入网用户设备上线,将在先入网用户设备进行下线操作;
[0017] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同但IP地址不同时、或所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均相同、或所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均不同时,允许所述至少两个用户设备上线。
[0018] 可选的,在所述选择结果表征为第二模式时,基于比较结果,对所述用户设备进行管理,包括:
[0019] 若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同,则对所述至少两个用户设备均进行告警记录;
[0020] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名及IP地址均相同,但MAC地址不同,则允许所述至少两个用户设备中的在后入网用户设备上线,将在先入网用户设备进行下线操作;
[0021] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同但IP地址不同、或所述至少两个用户设备的用户名、MAC地址及IP地址均相同、或所述至少两个用户设备的用户名、MAC地址及IP地址均不同时,允许所述至少两个用户设备上线。
[0022] 可选的,基于比较结果,确定用户行为,包括:
[0023] 若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同时,确定存在IP地址和/或MAC地址虚假的恶意用户;
[0024] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同及所述MAC地址均相同,但所述IP地址不同时,确定所述用户设备IP地址更新;
[0025] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同及所述IP地址均相同,但所述MAC地址不同时,确定用户驶用新设备登录,并获取原先的IP地址;
[0026] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同,但所述MAC地址及IP地址均不同时,确定为所述至少两个用户设备为同一用户的不同终端;
[0027] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均相同时,确定为同一用户;
[0028] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均不同时,确定所述至少两个用户设备为不同用户的不同终端。
[0029] 根据本申请实施例的第二方面,提供了一种入网控制系统,所述系统包括:
[0030] 绑定表控制器,用于执行于执行上述的入网控制方法的步骤。
[0031] 可选的,所述系统还包括:
[0032] 认证服务器,用于对用户设备进行身份认证;
[0033] 接入设备,与所述认证服务器连接,用于监听IP地址配置过程;
[0034] 其中,所述接入设备具备SAVI功能,在所述SAVI功能开启状态下,所述接入设备监听IP地址配置过程。
[0035] 根据本申请实施例的第三方面,提供了一种网络设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
[0036] 根据本申请实施例的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
[0037] 上述入网控制方法、装置、网络设备和存储介质,能够通过同一无线网络环境下的用户设备进行仿冒地址的过滤,提高了网络安全性。
附图说明
[0038] 图1为一个实施例中一种入网控制方法的流程原理图(一);
[0039] 图2为一个实施例中一种入网控制方法的流程示意图(二);
[0040] 图3为一个实施例中一种入网控制系统的网络拓扑图。
具体实施方式
[0041] 为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0042] 图1为一个实施例中一种入网控制方法的流程原理图(一);图2为一个实施例中一种入网控制方法的流程示意图(二);图3为一个实施例中一种入网控制系统的网络拓扑图。
[0043] 扩展DHCPv6(Dynamic Host Configuration Protocol for IPv6,IPv6动态主机配置协议)客户端方案,该方案通过扩展DHCPv6协议在REQUEST消息中携带用户名及密码,并使用自定义的IPv6地址生成算法,将用户身份信息嵌入到IPv6地址中,以实现用户身份与IP地址的关联。
[0044] DHCPv6是动态主机配置协议(DHCP)的IPv6版本。DHCPv6典型组网中通常包括:DHCPv6客户端和DHCPv6服务器。在有状态地址配置过程中,DHCPv6服务器分配一个完整的IPv6地址给DHCPv6客户端,并且存储IPv6地址和DHCPv6客户端的绑定关系,从而增强了网络的可管理性。
[0045] SLAAC是IPv6的重要特色功能之一。SLAAC采用为IPv6开发的ND协议对主机的IPv6地址进行自动配置。当主机上线后,主机会发送RS(Router Solicit,路由器请求)消息给路由器,请求地址配置;路由器收到RS消息后发送RA(Router Advertisement,路由器通告)消息给主机,其中携带有用来进行地址自动配置的前缀等信息;主机收到RA消息后,获得地址前缀信息,还有地址相关的参数信息,根据SLAAC规定的方法自动生成IPv6地址。
[0046] IPv6(Internet Protocol version 6,互联网协议版本6),有两种地址自动配置方式:采用DHCPv6(Dynamic Host Configure Protocol for IPv6,支持IPv6的动态主机配置协议)协议对主机进行有状态地址配置,以及采用ND(Neighbor Discovery,邻居发现)协议对主机进行SLAAC(Stateless Address Autoconfiguration,无状态地址配置)。
[0047] 802.1x协议是基于Client/Server的访问控制和认证协议,其可以限制未经授权的用户/设备通过端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证,在通过认证之前,802.1x只允许基于局域网的扩展认证协议(EAPOL)数据通过设备连接的交换机端口,认证通过以后,正常的数据可以顺利地通过以太网端口。
[0048] 根据图1‑2所示,本发明第一实施例提供了一种入网控制方法,所述方法包括:获取至少两个已完成身份认证的用户设备对应的入网用标识信息;将所述至少两个用户设备对应的入网用标识信息进行比较;基于比较结果,确定用户行为,并对所述用户设备进行管理。
[0049] 就此,能够通过同一无线网络环境下的用户设备进行仿冒地址的过滤,提高了网络安全性。
[0050] 具体的,本发明第一实施例提供了一种入网控制方法,所述方法包括:
[0051] S100:获取至少两个已完成身份认证的用户设备对应的入网用标识信息;
[0052] 具体的,在同一无线网络环境中,且该无线网络中部署有接入设备、认证服务器(如:AAA认证服务器)以及DHCP服务器组件,还增设有绑定表控制器。
[0053] 值得注意的是,在无线网络场景下,接入设备包括无线访问接入点AP(Wireless Access Point)与无线控制器AC(Wireless Access Point Controller)。而且,该AP及AC均具备SAVI(Source Address Validation Improvement,源地址验证)功能,AC在SAVI功能开启状态下监听IP地址配置过程。AC与绑定表控制器构成通信。
[0054] 在另一实施例中,由AC或该绑定表控制器获取至少两个用户设备入网过程中涉及的入网用标识信息。在本实施例中,并不对该用户设备的数量进行先定个,只需其满足本实施例的要求即可,如:该用户设备的数量设置为两个、三个甚至更多个。
[0055] 而且,在本实施例中,并不对该入网用标识信息进行限定,只需该入网用标识信息可用于对用户设备或用户进行溯源标识即可。其中,该入网用标识信息包括但不限于以下信息:用户名、IP地址、及MAC地址。
[0056] 在另一实施例中,该步骤S100包括:
[0057] S101:获取每个所述用户设备进行身份认证时所构建的第一绑定表,以及接入设备监听IP地址配置过程中所构建的第二绑定表;
[0058] S102:根据所述用户设备对应的第一绑定表及第二绑定表,分别建立第三绑定表,其中,所述第三绑定表表征为待进行比较的所述入网用标识信息;
[0059] 其中,所述第一绑定关系包括:MAC地址及用户名构建的绑定关系;所述第二绑定关系包括:IP地址及用户名构建的绑定关系;第三绑定关系包括:所述MAC地址、用户名及IP地址构成的绑定关系。
[0060] 即:在用户设备进行身份验证时,AC或绑定表控制器获取表征用户设备对应的MAC地址及用户名之间绑定关系的第一绑定表;在用户设备所属IP地址配置过程中,AC或绑定表控制器获取由用户设备的IP地址及用户名之间绑定关系的第二绑定表;AC或绑定表控制器基于该第一绑定表以及第二绑定表,构建由MAC地址、用户名及IP地址构成的绑定表。当然,若由AC获取该第一绑定表及第二绑定表并构建第三绑定表的情况下,该第三绑定表需由AC上传至绑定表控制器。
[0061] 如:在另一实施例中,也可为:在用户设备进行身份验证时,绑定表控制器获取用户设备对应的MAC地址及用户名,并据此构建第一绑定表;在用户设备所属IP地址配置过程中,绑定表控制器获取IP地址及用户名,并据此构建第二绑定表;并基于该第一绑定表以及第二绑定表,绑定表控制器构建由MAC地址、用户名及IP地址构成的第三绑定表。
[0062] 其中,用户名是用户设备在接入网络过程中进行登录验证的身份标识,通过用户设备与接入设备的设备接入点连接以进行身份认证,并通过AC发送认证消息(如:radius消息)至认证服务器(如:AAA认证服务器)完成身份认证,而且,在身份认证通过后,AC基于MAC地址、用户名之间的绑定关系建立MAC地址与用户名的第一绑定表,并将第一绑定表上传至绑定表控制器进行记录存储。在另一实施例中,在身份认证通过后,也可由AC记录存储该第一绑定表,在完成IP地址配置后,AC主动上传该第一绑定表至绑定表控制器。其中,身份认证包括但不限于802.1X认证或Portal认证。在另一实施例中,在身份认证通过后,还可由AC记录存储该第一绑定表,在完成IP地址配置后,AC在收集到由IP地址与MAC地址构建的第二绑定表情况下,AC基于第一绑定表及第二绑定表构建第三绑定表,并将该第三绑定表主动上传该第一绑定表至绑定表控制器。其中,身份认证包括但不限于802.1X认证或Portal认证。
[0063] 此外,在另一实施例中,在身份认证通过后,用户设备发起IP地址申请请求,由接入设备监听IP地址配置过程,具体的,AP监听客户端对应的DHCPv4报文、DHCPv6报文、ND报文,IP地址配置包括但不限于静态配置、DHCP地址配置、SLAAC地址配置中的任意一种。在AP监听IP地址配置过程中,建立由IP地址与MAC地址构建的第二绑定表,即:以SAVI绑定表形式建立IP地址与MAC地址之间的绑定关系。该AP上报该第二绑定表至AC。
[0064] 在由AC记录存储第一绑定表的情况下,在该AC接收由AP上传的第二绑定表后,该AC将第一绑定表及第二绑定表均上产至绑定表控制器,绑定表控制器基于收集到的IP地址、MAC地址和用户名信息,形成一个MAC地址、IP地址、用户名的第三绑定表,并将该第三绑定表上报至绑定表控制器存储;之后用户进行正常数据通信。
[0065] 在由绑定表控制器记录存储第一绑定表的情况下,该AC将第二绑定表上传至绑定表控制器,该绑定表控制器在获得第一绑定表及第二绑定表后,基于收集到的IP地址、MAC地址和用户名信息,形成一个MAC地址、IP地址、用户名的第三绑定表,并将该第三绑定表上报至绑定表控制器存储;之后用户进行正常数据通信。
[0066] 其中,该第三绑定表为三元组,包括MAC地址、IP地址及用户名之间的绑定关系。
[0067] S200:将所述至少两个用户设备对应的入网用标识信息进行比较;
[0068] 具体的,绑定表控制器将所述至少两个用户设备对应的入网用标识信息进行比较;
[0069] 在用户设备的数量设置为两个时,将该两个用户设备对应的入网用标识信息进行比较;在用户设备的数量大于两个时,则可以根据需要选取目标用户设备进行两两比较。
[0070] 在另一实施例中,比较两个用户设备对应的第三绑定表。即:分别比较两个用户设备入网时对应的IP地址、MAC地址及用户名。
[0071] S300:基于比较结果,确定用户行为,并对所述用户设备进行管理。
[0072] 具体的,基于比较结果,绑定表控制器确定用户行为,并对所述用户设备进行管理。
[0073] 若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同时,确定存在IP地址和/或MAC地址虚假的恶意用户;
[0074] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同及所述MAC地址均相同,但所述IP地址不同时,确定所述用户设备IP地址更新;
[0075] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同及所述IP地址均相同,但所述MAC地址不同时,确定用户驶用新设备登录,并获取原先的IP地址;
[0076] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同,但所述MAC地址及IP地址均不同时,确定为所述至少两个用户设备为同一用户的不同终端;
[0077] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均相同时,确定为同一用户;
[0078] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均不同时,确定所述至少两个用户设备为不同用户的不同终端。
[0079] 此外,在另一实施例中,在对用户设备进行管理之前,可选定预设处理模式,其中,该预设处理模式至少包括两种。该预设处理模式可人为选定,也可谓系统根据需要自动设置。如:该预设处理模式包括第一模式及第二模式,在另一实施例中,该第一模式可设置为严格模式,该第二模式可设置为宽松模式。
[0080] 具体的,在上述步骤S300之前,所述方法还包括:选择预设处理模式,并结合所述选择结果以及所述比较结果对所述用户设备进行管理;其中,所述预设处理模式包括以下两种:第一模式及第二模式。
[0081] 故在第一模式下,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同,则将所述至少两个用户设备均进行下线操作,并将所述至少两个用户设备加入黑名单;
[0082] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名及IP地址均相同,但MAC地址不同,则允许所述至少两个用户设备中的在后入网用户设备上线,将在先入网用户设备进行下线操作;
[0083] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同但IP地址不同时、或所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均相同、或所述至少两个用户设备对应的第三绑定表中用户名、MAC地址及IP地址均不同时,允许所述至少两个用户设备上线。
[0084] 故在第二模式下,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名不同,所述MAC地址及所述IP地址中至少一个相同,则对所述至少两个用户设备均进行告警记录;
[0085] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名及IP地址均相同,但MAC地址不同,则允许所述至少两个用户设备中的在后入网用户设备上线,将在先入网用户设备进行下线操作;
[0086] 或,若所述比较结果表征为:所述至少两个用户设备对应的第三绑定表中用户名相同但IP地址不同、或所述至少两个用户设备的用户名、MAC地址及IP地址均相同、或所述至少两个用户设备的用户名、MAC地址及IP地址均不同时,允许所述至少两个用户设备上线。
[0087] 具体的,以先后进行入网操作的新旧用户设备为例,将该两个用户设备对应的第三绑定表进行比较:
[0088] 1、当比较结果表征为该两个用户设备的MAC地址、IP地址、用户名均相同,即:MAC地址、IP地址、用户名均相同的新旧设备接入时,判定为同一用户,允许其上线;
[0089] 2、当比较结果表征为该两个用户设备的MAC地址、IP地址相同,用户名不同,即:出现MAC地址、IP地址相同,用户名不同的新旧设备接入时,判定为存在仿冒MAC和IP地址的恶意用户。在严格模式下,将新设备和旧设备两者均下线,并加入黑名单;在宽松模式下,进行告警记录。
[0090] 3、当比较结果表征为该两个用户设备的MAC地址相同,IP地址不同,即:出现MAC地址相同,IP地址不同,用户名相同的新旧设备接入时,判定为用户设备IP地址更新,允许其上线。
[0091] 4、当比较结果表征为该两个用户设备的MAC地址相同,IP地址不同,用户名不同,即:出现MAC地址相同,IP地址不同,用户名不同的新旧设备接入时,判定为存在MAC地址仿冒。在严格模式下,将两设备均下线,并加入黑名单;在宽松模式下,进行告警记录。
[0092] 5、当比较结果表征为该两个用户设备的MAC地址不同,IP地址相同,用户名相同,即:出现MAC地址不同,IP地址相同,用户名相同的新旧设备接入时,判定为用户使用新设备登录,获取原先的IP的地址,此时允许新设备上线,将旧有设备下线。
[0093] 6、当比较结果表征为该两个用户设备的MAC地址不同,IP地址相同,用户名不同,即:出现MAC地址不同,IP地址相同,用户名不同的新旧设备接入时,判定为存在仿冒IP。在严格模式下,将两者均下线,并加入黑名单;在宽松模式下,进行告警记录。
[0094] 7、当比较结果表征为该两个用户设备的MAC地址不同,IP地址不同,用户名相同,即:出现MAC地址不同,IP地址不同,用户名相同的新旧设备接入时,判定为同一个用户的多个终端,此时允许上线。
[0095] 8、当比较结果表征为该两个用户设备的MAC地址不同,IP地址不同,用户名不同,即:出现MAC地址不同,IP地址不同,用户名不同的新旧设备接入时,判定为不同用户的不同终端,此时允许上线。
[0096] 在另一个实施例中,根据图3所示,提供了一种入网控制系统,包括:绑定表控制器140,用于执行于执行上述入网控制方法的步骤。
[0097] 在另一实施例中,该系统还包括:
[0098] 认证服务器130,用于对用户设备110进行身份认证;
[0099] 接入设备120,与所述认证服务器130连接,用于监听IP地址配置过程;
[0100] 其中,所述接入设备120具备SAVI功能,在所述SAVI功能开启状态下,所述接入设备120监听IP地址配置过程。
[0101] 具体的,接入设备120包括无线访问接入点AP(Wireless Access Point)与无线控制器AC(Wireless Access Point Controller)。而且,该AP及AC均具备SAVI(Source Address Validation Improvement,源地址验证)功能,AC在SAVI功能开启状态下监听IP地址配置过程。AC与绑定表控制器140构成通信。
[0102] 在无线网络中,新增绑定表控制器140,与AC、认证服务器130(如:AAA认证服务器)进行配合,对接入用户建立IP地址、MAC地址和用户名的绑定,实现对伪造IP地址、MAC地址过滤的方案。
[0103] 其中,仅以802.1X认证为例进行功能阐述,但并不限定认证方式和地址分配方式。其他认证方式如Portal认证等也可部署本发明,但需要注意的是,本实施例要求的SAVI需要确保MAC地址的唯一性,因此在Portal认证场景下需要引入MAC认证等机制。
[0104] 本实施例的部署场景为无线网络,无线网络中部署有业务AC、AP、认证服务器130以及DHCP服务器组件,其中AC和AP需要支持源地址验证功能(SAVI),建立IP地址和MAC地址的绑定。
[0105] 在此基础上,本实施例新增加绑定表控制器140。绑定表控制器140需要:与AC建立通信、建立绑定表项、检查并过滤伪造地址。具体的:
[0106] 1、绑定表控制器140与AC建立通信:绑定表控制器140建立第一绑定表需要用户的认证信息(用户名等),以及由SAVI功能建立的IP‑MAC绑定表,这些数据通常存储在AC中,需要由绑定表控制器140被动监听或由AC主动上报此数据。
[0107] 2.绑定表控制器140建立绑定表项:
[0108] 2.1.客户端认证通过后,AC先行存储客户端的MAC地址、用户名,并在之后的IP‑MAC绑定表建立后一并上传至绑定表控制器140;绑定表控制器140也可作为认证的代理监听认证过程来存储客户端的MAC地址、用户名等信息。
[0109] 2.2.AP监听客户端对应的DHCPv4报文、DHCPv6报文、ND报文,形成IP‑MAC第二绑定表的SAVI绑定表并上报至AC;AC收集到无线客户端的IP地址,结合本地存储的MAC地址和用户名信息,形成一个MAC地址、IP地址、用户名的第三绑定表的表项,上报绑定表控制器140存储;之后用户进行正常数据通信。
[0110] 3.绑定表控制器140检查并过滤伪造地址:
[0111] 本实施例针对用户行为场景做了区分,针对不同的用户行为执行相应的管理操作。本实施例提供了严格模式和宽松模式两种应对措施。在严格模式下,针对异常行为会进行下线和封禁操作;在宽松模式下,针对异常行为仅作记录和上报,不作下线封禁操作。具体的用户行为场景划分如下:
[0112] 3.1、当比较结果表征为新旧设备的MAC地址、IP地址、用户名均相同,即:MAC地址、IP地址、用户名均相同的新旧设备接入时,判定为同一用户,允许其上线;
[0113] 3.2、当比较结果表征为新旧设备的MAC地址、IP地址相同,用户名不同,即:出现MAC地址、IP地址相同,用户名不同的新旧设备接入时,判定为存在仿冒MAC和IP地址的恶意用户。在严格模式下,将新设备和旧设备两者均下线,并加入黑名单;在宽松模式下,进行告警记录。
[0114] 3.3、当比较结果表征为新旧设备的MAC地址相同,IP地址不同,即:出现MAC地址相同,IP地址不同,用户名相同的新旧设备接入时,判定为用户设备IP地址更新,允许其上线。
[0115] 3.4、当比较结果表征为新旧设备的MAC地址相同,IP地址不同,用户名不同,即:出现MAC地址相同,IP地址不同,用户名不同的新旧设备接入时,判定为存在MAC地址仿冒。在严格模式下,将两设备均下线,并加入黑名单;在宽松模式下,进行告警记录。
[0116] 3.5、当比较结果表征为新旧设备的MAC地址不同,IP地址相同,用户名相同,即:出现MAC地址不同,IP地址相同,用户名相同的新旧设备接入时,判定为用户使用新设备登录,获取原先的IP的地址,此时允许新设备上线,将旧有设备下线。
[0117] 3.6、当比较结果表征为新旧设备的MAC地址不同,IP地址相同,用户名不同,即:出现MAC地址不同,IP地址相同,用户名不同的新旧设备接入时,判定为存在仿冒IP。在严格模式下,将两者均下线,并加入黑名单;在宽松模式下,进行告警记录。
[0118] 3.7、当比较结果表征为新旧设备的MAC地址不同,IP地址不同,用户名相同,即:出现MAC地址不同,IP地址不同,用户名相同的新旧设备接入时,判定为同一个用户的多个终端,此时允许上线。
[0119] 3.8、当比较结果表征为新旧设备的MAC地址不同,IP地址不同,用户名不同,即:出现MAC地址不同,IP地址不同,用户名不同的新旧设备接入时,判定为不同用户的不同终端,此时允许上线。
[0120] 而且,本实施例的部署场景为大型无线网络,无线网络中部署有业务AC、AP、认证服务器以及DHCP服务器组件,其中AC和AP需要支持并开启源地址验证功能(SAVI),建立IP地址和MAC地址的绑定。SAVI功能目前已经被主流设备厂商所支持,这一场景是具有一般性的。
[0121] 具体实现中,考虑到AC存储MAC‑用户名的第一绑定表、IP‑MAC的第二绑定表并形成MAC‑IP‑用户名的第三绑定表的实现复杂度,可以对实现逻辑进行更改。客户端的认证需要由AC向认证服务器转发来完成,因此绑定表控制器可作为认证的代理监听认证过程来存储客户端的MAC地址、用户名等信息,此时,AC只需增加将AP上传的IP‑MAC绑定表上传到绑定表控制器的逻辑即可,降低了实现成本。
[0122] 关于一种入网控制系统的具体限定可以参见上文中对于一种入网控制方法的限定,在此不再赘述。上述一种入网控制系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于网络设备中的处理器中,也可以以软件形式存储于网络设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
[0123] 在另一实施例中,提供了一种网络设备,该设备可以是服务器。该设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该设备的处理器用于提供计算和控制能力。该设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该设备的数据库用于存储相关数据。该设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述任一实施例涉及的一种入网控制方法。
[0124] 在另一个实施例中,提供了一种网络设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述任一实施例涉及的一种入网控制方法。
[0125] 本实施例中的一种网络设备所涉及的名词及实现原理具体可以参照上述任一实施例涉及的一种入网控制方法,在此不再赘述。
[0126] 在另一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例涉及的一种入网控制方法。
[0127] 本实施例中的一种计算机可读存储介质所涉及的名词及实现原理具体可以参照上述任一实施例涉及的一种入网控制方法,在此不再赘述。
[0128] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
[0129] 以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0130] 以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。