2. 专利查询
  3. 一种设备接入方法、装置,认证设备及接入设备与流程

一种设备接入方法、装置,认证设备及接入设备与流程

专利查询2023-10-14  132


1.本技术涉及网络通信领域,具体而言,涉及一种设备接入方法、装置,认证设备及接入设备。


背景技术:

2.随着信息化的逐步深入,企业的信息系统也更加复杂化,无论是网络结构、应用系统规模、还是覆盖地域、终端类型与规模都发生了迅猛增长。对于如何有效保障各种网络接入方式,达到各种网络接入全程的安全可信,传统的安全防护思路和技术面临着许多新的问题。
3.目前接入设备接入核心网络的方式仅采用802.1x(一种访问控制和认证协议)认证方式。接入设备一旦认证成功即可访问核心网络中的所有资源。可见,该方式欠缺灵活性及安全性,不能满足当前安全网路通信领域对网络对网络接入的需求。


技术实现要素:

4.本技术实施例的目的在于提供一种设备接入方法、装置,认证设备及接入设备,以提供一种可灵活调整、安全边界清晰且安全性更高的设备接入方案。
5.本发明是这样实现的:
6.第一方面,本技术实施例提供一种设备接入方法,应用于认证设备,包括:接收接入设备发送的链路层发现协议lldp报文;解析所述lldp报文,获取所述lldp报文的预设字段中的认证等级;在所述lldp报文中提取与所述认证等级对应的认证数据,并将所述认证数据发送至认证服务器进行认证;在确定所述认证服务器认证成功后,向所述接入设备发送认证成功通知报文,以及基于与所述认证数据对应的访问控制列表对所述接入设备发送的流量报文进行接入管理。
7.在本技术实施例中,接入设备所发送的lldp报文中的预设字段会配置认证等级,且lldp报文中会携带与认证等级对应的认证数据,使得认证设备在得到认证数据后,将该认证数据发送至认证服务器进行认证,在认证成功后,认证设备基于与认证数据对应的访问控制列表对接入设备后续发送的流量报文进行接入管理。通过该方式,一来可以使得使得接入设备灵活的调整接入的方案,如配置不同的认证等级和认证数据,以实现升级、降级等动态接入核心网络的访问需求。二来,也对接入设备访问资源进行了清晰划分,进而提高网络对网络更加安全的接入需要,如不同的认证数据所对应的访问控制列表中的访问资源不同,进而避免当接入设备一旦认证成功即可访问核心网络中的所有资源的情况的出现。
8.结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述认证等级为第一等级时,所述在所述lldp报文中提取与所述认证等级对应的认证数据,包括:在所述lldp报文中提取所述接入设备的mac地址;其中,所述接入设备的mac地址为所述认证数据。
9.本技术实施例提供一种链接认证方式,即当认证等级为第一等级时,则表征接入设备进行链接认证,此时提取接入设备的mac地址对接入设备进行认证,由于mac地址可以
唯一标识一台接入设备,因此,通过该方式能够确保接入设备的可信度,提高认证的可靠性。
10.结合上述第一方面提供的技术方案,在一些可能的实现方式中,在所述接收接入设备发送的链路层发现协议lldp报文之前,所述方法还包括:接收所述接入设备发送的流量报文或所述预设字段中未携带所述认证等级的lldp报文;向所述接入设备发送回应报文;其中,所述回应报文表征所述接入设备需要进行接入认证。
11.在本技术实施例中,当接入设备在未进行认证或未发送正确的认证报文时,认证设备会向其发送回应报文,以便通知接入设备需要进行认证。
12.结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述认证等级为第二等级时,所述在所述lldp报文中提取与所述认证等级对应的认证数据,包括:在所述lldp报文中提取所述接入设备的摘要信息;其中,所述摘要信息为所述认证数据;所述摘要信息通过预设算法对所述接入设备的硬件设备信息进行处理生成。
13.本技术实施例提供一种设备认证方式,即当认证等级为第二等级时,则表征接入设备进行设备认证,此时提取接入设备的摘要信息(对应接入设备的硬件设备信息)对接入设备进行认证,由于硬件设备的数量、参数预先在配置时所确定,因此破解难度大,进而保障接入设备的可信度,并且此处对硬件设备信息进行处理,以得到摘要信息。一来,可以减小过长的硬件设备信息的管理难度,二来,通过一次数据的处理,也可以进一步地保障接入设备的可信度。
14.结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述认证等级为第三等级时,所述在所述lldp报文中提取与所述认证等级对应的认证数据,包括:在所述lldp报文中提取所述接入设备配置的账号名称及账号密码;其中,所述接入设备配置的账号名称及账号密码为所述认证数据。
15.本技术实施例提供一种账号认证方式,即当认证等级为第三等级时,则表征接入设备进入账号认证,此时提取接入设备的账号名称和账号密码对接入设备进行认证。通过不同的账号名称和账号密码可以作对接入设备的访问资源的动态调整,因此,通过账号认证可以针对接入设备不同的账号名称和账号密码适配不同的访问权限,以进一步地实现安全资源的访问控制。
16.结合上述第一方面提供的技术方案,在一些可能的实现方式中,在确定所述认证服务器认证失败后,所述方法还包括:基于预设的认证策略,确定所述接入设备的处理方式;其中,当预设的认证策略为丢弃策略时,将所述接入设备发送流量报文丢弃;当预设的认证策略为保持策略时,采用所述接入设备前一次认证时对应的访问控制列表对所述接入设备发送的流量报文进行接入管理。
17.在本技术实施例中,通过不同的认证策略,进而提高不同类型的权限变化方式,以满足网络对网络不同权限变化场景的要求。
18.结合上述第一方面提供的技术方案,在一些可能的实现方式中,在确定所述认证服务器认证成功后,所述方法还包括:记录所述接入设备的认证轨迹。
19.在本技术实施例中,通过记录接入设备的认证轨迹,以实现权限变化的可追溯,进而从时间、空间、历史等多个维度对威胁进行分析查找和定位,为快速发现安全威胁提供强有力的手段。
20.第二方面,本技术实施例提供一种设备接入方法,应用于接入设备,包括:向认证设备发送lldp报文;其中,所述lldp报文的预设字段中的携带认证等级,所述lldp报文中还包括与所述认证等级对应的认证数据;接收所述认证设备发送的认证成功通知报文。
21.第三方面,本技术实施例提供一种设备接入装置,应用于认证设备,包括:接收模块,用于接收接入设备发送的链路层发现协议lldp报文;解析模块,用于解析所述lldp报文,获取所述lldp报文的预设字段中的认证等级;发送模块,用于在所述lldp报文中提取与所述认证等级对应的认证数据,并将所述认证数据发送至认证服务器进行认证;管理模块,用于在确定所述认证服务器认证成功后,向所述接入设备发送认证成功通知报文,以及基于与所述认证数据对应访问控制列表对所述接入设备发送的流量报文进行接入管理。
22.第四方面,本技术实施例提供一种设备接入装置,应用于接入设备,包括:发送模块,用于向认证设备发送lldp报文;其中,所述lldp报文的预设字段中的携带认证等级,所述lldp报文中还包括与所述认证等级对应的认证数据;接收模块,用于接收所述认证设备发送的认证成功通知报文。
23.第五方面,本技术实施例提供一种认证设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
24.第六方面,本技术实施例提供一种接入设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第二方面实施例提供的方法。
25.第七方面,本技术实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
26.为了更清楚地说明本技术实施例的技术方案,下面将对本技术实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的一种网络系统的结构框图。
28.图2为本技术实施例提供的一种认证设备的结构框图。
29.图3为本技术实施例提供的一种设备接入方法的流程图。
30.图4为本技术实施例提供的另一种设备接入方法的流程图。
31.图5为本技术实施例提供的又一种设备接入方法的流程图。
32.图标:10-网络系统;100-认证设备;110-处理器;120-存储器;200-接入设备;300-认证服务器。
具体实施方式
33.下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行描述。
memory,prom)、可擦可编程序只读存储器(erasable programmable read-only memory,eprom),以及电可擦编程只读存储器(electric erasable programmable read-only memory,eeprom)。存储器120用于存储程序,处理器110在接收到执行指令后,执行该程序。
48.需要说明的是,图2所示的结构仅为示意,本技术实施例提供的认证设备100还可以具有比图2更少或更多的组件,或是具有与图2所示不同的配置。此外,图2所示的各组件可以通过软件、硬件或其组合实现。
49.此外,接入设备200和认证服务器300的具体结构也可以参考图2所示出的结构,为了避免累赘,此处不作赘述。
50.请参阅图3,图3为本技术实施例提供的设备接入方法的步骤流程图,该方法应用于图1所示的网络系统10中。需要说明的是,本技术实施例提供的设备接入方法不以图3及以下所示的顺序为限制,该方法包括:步骤s101-步骤s107。
51.步骤s101:接入设备向认证设备发送lldp(link layer discovery protocol,链路层发现协议)报文。
52.本技术实施例中,接入设备通过lldp报文以实现认证。下面对lldp报文进行说明。
53.lldp报文的格式如下:
[0054][0055]
其中,lldpdu(link layer discovery protocol data unit,链路层发现协议数据单元)是lldp报文的有效负载,用于承载需要发送的消息。由于上述lldp报文为本领域所熟知,因此此处不对该报文中其他字段信息进行说明。
[0056]
lldpdu的格式如下:
[0057][0058]
需要说明的是,tlv是组成lldpdu的单元,每个tlv(type-length-value,类型长度值)都代表一个信息,每个tlv中包括tlv type(tlv类型)、tlv infomation string length(指tlv信息字符串长度)及tlv information string(tlv信息串)。由于上述lldpdu格式为本领域所熟知,因此此处不对该格式中的每个tlv进行说明。
[0059]
tlv的格式如下:
[0060][0061]
在现有的lldpdu的格式中,tlv type为9~126的字段为保留字段,因此,本技术实施例对保留字段进行配置。比如将tlv type100作为一个预设字段进行配置。当然,其他实
施例中,可以是采用tlv type9~126的字段中的任一字段作为预设字段。
[0062]
作为一种实施方式,在tlv type100的tlv information string中填充认证等级和与该认证等级所对应的认证数据。
[0063]
作为又一种实施方式,在tlv type100的tlv information string中仅填充认证等级,而认证数据可以填充在其他字段。
[0064]
一实施例中,认证等级可以包括第一等级、第二等级和第三等级。
[0065]
其中,第一等级对应链接认证(link-authentication),第二等级对应设备认证(device-authentication),第三等级对应账号认证(account认证)。
[0066]
需要说明的是,在链接认证中,网络与网络对接时,每一台可以接入的设备都是一条可以接入的链接,采用每个设备的mac地址来对该设备进行唯一标识。因此,链接认证所对应的认证数据为mac地址。在确定出mac地址后,可以将其填充至预设字段中,如tlv type100。当然,由于mac地址本身会填充在lldp报文中,因此,在预设字段中也可以不填充mac地址,或mac地址也可以填充在tlv type9~126中的其他字段,本技术不作限定。
[0067]
设备认证是一种设备认证方式,在认证服务器的配置时,可以协商可以接入的硬件设备信息,硬件设备信息可以是但不限于cpu的型号、版本编号,交换芯片的型号、端口数量、版本,某个功能模块的版本、型号。由于硬件设备的数量、参数预先在配置时所确定,因此破解难度大,进而可以保障接入设备的可信度。在设备认证下,认证数据为硬件设备信息。
[0068]
在一种实施方式下,可以对硬件设备信息做进一步地处理,如采用预设算法对硬件设备信息进行处理,以生成摘要信息。其中,摘要信息即为认证数据。通过对硬件设备信息进行处理,以得到摘要信息。一来,可以减小过长的硬件设备信息的管理难度,二来,通过一次数据的处理,也可以进一步地保障接入设备的可信度。
[0069]
上述的预设算法可以是但不限于关键字提取算法、哈希算法。
[0070]
账号认证是一种账号认证方式,其中,接入设备的账号名称和账号密码可以由核心网络的管理人员(部门)下发的。
[0071]
在上述基础上,认证等级的具体划分可以参考表一:
[0072]
表一
[0073]
[0074][0075]
表一中,authentication type表示认证等级,type basis表示认证等级对应的认证方式。其中,认证等级为0表示未进行认证(no-authentication),认证等级为1对应第一等级,表示进行链接认证。认证等级为2对应第二等级,表示进行设备认证。认证等级3~253对应第三等级,表示账号认证。认证等级254表示keep-authentication(保持认证);认证等级255表示error(认证错误)。
[0076]
需要说明的是,认证等级3~253中相邻的两个等级作为一个账号进行认证,如认证等级3表示第一个账号(account1)的账号名称(usename),认证等级4表示第一个账号(account1)的账号密码(password)。如认证等级5表示第二个账号(account2)的账号名称(usename),认证等级6表示第二个账号(account2)的账号密码(password)。上述账号认证可以提供125个不同的安全账号进行认证。
[0077]
在其他实施例中,第一等级、第二等级、第三等级还可以对应其他不同的数值,本技术不作限定。
[0078]
上述三种认证方式在后续实施例中均由详细说明,此处不作过多阐述。
[0079]
此外,接入设备在进行认证时,可以根据认证等级的顺序依次进行认证,如接入设备先进行链接认证,此时,接入设备发送的lldp报文中的预设字段填充第一等级以及在lldp报文中填充该接入设备的mac地址。在链接认证认证通过后,接入设备再进行设备认证,此时接入设备发送的lldp报文中的预设字段填充第二等级以及在lldp报文中填充该接入设备的硬件设备信息或摘要信息。在设备认证认证通过后,若接入设备配置有账号名称和账号密码,则接入设备可再进行账号认证,此时接入设备发送的lldp报文中的预设字段填充第三等级及该账号名称和账号密码。需要说明的是,若第一次进行账号认证,则预设字段填充的第三等级为认证等级3和认证等级4。以后的每次账号认证,预设字段填充的第三等级依次增加,如第二进行账号认证,则预设字段填充的第三等级为认证等级5和认证等级6。
[0080]
步骤s102:认证设备解析lldp报文,获取lldp报文的预设字段中的认证等级。
[0081]
需要说明的是,核心网络的认证设备开启可信认证时,端口处于受控状态,此时不向外发送任何报文,仅需要等待接入设备的接入,并对接入设备进行安全可信认证,此处规定不在该端口上主动向外发送lldp报文。
[0082]
认证设备在获取到接入设备发送的lldp报文后,首先对该lldp报文进行解析,以获取预设字段中的认证等级。
[0083]
其中,认证等级则包括上述的第一等级、第二等级及第三等级。
[0084]
假设接入设备进行链接认证,则认证设备解析出该lldp报文的预设字段中携带的认证等级为authentication type=1(对应第一等级)。
[0085]
假设接入设备进行设备认证,则认证设备解析出该lldp报文的预设字段中携带的认证等级为authentication type=2(对应第二等级)。
[0086]
假设接入设备进行账号认证,则认证设备解析出该lldp报文的预设字段中携带的认证等级可以为authentication type=3和authentication type=4(对应第三等级)。
[0087]
步骤s103:认证设备在lldp报文中提取与认证等级对应的认证数据。
[0088]
当认证设备获取到lldp报文的预设字段中的认证等级后,在lldp报文中提取与认证等级对应的认证数据。
[0089]
若认证设备提取出的认证等级为第一等级,则认证设备在lldp报文中提取接入设备的mac地址。
[0090]
可见,本技术实施例提供一种链接认证方式,即当认证等级为第一等级时,则表征接入设备进行链接认证,此时提取接入设备的mac地址对接入设备进行认证,由于mac地址可以唯一标识一台接入设备,因此,通过该方式能够确保接入设备的可信度,提高认证的可靠性。
[0091]
若认证设备提取出的认证等级为第二等级,则认证设备在lldp报文中提取接入设备的摘要信息或接入设备的硬件设备信息。
[0092]
可见,本技术实施例提供一种设备认证方式,即当认证等级为第二等级时,则表征接入设备进行设备认证,此时提取接入设备的摘要信息(对应接入设备的硬件设备信息)或接入设备的硬件设备信息对接入设备进行认证,由于硬件设备的数量、参数预先在配置时所确定,因此破解难度大,进而保障接入设备的可信度,并且此处对硬件设备信息进行处理,以得到摘要信息。一来,可以减小过长的硬件设备信息的管理难度,二来,通过一次数据的处理,也可以进一步地保障接入设备的可信度。
[0093]
若认证设备提取出的认证等级为第三等级,则认证设备在lldp报文中提取接入设备配置的账号名称及账号密码。
[0094]
可见,本技术实施例提供一种账号认证方式,即当认证等级为第三等级时,则表征接入设备进入账号认证,此时提取接入设备的账号名称和账号密码对接入设备进行认证。通过不同的账号名称和账号密码可以作对接入设备的访问资源的动态调整,因此,通过账号认证可以针对接入设备不同的账号名称和账号密码适配不同的访问权限,以进一步地实现安全资源的访问控制。
[0095]
需要说明的是,接入设备在配置lldp报文可以将认证数据也填充至预设字段,进而使得认证设备在解析该lldp报文时,可以直接从预设字段中直接提取认证等级以及认证数据。当然,认证数据也可以配置在其他字段,本技术不作限定。
[0096]
步骤s104:认证设备将认证数据发送至认证服务器进行认证。
[0097]
然后认证设备将认证数据发送至认证服务器进行认证。
[0098]
一实施例中,认证设备可以通过aaa(authentication、authorization、accounting,验证、授权、记账)服务向认证服务器发送认证数据进行认证。
[0099]
需要说明的是,由于认证服务器在配置数据时,以用户名和密码的方式进行配置,因此,认证设备在发送认证数据时,将认证数据配置成用户名和密码的形式进行发送。
[0100]
若认证数据为mac地址,则将该mac地址既作为用户名,又作为密码发送至认证服务器。
[0101]
若认证数据为摘要信息,则将该摘要信息既作为用户名,又作为密码发送至认证服务器。
[0102]
若认证数据为账号名称及账号密码,则将账号名称作为用户名,将账号密码作为密码发送至认证服务器。
[0103]
步骤s105:认证服务器对认证数据进行认证,在认证通过后,向认证设备发送认证成功报文。
[0104]
认证服务器在接收到认证数据后,即可将认证数据与自身预先配置的数据进行比对。
[0105]
需要说明的是,认证服务器预先配置的数据包括用户名、密码及各自对应的权限信息(如访问控制列表(access control lists,acl))。
[0106]
示例性的,认证服务器会预先配置可以信任的mac地址、摘要信息、账号名称及账号密码。其中,可以信任的mac地址既作为用户名,又作为密码。可以信任的摘要信息既作为用户名,又作为密码。
[0107]
当认证服务器预先配置的数据中包括认证数据,则认证通过。认证服务器向认证设备发送认证成功报文。其中,该认证成功报文中携带认证数据所对应的权限信息,即访问控制列表。
[0108]
步骤s106:认证设备在确定服务器认证成功后,向接入设备发送认证成功通知报文。
[0109]
认证设备在确定服务器认证成功后,向接入设备发送认证成功通知报文。其中认证成功通知报文中也可以是lldp报文;此时,lldp报文中的tlv type100填充的信息包括:认证等级authentication type=254,表示保持认证。此时,认证设备与接入设备建立lldp邻居。
[0110]
步骤s107:认证设备基于与认证数据对应的访问控制列表对接入设备发送的流量报文进行接入管理。
[0111]
在认证设备与接入设备建立lldp邻居后,接入设备即可向认证设备发送流量报文,此时,认证设备基于与认证数据对应访问控制列表对接入设备发送的流量报文进行接入管理。
[0112]
示例性的,若接入设备通过了链接认证,则基于mac地址所对应的访问控制列表对接入设备发送的流量报文进行管理。如接入设备发送的流量报文在访问控制列表中,则接入该流量报文,若接入设备发送的流量报文不在访问控制列表中,则不接入该流量报文。
[0113]
若接入设备通过了设备认证,则基于摘要信息所对应的访问控制列表对接入设备发送的流量报文进行管理。如接入设备发送的流量报文在访问控制列表中,则接入该流量报文,若接入设备发送的流量报文不在访问控制列表中,则不接入该流量报文。
[0114]
若接入设备通过了账号认证,则基于账号名称和账户密码所对应的访问控制列表对接入设备发送的流量报文进行管理。如接入设备发送的流量报文在访问控制列表中,则接入该流量报文,若接入设备发送的流量报文不在访问控制列表中,则不接入该流量报文。
[0115]
需要说明的是,认证等级越高,则对应的权限等级越高,也即,认证等级越高,则可
访问的资源也就越大。如第二等级对应的可访问的资源多于第一等级对应的可访问的资源,第三等级对应的可访问的资源多于第二等级对应的可访问的资源。此外,当第三等级包括认证等级3~253时,认证等级的数值越大,则对应的可访问的资源越多。
[0116]
此外,认证设备可以根据认证等级来确定权限等级。如接入设备通过了链接认证,接入设备进行链接认证的认证等级为1,则认证设备确定接入设备的权限等级也为1。如接入设备通过了设备认证,接入设备进行设备认证的认证等级为2,则认证设备确定接入设备的权限等级也为2。如接入设备通过了账号认证,接入设备进行账号认证的认证等级为认证等级3和认证等级4。此时,权限等级可以将账号名称对应的认证等级3确定为权限等级,也可以将账号密码对应的认证等级4确定为权限等级,对此,本技术不作限定。
[0117]
通过权限等级的划分也便于实现接入设备的升级和降级。比如,在接入设备获取到账号名称及账号密码后,可以在权限等级为2的基础上进行升级。又比如接收的账号名称及账号密码只在某一个时间范围内有效,则超过时间范围后,则需要进行降级。
[0118]
综上,在本技术实施例中,接入设备所发送的lldp报文中的预设字段会配置认证等级,且lldp报文中会携带与认证等级对应的认证数据,使得认证设备在得到认证数据后,将该认证数据发送至认证服务器进行认证,在认证成功后,认证设备基于与认证数据对应的访问控制列表对接入设备后续发送的流量报文进行接入管理。通过该方式,一来可以使得使得接入设备灵活的调整接入的方案,如配置不同的认证等级和认证数据,以实现升级、降级等动态接入核心网络的访问需求。二来,也对接入设备访问资源进行了清晰划分,进而提高网络对网络更加安全的接入需要,如不同的认证数据所对应的访问控制列表中的访问资源不同,进而避免当接入设备一旦认证成功即可访问核心网络中的所有资源的情况的出现。
[0119]
此外,若是接入设备为首次接入核心网络,则在认证前,即步骤s101之前,该方法还包括:认证设备接收接入设备发送的流量报文或预设字段中未携带认证等级的lldp报文;然后向接入设备发送回应报文;其中,回应报文表征接入设备需要进行接入认证。
[0120]
其中,回应报文也为lldp报文,此时lldp报文中的tlv type100填充的信息包括:认证等级authentication type=0,表示未进行认证。相应的,此时认证设备确定接入设备的权限等级为0。在认证通过之前,任何从接入设备进入核心网络的流量报文都需要丢弃。
[0121]
可见,在本技术实施例中,当接入设备在未进行认证或未发送正确的认证报文时,认证设备会向其发送回应报文,以便通知接入设备需要进行认证。
[0122]
此外,需要说明的是,当认证设备确定认证服务器认证失败后(即当认证服务器预先配置的数据中不包括认证数据),该方法还包括:基于预设的认证策略,确定接入设备的处理方式。其中,当预设的认证策略为丢弃策略时,将接入设备发送流量报文丢弃;当预设的认证策略为保持策略时,采用接入设备前一次认证时对应的访问控制列表对接入设备发送的流量报文进行接入管理。
[0123]
示例性的,接入设备在链接认证通过后,再进行设备认证。若接入设备设备认证失败,则认证设备可以基于预设的认证策略来确定接入设备的处理方式。
[0124]
当预设的认证策略为丢弃策略时,认证设备向接入设备发送认证失败通知报文,其中认证失败通知报文中也可以是lldp报文;此时,lldp报文中的tlv type100填充的信息包括:认证等级authentication type=255,表示所有流量丢弃。之后认证设备接收到接入
设备发送的所有流量报文均丢弃。
[0125]
当预设的认证策略为保持策略时,则此时认证设备调整接入设备的权限等级。按前一次认证通过时的权限等级对接入设备发送的流量报文进行接入管理。如在接入设备设备认证失败后,则按照链接认证时所对应的访问控制列表对接入设备发送的流量报文进行接入管理。
[0126]
可见,在本技术实施例中,通过不同的认证策略,进而提高不同类型的权限变化方式,以满足网络对网络不同权限变化场景的要求。
[0127]
此外,认证设备还用于记录接入设备的认证轨迹。认证轨迹可以包括接入设备的权限等级(authentication level)变化,认证轨迹中也可以包括接入设备的mac地址。
[0128]
示例性的,一种认证轨迹为:
[0129]
authentication level=1;
[0130]
authentication level=2。
[0131]
上述认证轨迹表示接入设备依次进行了链接认证和设备认证,且链接认证和设备认证均通过。
[0132]
通过记录接入设备的认证轨迹,以实现权限变化的可追溯,进而从时间、空间、历史等多个维度对威胁进行分析查找和定位,为快速发现安全威胁提供强有力的手段。
[0133]
请参阅图4,基于同一发明构思,本技术实施例还提供一种设备接入方法,该方法应用于认证设备,需要说明的是,本技术实施例提供的网络访问方法不以图4及以下所示的顺序为限制,该方法包括:步骤s201~步骤s204。
[0134]
步骤s201:接收接入设备发送的链路层发现协议lldp报文。
[0135]
步骤s202:解析lldp报文,获取lldp报文的预设字段中的认证等级。
[0136]
步骤s203:在lldp报文中提取与认证等级对应的认证数据,并将认证数据发送至认证服务器进行认证。
[0137]
步骤s204:在确定认证服务器认证成功后,向接入设备发送认证成功通知报文,以及基于与认证数据对应的访问控制列表对接入设备发送的流量报文进行接入管理。
[0138]
需要说明的是,由于上述步骤在前述实施例中已有说明,此处不作赘述,相同部分互相参考即可。
[0139]
请参阅图5,基于同一发明构思,本技术实施例还提供一种设备接入方法,该方法应用于接入设备,需要说明的是,本技术实施例提供的网络访问方法不以图5及以下所示的顺序为限制,该方法包括:步骤s301~步骤s302。
[0140]
步骤s301:向认证设备发送lldp报文;其中,lldp报文的预设字段中的携带认证等级,lldp报文中还包括与认证等级对应的认证数据。
[0141]
步骤s302:接收认证设备发送的认证成功通知报文。
[0142]
需要说明的是,由于上述步骤在前述实施例中已有说明,此处不作赘述,相同部分互相参考即可。
[0143]
基于同一发明构思,本技术实施例还提供一种设备接入装置,其应用于认证设备,包括:
[0144]
接收模块,用于接收接入设备发送的链路层发现协议lldp报文。
[0145]
解析模块,用于解析所述lldp报文,获取所述lldp报文的预设字段中的认证等级。
[0146]
发送模块,用于在所述lldp报文中提取与所述认证等级对应的认证数据,并将所述认证数据发送至认证服务器进行认证。
[0147]
管理模块,用于在确定所述认证服务器认证成功后,向所述接入设备发送认证成功通知报文,以及基于与所述认证数据对应访问控制列表对所述接入设备发送的流量报文进行接入管理。
[0148]
可选地,当所述认证等级为第一等级时,该发送模块还用于在所述lldp报文中提取所述接入设备的mac地址;其中,所述接入设备的mac地址为所述认证数据。
[0149]
可选地,接收模块还用于在在所述接收接入设备发送的链路层发现协议lldp报文之前,接收所述接入设备发送的流量报文或所述预设字段中未携带所述认证等级的lldp报文,向所述接入设备发送回应报文;其中,所述回应报文表征所述接入设备需要进行接入认证。
[0150]
可选地,当所述认证等级为第二等级时,该发送模块还用于在所述lldp报文中提取所述接入设备的摘要信息;其中,所述摘要信息为所述认证数据;所述摘要信息通过预设算法对所述接入设备的硬件设备信息进行处理生成。
[0151]
可选地,当所述认证等级为第三等级时,该发送模块还用于在所述lldp报文中提取所述接入设备配置的账号名称及账号密码;其中,所述接入设备配置的账号名称及账号密码为所述认证数据。
[0152]
可选地,管理模块还用于在确定所述认证服务器认证失败后,基于预设的认证策略,确定所述接入设备的处理方式;其中,当预设的认证策略为丢弃策略时,将所述接入设备发送流量报文丢弃;当预设的认证策略为保持策略时,采用所述接入设备前一次认证时对应的访问控制列表对所述接入设备发送的流量报文进行接入管理。
[0153]
可选地,该装置还包括认证模块。认证模块用于在确定所述认证服务器认证成功后,记录所述接入设备的认证轨迹。
[0154]
基于同一发明构思,本技术实施例还提供一种设备接入装置,其应用于接入设备,包括:
[0155]
发送模块,用于向认证设备发送lldp报文;其中,所述lldp报文的预设字段中的携带认证等级,所述lldp报文中还包括与所述认证等级对应的认证数据。
[0156]
接收模块,用于接收所述认证设备发送的认证成功通知报文。
[0157]
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0158]
基于同一发明构思,本技术实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
[0159]
该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如软盘、硬盘、磁带)、光介质(例如dvd)、或者半导体介质(例如固态硬盘solid state disk(ssd))等。
[0160]
在本技术所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻
辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0161]
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0162]
再者,在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0163]
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
[0164]
以上所述仅为本技术的实施例而已,并不用于限制本技术的保护范围,对于本领域的技术人员来说,本技术可以有各种更改和变化。凡在本技术的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本技术的保护范围之内。

技术特征:
1.一种设备接入方法,其特征在于,应用于认证设备,包括:接收接入设备发送的链路层发现协议lldp报文;解析所述lldp报文,获取所述lldp报文的预设字段中的认证等级;在所述lldp报文中提取与所述认证等级对应的认证数据,并将所述认证数据发送至认证服务器进行认证;在确定所述认证服务器认证成功后,向所述接入设备发送认证成功通知报文,以及基于与所述认证数据对应的访问控制列表对所述接入设备发送的流量报文进行接入管理。2.根据权利要求1所述的方法,其特征在于,当所述认证等级为第一等级时,所述在所述lldp报文中提取与所述认证等级对应的认证数据,包括:在所述lldp报文中提取所述接入设备的mac地址;其中,所述接入设备的mac地址为所述认证数据。3.根据权利要求2所述的方法,其特征在于,在所述接收接入设备发送的链路层发现协议lldp报文之前,所述方法还包括:接收所述接入设备发送的流量报文或所述预设字段中未携带所述认证等级的lldp报文;向所述接入设备发送回应报文;其中,所述回应报文表征所述接入设备需要进行接入认证。4.根据权利要求1所述的方法,其特征在于,当所述认证等级为第二等级时,所述在所述lldp报文中提取与所述认证等级对应的认证数据,包括:在所述lldp报文中提取所述接入设备的摘要信息;其中,所述摘要信息为所述认证数据;所述摘要信息通过预设算法对所述接入设备的硬件设备信息进行处理生成。5.根据权利要求1所述的方法,其特征在于,当所述认证等级为第三等级时,所述在所述lldp报文中提取与所述认证等级对应的认证数据,包括:在所述lldp报文中提取所述接入设备配置的账号名称及账号密码;其中,所述接入设备配置的账号名称及账号密码为所述认证数据。6.根据权利要求1所述的方法,其特征在于,在确定所述认证服务器认证失败后,所述方法还包括:基于预设的认证策略,确定所述接入设备的处理方式;其中,当预设的认证策略为丢弃策略时,将所述接入设备发送流量报文丢弃;当预设的认证策略为保持策略时,采用所述接入设备前一次认证时对应的访问控制列表对所述接入设备发送的流量报文进行接入管理。7.根据权利要求1所述的方法,其特征在于,在确定所述认证服务器认证成功后,所述方法还包括:记录所述接入设备的认证轨迹。8.一种设备接入方法,其特征在于,应用于接入设备,包括:向认证设备发送lldp报文;其中,所述lldp报文的预设字段中的携带认证等级,所述lldp报文中还包括与所述认证等级对应的认证数据;接收所述认证设备发送的认证成功通知报文。9.一种设备接入装置,其特征在于,应用于认证设备,包括:
接收模块,用于接收接入设备发送的链路层发现协议lldp报文;解析模块,用于解析所述lldp报文,获取所述lldp报文的预设字段中的认证等级;发送模块,用于在所述lldp报文中提取与所述认证等级对应的认证数据,并将所述认证数据发送至认证服务器进行认证;管理模块,用于在确定所述认证服务器认证成功后,向所述接入设备发送认证成功通知报文,以及基于与所述认证数据对应的访问控制列表对所述接入设备发送的流量报文进行接入管理。10.一种设备接入装置,其特征在于,应用于接入设备,包括:发送模块,用于向认证设备发送lldp报文;其中,所述lldp报文的预设字段中的携带认证等级,所述lldp报文中还包括与所述认证等级对应的认证数据;接收模块,用于接收所述认证设备发送的认证成功通知报文。11.一种认证设备,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于运行存储在所述存储器中的程序,执行如权利要求1-7中任一项所述的方法。12.一种接入设备,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于运行存储在所述存储器中的程序,执行如权利要求8所述的方法。

技术总结
本申请提供一种设备接入方法、装置,认证设备及接入设备。该方法包括:接收接入设备发送的链路层发现协议LLDP报文;解析LLDP报文,获取LLDP报文的预设字段中的认证等级;在LLDP报文中提取与认证等级对应的认证数据,并将认证数据发送至认证服务器进行认证;在确定认证服务器认证成功后,向接入设备发送认证成功通知报文,以及基于与认证数据对应访问控制列表对接入设备发送的流量报文进行接入管理。通过该方式,一来可以使得使得接入设备灵活的调整接入的方案,如配置不同的认证等级和认证数据,以实现升级、降级等动态接入核心网络的访问需求。二来,也对接入设备访问资源进行了清晰划分,进而提高网络对网络更加安全的接入需要。要。要。


技术研发人员:陈可
受保护的技术使用者:迈普通信技术股份有限公司
技术研发日:2021.11.30
技术公布日:2022/3/8

专利

最新回复(0)