一种数据连接方法、系统及装置与流程
本发明涉及通信领域,具体涉及一种数据连接方法、系统及装置。
背景技术:
如图1所示,在某些大型的跨地域的企业或行业,其内部存在成百上千个用户网络和多个信息中心,各用户网络和信息中心通过专用广域网连接,网络中均为对等节点,不存在网络地址转换(nat)。位于用户网络内的客户端经常需要同时访问多个不同的信息中心。通常,各信息中心分属不同的主管部门,对于来访的不同用户需要独特的授权,并且这种授权管理通常由各自的信息中心主管部门自行决定,无法进行全行业统一授权管理。这类企业一般已经拥有相对统一的账户身份颁发或标识系统(如员工编号、数字证书等)。
此外,这类行业用户的信息中心内的服务器历史悠久、种类繁多,既有传统的基于c/s构架的服务,也有新建的基于b/s构架的服务,同时,还可能存在基于udp协议的应用,如何实现一个统一又独立、简单又强大、灵活又高效的基于用户身份的认证授权与访问控制系统,是网络安全业面临的长久难题。
现存有如下两个类型的解决方案:第一种如图2所示,采用认证网关加防火墙的技术方案,该方案中,在用户网络的出口部署认证网关,在信息中心的入口部署防火墙。客户主机在用户网络的出口网关完成身份认证后,用户网络网关负责维护客户端的ip地址与身份标识的映射,并将该映射发送到信息中心的防火墙,在信息中心的防火墙上将该该用户的权限转化为基于ip地址的访问规则。第二种如图3所示,采用vpn隧道技术方案,该方案中,仅在信息中心的入口部署支持vpn隧道(如ipsec、l2tp、sslvpn等)的防火墙,在用户网络的每台主机安装vpn客户端。
对于上述现有的技术方案,存在以下问题:
1)从安全方面看:a.传统认证网关方案由于仅在接入认证时验证用户身份,认证完成后,客户端的所有访问控制均转化为基于ip地址的策略,通常用户网络和信息中心之间存在较大的开放网络,其地址很容易被伪装或假冒。b.vpn隧道封装方案由于减少了用户网络的出口网关,缺少了基本的接入认证过滤,信息中心的入口网关成为访问的瓶颈,可能面临大量的未认证的非法接入,容易受到拒绝服务攻击。
2)从性能方面看:对于隧道封装方案,隧道的建立和报文的重组都需要耗用较多的时间和资源,可能导致网络吞吐性能的大幅下降,信息中心的入口网关需要较强的处理能力,否则很难维持大量的并发用户访问。同样道理,对于用户网络内大量的老旧客户端主机,其硬件配置有时无法胜任。
3)从部署方面看:对于vpn隧道方案,按照封装方式,通常会不同程度地改变网络报文的源地址、目的地址或访问路径,可能需要对原有信息中心内的服务器或应用程序进行改造或改写。同时,该类方案需要在每个客户主机安装vpn客户端程序,除了增加部署工作外,还会导致大量的兼容问题。
技术实现要素:
:
本发明提供一种数据连接方法及系统,以实现更加有效安全的网络访问控制及授权。
为解决上述技术问题,本发明提供一种检测方法,所述方法包括:
认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关;
所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。
可选地,
所述判断所述终端设备是否通过认证包括:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所 述终端设备通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关;
所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括:
当所述授权控制网关从所述数据连接报文中获取到身份标识时,将所述身份标识与所述授权控制网关的授权策略进行匹配,当所述授权策略允许时,则在连接会话表中记录所述身份标识,并将所述数据连接报文发送给所述服务器。
可选地,
所述判断所述终端设备是否通过认证包括:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关;
所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器包括:
当所述授权控制网关从所述数据连接报文中未获取到身份标识时,如果未认证用户配置的策略允许时,则将所述数据连接报文发送给所述服务器。
可选地,
所述方法还包括:
所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,所述认证接入网关对所述认证信息进行验证;
当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
可选地,
当所述认证接入网关对所述认证信息验证通过后,所述方法还包括:
所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。
可选地,
所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关后,所述方法还包括:
所述授权控制网关接收到所述身份标识和认证信息后,根据所述认证信息的属性生成所述身份标识对应的授权策略。
本发明还提供一种数据连接方法,应用于认证接入网关,所述方法包括:
认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。
可选地,
所述判断所述终端设备是否通过认证包括:
所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。
可选地,
所述判断所述终端设备是否通过认证包括:
所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关。
可选地,
所述方法还包括:
所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,所述认证接入网关对所述认证信息进行验证;
当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
可选地,
当所述认证接入网关对所述认证信息验证通过后,所述方法还包括:
所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。
本发明还提供一种数据连接系统,所述系统包括认证接入网关和授权控制网关:
所述认证接入网关用于获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;还用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关;
所述授权控制网关用于根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。
可选地,
所述认证接入网关用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行 比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;
所述认证接入网关还用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关;
所述授权控制网关用于根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器具体是指:
当所述授权控制网关从所述数据连接报文中获取到身份标识时,将所述身份标识与所述授权控制网关的授权策略进行匹配,当所述授权策略允许时,则在连接会话表中记录所述身份标识,并将所述数据连接报文发送给所述服务器。
可选地,
所述认证接入网关用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述认证接入网关还用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关;
所述授权控制网关用于根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器具体是指:
当所述授权控制网关从所述数据连接报文中未获取到身份标识时,如果未认证用户配置的策略允许时,则将所述数据连接报文发送给所述服务器。
可选地,
所述认证接入网关还用于接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,对所述认证信息进行验证;以及还用于当所述认证信 息验证通过时,保存所述身份标识与源地址的映射关系。
可选地,
所述认证接入网关还用于将所述身份标识和认证信息发送给所述授权控制网关。
可选地,
所述授权控制网关还用于接收到所述身份标识和认证信息后,根据所述认证信息的属性生成所述身份标识对应的授权策略。
本发明还提供一种装置,设置于认证接入网关,所述装置包括:
判断模块,用于获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;
第一处理模块,用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。
可选地,
所述判断模块用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;
所述第一处理模块用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。
可选地,
所述判断模块判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述第一处理模块用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关。
可选地,
所述装置还包括:
认证模块,用于接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,对所述认证信息进行验证;还用于当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
可选地,
所述装置还包括:
第二处理模块,用于将所述身份标识和认证信息发送给所述授权控制网关。
上述方案通过将认证与授权完全分离,提供了更加有效安全的网络访问控制及授权方法,同时可有效防止ip地址伪装攻击。
附图说明
图1为分布式用户网络与信息中心示意图;
图2为认证加防火墙解决方案的示意图;
图3为vpn隧道解决方案的示意图;
图4为本发明的网络部署的示意图;
图5为实施例一中数据连接方法的流程图;
图6为实施例一中数据连接方法的另一流程图;
图7为实施例三中数据连接系统的结构示意图;
图8为实施例三中装置的结构示意图;
图9为实施例三中装置的另一结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图 对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图4所示,本发明的技术方案中,用户网络内的各终端设备上安装有认证客户端,用户网络的出口部署有认证接入网关,信息中心的入口部署有授权控制网关。
认证客户端负责与认证接入网关发起认证请求,还负责建立和维持认证连接,还可以负责路由导向与数据报封装。认证接入网关负责接受认证客户端的认证请求,认证成功时分配包含身份标识的通关票据;负责建立和维持与客户端的认证连接;此外客户端上下线时向授权控制网关通告用户信息与登录状态,以及对数据连接的首包插入ip选项安全扩展。授权控制网关负责接收认证接入网关的用户信息与登录状态通告,提供授权策略的配置界面,从数据连接的首包提取ip选项安全扩展,以及对数据报文根据身份标识实施授权与控制策略。
实施例一
如图5所示,本实施例提供一种数据连接方法,所述方法包括:
步骤s11:认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;
步骤s12:所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关;
步骤s13:所述授权控制网关根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。
可选地,还包括:
步骤s14:认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,所述认证接入网关对所述认证信息进行验证;当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
步骤s15:认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。
步骤s16:授权控制网关接收到所述身份标识和认证信息后,根据所述认 证信息的属性生成所述身份标识对应的授权策略。
在本实施例中,对已通过认证的终端,认证接入网关获取到终端设备发送的数据连接报文后,将该数据连接报文的源地址和认证接入网关记录的映射关系进行比对;当在映射关系中查找到源地址对应的身份标识时,则判断所述终端设备通过认证。然后认证接入网关将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。授权控制网关接收到插入有身份标识的数据连接报文后,可以从该数据连接报文中获取身份标识,然后将所述身份标识与授权控制网关的授权策略进行匹配,当授权策略允许时,则在连接会话表中记录所述身份标识,并将该数据连接报文发送给服务器。
对于未通过认证的终端设备,认证接入网关获取到终端设备发送的数据连接报文后,将该数据连接报文的源地址和认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证。然后认证接入网关将该数据连接报文直接发送给授权控制网关。授权控制网关接收该数据连接报文后,从该数据连接报文中未获取到身份标识时,查看未认证用户配置的策略,如果未认证用户配置的策略允许时,则将该数据连接报文发送给服务器。
需要说明的是,在本实施例中,对于某个终端设备发送的一个数据连接报文,步骤s14至步骤s16是按照先执行步骤s14然后步骤s15最后步骤s16的顺序执行,但是对于步骤s14只步骤s16中的任一步骤与步骤s11至步骤s13可以不分先后顺序,例如步骤s14在步骤s13前执行或者与步骤s13同时执行等。
如图6所示,本实施例还提供一种数据连接方法,应用于认证接入网关,所述方法包括:
步骤s21:认证接入网关获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;
步骤s22:所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。
可选地,所述判断所述终端设备是否通过认证包括:
所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。
可选地,所述判断所述终端设备是否通过认证包括:
所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述认证接入网关根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关包括:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关。
可选地,所述方法还包括:
步骤s23:所述认证接入网关接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,所述认证接入网关对所述认证信息进行验证;当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
步骤s24:所述认证接入网关将所述身份标识和认证信息发送给所述授权控制网关。
上述技术方案将认证接入与访问授权控制完全分离,在认证接入网关对通过认证的数据连接报文中扩充ip选项,携带用户身份标识,在授权控制网关提取该标识实现基于会话的用户访问授权,从而提供了更加有效安全的网络访问控制及授权方法,同时可有效防止ip地址伪装攻击。
实施例二
下面进一步说明本发明的技术方案。
一、认证流程
1、用户启动认证客户端,可以插入证书或输入帐户密码,认证客户端向认证接入网关请求建立连接;
如果用户插入的是证书,则向认证接入网关提交身份标识和证书信息,如果用户输入账户密码,则向认证接入网关提交身份标识。通常身份标识为一个4字节或8字节的整数。
2、认证接入网关验证账户密码或证书的有效性;
如果密码错误或者证书失效则认证不通过;如果密码验证通过或者证书有效则认证通过,此时则记录该身份标识与源地址的映射关系;
3、如果用户输入账户密码,则认证接入网关将该身份标识转发到所有的授权控制网关;如果用户插入证书,则认证接入网关将身份标识和证书信息转发到所有的授权控制网关;
4、授权控制网关根据接收到的认证信息的数据生成相应的授权策略。
二、访问授权处理
1、客户端向服务器通过发送数据连接报文发起业务数据连接;
数据连接报文是ip报文,可以是tcp/udp/icmp等。
2、认证接入网关截获该数据报文后,判断该客户端是否已经通过认证,如果通过认证,则将该数据连接报文中获取的身份标识作为ip选项的安全扩展插入到该数据连接报文的头部后,将插入有身份标识的数据连接报文发送给授权控制网关;如果没有通过认证,则认证接入网关不对该数据连接报文做处理直接将数据连接报文发送给授权控制网关。
ip分组内可以包含某些在分组被转发或被接收之前处理的可选字段。ip实现可以用任意顺序处理选项。标准ip首部之后最多可跟40字节的选项。ip选项字段可能包含0个或多个单独选项。选项有两种类型,单字节和多字节。一个多字节ip选项包含编码、长度、偏移和内容。本文引入了一个多字节的ip选项扩展安全扩展,其编码为0x48,长度为8字节,总共为12个字节。其中的内容为用户身份标识。
通常身份标识为一个4字节或8字节的整数,将身份标识作为ip选项的安全扩展插入该数据连接报文后,该数据连接报文的长度会增加12个字节,对于tcp连接,其首包通常较小,不会超过mtu,而udp/icmp的首包有可能插入后超过mtu,则还需要对报文分片。
3、授权控制网关收到数据连接报文后,如果从数据连接报文中获取到身份标识,则将该身份标识与授权策略进行匹配,如果策略禁止则丢弃;如果策略允许则在连接会话表中记录该身份标识,然后把数据连接报文发送给服务器;
如果从数据连接报文中没有获取到身份标识,则根据对未认证用户配置的授权策略选择是否允许访问。如果策略禁止则丢弃;如果策略允许则把数据连接报文发送给服务器;
4、服务器接收到数据连接报文后进行连接会话的应答,该过程与传统的基于连接会话的访问控制相同。
在发明中,认证与访问授权是独立部署和独立配置。可以配置必须认证的地址/端口,也可以配置不需要认证的地址/端口。对于已配置必须认证的地址/端口,如果是未认证的数据报文则将被丢弃。对于配置不要求认证的地址/端口,如果是未认证的数据报文则将该数据报文原样转发,不添加用户信息;如果是认证通过的数据报文则同样添加用户信息后转发。
在信息中心入口,将会根据授权策略执行。为了配置使用方便,信息入口的网关内可以设置有两个特殊的用户组,分别是“所有已认证用户/anybody”和“所有未认证用户/nobody”,管理员可以针对用户组分别设置访问权限。
本发明将认证与访问授权控制完全分离,通过在数据报文中扩充ip选项携带用户身份标识,授权控制网关提取该标识从而实现了基于会话的用户访问授权,有效防治了ip欺骗。同时用户访问授权支持所有的ip负载,包括tcp,udp,icmp等,并且现有网络拓扑结构和业务服务器均不需要改造。
实施例三
如图7所示,本实施例提供一种数据连接系统,所述系统包括认证接入网关11和授权控制网关12:
所述认证接入网关11用于获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;还用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关;
所述授权控制网关12用于根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器。
可选地,
所述认证接入网关11用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;
所述认证接入网关11还用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关;
所述授权控制网关12用于根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器具体是指:
当所述授权控制网关从所述数据连接报文中获取到身份标识时,将所述身份标识与所述授权控制网关的授权策略进行匹配,当所述授权策略允许时,则在连接会话表中记录所述身份标识,并将所述数据连接报文发送给所述服务器。
可选地,
所述认证接入网关11用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述认证接入网关11还用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关;
所述授权控制网关12用于根据所述终端设备对应的授权策略判断是否将所述数据连接报文发送给服务器具体是指:
当所述授权控制网关从所述数据连接报文中未获取到身份标识时,如果未认证用户配置的策略允许时,则将所述数据连接报文发送给所述服务器。
可选地,
所述认证接入网关11还用于接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,对所述认证信息进行验证;以及还用于当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
可选地,
所述认证接入网关11还用于将所述身份标识和认证信息发送给所述授权控制网关。
可选地,
所述授权控制网关12还用于接收到所述身份标识和认证信息后,根据所述认证信息的属性生成所述身份标识对应的授权策略。
如图8所示,本实施例还提供一种装置,设置于认证接入网关11,所述装置包括:
判断模块111,用于获取到终端设备发送的数据连接报文后,判断所述终端设备是否通过认证;
第一处理模块112,用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关。
可选地,
所述判断模块111用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中查找到所述源地址对应的身份标识时,则判断所述终端设备通过认证;
所述第一处理模块112用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备通过认证时,将根据所述数据连接报文确定的身份标识插入所述数据连接报文头部后发送给所述授权控制网关。
可选地,
所述判断模块111用于判断所述终端设备是否通过认证具体是指:
将所述数据连接报文的源地址和所述认证接入网关记录的映射关系进行比对;当在所述映射关系中未查找到所述源地址对应的身份标识时,则判断所述终端设备未通过认证;
所述第一处理模块112用于根据所述判断结果对所述数据连接报文做相应的处理后将所述处理后的数据连接报文发送给授权控制网关具体是指:
当判断所述终端设备未通过认证时,将所述数据连接报文直接发送给所述授权控制网关。
可选地,如图9所示,
所述装置还包括:
认证模块113,用于接收到所述终端设备上的认证客户端发送的认证信息和身份标识后,对所述认证信息进行验证;还用于当所述认证信息验证通过时,保存所述身份标识与源地址的映射关系。
可选地,
所述装置还包括:
第二处理模块114,用于将所述身份标识和认证信息发送给所述授权控制网关。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/模块可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
- 还没有人留言评论。精彩留言会获得点赞!