无感知认证方法及装置与流程

本发明涉及通信技术领域，尤指一种无感知认证方法及装置。

背景技术：

目前，高教网络中大部分都存在两套核心，一套是有线核心，开启无感知认证，该核心下存在静态互联网协议(Internet Protocol，IP)地址部署。另一套是无线核心，开启WEB认证与无感知认证，该核心下动态IP地址部署。后续两套核心将进行统一，即同一核心上会同时支持动静态区域的无感知认证。

由于早前的网络规划原因，网络中媒体访问控制(Media Access Control，MAC)地址仿冒的现象一直存在。MAC地址仿冒是指非法用户通过修改终端的MAC地址，仿冒合法授权用户的终端的MAC地址接入网络。

由于当前网络存在动静态区域的无感知认证并存，针对静态区域的无感知认证，目前采用IP+MAC校验，因此静态区域的MAC地址仿冒可控；针对动态区域的无感知认证，目前仅判断MAC地址是否合法，无法识别出MAC地址仿冒，不仅影响合法用户的正常使用，出现掉线或者网络不稳定等情况，还会引起计费纠纷。

技术实现要素：

本发明实施例提供一种无感知认证方法及装置，用以解决现有技术中存在的不仅影响合法用户的正常使用，出现掉线或者网络不稳定等情况，还会引起计费纠纷的问题。

根据本发明实施例，提供一种无感知认证方法，应用在认证服务器中，所述方法包括：

接收终端发送的认证请求报文后，确定所述终端的互联网协议IP地址是否为动态IP地址；

若确定所述终端的IP地址为动态IP地址，则根据所述认证请求报文中携带的所述终端的指纹信息确定所述终端的媒体访问控制MAC地址是否合法；

若确定所述终端的MAC地址合法，则对所述认证请求报文中携带的账号和密码进行认证，在所述账号和所述密码通过认证后，向所述终端发送认证响应报文。

具体的，确定所述终端的IP地址是否为动态IP地址，具体包括：

获取所述认证请求报文中的私有属性字段的数值；

若所述私有属性字段的数值为静态IP地址标识，则确定所述终端的IP地址为静态IP地址；

若所述私有属性字段的数值为动态IP地址标识，则确定所述终端的IP地址为动态IP地址。

可选的，还包括：

若确定所述终端的IP地址为静态IP地址，则对所述认证请求报文中携带的账号和密码进行认证；

在所述账号和所述密码通过认证后，向所述终端发送认证响应报文。

具体的，根据所述认证请求报文中携带的所述终端的指纹信息确定所述终端的MAC地址是否合法，具体包括：

获取所述认证请求报文中携带的所述终端的指纹信息；

将所述终端的指纹信息与合法指纹信息库中的指纹进行比对；

若所述终端的指纹信息保存在所述合法指纹信息库中，则确定所述终端的MAC地址合法；若所述终端的指纹信息未保存在所述合法指纹信息库中，则确定所述终端的MAC地址不合法。

可选的，还包括：

首次接收所述终端发送的DHCP请求报文；

将所述终端的指纹信息记录为临时指纹信息；

在所述终端首次认证通过后，将所述终端的指纹信息保存在所述合法指纹信息库中。

根据本发明实施例，还提供一种无感知认证装置，应用在认证服务器中，所述装置包括：

第一确定模块，用于接收终端发送的认证请求报文后，确定所述终端的互联网协议IP地址是否为动态IP地址；

第二确定模块，用于若确定所述终端的IP地址为动态IP地址，则根据所述认证请求报文中携带的所述终端的指纹信息确定所述终端的媒体访问控制MAC地址是否合法；

认证模块，用于若确定所述终端的MAC地址合法，则对所述认证请求报文中携带的账号和密码进行认证；

发送模块，用于在所述账号和所述密码通过认证后，向所述终端发送认证响应报文。

具体的，所述第一确定模块，具体用于：

获取所述认证请求报文中的私有属性字段的数值；

若所述私有属性字段的数值为静态IP地址标识，则确定所述终端的IP地址为静态IP地址；

若所述私有属性字段的数值为动态IP地址标识，则确定所述终端的IP地址为动态IP地址。

可选的，所述认证模块，还用于若确定所述终端的IP地址为静态IP地址，则对所述认证请求报文中携带的账号和密码进行认证；

所述发送模块，还用于在所述账号和所述密码通过认证后，向所述终端发送认证响应报文。

具体的，所述第二确定模块，具体用于：

获取所述认证请求报文中携带的所述终端的指纹信息；

将所述终端的指纹信息与合法指纹信息库中的指纹进行比对；

若所述终端的指纹信息保存在所述合法指纹信息库中，则确定所述终端的MAC地址合法；若所述终端的指纹信息未保存在所述合法指纹信息库中，则确定所述终端的MAC地址不合法。

可选的，还包括：

接收模块，用于首次接收所述终端发送的DHCP请求报文；

记录模块，用于将所述终端的指纹信息记录为临时指纹信息；

保存模块，用于在所述终端首次认证通过后，将所述终端的指纹信息保存在所述合法指纹信息库中。

根据本发明实施例，还提供一种计算机装置，所述装置包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如上述方法的步骤。

根据本发明实施例，还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述述方法的步骤。

本发明有益效果如下：

本发明实施例提供一种无感知认证方法及装置，通过接收终端发送的认证请求报文后，确定所述终端的互联网协议IP地址是否为动态IP地址；若确定所述终端的IP地址为动态IP地址，则根据所述认证请求报文中携带的所述终端的指纹信息确定所述终端的媒体访问控制MAC地址是否合法；若确定所述终端的MAC地址合法，则对所述认证请求报文中携带的账号和密码进行认证，在所述账号和所述密码通过认证后，向所述终端发送认证响应报文。该方案中，针对动态区域的无感知认证，需要根据终端的指纹信息确定终端的MAC地址是否合法，不是根据终端的MAC地址进行判断，可以更加准确地判断终端的MAC地址是否合法，然后针对合法的MAC地址进行账号和密码认证，在认证通过后，才确定该终端可以正常访问网络，向终端发送认证响应报文，从而可以确保合法用户的正常访问网络，不出出现掉线或者网络不稳定等情况，也不会引起计费纠纷。

附图说明

图1为本发明实施例中一种无感知认证方法的流程图；

图2为本发明实施例中S12的流程图；

图3为本发明实施例中一种无感知认证装置的结构示意图。

具体实施方式

针对现有技术中存在的不仅影响合法用户的正常使用，出现掉线或者网络不稳定等情况，还会引起计费纠纷的问题，本发明实施例提供一种无感知认证方法，应用在认证服务器中，该方法的流程如图1所示，执行步骤如下：

S11：接收终端发送的认证请求报文后，确定终端的IP地址是否为动态IP地址。

目前，终端的IP地址包括静态IP地址和动态IP地址两类，上述方法仅适用于动态IP地址，也就是动态区域的情况，因此，在接收到终端发送的认证请求报文后，需要确定终端的IP地址是否为动态IP地址。

S12：若确定终端的IP地址为动态IP地址，则根据认证请求报文中携带的终端的指纹信息确定终端的MAC地址是否合法。

若终端的IP地址为动态IP地址，就需要根据终端的指纹信息确定终端的MAC地址是否合法，终端的指纹信息可以携带在认证请求报文中，具体可以是DHCP OPION55、hostname等信息，本实施例中的指纹信息应理解为广义上的具有标识作用的一类特征信息。

若确定终端的IP地址为静态IP地址，则直接对认证请求报文中携带的账号和密码进行认证，在账号和密码通过认证后，向终端发送认证响应报文。

S13：若确定终端的MAC地址合法，则对认证请求报文中携带的账号和密码进行认证，在账号和密码通过认证后，向终端发送认证响应报文。

当终端的IP地址为动态IP地址时，还需要确定终端的MAC地址是否合法，在确定终端的MAC地址合法后，才会对认证请求报文中携带的账号和密码进行认证，在账号和密码通过认证后，向终端发送认证响应报文。

该方案中，针对动态区域的无感知认证，需要根据终端的指纹信息确定终端的MAC地址是否合法，不是根据终端的MAC地址进行判断，可以更加准确地判断终端的MAC地址是否合法，然后针对合法的MAC地址进行账号和密码认证，在认证通过后，才确定该终端可以正常访问网络，向终端发送认证响应报文，从而可以确保合法用户的正常访问网络，不出出现掉线或者网络不稳定等情况，也不会引起计费纠纷。

具体的，上述S11中确定终端的IP地址是否为动态IP地址，具体包括：获取认证请求报文中的私有属性字段的数值；若私有属性字段的数值为静态IP地址标识，则确定终端的IP地址为静态IP地址；若私有属性字段的数值为动态IP地址标识，则确定终端的IP地址为动态IP地址。

可以用认证报文的私有属性字段来存储动态IP地址标识和静态IP地址标识，然后在接收到认证请求报文后，根据私有属性字段的数值来确定终端的IP地址是动态IP地址还是静态IP地址。例如，可以设定0为静态IP地址标识、1为动态IP地址标识，也可以设定1为静态IP地址标识、0为动态IP地址标识。

具体的，上述S12中根据认证请求报文中携带的终端的指纹信息确定终端的MAC地址是否合法的实现过程，如图2所示，具体包括：

S121：获取认证请求报文中携带的终端的指纹信息。

S122：将终端的指纹信息与合法指纹信息库中的指纹进行比对，若终端的指纹信息保存在合法指纹信息库中，则执行S123；若终端的指纹信息未保存在合法指纹信息库中，则执行S124。

S123：确定终端的MAC地址合法。

S124：确定终端的MAC地址不合法。

可预先建立合法指纹信息库，在判断终端的MAC地址是否合法时，将终端的指纹信息与合法指纹信息库进行比对，若终端的指纹信息保存在合法指纹信息库中，说明终端的MAC地址合法；若终端的指纹信息未保存在合法指纹信息库中，说明终端的MAC地址不合法。

针对上述终端说明建立合法指纹信息库的过程：首次接收终端发送的DHCP请求报文；将终端的指纹信息记录为临时指纹信息；在终端首次认证通过后，将终端的指纹信息保存在合法指纹信息库中。这里仅仅是以上述终端为例说明如何建立合法指纹信息库，合法指纹信息库中的其他指纹信息也是如此保存的，这里不再一一赘述。

基于同一发明构思，本发明实施例提供一种无感知认证装置，应用在认证服务器中，该装置的结构如图3所示，包括：

第一确定模块31，用于接收终端发送的认证请求报文后，确定终端的互联网协议IP地址是否为动态IP地址；

第二确定模块32，用于若确定终端的IP地址为动态IP地址，则根据认证请求报文中携带的终端的指纹信息确定终端的媒体访问控制MAC地址是否合法；

认证模块33，用于若确定终端的MAC地址合法，则对认证请求报文中携带的账号和密码进行认证；

发送模块34，用于在账号和密码通过认证后，向终端发送认证响应报文。

该方案中，针对动态区域的无感知认证，需要根据终端的指纹信息确定终端的MAC地址是否合法，不是根据终端的MAC地址进行判断，可以更加准确地判断终端的MAC地址是否合法，然后针对合法的MAC地址进行账号和密码认证，在认证通过后，才确定该终端可以正常访问网络，向终端发送认证响应报文，从而可以确保合法用户的正常访问网络，不出出现掉线或者网络不稳定等情况，也不会引起计费纠纷。

具体的，第一确定模块31，具体用于：

获取认证请求报文中的私有属性字段的数值；

若私有属性字段的数值为静态IP地址标识，则确定终端的IP地址为静态IP地址；

若私有属性字段的数值为动态IP地址标识，则确定终端的IP地址为动态IP地址。

可选的，认证模块33，还用于若确定终端的IP地址为静态IP地址，则对认证请求报文中携带的账号和密码进行认证；

发送模块34，还用于在账号和密码通过认证后，向终端发送认证响应报文。

具体的，第二确定模块32，具体用于：

获取认证请求报文中携带的终端的指纹信息；

将终端的指纹信息与合法指纹信息库中的指纹进行比对；

若终端的指纹信息保存在合法指纹信息库中，则确定终端的MAC地址合法；若终端的指纹信息未保存在合法指纹信息库中，则确定终端的MAC地址不合法。

可选的，还包括：

接收模块，用于首次接收终端发送的DHCP请求报文；

记录模块，用于将终端的指纹信息记录为临时指纹信息；

保存模块，用于在终端首次认证通过后，将终端的指纹信息保存在合法指纹信息库中。

基于同一发明构思，本发明实施例还提供一种计算机装置，所述装置包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如上述方法的步骤。

基于同一发明构思，本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述述方法的步骤。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的可选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。