一种防止nat穿越认证的方法及装置的制造方法
【专利摘要】本发明提供一种防止NAT穿越认证的方法及装置,所述方法应用于认证设备,所述方法包括:收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;判断所述第一IP地址与所述第二IP地址是否相同;若不相同,则返回认证失败报文。因此可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
【专利说明】
一种防止NAT穿越认证的方法及装置
技术领域
[0001]本发明涉及通信技术领域,尤其涉及一种防止NAT穿越认证的方法及装置。【背景技术】
[0002]在宽带接入网络中,安全认证既能防止用户非法使用网络,也能保证用户的上网行为可以被实名审计,是网络管理的重要方法之一。
[0003]安全认证一般要求一个帐号只允许一个用户上网使用,而标识用户身份的方法通常是使用客户端的IP地址与账户相关联。但是由于NAT技术的普及,当多个用户通过一台 NAT设备访问网络时,由于每个用户都可以分配到相同的公网地址,也就可以都使用该公网地址对应的认证账户访问网络资源。这种一个账户多人共享的情况,不仅会影响网络安全监管,还会给网络运营商带来极大的损失。
【发明内容】
[0004]有鉴于此,本发明提供一种防止NAT穿越认证的方法及装置来解决一个账户多人共享的问题。
[0005]具体地,本发明是通过如下技术方案实现的:
[0006]本发明通过一种防止NAT穿越认证的方法,所述方法应用于认证设备,所述方法包括:
[0007]收到认证报文时,获取所述认证报文中的第一 IP地址与所述认为报文携带的第二 IP地址;
[0008]判断所述第一 IP地址与所述第二IP地址是否相同;
[0009]若不相同,则返回认证失败报文。
[0010]进一步的,所述第一 IP地址为所述认证报文的源IP地址;
[0011]所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。
[0012]进一步的,所述方法还包括:
[0013]收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址;
[0014]判断所述目的IP地址是否为所述认证设备自身的IP地址;
[0015]若是,则将所述认证设备自身的IP地址发送至所述客户端。
[0016]进一步的,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。[0〇17]进一步的,所述方法还包括:
[0018]若所述第一IP地址与所述第二IP地址相同,则进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
[0019]基于相同的构思,本发明还提供一种防止NAT穿越认证的装置,所述装置应用于认证设备,所述装置包括:
[0020]地址获取单元,用于收到认证报文时,获取所述认证报文中的第一 IP地址与所述认为报文携带的第二IP地址;
[0021]地址判断单元,用于判断所述第一 IP地址与所述第二IP地址是否相同;[〇〇22] 报文返回单元,用于在所述第一IP地址与所述第二IP地址不相同时,返回认证失败报文。[〇〇23]进一步的,所述第一IP地址为所述认证报文的源IP地址;[〇〇24]所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。[〇〇25]进一步的,所述装置还包括:
[0026]地址发送单元,用于在收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址,判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。
[0027]进一步的,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。
[0028]进一步的,所述报文返回单元,还用于在所述第一IP地址与所述第二IP地址相同时,进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。[〇〇29]由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。【附图说明】
[0030]图1是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的处理流程图;
[0031]图2是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的交互流程图;[〇〇32]图3本发明一种示例性实施方式中的防止NAT穿越认证的装置所在的认证设备的硬件结构图;[〇〇33]图4本发明一种示例性实施方式中的一种防止NAT穿越认证的装置的逻辑结构图。 【具体实施方式】[〇〇34]为了解决现有技术存在的问题,本发明提供一种防止NAT穿越认证的方法及装置, 可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。[〇〇35]请参考图1,是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的处理流程图,其中该方法应用于认证设备。所述方法包括:[〇〇36]步骤101、收到认证报文时,获取所述认证报文中的第一 IP地址与所述认为报文携带的第二IP地址;[〇〇37] 在本实施例中,当用户通过客户端进行认证时,客户端会向认证设备发送认证报文,所述认证报文中包括第一 IP地址以及所述认证报文携带第二IP地址。所述第一 IP地址为所述认证报文的源IP地址;所述第二IP地址为所述认证报文中指定字段携带的客户端的 IP地址。因此当认证设备收到认证报文时,可以从认证报文中获取所述第一 IP地址和第二 IP地址。
[0038]步骤102、判断所述第一 IP地址与所述第二IP地址是否相同;[〇〇39]当认证设备获取认证报文中的所述第一 IP地址和第二IP地址后,可以进一步判断所述第一 IP地址和第二IP地址是否相同。
[0040]步骤103、若所述第一IP地址与所述第二IP地址不相同,则返回认证失败报文。 [〇〇41]当认证设备判断所述第一IP地址与所述第二IP地址相同,则可以确认所述认证报文是客户端未经过NAT穿越发送而来的,因此可以向该客户端返回认证成功报文,以使该客户端通过认证并开始验证认证报文中携带的用户名及密码等认证信息,即将认证报文中的用户名和密码与本地保存的用户名和密码进行比较,若认证设备判断所述第一 IP地址与所述第二IP地址不同,则可以认为所述认证报文是客户端经过NAT穿越发送而来的,因此可以向该客户端返回认证失败报文来拒绝访问网络。[〇〇42]另外,若所述第一 IP地址与所述第二IP地址相同则可以认为所述认证报文是未经过NAT穿越发送而来的,因此可以进一步获取该认证报文中的认证信息,例如用户名和密码等,并对该认证信息进行验证,若验证通过,则可以允许该客户端访问网络。[〇〇43]由于现有技术中仅通过用户名和密码进行认证,无法通过这些信息来判断认证报文是否经过NAT穿越。由于NAT穿越后,源IP地址会发生变化。因此本发明可以通过在认证报文中携带客户端的IP地址,从而可以由认证设备将认证报文的源IP地址与其携带的客户端的IP地址进行比较来判断该认证报文是否经过NAT穿越而来。从而可以有效避免NAT穿越认证导致的一个账户多人共享的问题。[〇〇44]由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
[0045]需要说明的是,当客户端首次发送报文时,需要先获知该认证设备的IP地址。在在本发明可选的实施例中,管理员可以为客户端预先设置目的IP地址。该目的IP地址可以为管理员与认证设备预先约定好的非网络预留的私网IP地址。当客户端首次发送报文时,可以发送目的IP地址为预设目的IP地址的单播报文。由于非网络预留的IP地址不属于国内公网地址,也不属于内网预留地址,因此该报文可以通过默认路由在网络中转发,并且该报文是单播报文,因此可以跨三层网络转发。当收到客户端根据预设目的IP地址发送的单播报文时,可以获取所述目的IP地址;然后判断所述目的IP地址是否为所述认证设备自身的IP 地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。则客户端可以获取该认证设备的IP地址以便于后续发送认证报文。
[0046]为使本发明的目的、技术方案及优点更加清楚明白,下面对本发明该方案作进一步地详细说明。[〇〇47]请参考图2是本发明一种示例性实施方式中的一种防止NAT穿越认证的方法的交互流程图,其中包括:[〇〇48]当客户端首次发送报文时,可以根据管理员预设的IP地址1.2.1.2作为首次发送的单播报文的目的IP地址。由于IP地址1.2.1.2的不属于国内公网地址,也不属于内网预留地址,因此该报文可以通过默认路由在网络中转发,并且单播报文可以跨三层网络转发,因此当认证设备收到目的地址为1.2.1.2的报文后,发现该IP地址是预先约定的IP地址,因此可以确认该报文为客户端的发现报文,因此认证设备可以在响应报文中携带自己的IP地址,发送到该客户端,因此客户端后续发送的报文的目的地址则为该认证设备的IP地址。之后,当所述客户端进行认证时,可以向所述认证设备发送认证报文,其中认证报文包括用户名、密码、客户端的IP地址,以及源IP地址和目的IP地址。[〇〇49] 若是在有源NAT设备的网络环境中,该认证报文经过NAT设备后,其源IP地址将会变为NAT地址池中的IP地址,因此当该认证报文到达认证设备后,该认证设备可以获取该认证报文的源IP地址和报文中携带的客户端的IP地址比较,如果上述两个IP地址不同,则说明认证报文经过了 NAT设备,因此该认证设备可以向所述客户端返回的认证响应报文,已通知客户端认证失败;如果上述两个IP地址相同,则说明认证报文未经过NAT设备,因此该认证设备可以进一步进行用户名和密码的验证,并在验证成功后返回认证响应报文,已通知客户端认证成功。之后,认证设备可以将该客户端添加到白名单中,从而使客户端可以正常上网。并且,在客户端访问网络过程中,可以与认证设备之间定时发送心跳报文。
[0050]由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。[〇〇51]基于相同的构思,本发明还提供一种防止NAT穿越认证的装置,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的防止NAT 穿越认证的装置作为一个逻辑意义上的装置,是通过其所在认证设备的CPU将存储器中对应的计算机程序指令读取后运行而成。[〇〇52]请参考图3及图4,是本发明一种示例性实施方式中的一种防止NAT穿越认证的装置400,所述装置应用于认证设备,该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置400包括:[〇〇53]地址获取单元401,用于收到认证报文时,获取所述认证报文中的第一IP地址与所述认为报文携带的第二IP地址;[〇〇54] 地址判断单元402,用于判断所述第一 IP地址与所述第二IP地址是否相同;[〇〇55] 报文返回单元403,用于在所述第一 IP地址与所述第二IP地址不相同时,返回认证失败报文。[〇〇56] 可选的,所述第一IP地址为所述认证报文的源IP地址;[〇〇57]所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。[〇〇58] 可选的,所述装置还包括:[〇〇59]地址发送单元404,用于在收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址,判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。
[0060]可选的,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网 IP地址。[0061 ] 可选的,所述报文返回单元403,还用于在所述第一IP地址与所述第二IP地址相同时,进一步验证所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
[0062]由此可见,本发明的认证设备可以在收到认证报文时,通过判断认证报文中的第一IP地址和第二IP地址是否相同,来识别客户端是否经过NAT穿越认证,从而可以避免一个认证账户多人共享的问题,提高了网络安全监管质量,保障了运营商的经济效益。
[0063]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种防止NAT穿越认证的方法,其特征在于,所述方法应用于认证设备,所述方法包 括:收到认证报文时,获取所述认证报文中的第一 IP地址与所述认为报文携带的第二IP地 址;判断所述第一 IP地址与所述第二IP地址是否相同;若不相同,则返回认证失败报文。2.根据权利要求1所述的方法,其特征在于,所述第一 IP地址为所述认证报文的源IP地址;所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:收到客户端根据预设目的IP地址发送的单播报文时,获取所述目的IP地址;判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证设备自身的IP地址发送至所述客户端。4.根据权利要求3所述的方法,其特征在于,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一IP地址与所述第二IP地址相同,则进一步验证所述认证报文中的认证信 息,若所述认证信息验证通过,则返回认证成功报文。6.—种防止NAT穿越认证的装置,其特征在于,所述装置应用于认证设备,所述装置包 括:地址获取单元,用于收到认证报文时,获取所述认证报文中的第一 IP地址与所述认为 报文携带的第二IP地址;地址判断单元,用于判断所述第一 IP地址与所述第二IP地址是否相同;报文返回单元,用于在所述第一IP地址与所述第二IP地址不相同时,返回认证失败报文。7.根据权利要求6所述的装置,其特征在于,所述第一 IP地址为所述认证报文的源IP地址;所述第二IP地址为所述认证报文中指定字段携带的客户端的IP地址。8.根据权利要求6所述的装置,其特征在于,所述装置还包括:地址发送单元,用于在收到客户端根据预设目的IP地址发送的单播报文时,获取所述 目的IP地址,判断所述目的IP地址是否为所述认证设备自身的IP地址;若是,则将所述认证 设备自身的IP地址发送至所述客户端。9.根据权利要求8所述的装置,其特征在于,所述预设的目的IP地址为与所述认证设备预先约定的非网络预留的私网IP地址。10.根据权利要求6所述的装置,其特征在于,所述报文返回单元,还用于在所述第一IP地址与所述第二IP地址相同时,进一步验证 所述认证报文中的认证信息,若所述认证信息验证通过,则返回认证成功报文。
【文档编号】H04L29/06GK105959251SQ201510752009
【公开日】2016年9月21日
【申请日】2015年11月6日
【发明人】仇俊杰
【申请人】杭州迪普科技有限公司