一種控制用戶上網的方法、系統及設備的製作方法

2023-05-17 12:38:21

專利名稱：一種控制用戶上網的方法、系統及設備的製作方法
技術領域：
本發明涉及網絡安全領域，尤其涉及一種控制用戶上網的方法、系統及設備。
背景技術：
IP位址盜用是指非法用戶使用未經授權的IP位址來配置計算機以訪問網 絡的現象。
IP位址盜用會產生IP衝突問題。上網的用戶在計算機1上配置IP位址後，
計算機1會發出包含IP位址的地址轉換協議(Address Resolution Protocol, ARP)請求報文，以探測區域網中是否已經存在使用該IP位址訪問網絡的計 算機2,若存在，計算機2接收到該ARP請求報文，發現ARP請求報文中的 IP位址與自身的IP位址相同，提示發生IP衝突，並向計算機1返回包含該IP 地址的ARP響應報文，計算機1接收到ARP響應報文，發現ARP響應報文 中的IP位址與自身的IP位址相同，提示發生IP沖突，同時，計算機1的操作 系統禁用傳輸控制協議/網際網路協議(TCP/IP)棧，導致計算機1無法使用該 IP位址上網。
如果計算機l的用戶為合法用戶，計算機2的用戶為非法用戶，那麼由於 計算機2的用戶盜用了計算機1的用戶的IP位址，使得合法用戶不能夠正常 上網。
並且，IP位址盜用不僅會對合法用戶的正常訪問網絡造成影響，由於被盜 用的IP位址往往具有較高的權限，IP位址盜還會對合法用戶帶來大量經濟上 的損失以及安全隱患。現有技術中防止IP位址盜用的方法主要有以下三種
第一種，交換機控制方法。使用交換機埠的單地址工作模式，即使得交 換機的每一個埠只允許一臺主機通過該埠訪問網絡，其他任何主機的訪問 被拒絕。此方案要求網絡上全部使用交換機提供用戶接入，這在交換機相對昂 貴的今天不是一個能夠普遍採用的解決方案。
第二種，路由器隔離方法。採用路由器隔離方法的主^^據是MAC地址 作為乙太網卡地址全^^唯一併且不能改變。其實現方法為通過SNMP協議定期 掃描各路由器的ARP表，獲得當前ARP表中的各個表項，每個表項的內容為 IP位址與MAC地址的映射關係，將各個表項中IP位址與MAC地址的映射關 系與預先設定的合法的IP位址與MAC地址的映射關係進行比較，如果不一致， 則確定使用該表項中的IP位址的主機為非法訪問主才幾，並可以釆取如下三種 措施
A、 使用正確的IP位址與MAC地址的映射關係覆蓋非法的ARP表項， 如手動使用正確的IP位址與MAC地址的映射關係覆蓋路由器中非法的ARP 表項。
B、 向非法訪問主機發送ICMP不可達的欺騙包，幹擾其數據發送。
C、 修改路由器的存取控制列表，禁止非法訪問。如禁止包含非法IP地 址和MAC地址的報文通過路由器轉發。
路由器隔離的另外一種實現方法是使用靜態ARP表，即在路由器中靜態 設置IP位址與MAC地址的映射關係。這樣，當非法訪問主機的IP位址與MAC 地址和靜態ARP表中的映射關係不一致時，路由器根據正確的靜態ARP錶轉 發的數據包就不會到達非法訪問主機。
路由器隔離方法能夠較好地解決IP位址盜用的問題，但是如果非法用戶 針對其理論依據進行^C壞，同時盜用合法用戶的IP位址和MAC地址，對這樣 的情況路由器隔離方法則無能為力。
第三種，防火牆與代理伺服器的結合方法。防火牆用來隔離內部網絡和外部網絡，用戶訪問外部網絡通過代理伺服器進行，但需要進行身份驗證，只有 身份驗證通過後才能夠訪問外部網絡，那麼，非法用戶即使盜用了合法用戶的 IP位址，由於其並不知道合法的用戶名和密碼，非法用戶不能通過代理伺服器 的身份驗證，自然無法訪問外部網絡。本方法不能夠阻止內部網絡的IP位址 盜用。
綜上，現有技術為了阻止非法用戶使用盜用的未經授權的地址訪問網絡而 採取的方法的安全性較低，從而會對合法用戶的正常上網帶來影響。

發明內容
本發明實施例提供一種控制用戶上網的方法、系統及設備，用於提高禁止 非法用戶使用盜用的未經授權的地址訪問網絡的安全性。
本發明實施例才是供一種控制用戶上網的方法，該方法包括 接收客戶端發來的包含地址和認證密碼信息的認i正請求； 根據保存的地址與認證密碼的匹配關係，判斷所述認證請求中的地址和i人
證密碼是否匹配，在所述認證請求中的地址和認證密碼不匹配時，禁止所述客
戶端上網。
本發明實施例提供一種控制用戶上網的系統，該系統包括
接入設備，用於接收客戶端發來的包含地址和認證密碼信息的認證請求，
將所述認證請求發送給認證管理設備；在所述認證管理設備對所述認證請求的
認證未通過時，禁止所述客戶端上網；
認證管理設備，用於根據保存的地址與認證密碼的匹配關係，判斷所述認
證請求中的地址和認證密碼是否匹配，若匹配，則認證通過，否則，認證未通過。
本發明實施例提供一種客戶端認證模塊，安裝在客戶端中，該客戶端認證 模塊包括
存儲單元，用於保存配置的地址信息和認證密碼信息；認證單元，用於向接入設備發送包含所述地址信息和認證密碼信息的認證 請求。
本發明實施例提供一種接入設備，該接入設備包括
認證處理單元，用於接收客戶端發來的包含地址和認證密碼信息的認證請 求，將所述認證請求發送給認證管理設備；
過濾單元，用於在所述認證管理設備對所述認證請求的認證未通過時，將 接收到的包含所述地址的報文進行過濾。
本發明實施例提供一種認證管理設備，該認證管理設備包括
存儲單元，用於保存地址與認證密碼的匹配關係；
認證單元，用於接收包含地址與認證密碼信息的認證請求，根據所述認證 信息存儲單元保存的地址與認證密碼的匹配關係，判斷所述認證請求中的地址 和認證密碼是否匹配，若是，則認證通過，否則，認證未通過；並發送認證結 果。
本發明中，接收到客戶端發來的包含地址和認證密碼信息的認證請求時， 根據預先設置的地址與認證密碼的匹配關係，判斷認證請求中的地址和認證密 碼是否匹配，並在認證請求中的地址和認證密碼不匹配時，禁止該客戶端上網， 由於盜用認證密碼的困難度較高，並且認證密碼可以隨時進行修改，本發明可 以有效地提高防止非法用戶使用盜用的地址訪問網絡的安全性。


圖1為本發明實施例提供的系統的結構示意圖； 圖2為本發明實施例提供的客戶端的結構示意圖； 圖3為本發明實施例提供的接入設備的結構示意圖； 圖4為本發明實施例提供的認證管理設備的結構示意圖； 圖5為本發明實施例提供的網關設備的結構示意圖； 圖6為本發明實施例提供的方法的流程示意圖；圖7A為本發明實施例一中的系統架構示意圖； 圖7B為本發明實施例二中的系統架構示意圖； 圖7C為本發明實施例三中的系統架構示意圖。
具體實施例方式
為了禁止非法用戶使用盜用的未經授權的地址訪問網絡，本發明實施例提 供一種控制用戶上網的系統，本系統中，用戶在上網前需要通it^戶端向網絡 側發送認證請求，網絡側根據保存的合法的地址與認證密碼的匹配關係，判斷 認證請求中的地址和認證密碼是否匹配，若匹配，則允許該客戶端上網，否貝'J， 禁止該客戶端上網。
參見圖1，本發明實施例提供的控制用戶上網的系統，具體包括 客戶端10,安裝有客戶端認證模塊，用於發出包含地址信息和認證密碼信 息的認證請求；該地址信息為用戶配置在客戶端的地址信息，包括IP位址和/ 或MAC地址信息；
接入設備ll,用於接收客戶端發出的認證請求，將該認證請求發送給認證 管理設備；在認證管理設備對該認證請求的認證通過時，允許所述客戶端訪問 網絡；在認證管理設備對該認證請求的認證未通過時，禁止所述客戶端訪問網 絡；
接入設備具體可以是交換機、路由器等。接入設備可以根據接收到來自認 證管理設備的認證結果通知確定認證是否通過；或者，接入設備判斷在設定時 間內是否接收到認證通過結果通知，若接收到，則確定認證管理設備對認證請 求的認證通過，若未接收到，則確定認證管理設備對認證請求的認證未通過； 或者；接入設備判斷在設定時間內是否接收到認證未通過結果通知，若接收到， 則確定認證管理設備對認證請求的認證未通過，若未接收到，則確定認證管理 設備對認證請求的認證通過。
接入設備允許或禁止所述客戶端訪問網絡，具體可以通過對訪問控制列表(ACL)進行設置來實現，若允許所述客戶端訪問網絡，則在ACL的允許轉 發表項中增加所述認證請求中的地址信息，若禁止所述客戶端訪問網絡，則在 ACL的禁止轉發表項中增加所述認證請求中的地址信息。那麼，接入設備在接 收到來自網絡側(例如來自網關設備)的轉發4艮文時，判斷該l艮文中的目的地 址屬於ACL的允許轉發表項或是禁止轉發表項，若屬於允許轉發表項，則將 報文轉發給所述客戶端，若屬於禁止轉發表項，則將報文進行過濾，並不轉發 給所述客戶端。接入設備在接收到來自客戶端的轉發報文時，判斷該報文中的 源地址屬於ACL的允許轉發表項或是禁止轉發表項，若屬於允許轉發表項， 則將報文轉發給網絡側(例如轉發給網關設備)，若屬於禁止轉發表項，則將 報文進行過濾，並不轉發給網絡側。
認證管理設備12，用於接收接入設備發來的認證請求，根據保存的地址與 認證密碼的匹配關係，判斷該認證請求中的地址和認證密碼是否匹配，若匹配， 則認證通過，否則，認證未通過。例如，認證請求中的IP位址為201.119.05.20， MAC地址為FAC11897564,認證密碼為123456，而匹配關係中IP位址 201.119.05.20和MAC地址FAC11897564與i/a正密碼654321相匹配，此時， 認證請求中的地址和認證密碼不匹配，認證未通過。
認證管理設備還可以將認證結果發送給接入設備，接入設備根據該認證結 果確定認證管理設備對認證請求的認證是否通過。
較佳的，為了避免由於非法用戶盜用合法用戶的IP位址訪問網絡而產生 的IP衝突問題，所述客戶端還用於在接收到ARP報文時，若該ARP報文中 的IP位址與配置在本客戶端的IP位址相同，則將該ARP報文進行過濾，該 ARP報文為ARP請求報文或ARP響應報文，在該ARP報文為ARP請求報文 時，說明有其他非法用戶想要使用配置在本客戶端的IP位址訪問網絡，由於 對該ARP請求報文進行了過濾，因此在本客戶端不會提示IP沖突；在該ARP 報文為ARP響應報文時，說明已經有其他非法用戶使用配置在本客戶端的IP 地址訪問網絡，由於對該ARP響應報文進行了過濾，因此在本客戶端不會提示IP衝突，並且不會導致本客戶端的作業系統禁用TCP/IP棧而使得本客戶端
無法使用合法的IP位址訪問網絡。
較佳的，為了4吏得管理員能夠獲知地址盜用的情況，所述客戶端還用於 向認證管理設備上報包含所述ARP報文中的地址信息的地址衝突報告；所述 認證管理設備還用於根據接收到的地址衝突報告確定地址發生衝突的客戶 端，並記錄地址衝突報告中的地址信息以供管理員查詢使用。ARP報文中的地 址信息包含IP位址、MAC地址等。
較佳的，為了避免由於非法用戶盜用合法用戶的IP位址訪問網絡而產生 的對合法用戶的影響，認證管理設備12還用於在認證通過時，向與所述接 入設備相連的網關設備發送所述客戶端的靜態ARP信息，該靜態ARP信息包 括所述客戶端的地址和所述接入設備接入網關設備的埠的映射關係等，其
息，包括IP位址和/或MAC地址；認證管理設備可以從配置在自身的接入設 備配置信息中獲取所述接入設備接入網關設備的埠信息。 相應的，該系統進一步包括
網關設備13,用於接收認證管理設備發來的客戶端的靜態ARP信息，並 記錄該靜態ARP信息；在接收到轉發報文時，根據記錄的靜態ARP信息確定 是否轉發該報文，具體的在接收到來自網絡側的轉發報文時，獲取該報文中 攜帶的目的地址，根據記錄的靜態ARP信息，確定獲取到的目的地址對應的 埠，若確定出埠，則將報文轉發給接入該埠的接入設備，若未確定出端 口，則禁止轉發該報文；在接收到來自接入設備的轉發報文時，獲取該報文中 攜帶的源地址，根據記錄的靜態ARP信息，確定獲取到的源地址對應的埠， 若確定出的埠與接收報文的埠一致，則將報文轉發給網絡側，若確定出的 埠與接收才艮文的埠不一致，則禁止轉發該才艮文。
參見圖2,本發明實施例還提供一種客戶端認證模塊，可以應用於控制用 戶上網的系統中，該客戶端認證模塊安裝在客戶端中，具體包括存儲單元20,用於保存配置的地址信息和認證密碼信息； 認證單元21，用於向接入設備發送包含所述地址信息和認證密碼信息的認 證請求。
本客戶端認證;漠塊還包括信息配置單元22,用於為外部提供配置地址信 息和認證密碼信息的接口 ，並將配置的地址信息和認證密碼信息保存在存儲單 元20中。例如，為外部用戶提供輸入地址信息和認證密碼信息的界面，並將 用戶輸入的地址信息和認證密碼信息保存在存儲單元20中。用戶也可以通過 其它方式配置客戶端的地址信息，信息配置單元22對應的從客戶端的配置文 件中獲取該地址信息，並將該地址信息保存在存儲單元20中。
本客戶端認證模塊還包括
衝突防禦單元23，用於在接收到ARP報文時，若所述ARP報文中的IP 地址與所述記錄單元記錄的IP位址相同，則將所述ARP才艮文進行過濾。接收 到的ARP淨艮文可以為會導致IP沖突的ARP請求淨艮文或ARP響應才艮文。
本客戶端認證才莫塊還包括
衝突通告單元24，用於在衝突防禦單元過濾ARP報文後，向認證管理設 備上報地址衝突報告，該地址衝突報告可以包含所述ARP報文中的地址信息、 接收到ARP報文的時間信息等。
參見圖3，本發明實施例還提供一種接入設備，可以應用於控制用戶上網 的系統中，該接入設備包括
認證處理單元30，用於接收客戶端發來的包含地址和認證密碼信息的認證 請求，將所述認證請求發送給認證管理設備；
過濾單元31,用於根據所述認證管理設備的認證結果決定是否允許所述客 戶端訪問網絡。
具體的，在所述認證管理設備對所述認證請求的認證通過時，允許所述客 戶端訪問網絡，在接收到來自網絡側、並且攜帶的目的地址與所述認證請求中 的地址一致的轉發報文時，將該報文轉發給所述客戶端；在接收到來自客戶端、並且攜帶的源地址與所述認證請求中的地址一致的轉發報文時，將該^艮文轉發 戶端訪問網絡，在接收到來自網絡側、並且攜帶的目的地址與所述認證請求中
的地址一致的轉發報文時，將該報文進行過濾，並不轉發給客戶端；在接收到 來自客戶端、並且攜帶的源地址與所述認證請求中的地址一致的轉發報文時， 將該報文進行過濾，不向網絡側轉發。 本接入設備還包括
認證配置單元32,用於為外部提供配置認證相關參數的接口，該認證相關 參數包括是否啟用認證功能的參數、同認證管理設備和客戶端的通訊參數等；
存儲單元33,用於保存認i正配置單元接收的認證相關參數。認證處理單元 根據該存儲單元存儲的是否啟用認證功能的參數決定是否同認證管理設備交 互以進行地址認證，以及根據通訊參數確定與認證管理設備交互的方式等。
參見圖4,本發明實施例還提供一種認證管理設備，可以應用於控制用戶 上網的系統中，該認證管理設備包括
存儲單元40,用於保存地址與認證密碼的匹配關係；
認證單元41，用於接收包含地址與i人證密碼信息的"i人證請求，根據所述認 證信息存儲單元保存的地址與認證密碼的匹配關係，判斷所述認證請求中的地 址和認證密碼是否匹配，若是，則認證通過，否則，認證未通過；並發送認證 結果。
本認證管理設備還包括
信息綁定單元42,用於在認證通過時，將發出所述認證請求的客戶端的靜 態ARP信息發送給網關設備，該網關設備具體可以是轉發所述認證請求的接 入設備所接入的網關設備。
本認證管理設備還包括
衝突信息單元43，用於接收客戶端發出的地址沖突報告，記錄所述地址衝 突4艮告中的衝突信息，並為外部提供查看記錄的衝突信息的接口，該衝突信息包括發生衝突的IP位址、MAC地址、時間信息等。 本認證管理i殳備還包括
網關信息配置單元44,用於為外部提供配置與本認證管理設備通信的網關 設備信息以及本認證管理設備與網關設備的通訊參數等的接口 。
接入信息配置單元45，用於為外部提供配置與本認證管理設備和客戶端通 信的接入設備信息以及本認證管理設備與接入設備和客戶端的通訊參數等的 接口。
認證信息單元46，用於為外部提供配置合法的地址與認證密碼的匹配關係 的接口。
存儲單元40還用於，保存沖突信息單元記錄的沖突信息，以及網關信息 配置單元和接入信息配置單元所接收的各種配置信息。信息綁定單元可以從存 儲單元保存的接入設備信息中獲取轉發所述認證請求的接入設備所接入的網 關設備，以及具體的接入埠，向該網關設備發送包含該埠信息的靜態ARP 信息。
參見圖5，本發明實施例還提供一種網關設備，可以應用於控制用戶上網 的系統中，該網關設備包括
信息綁定管理單元50，用於為外部提供配置靜態ARP相關參數的接口 ， 靜態ARP相關參數包括是否啟用設置靜態ARP信息功能的參數、本網關設備 與認證管理設備的通訊參數等。
信息綁定單元51，用於接收認證管理設備下發的靜態ARP信息，並記錄 該靜態ARP信 息。
存儲單元52,用於保存信息綁定管理單元接收的靜態ARP相關參數以及 信息綁定單元記錄的靜態ARP信息。信息綁定管理單元根據存儲單元保存的 是否啟用設置靜態ARP信息功能的參數決定是否記錄認證管理設備下發的靜 態ARP信息。
參見圖6,本發明實施例還提供一種控制用戶上網的方法，具體包括如下步驟60:接收客戶端發來的包含地址和認證密碼信息的認證請求；該地址 包括IP位址和/或MAC地址。
步驟61:根據保存的地址與認證密碼的匹配關係，判斷認證請求中的地址 和認證密碼是否匹配；若是，則到步驟62,否則，到步驟63; 步驟62:允許客戶端訪問網絡；
本步驟中，允許客戶端訪問網絡具體是指，網絡設備對接收到攜帶有所述 認證請求中的地址的報文進行轉發，具體的，對於接收到的來自網絡側的報文， 若該報文攜帶的目的地址與所述認證請求中的地址一致，則將該報文轉發給所 述客戶端；對於接收到的來自網客戶端的報文，若該報文攜帶的源地址與所述 認證請求中的地址一致，則將該報文轉發給網絡側。網絡設備包括交換機設備、 網關設備等。
較佳的，為了避免由於非法用戶盜用合法用戶的IP位址訪問網絡而產生 的對合法用戶的影響，本步驟進一步包括
在網關設備上設置所述客戶端的靜態ARP信息，該網關設備具體可以是 所述客戶端相連的接入設備所接入的網關設備。該靜態ARP信息包括所i^ 戶端的地址與所述接入設備接入網關設備的埠的映射關係等。其中，客戶端 的地址包括IP位址和/或MAC地址。那麼，網關設備在接收到轉發報文時， 根據設置的靜態ARP信息確定是否轉發該報文。
較佳的，為了避免由於非法用戶盜用合法用戶的IP位址訪問網絡而產生 的IP沖突問題，該方法進一步包括
客戶端在接收到ARP報文時，若所述ARP報文中的地址與配置在所述客 戶端的相應地址相同，則將所述ARP報文進行過濾。為了使得管理員能夠獲 知地址盜用的情況，客戶端在過濾ARP報文後，還向網絡側上報地址沖突報 告，該地址衝突報告中包含接收到的ARP報文中的地址信息和時間信息等， 管理員可以通過查看這些信息對盜用IP位址的非法用戶進行定位。步驟63:禁止客戶端訪問網絡。
本步驟中，禁止客戶端上網具體是指，網絡設備將接收到的來自網絡側和 客戶端的報文進行過濾，該報文中攜帶的地址與所述認證請求中的地址一致。 下面結合具體實施例對本發明的方法進行說明 實施例一
本實施例中的具體系統架構如圖7A所示，包括接入網絡的網關設備、接 入網關設備的交換機設備、接入交換機設備的客戶端、以及位於網絡任意位置 的認證管理設備。交換機設備對所有下接的客戶端進行控制，所有客戶端必須 經過認證管理設備的地址認證後才能訪問網絡。客戶端訪問網絡的具體流程如 下
步驟701:用戶在客戶端配置IP位址並輸入認證密碼信息後，客戶端向交 換機設備發送包含該IP位址、該客戶端的MAC地址和認證密碼信息的認證請 求；
步驟702:交換機設備接收到認證請求，將該認證請求發送給認證管理設
備；
步驟703:認證管理設備才艮據保存的IP位址、MAC地址與認證密碼的匹 配關係，確定認證請求中的IP位址、MAC地址和認證密碼是否匹配，若匹配， 則向交換機設備發送認證通過的結果通知，若不匹配，則向交換機設備發送認 證未通過的結果通知；
步驟704:交換機設備接收到認證通過的結果通知時，將該結果通知發送 給客戶端，並記錄認證請求中的IP位址和MAC地址，此後對於接收到的來自 網關設備的包含該IP位址和MAC地址的報文轉發給客戶端，對於接收到的來
收到認證未通過的結果通知時，將該結果通知發送給客戶端，並記錄認證請求 中的IP位址和MAC地址，此後對於接收到的包含該IP位址和MAC地址的 報文過濾，不進行轉發。實施例二
本實施例中的具體系統架構如圖7B所示，包括接入網絡的網關設備、接 入網關設備的交換機設備、接入交換機設備的客戶端、接入交換機設備的其他 HUB或非網管交換機等、以及位於網絡任意位置的認證管理設備。交換機設 備對所有下接的客戶端進行控制，所有客戶端必須經過認證管理設備的地址認 證後才能訪問網絡。在其他HUB或非網管交換片幾下還接有客戶端，該方式可 能存在非法用戶盜用IP位址導致的IP衝突，為了避免該IP衝突，客戶端具有 過濾ARP報文的功能。客戶端訪問網絡的具體流程如下
步驟711:非法用戶在客戶端1配置盜用的IP位址A並輸入錯誤的認證密 碼信息後，接收到認證未通過的結果通知；
步驟712:合法用戶在客戶端2配置經過授權的IP位址A後，客戶端2 發出包含IP位址A的ARP請求報文，由於客戶端1也配置了 IP位址A,因 此會接收到該ARP請求報文並向客戶端2返回ARP響應報文，客戶端2將接 收到的包含IP位址A的ARP響應報文進行過濾，從而避免了客戶端2的操作 系統禁用TCP/IP棧而導致計算機2無法使用IP位址A訪問網絡；客戶端2還 可以向認證管理設備上報包含客戶端1的MAC地址等的地址衝突報告，以供 管理員查看從而對盜用IP位址的用戶進行定位；
步驟713:客戶端2向交換機設備發送包含IP位址A、客戶端2的MAC 地址和合法用戶輸入的認證密碼信息的認證請求；
步驟714:交換機設備接收到認證請求，將該認證請求發送給認證管理設
備；
步驟715:認證管理設備根據保存的IP位址、MAC地址與認證密碼的匹 配關係，確定認證請求中的IP位址A、 MAC地址和認證密碼相匹配，向交換 機設備發送認證通過的結果通知；
步驟716:交換4幾i殳備接收到認證通過的結果通知時，將該結果通知發送 給客戶端，並記錄認證請求中的IP位址和MAC地址，此後對於接收到的來自網關設備的包含該IP位址和MAC地址的報文轉發給客戶端2，對於接收到的 來自客戶端2的包含該IP位址和MAC地址的報文轉發給網關設備。 實施例三
本實施例中的具體系統架構如圖7C所示，包括接入網絡的網關設備、接 入網關設備的交換機設備、接入交換機設備的客戶端、接入網關設備的其他 HUB或非本發明交換機等、以及位於網絡任意位置的認證管理設備。交換機 設備對所有下接的客戶端進行控制，所有客戶端必須經過認證管理設備的地址 認證後才能訪問網絡。在其他HUB或非本發明交換機下還接有客戶端，該方 式可能存在非法用戶盜用的IP位址上網導致的IP衝突以及給合法用戶造成不 良影響(如報文時斷時續)，為了避免該不良影響，認證管理設備具有將通過 認證的客戶端的靜態ARP信息設置在網關設備上的功能。客戶端訪問網絡的 具體流程如下
步驟721:合法用戶在客戶端1配置經授權的IP位址A並輸入正確的認 證密碼信息後，向接入設備發送包含IP位址A、客戶端1的MAC地址a和認 證密碼信息的i^證請求；接入設備將認證請求發送給i人i正管理i殳備；
步驟722:認證管理i殳備對認證請求認證通過後，向網關設備發送客戶端 1的靜態ARP信息，包括IP位址A、 MAC地址a和交換機設備接入網關設備 的埠號1的映射關係；網關設備將接收到的靜態ARP信息記錄在ARP表中；
步驟723:網關設備接收到來自網絡側的攜帶的目的IP位址為A、目的 MAC地址為a的報文時，根據記錄的靜態ARP信息確定IP位址A、 MAC地 址a與埠a對應，則通過埠a將報文發送給交換機設備，並由交換機設備 轉發給客戶端1;
步驟724:非法用戶在客戶端2使用盜用的IP位址A上網，客戶端2向
交換機或HUB通過埠 b將報文發送給網關設備；
步驟725:網關設備接收到報文，根據記錄的靜態ARP信息確定IP位址A與埠a對應，而不是與埠b對應，認為該報文非法，不轉發該報文；同 樣的，網關設備接收到來自網絡側的包含IP位址A的報文時，根據記錄的靜 態ARP信息確定IP位址A與埠 a對應，於是通過埠 a將該才艮文發送給交 換機設備，而不是非本發明的交換機或HUB，那麼結果是合法用戶所在的客 戶端1接收到了報文，非法用戶所在的客戶端2不能接收到來自網絡側的報文， 從而避免了由於網關設備既要將報文發送給客戶端1，又要將報文發送給客戶 端2，而給客戶端1帶來的報文時斷時續的影響。
本實施例中，即便是非法的客戶端2盜用IP位址A上網在先，合法用戶 在客戶端l使用IP位址A上網在後，由於合法用戶知道正確的認證密碼信息， 因此可以在通過認證管理設備的認證後訪問網絡，並且由於認證管理設備在認 證通過後，向網關設備發送客戶端1的靜態ARP信息，網關設備對該靜態ARP 信息進行記錄，那麼此後網關設備再接收到來自網絡側的包含IP位址A的報 文時，根據記錄的靜態ARP信息將該報文通過交換機設備轉發給客戶端1，而 不是通過非本發明的交換機或HUB轉發給客戶端2。並且，對於來自客戶端2 的報文網關設備也不對其進行轉發。可見，後上網的用戶搶回了自己的合法IP 地址。
綜上，本發明的有益效果在於
本發明實施例提供的方案中，接收到客戶端發來的包含地址和認證密碼信 息的認證請求時，根據預先設置的地址與認證密碼的匹配關係，判斷認證請求 中的地址和認證密碼是否匹配，並在認證請求中的地址和認證密碼不匹配時， 禁止該客戶端上網，由於盜用認證密碼的困難度較高，並且認證密碼可以隨時 進行修改，通過該方法能夠有效地-提高防止非法用戶^f吏用盜用的地址訪問網絡 的安全性。
同時，本發明實施例提供的方案中，客戶端對接收到的ARP報文進行過 濾，能夠避免IP衝突；同時，客戶端將沖突信息進行上報，使得管理員能夠 根據該衝突信息對發生衝突的用戶進行定位。並且，本發明實施例提供的方案中，將認證通過的合法用戶的靜態ARP
信息設置在網關設備上，能夠避免其他非法用戶盜用地址訪問網絡給合法用戶 造成的不良影響。
明的精神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及 其等同技術的範圍之內，則本發明也意圖包含這些改動和變型在內。
權利要求
1、一種控制用戶上網的方法，其特徵在於，該方法包括接收客戶端發來的包含地址和認證密碼信息的認證請求；根據保存的地址與認證密碼的匹配關係，判斷所述認證請求中的地址和認證密碼是否匹配，在所述認證請求中的地址和認證密碼不匹配時，禁止所述客戶端訪問網絡。
2、 如權利要求i所述的方法，其特徵在於，在所述認證請求中的地址和 認證密碼匹配時，該方法進一步包括在網絡設備上設置所述客戶端的靜態地址轉換協議ARP信息； 所述網絡設備接收到轉發報文時，根據設置的靜態ARP信息決定是否對 所述報文進行轉發。
3、 如權利要求l所述的方法，其特徵在於，該方法進一步包括 所述客戶端在接收到ARP報文時，若所述ARP報文中的源地址與配置在所述客戶端的相應地址相同，則將所述ARP報文進行過濾。
4、 如權利要求3所述的方法，其特徵在於，該方法進一步包括 所述客戶端向網絡側上報包含所述ARP報文中的地址信息的地址衝突報告，網絡側記錄所述地址沖突報告中的信息。
5、 如權利要求1或2所述的方法，其特徵在於，所述地址包括IP位址和 /或MAC地址。
6、 一種控制用戶上網的系統，其特徵在於，該系統包括接入設備，用於接收客戶端發來的包含地址和認證密碼信息的認證請求， 將所述認證請求發送給認證管理設備；在所述認證管理設備對所述認證請求的 認證未通過時，禁止所述客戶端訪問網絡；認證管理設備，用於根據保存的地址與認證密碼的匹配關係，判斷所述認 證請求中的地址和認證密碼是否匹配，若匹配，則認證通過，否則，認證未通
7、 如權利要求6所述的系統，其特徵在於，所述認證管理設備還用於 在認證通過時，向與所述接入設備相連的網關設備發送所述客戶端的靜態地址轉換協議ARP信息； 該系統進一步包括網關設備，用於接收並記錄所述客戶端的靜態ARP信息；在接收到轉發 報文時，根據設置的靜態ARP信息決定是否對所述報文進行轉發。
8、 一種客戶端認證模塊，安裝在客戶端中，其特徵在於，該客戶端認證 模塊包括存儲單元，用於保存配置的地址信息和認證密碼信息； 認證單元，用於向接入設備發送包含所述地址信息和認證密碼信息的認證 請求。
9、 如權利要求8所述的客戶端認證模塊，其特徵在於，所述客戶端認證 模塊還包括沖突防禦單元，用於在接收到ARP報文時，若所述ARP報文中的源地址 與所述記錄單元記錄的相應地址相同，則將所迷ARP才艮文進行過濾。
10、 如權利要求9所述的客戶端認證模塊，其特徵在於，所述客戶端認證 模塊還包括沖突通告單元，用於向所述認證管理設備上報包含所述ARP報文中的地 址信息的地址衝突報告。
11、 一種接入設備，其特徵在於，該接入設備包括認證處理單元，用於接收客戶端發來的包含地址和認證密碼信息的認證請 求，將所述認證請求發送給認證管理設備；過濾單元，用於在所述認證管理設備對所述認證請求的認證未通過時，禁 止轉發接收到的包含所述地址的報文。
12、 一種認證管理設備，其特徵在於，該認證管理設備包括 存儲單元，用於保存地址與認證密碼的匹配關係；認證單元，用於接收包含地址與認證密碼信息的認證請求，才艮據所述認證 信息存儲單元保存的地址與認證密碼的匹配關係，判斷所述認證請求中的地址 和認證密碼是否匹配，若是，則認證通過，承則，認證未通過。
13、 如權利要求12所述的認證管理設備，其特徵在於，該認證管理設備 還包括信息綁定單元，用於在認證通過時，將發出所述認證請求的客戶端的靜態 ARP信息設置在網關設備中。
14、 如權利要求12所述的認證管理設備，其特徵在於，該認證管理設備 還包括衝突信息單元，用於接收客戶端發來的地址衝突報告，記錄所述地址衝突 報告中的信息。
全文摘要
本發明實施例公開了一種控制用戶上網的方法，該方法為接收客戶端發來的包含地址和認證密碼信息的認證請求；根據保存的地址與認證密碼的匹配關係，判斷所述認證請求中的地址和認證密碼是否匹配，在所述認證請求中的地址和認證密碼不匹配時，禁止所述客戶端訪問網絡。本發明實施例公開了控制用戶上網的系統和設備。採用本發明，能夠有效的提高防止非法用戶使用盜用的地址訪問網絡的安全性。
文檔編號H04L9/32GK101436934SQ20081016768
公開日2009年5月20日 申請日期2008年10月20日 優先權日2008年10月20日
發明者林雁敏 申請人:福建星網銳捷網絡有限公司