一种安全认证方法及设备与流程

1.本技术涉及通信技术，特别涉及一种安全认证方法及设备。


背景技术：

2.为加强网络资源的安全控制和运营管理，用户终端接入局域网时，需要对接入的用于进行安全认证和授权，以保证网络资源被经过有效认证的用户访问。portal认证是一种灵活的访问控制技术，可以在接入层以及需要保护的关键数据入口处实施访问控制。portal系统通常包括认证客户端、接入设备、portal服务器(包括portal认证服务器和portal web服务器)、aaa服务器和安全策略服务器。接入设备将用户的http/https请求重定向到portal服务器以提供web认证页面，接入设备再将用户通过web认证页面提交的认证信息提交给porta服务器。接入设备在认证过程中，与portal服务器、aaa服务器交互、完成认证授权计费功能，并在认证客户端通过认证后，aaa认证服务器将授权acl(access control list，接入控制列表)表项发送至接入设备，接入设备根据授权acl表项仅允许认证成功的portal用户被授权的网络资源。但是，aaa服务器生成的授权acl表项中，接入设备需要根据报文的源ip地址和目的ip地址查找匹配的授权acl表项，而acl表项的数目是有限的硬件资源，导致接入设备的acl资源成为portal认证系统系统支持portal用户数目的瓶颈。


技术实现要素：

3.本技术的目的在于提供一种安全认证方法及设备，降低portal认证设备接入设备的安全认证接入控制表项占用的资源。
4.为实现上述目的，本技术提供了一种安全认证方法；其中该方法包括：为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项；配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；获取已接收的数据报文的源ip地址和目的ip地址；在转发信息库查找到源ip地址匹配的转发信息库表项，获取源ip地址对应的源微分段标识；在转发信息库查找到目的ip地址匹配的转发信息库表项，获取目的ip地址对应的目的微分段标识；根据源微分段标识和目的微分段标识查找到匹配的安全认证接入控制表项；根据安全认证接入控制表项控制已接收数据报文的转发。
5.为实现上述目的，本技术提供了一种安全认证设备，其中，该设备包括：设置模块，用于为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项；配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；认证模块，用于获取已接收的数据报文的源ip地址和目的ip地址；在转发信息库查找到源ip地址匹配的转发信息库表项，获取源ip地址对应的源微分段标识；在转发信息库查找到目的ip地址匹配的转发信息库表项，获取目的ip地址对应的目的微分段标识；根据源微分段标识和目的微分段标识查找到匹配的安全认证接入控制表项；交换模块，根据安全认证接入控制表项控制已接收数据报文的转发。
6.本技术的有益效果在于，属于同一微分段的多个源ip地址与属于另一相同微分段的多个目的ip地址通过一条安全认证acl表项就可以达到访问控制的目的，节约了portal认证系统内接入设备的acl表项的数目。
附图说明
7.图1所示为本技术提供的安全认证方法实施例的流程图；
8.图2为本技术实施例提供的设置带有微分段标识的转发信息库的流程图；
9.图3所示为本技术提供的安全认证设备实施例的流程图。
具体实施方式
10.将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本技术的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子的难于理解。
11.使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
12.图1所示的本技术提供的安全认证方法实施例的流程图包括：
13.步骤101，为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项；
14.步骤102，配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；
15.步骤103，获取已接收的数据报文的源ip地址和目的ip地址；
16.步骤104，在转发信息库查找到源ip地址匹配的转发信息库表项，获取源ip地址对应的源微分段标识；
17.步骤105，在转发信息库查找到目的ip地址匹配的转发信息库表项，获取目的ip地址对应的目的微分段标识；
18.步骤106，根据源微分段标识和目的微分段标识查找到匹配的安全认证接入控制表项；
19.步骤107，根据安全认证接入控制表项控制已接收数据报文的转发。
20.图1所示实施例的有益效果在于，属于同一微分段的多个源ip地址与属于另一相同微分段的多个目的ip地址通过一条安全认证acl表项就可以达到访问控制的目的，节约了portal认证系统内接入设备的acl表项的数目。
21.本技术中可以应用于portal认证系统的接入设备，譬如具有三层转发功能交换机或路由器，可以提供对直连网段的认证客户端的直接认证或非直连网段的认证客户端的跨三层portal认证。图2中，应用于portal认证系统的接入设备设置带有微分段标识的转发信息库包括以下步骤：
22.步骤211，接入设备从aaa服务器接收认证客户端的认证结果。
23.步骤212，接入设备基于认证结果判断是否为通过认证的已认证客户端；若否，执行步骤213；若是，执行步骤214。
24.步骤213，通知认证失败。
25.本技术中，若接入设备将认证结果发送给portal服务器，通过推送web页面通知用户portal认证失败。
26.步骤214，接入设备判断已认证客户端的ip地址是否属于直连网段；若是，执行步骤215；若是，执行步骤216。
27.步骤215，接入设备根据arp表项配置带有微分段标识的fib表项。
28.接入设备根据已认证客户端的ip地址查找arp表项，arp表项中的出接口，在fib(forwarding information base，转发信息库)中设置已认证客户端的ip地址的带有微分段标识(segment id)的fib表项。fib表项中，出接口为arp表项的出接口；微分段标识为认证结果中aaa服务器根据已认证客户端的ip地址所属的网段分配的微分段标识；或者，接入设备根据本地的微分段标识分配策略为已认证客户端的ip地址分配的微分段标识。
29.步骤216，接入设备为已认证客户端的ip地址配置静态主机路由表项。
30.接入设备查找路由表获取到达已认证客户端的ip地址所属网段的下一跳ip地址和出接口；在路由表中设置已认证客户端的ip地址的静态主机路由表项，其中下一跳为从路由表中获取的到达认证客户端所属网段的下一跳ip地址以及出接口。
31.步骤217，接入设备根据静态路由表项配置带有微分段标识的fib表项。
32.接入设备在fib中设置已认证客户端的带有微分段标识的fib表项；其中，下一跳ip地址和出接口为静态主机路由表项的下一跳ip地址和出接口；微分段标识为认证结果中aaa服务器根据已认证客户端的ip地址所属网段分配的微分段标识。或者，接入设备根据本地的微分段标识分配策略为已认证客户端的ip地址分配的微分段标识。
33.在可跨三层认证方式中，认证客户端与接入设备不直连，接入设备无法收到来自认证客户端的arp协议报文生成arp表项。因此，本技术的接入设备在用户认证过程为认证成功的客户端ip地址配置静态路由表项，通过静态路由表项的下一跳ip地址和出接口来生成带微分段标识的fib表项。
34.接入设备根据图2为通过认证的已认证客户端生成带有微分段标识的fib表项后，收到数据报文时，获取数据报文的源ip地址和目的ip地址；按照最长匹配原则查找fib表项，获取源ip地址的fib表项的微分段标识作为源微分段标识；根据目的ip地址按照最长匹配原则查找fib表项，获取目的ip地址的fib表项的微分段标识作为目的微分段标识。
35.接入设备根据源微分段标识和目的微分段标识在已设置的安全认证acl表中查找，查找到匹配的安全认证acl表项时，根据匹配的安全认证acl表项的动作项控制数据报文的转发，当安全认证acl表项的动作项为允许转发时，根据目的ip地址的fib表项转发；当安全认证acl表项的动作项为禁止转发时，丢弃该数据报文。
36.本技术中，接入设备通过配置带有微分段标识的fib表项，实现了直连网段以及跨三层的客户端的portal认证，并且极大地节约了portal认证系统中接入设备的安全认证acl表项的资源。
37.图3所示为本技术提供的安全认证设备实施例的流程图；该设备30至少包括：网络接口，交换芯片，cpu以及存储器。交换芯片至少包括接收模块、认证模块、交换模块。处理器通过运行存储器中的处理器可执行指令用以执行设置模块。
38.设置模块，用于为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项；配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；认证模块，
用于获取已接收的数据报文的源ip地址和目的ip地址；在转发信息库查找到源ip地址匹配的转发信息库表项，获取源ip地址对应的源微分段标识；在转发信息库查找到目的ip地址匹配的转发信息库表项，获取目的ip地址对应的目的微分段标识；根据源微分段标识和目的微分段标识查找到匹配的安全认证接入控制表项；交换模块，根据安全认证接入控制表项控制已接收数据报文的转发。
39.接收模块，用于接收每个已认证客户端的认证结果；设置模块，用于当认证结果为通过认证，识别属于直连网段的已认证客户端的ip地址；查找属于直连网段的已认证客户端的ip地址的arp表项；根据属于直连网段的已认证客户端的ip地址的arp表项配置带有微分段标识的转发信息库表项。
40.接收模块，用于接收每个待认证客户端的认证结果；设置模块，用于当认证结果为通过认证，识别属于非直连网段的已认证客户端的ip地址；查找路由表中到达属于非直连网段的已认证客户端的ip地址的下一跳；在路由表中为属于非直连网段的已认证客户端的ip地址设置静态主机路由；根据静态主机路由配置带有微分段标识的转发信息库表项。
41.设置模块，用于从接收到每个已认证客户端的认证结果中获取每个已认证客户端的ip地址所属网段的微分段标识；或者，用于根据本地配置的微分段标识分配规则为每个已认证客户端的ip地址分配微分段标识。
42.以上仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。

技术特征：
1.一种安全认证方法，其特征在于，所述方法包括：为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项；配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；获取已接收的数据报文的源ip地址和目的ip地址；在转发信息库查找到所述源ip地址匹配的转发信息库表项，获取所述源ip地址对应的源微分段标识；在所述转发信息库查找到所述目的ip地址匹配的转发信息库表项，获取所述目的ip地址对应的目的微分段标识；根据所述源微分段标识和所述目的微分段标识查找到匹配的所述安全认证接入控制表项；根据所述安全认证接入控制表项控制所述已接收数据报文的转发。2.根据权利要求1所述的方法，其特征在于，为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项包括：接收每个待认证客户端的认证结果；当所述认证结果为通过认证，识别属于直连网段的已认证客户端的ip地址；查找属于直连网段的已认证客户端的ip地址的arp表项；根据属于直连网段的已认证客户端的ip地址的arp表项配置带有微分段标识的转发信息库表项。3.根据权利要求1所述的方法，其特征在于，为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项包括：接收每个待认证客户端的认证结果；当所述认证结果为通过认证，识别属于非直连网段的已认证客户端的ip地址；查找路由表中到达属于非直连网段的已认证客户端的ip地址的下一跳；在所述路由表中为属于非直连网段的已认证客户端的ip地址设置静态主机路由；根据所述静态主机路由配置带有微分段标识的转发信息库表项。4.根据权利要求2或3所述的方法，其特征在于，所述方法进一步包括：从所述认证结果中获取每个已认证客户端的ip地址所属网段的微分段标识。5.根据权利要求2或3所述的方法，其特征在于，所述方法进一步包括：根据本地配置的微分段标识分配规则为每个已认证客户端的ip地址分配微分段标识。6.一种安全认证设备，其特征在于，所述设备包括：所述设置模块，用于为每个已认证客户端的ip地址配置带有微分段标识的转发信息库表项；配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；所述认证模块，用于获取已接收的数据报文的源ip地址和目的ip地址；在转发信息库查找到所述源ip地址匹配的转发信息库表项，获取所述源ip地址对应的源微分段标识；在所述转发信息库查找到所述目的ip地址匹配的转发信息库表项，获取所述目的ip地址对应的目的微分段标识；根据所述源微分段标识和所述目的微分段标识查找到匹配的所述安全认证接入控制表项；所述交换模块，根据所述安全认证接入控制表项控制所述已接收数据报文的转发。7.根据权利要求6所述的设备，其特征在于，所述设备还包括接收模块；
所述接收模块，用于接收每个已认证客户端的认证结果；所述设置模块，用于当所述认证结果为通过认证，识别属于直连网段的已认证客户端的ip地址；查找属于直连网段的已认证客户端的ip地址的arp表项；根据属于直连网段的已认证客户端的ip地址的arp表项配置带有微分段标识的转发信息库表项。8.根据权利要求6所述的设备，其特征在于，所述接收模块，用于接收每个待认证客户端的认证结果；所述设置模块，用于当所述认证结果为通过认证，识别属于非直连网段的已认证客户端的ip地址；查找路由表中到达属于非直连网段的已认证客户端的ip地址的下一跳；在所述路由表中为属于非直连网段的已认证客户端的ip地址设置静态主机路由；根据所述静态主机路由配置带有微分段标识的转发信息库表项。9.根据权利要求7或8所述的设备，其特征在于，所述设置模块，用于从接收到每个已认证客户端的认证结果中获取每个已认证客户端的ip地址所属网段的微分段标识。10.根据权利要求7或8所述的设备，其特征在于，所述设置模块，用于根据本地配置的微分段标识分配规则为每个已认证客户端的ip地址分配微分段标识。

技术总结
本申请提供了一种安全认证方法及设备；其中该安全认证方法包括为每个已认证客户端的IP地址配置带有微分段标识的转发信息库表项；配置匹配指定源微分段组和指定目的微分段组的安全认证接入控制表项；获取已接收的数据报文的源IP地址和目的IP地址；在转发信息库查找到源IP地址匹配的转发信息库表项，获取源IP地址对应的源微分段标识；在转发信息库查找到目的IP地址匹配的转发信息库表项，获取目的IP地址对应的目的微分段标识；根据源微分段标识和目的微分段标识查找到匹配的安全认证接入控制表项；根据安全认证接入控制表项控制已接收数据报文的转发。数据报文的转发。数据报文的转发。


技术研发人员：刘翔
受保护的技术使用者：新华三技术有限公司合肥分公司
技术研发日：2022.06.30
技术公布日：2022/11/1