專利名稱:一種訪問控制方法�����、接入設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,尤其涉及一種訪問控制方法����、接入設(shè)備及系統(tǒng)。
背景技術(shù):
在 IP(Internet Protocol,網(wǎng)絡(luò)協(xié)議)網(wǎng)絡(luò)或者 IPv6 (Internet Protocol Version 6����,新一代網(wǎng)絡(luò)協(xié)議)網(wǎng)絡(luò)模型中,一個(gè) CPE/RG(customer premises equipment/ router gateway���,用戶站/路由型網(wǎng)關(guān))要訪問網(wǎng)絡(luò)資源��,和其它CPE/RG進(jìn)行通信��,必須獲 取唯一的IP地址(IPv6地址或者IPv6前綴)����。目前�����,根據(jù)不同的鏈路層封裝,CPE/RG獲取 IP地址����、IPv6地址或者IPv6前綴的方式主要有兩種IPoE(IP over Ethernet�����,IP承載在以 太鏈路上)鏈路封裝類型主要通過DHCP (Dynamic Host Configuration Protocol����,動(dòng)態(tài)主 機(jī)配置協(xié)議)協(xié)議或者DHCPv6 (Dynamic Host Configuration Protocol for IPv6���,新一代 動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議動(dòng)態(tài)獲取IP地址(IPv6地址或者IPv6前綴)��,以及PPPoE (Point to Point over Ethernet����,點(diǎn)對(duì)點(diǎn)協(xié)議承載在以太鏈路上)鏈路封裝類型通過PPPoE協(xié)議 獲取IP地址(IPv6地址或者IPv6前綴)�。IPoE鏈路封裝類型安全性比較低,惡意CPE/RG可以通過仿冒其它CPE/RG的IP地 址(IPv6地址或者IPv6前綴)或MAC地址進(jìn)行欺騙���,網(wǎng)絡(luò)容易受到攻擊�����。在網(wǎng)絡(luò)安全越來 越重要的情況下�����,必須要提供更安全的接入方法��,防止網(wǎng)絡(luò)攻擊����。AMAccess Node,接入節(jié) 點(diǎn))在網(wǎng)絡(luò)架構(gòu)中負(fù)責(zé)給CPE/RG提供接入網(wǎng)絡(luò)的服務(wù)���,是最接近CPE/RG的設(shè)備�����,需要處理 DHCP協(xié)議(DHCPv6協(xié)議)����,因此��,目前AN上防IP地址欺騙和防MAC地址欺騙的接入方法是 基于DHCP協(xié)議的原理來實(shí)現(xiàn)的���。AN通過監(jiān)聽DHCP報(bào)文,獲取到CPE/RG的MAC地址和DHCP Server分配給CPE/RG 的IP地址�����,并且與AN上的用戶側(cè)端口建立綁定關(guān)系。用戶端口不一定是物理端口�����,根據(jù)不 同的接入方式����,也可以是虛擬的通道端口�,通常在同一端口上可以允許綁定多個(gè)MAC地址 和IP地址,但要限制綁定的數(shù)量�����,超過該限制值后�����,不再綁定新的MAC地址和IP地址����。在轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)報(bào)文時(shí),通過獲取接收?qǐng)?bào)文的用戶側(cè)端口�����,檢查報(bào)文的MAC地址 和IP地址是否符合已經(jīng)建立的綁定關(guān)系,如果符合��,則允許訪問接入���,如果不符合�,則不能 進(jìn)行訪問�,從而實(shí)現(xiàn)防止用戶進(jìn)行MAC地址欺騙和IP地址欺騙的目的。在控制平面�����,如果 新的CPE/RG使用與已經(jīng)綁定MAC地址相同的MAC地址發(fā)起DHCP協(xié)議申請(qǐng)IP地址�,也會(huì)檢 查已經(jīng)建立的綁定關(guān)系,如果用戶端口信息不同�����,認(rèn)為是屬于MAC地址欺騙��,丟棄該DHCP協(xié) 議報(bào)文��。建立綁定關(guān)系的有效時(shí)間����,根據(jù)DHCP協(xié)議的原理�,與DHCP分配的IP地址的租期 相同�,當(dāng)租期到期則刪除綁定關(guān)系表。CPE/RG通過DHCP協(xié)議申請(qǐng)IP地址時(shí)����,為了減少DHCP協(xié)議報(bào)文占用的網(wǎng)絡(luò)資源, 通常租期時(shí)間都會(huì)比較長�,一般在M小時(shí)以上,在這段時(shí)間內(nèi)��,綁定關(guān)系表一直是生效的��。 但是�,當(dāng)進(jìn)行開局測(cè)試時(shí)���,可能會(huì)使用相同的終端在不同端口上測(cè)試DHCP業(yè)務(wù)是否正常�, 需要將MAC地址和IP地址在短時(shí)間內(nèi)在不同用戶端口上遷移���,在這種場(chǎng)景下���,因?yàn)橐呀?jīng)在 一端口上綁定了 MAC和IP地址,當(dāng)相同MAC地址遷移到其他端口上進(jìn)行DHCP協(xié)議申請(qǐng)時(shí)����,會(huì)被認(rèn)為是MAC地址欺騙�,不能進(jìn)行申請(qǐng)�,必須等到原綁定關(guān)系租期到期刪除后,才能在另 一端口上申請(qǐng)�。由于租期時(shí)間一般比較長,所以無法實(shí)現(xiàn)上述業(yè)務(wù)���。另外�����,當(dāng)一端口上綁定 關(guān)系表規(guī)格已經(jīng)滿的情況下�,更換其中一個(gè)訪問設(shè)備���,例如終端損壞��,更換終端時(shí)����,需要使 用新的MAC地址進(jìn)行DHCP協(xié)議申請(qǐng)���,但因?yàn)榕f的綁定表項(xiàng)租期較長����,舊的綁定關(guān)系依然存 在,新的MAC地址將不能進(jìn)行申請(qǐng)�,所以也無法實(shí)現(xiàn)該業(yè)務(wù)。由此可見�,現(xiàn)有技術(shù)防止用戶進(jìn)行MAC地址欺騙和IP地址欺騙的訪問控制方法適 用性較差,影響了正常業(yè)務(wù)的進(jìn)行��。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供一種訪問控制方法��、接入設(shè)備及系統(tǒng)����,以解決現(xiàn)有技術(shù)中綁 定關(guān)系建立方法����,其具體方案如下一種訪問控制方法����,包括接收訪問請(qǐng)求,獲取用戶的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介質(zhì)訪問控制MAC地址�;當(dāng)所述MAC地址已經(jīng)綁定��、與所述MAC地址進(jìn)行綁定的綁定端口與接收訪問請(qǐng)求 的當(dāng)前端口不相同�����、且所述MAC地址與所述綁定端口間的綁定關(guān)系為無效時(shí)����,刪除所述MAC 地址與所述綁定端口間的綁定關(guān)系�����,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系�����,允許 用戶訪問���;當(dāng)所述MAC地址沒有綁定��、所述當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大 值�����、且所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含無效的綁定關(guān) 系時(shí)��,刪除所述無效的綁定關(guān)系��,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系�,允許用戶 訪問ο一種接入設(shè)備,包括接收模塊�����,用于接收協(xié)議請(qǐng)求��,獲取用戶獲得的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介質(zhì)訪 問控制MAC地址�;第一綁定狀態(tài)判斷模塊,用于判斷所述MAC地址是否已經(jīng)綁定���;第一端口判斷模塊����,用于判斷與所述MAC地址進(jìn)行綁定的綁定端口與所述接收協(xié) 議請(qǐng)求的當(dāng)前端口是否相同���;第一綁定關(guān)系判斷模塊,用于判斷所述MAC地址與所述綁定端口間的綁定關(guān)系是 否為無效��;第一建立模塊�����,用于當(dāng)判斷出所述MAC地址已經(jīng)綁定、與所述MAC地址進(jìn)行綁定的 綁定端口與接收請(qǐng)求的當(dāng)前端口不相同����、且所述MAC地址與所述綁定端口間的綁定關(guān)系為 無效時(shí),刪除所述MAC地址與所述綁定端口間的綁定關(guān)系�,建立所述MAC地址與所述當(dāng)前端 口的綁定關(guān)系,允許用戶訪問����;綁定數(shù)量判斷模塊,用于當(dāng)判斷出所述MAC地址沒有綁定時(shí)�,判斷所述當(dāng)前端口 上綁定的MAC地址的數(shù)量是否已經(jīng)達(dá)到最大值;第二綁定關(guān)系判斷模塊�,用于當(dāng)判斷出所述當(dāng)前端口上綁定的MAC地址的數(shù)量已 經(jīng)達(dá)到最大值時(shí),判斷所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中是 否包含無效的綁定關(guān)系����;第二建立模塊,用于當(dāng)所述MAC地址沒有綁定�����、所述當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值���、且所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中 包含無效的綁定關(guān)系時(shí)�,刪除所述無效的綁定關(guān)系,建立所述MAC地址與所述當(dāng)前端口的 綁定關(guān)系�����,允許用戶訪問��。一種訪問控制系統(tǒng)����,包括終端設(shè)備和接入設(shè)備,其中所述終端設(shè)備用于�����,向接入設(shè)備發(fā)送訪問請(qǐng)求�����;所述接入設(shè)備用于��,接收所述訪問請(qǐng)求�����,獲取用戶的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介 質(zhì)訪問控制MAC地址�����,當(dāng)所述MAC地址已經(jīng)綁定��、與所述MAC地址進(jìn)行綁定的綁定端口與接 收請(qǐng)求的當(dāng)前端口不相同�����、且所述MAC地址與所述綁定端口間的綁定關(guān)系為無效時(shí)����,刪除 所述MAC地址與所述綁定端口間的綁定關(guān)系,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān) 系����,允許用戶訪問;當(dāng)所述MAC地址沒有綁定�,所述當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng) 達(dá)到最大值、且所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含無效 的綁定關(guān)系時(shí)���,刪除所述無效的綁定關(guān)系����,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系, 允許用戶訪問����。從上述技術(shù)方案可以看出,本發(fā)明實(shí)施例公開的訪問控制方法�����,通過對(duì)綁定關(guān)系 的有效性檢測(cè)判定接收的協(xié)議請(qǐng)求是MAC地址欺騙還是正常的業(yè)務(wù)需要導(dǎo)致的IP和MAC 合法地址遷移�,從而實(shí)現(xiàn)了即滿足安全特性的需要,又滿足特殊場(chǎng)景的需求���,擴(kuò)大了該方法 的應(yīng)用范圍�����。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以 根據(jù)這些附圖獲得其他的附圖����。圖1為本發(fā)明實(shí)施例公開的訪問控制方法的流程圖����;圖2為本發(fā)明實(shí)施例公開的又一訪問控制方法的流程圖;圖3為本發(fā)明實(shí)施例公開的又一訪問控制方法的流程圖����;圖4為本發(fā)明實(shí)施例公開的接入設(shè)備的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例公開的訪問控制系統(tǒng)的示意圖���。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完 整地描述�,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例�����?����;?本發(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。本發(fā)明公開的訪問控制方法的流程如圖1所示,包括步驟S11�����、接入設(shè)備接收終端設(shè)備發(fā)送的DHCP協(xié)議請(qǐng)求����,獲取用戶獲得的IP地址 和用戶的MAC地址�;本實(shí)施例中的協(xié)議可以為DHCP或者新一代動(dòng)態(tài)主機(jī)配置協(xié)議DHCPv6��。當(dāng)為 DHCPv6時(shí)�,對(duì)應(yīng)的IP地址為IPv6地址、IPv6前綴����。在此選用DHCP作為舉例描述���。
接入設(shè)備接收CPE/RG發(fā)送的DHCP���,CPE/RG已經(jīng)通過DHCP協(xié)議獲取到IP地址。步驟S12�、判斷MAC地址是否已經(jīng)綁定,若是�,則執(zhí)行步驟S13,若否��,則執(zhí)行步驟 S14 �;AN上保存所有的MAC、IP��、端口對(duì)應(yīng)關(guān)系����,判斷該獲取到的用戶MAC是否已經(jīng)和端 口建立起了對(duì)應(yīng)關(guān)系����,即進(jìn)行了綁定�。步驟S13、當(dāng)綁定端口與接收DHCP的當(dāng)前端口不相同����,且綁定關(guān)系為無效時(shí),刪除 MAC地址與綁定端口的綁定關(guān)系�����,建立MAC地址與當(dāng)前端口的綁定關(guān)系��,執(zhí)行步驟S15 ���;當(dāng)接收DHCP的當(dāng)前端口并非與MAC綁定的端口時(shí)����,則說明CPE/RG在并未與其綁 定的端口進(jìn)行訪問�,此時(shí)需要去檢測(cè)與MAC的綁定關(guān)系是否仍然有效,即��,檢測(cè)MAC和與其 綁定的端口間是否仍然能夠進(jìn)行正常的通信,如果不能�����,則證明其綁定關(guān)系已經(jīng)無效����,該無 效的原因可能是CPE/RG在原來綁定的端口上掉線,即表示CPE/RG已經(jīng)從原來的端口移除����, 此時(shí)需要將該端口與MAC的綁定關(guān)系刪除����,以保證該MAC可以在其他的端口上進(jìn)行綁定,并 保證正常的訪問��。步驟S14��、當(dāng)接收DHCP的當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值�,且其 中包含無效的綁定關(guān)系時(shí),刪除無效的綁定關(guān)系����,建立MAC地址與當(dāng)前端口的綁定關(guān)系�����,執(zhí) 行步驟S15 ���;當(dāng)接收DHCP的當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值,即AN上設(shè)置 的規(guī)格已滿�����,無法直接建立發(fā)起DHCP用戶的未被綁定的MAC與當(dāng)前端口的綁定關(guān)系�。此時(shí) 需要判斷與該端口相關(guān)的綁定關(guān)系是否有效,即判斷與該端口建立的綁定關(guān)系是否都能保 證正常的通信�����,如果都能保證正常通信����,則表示綁定關(guān)系都有效,如果存在無法保證正常通 信的綁定關(guān)系�,則表明該綁定關(guān)系已經(jīng)無效,無效的原因可能是租期時(shí)間到達(dá)�����,或者是CPE/ RG在該端口上掉線,此時(shí)�����,可刪除該無效的綁定關(guān)系����,建立起發(fā)起DHCP用戶的未被綁定的 MAC與當(dāng)前端口的綁定關(guān)系。步驟S15�����、允許用戶訪問���。在建立起發(fā)起DHCP用戶的MAC與當(dāng)前端口的綁定關(guān)系后,則可以允許用戶進(jìn)行訪 問��。本實(shí)施例公開的訪問控制方法中���,通過獲取接收的DHCP中的用戶MAC地址���,判斷 該MAC地址是否已經(jīng)綁定,進(jìn)而根據(jù)其是否已經(jīng)被綁定以及如果被綁定��,其綁定關(guān)系的狀 態(tài)來確定是否需要?jiǎng)h除無效的綁定關(guān)系,建立新的綁定關(guān)系以進(jìn)行正常的接入訪問���,從而 解決了現(xiàn)有技術(shù)中��,由于綁定關(guān)系租期未到�����,無法建立新的綁定關(guān)系�����,以及由于端口上綁定 的MAC地址的數(shù)量已經(jīng)達(dá)到最大值�,需要更換終端時(shí)���,無法建立新的綁定關(guān)系�����,影響正常的 業(yè)務(wù)進(jìn)行的問題���,提高了訪問控制方法的通用性。此外,在上一實(shí)施例的上述步驟后�����,還可以包括步驟S16��、當(dāng)MAC地址已經(jīng)綁定且綁定端口與當(dāng)前端口不相同�,且綁定關(guān)系為有效 時(shí),確定為MAC地址欺騙��,拒絕用戶訪問�����;此時(shí)�����,通過判斷得到MAC與綁定端口的綁定關(guān)系仍然有效�����,說明該MAC對(duì)應(yīng)的CPE/ RG仍然與其綁定端口相連�,而當(dāng)前接收的DHCP屬于MAC地址欺騙��,丟棄該DHCP協(xié)議報(bào)文, 拒絕用戶訪問��。步驟S17�����、當(dāng)MAC地址已經(jīng)綁定且綁定端口與當(dāng)前端口相同時(shí)���,允許用戶訪問���。
此步驟中表示,CPE/RG在與其綁定的端口上進(jìn)行訪問�,由于AN上預(yù)先保存有其 MAC與端口以及IP地址的綁定關(guān)系,則允許其進(jìn)行訪問��。下面結(jié)合一個(gè)具體例子對(duì)本實(shí)施例進(jìn)行詳細(xì)描述假設(shè)終端A的MAC地址為MACl�����,通過DHCP協(xié)議獲取到IP地址為IPl����,如果AN在端 口 Portl上建立了 MACl和IPl的綁定關(guān)系,并且保存���。其綁定關(guān)系的租期為M小時(shí)�。在租 期內(nèi),如果將終端A從端口 Portl上移除���,從端口 Port2上接入����,此時(shí)由于終端A的MAC地 址已經(jīng)綁定���,但是接收用戶訪問請(qǐng)求的端口并非與MACl綁定的端口 portl��,AN則判斷MACl 對(duì)應(yīng)的綁定關(guān)系是否有效��,此時(shí)由于終端A已經(jīng)從Port 1上移除了�,所以該綁定關(guān)系已經(jīng)無 效���,則AN刪除該無效的綁定關(guān)系����,建立起MACl與當(dāng)前接入端口 Port2的綁定關(guān)系��,以允許 用戶進(jìn)行訪問��。假設(shè)端口 Portl上綁定關(guān)系表規(guī)格已經(jīng)滿足最大值�,即在該端口上綁定的MAC地 址的數(shù)量已經(jīng)達(dá)到最大值,如果此時(shí)其中的一個(gè)終端B損壞�,需要將其更換為終端A,由于 此時(shí)在AN上存儲(chǔ)有Portl與終端B的MAC地址MAC2和IP地址IP2的綁定關(guān)系�,而該綁定 關(guān)系由于終端B的損壞已經(jīng)無效,則此時(shí)�����,AN刪除該無效的綁定關(guān)系����,使得能夠建立起終端 A的MAC地址MACl和Portl的綁定關(guān)系,使得終端A能夠正常的通過AN進(jìn)行訪問���。本發(fā)明公開的又一訪問控制方法的流程如圖2所示�����,該過程適用于如開局測(cè)試 時(shí)�����,使用相同的終端在不同端口上測(cè)試DHCP業(yè)務(wù)是否正常的情況����,其具體過程包括步驟S21、接收DHCP報(bào)文���,獲取用戶獲得的IP地址和用戶的MAC地址����;假設(shè)AN在端口 Portl上建立了 MAC地址(MACl)和IP地址(IPl)綁定關(guān)系����。則 AN此時(shí)存儲(chǔ)了 Portl、MACl和IPl的綁定關(guān)系�。步驟S22、判斷獲取的用戶MAC地址是否已經(jīng)被綁定��,如果是已綁定�����,則判斷綁定 端口與接收DHCP報(bào)文的當(dāng)前端口是否不相同���;如果不相同����,則執(zhí)行步驟S23 ;如果AN在當(dāng)前端口 Port2接收到CPE/RG發(fā)起的DHCP協(xié)議�,獲取該CPE/RG的MAC 地址為MACl,在綁定關(guān)系表中查找到該MACl�����,獲得其綁定關(guān)系為MACl���、IPl與portl綁定; 由于端口 Port2與Portl并不相同���,確定綁定端口與接收?qǐng)?bào)文的當(dāng)前端口不相同�����。步驟S23��、判斷該用戶MAC地址對(duì)應(yīng)的綁定關(guān)系是否有效����,若有效,則執(zhí)行步驟 S24�,若無效,則執(zhí)行步驟S25;具體的可以為向綁定端口發(fā)送目標(biāo)IP為用戶獲得的IP的請(qǐng)求報(bào)文���;判斷是否接 收到綁定端口返回的應(yīng)答報(bào)文���,如果接收到返回的應(yīng)答報(bào)文,則確定綁定關(guān)系有效���;如果沒 有接收到返回的應(yīng)答報(bào)文����,則確定綁定關(guān)系無效�����。AN向Portl發(fā)起目標(biāo)IP是IPl的ARP請(qǐng)求報(bào)文���。本實(shí)施例中的請(qǐng)求報(bào)文還可以為鄰居發(fā)現(xiàn)ND報(bào)文�����。如果AN收到portl返回的應(yīng)答報(bào)文���,則確定該端口 portl仍然能正常通信,即確 定MACl、IPl和portl這個(gè)綁定關(guān)系為有效�����。如果AN沒有收到portl返回的應(yīng)答報(bào)文�����,則 確定該端口無法正常通信����,即確定MAC1����、IPl和portl這個(gè)綁定關(guān)系為無效。步驟S24����、確定為MAC地址欺騙,拒絕用戶訪問�;如果綁定關(guān)系有效,說明該CPE/RG仍然進(jìn)行著與端口 Portl的聯(lián)系��,MACl也仍然 與Portl相綁定�����,則證明此時(shí)接收的DHCP為MAC欺騙,阻止其進(jìn)行訪問��,以保證訪問過程的
安全性����。
步驟S25、刪除MAC地址在當(dāng)前對(duì)應(yīng)關(guān)系表中的綁定關(guān)系��,建立MAC地址與當(dāng)前端 口的綁定關(guān)系�����,允許用戶訪問���。如果綁定關(guān)系無效�����,說明該CPE/RG已經(jīng)在Portl掉線����,不管是否已經(jīng)到租期規(guī)定 時(shí)間�,直接刪除舊的綁定關(guān)系即Portl與MAC1、IPl綁定關(guān)系,允許MACl在新的用戶端口 Port2發(fā)起DHCP協(xié)議請(qǐng)求�����,進(jìn)行訪問����,并建立MACl、IPl與Port2的綁定關(guān)系����,保存在對(duì)應(yīng) 關(guān)系表中。本實(shí)施例中并不限定允許用戶訪問的步驟發(fā)生在建立起新的綁定關(guān)系之后����,其同 樣可以在允許用戶訪問的同時(shí)建立該綁定關(guān)系�,或者允許用戶訪問之后建立綁定關(guān)系。本實(shí)施例也并不限定采用向IPl發(fā)送請(qǐng)求報(bào)文的方式來判斷綁定關(guān)系是否有效�����, 其同樣可以采用檢測(cè)物理端口狀態(tài)判斷是否原端口上的CPE/RG已經(jīng)掉線�,即檢查原有的 綁定關(guān)系所在的Port鏈路狀態(tài)是否正常,例如���,是否仍然連接���,如果正常���,則說明有效,如 果不正常���,則說明無效�。還可以采用流量檢測(cè)來判斷CPE/RG是否在線�����,檢測(cè)統(tǒng)計(jì)的報(bào)文數(shù) 量����,如果報(bào)文統(tǒng)計(jì)數(shù)量一直增加,說明用戶在線����,綁定關(guān)系有效,否則����,綁定關(guān)系無效��。本實(shí)施例具體描述了將該方法應(yīng)用于例如開局測(cè)試業(yè)務(wù)時(shí)�����,使用相同的終端在不 同端口上測(cè)試DHCP業(yè)務(wù)的情況���,雖然此時(shí)終端的MAC已經(jīng)在其他端口建立綁定關(guān)系,租期 時(shí)間未到��,該綁定關(guān)系仍然存在����,但是,為了實(shí)現(xiàn)當(dāng)前對(duì)其他端口的測(cè)試��,采用不等待租期 時(shí)間到來����,直接刪除原來綁定關(guān)系的方式�����,從而使其可以實(shí)現(xiàn)利用相同終端測(cè)試不同端口 業(yè)務(wù)情況的目的��,擴(kuò)大了該方法的適用范圍。該方法通過對(duì)綁定關(guān)系的有效性檢測(cè)判定接收的協(xié)議請(qǐng)求是MAC地址欺騙還是 正常的業(yè)務(wù)需要導(dǎo)致的IP和MAC合法地址遷移���,從而既滿足安全特性的需要����,又滿足特殊 場(chǎng)景的需求����,擴(kuò)大了該方法的應(yīng)用范圍,并且由于其只在特定的情況下進(jìn)行綁定關(guān)系的有 效性檢測(cè)��,與現(xiàn)有技術(shù)中為了滿足特殊場(chǎng)景的需求��,采用較短的時(shí)間間隔發(fā)請(qǐng)求報(bào)文進(jìn)行 探測(cè)的方法相比����,減輕了 AN設(shè)備的負(fù)載,占用了較少的網(wǎng)絡(luò)帶寬資源��。本實(shí)施例并不限定圖2所示流程只適用于開局測(cè)試的場(chǎng)景�����,凡是涉及到訪問控制 的情況都是本實(shí)施例方法所適用的范圍��,例如也可以應(yīng)用于固定寬帶接入的寬帶網(wǎng)絡(luò)網(wǎng) 關(guān)控制設(shè)備BNG上,以及WLAN(Wireless Local Area Networks��,無線局域網(wǎng)絡(luò))網(wǎng)絡(luò)的 AP (Wireless Access Point,^A ^ ) >AC(Wireless Access Controller,
入控制器)上���。本發(fā)明公開的又一訪問控制方法的流程如圖3所示�����,該過程適用于更換新的訪問 設(shè)備后���,向綁定關(guān)系數(shù)量達(dá)到最大值的端口發(fā)送請(qǐng)求的情況下,其具體過程為步驟S31�����、接收DHCP����,獲取用戶獲得的IP地址和用戶的MAC地址;假設(shè)AN在端口 Portl上建立了 MAC地址(MACl)和IP地址(IPl)綁定關(guān)系�。則AN 此時(shí)存儲(chǔ)了 Portl�����、MAC1和IPl的綁定關(guān)系。如果CPE/RG設(shè)備故障����,更換了一個(gè)新的CPE/ RG,或者更新了該CPE/RG的MAC地址,例如MAC2��。該CPE/RG使用MAC2發(fā)起DHCP協(xié)議請(qǐng) 求����,其發(fā)起請(qǐng)求的端口并不限定,可以仍為Portl���,也可以為其他的端口����。步驟S32�����、確定MAC地址沒有綁定��,判斷當(dāng)前端口上綁定的MAC地址的數(shù)量是否已 經(jīng)達(dá)到最大值���,若是�,則執(zhí)行步驟S33,若否�����,則執(zhí)行步驟S36 ����;由于AN上存儲(chǔ)有端口、MAC地址和IP地址的對(duì)應(yīng)關(guān)系��,其利用存儲(chǔ)的對(duì)應(yīng)關(guān)系��, 判斷出MAC2并沒有在端口上進(jìn)行綁定�����。但是����,當(dāng)前端口上綁定的MAC地址的數(shù)量也已經(jīng)達(dá)到了最大值,其具體的判別依據(jù)可以為判斷代表該端口設(shè)置規(guī)格的屬性值是否為預(yù)設(shè)值��, 例如��,是否為1。若為1����,則表明規(guī)格已滿���,數(shù)量達(dá)到了最大值�����,若不為1����,則表明規(guī)格未滿�����,仍 可以進(jìn)行與MAC地址的綁定�。步驟S33、判斷該用戶MAC地址對(duì)應(yīng)的綁定關(guān)系是否有效����,若有效,則執(zhí)行步驟 S34�,若無效,則執(zhí)行步驟S35;具體的可以為向與當(dāng)前端口綁定的MAC地址對(duì)應(yīng)的IP地址分別發(fā)送請(qǐng)求報(bào)文。 假設(shè)當(dāng)前端口上綁定的MAC地址為MAC1�、MAC3和MAC4,其對(duì)應(yīng)的IP地址分別為IP1�����、IP3 和IP4�����,則本步驟中�����,向IPU IP3和IP4分別發(fā)送請(qǐng)求報(bào)文��。如果AN收到portl返回的由 IPl返回的應(yīng)答報(bào)文�,即確定MACl、IPl和portl這個(gè)綁定關(guān)系為有效�,如果AN收到IP3返 回的應(yīng)答報(bào)文,則確定MAC3�、IP3和portl這個(gè)綁定關(guān)系為有效,如果AN沒有收到IP4返回 的應(yīng)答報(bào)文�,則可以確定MAC4、IP4和portl這個(gè)綁定關(guān)系為無效���,步驟S34�、確定不存在無效綁定關(guān)系,結(jié)束����;不存在無效的綁定關(guān)系��,則無法建立新的綁定關(guān)系�,則該訪問不能進(jìn)行。步驟S35��、刪除無效的綁定關(guān)系��;將無效的綁定關(guān)系刪除�,此時(shí)確定的無效的綁定關(guān)系可能為一個(gè)也可能為多個(gè)。 使得當(dāng)前端口上可以建立新的綁定關(guān)系�。步驟S36、建立MAC地址與當(dāng)前端口的綁定關(guān)系���,允許用戶訪問����。本實(shí)施例也并不限定采用向IPl發(fā)送請(qǐng)求報(bào)文的方式來判斷綁定關(guān)系是否有效���, 其同樣可以采用檢測(cè)物理端口狀態(tài)判斷是否原端口上的CPE/RG已經(jīng)掉線�,即檢查原有的 綁定關(guān)系所在的Port鏈路狀態(tài)是否正常,例如����,是否仍然連接,如果正常���,則說明有效�����,如 果不正常��,則說明無效����。還可以采用流量檢測(cè)來判斷CPE/RG是否在線����,檢測(cè)統(tǒng)計(jì)的報(bào)文數(shù) 量,如果報(bào)文統(tǒng)計(jì)數(shù)量一直增加����,說明用戶在線�,綁定關(guān)系有效����,否則,綁定關(guān)系無效�����。本實(shí)施例公開的判斷當(dāng)前端口上的綁定的MAC地址的數(shù)量是否已經(jīng)達(dá)到最大值 并且當(dāng)其達(dá)到最大值時(shí)檢測(cè)無效的綁定關(guān)系的過程同樣也可適用于如圖2所示的實(shí)施例 中�,建立MAC地址與當(dāng)前端口的綁定關(guān)系步驟里面�,以保證該步驟能夠?qū)崿F(xiàn),保證訪問的正 常進(jìn)行����。本發(fā)明同時(shí)公開了一種接入設(shè)備,其結(jié)構(gòu)如圖4所示���,包括接收模塊41���、綁定狀態(tài)判斷模塊42、第一端口判斷模塊43����、第一綁定關(guān)系判斷模 塊44�����、第一建立模塊45��、綁定數(shù)量判斷模塊46�、第二綁定關(guān)系判斷模塊47和第二建立模塊 48����,其中接收模塊41用于接收訪問請(qǐng)求,獲取用戶的IP地址和用戶的MAC地址���;綁定狀態(tài) 判斷模塊42����,用于判斷MAC地址是否已經(jīng)綁定�;第一端口判斷模塊43,用于判斷與MAC地址 進(jìn)行綁定的綁定端口與接收協(xié)議請(qǐng)求的當(dāng)前端口是否相同���;第一綁定關(guān)系判斷模塊44��,用 于判斷MAC地址與綁定端口間的綁定關(guān)系是否為無效���;第一建立模塊45���,用于當(dāng)判斷出MAC 地址已經(jīng)綁定、與MAC地址進(jìn)行綁定的綁定端口與接收請(qǐng)求的當(dāng)前端口不相同����、且MAC地址 與綁定端口間的綁定關(guān)系為無效時(shí),刪除MAC地址與綁定端口間的綁定關(guān)系�,建立MAC地址 與當(dāng)前端口的綁定關(guān)系,允許用戶訪問���;綁定數(shù)量判斷模塊46�����,用于當(dāng)判斷出MAC地址沒有 綁定時(shí),判斷當(dāng)前端口上綁定的MAC地址的數(shù)量是否已經(jīng)達(dá)到最大值��;第二綁定關(guān)系判斷 模塊47�,用于當(dāng)判斷出當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值時(shí),判斷當(dāng)前端口與當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中是否包含無效的綁定關(guān)系��;第二建立模塊 48���,用于當(dāng)MAC地址沒有綁定���、當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值�����、且當(dāng)前 端口與當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含無效的綁定關(guān)系時(shí)�,刪除無效的綁 定關(guān)系�,建立MAC地址與當(dāng)前端口的綁定關(guān)系,允許用戶訪問����。進(jìn)一步的,第一綁定關(guān)系判斷模塊44包括第一發(fā)送單元441用于向綁定端口發(fā)送目標(biāo)IP地址為所獲得的用戶IP地址的請(qǐng) 求報(bào)文��;第一判斷單元442用于判斷是否接收到綁定端口返回的應(yīng)答報(bào)文����;第一確定單元 443用于當(dāng)接收到綁定端口返回的應(yīng)答報(bào)文時(shí),確定綁定關(guān)系為有效�����,若否����,則確定綁定關(guān) 系為無效���。第二綁定關(guān)系判斷模塊47包括第二發(fā)送單元471用于向與當(dāng)前端口綁定的MAC地址對(duì)應(yīng)的用戶獲得的IP地址 分別發(fā)送請(qǐng)求報(bào)文;第二判斷單元472用于判斷是否接收到與每一個(gè)IP地址對(duì)應(yīng)的應(yīng)答報(bào) 文��;第二確定單元473用于當(dāng)接收到與每一個(gè)IP地址對(duì)應(yīng)的應(yīng)答報(bào)文時(shí)��,確定不包含無效 綁定關(guān)系�����;若否����,則確定包含無效綁定關(guān)系。其中�,該接入設(shè)備各個(gè)模塊及單元的功能如下所述接收模塊接收訪問請(qǐng)求,獲取用戶的IP地址和用戶的MAC地址���,綁定狀態(tài)判斷模 塊判斷所述MAC地址是否已經(jīng)綁定,第一端口判斷模塊判斷綁定端口與所述接收訪問請(qǐng)求 的當(dāng)前端口是否相同���,第一綁定關(guān)系判斷模塊判斷所述綁定關(guān)系是否為無效�����,當(dāng)所述判斷 出所述MAC地址已經(jīng)綁定�����、綁定端口與所述當(dāng)前端口不相同�����、且所述綁定關(guān)系為無效時(shí)���,第 一建立模塊刪除所述綁定關(guān)系��,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系���,允許用戶 訪問;當(dāng)所述第一端口判斷模塊判斷出所述MAC地址沒有綁定時(shí)��,綁定數(shù)量判斷模塊判斷 所述當(dāng)前端口上綁定的MAC地址的數(shù)量是否已經(jīng)達(dá)到最大值����,當(dāng)判斷出所述當(dāng)前端口上綁 定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值時(shí),第二綁定關(guān)系判斷模塊判斷當(dāng)前端口與當(dāng)前端口 上綁定的MAC地址間的綁定關(guān)系中是否包含無效的綁定關(guān)系�,當(dāng)其中包含無效的綁定關(guān)系 時(shí),第二建立模塊刪除該無效的綁定關(guān)系,建立MAC地址與當(dāng)前端口的綁定關(guān)系��,允許用戶 訪問ο更進(jìn)一步的��,本發(fā)明同時(shí)公開了一種訪問控制系統(tǒng)�,其結(jié)構(gòu)如圖5所示,包括終 端設(shè)備51和接入設(shè)備52�����,其中終端設(shè)備51用于�,向接入設(shè)備52發(fā)送訪問請(qǐng)求;接入設(shè)備52用于接收來自終端 設(shè)備的訪問請(qǐng)求�����,獲取用戶的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介質(zhì)訪問控制MAC地址�,當(dāng)MAC地 址已經(jīng)綁定、與MAC地址進(jìn)行綁定的綁定端口與接收請(qǐng)求的當(dāng)前端口不相同���、且MAC地址與 綁定端口間的綁定關(guān)系為無效時(shí)�,刪除MAC地址與綁定端口間的綁定關(guān)系�����,建立MAC地址 與當(dāng)前端口的綁定關(guān)系����,允許用戶訪問;當(dāng)MAC地址沒有綁定���、當(dāng)前端口上綁定的MAC地址 的數(shù)量已經(jīng)達(dá)到最大值���、且當(dāng)前端口與當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含無 效的綁定關(guān)系時(shí),刪除無效的綁定關(guān)系��,建立MAC地址與當(dāng)前端口的綁定關(guān)系����,允許用戶訪 問。本實(shí)施例中的接入設(shè)備的具體結(jié)構(gòu)可以如圖4所示����。本實(shí)施例公開的訪問控制系統(tǒng),由于接入設(shè)備能夠通過對(duì)綁定關(guān)系的有效性檢測(cè) 判定接收的協(xié)議請(qǐng)求是MAC地址欺騙還是正常的業(yè)務(wù)需要導(dǎo)致的IP和MAC合法地址遷移�����,從而既滿足安全特性的需要���,又滿足特殊場(chǎng)景的需求����,擴(kuò)大了該方法的應(yīng)用范圍,并且由于 其只在特定的情況下進(jìn)行綁定關(guān)系的有效性檢測(cè)��,與現(xiàn)有技術(shù)中為了滿足特殊場(chǎng)景的需 求��,系統(tǒng)采用較短的時(shí)間間隔發(fā)請(qǐng)求報(bào)文進(jìn)行探測(cè)的方法相比���,減輕了 AN設(shè)備的負(fù)載��,占 用了較少的網(wǎng)絡(luò)帶寬資源��。本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述�����,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他 實(shí)施例的不同之處��,各個(gè)實(shí)施例之間相同相似部分互相參見即可�����。對(duì)于實(shí)施例公開的裝置 而言�����,由于其與實(shí)施例公開的方法相對(duì)應(yīng)���,所以描述的比較簡單,相關(guān)之處參見方法部分說 明即可��。專業(yè)人員還可以進(jìn)一步意識(shí)到���,結(jié)合本文中所公開的實(shí)施例描述的各示例的單元 及算法步驟�����,能夠以電子硬件����、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)�����,為了清楚地說明硬件和 軟件的可互換性�,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些 功能究竟以硬件還是軟件方式來執(zhí)行�,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件����。專業(yè) 技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能���,但是這種實(shí)現(xiàn)不應(yīng) 認(rèn)為超出本發(fā)明的范圍���。結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí) 行的軟件模塊�,或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)�、內(nèi)存、只讀存 儲(chǔ)器(ROM)��、電可編程ROM����、電可擦除可編程ROM、寄存器��、硬盤�����、可移動(dòng)磁盤�、CD-ROM��、或技術(shù) 領(lǐng)域內(nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中����。對(duì)所公開的實(shí)施例的上述說明��,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明�。 對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的��,本文中所定義的 一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�����,在其它實(shí)施例中實(shí)現(xiàn)�����。因此��,本發(fā)明 將不會(huì)被限制于本文所示的這些實(shí)施例����,而是要符合與本文所公開的原理和新穎特點(diǎn)相一 致的最寬的范圍。
權(quán)利要求
1.一種訪問控制方法���,其特征在于��,包括接收訪問請(qǐng)求�,獲取用戶的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介質(zhì)訪問控制MAC地址; 當(dāng)所述MAC地址已經(jīng)綁定���、與所述MAC地址進(jìn)行綁定的綁定端口與接收訪問請(qǐng)求的當(dāng) 前端口不相同�����、且所述MAC地址與所述綁定端口間的綁定關(guān)系為無效時(shí)����,刪除所述MAC地址 與所述綁定端口間的綁定關(guān)系��,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系�,允許用戶 訪問;當(dāng)所述MAC地址沒有綁定��、所述當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值���、且 所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含無效的綁定關(guān)系時(shí)��, 刪除所述無效的綁定關(guān)系��,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系���,允許用戶訪問���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,當(dāng)所述MAC地址已經(jīng)綁定且綁定端口與所 述當(dāng)前端口不相同,且所述綁定關(guān)系為有效時(shí)���,確定為MAC地址欺騙,拒絕用戶訪問��。
3.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,按照以下步驟確定所述綁定關(guān)系是否為 無效向所述綁定端口發(fā)送目標(biāo)IP地址為所述獲得的用戶IP地址的請(qǐng)求報(bào)文; 判斷是否接收到所述綁定端口返回的應(yīng)答報(bào)文���,若是�,則確定所述綁定關(guān)系為有效�����,若 否,則確定所述綁定關(guān)系為無效��。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,按照以下步驟確定是否包含無效的綁定 關(guān)系向與所述當(dāng)前端口綁定的MAC地址對(duì)應(yīng)的用戶IP地址分別發(fā)送請(qǐng)求報(bào)文�����; 判斷是否分別接收到與每一個(gè)IP地址對(duì)應(yīng)的應(yīng)答報(bào)文���,若是���,則確定不包含無效綁定 關(guān)系,若否�,則確定包含無效綁定關(guān)系。
5.根據(jù)權(quán)利要求3或4所述的方法,其特征在于���,所述請(qǐng)求報(bào)文包括地址解析協(xié)議報(bào) 文ARP或鄰居發(fā)現(xiàn)ND報(bào)文����。
6.一種接入設(shè)備���,其特征在于�,包括接收模塊���,用于接收協(xié)議請(qǐng)求�����,獲取用戶獲得的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介質(zhì)訪問控 制MAC地址;第一綁定狀態(tài)判斷模塊�,用于判斷所述MAC地址是否已經(jīng)綁定; 第一端口判斷模塊�,用于判斷與所述MAC地址進(jìn)行綁定的綁定端口與所述接收協(xié)議請(qǐng) 求的當(dāng)前端口是否相同;第一綁定關(guān)系判斷模塊�,用于判斷所述MAC地址與所述綁定端口間的綁定關(guān)系是否為 無效;第一建立模塊��,用于當(dāng)判斷出所述MAC地址已經(jīng)綁定、與所述MAC地址進(jìn)行綁定的綁定 端口與接收請(qǐng)求的當(dāng)前端口不相同�����、且所述MAC地址與所述綁定端口間的綁定關(guān)系為無效 時(shí)����,刪除所述MAC地址與所述綁定端口間的綁定關(guān)系,建立所述MAC地址與所述當(dāng)前端口的 綁定關(guān)系���,允許用戶訪問��;綁定數(shù)量判斷模塊��,用于當(dāng)判斷出所述MAC地址沒有綁定時(shí)���,判斷所述當(dāng)前端口上綁 定的MAC地址的數(shù)量是否已經(jīng)達(dá)到最大值;第二綁定關(guān)系判斷模塊���,用于當(dāng)判斷出所述當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá) 到最大值時(shí)�,判斷所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中是否包含無效的綁定關(guān)系����;第二建立模塊����,用于當(dāng)所述MAC地址沒有綁定�、所述當(dāng)前端口上綁定的MAC地址的數(shù)量 已經(jīng)達(dá)到最大值、且所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含 無效的綁定關(guān)系時(shí)�����,刪除所述無效的綁定關(guān)系�,建立所述MAC地址與所述當(dāng)前端口的綁定 關(guān)系,允許用戶訪問����。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于��,所述第一綁定關(guān)系判斷模塊包括第一發(fā)送單元����,用于向所述綁定端口發(fā)送目標(biāo)IP地址為所述獲得的用戶IP地址的請(qǐng) 求報(bào)文;第一判斷單元�,用于判斷是否接收到所述綁定端口返回的應(yīng)答報(bào)文���;第一綁定關(guān)系確定單元���,用于當(dāng)接收到所述綁定端口返回的應(yīng)答報(bào)文時(shí)�,確定所述MAC 地址與所述綁定端口間的綁定關(guān)系為有效��;若否����,則確定所述MAC地址與所述綁定端口間 的綁定關(guān)系為無效。
8.根據(jù)權(quán)利要求6所述的裝置�,其特征在于,所述第二綁定關(guān)系判斷模塊包括第二發(fā)送單元����,用于向與所述當(dāng)前端口綁定的MAC地址對(duì)應(yīng)的用戶的IP地址分別發(fā)送 請(qǐng)求報(bào)文;第二判斷單元���,用于判斷是否接收到與每一個(gè)所述IP地址對(duì)應(yīng)的應(yīng)答報(bào)文���;第二確定單元,用于當(dāng)接收到與每一個(gè)所述IP地址對(duì)應(yīng)的應(yīng)答報(bào)文時(shí)�,確定不包含無 效綁定關(guān)系;若否�,則確定包含無效綁定關(guān)系。
9.一種訪問控制系統(tǒng)��,其特征在于,包括終端設(shè)備和接入設(shè)備����,其中所述終端設(shè)備用于,向接入設(shè)備發(fā)送訪問請(qǐng)求����;所述接入設(shè)備用于,接收所述訪問請(qǐng)求��,獲取用戶的網(wǎng)絡(luò)協(xié)議IP地址和用戶的介質(zhì)訪 問控制MAC地址����,當(dāng)所述MAC地址已經(jīng)綁定、與所述MAC地址進(jìn)行綁定的綁定端口與接收請(qǐng) 求的當(dāng)前端口不相同����、且所述MAC地址與所述綁定端口間的綁定關(guān)系為無效時(shí),刪除所述 MAC地址與所述綁定端口間的綁定關(guān)系��,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系����,允 許用戶訪問;當(dāng)所述MAC地址沒有綁定�,所述當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最 大值、且所述當(dāng)前端口與所述當(dāng)前端口上綁定的MAC地址間的綁定關(guān)系中包含無效的綁定 關(guān)系時(shí)�,刪除所述無效的綁定關(guān)系,建立所述MAC地址與所述當(dāng)前端口的綁定關(guān)系����,允許用 戶訪問。
全文摘要
本發(fā)明公開了訪問控制方法��、接入設(shè)備及系統(tǒng)�����,包括接收訪問請(qǐng)求�,獲取IP地址和MAC地址;當(dāng)MAC地址已經(jīng)綁定��、與MAC地址進(jìn)行綁定的綁定端口與當(dāng)前端口不相同���、MAC地址與綁定端口的綁定關(guān)系為無效時(shí)��,刪除MAC地址與綁定端口的綁定關(guān)系���,建立與當(dāng)前端口的綁定關(guān)系;當(dāng)MAC地址沒有綁定����、當(dāng)前端口上綁定的MAC地址的數(shù)量已經(jīng)達(dá)到最大值���、且當(dāng)前端口上的綁定關(guān)系中包含無效的綁定關(guān)系時(shí),刪除無效的綁定關(guān)系����,建立MAC地址與當(dāng)前端口的綁定關(guān)系。本發(fā)明公開的訪問控制方法�,通過對(duì)綁定關(guān)系有效性的檢測(cè)判定接收的協(xié)議請(qǐng)求是地址欺騙還是正常的業(yè)務(wù)需要導(dǎo)致的合法地址遷移,實(shí)現(xiàn)了即滿足安全特性的需要�����,又滿足特殊場(chǎng)景的需求����。
文檔編號(hào)H04L12/28GK102137109SQ201110065919
公開日2011年7月27日 申請(qǐng)日期2011年3月18日 優(yōu)先權(quán)日2011年3月18日
發(fā)明者尹家生, 楊顯杰 申請(qǐng)人:華為技術(shù)有限公司