终端身份认证实现方法、系统和控制器技术方案

本公开公开了一种终端身份认证实现方法、系统和控制器，涉及网络安全技术领域。该方法包括：接收终端在接入业务系统前发送的无状态的认证消息；提取认证消息中的终端的身份认证信息；对终端的身份认证信息进行认证；以及根据认证结果控制接入网关进行相应业务端口的开关。本公开终端在接入业务系统前，必须先向控制器发送认证消息，仅身份认证通过的终端，才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。资源的问题。资源的问题。

【技术实现步骤摘要】
终端身份认证实现方法、系统和控制器


[0001]本公开涉及网络安全
，尤其涉及一种终端身份认证实现方法、系统和控制器。

技术介绍

[0002]目前，服务端系统普遍采用的端口开放模式，合法设备和非法设备等任意设备都可以向服务端发起TCP(Transmission Control Protocol，传输控制协议)连接请求。只有在终端和服务端建立连接后，服务端才能对终端设备的身份合法性进行鉴别，这就导致服务器需要维护大量的会话，并且也给非法终端分配了访问资源。

技术实现思路

[0003]本公开要解决的一个技术问题是，提供一种终端身份认证实现方法、系统和控制器，能够解决非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
[0004]根据本公开一方面，提出一种终端身份认证实现方法，包括：接收终端在接入业务系统前发送的无状态的认证消息；提取认证消息中的终端的身份认证信息；对终端的身份认证信息进行认证；以及根据认证结果控制接入网关进行相应业务端口的开关。
[0005]在一些实施例中，认证消息为用户数据报协议UDP认证消息。
[0006]在一些实施例中，开放UDP端口，以便通过UDP端口接收终端发送的UDP认证消息。
[0007]在一些实施例中，根据认证结果控制接入网关进行相应业务端口的开关包括：若终端通过身份认证，则向接入网关发送端口开放控制策略，以指示接入网关开放终端与接入网关建立连接的端口。
[0008]根据本公开的另一方面，还提出一种控制器，包括：认证接收模块，被配置为接收终端在接入业务系统前发送的无状态的认证消息；认证解析模块，被配置为提取认证消息中的终端的身份认证信息；身份认证模块，被配置为对终端的身份认证信息进行认证；以及业务端口控制模块，被配置为根据认证结果控制接入网关进行相应业务端口的开关。
[0009]在一些实施例中，认证消息为用户数据报协议UDP认证消息。
[0010]在一些实施例中，控制器开放UDP端口，以便认证接收模块通过UDP端口接收终端发送的UDP认证消息。
[0011]根据本公开的另一方面，还提出一种控制器，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行如上述的终端身份认证实现方法。
[0012]根据本公开的另一方面，还提出一种终端身份认证实现系统，包括：上述的控制器；终端，被配置为在接入业务系统前向控制器发送认证消息；接入网关，被配置为根据控制器发送的端口开放控制策略开放端口；以及业务系统，被配置为通过接入网关开放的端口与终端建立连接。
[0013]根据本公开的另一方面，还提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上述的终端身份认证实现方法。
[0014]本公开实施例中，终端在接入业务系统前，必须先向控制器发送认证消息，仅身份认证通过的终端，才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
[0015]通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。
附图说明
[0016]构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
[0017]参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：
[0018]图1为本公开终端身份认证实现方法的一些实施例的流程示意图。
[0019]图2为本公开终端身份认证实现方法的另一些实施例的流程示意图。
[0020]图3为本公开控制器的一些实施例的结构示意图。
[0021]图4为本公开控制器的另一些实施例的结构示意图。
[0022]图5为本公开终端身份认证实现系统的一些实施例的结构示意图。
具体实施方式
[0023]现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
[0024]同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0025]以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。
[0026]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
[0027]在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
[0028]应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0029]为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
[0030]图1为本公开终端身份认证实现方法的一些实施例的流程示意图。该实施例由服务端接入网元侧新增的控制器执行。
[0031]在步骤110，接收终端在接入业务系统前发送的无状态的认证消息。无状态的认证消息是指控制器不与终端建立连接，即控制器接收认证消息后，不向终端反馈任何信息。
[0032]在一些实施例中，该认证消息为UDP(User Datagram Protocol，用户数据报协议)认证消息。
[0033]在一些实施例中，终端在接入业务系统前，需先发送无状态的UDP认证包，该认证
包中携带终端身份认证信息。
[0034]在一些实施例中，控制器开放UDP端口，使得终端能够通过该UDP端口发送UDP认证消息。
[0035]在步骤120，提取认证消息中的终端的身份认证信息。
[0036]在一些实施例中，对接收到的UDP认证包进行解析，提取相应的身份认证信息。
[0037]在步骤130，对终端的身份认证信息进行认证。
[0038]例如，通过认证中心完成对终端的身份认证。
[0039]在步骤140，根据认证结果控制接入网关进行相应业务端口的开关。
[0040]在一些实施例中，若终端通过身份认证，则控制器向接入网关发送端口开放控制策略，以指示接入网关开放终端与接入网关建立连接的端口。即接入网关针对该终端定向打开所需接口。
[0041]在上述实施例中，终端在接入业务系统前，必须先向控制器发送认证消息，仅身份认证通过的终端，才被允许接入业务系统，解决了非法终端在身份认证前已经与服务端建立连接导致占用服务端资源的问题。
[0042]图2为本公开终端身份认证实现方法的另一些实施例的流程示意图。
[0043]在步骤210，终端向控制器的认证接收模块发送包含身份认证信息的UDP包。
[0044]该认证接收模块只负责接本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种终端身份认证实现方法，包括：接收终端在接入业务系统前发送的无状态的认证消息；提取所述认证消息中的所述终端的身份认证信息；对所述终端的身份认证信息进行认证；以及根据认证结果控制接入网关进行相应业务端口的开关。2.根据权利要求1所述的终端身份认证实现方法，其中，所述认证消息为用户数据报协议UDP认证消息。3.根据权利要求2所述的终端身份认证实现方法，其中，开放UDP端口，以便通过所述UDP端口接收所述终端发送的UDP认证消息。4.根据权利要求1至3任一所述的终端身份认证实现方法，其中，根据认证结果控制接入网关进行相应业务端口的开关包括：若所述终端通过身份认证，则向所述接入网关发送端口开放控制策略，以指示所述接入网关开放所述终端与所述接入网关建立连接的端口。5.一种控制器，包括：认证接收模块，被配置为接收终端在接入业务系统前发送的无状态的认证消息；认证解析模块，被配置为提取所述认证消息中的所述终端的身份认证信息；身份认证模块，被配置为对所述终端的身份认证信息...

【专利技术属性】
技术研发人员：黄铖斌，方燕萍，王锦华，张欣，李国平，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：