本申請涉及通信
技術(shù)領(lǐng)域：
，尤其涉及一種認證方法和裝置。
背景技術(shù)：
：pppoe(point-to-pointprotocoloverethernet，基于以太網(wǎng)的點對點協(xié)議)是對ppp的擴展，通過在以太網(wǎng)上建立pppoe會話，將ppp報文封裝在以太網(wǎng)幀之內(nèi)，從而在以太網(wǎng)上提供點對點的連接，解決了ppp無法應(yīng)用于以太網(wǎng)的問題。此外，接入設(shè)備可以通過pppoe對接入的每臺終端設(shè)備實現(xiàn)控制、認證、計費等功能。而且，由于pppoe可以結(jié)合以太網(wǎng)的經(jīng)濟性、ppp的可擴展性、ppp的管理控制功能等，從而使得pppoe被廣泛應(yīng)用于小區(qū)接入組網(wǎng)等環(huán)境中。技術(shù)實現(xiàn)要素：本申請?zhí)峁┮环N認證方法，應(yīng)用于接入設(shè)備，所述方法包括：接收來自終端設(shè)備的第一報文，所述第一報文是pppoe發(fā)現(xiàn)階段的報文；利用所述第一報文確定所述終端設(shè)備對應(yīng)的用戶接入屬性；查詢用戶關(guān)聯(lián)表中是否存在所述用戶接入屬性；如果否，則忽略所述第一報文，并確定所述終端設(shè)備認證失敗。本申請?zhí)峁┮环N認證裝置，應(yīng)用于接入設(shè)備，所述裝置包括：接收模塊，用于接收來自終端設(shè)備的第一報文，所述第一報文是基于以太網(wǎng)的點對點協(xié)議pppoe發(fā)現(xiàn)階段的報文；確定模塊，用于利用第一報文確定所述終端設(shè)備對應(yīng)的用戶接入屬性；查詢模塊，用于查詢用戶關(guān)聯(lián)表中是否存在所述用戶接入屬性；處理模塊，用于當查詢結(jié)果為所述用戶關(guān)聯(lián)表中不存在所述用戶接入屬性時，則忽略所述第一報文，并確定所述終端設(shè)備認證失敗。基于上述技術(shù)方案，本申請實施例中，可以在接收到pppoe發(fā)現(xiàn)階段的第一報文(如padi報文)時，就利用第一報文確定終端設(shè)備對應(yīng)的用戶接入屬性，并查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性，如果否，則忽略該第一報文，并確定終端設(shè)備認證失敗。這樣可以在pppoe發(fā)現(xiàn)階段對終端設(shè)備進行合法性判斷，在確認終端設(shè)備不合法的情況下，終止與終端設(shè)備的交互，避免接入設(shè)備與終端設(shè)備的頻繁交互、避免接入設(shè)備與認證服務(wù)器的頻繁交互，可以有效防止攻擊，避免對接入設(shè)備和認證服務(wù)器造成負擔、造成不必要的開銷。附圖說明為了更加清楚地說明本申請實施例或者現(xiàn)有技術(shù)中的技術(shù)方案，下面將對本申請實施例或者現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，還可以根據(jù)本申請實施例的這些附圖獲得其他的附圖。圖1是本申請一種實施方式中的應(yīng)用場景示意圖；圖2是本申請一種實施方式中的認證方法的流程圖；圖3是本申請一種實施方式中的接入設(shè)備的硬件結(jié)構(gòu)圖；圖4是本申請一種實施方式中的認證裝置的結(jié)構(gòu)圖。具體實施方式在本申請使用的術(shù)語僅僅是出于描述特定實施例的目的，而非限制本申請。本申請和權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其它含義。還應(yīng)當理解，本文中使用的術(shù)語“和/或”是指包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。應(yīng)當理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，此外，所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應(yīng)于確定”。在一個例子中，在基于pppoe的認證過程中，可以包括發(fā)現(xiàn)(discovery)階段和會話階段，會話階段可以包括lcp(linkcontrolprotocol，鏈路控制協(xié)議)階段、認證階段、ncp(networkcontrolprotocol，網(wǎng)絡(luò)控制協(xié)議)階段等。針對發(fā)現(xiàn)階段，處理流程包括：pppoe客戶端以廣播方式發(fā)送padi(pppoeactivediscoveryinitiation，pppoe主動發(fā)現(xiàn)初始化)報文；pppoe服務(wù)端在接收到padi報文后，向pppoe客戶端返回pado(pppoeactivediscoveryoffer，pppoe主動發(fā)現(xiàn)提供)報文。pppoe客戶端在接收到pado報文后，向pppoe服務(wù)端發(fā)送padr(pppoeactivediscoveryrequest，pppoe主動發(fā)現(xiàn)請求)報文；pppoe服務(wù)端在接收到padr報文后，向pppoe客戶端返回pads(pppoeactivediscoverysession-confirmation，pppoe主動發(fā)現(xiàn)會話配置)報文。針對lcp階段，用于完成mtu(maximumtransmissionunit，最大傳輸單元)協(xié)商、是否進行認證和采用何種認證方式的協(xié)商。lcp階段的處理流程包括：pppoe客戶端向pppoe服務(wù)端發(fā)送config-request(配置請求)報文，pppoe服務(wù)端向pppoe客戶端發(fā)送config-request報文。pppoe服務(wù)端/pppoe客戶端在收到config-request報文后，返回config-ack(配置肯定)報文或config-nak(配置否定)報文。若pppoe服務(wù)端、pppoe客戶端均接收到config-ack報文，則標志lcp鏈路建立成功，可以結(jié)束lcp階段，否則繼續(xù)發(fā)送config-request報文，一直到pppoe服務(wù)端、pppoe客戶端均接收到config-ack報文。針對認證階段，根據(jù)lcp階段協(xié)商的認證方式進行認證，如認證方式為pap(passwordauthenticationprotocol，口令認證協(xié)議)、chap(challengehandshakeauthenticationprotocol，質(zhì)詢握手認證協(xié)議)、802.11認證協(xié)議等，無論哪種認證方式，認證階段的處理流程均可以包括：pppoe客戶端向pppoe服務(wù)端發(fā)送攜帶用戶名和密碼的報文，pppoe服務(wù)端向aaa(authenticationauthorizationaccounting，認證授權(quán)計費)服務(wù)器發(fā)送攜帶用戶名和密碼的認證報文，aaa服務(wù)器利用用戶名和密碼進行認證。若認證成功，aaa服務(wù)器向接入設(shè)備返回認證成功報文，若認證失敗，aaa服務(wù)器向接入設(shè)備返回認證失敗報文。接入設(shè)備收到認證成功報文時，允許pppoe客戶端訪問網(wǎng)絡(luò)，執(zhí)行ncp階段。接入設(shè)備收到認證失敗報文后，拒絕pppoe客戶端訪問網(wǎng)絡(luò)，結(jié)束pppoe認證過程。針對ncp階段，可以用于協(xié)商ppp報文的網(wǎng)絡(luò)層參數(shù)，如pppoe客戶端的ip地址、dns(domainnamesystem，域名系統(tǒng))服務(wù)器的ip地址等，ncp階段的處理流程與lcp階段的處理流程類似，在此不再詳加贅述?；谏鲜霭l(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段，可以完成pppoe的認證過程，pppoe客戶端可以通過pppoe服務(wù)端訪問網(wǎng)絡(luò)。但是，若pppoe客戶端提供的用戶名和/或密碼發(fā)生錯誤，則pppoe認證失敗，pppoe客戶端無法通過pppoe服務(wù)端訪問網(wǎng)絡(luò)。從上述流程可以看出，pppoe客戶端在認證階段才提供用戶名和密碼，也就是，在認證階段才分析出pppoe客戶端是否可以訪問網(wǎng)絡(luò)。若用戶名和/或密碼發(fā)生錯誤(如攻擊者反復(fù)輸入錯誤的用戶名和/或密碼)，則發(fā)現(xiàn)階段的報文、lcp階段的報文、認證階段的報文(pppoe服務(wù)端與pppoe客戶端交互的報文、pppoe服務(wù)端與aaa服務(wù)器交互的報文)，會對pppoe服務(wù)端和aaa服務(wù)器造成負擔、造成不必要的開銷，造成帶寬浪費。針對上述發(fā)現(xiàn)，本申請實施例提出一種認證方法，可以在接收到padi報文時，在pppoe發(fā)現(xiàn)階段對pppoe客戶端進行合法性判斷，在確認pppoe客戶端不合法的情況下，終止與pppoe客戶端的交互，避免pppoe服務(wù)端與pppoe客戶端的頻繁交互、避免pppoe服務(wù)端與aaa服務(wù)器的頻繁交互，可以有效防止攻擊，避免對pppoe服務(wù)端和aaa服務(wù)器造成負擔、造成不必要的開銷。參見圖1所示，為本申請實施例提出的認證方法的應(yīng)用場景示意圖，該認證方法可以應(yīng)用于包括接入設(shè)備、終端設(shè)備、認證服務(wù)器的pppoe系統(tǒng)中。其中，接入設(shè)備可以是配置有pppoe服務(wù)端的設(shè)備，如可以為bras(broadbandremoteaccessserver，寬帶遠程接入服務(wù)器)設(shè)備等。終端設(shè)備可以是配置有pppoe客戶端的設(shè)備，如可以為主機等。認證服務(wù)器可以為aaa服務(wù)器等。在上述應(yīng)用場景下，參見圖2所示，為本申請實施例提出的認證方法的流程圖，該方法可以應(yīng)用于接入設(shè)備，且該方法可以包括以下步驟：步驟201，接收來自終端設(shè)備的第一報文，該第一報文可以是pppoe發(fā)現(xiàn)階段的報文。例如，該第一報文可以是pppoe發(fā)現(xiàn)階段的padi報文。在一個例子中，支持pppoe的終端設(shè)備可以通過廣播方式發(fā)送padi報文，從而在局域網(wǎng)內(nèi)尋找可用的接入設(shè)備，以通過接入設(shè)備接入網(wǎng)絡(luò)?；诖耍c終端設(shè)備在同一局域網(wǎng)內(nèi)的接入設(shè)備會接收到該終端設(shè)備發(fā)送的padi報文。步驟202，利用該第一報文確定終端設(shè)備對應(yīng)的用戶接入屬性。在一個例子中，該用戶接入屬性可以包括但不限于：用戶屬性和接入屬性，且該第一報文可以攜帶終端設(shè)備對應(yīng)的用戶屬性?；诖耍槍Α袄迷摰谝粓笪拇_定終端設(shè)備對應(yīng)的用戶接入屬性”的過程，可以包括但不限于如下方式：從該第一報文中解析出該終端設(shè)備對應(yīng)的用戶屬性，并根據(jù)該第一報文的接收接口(即接收到第一報文的接口)確定該終端設(shè)備對應(yīng)的接入屬性。在一個例子中，該用戶屬性是指第一報文攜帶的屬性，而該接入屬性是指未攜帶在第一報文的屬性。其中，該用戶屬性可以包括但不限于以下信息之一或者任意組合：用戶名、mac(mediaaccesscontrol，介質(zhì)訪問控制)地址、vlan(virtuallocalareanetwork，虛擬局域網(wǎng))信息等。該接入屬性可以包括但不限于：第一報文的接收接口。當然，上述用戶屬性和接入屬性只是本申請的一個示例，在實際應(yīng)用中并不局限于上述內(nèi)容，例如，該用戶屬性還可以包括密碼，該接入屬性還可以包括用戶組信息以及其它特殊授權(quán)屬性。本申請實施例對此用戶屬性的內(nèi)容、接入屬性的內(nèi)容不做限制，以上述為例進行說明。步驟203，查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性。如果否，則執(zhí)行步驟204。其中，該用戶關(guān)聯(lián)表用于記錄能夠通過認證的用戶接入屬性。在一個例子中，針對用戶關(guān)聯(lián)表的維護過程，可以包括但不限于如下方式：接入設(shè)備接收來自認證服務(wù)器的第二報文，該第二報文可以攜帶能夠通過認證的用戶接入屬性，且該第二報文是認證服務(wù)器確定該接入設(shè)備合法時向接入設(shè)備發(fā)送的。之后，接入設(shè)備可以從該第二報文中解析出能夠通過認證的用戶接入屬性，并在所述用戶關(guān)聯(lián)表中記錄所述能夠通過認證的用戶接入屬性。其中，能夠通過認證的用戶接入屬性可以包括但不限于以下信息之一或者任意組合：用戶名、mac地址、vlan信息、接收接口等。當然，上述用戶接入屬性只是本申請一個示例，實際應(yīng)用并不局限于上述內(nèi)容，例如，用戶接入屬性還可以包括密碼、用戶組信息，本申請實施例對此用戶接入屬性不做限制。其中，認證服務(wù)器可以主動判斷接入設(shè)備是否合法，并在接入設(shè)備合法時，向接入設(shè)備發(fā)送攜帶用戶接入屬性的第二報文?；蛘?，認證服務(wù)器還可以在接收到來自接入設(shè)備的請求消息(用于請求用戶接入屬性)時，判斷接入設(shè)備是否合法，并在接入設(shè)備合法時，向接入設(shè)備發(fā)送攜帶用戶接入屬性的第二報文。步驟204，忽略該第一報文，并確定該終端設(shè)備認證失敗。在一個例子中，在查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性之后，如果存在該用戶接入屬性，則處理第一報文，即處理padi報文，向終端設(shè)備返回pado報文。之后，執(zhí)行上述發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，對此發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段的處理不再重復(fù)贅述。由于用戶關(guān)聯(lián)表中存在該用戶接入屬性，因此在認證階段中，終端設(shè)備提供的用戶名和密碼等信息可以通過認證，從而允許終端設(shè)備通過接入設(shè)備訪問網(wǎng)絡(luò)。在另一個例子中，在查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性之后，如果存在該用戶接入屬性，還可以獲取認證服務(wù)器的可達狀態(tài)；若可達狀態(tài)為不可達，則可以忽略第一報文，并確定該終端設(shè)備認證失?。蝗艨蛇_狀態(tài)為可達，則可以處理第一報文，即可以處理padi報文，向終端設(shè)備返回pado報文。之后，執(zhí)行上述發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，對此發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段的處理不再重復(fù)贅述。其中，認證服務(wù)器的可達狀態(tài)是指接入設(shè)備與認證服務(wù)器的可達狀態(tài)。當可達狀態(tài)為不可達時，表示接入設(shè)備與認證服務(wù)器之間不可達，即接入設(shè)備向認證服務(wù)器發(fā)送的報文無法發(fā)送給認證服務(wù)器?；诖?，接入設(shè)備無法將認證階段的認證報文發(fā)送至認證服務(wù)器，從而導(dǎo)致認證失敗。本申請實施例中，當可達狀態(tài)為不可達時，在接收到padi報文后，就忽略該padi報文，并確定終端設(shè)備認證失敗，從而不再執(zhí)行發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，因此可以減少報文交互數(shù)量，避免執(zhí)行到認證階段才發(fā)現(xiàn)認證失敗。當可達狀態(tài)為可達時，表示接入設(shè)備與認證服務(wù)器之間可達，即接入設(shè)備向認證服務(wù)器發(fā)送的報文可以發(fā)送給認證服務(wù)器?；诖?，接入設(shè)備可以將認證階段的認證報文發(fā)送至認證服務(wù)器，因此，當可達狀態(tài)為可達時，在接收到padi報文后，可以執(zhí)行上述發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，對此發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段的處理不再重復(fù)贅述。在一個例子中，針對“獲取認證服務(wù)器的可達狀態(tài)”的過程，接入設(shè)備可以獲取公網(wǎng)側(cè)出口鏈路狀態(tài)、接入設(shè)備與認證服務(wù)器的互通狀態(tài)。若公網(wǎng)側(cè)出口鏈路狀態(tài)為down、或者接入設(shè)備與認證服務(wù)器的互通狀態(tài)為無法互通，則認證服務(wù)器的可達狀態(tài)為不可達；若公網(wǎng)側(cè)出口鏈路狀態(tài)為up、且接入設(shè)備與認證服務(wù)器的互通狀態(tài)為互通，則認證服務(wù)器的可達狀態(tài)為可達。當然，上述方式只是獲取認證服務(wù)器的可達狀態(tài)的一個示例，對此獲取過程不做限制?；谏鲜黾夹g(shù)方案，本申請實施例中，可以在接收到pppoe發(fā)現(xiàn)階段的第一報文(如padi報文)時，就利用第一報文確定終端設(shè)備對應(yīng)的用戶接入屬性，并查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性，如果否，則忽略該第一報文，并確定終端設(shè)備認證失敗。這樣，可以在pppoe發(fā)現(xiàn)階段對終端設(shè)備進行合法性判斷，在確認終端設(shè)備不合法的情況下，終止與終端設(shè)備的交互，避免接入設(shè)備與終端設(shè)備的頻繁交互、避免接入設(shè)備與認證服務(wù)器的頻繁交互，可以有效防止攻擊，避免對接入設(shè)備和認證服務(wù)器造成負擔、造成不必要的開銷。以下結(jié)合具體的應(yīng)用場景，對本申請實施例的上述技術(shù)方案進行詳細說明。本應(yīng)用場景的組網(wǎng)圖可以參見圖1所示，其中，接入設(shè)備可以是配置有pppoe服務(wù)端的設(shè)備，終端設(shè)備可以是配置有pppoe客戶端的設(shè)備，認證服務(wù)器可以為aaa服務(wù)器等。本申請實施例提出的認證方法可以包括以下步驟：步驟1、接入設(shè)備向認證服務(wù)器發(fā)送用于請求用戶接入屬性的請求消息。步驟2、認證服務(wù)器判斷接入設(shè)備是否合法。如果是，執(zhí)行步驟3；如果否，拒絕向接入設(shè)備發(fā)送用戶接入屬性，采用傳統(tǒng)流程進行處理，對此不再贅述。其中，在上述請求消息可以攜帶接入設(shè)備的鑒權(quán)標識，認證服務(wù)器可以通過該鑒權(quán)標識判斷接入設(shè)備是否合法，如認證服務(wù)器可以維護所有合法的鑒權(quán)標識，并基于本地維護的鑒權(quán)標識判斷接入設(shè)備是否合法，對此過程不做限制。步驟3、認證服務(wù)器從本地查詢到能夠通過認證的用戶接入屬性。步驟4、認證服務(wù)器將攜帶該用戶接入屬性的第二報文發(fā)送給接入設(shè)備。步驟5、接入設(shè)備接收來自認證服務(wù)器的第二報文，并從該第二報文中解析出用戶接入屬性，并在預(yù)先配置的用戶關(guān)聯(lián)表中記錄該用戶接入屬性。在一個例子中，該用戶接入屬性可以包括但不限于以下信息之一或者任意組合：用戶名、mac地址、vlan信息、接收接口等。當然，上述用戶接入屬性只是本申請一個示例，實際應(yīng)用中并不局限于上述內(nèi)容，例如，用戶接入屬性還可以包括密碼、用戶組信息，本申請實施例對此用戶接入屬性不做限制。在一個例子中，可以在接入設(shè)備上配置提前認證功能，基于此提前認證功能，接入設(shè)備可以維護用戶關(guān)聯(lián)表，并與認證服務(wù)器建立連接關(guān)系，并向認證服務(wù)器發(fā)送用于請求用戶接入屬性的請求消息。而且，認證服務(wù)器可以將本地維護的用戶接入屬性同步到接入設(shè)備，而接入設(shè)備可以在預(yù)先配置的用戶關(guān)聯(lián)表中記錄該用戶接入屬性。如表1所示，為該用戶關(guān)聯(lián)表的一個示例。表1用戶名mac地址接收接口vlan信息user10010-9405-5f12ge1/3/2.1100user20010-9405-5f33ge1/3/3.2200在一個例子中，當認證服務(wù)器本地的用戶接入屬性發(fā)生變化(如增加新的用戶接入屬性或者已有的用戶接入屬性發(fā)生變化)時，認證服務(wù)器還可以將變化后的用戶接入屬性發(fā)送給接入設(shè)備，接入設(shè)備更新用戶關(guān)聯(lián)表中記錄的用戶接入屬性，如增加新的用戶接入設(shè)備或者修改已有的用戶接入屬性。步驟6、接入設(shè)備接收來自終端設(shè)備的padi報文(即上述第一報文)。在一個例子中，支持pppoe的終端設(shè)備可以通過廣播方式發(fā)送padi報文，在局域網(wǎng)內(nèi)尋找可用的接入設(shè)備，以通過接入設(shè)備接入網(wǎng)絡(luò)?；诖耍c終端設(shè)備在同一局域網(wǎng)內(nèi)的接入設(shè)備會接收到該終端設(shè)備發(fā)送的padi報文。在一個例子中，終端設(shè)備在發(fā)送padi報文時，會對padi報文進行擴展，即在padi報文的tag(標簽)字段攜帶用戶名，該tag字段為padi報文中有效載荷的標簽字段。此外，終端設(shè)備還可以將本終端設(shè)備的mac地址等內(nèi)容添加到padi報文，對此過程不再限制。而且，終端設(shè)備與接入設(shè)備之間的網(wǎng)絡(luò)設(shè)備(如二層交換機等)在接收到padi報文后，還可以將終端設(shè)備對應(yīng)的vlan信息添加到padi報文，對此過程不再限制。綜上，接入設(shè)備收到的padi報文包括用戶名(如user1)、mac地址(如0010-9405-5f12)、vlan信息(如100)等。步驟7、接入設(shè)備從padi報文中解析出終端設(shè)備對應(yīng)的用戶屬性，該用戶屬性包括但不限于以下信息之一或者任意組合：用戶名、mac地址、vlan信息等，如user1、0010-9405-5f12、vlan100等。步驟8、接入設(shè)備根據(jù)padi報文的接收接口確定終端設(shè)備對應(yīng)的接入屬性，該接入屬性可以包括但不限于：padi報文的接收接口。例如，當接入設(shè)備通過接口ge1/3/2.1接收到padi報文后，則接入屬性包括接口ge1/3/2.1。步驟9、接入設(shè)備將用戶屬性和接入屬性組成用戶接入屬性，該用戶接入屬性可以包括user1、0010-9405-5f12、vlan100、接口ge1/3/2.1。步驟10、接入設(shè)備查詢表1所示的用戶關(guān)聯(lián)表中是否存在該用戶接入屬性。如果否，則執(zhí)行步驟11，如果是，則執(zhí)行步驟12。如表1所示，該用戶關(guān)聯(lián)表中存在user1、0010-9405-5f12、vlan100、接口ge1/3/2.1。步驟11、接入設(shè)備忽略padi報文，并確定終端設(shè)備認證失敗，結(jié)束流程。步驟12、接入設(shè)備獲取認證服務(wù)器的可達狀態(tài)。若該可達狀態(tài)為不可達，則可以執(zhí)行步驟13；若該可達狀態(tài)為可達，則可以執(zhí)行步驟14。步驟13、接入設(shè)備忽略padi報文，并確定終端設(shè)備認證失敗，結(jié)束流程。步驟14、接入設(shè)備處理該padi報文，向終端設(shè)備返回pado報文。之后，執(zhí)行上述發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，對此發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段的處理不再重復(fù)贅述。其中，認證服務(wù)器的可達狀態(tài)是指接入設(shè)備與認證服務(wù)器的可達狀態(tài)。當可達狀態(tài)為不可達時，表示接入設(shè)備與認證服務(wù)器之間不可達，即接入設(shè)備向認證服務(wù)器發(fā)送的報文無法發(fā)送給認證服務(wù)器。基于此，接入設(shè)備無法將認證階段的認證報文發(fā)送至認證服務(wù)器，從而導(dǎo)致認證失敗。本申請實施例中，當可達狀態(tài)為不可達時，在接收到padi報文后，就忽略該padi報文，并確定終端設(shè)備認證失敗，從而不再執(zhí)行發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，因此可以減少報文交互數(shù)量，避免執(zhí)行到認證階段才發(fā)現(xiàn)認證失敗。當可達狀態(tài)為可達時，表示接入設(shè)備與認證服務(wù)器之間可達，即接入設(shè)備向認證服務(wù)器發(fā)送的報文可以發(fā)送給認證服務(wù)器?；诖耍尤朐O(shè)備可以將認證階段的認證報文發(fā)送至認證服務(wù)器，因此，當可達狀態(tài)為可達時，在接收到padi報文后，可以執(zhí)行上述發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段等其它流程，對此發(fā)現(xiàn)階段、lcp階段、認證階段、ncp階段的處理不再贅述?；谏鲜黾夹g(shù)方案，本申請實施例中，可以在接收到pppoe發(fā)現(xiàn)階段的padi報文時，就利用該padi報文確定終端設(shè)備對應(yīng)的用戶接入屬性，并查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性，如果否，則忽略該padi報文，并確定終端設(shè)備認證失敗。這樣，可以在pppoe發(fā)現(xiàn)階段對終端設(shè)備進行合法性判斷，在確認終端設(shè)備不合法的情況下，終止與終端設(shè)備的交互，避免接入設(shè)備與終端設(shè)備的頻繁交互、避免接入設(shè)備與認證服務(wù)器的頻繁交互，可以有效防止攻擊，避免對接入設(shè)備和認證服務(wù)器造成負擔、造成不必要的開銷?；谂c上述方法同樣的申請構(gòu)思，本申請實施例中還提供了一種認證裝置，該認證裝置可以應(yīng)用在接入設(shè)備上。其中，該認證裝置可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過該認證裝置所在的接入設(shè)備的處理器，讀取非易失性存儲器中對應(yīng)的計算機程序指令形成的。從硬件層面而言，如圖3所示，為本申請?zhí)岢龅恼J證裝置所在的接入設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、非易失性存儲器外，接入設(shè)備還可以包括其他硬件，如負責處理報文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等；從硬件結(jié)構(gòu)上來講，該接入設(shè)備還可能是分布式設(shè)備，可能包括多個接口卡，以便在硬件層面進行報文處理的擴展。如圖4所示，為本申請?zhí)岢龅恼J證裝置的結(jié)構(gòu)圖，所述裝置包括：接收模塊11，用于接收來自終端設(shè)備的第一報文，所述第一報文是基于以太網(wǎng)的點對點協(xié)議pppoe發(fā)現(xiàn)階段的報文；確定模塊12，用于利用所述第一報文確定終端設(shè)備對應(yīng)的用戶接入屬性；查詢模塊13，用于查詢用戶關(guān)聯(lián)表中是否存在所述用戶接入屬性；處理模塊14，用于當查詢結(jié)果為所述用戶關(guān)聯(lián)表中不存在所述用戶接入屬性時，則忽略所述第一報文，并確定所述終端設(shè)備認證失敗。在一個例子中，所述接收模塊11，還用于接收來自認證服務(wù)器的第二報文，所述第二報文攜帶能夠通過認證的用戶接入屬性，而且，所述第二報文是所述認證服務(wù)器確定所述接入設(shè)備合法時發(fā)送的；所述處理模塊12，還用于從所述第二報文中解析出所述能夠通過認證的用戶接入屬性，并在用戶關(guān)聯(lián)表中記錄所述能夠通過認證的用戶接入屬性。在一個例子中，所述確定模塊12確定的所述用戶接入屬性包括用戶屬性和接入屬性，所述接收模塊11接收的所述第一報文攜帶所述終端設(shè)備對應(yīng)的用戶屬性；所述確定模塊12，具體用于在利用所述第一報文確定所述終端設(shè)備對應(yīng)的用戶接入屬性的過程中，從所述第一報文中解析出所述終端設(shè)備對應(yīng)的用戶屬性，并根據(jù)所述第一報文的接收接口確定所述終端設(shè)備對應(yīng)的接入屬性。在一個例子中，所述接收模塊11接收的所述第一報文為padi報文；所述確定模塊12解析出的所述用戶屬性具體包括以下信息之一或者任意組合：用戶名、介質(zhì)訪問控制mac地址、虛擬局域網(wǎng)vlan信息；所述確定模塊12確定的所述接入屬性具體包括：所述第一報文的接收接口。在一個例子中，所述處理模塊14，還用于當查詢結(jié)果為所述用戶關(guān)聯(lián)表中存在所述用戶接入屬性時，則獲取認證服務(wù)器的可達狀態(tài)；若所述可達狀態(tài)為不可達，則忽略所述第一報文，并確定所述終端設(shè)備認證失敗；若所述可達狀態(tài)為可達，則處理所述第一報文?；谏鲜黾夹g(shù)方案，本申請實施例中，可以在接收到pppoe發(fā)現(xiàn)階段的第一報文(如padi報文)時，就利用第一報文確定終端設(shè)備對應(yīng)的用戶接入屬性，并查詢用戶關(guān)聯(lián)表中是否存在該用戶接入屬性，如果否，則忽略該第一報文，并確定終端設(shè)備認證失敗。這樣，可以在pppoe發(fā)現(xiàn)階段對終端設(shè)備進行合法性判斷，在確認終端設(shè)備不合法的情況下，終止與終端設(shè)備的交互，避免接入設(shè)備與終端設(shè)備的頻繁交互、避免接入設(shè)備與認證服務(wù)器的頻繁交互，可以有效防止攻擊，避免對接入設(shè)備和認證服務(wù)器造成負擔、造成不必要的開銷。上述實施例闡明的系統(tǒng)、裝置、模塊或單元，具體可以由計算機芯片或?qū)嶓w實現(xiàn)，或者由具有某種功能的產(chǎn)品來實現(xiàn)。一種典型的實現(xiàn)設(shè)備為計算機，計算機的具體形式可以是個人計算機、膝上型計算機、蜂窩電話、相機電話、智能電話、個人數(shù)字助理、媒體播放器、導(dǎo)航設(shè)備、電子郵件收發(fā)設(shè)備、游戲控制臺、平板計算機、可穿戴設(shè)備或者這些設(shè)備中的任意幾種設(shè)備的組合。為了描述的方便，描述以上裝置時以功能分為各種單元分別描述。當然，在實施本申請時可以把各單元的功能在同一個或多個軟件和/或硬件中實現(xiàn)。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。本申請是參照根據(jù)本申請實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可以由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其它可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。而且，這些計算機程序指令也可以存儲在能引導(dǎo)計算機或其它可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或者多個流程和/或方框圖一個方框或者多個方框中指定的功能。這些計算機程序指令也可裝載到計算機或其它可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或者其它可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其它可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。本領(lǐng)域技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可以采用完全硬件實施例、完全軟件實施例、或者結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可以采用在一個或者多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(可以包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。以上所述僅為本申請的實施例而已，并不用于限制本申請。對于本領(lǐng)域技術(shù)人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內(nèi)所作的任何修改、等同替換、改進等，均應(yīng)包含在本申請的權(quán)利要求范圍之內(nèi)。當前第1頁12