專利名稱:安全驗證通告協(xié)議的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種通過在網(wǎng)絡(luò)節(jié)點之間安全地共享驗證信息來簡化用戶接入的技術(shù)。特別地,本發(fā)明涉及一種通過在交換設(shè)備與接入點之間自動共享客戶驗證信息而使客戶機(jī)能在網(wǎng)絡(luò)中漫游,但卻不用在每一個網(wǎng)絡(luò)節(jié)點重新進(jìn)行驗證的系統(tǒng)和方法。
背景技術(shù):
具有多個邊緣設(shè)備或接入點的網(wǎng)絡(luò)通常需要使用中心驗證服務(wù)器來驗證所有客戶。因此,驗證服務(wù)器成為網(wǎng)絡(luò)瓶頸,所有已驗證業(yè)務(wù)必須經(jīng)由該服務(wù)器。此外,當(dāng)客戶機(jī)從一個接入點或邊緣設(shè)備移動到另一個時,驗證服務(wù)器必須重新驗證該客戶機(jī),以便再次建立涉及核心網(wǎng)絡(luò)的連通性。這種重新驗證處理非常耗時、并且破壞了客戶連通性,此外還有可能導(dǎo)致數(shù)據(jù)丟失,而當(dāng)客戶機(jī)只在私有網(wǎng)絡(luò)中的安全節(jié)點之間移動時,這種處理是沒有必要的。
因此,目前需要一種用于在參與的邊緣節(jié)點或接入點之間安全分發(fā)客戶機(jī)驗證信息的系統(tǒng)和方法,由此減少對于接入驗證服務(wù)器的需求,并且減小反復(fù)重新驗證客戶機(jī)的時間和工作,其中客戶機(jī)是在不同邊緣節(jié)點和/或接入點之間的網(wǎng)絡(luò)內(nèi)部移動的。
發(fā)明內(nèi)容
本發(fā)明的特征為是一種為了在例如遍布于局域網(wǎng)(LAN)或其它網(wǎng)域的多個點上同時“預(yù)驗證”移動用戶的目的用于在授權(quán)節(jié)點之間分發(fā)驗證信息的網(wǎng)絡(luò)設(shè)備。優(yōu)選實施例則是一種用于在包含了關(guān)聯(lián)于驗證群組的一個或多個網(wǎng)絡(luò)節(jié)點、驗證服務(wù)器以及具有相關(guān)客戶機(jī)標(biāo)識符和證書的客戶機(jī)的網(wǎng)絡(luò)中通告安全驗證的網(wǎng)絡(luò)設(shè)備。該網(wǎng)絡(luò)設(shè)備優(yōu)選包含了至少一個適于從客戶機(jī)接收分組和證書的端口;用于保持一個或多個已驗證客戶機(jī)的客戶機(jī)標(biāo)識符的表;以及驗證管理器。驗證管理器則適于通過使用源MAC地址之類的來自分組的信息來確定是否預(yù)先驗證了客戶機(jī);如果沒有執(zhí)行預(yù)驗證,則根據(jù)客戶機(jī)證書來確定是否從驗證服務(wù)器驗證客戶機(jī);如果驗證服務(wù)器驗證了該客戶機(jī),則將客戶機(jī)標(biāo)識符傳送到一個或多個網(wǎng)絡(luò)節(jié)點。一旦接收到客戶機(jī)標(biāo)識符,則授權(quán)所述一個或多個網(wǎng)絡(luò)節(jié)點允許客戶機(jī)接入這些節(jié)點上的網(wǎng)絡(luò),由此在網(wǎng)絡(luò)中的多個點上同時預(yù)驗證該客戶機(jī)??蛻魴C(jī)傳送的原始分組中存在的客戶機(jī)證書通常包含了客戶機(jī)的用戶標(biāo)識符和口令。該網(wǎng)絡(luò)設(shè)備可以是從包括以下設(shè)備的群組中選出的設(shè)備,其中該群組包括路由器、網(wǎng)橋、多層交換機(jī)、網(wǎng)絡(luò)接入點、無線網(wǎng)絡(luò)接入點以及這些設(shè)備的組合。
本發(fā)明是以示例而非僅限于附圖中的特征的方式被描述的,其中圖1是依照本發(fā)明優(yōu)選實施例包含了多個適于交換預(yù)驗證信息的網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)通信網(wǎng)絡(luò);圖2是依照本發(fā)明優(yōu)選實施例執(zhí)行安全驗證通告的多層交換設(shè)備的功能框圖;圖3是依照本發(fā)明優(yōu)選實施例執(zhí)行安全驗證通告的交換模塊的功能框圖;圖4是依照本發(fā)明優(yōu)選實施例用于預(yù)驗證網(wǎng)絡(luò)內(nèi)的客戶機(jī)的共享許可表的示意圖;圖5是依照本發(fā)明優(yōu)選實施例預(yù)驗證網(wǎng)絡(luò)內(nèi)的客戶機(jī)的驗證管理器的功能框圖;以及圖6是依照本發(fā)明優(yōu)選實施例在初始驗證客戶機(jī)以及隨后在網(wǎng)絡(luò)內(nèi)預(yù)先驗證該客戶機(jī)時在網(wǎng)絡(luò)內(nèi)產(chǎn)生的消息圖示。
具體實施例方式
圖1中描述的是一個數(shù)據(jù)通信網(wǎng)絡(luò),該網(wǎng)絡(luò)包括多個適于交換預(yù)驗證信息的網(wǎng)絡(luò)設(shè)備。例如,在優(yōu)選實施例中,網(wǎng)絡(luò)100可以包括或以可操作的方式連接到局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、城域網(wǎng)(MAN)、網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)、因特網(wǎng)或是這些網(wǎng)絡(luò)的組合。網(wǎng)絡(luò)100包括多個交換設(shè)備102~105、多個客戶機(jī)110~114、應(yīng)用服務(wù)器130、驗證服務(wù)器120。任何一個交換設(shè)備102~105都可以包括或者以可操作的方式連接到一個無線接入點,例如接入點108~109。同樣,一個或多個客戶機(jī)110~114可以具有有線或無線能力,由此允許設(shè)備通過網(wǎng)絡(luò)100移動,正如移動客戶機(jī)110從第一交換設(shè)備110移動到接入點108。
本優(yōu)選實施例的第一交換設(shè)備103和第三交換設(shè)備105是用以太網(wǎng)協(xié)議和網(wǎng)際協(xié)議(IP)來運(yùn)作的,但是在這里也可以實施多種其他的網(wǎng)絡(luò)層協(xié)議——包括無連接網(wǎng)絡(luò)協(xié)議(CLNP)或網(wǎng)絡(luò)分組交換(IPX)/順序分組包交換(SPX)——以及鏈路層協(xié)議——包括令牌環(huán)網(wǎng)和異步傳輸模式(ATM)WAN/諸如T1/E1之類的串行協(xié)議。
如下文中更詳細(xì)描述的那樣,網(wǎng)絡(luò)100的交換設(shè)備可以與一個或多個預(yù)驗證網(wǎng)絡(luò)(VPAN)驗證群組相關(guān)聯(lián),其中每一個群組由唯一的VPAN標(biāo)識符指定。例如,第一VPAN110包括第一交換設(shè)備103、路由器102、第三交換設(shè)備105以及無線接入點108。
圖2描述的是用于執(zhí)行安全驗證通告的多層交換設(shè)備的功能框圖。交換設(shè)備103優(yōu)選包含了多個交換模塊210,這些模塊借助交換結(jié)構(gòu)250而以可操作的方式相互連接,由此在交換模塊之間傳送協(xié)議數(shù)據(jù)單元(PDU)。交換模塊210的形式可以是適于以可拆卸方式嚙合到底板252中的某個插槽或總線系統(tǒng)(未顯示)的交換處理器、交換元件或交換刀片服務(wù)器,而該底板則以可操作的方式將每一個交換模塊210連接在一起。
多個交換模塊210中的每一個都包含了多個外部端口203,這些端口以可操作的方式經(jīng)由網(wǎng)絡(luò)通信鏈路連接到網(wǎng)絡(luò)100。在優(yōu)選實施例中,每一個交換模塊210還包括至少一個交換控制器206,一般來說,該控制器能夠?qū)嵤╅_放式系統(tǒng)互連(OSI)參考模型中定義的第二層(數(shù)據(jù)鏈路)交換和第三層(網(wǎng)絡(luò))路由操作,但是并不局限于此。同樣,每一個模塊210都適于經(jīng)由端口203來向網(wǎng)絡(luò)傳送協(xié)議數(shù)據(jù)單元(PDU)以及接收來自網(wǎng)絡(luò)的PDU,此外還適于借助交換結(jié)構(gòu)250而向每個其他交換模塊傳送PDU并且接收來自每個其他交換模塊的PDU。
對本申請的目的而言,在這里將那些從朝向交換結(jié)構(gòu)250的通信鏈路流入交換模塊210的PDU稱為輸入PDU,并且將輸入PDU進(jìn)入交換設(shè)備103時所經(jīng)過的交換模塊210通稱為入口交換模塊。此外,在這里還將那些從交換結(jié)構(gòu)250流入通信鏈路的PDU稱為輸出PDU,而輸出這些PDU的交換模塊則稱為出口交換模塊。對本發(fā)明中的多個交換模塊210來說,其中每一個模塊都可以充當(dāng)入口交換模塊和出口交換模塊,而這取決于流動及其方向。交換設(shè)備103是適于執(zhí)行安全驗證通告的多個網(wǎng)絡(luò)節(jié)點中的一個,其中包括路由器、網(wǎng)橋、業(yè)務(wù)量分類器、速率警戒器、記賬設(shè)備、編輯設(shè)備以及地址查找設(shè)備。
圖3描述的是用于執(zhí)行安全驗證通告的交換模塊的功能框圖。交換模塊210優(yōu)選包含了多個網(wǎng)絡(luò)接口模塊(NIM)304、至少一個交換控制器206、管理模塊320以及結(jié)構(gòu)接口模塊308。每一個NIM304都以可操作的方式連接到一個或多個外部端口203,以便接收和傳送數(shù)據(jù)業(yè)務(wù)。例如,優(yōu)選使用電氣與電子工程師協(xié)會(IEEE)802.3、IEEE802.2和/或IEEE802.11所運(yùn)作的NIM304用于執(zhí)行物理層和數(shù)據(jù)鏈路層控制,其中所述控制以可操作的方式將交換設(shè)備103與包括有線、無線和光學(xué)通信鏈路在內(nèi)的通信介質(zhì)相連接。
NIM 304所接收的輸入PDU經(jīng)過內(nèi)部數(shù)據(jù)總線305被傳送到交換控制器206,其中在去往目的地節(jié)點的途中,在隊列管理器緩存PDU之前,路由器引擎330通常會執(zhí)行濾波和轉(zhuǎn)發(fā)決定。而優(yōu)選實施例的路由引擎則包含了分類器332、轉(zhuǎn)發(fā)處理器334以及出口處理器336。分類器332提取輸入PDU的一個或多個字段,并且使用包括所提取字段在內(nèi)的一個或多個與輸入PDU相關(guān)聯(lián)的屬性來對按內(nèi)容訪問存儲器(CAM)333進(jìn)行查詢,并且將PDU分類給多個流中的某個流。例如,PDU屬性通常包括目的地和源地址、入口端口號、協(xié)議類型、優(yōu)先級信息以及包括802.1Q標(biāo)簽在內(nèi)的虛擬局域網(wǎng)(VLAN)信息。
在優(yōu)選實施例中,在執(zhí)行分類器332所識別的恰當(dāng)?shù)霓D(zhuǎn)發(fā)操作之前,交換控制器206還會使用驗證管理器360來執(zhí)行許可測試。舉例來說,如果輸入PDU來源于某個已驗證客戶機(jī),并且該客戶機(jī)當(dāng)前登錄到交換設(shè)備103,那么該客戶機(jī)的身份以及相關(guān)接入特權(quán)將會記錄在交換設(shè)備103內(nèi)部所保持的共享許可表(SAT)362中。如果客戶機(jī)尚未經(jīng)過驗證并且當(dāng)前并未登錄,那么這時會提示該客戶機(jī)提供證書,以便從驗證服務(wù)器120之類的外部數(shù)據(jù)庫中確定客戶機(jī)的接入配置文件,其中所述證書優(yōu)選為用戶名和口令。如果交換設(shè)備的SAT362或驗證服務(wù)器120拒絕客戶機(jī)所請求的接入特權(quán),那么輸入PDU將被過濾。
但是,如果客戶機(jī)請求的接入得到SAT362或驗證服務(wù)器120的許可,那么分類器332將會從轉(zhuǎn)發(fā)表3354中檢索相關(guān)的PDU轉(zhuǎn)發(fā)指令,并且會將即時的PDU傳送到轉(zhuǎn)發(fā)處理器334。只要客戶機(jī)登錄或者保持客戶機(jī)與目的地節(jié)點之間的會話,那么來自相同客戶機(jī)的后續(xù)PDU同樣是被允許進(jìn)入交換設(shè)備103的。
當(dāng)進(jìn)入網(wǎng)絡(luò)100的客戶機(jī)通過驗證服務(wù)器120的驗證時,將采用驗證管理器360并使用相關(guān)客戶機(jī)標(biāo)識符(ID)來更新SAT362。依照本發(fā)明的優(yōu)選實施例,驗證管理器360進(jìn)一步被采用來向一個或多個與交換設(shè)備103關(guān)聯(lián)于相同VPAN驗證群組的網(wǎng)絡(luò)節(jié)點傳送預(yù)驗證狀態(tài)消息,在優(yōu)選實施例中,預(yù)驗證狀態(tài)消息包括新近通過驗證的客戶機(jī)的客戶機(jī)標(biāo)識符以及與之關(guān)聯(lián)的接入特權(quán)。一旦接收到預(yù)驗證狀態(tài)消息,那么接收方將會使用新近通過驗證的客戶機(jī)的客戶機(jī)標(biāo)識符以及接入特權(quán)來更新各自的共享許可表。這樣一來,一旦客戶機(jī)肯定地登錄到VPAN安全群組中的某個成員,那么客戶機(jī)就有效地登錄到了所述安全群組中的每一個部件。
一旦在客戶機(jī)正在傳送的節(jié)點上對客戶機(jī)進(jìn)行了驗證,那么輸入PDU將會傳送到轉(zhuǎn)發(fā)處理器334,并且在該處理器中將會執(zhí)行所檢索的轉(zhuǎn)發(fā)指令所標(biāo)識的轉(zhuǎn)發(fā)操作。如果目的地介質(zhì)訪問控制(MAC)地址為交換設(shè)備103所知并且可以通過該設(shè)備到達(dá),那么PDU通常會在沒有變更的情況下切換到恰當(dāng)?shù)某隹诙丝?。如果該地址未知,那么在與入口端口相關(guān)聯(lián)的VLAN內(nèi)部,源MAC地址可以通過源學(xué)習(xí)機(jī)制而與入口端口203相關(guān)聯(lián),并且PDU將會廣播到VLAN內(nèi)部每一個與所述入口端口相關(guān)聯(lián)的出口端口。如果PDU的目的地節(jié)點是在另一個網(wǎng)絡(luò)內(nèi)部,那么轉(zhuǎn)發(fā)服務(wù)器334通常將會遞減生存周期(TTL)計數(shù)器,并使用新的數(shù)據(jù)鏈路層報頭來重新封裝分組,例如在將分組路由到恰當(dāng)目的地之前。
舉例來說,在某些實施例中,轉(zhuǎn)發(fā)處理器334還被用于執(zhí)行分組處理操作,其中包括但不局限于用于重新封裝數(shù)據(jù)的報頭變換、用于向PDU附加一個或多個VLAN標(biāo)簽的VLAN標(biāo)簽推送、用于從PDU中刪除一個或多個VLAN標(biāo)簽的VLAN標(biāo)簽彈出、用于保持網(wǎng)絡(luò)資源的服務(wù)質(zhì)量(QoS)、用于監(jiān)視客戶業(yè)務(wù)量的計費(fèi)和記賬、多協(xié)議標(biāo)簽交換(MPLS)管理、用于有選擇地過濾PDU的驗證、訪問控制、包括地址解析協(xié)議(ARP)控制在內(nèi)的更高層學(xué)習(xí)、用于為業(yè)務(wù)量分析再現(xiàn)和重定向PDU的端口鏡像、源學(xué)習(xí)、用于確定分配交換資源給PDU的相對優(yōu)先級的服務(wù)等級(CoS)以及用于警戒和業(yè)務(wù)整形的色彩標(biāo)記。
在路由引擎330執(zhí)行了分組處理之后,為通過交換設(shè)備103的其它交換模塊可以到達(dá)的節(jié)點所指定的PDU,根據(jù)它們的服務(wù)等級(CoS)和/或服務(wù)質(zhì)量(QoS)要求,被隊列管理器340暫時緩存在優(yōu)先級隊列342中,直至帶寬可用于將PDU通過交換結(jié)構(gòu)250進(jìn)行傳送為止。然后,PDU然后經(jīng)由結(jié)構(gòu)接口模塊308被傳送到恰當(dāng)?shù)某隹诮粨Q模塊,以便沿著PDU的目的地節(jié)點方向進(jìn)行傳送。
在優(yōu)選實施例中,結(jié)構(gòu)接口模塊308用于向交換結(jié)構(gòu)250傳送輸入PDU,并且接收來自一個或多個其他交換模塊中的每一個模塊的輸出PDU。在優(yōu)選實施例中,從結(jié)構(gòu)接口模塊308接收的輸出數(shù)據(jù)將會緩存在優(yōu)先級隊列342中,經(jīng)過路由器引擎的出口處理器336用于進(jìn)行例如統(tǒng)計處理,以及經(jīng)由一個NIM 304從恰當(dāng)?shù)某隹诙丝诒粋魉汀?br>
在圖4中描述的是用于在網(wǎng)絡(luò)內(nèi)預(yù)授權(quán)客戶機(jī)的共享許可表362的示意圖。SAT400包含了一個或多個用于識別已驗證客戶機(jī)以及與該客戶機(jī)相關(guān)聯(lián)的接入特權(quán)的字段。在優(yōu)選實施例中,已驗證客戶機(jī)是借助其地址來進(jìn)行識別的,其中所述地址優(yōu)選地為MAC源地址(SA)401,但是,舉例來說,該地址也可以是IP地址。與客戶機(jī)相關(guān)聯(lián)的接入特權(quán)優(yōu)選地包含一個或多個VLAN標(biāo)識符(VID)402,但是該接入特權(quán)也可以包括一個或多個規(guī)定用戶查看、下載或變更不同文件的接入控制。
SAT362中所列舉的客戶機(jī)標(biāo)識符包括那些直接登錄到諸如交換機(jī)103之類的作為SAT362宿主的網(wǎng)絡(luò)節(jié)點的客戶機(jī),以及直接登錄到與同一個VPAN驗證群組相關(guān)聯(lián)的其他網(wǎng)絡(luò)節(jié)點的客戶機(jī)。如下文中更詳細(xì)描述的那樣,對直接登錄到VPAN中的其他網(wǎng)絡(luò)節(jié)點的客戶機(jī)來說,其客戶機(jī)ID是在這些其他網(wǎng)絡(luò)節(jié)點的授權(quán)管理器360產(chǎn)生的一個或多個驗證狀態(tài)消息中知道的。在優(yōu)選實施例中,SAT362包含在驗證管理器360中,但是它也可以與轉(zhuǎn)發(fā)表354的橋接和路由信息相整合,此外還可以處于中央命令處理器260中。例如,該客戶機(jī)可以是網(wǎng)絡(luò)100內(nèi)部或外部的一個節(jié)點,也可以是其上運(yùn)行的應(yīng)用程序。
圖5中描述的是用于在虛擬預(yù)驗證區(qū)域網(wǎng)絡(luò)內(nèi)部預(yù)先授權(quán)客戶機(jī)的驗證管理器360的功能框圖。優(yōu)選實施例的驗證管理器360包括驗證狀態(tài)模塊502、安全模塊506、SAT 362、預(yù)驗證消息生成器510以及預(yù)驗證消息接收機(jī)512。一旦從請求與交換設(shè)備103相連或是請求與可以經(jīng)由設(shè)備103到達(dá)的節(jié)點相連的客戶機(jī)那里接收到PDU,路由引擎330將會確定客戶機(jī)是否被驗證來這樣做。特別地,路由引擎330將一個或多個從輸入PDU中提取的字段傳送到狀態(tài)模塊502,該模塊用于首先查詢共享許可表362,以便確定客戶機(jī)的許可狀態(tài)。
如果狀態(tài)管理器502不能根據(jù)SAT 362來驗證客戶機(jī),那么狀態(tài)管理器502會向路由引擎330告知暫時拒絕驗證客戶機(jī),由此導(dǎo)致路由器引擎330就證書而向客戶機(jī)給出提示,其中該證書優(yōu)選為用戶標(biāo)識符和口令。一旦接收到用戶標(biāo)識符和口令,那么狀態(tài)管理器502,更具體地是檢索代理504,產(chǎn)生一個傳送到外部數(shù)據(jù)庫的驗證查詢,以便確定客戶機(jī)的許可狀態(tài),其中舉例來說,所述數(shù)據(jù)庫可以是驗證服務(wù)器120。在優(yōu)選實施例中,驗證查詢和后續(xù)響應(yīng)分別是由安全模塊506來進(jìn)行加密和解密的。
如果驗證服務(wù)器120發(fā)布一個許可該驗證的響應(yīng),那么狀態(tài)模塊502將會觸發(fā)更新控制器508,以便將客戶機(jī)標(biāo)識符添加給內(nèi)部SAT362。然后,在優(yōu)選實施例中,預(yù)驗證生成器將會確定第一交換設(shè)備103所屬的驗證群組表(AGT)514中的每一個其他成員的目的地地址。隨后,預(yù)驗證生成器510向VPAN驗證群組中的每一個部件發(fā)送一個經(jīng)過安全模塊506加密的預(yù)驗證許可消息。同樣,當(dāng)客戶機(jī)注銷以及以其他方式取消驗證的時候,預(yù)驗證生成器510同樣會向驗證群組中的每一個成員傳送一個預(yù)驗證廢止消息。
更新控制器508還用于從驗證群組中的其他成員接收預(yù)驗證許可和廢止消息。一旦接收到預(yù)驗證許可消息,更新控制器508,具體地預(yù)驗證接收機(jī)512,將其中的客戶機(jī)標(biāo)識符以及相關(guān)的接入特權(quán)添加給本地SAT 362。同樣,一旦接收到廢止特權(quán)的預(yù)驗證指示,即來自驗證群組的另一個成員的廢止消息,那么預(yù)驗證接收機(jī)512就會使得客戶機(jī)標(biāo)識符以及特權(quán)從本地SAT362中被刪除。
由此,客戶機(jī)可以在不執(zhí)行用戶登錄過程的形式的情況下快速接入驗證群組中的每一個成員。雖然在優(yōu)選實施例中對驗證管理器360進(jìn)行配置,使之臨時拒絕SAT362中未曾顯性列舉的每一個客戶機(jī)的驗證,但是本領(lǐng)域技術(shù)人員將會了解,驗證管理器360是可以用不同的缺省驗證規(guī)則來進(jìn)行配置的。
圖6中描述的是在客戶機(jī)最初經(jīng)過驗證并且隨后在網(wǎng)絡(luò)內(nèi)進(jìn)行預(yù)驗證時在網(wǎng)絡(luò)內(nèi)產(chǎn)生的消息圖示。例如,在這里將移動客戶機(jī)110傳送到的VPAN內(nèi)部的某個節(jié)點的第一消息稱為接入請求消息602。一旦接收到接入請求消息602,則第一交換設(shè)備103將會使用移動節(jié)點110的MAC源地址來查詢SAT 362。如果源地址不存在并且移動客戶機(jī)110臨時拒絕驗證,那么交換設(shè)備103會發(fā)送一個標(biāo)識符請求消息604,以便提示客戶機(jī)110輸入用戶ID和口令606。如果驗證服務(wù)器120能夠根據(jù)接收到的用戶ID和口令606來驗證客戶機(jī)103,那么服務(wù)器412將會傳送一個包含驗證確認(rèn)的驗證消息610~611。一旦接收到驗證確認(rèn),那么第一交換設(shè)備103將會允許移動客戶機(jī)110向應(yīng)用服務(wù)器130之類的被請求資源傳送和建立一個通信會話612。
依照優(yōu)選實施例,第一交換設(shè)備103還會向VPAN授權(quán)群組150中的每一個成員傳送預(yù)驗證許可消息614,其中該群組包含了用于將許可消息轉(zhuǎn)發(fā)到第三交換設(shè)備105的路由器102,而第三交換設(shè)備105則將該消息轉(zhuǎn)發(fā)到接入點108。在VPAN 150中,每一個接收許可消息的節(jié)點都會使用移動用戶的客戶機(jī)ID來更新其SAT362,以便表示移動客戶機(jī)110登錄到該節(jié)點。
隨后,如果移動客戶機(jī)110以圖1所示方式在VPAN 150內(nèi)部移動,那么移動客戶機(jī)110可以實時無中斷地與應(yīng)用服務(wù)器130繼續(xù)正在進(jìn)行的會話。舉例來說,在移動客戶機(jī)110使用連至接入點108的無線連接來調(diào)換連至第一交換設(shè)備103的連接時,作為預(yù)先存在的會話612的一部分,移動客戶機(jī)110會繼續(xù)向應(yīng)用服務(wù)器130傳送會話消息620~621以及接收來自應(yīng)用服務(wù)器130的消息。如上所述,接入點108根據(jù)從會話管理620中提取的MAC源地址以及VLAN相關(guān)信息來驗證移動用戶,而不用再次就用戶ID以及口令向移動客戶機(jī)110發(fā)出提示,而這種提示會破壞與應(yīng)用服務(wù)器130正在進(jìn)行的會話,此外還會導(dǎo)致數(shù)據(jù)丟失以及為用戶帶來不便。
應(yīng)該指出的是,網(wǎng)絡(luò)管理員為依照優(yōu)選實施例的網(wǎng)絡(luò)節(jié)點分配了多個VPAN驗證群組標(biāo)識符中的至少一個。這樣一來,網(wǎng)絡(luò)可以分成多個虛擬預(yù)驗證子網(wǎng)。例如,在這里可以相應(yīng)于工程部門、財務(wù)部門以及銷售部門而將企業(yè)網(wǎng)絡(luò)細(xì)分成存在一定程度重疊的獨(dú)立子網(wǎng)。然后,如果請求接入的節(jié)點具有與當(dāng)前驗證客戶機(jī)的網(wǎng)絡(luò)部分不同的VPAN關(guān)聯(lián),那么,在一部分網(wǎng)絡(luò)中通過驗證的客戶機(jī)有可能需要登錄到不同部分的網(wǎng)絡(luò)。以圖1為例,移動客戶機(jī)110需要通過執(zhí)行登錄來連接到第二交換設(shè)備104或是其相關(guān)接入點109,這是因為客戶機(jī)的預(yù)驗證只在第一交換設(shè)備103、路由器102、第三交換設(shè)備105以及接入點108中有效。
隨后,如果移動客戶機(jī)110從相連的節(jié)點注銷,那么該節(jié)點會在相連節(jié)點以及其他每一個關(guān)聯(lián)于VPAN驗證群組的節(jié)點撤銷預(yù)驗證。如果移動客戶機(jī)110從接入點108注銷,那么舉例來說,接入點108將會產(chǎn)生傳送到VPAN 150中的每一個其他成員的預(yù)驗證廢止消息,這些成員包括向路由器102轉(zhuǎn)發(fā)廢止消息632的第三交換設(shè)備,而路由器102則將該消息轉(zhuǎn)發(fā)到第一交換設(shè)備103。一旦接收到廢止消息632,那么每一個節(jié)點都會從它的SAT中刪除移動客戶機(jī)ID,由此在沒有再次登錄的情況下阻止移動客戶機(jī)110接入網(wǎng)絡(luò)110。
在優(yōu)選實施例中,對與某個VPAN相關(guān)聯(lián)的網(wǎng)絡(luò)節(jié)點,也就是VPAN驗證群組中的成員而言,這些網(wǎng)絡(luò)節(jié)點用于使用本領(lǐng)域技術(shù)人員已知的鄰居發(fā)現(xiàn)協(xié)議來發(fā)現(xiàn)對方。優(yōu)選地,所述鄰居發(fā)現(xiàn)協(xié)議是第二層協(xié)議,該協(xié)議使用了傳送到被保留的多播MAC地址的“hello”消息而使每一個網(wǎng)絡(luò)設(shè)備能夠向LAN中的其他節(jié)點通告其自身標(biāo)識,其中該標(biāo)識優(yōu)選為IP地址,此外,還使每一個網(wǎng)絡(luò)設(shè)備能夠發(fā)現(xiàn)其鄰居的標(biāo)識,并且能夠確定哪些鄰居正在運(yùn)行本發(fā)明的預(yù)驗證協(xié)議以及一個或多個VLAN中的哪些是鄰居所支持的或者一個或多個VPAN中的哪些是可以通過這些鄰居到達(dá)的節(jié)點所支持的。在優(yōu)選實施例中,每一個希望共享驗證的設(shè)備被提供一個對于VPAN唯一的加密密鑰,該密鑰用于打開通過其可以共享客戶機(jī)標(biāo)識信息的網(wǎng)絡(luò)節(jié)點之間的加密通信流。本發(fā)明可以使用的例子鄰居發(fā)現(xiàn)協(xié)議是IEEE802.1A/B,由此該協(xié)議在此引入作為參考。
雖然上文中的描述包含了很多規(guī)定,但是這些規(guī)定不應(yīng)當(dāng)解釋為是對發(fā)明范圍進(jìn)行的限制,而是僅僅提供了關(guān)于本發(fā)明的一些優(yōu)選實施例的例子。
因此,在這里是以示例而不是限制的方式公開本發(fā)明的,并且在這里應(yīng)該通過參考下列權(quán)利要求來確定本發(fā)明的范圍。
權(quán)利要求
1.一種用于在網(wǎng)絡(luò)中通告安全驗證的網(wǎng)絡(luò)設(shè)備,該網(wǎng)絡(luò)包括一個或多個關(guān)聯(lián)于驗證群組的網(wǎng)絡(luò)節(jié)點、驗證服務(wù)器以及具有相關(guān)客戶機(jī)標(biāo)識符和證書的客戶機(jī),所述網(wǎng)絡(luò)設(shè)備包括至少一個端口,用于接收來自客戶機(jī)的協(xié)議數(shù)據(jù)單元(PDU)以及證書;表,用于保留一個或多個已驗證客戶機(jī)中的每一個客戶機(jī)的客戶機(jī)標(biāo)識符;以及驗證管理器,用于根據(jù)所述PDU而從所述表中確定客戶機(jī)是否通過驗證;根據(jù)所述客戶機(jī)證書確定是否從所述驗證服務(wù)器驗證所述客戶機(jī);以及如果所述驗證服務(wù)器對所述客戶機(jī)進(jìn)行了驗證,則將所述客戶機(jī)的標(biāo)識符傳送到一個或多個網(wǎng)絡(luò)節(jié)點。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其中,所述驗證管理器用于根據(jù)所述PDU的源地址來確定客戶機(jī)是否被驗證。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其中,所述客戶機(jī)證書包含用戶標(biāo)識符和口令。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其中,所述網(wǎng)絡(luò)設(shè)備從包括以下設(shè)備的群組中被選出路由器、網(wǎng)橋、多層交換機(jī)、網(wǎng)絡(luò)接入點、無線網(wǎng)絡(luò)接入點以及這些設(shè)備的組合。
5.一種數(shù)據(jù)通信網(wǎng)絡(luò)中的安全驗證系統(tǒng),包括請求接入網(wǎng)絡(luò)的客戶機(jī),其中所述客戶機(jī)與客戶機(jī)標(biāo)識符以及安全證書相關(guān)聯(lián);第一節(jié)點,用于接收包含所述安全證書的接入請求以及根據(jù)所述安全證書來驗證所述客戶機(jī);以及第二節(jié)點;其中,如果所述客戶機(jī)在所述第一節(jié)點被驗證,則在所述第一節(jié)點和所述第二節(jié)點向所述客戶機(jī)提供網(wǎng)絡(luò)接入。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其中,如果所述客戶機(jī)被驗證,則所述第一節(jié)點用于將所述客戶機(jī)標(biāo)識符傳送到所述第二節(jié)點,并且其中,所述第二節(jié)點用于保留一個共享許可表,所述表包含了所述傳送的客戶機(jī)標(biāo)識符。
7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其中,所述共享許可表對被授權(quán)接入網(wǎng)絡(luò)的一個或多個已驗證的用戶進(jìn)行標(biāo)識。
8.一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)中通告安全驗證的方法,包括多個關(guān)聯(lián)于阻止未授權(quán)接入網(wǎng)絡(luò)的驗證群組的網(wǎng)絡(luò)節(jié)點,所述方法包括以下步驟在多個節(jié)點中的第一節(jié)點上接收來自請求接入網(wǎng)絡(luò)的客戶機(jī)的證書;在第一節(jié)點確定是否驗證過該客戶機(jī)對網(wǎng)絡(luò)的接入;如果客戶機(jī)通過驗證在所述第一節(jié)點上,向所述客戶機(jī)提供對所述網(wǎng)絡(luò)的接入;自動地向關(guān)聯(lián)于所述驗證群組的多個節(jié)點的其他節(jié)點傳送客戶機(jī)信息;以及允許多個節(jié)點中的其他節(jié)點向所述客戶提供對所述網(wǎng)絡(luò)的接入。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)設(shè)備,其中,所述客戶機(jī)信息包含所述客戶機(jī)的源地址。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)設(shè)備,其中,所述客戶機(jī)信息包含源介質(zhì)訪問控制(MAC)地址。
全文摘要
本發(fā)明公開一種用于在授權(quán)節(jié)點之間分發(fā)驗證信息,以便在LAN中的多個點上同時“預(yù)驗證”某個移動用戶的網(wǎng)絡(luò)設(shè)備。當(dāng)客戶機(jī)嘗試通過該網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)時,該網(wǎng)絡(luò)設(shè)備將會嘗試根據(jù)用戶給出的證書來對客戶機(jī)進(jìn)行驗證。如果通過驗證,那么在該網(wǎng)絡(luò)設(shè)備上,客戶機(jī)將被允許進(jìn)入網(wǎng)絡(luò),并且客戶機(jī)的預(yù)驗證信息將會傳送到與驗證群組相關(guān)聯(lián)的一個或多個網(wǎng)絡(luò)節(jié)點。一旦接收到預(yù)驗證信息,那么除了初始驗證客戶機(jī)的網(wǎng)絡(luò)設(shè)備之外,在這些節(jié)點上,所述一個或多個網(wǎng)絡(luò)節(jié)點將會被授權(quán)許可該客戶機(jī)進(jìn)入網(wǎng)絡(luò),由此在網(wǎng)絡(luò)中的多個節(jié)點上同時預(yù)驗證客戶機(jī)。
文檔編號H04L9/32GK1790980SQ20051013428
公開日2006年6月21日 申請日期2005年12月13日 優(yōu)先權(quán)日2004年12月13日
發(fā)明者杰里米·W·圖維, 埃里克·托利維爾 申請人:阿爾卡特公司