專利名稱:基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法及系統(tǒng)及中繼轉(zhuǎn)發(fā)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域,尤其涉及基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方 法及系統(tǒng)及中繼轉(zhuǎn)發(fā)裝置。
背景技術(shù):
目前局域網(wǎng)中廣泛使用的正EE 802. lx協(xié)議是基于端口的網(wǎng)絡(luò)訪問控制協(xié) 議,用于網(wǎng)絡(luò)接入設(shè)備的物理接入級對接入客戶端進(jìn)行認(rèn)證和控制。802.1x 協(xié)議的應(yīng)用體系結(jié)構(gòu)如圖1所示,包括客戶端、認(rèn)證者和認(rèn)證服務(wù)器;在用 戶接入層以太網(wǎng)交換機(jī)實現(xiàn)802.1x的認(rèn)證者部分,是位于局域網(wǎng)或無線局域 網(wǎng)點(diǎn)對點(diǎn)鏈路一端的一個實體;802.1x的客戶端作為認(rèn)證請求者是位于局域網(wǎng) 或無線局域網(wǎng)上點(diǎn)對點(diǎn)鏈路一端的一個實體,通常安裝在用戶端,如個人計算 機(jī)中;802.1x的認(rèn)證服務(wù)器通常駐留在運(yùn)營商的計費(fèi)、認(rèn)證和授權(quán)中心。802.1x 的客戶端與認(rèn)證者之間運(yùn)行IEEE 802.1x定義的基于局域網(wǎng)的可擴(kuò)展認(rèn)證協(xié)議 EAPoL;認(rèn)證者與認(rèn)證服務(wù)器間同樣運(yùn)行擴(kuò)展認(rèn)證協(xié)議EAP。以太網(wǎng)交換機(jī) 端內(nèi)部有受控端口和非受控端口;其中非受控端口始終處于雙向連通狀態(tài),受 控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù),且受控端 口可配置為雙向受控、僅輸入受控兩種方式,以適應(yīng)不同的應(yīng)用環(huán)境。在上述 的體系結(jié)構(gòu)下,連接在以太網(wǎng)交換或?qū)拵Ы尤虢粨Q機(jī)的端口上的用戶設(shè)備如果 能通過認(rèn)證,就可以訪問網(wǎng)絡(luò)內(nèi)的資源;如果不能通過認(rèn)證,則無法訪問網(wǎng)絡(luò) 內(nèi)的資源?,F(xiàn)有技術(shù)一中,客戶端通過認(rèn)證者向認(rèn)證服務(wù)器發(fā)起認(rèn)證請求,認(rèn)證服務(wù) 器響應(yīng)請求信息,通過認(rèn)證者與客戶端交互信息,最后由認(rèn)證服務(wù)器根據(jù)交互 的信息判斷客戶端的用戶設(shè)備是否合法,如果用戶設(shè)備合法則通過客戶端的認(rèn) 證請求,并進(jìn)行后續(xù)授權(quán)、計費(fèi)等流程。上述技術(shù)中,僅是基于客戶端和認(rèn)證服務(wù)器之間的認(rèn)證,沒考慮到對認(rèn)證
者的認(rèn)證,如果認(rèn)證者是一個不合法的設(shè)備,則可能造成中間人攻擊,模擬客 戶端信息進(jìn)行欺騙,或者竊取用戶的有用信息。例如竊聽到客戶的數(shù)據(jù)信息,或者一些有用的賬戶信息;另外, 一個不合法的認(rèn)證者設(shè)備,還可能對服務(wù)器發(fā)起拒絕服務(wù)等攻擊,占用網(wǎng)絡(luò)資源。另外,在某些網(wǎng)絡(luò)中,在802.1x認(rèn)證服務(wù)器和客戶端之間還存在有一些 用于轉(zhuǎn)發(fā)數(shù)據(jù)的中間設(shè)備,上述技術(shù)中沒考慮到對這些中間設(shè)備進(jìn)行認(rèn)證,中 間設(shè)備的物理地址MAC也就不能被認(rèn)證者認(rèn)可,因此這個MAC地址對網(wǎng)絡(luò) 的訪問就會被認(rèn)證者拒絕,也就無法實現(xiàn)通過遠(yuǎn)程登錄服務(wù)協(xié)議Telnet對這些 中間設(shè)備進(jìn)行管理?,F(xiàn)有技術(shù)二中,為使認(rèn)證者也同樣能得到認(rèn)證,將客戶端功能引入作為認(rèn) 證者的網(wǎng)絡(luò)接入設(shè)備的上行端口 ,使上行口可以啟動認(rèn)證程序并通過預(yù)配置的 上行口接收認(rèn)證請求報文,如以太網(wǎng)交換機(jī)的上行端口,將客戶端對象綁定到 以太網(wǎng)交換機(jī)的上行端口 ,使以太網(wǎng)交換機(jī)的上行端口成為802.1x協(xié)議中的 客戶端,可以主動要求上級端口進(jìn)行認(rèn)證,并接收認(rèn)證請求報文。如此,使得 認(rèn)證者具有被認(rèn)證的功 能。上述的現(xiàn)有技術(shù)二中的方法,雖考慮到對設(shè)備如何進(jìn)行認(rèn)證,但認(rèn)證方法 中需要先設(shè)置上行口,而上行口不能隨意改動,因此,需要預(yù)先對設(shè)備作很多 配置,而且一旦配置后,不能改動,這樣對網(wǎng)絡(luò)早期部署和后期擴(kuò)容、維護(hù)都 帶來很大的不變。發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是提供一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方 法,能夠?qū)λ薪尤刖W(wǎng)絡(luò)中的設(shè)備進(jìn)行認(rèn)證。為解決上述技術(shù)問題,本發(fā)明提供一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證 方法,包括經(jīng)預(yù)配置開啟認(rèn)證功能的網(wǎng)絡(luò)設(shè)備向認(rèn)證者發(fā)送認(rèn)證開始報文;認(rèn)證者接收到認(rèn)證開始報文后,認(rèn)證服務(wù)器判斷是否收到認(rèn)證者的授權(quán)標(biāo) 志,如果收到且驗證該授權(quán)標(biāo)志為合法時,對該網(wǎng)絡(luò)設(shè)備繼續(xù)認(rèn)證程序。
其中,網(wǎng)絡(luò)設(shè)備周期性發(fā)起認(rèn)證開始報文。其中,認(rèn)證者接收到認(rèn)證開始報文后,進(jìn)一步包括認(rèn)證者獲取發(fā)送認(rèn)證開始報文的網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識并將該用戶標(biāo)識發(fā)送給認(rèn)證服務(wù)器;該方法中,認(rèn)證服務(wù)器對接收到的認(rèn)證者的授權(quán)標(biāo)志驗證為合法后,繼續(xù)的認(rèn)證程序包括認(rèn)證服務(wù)器通過認(rèn)證者向用戶標(biāo)識對應(yīng)的客戶端發(fā)送加密質(zhì)詢信息; 客戶端接收到加密質(zhì)詢信息后,通過認(rèn)證者向認(rèn)證服務(wù)器反饋加密質(zhì)詢信息;認(rèn)證服務(wù)器根據(jù)反饋信息對用戶進(jìn)行認(rèn)證,判斷用戶是否合法,如果是,則該網(wǎng)絡(luò)設(shè)備認(rèn)證成功;如果否,則該網(wǎng)絡(luò)設(shè)備認(rèn)證失敗。 其中,該方法進(jìn)一步包括如果該網(wǎng)絡(luò)設(shè)備認(rèn)證成功,則認(rèn)證服務(wù)器根據(jù)預(yù)配置的信息判斷得到該網(wǎng) 絡(luò)設(shè)備是認(rèn)證服務(wù)器客戶端之間轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備;認(rèn)證服務(wù)器根據(jù)判斷結(jié)果授權(quán)該網(wǎng)絡(luò)設(shè)備為認(rèn)證者,該設(shè)備配置自身成為 認(rèn)證者需要使用的策略。其中,該方法進(jìn)一步包括如果該網(wǎng)絡(luò)設(shè)備認(rèn)證成功,則認(rèn)證服務(wù)器根據(jù)預(yù)配置的信息判斷得到該網(wǎng) 絡(luò)設(shè)備為在認(rèn)證服務(wù)器與客戶端之間轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備;認(rèn)證服務(wù)器根據(jù)判斷結(jié)果授權(quán)該網(wǎng)絡(luò)設(shè)備為關(guān)閉認(rèn)證功能的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備。本發(fā)明還提供一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證系統(tǒng),包括認(rèn)證請 求單元、中繼轉(zhuǎn)發(fā)單元、認(rèn)證單元;認(rèn)證請求單元,包括認(rèn)證觸發(fā)單元,用于向中繼轉(zhuǎn)發(fā)單元發(fā)送認(rèn)證開始 報文;
中繼轉(zhuǎn)發(fā)單元,用于在接收到認(rèn)證開始報文后,向認(rèn)證單元發(fā)送作為中繼 轉(zhuǎn)發(fā)設(shè)備的授權(quán)標(biāo)志;
認(rèn)證單元,包括解析單元,用于當(dāng)驗證所接收的中繼設(shè)備的授權(quán)標(biāo)志為 合法時,對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證。
其中,中繼轉(zhuǎn)發(fā)單元,用于在接收到認(rèn)證開始報文后,向觸發(fā)單元獲取網(wǎng)
絡(luò)設(shè)備的用戶標(biāo)識,并與中繼轉(zhuǎn)發(fā)設(shè)備的授權(quán)標(biāo)志一起發(fā)送至認(rèn)證單元;
認(rèn)證請求單元,還包括信息交互單元,用于與認(rèn)證單元進(jìn)行信息交互, 通過中繼轉(zhuǎn)發(fā)單元向認(rèn)證單元反饋加密質(zhì)詢信息,并接收認(rèn)證結(jié)果;
認(rèn)證單元包括解析單元,用于當(dāng)驗證所接收的中繼設(shè)備的授權(quán)標(biāo)志為合法 時,通過中繼轉(zhuǎn)發(fā)單元將加密質(zhì)詢信息發(fā)送至該用戶標(biāo)識對應(yīng)的信息交互單 元,當(dāng)信息交互單元反饋的加密信息為合法的信息時,將認(rèn)證成功的結(jié)果發(fā)送 至該信息交互單元。
其中,解析單元,進(jìn)一步用于將認(rèn)證成功的結(jié)果發(fā)送至配置單元;
認(rèn)證單元還包括配置單元,當(dāng)接收到解析單元對網(wǎng)絡(luò)設(shè)備認(rèn)證成功的結(jié) 果后,根據(jù)預(yù)置在服務(wù)器上的設(shè)備信息,區(qū)分所認(rèn)證的設(shè)備是客戶終端還是網(wǎng) 絡(luò)中間設(shè)備并對中間設(shè)備授權(quán)為中繼設(shè)備或認(rèn)證者。
其中,包括數(shù)據(jù)接收單元、數(shù)據(jù)轉(zhuǎn)發(fā)單元、數(shù)據(jù)存儲單元;
數(shù)據(jù)接收單元,用于接收認(rèn)證開始報文,并將獲取的用戶標(biāo)識發(fā)送給數(shù)據(jù) 轉(zhuǎn)發(fā)單元,接收加密質(zhì)詢信息并發(fā)送至數(shù)據(jù)轉(zhuǎn)發(fā)單元,將接收的授權(quán)標(biāo)志發(fā)送 至數(shù)據(jù)存儲單元;
數(shù)據(jù)存儲單元,用于存儲作為中繼轉(zhuǎn)發(fā)裝置的授權(quán)標(biāo)志;
數(shù)據(jù)轉(zhuǎn)發(fā)單元,用于發(fā)送接收的認(rèn)證設(shè)備的用戶標(biāo)識與數(shù)據(jù)存儲單元的授 權(quán)標(biāo)志發(fā)送,以及發(fā)送接收到的加密質(zhì)詢信息。
以上技術(shù)方案可以看出,由于本發(fā)明中,在認(rèn)證過程中,對接入網(wǎng)絡(luò)中等 待認(rèn)證的設(shè)備,服務(wù)器不區(qū)分為終端還是中間設(shè)備,統(tǒng)一認(rèn)為是客戶端而進(jìn)行 認(rèn)證,.在客戶端與認(rèn)證服務(wù)器通過認(rèn)證者進(jìn)行信息交互之前,認(rèn)證者需要將已
通過認(rèn)證服務(wù)器授權(quán)為認(rèn)證者的授權(quán)標(biāo)志發(fā)送給認(rèn)證服務(wù)器進(jìn)行驗證,認(rèn)證服 務(wù)器驗證該授權(quán)標(biāo)志為合法的授權(quán)標(biāo)志時,才開始繼續(xù)對客戶端設(shè)備的認(rèn)證程 序,否則結(jié)東本次認(rèn)證,因此.本發(fā)明在者慮客盧端與認(rèn)證服務(wù)器之間認(rèn)證的 同時,也考慮到了認(rèn)證者本身的認(rèn)證,這樣,保證了作為認(rèn)證者的設(shè)備為一個 合法的設(shè)備,有效防止了不合法設(shè)備對網(wǎng)絡(luò)可能造成的中間人攻擊,以及對服
務(wù)器發(fā)起的DOS攻擊等,增強(qiáng)了網(wǎng)絡(luò)的安全性。
另外,本發(fā)明中,由于在認(rèn)證過程中,認(rèn)證服務(wù)器對等待認(rèn)證的網(wǎng)絡(luò)設(shè)備 不區(qū)分是用戶終端還是網(wǎng)絡(luò)內(nèi)部設(shè)備,對接入網(wǎng)絡(luò)中的設(shè)備全部進(jìn)行認(rèn)證,這 樣,服務(wù)器除了客戶端的用戶終端進(jìn)行認(rèn)證之外,網(wǎng)絡(luò)內(nèi)部的設(shè)備也需進(jìn)行認(rèn)
該物理地址對網(wǎng)絡(luò)的訪問,增強(qiáng)了對網(wǎng)絡(luò)設(shè)備的維護(hù)性。
進(jìn)一步,本發(fā)明中,在進(jìn)行認(rèn)證之前,不需要預(yù)先對網(wǎng)絡(luò)中等待認(rèn)證的設(shè) 備的上行口進(jìn)行預(yù)配置,而是將該設(shè)備的所有端口均設(shè)置可以并只能接收認(rèn)證 請求報文的端口,開啟802.1x協(xié)議認(rèn)證功能。因此,不用改動設(shè)備的上行端 口,操作簡便,也為網(wǎng)絡(luò)的早期部署和后期的擴(kuò)容、維護(hù)帶來了方便。
圖1為802.x協(xié)議的應(yīng)用體系結(jié)構(gòu)圖; 圖2為實施例中網(wǎng)絡(luò)設(shè)備認(rèn)證的具體流程圖; 圖3為本發(fā)明系統(tǒng)框圖; 圖4為中繼轉(zhuǎn)發(fā)裝置框圖。
具體實施例方式
本發(fā)明提供一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其核心思想是 對網(wǎng)絡(luò)設(shè)備的認(rèn)證過程中,認(rèn)證服務(wù)器將接入的等待認(rèn)證服務(wù)器認(rèn)證的網(wǎng)絡(luò)設(shè) 備均認(rèn)為是客戶端,而不區(qū)分是用戶的終端還是網(wǎng)絡(luò)內(nèi)部的中間設(shè)備,對等待 服務(wù)器認(rèn)證的網(wǎng)絡(luò)中設(shè)備預(yù)配置為所有端口只能接收認(rèn)證請求報文,并且所有 端口均可以發(fā)送認(rèn)證開始報文,使網(wǎng)絡(luò)中的設(shè)備均被開啟802.1x協(xié)議的認(rèn)證
功能,配置后的網(wǎng)絡(luò)設(shè)備啟動觸發(fā)認(rèn)證程序后,網(wǎng)絡(luò)中的設(shè)備通過已經(jīng)被認(rèn)證 服務(wù)器授權(quán)的認(rèn)證者,與認(rèn)證服務(wù)器進(jìn)行信息交互,請求認(rèn)證服務(wù)器認(rèn)證,認(rèn) 證服務(wù)器根據(jù)得到的該設(shè)備信息判斷該設(shè)備是否合法,如杲合法,則對該設(shè)備 實現(xiàn)認(rèn)證。
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并結(jié)合 具體實施例對本發(fā)明作詳細(xì)描述。
系統(tǒng)初始化時,由管理員確定等待認(rèn)證的設(shè)備是客戶終端還是網(wǎng)絡(luò)內(nèi)部的
認(rèn)證者或中繼設(shè)備,并將該網(wǎng)絡(luò)設(shè)備的用戶名、MAC地址、證書等預(yù)先配置 在認(rèn)證服務(wù)器上。但在認(rèn)證的過程中,將接入網(wǎng)絡(luò)中的設(shè)備均當(dāng)作客戶端,不 區(qū)分是終端還是中間設(shè)備。以下實施例中,所述認(rèn)證者為當(dāng)前認(rèn)證過程中已經(jīng) 被授權(quán)作為認(rèn)證者的網(wǎng)絡(luò)設(shè)備,所述客戶端為請求認(rèn)證的網(wǎng)絡(luò)設(shè)備,包括終端 和中間i殳備。
參見圖2,認(rèn)證服務(wù)器對網(wǎng)絡(luò)中等待認(rèn)證的設(shè)備進(jìn)行認(rèn)證的流程如下
步驟201 步驟203:客戶端向認(rèn)證者發(fā)送一個EAPoL認(rèn)證開始報文,認(rèn) 證者接收到該報文后向客戶端發(fā)送EAP認(rèn)證請求用戶標(biāo)識報文,請求客戶端 上報用戶標(biāo)識,客戶端回應(yīng) 一個EAP用戶標(biāo)識報文給認(rèn)證者,該報文中包括 用戶標(biāo)識,其中,該用戶標(biāo)識通常為客戶端網(wǎng)絡(luò)設(shè)備的用戶名,但也可以是表 明設(shè)備身份ID的證書等;
其中,對接入網(wǎng)絡(luò)中的等待認(rèn)證服務(wù)器認(rèn)證的設(shè)備都預(yù)配置802.1x客戶 端認(rèn)證所需要的信息,如用戶名、密碼、證書等等,將除了特殊端口,如 接入打印才幾的端口 ,之外的端口都開啟802.1x協(xié)i義iU正功能;
預(yù)配置后的設(shè)備不轉(zhuǎn)發(fā)任何報文,除了接收認(rèn)證請求用戶標(biāo)識報文,不接 收任何其他報文;由于設(shè)備不轉(zhuǎn)發(fā)報文,因此只有和已經(jīng)授權(quán)的認(rèn)證者位置最 接近的設(shè)備可以得到認(rèn)證請求報文;
其中,如果客戶端的用戶是手工配置地址的,則客戶端向認(rèn)證者發(fā)送的報 文可能是ARP請求報文,如果用戶是動態(tài)分配地址的,客戶端向認(rèn)證者發(fā)送 的報文可能是DHCP請求報文;
步驟204:認(rèn)證者將包括授權(quán)標(biāo)志的訪問請求報文發(fā)送給認(rèn)證服務(wù)器;其中,本次認(rèn)證程序中的認(rèn)證者為在前一次認(rèn)證程序中通過認(rèn)證后,被 服務(wù)器授權(quán)成為合法認(rèn)證者的網(wǎng)絡(luò)中的接入設(shè)備,該設(shè)備作為了下次網(wǎng)絡(luò)設(shè)備 請求認(rèn)證過程中的認(rèn)證者,其中,認(rèn)證服務(wù)器保存通過認(rèn)證設(shè)備的標(biāo)識并授權(quán) 該設(shè)備成為認(rèn)證者;其中,認(rèn)證請求報文中所包括的授權(quán)標(biāo)志為認(rèn)證者自己的 簽名,簽名用服務(wù)器的公鑰加密;但授權(quán)標(biāo)志不限于此,也可采用其他標(biāo)志;其中,最初的合法認(rèn)證者是通過手工授權(quán)的設(shè)備,該設(shè)備在網(wǎng)絡(luò)的最高端, 由網(wǎng)絡(luò)管理員保證設(shè)備安全性.,可靠性;步驟205 步驟206:認(rèn)證服務(wù)器接收到認(rèn)證請求后,將接收到的認(rèn)證者的 授權(quán)標(biāo)志與保存的認(rèn)證者的標(biāo)識配比驗證,如果找到與授權(quán)標(biāo)志對應(yīng)的認(rèn)證者 標(biāo)識,則該授權(quán)標(biāo)志為合法的授權(quán)標(biāo)志,并通過認(rèn)證者向客戶端發(fā)送加密質(zhì)詢 信息,與客戶端進(jìn)行信息交互,如果認(rèn)證者沒有發(fā)送授權(quán)標(biāo)志或授權(quán)標(biāo)志不合 法,則結(jié)束本次程序;步驟207 步驟208:客戶端通過認(rèn)證者向認(rèn)證服務(wù)器反饋加密質(zhì)詢信息;步驟209 步驟210:認(rèn)證服務(wù)器根據(jù)反饋信息判斷用戶是否合法,將認(rèn)證 結(jié)果通過認(rèn)證者發(fā)送給客戶端;其中,如果客戶端的網(wǎng)絡(luò)設(shè)備是不合法的設(shè)備,則結(jié)束流程;其中,當(dāng)客戶端的網(wǎng)絡(luò)設(shè)備是合法設(shè)備時,認(rèn)證服務(wù)器將進(jìn)一步根據(jù)預(yù)先 在服務(wù)器上綁定的該設(shè)備的信息,如用戶名、MAC地址、證書等等,判斷 該設(shè)備是被管理員確定為客戶終端還是網(wǎng)絡(luò)內(nèi)部中繼設(shè)備或者是認(rèn)證者,并將 判斷的結(jié)果與回應(yīng)的認(rèn)證結(jié)果一起通過認(rèn)證者發(fā)送給客戶端,其中,判斷結(jié)果 可以以標(biāo)志位的形式附帶于回應(yīng)的iU正成功的l艮文中;如果客戶端是終端,則可進(jìn)行后續(xù)授權(quán)、計費(fèi)等程序;如果客戶端是中間設(shè)備,認(rèn)證服務(wù)器可以根據(jù)預(yù)先設(shè)置的該設(shè)備信息判斷 得到管理員預(yù)先確定該設(shè)備為認(rèn)證者,則授權(quán)該設(shè)備為認(rèn)證者,該設(shè)備根據(jù)接 收到的授權(quán),配置自身設(shè)備作為認(rèn)證者所需要使用的地址學(xué)習(xí)和虛擬局域網(wǎng)Vlan綁定等策略;授權(quán)為認(rèn)證者后,該設(shè)備可以根據(jù)接收到的由網(wǎng)絡(luò)設(shè)備發(fā) 送來的認(rèn)證開始報文,發(fā)送認(rèn)證請求等報文;如果客戶端是中間設(shè)備,認(rèn)證服務(wù)器可以根據(jù)預(yù)先設(shè)置的該設(shè)備信息判斷 得到管理員預(yù)先確定該設(shè)備為中繼設(shè)備,則授權(quán)該設(shè)備為網(wǎng)絡(luò)內(nèi)部的中繼設(shè) 備,該設(shè)備根據(jù)接收到的授權(quán),配置自身設(shè)備,關(guān)閉設(shè)備認(rèn)證功能,使得所有 的端口不需要認(rèn)證就可以正常發(fā)送報文。為實現(xiàn)上述方法,本發(fā)明提供了一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證系 統(tǒng),包括認(rèn)證請求單元、中繼轉(zhuǎn)發(fā)單元、認(rèn)證單元;其中,認(rèn)證請求單元301,包括認(rèn)證觸發(fā)單元3011、信息交互單元3012;認(rèn)證觸發(fā)單元3011,用于向中繼轉(zhuǎn)發(fā)單元發(fā)送認(rèn)證開始報文,并根據(jù)中 繼轉(zhuǎn)發(fā)單元的請求向中繼轉(zhuǎn)發(fā)單元發(fā)送等待認(rèn)證的網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識;其 中,該用戶標(biāo)識通常為客戶端網(wǎng)絡(luò)設(shè)備的用戶名,但也可以是表明設(shè)備身份ID 的證書等;信息交互單元3012,用于與認(rèn)證單元進(jìn)行信息交互,通過中繼轉(zhuǎn)發(fā)單元 向認(rèn)證單元反饋加密質(zhì)詢信息,并接收認(rèn)證結(jié)果;其中,中繼轉(zhuǎn)發(fā)單元302.用于在接收到認(rèn)證請求才艮文后,向認(rèn)證觸發(fā)單 元請求獲取等待認(rèn)證的網(wǎng)絡(luò)設(shè)備用戶標(biāo)識,并將該用戶標(biāo)識與作為中繼轉(zhuǎn)發(fā)單 元的授權(quán)標(biāo)志 一起發(fā)送至認(rèn)證單元;其中,認(rèn)證單元303,包括解析單元3031、配置單元3032;解析單元3031,用于接收等待認(rèn)證的網(wǎng)絡(luò)設(shè)備用戶標(biāo)識,并在驗證接收 的授權(quán)標(biāo)志為合法標(biāo)志時,通過中繼轉(zhuǎn)發(fā)單元將加密質(zhì)詢信息發(fā)送至該用戶標(biāo) 識對應(yīng)的信息交互單元,當(dāng)信息交互單元通過中繼轉(zhuǎn)發(fā)單元反饋的加密信息為 合法的信息時,將認(rèn)證成功的結(jié)果發(fā)送至該信息交互單元與配置單元;配置單元3032,當(dāng)網(wǎng)絡(luò)設(shè)備認(rèn)證成功后,根據(jù)預(yù)置在服務(wù)器上的設(shè)備信 息,區(qū)分所認(rèn)證的設(shè)備是客戶終端還是網(wǎng)絡(luò)中間設(shè)備并對中間設(shè)備授權(quán)為中繼 設(shè)備或認(rèn)證者。
本發(fā)明提供一種中繼轉(zhuǎn)發(fā)裝置,包括數(shù)據(jù)接收單元、數(shù)據(jù)轉(zhuǎn)發(fā)單元、數(shù) 據(jù)存儲單元;數(shù)據(jù)接收單元401,用于接收認(rèn)證開始報文,并將獲取的用戶標(biāo)識發(fā)送給 數(shù)據(jù)轉(zhuǎn)發(fā)單元,接收加密質(zhì)詢信息并發(fā)送至數(shù)據(jù)轉(zhuǎn)發(fā)單元,接收授權(quán)標(biāo)志并發(fā) 送至數(shù)據(jù)存儲單元;數(shù)據(jù)存儲單元402,用于存儲作為中繼轉(zhuǎn)發(fā)裝置的授權(quán)標(biāo)志;數(shù)據(jù)轉(zhuǎn)發(fā)單元403,用于發(fā)送接收的認(rèn)證設(shè)備的用戶標(biāo)識與從數(shù)據(jù)存儲單 元獲取的授權(quán)標(biāo)志,以及發(fā)送接收到的加密質(zhì)詢信息。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā) 明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明 的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其特征在于,包括經(jīng)預(yù)配置開啟認(rèn)證功能的網(wǎng)絡(luò)設(shè)備向認(rèn)證者發(fā)送認(rèn)證開始報文;認(rèn)證者接收到認(rèn)證開始報文后,認(rèn)證服務(wù)器判斷是否收到認(rèn)證者的授權(quán)標(biāo)志,如果收到且驗證該授權(quán)標(biāo)志為合法時,對該網(wǎng)絡(luò)設(shè)備繼續(xù)認(rèn)證程序。
2、 根據(jù)權(quán)利要求1所述的基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其特征 在于,網(wǎng)絡(luò)設(shè)備周期性發(fā)起認(rèn)證開始報文。
3、 根據(jù)權(quán)利要求1所述的基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其特征 在于,認(rèn)證者接收到認(rèn)證開始報文后,進(jìn)一步包括認(rèn)證者獲取發(fā)送認(rèn)證開始報文的網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識并將該用戶標(biāo)識發(fā) 送給認(rèn)證服務(wù)器;該方法中,認(rèn)證服務(wù)器對接收到的認(rèn)證者的授權(quán)標(biāo)志驗證為合法后,繼續(xù) 的認(rèn)證程序包括認(rèn)證服務(wù)器通過認(rèn)證者向用戶標(biāo)識對應(yīng)的客戶端發(fā)送加密質(zhì)詢信息; 客戶端接收到加密質(zhì)詢信息后,通過認(rèn)證者向認(rèn)證服務(wù)器反饋加密質(zhì)詢信息;認(rèn)證服務(wù)器根據(jù)反饋信息對用戶進(jìn)行認(rèn)證,判斷用戶是否合法,如果是, 則該網(wǎng)絡(luò)設(shè)備認(rèn)證成功;如果否,則該網(wǎng)絡(luò)設(shè)備認(rèn)證失敗。
4、 根據(jù)權(quán)利要求3所述的基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法,特征在 于,該方法進(jìn)一步包括如果該網(wǎng)絡(luò)設(shè)備認(rèn)證成功,則認(rèn)證服務(wù)器根據(jù)預(yù)配置的信息判斷得到該網(wǎng) 絡(luò)設(shè)備是認(rèn)證服務(wù)器客戶端之間轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備;認(rèn)證服務(wù)器根據(jù)判斷結(jié)果授權(quán)該網(wǎng)絡(luò)設(shè)備為認(rèn)證者,該設(shè)備配置自身成為 認(rèn)證者需要使用的策略。
5、 根據(jù)權(quán)利要求3所述的基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法,特征在 于,該方法進(jìn)一步包括 如果該網(wǎng)絡(luò)設(shè)備認(rèn)證成功,則認(rèn)證服務(wù)器根據(jù)預(yù)配置的信息判斷得到該網(wǎng)絡(luò)設(shè)備為在認(rèn)證服務(wù)器與客戶端之間轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備;認(rèn)證服務(wù)器根據(jù)判斷結(jié)果授權(quán)該網(wǎng)絡(luò)設(shè)備為關(guān)閉認(rèn)證功能的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備。
6、 一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證系統(tǒng),其特征在于,包括認(rèn)證 請求單元、中繼轉(zhuǎn)發(fā)單元、認(rèn)證單元;認(rèn)證請求單元,包括認(rèn)證觸發(fā)單元,用于向中繼轉(zhuǎn)發(fā)單元發(fā)送認(rèn)證開始 報文;中繼轉(zhuǎn)發(fā)單元,用于在接收到認(rèn)證開始報文后,向認(rèn)證單元發(fā)送作為中繼 轉(zhuǎn)發(fā)設(shè)備的授權(quán)標(biāo)志;認(rèn)證單元,包括解析單元,用于當(dāng)驗證所接收的中繼設(shè)備的授權(quán)標(biāo)志為 合法時,對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證。
7、 根據(jù)權(quán)利要求6所述的基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證系統(tǒng),特征在于中繼轉(zhuǎn)發(fā)單元,用于在接收到認(rèn)證開始報文后,向觸發(fā)單元獲取網(wǎng)絡(luò)設(shè)備 的用戶標(biāo)識,并與中繼轉(zhuǎn)發(fā)設(shè)備的授權(quán)標(biāo)志一起發(fā)送至認(rèn)證單元;認(rèn)證請求單元,還包括信息交互單元,用于與認(rèn)證單元進(jìn)行信息交互, 通過中繼轉(zhuǎn)發(fā)單元向認(rèn)證單元反饋加密質(zhì)詢信息,并接收認(rèn)證結(jié)果;認(rèn)證單元包括解析單元,用于當(dāng)驗證所接收的中繼設(shè)備的授權(quán)標(biāo)志為合法 時,通過中繼轉(zhuǎn)發(fā)單元將加密質(zhì)詢信息發(fā)送至該用戶標(biāo)識對應(yīng)的信息交互單 元,當(dāng)信息交互單元反饋的加密信息為合法的信息時,將認(rèn)證成功的結(jié)果發(fā)送 至該信息交互單元。
8、 根據(jù)權(quán)利要求7所述的基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證系統(tǒng),特征在于解析單元,進(jìn)一步用于將認(rèn)證成功的結(jié)果發(fā)送至配置單元; 認(rèn)證單元還包括配置單元,當(dāng)接收到解析單元對網(wǎng)絡(luò)設(shè)備認(rèn)證成功的結(jié) 果后,根據(jù)預(yù)置在服務(wù)器上的設(shè)備信息,區(qū)分所認(rèn)證的設(shè)備是客戶終端還是網(wǎng) 絡(luò)中間設(shè)備并對中間設(shè)備授權(quán)為中繼設(shè)備或認(rèn)證者。
9、 一種中繼轉(zhuǎn)發(fā)裝置,其特征在于,包括數(shù)據(jù)接收單元、數(shù)據(jù)轉(zhuǎn)發(fā)單 元、數(shù)據(jù)存儲單元;數(shù)據(jù)接收單元,用于接收認(rèn)證開始報文,并將獲取的用戶標(biāo)識發(fā)送給數(shù)據(jù) 轉(zhuǎn)發(fā)單元,接收加密質(zhì)詢信息并發(fā)送至數(shù)據(jù)轉(zhuǎn)發(fā)單元,將接收的授權(quán)標(biāo)志發(fā)送 至數(shù)據(jù)存儲單元;數(shù)據(jù)存儲單元,用于存儲作為中繼轉(zhuǎn)發(fā)裝置的授權(quán)標(biāo)志;數(shù)據(jù)轉(zhuǎn)發(fā)單元,用于發(fā)送接收的認(rèn)證設(shè)備的用戶標(biāo)識與數(shù)據(jù)存儲單元的授 權(quán)標(biāo)志發(fā)送,以及發(fā)送接收到的加密質(zhì)詢信息。
全文摘要
本發(fā)明提供了涉及網(wǎng)絡(luò)通信領(lǐng)域的一種基于802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備認(rèn)證方法及系統(tǒng)及中繼轉(zhuǎn)發(fā)裝置,能夠?qū)尤刖W(wǎng)絡(luò)中的所有設(shè)備進(jìn)行認(rèn)證。利用該系統(tǒng),經(jīng)預(yù)配置開啟認(rèn)證功能的網(wǎng)絡(luò)設(shè)備向認(rèn)證者發(fā)送認(rèn)證開始報文;認(rèn)證者接收到認(rèn)證開始報文后,將該認(rèn)證者的授權(quán)標(biāo)志發(fā)送給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器驗證得到該授權(quán)標(biāo)志為合法,則對該網(wǎng)絡(luò)設(shè)備繼續(xù)認(rèn)證程序;該裝置包括用于接收數(shù)據(jù)的數(shù)據(jù)接收單元,用于存儲中繼轉(zhuǎn)發(fā)裝置授權(quán)標(biāo)志的存儲單元,用于轉(zhuǎn)發(fā)數(shù)據(jù)包括存儲單元中的授權(quán)標(biāo)志的數(shù)據(jù)轉(zhuǎn)發(fā)單元。利用本發(fā)明,能夠增強(qiáng)網(wǎng)絡(luò)的安全性,增強(qiáng)網(wǎng)絡(luò)設(shè)備的維護(hù)性,從而提升了網(wǎng)絡(luò)服務(wù)的質(zhì)量。
文檔編號H04L9/32GK101150406SQ20061015303
公開日2008年3月26日 申請日期2006年9月18日 優(yōu)先權(quán)日2006年9月18日
發(fā)明者管紅光 申請人:華為技術(shù)有限公司