專利名稱:一種安全通道建立方法與裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種安全通道建立方法與裝置。
背景技術(shù):
IEEE802.1x協(xié)議標(biāo)準(zhǔn)是美國電氣電子工程師學(xué)會(Institute of Electrical and Electronic Engineers,簡稱IEEE)802委員會制定的局域網(wǎng)(Local Area Network, 簡稱LAN)標(biāo)準(zhǔn)中的一個(gè)。對于一個(gè)部署了 802.1x認(rèn)i正的LAN,當(dāng)用戶(如個(gè) 人電腦等)接入到LAN中時(shí),需要通過802.1x認(rèn)證,未經(jīng)過認(rèn)證的用戶將無 法接入到LAN中。
隨著用戶進(jìn)行802.1x認(rèn)證,接入交換機(jī)上會建立一個(gè)用于檢測報(bào)文合法性 的報(bào)文特征數(shù)據(jù)庫;該數(shù)據(jù)庫由一系列的特征條目構(gòu)成的,每一個(gè)特征條目包 括匹配內(nèi)容和匹配動作兩個(gè)部分,動作為permit表示允許才艮文通過,動作為 deny表示阻斷纟艮文通過并將其丟棄。
IEEE802.1x協(xié)議廣泛用于網(wǎng)絡(luò)用戶的接入認(rèn)證中,其典型應(yīng)用拓樸如圖1 所示。認(rèn)i正過程如下
用戶開起用戶終端(個(gè)人PC)之后,按照如下步驟進(jìn)行802.1x認(rèn)證
1 )首先打開客戶端軟件進(jìn)行802. lx認(rèn)證,802.lx客戶端通過報(bào)文與交換 機(jī)和認(rèn)證服務(wù)器(Radius服務(wù)器)交互;
2) 接入層設(shè)備交換機(jī)收到用戶的認(rèn)證請求之后,將該請求轉(zhuǎn)發(fā)給認(rèn)證服
務(wù)器;
3) 如果認(rèn)證通過,認(rèn)證服務(wù)器將認(rèn)證結(jié)果發(fā)送給交換機(jī),交換機(jī)將認(rèn)證結(jié)果轉(zhuǎn)發(fā)給PC,同時(shí)打開PC和外界的通路; 4 ) PC通過認(rèn)證,可以訪問網(wǎng)絡(luò)。
這里,PC上聯(lián)的交換機(jī)端口為受控口 ,也就是,該端口必須通過802.lx 認(rèn)證的用戶才能通過,而非受控口是交換機(jī)和上層設(shè)備相連的口,允許所有報(bào) 文通過。
交換機(jī)都具備地址學(xué)習(xí)能力,交換機(jī)之所以能夠直接對目的節(jié)點(diǎn)發(fā)送數(shù)據(jù) 包,而不是像集線器一樣以廣播方式對所有節(jié)點(diǎn)發(fā)送數(shù)據(jù)包,最關(guān)鍵的技術(shù)就 是交換機(jī)可以識別連在網(wǎng)絡(luò)上的節(jié)點(diǎn)的網(wǎng)卡MAC地址,并把它們放到一個(gè)叫 做MAC地址表的地方。這個(gè)MAC地址表存放于交換機(jī)的緩存中,并記住這 些地址,這樣一來當(dāng)需要向目的地址發(fā)送數(shù)據(jù)時(shí),交換機(jī)就可在MAC地址表 中查找這個(gè)MAC地址的節(jié)點(diǎn)位置,然后直接向這個(gè)位置的節(jié)點(diǎn)發(fā)送。交換機(jī) 是通過地址學(xué)習(xí)的方式來增強(qiáng)這個(gè)地址表功能的,學(xué)習(xí)方式如下(l)當(dāng)交換機(jī) 從某個(gè)端口收到一個(gè)數(shù)據(jù)包,它先讀取包頭中的源MAC地址,這樣它就知道 源MAC地址的機(jī)器是連在哪個(gè)端口上的;(2)再去讀取包頭中的目的MAC地 址,并在地址表中查找相應(yīng)的端口;(3)如表中有與這目的MAC地址對應(yīng)的端 口,把數(shù)據(jù)包直接復(fù)制到這端口上;(4)如表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣 播到所有端口上,當(dāng)目的機(jī)器對源機(jī)器回應(yīng)時(shí),交換機(jī)又可以學(xué)習(xí)一目的MAC 地址與哪個(gè)端口對應(yīng),在下次傳送數(shù)據(jù)時(shí)就不再需要對所有端口進(jìn)行廣播了 。 不斷的循環(huán)這個(gè)過程,對于全網(wǎng)的MAC地址信息都可以學(xué)習(xí)到,交換機(jī)就是 這樣建立和維護(hù)它自己的地址表。
而在802.1x認(rèn)證的環(huán)境下,為了控制某端口的用戶訪問,會采用關(guān)閉地址 學(xué)習(xí)的方式,在交換機(jī)端口關(guān)閉地址學(xué)習(xí)的時(shí)候,除802.1x的協(xié)議報(bào)文和合法 用戶報(bào)文(合法用戶通過802.1x的認(rèn)證后,會在端口上強(qiáng)制添加靜態(tài)地址),其
交換機(jī)軟件進(jìn)行處理。
認(rèn)證服務(wù)器,在認(rèn)證過程中與認(rèn)證者配合,為用戶提供認(rèn)證服務(wù)。認(rèn)證服
務(wù)器保存了用戶名及密碼,以及相應(yīng)的授權(quán)信息, 一臺服務(wù)器可以對多臺認(rèn)證 者提供認(rèn)證服務(wù),這樣就可以實(shí)現(xiàn)對用戶的集中管理。認(rèn)證服務(wù)器還負(fù)責(zé)管理 從認(rèn)證者發(fā)來的記帳數(shù)據(jù)。
接入層設(shè)備向下接入用戶終端,在接入層設(shè)備上開啟802.1x功能之后,只 有通過認(rèn)證的用戶的數(shù)據(jù)流才能通過接入層交換機(jī)、才能訪問網(wǎng)絡(luò)。在此基礎(chǔ) 上802.1x的授權(quán)功能也應(yīng)用廣泛,可以授權(quán)用戶使用哪些服務(wù),控制合法用戶 的權(quán)限,控制用戶可使用的帶寬。最常用的授權(quán)方式是在用戶認(rèn)證的同時(shí)給用 戶下發(fā)固定的IP地址,這樣整個(gè)網(wǎng)絡(luò)的IP地址分配就能集中到認(rèn)證服務(wù)器上 統(tǒng)一配置,并且綁定了每一個(gè)用戶使用的MAC和IP地址,避免用戶私自修改 IP地址造成網(wǎng)絡(luò)中IP地址沖突的情況。
但是,上述應(yīng)用中也存在一些問題。在一些特殊情況下,未認(rèn)證的數(shù)據(jù)流 需要通過交換機(jī)去訪問網(wǎng)絡(luò),但是這些數(shù)據(jù)流卻被阻斷了,因?yàn)榇藭r(shí)的地址學(xué) 習(xí)被關(guān)閉。例如, 一些管理員或者特權(quán)用戶也接在開啟了 802.1 x的交換機(jī)下面, 他們需要不通過認(rèn)證就直接訪問網(wǎng)絡(luò);還有一種情況,就是當(dāng)大量普通用戶沒 有認(rèn)證的時(shí)候,網(wǎng)絡(luò)管理者希望它們能夠去訪問一個(gè)特殊的網(wǎng)段、 一個(gè)特殊的 服務(wù)器以便獲取IP地址,或訪問防病毒服務(wù)器進(jìn)行病毒庫升級等,原來的設(shè) 計(jì)就不能滿足這種需求。
安全接入控制(Access Control,簡稱ACL)并不能滿足需求,因?yàn)楫?dāng)受 控口地址學(xué)習(xí)被關(guān)閉時(shí),安全ACL允許通過的報(bào)文也由于受控端口不轉(zhuǎn)發(fā)、 不學(xué)習(xí)地址和不送到交換機(jī)軟件進(jìn)行處理的原因被丟棄。在報(bào)文轉(zhuǎn)發(fā)的處理邏 輯過程中,地址學(xué)習(xí)的處理先于安全ACL的控制。同時(shí),由于安全ACL攜帶 有默認(rèn)行為,在用戶配置之后會加上拒絕所有報(bào)文通過的過濾項(xiàng)(基于IP的就 是拒絕所有IP報(bào)文,如果優(yōu)先級高于802.1x的報(bào)文特征數(shù)據(jù)庫,那么會使得 802.1x的iU正通過用戶仍然無法訪問相應(yīng)資源
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種安全通道建立方法與裝置,用以允許沒有通過安全 檢測但又需要設(shè)定訪問網(wǎng)絡(luò)的數(shù)據(jù)流通過端口 。
一種安全通道建立方法,該方法包4舌 在報(bào)文特征數(shù)據(jù)庫中加入安全通道信息;
當(dāng)接收報(bào)文信息匹配所述安全通道信息時(shí),允許所述報(bào)文通過端口 。 一種安全通道建立裝置,該裝置包括安全通道建立單元與匹配單元,其中, 所述安全通道建立單元,用于在報(bào)文特征數(shù)據(jù)庫中加入安全通道信息; 所述匹配單元,用于將接收報(bào)文信息匹配所述安全通道信息,當(dāng)接收報(bào)文 信息匹配所述安全通道信息時(shí),允許所述^J:通過端口 。
本發(fā)明實(shí)施例通過在報(bào)文特殊數(shù)據(jù)庫中加入安全通道信息;當(dāng)接收報(bào)文信 息匹配所述安全通道信息時(shí),允許所述報(bào)文通過端口。本發(fā)明實(shí)施例提供的方 案,可以方便地處理802.1x安全認(rèn)證機(jī)制中的特殊情況,允許不需要認(rèn)證的特 殊數(shù)據(jù)流訪問網(wǎng)絡(luò);并且可以針對不同的特殊數(shù)據(jù)流進(jìn)行靈活的配置。進(jìn)一步 的,可以根據(jù)應(yīng)用需要方便地配置各種特殊數(shù)據(jù)流通道,例如,訪問服務(wù)器下 栽認(rèn)證客戶端、方便地控制特殊用戶的上網(wǎng)權(quán)限、訪問服務(wù)器上放置的上網(wǎng)認(rèn) 證指南等,或在特殊的情況下開辟數(shù)據(jù)通路給特殊用戶使用。
圖1為現(xiàn)有技術(shù)IEEE802.1x協(xié)議認(rèn)證網(wǎng)絡(luò)結(jié)構(gòu)示意圖; 圖2為本發(fā)明實(shí)施例的主要實(shí)現(xiàn)原理流程圖; 圖3為IEEE802.1x協(xié)議認(rèn)證報(bào)文特征數(shù)據(jù)庫結(jié)構(gòu)示意圖; 圖4為本發(fā)明實(shí)施例提供的加入安全通道信息的IEEE802.1x協(xié)議認(rèn)證報(bào) 文特征數(shù)據(jù)庫結(jié)構(gòu)示意圖5為本發(fā)明實(shí)施例提供裝置的結(jié)構(gòu)示意圖之一; 圖6為本發(fā)明實(shí)施例提供裝置的結(jié)構(gòu)示意圖之二。
具體實(shí)施例方式
本發(fā)明實(shí)施例在802.1x等功能應(yīng)用的基礎(chǔ)上,提供一個(gè)數(shù)據(jù)通路,以使沒 有通過安全檢測但又需要訪問網(wǎng)絡(luò)的數(shù)據(jù)流可以通過交換機(jī)端口 。
本發(fā)明所指的安全通道,是在802.1x認(rèn)證的應(yīng)用環(huán)境下,使得未經(jīng)認(rèn)證或 認(rèn)證未通過的普通用戶可以訪問特定的網(wǎng)絡(luò)資源(服務(wù)器等)或無需認(rèn)證的特權(quán) 用戶可以訪問任意網(wǎng)絡(luò)資源,也就是允許未經(jīng)認(rèn)證的報(bào)文通過交換機(jī)到達(dá)特定 的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)設(shè)備。
本發(fā)明實(shí)施例所指的特權(quán)用戶是指網(wǎng)絡(luò)管理員或者一些特別的用戶,在啟 用了 802.1x的網(wǎng)絡(luò)中,這些特權(quán)用戶不用通過認(rèn)證即可訪問網(wǎng)絡(luò)資源。本發(fā)明 實(shí)施例所指的特殊網(wǎng)絡(luò)是指由網(wǎng)絡(luò)管理員指定的具有固定IP標(biāo)識的任意一臺 網(wǎng)絡(luò)設(shè)備或任意一個(gè)網(wǎng)絡(luò)。報(bào)文特征數(shù)據(jù)庫允許訪問特殊網(wǎng)絡(luò)的數(shù)據(jù)流通過交 換機(jī)。
下面結(jié)合各個(gè)附圖對本發(fā)明實(shí)施例技術(shù)方案的主要實(shí)現(xiàn)原理、具體實(shí)施方 式及其對應(yīng)能夠達(dá)到的有益效果進(jìn)行詳細(xì)的闡述。
如圖2所示,本發(fā)明實(shí)施例1的主要實(shí)現(xiàn)原理流程如下
步驟ll,在報(bào)文特征數(shù)據(jù)庫中加入安全通道信息。 本發(fā)明實(shí)施例提供的安全通道建立方法與裝置基于802.1x認(rèn)證系統(tǒng)中。在 802.1x認(rèn)證過程中,交換機(jī)會把用戶的sipl+smacl(sipl代表用戶1的源ip地 址,smacl代表用戶1的源mac地址,下同)信息綁定在和用戶終端直接或間接 相連的端口上,同時(shí)要添加該用戶的靜態(tài)MAC地址到端口。也就是說,從該 端口進(jìn)入交換機(jī)的IP報(bào)文都會進(jìn)行基于內(nèi)容的檢查,先檢查在地址表中是否 有該用戶的smac即smacl,再才全查smac為smacl的IP才艮文只有當(dāng)其sip為sipl 時(shí)才能通過,sip為sipl的IP才艮文只有其smac地址為smacl的時(shí)候才能通過 交換機(jī)。
隨著多用戶的認(rèn)證,在交換機(jī)的該端口下就會建立一個(gè)報(bào)文特征數(shù)據(jù)庫, 如圖3所示,其中,每一個(gè)用戶都對應(yīng)才艮文特征數(shù)據(jù)庫中一個(gè)動作為通行證(permit)的凈爭4正條目。
將安全通道信息加入報(bào)文特征數(shù)據(jù)庫中,作為報(bào)文特征數(shù)據(jù)庫的一條或多 條記錄。安全通道信息的內(nèi)容與報(bào)文特征數(shù)據(jù)庫中的其它每一條信息類似,包 括允許通過的才艮文所述用戶終端的源IP地址、目的IP地址、源MAC地址和/ 或目的MAC地址等信息。
本實(shí)施例中,安全通道信息可以位于報(bào)文特征數(shù)據(jù)庫的最上方,每個(gè)接收 到的報(bào)文優(yōu)先匹配安全通道信息。
步驟12,當(dāng)接收才艮文信息匹配所述安全通道信息時(shí),允許所述才艮文通過端口 。
報(bào)文從與用戶終端相連的端口進(jìn)入交換機(jī)之后,交換機(jī)會根據(jù)其內(nèi)容提取 出每一個(gè)報(bào)文的smac、 dmac、 sip、 dip等特征,然后根據(jù)這些特征去逐條查找 交換機(jī)上報(bào)文特征數(shù)據(jù)庫的特征條目,如果內(nèi)容匹配了某條特征且其策略為 permit則允許通過,如果其策略為拒絕(deny)則報(bào)文被丟棄。
當(dāng)報(bào)文信息匹配安全通道信息時(shí),會用報(bào)文信息中的源IP地址、目的IP 地址、源MAC地址和/或目的MAC地址,分別匹配安全通道信息中的允許通 過才艮文的源IP地址、目的IP地址、源MAC地址和/或目的MAC地址,如果 可以匹配,則允許l艮文通過交換機(jī)端口,從而到達(dá)預(yù)先設(shè)定的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò) 設(shè)備,也即特殊網(wǎng)絡(luò);否則,繼續(xù)匹配報(bào)文特征數(shù)據(jù)庫中的其它信息。
這里的特殊網(wǎng)絡(luò)(網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)設(shè)備)是預(yù)先設(shè)定的,網(wǎng)絡(luò)管理員根據(jù) 需求,分別設(shè)定不同的特殊網(wǎng)絡(luò),用以針對不同的特殊用戶,例如,可以開放 一部分網(wǎng)絡(luò)資源,在用戶未獲認(rèn)證的時(shí)候即可訪問或者下載用戶認(rèn)證客戶端; 用戶可以在網(wǎng)絡(luò)欠費(fèi)時(shí),仍然可以訪問查詢欠費(fèi)信息。
特別的,可以將安全通道信息分為特權(quán)用戶信息和特殊網(wǎng)絡(luò)信息。特權(quán)用 戶是那些不需要認(rèn)證即可訪問所有網(wǎng)絡(luò)資源的用戶,當(dāng)然,也可以只允許特權(quán) 用戶訪問設(shè)定的部分網(wǎng)絡(luò)資源。特珠網(wǎng)絡(luò)信息用于匹配那些未認(rèn)證的用戶報(bào) 文,可以設(shè)定特殊網(wǎng)絡(luò)給這些用戶訪問。
如圖4所示,為在報(bào)文特征數(shù)據(jù)庫中添加了安全通道信息的示意圖,其中
的安全通道信息分為特權(quán)用戶和特殊網(wǎng)絡(luò)兩種。在802.1x認(rèn)證過程中創(chuàng)建的報(bào) 文特征數(shù)據(jù)庫中添加符合特殊規(guī)則的特征條目,這些特征條目位于認(rèn)證過程中 創(chuàng)建的特征條目之上,以確保其優(yōu)先發(fā)揮作用。當(dāng)受控端口上打開安全通道后, 安全通道會通告802.1x模塊打開受控口的地址學(xué)習(xí)能力,不使用地址學(xué)習(xí)能力 來阻斷未認(rèn)證用戶,而使用報(bào)文特征數(shù)據(jù)庫統(tǒng)一處理,這樣,未認(rèn)證用戶就僅 能訪問安全通道開放的資源。報(bào)文流入交換機(jī)后,只要符合這些匹配特征項(xiàng), 那么就允許該類報(bào)文通過,這樣就能達(dá)到允許特權(quán)用戶不認(rèn)證即可上網(wǎng)、允許 未認(rèn)證用戶訪問特殊網(wǎng)絡(luò)以進(jìn)行軟件升級等目的。圖4中,在報(bào)文特征數(shù)據(jù)庫 最前面增加了 Permit特殊用戶和Permit特殊網(wǎng)絡(luò)這兩條策略,讓特殊用戶無 需認(rèn)證即可正常訪問網(wǎng)絡(luò)資源,同時(shí)保證普通用戶在未認(rèn)證時(shí),僅能訪問特殊 網(wǎng)絡(luò)資源。
在增加了安全通道后,802.1x認(rèn)證的應(yīng)用的模型可以如下用戶終端連接 網(wǎng)絡(luò)之后,按照如下步驟進(jìn)行802.lx認(rèn)證或訪問網(wǎng)絡(luò)
用戶通過安全通道,訪問開放的網(wǎng)絡(luò)資源,可以了解上網(wǎng)的相關(guān)配置/信息, 并下載認(rèn)證客戶端,或者用戶可以在網(wǎng)絡(luò)欠費(fèi)時(shí),仍然可以訪問查詢欠費(fèi)信息;
如果用戶被授權(quán)訪問網(wǎng)絡(luò),那么打開客戶端軟件進(jìn)行802.1x認(rèn)證,802.1x 客戶端通過報(bào)文與交換機(jī)和Radius服務(wù)器交互;
接入層設(shè)備交換機(jī)收到用戶的認(rèn)證請求之后,將該請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)
器;
服務(wù)器將認(rèn)證結(jié)果發(fā)送給交換機(jī),交換機(jī)將認(rèn)證結(jié)果轉(zhuǎn)發(fā)給PC,同時(shí)打 開PC和外界的通路;
用戶通過認(rèn)證,可以正常訪問網(wǎng)絡(luò)。
相應(yīng)的,如圖5所示,本發(fā)明實(shí)施例還提供一種安全通道建立裝置,包括 安全通道建立單元21與匹配單元22,具體如下
安全通道建立單元21 ,用于在報(bào)文特征數(shù)據(jù)庫中加入安全通道信息;本實(shí)施例中,安全通道信息可以位于報(bào)文特征數(shù)據(jù)庫的最上方,每個(gè)接收 到的報(bào)文優(yōu)先匹配安全通道信息。將安全通道信息加入報(bào)文特征數(shù)據(jù)庫中,作 為報(bào)文特征數(shù)據(jù)庫的一條或多條記錄。安全通道信息的內(nèi)容與報(bào)文特征數(shù)據(jù)庫 中的其它每一條信息類似,包括允許通過的報(bào)文所述用戶終端的源IP地址、
目的IP地址、源MAC地址和/或目的MAC地址等信息。
匹配單元22,用于將接收報(bào)文信息匹配所述安全通道信息,當(dāng)接收報(bào)文信 息匹配所述安全通道信息時(shí),允許所述"t艮文通過端口 。
報(bào)文從與用戶終端相連的端口進(jìn)入交換機(jī)之后,交換機(jī)會根據(jù)其內(nèi)容提取 出每一個(gè)報(bào)文的smac、 dmac、 sip、 dip等特征,然后根據(jù)這些特征去逐條查找 交換機(jī)上報(bào)文特征數(shù)據(jù)庫的特征條目,如果內(nèi)容匹配了某條特征且其策略為 permit則允許通過,如果其策略為拒絕(deny)則報(bào)文被丟棄。
較佳地,如圖6所示,上述裝置進(jìn)一步包括安全通道設(shè)定單元23,用于設(shè) 定安全通道信息。匹配單元22在報(bào)文信息匹配相應(yīng)的安全通道信息后,允許 報(bào)文通過端口發(fā)往設(shè)定的特殊網(wǎng)絡(luò)。
網(wǎng)絡(luò)管理員根據(jù)需求,分別設(shè)定不同的特殊網(wǎng)絡(luò),用以針對不同的特殊用 戶,例如,可以開放一部分網(wǎng)絡(luò)資源,在用戶未獲認(rèn)證的時(shí)候即可訪問或者下 載用戶認(rèn)證客戶端;用戶可以在網(wǎng)絡(luò)欠費(fèi)時(shí),仍然可以訪問查詢欠費(fèi)信息。
特別的,可以將安全通道信息分為特權(quán)用戶信息和特殊網(wǎng)絡(luò)信息。特權(quán)用 戶是那些不需要認(rèn)證即可訪問所有網(wǎng)絡(luò)資源的用戶,當(dāng)然,也可以只允許特權(quán) 用戶訪問設(shè)定的部分網(wǎng)絡(luò)資源。特殊網(wǎng)絡(luò)信息用于匹配那些未認(rèn)證的普通用戶 報(bào)文,可以設(shè)定特殊網(wǎng)絡(luò)給這些用戶訪問。
本發(fā)明實(shí)施例提供的方案,可以方便地處理802.1x安全認(rèn)證機(jī)制中的特殊 情況,允許不需要認(rèn)證的特殊數(shù)據(jù)流訪問網(wǎng)絡(luò);并且可以針對不同的特殊數(shù)據(jù) 流進(jìn)行靈活的配置。進(jìn)一步的,可以根據(jù)應(yīng)用需要方便地配置各種特殊數(shù)據(jù)流 通道,例如,訪問服務(wù)器下載認(rèn)證客戶端、方便地控制特殊用戶的上網(wǎng)權(quán)限、 訪問服務(wù)器上放置的上網(wǎng)認(rèn)證指南等,或在特殊的情況下開辟數(shù)據(jù)通路給特殊
用戶使用。
明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1、一種安全通道建立方法,其特征在于,該方法包括在報(bào)文特征數(shù)據(jù)庫中加入安全通道信息;當(dāng)接收報(bào)文信息匹配所述安全通道信息時(shí),允許所述報(bào)文通過端口。
2、 如權(quán)利要求1所述的方法,其特征在于,所述安全通道信息包括允許 通過才艮文的源IP地址和/或目的IP地址;所述接收報(bào)文信息匹配所述安全通道信息,包括將接收報(bào)文的源IP地址 和/或目的IP地址,分別匹配所述安全通道信息中的允許通過才艮文的源IP地址 和/或目的IP地i址。
3、 如權(quán)利要求1或2所述的方法,其特征在于,所述安全通道信息包括 允許通過^艮文的源MAC地址和/或目的MAC地址;所述接收報(bào)文信息匹配所述安全通道信息,包括將接收報(bào)文的源MAC地 址和/或目的MAC地址,分別匹配所述安全通道信息中的允許通過才艮文的源 MAC地址和/或目的MAC地址。
4、 如權(quán)利要求3所述的方法,其特征在于,該方法進(jìn)一步包括 所述安全通道信息為預(yù)先設(shè)定,并根據(jù)需要調(diào)整。
5、 如權(quán)利要求l所述的方法,其特征在于,所述允許所述報(bào)文通過端口 , 包括允許所述報(bào)文所屬的用戶通過端口訪問預(yù)先設(shè)定的特殊網(wǎng)絡(luò)。
6、 如權(quán)利要求l所述的方法,其特征在于,包括
7、 如權(quán)利要求l、 2、 4 6任一所述的方法,其特征在于,包括 所述安全通道信息位于所述報(bào)文特征數(shù)據(jù)庫的最上方,所述接收到的報(bào)文信息優(yōu)先匹配所述安全通道信息。
8、 一種安全通道建立裝置,其特征在于,該裝置包括安全通道建立單元 與匹配單元,其中,所述安全通道建立單元,用于在報(bào)文特征數(shù)據(jù)庫中加入安全通道信息;所述匹配單元,用于將接收報(bào)文信息匹配所述安全通道信息,當(dāng)接收報(bào)文 信息匹配所述安全通道信息時(shí),允許所述報(bào)文通過端口。
9、如權(quán)利要求8所述的裝置,其特征在于,所述裝置進(jìn)一步包括安全通 道設(shè)定單元,用于設(shè)定與調(diào)整所述安全通道信息。
全文摘要
本發(fā)明公開了一種安全通道建立方法與裝置,通過在報(bào)文特殊數(shù)據(jù)庫中加入安全通道信息;當(dāng)接收報(bào)文信息匹配所述安全通道信息時(shí),允許所述報(bào)文通過端口。本發(fā)明實(shí)施例提供的方案,可以方便地處理802.1x安全認(rèn)證機(jī)制中的特殊情況,允許不需要認(rèn)證的特殊數(shù)據(jù)流訪問網(wǎng)絡(luò);并且可以針對不同的特殊數(shù)據(jù)流進(jìn)行靈活的配置。進(jìn)一步的,可以根據(jù)應(yīng)用需要方便地配置各種特殊數(shù)據(jù)流通道,例如,訪問服務(wù)器下載認(rèn)證客戶端、方便地控制特殊用戶的上網(wǎng)權(quán)限、訪問服務(wù)器上放置的上網(wǎng)認(rèn)證指南等,或在特殊的情況下開辟數(shù)據(jù)通路給特殊用戶使用。
文檔編號H04L29/12GK101340367SQ20081011382
公開日2009年1月7日 申請日期2008年5月30日 優(yōu)先權(quán)日2008年5月30日
發(fā)明者峻 林 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司