專利名稱:用戶設備認證方法、認證設備和中繼設備的制作方法
技術領域:
本發(fā)明涉及數(shù)據(jù)網(wǎng)絡通信領域,尤其涉及一種用戶設備認證方法、認證設 備和中繼設備。
背景技術:
802.lx協(xié)議是基于Client (客戶端)/Server (服務器)的訪問控制和認證 協(xié)議,通過802.1x協(xié)議,可以限制未經(jīng)授權的用戶/設備通過接入端口 (access port )訪問局域網(wǎng)(Local Area Network,簡稱為LAN )LAN/無線局域網(wǎng)(Wireless Local Area Network ,簡稱為WLAN )。
802.1x為二層協(xié)議,用戶設備在獲得交換機或LAN提供的各種業(yè)務之前, 802.1x對連接到交換機端口上的用戶設備進行認證,并且,在認證通過之前, 802.lx只允許基于局域網(wǎng)的擴展認證協(xié)議(EAPoL )數(shù)據(jù)(例如認證協(xié)議報文) 通過設備連接的交換機端口;用戶設備認證成功后,正常的數(shù)據(jù)(例如數(shù)據(jù)報 文)可以順利地通過以太網(wǎng)端口。
目前,認證系統(tǒng)交換機通過用戶設備的介質訪問控制(Media Access Control,簡稱為MAC)地址進行認證。在實現(xiàn)過程中,對于同一端口的所有 用戶設備,認證系統(tǒng)交換機根據(jù)每一個用戶設備的MAC地址分別進行認證, 如果用戶設備的MAC地址為合法用戶,則確認該用戶設備認證成功。
但是,這種對同 一端口連接的每個用戶設備分別進行認證處理的方式會使 得認證過程被不必要的反復執(zhí)行,增加認證系統(tǒng)交換機的處理負荷,還會增加 網(wǎng)絡中傳輸?shù)恼J證信息量,占用網(wǎng)絡資源。
針對相關技術中由于執(zhí)行不必要的反復認證導致網(wǎng)絡資源浪費、認證系統(tǒng) 交換機的處理負荷大的問題,目前尚未提出有效的解決方案。
發(fā)明內容
針對相關技術中由于執(zhí)行不必要的反復認證導致網(wǎng)絡資源浪費、認證系統(tǒng) 交換機的處理負荷大的問題,本發(fā)明提出一種用戶設備認證方法,能夠節(jié)省認 證系統(tǒng)的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源。
針對相關技術中由于執(zhí)行不必要的反復認證導致網(wǎng)絡資源浪費、認證系統(tǒng) 交換機的處理負荷大的問題,本發(fā)明還提出一種認證設備,能夠節(jié)省認證系統(tǒng) 的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源。
針對相關技術中由于執(zhí)行不必要的反復認證導致網(wǎng)絡資源浪費、認證系統(tǒng) 交換機的處理負荷大的問題,本發(fā)明還提出一種中繼設備,能夠節(jié)省認證系統(tǒng) 的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源。
本發(fā)明的技術方案是這樣實現(xiàn)的 一種用戶設備認證方法,包括
認證設備確定出與端口相連接的任一用戶設備已經(jīng)認證成功; 所述認證設備將與所述端口相連接的除所述任一用戶設備之外的其他所
有用戶設備均設置為認證成功狀態(tài)。
其中,所述認證設備確定出與所述端口相連接的任一用戶設備已經(jīng)認證成
功的操作具體為
響應于經(jīng)所述端口傳輸?shù)臄?shù)據(jù)報文,所述認證設備查找與所述端口相連接 的所有用戶設備的狀態(tài)信息,如果該所有設備中的任一用戶設備處于認證成功 狀態(tài),則所述認證設備確定出與所迷端口相連接的任一用戶設備已經(jīng)認證成功。
優(yōu)選地,所述認證設備包括以下之一認證中繼交換機、認證系統(tǒng)交換機。 其中,所述認證中繼交換機上設置有信任端口,所述信任端口連接至可信 任的上游設備。
進一步地,還包括
所述認證中繼交換機將來自所有用戶設備的協(xié)議報文通過所述信任端口 發(fā)送給與所述信任端口相連接的上游設備。 一種^人證i殳備,包括 存儲器,用于保存用戶的狀態(tài)信息;
5確定模塊,用于通過所述存儲器中保存的狀態(tài)信息確定出與端口相連接的 任一用戶設備已經(jīng)認證成功;
配置模塊,用于在所述確定模塊確定出通過所述端口相連接的任一用戶設 備認證成功的情況下,將與所述端口相連接的其他所有用戶設備均設置為認證 成功狀態(tài)。
其中,所述認證設備為認證中繼交換機或認證系統(tǒng)交換機。
一種中繼設備,包括
信任端口 ,連接至位于所述中繼設備上游的可信任設備,用于將來自用戶 設備的協(xié)議報文通過所述信任端口發(fā)送給所述可信任設備。
借助本發(fā)明的上述技術方案,通過實現(xiàn)一個端口上的多個用戶 一次認證成 功后將該端口連接的全部用戶均設置為認證成功,能夠省去不必要的反復認 證,節(jié)省認證系統(tǒng)的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源。
圖1是根據(jù)本發(fā)明實施例的用戶設備認證方法的步驟流程圖; 圖2是根據(jù)本發(fā)明實施例的一個組網(wǎng)圖; 圖3是根據(jù)本發(fā)明實施例的另一個組網(wǎng)圖4是根據(jù)本發(fā)明實施例的用戶設備認證方法的詳細處理流程圖; 圖5是根據(jù)本發(fā)明實施例的基于信任端口的認證設備的協(xié)議認證過程流 程圖6是根據(jù)本發(fā)明實施例的認證設備的組成結構連接圖。
具體實施例方式
由于現(xiàn)有技術中認證系統(tǒng)交換機需要對每個用戶設備分別進行認證處理, 導致認證過程較為繁瑣,認證系統(tǒng)處理負荷大、認證信息的傳輸浪費網(wǎng)絡資源 的問題,本發(fā)明在802.1x協(xié)議基于用戶MAC地址的認證的基礎上,增加基于 端口的認證方式,如果此端口上已經(jīng)有一個用戶認證成功,則打開此端口上所 有用的訪問權限,允許該端口連接的所有用戶的數(shù)據(jù)報文通過端口 ,能夠將認 證處理轉移到交換機上進行,提高認證的效率,節(jié)省認證系統(tǒng)的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源。
圖1是根據(jù)本發(fā)明實施例的用戶設備認證方法的流程圖,如圖l所示,包
括以下處理
步驟S101,認證設備確定出與端口相連接的任一用戶設備已經(jīng)認證成功, 具體地,在認證設備經(jīng)該端口接收到數(shù)據(jù)報文時,認證設備會在其存儲器(例 如,認證設備的內存)中查找與該端口相連接的所有用戶設備的狀態(tài)信息,如 果該所有用戶設備中的任一用戶設備處于認證成功狀態(tài),則認證設備確定出與 端口相連接的任一用戶設備已經(jīng)認證成功,其中,認證設備可以包括以下之一 認證中繼交換機、認證系統(tǒng)交換機。
步驟S103,認證設備將與端口相連接的除任一用戶設備之外的其他所有 用戶設備均設置為認證成功狀態(tài),即,如果該端口上有一個用戶設備已經(jīng)認證 成功,則將該端口上所有用戶設備的訪問權限放開,允許該端口上所有用戶設 備上線。
由于現(xiàn)有的認證中繼交換機只是作為用戶設備和認證系統(tǒng)交換機之間的 轉發(fā)設備,并不對來自用戶的認證請求報文進行訪問控制處理。例如,對于 802.1x協(xié)議報文,認證中繼交換機接收來自用戶設備的802.1x協(xié)議報文后, 會將該802.lx協(xié)議報文廣播到認證系統(tǒng)交換機,由認證系統(tǒng)交換機對用戶進 行訪問控制處理。所以,如果認證中繼交換機要具備訪問控制處理功能,需要 在認證中繼交換機的存儲器(例如,認證中繼交換機的內存)中保存每個用戶 設備的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)中保存有用戶的狀態(tài)信息,例如用戶設備的認證成功狀 態(tài)信息。可以由認證系統(tǒng)交換機將每個用戶設備的數(shù)據(jù)區(qū)同步到認證中繼交換 機中,使得認證中繼交換機中可以保存用戶設備的狀態(tài)信息,增加了認證中繼 交換的用戶訪問控制功能。
如圖2所示,假設一個區(qū)域的多個用戶設備1、 2、 3(例如,可以是一個 學校的一個實驗室中的多臺電腦)與認證中繼交換機的同一個端口相連接,且 用戶設備1 、 2 、 3均可以經(jīng)過該端口向認證中繼交換機發(fā)起認證,如果用戶設 備l、 2、 3中的人一個設備發(fā)起的一次認證成功,所有的用戶設備均可以訪問 外網(wǎng),經(jīng)過該端口與網(wǎng)絡進行正常的數(shù)據(jù)交互,并且網(wǎng)絡側需要保證帳戶認證 的安全性,防止被盜取。下面結合圖3所示的系統(tǒng)組網(wǎng)圖和圖4所示的流程圖對用戶設備的認證方
法進行說明,假設圖3所示的認證系統(tǒng)交換機上存在3個接入端口 ,其中,接 入端口 2與多個用戶i殳備相連"^妄,如圖4所示,包>^以下處理
步驟S401,認證系統(tǒng)交換機經(jīng)接入端口 2接收到來自用戶設備1的數(shù)據(jù) 報文,該用戶設備l為與接入端口 2相連接的任一用戶設備。
步驟S402,在用戶i殳備接入之前,認證系統(tǒng)交換機選4奪端口認證的方式, 如果選擇MAC認證方式,進入步驟S403,如果選擇基于端口的認證方式,進 入到步驟S404。
步驟S403,按照現(xiàn)有技術方式,根據(jù)該用戶設備1的MAC地址對用戶設 備1進行認證。
步驟S404、認證系統(tǒng)交換機輪詢其內存中保存的用戶表,查看與接入端 口 2相連接的所有用戶設備的狀態(tài)信息。
步驟S405、認證系統(tǒng)交換機查看與接入端口 2相連接的所有用戶設備是 否存在已經(jīng)處于認證成功狀態(tài)的用戶設備,即,是否存在已經(jīng)認證成功的用戶 設備,如果存在已經(jīng)認證成功的用戶設備,進入步驟S406,否則進入步驟S407。
步驟S406,與接入端口 2相連接的用戶設備中存在認證通過的用戶設備, 認證系統(tǒng)交換機將與接入端口 2相連接的其他所有用戶設備(即,除用戶設備 1之外的所有用戶設備)的訪問權限放開,即,將與接入端口 2相連接的所有 用戶設備的狀態(tài)均設置為認證成功狀態(tài)。
步驟S407,與接入端口 2相連接的用戶設備中不存在認證通過的用戶設 備,則丟棄來自用戶設備1的數(shù)據(jù)報文。
本發(fā)明還提供一種中繼設備,該中繼設備上設置有信任端口,連接至位于 中繼設備上游的可信任設備,用于將來自用戶設備的協(xié)議報文通過該信任端口 發(fā)送給可信任設備。具體地,該中繼設備上設置有一個或多個信任端口,每個 信任端口連接至可信任的上游設備(即,可信任設備),用于將來自用戶設備 的協(xié)議報文通過信任端口發(fā)送給與該信任端口相連接的上游設備。例如< 對于 802.lx協(xié)議報文,可以基于增力口 802. lx協(xié)議的信任端口 ,即802.lx信任端口 , 這樣,如果中繼設備接收到802.1x協(xié)議報文,中繼設備會將該802.1x協(xié)議報 文經(jīng)802.lx信任端口發(fā)送給與該802.lx信任端口相連接的上游設備。
8這樣,對于增加信任端口的中繼設備,如果接收到協(xié)議報文,則只經(jīng)過信 任端口轉發(fā)該協(xié)議報文,且不會對非信任端口轉發(fā)。與現(xiàn)有技術中認證中繼交 換機不對用戶的訪問進行控制,向與該認證中繼交換機相連接的認證系統(tǒng)交換 機該廣播轉發(fā)802.1X協(xié)議報文的方式不同,解決了網(wǎng)絡上存在非法認證系統(tǒng) 服務器,給用戶的認證造成混亂的問題,這樣,合法用戶能夠認證成功,非法 用戶不能冒名使用合法用戶的帳戶進行認證,避免用戶利益的損失。
為了更好的對本發(fā)明進行說明,下面以認證中繼交換機為例進行說明,本 領域技術人員可知,對于具有中繼功能的設備,本發(fā)明同樣是可以實現(xiàn)的。
圖5是根據(jù)本發(fā)明實施例的基于信任端口的認證設備的協(xié)議認證過程流 程圖,可以結合圖2所示的系統(tǒng)組網(wǎng)圖對該過程進行說明,其中,認證中繼交 換機上配置有一個信任端口 A,且信任端口 A與可信任的認證系統(tǒng)交換機A 相連接,端口B不是信任端口,且端口 B與認證系統(tǒng)交換機B相連接,如圖 5所示,包括以下步驟
步驟S501 ,認證中繼交換機接收認證協(xié)議報文。
步驟S502,認證中繼交換機判斷該認證協(xié)議報文是否為來自用戶設備的 認證請求報文,如果為認證請求報文,進入到步驟S508,否則進入到步驟S503。
步驟S503,認證中繼交換機判斷該認證協(xié)議報文是否為來自認證系統(tǒng)交 換機的認證成功報文,如果為認證成功報文,進入到步驟S504,否則進入到 步驟S505。
步驟S504,如果協(xié)議報文為認證成功報文,則打開相應端口的訪問控制 權限,允許用戶的正常數(shù)據(jù)報文通過,并進入到步驟S507。
步驟S505,認證中繼交換機判斷該認證協(xié)議報文是否為來自認證系統(tǒng)交 換機的認證失敗報文,如果為認證失敗報文,進入到步驟S506,否則流程結 束。
步驟S506,如果協(xié)議報文為認證失敗報文,則保持相應用戶的訪問控制。 步驟S507,認證中繼交換機會保持報文的正常收發(fā)。 步驟S508,認證中繼交換機判斷其上是否存在信任端口,如果存在信任 端口,進入到步驟S509,否則,進入到步驟S510。
步驟S509,認證中繼交換機經(jīng)信任端口向與該信任端口相連接的認證系統(tǒng)交換機轉發(fā)該認證請求協(xié)議報文。例如,圖2所示的組網(wǎng)系統(tǒng),認證中繼交 換機會通過信任端口 A將認證請求協(xié)議報文發(fā)送給認證系統(tǒng)交換機A,而不 會將認證請求協(xié)議報文發(fā)送給認證系統(tǒng)交換機B。
步驟S510,認證中繼交換機上不存在信任端口 ,則將該認證請求協(xié)議報
文丟棄。
借助于上述處理,通過增加基于端口的認證方式,能夠將認證處理轉移到 交換機上進行,避免對同一端口用戶的重復認證,提高認證的效率,節(jié)省認證 系統(tǒng)的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源,并且解決了由于非法認 證系統(tǒng)服務器的存在給用戶的認證造成混亂的問題,能夠有效避免用戶利益受損。
圖6是根據(jù)本發(fā)明實施例一種認證設備的組成結構圖,如圖6所示,該裝 置包括
存儲器602,用于保存用戶的狀態(tài)信息;
確定模塊604,用于通過存儲器中保存的狀態(tài)信息確定出與端口相連接的 任一用戶設備已經(jīng)認證成功;
配置模塊606,用于在確定模塊確定出通過端口相連接的任一用戶設備認 證成功的情況下,將與端口相連接的其他所有用戶設備均設置為認證成功狀 態(tài)。
其中,該認證設備可以為認證中繼交換機,也可以為認證系統(tǒng)交換機。 在具體實現(xiàn)過程中,確定模塊604確定出與端口相連接的任一用戶設備已 經(jīng)認證成功,具體地,在經(jīng)該端口接收到數(shù)據(jù)報文時,確定模塊604會在存儲 器602 (例如,認證設備的內存)中查找與該端口相連接的所有用戶設備的狀 態(tài)信息,如果該所有用戶設備中的任一用戶設備處于認證成功狀態(tài),則確定模 塊604確定出與端口相連接的任一用戶設備已經(jīng)認證成功。之后,配置模塊 606將與端口相連接的其他所有用戶設備均設置為認證成功狀態(tài),即,如果該 端口上有一個用戶設備已經(jīng)認證成功,則將該端口上所有用戶設備的訪問權限 放開,允許該端口上所有用戶設備上線。
圖6是與前面方法對應的裝置,裝置的工作過程以及工作原理在方法部分 已經(jīng)進行了詳細描述,在此不再贅述,參照方法中相應部分的描述即可。
10綜上所述,借助于本發(fā)明的上述技術方案,通過增加基于端口的認證方式, 能夠將認證處理轉移到交換機上進行,避免對同一端口用戶的重復認證,提高 認證的效率,節(jié)省認證系統(tǒng)的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源, 并且解決了由于非法認證系統(tǒng)服務器的存在給用戶的認證造成混亂的問題,能 夠有效避免用戶利益受損。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā) 明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發(fā) 明的保護范圍之內。
權利要求
1.一種用戶設備認證方法,其特征在于,包括認證設備確定出與端口相連接的任一用戶設備已經(jīng)認證成功;所述認證設備將與所述端口相連接的除所述任一用戶設備之外的其他所有用戶設備均設置為認證成功狀態(tài)。
2. 根據(jù)權利要求1所述的方法,其特征在于,所述認證設備確定出與所 述端口相連接的任一用戶設備已經(jīng)認證成功的操作具體為響應于經(jīng)所述端口傳輸?shù)臄?shù)據(jù)報文,所述認證設備查找與所述端口相連接 的所有用戶設備的狀態(tài)信息,如果該所有設備中的任一用戶設備處于認證成功 狀態(tài),則所述認證設備確定出與所述端口相連接的任一用戶設備已經(jīng)認證成 功。
3. 根據(jù)權利要求1所述的方法,其特征在于,所述認證設備包括以下之 一認證中繼交換機、認證系統(tǒng)交換機。
4. 根據(jù)權利要求3所述的方法,其特征在于,所述認證中繼交換機上設 置有信任端口 ,所述信任端口連接至可信任的上游設備。
5. 根據(jù)權利要求4所述的方法,其特征在于,所述認證中繼交換機將來 自所有用戶設備的協(xié)議才艮文通過所述信任端口發(fā)送給與所述信任端口相連接 的上游設備。
6. —種認證設備,其特征在于,包括 存儲器,用于保存用戶的狀態(tài)信息;確定模塊,用于通過所述存儲器中保存的狀態(tài)信息確定出與端口相連接的 任一用戶設備已經(jīng)認證成功;配置模塊,用于在所述確定模塊確定出通過所述端口相連接的任一用戶設 備認證成功的情況下,將與所述端口相連接的其他所有用戶設備均設置為認證 成功狀態(tài)。
7. 根據(jù)權利要求6所述的認證設備,其特征在于,所述認證設備為認證 中繼交換機或認證系統(tǒng)交換才幾。
8. 根據(jù)權利要求7所述的認證設備,其特征在于,如果所述認證設備為認證中繼交換機,則所述認證設備還包括信任端口,其中,所述信任端口連接 至位于所述認證設備上游的可信任設備,用于將來自用戶設備的協(xié)議報文通過 所述信任端口發(fā)送給所述可信任設備。
9. 一種中繼設備,其特征在于,包括信任端口,連接至位于所述中繼設備上游的可信任設備,用于將來自用戶 設備的協(xié)議報文通過所述信任端口發(fā)送給所述可信任設備。
全文摘要
本發(fā)明公開了一種用戶設備認證方法、認證設備和中繼設備,其中,該方法包括認證設備確定出與端口相連接的任一用戶設備已經(jīng)認證成功;認證設備將與端口相連接的其他所有用戶設備均設置為認證成功狀態(tài)。通過使用本發(fā)明,能夠通過增加基于端口的認證方式,能夠將認證處理轉移到交換機上進行,避免對同一端口用戶的重復認證,提高認證的效率,節(jié)省認證系統(tǒng)的處理資源,提高認證處理效率,節(jié)省網(wǎng)絡資源。
文檔編號H04L29/06GK101662473SQ200910174139
公開日2010年3月3日 申請日期2009年9月30日 優(yōu)先權日2009年9月30日
發(fā)明者菲 宋 申請人:中興通訊股份有限公司