專利名稱:跨設(shè)備進行802.1x認證的方法及接入設(shè)備、接入控制設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認證技術(shù)領(lǐng)域����,具體涉及跨設(shè)備進行802. IX認證的方法及接入設(shè)備、 接入控制設(shè)備�����。
背景技術(shù):
電氣電子工程師協(xié)會(IEEE, Institute of Electrical and ElectronicsEngineers) 802 Jwj M / Γ ^ M (LAN/WAN, Local Area Network/Wide AreaNetwork)委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題��,提出了 802. IX協(xié)議�。后來,802. IX 協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應(yīng)用�,主要解決以太網(wǎng)內(nèi)認證和安全方面的問題。802. IX協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議���?���!盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證���,就可以訪問局域網(wǎng)中的資源����;如果不能通過認證�,則無法訪問局域網(wǎng)中的資源。802. IX系統(tǒng)為典型的客戶端/服務(wù)器結(jié)構(gòu)����,圖1給出了 802. IX系統(tǒng)的體系結(jié)構(gòu)圖,如圖1所示����,包括三個實體客戶端(Client)、設(shè)備端(Device)和認證服務(wù)器 (Server)�,其中客戶端是位于局域網(wǎng)段一端的一個實體,由該鏈路另一端的實體對其進行認證���。 客戶端一般為一個用戶終端設(shè)備�����,用戶可以通過啟動客戶端軟件發(fā)起802. IX認證。客戶端必須支持局域網(wǎng)上的可擴展認證協(xié)議(EAPOL���,Extensible Authentication Protocol over LAN)�。設(shè)備端是位于局域網(wǎng)段一端的另一個實體�,對所連接的客戶端進行認證。設(shè)備端通常為支持802. IX協(xié)議的網(wǎng)絡(luò)設(shè)備�,它為客戶端提供接入局域網(wǎng)的端口,該端口可以是物理端口�����,也可以是邏輯端口��。認證服務(wù)器是為設(shè)備端提供認證服務(wù)的實體��。認證服務(wù)器用于實現(xiàn)對用戶進行認證�、授權(quán)和計費,通常為遠程認證撥號用戶服務(wù)(RADIUS�����,RemoteAuthentication Dial-In User Service)服務(wù)器��。在一般的使用環(huán)境中�,客戶端與設(shè)備端必須是直接連接的���。但是,在某些組網(wǎng)環(huán)境下���,客戶端與設(shè)備端可能不能直接相連��,如圖2所示�,接入點(AP�����,Access Port)與客戶端直接建立物理WLAN連接��,但是對于802. IX系統(tǒng)來說�����,邏輯上接入控制器(AC�����,Access Controller)是與客戶端直接相連的設(shè)備����,但是根據(jù)組網(wǎng)需要����,用戶希望由寬帶遠程接入服務(wù)器(BRAS, BroadbandRemote Access Server)統(tǒng)一管理用戶的認證和接入�,此時802. IX 認證就需要跨越AC�,然后與BRAS進行802. IX認證交互。目前���,當(dāng)用戶需要跨設(shè)備與BRAS進行802. IX認證時����,通常有如下解決方案方案一 AC直接采用二層組網(wǎng)����,在BRAS的網(wǎng)關(guān)接口上使能802. IX認證。如圖2 所示�,AC接收到客戶端發(fā)來的802. IX認證協(xié)議報文后,根據(jù)二層MAC轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)該報文�����,BRAS收到該報文后�,對用戶進行認證。方案二 AC采用802. IX中繼技術(shù)��,在BRAS的網(wǎng)關(guān)接口上使能802. IX認證。如圖 2所示�����,AC接收到客戶端發(fā)來的報文后���,解析該報文����,若發(fā)現(xiàn)該報文為802. IX認證協(xié)議報文��,則將報文轉(zhuǎn)發(fā)給BRAS進行認證�。方案三AC采用802. IX偵聽技術(shù),在BRAS的網(wǎng)關(guān)接口上使能802. IX認證���。如圖 2所示��,AC對經(jīng)過自身的報文進行偵聽�����,若發(fā)現(xiàn)報文為802. IX認證協(xié)議報文則允許報文通過���,且只有在偵聽到指示認證通過的802. IX協(xié)議報文后�����,才允許數(shù)據(jù)報文通過�����。上述三方案的缺點是對無線用戶只能進行有線認證,無法與WLAN安全架構(gòu)結(jié)合�;在AC上不能啟用WLAN安全配置,無線報文只能是明文方式�����,而無線用戶認證的安全框架一般都要求數(shù)據(jù)加密傳輸�,因此與無線用戶認證的安全框架不符,造成該現(xiàn)象的原因是 方案一����、二、三中�����,AC與BRAS之間只支持二層報文傳輸�,而目前BRAS與AC之間的二層協(xié)議不支持密鑰的傳輸��,從而BRAS無法將密鑰信息下發(fā)給AC,從而無法進行密鑰協(xié)商�。
發(fā)明內(nèi)容
本發(fā)明提供跨設(shè)備進行802. IX認證的方法及接入設(shè)備�����、接入控制設(shè)備���,以實現(xiàn)跨越二層或者三層網(wǎng)絡(luò)�,直接在網(wǎng)絡(luò)接入控制點上進行802. IX認證��,并支持WLAN安全架構(gòu)下的無線用戶接入�。本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種跨設(shè)備進行802. IX認證的方法,在接入設(shè)備上使能無線局域網(wǎng)WLAN安全模型�����;在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道���,同時在接入設(shè)備上使能802. IX 客戶端模板�,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板����,該方法包括接入設(shè)備接收客戶端發(fā)來的報文���,發(fā)現(xiàn)該報文為802. IX協(xié)議報文,則執(zhí)行802. IX 客戶端功能���,將該報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備����,接入控制設(shè)備接收該報文��,則執(zhí)行802. IX設(shè)備端功能��,對客戶端進行認證�����;認證通過后�����,接入控制設(shè)備將認證過程中得到的成對主密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備�,以便接入設(shè)備使用該成對主密鑰與客戶端進行密鑰協(xié)商��;或者���;接入控制設(shè)備直接使用認證過程中得到的成對主密鑰����、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商,并將協(xié)商得到的會話密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備����。所述在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道,同時在接入設(shè)備上使能802. IX客戶端模板��,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板為當(dāng)在接入設(shè)備上使能WLAN接入功能時����,在接入設(shè)備和接入控制設(shè)備之間建立 802. IX認證隧道,同時在接入設(shè)備上使能802. IX客戶端模板����,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板;或者�����,當(dāng)接入設(shè)備第一次接收到客戶端發(fā)來的802. IX認證協(xié)議報文時���,在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道����,同時在接入設(shè)備上使能802. IX客戶端模板, 在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板��。所述接入控制設(shè)備的數(shù)目為多個����,在接入設(shè)備與每個接入控制設(shè)備之間分別建立一條802. IX認證隧道,并在接入設(shè)備上使能802. IX客戶端模板�����,在每個接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板�����,且����,正在使用的主802. IX認證隧道對應(yīng)的主接入控制設(shè)備將與接入設(shè)備交互的信息實時同步到其它接入控制設(shè)備上��;當(dāng)主802. IX認證隧道無法使用時�����,其它802. IX認證隧道對應(yīng)的接入控制設(shè)備接替主接入控制設(shè)備的工作。所述接入設(shè)備為接入控制器AC或者胖接入點AP��。所述接入控制設(shè)備為寬帶接入服務(wù)器BAS或者寬帶遠程接入服務(wù)器BRAS���?���!N接入設(shè)備��,該接入設(shè)備具備WLAN安全模型��,且與接入控制設(shè)備之間建立了 802. IX認證隧道�����,其中����,接入設(shè)備上使能了 802. IX客戶端模型,接入控制設(shè)備的隧道接口上使能了 802. IX設(shè)備端模型���,該接入設(shè)備包括第一模塊�����,接收客戶端發(fā)來的報文��,發(fā)現(xiàn)該報文為802. IX協(xié)議報文�����,則執(zhí)行 802. IX客戶端功能�,將該報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備,以便接入控制設(shè)備根據(jù)該報文對客戶端進行認證�����;第二模塊�,接收接入控制設(shè)備通過802. IX認證隧道發(fā)來的成對主密鑰,使用該密鑰與客戶端進行密鑰協(xié)商�����,得到會話密鑰����;或者��,接收接入控制設(shè)備通過802. IX認證隧道發(fā)來的會話密鑰。所述接入設(shè)備為AC或者胖AP����。一種接入控制設(shè)備,該接入控制設(shè)備與接入設(shè)備之間建立了 802. IX認證隧道��,其中�����,接入設(shè)備上使能了 802. IX客戶端模型�,接入控制設(shè)備的隧道接口上使能了 802. IX設(shè)備端模型,該接入控制設(shè)備包括第一模塊���,接收接入設(shè)備通過802. IX認證隧道發(fā)來的802. IX協(xié)議報文�����,則執(zhí)行 802. IX設(shè)備端功能��,根據(jù)該報文對客戶端進行認證���,認證通過,將認證過程中得到的成對主密鑰發(fā)送給第二模塊���;第二模塊��,將第一模塊發(fā)來的成對主密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備�����, 以便接入設(shè)備使用該密鑰與客戶端進行密鑰協(xié)商�;或者,直接使用該密鑰�、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商,并將協(xié)商得到的會話密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備�����。所述接入控制設(shè)備為BAS或者BRAS�。該接入控制設(shè)備與至少一個其它接入控制設(shè)備互為備份設(shè)備,所述接入控制設(shè)備進一步包括第三模塊�,將第一、二模塊與接入設(shè)備交互的信息實時同步到其它接入控制設(shè)備上�。與現(xiàn)有技術(shù)相比,本發(fā)明中����,在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道,接入設(shè)備執(zhí)行802. IX客戶端功能�����,且接入控制設(shè)備執(zhí)行802. IX設(shè)備端功能��,完成對客戶端的認證�,認證通過后,接入控制設(shè)備將認證過程中得到的成對主密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備���,以便接入設(shè)備使用該成對主密鑰與客戶端進行密鑰協(xié)商���;或者;接入控制設(shè)備直接使用認證過程中得到的成對主密鑰�、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商,并將協(xié)商得到的會話密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備�, 本發(fā)明實現(xiàn)了客戶端跨越二層或者三層網(wǎng)絡(luò),直接在網(wǎng)絡(luò)接入控制點上進行802. IX認證�����, 并支持WLAN安全架構(gòu)下的無線用戶接入�����。
圖1為現(xiàn)有的802. IX系統(tǒng)的體系結(jié)構(gòu)圖��;圖2為現(xiàn)有的跨設(shè)備進行802. IX認證的網(wǎng)絡(luò)架構(gòu)圖;圖3為本發(fā)明實施例一提供的跨設(shè)備進行802. IX認證的方法流程圖���;圖4為本發(fā)明實施例二提供的跨設(shè)備進行802. IX認證的方法流程圖����;圖5為本發(fā)明實施例提供的接入設(shè)備的組成圖��;圖6為本發(fā)明實施例提供的接入控制設(shè)備的組成圖�。
具體實施例方式下面結(jié)合附圖及具體實施例對本發(fā)明再作進一步詳細的說明。圖3為本發(fā)明實施例一提供的跨設(shè)備進行802. IX認證的方法流程圖���,如圖3所示���,其具體步驟如下步驟301 預(yù)先在接入設(shè)備上使能WLAN安全模板,并在接入設(shè)備與接入控制設(shè)備之間建立802. IX認證隧道�����,在接入設(shè)備上使能802. IX客戶端模板���,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板���。隧道可以為輕量級接入點(LWAP����,Light Weight Access Point)隧道��。在接入設(shè)備上使能802. IX客戶端模板���,即在接入設(shè)備上進行802. IX客戶端相關(guān)配置,以使得接入設(shè)備能夠在802. IX認證過程中代替客戶端執(zhí)行802. IX客戶端的功能�����; 同樣��,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板�����,即在接入控制設(shè)備的隧道接口上進行802. IX設(shè)備端相關(guān)配置����,以使得接入控制設(shè)備能夠在802. IX認證過程中執(zhí)行 802. IX設(shè)備端的功能。步驟302 接入設(shè)備接收客戶端發(fā)來的報文�,解析該報文,若發(fā)現(xiàn)該報文為802. IX 協(xié)議報文,則執(zhí)行802. IX客戶端功能�����,將該報文封裝為隧道報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備�。步驟303 接入控制設(shè)備接收隧道報文,解析該報文��,發(fā)現(xiàn)為認證報文�����,則執(zhí)行 802. IX設(shè)備端功能���,對客戶端進行認證�����。步驟304 認證通過���,接入控制設(shè)備將認證通過指示封裝為隧道報文,將該報文通過802. IX認證隧道發(fā)送給接入設(shè)備����,接入設(shè)備接收并解析該報文,將認證通過指示攜帶在 802. IX協(xié)議報文中轉(zhuǎn)發(fā)給客戶端。步驟305 接入控制設(shè)備使用認證過程中得到的成對主密鑰��、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端交互密鑰協(xié)商報文����。密鑰協(xié)商的具體過程如下當(dāng)接入設(shè)備接收到接入控制設(shè)備通過802. IX認證隧道發(fā)來的報文時,解析該報文�,若發(fā)現(xiàn)該報文為密鑰協(xié)商報文,則將解析得到的報文轉(zhuǎn)發(fā)給客戶端���;當(dāng)接收到客戶端發(fā)來的報文時,解析該報文����,若發(fā)現(xiàn)該報文為密鑰協(xié)商報文,則將該報文封裝為隧道報文通過 802. IX認證隧道發(fā)送給接入控制設(shè)備����。步驟306 密鑰協(xié)商完畢,接入控制設(shè)備將協(xié)商得到的會話密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備���,以便接入設(shè)備使用該密鑰與客戶端進行數(shù)據(jù)交互��。
圖4為本發(fā)明實施例二提供的跨設(shè)備進行802. IX認證的方法流程圖����,如圖4所示,其具體步驟如下步驟401 預(yù)先在接入設(shè)備上使能WLAN安全模板�,并在接入設(shè)備與接入控制設(shè)備之間建立802. IX認證隧道,在接入設(shè)備上使能802. IX客戶端模板�,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板。步驟402 接入設(shè)備接收客戶端發(fā)來的報文��,解析該報文��,若發(fā)現(xiàn)該報文為802. IX 協(xié)議報文�����,則執(zhí)行802. IX客戶端功能��,將該報文封裝為隧道報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備�。步驟403 接入控制設(shè)備接收隧道報文,解析該報文���,發(fā)現(xiàn)該報文為認證報文���,則執(zhí)行802. IX設(shè)備端功能,對客戶端進行認證�����。步驟404 認證通過,接入控制設(shè)備通過802. IX認證隧道���,向接入設(shè)備返回指示認證通過的隧道報文�,同時將認證過程中得到的成對主密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備�。步驟405 接入設(shè)備接收指示認證通過的隧道報文,解析該報文���,將認證通過指示攜帶在802. IX協(xié)議報文中轉(zhuǎn)發(fā)給客戶端�。步驟406 接入設(shè)備使用成對主密鑰與客戶端進行密鑰協(xié)商����,得到會話密鑰��。本發(fā)明實施例中�,當(dāng)接入設(shè)備與接入控制設(shè)備之間為二層組網(wǎng)時,在802. IX認證隧道中傳輸?shù)膱笪牟捎枚臃庋b方式�;當(dāng)接入設(shè)備與接入控制設(shè)備之間為三層組網(wǎng)時,在 802. IX認證隧道中傳輸?shù)膱笪牟捎萌龑臃庋b方式�����。圖3、4中��,802. IX認證隧道是預(yù)先建立好的�,實際中,最好在網(wǎng)絡(luò)部署初期接入設(shè)備使能WLAN接入功能時建立�����。另外���,802. IX認證隧道也可在步驟302�、402中接入設(shè)備第一次接收到客戶端發(fā)來的802. IX協(xié)議報文時建立�。當(dāng)網(wǎng)絡(luò)中存在多個接入控制設(shè)備時,也可以在接入設(shè)備與每個接入控制設(shè)備之間分別建立一條802. IX認證隧道�����,以實現(xiàn)隧道備份�����,其中�����,正在使用的主隧道對應(yīng)的主接入控制設(shè)備實時將與接入設(shè)備交互的信息同步到其它接入控制設(shè)備上,以便在主接入控制設(shè)備發(fā)生故障時�����,其它接入控制設(shè)備可以接替主接入控制設(shè)備繼續(xù)與接入設(shè)備進行交互�����。本發(fā)明實施例中����,接入設(shè)備可以為AC或者FAT AP,接入控制設(shè)備可以為寬帶接入服務(wù)器(BAS, Broadband Access Server)或 BRAS��。本發(fā)明實施例中的客戶端指的是無線客戶端��,本發(fā)明實施例中的認證過程同樣也適用于有線客戶端����,此時���,由于有線客戶端不需要進行密鑰協(xié)商�,因此���,只需執(zhí)行圖3中的步驟301 304����、圖4中的步驟401 405。圖5為本發(fā)明實施例提供的接入設(shè)備的組成圖�����,如圖5所示��,該接入設(shè)備具備 WLAN安全模型�����,且與接入控制設(shè)備之間建立了 802. IX認證隧道��,其中���,接入設(shè)備上使能了 802. IX客戶端模型���,接入控制設(shè)備的隧道接口上使能了 802. IX設(shè)備端模型,該接入設(shè)備包括第一模塊接收客戶端發(fā)來的報文����,發(fā)現(xiàn)該報文為802. IX協(xié)議報文����,則執(zhí)行 802. IX客戶端功能����,將該報文封裝成隧道報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備, 以便接入控制設(shè)備根據(jù)該報文對客戶端進行認證��。第二模塊接收接入控制設(shè)備通過802. IX認證隧道發(fā)來的成對主密鑰�,使用該密鑰與客戶端進行密鑰協(xié)商,得到會話密鑰���;或者���,接收接入控制設(shè)備通過802. IX認證隧道發(fā)來的會話密鑰。圖6為本發(fā)明實施例提供的接入控制設(shè)備的組成圖���,如圖6所示�����,該接入控制設(shè)備與接入設(shè)備之間建立了 802. IX認證隧道,其中�����,接入設(shè)備上使能了 802. IX客戶端模型,接入控制設(shè)備的隧道接口上使能了 802. IX設(shè)備端模型���,該接入控制設(shè)備包括第一模塊接收接入設(shè)備通過802. IX認證隧道發(fā)來的隧道報文���,解析該報文,若發(fā)現(xiàn)該報文為認證報文����,則執(zhí)行802. IX設(shè)備端功能,對客戶端進行認證���,認證通過����,將認證過程中得到的成對主密鑰發(fā)送給第二模塊��。第二模塊將第一模塊發(fā)來的成對主密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備��, 以便接入設(shè)備使用該密鑰與客戶端進行密鑰協(xié)商�;或者,直接使用該密鑰、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商���,并將協(xié)商得到的會話密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備��。在實際應(yīng)用中��,該接入控制設(shè)備可與至少一個其它接入控制設(shè)備互為備份設(shè)備���, 且該接入控制設(shè)備進一步包括第三模塊,用于將第一���、二模塊與接入設(shè)備交互的信息實時同步到其它接入控制設(shè)備上�。以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi)����,所做的任何修改、等同替換���、改進等���,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。
9
權(quán)利要求
1.一種跨設(shè)備進行802. IX認證的方法���,其特征在于���,在接入設(shè)備上使能無線局域網(wǎng) WLAN安全模型;在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道�,同時在接入設(shè)備上使能802. IX客戶端模板,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板����,該方法包括接入設(shè)備接收客戶端發(fā)來的報文,發(fā)現(xiàn)該報文為802. IX協(xié)議報文��,則執(zhí)行802. IX客戶端功能���,將該報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備����,接入控制設(shè)備接收該報文����, 則執(zhí)行802. IX設(shè)備端功能,對客戶端進行認證;認證通過后�,接入控制設(shè)備將認證過程中得到的成對主密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備,以便接入設(shè)備使用該成對主密鑰與客戶端進行密鑰協(xié)商�;或者;接入控制設(shè)備直接使用認證過程中得到的成對主密鑰�����、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商��,并將協(xié)商得到的會話密鑰通過802. IX認證隧道下發(fā)給接入設(shè)備�����。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道�����,同時在接入設(shè)備上使能802. IX客戶端模板�����,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板為當(dāng)在接入設(shè)備上使能WLAN接入功能時,在接入設(shè)備和接入控制設(shè)備之間建立802. IX 認證隧道�,同時在接入設(shè)備上使能802. IX客戶端模板,在接入控制設(shè)備的隧道接口上使能 802. IX設(shè)備端模板�;或者,當(dāng)接入設(shè)備第一次接收到客戶端發(fā)來的802. IX認證協(xié)議報文時�����,在接入設(shè)備和接入控制設(shè)備之間建立802. IX認證隧道�,同時在接入設(shè)備上使能802. IX客戶端模板��,在接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板��。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述接入控制設(shè)備的數(shù)目為多個���,在接入設(shè)備與每個接入控制設(shè)備之間分別建立一條802. IX認證隧道��,并在接入設(shè)備上使能802. IX客戶端模板����,在每個接入控制設(shè)備的隧道接口上使能802. IX設(shè)備端模板��,且,正在使用的主802. IX認證隧道對應(yīng)的主接入控制設(shè)備將與接入設(shè)備交互的信息實時同步到其它接入控制設(shè)備上�����;當(dāng)主802. IX認證隧道無法使用時���,其它802. IX認證隧道對應(yīng)的接入控制設(shè)備接替主接入控制設(shè)備的工作�。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述接入設(shè)備為接入控制器AC或者胖接入點AP���。
5.根據(jù)權(quán)利要求1所述的方法����,其特征在于�,所述接入控制設(shè)備為寬帶接入服務(wù)器BAS 或者寬帶遠程接入服務(wù)器BRAS。
6.一種接入設(shè)備�,其特征在于,該接入設(shè)備具備WLAN安全模型����,且與接入控制設(shè)備之間建立了 802. IX認證隧道����,其中����,接入設(shè)備上使能了 802. IX客戶端模型,接入控制設(shè)備的隧道接口上使能了 802. IX設(shè)備端模型���,該接入設(shè)備包括第一模塊,接收客戶端發(fā)來的報文�,發(fā)現(xiàn)該報文為802. IX協(xié)議報文,則執(zhí)行802. IX客戶端功能���,將該報文通過802. IX認證隧道發(fā)送給接入控制設(shè)備���,以便接入控制設(shè)備根據(jù)該報文對客戶端進行認證;第二模塊���,接收接入控制設(shè)備通過802. IX認證隧道發(fā)來的成對主密鑰�,使用該密鑰與客戶端進行密鑰協(xié)商�,得到會話密鑰;或者�,接收接入控制設(shè)備通過802. IX認證隧道發(fā)來的會話密鑰���。
7.根據(jù)權(quán)利要求6所述的接入設(shè)備,其特征在于�,所述接入設(shè)備為AC或者胖AP。
8.一種接入控制設(shè)備�,其特征在于,該接入控制設(shè)備與接入設(shè)備之間建立了 802. IX認證隧道��,其中��,接入設(shè)備上使能了 802. IX客戶端模型���,接入控制設(shè)備的隧道接口上使能了 802. IX設(shè)備端模型�,該接入控制設(shè)備包括第一模塊�����,接收接入設(shè)備通過802. IX認證隧道發(fā)來的802. IX協(xié)議報文��,則執(zhí)行802. IX 設(shè)備端功能�,根據(jù)該報文對客戶端進行認證,認證通過�����,將認證過程中得到的成對主密鑰發(fā)送給第二模塊;第二模塊���,將第一模塊發(fā)來的成對主密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備����,以便接入設(shè)備使用該密鑰與客戶端進行密鑰協(xié)商����;或者,直接使用該密鑰�����、通過802. IX認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商�,并將協(xié)商得到的會話密鑰通過802. IX認證隧道發(fā)送給接入設(shè)備�。
9.根據(jù)權(quán)利要求8所述的接入控制設(shè)備��,其特征在于����,所述接入控制設(shè)備為BAS或者 BRAS�。
10.根據(jù)權(quán)利要求8所述的接入控制設(shè)備����,其特征在于�,該接入控制設(shè)備與至少一個其它接入控制設(shè)備互為備份設(shè)備��,所述接入控制設(shè)備進一步包括第三模塊����,將第一、二模塊與接入設(shè)備交互的信息實時同步到其它接入控制設(shè)備上�。
全文摘要
本發(fā)明公開了跨設(shè)備進行802.1X認證的方法及接入設(shè)備、接入控制設(shè)備�。方法包括在接入設(shè)備上使能WLAN安全模型;在接入設(shè)備和接入控制設(shè)備之間建立802.1X認證隧道��,同時在接入設(shè)備上使能802.1X客戶端模板�,在接入控制設(shè)備的隧道接口上使能802.1X設(shè)備端模板;接入設(shè)備接收客戶端發(fā)來的802.1X協(xié)議報文����,將該報文通過802.1X認證隧道發(fā)送給接入控制設(shè)備,接入控制設(shè)備接收該報文��,對客戶端進行認證����;認證通過后����,接入控制設(shè)備將成對主密鑰通過802.1X認證隧道下發(fā)給接入設(shè)備�����;或者���;接入控制設(shè)備直接使用認證過程中得到的成對主密鑰�����、通過802.1X認證隧道經(jīng)由接入設(shè)備與客戶端進行密鑰協(xié)商�,并將會話密鑰通過802.1X認證隧道下發(fā)給接入設(shè)備�����。本發(fā)明支持WLAN安全架構(gòu)下的無線用戶接入��。
文檔編號H04L29/06GK102271125SQ201010195759
公開日2011年12月7日 申請日期2010年6月2日 優(yōu)先權(quán)日2010年6月2日
發(fā)明者徐勇剛, 柴永富 申請人:杭州華三通信技術(shù)有限公司