CN100589486C - 一种自动兼容不同802.1x客户端软件的认证方法 - Google Patents
一种自动兼容不同802.1x客户端软件的认证方法 Download PDFInfo
- Publication number
- CN100589486C CN100589486C CN200510130322A CN200510130322A CN100589486C CN 100589486 C CN100589486 C CN 100589486C CN 200510130322 A CN200510130322 A CN 200510130322A CN 200510130322 A CN200510130322 A CN 200510130322A CN 100589486 C CN100589486 C CN 100589486C
- Authority
- CN
- China
- Prior art keywords
- address
- access control
- frame
- variable
- medium access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种自动兼容不同802.1x客户端软件的认证方法,如果客户端软件在检测收到的MAC帧是否为EAPOL帧时,只根据目的MAC地址是否为EAP组地址进行判断。那么认证者PAE在发送EAPOL帧时,就需要在目的MAC地址字段中填入EAP组地址。如果客户端软件是根据帧类型自动是否为0x888e进行判断,则认证者PAE在发送帧时,应该按照协议规定的规则填写目的MAC地址。在IEEE802.1x协议基础上,采用本发明使得网络设备在实际的组网应用中更加灵活,增加网络设备的适应性和灵活性。降低对端用户使用的客户端软件的要求,使得设备和用户入网调试和运行都得到了简化。
Description
技术领域
本发明涉及一种自动兼容不同802.1x客户端软件的认证方法,具体涉及一种实现在根据IEEE802.1x,通过认证者PAE为了更好的适应不同的802.1x客户端软件,而对所发送EAPOL类型数据包的目的MAC(媒体访问控制子层)进行填充发送的方法。
背景技术
IEEE802.1x是基于端口的网络访问控制协议,IEEE 802.1x以IEEE 802LAN的基础结构为基础,定义了一种对连接在网络中某端口上设备(端口和设备的连接具有点到点连接的特征)进行认证和授权的方法。如果认证和授权失败,将禁止相应设备通过该端口访问网络资源。
端口访问实体(PAE)运行与认证机制相关的算法和协议。共有两种类型的PAE:恳求者PAE和认证者PAE。
在认证交换中执行恳求者角色的PAE被称为恳求者PAE(SupplicantPAE)。恳求者PAE响应来自认证者PAE的请求,向认证者PAE递交认证信息。
在认证交换中执行认证者角色的PAE被称为认证者PAE(Authenticator PAE)。认证者PAE负责与恳求者之间的通讯,负责将从恳求者接收到的信息递交给适当的认证服务器,认证服务器检查这些信息并确定授权状态。
在实际的实现中,认证者PAE一般在网络交换设备和网络接入设备上实现,以实现对端用户或者下一级级联设备的认证功能。
恳求者PAE在端用户计算机以802.1x客户端软件的形式实现,或者在网络交换设备上需要进行上联认证的端口上实现。
恳求者PAE和认证者PAE之间发送的消息为EAPOL(局域网中的扩展认证协议)类型的消息,以太网中的EAPOL帧格式如表1所示:
| 帧类型 | 1-2 |
| 协议版本号 | 3 |
| 分组类型 | 4 |
| 分组数据长度 | 5-6 |
| 分组数据 | 7-N |
表1
从MAC帧的Length/Type域开始。可以通过MAC帧中的协议类型来区分EAPOL协议以及其它协议。分配给认证者PAE使用的以太网类型值为0x888e。
在IEEE802.1x标准中规定,认证过程的发起既可以由恳求者PAE通过发送EAPOL-START消息来发起,也可以通过认证者PAE主动向恳求者发送EAPOL-Req/Id消息来发起。
不论由那种类型的端口访问实体来发起,都要面临一个问题,在第一次发送时,可能并不知道对方的MAC地址,那么这种情况下,应该如何填充EAPOL帧的目的MAC地址字段呢?
在IEEE802.1x协议中规定了填充目的MAC地址的规则。IEEE Std 802.1D1998版为认证者PAE分配了一个组MAC地址,即EAP组地址:01-80-C2-00-00-03。
如果恳求者PAE独有的MAC地址对于认证者PAE是已知的,而且反之亦然,则由PAE传输的所有EAPOL帧必须以目的PAE的LAN连接点的MAC地址作为目的MAC地址。
否则,当恳求者PAE独有的MAC地址对于认证者PAE是未知的,而且反之亦然时,则由PAE传输的所有EAPOL帧携带EAP组地址作为目的MAC地址。所有EAPOL帧携带与源PAE的LAN(局域网)连接点相关的独有MAC地址作为源MAC地址。
但目前出现的客户端软件由不同的公司开发。有些客户端软件在接收EAPOL帧时,判断是否为EAPOL帧时,并不是根据帧类型字段是否为0x888e来判断的,而是根据目的MAC地址是否为EAP组地址来判断。这样,如果认证者PAE严格按照IEEE802.1x协议规定的填充目的MAC地址的规则来实现时,则无法实现对端用户计算机的认证。
发明内容
本发明的目的是在现有IEEE802.1x协议的基础上,为了实现和未完全按照IEEE802.1x协议规定的目的MAC地址填充规则的客户端软件进行成功对接,认证者PAE在发送EAPOL帧时,所需要采取的方法。具体是一种自动兼容不同802.1x客户端软件的认证方法。
本发明具体是这样实现的:
一种自动兼容不同802.1x客户端软件的认证方法,包括如下处理:
在认证者端口访问实体中增加一个目的媒体访问控制子层地址的变量;
在认证者端口访问实体收到局域网中的扩展认证协议帧时,验证为合法的局域网中的扩展认证协议帧后,将该帧中的源媒体访问控制子层地址填充到该变量;
发送目的媒体访问控制子层地址填充为组地址的局域网中的扩展认证协议帧;
判断存放目的媒体访问控制子层地址的变量是否为组地址:
如果变量的值不是组地址,将源媒体访问控制子层地址填充到局域网中的扩展认证协议帧中,再向客户端发送一次;
如果变量的值是组地址,则流程结束。
在状态机处于初始状态时,所述目的媒体访问控制子层地址的变量被赋予组地址值。
所述发送目的媒体访问控制子层地址填充为组地址的局域网中的扩展认证协议帧完毕后,不需要释放申请的内存空间。
所述判断及发送客户端完毕后,释放申请的内存空间。
在IEEE802.1x协议基础上,采用本发明能够使得网络设备在实际的组网应用中更加灵活,增加网络设备的适应性和灵活性。降低对端用户使用的客户端软件的要求,使得设备和用户入网调试和运行都得到了简化。
附图说明
图1是本发明所述认证者PAE在发送EAPOL帧时的处理流程图。
具体实施方式
在本发明所述的方法中,如果客户端软件在检测收到的MAC帧是否为EAPOL帧时,只根据目的MAC地址是否为EAP组地址进行判断。那么认证者PAE在发送EAPOL帧时,就需要在目的MAC地址字段中填入EAP组地址。如果客户端软件是根据帧类型自动是否为0x888e进行判断,则认证者PAE在发送帧时,应该按照协议规定的规则填写目的MAC地址。
这样,为了保证设备能够自动灵活的支持不同的客户端软件,则必须能够同时发送两个只有目的MAC地址不同的EAPOL报文。两个报文的目的MAC地址分别填充EAP组地址和对端的MAC地址。对于不知道对端MAC地址的情况,则只发送一个报文即可。
以下结合附图对本发明的具体实施,分为三步进行说明:
一、增加一个变量
在认证者PAE中增加一个目的MAC地址的变量。该变量的缺省值为EAP组地址:01-80-C2-00-00-03。在状态机处于初始状态时,该变量被赋予该组地址值。
二、收到EAPOL帧时增加的处理操作
在认证者PAE收到EAPOL帧时,验证是合法的EAPOL帧后,会将该帧中的源MAC地址填充到该变量中。
三、发送EAPOL帧时的处理操作
在认证者PAE发送EAPOL帧时的操作,见图1,具体描述如下:
1、需要发送EAPOL帧到恳求者PAE。
2、首先发送目的MAC地址填充为组地址的EAPOL帧。
在这一步骤中,为了下面的步骤提供便利,则在发送完毕后不需要释放申请的内存空间。
3、判断存放目的MAC地址的变量是否为组地址,
如果变量的值不是组地址,则表明曾经接收了客户端发来的EAPOL帧,表明已经知道了对端的MAC地址,就需要再把该地址填充到EAPOL帧中,再发送一次,在此次发送完成后,要释放申请的内存空间,防止造成内存泄漏;
如果变量的值是组地址,则流程结束。
虽然上述实施方式描述了本发明的方法,然而本领域的技术人员会理解,在不偏离本发明宗旨和范围的前提下可以进行各种形式和细节的修改和改进。
Claims (4)
1、一种自动兼容不同802.1x客户端软件的认证方法,其特征在于,包括如下处理:
在认证者端口访问实体中增加一个目的媒体访问控制子层地址的变量;
在认证者端口访问实体收到局域网中的扩展认证协议帧时,验证为合法的局域网中的扩展认证协议帧后,将该帧中的源媒体访问控制子层地址填充到该变量;
发送目的媒体访问控制子层地址填充为组地址的局域网中的扩展认证协议帧;
判断存放目的媒体访问控制子层地址的变量是否为组地址:
如果变量的值不是组地址,将源媒体访问控制子层地址填充到局域网中的扩展认证协议帧中,再向客户端发送一次;
如果变量的值是组地址,则流程结束。
2、如权利要求1所述一种自动兼容不同802.1x客户端软件的认证方法,其特征在于:
在状态机处于初始状态时,所述目的媒体访问控制子层地址的变量被赋予组地址值。
3、如权利要求1所述一种自动兼容不同802.1x客户端软件的认证方法,其特征在于:
所述发送目的媒体访问控制子层地址填充为组地址的局域网中的扩展认证协议帧完毕后,不需要释放申请的内存空间。
4、如权利要求1所述一种自动兼容不同802.1x客户端软件的认证方法,其特征在于:
所述判断及发送客户端完毕后,释放申请的内存空间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510130322A CN100589486C (zh) | 2005-12-09 | 2005-12-09 | 一种自动兼容不同802.1x客户端软件的认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510130322A CN100589486C (zh) | 2005-12-09 | 2005-12-09 | 一种自动兼容不同802.1x客户端软件的认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1980235A CN1980235A (zh) | 2007-06-13 |
| CN100589486C true CN100589486C (zh) | 2010-02-10 |
Family
ID=38131233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510130322A Expired - Fee Related CN100589486C (zh) | 2005-12-09 | 2005-12-09 | 一种自动兼容不同802.1x客户端软件的认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100589486C (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101933310B (zh) * | 2008-03-07 | 2013-03-13 | 上海贝尔股份有限公司 | 与兼容第一协议和第二协议的bs交互工作的ms及其方法 |
| CN103200172B (zh) | 2013-02-19 | 2018-06-26 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
-
2005
- 2005-12-09 CN CN200510130322A patent/CN100589486C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1980235A (zh) | 2007-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101248613B (zh) | 用于安全通信网络尤其是安全ip电话网络的可信装置准入方案 | |
| US6415313B1 (en) | Communication quality control system | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| US8645537B2 (en) | Deep packet scan hacker identification | |
| EP2955874A2 (en) | Link discovery method and device | |
| US8887236B2 (en) | System and method for integrated service access | |
| US20070101414A1 (en) | Method for stateful firewall inspection of ice messages | |
| US8705416B2 (en) | Duplex mismatch detection | |
| US20070121833A1 (en) | Method of Quick-Redial for Broadband Network Users and System Thereof | |
| CN106789527A (zh) | 一种专线网络接入的方法及系统 | |
| CN101567883B (zh) | 防止mac地址仿冒的实现方法 | |
| CN100352203C (zh) | 控制宽带网络用户接入网络的方法 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN100589486C (zh) | 一种自动兼容不同802.1x客户端软件的认证方法 | |
| US8312530B2 (en) | System and method for providing security in a network environment using accounting information | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
| US7844817B2 (en) | Ensuring quality of service in a communications network | |
| CN101931607A (zh) | 一种宽带接入设备中防止用户地址欺骗的方法和装置 | |
| US7652991B2 (en) | Network with distributed authentication control | |
| CN100356725C (zh) | 一种网络设备的管理方法 | |
| KR100804288B1 (ko) | 홈 폰 라인 네트워크에서 휴면 모드 웨이크 업 지원을 위한 방법 및 시스템과, 홈 폰 라인 제어기 | |
| CN112887178A (zh) | LoRaWAN服务器的终端入网方法、装置、设备和存储介质 | |
| CN100352229C (zh) | 一种802.1x认证方法 | |
| US9118555B1 (en) | Secure unauthenticated virtual local area network | |
| WO2010063182A1 (zh) | 一种策略确定方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100210 Termination date: 20171209 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |