CN101388796A - 信息发送处理方法、通信设备与通信系统 - Google Patents
信息发送处理方法、通信设备与通信系统 Download PDFInfo
- Publication number
- CN101388796A CN101388796A CNA2008102253057A CN200810225305A CN101388796A CN 101388796 A CN101388796 A CN 101388796A CN A2008102253057 A CNA2008102253057 A CN A2008102253057A CN 200810225305 A CN200810225305 A CN 200810225305A CN 101388796 A CN101388796 A CN 101388796A
- Authority
- CN
- China
- Prior art keywords
- client
- address
- snmp message
- authenticating device
- eapol frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种信息发送处理方法、通信设备与通信系统。其中,信息发送处理方法包括:认证设备接收RADIUS服务器发送的SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址;所述认证设备从所述SNMP报文中获取EAPOL数据帧与客户端地址;所述认证设备根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。本发明可以在802.1X通信系统中,使RADIUS服务器通过一种较安全、方便的方法控制客户端行为。
Description
技术领域
本发明涉及网络管理技术,尤其是一种信息发送处理方法、通信设备与通信系统。
背景技术
802.1X协议是基于客户端/服务器(Client/Server)模式的访问控制和认证协议。在用户或设备获得交换机或局域网(Local Area Network,以下简称:LAN)提供的各种业务之前,802.1X协议对连接到交换机端口上的用户或设备进行认证。在用户或设备认证通过之前,802.1x协议只允许基于局域网的扩展认证协议(Extensible Authentication Protocol over LAN,以下简称:EAPOL)数据通过设备连接的交换机端口。只有在用户或设备通过认证后,802.1X协议才允许正常的数据通过交换机端口。因此,802.1X协议可以限制未经授权的用户与设备通过接入端口访问LAN与无线局域网(Wireless Local Area Network,以下简称:WLAN)。
远程用户拨号认证服务(Remote Authentication Dial In User Service,以下简称:RADIUS)协议,是一种在网络接入服务器(Network AccessServer,以下简称:NAS)和共享认证服务器间传输认证、授权和配置信息的协议。此外,RADIUS协议也用于传送网络接入服务器和共享计费服务器间的计费信息。RADIUS协议具有网络安全、认证机制灵活、协议可扩充等优点。
客户端/服务器模式下,网络接入服务器作为RADIUS客户端,负责将用户信息传递给指定的RADIUS服务器,然后根据返回信息进行操作。RADIUS服务器负责接收用户连接请求,认证用户后,返回所有必要的配置信息以便客户端为用户提供服务。RADIUS服务器可以作为其他RADIUS服务器或认证服务器的代理。
RADIUS服务器通过如下方式控制客户端行为:RADIUS服务器按照既定的报文格式和指令格式制作好指令,并将指令传给客户端;客户端根据指令的不同,依据既定的指令格式做出不同的行为。
目前,RADIUS服务器主要通过如下两种方法向客户端发送消息:
第一种方法是:RADIUS服务器直接向客户端发送消息。由于RADIUS服务器与客户端之间不能有虚拟局域网(Virtual Local Area Network,以下简称:VLAN)隔离,容易给客户端攻击RADIUS服务器创造条件,安全性较低。
第二种方法是:RADIUS服务器向认证设备,例如:交换机,发送RADIUS报文,认证设备接收到该RADIUS报文后,拆分解读该RADIUS报文,解析出消息内容和发送对象,然后将消息内容重新组装成扩展认证协议(Extensible Authentication Protocol,以下简称:EAP)报文发送给用户客户端。该发送方法中,认证设备需要对RADIUS服务器发送的RADIUS报文内容进行拆分解读,并根据其内容重新生成客户端可以识别的EAP报文,认证设备操作较多,实现较为复杂,一旦系统升级修改报文格式和指令格式,则既需要对RADIUS服务器进行改进,也需要对认证设备进行改进,系统的升级维护成本较高。
目前,在基于802.1X协议的通信系统(以下简称:802.1X通信系统)的认证模式下,通常以RADIUS服务器作为认证服务器。根据运营的需要,往往需要对上网用户客户端的行为做出适当的控制,例如:让客户端显示一些消息,通知用户上网的一些基本数据(例如:时长、流量、金额等),让客户端自动下线(例如:RADIUS服务器发现用户客户端存在不良上网行为时)、让客户端限制上网用户的网速等。由于大部分的运营管理工作在RADIUS服务器上实现,通常情况下,会首先选择由RADIUS服务器统一向目标用户客户端发送实时短消息,以控制客户端的操作。但是,基于RADIUS服务器向客户端发送消息的两种方法,RADIUS服务器目前还无法通过一种较安全、方便的方法去控制客户端行为。
发明内容
本发明实施例的目的是:提供一种信息发送处理方法、通信设备与通信系统,在802.1X通信系统中,使RADIUS服务器通过一种较安全、方便的方法控制客户端行为。
为解决上述技术问题,本发明实施例提供的一种信息发送处理方法,包括:
认证设备接收RADIUS服务器发送的SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址;
所述认证设备从所述SNMP报文中获取EAPOL数据帧与客户端地址;
所述认证设备根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
本发明实施例提供的第一种通信设备,包括:
第一接收模块,用于接收SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、通信设备地址与客户端地址;
获取模块,用于从所述SNMP报文中获取EAPOL数据帧与客户端地址;
第一发送模块,用于根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
本发明实施例提供的第二种通信设备,包括:
第二接收模块,用于接收另一通信设备发送的客户端认证请求,从所述客户端认证请求中获取客户端地址与另一通信设备地址并记录;
封装模块,用于根据预设指令格式,将用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧;
生成模块,用于对所述EAPOL数据帧、所述第二接收模块记录的客户端地址与另一通信设备地址进行封装,生成SNMP报文;
第二发送模块,用于根据所述另一通信设备地址,向所述另一通信设备发送SNMP报文。
本发明实施例提供的一种通信系统,包括RADIUS服务器、认证设备与客户端,所述认证设备用于接收RADIUS服务器发送的SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址,从所述SNMP报文中获取EAPOL数据帧与客户端地址,并根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
基于本发明上述实施例提供的信息发送处理方法、通信设备与通信系统,认证设备仅仅需要对RADIUS服务器发送的SNMP报文进行拆分,从中取出封装好的EAPOL数据帧并将其转发给客户端即可,与现有技术相比,由于客户端与RADIUS服务器不直接通信,提高了RADIUS服务器的安全性,并且不需要认证设备对RADIUS服务器发送的报文内容进行全部解读并重新生成EAP报文,处理内容较少,实现简单。当认证服务器日后遇到业务扩展、故障解决、版本升级等问题时,仅仅修改RADIUS服务器的应用程序,而不需要对认证设备中的程序进行修改,因此,系统维护简便、减少了运营、管理的维护成本。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明信息发送处理方法一个实施例的流程图;
图2为本发明信息发送处理方法另一个实施例的流程图;
图3为本发明通信设备一个实施例的结构示意图;
图4为本发明通信设备另一个实施例的结构示意图;
图5为本发明通信设备又一个实施例的结构示意图;
图6为本发明通信设备再一个实施例的结构示意图;
图7为本发明通信设备还一个实施例的结构示意图;
图8为本发明通信系统一个实施例的结构示意图;
图9为本发明通信系统另一个实施例的结构示意图;
图10为本发明通信系统又一个实施例的结构示意图;
图11为本发明通信系统再一个实施例的结构示意图;
图12为本发明通信系统的一个网络拓扑结构示意图;
图13为本发明通信系统的另一个网络拓扑结构示意图。
具体实施方式
如图1所示,为本发明信息发送处理方法一个实施例的流程图,该实施例可应用于802.1X通信系统,其包括以下步骤:
步骤101,认证设备接收RADIUS服务器发送的简单网络管理协议(Simple Network Management Protocol,以下简称:SNMP)报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址。
具体地,该认证设备可以是具有802.1X认证功能的交换机,其可以向RADIUS服务器发送客户端认证请求,该认证交换机可称为NAS,认证设备地址具体可以是NAS IP地址。其中的客户端地址可以为登录客户端的用户IP地址+客户端介质访问控制(Media Access Control,以下简称:MAC)、或登录客户端的用户IP地址+用户VLAN。
步骤102,认证设备从SNMP报文中获取EAPOL数据帧与客户端地址。
步骤103,认证设备根据获取的客户端地址,将获取的EAPOL数据帧发送给客户端,以控制客户端的行为。
认证设备仅仅需要对RADIUS服务器发送的SNMP报文进行拆分,从中取出封装好的EAPOL数据帧并将其转发给客户端即可,由于客户端与RADIUS服务器不直接通信,提高了RADIUS服务器的安全性,并且不需要认证设备对RADIUS服务器发送的报文内容进行全部解读并重新生成EAP报文,处理内容较少,实现简单。当认证服务器日后遇到业务扩展、故障解决、版本升级等问题时,仅仅修改RADIUS服务器的应用程序,而不需要对认证设备中的程序进行修改,因此,系统维护简便、减少了运营、管理的维护成本。
如图2所示,为本发明信息发送处理方法另一个实施例的流程图,其包括以下步骤:
步骤201,RADIUS服务器接收认证设备发送的客户端认证请求,从客户端认证请求中获取客户端地址与认证设备地址并记录。
其中的认证设备地址可以是NAS IP地址,RADIUS服务器从客户端认证请求获取的可以是用户名、用户IP地址、客户端MAC地址、用户VLAN、NAS IP地址等信息,然后进一步生成待用的客户端地址,例如:用户IP地址+客户端MAC、或登录客户端的用户IP地址+用户VLAN。由于客户端地址唯一,可以有效避免控制消息错发给其它客户端。
步骤202,RADIUS服务器根据预设指令格式,将用于对客户端进行控制的控制消息内容封装成EAPOL数据帧。
预设指令格式没有限制,只要RADIUS服务器与客户端预先定义统一即可,其形式可以多种多样,例如:可以采用指令类型号码+指令内容的指令格式。如下表1所示,为指令类型号码与其表示的指令类型意义之间的一个对应关系具体实例:
表1 指令类型号码与其表示的指令类型意义之间的一个对应关系
其中的指令内容即为发送给客户端的控制消息内容,例如:在指令类型号码为01时,指令内容为“您的上网金额是:33.02元”,即:指令格式为:01+您的上网金额是:33.02元,根据该指令格式,客户端需要弹出简单消息“您的上网金额是:33.02元”;在指令类型号码为04时,指令内容为“3.2M”,即:指令格式为:04+3.2M,根据该指令格式,客户端需要将上下行流量限制为3.2M。
主要预先定义好指令类型号码及其指令类型意义,就可以向客户端发送内容丰富的控制消息,例如:短消息、多媒体消息等。
RADIUS服务器根据预设指令格式准备好要发送给客户端的控制消息内容后,将该控制消息内容封装成EAPOL数据帧。
现有的EAPOL报文的格式如下表2所示。
表2 EAPOL报文的格式
| 长度(字节) | 2 | 1 | 253 |
| 意义 | Type | Length | Value |
表2中的Type、Length、Value分别表示EAPOL报文的类型、长度、值。根据表2,由于报文长度Length仅一个字节,则一个EAPOL报文的最长长度为256个字节,故Value的长度最长为253个字节,由于字符串以0结尾,所以控制消息内容的长度最多为252个字符,或126个汉字。本发明的实施例中,可以利用表2所示的格式生成EAPOL报文,也可以根据实际需要,采用其它格式生成EAPOL报文。
步骤203,RADIUS服务器采用预设算法与密钥对EAPOL数据帧进行加密,以保证控制消息内容的安全性,可以有效避免EAPOL数据帧被他人截获而泄露用户信息。
具体地,可以以用户通过客户端本次认证的挑战值(eap-challenge)作为密钥,采用预先设置的算法对EAPOL数据帧进行加密,以保证控制消息内容在传送过程中的安全性。
步骤204,RADIUS服务器按照认证设备定义的基本管理信息(Management Information Base,以下简称:MIB),对加密的EAPOL数据帧、认证设备地址与客户端地址进行封装,生成SNMP报文。
步骤205,RADIUS服务器设置SNMP报文的类型与属性,将其类型设置为可设置(set)类型,以便认证设备对SNMP报文进行拆分,设置SNMP报文的属性,该属性包括认证设备的操作密码,即:community值,还可以包括NAS IP地址和超时时间,若RADIUS服务器在该超时时间内未接收到客户端针对该SNMP报文返回的响应消息,则可以根据预先设置重新发送或丢弃该SNMP报文。
步骤206,RADIUS服务器根据认证设备的对象标识符(ObjectIdentifier,以下简称:OID),将已设置了类型与属性的SNMP报文发送给认证设备,该SNMP报文中包括加密的EAPOL数据帧、认证设备地址与客户端地址。
具体地,可以通过如下方式预先定义认证设备的OID:
ContentOID报文内容
LengthOID报文长度
DestMacOID指定发送目标(此处即:认证设备)的MAC地址
DestIPOID指定发送目标(此处即:认证设备)的IP地址。
步骤207,认证设备接收到RADIUS服务器发送的SNMP报文后,比较SNMP报文的属性中的操作密码与认证设备的实际操作密码是否相同,若相同,执行步骤208;否则,不执行后续流程,具体地,可以丢弃该SNMP报文。
步骤208,认证设备从SNMP报文中获取加密的EAPOL数据帧与客户端地址。
步骤209,认证设备根据获取的客户端地址,将加密的EAPOL数据帧发送给客户端,以控制客户端的行为。
认证设备将EAPOL数据帧发送给客户端后,可以向RADIUS服务器返回响应消息,告知已将EAPOL数据帧成功发送给客户端。
步骤210,客户端采用预设算法与密钥对加密的EAPOL数据帧进行解密,并对解密得到的EAPOL数据帧进行解封装,获得控制消息内容,根据该控制消息内容进行相应操作。
如图3所示,为本发明通信设备一个实施例的结构示意图,该实施例的通信设备可以作为认证设备,实现本发明信息发送处理方法中的相应操作,其包括第一接收模块301、获取模块302与第一发送模块303。其中,第一接收模块301用于接收SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、通信设备地址与客户端地址。获取模块302用于从SNMP报文中获取EAPOL数据帧与客户端地址。第一发送模块303用于根据获取的客户端地址,将EAPOL数据帧发送给客户端,以控制客户端的行为。
如图4所示,为本发明通信设备另一个实施例的结构示意图,与图3所示的实施例相比,该实施例的通信设备还包括比较模块304,用于在第一接收模块301接收到SNMP报文后,比较SNMP报文的属性中的操作密码与通信设备的实际操作密码是否相同,并向获取模块302输出比较结果。相应的,获取模块302根据比较模块304的比较结果,在SNMP报文的属性中的操作密码与通信设备的实际操作密码相同时,从SNMP报文中获取EAPOL数据帧与客户端地址,在SNMP报文的属性中的操作密码与通信设备的实际操作密码不同时,不执行从SNMP报文中获取EAPOL数据帧与客户端地址的操作,具体地,可以丢弃该SNMP报文。
如图5所示,为本发明通信设备又一个实施例的结构示意图,该实施例的通信设备可以作为RADIUS服务器,实现本发明信息发送处理方法中的相应操作,其包括第二接收模块401、封装模块402、生成模块403与第二发送模块404。其中,第二接收模块401用于接收另一通信设备发送的客户端认证请求,从客户端认证请求中获取客户端地址与另一通信设备地址并记录,其中的另一通信设备具体可以是认证设备。封装模块402用于根据预设指令格式,将用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧。生成模块403用于对EAPOL数据帧、第二接收模块401记录的客户端地址与另一通信设备地址进行封装,生成SNMP报文。第二发送模块404用于根据另一通信设备地址,向另一通信设备发送SNMP报文。
如图6所示,为本发明通信设备再一个实施例的结构示意图,与图5所示的实施例相比,该实施例的通信设备还包括加密模块405,用于采用预设算法与密钥,对封装模块402封装成的EAPOL数据帧进行加密。相应地,生成模块403对加密模块405加密的EAPOL数据帧、第二接收模块401记录的客户端地址与另一通信设备地址进行封装,生成SNMP报文。
在上述图5或图6所示的通信设备实施例中,还可以包括设置模块406,用于设置SNMP报文的属性,该属性包括认证设备的操作密码。相应的,第二发送模块404根据另一通信设备地址,向另一通信设备发送设置属性的SNMP报文。如图7所示,为本发明通信设备还一个实施例的结构示意图。
如图8所示,为本发明通信系统一个实施例的结构示意图,该实施例的通信系统可用于实现本发明上述实施例的信息发送处理方法流程,其包括RADIUS服务器1、认证设备2与客户端3。其中,认证设备2用于接收RADIUS服务器1发送的SNMP报文,该SNMP报文中包括由用于对客户端1进行控制的控制消息内容封装成的EAPOL数据帧、认证设备2地址与客户端3地址,从SNMP报文中获取EAPOL数据帧与客户端3地址,并根据获取的客户端3地址,将EAPOL数据帧发送给客户端3,以控制客户端3的行为。
图8所示实施例的通信系统中,RADIUS服务器1可以采用图5、图6或图7所示实施例的通信设备,认证设备2可以采用图3或图4所示实施例的通信设备。如图9所示,为本发明通信系统另一个实施例的结构示意图,该实施例中,RADIUS服务器1采用图5所示实施例的通信设备,认证设备2采用图3所示实施例的通信设备。第二接收模块401接收认证设备2发送的客户端3认证请求,从客户端3认证请求中获取客户端3地址与认证设备2地址并记录。封装模块402根据预设指令格式,将对客户端3进行控制的控制消息内容封装成的EAPOL数据帧。生成模块403对EAPOL数据帧、第二接收模块401记录的客户端3地址与认证设备2地址进行封装,生成SNMP报文。第二发送模块404根据认证设备2地址,向认证设备2发送SNMP报文。第一接收模块301接收第二发送模块404发送的SNMP报文,该SNMP报文中包括由对客户端3进行控制的控制消息内容封装成的EAPOL数据帧、认证设备2地址与客户端3地址。获取模块302从SNMP报文中获取EAPOL数据帧与客户端3地址。第一发送模块303根据获取的客户端3地址,将EAPOL数据帧发送给客户端3,以控制客户端3的行为。
如图10所示,为本发明通信系统又一个实施例的结构示意图,该实施例中,RADIUS服务器1采用图6所示实施例的通信设备。加密模块405采用预设算法与密钥,对封装模块402封装成的EAPOL数据帧进行加密。生成模块403对加密模块405加密的EAPOL数据帧、第二接收模块401记录的客户端3地址与认证设备2地址进行封装,生成SNMP报文。客户端3采用预设算法与密钥对加密的EAPOL数据帧进行解密,并对解密得到的EAPOL数据帧进行解封装,获得控制消息内容,根据该控制消息内容进行相应操作。
如图11所示,为本发明通信系统再一个实施例的结构示意图,该实施例中,RADIUS服务器1采用图7所示实施例的通信设备,认证设备2采用图4所示实施例的通信设备。设置模块406设置SNMP报文的属性,该属性包括认证设备2的操作密码。第二发送模块404根据认证设备2地址,向认证设备2发送设置属性的SNMP报文。比较模块304在第一接收模块301接收到SNMP报文后,比较SNMP报文的属性中的操作密码与认证设备2的实际操作密码是否相同,并向获取模块302输出比较结果。获取模块302根据比较模块304的比较结果,在SNMP报文的属性中的操作密码与认证设备2的实际操作密码相同时,从SNMP报文中获取EAPOL数据帧与客户端3地址,在SNMP报文的属性中的操作密码与认证设备2的实际操作密码不同时,不执行从SNMP报文中获取EAPOL数据帧与客户端地址的操作,具体地,可以丢弃该SNMP报文。
本发明的通信系统具体可以是802.1X的通信系统,其中的认证设备可以是一台,也可以是多台。认证设备可以与RADIUS服务器直接连接,也可以通过以太网与RADIUS服务器连接。每台认证设备可以连接一台或多台客户端。通常情况下,客户端即使通过802.1X认证,也不与RADIUS服务器在网络上连通。客户端可以直接与认证设备连接,也可以通过不具有802.1X认证功能的普通路由器或普通交换机与认证设备连接。本发明各实施例不需要改变现有的网络拓扑结构,因此,实施成本较低。如图12所示,为本发明通信系统的一个网络拓扑结构示意图。如图13所示,为本发明通信系统的另一个网络拓扑结构示意图。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例提高了RADIUS服务器的安全性,并且不需要认证设备对RADIUS服务器发送的报文内容进行全部解读并重新生成EAP报文,处理内容较少,实现简单。当认证服务器日后遇到业务扩展、故障解决、版本升级等问题时,仅仅修改RADIUS服务器的应用程序,而不需要对认证设备中的程序进行修改,因此,系统维护简便,减少了运营、管理的维护成本。
最后所应说明的是:以上实施例仅用以说明本发明的技术方案,而非对本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这种修改或者等同替换并不脱离本发明技术方案的精神和范围。
Claims (13)
1、一种信息发送处理方法,应用于802.1X通信系统,其特征在于,包括:
认证设备接收RADIUS服务器发送的SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址;
所述认证设备从所述SNMP报文中获取EAPOL数据帧与客户端地址;
所述认证设备根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
2、根据权利要求1所述的信息发送处理方法,其特征在于,所述认证设备地址为接入服务器IP地址;或者,所述客户端地址为登录所述客户端的用户IP地址+客户端MAC、或登录所述客户端的用户IP地址+用户VLAN。
3、根据权利要求1所述的信息发送处理方法,其特征在于,所述认证设备接收RADIUS服务器发送的SNMP报文之前,还包括:
RADIUS服务器接收所述认证设备发送的客户端认证请求,从所述客户端认证请求中获取客户端地址与认证设备地址并记录。
4、根据权利要求3所述的信息发送处理方法,其特征在于,从所述客户端认证请求中获取客户端地址与认证设备地址并记录与所述认证设备接收RADIUS服务器发送的SNMP报文之间还包括:RADIUS服务器根据预设指令格式将控制消息内容封装成的EAPOL数据帧,并采用预设算法与密钥对所述EAPOL数据帧进行加密,然后按照所述认证设备定义的MIB,对加密的EAPOL数据帧、认证设备地址与客户端地址进行封装,生成SNMP报文;
将所述EAPOL数据帧发送给所述客户端具体为:将加密的EAPOL数据帧发送给所述客户端;
将所述EAPOL数据帧发送给所述客户端之后,还包括:所述客户端采用预设算法与密钥对加密的EAPOL数据帧进行解密,并对解密得到的EAPOL数据帧进行解封装,获得控制消息内容,根据该控制消息内容进行相应操作。
5、根据权利要求4所述的信息发送处理方法,其特征在于,所述生成SNMP报文与认证设备接收RADIUS服务器发送的SNMP报文之间,还包括:设置所述SNMP报文的属性,该属性包括认证设备的操作密码;
所述认证设备接收RADIUS服务器发送的SNMP报文之后,还包括:比较所述SNMP报文的属性中的操作密码与所述认证设备的实际操作密码是否相同,若相同,则执行所述认证设备从所述SNMP报文中获取EAPOL数据帧与客户端地址的操作;若不相同,不执行所述认证设备从所述SNMP报文中获取EAPOL数据帧与客户端地址的操作。
6、一种通信设备,其特征在于,包括:
第一接收模块,用于接收SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、通信设备地址与客户端地址;
获取模块,用于从所述SNMP报文中获取EAPOL数据帧与客户端地址;
第一发送模块,用于根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
7、根据权利要求6所述的通信设备,其特征在于,还包括:
比较模块,用于在所述第一接收模块接收到SNMP报文后,比较所述SNMP报文的属性中的操作密码与所述通信设备的实际操作密码是否相同,并输出比较结果;
所述获取模块根据所述比较模块的比较结果,在所述SNMP报文的属性中的操作密码与所述通信设备的实际操作密码相同时,从所述SNMP报文中获取EAPOL数据帧与客户端地址,在所述SNMP报文的属性中的操作密码与所述通信设备的实际操作密码不同时,不执行所述认证设备从所述SNMP报文中获取EAPOL数据帧与客户端地址的操作。
8、一种通信设备,其特征在于,包括:
第二接收模块,用于接收另一通信设备发送的客户端认证请求,从所述客户端认证请求中获取客户端地址与另一通信设备地址并记录;
封装模块,用于根据预设指令格式,将用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧;
生成模块,用于对所述EAPOL数据帧、所述第二接收模块记录的客户端地址与另一通信设备地址进行封装,生成SNMP报文;
第二发送模块,用于根据所述另一通信设备地址,向所述另一通信设备发送SNMP报文。
9、根据权利要求8所述的通信设备,其特征在于,还包括:
加密模块,用于采用预设算法与密钥,对所述封装模块封装成的EAPOL数据帧进行加密;
所述生成模块对所述加密模块加密的EAPOL数据帧、所述第二接收模块记录的客户端地址与另一通信设备地址进行封装,生成SNMP报文。
10、根据权利要求8或9所述的通信设备,其特征在于,还包括:
设置模块,用于设置所述SNMP报文的属性,该属性包括认证设备的操作密码;
所述第二发送模块根据所述另一通信设备地址,向所述另一通信设备发送设置属性的SNMP报文。
11、一种通信系统,包括RADIUS服务器、认证设备与客户端,其特征在于,所述认证设备用于接收RADIUS服务器发送的SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址,从所述SNMP报文中获取EAPOL数据帧与客户端地址,并根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
12、根据权利要求11所述的通信系统,其特征在于,所述RADIUS服务器包括:
第二接收模块,用于接收认证设备发送的客户端认证请求,从所述客户端认证请求中获取客户端地址与认证设备地址并记录;
封装模块,用于根据预设指令格式,将用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧;
生成模块,用于对所述EAPOL数据帧、所述第二接收模块记录的客户端地址与认证设备地址进行封装,生成SNMP报文;
第二发送模块,用于根据所述认证设备地址,向所述认证设备发送SNMP报文;
所述认证设备包括:
第一接收模块,用于接收第二发送模块发送的SNMP报文,该SNMP报文中包括由用于对客户端进行控制的控制消息内容封装成的EAPOL数据帧、认证设备地址与客户端地址;
获取模块,用于从所述SNMP报文中获取EAPOL数据帧与客户端地址;
第一发送模块,用于根据获取的客户端地址,将所述EAPOL数据帧发送给所述客户端,以控制客户端的行为。
13、根据权利要求12所述的通信系统,其特征在于,所述RADIUS服务器还包括:
设置模块,用于设置所述SNMP报文的属性,该属性包括认证设备的操作密码;
所述第二发送模块根据所述认证设备地址,向所述第一接收模块发送设置属性的SNMP报文;
所述认证设备还包括:
比较模块,用于在所述第一接收模块接收到SNMP报文后,比较所述SNMP报文的属性中的操作密码与所述认证设备的实际操作密码是否相同,并输出比较结果;
所述获取模块根据所述比较模块的比较结果,在所述SNMP报文的属性中的操作密码与所述认证设备的实际操作密码相同时,从所述SNMP报文中获取EAPOL数据帧与客户端地址,在所述SNMP报文的属性中的操作密码与所述认证设备的实际操作密码不同时,不执行从所述SNMP报文中获取EAPOL数据帧与客户端地址的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102253057A CN101388796B (zh) | 2008-10-29 | 2008-10-29 | 信息发送处理方法、通信设备与通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102253057A CN101388796B (zh) | 2008-10-29 | 2008-10-29 | 信息发送处理方法、通信设备与通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101388796A true CN101388796A (zh) | 2009-03-18 |
| CN101388796B CN101388796B (zh) | 2010-12-22 |
Family
ID=40477992
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102253057A Expired - Fee Related CN101388796B (zh) | 2008-10-29 | 2008-10-29 | 信息发送处理方法、通信设备与通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101388796B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599834B (zh) * | 2009-07-15 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种认证部署方法和一种管理设备 |
| CN101707587B (zh) * | 2009-09-21 | 2012-11-21 | 北京星网锐捷网络技术有限公司 | 检测客户端连接状态的方法、装置以及Radius服务器 |
| CN108990050A (zh) * | 2012-12-04 | 2018-12-11 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
| CN112468500A (zh) * | 2020-11-28 | 2021-03-09 | 武汉零感网御网络科技有限公司 | 一种基于多维度数据动态变化场景的风险处理方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1235382C (zh) * | 2002-11-15 | 2006-01-04 | 华为技术有限公司 | 一种基于802.1x协议的客户端认证方法 |
-
2008
- 2008-10-29 CN CN2008102253057A patent/CN101388796B/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599834B (zh) * | 2009-07-15 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种认证部署方法和一种管理设备 |
| CN101707587B (zh) * | 2009-09-21 | 2012-11-21 | 北京星网锐捷网络技术有限公司 | 检测客户端连接状态的方法、装置以及Radius服务器 |
| CN108990050A (zh) * | 2012-12-04 | 2018-12-11 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
| CN108990050B (zh) * | 2012-12-04 | 2021-07-09 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
| CN112468500A (zh) * | 2020-11-28 | 2021-03-09 | 武汉零感网御网络科技有限公司 | 一种基于多维度数据动态变化场景的风险处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101388796B (zh) | 2010-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9917845B2 (en) | Link discovery method and apparatus | |
| CN101730987B (zh) | 使用usb密钥来管理网络组件 | |
| US7792939B2 (en) | Method and system for obtaining secure shell host key of managed device | |
| CN102724175B (zh) | 泛在绿色社区控制网络的远程通信安全管理架构与方法 | |
| CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| CN112383881B (zh) | 一种信息上报方法、装置、设备及存储介质 | |
| CN109743170A (zh) | 一种流媒体登录以及数据传输加密的方法和装置 | |
| CN101388796B (zh) | 信息发送处理方法、通信设备与通信系统 | |
| CN104767637A (zh) | 一种eoc终端配置的方法 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN107135190A (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 | |
| EP2863578B1 (en) | Network device and authentication thereof and key management method | |
| CN107078922A (zh) | 基于云的接入点控制器的发现 | |
| CN102201956B (zh) | 三网融合宽带接入设备嵌入式管理方法 | |
| CN111917798B (zh) | 一种物联网终端管控和安全通信方法 | |
| US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks | |
| CN101599834A (zh) | 一种认证部署方法和一种管理设备 | |
| WO2012155672A1 (zh) | 对EoC终端进行远程认证的方法、EoC设备和系统 | |
| US20230065801A1 (en) | Data center 5g network encrypted multicast-based authority authentication method and system | |
| CN104994078B (zh) | 局域网内的信息发送、获取方法及装置、信息处理系统 | |
| CN101924636A (zh) | 相关认证信息下发方法、装置及网络设备 | |
| CN113518121A (zh) | 一种批量操作方法以及装置 | |
| CN102843379B (zh) | 一种面向多接入模式的认证网络 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101222 Termination date: 20141029 |
|
| EXPY | Termination of patent right or utility model |