CN101599967B - 基于802.1x认证系统的权限控制方法及系统 - Google Patents
基于802.1x认证系统的权限控制方法及系统 Download PDFInfo
- Publication number
- CN101599967B CN101599967B CN2009100867701A CN200910086770A CN101599967B CN 101599967 B CN101599967 B CN 101599967B CN 2009100867701 A CN2009100867701 A CN 2009100867701A CN 200910086770 A CN200910086770 A CN 200910086770A CN 101599967 B CN101599967 B CN 101599967B
- Authority
- CN
- China
- Prior art keywords
- client
- ipv6 address
- address
- equipment end
- ipv6
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了基于802.1x认证系统的权限控制方法及系统。方法包括:客户端获取自身的IP地址,将该IP地址携带在EAP身份响应报文中发送给设备端,设备端将该IP地址发送给认证服务器,认证服务器根据客户端的IP地址对客户端进行权限控制。本发明实现了802.1x认证系统中基于用户IP地址的权限控制。
Description
技术领域
本发明涉及802.1x认证技术领域,具体涉及基于802.1x认证系统的权限控制方法及系统。
背景技术
电气和电子工程师协议(IEEE,Institute of Electrical and ElectronicsEngineer)802.1x协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;否则,无法访问局域网中的资源。
802.1x系统为典型的客户端/服务器结构,图1给出了802.1x认证系统的体系结构,如图1所示,该结构中包括三个实体:客户端、设备端和认证服务器。
客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议(EAPOL,Extensible Authentication Protocol over LAN)。
设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为远程认证拨号用户服务(RADIUS,RemoteAuthentication Dial-In User Service)服务器。
认证过程可以由客户端主动发起,也可以由设备端发起。一方面当设备端探测到有未经过认证的用户使用网络时,就会主动向客户端发送EAP-Request/Identity报文,发起认证;另一方面客户端可以通过客户端软件向设备端发送EAPOL-Start报文,发起认证。
802.1x系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。
EAP中继方式是IEEE 802.1x标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达RADIUS服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。
目前设备支持的EAP中继方法有四种:EAP-信息摘要(MD,MessageDigest)5、EAP-传输层安全(TLS,Transport Layer Security)、EAP-隧道传输层安全(TTLS,Tunneled Transport Layer Security)和受保护的扩展认证协议(PEAP,Protected Extensible Authentication Protocol),其中:
EAP-MD5:验证客户端的身份,RADIUS服务器发送MD5加密字给客户端,客户端用该加密字对口令部分进行加密处理。
EAP-TLS:客户端和RADIUS服务器端通过EAP-TLS认证方法检查彼此的安全证书,验证对方身份,保证通信目的端的正确性,防止网络数据被窃听。
EAP-TTLS:是对EAP-TLS的一种扩展。在EAP-TLS中,实现对客户端和RADIUS服务器的双向认证。EAP-TTLS扩展了这种实现,使用TLS建立起来的安全隧道传递信息。
PEAP:首先创建和使用TLS安全通道来进行完整性保护,然后进行新的EAP协商,从而完成对客户端的身份验证。
图2为现有的IEEE 802.1x认证系统的EAP-MD5方式的业务流程图,本流程以客户端发起认证为例,如图2所示,其具体步骤如下:
步骤201:当用户有访问网络需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和密码,客户端发起EAPOL开始(EAPOL-Start)报文,启动认证过程。
步骤202:设备端收到EAPOL-Start报文后,发出EAP身份请求(EAP-Request/Identity)报文,要求客户端发送输入的用户名。
步骤203:客户端接收到EAP-Request/Identity报文,将用户名通过EAP身份响应(EAP-Response/Identity)报文发送给设备端;设备端将EAP-Response/Identity数据包封装在RADIUS接入请求(RADIUSAccess-Request)报文中发送给RADIUS服务器。
步骤204:RADIUS服务器收到设备端转发的用户名后,将该用户名与数据库中的用户名对比,找到该用户名对应的密码,用随机生成的一个加密字对该密码进行加密处理,同时将该加密字通过RADIUS接入挑战(RADIUSAccess-Challenge)报文发送给设备端,设备端将该加密字通过RADIUS MD5挑战请求(EAP-Request/MD5 Challenge)报文转发给客户端。
步骤205:客户端收到由设备端传来的加密字后,用该加密字对密码进行加密处理,将加密的密码通过EAP MD5挑战响应(EAP-Response/MD5Challenge)报文发送给设备端,设备端将该加密的密码通过RADIUS接入请求(RADIUS Access-Request)报文传给RADIUS服务器。
步骤206:RADIUS服务器将收到的已加密的密码和本地经过加密运算后的密码对比,若相同,认为该用户为合法用户,向设备端返回RADIUS接入接受(RADIUS Access-Accept)报文,设备端收到RADIUS Access-Accept报文后,向客户端返回EAP成功(EAP-Success)报文。
步骤207:设备收到EAP-Success报文后将端口改为授权状态,允许用户通过端口访问网络。
此后,设备端会向客户端定期发送握手请求报文(EAPOL-Request/Identity),对用户的在线情况进行监测。缺省情况下,若连续两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备端无法感知。客户端也可以发送EAPOL下线(EAPOL-Logoff)报文给设备端,主动要求下线。用户下线后,设备端将端口状态从授权状态改变成未授权状态。
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用于对用户密码进行加密处理的随机加密字由设备端生成,之后设备端会将用户名、随机加密字和客户端加密后的密码一起送给RADIUS服务器,进行相关的认证处理。
访问控制列表(ACL,Access Control List)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备端会根据RADIUS服务器下发的授权ACL对用户所在端口的数据流进行控制。
现有的IPv6网络组网中,使用802.1x提供接入认证,但只是简单地控制端口的报文收发,网络管理员不能得知接入用户的IPv6地址,也不能使用接入用户的IPv6地址对用户进行权限控制。
发明内容
本发明提供基于802.1x认证系统的权限控制方法及系统,以实现802.1x认证系统中基于用户IP地址的权限控制。
本发明的技术方案是这样实现的:
一种基于802.1x认证系统的权限控制方法,该方法包括:
客户端获取自身的IP地址,将该IP地址携带在可扩展认证协议EAP身份响应报文中发送给设备端,设备端将该IP地址发送给认证服务器;
认证服务器根据客户端的IP地址,对客户端进行权限控制。
所述IP地址携带在EAP身份响应报文的身份标识域中。
所述IP地址附加在身份标识域中的用户名头部。
所述携带在EAP身份响应报文的身份标识域中的IP地址多于一个。
所述IP地址为IPv6地址,且所有IPv6地址的前缀相同,则所述身份标识域中只包含一个IPv6地址前缀,同时包含每个IPv6地址对应的接口标识。
所述客户端获取自身的IP地址为:客户端在802.1x认证过程开始前获取自身的IP地址;
所述客户端将该IP地址携带在EAP身份响应报文中发送给设备端为:
客户端在收到设备端发来的要求输入用户名的EAP身份请求报文后,将自身的IPv6地址和用户名携带在EAP身份响应报文中发送给设备端。
所述客户端获取自身的IP地址为:客户端在802.1x认证过程结束后,获取自身的IP地址;
所述客户端将该IP地址携带在EAP身份响应报文中发送给设备端为:
客户端在收到设备端发来的请求握手的EAP身份请求报文后,将自身的IPv6地址携带在响应握手的EAP身份响应报文中发送给设备端。
所述认证服务器为远程认证拨号用户服务RADIUS服务器,
所述设备端将该IP地址发送给认证服务器包括:
设备端将该IP地址通过RADIUS IPv4或IPv6标准属性上报给RADIUS服务器;
或者,所述设备端将EAP身份响应数据包封装在RADIUS报文中上报给RADIUS服务器,且RADIUS服务器通过解析RADIUS报文中的EAP身份响应数据包,得到客户端的IP地址。
所述认证服务器根据客户端的IP地址对客户端进行权限控制包括:
认证服务器判断客户端的IP地址是否合法,若合法,则允许客户端在线;否则,通知设备端拒绝客户端在线。
所述EAP身份响应报文进一步包括:客户端的用户名,
且,所述设备端将该IP地址发送给认证服务器进一步包括:客户端将用户名发送给认证服务器;
所述认证服务器根据客户端的IP地址对客户端进行权限控制包括:认证服务器查找与该用户名对应的接入控制列表ACL,以客户端的IP地址更新ACL中的源IP地址项内容,将该ACL下发给设备端,设备端根据该ACL对客户端的后续数据流进行控制。
所述认证服务器根据客户端的IP地址对客户端进行权限控制包括:
认证服务器保存客户端的IP地址,根据客户端的IP地址对客户端的后续动作进行跟踪。
所述认证服务器根据客户端的IP地址对客户端进行权限控制之后进一步包括:
客户端发现自身的IP地址更改,将更改后的IP地址携带在EAP身份响应报文中发送给设备端,转至所述设备端将该IP地址发送给认证服务器的动作。
一种基于802.1x认证系统的权限控制系统,该系统包括:
客户端,获取自身的IP地址,将该IP地址携带在EAP身份响应报文中发送给设备端;
设备端,将客户端发来的IP地址发送给认证服务器;
认证服务器,根据设备端发来的客户端的IP地址,对客户端进行权限控制。
所述客户端进一步用于,发现自身的IP地址更改,将更改后的IP地址携带在EAP身份响应报文中发送给设备端。
所述客户端包括:
IP地址获取模块,获取自身的IP地址;
认证模块,802.1认证过程开始,向IP地址获取模块查询是否已获取了本客户端的IP地址,若是,将该IP地址通过EAP身份响应报文发送给设备端;否则,向握手模块发送IP地址上报指示;
握手模块,接收IP地址上报指示,当收到设备端发来的用于握手的EAP身份请求报文时,向IP地址获取模块查询是否已获取了本客户端的IP地址,若是,将该IP地址携带在用于握手的EAP身份响应报文中发送给设备端。
与现有技术相比,本发明中,客户端获取自身的IP地址,将该IP地址携带在EAP身份响应报文中发送给设备端,设备端将该IP地址发送给认证服务器,认证服务器根据客户端的IP地址对客户端进行权限控制。本发明实现了802.1x认证系统中基于用户IP地址的权限控制。
另外,本发明实施例可以支持多个IP地址的上报,当客户端具有多个前缀相同的IPv6地址时,可以将IPv6地址拆分成前缀+接口ID的形式,从而节省IPv6地址占用的字节数。
附图说明
图1为现有的802.1x认证系统的体系结构示意图;
图2为现有的IEEE 802.1x认证系统的EAP-MD5方式的业务流程图;
图3为本发明提供的基于802.1x认证系统的权限控制方法流程图;
图4为本发明实施例提供的基于802.1x认证系统的权限控制方法流程图;
图5为本发明提供的基于802.1x认证系统的权限控制系统的组成图;
图6为本发明实施例提供的客户端的组成图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图3为本发明提供的基于802.1x认证系统的权限控制方法流程图,如图3所示,其具体步骤如下:
步骤301:客户端获取自身的IPv6地址。
客户端可通过操作系统的应用编程接口(API,Application ProgramInterface)获取网卡配置成功的IPv6地址。客户端的IPv6地址可通过多种方式配置,如手工配置、邻居发现(ND,Neighbor Discovery)无状态自动配置、动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)有状态自动配置等。
步骤302:客户端将自身的IPv6地址携带在EAP-Response/Identity报文中发送给设备端。
如果网卡为客户端配置了多个IPv6地址,则客户端可获取最先配置的预定数目个IPv6地址上报给设备端。
这里的EAP-Response/Identity报文可以是802.1x认证过程中客户端发送的用于上报用户名的EAP-Response/Identity报文,也可以是802.1x认证结束后客户端发送的用于握手的EAP-Response/Identity报文。
步骤303:设备端接收EAP-Response/Identity报文,将客户端的IPv6地址通过RADIUS报文上报给RADIUS服务器。
若RADIUS服务器可以解析出EAP-Response/Identity数据包中的IPv6地址,则本步骤中,设备端可以直接将EAP-Response/Identity数据包封装在RADIUS报文中发送给RADIUS服务器,RADIUS服务器收到RADIUS报文后,会从EAP-Response/Identity数据包中解析出客户端的IPv6地址。
若RADIUS服务器不能解析EAP-Response/Identity数据包,则本步骤中,设备端收到EAP-Response/Identity报文后,要先解析出客户端的IPv6地址,然后将该IPv6地址通过RADIUS IPv6标准属性上报给RADIUS服务器;同时,将去掉客户端的IPv6地址的EAP-Response/Identity数据包封装成RADIUS的EAP扩展属性报文发送给RADIUS服务器。
RFC3162中定义的RADIUS IPv6标准属性如下:
96号属性:Framed_Interface_Id,表示登录用户的IPv6地址的接口ID
97号属性:Framed-IPv6-Prefix,表示登录用户的IPv6地址的前缀
98号属性:Login_IPv6_Host,表示登录用户的IPv6地址
这里,设备端也可以记录客户端的IPv6地址,以对客户端的后续动作进行跟踪。
步骤304:RADIUS服务器接收到客户端的IPv6地址,根据该客户端的IPv6地址对客户端进行权限控制。
对客户端的权限控制可以如下:
一、确定是否允许客户端在线。具体地:RADIUS服务器判断客户端的IPv6地址是否合法,若是,则允许客户端在线;否则,通知设备端不允许客户端在线。
若设备端同时上报了客户端的一个以上IPv6地址,则RADIUS服务器要依次判断每个IPv6地址的合法性,只有客户端使用合法的IPv6地址登录时,才允许客户端在线。
二、向设备端下发客户端的ACL。该ACL中包含源IPv6地址项,当客户端未上报IPv6地址时,该项为空,ACL不生效;当RADIUS服务器收到客户端上报的IPv6地址后,根据客户端的用户名查找到ACL,将客户端的IPv6地址添入该ACL的源IPv6地址项,该ACL生效,将该ACL下发给设备端,设备端使用该ACL对客户端的数据流进行控制。
若设备端同时上报了客户端的一个以上IPv6地址,则RADIUS服务器将上报的所有IPv6地址都添加到ACL的源IPv6地址项。
三、对客户端的后续动作进行跟踪,这里要求RADIUS服务器记录客户端的IPv6地址。例如:可根据客户端的IPv6地址查看该客户端是否攻击了其它设备或者是否受到了其它设备的攻击。
步骤305:客户端发现自身的IPv6地址更改,将更改后的IPv6地址携带在EAP-Response/Identity报文中发送给设备端,返回步骤303。
当客户端的IPv6地址更改后,若RADIUS服务器对客户端的权限控制属于步骤304提到的第二条,则RADIUS服务器要以更改后的客户端IPv6地址替换ACL中的源IPv6地址项的内容,并将更新的ACL下发给设备端,设备端使用该更新后的ACL对客户端的后续数据流进行控制。
图4为本发明实施例提供的基于802.1x认证系统的权限控制方法流程图,本实施例以通过ACL对客户端进行权限控制为例,其具体步骤如下:
步骤400:RADIUS服务器保存用户名与ACL的对应关系。
步骤401:802.1x认证过程开始,客户端接收设备端发来的EAP-Request/Identity报文。
步骤402:客户端判断是否已获取到自身的IPv6地址,若是,执行步骤403;否则,执行步骤407。
步骤403:客户端将自身的用户名和IPv6地址携带在EAP-Response/Identity报文中发送给设备端。
用户名是携带在EAP-Response/Identity报文的身份标识(Identifier)域中的,本步骤中,IPv6地址也是携带在Identifier域中,且IPv6地址附加在用户名的头部,每个IPv6地址可占用18个字节,该18个字节的取值及含义如下:
0x15,表示IP地址上传,占用1字节;0x06,表示IP地址为IPv6地址,占用1字节;具体的IPv6地址,占用16字节。
为了减少IPv6地址占用的长度,对于具有相同前缀的多个IPv6地址,可采用如下方式附加在用户名头部:
0x15,表示IP地址上传,占用1字节;0x16,表示IPv6前缀,占用1字节;IPv6前缀,占用8字节;
0x15,表示IP地址上传,占用1字节;0x26,表示IPv6接口ID,占用1字节;IPv6接口ID,占用8字节。
每个IPv6前缀后可跟一个以上接口ID,IPv6前缀+一个IPv6接口ID组成一个IPv6地址。若客户端使用设备端分配的前缀,则可以不在EAP-Response/Identity报文中携带IPv6前缀,直接携带各IPv6接口ID即可;设备端收到EAP-Response/Identity报文中后,发现Identifier域中只携带了IPv6接口ID,则使用自身为客户端分配的前缀与各IPv6接口ID分别组合形成客户端的各IPv6地址。
步骤404:设备端收到EAP-Response/Identity报文,将EAP-Response/Identity数据包装在RADIUS Access-Request报文中发送给RADIUS服务器。
步骤405:RADIUS服务器接收RADIUS Access-Request报文,解析出客户端的IPv6地址和用户名,查找与客户端的用户名对应的ACL。
步骤406:RADIUS服务器将客户端的IPv6地址添加到ACL的源IPv6地址项中,将该ACL下发给设备端,设备端根据该ACL对客户端的数据流进行控制,转至步骤411。
步骤407:客户端将自身的用户名携带在EAP-Response/Identity报文中发送给设备端,完成后续认证过程。
步骤408:客户端发现已获取到自身的IPv6地址,则将该IPv6地址携带在握手响应报文:EAP-Response/Identity报文中发送给设备端。
步骤409:设备端收到EAP-Response/Identity报文,解析出客户端的IPv6地址,将该IPv6地址通过RADIUS IPv6标准属性上报给RADIUS服务器,同时将客户端的用户名通过RADIUS报文上报给RADIUS服务器。
步骤410:RADIUS服务器接收客户端的IPv6地址和用户名,查找与用户名对应的ACL,返回步骤406。
步骤411:客户端发现自身的IPv6地址更改,将更改后的IPv6地址携带在EAP-Response/Identity报文中发送给设备端,返回步骤409。
图3、4所示实施例同样适用于IPv4地址。
图5为本发明实施例提供的基于802.1x认证系统的权限控制系统的组成图,如图5所示,其主要包括:客户端51、设备端52和认证服务器53,其中:
客户端51:获取自身的IP地址,将该IP地址携带在EAP身份响应报文中发送给设备端52。
客户端51还可用于,当发现自身的IP地址更改时,将更改后的IP地址携带在EAP身份响应报文中发送给设备端52。
设备端52:接收客户端51发来的EAP身份响应报文,将报文中的客户端的IP地址通过RADIUS报文发送给认证服务器53。
认证服务器53:根据设备端52发来的客户端的IP地址,对客户端进行权限控制。
如图6所示,客户端51可包括:IP地址获取模块511、认证模块512和握手模块513,其中:
IP地址获取模块511:获取自身的IP地址。
认证模块512:802.1认证过程开始,向IP地址获取模块511查询是否已获取了本客户端的IP地址,若是,将该IP地址通过EAP身份响应报文发送给设备端52;否则,向握手模块513发送IP地址上报指示。
握手模块513:接收认证模块512发来的IP地址上报指示,当收到设备端52发来的用于握手的EAP身份请求报文时,向IP地址获取模块511查询是否已获取了本客户端的IP地址,若是,将该IP地址携带在用于握手的EAP身份响应报文中发送给设备端52;否则,直接向设备端52发送用于握手的EAP身份响应报文。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种基于802.1x认证系统的权限控制方法,其特征在于,该方法包括:
客户端获取自身的IPv6地址,将该IPv6地址携带在可扩展认证协议EAP身份响应报文中发送给设备端,设备端将该IPv6地址发送给认证服务器;所述IPv6地址携带在EAP身份响应报文的身份标识域中,所述IPv6地址附加在身份标识域中的用户名头部,当所有IPv6地址的前缀相同时,所述身份标识域中只包含一个IPv6地址前缀,同时包含每个IPv6地址对应的接口标识;当客户端使用设备端分配的IPv6地址的前缀,所述身份标识域中只包含每个IPv6地址对应的接口标识;
认证服务器根据客户端的IPv6地址,对客户端进行权限控制。
2.如权利要求1所述的方法,其特征在于,所述携带在EAP身份响应报文的身份标识域中的IPv6地址多于一个。
3.如权利要求1所述的方法,其特征在于,所述客户端获取自身的IPv6地址为:客户端在802.1x认证过程开始前获取自身的IPv6地址;
所述客户端将该IPv6地址携带在EAP身份响应报文中发送给设备端为:
客户端在收到设备端发来的要求输入用户名的EAP身份请求报文后,将自身的IPv6地址和用户名携带在EAP身份响应报文中发送给设备端。
4.如权利要求1所述的方法,其特征在于,所述客户端获取自身的IPv6地址为:客户端在802.1x认证过程结束后,获取自身的IPv6地址;
所述客户端将该IPv6地址携带在EAP身份响应报文中发送给设备端为:
客户端在收到设备端发来的请求握手的EAP身份请求报文后,将自身的IPv6地址携带在响应握手的EAP身份响应报文中发送给设备端。
5.如权利要求1所述的方法,其特征在于,所述认证服务器为远程认证拨号用户服务RADIUS服务器,
所述设备端将该IPv6地址发送给认证服务器包括:
设备端将该IPv6地址通过RADIUS IPv6标准属性上报给RADIUS服务器;
或者,所述设备端将EAP身份响应数据包封装在RADIUS报文中上报给RADIUS服务器,且RADIUS服务器通过解析RADIUS报文中的EAP身份响应数据包,得到客户端的IPv6地址。
6.如权利要求1所述的方法,其特征在于,所述认证服务器根据客户端的IP地址对客户端进行权限控制包括:
认证服务器判断客户端的IPv6地址是否合法,若合法,则允许客户端在线;否则,通知设备端拒绝客户端在线。
7.如权利要求1所述的方法,其特征在于,所述EAP身份响应报文进一步包括:客户端的用户名,
且,所述设备端将该IPv6地址发送给认证服务器进一步包括:客户端将用户名发送给认证服务器;
所述认证服务器根据客户端的IPv6地址对客户端进行权限控制包括:认证服务器查找与该用户名对应的接入控制列表ACL,以客户端的IPv6地址更新ACL中的源IP地址项内容,将该ACL下发给设备端,设备端根据该ACL对客户端的后续数据流进行控制。
8.如权利要求1所述的方法,其特征在于,所述认证服务器根据客户端的IPv6地址对客户端进行权限控制包括:
认证服务器保存客户端的IPv6地址,根据客户端的IPv6地址对客户端的后续动作进行跟踪。
9.如权利要求1所述的方法,其特征在于,所述认证服务器根据客户端的IPv6地址对客户端进行权限控制之后进一步包括:
客户端发现自身的IPv6地址更改,将更改后的IPv6地址携带在EAP身份响应报文中发送给设备端,转至所述设备端将该IPv6地址发送给认证服务器的动作。
10.一种基于802.1x认证系统的权限控制系统,其特征在于,该系统包括:
客户端,获取自身的IPv6地址,将该IPv6地址携带在EAP身份响应报文中发送给设备端;所述IPv6地址携带在EAP身份响应报文的身份标识域中,所述IPv6地址附加在身份标识域中的用户名头部,当所有IPv6地址的前缀相同时,所述身份标识域中只包含一个IPv6地址前缀,同时包含每个IPv6地址对应的接口标识;当客户端使用设备端分配的IPv6地址的前缀,所述身份标识域中只包含每个IPv6地址对应的接口标识;
设备端,将客户端发来的IPv6地址发送给认证服务器;
认证服务器,根据设备端发来的客户端的IPv6地址,对客户端进行权限控制。
11.如权利要求10所述的系统,其特征在于,所述客户端进一步用于,发现自身的IPv6地址更改,将更改后的IPv6地址携带在EAP身份响应报文中发送给设备端。
12.如权利要求10或11所述的系统,其特征在于,所述客户端包括:
IP地址获取模块,获取自身的IPv6地址;
认证模块,802.1认证过程开始,向IP地址获取模块查询是否已获取了本客户端的IPv6地址,若是,将该IPv6地址通过EAP身份响应报文发送给设备端;否则,向握手模块发送IP地址上报指示;
握手模块,接收IP地址上报指示,当收到设备端发来的用于握手的EAP身份请求报文时,向IP地址获取模块查询是否已获取了本客户端的IPv6地址,若是,将该IPv6地址携带在用于握手的EAP身份响应报文中发送给设备端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100867701A CN101599967B (zh) | 2009-06-29 | 2009-06-29 | 基于802.1x认证系统的权限控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100867701A CN101599967B (zh) | 2009-06-29 | 2009-06-29 | 基于802.1x认证系统的权限控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599967A CN101599967A (zh) | 2009-12-09 |
| CN101599967B true CN101599967B (zh) | 2012-08-15 |
Family
ID=41421214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100867701A Active CN101599967B (zh) | 2009-06-29 | 2009-06-29 | 基于802.1x认证系统的权限控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599967B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
| CN102447709A (zh) * | 2012-01-17 | 2012-05-09 | 神州数码网络(北京)有限公司 | 基于DHCP和802.1x接入权限控制方法及系统 |
| CN102638463A (zh) * | 2012-03-28 | 2012-08-15 | 中兴通讯股份有限公司 | 跟踪特定radius会话的方法和装置 |
| TWI476627B (zh) * | 2012-05-11 | 2015-03-11 | Chunghwa Telecom Co Ltd | The management system and method of network service level and function of cloud virtual desktop application |
| CN102883265B (zh) * | 2012-09-20 | 2015-11-25 | 中国联合网络通信集团有限公司 | 接入用户的位置信息发送和接收方法、设备及系统 |
| CN103369531B (zh) * | 2013-07-02 | 2017-07-04 | 新华三技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN105357168B (zh) * | 2014-08-19 | 2019-02-01 | 酷派软件技术(深圳)有限公司 | 一种设备访问权限分配方法及装置 |
| CN104618268A (zh) * | 2014-12-30 | 2015-05-13 | 北京奇虎科技有限公司 | 网络准入控制方法及认证服务器、终端 |
| CN106790012B (zh) * | 2016-12-14 | 2020-02-18 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
| CN108989290A (zh) * | 2018-06-21 | 2018-12-11 | 上海二三四五网络科技有限公司 | 一种在外网中实现服务器网络访问限制的控制方法及控制装置 |
| CN109040299A (zh) * | 2018-09-03 | 2018-12-18 | 夸克链科技(深圳)有限公司 | 一种ip v6服务器向客户端主动通讯方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571333A (zh) * | 2003-07-16 | 2005-01-26 | 华为技术有限公司 | 一种触发802.1x认证过程的方法 |
| EP1838070A1 (en) * | 2006-03-20 | 2007-09-26 | Alcatel | Monitoring device for the forced centralization of selected traffic in a node of an IP network |
| CN101296081A (zh) * | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 认证、认证后分配ip地址的方法、系统、接入实体和装置 |
-
2009
- 2009-06-29 CN CN2009100867701A patent/CN101599967B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571333A (zh) * | 2003-07-16 | 2005-01-26 | 华为技术有限公司 | 一种触发802.1x认证过程的方法 |
| EP1838070A1 (en) * | 2006-03-20 | 2007-09-26 | Alcatel | Monitoring device for the forced centralization of selected traffic in a node of an IP network |
| CN101296081A (zh) * | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 认证、认证后分配ip地址的方法、系统、接入实体和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599967A (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| US9131378B2 (en) | Dynamic authentication in secured wireless networks | |
| JP4801147B2 (ja) | 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| US8806565B2 (en) | Secure network location awareness | |
| US10735405B2 (en) | Private simultaneous authentication of equals | |
| US10477397B2 (en) | Method and apparatus for passpoint EAP session tracking | |
| CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN101764693B (zh) | 认证方法、系统、客户端和网络设备 | |
| CN101917398A (zh) | 一种客户端访问权限控制方法及设备 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| EP3965363A1 (en) | Methods and systems for enabling identity-based services using a random identifier | |
| CN101047502B (zh) | 一种网络认证方法 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN105635321A (zh) | 一种动态组网设备注册的方法 | |
| WO2014177106A1 (zh) | 一种网络接入控制方法和系统 | |
| CN111901116B (zh) | 一种基于eap-md5改进协议的身份认证方法及系统 | |
| KR102118556B1 (ko) | 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법 | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| JP2010187223A (ja) | 認証サーバ | |
| CN100461098C (zh) | 一种认证软件自动升级方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |