CN101640680B - 一种网络接入控制的方法、系统和装置 - Google Patents

一种网络接入控制的方法、系统和装置 Download PDF

Info

Publication number
CN101640680B
CN101640680B CN2009100906744A CN200910090674A CN101640680B CN 101640680 B CN101640680 B CN 101640680B CN 2009100906744 A CN2009100906744 A CN 2009100906744A CN 200910090674 A CN200910090674 A CN 200910090674A CN 101640680 B CN101640680 B CN 101640680B
Authority
CN
China
Prior art keywords
network access
authentication
access server
page
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009100906744A
Other languages
English (en)
Other versions
CN101640680A (zh
Inventor
徐霆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN2009100906744A priority Critical patent/CN101640680B/zh
Publication of CN101640680A publication Critical patent/CN101640680A/zh
Application granted granted Critical
Publication of CN101640680B publication Critical patent/CN101640680B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种网络接入控制的方法、系统和装置,其中方法包括:网络接入服务器接收接入终端发送的以太网端口自协商的非格式化页;从所述非格式化页中获取认证信息,并将该认证信息提供给认证服务器进行认证;在认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路;在认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路。本发明通过这种在物理层进行认证的方式,在物理层上就能够隔离未经认证的用户,杜绝了非法用户对网络进行攻击的可能性,大大提高了网络的安全性和健壮性。

Description

一种网络接入控制的方法、系统和装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络接入控制的方法、系统和装置。
背景技术
随着互联网的飞速发展,网络已经成为人们生活、工作中不可或缺的一部分,从网络电视(IPTV)到网上银行,从电子商务到网络游戏,网络无处不在。然而,网络在给我们带来方便和乐趣的同时,也潜在着巨大的风险和危机,因此网络安全一直是人们关注的热点之一。
网络安全包括多个方面,其中一个重要的方面就是终端的接入控制,即只允许经过认证的合法用户接入网络,把未经过认证的非法用户拒之门外。目前,常用的网络接入控制方法主要为入口(Portal)认证、802.1x和MAC地址认证等,这些接入控制方法都是基于MAC层以上的认证,虽然能够有效地解决用户正常的接入控制,但在应对恶意攻击的时候,都在不同程度上存在一定缺陷。例如:攻击者与接入设备建立连接后,通过仿冒协议报文或者不断变化报文的源MAC地址进行攻击,从而使得接入设备的CPU负担过重甚至瘫痪;攻击者与接入设备建立连接后,通过控制终端和接入设备之间的链路,使之不停地在连接(UP)和断开(DOMN)之间切换,引起与端口状态相关联的协议产生震荡;攻击者与接入设备建立连接后,使用异常帧对接入设备的MAC进行攻击,使得接入设备的MAC出现异常等等。因此,需要一种更加彻底、更加安全的接入控制方法,从而提高网络的安全性和健壮性。
发明内容
有鉴于此,本发明提供了一种网络接入控制方法、系统和装置,以便于提高网络的安全性和健壮性。
一种网络接入控制的方法,该方法包括:
A、网络接入服务器接收接入终端发送的以太网端口自协商的非格式化页;
B、从所述非格式化页中获取认证信息,并将所述认证信息提供给认证服务器进行认证;
C、在认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路;在认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路。
一种接入终端,该接入终端包括:认证处理单元和收发处理单元;
所述认证处理单元,用于将认证信息携带在以太网端口自协商的非格式化页中提供给所述收发处理单元;
所述收发处理单元,用于将所述认证处理单元提供的非格式化页发送给网络接入服务器,使得网络接入服务器从所述非格式化页中获取认证信息,并将所述认证信息提供给所述认证服务器进行认证,在所述认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路,在所述认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路。
一种网络接入服务器,该网络接入服务器包括:收发处理单元、认证处理单元和链路处理单元;
所述收发处理单元,用于接收接入终端发送的以太网端口自协商的非格式化页;将所述认证处理单元获取的认证信息提供给认证服务器进行认证;接收认证服务器返回的认证结果并提供给所述认证处理单元;
所述认证处理单元,用于从所述非格式化页中获取认证信息;确定所述认证结果为认证成功时,向所述链路处理单元发送启动通知;确定所述认证结果为认证失败时,不启动所述接入终端与所述网络接入服务器之间的链路;
所述链路处理单元,用于接收到启动通知时,启动所述接入终端与所述网络接入服务器之间的链路。
一种网络接入控制的系统,该系统包括:接入终端、网络接入服务器和认证服务器;
所述接入终端,用于利用以太网端口自协商的非格式化页携带认证信息并发送给所述网络接入服务器;
所述网络接入服务器,用于从所述非格式化页中获取认证信息,并将所述认证信息提供给所述认证服务器进行认证;在所述认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路;在所述认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路;
所述认证服务器,用于利用所述认证信息进行认证,并将认证结果返回给所述网络接入服务器。
由以上技术方案可以看出,本发明提供的方法、系统和装置,通过在以太网端口自协商中引入认证过程,即采用以太网端口自协商的非格式化页承载认证信息发送给网络接入设备,网络接入设备控制接入终端和网络接入服务器之间的链路在认证成功后才能启动,如果认证失败,则不会启动接入终端和网络接入服务器之间的链路。通过这种在物理层进行认证的方式,在物理层上就能够隔离未经认证的用户,杜绝了非法用户对网络进行攻击的可能性,大大提高了网络的安全性和健壮性。
附图说明
图1为以太网端口自协商中基本页的格式示意图;
图2为以太网端口自协商中消息页的格式示意图;
图3为以太网端口自协商中非格式化页的格式示意图;
图4为现有以太网端口自协商的过程示意图;
图5为本发明实施例一提供的方法流程图;
图6为本发明实施例二提供的方法流程图;
图7为本发明实施例提供的系统结构图;
图8为本发明实施例提供的接入终端结构示意图;
图9为本发明实施例提供的网络接入服务器结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
通过对现有基于MAC层以上的网络接入控制方法的分析,发明人考虑可以利用当前广泛应用的以太网自协商技术,把接入控制推到网络的最底层即物理层,使得非法用户从物理层就无法接入网络,不可能对网络设备进行攻击。
本发明提供的方法主要包括:接入终端(AT,Access Terminal)利用以太网端口自协商的非格式化页携带认证信息发送给网络接入服务器(NAS,Network Access Server);网络接入服务器将获取到的认证信息提供给认证服务器进行认证,在认证服务器返回的认证结果为认证成功时,启动接入终端与该网络接入服务器之间的链路;在认证服务器返回的认证结果为认证失败时,不启动接入终端与该网络接入服务器之间的链路。
为了方便对本发明的理解,首先对现有技术中以太网端口自协商的过程进行简单介绍。在电气电子工程师协会(IEEE)802.3中引入的以太网端口自协商技术是通过快速连接脉冲(FLP)或配置(C)码来传递自协商码流,交互自身的能力信息,并在协商过程中取两端的最高能力作为最优工作模式,然后启动两端的链路,即使两端的链路进入UP状态。
其中,自协商码流是以页(Page)为单位的,每页为16比特,分为基本页(Base Page)和下一页(Next Page)。基本页的格式如图1所示,其中,S0至S4为选择域,取值为00001时代表以太网;A0至A7为能力信息域,携带自身支持的能力信息,例如A0置1时代表自身支持10BASE-T以太网,A1置1时代表自身支持10BASE-T以太网全双工,A2置1代表自身支持100BASE-TX以太网,等等,不再赘述。RT置1时代表远端错误;Ack为应答位,置1表示成功收到了3个连续的页;NP代表下一页,置1表示在这一页之后还有下一页要发送。
下一页按照编码格式可以分为两种:消息页(Message Page)和非格式化页(Unformatted Page)。消息页的格式如图2所示,非格式化页的格式如图3所示。其中,M0至M10以及U0至U10为信息位;T为反转位,物理层每发送一页都会在下次发送时将该位取反;Ack为应答位,置1时表示成功收到了3个连续的页,该位与基本页中Ack的含义相同;NP代表下一页,置1时表示在这一页之后还有下一页要发送;MP为编码格式位,置1表示该页为消息页,置零表示该页为非格式化页;Ack2表示接收端是否支持该页的内容,在非格式化页中可以忽略或者由使用者根据具体应用灵活处理。
现有的以太网端口自协商过程可以如图4所示,首先接入终端和网络接入服务器之间进行能力协商,该能力协商可以通过能力通告的方式,例如通过基本页进行能力通告;两端根据对端的能力状况选择两端都支持的最高能力作为最优工作模式;判断是否确定出最优工作模式,即两端的能力是否存在交集,如果是,则启动接入终端与网络接入服务器之间的链路,否则不启动,重新进行以太网端口自协商。
本发明中,接入终端可以利用上述以太网端口自协商过程中的非格式化页来携带认证信息,将认证信息填充在信息位中,如果信息量多于一页,则可以通过多页非格式化页携带。另外,认证过程可以在能力协商之前进行,也可以在能力协商之后进行,下面以100BASE-TX为例举两个实施例分别进行描述。
实施例一、在能力协商之前执行认证过程。图5为本发明实施例一提供的方法流程图,如图5所示,该方法可以包括以下步骤:
步骤501:接入终端和网络接入服务器之间交互空白的基本页。
本步骤中,接入终端首先向网络接入服务器发送不携带任何能力信息的基本页,即A0至A7位均置零,S0至S4取值为00001,代表以太网;将NP位至1,表示该页之后有下一页。网络接入服务器接收到该空白的基本页后,回复包含确认信息的空白基本页,该空白基本页中的Ack位置1。本步骤可以看作是认证过程的开始。
步骤502:接入终端通过非格式化页携带认证信息,将该非格式化页发送给网络接入服务器,网络接入服务器接收到后通过空白的消息页予以确议。
比较常见的认证协议有口令验证协议(PAP)和挑战握手验证协议(CHAP),其中,PAP采用明文的认证信息,CHAP采用密文的认证信息,本发明中并不限定采用哪种认证协议。
由于以太网端口自协商中的非格式化页仅能够携带11个比特的信息,如果认证信息超过11个比特,则可以通过多个非格式化页携带所有的认证信息。假设实施例中采用的认证信息位22比特的认证序列,该认证序列是将用户名和密码的组合按照预设的算法进行计算后得到的22比特的序列U[21:0],预设的算法可以为:
U[21:0]={CRC32[31:16],6b’0}XOR{6b’0,CRC32[15:0]}
其中,{CRC32[31:16],6b’0}表示前16位为CRC32[31:16]、后6位为0的值,{6b’0,CRC32[15:0]}表示前6位为0、后16位为CRC32[15:0]。其中,CRC32[31:16]为CRC32的高16位,CRC32[15:0]为CRC32的低16位,CRC32是现有技术中的固有算法,不再赘述。另外,需要说明的是,本发明并不限定认证序列的产生方式。
然后,将22位的认证序列封装在2个非格式化页中,每个非格式化页中的信息位中携带11位的认证序列,将MP置零,第一个非格式化页的NP置1,第二个非格式化页的NP置零。
由于IEEE规范中规定需要连续三次发送非格式化页,且网络接入服务器连续三次接收到相同的非格式化页时予以确认,因此,接入终端首先连续三次发送第一个非格式化页,网络接入服务器连续三次接收到该第一个非格式化页后,向接入终端回复空白的消息页予以确认。接入终端接着再连续三次发送第二个非格式化页,网络接入服务器连续三次接收到该第二个非格式化页后,向接入终端回复空白的消息页予以确认。
步骤503:网络接入服务器将认证信息发送给认证服务器。
网络接入服务器确定第二个非格式化页中的NP位置零,说明认证信息接收完毕,则获取两个非格式化页中的认证信息。如果认证服务器为远程认证拨号用户服务(RADIUS)服务器,则将该认证信息封装在RADIUS协议报文中发送给RADIUS服务器;如果认证服务器为诸如终端访问控制器控制系统协议(TACACS)服务器等其它服务器,则封装为其它服务器支持的协议格式。如果网络接入服务器本身具备认证功能,则仅需要将认证信息提供给网络接入服务器中相应的认证处理单元即可。
步骤504:认证服务器利用接收到的认证信息进行认证,并将认证结果回复给网络接入服务器。
RADIUS服务器进行认证后,同样可以将认证结果封装在RADIUS协议报文中回复给网络接入服务器。
步骤505:网络接入服务器判断接收到的认证结果是否为认证成功,如果认证成功,执行后续的能力协商过程,并在能力协商成功后启动接入终端与网络接入服务器之间的链路;如果认证失败,则重新执行步骤501。
如果认证成功,则网络接入服务器开始将自身的以太网端口能力信息携带在基本页中发送给接入终端,开始与接入终端之间进行能力协商过程,该能力协商过程与现有技术相同。在能力协商成功后,即确定了最优工作模式后,启动接入终端与网络接入服务器之间的链路。
如果认证失败,则网络接入服务器可以通过向接入终端发送能力信息域为零的基本页来触发接入终端重新启动认证过程;也可以不执行任何操作,待终端定时器在发送认证信息后启动的定时器超时后自动重新启动认证过程;此时网络接入服务器不启动接入终端与网络接入服务器之间的链路。
另外,如果认证成功,则网络接入服务器可以进而将该接入终端加入允许接入的访问控制列表(ACL),以及配置接入终端所属VLAN、优先级、承认访问速率(CAR)参数等。
实施例二、在能力协商之后执行认证过程。图6为本发明实施例二提供的方法流程图,如图6所示,该方法可以包括以下步骤:
首先执行能力协商过程,在过程中接入终端和网络接入服务器通过基本页,或者基本页和下一页交互能力信息。
步骤601:接入终端通过非格式化页携带认证信息,将该非格式化页发送给网络接入服务器,网络接入服务器接收到后通过空白的消息页予以确认。
本发明可以利用能力协商过程之外的下一页来携带认证信息,如果能力协商过程仅使用基本页而未使用下一页,如100BASE-TX型以太网的自协商,认证信息可以封装在第1个下一页中;如果能力协商过程已经使用下一页,如1000BASE-T型以太网的自协商,认证信息可以封装在现有自协商已占用下一页的后续下一页中。因此,本发明可以应用于任意类型的以太网中。可以看出本发明能够很好的兼容现有的自协商技术,减少实施本发明过程中的工作量。
认证信息的具体携带方式和确认方式与实施例一中相同,不再赘述。
步骤602:网络接入服务器将认证信息发送给认证服务器。
步骤603:认证服务器利用接收到的认证信息进行认证,并将认证结果回复给网络接入服务器。
步骤602和步骤603也与实施例一中的步骤503和步骤504分别相同。
步骤604:网络接入服务器判断接收到的认证结果是否为认证成功,如果认证成功,则确定最优的工作模式,并在确定了最优工作模式后,启动接入终端与网络接入服务器之间的链路;如果认证失败,则重新执行步骤601。
在本实施例中,如果认证失败,网络接入服务器可以通过向接入终端发送能力信息域为零的基本页来触发接入终端重新开始能力协商;也可以不执行任何操作,待终端定时器在发送认证信息后启动的定时器超时后自动重新发起能力协商。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统和装置进行详细描述。图7为本发明实施例提供的系统结构图,如图7所示,该系统包括:接入终端701、网络接入服务器702和认证服务器703。
接入终端701,用于利用以太网端口自协商的非格式化页携带认证信息并发送给网络接入服务器702。
该接入终端可以是位于以太网局域网中的一个实体,诸如一台计算机、交换机或路由器等,这些实体需要经过安全认证才能被允许接入网络。
网络接入服务器702,用于从非格式化页中获取认证信息,并将认证信息提供给认证服务器703进行认证;在认证服务器703返回的认证结果为认证成功时,启动接入终端701与网络接入服务器702之间的链路;在认证服务器703返回的认证结果为认证失败时,不启动接入终端701与网络接入服务器702之间的链路。
该网络接入服务器为接入终端提供接入局域网的以太网物理端口,并负责认证信息的传递和接入控制的实现。
认证服务器703,用于利用认证信息进行认证,并将认证结果返回给网络接入服务器702。
认证服务器是为接入终端提供认证服务的实体,可以对用户进行认证、授权和计费,例如,可以为RADIUS服务器、TACACS服务器等。
认证服务器703可以是独立于网络接入服务器702设置的服务器,也可以与网络接入服务器702设置为一个服务器。
另外,根据认证过程与能力协商过程的不同先后顺序,上述系统可以存在以下两种情况:
第一种情况:接入终端701可以在发送携带认证信息的非格式化页之前,与网络接入服务器702之间交互空白的基本页;在认证成功之后,与网络接入服务器702之间进行能力协商。
网络接入服务器702,还可以用于与接入终端701之间交互空白的基本页;在启动接入终端701与网络接入服务器702之间的链路之前,和接入终端701之间进行能力协商;根据能力协商结果如果确定出最优工作模式,则按照最优工作模式继续执行启动接入终端701与网络接入服务器702之间的链路;如果没有确定出最优工作模式,则触发接入终端701与该网络接入服务器702之间重新交互空白的基本页。
在这种个情况下,如果认证服务器703返回的认证结果为认证失败,则网络接入服务器702可以向接入终端701发送能力信息域为零的基本页,以触发接入终端701重新和网络服务器702交互空白的基本页;或者,网络接入服务器702不执行任何操作,待接入终端701的定时器超时后,重新和网络服务器之间交互空白的基本页。
第二种情况:接入终端701在发送携带认证信息的非格式化页之前,与网络接入服务器702之间进行能力协商。
网络接入服务器702,还可以用于与接入终端701之间进行能力协商;在启动接入终端701与网络接入服务器702之间的链路之前,根据能力协商结果如果确定出最优工作模式,则按照最优工作模式继续执行启动接入终端701与网络接入服务器702之间的链路,如果没有确定出最优工作模式,则重新与接入终端701之间进行能力协商。
在这种情况下,如果认证服务器703返回的认证结果为失败,则网络接入服务器702可以向接入终端701发送能力信息域为零的基本页,以触发接入终端701重新和网络接入服务器702之间进行能力协商;或者,网络接入服务器702不执行任何操作,待接入终端701的定时器超时后重新和网络接入服务器之间进行能力协商。
在该系统中,如果认证服务器703单独设置,则网络接入服务器702在发送认证信息时,将认证信息封装在认证服务器703支持的协议报文中发送给认证服务器703;且接收认证服务器703返回的协议报文后,从该协议报文中解封装出认证结果。例如,当认证服务器703为RADIUS服务器时,将认证信息封装在RADIUS协议报文中。
图8为本发明实施例提供的接入终端结构示意图,如图8所示,该接入终端可以包括:认证处理单元801和收发处理单元802。
认证处理单元801,用于将认证信息携带在以太网端口自协商的非格式化页中提供给收发处理单元802。
收发处理单元802,用于将认证处理单元801提供的非格式化页发送给网络接入服务器。
另外,根据认证过程与能力协商过程的不同先后顺序,该接入终端可以存在以下两种结构:
第一种结构:认证过程在能力协商过程之前,此时,该接入终端还可以包括:第一能力协商单元803和第一模式确定单元804。
收发处理单元802,还可以用于与网络接入服务器之间交互空白的基本页后,触发认证处理单元801将认证信息携带在以太网端口自协商的非格式化页中;如果第一模式确定单元804没有确定出最优工作模式,重新与网络接入服务器之间交互空白的基本页。
第一能力协商单元803,用于在网络接入服务器确定认证成功后,与网络接入服务器进行能力协商。
第一模式确定单元804,用于根据第一能力协商单元的能力协商结果,确定最优工作模式。
最优工作模式的确定为:取接入终端和网络接入服务器能力的交集,如果交集不为零,则确定最优工作模式成功,否则确定最优工作模式失败。
第二种结构:认证过程在能力协商过程之后,此时,该接入终端还可以包括:第二能力协商单元805和第二模式确定单元806。
第二能力协商单元805,用于与网络接入服务器之间进行能力协商后,触发认证处理单元801将认证信息携带在以太网端口自协商的非格式化页中;在第二模式确定单元806没有确定出最优工作模式时,重新与网络接入服务器之间进行能力协商。
第二模式确定单元806,用于根据第二能力协商单元805的能力协商结果,确定最优工作模式。
在上述两种结构中,认证处理单元801可以通过一个或一个以上的非格式化页携带认证信息,在最后一个非格式化页中将NP位标识为该页不存在下一页,在其它非格式化页中将NP位标识为该页存在下一页。
图9为本发明实施例提供的网络接入服务器结构示意图,如图9所示,该网络接入服务器可以包括:收发处理单元901、认证处理单元902和链路处理单元903。
收发处理单元901,用于接收接入终端发送的以太网端口自协商的非格式化页;将认证处理单元902获取的认证信息提供给认证服务器进行认证;接收认证服务器返回的认证结果并提供给认证处理单元902。
认证处理单元902,用于从非格式化页中获取认证信息;确定认证结果为认证成功时,向链路处理单元903发送启动通知。
链路处理单元903,用于接收到启动通知时,启动接入终端与网络接入服务器之间的链路。
对应上面所述的两种情况,网络接入服务器也可以存在以下两种结构:
第一种结构:当认证过程在能力协商过程之前时,该网络接入服务器还可以包括:第一能力协商单元904和第一模式确定单元905。
收发处理单元901,还用于在接收上述非格式化页之前与接入终端之间交互空白的基本页。
第一能力协商单元904,用于接收认证处理单元902发送的启动通知,与接入终端之间进行能力协商。
第一模式确定单元905,用于根据能力协商结果如果确定出最优工作模式,则将启动通知发送给链路处理单元903;如果没有确定出最优工作模式,则触发收发处理单元901重新与接入终端之间交互空白的基本页。
链路处理单元903接收到启动通知后,按照最优工作模式启动接入终端与网络接入服务器之间的链路。
第二种结构:当认证过程在能力协商过程之后时,该网络接入服务器还可以包括:第二能力协商单元906和第二模式确定单元907。
第二能力协商单元906,用于与接入终端之间进行能力协商。
第二模式确定单元907,用于接收认证处理单元902发送的启动通知,根据能力协商结果如果确定出最优工作模式,则将启动通知发送给链路处理单元903,如果没有确定出最优工作模式,则触发第二能力协商单元906重新与接入终端之间进行能力协商。
链路处理单元903接收到启动通知后,按照最优工作模式启动接入终端与网络接入服务器之间的链路。
基于以上结构,认证处理单元902在收发处理单元901接收到NP位标识不存在下一页的非格式化页时,将获取的认证信息提供给收发处理单元901。
另外,收发处理单元901,还可以用于将认证处理单元902获取的认证信息封装在认证服务器支持的协议报文中发送给认证服务器;接收认证服务器支持的协议报文,解封装出认证结果后提供给认证处理单元902。
更进一步地,认证处理单元902,还可以用于确定认证结果为认证失败时,触发收发处理单元向接入终端发送能力信息域为零的基本页。
或者,不执行任何操作,待终端定时器超时后,会重新开始进行自协商过程。
由以上描述可以看出,本发明提供的方法、系统和装置,通过在以太网端口自协商中引入认证过程,即采用以太网端口自协商的非格式化页承载认证信息发送给网络接入设备,网络接入设备控制接入终端和网络接入服务器之间的链路在认证成功后才能启动,如果认证失败,则不会启动接入终端和网络接入服务器之间的链路。通过这种在物理层进行认证的方式,在物理层上就能够隔离未经认证的用户,杜绝了非法用户对网络进行攻击的可能性,大大提高了网络的安全性和健壮性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (20)

1.一种网络接入控制的方法,其特征在于,该方法包括:
A、网络接入服务器接收接入终端发送的以太网端口自协商的非格式化页;
B、从所述非格式化页中获取认证信息,并将所述认证信息提供给认证服务器进行认证;
C、在认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路;在认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路。
2.根据权利要求1所述的方法,其特征在于,在所述步骤A之前还包括:所述接入终端和网络接入服务器之间交互空白的基本页;
在所述步骤C中,在启动所述接入终端与网络接入服务器之间的链路之前还包括:所述接入终端和网络接入服务器之间进行能力协商;根据能力协商结果如果确定出最优工作模式,则按照最优工作模式继续执行启动所述接入终端与网络接入服务器之间的链路;如果没有确定出最优工作模式,则转至执行所述接入终端和网络接入服务器之间交互空白的基本页。
3.根据权利要求1所述的方法,其特征在于,在所述步骤A之前还包括:所述接入终端和网络接入服务器之间进行能力协商;
在所述步骤C中,启动所述接入终端与网络接入服务器之间的链路之前还包括:根据能力协商结果如果确定出最优工作模式,则按照最优工作模式继续执行启动所述接入终端与网络接入服务器之间的链路;如果没有确定出最优工作模式,则转至执行所述接入终端和网络接入服务器之间进行能力协商。
4.根据权利要求1、2或3所述的方法,其特征在于,所述接入终端通过一个或一个以上的非格式化页携带所述认证信息;
在最后一个非格式化页中将NP位标识为不存在下一页,在其它非格式化页中将NP位标识为存在下一页;
所述网络接入服务器在接收到所述最后一个非格式化页后,执行所述步骤B。
5.根据权利要求1、2或3所述的方法,其特征在于,步骤B中所述认证信息提供给认证服务器进行认证包括:所述网络接入服务器将所述认证信息封装在所述认证服务器支持的协议报文中发送给所述认证服务器;
在所述步骤B之后且步骤C之前还包括:所述认证服务器利用所述认证信息进行认证后,将认证结果封装在所述认证服务器支持的协议报文中发送给所述网络接入服务器。
6.根据权利要求2所述的方法,其特征在于,步骤C中在认证服务器返回的认证结果为认证失败时,该方法还包括:所述网络接入服务器向所述接入终端发送能力信息域为零的基本页触发所述接入终端重新执行所述和网络服务器之间交互空白的基本页;或者,
所述网络接入服务器不执行任何操作,待所述接入终端的定时器超时后重新执行所述和网络服务器之间交互空白的基本页。
7.根据权利要求3所述的方法,其特征在于,步骤C中在认证服务器返回的认证结果为认证失败时,该方法还包括:所述网络接入服务器向所述接入终端发送能力信息域为零的基本页触发所述接入终端重新执行所述和网络服务器之间进行能力协商;或者,
所述网络接入服务器不执行任何操作,待所述接入终端的定时器超时后重新执行所述和网络接入服务器之间进行能力协商。
8.一种接入终端,其特征在于,该接入终端包括:认证处理单元和收发处理单元;
所述认证处理单元,用于将认证信息携带在以太网端口自协商的非格式化页中提供给所述收发处理单元;
所述收发处理单元,用于将所述认证处理单元提供的非格式化页发送给网络接入服务器,使得网络接入服务器从所述非格式化页中获取认证信息,并将所述认证信息提供给所述认证服务器进行认证,在所述认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路,在所述认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路。
9.根据权利要求8所述的接入终端,其特征在于,该接入终端还包括:第一能力协商单元和第一模式确定单元;
所述收发处理单元,还用于与所述网络接入服务器之间交互空白的基本页后,触发所述认证处理单元将认证信息携带在以太网端口自协商的非格式化页中;如果所述第一模式确定单元没有确定出最优工作模式,重新与所述网络接入服务器之间交互空白的基本页;
所述第一能力协商单元,用于在所述网络接入服务器确定认证成功后,与所述网络接入服务器进行能力协商;
所述第一模式确定单元,用于根据所述能力协商结果,确定最优工作模式。
10.根据权利要求8所述的接入终端,其特征在于,该接入终端还包括:第二能力协商单元和第二模式确定单元;
所述第二能力协商单元,用于与所述网络接入服务器之间进行能力协商后,触发所述认证处理单元将认证信息携带在以太网端口自协商的非格式化页中;在所述第二模式确定单元没有确定出最优工作模式时,重新与所述网络接入服务器之间进行能力协商;
所述第二模式确定单元,用于根据所述能力协商结果,确定最优工作模式。
11.根据权利要求8、9或10所述的接入终端,其特征在于,所述认证处理单元通过一个或一个以上的非格式化页携带所述认证信息,在最后一个非格式化页中将NP位标识为该页不存在下一页,在其它非格式化页中将NP位标识为该页存在下一页。
12.一种网络接入服务器,其特征在于,该网络接入服务器包括:收发处理单元、认证处理单元和链路处理单元;
所述收发处理单元,用于接收接入终端发送的以太网端口自协商的非格式化页;将所述认证处理单元获取的认证信息提供给认证服务器进行认证;接收认证服务器返回的认证结果并提供给所述认证处理单元;
所述认证处理单元,用于从所述非格式化页中获取认证信息;确定所述认证结果为认证成功时,向所述链路处理单元发送启动通知;确定所述认证结果为认证失败时,不启动所述接入终端与所述网络接入服务器之间的链路;
所述链路处理单元,用于接收到启动通知时,启动所述接入终端与所述网络接入服务器之间的链路。
13.根据权利要求12所述的网络接入服务器,其特征在于,该网络接入服务器还包括:第一能力协商单元和第一模式确定单元;
所述收发处理单元,还用于在接收所述非格式化页之前与所述接入终端之间交互空白的基本页;
所述第一能力协商单元,用于接收所述认证处理单元发送的启动通知,与所述接入终端之间进行能力协商;
所述第一模式确定单元,用于根据能力协商结果如果确定出最优工作模式,则将所述启动通知发送给所述链路处理单元;如果没有确定出最优工作模式,则触发所述收发处理单元重新与所述接入终端之间交互空白的基本页;
所述链路处理单元接收到启动通知后,按照所述最优工作模式启动所述接入终端与所述网络接入服务器之间的链路。
14.根据权利要求12所述的网络接入服务器,其特征在于,该网络接入服务器还包括:第二能力协商单元和第二模式确定单元;
所述第二能力协商单元,用于与所述接入终端之间进行能力协商;
所述第二模式确定单元,用于接收所述认证处理单元发送的启动通知,根据能力协商结果如果确定出最优工作模式,则将所述启动通知发送给所述链路处理单元,如果没有确定出最优工作模式,则触发所述第二能力协商单元重新与所述接入终端之间进行能力协商;
所述链路处理单元接收到启动通知后,按照所述最优工作模式启动所述接入终端与所述网络接入服务器之间的链路。
15.根据权利要求12、13或14所述的网络接入服务器,其特征在于,所述认证处理单元在所述收发处理单元接收到NP位标识不存在下一页的非格式化页时,将获取的认证信息提供给所述收发处理单元。
16.根据权利要求12、13或14所述的网络接入服务器,其特征在于,所述收发处理单元,还用于将所述认证处理单元获取的认证信息封装在所述认证服务器支持的协议报文中发送给所述认证服务器;接收认证服务器支持的协议报文,解封装出认证结果后提供给所述认证处理单元。
17.根据权利要求12、13或14所述的网络接入服务器,其特征在于,所述认证处理单元,还用于确定所述认证结果为认证失败时,触发所述收发处理单元向所述接入终端发送能力信息域为零的基本页。
18.一种网络接入控制的系统,其特征在于,该系统包括:接入终端、网络接入服务器和认证服务器;
所述接入终端,用于利用以太网端口自协商的非格式化页携带认证信息并发送给所述网络接入服务器;
所述网络接入服务器,用于从所述非格式化页中获取认证信息,并将所述认证信息提供给所述认证服务器进行认证;在所述认证服务器返回的认证结果为认证成功时,启动所述接入终端与网络接入服务器之间的链路;在所述认证服务器返回的认证结果为认证失败时,不启动所述接入终端与网络接入服务器之间的链路;
所述认证服务器,用于利用所述认证信息进行认证,并将认证结果返回给所述网络接入服务器。
19.根据权利要求18所述的系统,其特征在于,所述接入终端,还用于在发送携带所述认证信息的非格式化页之前,与所述网络接入服务器之间交互空白的基本页;在认证成功之后,与所述网络接入服务器之间进行能力协商;
所述网络接入服务器,还用于与所述接入终端之间交互空白的基本页;在启动所述接入终端与网络接入服务器之间的链路之前,和接入终端之间进行能力协商;根据能力协商结果如果确定出最优工作模式,则按照最优工作模式继续执行启动所述接入终端与网络接入服务器之间的链路;如果没有确定出最优工作模式,则触发所述接入终端与该网络接入服务器之间重新交互空白的基本页。
20.根据权利要求18所述的系统,其特征在于,所述接入终端,还用于在发送携带所述认证信息的非格式化页之前,与所述网络接入服务器之间进行能力协商;
所述网络接入服务器,还用于与所述接入终端之间进行能力协商;在启动所述接入终端与网络接入服务器之间的链路之前,根据能力协商结果如果确定出最优工作模式,则按照最优工作模式继续执行启动所述接入终端与网络接入服务器之间的链路,如果没有确定出最优工作模式,则重新与所述接入终端之间进行能力协商。
CN2009100906744A 2009-09-02 2009-09-02 一种网络接入控制的方法、系统和装置 Active CN101640680B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009100906744A CN101640680B (zh) 2009-09-02 2009-09-02 一种网络接入控制的方法、系统和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100906744A CN101640680B (zh) 2009-09-02 2009-09-02 一种网络接入控制的方法、系统和装置

Publications (2)

Publication Number Publication Date
CN101640680A CN101640680A (zh) 2010-02-03
CN101640680B true CN101640680B (zh) 2012-01-04

Family

ID=41615472

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100906744A Active CN101640680B (zh) 2009-09-02 2009-09-02 一种网络接入控制的方法、系统和装置

Country Status (1)

Country Link
CN (1) CN101640680B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104378327B (zh) * 2013-08-12 2018-12-28 深圳市腾讯计算机系统有限公司 网络攻击防护方法、装置及系统
CN105871853A (zh) * 2016-04-11 2016-08-17 上海斐讯数据通信技术有限公司 一种入口认证方法和系统
CN111600787B (zh) * 2020-05-20 2022-08-19 奇安信网神信息技术(北京)股份有限公司 信息处理方法、装置、电子设备和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1835466A (zh) * 2005-03-16 2006-09-20 华为技术有限公司 千兆以太网的端口对接方法
CN101047712A (zh) * 2006-06-19 2007-10-03 华为技术有限公司 以太网接口配置检测装置和方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1835466A (zh) * 2005-03-16 2006-09-20 华为技术有限公司 千兆以太网的端口对接方法
CN101047712A (zh) * 2006-06-19 2007-10-03 华为技术有限公司 以太网接口配置检测装置和方法

Also Published As

Publication number Publication date
CN101640680A (zh) 2010-02-03

Similar Documents

Publication Publication Date Title
EP2127312B1 (en) Self-initiated end-to-end monitoring for authentication gateway
JP5693576B2 (ja) インスタントメッセージセッションの管理
EP3068093B1 (en) Security authentication method and bidirectional forwarding detection method
CN102957584B (zh) 家庭网络设备的管理方法、控制设备和家庭网络设备
CN102271133B (zh) 认证方法、装置和系统
WO2008000177A1 (fr) Cadre de gestion de sécurité réseau et son procédé de traitement d'informations
WO2017053494A1 (en) Method, apparatus and system for preventing cross-site request forgery
EP2544397B1 (en) Method and communication device for accessing to devices in security
CN101867558A (zh) 用户态网络协议栈系统及处理报文的方法
CN105744555B (zh) 一种终端维护方法、维护装置以及网管服务器
CN102752269A (zh) 基于云计算的身份认证的方法、系统及云端服务器
CN105578463A (zh) 一种双连接安全通讯的方法及装置
KR20130111807A (ko) 모바일 단말을 이용한 원격 피엘시 관리 시스템
CN101640680B (zh) 一种网络接入控制的方法、系统和装置
US20140359707A1 (en) Protecting end point devices
CN101621527A (zh) VPN中基于Portal的安全认证的实现方法、系统和设备
CN111541776A (zh) 一种基于物联网设备的安全通信装置及系统
CN103780389A (zh) 基于端口认证的方法及网络设备
WO2018036221A1 (zh) 一种无线网络安全认证装置及其方法、一种路由器
CN101166093A (zh) 一种认证方法和系统
CN103179564A (zh) 基于移动终端认证的网络应用登录方法
CN102075567B (zh) 认证方法、客户端、服务器、直通服务器及认证系统
CN108234503A (zh) 一种网络节点的安全邻居自动发现方法
CN105306494A (zh) 一种防止dos攻击的服务器及方法
JP2011164837A (ja) 認証システムおよび認証方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.