CN101809968A - 促进异类认证以允许网络接入 - Google Patents
促进异类认证以允许网络接入 Download PDFInfo
- Publication number
- CN101809968A CN101809968A CN200880108451A CN200880108451A CN101809968A CN 101809968 A CN101809968 A CN 101809968A CN 200880108451 A CN200880108451 A CN 200880108451A CN 200880108451 A CN200880108451 A CN 200880108451A CN 101809968 A CN101809968 A CN 101809968A
- Authority
- CN
- China
- Prior art keywords
- authentication
- client device
- vlan
- response
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种包括用于促进尝试连接到网络单元端口的客户端设备的认证这一操作的方法。促进认证包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机制来认证。对于所述认证机制中的每一个,提供了响应于该客户端设备被成功认证而根据第一分类策略结构来为该客户端设备提供网络连通性的操作,并且提供了响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性的操作。
Description
技术领域
本公开一般涉及促进希望接入网络接入端口的客户端设备(和/或关联的客户端设备用户)的认证,具体地涉及考虑潜在的客户端设备(和/或关联的客户端设备用户)的异类认证方法来促进客户端设备(和/或关联的客户端设备用户)的认证。
背景技术
在企业数据网络中,已知的认证方法需要网络管理者选择并配置特定的认证方法(即配置的认证方法),该方法被用在特定交换机或路由器的网络接入端口上。在一些实例中,网络接入端口可以用一个默认的认证方法来配置以在客户端设备认证失败的情况下以所配置的认证方法分类该客户端设备。这种已知认证方法的例子包括(但不限于):802.1x认证协议、媒体访问控制(MAC)认证协议、基于web的登录等。这需要人工确定和配置特定的认证方法,这使得连接到网络接入端口的设备被限制成仅能够使用所配置的认证方法,因为连至网络接入端口的客户端设备仅限于该配置的认证方法,并且只要与许多潜在认证方法之一相容的客户端设备在网络中移动就需要大量的人工管理来支持异类认证方法。
根据802.1x认证协议,在交换机或路由器的网络接入端口的端口启动事件期间,扩展认证协议(EAP)-请求/身份帧被发送到802.1x组MAC地址以从连至该端口的请求者请求开始认证。之后,EAP-请求/身份帧只被发送到在端口上发送数据业务的客户端设备的指定MAC地址。如果该客户端设备是请求者(即与802.1x相容的设备),则这会触发该客户端设备认证的开始。如果该客户端设备是请求者,则它应当返回EAP-响应/身份帧以开始认证。如果未收到EAP-响应/身份帧,则在若干次尝试之后,该客户端设备被认为是非请求者并且默认地被阻止。这个场景示例性地说明了认证尝试连接到路由器或交换机的网络接入端口的客户端设备仅限于一个认证方法所造成的缺点。类似的缺点对于非请求者的认证方法也存在。
因此,以允许自动地顺次应用几个不同的认证方法来识别出与客户端设备的认证能力相容的一个认证方法的方式从而促进对客户端设备的认证是有利的、令人期望的且有用的。
发明内容
本发明的实施例提供了创建将多个认证方法合并在一个配置内的一组策略,由此使得多个客户端设备能够利用不同的认证方法连接到网络接入端口。具体地,本发明的实施例提供了一种方法,通过该方法,交换机或路由器基于预先配置的一组策略来应用合适的认证机制。这种策略的例子包括利用802.1x认证协议的首次尝试认证,然后如果必要则尝试利用MAC认证协议进行认证,接着如果必要则尝试利用基于web的登录(即认证)协议进行认证。可选地,每个认证协议的组合都可以进行尝试。现有技术方案未能提供这种先进且灵活的方法。因此,这个方案使得网络接入端口能够以允许移动用户(膝上型电脑等)围绕网络基础设施移动并且通过重新配置网络接入端口而使用各种不同的认证方法的方式而被配置。除了认证功能之外,根据本发明的使用一组策略的促进认证功能(即混合策略链)还提供了分类功能,该分类功能确定将成功认证过的特定客户端设备置于哪个虚拟局域网(VLAN)中。通过这种方式,根据本发明的促进客户端设备认证提供了缩减的操作开销和/或识别并认证网络上的设备的增加的能力,这二者都是高级网络安全组件的组成部分。
在本发明的一个实施例中,一个方法包括多个操作。一个操作是促进对试图连接到网络单元端口的客户端设备的认证。促进认证包括确定该客户端设备是否被配置成利用第一认证机制(例如认证协议)来认证,并且响应于确定了该客户端设备没有被配置成利用该第一认证机制来认证,确定该客户端设备是否被配置成利用至少另一个认证机制来认证。对于每个认证机制,一个操作是响应于该客户端设备成功认证而根据第一分类策略结构为该客户端设备提供网络连通性,并且一个操作是响应于该客户端设备认证失败而根据与该第一分类策略结构不同的第二分类策略结构为该客户端设备提供网络连通性。
在本发明的另一个实施例中,提供了一组处理器可执行指令。该组处理器可执行指令包括用于促进对试图连接到网络单元端口的客户端设备的认证的指令。促进认证包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备没有被配置成利用该第一认证机制来认证,确定该客户端设备是否被配置成利用至少另一个认证机制来认证。对于每个认证机制,提供了这样的指令:响应于该客户端设备成功认证而根据第一分类策略结构为该客户端设备提供网络连通性,并且响应于该客户端设备认证失败而根据与该第一分类策略结构不同的第二分类策略结构为该客户端设备提供网络连通性。
在本发明的另一个实施例中,一种服务器被配置成促进对试图连接到网络单元端口的客户端设备的认证,并且对于每个认证机制,该服务器还被配置成响应于该客户端设备成功认证而根据第一分类策略结构为该客户端设备提供网络连通性,并且响应于该客户端设备认证失败而根据与该第一分类策略结构不同的第二分类策略结构为该客户端设备提供网络连通性。促进认证包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备没有被配置成利用该第一认证机制来认证,确定该客户端设备是否被配置成利用至少另一个认证机制来认证。
参考附图,通过阅读下面的描述,本发明的所述和其他目的、实施例、优点和/或区别将变得显而易见。
附图说明
图1是根据本发明一个实施例的用于促进客户端设备的端口分配的方法100的流程图;
图2是根据本发明一个实施例的用于通过第一分类策略结构提供网络连通性的操作的流程图;
图3是根据本发明一个实施例的用于通过第二分类策略结构提供网络连通性的操作的流程图;
图4是根据本发明一个实施例的通过默认分类策略结构提供网络连通性的操作的流程图;
图5示出了根据本发明的用于利用802.1x认证来促进端口分配的方法;
图6和7示出了根据本发明的用于利用MAC认证来促进端口分配的方法;
图8和9示出了根据本发明的用于利用VLAN标识来促进端口分配的方法;
图10和11示出了根据本发明的用于利用VLAN分类规则来促进端口分配的方法;
图12和13示出了根据本发明的用于利用默认VLAN规则来促进端口分配的方法;
图14和15是关于根据本发明的混合分类策略的第一实例的流程图;
图16是关于根据本发明的混合分类策略的第二实例的流程图;
图17是关于根据本发明的混合分类策略的第三实例的流程图;
图18是关于根据本发明的混合分类策略的第四实例的流程图;
图19是关于根据本发明的混合分类策略的第五实例的流程图;
图20是关于根据本发明的混合分类策略的第六实例的流程图;
图21是关于根据本发明的混合分类策略的第七实例的流程图。
具体实施方式
根据本发明的实施例,交换机或路由器的每个802.1x端口都应当具有若干不同的设备分类策略,该策略可以与802.1x认证一起被配置。本发明的分类策略涉及一种用于允许网络连通性的方法,其可以终止于在VLAN上学习到的客户端或被阻止接入端口的客户端的MAC地址。策略不必针对所有设备而终止,在一些情况下,其他策略可以随后被应用。根据本发明实施例的策略在指定了策略和策略实施顺序的链中被配置。该链中的第一策略首先实施,并且如果它没有终止则实施第二策略,等等。
策略链可以被看作包括多个原子策略的混合策略。存在两种混合策略,它们被配置在802.1x认证端口上:请求者策略和非请求者策略。请求者策略应用于作为802.1x客户端(通常称作请求者)的客户端设备,而非请求者策略应用于所有其他设备(即非请求者)。
图1示出了根据本发明一个实施例的用于促进客户端设备的端口分配的方法100。方法100开始于确定需要进行客户端设备认证的操作102。在一个实施例中,客户端设备认证包括用户认证。响应于这种确定,识别该客户端设备是802.1x请求者,执行操作104以促进该客户端设备的802.1x认证。响应于该客户端设备成功通过802.1x认证,执行操作106以通过第一802.1x分类策略结构提供网络连通性。响应于该客户端设备的802.1x认证失败,执行操作108以通过与第一802.1x分类策略结构不同的第二802.1x分类策略结构提供网络连通性。
响应于确定该客户端设备不是802.1x请求者,该客户端设备被配置成利用MAC认证方法认证,这种MAC认证方法被应用于该客户端设备。为此,响应于该客户端设备成功通过MAC认证,执行操作112以通过第一MAC分类策略结构提供网络连通性。响应于该客户端设备的MAC认证失败,执行操作114以通过与该第一MAC分类策略结构不同的第二MAC分类策略结构提供网络连通性。如果该客户端设备未被识别成802.1x请求者并且MAC认证方法没有被配置在策略中,则执行操作116以通过默认的分类策略结构提供网络连通性。
本领域技术人员应当认识到,是否应用MAC认证方法的判决是一种配置参数,不是基于像802.1x认证那样的设备特性的动态判决。每个设备具有一个MAC地址,因此每个设备被配置成MAC认证。是否应用MAC认证是基于策略的预定配置的,即该客户端设备的管理者所建立的策略链。相应地,根据本发明,具有足以允许802.1x认证的特征的设备在这里被定义成针对802.1x认证而配置的设备。本领域技术人员还应当理解,MAC认证不具有成功和失败树。MAC认证可以具有针对未成功认证的MAC认证设备以及未认证设备(例如其中MAC认证完全关闭)的策略分支。然而,这些分支是不同的并且相互排斥,以便一次只能配置一个。因此,在方法112的背景下,通过MAC认证是指客户端设备成功认证这一条件,这与成功跟随MAC认证分支的设备相反。
参考图2,在一个实施例中,通过第一分类策略结构(例如802.1x分类策略结构、MAC分类策略结构等)提供网络连通性包括估计客户端设备信息(例如客户端设备类型、配置参数等)的操作120,执行操作122以估计认证属性信息,执行操作124以根据认证属性和客户端设备信息来选择连通性方法,并且执行操作126来实现所选择的连通性方法。应当指出,所选择的连通性方法可以是唯一的连通性方法。参考图3,在一个实施例中,通过第二分类策略结构(例如802.1x分类策略结构、MAC分类策略结构等)提供网络连通性包括执行估计客户端设备信息(例如客户端设备类型、配置参数等)的操作128,执行操作130以根据客户端设备信息来选择连通性方法,并且执行操作132来实现所选择的连通性方法。参考图4,在一个实施例中,通过默认分类策略结构提供网络连通性包括执行操作134以通过已知的强制网络门户(captive portal)认证技术来促进客户端设备的认证。响应于客户端设备成功通过该强制网络门户认证,执行操作136以通过第一强制网络门户分类策略结构提供网络连通性。响应于该客户端设备的强制网络门户认证失败,执行操作138以通过与该第一强制网络门户分类策略结构不同的第二强制网络门户分类策略结构提供网络连通性。
在本发明的至少一个实现中,强制网络门户策略可以是终端策略。在这种实现中,强制网络门户策略不能后随有另一个策略。然而,这并不排除强制网络门户策略具有它自己的认证分支和/或规则分类。此外,这里公开了根据本发明的促进认证和端口分配可以包括致使一个认证实例后随有另一个认证实例这一功能性。例如,802.1x认证可以后随有通过强制网络门户的认证而MAC认证可以后随由通过强制网络门户的认证。根据本发明的实施例,在802.1x认证的端口上支持发送标记帧的客户端设备的分类。该支持仅针对非请求者并且通过非请求者策略来处理。该非请求者策略必须能够处理标记帧和常规(未标记)帧二者,以便每个非请求者原子策略都具有它自己的标记版本和常规(未标记)版本。如下文所讨论的那样,这种策略处理是通过一组处理器可执行的指令来促进的,并且用户不需要针对标记帧和未标记帧而分别具有各自的CLI(命令行接口)命令集。
通常,标记帧按照该端口的策略而作为未标记帧被处理。在客户端设备的MAC地址被分类之前,标记帧具有额外的检查以查看要学习的VLAN是否具有标记帧中的相同的VLAN ID。如果两个VLAN不同,则该设备被阻止接入该端口。正如常规VLAN分类端口那样,仅当标记帧的VLANID字段中指定的VLAN支持移动标签时,设备分类端口上的标记帧才被看作匹配于VLAN分类规则。因此,标记帧的VLAN ID在本公开中被称作“标记VLAN”。
关于如何使用标记帧而存在两种客户端设备。第一种一直发送标记帧至端口并且根据本发明利用该端口上配置的非请求者策略的标记版本而被分类。第二种发送常规(未标记)帧和标记帧二者。第二种客户端设备的例子是Alcatel Brand IP(互联网协议)电话,该电话如果是这样被配置的则首先发送常规帧然后发送标记帧。这种客户端设备可以在它开始标记帧传输之前基于其常规帧而被分类。如下文详细讨论的那样,在一些情况下,这种客户端设备随后将基于收到的标记帧而被重新分类。
在本发明的一个实施例中,策略链中可以使用六个原子策略。这些原子策略是:802.1x认证、MAC认证、VLAN分类规则、VLAN ID、默认VLAN和块(Block)。802.1x认证和MAC认证涉及由远程RADIUS服务器推动的认证并且仅能够分别应用于请求者和非请求者。VLAN分类规则、VLAN ID、默认VLAN和块可以同时应用于请求者和非请求者。默认VLAN和块是终端策略,这意味着在这两个策略之后没有其他策略可被应用。
VLAN分类规则、VLAN ID、默认VLAN可以应用于两种不同的模式,即非严格模式和严格模式,这取决于设备是否被认证。在严格模式中,禁止将客户端设备分类到认证的VLAN中。相反,在非严格模式中,不存在这种限制,以便客户端设备可以被分类到认证的和非认证的VLAN二者中。MAC认证、VLAN分类规则、VLAN ID、默认VLAN可以用来分类发送常规(未标记)帧的客户端设备以及发送标记帧的设备。因此,MAC认证帧可以被标记和不被标记,而VLAN分类规则、VLAN ID、默认VLAN帧可以是非严格标记、非严格未标记、严格标记和严格未标记。
图5至13包括了不同原子策略及其各自的变型的指定方面的流程图。应当指出,非终端策略的流程图具有导向下一个策略的扩展路径(即原始/前一策略的扩展)。非终端策略的流程图可以具有多个扩展路径,但是通常具有单个扩展。特例是802.1x认证和MAC认证流程图,它们每个都具有两个扩展,即扩展至严格策略的第一扩展路径和扩展至非严格策略的第二扩展路径。还应当指出,严格策略仅扩展至严格策略或块策略。类似地,非严格策略仅扩展至非严格策略或块策略。
特别参考图5,示出了用于利用802.1x认证促进端口分配的方法200。802.1x认证只应用于请求者(即802.1x客户端设备)。在块202,促进客户端设备的用户的802.1x认证。促进这种认证是通过802.1x客户端(用户)与远程RADIUS服务器之间的EAP(扩展认证协议)分组交换来完成的,其中交换机用作中继。该认证是MAC增强的802.1x变型,因为交换机将用户的MAC地址信息添加至每个EAP-响应/身份分组。该分组被封装在RADIUS帧中并且MAC地址信息被设置于Calling-Station-IdRADIUS属性中。
如果该认证未成功(块204),则使用链中的下一个策略(块206)。根据指定的结构配置,该下一个策略必须是严格VLAN或块。在成功认证的情况下(块204),如果服务器返回VLAN ID(块208)并且这个VLAN存在(块210),则在块212在这个VLAN上学习MAC地址。如果返回的VLAN不存在(块210),则使用链上的下一个策略(块210),在该情况下,该下一个策略必须是在认证失败的情况下。如果服务器未返回VLAN(块208),则应用链中的下一个策略(块214),在该情况下,该下一个策略必须是非严格的。作为参考,图1的流程图中存在三个扩展路径和两个扩展。
图6和7示出了用于利用MAC认证促进端口分配的方法300,并且这种基于MAC的认证只是非请求者策略。如802.1x认证那样,在标记或未标记帧的情况下,MAC认证具有两个扩展和一个终止的路径。这使之能够在设备已通过认证但未能被分类的情况下应用一组策略,并且在该设备认证失败的情况下应用另一组策略。与802.1x认证的情况相反,当服务器知道该设备但不存在返回的VLAN时,该设备被认为已通过认证。
如图6所示,执行设备的静默(消极)认证(图6的块302)。这种认证是通过远程RADIUS服务器执行的。交换机以RADIUS帧的形式发送MAC地址信息给服务器,该RADIUS帧具有设于用户名和密码(即认证)属性中的MAC地址。首先参考确定通过未标记帧执行认证的情况(图6的块304),如果认证未成功(图6的块306),则应用链中的下一个策略(块308),在该情况下,该下一个策略必须是严格的或终端的。如果认证成功(图6的块306),则服务器返回VLAN(图6的块312),并且这个VLAN存在(图6的块312),在这个VLAN上学习该设备的MAC地址(图6的块314)。否则,当认证成功时,应用链中的下一个策略(图6的块316),在该情况下,该下一个策略必须是非严格未标记策略或块策略。作为参考,图6的流程图中存在三个扩展路径和两个扩展。
仍参考图6和7,参考确定通过标记帧执行认证的情况(图6的块304),如果认证未成功(图7的块306A),则应用链中的下一个策略(图7的块308A),在该情况下,该下一个策略必须是严格的或终端的。如果认证成功(图7的块306A),则服务器返回VLAN(图7的块310A),这个VLAN存在(图7的块312A)并且这个VLAN等于标记VLAN(图7的块318),在这个VLAN上学习该设备的MAC地址(块314A)。如果认证成功(图7的块306A),则服务器返回VLAN(图7的块310A),这个VLAN存在(图7的块312A)并且这个VLAN不等于标记VLAN(图7的块318),阻止该设备的MAC地址(图7的块320)。当该设备成功认证并且未返回VLAN(图7的块310A)时或当服务器返回VLAN(图7的块310)但该VLAN不存在(图7的块312A)时,应用链中的下一个策略(块322),在该情况下,该下一个策略必须是非严格的或终端的。作为参考,图7的流程图中存在四个扩展路径和两个扩展。
图8和9示出了用于利用VLAN标识(ID)促进端口分配的方法400。VLAN ID是非终端策略,其可应用于请求者(未标记帧)和非请求者(标记和未标记帧)二者。其使得设备的MAC地址能够在任何VLAN上被学习,这因而添加了另一层灵活性。可以创建VLAN以安排所有非请求者接入802.1x认证的端口。这种VLAN称作访客VLAN。还可以创建VLAN以安排所有认证失败的请求者(即失败的VLAN)。失败的VLAN必须是未认证的VLAN,以便使用严格型的VLAN ID策略。这个策略在该背景下用作终端策略,因为它唯一的合法扩展是块策略。此外,这个策略针对标记的和未标记的帧的行为是不同的并且也可以被实现成严格的或非严格的。因此,存在四种VLAN ID策略:非严格未标记、非严格标记、严格未标记和严格标记。
参考图8,设备的VLAN ID端口分类被确定成非严格的(块402)并且被确定为未标记的(块404),这在这里称作非严格未标记VLAN ID策略。这种策略应用于请求者和非请求者并且试图将发送未标记帧的设备分类到所选的VLAN中。如果所选VLAN存在(块406),则该设备被分类到该VLAN中(块408)。否则,应用链中的下一个策略(块410)。作为参考,图8的流程图的非严格未标记部分中存在一个扩展路径和一个扩展,并且该扩展是至非严格未标记策略或块策略。
仍参考图8,设备的VLAN ID端口分配被确定成非严格的(块402)并且被确定成标记的(块404),其在这里称作非严格标记VLAN ID策略。这种策略应用于请求者和非请求者并且行为上类似于非严格未标记VLANID策略的情况,除了所述设备必须是发送标记帧的非请求者。因此,所选VLAN是否存在(块412)以及该VLAN是否与标记VLAN相同(块414)均需要检查。如果检查结果是肯定的,则该设备被分类到所选VLAN中(块408)。否则,如果两个检查结果都是否定的,则认为该设备在标记VLAN是被阻止的(块416)。作为参考,图8的流程图的非严格标记部分中存在两个扩展路径和一个扩展(图3)并且该扩展是至非严格标记策略或块策略。
参考图8和9,设备VLAN ID被确定成严格的(图8的块402)并且被确定成为未标记的(块404B),其在这里称作严格未标记VLAN ID策略。这个策略在行为上类似于上述非严格未标记VLAN ID策略,除了VLAN的存在不保证设备分类。如果所选VLAN存在(图9的块406B)并且VLAN未认证(图9的块418),则该设备被分类到该VLAN中(图9的块408B)。否则,如果该VLAN不存在或已认证,则应用链中的下一个策略(图9的块420)。作为参考,图8和9的流程图的严格标记部分中存在两个扩展路径和一个扩展,并且该扩展是至另一个严格未标记策略或块策略。
参考图8和9,设备的VLAN ID端口分配被确定成严格的(图8的块402)并且被确定成标记的(块404B),其在这里称作严格标记VLAN ID策略。这个策略在行为上类似于上述非严格标记VLAN ID策略,除了VLAN的存在不保证设备分类。因此,所选VLAN是否存在(图9的块412B)、该VLAN是否被认证(图9的块422)以及该VLAN是否与标记VLAN相同(图9的块414B),均需要检查。如果VLAN存在(图9的块412B)、未被认证(图9的块422)并且与标记VLAN相同(图9的块414B),则该设备被分类到所选VLAN中(图9的块408B)。否则,如果VLAN不存在(图9的块412B)、已认证(图9的块422)或与标记VLAN不相同(图9的块414B),则认为该设备在标记VLAN上被阻止(图9的块424),在该情况下该设备仅在VLAN未被认证的情况下被分类。作为参考,在图8和9的严格标记部分中存在三个扩展路径和一个扩展并且该扩展是至另一个严格标记策略或块策略。
图10和11示出了用于利用VLAN分类规则(也称作组移动性规则)促进端口分类的方法500。VLAN分类规则策略是非终端策略,其具有四个类型:非严格未标记、非严格标记、严格未标记和严格标记。在常规VLAN分类端口中,DHCP(动态主机配置协议)规则被用来将MAC分类至VLAN。对于根据本发明的设备分类,当应用端口的设备分类策略时,具有匹配的DHCP规则并不被看作是具有匹配的VLAN分类规则并且因此在这种情况下将移至链的下一个策略.
参考图10,设备的VLAN分类端口分配被确定成非严格的(块502)并且被确定成未标记的(块504),其在这里称作非严格未标记VLAN分配策略。这个策略处理发送未标记帧的设备、请求者或非请求者并且使用VLAN分类规则(块506)以确定其分类。如果不存在匹配的规则(块508),则应用链中的下一个策略(块510)。如果存在匹配的规则(块508),则该设备被相应地分类(块512),例如通过学习VLAN上的MAC地址。如果该设备的MAC地址匹配于这个规则,则该规则被跳过并且搜索继续进行。作为参考,图10的流程图的非严格未标记部分中存在一个扩展路径和一个扩展,并且该扩展是至另一个非严格未标记策略或块策略。
仍参考图10,设备的VLAN分类端口分配被确定成非严格的(块502)并且被确定成标记的(块504),其在这里称作非严格标记VLAN分类策略。该策略试图分类作为发送标记帧的非请求者的设备。它不使用VLAN分类规则,但是简单地检查标记VLAN是否支持移动标签(块514)。如果该标记VLAN支持移动标签,则如同存在匹配的VLAN分类规则那样处理该设备以使得该设备被分类到该标记VLAN中(块516)。否则,认为该设备被阻止(块518)。作为参考,图10的流程图的非严格标记部分中存在一个扩展路径和一个扩展,并且该扩展是至另一个非严格标记策略或块策略的。
参考图10和11,设备的VLAN分类端口分配被确定成严格的(块502)并且被确定成为标记的(块504C),其在这里称作严格未标记VLAN分类策略。该策略在行为上类似于非严格未标记策略VLAN分类策略,因为它使用VLAN分类规则来分类设备(图11的块506)。然而,它仅针对非请求者并且匹配的规则不保证该设备被分类。该设备仅在有关VLAN未被认证的情况下被分类。如果不存在匹配的规则(图11的块508C)或VLAN已认证,则应用链中的下一个策略(图11的块510C)。如果存在匹配的规则(图11的块508C)并且VLAN未被认证(图11的块520),则该设备被相应地分类(图11的块512C),例如通过学习VLAN上的MAC地址。作为参考,在图11的严格未标记部分中存在两个扩展路径和一个扩展,并且该扩展是至另一个严格未标记策略或块策略的。
参考图10和11,设备的VLAN分类端口分配被确定成严格的(块502)并且被确定成标记的(块504C),其在这里称作严格标记VLAN分类策略。这个策略在行为上类似于非严格标记VLAN分类策略,因为它检查标记VLAN是否支持移动标签。然而,肯定的检查不保证该设备会被分类。该设备仅在该标记VLAN未被认证的情况下被分类。它不使用VLAN分类规则,但是简单地检查标记VLAN是否支持移动标签(图11的块514C)。如果该标记VLAN支持移动标签(图11的块514C)并且标记VLAN未被认证(图11的块522),则如同存在匹配的VLAN分类规则那样处理该设备,以便该设备被分类到该标记VLAN中(图11的块516C)。否则,如果标记VLAN不支持移动标签(图11的块514C)或标记VLAN已认证(图11的块522),则应用链中的下一个策略(图11的块524)。作为参考,图10和11的流程图的严格标记部分中存在两个扩展路径和一个扩展,并且该扩展是至另一个严格未标记策略或块策略的。
仍参考VLAN分类端口分配,如上所述,存在首先发送常规帧稍后切换至标记帧的设备。这种设备可以首先基于常规帧被分类然后基于标记帧被重新分类。重新分类的规则如下:a)标记VLAN必须支持移动标签;b)该设备最初通过VLAN分类规则策略被分类;c)如果该设备之前被认证服务器认证则它将被分类到标签帧上的VLAN;和d)如果该设备之前未被认证则它只能在标记帧上的VLAN无法被认证的情况下被重新分类。
图12和13示出了用于利用默认VLAN规则促进端口分类的方法600。默认VLAN是将VLAN的MAC地址安排到端口的默认VLAN中的终端策略。由于端口的默认VLAN可以是认证的VLAN,因此需要这个终端策略的严格版本。因此,策略分为四种:非严格未标记、非严格标记、严格未标记和严格标记。
参考图12,设备的默认VLAN端口分配被确定成非严格的(块602)并且被确定成未标记的(块604),其在这里称作非严格未标记默认VLAN策略。这个策略是应用于发送常规(未标记)帧的请求者和非请求者的终端策略。它简单地将设备的MAC地址安排到端口的默认VLAN中(块606)。
参考图12,设备的默认VLAN端口分配备确定成非严格的(块602)并且被确定成未标记的(块604),其在这里称作非严格未标记默认VLAN策略。这个策略是应用于发送常规(未标记)帧的请求者和非请求者的终端策略。它简单地将设备的MAC地址置于端口的默认VLAN中(块606)。
仍参考图12,设备的默认VLAN端口分配备确定成非严格的(块602)并且被确定成未标记的(块604),其在这里称作非严格未标记默认VLAN策略。这个策略是应用于只发送标记帧的请求者和非请求者的终端策略。如果该VLAN匹配于标记VLAN(块608),则设备的MAC地址被置于端口的默认VLAN中(块610)。否则,该MAC地址被阻止(块612)。
参考图12和13,设备的默认VLAN端口分配被确定成严格的(块602)并且被确定成未标记的(块604D),其在这里称作严格未标记默认VLAN策略。这个策略是应用于只发送未标记帧的请求者和非请求者的终端策略。如果该VLAN不是认证的变型(图13的块614),则它将设备的MAC地址置于端口的默认VLAN中(图13的块610D)。否则,该MAC地址被阻止(图13的块612D)。
参考图12和13,设备的默认VLAN端口分配被确定成严格的(块602)并且被确定成标记的(块604D),其在这里称作严格标记默认VLAN策略。这个策略是应用于只发送标记帧的非请求者的终端策略。如果该VLAN不是认证的变型(图13的块616)并且匹配于标记VLAN(图13的块608D),则该设备的MAC地址被置于端口的默认VLAN中(图13的块610D)。否则,如果该VLAN是认证的变型(图13的块616)或不匹配于标记VLAN(图13的块608D),则该MAC地址被阻止(图13的块612D)。
现在讨论根据本发明的用于实现端口分配的端口和策略配置,从而使得设备分类策略可以用于专用端口上,该端口应当被配置成802.1x认证的端口。这包括配置VLAN分类以便该端口是移动的并且是802.1x认证的。对于特定的系统级配置中的基于MAC的认证特征是在认证授权和计费模块中完成的。这包括配置RADIUS服务器的列表以提供AAA中的基于MAC的认证。这个列表可以与802.1x认证的服务器的列表不同。注意,如果选择将这两个列表配置为相同,则它们也可以是相同的。请求者和非请求者混合策略的配置是在802.1x处理器中完成的。
关于策略配置,原子策略被并入链中以及可选地并入用于创建混合策略的树中。在本发明的至少一个实施例中,有几个必须遵循的规则以适当地配置混合策略。这些规则中的第一个是特定类型的原子策略在混合策略中只能出现一次(即不允许重复)。这些规则中的第二个是严格的原子策略只能用另一个严格的原子策略或块策略来扩展。这些规则中的第三个是非严格的原子策略只能用另一个非严格的策略或块策略来扩展。这些规则中的第四个是标记的原子策略只能用另一个标记的原子策略或块策略来扩展。这些规则中的第五个是未标记的原子策略只能用另一个未标记的源自策略或块策略来扩展。这些规则中的第六个是混合策略必须终止。这些规则中的第七个是如果混合策略未终止则就不是默认终端源自策略被添加的情况。这些规则中的第八个是混合策略中最多允许有三个VLAN ID策略。
应当指出,默认终端策略是块。还应当指出,出于上述规则1的目的,如果两个VLAN ID策略涉及不同的VLAN则它们被认为是不同的。
存在用于配置非请求者混合策略的附加规则。这些规则中的第一个是请求者原子策略不能是非请求者混合策略的一部分。这些规则中的第二个是如果MAC认证是混合策略链/树中的原子策略之一,则它必须是第一个策略。这些规则中的第三个是严格策略或块策略是第一个策略。
存在用于配置请求者混合策略的附加规则。这些规则中的第一个是非请求者原子策略不能是请求者混合策略的一部分。这些规则中的第二个是802.1x认证策略必须是混合策略链中的第一个策略。这些规则中的第三个是严格VLAN ID策略必须后随块策略。
现在讨论根据本发明的基本系统结构,除了添加了根据本发明的设备认证/分类特征以外,设备认证功能性不改变。802.1x端口中的认证过程以与现有802.1x认证相同的方式开始。在端口启动时,EAP-请求/身份帧被发送至802.1组MAC地址以从连至该端口的请求者请求开始认证。之后,EAP-请求/身份帧只被发送至在该端口上发送数据业务的设备的指定MAC地址。如果设备是请求者,则这将触发认证的开始。该设备应当返回EAP-响应/身份帧以开始认证。如果未收到EAP-响应/身份帧,则在若干次尝试之后,该设备是非请求者并且默认地被阻止。这个行为现在可以更改成非请求者分类策略链可以在端口上被配置。根据所配置的内容,该设备可以被置于MAC认证的或按照VLAN分类规则而分类的被配置VLAN中。在MAC认证的情况下,设备的MAC地址被检查有效性以发现它是否应当被学习并且在哪个VLAN上。(特别是针对基于MAC的认证所配置的)RADIUS服务器自己执行认证。该服务器从交换机获取RADIU帧,其中该设备的MAC地址为用户名和密码二者。这个功能性类似于一个或多个已知VLAN认证应用当前如何使用RADIUS服务器进行认证。RADIUS不需要任何销售商指定的或标准的属性(其在当前不被支持)来按照本发明而操作。如果设备的MAC地址是已知的并且RADIUS服务器返回VLAN并且VLAN存在,则在这个VLAN上学习该MAC,由此该设备被授权以该端口上的业务。
现在介绍请求者和非请求者混合分类策略的不同配置的不同实例。按照公开的内容,本领域技术人员应当认识到,这些实例并非是详尽的或穷举的,许多在本公开和/或所附权利要求范围内的实例在这里并未覆盖。此外,本领域技术人员应当认识到,它们是描述如何实现各个功能性的实例,并且可以通过CLI的不同变型来实现相同或十分相似的功能性。
实例1
命令是802.1x slot/port non-supplicant policy authentication passgroup-mobility default-vlan fail vlan 10[block],其设定了非请求者的策略。该策略以不同方式处理标记的和未标记的帧。
在未标记的情况下,如图14所示,首先执行MAC认证。如果该设备通过认证但是未被分类,则应用VLAN分类规则。如果没有匹配的规则,则该设备的MAC在默认VLAN上被学习。如果该设备认证失败,则其MAC在VLAN 10上被学习,假设VLAN 10存在并且不是认证的VLAN。否则阻止该设备的MAC。
在标记的情况下,如图15所示,首先执行MAC认证。如果该设备通过认证并且VLAN被返回,则该设备仅当该VLAN存在并匹配于标记VLAN时才被分类。如果这二者不匹配,则该设备被阻止。如果没有VLAN被返回或返回的VLAN不存在,则该设备在标记VLAN支持移动标签的情况下被分类至该标记VLAN中。这种情况是因为成功认证之后的策略是VLAN分类并且使得标记VLAN支持移动标签等价于具有匹配规则。如果标记VLAN不支持移动标签,则该设备的MAC在默认VLAN上被学习,假设它匹配与标记VLAN。如果这二者不匹配,则该MAC被阻止。如果设备认证失败,则其MAC在VLAN 10上被学习(假设该VLAN 10存在),匹配于标记VLAN并且不是认证的VLAN。否则该设备的MAC被阻止。
实例2
命令是802.Ix slot/port non-supplicant policy authentication vlan 10default-vlan,其设定了用于非请求者的策略。该策略以不同方式处理标记的和未标记的帧。在未标记的情况下,如图16所示,首先执行MAC认证。如果该设备通过认证但是未被分类,则其MAC在VLAN 10上被学习,假设VLAN 10存在。如果VLAN 10未被配置,则该设备的MAC在端口的默认VLAN上被学习。如果该设备认证失败,则它被阻止。应当指出,如果省略关键字“通过”和“失败”,则假设链涉及“通过”的情况,而对于“失败”的情况,假设默认终端策略(块)。
在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且VLAN被返回,则该设备仅当该VLAN存在并且匹配于标记VLAN时才被分类。如果这二者不匹配,则该设备被阻止。如果没有返回VLAN或返回的VLAN不存在,则该设备被分类至VLAN 10中,假设VLAN 10存在且匹配于标记VLAN。如果这二者不匹配,则该设备被阻止。如果该设备认证失败,则它被阻止。
实例3
命令是802.1x slot/port non-supplicant policy authentication fail vlan100 default-vlan,其设定了用于非请求者的策略。首先执行MAC认证。该策略以不同方式处理标记的和未标记的帧。
在未标记的情况下,如图17所示,首先执行MAC认证。如果该设备通过认证但未被分类,则其MAC被阻止。如果该设备认证失败,则其MAC在VLAN 100上被学习,假设VLAN 100存在并且不是认证的VLAN。否则,该设备的MAC在端口的默认VLAN不是认证的VLAN的情况下在该默认VLAN上被学习。否则该设备的MAC被阻止。
在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且VLAN被返回,则该设备仅当该VLAN存在并且匹配于标记VLAN时才被分类。否则该设备被阻止。如果设备认证失败,则其MAC在VLAN 100上被学习,假设VLAN 100存在、匹配于标记VLAN并且不是认证的VLAN。否则该设备的MAC被阻止。
实例4
命令是802.1x slot/port non-supplicant policy authentication pass vlan10 block fail group-mobility default-vlan,其设定了用于非请求者的策略。该策略以不同方式处理标记的和未标记的帧。
在未标记的情况下,如图18所示,首先执行MAC认证。如果该设备通过认证但未被分类,则其MAC在VLAN 10上被学习,假设VLAN 10存在。如果该VLAN未被配置,则该设备的MAC被阻止。如果该设备认证失败,则应用VLAN分类规则。如果没有匹配的规则,或有关VLAN是认证的VLAN,则该设备的MAC在默认VLAN上被学习,假设该默认VLAN不是认证的VLAN。否则阻止该设备的MAC。
在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且VLAN被返回,则该设备仅当该VLAN存在并且匹配于标记VLAN时才被分类。如果这二者不匹配则该设备被阻止。如果没有返回VLAN或返回的VLAN不存在,则该设备被分类至VLAN 10中,假设VLAN 10存在并且匹配于标记VLAN。否则该设备被阻止。如果设备认证失败,则它在标记VLAN不是认证的VLAN且支持移动标签的情况下被分类至该标记VLAN中。这种情况是因为认证失败之后的策略是VLAN分类并且使得标记VLAN支持移动标签等价于具有匹配规则。如果标记VLAN不支持移动标签或是认证的VLAN,则该设备的MAC在默认VLAN上被学习,假设该默认VLAN匹配于标记VLAN并且不是认证的VLAN。否则阻止该设备的MAC。
实例5
命令是802.Ix slot/port non-supplicant policy authentication pass vlan10 block fail group-mobility vlan 43 default-vlan,其设定了用于非请求者的策略。该策略以不同方式处理标记的和未标记的帧。
在未标记的情况下,如图19所示,首先执行MAC认证,如果该设备通过认证但未被分类,则其MAC在VLAN 10上被学习,假设VLAN 10存在。否则阻止该设备的MAC。如果该设备认证失败,则应用VLAN分类规则。如果没有匹配的规则或有一个规则匹配但有关VLAN是认证的VLAN,则设备的MAC在VLAN 43上被学习,假设VLAN 43存在并且不是认证的VLAN。如果VLAN 43不存在或是认证的VLAN,则该MAC在默认VLAN上被学习,假设该默认VLAN不是认证的VLAN。否则阻止该设备的MAC。这在图12的流程图中示出。
在标记的情况下(未具体显示),首先执行MAC认证。如果该设备通过认证并且返回VLAN,则该设备仅当该VLAN存在且匹配于标记VLAN时才被分类。如果这二者不匹配则阻止该设备。如果没有返回VLAN或返回的VLAN不存在,则该设备被分类至VLAN 10中,假设VLAN 10存在并且匹配于标记VLAN。否则阻止该设备。如果该设备认证失败,则它在标记VLAN不是认证的VLAN且支持移动标签的情况下被分类至该标记VLAN中。这种情况是因为认证失败之后的策略是VLAN分类并且使得标记VLAN支持移动标签等价于具有匹配规则。如果标记VLAN不支持移动标签或是认证的VLAN,则在VLAN 43上学习该设备的MAC,假设VLAN 43匹配于标记VLAN且不是认证的VLAN。否则阻止该设备的MAC。
实例6
命令是802.Ix slot/port supplicant policy authenticationgroup-mobility default-vlan fail vlan 43 block,其设定了用于请求者的策略以便首先执行802.1x认证。然而,这个设置是强制性的,802.1x认证先于任何策略。参考图20,如果该设备通过认证但未被分类,则应用VLAN分类规则。如果没有匹配的规则,则该设备的MAC在默认VLAN上被学习。如果该设备的认证失败,则它被分类到VLAN 43中,假设VLAN 43存在并且不是认证的VLAN。否则阻止该设备。注意,VLAN 43在这里用作请求者的失败的VLAN。
实例7
命令是802.1x slot/port supplicant policy authenticationgroup-mobility vlan 127 default-vlan,其设定了用于请求者的策略以便首先执行802.1x认证。参考图21,如果该设备通过认证但未被分类,则应用VLAN分类规则。如果没有匹配的规则,则该设备的MAC在VLAN 127上被学习。如果VLAN 127不存在,则在端口的默认VLAN上学习该MAC。否则阻止该设备的MAC。
现在参考可由数据处理设备处理的指令。从本公开中应当理解,适于执行如这里公开的端口分类功能性的方法、过程和/或操作是由计算机可读介质明确体现的,该介质具有被配置为执行这种功能性的指令。在一个指定实施例中,该指令被明确地体现以执行方法100以及上述原子策略和/或混合策略链中的任一个或多个。所述指令可由一个或多个数据处理设备从存储设备(例如RAM、ROM、虚拟存储器、硬驱存储器等)、数据处理系统的驱动单元(例如磁盘、光盘、盒式磁带等)可读取的设备中或这二者中访问。因此,根据本发明的计算机可读介质的实施例包括光盘、硬驱、RAM或具有适于执行根据本发明的端口分配功能性的计算机程序(即指令)的其他类型的存储设备。
在前面的详细描述中,参考了构成本说明书一部分的附图,其中是作为可实施本发明的说明性指定实施例来显示的。已经以充分的细节描述了这些实施例及其一些变型以使得本领域技术人员能够实施本发明的实施例。应当理解,可以使用其他合适的实施例,并且可以在不脱离本发明精神和范围的前提下实现逻辑的、机械的、化学的和电子的更改。为避免不必要的细节,本说明书省略了一些本领域技术人员已知的信息。因此,前面的详细描述并不旨在限于这里说明的指定形式,而是相反,其旨在覆盖可以合理地包含于所附权利要求的精神和范围内的可选方案、修改和等价物。
Claims (11)
1.一种方法,包括:
促进尝试连接到网络单元的端口的客户端设备的认证,其中所述促进包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机制来认证;
对于所述认证机制中的每一个,响应于该客户端设备被成功认证而根据第一分类策略结构来为该客户端设备提供网络连通性;以及
对于所述认证机制中的每一个,响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性。
2.根据权利要求1所述的方法,其中:
根据所述第一分类策略结构为所述客户端设备提供网络连通性包括根据接收自执行所述认证的服务器的认证属性并且所述认证属性包含需要的信息,将该客户端设备分配给第一逻辑端口接口和第一角色中的一个,和
根据所述第二分类策略结构为所述客户端设备提供网络连通性包括响应于未从执行所述认证的服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认证的所述服务器被接收到之后被确定为不包含所述需要的信息,将所述客户端设备分配给第二逻辑端口接口和第二角色中的一个。
3.根据权利要求1所述的方法,还包括:
响应于所述客户端设备利用所述认证机制中特定的一个被成功认证,将该客户端设备分配给每个都被配置为允许第一级网络可接入性的逻辑端口接口和角色中的一个;以及
响应于所述客户端设备未能利用所述认证机制中特定的一个被成功认证,将该客户端设备分配给每个都被配置为允许与所述第一级网络可接入性不同的第二级网络可接入性的逻辑端口接口和角色中的一个。
4.根据权利要求3所述的方法,其中:
将所述客户端设备分配给每个都被配置为允许第一级网络可接入性的所述逻辑端口接口和所述角色中的一个,是根据接收自执行所述认证的服务器的认证属性并且响应于所述认证属性包含需要的信息来执行的;以及
将所述客户端设备分配给每个都被配置为允许与所述第一级网络可接入性不同的第二级网络可接入性的所述逻辑端口接口和所述角色中的一个,是响应于未从执行所述认证的所述服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认证的所述服务器被接收之后被确定为不包含所述需要的信息来执行的。
5.根据权利要求1所述的方法,其中:
对于所述认证机制中的每一个,与所述客户端设备被成功认证相对应的所述第一分类策略结构所允许的网络可接入性级别不同于与所述客户端设备未成功认证相对应的所述第二分类策略结构所允许的网络可接入性级别。
6.根据权利要求1所述的方法,其中,促进所述客户端设备的认证包括:
确定所述客户端设备是否被配置为利用所述第一认证机制来认证;
响应于所述客户端设备未被配置为利用所述第一认证机制来认证,确定该客户端设备是否被配置为利用第二认证机制来认证;以及
响应于该客户端设备被配置为利用所述第一认证机制或所述第二认证机制来认证,为该客户端设备提供比与该客户端设备利用所述第一或第二认证机制被成功认证相对应的网络连通性级别更低的网络连通性级别。
7.根据权利要求6所述的方法,其中:
根据所述第一分类策略结构为所述客户端设备提供网络连通性包括根据从执行所述认证的服务器接收到的认证属性并且所述认证属性包括需要的信息,将该客户端设备分类给第一逻辑端口接口和第一角色中的一个,以及
根据所述第二分类策略结构为所述客户端设备提供网络连通性包括响应于未从执行所述认证的所述服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认证的所述服务器被接收之后被确定为不包含所述需要的信息,将所述客户端设备分配给第二逻辑端口接口和第二角色中的一个。
8.根据权利要求7所述的方法,还包括:
将所述客户端设备分配给每个都被配置为允许第一级网络可接入性的所述逻辑端口接口和所述角色中的一个,是根据接收自执行所述认证的服务器的认证属性并且响应于所述认证属性包含需要的信息来执行的;以及
将所述客户端设备分配给每个都被配置为允许与所述第一级网络可接入性不同的第二级网络可接入性的所述逻辑端口接口和所述角色中的一个,是响应于未从执行所述认证的所述服务器接收到所述认证属性中的至少一个并且所述认证属性在从执行所述认证的所述服务器被接收之后被确定为不包含所述需要的信息来执行的。
9.根据权利要求1所述的方法,其中:
响应于确定了所述客户端设备被配置为利用所述认证机制中的一个认证机制来认证并且通过所述一个认证机制来促进所述客户端设备的第一认证实例,促进所述客户端设备的第二认证实例。
10.一组处理器可执行指令,包括:
用于促进尝试连接到网络单元的端口的客户端设备的认证的指令,其中所述促进包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机制来认证;
对于所述认证机制中的每一个,用于响应于该客户端设备被成功认证而根据第一分类策略结构来为该客户端设备提供网络连通性的指令;以及
对于所述认证机制中的每一个,用于响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性的指令。
11.一种服务器,其被配置为:
促进尝试连接到网络单元的端口的客户端设备的认证,其中所述促进包括确定该客户端设备是否被配置成利用第一认证机制来认证,并且响应于确定了该客户端设备未被配置成利用该第一认证机制来认证而确定该客户端设备是否被配置成利用至少另一个认证机制来认证;
对于所述认证机制中的每一个,响应于该客户端设备被成功认证而根据第一分类策略结构来为该客户端设备提供网络连通性;以及
对于所述认证机制中的每一个,响应于该客户端设备未能成功认证而根据与所述第一分类策略结构不同的第二分类策略结构来为该客户端设备提供网络连通性。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/887,721 | 2007-09-28 | ||
| US11/887,721 US9172686B2 (en) | 2007-09-28 | 2007-09-28 | Facilitating heterogeneous authentication for allowing network access |
| PCT/US2008/077854 WO2009045895A1 (en) | 2007-09-28 | 2008-09-26 | Facilitating heterogeneous authentication for allowing network access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101809968A true CN101809968A (zh) | 2010-08-18 |
Family
ID=40350111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880108451A Pending CN101809968A (zh) | 2007-09-28 | 2008-09-26 | 促进异类认证以允许网络接入 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9172686B2 (zh) |
| EP (1) | EP2198584B1 (zh) |
| CN (1) | CN101809968A (zh) |
| WO (1) | WO2009045895A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271133A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和系统 |
| CN105897819A (zh) * | 2015-10-21 | 2016-08-24 | 乐卡汽车智能科技(北京)有限公司 | 用于包括多个子网的车载网络的数据通信方法、系统及网关 |
| CN106576096A (zh) * | 2014-06-17 | 2017-04-19 | 思科技术公司 | 对具有不等能力的设备的认证 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378358B (zh) * | 2008-09-19 | 2010-12-15 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| JP5372711B2 (ja) * | 2009-11-13 | 2013-12-18 | アラクサラネットワークス株式会社 | 複数認証サーバを有効利用する装置、システム |
| JP5106599B2 (ja) * | 2010-08-24 | 2012-12-26 | 株式会社バッファロー | ネットワーク中継装置 |
| ES2488396T3 (es) | 2011-03-25 | 2014-08-27 | Airbus Ds Sas | Autenticación en un sistema de comunicaciones |
| CN103052063B (zh) * | 2011-10-11 | 2015-10-07 | 中国移动通信集团公司 | 一种接入无线局域网的方法、系统、无线共享设备和终端 |
| US9225719B2 (en) * | 2011-12-12 | 2015-12-29 | Jpmorgan Chase Bank, N.A. | System and method for trusted pair security |
| US9088891B2 (en) | 2012-08-13 | 2015-07-21 | Wells Fargo Bank, N.A. | Wireless multi-factor authentication with captive portals |
| US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| CN104796894A (zh) * | 2014-01-22 | 2015-07-22 | 海尔集团公司 | 一种传输配置信息的方法及设备 |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US9961059B2 (en) | 2014-07-10 | 2018-05-01 | Red Hat Israel, Ltd. | Authenticator plugin interface |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| CN104717223B (zh) * | 2015-03-26 | 2018-05-08 | 小米科技有限责任公司 | 数据访问方法及装置 |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11036532B2 (en) * | 2017-11-29 | 2021-06-15 | Microsoft Technology Licensing, Llc | Fast join and leave virtual network |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US10354346B1 (en) * | 2018-05-15 | 2019-07-16 | RG Nets, Inc. | Implemented per-room VLANs |
| US11258794B2 (en) | 2019-01-09 | 2022-02-22 | Hewlett Packard Enterprise Development Lp | Device category based authentication |
| US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11729166B2 (en) * | 2020-07-07 | 2023-08-15 | Arista Networks, Inc. | Authentication of passive devices |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060026671A1 (en) * | 2004-08-02 | 2006-02-02 | Darran Potter | Method and apparatus for determining authentication capabilities |
| GB2435161A (en) * | 2005-03-23 | 2007-08-15 | Dell Products Lp | Selecting authentication protocol for a device in an EAP system from preferably the most recently used or most often used by that device |
-
2007
- 2007-09-28 US US11/887,721 patent/US9172686B2/en active Active
-
2008
- 2008-09-26 EP EP08836775.0A patent/EP2198584B1/en active Active
- 2008-09-26 WO PCT/US2008/077854 patent/WO2009045895A1/en active Application Filing
- 2008-09-26 CN CN200880108451A patent/CN101809968A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060026671A1 (en) * | 2004-08-02 | 2006-02-02 | Darran Potter | Method and apparatus for determining authentication capabilities |
| GB2435161A (en) * | 2005-03-23 | 2007-08-15 | Dell Products Lp | Selecting authentication protocol for a device in an EAP system from preferably the most recently used or most often used by that device |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271133A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和系统 |
| CN102271133B (zh) * | 2011-08-11 | 2014-11-26 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和系统 |
| CN106576096A (zh) * | 2014-06-17 | 2017-04-19 | 思科技术公司 | 对具有不等能力的设备的认证 |
| CN106576096B (zh) * | 2014-06-17 | 2019-12-13 | 思科技术公司 | 用于对具有不等能力的设备的认证的装置、方法及介质 |
| CN105897819A (zh) * | 2015-10-21 | 2016-08-24 | 乐卡汽车智能科技(北京)有限公司 | 用于包括多个子网的车载网络的数据通信方法、系统及网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9172686B2 (en) | 2015-10-27 |
| WO2009045895A1 (en) | 2009-04-09 |
| EP2198584A1 (en) | 2010-06-23 |
| US20110004918A1 (en) | 2011-01-06 |
| EP2198584B1 (en) | 2016-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101809968A (zh) | 促进异类认证以允许网络接入 | |
| CN1864390B (zh) | 用于利用安全性标记提供网络安全性的方法和装置 | |
| CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| CN100591011C (zh) | 一种认证方法及系统 | |
| JP5704518B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN108009825A (zh) | 一种基于区块链技术的身份管理系统及方法 | |
| CN103179130B (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
| CN108173850A (zh) | 一种基于区块链智能合约的身份认证系统和身份认证方法 | |
| US20090217353A1 (en) | Method, system and device for network access control supporting quarantine mode | |
| US7490347B1 (en) | Hierarchical security domain model | |
| US8102860B2 (en) | System and method of changing a network designation in response to data received from a device | |
| US20120222099A1 (en) | Multifactor authentication service | |
| CN1400771A (zh) | 生物统计学验证的vlan | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
| US7814330B2 (en) | Method and apparatus for facilitating multi-level computer system authentication | |
| US20070061874A1 (en) | System, method and program for determining a qualified support team to handle a security violation within a computer | |
| CN102484591A (zh) | 标识和跟踪网络通信中的用户 | |
| WO2011162079A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN1783780B (zh) | 域认证和网络权限认证的实现方法及设备 | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
| KR101160219B1 (ko) | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 | |
| CN108076500A (zh) | 局域网管理的方法、装置及计算机可读存储介质 | |
| CN102624724A (zh) | 安全网关及利用网关安全登录服务器的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100818 |