CN102158487A - 网络接入控制方法、系统及装置 - Google Patents
网络接入控制方法、系统及装置 Download PDFInfo
- Publication number
- CN102158487A CN102158487A CN2011100850093A CN201110085009A CN102158487A CN 102158487 A CN102158487 A CN 102158487A CN 2011100850093 A CN2011100850093 A CN 2011100850093A CN 201110085009 A CN201110085009 A CN 201110085009A CN 102158487 A CN102158487 A CN 102158487A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- authentication
- message
- switch
- authorization message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络接入控制方法、系统及装置,该方法包括:交换机发现有终端设备请求接入时,根据终端设备的地址信息,查找自身是否存储所述终端设备的认证信息。若是,允许所述终端设备接入网络;若否,对所述终端设备进行认证,当认证通过时允许所述终端设备接入网络,并共享所述终端设备的认证信息给其他交换机和上报所述终端设备的授权信息给网关设备;网关设备接收交换机上报的授权信息,将接收到的授权信息写入路由表,实现控制终端设备访问允许访问的网络。在交换机上共享认证信息,避免了用户迁移时的重新认证,在网关设备实现授权控制,避免了系统资源的浪费,提高了系统性能。
Description
技术领域
本发明涉及网络技术领域,尤指一种网络接入控制方法、系统及装置。
背景技术
用户使用终端设备接入网络时,一般需要认证和授权控制,包括到交换机进行认证、授权信息同步和路由控制等各个方面。现有网络认证授权的实现系统如图1所示,该系统中使用个人计算机(PC)的用户通过认证交换机和网关到认证服务器进行认证后,才能接入网络。例如图1中所示的网络安全资源区1只允许高权限的用户访问,网络安全资源区2高权限和低权限的用户均可访问,高权限用户通过IP地址为192.168.1.2的认证交换机,经IP地址为192.168.1.1的网关,访问网络安全资源区1和2,低权限用户通过IP地址为192.168.1.3的认证交换机,经IP地址为192.168.1.1的网关,访问网络安全资源区2,在访问时均需要到认证服务器认证相应的权限,认证和授权的控制通常是部署在接入交换机上的,实现对不同网络权限的用户的认证授权。
用户使用PC连接到接入交换机上,并发起认证,接入交换机把认证请求发到认证服务器上,服务器将认证结果和授权信息反馈给交换机,然后接入交换机根据认证结果控制PC是否可以访问网络,根据授权信息控制用户可以访问哪些网络。
现有技术中,在认证交换机上实现认证和授权控制的实现方案,存在下列问题:
当用户处于移动办公状态时,经常在交换机之间迁移,其在所属的交换机获得访问网络的认证和授权后,若从所属的交换机迁移到其他交换机范围内时,则需要重新认证。例如图1中,高权限用户从192.168.1.2交换机移动到192.168.1.3交换机范围内时,为了能够正常上网则必须重新认证。
尤其是对于通过集线器访问交换机的用户而言,对于集线器下挂的多个用户,当其中一个或几个发生迁移时,交换机无法发现用户的迁移,仍然会保留用户的认证和授权信息,占用交换机的芯片资源,从而浪费网络资源和交换机的系统资源。
可见,现有技术中在认证交换机上实现认证和授权控制的方案,在用户迁移后必须重新认证才能接入网络,且会存在用户迁移后交换机无法感知的情况。
目前还没有较好的解决方案来避免用户在交换机之间迁移后重新认证的问题,如果认证和授权控制转移到上层的网关上实现,虽然可以解决这一问题,所有交换机连接的终端设备的认证授权控制都在网关上实现,由于终端设备的数量巨大,会导致网关的压力和负荷过重,导致用户的网络接入不能被及时处理,影响系统性能。且这种方式,对于外网用户可以实现权限控制,对于内网用户,由于接入交换机已经不做认证了,将无法实现内部访问。因此,不能很好的解决这一问题。
目前用于解决交换机无法感知到用户迁移而导致系统资源浪费这一问题的方案,包括持续监控端口流量信息、通过发送探测报文监控等方式。
其中监控流量的方式对于使用集线器的用户是不适用的,因为交换机智能监控到集线器的流量,其下挂的用户迁移将不能被感知,导致判断错误;发送探测报文则必须安装特殊软件,且需要额外的信令开销,仍然会浪费系统资源。
发明内容
本发明实施例提供一种网络接入控制方法、系统及装置,用以解决现有技术中不能很好的解决用户在不同交换机之间迁移时需要重新认证的问题,以及交换机无法感知用户迁移导致资源浪费等问题。
一种网络接入控制方法,包括:
交换机发现有终端设备请求接入时,根据终端设备的地址信息,查找自身是否存储所述终端设备的认证信息;
若是,允许所述终端设备接入网络;若否,对所述终端设备进行认证,当认证通过时允许所述终端设备接入网络并存储认证信息,并共享所述终端设备的认证信息给其他交换机存储和上报所述终端设备的授权信息给网关设备;
网关设备接收交换机上报的授权信息,将接收到的授权信息写入路由表,实现控制终端设备访问允许访问的网络。
一种交换机,包括:
监控模块,用于监控是否有终端设备请求接入;
认证模块,用于发现有终端设备请求接入时,根据终端设备的地址信息,查找自身是否存储所述终端设备的认证信息;若是,允许所述终端设备接入网络并存储认证信息;若否,对所述终端设备进行认证,当认证通过时允许所述终端设备接入网络,并共享所述终端设备的认证信息给其他交换机存储和上报所述终端设备的授权信息给网关设备。
一种网关设备,包括:
接收模块,用于接收交换机上报的认证通过的终端设备周期性上报的授权信息;
更新模块,用于将接收到的授权信息写入路由表,实现控制终端设备访问允许访问的网络。
一种网络接入控制系统,包括:终端设备、上述的交换机和上述的网关设备。
本发明有益效果如下:
本发明实施例提供的网络接入控制方法、系统及装置,在交换机上共享认证通过终端设备的认证信息,由交换机实现认证控制,在用户发生迁移时,对于已认证过的终端设备则无需再进行认证,避免了用户迁移时的重新认证;以及将认证通过的终端设备的授权信息上报给网关设备,由网关设备进行授权控制,避免了共享信息过多,占用交换机的系统资源;通过授权和认证的分离控制,使得用户迁移时,既能实现不用重新认证,又能够准确获取到授权信息,避免了系统资源的浪费,提高了系统性能。
附图说明
图1为现有技术中网络认证授权的实现系统的结构图;
图2为本发明实施例中网络接入控制系统的结构示意图;
图3为本发明实施例中网络接入控制方法的流程图;
图4为本发明实施例中交换机的结构示意图;
图5为本发明实施例中网关设备的结构示意图;
图6为本发明实施例中交换机实现认证控制的原理示意图;
图7为本发明实施例中网关设备实现授权控制的原理示意图;
图8为本发明实施例中网关设备根据授权信息实现授权控制的流程图。
具体实施方式
为了解决现有技术中,用户在不同的交换机之间迁移后需要重新认证的问题,考虑到将认证和授权控制转移到上层的网关执行导致的网关负荷过重的问题,本发明实施例提供一种网络接入控制方法,在交换机上实现认证控制和认证信息共享——控制终端设备是否可以接入网络,在网关上实现授权控制——控制用户可以接入哪些网络,从而可以方便的监控到用户迁移,也避免了用户迁移后的重新认证。
本发明实施例提供一种网络接入控制系统,用于实现网络接入控制,该系统结构如图2所示,包括:终端设备10、交换机20和网关设备30。
交换机20,用于发现有终端设备10请求接入时,根据终端设备的地址信息,查找自身是否存储终端设备10的认证信息;若是,允许终端设备10接入网络;若否,对终端设备10进行认证,当认证通过时允许终端设备10接入网络,并将认证通过的终端设备10的认证信息共享给其他交换机20以及上报认证通过的终端设备10的授权信息给网关设备30。
优选的,交换机20,具体用于将认证通过的终端设备的授权信息写入地址解析协议ARP报文中增设的授权字段中,将携带授权信息的ARP报文发送给网关设备。
优选的,上述交换机20,还用于:接收其他交换机共享的终端设备10的认证信息,并将接收到的认证信息存入内存中。
优选的,上述交换机20,还用于:接收到终端设备10的接入注销请求时,删除该终端设备的认证信息,并通知其他交换机删除该终端设备的认证信息。
网关设备30,用于接收交换机上报的认证成功的终端设备10的授权信息,将接收到的授权信息写入路由表,实现控制终端设备10访问允许访问的网络。
优选的,网关设备30还用于接收终端设备10周期性发送的地址解析协议ARP报文获取ARP信息,若在设定的ARP信息老化时间到期时未接收到终端设备10发送的ARP报文,认为终端设备10已经下线,删除终端设备10的ARP信息和路由表中该终端设备10的授权信息。
优选的,上述网关设备30,具体用于接收到地址解析协议ARP报文时,判断接收到的ARP报文中是否携带有授权信息,当确定接收到的ARP报文中携带有授权信息时,将授权信息提取出来,写入路由表中。
上述系统还包括,认证服务器40,用于根据交换机20转发的认证请求对终端设备10进行认证,并向交换机20返回认证结果。
本发明实施例提供的网络接入控制方法,其流程如图3所示,执行步骤如下:
步骤S11:交换机发现有终端设备请求接入。
交换机上设置有认证端口,终端设备通过认证端口请求接入网络,交换机启动MAC地址监听,监听自身认证端口来发现是否有终端设备请求接入。
步骤S12:根据终端设备的地址信息,查找自身是否存储该终端设备的认证信息。
若是,执行步骤S13;否则执行步骤S14。
优选的,交换机会接收其他交换机共享的认证通过的终端设备的认证信息,并将接收到的认证信息存入内存中。交换机根据在认证端口监听到的请求接入的终端设备的MAC地址,查找自身内存中存储的其他交换机共享的终端设备的认证信息中是否有该MAC地址对应的认证信息,以确认请求接入的终端设备是否已在其他交换机上认证成功。
步骤S13:允许该终端设备接入网络。
若接入的终端设备是在其他交换机上认证成功的终端设备,则打开请求接入的终端设备请求接入的认证端口,将请求接入的终端设备接入网络。
步骤S14:对终端设备进行认证,当认证通过时允许终端设备接入网络。
若接入的终端设备不是在其他交换机上认证成功的终端设备,则需要对终端设备进行认证。此时交换机到系统中的认证服务器对终端设备进行认证,并根据认证服务器返回的认证结果确认终端设备是否通过了认证,即是否认证成功,当认证通过时才允许终端设备接入网络。
步骤S15:将认证通过的终端设备的认证信息共享给其他交换机和/或上报认证通过的终端设备的授权信息给网关设备。
当终端设备认证通过时,交换机会共享认证信息给其他交换机,以便终端设备迁移到其他交换机时,不需要重新认证,相应的,交换机接收到终端设备的接入注销请求时,删除接入注销的终端设备的认证信息,并通知其他交换机删除该终端设备的认证信息,以释放内存资源。
当终端设备认证通过时,交换机会将认证通过的终端设备的授权信息上报给网关设备,由于网关设备位于交换机的上层,所有交换机认证通过的终端设备的授权信息都上报给了网关设备,因此当终端设备迁移时,也不用重新上报其授权信息,避免了资源浪费。同时由于授权信息占用交换机的资源较多,放在网关设备上也避免了对交换机性能造成较大的影响。
将所述终端设备的认证信息共享给其他交换机和/或通知其他交换机删除终端设备的认证信息时,由交换机上设置的用于传输认证信息的内部通信端口,通过与其他交换机的内部通信端口之间的专用通信通道,将终端设备的认证信息共享给其他交换机和/或通知其他交换机删除该终端设备的认证信息。
步骤S16:网关设备接收交换机上报的认证成功的终端设备的授权信息。
交换机对终端设备的认证通过后,会向网关设备发送携带授权信息的地址解析协议(Address Resolution Protocol,ARP)报文,网关设备接收携带授权信息的ARP报文实现接收交换机上报的认证通过的终端设备的认证信息,具体通过在ARP报文中添加授权信息字段携带授权信息。
上述携带授权信息的ARP报文在终端设备上报的标准ARP报文的基础上添加了授权信息字段。
步骤S17:将接收到的授权信息写入路由表,实现控制终端设备访问允许访问的网络。
网关设备接收到ARP报文后,判断接收到的ARP报文中是否携带有授权信息,当确定接收到的ARP报文中携带有授权信息时,将授权信息提取出来,写入路由表中。
由于交换机是通过在ARP报文中添加授权信息字段携带授权信息的,因此,判断ARP报文中是否携带有授权信息,可以读取接收到的ARP报文的总长度,当读取到的总长度大于ARP报文的标准长度时,确定接收到的ARP报文中携带有授权信息。
步骤S18:网关设备实时监控接收认证成功的终端设备发送的ARP报文获取ARP信息。
终端设备按照现有协议规定的方式周期性的发送标准的ARP报文,该ARP报文中不携带授权信息。网关设备接收到ARP报文时,获取ARP信息,ARP信息具有设定的老化时间。
步骤S19:判断是否在设定的ARP信息老化时间到期时未接收到终端设备发送ARP信息。
ARP信息有一定的老化时间,当老化时间到期时,若未接收到新的ARP报文获取到新的ARP信息,则认为终端设备已经下线。
若是,执行步骤S20,否则返回继续执行步骤S18。
步骤S20:删除路由表中该终端设备的授权信息。
当确定终端设备已经下线时,删除终端设备的ARP信息,以及删除路由表中该终端设备的授权信息,释放路由表空间。
基于本发明实施例提供的上述网络接入控制方法及系统,本发明实施例提供一种交换机,其结构如图4所示,包括:监控模块201和认证模块202。
监控模块201,用于监控是否有终端设备请求接入。
优选的,上述监控模块201,具体用于:启动MAC地址监听,监听自身认证端口来发现请求接入的终端设备;
认证模块202,用于发现有终端设备请求接入时,根据终端设备的地址信息,查找自身是否存储终端设备的认证信息;若是,允许终端设备接入网络并存储认证信息;若否,对终端设备进行认证,当认证通过时允许终端设备接入网络,并共享认证通过的终端设备的认证信息给其他交换机存储和/或上报认证通过的终端设备的授权信息给网关设备。
优选的,上述认证模块202,具体用于:根据在认证端口监听到的请求接入的终端设备的MAC地址,查找自身内存中存储的其他交换机共享的终端设备的认证信息中是否有该MAC地址对应的认证信息;当查找到时,打开请求接入的终端设备请求接入的认证端口,将请求接入的终端设备接入网络;当查找不到时,对终端设备进行认证,当认证通过时允许终端设备接入网络,并共享认证通过的终端设备的认证信息给其他交换机和上报认证通过的终端设备的授权信息给网关设备。优选的,上述认证模块202,具体用于当认证通过时,打开请求接入的终端设备请求接入的认证端口,将请求接入的终端设备接入网络。
优选的,上述认证模块202,还用于接收到终端设备的接入注销请求时,删除接入注销的终端设备的认证信息,并通知其他交换机删除该终端设备的认证信息。
优选的,上述交换机还包括:内部通信端口203和内部通信控制模块204。
内部通信端口203,用于在内部通信控制模块204控制下通过与其他交换机的内部通信端口之间的专用通信通道,将终端设备的认证信息共享给其他交换机和/或通知其他交换机删除该终端设备的认证信息。内部通信端口203仅用于传输交换机之间的内部信息,不用于转发用户数据。
优选的,上述内部通信控制模块204,还用于在内部通信端口接收其他交换机共享的终端设备的认证信息,将接收到的认证信息存入内存中。
优选的,上述认证模块202,还用于将认证通过的终端设备的授权信息写入ARP报文中添加的授权字段中,得到携带授权信息的ARP报文,将携带授权信息的ARP报文发送给网关设备。
基于本发明实施例提供的上述网络接入控制方法及系统,本发明实施例提供一种网关设备,其结构如图5所示,包括:接收模块301和更新模块302。
接收模块301,用于接收交换机上报的认证通过的终端设备周期性上报的授权信息。
更新模块302,用于将接收到的授权信息写入路由表;
控制模块303,用于根据路由表中的授权信息控制终端设备访问允许访问的网络。优选的,控制模块303,具体用于:根据终端设备发送的数据报文的源地址,查找路由表中该源地址对应的授权信息,当数据报文的目的地址是授权信息中允许的目的地址时,允许转发该数据报文。
优选的,上述接收模块301,具体用于接收交换机发送的携带认证通过的终端设备的授权信息的地址解析协议ARP报文。相应的,上述更新模块302,具体用于判断接收到的ARP报文中是否携带有授权信息,当确定接收到的ARP报文中携带有授权信息时,将授权信息提取出来,写入路由表中。
优选的,上述更新模块302,具体用于读取接收到的ARP报文的总长度,当读取到的总长度大于ARP报文的标准长度时,确定接收到的ARP报文中携带有授权信息。
优选的,上述接收模块301,还用于接收终端设备周期性发送的地址解析协议ARP报文获取ARP信息。相应的,更新模块302,还用于:若在设定的ARP信息老化时间到期时未接收到终端设备发送的ARP报文,认为终端设备已经下线,删除该终端设备的ARP信息和路由表中该终端设备的授权信息。
下面具体说明步骤S11-步骤S15交换机实现对终端设备接入网络的认证控制的具体实现过程。如图6所示为的具体实现原理示意图。
两个交换机均设置有内部通信端口,两个内部通信端口之间形成专用通信通道,例如图6中所示的交换机1和交换机2之间连接两个内部通信端口的专用通信通道,该内部通信端口只能用于传输交换机之间的内部信息,例如认证信息等,不能转发用户数据。通过设置的内部通信管理模块控制内部通信端口和专用通信通道仅用于传输认证信息,不用于转发用户数据。
在交换机初始化时,有设置的内部通信管理模块,将内部通信端口设置为只用于传输交换机之间的内部信息的状态。这样做的好处是不会引起用户在网络中传输数据的环路,且不会导致交换机的关键信息被恶意窃取,也提高了交换机之间信息交互的安全性。
交换机上设置了至少一个认证端口,例如图6中交换机1上设置了一个认证端口,交换机2上设置了三个认证端口。认证端口根据认证结果控制用户是否可以接入网络。
交换机上的认证模块负责对用户进行认证,用户使用终端设备接入时,交换机上的认证端口感知到终端设备的接入,认证模块到认证服务器认证请求接入的终端设备是否可以被允许接入,并接收认证服务器返回的认证信息和授权信息。认证模块会将认证信息通告给交换机上的内部通信管理模块,由内部通信管理模块控制交换机上的内部通信端口将认证信息共享给其他交换机,以及将授权信息上报给网关设备。例如图6中的终端设备通过交换机1认证并接入网络。
内部通信管理模块得到认证信息后,将其封装为特定的内部消息格式,通过专用通信通道发送给系统中的其他交换机。其他交换机通过内部通信端口接收到认证消息后,由内部通信管理模块将接收到的消息存入内存中。这时候交换机由于不知道用户的终端设备可能迁移到那个认证端口,因此可以暂时缓存,而不设置到硬件端口上去,以减少资源消耗。例如图6中的交换机1将终端设备的认证信息共享给交换机2,交换机2存储接收到的终端设备的认证信息。
认证模块获取到授权信息后,将授权信息写入到ARP报文的授权信息字段中,由交换机上报给网关设备。例如图6中的交换机1将终端设备的授权信息上报给网关设备。
此后,用户的终端设备发生了迁移,由交换机1的覆盖范围迁移到了交换机2的覆盖范围,并连接到了交换机2上。
由于交换机2的三个认证端口均开启了Mac地址监听,认证端口会将未认证的用户的MAC地址送往中央处理单元(CPU)进行处理,目前的主流CPU一般都支持该技术。这是由于终端设备从一个认证端口迁移到另一认证端口时,一般都会有网线的插拔操作,从而引起终端设备报文的重新发送,因此认证端口可以监控到终端设备的接入。这是交换机2监听到终端设备从自身的一个认证端口接入,并发现其属于新接入待认证的用户,则会通过认证模块将获取其MAC地址,与存储的认证信息进行匹配,此时,查找到存储了该MAC地址的认证信息,则将其认证信息直接设置到其接入的认证端口处,由于交换机2上已经有了终端设备的认证信息,从而不用再到认证服务器进行重新认证了。交换机2直接通知用户认证成功即可。
终端设备下线后,交换机2删除终端设备的认证信息,同时通过自身的内部通信管理模块控制内部通信端口通知交换机1该终端设备的认证信息需要删除,交换机1根据通知删除该终端设备的认证信息,释放系统资源,避免系统资源的浪费。
下面具体说明步骤S16-步骤S19网关设备实现对终端设备接入网络的授权控制的具体实现过程。如图7所示为的具体实现原理示意图。
终端设备认证成功后,由于交换机上的授权信息资源不像认证信息资源那么充裕,如果授权信息也在接入交换机之间共享的话,由于共享的授权信息会占用较多的交换机授权信息资源,从而导致接入交换机可支持的用户数锐减,因此本发明中,交换机之间只共享认证信息,不同步授权信息。因此,交换机将授权信息提供给终端设备,有终端设备向网关上报,有网关实现授权信息的存储。
如图7中所示,网关设备中的认证模块从认证服务器获取到用户的认证信息,将授权信息写入到ARP报文的授权信息字段中,由交换机上报给网关设备。例如图6中的交换机1将终端设备的授权信息上报给网关设备。携带授权信息的ARP报文可以是在现有的ARP报文的尾部添加一个授权字段,来存储授权信息,因此携带授权信息的ARP报文的总长度大于标准的ARP报文总长度,即大于ARP报文的标准长度。
网关设备接收到ARP报文时,可以通过读取ARP报文的总长度判断其中是否携带有授权信息,当接收到的ARP报文实际的总长度超过标准的ARP报文长度时,则认为其中存在授权信息,从ARP报文中解析获取授权信息,获得授权信息后,写入路由表中。通常的路由表中没有上述的授权信息,而是存储路由表项,实现报文向指向的目的IP转发,而本发明中则利用现有的路由表存储了授权信息。这样通过路由表中不仅可以识别终端设备的源IP网段也可以识别终端设备的授权信息。
上述网关设备上报认证通过的终端设备的授权信息,仅是在终端设备认证通过后上报一次,即使终端设备迁移后,只要终端设备没有重新认证,则不需要重新向网关上报授权信息。
此外,终端设备在认证通过也会周期性的向网关设备发送ARP报文,与网关设备之间建立ARP信息关联,该ARP信息建立终端设备的硬件地址(即MAC地址)和网络地址(即IP地址)的对应关系,使得用户可以接入网络正确传输数据。ARP信息具有一定的老化时间,当ARP信息的老化时间到期时,网关设备会认为终端设备已经注销或下线,删除该终端设备的ARP信息,释放系统资源。因此网关设备只需要接收交换机上报的授权信息,在接收不到ARP信息,认为终端设备下线时也删除授权信息即可,无需交换机再通告终端设备已经下线或注销
也就是说对于网关设备中的路由表进行两方面的改进,一是路由表支持嵌入用户的授权信息,二是支持根据存储的路由信息对路由选择进行过滤以实现授权控制。其中,授权信息是个抽象的概念,可以是一个过滤规则,比如接入控制列表(Access Control List,ACL),可以是一个代表权限的数字,比如将不同的IP网段分组,然后每个组分配一个数字,这样可以认为是一种授权。上述授权信息是可以扩展到任意组合的,也可以由用户自定义,只要在路由表中嵌入授权信息实现授权控制即可。
上述根据存储的路由信息对路由选择进行过滤以实现授权控制的具体实现过程如图8所示,包括如下步骤:
步骤S21:网关设备接收到终端设备发送的数据报文时,获取数据报文中的源地址。
用户发送的数据报文中一般包含源地址和目的地址,例如源IP地址和目的IP地址。数据报文需要通过网关的路由模块查找路由表来确定数据报文从哪个端口向目的地址转发。在路由表中存储了授权信息后,网关设备则会先获取数据报文的源地址,以便确认是否有该数据报文源地址对应的授权信息。
步骤S22:网关设备查找路由表中是否有获取到的源地址对应的授权信息。
授权信息中通常包含用户的源地址(例如源IP地址)对应的可访问的目的地址(例如目的IP地址)
若是,执行步骤S23;否则执行步骤S26。
步骤S23:获取数据报文中的目的地址。
获取数据报文的目的地址,例如目的IP地址。
步骤S24:判断获取的目的地址是否时授权信息中允许的目的地址。
判断数据报文的目的地址是否是授权信息中其源地址允许的目的地址中的一个,即是否在授权允许范围内。
若是,执行步骤S26;否则执行步骤S25。
步骤S25:丢弃数据报文。
如果数据报文的目的地址不在授权允许范围内,则不允许转发,丢弃该数据报文。
步骤S26:转发数据报文。
如果数据报文的目的地址在授权允许范围内,则允许转发,即转发该数据报文。
也就是说,网关设备根据终端设备发送的数据报文的源地址,查找路由表中该源地址对应的授权信息,当数据报文的目的地址是授权信息中允许的目的地址时,允许转发该数据报文。
本发明实施例提供的网络接入控制方法、系统及装置,可以适用于部署多台交换机的网络系统中,优选的,多台交换机之间的专用通信通道可以采用环形搭建,这样可以在保证交换机之间都相互连通的情况下实现线路成本最小化。还可以扩展的是:虽然上述描述的是在交换机和网关设备上实现,但如果网络系统部署多个层次时,比如分为接入层,汇聚层,核心层,该方案同样也可以实施,比如接入层+汇聚层,或者汇聚层+核心层,不局限于特定的网络架构。
本发明实施例提供的网络接入控制方法、系统及装置,在交换机上共享认证通过终端设备的认证信息,由交换机实现认证控制,在用户发生迁移时,对于已认证过的终端设备则无需再进行认证,避免了用户迁移时的重新认证;认证通过的终端设备的授权信息会上报给网关设备,由网关设备进行授权控制,避免了共享信息过多,占用交换机的系统资源;通过授权和认证的分离控制,在交换机上实现了控制用户是否可以访问网络,在网关设备上实现控制用户可以访问那些网络,使得用户迁移时,既能实现不用重新认证,实现无缝切换,又能够准确获取到授权信息,没有授权资源浪费。
由于同步的认证信息是在交换机内存中缓存的,以目前的交换机配置而言,这样的内存消耗可以忽略不计,在发现用户迁移到哪个端口时,才将认证信息设置到端口上,是硬件开销最小化。而对于占用交换机资源相对较多的授权控制,则由上层的网关设备实现,从而不需要在交换机上共享授权信息,只需要网关上的路由表中存储一份即可,也尽可能的减少了资源消耗。相对传统的认证和授权控制都在交换机上实现的方案,既避免了用户迁移时的重新认证,又避免了系统资源的浪费,提高了系统性能。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种网络接入控制方法,其特征在于,包括:
交换机发现有终端设备请求接入时,根据终端设备的地址信息,查找自身是否存储所述终端设备的认证信息;
若是,允许所述终端设备接入网络;若否,对所述终端设备进行认证,当认证通过时允许所述终端设备接入网络并存储认证信息,并共享所述终端设备的认证信息给其他交换机存储和/或上报所述终端设备的授权信息给网关设备;
网关设备接收交换机上报的授权信息时,将接收到的授权信息写入路由表,实现控制终端设备访问允许访问的网络。
2.如权利要求1所述的方法,其特征在于,所述交换机发现有终端设备请求接入,具体包括:交换机启动MAC地址监听,监听自身认证端口来发现请求接入的终端设备;
所述根据终端设备的地址信息,查找自身是否存储所述终端设备的认证信息,包括:
交换机根据在认证端口监听到的请求接入的终端设备的MAC地址,查找自身内存中存储的其他交换机共享的终端设备的认证信息中是否有该MAC地址对应的认证信息。
3.如权利要求1所述的方法,其特征在于,所述允许所述终端设备接入网络,具体包括:打开请求接入的终端设备请求接入的认证端口,将请求接入的终端设备接入网络。
4.如权利要求1所述的方法,其特征在于,还包括:
交换机接收到终端设备的接入注销请求时,删除接入注销的终端设备的认证信息,并通知其他交换机删除该终端设备的认证信息。
5.如权利要求4所述的方法,其特征在于,将所述终端设备的认证信息共享给其他交换机,具体包括:
由交换机上设置的用于传输认证信息的内部通信端口,通过与其他交换机的内部通信端口之间的专用通信通道,将终端设备的认证信息共享给其他交换机和/或通知其他交换机删除该终端设备的认证信息。
6.如权利要求5所述的方法,其特征在于,所述内部通信端口仅用于传输交换机之间的内部信息,不用于转发用户数据。
7.如权利要求1所述的方法,其特征在于,所述上报终端设备的授权信息给网关设备,具体包括:将认证通过的终端设备的授权信息写入地址解析协议ARP报文中增设的授权字段中,将携带授权信息的ARP报文发送给网关设备;
所述网关设备接收交换机上报的授权信息,将接收到的授权信息写入路由表,具体包括:
网关设备接收到交换机发送的ARP报文,判断接收到的ARP报文中是否携带有授权信息,当确定接收到的ARP报文中携带有授权信息时,将所述授权信息提取出来,写入路由表中。
8.如权利要求7所述的方法,其特征在于,判断所述ARP报文中是否携带有授权信息,具体包括:
所述网关设备读取接收到的ARP报文的总长度,当读取到的总长度大于ARP报文的标准长度时,确定接收到的ARP报文中携带有授权信息。
9.如权利要求1-8任一所述的方法,其特征在于,还包括:网关设备接收终端设备周期性发送的地址解析协议ARP报文获取ARP信息,若在设定的ARP信息老化时间到期时未接收到终端设备发送的ARP报文,认为终端设备已经下线,删除该终端设备的ARP信息和路由表中该终端设备的授权信息。
10.如权利要求1所述的方法,其特征在于,所述控制终端设备访问允许访问的网络,具体包括:
根据终端设备发送的数据报文的源地址,查找路由表中该源地址对应的授权信息,当所述数据报文的目的地址是授权信息中允许的目的地址时,允许转发该数据报文。
11.一种交换机,其特征在于,包括:
监控模块,用于监控是否有终端设备请求接入;
认证模块,用于发现有终端设备请求接入时,根据终端设备的地址信息,查找自身是否存储所述终端设备的认证信息;若是,允许所述终端设备接入网络并存储认证信息;若否,对所述终端设备进行认证,当认证通过时允许所述终端设备接入网络,并共享所述终端设备的认证信息给其他交换机存储和/或上报所述终端设备的授权信息给网关设备。
12.如权利要求11所述的交换机,其特征在于,所述监控模块,具体用于:启动MAC地址监听,监听自身认证端口来发现请求接入的终端设备;
所述认证模块,具体用于:根据在认证端口监听到的请求接入的终端设备的MAC地址,查找自身内存中存储的其他交换机共享的终端设备的认证信息中是否有该MAC地址对应的认证信息;当查找到时,打开请求接入的终端设备请求接入的认证端口,将请求接入的终端设备接入网络;当查找不到时,对终端设备进行认证,当认证通过时允许终端设备接入网络,并共享所述终端设备的认证信息给其他交换机和上报所述终端设备的授权信息给网关设备。
13.如权利要求12所述的交换机,其特征在于,所述认证模块,具体用于当认证通过时,打开请求接入的终端设备请求接入的认证端口,将请求接入的终端设备接入网络。
14.如权利要求11所述的交换机,其特征在于,所述认证模块,还用于接收到终端设备的接入注销请求时,删除接入注销的终端设备的认证信息,并通知其他交换机删除该终端设备的认证信息。
15.如权利要求14所述的交换机,其特征在于,还包括:内部通信端口和内部通信控制模块;
所述内部通信端口,用于在所述内部通信控制模块控制下通过与其他交换机的内部通信端口之间的专用通信通道,将终端设备的认证信息共享给其他交换机和/或通知其他交换机删除该终端设备的认证信息。
16.如权利要求15所述的交换机,其特征在于,所述内部通信端口仅用于传输交换机之间的内部信息,不用于转发用户数据。
17.如权利要求11所述的交换机,其特征在于,所述认证模块,还用于将认证通过的终端设备的授权信息写入ARP报文中添加的授权字段中,得到携带授权信息的ARP报文,将携带授权信息的ARP报文发送给网关设备。
18.一种网关设备,其特征在于,包括:
接收模块,用于接收交换机上报的认证通过的终端设备周期性上报的授权信息;
更新模块,用于将接收到的授权信息写入路由表;
控制模块,用于根据授权信息控制终端设备访问允许访问的网络。
19.如权利要求18所述的网关设备,其特征在于,所述接收模块,具体用于接收交换机发送的携带认证通过的终端设备的授权信息的地址解析协议ARP报文;
所述更新模块,具体用于判断接收到的ARP报文中是否携带有授权信息,当确定接收到的ARP报文中携带有授权信息时,将所述授权信息提取出来,写入路由表中。
20.如权利要求19所述的网关设备,其特征在于,所述更新模块,具体用于读取接收到的ARP报文的总长度,当读取到的总长度大于ARP报文的标准长度时,确定接收到的ARP报文中携带有授权信息。
21.如权利要求18所述的网关设备,其特征在于,所述控制模块,具体用于:
根据终端设备发送的数据报文的源地址,查找路由表中该源地址对应的授权信息,当所述数据报文的目的地址是授权信息中允许的目的地址时,允许转发该数据报文。
22.如权利要求18-21所述的网关设备,其特征在于,所述接收模块,还用于接收终端设备周期性发送的地址解析协议ARP报文获取ARP信息;
所述更新模块还用于:若在设定的ARP信息老化时间到期时未接收到终端设备发送的ARP报文,认为终端设备已经下线,删除该终端设备的ARP信息和路由表中该终端设备的授权信息。
23.一种网络接入控制系统,其特征在于,包括:终端设备、如权利要求11-17任一所述的交换机和如权利要求18-22任一所述的网关设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100850093A CN102158487A (zh) | 2011-04-01 | 2011-04-01 | 网络接入控制方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100850093A CN102158487A (zh) | 2011-04-01 | 2011-04-01 | 网络接入控制方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102158487A true CN102158487A (zh) | 2011-08-17 |
Family
ID=44439670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100850093A Pending CN102158487A (zh) | 2011-04-01 | 2011-04-01 | 网络接入控制方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102158487A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166960A (zh) * | 2013-03-01 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 接入控制方法及装置 |
| CN103199990A (zh) * | 2013-04-16 | 2013-07-10 | 杭州华三通信技术有限公司 | 一种路由协议认证迁移的方法和装置 |
| CN103686728A (zh) * | 2013-11-19 | 2014-03-26 | 国家电网公司 | 基于区域认证的电力专用无线网络系统及无线传输方法 |
| CN104486322A (zh) * | 2014-12-10 | 2015-04-01 | 武汉光谷信息技术股份有限公司 | 终端接入认证授权方法及终端接入认证授权系统 |
| CN104753926A (zh) * | 2015-03-11 | 2015-07-01 | 华中科技大学 | 一种网关准入控制方法 |
| CN105340308A (zh) * | 2013-06-24 | 2016-02-17 | 瑞典爱立信有限公司 | 促进客户端设备和应用服务器之间的通信的网关、客户端设备和方法 |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
| CN105847234A (zh) * | 2016-03-11 | 2016-08-10 | 中国联合网络通信集团有限公司 | 可疑终端接入预警方法、网关管理平台及网关设备 |
| CN106686595A (zh) * | 2017-02-28 | 2017-05-17 | 北京飞音时代技术有限公司 | 话机配置方法及系统 |
| WO2018018859A1 (zh) * | 2016-07-25 | 2018-02-01 | 中兴通讯股份有限公司 | 一种设备访问的方法及装置 |
| CN108111522A (zh) * | 2017-12-28 | 2018-06-01 | 武汉长光科技有限公司 | 一种在onu上实现稳定安全普遍服务协议框架的方法 |
| CN113163404A (zh) * | 2021-04-28 | 2021-07-23 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| CN115021936A (zh) * | 2022-06-10 | 2022-09-06 | 中国南方电网有限责任公司 | 一种远端站点的终端设备安全接入认证授权方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040121772A1 (en) * | 2002-12-16 | 2004-06-24 | Seon-Soo Rue | Method for supporting mobility of WLAN voice terminal |
| CN1889781A (zh) * | 2006-07-28 | 2007-01-03 | 电信科学技术研究院 | 一种多模终端在异质接入技术网络之间漫游的认证方法 |
| CN101453495A (zh) * | 2008-12-30 | 2009-06-10 | 杭州华三通信技术有限公司 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
| CN101640882A (zh) * | 2009-09-07 | 2010-02-03 | 杭州华三通信技术有限公司 | 一种防止流量中断方法及装置 |
-
2011
- 2011-04-01 CN CN2011100850093A patent/CN102158487A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040121772A1 (en) * | 2002-12-16 | 2004-06-24 | Seon-Soo Rue | Method for supporting mobility of WLAN voice terminal |
| CN1889781A (zh) * | 2006-07-28 | 2007-01-03 | 电信科学技术研究院 | 一种多模终端在异质接入技术网络之间漫游的认证方法 |
| CN101453495A (zh) * | 2008-12-30 | 2009-06-10 | 杭州华三通信技术有限公司 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
| CN101640882A (zh) * | 2009-09-07 | 2010-02-03 | 杭州华三通信技术有限公司 | 一种防止流量中断方法及装置 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166960A (zh) * | 2013-03-01 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 接入控制方法及装置 |
| CN103199990A (zh) * | 2013-04-16 | 2013-07-10 | 杭州华三通信技术有限公司 | 一种路由协议认证迁移的方法和装置 |
| CN103199990B (zh) * | 2013-04-16 | 2016-04-06 | 杭州华三通信技术有限公司 | 一种路由协议认证迁移的方法和装置 |
| CN105340308A (zh) * | 2013-06-24 | 2016-02-17 | 瑞典爱立信有限公司 | 促进客户端设备和应用服务器之间的通信的网关、客户端设备和方法 |
| CN103686728B (zh) * | 2013-11-19 | 2017-04-26 | 国家电网公司 | 基于区域认证的电力专用无线网络系统及无线传输方法 |
| CN103686728A (zh) * | 2013-11-19 | 2014-03-26 | 国家电网公司 | 基于区域认证的电力专用无线网络系统及无线传输方法 |
| CN105429933A (zh) * | 2014-09-19 | 2016-03-23 | 中国电信股份有限公司 | 一种局域网中网络设备的访问方法、接入设备及系统 |
| CN104486322A (zh) * | 2014-12-10 | 2015-04-01 | 武汉光谷信息技术股份有限公司 | 终端接入认证授权方法及终端接入认证授权系统 |
| CN104486322B (zh) * | 2014-12-10 | 2017-12-26 | 武汉光谷信息技术股份有限公司 | 终端接入认证授权方法及终端接入认证授权系统 |
| CN104753926B (zh) * | 2015-03-11 | 2019-04-12 | 华中科技大学 | 一种网关准入控制方法 |
| CN104753926A (zh) * | 2015-03-11 | 2015-07-01 | 华中科技大学 | 一种网关准入控制方法 |
| CN105847234A (zh) * | 2016-03-11 | 2016-08-10 | 中国联合网络通信集团有限公司 | 可疑终端接入预警方法、网关管理平台及网关设备 |
| CN105847234B (zh) * | 2016-03-11 | 2018-11-20 | 中国联合网络通信集团有限公司 | 可疑终端接入预警方法、网关管理平台及网关设备 |
| WO2018018859A1 (zh) * | 2016-07-25 | 2018-02-01 | 中兴通讯股份有限公司 | 一种设备访问的方法及装置 |
| CN106686595A (zh) * | 2017-02-28 | 2017-05-17 | 北京飞音时代技术有限公司 | 话机配置方法及系统 |
| CN108111522A (zh) * | 2017-12-28 | 2018-06-01 | 武汉长光科技有限公司 | 一种在onu上实现稳定安全普遍服务协议框架的方法 |
| CN113163404A (zh) * | 2021-04-28 | 2021-07-23 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| CN113163404B (zh) * | 2021-04-28 | 2023-04-28 | 天生桥一级水电开发有限责任公司水力发电厂 | 网络接入认证方法及相关设备 |
| CN115021936A (zh) * | 2022-06-10 | 2022-09-06 | 中国南方电网有限责任公司 | 一种远端站点的终端设备安全接入认证授权方法及系统 |
| CN115021936B (zh) * | 2022-06-10 | 2023-10-27 | 中国南方电网有限责任公司 | 一种远端站点的终端设备安全接入认证授权方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102158487A (zh) | 网络接入控制方法、系统及装置 | |
| CN1658593B (zh) | 媒体流家庭网络系统和用于操作该系统的方法 | |
| CN112437456B (zh) | 一种非公共网络中的通信方法及设备 | |
| US9167612B2 (en) | Minimal synchronized network operations | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| JP5466723B2 (ja) | ホスト提供システム及び通信制御方法 | |
| CN101668017B (zh) | 一种认证方法和设备 | |
| CN107113892B (zh) | 一种网关设备自动组网的方法及装置 | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| JP2002007233A (ja) | 通信路のスイッチ接続制御装置 | |
| JP2012080418A (ja) | ネットワーク認証における端末接続状態管理 | |
| CN102223365A (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| CN102572005A (zh) | 一种ip地址分配方法和设备 | |
| CN105072613A (zh) | 一种无线网络系统及无线网络接入方法 | |
| WO2011110028A1 (zh) | 负载分担方法、系统和接入服务器 | |
| CN101917444A (zh) | 一种ip源地址绑定表项的创建方法、装置及交换机 | |
| CN113473465B (zh) | 基于无线融合网络分流的专网细粒度访问控制方法及系统 | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及系统 | |
| WO2015038234A1 (en) | System for cryptographic key sharing among networked key servers | |
| CN101980488B (zh) | Arp表项的管理方法和三层交换机 | |
| CN102045379A (zh) | 一种进行ip存储的方法、系统和存储设备 | |
| JP6106558B2 (ja) | 通信システム及び認証スイッチ | |
| JP6281516B2 (ja) | ネットワーク認証システム、ネットワーク認証方法および認証サーバ | |
| CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
| CN116708358B (zh) | P2p穿越方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110817 |