CN102271133A - 认证方法、装置和系统 - Google Patents
认证方法、装置和系统 Download PDFInfo
- Publication number
- CN102271133A CN102271133A CN201110229555XA CN201110229555A CN102271133A CN 102271133 A CN102271133 A CN 102271133A CN 201110229555X A CN201110229555X A CN 201110229555XA CN 201110229555 A CN201110229555 A CN 201110229555A CN 102271133 A CN102271133 A CN 102271133A
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- authentication mode
- attribute
- mode attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种认证方法、装置和系统,方法包括:在终端发起认证时,从所述终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式;向安全管理服务器发送认证报文,所述认证报文中携带所述终端的认证信息和认证方式属性,以使安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。本发明还提供了另一种认证方法、接入交换机、安全管理服务器和认证系统。本发明可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。
Description
技术领域
本发明涉及通信技术,尤其涉及一种认证方法、装置和系统。
背景技术
美国电气电子工程师学会(Institute of Electrical and Electronic Engineers;以下简称:IEEE)802.1x是IEEE802委员会制定的一个局域网(Local AreaNetwork;以下简称:LAN)标准。对于一个部署了802.1x认证方式的LAN,当用户接入到LAN中时,需要通过802.1x认证方式,未经过认证的用户将无法接入到LAN中。802.1x认证方式基本采用基于端口的网络存取控制,为局域网用户提供点对点式的安全接入。当用户通过认证客户端(Supplicant;以下简称:Su)输入用户名、密码进行认证时,Su将提交相关的认证信息给接入交换机进行认证,接入交换机将相关认证信息转发给认证服务器进行确认;如果确认通过,接入交换机将在这个端口下添加一条允许访问网络的介质访问控制(Media Access Control;以下简称:MAC)信息,即将1x端口打开,用户便可以使用网络。当用户通过802.1x认证客户端退出认证时,Su向接入交换机提交相关的退出认证信息进行下线,接入交换机将相关信息转发给认证服务器进行确认;确认通过之后,接入交换机删除该端口下的允许访问网络的MAC信息,即关闭1x端口,用户将无法继续使用网络。
在实际的1x认证环境下,还存在许多免认证终端,其无法安装1x客户端来接入网络,如网络电话、打印机等,但又需要限制哪些免认证终端能接入网络。针对上述应用场景,又提出了MAC认证方案。MAC认证方式与802.1x认证方式类似,也是基于端口的网络存取控制。当免认证终端接入到某个开启MAC认证功能的交换机端口下,只要该免认证终端有任何访问网络的行为,则接入交换机都会将该免认证终端的MAC地址转发给认证服务器进行确认;如果确认通过,则接入交换机将在该端口下添加一条允许访问网络的MAC信息,免认证终端便可以访问网络。类似地,免认证终端下线的方式与此类似,此处不再赘述。
在现有技术中的802.1x网络环境下,如果网络中的某个交换机端口开启了MAC认证功能,并在认证服务器上配置一个MAC地址为免认证终端的MAC地址,则任何使用Su认证的用户只要知道该MAC地址的存在,在其通过Su认证时,在用户名和密码中都输入该MAC地址后仿冒免认证终端进行认证,便能通过认证而接入网络,导致网络的安全性降低。
发明内容
本发明提供一种认证方法、装置和系统,用以防止用户仿冒免认证终端绕开认证而接入网络,提高网络的安全性。
本发明提供一种认证方法,包括:
在终端发起认证时,从所述终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式;
向安全管理服务器发送认证报文,所述认证报文中携带所述终端的认证信息和认证方式属性,以使所述安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。
本发明提供一种认证方法,包括:
接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,所述认证方式属性是所述接入交换机在所述终端发起认证时从所述终端获取的,所述认证方式属性用于标识所述终端的认证方式;
根据所述认证信息和所述认证方式属性对所述终端进行认证。
本发明提供一种接入交换机,包括:
获取模块,用于在终端发起认证时,从所述终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式;
发送模块,用于向安全管理服务器发送认证报文,所述认证报文中携带所述终端的认证信息和认证方式属性,以使所述安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。
本发明提供一种安全管理服务器,包括:
接收模块,用于接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,所述认证方式属性是所述接入交换机在所述终端发起认证时从所述终端获取的,所述认证方式属性用于标识所述终端的认证方式;
认证模块,用于根据所述认证信息和所述认证方式属性对所述终端进行认证。
本发明提供一种认证系统,包括上述的接入交换机、上述的安全管理服务器以及终端。
本发明的认证方法、装置和系统,在终端发起认证时,通过接入交换机从终端获取标识终端的认证方式的认证方式属性,并将该认证方式属性携带在认证报文中发送到安全管理服务器,使得安全管理服务器根据认证信息和认证方式属性对终端进行认证;本实施例可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明认证方法实施例一的流程图;
图2为本发明认证方法实施例二的流程图;
图3为本发明认证方法实施例三的流程图;
图4为本发明认证方法实施例三中的网络拓扑示意图;
图5为本发明接入交换机实施例一的结构示意图;
图6为本发明接入交换机实施例二的结构示意图;
图7为本发明安全管理服务器实施例一的结构示意图;
图8为本发明安全管理服务器实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明认证方法实施例一的流程图,如图1所示,本实施例提供了一种认证方法,本实施例从接入交换机一侧对本发明的方案进行说明,本实施例可以具体包括如下步骤:
步骤101,在终端发起认证时,从终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式。
在本实施例中,终端的认证方式有多种,包括1x认证方式和MAC认证方式。当终端需要访问网络中的资源时,通过与其相连的接入交换机发起认证,接入交换机可以先从终端获取认证方式属性,该认证方式属性用于标识该终端的认证方式,如1x认证方式或MAC认证方式。当终端中设置有认证客户端时,该终端可以通过认证客户端采用1x认证方式进行认证;当终端为免认证终端,其中无法设置认证客户端时,该终端可以通过MAC认证方式进行认证。对于免认证终端来说,由于其中无法设置认证客户端,则当免认证终端发起任何访问网络的行为时,表示该终端发起认证。
具体地,本实施例中的上述步骤101可以具体包括如下步骤:在终端发起认证时,接入交换机接收所述终端在打开接入交换机上所述终端的MAC地址对应的通道前发送的报文,所述认证方式属性用于标识所述终端的认证方式;接入交换机根据所述报文的类型生成认证方式属性。更具体地,接入交换机在根据所述报文的类型生成认证方式属性时,当报文为认证报文时,生成认证方式属性为1x认证;当报文为非认证报文时,生成认证方式属性为MAC认证。
或者,当所述终端为认证终端,即所述终端为安装有认证客户端的终端时,上述步骤101可以具体包括如下步骤:在终端发起认证时,接入交换机接收所述终端主动上报的认证方式属性,所述认证方式属性用于标识所述终端的认证方式。
步骤102,向安全管理服务器发送认证报文,认证报文中携带所述终端的认证信息和认证方式属性,以使所述安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。
接入交换机在获取到终端的认证方式属性后,向安全管理服务器发送认证报文,在该认证报文中携带该终端的认证信息和认证方式属性。此处的认证信息可以为用户通过终端输入的用户名和密码,也可以为终端的MAC地址。安全管理服务器可以根据该认证信息和认证方式属性来对终端进行认证,通过辨别终端的认证方式,并综合获取到的认证信息进行认证,便可以识别出某些采用1x认证方式,却仿冒免认证终端的终端。
具体地,本实施例中上述步骤102中所述根据认证信息和认证方式属性对终端进行认证的步骤可以具体包括如下步骤:当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为用户通过终端输入的用户名和密码时,安全管理服务器根据所述用户名和密码,采用1x认证方式对所述终端进行认证;当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为所述终端的介质访问控制MAC地址时,安全管理服务器通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为;当所述认证方式属性所标识的终端的认证方式为MAC认证方式时,安全管理服务器根据所述认证信息,采用MAC认证方式对所述终端进行认证。
本实施例提供了一种认证方法,在终端发起认证时,通过接入交换机从终端获取标识终端的认证方式的认证方式属性,并将该认证方式属性携带在认证报文中发送到安全管理服务器,使得安全管理服务器根据认证信息和认证方式属性对终端进行认证;本实施例可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。
图2为本发明认证方法实施例二的流程图,如图2所示,本实施例提供了一种认证方法,本实施例从安全管理服务器一侧对本发明的方案进行说明,本实施例可以具体包括如下步骤:
步骤201,接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性。
当终端需要访问网络中的资源时,通过与其相连的接入交换机发起认证。本步骤为安全管理服务器接收接入交换机发送的认证报文,在该认证报文中携带终端的认证信息和认证方式属性。其中,认证方式属性是接入交换机在终端发起认证时从终端获取的,认证方式属性用于标识所述终端的认证方式。
具体地,本实施例中的认证方式属性可以为接入交换机根据接收到的终端在打开接入交换机上所述终端的介质访问控制MAC地址对应的通道前发送的报文而生成的。
步骤202,根据所述认证信息和所述认证方式属性对所述终端进行认证。
安全管理服务器在接收到认证报文后,根据认证报文中携带的认证信息和认证方式属性对终端进行认证。安全管理服务器可以根据该认证信息和认证方式属性来对终端进行认证,通过辨别终端的认证方式,并综合获取到的认证信息进行认证,便可以识别出某些采用1x认证方式,却仿冒免认证终端的终端。
具体地,本实施例中的上述步骤202可以具体包括如下步骤:当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为用户通过终端输入的用户名和密码时,安全管理服务器根据所述用户名和密码,采用1x认证方式对所述终端进行认证;当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为所述终端的介质访问控制MAC地址时,安全管理服务器通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为;当所述认证方式属性所标识的终端的认证方式为MAC认证方式时,安全管理服务器根据所述认证信息,采用MAC认证方式对所述终端进行认证。
本实施例提供了一种认证方法,通过安全管理服务器接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,并根据认证信息和认证方式属性对终端进行认证;本实施例可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。
图3为本发明认证方法实施例三的流程图,如图3所示,本实施例提供了一种认证方法,本实施例可以具体包括如下步骤:
步骤301,在终端发起认证时,接入交换机从终端获取认证方式属性。
图4为本发明认证方法实施例三中的网络拓扑示意图,如图4所示,本实施例中的终端可以为普通的计算机,其中安装有认证客户端,还可以为免认证终端,各个终端通过接入交换机来接入到网络中。本步骤具体为在终端发起认证时,接入交换机从终端获取认证方式属性。接入交换机可以接收终端在打开入交换机上所述终端的MAC地址对应的通道前发送的报文,并根据该报文的报文类型来生成认证方式属性。此处的通道为该终端通过接入交换机访问网络所使用的端口上的通道,交换机在打开相应的端口上的通道之前,终端无法访问网络。对于认证终端来说,此处的认证终端为安装有认证客户端的终端,其访问网络时先向接入交换机发送认证报文,而对于免认证终端来说,其访问网络时直接向接入交换机发送非认证报文,此处的非认证报文可以为访问网络的报文,如HTTP报文。因此,接入交换机可以根据接收到的终端在打开相应端口前发送的报文的类型,来具体生成终端的认证方式属性。当所述报文为认证报文时,生成认证方式属性为1x认证;当所述报文为非认证报文时,生成认证方式属性为介质访问控制MAC认证。当终端为认证终端时,此处的认证终端为安装有认证客户端的终端,该终端也可以向接入交换机主动上报其认证方式属性,具体可以通过向接入交换机主动上报其客户端类型和版本信息,使得接入交换机根据获取到的终端的客户端类型和版本信息,便可以生成该终端的认证方式属性。需要指出的是,本实施例获取终端的认证方式属性的方式并不限于上述通过报文类型或者终端主动上报的两种方式,还可以采用其他类似的方式来获取。
步骤302,接入交换机从终端获取认证信息。
本实施例中的认证信息可以为用户名和密码,也可以为终端的MAC地址。当终端启动网络接入时,如果终端中设置有认证客户端,则终端可以主动向接入交换机发送用户输入的用户名和密码,如果终端为免认证终端,则接入交换机通过终端的任何网络访问行为便可以获取到其MAC地址。
步骤303,接入交换机向安全管理服务器发送认证报文,认证报文中携带认证信息和认证方式属性。
接入交换机在获取到认证信息和认证方式属性后,向安全管理服务器发送一个认证报文,将认证信息和认证方式属性携带在该认证报文中发往安全管理服务器。在本实施例中,安全管理服务器中存储有网络中所有接入交换机的信息、所有上网用户的账号信息以及所有免认证终端的信息。其中,接入交换机的信息至少可以包括接入交换机的IP地址、1x认证过程中需要的密钥、接入交换机的类型信息等,上网用户的账号信息至少可以包括用户名和密码,免认证终端的信息至少可以包括终端的MAC地址。
步骤304,安全管理服务器根据认证方式属性判断终端的认证方式是否为1x认证方式,如果是,则执行步骤305,否则执行步骤306。
在本实施例中,如果终端的认证方式为1x认证方式时,认证报文中携带的认证信息应当是通过认证客户端输入的用户名和密码,如果终端的认证方式为MAC认证方式时,认证报文中携带的认证信息应当是终端的MAC地址。基于上述原则,安全管理服务器根据接收到的认证报文中的认证信息和认证方式属性对终端进行认证。本步骤具体为安全管理服务器根据认证方式属性判断终端的认证方式是否为1x认证方式,如果是,则执行步骤305,继续对认证信息进行判断,否则执行步骤306。
步骤305,安全管理服务器判断认证信息是否为终端的MAC地址,如果是,则执行步骤307,否则执行步骤308。
当安全管理服务器判定终端的认证方式为1x认证方式时,继续判断认证信息是否为终端的MAC地址,如果是,则执行步骤307,否则执行步骤308。
步骤306,安全管理服务器根据认证信息,采用MAC认证方式对终端进行认证。
当终端的认证方式为MAC认证方式时,表明该终端为免认证终端,其中无法设置认证客户端,则此时其不可能上报包含用户名和密码的认证信息。因此,安全管理服务器根据该终端的认证信息,直接采用MAC认证方式对终端进行认证,具体的认证流程可以采用现有的MAC认证的流程,此处不再赘述。
步骤307,安全管理服务器通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为。
当终端的认证方式为1x认证方式,且从终端获取到的终端的认证信息为MAC地址时,由于采用1x认证方式的终端中设置有认证客户端,其应该通过认证客户端输入真实的用户名和密码来进行认证,但此时接入交换机从该终端获取到的认证信息为MAC地址,则表明该终端肯定是仿冒免认证终端的终端。此时,安全管理服务器通过接入交换机向所述终端返回认证失败响应,以拒绝该终端的网络访问行为,及时制止终端的仿冒行为。
步骤308,安全管理服务器根据用户名和密码,采用1x认证方式对终端进行认证。
当终端的认证方式为1x认证方式,且从终端获取到的终端的认证信息为用户名和密码时,由于采用1x认证方式的终端中设置有认证客户端,其应该通过认证客户端输入真实的用户名和密码来进行认证,则表明该终端并非仿冒免认证终端的终端。此时,安全管理服务器根据用户名和密码,采用1x认证方式对终端进行认证,具体的认证流程可以采用现有的802.1x认证的流程,此处不再赘述。
在本实施例中,仍以上述图4为例,在网络中的任意位置搭建安全管理服务器,并设置与安全管理服务器通过网络相连的两台接入交换机,在安全管理服务器中添加接入交换机的信息(接入交换机的IP地址、1x认证过程中需要的密钥)、免认证终端的信息(终端的MAC地址:00d0f8123456)以及上网用户的账号信息(用户名:abc,密码:cba)。假设MAC地址为00d0f8123456的网络电话接入交换机后,接入交换机根据网络电话所属的设备类型,便可以获取到其认证方式为MAC认证方式,接入交换机将该MAC地址和认证方式属性携带在认证报文中转发到安全管理服务器,安全管理服务器获取到终端的认证方式为MAC认证方式。此时,安全管理服务器根据终端的MAC地址,采用MAC认证方式对该终端进行认证,由于从终端获取到的MAC地址与本地保存的允许接入网络的MAC地址一致,则允许该网络电话访问网络。若上网用户所使用的终端不是免认证终端,其中设置有认证客户端,而其在用户名和密码中均输入00d0f8123456进行认证,则接入交换机将该用户名和密码以及认证方式属性携带在认证报文中转发到安全管理服务器,安全管理服务器获取到终端的认证方式为1x认证方式,但认证信息为MAC地址。此时,安全管理服务器向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为,防止终端仿冒行为的发生。若上网用户所使用的终端不是免认证终端,其中设置有认证客户端,其在用户名和密码中分别输入abc和cba进行认证,则接入交换机将该用户名和密码以及认证方式属性携带在认证报文中转发到安全管理服务器,安全管理服务器获取到终端的认证方式为1x认证方式,认证信息与本地保存的用户名和密码相同。此时,安全管理服务器允许该用户访问网络。
本实施例提供了一种认证方法,在终端发起认证时,接入交换机将获取到的终端的认证方式属性和认证信息携带在认证报文中发送到安全管理服务器,安全管理服务根据认证信息和认证方式属性对终端进行认证;本实施例可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。本实施例不仅适用于有限的网络环境下,还适用于无线的网络环境,特别是ipad、iphone等移动终端设备的认证过程中。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图5为本发明接入交换机实施例一的结构示意图,如图5所示,本实施例提供了一种接入交换机,可以具体执行上述方法实施例一中的各个步骤,此处不再赘述。本实施例提供的接入交换机可以具体包括获取模块501和发送模块502。其中,获取模块501用于在终端发起认证时,从所述终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式。发送模块502用于向安全管理服务器发送认证报文,所述认证报文中携带所述终端的认证信息和认证方式属性,以使所述安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。
图6为本发明接入交换机实施例二的结构示意图,如图6所示,本实施例提供了一种接入交换机,可以具体执行上述方法实施例三中的各个步骤,此处不再赘述。本实施例提供的接入交换机在上述图5所示的基础之上,获取模块501可以具体包括第一接收单元511和生成单元521。其中,第一接收单元511用于在终端发起认证时,接收所述终端在打开接入交换机上所述终端的MAC地址对应的通道前发送的报文,所述认证方式属性用于标识所述终端的认证方式。生成单元521用于根据所述报文的类型生成认证方式属性。
进一步地,本实施例中的生成单元521可以具体包括第一生成子单元5211和第二生成子单元5212。其中,第一生成子单元5211用于当所述报文为认证报文时,生成认证方式属性为1x认证。第二生成子单元5212用于当所述报文为非认证报文时,生成认证方式属性为MAC认证。
或者,本实施例中的获取模块501可以包括第二接收单元531,第二接收单元531用于在终端发起认证时,接收所述终端主动上报的认证方式属性,所述认证方式属性用于标识所述终端的认证方式。
本实施例提供了一种接入交换机,在终端发起认证时,通过从终端获取标识终端的认证方式的认证方式属性,并将该认证方式属性携带在认证报文中发送到安全管理服务器,使得安全管理服务器根据认证信息和认证方式属性对终端进行认证;本实施例可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。
图7为本发明安全管理服务器实施例一的结构示意图,如图7所示,本实施例提供了一种安全管理服务器,可以具体执行上述方法实施例二中的各个步骤,此处不再赘述。本实施例提供的安全管理服务器可以具体包括接收模块701和认证模块702。其中,接收模块701用于接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,所述认证方式属性是所述接入交换机在所述终端发起认证时从所述终端获取的,所述认证方式属性用于标识所述终端的认证方式。认证模块702用于根据所述认证信息和所述认证方式属性对所述终端进行认证。
图8为本发明安全管理服务器实施例二的结构示意图,如图8所示,本实施例提供了一种安全管理服务器,可以具体执行上述方法实施例三中的各个步骤,此处不再赘述。本实施例提供的安全管理服务器在上述图7所示的基础之上,认证模块702可以具体包括第一认证单元712、第二认证单元722和第三认证单元732。其中,第一认证单元712用于当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为用户通过终端输入的用户名和密码时,根据所述用户名和密码,采用1x认证方式对所述终端进行认证。第二认证单元722用于当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为所述终端的介质访问控制MAC地址时,通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为。第三认证单元732用于当所述认证方式属性所标识的终端的认证方式为MAC认证方式时,根据所述认证信息,采用MAC认证方式对所述终端进行认证。
本实施例提供了一种安全管理服务器,通过接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,并根据认证信息和认证方式属性对终端进行认证;本实施例可以防止用户仿冒免认证终端绕开认证而接入网络,提高了网络的安全性。
本实施例还提供一种认证系统,可以包括上述图5或图6所示的接入交换机、上述图7或图8所示的安全管理服务器和终端。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种认证方法,其特征在于,包括:
在终端发起认证时,从所述终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式;
向安全管理服务器发送认证报文,所述认证报文中携带所述终端的认证信息和认证方式属性,以使所述安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。
2.根据权利要求1所述的方法,其特征在于,所述从所述终端获取认证方式属性包括:
接收所述终端在打开接入交换机上所述终端的介质访问控制MAC地址对应的通道前发送的报文;
根据所述报文的类型生成认证方式属性。
3.根据权利要求2所述的方法,其特征在于,所述根据所述报文的类型生成认证方式属性包括:
当所述报文为认证报文时,生成认证方式属性为1x认证;
当所述报文为非认证报文时,生成认证方式属性为MAC认证。
4.根据权利要求1所述的方法,其特征在于,当所述终端为认证终端时,所述从所述终端获取认证方式属性包括:
接收所述终端主动上报的认证方式属性。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述根据所述认证信息和所述认证方式属性对所述终端进行认证包括:
当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为用户通过终端输入的用户名和密码时,根据所述用户名和密码,采用1x认证方式对所述终端进行认证;
当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为所述终端的MAC地址时,通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为;
当所述认证方式属性所标识的终端的认证方式为MAC认证方式时,根据所述认证信息,采用MAC认证方式对所述终端进行认证。
6.一种认证方法,其特征在于,包括:
接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,所述认证方式属性是所述接入交换机在所述终端发起认证时从所述终端获取的,所述认证方式属性用于标识所述终端的认证方式;
根据所述认证信息和所述认证方式属性对所述终端进行认证。
7.根据权利要求6所述的方法,其特征在于,所述认证方式属性为所述接入交换机根据接收到的所述终端在打开接入交换机上所述终端的介质访问控制MAC地址对应的通道前发送的报文的类型而生成的。
8.根据权利要求6或7所述的方法,其特征在于,所述根据所述认证信息和所述认证方式属性对所述终端进行认证包括:
当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为用户通过终端输入的用户名和密码时,根据所述用户名和密码,采用1x认证方式对所述终端进行认证;
当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为所述终端的介质访问控制MAC地址时,通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为;
当所述认证方式属性所标识的终端的认证方式为MAC认证方式时,根据所述认证信息,采用MAC认证方式对所述终端进行认证。
9.一种接入交换机,其特征在于,包括:
获取模块,用于在终端发起认证时,从所述终端获取认证方式属性,所述认证方式属性用于标识所述终端的认证方式;
发送模块,用于向安全管理服务器发送认证报文,所述认证报文中携带所述终端的认证信息和认证方式属性,以使所述安全管理服务器根据所述认证信息和所述认证方式属性对所述终端进行认证。
10.根据权利要求9所述的交换机,其特征在于,所述获取模块包括:
第一接收单元,用于在终端发起认证时,接收所述终端在打开接入交换机上所述终端的介质访问控制MAC地址对应的通道前发送的报文,所述认证方式属性用于标识所述终端的认证方式;
生成单元,用于根据所述报文的类型生成认证方式属性。
11.根据权利要求10所述的交换机,其特征在于,所述生成单元包括:
第一生成子单元,用于当所述报文为认证报文时,生成认证方式属性为1x认证;
第二生成子单元,用于当所述报文为非认证报文时,生成认证方式属性为MAC认证。
12.根据权利要求9所述的交换机,其特征在于,所述获取模块包括:
第二接收单元,用于在终端发起认证时,接收所述终端主动上报的认证方式属性,所述认证方式属性用于标识所述终端的认证方式。
13.一种安全管理服务器,其特征在于,包括:
接收模块,用于接收接入交换机发送的认证报文,所述认证报文中携带终端的认证信息和认证方式属性,所述认证方式属性是所述接入交换机在所述终端发起认证时从所述终端获取的,所述认证方式属性用于标识所述终端的认证方式;
认证模块,用于根据所述认证信息和所述认证方式属性对所述终端进行认证。
14.根据权利要求13所述的服务器,其特征在于,所述认证模块包括:
第一认证单元,用于当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为用户通过终端输入的用户名和密码时,根据所述用户名和密码,采用1x认证方式对所述终端进行认证;
第二认证单元,用于当所述认证方式属性所标识的终端的认证方式为1x认证方式,且所述认证信息为所述终端的介质访问控制MAC地址时,通过接入交换机向所述终端返回认证失败响应,以拒绝所述终端的网络访问行为;
第三认证单元,用于当所述认证方式属性所标识的终端的认证方式为MAC认证方式时,根据所述认证信息,采用MAC认证方式对所述终端进行认证。
15.一种认证系统,其特征在于,包括权利要求9-12中任一项所述的接入交换机、权利要求13或14所述的安全管理服务器以及终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110229555.XA CN102271133B (zh) | 2011-08-11 | 2011-08-11 | 认证方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110229555.XA CN102271133B (zh) | 2011-08-11 | 2011-08-11 | 认证方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102271133A true CN102271133A (zh) | 2011-12-07 |
| CN102271133B CN102271133B (zh) | 2014-11-26 |
Family
ID=45053296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110229555.XA Active CN102271133B (zh) | 2011-08-11 | 2011-08-11 | 认证方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102271133B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821439A (zh) * | 2012-07-18 | 2012-12-12 | 中兴通讯股份有限公司 | 一种无线网络的接入方法和装置 |
| CN104394037A (zh) * | 2014-12-05 | 2015-03-04 | 上海斐讯数据通信技术有限公司 | 用于网络接入设备的端口测试方法及系统 |
| CN104618360A (zh) * | 2015-01-22 | 2015-05-13 | 盛科网络(苏州)有限公司 | 基于802.1X协议的bypass认证方法及系统 |
| CN105635084A (zh) * | 2014-11-17 | 2016-06-01 | 华为技术有限公司 | 终端认证装置及方法 |
| CN105743845A (zh) * | 2014-12-08 | 2016-07-06 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN107623701A (zh) * | 2017-10-31 | 2018-01-23 | 江苏神州信源系统工程有限公司 | 一种基于802.1x的快速安全认证方法与装置 |
| CN111241523A (zh) * | 2020-01-08 | 2020-06-05 | 中国联合网络通信集团有限公司 | 认证处理方法、装置、设备和存储介质 |
| CN111917736A (zh) * | 2020-07-13 | 2020-11-10 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
| US11038617B2 (en) | 2016-12-30 | 2021-06-15 | Huawei Technologies Co., Ltd. | Data communications system, optical line terminal, and baseband unit |
| CN114124473A (zh) * | 2021-11-02 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
| CN114938295A (zh) * | 2022-05-10 | 2022-08-23 | 北京北信源软件股份有限公司 | 主动安全网络及构建方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1419363A (zh) * | 2002-11-26 | 2003-05-21 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| US20060268856A1 (en) * | 2005-05-31 | 2006-11-30 | Cisco Technology, Inc. | System and method for authentication of SP Ethernet aggregation networks |
| CN101809968A (zh) * | 2007-09-28 | 2010-08-18 | 阿尔卡特朗讯公司 | 促进异类认证以允许网络接入 |
| CN101867588A (zh) * | 2010-07-16 | 2010-10-20 | 福州大学 | 一种基于802.1x的接入控制系统 |
| CN102143165A (zh) * | 2011-01-24 | 2011-08-03 | 华为技术有限公司 | 对终端进行认证的方法、网络交换机及网络系统 |
-
2011
- 2011-08-11 CN CN201110229555.XA patent/CN102271133B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1419363A (zh) * | 2002-11-26 | 2003-05-21 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| US20060268856A1 (en) * | 2005-05-31 | 2006-11-30 | Cisco Technology, Inc. | System and method for authentication of SP Ethernet aggregation networks |
| CN101809968A (zh) * | 2007-09-28 | 2010-08-18 | 阿尔卡特朗讯公司 | 促进异类认证以允许网络接入 |
| CN101867588A (zh) * | 2010-07-16 | 2010-10-20 | 福州大学 | 一种基于802.1x的接入控制系统 |
| CN102143165A (zh) * | 2011-01-24 | 2011-08-03 | 华为技术有限公司 | 对终端进行认证的方法、网络交换机及网络系统 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821439A (zh) * | 2012-07-18 | 2012-12-12 | 中兴通讯股份有限公司 | 一种无线网络的接入方法和装置 |
| CN105635084A (zh) * | 2014-11-17 | 2016-06-01 | 华为技术有限公司 | 终端认证装置及方法 |
| CN105635084B (zh) * | 2014-11-17 | 2018-12-14 | 华为技术有限公司 | 终端认证装置及方法 |
| CN104394037A (zh) * | 2014-12-05 | 2015-03-04 | 上海斐讯数据通信技术有限公司 | 用于网络接入设备的端口测试方法及系统 |
| CN105743845A (zh) * | 2014-12-08 | 2016-07-06 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN104618360A (zh) * | 2015-01-22 | 2015-05-13 | 盛科网络(苏州)有限公司 | 基于802.1X协议的bypass认证方法及系统 |
| CN104618360B (zh) * | 2015-01-22 | 2019-05-31 | 盛科网络(苏州)有限公司 | 基于802.1X协议的bypass认证方法及系统 |
| US11038617B2 (en) | 2016-12-30 | 2021-06-15 | Huawei Technologies Co., Ltd. | Data communications system, optical line terminal, and baseband unit |
| US11652564B2 (en) | 2016-12-30 | 2023-05-16 | Huawei Technologies Co., Ltd. | Data communications system, optical line terminal, and baseband unit |
| CN107623701A (zh) * | 2017-10-31 | 2018-01-23 | 江苏神州信源系统工程有限公司 | 一种基于802.1x的快速安全认证方法与装置 |
| CN107623701B (zh) * | 2017-10-31 | 2020-07-14 | 江苏神州信源系统工程有限公司 | 一种基于802.1x的快速安全认证方法与装置 |
| CN111241523A (zh) * | 2020-01-08 | 2020-06-05 | 中国联合网络通信集团有限公司 | 认证处理方法、装置、设备和存储介质 |
| CN111917736B (zh) * | 2020-07-13 | 2023-04-18 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
| CN111917736A (zh) * | 2020-07-13 | 2020-11-10 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
| CN114124473A (zh) * | 2021-11-02 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
| CN114124473B (zh) * | 2021-11-02 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
| CN114938295A (zh) * | 2022-05-10 | 2022-08-23 | 北京北信源软件股份有限公司 | 主动安全网络及构建方法 |
| CN114938295B (zh) * | 2022-05-10 | 2024-04-23 | 北京北信源软件股份有限公司 | 主动安全网络及构建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102271133B (zh) | 2014-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
| CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| US9154503B2 (en) | Authorization method and terminal device | |
| CN102638468B (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| US9094409B2 (en) | Method for configuring access rights, control point, device and communication system | |
| CN103260140B (zh) | 一种消息过滤方法及系统 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| US9781125B2 (en) | Enrollment in a device-to-device network | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| CN108243413B (zh) | 一种无线接入铁路信息网络的方法及系统 | |
| CN103369529A (zh) | 身份认证方法、访问点及访问控制器 | |
| CN103067337A (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN103905194A (zh) | 身份溯源认证方法及系统 | |
| CN109104475A (zh) | 连接恢复方法、装置及系统 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN103036906B (zh) | 网络设备的认证方法、装置、接入设备和可控设备 | |
| CN106878280A (zh) | 用户认证的方法和装置、获取用户号码信息的方法和装置 | |
| CN109327455A (zh) | 一种nas设备的访问方法、装置、设备及可读存储介质 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |