CN102299924A - RADIUS服务器与802.1x客户端信息交互、认证方法及系统 - Google Patents
RADIUS服务器与802.1x客户端信息交互、认证方法及系统 Download PDFInfo
- Publication number
- CN102299924A CN102299924A CN2011102406923A CN201110240692A CN102299924A CN 102299924 A CN102299924 A CN 102299924A CN 2011102406923 A CN2011102406923 A CN 2011102406923A CN 201110240692 A CN201110240692 A CN 201110240692A CN 102299924 A CN102299924 A CN 102299924A
- Authority
- CN
- China
- Prior art keywords
- message
- eap
- client
- notification
- radius
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开一种RADIUS服务器与802.1x客户端信息交互、认证的方法及RADIUS系统,RADIUS系统定义一系列请求指令以及应答规范,在RADIUS服务器需要获取客户端额外信息的时候,使用EAP协议中的Notification类型报文携带请求指令发送到802.1x客户端,802.1x客户端根据对应的应答规范进行应答,完成两者之间的信息交互。本发明为宽带网络提供了一种安全的认证、授权、计费(AAA)方案,很好的解决了AAA系统和LDAP目录服务的结合,使得用户在统一认证的情况下也能做到灵活的接入控制,增强了使用RADIUS作为AAA系统的适用性。
Description
技术领域
本发明涉及通信领域中的认证、授权及计费(AAA)技术,特别涉及一种RADIUS服务器和802.1x客户端信息交互、认证的方法及其RADIUS系统。
背景技术
IEEE 802.1x称为基于端口的访问控制协议,该协议在利用IEEE 802LAN的优势的基础上给连接到局域网设备或用户提供了进行认证和授权的一种手段;RADIUS的全称为Remote Access Dail-In User Service(远程用户拨号认证服务),是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。802.1x结合RADIUS使用,可以为宽带网络提供一种安全的认证、授权、计费(AAA)方案。
802.1x+RADIUS的AAA体系结构包括三个重要组成部分:802.1x客户端、NAS(network access server)设备、RADIUS服务器。图1描述了三者之间的关系以及相互之间的通信。从图1中可以看到,RADIUS服务器并不直接跟802.1x客户端进行通信,双方的交互在于NAS设备对于EAP报文数据的转发。但是,EAP协议以及基于EAP之上的协议一般都有严格的规范,通常用于明确目的的身份认证交互。
EAP中的Notification类型报文是作为信息通知来使用的,根据RFC3748协议,Notification有以下几个特点:1)Notification报文必须支持且回应;2)在认证过程中,客户端被要求随时都可以接受Notification。这两个特点非常适合于信息交互,从图3所示的EAP的Notification报文格式来看,对Notification报文内容进一步封装也很简便易行。
在用户认证过程中,RADIUS服务器有可能需要一些额外的用户信息,比如用户密码明文(用于特定用途)、客户端的版本类型、客户端认证方式(内外网认证)等。使用EAP中的Notification在RADIUS服务器和802.1x客户端之间进行信息交互是一种简单、灵活的信息交互方法。
发明内容
针对如图2所示的用户认证体系结构,本发明要解决的技术问题在于,提供一种RADIUS服务器与802.1x客户端信息交互、认证的方法及系统。该方法利用AAA体系结构中NAS设备对EAP报文透传以及802.1x客户端必须支持EAPNotification报文并响应的特点,解决RADIUS服务器和802.1x客户端之间进行传统认证之外进一步信息交互的问题。
本发明公开了一种RADIUS服务器与802.1x客户端信息交互的方法,包括以下步骤:
A.RADIUS服务器在Access-Challenge报文中用EAP-Message属性的Notification类型数据携带信息请求指令;
B.NAS设备收到RADIUS服务器的Access-Challenge报文,将报文中的EAP-Message转发给802.1x客户端;
C.802.1x客户端收到EAP报文,解析Notification中的信息请求,并在Notification中携带请求的应答数据,发送EAP Response给NAS设备;
D.NAS设备收到802.1x客户端发送来的EAP Response,封装到RADIUS报文中,发送给RADIUS服务器。
其中,信息请求指令规范由RADIUS服务器制定;Notification的数据不再是传统定义的可显示字符串,而是被定义成TLV格式的数据;由于EAP协议中规定,对于Notification类型报文,客户端必须回应。所以一般NAS设备都支持EAP Notification类型的报文。
本发明还公开了一种RADIUS服务器与802.1x客户端之间安全认证的方法,其特征在于,包括以下步骤:
(1)NAS设备向802.1x客户端发送EAP-Request/Identify,请求用户身份标识,即用户名;
(2)802.1x客户端应答用户名;
(3)NAS设备收到客户端的用户名,组装RADIUS-Request报文,向RADIUS服务器发送认证请求;
(4)RADIUS服务器收到用户认证请求,组装EAP-Notification报文,询问用户的密码,并将报文利用RADIUS的EAP-Message属性发送给NAS设备;
(5)NAS设备转发EAP报文给802.1x客户端;
(6)802.1x客户端收到Notification报文,解析并应答;如果是询问密码,则回应密码密文;如果Notification是错误码,则解析错误提示,并准备向用户提示;
(7)NAS设备转发EAP报文给RADIUS服务器;
(8)RADIUS服务器收到询问密码的应答,解密密码,获得用户密码的明文后,使用用户名和用户的密码去LDAP服务器进行身份认证,再将身份认证结果使用EAP-Notification发送出去;
(9)NAS设备转发EAP报文给802.1x客户端;NAS设备如果发现EAP-Message属性是EAP-Success报文,则打开受控端口,准许客户端接入网络服务。
(10)802.1x客户端收到EAP Notification的认证结果通知,直接回复,转入第(7)步;如果是EAP-Success或EAP-Failure则提示认证结果。
其中,在步骤(4)中,如果出现异常,则用EAP-Notification发送错误码或错误提示;在步骤(8)中,所述身份认证结果包括错误码或者认证成功后的计费信息;如果收到的是错误通知应答,则根据认证的结果,返回Access-Accept或者Access-Reject报文,其中,所述Access-Accept的EAP-Message属性是EAP-Success格式数据,所述Access-Reject的EAP-Message属性是EAP-Failure格式数据。
本发明还提供了一种RADIUS系统,该系统包括802.1x客户端、RADIUS服务器和NAS设备;RADIUS服务器并不直接与802.1x客户端进行通信,双方的交互在于NAS设备对于EAP报文数据的转发;其特征在于,其中,所述RADIUS系统通过制定和802.1x客户端交互的指令,并使用EAP-Message属性数据中的Notification数据携带所述指令,实现与802.1x客户端进行信息交互以及安全认证。
RADIUS服务器在Access-Challenge报文中用EAP-Message属性的Notification类型数据携带信息请求指令;NAS设备收到RADIUS服务器的Access-Challenge报文,将报文中的EAP-Message转发给802.1x客户端;802.1x客户端收到EAP报文,解析Notification中的信息请求,并在Notification中携带请求的应答数据,发送EAP Response给NAS设备;NAS设备收到802.1x客户端发送来的EAP Response,封装到RADIUS报文中,发送给RADIUS服务器。
其中,所述信息请求指令,不是Notification定义的可显示字符串,而是被定义成TLV格式的数据;所述信息请求及其应答的指令规范由RADIUS服务器制定;所述的NAS设备支持EAP Notification类型的报文。
本发明为802.1x+RADIUS的AAA体系结构公开了一种RADIUS服务器与802.1x客户端之间信息交互的方法及系统,为RADIUS服务器的功能丰富以及灵活应用起到一定的作用。
附图说明
图1为802.1x+RADIUS的AAA体系结构图;
图2为传统802.1x+RADIUS的AAA体系认证流程图;
图3为传统EAP的Notification报文格式;
图4为本发明实施例EAP的Notification报文格式;
图5为本发明实施例802.1x+RADIUS的AAA体系认证流程图;
图6为本发明实施例网络环境图。
具体实施方式
下面结合附图以及实施例,对本发明的具体实施方式作进一步的详细描述。
如图6所示,是本发明实施例的网络环境图。该实施例实现LDAP服务器和AAA系统挂接,使得LDAP用户登录既能获得最新的接入控制,又能获得AAA系统的差异化服务。而且,该实施例也体现了网络接入认证以及网络服务认证一体化。
如图5所示,是本发明实施例802.1x+RADIUS的AAA体系认证流程图。该实施例的实现过程包括如下步骤:
(1)NAS设备向802.1x客户端发送EAP-Request/Identify,请求用户身份标示,也可以说是用户名。
(2)802.1x客户端应答用户名。
(3)NAS设备收到客户端的用户名,组装RADIUS-Request报文,向RADIUS服务器发送认证请求。
(4)RADIUS服务器收到用户认证请求,按照如图4所示的报文格式组装EAP-Notification报文,询问用户的密码,并将报文利用RADIUS的EAP-Message属性发送给NAS设备。
如果在此处出现异常,比如LDAP服务器配置错误,或者故障,就用EAP-Notification发送错误码或错误提示。
(5)NAS设备转发EAP报文给802.1x客户端。
(6)802.1x客户端收到Notification报文,解析并应答。如果是询问密码,则回应密码密文。
如果Notification是错误码,则解析错误提示,并准备向用户提示。
(7)NAS设备转发EAP报文给RADIUS服务器。
(8)RADIUS服务器收到询问密码的应答,解密密码,获得用户密码的明文后,使用用户名和用户的密码去LDAP服务器进行身份认证,再将身份认证结果(错误码或者认证成功后的计费信息)使用EAP-Notification发送出去。
如果收到的是通知应答,则根据认证的结果,返回Access-Accept(EAP-Message属性是EAP-Success格式数据)或者Access-Reject(EAP-Message属性是EAP-Failure格式数据)报文。
(9)NAS设备转发EAP报文给802.1x客户端。NAS设备如果发现EAP-Message属性是EAP-Success报文,则打开如图1所示的受控端口,准许客户端接入网络服务。
(10)802.1x客户端收到EAP报文。如果是EAP Notification的认证结果通知,直接回复通知确认,转入第(7)步。
如果收到EAP-Success或者EAP-Failure,则显示认证结果。至此完成一次认证过程。
本发明的实施例很好的解决了AAA系统和LDAP目录服务的结合,使得用户在统一认证的情况下也能做到灵活的接入控制,增强了使用RADIUS作为AAA系统的适用性。
应该说明的是,以上所述仅是使用本发明的一个实施方式。对于技术领域的技术人员来说,在不脱离本发明原理的前提下,还可以做其它应用,这些应用也应视为本发明的保护范围。
Claims (13)
1.一种RADIUS服务器与802.1x客户端信息交互的方法,其特征在于,包括以下步骤:
A.RADIUS服务器在Access-Challenge报文中用EAP-Message属性的Notification类型数据携带信息请求指令;
B.NAS设备收到RADIUS服务器的Access-Challenge报文,将报文中的EAP-Message转发给802.1x客户端;
C.802.1x客户端收到EAP报文,解析Notification中的信息请求,并在Notification中携带请求的应答数据,发送EAP Response给NAS设备;
D.NAS设备收到802.1x客户端发送来的EAP Response,封装到RADIUS报文中,发送给RADIUS服务器。
2.如权利要求1所述的方法,其特征在于,所述信息请求指令,不是Notification定义的可显示字符串,而是被定义成TLV格式的数据。
3.如权利要求1所述的方法,其特征在于,所述信息请求及其应答的指令规范由RADIUS服务器制定。
4.如权利要求1所述的方法,其特征在于,其中,所述的NAS设备支持EAP Notification类型的报文。
5.一种RADIUS服务器与802.1x客户端之间安全认证的方法,其特征在于,包括以下步骤:
(1)NAS设备向802.1x客户端发送EAP-Request/Identify,请求用户身份标识,即用户名;
(2)802.1x客户端应答用户名;
(3)NAS设备收到客户端的用户名,组装RADIUS-Request报文,向RADIUS服务器发送认证请求;
(4)RADIUS服务器收到用户认证请求,组装EAP-Notification报文,询问用户的密码,并将报文利用RADIUS的EAP-Message属性发送给NAS设备;
(5)NAS设备转发EAP报文给802.1x客户端;
(6)802.1x客户端收到Notification报文,解析并应答;如果是询问密码,则回应密码密文;如果Notification是错误码,则解析错误提示,并准备向用户提示;
(7)NAS设备转发EAP报文给RADIUS服务器;
(8)RADIUS服务器收到询问密码的应答,解密密码,获得用户密码的明文后,使用用户名和用户的密码去LDAP服务器进行身份认证,再将身份认证结果使用EAP-Notification发送出去;
(9)NAS设备转发EAP报文给802.1x客户端;NAS设备如果发现EAP-Message属性是EAP-Success报文,则打开受控端口,准许客户端接入网络服务。
(10)802.1x客户端收到Notification的认证结果通知,直接回复通知确认。
6.如权利要求5所述的方法,其特征在于:在步骤(4)中,如果出现异常,则用EAP-Notification发送错误码或错误提示。
7.如权利要求5所述的方法,其特征在于:步骤(8)中,所述身份认证结果包括错误码或者认证成功后的计费信息。
8.如权利要求5所述的方法,其特征在于:在步骤(8)中,如果收到的是错误通知应答,则根据认证的结果,返回Access-Accept或者Access-Reject报文,其中,所述Access-Accept的EAP-Message属性是EAP-Success格式数据,所述Access-Reject的EAP-Message属性是EAP-Failure格式数据。
9.一种RADIUS系统,该系统包括802.1x客户端、RADIUS服务器和NAS设备;RADIUS服务器并不直接与802.1x客户端进行通信,双方的交互在于NAS设备对于EAP报文数据的转发;其特征在于,其中,所述RADIUS系统通过制定和802.1x客户端交互的指令,并使用EAP-Message属性数据中的Notification数据携带所述指令,实现与802.1x客户端进行信息交互以及安全认证。
10.如权利要求9所述的系统,其特征在于,RADIUS服务器在Access-Challenge报文中用EAP-Message属性的Notification类型数据携带信息请求指令;NAS设备收到RADIUS服务器的Access-Challenge报文,将报文中的EAP-Message转发给802.1x客户端;802.1x客户端收到EAP报文,解析Notification中的信息请求,并在Notification中携带请求的应答数据,发送EAP Response给NAS设备;NAS设备收到802.1x客户端发送来的EAPResponse,封装到RADIUS报文中,发送给RADIUS服务器。
11.如权利要求9或10所述的系统,其特征在于,所述信息请求指令,不是Notification定义的可显示字符串,而是被定义成TLV格式的数据。
12.如权利要求9至11之一所述的系统,其特征在于,所述信息请求及其应答的指令规范由RADIUS服务器制定。
13.如权利要求1所述的系统,其特征在于,其中,所述的NAS设备支持EAP Notification类型的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102406923A CN102299924A (zh) | 2011-08-22 | 2011-08-22 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102406923A CN102299924A (zh) | 2011-08-22 | 2011-08-22 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102299924A true CN102299924A (zh) | 2011-12-28 |
Family
ID=45360099
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102406923A Pending CN102299924A (zh) | 2011-08-22 | 2011-08-22 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102299924A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297239A (zh) * | 2013-05-15 | 2013-09-11 | 杭州华三通信技术有限公司 | 一种客户端合法性检测方法及装置 |
| CN104348790A (zh) * | 2013-07-30 | 2015-02-11 | 华耀(中国)科技有限公司 | 一种实现自定义配置aaa框架的方法及系统 |
| CN104506524A (zh) * | 2014-12-22 | 2015-04-08 | 迈普通信技术股份有限公司 | 区分用户域且对网络接入服务器透明的aaa系统及方法 |
| CN109587121A (zh) * | 2018-11-20 | 2019-04-05 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
| CN110418300A (zh) * | 2013-07-08 | 2019-11-05 | 康维达无线有限责任公司 | 将无imsi设备连接到epc |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514619A (zh) * | 2002-12-06 | 2004-07-21 | 提高在为计算机系统提供网络访问时的自动化水平 | |
| CN1527557A (zh) * | 2003-03-04 | 2004-09-08 | 华为技术有限公司 | 一种桥接设备透传802.1x认证报文的方法 |
| CN101707522A (zh) * | 2009-09-29 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
-
2011
- 2011-08-22 CN CN2011102406923A patent/CN102299924A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514619A (zh) * | 2002-12-06 | 2004-07-21 | 提高在为计算机系统提供网络访问时的自动化水平 | |
| CN1527557A (zh) * | 2003-03-04 | 2004-09-08 | 华为技术有限公司 | 一种桥接设备透传802.1x认证报文的方法 |
| CN101707522A (zh) * | 2009-09-29 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297239A (zh) * | 2013-05-15 | 2013-09-11 | 杭州华三通信技术有限公司 | 一种客户端合法性检测方法及装置 |
| CN103297239B (zh) * | 2013-05-15 | 2017-09-05 | 新华三技术有限公司 | 一种客户端合法性检测方法及装置 |
| CN110418300A (zh) * | 2013-07-08 | 2019-11-05 | 康维达无线有限责任公司 | 将无imsi设备连接到epc |
| US10812461B2 (en) | 2013-07-08 | 2020-10-20 | Convida Wireless, Llc | Connecting IMSI-less devices to the EPC |
| CN110418300B (zh) * | 2013-07-08 | 2021-08-03 | 康维达无线有限责任公司 | 将无imsi设备连接到epc |
| US11973746B2 (en) | 2013-07-08 | 2024-04-30 | Interdigital Patent Holdings, Inc. | Connecting IMSI-less devices to the EPC |
| CN104348790A (zh) * | 2013-07-30 | 2015-02-11 | 华耀(中国)科技有限公司 | 一种实现自定义配置aaa框架的方法及系统 |
| CN104506524A (zh) * | 2014-12-22 | 2015-04-08 | 迈普通信技术股份有限公司 | 区分用户域且对网络接入服务器透明的aaa系统及方法 |
| CN104506524B (zh) * | 2014-12-22 | 2018-01-26 | 迈普通信技术股份有限公司 | 区分用户域且对网络接入服务器透明的aaa系统及方法 |
| CN109587121A (zh) * | 2018-11-20 | 2019-04-05 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
| CN109587121B (zh) * | 2018-11-20 | 2021-06-18 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN101621801B (zh) | 无线局域网的认证方法、系统及服务器、终端 | |
| JP5707486B2 (ja) | 鍵更新機構を有する鍵管理デバイス、システム及び方法 | |
| EP2106089B1 (en) | A method and system for authenticating users | |
| CN1711740B (zh) | 轻度可扩展验证协议的密码预处理 | |
| CN105357242B (zh) | 接入无线局域网的方法和系统、短信推送平台、门户系统 | |
| CN104702607B (zh) | 一种软件定义网络的接入认证方法、装置和系统 | |
| CN110858969A (zh) | 客户端注册方法、装置及系统 | |
| CN101867476B (zh) | 一种3g虚拟私有拨号网用户安全认证方法及其装置 | |
| WO2011084419A1 (en) | Secure multi - uim authentication and key exchange | |
| CN101406021A (zh) | 基于sim的认证 | |
| KR20050064119A (ko) | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 | |
| WO2004034645A1 (ja) | Wlan相互接続における識別情報の保護方法 | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
| CN102299924A (zh) | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 | |
| CN105075219A (zh) | 包括安全性管理服务器和家庭网络的网络系统、以及用于在网络系统中包括设备的方法 | |
| CN107360124A (zh) | 接入认证方法及装置、无线接入点和用户终端 | |
| US20080148044A1 (en) | Locking carrier access in a communication network | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN104936177B (zh) | 一种接入认证方法及接入认证系统 | |
| CN106375123A (zh) | 一种802.1x认证的配置方法及装置 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN102255904B (zh) | 一种通信网络以及对终端的认证方法 | |
| WO2012041029A1 (zh) | 一种服务器处理业务的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111228 |