CN102447702B - 基于策略的重认证方法和装置 - Google Patents
基于策略的重认证方法和装置 Download PDFInfo
- Publication number
- CN102447702B CN102447702B CN201110448301.7A CN201110448301A CN102447702B CN 102447702 B CN102447702 B CN 102447702B CN 201110448301 A CN201110448301 A CN 201110448301A CN 102447702 B CN102447702 B CN 102447702B
- Authority
- CN
- China
- Prior art keywords
- authentication
- client
- strategy
- equipment end
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明实施例提供一种基于策略的重认证方法,该方法中配置客户端的重认证策略,设备端根据配置的客户端的重认证策略进行相应的重认证处理。本发明实施方式提供的技术方案通过配置重认证策略,可以在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,从而在保证安全性的情况下提高认证过程中的业务可靠性。
Description
技术领域
本发明涉及通信领域,尤其涉及一种基于策略的重认证方法和装置。
背景技术
802.1X是IEEE(电气和电子工程师协会)制定的一种基于端口的网络接入控制协议,可以在以太网接入设备的端口上对接入的用户设备进行认证和控制。802.1X认证体系包含了客户端(Supplicant),设备端(Authenticator)以及认证服务器(AuthenticationServer)三部分。在客户端和设备端之间通过EAPOL(ExtensibleAuthenticationProtocoloverLAN)报文进行认证交互;设备端根据认证服务器返回的认证结果判断是否对接入端口或者客户端的MAC地址进行授权,从而完成对客户端的接入控制:只有通过认证的客户端的业务流量才被允许进入网络,没有通过认证的客户端的业务流量将被拒绝进入网络。
为了防止非法客户端替换已经通过认证的合法客户端而带来的安全风险,802.1X定义了重认证机制,由设备端周期性地对已经通过认证的客户端重新发起一次认证;如果重认证成功,则设备端允许该客户端的业务流量继续进入网络;如果重认证失败,设备端将禁止该客户端的业务流量进入网络。重认证失败可能有多种原因,除了非法客户端替换,合法客户端掉线之外,还可能是因为设备端与认证服务器之间发生网络侧通信故障,导致重认证交互中断所致。目前,对于网络侧通信故障造成的重认证失败,设备端的处理方式仍然是撤销客户端的授权,禁止客户端的业务流量进入网络。这种情况,设备端错误地撤销客户端的授权会导致合法客户端的业务中断,给用户造成很大损失。
发明内容
本发明的实施方式提供的方法和装置,解决目前通信网络中网络侧通信故障引起的重认证失败导致合法客户端的业务中断问题。
本发明实施例提供一种基于策略的重认证方法,该方法包括:
配置客户端的重认证策略;
设备端根据客户端的重认证策略进行相应的重认证处理。
本发明实施例提供一种基于策略的重认证装置,该装置包括:
客户端重认证策略配置单元,用于配置客户端的重认证策略;
重认证处理单元,用于根据客户端的重认证策略进行相应地重认证处理。
与现有技术相比,本发明实施方式提供的技术方案通过配置重认证策略,可以在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,从而在保证安全性的情况下提高认证过程中的业务可靠性。
附图说明
图1是本发明实施例提供的一种基于策略的重认证方法的流程示意图;
图2是本发明实施例提供的一种基于策略的重认证方法的应用场景示意图;
图3是本发明实施例提供的另一种基于策略的重认证方法的流程示意图;
图4是本发明实施例提供的再一种基于策略的重认证方法的流程示意图;
图5是本发明实施例提供的一种基于策略的重认证装置的结构示意图。
具体实施方式
以下结合具体实施方式来说明本发明的实现过程。
根据本发明的实施例,在现有802.1X重认证机制的基础上,对设备端与认证服务器之间存在网络侧通信故障的情况提供一种基于策略的重认证方法,使得合法客户端不会在网络侧故障情况下被撤销授权从而导致业务的中断;兼顾网络安全性与业务可靠性,从而提高802.1X安全认证体系在对业务可靠性要求比较高的场景中的适用性。
根据本发明实施例的一个方面,提供了一种基于策略的重认证方法,包括:
100,配置客户端的重认证策略;
具体地,所述重认证策略包括业务优先和安全优先。举例来说,对于业务可用性和可靠性要求比较高的网络应用,比如移动承载网络和无线网络,客户端的重认证策略可以选择配置为业务优先;对于安全性要求比较高,业务可用性和可靠性要求不高的网络应用,比如宽带接入网络,客户端的重认证策略可以选择配置为安全优先。上述的重认证策略的配置例如可以通过在设备端提供用户配置命令,用户选择相应的重认证策略完成配置,当然也可以由设备端为每个客户端设备进行配置。
102,设备端根据客户端的重认证策略进行相应的重认证处理。
具体地,设备端在对该客户端进行重认证的过程中,如果确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步根据客户端的重认证策略进行重认证操作。
具体地,设备端获取配置的所述客户端的重认证策略,根据获取的所述客户端的重认证策略进行相应的重认证操作。例如,如果确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步获取客户端的重认证策略,如果某个客户端的重认证策略为业务优先,则保留该客户端的授权,即维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络;如果某个客户端的重认证策略为安全优先,则撤销该客户端的授权,即撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。
具体地,设备端向认证服务器发送认证请求报文后,如果在预设的重传超时时间和/或预定的重传次数内,没有收到认证服务器的响应报文,则认为设备端与认证服务器之间的网络侧通信故障导致重认证交互中断。举例来说,可以由设备端确定是否是因为设备端与认证服务器之间的网络侧通信故障导致重认证交互中断。当然,也可以由其他设备来确定是否是因为设备端与认证服务器之间的网络侧通信故障导致重认证交互中断。
本发明实施例提供的基于策略的重认证方法通过配置重认证策略,可以在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,从而在保证安全性的情况下提高认证过程中的业务可靠性。
如图2所示,以无线网络和移动承载网络中部署EAP(ExtensibleAuthenticationProtocol,可扩展认证协议)中继方式的802.1X认证体系为例,无线基站eNB作为客户端,移动承载网络的边缘设备PE1作为设备端;RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证)服务器作为认证服务器。参见图3,为本发明实施例根据图2所示的场景提供的一种基于策略的重认证方法包括:
301,设备端启动重认证;
具体地,设备端启动重认证包括设备端向认证服务器发送认证请求。举例来说,所述认证请求为RADIUSAccess-Request报文。
302,认证服务器响应超时,如果客户端的重认证策略是业务优先,转至303;如果客户端的重认证策略是安全优先,转至304;
具体地,如果在设备端向认证服务器发送验证请求报文之后预设的重传超时时间和/或预定的重传次数内,没有收到认证服务器的响应报文,则认为认证服务器响应超时。例如,设备端向认证服务器发送RADIUSAccess-Request报文,同时设备端启动重传定时器,如果在重传定时器超时时间内,没有收到认证服务器返回的RADIUS认证响应报文,则设备端将按配置的重试次数对RADIUSAccess-Request报文进行重传,如果在指定的重试次数内仍然没有收到认证服务器返回的RADIUS认证响应报文,则设备端认为网络侧发生通信故障,重认证过程中断。
举例来说,在302中,认证服务器响应超时后,设备端还可以上报认证服务器无响应告警,以提示用户是网络层通信故障导致重认证交互中断。
303,设备端保留该客户端的授权。
具体地,设备端保留该客户端的授权为:维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络。进一步地,设备端保留该客户端的授权还包括通知客户端其重认证成功,例如设备端向客户端发送EAP-Success报文通知其重认证成功。
304,设备端撤销该客户端的授权。
具体地,设备端撤销该客户端的授权为:撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。进一步地,设备端撤销该客户端的授权还包通知客户端其重认证失败,例如设备端向客户端发送EAP-Failure报文,通知其重认证失败。
参见图4,为本发明实施例提供的另一种基于策略的重认证方法的具体的实施例,该方法包括:
401,设备端启动重认证,向客户端发送EAP-Request/Identity报文请求用户身份信息;
402,如果设备端收到认证服务器的RADIUSAccess-Accept报文,则转至408;
403,如果设备端收到认证服务器的RADIUSAccess-Reject报文,则转至409;
404,设备端在重传次数以及相应的重传超时时间内没有收到认证服务器返回的RADIUS报文,则设备端认为认证服务器响应超时,确定网络侧的通信故障导致认证中断,这时转至405;否则继续等待;
405,设备端检测是否存在“认证服务器无响应告警”;
406,若不存在,设备端上报“认证服务器无响应告警”,执行407;
407,确认重认证安全策略是业务优先还是安全优先,如果客户端的重认证策略是业务优先,转至408,如果客户端的重认证策略是安全优先,转至409;
具体地,设备端获取配置的所述客户端的重认证策略,根据获取的所述客户端的重认证策略进行相应的重认证操作。
408,保留该客户端的授权。
设备端保留该客户端的授权具体为:维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络。进一步地,设备端保留该客户端的授权还包括通知客户端其重认证成功,例如设备端向客户端发送EAP-Success报文通知其重认证成功。
409,撤销该客户端的授权。
设备端撤销该客户端的授权具体为:撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。进一步地,设备端撤销该客户端的授权还包通知客户端其重认证失败,例如设备端向客户端发送EAP-Failure报文,通知其重认证失败。
本发明实施例提供的重认证方法通过配置重认证策略,在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,在保证安全性的情况下可以提高802.1X安全认证过程中的业务可靠性。
参见图5,本发明实施例还提供一种基于策略的重认证装置50,该装置50例如可以是802.1X标准中的设备端,该装置50包括:
客户端重认证策略配置单元501,用于配置客户端的重认证策略;
具体地,所述重认证策略可以配置为业务优先或安全优先。
重认证处理单元502,,用于根据客户端的重认证策略进行相应地重认证处理。
具体地,如果某个客户端的重认证策略为业务优先,重认证处理单元在对该客户端进行重认证的过程中,如果确定是设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则仍然保留该客户端的授权,即维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络。
如果某个客户端的重认证策略为安全优先,重认证处理单元在对该客户端进行重认证的过程中,如果确定是设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则撤销该客户端的授权,即撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。
举例来说,所述重认证处理单元具体包括:
网络通信故障确定子单元,用于在所述基于策略的重认证装置向认证服务器发送认证请求报文后,如果确定在预设的重传超时时间和/或预定的重传次数内没有收到认证服务器的响应报文,则确认所述基于策略的重认证装置与认证服务器之间的网络侧通信故障导致重认证交互中断;
重认证策略获取子单元,用于获取配置的客户端的重认证策略;
重认证处理子单元,用于在网络通信故障确定子单元确定所述基于策略的重认证装置与认证服务器之间的网络侧通信故障导致重认证交互中断时,根据所述重认证策略获取子单元获取的客户端的重认证策略进行相应地重认证处理。
具体地,如果获取的客户端的重认证策略是业务优先,所述重认证处理子单元保留该客户端的授权;如果客户端的重认证策略是安全优先,设备端撤销该客户端的授权。
本发明实施例提供的基于策略的重认证装置可以具体用于执行图1、3和4所示的方法实施例对应的方法,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (6)
1.一种基于策略的重认证方法,其特征在于,包括:
配置客户端的重认证策略,所述重认证策略为业务优先或者安全优先;
如果确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,该设备端根据所述客户端的重认证策略进行相应的重认证处理,如果该客户端的重认证策略为业务优先,则保留该客户端的授权,所述设备端保留该客户端的授权具体为:维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络;如果该客户端的重认证策略为安全优先,则撤销该客户端的授权,所述设备端撤销该客户端的授权具体为:撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。
2.如权利要求1所述的方法,其特征在于,所述确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断具体为:
所述设备端向认证服务器发送认证请求报文后,如果在预设的重传超时时间和/或预定的重传次数内,没有收到所述认证服务器的响应报文,则确定所述设备端与所述认证服务器之间的网络侧通信故障导致重认证交互中断。
3.如权利要求2所述的方法,其特征在于,所述方法进一步包括:
在确定所述设备端与所述认证服务器之间的网络侧通信故障导致重认证交互中断后,所述设备端上报认证服务器无响应告警,以提示用户是网络层通信故障导致重认证交互中断。
4.如权利要求1-3任意一项所述的方法,其特征在于,所述方法应用于802.1X安全认证体系中。
5.一种基于策略的重认证装置,其特征在于,包括:
客户端重认证策略配置单元,用于配置客户端的重认证策略,所述重认证策略为业务优先或者安全优先;
重认证处理单元,用于:如果确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,根据所述客户端的重认证策略进行相应地重认证处理,如果该客户端的重认证策略为业务优先,则保留该客户端的授权,所述设备端保留该客户端的授权具体为:维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络;如果该客户端的重认证策略为安全优先,则撤销该客户端的授权,所述设备端撤销该客户端的授权具体为:撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。
6.如权利要求5所述的装置,其特征在于,所述重认证处理单元具体包括:
网络通信故障确定子单元,用于在所述基于策略的重认证装置向认证服务器发送认证请求报文后,如果在预设的重传超时时间和/或预定的重传次数内没有收到所述认证服务器的响应报文,则确定所述基于策略的重认证装置与所述认证服务器之间的网络侧通信故障导致重认证交互中断;
重认证策略获取子单元,用于获取所述客户端的重认证策略;
重认证处理子单元,用于在所述网络通信故障确定子单元确定所述基于策略的重认证装置与认证服务器之间的网络侧通信故障导致重认证交互中断时,根据所述重认证策略获取子单元获取的所述客户端的重认证策略进行相应地重认证处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110448301.7A CN102447702B (zh) | 2011-12-28 | 2011-12-28 | 基于策略的重认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110448301.7A CN102447702B (zh) | 2011-12-28 | 2011-12-28 | 基于策略的重认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102447702A CN102447702A (zh) | 2012-05-09 |
| CN102447702B true CN102447702B (zh) | 2016-03-30 |
Family
ID=46009791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110448301.7A Active CN102447702B (zh) | 2011-12-28 | 2011-12-28 | 基于策略的重认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102447702B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101639541B1 (ko) | 2012-09-24 | 2016-07-13 | 알까뗄 루슨트 | 통신 네트워크에서의 유저 인증 트리거링 |
| CN106454833A (zh) * | 2016-12-21 | 2017-02-22 | 锐捷网络股份有限公司 | 一种实现无线802.1x认证的方法及系统 |
| CN109194651B (zh) * | 2018-09-04 | 2021-10-19 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及存储介质 |
| CN109462501B (zh) * | 2018-10-29 | 2021-02-02 | 北京芯盾时代科技有限公司 | 一种认证流程控制方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527558A (zh) * | 2003-03-06 | 2004-09-08 | 华为技术有限公司 | 一种802.1x认证系统中重认证的实现方法 |
| CN101166351A (zh) * | 2006-10-21 | 2008-04-23 | 华为技术有限公司 | 基于mip实现用户注册的方法、装置及系统 |
| CN101197717A (zh) * | 2007-12-27 | 2008-06-11 | 中兴通讯股份有限公司 | 一种radius服务器中断时保证用户正常上线的方法及系统 |
| CN102307098A (zh) * | 2011-09-05 | 2012-01-04 | 华为技术有限公司 | 认证授权的方法和装置 |
-
2011
- 2011-12-28 CN CN201110448301.7A patent/CN102447702B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527558A (zh) * | 2003-03-06 | 2004-09-08 | 华为技术有限公司 | 一种802.1x认证系统中重认证的实现方法 |
| CN101166351A (zh) * | 2006-10-21 | 2008-04-23 | 华为技术有限公司 | 基于mip实现用户注册的方法、装置及系统 |
| CN101197717A (zh) * | 2007-12-27 | 2008-06-11 | 中兴通讯股份有限公司 | 一种radius服务器中断时保证用户正常上线的方法及系统 |
| CN102307098A (zh) * | 2011-09-05 | 2012-01-04 | 华为技术有限公司 | 认证授权的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102447702A (zh) | 2012-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10122700B2 (en) | Secure method for MTC device triggering | |
| KR100704675B1 (ko) | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 | |
| US20130014231A1 (en) | Anchor authenticator relocation method and system | |
| EP3340690B1 (en) | Access method, device and system for user equipment (ue) | |
| US8891502B2 (en) | Apparatus and method for providing security of a network connection | |
| US20090100262A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
| CN106664286B (zh) | 异构网络之间的切换方法及切换系统 | |
| US20120110324A1 (en) | Method and apparatus for sending a key on a wireless local area network | |
| TW200830901A (en) | Handoff method of mobile device utilizing dynamic tunnel | |
| US20150382397A1 (en) | 802.1x access session keepalive method, device, and system | |
| JP2008533609A (ja) | 無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法 | |
| CN102447702B (zh) | 基于策略的重认证方法和装置 | |
| US20190335329A1 (en) | Mtc key management for sending key from network to ue | |
| CN101568147A (zh) | 一种无线局域网鉴别基础结构超时处理的方法及装置 | |
| KR101718096B1 (ko) | 무선통신 시스템에서 인증방법 및 시스템 | |
| US8255976B2 (en) | Prevention of a bidding-down attack in a communication system | |
| JP5530535B2 (ja) | オーセンティケータリロケーション要求の処理方法及びシステム | |
| KR20130085170A (ko) | 무선 네트워크에서 가입자 단말의 핸드오버 시 인증 절차를 단축시키는 방법 및 장치 | |
| CN102026191B (zh) | 一种避免重鉴权失败的方法及基站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |