CN102480460B - 实现交换设备端口级接入认证的方法 - Google Patents
实现交换设备端口级接入认证的方法 Download PDFInfo
- Publication number
- CN102480460B CN102480460B CN201010553593.6A CN201010553593A CN102480460B CN 102480460 B CN102480460 B CN 102480460B CN 201010553593 A CN201010553593 A CN 201010553593A CN 102480460 B CN102480460 B CN 102480460B
- Authority
- CN
- China
- Prior art keywords
- equipment end
- user
- equipment
- collection
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现交换设备端口级接入认证的方法,认证服务器扩展设备端数据库,构造均衡二叉排序树;同时扩展用户身份集数据库,将上网用户划分为逻辑用户集,并建立与设备端的对应关系;认证服务器收到认证请求包后,获取设备端IP,根据设备端IP查询设备端数据库,如果没有查询结果,则回复拒绝响应包;查询到结果后,提取设备端端口属性,根据设备端端口再次查询设备端数据,根据设备端与逻辑用户集的对应关系获取逻辑用户集名称;根据逻辑用户集名重新定位到用户身份集数据库,此时,认证请求即指向了管理者配置的用户集;根据认证请求包和该用户集的数据库,完成认证。本发明能够明显提升管理的灵活性和实施的方便性。
Description
技术领域
本发明涉及数字通信领域,特别是涉及一种实现交换设备端口级接入认证的方法。
背景技术
802.1x协议是一种基于交换机端口的网络接入控制(Port BasedNetwork Access Control)协议。连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则对局域网中的资源无法访问或访问受限。
现有的基于802.1x协议的用户身份认证技术对设备端与用户集的设定如下:
1、设备端以IP(互联网协议地址)标识,用户集为单一全集。这种方案是当前大多数产品的设定,并没有强调不同设备对不同组织/部门/类型的用户接入的区别化管理要求。
2、设备端以IP标识,部署多个接入设备对应不同用户集合。这种情况在组织的无线接入管理时经常遇到。虽然工业的无线接入控制器每一个AP(无线接入点)可以实现多个服务的SSID(服务集标志符),但是因为当前认证技术的局限,导致想要在不同无线接入服务间配置不同的认证身份集时,还必须部署多个AP,造成了成本的浪费,以及管理的复杂度提高。
3、设备端以IP为标识,限定每个设备与一个用户集绑定。在目前的结构化布线大楼里,一些公共场所的网络接入点,往往与办公室里的正式办公网络共享接入层交换机。在这种情况下,如果想要为同一个接入层交换机的多个不同端口配置不同认证身份集,对公共场所与办公室等不同区域的接入进行区别管理,原有技术不能满足要求,必须使用扩展交换机端口与用户集绑定的802.1x身份认证技术。
因此,虽然基于802.1x协议的用户身份认证技术在国内外企业中都有广泛的应用,但是都只限于以一台交换设备为最小单元的单一身份集、或者有限身份集的绑定认证方式。这种应用方式在很多情况下难以满足复杂应用环境的对用户设备接入的管理要求。
发明内容
本发明要解决的技术问题是提供一种实现交换设备端口级接入认证的方法及系统,能够明显提升管理的灵活性和实施的方便性。
为解决上述技术问题,本发明的实现交换设备端口级接入认证的方法,包括如下步骤:
步骤1、用户在认证端(即安装了802.1x认证组件的用户终端)输入用户名和口令,发送到设备端(RADIUS Client,通常为交换机或无线控制器);
步骤2、设备端根据获取的用户名和口令,向RADIUS(RemoteAuthentication Dial-In User Servic,远端拨接认证服务)服务器发送认证请求包;
步骤3、RADIUS服务器解析认证请求包,提取NAS-IP-Address(设备端互联网协议地址)、NAS-Port(设备端端口)属性,在设备端数据库根据NAS-IP-Address进行第一次查询,如果有对应记录,则继续后续步骤,否则返回拒绝响应包;
步骤4、RADIUS服务器在设备端数据库根据NAS-Port以及前一步查询结果,进行第二次查询,定位到对应的逻辑用户集名称,如果没有找到单独指定的逻辑用户集,则使用缺省用户集名称;
步骤5、RADIUS服务器根据前一步查询得到的用户集名称,以及认证请求中提交的用户名和口令信息,通过用户身份集数据库进行认证,如果认证成功,则将用户的权限信息以认证响应包发送给设备端;如果认证失败,则返回拒绝响应包;
步骤6、设备端根据接收到的认证结果接入或拒绝用户终端接入;如果可以接入,则设备端向RADIUS服务器发送上线开始请求包;
步骤7、RADIUS服务器返回上线开始响应包,同时记录上线起始时间;
步骤8、用户开始访问网络资源。
本发明提供了一种交换机IP-端口(包含逻辑端口)-用户集的绑定的实现方案,可有效细化用户设备接入管理的粒度,配合现有常用网络接入设备,能够明显提升管理的灵活性和实施的方便性。
本发明适用于所有具备内部局域网、需要通过用户认证的方式进行网络接入控制,并希望通过更简洁的方式实现细分化控制的企事业单位。
附图说明
下面结合附图与具体实施方式对本发明作进一步详细的说明:
图1是RADIUS认证的基本消息交互流程图;
图2是现有的RADIUS服务器维护的数据库示意图;
图3是扩展后的RADIUS服务器维护的数据库示意图;
图4是扩展后的RADIUS认证消息交互流程图。
具体实施方式
安装了802.1x认证组件的认证端(用户终端)、设备端和RADIUS服务器之间的基本消息交互流程如图1所示。认证端的802.1x协议报文通过设备端,承载在RADIUS协议中发送给RADIUS服务器。
如图2所示,RADIUS服务器通常要维护三个数据库。
用户集数据库Users,用于存储用户信息(如用户名、口令以及使用的协议、IP地址等属性)。
设备端数据库Clients,用于存储设备端(如交换机)的信息(如共享密钥、设备端IP等属性)。
对应数据库Dictionary,存储的信息用于解释RADIUS协议中的属性和属性值的含义。
对于用户集数据库Users,需要进行扩展。可以将数据库中的用户按需要的规则自由添加/划分为多个逻辑用户集,同时建立一个缺省用户集,即可在同一台服务器上实现多个用户集的需求。
设备端数据库Clients通常以交换设备的IP作为设备端的区分单位;要扩展到端口级,需要获取额外的交换设备信息。RADIUS服务器接收认证请求包,RADIUS协议报文除了解析并重新组装EAP-Message(扩展授权协议消息),提取User-Name(用户名)等属性外,还接收如NAS-IP-Address(设备端IP地址)、NAS-Port(设备端端口)等属性;利用NAS-Port等属性,扩展设备端数据库Clients内容,形成对设备端Clients按NAS-IP-Address及NAS-Port的检索,即可对设备端进行端口级区分。
RADIUS服务器维护的数据库扩展后的结构如图3所示。
在RADIUS服务器维护的数据库进行扩展后,相应的扩展RADIUS服务器内部的认证流程,内部流程扩展步骤如下:
扩展步骤一、RADIUS服务器将设备端数据库Clients载入到内存,以NAS-IP-Address、NAS-Port组合为主键,以逻辑用户集名称等为属性,构造均衡二叉排序树,保存在内存中。
扩展步骤二、RADIUS服务器收到设备端发送的认证请求包(Access-Request)后,解析认证请求包,获取NAS-IP-Address,根据NAS-IP-Address查询设备端数据库,如果没有查询结果,则回复拒绝响应包。
扩展步骤三、查询到结果后,解析认证请求包,获取NAS-Port属性,在设备端排序树中进行根据NAS-IP-Address和NAS-Port进行快速查询,定位到对应的逻辑用户集名称;如果无指定的逻辑用户集,则对应到缺省用户集。
扩展步骤四、根据查询到的用户集名称在用户集数据库中定位相应的用户集入口,此时,认证请求即指向了管理者配置的用户集,亦达成了交换设备IP、端口和用户集的绑定。
扩展步骤五、根据认证请求包信息,以及对应的用户集进行身份认证。
RADIUS服务器维护的数据库以及内部认证流程扩展后,完整的用户认证交互步骤如图4所示。其具体说明如下:
步骤1、用户在认证端输入用户名和口令,发送到设备端。
步骤2、设备端根据获取的用户名和口令,向RADIUS服务器发送认证请求包。
步骤3、RADIUS服务器解析认证请求包,提取NAS-IP-Address(设备端互联网协议地址)、NAS-Port(设备端端口)属性,根据RADIUS服务器扩展的内部流程(上述的扩展步骤1-5),完成对该认证请求的认证过程。
步骤4、设备端根据接收到的认证结果接入或拒绝用户终端接入;如果可以接入,则设备端向认证服务器发送上线开始请求包。
步骤5、认证服务器返回上线开始响应包,同时记录上线起始时间。
步骤6、用户开始访问网络资源。
步骤7、设备端向认证服务器发送上线停止请求包。
步骤8、认证服务器返回上线结束响应包,同时记录上线结束时间。步
骤9、用户访问资源结束。
本发明的认证方法完全在RADIUS服务器内部扩展实现,与认证端和设备端无关,考虑到在认证过程中引入交互设备端口检索可能带来的性能降低,对RADIUS服务器设计性能测试方法。假设一个大型组织有32000个终端需要认证上网,第一次模拟分16个交换机端口(对应16个身份集,每个身份集2000个用户)进行认证,第二次模拟1个交换机端口(对应1个身份集,32000个用户)进行认证,RADIUS服务器采用单线程串行工作,测试数据如下:
| 试验条件 | 串行认证总时间 | 平均单次认证时间 |
| 16个身份集 | 1249秒 | 0.0390秒 |
| 1个身份集 | 1311秒 | 0.0409秒 |
测试用RADIUS服务器配置如下:
| 配置条目 | 配置 |
| CPU | Intel Core 2Duo双核2.33G |
| 内存 | 2G |
| 硬盘 | 320G高速硬盘 |
| 身份集存储数据库 | Postgresql8.4 |
试验发现,因为分割了身份集,在大身份集的情况下,虽然身份集匹配多花了一点计算时间,但是身份集内部检索却节约了的更多时间,因而引入细分身份集也可以成为大身份集情况下的提升认证速度的一个有效方法。
本发明的方案提供了一个对认证、授权和上线记录这三种安全功能进行配置的一致性框架,完全满足AAA服务的基本要求。
本发明的方案细化了对用户接入进行管理的粒度。在结构化布线的大楼里,要实现临时访客的网络接入、同时又要保障组织内网的安全,现有的802.1X接入控制方案都无法很好的解决,只能在公共区域部署单独的接入层设备给临时访客,造成企业投资的浪费,以及管理的复杂度提升;应用本发明的方案后,可以对于同一台交换设备的不同端口指定不同的认证身份集,很好的解决了接入层交换设备复用的问题。
当前一些802.1X的扩展技术,通常都是绑定认证端的IP、MAC与认证身份,这只是强化了对认证源的验证;但是在一些安全性要求更高的应用场景,更需要明确认证的路径,也就是从哪台交互设备、哪个物理端口接入,从而差异化的应用不同的网络访问策略,本发明的方案为这种安全要求提供了有效的技术支撑。
本发明的方案对RADIUS服务器核心认证交互过程进行了扩展,但对RADIUS服务器的性能影响较小。在同样的硬件条件下,与原有技术的RADIUS服务器相比,应用本方案后的RADIUS服务器提供的服务,其最大吞吐量、平均响应时间、等性能指标相差极小,可以认为没有影响。
以上通过具体实施方式对本发明进行了详细的说明,但这些并非构成对本发明的限制。在不脱离本发明原理的情况下,本领域的技术人员还可做出许多变形和改进,这些也应视为本发明的保护范围。
Claims (3)
1.一种实现交换设备端口级接入认证的方法,其特征在于,包括如下步骤:
步骤1、用户在安装了802.1x认证组件的认证端输入用户名和口令,并发送到设备端;
步骤2、设备端根据获取的用户名和口令,向远端拨接认证服务器发送认证请求包;
步骤3、远端拨接认证服务器解析认证请求包,提取设备端互联网协议地址NAS-IP-Address和设备端端口NAS-Port属性,在设备端数据库根据设备端互联网协议地址NAS-IP-Address进行第一次查询,如果有对应记录,则继续后续步骤,否则返回拒绝响应包;
步骤4、远端拨接认证服务器在设备端数据库根据设备端端口NAS-Port以及前一步查询结果,进行第二次查询,定位到对应的逻辑用户集名称,如果没有找到单独指定的逻辑用户集,则使用缺省用户集名称;
步骤5、远端拨接认证服务器根据前一步查询得到的用户集名称,以及认证请求中提交的用户名和口令信息,通过用户身份集数据库进行认证,如果认证成功,则将用户的权限信息以认证响应包发送给设备端;如果认证失败,则返回拒绝响应包;
步骤6、设备端根据接收到的认证结果接入或拒绝用户终端接入;如果可以接入,则设备端向远端拨接认证服务器发送上线开始请求包;
步骤7、远端拨接认证服务器返回上线开始响应包,同时记录上线起始时间;
步骤8、用户开始访问网络资源。
2.如权利要求1所述的方法,其特征在于:还包括,
步骤9、设备端向远端拨接认证服务器发送上线停止请求包;
步骤10、远端拨接认证服务器返回上线结束响应包,同时记录上线结束时间;
步骤11、用户访问资源结束。
3.如权利要求1所述的方法,其特征在于:所述设备端为交换机或无线控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010553593.6A CN102480460B (zh) | 2010-11-22 | 2010-11-22 | 实现交换设备端口级接入认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010553593.6A CN102480460B (zh) | 2010-11-22 | 2010-11-22 | 实现交换设备端口级接入认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102480460A CN102480460A (zh) | 2012-05-30 |
| CN102480460B true CN102480460B (zh) | 2016-08-31 |
Family
ID=46092942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010553593.6A Active CN102480460B (zh) | 2010-11-22 | 2010-11-22 | 实现交换设备端口级接入认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102480460B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592095B (zh) * | 2015-12-31 | 2018-09-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1419363A (zh) * | 2002-11-26 | 2003-05-21 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
| CN101478409A (zh) * | 2009-02-09 | 2009-07-08 | 中兴通讯股份有限公司 | 计费控制方法和宽带接入服务器 |
-
2010
- 2010-11-22 CN CN201010553593.6A patent/CN102480460B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1419363A (zh) * | 2002-11-26 | 2003-05-21 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
| CN101478409A (zh) * | 2009-02-09 | 2009-07-08 | 中兴通讯股份有限公司 | 计费控制方法和宽带接入服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102480460A (zh) | 2012-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100405796C (zh) | IPv6接入网真实源地址访问的准入控制方法 | |
| CN106851632A (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN105101206A (zh) | 一种设备的wifi自动接入方法及系统 | |
| CN104104516A (zh) | 一种Portal认证方法和设备 | |
| CN101287017A (zh) | 主动式ip地址分配方法及系统 | |
| CN104883402A (zh) | 一种信息处理方法及云端服务平台 | |
| CN106656547A (zh) | 一种更新家电设备网络配置的方法和装置 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN103368780B (zh) | 一种业务控制方法和设备 | |
| CN112910854B (zh) | 物联网安全运维的方法、装置、终端设备和存储介质 | |
| CN105050086A (zh) | 一种终端登录Wifi热点的方法 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN105516395A (zh) | 网络地址分配方法和装置 | |
| CN106209905A (zh) | 一种网络安全管理方法和装置 | |
| CN100555960C (zh) | 一种鉴权授权计费服务器的测试装置和测试方法 | |
| CN102480460B (zh) | 实现交换设备端口级接入认证的方法 | |
| CN106302400A (zh) | 访问请求的处理方法及装置 | |
| CN108900480A (zh) | 客户端认证管理方法及装置 | |
| CN110430207B (zh) | 一种智能电网多点远程跨网交互协同认证方法 | |
| CN201657327U (zh) | 一种移动设备与安全接入网关间密钥交换协商系统 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN101515874B (zh) | 网络服务器的访问控制方法及控制系统 | |
| CN201199702Y (zh) | 主动式ip地址分配装置 | |
| CN104052753B (zh) | 一种认证方法和设备 | |
| CN102710422B (zh) | 一种避免认证阻塞的节点认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |