CN102761869B - 一种802.1x认证方法和设备 - Google Patents
一种802.1x认证方法和设备 Download PDFInfo
- Publication number
- CN102761869B CN102761869B CN201210211979.8A CN201210211979A CN102761869B CN 102761869 B CN102761869 B CN 102761869B CN 201210211979 A CN201210211979 A CN 201210211979A CN 102761869 B CN102761869 B CN 102761869B
- Authority
- CN
- China
- Prior art keywords
- message
- eapol
- equipment
- client
- bas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种802.1X认证方法和设备,该方法包括:AC设备接收AP设备转发的来自客户端的EAPOL报文;如果所述EAPOL报文不是EAPOL-KEY报文,则所述AC设备在确定所述EAPOL报文的目的地址为组播地址后,将所述EAPOL报文发送给所述BAS;如果所述EAPOL报文是EAPOL-KEY报文,则所述AC设备利用所述EAPOL-KEY报文生成密钥信息,并将所述密钥信息发送给所述AP设备。本发明中,可简化认证服务器的配置。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种802.1X认证方法和设备。
背景技术
随着无线网络技术的发展,无线网络的使用范围逐渐扩大,且安全问题日益严重,为了解决无线局域网的网络安全问题,提出了802.1X协议,802.1X协议作为局域网端口的接入控制机制在以太网中被广泛应用,其用于解决以太网内认证和安全方面的问题;802.1X协议是一种基于端口的网络接入控制协议,且基于端口的网络接入控制是指:在局域网接入设备的端口对所接入的客户端进行认证和控制,如果连接在端口上的客户端能通过认证,则可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
现有技术中,由于AP(Access Point,接入点)设备太多,不易进行控制,因此目前大多采用FitAP(瘦AP)+AC(Access Point,接入控制器)设备的组网架构,如图1所示,为FitAP+AC设备的网络架构示意图,在该网络架构下,多个AC设备均需要对其相应的客户端进行802.1X认证,且在进行802.1X认证的过程中,各AC设备均需要与认证服务器进行交会。
但是,认证服务器为了实现与各AC设备的交互过程,需要配置各AC设备的相关信息(如IP地址等),且由于各AC设备都有各自的IP地址,因此在认证服务器上的配置很复杂。
发明内容
本发明提供一种802.1X认证方法和设备,以简化认证服务器的配置。
为了达到上述目的,本发明提供一种802.1X认证方法,应用于包括客户端、接入点AP设备、接入控制器AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,该方法包括以下步骤:
所述AC设备接收所述AP设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL报文,且所述EAPOL报文的目的地址被所述AP设备修改为组播地址;
如果所述EAPOL报文不是EAPOL-密钥KEY报文,则所述AC设备在确定所述EAPOL报文的目的地址为组播地址后,将所述EAPOL报文发送给所述BAS,由所述BAS在所述认证服务器上对所述客户端进行802.1X认证;
如果所述EAPOL报文是EAPOL-KEY报文,则所述AC设备利用所述EAPOL-KEY报文生成密钥信息,并将所述密钥信息发送给所述AP设备。
所述AC设备上使能有认证和加密分离功能,且使能所述认证和加密分离功能表示:所述AC设备需要自身处理EAPOL-KEY报文,并且需要将EAPOL-KEY报文之外的其他EAPOL报文发送给所述BAS进行处理。
所述AC设备利用所述EAPOL-KEY报文生成密钥信息,具体包括:
在所述客户端进行802.1X认证成功时,所述AC设备接收所述BAS通知的所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息;
所述AC设备利用所述EAPOL-KEY报文以及所述加密密钥的属性信息生成密钥信息。
本发明提供一种802.1X认证方法,应用于包括客户端、接入点AP设备、接入控制器AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,该方法包括以下步骤:
所述BAS接收所述AC设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL-开始Start报文,并通过所述AC设备向所述客户端发送用于触发所述客户端进行认证的EAPOL-请求Request报文;
所述BAS接收所述AC设备转发的来自所述客户端的EAPOL-响应Response报文,且所述EAPOL-Response报文中携带所述客户端的认证信息;
所述BAS向所述认证服务器发送携带所述客户端的认证信息的认证请求报文,由所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证。
所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证,之后还包括:
在所述客户端进行802.1X认证成功时,所述BAS接收来自所述认证服务器的接受Accept报文,且所述Accept报文中携带加密密钥的属性信息;
所述BAS通过所述AC设备向所述客户端发送用于通知802.1X认证成功的EAPOL-成功Success报文,并向所述AC设备发送用于通知所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息。
本发明提供一种接入控制器AC设备,应用于包括客户端、接入点AP设备、所述AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,该AC设备包括:
接收模块,用于接收所述AP设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL报文,且所述EAPOL报文的目的地址被所述AP设备修改为组播地址;
发送模块,用于当所述EAPOL报文不是EAPOL-密钥KEY报文时,在确定所述EAPOL报文的目的地址为组播地址后,将所述EAPOL报文发送给所述BAS,由所述BAS在所述认证服务器上对所述客户端进行802.1X认证;
处理模块,用于当所述EAPOL报文是EAPOL-KEY报文时,则利用所述EAPOL-KEY报文生成密钥信息,并将所述密钥信息发送给所述AP设备。
所述AC设备上使能有认证和加密分离功能,且使能所述认证和加密分离功能表示:所述AC设备需要自身处理EAPOL-KEY报文,并且需要将EAPOL-KEY报文之外的其他EAPOL报文发送给所述BAS进行处理。
所述接收模块,还用于在所述客户端进行802.1X认证成功时,接收所述BAS通知的所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息;
所述处理模块,具体用于利用所述EAPOL-KEY报文以及所述加密密钥的属性信息生成密钥信息。
本发明提供一种宽带接入服务器BAS,应用于包括客户端、接入点AP设备、接入控制器AC设备、所述BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,该BAS包括:
第一接收模块,用于接收所述AC设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL-开始Start报文;
第一发送模块,用于通过所述AC设备向所述客户端发送用于触发所述客户端进行认证的EAPOL-请求Request报文;
第二接收模块,用于接收所述AC设备转发的来自所述客户端的EAPOL-响应Response报文,且所述EAPOL-Response报文中携带所述客户端的认证信息;
第二发送模块,用于向所述认证服务器发送携带所述客户端的认证信息的认证请求报文,由所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证。
还包括:第三接收模块,用于在所述客户端进行802.1X认证成功时,接收来自所述认证服务器的接受Accept报文,且所述Accept报文中携带加密密钥的属性信息;
第三发送模块,用于通过所述AC设备向所述客户端发送用于通知802.1X认证成功的EAPOL-成功Success报文,并向所述AC设备发送用于通知所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息。
与现有技术相比,本发明至少具有以下优点:本发明中,通过将802.1X认证过程与802.1X加密过程进行分离,在BAS(Broadband Access Server,宽带接入服务器)上执行802.1X认证过程,并在AC设备上执行802.1X加密过程,使得不需要在认证服务器上配置各AC设备的地址,只需要配置该BAS的地址即可,从而简化认证服务器的配置。
附图说明
图1是现有技术中FitAP+AC设备的网络架构示意图;
图2是本发明提出的一种802.1X认证方法流程图;
图3是本发明提出的一种AC设备的结构示意图;
图4是本发明提出的一种BAS的结构示意图。
具体实施方式
现有技术中,需要在AC设备上进行802.1X认证过程与802.1X加密过程;当在AC设备上配置802.1X认证时,会下发未知源MAC(Media AccessControl,介质访问控制)地址丢弃和802.1X协议报文上送CPU(CentralProcessing Unit,中央处理单元)规则,因此当客户端未认证通过时,只有802.1X协议报文会上送CPU处理,其他报文都会被丢弃;当客户端认证成功后,AC设备会下发MAC转发表项,当后续收到报文时,检查MAC转发表项是否存在,如果已经存在,则正常转发报文。
但是上述过程中,需要在AC设备上进行802.1X认证,且认证服务器需要配置各AC设备的相关信息,导致认证服务器上的配置很复杂。
针对上述问题,本发明提出一种802.1X认证方法,以图1为本发明的应用场景示意图,则该方法可以应用于包括客户端、AP设备、AC设备、BAS以及认证服务器的系统中,且该方法通过将802.1X认证过程与802.1X加密过程进行分离,在BAS上执行802.1X认证过程,并在AC设备上执行802.1X加密过程,从而简化认证服务器的配置。
为了实现上述802.1X认证过程与802.1X加密过程分离的功能,则:
(1)需要保证AC设备和BAS之间能够建立SOCKET(套接字)连接,以方便AC设备与BAS之间的通信。
(2)需要在BAS上配置802.1X认证功能,且在配置802.1X认证功能后,BAS上会下发未知源MAC地址丢弃和802.1X协议报文上送CPU规则,因此当客户端未认证通过时,只有802.1X协议报文会上送CPU处理,其他报文都会被丢弃;当客户端认证成功后,AC设备会下发MAC转发表项,当后续收到报文时,检查MAC转发表项是否存在,如果已经存在,则正常转发报文。
(3)需要在AC设备上使能认证和加密分离功能,且使能认证和加密分离功能表示:AC设备需要自身处理EAPOL(EXtensible Authentication Protocolover LAN,局域网上的可扩展认证协议)-KEY(密钥)报文,并且需要将EAPOL-KEY报文之外的其他EAPOL报文(如EAPOL-Start(开始)报文、或EAPOL-Response(响应)报文等)发送给BAS进行处理。
基于上述配置情况,如图2所示,该802.1X认证方法包括以下步骤:
步骤201,客户端向AP设备发送EAPOL-Start报文,且AP设备在收到EAPOL-Start报文后,将EAPOL-Start报文的目的地址修改为组播地址,并将修改后的EAPOL-Start报文发送给AC设备。
具体的,客户端首先会在AC设备上建立802.11连接,并且在连接建立成功之后,客户端需要发起802.1X认证过程,即客户端首先向AP设备发送EAPOL-Start报文,且AP设备在接收到基于802.1X协议的EAPOL-Start报文后,需要将EAPOL-Start报文的目的地址修改为组播地址,如修改为组播地址(01-80-c2-00-00-03),使得在将修改后的EAPOL-Start报文发送给AC设备之后,AC设备可以基于组播地址继续转发该EAPOL-Start报文。
步骤202,AC设备在接收到EAPOL-Start报文之后,将该EAPOL-Start报文发送给BAS。
本发明中,由于在AC设备上使能了认证和加密分离功能,因此在接收到EAPOL-Start报文之后,可以判断出该EAPOL-Start报文不是EAPOL-KEY报文,因此AC设备在确定EAPOL-Start报文的目的地址为组播地址之后,需要将该EAPOL-Start报文发送给BAS。
步骤203,BAS在接收到EAPOL-Start报文后,向AC设备发送EAPOL-Request(请求)报文,且该EAPOL-Request报文用于触发客户端进行认证。
步骤204,AC设备在接收到EAPOL-Request报文后,将该EAPOL-Request报文发送给AP设备,并由AP设备将该EAPOL-Request报文发送给客户端。
步骤205,客户端在接收到EAPOL-Request报文后,向AP设备发送EAPOL-Response报文,且该EAPOL-Response报文中携带客户端的认证信息(如客户端的用户名以及密码等信息)。
步骤206,AP设备在接收到EAPOL-Response报文后,将EAPOL-Response报文的目的地址修改为组播地址,并将修改后的EAPOL-Response报文发送给AC设备。其中,将目的地址修改为组播地址的原因在于:使得在将修改后的EAPOL-Response报文发送给AC设备之后,AC设备可以基于组播地址继续转发该EAPOL-Response报文。
步骤207,AC设备在接收到EAPOL-Response报文后,将EAPOL-Response报文发送给BAS。
本发明中,由于在AC设备上使能了认证和加密分离功能,因此在接收到EAPOL-Response报文之后,可以判断出该EAPOL-Response报文不是EAPOL-KEY报文,因此AC设备在确定EAPOL-Response报文的目的地址为组播地址之后,需要将该EAPOL-Response报文发送给BAS。
需要注意的是,在实际应用中,上述EAPOL-Request报文的发送过程以及EAPOL-Response报文的发送过程可以执行多次,且每次发送过程均可以按照上述步骤204-步骤207的流程进行处理,对于多次发送的EAPOL-Request报文和EAPOL-Response报文中携带的信息以及其相关功能,与现有技术中相同,对此本发明中不再详加说明。
步骤208,BAS在接收到EAPOL-Response报文后,向认证服务器发送认证请求报文,且该认证请求报文中携带了客户端的认证信息,由认证服务器利用客户端的认证信息对客户端进行802.1X认证。
需要注意的是,上述过程为由BAS发起的802.1X认证过程,且由于BAS与认证服务器进行交互,实现对客户端的802.1X认证过程,因此不需要在认证服务器上配置各AC设备的地址,从而简化认证服务器的配置。
进一步的,在客户端进行802.1X认证成功时,还可以包括如下的802.1X加密过程:
步骤209,BAS接收来自认证服务器的Accept(接受)报文,且该Accept报文中携带加密密钥的属性信息。其中,该加密密钥的属性信息可以为:MS-MPPE-Send-Key和MS-MPPE-Recv-Key等两个属性。
步骤210,BAS向AC设备发送用于通知客户端认证成功的消息,且该消息中携带加密密钥的属性信息。
需要注意的是,在客户端进行802.1X认证成功时,该BAS还需要向AC设备发送用于通知802.1X认证成功的EAPOL-Success(成功)报文,由AC设备将该EAPOL-Success报文发送给AP设备,并由AP设备将该EAPOL-Success报文发送给客户端,且客户端在接收到该EAPOL-Success报文之后,可以获知自身802.1X认证成功。
步骤211,AC设备在接收到BAS通知的客户端认证成功的消息后,从该消息中获得并保存加密密钥的属性信息,并通过AP设备向客户端发送EAPOL-KEY报文,开始和客户端进行四次握手协商过程。
进一步的,在四次握手协商过程中,当客户端接收到EAPOL-KEY报文之后,需要通过AP设备向AC设备发送EAPOL-KEY报文。
步骤212,AC设备在接收到EAPOL-KEY报文后,利用EAPOL-KEY报文生成密钥信息,并将密钥信息发送给AP设备。
本发明中,由于在AC设备上使能了认证和加密分离功能,因此在接收到EAPOL-Key报文之后,可以判断出该EAPOL-KEY报文是自身需要处理的EAPOL-KEY报文,因此AC设备自身可以直接利用EAPOL-KEY报文生成密钥信息;具体的,AC设备可以利用之前保存的加密密钥的属性信息以及该EAPOL-KEY报文生成密钥信息,且AC设备会与客户端生成相同的密钥信息,其具体生成过程本发明中不再详加赘述。
进一步的,AC设备在将密钥信息发送给AP设备之后,AP设备可以利用该密钥信息来加解密该客户端的后续数据报文,以达到传输的安全性。
基于与上述方法同样的发明构思,本发明还提出了一种接入控制器AC设备,应用于包括客户端、接入点AP设备、所述AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,如图3所示,该AC设备包括:
接收模块11,用于接收所述AP设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL报文,且所述EAPOL报文的目的地址被所述AP设备修改为组播地址;
发送模块12,用于当所述EAPOL报文不是EAPOL-密钥KEY报文时,在确定所述EAPOL报文的目的地址为组播地址后,将所述EAPOL报文发送给所述BAS,由所述BAS在所述认证服务器上对所述客户端进行802.1X认证;
处理模块13,用于当所述EAPOL报文是EAPOL-KEY报文时,则利用所述EAPOL-KEY报文生成密钥信息,并将所述密钥信息发送给所述AP设备。
所述AC设备上使能有认证和加密分离功能,且使能所述认证和加密分离功能表示:所述AC设备需要自身处理EAPOL-KEY报文,并且需要将EAPOL-KEY报文之外的其他EAPOL报文发送给所述BAS进行处理。
所述接收模块11,还用于在所述客户端进行802.1X认证成功时,接收所述BAS通知的所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息;所述处理模块13,具体用于利用所述EAPOL-KEY报文以及所述加密密钥的属性信息生成密钥信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明还提出了一种宽带接入服务器BAS,应用于包括客户端、接入点AP设备、接入控制器AC设备、所述BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,如图4所示,该BAS包括:
第一接收模块21,用于接收所述AC设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL-开始Start报文;
第一发送模块22,用于通过所述AC设备向所述客户端发送用于触发所述客户端进行认证的EAPOL-请求Request报文;
第二接收模块23,用于接收所述AC设备转发的来自所述客户端的EAPOL-响应Response报文,且所述EAPOL-Response报文中携带所述客户端的认证信息;
第二发送模块24,用于向所述认证服务器发送携带所述客户端的认证信息的认证请求报文,由所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证。
该BAS还包括:第三接收模块25,用于在所述客户端进行802.1X认证成功时,接收来自所述认证服务器的接受Accept报文,且所述Accept报文中携带加密密钥的属性信息;
第三发送模块26,用于通过所述AC设备向所述客户端发送用于通知802.1X认证成功的EAPOL-成功Success报文,并向所述AC设备发送用于通知所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种802.1X认证方法,应用于包括客户端、接入点AP设备、接入控制器AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,其特征在于,该方法包括以下步骤:
所述AC设备接收所述AP设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL报文,且所述EAPOL报文的目的地址被所述AP设备修改为组播地址;
如果所述EAPOL报文不是EAPOL-密钥KEY报文,则所述AC设备在确定所述EAPOL报文的目的地址为组播地址后,将所述EAPOL报文发送给所述BAS,由所述BAS在所述认证服务器上对所述客户端进行802.1X认证;
如果所述EAPOL报文是EAPOL-KEY报文,则所述AC设备利用所述EAPOL-KEY报文生成密钥信息,并将所述密钥信息发送给所述AP设备。
2.如权利要求1所述的方法,其特征在于,所述AC设备上使能有认证和加密分离功能,且使能所述认证和加密分离功能表示:所述AC设备需要自身处理EAPOL-KEY报文,并且需要将EAPOL-KEY报文之外的其他EAPOL报文发送给所述BAS进行处理。
3.如权利要求1所述的方法,其特征在于,所述AC设备利用所述EAPOL-KEY报文生成密钥信息,具体包括:
在所述客户端进行802.1X认证成功时,所述AC设备接收所述BAS通知的所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息;
所述AC设备利用所述EAPOL-KEY报文以及所述加密密钥的属性信息生成密钥信息。
4.一种802.1X认证方法,应用于包括客户端、接入点AP设备、接入控制器AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,其特征在于,该方法包括以下步骤:
所述BAS接收所述AC设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL-开始Start报文,并通过所述AC设备向所述客户端发送用于触发所述客户端进行认证的EAPOL-请求Request报文;
所述BAS接收所述AC设备转发的来自所述客户端的EAPOL-响应Response报文,且所述EAPOL-Response报文中携带所述客户端的认证信息;
所述BAS向所述认证服务器发送携带所述客户端的认证信息的认证请求报文,由所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证。
5.如权利要求4所述的方法,其特征在于,所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证,之后还包括:
在所述客户端进行802.1X认证成功时,所述BAS接收来自所述认证服务器的接受Accept报文,且所述Accept报文中携带加密密钥的属性信息;
所述BAS通过所述AC设备向所述客户端发送用于通知802.1X认证成功的EAPOL-成功Success报文,并向所述AC设备发送用于通知所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息。
6.一种接入控制器AC设备,应用于包括客户端、接入点AP设备、所述AC设备、宽带接入服务器BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,其特征在于,该AC设备包括:
接收模块,用于接收所述AP设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL报文,且所述EAPOL报文的目的地址被所述AP设备修改为组播地址;
发送模块,用于当所述EAPOL报文不是EAPOL-密钥KEY报文时,在确定所述EAPOL报文的目的地址为组播地址后,将所述EAPOL报文发送给所述BAS,由所述BAS在所述认证服务器上对所述客户端进行802.1X认证;
处理模块,用于当所述EAPOL报文是EAPOL-KEY报文时,则利用所述EAPOL-KEY报文生成密钥信息,并将所述密钥信息发送给所述AP设备。
7.如权利要求6所述的AC设备,其特征在于,所述AC设备上使能有认证和加密分离功能,且使能所述认证和加密分离功能表示:所述AC设备需要自身处理EAPOL-KEY报文,并且需要将EAPOL-KEY报文之外的其他EAPOL报文发送给所述BAS进行处理。
8.如权利要求6所述的AC设备,其特征在于,
所述接收模块,还用于在所述客户端进行802.1X认证成功时,接收所述BAS通知的所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息;
所述处理模块,具体用于利用所述EAPOL-KEY报文以及所述加密密钥的属性信息生成密钥信息。
9.一种宽带接入服务器BAS,应用于包括客户端、接入点AP设备、接入控制器AC设备、所述BAS以及认证服务器的系统中,在所述客户端发起802.1X认证时,其特征在于,该BAS包括:
第一接收模块,用于接收所述AC设备转发的来自所述客户端的局域网上的可扩展认证协议EAPOL-开始Start报文;
第一发送模块,用于通过所述AC设备向所述客户端发送用于触发所述客户端进行认证的EAPOL-请求Request报文;
第二接收模块,用于接收所述AC设备转发的来自所述客户端的EAPOL-响应Response报文,且所述EAPOL-Response报文中携带所述客户端的认证信息;
第二发送模块,用于向所述认证服务器发送携带所述客户端的认证信息的认证请求报文,由所述认证服务器利用所述客户端的认证信息对所述客户端进行802.1X认证。
10.如权利要求9所述的BAS,其特征在于,还包括:
第三接收模块,用于在所述客户端进行802.1X认证成功时,接收来自所述认证服务器的接受Accept报文,且所述Accept报文中携带加密密钥的属性信息;
第三发送模块,用于通过所述AC设备向所述客户端发送用于通知802.1X认证成功的EAPOL-成功Success报文,并向所述AC设备发送用于通知所述客户端认证成功的消息,且所述消息中携带加密密钥的属性信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210211979.8A CN102761869B (zh) | 2012-06-26 | 2012-06-26 | 一种802.1x认证方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210211979.8A CN102761869B (zh) | 2012-06-26 | 2012-06-26 | 一种802.1x认证方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102761869A CN102761869A (zh) | 2012-10-31 |
| CN102761869B true CN102761869B (zh) | 2015-04-15 |
Family
ID=47056157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210211979.8A Active CN102761869B (zh) | 2012-06-26 | 2012-06-26 | 一种802.1x认证方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102761869B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139770B (zh) * | 2013-01-30 | 2015-12-23 | 中兴通讯股份有限公司 | Wlan接入网络中传递成对主密钥的方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136746A (zh) * | 2006-08-31 | 2008-03-05 | 华为技术有限公司 | 一种认证方法及系统 |
| CN101478554A (zh) * | 2009-02-13 | 2009-07-08 | 北京星网锐捷网络技术有限公司 | 802.1x认证方法、装置、系统、客户端和网络设备 |
| CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1214597C (zh) * | 2002-03-26 | 2005-08-10 | 华为技术有限公司 | 基于802.1x协议的网络接入设备与客户端握手的实现方法 |
-
2012
- 2012-06-26 CN CN201210211979.8A patent/CN102761869B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136746A (zh) * | 2006-08-31 | 2008-03-05 | 华为技术有限公司 | 一种认证方法及系统 |
| CN101478554A (zh) * | 2009-02-13 | 2009-07-08 | 北京星网锐捷网络技术有限公司 | 802.1x认证方法、装置、系统、客户端和网络设备 |
| CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102761869A (zh) | 2012-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9769732B2 (en) | Wireless network connection establishment method and terminal device | |
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| US11864263B2 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
| CA2874317C (en) | Communication session transfer between devices | |
| US9204301B2 (en) | Deploying wireless docking as a service | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| US20160269176A1 (en) | Key Configuration Method, System, and Apparatus | |
| US10305684B2 (en) | Secure connection method for network device, related apparatus, and system | |
| CN107567017B (zh) | 无线连接系统、装置及方法 | |
| WO2016150327A1 (zh) | 终端的远程协助方法及装置、系统 | |
| EP3794852B1 (en) | Secure methods and systems for identifying bluetooth connected devices with installed application | |
| CN103988480A (zh) | 用于认证的系统和方法 | |
| WO2020107486A1 (zh) | 一种数据传输方法、设备、终端、服务器及存储介质 | |
| CN102761940B (zh) | 一种802.1x认证方法和设备 | |
| WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
| CN110602693B (zh) | 无线网络的组网方法和设备 | |
| TWI641271B (zh) | 一種存取認證方法、ue和存取設備 | |
| CN102761869B (zh) | 一种802.1x认证方法和设备 | |
| KR101785382B1 (ko) | 클라이언트 인증 방법, 클라이언트의 동작 방법, 서버, 및 통신 소프트웨어 | |
| US20240073693A1 (en) | Secure sniffing of wireless connections with forward secrecy | |
| WO2016045307A1 (zh) | Ike认证方法、ike发起终端、ike响应终端及ike认证系统 | |
| CN108901023B (zh) | 一种在物联网设备之间共享WiFi的方法及系统 | |
| CN116939609A (zh) | 一种无线网络的接入认证方法及相关装置 | |
| WO2019001509A1 (zh) | 一种网络鉴权方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |