CN105592095A - 一种网络接入认证方法及接入认证设备 - Google Patents
一种网络接入认证方法及接入认证设备 Download PDFInfo
- Publication number
- CN105592095A CN105592095A CN201511028661.6A CN201511028661A CN105592095A CN 105592095 A CN105592095 A CN 105592095A CN 201511028661 A CN201511028661 A CN 201511028661A CN 105592095 A CN105592095 A CN 105592095A
- Authority
- CN
- China
- Prior art keywords
- authentication
- port
- access
- logic
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种网络接入认证方法及接入认证设备,涉及通信领域,用于支持单用户联动控制的场景,且不会增加网络建设成本,灵活性较高。包括:接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示逻辑认证组包括的每一个端口关闭MAC地址学习能力;接收通过逻辑认证组的主端口发送的认证报文,并将认证报文按照802.1x认证标准流程发送至认证服务器,以便进行接入认证;经过标准认证流程交互后,接收认证服务器发送认证成功报文;认证成功报文指示所述主端口通过了认证;将逻辑认证组的认证状态设置为认证通过状态,指示逻辑认证组包括的每一个端口进行MAC地址学习,允许逻辑认证组包括的每一个端口通过接入认证设备接入网络。
Description
技术领域
本发明涉及通信领域,尤其涉及一种网络接入认证方法及接入认证设备。
背景技术
交换机作为网络环境中最靠近接入终端的网络设备,对其进行安全接入控制尤为重要。802.1x认证技术就是由此产生的一种安全接入控制技术。
当前802.1x认证技术主要是基于端口的认证或者基于MAC(MediaAccessControl,介质访问控制)用户的认证。其中,基于端口的认证方式是认证服务器判断端口认证通过后,该端口下接入的用户均能够通过该端口正常访问网络。基于MAC用户的认证方式是指一个端口下的每一个接入用户都需要单独发起认证请求,端口的通信能力只针对认证通过的用户开放。
以上两种接入认证方式中,端口最终能够允许整个端口下的用户或者某个用户访问网络。在单用户联动控制场景下,要求由某一个用户的认证状态来控制其他用户的通信能力,就必须外接一台交换机才能实现,此方法增加了网络建设成本和网络管理的复杂性,且一旦将某用户作为主要用户(控制其他用户的状态的用户),需重设主要用户时,必须改变交换机的连接架构,灵活性较差。
发明内容
本发明提供一种网络接入认证方法及接入认证设备,能够支持单用户联动控制场景,且不会增加网络建设成本,灵活性较高。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,公开了一种网络接入认证方法,包括:
接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭介质访问控制MAC地址学习能力;所述逻辑认证组包括的端口为所述接入认证设备包括的端口中的至少两个端口;
所述接入认证设备接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器,以便进行接入认证;
所述接入认证设备接收所述认证服务器发送的认证成功报文;所述认证成功报文指示所述主端口通过了认证;
所述接入认证设备将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。
结合第一方面,在第一方面的第一种可能的实现方式中,所述接入认证设备将逻辑认证组的认证状态设置为未认证状态之前,所述方法还包括:
所述接入认证设备将其包括的M个端口中的N个端口划分为所述逻辑认证组;所述M个端口为物理端口或逻辑端口,所述N大于等于2且小于等于所述M;
所述接入认证设备在所述N个端口中确定所述主端口。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述接入认证设备指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力具体包括:
所述接入认证设备检测到所述逻辑认证组的认证状态为未认证通过状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态,以便所述逻辑认证组包括的每一个端口根据所述终止状态确定关闭MAC地址学习能力。
结合第一方面或第一方面的第一或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述接入认证设备指示所述逻辑认证组包括的每一个端口进行MAC地址学习具体包括:
所述接入认证设备检测到所述逻辑认证组的认证状态为认证通过状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为转发状态,以便所述逻辑认证组包括的每一个端口根据所述转发状态确定进行MAC地址学习。
结合第一方面或第一方面的第一可能的实现方式,在第一方面的第四种可能的实现方式中,所述接入认证设备允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络之后,所述方法还包括:
若所述接入认证设备监测到所述主端口下线,则将所述逻辑认证组的认证状态设置为未认证状态,将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态。
第二方面,公开了一种接入认证设备,包括:
设置单元,用于接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭介质访问控制MAC地址学习能力;所述逻辑认证组包括的端口为所述接入认证设备包括的端口中的至少两个端口;
接收单元,用于接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器进行接入认证;
发送单元,用于将所述接收单元接收的所述认证报文发送至认证服务器,以便进行接入认证;
所述接收单元还用于,接收所述认证服务器发送的认证成功报文;
所述设置单元还用于,将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习;
权限设置单元,用于在所述允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。
结合第二方面,在第二方面的第一种可能的实现方式中,还包括划分单元、确定单元;
所述划分单元用于,在所述设置单元将逻辑认证组的认证状态设置为未认证状态之前,将其包括的M个端口中的N个端口划分为所述逻辑认证组;所述M个端口为物理端口或逻辑端口,所述N大于等于2且小于等于所述M;
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述设置单元具体用于,检测到所述逻辑认证组的认证状态为未认证状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态,以便所述逻辑认证组包括的每一个端口根据所述终止状态确定关闭MAC地址学习能力。
结合第二方面或第二方面的第一或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,其特征在于,所述设置单元具体用于,检测到所述逻辑认证组的认证状态为认证通过状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为转发状态,以便所述逻辑认证组包括的每一个端口根据所述转发状态确定进行MAC地址学习。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第四种可能的实现方式中,所述设置单元还用于,在权限设置单元允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络之后,若监测到所述主端口下线,则将所述逻辑认证组的认证状态设置为未认证状态,将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态。
本发明实施例提供的网络接入认证方法及接入认证设备,将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力;接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器,以便进行接入认证;接收所述认证服务器发送的认证成功报文;将所述逻辑认证组的认证状态设置为认证状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。现有技术要求由某一个用户的认证状态来控制其他用户的通信能力时,必须外接一台交换机才能实现,增加了网络建设成本和网络管理的复杂性,且灵活性较差。本发明提供的方法,无需增加设备就可实现由某一个用户的认证状态来控制其他用户的通信能力,节省了网络建设成。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种网络架构图;
图2为本发明实施例提供的另外一种网络架构图;
图3为本发明实施例1提供的网络接入认证方法的流程示意图;
图4为本发明实施例2提供的接入认证设备的结构框图;
图5为本发明实施例2提供的接入认证设备的另一结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,是本发明的一种网络架构图,包括上层交换机、接入交换机以及与接入交换机连接的用户设备。示例的,交机A下接入了多个接入交换机,且每个接入交换机通过交换机A(上层交换机)的一个端口接入网络。交换机B(接入交换机)连接在交换机A的端口C下,且交换机B下接入了多个用户设备。
通常,本发明适合例的网络架构中可以基于端口或用户进行接入认证。具体地,参考图1,基于端口进行认证:为交换机A的每一个端口分配认证信息以供进行接入认证。示例的,若交换机A的端口C通过认证,则交换机B下接入的每一个用户设备均可以通过交换机A的端口C访问网络。基于用户的认证:交换机A记录了交换机B下接入的每一个用户设备的标识信息,当交换机B下的任一个用户设备发起认证时,交换机接收其认证请求,对其进行认证。认证通过后允许该用户设备通过交换机A的端口C访问网络,交换机B接入的其他未认证用户设备或认证未通过的用户设备均不能通过交换机A的端口C访问网络。
对于在单用户联动控制场景下,要求由某一个用户的认证状态来控制其他用户的通信能力,就必须外接一台交换机(或hub)才能实现。示例的,如图1所示,当要求用户1控制用户2~4的通信能力时,就必须将用户1接入在交换机A下。或者,在图2所示的另外一种网络架构中,必须给交换机A外接一个交换机,使得用户1接入交换机A,用户2~4接入外接的交换机。这样,增加了网络建设成本和网络管理的复杂性。
本发明的原理在于:将接入认证设备(如:交换机)划分为若干个逻辑认证组,在每个逻辑认证组中设置一个主端口,该主端口进行802.1x认证,逻辑认证组包括的其他端口与主端口的状态一致,进而在不改变网络架构的前提下实现了单用户联动控制,由主端口控制逻辑认证组的其他端口的通信能力。
实施例1:
本发明实施例提供一种网络接入认证方法,如图3所示,所述方法包括以下步骤:
101、接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力。
通常,接入认证设备(可以是交换机)通过学习MAC地址进行报文转发。示例的,参考图1,用户1向交换机B发送报文,交换机B解析报文学习到用户1的MAC地址。接着,交换机B会向邻居节点(用户2~4)广播用户1的MAC地址。这样用户2就获知了用户1的MAC地址,当用户2需要向用户1发送报文时,会将用户1的MAC地址携带在报文中发送给交换机B,交换机B解析报文根据其中的用户1的MAC地址将用户2的报文转发给用户1。对于无法查找目的MAC地址的报文将被再次在一个广播域内广播。
在交换机的端口未通过认证(即不能通过端口访问网络)时,端口应该暂停报文转发。因此,通过设置逻辑认证组的认证状态,指示所述逻辑认证组包括的每一个端口关闭介质访问控制MAC地址学习能力。实际上,就是指示各个端口不再进行报文转发。
另外,所述逻辑认证组包括的端口为所述接入认证设备包括的端口中的至少两个端口。示例的,所述接入认证设备将其包括的M个端口中的N个端口划分为所述逻辑认证组;所述M个端口为物理端口或逻辑端口,所述N大于等于2且小于等于所述M。也就是说一个接入认证设备可以划分为一个或者若干个逻辑认证组,在此不作限定。
102、所述接入认证设备接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器,以便进行接入认证。
具体的认证过程与802.1x的认证过程相同,接入认证设备将主端口发送的认证报文转发至认证服务器(AAA服务器),认证服务器验证认证用户名和密码是否正确。若正确则判断该主端口认证通过,则接入认证设备打开该端口的通信能力,用户即能够通过该端口进行正常网络访问。如果主端口认证失败,则端口通信状态保持为关闭状态,仍然无法转发报文。
103、所述接入认证设备接收所述认证服务器发送的认证成功报文;所述认证成功报文指示所述主端口通过了认证。
具体实现中,即认证服务器确定认证报文携带的认证用户名和密码均正确。
104、所述接入认证设备将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。
在端口被认证通过后,端口可以恢复报文转发。因此,通过设置逻辑认证组的认证状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,恢复报文转发。
本发明实施例提供的网络接入认证方法,将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力;接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器,以便进行接入认证;接收所述认证服务器发送的认证成功报文;将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。现有技术要求由某一个用户的认证状态来控制其他用户的通信能力时,必须外接一台交换机才能实现,增加了网络建设成本和网络管理的复杂性,且灵活性较差。本发明提供的方法,无需增加设备就可实现由某一个用户的认证状态来控制其他用户的通信能力,节省了网络建设成。
在本发明的另一实施方式中,所述接入认证设备将逻辑认证组的认证状态设置为未认证状态之前,所述方法还包括:
所述接入认证设备将其包括的M个端口中的N个端口划分为所述逻辑认证组;
所述接入认证设备在所述N个端口中确定所述主端口。
具体实现中,可以根据单用户联动场景的具体需求设置主端口,示例的,可以将教室中老师的计算机对应的端口设置为主端口,通过本发明提供的方法,实现对学生的计算机的通信能力的控制。
在本发明的另一实施方式中,所述接入认证设备指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力具体包括:
所述接入认证设备检测到所述逻辑认证组的认证状态为未认证状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为终止(drop)状态,以便所述逻辑认证组包括的每一个端口根据所述终止状态确定关闭MAC地址学习能力。
在本发明的另一实施方式中,所述接入认证设备指示所述逻辑认证组包括的每一个端口进行MAC地址学习具体包括:
所述接入认证设备检测到所述逻辑认证组的认证状态为认证通过状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为转发(forwarding)状态,以便所述逻辑认证组包括的每一个端口根据所述转发状态确定进行MAC地址学习。
另外,所述接入认证设备允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络之后,所述方法还包括:
若所述接入认证设备监测到所述主端口下线,则将所述逻辑认证组的认证状态设置为未认证状态,将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态。也就是说,逻辑认证组中的每个端口的通信能力被主端口控制,当主端口下线,逻辑认证组中的其他端口也不能通过接入认证设备访问网络。
实施例2:
本发明实施例提供一种接入认证设备,如图4所示,所述接入认证设备包括:设置单元201、接收单元202、发送单元203以及权限设置单元204。
设置单元201,用于接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭介质访问控制MAC地址学习能力;所述逻辑认证组包括的端口为所述接入认证设备的端口中的至少两个端口。
接收单元202,用于接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器进行接入认证。
发送单元203,用于将所述接收单元接收的所述认证报文发送至认证服务器,以便进行接入认证。
所述接收单元202还用于,接收所述认证服务器发送的认证成功报文。
所述设置单元201还用于,将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习。
权限设置单元204,用于在所述允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。
需要说明的是,上述设置单元201、接收单元202、发送单元203以及权限设置单元204能够执行本发明实施例1中图3所示的方法步骤。
本发明实施例提供的接入认证设备,将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力;接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器,以便进行接入认证;接收所述认证服务器发送的认证成功报文;将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。现有技术要求由某一个用户的认证状态来控制其他用户的通信能力时,必须外接一台交换机才能实现,增加了网络建设成本和网络管理的复杂性,且灵活性较差。本发明提供的方法,无需增加设备就可实现由某一个用户的认证状态来控制其他用户的通信能力,节省了网络建设成。
如图5所示,所述接入认证设备还包括划分单元205、确定单元206;
所述划分单元205用于,在所述设置单元201将逻辑认证组的认证状态设置为未认证状态之前,将其包括的M个端口中的N个端口划分为所述逻辑认证组。
其中,所述M个端口为物理端口或逻辑端口,所述N大于等于2且小于等于所述M。
所述设置单元201具体用于,检测到所述逻辑认证组的认证状态为未认证状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态,以便所述逻辑认证组包括的每一个端口根据所述终止状态确定关闭MAC地址学习能力。
所述设置单元201具体用于,检测到所述逻辑认证组的认证状态为认证状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为转发状态,以便所述逻辑认证组包括的每一个端口根据所述转发状态确定进行MAC地址学习。
所述设置单元201还用于,在权限设置单元204允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络之后,若监测到所述主端口下线,则将所述逻辑认证组的认证状态设置为未认证状态,将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态。
需要说明的是,接收单元202可以是接入认证设备的接收器,发送单元203可以是接入认证设备的发射器,或者发射器与接收器集成在一起为收发器。设置单元201、权限设置单元204以及划分单元205、确定单元206可以集成在接入认证设备的一个处理器中实现,此外,也可以以程序代码的形式存储于接入认证设备的存储器中,由接入认证设备的处理器调用接入认证设备的存储器中存储的代码,执行以上设置单元201、权限设置单元204以及划分单元205、确定单元206的功能。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁盘或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络接入认证方法,其特征在于,包括:
接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭介质访问控制MAC地址学习能力;所述逻辑认证组包括的端口为所述接入认证设备的端口中的至少两个端口;
所述接入认证设备接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器,以便进行接入认证;
所述接入认证设备接收所述认证服务器发送的认证成功报文;所述认证成功报文指示所述主端口通过了认证;
所述接入认证设备将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习,允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。
2.根据权利要求1所述的方法,其特征在于,所述接入认证设备将逻辑认证组的认证状态设置为未认证状态之前,所述方法还包括:
所述接入认证设备将其包括的端口划分为至少一个逻辑认证组;每一个所述逻辑认证组加入至少两个端口,并指定其中一个端口为主端口;所述端口为物理端口或逻辑端口。
3.根据权利要求1或2所述的方法,其特征在于,所述接入认证设备指示所述逻辑认证组包括的每一个端口关闭MAC地址学习能力具体包括:
所述接入认证设备检测到所述逻辑认证组的认证状态为未认证状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态,以便所述逻辑认证组包括的每一个端口根据所述终止状态确定关闭MAC地址学习能力。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述接入认证设备指示所述逻辑认证组包括的每一个端口进行MAC地址学习具体包括:
所述接入认证设备检测到所述逻辑认证组的认证状态为认证通过状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为转发状态,以便所述逻辑认证组包括的每一个端口根据所述转发状态确定进行MAC地址学习。
5.根据权利要求1或2所述的方法,其特征在于,所述接入认证设备允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络之后,所述方法还包括:
若所述接入认证设备监测到所述主端口下线,则将所述逻辑认证组的认证状态设置为未认证状态,将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态。
6.一种接入认证设备,其特征在于,包括:
设置单元,用于接入认证设备将逻辑认证组的认证状态设置为未认证状态,指示所述逻辑认证组包括的每一个端口关闭介质访问控制MAC地址学习能力;所述逻辑认证组包括的端口为所述接入认证设备包括的端口中的至少两个端口;
接收单元,用于接收通过所述逻辑认证组的主端口发送的认证报文,并将所述认证报文发送至认证服务器进行接入认证;
发送单元,用于将所述接收单元接收的所述认证报文发送至认证服务器,以便进行接入认证;
所述接收单元还用于,接收所述认证服务器发送的认证成功报文;
所述设置单元还用于,将所述逻辑认证组的认证状态设置为认证通过状态,指示所述逻辑认证组包括的每一个端口进行MAC地址学习;
权限设置单元,用于在所述允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络。
7.根据权利要求6所述的接入认证设备,其特征在于,还包括划分单元、确定单元;
所述划分单元用于,在所述设置单元将逻辑认证组的认证状态设置为未认证状态之前,将其包括的端口划分为逻辑认证组;每一个所述逻辑认证组包括至少两个端口,并指定其中一个端口为主端口;所述端口为物理端口或逻辑端。
8.根据权利要求6或7所述的接入认证设备,其特征在于,所述设置单元具体用于,检测到所述逻辑认证组的认证状态为未认证状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态,以便所述逻辑认证组包括的每一个端口根据所述终止状态确定关闭MAC地址学习能力。
9.根据权利要求6-8任一项所述的接入认证设备,其特征在于,所述设置单元具体用于,检测到所述逻辑认证组的认证状态为认证通过状态,则将所述逻辑认证组包括的每一个端口的通信状态设置为转发状态,以便所述逻辑认证组包括的每一个端口根据所述转发状态确定进行MAC地址学习。
10.根据权利要求6或7所述的接入认证设备,其特征在于,
所述设置单元还用于,在权限设置单元允许所述逻辑认证组包括的每一个端口通过所述接入认证设备接入网络之后,若监测到所述主端口下线,则将所述逻辑认证组的认证状态设置为未认证状态,将所述逻辑认证组包括的每一个端口的通信状态设置为终止状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511028661.6A CN105592095B (zh) | 2015-12-31 | 2015-12-31 | 一种网络接入认证方法及接入认证设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511028661.6A CN105592095B (zh) | 2015-12-31 | 2015-12-31 | 一种网络接入认证方法及接入认证设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592095A true CN105592095A (zh) | 2016-05-18 |
| CN105592095B CN105592095B (zh) | 2018-09-18 |
Family
ID=55931309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511028661.6A Active CN105592095B (zh) | 2015-12-31 | 2015-12-31 | 一种网络接入认证方法及接入认证设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592095B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855604A (zh) * | 2019-09-26 | 2020-02-28 | 山东鲁能软件技术有限公司 | 一种获取端口挂载hub的方法、设备端及认证服务器 |
| CN114024756A (zh) * | 2021-11-09 | 2022-02-08 | 迈普通信技术股份有限公司 | 接入认证方法、装置、电子设备及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
| CN101087236A (zh) * | 2007-08-09 | 2007-12-12 | 杭州华三通信技术有限公司 | Vpn接入方法和设备 |
| CN102244863A (zh) * | 2010-05-13 | 2011-11-16 | 华为技术有限公司 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
| CN102480460A (zh) * | 2010-11-22 | 2012-05-30 | 上海宝信软件股份有限公司 | 实现交换设备端口级接入认证的方法 |
| US20120170448A1 (en) * | 2009-09-23 | 2012-07-05 | Zte Corporation | Method and Network System for Implementing User Port Orientation in Multi-Machine Backup Scenario of Broadband Remote Access Server |
| CN103457882A (zh) * | 2013-08-29 | 2013-12-18 | 国家电网公司 | 一种智能变电站中安全接入方法 |
-
2015
- 2015-12-31 CN CN201511028661.6A patent/CN105592095B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
| CN101087236A (zh) * | 2007-08-09 | 2007-12-12 | 杭州华三通信技术有限公司 | Vpn接入方法和设备 |
| US20120170448A1 (en) * | 2009-09-23 | 2012-07-05 | Zte Corporation | Method and Network System for Implementing User Port Orientation in Multi-Machine Backup Scenario of Broadband Remote Access Server |
| CN102244863A (zh) * | 2010-05-13 | 2011-11-16 | 华为技术有限公司 | 基于802.lx的接入认证方法、接入设备及汇聚设备 |
| CN102480460A (zh) * | 2010-11-22 | 2012-05-30 | 上海宝信软件股份有限公司 | 实现交换设备端口级接入认证的方法 |
| CN103457882A (zh) * | 2013-08-29 | 2013-12-18 | 国家电网公司 | 一种智能变电站中安全接入方法 |
Non-Patent Citations (1)
| Title |
|---|
| 秦刘,等: "802.1x协议研究及其安全性分析", 《计算机工程》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855604A (zh) * | 2019-09-26 | 2020-02-28 | 山东鲁能软件技术有限公司 | 一种获取端口挂载hub的方法、设备端及认证服务器 |
| CN114024756A (zh) * | 2021-11-09 | 2022-02-08 | 迈普通信技术股份有限公司 | 接入认证方法、装置、电子设备及计算机可读存储介质 |
| CN114024756B (zh) * | 2021-11-09 | 2024-04-09 | 迈普通信技术股份有限公司 | 接入认证方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592095B (zh) | 2018-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107730669B (zh) | 门禁控制方法、系统及计算机可读存储介质 | |
| US9420461B2 (en) | Access authentication method and device for wireless local area network hotspot | |
| CN106603662B (zh) | 物联网与互联网异网同构的综合智能平台的实现方法 | |
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN103200159B (zh) | 一种网络访问方法和设备 | |
| CN105744555B (zh) | 一种终端维护方法、维护装置以及网管服务器 | |
| CN106488453A (zh) | 一种portal认证的方法及系统 | |
| CN104125567B (zh) | 家庭基站接入网络侧的鉴权方法、装置及家庭基站 | |
| CN107421060A (zh) | 基于NB‑IoT网络的空调器通信方法以及空调器 | |
| WO2018107544A1 (zh) | 智能装置及家电设备 | |
| CN107135205A (zh) | 一种网络接入方法和系统 | |
| CN103888418A (zh) | 策略认证方法及系统 | |
| CN105392137A (zh) | 家庭wifi防盗用的方法、无线路由器及终端设备 | |
| CN111371817A (zh) | 一种设备控制系统、方法、装置、电子设备及存储介质 | |
| CN106878122A (zh) | 一种网络接入方法及系统 | |
| CN107135506B (zh) | 一种portal认证方法、装置及系统 | |
| CN105592095A (zh) | 一种网络接入认证方法及接入认证设备 | |
| CN105592459A (zh) | 基于无线通信的安全认证装置 | |
| CN106302392A (zh) | 用于智能种植设备的控制方法及控制装置、终端 | |
| CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 | |
| CN105991619A (zh) | 一种安全认证方法和装置 | |
| CN106878020A (zh) | 网络系统、网络设备的认证方法和装置 | |
| CN106603436A (zh) | 一种用于智能设备连接到网络的方法和系统 | |
| CN108306875B (zh) | 一种控制有线终端接入的方法及装置 | |
| CN105429954A (zh) | 一种眼球登录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |