CN106169989A - 一种认证网关 - Google Patents

一种认证网关 Download PDF

Info

Publication number
CN106169989A
CN106169989A CN201610332363.4A CN201610332363A CN106169989A CN 106169989 A CN106169989 A CN 106169989A CN 201610332363 A CN201610332363 A CN 201610332363A CN 106169989 A CN106169989 A CN 106169989A
Authority
CN
China
Prior art keywords
pae
applicant
authenticating party
authentication
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610332363.4A
Other languages
English (en)
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHENGDU YIDONG UNLIMITED NETWORK TECHNOLOGY Co Ltd
Original Assignee
CHENGDU YIDONG UNLIMITED NETWORK TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHENGDU YIDONG UNLIMITED NETWORK TECHNOLOGY Co Ltd filed Critical CHENGDU YIDONG UNLIMITED NETWORK TECHNOLOGY Co Ltd
Priority to CN201610332363.4A priority Critical patent/CN106169989A/zh
Publication of CN106169989A publication Critical patent/CN106169989A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种认证网关,包括网络认证系统,所述网络认证系统包括申请方系统、认证方系统和认证服务器,所述申请方系统中包含有申请方PAE,且申请方PAE采用EAP的认证机制与LAN连接,所述认证方系统中包含有认证方提供的服务和认证方PAE,所述认证方提供的服务通过可控端口与LAN通信连接,所述认证方PAE通过非控端口与LAN通信连接,所述认证服务器采用EAP的认证机制与认证方PAE通信连接。本发明以IEE802.1x技术为基础,使得该网关认证技术的应用更易推广,且低廉的造价降低了认证系统的建设成本,同时以客户端的形式代替传统的Web认证方式,不仅简单高效,而且安全性高,用户所当心的出现信息泄露问题的概率大大降低,为该认证网关的推广提供了有利条件。

Description

一种认证网关
技术领域
本发明涉及通信技术领域,特别涉及一种认证网关。
背景技术
随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。为满足用户的上网需求,网络运营商为每个用户部署一个网关设备,对于网关设备的有效认证方法是目前亟待解决的问题。
目前,常见的网关认证技术有:在链路层上所涉及的认证协议有IEE802.1x,PPP,还有VPN使用的数据链路封住协议L2TP和 在应用层上的web认证技术等。然而,上述的网关认证技术的系统安全性不高且过于复杂,认证过程比较繁琐,同时认证系统的造价高,难以大面积的进行推广。
为此,我们提出以一种认证网关来解决上述问题。
发明内容
本发明的目的是为了解决背景技术而提出的一种认证网关。
为了实现上述目的,本发明采用了如下技术方案:
一种认证网关,包括网络认证系统,所述网络认证系统包括申请方系统、认证方系统和认证服务器,所述申请方系统中包含有申请方PAE,且申请方PAE采用EAP的认证机制与LAN连接,所述认证方系统中包含有认证方提供的服务和认证方PAE,所述认证方提供的服务通过可控端口与LAN通信连接,所述认证方PAE通过非控端口与LAN通信连接,所述认证服务器采用EAP的认证机制与认证方PAE通信连接,所述申请方PAE负责将申请方的信任信息送到认证方PAE作为对认证方PAE询问的响应,所述认证方PAE负责强制对连接到它的受控端口的申请方PAE进行认证,并且控制受控端口相对应的认证状态;所述认证方系统通过认证前后打开或关闭用户接入端口来进行端口访问控制,且基于端口访问控制在LAN设备的物理接入级对接入设备进行认证和控制。
在上述技术方案的基础上,可以有以下进一步的技术方案:
所述PAE为端口访问实体,PAE用于负责响应来自认证方和申请方之间的请求信息,并将这写信息建立信任关系,在认证交换的过程中执行申请方的角色视为申请方PAE,负责申请方通信,并将申请方的信任信息交给相对的认证服务器去检测以决定随后的认证状态被视为认证方PAE,认证方PAE依据认证过程的结构控制受控端口的授权与非授权状态。
所述申请方系统通过接入设备端口的状态判断是否能接入网络,所述接入设备端口分为授权端口和非授权端口,且非授权端口始终处于双向连通状态,用于传递EAP协议帧,并保证用户始终可以发送或接受认证信息,所述授权端口用于传递网络资源和服务,且授权端口包含有双向授权和输入授权两种,以适应不同的环境。
所述的申请方系统中,任何提供一对一连接到申请方系统的物理和逻辑端口都能提供一个连接到LAN上的连接点。
所述端口访问控制提供对系统功能可选的扩展,并提供一种防止申请方对系统提供的设备非授权访问。
本发明以IEE802.1x技术为基础,使得该网关认证技术的应用更易推广,且低廉的造价大大降低了认证系统的建设成本,提高了该认证网关的竞争力,同时该认证技术通过客户端的形式代替传统的Web认证方式,不仅简单高效,而且安全性高,用户所当心的出现信息泄露问题的概率大大降低,为该认证网关的推广提供了有利条件。
附图说明
图1是本发明提出的一种认证网关的网络认证系统结构示意图;
图2是本发明提出的一种认证网关认证方系统的可控端口和不可控端口结构示意图;
图3是本发明提出的一种认证网关认证方系统的授权状态下结构示意图;
图4是本发明提出的一种认证网关认证方系统的非授权状态下工作时结构示意图。
具体实施方式
下面结合具体实施例来对本发明进一步说明。
参照图1-4,一种认证网关,包括网络认证系统,网络认证系统包括申请方系统、认证方系统和认证服务器,申请方系统中包含有申请方PAE,且申请方PAE采用EAP的认证机制与LAN连接,认证方系统中包含有认证方提供的服务和认证方PAE,认证方提供的服务通过可控端口与LAN通信连接,认证方PAE通过非控端口与LAN通信连接,认证服务器采用EAP的认证机制与认证方PAE通信连接。
PAE为端口访问实体,PAE用于负责响应来自认证方和申请方之间的请求信息,并将这写信息建立信任关系,在认证交换的过程中执行申请方的角色视为申请方PAE,负责申请方通信,并将申请方的信任信息交给相对的认证服务器去检测以决定随后的认证状态被视为认证方PAE,认证方PAE依据认证过程的结构控制受控端口的授权与非授权状态。
申请方系统通过接入设备端口的状态判断是否能接入网络,接入设备端口分为授权端口和非授权端口,且非授权端口始终处于双向连通状态,用于传递EAP协议帧,并保证用户始终可以发送或接受认证信息,授权端口用于传递网络资源和服务,且授权端口包含有双向授权和输入授权两种,以适应不同的环境。的申请方系统中,任何提供一对一连接到申请方系统的物理和逻辑端口都能提供一个连接到LAN上的连接点。
申请方PAE负责将申请方的信任信息送到认证方PAE作为对认证方PAE询问的响应,认证方PAE负责强制对连接到它的受控端口的申请方PAE进行认证,并且控制受控端口相对应的认证状态。认证方系统通过认证前后打开或关闭用户接入端口来进行端口访问控制,且基于端口访问控制在LAN设备的物理接入级对接入设备进行认证和控制。端口访问控制提供对系统功能可选的扩展,并提供一种防止申请方对系统提供的设备非授权访问,例如:如果关注的系统是MAC桥,则要想严格的控制可访问的公开桥端口的访问,就需要在对桥的访问和与相连接的LAN上加以控制。如果想严格的控制一个部门成员仅在一个组织内部的LAN访问,访问控制的实现需要靠系统强制申请方到系统的受控端口认证,并根据认证过程的结构决定是否可以访问受控端口的访问。如果申请方没有得到访问的权限,系统设置受控端口状态到非授权状态。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (5)

1.一种认证网关,包括网络认证系统,其特征在于:所述网络认证系统包括申请方系统、认证方系统和认证服务器,所述申请方系统中包含有申请方PAE,且申请方PAE采用EAP的认证机制与LAN连接,所述认证方系统中包含有认证方提供的服务和认证方PAE,所述认证方提供的服务通过可控端口与LAN通信连接,所述认证方PAE通过非控端口与LAN通信连接,所述认证服务器采用EAP的认证机制与认证方PAE通信连接,所述申请方PAE负责将申请方的信任信息送到认证方PAE作为对认证方所述所述所述PAE询问的响应,所述认证方PAE负责强制对连接到它的受控端口的申请方PAE进行认证,并且控制受控端口相对应的认证状态;所述认证方系统通过认证前后打开或关闭用户接入端口来进行端口访问控制,且基于端口访问控制在LAN设备的物理接入级对接入设备进行认证和控制。
2.根据权利要求1所述的一种认证网关,其特征在于:所述PAE为端口访问实体,PAE用于负责响应来自认证方和申请方之间的请求信息,并将这写信息建立信任关系,在认证交换的过程中执行申请方的角色视为申请方PAE,负责申请方通信,并将申请方的信任信息交给相对的认证服务器去检测以决定随后的认证状态被视为认证方PAE,认证方PAE依据认证过程的结构控制受控端口的授权与非授权状态。
3.根据权利要求1所述的一种认证网关,其特征在于:所述申请方系统通过接入设备端口的状态判断是否能接入网络,所述接入设备端口分为授权端口和非授权端口,且非授权端口始终处于双向连通状态,用于传递EAP协议帧,并保证用户始终可以发送或接受认证信息,所述授权端口用于传递网络资源和服务,且授权端口包含有双向授权和输入授权两种。
4.根据权利要求1所述的一种认证网关,其特征在于:所述的申请方系统中,任何提供一对一连接到申请方系统的物理和逻辑端口都能提供一个连接到LAN上的连接点。
5.根据权利要求1所述的一种认证网关,其特征在于:所述端口访问控制提供对系统功能可选的扩展,并提供一种防止申请方对系统提供的设备非授权访问。
CN201610332363.4A 2016-05-19 2016-05-19 一种认证网关 Pending CN106169989A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610332363.4A CN106169989A (zh) 2016-05-19 2016-05-19 一种认证网关

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610332363.4A CN106169989A (zh) 2016-05-19 2016-05-19 一种认证网关

Publications (1)

Publication Number Publication Date
CN106169989A true CN106169989A (zh) 2016-11-30

Family

ID=57359062

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610332363.4A Pending CN106169989A (zh) 2016-05-19 2016-05-19 一种认证网关

Country Status (1)

Country Link
CN (1) CN106169989A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528857A (zh) * 2017-09-28 2017-12-29 北京东土军悦科技有限公司 一种基于端口的认证方法、交换机及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1527558A (zh) * 2003-03-06 2004-09-08 华为技术有限公司 一种802.1x认证系统中重认证的实现方法
CN1595894A (zh) * 2003-09-10 2005-03-16 华为技术有限公司 一种无线局域网接入认证的实现方法
US20050198495A1 (en) * 2004-03-02 2005-09-08 Alcatel Method to grant access to a data communication network and related devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1527558A (zh) * 2003-03-06 2004-09-08 华为技术有限公司 一种802.1x认证系统中重认证的实现方法
CN1595894A (zh) * 2003-09-10 2005-03-16 华为技术有限公司 一种无线局域网接入认证的实现方法
US20050198495A1 (en) * 2004-03-02 2005-09-08 Alcatel Method to grant access to a data communication network and related devices

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
TONY JEFFREE等: "IEEE Standard for Local and Metropolitan Area Networks - Port-Based Network Access Control", 《IEEE STD 802.1X-2001》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528857A (zh) * 2017-09-28 2017-12-29 北京东土军悦科技有限公司 一种基于端口的认证方法、交换机及存储介质

Similar Documents

Publication Publication Date Title
CN105917630B (zh) 使用单点登录自举到检查代理的重定向
US10897455B2 (en) System and method for identity authentication
CN103888265B (zh) 一种基于移动终端的应用登录系统和方法
CN104769909B (zh) 网间认证
US7580701B2 (en) Dynamic passing of wireless configuration parameters
CN101163000B (zh) 一种二次认证方法及系统
CN101986598B (zh) 认证方法、服务器及系统
CN103905466B (zh) 一种存储系统数据访问控制系统及其方法
CN107733861A (zh) 一种基于企业级内外网环境的无密码登录实现方法
CN101304388B (zh) 解决ip地址冲突的方法、装置及系统
WO2015085809A1 (zh) 无线数据专网物理隔离互联网的移动支付安全系统
CN104144167B (zh) 一种开放式智能网关平台的用户登录认证方法
CN107846414A (zh) 一种单点登录方法及系统、统一认证系统
WO2016106560A1 (zh) 一种实现远程接入的方法、装置及系统
US20080288777A1 (en) A Peer-to-Peer Access Control Method Based on Ports
CN101714918A (zh) 一种登录vpn的安全系统以及登录vpn的安全方法
CN108347729A (zh) 网络切片内鉴权方法、切片鉴权代理实体及会话管理实体
WO2012055166A1 (zh) 移动存储设备、基于该设备的数据处理系统和方法
CN103856332A (zh) 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法
RU2007138849A (ru) Сетевые коммерческие транзакции
Shah et al. Multi-factor Authentication as a Service
CN108769007A (zh) 网关安全认证方法、服务器及网关
CN106357629A (zh) 基于数字证书的智能终端身份认证与单点登录系统及方法
CN106230824A (zh) 一种移动设备可信认证系统及方法
CN109101811A (zh) 一种基于SSH隧道的可控Oracle会话的运维与审计方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20161130

RJ01 Rejection of invention patent application after publication