CN106375123A - 一种802.1x认证的配置方法及装置 - Google Patents
一种802.1x认证的配置方法及装置 Download PDFInfo
- Publication number
- CN106375123A CN106375123A CN201610790961.6A CN201610790961A CN106375123A CN 106375123 A CN106375123 A CN 106375123A CN 201610790961 A CN201610790961 A CN 201610790961A CN 106375123 A CN106375123 A CN 106375123A
- Authority
- CN
- China
- Prior art keywords
- message
- network equipment
- client device
- server
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种802.1X认证的配置方法及装置,涉及通信技术领域,解决了现有技术中由于通过增加第三方软件会引入系统安全性以及兼容性的问题。该方法包括:网络设备接收客户端设备基于EAPoL协议封装的EAP报文;网络设备对客户端设备发送的EAP报文进行检测;当网络设备检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则网络设备将认证类型替换为目标认证类型值;网络设备基于EAPoR协议将包含目标认证类型值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。本发明应用于802.1X认证的配置。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种802.1X认证的配置方法及装置。
背景技术
802.1X技术已在有线LAN和无线WLAN接入认证领域中发展成熟,802.1X认证是基于客户端设备/服务器(Client/Server;简称为:C/S)模式的访问控制和认证协议。
一般情况下,在进行802.1X认证过程中会先进行认证初始化的过程。现有技术中用户通常在802.1X客户端设备进行手动配置来完成认证初始化过程,但是由于802.1X客户端设备中操作系统的不同,使得802.1X客户端设备的默认配置均不同,因此需要用户手动去修改配置,在易用性上非常受限,这样就需要对用户有专业培训或指导手册来进行修改配置引导用户进行手动配置。
为了减少配置操作,业界的厂商通过提供专门的802.11X客户端设备的第三方软件来减少配置操作,从而提高易用性。但是,由于这类软件属于系统安全类软件,一直以来均存在和操作系统及其他应用软件的冲突,会引入软件自身安全以及兼容性的问题,从而影响用户使用。
发明内容
本发明的实施例提供一种802.1X认证的配置方法及网络设备,解决现有技术中由于通过增加第三方软件会引入系统安全性以及兼容性的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种802.1X认证的配置方法及装置,应用于网络设备,所述网络设备的第一端通过网络设备中的非受控端口连接客户端设备,所述网络设备的第二端通过物理接口连接服务器,所述方法包括:
所述网络设备接收所述客户端设备基于EAPoL协议封装的EAP报文;
所述网络设备对所述客户端设备发送的EAP报文进行检测;
当所述网络设备检测到所述EAP报文中的认证类型字段值不是预设的目标认证类型值时,则所述网络设备将所述认证类型字段值替换为所述目标认证类型值;
所述网络设备基于EAPoR协议将包含所述目标认证类型值的EAP报文封装进Radius报文,并将所述Radius报文发送至所述服务器。
第二方面,提供一种802.1X认证的配置装置,所述装置包括:
第一接收模块,用于接收所述客户端设备基于EAPoL协议封装的EAP报文;
检测模块,用于对所述客户端设备发送的EAP报文进行检测;
替换模块,用于当所述检测模块检测到所述EAP报文中的认证类型字段值不是预设的目标认证类型值时,则将所述认证类型字段值替换为所述目标认证类型值;
处理模块,用于基于EAPoR协议将包含所述目标认证类型值的EAP报文封装进Radius报文,并将所述Radius报文发送至所述服务器。
本方案提供的802.1X认证的配置方法及装置,通过网络设备接收客户端设备基于EAPoL协议封装的EAP报文;网络设备对客户端设备发送的EAP报文进行检测;当网络设备检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则网络设备将认证类型字段值替换为目标认证类型值;网络设备基于EAPoR协议将包含目标认证类型值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
相比于现有技术,本方案中网络设备通过对接收的客户端设备的EAP报文进行检测,当检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则将认证类型字段值替换为目标认证类型值,即将客户端设备携带的EAP报文字段参数做替换,然后将包含目标认证类型值的EAP报文封装至Radius报文,并将Radius报文发送至服务器。一方面,由于本方案是网络设备通过将EAP报文中的认证类型字段值替换为目标认证类型值来完成认证初始化的过程,因此,在客户端设备就无需进行任何操作,也无需再引入第三方软件就可实现认证初始化,因此也不会遇到系统安全性以及兼容性的问题,从而也就避免了用户使用时出现过多麻烦的问题;另一方面,本方案是通过网络设备将客户端设备携带的字段参数进行替换,从而实现认证初始化化,这样使得在客户端设备也无需进行任何手动配置操作即可完成认证初始化的过程。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的802.1X认证系统的结构示意图;
图2为本发明实施例提供的一种802.1X认证的配置方法的方法流程图;
图3为本发明实施例提供的一种802.1X认证的配置装置的结构示意图;
图4为本发明实施例提供的另一种802.1X认证的配置装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中所涉及客户端设备包括但不限于:手机、平板电脑、笔记本电脑、超级移动个人计算机(英文:Ultra-mobile Personal Computer,简称:UMPC)、上网本、个人数字助理(英文:Personal Digital Assistant,简称:PDA)等,在这里并不进行限定。
本发明实施例中所涉及网络设备包括但不限于:集线器、无线控制器、交换机、网桥、路由器、网关、打印机和调制解调器、光纤收发器、光缆等设备,在这里并不进行限定。
本发明实施例中所涉及的服务器为广泛应用的服务器,在这里不进行限定及解释。
本发明实施例中所涉及的802.1X认证系统的基本结构包括上述的客户端设备、网络设备以及服务器,参照图1所示的802.1X认证系统的基本结构,其中:该结构包括三个重要部分,分别为:请求者系统11(即客户端设备)、认证系统12(即网络设备)以及服务器系统13(即服务器)。认证系统12通过非受控端口与请求者系统11连接,认证系统12通过受控端口或非受控端口与服务器系统13连接。其中,客户端设备与网络设备间运行IEEE 802.1x定义的基于局域网的扩展认证(英文:EAP OVER LAN,简称:EAPOL)协议;而网络设备与服务器之间运行IEEE802.1x定义的基于远程用户的扩展认证(英文:EAP OVER RADIUS,简称:EAPOR)协议,即EAP帧中封装了认证数据,将该协议承载在其他高层次协议中,如Radius协议,以便穿越复杂的网络到达服务器。
上述的网络设备的物理端口内部有受控端口和非受控端口的逻辑划分,即在逻辑上网络设备的物理端口包括受控端口和非受控端口。其中,非受控端口始终处于双向连通状态,主要用来在客户端设备与网络设备间传递基于EAPOL协议的报文,可保证网络设备随时接收客户端设备发送的认证EAP报文;而受控端口只有在认证通过的状态下才打开,用于在客户端设备与网络设备间传递网络资源和服务。而对于在网络设备与服务器间,选取任意一种端口都能实现基于EAPOR协议进行传递报文。
本发明实施例提供一种802.1X认证的配置方法,应用于网络设备,如图1所示,该方法包括:
201、网络设备接收客户端设备基于EAPoL协议封装的EAP报文。
示例性的,上述的EAPoL协议是基于局域网的扩展认证协议。EAPOL是基于802.1X网络访问认证技术发展而来的,且支持多种链路层认证方式。
示例性的,网络设备接收客户端设备的响应消息EAP-Response/Lagacy,其中:该响应消息中携带上述的EAP报文。
202、网络设备对客户端设备发送的EAP报文进行检测。
示例性的,上述的步骤202具体包括以下内容:
202a、网络设备基于EAPoL协议解析客户端设备发送的EAP报文。
202b、网络设备对解析后的EAP报文进行检测。
203、当网络设备检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则网络设备将认证类型字段值替换为目标认证类型值。
举例说明,目标认证类型值是PEAP时(该PEAP是一种认证方法),即本方案中将EAP报文中的认证类型字段值替换为PEAP,就可以采用PEAP这种认证方法,从而实现802.1X认证的零配置。
示例性的,上述的EAP报文中包括的字段有:Code、ID、Length、Type以及Desiredauth type,其中:Code字段包括EAP帧四种类型值,分别为:Request(请求)、Response(响应)、Success(成功)以及Failure(失败),用于表示消息的状态,其占用一个字节;ID字段用于匹配Request和Response。ID字段的值和系统端口一起单独标识一个认证过程,其占用一个字节;Length字段值用于表示EAP帧的总长度,其在报文中占两个字节;Type字段值用于表示报文类型,其占用一个字节;而Desired auth type为认证类型字段,认证类型字段值用于表示EAP协议中的认证方法的类别,其占用一个字节。
示例性的,上述的预设的目标认证类型值是网络设备与服务器进行协商所得到的认证类型值,该预设的目标认证类型值值可以任意,例如,该预设的目标认证类型值可以是0x19或者0x08,也可以是0x09,只要保证网络设备与服务器双方都知道该预设的目标认证类型值即可。这里并不进行限定,仅仅是一种具体的示例。
204、网络设备基于EAPoR协议将包含目标认证类型值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
示例性的,上述的EAPoR协议是将EAP报文封装在Radius报文中所形成的协议,用于网络设备与服务器之间进行传输Radius报文。
示例性的,如表1给出了替换后的EAP报文格式,即包含目标认证类型值的EAP报文格式。其中,表1中的Desired auth type字段值对应得值为上述预设的目标认证类型值(0x19)。
表1
| 字段 | 占用字节 | 值 |
| Code | 1 | 0x02 |
| ID | 1 | 0x01 |
| Length | 2 | 0x06 |
| Type | 1 | 0x03 |
| Desired auth type | 1 | 0x19(EAP-PEAP) |
由上述的表1中的内容可以得知,包含目标认证类型值的EAP报文为“0x020x010x060x030x19”。然后,将该包含目标认证类型值的EAP报文基于EAPoR协议封装进Radius报文,并将该Radius报文发送至服务器,从而完成了认证初始化的过程。
本方案提供的802.1X认证的配置方法,通过网络设备接收客户端设备基于EAPoL协议封装的EAP报文;网络设备对客户端设备发送的EAP报文进行检测;当网络设备检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则网络设备将认证类型字段值替换为目标认证类型值;网络设备基于EAPoR协议将包含目标认证类型值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
相比于现有技术,本方案中网络设备通过对接收的客户端设备的EAP报文进行检测,当检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则将认证类型替换为目标认证类型值,即将客户端设备携带的字段参数做替换,然后将包含目标认证类型值的EAP报文封装至Radius报文,并将Radius报文发送至服务器。一方面,由于本方案是网络设备通过将EAP报文中的认证类型字段值替换为目标认证类型值来完成认证初始化的过程,因此,在客户端设备就无需进行任何操作,也无需再引入第三方软件就可实现认证初始化,因此也不会遇到系统安全性以及兼容性的问题,从而也就避免了用户使用时出现过多麻烦的问题;另一方面,本方案是通过网络设备将客户端设备携带的字段参数进行替换,从而实现认证初始化化,这样使得在客户端设备也无需进行任何手动配置操作即可完成认证初始化的过程。
示例性的,上述的步骤204之后还包括:
A1、网络设备接收服务器发送的携带认证消息的响应,认证消息用于指示网络设备进行用户认证。
A2、网络设备根据服务器发送的携带认证消息的响应进行用户认证。
示例性的,基于上述A1和A2的内容,上述的认证过程包括如下内容:
B1、网络设备根据服务器发送的携带认证消息的请求建立TLS(英文:TransportLayer Security,中文:安全传输层)通道。
B2、网络设备基于TLS通道向服务器发送客户端设备的认证信息。
B3、网络设备接收服务器为客户端设备分配IP地址响应消息。
B4、网络设备将服务器为客户端设备分配的IP地址发送至客户端设备,并向服务器发送计费的消息请求。
示例性的,上述的B1中建立TLS通道的过程可以参照如下内容:
1)客户端设备收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端设备支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法(目前均为NULL),封装在EAP-Response/TLS/Client Hello报文中发送给网络设备。
2)网络设备以EAP Over RADIUS的报文格式将EAP-Response/TLS/Client Hello发送给服务器,并且带上相关的网络设备以及客户端设备的属性。
3)服务器收到Client Hello报文后,会从Client的Hello报文的加密算法列表中选择自己支持的一组加密算法,通过服务器(简称:Server)产生的随机数+Server证书(包含服务器的名称和公钥)+证书请求+Server-Hello-Done属性所形成一个Server Hello报文封装在EAP消息中,使用Access Challenge消息将报文发送给网络设备。
4)网络设备把Radius报文中的EAP-request消息发送给客户端设备.
5)客户端设备收到报文后,进行验证Server的证书是否合法(使用从CA证书颁发机构获取的根证书进行验证,主要验证证书时间是否合法,名称是否合法),即对网络进行认证,从而可以保证Server的合法。如果合法则提取Server证书中的公钥同时产生一个随机密码串pre-master-secret,并使用服务器的公钥对其进行加密,最后将加密的信息Client Key Exchange+客户端设备的证书(如果没有证书,可以把属性置为0+TLSfinished)属性封装成EAP-Response/TLS Client Key Exchange报文发送给网络设备.如果客户端设备没有安装证书,则不会对Server证书的合法性进行认证即不能对网络进行认证。
6)网络设备基于EAPOR协议格式将EAP Response/TLS Client Key Exchange消息发送给服务器,并且带上相关的网络设备和客户端设备的属性。
7)服务器收到报文后,用自己的证书对应的私钥对Client Key Exchange进行解密,从而获取到密码串pre-master-secret,然后将pre-master-secret进行运算处理,加上客户端设备和Server产生的随机数生成加密密钥、加密初始化向量和哈希运算消息认证码(英文:Hash-based Message Authentication Code,简称:HMAC),此时双方已经安全的协商出一套加密办法了。服务器将协商出的加密方法+TLS Finished消息封装在Radius报文通过Access-Challenge消息发送给网络设备。
8)网络设备把Radius报文中的EAP-Request消息发送给客户端设备。
9)客户端设备回复网络设备EAP Response/TLS OK的消息。
10)网络设备将EAP Response/TLS OK消息封装在Radius报文中,告知服务器建立隧道成功。至此客户端设备与服务器之间的TLS隧道建立成功。
示例性的,基于B2的内容以下进行说明客户端设备与服务器间的认证过程,具体如下内容:
1)网络设备将Radius报文中的EAP域提取,通过EAP-request消息将包括EAP域的报文发送给客户端设备。
2)客户端设备收到报文后,用服务器相同的方法生成加密密钥,加密初始化向量和HMAC的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证回应报文,用密钥进行加密和校验,最后通过EAP Response消息婧认证报文发送给网络设备,网络设备以EAP Over RADIUS的报文格式将EAP Response消息发送给服务器,并且带上网络设备以及客户端设备相关的属性,这样反复进行交互直到认证完成。在认证过程中服务器会下发认证后用于生成空口数据加密密钥的PMK给客户端设备,其中包括告知客户端设备密钥的方式包括单播和组播。
3)服务器认证客户端设备成功,会发送Access Accept消息给网络设备,其中包含了服务器所提供的微软点对点加密术(英文:Microsoft Point-to-Point Encryption,简称:MPPE)的属性。
4)网络设备收到服务器发送的Access Accept消息会提取MPPE属性中的密钥作为Wi-Fi网络安全接入(英文:Wi-Fi Protected Access,简称:WPA)加密用的PMK码,并且会发送EAP success消息给客户端设备。
示例性的,上述的B3中分配IP地址的具体过程包括:客户端设备和网络设备的数据报文可以在有线LAN或无线WLAN的链路中进行传送,与网络设备进行DHCP流程交互,直至客户端设备获取IP地址。
示例性的,基于B4的内容以下进行说明服务器如何进行客户端设备的计费过程,具体如下内容:
1)网络设备通过Accounting Request/Start消息通知服务器开始进行计费,其中,服务器中含有相关的计费信息。
2)服务器向网络设备回应Accoutting Response/Start消息表示已开始计费。
示例性的,通过以上所有过程即可完成802.1X的认证过程,具体的该802.1X的认证过程包括五部分的内容,分别为:认证初始化过程、建立TLS通道过程、客户端设备与服务器间的认证过程、IP分配过程以及计费过程。
示例性的,上述的步骤202之后还包括:
C1、当网络设备检测到EAP报文中的认证类型字段值是预设的目标认证类型值时,则网络设备基于EAPoR协议将包含原认证类型字段值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
示例性的,当网络设备检测到的EAP报文中的字段值中认证类型是预设的目标认证类型值时,网络设备将基于EAPoR协议将包含原认证类型字段值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。然后,接着进行后续的认证过程,对于该认证过程同正常的流程一致,具体可以参照前文所述的过程,这里不再赘述。
下面将基于图1对应的802.1X认证的配置方法的实施例中的相关描述对本发明实施例提供的一种802.1X认证的配置装置进行介绍。以下实施例中与上述实施例相关的技术术语、概念等的说明可以参照上述的实施例,这里不再赘述
本发明实施例提供一种802.1X认证的配置装置,如图3所示,该配置装置3包括:第一接收模块31、检测模块32、替换模块33以及处理模块34,其中:
第一接收模块31,用于接收客户端设备基于EAPoL协议封装的EAP报文。
检测模块32,用于对客户端设备发送的EAP报文进行检测。
替换模块33,用于当检测模块32检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则将认证类型字段值替换为目标认证类型值。
处理模块34,用于基于EAPoR协议将包含目标认证类型值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
示例性的,上述的处理模块34,还用于当检测模块32检测到EAP报文中的字段值中认证类型是预设的目标认证类型值时,则基于EAPoR协议将包含认证类型的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
示例性的,上述的检测模块32具体用于:
基于EAPoL协议解析客户端设备发送的EAP报文。
对解析后的EAP报文进行检测。
可选的,如图4所示,上述的配置装置3还包括:第二接收模块35以及认证模块36,其中:
第二接收模块35,用于接收服务器发送的携带认证消息的响应,该认证消息用于指示网络设备进行用户认证。
认证模块36,用于根据服务器发送的携带认证消息的响应进行用户认证。
进一步的,上述的认证模块36具体用于:
根据服务器发送的携带认证消息的请求建立安全传输层TLS通道。
基于TLS通道向服务器发送所述客户端设备的认证信息。
接收服务器为客户端设备分配IP地址响应消息。
将服务器为所述客户端设备分配的IP地址发送至客户端设备,并向服务器发送计费的消息请求。
本方案提供的802.1X认证的配置装置,通过网络设备接收客户端设备基于EAPoL协议封装的EAP报文;网络设备对客户端设备发送的EAP报文进行检测;当网络设备检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则网络设备将认证类型字段值替换为目标认证类型值;网络设备基于EAPoR协议将包含目标认证类型值的EAP报文封装进Radius报文,并将Radius报文发送至服务器。
相比于现有技术,本方案中网络设备通过对接收的客户端设备的EAP报文进行检测,当检测到EAP报文中的认证类型字段值不是预设的目标认证类型值时,则将认证类型字段值替换为目标认证类型值,即将客户端设备携带的字段参数做替换,然后将包含目标认证类型值的EAP报文封装至Radius报文,并将Radius报文发送至服务器。一方面,由于本方案是网络设备通过将EAP报文中的认证类型字段值替换为目标认证类型值来完成认证初始化的过程,因此,在客户端设备就无需进行任何操作,也无需再引入第三方软件就可实现认证初始化,因此也不会遇到系统安全性以及兼容性的问题,从而也就避免了用户使用时出现过多麻烦的问题;另一方面,本方案是通过网络设备将客户端设备携带的字段参数进行替换,从而实现认证初始化化,这样使得在客户端设备也无需进行任何手动配置操作即可完成认证初始化的过程。
在本申请所提供的几个实施例中,应该理解到,所揭露的802.1X认证的配置装置,可以通过其它的方式实现。例如,以上所描述的配置装置的实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,基站或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理包括,也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种802.1X认证的配置方法,其特征在于,所述方法包括:
网络设备接收客户端设备基于EAPoL协议封装的EAP报文;
所述网络设备对所述客户端设备发送的EAP报文进行检测;
当所述网络设备检测到所述EAP报文中认证类型字段值不是预设的目标认证类型值时,则所述网络设备将所述认证类型字段值替换为所述目标认证类型值;
所述网络设备基于EAPoR协议将包含所述目标认证类型值的EAP报文封装进Radius报文,并将所述Radius报文发送至服务器。
2.根据权利要求1所述的方法,其特征在于,所述网络设备对所述客户端设备发送的EAP报文进行检测之后,还包括:
当所述网络设备检测到所述EAP报文中的认证类型字段值是预设的目标认证类型值时,则所述网络设备基于EAPoR协议将包含所述认证类型字段值的EAP报文封装进Radius报文,并将所述Radius报文发送至所述服务器。
3.根据权利要求1所述的方法,其特征在于,所述网络设备对所述客户端设备发送的EAP报文进行检测具体包括:
所述网络设备基于EAPoL协议解析所述客户端设备发送的EAP报文;
所述网络设备对解析后的EAP报文进行检测。
4.根据权利要求1所述的方法,其特征在于,所述网络设备基于EAPoR协议将包含所述目标认证类型值的EAP报文封装进Radius报文,并将所述Radius报文发送至服务器之后还包括:
所述网络设备接收所述服务器发送的携带认证消息的响应,所述认证消息用于指示网络设备进行用户认证;
所述网络设备根据所述服务器发送的携带认证消息的响应进行用户认证。
5.根据权利要求4所述的方法,其特征在于,所述网络设备根据所述服务器发送的携带认证消息的响应进行用户认证具体包括:
所述网络设备根据所述服务器发送的携带认证消息的请求建立安全传输层TLS通道;
所述网络设备基于所述TLS通道向所述服务器发送所述客户端设备的认证信息;
所述网络设备接收所述服务器为所述客户端设备分配IP地址响应消息;
所述网络设备将所述服务器为所述客户端设备分配的IP地址发送至所述客户端设备,并向所述服务器发送计费的消息请求。
6.一种802.1X认证的配置装置,其特征在于,所述装置包括:
第一接收模块,用于接收所述客户端设备基于EAPoL协议封装的EAP报文;
检测模块,用于对所述客户端设备发送的EAP报文进行检测;
替换模块,用于当所述检测模块检测到所述EAP报文中的认证类型字段值不是预设的目标认证类型值时,则将所述认证类型字段值替换为所述目标认证类型值;
处理模块,用于基于EAPoR协议将包含所述目标认证类型值的EAP报文封装进Radius报文,并将所述Radius报文发送至所述服务器。
7.根据权利要求6所述的装置,其特征在于,
所述处理模块,还用于当所述检测模块检测到所述EAP报文中的认证类型字段值是预设的目标认证类型值时,则基于EAPoR协议将包含所述认证类型字段值的EAP报文封装进Radius报文,并将所述Radius报文发送至所述服务器。
8.根据权利要求6所述的装置,其特征在于,所述检测模块具体用于:
基于EAPoL协议解析所述客户端设备发送的EAP报文;
对解析后的EAP报文进行检测。
9.根据权利要求6所述的装置,其特征在于,还包括:
第二接收模块,用于接收所述服务器发送的携带认证消息的响应,所述认证消息用于指示网络设备进行用户认证;
认证模块,用于根据所述服务器发送的携带认证消息的响应进行用户认证。
10.根据权利要求9所述的装置,其特征在于,所述认证模块具体用于:
根据所述服务器发送的携带认证消息的请求建立安全传输层TLS通道;
基于所述TLS通道向所述服务器发送所述客户端设备的认证信息;
接收所述服务器为所述客户端设备分配IP地址响应消息;
将所述服务器为所述客户端设备分配的IP地址发送至所述客户端设备,并向所述服务器发送计费的消息请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610790961.6A CN106375123B (zh) | 2016-08-31 | 2016-08-31 | 一种802.1x认证的配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610790961.6A CN106375123B (zh) | 2016-08-31 | 2016-08-31 | 一种802.1x认证的配置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106375123A true CN106375123A (zh) | 2017-02-01 |
| CN106375123B CN106375123B (zh) | 2019-11-22 |
Family
ID=57899640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610790961.6A Active CN106375123B (zh) | 2016-08-31 | 2016-08-31 | 一种802.1x认证的配置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106375123B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294952A (zh) * | 2017-05-18 | 2017-10-24 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法及系统 |
| CN111465008A (zh) * | 2019-01-21 | 2020-07-28 | 苹果公司 | 在无线通信中执行加密和认证时的初始化向量生成 |
| CN113098825A (zh) * | 2019-12-23 | 2021-07-09 | 迈普通信技术股份有限公司 | 一种基于扩展802.1x的接入认证方法及系统 |
| CN114619987A (zh) * | 2022-03-18 | 2022-06-14 | 合众新能源汽车有限公司 | 汽车电子控制单元网络和功能配置字的自动学习方法 |
| WO2023216275A1 (zh) * | 2022-05-13 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1501656A (zh) * | 2002-11-19 | 2004-06-02 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
| CN101071369A (zh) * | 2006-05-11 | 2007-11-14 | 中兴通讯股份有限公司 | 一种认证软件自动升级方法 |
| CN101594231A (zh) * | 2008-05-27 | 2009-12-02 | 北京飞天诚信科技有限公司 | 一种基于eap认证的方法和系统 |
| CN102271134A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、系统、客户端及认证服务器 |
| US8850202B2 (en) * | 2007-02-09 | 2014-09-30 | Blackberry Limited | Method and system for authenticating peer devices using EAP |
| CN104378333A (zh) * | 2013-08-15 | 2015-02-25 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
-
2016
- 2016-08-31 CN CN201610790961.6A patent/CN106375123B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1501656A (zh) * | 2002-11-19 | 2004-06-02 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
| CN101071369A (zh) * | 2006-05-11 | 2007-11-14 | 中兴通讯股份有限公司 | 一种认证软件自动升级方法 |
| US8850202B2 (en) * | 2007-02-09 | 2014-09-30 | Blackberry Limited | Method and system for authenticating peer devices using EAP |
| CN101594231A (zh) * | 2008-05-27 | 2009-12-02 | 北京飞天诚信科技有限公司 | 一种基于eap认证的方法和系统 |
| CN102271134A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、系统、客户端及认证服务器 |
| CN104378333A (zh) * | 2013-08-15 | 2015-02-25 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294952A (zh) * | 2017-05-18 | 2017-10-24 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法及系统 |
| CN111465008A (zh) * | 2019-01-21 | 2020-07-28 | 苹果公司 | 在无线通信中执行加密和认证时的初始化向量生成 |
| CN111465008B (zh) * | 2019-01-21 | 2024-05-24 | 苹果公司 | 在无线通信中执行加密和认证时的初始化向量生成 |
| CN113098825A (zh) * | 2019-12-23 | 2021-07-09 | 迈普通信技术股份有限公司 | 一种基于扩展802.1x的接入认证方法及系统 |
| CN113098825B (zh) * | 2019-12-23 | 2023-10-17 | 迈普通信技术股份有限公司 | 一种基于扩展802.1x的接入认证方法及系统 |
| CN114619987A (zh) * | 2022-03-18 | 2022-06-14 | 合众新能源汽车有限公司 | 汽车电子控制单元网络和功能配置字的自动学习方法 |
| CN114619987B (zh) * | 2022-03-18 | 2023-09-15 | 合众新能源汽车股份有限公司 | 汽车电子控制单元网络和功能配置字的自动学习方法 |
| WO2023216275A1 (zh) * | 2022-05-13 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106375123B (zh) | 2019-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107040922B (zh) | 无线网络连接方法、装置及系统 | |
| CN1711740B (zh) | 轻度可扩展验证协议的密码预处理 | |
| US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
| CN106375123B (zh) | 一种802.1x认证的配置方法及装置 | |
| CN104754581B (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| WO2004034645A1 (ja) | Wlan相互接続における識別情報の保護方法 | |
| CN102137401B (zh) | 无线局域网集中式802.1x认证方法及装置和系统 | |
| CN109088870A (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| US20200351107A1 (en) | Secure authentication of remote equipment | |
| CN102215487A (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN101765057A (zh) | 一种向WiFi访问终端提供组播业务的方法、设备及系统 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN101707522B (zh) | 一种认证对接方法和系统 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN109101811A (zh) | 一种基于SSH隧道的可控Oracle会话的运维与审计方法 | |
| CN108769988A (zh) | 一种基于802.1x的证书认证安全机制的本地mesh无线网络 | |
| CN103781026B (zh) | 通用认证机制的认证方法 | |
| CN109561431A (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN102299924A (zh) | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 | |
| Coleman et al. | CWSP Certified Wireless Security Professional Study Guide: Exam CWSP-205 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |