CN106603492A - 一种认证方法和装置 - Google Patents
一种认证方法和装置 Download PDFInfo
- Publication number
- CN106603492A CN106603492A CN201610992331.7A CN201610992331A CN106603492A CN 106603492 A CN106603492 A CN 106603492A CN 201610992331 A CN201610992331 A CN 201610992331A CN 106603492 A CN106603492 A CN 106603492A
- Authority
- CN
- China
- Prior art keywords
- equipment
- certification
- authenticating device
- authentication
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种认证方法和装置。本申请中,终端设备和网络接入设备在同一设备即认证设备上集中认证,这满足组网的灵活性需求,防止终端设备、网络接入设备认证点分离带来的缺陷,同时实现方式也比较简单,简化繁琐配置。
Description
技术领域
本申请涉及网络通信技术,特别涉及一种认证方法和装置。
背景技术
为提高网络安全性和可靠性,在除了对终端设备如PC等进行认证外,还需要对用于为终端设备提供网络接入功能的网络接入设备进行认证。如图1所示的组网,终端设备和网络接入设备需要分别通过AAA服务器认证后方能接入网络。
现有方式是通过认证点分离来间接对终端设备和网络接入设备进行认证的。所谓认证点分离是指:将终端设备的认证点和网络接入设备的认证点分离,网络接入设备由认证设备认证,终端设备由网络接入设备认证。如图1所示组网,认证设备、网络接入设备均使能了认证功能比如802.1X认证功能,认证设备通过使能的认证功能对网络接入设备进行认证,当网络接入设备通过认证时,网络接入设备再通过使能的认证功能对接入的终端设备进行认证,当终端设备通过认证时,网络接入设备允许终端设备接入网络。
但是,上述认证点分离方式实现比较复杂,无法满足组网的灵活性,无法实现终端设备、网络接入设备在认证设备上集中认证。
发明内容
本申请提供了一种认证方法和装置,以防止终端设备和网络接入设备的认证点分离带来的缺陷。
本申请提供的技术方案包括:
一种认证方法,该方法应用于网络接入设备,包括:
接收认证设备发送的认证报文;
当所述认证报文的目的MAC地址不为本设备的MAC地址时,
判断本设备是否已通过所述认证设备的认证,
如果否,终止转发所述认证报文;
如果是,继续向所述认证报文的目的MAC地址对应的终端设备转发所述认证报文以使所述终端设备完成认证。
一种认证装置,该装置应用于网络接入设备,包括:
接收单元,用于接收认证设备发送的认证报文;
判断单元,用于当所述认证报文的目的MAC地址不为本设备的MAC地址时,判断本设备是否已通过所述认证设备的认证,
处理单元,用于在所述判断单元的判断结果为否时,终止转发所述认证报文,在所述判断单元的判断结果为是时,继续向所述认证报文的目的MAC地址对应的终端设备转发所述认证报文以使所述终端设备完成认证。
由以上技术方案可以看出,本发明中,终端设备和网络接入设备在同一设备即认证设备上集中认证,这满足组网的灵活性需求,防止终端设备、网络接入设备认证点分离带来的缺陷,同时实现方式也比较简单,简化繁琐配置。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为终端设备和网络接入设备分别认证组网示意图;
图2为本发明提供的方法流程图;
图3为本发明提供的方法实现示意图;
图4为本发明提供的另一方法实现示意图;
图5为本发明提供的实施例应用组网示意图;
图6为本发明提供的装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明能够实现终端设备和网络接入设备在同一设备即认证设备上集中认证,满足组网的灵活性需求,防止终端设备、网络接入设备认证点分离带来的缺陷。
下面对本发明提供的方法进行描述:
参见图2,图2为本发明提供的方法流程图。该流程应用于网络接入设备。仍以图1所示组网为例,则应用于本发明,只需认证设备上使能认证功能比如802.1X认证功能,网络接入设备无需使能认证功能比如802.1X认证功能。
如图2所示,该流程可包括以下步骤:
步骤201,接收认证设备发送的认证报文。
应用于802.1X协议,这里的认证报文为802.1X协议中的协议报文。
步骤202,当认证报文的目的MAC地址不为本设备的MAC地址时,判断本设备是否已通过认证设备的认证,如果否,执行步骤203,如果是,执行步骤204。
作为本发明的一个实施例,当认证报文的目的MAC地址为本设备的MAC地址时,则直接由本设备处理认证报文,具体处理方式类似现有认证设备对网络接入设备认证时的方式,不再赘述。
步骤203,终止转发认证报文。
本步骤203是在网络接入设备自身未通过认证设备认证的前提下执行的。可以看出,在本发明中,若网络接入设备自身未通过认证设备的认证,则当网络接入设备接收的认证报文的目的MAC地址不为本设备的MAC地址时,网络接入设备不再继续转发认证报文,具体见图3所示。这种处理方式符合逻辑,实现了网络接入设备未通过认证设备认证的前提下,网络接入设备接入的终端设备不能进行认证的目的。
步骤204,继续向认证报文的目的MAC地址对应的终端设备转发认证报文以使终端设备完成认证。
本步骤204是在网络接入设备自身通过认证设备认证的前提下执行的。可以看出,在本发明中,若网络接入设备通过认证设备认证,则当网络接入设备接收的认证报文的目的MAC地址不为本设备的MAC地址时,网络接入设备会继续转发认证报文以使认证报文的目的MAC地址对应的终端设备完成认证。具体见图4所示。这实现了在网络接入设备通过认证设备认证的前提下,网络接入设备作为其接入的终端设备与认证设备之间的中间桥梁,以保证终端设备与认证设备进行交互完成认证设备对终端设备的认证的目的。
至此,完成图2所示流程。
优选地,本发明中,当步骤202判断出本设备未通过所述认证设备的认证后,或者在步骤202判断出本设备已通过所述认证设备的认证之前,进一步包括:
网络接入设备与认证设备交互以完成认证设备对网络接入设备的认证。
这里,网络接入设备与认证设备交互方式具体可参照现有认证设备对网络接入设备的认证过程,不再赘述。
优选地,在本发明中,网络接入设备在判断本设备是否已通过认证设备的认证之前,可进一步执行以下步骤:在本地记录本设备的认证状态;其中,当本设备通过认证设备的认证时,认证状态为用于表示通过认证的第一状态,当本设备未通过认证设备的认证时,认证状态为用于表示未通过认证的第二状态。
基于此,步骤202中,判断本设备是否已通过所述认证设备的认证包括:
查找本地记录的本设备的认证状态,当查找到的认证状态为第一状态时,
则确定本设备已通过认证设备的认证,当查找到的认证状态为第二状态时,则确定本设备未通过认证设备的认证。
以上对本发明提供的方法进行了简单描述。
通过上面描述的方法可以看出,在本发明中,终端设备和网络接入设备在同一设备即认证设备上集中认证,这满足组网的灵活性需求,防止终端设备、网络接入设备认证点分离带来的缺陷,同时实现方式也比较简单,简化繁琐配置。
下面以802.1X协议中的可扩展认证协议(EAP:Extensible authenticationprotocol)-MD5为例对本发明提供的方法进行举例描述:
参见图5,图5为本发明提供的实施例组网示意图。如图5所示,认证设备上使能802.1X认证功能。
终端设备上开启802.1X客户端(Client)功能,终端设备向认证设备发送认证开始(EAPoL-Start)报文,开始802.1x认证;
网络接入设备接收EAPoL-Start报文,并转发给认证设备。
认证设备接收EAPoL-Start报文,向终端设备发送EAP请求/确认(EAP-Request/Identity)报文,要求终端设备上报用户名。EAP-Request/Identity报文的目的MAC地址为终端设备的MAC地址。
网络接入设备接收EAP-Request/Identity报文,发现EAP-Request/Identity报文的目的MAC地址不为本设备的MAC地址,则查找本地记录的本设备的认证状态。
网络接入设备发现查找到的认证状态为用于表示通过认证的第一状态时,向EAP-Request/Identity报文的目的MAC地址对应的终端设备发送EAP-Request/Identity报文。
终端设备接收EAP-Request/Identity报文,回应EAP响应/确认(EAP-Response/Identity)报文,EAP-Response/Identity报文携带用户名。
网络接入设备接收EAP-Response/Identity报文,并转发给认证设备。
认证设备接收EAP-Response/Identity报文,将EAP-Response/Identity报文封装为远程用户拨号认证服务(RADIUS:Remote Authentication Dial In User Service)接入请求(Access-Request)报文并发送给RADIUS服务器。
RADIUS服务器接收RADIUS Access-Request报文,随机产生一个挑战(Challenge)字,向认证设备发送RADIUS Access-Challenge报文。RADIUS Access-Challenge报文携带EAP-Request/MD5-Challenge报文。
认证设备向终端设备发送EAP-Request/MD5-Challenge报文,要求终端设备进行认证。EAP-Request/MD5-Challenge的目的MAC地址为终端设备的MAC地址。
网络接入设备接收EAP-Request/MD5-Challenge报文,发现EAP-Request/MD5-Challenge报文的目的MAC地址不为本设备的MAC地址,则查找本地记录的本设备的认证状态。
网络接入设备发现查找到的认证状态为用于表示通过认证的第一状态时,向EAP-Request/MD5-Challenge报文的目的MAC地址对应的终端设备发送EAP-Request/MD5-Challenge报文。
终端设备收到EAP-Request/MD5-Challenge报文后,将密码和EAP-Request/MD5-Challenge报文携带的Challenge字进行MD5加密,得到Challenged-Pass-word,将Challenged-Pass-word携带在EAP-Response/MD5-Challenge报文发送给认证设备;
网络接入设备接收EAP-Response/MD5-Challenge报文,并转发给认证设备。
认证设备接收EAP-Response/MD5-Challenge报文,将EAP-Response/MD5-Challenge报文封装为RADIUS-Access-Request报文发送给RADIUS服务器。
RADIUS服务器接收RADIUS-Access-Request报文,根据RADIUS-Access-Request报文携带的Challenged-Pass-word判断用户是否合法,当合法,则返回RadiusAccess-Accept认证报文给认证设备;
认证设备接收RadiusAccess-Accept认证报文,向终端设备发送EAP-Success报文,通知终端设备上线成功。
至此,完成了终端设备的认证。
需要说明的是,在上面描述中,当网络接入设备接收EAP-Request/Identity报文,发现EAP-Request/Identity报文的目的MAC地址不为本设备的MAC地址,且查找到本地记录的本设备的认证状态为用于表示未通过认证的第二状态时,则网络接入设备终止转发EAP-Request/Identity报文;同样,网络接入设备接收EAP-Request/MD5-Challenge报文,发现EAP-Request/MD5-Challenge报文的目的MAC地址不为本设备的MAC地址,且查找到本地记录的本设备的认证状态为用于表示未通过认证的第二状态时,则终止发送EAP-Request/MD5-Challenge报文。
如图5所示的组网,还包含认证设备对网络接入设备的认证,该认证方式类似现有认证方式,不再赘述。
至此,完成图5所示实施例描述。
以上对本发明提供的方法进行了描述,下面对本发明提供的装置进行描述:
参见图6,图6为本发明提供的装置结构图。该装置应用于网络接入设备。如图6所示,该装置可包括:
接收单元,用于接收认证设备发送的认证报文;
判断单元,用于当所述认证报文的目的MAC地址不为本设备的MAC地址时,判断本设备是否已通过所述认证设备的认证,
处理单元,用于在所述判断单元的判断结果为否时,终止转发所述认证报文,在所述判断单元的判断结果为是时,继续向所述认证报文的目的MAC地址对应的终端设备转发所述认证报文以使所述终端设备完成认证。
优选地,当所述判断单元判断出本设备未通过所述认证设备的认证后,或者在所述判断单元判断出本设备已通过所述认证设备的认证之前,该装置进一步包括:
认证单元,用于与所述认证设备交互以完成认证设备对本设备的认证。
优选地,该装置进一步包括:
存储单元,用于存储本设备的认证状态;其中,当本设备通过所述认证设备的认证时,所述认证状态为用于表示通过认证的第一状态,当本设备未通过所述认证设备的认证时,所述认证状态为用于表示未通过认证的第二状态;
基于此,所述判断单元判断本设备是否已通过所述认证设备的认证包括:
查找本地记录的本设备的认证状态,当查找到的认证状态为第一状态时,则确定本设备已通过所述认证设备的认证,当查找到的认证状态为第二状态时,则确定本设备未通过所述认证设备的认证。
优选地,所述认证报文为遵守802.1X协议的协议报文。
至此,完成图6所示装置结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种认证方法,其特征在于,该方法应用于网络接入设备,包括:
接收认证设备发送的认证报文;
当所述认证报文的目的MAC地址不为本设备的MAC地址时,
判断本设备是否已通过所述认证设备的认证,
如果否,终止转发所述认证报文;
如果是,继续向所述认证报文的目的MAC地址对应的终端设备转发所述认证报文以使所述终端设备完成认证。
2.根据权利要求1所述的方法,其特征在于,当判断出本设备未通过所述认证设备的认证后,或者在判断出本设备已通过所述认证设备的认证之前,该方法进一步包括:
与所述认证设备交互以完成认证设备对本设备的认证。
3.根据权利要求1或2所述的方法,其特征在于,判断本设备是否已通过所述认证设备的认证之前,该方法进一步包括:在本地记录本设备的认证状态;其中,当本设备通过所述认证设备的认证时,所述认证状态为用于表示通过认证的第一状态,当本设备未通过所述认证设备的认证时,所述认证状态为用于表示未通过认证的第二状态;
所述判断本设备是否已通过所述认证设备的认证包括:
查找本地记录的本设备的认证状态,当查找到的认证状态为第一状态时,则确定本设备已通过所述认证设备的认证,当查找到的认证状态为第二状态时,则确定本设备未通过所述认证设备的认证。
4.根据权利要求1或2所述的方法,其特征在于,所述认证报文为遵守802.1X协议的协议报文。
5.一种认证装置,其特征在于,该装置应用于网络接入设备,包括:
接收单元,用于接收认证设备发送的认证报文;
判断单元,用于当所述认证报文的目的MAC地址不为本设备的MAC地址时,判断本设备是否已通过所述认证设备的认证,
处理单元,用于在所述判断单元的判断结果为否时,终止转发所述认证报文,在所述判断单元的判断结果为是时,继续向所述认证报文的目的MAC地址对应的终端设备转发所述认证报文以使所述终端设备完成认证。
6.根据权利要求5所述的装置,其特征在于,当所述判断单元判断出本设备未通过所述认证设备的认证后,或者在所述判断单元判断出本设备已通过所述认证设备的认证之前,该装置进一步包括:
认证单元,用于与所述认证设备交互以完成认证设备对本设备的认证。
7.根据权利要求5或6所述的装置,其特征在于,该装置进一步包括:
存储单元,用于存储本设备的认证状态;其中,当本设备通过所述认证设备的认证时,所述认证状态为用于表示通过认证的第一状态,当本设备未通过所述认证设备的认证时,所述认证状态为用于表示未通过认证的第二状态;
所述判断单元判断本设备是否已通过所述认证设备的认证包括:
查找本地记录的本设备的认证状态,当查找到的认证状态为第一状态时,则确定本设备已通过所述认证设备的认证,当查找到的认证状态为第二状态时,则确定本设备未通过所述认证设备的认证。
8.根据权利要求5或6所述的装置,其特征在于,所述认证报文为遵守802.1X协议的协议报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610992331.7A CN106603492B (zh) | 2016-11-10 | 2016-11-10 | 一种认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610992331.7A CN106603492B (zh) | 2016-11-10 | 2016-11-10 | 一种认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106603492A true CN106603492A (zh) | 2017-04-26 |
| CN106603492B CN106603492B (zh) | 2020-04-03 |
Family
ID=58590899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610992331.7A Active CN106603492B (zh) | 2016-11-10 | 2016-11-10 | 一种认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603492B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056172A (zh) * | 2006-04-10 | 2007-10-17 | 富士通株式会社 | 认证网络系统 |
| CN101478554A (zh) * | 2009-02-13 | 2009-07-08 | 北京星网锐捷网络技术有限公司 | 802.1x认证方法、装置、系统、客户端和网络设备 |
| CN101841811A (zh) * | 2009-03-18 | 2010-09-22 | 华为技术有限公司 | 一种预认证方法、设备及系统 |
-
2016
- 2016-11-10 CN CN201610992331.7A patent/CN106603492B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056172A (zh) * | 2006-04-10 | 2007-10-17 | 富士通株式会社 | 认证网络系统 |
| CN101478554A (zh) * | 2009-02-13 | 2009-07-08 | 北京星网锐捷网络技术有限公司 | 802.1x认证方法、装置、系统、客户端和网络设备 |
| CN101841811A (zh) * | 2009-03-18 | 2010-09-22 | 华为技术有限公司 | 一种预认证方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106603492B (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| US9641324B2 (en) | Method and device for authenticating request message | |
| CN103457738B (zh) | 基于浏览器的登陆处理方法及系统 | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| US20050188219A1 (en) | Method and a system for communication between a terminal and at least one communication equipment | |
| EP2953308A1 (en) | Method and device for handling authentication of static user terminal | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| WO2006020329B1 (en) | Method and apparatus for determining authentication capabilities | |
| EP3609152A1 (en) | Internet-of-things authentication system and internet-of-things authentication method | |
| CN109495503B (zh) | 一种ssl vpn认证方法、客户端、服务器及网关 | |
| DK2924944T3 (en) | Presence authentication | |
| US20040073793A1 (en) | Network system, information processing device, repeater, and method of building network system | |
| CN111010363B (zh) | 信息认证方法及其系统、认证模块以及用户终端 | |
| EP4057658A1 (en) | Machine-card verification method applied to minimalist network, and related device | |
| CN108985037A (zh) | 一种身份验证方法、登录终端及系统 | |
| CN107370765A (zh) | 一种ftp服务器身份认证方法及系统 | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN104113548A (zh) | 一种认证报文处理方法及装置 | |
| CN106203021A (zh) | 一种多认证模式一体化的应用登录方法和系统 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN105915557B (zh) | 一种网络认证方法、访问控制方法和网络接入设备 | |
| CN108123918A (zh) | 一种账户认证登录方法及装置 | |
| US8200191B1 (en) | Treatment of devices that fail authentication | |
| US20090193247A1 (en) | Proprietary protocol tunneling over eap |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |