CN107528857A - 一种基于端口的认证方法、交换机及存储介质 - Google Patents
一种基于端口的认证方法、交换机及存储介质 Download PDFInfo
- Publication number
- CN107528857A CN107528857A CN201710896143.9A CN201710896143A CN107528857A CN 107528857 A CN107528857 A CN 107528857A CN 201710896143 A CN201710896143 A CN 201710896143A CN 107528857 A CN107528857 A CN 107528857A
- Authority
- CN
- China
- Prior art keywords
- port
- authentication
- switch
- role
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000004044 response Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 238000013475 authorization Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于端口的认证方法、交换机及存储介质,所述方法包括:当第一交换机的第一认证端口和第二交换机的第二认证端口相连时,所述第一交换机选择所述第一认证端口的端口角色;其中,所述端口角色包括:申请者角色或者认证者角色;当所述第一认证端口的端口角色为所述申请者角色时,所述第一交换机通过所述第二交换机由认证服务器认证所述第一认证端口;当第一认证端口的端口角色为认证者角色时,第一交换机通过认证服务器认证第二认证端口。两个互连交换机通过选择认证端口的端口角色的方式,可以实现两个交换机互连时端口的身份认证。
Description
技术领域
本发明实施例涉及网络通信技术领域,尤其涉及一种基于端口的认证方法、交换机及存储介质。
背景技术
可信交换网络系统要求每个接入用户进行认证与控制,保证通信实体之间的可信关系和控制。对于现有的终端设备,现有的IEEE802.1x已经进行了规范和实现。IEEE802.1x协议称为基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,达到接收合法用户输入,保护网络安全的目的。
图1为现有IEEE802.1x认证体系的组成结构示意图。如图1所示,基于IEEE802.1x协议的认证体系包括以下三个组成部分:申请者(Supplicant)、认证系统(Authenticator)和认证服务器(Authentication Server)。1)、申请者:申请者需要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x认证。为了支持基于端口的接入控制,申请者需要支持EAPoL协议(EAP OVER LAN基于局域网的扩展认证协议)。2)、认证系统:认证系统是指已经位于可信网络系统内部并且至少有一个端口通过身份认证的交换机;认证系统在申请者和认证服务器之间起到代理作用,能够将来自申请者的EAPoL认证请求报文转为RADIUS报文发到认证服务器、将认证服务器返回的RADIUS报文转为EAPoL报文发送给申请者。认证系统根据认证服务器对申请者的认证请求结果,来决定是否将申请者的接入物理端口打开。3)、认证服务器:认证服务器是指能够具备处理入网身份认证和访问权限检查能力的专用服务器,通常为RADIUS(Remote Authentication Dial In User Service)服务器,认证服务器能够检查申请者和认证系统的身份、类型和网络访问权限,并且通过认证系统向申请者返回身份认证应答结果。认证系统和认证服务器之间通过承载于RADIUS协议之上的EAP(Extensible Authentication Protocol,扩展认证协议)协议进行通信。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
在现有的交换网络中,接入用户包括:终端设备和交换机;对于终端设备的认证授权服务,现有的IEEE 802.1X协议已经进行了规范和实现;但是对于交换机的认证授权服务,由于交换机的端口具有申请者和认证者两种角色,现有基于IEEE 802.1x协议的认证方法无法对兼具这两种角色的交换机端口进行认证。也就是说,现有IEEE802.1x协议主要用于终端设备接入网络时的身份认证,该协议没有考虑交换机接入网络时的身份认证问题。
发明内容
本发明提供一种基于端口的认证方法、交换机及存储介质,可以实现两个交换机互连时端口的身份认证。
为达到上述目的,本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种基于端口的认证方法,所述方法包括:
当第一交换机的第一认证端口和第二交换机的第二认证端口相连时,所述第一交换机选择所述第一认证端口的端口角色;其中,所述端口角色包括:申请者角色或者认证者角色;
当所述第一认证端口的端口角色为所述申请者角色时,所述第一交换机通过所述第二交换机由认证服务器认证所述第一认证端口;
当所述第一认证端口的端口角色为所述认证者角色时,所述第一交换机通过所述认证服务器认证所述第二认证端口。
在上述实施例中,所述第一交换机选择所述第一认证端口的端口角色,包括:
当所述第一认证端口的端口状态为所述角色协商状态时,所述第一交换机与所述第二交换机协商所述第一认证端口的端口角色。
在上述实施例中,所述第一交换机与所述第二交换机协商所述第一认证端口的端口角色,包括:
所述第一交换机通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;
所述第一交换机通过所述第一认证端口和所述第二认证端口接收所述第二交换机发送的第二认证开始报文;其中,所述第二认证开始报文携带所述第二认证端口的第二优先级;
所述第一交换机根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
在上述实施例中,所述第一交换机根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色,包括:
所述第一交换机判断所述第一优先级是否高于所述第二优先级;
当所述第一优先级高于所述第二优先级时,所述第一交换机选择所述第一认证端口的端口角色为所述认证者角色;
当所述第一优先级低于所述第二优先级时,所述第一交换机选择所述第一认证端口的端口角色为所述申请者角色。
在上述实施例中,所述第一交换机与所述第二交换机协商所述第一认证端口的端口角色,包括:
所述第一交换机通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;
当在预设时间段内接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,所述第一交换机选择所述第一认证端口的端口角色为所述申请者角色;其中,所述第二交换机确定所述第二认证端口的第二优先级高于所述第一认证开始报文携带的第一优先级时,向所述第一交换机返回所述第一认证答复报文;或者,当在预设时间段内未接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,所述第一交换机根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
第二方面,本发明实施例还提供了一种交换机,所述交换机包括:角色选择单元和端口认证单元;其中,
所述角色选择单元,用于当交换机的第一认证端口和第二交换机的第二认证端口相连时,选择所述第一认证端口的端口角色;其中,所述端口角色包括:申请者角色或者认证者角色;
所述端口认证单元,用于当所述第一认证端口的端口角色为所述申请者角色时,通过所述第二交换机由认证服务器认证所述第一认证端口;当所述第一认证端口的端口角色为所述认证者角色时,通过所述认证服务器认证所述第二认证端口。
在上述实施例中,所述角色选择单元,具体用于当所述第一认证端口的端口状态为所述角色协商状态时,与所述第二交换机协商所述第一认证端口的端口角色。
在上述实施例中,所述角色选择单元,具体用于通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;通过所述第一认证端口和所述第二认证端口接收所述第二交换机发送的第二认证开始报文;其中,所述第二认证开始报文携带所述第二认证端口的第二优先级;根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
在上述实施例中,所述角色选择单元,具体用于判断所述第一优先级是否高于所述第二优先级;当所述第一优先级高于所述第二优先级时,选择所述第一认证端口的端口角色为所述认证者角色;当所述第一优先级低于所述第二优先级时,选择所述第一认证端口的端口角色为所述申请者角色。
在上述实施例中,所述角色选择单元,具体用于通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;当在预设时间段内接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,选择所述第一认证端口的端口角色为所述申请者角色;其中,所述第二交换机确定所述第二认证端口的第二优先级高于所述第一认证开始报文携带的第一优先级时,向所述交换机返回所述第一认证答复报文;或者,当在预设时间段内未接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
第三方面,本发明实施例还提供了一种非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如上述第一方面任一所述的方法。
第四方面,本发明实施例还提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述第一方面任一所述的方法。
本发明实施例提出了一种基于端口的认证方法、交换机及存储介质,当第一交换机的第一认证端口和第二交换机的第二认证端口连接时,第一交换机先选择第一认证端口的端口角色;其中,端口角色包括:申请者角色或者认证者角色;当第一认证端口的端口角色为申请者角色时,第一交换机通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,第一交换机通过认证服务器认证第二认证端口。也就是说,在本发明实施例提出的技术方案中,第一交换机可以先选择第一认证端口的端口角色,当第一认证端口的端口角色为申请者角色时,第一交换机再通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,第一交换机通过认证服务器认证第二认证端口。而在现有基于端口的认证方法中,终端设备的端口角色永远是申请者,交换机的端口角色永远是认证者;当交换机接入到交换网络中时,由于交换机的端口具有申请者和认证者两种角色,现有基于IEEE 802.1x协议的认证方法无法对兼具这两种角色的交换机端口进行认证。因此,和现有技术相比,本发明实施例提出的基于端口的认证方法、交换机及存储介质,两个互连交换机通过选择认证端口的端口角色的方式,实现了一个交换机通过另一个交换机在认证服务器进行身份认证的目的,达到了未接入可信网络的交换机,通过已接入可信网络的交换机,在认证服务器处进行身份认证,并在认证通过后接入可信网络的目的;并且,本发明实施例的技术方案实现简单方便、便于普及,适用范围更广。
附图说明
图1为现有IEEE802.1x认证体系的组成结构示意图;
图2为本发明实施例中基于端口的认证方法的实现流程示意图;
图3为本发明实施例中第一交换网络的组成结构示意图;
图4为本发明实施例中第一交换网络与第二交换网络的组成结构示意图;
图5为本发明实施例中端口状态的切换方法的实现流程示意图;
图6为本发明实施例中协商端口角色的实现方法流程示意图;
图7为本发明实施例中EAP-TTLS认证方法的实现流程示意图;
图8为本发明实施例中交换网络的拓扑结构示意图;
图9为本发明实施例中交换机的组成结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。例如,第一交换机和第二交换机中的“第一”和“第二”用来区分两个不同的交换机,第一认证端口和第二认证端口“第一”和“第二”用来区分两个不同的认证端口。
本发明实施例提出了一种交换机认证授权服务协议(switch ExtensibleAuthentication Protocol,swEAP),swEAP是通过现有IEEE 802.1X协议的基础上进行扩展,从而实现交换机接入可信网络系统时对其认证授权的协议。在本发明的具体实施中,swEAP继承了IEEE 802.1X协议通用的认证和授权框架特点,可以适配等多种认证机制,至少可以支持EAP-MD5(Message Digest5)、EAP-TLS(Transport Layer Security,传输层安全协议)、EAP-TTLS(Tunnelled Transport Layer Security,基于隧道的传输层安全协议)这三种应用最广泛的认证方式。下面详细介绍采用swEAP时基于端口的认证方法。
图2为本发明实施例中基于端口的认证方法的实现流程示意图。如图2所示,基于端口的认证方法可以包括以下步骤:
步骤201、当第一交换机的第一认证端口和第二交换机的第二认证端口连接时,第一交换机选择第一认证端口的端口角色;其中,端口角色包括:申请者角色或者认证者角色。
在本发明的具体实施例中,申请者角色是指未接入交换网络的交换机端口的端口角色;认证者角色是指已接入交换网络的交换机端口的端口角色;申请者角色是指未接入交换网络的交换机端口的端口角色。也就是说,认证者角色的交换机已经位于交换网络内部并且至少有一个端口已经通过身份认证。当第一交换机的第一认证端口和第二交换机的第二认证端口连接时,第一交换机可以选择第一认证端口的端口角色;同样地,第二交换机也可以选择第二认证端口的端口角色;其中,端口角色包括:申请者角色或者认证者角色。也就是说,本发明实施例提出的swEAP是在现有的IEEE 802.1X协议的基础上进行了扩展,即:第一交换机可以选择第一认证端口的端口角色;同样地,第二交换机也可以选择第二认证端口的角色;而在现有的IEEE 802.1X协议中,终端设备的端口角色永远是申请者,交换机的端口角色永远是认证者;现有基于IEEE 802.1x协议的认证方法无法对兼具这两种角色的交换机端口进行认证。本发明实施例提出的基于端口的认证方法,两个互连交换机通过选择认证端口的端口角色的方式,实现了交换机认证端口的身份认证。
图3为本发明实施例中第一交换网络的组成结构示意图。如图3所示,左侧虚框内是未接入第一交换网络的第一交换机(SW1),当第一交换机通过第一认证端口和第二认证端口与已接入到第一交换网络的第二交换机(SW2)相连时,第一交换机与第二交换机可以进行双向身份认证。第一交换机的第一认证端口认证通过后,第一交换机即可接入到第一交换网络。具体地,接入到第一交换网络的第一交换机将具备成为认证者角色的条件,具备该条件的第一交换机在收到第二交换机发送的认证答复报文后才可以选择是否转为认证者角色,否则第一交换机只能一直处于申请者角色。
图4为本发明实施例中第一交换网络与第二交换网络的组成结构示意图。如图4所示,第一交换机(SW1)已接入到第一交换网络;第二交换机(SW2)已接入到第二交换网络;此时第一交换机和第二交换机均具备转为认证者角色的条件。当第一交换机通过第一认证端口和第二认证端口与第二交换机相连时,第一交换机与第二交换机可以进行角色协商;即:第一交换机选择第一认证端口的端口角色;第二交换机选择第二认证端口的端口角色。具体地,第一交换机可以选择第一认证端口的端口角色为申请者角色,第二交换机可以选择第二认证端口的端口角色为认证者角色;或者,第一交换机可以选择第一认证端口的端口角色为认证者角色,第二交换机可以选择第二认证端口的端口角色为申请者角色。假设第一认证端口的端口角色为申请者角色,那么,第二认证服务器在对第一认证端口认证通过后,第一交换网络和第二交换网络可以融合为一个更大的交换网络。
在本发明的具体实施例中,第一交换机的第一认证端口和第二交换机的第二认证端口均可以处于以下四种端口状态:初始化状态、角色协商状态、申请者状态或者认证者状态。图5为本发明实施例中端口状态的切换方法的实现流程示意图。如图5所示,当第一认证端口或者第二认证端口的端口状态为初始化状态时,第一认证端口或者第二认证端口可以从初始化状态切换到角色协商状态;当第一认证端口或者第二认证端口的端口状态为角色协商状态时,第一认证端口或者第二认证端口可以从角色协商状态切换到申请者状态或者认证者状态;此外,第一认证端口或者第二认证端口也可以从角色协商状态切换到初始化状态;当第一认证端口或者第二认证端口的端口状态为申请者状态时,第一认证端口或者第二认证端口可以从申请者状态切换到初始化状态或者角色协商状态;当第一认证端口或者第二认证端口的端口状态为认证者状态时,第一认证端口或者第二认证端口可以从认证者状态切换到初始化状态或者角色协商状态。
其中,第一交换机选择第一认证端口的端口角色,具体包括:当第一认证端口或者第二认证端口的端口状态为初始化状态时,第一认证端口或者第二认证端口可以从初始化状态切换到角色协商状态,第一认证端口的端口状态切换到角色协商状态时,第一交换机与第二交换机协商第一认证端口的端口角色。
具体地,在本发明的具体实施例中,初始化状态指的是第一认证端口或者第二认证端口处于链路断开(Link Down)、协议不工作(协议Disable)或者工作模式为强制模式,强制模式包括强制授权模式或者强制非授权模式,此时第一认证端口或者第二认证端口处于初始化状态。
具体地,在本发明的具体实施例中,角色协商状态指的是第一认证端口或者第二认证端口处于链路连接(Link Up)、协议工作(协议Enable)且工作模式为自动识别模式,此时第一认证端口或者第二认证端口处于角色协商状态。
具体地,在本发明的具体实施例中,申请者状态指的是第一认证端口在向第二认证端口发送第一认证开始报文(演进的EAPoL-Start报文)后,接收到第二认证端口回复第一认证答复报文(演进的EAPoL-Requst报文),说明第二认证端口已经从角色协商状态切换为认证者状态,此时第一认证端口处于申请者状态;或者,第二认证端口在向第一认证端口发送第二认证开始报文(演进的EAPol-Start报文)后,接收到第一认证端口回复第一认证答复报文(演进的EAPol-Requst报文),说明第一认证端口已经从角色协商状态切换为认证者状态,此时第二认证端口处于申请者状态。
具体地,在本发明的具体实施例中,认证者状态指的是第一认证端口在接收到第二认证端口发送的第二认证开始报文(演进的EAPol-Start报文)后,如果第二认证端口的第二优先级低于第一认证端口的优先级时,此时第一认证端口处于认证者状态;或者,第二认证端口在接收到第一认证端口发送的第二认证开始报文(演进的EAPol-Start报文)后,如果第一认证端口的第一优先级低于第二认证端口的第二优先级,此时第二认证端口处于认证者状态。
具体地,在本发明的具体实施例中,当第一认证端口或者第二认证端口处于申请者状态或者认证者状态时,如果第一认证端口或者第二认证端口满足预先设置的协商条件时,第一认证端口或者第二认证端口可以从申请者状态或者认证者状态切换到角色协商状态。例如,如果第一认证端口或者第二认证端口在认证过程中出现认证异常、认证超时、认证失败或者重新认证失败,第一认证端口或者第二认证端口可以从申请者状态或者认证者状态切换到角色协商状态。具体地,在第一交换机通过第二交换机由认证服务器认证第一认证端口的认证过程中,如果出现认证异常、认证超时、认证失败或者重新认证失败,第一认证端口从申请者状态切换到角色协商状态,第二认证端口从认证者状态切换到角色协商状态。
在本发明的具体实施例中,第一认证端口可以处于初始化状态、角色协商状态、申请者状态或者认证者状态,当第一认证端口处于角色协商状态时,第一交换机可以与第二交换机进一步协商第一认证端口的端口角色;即:第一交换机可以与第二交换机进一步协商第一认证端口的端口角色为申请者状态还是认证者状态。同样地,第二认证端口也可以处于初始化状态、角色协商状态、申请者状态或者认证者状态,当第二认证端口处于角色协商状态时,第二交换机可以与第一交换机进一步协商第二认证端口的端口角色;即:第二交换机可以与第一交换机进一步协商第二认证端口的端口角色为申请者状态还是认证者状态。
较佳地,在本发明的具体实施例中,当第一认证端口的端口状态为申请者状态时,第一交换机可以直接选择第一认证端口的端口角色为申请者角色;当第一认证端口的端口状态为认证者状态时,第一交换机可以直接选择第一认证端口的端口角色为认证者角色。同样地,当第二认证端口的端口状态为申请者状态时,第二交换机可以直接选择第二认证端口的端口角色为申请者角色;当第二认证端口的端口状态为认证者状态时,第二交换机可以直接选择第二认证端口的端口角色为认证者角色。
根据上述的描述可知,第一交换机可以根据第一认证端口的端口状态选择第一认证端口的端口角色,当第一认证端口的端口状态为角色协商状态时,第一交换机与第二交换机协商第一认证端口的端口角色;当第一认证端口的端口状态为申请者状态时,第一交换机可以直接选择第一认证端口的端口角色为申请者角色;当第一认证端口的端口状态为认证者状态时,第一交换机可以直接选择第一认证端口的端口角色的认证者角色。当第一认证端口的端口角色为申请者角色时,第一交换机可以通过第二交换机由认证服务器认证第一认证端口。
图6为本发明实施例中协商端口角色的实现方法流程示意图。如图6所示,第一交换机与第二交换机协商第一认证端口的端口角色的方法可以包括以下步骤:
步骤601、第一交换机通过第一认证端口和第二认证端口向第二交换机发送第一认证开始报文;其中,第一认证开始报文携带第一认证端口的第一优先级。
在本发明的具体实施例中,当第一认证端口的端口状态为角色协商状态时,第一交换机可以与第二交换机协商第一认证端口的端口角色。具体地,第一交换机可以通过第一认证端口和第二认证端口向第二交换机发送第一认证开始报文(演进的EAPoL-Start报文);其中,第一认证开始报文可以携带第一认证端口的第一优先级。同样地,第二交换机也可以通过第一认证端口和第二认证端口向第一交换机发送第二认证开始报文(演进的EAPoL-Start报文);其中,第二认证开始报文可以携带第二认证端口的第二优先级。
步骤602、第一交换机通过第一认证端口和第二认证端口接收第二交换机发送的第二认证开始报文;其中,第二认证开始报文携带第二认证端口的第二优先级。
在本发明的具体实施例中,第一交换机可以通过第一认证端口和第二认证端口接收第二交换机发送的第二认证开始报文(演进的EAPoL-Start报文);其中,第二认证开始报文可以携带第二认证端口的第二优先级。同样地,第二交换机也可以通过第一认证端口和第二认证端口接收第一交换机发送的第一认证开始报文(演进的EAPoL-Start报文);其中,第一认证开始报文可以携带第一认证端口的第一优先级。
在现有技术中,EAP协议是一种提供网络接入认证的可扩展框架,可以支持不同的认证方法。EAP一般承载在互联网二层协议之上,用户只有在完成EAP规定的认证之后才能进行合法的网络通信,不能正确认证的用户则不能进行数据通信。具体地,EAP帧结构如下述表1所示:
表1
在上述表1中,字段“Code”占用1个字节,表示EAP帧的四种类型:1、答复(Request);2、响应(Response);3、成功(Success);4、失败(Failure);字段“Identifier”占用1个字节,表示EAP帧的编号(ID),用于匹配Request和Response;字段“Length”占用2个字节,表示EAP帧的总长度;字段“Data”表示EAP帧中具体的数据。
在本发明的具体实施例中,当第一认证端口的端口状态为角色协商状态时,第一交换机可以通过第一认证端口和第二认证端口发送第一认证开始报文(演进的EAPoL-Start报文),其中,第一认证开始报文可以携带第一认证端口的第一优先级。具体地,携带优先级(包括:第一优先级或者第二优先级)的EAP帧结构如下述表2所示:
表2
在上述表2中,字段“Code”占用1个字节,表示EAP帧的四种类型:1、答复(Request);2、响应(Response);3、成功(Success);4、失败(Failure);字段“Identifier”占用1个字节,表示EAP帧的编号(ID),用于匹配Request和Response;字段“Length”占用2个字节,表示EAP帧的总长度;字段“优先级”占用12个字节,分别为:“保留字段0(R0)”、“入网状态(S)”、“保留字段1(R1)”、“用户配置优先级(U)”、“保留字段2(R2)”、“MAC地址”和“端口号(P)”;其中,1)、字段“保留字段0(R0)”占用1个字节,暂时保留,缺省值为0;2)、字段“入网状态(S)”占用1个字节,该字段表示是否至少有一个端口处于认证授权状态(包括自动识别模式中的认证成功和强制授权模式)并已接入到交换网络中;当“入网状态S”取“0”时表示“未入网”,当“入网状态S”取“0”时表示“已入网”;3)、字段“保留字段1(R1)”占用1个字节,暂时保留,缺省值为0;4)、字段“用户配置优先级(U)”占用1个字节,该字段由用户根据交换机在交换网络中的位置、设备重要性等进行配置,取值范围为0-255,缺省值为0x7F;5)、字段“保留字段2(R2)”占用1个字节,暂时保留,缺省值为0;6)、字段“MAC地址”占用6个字节,表示交换机端口的MAC地址;7)、字段“端口号(P)”占用1个字节,表示发起端口在交换机设备中的全局唯一索引。以上12个字节(字节4-15)可以表示第一认证端口的第一优先级;也可以表示第二认证端口的第二优先级,因此,第一交换机可以根据第一优先级和第二优先级协商出第一认证端口的端口角色;同样地,第二交换机也可以根据第一优先级和第二优先级协商出第二认证端口的端口角色。
在本发明的具体实施例中,EAP在LAN的报文(简称EAPoL)封装格式在IEEE802.1x协议中定义,EAPoL帧结构如下述表3所示:
表3
在上述表3中,字段“PAE Ethernet Type”占用1个字节,表示协议类型,IEEE802.1x分配的协议类型为0x888E;字段“Version”占用1个字节,表示EAPoL帧的发送方所支持的协议版本号;字段“Type”占用1个字节,表示传送的帧类型,如下几种帧类型:a)、EAP-Packet,交换机认证信息帧,值为100;b)、EAP-Start,交换机认证发起帧,值为101;c)、EAP-Logoff,交换机退出请求帧,值为102;字段“Length”占用2个字节,表示Packet Body的长度;字段“Packet Body”,占用0/多个字节,如果字段“Type”为“EAP-Packet”和“EAP-Start”,取相应值;如果字段“Type”为“EAP-Logoff”,该值为空。
具体地,本发明实施例提出的swEAP是在现有的IEEE 802.1X协议的基础上进行了扩展,EAPoL帧结构中的“Packet Body”字段可以携带交换机的优先级,即:“Packet Body”字段可以用来携带第一认证端口的第一优先级,也可以用来携带第二认证端口的第二优先级。也就是说,第一交换机通过第一认证端口和第二认证端口向第二交换机发送的第一认证开始报文中,第一交换机可以通过“Packet Body”字段携带第一认证端口的第一优先级;同样地,第一交换机通过第一认证端口和第二认证端口接收第二交换机发送的第二认证开始报文,第二交换机可以通过“Packet Body”字段携带第二认证端口的第二优先级。
步骤603、第一交换机根据第一优先级和第二优先级协商出第一认证端口的端口角色。
在本发明的具体实施例中,第一交换机可以根据第一优先级和第二优先级协商出第一认证端口的端口角色;同样地,第二交换机也可以根据第一优先级和第二优先级协商出第二认证端口的端口角色。具体地,第一交换机可以判断第一优先级是否高于第二优先级;当第一优先级高于第二优先级时,第一交换机可以选择第一认证端口的端口角色为认证者角色;当第一优先级低于第二优先级时,第一交换机可以选择第一认证端口的端口角色为申请者角色。同样地,第二交换机也可以判断第二优先级是否高于第一优先级;当第二优先级高于第一优先级时,第二交换机可以选择第二认证端口的端口角色为认证者角色;当第二优先级低于第一优先级时,第二交换机可以选择第二认证端口的端口角色为申请者角色。
较佳地,在本发明的具体实施例中,第一交换机与第二交换机协商第一认证端口的端口角色时,第一交换机可以通过第一认证端口和第二认证端口向第二交换机发送第一认证开始报文;其中,第一认证开始报文携带第一认证端口的第一优先级;当第一交换机在预设时间段内接收到第二交换机通过第一认证端口和第二认证端口返回的第一认证答复报文时,第一交换机可以选择第一认证端口的端口角色为申请者角色;其中,第二交换机确定第二认证端口的第二优先级高于第一认证开始报文携带的第一优先级时,向第一交换机返回第一认证答复报文;或者,当第一交换机在预设时间段内未接收到第二交换机通过第一认证端口和第二认证端口返回的第一认证答复报文时,第一交换机根据第一优先级和第二优先级协商出第一认证端口的端口角色。
根据上述的描述可知,通过上述的步骤601~603,第一交换机可以与第二交换机协商出第一认证端口的端口角色;同样地,第二交换机也可以与第一交换机协商出第二认证端口的端口角色;当第一认证端口的端口角色为申请者角色时,第一交换机可以通过第二交换机由认证服务器认证第一认证端口;当第二认证端口的端口角色为申请者角色时,第二交换机可以通过第一交换机向认证服务认证第二认证端口。也就是说,本发明实施例提出的swEAP是在现有的IEEE 802.1X协议的基础上进行了扩展。具体地,第一交换机通过第一认证端口和第二认证端口向第二交换机发送的第一认证开始报文中可以携带第一认证端口的第一优先级;同样地,第二交换机通过第一认证端口和第二认证端口向第一交换机发送的第二认证开始报文中也可以携带第二认证端口的第二优先级。具体地,第一交换机通过第一认证端口和第二认证端口向第二交换机发送的第一认证开始报文可以是演进的EAPoL-Start报文;其中,所述演进的EAPoL-Start报文可以携带第一认证端口的第一优先级;同样地,第二交换机通过第一认证端口和第二认证端口向第一交换机发送的第二认证开始报文也可以是演进的EAPoL-Start报文;其中,所述演进的EAPoL-Start报文可以携带第二认证端口的第二优先级。因此,第一交换机可以根据第一优先级和第二优先级协商出第一认证端口的端口角色;第二交换机也可以根据第一优先级和第二优先级协商出第二认证端口的端口角色。而在现有的IEEE 802.1X协议中,第一交换机通过第一认证端口和第二认证端口向第二交换机发送的第一认证开始报文是不携带第一认证端口的第一优先级的;同样地,第二交换机通过第一认证端口和第二认证端口向第一交换机发送的第二认证开始报文也不携带第二认证端口的第二优先级的。因此,采用现有的IEEE 802.1X协议,两个互连交换机无法通过选择认证端口的端口角色的方式,实现交换机认证端口的身份认证。
较佳地,在本发明的具体实施例中,为了防止认证系统恶意模拟EAP-Success报文,在swEAP协议中扩展了EAP-Success报文,即在Data字段中可以携带加密后的Success信息。而在现有的IEEE 802.1X协议中,EAP-Success报文的Data字段则不携带Success信息。
步骤202、当第一认证端口的端口角色为申请者角色时,第一交换机通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,第一交换机通过认证服务器认证第二认证端口。
在本发明的具体实施例中,当第一认证端口的端口角色为申请者角色时,第一交换机可以通过第二交换机由认证服务器认证第一认证端口。具体地,当第一认证端口的端口角色为申请者角色,第二认证端口的端口角色为认证者角色时,第二交换机可以在第一交换机和认证服务器之间起到代理作用,第二交换机能够将来自第一交换机的EAPoL认证请求转为Radius报文发到认证服务器、将认证服务器返回的Radius报文转为EAPoL报文发送给第一交换机。第二交换机可以根据认证服务器对第一认证端口的认证请求结果,来决定是否将第一交换机的第一认证端口打开。
在本发明的具体实施例中,当第一认证端口的端口角色为认证者角色时,第一交换机可以通过认证服务器认证第二认证端口。具体地,当第一认证端口的端口角色为认证者角色时,第二认证端口的端口角色为申请者角色时,第一交换机可以在第二交换机和认证服务器之间起到代理作用,第一交换机能够将来自第二交换机的EAPoL认证请求转为Radius报文发到认证服务器、将认证服务器返回的Radius报文转为EAPoL报文发送给第二交换机。第一交换机可以根据认证服务器对第二认证端口的认证请求结果,来决定是否将第二交换机的第二认证端口打开。
较佳地,在本发明的具体实施例中,认证服务器可以采用多种认证机制对第一交换机的第一认证端口进行认证;具体的,认证服务器至少可以支持EAP-MD5、EAP-TLS、EAP-TTLS这三种应用最广泛的认证方式。
下面以认证服务器采用EAP-TTLS认证方式为例详细阐述认证服务器对第一认证端口的认证过程。图7为本发明实施例中EAP-TTLS认证方法的实现流程示意图。如图7所示,认证服务器采用EAP-TTLS认证方式对第一认证端口进行认证的方法可以包括以下步骤:
步骤701、第一交换机的第一认证端口向第二交换机的第二认证端口发送第一认证开始报文(演进的EAPoL-Start/Priority报文);第二交换机的第二认证端口向第一交换机的第一认证端口发送第二认证开始报文(演进的EAPoL-Start/Priority报文)。
在本发明的具体实施例中,第一认证开始报文可以携带第一认证端口的第一优先级;第二认证开始报文可以携带第二认证端口的第二优先级。因此,第一交换机可以根据第一优先级和第二优先级协商出第一认证端口的端口角色;同样地,第二交换机也可以根据第一优先级和第二优先级协商出第二认证端口的端口角色。例如,假设第一交换机未接入到可信网络中,第二交换机已接入到可信网络中,第二交换机的第二认证端口的第二优先级会高于第一交换机的第一认证端口的优先级,此时第一交换机可以根据第一优先级和第二优先级协商出第一认证端口的端口角色为申请者角色;第二交换机也可以根据第一优先级和第二优先级协商出第二认证端口的端口角色为认证者角色。
步骤702、第二交换机响应第一认证开始报文(演进的EAPoL-Start/Priority),第二交换机向第一交换机发送一个Identity(标识)类型的EAP请求报文(演进的EAP-Request/Identity报文),要求对端进行身份验证。
步骤703、第一交换机的第一认证端口在接收到演进的EAP-Request/Identity报文后,将第一认证端口的端口角色切换为申请者角色并向第二交换机的第二认证端口发送EAP-Response/Identity(TTLS)报文,响应第二交换机发出的请求。
步骤704、第二交换机将第一交换机发送的Identity响应帧中的EAP报文使用EAPoR格式封装在RADIUS报文(RADIUS Access-Request报文)中,向认证服务器发送EAP-Response Identity(TTLS)报文。
步骤705、认证服务器响应EAP-Response/Identity(TTLS)报文,生成一个Access-Challenge的验证开始报文(EAP-Request/TTLS-Start报文),通过第二交换机的第二认证端口发送给第一交换机的第一认证端口,其中EAP-Message是EAP-Request/EAP-TTLS,并且其中包含Flags=Start,表明TLS握手开始。
步骤706、第二交换机将认证服务器发送给第一交换机的报文(EAPoL-Request/passthrouh报文)转发给第一交换机。
步骤707、第一交换机接收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAPoL-Response/TTLS Client Hello报文,此时双方的加密方式、压缩数据方式尚未协商完成,在Hello报文里可以包含协商过程所需要的参数,如:TTLS版本、会话ID、一个随机数值与一些客户端所使用的整套加密方式等。
步骤708、第二交换机将第一交换机发送给认证服务器的报文(EAP-Responsepassthrouh报文)转发给认证服务器。
步骤709、认证服务器收到第一交换机发送的Access-Request报文后,生成一个Access-Challenge的验证报文(EAP-Request/TTLS:ServerHello CertiticateServerKeyExchange ServerHelloDone报文),其内容与第一交换机发送的Hello报文内容相同,另外还有认证服务器的证书、建立会话key的数据(Server_Key_Exchange)以及认证服务器完成Hello标志(Server_Hello_Done)。
步骤710、第二交换机将认证服务器发送给第一交换机的报文(EAPoL-Request/passthrouh报文)转发给第一交换机。
步骤711、第一交换机接收到Certificate_Request时需要响应,生成报文EAPoL-Response/TTLS:ClientKeyExchange ChangeCipherSpec Finished;其中,响应的数据包含自己签署过的认证响应(Certificate_Verify)、建立会话Key的数据(Client_Key_Exchange)、设定完成加密的参数(Change_Chpher_Spec)和TLS隧道建立完成的信息。
步骤712、第二交换机将第一交换机发送给认证服务器的报文(EAP-Responsepassthrouh报文)转发给认证服务器。
步骤713、认证服务器验证Certificate_Verify;如果验证失败,表示第一认证端口的身份有问题,必须发出警告信息并等候第一交换机响应,响应回来的信息为Hello报文则重新开始新的会话;否则立即中止;如果验证通过,送出再次确认加密的参数(Change_Chpher_Spec)与TLS完成的信息(EAP-Request/TTLS:ChangeCipherSpec Finished报文),在完成的信息内包含认证服务器签署过的认证回应。
步骤714、第二交换机将认证服务器发送给第一交换机的报文(EAPoL-Request/passthrouh报文)转发给第一交换机。
步骤715、第一交换机验证认证服务器的认证响应;如果验证失败表示认证服务器身份有问题,送出警告信息并等候认证服务器响应;如果验证成功,表示TLS握手成功建立了安全隧道。第一交换机利用TLS层(安全隧道)进行信息传输,把用户名和密码加密后发送给认证服务器。
步骤716、第二交换机把包含有第一交换机的用户名和密码的消息(EAP-Responsepassthrouh报文)转发给认证服务器。
步骤717、认证服务器验证用户名和密码;如果验证成功,则将Access Accept报文以明文和密文两种方式发送给第二交换机。第二交换机将密文发送给第一交换机,同时打开第二认证端口。
步骤718、第一交换机收到通过安全隧道发送来的EAPoL-Success/passthrouh报文,打开第一认证端口。
根据上述的描述可知,通过上述的步骤701~718,第一交换机的第一认证端口可以向第二交换机的第二认证端口发送第一认证开始报文;同时,第二交换机的第二认证端口也可以向第一交换机的第一认证端口发送第二认证开始报文,第一认证开始报文可以携带第一认证端口的第一优先级;第二认证开始报文可以携带第二认证端口的第二优先级。然后第一交换机可以根据第一优先级和第二优先级协商出第一认证端口的端口角色;同样地,第二交换机也可以根据第一优先级和第二优先级协商出第二认证端口的端口角色。假设第一认证端口的端口角色是申请者角色,第二认证端口的端口角色是认证者角色,此后认证服务器可以采用EAP-TTLS认证方式对第一认证端口进行认证。
在本发明的具体实施例中,认证服务器对第一认证端口认证失败时,认证服务器向第一交换机发送认证失败消息,认证失败消息使用EAP-Request消息封装,消息类型为:EAP-Failure。认证服务器对第一认证端口认证成功时,认证服务器向第一交换机发送认证成功消息,消息类型为:EAP-Success,否则按照认证失败处理。第一认证端口在认证前处于关闭状态,在认证结束时,若第一认证端口通过认证,收到认证服务器的EAP-Success消息后,需要打开端口。
在本发明的具体实施例中,认证服务器对第一认证端口认证成功后,每300秒进行一次重新认证。认证服务器对第一认证端口认证时,第一认证端口进入角色协商状态进行新的角色协商。第二交换机若600s内收不到第一交换机发送的重新认证请求,第二交换机则发送EAPoL-Request/Identity报文要求第一交换机进行身份认证。第二交换机若900s内收不到第一交换机发送的重新认证请求,则重新进入角色协商状态进行新的角色协商。
图8为本发明实施例中交换网络的拓扑结构示意图。如图8所示,每级域有设备1250台左右。不同的域处于不同的地理位置,通过广域网连通,连接广域网的交换机端口受防火墙保护,不需要进行可信认证。本发明实施例在该应用场景中的使用中,与广域网直连的交换机端口工作模式可以设置为“强制授权模式”。在本发明的具体实施例中,可以将每级域内的认证服务器配置为本级域内最高优先级的认证服务器,将上一级域内的认证服务器配置为次高优先级的认证服务器,以此类推,将顶级域内的认证服务器配置为最低优先级的认证服务器。
本发明实施例提出的基于端口的认证方法,当第一交换机的第一认证端口和第二交换机的第二认证端口连接时,第一交换机先选择第一认证端口的端口角色;其中,端口角色包括:申请者角色或者认证者角色;当第一认证端口的端口角色为申请者角色时,第一交换机通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,第一交换机通过认证服务器认证第二认证端口。也就是说,在本发明实施例提出的技术方案中,第一交换机可以先选择第一认证端口的端口角色,当第一认证端口的端口角色为申请者角色时,第一交换机再通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,第一交换机通过认证服务器认证第二认证端口。而在现有基于端口的认证方法中,终端设备的端口角色永远是申请者,交换机的端口角色永远是认证者;当交换机接入到交换网络中时,由于交换机的端口具有申请者和认证者两种角色,现有基于IEEE 802.1x协议的认证方法无法对兼具这两种角色的交换机端口进行认证。因此,和现有技术相比,本发明实施例提出的基于端口的认证方法,两个互连交换机通过选择认证端口的端口角色的方式,实现了一个交换机通过另一个交换机在认证服务器进行身份认证的目的,达到了未接入可信网络的交换机,通过已接入可信网络的交换机,在认证服务器处进行身份认证,并在认证通过后接入可信网络的目的;并且,本发明实施例的技术方案实现简单方便、便于普及,适用范围更广。
图9为本发明实施例中交换机的组成结构示意图。如图9所示,所述交换机包括:角色选择单元901和端口认证单元902;其中,
所述角色选择单元901,用于当交换机的第一认证端口和第二交换机的第二认证端口相连时,选择所述第一认证端口的端口角色;其中,所述端口角色包括:申请者角色或者认证者角色;
所述端口认证单元902,用于当所述第一认证端口的端口角色为所述申请者角色时,通过所述第二交换机由认证服务器认证所述第一认证端口;当所述第一认证端口的端口角色为所述认证者角色时,通过所述认证服务器认证所述第二认证端口。
所述角色选择单元901,具体用于当所述第一认证端口的端口状态为所述角色协商状态时,与所述第二交换机协商所述第一认证端口的端口角色。
进一步的,所述角色选择单元901,具体用于通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;通过所述第一认证端口和所述第二认证端口接收所述第二交换机发送的第二认证开始报文;其中,所述第二认证开始报文携带所述第二认证端口的第二优先级;根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
进一步的,所述角色选择单元901,具体用于判断所述第一优先级是否高于所述第二优先级;当所述第一优先级高于所述第二优先级时,选择所述第一认证端口的端口角色为所述认证者角色;当所述第一优先级低于所述第二优先级时,选择所述第一认证端口的端口角色为所述申请者角色。
进一步的,所述角色选择单元901,具体用于通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;当在预设时间段内接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,选择所述第一认证端口的端口角色为所述申请者角色;其中,所述第二交换机确定所述第二认证端口的第二优先级高于所述第一认证开始报文携带的第一优先级时,向所述交换机返回所述第一认证答复报文;或者,当在预设时间段内未接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
本发明实施例提出的交换机,当交换机的第一认证端口和第二交换机的第二认证端口连接时,交换机先选择第一认证端口的端口角色;其中,端口角色包括:申请者角色或者认证者角色;当第一认证端口的端口角色为申请者角色时,交换机通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,交换机通过认证服务器认证第二认证端口。也就是说,在本发明实施例提出的技术方案中,交换机可以先选择第一认证端口的端口角色,当第一认证端口的端口角色为申请者角色时,交换机再通过第二交换机由认证服务器认证第一认证端口;当第一认证端口的端口角色为认证者角色时,交换机通过认证服务器认证第二认证端口。而在现有基于端口的认证方法中,终端设备的端口角色永远是申请者,交换机的端口角色永远是认证者;当交换机接入到交换网络中时,由于交换机的端口具有申请者和认证者两种角色,现有基于IEEE 802.1x协议的认证方法无法对兼具这两种角色的交换机端口进行认证。因此,和现有技术相比,本发明实施例提出的交换机,两个互连交换机通过选择认证端口的端口角色的方式,实现了一个交换机通过另一个交换机在认证服务器进行身份认证的目的,达到了未接入可信网络的交换机,通过已接入可信网络的交换机,在认证服务器处进行身份认证,并在认证通过后接入可信网络的目的;并且,本发明实施例的技术方案实现简单方便、便于普及,适用范围更广。
本发明实施例还提供一种非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行上述任一实施例所述的方法。
本发明实施例还提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述任一实施例所述的方法。
当然,本发明实施例所提供的包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的认证方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (12)
1.一种基于端口的认证方法,其特征在于,所述方法包括:
当第一交换机的第一认证端口和第二交换机的第二认证端口相连时,所述第一交换机选择所述第一认证端口的端口角色;其中,所述端口角色包括:申请者角色或者认证者角色;
当所述第一认证端口的端口角色为所述申请者角色时,所述第一交换机通过所述第二交换机由认证服务器认证所述第一认证端口;
当所述第一认证端口的端口角色为所述认证者角色时,所述第一交换机通过所述认证服务器认证所述第二认证端口。
2.根据权利要求1所述的方法,其特征在于,所述第一交换机选择所述第一认证端口的端口角色,包括:
当所述第一认证端口的端口状态为所述角色协商状态时,所述第一交换机与所述第二交换机协商所述第一认证端口的端口角色。
3.根据权利要求2所述的方法,其特征在于,所述第一交换机与所述第二交换机协商所述第一认证端口的端口角色,包括:
所述第一交换机通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;
所述第一交换机通过所述第一认证端口和所述第二认证端口接收所述第二交换机发送的第二认证开始报文;其中,所述第二认证开始报文携带所述第二认证端口的第二优先级;
所述第一交换机根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
4.根据权利要求3所述的方法,其特征在于,所述第一交换机根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色,包括:
所述第一交换机判断所述第一优先级是否高于所述第二优先级;
当所述第一优先级高于所述第二优先级时,所述第一交换机选择所述第一认证端口的端口角色为所述认证者角色;
当所述第一优先级低于所述第二优先级时,所述第一交换机选择所述第一认证端口的端口角色为所述申请者角色。
5.根据权利要求2所述的方法,其特征在于,所述第一交换机与所述第二交换机协商所述第一认证端口的端口角色,包括:
所述第一交换机通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;
当在预设时间段内接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,所述第一交换机选择所述第一认证端口的端口角色为所述申请者角色;其中,所述第二交换机确定所述第二认证端口的第二优先级高于所述第一认证开始报文携带的第一优先级时,向所述第一交换机返回所述第一认证答复报文;或者,当在预设时间段内未接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,所述第一交换机根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
6.一种交换机,其特征在于,所述交换机包括:角色选择单元和端口认证单元;其中,
所述角色选择单元,用于当交换机的第一认证端口和第二交换机的第二认证端口相连时,选择所述第一认证端口的端口角色;其中,所述端口角色包括:申请者角色或者认证者角色;
所述端口认证单元,用于当所述第一认证端口的端口角色为所述申请者角色时,通过所述第二交换机由认证服务器认证所述第一认证端口;当所述第一认证端口的端口角色为所述认证者角色时,通过所述认证服务器认证所述第二认证端口。
7.根据权利要求6所述的交换机,其特征在于,所述角色选择单元,具体用于当所述第一认证端口的端口状态为所述角色协商状态时,与所述第二交换机协商所述第一认证端口的端口角色。
8.根据权利要求7所述的交换机,其特征在于,所述角色选择单元,具体用于通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;通过所述第一认证端口和所述第二认证端口接收所述第二交换机发送的第二认证开始报文;其中,所述第二认证开始报文携带所述第二认证端口的第二优先级;根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
9.根据权利要求8所述的交换机,其特征在于,所述角色选择单元,具体用于判断所述第一优先级是否高于所述第二优先级;当所述第一优先级高于所述第二优先级时,选择所述第一认证端口的端口角色为所述认证者角色;当所述第一优先级低于所述第二优先级时,选择所述第一认证端口的端口角色为所述申请者角色。
10.根据权利要求7所述的交换机,其特征在于,所述角色选择单元,具体用于通过所述第一认证端口和所述第二认证端口向所述第二交换机发送第一认证开始报文;其中,所述第一认证开始报文携带所述第一认证端口的第一优先级;当在预设时间段内接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,选择所述第一认证端口的端口角色为所述申请者角色;其中,所述第二交换机确定所述第二认证端口的第二优先级高于所述第一认证开始报文携带的第一优先级时,向所述交换机返回所述第一认证答复报文;或者,当在预设时间段内未接收到所述第二交换机通过所述第一认证端口和所述第二认证端口返回的第一认证答复报文时,根据所述第一优先级和所述第二优先级协商出所述第一认证端口的端口角色。
11.一种非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1至5任一权利要求所述的方法。
12.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至5任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710896143.9A CN107528857A (zh) | 2017-09-28 | 2017-09-28 | 一种基于端口的认证方法、交换机及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710896143.9A CN107528857A (zh) | 2017-09-28 | 2017-09-28 | 一种基于端口的认证方法、交换机及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107528857A true CN107528857A (zh) | 2017-12-29 |
Family
ID=60736305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710896143.9A Pending CN107528857A (zh) | 2017-09-28 | 2017-09-28 | 一种基于端口的认证方法、交换机及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107528857A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667832A (zh) * | 2018-04-28 | 2018-10-16 | 北京东土军悦科技有限公司 | 基于配置信息的认证方法、服务器、交换机和存储介质 |
| CN113542094A (zh) * | 2021-06-07 | 2021-10-22 | 新华三信息安全技术有限公司 | 访问权限的控制方法及装置 |
| CN113904856A (zh) * | 2021-10-15 | 2022-01-07 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| US20060036856A1 (en) * | 2004-08-10 | 2006-02-16 | Wilson Kok | System and method for dynamically determining the role of a network device in a link authentication protocol exchange |
| CN101360020A (zh) * | 2008-09-28 | 2009-02-04 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| US20090307751A1 (en) * | 2008-05-09 | 2009-12-10 | Broadcom Corporation | Preserving security assocation in macsec protected network through vlan mapping |
| CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
| CN103139219A (zh) * | 2013-02-28 | 2013-06-05 | 北京工业大学 | 基于可信交换机的生成树协议的攻击检测方法 |
| CN103686709A (zh) * | 2012-09-17 | 2014-03-26 | 中兴通讯股份有限公司 | 一种无线网格网认证方法和系统 |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN106169989A (zh) * | 2016-05-19 | 2016-11-30 | 成都逸动无限网络科技有限公司 | 一种认证网关 |
-
2017
- 2017-09-28 CN CN201710896143.9A patent/CN107528857A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
| US20060036856A1 (en) * | 2004-08-10 | 2006-02-16 | Wilson Kok | System and method for dynamically determining the role of a network device in a link authentication protocol exchange |
| US20090307751A1 (en) * | 2008-05-09 | 2009-12-10 | Broadcom Corporation | Preserving security assocation in macsec protected network through vlan mapping |
| CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
| CN101360020A (zh) * | 2008-09-28 | 2009-02-04 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| CN103686709A (zh) * | 2012-09-17 | 2014-03-26 | 中兴通讯股份有限公司 | 一种无线网格网认证方法和系统 |
| CN103139219A (zh) * | 2013-02-28 | 2013-06-05 | 北京工业大学 | 基于可信交换机的生成树协议的攻击检测方法 |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN106169989A (zh) * | 2016-05-19 | 2016-11-30 | 成都逸动无限网络科技有限公司 | 一种认证网关 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667832A (zh) * | 2018-04-28 | 2018-10-16 | 北京东土军悦科技有限公司 | 基于配置信息的认证方法、服务器、交换机和存储介质 |
| CN108667832B (zh) * | 2018-04-28 | 2022-11-01 | 北京东土军悦科技有限公司 | 基于配置信息的认证方法、服务器、交换机和存储介质 |
| CN113542094A (zh) * | 2021-06-07 | 2021-10-22 | 新华三信息安全技术有限公司 | 访问权限的控制方法及装置 |
| CN113904856A (zh) * | 2021-10-15 | 2022-01-07 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
| CN113904856B (zh) * | 2021-10-15 | 2024-04-23 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
| US7194763B2 (en) | Method and apparatus for determining authentication capabilities | |
| US8601569B2 (en) | Secure access to a private network through a public wireless network | |
| US7325246B1 (en) | Enhanced trust relationship in an IEEE 802.1x network | |
| US6996714B1 (en) | Wireless authentication protocol | |
| EP2051432B1 (en) | An authentication method, system, supplicant and authenticator | |
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| US7788705B2 (en) | Fine grained access control for wireless networks | |
| US20060259759A1 (en) | Method and apparatus for securely extending a protected network through secure intermediation of AAA information | |
| US7421503B1 (en) | Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type | |
| CN111314072B (zh) | 一种基于sm2算法的可扩展身份认证方法和系统 | |
| US20110035592A1 (en) | Authentication method selection using a home enhanced node b profile | |
| CN104982053B (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
| KR20200081470A (ko) | 비3gpp 액세스의 5g 통신 네트워크에서의 보안 인증 | |
| CN107995216B (zh) | 一种安全认证方法、装置、认证服务器及存储介质 | |
| CN107528857A (zh) | 一种基于端口的认证方法、交换机及存储介质 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| US11671451B1 (en) | Server/client resolution for link level security protocol | |
| CN114584973A (zh) | 一种MACsec通道建立方法、网络设备以及系统 | |
| WO2016090994A1 (zh) | 认证方法及装置 | |
| Marques et al. | Integration of the Captive Portal paradigm with the 802.1 X architecture | |
| KR20070062394A (ko) | 생체정보를 이용한 사용자 인증 방법 | |
| Sotillo | Extensible authentication protocol (eap) security issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171229 |