CN114938289B - 车载以太网的认证方法和装置 - Google Patents

车载以太网的认证方法和装置 Download PDF

Info

Publication number
CN114938289B
CN114938289B CN202210426623.XA CN202210426623A CN114938289B CN 114938289 B CN114938289 B CN 114938289B CN 202210426623 A CN202210426623 A CN 202210426623A CN 114938289 B CN114938289 B CN 114938289B
Authority
CN
China
Prior art keywords
client
authentication
message
information
timer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210426623.XA
Other languages
English (en)
Other versions
CN114938289A (zh
Inventor
张蕾
郭卫华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingwei Hirain Tech Co Ltd
Original Assignee
Beijing Jingwei Hirain Tech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingwei Hirain Tech Co Ltd filed Critical Beijing Jingwei Hirain Tech Co Ltd
Priority to CN202210426623.XA priority Critical patent/CN114938289B/zh
Publication of CN114938289A publication Critical patent/CN114938289A/zh
Application granted granted Critical
Publication of CN114938289B publication Critical patent/CN114938289B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本公开实施例提供的车载以太网的认证方法,在以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表。然后等待建立定时器的客户端的响应报文,在收到客户端的响应报文的情况下,删除客户端的定时器,在没有收到客户端的响应报文的情况下,则会一直等待。在客户端的定时器超时、仍没有收到客户端的响应报文,为客户端建立一个新的定时器,继续等待,持续循环,直到收到客户端的响应报文为止。该方法可以实现客户端的认证状态恢复。

Description

车载以太网的认证方法和装置
技术领域
本发明涉及通信技术领域,更具体地说,涉及一种车载以太网的认证方法和装置。
背景技术
现有的以太网接入端的认证方案,一般采用基于IEEE 802.1X认证协议的认证方式。接入设备接入网络时,启动运行于其上的客户端,由客户端主动向认证服务器发送开始认证报文(EAPOL-Start报文),也就是说,传统的以太网认证都是由客户端主动发起、而服务器则无法主动发起802.1X认证。
因此,一旦认证服务器由于某些原因程序异常并重新启动,如果此时客户端运行良好、且没有重新启动,在此情况下,认证服务器就无法主动向客户端发起认证、而无法恢复客户端的认证状态,从而无法保证客户端和认证服务器在交互过程中的流量不丢失。
发明内容
有鉴于此,为解决上述问题,本发明提供一种车载以太网的认证方法和装置,技术方案如下:
一种车载以太网的认证方法,所述方法应用于以太网认证系统,所述以太网认证系统包括服务器端和客户端,所述方法包括:
在所述以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表;
等待建立定时器的客户端的响应报文,在收到所述客户端的响应报文的情况下,删除所述客户端的定时器,在没有收到所述客户端的响应报文的情况下,一直等待;
其中,所述客户端的定时器超时、仍没有收到所述客户端的响应报文,为所述客户端建立一个新的定时器,继续等待,持续循环,直到收到所述客户端的响应报文为止。
进一步地,所述服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表,包括:
对于任意一个客户端,服务器端根据所述客户端的MAC地址构造对应的开始认证报文以模拟接收到所述客户端的开始认证报文,并初始化所述客户端的状态机信息;
根据802.1X协议规范向所述客户端发送一个请求ID信息的第一信息认证报文,并在定时器链表上为所述客户端创建一个定时器。
进一步地,所述车载以太网的认证方法还包括:
在基于所述客户端的响应报文确定所述客户端的认证状态为认证成功,且到达所述客户端的重新认证时间间隔的情况下,为所述客户端创建一个定时器并重新发送一个请求ID信息的第一信息认证报文。
进一步地,所述服务器端根据所述客户端的MAC地址构造对应的开始认证报文,并初始化所述客户端的状态机信息,包括:
所述服务器端初始化,以获得所述客户端的MAC地址;
以所述客户端的MAC地址为源MAC地址、以所述服务器端的MAC地址为目的地址构造所述客户端对应的开始认证报文;
对所述客户端对应的开始认证报文进行解析,根据802.1X协议规范初始化该客户端的状态机信息;
所述根据802.1X协议规范向所述客户端发送一个请求ID信息的第一信息认证报文,包括:
根据802.1X协议规范以所述客户端的MAC地址为目的地址、以所述服务器端的MAC地址为源地址构造所述客户端对应的请求ID信息的第一信息认证报文并发送给所述客户端,以使所述客户端对所收到的第一信息认证报文进行解析得到所述服务器端的MAC地址,所述客户端根据802.1X协议规范以所述客户端的MAC地址为源地址、以所述服务器的MAC地址为目的地址、以所述客户端的ID信息为报文内容构造所述第一信息认证报文对应的响应报文并返回给所述服务器端。
进一步地,所述车载以太网的认证方法还包括:
在所述服务器端收到所述客户端所返回的所述第一信息认证报文对应的响应报文的情况下,解析所述客户端所返回的响应报文以确定所述客户端的MAC地址;
根据所述客户端的MAC地址从所述定时器链表中删除所述客户端对应的定时器,并停止向所述客户端发送请求ID信息的第一信息认证报文。
进一步地,所述服务器端根据所述客户端的MAC地址构造对应的开始认证报文,并初始化所述客户端的状态机信息,包括:
以所述客户端的MAC地址为源MAC地址,所述服务器端的MAC地址为目的MAC地址构造所述客户端对应的开始认证报文;
通过所述服务器端的以太网数据接收接口接收所述客户端对应的开始认证报文,并将所述客户端对应的开始认证报文发送至所述服务器端的802.1X协议处理模块进行解析,根据802.1X协议规范初始化所述客户端的状态机信息。
进一步地,所述车载以太网的认证方法还包括:
若所述服务器端在收到所述客户端的所述响应报文前,接收到所述客户端发送的开始认证报文,则对所述客户端发送的开始认证报文中的状态机信息进行核实,并在所述客户端的状态机信息已经存在时,不对所述客户端发送的开始认证报文进行处理。
进一步地,所述车载以太网的认证方法还包括:
在基于所述客户端的响应报文确定所述客户端的认证状态为认证成功,且到达所述客户端的重新认证时间间隔的情况下,为所述客户端创建一个定时器并重新发送一个请求ID信息的所述第一信息认证报文。
进一步地,所述车载以太网的认证方法还包括:
根据802.1X协议规范向所述客户端发送一个请求其它信息的第二信息认证报文,并在定时器链表上为所述客户端创建一个定时器。
根据本发明具体实施方式提供的一种车载以太网的认证装置,包括:
初始化模块,用于在所述以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表;
认证模块,用于等待建立定时器的客户端的响应报文,在收到所述客户端的响应报文的情况下,删除所述客户端的定时器,在没有收到所述客户端的响应报文的情况下,一直等待;
其中,所述客户端的定时器超时、仍没有收到所述客户端的响应报文,为所述客户端建立一个新的定时器,继续等待,持续循环,直到收到所述客户端的响应报文为止。
相较于现有技术,本发明实现的有益效果为:
本发明提供的车载以太网的认证方法,在以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表。然后等待建立定时器的客户端的响应报文,在收到客户端的响应报文的情况下,删除客户端的定时器,在没有收到客户端的响应报文的情况下,则会一直等待。在客户端的定时器超时、仍没有收到客户端的响应报文,为客户端建立一个新的定时器,继续等待,持续循环,直到收到客户端的响应报文为止。这样,一旦认证服务器由于某些原因异常并重新启动,也能主动向客户端发起认证,并且,即便客户端暂时没有响应,也可以通过计时重复发送报文,直到与客户端间的报文传输恢复并以此完成认证,从而实现客户端的认证状态恢复。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的车载以太网的认证部署架构;
图2为本发明实施例提供的车载以太网的认证方法的方法流程图;
图3为本发明实施例提供的客户端和服务器信息交互的流程图;
图4为本发明实施例提供的车载以太网的认证方法的部分方法流程图;
图5为本发明实施例提供的车载以太网的认证方法的另一部分方法流程图;
图6为本发明实施例提供的车载以太网的认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1所示,现有的以太网接入端的认证方案,一般采用基于IEEE802.1X认证协议的认证方式。
认证服务器一般部署在接入交换机或者边沿交换机上,并运行IEEE802.1X协议状态机。认证客户端一般运行在接入设备上,如个人电脑、VOIP电话等等。接入设备接入网络时,启动运行于其上的客户端,由客户端主动向认证服务器发送开始认证报文,主动发起802.1X认证。
传统的以太网认证都是客户端主动发起的,也就是说,客户端启动后,将首先向认证服务器发送开始认证报文(EAPOL-Start报文),认证服务器则无法主动发起802.1X认证,主要原因在于客户端可能随时接入或者离开网络,由此认证服务器无法明确知道客户端的相关信息,也就无法主动向客户端发送报文,以触发认证过程。另外,由于客户端可以随时接入或者离开网络,因此认证服务器也不可能随时随地保存或者获得所有客户端的认证信息,比如客户端的MAC(Media Access Control,介质访问控制)地址、客户端的认证状态等。由此,当认证服务器运行异常重启后,如果此时客户端运行正常,即客户端是认证状态为认证成功,客户端不可能检测到认证服务器重启而再次主动发送开始认证报文,同时由于认证服务器重启后无法得到重启之前的客户端信息,因此认证服务器也无法主动发送重新认证报文,这就导致认证服务器端由于某些原因程序异常并重新启动后无法恢复重启之前客户端的认证状态只能让客户端逐个重新启动发送开始认证报文发起802.1X认证,客户端才能逐个恢复认证状态。
另一方面,客户端与认证服务器认证结束后,两者都运行正常,一旦两者间的连接由于未知原因发生中断,并且在一般情形下,认证服务器和客户端均无法感知到网络中断。在此情况下,当客户端认证时间超时需要重新认证时,由于与认证服务器间的连接已经中断,因此认证服务器发送的重新认证过程的报文无法到达客户端,结果会导致客户端的认证状态变为认证失败,此时认证服务器则会清除客户端的认证信息。如果在此之后的某个时刻,客户端与认证服务器间的连接恢复,由于此时认证服务器已经没有该客户端的认证信息,因此认证服务器不能再次发起重新认证,同时,客户端仍然确定自身的认证状态为认证成功,也不会主动发起认证,这就会导致连接恢复后客户端也将永远得不到认证,除非客户端重启,并主动发送开始认证报文再次开始认证过程。
而对现有车载以太网来说,由于车载以太网中的接入交换机和中间交换机的处理能力较弱,其上部署的软件一般是小型的嵌入式软件只能处理简单且固定的任务,无法处理802.1X这样具有复杂状态机的协议。对此,本发明综合车载网络车内各个ECU(Electronic Control Unit,电子控制单元)的处理能力和ECU角色定位,并考虑到TBOX(Telematic BOX,通信盒子,一般是指车联网系统中的智能车载终端)作为车载网络的处理中心节点,控制着车内信息与车外信息的交互,且TBOX的处理能力比较强大,足以处理802.1X协议。因此,本发明中,在TBOX上运行车载以太网中的认证服务器、其它各个ECU分别作为客户端。参见图1,图1为本发明提供的车载以太网的认证部署架构,在TBOX端上运行认证服务器(Authenticator,即802.1X认证服务器)、车载以太网中除TBOX以外的其他各ECU分别作为客户端运行客户端的认证流程(Supplicant,即802.1X协议客户端),并且TBOX端与其它各ECU端之间可以通过车载以太网中的接入交换机和中间交换机进行通信,接入交互机和中间交互机则统称为车载以太网网关(即Gateway,又称之为车载网络交换机)。
参见图2,图2为本发明实施例提供的车载以太网的认证方法的方法流程图。考虑到车载以太网的特点,即车载以太网络是一个固定的网络,车内各个ECU信息在出厂时已知,且车内网络的交换机处理能力较弱,无法处理复杂的802.1X协议,因此本发明采用图1的部署架构。即认证服务器运行于TBOX上、客户端运行于各个ECU上,车载以太网网关负责各个ECU端和TBOX端之间的802.1X协议报文转发。本发明中车载以太网的认证方法应用于认证服务器,包括如下步骤:
S10,在所述以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表。
本发明实施例中,对于车载以太网来说,由于其本身是一个固定的局域网络,网络里各个ECU在出厂的时候已经固定,因此TBOX能够获得车内以太网中所有ECU的配置信息,比如ECU的MAC地址、是否支持802.1X认证、以及所支持的802.1X认证方式等。基于此,服务器根据ECU的整车信息为每一个ECU创建一个定时器,形成一个包括ECU信息的定时器链表,基于此链表定时向ECU客户端持续发送认证报文。
S20,等待建立定时器的客户端的响应报文,在收到客户端的响应报文的情况下,删除客户端的定时器,在没有收到客户端的响应报文的情况下,一直等待。
在客户端的定时器超时、仍没有收到客户端的响应报文,为客户端建立一个新的定时器,继续等待,持续循环,直到收到客户端的响应报文为止。
本发明实施例中,如上说明,认证服务器能够获取到客户端的配置信息,该配置信息中可以包含其所支持的802.1X认证方式。对此,可以按照客户端对应的802.1X认证方式向客户端发送本次的信息认证报文。
另外,认证服务器还可以客户端的MAC地址为依据为其创建相应的计时器。认证服务器启动相应客户端的定时器向客户端发送本次的信息认证报文,由该计时器进行计时,按照计时器计时的时长周期性向客户端发送本次的信息认证报文,并在发送信息认证报文后监测以太网数据接口是否接收到客户端所返回的响应报文,如果接收到,则结束发送本次的信息认证报文,反之,则继续发送本次的信息认证报文。
对于客户端就本次的信息认证报文所返回的响应报文,可以对该响应报文的报文内容进行认证,如果认证通过,则继续下次的信息认证报文,反之,如果认证不通过,则确定客户端对应的认证状态为认证失败。当然,如果本次的信息认证报文是802.1X认证方式的最后一次信息认证报文,则如果认证通过,即确定客户端对应的认证状态为认证成功,结束对客户端的认证。
需要说明的是,不同客户端所支持的认证方式有所区别,相应的信息认证报文的报文内容以及认证规则也有所区别,这是由IEEE 802.1X认证协议所规定的,本发明对此不做赘述。
作为上述实施例可行的实现方式,参照图3所示,服务器端和客户端的交互流程可包括7个流程步骤:
S0、TBOX端初始化,获取所有ECU端的MAC地址信息。
S1、TBOX端定时向所有ECU端发送重新认证报文。
S2、ECU端响应TBOX端重新认证报文。ECU端收到TBOX端发送过来的重新认证报文后,解析报文内容,发现服务器端请求客户端的ID信息。此时,ECU端程序按照802.1X协议规范,以TBOX的MAC地址为目的MAC地址,以自己MAC地址为源MAC地址,以ECU的ID信息构造响应报文,并发送出去,以响应TBOX服务器端的请求。
S3、TBOX端删除对应的ECU端定时器。TBOX端程序收到ECU客户端的响应报文后,解析报文内容,提取出报文源MAC地址信息,然后根据此MAC地址信息,查找步骤S0中创建的定时器链表,删除对应的为此ECU端创建的定时器,不再向客户端发送重新认证报文。
S4、TBOX端根据ECU端的ID信息,向ECU端发送进一步请求。
S5、TBOX端向需要重新认证的ECU端发送重新认证报文。当某一个ECU端认证成功,运行一段时间后,重新认证时间间隔到达,此时,根据802.1X协议规范,需要对客户端进行重新认证,因此以此ECU端的MAC地址为目的MAC,以TBOX端MAC地址为源MAC地址,构造重新认证报文,发送给此ECU端,要求此ECU端进行重新认证。
S6、TBOX端为重新认证ECU端创建定时器,并等待响应。
如果TBOX端程序因为某种异常而重启,那么TBOX端程序重启后,会根据整车信息,并按照上述的处理步骤S0、S1、S2、S3、S4的顺序重新执行。由上可知,经过802.1X协议报文的交互,所有车内网络ECU端的认证状态都可恢复。即使在服务器端程序重启后,某一个客户端暂时没有响应,由于TBOX端在发送每一个报文之后都会为对应的ECU创建一个定时器并一直等待客户端的响应,因此只要客户端和服务器端的报文传输恢复,802.1X协议状态机就可以继续下去,直到完成认证。最终使车内所有ECU端的认证状态恢复。
具体的,客户端的状态机的初始化过程如下:以客户端的MAC地址为源MAC地址、以认证服务器的MAC地址为目标MAC地址构造开始认证报文,即EAPOL-Start报文;认证服务器的以太网数据接口接收此开始认证报文后,即可按照已有的802.1X协议流程,认为收到了一个来自此客户端的开始认证报文,对此开始认证报文进行解析,然后按照802.1X协议状态机为此客户端建立初始的状态机。
在一些场景下,客户端也会主动发送开始认证报文,这种情况多数会出现在客户端启动之后、收到认证服务器发送的信息认证报文之前,此时客户端会主动向认证服务器发送开始认证报文来发起802.1X认证。对此认证过程可以采用如下步骤:
获取客户端的配置信息,配置信息中包含客户端的MAC地址;基于客户端的MAC地址构造客户端对应的开始认证报文,并发送至以太网数据接口;或者,监测客户端向以太网数据接口所发送的开始认证报文;
在确定以太网数据接口接收到开始认证报文的情况下,初始化客户端对应的状态机信息。
本发明实施例中,一方面,如上说明,认证服务器能够获取到客户端的配置信息,并根据客户端的MAC地址构造以客户端的MAC地址为源MAC地址、以认证服务器的MAC地址为目标MAC地址的开始认证报文,并发给自身的以太网数据接口,以此模拟收到客户端的开始认证报文。另一方面,还可以对自身的以太网数据接口进行监测,确定是否收到客户端真实发送的开始认证报文。
而以太网数据接口无论是接收到认证服务器所构造的开始认证报文、还是客户端真实发送的开始认证报文,认证服务器都会初始化客户端对应的状态机信息,以此来表示已收到客户端对应的开始认证报文。假设,认证服务器重启后,第一时间构造客户端的开始认证报文、初始化该客户端的状态机信息、并按照该客户端对应的认证方式向该客户端发送信息认证报文,后续收到该客户端真实发送的开始认证报文后,可以根据此报文的源MAC地址查找相应的状态机信息,发现该客户端的状态及信息已存在,则认证服务器就不会处理此报文,而是继续等待客户端对于信息认证报文的响应报文。
为方便理解本发明,以如下的整车配置为例进行说明:
假设,车辆出厂后,根据整车配置信息可以获得如下ECU的配置信息:
ECU名称 MAC地址
TBOX D2:F3:53:13:F1:FC
ECU-1 8A:39:11:3C:D3:64
ECU-2 22:2A:25:81:B7:70
按照本发明的认证方案,ECU-1和ECU-2运行802.1X客户端程序分别作为客户端、TBOX运行802.1X服务器端程序作为认证服务器。由于认证服务器上运行的802.1X服务器端程序初始化时,开始为客户端ECU-1和ECU-2分别建立初始的状态机信息,为此分别为客户端ECU-1和ECU-2构造如下开始认证报文,以此模拟认证服务器接收到客户端ECU-1和ECU-2发送过来的开始认证报文的处理流程。
认证服务器构造如下模拟来自客户端ECU-1的开始认证报文(目的MAC地址是认证服务器的MAC地址D2:F3:53:13:F1:FC,源MAC地址为客户端ECU-1的MAC地址8A:39:11:3C:D3:64,协议为EAPOL,类型为EAPOL-Start)。其中,0x888E表示协议EAPOL,0x03表示版本号,0x01表示类型EAPOL-Start、“xxx”表示报文内容的长度(即报文体长度)。
D2:F3:53:13:F1:FC 8A:39:11:3C:D3:64 0x888E 0x03 0x01 xxx
认证服务器构造如下模拟来自客户端ECU-2的开始认证报文(目的MAC地址是认证服务器的MAC地址D2:F3:53:13:F1:FC,源MAC地址为客户端ECU-2的MAC地址22:2A:25:81:B7:70,协议为EAPOL,类型为EAPOL-Start)。其中,0x888E表示协议EAPOL,0x03表示版本号,0x01表示类型EAPOL-Start、“xxx”表示报文内容的长度(即报文体长度)。
D2:F3:53:13:F1:FC 22:2A:25:81:B7:70 0x888E 0x03 0x01 xxx
认证服务器根据接收到的构造的开始认证报文的源MAC地址(即客户端ECU-1/ECU-2的MAC地址),查询状态机信息,如果客户端ECU-1/ECU-2的状态机信息已经存在,说明在此之前已经接收到来自客户端ECU-1/ECU-2的开始认证报文,那么就不会再次处理新收到的开始认证报文(即构造的开始认证报文),反之,如果查不到客户端ECU-1/ECU-2的状态机信息,那么就为客户端ECU-1/ECU-2新建一个802.1X状态机,用于后续报文的处理。
具体实现过程中,步骤S20“等待建立定时器的客户端的响应报文,在收到客户端的响应报文的情况下,删除客户端的定时器,在没有收到客户端的响应报文的情况下,一直等待”可以采用如下步骤,方法流程图如图4所示:
S2011,按照客户端对应的认证方式确定依次发送的第一信息认证报文、以及第二信息认证报文,第一信息认证报文用于请求客户端的标识信息,第二信息认证报文用于请求客户端的其他信息。
本发明实施例中,第一信息认证报文为请求客户端的标识信息、即ID信息(Identity document,身份证明)的报文,而第二信息认证报文为请求客户端其它信息,比如密码信息的报文。当然,第二信息认证报文可以一个或多个,另外第二信息认证报文所请求的内容具体可以以客户端的认证方式为依据。后续以第二信息认证报文为一个、且为请求客户端的密码信息的报文为例进行说明。
S2012,向客户端发送第一信息认证报文,并在发送第一信息认证报文的同时开始计时,根据计时的时长向客户端重复发送第一信息认证报文,直到客户端返回相应的第一响应报文。
本发明实施例中,初始化客户端的状态机后,按照802.1X协议规范需要请求客户端的ID信息,认证服务器根据802.1X协议要求构造请求客户端的ID信息的报文,即第一信息认证报文。第一信息认证报文以认证服务器的MAC地址为源MAC地址、以客户端的MAC地址为目的MAC地址进行封装。
认证服务器在向客户端发送第一信息认证报文的同时,启动该客户端相应的计时器,由该计时器进行计时,按照计时器计时的时长周期性向客户端发送第一信息认证报文,并在发送第一信息认证报文后监测以太网数据接口是否接收到客户端所返回的第一响应报文,如果接收到,则结束发送第一信息认证报文,反之,则继续发送第一信息认证报文。
对于客户端来说,其接收到认证服务器发送的第一信息认证报文后,解析报文内容,发现认证服务器请求客户端的ID信息。此时,客户端按照802.1X协议规范,以客户端的MAC地址为源MAC地址、以认证服务器的MAC地址为目的MAC地址,以客户端的ID信息为报文内容构造第一响应报文,并发送出去,以响应认证服务器的请求。
为方便理解本发明,继续以上述整车配置为例进行说明。客户端ECU-1和ECU-2的状态机信息建立完成之后,根据802.1X协议规范需要向客户端发送请求ID信息的第一信息认证报文,因此认证服务器分别为客户端ECU-1和ECU-2构造如下的请求ID信息的第一信息认证报文,并发送出去。
认证服务器发送给客户端ECU-1的第一信息认证报文(目的MAC地址是客户端ECU-1的MAC地址8A:39:11:3C:D3:64,源MAC地址为认证服务器的MAC地址D2:F3:53:13:F1:FC,协议为EAPOL,类型为EAP-Packet,内容为Request ID)。其中,0x888E表示协议EAPOL,0x03为协议版本,0x00表示类型EAP-Packet报文、“xxx”表示报文内容的长度(即报文体长度)。
8A:39:11:3C:D3:64 D2:F3:53:13:F1:FC 0x888E 0x03 0x00 xxx
认证服务器发送给客户端ECU-2的第一信息认证报文(目的MAC地址是客户端ECU-2的MAC地址22:2A:25:81:B7:70,源MAC地址为认证服务器的MAC地址D2:F3:53:13:F1:FC,协议为EAPOL,类型为EAP-Packet,内容为Request ID)。其中,0x888E表示协议EAPOL,0x03为协议版本,0x00表示类型EAP-Packet报文、“xxx”表示报文内容的长度(即报文体长度)。
22:2A:25:81:B7:70 D2:F3:53:13:F1:FC 0x888E 0x03 0x00 xxx
客户端ECU-1和ECU-2收到认证服务器发送过来的EAPOL报文(即第一信息认证报文)后,解析报文内容,发现认证服务器需要客户端的ID信息。此时客户端ECU-1和ECU-2根据收到的报文MAC地址等信息建立802.1X客户端状态机信息,然后以认证服务器的MAC地址为目的MAC地址封装EAPOL响应报文(即第一响应报文),报文中包含客户端ID信息,以响应认证服务器的要求。
客户端ECU-1发送给认证服务器的第一响应报文(目的MAC地址是认证服务器的MAC地址D2:F3:53:13:F1:FC,源MAC地址为客户端ECU_1的MAC地址8A:39:11:3C:D3:64,协议为EAPOL,类型为EAP-Packet,内容为Response ID)。其中,0x888E表示协议EAPOL,0x03为协议版本,0x00表示类型EAP-Packet、“xxx”表示报文内容的长度(即报文体长度)。
D2:F3:53:13:F1:FC 8A:39:11:3C:D3:64 0x888E 0x03 0x00 xxx
客户端ECU-2发送给认证服务器的第一响应报文(目的MAC地址是认证服务器的MAC地址D2:F3:53:13:F1:FC,源MAC地址为客户端ECU_2的MAC地址22:2A:25:81:B7:70,协议为EAPOL,类型为EAP-Packet,内容为Response ID)。其中,0x888E表示协议EAPOL,0x03为协议版本,0x00表示类型EAP-Packet、“xxx”表示报文内容的长度(即报文体长度)。
D2:F3:53:13:F1:FC 22:2A:25:81:B7:70 0x888E 0x03 0x00 xxx
S2013,对第一响应报文进行认证;在第一响应报文认证通过的情况下,发送第二信息认证报文,并在发送第二信息认证报文的同时开始计时,根据计时的时长向客户端重复发送第二信息认证报文,直到客户端返回相应的第二响应报文。
本发明实施例中,对于客户端就第一信息认证报文所返回的第一响应报文,可以对该第一响应报文中的ID信息进行认证,如果认证通过,则继续发送第二信息认证报文,反之,如果认证不通过,则确定客户端对应的认证状态为认证失败。
认证服务器在向客户端发送第二信息认证报文的同时,启动该客户端相应的计时器,由该计时器进行计时,按照计时器计时的时长周期性向客户端发送第二信息认证报文,并在发送第二信息认证报文后监测以太网数据接口是否接收到客户端所返回的第二响应报文,如果接收到,则结束发送第二信息认证报文,反之,则继续发送第二信息认证报文。
需要说明的是,对于第一信息认证报文和第二信息认证报文来说,各自可以设置相同或者不同的报文发送的周期,本发明对此不做限定。
为方便理解本发明,继续以上述整车配置为例进行说明。认证服务器收到客户端ECU-1和ECU-2的第一响应报文,分别解析两者第一响应报文的报文内容,发现客户端ECU-1和ECU-2返回的ID信息。此时,认证服务器按照802.1X协议规范,分别对客户端ECU-1和ECU-2的ID信息进行认证。假设两者均认证通过,则根据802.1X协议规范下一步需要向客户端ECU-1和ECU-2请求密码等信息,因此分别为构造相应的第二信息认证报文并发送给客户端ECU-1和ECU-2,同时启动为客户端ECU-1和ECU-2分别创建计时器进行计时等待客户端的响应。
认证服务器发送给客户端ECU-1的请求密码信息的第二信息认证报文(目的MAC地址是客户端ECU-1的MAC地址8A:39:11:3C:D3:64,源MAC地址为认证服务器的MAC地址D2:F3:53:13:F1:FC,协议为EAPOL,类型为EAP-Packet,内容为MD5_Challenge)。其中,0x888E表示协议EAPOL,0x03为协议版本,0x00表示类型EAP-Packet、“xxx”表示报文内容的长度(即报文体长度)。
8A:39:11:3C:D3:64 D2:F3:53:13:F1:FC 0x888E 0x03 0x00 xxx
认证服务器发送给客户端ECU-2的请求密码信息的第二信息认证报文(目的MAC地址是客户端ECU_2的MAC地址22:2A:25:81:B7:70,源MAC地址为认证服务器的MAC地址D2:F3:53:13:F1:FC,协议为EAPOL,类型为EAP-Packet,内容为MD5_Challenge)。其中,0x888E表示协议EAPOL,0x03为协议版本,0x00表示类型EAP-Packet、“xxx”表示报文内容的长度(即报文体长度)。
22:2A:25:81:B7:70 D2:F3:53:13:F1:FC 0x888E 0x03 0x00 xxx
S2014,对第二响应报文进行认证;在第二响应报文认证通过的情况下,确定客户端对应的认证状态为认证成功。
本发明实施例中,若第二信息认证报文为多个,则认证服务器按照802.1X协议规范在一个第二信息认证报文发送且认证完成客户端所返回的第二响应报文后,在第二响应报文认证通过的情况继续下一个第二信息认证报文,直到最后一个信息认证报文发送且认证完成后,输出相应的客户端的认证状态,此时802.1X协议状态机结束。如果任意一个第二信息认证报文对应的第二响应报文认证不通过,认证服务器则可以直接输出客户端的认证状态为认证失败。
S2015,在第一响应报文/第二响应报文认证未通过的情况下,确定客户端对应的认证状态为认证失败。
为实现信息认证报文的重发送,本车载以太网的认证方法流程图还可如图5所示:
S2021,为客户端创建对应的定时器。
本发明实施例中,认证服务器可以以客户端的MAC地址为依据为客户端创建相应的定时器,定时器对应的时间间隔(即第一时间间隔)可以预先配置,本发明对此不做限定。由此,车内网络所有客户端的定时器结构即构成一个定时器链表。
为方便理解本发明,继续以上述整车配置为例进行说明。认证服务器在为客户端ECU-1和ECU-2构造开始认证报文之后,可以继续分别为客户端ECU-1和ECU-2创建一个定时器,此定时器会一直等待对应客户端的响应报文,为客户端ECU-1和ECU-2创建的定时器会链接在一起,构成一个链表,方便后续查找,如下示。其中,name表示客户端的名称、mac_addr表示客户端的MAC地址、timer表示定时器对应的第一时间间隔,“1second time”即表示第一时间间隔为1S。
Figure BDA0003609888890000151
Figure BDA0003609888890000161
S2022,按照客户端对应的认证方式向客户端发送信息认证报文,并在发送信息认证报文的同时启动定时器。
本发明实施例中,按照802.1X协议规范,认证服务器基于客户端对应的802.1X认证方式可以向客户端发送多次信息认证报文,即上述第一信息认证报文、至少一个第二信息认证报文。在发送任意一个信息认证报文时,可以在发送本次的信息认证报文的同时,启动该客户端对应的定时器,在该定时器的第一时间间隔内等待客户端的响应报文。
S2023,在定时器对应的第一时间间隔内监测客户端向以太网数据接口所返回的响应报文。
S2024,若确定在第一时间间隔内客户端未向以太网数据接口返回响应报文,则返回执行为客户端创建对应的定时器,这一步骤。
本发明实施例中,认证服务器如果在定时器的第一时间间隔内未监测到客户端向其以太网数据接口返回相应的响应报文,则认为没有收到客户端的响应,就一直等待,如果定时器的第一时间间隔超时,就重新创建一个定时器,再次发送信息认证报文,并继续等待,此过程一直继续,直到收到客户端的响应报文为止。
S2025,若确定在第一时间间隔内客户端向以太网数据接口返回响应报文,则删除定时器。
本发明实施例中,认证服务器如果在定时器的第一时间间隔内监测到客户端向其以太网数据接口返回相应的响应报文,则认为收到客户端的响应,删除该定时器。
认证服务器收到客户端的响应报文后,解析报文内容,提取出其中的源MAC地址,然后根据此MAC地址查找定时器链表,删除对应的为此客户端创建的定时器,后续不再向客户端发送本次的信息认证报文。
当然,如果认证服务器端没有收到客户端对本次的信息认证报文的响应报文,那么就不会删除客户端对应的定时器,客户端的定时器会一直等待客户端的响应。如果客户端的定时超时仍旧没有得到客户端的响应,那么就会为客户端创建一个新的定时器,后等待客户端的响应。此过程会一直循环,直到收到客户端的响应报文为止。
为方便理解,继续以上述整车配置为例进行说明。假设认证服务器向客户端ECU-1和ECU-2发送的本次的信息认证报文均为信息认证报文,认证服务器收到客户端ECU-1和ECU-2各自的响应报文后,提取出报文里的源MAC地址,并从定时器链表中删除对应MAC地址的定时器。本发明实施例中,假设根据收到的响应报文的顺序分别删除ECU-1和ECU-2的定时器,删除定时器链表操作如下示:
认证服务器收到来自客户端ECU-1的响应报文,从定时器链表中删除为客户端ECU-1创建的定时器。其中,name表示客户端的名称、mac_addr表示客户端的MAC地址、timer表示定时器对应的第一时间间隔,“1second time”即表示第一时间间隔为1S、“NULL”即表示第一时间间隔为空,即定时器为空,也就是定时器被删除。
name:ECU-1
mac_addr:8A:39:11:3C:D3:64
timer:NULL
name:ECU-2
mac_addr:22:2A:25:81:B7:70
timer:1second timer
认证服务器接着收到客户端ECU-2的响应报文,从定时器链表中删除为客户端ECU-2创建的定时器。其中,name表示客户端的名称、mac_addr表示客户端的MAC地址、timer表示定时器对应的第一时间间隔,“NULL”即表示第一时间间隔为空,即定时器为空,也就是定时器被删除。
Figure BDA0003609888890000171
Figure BDA0003609888890000181
如果认证服务器没有收到来自客户端ECU-1或者ECU-2的响应报文,那么就不删除对应的定时器,一直等待,如果某个定时器的第一时间间隔超时,那么就为此定时器对应的客户端创建一个新的定时器,发送本次的信息认证报文,并继续等待,此过程一直循环,直到收到客户端的响应报文为止。
认证服务器收到客户端ECU-1或者ECU-2对开始认证报文的响应报文且认证通过、删除两者的定时器后,继续按照802.1X协议规范下一步需要向客户端ECU-1或者ECU-2发送请求密码信息的信息认证报文,因此分别为构造相应的信息认证报文并发送给客户端ECU-1或者ECU-2,同时分别为客户端ECU-1或者ECU-2分别创建定时器等待客户端的响应。
认证服务器发送给客户端ECU-1的请求密码信息的信息认证报文发送出去后,接着为客户端ECU-1创建定时器,等待客户端ECU-1的响应报文。
name:ECU-1
mac_addr:8A:39:11:3C:D3:64
timer:1second timer
name:ECU-2
mac_addr:22:2A:25:81:B7:70
timer:NULL
认证服务器发送给客户端ECU-2的请求密码信息的信息认证报文发送出去后,接着为客户端ECU-2创建定时器,等待客户端ECU-2的响应报文。
name:ECU-1
mac_addr:8A:39:11:3C:D3:64
timer:1second timer
name:ECU-2
mac_addr:22:2A:25:81:B7:70
timer:1second timer
后续报文交互按着802.1X协议规范继续进行,直到802.1X协议状态机结束。此时认证服务器先后收到了客户端ECU-1和ECU-2的最后一个响应报文,分别删除对应的定时器,最后的定时器链表如下示:
Figure BDA0003609888890000182
Figure BDA0003609888890000191
如果认证服务器没有收到来自客户端ECU-1或者ECU-2的响应报文,那么就不删除对应客户端的定时器,一直等待,如果某个定时器的第一时间间隔超时,那么就为没有收到响应报文的客户端创建一个新的定时器,继续等待,此过程一直循环,直到收到客户端的响应报文为止。
另外,由于某些原因客户端和认证服务器之间的链路突然中断,且客户端和认证服务器没有感知的情况下,当客户端认证时间超时,客户端和认证服务器由于无法进行报文交互将导致认证失败,认证服务器将失去客户端信息,此后,即使客户端和认证服务器的连接恢复后,认证服务器也无法再次主动发起认证,无法恢复客户端和认证服务器之间的认证。对此,在图2所示的车载以太网的认证方法的基础上,还可以包括如下步骤:
在确定客户端对应的认证状态为认证成功的情况下,获取客户端对应的用于重认证的第二时间间隔;在确定第二时间间隔到达的情况下,返回执行按照客户端对应的认证方式向客户端发送信息认证报文,这一步骤。
本发明实施例中,客户端与认证服务器认证结束后,两者都运行正常,此时客户端的认证状态为认证成功,经过一段时间后,客户端的认证时间到达后,根据802.1X协议规范,认证服务器需要对客户端重新认证,重新认证的报文与上述信息认证报文的内容相同、重新认证的过程也与上述步骤S20的认证过程相同,在此不再赘述。因此,认证服务器则获取该客户端对应的认证时间,即用于重认证的第二时间间隔,因此在每次的第二时间间隔到达的情况下,认证服务器重新执行上述步骤S20。这就可以保证客户端和认证服务器的连接突然中断,且经过一段时间,连接恢复后,客户端和服务器端能够重新进行认证过程,从而保证连接异常中断且恢复后,认证过程能够继续进行。
由上可知,经过802.1X协议报文的交互,所有车内网络ECU端的认证状态都可恢复。即使在服务器端程序重启后,某一个ECU暂时没有响应,由于TBOX在发送每一个信息认证报文之后都会为对应的ECU创建一个定时器并一直等待ECU的响应,因此只要ECU端与TBOX端的报文传输恢复,802.1X协议状态机就可以继续下去,直到完成认证。最终使车内所有ECU端的认证状态恢复。
另外,在整个系统运行过程中,如果某一个ECU端和TBOX端之间因为未知原因连接突然中断后,当ECU端的认证时间到达后,TBOX端会向ECU端重新发送信息认证报文,并启动定时器等待ECU的响应。如果此时ECU端和TBOX端之间的连接已经恢复,那么ECU端可以顺利获得认证;如果此时ECU端和TBOX端之间的连接没有恢复,由于此时TBOX端启动了定时器,并一直等待ECU端的响应,且如果客户端在定时器超时后仍旧没有响应,定时器会不停地创建、发送报文、并重新等待,所以在此之后的任何时刻,如果ECU端和TBOX端的连接恢复,都会使802.1X协议继续下去,完成认证过程。
本发明基于现有的802.1X标准协议以及车载以太网的特点,对认证服务器侧,即TBOX端协议处理流程进行如下修改:
第一,在系统启动后,TBOX端根据整车配置信息,为每个客户端(即ECU)建立一个定时器,并形成一个定时器链表。对于任意一个ECU端,根据此ECU端的MAC地址构造EAPOL-Start报文以模拟接收到一个来自ECU端的EAPOL-Start报文,以初始化此ECU端的状态机信息。接着根据802.1X协议规范,向此ECU端发送一个请求ID信息的信息认证报文,之后在定时器链表上为此ECU端创建一个定时器,并等待此ECU端的响应报文,如果收到此ECU端的响应报文,那么就删除此定时器,如果没有收到此ECU端的响应报文,就一直等待,如果定时器超时后,仍旧没有收到此ECU端的响应,那么就为此ECU端创建一个新的定时器,继续等待,此过程一直循环,直到收到此ECU端的响应报文为止。
由于系统一启动,TBOX端就根据整车配置信息为所有的ECU端初始化了状态机,并向各个ECU端发送信息认证报文,从而保证TBOX端可以在重启后自动发起对所有ECU端的802.1X认证,从而解决了传统802.1X认证服务器重启后无法恢复客户端的认证状态的问题。
同时,对于任意一个ECU端,在发送信息认证报文后,为此ECU端创建了定时器,此定时器会一直等待此ECU端的响应,如果定时器超时后此ECU端仍旧没有响应,那么就会再次发送信息认证报文,并创建新的定时器等待客户端的响应,此过程一直循环,直到收到此ECU端的响应报文为止,从而解决了认证服务器程序重启后,某些客户端暂时无法响应,但是等过段时间后,客户端即使响应也无法继续802.1X认证的问题。
第二,对于任意一个ECU端,当此ECU端完成802.1X认证,经过一段时间后,此ECU端需要重新认证时,TBOX端向客户端重新发送信息认证报文,此时TBOX端在定时器链表中为此ECU端创建定时器,并等待此ECU端的响应报文,如果收到此ECU端的响应报文,那么就删除此定时器,如果没有收到此ECU端的响应报文,就一直等待,如果定时器超时后仍旧没有收到此ECU端的响应报文,那么此时就为此ECU端创建一个新的定时器,再次发送信息认证报文,并继续等待,此过程一直循环,直到收到此ECU的响应报文为止。由于ECU端没有响应时定时器会一直存在,TBOX端会一直发送报文进行尝试,所以在任何时候,客户端连接中断并恢复后都可继续802.1X认证过程,从而解决了客户端和认证服务器网络连接中断恢复发生在重新认证时间间隔之后,无法发起认证、无法恢复客户端的认证状态的问题。
基于上述实施例提供的车载以太网的认证方法,本发明实施例则对应提供执行上述车载以太网的认证方法的装置,该装置的结构示意图如图6所示,包括:
初始化模块10,用于在所述以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表。以及
认证模块20,用于等待建立定时器的客户端的响应报文,在收到所述客户端的响应报文的情况下,删除所述客户端的定时器,在没有收到所述客户端的响应报文的情况下,一直等待。
其中,所述客户端的定时器超时、仍没有收到所述客户端的响应报文,为所述客户端建立一个新的定时器,继续等待,持续循环,直到收到所述客户端的响应报文为止。
可选的,初始化模块10至少以构造报文的方式确定接收到客户端对应的开始认证报文,包括:
获取客户端的配置信息,配置信息中包含客户端的MAC地址;基于客户端的MAC地址构造客户端对应的开始认证报文,并发送至以太网数据接口;或者,监测客户端向以太网数据接口所发送的开始认证报文;
在确定以太网数据接口接收到开始认证报文的情况下,初始化客户端对应的状态机信息。
可选的,认证模块20按照客户端对应的认证方式向客户端发送信息认证报文,并在发送信息认证报文的同时开始计时,根据计时的时长向客户端重复发送信息认证报文,直到客户端返回相应的响应报文,包括:
按照客户端对应的认证方式确定依次发送的第一信息认证报文、以及第二信息认证报文,第一信息认证报文用于请求客户端的标识信息,第二信息认证报文用于请求客户端的其他信息;向客户端发送第一信息认证报文,并在发送第一信息认证报文的同时开始计时,根据计时的时长向客户端重复发送第一信息认证报文,直到客户端返回相应的第一响应报文;对第一响应报文进行认证;在第一响应报文认证通过的情况下,发送第二信息认证报文,并在发送第二信息认证报文的同时开始计时,根据计时的时长向客户端重复发送第二信息认证报文,直到客户端返回相应的第二响应报文;对第二响应报文进行认证;在第二响应报文认证通过的情况下,确定客户端对应的认证状态为认证成功;在第一响应报文/第二响应报文认证未通过的情况下,确定客户端对应的认证状态为认证失败。
可选的,认证模块20按照客户端对应的认证方式向客户端发送信息认证报文,并在发送信息认证报文的同时开始计时,根据计时的时长向客户端重复发送信息认证报文,直到客户端返回相应的响应报文,包括:
为客户端创建对应的定时器;按照客户端对应的认证方式向客户端发送信息认证报文,并在发送信息认证报文的同时启动定时器;在定时器对应的第一时间间隔内监测客户端向以太网数据接口所返回的响应报文;若确定在第一时间间隔内客户端未向以太网数据接口返回响应报文,则返回执行为客户端创建对应的定时器,这一步骤;若确定在第一时间间隔内客户端向以太网数据接口返回响应报文,则删除定时器。
可选的,认证模块20,还用于:
在确定客户端对应的认证状态为认证成功的情况下,获取客户端对应的用于重认证的第二时间间隔;在确定第二时间间隔到达的情况下,返回执行按照客户端对应的认证方式向客户端发送信息认证报文,这一步骤。
需要说明的是,本发明实施例中各功能模块的细化功能可以参见上述车载以太网的认证方法实施例对应公开部分,在此不再赘述。
基于上述实施例提供的车载以太网的认证方法,本发明实施例则提供一种电子设备,电子设备包括:至少一个存储器和至少一个处理器;存储器存储有程序,处理器调用存储器存储的程序,程序用于实现车载以太网的认证方法。
基于上述实施例提供的车载以太网的认证方法,本发明实施例则提供一种存储介质,存储介质中存储有计算机可执行指令,计算机可执行指令用于执行车载以太网的认证方法。
以上对本发明所提供的一种车载以太网的认证方法、装置、电子设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素,或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种车载以太网的认证方法,其特征在于,所述方法应用于以太网认证系统,所述以太网认证系统包括服务器端和客户端,在TBOX端上运行认证服务器,车载以太网中除TBOX以外的其他各ECU分别作为客户端运行客户端的认证流程,所述方法包括:
在所述以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表,其中对于任意一个客户端,服务器端根据所述客户端的MAC地址构造对应的开始认证报文以模拟接收到所述客户端的开始认证报文,并初始化所述客户端的状态机信息;
根据802.1X协议规范向所述客户端发送一个请求ID信息的第一信息认证报文,并在定时器链表上为所述客户端创建一个定时器;
等待建立定时器的客户端的响应报文,在收到所述客户端的响应报文的情况下,删除所述客户端的定时器,在没有收到所述客户端的响应报文的情况下,一直等待;
其中,所述客户端的定时器超时、仍没有收到所述客户端的响应报文,为所述客户端建立一个新的定时器,继续等待,持续循环,直到收到所述客户端的响应报文为止。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在基于所述客户端的响应报文确定所述客户端的认证状态为认证成功,且到达所述客户端的重新认证时间间隔的情况下,为所述客户端创建一个定时器并重新发送一个请求ID信息的第一信息认证报文。
3.根据权利要求1所述的方法,其特征在于,所述服务器端根据所述客户端的MAC地址构造对应的开始认证报文,并初始化所述客户端的状态机信息,包括:
所述服务器端初始化,以获得所述客户端的MAC地址;
以所述客户端的MAC地址为源MAC地址、以所述服务器端的MAC地址为目的地址构造所述客户端对应的开始认证报文;
对所述客户端对应的开始认证报文进行解析,根据802.1X协议规范初始化该客户端的状态机信息;
所述根据802.1X协议规范向所述客户端发送一个请求ID信息的第一信息认证报文,包括:
根据802.1X协议规范以所述客户端的MAC地址为目的地址、以所述服务器端的MAC地址为源地址构造所述客户端对应的请求ID信息的第一信息认证报文并发送给所述客户端,以使所述客户端对所收到的第一信息认证报文进行解析得到所述服务器端的MAC地址,所述客户端根据802.1X协议规范以所述客户端的MAC地址为源地址、以所述服务器的MAC地址为目的地址、以所述客户端的ID信息为报文内容构造所述第一信息认证报文对应的响应报文并返回给所述服务器端。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述服务器端收到所述客户端所返回的所述第一信息认证报文对应的响应报文的情况下,解析所述客户端所返回的响应报文以确定所述客户端的MAC地址;
根据所述客户端的MAC地址从所述定时器链表中删除所述客户端对应的定时器,并停止向所述客户端发送请求ID信息的第一信息认证报文。
5.根据权利要求3所述的方法,其特征在于,所述服务器端根据所述客户端的MAC地址构造对应的开始认证报文,并初始化所述客户端的状态机信息,包括:
以所述客户端的MAC地址为源MAC地址,所述服务器端的MAC地址为目的MAC地址构造所述客户端对应的开始认证报文;
通过所述服务器端的以太网数据接收接口接收所述客户端对应的开始认证报文,并将所述客户端对应的开始认证报文发送至所述服务器端的802.1X协议处理模块进行解析,根据802.1X协议规范初始化所述客户端的状态机信息。
6.根据权利要求3所述的方法,其特征在于,还包括:
若所述服务器端在收到所述客户端的响应报文前,接收到所述客户端发送的开始认证报文,则对所述客户端发送的开始认证报文中的状态机信息进行核实,并在所述客户端的状态机信息已经存在时,不对所述客户端发送的开始认证报文进行处理。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在基于所述客户端的响应报文确定所述客户端的认证状态为认证成功,且到达所述客户端的重新认证时间间隔的情况下,为所述客户端创建一个定时器并重新发送一个请求ID信息的所述第一信息认证报文。
8.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据802.1X协议规范向所述客户端发送一个请求其它信息的第二信息认证报文,并在定时器链表上为所述客户端创建一个定时器。
9.一种车载以太网的认证装置,其特征在于,应用于以太网认证系统,所述以太网认证系统包括服务器端和客户端,在TBOX端上运行认证服务器,车载以太网中除TBOX以外的其他各ECU分别作为客户端运行客户端的认证流程,包括:
初始化模块,用于在所述以太网认证系统启动后,服务器端根据配置信息为每个客户端建立一个定时器,并形成一个定时器链表,其中对于任意一个客户端,服务器端根据所述客户端的MAC地址构造对应的开始认证报文以模拟接收到所述客户端的开始认证报文,并初始化所述客户端的状态机信息;
根据802.1X协议规范向所述客户端发送一个请求ID信息的第一信息认证报文,并在定时器链表上为所述客户端创建一个定时器;
认证模块,用于等待建立定时器的客户端的响应报文,在收到所述客户端的响应报文的情况下,删除所述客户端的定时器,在没有收到所述客户端的响应报文的情况下,一直等待;
其中,所述客户端的定时器超时、仍没有收到所述客户端的响应报文,为所述客户端建立一个新的定时器,继续等待,持续循环,直到收到所述客户端的响应报文为止。
CN202210426623.XA 2022-04-22 2022-04-22 车载以太网的认证方法和装置 Active CN114938289B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210426623.XA CN114938289B (zh) 2022-04-22 2022-04-22 车载以太网的认证方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210426623.XA CN114938289B (zh) 2022-04-22 2022-04-22 车载以太网的认证方法和装置

Publications (2)

Publication Number Publication Date
CN114938289A CN114938289A (zh) 2022-08-23
CN114938289B true CN114938289B (zh) 2023-06-16

Family

ID=82861765

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210426623.XA Active CN114938289B (zh) 2022-04-22 2022-04-22 车载以太网的认证方法和装置

Country Status (1)

Country Link
CN (1) CN114938289B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102195952A (zh) * 2010-03-17 2011-09-21 杭州华三通信技术有限公司 触发802.1x认证的方法及设备端
CN103888230A (zh) * 2012-12-20 2014-06-25 中国电信股份有限公司 定时器动态设置方法和装置
US10091177B1 (en) * 2016-03-31 2018-10-02 EMC IP Holding Company LLC Controlling access to a computerized resource of a mobile device based on whether the mobile device is within a vehicle that is currently moving
CN113853766A (zh) * 2019-07-05 2021-12-28 住友电气工业株式会社 中继装置和车辆通信方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102195952A (zh) * 2010-03-17 2011-09-21 杭州华三通信技术有限公司 触发802.1x认证的方法及设备端
CN103888230A (zh) * 2012-12-20 2014-06-25 中国电信股份有限公司 定时器动态设置方法和装置
US10091177B1 (en) * 2016-03-31 2018-10-02 EMC IP Holding Company LLC Controlling access to a computerized resource of a mobile device based on whether the mobile device is within a vehicle that is currently moving
CN113853766A (zh) * 2019-07-05 2021-12-28 住友电气工业株式会社 中继装置和车辆通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WLAN中RADIUS客户端超时处理优化方案;吴攀;胡凯;冯扬;熊桂兰;;光通信研究(第04期);全文 *

Also Published As

Publication number Publication date
CN114938289A (zh) 2022-08-23

Similar Documents

Publication Publication Date Title
CN112738805B (zh) 设备控制方法和装置、存储介质及电子设备
US8201222B2 (en) Authentication system for authenticating communication terminal
US8266681B2 (en) System and method for automatic network logon over a wireless network
EP1779632B1 (en) System and method for dynamically determining the role of a network device in a link authentication protocol exchange
US9258284B2 (en) Server, method of group key notification and program
US20100077447A1 (en) Authentication techniques
CN109450948B (zh) 数据传输方法和装置
WO2006052648A2 (en) Network access server (nas) discovery method and apparatus
EP2735131B1 (en) Self-adapting direct peer to peer communication and messaging system
US8638941B2 (en) Distributing keypairs between network appliances, servers, and other network assets
CN108134713B (zh) 一种通信方法及装置
CN110830516B (zh) 一种网络访问方法、装置、网络控制设备及存储介质
WO2022095789A1 (zh) 一种汽车钥匙匹配的方法、装置以及汽车通信接口设备
CN1917427B (zh) 一种快速恢复门户认证环境的方法和装置
CA2790409A1 (en) Method and apparatus for detecting active and orphan session-based connections
CN111404918A (zh) 一种云手机分布式服务应急认证方法、装置及系统
CN114938289B (zh) 车载以太网的认证方法和装置
CN112311766B (zh) 一种用户证书的获取方法及装置、终端设备
CN105933901A (zh) 无线路由器的认证方法和系统
EP4257433A1 (en) Information transmission method and communication device
US20240015039A1 (en) Method for managing a request to access a local communication network, method for processing a request to access a local communication network, method for requesting access to a local communication network and corresponding devices, management platform, gateway, user terminal, system and computer programs
CN113691591A (zh) 数据传输方法、装置及计算机可读存储介质
CN113839787A (zh) 一种双向认证的局域网安全接入协议方法和系统
CN107733931B (zh) 入口认证方法、装置及入口服务器
JP2021140482A (ja) 電子情報記憶媒体、情報書き込み方法、及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant