CN1297104C - 实现基于端口认证和基于传输层认证兼容的方法 - Google Patents
实现基于端口认证和基于传输层认证兼容的方法 Download PDFInfo
- Publication number
- CN1297104C CN1297104C CNB021523886A CN02152388A CN1297104C CN 1297104 C CN1297104 C CN 1297104C CN B021523886 A CNB021523886 A CN B021523886A CN 02152388 A CN02152388 A CN 02152388A CN 1297104 C CN1297104 C CN 1297104C
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- port
- transport layer
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种实现基于端口认证和基于传输层认证兼容的方法,该方法为:将基于端口认证的二层端口设置为常开状态,并在网络层配置基于端口认证的用户的访问权限;然后将基于传输层认证的认证开始报文通过基于端口认证的二层端口进行传送,实现基于传输层的认证和基于端口认证的兼容。本发明的实现使用户在网络接入过程中,既可以选择802.1x认证方式,也可以选择WEB认证方式进行网络接入认证,为在网络通信中的提高网络运营商所提供服务的质量提供了技术基础。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种实现基于端口认证和基于传输层认证兼容的方法。
背景技术
随着网络通信技术的发展,各网络运营商所采用的针对用户的网络接入控制方法也多种多样,包括基于四层的WEB认证、基于二层的802.1x认证等多种已经被广泛应用的认证方法。
802.1x即IEEE Std 802.1x-2001,是一种基于端口的访问控制协议,且为一种基于以太网技术的认证协议,该认证方式是在用户通过认证后将二层端口打开,并通过DHCP(动态主机配置协议)过程获得IP(互联网协议)地址,进行正常的网络访问。目前,802.1x以其协议安全、实现简单,和其他认证协议一起,给使用ADSL(非对称数字用户环线)、VDSL(甚高速数字用户线路)、LAN(局域网)等多种宽带接入方式的用户提供了新的认证方式。
而另一种基于传输层的WEB的四层认证方法,是在用户进行WEB认证前通过DHCP过程获得IP地址,获得IP地址后用户才可以通过IP报文将相应的认证信息发送给认证服务器进行WEB认证,WEB认证方式同样也是目前网络通信中广泛应用的一种认证方式。
由上述两种认证方式的介绍可以看出,802.1x协议规定在用户通过认证前二层端口处于被阻塞状态,无法进行报文的传递;只有在802.1x认证通过后,授权受控端口开通,才能够传递业务报文,即从现有技术来看,用户如果未能通过基于二层的认证,则用户的DHCP报文无法通过由802.1x认证所控制的二层端口,基于四层的WEB认证根本无法进行。因此,网络运营商无法在同一地点同时向用户提供两种接入认证方法,使得用户无法根据实际情况自由选择认证方式,而只能使用某一种认证方法进行网络的接入,给用户接入网络带来了极大的不方便。如在许多公共场所上网,网络无法获取用户信息,因此无法事先给用户配置对应的认证方法;这就限制了部分未使用该网络默认的认证方法进行网络接入的用户正常接入网络。
发明内容
本发明的目的是提供一种实现基于端口认证和基于传输层认证兼容的方法,以提高网络运营商所提供服务的质量,使用户可以根据自己的实际需要自由地选择接入网络所使用的认证方式。
本发明的目的是这样实现的:一种实现基于端口认证和基于传输层认证兼容的方法为:1)设置基于端口认证的二层端口为常开状态,在网络层配置基于端口认证的用户的访问权限;2)通过二层端口传送动态主机配置协议DHCP,用户获得IP地址后发送认证请求报文;3)接入设备判断认证请求报文,进行基于端口的认证或基于传输层的认证。
所述步骤3)进一步包括:
a、接入设备判断用户发送的认证请求报文是基于端口认证的认证报文,还是基于传输层认证的认证报文,如果是基于端口认证的报文,则执行步骤b,如果是基于传输层认证的报文,则执行步骤c;
b、接入设备将用户的进行802.1X认证的身份信息发送给认证服务器,执行步骤d;
c、接入设备将用户的WEB认证的身份信息通过处于常开状态的二层端口发送给认证服务器,执行步骤d;
d、认证服务器根据用户的身份信息对用户进行认证,并将认证结果通过接入设备返回给用户,同时由认证服务器通知接入设备改变认证成功的用户的访问权限,即令认证通过的用户访问网络不再受到网络层的限制。
所述的步骤a中,接入设备是根据认证开始报文中承载的用户域名信息判断报文是基于端口认证的认证报文,还是基于传输层认证的认证报文。
所述的步骤d还包括:对于认证通过的用户,如果需要更换IP地址,则通过DHCP过程为其进行二次地址分配,即为用户分配新的IP地址。
所述的基于传输层认证为WEB(环球网)认证方式时,所述的基于传输层的认证请求报文包括:基于DHCP(动态主机配置协议)的报文和基于HTTP(超文本传输协议)的报文,及DNS(域名服务)报文。
该方法还包括:配置兼容开关来控制基于端口认证是否兼容基于传输层认证。
所述的在网络层配置基于端口认证的用户的访问权限包括:在ACL(访问控制列表)中配置访问控制权限,以及配置CAR(允许访问速率)属性和QOS(业务质量)保证。
由上述技术方案可以看出,本发明中将基于端口的802.1X认证方式所控制的二层端口设置为常开状态,以保证基于传输层的WEB认证方式的DHCP过程可以正常进行,而将基于二层的认证方式的控制端口设置在三层。由于认证前DHCP过程的正常进行,从而使WEB认证流程和802.1X认证流程统一起来,实现了在同一地点两种认证的兼容。因此,本发明实现了用户在网络接入过程中,既可以选择基于二层的认证方式,如802.1x认证等;也可以选择基于四层的认证方式,如WEB认证方式等。本发明在网络通信中的应用可以提高网络运营商所提供服务的质量,适应网络通信技术发展的需求,使得用户可以根据实际需要动态自由地选择接入网络所使用的认证方式。
附图说明
图1为本发明的具体实施方式流程图;
图2为本发明中EAP-SIM认证的过程示意图;
图3为本发明中WEB认证的过程示意图。
具体实施方式
本发明的核心思想是将基于端口的802.1X认证中对二层端口的控制改为通过在网络层进行权限的配置实现对未通过认证用户的控制,从而使用户能够在802.1X认证之前进行DHCP过程获得IP地址,以进行基于传输层的WEB认证,进而实现了基于端口的认证和基于传输层的认证的兼容。
802.1X为基于端口的认证方式,该认证方式是通过对二层端口的控制从而达到对用户控制的目的;而对于WEB认证则是一个基传输层的认证,该认证的进行是以用户通过DHCP过程获得IP地址为前提,所以对WEB认证和802.1X来说,一个是四层认证一个是二层认证,为了实现二者的兼容,必须对二层端口的控制进行相应的改变,本发明的具体实现方式参见图1,叙述如下:
步骤1:将802.1X认证的二层端口设置为常开状态,以保证该端口能够允许DHCP过程的正常进行,使用户在802.1X认证通过之前能够获得IP地址,从而方便用户进行WEB认证;
步骤2:为了保证802.1X认证对用户的控制,需要将原来由二层端口实现的控制转移至网络层实现,即在网络层进行采用802.1X认证的用户访问权限的配置,配置的数据主要包括ACL(访问控制)控制、CAR(允许访问速率)属性、QOS(业务质量)保证等;例如:对于硬件转发来说,这些数据主要是通过主机CPU下发的指定的ASIC(专用集成电路)芯片,用于硬件转发的ASIC芯片根据不同的指定对该用户进行相应的管理和控制;
根据需要还可以通过命令行提供一个兼容开关来控制802.1X认证(如EAP-SIM认证)是否兼容WEB认证,以方便网络运营商的应用,如果选择两种认证兼容,则继续执行步骤3,即NAS设备允许在认证前完成DHCP过程,进行IP地址的取得;
步骤3:用户需要进行认证时,首先通过处于常开状态的二层端口地DHCP报文的传送,使用户可以通过DHCP过程获得IP地址,为基于传输层的WEB认证的实现提供了基础,用户获得IP地址后可以进行根据自己的使用方便进行选择,比如可以采用发送WEB页面进行认证请求,或直接发起EAP-SIM认证过程;
步骤4:接入设备接收用户发送来的认证请求报文,并根据报文中承载的用户域名信息判断用户是采用802.1X认证方式接入网络,还是采用WEB认证方式接入网络,如果采用的是802.1X认证方式,执行步骤5,如果采用的是WEB认证方式,则执行步骤6;
例如可以采用“用户名@802.1X.com”表示用户采用的是802.1X认证方式,采用“用户名@WEB.com”表示用户采用的是WEB认证方式,这样接入设备便可以较为方便地将用户所采用的不同的认证方式区分开来;
当然本发明具体实施过程中也可以根据认证请求报文中的其它特征信息判断用户所采用的认证方式;
步骤5:用户采用基于端口认证的802.1X认证方式接入网络,则用户向接入设备发送802.1X认证请求报文,现以选择EAP-SIM(一种广泛用于无线的基于802.1X认证协议的扩展认证方式)认证接入方式为例进行说明,用户向接入设备的NAS(Network Access Server,网络接入服务器)端发送EAP认证请求报文,并执行步骤7;
具体的EAP-SIM认证过程如图2所示,经过了步骤3的DHCP过程之后,首先由用户向NAS发送EAP-SIM认证请求报文;
步骤6:用户向接入设备的NAS端发送WEB认证请求报文,并执行步骤7;
对于采用WEB认证的用户的具体认证过程如图3所示,用户已经通过步骤3的DHCP过程获得了IP地址,此时用户上网的权限通常仅可以访问指定的WEB服务器,如果用户打开IE(浏览器)直接访问其他网址,NAS端将用户重定向到WEB服务器,由WEB服务器发起WEB认证过程,用户在收到WEB服务器所下发的认证网页后输入用户帐号和口令,通过WEB认证请求报文将用户的身份信息发送给WEB服务器,WEB服务器收到用户的身份信息(包括用户的帐号和口令)后继续通过WEB认证请求报文将其转发给NAS端,并由接入设备中的NAS端向认证服务器发起该用户的认证过程;
步骤7:接入设备将用户的身份信息发送给认证服务器进行用户身份的认证,所述的认证服务器通常为RADIUS(远程认证)服务器;
对于采用WEB认证的用户,接入设备向认证服务器发送WEB认证请求报文进行认证请求,对于采用EAP-SIM认证的用户,接入设备向认证服务器发送EAP-SIM认证请求报文进行认证请求;
步骤8:认证服务器将认证结果通过接入设备发送给用户,并将认证通过的用户的网络层所配置的访问权限进行修改,即允许认证通过的用户可以自由地进行网络访问;
对于采用WEB认证的用户,认证服务器将WEB认证结果返回给接入设备,再由接入设备将认证结果发送给WEB服务器,最后用户从WEB服务器获取认证结果;
对于采用EAP-SIM认证的用户,认证服务器通过EAP-SIM认证响应报文将认证结果发送给接入设备,再由接入设备将认证结果发送给用户。
对于具体的802.1X认证过程和WEB认证过程与现有技术中的认证过程完全相同。当用户通过认证过程后,用户端的控制程序可以根据实际需要进行两种设置:一种是发起第二次DHCP的过程,NAS端可以通过配置完成第二次DHCP的过程,NAS可以根据用户名所带的不同的域(Domain)信息对用户的IP地址进行二次分配,以方便网络接入过程中的地址管理;另一种是客户端不发起第二次DHCP的过程。整个认证过程结束后,NAS根据用户认证所得到的相应上网权限实现对用户相关数据和表项的下发和控制,比如说用户访问过滤、CAR控制、QOS保证等,使得用户可以直接根据自己的需要进行Internet(互联网)的访问。
Claims (7)
1、一种实现基于端口认证和基于传输层认证兼容的方法,其特征在于:
1)设置基于端口认证的二层端口为常开状态,在网络层配置基于端口认证的用户的访问权限;
2)通过二层端口传送动态主机配置协议DHCP,用户获得IP地址后发送认证请求报文;
3)接入设备判断认证请求报文,进行基于端口的认证或基于传输层的认证。
2、根据权利要求1所述的实现基于端口认证和基于传输层认证兼容的方法,其特征在于所述步骤3)进一步包括:
a、接入设备判断用户发送的认证请求报文是基于端口认证的认证报文,还是基于传输层认证的认证报文,如果是基于端口认证的报文,则执行步骤b,如果是基于传输层认证的报文,则执行步骤c;
b、接入设备将用户的进行802.1X认证的身份信息发送给认证服务器,执行步骤d;
c、接入设备将用户的WEB认证的身份信息通过处于常开状态的二层端口发送给认证服务器,执行步骤d;
d、认证服务器根据用户的身份信息对用户进行认证,并将认证结果通过接入设备返回给用户,同时由认证服务器通知接入设备改变认证成功的用户的访问权限,即令认证通过的用户访问网络不再受到网络层的限制。
3、根据权利要求2所述的实现基于端口认证和基于传输层认证兼容的方法,其特征在于所述的步骤a中,接入设备是根据认证开始报文中承载的用户域名信息判断报文是基于端口认证的认证报文,还是基于传输层认证的认证报文。
4、根据权利要求2所述的实现基于端口认证和基于传输层认证兼容的方法,其特征在于所述的步骤d还包括:对于认证通过的用户,如果需要更换IP地址,则通过DHCP过程为其进行二次地址分配,即为用户分配新的IP地址。
5、根据权利要求1所述的实现基于端口认证和基于传输层认证兼容的方法,其特征在于所述的基于传输层认证为WEB认证方式时,所述的基于传输层的认证请求报文包括:基于DHCP的报文和基于HTTP的报文,及DNS报文。
6、根据权利要求1所述的实现基于端口认证和基于传输层认证兼容的方法,其特征在于该方法还包括:配置兼容开关来控制基于端口认证是否兼容基于传输层认证。
7、根据权利要求1所述的实现基于端口认证和基于传输层认证兼容的方法,其特征在于所述的在网络层配置基于端口认证的用户的访问权限包括:在访问控制列表中配置访问控制权限,以及配置允许访问速率属性和业务质量保证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021523886A CN1297104C (zh) | 2002-12-04 | 2002-12-04 | 实现基于端口认证和基于传输层认证兼容的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021523886A CN1297104C (zh) | 2002-12-04 | 2002-12-04 | 实现基于端口认证和基于传输层认证兼容的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1505331A CN1505331A (zh) | 2004-06-16 |
| CN1297104C true CN1297104C (zh) | 2007-01-24 |
Family
ID=34234744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021523886A Expired - Lifetime CN1297104C (zh) | 2002-12-04 | 2002-12-04 | 实现基于端口认证和基于传输层认证兼容的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1297104C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101174952B (zh) * | 2006-10-31 | 2010-05-19 | 中兴通讯股份有限公司 | Iptv业务自动认证方法及装置 |
| CN102215486B (zh) * | 2010-04-02 | 2014-05-07 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
| CN101867912A (zh) * | 2010-06-07 | 2010-10-20 | 华为终端有限公司 | 一种接入网络的认证方法及终端 |
| CN101902480A (zh) * | 2010-08-06 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和无线接入设备 |
| CN103516671B (zh) * | 2012-06-21 | 2018-08-07 | 中兴通讯股份有限公司 | 一种用户业务的接入处理方法及接入设备及接入终端 |
| JP6126980B2 (ja) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| CN108259420B (zh) * | 2016-12-28 | 2021-10-08 | 迈普通信技术股份有限公司 | 一种报文处理方法及装置 |
| CN107454090B (zh) * | 2017-08-17 | 2019-12-27 | 京信通信系统(中国)有限公司 | 有线数据识别认证方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6009102A (en) * | 1996-08-15 | 1999-12-28 | Nec Corporation | NHRP packet authentication method and NHRP server |
| JP2001186186A (ja) * | 1999-12-27 | 2001-07-06 | Toshiba Corp | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
| US6278705B1 (en) * | 1997-04-08 | 2001-08-21 | 3Com Corporation | Integrated architecture to support a single system image across multiple network access servers |
| CN1338845A (zh) * | 2001-09-27 | 2002-03-06 | 杨平良 | 基于互联网终端用户身份认证及联接系统 |
-
2002
- 2002-12-04 CN CNB021523886A patent/CN1297104C/zh not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6009102A (en) * | 1996-08-15 | 1999-12-28 | Nec Corporation | NHRP packet authentication method and NHRP server |
| US6278705B1 (en) * | 1997-04-08 | 2001-08-21 | 3Com Corporation | Integrated architecture to support a single system image across multiple network access servers |
| JP2001186186A (ja) * | 1999-12-27 | 2001-07-06 | Toshiba Corp | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
| CN1338845A (zh) * | 2001-09-27 | 2002-03-06 | 杨平良 | 基于互联网终端用户身份认证及联接系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1505331A (zh) | 2004-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| USRE45532E1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| US8484695B2 (en) | System and method for providing access control | |
| CN101163000B (zh) | 一种二次认证方法及系统 | |
| US20090070859A1 (en) | Method and Apparatuses for Secure, Anonymous Wireless Lan (WLAN) Acess | |
| JP2004505383A (ja) | 分散ネットワーク認証およびアクセス制御用システム | |
| JP2006053923A5 (zh) | ||
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
| CN101695022A (zh) | 一种服务质量管理方法及装置 | |
| KR20070010023A (ko) | 서비스로의 액세스를 위해 가상 네트워크로의 액세스를가능하게 하는 클라이언트에 대한 인가 방법 및 시스템 | |
| CN1297104C (zh) | 实现基于端口认证和基于传输层认证兼容的方法 | |
| CN107294952A (zh) | 一种实现零终端网络准入的方法及系统 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN1538706A (zh) | 一种用于web认证的http重定向方法 | |
| US20040083296A1 (en) | Apparatus and method for controlling user access | |
| CN102075504A (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
| CA3040804C (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| CN1889465A (zh) | 接入控制设备、接入控制系统和接入控制方法 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| JP2003519871A (ja) | ネットワーク・アクセスを管理するためのシステムおよび方法 | |
| Cisco | Glossary | |
| CN100474825C (zh) | 域认证和用户网络权限控制统一处理的方法及系统 | |
| CN1571382A (zh) | 实现网络专线接入的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070124 |
|
| CX01 | Expiry of patent term |