CN1567868A - 基于以太网认证系统的认证方法 - Google Patents
基于以太网认证系统的认证方法 Download PDFInfo
- Publication number
- CN1567868A CN1567868A CN 03145192 CN03145192A CN1567868A CN 1567868 A CN1567868 A CN 1567868A CN 03145192 CN03145192 CN 03145192 CN 03145192 A CN03145192 A CN 03145192A CN 1567868 A CN1567868 A CN 1567868A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- points
- requester
- control point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种基于以太网认证系统的认证方法,该认证系统包括认证请求者、认证点、控制点和认证服务器,在认证点完成原有802.1x认证的同时,控制点同步获取与认证点相同的认证请求者的认证信息,完成扩展认证协议的认证。本发明由于控制点参与了认证过程,可以及时获得认证请求者的认证、授权信息,从而可以对每个认证请求者进行管理;认证点对于非802.1x认证的网络报文可进行透明传输,使得多种认证方式可以同时存在,由控制点完成各种认证。另外,对于WLAN用户由于切换带来的重认证,由控制点或认证点代替认证服务器进行认证,实现了快速重认证,大大缩短了切换时间。
Description
技术领域
本发明涉及数据通信领域的认证方法,具体地说,涉及一种承载在鉴权用高层协议上的扩展认证协议(EAP)的认证方法。
背景技术
如图1所示的以太网组网图,计算机以有线方式与以太网交换机相连,或者以无线方式与无线接入点AP相连,再通过以太网线路接到核心网中,如企业局域网或城域网等,在网络中通常设有远端用户拨入鉴权服务(Remote Authentication Dialin User Service,简称RADIUS)认证服务器来验证计算机用户身份的合法性。在实际的组网中,PC可直接连在以太网交换机上,也可以通过集线器、以太网交换设备等级联到以太网交换机上,还可以通过甚高速数字用户线路(Very High Speed Digital Subscriber Line,简称VDSL)和VDSL交换机相连,其中在VDSL线路中传递的是以太网格式的报文。在无线局域网中,可采用IEEE(Institute of Electrical and ElectronicsEngineers,电气和电子工程师学会)802.11、802.11a、802.11b、802.11g等无线以太网协议来连接PC和AP。
802.1x协议称为基于端口的访问控制协议,是一种基于以太网技术的认证协议,802.1x以其协议安全、实现简单的特点,与其他认证协议一起,为使用不对称数字用户线(Asymmetric Digital Subscriber Line,简称ADSL)、VDSL、局域网(Local Area Network,简称LAN)、无线局域网(Wireless LocalArea Network,简称WLAN)等多种宽带接入方式的用户提供了丰富的认证方式。
扩展认证协议(Extensible Authentication Protocol,简称EAP)认证是为点到点协议(Point-to-Point Protocol,简称PPP)设计的一种新的认证构架,可以包括很多种认证方式,比如常用的EAP-MD5(Message Digest 5,消息摘要5,一种加密算法)、EAP-TLS(Transport Layer Security,传输层安全)等等。802.1x提供了EAPoL(EAP over LAN,局域网承载EAP协议)的封装,以及支撑EAP认证的构架,而EAP随着802.1x协议的发展,也有了大量的应用。
802.1X认证系统包括三个重要的组成部分:认证请求者、认证点和认证服务器,如图2所示。
认证请求者一般为一个用户终端系统,通常要安装一个认证请求者软件,用户通过启动这个认证请求者软件发起802.1x协议的认证过程。为支持基于端口的接入控制,认证请求者需支持EAPoL协议。
认证点通常为支持802.1x协议的网络设备。认证请求者通过认证点接入局域网的网络接入端口,该网络接入端口可以是认证点的物理端口,也可以是认证请求者的媒质接入控制(Media Access Control,简称MAC)地址。网络接入端口被划分成两个虚端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL认证报文,保证认证请求者始终可以发出或接受认证。受控端口则用于传递业务报文,在未授权状态下被阻塞,在授权状态下连通。为适应不同的应用环境,受控端口的操作受控方向可配置为双向受控和单向受控两种方式。图2中,认证点的受控端口处于未认证、未授权状态,因此认证请求者无法访问认证点提供的服务。
认证服务器通常为RADIUS服务器,用于存储有关认证请求者的信息,比如认证请求者的承诺访问速率(Committed Access Rate,简称CAR)参数、优先级、认证请求者的访问控制列表等等。当认证请求者通过认证后,认证服务器把认证请求者的相关信息传递给认证点,由认证点构建动态的访问控制列表,认证请求者的后续流量接受上述参数的监管。
认证点的端口认证实体(Port Authentication Entity,简称PAE)通过非受控端口与认证请求者PAE进行通信,二者之间运行EAPoL协议;认证点PAE与认证服务器之间运行EAP协议。如果认证点PAE和认证服务器集成在同一个系统内,那么两者之间的通信可以不采用EAP协议。
在802.1x协议中使用了EAP认证方式。用户提供用户名、用户密码等认证信息,通过802.1x协议中包含的某种EAP认证方式,到认证点进行用户身份合法性的认证。常用的EAP认证方式有MD5、TLS、一次性密码(OneTime Password,简称OTP)、用户识别卡(Subscriber Identification Module,简称SIM)等等。当认证点收到用户的认证信息后,通过承载在RADIUS协议上的EAP(EAP over RADIUS,简称EAPoR)协议到对应的认证服务器上进行认证。
下面以EAP-MD5为例描述802.1x认证方法。实际使用时,可以使用所有802.1x的认证方式。图3为EAP-MD5认证方法的示意图。当认证请求者和认证点之间建立好物理连接后,认证请求者向认证点发送一个EAPoL开始报文,启动802.1x认证,认证点向认证请求者发送EAP认证请求报文,要求认证请求者提交用户名。认证请求者回应一个EAP认证应答报文给认证点,该应答报文中包含用户名信息。认证点以EAPoR报文格式向RADIUS认证服务器发送含有EAP认证应答报文的访问请求报文,将用户名提交给RADIUS认证服务器。RADIUS认证服务器产生一个128位的质询,并向认证点回应一个访问质询报文,里面含有EAP-MD5质询请求报文。认证点将EAP-MD5质询请求报文发送给认证请求者,认证请求者收到后,将密码和质询采用MD5算法进行加密,产生质询密码,并通过EAP-MD5质询应答报文把质询密码发送给认证点。认证点将质询密码通过访问请求报文送到RADIUS认证服务器,由RADIUS认证服务器进行认证,RADIUS认证服务器根据存储的认证请求者信息判断该认证请求者是否合法,然后回应认证成功/失败报文到认证点;如果认证成功,则RADIUS认证成功报文中还含有用于认证请求者授权的协商参数以及认证请求者的相关业务属性。认证点根据认证结果,向认证请求者回应EAP成功/失败报文,通知认证请求者认证结果。如果认证成功,则对认证请求者进行地址分配,然后进行授权、计费等流程。
802.1x协议建议认证在最接近用户的设备上实现,所以802.1x认证一般在以太网交换机或AP上实现。
对于一般的企业网,如图4所示,由于只需保证企业网用户接入企业网络中,则可以使用802.1x认证方法对用户在AP或者以太网交换机上进行认证。而对于需要管理用户的网络,如运营商网络,则不仅要对用户进行认证,而且要实现对单个用户进行计费、带宽管理、访问控制、业务管理等功能,其网络图如图5所示,在以太网交换机或AP与核心网之间增加了控制设备,如接入控制器或宽带接入服务器等,用于提供对网络强管理的功能。
然而,在图5的网络中,AP或以太网交换机用于实现802.1x认证,强管理功能在控制设备上完成,认证点与控制点之间信息的分离,用户的认证信息没有从认证点送到控制点上,用户的授权、计费信息也没有送到控制点,控制点只能针对网络或者子网进行管理而不能针对每个用户进行管理,因此无法达到控制点对用户实现强管理功能的目的。
目前的认证方法较多,同一网络中的每个用户都会按照自己的需要采用某种认证方法,由于802.1x认证在AP或以太网交换机上实现,而其他认证如PPPoE(PPP Over Ethernet,以太网承载PPP协议)认证、WEB认证在控制点上实现,那么对于采用以太网技术的系统,按照标准的802.1x认证方式,只有在通过802.1x认证后才能够通过其他报文,因此无法支持同时存在多种认证方法。
同时,在WLAN中,用户通过无线接入到AP,当用户切换时,即用户从一个AP漫游到另外一个AP时,一般会按照802.1x进行重认证。普通的重认证实际上就是一次标准的认证过程,这样造成切换时间较长,明显影响了客户业务。
发明内容
本发明所要解决的技术问题在于提供一种基于以太网认证系统的认证方法,使系统中的控制点参与认证过程,获得认证请求者的认证、授权信息,从而实现对每个认证请求者的管理,同时解决认证系统同时存在多种认证方式的认证问题,并且解决WLAN用户在切换无线接入点时进行重认证造成切换时间长的问题。
本发明是通过以下技术方案实现的:基于以太网认证系统的认证方法,所述认证系统包括认证请求者、认证点、控制点和认证服务器,所述认证请求者与所述认证点之间采用局域网承载扩展认证协议进行通讯,所述认证点与所述控制点之间、所述控制点与所述认证服务器之间采用承载在鉴权用高层协议上的扩展认证协议进行通讯,所述认证方法包括以下步骤:
步骤1,认证请求者发起认证开始报文,启动认证;
步骤2,认证点处理认证开始报文,获得含有认证请求者身份认证信息的扩展认证协议响应报文;
步骤3,认证点将所述扩展认证协议响应报文封装到鉴权用高层协议访问请求报文中,发送给控制点;
步骤4,控制点获取报文信息,并将所述访问请求报文发送给认证服务器;
步骤5,认证服务器产生含有某种扩展认证方式请求报文的鉴权用高层协议访问请求报文,发送给控制点;
步骤6,控制点获取报文信息,将报文转发给认证点;
步骤7,认证点取出扩展认证方式请求报文,发送给认证请求者;
步骤8,认证请求者按照指定的扩展认证方式进行认证处理,向认证点发送请求应答报文;
步骤9,认证点将请求应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;
步骤10,控制点获取报文信息后,将报文转发给认证服务器;
步骤11,认证服务器进行认证,向控制点返回鉴权用高层协议认证成功/失败报文;
步骤12,控制点获取报文信息,将报文转发给认证点;
步骤13,认证点取出认证成功/失败报文发送给认证请求者。
所述步骤2进一步包括:认证点向认证请求者发送提交身份认证信息的扩展认证协议请求报文;认证请求者回应含有身份认证信息的扩展认证协议响应报文给认证点。
所述步骤2进一步包括:认证点将收到的认证请求报文透传给控制点;控制点向认证点发送请求提交身份认证信息的报文;认证点将上述报文透传给认证请求者;认证请求者回应含有身份认证信息的报文给认证点。
在所述步骤2之前还包括:认证点收到认证开始报文后,识别认证请求者是802.1x认证请求者或非802.1x认证请求者;如果是802.1x认证请求者,则执行步骤2;如果是非802.1x认证请求者,则不对认证点的端口进行控制,认证点将认证请求报文发送给控制点,控制点按照该认证的标准流程进行认证。
在上述方法中,所述控制点或认证点保存认证请求者进行第一次认证时的信息,包括用户名、用户MAC地址、用户密码、认证结果中的用户权限。
如果控制点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括:如果认证请求者在不同的认证点之间进行切换时,通过控制点进行重认证的步骤包括:新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文;新认证点将含有身份认证信息的应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者的信息,产生含有加密算法质询请求报文的访问质询报文,发送给新认证点;新认证点将加密算法质询请求报文发送给认证请求者;认证请求者进行加密运算,向新认证点发送加密算法质询应答报文;新认证点将质询应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者信息,判断认证请求者是否合法,向新认证点回应认证成功/失败报文;新认证点将成功/失败报文回应给认证请求者。
如果认证点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括:如果认证请求者在不同的认证点之间进行切换时,通过认证点进行重认证的步骤包括:新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文给新认证点;新认证点根据报文中提供的旧认证点的地址信息,向旧认证点发起获取认证请求者对应的第一次认证信息的请求;旧认证点将含有认证请求者认证信息的应答报文返回给新认证点;新认证点根据历史认证过程中保存的信息,产生含有加密算法的质询请求报文,发送给认证请求者;认证请求者进行加密运算,将质询应答报文发送给新认证点;新认证点根据历史认证过程中保存的信息,判断认证请求者是否合法,然后回应认证成功/失败报文给认证请求者。
通过上述技术方案可知,本发明具有如下优点:
1、控制点通过参与认证过程,进行EAP认证,同步获得认证请求者的认证、授权信息,从而可以对每个认证请求者进行管理。
2、认证点对非802.1x认证的网络报文进行透明传输,使得多种认证方式可以同时存在。
3、对于WLAN用户由于切换带来的重认证,由控制点或认证点代替认证服务器进行认证,实现了快速重认证,大大缩短了切换时间。
附图说明
图1为一般以太网的组网示意图;
图2为IEEE 802.1X认证系统体系结构;
图3为现有的EAP-MD5认证方法的示意图;
图4为普通企业网的示意图;
图5为运营商网络的示意图;
图6为本发明方法应用的基于802.1x的认证系统的架构示意图;
图7为图6所示认证系统的功能实体协议栈示意图;
图8是本发明认证方法的流程图;
图9为本发明一个具体实施例的认证示意图;
图10是本发明另一个具体实施例的认证示意图;
图11为本发明方法中在控制点进行快速重认证的示意图;
图12为本发明方法中在认证点进行快速重认证的示意图;
图13为本发明方法中正常下线的流程示意图;
图14为本发明方法中异常下线的流程示意图。
具体实施方式
以下,结合具体实施例并参照附图,对本发明做进一步的详细说明。
图1至图5为本发明现有技术的示意图,已在前面详细介绍过,此处不再赘述。
如图6所示的基于802.1x的认证系统架构,包括认证请求者、认证点、控制点和认证服务器。认证请求者对应客户终端,认证点对应无线接入点AP或以太网交换机,控制点对应接入控制器AC或宽带接入服务器,认证服务器对应AAA(Authentication,Authorization and Accounting,认证、授权和计费)服务器。本发明方法除了在认证点上进行802.1x认证外,同时还在控制点上进行EAP认证,使得控制点和认证点同步获取用户认证、授权信息。
如图7所示,认证请求者支持EAPoL协议,认证点支持EAPoL和EAPoR协议,控制点支持EAPoR协议,认证服务器支持EAPoR协议。此外,EAP还可承载在其他类似RADIUS协议的鉴权用高层协议上,如Diameter协议,又称RADIUS扩展AAA协议,这是一种新的兼容RADIUS协议的认证、授权和计费协议,对于此协议,本发明的认证方法也同样适用。为简便说明,下述实施例是基于EAPoR协议的认证方法过程。
图8是本发明的认证方法示意图,认证系统利用EAP协议的扩展能力可以选用不同的认证算法,下面以EAP-MD5的802.1x认证流程为例,详细介绍本发明的方法,如图9所示。
用户终端向AP发起EAPoL开始报文,启动802.1x认证。AP向用户终端发送EAP身份认证请求报文,要求认证请求者发来用户名。认证请求者向AP回应一个EAP身份认证应答报文,其中包含有用户名。AP将EAP身份认证应答报文封装到RADIUS访问请求报文中,发送给AC,AC获得EAP报文信息以及RADIUS报文信息,然后将RADIUS访问请求报文转发给认证服务器。认证服务器收到RADIUS访问请求报文后,向AC发送产生RADIUS访问质询报文,其中含有EAP-MD5质询请求。AC收到访问质询报文后,获取相应的报文信息后,然后转发给AP,AP将报文中的EAP-MD5质询请求发送给用户终端,请求质询。用户终端收到EAP-MD5质询请求报文后,将密码和质询进行MD5运算,之后通过EAP-MD5质询应答报文将质询、质询密码和用户名发送给AP。AP将EAP-MD5质询应答报文封装到RADIUS访问请求报文中,发送给AC,AC获取相应的报文信息后,将其转发给认证服务器进行认证。认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到AC;如果认证成功,则在RADIUS报文中含有给用户授权的协商参数和用户的相关业务属性。AC获取相应的报文信息后,转发给AP,AP将EAP-成功/失败回应给认证请求者用户终端,表明认证成功或失败。
在上述认证流程中,AC采用两种方式获取报文信息:数据报文侦听的方式和作为AP的代理的方式。
对于数据报文侦听方式,AP发送的报文的目的地址是认证服务器,AC须配置与AP、认证服务器相同的保证RADIUS报文安全性的密钥。进行数据报文侦听时,可以对所有的数据报文进行侦听,也可以选择侦听指定的AP或者认证服务器的数据报文。AC将接收到的报文进行存储,然后转发;或者将接收到的报文存储后,根据需要重新组包后转发。
如果AC采用作为AP的代理的方式获取报文信息,例如RADIUS代理,则AP将AC当作一个RADIUS服务器,AP发送的报文的目的地址是控制点AC,所有的报文都直接发送到AC的RADIUS端口上,AC按照标准的RADIUS服务器功能接收、修改、发送报文。AC接收到报文后,进行存储,然后重新组包后转发;或者将接收到的报文存储后,直接转发。
采用上述方法,控制点保存有所有用户的认证、授权信息,这样可以将EAPoR认证与AC本身的强管理功能很好地结合起来。
由于802.1x认证是针对MAC地址对应的逻辑端口,在认证通过后认证请求者获得IP地址,认证点必须让匹配用户MAC地址的报文通过,MAC地址是识别用户逻辑端口的标识,因此802.1x协议规定:在EAPoR认证时,必须在RADIUS报文中增加认证请求者的MAC(Medium Access Control,媒质接入控制)地址属性,可以使用RADIUS协议中的呼叫点标识(Calling-Station-ID)属性,也可以使用其他属性。在每一个802.1x报文中,都包括了认证请求者的MAC地址。如果认证请求者在认证通过后才能获得IP地址,那么必须在RADIUS报文中增加MAC地址属性。如果认证请求者在认证前已获得IP地址,则可以直接使用IP地址作为识别用户逻辑端口的标识。
对认证请求者的认证成功后,认证请求者可以获取IP地址,建立以太网MAC层以上的网络层服务,开展上网应用,控制点开始对认证请求者实现管理,如计费。计费可以是在认证服务器返回认证成功的报文后,在认证点或者控制点启动;也可以在认证成功后,且认证请求者的网络层服务建立后,在认证点或者控制点启动。当在认证点上发送计费报文时,控制点可以对计费信息进行侦听。
在本发明中,由于控制点加入认证过程,可以支持多种的认证方式。为了达到此目的,应当对认证点的端口不进行控制,即认证请求者的所有报文都可以通过认证点到达控制点,这样,所有的认证请求者的控制都在控制点上,实现了同时支持多种认证。特别的,对于有些网络,其控制点同时也接入了802.1x认证方式,此时在控制点基于802.1x的认证和基于EAPoR的认证可以共存,在这种情况下,认证点透传802.1x报文,由控制点来完成802.1x认证,如图10所示。总之,如果在认证点上进行802.1x认证,同时在控制点上进行EAPoR认证,则该认证点可以按照802.1x进行端口控制,也可以不对端口进行控制;如果在认证点上进行802.1x认证,在控制点上不仅进行EAPoR认证,而且还要进行其他认证如PPPoE、WEB认证时,即连接到认证点的任意用户可以在任意时候选择任意认证方式,则认证点可根据需要,对802.1x认证和非802.1x认证选择是否进行端口控制。
在认证点AP处,为了区别AP上认证的信息和控制点上认证的信息,首先根据以太网报文头中的类型字段和/或以太网报文头中的目的地址判断用户是否进行802.1x认证,以此来区别是802.1x认证请求者还是非802.1x认证请求者;也可以通过其他方式识别,如根据WLAN用户的服务集标识SSID进行区别。然后将802.1x认证用户的所有网络报文和其他用户的所有网络报文打上不同的标记,包括但不限于使用符合802.1x标准的不同的VLAN标签。比如,使用802.1x认证用户的所有报文都打一个VLAN标签,其他用户使用另外一个VLAN标签。这样,控制点就可以通过区别不同的VLAN标签进行相应的管理,如对802.1x认证的用户的报文进行透传而不做任何处理,而对其他用户,则按照相应的认证流程在控制点上做认证。
在WLAN中,用户通过无线接入到AP,当用户切换时,即用户从一个AP漫游到另外一个AP时,一般会按照802.1x进行重认证,这样造成用户切换时间较长。本发明通过将用户第一次认证时的信息,包括但不限于用户名、用户MAC地址、用户密码、认证结果中包括的用户权限如带宽限制、访问控制、加密密钥等信息,保留在某一个设备上,比如AP或者AC,当用户需要重认证时,直接将原有的认证结果返回,达到快速重认证的目的。在进行快速重认证时,不同的AP之间通过认证点间协议(Inter-Access PointProtocol,简称IAPP)获得认证请求者第一次认证时保存的信息。
下面根据图11说明在AC处保存认证信息,进行快速重认证的方法。本实施例中,重认证是由AP发起的。
用户在线,开展网络应用,由于某种原因发起重认证,AP向用户终端发送EAP身份认证请求报文,要求用户终端发送用户名。用户终端回应一个EAP身份认证应答报文,报文中包括用户名,AP将EAP身份认证应答报文封装到RADIUS访问请求报文中,发送给AC。AC根据历史认证过程中保存的信息,产生RADIUS访问质询报文,发送给AP,在报文中含有EAP-MD5质询请求。AP将EAP-MD5质询请求报文发送给用户终端,用户终端收到EAP-MD5质询请求报文后,将密码和质询进行MD5运算,之后通过EAP-MD5-质询应答报文将质询、质询密码和用户ID发送给AP。AP将EAP-MD5质询应答报文封装到RADIUS访问请求报文中,发送给AC,AC根据历史认证过程中保存的信息,判断用户是否合法,然后回应认证成功/失败报文到AP,如果认证成功,则RADIUS报文中含有给用户授权的协商参数和用户的相关业务属性。AP将EAP-成功/失败回应给用户终端,表明认证成功或失败。
AP处保存认证信息提供快速重认证功能的认证步骤与AC类似,如图12所示,当用户终端在两个AP之间切换时,为说明方便,切换前的AP称为旧AP,切换后的AP称为新AP。新AP向用户终端发送EAP身份认证请求报文,要求用户终端发送用户名,用户终端回应一个EAP身份认证应答报文给新AP,报文中包括用户名。新AP根据用户报文中提供的旧AP地址信息,向旧AP发起信息请求,请求用户终端对应的第一认证的信息。特别的,新AP和旧AP之间可以通过配置共享密钥方式以保证网络安全,或者也可以通过其他鉴权服务器来保证两个AP之间的安全性。旧AP将信息请求应答报文返回给新AP,包括用户的信息,如加密密钥、用户权限等。新AP根据历史认证过程中保存的信息,产生RADIUS访问质询报文,发送给用户终端,在报文中含有EAP-MD5质询请求。用户终端收到EAP-MD5质询请求报文后,将密码和质询进行MD5运算,之后通过EAP-MD5-质询应答报文将质询、质询密码和用户ID发送给新AP。新AP根据历史认证过程中保存的信息,判断用户是否合法,然后回应认证成功/失败报文到用户终端,如果认证成功,则RADIUS报文中含有给用户授权的协商参数和用户的相关业务属性。
用户下线流程包括用户主动下线和异常下线两类情况。用户主动下线流程如图13所示,用户终端通过客户端软件,主动向认证点发送EAPoL下线消息,认证点向AC发送计费停止请求的报文。AC将报文转发给认证服务器,认证服务器向AC返回计费停止请求报文的回应,AC将报文转发给认证点。
异常下线流程如图14所示,认证点定时检测用户,如果发现用户不在线,则向AC发送计费停止请求的报文;AC将报文转发给认证服务器。认证服务器向AC回计费停止请求报文的回应,AC将报文转发给认证点。
在802.1x认证和其他如WLAN结合时,在认证成功后返回的RADIUS报文中有授权信息属性,常见的包括用户权限(带宽限制、访问控制)、加密密钥等,这些信息用于用户控制和安全保障等。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (23)
1、一种基于以太网认证系统的认证方法,所述认证系统包括认证请求者、认证点、控制点和认证服务器,所述认证请求者与所述认证点之间采用局域网承载扩展认证协议进行通讯,所述认证点与所述控制点之间、所述控制点与所述认证服务器之间采用承载在鉴权用高层协议上的扩展认证协议进行通讯,所述认证方法包括以下步骤:
步骤1,认证请求者发起认证开始报文,启动认证;
步骤2,认证点处理认证开始报文,获得含有认证请求者身份认证信息的扩展认证协议响应报文;
步骤3,认证点将所述扩展认证协议响应报文封装到鉴权用高层协议访问请求报文中,发送给控制点;
步骤4,控制点获取报文信息,并将所述访问请求报文发送给认证服务器;
步骤5,认证服务器产生含有某种扩展认证方式请求报文的鉴权用高层协议访问请求报文,发送给控制点;
步骤6,控制点获取报文信息,将报文转发给认证点;
步骤7,认证点取出扩展认证方式请求报文,发送给认证请求者;
步骤8,认证请求者按照指定的扩展认证方式进行认证处理,向认证点发送请求应答报文;
步骤9,认证点将请求应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;
步骤10,控制点获取报文信息后,将报文转发给认证服务器;
步骤11,认证服务器进行认证,向控制点返回鉴权用高层协议认证成功/失败报文;
步骤12,控制点获取报文信息,将报文转发给认证点;步骤13,认证点取出将认证成功/失败报文发送给认证请求者。
2、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述鉴权用高层协议是远端用户拨入鉴权服务协议或者是Diameter协议。
3、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述扩展认证方式是消息摘要5加密算法扩展认证方式或传输层安全扩展认证方式或一次性密码扩展认证方式或用户识别卡扩展认证方式。
4、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述步骤2进一步包括:认证点向认证请求者发送提交身份认证信息的扩展认证协议请求报文;认证请求者回应含有身份认证信息的扩展认证协议响应报文给认证点。
5、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述步骤2进一步包括:认证点将收到的认证请求报文透传给控制点;控制点向认证点发送请求提交身份认证信息的报文;认证点将上述报文透传给认证请求者;认证请求者回应含有身份认证信息的报文给认证点。
6、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,在所述步骤2之前还包括:认证点收到认证开始报文后,识别认证请求者是802.1x认证请求者或非802.1x认证请求者;如果是802.1x认证请求者,则执行步骤2;如果是非802.1x认证请求者,则不对认证点的端口进行控制,认证点将认证请求报文透传给控制点,控制点按照该认证的标准流程进行认证。
7、根据权利要求6所述的基于以太网认证系统的认证方法,其特征在于,所述认证点根据认证开始报文头中的类型字段和/或报文头中的目的地址判断认证请求者是否进行802.1x认证来识别不同的认证请求者。
8、根据权利要求6所述的基于以太网认证系统的认证方法,其特征在于,所述认证点根据认证请求者的服务集标识识别不同的认证请求者。
9、根据权利要求6或7或8所述的基于以太网认证系统的认证方法,其特征在于,认证点对于不同认证请求者的报文用不同的标记标识。
10、根据权利要求9所述的基于以太网认证系统的认证方法,其特征在于,所述标记是符合802.1Q标准的虚拟局域网标签。
11、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述控制点采用报文侦听的方式获取报文信息,再转发报文,具体是:控制点配置与认证点、认证服务器相同的密钥,将接收到的报文存储,然后转发。
12、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述控制点通过作为认证点代理的方式获取报文信息,再转发报文,具体是:控制点通过代理端口接收报文,将报文进行存储,然后转发。
13、根据权利要求11或12所述的基于以太网认证系统的认证方法,其特征在于,所述控制点在转发报文前,还包括对报文重新组包的步骤。
14、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述步骤11还包括:如果认证成功,则认证服务器在鉴权用高层协议认证成功报文中还含有给认证请求者授权的协商参数和认证请求者的相关业务属性。
15、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述控制点或认证点保存认证请求者进行第一次认证时的信息,包括用户名、用户MAC地址、用户密码、认证结果中的用户权限。
16、根据权利要求15所述的基于以太网认证系统的认证方法,其特征在于,如果控制点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括:如果认证请求者在不同的认证点之间进行切换时,通过控制点进行重认证的步骤包括:新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文;新认证点将含有身份认证信息的应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者的信息,产生含有加密算法质询请求报文的访问质询报文,发送给新认证点;新认证点将加密算法质询请求报文发送给认证请求者;认证请求者进行加密运算,向新认证点发送加密算法质询应答报文;新认证点将质询应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者信息,判断认证请求者是否合法,向新认证点回应认证成功/失败报文;新认证点将成功/失败报文回应给认证请求者。
17、根据权利要求15所述的基于以太网认证系统的认证方法,其特征在于,如果认证点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括:如果认证请求者在不同的认证点之间进行切换时,通过认证点进行重认证的步骤包括:新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文给新认证点;新认证点根据报文中提供的旧认证点的地址信息,向旧认证点发起获取认证请求者对应的第一次认证信息的请求;旧认证点将含有认证请求者认证信息的应答报文返回给新认证点;新认证点根据历史认证过程中保存的信息,产生含有加密算法的质询请求报文,发送给认证请求者;认证请求者进行加密运算,将质询应答报文发送给新认证点;新认证点根据历史认证过程中保存的信息,判断认证请求者是否合法,然后回应认证成功/失败报文给认证请求者。
18、根据权利要求17所述的基于以太网认证系统的认证方法,其特征在于,所述新认证点与旧认证点之间通过认证点间协议IAPP或共享密钥的方式进行通讯。
19、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括:当认证成功后,认证请求者通过地址分配获取IP地址,建立以太网网络层服务,开展上网应用,控制点对认证请求者进行计费管理。
20、根据权利要求19所述的基于以太网认证系统的认证方法,其特征在于,所述计费在认证服务器返回认证成功的报文后,在认证点或者控制点启动;或者在认证成功后,且认证请求者的网络层服务建立后,在认证点或者控制点启动。
21、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括:认证请求者主动向认证点发送下线消息;认证点向控制点发送计费停止请求的报文;控制点将报文转发给认证服务器;认证服务器向控制点返回计费停止请求应答报文,控制点将应答报文转发给认证点。
22、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括:认证点定时检测认证请求者,如果检测到认证请求者不在线,则向控制点发送计费停止请求的报文;控制点将所述报文转发给认证服务器;认证服务器返回计费停止应答报文给控制点;控制点将应答报文转发给认证点。
23、根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括:在所述步骤1之前,还包括配置认证点的端口控制功能是否启用的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031451926A CN1319337C (zh) | 2003-07-02 | 2003-07-02 | 基于以太网认证系统的认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031451926A CN1319337C (zh) | 2003-07-02 | 2003-07-02 | 基于以太网认证系统的认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1567868A true CN1567868A (zh) | 2005-01-19 |
CN1319337C CN1319337C (zh) | 2007-05-30 |
Family
ID=34471375
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031451926A Expired - Fee Related CN1319337C (zh) | 2003-07-02 | 2003-07-02 | 基于以太网认证系统的认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1319337C (zh) |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008074233A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Procédé de contrôle d'accès p2p faisant intervenir une structure à trois éléments |
WO2008074234A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé |
WO2009049557A1 (fr) * | 2007-10-15 | 2009-04-23 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de communication à base de conversion d'authentification |
WO2010063190A1 (zh) * | 2008-12-04 | 2010-06-10 | 华为终端有限公司 | 协商认证方式的方法、装置和系统 |
CN101789856A (zh) * | 2010-03-31 | 2010-07-28 | 杭州华三通信技术有限公司 | Lre与话音共线的情况下自动协商lre工作模式的方法和装置 |
WO2010149118A1 (zh) * | 2009-11-04 | 2010-12-29 | 中兴通讯股份有限公司 | 无线局域网下实现终端与服务器鉴别的系统及方法和终端 |
CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
WO2011000152A1 (zh) * | 2009-06-30 | 2011-01-06 | 上海贝尔股份有限公司 | 在无线局域网中移动终端漫游的方法、相关的接入控制器和接入点设备 |
CN101056177B (zh) * | 2007-06-01 | 2011-06-29 | 清华大学 | 基于无线局域网安全标准wapi的无线网状网重认证方法 |
CN102223635A (zh) * | 2011-07-07 | 2011-10-19 | 北京交通大学 | 一种基于802.1x认证协议的WLAN可信传输的实现方法 |
CN102340775A (zh) * | 2011-10-28 | 2012-02-01 | 杭州华三通信技术有限公司 | 无线客户端在ap间快速漫游的方法和ap |
CN102711073A (zh) * | 2012-06-04 | 2012-10-03 | 深圳市宏电技术股份有限公司 | 接入网络的计费方法及系统 |
CN102761940A (zh) * | 2012-06-26 | 2012-10-31 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
CN102960005A (zh) * | 2010-11-25 | 2013-03-06 | Sk电信有限公司 | 在无线lan环境中的认证系统和认证方法 |
CN103139775A (zh) * | 2011-12-02 | 2013-06-05 | 中国移动通信集团上海有限公司 | 一种wlan接入方法、装置及系统 |
CN103458062A (zh) * | 2013-08-26 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种网络协议ip地址获取方法及设备 |
CN106464498A (zh) * | 2014-06-06 | 2017-02-22 | 欧贝特科技 | 由第二电子实体认证第一电子实体的方法以及实施这种方法的电子实体 |
CN106534117A (zh) * | 2016-11-10 | 2017-03-22 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
CN108632028A (zh) * | 2017-03-17 | 2018-10-09 | 夏桂根 | 认证网络 |
CN110839050A (zh) * | 2018-08-16 | 2020-02-25 | 中国电信股份有限公司 | 用于检测用户下线的方法、系统和无线接入点 |
CN112104625A (zh) * | 2020-09-03 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 一种进程访问的控制方法及装置 |
CN112423299A (zh) * | 2020-04-16 | 2021-02-26 | 岭博科技(北京)有限公司 | 一种基于身份认证进行无线接入的方法及系统 |
CN113904856A (zh) * | 2021-10-15 | 2022-01-07 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
CN115664746A (zh) * | 2022-10-18 | 2023-01-31 | 浪潮思科网络科技有限公司 | 一种堆叠系统的认证同步方法、装置、设备及介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2296213C (en) * | 2000-01-07 | 2009-04-14 | Sedona Networks Corporation | Distributed subscriber management |
CA2384890A1 (en) * | 2000-07-27 | 2002-02-07 | Ipwireless, Inc. | Use of radius in umts to perform hlr function and for roaming |
CN1118178C (zh) * | 2001-02-23 | 2003-08-13 | 大唐电信科技股份有限公司微电子分公司 | 一种在公用电话系统开展增值业务的系统和方法 |
US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
-
2003
- 2003-07-02 CN CNB031451926A patent/CN1319337C/zh not_active Expired - Fee Related
Cited By (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
WO2008074234A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé |
CN100463462C (zh) * | 2006-12-18 | 2009-02-18 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制系统 |
WO2008074233A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Procédé de contrôle d'accès p2p faisant intervenir une structure à trois éléments |
US8495712B2 (en) | 2006-12-18 | 2013-07-23 | China Iwncomm Co., Ltd. | Peer-to-peer access control method of triple unit structure |
CN101056177B (zh) * | 2007-06-01 | 2011-06-29 | 清华大学 | 基于无线局域网安全标准wapi的无线网状网重认证方法 |
WO2009049557A1 (fr) * | 2007-10-15 | 2009-04-23 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de communication à base de conversion d'authentification |
CN101414998B (zh) * | 2007-10-15 | 2012-08-08 | 华为技术有限公司 | 一种基于认证机制转换的通信方法、系统及设备 |
WO2010063190A1 (zh) * | 2008-12-04 | 2010-06-10 | 华为终端有限公司 | 协商认证方式的方法、装置和系统 |
WO2011000152A1 (zh) * | 2009-06-30 | 2011-01-06 | 上海贝尔股份有限公司 | 在无线局域网中移动终端漫游的方法、相关的接入控制器和接入点设备 |
US8953557B2 (en) | 2009-06-30 | 2015-02-10 | Alcatel Lucent | Roaming method for a mobile terminal in WLAN, related access controller and access point device |
CN102461259A (zh) * | 2009-06-30 | 2012-05-16 | 上海贝尔股份有限公司 | 在无线局域网中移动终端漫游的方法、相关的接入控制器和接入点设备 |
CN102461259B (zh) * | 2009-06-30 | 2013-12-04 | 上海贝尔股份有限公司 | 在无线局域网中移动终端漫游的方法、相关的接入控制器和接入点设备 |
WO2010149118A1 (zh) * | 2009-11-04 | 2010-12-29 | 中兴通讯股份有限公司 | 无线局域网下实现终端与服务器鉴别的系统及方法和终端 |
CN101789856A (zh) * | 2010-03-31 | 2010-07-28 | 杭州华三通信技术有限公司 | Lre与话音共线的情况下自动协商lre工作模式的方法和装置 |
CN102960005B (zh) * | 2010-11-25 | 2016-08-24 | Sk电信有限公司 | 在无线lan环境中的认证系统和认证方法 |
US8848670B2 (en) | 2010-11-25 | 2014-09-30 | Sk Telecom Co., Ltd. | Authentication system and authentication method in wireless LAN environment |
CN102960005A (zh) * | 2010-11-25 | 2013-03-06 | Sk电信有限公司 | 在无线lan环境中的认证系统和认证方法 |
CN102223635B (zh) * | 2011-07-07 | 2013-12-11 | 北京交通大学 | 一种基于802.1x认证协议的WLAN可信传输的实现方法 |
CN102223635A (zh) * | 2011-07-07 | 2011-10-19 | 北京交通大学 | 一种基于802.1x认证协议的WLAN可信传输的实现方法 |
CN102340775B (zh) * | 2011-10-28 | 2014-07-16 | 杭州华三通信技术有限公司 | 无线客户端在ap间快速漫游的方法和ap |
CN102340775A (zh) * | 2011-10-28 | 2012-02-01 | 杭州华三通信技术有限公司 | 无线客户端在ap间快速漫游的方法和ap |
CN103139775A (zh) * | 2011-12-02 | 2013-06-05 | 中国移动通信集团上海有限公司 | 一种wlan接入方法、装置及系统 |
CN103139775B (zh) * | 2011-12-02 | 2015-12-02 | 中国移动通信集团上海有限公司 | 一种wlan接入方法、装置及系统 |
CN102711073A (zh) * | 2012-06-04 | 2012-10-03 | 深圳市宏电技术股份有限公司 | 接入网络的计费方法及系统 |
CN102711073B (zh) * | 2012-06-04 | 2015-04-22 | 深圳市宏电技术股份有限公司 | 接入网络的计费方法及系统 |
CN102761940A (zh) * | 2012-06-26 | 2012-10-31 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
CN102761940B (zh) * | 2012-06-26 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
CN103458062A (zh) * | 2013-08-26 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种网络协议ip地址获取方法及设备 |
CN106464498A (zh) * | 2014-06-06 | 2017-02-22 | 欧贝特科技 | 由第二电子实体认证第一电子实体的方法以及实施这种方法的电子实体 |
CN106464498B (zh) * | 2014-06-06 | 2020-02-21 | 欧贝特科技 | 由第二电子实体认证第一电子实体的方法以及电子实体 |
CN106534117A (zh) * | 2016-11-10 | 2017-03-22 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
CN108632028A (zh) * | 2017-03-17 | 2018-10-09 | 夏桂根 | 认证网络 |
CN110839050A (zh) * | 2018-08-16 | 2020-02-25 | 中国电信股份有限公司 | 用于检测用户下线的方法、系统和无线接入点 |
CN110839050B (zh) * | 2018-08-16 | 2023-01-17 | 中国电信股份有限公司 | 用于检测用户下线的方法、系统和无线接入点 |
CN112423299A (zh) * | 2020-04-16 | 2021-02-26 | 岭博科技(北京)有限公司 | 一种基于身份认证进行无线接入的方法及系统 |
CN112423299B (zh) * | 2020-04-16 | 2023-11-24 | 岭博科技(北京)有限公司 | 一种基于身份认证进行无线接入的方法及系统 |
CN112104625A (zh) * | 2020-09-03 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 一种进程访问的控制方法及装置 |
CN112104625B (zh) * | 2020-09-03 | 2024-04-16 | 腾讯云计算(北京)有限责任公司 | 一种进程访问的控制方法及装置 |
CN113904856A (zh) * | 2021-10-15 | 2022-01-07 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
CN113904856B (zh) * | 2021-10-15 | 2024-04-23 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
CN115664746A (zh) * | 2022-10-18 | 2023-01-31 | 浪潮思科网络科技有限公司 | 一种堆叠系统的认证同步方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN1319337C (zh) | 2007-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
EP3267653B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
AU2003243680B2 (en) | Key generation in a communication system | |
EP1994715B1 (en) | Sim based authentication | |
CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
CN1842000A (zh) | 实现无线局域网接入认证的方法 | |
WO2006024969A1 (en) | Wireless local area network authentication method | |
WO2004015958A2 (en) | Fine grained access control for wireless networks | |
RU2424628C2 (ru) | Способ и устройство межсетевой авторизации для работы в режиме с двумя стеками | |
CN1859098A (zh) | 在无线接入系统中实现eap认证中继的方法 | |
US20040010713A1 (en) | EAP telecommunication protocol extension | |
CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
US8811272B2 (en) | Method and network for WLAN session control | |
CN1266889C (zh) | 基于802.1x协议的网络接入设备管理方法 | |
CN101272297B (zh) | 一种WiMAX网络用户EAP认证方法 | |
US20130191635A1 (en) | Wireless authentication terminal | |
CN1812366A (zh) | 实现无线局域网虚拟接入点间通信的方法 | |
JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
CN100486244C (zh) | 一种桥接设备转发802.1x认证报文的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070530 Termination date: 20210702 |