CN1571333A - 一种触发802.1x认证过程的方法 - Google Patents
一种触发802.1x认证过程的方法 Download PDFInfo
- Publication number
- CN1571333A CN1571333A CN 03149553 CN03149553A CN1571333A CN 1571333 A CN1571333 A CN 1571333A CN 03149553 CN03149553 CN 03149553 CN 03149553 A CN03149553 A CN 03149553A CN 1571333 A CN1571333 A CN 1571333A
- Authority
- CN
- China
- Prior art keywords
- request information
- authentication
- message
- route request
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种触发802.1X认证过程的方法,适用于IPv6网络,包括以下步骤:客户端主机发生触发路由请求消息的事件后,设备端将路由请求消息转换为802.1X认证发起帧报文,并应用该认证发起帧报文触发802.1X的认证过程。应用本发明,通过将路由请求消息转换为认证发起报文,来触发802.1X的认证过程,使得在IPv6网络中的客户端主机,无论是否需要地址配置服务器参与生成全局IP地址,也无论是否采用Windows XP操作系统,也无论系统中的以太网交换机是否能够透传EAPoL-Start报文,都可采用一种统一有效的方式来触发802.1X的认证过程。
Description
技术领域
本发明涉及802.1X的认证技术领域,特别是指一种触发802.1X认证过程的方法。
背景技术
IEEE 802 LAN协议所定义的局域网不提供接入认证,一般来说,只要用户能接入局域网控制设备,例如局域网交换机(LAN Switch),用户就可以访问局域网中的任何设备或资源。但是,对于如电信接入、写字楼局域网以及移动办公等应用,运营商希望能对用户的接入进行控制和配置,因此就产生了接入控制的需求,2001年IEEE标准化组织为此发布了基于端口的网络访问控制协议即IEEE 802.1X协议。
IEEE 802.1X协议所定义的是在网络设备的物理接入级对接入客户端进行认证和控制,其中,该协议中所述的端口既可以是物理端口,也可以是逻辑端口。简而言之,802.1X协议定义了一套在链路层上进行认证的方案,其本质上是在链路层协议上携带用户信息来完成扩展认证(EAP),链路层认证通过后,才允许建立网络层连接。
在宽带网络中,如果用户终端要发出网络接入请求,那么该用户终端必须首先获得IP地址,以便其可以接入到Internet网络之中。IP地址的分配有手工配置和自动配置两种方式,其中自动配置方式是宽带网络接入用户获取IP地址的主要方式。
在IPv4网络中,其自动配置方式是从动态主机配置协议(DHCP)服务器中获得IP地址。
在IPv6网络中,其自动配置方式又分为以下两种方式:
(1)无状态的地址自动配置方式。该方式下,接入用户不需要手工配置,由路由器提供能够完成IP地址配置工作所需要的最少配置信息,而不需要地址配置服务器的参与。无状态的地址自动配置机制允许主机通过将自己本地的信息和路由器通告的信息结合起来产生它的地址。比如,当主机产生了唯一标识子网上的一个接口的标识符时,路由器通告与一个链路相关的子网的前缀信息,两者结合就形成了IP地址。
(2)有状态的地址自动配置方式。该方式下,接入用户从一个地址配置服务器获得接口地址和/或配置信息和参数,服务器维护数据库以保存已经被分配给主机的地址,即有状态自动配置机制允许主机从一个服务器获得地址、或其它配置信息、或同时获得这两方面的信息。比如,IPv6动态主机配置协议(DHCPv6)就提供了有状态地址自动配置的能力。
IPv6网络的邻居发现(ND)协议与IPv4网络中的地址解析协议(ARP)、网间控制报文协议(ICMP)的路由器发现和重定向功能相对应。在ND协议中定义了五种不同报文类型的消息:路由器请求(RS)消息、路由器通告(RA)消息、邻居请求消息、邻居通告消息和重定向消息。其中,对于RS消息和RA消息的定义如下:
(1)RS消息。当接口开始工作或初始化时,主机发送RS消息,并要求路由器立即产生RA消息,而不必等待到下一个周期再发RA消息。
(2)RA消息。在一个RA消息中包括路由器的存在信息以及配置的链路和网络参数等信息,且该RA消息通常由路由器周期性地发送,但当有RS消息要求路由器做出响应时,路由器会立刻发送RA,而不必等待到下一个发送周期。
图1所示为802.1X的认证体系结构示意图。802.1X认证系统中共有三个实体:客户端(Supplicant)、设备端(Authenticator System)和认证服务器(Authentication Server System)。PAE是端口认证实体。客户端和设备端之间运行IEEE 802.1X定义的认证协议(EAPoL);设备端与认证服务器系统之间同样运行扩展认证协议(EAP)。
用户接入设备作为设备端(Authenticator System),用户的PC作为客户端。802.1X的认证服务器系统一般驻留在运营商的计费、认证和授权(AAA)中心。
在设备端内部有非受控端口(Uncontrolled Port)和受控端口(ControlledPort)之分,非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可保证随时接收和发送EAPoL协议帧。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务,受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
802.1X为以太网交换机带来了可运营特征,未通过用户认证的端口不能使用,通过认证的端口可以自动动态配置并访问网络资源,这是区别于传统以太网交换机的“杀手级”特性。
对于IEEE 802.1X标准协议而言,其规定以EAPoL-Start报文作为802.1X认证的触发报文,但是由于目前网络上存在的一些老的交换机,该交换机无法透传802.1X的EAPoL-Start报文,如果这样的交换机位于802.1X客户端和802.1X设备端之间,就阻止了802.1X的广泛应用。因此,针对这种情况,一些802.1X设备端允许采用DHCP报文来触发802.1X认证。例如,对于使用Microsoft WindowsXP操作系统的用户,其发送DHCP消息来触发IEEE 802.1X的认证过程。这样一来,既兼容了网络上不能透传EAPoL-Start报文的老设备,又保证了802.1X的广泛应用。
上述触发802.1X认证过程的缺陷在于:当前网络中存在着多种802.1X认证的触发机制,不利于网络的管理与维护。而且,在IPv6网络中,以无状态自动配置方式生成IP地址的客户端根本不会向DHCPv6服务器发出DHCP报文。这样,当在802.1X客户端和802.1X设备端之间的交换机不能透传EAPoL-Start报文时,无论是非法用户还是合法用户都不能触发802.1X认证,因而在阻止非法用户上网的同时,也剥夺了合法用户的上网机会。
发明内容
有鉴于此,本发明的目的在于提供一种触发802.1X认证过程的方法,不论802.1X客户端和802.1X设备端之间的交换机是否透传EAPoL-Start报文,也不论接入用户是否采用无状态配置方式生成IP地址,都能保证802.1X认证得到统一有效的触发。
为达到上述目的本发明的技术方案是这样实现的:
一种触发802.1X认证过程的方法,适用于IPv6网络,包括以下步骤:
客户端主机发生触发路由请求消息的事件后,设备端将路由请求消息转换为802.1X的认证发起帧报文,并应用该认证发起帧报文触发802.1X的认证过程。
较佳地,该方法进一步包括:设备端识别出来自客户端的路由请求消息后,首先判断相应客户端是否处于已认证状态,如果是,则不做任何处理,否则,触发802.1X的认证过程。
较佳地,所述判断是由设备端的以太处理单元识别出路由请求消息后,根据路由请求消息中的源链路层地址查询802.1X协议单元,来判断该客户端是否已通过802.1X的认证。
较佳地,所述转换是将路由请求消息的格式转换为认证协议规定的认证发起帧报文的格式。
较佳地,所述客户端主机发生触发路由请求消息的事件为系统启动而使接口初始化、或暂时的接口失败或由系统管理暂时设置为无效后使接口重新初始化、或系统管理关闭IP转发功能使系统从路由器变为主机、或主机初次连接到链路上、或主机离开链路一段时间后重新连接到链路上中的任何一个。
应用本发明,通过将路由请求消息转换为认证发起报文,来触发802.1X的认证过程,使得在IPv6网络中的客户端主机,无论是否需要地址配置服务器参与生成全局IP地址,也无论是否采用Windows XP操作系统,也无论系统中的以太网交换机是否能够透传EAPoL-Start报文,都可采用一种统一的、有效的方式来触发802.1X的认证过程。
附图说明
图1所示为802.1X的认证体系结构示意图;
图2所示为客户端通过IPv6网络接入802.1X的认证组网示意图;
图3所示为应用本发明的触发802.1X认证过程的时序图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的思路是:利用IPv6网络中的邻居发现机制,只要802.1X设备端识别出来自802.1X客户端的RS消息,就判断该客户端是否已通过802.1X的认证,如果是,则不做任何处理,否则,触发802.1X的认证过程。
图2所示为客户端通过IPv6网络接入802.1X的认证组网示意图。用户PC机作为802.1X客户端,宽带接入设备(BAS)220作为802.1X设备端,远程用户拨号认证服务器(Radius Server)250是802.1X认证所使用的认证服务器。802.1X客户端210直接与BAS相连,且采用无状态地址自动配置方式获取IP地址,802.1X客户端211和802.1X客户端212通过作为以太网交换机的局域网交换机(LAN Switch)230与BAS相连,且采用有状态地址自动配置方式获取IP地址,即向IPv6动态主机配置协议服务器(DHCPv6Server)240申请IP地址。其组网方式与现有技术相同。
根据IPv6 ND协议规定,用户主机发生下列任何之一的事件后必须发送路由器请求消息:
事件1---系统启动时接口初始化;
事件2---一个暂时的接口失败或由系统管理暂时设置为无效后,接口重新初始化;
事件3---系统管理关闭IP转发功能,系统从路由器变为主机;
事件4---主机初次连接到链路上;
事件5---主机在离开链路一段时间后重新连接到链路上;
接入用户所发的RS消息能够透过802.1X客户端和802.1X设备端之间的任何交换机,且该RS消息是可以被802.1X设备端识别的。同时该RS消息与接入用户采用何种方式来生成IP地址是无关的。
根据系统要求,作为802.1X客户端的接入用户,如果处在上述五种事件之一的状态下,则系统要求其必须做或重新做802.1X认证。也就是说,当用户主机处于上述五种事件之一的状态时,其必须发送RS消息,且还必须进行802.1X认证。
因此,利用系统的上述特性,当802.1X设备端识别出来自802.1X客户端的RS消息后,将其转化为EAPoL-Start报文,用来触发802.1X的认证过程。
图3所示为应用本发明的触发802.1X认证过程的时序图。当客户端主机发生了触发RS消息的事件时,其将自动发送RS消息;设备端的以太处理单元捕获该RS消息后,根据RS消息中的源链路层地址查询802.1X协议单元,来判断该客户端主机是否已经通过802.1X认证,如果是,则不再做认证处理,否则,将RS消息的格式转化为EAPoL协议规定的EAPoL-Start报文的格式,并应用该EAPoL-Start报文来触发802.1X认证过程,邀请客户端做802.1X认证;客户端接受邀请后进入802.1X认证的具体流程中。
例如,对于使用Microsoft Windows XP操作系统的用户,客户端主机将自动进入IEEE 802.1X的认证过程;对于使用非Microsoft Windows XP操作系统的用户,如使用Windows98、WindowsNT或Windows2000的用户,当用户激活客户端软件后,进入IEEE 802.1X的认证过程。
这样,无论是采用Windows XP操作系统的用户,还是采用非WindowsXP操作系统的用户,也无论系统中的以太网交换机是否能够透传EAPoL-Start报文,都可采用同一方式来触发802.1X认证过程。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1、一种触发802.1X认证过程的方法,适用于IPv6网络,其特征在于,包括以下步骤:
客户端主机发生触发路由请求消息的事件后,设备端将路由请求消息转换为802.1X的认证发起帧报文,并应用该认证发起帧报文触发802.1X的认证过程。
2、根据权利要求1所述的方法,其特征在于,该方法进一步包括:设备端识别出来自客户端的路由请求消息后,首先判断相应客户端是否处于已认证状态,如果是,则不做任何处理,否则,触发802.1X的认证过程。
3、根据权利要求2所述的方法,其特征在于,所述判断是由设备端的以太处理单元识别出路由请求消息后,根据路由请求消息中的源链路层地址查询802.1X协议单元,来判断该客户端是否已通过802.1X的认证。
4、根据权利要求1所述的方法,其特征在于,所述转换是将路由请求消息的格式转换为认证协议规定的认证发起帧报文的格式。
5、根据权利要求1所述的方法,其特征在于,所述客户端主机发生触发路由请求消息的事件为系统启动而使接口初始化、或暂时的接口失败或由系统管理暂时设置为无效后使接口重新初始化、或系统管理关闭IP转发功能使系统从路由器变为主机、或主机初次连接到链路上、或主机离开链路一段时间后重新连接到链路上中的任何一个。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031495532A CN100449989C (zh) | 2003-07-16 | 2003-07-16 | 一种触发802.1x认证过程的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031495532A CN100449989C (zh) | 2003-07-16 | 2003-07-16 | 一种触发802.1x认证过程的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1571333A true CN1571333A (zh) | 2005-01-26 |
CN100449989C CN100449989C (zh) | 2009-01-07 |
Family
ID=34472585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031495532A Expired - Fee Related CN100449989C (zh) | 2003-07-16 | 2003-07-16 | 一种触发802.1x认证过程的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100449989C (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257486B (zh) * | 2007-06-05 | 2012-07-18 | 中兴通讯股份有限公司 | 客户端发现网络接入认证信息承载协议认证代理的方法 |
CN101599967B (zh) * | 2009-06-29 | 2012-08-15 | 杭州华三通信技术有限公司 | 基于802.1x认证系统的权限控制方法及系统 |
CN102801819A (zh) * | 2012-07-17 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种在网络接入控制系统中透传IPv6地址的方法 |
CN103237038A (zh) * | 2013-05-09 | 2013-08-07 | 中国电子科技集团公司第三十研究所 | 一种基于数字证书的双向入网认证方法 |
CN103686872A (zh) * | 2005-04-27 | 2014-03-26 | 佳能株式会社 | 通信设备及其控制方法 |
US9655150B2 (en) | 2005-04-27 | 2017-05-16 | Canon Kabushiki Kaisha | Communication apparatus and communication method |
CN112291243A (zh) * | 2020-10-29 | 2021-01-29 | 苏州浪潮智能科技有限公司 | 一种路由模式下数据包透传的方法、系统介质及设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6608893B1 (en) * | 1998-08-12 | 2003-08-19 | Bellsouth Intellectual Property Corporation | Networks, systems and methods for routing data traffic within a telephone network based on available resources |
EP1208715A1 (en) * | 1999-08-31 | 2002-05-29 | TELEFONAKTIEBOLAGET L M ERICSSON (publ) | Gsm security for packet data networks |
CN1177439C (zh) * | 2002-03-08 | 2004-11-24 | 华为技术有限公司 | 以太网接入应用中代理地址解析协议的方法 |
-
2003
- 2003-07-16 CN CNB031495532A patent/CN100449989C/zh not_active Expired - Fee Related
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11051347B2 (en) | 2005-04-27 | 2021-06-29 | Canon Kabushiki Kaisha | Communication apparatus and communication method |
CN103686872A (zh) * | 2005-04-27 | 2014-03-26 | 佳能株式会社 | 通信设备及其控制方法 |
US11553539B2 (en) | 2005-04-27 | 2023-01-10 | Canon Kabushiki Kaisha | Communication apparatus and communication method |
US9655150B2 (en) | 2005-04-27 | 2017-05-16 | Canon Kabushiki Kaisha | Communication apparatus and communication method |
CN103686872B (zh) * | 2005-04-27 | 2017-12-15 | 佳能株式会社 | 通信设备及其控制方法 |
CN101257486B (zh) * | 2007-06-05 | 2012-07-18 | 中兴通讯股份有限公司 | 客户端发现网络接入认证信息承载协议认证代理的方法 |
CN101599967B (zh) * | 2009-06-29 | 2012-08-15 | 杭州华三通信技术有限公司 | 基于802.1x认证系统的权限控制方法及系统 |
CN102801819A (zh) * | 2012-07-17 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种在网络接入控制系统中透传IPv6地址的方法 |
CN102801819B (zh) * | 2012-07-17 | 2016-04-20 | 杭州华三通信技术有限公司 | 一种在网络接入控制系统中透传IPv6地址的方法 |
CN103237038A (zh) * | 2013-05-09 | 2013-08-07 | 中国电子科技集团公司第三十研究所 | 一种基于数字证书的双向入网认证方法 |
CN103237038B (zh) * | 2013-05-09 | 2016-01-13 | 中国电子科技集团公司第三十研究所 | 一种基于数字证书的双向入网认证方法 |
CN112291243A (zh) * | 2020-10-29 | 2021-01-29 | 苏州浪潮智能科技有限公司 | 一种路由模式下数据包透传的方法、系统介质及设备 |
CN112291243B (zh) * | 2020-10-29 | 2022-07-12 | 苏州浪潮智能科技有限公司 | 一种路由模式下数据包透传的方法、系统介质及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN100449989C (zh) | 2009-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
KR100886550B1 (ko) | 아이피 어드레스 할당 장치 및 방법 | |
KR100485801B1 (ko) | 서로 다른 사설망에 존재하는 네트워크장치들 간의직접접속을 제공하는 망접속장치 및 방법 | |
CN1177439C (zh) | 以太网接入应用中代理地址解析协议的方法 | |
CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
CN1232080C (zh) | 网络中节省ip地址提供内部服务器的方法 | |
EP2051473B1 (en) | Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks | |
CN1679302A (zh) | 动态同时连接到多个服务提供商的系统和方法 | |
CN101056178A (zh) | 一种控制用户网络访问权限的方法和系统 | |
JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
CN1781283A (zh) | 用于对通信设备进行自动配置的方法 | |
US8335211B2 (en) | Communication system and control server | |
CN100574195C (zh) | 基于动态主机配置协议的安全接入方法及其系统 | |
US20050157722A1 (en) | Access user management system and access user management apparatus | |
JP2001326696A (ja) | アクセス制御方法 | |
CN100449989C (zh) | 一种触发802.1x认证过程的方法 | |
CN1553341A (zh) | 基于客户端的网络地址分配方法 | |
CN101977147B (zh) | 基于报文转发的nat路由器接入802.1x认证网络新方法 | |
JPH1117726A (ja) | Dns機能を内蔵したipネットワークの結合制御装置 | |
US20030172142A1 (en) | Method for building a vapa by using wireless-LAN interface card | |
JP2009267987A (ja) | 局側装置、ponシステムおよびホームゲートウェイ装置 | |
CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
CN1571382A (zh) | 实现网络专线接入的方法 | |
JP2011109186A (ja) | ネットワーク通信方法及びアクセス管理方法とパケット中継装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090107 Termination date: 20150716 |
|
EXPY | Termination of patent right or utility model |