CN1599372A - 基于媒体访问控制的802.1x认证的实体查找方法 - Google Patents
基于媒体访问控制的802.1x认证的实体查找方法 Download PDFInfo
- Publication number
- CN1599372A CN1599372A CNA2004100092531A CN200410009253A CN1599372A CN 1599372 A CN1599372 A CN 1599372A CN A2004100092531 A CNA2004100092531 A CN A2004100092531A CN 200410009253 A CN200410009253 A CN 200410009253A CN 1599372 A CN1599372 A CN 1599372A
- Authority
- CN
- China
- Prior art keywords
- entity
- pae
- user
- mac
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于MAC的802.1x认证的实体查找方法,包括:端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;所有认证报文上报CPU,进行认证处理。在交换机中创建两个表:hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针,用来根据MAC快速查找PAE实体;PAE实体指针数组ppstPaePtrArray,用于通过将PAE实体ID号作为数组下标而快速查找PAE实体;用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。本发明能有效实现在局域网环境下对每个用户的认证控制,从而提高了网络的可运行性和可管理性,提高了认证过程中查找实体的效率。
Description
技术领域
本发明涉及一种实体查找方法,尤其涉及一种基于MAC的802.1x认证的实体查找方法。
背景技术
IEEE 802.1x称为基于端口的访问控制协议(Port based network access controlprotocol),该协议在利用IEEE 802 LAN的优势基础上提供了对连接到局域网的设备或用户进行认证和授权的一种手段。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。802.1x技术实现了认证流和业务流的分离,而且不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。而传统的PPPoE与Web/Portal等认证方式,认证流、业务流不分,从而导致认证和业务处理的极大不便,而且不同程度的增加了网络部署与运营成本。
标准802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带局域网环境下的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。因此,有必要对802.1x协议进行扩展,使之实现在宽带局域网环境下每用户的认证控制。对标准的802.1x认证技术扩展后,每个端口可以允许多个用户认证,这样就产生了如下问题:1、认证过程中,怎样查找用户的PAE控制实体,只有准确找到相应的PAE控制实体,才能进行正常的认证;2、如果PAE实体查找算法设计不当,那么会造成认证速度非常缓慢,占用较长的CPU处理时间。
发明内容
针对上述现有标准802.1x认证技术的所存在的问题和不足,本发明实现了基于MAC的802.1x认证及实体查找方式,本发明的目的是提供一种可保证用户安全认证并能快速查找控制实体的基于MAC的802.1x认证的实体查找方法。
本发明是这样实现的:一种基于MAC的802.1x认证的实体查找方法,包括以下步骤:
1)、端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;所有认证报文上报CPU,进行认证处理。
2)、在交换机中创建两个表:hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针,用来根据MAC快速查找PAE实体;PAE实体指针数组ppstPaePtrArray,用于通过将PAE实体ID号作为数组下标而快速查找PAE实体;
3)、用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。
进一步地,所述交换机接口的用户数已达最大时,则拒绝用户的认证,向用户发送认证失败报文。
本发明在基于端口的访问控制协议的基础上对其进行了扩展,实现了基于用户MAC地址的访问控制。从而能够在LAN这种多点访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备上连接LAN的物理端口,或者是在IEEE 802.11无线LAN环境中定义的工作站和访问点。本发明能有效实现在局域网环境下对每个用户的认证控制,从而提高了网络的可运行性和可管理性,提高了认证过程中查找实体的效率。
附图说明
下面结合附图,对本发明做出详细描述。
图1为本发明认证过程总体流程示意图;
图2为本发明初步认证流程示意图;
图3为本发明实体查找流程示意图;
图4为本发明用户摘要信息请求流程图示意图;
图5为本发明对用户摘要信息处理示意图;
图6为本发明认证成功流程图示意图;
图7为本发明认证失败流程图示意图。
具体实施方式
本发明的实现步骤为,端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;所有认证报文上报CPU,进行认证处理。在交换机中创建两个表:hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针,用来根据MAC快速查找PAE控制实体;PAE控制实体指针数组ppstPaePtrArray,用于通过PAE控制实体的ID号快速查找PAE实体;这里,认证报文触发PAE控制实体查找通过利用认证报文中的MAC进行查找;设备内部触发PAE控制实体查找通过利用PAE控制实体的ID号进行查找。用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。
以基于PORT模式和MAC模式的认证过程为例,详细介绍本发明,为简化代码复杂度,两种模式的认证处理过程是相同的。
当从接口上接收到用户认证发起报文EAPOL_Start时,首先检查该接口下的当前用户数量。该用户数量是受接口最大用户数量限制的,对于基于PORT模式时,这个最大用户数量是“1”,是不可配置的;基于MAC模式时,最大用户数量是有配置决定的。当基于MAC模式时,如果最大用户数量配置为“1”,此时,MAC模式实际上是等价于PORT模式的。所不同的是:对于PORT模式,当接口有用户认证通过时,则打开端口MAC学习功能,允许其它用户通过该端口访问网络;而对于MAC模式,用户认证通过后,只向FDB表项中添加给用户的MAC表项,端口MAC学习功能仍处于禁止状态,其它用户如果没有认证的话,不能通过该端口访问网络。如果发现当前接口的用户数已达最大用户数,则拒绝用户的认证,给用户发送认证失败报文。具体认证过程如图1所示,本发明图中以EAP-MD5认证方法为例进行说明。
如图2所示,当收到用户的EAPOL_Start报文时,则,
1)、根据报文中的MAC地址在hash表中查找PAE实体,如找到则跳转到步骤3),否则进入步骤2);
2)、检查当前接口的认证用户数是否已达最大数,若是,则向用户发送EAP-FAILURE报文,拒绝用户认证,否则跳转到步骤3);
3)、创建PAE实体,保存用户MAC地址,然后在hash表中保存此PAE实体指针,供以后的查找使用,并为PAE实体分配唯一标识——ID号;并跳转到步骤4)。
4)、向客户端发送EAP_Request/Identity报文,请求用户身份。
如图3所示,接收到用户的EAP_Response/Identity,根据用户报文中的MAC地址在hash表中查找PAE实体,没有找到则丢弃此报文;如果找到PAE实体,则向radius服务器发送ACCESS_REQUEST请求challenge(通过Radius client向服务器转发)。发送ACCESS-REQUEST的目的是向服务器请求用于计算用户摘要信息的随机数。
如图4所示,接收到来自Radius服务器的ACCESS_CHALLENGE(通过Radius client转发),根据PAE实体的ID信息查找PAE实体,如果不存在,则丢弃此报文,否则根据ACCESS_CHALLENGE报文内容向客户端发送EAP_Request/Challenge报文,请求用户摘要信息。
如图5所示,接收到来自客户端的EAP_Response/Challenge报文,根据报文中MAC地址在hash表中查找PAE实体,如找到,则向Radius服务器发送ACCESS_REQUEST/MD5-CHALLENGE,否则丢弃此报文。
向服务器发送ACCESS-REQUEST/MD5-CHALLENGE报文中含有MD5算法计算的用户摘要信息,正式请求服务器对用户身份进行认证,因此,服务器根据认证结果,可能返回两种结果:ACCESS-ACCEPT(认证成功)或ACCESS-REJECT(认证失败);如图6所示,接收ACCESS-ACCEPT报文,根据PAE实体的ID查找相应的PAE实体,如果没有找到则丢弃此报文,找到的话,则向用户发送EAP-SUCCESS报文,并设置FDB表项,开始转发用户报文;如图7所示,接收ACCESS-REJECT报文,根据PAE实体的ID查找相应的PAE实体,如果没找到则丢弃此报文,找到的话,则向客户端发送EAP-FAILURE报文。
Claims (2)
1、一种基于MAC的802.1x认证的实体查找方法,包括以下步骤:
1)、端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;
2)、在交换机中创建两个表:hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针储存桶,用来根据MAC快速查找PAE实体;PAE实体指针数组ppstPaePtrArray,PAE实体指针数组ppstPaePtrArray,用于通过将PAE实体ID号作为数组下标而快速查找PAE实体;
3)、用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。
2、如权利要求1所述的基于MAC的802.1x认证的实体查找方法,其特征在于,所述交换机接口的用户数已达最大时,则拒绝用户的认证,向用户发送认证失败报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2004100092531A CN1599372A (zh) | 2004-06-25 | 2004-06-25 | 基于媒体访问控制的802.1x认证的实体查找方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2004100092531A CN1599372A (zh) | 2004-06-25 | 2004-06-25 | 基于媒体访问控制的802.1x认证的实体查找方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1599372A true CN1599372A (zh) | 2005-03-23 |
Family
ID=34662406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100092531A Pending CN1599372A (zh) | 2004-06-25 | 2004-06-25 | 基于媒体访问控制的802.1x认证的实体查找方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1599372A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010020101A1 (zh) * | 2008-08-22 | 2010-02-25 | 中兴通讯股份有限公司 | 用于通信系统的图片或多媒体视频图片的监控方法 |
| CN101958838A (zh) * | 2010-10-14 | 2011-01-26 | 联动优势科技有限公司 | 数据访问方法及装置 |
| CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
| CN103944886A (zh) * | 2014-03-24 | 2014-07-23 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及系统 |
| CN106790012A (zh) * | 2016-12-14 | 2017-05-31 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
-
2004
- 2004-06-25 CN CNA2004100092531A patent/CN1599372A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010020101A1 (zh) * | 2008-08-22 | 2010-02-25 | 中兴通讯股份有限公司 | 用于通信系统的图片或多媒体视频图片的监控方法 |
| US8532331B2 (en) | 2008-08-22 | 2013-09-10 | Zte Corporation | Method for monitoring a picture or multimedia video pictures in a communication system |
| CN101958838A (zh) * | 2010-10-14 | 2011-01-26 | 联动优势科技有限公司 | 数据访问方法及装置 |
| CN101958838B (zh) * | 2010-10-14 | 2012-08-22 | 联动优势科技有限公司 | 数据访问方法及装置 |
| CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
| CN103944886A (zh) * | 2014-03-24 | 2014-07-23 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及系统 |
| CN103944886B (zh) * | 2014-03-24 | 2017-11-10 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及系统 |
| CN106790012A (zh) * | 2016-12-14 | 2017-05-31 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
| CN106790012B (zh) * | 2016-12-14 | 2020-02-18 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100591011C (zh) | 一种认证方法及系统 | |
| US8122485B2 (en) | Authentication techniques | |
| US7934258B2 (en) | System and method for remote authentication security management | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| US20100146599A1 (en) | Client-based guest vlan | |
| CN1191703C (zh) | 宽带无线ip系统移动终端的安全接入方法 | |
| CN109067937B (zh) | 终端准入控制方法、装置、设备、系统及存储介质 | |
| US20090183247A1 (en) | System and method for biometric based network security | |
| CN1531246A (zh) | 在以太无源光网络中的认证方法和装置 | |
| US8966263B2 (en) | System and method of network equipment remote access authentication in a communications network | |
| CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
| JP2002373153A (ja) | バイオメトリック認証されるvlan | |
| CN101557406A (zh) | 一种用户终端的认证方法、装置及系统 | |
| CN101232372A (zh) | 认证方法、认证系统和认证装置 | |
| WO2008034319A1 (fr) | Procédé, système et dispositif d'authentification destinés à un dispositif de réseau | |
| CN102307099A (zh) | 认证方法、系统及认证服务器 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN100508524C (zh) | 一种网络的认证和计费的系统及方法 | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN1599372A (zh) | 基于媒体访问控制的802.1x认证的实体查找方法 | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN101150474A (zh) | 一种以太网无源光网络(epon)接入系统的认证方案 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: HUAWEI TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: GANGWAN NETWORK CO., LTD. Effective date: 20060922 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20060922 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant after: Huawei Technologies Co., Ltd. Address before: 100089, No. 21 West Third Ring Road, Beijing, Haidian District, Long Ling Building, 13 floor Applicant before: Harbour Networks Holdings Limited |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |