CN1665189A - 授权接入数据通信网络的方法和相关设备 - Google Patents
授权接入数据通信网络的方法和相关设备 Download PDFInfo
- Publication number
- CN1665189A CN1665189A CN2005100512000A CN200510051200A CN1665189A CN 1665189 A CN1665189 A CN 1665189A CN 2005100512000 A CN2005100512000 A CN 2005100512000A CN 200510051200 A CN200510051200 A CN 200510051200A CN 1665189 A CN1665189 A CN 1665189A
- Authority
- CN
- China
- Prior art keywords
- port
- authenticator
- authentication
- mac4
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
授权请求者接入数据通信网络的方法和相关设备。请求者与媒体接入控制地址相关联,且被耦合到数据通信网络的认证器的端口。所述方法包括:认证器发送认证请求给耦合到其的认证服务器;认证服务器基于预定规则和条件进行认证判决;及认证服务器发送认证回复给认证器,所述认证回复包括认证判决的结果。所述方法还包括:由认证服务器建立包括条目的注册存储器,由此条目包括在媒体接入控制地址与端口之间的关联,所述认证的请求者已接收到通过认证的端口接入数据通信网络的授权;及所述方法还包括:预定的规则和条件包括第一控制步骤,即当有这样的先前条目时控制注册存储器,所述先前条目包括在媒体接入控制地址和端口之间的第一关联。
Description
技术领域
本发明涉及授权请求者接入数据通信网络的方法。本发明还涉及实现所述方法的认证(authentication)服务器和认证器(authenticator)。所述方法和设备已经从IEEE标准802.1X-2001中获知。
背景技术
其中在§3.1-第5页上描述了:请求者是在点到点局域网段的一端上的实体,其由被连到所述链接的另一端上的认证器来认证。必须注意到,在本文中使用请求者来代替设备,例如对等体,所述对等体用于其它与接入控制相关的规范。
在§3.1-第5页上还描述了:网络接入端口是系统到LAN的连接点。其可以是物理端口,例如连到物理LAN段的单个LAN媒体接入控制,或者是逻辑端口,例如在站点和接入点之间的关联。必须注意到,“端口”在本文中作为网络接入端口的简称而使用。
另外,其描述了:认证器是在点到点LAN段的一端上的实体,其帮助被连到所述链接的另一端的实体的认证。所述认证器负责与请求者进行通信,以及递交从请求者所接收的信息给合适的认证服务器,以便用于待检查的证书和待确定的后续状态。
认证服务器是给认证器提供认证服务的实体。所述服务根据请求者所提供的证书,确定是否授权请求者接入由认证器所提供的服务。认证服务器功能可以与认证器配置在一起,或者其可以通过认证器所接入的网络而被远程接入。
以这种方式,所述方法授权请求者接入数据通信网络,由此请求者与媒体接入控制地址相关联,并且被耦合到数据通信网络的认证器端口上,所述方法包括以下步骤:
-由认证器发送认证请求给被耦合到其的认证服务器;以及
-由认证服务器基于预定规则和条件进行认证判决;以及
-由认证服务器发送包含认证判决结果的认证回复给认证器。
另外,在所述IEEE标准802.1X-2001的第10页上提到:认证器和认证服务器之间的通信细节是在所述IEEE标准802.1X-2001的范围之外的。然而,所述通信可能典型地通过扩展认证协议而实现,所述扩展认证协议在这里简称为EAP,是在合适的高层协议上所承载的连接,例如通过EAPRADIUS。因此,认证服务器可以位于所述LAN的范围之外,所述LAN支持“EAP over LAN”,即EAPOL,并且在请求者和认证器之间进行交换;并且认证器和认证服务器之间的通信无需受制于相关系统的控制端口(若干控制端口)的认证状态。
以这种方式,根据所述可能的实现,并且如由IETF RFC 2865,June2000-§2 Operation/Introduction所描述的那样,作为RADIUS服务器的认证服务器接收请求,其验证发送客户,即认证器,并且其查询用户的数据库,即请求者的数据库,以寻找名称与所述请求相匹配的用户。数据库中的用户条目包括必要条件的列表,所述必要条件必需被满足以便允许用户的接入。这主要包括密码的验证,但是还可以指定用户允许接入的端口的客户。另外,在所述标准的第6页描述了:如果所有条件都满足,则用户的配置值列表被放入“Accept”响应中,所述用户即请求者。所述值包括服务的类型和递送期望服务的所有必需值。这些值可能包括这样的值,例如IP地址、子网掩码、期望的压缩、和期望的分组过滤器标识或期望协议和主机。
由认证服务器基于预定规则和条件进行认证判决的步骤也在IEEE标准802.1X-2001的第7页上被描述了,即认证服务器执行认证功能,以便为认证器检查申请者的证书,并且指示是否授权所述请求者所述接入认证器的服务。以这种方式,端口接入控制提供了系统功能性的扩展,所述扩展提供了防止请求者非认证地接入由系统所提供的服务的方法。例如,如果相关系统是MAC网桥,则对所述网桥和其所连接的LAN的接入的控制是所希望的,以便限制到公共可接入网桥端口的接入,或者在组织之内,限制到部门LAN的接入为所述部门的成员。
接入控制通过系统强加的请求者认证而获得,所述请求者连到系统的控制端口。根据认证处理的结果,所述系统可以确定是否授权请求者接入其在所述控制端口上的业务。如果没有授权请求者接入,则所述系统设置所述控制端口状态为非授权。所定义的机制可以被使用,以便允许任何系统对连接到所述系统的控制端口中的一个上的其它系统进行认证。相关系统包括终端站点、服务器、路由器和MAC网桥。
必需注意到,在IEEE标准802.1X-2001的§8.2 Scope-第21页描述了下面的内容,基于端口的接入控制的操作假设:其所操作的端口提供在单个请求者和单个认证器之间的点到点连接。所述假设允许基于每个端口进行认证判决。并且还描述了“对连到单个认证器的多个请求者的认证是在本标准的范围之外的”。然而必须解释,为了不使本说明书以及图1的内容过多,在权利要求的前序中以及在进一步的描述中所描述的认证器是标准中所描述的多个认证器的综合。然而必须理解,在上面提到的标准802.1X-2001中,认证判决仍然是基于每个端口的。另外,本发明的认证器可以根据分布式方式在不同端口上实现,所述分布式方式将认证器带回到请求者和认证器之间的一对一的关系中。
现在将通过例子的方式来描述就所述方法而显现出的问题,所述方法授权例如SUP4的请求者接入数据通信网络。假定下面的拓扑,其中第一用户使用具有第一请求者SUP1的第一用户驻地设备,所述第一请求者SUP1耦合到接入单元的第一端口P1,所述接入单元包含所述认证器AUTH1;并且第二用户使用具有第二请求者SUP4的第二用户驻地设备,所述第二请求者耦合到所述接入单元的第二端口P2。授权第一请求者SUP1接入认证器的数据通信网络DCN的方法包括以下步骤:
由认证器AUTH1发送认证请求给耦合到其的认证服务器AS;
由认证服务器AS基于预定的规则和条件进行认证判决;以及
由认证服务器AS发送认证回复给认证器,所述认证回复包括所述认证判决的结果。
如上面所描述的那样,认证判决包括必要条件的列表,其必须被满足以允许用户的接入。所述列表主要包括密码的验证,但是可能还包括指定用户被允许接入的端口(诸端口)的客户(诸客户)。假定基于所述第一用户的密码验证,授权所述第一请求者SUP1通过认证器的第一端口P1接入通信网络。
现在,授权第二请求者SUP4接入认证器的数据通信网络的方法包括同样的步骤。基于所述第二用户的密码验证,授权第二请求者SUP4通过认证器的第二端口P2接入通信网络。然而,如果第二驻地设备使用例如MAC4的媒体接入控制地址,所述MAC4与第二请求者SUP4相关联,其例如恰巧与媒体接入控制地址MAC1具有相同的值,所述MAC1由第一驻地设备所使用,即与第一请求者SUP1相关联,在这种情况下,所述结果将还包括用于所述第二请求者的认证。这意味着,与媒体接入控制地址是否具有相同值无关,每个请求者将仅通过满足所述密码的必要条件来接收所述授权。
这导致了MAC地址的复制,以及由此导致了拒绝服务和/或服务降级的攻击。
所述MAC地址复制通常由MAC数据层面或Internet协议层数据层面的解决方案所解决,例如MAC地址转换、VLAN隔离或在接入节点自身的MAC地址注册。
通过上面的方法,MAC地址复制主要在一个接入节点中被解决了,而与其它接入节点无关,并且其假设由于用户不能知道彼此的MAC地址,因此MAC地址复制是较少的事件。然而,当允许同一接入节点的用户和不同接入节点的用户之间直接进行对等通信时,所述些解决方案将会失败。当允许对等通信时,用户将还知道彼此的MAC地址,并且因此任何用户可以偷窃其他用户的MAC地址。另外,这将导致拒绝服务和/或服务降级的攻击。
发明内容
本发明的目的是提供授权请求者接入数据通信网络的方法,以及执行所述方法的认证服务器和认证器,例如上面已知的那些,但是其中,在数据通信网络中的MAC地址复制是不允许的。
根据本发明,所述目的通过根据本发明的方法、根据本发明的认证服务器和根据本发明的认证器来实现的。实际上,这是由于所述方法还包括由认证服务器建立包括条目的注册存储器的事实。一个所述条目包括在例如SUP1的授权请求者的媒体接入控制地址和用于所述被授权的请求者的认证端口之间的关联,所述被授权的请求者已经接收到通过所述认证端口P1接入所允许的数据通信网络的授权。另外所述预定的规则和条件包括第一控制步骤,即,当有这样的先前条目时,通过所述判决装置的第一控制装置来控制注册存储器,所述先前条目包括在所述请求者的媒体接入控制地址和所述认证器的端口之间的第一关联。
实际上,由于建立了注册存储器,通过包括例如(MAC1、P1)的配对(与所述请求者相关联的MAC地址;允许接入所通过的认证器的端口)的条目,例如SUP1的所有请求者被注册到所述注册存储器中,所述请求者之前接收到认证,即接入所允许的数据通信网络的授权。当认证服务器从认证器接收到新认证请求用于例如期望接入的SUP4的特定请求者时,认证服务器首先为所述特定请求者控制关联条目的存在,所述关联条目即在注册存储器中例如(MAC4,P2)的配对(特定请求者的相关MAC地址;预期接入所通过的认证器的端口)。所述信息,即特定请求者的相关MAC地址和预期接入所通过的认证器的端口,通常被发现于认证器的认证请求中。
除了执行通常的规则和条件以外,认证服务器的所述第一控制步骤的执行,即考虑MAC地址-端口的关系,提供了认证判决的改进的结果,即所述结果现在排除了数据通信网络中的MAC地址复制。
另外,认证器包括解释器,以便当从实际上考虑了(MAC地址,端口)关联的认证服务器接收到认证回复时对其进行解释。所述解释器还根据认证回复中结果的内容来设置所述认证器的过滤器。因此,如果所述结果包括对所述端口和对所述媒体接入控制地址的认证,由此具有所述媒体接入控制地址的所述请求者实际上被授权通过认证器的端口接入数据通信网络,在这种情况下,所述过滤器被设置以便通过端口接受请求者的业务流,但是仅仅对于所指定的媒体接入控制地址。类似地,如果所述结果包括对所述端口和媒体接入控制地址的拒绝,由此拒绝具有所述媒体接入控制地址的请求者通过认证器的所述端口接入数据通信网络,在这种情况下,设置过滤器拒绝请求者的所有业务流。
这意味着,仅对成功实现认证程序的MAC地址的请求者进行授权以通过认证器端口接入数据通信网络。与已知的现有技术的解决方案相反,当成功实现认证程序时,通过所述端口的接入被授权用于所述申请者的所有业务流。业务流的过滤排除了:恶意用户要首先成功地实现对其正常MAC地址的认证程序,并且还要使用偷窃的MAC地址通过其认证器的端口接入数据通信网络中的业务。本应用禁止了这个。
另外,在由认证服务器所执行的第一控制步骤是肯定的情况下,根据本发明的方法还包括这样的步骤,即,由判决装置产生结果,所述结果包括对所述端口和对所述媒体接入控制地址的认证,并且因此授权具有所述媒体接入控制地址的所述请求者通过所述认证器的端口接入数据通信网络。这意味着,当在注册存储器中发现请求配对(MAC地址,端口)的第一完全匹配时,所述相同的(MAC地址,端口)配对,即在所述认证器的相同端口上的所述相同请求者,之前已经接收了接入通信网络的授权。所述请求者的用户驻地设备的用户期望再次接入网络。允许再次接入没有产生MAC地址复制,并且可以提供认证。这将在本说明书中描述。
另外,本说明书描述了:在所述第一控制步骤是否定的情况下,所述方法还包括由第二控制装置所执行的第二控制步骤,即,当有这样的先前条目时控制所述注册存储器,其中所述先前条目包括请求者的媒体接入控制地址与任何其它端口之间的第二关联,即对与注册存储器中条目的部分匹配的检查。实际上,甚至当使所述条目与其它端口相关联时,其中所述其它端口作为请求者请求接入所通过的端口,此时,基于例如SUP4的请求者的MAC地址的存在来控制注册存储器。在所述第二控制步骤是肯定的情况下,所述方法还包括由判决装置产生结果的步骤,所述结果包括对所述端口和对所述媒体接入控制地址的拒绝,并且,认证服务器由此拒绝与所述媒体接入控制地址相关联的请求者通过认证器的请求端口接入数据通信网络。实际上,在特定MAC地址之前已经注册在注册存储器中的情况下,即使在另一个端口上允许具有所述特定MAC地址的请求者接入数据网络,这也将会产生MAC复制。在MAC地址的注册存储器中与其它端口相关联的条目的存在意味着:要么请求的请求者恰巧具有和已经注册MAC地址的相同的特定MAC地址,要么意味着恶意用户已经偷窃了所述特定MAC地址并且其尝试使用所述地址。在这两种情况下都应当避免具有所述特定MAC地址的请求者接入数据通信网络。这通过在判决装置的结果中包括拒绝而实现。
必须注意到所述“第二关联”并不意味着:必须在所述注册装置中再次发现所述MAC地址。“第二关联”仅意味着:“第二类关联”,即“第二类条目”,将在注册存储器中被查找。更准确地,由所述第二控制装置控制关于所述配对(MAC地址;除了用于接收所述请求的端口以外的任何其它端口)的先前条目的存在。
最后,本说明书描述了,在所述第一控制步骤是否定的情况下,并且在所述第二控制步骤也是否定的情况下,所述方法还包括以下步骤:插入新条目到所述注册存储器中,所述新条目包括例如SUP4的请求者的媒体接入控制地址和例如P2的认证器的端口;以及产生结果,所述结果包括对所述端口和对所述媒体接入控制地址的认证,并且由此授权具有所述媒体接入控制地址的请求者通过认证器的所述端口接入数据通信网络。这意味着,在所述两个控制步骤都是否定的情况下,所述MAC地址将不会在注册存储器中被发现,并且由此之前没有授权所述请求者通过一个或其它端口进行接入。所述请求者在这种情况下使用具有新MAC地址的新硬件。所述新MAC地址会与所述请求者的端口相关联地被注册。在上面提到的例子中,与MAC1地址相关联的请求者SUP1现在与新的MAC2地址相关联。端口P1已经是存储器注册中的条目的一部分的事实是不相关的。因此,存储器注册可以包括与同一端口相关的几个MAC地址。本发明的目的在于不会复制所述MAC条目。
另外,通过由判决装置产生包括认证的结果来授权接入。
值得注意的是,在权利要求中所使用的“包括”不应被解释为限于其后所列的内容。这样,“包括装置A和B的设备”的范围不应限于仅包括部件A和B的设备。这意味着,就本发明来说,设备的仅相关部件是A和B。
类似地,应该注意到,同样在权利要求中所使用的“耦合”不应被解释为限于仅直接连接。这样,“耦合到设备B的设备A”的范围不应限于这样的设备或系统,其中设备A的输出直接连接到设备B的输入。这意味着,在A的输出和B的输入之间有路径,所述路径可以是包括其它设备或装置的路径。
附图说明
连同附图,参考下面实施例的描述,本发明的上述及其它目的和特征将变得更加清楚,并且本发明本身也将更好地被理解,其中图1表示全球通信网络。
具体实施方式
根据本发明的设备依照图1中所示的其电信环境的工作方式将通过其中所示的不同块的功能描述的方式而被解释。基于所述描述,所述块的实际实现对于本技术领域人员来说是显而易见的,并且因此不再详细地进行描述。另外,将更详细地描述所述授权请求者接入到数据通信网络的方法的工作原理。
参考图1,显示了全球通信网络。全球通信网络包括两个用户驻地设备,即第一用户驻地设备CPE1和第二用户驻地设备CPE3、数据通信网络DCN和认证服务器AS。
第一和第二用户驻地设备CPE1和CPE3每个都被耦合到数据通信网络DCN。
认证服务器AS也被耦合到数据通信网络DCN。
第一用户驻地设备包括3个终端单元,即TU1、TU2、TU3,以及网络单元NU1。在所述优选实施例中,通过具有MAC接口MAC1的路由器的方式来实现网络单元NU1,然而,这并不是对本发明的基本思想的任何限制。
另一个用户驻地设备CPE3包括终端单元TU4。终端单元TU4具有MAC地址MAC4,并且包括请求者SUP4。以这种方式,请求者SUP4与网络单元NU1的MAC4地址相关联。
数据通信网络DCN包括接入单元,所述接入单元包括多个端口。明确地示出了两个端口P1和P2。接入单元的所述两个端口被耦合到用户驻地设备的每个上。更具体地,第一用户驻地设备CPE1通过接入单元AU的第一端口P1耦合到数据通信网络DCN上,而另一个用户驻地设备CPE3通过接入单元AU的另一端口P2耦合到数据通信网络上。接入单元AU包括认证器AUTH1,所述认证器包括发送器Tx、接收器Rx和过滤器FILT。发送器Tx和接收器Rx都被耦合到认证服务器AS上。发送器Tx和接收器Rx还被耦合到解释器INTPR上,所述解释器又被耦合到过滤器FILT上。根据所述实施例,过滤器FILT还被耦合到接入单元AU的不同端口上。图1中明确地示出了与两个端口P1和P2的耦合。与其它端口的耦合仅以虚线被示出。
认证服务器AS包括判决器DEC,所述判决器被耦合到认证服务器AS的输入/输出上。判决器DEC包括第一控制器CONT1和第二控制器CONT2。
认证服务器AS还包括注册存储器MEM,所述注册存储器被耦合到认证服务器AS的输入/输出和判决器DEC上。
使请求者SUP1和SUP4、认证器AUTH1和认证服务器AS能够彼此通信,以便执行认证过程,并且因此最终授权请求者SUP1或SUP2通过认证器的相应端口而接入数据通信网络。
现在将更详细地进行描述。
在IEEE标准802.1X-2001的第8页上解释了控制和非控制的接入。基于端口的接入控制的操作具有这样的效果,即,给认证器系统到局域网LAN的连接点产生的两个不同接入点(图1中没有示出)。一个接入点允许在所述系统和LAN上的其它系统之间不管认证状态而进行分组数据单元的非控制交换,即非控制端口,其中所述分组数据单元此后称作PDU;另一个接入点仅在端口的当前状态是授权的情况下允许PDU的交换,即控制端口。非控制和控制端口被认为是到LAN的同一连接点的一部分,例如用于请求者SUP1与认证器AUTH1进行协作的端口P1。在物理端口上所接收的任何帧在控制和非控制端口上都是可获得的;并受制于与控制端口相关联的认证状态。
另外,再参考802.1X-2001的第8页最后一段,通过可以向请求者系统提供一对一连接的任何物理或逻辑端口,可以提供到LAN的连接点。例如,可以通过在交换LAN基础设施中的单个LAN MAC来提供所述连接点。在LAN环境中,其中所述MAC方法允许在认证器和请求者之间的一对多关系的可能性,例如在共享媒介环境中,对于802.1X-2001中所描述的接入控制机制的运行而言,在单个请求者和单个认证器之间的不同关联的产生是必需的先决条件。
必需注意到,如上所解释的那样,不同的单个认证器的功能可以被集成到负责不同请求者的全局认证器中,所述不同的单个认证器每个都与不同的请求者相关联。对于特定的实施例而言,所述具有一个集成认证器AUTH1的实现是优选的。然而,这并不是对本发明的原理思想的任何限制。
现在将解释两个请求者SUP1和SUP4、认证器AUTH1和认证服务器AS在接入控制机制中的不同任务。
认证器AUTH1使用非控制端口(没有示出),用于与请求者交换协议信息,并且还负责执行请求者SUP1或SUP4中的一个的认证,所述请求者分别连到所述认证器的控制端口中的一个P1或P4上,以及因此负责控制相应控制端口的认证状态。
为了执行认证,认证器AUTH1利用认证服务器AS。认证服务器AS可能和认证器AUTH1一起配置在同一系统中,或者其可能位于通过基于LAN或其它的远程通信机制可接入的其它位置。所述优选实施例描述了同一DCN的所有认证器共有的认证服务器AS。实际上MAC地址复制是涉及认证器所连接的整个以太网通信网络的问题,因此总的来说,应当为DCN解决所述问题。通过为连接到同一以太网DCN的所有认证器具有同一AS来实现所述目标。
响应来自于认证器的请求PAE,请求者SUP1或SUP4负责将其证书传递给认证器AUTH1。请求者PAE还可能初始化认证交换,以及执行注销(logoff)交换。
认证主要发生在系统初始化的时刻,或当请求者系统连接到认证器系统的端口上的时候。直到成功完成认证为止,请求者系统才能接入认证器系统以执行认证交换,或接入由认证器的系统所提供的任何业务,所述认证器的系统不受设置于认证器控制端口上的接入控制所限制。一旦成功完成认证,认证系统允许通过认证系统的控制端口完全接入到所提供的业务。
对于所述实施例,优选地定义了这样的封装格式,所述格式允许由LAN MAC业务直接承载认证消息。EAP的所述封装格式被称为LAN上的EAP或EAPOL,其用于在请求者SUP1和SUP4与认证器AUTH1之间的所有通信。认证器AUTH1然后执行EAP协议的重新打包,用于向前传输到认证服务器AS。对于所述实施例,优选地用RADIUS来提供所述后面的通信。然而,必须注意到,这可以通过使用其它协议来实现。
另外,一旦认证程序开始,可以产生下面结果中的一个:
a)由于请求和响应序列中的过度超时,所述认证程序终止。产生异常中断状态。
b)由于认证服务器AS返回“拒绝消息”给认证器AUTH1,所述认证程序终止,所述“拒绝消息”在这里被称作“包括含拒绝的结果的认证回复”。
c)由于认证服务器AS返回“接受消息”给认证器AUTH1,所述认证程序终止,所述“接受消息”在这里被称作“包括含认证的结果的认证回复”。
如上解释的那样,例如SUP4的请求者期望接收到授权以便接入数据通信网络DCN。请求者还与终端单元TU4的MAC4地址相关联,并且被耦合到认证器AU的端口P2上。
为了获得所述授权,认证器的发送器Tx发送认证请求给认证服务器AS。认证服务器AS基于预定规则和条件来进行认证判决。因此使用认证服务器AS的判决器DEC。此后,认证服务器AS发送包含认证判决结果的认证回复给认证器AUTH1。
然而,为了给请求者SUP4产生认证判决,根据本发明,认证服务器AS还包括注册存储器MEM。所述注册存储器MEM包括条目。所述条目包括在媒体接入控制地址和认证端口P1之间的关联,所述媒体接入控制地址例如是授权请求者SUP1的MAC1,所述认证端口P1正在被认证用于所述授权请求者,所述授权请求者已经通过所述认证端口P1接收到接入数据通信网络DCN的授权。
判决器DEC基于预定规则和条件而产生认证判决的结果RES。然而,根据本发明,判决器DEC的第一控制器CONT1还执行第一控制步骤,即,当有这样的先前条目时控制注册存储器MEM,其中所述先前条目包括在请求者SUP4的媒体接入控制地址MAC4和认证器的端口P2之间的第一关联。
这意味着,可以在认证请求中发现的所述信息,媒体接入控制地址MAC4和认证器的端口P2,由判决器DEC从所述认证请求中提取。第一控制器CONT1使用所述信息作为注册存储器MEM的输入。注册存储器MEM作为输入接收(MAC4,P2)。
注册存储器MEM以OK消息或者以NOK消息对所述输入进行反应,所述OK消息意味着在注册存储器MEM4中发现配对条目(MAC4,P2),所述NOK消息意味着在注册存储器MEM4中没有发现配对条目(MAC4,P2)。判决器DEC考虑所述OK消息或NOK消息以产生结果RES。
判决器DEC的认证判决RES的相应结果被包括在认证回复中,并且被认证服务器AS发送给认证器AUTH1。
认证器AUTH1的接收器Rx从认证服务器AS接收认证回复。
认证器AUTH1的解释器INTPR解释接收于认证服务器AS的认证回复,其中根据本发明,通过由第一控制器CONT2所执行的所述第一控制步骤,所述认证服务器AS实际上能够支持其认证判决。必须注意到,通过解码器来实现所述解释器,所述解码器对接收于认证服务器AS的认证回复进行解码。
解释器INTPR可以以不同方式实现。一种可能的方式是,根据包含在认证回复中的参考,解释器INTPR获知其涉及哪个先前发送的认证请求,以及因此获知其关于哪个请求者,例如SUP4。解释器INTPR能够基于请求者SUP4,从认证器AUTH1的数据库中提取相关联的MAC地址和端口,即MAC4和P2。另一种可能的实现是,不保存任何认证请求数据库,并且解释器INTPR依赖于认证回复中的信息。这意味着,解释器INTPR从认证回复中提取包含于所述认证回复中的端口和MAC地址。
根据上述两种可能的实现,转发所述信息给过滤器FILT,所述信息即相关MAC地址和端口,即在所述例子中的MAC4和P2。根据包含在所述认证回复中的所述信息来设置过滤器FILT,并且接着,所述过滤器FILT相应地对端口P2的业务流进行过滤。这意味着:
-如果结果RES(AUTH)包括对端口P2和对MAC4地址的认证,由此实际上授权具有MAC4地址的请求者SUP4通过认证器AU的端口P2接入数据通信网络DCN,在这种情况下,过滤器FILT接受通过端口P2的请求者SUP4的业务流,但是仅对由此给予授权的MAC4地址;并且
-如果结果RES(REF)包括对端口P2和对MAC4地址的拒绝,由此拒绝具有MAC4地址的请求者SUP4通过认证器AU的端口P2接入数据通信网络DCN,在这种情况下,过滤器FILT拒绝具有MAC4地址的请求者SUP4的业务流。
必须注意到,过滤器FILT可以通过用于认证器AUTH1的所有端口的一个过滤器块来实现,或者其还可以作为一个中心功能块来实现,所述中心功能块控制在认证器AUTH1的不同端口上的业务流。
通过在判决器DEC的认证判决期间考虑用于配对(MAC地址,端口)关系的潜在早先授权,或者通过相应地设置认证器AUTH1的端口P2用于请求的请求者SUP4,即在认证结果的情况下,仅允许用于被提供授权的MAC地址MAC4的业务流,这样避免了对复制MAC地址的接入进行授权,并预先考虑了恶意用户。
在下面的段落中,所述第一控制步骤将进一步被解释,并且将介绍第二控制步骤。
如果第一控制步骤是肯定的,这意味着在注册存储器MEM4(图1中没有示出)中发现了条目(MAC4,P2),在这种情况下,判决器DEC产生结果RES(AUTH),所述结果RES包含对端口P2和对MAC4地址的认证,由此授权具有MAC4地址的请求者SUP4通过认证器AU的端口P2接入数据通信网络DCN。
如果第一控制步骤是否定的,这意味着在注册存储器MEM4(图1中没有示出)中没有发现了条目(MAC4,P2),在这种情况下,判决器DEC包括第二控制器CONT2,以便当有这样的先前条目时在注册存储器MEM上执行第二控制,其中所述先前条目包括在请求者SUP4的MAC地址MAC4与其它端口之间的第二类关联,即配对(MAC4;除了在授权请求中的端口以外的任何其它端口)。在第二控制是否定的情况下,判决器DEC产生包括对端口P2和对MAC地址的拒绝的结果RES(REF),由此拒绝具有MAC4地址的请求者SUP4通过认证器AU的端口P2接入数据通信网络DCN。
必须注意到,所述第二控制器CONT2可以作为和所述第一控制器CONT1一样的另一个功能块来实现。然而,必须解释,两种控制器可以通过一个且相同的功能块来实现。根据所述实现,由所述全局控制器所使用的参数以不同方式来定义,所述不同的方式取决于会被执行的不同控制步骤,即以例如(MAC4,P2)作为输入的第一控制步骤,或者以例如(MAC4,除了P2的任何其它端口)作为输入的第二控制步骤。
另外,必须解释,两个控制步骤也都可以通过一个全局控制步骤的执行来实现,所述全局控制步骤不是提供OK消息或Not OK消息,而是提供更详细的反馈,例如(MAC OK;P2 NOK),这意味着在注册存储器MEM中发现了MAC4与其它端口相关联。然而,实现的不同方式的详细描述超出了本发明的目的的范围。
在第一控制是否定的情况下,并且在第二控制是否定的情况下,认证服务器AS插入新的条目到注册存储器MEM中,所述条目包括请求者SUP4的MAC4地址和认证器端口P2。另外,判决器DEC产生包括对端口P2和对媒体接入控制地址MAC4的认证的结果RES(AUTH),由此授权具有MAC4地址的请求者SUP4通过认证器AU的端口P2接入数据通信网络DCN。
最后注意到,本发明的实施例在上面是以功能模块的方式来描述的。根据上面给出的所述块的功能描述,对于设计电子设备领域的技术人员来说,如何通过已知的电子部件来制造这些块的实施例是显而易见的。因此没有给出所述功能块的内容的详细结构。
尽管上面已经就具体的装置描述了本发明的原理,但是可以清楚地知道,所述描述仅是以例子的方式来进行的,并不像所附权利要求那样作为对本发明范围的限制。
Claims (9)
1.授权请求者(SUP4)接入数据通信网络(DCN)的方法,所述请求者已经与媒体接入控制地址(MAC4)相关联,并且被耦合到所述数据通信网络(DCN)的认证器(AU)的端口(P2)上,所述方法包括以下步骤:
由所述认证器(AUTH)发送认证请求给耦合到其的认证服务器(AS);以及
由所述认证服务器(AS)基于预定的规则和条件进行认证判决;以及
由所述认证服务器(AS)发送认证回复给所述认证器(AU),所述认证回复包括所述认证判决的结果,其特征在于,所述方法还包括以下步骤:
由所述认证服务器(AS)建立包括条目的注册存储器(MEM),由此,条目包括在被授权的请求者(SUP1)的媒体接入控制地址(MAC1)与用于所述被授权的请求者的认证端口(P1)之间的关联,所述认证请求者已经接收了通过所述认证端口(P1)接入所允许的数据通信网络(DCN)的授权;以及所述预定的规则和条件包括第一控制步骤,即,当有这样的先前条目时控制所述注册存储器(MEM),所述先前条目包括在所述请求者(SUP4)的所述媒体接入控制地址(MAC4)和所述认证器的所述端口(P2)之间的第一关联。
2.根据权利要求1的授权请求者(SUP4)接入数据通信网络(DCN)的方法,在所述第一控制步骤是肯定的情况下,所述方法还包括这样的步骤,即,产生包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的认证的结果,并且因此授权具有所述媒体接入控制地址(MAC4)的所述请求者(SUP4)通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN)。
3.根据权利要求1的授权请求者(SUP4)接入数据通信网络(DCN)的方法,在所述第一控制步骤是否定的情况下,所述方法还包括第二控制步骤,即,当有这样的先前条目时控制所述注册存储器(MEM),其中所述先前条目包括在所述请求者的所述媒体接入控制地址(MAC4)与任何其它端口之间的第二关联,由此,在所述第二控制步骤是肯定的情况下,所述方法还包括这样的步骤,即,产生包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的拒绝的结果,并且因此拒绝具有所述媒体接入控制地址(MAC4)的所述请求者(SUP4)通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN)。
4.根据权利要求3的授权请求者(SUP4)接入数据通信网络(DCN)的方法,在所述第一控制步骤为否定并且所述第二控制步骤也为否定的情况下,所述方法还包括以下步骤:
在所述注册存储器(MEM)中插入新条目,所述新条目包括所述请求者的所述媒体接入控制地址(MAC4)和所述认证器的所述端口(P2);以及
产生包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的认证的结果,并且因此授权具有所述媒体接入控制地址(MAC4)的所述请求者(SUP4)通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN)。
5.认证服务器(AS),当接收到来自于认证器(AUTH)的认证请求时,所述认证服务器发送认证回复给所述认证器(AU),所述认证回复包括认证判决的结果,所述认证服务器(AS)包括:
判决装置(DEC),以产生基于预定规则和条件的认证判决的所述结果,所述认证请求涉及授权请求者(SUP4)接入数据通信网络(DCN)的许可,所述请求者已经与媒体接入控制地址(MAC4)相关联,并且被耦合到所述数据通信网路(DCN)的所述认证器(AU)的端口(P2)上,其特征在于,所述认证服务器(AS)还包括:
被耦合到所述判决装置(DEC)上的注册存储器(MEM),所述注册存储器(MEM)包括条目,由此,条目包括在被授权的请求者(SUP1)的媒体接入控制地址(MAC1)与用于所述被授权的请求者的认证端口(P1)之间的关联,所述被授权的请求者已经接收到通过所述认证的端口(P1)接入所允许的数据通信网络(DCN)的授权;以及
所述判决装置包括第一控制装置(CONT1),当有这样的先前条目时,所述第一控制装置在所述注册存储器(MEM)上执行第一控制,其中所述先前条目包括在所述请求者(SUP4)的所述媒体接入控制地址(MAC4)和所述认证器的所述端口(P2)之间的第一关联。
6.根据权利要求5的认证服务器(AS),在所述第一控制是肯定的情况下,所述判决装置(DEC)产生包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的认证的结果(RES(AUTH)),由此,具有所述媒体接入控制地址(MAC4)的所述请求者(SUP4)被授权通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN)。
7.根据权利要求5的认证服务器(AS),在所述第一控制是否定的情况下,所述判决装置包括第二控制装置(CONT2),当有这样的先前条目时,所述第二控制装置在所述注册存储器(MEM)上执行第二控制,其中所述先前条目包括在所述请求者的所述媒体接入控制地址(MAC4)与其它端口之间的第二关联,并且由此,在所述第二控制是肯定的情况下,所述判决装置(DEC)产生包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的拒绝的结果(RES(REF)),由此具有所述媒体接入控制地址(MAC4)的所述请求者(SUP4)被拒绝通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN)。
8.根据权利要求7的认证服务器(AS),在所述第一控制是否定的情况下,并且所述第二控制也是否定的情况下,所述认证服务器(AS)在所述注册存储器(MEM)中插入新条目,所述新条目包括所述请求者的所述媒体接入控制地址(MAC4)和所述认证器的所述端口(P2);并且,所述判决装置(DEC)产生包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的认证的结果(RES(AUTH)),由此,具有所述媒体接入控制地址(MAC4)的所述请求者(SUP4)被授权通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN)。
9.一种要使请求者(SUP4)能够接入数据通信网络(DCN)的认证器(AUTH1),所述请求者与媒体接入控制地址(MAC4)相关联,并且被耦合到所述数据通信网络(DCN)的所述认证器(AU)的端口(P2)上,所述认证器(AUTH)因此包括:
发送器(Tx),以发送认证请求给被耦合到所述认证器(AU)上的认证服务器(AS);以及
接收器(Rx),以从所述认证服务器(AS)接收认证回复,其中所述认证回复包括基于预定规则和条件的认证判决的结果,其特征在于,
所述认证器(AUTH)包括解释器(INTPR),以便根据权利要求1来解释从认证服务器(AS)所接收的所述认证回复,并且相应地设置所述认证器(AUTH1)的过滤器,由此,如果所述结果(RES(AUTH))包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的认证,由此具有所述媒体接入控制(MAC4)的所述请求者(SUP4)被授权通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN),在这种情况下,所述过滤器仅对所述媒体接入控制地址(MAC4)来通过所述端口(P2)接受所述请求者(SUP4)的业务流;并且由此,如果所述结果(RES(REF))包括对所述端口(P2)和对所述媒体接入控制地址(MAC4)的拒绝,由此具有所述媒体接入控制(MAC4)的所述请求者(SUP4)被拒绝通过所述认证器(AU)的所述端口(P2)接入所述数据通信网络(DCN),在这种情况下,所述过滤器拒绝所述请求者(SUP4)的业务流。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04290567.9 | 2004-03-02 | ||
| EP04290567A EP1571799B1 (en) | 2004-03-02 | 2004-03-02 | A method to grant access to a data communication network and related device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1665189A true CN1665189A (zh) | 2005-09-07 |
Family
ID=34746158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100512000A Pending CN1665189A (zh) | 2004-03-02 | 2005-03-02 | 授权接入数据通信网络的方法和相关设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8069473B2 (zh) |
| EP (1) | EP1571799B1 (zh) |
| CN (1) | CN1665189A (zh) |
| AT (1) | ATE413761T1 (zh) |
| DE (1) | DE602004017566D1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102244867A (zh) * | 2010-05-14 | 2011-11-16 | 新浪网技术(中国)有限公司 | 一种网络接入控制方法和系统 |
| CN101411158B (zh) * | 2006-03-30 | 2012-08-08 | 阿尔卡特朗讯公司 | 通过地址转换设备优化移动通信终端和信令服务器之间的连接 |
| CN101313555B (zh) * | 2006-08-11 | 2015-05-27 | 华为技术有限公司 | 一种授权管理系统和方法及授权管理服务器 |
| CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4718216B2 (ja) * | 2005-03-24 | 2011-07-06 | 富士通株式会社 | プログラム、クライアント認証要求方法、サーバ認証要求処理方法、クライアント及びサーバ |
| US8286223B2 (en) * | 2005-07-08 | 2012-10-09 | Microsoft Corporation | Extensible access control architecture |
| CN100591011C (zh) * | 2006-08-31 | 2010-02-17 | 华为技术有限公司 | 一种认证方法及系统 |
| US8224946B2 (en) * | 2009-04-24 | 2012-07-17 | Rockstar Bidco, LP | Method and apparatus for accommodating duplicate MAC addresses |
| IN2013DE00277A (zh) * | 2013-01-31 | 2015-06-19 | Hewlett Packard Development Co | |
| CN103973678B (zh) * | 2014-04-28 | 2017-04-26 | 刘建兵 | 一种终端计算机的接入管控方法 |
| CN106169989A (zh) * | 2016-05-19 | 2016-11-30 | 成都逸动无限网络科技有限公司 | 一种认证网关 |
| US10469449B2 (en) * | 2017-07-26 | 2019-11-05 | Bank Of America Corporation | Port authentication control for access control and information security |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6115376A (en) * | 1996-12-13 | 2000-09-05 | 3Com Corporation | Medium access control address authentication |
| CN1178446C (zh) * | 1999-10-22 | 2004-12-01 | 诺玛迪克斯公司 | 提供动态网络授权、鉴别和记帐的系统和方法 |
| JP2003046533A (ja) * | 2001-08-02 | 2003-02-14 | Nec Commun Syst Ltd | ネットワークシステム、その認証方法及びそのプログラム |
| US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| US6990592B2 (en) * | 2002-02-08 | 2006-01-24 | Enterasys Networks, Inc. | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users |
| US7607015B2 (en) * | 2002-10-08 | 2009-10-20 | Koolspan, Inc. | Shared network access using different access keys |
-
2004
- 2004-03-02 DE DE602004017566T patent/DE602004017566D1/de not_active Expired - Lifetime
- 2004-03-02 EP EP04290567A patent/EP1571799B1/en not_active Expired - Lifetime
- 2004-03-02 AT AT04290567T patent/ATE413761T1/de not_active IP Right Cessation
-
2005
- 2005-03-01 US US11/067,941 patent/US8069473B2/en not_active Expired - Fee Related
- 2005-03-02 CN CN2005100512000A patent/CN1665189A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101411158B (zh) * | 2006-03-30 | 2012-08-08 | 阿尔卡特朗讯公司 | 通过地址转换设备优化移动通信终端和信令服务器之间的连接 |
| CN101313555B (zh) * | 2006-08-11 | 2015-05-27 | 华为技术有限公司 | 一种授权管理系统和方法及授权管理服务器 |
| CN102244867A (zh) * | 2010-05-14 | 2011-11-16 | 新浪网技术(中国)有限公司 | 一种网络接入控制方法和系统 |
| CN102244867B (zh) * | 2010-05-14 | 2013-05-01 | 新浪网技术(中国)有限公司 | 一种网络接入控制方法和系统 |
| CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1571799A1 (en) | 2005-09-07 |
| EP1571799B1 (en) | 2008-11-05 |
| US20050198495A1 (en) | 2005-09-08 |
| ATE413761T1 (de) | 2008-11-15 |
| US8069473B2 (en) | 2011-11-29 |
| DE602004017566D1 (de) | 2008-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1665189A (zh) | 授权接入数据通信网络的方法和相关设备 | |
| EP2090063B1 (en) | Apparatus and methods for authenticating voice and data devices on the same port | |
| JP3864312B2 (ja) | 802.1xプロトコルベースマルチキャスト制御方法 | |
| EP0924900B1 (en) | Secure virtual LANS | |
| US9112909B2 (en) | User and device authentication in broadband networks | |
| CN1722661A (zh) | 认证系统、网络线路级联器、认证方法和认证程序 | |
| CN1606849A (zh) | 个人虚拟桥接局域网 | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| KR20080047587A (ko) | 분산된 인증 기능 | |
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| CN1665207A (zh) | 网络管理方法及网络管理服务器 | |
| CN101064605A (zh) | 一种多主机网络的aaa架构及认证方法 | |
| US7539189B2 (en) | Apparatus and methods for supporting 802.1X in daisy chained devices | |
| US20110055571A1 (en) | Method and system for preventing lower-layer level attacks in a network | |
| CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN1756165A (zh) | 一种许可接入数据通信网络的方法和相关设备 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| CN101272297B (zh) | 一种WiMAX网络用户EAP认证方法 | |
| CN1298145C (zh) | 实现宽带接入服务器多业务统一接口的控制装置及方法 | |
| JP5381622B2 (ja) | 無線通信システム及び方法 | |
| Sundaramoorthy et al. | Interoperability Solution for Ieee 802.1 x Based Authentication Unsupported Customer Premises Equipment | |
| CN106534117B (zh) | 一种认证方法和装置 | |
| CN1549547A (zh) | 一种桥接设备转发802.1x认证报文的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20050907 |