CN1688124A - 基于端口技术和认证协议的无线网络接入控制方法 - Google Patents
基于端口技术和认证协议的无线网络接入控制方法 Download PDFInfo
- Publication number
- CN1688124A CN1688124A CN 200510072976 CN200510072976A CN1688124A CN 1688124 A CN1688124 A CN 1688124A CN 200510072976 CN200510072976 CN 200510072976 CN 200510072976 A CN200510072976 A CN 200510072976A CN 1688124 A CN1688124 A CN 1688124A
- Authority
- CN
- China
- Prior art keywords
- software
- eap
- authenticator
- access control
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明属于无线网络应用技术领域,是无线局域网用户接入控制的实现方法,在使用基于端口的技术802.1x作为安全接入控制协议的情况下,本方法屏蔽后台认证的具体机制,实现通用的接入控制。方法的步骤包括:开发出可编程无线接入点(AP),在无线网卡驱动中实现对802.11的支持,软件实现802.1x接入控制协议并设计良好的通用接口,该接口用于802.1x协议与后台认证协议通信。开发出的系统用于无线终端的接入控制,本发明所述方法具有通用性,用户可以自由地选择认证协议,在现实环境变更,认证协议改变或升级的情况下仍然可以实现接入控制的功能。
Description
技术领域
本发明属于无线移动网络应用技术领域,是无线局域网用户接入控制的实现方法。
背景技术
网络安全是一个不容忽视的问题,对试图访问网络的用户实施接入控制,是提高网络安全性的重要举措。对于无线网络,其特性决定了它存在比有线网络更多的安全隐患,因此,用户通过无线接入访问网络资源时更有必要对其进行接入控制,只有通过入网认证的用户才允许访问网络资源。
为解决802.11无线局域网用户的接入认证问题,IEEE制定了一个基于端口的标准技术802.1x。802.1x使用交换式局域网基础设施的物理特性来鉴别连接到局域网某个端口的设备。鉴别的过程就是验证用户身份的合法性,如果认证失败,端口接入将被阻止;如果认证成功,则对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。802.1x实现认证功能需要与某种具体的认证/授权/计费协议(AAA)结合。802.1x与AAA协议结合是通过将可扩展身份认证协议(EAP)捆绑到有线和无线局域网媒体上,利用EAP在无线终端和后台认证服务器之间传递信息来实现认证的。现在使用的AAA协议有RADIUS、TACACS+、Kerberos等,RADIUS是目前最常使用的,它有简单安全、易于管理、扩展性好的特点,但是由于协议本身的缺陷,比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务,都使得它不太适应当前网络的发展。Diameter协议作为下一代的AAA协议标准,支持移动IP、NAS请求和移动代理的认证、授权和计费工作,协议的实现和RADIUS类似,但详细规定了错误处理、故障恢复机制,采用TCP协议,支持分布式计费,克服了RADIUS的许多缺点,是最适合未来移动通信系统的AAA协议。
现有的接入控制方法,都是与某种具体的认证协议结合开发的,其中大多数是将802.1x和RADIUS结合在一起实现接入控制软件。如mdc-ssd 802.1x、AEGISClinet、HOSTAPD等,都没有实现独立的接入控制,并且还没有与新的Diameter协议结合的软件。这种接入控制系统与具体认证协议结合的方法,不能实现接入控制的通用性。当应用于具体的环境时,如果用户要求使用某种认证协议,如用户的后台认证服务器是Diameter服务器而接入控制系统是与RADIUS结合开发的,这种情况下系统无法使用。因此,如果能实现独立的接入控制,则可以大大提高系统的利用率,很好的解决认证协议发展带来的系统更新的问题。
发明内容
本发明的目的在于提供一种通用的基于802.1x和AAA协议实现无线网络接入控制的方法,它能够解决后台认证算法实现的多样性对接入控制系统的影响,实现统一的接入控制,并同时对IPv4和IPv6提供支持。
本发明应用于无线移动网络系统,在无线局域网环境中,本地用户或移动用户要求接入网络,使用本发明开发的系统实现接入控制,对其进行身份的认证,认证通过后才能允许其使用网络和授权,并对其进行计费管理。
认证过程中包括三个实体:用户(Client)、认证者(Authenticator)、AAA服务器(Authentication、Authorization和Accounting Server),认证者是执行接入控制的关键实体,它处理用户的认证请求,通过访问认证服务器获取用户的信息来确认用户身份和确定是否允许用户访问网络。认证者一般在网络接入点(AP)或接入服务器(NAS)上运用。本发明通过软件开发实现并应用于AP上,使AP具有无线接入点的基本功能的同时,完成无线接入终端和后台认证服务器之间信息的交互功能,提供良好的接口,使系统可以用于不同的AAA协议,无需顾虑认证环境中认证协议的改变,对通过无线局域网接入的用户进行统一的接入控制。
本发明技术方案主要是:
一种通用无线接入控制实现方法,使用802.1x作为安全接入控制协议,选择某种AAA协议作为后台认证协议,应用于802.11无线局域网,完成对无线终端用户接入时的接入控制和认证功能,其步骤如下:
1.方法实现基于可编程AP,即该方法的软件开发和使用在一个自己开发的可编程AP之上;
2.在AP上开发无线接入控制软件,打破802.1x服务器软件模块和AAA认证协议软件模块混杂的结构,软件实现与底层驱动的交互,并实现基本的802.1x协议的接入控制功能,设计软件与AAA软件之间的接口,同时使用控制模块实现软件各部分的协调和控制;
3.软件在执行认证的过程中,从用户发往AAA服务器的数据包先到达AP上的802.1x协议模块,再通过消息队列传送给AAA协议,由AAA协议软件将数据信息进行处理;从AAA服务器发往用户的信息先经过处理得到EAP数据包,再通过消息队列传送给802.1x协议模块,由AP通过无线链路发送给终端用户。
系统实现后,使用环境如图2所示。
本发明中所述的基于802.1x和AAA协议实现无线网络接入控制的方法不同于现有实现无线局域网接入控制软件中使用的方法,该方法的主要特点是:
1.实现了访问控制机制在无线链路段(从无线终端到无线访问点)使用的802.1x接入控制协议和在有线链路段(从无线访问点到后台AAA)的分离。
2.提供了与认证协议通信的接口,能与之配合使用实现接入控制认证用户的功能。
3.使用本文所述方法的使用者可以根据情况灵活选择不同的认证协议,如Radius、Kerberos等。
4.本方法支持新的AAA协议Diameter,据调研在目前还没有现实系统实现对Diameter的支持。
5.提供对网络层现使用的IPv4协议以及下一代网络层协议IPv6的支持。
本发明所述方法具有很好的通用性,并能在网络协议快速发展的情况下适应环境改变对访问控制机制的需求。依据本发明的方法,我们可以制造一个可编程的AP,并在其之上实现访问控制软件,与开发的diameter认证协议软件或其他认证协议软件配合使用,完成IPv4以及IPv6环境下无线终端通过802.11无线局域网接入网络时的认证。
附图说明
图1是认证信息在移动终端,认证者之间交互的流程图。图1为说明书摘要附图。
图2是将开发出的可编程AP和通用接入控制软件应用于我们的实验环境的图示。
具体实施方式
实现AP系统的具体方法如下:
1.GNU/Linux的微机实现可编程AP,选择支持HostAP模式的无线网卡,以提供无线访问的接口,同时安装有线网卡,用以连接有线网络;
2.要使微机具有AP功能,要重新编译内核使内核工作在HostAP模式下,并利用开源软件在内核中实现HostAP的驱动;
3.对无线网卡进行恰当的配置,例如设置无线网卡的SSID;
4.在系统中无线网卡和有线网卡之间建立一个桥接,命名为br0,并为br0配置IPv6地址,该地址成为AP外部可见的唯一IP地址,
系统即可起到一个AP的基本功能。
实现接入控制软件的具体方法如下:
1.开发通用控制软件,使软件实现如下功能模块:对底层HostAP驱动的接口模块,使由无线终端通过无线链路传送过来的认证消息数据包能够通过驱动传到软件的其他模块,以对其进行处理;
2.按照802.1x协议标准实现该协议的模块,该模块依据标准中的四个状态机对从底层模块接收来的数据包进行处理,实现802.1x协议的功能,使软件运用于AP上能对移动终端进行接入控制;
3.使用消息队列机制实现802.1x与AAA协议软件之间的接口;
4.消息队列在程序初始化时创建,在退出程序时销毁,消息队列接收到消息时采用事件触发函数的方法触发事先注册的响应函数,对消息进行处理;
5.802.1x和AAA协议之间交互传递的认证信息通过具体的认证方法协议EAP来承载,消息队列是EAP数据包和其他控制信息数据包在802.1x与AAA协议软件之间交互的通道。
图1,使用系统时的认证过程的具体流程如下:
1.移动终端上的802.1x客户端发起承载认证发起命令的数据包给AP上的认证者(即我们实现的接入控制软件);
2.认证者生成相应的EAP请求消息,该消息请求用户的身份信息,这是802.1x模块部分所实现的;
3.认证者发送消息给移动终端,移动终端用户(即802.1x客户端)接收请求数据包;
4.移动终端用户(即802.1x客户端)根据接收到的请求数据包生成相对应的EAP应答;
5.移动终端用户(即802.1x客户端)发EAP应答,认证者接收应答;
6.认证者收到数据包后分析出数据包属于应答,根据802.1x状态机规范实现认证者当前状态的跳转;
7.认证者将数据包放入消息队列通知AAA协议软件的通信模块;
8.AAA协议处理EAP中的信息,与后台AAA服务器交互进行认证的一步操作,生成EAP信息,放入消息队列通知802.1x模块;
9.认证者的802.1x模块从消息队列中读取EAP信息,并进行分析;
10.认证者改变状态机状态,根据802.1x状态机规范实现认证者当前状态的跳转;
11.认证者将EAP信息通过无线连路将数据包发送给移动终端,移动终端接收数据包;
12.认证者判断EAP信息是否为EAP成功消息,并跳转到13;移动终端上的802.1x客户端处理收到的EAP信息,并判断是否EAP请求消息,是EAP请求消息,跳转到4,否则跳转到13;
13.移动终端分析EAP信息为EAP-Success,则明确自己认证成功,为EAP-Failure,则明确自己认证失败;如果认证成功,认证者开放端口,允许其它数据包通过,即允许移动终端访问网络,如果认证失败,认证者关闭端口,拒绝移动终端访问网络。
系统实现后,使用环境如图2所示:客户端上需装有802.1x客户端软件,该软件的实现遵循802.1x协议规范;Windows XP实现了802.1x客户端功能,还有其他三方软件(如Wirelx)也可以使用;认证服务器上实现AAA协议。
图2是将开发出的可编程AP和通用接入控制软件(即图中的802.1x服务端)应用于我们的实验环境的图示。在这里,我们使用的AAA协议是diameter协议。
Claims (4)
1.一种通用无线接入控制实现方法,使用802.1x作为安全接入控制协议,选择某种AAA协议作为后台认证协议,应用于802.11无线局域网,完成对无线终端用户接入时的接入控制和认证功能,其步骤如下:
1)方法实现基于可编程AP,即该方法的软件开发和使用在一个自己开发的可编程AP之上;
2)在AP上开发无线接入控制软件,打破802.1x服务器软件模块和AAA认证协议软件模块混杂的结构,软件实现与底层驱动的交互,并实现基本的802.1x协议的接入控制,设计软件与AAA软件之间的接口,同时使用控制模块实现软件各部分的协调和控制;
3)软件在执行认证的过程中,从用户发往AAA服务器的数据包先到达AP上的802.1x协议模块,再通过消息队列传送给AAA协议,由AAA协议软件将数据信息进行处理;从AAA服务器发往用户的信息先经过处理得到EAP数据包,再通过消息队列传送给802.1x协议模块,由AP通过无线链路发送给终端用户。
2.根据权利要求1所述的通用无线接入控制实现方法,其特征是,步骤1),实现可编程AP的步骤是:
1)GNU/Linux的微机实现可编程AP,选择支持HostAP模式的无线网卡,以提供无线访问的接口,同时安装有线网卡,用以连接有线网络;
2)要使微机具有AP功能,要重新编译内核使内核工作在HostAP模式下,并利用开源软件在内核中实现HostAP的驱动;
3)对无线网卡进行恰当的配置,例如设置无线网卡的SSID;
4)在系统中无线网卡和有线网卡之间建立一个桥接,命名为br0,并为br0配置IPv6地址,该地址成为AP外部可见的唯一IP地址。系统即可起到一个AP的基本功能。
3.根据权利要求1所述的通用无线接入控制实现方法,其特征在于:步骤2),
1)开发通用控制软件,使软件实现如下功能模块:对底层HostAP驱动的接口模块,使由无线终端通过无线链路传送过来的认证消息数据包能够通过驱动传到软件的其他模块,以对其进行处理;
2)按照802.1x协议标准实现该协议的模块,该模块依据标准中的四个状态机对从底层模块接收来的数据包进行处理,实现802.1x协议的功能。使软件运用于AP上能对移动终端进行接入控制;
3)使用消息队列机制实现802.1x与AAA协议软件之间的接口;
4)消息队列在程序初始化时创建,在退出程序时销毁,消息队列接收到消息时采用事件触发函数的方法触发事先注册的响应函数,对消息进行处理;
5)802.1x和AAA协议之间交互传递的认证信息通过具体的认证方法协议EAP来承载,消息队列是EAP数据包和其他控制信息数据包在802.1x与AAA协议软件之间交互的通道。
4.根据权利要求1所述的通用无线接入控制实现方法,其特征在于,步骤3),系统实现后,认证过程的流程步骤在于:
1)移动终端上的802.1x客户端发起承载认证发起命令的数据包给AP上的认证者(即我们实现的接入控制软件);
2)认证者生成相应的EAP请求消息,该消息请求用户的身份信息,这是802.1x模块部分所实现的;
3)认证者发送消息给移动终端,移动终端用户(即802.1x客户端)接收请求数据包;
4)移动终端用户(即802.1x客户端)根据接收到的请求数据包生成相对应的EAP应答;
5)移动终端用户(即802.1x客户端)发EAP应答,认证者接收应答;
6)认证者收到数据包后分析出数据包属于应答,根据802.1x状态机规范实现认证者当前状态的跳转;
7)认证者将数据包放入消息队列通知AAA协议软件的通信模块;
8)AAA协议处理EAP中的信息,与后台AAA服务器交互进行认证的一步操作,生成EAP信息,放入消息队列通知802.1x模块;
9)认证者的802.1x模块从消息队列中读取EAP信息,并进行分析;
10)认证者改变状态机状态,根据802.1x状态机规范实现认证者当前状态的跳转;
11)认证者将EAP信息通过无线连路将数据包发送给移动终端,移动终端接收数据包;
12)认证者判断EAP信息是否为EAP成功消息,并跳转到13;移动终端上的802.1x客户端处理收到的EAP信息,并判断是否EAP请求消息,是EAP请求消息,跳转到4,否则跳转到13;
13)移动终端分析EAP信息为EAP-Success,则明确自己认证成功,为EAP-Failure,则明确自己认证失败;如果认证成功,认证者开放端口,允许其它数据包通过,即允许移动终端访问网络,如果认证失败,认证者关闭端口,拒绝移动终端访问网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510072976 CN1688124A (zh) | 2005-05-16 | 2005-05-16 | 基于端口技术和认证协议的无线网络接入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510072976 CN1688124A (zh) | 2005-05-16 | 2005-05-16 | 基于端口技术和认证协议的无线网络接入控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1688124A true CN1688124A (zh) | 2005-10-26 |
Family
ID=35306164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510072976 Pending CN1688124A (zh) | 2005-05-16 | 2005-05-16 | 基于端口技术和认证协议的无线网络接入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1688124A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101778385A (zh) * | 2009-01-14 | 2010-07-14 | 北京天昭信息通信系统开发有限责任公司 | 分布式多媒体无线网关及中心基站设备 |
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| CN103188676A (zh) * | 2011-12-29 | 2013-07-03 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| CN106790012A (zh) * | 2016-12-14 | 2017-05-31 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
-
2005
- 2005-05-16 CN CN 200510072976 patent/CN1688124A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| CN101778385A (zh) * | 2009-01-14 | 2010-07-14 | 北京天昭信息通信系统开发有限责任公司 | 分布式多媒体无线网关及中心基站设备 |
| CN103188676A (zh) * | 2011-12-29 | 2013-07-03 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| WO2013097348A1 (zh) * | 2011-12-29 | 2013-07-04 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| CN103188676B (zh) * | 2011-12-29 | 2017-12-26 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| CN106790012A (zh) * | 2016-12-14 | 2017-05-31 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
| CN106790012B (zh) * | 2016-12-14 | 2020-02-18 | 深圳市彬讯科技有限公司 | 基于802.1x协议数据包验证的用户身份认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| CN1191696C (zh) | 一种无线局域网移动设备安全接入及数据保密通信的方法 | |
| US7142851B2 (en) | Technique for secure wireless LAN access | |
| CN1191703C (zh) | 宽带无线ip系统移动终端的安全接入方法 | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| CN1124759C (zh) | 无线局域网移动终端的安全接入方法 | |
| CN112261067A (zh) | 一种多级单包授权的方法及系统 | |
| CN1726483A (zh) | 通信系统中的认证 | |
| CN1756156A (zh) | 用于在通信系统中针对网络访问来认证用户的设备和方法 | |
| CN1422065A (zh) | 无线数据保护装置和鉴别方法 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| JP5581382B2 (ja) | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 | |
| CN1889430A (zh) | 基于802.1x的终端宽带接入的安全认证控制方法 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| CN104869121A (zh) | 一种基于802.1x的认证方法及装置 | |
| CN1725685A (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 | |
| CN1561042A (zh) | 一种无线局域网接入点设备管理移动终端的方法 | |
| CN1225941C (zh) | 无线ip系统移动节点的漫游接入方法 | |
| CN1266889C (zh) | 基于802.1x协议的网络接入设备管理方法 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN100341282C (zh) | 基于通用协议分析引擎的内核级透明代理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |