CN1756165A - 一种许可接入数据通信网络的方法和相关设备 - Google Patents
一种许可接入数据通信网络的方法和相关设备 Download PDFInfo
- Publication number
- CN1756165A CN1756165A CN200510116571.2A CN200510116571A CN1756165A CN 1756165 A CN1756165 A CN 1756165A CN 200510116571 A CN200510116571 A CN 200510116571A CN 1756165 A CN1756165 A CN 1756165A
- Authority
- CN
- China
- Prior art keywords
- application side
- port
- validator
- access control
- media access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了许可申请方接入数据通信网络的方法和相关设备。第一申请方关联于媒体访问控制地址并且被耦合到数据通信网络的验证器的第一端口。该方法包括:由验证器发送验证请求给与其耦合的验证服务器的步骤;和由验证服务器基于预定义的规则和条件进行验证判定的步骤;以及由验证服务器将验证答复发送给验证器的步骤,该验证答复包括验证判定的结果。该方法还包括由验证服务器产生包括条目的第一注册存储器的步骤。预定义的规则和条件包括在出现早先条目时控制第一注册存储器的第一控制步骤。如果第一控制步骤是肯定的,则该方法还包括产生包括验证的结果的步骤,并且由此许可第一申请方通过验证器的第一端口接入数据通信网络。
Description
技术领域
本发明涉及一种许可申请方(supplicant)接入数据通信网络的方法。本发明还涉及一种实现该方法的验证服务器和验证器。已经从IEEE标准802.1X-2001获知了所述方法和设备。
背景技术
在IEEE标准802.1X-2001中,在第5页§3.1描述了申请方是位于点对点局域网网段的一端的实体,该实体由连接于该链路的另一端的验证器来验证。应当说明,该文献使用术语申请方而不是例如同级设备(peer)的设备,该同级设备被用在其它接入控制相关的规范中。
在第5页§3.1还描述了网络接入端口是到LAN(局域网)的系统连接点。它可以是物理端口,例如,连接到物理LAN网段的单个LAN媒体访问控制,或者是例如站和接入点之间的关联的逻辑端口。应当指出,术语“端口”在该文献中被用作网络接入端口的缩写。
此外,还描述了验证器是在点对点LAN网段的一端的实体,该验证器有助于验证连接到该链路另一端的实体。所述验证器负责与申请方通信,并负责将从所述申请方接收的信息提交给合适的验证服务器,以确保进行凭证(credential)检查并确定由此引起的状态。
验证服务器是向验证器提供验证服务的实体。该服务根据由申请方提供的凭证,来确定该申请方是否被授权接入由验证器提供的服务。验证服务器的功能可以通过验证器来配置,或者可以经由验证器能够接入的网络来远程接入。
这样,该方法许可申请方接入数据通信网络,由此该申请方与媒体访问控制地址相关,并且被耦合到该数据通信网络的验证器的端口,该方法包括以下步骤:
-由验证器向与其耦合的验证服务器发送验证请求的步骤;和
-由验证服务器基于预定义的规则和条件来进行验证判定的步骤;以及
-由验证服务器向验证器发送包括验证判定的结果的验证答复的步骤。
此外,在该IEEE标准802.1X-2001第10页,论述了验证器和验证服务器之间通信的细节是在该IEEE标准802.1X-2001的范围之外。然而,这种通信典型地能够通过在此简称为EAP的可扩展验证协议(Extensible AuthenticationProtocol)来实现,连接例如通过EAP RADIUS而被承载在合适的较高层协议上。因此,验证服务器可位于LAN的边界之外,该LAN支持申请方和验证器之间的“LAN上的EAP”即EAPOL申请方交换;并且验证器和验证服务器之间的通信不需要服从于相关系统的受控端口的验证状态。
这样,根据这个可能的实现,并且如2000年6月的IETF RFC 2865-§2Operation/Introduction所描述的那样,如RADIUS服务器的验证服务器接收请求,其批准发送客户端(即验证器),并且其查找用户(即申请方)的数据库来找到其姓名与该请求匹配的用户。数据库中的用户条目包括要求列表,该要求列表必须被满足以允许用户的接入。这主要包括密码检验,但是也可以指定允许用户接入的端口的客户端。而且,在该标准的第6页描述了,如果所有条件都满足,则用户(即申请方)的配置值的列表被置入“接受”响应中。这些值包括服务类型和传送所期望的服务的所有必需值。这些值可以包括例如下列值:IP地址、子网掩码、期望的压缩,以及期望的分组过滤标识符或期望的协议和主机。
由验证服务器基于预定义的规则和条件进行验证判定的步骤也在IEEE标准802.1X-2001的第7页被描述,即验证服务器代表验证器来执行验证功能以检查申请方的凭证,并且指示申请方是否被授权接入验证器的服务。这样,端口接入控制提供系统功能性的扩展,这提供了阻止未授权的申请方接入由该系统提供的服务的方法。例如,如果该相关系统是MAC网桥,则可以期望对网桥和其所连接的LAN的接入上的控制,以限制对公共可接入的网桥端口的接入,或者在机构内限制部门的成员对该部门LAN的接入。
通过连接到系统的受控端口的申请方的系统强制验证来实现接入控制。根据验证过程的结果,系统能够确定申请方是否被授权在该受控端口上接入其服务。如果申请方没有被授权接入,则系统将受控端口状态设置为未授权。可以应用所定义的机制来允许任何系统验证连接到其受控端口之一的另一个系统。相关系统包括终端站、服务器、路由器以及MAC网桥。
应当注意,在IEEE标准802.1X-2001的第21页§8.2,描述了基于端口的接入控制的操作假定在其上进行操作的端口提供单个申请方和单个验证器之间的点对点连接。该假定允许基于每个端口来进行验证判定。此外,“连接到单个验证器的多个申请方的验证在该标准的范围之外”。然而应当说明,为了不超出本说明书和图1,在权利要求的导言中及在说明书中所描述的验证器,是如在标准中所描述的多个验证器的综合。然而应当理解,在上述标准802.1X-2001中的验证判定保持基于每个端口。而且,本发明的验证器能根据在不同端口上的分配方式来被实现,这使其恢复成在申请方和验证器之间的一对一关系。
现在将通过例子来描述这种方法的突出问题,即许可例如SUP1的申请方接入数据通信网络。假定下面的拓扑,其中,第一用户使用具有第一申请方SUP1的第一客户端设备,该第一申请方SUP1被耦合到包括验证器AUTH1的接入单元的第一端口P1;并且第二用户使用具有第二申请方SUP2的第二客户端设备,该第二申请方SUP2被耦合到该接入单元的第二端口P2。所述许可第一申请方SUP1接入验证器的数据通信网络DCN的方法包括:
由验证器AUTH1向与其耦合的验证服务器AS发送验证请求的步骤;和
由验证服务器AS基于预定义的规则和条件进行验证判定的步骤;以及
由验证服务器AS向验证器发送包括所述验证判定的结果的验证答复的步骤。
如上所述,所述验证判定包括必须被满足以允许用户接入的要求列表。该列表主要包括密码检验,但是也能指定用户被允许接入的端口的客户端。假定基于第一用户的密码检验,第一申请方SUP1被授权通过验证器的第一端口P1接入通信网络。
现在,许可第二申请方SUP2接入验证器的数据通信网络的方法包括类似的步骤。基于第二用户的密码检验,第二申请方SUP2被授权通过验证器的第二端口P2来接入通信网络。然而,当第二客户端设备使用与第二申请方SUP2相关联的例如MAC2的媒体访问控制地址时,结果还包括针对该第二申请方的验证,其例如恰好具有与媒体访问控制地址MAC1相同的值,该媒体访问控制地址MAC1由第一客户端设备来使用,即与第一申请方SUP1相关联。这意味着与媒体访问控制地址是否具有相同值这一事实无关,每个申请方将仅通过符合密码要求来接收其许可。这导致MAC地址重复并由此导致服务拒绝和/或服务降级攻击。
这种MAC地址重复通常通过在MAC数据平面或因特网协议层数据平面中的解决方案而被解决,例如接入节点本身中的MAC地址转换、VLAN隔离(segregation)或MAC地址注册。
通过上面的方法,MAC地址重复主要在一个接入节点中被解决而与其它接入节点无关,并且假定MAC地址重复是极少有的事件,这是因为用户不能获知彼此的MAC地址。然而,当在同一接入节点的用户和不同接入节点的用户之间允许直接对等(peer-to-peer)通信时,所述解决方案失效。当允许对等通信时,用户还将获知彼此的MAC地址并且因此任何用户能够窃取另一个用户的MAC地址。此外,这还将导致服务拒绝和/或服务降级攻击。
此外,已知的验证方法将用户凭证即其密码关联于其DSL线路即验证器AUTH1的端口,由此不允许用户的游动(nomadism)。这意味着上述第一用户将不被允许进入第二用户的住宅并利用其个人密码(第一用户的密码)来使用第二用户的第二申请方的计算机;或者这意味着上述第一用户将不被允许进入第二用户的住宅以便在那里利用其个人密码(第一用户的密码)来使用(第一用户)自己的计算机。
发明内容
本发明的目的是提供一种许可申请方接入数据通信网络的方法以及实现该方法的验证服务器和验证器,如上面已知的那样,但由此允许用户游动并且由此阻止媒体访问控制地址窃取。
根据本发明,通过所述方法、验证服务器和验证器来实现所述目的。实际上应归于该方法还包括由验证服务器产生包括条目的第一注册存储器的步骤这一事实。一个这样的条目包括在被许可的申请方的媒体访问控制地址和所述被许可的申请方的密码之间的关联,所述被许可的申请方先前接收到许可以通过验证端口来接入被允许的数据通信网络。此外,预定义的规则和条件包括第一控制步骤,该第一控制步骤在出现在先条目时通过判定装置的第一控制装置来控制第一注册存储器,所述在先条目包括第一申请方的媒体访问控制地址和该第一申请方的密码之间的第一关联。此外,如果该第一控制步骤是肯定的,则该方法还包括这样的步骤:产生结果并且由此许可第一申请方通过验证器的第一端口来接入数据通信网络,所述结果包括针对具有第一密码的第一媒体访问控制地址的验证。
事实上,由于注册存储器被建立,因此所有申请方都通过包括例如(MAC2,PSWD2)的对的条目而被注册到所述第一注册存储器中(与申请方关联的MAC地址;使用包括该申请方的客户端设备的用户的密码),所述所有申请方例如是SUP2,其先前接收到验证,即对接入被允许的数据通信网络的许可。一旦验证服务器从验证器接收到对于期望接入的例如SUP1的特定申请方的新的验证请求,验证服务器就首先对于该特定申请方在第一注册存储器中控制关联条目的出现(特定申请方的关联的MAC地址;用于该申请方的用户的密码),所述关联条目即所述例如(MAC1,PSWD1)的对。当这种关联条目出现在数据库即第一注册存储器中时,第一用户使用的第一申请方被授权接入。即使当该第一用户不在其自己的位置时,只要该特定关联(MAC1,PSWD1)存在,就允许对网络的接入。
通常在验证器的验证请求中找到信息和用于申请方的密码,所述信息即特定申请方的关联的MAC地址,所述密码即使用包括该申请方的客户端设备的用户的密码。
除了执行通常的规则和条件之外,验证服务器的所述第一控制步骤的执行,即考虑MAC地址/用户密码的关系,提供了改进的验证判定结果,即该结果现在允许用户在数据通信网络中游动。
此外,验证器包括解释器,以解释从验证服务器接收的验证答复,该验证服务器事实上考虑了所述(MAC地址,用户密码)关联。该解释器还根据验证答复中的结果的内容来设置该验证器的滤波器。因此,当该结果包括针对媒体访问控制地址和用户密码的验证时,由此具有该媒体访问控制地址的申请方事实上被许可通过验证器的端口接入数据通信网络,所述滤波器被设置成通过该端口接受申请方的业务,但是仅对于指定的媒体访问控制地址。类似地,当所述结果包括针对具有用户密码的媒体访问控制地址的拒绝时,由此具有该媒体访问控制地址的申请方被拒绝通过验证器的端口接入数据通信网络,所述滤波器被设置成拒绝申请方的所有业务。
这意味着仅对于关联于申请方的用户密码的MAC地址,来许可该申请方通过验证器的端口接入数据通信网络,针对所述MAC地址而成功地实现所述验证过程。
因此,如果由验证服务器执行的第一控制步骤是肯定的,则根据本发明的方法包括由判定装置产生结果的步骤,所述结果包括验证,由此许可具有媒体访问控制地址和关联的用户密码的申请方通过验证器的端口接入所述数据通信网络。这意味着当在注册存储器中找到请求对(MAC地址,密码)的第一完全匹配时,这种相同的对(MAC地址,密码),即这种具有相同密码的相同申请方,已经先前接收到对接入通信网络的许可。所述申请方的客户端设备的用户期望再次接入所述网络。即使在不同的接入线路,准许再次接入也允许用户游动。
而且,如果第一控制步骤是否定的,则该方法还包括由第二控制装置执行的第二控制步骤,该第二控制步骤在出现在先条目时控制所述第一注册存储器,该在先条目包括申请方的媒体访问控制地址与任何其它密码之间的第二关联,即关于与第一注册存储器的条目的半匹配的检查。事实上,即使当所述条目与另一个密码相关联时,在出现例如SUP2的申请方的MAC地址时控制所述第一注册存储器,所述另一个密码比如是这样的密码:针对该密码而为申请方请求接入。如果第二控制步骤是否定的,则该方法还包括由判定装置产生结果的步骤,所述结果包括针对具有第一密码的第一媒体访问控制地址的验证,并且由此许可第一申请方通过验证器的第一端口接入数据通信网络。而且,该方法包括这样的步骤:利用第一申请方的第一媒体访问控制地址和第一申请方的第一密码的第一关联,在第一注册存储器中注册条目。事实上,当第一媒体访问控制地址根本没有出现时,既不与第一用户密码关联也不与另一个用户密码关联,这意味着没有提供在先接入。这涉及到被允许的新的接入。因此,需要完善第一注册存储器并插入申请方的第一媒体访问控制地址和用户密码之间的新获知的关联。
应当注意,“第二关联”这一表述不意味着MAC地址应当在注册装置中针对第二时间而被找到。“第二关联”仅意为“第二种关联”,即将在第一注册存储器中查找的“第二种条目”。更准确地,关于对(MAC地址;除了针对其接收请求的密码之外的任何其它密码)的先前条目的出现由第二控制装置来控制。
此外,该方法还包括由验证服务器产生包括条目的第二注册存储器,由此条目包括在被许可的申请方的媒体访问控制地址和用于被许可的申请方的被验证端口之间的关联,该被许可的申请方先前接收到许可以通过被验证端口接入所允许的数据通信网络;并且如果第二控制步骤是否定的,则还利用第一申请方的第一媒体访问控制地址和验证器的第一端口之间的关联而在第二注册存储器中注册条目。这意味着除了具有媒体访问控制地址与密码之间的关联的条目之外,还保持具有媒体访问控制地址与验证器的端口之间的关联的条目,申请方经由该端口被耦合到验证器。
此外,如果所述第二控制步骤是肯定的,则该方法还包括:
-第三控制步骤,即在出现包括第三关联的在先条目时利用第三控制装置来控制所述第二注册存储器,所述第三关联是第一申请方的第一媒体访问控制地址与验证器的第一端口之间的关联;和
-第四控制步骤,即在出现包括第四关联的在先条目时利用第四控制装置来控制所述第二注册存储器,所述第四关联是第一申请方的第一媒体访问控制地址与验证器的另一个端口之间的关联;和
-如果所述第三控制步骤是肯定的,则该方法还包括产生结果的步骤,该结果包括针对具有第一密码的第一媒体访问控制地址的验证,并且由此许可第一申请方通过验证器的第一端口接入数据通信网络;和
-如果第三控制步骤是否定的并且第四控制步骤是肯定的,则产生结果,该结果包括针对第一端口和第一媒体访问控制地址的拒绝,并且由此拒绝第一申请方通过第一端口接入数据通信网络。
通过包括所述第三和第四控制步骤,在出现关于要求接入网络的申请方的媒体访问控制地址的条目时,还检查第二注册存储器。如果第一媒体访问控制地址与另一个密码的关联在第一注册存储器中被找到,并且该第一媒体访问控制地址也在第二注册存储器中被找到,则第二注册存储器中的关联的端口起作用。当该关联的端口实际上是第一申请方经由其请求接入的端口,即第一端口时,提供验证,这是因为这意味着用户是位于另一个住宅,利用其自己的(第一用户)密码使用该住宅的计算机,即用户游动。
最后,当第一媒体访问控制地址除了与另一个密码关联之外还在关联于另一个端口的第二注册存储器的条目中被找到时,该第一媒体访问控制地址被窃取,由此接入被拒绝,即验证服务器由此拒绝与第一媒体访问控制地址关联的第一申请方来通过验证器的被请求端口接入数据通信网络。实际上,即使在另一个端口,当所述MAC地址已经先前被注册到注册存储器中时允许具有特定MAC地址的申请方接入数据网络,将会产生MAC重复。关联于另一个端口的MAC地址的注册存储器中的条目的出现,意味着请求的申请方恰好具有与已经被注册的MAC地址相同的特定MAC地址,或者意味着恶意用户已在窃取该特定MAC地址并企图使用它。在这两种情况下都应避免由具有该特定MAC地址的申请方接入数据通信网络。这通过在判定装置的结果中包括拒绝而被实现。
应当说明,通过由判定装置产生包括验证的结果来许可接入。
应当注意,在权利要求中使用的术语“包括”不应当被解释成限于其后列出的装置。因此,“包括装置A和B的设备”这一表述的范围不应当限于仅由部件A和B组成的设备。其意味着所述设备关于本发明的相关部件是A和B。
类似地,应当注意,也在权利要求中使用的术语“耦合”不应当被解释成仅限于直接连接。因此,“耦合到设备B的设备A”这一表述的范围不应当限于设备A的输出被直接连接到设备B的输入的设备或系统。其意味着在A的输出和B的输入之间存在路径,该路径可能包括其它设备或装置。
附图说明
结合附图,通过参考下面对实施例的描述,本发明的上述和其它目的和特征将变得更加明显,本发明本身将被很好地理解,其中,图1示出了全球通信网络。
具体实施方式
将通过图1所示的不同块的功能描述,来解释其依照图中示出的电信环境的根据本发明的设备的工作。基于该描述,所述块的实际实现对于本领域的技术人员来说是显而易见的,并且因此将不对其作详细描述。此外,许可申请方接入数据通信网络的方法的原理工作将被更详细地描述。
参考图1,示出了全球电信网络。
所述全球电信网络包括两个客户端设备,即第一客户端设备CPE1和第二客户端设备CPE2;数据通信网络DCN和验证服务器AS。
第一和第二客户端设备CPE1和CPE2,每个都被耦合到数据通信网络DCN。
验证服务器AS也被耦合到数据通信网络DCN。
第二客户端设备CPE2包括终端单元TU2。该终端单元TU2包括申请方SUP2并且具有媒体访问控制地址MAC2。
另一个客户端设备CPE1包括终端单元TU1。该终端单元TU1具有MAC地址MAC1并且包括申请方SUP1。这样,申请方SUP1与MAC1地址关联。
假定在通常情况下,第一和第二客户端设备CPE1和CPE2分别由具有密码PSWD1的第一用户U1和具有密码PSWD2的第二用户U2使用。
数据通信网络DCN包括接入单元,该接入单元包括多个端口。两个端口P1和P2被明确示出。所述接入单元的这两个端口被耦合到所客户端设备的每一个。更详细地,第一客户端设备CPE1通过接入单元AU的第一端口P1被耦合到数据通信网络DCN,并且另一个客户端设备CPE2通过接入单元AU的另一个端口P2被耦合到数据通信网络。接入单元AU包括验证器AUTH1,验证器AUTH1包括发射机TX,接收机RX和滤波器FILT。发射机TX和接收机RX都被耦合到验证服务器AS。发射机TX和接收机RX也被耦合到解释器INTPR,该解释器还被耦合到滤波器FILT。根据该实施例,滤波器FILT也被耦合到接入单元AU的不同端口。到两个端口P1和P2的耦合在图1中明确示出。到其它端口的耦合仅用虚线示出。
验证服务器AS包括判定器DEC,该判定器被耦合到验证服务器AS的输入/输出。判定器DEC包括第一控制器CONT1、第二控制器CONT2、第三控制器CONT3和第四控制器CONT4。
验证服务器AS还包括注册存储器MEM,该注册存储器被耦合到验证服务器AS的输入/输出并且被耦合到判定器DEC。
申请方SUP1和SUP2,验证器AUTH1和验证服务器AS能够互相通信以执行验证过程并且由此最后许可申请方SUP1或SUP2通过其各自的验证器的端口来接入数据通信网络。
现在将更详细地说明所述情况。
在IEEE标准802.1X-2001第8页说明了受控的和不受控的接入。基于端口的接入控制的操作具有这样的效果:创建两个不同的接入点(在图1中未示出)到验证器系统的连接点,该连接点连接到局域网LAN。一个接入点允许下面称为PDU的分组数据单元在所述系统和LAN上的其它系统之间的不受控交换,而与验证状态无关,即不受控的端口;另一个接入点仅在端口的当前状态是被授权的即受控端口的情况下才允许PDU交换。不受控的和受控的端口被认为是到LAN的相同连接点的一部分,例如用于与验证器AUTH1协作的申请方SUP1的端口P1。在物理端口上接收的任何帧都可用于受控的和不受控的端口;服从于与受控端口关联的验证状态。
此外,还参见802.1X-2001第8页最后一段,可以通过能够提供到申请方系统的一对一连接的任何物理或逻辑端口,来提供到LAN的连接点。例如,在交换LAN基础设施中的单个LAN MAC能提供连接点。在LAN环境中,在单个申请方和单个验证器之间的不同关联的创建,对于运行802.1X-2001中描述的接入控制机制而言是必要的前提,在所述LAN环境中,MAC方法允许在验证器和申请方之间的一个对多个关系的可能性,例如在共享媒体环境中。
应当指出,如上所述,每个都关联于不同申请方的不同单个验证器的功能性可以被集成到一个负责不同申请方的全局验证器中。这种具有一个被集成验证器AUTH1的实现对该特定实施例而言是优选的,然而,这并不限制本发明的原理观点。
现在将说明两个申请方SUP1和SUP2、验证器AUTH1和验证服务器AS,在接入控制机制中的不同作用。
验证器AUTH1出于与各个申请方交换协议信息的目的而使用不受控的端口(未示出),并且进一步负责强制分别连接到其受控端口P1或P2之一的申请方SUP1或SUP2之一的验证,并且还负责相应地控制各个受控端口的验证状态。
为了执行验证,验证器AUTH1利用验证服务器AS。验证服务器AS可以被置于与验证器AUTH1相同的系统中,或者可以位于可通过基于LAN或其它的远程通信机制来接入的其它位置。该优选实施例描述了验证服务器AS,其对于同一DCN的所有验证器是通用的。实际上,游动需求和MAC地址窃取是涉及到验证器所连接的整个以太网通信网络的问题,并且因此应整体上对于DCN来解决。这通过将用于所有验证器的同一AS连接到同一以太网DCN来实现。
申请方SUP1或SUP2负责响应于来自验证器AUTH1的请求而将其凭证传送到验证器AUTH1。申请方还可以启动验证交换并且执行注销交换。
验证主要发生在系统启动时间,或者在申请方系统被连接到验证器系统的端口时。直到验证已经成功完成,所述申请方系统才具有到验证器系统的接入以执行验证交换,或接入由验证器系统提供的任何服务,该服务不服从于置于验证器的受控端口上的接入控制限制。一旦验证已经成功完成,验证器系统就允许完全接入经由验证器系统的受控端口所提供的服务。
对于该实施例,定义封装格式是优选的,该封装格式允许通过LAN MAC服务来直接承载验证消息。称为LAN上的EAP或EAPOL的这种EAP的被封装格式,被用于申请方SUP1和SUP2与验证器AUTH1之间的所有通信。验证器AUTH1因而执行对于向前传输到验证服务器AS的EAP协议的重新打包。对于该实施例,RADIUS优选地用于提供通信的后一方面。但是,应当指出,这可以通过使用其它协议来实现。
此外,当验证过程开始时,可能产生下面的结果之一:
a)由于在请求和响应的先后顺序中的过度超时,因此所述验证过程终止。这造成了中断状态。
b)由于验证服务器AS返回“拒绝消息”给验证器AUTH1,因此验证过程终止,所述“拒绝消息”这里称为“包括含有拒绝的结果的验证答复”。
c)由于验证服务器AS返回“接受消息”给验证器AUTH1,因此验证过程终止,所述“接受消息”这里称为:“包括含有验证的结果的验证答复”。
如上所述,例如SUP1的申请方期望接收到许可以接入数据通信网络DCN。该申请方还与终端单元TU1的MAC1地址关联,并且被耦合到验证器AU的端口P1。用户密码PSWD1由第一用户U1来提供给第一客户端设备CPE1并经由申请方SUP1和第一端口P1到达验证器AU。
为了获得所述许可,验证器AU的发射机TX发送验证请求到验证服务器AS。验证服务器AS基于预定义的规则和条件来进行验证判定。在此使用验证服务器AS的判定器DEC。然后,验证服务器AS发送包括所述验证判定的结果的验证答复到验证器AUTH1。
然而,为了进行对于申请方SUP1的验证判定,根据本发明,验证服务器AS还包括第一注册存储器MEM1和第二注册存储器MEM2。这些注册存储器包括条目。
第一注册存储器的条目包括在例如被许可的申请方SUP2的MAC2的媒体访问控制地址与例如PSWD2的用户密码之间的关联,该被许可的申请方先前接收到许可以利用该用户密码PSWD2接入数据通信网络DCN。
第二注册存储器的条目包括在例如被许可的申请方SUP2的MAC2的媒体访问控制地址与被验证的端口P2之间的关联,该端口P2对于被许可的申请方而被验证,该被许可的申请方已经接收到许可以通过该被验证端口P2接入数据通信网络DCN。
判定器DEC基于预定义的规则和条件来产生验证判定的结果RES。所述判定器DEC的验证判定的各个结果RES被包括在验证答复中,并且通过验证服务器AS而被发送到验证器AUTH1。
验证器AUTH1的接收机RX从验证服务器AS接收所述验证答复。
验证器AUTH1的解释器INTRP解释从验证服务器AS接收的验证答复,根据本发明,该验证服务器实际上是激活的,以通过例如由第一控制器CONT1执行的所述第一控制步骤来支持其验证判定。应当说明,所述解释器是通过解码器而被实现的,该解码器对于从验证服务器AS接收的验证答复进行解码。
解释器INTRP能够以不同的方式来被实现。一个可能的方式是解释器INTRP根据包括在验证答复中的参考,知道其涉及哪个先前被发送的验证请求,并且由此知道其涉及哪个例如SUP1的申请方。解释器INTRP被激活,以基于该申请方SUP1从验证器AUTH1的数据库检索关联的MAC地址和端口,即MAC1和P1。另一个可能的实现是不保持验证请求数据库并且解释器INTRP依赖于所述验证答复中的信息。这意味着解释器INTRP从验证答复检索包括在该验证答复中的端口和MAC地址。
根据这些可能的实现,所述信息被转发给滤波器FILT,该信息即相关的MAC地址和端口,即例子中的MAC1和P1。根据包括在验证答复中的信息来设置滤波器FILT,并且该滤波器FILT还相应地对端口P1的业务进行滤波。这意味着:
-当结果RES(AUTH)包括对MAC1地址的验证时,由此具有该MAC1地址的申请方SUP1实际上被许可经由验证器AU的端口P1接入数据通信网络DCN,滤波器FILT经由端口P1接受申请方SUP1的业务,但是仅对于为其给出验证的MAC1地址;并且
-当结果RES(REF)包括对MAC1地址的拒绝时,由此具有该MAC1地址的申请方SUP1被拒绝经由验证器AU的端口P1接入数据通信网络DCN,滤波器FILT拒绝具有MAC1地址的申请方SUP1的业务。
应当指出,滤波器FILT可以通过用于验证器AUTH1的每个端口的一个滤波器块而被实现,或者可以作为一个控制验证器AUTH1的不同端口上的业务的集中式功能块而被实现。
判定器DEC基于预定义的规则和条件来产生验证判定的结果RES。
这些预定义的规则和条件包括四个控制步骤,分别由第一控制器CONT1、第二控制器CONT2、第三控制器CONT3和第四控制器CONT4来执行。
根据本发明,判定器DEC的第一控制器CONT1执行第一控制步骤,即在出现在先条目时控制第一注册存储器MEM1,所述在先条目包括申请方SUP1的第一媒体访问控制地址MAC1与该申请方的用户密码PSWD1之间的第一关联。
例如所述媒体访问控制地址和密码的信息在验证请求中被找到,并且由判定器DEC从该验证请求中提取。第一控制器CONT1使用该信息作为第一注册存储器MEM1的输入。第一注册存储器MEM1作为输入(MAC1,PSWD1)接收。
第一注册存储器MEM1利用OK消息来或NOK消息对所述输入作出反应,该OK消息意味着对条目(pair-entry)(MAC1,PSWD1)在第一注册存储器MEM1中被找到,该NOK消息意味着所述对条目(MAC1,PSWD1)没有在该第一注册存储器MEM1中被找到。这种OK消息或NOK消息由判定器DEC来考虑以产生结果RES,将在后面的段落中说明该结果。
在下面的段落中将进一步说明第一控制步骤并且介绍第二控制步骤。
如果第一控制步骤是肯定的,则这意味着条目(MAC1,PSWD1)在第一注册存储器MEM1(图1中未示出)中被找到,判定器DEC产生包括针对端口P1和MAC1地址的验证的结果RES(AUTH),由此具有MAC1地址且具有密码PSWD1的申请方SUP1被许可经由验证器AU的端口P1来接入数据通信网络DCN。由于各个关联出现在第一注册存储器MEM1中,因此不需要产生其它条目。
需要说明的是,肯定的验证结果与申请方所耦合的端口无关。这意味着具有其终端单元TU1的用户也可以被耦合到验证器AUTH1的另一个端口,即出现在另一住宅(图1中未示出)。因此以安全的方式实现了用户游动。
如果第一控制是否定的,则这意味着条目(MAC1,PSWD1)没有在第一注册存储器MEM1(图1中未示出)中被找到,判定器DEC包括第二控制器CONT2,以在出现在先条目时执行对于第一注册存储器MEM的第二控制,所述在先条目包括在申请方SUP1的MAC地址MAC1与另一个密码之间的第二关联,即对(MAC1;除了验证请求中的密码之外的任何其它密码)。
如果第二控制是否定的,则判定器DEC产生包括针对端口P1和MAC1地址的验证的结果RES(AUTH),由此具有MAC1地址且具有密码PSWD1的申请方SUP1被许可经由验证器AU的端口P1来接入数据通信网络DCN。这还意味着媒体访问控制地址MAC1根本没有第一注册存储器MEM1中被找到,由此假设申请方SUP1是第一次请求接入。由于各个关联(MAC1;PSWD1)没有出现在第一注册存储器MEM1中,因此需要产生该关联的条目。
应当指出,第二控制器CONT2可以通过如第一控制器CONT1的另一个功能块而被实现。然而,应当说明,两个控制器都可以通过同一个功能块而被实现。根据这样的实现,由所述全局控制器所使用的参数是以不同的方式而被定义的,其取决于必须被执行的不同的控制步骤,即第一控制步骤,其具有例如(MAC1;PSWD1)作为输入,或第二控制步骤,其具有例如(MAC1;除PSWD1之外的任何其它密码)作为输入。
此外,应当说明,两个控制步骤还可以通过执行一个全局控制步骤而被实现,该全局控制步骤提供更详细的反馈而不是OK消息或Not OK消息,所述反馈例如是(MAC1OK;PSWD1NOK),其意味着MAC1在与另一个端口相关的第一注册存储器MEM1中被找到。然而,不同实现方式的详细描述超出了本发明的目的。
如果第一控制是否定的并且第二控制是否定的,则验证服务器AS在第一注册存储器MEM1中插入新的条目,该条目包括申请方SUP1的MAC1地址和验证器的密码PSWD1。此外,判定器DEC产生包括针对端口P1和媒体访问控制地址MAC1的验证的结果RES(AUTH),由此具有MAC1地址的申请方SUP1被许可经由验证器AU的端口P1来接入数据通信网络DCN。
如果第一控制是否定的并且第二控制是否定的,则还利用关联注册在第二注册存储器MEM2中,所述关联是在第一申请方SUP1的第一媒体访问控制地址MAC1与验证器(AUTH)的第一端口P1之间的关联。应当说明,在极为特别的情况下,这样的条目(MAC1;P1)可能在第二注册存储器MEM2中已经存在。在提供验证之前此处应当进行关于MAC窃取的进一步检验。
如果第二控制步骤是肯定的,即在具有另一个密码的MACI的第一注册存储器MEM1中的实际条目,则下面的控制步骤被用于本发明的方法:
-出现在先条目时利用第三控制器CONT3来执行第二注册存储器MEM2的第三控制步骤,所述在先条目包括第一申请方SUP1的第一媒体访问控制地址MAC1与验证器的第一端口P1之间的第三关联;并且
-出现在先条目时利用第四控制器CONT4执行控制第二注册存储器MEM2的第四控制步骤,所述在先条目包括第一申请方SUP1的第一媒体访问控制地址MAC1与所述验证器的另一个端口之间的第四关联。
如果第三控制步骤是肯定的,则该方法还包括产生结果的步骤,该结果包括针对具有第一密码PSWD1的第一媒体访问控制地址MAC1的验证,并且由此许可第一申请方SUP1通过验证器AU的第一端口P1接入数据通信网络DCN。这意味着虽然没有关联(MAC1;PSWD1)被获知,但实际获知的关联(MAC1;另一个PSWD)指示了可能存在(MAC1;P1)。当该第三关联实际上在第二注册存储器MEM2中也被获知时,这说明具有PSWD1的用户U1位于另一个住宅,使用该另一住宅的计算机(具有含MAC1地址的SUP1的CPE1-图1中未示出),并且该计算机被耦合到验证器AUTH1的端口P1。由此允许了根据一种安全方式的用户游动的第二种方式。
如果第三控制步骤是否定的并且第四控制步骤是肯定的,则该方法还包括产生结果的步骤,该结果包括针对第一端口P1和第一媒体访问控制地址MAC1的拒绝,并且由此拒绝第一申请方SUP1通过第一端口P1接入数据通信网络DCN。实际上,在第二注册存储器MEM2中,当不知道第一关联(MAC1;PSWD1)但知道第二关联(MAC1;另一个PSWD)时;并且当不知道第三关联(MAC1;P1)但知道第四关联(MAC1;另一个P)时,意味着PSWD1的用户正窃取MAC1地址。
这意味着通过考虑在所述过程的这个阶段的预定义的规则和条件、在判定器DEC的验证判定期间对于对(MAC,端口)关系(pair-relation)的可能的早期许可,并且通过仅针对为其提供验证的MAC地址MAC1来相应地设置用于请求的申请方SUP1的验证器AUTH1的端口P1,即如果产生验证结果则允许业务,避免了针对重复的MAC地址的接入许可并且预先发现恶意的用户。
因此提供了一种方法,由此首先允许用户游动,并且其次阻止媒体访问控制地址的窃取。
最后应当指出,上面就功能块描述了本发明的实施例。根据上面给出的这些块的功能描述,如何利用公知的电子元件来制造这些块的实施例,对于设计电子设备领域的技术人员而言是显而易见的。因此没有给出所述功能块的内容的详细结构。
虽然上面已经结合指定装置描述了本发明的原理,但是应当清楚地理解,该描述仅作为例子而不限制如所附的权利要求所定义的本发明的范围。
Claims (9)
1.一种许可第一申请方接入数据通信网络的方法,所述第一申请方具有关联的第一媒体访问控制地址,并且被耦合到所述数据通信网络的验证器的第一端口,
所述方法包括:
由所述验证器向与其耦合的验证服务器发送验证请求的步骤;和
由所述验证服务器基于预定义的规则和条件来进行验证判定的步骤;以及
由所述验证服务器向所述验证器发送包括所述验证判定的结果的验证答复的步骤,其特征在于,所述方法还包括下面的步骤:
由所述验证服务器产生包括条目的第一注册存储器,由此,条目包括在被许可的申请方的媒体访问控制地址和所述被许可的申请方的被许可密码之间的关联,所述被许可的申请方先前接收到许可以接入所述数据通信网络;
并且其特征还在于,所述预定义的规则和条件包括第一控制步骤,该第一控制步骤在出现在先条目时控制所述第一注册存储器,该在先条目包括所述第一申请方的所述第一媒体访问控制地址和所述第一申请方的第一密码之间的第一关联;以及
由此,如果所述第一控制步骤是肯定的,则所述方法还包括:
产生结果的步骤,该结果包括针对具有所述第一密码的所述第一媒体访问控制地址的验证,并且由此许可所述第一申请方通过所述验证器的所述第一端口接入所述数据通信网络。
2.根据权利要求1的许可申请方接入数据通信网络的方法,由此,如果所述第一控制步骤是否定的,则所述方法还包括:
第二控制步骤,其在出现在先条目时控制所述第一注册存储器,所述在先条目包括在所述第一申请方的所述第一媒体访问控制地址与另一个密码之间的第二关联,
由此,如果所述第二控制步骤是否定的,则所述方法还包括下面的步骤:
产生结果,该结果包括针对具有所述第一密码的所述第一媒体访问控制地址的验证,并且由此许可所述第一申请方通过所述验证器的所述第一端口接入所述数据通信网络;并且包括下面的步骤:
利用所述第一关联将条目注册在所述第一注册存储器中,所述第一关联是在所述第一申请方的所述第一媒体访问控制地址和所述第一申请方的所述第一密码之间的关联。
3.根据权利要求2的许可申请方接入数据通信网络的方法,由此,所述方法还包括:
由所述验证服务器产生包括条目的第二注册存储器,由此,条目包括在被许可的申请方的媒体访问控制地址和用于所述被许可的申请方的被验证端口之间的关联,所述被许可的申请方先前接收到许可以通过所述被验证的端口接入被允许的数据通信网络;并且
如果所述第二控制步骤是否定的,则还利用关联将条目注册在所述第二注册存储器中,所述关联是在所述第一申请方的所述第一媒体访问控制地址和所述验证器的所述第一端口之间的关联。
4.根据权利要求3的许可申请方接入数据通信网络的方法,由此,如果所述第二控制步骤是肯定的,则所述方法还包括:
第三控制步骤,其在出现在先条目时控制所述第二注册存储器,所述在先条目包括在所述第一申请方的所述第一媒体访问控制地址与所述验证器的所述第一端口之间的第三关联;和
第四控制步骤,其在出现在先条目时控制所述第二注册存储器,所述在先条目包括所述第一申请方的所述第一媒体访问控制地址与所述验证器的另一个端口之间的第四关联;和
如果所述第三控制步骤是肯定的,则所述方法还包括产生结果的步骤,该结果包括针对具有所述第一密码的所述第一媒体访问控制地址的验证,并且由此许可所述第一申请方通过所述验证器的所述第一端口接入所述数据通信网络;和
如果所述第三控制步骤是否定的并且所述第四控制步骤是肯定的,则产生结果,该结果包括针对所述第一端口和所述第一媒体访问控制地址的拒绝,并且由此拒绝所述第一申请方通过所述第一端口接入所述数据通信网络。
5.一种验证服务器,其在从所述验证器接收到验证请求时,向验证器发送包括验证判定的结果的验证答复,所述验证服务器包括:
判定装置,其用来基于预定义的规则和条件产生所述结果,所述验证请求涉及许可第一申请方接入数据通信网络的请求,所述第一申请方具有关联的第一媒体访问控制地址,并且被耦合到所述数据通信网络的所述验证器的第一端口,其特征在于,所述验证服务器还包括:
第一注册存储器,其被耦合到所述判定装置,所述第一注册存储器包括条目,由此,条目包括在被许可的申请方的媒体访问控制地址和所述被许可的申请方的密码之间的关联,所述被许可的申请方先前接收到许可以通过被验证的端口接入被允许的数据通信网络,该被许可的申请方通过所述被验证的端口而被耦合到所述验证器;其特征还在于,
所述判定装置包括第一控制装置,以在出现在先条目时执行对所述第一注册存储器的第一控制,所述在先条目包括所述第一申请方的所述第一媒体访问控制地址和所述第一申请方的第一密码之间的第一关联;并且其特征还在于,
还包括所述判定装置,从而如果所述第一控制是肯定的则产生结果,该结果包括针对所述第一端口和所述第一媒体访问控制地址的验证,由此所述第一申请方被许可通过所述验证器的所述第一端口接入所述数据通信网络。
6.根据权利要求5的验证服务器,其中,所述验证服务器的所述判定装置还包括第二控制装置,从而如果所述第一控制是否定的,则在出现在先条目时执行对所述第一注册存储器的第二控制,所述在先条目包括在所述第一媒体访问控制地址与另一个密码之间的第二关联,并且
由此,如果所述第二控制是否定的,
则所述判定装置产生结果,该结果包括针对所述第一端口和所述第一媒体访问控制地址的验证,由此,所述第一申请方被许可通过所述验证器的所述第一端口接入所述数据通信网络。
7.根据权利要求6的验证服务器,其中,所述验证服务器还包括:
第二注册存储器,其被耦合到所述判定装置,所述第二注册存储器包括条目,由此,条目包括在被许可的申请方的媒体访问控制地址和所述被许可的申请方的被验证的端口之间的关联,所述被许可的申请方先前接收到许可以通过所述被验证的端口接入被允许的数据通信网络,该被许可的申请方通过所述被验证的端口而被耦合到所述验证器;并且
如果所述第二控制是否定的,则所述验证服务器还利用关联将条目注册到所述第二注册存储器中,所述关联是在所述第一申请方的所述第一媒体访问控制地址和所述第一申请方的所述第一端口之间的关联。
8.根据权利要求7的验证服务器,其中,所述判定装置还包括:
第三控制装置,其用来在出现在先条目时执行对所述第二注册存储器的第三控制,所述在先条目包括在所述第一申请方的所述第一媒体访问控制地址与所述验证器的所述第一端口之间的第三关联;和
第四控制装置,其用来在出现在先条目时执行对所述第二注册存储器的第四控制,所述在先条目包括在所述第一申请方的所述第一媒体访问控制地址与所述验证器的另一个端口之间的第四关联;并且
还包括所述判定装置,从而如果所述第二控制是肯定的并且所述第三控制是肯定的,则产生结果,该结果包括针对所述第一端口和所述第一媒体访问控制地址的验证,由此,所述第一申请方被许可通过所述验证器的所述第一端口接入所述数据通信网络;以及
还包括所述判定装置,从而如果在所述第二控制是肯定的并且所述第三控制是否定的以及所述第四控制是肯定的,则产生结果,该结果包括针对所述第一端口和所述第一媒体访问控制地址的拒绝,由此,所述第一申请方被拒绝通过所述验证器的所述第一端口接入所述数据通信网络。
9.一种验证器,其期望能使第一申请方接入数据通信网络,所述第一申请方具有关联的第一媒体访问控制地址,并且被耦合到所述数据通信网络的所述验证器的第一端口,
所述验证器因此包括:
发射机,用来发送验证请求到验证服务器,该验证服务器被耦合到所述验证器;和
接收机,用来从所述验证服务器接收验证答复,该验证答复包括基于预定义的规则和条件的验证判定的结果,其特征在于:
所述验证器包括解释器,其用来解释如同从根据权利要求5的验证服务器所接收的所述验证答复,并且相应地设置所述验证器的滤波器,由此
当所述结果包括针对所述第一端口和所述第一媒体访问控制地址的验证时,由此,具有所述第一媒体访问控制地址的所述第一申请方被许可通过所述验证器的所述第一端口接入所述数据通信网络,所述滤波器仅对于所述第一媒体访问控制地址来通过所述第一端口接受所述第一申请方的业务;并且由此
当所述结果包括针对所述第一端口和所述第一媒体访问控制地址的拒绝时,由此,具有所述第一媒体访问控制地址的所述第一申请方被拒绝通过所述验证器的所述第一端口接入所述数据通信网络,所述滤波器拒绝所述第一申请方的业务。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04292201A EP1635528A1 (en) | 2004-09-13 | 2004-09-13 | A method to grant access to a data communication network and related devices |
| EP04292201.3 | 2004-09-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1756165A true CN1756165A (zh) | 2006-04-05 |
Family
ID=34931383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510116571.2A Pending CN1756165A (zh) | 2004-09-13 | 2005-09-13 | 一种许可接入数据通信网络的方法和相关设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20060059334A1 (zh) |
| EP (1) | EP1635528A1 (zh) |
| CN (1) | CN1756165A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011072512A1 (zh) * | 2009-12-18 | 2011-06-23 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| CN101507235B (zh) * | 2006-08-24 | 2014-02-12 | 西门子企业通讯有限责任两合公司 | 用于提供无线网状网的方法和设备 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
| US20090300704A1 (en) * | 2008-05-27 | 2009-12-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Presentity Rules for Location Authorization in a Communication System |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6115376A (en) * | 1996-12-13 | 2000-09-05 | 3Com Corporation | Medium access control address authentication |
| EP1222791B1 (en) * | 1999-10-22 | 2005-06-01 | Nomadix, Inc. | System und method for redirecting users attempting to access a network site |
| JP2003046533A (ja) * | 2001-08-02 | 2003-02-14 | Nec Commun Syst Ltd | ネットワークシステム、その認証方法及びそのプログラム |
| US6990592B2 (en) * | 2002-02-08 | 2006-01-24 | Enterasys Networks, Inc. | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users |
| KR100883648B1 (ko) * | 2002-03-16 | 2009-02-18 | 삼성전자주식회사 | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 |
| US7936710B2 (en) * | 2002-05-01 | 2011-05-03 | Telefonaktiebolaget Lm Ericsson (Publ) | System, apparatus and method for sim-based authentication and encryption in wireless local area network access |
-
2004
- 2004-09-13 EP EP04292201A patent/EP1635528A1/en not_active Withdrawn
-
2005
- 2005-09-12 US US11/223,201 patent/US20060059334A1/en not_active Abandoned
- 2005-09-13 CN CN200510116571.2A patent/CN1756165A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101507235B (zh) * | 2006-08-24 | 2014-02-12 | 西门子企业通讯有限责任两合公司 | 用于提供无线网状网的方法和设备 |
| WO2011072512A1 (zh) * | 2009-12-18 | 2011-06-23 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1635528A1 (en) | 2006-03-15 |
| US20060059334A1 (en) | 2006-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10257161B2 (en) | Using neighbor discovery to create trust information for other applications | |
| CN100340084C (zh) | 一种实现设备分组及分组设备间交互的方法 | |
| US7624181B2 (en) | Techniques for authenticating a subscriber for an access network using DHCP | |
| CN1665189A (zh) | 授权接入数据通信网络的方法和相关设备 | |
| US9065684B2 (en) | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN1722661A (zh) | 认证系统、网络线路级联器、认证方法和认证程序 | |
| CN1874226A (zh) | 终端接入方法及系统 | |
| CN101465856A (zh) | 一种对用户进行访问控制的方法和系统 | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| US20090300197A1 (en) | Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method | |
| JP2004135061A (ja) | ネットワークシステム、情報処理装置、中継器およびネットワークシステムの構築方法 | |
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| JP2012529795A (ja) | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 | |
| US8468354B2 (en) | Broker-based interworking using hierarchical certificates | |
| Geier | Implementing 802.1 X security solutions for wired and wireless networks | |
| CN1756165A (zh) | 一种许可接入数据通信网络的方法和相关设备 | |
| CN1855933A (zh) | 一种网络的认证和计费的系统及方法 | |
| CN110474922A (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
| CN1881870A (zh) | 一种设备间安全通信的方法 | |
| CN1798024A (zh) | 实现组播认证及计费的方法和设备 | |
| JP5381622B2 (ja) | 無線通信システム及び方法 | |
| EP1530343A1 (en) | Method and system for creating authentication stacks in communication networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |