CN1845491A - 802.1x的接入认证方法 - Google Patents
802.1x的接入认证方法 Download PDFInfo
- Publication number
- CN1845491A CN1845491A CN 200610038371 CN200610038371A CN1845491A CN 1845491 A CN1845491 A CN 1845491A CN 200610038371 CN200610038371 CN 200610038371 CN 200610038371 A CN200610038371 A CN 200610038371A CN 1845491 A CN1845491 A CN 1845491A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- client
- access
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
802.1x的接入认证方法,认证服务器为RADIUS服务器,该服务器存储有关用户的信息,采用用户的VLAN+MAC+IP的绑定作为逻辑端口,利用客户端、认证系统和认证服务器建立用户接入网络的认证流程:认证通过前,通道只能通过EAPOL的802.1X认证报文;认证通过时,通道的状态切换为authorized,此时从远端认证服务器传递来用户的信息;认证通过后,用户的流量就将接受上述参数的监管,可以通过任何报文,并有DHCP过程;客户端是一需要接入LAN,支持EAPOL协议,运行802.1X客户端软件;本发明实现了802.1x交换机到用户的多mac、多ip段、交换机物理端口号、交换机vlan、交换机管理ip、用户名、密码共7种元素的绑定认证。
Description
技术领域
本发明属于宽带IP数据通信中的802.1x认证方法,尤其是802.1x的VMI逻辑端口控制及地址获取的方法。
背景技术
已经有多种方法对宽带进行接入认证:如PPPOE接入认证,用户以LAN或ADSL方式接入,在登录时输入账号、口令,以PPP方式直接向接入平台发起登录请求,接入平台把登录信息发送给认证平台,完成接入认证。PPPOE认证是非常成熟的认证方式,有非常好的用户管理和流量控制、用户安全等性能,但不能穿透三层网络,在客户端需要安装软件,维护复杂。
Web接入认证,用户认证时由接入服务器强制转到Web Server上,用户在Web Server上输入账号和口令,完成接入认证。Web认证方式,对网络结构影响小,不需要在用户端安装软件,且能支持新业务的开发。而且Web方式最大的好处在于同时在这种认证方式基础上可以进一步提供门户功能,给用户提供增值业务选择的界面。门户业务是近来新兴的一种业务,用户可以通过访问门户,灵活地进行自助服务。这种接入方式可以方便地给用户提供不同的业务选择,运营商也可通过这种业务获得新的收入增长点。门户是用户上网、使用各种业务的入口,是运营商和ICP信息发布和信息管理平台。
CPN用户主要是小区和公寓内的普通用户,用户分布在不同的住宅楼内,通过每座楼宇内的交换机进行连接并汇聚在小区中心机房的汇聚交换机,二层网络在交换机/路由器上进行终结。由于IP地址资源问题,有些CPN社区多用私网地址,大多在小区出口或在CPN的POP点进行接入认证。
对于无线或移动业务,例如在写字楼和酒店的WLAN业务是通过二层和三层的AC设备,直接连到骨干网的Radius设备。BRAS对酒店或写字楼的WLAN用户进行接入认证和地址分配,将用户的信息送到计费中心进行计费。这种多业务多网络的接入认证方式,不利于有效地利用网络资源、优化网络、统一用户的数据库,不便于为用户提供菜单式服务,不利于为用户在多种业务之间提供优惠组合的记费策略,不能为用户提供一单式计费,以及基于用户的各种业务统计分析。
现有的802.1x认证是基于端口访问控制的接入管理协议标准。802.1x协议是二层协议,主要用于端口的认证,即通过认证之后才能够使接入端口可用(端口能够接入网络),否则,该端口处于关闭状态。802.1X认证方式,投资较少,但需要安装客户端软件,维护管理复杂,需要相关的设备支持802.1X协议。
802.11标准的无线局域网的安全性而设计的。802.1X为无线局域网提供了一个验证窗口。用于验证一个用户是否合法。802.1X使用一个现有的协议EAP,即可扩展鉴别协议,此协议运用于以太网、令牌环网或者无线局域网,用以在鉴别过程中进行信息交换。在一个遵循802.1X的无线局域网中,一个用户请求访问一个接入点,接入点强迫用户进入一种未经授权状态,这种状态下用户就只能发送一个EAP开始消息。然后接入点返回给用户一个EAP消息请求用户进行身份验证。用户将身份验证发给接入点,之后接入点就会将其转发给验证服务器,由它使用一个算法来验证用户是否合法并且将接受或拒绝消息返还给接入点。当验证通过即接收到的是接受消息,则接入点将把用户的状态变为已授权,此时就可以进行正常的通信了。虽然802.1X没有对远程身份验证拨入用户服务进行指定,但是验证服务器可能用到它。
802.1x协议亦已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)。
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。随着WLAN/WIMAX等无线接入手段的不断发展,用户身份认证与接入的问题变得越来越重要。IEEE提出的802.1X认证方案就是无线环境下比较通用的一种方法。当然,802.1x也可以用于LAN的环境下。
在802.1x协议规范中,提出了逻辑端口的概念。即一个物理端口可以划分为多个逻辑端口,可以针对逻辑端口分别对用户进行控制。但是规范中没有给出逻辑端口的具体实现方法。
802.1X协议中没有明确指出终端获得地址的方式,这可能是因为二层协议上可以承载多种网络层协议,所以在二层层面没有必要过多地关心这个问题。
在实际的网络使用中,IP已经成为主导的网络层协议。但是IP技术在面向商用的过程中存在一系列的问题,例如地址盗用导致地址冲突,严重时会使整个网络变得不可用。
当前业界在802.1X的使用模式方面存在许多问题,主要表现在:
(1)许多交换机厂商在末端交换机使用802.1x认证,认证位置太低,网络维护非常麻烦
(2)许多交换机不支持逻辑端口控制,只能支持针对物理端口的控制,一旦一个物理端口下挂多个用户,会导致一旦端口关闭,所有用户都不能得到服务;
(3)即使有逻辑端口控制的,往往以用户的MAC作为控制对象,将控制MAC地址的接入与否作为控制手段,灵活性、安全性都很差;
(4)采用外挂DHCP服务器,端口打开后,终端再从DHCP服务器获得地址,一方面依赖外部DHCP服务器,另一方面无法很好解决地址冲突的问题。
以上问题严重制约了802.1X认证模式在宽带网络中的应用,也制约了无线宽带网络的发展。
发明内容
本发明目的是:针对以上问题,提出采用用户的VLAN+MAC+IP的绑定作为逻辑端口,利用设备内置DHCP服务器和RADIUS Client,建立了用户接入网络的严密控制流程。同时通过分布式BAS,在分布式BAS中采用这种改进的802.1X认证方法和模式。
本发明技术方案是:采用用户的VLAN+MAC+IP的绑定作为逻辑端口,建立了用户接入网络的认证流程。802.1X的认证体系分为三部分结构:客户端(PC/网络设备)、认证系统和认证服务器。
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;
2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
4、Supplicant System-Client(客户端)是一需要接入LAN,及享受switch提供服务的设备(如PC机),客户端支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等。
包括DSLAM:数字用户线路接入复用器;DSLAM是设在端局的一个设备,用来接纳所有的DSL线路,并把每条线路的话音和数据分开,分别送至电话网和数据网。这种改进不修改802.1x协议对外的表现行为,是一种实现方法的改进。
认证系统为支持IEEE 802.1x协议的网络设备。认证系统对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
认证服务器通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。使用“可扩展身份验证协议(EAP)”,任意的身份验证机制都可以验证远程访问连接。远程访问客户端和身份验证器(远程访问服务器或“远程身份验证拨号用户服务”[RADIUS]服务器)协商要使用的确切的身份验证方案。“路由和远程访问”默认情况下包括有对EAP-TLS和MD5质询的支持。可以插入其他EAP模块到运行“路由和远程访问”的服务器中,以便提供其他EAP方法。
EAP允许远程访问客户端和身份验证器之间的自由会话。会话的内容包括身份验证器对身份验证信息的请求和远程访问客户端的应答。例如,当EAP同安全令牌卡一起使用时,身份验证器可以向远程访问客户端分别查询名称、PIN和卡令牌值。随着每次查询一问一答,远程访问客户端就通过了另一个等级的身份验证。当对所有的问题都给出了令人满意的回答之后,远程访问客户端就通过了身份验证。
Windows Server 2003家族包括一个EAP基础结构、两个EAP类型以及将EAP消息传递给RADIUS服务器(EAP-RADIUS)的能力。
值得注意的是,在IEEE 802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,IEEE 802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。
IEEE 802.1x认证协议已经得到了很多软件厂商的重视,并在Windows操作系统中的最新版Windows XP已经整合IEEE 802.1x客户端软件,无需要另外安装客户端软件。
结构及流程参见附图,核心设计思想有以下2点:
(1)用户安全隔离与地址盗用防范
Per User Per VLAN起到用户之间隔离的作用,VLAN+MAC+IP的绑定最初用于WEB认证,在WEB认证中证明是一种有效的防地址盗用的手段。本发明将这种控制技术创造性地应用于802.1x领域。
(2)地址分配与用户接入控制
用户首先必须通过认证,即用RADIUS Client与外部RADIUS服务器通信,认证通过后再触发DHCP地址分配过程,地址分配成功后,就建立了VLAN+MAC+IP的绑定关系,起到用户接入控制的目的。
以VLAN+MAC+IP的方式不仅仅解决了802.1x逻辑端口控制的问题,它同时也是一种用户流,可以针对这种流进行带宽等QOS控制,ACL控制,策略路由等。用户的业务开展的灵活性也得到了保证。由于是在BAS三层设备上实现802.1x的用户认证,所以也解决了传统认证点过低带来的网络维护问题。
1.协议实现简单,IEEE 802.1x协议为二层协议。
2.认证和业务分离,IEEE 802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
3.和其他认证方式的比较
IEEE 802.1x协议解决了传统的PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,简轻了网络封装开销,降低了建网成本。
众所周知,PPPoE是从基于ATM的窄带网引入到宽带以太网的。需提高BAS性能,或者采用大量分布式BAS等方式来解决问题,但是BAS的功能就决定了它是一个昂贵的设备,这样一来建设成本就会越来越高。
Web/Portal认证是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。但是由于Web认证走的是7层协议,从逻辑上来说为了达到网络2层的连接而跑到7层做认证,这首先不符合网络逻辑。其次由于认证走的是7层协议,对设备必然提出更高要求,增加了建网成本。第三,Web是在认证前就为用户分配了IP地址,对目前网络珍贵的IP地址来说造成了浪费,而且分配IP地址的DHCP对用户而言是完全裸露的,容易造成被恶意攻击。Web/Portal认证用户连接性差,不容易检测用户离线,基于时间的计费较难实现;用户在访问网络前,不管是Telnet、FTP还是其他业务,必须使用浏览器进行Web认证,易用性不够好;而且认证前后业务流和数据流无法区分。所以,在以太网中,Web/Portal认证目前只是限于在酒店等特殊网络环境中使用。总结起来IEEE802.1x有以下五大优点。
简洁高效:纯以太网技术内核,保持IP网络无连接特性,去除冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务。
容易实现:可在普通L3、L2、IP DSLAM上实现,网络综合造价成本低。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户和密码等;绑定技术具有很高的安全性。
行业标准:IEEE标准,微软操作系统内置支持。
易于运营:控制流和业务流完全分离,易于实现多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络。
本发明的技术方案实现了802.1x交换机到用户的多mac、多ip段、交换机物理端口号、交换机vlan、交换机管理ip、用户名、密码共7种元素的绑定认证。安腾BAS同时具有上网log记录功能,可以根据用户名和ip等几个元素进行查询,清晰看到目标用户在一时间段内所有网络行为,完全符合公安部门网络安全要求标准。已经成功在中国矿业大学、南京师范大学等众多应用系统中得到实际验证,达到了真正将802.1x认证技术实用化的效果。采用这种方案之后,用户的上网行为受到有效控制,网络的良好秩序得到了保证。在交换机和DSLAM内置了IEEE 802.1x认证系统,可实现基于IEEE802.1x认证的灵活的端口控制能力,内置EAP终结,与网上现有的RADIUS平滑对接,实现立体化分布的认证体系结构提供全套商用的802.1x认证计费解决方案。
附图说明
图1是本发明框架结构示意图
图2是本发明VLAN-MAC-IP绑定关系流程图
图3是本发明VMI绑定关系检查流程图
图4是本发明清除VMI绑定关系流程图
具体实施方式
(1)客户端发起802.1x认证请求消息,经过二层网络透传到接入控制设备(BAS)
(2)BAS通过RADIUS CLIENT向RADIUS服务器发起认证请求
(3)如果认证通过,BAS向客户端返回802.1x认证成功消息
(4)客户端发起DHCP地址分配请求消息
(5)二层网络将DHCP消息透传给BAS
(6)BAS给客户端分配地址。客户端IP地址的分配策略由radius服务器在认证通过响应报文中指定,如radius服务器未指定用户地址分配策略,则根据用户所在域决定。DHCP Server根据用户的地址分配策略,响应用户的DHCP请求,完成客户端的IP地址分配工作。
(7)BAS根据获得的客户端的VLAN号,MAC地址以及分配给用户的IP地址,建立VLAN-MAC-IP三者之间的绑定关系,生成软件VMI条目与硬件流控条目,并向RADIU服务器发计费信息,用户上线,建立vmi绑定关系流程如图1所示。
BAS对每个数据包进行VLAN-MAC-IP的绑定表检查,只有通过绑定检查,才允许数据包转发,假如不符合绑定关系,这样的数据包会被丢弃,vmi绑定关系检查流程如图2所示。
(8)假如用户下线,客户端发出802.1x离线请求,BAS收到用户离线请求后,回收用户的IP地址资源,解除该用户的VLAN-MAC-IP的绑定表,清除用户相关软硬件条目,并向radius服务器发送用户计费结束请求报文,用户下线,清除vmi绑定关系流程如图3所示。
802.1X认证可以实现双向认证、动态密钥管理等安全特性。IEEE802.1x是一种基于端口的认证方法,它为每个端口(物理端口/逻辑端口)都定义了一个受控子端口和一个非受控子端口。非受控子端口主要用于认证消息包,而受控子端口在认证成功之前是关闭的,只有在认证成功之后才完全打开,用户从而可以进行正常的通信。802.1x解决的是用户与网络之间的鉴别机制问题,另外802.1x还定义了一套动态密钥协商管理机制,支持无线口组播和单播密钥的动态协商。802.1x具体认证协议由EAP方法决定,其体系结构非常灵活,EAP-TTLS,EAP-SIM,EAP-AKA,PEAP等EAP方法支持双向鉴权、用户账号信息匿名传输、动态密钥协商管理等机制。EAP-MD5等认证方式支持单向鉴权认证。
配置:1、先配置switch到radius server的通讯
全局启用802.1x身份验证功能
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dotlx{default}
methodl[method2…]
指定radius服务器和密钥
switch(config)#radius-server host ip_add key string
2、在port上起用802.1x
Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dotlx port-control auto
Switch(config-if)# end
BAS根据获得的客户端的VLAN号,MAC地址以及分配给用户的IP地址,建立VLAN-MAC-IP三者之间的绑定关系,并向RADIU服务器发计费信息,BAS对每个数据包进行VLAN-MAC-IP的绑定表检查,只有通过绑定检查,才允许数据包转发,假如不符合绑定关系,这样的数据包会被丢弃。假如用户下线,客户端发出802.1x离线请求,BAS收到后解除该用户的VLAN-MAC-IP的绑定表。
Claims (6)
1、802.1x的接入认证方法,认证服务器为RADIUS服务器,该服务器存储有关用户的信息,其特征是采用用户的VLAN+MAC+IP的绑定作为逻辑端口,利用客户端、认证系统和认证服务器建立用户接入网络的认证流程:
1)、认证通过前,通道只能通过EAPOL的802.1X认证报文;2)、认证通过时,通道的状态切换为authorized,此时从远端认证服务器传递来用户的信息:VLAN、CAR参数、优先级、用户的访问控制列表;3)、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,并有DHCP过程;4)、客户端是一需要接入LAN,支持EAPOL协议,运行802.1X客户端软件;认证系统为支持IEEE 802.1x协议的网络设备,认证系统对应于不同用户的物理端口或用户设备的VLAN+MAC+IP的绑定作为逻辑端口;包括上述端口受控端口和不受控端口,不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终可以发出或接受认证;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务;受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境;如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务;当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管;认证服务器和RADIUS服务器之间通过EAP协议进行通信。
2、由权利要求1所述的802.1x的接入认证方法,其特征是使用“可扩展身份验证协议(EAP)”,身份验证机制验证远程访问连接;远程访问客户端和身份验证器协商使用确切身份验证方案;“路由和远程访问”默认情况下包括有对EAP-TLS和MD5质询的支持;插入EAP模块到运行“路由和远程访问”的服务器中,提供其他EAP方法。
3、由权利要求1所述的802.1x的接入认证方法,其特征是EAP允许远程访问客户端和身份验证器之间的自由会话;会话的内容包括身份验证器对身份验证信息的请求和远程访问客户端的应答。
4、由权利要求1所述的802.1x的接入认证方法,其特征是认证过程是:(1)客户端发起802.1x认证请求消息,经过二层网络透传到接入控制设备(BAS),(2)BAS通过RADIUS CLIENT向RADIUS服务器发起认证请求,(3)如果认证通过,BAS向客户端返回802.1x认证成功消息,(4)客户端发起DHCP地址分配请求消息,(5)二层网络将DHCP消息透传给BAS,(6)BAS给客户端分配地址,客户端IP地址的分配策略由radius服务器在认证通过响应报文中指定,如radius服务器未指定用户地址分配策略,则根据用户所在域决定;DHCP Server根据用户的地址分配策略,响应用户的DHCP请求,完成客户端的IP地址分配工作,
(7)BAS根据获得的客户端的VLAN号,MAC地址以及分配给用户的IP地址,建立VLAN-MAC-IP三者之间的绑定关系,生成软件VMI条目与硬件流控条目,并向RADIU服务器发计费信息,用户上线,建立vmi绑定关系。
5、由权利要求1所述的802.1x的接入认证方法,其特征是BAS对每个数据包进行VLAN-MAC-IP的绑定表检查,只有通过绑定检查,才允许数据包转发,假如不符合绑定关系,这样的数据包会被丢弃。
6、由权利要求1所述的802.1x的接入认证方法,其特征是假如用户下线,客户端发出802.1x离线请求,BAS收到用户离线请求后,回收用户的IP地址资源,解除该用户的VLAN-MAC-IP的绑定表,清除用户相关软硬件条目,并向radius服务器发送用户计费结束请求报文,用户下线。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610038371 CN1845491A (zh) | 2006-02-20 | 2006-02-20 | 802.1x的接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610038371 CN1845491A (zh) | 2006-02-20 | 2006-02-20 | 802.1x的接入认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1845491A true CN1845491A (zh) | 2006-10-11 |
Family
ID=37064408
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200610038371 Pending CN1845491A (zh) | 2006-02-20 | 2006-02-20 | 802.1x的接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1845491A (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009074108A1 (en) * | 2007-12-07 | 2009-06-18 | Huawei Technologies Co., Ltd. | Interworking 802.1 af devices with 802.1x authenticator |
CN101702716A (zh) * | 2009-11-13 | 2010-05-05 | 中兴通讯股份有限公司 | 一种防止认证用户被攻击的方法及装置 |
CN101207475B (zh) * | 2006-12-15 | 2010-05-26 | 友劲科技股份有限公司 | 一种网络系统的防止非授权连结方法 |
CN102014174A (zh) * | 2010-11-16 | 2011-04-13 | 中兴通讯股份有限公司 | 网络接入方法及网络设备 |
CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
CN102195952A (zh) * | 2010-03-17 | 2011-09-21 | 杭州华三通信技术有限公司 | 触发802.1x认证的方法及设备端 |
CN102378178A (zh) * | 2011-12-09 | 2012-03-14 | 武汉虹旭信息技术有限责任公司 | 一种wlan用户综合认证系统及其方法 |
CN103067348A (zh) * | 2011-10-20 | 2013-04-24 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络有线/无线统一认证漫游方法 |
CN103338440A (zh) * | 2013-07-09 | 2013-10-02 | 杭州华三通信技术有限公司 | 认证系统中的认证方法及设备端 |
CN105592095A (zh) * | 2015-12-31 | 2016-05-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
CN106936804A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
CN107026918A (zh) * | 2016-01-29 | 2017-08-08 | 中国移动通信集团广东有限公司 | 基于动态主机配置协议的web认证计费方法及系统 |
CN107707435A (zh) * | 2017-09-14 | 2018-02-16 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN108076459A (zh) * | 2016-11-08 | 2018-05-25 | 北京华为数字技术有限公司 | 网络接入控制方法、相关设备及系统 |
CN108990050A (zh) * | 2012-12-04 | 2018-12-11 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
CN109617892A (zh) * | 2018-12-26 | 2019-04-12 | 北京城强科技有限公司 | 一种内网边界管控方法 |
CN110301125A (zh) * | 2016-12-22 | 2019-10-01 | Nicira股份有限公司 | 虚拟机的逻辑端口认证 |
CN111654865A (zh) * | 2020-07-31 | 2020-09-11 | 迈普通信技术股份有限公司 | 终端认证方法、装置、网络设备及可读存储介质 |
CN112202799A (zh) * | 2020-10-10 | 2021-01-08 | 杭州盈高科技有限公司 | 一种实现用户和/或终端与ssid绑定的认证系统及方法 |
CN112788006A (zh) * | 2020-12-30 | 2021-05-11 | 锐捷网络股份有限公司 | 免认证mac地址的确定方法及装置 |
-
2006
- 2006-02-20 CN CN 200610038371 patent/CN1845491A/zh active Pending
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101207475B (zh) * | 2006-12-15 | 2010-05-26 | 友劲科技股份有限公司 | 一种网络系统的防止非授权连结方法 |
WO2009074108A1 (en) * | 2007-12-07 | 2009-06-18 | Huawei Technologies Co., Ltd. | Interworking 802.1 af devices with 802.1x authenticator |
CN101702716A (zh) * | 2009-11-13 | 2010-05-05 | 中兴通讯股份有限公司 | 一种防止认证用户被攻击的方法及装置 |
CN101702716B (zh) * | 2009-11-13 | 2013-06-05 | 中兴通讯股份有限公司 | 一种防止认证用户被攻击的方法及装置 |
US9686256B2 (en) | 2010-01-20 | 2017-06-20 | Zte Corporation | Method and system for accessing network through public device |
CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
CN102195952A (zh) * | 2010-03-17 | 2011-09-21 | 杭州华三通信技术有限公司 | 触发802.1x认证的方法及设备端 |
CN102014174A (zh) * | 2010-11-16 | 2011-04-13 | 中兴通讯股份有限公司 | 网络接入方法及网络设备 |
CN103067348A (zh) * | 2011-10-20 | 2013-04-24 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络有线/无线统一认证漫游方法 |
CN102378178A (zh) * | 2011-12-09 | 2012-03-14 | 武汉虹旭信息技术有限责任公司 | 一种wlan用户综合认证系统及其方法 |
CN102378178B (zh) * | 2011-12-09 | 2015-01-28 | 武汉虹旭信息技术有限责任公司 | 一种wlan用户综合认证系统及其方法 |
CN108990050B (zh) * | 2012-12-04 | 2021-07-09 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
CN108990050A (zh) * | 2012-12-04 | 2018-12-11 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
CN103338440B (zh) * | 2013-07-09 | 2016-03-02 | 杭州华三通信技术有限公司 | 认证系统中的认证方法及设备端 |
CN103338440A (zh) * | 2013-07-09 | 2013-10-02 | 杭州华三通信技术有限公司 | 认证系统中的认证方法及设备端 |
CN106936804A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
CN106936804B (zh) * | 2015-12-31 | 2020-04-28 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
CN105592095A (zh) * | 2015-12-31 | 2016-05-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
CN105592095B (zh) * | 2015-12-31 | 2018-09-18 | 迈普通信技术股份有限公司 | 一种网络接入认证方法及接入认证设备 |
CN107026918A (zh) * | 2016-01-29 | 2017-08-08 | 中国移动通信集团广东有限公司 | 基于动态主机配置协议的web认证计费方法及系统 |
CN108076459A (zh) * | 2016-11-08 | 2018-05-25 | 北京华为数字技术有限公司 | 网络接入控制方法、相关设备及系统 |
CN110301125A (zh) * | 2016-12-22 | 2019-10-01 | Nicira股份有限公司 | 虚拟机的逻辑端口认证 |
CN107707435A (zh) * | 2017-09-14 | 2018-02-16 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN107707435B (zh) * | 2017-09-14 | 2020-11-20 | 新华三技术有限公司 | 一种报文处理方法和装置 |
CN109617892A (zh) * | 2018-12-26 | 2019-04-12 | 北京城强科技有限公司 | 一种内网边界管控方法 |
CN109617892B (zh) * | 2018-12-26 | 2021-12-17 | 北京城强科技有限公司 | 一种内网边界管控方法 |
CN111654865A (zh) * | 2020-07-31 | 2020-09-11 | 迈普通信技术股份有限公司 | 终端认证方法、装置、网络设备及可读存储介质 |
CN111654865B (zh) * | 2020-07-31 | 2022-02-22 | 迈普通信技术股份有限公司 | 终端认证方法、装置、网络设备及可读存储介质 |
CN112202799A (zh) * | 2020-10-10 | 2021-01-08 | 杭州盈高科技有限公司 | 一种实现用户和/或终端与ssid绑定的认证系统及方法 |
CN112788006A (zh) * | 2020-12-30 | 2021-05-11 | 锐捷网络股份有限公司 | 免认证mac地址的确定方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1845491A (zh) | 802.1x的接入认证方法 | |
CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
EP1886447B1 (en) | System and method for authentication of sp ethernet aggregation networks | |
US8681800B2 (en) | System, method and apparatus for providing multiple access modes in a data communications network | |
CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
US20090109946A1 (en) | Open-Host Wireless Access System | |
US20030051170A1 (en) | Secure and seemless wireless public domain wide area network and method of using the same | |
CN1265580C (zh) | 一种对网络用户进行认证和业务管理的方法 | |
WO2004105319A1 (fr) | Procede d'acces a large bande et grande capacite et systeme associe | |
EP2051473A1 (en) | Method and system to trace the IP traffic back to the sender or receiver of user data in public wireless networks | |
CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
CN1175626C (zh) | 无线接入设备 | |
CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
CN1553674A (zh) | 宽带接入服务器获取宽带用户接入端口号的方法 | |
CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 | |
CN1581833A (zh) | 公共互联网连接服务系统及接入线连接设备 | |
CN1266889C (zh) | 基于802.1x协议的网络接入设备管理方法 | |
CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
CN100477609C (zh) | 实现网络专线接入的方法 | |
CN100356725C (zh) | 一种网络设备的管理方法 | |
CN1787467A (zh) | 提供多业务应用的网络 | |
Cisco | Managed L2TP Network Server | |
CN101030945A (zh) | PPPoE防止私设服务器和假冒服务器攻击的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20061011 |