WO2003081839A1

WO2003081839A1 - Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x

Info

Publication number: WO2003081839A1
Application number: PCT/CN2003/000203
Authority: WO
Inventors: Ruixin Lu
Original assignee: Huawei Technologies Co., Ltd
Priority date: 2002-03-26
Filing date: 2003-03-19
Publication date: 2003-10-02
Also published as: CN1214597C; AU2003227166A1; US20050080921A1; CN1447570A; BR0308387A

Description

基于 802. IX协议的网络接入设备与客户端握手的实现方法技术领域

本发明涉及网络接入设备与客户端握手的实现方法，尤其是基于

802. IX协议的宽带接入网络中的网络接入设备与客户端握手的实现方法。

背景技术

目前的宽带接入网络中，通常依据基于端口的网络控制协议 802. IX 完成客户端的网络接入控制。在客户端接入网絡过程中，在网絡设备的物理接入级对接入的客户端进行认证和控制，也就是在以太网交换机或宽带接入设备的端口对接入的客户端进行认证和控制。连接在该类端口上的用户设备如果能通过认证，就可以访问网络内的资源；如果不能通过认证，则无法访问网络内的资源。 802. IX的体系结构参考图 2。该体系结构包括三个部分：客户端部分、网络接入设备部分和认证服务器部分。用户接入层设备需要实现 802. IX的网络接入设备端部分，客户端部分一般安装在用户 PC中；认证服务器部分一般驻留在运营商的计费、认证、授权中心。客户端与网络接入设备之间运行 802. IX 定义的客户端与设备端之间的认证协议 ( EAP0L协议）；设备端与认证服务器之间同样运行设备端与认证服务器之间的扩展认证协议（ EAP协议）。网络接入设备部分内部有受控端口和非受控端口，非受控端口始终处于双向连通状态，主要用来传递 EAPOL协议帧，可保证客户端始终可以发出或接受认证；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务；受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。

由上述可知，在基于 802. IX协议的网络接入中只能实现客户端的重认证，而无法实现接入设备与客户端之间的握手，因此将导致运营网络中存在一些严重的缺陷：一是由于在运营网络中时长的统计是根据用户认证通过和注销的间隔时间来计算的，这样，当客户端的异常关机或者客户端运行异常，都将导致客户端无法发出注销消息，进而导致客户端异常情况下按时长计费的偏差。二是导致客户端仿冒问题，例如，一个客户端认证通过后，未注销直接关机，另一个客户端接入后可能顶替前一个客户端访问网络。三是当设备端出现故障时不会提示用户网络故障。

发明内容

本发明的目的在于提供一种基于 802. IX协议的网络接入设备与客户端握手的实现方法，使用该方法可以有效解决基于 802. IX协议的网络计费、安全问题。

为达到上述目的，本发明提供的基于 802. IX协议的网络接入设备与客户端握手的实现方法，包括：

( 1 )客户端向网络接入设备发出包括客户端地址和约定组播地址的认证莆求 4艮文；

( 2 ) 网络接入设备根据上述认证请求报文记录客户端地址，在客户端认证成功后，按照握手时间间隔向客户端发出握手报文，客户端在收到握手报文后，向网络接入设备发出握手响应报文。

步骤（2)所述网络接入设备向客户端发出握手报文为发出采用 802. IX 协议的扩展认证协议的请求认证报文 (EAP- Request/Identity)或地址解析协议（APR, Address Resolve Protocol ) 的请求认证报文（ ARP- Request )。

步骤（ 2 )所述客户端向网络接入设备发出握手响应报文为发出采用 802. IX 协议的扩展认证协议的认证响应 4艮文 ( EAP-Response/Identity ) 或地址解析协议的认证响应^ =艮文 ( ARP-Reponse)。

所述方法还包括：，

在客户端认证成功后，当网入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数，进行客户下线处理。

在客户端认证成功后，当客户端在握手时间间隔内不能收到网络接入设备发出的握手报文超过规定的次数，发出是否重新接入网络的提示。

由于本发明利用客户端向网络接入设备发出的认证请求报文中的接入设备地址和客户端地址，在客户端认证成功后，按照握手时间间隔向客户端发出握手报文，客户端在收到握手报文后立刻向网络接入设备发出握手响应报文，而且上述报文采用 802. IX协议的扩展认证协议的请求认证报文（EAP-Request/Identity)和 802. IX协议的扩展认证协议的响应认证报文（EAP- Response/Identity )或者地址解析协议的 ARP- Reques t和 ARP-Response报文，这样，在设备端扩展出握手机制后，仍然能够支持标准的 802. IX客户端，如 WindowsXP, 避免了大量更换客户端软件造成的困难和费用；当客户端出现异常情况时，例如计算机死机、掉电或异常关机，设备端可以及时检测客户端的状态，从而停止计费，避免造成计费纠纷；另外，原有的 802. IX 体系定义的重认证机制的时间间隔较长，因此在重认证间隔内，客户端存在仿冒的可能，如果利用重认证机制来防止客户端仿冒，必须将重认证间隔时间降到较低的程度，例如秒级，由于在运营网络上由于存在大量的客户端，大量的认证报文将淹没认证服务器，造成资源拥塞，实际上是不可行的，而本发明采用的 EAP方式的握手报文与重认证发起报文完全相同，设备端根据状态机状态的不同区分是重认证还是握手，做到完全兼容 802. IX协议描述的重认证机制，同时网络设备端和客户端之间握手的实现，可以及时发现仿冒的客户端，从而可以提高网络的安全度。

附图说明

图 1是本发明所述方法实施例流程图；

图 2是 802. IX协议的体系结构图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细的描述。

本发明的实质在于扩展了标准 802. IX协议的使用方式，利用标准协议报文实现了与重认证兼容的握手机制，使得当客户端异常时，接入设备能主动发现，并自动停止计费，同时还可以记录辨识客户端的物理地址，从而识別^ -冒用户。

图 1是本发明所述方法实施例流程图。按照图 1实施本发明，首先要设定握手时间间隔，当客户端需要接入网络时，在步骤 1向网络接入设备发出包括客户端地址和约定组播地址的认证请求报文；该步驟实质上为客户端认证过程中发出认证请求报文的步骤。上述报文就是 EAP0L协议报文。然后在步骤 2, 网络接入设备根据上述认证请求报文记录上述客户端地址。与本步骤同时进行的是客户端的认证操作，由于只有在客户端认证通过后才能进行接入设备与客户端之间的握手操作，因此在步骤 3判断客户端的认证是否成功，如果未成功，同时结束认证和握手操作，如果客户端认证成功，则在步骤 4接入设备按照设定的握手时间间隔按照步骤 1 记载的客户端地址以单播方式向客户端发出握手报文，客户端在收到握手报文后，也按照设定的握手时间间隔按照接入设备的地址向网络接入设备发出握手响应报文。本步骤中的网络接入设备向客户端发出握手报文有两种类型： EAP 艮文握手和 ARP报文握手；

EAP报文握手类型为网络接入设备发出采用 802. IX协议的扩展认证协议的请求认证报文（EAP- Reques t/Identi ty ), 所述客户端回应握手响应报文为 802. IX 协议的扩展认证协议的响应认证报文 ( EAP - Response/Ident i ty )

ARP 报文握手为采用 ARP 协议的设备端发出的请求认证报文

( ARP - Reques t ), 对应的客户端响应艮文为 ARP - Response。

在步骤 5接入设备和客户端分别进行握手的处理操作。该步驟所述的操作对于接入设备来说，要继续不断地按照设定的握手时间间隔发送握手报文，当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数，例如 3次，则认为客户端离线，进行客户下线处理，在下线处理过程中完成计费停止操作。

步驟 5所述的操作对于客户端来说，也要继续不断地按照设定的握手时间间隔发送握手响应报文，如果客户端在握手时间间隔内，例如 5秒，不能收到网络接入设备发出的握手报文超过规定的次数，例如 3次，则认为自己离线，因此发出是否重新接入网络的提示信息供操作者选择。

图 1所述实施例指出的网络接入设备为网络交换机，例如以太网交换机。

从图 1所述实施例可知，本发明的网络接入设备与客户端握手的实现方法与客户端的认证过是相兼容的，本发明利用了客户端的认证过程提供的接入设备和客户端的地址信息，在客户端认证通过后，继续进行网络接入设备与客户端握手的操作。由于握手操作采用的是 802. IX协议中定义的标准报文或客户端普遍支持的 ARP协议报文，因此在 802. IX接入设备端扩展了上述握手操作后，客户端不需要做任何修改，就可以支持扩展握手功能的接入设备端。

Claims

权利要求

1、一种基于 802. IX协议的网络接入设备与客户端握手的实现方法，包括：

( 1 )客户端向网絡接入设备发出包括客户端地址和约定组播地址的认证请求艮文；

2、根据权利要求 1所述的网络接入设备与客户端握手的实现方法，其特征在于：所述方法还包括设定握手时间间隔。

3、根据权利要求 2所述的网络接入设备与客户端握手的实现方法，其特征在于：步骤（2 ) 中网络接入设备以单播方式向客户端发出握手报文。

4、根据权利要求 1、 2或 3所述的网絡接入设备与客户端握手的实现方法，其特征在于：步骤（2 )所述网络接入设备向客户端发出握手报文为发出采用 802. IX协议的扩展认证协议的请求认证报文 ( EAP-Reques t/Ident i ty )。

5、根据权利要求 4所述的网络接入设备与客户端握手的实现方法，其特征在于：步骤（2 )所述客户端向网络接入设备发出握手响应报文为发出采用 802. IX 协议的扩展认证协议的认证响应报文 ( EAP- Response/Ident i ty )。

6、根据权利要求 5所述的网络接入设备与客户端握手的实现方法，其特征在于所述方法还包括：在客户端认证成功后，当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数，进行客户下线处理。

7、根据权利要求 6所述的网络接入设备与客户端握手的实现方法，其特征在于所述方法还包括：在客户端认证成功后，当客户端在握手时间间隔内不能收到网.络接入设备发出的握手报文超过规定的次数，发出是否重新接入网络的提示。

8、根据权利要求 7所述的网络接入设备与客户端握手的实现方法，其特征在于：所述网络接入设备为网絡交换机。

9、根据权利要求 1、 2或 3所述的网络接入设备与客户端握手的实现方法，其特征在于：步骤（2 )所述网络接入设备向客户端发出握手才艮文为发出采用地址解析协议的请求认证报文 ( ARP- Reques t )。

10、根据权利要求 9所述的网络接入设备与客户端握手的实现方法，其特征在于：步骤（ 2 ) 所述客户端向网络接入设备发出握手响应报文为发出釆用地址解析协议的认证响应报文（ ARP- Reponse )„