專利名稱:基于以太網認證系統(tǒng)的認證方法
技術領域:
本發(fā)明涉及數據通信領域的認證方法�,具體地說,涉及一種承載在鑒權用高層協(xié)議上的擴展認證協(xié)議(EAP)的認證方法�。
背景技術:
如圖1所示的以太網組網圖,計算機以有線方式與以太網交換機相連�,或者以無線方式與無線接入點AP相連,再通過以太網線路接到核心網中�����,如企業(yè)局域網或城域網等�,在網絡中通常設有遠端用戶撥入鑒權服務(Remote Authentication Dialin User Service,簡稱RADIUS)認證服務器來驗證計算機用戶身份的合法性�����。在實際的組網中���,PC可直接連在以太網交換機上����,也可以通過集線器�、以太網交換設備等級聯(lián)到以太網交換機上���,還可以通過甚高速數字用戶線路(Very High Speed Digital Subscriber Line,簡稱VDSL)和VDSL交換機相連����,其中在VDSL線路中傳遞的是以太網格式的報文。在無線局域網中���,可采用IEEE(Institute of Electrical and ElectronicsEngineers��,電氣和電子工程師學會)802.11�����、802.11a���、802.11b、802.11g等無線以太網協(xié)議來連接PC和AP���。
802.1x協(xié)議稱為基于端口的訪問控制協(xié)議��,是一種基于以太網技術的認證協(xié)議����,802.1x以其協(xié)議安全、實現簡單的特點���,與其他認證協(xié)議一起,為使用不對稱數字用戶線(Asymmetric Digital Subscriber Line�,簡稱ADSL)、VDSL���、局域網(Local Area Network����,簡稱LAN)�、無線局域網(Wireless LocalArea Network,簡稱WLAN)等多種寬帶接入方式的用戶提供了豐富的認證方式���。
擴展認證協(xié)議(Extensible Authentication Protocol��,簡稱EAP)認證是為點到點協(xié)議(Point-to-Point Protocol�,簡稱PPP)設計的一種新的認證構架���,可以包括很多種認證方式���,比如常用的EAP-MD5(Message Digest 5���,消息摘要5,一種加密算法)����、EAP-TLS(Transport Layer Security,傳輸層安全)等等��。802.1x提供了EAPoL(EAP over LAN�,局域網承載EAP協(xié)議)的封裝,以及支撐EAP認證的構架��,而EAP隨著802.1x協(xié)議的發(fā)展����,也有了大量的應用��。
802.1X認證系統(tǒng)包括三個重要的組成部分認證請求者���、認證點和認證服務器��,如圖2所示�。
認證請求者一般為一個用戶終端系統(tǒng),通常要安裝一個認證請求者軟件,用戶通過啟動這個認證請求者軟件發(fā)起802.1x協(xié)議的認證過程�����。為支持基于端口的接入控制���,認證請求者需支持EAPoL協(xié)議�。
認證點通常為支持802.1x協(xié)議的網絡設備����。認證請求者通過認證點接入局域網的網絡接入端口����,該網絡接入端口可以是認證點的物理端口,也可以是認證請求者的媒質接入控制(Media Access Control,簡稱MAC)地址�����。網絡接入端口被劃分成兩個虛端口受控端口和非受控端口��。非受控端口始終處于雙向連通狀態(tài)����,主要用來傳遞EAPoL認證報文,保證認證請求者始終可以發(fā)出或接受認證����。受控端口則用于傳遞業(yè)務報文,在未授權狀態(tài)下被阻塞�����,在授權狀態(tài)下連通����。為適應不同的應用環(huán)境��,受控端口的操作受控方向可配置為雙向受控和單向受控兩種方式�����。圖2中�,認證點的受控端口處于未認證���、未授權狀態(tài)���,因此認證請求者無法訪問認證點提供的服務。
認證服務器通常為RADIUS服務器�,用于存儲有關認證請求者的信息,比如認證請求者的承諾訪問速率(Committed Access Rate�,簡稱CAR)參數、優(yōu)先級�、認證請求者的訪問控制列表等等����。當認證請求者通過認證后,認證服務器把認證請求者的相關信息傳遞給認證點�����,由認證點構建動態(tài)的訪問控制列表,認證請求者的后續(xù)流量接受上述參數的監(jiān)管����。
認證點的端口認證實體(Port Authentication Entity,簡稱PAE)通過非受控端口與認證請求者PAE進行通信�,二者之間運行EAPoL協(xié)議;認證點PAE與認證服務器之間運行EAP協(xié)議���。如果認證點PAE和認證服務器集成在同一個系統(tǒng)內��,那么兩者之間的通信可以不采用EAP協(xié)議����。
在802.1x協(xié)議中使用了EAP認證方式�。用戶提供用戶名、用戶密碼等認證信息���,通過802.1x協(xié)議中包含的某種EAP認證方式�,到認證點進行用戶身份合法性的認證�。常用的EAP認證方式有MD5、TLS�����、一次性密碼(OneTime Password,簡稱OTP)���、用戶識別卡(Subscriber Identification Module�,簡稱SIM)等等�。當認證點收到用戶的認證信息后,通過承載在RADIUS協(xié)議上的EAP(EAP over RADIUS���,簡稱EAPoR)協(xié)議到對應的認證服務器上進行認證����。
下面以EAP-MD5為例描述802.1x認證方法��。實際使用時�,可以使用所有802.1x的認證方式。圖3為EAP-MD5認證方法的示意圖�����。當認證請求者和認證點之間建立好物理連接后���,認證請求者向認證點發(fā)送一個EAPoL開始報文,啟動802.1x認證��,認證點向認證請求者發(fā)送EAP認證請求報文,要求認證請求者提交用戶名��。認證請求者回應一個EAP認證應答報文給認證點��,該應答報文中包含用戶名信息����。認證點以EAPoR報文格式向RADIUS認證服務器發(fā)送含有EAP認證應答報文的訪問請求報文,將用戶名提交給RADIUS認證服務器��。RADIUS認證服務器產生一個128位的質詢�����,并向認證點回應一個訪問質詢報文�,里面含有EAP-MD5質詢請求報文。認證點將EAP-MD5質詢請求報文發(fā)送給認證請求者��,認證請求者收到后�,將密碼和質詢采用MD5算法進行加密,產生質詢密碼�����,并通過EAP-MD5質詢應答報文把質詢密碼發(fā)送給認證點�����。認證點將質詢密碼通過訪問請求報文送到RADIUS認證服務器,由RADIUS認證服務器進行認證�,RADIUS認證服務器根據存儲的認證請求者信息判斷該認證請求者是否合法,然后回應認證成功/失敗報文到認證點���;如果認證成功��,則RADIUS認證成功報文中還含有用于認證請求者授權的協(xié)商參數以及認證請求者的相關業(yè)務屬性�。認證點根據認證結果���,向認證請求者回應EAP成功/失敗報文�,通知認證請求者認證結果��。如果認證成功�,則對認證請求者進行地址分配,然后進行授權�����、計費等流程���。
802.1x協(xié)議建議認證在最接近用戶的設備上實現���,所以802.1x認證一般在以太網交換機或AP上實現。
對于一般的企業(yè)網��,如圖4所示�,由于只需保證企業(yè)網用戶接入企業(yè)網絡中,則可以使用802.1x認證方法對用戶在AP或者以太網交換機上進行認證�。而對于需要管理用戶的網絡,如運營商網絡���,則不僅要對用戶進行認證�,而且要實現對單個用戶進行計費��、帶寬管理�、訪問控制、業(yè)務管理等功能����,其網絡圖如圖5所示,在以太網交換機或AP與核心網之間增加了控制設備���,如接入控制器或寬帶接入服務器等�,用于提供對網絡強管理的功能��。
然而,在圖5的網絡中���,AP或以太網交換機用于實現802.1x認證����,強管理功能在控制設備上完成�,認證點與控制點之間信息的分離,用戶的認證信息沒有從認證點送到控制點上����,用戶的授權、計費信息也沒有送到控制點����,控制點只能針對網絡或者子網進行管理而不能針對每個用戶進行管理,因此無法達到控制點對用戶實現強管理功能的目的�����。
目前的認證方法較多�����,同一網絡中的每個用戶都會按照自己的需要采用某種認證方法,由于802.1x認證在AP或以太網交換機上實現�����,而其他認證如PPPoE(PPP Over Ethernet����,以太網承載PPP協(xié)議)認證�、WEB認證在控制點上實現,那么對于采用以太網技術的系統(tǒng)��,按照標準的802.1x認證方式�,只有在通過802.1x認證后才能夠通過其他報文,因此無法支持同時存在多種認證方法���。
同時��,在WLAN中��,用戶通過無線接入到AP,當用戶切換時,即用戶從一個AP漫游到另外一個AP時��,一般會按照802.1x進行重認證。普通的重認證實際上就是一次標準的認證過程����,這樣造成切換時間較長�,明顯影響了客戶業(yè)務�����。
發(fā)明內容
本發(fā)明所要解決的技術問題在于提供一種基于以太網認證系統(tǒng)的認證方法,使系統(tǒng)中的控制點參與認證過程����,獲得認證請求者的認證���、授權信息����,從而實現對每個認證請求者的管理����,同時解決認證系統(tǒng)同時存在多種認證方式的認證問題,并且解決WLAN用戶在切換無線接入點時進行重認證造成切換時間長的問題�����。
本發(fā)明是通過以下技術方案實現的基于以太網認證系統(tǒng)的認證方法�,所述認證系統(tǒng)包括認證請求者、認證點、控制點和認證服務器,所述認證請求者與所述認證點之間采用局域網承載擴展認證協(xié)議進行通訊,所述認證點與所述控制點之間、所述控制點與所述認證服務器之間采用承載在鑒權用高層協(xié)議上的擴展認證協(xié)議進行通訊���,所述認證方法包括以下步驟步驟1��,認證請求者發(fā)起認證開始報文���,啟動認證�;步驟2���,認證點處理認證開始報文���,獲得含有認證請求者身份認證信息的擴展認證協(xié)議響應報文���;步驟3,認證點將所述擴展認證協(xié)議響應報文封裝到鑒權用高層協(xié)議訪問請求報文中�����,發(fā)送給控制點��;步驟4��,控制點獲取報文信息,并將所述訪問請求報文發(fā)送給認證服務器����;步驟5,認證服務器產生含有某種擴展認證方式請求報文的鑒權用高層協(xié)議訪問請求報文�����,發(fā)送給控制點;步驟6��,控制點獲取報文信息,將報文轉發(fā)給認證點;步驟7��,認證點取出擴展認證方式請求報文,發(fā)送給認證請求者;步驟8,認證請求者按照指定的擴展認證方式進行認證處理���,向認證點發(fā)送請求應答報文����;步驟9��,認證點將請求應答報文封裝到鑒權用高層協(xié)議訪問請求報文中��,發(fā)送給控制點���;步驟10����,控制點獲取報文信息后����,將報文轉發(fā)給認證服務器�����;
步驟11,認證服務器進行認證,向控制點返回鑒權用高層協(xié)議認證成功/失敗報文�����;步驟12����,控制點獲取報文信息,將報文轉發(fā)給認證點��;步驟13�,認證點取出認證成功/失敗報文發(fā)送給認證請求者�。
所述步驟2進一步包括認證點向認證請求者發(fā)送提交身份認證信息的擴展認證協(xié)議請求報文�����;認證請求者回應含有身份認證信息的擴展認證協(xié)議響應報文給認證點��。
所述步驟2進一步包括認證點將收到的認證請求報文透傳給控制點;控制點向認證點發(fā)送請求提交身份認證信息的報文����;認證點將上述報文透傳給認證請求者;認證請求者回應含有身份認證信息的報文給認證點��。
在所述步驟2之前還包括認證點收到認證開始報文后��,識別認證請求者是802.1x認證請求者或非802.1x認證請求者����;如果是802.1x認證請求者�,則執(zhí)行步驟2;如果是非802.1x認證請求者����,則不對認證點的端口進行控制,認證點將認證請求報文發(fā)送給控制點��,控制點按照該認證的標準流程進行認證���。
在上述方法中���,所述控制點或認證點保存認證請求者進行第一次認證時的信息,包括用戶名��、用戶MAC地址、用戶密碼��、認證結果中的用戶權限���。
如果控制點保存認證請求者進行第一次認證時的信息��,則所述認證方法還包括如果認證請求者在不同的認證點之間進行切換時�,通過控制點進行重認證的步驟包括新認證點向認證請求者發(fā)送提交身份認證信息的請求報文�����;認證請求者回應含有身份認證信息的應答報文����;新認證點將含有身份認證信息的應答報文封裝到鑒權用高層協(xié)議訪問請求報文中,發(fā)送給控制點���;控制點根據保存的認證請求者的信息���,產生含有加密算法質詢請求報文的訪問質詢報文,發(fā)送給新認證點�����;新認證點將加密算法質詢請求報文發(fā)送給認證請求者;認證請求者進行加密運算�,向新認證點發(fā)送加密算法質詢應答報文;新認證點將質詢應答報文封裝到鑒權用高層協(xié)議訪問請求報文中�,發(fā)送給控制點;控制點根據保存的認證請求者信息�,判斷認證請求者是否合法,向新認證點回應認證成功/失敗報文�;新認證點將成功/失敗報文回應給認證請求者。
如果認證點保存認證請求者進行第一次認證時的信息�����,則所述認證方法還包括如果認證請求者在不同的認證點之間進行切換時����,通過認證點進行重認證的步驟包括新認證點向認證請求者發(fā)送提交身份認證信息的請求報文�;認證請求者回應含有身份認證信息的應答報文給新認證點;新認證點根據報文中提供的舊認證點的地址信息��,向舊認證點發(fā)起獲取認證請求者對應的第一次認證信息的請求�;舊認證點將含有認證請求者認證信息的應答報文返回給新認證點;新認證點根據歷史認證過程中保存的信息�����,產生含有加密算法的質詢請求報文,發(fā)送給認證請求者����;認證請求者進行加密運算,將質詢應答報文發(fā)送給新認證點�����;新認證點根據歷史認證過程中保存的信息���,判斷認證請求者是否合法����,然后回應認證成功/失敗報文給認證請求者�����。
通過上述技術方案可知�����,本發(fā)明具有如下優(yōu)點1��、控制點通過參與認證過程,進行EAP認證��,同步獲得認證請求者的認證�����、授權信息���,從而可以對每個認證請求者進行管理�。
2��、認證點對非802.1x認證的網絡報文進行透明傳輸�,使得多種認證方式可以同時存在。
3���、對于WLAN用戶由于切換帶來的重認證����,由控制點或認證點代替認證服務器進行認證���,實現了快速重認證,大大縮短了切換時間��。
圖1為一般以太網的組網示意圖;圖2為IEEE 802.1X認證系統(tǒng)體系結構��;圖3為現有的EAP-MD5認證方法的示意圖����;圖4為普通企業(yè)網的示意圖;
圖5為運營商網絡的示意圖�;圖6為本發(fā)明方法應用的基于802.1x的認證系統(tǒng)的架構示意圖;圖7為圖6所示認證系統(tǒng)的功能實體協(xié)議棧示意圖����;圖8是本發(fā)明認證方法的流程圖;圖9為本發(fā)明一個具體實施例的認證示意圖���;圖10是本發(fā)明另一個具體實施例的認證示意圖�;圖11為本發(fā)明方法中在控制點進行快速重認證的示意圖����;圖12為本發(fā)明方法中在認證點進行快速重認證的示意圖;圖13為本發(fā)明方法中正常下線的流程示意圖�����;圖14為本發(fā)明方法中異常下線的流程示意圖�����。
具體實施例方式
以下,結合具體實施例并參照附圖��,對本發(fā)明做進一步的詳細說明�。
圖1至圖5為本發(fā)明現有技術的示意圖,已在前面詳細介紹過�,此處不再贅述。
如圖6所示的基于802.1x的認證系統(tǒng)架構�����,包括認證請求者�����、認證點���、控制點和認證服務器��。認證請求者對應客戶終端�,認證點對應無線接入點AP或以太網交換機���,控制點對應接入控制器AC或寬帶接入服務器��,認證服務器對應AAA(Authentication��,Authorization and Accounting�,認證����、授權和計費)服務器。本發(fā)明方法除了在認證點上進行802.1x認證外�,同時還在控制點上進行EAP認證,使得控制點和認證點同步獲取用戶認證���、授權信息�。
如圖7所示��,認證請求者支持EAPoL協(xié)議����,認證點支持EAPoL和EAPoR協(xié)議,控制點支持EAPoR協(xié)議��,認證服務器支持EAPoR協(xié)議����。此外��,EAP還可承載在其他類似RADIUS協(xié)議的鑒權用高層協(xié)議上��,如Diameter協(xié)議�,又稱RADIUS擴展AAA協(xié)議�����,這是一種新的兼容RADIUS協(xié)議的認證�、授權和計費協(xié)議,對于此協(xié)議���,本發(fā)明的認證方法也同樣適用��。為簡便說明���,下述實施例是基于EAPoR協(xié)議的認證方法過程。
圖8是本發(fā)明的認證方法示意圖�����,認證系統(tǒng)利用EAP協(xié)議的擴展能力可以選用不同的認證算法����,下面以EAP-MD5的802.1x認證流程為例�,詳細介紹本發(fā)明的方法����,如圖9所示���。
用戶終端向AP發(fā)起EAPoL開始報文����,啟動802.1x認證��。AP向用戶終端發(fā)送EAP身份認證請求報文�,要求認證請求者發(fā)來用戶名。認證請求者向AP回應一個EAP身份認證應答報文����,其中包含有用戶名。AP將EAP身份認證應答報文封裝到RADIUS訪問請求報文中����,發(fā)送給AC,AC獲得EAP報文信息以及RADIUS報文信息���,然后將RADIUS訪問請求報文轉發(fā)給認證服務器���。認證服務器收到RADIUS訪問請求報文后�����,向AC發(fā)送產生RADIUS訪問質詢報文��,其中含有EAP-MD5質詢請求��。AC收到訪問質詢報文后�����,獲取相應的報文信息后��,然后轉發(fā)給AP��,AP將報文中的EAP-MD5質詢請求發(fā)送給用戶終端�,請求質詢�。用戶終端收到EAP-MD5質詢請求報文后,將密碼和質詢進行MD5運算�,之后通過EAP-MD5質詢應答報文將質詢、質詢密碼和用戶名發(fā)送給AP�����。AP將EAP-MD5質詢應答報文封裝到RADIUS訪問請求報文中,發(fā)送給AC�,AC獲取相應的報文信息后,將其轉發(fā)給認證服務器進行認證���。認證服務器根據用戶信息判斷用戶是否合法��,然后回應認證成功/失敗報文到AC;如果認證成功���,則在RADIUS報文中含有給用戶授權的協(xié)商參數和用戶的相關業(yè)務屬性��。AC獲取相應的報文信息后���,轉發(fā)給AP,AP將EAP-成功/失敗回應給認證請求者用戶終端�,表明認證成功或失敗。
在上述認證流程中�����,AC采用兩種方式獲取報文信息數據報文偵聽的方式和作為AP的代理的方式���。
對于數據報文偵聽方式�,AP發(fā)送的報文的目的地址是認證服務器,AC須配置與AP�����、認證服務器相同的保證RADIUS報文安全性的密鑰���。進行數據報文偵聽時�,可以對所有的數據報文進行偵聽����,也可以選擇偵聽指定的AP或者認證服務器的數據報文。AC將接收到的報文進行存儲�,然后轉發(fā);或者將接收到的報文存儲后���,根據需要重新組包后轉發(fā)�。
如果AC采用作為AP的代理的方式獲取報文信息���,例如RADIUS代理���,則AP將AC當作一個RADIUS服務器����,AP發(fā)送的報文的目的地址是控制點AC�,所有的報文都直接發(fā)送到AC的RADIUS端口上,AC按照標準的RADIUS服務器功能接收���、修改���、發(fā)送報文。AC接收到報文后��,進行存儲�����,然后重新組包后轉發(fā)����;或者將接收到的報文存儲后�����,直接轉發(fā)����。
采用上述方法�����,控制點保存有所有用戶的認證���、授權信息,這樣可以將EAPoR認證與AC本身的強管理功能很好地結合起來���。
由于802.1x認證是針對MAC地址對應的邏輯端口�,在認證通過后認證請求者獲得IP地址����,認證點必須讓匹配用戶MAC地址的報文通過,MAC地址是識別用戶邏輯端口的標識�,因此802.1x協(xié)議規(guī)定在EAPoR認證時,必須在RADIUS報文中增加認證請求者的MAC(Medium Access Control�,媒質接入控制)地址屬性,可以使用RADIUS協(xié)議中的呼叫點標識(Calling-Station-ID)屬性�����,也可以使用其他屬性�。在每一個802.1x報文中��,都包括了認證請求者的MAC地址���。如果認證請求者在認證通過后才能獲得IP地址�����,那么必須在RADIUS報文中增加MAC地址屬性����。如果認證請求者在認證前已獲得IP地址,則可以直接使用IP地址作為識別用戶邏輯端口的標識����。
對認證請求者的認證成功后�,認證請求者可以獲取IP地址,建立以太網MAC層以上的網絡層服務��,開展上網應用����,控制點開始對認證請求者實現管理�,如計費����。計費可以是在認證服務器返回認證成功的報文后�,在認證點或者控制點啟動;也可以在認證成功后�,且認證請求者的網絡層服務建立后,在認證點或者控制點啟動�。當在認證點上發(fā)送計費報文時,控制點可以對計費信息進行偵聽�。
在本發(fā)明中,由于控制點加入認證過程�,可以支持多種的認證方式。為了達到此目的����,應當對認證點的端口不進行控制�,即認證請求者的所有報文都可以通過認證點到達控制點,這樣,所有的認證請求者的控制都在控制點上�����,實現了同時支持多種認證。特別的,對于有些網絡���,其控制點同時也接入了802.1x認證方式�����,此時在控制點基于802.1x的認證和基于EAPoR的認證可以共存�����,在這種情況下��,認證點透傳802.1x報文��,由控制點來完成802.1x認證����,如圖10所示。總之,如果在認證點上進行802.1x認證����,同時在控制點上進行EAPoR認證,則該認證點可以按照802.1x進行端口控制���,也可以不對端口進行控制��;如果在認證點上進行802.1x認證�,在控制點上不僅進行EAPoR認證,而且還要進行其他認證如PPPoE���、WEB認證時����,即連接到認證點的任意用戶可以在任意時候選擇任意認證方式,則認證點可根據需要���,對802.1x認證和非802.1x認證選擇是否進行端口控制�。
在認證點AP處�����,為了區(qū)別AP上認證的信息和控制點上認證的信息���,首先根據以太網報文頭中的類型字段和/或以太網報文頭中的目的地址判斷用戶是否進行802.1x認證��,以此來區(qū)別是802.1x認證請求者還是非802.1x認證請求者�;也可以通過其他方式識別�,如根據WLAN用戶的服務集標識SSID進行區(qū)別���。然后將802.1x認證用戶的所有網絡報文和其他用戶的所有網絡報文打上不同的標記��,包括但不限于使用符合802.1x標準的不同的VLAN標簽�����。比如,使用802.1x認證用戶的所有報文都打一個VLAN標簽,其他用戶使用另外一個VLAN標簽��。這樣���,控制點就可以通過區(qū)別不同的VLAN標簽進行相應的管理�����,如對802.1x認證的用戶的報文進行透傳而不做任何處理����,而對其他用戶����,則按照相應的認證流程在控制點上做認證��。
在WLAN中�,用戶通過無線接入到AP����,當用戶切換時����,即用戶從一個AP漫游到另外一個AP時����,一般會按照802.1x進行重認證����,這樣造成用戶切換時間較長�����。本發(fā)明通過將用戶第一次認證時的信息,包括但不限于用戶名��、用戶MAC地址����、用戶密碼�、認證結果中包括的用戶權限如帶寬限制��、訪問控制、加密密鑰等信息,保留在某一個設備上�����,比如AP或者AC���,當用戶需要重認證時�,直接將原有的認證結果返回�����,達到快速重認證的目的�。在進行快速重認證時��,不同的AP之間通過認證點間協(xié)議(Inter-Access PointProtocol����,簡稱IAPP)獲得認證請求者第一次認證時保存的信息����。
下面根據圖11說明在AC處保存認證信息����,進行快速重認證的方法����。本實施例中��,重認證是由AP發(fā)起的。
用戶在線,開展網絡應用,由于某種原因發(fā)起重認證,AP向用戶終端發(fā)送EAP身份認證請求報文���,要求用戶終端發(fā)送用戶名�。用戶終端回應一個EAP身份認證應答報文,報文中包括用戶名,AP將EAP身份認證應答報文封裝到RADIUS訪問請求報文中���,發(fā)送給AC。AC根據歷史認證過程中保存的信息,產生RADIUS訪問質詢報文,發(fā)送給AP��,在報文中含有EAP-MD5質詢請求�����。AP將EAP-MD5質詢請求報文發(fā)送給用戶終端�,用戶終端收到EAP-MD5質詢請求報文后���,將密碼和質詢進行MD5運算���,之后通過EAP-MD5-質詢應答報文將質詢�、質詢密碼和用戶ID發(fā)送給AP。AP將EAP-MD5質詢應答報文封裝到RADIUS訪問請求報文中����,發(fā)送給AC���,AC根據歷史認證過程中保存的信息�,判斷用戶是否合法,然后回應認證成功/失敗報文到AP,如果認證成功�,則RADIUS報文中含有給用戶授權的協(xié)商參數和用戶的相關業(yè)務屬性��。AP將EAP-成功/失敗回應給用戶終端,表明認證成功或失敗。
AP處保存認證信息提供快速重認證功能的認證步驟與AC類似���,如圖12所示��,當用戶終端在兩個AP之間切換時��,為說明方便����,切換前的AP稱為舊AP�����,切換后的AP稱為新AP��。新AP向用戶終端發(fā)送EAP身份認證請求報文,要求用戶終端發(fā)送用戶名,用戶終端回應一個EAP身份認證應答報文給新AP��,報文中包括用戶名����。新AP根據用戶報文中提供的舊AP地址信息��,向舊AP發(fā)起信息請求�����,請求用戶終端對應的第一認證的信息。特別的�����,新AP和舊AP之間可以通過配置共享密鑰方式以保證網絡安全����,或者也可以通過其他鑒權服務器來保證兩個AP之間的安全性。舊AP將信息請求應答報文返回給新AP���,包括用戶的信息,如加密密鑰、用戶權限等���。新AP根據歷史認證過程中保存的信息����,產生RADIUS訪問質詢報文�,發(fā)送給用戶終端����,在報文中含有EAP-MD5質詢請求��。用戶終端收到EAP-MD5質詢請求報文后��,將密碼和質詢進行MD5運算�����,之后通過EAP-MD5-質詢應答報文將質詢�����、質詢密碼和用戶ID發(fā)送給新AP。新AP根據歷史認證過程中保存的信息,判斷用戶是否合法,然后回應認證成功/失敗報文到用戶終端��,如果認證成功,則RADIUS報文中含有給用戶授權的協(xié)商參數和用戶的相關業(yè)務屬性���。
用戶下線流程包括用戶主動下線和異常下線兩類情況���。用戶主動下線流程如圖13所示,用戶終端通過客戶端軟件,主動向認證點發(fā)送EAPoL下線消息����,認證點向AC發(fā)送計費停止請求的報文�����。AC將報文轉發(fā)給認證服務器��,認證服務器向AC返回計費停止請求報文的回應��,AC將報文轉發(fā)給認證點���。
異常下線流程如圖14所示,認證點定時檢測用戶����,如果發(fā)現用戶不在線�,則向AC發(fā)送計費停止請求的報文���;AC將報文轉發(fā)給認證服務器�。認證服務器向AC回計費停止請求報文的回應,AC將報文轉發(fā)給認證點。
在802.1x認證和其他如WLAN結合時����,在認證成功后返回的RADIUS報文中有授權信息屬性��,常見的包括用戶權限(帶寬限制�����、訪問控制)�����、加密密鑰等����,這些信息用于用戶控制和安全保障等����。
最后所應說明的是��,以上實施例僅用以說明本發(fā)明的技術方案而非限制����,盡管參照較佳實施例對本發(fā)明進行了詳細說明��,本領域的普通技術人員應當理解��,可以對本發(fā)明的技術方案進行修改或者等同替換�����,而不脫離本發(fā)明技術方案的精神和范圍�,其均應涵蓋在本發(fā)明的權利要求范圍當中���。
權利要求
1.一種基于以太網認證系統(tǒng)的認證方法����,所述認證系統(tǒng)包括認證請求者、認證點���、控制點和認證服務器,所述認證請求者與所述認證點之間采用局域網承載擴展認證協(xié)議進行通訊��,所述認證點與所述控制點之間、所述控制點與所述認證服務器之間采用承載在鑒權用高層協(xié)議上的擴展認證協(xié)議進行通訊��,所述認證方法包括以下步驟步驟1�����,認證請求者發(fā)起認證開始報文,啟動認證���;步驟2���,認證點處理認證開始報文,獲得含有認證請求者身份認證信息的擴展認證協(xié)議響應報文�;步驟3��,認證點將所述擴展認證協(xié)議響應報文封裝到鑒權用高層協(xié)議訪問請求報文中���,發(fā)送給控制點;步驟4,控制點獲取報文信息���,并將所述訪問請求報文發(fā)送給認證服務器���;步驟5�����,認證服務器產生含有某種擴展認證方式請求報文的鑒權用高層協(xié)議訪問請求報文��,發(fā)送給控制點�����;步驟6,控制點獲取報文信息�,將報文轉發(fā)給認證點�����;步驟7����,認證點取出擴展認證方式請求報文,發(fā)送給認證請求者;步驟8��,認證請求者按照指定的擴展認證方式進行認證處理���,向認證點發(fā)送請求應答報文�;步驟9��,認證點將請求應答報文封裝到鑒權用高層協(xié)議訪問請求報文中����,發(fā)送給控制點;步驟10�����,控制點獲取報文信息后��,將報文轉發(fā)給認證服務器�;步驟11���,認證服務器進行認證�,向控制點返回鑒權用高層協(xié)議認證成功/失敗報文���;步驟12,控制點獲取報文信息��,將報文轉發(fā)給認證點���;步驟13���,認證點取出將認證成功/失敗報文發(fā)送給認證請求者。
2.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于,所述鑒權用高層協(xié)議是遠端用戶撥入鑒權服務協(xié)議或者是Diameter協(xié)議����。
3.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法����,其特征在于,所述擴展認證方式是消息摘要5加密算法擴展認證方式或傳輸層安全擴展認證方式或一次性密碼擴展認證方式或用戶識別卡擴展認證方式。
4.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于,所述步驟2進一步包括認證點向認證請求者發(fā)送提交身份認證信息的擴展認證協(xié)議請求報文����;認證請求者回應含有身份認證信息的擴展認證協(xié)議響應報文給認證點��。
5.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法��,其特征在于�����,所述步驟2進一步包括認證點將收到的認證請求報文透傳給控制點�����;控制點向認證點發(fā)送請求提交身份認證信息的報文���;認證點將上述報文透傳給認證請求者���;認證請求者回應含有身份認證信息的報文給認證點�����。
6.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法��,其特征在于��,在所述步驟2之前還包括認證點收到認證開始報文后���,識別認證請求者是802.1x認證請求者或非802.1x認證請求者;如果是802.1x認證請求者��,則執(zhí)行步驟2�����;如果是非802.1x認證請求者�,則不對認證點的端口進行控制,認證點將認證請求報文透傳給控制點����,控制點按照該認證的標準流程進行認證。
7.根據權利要求6所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于���,所述認證點根據認證開始報文頭中的類型字段和/或報文頭中的目的地址判斷認證請求者是否進行802.1x認證來識別不同的認證請求者����。
8.根據權利要求6所述的基于以太網認證系統(tǒng)的認證方法,其特征在于��,所述認證點根據認證請求者的服務集標識識別不同的認證請求者��。
9.根據權利要求6或7或8所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于,認證點對于不同認證請求者的報文用不同的標記標識���。
10.根據權利要求9所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于����,所述標記是符合802.1Q標準的虛擬局域網標簽。
11.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于,所述控制點采用報文偵聽的方式獲取報文信息����,再轉發(fā)報文,具體是控制點配置與認證點����、認證服務器相同的密鑰�����,將接收到的報文存儲�,然后轉發(fā)��。
12.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于,所述控制點通過作為認證點代理的方式獲取報文信息����,再轉發(fā)報文,具體是控制點通過代理端口接收報文�,將報文進行存儲,然后轉發(fā)���。
13.根據權利要求11或12所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于��,所述控制點在轉發(fā)報文前���,還包括對報文重新組包的步驟�。
14.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法,其特征在于��,所述步驟11還包括如果認證成功��,則認證服務器在鑒權用高層協(xié)議認證成功報文中還含有給認證請求者授權的協(xié)商參數和認證請求者的相關業(yè)務屬性�����。
15.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于����,所述控制點或認證點保存認證請求者進行第一次認證時的信息,包括用戶名�����、用戶MAC地址����、用戶密碼、認證結果中的用戶權限���。
16.根據權利要求15所述的基于以太網認證系統(tǒng)的認證方法��,其特征在于���,如果控制點保存認證請求者進行第一次認證時的信息�����,則所述認證方法還包括如果認證請求者在不同的認證點之間進行切換時���,通過控制點進行重認證的步驟包括新認證點向認證請求者發(fā)送提交身份認證信息的請求報文;認證請求者回應含有身份認證信息的應答報文���;新認證點將含有身份認證信息的應答報文封裝到鑒權用高層協(xié)議訪問請求報文中����,發(fā)送給控制點�;控制點根據保存的認證請求者的信息,產生含有加密算法質詢請求報文的訪問質詢報文��,發(fā)送給新認證點���;新認證點將加密算法質詢請求報文發(fā)送給認證請求者�����;認證請求者進行加密運算���,向新認證點發(fā)送加密算法質詢應答報文���;新認證點將質詢應答報文封裝到鑒權用高層協(xié)議訪問請求報文中�����,發(fā)送給控制點�����;控制點根據保存的認證請求者信息���,判斷認證請求者是否合法�����,向新認證點回應認證成功/失敗報文�����;新認證點將成功/失敗報文回應給認證請求者���。
17.根據權利要求15所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于�����,如果認證點保存認證請求者進行第一次認證時的信息����,則所述認證方法還包括如果認證請求者在不同的認證點之間進行切換時,通過認證點進行重認證的步驟包括新認證點向認證請求者發(fā)送提交身份認證信息的請求報文���;認證請求者回應含有身份認證信息的應答報文給新認證點��;新認證點根據報文中提供的舊認證點的地址信息���,向舊認證點發(fā)起獲取認證請求者對應的第一次認證信息的請求;舊認證點將含有認證請求者認證信息的應答報文返回給新認證點���;新認證點根據歷史認證過程中保存的信息�����,產生含有加密算法的質詢請求報文�����,發(fā)送給認證請求者�����;認證請求者進行加密運算���,將質詢應答報文發(fā)送給新認證點;新認證點根據歷史認證過程中保存的信息�����,判斷認證請求者是否合法�����,然后回應認證成功/失敗報文給認證請求者����。
18.根據權利要求17所述的基于以太網認證系統(tǒng)的認證方法,其特征在于��,所述新認證點與舊認證點之間通過認證點間協(xié)議IAPP或共享密鑰的方式進行通訊。
19.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�����,其特征在于�����,所述認證方法還包括當認證成功后���,認證請求者通過地址分配獲取IP地址���,建立以太網網絡層服務,開展上網應用��,控制點對認證請求者進行計費管理�����。
20.根據權利要求19所述的基于以太網認證系統(tǒng)的認證方法����,其特征在于,所述計費在認證服務器返回認證成功的報文后����,在認證點或者控制點啟動����;或者在認證成功后���,且認證請求者的網絡層服務建立后�,在認證點或者控制點啟動���。
21.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法�,其特征在于���,所述認證方法還包括認證請求者主動向認證點發(fā)送下線消息�;認證點向控制點發(fā)送計費停止請求的報文��;控制點將報文轉發(fā)給認證服務器��;認證服務器向控制點返回計費停止請求應答報文���,控制點將應答報文轉發(fā)給認證點。
22.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法��,其特征在于,所述認證方法還包括認證點定時檢測認證請求者�,如果檢測到認證請求者不在線,則向控制點發(fā)送計費停止請求的報文��;控制點將所述報文轉發(fā)給認證服務器����;認證服務器返回計費停止應答報文給控制點;控制點將應答報文轉發(fā)給認證點�。
23.根據權利要求1所述的基于以太網認證系統(tǒng)的認證方法,其特征在于�����,所述認證方法還包括在所述步驟1之前���,還包括配置認證點的端口控制功能是否啟用的步驟����。
全文摘要
本發(fā)明提供一種基于以太網認證系統(tǒng)的認證方法���,該認證系統(tǒng)包括認證請求者��、認證點�����、控制點和認證服務器����,在認證點完成原有802.1x認證的同時,控制點同步獲取與認證點相同的認證請求者的認證信息�,完成擴展認證協(xié)議的認證。本發(fā)明由于控制點參與了認證過程����,可以及時獲得認證請求者的認證、授權信息�,從而可以對每個認證請求者進行管理;認證點對于非802.1x認證的網絡報文可進行透明傳輸�,使得多種認證方式可以同時存在,由控制點完成各種認證�����。另外���,對于WLAN用戶由于切換帶來的重認證,由控制點或認證點代替認證服務器進行認證�����,實現了快速重認證,大大縮短了切換時間���。
文檔編號H04L12/28GK1567868SQ0314519
公開日2005年1月19日 申請日期2003年7月2日 優(yōu)先權日2003年7月2日
發(fā)明者金濤, 孔濤, 陳殿福, 李晨 申請人:華為技術有限公司