專利名稱:基于媒體訪問(wèn)控制的802.1x認(rèn)證的實(shí)體查找方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種實(shí)體查找方法�,尤其涉及一種基于MAC的802.1x認(rèn)證的實(shí)體查找方法�。
背景技術(shù):
IEEE 802.1x稱為基于端口的訪問(wèn)控制協(xié)議(Port based network access controlprotocol),該協(xié)議在利用IEEE 802 LAN的優(yōu)勢(shì)基礎(chǔ)上提供了對(duì)連接到局域網(wǎng)的設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的一種手段����。
802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉,對(duì)于合法用戶(根據(jù)帳號(hào)和密碼)接入時(shí)���,該端口打開���,而對(duì)于非法用戶接入或沒有用戶接入時(shí),則該端口處于關(guān)閉狀態(tài)�。802.1x技術(shù)實(shí)現(xiàn)了認(rèn)證流和業(yè)務(wù)流的分離,而且不涉及通常認(rèn)證技術(shù)必須考慮的IP地址協(xié)商和分配問(wèn)題����,是各種認(rèn)證技術(shù)中最簡(jiǎn)化的實(shí)現(xiàn)方案。而傳統(tǒng)的PPPoE與Web/Portal等認(rèn)證方式�����,認(rèn)證流、業(yè)務(wù)流不分��,從而導(dǎo)致認(rèn)證和業(yè)務(wù)處理的極大不便��,而且不同程度的增加了網(wǎng)絡(luò)部署與運(yùn)營(yíng)成本�����。
標(biāo)準(zhǔn)802.1x認(rèn)證技術(shù)的操作粒度為端口���,合法用戶接入端口之后,端口處于打開狀態(tài)����,因此其它用戶(合法或非法)通過(guò)該端口時(shí),不需認(rèn)證即可接入網(wǎng)絡(luò)����。對(duì)于無(wú)線局域網(wǎng)接入而言,認(rèn)證之后建立起來(lái)的信道(端口)被獨(dú)占��,不存在其它用戶再次使用的問(wèn)題����,但是�����,如果802.1x認(rèn)證技術(shù)用于寬帶局域網(wǎng)環(huán)境下的認(rèn)證���,就存在端口打開之后,其它用戶(合法或非法)可自由接入和無(wú)法控制的問(wèn)題���。因此��,有必要對(duì)802.1x協(xié)議進(jìn)行擴(kuò)展����,使之實(shí)現(xiàn)在寬帶局域網(wǎng)環(huán)境下每用戶的認(rèn)證控制���。對(duì)標(biāo)準(zhǔn)的802.1x認(rèn)證技術(shù)擴(kuò)展后����,每個(gè)端口可以允許多個(gè)用戶認(rèn)證����,這樣就產(chǎn)生了如下問(wèn)題1、認(rèn)證過(guò)程中��,怎樣查找用戶的PAE控制實(shí)體,只有準(zhǔn)確找到相應(yīng)的PAE控制實(shí)體����,才能進(jìn)行正常的認(rèn)證;2��、如果PAE實(shí)體查找算法設(shè)計(jì)不當(dāng)�,那么會(huì)造成認(rèn)證速度非常緩慢,占用較長(zhǎng)的CPU處理時(shí)間��。
發(fā)明內(nèi)容
針對(duì)上述現(xiàn)有標(biāo)準(zhǔn)802.1x認(rèn)證技術(shù)的所存在的問(wèn)題和不足��,本發(fā)明實(shí)現(xiàn)了基于MAC的802.1x認(rèn)證及實(shí)體查找方式���,本發(fā)明的目的是提供一種可保證用戶安全認(rèn)證并能快速查找控制實(shí)體的基于MAC的802.1x認(rèn)證的實(shí)體查找方法。
本發(fā)明是這樣實(shí)現(xiàn)的一種基于MAC的802.1x認(rèn)證的實(shí)體查找方法���,包括以下步驟1)���、端口802.1x認(rèn)證使能后,禁止端口MAC學(xué)習(xí)功能�����,清空FDB表中所有表項(xiàng),禁止未經(jīng)認(rèn)證的用戶數(shù)據(jù)轉(zhuǎn)發(fā)���;所有認(rèn)證報(bào)文上報(bào)CPU��,進(jìn)行認(rèn)證處理���。
2)、在交換機(jī)中創(chuàng)建兩個(gè)表hash表pstMacHashTable�����,用于存儲(chǔ)設(shè)備上所有PAE控制實(shí)體指針���,用來(lái)根據(jù)MAC快速查找PAE實(shí)體�;PAE實(shí)體指針數(shù)組ppstPaePtrArray�,用于通過(guò)將PAE實(shí)體ID號(hào)作為數(shù)組下標(biāo)而快速查找PAE實(shí)體;3)���、用戶認(rèn)證通過(guò)后����,向FDB表中添加用戶MAC表項(xiàng)�����,從而實(shí)現(xiàn)用戶數(shù)據(jù)轉(zhuǎn)發(fā)。
進(jìn)一步地���,所述交換機(jī)接口的用戶數(shù)已達(dá)最大時(shí)���,則拒絕用戶的認(rèn)證,向用戶發(fā)送認(rèn)證失敗報(bào)文�。
本發(fā)明在基于端口的訪問(wèn)控制協(xié)議的基礎(chǔ)上對(duì)其進(jìn)行了擴(kuò)展,實(shí)現(xiàn)了基于用戶MAC地址的訪問(wèn)控制��。從而能夠在LAN這種多點(diǎn)訪問(wèn)環(huán)境中提供一種點(diǎn)對(duì)點(diǎn)識(shí)別用戶的方式�。這里的端口是指連接到LAN的一個(gè)單點(diǎn)結(jié)構(gòu),可以是被認(rèn)證系統(tǒng)的MAC地址��,也可以是服務(wù)器或網(wǎng)絡(luò)設(shè)備上連接LAN的物理端口��,或者是在IEEE 802.11無(wú)線LAN環(huán)境中定義的工作站和訪問(wèn)點(diǎn)����。本發(fā)明能有效實(shí)現(xiàn)在局域網(wǎng)環(huán)境下對(duì)每個(gè)用戶的認(rèn)證控制�����,從而提高了網(wǎng)絡(luò)的可運(yùn)行性和可管理性,提高了認(rèn)證過(guò)程中查找實(shí)體的效率��。
下面結(jié)合附圖����,對(duì)本發(fā)明做出詳細(xì)描述。
圖1為本發(fā)明認(rèn)證過(guò)程總體流程示意圖�;圖2為本發(fā)明初步認(rèn)證流程示意圖;圖3為本發(fā)明實(shí)體查找流程示意圖�;圖4為本發(fā)明用戶摘要信息請(qǐng)求流程圖示意圖;圖5為本發(fā)明對(duì)用戶摘要信息處理示意圖�����;圖6為本發(fā)明認(rèn)證成功流程圖示意圖��;圖7為本發(fā)明認(rèn)證失敗流程圖示意圖�����。
具體實(shí)施例方式
本發(fā)明的實(shí)現(xiàn)步驟為�,端口802.1x認(rèn)證使能后,禁止端口MAC學(xué)習(xí)功能����,清空FDB表中所有表項(xiàng)��,禁止未經(jīng)認(rèn)證的用戶數(shù)據(jù)轉(zhuǎn)發(fā)�;所有認(rèn)證報(bào)文上報(bào)CPU���,進(jìn)行認(rèn)證處理�。在交換機(jī)中創(chuàng)建兩個(gè)表hash表pstMacHashTable��,用于存儲(chǔ)設(shè)備上所有PAE控制實(shí)體指針��,用來(lái)根據(jù)MAC快速查找PAE控制實(shí)體���;PAE控制實(shí)體指針數(shù)組ppstPaePtrArray����,用于通過(guò)PAE控制實(shí)體的ID號(hào)快速查找PAE實(shí)體�;這里,認(rèn)證報(bào)文觸發(fā)PAE控制實(shí)體查找通過(guò)利用認(rèn)證報(bào)文中的MAC進(jìn)行查找�����;設(shè)備內(nèi)部觸發(fā)PAE控制實(shí)體查找通過(guò)利用PAE控制實(shí)體的ID號(hào)進(jìn)行查找��。用戶認(rèn)證通過(guò)后�,向FDB表中添加用戶MAC表項(xiàng),從而實(shí)現(xiàn)用戶數(shù)據(jù)轉(zhuǎn)發(fā)����。
以基于PORT模式和MAC模式的認(rèn)證過(guò)程為例,詳細(xì)介紹本發(fā)明�,為簡(jiǎn)化代碼復(fù)雜度,兩種模式的認(rèn)證處理過(guò)程是相同的�����。
當(dāng)從接口上接收到用戶認(rèn)證發(fā)起報(bào)文EAPOL_Start時(shí)�����,首先檢查該接口下的當(dāng)前用戶數(shù)量�����。該用戶數(shù)量是受接口最大用戶數(shù)量限制的���,對(duì)于基于PORT模式時(shí)�,這個(gè)最大用戶數(shù)量是“1”�,是不可配置的;基于MAC模式時(shí),最大用戶數(shù)量是有配置決定的����。當(dāng)基于MAC模式時(shí),如果最大用戶數(shù)量配置為“1”����,此時(shí),MAC模式實(shí)際上是等價(jià)于PORT模式的�。所不同的是對(duì)于PORT模式,當(dāng)接口有用戶認(rèn)證通過(guò)時(shí)�����,則打開端口MAC學(xué)習(xí)功能�,允許其它用戶通過(guò)該端口訪問(wèn)網(wǎng)絡(luò);而對(duì)于MAC模式�,用戶認(rèn)證通過(guò)后,只向FDB表項(xiàng)中添加給用戶的MAC表項(xiàng)��,端口MAC學(xué)習(xí)功能仍處于禁止?fàn)顟B(tài)��,其它用戶如果沒有認(rèn)證的話����,不能通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)�。如果發(fā)現(xiàn)當(dāng)前接口的用戶數(shù)已達(dá)最大用戶數(shù)��,則拒絕用戶的認(rèn)證���,給用戶發(fā)送認(rèn)證失敗報(bào)文。具體認(rèn)證過(guò)程如圖1所示���,本發(fā)明圖中以EAP-MD5認(rèn)證方法為例進(jìn)行說(shuō)明�����。
如圖2所示���,當(dāng)收到用戶的EAPOL_Start報(bào)文時(shí),則��,1)�����、根據(jù)報(bào)文中的MAC地址在hash表中查找PAE實(shí)體���,如找到則跳轉(zhuǎn)到步驟3)�����,否則進(jìn)入步驟2)���;2)�����、檢查當(dāng)前接口的認(rèn)證用戶數(shù)是否已達(dá)最大數(shù)��,若是�,則向用戶發(fā)送EAP-FAILURE報(bào)文����,拒絕用戶認(rèn)證,否則跳轉(zhuǎn)到步驟3)�����;3)�、創(chuàng)建PAE實(shí)體,保存用戶MAC地址���,然后在hash表中保存此PAE實(shí)體指針����,供以后的查找使用,并為PAE實(shí)體分配唯一標(biāo)識(shí)——ID號(hào)�����;并跳轉(zhuǎn)到步驟4)�����。
4)�����、向客戶端發(fā)送EAP_Request/Identity報(bào)文�,請(qǐng)求用戶身份�����。
如圖3所示�,接收到用戶的EAP_Response/Identity,根據(jù)用戶報(bào)文中的MAC地址在hash表中查找PAE實(shí)體�����,沒有找到則丟棄此報(bào)文;如果找到PAE實(shí)體���,則向radius服務(wù)器發(fā)送ACCESS_REQUEST請(qǐng)求challenge(通過(guò)Radius client向服務(wù)器轉(zhuǎn)發(fā))����。發(fā)送ACCESS-REQUEST的目的是向服務(wù)器請(qǐng)求用于計(jì)算用戶摘要信息的隨機(jī)數(shù)�����。
如圖4所示���,接收到來(lái)自Radius服務(wù)器的ACCESS_CHALLENGE(通過(guò)Radius client轉(zhuǎn)發(fā))�����,根據(jù)PAE實(shí)體的ID信息查找PAE實(shí)體�����,如果不存在����,則丟棄此報(bào)文�,否則根據(jù)ACCESS_CHALLENGE報(bào)文內(nèi)容向客戶端發(fā)送EAP_Request/Challenge報(bào)文��,請(qǐng)求用戶摘要信息�����。
如圖5所示�����,接收到來(lái)自客戶端的EAP_Response/Challenge報(bào)文,根據(jù)報(bào)文中MAC地址在hash表中查找PAE實(shí)體�,如找到,則向Radius服務(wù)器發(fā)送ACCESS_REQUEST/MD5-CHALLENGE�����,否則丟棄此報(bào)文����。
向服務(wù)器發(fā)送ACCESS-REQUEST/MD5-CHALLENGE報(bào)文中含有MD5算法計(jì)算的用戶摘要信息,正式請(qǐng)求服務(wù)器對(duì)用戶身份進(jìn)行認(rèn)證���,因此�����,服務(wù)器根據(jù)認(rèn)證結(jié)果���,可能返回兩種結(jié)果ACCESS-ACCEPT(認(rèn)證成功)或ACCESS-REJECT(認(rèn)證失敗)����;如圖6所示�����,接收ACCESS-ACCEPT報(bào)文���,根據(jù)PAE實(shí)體的ID查找相應(yīng)的PAE實(shí)體�,如果沒有找到則丟棄此報(bào)文�����,找到的話�����,則向用戶發(fā)送EAP-SUCCESS報(bào)文�����,并設(shè)置FDB表項(xiàng),開始轉(zhuǎn)發(fā)用戶報(bào)文�;如圖7所示,接收ACCESS-REJECT報(bào)文�����,根據(jù)PAE實(shí)體的ID查找相應(yīng)的PAE實(shí)體�����,如果沒找到則丟棄此報(bào)文�,找到的話,則向客戶端發(fā)送EAP-FAILURE報(bào)文�。
權(quán)利要求
1.一種基于MAC的802.1x認(rèn)證的實(shí)體查找方法,包括以下步驟1)、端口802.1x認(rèn)證使能后���,禁止端口MAC學(xué)習(xí)功能,清空FDB表中所有表項(xiàng),禁止未經(jīng)認(rèn)證的用戶數(shù)據(jù)轉(zhuǎn)發(fā)����;2)�、在交換機(jī)中創(chuàng)建兩個(gè)表hash表pstMacHashTable,用于存儲(chǔ)設(shè)備上所有PAE控制實(shí)體指針儲(chǔ)存桶,用來(lái)根據(jù)MAC快速查找PAE實(shí)體�����;PAE實(shí)體指針數(shù)組ppstPaePtrArray��,PAE實(shí)體指針數(shù)組ppstPaePtrArray���,用于通過(guò)將PAE實(shí)體ID號(hào)作為數(shù)組下標(biāo)而快速查找PAE實(shí)體�;3)�、用戶認(rèn)證通過(guò)后,向FDB表中添加用戶MAC表項(xiàng)����,從而實(shí)現(xiàn)用戶數(shù)據(jù)轉(zhuǎn)發(fā)。
2.如權(quán)利要求1所述的基于MAC的802.1x認(rèn)證的實(shí)體查找方法�����,其特征在于��,所述交換機(jī)接口的用戶數(shù)已達(dá)最大時(shí)���,則拒絕用戶的認(rèn)證�,向用戶發(fā)送認(rèn)證失敗報(bào)文。
全文摘要
本發(fā)明公開了一種基于MAC的802.1x認(rèn)證的實(shí)體查找方法����,包括端口802.1x認(rèn)證使能后,禁止端口MAC學(xué)習(xí)功能��,清空FDB表中所有表項(xiàng)����,禁止未經(jīng)認(rèn)證的用戶數(shù)據(jù)轉(zhuǎn)發(fā);所有認(rèn)證報(bào)文上報(bào)CPU�,進(jìn)行認(rèn)證處理。在交換機(jī)中創(chuàng)建兩個(gè)表hash表pstMacHashTable����,用于存儲(chǔ)設(shè)備上所有PAE控制實(shí)體指針,用來(lái)根據(jù)MAC快速查找PAE實(shí)體�����;PAE實(shí)體指針數(shù)組ppstPaePtrArray��,用于通過(guò)將PAE實(shí)體ID號(hào)作為數(shù)組下標(biāo)而快速查找PAE實(shí)體���;用戶認(rèn)證通過(guò)后,向FDB表中添加用戶MAC表項(xiàng),從而實(shí)現(xiàn)用戶數(shù)據(jù)轉(zhuǎn)發(fā)���。本發(fā)明能有效實(shí)現(xiàn)在局域網(wǎng)環(huán)境下對(duì)每個(gè)用戶的認(rèn)證控制����,從而提高了網(wǎng)絡(luò)的可運(yùn)行性和可管理性��,提高了認(rèn)證過(guò)程中查找實(shí)體的效率�。
文檔編號(hào)H04L29/06GK1599372SQ20041000925
公開日2005年3月23日 申請(qǐng)日期2004年6月25日 優(yōu)先權(quán)日2004年6月25日
發(fā)明者陸平 申請(qǐng)人:港灣網(wǎng)絡(luò)有限公司