專利名稱:一種動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于IEEE802.1x動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法��。尤其涉及通訊領(lǐng)域中�����,支持IEEE802.1x的設(shè)備根據(jù)需求開(kāi)啟或關(guān)閉802.1x認(rèn)證功能����,實(shí)現(xiàn)端口訪問(wèn)實(shí)體授權(quán)/未授權(quán)的方法。
背景技術(shù):
IEEE802.1x是基于端口的網(wǎng)絡(luò)訪問(wèn)控制協(xié)議�����,IEEE 802.1x以IEEE 802 LAN(局域網(wǎng))的基礎(chǔ)結(jié)構(gòu)為基礎(chǔ),定義了一種對(duì)連接在LAN中某端口上設(shè)備(端口和設(shè)備的連接具有點(diǎn)到點(diǎn)連接的特征)進(jìn)行認(rèn)證和授權(quán)的方法�。
如果認(rèn)證和授權(quán)失敗,將禁止相應(yīng)設(shè)備通過(guò)該端口訪問(wèn)LAN資源���。這里的端口指的是可以連接到LAN基礎(chǔ)結(jié)構(gòu)上的一個(gè)單一點(diǎn)�����,通常為二層交換機(jī)的一個(gè)端口�,當(dāng)然也可以是其它形式的端口�����,比如IEEE 802.11無(wú)線LAN中終端設(shè)備和訪問(wèn)點(diǎn)之間的關(guān)系��。
端口訪問(wèn)實(shí)體(PAE)運(yùn)行與認(rèn)證機(jī)制相關(guān)的算法和協(xié)議���,共有兩種類型的PAE懇求者PAE和認(rèn)證者PAE�����。
在認(rèn)證交換中執(zhí)行懇求者角色的PAE被稱為懇求者PAE(Supplicant PAE)��。懇求者PAE響應(yīng)來(lái)自認(rèn)證者PAE的請(qǐng)求�����,向認(rèn)證者PAE遞交認(rèn)證信息�。
在認(rèn)證交換中執(zhí)行認(rèn)證者角色的PAE被稱為認(rèn)證者PAE(Authenticator PAE)。認(rèn)證者PAE負(fù)責(zé)與懇求者之間的通訊���,負(fù)責(zé)將從懇求者接收到的信息遞交給適當(dāng)?shù)恼J(rèn)證服務(wù)器���,認(rèn)證服務(wù)器檢查這些信息并確定授權(quán)狀態(tài)���。
認(rèn)證者PAE根據(jù)認(rèn)證處理結(jié)果控制它的受控端口的授權(quán)/未被授權(quán)狀態(tài)�����。
在實(shí)際的實(shí)現(xiàn)中���,認(rèn)證者PAE一般在網(wǎng)絡(luò)交換設(shè)備和網(wǎng)絡(luò)接入設(shè)備上實(shí)現(xiàn),以實(shí)現(xiàn)對(duì)端用戶或者下一級(jí)級(jí)聯(lián)設(shè)備的認(rèn)證功能�。
懇求者PAE在端用戶計(jì)算機(jī)上以802.1x客戶端軟件的形式實(shí)現(xiàn),或者在網(wǎng)絡(luò)交換設(shè)備上需要進(jìn)行上聯(lián)認(rèn)證的端口上實(shí)現(xiàn)�����。
基于端口的網(wǎng)絡(luò)訪問(wèn)控制機(jī)制具有良好的可管理性。網(wǎng)絡(luò)管理員可以通過(guò)設(shè)置AuthControlledPortStatus(受控端口狀態(tài))參數(shù)來(lái)控制端口的授權(quán)狀態(tài)�,該參數(shù)共有3個(gè)可能值ForceUnauthorized(強(qiáng)制未認(rèn)證模式),Auto(根據(jù)認(rèn)證結(jié)果設(shè)置模式)����,F(xiàn)orceAuthorized(強(qiáng)制通過(guò)認(rèn)證模式),缺省值是Auto(據(jù)認(rèn)證結(jié)果設(shè)置模式)���。
如果該參數(shù)被設(shè)為ForceUnauthorized��,則邏輯端口中的受控端口無(wú)條件處于未授權(quán)狀態(tài)�。如果該參數(shù)被設(shè)為ForceAuthorized�����,則邏輯端口中的受控端口無(wú)條件處于授權(quán)狀態(tài)����。如果該參數(shù)被設(shè)為Auto,則受控端口的狀態(tài)由認(rèn)證的結(jié)果決定�。
在實(shí)際的組網(wǎng)應(yīng)用中,端用戶計(jì)算機(jī)運(yùn)行的802.1x客戶端軟件實(shí)現(xiàn)懇求者PAE功能��,網(wǎng)絡(luò)接入設(shè)備或者網(wǎng)絡(luò)交換設(shè)備(以后簡(jiǎn)稱為網(wǎng)絡(luò)設(shè)備)在和端用戶計(jì)算機(jī)相連的端口上實(shí)現(xiàn)認(rèn)證者PAE功能。
對(duì)于不需要進(jìn)行802.1x認(rèn)證的組網(wǎng)應(yīng)用環(huán)境中��,如果網(wǎng)絡(luò)設(shè)備仍舊開(kāi)啟802.1x認(rèn)證功能���,則會(huì)周期性的通過(guò)端口發(fā)送EAPOL-Req/Id(請(qǐng)求用戶身份認(rèn)證代碼)報(bào)文�,來(lái)主動(dòng)發(fā)起認(rèn)證����。而如果持續(xù)沒(méi)有收到響應(yīng),會(huì)認(rèn)為端口連接的設(shè)備不支持802.1x認(rèn)證功能��,也會(huì)將該端口的認(rèn)證狀態(tài)設(shè)置為“已經(jīng)認(rèn)證”狀態(tài)�����。對(duì)于網(wǎng)絡(luò)設(shè)備的功能沒(méi)有影響�����。但這種情況下���,會(huì)增加網(wǎng)絡(luò)設(shè)備的處理負(fù)擔(dān),降低網(wǎng)絡(luò)設(shè)備的性能���。并且發(fā)送的EAPOL-Req/Id報(bào)文也會(huì)對(duì)網(wǎng)絡(luò)環(huán)境造成影響�����。
發(fā)明內(nèi)容
本發(fā)明的目的是在現(xiàn)有IEEE802.1x協(xié)議的基礎(chǔ)上��,對(duì)于支持802.1x認(rèn)證功能的網(wǎng)絡(luò)設(shè)備是否啟動(dòng)認(rèn)證功能相應(yīng)采取的一種處理方法�。具體涉及一種動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證0功能的方法。
本發(fā)明具體是這樣實(shí)現(xiàn)的一種動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法�����,包括如下處理如果是關(guān)閉系統(tǒng)802.1x認(rèn)證功能命令��,保存網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口當(dāng)前受控端口狀態(tài)參數(shù)的值��,將每個(gè)端口的受控端口狀態(tài)值設(shè)置為授權(quán)狀態(tài)����;如果是開(kāi)啟系統(tǒng)802.1x認(rèn)證功能命令,
獲取網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口保存受控端口狀態(tài)參數(shù)的值����,將網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口受控端口狀態(tài)參數(shù)的值設(shè)置為獲取的參數(shù)值。
所述受控端口狀態(tài)參數(shù)設(shè)置為不同的值后����,通過(guò)802.1x相關(guān)的狀態(tài)機(jī)��,對(duì)設(shè)置的不同值進(jìn)行狀態(tài)躍遷��,實(shí)現(xiàn)系統(tǒng)的開(kāi)啟或關(guān)閉�。
保存網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口當(dāng)前受控端口狀態(tài)參數(shù)保存該參數(shù)的值����,可以通過(guò)創(chuàng)建一個(gè)新的變量來(lái)保存,也可以通過(guò)系統(tǒng)中的數(shù)據(jù)庫(kù)來(lái)進(jìn)行保存���。
在IEEE802.1x協(xié)議基礎(chǔ)上�,采用本發(fā)明能夠使得網(wǎng)絡(luò)設(shè)備在實(shí)際的組網(wǎng)應(yīng)用中能夠靈活的開(kāi)啟或關(guān)閉網(wǎng)絡(luò)設(shè)備的802.1x功能�,在不提供802.1x功能時(shí),減少802.1x對(duì)網(wǎng)絡(luò)設(shè)備資源的占用�,也減少802.1x功能對(duì)網(wǎng)絡(luò)的影響。
圖1是本發(fā)明所述方法的實(shí)施流程圖�����。
具體實(shí)施例方式
在802.1x功能的認(rèn)證者PAE中���,允許將認(rèn)證者PAE設(shè)置為“Force Authorized”模式�����,即設(shè)置AuthControlledPortStatus參數(shù)為ForceAuthorized�。在這種模式下���,會(huì)將端口的認(rèn)證狀態(tài)固定設(shè)置為“已經(jīng)認(rèn)證”狀態(tài)�����。這種狀態(tài)下���,網(wǎng)絡(luò)設(shè)備處理和802.1x功能相關(guān)的消耗會(huì)大大降低?����;静粫?huì)影響網(wǎng)絡(luò)設(shè)備的性能����,也對(duì)網(wǎng)絡(luò)環(huán)境沒(méi)有影響。
因此�,當(dāng)把網(wǎng)絡(luò)設(shè)備的802.1x功能關(guān)閉時(shí),只要將網(wǎng)絡(luò)設(shè)備支持802.1x功能的端口上的認(rèn)證者PAE設(shè)置為“Force Authorized”模式,即設(shè)置AuthControlledPortStatus參數(shù)為ForceAuthorized就可以了����。
如果需要開(kāi)啟網(wǎng)絡(luò)設(shè)備的802.1x功能時(shí),則將網(wǎng)絡(luò)設(shè)備支持802.1x功能的端口上的認(rèn)證者PAE設(shè)置為用戶曾經(jīng)設(shè)置的模式��,即可��。
當(dāng)AuthControlledPortStatus參數(shù)設(shè)置為不同的值后��,802.1x相關(guān)的狀態(tài)機(jī)會(huì)根據(jù)該值進(jìn)行適當(dāng)?shù)臓顟B(tài)躍遷�����,并最終完成各種操作�,來(lái)實(shí)現(xiàn)系統(tǒng)開(kāi)啟和關(guān)閉該功能的目的。
以下結(jié)合附圖所給出的流程對(duì)本發(fā)明具體描述如下1����、收到網(wǎng)絡(luò)管理模塊下發(fā)的配置命令,在每個(gè)系統(tǒng)中�,都會(huì)有適當(dāng)?shù)哪K能夠接受網(wǎng)絡(luò)管理員輸入的命令,并將命令傳送到指定的處理模塊�����,因此此步驟的具體實(shí)現(xiàn)不是本方法論述的范圍�;
2、判斷配置命令的類型��;3����、如果是關(guān)閉系統(tǒng)802.1x功能命令;4�����、首先保存網(wǎng)絡(luò)設(shè)備各支持802.1x的端口當(dāng)前AuthControlledPortStatus參數(shù)的值���,保存該參數(shù)的值的方法有很多種����,可以通過(guò)創(chuàng)建一個(gè)新的變量來(lái)保存�����,也可以通過(guò)系統(tǒng)中的數(shù)據(jù)庫(kù)來(lái)進(jìn)行保存����,具體的保存方法本發(fā)明不進(jìn)行限制;5、后將每個(gè)端口的AuthControlledPortStatus值設(shè)置為“ForceAuthorized”�;6、如果是開(kāi)啟系統(tǒng)802.1x功能命令�����;7����、獲取每個(gè)端口事先保存的AuthControlledPortStatus值;8��、將每個(gè)端口事先保存的AuthControlledPortStatus值賦給AuthControlledPortStatus�����。
雖然上述具體實(shí)施方式
描述了本發(fā)明的方法���,然而本領(lǐng)域的技術(shù)人員會(huì)理解����,在不偏離本發(fā)明宗旨和范圍的前提下可以進(jìn)行各種形式和細(xì)節(jié)的修改和改進(jìn)�。
權(quán)利要求
1.一種動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法,其特征在于�,包括如下處理如果是關(guān)閉系統(tǒng)802.1x認(rèn)證功能命令��,保存網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口當(dāng)前受控端口狀態(tài)參數(shù)的值����,將每個(gè)端口的受控端口狀態(tài)值設(shè)置為授權(quán)狀態(tài)���;如果是開(kāi)啟系統(tǒng)802.1x認(rèn)證功能命令,獲取網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口保存受控端口狀態(tài)參數(shù)的值���,將網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口受控端口狀態(tài)參數(shù)的值設(shè)置為獲取的參數(shù)值���。
2.如權(quán)利要求1所述動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法,其特征在于所述受控端口狀態(tài)參數(shù)設(shè)置為不同的值后�,通過(guò)802.1x相關(guān)的狀態(tài)機(jī),對(duì)設(shè)置的不同值進(jìn)行狀態(tài)躍遷���,實(shí)現(xiàn)系統(tǒng)的開(kāi)啟或關(guān)閉���。
3.如權(quán)利要求1或2所述動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法,其特征在于保存網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口當(dāng)前受控端口狀態(tài)參數(shù)保存該參數(shù)的值����,可以通過(guò)創(chuàng)建一個(gè)新的變量來(lái)保存��,也可以通過(guò)系統(tǒng)中的數(shù)據(jù)庫(kù)來(lái)進(jìn)行保存����。
全文摘要
本發(fā)明涉及一種基于IEEE802.1x動(dòng)態(tài)實(shí)現(xiàn)開(kāi)啟或關(guān)閉802.1x認(rèn)證功能的方法����,包括如下處理如果是關(guān)閉系統(tǒng)802.1x認(rèn)證功能命令,保存網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口當(dāng)前受控端口狀態(tài)參數(shù)的值�,將每個(gè)端口的受控端口狀態(tài)值設(shè)置為授權(quán)狀態(tài);如果是開(kāi)啟系統(tǒng)802.1x認(rèn)證功能命令��,獲取網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口保存受控端口狀態(tài)參數(shù)的值���,將網(wǎng)絡(luò)設(shè)備支持802.1x每個(gè)端口受控端口狀態(tài)參數(shù)的值設(shè)置為獲取的參數(shù)值�。采用本發(fā)明使得網(wǎng)絡(luò)設(shè)備在實(shí)際的組網(wǎng)應(yīng)用中能夠靈活的開(kāi)啟或關(guān)閉網(wǎng)絡(luò)設(shè)備的802.1x功能�����。
文檔編號(hào)H04L29/06GK1980234SQ20051013032
公開(kāi)日2007年6月13日 申請(qǐng)日期2005年12月9日 優(yōu)先權(quán)日2005年12月9日
發(fā)明者王峰 申請(qǐng)人:中興通訊股份有限公司