專利名稱:一種網(wǎng)絡(luò)接入控制的方法��、系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,特別涉及一種網(wǎng)絡(luò)接入控制的方法、系 統(tǒng)和裝置���。
背景技術(shù):
隨著互聯(lián)網(wǎng)的飛速發(fā)展��,網(wǎng)絡(luò)已經(jīng)成為人們生活�、工作中不可或缺的一
部分�,從網(wǎng)絡(luò)電視(IPTV)到網(wǎng)上銀行,從電子商務(wù)到網(wǎng)絡(luò)游戲����,網(wǎng)絡(luò)無 處不在���。然而,網(wǎng)絡(luò)在給我們帶來方便和樂趣的同時��,也潛在著巨大的風(fēng)險 和危機(jī)���,因此網(wǎng)絡(luò)安全一直是人們關(guān)注的熱點之一���。
網(wǎng)絡(luò)安全包括多個方面,其中一個重要的方面就是終端的接入控制���,即 只允許經(jīng)過認(rèn)證的合法用戶接入網(wǎng)絡(luò)�����,把未經(jīng)過認(rèn)證的非法用戶拒之門外�。 目前����,常用的網(wǎng)絡(luò)接入控制方法主要為入口 (Portal)認(rèn)證、802.1x和MAC 地址認(rèn)證等����,這些接入控制方法都是基于MAC層以上的認(rèn)證���,雖然能夠有 效地解決用戶正常的接入控制,但在應(yīng)對惡意攻擊的時候���,都在不同程度上 存在一定缺陷����。例如攻擊者與接入設(shè)備建立連接后����,通過仿冒協(xié)議報文或 者不斷變化報文的源MAC地址進(jìn)行攻擊�����,從而使得接入設(shè)備的CPU負(fù)擔(dān)過 重甚至癱瘓�����;攻擊者與接入設(shè)備建立連接后���,通過控制終端和接入設(shè)備之間 的鏈路�����,使之不停地在連接(UP)和斷開(DOMN)之間切換����,引起與端 口狀態(tài)相關(guān)聯(lián)的協(xié)議產(chǎn)生震蕩;攻擊者與接入設(shè)備建立連接后����,使用異常幀 對接入設(shè)備的MAC進(jìn)行攻擊,使得接入設(shè)備的MAC出現(xiàn)異常等等����。因此, 需要一種更加徹底�、更加安全的接入控制方法,從而提高網(wǎng)絡(luò)的安全性和健 壯性�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種網(wǎng)絡(luò)接入控制方法�����、系統(tǒng)和裝置��,以便于 提高網(wǎng)絡(luò)的安全性和健壯性���。
一種網(wǎng)絡(luò)4妄入控制的方法�����,該方法包括
A��、 網(wǎng)絡(luò)接入服務(wù)器接收接入終端發(fā)送的以太網(wǎng)端口自協(xié)商的非格式化頁�;
B、 從所述非格式化頁中獲取認(rèn)證信息���,并將所述認(rèn)證信息提供給認(rèn)證服務(wù) 器進(jìn)行認(rèn)證�����;
C、 在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證成功時�����,啟動所述接入終端與網(wǎng)絡(luò) 接入服務(wù)器之間的鏈路����;在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證失敗時,不啟動 所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路���。
一種接入終端���,該接入終端包括認(rèn)證處理單元和收發(fā)處理單元����; 所述認(rèn)證處理單元�,用于將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化
頁中提供給所述收發(fā)處理單元;
所述收發(fā)處理單元����,用于將所述認(rèn)證處理單元提供的非格式化頁發(fā)送給
網(wǎng)絡(luò)接入服務(wù)器。
一種網(wǎng)絡(luò)接入服務(wù)器�����,該網(wǎng)絡(luò)接入服務(wù)器包括收發(fā)處理單元�、認(rèn)證處理 單元和鏈路處理單元;
所述收發(fā)處理單元��,用于接收接入終端發(fā)送的以太網(wǎng)端口自協(xié)商的非格式 化頁�����;將所述認(rèn)證處理單元獲取的認(rèn)證信息提供給認(rèn)證服務(wù)器進(jìn)行認(rèn)證�;接收 認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果并提供給所述認(rèn)證處理單元;
所述認(rèn)證處理單元,用于從所述非格式化頁中獲取認(rèn)證信息����;確定所述認(rèn) 證結(jié)果為認(rèn)證成功時,向所述鏈路處理單元發(fā)送啟動通知�;
所述鏈路處理單元,用于接收到啟動通知時�����,啟動所述接入終端與所述 網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�����。
一種網(wǎng)絡(luò)接入控制的系統(tǒng)��,該系統(tǒng)包括接入終端��、網(wǎng)絡(luò)接入服務(wù)器和認(rèn) 證服務(wù)器���;所述接入終端,用于利用以太網(wǎng)端口自協(xié)商的非格式化頁攜帶認(rèn)證信息并
發(fā)送給所述網(wǎng)絡(luò)接入服務(wù)器����;
所述網(wǎng)絡(luò)接入服務(wù)器,用于從所述非格式化頁中獲取認(rèn)證信息,并將所述 認(rèn)證信息提供給所述認(rèn)證服務(wù)器進(jìn)行認(rèn)證����;在所述認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果 為認(rèn)證成功時,啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�����;在所述認(rèn)證 服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證失敗時�����,不啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器 之間的鏈if各����;
所述認(rèn)證服務(wù)器,用于利用所述認(rèn)證信息進(jìn)行認(rèn)證��,并將認(rèn)證結(jié)果返回 給所述網(wǎng)絡(luò)接入服務(wù)器�����。
由以上技術(shù)方案可以看出����,本發(fā)明提供的方法�����、系統(tǒng)和裝置���,通過在以 太網(wǎng)端口自協(xié)商中引入認(rèn)證過程,即采用以太網(wǎng)端口自協(xié)商的非格式化頁承 載認(rèn)證信息發(fā)送給網(wǎng)絡(luò)接入設(shè)備�,網(wǎng)絡(luò)接入設(shè)備控制接入終端和網(wǎng)絡(luò)接入服 務(wù)器之間的鏈路在認(rèn)證成功后才能啟動,如果認(rèn)證失敗�����,則不會啟動接入終 端和網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�。通過這種在物理層進(jìn)行認(rèn)證的方式,在物 理層上就能夠隔離未經(jīng)認(rèn)證的用戶�����,杜絕了非法用戶對網(wǎng)絡(luò)進(jìn)行攻擊的可能 性����,大大提高了網(wǎng)絡(luò)的安全性和健壯性。
圖1為以太網(wǎng)端口自協(xié)商中基本頁的格式示意圖2為以太網(wǎng)端口自協(xié)商中消息頁的格式示意圖3為以太網(wǎng)端口自協(xié)商中非格式化頁的格式示意圖4為現(xiàn)有以太網(wǎng)端口自協(xié)商的過程示意圖5為本發(fā)明實施例一提供的方法流程圖6為本發(fā)明實施例二提供的方法流程圖7為本發(fā)明實施例提供的系統(tǒng)結(jié)構(gòu)圖8為本發(fā)明實施例提供的接入終端結(jié)構(gòu)示意圖9為本發(fā)明實施例提供的網(wǎng)絡(luò)接入服務(wù)器結(jié)構(gòu)示意圖��。
具體實施例方式
為了使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖和具體 實施例對本發(fā)明進(jìn)行詳細(xì)描述�����。
通過對現(xiàn)有基于MAC層以上的網(wǎng)絡(luò)接入控制方法的分析�,發(fā)明人考慮 可以利用當(dāng)前廣泛應(yīng)用的以太網(wǎng)自協(xié)商4支術(shù),4巴4妄入控制推到網(wǎng)絡(luò)的最底層 即物理層�,使得非法用戶從物理層就無法接入網(wǎng)絡(luò),不可能對網(wǎng)絡(luò)設(shè)備進(jìn)行 攻擊���。
本發(fā)明提供的方法主要包括接入終端(AT, Access Terminal)利用以 太網(wǎng)端口自協(xié)商的非格式化頁攜帶認(rèn)證信息發(fā)送給網(wǎng)絡(luò)接入服務(wù)器(NAS����, Network Access Server );網(wǎng)絡(luò)接入服務(wù)器將獲取到的認(rèn)證信息提供給認(rèn)證 服務(wù)器進(jìn)行認(rèn)證���,在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證成功時��,啟動接入終 端與該網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�;在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證失 敗時��,不啟動接入終端與該網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�。
為了方便對本發(fā)明的理解����,首先對現(xiàn)有技術(shù)中以太網(wǎng)端口自協(xié)商的過程 進(jìn)行簡單介紹�����。在電氣電子工程師協(xié)會(IEEE) 802.3中引入的以太網(wǎng)端口 自協(xié)商技術(shù)是通過快速連接脈沖(FLP)或配置(C)碼來傳遞自協(xié)商碼流��, 交互自身的能力信息����,并在協(xié)商過程中取兩端的最高能力作為最優(yōu)工作模 式,然后啟動兩端的鏈路��,即使兩端的鏈路進(jìn)入UP狀態(tài)����。
其中,自協(xié)商碼流是以頁(Page)為單位的����,每頁為16比特,分為基 本頁(Base Page)和下一頁(Next Page)�����?;卷摰母袷饺鐖D1所示,其 中�����,S0至S4為選擇域����,取值為00001時代表以太網(wǎng);A0至A7為能力信息 域�,攜帶自身支持的能力信息,例如AO置1時代表自身支持IOBASE-T以 太網(wǎng)�,Al置1時代表自身支持10BASE-T以太網(wǎng)全雙工,A2置1代表自身 支持100BASE-TX以太網(wǎng)��,等等����,不再贅述。RT置1時代表遠(yuǎn)端錯誤���;Ack 為應(yīng)答位�����,置1表示成功收到了 3個連續(xù)的頁��;NP代表下一頁�����,置l表示 在這一頁之后還有下一頁要發(fā)送����。下一頁4安照編碼格式可以分為兩種消息頁(Message Page )和非才各式 化頁(Unformatted Page)。消息頁的格式如圖2所示��,非格式化頁的格式 如圖3所示����。其中,MO至M10以及U0至U10為信息位�;T為反轉(zhuǎn)位,物 理層每發(fā)送一頁都會在下次發(fā)送時將該位取反����;Ack為應(yīng)答位,置1時表示 成功收到了3個連續(xù)的頁�,該位與基本頁中Ack的含義相同;NP代表下一 頁,置1時表示在這一頁之后還有下一頁要發(fā)送���;MP為編碼格式位�,置l 表示該頁為消息頁�����,置零表示該頁為非格式化頁�����;Ack2表示接收端是否支理��。
現(xiàn)有的以太網(wǎng)端口自協(xié)商過程可以如圖4所示�,首先接入終端和網(wǎng)絡(luò)接 入服務(wù)器之間進(jìn)行能力協(xié)商���,該能力協(xié)商可以通過能力通告的方式�,例如通 過基本頁進(jìn)行能力通告���;兩端根據(jù)對端的能力狀況選擇兩端都支持的最高能 力作為最優(yōu)工作模式����;判斷是否確定出最優(yōu)工作模式,即兩端的能力是否存 在交集��,如果是�����,則啟動接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路����,否則不啟 動,重新進(jìn)4亍以太網(wǎng)端口自協(xié)商��。
本發(fā)明中��,接入終端可以利用上述以太網(wǎng)端口自協(xié)商過程中的非格式化 頁來攜帶認(rèn)證信息�����,將認(rèn)證信息填充在信息位中����,如果信息量多于一頁,則 可以通過多頁非格式化頁攜帶���。另外����,認(rèn)證過程可以在能力協(xié)商之前進(jìn)行, 也可以在能力協(xié)商之后進(jìn)行�����,下面以100BASE-TX為例舉兩個實施例分別進(jìn) 行描述�。
實施例一、在能力協(xié)商之前執(zhí)行認(rèn)證過程����。圖5為本發(fā)明實施例一提供 的方法流程圖���,如圖5所示����,該方法可以包括以下步驟
步驟501:接入終端和網(wǎng)絡(luò)接入服務(wù)器之間交互空白的基本頁���。 本步驟中���,接入終端首先向網(wǎng)絡(luò)接入服務(wù)器發(fā)送不攜帶任何能力信息的 基本頁,即A0至A7位均置零�,S0至S4取值為00001,代表以太網(wǎng);將 NP位至1,表示該頁之后有下一頁���。網(wǎng)絡(luò)接入服務(wù)器接收到該空白的基本 頁后�����,回復(fù)包含確認(rèn)信息的空白基本頁��,該空白基本頁中的Ack位置1��。本步驟可以看作是認(rèn)證過程的開始��。
步驟502:接入終端通過非格式化頁攜帶認(rèn)證信息��,將該非格式化頁發(fā)
送給網(wǎng)絡(luò)接入服務(wù)器��,網(wǎng)絡(luò)接入服務(wù)器接收到后通過空白的消息頁予以確認(rèn)�����。
比較常見的認(rèn)證協(xié)議有口令驗證協(xié)議(PAP)和挑戰(zhàn)握手驗證協(xié)議 (CHAP )��,其中�,PAP采用明文的認(rèn)證信息����,CHAP采用密文的認(rèn)證信息�����, 本發(fā)明中并不限定采用哪種認(rèn)證協(xié)議���。
由于以太網(wǎng)端口自協(xié)商中的非格式化頁僅能夠攜帶11個比特的信息, 如果認(rèn)證信息超過11個比特�,則可以通過多個非格式化頁攜帶所有的認(rèn)證 信息。假設(shè)實施例中釆用的認(rèn)證信息位22比特的認(rèn)證序列����,該認(rèn)證序列是 將用戶名和密碼的組合按照預(yù)設(shè)的算法進(jìn)行計算后得到的22比特的序列 U[21:0],預(yù)設(shè)的算法可以為
U[21:0]= (CRC32[31:16],6b'0) XOR { 6b,0�,CRC32[15:0〗}
其中����,(CRC32[31:16],6b,0)表示前16位為CRC32[31:16]���、后6位 為0的值�����,(6b�����,0���,CRC32[15:0])表示前6位為0����、后16位為CRC32[15:0]����。 其中,CRC32[31:16]為CRC32的高16位����,CRC32[15:0〗為CRC32的低16 位,CRC32是現(xiàn)有技術(shù)中的固有算法��,不再贅述����。另外,需要說明的是����, 本發(fā)明并不限定認(rèn)證序列的產(chǎn)生方式��。
然后�����,將22位的認(rèn)證序列封裝在2個非格式化頁中�����,每個非格式化頁 中的信息位中攜帶11位的認(rèn)證序列���,將MP置零,第一個非格式化頁的NP 置l,第二個非格式化頁的NP置零�����。
由于正EE規(guī)范中規(guī)定需要連續(xù)三次發(fā)送非格式化頁�,且網(wǎng)絡(luò)接入服務(wù) 器連續(xù)三次接收到相同的非格式化頁時予以確認(rèn)����,因此,接入終端首先連續(xù) 三次發(fā)送第一個非格式化頁����,網(wǎng)絡(luò)接入服務(wù)器連續(xù)三次接收到該第一個非格 式化頁后�,向接入終端回復(fù)空白的消息頁予以確認(rèn)�����。接入終端接著再連續(xù)三 次發(fā)送第二個非格式化頁���,網(wǎng)絡(luò)接入服務(wù)器連續(xù)三次接收到該第二個非格式 化頁后�����,向接入終端回復(fù)空白的消息頁予以確-認(rèn)�。
13步驟503:網(wǎng)絡(luò)接入服務(wù)器將認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器�。
網(wǎng)絡(luò)接入服務(wù)器確定第二個非格式化頁中的NP位置零,說明認(rèn)證信息 接收完畢�,則獲取兩個非格式化頁中的認(rèn)證信息。如果認(rèn)證服務(wù)器為遠(yuǎn)程認(rèn) 證撥號用戶服務(wù)(RADIUS )服務(wù)器�,則將該認(rèn)證信息封裝在RADIUS協(xié)議 報文中發(fā)送給RADIUS服務(wù)器;如果認(rèn)證服務(wù)器為諸如終端訪問控制器控制 系統(tǒng)協(xié)議(TACACS)服務(wù)器等其它服務(wù)器��,則封裝為其它服務(wù)器支持的協(xié) 議格式����。如果網(wǎng)絡(luò)接入服務(wù)器本身具備認(rèn)證功能���,則僅需要將認(rèn)證信息提供 給網(wǎng)絡(luò)接入服務(wù)器中相應(yīng)的認(rèn)證處理單元即可。
步驟504:認(rèn)證服務(wù)器利用接收到的認(rèn)證信息進(jìn)行認(rèn)證��,并將認(rèn)證結(jié)果 回復(fù)給網(wǎng)絡(luò)接入服務(wù)器����。
RADIUS服務(wù)器進(jìn)行認(rèn)證后,同樣可以將認(rèn)證結(jié)果封裝在RADIUS協(xié)議 報文中回復(fù)給網(wǎng)絡(luò)接入服務(wù)器�。
步驟505:網(wǎng)絡(luò)接入服務(wù)器判斷接收到的認(rèn)證結(jié)果是否為認(rèn)證成功,如 果認(rèn)證成功���,執(zhí)行后續(xù)的能力協(xié)商過程��,并在能力協(xié)商成功后啟動接入終端 與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�;如果認(rèn)證失敗�,則重新執(zhí)行步驟501。
如果認(rèn)證成功�����,則網(wǎng)絡(luò)接入服務(wù)器開始將自身的以太網(wǎng)端口能力信息攜 帶在基本頁中發(fā)送給接入終端�����,開始與接入終端之間進(jìn)行能力協(xié)商過程���,該 能力協(xié)商過程與現(xiàn)有技術(shù)相同���。在能力協(xié)商成功后,即確定了最優(yōu)工作模式 后����,啟動接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路。
如果認(rèn)證失敗�,則網(wǎng)絡(luò)接入服務(wù)器可以通過向接入終端發(fā)送能力信息域 為零的基本頁來觸發(fā)接入終端重新啟動認(rèn)證過程;也可以不執(zhí)行任何操作��, 待終端定時器在發(fā)送認(rèn)證信息后啟動的定時器超時后自動重新啟動認(rèn)證過
另外���,如果認(rèn)證成功�,則網(wǎng)絡(luò)接入服務(wù)器可以進(jìn)而將該接入終端加入允 許接入的訪問控制列表(ACL)���,以及配置接入終端所屬VLAN����、優(yōu)先級、 承認(rèn)訪問速率(CAR)參數(shù)等��。
實施例二�、在能力協(xié)商之后執(zhí)行認(rèn)證過程。圖6為本發(fā)明實施例二提供的方法流程圖����,如圖6所示,該方法可以包括以下步驟
首先執(zhí)行能力協(xié)商過程�����,在過程中接入終端和網(wǎng)絡(luò)接入服務(wù)器通過基本 頁���,或者基本頁和下一頁交互能力信息����。
步驟601:接入終端通過非格式化頁攜帶認(rèn)證信息�����,將該非格式化頁發(fā) 送給網(wǎng)絡(luò)接入服務(wù)器����,網(wǎng)絡(luò)接入服務(wù)器接收到后通過空白的消息頁予以確 認(rèn)�。
本發(fā)明可以利用能力協(xié)商過程之外的下一頁來攜帶認(rèn)證信息�,如果能力 協(xié)商過程僅使用基本頁而未使用下 一 頁,如1OOBASE-TX型以太網(wǎng)的自協(xié) 商���,認(rèn)證信息可以封裝在第l個下一頁中;如果能力協(xié)商過程已經(jīng)使用下一 頁���,如1OOOBASE-T型以太網(wǎng)的自協(xié)商�,認(rèn)證信息可以封裝在現(xiàn)有自協(xié)商已 占用下一頁的后續(xù)下一頁中�����。因此�����,本發(fā)明可以應(yīng)用于任意類型的以太網(wǎng)中�����。 可以看出本發(fā)明能夠很好的兼容現(xiàn)有的自協(xié)商技術(shù)����,減少實施本發(fā)明過程中 的工作量����。
認(rèn)證信息的具體攜帶方式和確認(rèn)方式與實施例一 中相同�,不再贅述。 步驟602:網(wǎng)絡(luò)接入服務(wù)器將認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器��。 步驟603:認(rèn)證服務(wù)器利用接收到的認(rèn)證信息進(jìn)行認(rèn)證�����,并將認(rèn)證結(jié)果 回復(fù)給網(wǎng)絡(luò)接入服務(wù)器����。
步驟602和步驟603也與實施例一中的步驟503和步驟504分別相同。 步驟604:網(wǎng)絡(luò)接入服務(wù)器判斷接收到的認(rèn)證結(jié)果是否為認(rèn)證成功�,如 果認(rèn)證成功,則確定最優(yōu)的工作模式�,并在確定了最優(yōu)工作模式后,啟動接 入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�;如果認(rèn)證失敗,則重新執(zhí)行步驟601�。 在本實施例中,如果認(rèn)證失敗���,網(wǎng)絡(luò)接入服務(wù)器可以通過向接入終端發(fā) 送能力信息域為零的基本頁來觸發(fā)接入終端重新開始能力協(xié)商�����;也可以不執(zhí) 行任何操作���,待終端定時器在發(fā)送認(rèn)證信息后啟動的定時器超時后自動重新 發(fā)起能力協(xié)商��。
以上是對本發(fā)明所提供的方法進(jìn)行的詳細(xì)描述,下面對本發(fā)明所提供的系 統(tǒng)和裝置進(jìn)行詳細(xì)描述���。圖7為本發(fā)明實施例提供的系統(tǒng)結(jié)構(gòu)圖�����,如圖7所示�����,該系統(tǒng)包括接入終端701 ���、網(wǎng)絡(luò)接入月l務(wù)器702和i人證服務(wù)器703。
接入終端701�����,用于利用以太網(wǎng)端口自協(xié)商的非格式化頁攜帶認(rèn)-江信息并
發(fā)送給網(wǎng)絡(luò)接入服務(wù)器702。
該接入終端可以是位于以太網(wǎng)局域網(wǎng)中的一個實體�,諸如一臺計算機(jī)、交
換機(jī)或路由器等���,這些實體需要經(jīng)過安全認(rèn)證才能被允許接入網(wǎng)絡(luò)�����。
網(wǎng)絡(luò)接入服務(wù)器702����,用于從非格式化頁中獲取認(rèn)證信息����,并將認(rèn)證信息
提供給認(rèn)證服務(wù)器703進(jìn)行認(rèn)證;在認(rèn)證服務(wù)器703返回的認(rèn)證結(jié)果為認(rèn)證成
功時���,啟動接入終端701與網(wǎng)絡(luò)接入服務(wù)器702之間的鏈路��;在認(rèn)證服務(wù)器703
返回的認(rèn)證結(jié)果為認(rèn)證失敗時��,不啟動接入終端701與網(wǎng)絡(luò)接入服務(wù)器702之
間的鏈路����。
該網(wǎng)絡(luò)接入服務(wù)器為接入終端提供接入局域網(wǎng)的以太網(wǎng)物理端口 ,并負(fù)責(zé) 認(rèn)證信息的傳遞和接入控制的實現(xiàn)����。
認(rèn)證服務(wù)器703,用于利用認(rèn)證信息進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果返回給網(wǎng)絡(luò) 接入服務(wù)器702���。
認(rèn)證服務(wù)器是為接入終端提供認(rèn)證服務(wù)的實體���,可以對用戶進(jìn)行認(rèn)證、 授權(quán)和計費���,例如,可以為RADIUS服務(wù)器����、TACACS服務(wù)器等。
認(rèn)證服務(wù)器703可以是獨立于網(wǎng)絡(luò)接入服務(wù)器702設(shè)置的服務(wù)器�,也可 以與網(wǎng)絡(luò)接入服務(wù)器702設(shè)置為 一個服務(wù)器。
另外�����,根據(jù)認(rèn)證過程與能力協(xié)商過程的不同先后順序�����,上述系統(tǒng)可以存在 以下兩種情況
第一種情況接入終端701可以在發(fā)送攜帶認(rèn)證信息的非格式化頁之前, 與網(wǎng)絡(luò)接入服務(wù)器702之間交互空白的基本頁��;在認(rèn)證成功之后�����,與網(wǎng)絡(luò)接入 服務(wù)器702之間進(jìn)行能力協(xié)商��。
網(wǎng)絡(luò)接入設(shè)備702,還可以用于與接入終端701之間交互空白的基本頁�����; 在啟動接入終端701與網(wǎng)絡(luò)接入服務(wù)器702之間的鏈路之前����,和網(wǎng)絡(luò)接入服務(wù) 器702之間進(jìn)行能力協(xié)商;根據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式��,則按 照最優(yōu)工作模式繼續(xù)執(zhí)行啟動接入終端701與網(wǎng)絡(luò)接入服務(wù)器702之間的鏈路�����;如果沒有確定出最優(yōu)工作模式,則觸發(fā)接入終端701與該網(wǎng)絡(luò)接入服務(wù)器702
之間重新交互空白的基本頁�����。
在這種個情況下����,如果認(rèn)證服務(wù)器703返回的認(rèn)證結(jié)果為認(rèn)證失敗,則網(wǎng) 絡(luò)接入服務(wù)器702可以向接入終端701發(fā)送能力信息域為零的基本頁�,以觸發(fā) 接入終端701重新和網(wǎng)絡(luò)服務(wù)器702交互空白的基本頁;或者�����,網(wǎng)絡(luò)接入服務(wù) 器702不執(zhí)行任何操作����,待接入終端701的定時器超時后���,重新和網(wǎng)絡(luò)月l務(wù)器 之間交互空白的基本頁��。
第二種情況接入終端701在發(fā)送攜帶認(rèn)證信息的非格式化頁之前���,與網(wǎng) 絡(luò)接入服務(wù)器702之間進(jìn)行能力協(xié)商。
網(wǎng)絡(luò)接入服務(wù)器702�,還可以用于與接入終端701之間進(jìn)行能力協(xié)商���; 在啟動接入終端701與網(wǎng)絡(luò)接入服務(wù)器702之間的鏈路之前,根據(jù)能力協(xié)商 結(jié)果如果確定出最優(yōu)工作模式�����,則按照最優(yōu)工作模式繼續(xù)執(zhí)行啟動接入終端 701與網(wǎng)絡(luò)接入服務(wù)器702之間的鏈路���,如果沒有確定出最優(yōu)工作才莫式��,則 重新與接入終端701之間進(jìn)行能力協(xié)商��。
在這種情況下�����,如果認(rèn)證服務(wù)器703返回的認(rèn)證結(jié)果為失敗��,則網(wǎng)絡(luò)接 入服務(wù)器702可以向接入終端701發(fā)送能力信息域為零的基本頁���,以觸發(fā)接 入終端701重新和網(wǎng)絡(luò)接入服務(wù)器702之間進(jìn)行能力協(xié)商;或者��,網(wǎng)絡(luò)接入 服務(wù)器702不執(zhí)行任何操作,待接入終端701的定時器超時后重新和網(wǎng)絡(luò)接 入服務(wù)器之間進(jìn)行能力協(xié)商���。
在該系統(tǒng)中���,如果認(rèn)證服務(wù)器703單獨設(shè)置,則網(wǎng)絡(luò)接入服務(wù)器702在 發(fā)送認(rèn)證信息時�,將認(rèn)證信息封裝在認(rèn)證服務(wù)器703支持的協(xié)議報文中發(fā)送 給認(rèn)證服務(wù)器703;且接收認(rèn)證服務(wù)器703返回的協(xié)議報文后,從該協(xié)議報 文中解封裝出認(rèn)證結(jié)果��。例如����,當(dāng)認(rèn)證服務(wù)器703為RADIUS服務(wù)器時,將 認(rèn)i正信息封裝在RADIUS協(xié)議^艮文中���。
圖8為本發(fā)明實施例提供的接入終端結(jié)構(gòu)示意圖��,如圖8所示�����,該接入終 端可以包括認(rèn)證處理單元801和收發(fā)處理單元802。
認(rèn)證處理單元801�����,用于將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化頁中提供給收發(fā)處理單元802。
收發(fā)處理單元802,用于將認(rèn)證處理單元801提供的非格式化頁發(fā)送給網(wǎng) 絡(luò)接入服務(wù)器���。
另外�����,根據(jù)認(rèn)證過程與能力協(xié)商過程的不同先后順序��,該接入終端可以存 在以下兩種結(jié)構(gòu)
第一種結(jié)構(gòu)認(rèn)證過程在能力協(xié)商過程之前�,此時���,該接入終端還可以包 括第一能力協(xié)商單元803和第一模式確定單元804�����。
收發(fā)處理單元802��,還可以用于與網(wǎng)絡(luò)接入服務(wù)器之間交互空白的基本頁 后��,觸發(fā)認(rèn)證處理單元801將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化頁 中�����;如果第一模式確定單元804沒有確定出最優(yōu)工作-漠式���,重新與網(wǎng)絡(luò)接入服 務(wù)器之間交互空白的基本頁�。
第一能力協(xié)商單元803,用于在網(wǎng)絡(luò)接入服務(wù)器確定認(rèn)證成功后�,與網(wǎng)絡(luò) 接入服務(wù)器進(jìn)行能力協(xié)商。
第一模式確定單元804,用于根據(jù)第一能力協(xié)商單元的能力協(xié)商結(jié)果����,確 定最優(yōu)工作模式。
最優(yōu)工作模式的確定為取接入終端和網(wǎng)絡(luò)接入服務(wù)器能力的交集���,如果 交集不為零�����,則確定最優(yōu)工作模式成功��,否則確定最優(yōu)工作模式失敗��。
第二種結(jié)構(gòu)認(rèn)證過程在能力協(xié)商過程之后�����,此時���,該接入終端還可以包 括第二能力協(xié)商單元805和第二模式確定單元806。
第二能力協(xié)商單元805,用于與網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商后�����,觸 發(fā)認(rèn)證處理單元801將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化頁中��;在 第二模式確定單元806沒有確定出最優(yōu)工作模式時�����,重新與網(wǎng)絡(luò)接入服務(wù)器之 間進(jìn)行能力協(xié)商�。
第二模式確定單元806,用于沖艮據(jù)第二能力協(xié)商單元805的能力協(xié)商結(jié)果, 確定最優(yōu)工作模式�。
在上述兩種結(jié)構(gòu)中,認(rèn)證處理單元801可以通過一個或一個以上的非格式 化頁攜帶認(rèn)證信息�,在最后一個非格式化頁中將NP位標(biāo)識為該頁不存在下一頁,在其它非格式化頁中將NP位標(biāo)識為該頁存在下一 頁�。
圖9為本發(fā)明實施例提供的網(wǎng)絡(luò)接入服務(wù)器結(jié)構(gòu)示意圖,如圖9所示�����,該 網(wǎng)絡(luò)接入服務(wù)器可以包括收發(fā)處理單元901�����、認(rèn)證處理單元902和鏈路處理 單元卯3。
收發(fā)處理單元901,用于接收接入終端發(fā)送的以太網(wǎng)端口自協(xié)商的非格式 化頁�����;將認(rèn)證處理單元902獲取的認(rèn)證信息提供給認(rèn)證服務(wù)器進(jìn)行認(rèn)證�����;接收 認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果并提供給認(rèn)證處理單元卯2��。
認(rèn)證處理單元902��,用于從非格式化頁中獲取認(rèn)證信息��;確定認(rèn)證結(jié)果為 認(rèn)證成功時����,向鏈路處理單元903發(fā)送啟動通知。
鏈路處理單元903���,用于接收到啟動通知時����,啟動接入終端與網(wǎng)絡(luò)接入服 務(wù)器之間的鏈路。
對應(yīng)上面所述的兩種情況�,網(wǎng)絡(luò)接入服務(wù)器也可以存在以下兩種結(jié)構(gòu) 第一種結(jié)構(gòu)當(dāng)認(rèn)證過程在能力協(xié)商過程之前時,該網(wǎng)絡(luò)接入服務(wù)器還可
以包括第一能力協(xié)商單元904和第一^f莫式確定單元905���。
收發(fā)處理單元901,還用于在接收上述非格式化頁之前與接入終端之間交
互空白的基本頁����。
第一能力協(xié)商單元904,用于接收認(rèn)證處理單元902發(fā)送的啟動通知�,與 接入終端之間進(jìn)行能力協(xié)商。
第一模式確定單元905�,用于根據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式, 則將啟動通知發(fā)送給鏈路處理單元903;如果沒有確定出最優(yōu)工作模式����,則觸 發(fā)收發(fā)處理單元901重新與接入終端之間交互空白的基本頁。
鏈路處理單元903接收到啟動通知后���,按照最優(yōu)工作模式啟動接入終端與 網(wǎng)纟^4矣入服務(wù)器之間的鏈路��。
第二種結(jié)構(gòu)當(dāng)認(rèn)證過程在能力協(xié)商過程之后時�����,該網(wǎng)^^婁入服務(wù)器還可 以包括第二能力協(xié)商單元906和第二模式確定單元907���。
第二能力協(xié)商單元906����,用于與接入終端之間進(jìn)行能力協(xié)商�����。
第二模式確定單元907����,用于接收認(rèn)證處理單元902發(fā)送的啟動通知,沖艮
19據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式�����,則將啟動通知發(fā)送給鏈路處理單元
903,如果沒有確定出最優(yōu)工作模式�,則觸發(fā)第二能力協(xié)商單元906重新與接入 終端之間進(jìn)行能力協(xié)商。
鏈路處理單元903接收到啟動通知后�����,按照最優(yōu)工作模式啟動接入終端與 網(wǎng)絡(luò)接入服務(wù)器之間的鏈路。
基于以上結(jié)構(gòu)��,認(rèn)證處理單元902在收發(fā)處理單元901接收到NP位標(biāo)識 不存在下一頁的非格式化頁時���,將獲取的認(rèn)證信息提供給收發(fā)處理單元901�����。
另外���,收發(fā)處理單元901,還可以用于將認(rèn)證處理單元902獲取的認(rèn)證信
持的協(xié)議報文����,解封裝出認(rèn)證結(jié)果后提供給認(rèn)證處理單元902。
更進(jìn)一步地��,^人證處理單元902����,還可以用于確定認(rèn)證結(jié)果為iU正失敗
時,觸發(fā)收發(fā)處理單元向接入終端發(fā)送能力信息域為零的基本頁��。
或者��,不執(zhí)行任何操作,待終端定時器超時后����,會重新開始進(jìn)行自協(xié)商過程。
由以上描述可以看出��,本發(fā)明提供的方法�、系統(tǒng)和裝置,通過在以太網(wǎng) 端口自協(xié)商中引入認(rèn)證過程�,即采用以太網(wǎng)端口自協(xié)商的非格式化頁承載認(rèn) 證信息發(fā)送給網(wǎng)絡(luò)接入設(shè)備,網(wǎng)絡(luò)接入設(shè)備控制接入終端和網(wǎng)絡(luò)接入服務(wù)器 之間的鏈3各在認(rèn)i正成功后才能啟動����,如果i人i正失敗,則不會啟動接入終端和 網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�����。通過這種在物理層進(jìn)行認(rèn)證的方式���,在物理層 上就能夠隔離未經(jīng)認(rèn)證的用戶���,杜絕了非法用戶對網(wǎng)絡(luò)進(jìn)行攻擊的可能性, 大大提高了網(wǎng)絡(luò)的安全性和健壯性�����。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�����,凡在本 發(fā)明的精神和原則之內(nèi)��,所做的任何修改���、等同替換�、改進(jìn)等���,均應(yīng)包含在 本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1���、一種網(wǎng)絡(luò)接入控制的方法��,其特征在于�����,該方法包括A����、網(wǎng)絡(luò)接入服務(wù)器接收接入終端發(fā)送的以太網(wǎng)端口自協(xié)商的非格式化頁;B�、從所述非格式化頁中獲取認(rèn)證信息,并將所述認(rèn)證信息提供給認(rèn)證服務(wù)器進(jìn)行認(rèn)證�;C、在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證成功時��,啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路��;在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證失敗時�����,不啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路����。
2、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,在所述步驟A之前還包括 所述接入終端和網(wǎng)絡(luò)接入服務(wù)器之間交互空白的基本頁�;在所述步驟C中���,在啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路之前 還包括所述接入終端和網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商;根據(jù)能力協(xié)商結(jié) 果如果確定出最優(yōu)工作模式��,則按照最優(yōu)工作模式繼續(xù)執(zhí)行啟動所述接入終端 與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路����;如果沒有確定出最優(yōu)工作模式,則轉(zhuǎn)至執(zhí)行所 述接入終端和網(wǎng)絡(luò)接入服務(wù)器之間交互空白的基本頁�。
3、 根據(jù)權(quán)利要求1所述的方法��,其特征在于��,在所述步驟A之前還包括 所述接入終端和網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商����;在所述步驟C中��,啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路之前還 包括根據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式���,則按照最優(yōu)工作模式繼續(xù) 執(zhí)行啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈^s如果沒有確定出最優(yōu)工 作模式�,則轉(zhuǎn)至執(zhí)行所述接入終端和網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商���。
4�����、 根據(jù)權(quán)利要求l����、 2或3所述的方法,其特征在于�����,所述接入終端通過 一個或一個以上的非格式化頁攜帶所述認(rèn)證信息����;在最后一個非格式化頁中將NP位標(biāo)識為不存在下一頁,在其它非格式化 頁中將NP位標(biāo)識為存在下 一 頁�����;所述網(wǎng)絡(luò)接入服務(wù)器在接收到所述最后一個非格式化頁后�,執(zhí)行所述步驟B。
5��、 根據(jù)權(quán)利要求l���、 2或3所述的方法�����,其特征在于�����,步驟B中所述認(rèn)證 信息提供給認(rèn)證服務(wù)器進(jìn)行認(rèn)證包括所述網(wǎng)絡(luò)接入服務(wù)器將所述認(rèn)證信息封 裝在所述認(rèn)證服務(wù)器支持的協(xié)議報文中發(fā)送給所述認(rèn)證服務(wù)器��;在所述步驟B之后且步驟C之前還包括所述認(rèn)證服務(wù)器利用所述認(rèn)證信 息進(jìn)行認(rèn)證后�,將認(rèn)證結(jié)果封裝在所述認(rèn)證服務(wù)器支持的協(xié)議報文中發(fā)送給所 述網(wǎng)絡(luò)接入服務(wù)器。
6�、 根據(jù)權(quán)利要求2所述的方法,其特征在于�,步驟C中在認(rèn)證服務(wù)器返回 的認(rèn)證結(jié)果為認(rèn)證失敗時,該方法還包括所述網(wǎng)絡(luò)接入服務(wù)器向所述接入終 端發(fā)送能力信息域為零的基本頁觸發(fā)所述接入終端重新執(zhí)行所述和網(wǎng)絡(luò)服務(wù)器 之間交互空白的基本頁���;或者����,所述網(wǎng)絡(luò)接入服務(wù)器不執(zhí)行任何操作�����,待所述接入終端的定時器超時后重 新執(zhí)行所述和網(wǎng)絡(luò)服務(wù)器之間交互空白的基本頁�。
7、 根據(jù)權(quán)利要求3所述的方法�����,其特征在于����,步驟C中在認(rèn)證服務(wù)器返回 的認(rèn)證結(jié)果為認(rèn)證失敗時,該方法還包括所述網(wǎng)絡(luò)接入服務(wù)器向所述接入終 端發(fā)送能力信息域為零的基本頁觸發(fā)所述接入終端重新執(zhí)行所述和網(wǎng)絡(luò)服務(wù)器 之間進(jìn)行能力協(xié)商����;或者,所述網(wǎng)絡(luò)接入服務(wù)器不執(zhí)行任何操作����,待所述接入終端的定時器超時后重 新執(zhí)行所述和網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商。
8�����、 一種接入終端��,其特征在于�,該接入終端包括認(rèn)證處理單元和收發(fā)處 理單元�;所述認(rèn)證處理單元��,用于將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化 頁中提供給所述收發(fā)處理單元�;所述收發(fā)處理單元,用于將所述認(rèn)證處理單元提供的非格式化頁發(fā)送給網(wǎng) 絡(luò)接入服務(wù)器�����。
9����、 根據(jù)權(quán)利要求8所述的接入終端,其特征在于��,該接入終端還包括第 一能力協(xié)商單元和第一4莫式確定單元�;所述收發(fā)處理單元,還用于與所述網(wǎng)絡(luò)接入服務(wù)器之間交互空白的基本頁 后���,觸發(fā)所述認(rèn)證處理單元將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化頁中��;如果所述第一模式確定單元沒有確定出最優(yōu)工作模式�,重新與所述網(wǎng)絡(luò)接 入服務(wù)器之間交互空白的基本頁����;所述第一能力協(xié)商單元��,用于在所述網(wǎng)絡(luò)接入服務(wù)器確定認(rèn)證成功后,與 所述網(wǎng)絡(luò)接入服務(wù)器進(jìn)行能力協(xié)商��;所述第一模式確定單元�����,用于根據(jù)所述能力協(xié)商結(jié)果�����,確定最優(yōu)工作模式�。
10、 根據(jù)權(quán)利要求8所述的接入終端�����,其特征在于���,該接入終端還包括 第二能力協(xié)商單元和第二模式確定單元�����;所述第二能力協(xié)商單元�,用于與所述網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商后, 觸發(fā)所述認(rèn)證處理單元將認(rèn)證信息攜帶在以太網(wǎng)端口自協(xié)商的非格式化頁中���; 在所述第二模式確定單元沒有確定出最優(yōu)工作模式時��,重新與所述網(wǎng)絡(luò)接入服 務(wù)器之間進(jìn)行能力協(xié)商�����;所述第二模式確定單元����,用于根據(jù)所述能力協(xié)商結(jié)果����,確定最優(yōu)工作模式。
11�����、 根據(jù)權(quán)利要求8�����、 9或10所述的接入終端,其特征在于�����,所述認(rèn)證處 理單元通過一個或一個以上的非格式化頁攜帶所述認(rèn)證信息�,在最后一個非格 式化頁中將NP位標(biāo)識為該頁不存在下一頁�,在其它非格式化頁中將NP位標(biāo)識 為該頁存在下一頁。
12�、 一種網(wǎng)絡(luò)接入服務(wù)器,其特征在于�����,該網(wǎng)絡(luò)接入服務(wù)器包括收發(fā)處 理單元�、認(rèn)證處理單元和鏈路處理單元;所述收發(fā)處理單元����,用于接收接入終端發(fā)送的以太網(wǎng)端口自協(xié)商的非格式 化頁;將所述認(rèn)證處理單元獲取的認(rèn)證信息提供給認(rèn)證服務(wù)器進(jìn)行認(rèn)證���;接收 認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果并提供給所述認(rèn)證處理單元��;所述認(rèn)證處理單元��,用于從所述非格式化頁中獲取認(rèn)證信息�����;確定所述認(rèn) 證結(jié)果為認(rèn)證成功時�����,向所述鏈^各處理單元發(fā)送啟動通知���;所述鏈路處理單元�����,用于接收到啟動通知時�,啟動所述接入終端與所述網(wǎng) 絡(luò)接入服務(wù)器之間的鏈路��。
13�����、 根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)接入服務(wù)器�����,其特征在于,該網(wǎng)絡(luò)接入服務(wù)器還包括第一能力協(xié)商單元和第一模式確定單元�����;所述收發(fā)處理單元���,還用于在接收所述非格式化頁之前與所述接入終端之 間交互空白的基本頁���;所述第一能力協(xié)商單元,用于接收所述認(rèn)證處理單元發(fā)送的啟動通知�����,與 所述接入終端之間進(jìn)行能力協(xié)商�����;所述第一模式確定單元�����,用于根據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式�����, 則將所述啟動通知發(fā)送給所述鏈路處理單元����;如果沒有確定出最優(yōu)工作;漠式, 則觸發(fā)所述收發(fā)處理單元重新與所述接入終端之間交互空白的基本頁���;所述鏈路處理單元接收到啟動通知后�����,按照所述最優(yōu)工作模式啟動所述接 入終端與所述網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�。
14����、 根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)接入服務(wù)器,其特征在于��,該網(wǎng)絡(luò)接入服 務(wù)器還包括第二能力協(xié)商單元和第二模式確定單元����;所述第二能力協(xié)商單元,用于與所述接入終端之間進(jìn)行能力協(xié)商���; 所述第二模式確定單元����,用于接收所述認(rèn)證處理單元發(fā)送的啟動通知,才艮據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式���,則將所述啟動通知發(fā)送給所述鏈路 處理單元���,如果沒有確定出最優(yōu)工作^t式,則觸發(fā)所述第二能力協(xié)商單元重新 與所述接入終端之間進(jìn)行能力協(xié)商�����;所述鏈路處理單元接收到啟動通知后����,按照所述最優(yōu)工作模式啟動所述接 入終端與所述網(wǎng)絡(luò)接入服務(wù)器之間的鏈路����。
15、 根據(jù)權(quán)利要求12�、 13或14所述的網(wǎng)絡(luò)接入服務(wù)器,其特征在于����,所 述認(rèn)證處理單元在所述收發(fā)處理單元接收到NP位標(biāo)識不存在下一頁的非才各式 化頁時���,將獲取的認(rèn)證信息提供給所述收發(fā)處理單元。
16�����、 根據(jù)權(quán)利要求12���、 13或14所述的網(wǎng)絡(luò)接入服務(wù)器�����,其特征在于�,所 述收發(fā)處理單元����,還用于將所述認(rèn)證處理單元獲取的認(rèn)證信息封裝在所述認(rèn)證 服務(wù)器支持的協(xié)議報文中發(fā)送給所述認(rèn)證服務(wù)器;接收認(rèn)證服務(wù)器支持的協(xié)議 報文�����,解封裝出認(rèn)證結(jié)果后提供給所述認(rèn)證處理單元���。
17��、 根據(jù)權(quán)利要求12���、 13或14所述的網(wǎng)絡(luò)接入服務(wù)器�����,其特征在于��,所 述認(rèn)證處理單元�,還用于確定所述認(rèn)證結(jié)果為認(rèn)證失敗時���,觸發(fā)所述收發(fā)處理 單元向所述接入終端發(fā)送能力信息域為零的基本頁�。
18��、 一種網(wǎng)絡(luò)接入控制的系統(tǒng)��,其特征在于��,該系統(tǒng)包括接入終端�����、網(wǎng) 絡(luò)接入服務(wù)器和認(rèn)證服務(wù)器���;所述接入終端�,用于利用以太網(wǎng)端口自協(xié)商的非才各式化頁攜帶iU正信息并 發(fā)送給所述網(wǎng)絡(luò)接入服務(wù)器�����;所述網(wǎng)絡(luò)接入服務(wù)器�����,用于從所述非格式化頁中獲取認(rèn)證信息��,并將所述 認(rèn)證信息提供給所述認(rèn)證服務(wù)器進(jìn)行認(rèn)證�;在所述認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果 為認(rèn)證成功時,啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路�;在所述認(rèn)證 服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證失敗時,不啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器 之間的鏈路�;所述認(rèn)證服務(wù)器,用于利用所述認(rèn)證信息進(jìn)行認(rèn)證����,并將認(rèn)證結(jié)果返回給 所述網(wǎng)絡(luò)接入服務(wù)器。
19����、 根據(jù)權(quán)利要求18所述的系統(tǒng)��,其特征在于�����,所述接入終端���,還用于在 發(fā)送攜帶所述認(rèn)證信息的非格式化頁之前,與所述網(wǎng)絡(luò)接入服務(wù)器之間交互空 白的基本頁�;在認(rèn)證成功之后,與所述網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能力協(xié)商�����;所述網(wǎng)絡(luò)接入設(shè)備��,還用于與所述接入終端之間交互空白的基本頁�;在啟 動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路之前,和網(wǎng)絡(luò)接入服務(wù)器之間進(jìn) 行能力協(xié)商�;根據(jù)能力協(xié)商結(jié)果如果確定出最優(yōu)工作模式,則按照最優(yōu)工作模 式繼續(xù)執(zhí)行啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路����;如果沒有確定出 最優(yōu)工作模式,則觸發(fā)所述接入終端與該網(wǎng)^^矣入服務(wù)器之間重新交互空白的 基本頁�。
20、 根據(jù)權(quán)利要求18所述的系統(tǒng)�����,其特征在于���,所述接入終端���,還用于在 發(fā)送攜帶所述認(rèn)證信息的非格式化頁之前,與所述網(wǎng)絡(luò)接入服務(wù)器之間進(jìn)行能 力協(xié)商�;所述網(wǎng)絡(luò)接入服務(wù)器,還用于與所述接入終端之間進(jìn)行能力協(xié)商�;在啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路之前,根據(jù)能力協(xié)商結(jié)果如果確定 出最優(yōu)工作模式�����,則按照最優(yōu)工作模式繼續(xù)執(zhí)行啟動所述接入終端與網(wǎng)絡(luò)接入 服務(wù)器之間的鏈路��,如果沒有確定出最優(yōu)工作模式����,則重新與所述接入終端之 間進(jìn)行能力協(xié)商����。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)接入控制的方法��、系統(tǒng)和裝置����,其中方法包括網(wǎng)絡(luò)接入服務(wù)器接收接入終端發(fā)送的以太網(wǎng)端口自協(xié)商的非格式化頁;從所述非格式化頁中獲取認(rèn)證信息��,并將該認(rèn)證信息提供給認(rèn)證服務(wù)器進(jìn)行認(rèn)證��;在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證成功時�����,啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路����;在認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證失敗時,不啟動所述接入終端與網(wǎng)絡(luò)接入服務(wù)器之間的鏈路��。本發(fā)明通過這種在物理層進(jìn)行認(rèn)證的方式���,在物理層上就能夠隔離未經(jīng)認(rèn)證的用戶���,杜絕了非法用戶對網(wǎng)絡(luò)進(jìn)行攻擊的可能性�����,大大提高了網(wǎng)絡(luò)的安全性和健壯性。
文檔編號H04L29/06GK101640680SQ20091009067
公開日2010年2月3日 申請日期2009年9月2日 優(yōu)先權(quán)日2009年9月2日
發(fā)明者霆 徐 申請人:杭州華三通信技術(shù)有限公司