专利名称:基于以太网认证系统的认证方法
技术领域:
本发明涉及数据通信领域的认证方法,具体地说,涉及一种承载在鉴权用高层协议上的扩展认证协议(EAP)的认证方法。
背景技术:
如图1所示的以太网组网图,计算机以有线方式与以太网交换机相连,或者以无线方式与无线接入点AP相连,再通过以太网线路接到核心网中,如企业局域网或城域网等,在网络中通常设有远端用户拨入鉴权服务(Remote Authentication Dialin User Service,简称RADIUS)认证服务器来验证计算机用户身份的合法性。在实际的组网中,PC可直接连在以太网交换机上,也可以通过集线器、以太网交换设备等级联到以太网交换机上,还可以通过甚高速数字用户线路(Very High Speed Digital Subscriber Line,简称VDSL)和VDSL交换机相连,其中在VDSL线路中传递的是以太网格式的报文。在无线局域网中,可采用IEEE(Institute of Electrical and ElectronicsEngineers,电气和电子工程师学会)802.11、802.11a、802.11b、802.11g等无线以太网协议来连接PC和AP。
802.1x协议称为基于端口的访问控制协议,是一种基于以太网技术的认证协议,802.1x以其协议安全、实现简单的特点,与其他认证协议一起,为使用不对称数字用户线(Asymmetric Digital Subscriber Line,简称ADSL)、VDSL、局域网(Local Area Network,简称LAN)、无线局域网(Wireless LocalArea Network,简称WLAN)等多种宽带接入方式的用户提供了丰富的认证方式。
扩展认证协议(Extensible Authentication Protocol,简称EAP)认证是为点到点协议(Point-to-Point Protocol,简称PPP)设计的一种新的认证构架,可以包括很多种认证方式,比如常用的EAP-MD5(Message Digest 5,消息摘要5,一种加密算法)、EAP-TLS(Transport Layer Security,传输层安全)等等。802.1x提供了EAPoL(EAP over LAN,局域网承载EAP协议)的封装,以及支撑EAP认证的构架,而EAP随着802.1x协议的发展,也有了大量的应用。
802.1X认证系统包括三个重要的组成部分认证请求者、认证点和认证服务器,如图2所示。
认证请求者一般为一个用户终端系统,通常要安装一个认证请求者软件,用户通过启动这个认证请求者软件发起802.1x协议的认证过程。为支持基于端口的接入控制,认证请求者需支持EAPoL协议。
认证点通常为支持802.1x协议的网络设备。认证请求者通过认证点接入局域网的网络接入端口,该网络接入端口可以是认证点的物理端口,也可以是认证请求者的媒质接入控制(Media Access Control,简称MAC)地址。网络接入端口被划分成两个虚端口受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL认证报文,保证认证请求者始终可以发出或接受认证。受控端口则用于传递业务报文,在未授权状态下被阻塞,在授权状态下连通。为适应不同的应用环境,受控端口的操作受控方向可配置为双向受控和单向受控两种方式。图2中,认证点的受控端口处于未认证、未授权状态,因此认证请求者无法访问认证点提供的服务。
认证服务器通常为RADIUS服务器,用于存储有关认证请求者的信息,比如认证请求者的承诺访问速率(Committed Access Rate,简称CAR)参数、优先级、认证请求者的访问控制列表等等。当认证请求者通过认证后,认证服务器把认证请求者的相关信息传递给认证点,由认证点构建动态的访问控制列表,认证请求者的后续流量接受上述参数的监管。
认证点的端口认证实体(Port Authentication Entity,简称PAE)通过非受控端口与认证请求者PAE进行通信,二者之间运行EAPoL协议;认证点PAE与认证服务器之间运行EAP协议。如果认证点PAE和认证服务器集成在同一个系统内,那么两者之间的通信可以不采用EAP协议。
在802.1x协议中使用了EAP认证方式。用户提供用户名、用户密码等认证信息,通过802.1x协议中包含的某种EAP认证方式,到认证点进行用户身份合法性的认证。常用的EAP认证方式有MD5、TLS、一次性密码(OneTime Password,简称OTP)、用户识别卡(Subscriber Identification Module,简称SIM)等等。当认证点收到用户的认证信息后,通过承载在RADIUS协议上的EAP(EAP over RADIUS,简称EAPoR)协议到对应的认证服务器上进行认证。
下面以EAP-MD5为例描述802.1x认证方法。实际使用时,可以使用所有802.1x的认证方式。图3为EAP-MD5认证方法的示意图。当认证请求者和认证点之间建立好物理连接后,认证请求者向认证点发送一个EAPoL开始报文,启动802.1x认证,认证点向认证请求者发送EAP认证请求报文,要求认证请求者提交用户名。认证请求者回应一个EAP认证应答报文给认证点,该应答报文中包含用户名信息。认证点以EAPoR报文格式向RADIUS认证服务器发送含有EAP认证应答报文的访问请求报文,将用户名提交给RADIUS认证服务器。RADIUS认证服务器产生一个128位的质询,并向认证点回应一个访问质询报文,里面含有EAP-MD5质询请求报文。认证点将EAP-MD5质询请求报文发送给认证请求者,认证请求者收到后,将密码和质询采用MD5算法进行加密,产生质询密码,并通过EAP-MD5质询应答报文把质询密码发送给认证点。认证点将质询密码通过访问请求报文送到RADIUS认证服务器,由RADIUS认证服务器进行认证,RADIUS认证服务器根据存储的认证请求者信息判断该认证请求者是否合法,然后回应认证成功/失败报文到认证点;如果认证成功,则RADIUS认证成功报文中还含有用于认证请求者授权的协商参数以及认证请求者的相关业务属性。认证点根据认证结果,向认证请求者回应EAP成功/失败报文,通知认证请求者认证结果。如果认证成功,则对认证请求者进行地址分配,然后进行授权、计费等流程。
802.1x协议建议认证在最接近用户的设备上实现,所以802.1x认证一般在以太网交换机或AP上实现。
对于一般的企业网,如图4所示,由于只需保证企业网用户接入企业网络中,则可以使用802.1x认证方法对用户在AP或者以太网交换机上进行认证。而对于需要管理用户的网络,如运营商网络,则不仅要对用户进行认证,而且要实现对单个用户进行计费、带宽管理、访问控制、业务管理等功能,其网络图如图5所示,在以太网交换机或AP与核心网之间增加了控制设备,如接入控制器或宽带接入服务器等,用于提供对网络强管理的功能。
然而,在图5的网络中,AP或以太网交换机用于实现802.1x认证,强管理功能在控制设备上完成,认证点与控制点之间信息的分离,用户的认证信息没有从认证点送到控制点上,用户的授权、计费信息也没有送到控制点,控制点只能针对网络或者子网进行管理而不能针对每个用户进行管理,因此无法达到控制点对用户实现强管理功能的目的。
目前的认证方法较多,同一网络中的每个用户都会按照自己的需要采用某种认证方法,由于802.1x认证在AP或以太网交换机上实现,而其他认证如PPPoE(PPP Over Ethernet,以太网承载PPP协议)认证、WEB认证在控制点上实现,那么对于采用以太网技术的系统,按照标准的802.1x认证方式,只有在通过802.1x认证后才能够通过其他报文,因此无法支持同时存在多种认证方法。
同时,在WLAN中,用户通过无线接入到AP,当用户切换时,即用户从一个AP漫游到另外一个AP时,一般会按照802.1x进行重认证。普通的重认证实际上就是一次标准的认证过程,这样造成切换时间较长,明显影响了客户业务。
发明内容
本发明所要解决的技术问题在于提供一种基于以太网认证系统的认证方法,使系统中的控制点参与认证过程,获得认证请求者的认证、授权信息,从而实现对每个认证请求者的管理,同时解决认证系统同时存在多种认证方式的认证问题,并且解决WLAN用户在切换无线接入点时进行重认证造成切换时间长的问题。
本发明是通过以下技术方案实现的基于以太网认证系统的认证方法,所述认证系统包括认证请求者、认证点、控制点和认证服务器,所述认证请求者与所述认证点之间采用局域网承载扩展认证协议进行通讯,所述认证点与所述控制点之间、所述控制点与所述认证服务器之间采用承载在鉴权用高层协议上的扩展认证协议进行通讯,所述认证方法包括以下步骤步骤1,认证请求者发起认证开始报文,启动认证;步骤2,认证点处理认证开始报文,获得含有认证请求者身份认证信息的扩展认证协议响应报文;步骤3,认证点将所述扩展认证协议响应报文封装到鉴权用高层协议访问请求报文中,发送给控制点;步骤4,控制点获取报文信息,并将所述访问请求报文发送给认证服务器;步骤5,认证服务器产生含有某种扩展认证方式请求报文的鉴权用高层协议访问请求报文,发送给控制点;步骤6,控制点获取报文信息,将报文转发给认证点;步骤7,认证点取出扩展认证方式请求报文,发送给认证请求者;步骤8,认证请求者按照指定的扩展认证方式进行认证处理,向认证点发送请求应答报文;步骤9,认证点将请求应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;步骤10,控制点获取报文信息后,将报文转发给认证服务器;
步骤11,认证服务器进行认证,向控制点返回鉴权用高层协议认证成功/失败报文;步骤12,控制点获取报文信息,将报文转发给认证点;步骤13,认证点取出认证成功/失败报文发送给认证请求者。
所述步骤2进一步包括认证点向认证请求者发送提交身份认证信息的扩展认证协议请求报文;认证请求者回应含有身份认证信息的扩展认证协议响应报文给认证点。
所述步骤2进一步包括认证点将收到的认证请求报文透传给控制点;控制点向认证点发送请求提交身份认证信息的报文;认证点将上述报文透传给认证请求者;认证请求者回应含有身份认证信息的报文给认证点。
在所述步骤2之前还包括认证点收到认证开始报文后,识别认证请求者是802.1x认证请求者或非802.1x认证请求者;如果是802.1x认证请求者,则执行步骤2;如果是非802.1x认证请求者,则不对认证点的端口进行控制,认证点将认证请求报文发送给控制点,控制点按照该认证的标准流程进行认证。
在上述方法中,所述控制点或认证点保存认证请求者进行第一次认证时的信息,包括用户名、用户MAC地址、用户密码、认证结果中的用户权限。
如果控制点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括如果认证请求者在不同的认证点之间进行切换时,通过控制点进行重认证的步骤包括新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文;新认证点将含有身份认证信息的应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者的信息,产生含有加密算法质询请求报文的访问质询报文,发送给新认证点;新认证点将加密算法质询请求报文发送给认证请求者;认证请求者进行加密运算,向新认证点发送加密算法质询应答报文;新认证点将质询应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者信息,判断认证请求者是否合法,向新认证点回应认证成功/失败报文;新认证点将成功/失败报文回应给认证请求者。
如果认证点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括如果认证请求者在不同的认证点之间进行切换时,通过认证点进行重认证的步骤包括新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文给新认证点;新认证点根据报文中提供的旧认证点的地址信息,向旧认证点发起获取认证请求者对应的第一次认证信息的请求;旧认证点将含有认证请求者认证信息的应答报文返回给新认证点;新认证点根据历史认证过程中保存的信息,产生含有加密算法的质询请求报文,发送给认证请求者;认证请求者进行加密运算,将质询应答报文发送给新认证点;新认证点根据历史认证过程中保存的信息,判断认证请求者是否合法,然后回应认证成功/失败报文给认证请求者。
通过上述技术方案可知,本发明具有如下优点1、控制点通过参与认证过程,进行EAP认证,同步获得认证请求者的认证、授权信息,从而可以对每个认证请求者进行管理。
2、认证点对非802.1x认证的网络报文进行透明传输,使得多种认证方式可以同时存在。
3、对于WLAN用户由于切换带来的重认证,由控制点或认证点代替认证服务器进行认证,实现了快速重认证,大大缩短了切换时间。
图1为一般以太网的组网示意图;图2为IEEE 802.1X认证系统体系结构;图3为现有的EAP-MD5认证方法的示意图;图4为普通企业网的示意图;
图5为运营商网络的示意图;图6为本发明方法应用的基于802.1x的认证系统的架构示意图;图7为图6所示认证系统的功能实体协议栈示意图;图8是本发明认证方法的流程图;图9为本发明一个具体实施例的认证示意图;图10是本发明另一个具体实施例的认证示意图;图11为本发明方法中在控制点进行快速重认证的示意图;图12为本发明方法中在认证点进行快速重认证的示意图;图13为本发明方法中正常下线的流程示意图;图14为本发明方法中异常下线的流程示意图。
具体实施例方式
以下,结合具体实施例并参照附图,对本发明做进一步的详细说明。
图1至图5为本发明现有技术的示意图,已在前面详细介绍过,此处不再赘述。
如图6所示的基于802.1x的认证系统架构,包括认证请求者、认证点、控制点和认证服务器。认证请求者对应客户终端,认证点对应无线接入点AP或以太网交换机,控制点对应接入控制器AC或宽带接入服务器,认证服务器对应AAA(Authentication,Authorization and Accounting,认证、授权和计费)服务器。本发明方法除了在认证点上进行802.1x认证外,同时还在控制点上进行EAP认证,使得控制点和认证点同步获取用户认证、授权信息。
如图7所示,认证请求者支持EAPoL协议,认证点支持EAPoL和EAPoR协议,控制点支持EAPoR协议,认证服务器支持EAPoR协议。此外,EAP还可承载在其他类似RADIUS协议的鉴权用高层协议上,如Diameter协议,又称RADIUS扩展AAA协议,这是一种新的兼容RADIUS协议的认证、授权和计费协议,对于此协议,本发明的认证方法也同样适用。为简便说明,下述实施例是基于EAPoR协议的认证方法过程。
图8是本发明的认证方法示意图,认证系统利用EAP协议的扩展能力可以选用不同的认证算法,下面以EAP-MD5的802.1x认证流程为例,详细介绍本发明的方法,如图9所示。
用户终端向AP发起EAPoL开始报文,启动802.1x认证。AP向用户终端发送EAP身份认证请求报文,要求认证请求者发来用户名。认证请求者向AP回应一个EAP身份认证应答报文,其中包含有用户名。AP将EAP身份认证应答报文封装到RADIUS访问请求报文中,发送给AC,AC获得EAP报文信息以及RADIUS报文信息,然后将RADIUS访问请求报文转发给认证服务器。认证服务器收到RADIUS访问请求报文后,向AC发送产生RADIUS访问质询报文,其中含有EAP-MD5质询请求。AC收到访问质询报文后,获取相应的报文信息后,然后转发给AP,AP将报文中的EAP-MD5质询请求发送给用户终端,请求质询。用户终端收到EAP-MD5质询请求报文后,将密码和质询进行MD5运算,之后通过EAP-MD5质询应答报文将质询、质询密码和用户名发送给AP。AP将EAP-MD5质询应答报文封装到RADIUS访问请求报文中,发送给AC,AC获取相应的报文信息后,将其转发给认证服务器进行认证。认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到AC;如果认证成功,则在RADIUS报文中含有给用户授权的协商参数和用户的相关业务属性。AC获取相应的报文信息后,转发给AP,AP将EAP-成功/失败回应给认证请求者用户终端,表明认证成功或失败。
在上述认证流程中,AC采用两种方式获取报文信息数据报文侦听的方式和作为AP的代理的方式。
对于数据报文侦听方式,AP发送的报文的目的地址是认证服务器,AC须配置与AP、认证服务器相同的保证RADIUS报文安全性的密钥。进行数据报文侦听时,可以对所有的数据报文进行侦听,也可以选择侦听指定的AP或者认证服务器的数据报文。AC将接收到的报文进行存储,然后转发;或者将接收到的报文存储后,根据需要重新组包后转发。
如果AC采用作为AP的代理的方式获取报文信息,例如RADIUS代理,则AP将AC当作一个RADIUS服务器,AP发送的报文的目的地址是控制点AC,所有的报文都直接发送到AC的RADIUS端口上,AC按照标准的RADIUS服务器功能接收、修改、发送报文。AC接收到报文后,进行存储,然后重新组包后转发;或者将接收到的报文存储后,直接转发。
采用上述方法,控制点保存有所有用户的认证、授权信息,这样可以将EAPoR认证与AC本身的强管理功能很好地结合起来。
由于802.1x认证是针对MAC地址对应的逻辑端口,在认证通过后认证请求者获得IP地址,认证点必须让匹配用户MAC地址的报文通过,MAC地址是识别用户逻辑端口的标识,因此802.1x协议规定在EAPoR认证时,必须在RADIUS报文中增加认证请求者的MAC(Medium Access Control,媒质接入控制)地址属性,可以使用RADIUS协议中的呼叫点标识(Calling-Station-ID)属性,也可以使用其他属性。在每一个802.1x报文中,都包括了认证请求者的MAC地址。如果认证请求者在认证通过后才能获得IP地址,那么必须在RADIUS报文中增加MAC地址属性。如果认证请求者在认证前已获得IP地址,则可以直接使用IP地址作为识别用户逻辑端口的标识。
对认证请求者的认证成功后,认证请求者可以获取IP地址,建立以太网MAC层以上的网络层服务,开展上网应用,控制点开始对认证请求者实现管理,如计费。计费可以是在认证服务器返回认证成功的报文后,在认证点或者控制点启动;也可以在认证成功后,且认证请求者的网络层服务建立后,在认证点或者控制点启动。当在认证点上发送计费报文时,控制点可以对计费信息进行侦听。
在本发明中,由于控制点加入认证过程,可以支持多种的认证方式。为了达到此目的,应当对认证点的端口不进行控制,即认证请求者的所有报文都可以通过认证点到达控制点,这样,所有的认证请求者的控制都在控制点上,实现了同时支持多种认证。特别的,对于有些网络,其控制点同时也接入了802.1x认证方式,此时在控制点基于802.1x的认证和基于EAPoR的认证可以共存,在这种情况下,认证点透传802.1x报文,由控制点来完成802.1x认证,如图10所示。总之,如果在认证点上进行802.1x认证,同时在控制点上进行EAPoR认证,则该认证点可以按照802.1x进行端口控制,也可以不对端口进行控制;如果在认证点上进行802.1x认证,在控制点上不仅进行EAPoR认证,而且还要进行其他认证如PPPoE、WEB认证时,即连接到认证点的任意用户可以在任意时候选择任意认证方式,则认证点可根据需要,对802.1x认证和非802.1x认证选择是否进行端口控制。
在认证点AP处,为了区别AP上认证的信息和控制点上认证的信息,首先根据以太网报文头中的类型字段和/或以太网报文头中的目的地址判断用户是否进行802.1x认证,以此来区别是802.1x认证请求者还是非802.1x认证请求者;也可以通过其他方式识别,如根据WLAN用户的服务集标识SSID进行区别。然后将802.1x认证用户的所有网络报文和其他用户的所有网络报文打上不同的标记,包括但不限于使用符合802.1x标准的不同的VLAN标签。比如,使用802.1x认证用户的所有报文都打一个VLAN标签,其他用户使用另外一个VLAN标签。这样,控制点就可以通过区别不同的VLAN标签进行相应的管理,如对802.1x认证的用户的报文进行透传而不做任何处理,而对其他用户,则按照相应的认证流程在控制点上做认证。
在WLAN中,用户通过无线接入到AP,当用户切换时,即用户从一个AP漫游到另外一个AP时,一般会按照802.1x进行重认证,这样造成用户切换时间较长。本发明通过将用户第一次认证时的信息,包括但不限于用户名、用户MAC地址、用户密码、认证结果中包括的用户权限如带宽限制、访问控制、加密密钥等信息,保留在某一个设备上,比如AP或者AC,当用户需要重认证时,直接将原有的认证结果返回,达到快速重认证的目的。在进行快速重认证时,不同的AP之间通过认证点间协议(Inter-Access PointProtocol,简称IAPP)获得认证请求者第一次认证时保存的信息。
下面根据图11说明在AC处保存认证信息,进行快速重认证的方法。本实施例中,重认证是由AP发起的。
用户在线,开展网络应用,由于某种原因发起重认证,AP向用户终端发送EAP身份认证请求报文,要求用户终端发送用户名。用户终端回应一个EAP身份认证应答报文,报文中包括用户名,AP将EAP身份认证应答报文封装到RADIUS访问请求报文中,发送给AC。AC根据历史认证过程中保存的信息,产生RADIUS访问质询报文,发送给AP,在报文中含有EAP-MD5质询请求。AP将EAP-MD5质询请求报文发送给用户终端,用户终端收到EAP-MD5质询请求报文后,将密码和质询进行MD5运算,之后通过EAP-MD5-质询应答报文将质询、质询密码和用户ID发送给AP。AP将EAP-MD5质询应答报文封装到RADIUS访问请求报文中,发送给AC,AC根据历史认证过程中保存的信息,判断用户是否合法,然后回应认证成功/失败报文到AP,如果认证成功,则RADIUS报文中含有给用户授权的协商参数和用户的相关业务属性。AP将EAP-成功/失败回应给用户终端,表明认证成功或失败。
AP处保存认证信息提供快速重认证功能的认证步骤与AC类似,如图12所示,当用户终端在两个AP之间切换时,为说明方便,切换前的AP称为旧AP,切换后的AP称为新AP。新AP向用户终端发送EAP身份认证请求报文,要求用户终端发送用户名,用户终端回应一个EAP身份认证应答报文给新AP,报文中包括用户名。新AP根据用户报文中提供的旧AP地址信息,向旧AP发起信息请求,请求用户终端对应的第一认证的信息。特别的,新AP和旧AP之间可以通过配置共享密钥方式以保证网络安全,或者也可以通过其他鉴权服务器来保证两个AP之间的安全性。旧AP将信息请求应答报文返回给新AP,包括用户的信息,如加密密钥、用户权限等。新AP根据历史认证过程中保存的信息,产生RADIUS访问质询报文,发送给用户终端,在报文中含有EAP-MD5质询请求。用户终端收到EAP-MD5质询请求报文后,将密码和质询进行MD5运算,之后通过EAP-MD5-质询应答报文将质询、质询密码和用户ID发送给新AP。新AP根据历史认证过程中保存的信息,判断用户是否合法,然后回应认证成功/失败报文到用户终端,如果认证成功,则RADIUS报文中含有给用户授权的协商参数和用户的相关业务属性。
用户下线流程包括用户主动下线和异常下线两类情况。用户主动下线流程如图13所示,用户终端通过客户端软件,主动向认证点发送EAPoL下线消息,认证点向AC发送计费停止请求的报文。AC将报文转发给认证服务器,认证服务器向AC返回计费停止请求报文的回应,AC将报文转发给认证点。
异常下线流程如图14所示,认证点定时检测用户,如果发现用户不在线,则向AC发送计费停止请求的报文;AC将报文转发给认证服务器。认证服务器向AC回计费停止请求报文的回应,AC将报文转发给认证点。
在802.1x认证和其他如WLAN结合时,在认证成功后返回的RADIUS报文中有授权信息属性,常见的包括用户权限(带宽限制、访问控制)、加密密钥等,这些信息用于用户控制和安全保障等。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种基于以太网认证系统的认证方法,所述认证系统包括认证请求者、认证点、控制点和认证服务器,所述认证请求者与所述认证点之间采用局域网承载扩展认证协议进行通讯,所述认证点与所述控制点之间、所述控制点与所述认证服务器之间采用承载在鉴权用高层协议上的扩展认证协议进行通讯,所述认证方法包括以下步骤步骤1,认证请求者发起认证开始报文,启动认证;步骤2,认证点处理认证开始报文,获得含有认证请求者身份认证信息的扩展认证协议响应报文;步骤3,认证点将所述扩展认证协议响应报文封装到鉴权用高层协议访问请求报文中,发送给控制点;步骤4,控制点获取报文信息,并将所述访问请求报文发送给认证服务器;步骤5,认证服务器产生含有某种扩展认证方式请求报文的鉴权用高层协议访问请求报文,发送给控制点;步骤6,控制点获取报文信息,将报文转发给认证点;步骤7,认证点取出扩展认证方式请求报文,发送给认证请求者;步骤8,认证请求者按照指定的扩展认证方式进行认证处理,向认证点发送请求应答报文;步骤9,认证点将请求应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;步骤10,控制点获取报文信息后,将报文转发给认证服务器;步骤11,认证服务器进行认证,向控制点返回鉴权用高层协议认证成功/失败报文;步骤12,控制点获取报文信息,将报文转发给认证点;步骤13,认证点取出将认证成功/失败报文发送给认证请求者。
2.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述鉴权用高层协议是远端用户拨入鉴权服务协议或者是Diameter协议。
3.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述扩展认证方式是消息摘要5加密算法扩展认证方式或传输层安全扩展认证方式或一次性密码扩展认证方式或用户识别卡扩展认证方式。
4.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述步骤2进一步包括认证点向认证请求者发送提交身份认证信息的扩展认证协议请求报文;认证请求者回应含有身份认证信息的扩展认证协议响应报文给认证点。
5.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述步骤2进一步包括认证点将收到的认证请求报文透传给控制点;控制点向认证点发送请求提交身份认证信息的报文;认证点将上述报文透传给认证请求者;认证请求者回应含有身份认证信息的报文给认证点。
6.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,在所述步骤2之前还包括认证点收到认证开始报文后,识别认证请求者是802.1x认证请求者或非802.1x认证请求者;如果是802.1x认证请求者,则执行步骤2;如果是非802.1x认证请求者,则不对认证点的端口进行控制,认证点将认证请求报文透传给控制点,控制点按照该认证的标准流程进行认证。
7.根据权利要求6所述的基于以太网认证系统的认证方法,其特征在于,所述认证点根据认证开始报文头中的类型字段和/或报文头中的目的地址判断认证请求者是否进行802.1x认证来识别不同的认证请求者。
8.根据权利要求6所述的基于以太网认证系统的认证方法,其特征在于,所述认证点根据认证请求者的服务集标识识别不同的认证请求者。
9.根据权利要求6或7或8所述的基于以太网认证系统的认证方法,其特征在于,认证点对于不同认证请求者的报文用不同的标记标识。
10.根据权利要求9所述的基于以太网认证系统的认证方法,其特征在于,所述标记是符合802.1Q标准的虚拟局域网标签。
11.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述控制点采用报文侦听的方式获取报文信息,再转发报文,具体是控制点配置与认证点、认证服务器相同的密钥,将接收到的报文存储,然后转发。
12.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述控制点通过作为认证点代理的方式获取报文信息,再转发报文,具体是控制点通过代理端口接收报文,将报文进行存储,然后转发。
13.根据权利要求11或12所述的基于以太网认证系统的认证方法,其特征在于,所述控制点在转发报文前,还包括对报文重新组包的步骤。
14.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述步骤11还包括如果认证成功,则认证服务器在鉴权用高层协议认证成功报文中还含有给认证请求者授权的协商参数和认证请求者的相关业务属性。
15.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述控制点或认证点保存认证请求者进行第一次认证时的信息,包括用户名、用户MAC地址、用户密码、认证结果中的用户权限。
16.根据权利要求15所述的基于以太网认证系统的认证方法,其特征在于,如果控制点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括如果认证请求者在不同的认证点之间进行切换时,通过控制点进行重认证的步骤包括新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文;新认证点将含有身份认证信息的应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者的信息,产生含有加密算法质询请求报文的访问质询报文,发送给新认证点;新认证点将加密算法质询请求报文发送给认证请求者;认证请求者进行加密运算,向新认证点发送加密算法质询应答报文;新认证点将质询应答报文封装到鉴权用高层协议访问请求报文中,发送给控制点;控制点根据保存的认证请求者信息,判断认证请求者是否合法,向新认证点回应认证成功/失败报文;新认证点将成功/失败报文回应给认证请求者。
17.根据权利要求15所述的基于以太网认证系统的认证方法,其特征在于,如果认证点保存认证请求者进行第一次认证时的信息,则所述认证方法还包括如果认证请求者在不同的认证点之间进行切换时,通过认证点进行重认证的步骤包括新认证点向认证请求者发送提交身份认证信息的请求报文;认证请求者回应含有身份认证信息的应答报文给新认证点;新认证点根据报文中提供的旧认证点的地址信息,向旧认证点发起获取认证请求者对应的第一次认证信息的请求;旧认证点将含有认证请求者认证信息的应答报文返回给新认证点;新认证点根据历史认证过程中保存的信息,产生含有加密算法的质询请求报文,发送给认证请求者;认证请求者进行加密运算,将质询应答报文发送给新认证点;新认证点根据历史认证过程中保存的信息,判断认证请求者是否合法,然后回应认证成功/失败报文给认证请求者。
18.根据权利要求17所述的基于以太网认证系统的认证方法,其特征在于,所述新认证点与旧认证点之间通过认证点间协议IAPP或共享密钥的方式进行通讯。
19.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括当认证成功后,认证请求者通过地址分配获取IP地址,建立以太网网络层服务,开展上网应用,控制点对认证请求者进行计费管理。
20.根据权利要求19所述的基于以太网认证系统的认证方法,其特征在于,所述计费在认证服务器返回认证成功的报文后,在认证点或者控制点启动;或者在认证成功后,且认证请求者的网络层服务建立后,在认证点或者控制点启动。
21.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括认证请求者主动向认证点发送下线消息;认证点向控制点发送计费停止请求的报文;控制点将报文转发给认证服务器;认证服务器向控制点返回计费停止请求应答报文,控制点将应答报文转发给认证点。
22.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括认证点定时检测认证请求者,如果检测到认证请求者不在线,则向控制点发送计费停止请求的报文;控制点将所述报文转发给认证服务器;认证服务器返回计费停止应答报文给控制点;控制点将应答报文转发给认证点。
23.根据权利要求1所述的基于以太网认证系统的认证方法,其特征在于,所述认证方法还包括在所述步骤1之前,还包括配置认证点的端口控制功能是否启用的步骤。
全文摘要
本发明提供一种基于以太网认证系统的认证方法,该认证系统包括认证请求者、认证点、控制点和认证服务器,在认证点完成原有802.1x认证的同时,控制点同步获取与认证点相同的认证请求者的认证信息,完成扩展认证协议的认证。本发明由于控制点参与了认证过程,可以及时获得认证请求者的认证、授权信息,从而可以对每个认证请求者进行管理;认证点对于非802.1x认证的网络报文可进行透明传输,使得多种认证方式可以同时存在,由控制点完成各种认证。另外,对于WLAN用户由于切换带来的重认证,由控制点或认证点代替认证服务器进行认证,实现了快速重认证,大大缩短了切换时间。
文档编号H04L12/28GK1567868SQ0314519
公开日2005年1月19日 申请日期2003年7月2日 优先权日2003年7月2日
发明者金涛, 孔涛, 陈殿福, 李晨 申请人:华为技术有限公司