专利名称:一种网络的认证和计费的系统及方法
技术领域:
本发明属于网络通讯领域,特别是指一种网络的认证和计费的系统及方法。
背景技术:
在企业网或园区网的网络建设时,在内网接入层安全控制上,一般要在网络接入层使用802.1x交换机,采用802.1x认证技术进行网络接入层的控制。如果要进行用户上网计费,特别是内外网访问区分计费,或者内网访问不计费、外网访问计费这种方式,一般要在网络的出口处使用计费网关设备,采用web认证技术进行外网访问的计费与控制。传统方式上,如果需要同时实现内网802.1x控制、外网计费网关控制的方式,则可同时在内网采用802.1x认证技术,在外网采用web认证技术。这种网络方式如图1所示内外网区分控制、区分计费的组网方式。但目前,这种方式在具体的核心产品认证计费系统Radius Server和认证客户端上至少具有下列特征之一
1、在上网客户机的认证操作上,只能把802.1x认证和web认证做为完全独立的二次认证来操作,即首先上网用户要进行内网802.1x的认证,然后,上网用户还要手动进行外网访问的web认证。上网用户要独立地进行两次基本上不相干的认证操作,非常麻烦;2、传统的认证计费服务器(Radius Server)为了使计费不产生混乱,一般都采用认证帐号的唯一性认证,即某一帐号如果已经认证通过处于在线状态,其他人就不再用这个帐号进行上网认证。所以,传统方式上解决内网802.1x及外网web认证时,同一上网者在第一次的802.1x认证和第二次的web认证时,还不能采用同一个帐号进行认证。
因此,对一个用户而言,就需要在radius server认证服务器上开两套用户名/密码,这样上网用户不得不记住两套用户/密码,以分别进行内网的802.1x认证和外网的web认证。这样,就给用户带来很大的麻烦。
发明内容
本发明的目的在于克服背景技术中的而提供一种网络的认证和计费的系统及方法。它是一种二次认证转一次认证(DCN-UniAuthentication)技术。
并通过具体产品″DCBI-3000安全接入控制和认证计费系统DCBI-3000″和″DCN-UniClient统一认证客户端DCN-UniClient″来得到实现。
本发明是在校园网、大中型企事业单位网络中,内网采用802.1x进行接入控制,同时对上外网的访问也要进行认证计费的应用。它是由用户需要手动操作的内网访问认证、外网访问认证的二次认证,根据用户是否欠费、是否有权限访问外网等条件,自动实现内网802.1x认证和外网的计费网关的web认证的二次认证转为一次认证操作的技术。本发明可根据内外网的访问区分计费。并可解决在内外网认证计费区分控制时,用户需要进行二次拔号认证;以及在内外网认证计费区分控制时,内网用户名/密码和外网认证的用户名/密码要分别设置的问题。
本发明的技术方案是一种网络的认证和计费的系统,其特征在于它包括安全接入管理器(DCBA-3000W)、用户安全接入综合管理系统(DCBI-3000)、园区网络、802.1x交换机和二次转一次认证客户端(DCN-UniClient);它可实现内网采用802.1x安全控制,外网采用web网关认证进行计费,实现二次认证转一次的功能。
其中所述的用户安全接入综合管理系统(DCBI-3000),它是(神州数码)的认证计费AAA(认证、计费、授权)服务器,在支持标准的802.1x认证、PAP认证的基础上,增加了对用户的MAC地址、IP地址的信息收集功能,同时增加了用户在802.1x认证通过之后,根据是否欠费、是否有权限访问外网等信息,来确定该用户是否要发起针对外网网关DCBA-3000W的认证,如果需要外网认证,则这个信息通过802.1x交换机传递给二次转一次认证客户端(DCN-UniClient)。
所述的安全接入管理器(DCBA-3000W),是外网访问认证计费系统,是标准的基于PAP认证的网关。
所述的二次转一次认证客户端(DCN-UniClient),它包括增强802.1x的认证协议栈、Web认证协议栈两种协议栈的整合。对于增强的802.1x认证协议栈是在国际标准的802.1x协议栈基础上加了数据项的扩展,这些扩展项包括用户的IP地址、MAC地址信息;并在802.1x认证通过后,根据用户安全接入综合管理系统(DCBI-3000)下发是否有权限进行外网认证的信息自动发起针对外网网关安全接入管理器(DCBA-3000W)的认证。而web的认证方式则是采用标准的PAP协议。
所述的802.1x交换机,主要是(神州数码)增强的802.1x协议栈,交换机中的802.1x协议是在国际标准的802.1x协议的基础上增加了对认证用户的IP地址、MAC地址的识别判断,并将这些信息上传给用户安全接入综合管理系统(DCBI-3000)。
一种网络的认证和计费的方法,其特征在于它包括步骤1首先由用户发起,使用二次转一次认证客户端(DCN-UniClient)做802.1x的认证;步骤2如果802.1x认证返回的结果是认证成功,则要在认证成功报文中提取相应数据;是否要求二次转一次认证客户端(DCN-UniClient)自动发起第二次针对安全接入管理器(DCBA-3000W)的认证;如果包含在802.1x认证成功报文中的相应数据指示该用户需要发起第二次认证,则执行下面的步骤3;步骤3针对安全接入管理器(DCBA-3000W)发起认证,完成第二次认证的过程。
本发明的优点在于1、由于内网采用802.1x增强型认证技术(在DCBI-3000上采用的是EAPoR或CHAP扩展认证)进行接入层控制,在网络出口处采用接入管理器的web增强认证技术(在DCBI-3000上采用的是PAP或CHAP扩展认证)进行控制,对于DCBI-3000系统来讲,可采用同一套用户/密码进行认证,并且DCBI-3000能自动区分是内网认证还是外网认证。
2、802.1x增强认证和web增强认证,可根据上网用户上内网、还是内外网同时上的不同需求进行选择进行认证,并且二种认证方式在用户操作上只需要进行一次认证拨号操作即可。
3、可记录用户上内网、外网的不同的流量和时长,实现内、外网区分计费。也可实现内网只认证不计费,只在外网计费。
图1现有技术中的内外网区分控制、区分计费的组网方式。
图2本发明的方框图。
图3本发明二次认证转一次认证的原理图。
图4本发明802.1x认证过程交互图。
图5本发明发起第二次认证的逻辑判断原理图。
图6本发明第二次认证的PAP认证的交互图。
图7-1本发明二次转一次认证客户端(DCN-UniClient)的第一部分原理图。
图7-2本发明二次转一次认证客户端(DCN-UniClient)的第二部分原理图。
具体实施例方式
下面结合说明书附图及实施例,对本发明作进一步的说明。
如图2所示,本发明网络的认证和计费的系统,它包括互联网通过路由器2与安全接入管理器3(DCBA-3000W)相连接;用户安全接入综合管理系统4(DCBI-3000)分别与安全接入管理器3(DCBA-3000W)及园区网络5相连接;园区网络5分别与802.1x交换机6和二次转一次认证客户端7(DCN-UniClient)相连接,它可实现内网采用802.1x安全控制,外网采用web网关认证进行计费,实现二次认证转一次的功能。
其中,安全接入管理器3(DCBA-3000W)它是外网访问认证计费系统;用户安全接入综合管理系统4(DCBI-3000)它是神州数码增强型的认证计费服务器;802.1x交换机6是神州数码增强的802.1x协议栈,它支持802.1x协议的以太交换机;二次转一次认证客户端7(DCN-UniClient)它包括神州数码增强802.1x的认证协议栈、Web认证协议栈两种协议栈的整合。
本发明网络的认证和计费的方法,它包括步骤1首先由用户发起,使用二次转一次认证客户端7(DCN-UniClient)做802.1x的认证;步骤2如果802.1x认证返回的结果是认证成功,则要在认证成功报文中提取相应数据;是否要求二次转一次认证客户端7(DCN-UniClient)自动发起第二次针对安全接入管理器3(DCBA-3000W)的认证;如果包含在802.1x认证成功报文中的相应数据指示该用户需要发起第二次认证,则执行下面的步骤3;步骤3针对安全接入管理器3(DCBA-3000W)发起认证,完成第二次认证的过程。
如图3所示,本发明二次认证转一次认证的基本原理及控制流程是在DCBI-3000上要设计成能够区分内外网进行认证的模式,区分的方法是在DCBI-3000上配置NAS接入设备(例如802.1x交换机、接入管理器待)时指定哪些是内网设备、哪些是外网设备。当这些NAS接入设备向DCBI-3000发出认证请求报文时,DCBI-3000会根据这些认证报文的源IP地址是来自哪个预先配置好的NAS接入设备,来确定是内网认证,还是外网认证。因此,这种区分认证报文是属于内网认证还是外网认证的机理,完全是在DCBI-3000上通过对NAS接入设备的属性设置实现的。
在认证通后,DCBI-3000通过上述方法确定认证是上内网、还是上外网后,将认证用户的信息显示在内网访问的在线用户表中或外网访问的在线用户表中,这个数据直接影响内、外网访问的不同计费策略。
用户完成此认证需要使用DCN-UniClient作为认证客户端软件进行上网认证。在认证时,DCN-UniClient首先对接入层的802.1x交换机发起认证,802.1x交换机将该认证请求中继到DCBI-3000上,DCBI-3000会根据一些控制信息(例如该用户在内网访问收费的情况下是否欠费、是否附合安全绑定信息等等)判断该用户的状态,如果用户状态通过,就接着判断此认证请求是访问内网、还是访问外网的。
因为,此认证是接入层认证,所以,应该通过上面的方法归为内网的访问认证。然后DCBI-3000判断此用户是否有访问外部网络的权利(例如该用户外网访问不欠费等等),并将该信息通知给DCN-UniClient。通知的方法是将该数据附加在内网认证的成功应答报文中,通过802.1x交换机传给DCN-UniClient。
在DCN-UniClient收到内网认证的成功就答报文后,会分析附加在报文后面的有关该用户是否有外网访问权利的数据。如果有,则自动发起第二次认证用于对外网的访问认证;如果没外网访问权利,则不发第二次用于访问外网的认证,从而用户不能门外网。
这个过程对于上网者而言,只有一次拔号过程,所以称之为“二次认证转一次认证”。
在控制流程中传送数据1、DCN-UniClient向802.1x交换机在认证时发送的数据它包括客户机的IP配置,包括IP、Mask、Default Gateway、DNS;客户机的MAC地址;认证用的安全数据,例如用户名、加密后的密码等。
2、802.1x交换机向DCBI-3000在认证时发送的数据客户机的IP配置,包括IP、Mask、Default Gateway、DNS;客户机的MAC地址;认证用的安全数据,例如用户名、加密后的密码等;交换机的一些数据,例如交换机的IP、厂商号、端口号、所属VLAN等。
3、DCBI-3000向802.1x交换机发送的认证应答数据,其中一些数据在特定情况下才回传的认证是否通过,如果认证不通过,回送认证不通过的原因。如果认证通过还要回送下面的数据;用户本次可以在线的时长数据;用户本次在线可以使用的流量的多少;授权给用户的VLAN的值;广告信息;是否启动用户访问外网的认证功能;(本条数据是决定二次认证转一次认证的关键数据)授权给用户的IP配置数据。
网络安全告警服务器的IP地址。
4、802.1x交换机向DCN-UniClient发送的认证应答数据,其中一些数据在特定情况下才回传的认证是否通过,如果认证不通过,回送认证不通过的原因。如果认证通过还要回送下面的数据;广告信息;是否启动用户访问外网的认证功能;(本条数据是决定二次认证转一次认证的关键数据)授权给用户的IP配置数据。
网络安全告警服务器的IP地址。
这些数据决定是否自动实现二次认证转一次认证。
如果上面所描述的下发给DCN-UniClient的数据包括″启动用户访问外网的认证功能″,则还要后续操作,并且接着传下面的数据。
5、DCN-UniClient向DCBA-3000W在认证时发送的数据(与上面提到的1在格式上不同)客户机的IP配置,包括IP、Mask、Default Gateway、DNS;客户机的MAC地址;认证用的安全数据,例如用户名、加密后的密码等。
6、DCBA-3000W向DCBI-3000在认证时发送的数据(与上面提到的2在格式上不同)客户机的IP配置,包括IP、Mask、Default Gateway、DNS;客户机的MAC地址;认证用的安全数据,例如用户名、加密后的密码等;DCBA-3000W的一些数据,例如IP地址、厂商号、端口号。
7、DCBI-3000向DCBA-3000W发送的认证应答数据(与上面提到的3在格式上不同)认证是否通过,如果认证不通过,回送认证不通过的原因。如果认证通过还要回送下面的数据;用户本次可以在线的时长数据;用户本次在线可以使用的流量的多少。
8、DCBA-3000W向DCN-UniClient发送的认证应答数据认证是否通过,如果认证不通过,回送认证不通过的原因。本发明的原理图如图3所示,如图3中标号1所示用户通过DCN-UniClient进行上网认证,DCN-UniClient向802.1x交换机发送认证请求,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的1所述,这此数据封装在EAPoL格式的报文;如图3中标号2所示802.1x交换机收到该数据后,经过某此处理后,再将认证数据封装在EAPoR的报文中发送给DCBI-3000,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的2所述;如图3中标号3所示DCBI-3000对该认证请求进行判断,并经过几次报文交换后,给出该用户是否可以认证通过的决定。如果能通过,DCBI-3000还根据该请求报文的源IP是访问内网认证还是访问外网认证,如果是本次认证是内网认证,则还是判断该用户是否能够访问外网,并将相应的结果发给802.1x交换机,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的3所述;如图3中标号4所示802.1x在收到上面的报文后,经过处理,再将结果传给DCN-UniClient,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的4所述;如图3中标号5所示DCN-UniClient在收到上述报文后,读取其中数据决定该用户是否在访问外网的权利。如果有此权利,则自动发起第二次对外网的认证,报文格式是自定的web认证的格式,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的5所述;如图3中标号6所示,DCBA-3000W仍然要将收到的认证请求报文经过处理后,再发给DCBI-3000,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的6所述;
如图3中标号7所示DCBI-3000根据报文的源IP可判断出此认证是对外网访问的认证,并决定是否允许该用户认证通过,并将结果发给DCBA-3000W,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的7所述;如图3中标号8所示DCBA-3000W收到该报文后,将结果传给DCN-UniClient,发出的主要数据内容如上节″在控制流程中传送的一些数据″中的8所述。
以上过程完成后,DCN-UniClient还要分别与802.1x交换机、DCBA-3000W保持着握手保活通讯,以探测是否会有异常掉线等情况发生。
本发明802.1x认证过程交互图,如图4所示。第一次认证的802.1x认证为了了解更多的接入用户信息,在EAP-Response/Identity报文中增加用户的IP、MAC地址等,用于在DCBI-3000的在线用户界面上进行显示。本过程可参见IEEE 802.1x标准。
本发明发起第二次认证的逻辑判断原理图,如图5所示。当收到EAP-Success时,如果报文中有要求DCN-UniClient发起外网的认证信息,则进行图6的业务流程,发起对外网网关DCBA-3000W;如果无上述认证信息,则完成认证过程,用户只能上内网。这是本发明的核心部分。对于DCN-UniClient,判断收到的″EAP-Success″报文中是否携带了要求DCN-UniClient对外网DCBA-3000W发起PAP认证的信息。在第一次的802.1x认证通过后,由DCBI-3000在认证成功的报文中增加了该用户是否有权发起第二次认证的功能。
本发明第二次认证的PAP认证的交互图,如图6所示。图6中“标准”是指符合国际工程师协会的Radius、PAP相关的RFC标准。
本发明二次转一次认证客户端(DCN-UniClient)的原理图,如图7-1、7-2所示,它是一个完整的自动完成二次认证过程的流程处理图。其核心部分是在第一次认证过程中增加了用户的IP和MAC地址,并且在第一次认证成功后,在返回给二次转一次认证客户端(DCN-UniClient)的认证成功报文中增加该用户是否有权发起第二次认证的选项,然后根据该选项自动发起第二次认证过程。
本发明二次转一次认证客户端(DCN-UniClient)的处理过程具体描述如下1)、首先,二次转一次认证客户端(DCN-UniClient)向802.1x交换机发起EAPoL-Start报文;2)、二次转一次认证客户端(DCN-UniClient)等待802.1x交换机的回应报文EAP-Request/Identity;3)收到回应报文EAP-Request/Identity后,使用EAP协议发送EAP-Response/Identity;4)、然后等待交换机的回应报文EAP-Response/Identity;收到回应报文EAP-Response/Identity,使用EAP协议发送EAP-Response/MD5Challenge;5)、然后等待交换机的回应报文EAP-Success/Failure;6)、如果收到EAP-Failure报文,则该用户的第一次认证过程失败,该用户不能上网;7)、如果收到的是EAP-Success,则在该报文中我们增加了用于表示该用户是否有权限访问外网的数据表示项,并且在该报文中指出了用于进行第二次认证的网关DCBA-3000W的IP地址。继续进行下面的操作;8)、从收到的EAP-Success报文中提取DCBA-3000W的IP地址;9)、使用PAP协议向DCBA-3000W发送认证报文;10)、等待DCBA-3000W的Success/Failure;11)、如果收到的回应是Success,则该用户二次认证成功,内网、外网都可以上;如果收到的回应是Failure,则该用户只能上内网,不能访问经由DCBA-3000W的外部网络。
在上述步骤3、4、5、10中,如果DCN-UniClient可能存在等待由802.1x交换机或DCBA-3000W的各种回应报文超时的情况,在重发次数没有超过阀值的情况下,DCN-UniClient则会重新发送先前发过的报文;如果等待回应的报文超时,并且重新发送的次数已经超过了阀值,则DCN-UniClient认为认证失败;在第一次的802.1x认证失败的情况下,则认证用户不能上网,如上述步骤中12、13、14所示;如果在第二次认证失败的情况下,则用户只能上基于802.1x交换机的内网,而不能经由DCBA-3000W访问外网,如上述步骤中15所示。
权利要求
1.一种网络的认证和计费的系统,其特征在于它包括安全接入管理器(DCBA-3000W)、用户安全接入综合管理系统(DCBI-3000)、园区网络、802.1x交换机和二次转一次认证客户端(DCN-UniClient);它可实现内网采用802.1x安全控制,外网采用web网关认证进行计费,实现二次认证转一次的功能。
2.根据权利要求1所述的网络的认证和计费的系统,其特征在于所述的用户安全接入综合管理系统(DCBI-3000),它是增强型的认证计费AAA服务器,在支持标准的802.1x认证、PAP认证的基础上,增加了对用户的MAC地址、IP地址的信息收集功能,同时增加了用户在802.1x认证通过之后,根据是否欠费、是否有权限访问外网等信息,来确定该用户是否要发起针对外网网关DCBA-3000W的认证,如果需要外网认证,则这个信息通过802.1x交换机传递给二次转一次认证客户端(DCN-UniClient)二次转一次认证客户端。
3.根据权利要求1所述的网络的认证和计费的系统,其特征在于所述的安全接入管理器(DCBA-3000W),是外网访问认证计费系统,是标准的基于PAP认证的网关。
4.根据权利要求1所述的网络的认证和计费的系统,其特征在于所述的二次转一次认证客户端(DCN-UniClient),它包括增强802.1x的认证协议栈、Web认证协议栈两种协议栈的整合。
5.根据权利要求1或4所述的网络的认证和计费的系统,其特征在于所述的二次转一次认证客户端(DCN-UniClient),对于增强的802.1x认证协议栈是在国际标准的802.1x协议栈基础上加了数据项的扩展,这些扩展项包括用户的IP地址、MAC地址信息并在802.1x认证通过后,根据用户安全接入综合管理系统(DCBI-3000)下发是否有权限进行外网认证的信息自动发起针对外网网关安全接入管理器(DCBA-3000W)的认证;而web的认证方式则是采用标准的PAP协议。
6.根据权利要求1所述的网络的认证和计费的系统,其特征在于所述的802.1x交换机,主要是增强的802.1x协议栈,交换机中的802.1x协议是在国际标准的802.1x协议的基础上增加了对认证用户的IP地址、MAC地址的识别判断,并将这些信息上传给用户安全接入综合管理系统(DCBI-3000)。
7.一种网络的认证和计费的方法,其特征在于它包括步骤1首先由用户发起,使用二次转一次认证客户端(DCN-UniClient)做802.1x的认证;步骤2如果802.1x认证返回的结果是认证成功,则要在认证成功报文中提取相应数据;是否要求二次转一次认证客户端(DCN-UniClient)自动发起第二次针对安全接入管理器(DCBA-3000W)的认证;如果包含在802.1x认证成功报文中的相应数据指示该用户需要发起第二次认证,则执行下面的步骤3;步骤3针对安全接入管理器(DCBA-3000W)发起认证,完成第二次认证的过程。
8.根据权利要求7所述的网络的认证和计费的方法,其特征在于内网采用802.1x认证,它包括在DCBI-3000上采用的是EAPoR或CHAP扩展认证进行接入层控制;在网络出口处采用接入管理器的web认证,它包括在DCBI-3000上采用的是PAP或CHAP扩展认证进行控制;对于DCBI-3000系统来讲,可采用同一套用户/密码进行认证,并且DCBI-3000能自动区分是内网认证还是外网认证。
9.根据权利要求7所述的网络的认证和计费的方法,其特征在于802.1x认证和web认证,可根据上网用户上内网、还是内外网同时上的不同需求进行选择进行认证,并且二种认证方式在用户操作上只需要进行一次认证拨号操作即可。
10.根据权利要求7所述的网络的认证和计费的方法,其特征在于它可记录用户上内网、外网的不同的流量和时长,实现内、外网区分计费;也可实现内网只认证不计费,只在外网计费。
11.根据权利要求1或7所述的网络的认证和计费的方法,其特征在于DCN-UniClient向802.1x交换机在认证时发送的数据它包括客户机的IP配置,包括IP、Mask、Default Gateway、DNS;客户机的MAC地址。
12.根据权利要求1或7所述的网络的认证和计费的方法,其特征在于802.1x交换机向DCBI-3000在认证时发送的数据客户机的IP配置,包括IP、Mask、Default Gateway、DNS;客户机的MAC地址。
13.一种网络的认证和计费的方法,其特征在于它包括1)、首先,二次转一次认证客户端(DCN-UniClient)向802.1x交换机发起EAPoL-Start报文;2)、二次转一次认证客户端(DCN-UniClient)等待802.1x交换机的回应报文EAP-Request/Identity;3)收到回应报文EAP-Request/Identity后,使用EAP协议发送EAP-Response/Identity;4)、然后等待交换机的回应报文EAP-Response/Identity;收到回应报文EAP-Response/Identity,使用EAP协议发送EAP-Response/MD5Challenge;5)、然后等待交换机的回应报文EAP-Success/Failure;6)、如果收到EAP-Failure报文,则该用户的第一次认证过程失败,该用户不能上网;7)、如果收到的是EAP-Success,则在该报文中我们增加了用于表示该用户是否有权限访问外网的数据表示项,并且在该报文中指出了用于进行第二次认证的网关DCBA-3000W的IP地址。继续进行下面的操作;8)、从收到的EAP-Success报文中提取DCBA-3000W的IP地址;9)、使用PAP协议向DCBA-3000W发送认证报文;10)、等待DCBA-3000W的Success/Failure;11)、如果收到的回应是Success,则该用户二次认证成功,内网、外网都可以上;如果收到的回应是Failure,则该用户只能上内网,不能访问经由DCBA-3000W的外部网络。
14.根据权利要求13所述的网络的认证和计费的方法,其特征在于在步骤3、4、5、10中,如果DCN-UniClient可能存在等待由802.1x交换机或DCBA-3000W的各种回应报文超时的情况,在重发次数没有超过阀值的情况下,DCN-UniClient则会重新发送先前发过的报文。
15.根据权利要求13所述的网络的认证和计费的方法,其特征在于如果等待回应的报文超时,并且重新发送的次数已经超过了阀值,则DCN-UniClient认为认证失败。
16.根据权利要求13所述的网络的认证和计费的方法,其特征在于在步骤12、13、14中,在第一次的802.1x认证失败的情况下,则认证用户不能上网。
17.根据权利要求13所述的网络的认证和计费的方法,其特征在于在步骤15中,如果在第二次认证失败的情况下,则用户只能上基于802.1x交换机的内网,而不能经由DCBA-3000W访问外网。
全文摘要
一种网络的认证和计费的系统及方法。该系统包括安全接入管理器(DCBA-3000W)、用户安全接入综合管理系统(DCBI-3000)、园区网络、802.1x交换机和二次转一次认证客户端(DCN-UniClient);它可实现内网采用802.1x安全控制,外网采用web网关认证进行计费,实现二次认证转一次的功能。该方法包括1.首先由用户发起,使用二次转一次认证客户端(DCN-UniClient)做802.1x的认证;2.如果802.1x认证返回的结果是认证成功,则要在认证成功报文中提取相应数据;是否要求二次转一次认证客户端(DCN-UniClient)自动发起第二次针对千兆安全接入管理器(DCBA-3000W)的认证;如果包含在802.1x认证成功报文中的相应数据指示该用户需要发起第二次认证,则执行下面的步骤;3.针对千兆安全接入管理器(DCBA-3000W)发起认证,完成第二次认证的过程。
文档编号H04L12/14GK1855933SQ200610067170
公开日2006年11月1日 申请日期2006年4月6日 优先权日2005年4月6日
发明者颜世峰 申请人:神州数码网络(北京)有限公司