专利名称:捕获网络中的网络附属请求方的连接信息的方法和系统的制作方法
技术领域:
本发明涉及有线或无线网络环境中动态分配的地址,尤其涉及网络环境中基于端口的认证,以及涉及对作为在动态地址分配、认证以及连接中包含的协议交换的结果创建的信息的管理员访问。
背景技术:
802.1X标准旨在增强遵循IEEE 802.11标准的无线局域网(WLAN)的安全性。802.1X为无线局域网提供了认证框架,允许中央认证机构对用户进行认证。用于确定用户是否可信的实际算法是由标准公开的,并且多种算法都是可行的。
802.1X为认证过程期间的消息交换使用一种工作在以太网、令牌环网或无线局域网上的现有标准,即可扩展认证协议(EAP,RFC 2284)。
在使用了802.1X的有线或无线局域网中,用户(称为请求方)请求接入某个接入点(称为认证方)。所述接入点迫使用户(更确切的说,用户的客户机软件)进入一种未经认证的状态,该状态允许客户机仅发送EAP起始消息。所述接入点将返回请求用户标识的EAP消息。所述客户机返回所述标识,然后该标识由所述接入点转发到认证服务器,所述认证服务器使用某种算法来认证用户,然后向接入点返回“接受”或“拒绝”消息。假设接收到“接受”,则该接入点将客户机状态更改为已认证,并且此时可以开始正常的业务。
虽然802.1X并未规定可供认证服务器使用的工具或应用,但是认证服务器可以使用远程认证拨入用户服务(RADIUS)。
如上所述,在802.1X之类的当前连接协议中,请求方(用户)的MAC地址(介质访问控制地址)、用户ID以及密码和数字证书之类的用户独有的秘密信息将被提供给认证服务器。认证服务器对用户进行认证,并且向交换机返回指示是否应该将用户与网络相连的消息。这其中的一个问题是用户提供的信息对服务器而言是不可用的。
用户提供的信息包括1)认证方信息,例如交换机或无线接入点标识;2)物理认证方(也就是交换机)端口号;3)连接到端口的系统的一个或多个MAC地址;4)连接到端口的系统的IP地址;5)认证服务器标识;6)其他管理员定义的与认证方(如交换机或无线接入点)有关的信息。
网络管理员需要对作为就连接到特定认证端口的特定用户而言的认证过程的一部分创建和交换的信息进行访问。此信息是有效的网络管理以及故障解决过程所需的。
一个问题是诸如802.1X之类的当前标准并未提供可用于从认证方获得此信息的方法。此外,当前协议没有有效的方法来提供此信息。
由于协议802.1X是基于端口的认证协议而不是数据库管理系统或协议,因此会出现这些问题。即,802.1X被限于在认证方(如交换机端口)处对设备进行识别和认证。
图1描述了使用802.1X协议在将设备101插入网络时对其进行认证的现有技术的典型网络。如图1所示,在启用了802.1X的局域网中,在步骤1,认证方(交换机)103质询客户机101的标识。这是为了认证用户被授权接入网络。客户机101做出响应1,并且认证方103将所提供的请求方标识发送2到认证服务器105,如远程认证拨入用户服务(“RADIUS”)服务器,以便对客户机进行实际认证3。
认证服务器105使用响应来应答3认证方103。如果客户机101被授权,则交换机103将客户机端口置于“已认证”和转发状态。交换机103将认证结果4中继到客户机101。一旦客户机已被认证并且端口处于已授权状态,则客户机101就可以访问5网络以及网络资源107。
但是,如果认证并未成功,则交换机103使端口保持关闭,并且没有业务可以经过该端口。
现有技术系统的一个缺点在于诸如802.1X之类的当前标准并未提供可用于从认证方103获取网络管理和资产管理的信息的方法,其中所述信息可以是认证方信息、交换机或无线接入端口、物理认证端口号、MAC地址、IP地址和认证服务器,以及时间戳。
发明内容
现有技术的缺陷和缺点可以通过在此描述的方法、系统以及程序产品来消除。如此处所述的,所述方法、系统和程序产品捕获在认证方处观察的请求方(客户机)信息,并且将其传送到中央站点,即管理员站点。此信息是在协议交换过程中最初创建的信息。所述信息被保存在一个或多个数据库或扩充的数据库中。通常,此信息包含IP地址相关性的所有者、MAC、IP、交换机端口号、交换机ID以及认证服务器ID。
在优选实施例中,所传送或收集的信息可用于恶意软件清除、漏洞扫描、基于使用的计费以及资产管理。
通过将数据获取、数据存储以及数据库管理功能与认证方功能集成,可以获得这些结果。
图1是具有客户机(请求方)、Radius认证服务器、交换机以及寻求接入的内部网络的现有技术网络的图示;图2是具有客户机(请求方)、Radius认证服务器、交换机、寻求接入的内部网络以及作为管理站点的中央站的本发明的网络,其中该中央站点可以包括数据服务器以及数据库管理系统服务器;图3描述了现有技术的协议流,并且具体示出了在中央服务器或中央站点与认证方之间不存在数据流;图4描述了在此所述的本发明的协议流,并且具体示出了在中央服务器或中央站点与认证方之间存在数量相当大的数据流;图5描述了在中央站点内或跨中央站点提供的“通信表”数据结构;图6描述了具有认证方与中央站点之间的数据流以及在关联数据库中存储信息的本发明的方法的流程图;图7描述了扩充数据库的结构。该数据库包括中央站点地址、认证服务器ID、交换机ID、交换机端口ID、MAC地址、IP地址、端口激活时间、以太网网墙(wall)端口、用户ID以及所有者;以及图8描述了图7中所述的数据库内的信息流。
具体实施例方式
所述方法、系统和程序产品有助于在网络(如有线或无线网络)中捕获、存储以及后续利用连接数据。所述方法、系统和程序产品向中央点提供了与已认证的端口用户有关的完整的第二层和第三层信息。所述中央点可以是认证方交换机、认证服务器或是与内部网络关联的服务器。
在另一个实施例中,本发明还提供了已连接设备的IP地址与其MAC地址的关联。这避免了创建单独的MAC到IP注册数据库系统(所述系统然后必须与DHCP系统链接以便动态分配IP地址)的成本和复杂性。
此处描述的方法、系统和程序产品可以例如周期性的或根据需要或在发生事件时(如断开端口的连接)报告交换机状态的变化。
此外,此处描述的方法、系统和程序产品可以有助于交换机在观察附加信息以及向中央站点发送附加信息时的操作。这其中包括端口状态、端口速度、每秒的分组统计等。
应该指出,图5和8的通信表中包含的信息可在SNMP MIB中可用,以便使用SNMB过程来进行检索。同样,图5和8的通信表中包含的信息可以被发送到网络上的RADIUS或TACACS认证服务器105或服务器209。这些服务器将始终具有处于其控制范围内的交换机的信息的副本,可选地,包括将从所述认证服务器拉信息的中央站。
图2描述了本发明所构想的使用802.1X协议来在将设备101插入网络时对其进行认证的网络。如描述现有技术的图1以及描述本发明的一个实施例的图2所示,在启用802.1X的局域网中,认证方(交换机)103将在步骤1质询客户机101的标识。这是为了认证用户被授权接入网络。客户机101做出响应1,并且认证方103将所提供的请求方标识发送2到认证服务器105,如远程认证拨入用户服务(“RADIUS”)服务器,以便对客户机进行实际认证3。
认证服务器105使用响应来应答3认证方103。如果客户机101被授权,则交换机103将客户机端口置于“已认证”和转发状态。在流程6中,交换机103将认证结果4中继到客户机101以及中继到内部网络107(可选地包括认证数据库209)。一旦客户机101已被认证并且端口处于已授权状态,则客户机101就可以访问5网络以及网络资源107,并且管理员(未示出)就可以利用数据库209中的认证和连接数据。
但是,如果认证并未成功,则交换机103使端口保持关闭,并且没有业务可以经过该端口。
图3描述了现有技术的协议流,具体示出了在中央服务器107或中央站点与认证方103之间没有数据流。该图描述了对已连接的用户进行认证的过程。
如图3所示,存在两条并行的路径,左侧具有奇数并开始于“开始”301的第一路径示出了交换机103处的活动,而右侧具有偶数并开始于“开始”302的第二路径示出了认证服务器105处的活动。
在交换机103处,当交换机103接收到来自客户机101的端口激活请求305时,过程开始301。交换机301将该激活请求发送到认证服务器105。已被启动302的认证服务器105接收该请求并判定认证是否成功308。如果成功310,则认证服务器105在步骤310向认证交换机103回送认证成功指示符,并且将会结束312。如果在认证服务器处的认证过程不成功,则认证服务器105向认证交换机103发送认证失败指示符314,并且所述过程结束316。
在认证交换机321处接收响应(无论是成功认证310还是认证失败314)并且对其解码323。如果成功,则认证交换机103将激活端口331。但是,如果认证服务器105处的认证不成功314,则认证交换机在步骤341向客户机101回送认证失败指示符,并且将关闭交换机端口。
在现有技术中,如图3所示,其中并未捕获和存储用户ID、无线节点编号的壁板(wall plate)编号或MAC地址。任何捕获和存储用户数据都在内部网络107中的单个应用处,并且涉及单个主机和基于主机的处理的常规安全性、访问以及特权考虑,且与网络接入或利用无关。内部网络107中基于主机的过程不关注或不考虑网络连接或网络用户登录数据。
但是,网络管理员确实关注、需要并且关心网络连接以及网络用户登录数据。此处描述的方法、系统和程序产品捕获网络用户(请求方或客户机)的网络连接以及用户登录数据。这在图4的流程图中描述,图4描述了根据本发明的添加所功能和能力,这些功能和能力以协作方式扩充了图3的流程图中示出的方法和系统。
所述过程开始于中央站点的“开始”405以及认证交换机的“开始”401。中央站点209启动405并且将自身注册(认证交换机处理流程中的403,中央交换机处理流程中的407)到交换机103。如图3所示,所述过程继续直至认证交换机103激活331端口101。这时,交换机103捕获所需的信息451。此所需的信息包括中央站点ID、端口ID、用户ID、MAC地址等。交换机103将此捕获的信息发送到中央站点209,中央站点209则捕获、接收和存储信息411,并且过程结束413。
图4描述了本发明的扩充和集成的方法及系统的流程图。与图3和图4相比,图4描述了对图3的流程图中的现有技术协议和处理流程所进行的扩展。
虽然将中央站点107作为单个单元来描述,但是所述中央站点也可以采用不同的方式来实现,甚至可以作为分布式系统来实现。
图5描述了在诸如服务器209之类的中央站点107中提供或跨中央站点107提供的“通信表”数据库元数据以及架构。
首先转到图5的表格,每个交换机端口都具有行511。标识每个交换机端口的是中央站点地址513、认证服务器ID 515、MAC地址517、IP地址519以及时间戳521。对于每个端口,认证交换机103会在协议操作及其处理过程中捕获和存储信息。
在图5的表格中,列“中央站点地址”513表示希望获取关于端口的信息的已注册中央站点的逻辑地址。可以注册和产生多个通知。
“认证服务器ID”515标识了用作端口认证的授权源的认证服务器105。一个或多个MAC地址517表示被授权使用该端口的MAC地址。
IP地址519以及时间戳521是逻辑配对的字段,它们表示观察到其源是来自已标识端口的IP地址的时间。应该指出,每个端口可以有一个以上的IP地址-时间戳配对。这些配对在列523和525中示出。这在列“IP地址”中表示。所述表是可伸缩的和可扩展的,并且可以根据网络管理员的需要来定义添加其他的列527。
图6描述了具有认证方与中央站点之间的数据流的本发明的方法的流程图。如图6所示,当端口状态改变时,交换机将此信息发送到中央站点。此处描述的发明是针对或经由交换机所进行的与注册请求过程关联的操作集合。我们将其称为“注册和报告”。
转到图6,可以看出的是,图2的交换机103执行了下列步骤来进行“注册”开始于601,中央站点/认证服务器105向交换机103发送注册请求603。已启动621的交换机103接收所述注册请求,所述请求指定了观察哪个或哪些端口,并且交换机103将认证服务器105的ID或指向该ID的指针置于通信表中与所要观察的交换机端口511相对应的列中。
此处描述的发明与交换机103、认证服务器105以及中央站点209之间的通信路径无关。所述路径可以是简单的UDP帧、TCP会话、或是SNMP流程,其中在所述SNMP流程中可以使用SNMP集合将“中央站点209的地址”置于交换机103中,并且可以使用SNMP警报或读取在交换机103与中央站/认证服务器105之间来回移动信息。
此后,如图6所示,交换机103将会执行下列功能以便进行“报告”首先,在结束协议交换时,交换机103判定端口是否被连接629,如果是,则将下列信息置于633通信表501中i)认证服务器ID 515ii)具有交换机端口ID 511的表键值的请求方MAC地址。
接着,交换机103在635观察流经交换机103的IP分组的源地址,并且在637将交换机端口ID的表键值与IP地址519以及时间戳521一起置于通信表501中。
如果IP地址改变并且“中央站点”209指示希望得到所述信息,则所述端口的记录将会在613被发送到“中央站点”209。
所述交换机具有根据IP地址的时间戳表项来使所述IP地址老化(ageout)的能力。
当端口变得不活动时,将清除641以该端口为关键词的认证服务器ID、一个或多个MAC地址等的值。如果“中央站点”209请求了所述信息,则所述信息会在613被发送到“中央站点”209。
认证交换机103观察流经交换机的IP分组的源地址的步骤可以通过监视源IP地址的端口分组流来完成。可替代地,认证交换机103观察流经交换机的IP分组的源地址可以通过观察包含与请求方有关的信息的第三层和第二层业务来完成。这包括ARP业务、DHCP流等。
在本发明的另一个实施例中,交换机103通过请求方客户机将分组与请求方的IP地址一起发送给认证方来观察流经交换机的IP分组的源地址。
本发明可以采用集成到现有软件中的本发明的方法、系统和程序产品的一个或多个扩展来实现,对使用微处理器技术构造的交换机来说更是如此。作为补充或替代,可以对网络处理器编程并且该处理器可以使用硬件辅助。在另一个实施例中,必要的代码可以被硬连线到FPGA或ASIC模块中。
在本发明的一个特别优选的示例中,可以扩充数据库表(例如,如图5所示)中的注册和认证信息来为所有者提供IP地址信息以及其他信息。
图7描述了根据本发明的此实施例的扩充数据库。该数据库包括用于“数据库A”的中央站点地址、认证服务器ID、交换机ID、交换机端口ID、MAC地址、IP地址以及端口激活时间,以及“数据库B”的认证服务器ID、交换机ID、MAC地址和用户ID的列,由此合并形成了具有中央站点地址、认证服务器ID、交换机ID、交换机端口ID、MAC地址、IP地址、端口激活时间以及用户ID的“数据库C”。接下来,具有交换机ID、交换机端口以及以太网端口ID的“数据库D”与“数据库C”合并以形成“数据库E”。“数据库E”包含中央站点地址、认证服务器ID、交换机ID、交换机端口ID、MAC地址、IP地址、端口激活时间、用户ID以及以太网网墙端口ID。然后,MAC地址以及所有者被与“数据库E”合并以形成“数据库F”,数据库F此时包含了中央站点地址、认证服务器ID、交换机ID、交换机端口ID、MAC地址、IP地址、端口激活时间、用户ID、以太网网墙端口ID以及所有者。所述数据库是可扩充和可扩展的。
此附加信息可以用于恶意软件清除、漏洞扫描、基于利用率的计费、系统论坛和事件响应,以及资产管理。具体地说,从注册和报告中得出的信息可以与MAC/所有者信息相关联,并且称为合并数据的交换机端口/壁板信息可用于提供IP地址(例如,网络上观察到的动态IP地址)与所有者连同物理位置之间的关联。然后,此添加的信息可以用于支持恶意软件清除、漏洞扫描、基于利用率的计费、计算机论坛和事件响应,以及资产管理。
例如,所合并或关联的数据有助于对网络设备进行识别,并且有助于将所识别的设备与其所有者相关联,此外还有助于对联网设备(尤其是受到恶意软件感染的联网设备)进行物理定位。
此外,所合并或关联的数据有助于对联网设备进行识别,并且有助于将所识别的设备与其所有者相关联,并且可选地,还有助于对联网设备进行物理定位以便识别接入位置和时间。
另外,所合并或关联的数据有助于识别具有动态IP地址的联网设备,并且有助于将所识别的设备与其所有者相关联。
所合并或关联的数据的另一个用途是帮助识别具有动态IP地址的联网设备,并且将所识别的设备与其所有者相关联,以便根据网络接入时间和带宽利用率来进行计费。
所合并或关联的数据的另一个用途是有助于对连接到网络的协议兼容设备进行识别,并且有助于确定网络设备的当前位置以便进行资产管理。
在认证交换机103观察设备何时在交换机端口上变得活动,并且向中央存储库209(例如,注册和记录)发送诸如MAC地址、IP地址、关联交换机端口标识以及网络连接时间之类的信息的基础上,可以形成相关数据库。在一个示例中,为网络上的每个设备都形成具有一组有序MAC地址和所有者配对的数据库。为网络上的每个设备形成的此数据库或数据库字段(其可以是MAC注册数据库)可通过Web界面或通过挖掘现有数据库来同等地形成。
此数据字段或数据库与协议信息相合并或相关联,由此在MAC-IP-所有者数据库中产生MAC-IP-所有者关联。这使用由请求方提供的ID来完成。
具体地说,在优选实施例中,交换机将观察设备何时变得活动,并且会向数据库之类的中央存储库发送信息。所述数据库具有形成MAC地址与所有者之间的关联所必需的数据。这提供了有价值的数据和信息来进行恶意软件清除、漏洞扫描、基于利用率的计费、论坛,以及资产管理。
在此处可以结合该数据库来构造和使用不同的查询。相关的实例是数据库、恶意软件、论坛、扫描、计费以及资产管理。
可以与所述数据库一起构建和使用各种查询。示例为基础、恶意软件、论坛、扫描、计费以及资产管理。
数据库使用从协议802.1X的操作中得出的信息,并且将该信息与MAC/所有者信息数据库以及交换机端口/壁板信息数据库相合并,以便创建具有IP地址(例如,网络上观察到的动态IP地址)与所有者连同最终设备的物理位置之间的关联的新数据库或数据库字段。这可用于支持恶意软件清除、漏洞扫描、基于利用率的计费、计算机论坛和事件响应,以及资产管理。
恶意软件使用所合并的数据库来识别联网设备所有者,并且物理地定位受到恶意软件感染的设备。
论坛使用所合并的数据库来识别网络设备用户/所有者,并且跟踪网络接入位置和时间。
扫描使用所合并的数据库来识别具有动态IP地址并根据IP地址来扫描的设备。
计费使用所合并的数据库来识别具有动态IP地址的设备的所有者,并根据网络接入时间以及带宽利用率来对其进行计费。
资产管理使用所合并的数据库来识别例如802.1X兼容或其他协议兼容并连接到网络的设备、这些设备的所有者以及这些设备的当前物理位置,以便进行资产管理。
根据本发明,交换机或其他设备将观察设备何时在交换机端口(例如,物理交换机端口)上变得活动,并且将该信息发送到中央存储库。此信息包括MAC地址、IP地址以及关联的交换机端口标识和网络连接时间。此信息集合被用作服务所依赖的信息的根资源。
图6和7描述了合并单个数据库或数据库列表项来形成数据库。具体地说,如图6所示,本发明的方法和系统形成的是相关数据库。这通过为连接到网络的每个设备形成有序的MAC地址和所有者对来实现。这称为MAC注册数据库。这可以通过使用用户访问以创建MAC到所有者关联的Web界面来实现。可替代地,这可以通过挖掘现有数据库来实现。
接下来,同样如图6所示,来自MAC注册的MAC地址和有序配对信息被与协议802.1X信息相合并。这将产生MAC-IP-所有者数据库或数据库表项。图7描述了合并单个数据库或数据库列表项以形成数据库。
如总的描述的,MAC-IP-所有者数据库或数据库表项然后可用于帮助执行恶意软件清除、漏洞扫描、基于利用率的计费、计算机论坛和事件响应,以及资产管理。
恶意软件清除可以是手动或自动的。对于手动消除,威胁消除小组(例如,帮助台、客户服务台或CERT台)将判定具有给定IP地址的设备是否正在攻击其他设备或给出恶意软件感染的其他症状。使用MAC-IP-所有者数据库且将IP地址作为关键词,恶意软件消除小组可确定与入侵设备的IP地址相关联的所有者或物理交换机端口。恶意软件消除小组可以向所有者发出通知,也可以手动断开设备的连接。在自动的恶意软件消除中,系统询问所有者或交换机端口的物理地址,并且向所有者发出通知或断开设备的连接。
对于漏洞扫描,使用所有者和/或MAC地址的漏洞扫描小组将查询MAC-IP-所有者数据库,并且将获得关联的IP地址。使用此IP地址来执行设备扫描。
对于基于利用率的计费,基于利用率的计费小组将观察网络中的信息流,并构造以IP地址为关键词的利用率简档。使用IP地址作为MAC-IP-所有者数据库的关键词,所有者被映射到利用率简档。这些单独的简档将被聚合,并且对利用率以及所有者收费以便进行计费。
对于计算机论坛以及事件响应,使用本发明的方法和系统,威胁清除小组确定具有给定IP地址的设备正在攻击其他设备或给出系统入侵的症状。威胁清除小组将使用MAC-IP-所有者数据库并以IP地址作为关键词来获得入侵设备、所有者或与入侵设备的IP地址关联的交换机端口。这些处理是为了清除而请求的,所述处理例如可以是通知所有者、断开连接、阻止重新连接,或物理地定位设备以进行调查。
对于资产管理的情况,本发明的方法和系统维护设备的当前位置。这通过使用MAC-IP-所有者数据库并以所有者为关键词获得端口(该端口是网墙交换机端口或以太网网墙端口)来完成。此信息通过要求用户使用端口信息、MAC以及用户地址进行登录来被更新。
应该指出的是,如果协议802.1X请求方所提供的ID可以用作所有者标识的方法,则此信息可以独立使用,并且IP地址可以与该设备关联。
可替代地,如图8所示,802.1X请求方提供的ID被用作所有者标识811,并且未对IP地址寻址,而是从具有MAC/IP/所有者数据库831(具有关键词IP地址821)的动态或静态地址管理系统来获取IP地址。
例如,通过具有用于注册和记录网络中的访问数据和授权的系统,本发明可以作为软件或程序产品来实现。这通过在专用处理器或具有专用代码的专用处理器中作为软件应用来执行所述方法来实现。所述代码执行一系列机器可读的指令,这些指令也可以称为代码。这些指令可以驻留在各种类型的信号承载介质中。就此而论,本发明的一个方面涉及程序产品,所述程序产品包括信号承载介质或信号承载媒体,所述介质或媒体有形地包含机器可读指令的程序,该程序可由数字处理设备执行以便将用于保护和访问数字数据的方法作为软件应用来执行。
此信号承载介质可以包括例如服务器中的存储器。所述服务器中的存储器可以是非易失性存储装置、数据盘,甚至可以是供应商服务器上用于下载到处理器以进行安装的存储器。可替代地,所述指令可以包含在光数据存储盘之类的信号承载介质中。可替代地,所述指令可以存储在各种机器可读数据存储介质或媒体中的任何介质或媒体上,所述介质或媒体可以包括例如“硬盘”、RAID阵列、RAMAC、磁数据存储盘(如软盘)、磁带、数字光带、RAM、ROM、EPROM、EEPROM、闪存、磁光存储装置、纸穿孔卡、或任何其他合适的信号承载媒体中,所述媒体包括数字和/或模拟通信链路(其可以是电、光和/或无线的)之类的传输媒体。作为实例,机器可读指令可以包括从“C++”、Java、Pascal、ADA、汇编器之类的语言编译的软件对象代码。
此外,所述程序代码可以例如被压缩、加密或同时被压缩和加密,并且如在Zip代码和Cab代码中一样,所述程序代码可以包括可执行代码、脚本代码以及用于安装的向导。如此处所使用的,术语驻留在信号承载媒体中的机器可读指令或代码包括所有上述传递装置。
虽然以上公开示出了本发明的若干示例性实施例,但是对本领域的技术人员显而易见的是,在不偏离如所附权利要求定义的本发明的范围的情况下,在此可以做出各种更改和修改。此外,虽然以单数形式描述或要求保护本发明的元素,但是构想了复数形式,除非显式声明限于单数形式。
权利要求
1.一种在网络中捕获网络连接的请求方的连接信息的方法,所述网络包括所述请求方的网络连接点、认证服务器、介于所述网络连接点和认证服务器之间的认证交换机,以及连接信息服务器远程站点,所述方法包括1)所述认证交换机质询所述请求方的标识;2)所述认证交换机接收所述请求方对所述质询的响应,并且将所述请求方的响应传送到所述认证服务器;3)所述认证服务器将响应发送到所述认证交换机;其中如果所述请求方被授权,则所述认证交换机a)将所述认证结果中继到所述请求方;以及b)将所述请求方的ID和连接信息发送到位于所述远程站点的所述连接信息服务器。
2.根据权利要求1的方法,其中如果所述请求方被授权,则所述认证方交换机捕获所述请求方的ID和IP地址,并将所述请求方的ID和IP地址传送到连接数据库。
3.根据权利要求2的方法,其中所述连接数据库接收包括所述请求方的MAC地址、交换机端口号、交换机ID以及认证服务器ID中的一个或多个的其他信息。
4.根据权利要求3的方法,其中所述连接数据库包含MAC地址与关联的所有者标识的有序配对。
5.根据权利要求4的方法,包括通过浏览器来输入MAC地址和所有者标识。
6.根据权利要求4的方法,包括挖掘关联的数据库来恢复MAC地址与所有者标识的有序配对。
7.根据权利要求1的方法,包括捕获交换机状态的更改以及在连接数据库中收集所述更改。
8.一种用于与系统连接的请求方一起使用的计算机系统,所述系统包括所述请求方的系统连接点、认证服务器、介于所述系统连接点和认证服务器之间的认证交换机,以及连接信息服务器远程站点,其中1)所述认证交换机适于质询所述请求方的标识;2)所述认证交换机还适于接收所述请求方对所述质询的响应,并且将述请求方的响应传送到所述认证服务器;以及3)所述认证服务器适于将响应发送到所述认证交换机;其中如果所述请求方被授权,则所述认证交换机适于a)将所述认证结果中继到所述请求方;以及b)将所述请求方的ID和连接信息发送到位于所述远程站点的所述连接信息服务器;以及4)其中所述连接信息服务器适于接收、存储和处理请求方连接信息。
9.根据权利要求8的计算机系统,其中如果所述请求方被授权,则所述认证方交换机适于捕获所述请求方的ID和IP地址,并将所述请求方的ID和IP地址传送到连接数据库。
10.根据权利要求9的计算机系统,其中与所述系统关联的所述连接数据库适于接收包括所述请求方的MAC地址、交换机端口号、交换机ID以及认证服务器ID中的一个或多个的其他信息。
11.根据权利要求10的计算机系统,其中所述连接数据库包含MAC地址与关联的所有者标识的有序配对。
12.根据权利要求11的计算机系统,其中所述连接数据库适于通过浏览器来接收MAC地址和所有者标识。
13.根据权利要求11的计算机系统,包括挖掘关联的数据库来恢复MAC地址与所有者标识的有序配对。
14.根据权利要求8的计算机系统,所述系统适于捕获交换机状态的更改以及在所述连接数据库中收集所述更改。
15.一种包括存储介质的程序产品,所述存储介质其上具有计算机可读程序代码以便配置和引导包括计算机的计算机网络执行根据权利要求1-7中的任一权利要求的在所述网络中捕获网络连接的请求方的连接信息的方法,其中所述网络包括所述请求方的网络连接点、认证服务器、介于所述网络连接点和认证服务器之间的认证交换机,以及连接信息服务器远程站点。
全文摘要
一种用于基于端口的认证协议的方法、系统和程序产品,其中在网络环境内动态地分配地址,并且更具体地说,涉及所述网络环境中基于端口的认证,其中捕获并存储连接信息。这有助于管理员访问作为在动态地址分配、认证以及连接中包含的协议交换的结果而创建的信息。
文档编号H04L12/54GK1913474SQ200610115408
公开日2007年2月14日 申请日期2006年8月8日 优先权日2005年8月9日
发明者N·W·金, J·S·巴德斯立, C·S·林戈菲尔特, A·L·罗金斯基, N·C·斯特勒 申请人:国际商业机器公司