专利名称:基于802.1x协议的网络设备认证方法及系统及中继转发装置的制作方法
技术领域:
本发明涉及网络通信领域,尤其涉及基于802.1x协议的网络设备认证方 法及系统及中继转发装置。
背景技术:
目前局域网中广泛使用的正EE 802. lx协议是基于端口的网络访问控制协 议,用于网络接入设备的物理接入级对接入客户端进行认证和控制。802.1x 协议的应用体系结构如图1所示,包括客户端、认证者和认证服务器;在用 户接入层以太网交换机实现802.1x的认证者部分,是位于局域网或无线局域 网点对点链路一端的一个实体;802.1x的客户端作为认证请求者是位于局域网 或无线局域网上点对点链路一端的一个实体,通常安装在用户端,如个人计算 机中;802.1x的认证服务器通常驻留在运营商的计费、认证和授权中心。802.1x 的客户端与认证者之间运行IEEE 802.1x定义的基于局域网的可扩展认证协议 EAPoL;认证者与认证服务器间同样运行扩展认证协议EAP。以太网交换机 端内部有受控端口和非受控端口;其中非受控端口始终处于双向连通状态,受 控端口只有在认证通过的状态下才打开,用于传递网络资源和服务,且受控端 口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。在上述 的体系结构下,连接在以太网交换或宽带接入交换机的端口上的用户设备如果 能通过认证,就可以访问网络内的资源;如果不能通过认证,则无法访问网络 内的资源。现有技术一中,客户端通过认证者向认证服务器发起认证请求,认证服务 器响应请求信息,通过认证者与客户端交互信息,最后由认证服务器根据交互 的信息判断客户端的用户设备是否合法,如果用户设备合法则通过客户端的认 证请求,并进行后续授权、计费等流程。上述技术中,仅是基于客户端和认证服务器之间的认证,没考虑到对认证
者的认证,如果认证者是一个不合法的设备,则可能造成中间人攻击,模拟客 户端信息进行欺骗,或者窃取用户的有用信息。例如窃听到客户的数据信息,或者一些有用的账户信息;另外, 一个不合法的认证者设备,还可能对服务器发起拒绝服务等攻击,占用网络资源。另外,在某些网络中,在802.1x认证服务器和客户端之间还存在有一些 用于转发数据的中间设备,上述技术中没考虑到对这些中间设备进行认证,中 间设备的物理地址MAC也就不能被认证者认可,因此这个MAC地址对网络 的访问就会被认证者拒绝,也就无法实现通过远程登录服务协议Telnet对这些 中间设备进行管理。现有技术二中,为使认证者也同样能得到认证,将客户端功能引入作为认 证者的网络接入设备的上行端口 ,使上行口可以启动认证程序并通过预配置的 上行口接收认证请求报文,如以太网交换机的上行端口,将客户端对象绑定到 以太网交换机的上行端口 ,使以太网交换机的上行端口成为802.1x协议中的 客户端,可以主动要求上级端口进行认证,并接收认证请求报文。如此,使得 认证者具有被认证的功 能。上述的现有技术二中的方法,虽考虑到对设备如何进行认证,但认证方法 中需要先设置上行口,而上行口不能随意改动,因此,需要预先对设备作很多 配置,而且一旦配置后,不能改动,这样对网络早期部署和后期扩容、维护都 带来很大的不变。发明内容本发明要解决的技术问题是提供一种基于802.1x协议的网络设备认证方 法,能够对所有接入网络中的设备进行认证。为解决上述技术问题,本发明提供一种基于802.1x协议的网络设备认证 方法,包括经预配置开启认证功能的网络设备向认证者发送认证开始报文;认证者接收到认证开始报文后,认证服务器判断是否收到认证者的授权标 志,如果收到且验证该授权标志为合法时,对该网络设备继续认证程序。
其中,网络设备周期性发起认证开始报文。其中,认证者接收到认证开始报文后,进一步包括认证者获取发送认证开始报文的网络设备的用户标识并将该用户标识发送给认证服务器;该方法中,认证服务器对接收到的认证者的授权标志验证为合法后,继续的认证程序包括认证服务器通过认证者向用户标识对应的客户端发送加密质询信息; 客户端接收到加密质询信息后,通过认证者向认证服务器反馈加密质询信息;认证服务器根据反馈信息对用户进行认证,判断用户是否合法,如果是,则该网络设备认证成功;如果否,则该网络设备认证失败。 其中,该方法进一步包括如果该网络设备认证成功,则认证服务器根据预配置的信息判断得到该网 络设备是认证服务器客户端之间转发数据的设备;认证服务器根据判断结果授权该网络设备为认证者,该设备配置自身成为 认证者需要使用的策略。其中,该方法进一步包括如果该网络设备认证成功,则认证服务器根据预配置的信息判断得到该网 络设备为在认证服务器与客户端之间转发数据的设备;认证服务器根据判断结果授权该网络设备为关闭认证功能的数据转发设备。本发明还提供一种基于802.1x协议的网络设备认证系统,包括认证请 求单元、中继转发单元、认证单元;认证请求单元,包括认证触发单元,用于向中继转发单元发送认证开始 报文;
中继转发单元,用于在接收到认证开始报文后,向认证单元发送作为中继 转发设备的授权标志;
认证单元,包括解析单元,用于当验证所接收的中继设备的授权标志为 合法时,对网络设备进行认证。
其中,中继转发单元,用于在接收到认证开始报文后,向触发单元获取网
络设备的用户标识,并与中继转发设备的授权标志一起发送至认证单元;
认证请求单元,还包括信息交互单元,用于与认证单元进行信息交互, 通过中继转发单元向认证单元反馈加密质询信息,并接收认证结果;
认证单元包括解析单元,用于当验证所接收的中继设备的授权标志为合法 时,通过中继转发单元将加密质询信息发送至该用户标识对应的信息交互单 元,当信息交互单元反馈的加密信息为合法的信息时,将认证成功的结果发送 至该信息交互单元。
其中,解析单元,进一步用于将认证成功的结果发送至配置单元;
认证单元还包括配置单元,当接收到解析单元对网络设备认证成功的结 果后,根据预置在服务器上的设备信息,区分所认证的设备是客户终端还是网 络中间设备并对中间设备授权为中继设备或认证者。
其中,包括数据接收单元、数据转发单元、数据存储单元;
数据接收单元,用于接收认证开始报文,并将获取的用户标识发送给数据 转发单元,接收加密质询信息并发送至数据转发单元,将接收的授权标志发送 至数据存储单元;
数据存储单元,用于存储作为中继转发装置的授权标志;
数据转发单元,用于发送接收的认证设备的用户标识与数据存储单元的授 权标志发送,以及发送接收到的加密质询信息。
以上技术方案可以看出,由于本发明中,在认证过程中,对接入网络中等 待认证的设备,服务器不区分为终端还是中间设备,统一认为是客户端而进行 认证,.在客户端与认证服务器通过认证者进行信息交互之前,认证者需要将已
通过认证服务器授权为认证者的授权标志发送给认证服务器进行验证,认证服 务器验证该授权标志为合法的授权标志时,才开始继续对客户端设备的认证程 序,否则结東本次认证,因此.本发明在者虑客卢端与认证服务器之间认证的 同时,也考虑到了认证者本身的认证,这样,保证了作为认证者的设备为一个 合法的设备,有效防止了不合法设备对网络可能造成的中间人攻击,以及对服
务器发起的DOS攻击等,增强了网络的安全性。
另外,本发明中,由于在认证过程中,认证服务器对等待认证的网络设备 不区分是用户终端还是网络内部设备,对接入网络中的设备全部进行认证,这 样,服务器除了客户端的用户终端进行认证之外,网络内部的设备也需进行认
该物理地址对网络的访问,增强了对网络设备的维护性。
进一步,本发明中,在进行认证之前,不需要预先对网络中等待认证的设 备的上行口进行预配置,而是将该设备的所有端口均设置可以并只能接收认证 请求报文的端口,开启802.1x协议认证功能。因此,不用改动设备的上行端 口,操作简便,也为网络的早期部署和后期的扩容、维护带来了方便。
图1为802.x协议的应用体系结构图; 图2为实施例中网络设备认证的具体流程图; 图3为本发明系统框图; 图4为中继转发装置框图。
具体实施例方式
本发明提供一种基于802.1x协议的网络设备认证方法,其核心思想是 对网络设备的认证过程中,认证服务器将接入的等待认证服务器认证的网络设 备均认为是客户端,而不区分是用户的终端还是网络内部的中间设备,对等待 服务器认证的网络中设备预配置为所有端口只能接收认证请求报文,并且所有 端口均可以发送认证开始报文,使网络中的设备均被开启802.1x协议的认证
功能,配置后的网络设备启动触发认证程序后,网络中的设备通过已经被认证 服务器授权的认证者,与认证服务器进行信息交互,请求认证服务器认证,认 证服务器根据得到的该设备信息判断该设备是否合法,如杲合法,则对该设备 实现认证。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并结合 具体实施例对本发明作详细描述。
系统初始化时,由管理员确定等待认证的设备是客户终端还是网络内部的
认证者或中继设备,并将该网络设备的用户名、MAC地址、证书等预先配置 在认证服务器上。但在认证的过程中,将接入网络中的设备均当作客户端,不 区分是终端还是中间设备。以下实施例中,所述认证者为当前认证过程中已经 被授权作为认证者的网络设备,所述客户端为请求认证的网络设备,包括终端 和中间i殳备。
参见图2,认证服务器对网络中等待认证的设备进行认证的流程如下
步骤201 步骤203:客户端向认证者发送一个EAPoL认证开始报文,认 证者接收到该报文后向客户端发送EAP认证请求用户标识报文,请求客户端 上报用户标识,客户端回应 一个EAP用户标识报文给认证者,该报文中包括 用户标识,其中,该用户标识通常为客户端网络设备的用户名,但也可以是表 明设备身份ID的证书等;
其中,对接入网络中的等待认证服务器认证的设备都预配置802.1x客户 端认证所需要的信息,如用户名、密码、证书等等,将除了特殊端口,如 接入打印才几的端口 ,之外的端口都开启802.1x协i义iU正功能;
预配置后的设备不转发任何报文,除了接收认证请求用户标识报文,不接 收任何其他报文;由于设备不转发报文,因此只有和已经授权的认证者位置最 接近的设备可以得到认证请求报文;
其中,如果客户端的用户是手工配置地址的,则客户端向认证者发送的报 文可能是ARP请求报文,如果用户是动态分配地址的,客户端向认证者发送 的报文可能是DHCP请求报文;
步骤204:认证者将包括授权标志的访问请求报文发送给认证服务器;其中,本次认证程序中的认证者为在前一次认证程序中通过认证后,被 服务器授权成为合法认证者的网络中的接入设备,该设备作为了下次网络设备 请求认证过程中的认证者,其中,认证服务器保存通过认证设备的标识并授权 该设备成为认证者;其中,认证请求报文中所包括的授权标志为认证者自己的 签名,签名用服务器的公钥加密;但授权标志不限于此,也可采用其他标志;其中,最初的合法认证者是通过手工授权的设备,该设备在网络的最高端, 由网络管理员保证设备安全性.,可靠性;步骤205 步骤206:认证服务器接收到认证请求后,将接收到的认证者的 授权标志与保存的认证者的标识配比验证,如果找到与授权标志对应的认证者 标识,则该授权标志为合法的授权标志,并通过认证者向客户端发送加密质询 信息,与客户端进行信息交互,如果认证者没有发送授权标志或授权标志不合 法,则结束本次程序;步骤207 步骤208:客户端通过认证者向认证服务器反馈加密质询信息;步骤209 步骤210:认证服务器根据反馈信息判断用户是否合法,将认证 结果通过认证者发送给客户端;其中,如果客户端的网络设备是不合法的设备,则结束流程;其中,当客户端的网络设备是合法设备时,认证服务器将进一步根据预先 在服务器上绑定的该设备的信息,如用户名、MAC地址、证书等等,判断 该设备是被管理员确定为客户终端还是网络内部中继设备或者是认证者,并将 判断的结果与回应的认证结果一起通过认证者发送给客户端,其中,判断结果 可以以标志位的形式附带于回应的iU正成功的l艮文中;如果客户端是终端,则可进行后续授权、计费等程序;如果客户端是中间设备,认证服务器可以根据预先设置的该设备信息判断 得到管理员预先确定该设备为认证者,则授权该设备为认证者,该设备根据接 收到的授权,配置自身设备作为认证者所需要使用的地址学习和虚拟局域网Vlan绑定等策略;授权为认证者后,该设备可以根据接收到的由网络设备发 送来的认证开始报文,发送认证请求等报文;如果客户端是中间设备,认证服务器可以根据预先设置的该设备信息判断 得到管理员预先确定该设备为中继设备,则授权该设备为网络内部的中继设 备,该设备根据接收到的授权,配置自身设备,关闭设备认证功能,使得所有 的端口不需要认证就可以正常发送报文。为实现上述方法,本发明提供了一种基于802.1x协议的网络设备认证系 统,包括认证请求单元、中继转发单元、认证单元;其中,认证请求单元301,包括认证触发单元3011、信息交互单元3012;认证触发单元3011,用于向中继转发单元发送认证开始报文,并根据中 继转发单元的请求向中继转发单元发送等待认证的网络设备的用户标识;其 中,该用户标识通常为客户端网络设备的用户名,但也可以是表明设备身份ID 的证书等;信息交互单元3012,用于与认证单元进行信息交互,通过中继转发单元 向认证单元反馈加密质询信息,并接收认证结果;其中,中继转发单元302.用于在接收到认证请求才艮文后,向认证触发单 元请求获取等待认证的网络设备用户标识,并将该用户标识与作为中继转发单 元的授权标志 一起发送至认证单元;其中,认证单元303,包括解析单元3031、配置单元3032;解析单元3031,用于接收等待认证的网络设备用户标识,并在验证接收 的授权标志为合法标志时,通过中继转发单元将加密质询信息发送至该用户标 识对应的信息交互单元,当信息交互单元通过中继转发单元反馈的加密信息为 合法的信息时,将认证成功的结果发送至该信息交互单元与配置单元;配置单元3032,当网络设备认证成功后,根据预置在服务器上的设备信 息,区分所认证的设备是客户终端还是网络中间设备并对中间设备授权为中继 设备或认证者。
本发明提供一种中继转发装置,包括数据接收单元、数据转发单元、数 据存储单元;数据接收单元401,用于接收认证开始报文,并将获取的用户标识发送给 数据转发单元,接收加密质询信息并发送至数据转发单元,接收授权标志并发 送至数据存储单元;数据存储单元402,用于存储作为中继转发装置的授权标志;数据转发单元403,用于发送接收的认证设备的用户标识与从数据存储单 元获取的授权标志,以及发送接收到的加密质询信息。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明 的保护范围之内。
权利要求
1、一种基于802.1x协议的网络设备认证方法,其特征在于,包括经预配置开启认证功能的网络设备向认证者发送认证开始报文;认证者接收到认证开始报文后,认证服务器判断是否收到认证者的授权标志,如果收到且验证该授权标志为合法时,对该网络设备继续认证程序。
2、 根据权利要求1所述的基于802.1x协议的网络设备认证方法,其特征 在于,网络设备周期性发起认证开始报文。
3、 根据权利要求1所述的基于802.1x协议的网络设备认证方法,其特征 在于,认证者接收到认证开始报文后,进一步包括认证者获取发送认证开始报文的网络设备的用户标识并将该用户标识发 送给认证服务器;该方法中,认证服务器对接收到的认证者的授权标志验证为合法后,继续 的认证程序包括认证服务器通过认证者向用户标识对应的客户端发送加密质询信息; 客户端接收到加密质询信息后,通过认证者向认证服务器反馈加密质询信息;认证服务器根据反馈信息对用户进行认证,判断用户是否合法,如果是, 则该网络设备认证成功;如果否,则该网络设备认证失败。
4、 根据权利要求3所述的基于802.1x协议的网络设备认证方法,特征在 于,该方法进一步包括如果该网络设备认证成功,则认证服务器根据预配置的信息判断得到该网 络设备是认证服务器客户端之间转发数据的设备;认证服务器根据判断结果授权该网络设备为认证者,该设备配置自身成为 认证者需要使用的策略。
5、 根据权利要求3所述的基于802.1x协议的网络设备认证方法,特征在 于,该方法进一步包括 如果该网络设备认证成功,则认证服务器根据预配置的信息判断得到该网络设备为在认证服务器与客户端之间转发数据的设备;认证服务器根据判断结果授权该网络设备为关闭认证功能的数据转发设备。
6、 一种基于802.1x协议的网络设备认证系统,其特征在于,包括认证 请求单元、中继转发单元、认证单元;认证请求单元,包括认证触发单元,用于向中继转发单元发送认证开始 报文;中继转发单元,用于在接收到认证开始报文后,向认证单元发送作为中继 转发设备的授权标志;认证单元,包括解析单元,用于当验证所接收的中继设备的授权标志为 合法时,对网络设备进行认证。
7、 根据权利要求6所述的基于802.1x协议的网络设备认证系统,特征在于中继转发单元,用于在接收到认证开始报文后,向触发单元获取网络设备 的用户标识,并与中继转发设备的授权标志一起发送至认证单元;认证请求单元,还包括信息交互单元,用于与认证单元进行信息交互, 通过中继转发单元向认证单元反馈加密质询信息,并接收认证结果;认证单元包括解析单元,用于当验证所接收的中继设备的授权标志为合法 时,通过中继转发单元将加密质询信息发送至该用户标识对应的信息交互单 元,当信息交互单元反馈的加密信息为合法的信息时,将认证成功的结果发送 至该信息交互单元。
8、 根据权利要求7所述的基于802.1x协议的网络设备认证系统,特征在于解析单元,进一步用于将认证成功的结果发送至配置单元; 认证单元还包括配置单元,当接收到解析单元对网络设备认证成功的结 果后,根据预置在服务器上的设备信息,区分所认证的设备是客户终端还是网 络中间设备并对中间设备授权为中继设备或认证者。
9、 一种中继转发装置,其特征在于,包括数据接收单元、数据转发单 元、数据存储单元;数据接收单元,用于接收认证开始报文,并将获取的用户标识发送给数据 转发单元,接收加密质询信息并发送至数据转发单元,将接收的授权标志发送 至数据存储单元;数据存储单元,用于存储作为中继转发装置的授权标志;数据转发单元,用于发送接收的认证设备的用户标识与数据存储单元的授 权标志发送,以及发送接收到的加密质询信息。
全文摘要
本发明提供了涉及网络通信领域的一种基于802.1x协议的网络设备认证方法及系统及中继转发装置,能够对接入网络中的所有设备进行认证。利用该系统,经预配置开启认证功能的网络设备向认证者发送认证开始报文;认证者接收到认证开始报文后,将该认证者的授权标志发送给认证服务器;认证服务器验证得到该授权标志为合法,则对该网络设备继续认证程序;该装置包括用于接收数据的数据接收单元,用于存储中继转发装置授权标志的存储单元,用于转发数据包括存储单元中的授权标志的数据转发单元。利用本发明,能够增强网络的安全性,增强网络设备的维护性,从而提升了网络服务的质量。
文档编号H04L9/32GK101150406SQ20061015303
公开日2008年3月26日 申请日期2006年9月18日 优先权日2006年9月18日
发明者管红光 申请人:华为技术有限公司