专利名称:用户设备认证方法、认证设备和中继设备的制作方法
技术领域:
本发明涉及数据网络通信领域,尤其涉及一种用户设备认证方法、认证设 备和中继设备。
背景技术:
802.lx协议是基于Client (客户端)/Server (服务器)的访问控制和认证 协议,通过802.1x协议,可以限制未经授权的用户/设备通过接入端口 (access port )访问局域网(Local Area Network,简称为LAN )LAN/无线局域网(Wireless Local Area Network ,简称为WLAN )。
802.1x为二层协议,用户设备在获得交换机或LAN提供的各种业务之前, 802.1x对连接到交换机端口上的用户设备进行认证,并且,在认证通过之前, 802.lx只允许基于局域网的扩展认证协议(EAPoL )数据(例如认证协议报文) 通过设备连接的交换机端口;用户设备认证成功后,正常的数据(例如数据报 文)可以顺利地通过以太网端口。
目前,认证系统交换机通过用户设备的介质访问控制(Media Access Control,简称为MAC)地址进行认证。在实现过程中,对于同一端口的所有 用户设备,认证系统交换机根据每一个用户设备的MAC地址分别进行认证, 如果用户设备的MAC地址为合法用户,则确认该用户设备认证成功。
但是,这种对同 一端口连接的每个用户设备分别进行认证处理的方式会使 得认证过程被不必要的反复执行,增加认证系统交换机的处理负荷,还会增加 网络中传输的认证信息量,占用网络资源。
针对相关技术中由于执行不必要的反复认证导致网络资源浪费、认证系统 交换机的处理负荷大的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中由于执行不必要的反复认证导致网络资源浪费、认证系统 交换机的处理负荷大的问题,本发明提出一种用户设备认证方法,能够节省认 证系统的处理资源,提高认证处理效率,节省网络资源。
针对相关技术中由于执行不必要的反复认证导致网络资源浪费、认证系统 交换机的处理负荷大的问题,本发明还提出一种认证设备,能够节省认证系统 的处理资源,提高认证处理效率,节省网络资源。
针对相关技术中由于执行不必要的反复认证导致网络资源浪费、认证系统 交换机的处理负荷大的问题,本发明还提出一种中继设备,能够节省认证系统 的处理资源,提高认证处理效率,节省网络资源。
本发明的技术方案是这样实现的 一种用户设备认证方法,包括
认证设备确定出与端口相连接的任一用户设备已经认证成功; 所述认证设备将与所述端口相连接的除所述任一用户设备之外的其他所
有用户设备均设置为认证成功状态。
其中,所述认证设备确定出与所述端口相连接的任一用户设备已经认证成
功的操作具体为
响应于经所述端口传输的数据报文,所述认证设备查找与所述端口相连接 的所有用户设备的状态信息,如果该所有设备中的任一用户设备处于认证成功 状态,则所述认证设备确定出与所迷端口相连接的任一用户设备已经认证成功。
优选地,所述认证设备包括以下之一认证中继交换机、认证系统交换机。 其中,所述认证中继交换机上设置有信任端口,所述信任端口连接至可信 任的上游设备。
进一步地,还包括
所述认证中继交换机将来自所有用户设备的协议报文通过所述信任端口 发送给与所述信任端口相连接的上游设备。 一种^人证i殳备,包括 存储器,用于保存用户的状态信息;
5确定模块,用于通过所述存储器中保存的状态信息确定出与端口相连接的 任一用户设备已经认证成功;
配置模块,用于在所述确定模块确定出通过所述端口相连接的任一用户设 备认证成功的情况下,将与所述端口相连接的其他所有用户设备均设置为认证 成功状态。
其中,所述认证设备为认证中继交换机或认证系统交换机。
一种中继设备,包括
信任端口 ,连接至位于所述中继设备上游的可信任设备,用于将来自用户 设备的协议报文通过所述信任端口发送给所述可信任设备。
借助本发明的上述技术方案,通过实现一个端口上的多个用户 一次认证成 功后将该端口连接的全部用户均设置为认证成功,能够省去不必要的反复认 证,节省认证系统的处理资源,提高认证处理效率,节省网络资源。
图1是根据本发明实施例的用户设备认证方法的步骤流程图; 图2是根据本发明实施例的一个组网图; 图3是根据本发明实施例的另一个组网图4是根据本发明实施例的用户设备认证方法的详细处理流程图; 图5是根据本发明实施例的基于信任端口的认证设备的协议认证过程流 程图6是根据本发明实施例的认证设备的组成结构连接图。
具体实施例方式
由于现有技术中认证系统交换机需要对每个用户设备分别进行认证处理, 导致认证过程较为繁瑣,认证系统处理负荷大、认证信息的传输浪费网络资源 的问题,本发明在802.1x协议基于用户MAC地址的认证的基础上,增加基于 端口的认证方式,如果此端口上已经有一个用户认证成功,则打开此端口上所 有用的访问权限,允许该端口连接的所有用户的数据报文通过端口 ,能够将认 证处理转移到交换机上进行,提高认证的效率,节省认证系统的处理资源,提高认证处理效率,节省网络资源。
图1是根据本发明实施例的用户设备认证方法的流程图,如图l所示,包
括以下处理
步骤S101,认证设备确定出与端口相连接的任一用户设备已经认证成功, 具体地,在认证设备经该端口接收到数据报文时,认证设备会在其存储器(例 如,认证设备的内存)中查找与该端口相连接的所有用户设备的状态信息,如 果该所有用户设备中的任一用户设备处于认证成功状态,则认证设备确定出与 端口相连接的任一用户设备已经认证成功,其中,认证设备可以包括以下之一 认证中继交换机、认证系统交换机。
步骤S103,认证设备将与端口相连接的除任一用户设备之外的其他所有 用户设备均设置为认证成功状态,即,如果该端口上有一个用户设备已经认证 成功,则将该端口上所有用户设备的访问权限放开,允许该端口上所有用户设 备上线。
由于现有的认证中继交换机只是作为用户设备和认证系统交换机之间的 转发设备,并不对来自用户的认证请求报文进行访问控制处理。例如,对于 802.1x协议报文,认证中继交换机接收来自用户设备的802.1x协议报文后, 会将该802.lx协议报文广播到认证系统交换机,由认证系统交换机对用户进 行访问控制处理。所以,如果认证中继交换机要具备访问控制处理功能,需要 在认证中继交换机的存储器(例如,认证中继交换机的内存)中保存每个用户 设备的数据区,数据区中保存有用户的状态信息,例如用户设备的认证成功状 态信息。可以由认证系统交换机将每个用户设备的数据区同步到认证中继交换 机中,使得认证中继交换机中可以保存用户设备的状态信息,增加了认证中继 交换的用户访问控制功能。
如图2所示,假设一个区域的多个用户设备1、 2、 3(例如,可以是一个 学校的一个实验室中的多台电脑)与认证中继交换机的同一个端口相连接,且 用户设备1 、 2 、 3均可以经过该端口向认证中继交换机发起认证,如果用户设 备l、 2、 3中的人一个设备发起的一次认证成功,所有的用户设备均可以访问 外网,经过该端口与网络进行正常的数据交互,并且网络侧需要保证帐户认证 的安全性,防止被盗取。下面结合图3所示的系统组网图和图4所示的流程图对用户设备的认证方
法进行说明,假设图3所示的认证系统交换机上存在3个接入端口 ,其中,接 入端口 2与多个用户i殳备相连"^妄,如图4所示,包>^以下处理
步骤S401,认证系统交换机经接入端口 2接收到来自用户设备1的数据 报文,该用户设备l为与接入端口 2相连接的任一用户设备。
步骤S402,在用户i殳备接入之前,认证系统交换机选4奪端口认证的方式, 如果选择MAC认证方式,进入步骤S403,如果选择基于端口的认证方式,进 入到步骤S404。
步骤S403,按照现有技术方式,根据该用户设备1的MAC地址对用户设 备1进行认证。
步骤S404、认证系统交换机轮询其内存中保存的用户表,查看与接入端 口 2相连接的所有用户设备的状态信息。
步骤S405、认证系统交换机查看与接入端口 2相连接的所有用户设备是 否存在已经处于认证成功状态的用户设备,即,是否存在已经认证成功的用户 设备,如果存在已经认证成功的用户设备,进入步骤S406,否则进入步骤S407。
步骤S406,与接入端口 2相连接的用户设备中存在认证通过的用户设备, 认证系统交换机将与接入端口 2相连接的其他所有用户设备(即,除用户设备 1之外的所有用户设备)的访问权限放开,即,将与接入端口 2相连接的所有 用户设备的状态均设置为认证成功状态。
步骤S407,与接入端口 2相连接的用户设备中不存在认证通过的用户设 备,则丢弃来自用户设备1的数据报文。
本发明还提供一种中继设备,该中继设备上设置有信任端口,连接至位于 中继设备上游的可信任设备,用于将来自用户设备的协议报文通过该信任端口 发送给可信任设备。具体地,该中继设备上设置有一个或多个信任端口,每个 信任端口连接至可信任的上游设备(即,可信任设备),用于将来自用户设备 的协议报文通过信任端口发送给与该信任端口相连接的上游设备。例如< 对于 802.lx协议报文,可以基于增力口 802. lx协议的信任端口 ,即802.lx信任端口 , 这样,如果中继设备接收到802.1x协议报文,中继设备会将该802.1x协议报 文经802.lx信任端口发送给与该802.lx信任端口相连接的上游设备。
8这样,对于增加信任端口的中继设备,如果接收到协议报文,则只经过信 任端口转发该协议报文,且不会对非信任端口转发。与现有技术中认证中继交 换机不对用户的访问进行控制,向与该认证中继交换机相连接的认证系统交换 机该广播转发802.1X协议报文的方式不同,解决了网络上存在非法认证系统 服务器,给用户的认证造成混乱的问题,这样,合法用户能够认证成功,非法 用户不能冒名使用合法用户的帐户进行认证,避免用户利益的损失。
为了更好的对本发明进行说明,下面以认证中继交换机为例进行说明,本 领域技术人员可知,对于具有中继功能的设备,本发明同样是可以实现的。
图5是根据本发明实施例的基于信任端口的认证设备的协议认证过程流 程图,可以结合图2所示的系统组网图对该过程进行说明,其中,认证中继交 换机上配置有一个信任端口 A,且信任端口 A与可信任的认证系统交换机A 相连接,端口B不是信任端口,且端口 B与认证系统交换机B相连接,如图 5所示,包括以下步骤
步骤S501 ,认证中继交换机接收认证协议报文。
步骤S502,认证中继交换机判断该认证协议报文是否为来自用户设备的 认证请求报文,如果为认证请求报文,进入到步骤S508,否则进入到步骤S503。
步骤S503,认证中继交换机判断该认证协议报文是否为来自认证系统交 换机的认证成功报文,如果为认证成功报文,进入到步骤S504,否则进入到 步骤S505。
步骤S504,如果协议报文为认证成功报文,则打开相应端口的访问控制 权限,允许用户的正常数据报文通过,并进入到步骤S507。
步骤S505,认证中继交换机判断该认证协议报文是否为来自认证系统交 换机的认证失败报文,如果为认证失败报文,进入到步骤S506,否则流程结 束。
步骤S506,如果协议报文为认证失败报文,则保持相应用户的访问控制。 步骤S507,认证中继交换机会保持报文的正常收发。 步骤S508,认证中继交换机判断其上是否存在信任端口,如果存在信任 端口,进入到步骤S509,否则,进入到步骤S510。
步骤S509,认证中继交换机经信任端口向与该信任端口相连接的认证系统交换机转发该认证请求协议报文。例如,图2所示的组网系统,认证中继交 换机会通过信任端口 A将认证请求协议报文发送给认证系统交换机A,而不 会将认证请求协议报文发送给认证系统交换机B。
步骤S510,认证中继交换机上不存在信任端口 ,则将该认证请求协议报
文丢弃。
借助于上述处理,通过增加基于端口的认证方式,能够将认证处理转移到 交换机上进行,避免对同一端口用户的重复认证,提高认证的效率,节省认证 系统的处理资源,提高认证处理效率,节省网络资源,并且解决了由于非法认 证系统服务器的存在给用户的认证造成混乱的问题,能够有效避免用户利益受损。
图6是根据本发明实施例一种认证设备的组成结构图,如图6所示,该装 置包括
存储器602,用于保存用户的状态信息;
确定模块604,用于通过存储器中保存的状态信息确定出与端口相连接的 任一用户设备已经认证成功;
配置模块606,用于在确定模块确定出通过端口相连接的任一用户设备认 证成功的情况下,将与端口相连接的其他所有用户设备均设置为认证成功状 态。
其中,该认证设备可以为认证中继交换机,也可以为认证系统交换机。 在具体实现过程中,确定模块604确定出与端口相连接的任一用户设备已 经认证成功,具体地,在经该端口接收到数据报文时,确定模块604会在存储 器602 (例如,认证设备的内存)中查找与该端口相连接的所有用户设备的状 态信息,如果该所有用户设备中的任一用户设备处于认证成功状态,则确定模 块604确定出与端口相连接的任一用户设备已经认证成功。之后,配置模块 606将与端口相连接的其他所有用户设备均设置为认证成功状态,即,如果该 端口上有一个用户设备已经认证成功,则将该端口上所有用户设备的访问权限 放开,允许该端口上所有用户设备上线。
图6是与前面方法对应的装置,装置的工作过程以及工作原理在方法部分 已经进行了详细描述,在此不再赘述,参照方法中相应部分的描述即可。
10综上所述,借助于本发明的上述技术方案,通过增加基于端口的认证方式, 能够将认证处理转移到交换机上进行,避免对同一端口用户的重复认证,提高 认证的效率,节省认证系统的处理资源,提高认证处理效率,节省网络资源, 并且解决了由于非法认证系统服务器的存在给用户的认证造成混乱的问题,能 够有效避免用户利益受损。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发 明的保护范围之内。
权利要求
1.一种用户设备认证方法,其特征在于,包括认证设备确定出与端口相连接的任一用户设备已经认证成功;所述认证设备将与所述端口相连接的除所述任一用户设备之外的其他所有用户设备均设置为认证成功状态。
2. 根据权利要求1所述的方法,其特征在于,所述认证设备确定出与所 述端口相连接的任一用户设备已经认证成功的操作具体为响应于经所述端口传输的数据报文,所述认证设备查找与所述端口相连接 的所有用户设备的状态信息,如果该所有设备中的任一用户设备处于认证成功 状态,则所述认证设备确定出与所述端口相连接的任一用户设备已经认证成 功。
3. 根据权利要求1所述的方法,其特征在于,所述认证设备包括以下之 一认证中继交换机、认证系统交换机。
4. 根据权利要求3所述的方法,其特征在于,所述认证中继交换机上设 置有信任端口 ,所述信任端口连接至可信任的上游设备。
5. 根据权利要求4所述的方法,其特征在于,所述认证中继交换机将来 自所有用户设备的协议才艮文通过所述信任端口发送给与所述信任端口相连接 的上游设备。
6. —种认证设备,其特征在于,包括 存储器,用于保存用户的状态信息;确定模块,用于通过所述存储器中保存的状态信息确定出与端口相连接的 任一用户设备已经认证成功;配置模块,用于在所述确定模块确定出通过所述端口相连接的任一用户设 备认证成功的情况下,将与所述端口相连接的其他所有用户设备均设置为认证 成功状态。
7. 根据权利要求6所述的认证设备,其特征在于,所述认证设备为认证 中继交换机或认证系统交换才几。
8. 根据权利要求7所述的认证设备,其特征在于,如果所述认证设备为认证中继交换机,则所述认证设备还包括信任端口,其中,所述信任端口连接 至位于所述认证设备上游的可信任设备,用于将来自用户设备的协议报文通过 所述信任端口发送给所述可信任设备。
9. 一种中继设备,其特征在于,包括信任端口,连接至位于所述中继设备上游的可信任设备,用于将来自用户 设备的协议报文通过所述信任端口发送给所述可信任设备。
全文摘要
本发明公开了一种用户设备认证方法、认证设备和中继设备,其中,该方法包括认证设备确定出与端口相连接的任一用户设备已经认证成功;认证设备将与端口相连接的其他所有用户设备均设置为认证成功状态。通过使用本发明,能够通过增加基于端口的认证方式,能够将认证处理转移到交换机上进行,避免对同一端口用户的重复认证,提高认证的效率,节省认证系统的处理资源,提高认证处理效率,节省网络资源。
文档编号H04L29/06GK101662473SQ200910174139
公开日2010年3月3日 申请日期2009年9月30日 优先权日2009年9月30日
发明者菲 宋 申请人:中兴通讯股份有限公司