专利名称:一种在网络接入控制系统中透传IPv6地址的方法
技术领域:
本发明涉及数据通信技术领域,尤其涉及一种在网络接入控制系统中透传IPV6地址的方法。
背景技术:
随着网络应用的日益普及与深入,网络安全日益成为非常重要的问题。网络接入控制(Network Access Control, NAC)技术方案的应用提供了一个相对完整的网络安全解决方案°例如H3C 的 Endpoint Admission Domination(EAD), Cisco 的 Network AdmissionControl (CNAC)等都是网络接入控制应用系统。一般来说,网络接入控制应用系统由身份认证服务器、安全策略服务器、接入设备和客户端软件组成。
在客户端通过身份认证后,需要与安全策略服务器通信完成用户终端的安全检查,以确保其无危险地接入网络系统。其中客户端与安全策略服务器间的通信一般使用应用层协议,通常是由客户端主动发起的,因而在它们通信前,客户端必须获取到安全策略服务器的IP地址和监听端口。在802. Ix 和 RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)服务器配合进行身份认证的系统中,客户端获取安全策略服务器地址的方法有两种一种是通过RADIUS协议的Vendor-Specific属性扩展的方式,另一种则是通过RADIUS报文透传md5_chalIenge的方式。其中Vendor-Specific属性扩展的方式,具体是指生产厂商在RAIUDS的Vendor-Specific属性中自定义两个属性分别为安全策略服务器的IP地址和监听端口,所述RADIUS认证服务器通过RAIUDS报文发送给NAS (Network Access Server,网络接入服务器)接入设备,NAS接入设备首先解析出这两个属性,然后通过EAP (ExtensibleAuthentication Protocol,可扩展认证协议)报文发给客户端。但是,某一厂商的NAS接入设备通常无法解析其他厂商自定义的私有属性,因此本方案不适用于多厂商网络设备共同组成的接入网络。透传MD5_ChalIenge的方式,则是利用MD5_ChalIenge属性中未被使用的字节来携带安全策略服务器的IP地址和监听端口。具体地,RADIUS认证服务器在RADIUS协议的Access-chalIenge报文的EAP-Message属性中透传该MD5_Challenge属性,即该属性的前8个字节被MD5-Challenge的随机数占用,后8个字节用来设置为安全策略服务器的IP地址和监听端口。NAS接入设备会将该属性毫无改变地通过EAP报文发送给客户端,这样安全策略服务器的IP地址和监听端口就送达客户端了。然而,这种方式只适用于IPv4的网络环境,不适用于IPv6的网络环境。因为IPv6地址需要占用16个字节,而MD5-Challenge属性只有16个字节,除了携带MD5_challenge值内容外,没有足够的空间再携带IPv6地址。因此,该方案并不适用与IPv6网络环境
发明内容
有鉴于此,本发明提供一种在网络接入控制系统中透传IPV6地址的方法,可以解决在网络接入控制系统中,将指定的IPv6地址从策略服务器透传到客户端的问题。为实现本发明目的,本发明实现方案具体如下一种网络接入控制系统中透传IPV6的方法,应用于包括客户端、接入设备、策略服务器和RADIUS服务器的网络接入控制系统中,其中,所述RADIUS服务器在客户端RADIUS认证成功后但在RADIUS服务器发送Access-Acc印t报文前,向用户终端发送一个 Access-Challenge 报文,其中携带一个 EAP-Message 属性,在该 EAP-Message 中的 EAPRequest报文的Expanded Types扩展类型中携带策略服务器的IPv6地址与监听端口。与现有的技术方案相比,本发明通过在该EAP-Message属性中的EAP Request报文的Expanded Types携带策略服务器的IPv6地址与监听端口,所述EAP Request报文发送给客户端后,客户端解析出策略服务器的IPv6地址和监听端口 Port这个两个扩展属性,并回应一个EAP Response报文,其携带确认收到IPv6地址和监听端口的属性。通过本发 明,可以解决在网络接入控制系统中,将指定的IPv6地址从策略服务器透传到客户端的问题。
图I是本发明网络接入控制系统的结构示意图。图2是本发明网络接入控制系统的方法流程图。图3是本发明EAP Request和Response报文格式示意图。图4是本发明Expanded Types属性格式示意图。图5是本发明米用EAP-MD5认证的实现流程不意图。
具体实施例方式为了实现本发明目的,本发明采用的核心思想为在客户端RADIUS认证成功后但在RADIUS服务器发送Access-Accept报文前,所述RADIUS服务器向用户终端发送一个Access-Challenge报文,其中携带一个EAP-Message属性,该EAP-Message属性内包含一个EAP Request报文,用来请求一个Expanded Types,通过在Expanded Types中携带策略服务器的IPv6地址与监听端口,在经过接入设备透传这个EAP Request报文给客户端后,客户端解析出策略服务器的IPv6地址和监听端口 Port这个两个扩展属性后,回应一个EAPResponse报文,其携带确认收到IPv6地址和监听端口的属性。通过本发明,可以解决在网络接入控制系统中,将指定的IPv6地址从策略服务器透传到客户端的问题。为使本发明技术方案更加清楚和明白,以下结合本发明具体实施例加以说明。如图I所示,本发明在网络接入控制系统中透传IPV6地址的方法,应用在包括客户端、NAS接入设备、策略服务器和认证服务器的网络接入控制系统中。其中所述方法具体如图2所示,包括如下步骤步骤21、所述RADIUS服务器向客户端发送一个Access-Chal Ienge报文,其中携带一个 EAP-Message 属性,在该 EAP-Message 属性中的 EAP Request 报文的 Expanded Types扩展类型中携带策略服务器的IPv6地址与监听端口。具体地,在本步骤中,所述RADIUS服务器向客户端发送一个Access-Chal Ienge报文,是发生在客户端RADIUS认证成功后但在RADIUS服务器发送Access-Acc印t报文前。所述在Access-Challenge报文中携带的EAP-Message属性,具体是指在Access-Challenge报文中携带的EAP报文类型,根据所处不同的认证阶段,所携带的EAP报文类型具体包括 EAP requestsEAP response^EAP Success^EAP failure 四种。其中在本步骤中,在Access-Challenge报文中携带的EAP-Message属性具体为EAP request报文。进一步地,所述EAP Request报文中的Expanded Types扩展类型数据格式如图3所示根据RFC3748中规定当Type值为254时,表示为Expanded Types扩展类型,Vendor-ID为厂商ID, Vendor-Type为厂商扩展类型,Vendor data为厂 商扩展数据。为实现本发明目的,在本发明中,需要对Vendor-Type和Vendor data属性进行自定义扩展。具体扩展如下将Vendor-Type设置为类型A (比如1234),将其定义为策略服务器IPV6地址,对应的Vendor data设置为该IPv6地址;将Vendor-Type设置为类型B(比如为1235),将其定义为策略服务器监听的端口,其对应的Vendor data设置为该端口 ;将Vendor-Type设置为类型C(比如1236),定义为表示是否收到策略服务器IPv6地址,其对应的Vendor data设置为是否收到的标识,比如0表示没有收到,I为收到。将Vendor-Type设置为类型D (比如1237),定义为表示是否收到策略服务器监听的端口,其对应的Vendor data设置为是否收到的标识,比如0表示没有收到,I为收到。所述EAP Request报文格式如图4所示,具体地在RADIUS认证服务器向客户端发送携带策略服务器IPV6地址的EAP Request报文时,需要将该EAP Request报文中的Code值设为I,表示为EAP Request报文;同时,将Type设置为254,表示为EAP Request报文中的Expanded Types ;进一步在Type-Data字段中顺次填入前述Expanded Types扩展类型中自定义的扩展类型A及其对应的Vendor data和类型B及其对应的Vendor data,而Identifier和Length属性根据RFC的规定填入。步骤22、客户端接收到RADIUS服务器发送的Access-Challenge报文后,从所述EAP-Message属性中的EAP Request报文的Expanded Types解析出策略服务器的IPv6地址和监听端口 Port,并回应一个EAP Response报文,携带确认其收到策略服务器的IPv6地址和监听端口的属性。客户端接收到RADIUS服务器发送的Access-Challenge报文后,从所述EAP-Message属性中的EAP Request报文的Expanded Types解析出策略服务器的IPv6地址和监听端口 Port这个两个扩展属性后,回应一个EAP Response报文,其携带确认收到IPv6地址和监听端口的属性(ACK IPv6, ACK Port)。具体地,在本发明专利中,当客户端需要向RADIUS认证服务器发送EAP Response报文中,需要将该EAP Response报文中的Code值设为2,表示为EAP Response报文;同时,将Type设置为254,即表示为Expanded Types扩展类型;进一步地,在Type-Data字段中顺次填入本发明自定义的扩展的类型C及其对应的Vendor data和类型D及其对应的Vendordata, Identifier和Length属性根据RFC的规定填入,其报文格式与前述图4所示的EAPRequest报文格式相同。
本发明通过对EAP-Message属性中的EAP Request和EAP Response报文中的Expanded Types进行自定义扩展,可以有效地解决在当前网络接入控制系统中,将指定的IPv6地址从策略服务器透传到客户端的问题。以下结合EAP-MD5认证过程进一步说明本发明实现过程,需要说明的是,本发明采用其他如EAP-TLS、EAP-TTLS或EAP-PEAP等认证机制,同样能够实现本发明。另外,由于在其他认证机制中通过在Access-Challenge中携带EAP Message属性实现本发明的过程与EAP-MD5实现过程类似,为节约篇幅,在此不再赘述。但不得以此来限缩本发明构思能够涵盖的范围。如图5所示,通过EAP-MD5的认证过程实现本发明的方法,具体包括如下步骤步骤51、客户端发起EAPOL-Start请求后,NAS接入设备发起EAP-Request请求,
向客户端请求Identity身份信息。步骤52、客户端响应NAS接入设备的身份信息请求,回应EAP-Response报文,并携带Identity信息。步骤53、NAS接入设备接收到该EAP Response报文后,将其封装在RADIUS的Access-Request报文的EAP-Message属性中,并透传给RADIUS服务器,请求身份认证。步骤54、RADIUS服务器接收到来自接入设备的客户端身份认证请求并认证成功后,发送RADIUS的Access-Challenge报文给NAS接入设备,并在该报文中携带EAP-Message属性,在该属性中透传的EAP Request报文请求MD5_Challenge。步骤55、NAS接入设备接收到来自RADIUS服务器的Access-Challenge报文后,解析出其中EAP-Message属性中的EAP_Request/MD5_ChalIenge报文,发送给客户端。 步骤56、客户端收到这个EAP_Request/MD5_Chal Ienge报文请求后,给NAS接入设备发送 EAP-Response 回应 MD5_ChalIenge 属性。步骤57、NAS接入设备接收到这个EAP-Response/MD5-ChalIenge报文后,将其封装在RADIUS Access-Request报文中的EAP-Message中,透传给RADIUS服务器。步骤58、RADIUS服务器收到此报文后,判断该用户是否认证成功或者失败。若认证成功,在发送Access-Accept报文前,再次发送一个Access-Challenge报文给NAS接入设备,其中携带一个EAP-Message属性,该EAP-Message属性中的EAPRequest报文的Expanded Types扩展类型中携带IPv6地址与监听端口 ;经过接入设备解析出这个EAP Request报文后将其透传给客户端。客户端软件解析出IPv6和Port这个两个扩展属性后,回应一个EAP Response报文,其携带确认收到IPv6地址和监听端口的Expanded Types属性;经接入设备使用RADIUSAccess-Request的EAP-Message透传该EAP Response给服务器,然后所述RADIUS服务器回应给接入设备携带EAP-Success的RADIUS Access-Accept报文。如认证失败,则服务器回应携带EAP-Failure的RADIUS Access-Reject报文。步骤59、接入设备解析出EAP-Success或者EAP-Failure报文后,发送给客户端。相较于现有技术,本发明方案通过在RADIUS服务器最终判断用户认证成功后,增加如下处理步骤所述RADIUS服务器向客户端发送一个Access-Challenge报文,其中携带一个EAP-Message 属性,并在该 EAP-Message 属性中的 EAP Request 报文的 Expanded Types 扩展类型中携带策略服务器的IPv6地址与监听端口,并经NAS接入设备透传给客户端;客户端解析出EAP Request报文的Expanded Types扩展类型中携带的策略服务器的IPv6地址和监听端口 Port这个两个扩展属性后,回应一个EAP Response报文,其携带确认收到策略服务器的IPv6地址和监听端口的属性。通过本发明,可以解决在网络接入控制系统中,将指定的IPv6地址从策略服务器 透传到客户端的问题,且不改变认证前的认证流程和认证失败的处理。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种网络接入控制系统中透传IPV6的方法,应用于包括客户端、接入设备、策略服务器和RADIUS服务器的网络接入控制系统中,其特征在于,所述RADIUS服务器向客户端发送一个Access-Challenge报文,其中携带一个EAP-Message属性,在该EAP-Message中的EAP Request报文的Expanded Types中携带策略服务器的IPv6地址与监听端口。
2.如权利要求I所述的方法,其特征在于,所述RADIUS服务器向客户端发送一个Access-Challenge报文,是发生在客户端RADIUS认证成功后但在RADIUS服务器发送Access-Accept 报文前。
3.如权利要求2所述的方法,其特征在于,所述EAPRequest报文的Expanded Types中携带策略服务器的IPv6地址与监听端口,具体是通过自定义Expanded Types中的Vendor-Type 和 Vendor data 属性来实现。
4.如权利要求3所述的方法,其特征在于,所述EAPRequest报文的Expanded Types的Vendor-Type和Vendor data属性自定义扩展如下 将Vendor-Type设置为类型A,将其定义为策略服务器IPV6地址,对应的Vendor data设置为该IPv6地址; 将Vendor-Type设置为类型B,将其定义为策略服务器监听的端口,其对应的Vendordata设置为该端口 ; 将Vendor-Type设置为类型C,定义为表示是否收到策略服务器IPv6地址,其对应的Vendor data设置为是否收到的标识; 将Vendor-Type设置为类型D,定义为表示是否收到策略服务器监听的端口,其对应的Vendor data设置为是否收到的标识。
5.如权利要求4所述的方法,其特征在于,当所述RADIUS认证服务器向客户端发送Access-Challenge 报文时,在 EAP Request 报文中,将 Code 值设为 1,表不为 EAP Request报文;将Type设置为254,表示为EAP Request报文中的Expanded Types ;在Type-Data字段中顺次填入前述自定义的扩展类型A及其对应的Vendor data和类型B及其对应的Vendor data。
6.如权利要求广5所述的任何一种方法,其特征在于,所述客户端在接收到RADIUS服务器发送的Access-Challenge报文后,从所述EAP-Message属性中的EAP Request报文的Expanded Types解析出策略服务器的IPv6地址和监听端口 Port,并回应一个EAPResponse报文,携带确认其收到策略服务器的IPv6地址和监听端口的属性。
全文摘要
一种在网络接入控制系统中透传IPV6地址的方法,在客户端RADIUS认证成功后但在RADIUS服务器发送Access-Accept报文前,所述RADIUS服务器向客户端发送一个Access-Challenge报文,其中携带一个EAP-Message属性,在该EAP-Message属性中的EAP Request报文的Expanded Types中携带策略服务器的IPv6地址与监听端口,所述EAP Request报文发送给客户端后,客户端解析出策略服务器的IPv6地址和监听端口Port这个两个扩展属性,并回应一个EAP Response报文,其携带确认收到IPv6地址和监听端口的属性。通过本发明,可以解决在网络接入控制系统中,将指定的IPv6地址从策略服务器透传到客户端的问题。
文档编号H04L29/06GK102801819SQ20121024918
公开日2012年11月28日 申请日期2012年7月17日 优先权日2012年7月17日
发明者王钰洁 申请人:杭州华三通信技术有限公司