专利名称:基于媒体访问控制的802.1x认证的实体查找方法
技术领域:
本发明涉及一种实体查找方法,尤其涉及一种基于MAC的802.1x认证的实体查找方法。
背景技术:
IEEE 802.1x称为基于端口的访问控制协议(Port based network access controlprotocol),该协议在利用IEEE 802 LAN的优势基础上提供了对连接到局域网的设备或用户进行认证和授权的一种手段。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。802.1x技术实现了认证流和业务流的分离,而且不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。而传统的PPPoE与Web/Portal等认证方式,认证流、业务流不分,从而导致认证和业务处理的极大不便,而且不同程度的增加了网络部署与运营成本。
标准802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带局域网环境下的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。因此,有必要对802.1x协议进行扩展,使之实现在宽带局域网环境下每用户的认证控制。对标准的802.1x认证技术扩展后,每个端口可以允许多个用户认证,这样就产生了如下问题1、认证过程中,怎样查找用户的PAE控制实体,只有准确找到相应的PAE控制实体,才能进行正常的认证;2、如果PAE实体查找算法设计不当,那么会造成认证速度非常缓慢,占用较长的CPU处理时间。
发明内容
针对上述现有标准802.1x认证技术的所存在的问题和不足,本发明实现了基于MAC的802.1x认证及实体查找方式,本发明的目的是提供一种可保证用户安全认证并能快速查找控制实体的基于MAC的802.1x认证的实体查找方法。
本发明是这样实现的一种基于MAC的802.1x认证的实体查找方法,包括以下步骤1)、端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;所有认证报文上报CPU,进行认证处理。
2)、在交换机中创建两个表hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针,用来根据MAC快速查找PAE实体;PAE实体指针数组ppstPaePtrArray,用于通过将PAE实体ID号作为数组下标而快速查找PAE实体;3)、用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。
进一步地,所述交换机接口的用户数已达最大时,则拒绝用户的认证,向用户发送认证失败报文。
本发明在基于端口的访问控制协议的基础上对其进行了扩展,实现了基于用户MAC地址的访问控制。从而能够在LAN这种多点访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备上连接LAN的物理端口,或者是在IEEE 802.11无线LAN环境中定义的工作站和访问点。本发明能有效实现在局域网环境下对每个用户的认证控制,从而提高了网络的可运行性和可管理性,提高了认证过程中查找实体的效率。
下面结合附图,对本发明做出详细描述。
图1为本发明认证过程总体流程示意图;图2为本发明初步认证流程示意图;图3为本发明实体查找流程示意图;图4为本发明用户摘要信息请求流程图示意图;图5为本发明对用户摘要信息处理示意图;图6为本发明认证成功流程图示意图;图7为本发明认证失败流程图示意图。
具体实施例方式
本发明的实现步骤为,端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;所有认证报文上报CPU,进行认证处理。在交换机中创建两个表hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针,用来根据MAC快速查找PAE控制实体;PAE控制实体指针数组ppstPaePtrArray,用于通过PAE控制实体的ID号快速查找PAE实体;这里,认证报文触发PAE控制实体查找通过利用认证报文中的MAC进行查找;设备内部触发PAE控制实体查找通过利用PAE控制实体的ID号进行查找。用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。
以基于PORT模式和MAC模式的认证过程为例,详细介绍本发明,为简化代码复杂度,两种模式的认证处理过程是相同的。
当从接口上接收到用户认证发起报文EAPOL_Start时,首先检查该接口下的当前用户数量。该用户数量是受接口最大用户数量限制的,对于基于PORT模式时,这个最大用户数量是“1”,是不可配置的;基于MAC模式时,最大用户数量是有配置决定的。当基于MAC模式时,如果最大用户数量配置为“1”,此时,MAC模式实际上是等价于PORT模式的。所不同的是对于PORT模式,当接口有用户认证通过时,则打开端口MAC学习功能,允许其它用户通过该端口访问网络;而对于MAC模式,用户认证通过后,只向FDB表项中添加给用户的MAC表项,端口MAC学习功能仍处于禁止状态,其它用户如果没有认证的话,不能通过该端口访问网络。如果发现当前接口的用户数已达最大用户数,则拒绝用户的认证,给用户发送认证失败报文。具体认证过程如图1所示,本发明图中以EAP-MD5认证方法为例进行说明。
如图2所示,当收到用户的EAPOL_Start报文时,则,1)、根据报文中的MAC地址在hash表中查找PAE实体,如找到则跳转到步骤3),否则进入步骤2);2)、检查当前接口的认证用户数是否已达最大数,若是,则向用户发送EAP-FAILURE报文,拒绝用户认证,否则跳转到步骤3);3)、创建PAE实体,保存用户MAC地址,然后在hash表中保存此PAE实体指针,供以后的查找使用,并为PAE实体分配唯一标识——ID号;并跳转到步骤4)。
4)、向客户端发送EAP_Request/Identity报文,请求用户身份。
如图3所示,接收到用户的EAP_Response/Identity,根据用户报文中的MAC地址在hash表中查找PAE实体,没有找到则丢弃此报文;如果找到PAE实体,则向radius服务器发送ACCESS_REQUEST请求challenge(通过Radius client向服务器转发)。发送ACCESS-REQUEST的目的是向服务器请求用于计算用户摘要信息的随机数。
如图4所示,接收到来自Radius服务器的ACCESS_CHALLENGE(通过Radius client转发),根据PAE实体的ID信息查找PAE实体,如果不存在,则丢弃此报文,否则根据ACCESS_CHALLENGE报文内容向客户端发送EAP_Request/Challenge报文,请求用户摘要信息。
如图5所示,接收到来自客户端的EAP_Response/Challenge报文,根据报文中MAC地址在hash表中查找PAE实体,如找到,则向Radius服务器发送ACCESS_REQUEST/MD5-CHALLENGE,否则丢弃此报文。
向服务器发送ACCESS-REQUEST/MD5-CHALLENGE报文中含有MD5算法计算的用户摘要信息,正式请求服务器对用户身份进行认证,因此,服务器根据认证结果,可能返回两种结果ACCESS-ACCEPT(认证成功)或ACCESS-REJECT(认证失败);如图6所示,接收ACCESS-ACCEPT报文,根据PAE实体的ID查找相应的PAE实体,如果没有找到则丢弃此报文,找到的话,则向用户发送EAP-SUCCESS报文,并设置FDB表项,开始转发用户报文;如图7所示,接收ACCESS-REJECT报文,根据PAE实体的ID查找相应的PAE实体,如果没找到则丢弃此报文,找到的话,则向客户端发送EAP-FAILURE报文。
权利要求
1.一种基于MAC的802.1x认证的实体查找方法,包括以下步骤1)、端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;2)、在交换机中创建两个表hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针储存桶,用来根据MAC快速查找PAE实体;PAE实体指针数组ppstPaePtrArray,PAE实体指针数组ppstPaePtrArray,用于通过将PAE实体ID号作为数组下标而快速查找PAE实体;3)、用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。
2.如权利要求1所述的基于MAC的802.1x认证的实体查找方法,其特征在于,所述交换机接口的用户数已达最大时,则拒绝用户的认证,向用户发送认证失败报文。
全文摘要
本发明公开了一种基于MAC的802.1x认证的实体查找方法,包括端口802.1x认证使能后,禁止端口MAC学习功能,清空FDB表中所有表项,禁止未经认证的用户数据转发;所有认证报文上报CPU,进行认证处理。在交换机中创建两个表hash表pstMacHashTable,用于存储设备上所有PAE控制实体指针,用来根据MAC快速查找PAE实体;PAE实体指针数组ppstPaePtrArray,用于通过将PAE实体ID号作为数组下标而快速查找PAE实体;用户认证通过后,向FDB表中添加用户MAC表项,从而实现用户数据转发。本发明能有效实现在局域网环境下对每个用户的认证控制,从而提高了网络的可运行性和可管理性,提高了认证过程中查找实体的效率。
文档编号H04L29/06GK1599372SQ20041000925
公开日2005年3月23日 申请日期2004年6月25日 优先权日2004年6月25日
发明者陆平 申请人:港湾网络有限公司