专利名称:一种动态实现开启或关闭802.1x认证功能的方法
技术领域:
本发明涉及一种基于IEEE802.1x动态实现开启或关闭802.1x认证功能的方法。尤其涉及通讯领域中,支持IEEE802.1x的设备根据需求开启或关闭802.1x认证功能,实现端口访问实体授权/未授权的方法。
背景技术:
IEEE802.1x是基于端口的网络访问控制协议,IEEE 802.1x以IEEE 802 LAN(局域网)的基础结构为基础,定义了一种对连接在LAN中某端口上设备(端口和设备的连接具有点到点连接的特征)进行认证和授权的方法。
如果认证和授权失败,将禁止相应设备通过该端口访问LAN资源。这里的端口指的是可以连接到LAN基础结构上的一个单一点,通常为二层交换机的一个端口,当然也可以是其它形式的端口,比如IEEE 802.11无线LAN中终端设备和访问点之间的关系。
端口访问实体(PAE)运行与认证机制相关的算法和协议,共有两种类型的PAE恳求者PAE和认证者PAE。
在认证交换中执行恳求者角色的PAE被称为恳求者PAE(Supplicant PAE)。恳求者PAE响应来自认证者PAE的请求,向认证者PAE递交认证信息。
在认证交换中执行认证者角色的PAE被称为认证者PAE(Authenticator PAE)。认证者PAE负责与恳求者之间的通讯,负责将从恳求者接收到的信息递交给适当的认证服务器,认证服务器检查这些信息并确定授权状态。
认证者PAE根据认证处理结果控制它的受控端口的授权/未被授权状态。
在实际的实现中,认证者PAE一般在网络交换设备和网络接入设备上实现,以实现对端用户或者下一级级联设备的认证功能。
恳求者PAE在端用户计算机上以802.1x客户端软件的形式实现,或者在网络交换设备上需要进行上联认证的端口上实现。
基于端口的网络访问控制机制具有良好的可管理性。网络管理员可以通过设置AuthControlledPortStatus(受控端口状态)参数来控制端口的授权状态,该参数共有3个可能值ForceUnauthorized(强制未认证模式),Auto(根据认证结果设置模式),ForceAuthorized(强制通过认证模式),缺省值是Auto(据认证结果设置模式)。
如果该参数被设为ForceUnauthorized,则逻辑端口中的受控端口无条件处于未授权状态。如果该参数被设为ForceAuthorized,则逻辑端口中的受控端口无条件处于授权状态。如果该参数被设为Auto,则受控端口的状态由认证的结果决定。
在实际的组网应用中,端用户计算机运行的802.1x客户端软件实现恳求者PAE功能,网络接入设备或者网络交换设备(以后简称为网络设备)在和端用户计算机相连的端口上实现认证者PAE功能。
对于不需要进行802.1x认证的组网应用环境中,如果网络设备仍旧开启802.1x认证功能,则会周期性的通过端口发送EAPOL-Req/Id(请求用户身份认证代码)报文,来主动发起认证。而如果持续没有收到响应,会认为端口连接的设备不支持802.1x认证功能,也会将该端口的认证状态设置为“已经认证”状态。对于网络设备的功能没有影响。但这种情况下,会增加网络设备的处理负担,降低网络设备的性能。并且发送的EAPOL-Req/Id报文也会对网络环境造成影响。
发明内容
本发明的目的是在现有IEEE802.1x协议的基础上,对于支持802.1x认证功能的网络设备是否启动认证功能相应采取的一种处理方法。具体涉及一种动态实现开启或关闭802.1x认证0功能的方法。
本发明具体是这样实现的一种动态实现开启或关闭802.1x认证功能的方法,包括如下处理如果是关闭系统802.1x认证功能命令,保存网络设备支持802.1x每个端口当前受控端口状态参数的值,将每个端口的受控端口状态值设置为授权状态;如果是开启系统802.1x认证功能命令,
获取网络设备支持802.1x每个端口保存受控端口状态参数的值,将网络设备支持802.1x每个端口受控端口状态参数的值设置为获取的参数值。
所述受控端口状态参数设置为不同的值后,通过802.1x相关的状态机,对设置的不同值进行状态跃迁,实现系统的开启或关闭。
保存网络设备支持802.1x每个端口当前受控端口状态参数保存该参数的值,可以通过创建一个新的变量来保存,也可以通过系统中的数据库来进行保存。
在IEEE802.1x协议基础上,采用本发明能够使得网络设备在实际的组网应用中能够灵活的开启或关闭网络设备的802.1x功能,在不提供802.1x功能时,减少802.1x对网络设备资源的占用,也减少802.1x功能对网络的影响。
图1是本发明所述方法的实施流程图。
具体实施例方式
在802.1x功能的认证者PAE中,允许将认证者PAE设置为“Force Authorized”模式,即设置AuthControlledPortStatus参数为ForceAuthorized。在这种模式下,会将端口的认证状态固定设置为“已经认证”状态。这种状态下,网络设备处理和802.1x功能相关的消耗会大大降低。基本不会影响网络设备的性能,也对网络环境没有影响。
因此,当把网络设备的802.1x功能关闭时,只要将网络设备支持802.1x功能的端口上的认证者PAE设置为“Force Authorized”模式,即设置AuthControlledPortStatus参数为ForceAuthorized就可以了。
如果需要开启网络设备的802.1x功能时,则将网络设备支持802.1x功能的端口上的认证者PAE设置为用户曾经设置的模式,即可。
当AuthControlledPortStatus参数设置为不同的值后,802.1x相关的状态机会根据该值进行适当的状态跃迁,并最终完成各种操作,来实现系统开启和关闭该功能的目的。
以下结合附图所给出的流程对本发明具体描述如下1、收到网络管理模块下发的配置命令,在每个系统中,都会有适当的模块能够接受网络管理员输入的命令,并将命令传送到指定的处理模块,因此此步骤的具体实现不是本方法论述的范围;
2、判断配置命令的类型;3、如果是关闭系统802.1x功能命令;4、首先保存网络设备各支持802.1x的端口当前AuthControlledPortStatus参数的值,保存该参数的值的方法有很多种,可以通过创建一个新的变量来保存,也可以通过系统中的数据库来进行保存,具体的保存方法本发明不进行限制;5、后将每个端口的AuthControlledPortStatus值设置为“ForceAuthorized”;6、如果是开启系统802.1x功能命令;7、获取每个端口事先保存的AuthControlledPortStatus值;8、将每个端口事先保存的AuthControlledPortStatus值赋给AuthControlledPortStatus。
虽然上述具体实施方式
描述了本发明的方法,然而本领域的技术人员会理解,在不偏离本发明宗旨和范围的前提下可以进行各种形式和细节的修改和改进。
权利要求
1.一种动态实现开启或关闭802.1x认证功能的方法,其特征在于,包括如下处理如果是关闭系统802.1x认证功能命令,保存网络设备支持802.1x每个端口当前受控端口状态参数的值,将每个端口的受控端口状态值设置为授权状态;如果是开启系统802.1x认证功能命令,获取网络设备支持802.1x每个端口保存受控端口状态参数的值,将网络设备支持802.1x每个端口受控端口状态参数的值设置为获取的参数值。
2.如权利要求1所述动态实现开启或关闭802.1x认证功能的方法,其特征在于所述受控端口状态参数设置为不同的值后,通过802.1x相关的状态机,对设置的不同值进行状态跃迁,实现系统的开启或关闭。
3.如权利要求1或2所述动态实现开启或关闭802.1x认证功能的方法,其特征在于保存网络设备支持802.1x每个端口当前受控端口状态参数保存该参数的值,可以通过创建一个新的变量来保存,也可以通过系统中的数据库来进行保存。
全文摘要
本发明涉及一种基于IEEE802.1x动态实现开启或关闭802.1x认证功能的方法,包括如下处理如果是关闭系统802.1x认证功能命令,保存网络设备支持802.1x每个端口当前受控端口状态参数的值,将每个端口的受控端口状态值设置为授权状态;如果是开启系统802.1x认证功能命令,获取网络设备支持802.1x每个端口保存受控端口状态参数的值,将网络设备支持802.1x每个端口受控端口状态参数的值设置为获取的参数值。采用本发明使得网络设备在实际的组网应用中能够灵活的开启或关闭网络设备的802.1x功能。
文档编号H04L29/06GK1980234SQ20051013032
公开日2007年6月13日 申请日期2005年12月9日 优先权日2005年12月9日
发明者王峰 申请人:中兴通讯股份有限公司