专利名称:接入元件和用于网络元件的接入控制的方法
技术领域:
本发明涉及一种接入元件和一种用于在该接入元件的端口上对多 个网络元件进行接入控制的方法。
背景技术:
在现有技术中已知用于在面向分组的网络或数据网上网络元件的 接入控制的方法。网络元件通过以下方式获得对数据网的接入,即通 过接入元件向鉴权服务器传送该网络元件的识别信息和鉴权信息。该 鉴权服务器检验该网络元件的信息,并且对该网络元件的接入作出决 定。在肯定的决定的情况下,实现该网络元件通过接入元件的释放的
端口的接入。该接入元件通常被构造为交换机(Switch)或一般被构 造为接入点。
以下考虑对第一网络元件的接入控制,例如通过被布置在第一网 络元件中的内部交换机将第二网络元件与该第一网络元件相连接。两 个网络元件例如串联地与接入元件的端口相连接。对接入元件的相应 的端口或"Port"进行接入控制,并且因此也将该接入控制称为"与 端口有关"。
在这种装置中出现以下问题。在成功地鉴权网络元件之一之后, 释放所有与接入元件的端口相连接的网络元件的接入。例如在第二网
络元件的鉴权之后,对第一和第二网络元件进行这种释放,而不考虑 或要求对第一网络元件的识别或鉴权。因此,设置在接入元件上的对 第一网络元件的接入控制已变成无效。
发明内容
本发明的任务是,确保对多个与接入元件的端口相连接的网络元 件的改进的接入控制。
该任务的解决方案在其方法方面通过一种具有权利要求1的特征 的方法以及在其装置方面通过一种具有权利要求7的特征的网络元件 来实现。
在此,在面向分组的网络中,从接入元件(例如交换机或接入点) 的端口出发,在该端口上,至少一个第二网络元件通过第一网络元件与接入元件相连接。第二网络元件例如与第一网络元件串联,并且最 终与接入元件的端口相连接。假设第一网络元件在接入元件上已经被 鉴权或注册。在此情况下,用于接入控制的本发明方法首先规定启动 第一网络元件在接入元件上的重新的鉴权过程。由第一网络元件启动 该鉴权过程。第一网络元件于是将由接入元件所发送的并且到达第一 网络元件的鉴权请求转发给第二网络元件。然后由第二网络元件进行 利用应答消息对该鉴权请求的应答,其中该应答消息通过第一网络元 件被转发给接入元件。
因此,利用本发明方法导致接入元件对第一网络元件的重新的鉴 权请求,根据本发明,该鉴权请求随后被转发给第二网络元件。以此 方式,有利地强制实施第二网络元件的鉴权。在现有技术中,(对于 网络安全来说不利地),迄今为止,只要连接在相同端口上的第一网 络元件已经有效地被鉴权并且已获得在接入元件上的释放,就对笫二 网络元件不要求这种鉴权。
本发明的方法和相关装置的另一个优点在于,实现仅仅要求第一 网络元件的控制逻辑的比较简单的修改。尤其是一点也不要求接入元 件或鉴权服务器的修改。
在从属权利要求中说明了本发明的有利的改进方案。
本发明的一种特别有利的改进方案规定了两个其它的方法步骤, 这些方法步骤规定,由第一网络元件接收并分析由接入元件根据应答 消息所发送的确认消息,并且由第一网络元件根据该分析(也就是第 二网络元件在接入元件上的接入的释放或拒绝)释放或阻止第二网络 元件的接入。因此这里有利地利用以下核心思想来改进创造性的基本
思想笫一网络元件相对于第二网络元件在其侧通过以下方式在功能 上充当"接入元件",即分析所转发的确认消息,并且然后在第一网 络元件上促使释放或阻止。
由第 一 网络元件启动第 一 网络元件在接入元件上的重新的鉴权过 程的实施变型方案在于,第一网络元件通过相应的信号或通过另外的 措施在接入元件上注销。该实施变型方案具有简单的软件技术实现的 优点。
在本发明的一种有利的改进方案中,针对上述情况规定了第一网 络元件的重新的注册,使得通过第一网络元件的注销导致了重新的鉴权过程的启动。因此,第一网络元件相对于真正的接入元件保留了其 作为受接入控制的网络元件的功能角色,而它相对于第二网络元件在 功能上充当"接入元件"。
由第一网络元件启动第一网络元件在接入元件上的重新的鉴权过 程的一种替代的实施变型方案在于,笫一网络元件向接入元件发送执 行重新鉴权的请求。该变型方案的优点尤其在于,笫一网络元件不会 由于注销和重新的注册而暂时停止使用。
以下借助附图来更详细地阐述具有本发明的其它优点和扩展的实
施例。其中
图1示出用于示意性表示两个串联连接在接入元件上的网络元件 的结构图;以及
图2示出用于示意性表示与接入控制有关的控制消息的时间顺序 的结构图。
具体实施例方式
在图1中示出了具有所连接的第一网络元件N1的接入元件SW,第 二网络元件N2又与该第一网络元件Nl相连接。通过端口P( "Port") 实现第一网络元件Nl与接入元件SW的连接。第一网络元件Nl具有内 部交换机IS,该内部交换机IS不仅确保第一网络元件Nl与该接入元 件的数据技术连接,而且也确保第二网络元件N2与该接入元件的数据 技术连接。内部交换机例如被实施为3端口交换机。常常选择这种装 置,以便避免在工作场所处的费事的电缆敷设。
这种装置的一个实施例是面向分组地工作的通信终端设备、例如 VoIP电话(因特网协议承栽语音),该通信终端设备作为第一网络元 件被连接到面向分组的数据网上,并且为笫二网络元件、例如PC(个 人计算机)提供另外的这种端口,该端口可以有利地在该电话附近连 接到数据网上。
由IEEE标准802. lx已知一种用于基于网络的接入控制的流行方 法。标准802. lx说明了一种用于在数据网中进行鉴权和授权的方法。 其中定义网络入口,该网络入口相当于局部网(局域网(LAN))中的 物理端口或"Port,,,或相当于才艮据已知的标准802. 11中的"无线LAN" 或WLAN的规范的逻辑端口。在该网络入口上通过接入元件或"鉴权器"来进行鉴权,该接入元件与鉴权服务器合作检查由充当"请求者"的 网络元件所传送的鉴权信息,并且必要时允许或拒绝对由鉴权器所提
供的网络入口的访问。在此情况下,接入元件sw可以以任意的方式例 如被构造为交换机、接入点、或者也可以被构造为具有内部交换机的 网络元件。
常常结合802. lx采用根据IETF(因特网工程任务组)的RFC 2284 (注释请求)的EAP (可扩展鉴权协议)。在此情况下,将EAP消息打 包在802. lx消息中。
三个元件参与与端口有关的鉴权
-应在数据网中作为请求者被鉴权的网络元件,
-接入元件中的鉴权器,该鉴权器执行与网络元件的鉴权过程,
和
-将鉴权所需的信息提供给鉴权器的鉴权服务器。 标准IEEE 802. 1x规定,将两个逻辑端口分配给一个物理端口 。 该物理端口将所接收的分组原则上转发给所谓的自由端口 (不受控制 的端口)。只有在可以通过自由端口进行的鉴权之后,才可达受控制 的端口。
例如根据已知的RADIUS (远程鉴权拨入用户服务)服务器协议来 构造(没有示出的)鉴权服务器。RADIUS是一种用于在拨入连接到计 算机网络中的情况下对用户进行鉴权的客户机-服务器协议。该协议 尤其被用于通过调制解调器、ISDN、 VPN或无线LAN的拨入连接的集中 鉴权。所属的服务器业务,RADIUS服务器,用于在使用数据库的情况 下网络元件的鉴权,在这些数据库中存储有相应网络元件的识别信息、 例如该网络元件的MAC (媒体接入控制)地址和鉴权信息、例如密码。
由于所扩展的任务, 一些鉴权服务器常常也被称为AAA服务器(鉴 权、授权、计费)。
图2继续参考图1的功能单元示出与接入控制有关的控制消息的 时间顺序。
在此情况下,通过第二网络元件N2、例如个人计算机N2的接通或 激活来开始该时间顺序。
在附图中,用箭头和所属的数字参考符号来示出以下的随着消息 的交换而出现的方法步骤。在此情况下,参考这些参考符号,本方法如下进行
1 第一网络元件Nl启动新的鉴权过程。例如通过"EAPOL-START" 的传送来触发该过程,该"EAPOL-START"指示接入元件SW (鉴权器) 执行鉴权。根据以下进一步考虑的第二实施变型方案,第一网络元件 Nl利用第一控制消息1向接入元件SW注销。第一网络元件Nl有利地 模拟网络电缆被松开并且重新被插接的情况,以便向接入元件SW表明 需要重新鉴权。第一控制消息l优选地被构造为EAP(可扩展鉴权协议) 消息l。
2 利用由接入元件SW向第一网络元件Nl所发送的鉴权请求2, 请求已注销的第一网络元件N1 (重新)进行鉴权。
3 在笫一网络元件Nl内,鉴权请求2被转发给为第二网络元件 N2所设置的端口。在附图中用虚线示出了该转发3。
4 所转发的鉴权请求4到达第二网络元件N2。它基本上对应于在 第一网络元件Nl上所收到的鉴权请求2。
5 第二网络元件N2用包含自己的识别信息和鉴权信息的应答消 息5来应答鉴权请求4。
6 在第一网络元件N1内,应答消息5被转发给为接入元件SW所 设置的端口。在附图中用虚线示出了该转发6。
7 所转发的应答消息7到达接入元件SW。它基本上对应于在第二 网络元件N2上所发送的应答消息5。
8 由接入元件SW向第一网络元件N1所发送的确认消息8包含是 否许可或拒绝释放的信息。
在第一网络元件N1上分析确认消息8。
如果由接入元件SW借助确认消息8中所包含的信息许可了接入, 也即第二网络元件N2的鉴权是成功的,则网络元件Nl随后允许在第 二网络元件N2通过第一网络元件Nl与接入元件SW之间的数据通信。
如果由接入元件SW借助确认消息8中所包含的信息拒绝了接入, 也即第二网络元件N2的鉴权失败,则该网络元件Nl随后阻止与第二 网络元件N2的任何数据通信,可能除了例如为了重新的鉴权尝试所转 发的其它的802. lx消息以外。
第一网络元件Nl有利地在拒绝了第二网络元件N2的接入之后重 新利用它自己的识别信息和鉴权信息进行注册。在将第一网络元件N1构造为通信终端设备或电话时,提供这种重 新的注册,以便在连接到其上的个人计算机N2的接入被拒绝的情况下 至少重新开始使用被授权的电话N1。
尤其是在将第一网络元件N1构造为电话时,显示出本发明装置相 对于用于解决本发明任务的所设想的替代解决方案的优点。 一种偏离 本发明思想的有点不利的替代解决方案可以规定,在第一网络元件Nl 中既实现请求者,也实现鉴权器。在接入元件的方向上,于是第一网 络元件Nl表现为请求者,并且相对于第二网络元件N2表现为鉴权器。 在后面一种角色的情况下,第一网络元件N1必须与(没有示出的)鉴 权服务器进行通信。该替代解决方案因此尤其不利,因为于是也必须 实施用于与"后端"、也就是基本上与鉴权服务器进行通信的协议。 在电话的情况下,这导致更高的开发花费并且导致设备的成本增加, 因为必须提供更多的存储器资源。
用于解决本发明任务的另 一种替代解决方案将涉及交换机SW的使 用,这些交换机SW在交换机SW的同一个端口 P上对多个网络元件进 行鉴权。然而在当今的网络中一般不确保这种交换机SW的使用,以致 本发明方法在这里是更有利的,因为它不以专门构造的交换机或接入 元件SW为前提。
而利用本发明装置可以在符合802. lx标准的以太网交换机SW中 也确保,个人计算机N2在没有鉴权的情况下不能获得对数据网的接入, 并且同时将连接的VoIP电话N1的实现花费保持在一定限度内。
随着为鉴权过程所规定的EAP消息通过第一网络元件N1的根据本 发明所规定的不加改变的转发,第一网络元件N1充当"中继器,,。
本发明方法不必一定仅仅在第一网络元件N1中被实施。替代的实 施形式包括到分布在网络中的各个组件上的分布。用于接入控制的协 议IEEE 8021. x的使用由于广泛的发布也是有利的,然而不是强制性 的。
上面借助实施例描述了本发明。应理解的是,众多的改变以及变 化是可能的,而不会因此离开本发明所基于的发明思想。
权利要求
1.用于对连接在接入元件(SW)的端口上的多个网络元件进行接入控制的方法,其中至少一个第二网络元件(N2)通过第一网络元件(N1)与所述接入元件(SW)相连接,以及其中在所述接入元件上对所述第一网络元件(N1)进行鉴权,包括以下方法步骤a)由所述第一网络元件(N1)启动(1)所述第一网络元件(N1)在所述接入元件(SW)上的重新的鉴权过程,b)将由所述接入元件(SW)所发送的并且在所述第一网络元件(N1)上所收到的鉴权请求(2)转发(3,4)给所述第二网络元件(N2),c)由所述第二网络元件(N2)利用应答消息(5)来应答所述鉴权请求(2),并且通过所述第一网络元件(N1)将所述应答消息(5)转发(6,7)给所述接入元件(SW)。
2. 按照权利要求1所述的方法,其特征在于以下方法步骤d) 由所述第一网络元件(Nl)接收并分析由所述接入元件(SW) 所发送的确认消息(8),e) 由所述第一网络元件(Nl)根据步骤d)的分析释放或阻止所 述第二网络元件(N2)在所述接入元件上的接入。
3. 按照权利要求2所述的方法,其特征在于,通过所述第一网络 元件(Nl)的注销来启动(1)重新的鉴权过程。
4. 按照权利要求3所述的方法,其特征在于,在阻止所述第二网 络元件(N2)的接入的情况下,所述第一网络元件(Nl)重新在所述 接入元件(SW)上注册。
5. 按照权利要求2所述的方法,其特征在于,通过将执行重新鉴 权的请求(1)传送给所述接入元件(SW)来实现重新的鉴权过程的启 动(1)。
6. 按照以上权利要求之一所述的方法,在应用鉴权协议IEEE 802. lx时实现消息交换和消息结构。
7. 用于连接到接入元件(SW)上并且将第二网络元件(N2)连接 在所述接入元件(SW)上的网络元件,具有用于执行按照权利要求1 至6之一的方法的装置。
8. 按照权利要求7所述的网络元件,其特征在于,被构造为面向 分组的通信终端设备。
9.按照权利要求7或8之一所述的网络元件,其特征在于,设置 网络元件内部的交换机US)。
全文摘要
接入元件和用于网络元件的接入控制的方法。本发明涉及一种用于对连接在接入元件(SW)的端口上的多个网络元件进行接入控制的方法,其中至少一个第二网络元件(N2)通过第一网络元件(N1)与接入元件(SW)相连接,以及其中在接入元件上对第一网络元件(N1)进行鉴权。该方法包括以下方法步骤a)由第一网络元件(N1)启动(1)第一网络元件(N1)在接入元件(SW)上的重新的鉴权过程,b)将由接入元件(SW)所发送的并且在第一网络元件(N1)上所收到的鉴权请求(2)转发(3,4)给第二网络元件(N2),c)由第二网络元件(N2)利用应答消息(5)来应答鉴权请求(2)并且通过第一网络元件(N1)将应答消息(5)转发(6,7)给接入元件(SW)。
文档编号H04L29/06GK101288284SQ200680036081
公开日2008年10月15日 申请日期2006年8月24日 优先权日2005年9月29日
发明者O·维伊茨 申请人:西门子企业通讯有限责任两合公司