专利名称:一种在边缘路由器中支持802.1x扩展认证协议的方法
技术领域:
本发明涉及计算机网络通信领域,特别是指一种在边缘路由器中支持802. IX扩展认证协议的方法。
背景技术:
802. IX,全称是基于端口的网络访问控制。为提升网络安全性,便于网络管理,现 有的宽带城域网和园区网广泛采用了基于802. IX标准的EAP (扩展认证协议)-MD5方式进 行客户端接入认证。在这种接入认证流程中,客户端与认证系统之间采用EAPOL (局域网上 的扩展认证协议)报文进行交互。然而,部署802. IX认证系统的厂商往往在802. IX标准的基础上作了扩展,由此产 生了不符合802. IX标准的认证协议。具体网络中,认证协议流程往往还可以由网络运营商 根据实际需求进行配置。因此,用户需要在计算机上安装与当前网络认证协议流程匹配的 客户端程序,才能接入网络。若用户计算机通过边缘路由器接入网络,则边缘路由器必须支持所接入网络的 802. IX认证协议。传统的边缘路由器通过复制802. IX客户端程序逻辑来解决这一问题。 如图1所示,边缘路由器内置802. IX客户端程序,EAPOL报文交互只发生在边缘路由器与 认证系统之间,与边缘路由器内网计算机无关。然而边缘路由器作为嵌入式设备,自身资源极其有限,且软件升级不够方便,因而 难于应对复杂多变的802. IX扩展认证协议。
发明内容
有鉴于此,本发明在于提供一种在边缘路由器中支持802. IX扩展认证协议的方 法,以解决由于802. IX可扩展特性,导致网络接入认证环境多样化,使边缘路由器难于兼 容的问题。为解决上述问题,本发明提供一种在边缘路由器中支持802. IX扩展认证协议的 方法,包括在边缘路由器内网任一台计算机上安装802. IX认证客户端程序和虚拟网卡以及 认证报文转发模块,虚拟网卡的网络配置信息及MAC(媒体访问控制)地址与边缘路由器保 持同步;认证客户端程序通过虚拟网卡发送EAPOL认证报文,转发模块将报文来源MAC地 址改为物理网卡MAC地址后,通过物理网卡转发至边缘路由器,边缘路由器修改报文来源 MAC地址为自身MAC地址,再将报文转发至认证系统;认证系统向边缘路由器发送EAPOL认证报文,若报文目的MAC地址为单播地址,边 缘路由器将报文目的MAC地址改为内网计算机物理网卡MAC地址,转发至内网计算机的物 理网卡,转发模块将报文目的MAC地址改为虚拟网卡MAC地址后,转发至虚拟网卡,由认证 客户端程序接收;
认证系统向边缘路由器发送EAPOL认证报文,若报文目的MAC地址为广播地址或 组播地址,边缘路由器将报文转发至内网计算机的物理网卡,转发模块再将报文转发至虚 拟网卡,由认证客户端程序接收。如图2所示,802. IX认证客户端程序通过虚拟网卡收发EAPOL认证报文,由于虚拟网卡的MAC地址及网络配置信息与边缘路由器保持同步,所以认证客户端程序所处的网络 环境与边缘路由器内部完全一致,边缘路由器通过转发认证报文即可完成802. IX认证。所述网络配置信息根据网络采用的IP分配策略的不同而包含不同内容。若IP地 址为静态分配,则包括IP地址、子网掩码、网关、域名解析服务器等;若IP地址为动态分配, 则除了静态分配策略中包含的内容外,还包括IP租约期、DHCP服务器地址等。所述虚拟网卡只用于802. IX客户端程序收发认证报文,并且不直接与边缘路由 器通信,因此,尽管虚拟网卡的MAC地址及网络配置信息与边缘路由器完全一致,却不影响 正常网络通信。采用本发明提供的方案,具有以下有益效果1)边缘路由器通过修改、转发EAPOL 报文,无须内置802. IX客户端程序逻辑;2)802. IX认证客户端程序运行在用户计算机上, 管理操作非常方便;3)认证协议如有变动,无须升级边缘路由器软件,只须在内网计算机 升级802. IX认证客户端程序。
图1是传统边缘路由器支持802. IX协议的原理示意图。图2是本发明涉及的在边缘路由器支持802. IX协议的原理示意图。图3是本发明具体实施方式
中涉及到的一种基于EAP-MD5的认证协议流程。图4是本发明具体实施方式
中涉及到的网络拓扑结构。
具体实施例方式为了清楚说明本发明的技术方案,下面给出实施例并结合附图详细说明。某宽带城域网环境中,IP地址为静态分配,并采用一种不符合802. IX标准的基于 EAP-MD5方式的认证协议。这里先具体说明当前网络采用的认证协议流程。不存在边缘路由器的情况下,在用户计算机上安装802. IX认证客户端程序,用户 计算机物理网卡与认证系统连接,认证客户端程序通过物理网卡收发EAPOL认证报文,其 认证流程结合图3,叙述如下一、认证过程物理网卡设置了由网络管理员提供的网络配置信息,准备认证1、用户计算机向认证系统发送EAPOL-Start报文,开始802. IX认证;2、认证系统向用户计算机发送EAP-Request/Identity报文,请求用户名和网络
配置信息;3、用户计算机向认证系统发送EAP-Response/Identity报文,其中包含用户名和 网络配置信息;4、认证系统向用户计算机发送EAP-Request/MD5-ChalIenge报文;5、用户计算机向认证系统发送EAP-Response/MDS-Challenge报文,其中包含了 与密码和MD5-Chal Ienge有关的MD5哈希值;
6、认证通过,认证系统向用户计算机发送ΕΑΡ-Success报文;7、用户计算机的802. IX客户端程序提示成功接入网络。二、在线保持此时用户计算机通过认证,已经接入网络,认证系统与用户计算机之间定期进行在线确认。1、认证系统向用户计算机发送ΕΑΡ-Online Check报文;2、用户计算机向认证系统发送ΕΑΡ-Online Confirm报文。三、断开网络此时用户计算机准备断开网络服务。1、用户计算机向认证系统发送EAPOL-Logoff报文;2、认证系统向用户计算机发送ΕΑΡ-Logoff Message报文;3、用户计算机的802. IX客户端程序提示下线成功。若用户计算机通过边缘路由器接入网络,网络结构如图4所示。边缘路由器WAN 口与认证系统连接,等待认证;用户计算机的物理网卡与边缘路由器LANl 口连接,并获得 了边缘路由器的内网IP地址;用户计算机上安装了 802. IX认证客户端程序、虚拟网卡以及 认证报文转发模块,认证客户端程序通过虚拟网卡收发EAPOL报文。边缘路由器将通过以下流程完成802. IX认证一、认证过程边缘路由器设置了由网络管理员提供的网络配置信息,用户计算机 虚拟网卡的MAC地址及网络配置信息与边缘路由器保持同步,准备认证1、认证客户端程序通过虚拟网卡发送EAPOL-Start报文,开始802. IX认证;2、转发模块将报文的来源MAC地址修改为物理网卡MAC地址,通过物理网卡转发 至边缘路由器;3、边缘路由器修改报文来源地址为自身MAC地址,将报文转发至认证系统;4、认证系统向边缘路由器发送EAP-Request/Identity报文,请求用户名和网络
配置信息;5、边缘路由器修改报文目的MAC地址为内网计算机物理网卡MAC地址,转发至物 理网卡;6、转发模块将报文目的MAC地址改为虚拟网卡MAC地址,转发至虚拟网卡;7、认证客户端程序通过虚拟网卡发送EAP-Response/Identity报文,其中包含用 户名和网络配置信息;8、转发模块将报文的来源MAC地址修改为物理网卡MAC地址,通过物理网卡转发 至边缘路由器;9、边缘路由器修改报文来源地址为自身MAC地址,将报文转发至认证系统;10、认证系统向边缘路由器发送EAP-Request/MD5_ChalIenge报文;11、边缘路由器修改报文目的MAC地址为内网计算机物理网卡MAC地址,转发至物 理网卡;12、转发模块将报文目的MAC地址改为虚拟网卡MAC地址,转发至虚拟网卡;13、认证客户端程序通过虚拟网卡发送EAP-Response/MD5-Challenge报文,其中 包含了与密码和MD5-Chal Ienge有关的MD5哈希值;14、转发模块将报文的来源MAC地址修改为物理网卡MAC地址,通过物理网卡转发 至边缘路由器;
15、边缘路由器修改报文来源地址为自身MAC地址,将报文转发至认证系统;16、认证通过,认证系统向边缘路由器发送ΕΑΡ-Success报文;17、边缘路由器修改报文目的MAC地址为内网计算机物理网卡MAC地址,转发至物 理网卡;18、转发模块将报文目的MAC地址改为虚拟网卡MAC地址,转发至虚拟网卡;19、用户计算机的802. IX客户端程序提示成功接入网络。二、在线保持此时边缘路由器通过认证,已经接入网络,认证系统与边缘路由器之间定期进行在线确认。1、认证系统向边缘路由器发送ΕΑΡ-Online Check报文;2、边缘路由器修改报文目的MAC地址为内网计算机物理网卡MAC地址,转发至物 理网卡;3、转发模块将报文目的MAC地址改为虚拟网卡MAC地址,转发至虚拟网卡;4、认证客户端程序通过虚拟网卡发送ΕΑΡ-Online Confirm报文;5、转发模块将报文的来源MAC地址修改为物理网卡MAC地址,通过物理网卡转发 至边缘路由器;6、边缘路由器修改报文来源地址为自身MAC地址,将报文转发至认证系统;三、断开网络此时边缘路由器准备断开网络服务。1、认证客户端程序通过虚拟网卡发送EAPOL-Logoff报文;2、转发模块将报文的来源MAC地址修改为物理网卡MAC地址,通过物理网卡转发 至边缘路由器;3、边缘路由器修改报文来源地址为自身MAC地址,将报文转发至认证系统;4、认证系统向边缘路由器发送ΕΑΡ-Logoff Message报文;5、边缘路由器修改报文目的MAC地址为内网计算机物理网卡MAC地址,转发至物 理网卡;6、转发模块将报文目的MAC地址改为虚拟网卡MAC地址,转发至虚拟网卡;7、用户计算机的802. IX客户端程序提示下线成功。尽管上述实施方式描述了本发明,然而本领域的技术人员会理解,在不偏离本发 明宗旨和范围的前提下进行各种形式的和细节的修改和改进,同样包含在本发明的范围 内。因此,应在说明性而非限制性的意义上看待本说明书和附图。
权利要求
一种在边缘路由器中支持802.1X扩展认证协议的方法,其特征在于,包括如下处理在边缘路由器内网任一台计算机上安装802.1X认证客户端程序和虚拟网卡以及认证报文转发模块,虚拟网卡的网络配置信息及MAC地址与边缘路由器保持同步;认证客户端程序通过虚拟网卡发送EAPOL认证报文,转发模块将报文来源MAC地址改为物理网卡MAC地址后,通过物理网卡转发至边缘路由器,边缘路由器修改报文来源MAC地址为自身MAC地址,再将报文转发至认证系统;认证系统向边缘路由器发送EAPOL认证报文,若报文目的MAC地址为单播地址,边缘路由器将报文目的MAC地址改为内网计算机物理网卡MAC地址,转发至内网计算机的物理网卡,转发模块将报文目的MAC地址改为虚拟网卡MAC地址后,转发至虚拟网卡,由认证客户端程序接收;认证系统向边缘路由器发送EAPOL认证报文,若报文目的MAC地址为广播地址或组播地址,边缘路由器将报文转发至内网计算机的物理网卡,转发模块再将报文转发至虚拟网卡,由认证客户端程序接收。
全文摘要
本发明涉及计算机网络通信领域,是一种在边缘路由器中支持802.1X扩展认证协议的方法。包括在边缘路由器内网任一计算机上安装802.1X认证客户端程序和虚拟网卡以及认证报文转发模块。虚拟网卡的MAC地址及网络配置信息与边缘路由器保持同步。认证客户端程序通过虚拟网卡收发EAPOL认证报文,认证报文沿着虚拟网卡、物理网卡、边缘路由器、认证系统组成的路径传送,使边缘路由器作为事实上的客户端通过802.1X认证。在认证过程中,由运行在内网计算机的802.1X认证客户端程序完成客户端逻辑处理。因而,采用本发明可使边缘路由器在接入802.1X认证网络方面具有良好的适应性和灵活性。
文档编号H04L12/28GK101848206SQ201010137899
公开日2010年9月29日 申请日期2010年4月2日 优先权日2010年4月2日
发明者张华 , 温巧燕, 许伟林, 许广林 申请人:北京邮电大学