专利名称:基于策略的重认证方法和装置的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种基于策略的重认证方法和装置。
背景技术:
802. IX是IEEE (电气和电子工程师协会)制定的一种基于端口的网络接入控制协议,可以在以太网接入设备的端口上对接入的用户设备进行认证和控制。802. IX认证体系包含了客户端(Supplicant),设备端(Authenticator)以及认证服务器(Authentication Server)三部分。在客户端和设备端之间通过EAPOL(Extensible Authentication Protocol over LAN)报文进行认证交互;设备端根据认证服务器返回的认证结果判断是否对接入端口或者客户端的MAC地址进行授权,从而完成对客户端的接入控制只有通过认证的客户端的业务流量才被允许进入网络,没有通过认证的客户端的业务流量将被拒绝进入网络。为了防止非法客户端替换已经通过认证的合法客户端而带来的安全风险,802. IX 定义了重认证机制,由设备端周期性地对已经通过认证的客户端重新发起一次认证;如果重认证成功,则设备端允许该客户端的业务流量继续进入网络;如果重认证失败,设备端将禁止该客户端的业务流量进入网络。重认证失败可能有多种原因,除了非法客户端替换,合法客户端掉线之外,还可能是因为设备端与认证服务器之间发生网络侧通信故障,导致重认证交互中断所致。目前,对于网络侧通信故障造成的重认证失败,设备端的处理方式仍然是撤销客户端的授权,禁止客户端的业务流量进入网络。这种情况,设备端错误地撤销客户端的授权会导致合法客户端的业务中断,给用户造成很大损失。
发明内容
本发明的实施方式提供的方法和装置,解决目前通信网络中网络侧通信故障引起的重认证失败导致合法客户端的业务中断问题。本发明实施例提供一种基于策略的重认证方法,该方法包括配置客户端的重认证策略;设备端根据客户端的重认证策略进行相应的重认证处理。本发明实施例提供一种基于策略的重认证装置,该装置包括客户端重认证策略配置单元,用于配置客户端的重认证策略;重认证处理单元,用于根据客户端的重认证策略进行相应地重认证处理。与现有技术相比,本发明实施方式提供的技术方案通过配置重认证策略,可以在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,从而在保证安全性的情况下提高认证过程中的业务可靠性。
图1是本发明实施例提供的一种基于策略的重认证方法的流程示意图2是本发明实施例提供的一种基于策略的重认证方法的应用场景示意图;图3是本发明实施例提供的另一种基于策略的重认证方法的流程示意图;图4是本发明实施例提供的再一种基于策略的重认证方法的流程示意图;图5是本发明实施例提供的一种基于策略的重认证装置的结构示意图。
具体实施例方式以下结合具体实施方式
来说明本发明的实现过程。根据本发明的实施例,在现有802. IX重认证机制的基础上,对设备端与认证服务器之间存在网络侧通信故障的情况提供一种基于策略的重认证方法,使得合法客户端不会在网络侧故障情况下被撤销授权从而导致业务的中断;兼顾网络安全性与业务可靠性,从而提高802. IX安全认证体系在对业务可靠性要求比较高的场景中的适用性。根据本发明实施例的一个方面,提供了一种基于策略的重认证方法,包括100,配置客户端的重认证策略;具体地,所述重认证策略包括业务优先和安全优先。举例来说,对于业务可用性和可靠性要求比较高的网络应用,比如移动承载网络和无线网络,客户端的重认证策略可以选择配置为业务优先;对于安全性要求比较高,业务可用性和可靠性要求不高的网络应用, 比如宽带接入网络,客户端的重认证策略可以选择配置为安全优先。上述的重认证策略的配置例如可以通过在设备端提供用户配置命令,用户选择相应的重认证策略完成配置,当然也可以由设备端为每个客户端设备进行配置。102,设备端根据客户端的重认证策略进行相应的重认证处理。具体地,设备端在对该客户端进行重认证的过程中,如果确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步根据客户端的重认证策略进行重认证操作。具体地,设备端获取配置的所述客户端的重认证策略,根据获取的所述客户端的重认证策略进行相应的重认证操作。例如,如果确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步获取客户端的重认证策略,如果某个客户端的重认证策略为业务优先,则保留该客户端的授权,即维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络;如果某个客户端的重认证策略为安全优先,则撤销该客户端的授权,即撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。具体地,设备端向认证服务器发送认证请求报文后,如果在预设的重传超时时间和/或预定的重传次数内,没有收到认证服务器的响应报文,则认为设备端与认证服务器之间的网络侧通信故障导致重认证交互中断。举例来说,可以由设备端确定是否是因为设备端与认证服务器之间的网络侧通信故障导致重认证交互中断。当然,也可以由其他设备来确定是否是因为设备端与认证服务器之间的网络侧通信故障导致重认证交互中断。本发明实施例提供的基于策略的重认证方法通过配置重认证策略,可以在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,从而在保证安全性的情况下提高认证过程中的业务可靠性。如图2所示,以无线网络和移动承载网络中部署EAP (Extensible AuthenticationProtocol,可扩展认证协议)中继方式的802. IX认证体系为例,无线基站eNB作为客户端, 移动承载网络的边缘设备PEl作为设备端;RADIUS (Remote Authentication Dial In User krvice,远程用户拨号认证)服务器作为认证服务器。参见图3,为本发明实施例根据图2 所示的场景提供的一种基于策略的重认证方法包括301,设备端启动重认证;具体地,设备端启动重认证包括设备端向认证服务器发送认证请求。举例来说,所述认证请求为RADIUS Access-Request报文。302,认证服务器响应超时,如果客户端的重认证策略是业务优先,转至303 ;如果客户端的重认证策略是安全优先,转至304 ;具体地,如果在设备端向认证服务器发送验证请求报文之后预设的重传超时时间和/或预定的重传次数内,没有收到认证服务器的响应报文,则认为认证服务器响应超时。 例如,设备端向认证服务器发送RADIUS Access-Request报文,同时设备端启动重传定时器,如果在重传定时器超时时间内,没有收到认证服务器返回的RADIUS认证响应报文,则设备端将按配置的重试次数对RADIUS Access-Request报文进行重传,如果在指定的重试次数内仍然没有收到认证服务器返回的RADIUS认证响应报文,则设备端认为网络侧发生通信故障,重认证过程中断。举例来说,在302中,认证服务器响应超时后,设备端还可以上报认证服务器无响应告警,以提示用户是网络层通信故障导致重认证交互中断。303,设备端保留该客户端的授权。具体地,设备端保留该客户端的授权为维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络。进一步地,设备端保留该客户端的授权还包括通知客户端其重认证成功,例如设备端向客户端发送ΕΑΡ-Success报文通知其重认证成功。304,设备端撤销该客户端的授权。具体地,设备端撤销该客户端的授权为撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。进一步地,设备端撤销该客户端的授权还包通知客户端其重认证失败,例如设备端向客户端发送ΕΑΡ-Failure报文,通知其重认证失败。参见图4,为本发明实施例提供的另一种基于策略的重认证方法的具体的实施例, 该方法包括401,设备端启动重认证,向客户端发送EAP-Request/Identity报文请求用户身份信息;402,如果设备端收到认证服务器的RADIUS Access-Accept报文,则转至408 ;403,如果设备端收到认证服务器的RADIUS Access-Reject报文,则转至409 ;404,设备端在重传次数以及相应的重传超时时间内没有收到认证服务器返回的 RADIUS报文,则设备端认为认证服务器响应超时,确定网络侧的通信故障导致认证中断,这时转至405 ;否则继续等待;405,设备端检测是否存在“认证服务器无响应告警”;406,若不存在,设备端上报“认证服务器无响应告警”,执行407 ;
407,确认重认证安全策略是业务优先还是安全优先,如果客户端的重认证策略是业务优先,转至408,如果客户端的重认证策略是安全优先,转至409;具体地,设备端获取配置的所述客户端的重认证策略,根据获取的所述客户端的重认证策略进行相应的重认证操作。408,保留该客户端的授权。设备端保留该客户端的授权具体为维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络。进一步地,设备端保留该客户端的授权还包括通知客户端其重认证成功,例如设备端向客户端发送ΕΑΡ-Success报文通知其重认证成功。409,撤销该客户端的授权。设备端撤销该客户端的授权具体为撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。进一步地,设备端撤销该客户端的授权还包通知客户端其重认证失败,例如设备端向客户端发送ΕΑΡ-Failure报文,通知其重认证失败。本发明实施例提供的重认证方法通过配置重认证策略,在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,在保证安全性的情况下可以提高802. IX安全认证过程中的业务可靠性。参见图5,本发明实施例还提供一种基于策略的重认证装置50,该装置50例如可以是802. IX标准中的设备端,该装置50包括客户端重认证策略配置单元501,用于配置客户端的重认证策略;具体地,所述重认证策略可以配置为业务优先或安全优先。重认证处理单元502,,用于根据客户端的重认证策略进行相应地重认证处理。具体地,如果某个客户端的重认证策略为业务优先,重认证处理单元在对该客户端进行重认证的过程中,如果确定是设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则仍然保留该客户端的授权,即维持该客户端MAC地址或接入该客户端端口的授权,继续允许该客户端的业务流量进入网络。如果某个客户端的重认证策略为安全优先,重认证处理单元在对该客户端进行重认证的过程中,如果确定是设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则撤销该客户端的授权,即撤销该客户端MAC地址或接入该客户端端口的授权,禁止该客户端的业务流量进入网络。举例来说,所述重认证处理单元具体包括网络通信故障确定子单元,用于在所述基于策略的重认证装置向认证服务器发送认证请求报文后,如果确定在预设的重传超时时间和/或预定的重传次数内没有收到认证服务器的响应报文,则确认所述基于策略的重认证装置与认证服务器之间的网络侧通信故障导致重认证交互中断;重认证策略获取子单元,用于获取配置的客户端的重认证策略;重认证处理子单元,用于在网络通信故障确定子单元确定所述基于策略的重认证装置与认证服务器之间的网络侧通信故障导致重认证交互中断时,根据所述重认证策略获取子单元获取的客户端的重认证策略进行相应地重认证处理。具体地,如果获取的客户端的重认证策略是业务优先,所述重认证处理子单元保留该客户端的授权;如果客户端的重认证策略是安全优先,设备端撤销该客户端的授权。本发明实施例提供的基于策略的重认证装置可以具体用于执行图1、3和4所示的方法实施例对应的方法,其实现原理和技术效果类似,此处不再赘述。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种基于策略的重认证方法,其特征在于,包括配置客户端的重认证策略;设备端根据所述客户端的重认证策略进行相应的重认证处理。
2.如权利要求1所述的方法,其特征在于,所述重认证策略为业务优先或者安全优先。
3.如权利要求1或2所述的方法,其特征在于,所述设备端根据所述客户端的重认证策略进行相应的重认证处理具体为所述设备端在对所述客户端进行重认证的过程中,如果确定所述设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步根据所述客户端的重认证策略进行重认证操作。
4.如权利要求3所述的方法,其特征在于,所述如果确定所述设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步根据所述客户端的重认证策略进行重认证操作具体为如果确定所述设备端与认证服务器之间的网络侧通信故障导致重认证交互中断,则进一步获取所述客户端的重认证策略,如果所述客户端的重认证策略为业务优先,则保留所述客户端的授权;如果所述客户端的重认证策略为安全优先,则撤销所述客户端的授权。
5.如权利要求4所述的方法,其特征在于,所述确定设备端与认证服务器之间的网络侧通信故障导致重认证交互中断具体为所述设备端向认证服务器发送认证请求报文后,如果在预设的重传超时时间和/或预定的重传次数内,没有收到所述认证服务器的响应报文,则确定所述设备端与所述认证服务器之间的网络侧通信故障导致重认证交互中断。
6.如权利要求5所述的方法,其特征在于,所述方法进一步包括在确定所述设备端与所述认证服务器之间的网络侧通信故障导致重认证交互中断后, 所述设备端上报认证服务器无响应告警,以提示用户是网络层通信故障导致重认证交互中断。
7.如权利要求1-6任意一项所述的方法,其特征在于,所述方法应用于802.IX安全认证体系中。
8.一种基于策略的重认证装置,其特征在于,包括客户端重认证策略配置单元,用于配置客户端的重认证策略;重认证处理单元,用于根据所述客户端的重认证策略进行相应地重认证处理。
9.如权利要求8所述的装置,其特征在于,所述重认证处理单元具体包括网络通信故障确定子单元,用于在所述基于策略的重认证装置向认证服务器发送认证请求报文后,如果在预设的重传超时时间和/或预定的重传次数内没有收到所述认证服务器的响应报文,则确定所述基于策略的重认证装置与所述认证服务器之间的网络侧通信故障导致重认证交互中断;重认证策略获取子单元,用于获取所述客户端的重认证策略;重认证处理子单元,用于在所述网络通信故障确定子单元确定所述基于策略的重认证装置与认证服务器之间的网络侧通信故障导致重认证交互中断时,根据所述重认证策略获取子单元获取的所述客户端的重认证策略进行相应地重认证处理。
10.如权利要求9所述的装置,其特征在于,所述根据所述重认证策略获取子单元获取的所述客户端的重认证策略进行相应地重认证处理包括如果所述客户端的重认证策略为业务优先,则保留所述客户端的授权;如果所述客户端的重认证策略为安全优先,则撤销所述客户端的授权。
全文摘要
本发明实施例提供一种基于策略的重认证方法,该方法中配置客户端的重认证策略,设备端根据配置的客户端的重认证策略进行相应的重认证处理。本发明实施方式提供的技术方案通过配置重认证策略,可以在设备端与认证服务器之间发生网络侧通信故障时,避免对合法客户端的业务流量造成影响,从而在保证安全性的情况下提高认证过程中的业务可靠性。
文档编号H04L29/06GK102447702SQ20111044830
公开日2012年5月9日 申请日期2011年12月28日 优先权日2011年12月28日
发明者杨柳 申请人:华为技术有限公司