基于802.1X协议的认证逃生方法及装置与流程

本发明涉及网络通信技术领域，具体而言，涉及一种基于802.1X协议的认证逃生方法及装置。

背景技术：

AAA服务器(Authentication、Authorization、Accounting)，作为最早拨号上网的认证、授权及记账服务器，与NAS(Network Attached Server，网络接入服务器)和网络接入终端一起构成了典型的网络接入控制系统，为行业提供了一个相对完整的网络接入控制安全解决方案。AAA服务器按照协议分为RADIUS服务器或TACACS服务器，而在实际应用中RADIUS服务器使用更为广泛。

目前在局域网中广泛使用的IEEE 802.1X协议是一种基于端口的网络访问控制协议。通常在802.1X交换网络安全接入解决方案中，接入终端必须经RADIUS服务器认证授权通过后才能进入AutoVLAN或配置VLAN访问安全性高的业务资源，如果认证失败或未认证，就只能进入到Guest VLAN受限访问非业务资源。当RADIUS服务器出现故障，NAS与RADIUS服务器相互通信中断时，将导致接入终端无法接入网络，用户的业务访问无法得到保障，给用户带来巨大损失。由此，用户希望RADIUS服务器故障时，接入终端部分重要业务也能得到保障。

在现有技术中，Guest VLAN技术无法解决该问题。而在RADIUS服务器部署方面考虑了主备切换的技术也只是解决了RADIUS服务器和NAS间网络通信的一部分问题，并且保活机制需要RAIDUS服务器主动发起心跳报文，必然降低服务器通用性，导致方案的使用受限，用户体验较差。

技术实现要素：

为了克服现有技术中的上述不足，本发明提供一种基于802.1X协议的认证逃生方法及装置，其能够在探测到NAS与RADIUS服务器通信状况异常后让接入终端进入逃生VLAN访问必需的逃生业务。

本发明的第一目的在于提供一种基于802.1X协议的认证逃生方法，应用于与接入终端及RADIUS服务器通信连接的网络接入服务器，所述网络接入服务器中预先配置有虚拟局域网信息，所述虚拟局域网信息中包括逃生虚拟局域网信息，所述方法包括：

响应所述接入终端发送的认证请求；

将所述认证请求发送给所述RADIUS服务器得到认证结果；

依据所述认证结果控制所述接入终端通过所述虚拟局域网信息进入虚拟局域网访问业务，其中，当所述认证结果为所述RADIUS服务器不可用时，控制所述接入终端通过逃生虚拟局域网信息进入逃生虚拟局域网访问逃生业务。

本发明的第二目的在于提供一种基于802.1X协议的认证逃生装置，应用于与接入终端及RADIUS服务器通信连接的网络接入服务器，所述网络接入服务器中预先配置有虚拟局域网信息，所述虚拟局域网信息中包括逃生虚拟局域网信息，所述装置包括：

响应模块，用于响应所述接入终端发送的认证请求；

认证模块，用于将所述认证请求发送给所述RADIUS服务器得到认证结果；

业务访问模块，用于依据所述认证结果控制所述接入终端通过所述虚拟局域网信息进入虚拟局域网访问业务，其中，当所述认证结果为所述RADIUS服务器不可用时，控制所述接入终端通过逃生虚拟局域网信息进入逃生虚拟局域网访问逃生业务。

相对于现有技术而言，本发明具有以下有益效果：

网络接入服务器通过响应所述接入终端发送的认证请求。将所述认证请求发送给所述RADIUS服务器得到认证结果。依据所述认证结果控制所述接入终端通过所述虚拟局域网信息进入虚拟局域网访问业务，其中，当所述认证结果为所述RADIUS服务器不可用时，控制所述接入终端通过逃生虚拟局域网信息进入逃生虚拟局域网访问逃生业务。由此，能够减轻客户损失，保障了用户的权益，具有良好的用户体验。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明较佳实施例提供的802.1X认证系统的方框示意图。

图2是本发明较佳实施例提供的图1所示的网络接入服务器的方框示意图。

图3是本发明第一实施例提供的基于802.1X协议的认证逃生方法的步骤流程图之一。

图4是本发明第一实施例提供的图3所示的步骤S140包括的子步骤的流程示意图。

图5是本发明第一实施例提供的基于802.1X协议的认证逃生方法的步骤流程图之二。

图6是本发明第一实施例提供的基于802.1X协议的认证逃生方法的步骤流程图之三。

图7为本发明第二实施例提供的认证逃生装置的功能模块图。

图标：10-802.1X认证系统；100-网络接入服务器；110-存储器；120-处理器；130-网络模块；200-接入终端；300-RADIUS服务器；400-认证逃生装置；410-初始化模块；420-创建网络信息模块；430-响应模块；440-认证模块；450-业务访问模块；460-探测模块；470-接收模块；480-逃生恢复模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

请参照图1，图1是本发明较佳实施例提供的802.1X认证系统10的方框示意图。所述802.1X认证系统10包括相互通信连接的网络接入服务器100、RADIUS服务器300及接入终端200。

802.1X协议是一种基于C/S(Client/Server，客户端/服务器)访问控制和认证的协议，它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN等。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1X只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

在本实施例中，所述网络接入服务器100(Network Attached Server，NAS)可以完成远程接入、实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用。网络接入服务器100(NAS)作为RADIUS服务器300的客户端，向远程用户的接入终端200提供网络接入及与RADIUS服务器300交互的服务。

所述网络接入服务器100采用嵌入式接入设备，嵌入式接入设备主要由嵌入式处理器、相关支撑硬件和嵌入式软件系统组成，它是集软、硬件于一体的可独立工作的器件，可以是，但不限于，路由器、交换机及无线访问点等。

在本实施例中，RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系统)是由RFC2865、RFC2866定义，是目前应用最广泛的AAA协议。RADIUS是一种C/S(Client/Server，客户端/服务器)结构的协议，它的客户端就是NAS服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。

所述RADIUS服务器300上预先存储有接入终端200的用户身份信息、授权信息以及访问记录等，可对接入终端200进行认证、授权和计费服务。

下面对认证过程做简要描述：

当接入终端200用户有上网需求时输入已经申请、登记过的用户名和口令，发起认证连接请求。网络接入服务器100将接收请求认证的报文及用户信息封包处理后发送给RADIUS服务器300进行认证处理。RADIUS服务器300接收到用户信息后，将该用户信息中包括的用户名信息、口令信息与预先在数据库中存储的用户名表、口令信息表进行比对。如果相同，则认为该接入终端200用户为合法用户，反馈认证通过的消息，否则，反馈认证失败的消息。

请参照图2，图2是本发明较佳实施例提供的图1所示的网络接入服务器100的方框示意图。所述网络接入服务器100包括存储器110、认证逃生装置400、处理器120及网络模块130。

所述存储器110、处理器120及网络模块130相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线或信号线实现电性连接。存储器110中存储有认证逃生装置400，所述认证逃生装置400包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中的软件功能模块，所述处理器120通过运行存储在存储器110内的软件程序以及模块，从而执行各种功能应用以及数据处理。

其中，所述存储器110可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。其中，存储器110用于存储程序，所述处理器120在接收到执行指令后，执行所述程序。进一步地，上述存储器110内的软件程序以及模块还可包括操作系统，其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动，并可与各种硬件或软件组件相互通信，从而提供其他软件组件的运行环境。

所述处理器120可以是一种集成电路芯片，具有信号的处理能力。上述的处理器120可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

网络模块130用于通过网络建立网络接入服务器100与接入终端200及RADIUS服务器300之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号、射频信号等。

可以理解，图2所述的结构仅为示意，网络接入服务器100还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。

第一实施例

请参照图3，图3是本发明第一实施例提供的基于802.1X协议的认证逃生方法的步骤流程图之一。所述方法应用于与接入终端200及RADIUS服务器300通信连接的网络接入服务器100。

在本实施例中，所述网络接入服务器100包括用于存储与所述网络接入服务器100通信连接的RADIUS服务器300的地址的活动队列及探测队列。所述网络接入服务器100中预先配置有虚拟局域网信息，所述虚拟网络信息包括逃生虚拟局域网信息、自动虚拟局域网信息、配置虚拟局域网信息及GUEST虚拟局域网信息。下面对基于802.1X协议的认证逃生方法具体流程进行详细阐述。

步骤S130，响应所述接入终端200发送的认证请求。

在本实施例中，网络接入服务器100将接入终端200发送的请求认证报文及用户信息进行封装处理。

步骤S140，将所述认证请求发送给所述RADIUS服务器300得到认证结果。

请参照图4，图4是本发明第一实施例提供的图3所示的步骤S140包括的子步骤的流程示意图。所述步骤S140包括子步骤S141、子步骤S142、子步骤S143及子步骤S145。

子步骤S141，根据802.1X业务信息从所述活动队列中获取与所述802.1X业务信息对应的RADIUS服务器300地址。

所述网络接入服务器100可支持802.1X业务、PPPOE拨号上网业务等多种业务类型，所述网络接入服务器100为每种业务类型对应配备一组RADIUS服务器300。在本实施例中，本方案是基于802.1X业务，由此，所述活动队列中存储的是与802.1X业务信息对应的RADIUS服务器300的地址。

子步骤S142，判断所述活动队列中与所述802.1X业务信息对应的RADIUS服务器300地址是否存在。

子步骤S143，判定认证结果为RADIUS服务器300不可用。

在本实施例中，若所述活动队列中不存在与所述802.1X业务信息对应的RADIUS服务器300地址，则表明RADIUS服务器300通信状态异常，所述网络接入服务器100与所述RADIUS服务器300出现通信故障，并判定认证结果为RADIUS服务器300不可用。

子步骤S145，按照RADIUS服务器300的优先级顺序发送认证请求。

在本实施例中，若所述活动队列中存在与所述802.1X业务信息对应的RADIUS服务器300地址，则向优先级最高的RADIUS服务器300发送认证请求，并等待响应。若在预设时间内未收到所述RADIUS服务器300的回复响应，则将与发送认证请求对应的RADIUS服务器300的地址从活动队列移动到探测队列，然后再次按照优先级顺序依次查找活动队列中是否存在其它RADIUS服务器300。若在认证过程中接收到任一所述RADIUS服务器300的回复响应，则表明所述RADIUS服务器300通信状态正常，可得到认证结果。其中，若RADIUS服务器300认证通过，则判定认证结果为成功，若RADIUS服务器300认证未通过，则判定认证结果为失败。所述预设时间可根据实际情况进行设定。

在本实施例中，所述网络接入服务器100依据活动队列及探测队列中存储的RADIUS服务器300地址向所述RADIUS服务器300发送认证、探测报文信息。所述地址可以是，但不限于，所述RADIUS服务器300的IP地址、MAC地址等。

步骤S150，依据所述认证结果控制所述接入终端200通过所述虚拟局域网信息进入虚拟局域网访问业务。

在本实施例中，虚拟局域网(Virtual Local Area Network，VLAN)由一组逻辑上的设备和用户通信连接组合而成，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，它们相互之间的通信就好像在同一个网段中一样，由此得名虚拟局域网。与传统的局域网技术相比较，VLAN技术更加灵活，网络设备的移动、添加和修改的管理开销减少，可以控制广播活动，可提高网络的安全性。

在本实施例中，当所述认证结果为所述RADIUS服务器300不可用时，所述网络接入服务器100控制所述接入终端200通过逃生虚拟局域网信息进入逃生虚拟局域网(Critical VLAN)访问逃生业务。其中，所述逃生虚拟局域网(Critical VLAN)的技术概念是本发明基于802.1X协议进行的扩展，当网络接入服务器100与RADIUS服务器300网络通信出现故障时，能够按照接入终端200认证或重认证的用户要求访问重要的逃生业务，达到业务逃生的目的。

在本实施例中，当所述认证结果为成功时，所述网络接入服务器100控制所述接入终端200通过自动虚拟局域网信息进入自动虚拟局域网(Auto VLAN)访问业务，或通过配置虚拟局域网信息进入配置虚拟局域网(配置VLAN)访问业务。其中，Auto VLAN由RADIUS服务器300授权下发给网络接入服务器100，只有在网络接入服务器100上已存在Auto VLAN号时，所述接入终端200在通过认证后才能进入Auto VLAN进行业务访问。而配置VLAN就是事先在网络接入服务器100上配置的普通业务VLAN。当网络接入服务器100没有携带任何Auto VLAN信息时，接入终端200认证成功后只能进入到事先配置的配置VLAN中进行普通业务访问。

在本实施例中，当所述认证结果为失败时，所述网络接入服务器100控制所述接入终端200通过GUEST虚拟局域网信息进入GUEST虚拟局域网(GUEST VLAN)访问业务。其中，GUEST VLAN是指接入终端200在802.1X通过认证前属于处于一种系统默认状态，接入终端200访问该GUEST VLAN内的资源不需要认证，但只能访问有限的网络资源。

在本实施例中，用户权限级别最高的是Auto VLAN，其次是配置VLAN，最后是GUEST VLAN。Auto VLAN能根据RADIUS服务器300上对接入终端200授权定义的信息灵活地将接入终端200动态划分到需要访问的某个VLAN中。而接入配置VLAN的接入终端200只能对本VLAN业务进行访问。在所述接入终端200未接收认证或认证失败时，只能进入GUEST VLAN访问有限业务。

请参照图5，图5是本发明第一实施例提供的基于802.1X协议的认证逃生方法的步骤流程图之二。除上述步骤之外，所述方法还可包括步骤S110、步骤S120。

步骤S110，对所述活动队列进行初始化配置。

在本实施例中，将预先与所述网络接入服务器100进行关联配置的全部RADIUS服务器300的地址以缺省(默认)方式保存到所述活动队列中。

步骤S120，创建虚拟局域网络信息。

在本实施例中，本发明对802.1X协议进行扩展，在所述802.1X协议中增加逃生虚拟局域网的配置信息以得到所述虚拟局域网络信息，其中，所述虚拟网络信息包括上述的逃生虚拟局域网信息、自动虚拟局域网信息、配置虚拟局域网信息及GUEST虚拟局域网信息。

请参照图6，图6是本发明第一实施例提供的基于802.1X协议的认证逃生方法的步骤流程图之三。除上述步骤之外，所述方法还可包括步骤S160、步骤S170及步骤S180。

步骤S160，以预设时间间隔探测所述探测队列是否为空，若所述探测队列不为空，向所述探测队列中保存的所有RADIUS服务器300地址对应的RADIUS服务器300发送探测报文。

在本实施例中，所述探测报文携带了任意特定用户名及必须的AVP(Attribute Value Pair，属性值对)最短认证请求报文，AVP是RADIUS报文中的数据组织结构，例如：username与“张三”就是一个AVP。所述预设时间间隔可根据实际情况进行设定。

步骤S170，在接收到探测响应时，将发出探测响应的RADIUS服务器300对应的RADIUS服务器300地址从所述探测队列中移动到所述活动队列，并发送RADIUS服务器300可用的通知消息。若接收探测响应超时，在下一预设时间间隔对所述探测队列保存的RADIUS服务器300地址对应的RADIUS服务器300再次发送探测报文，直到所述探测队列为空。

在本实施例中，若接收到探测响应，无论响应报文是认证成功(ACCESS-ACCEPT)还是认证失败(ACCESS-REJECT)，都认为该RADIUS服务器300通信状态恢复正常，不用关心具体响应结果，然后将该RADIUS服务器300的地址从探测队列移入到活动队列，表明该RADIUS服务器300可用。

在本实施例中，若接收探测响应超时，未收到探测响应报文，则执行步骤S160，在下一预设时间间隔继续对所述RADIUS服务器300发送探测报文，直到所述探测队列为空，则停止发送探测报文。

步骤S180，当接收到RADIUS服务器300可用的通知消息时，控制进入到逃生虚拟局域网中的所述接入终端200进行逃生恢复以重新开始认证。

在本实施例中，所述网络接入服务器100接收到RADIUS服务器300可用的通知消息时，告知所述进入到逃生虚拟局域网(Critical VLAN)中的所述接入终端200，并控制所述接入终端200重新开始认证，认证成功后加入配置VLAN或AUTO VLAN中按常规方式访问关键业务，认证失败则加入到GUEST VLAN，由此实现逃生恢复。

第二实施例

请参阅图7，图7为本发明第二实施例提供的认证逃生装置400的功能模块图。所述认证逃生装置400应用于与接入终端200及RADIUS服务器300通信连接的网络接入服务器100。所述认证逃生装置400包括：初始化模块410、创建网络信息模块420、响应模块430、认证模块440、业务访问模块450、探测模块460、接收模块470、逃生恢复模块480。

初始化模块410，用于对活动队列进行初始化配置，将所述网络接入服务器100可支持的全部RADIUS服务器300的地址保存到所述活动队列中。

在本实施例中，初始化模块410用于执行图5中的步骤S110，关于所述初始化模块410的具体描述可以参照步骤S110的描述。

创建网络信息模块420，用于创建虚拟局域网络信息。

在本实施例中，创建网络信息模块420用于执行图5中的步骤S120，关于所述创建网络信息模块420的具体描述可以参照步骤S120的描述。

响应模块430，用于响应所述接入终端200发送的认证请求。

在本实施例中，响应模块430用于执行图5中的步骤S130，关于所述响应模块430的具体描述可以参照步骤S130的描述。

认证模块440，用于将所述认证请求发送给所述RADIUS服务器300得到认证结果。

在本实施例中，认证模块440用于执行图5中的步骤S140，关于所述认证模块440的具体描述可以参照步骤S140的描述。

业务访问模块450，用于依据所述认证结果控制所述接入终端200通过所述虚拟局域网信息进入虚拟局域网访问业务。

在本实施例中，当所述认证结果为所述RADIUS服务器300不可用时，控制所述接入终端200通过逃生虚拟局域网信息进入逃生虚拟局域网访问逃生业务。所述业务访问模块450用于执行图5中的步骤S150，关于所述业务访问模块450的具体描述可以参照步骤S150的描述。

探测模块460，用于以预设时间间隔探测所述探测队列是否为空，若所述探测队列不为空，向所述探测队列中保存的所有RADIUS服务器300地址对应的RADIUS服务器300发送探测报文。

在本实施例中，探测模块460用于执行图5中的步骤S160，关于所述探测模块460的具体描述可以参照步骤S160的描述。

接收模块470，用于在接收到探测响应，将发出探测响应的RADIUS服务器300对应的RADIUS服务器300地址从所述探测队列中移动到所述活动队列，并发送RADIUS服务器300可用的通知消息；所述接收模块470还用于接收探测响应超时，在下一预设时间间隔对所述探测队列保存探测响应超时的RADIUS服务器300地址对应的RADIUS服务器300再次发送探测报文，直到所述探测队列为空。

在本实施例中，接收模块470用于执行图5中的步骤S170，关于所述接收模块470的具体描述可以参照步骤S170的描述。

逃生恢复模块480，用于当接收到RADIUS服务器300可用的通知消息时，控制进入到逃生虚拟局域网中的所述接入终端200进行逃生恢复以重新开始认证。

在本实施例中，逃生恢复模块480用于执行图5中的步骤S180，关于所述逃生恢复模块480的具体描述可以参照步骤S180的描述。

综上所述，本发明提供一种基于802.1X协议的认证逃生方法及装置，网络接入服务器通过响应所述接入终端发送的认证请求。将所述认证请求发送给所述RADIUS服务器得到认证结果。依据所述认证结果控制所述接入终端通过所述虚拟局域网信息进入虚拟局域网访问业务，其中，当所述认证结果为所述RADIUS服务器不可用时，控制所述接入终端通过逃生虚拟局域网信息进入逃生虚拟局域网访问逃生业务。

本发明在NAS与RADIUS服务器出现通信故障时，让接入终端进入Critical VLAN进行逃生以访问一些重要业务，减轻了客户损失，保障了用户的权益。本发明对802.1X扩展了Critical VLAN后完全兼容原有802.1X标准，不影响Guest VLAN、AUTO VLAN等原有技术，通用性良好。本发明能探测RADIUS服务器恢复正常后自动通知接入终端进行认证，实现了自动恢复、切换到正常业务的效果，无需用户手动发起认证，用户体验好。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。