專利名稱:一種觸發(fā)802.1x認證過程的方法
技術領域:
本發(fā)明涉及802.1X的認證技術領域,特別是指一種觸發(fā)802.1X認證過程的方法����。
背景技術:
IEEE 802 LAN協(xié)議所定義的局域網(wǎng)不提供接入認證,一般來說�,只要用戶能接入局域網(wǎng)控制設備,例如局域網(wǎng)交換機(LAN Switch)��,用戶就可以訪問局域網(wǎng)中的任何設備或資源���。但是,對于如電信接入�����、寫字樓局域網(wǎng)以及移動辦公等應用�,運營商希望能對用戶的接入進行控制和配置,因此就產(chǎn)生了接入控制的需求�,2001年IEEE標準化組織為此發(fā)布了基于端口的網(wǎng)絡訪問控制協(xié)議即IEEE 802.1X協(xié)議。
IEEE 802.1X協(xié)議所定義的是在網(wǎng)絡設備的物理接入級對接入客戶端進行認證和控制��,其中�,該協(xié)議中所述的端口既可以是物理端口,也可以是邏輯端口��。簡而言之,802.1X協(xié)議定義了一套在鏈路層上進行認證的方案�����,其本質上是在鏈路層協(xié)議上攜帶用戶信息來完成擴展認證(EAP)���,鏈路層認證通過后�����,才允許建立網(wǎng)絡層連接��。
在寬帶網(wǎng)絡中���,如果用戶終端要發(fā)出網(wǎng)絡接入請求,那么該用戶終端必須首先獲得IP地址�����,以便其可以接入到Internet網(wǎng)絡之中���。IP地址的分配有手工配置和自動配置兩種方式��,其中自動配置方式是寬帶網(wǎng)絡接入用戶獲取IP地址的主要方式���。
在IPv4網(wǎng)絡中���,其自動配置方式是從動態(tài)主機配置協(xié)議(DHCP)服務器中獲得IP地址。
在IPv6網(wǎng)絡中�����,其自動配置方式又分為以下兩種方式
(1)無狀態(tài)的地址自動配置方式���。該方式下�,接入用戶不需要手工配置���,由路由器提供能夠完成IP地址配置工作所需要的最少配置信息,而不需要地址配置服務器的參與��。無狀態(tài)的地址自動配置機制允許主機通過將自己本地的信息和路由器通告的信息結合起來產(chǎn)生它的地址���。比如�,當主機產(chǎn)生了唯一標識子網(wǎng)上的一個接口的標識符時�,路由器通告與一個鏈路相關的子網(wǎng)的前綴信息,兩者結合就形成了IP地址。
(2)有狀態(tài)的地址自動配置方式�����。該方式下�,接入用戶從一個地址配置服務器獲得接口地址和/或配置信息和參數(shù),服務器維護數(shù)據(jù)庫以保存已經(jīng)被分配給主機的地址�����,即有狀態(tài)自動配置機制允許主機從一個服務器獲得地址����、或其它配置信息、或同時獲得這兩方面的信息��。比如�����,IPv6動態(tài)主機配置協(xié)議(DHCPv6)就提供了有狀態(tài)地址自動配置的能力���。
IPv6網(wǎng)絡的鄰居發(fā)現(xiàn)(ND)協(xié)議與IPv4網(wǎng)絡中的地址解析協(xié)議(ARP)����、網(wǎng)間控制報文協(xié)議(ICMP)的路由器發(fā)現(xiàn)和重定向功能相對應。在ND協(xié)議中定義了五種不同報文類型的消息路由器請求(RS)消息�、路由器通告(RA)消息、鄰居請求消息��、鄰居通告消息和重定向消息����。其中,對于RS消息和RA消息的定義如下(1)RS消息����。當接口開始工作或初始化時,主機發(fā)送RS消息��,并要求路由器立即產(chǎn)生RA消息����,而不必等待到下一個周期再發(fā)RA消息。
(2)RA消息�。在一個RA消息中包括路由器的存在信息以及配置的鏈路和網(wǎng)絡參數(shù)等信息�����,且該RA消息通常由路由器周期性地發(fā)送����,但當有RS消息要求路由器做出響應時�����,路由器會立刻發(fā)送RA�����,而不必等待到下一個發(fā)送周期�。
圖1所示為802.1X的認證體系結構示意圖���。802.1X認證系統(tǒng)中共有三個實體客戶端(Supplicant)�、設備端(Authenticator System)和認證服務器(Authentication Server System)�。PAE是端口認證實體?����?蛻舳撕驮O備端之間運行IEEE 802.1X定義的認證協(xié)議(EAPoL)�;設備端與認證服務器系統(tǒng)之間同樣運行擴展認證協(xié)議(EAP)。
用戶接入設備作為設備端(Authenticator System)���,用戶的PC作為客戶端�。802.1X的認證服務器系統(tǒng)一般駐留在運營商的計費、認證和授權(AAA)中心���。
在設備端內(nèi)部有非受控端口(Uncontrolled Port)和受控端口(ControlledPort)之分���,非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPoL協(xié)議幀���,可保證隨時接收和發(fā)送EAPoL協(xié)議幀��。受控端口只有在認證通過的狀態(tài)下才打開�����,用于傳遞網(wǎng)絡資源和服務���,受控端口可配置為雙向受控、僅輸入受控兩種方式�,以適應不同的應用環(huán)境。
802.1X為以太網(wǎng)交換機帶來了可運營特征����,未通過用戶認證的端口不能使用���,通過認證的端口可以自動動態(tài)配置并訪問網(wǎng)絡資源�,這是區(qū)別于傳統(tǒng)以太網(wǎng)交換機的“殺手級”特性。
對于IEEE 802.1X標準協(xié)議而言�,其規(guī)定以EAPoL-Start報文作為802.1X認證的觸發(fā)報文,但是由于目前網(wǎng)絡上存在的一些老的交換機����,該交換機無法透傳802.1X的EAPoL-Start報文,如果這樣的交換機位于802.1X客戶端和802.1X設備端之間�����,就阻止了802.1X的廣泛應用��。因此����,針對這種情況,一些802.1X設備端允許采用DHCP報文來觸發(fā)802.1X認證�。例如,對于使用Microsoft WindowsXP操作系統(tǒng)的用戶�����,其發(fā)送DHCP消息來觸發(fā)IEEE 802.1X的認證過程�。這樣一來�����,既兼容了網(wǎng)絡上不能透傳EAPoL-Start報文的老設備���,又保證了802.1X的廣泛應用。
上述觸發(fā)802.1X認證過程的缺陷在于當前網(wǎng)絡中存在著多種802.1X認證的觸發(fā)機制��,不利于網(wǎng)絡的管理與維護��。而且�,在IPv6網(wǎng)絡中,以無狀態(tài)自動配置方式生成IP地址的客戶端根本不會向DHCPv6服務器發(fā)出DHCP報文��。這樣����,當在802.1X客戶端和802.1X設備端之間的交換機不能透傳EAPoL-Start報文時,無論是非法用戶還是合法用戶都不能觸發(fā)802.1X認證��,因而在阻止非法用戶上網(wǎng)的同時�,也剝奪了合法用戶的上網(wǎng)機會。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明的目的在于提供一種觸發(fā)802.1X認證過程的方法,不論802.1X客戶端和802.1X設備端之間的交換機是否透傳EAPoL-Start報文�,也不論接入用戶是否采用無狀態(tài)配置方式生成IP地址���,都能保證802.1X認證得到統(tǒng)一有效的觸發(fā)��。
為達到上述目的本發(fā)明的技術方案是這樣實現(xiàn)的一種觸發(fā)802.1X認證過程的方法�,適用于IPv6網(wǎng)絡����,包括以下步驟客戶端主機發(fā)生觸發(fā)路由請求消息的事件后,設備端將路由請求消息轉換為802.1X的認證發(fā)起幀報文���,并應用該認證發(fā)起幀報文觸發(fā)802.1X的認證過程��。
較佳地�,該方法進一步包括設備端識別出來自客戶端的路由請求消息后���,首先判斷相應客戶端是否處于已認證狀態(tài)����,如果是���,則不做任何處理�,否則,觸發(fā)802.1X的認證過程�����。
較佳地����,所述判斷是由設備端的以太處理單元識別出路由請求消息后,根據(jù)路由請求消息中的源鏈路層地址查詢802.1X協(xié)議單元���,來判斷該客戶端是否已通過802.1X的認證�。
較佳地�,所述轉換是將路由請求消息的格式轉換為認證協(xié)議規(guī)定的認證發(fā)起幀報文的格式。
較佳地���,所述客戶端主機發(fā)生觸發(fā)路由請求消息的事件為系統(tǒng)啟動而使接口初始化��、或暫時的接口失敗或由系統(tǒng)管理暫時設置為無效后使接口重新初始化����、或系統(tǒng)管理關閉IP轉發(fā)功能使系統(tǒng)從路由器變?yōu)橹鳈C、或主機初次連接到鏈路上�、或主機離開鏈路一段時間后重新連接到鏈路上中的任何一個。
應用本發(fā)明���,通過將路由請求消息轉換為認證發(fā)起報文��,來觸發(fā)802.1X的認證過程,使得在IPv6網(wǎng)絡中的客戶端主機����,無論是否需要地址配置服務器參與生成全局IP地址,也無論是否采用Windows XP操作系統(tǒng)�����,也無論系統(tǒng)中的以太網(wǎng)交換機是否能夠透傳EAPoL-Start報文�,都可采用一種統(tǒng)一的、有效的方式來觸發(fā)802.1X的認證過程�����。
圖1所示為802.1X的認證體系結構示意圖��;圖2所示為客戶端通過IPv6網(wǎng)絡接入802.1X的認證組網(wǎng)示意圖�����;圖3所示為應用本發(fā)明的觸發(fā)802.1X認證過程的時序圖。
具體實施例方式
下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明��。
本發(fā)明的思路是利用IPv6網(wǎng)絡中的鄰居發(fā)現(xiàn)機制���,只要802.1X設備端識別出來自802.1X客戶端的RS消息�,就判斷該客戶端是否已通過802.1X的認證�����,如果是�����,則不做任何處理���,否則���,觸發(fā)802.1X的認證過程。
圖2所示為客戶端通過IPv6網(wǎng)絡接入802.1X的認證組網(wǎng)示意圖��。用戶PC機作為802.1X客戶端�����,寬帶接入設備(BAS)220作為802.1X設備端,遠程用戶撥號認證服務器(Radius Server)250是802.1X認證所使用的認證服務器���。802.1X客戶端210直接與BAS相連��,且采用無狀態(tài)地址自動配置方式獲取IP地址�����,802.1X客戶端211和802.1X客戶端212通過作為以太網(wǎng)交換機的局域網(wǎng)交換機(LAN Switch)230與BAS相連,且采用有狀態(tài)地址自動配置方式獲取IP地址�,即向IPv6動態(tài)主機配置協(xié)議服務器(DHCPv6Server)240申請IP地址。其組網(wǎng)方式與現(xiàn)有技術相同�����。
根據(jù)IPv6 ND協(xié)議規(guī)定��,用戶主機發(fā)生下列任何之一的事件后必須發(fā)送路由器請求消息事件1---系統(tǒng)啟動時接口初始化��;事件2---一個暫時的接口失敗或由系統(tǒng)管理暫時設置為無效后����,接口重新初始化;事件3---系統(tǒng)管理關閉IP轉發(fā)功能,系統(tǒng)從路由器變?yōu)橹鳈C�����;
事件4---主機初次連接到鏈路上����;事件5---主機在離開鏈路一段時間后重新連接到鏈路上;接入用戶所發(fā)的RS消息能夠透過802.1X客戶端和802.1X設備端之間的任何交換機�,且該RS消息是可以被802.1X設備端識別的。同時該RS消息與接入用戶采用何種方式來生成IP地址是無關的�����。
根據(jù)系統(tǒng)要求���,作為802.1X客戶端的接入用戶�����,如果處在上述五種事件之一的狀態(tài)下����,則系統(tǒng)要求其必須做或重新做802.1X認證�。也就是說�����,當用戶主機處于上述五種事件之一的狀態(tài)時���,其必須發(fā)送RS消息,且還必須進行802.1X認證���。
因此��,利用系統(tǒng)的上述特性��,當802.1X設備端識別出來自802.1X客戶端的RS消息后���,將其轉化為EAPoL-Start報文�����,用來觸發(fā)802.1X的認證過程�。
圖3所示為應用本發(fā)明的觸發(fā)802.1X認證過程的時序圖。當客戶端主機發(fā)生了觸發(fā)RS消息的事件時�����,其將自動發(fā)送RS消息;設備端的以太處理單元捕獲該RS消息后�,根據(jù)RS消息中的源鏈路層地址查詢802.1X協(xié)議單元,來判斷該客戶端主機是否已經(jīng)通過802.1X認證���,如果是�,則不再做認證處理���,否則�,將RS消息的格式轉化為EAPoL協(xié)議規(guī)定的EAPoL-Start報文的格式���,并應用該EAPoL-Start報文來觸發(fā)802.1X認證過程�,邀請客戶端做802.1X認證����;客戶端接受邀請后進入802.1X認證的具體流程中。
例如�����,對于使用Microsoft Windows XP操作系統(tǒng)的用戶�����,客戶端主機將自動進入IEEE 802.1X的認證過程;對于使用非Microsoft Windows XP操作系統(tǒng)的用戶����,如使用Windows98、WindowsNT或Windows2000的用戶���,當用戶激活客戶端軟件后�,進入IEEE 802.1X的認證過程���。
這樣�,無論是采用Windows XP操作系統(tǒng)的用戶�����,還是采用非WindowsXP操作系統(tǒng)的用戶��,也無論系統(tǒng)中的以太網(wǎng)交換機是否能夠透傳EAPoL-Start報文�,都可采用同一方式來觸發(fā)802.1X認證過程����。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換���、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)����。
權利要求
1.一種觸發(fā)802.1X認證過程的方法,適用于IPv6網(wǎng)絡�����,其特征在于���,包括以下步驟客戶端主機發(fā)生觸發(fā)路由請求消息的事件后�,設備端將路由請求消息轉換為802.1X的認證發(fā)起幀報文����,并應用該認證發(fā)起幀報文觸發(fā)802.1X的認證過程。
2.根據(jù)權利要求1所述的方法�,其特征在于����,該方法進一步包括設備端識別出來自客戶端的路由請求消息后���,首先判斷相應客戶端是否處于已認證狀態(tài)��,如果是��,則不做任何處理����,否則����,觸發(fā)802.1X的認證過程。
3.根據(jù)權利要求2所述的方法���,其特征在于��,所述判斷是由設備端的以太處理單元識別出路由請求消息后����,根據(jù)路由請求消息中的源鏈路層地址查詢802.1X協(xié)議單元���,來判斷該客戶端是否已通過802.1X的認證�����。
4.根據(jù)權利要求1所述的方法��,其特征在于����,所述轉換是將路由請求消息的格式轉換為認證協(xié)議規(guī)定的認證發(fā)起幀報文的格式�����。
5.根據(jù)權利要求1所述的方法��,其特征在于�����,所述客戶端主機發(fā)生觸發(fā)路由請求消息的事件為系統(tǒng)啟動而使接口初始化���、或暫時的接口失敗或由系統(tǒng)管理暫時設置為無效后使接口重新初始化�����、或系統(tǒng)管理關閉IP轉發(fā)功能使系統(tǒng)從路由器變?yōu)橹鳈C��、或主機初次連接到鏈路上�、或主機離開鏈路一段時間后重新連接到鏈路上中的任何一個。
全文摘要
本發(fā)明提供了一種觸發(fā)802.1X認證過程的方法�����,適用于IPv6網(wǎng)絡�,包括以下步驟客戶端主機發(fā)生觸發(fā)路由請求消息的事件后,設備端將路由請求消息轉換為802.1X認證發(fā)起幀報文���,并應用該認證發(fā)起幀報文觸發(fā)802.1X的認證過程��。應用本發(fā)明��,通過將路由請求消息轉換為認證發(fā)起報文���,來觸發(fā)802.1X的認證過程,使得在IPv6網(wǎng)絡中的客戶端主機�����,無論是否需要地址配置服務器參與生成全局IP地址,也無論是否采用Windows XP操作系統(tǒng)����,也無論系統(tǒng)中的以太網(wǎng)交換機是否能夠透傳EAPoL-Start報文��,都可采用一種統(tǒng)一有效的方式來觸發(fā)802.1X的認證過程�����。
文檔編號H04L9/32GK1571333SQ0314955
公開日2005年1月26日 申請日期2003年7月16日 優(yōu)先權日2003年7月16日
發(fā)明者李強, 羅漢軍 申請人:華為技術有限公司