專利名稱:實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域���,尤其涉及一種實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法�����。
背景技術(shù):
隨著網(wǎng)絡(luò)通信技術(shù)的發(fā)展,各網(wǎng)絡(luò)運營商所采用的針對用戶的網(wǎng)絡(luò)接入控制方法也多種多樣���,包括基于四層的WEB認(rèn)證��、基于二層的802.1x認(rèn)證等多種已經(jīng)被廣泛應(yīng)用的認(rèn)證方法����。
802.1x即IEEE Std 802.1x-2001�����,是一種基于端口的訪問控制協(xié)議����,且為一種基于以太網(wǎng)技術(shù)的認(rèn)證協(xié)議,該認(rèn)證方式是在用戶通過認(rèn)證后將二層端口打開�����,并通過DHCP(動態(tài)主機(jī)配置協(xié)議)過程獲得IP(互聯(lián)網(wǎng)協(xié)議)地址,進(jìn)行正常的網(wǎng)絡(luò)訪問��。目前����,802.1x以其協(xié)議安全、實現(xiàn)簡單�,和其他認(rèn)證協(xié)議一起,給使用ADSL(非對稱數(shù)字用戶環(huán)線)����、VDSL(甚高速數(shù)字用戶線路)、LAN(局域網(wǎng))等多種寬帶接入方式的用戶提供了新的認(rèn)證方式�。
而另一種基于傳輸層的WEB的四層認(rèn)證方法,是在用戶進(jìn)行WEB認(rèn)證前通過DHCP過程獲得IP地址����,獲得IP地址后用戶才可以通過IP報文將相應(yīng)的認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器進(jìn)行WEB認(rèn)證,WEB認(rèn)證方式同樣也是目前網(wǎng)絡(luò)通信中廣泛應(yīng)用的一種認(rèn)證方式��。
由上述兩種認(rèn)證方式的介紹可以看出��,802.1x協(xié)議規(guī)定在用戶通過認(rèn)證前二層端口處于被阻塞狀態(tài),無法進(jìn)行報文的傳遞���;只有在802.1x認(rèn)證通過后�����,授權(quán)受控端口開通����,才能夠傳遞業(yè)務(wù)報文��,即從現(xiàn)有技術(shù)來看����,用戶如果未能通過基于二層的認(rèn)證�,則用戶的DHCP報文無法通過由802.1x認(rèn)證所控制的二層端口,基于四層的WEB認(rèn)證根本無法進(jìn)行�����。因此�����,網(wǎng)絡(luò)運營商無法在同一地點同時向用戶提供兩種接入認(rèn)證方法��,使得用戶無法根據(jù)實際情況自由選擇認(rèn)證方式,而只能使用某一種認(rèn)證方法進(jìn)行網(wǎng)絡(luò)的接入��,給用戶接入網(wǎng)絡(luò)帶來了極大的不方便���。如在許多公共場所上網(wǎng)�,網(wǎng)絡(luò)無法獲取用戶信息�,因此無法事先給用戶配置對應(yīng)的認(rèn)證方法;這就限制了部分未使用該網(wǎng)絡(luò)默認(rèn)的認(rèn)證方法進(jìn)行網(wǎng)絡(luò)接入的用戶正常接入網(wǎng)絡(luò)�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法,以提高網(wǎng)絡(luò)運營商所提供服務(wù)的質(zhì)量���,使用戶可以根據(jù)自己的實際需要自由地選擇接入網(wǎng)絡(luò)所使用的認(rèn)證方式����。
本發(fā)明的目的是這樣實現(xiàn)的一種實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法為設(shè)置基于端口認(rèn)證的二層端口為常開狀態(tài)���,在網(wǎng)絡(luò)層配置基于端口認(rèn)證的用戶的訪問權(quán)限�;并將基于傳輸層認(rèn)證的認(rèn)證開始報文通過基于端口認(rèn)證的二層端口進(jìn)行傳送���,實現(xiàn)基于傳輸層的認(rèn)證��。
所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法進(jìn)一步包括
a���、通過DHCP(動態(tài)主機(jī)配置協(xié)議)過程為用戶分配IP(互聯(lián)網(wǎng)協(xié)議)地址��,該過程的報文通過基于端口認(rèn)證的二層端口進(jìn)行傳送����;b�、接入設(shè)備判斷用戶發(fā)送的認(rèn)證開始報文是基于端口認(rèn)證的認(rèn)證報文,還是基于傳輸層認(rèn)證的認(rèn)證報文���,如果是基于端口認(rèn)證的報文�����,則執(zhí)行步驟c,如果是基于傳輸層認(rèn)證的報文���,則執(zhí)行步驟d����;c�、接入設(shè)備將用戶的進(jìn)行802.1X認(rèn)證的身份信息發(fā)送給認(rèn)證服務(wù)器,執(zhí)行步驟e;d����、接入設(shè)備將用戶的WEB認(rèn)證的身份信息通過處于常開狀態(tài)的二層端口發(fā)送給認(rèn)證服務(wù)器,執(zhí)行步驟e���;e�、認(rèn)證服務(wù)器根據(jù)用戶的身份信息對用戶進(jìn)行認(rèn)證�,并將認(rèn)證結(jié)果通過接入設(shè)備返回給用戶,同時由認(rèn)證服務(wù)器通知接入設(shè)備改變認(rèn)證成功的用戶的訪問權(quán)限��,即令認(rèn)證通過的用戶訪問網(wǎng)絡(luò)不再受到網(wǎng)絡(luò)層的限制����。
所述的步驟b中,接入設(shè)備是根據(jù)認(rèn)證開始報文中承載的用戶域名信息判斷報文是基于端口認(rèn)證的認(rèn)證報文�,還是基于傳輸層認(rèn)證的認(rèn)證報文。
所述的步驟e還包括對于認(rèn)證通過的用戶�����,如果需要更換IP地址���,則通過DHCP過程為其進(jìn)行二次地址分配���,即為用戶分配新的IP地址�����。
所述的基于傳輸層認(rèn)證為WEB(環(huán)球網(wǎng))認(rèn)證方式時���,所述的基于傳輸層的認(rèn)證開始報文包括基于DHCP(動態(tài)主機(jī)配置協(xié)議)的報文和基于HTTP(超文本傳輸協(xié)議)的報文,及DNS(域名服務(wù))報文��。
該方法還包括配置兼容開關(guān)來控制基于端口認(rèn)證是否兼容基于傳輸層認(rèn)證�����。
所述的在網(wǎng)絡(luò)層配置基于端口認(rèn)證的用戶的訪問權(quán)限包括在ACL(訪問控制列表)中配置訪問控制權(quán)限���,以及配置CAR(允許訪問速率)屬性和QOS(業(yè)務(wù)質(zhì)量)保證����。
由上述技術(shù)方案可以看出�,本發(fā)明中將基于端口的802.1X認(rèn)證方式所控制的二層端口設(shè)置為常開狀態(tài)�,以保證基于傳輸層的WEB認(rèn)證方式的DHCP過程可以正常進(jìn)行,而將基于二層的認(rèn)證方式的控制端口設(shè)置在三層���。由于認(rèn)證前DHCP過程的正常進(jìn)行���,從而使WEB認(rèn)證流程和802.1X認(rèn)證流程統(tǒng)一起來����,實現(xiàn)了在同一地點兩種認(rèn)證的兼容��。因此��,本發(fā)明實現(xiàn)了用戶在網(wǎng)絡(luò)接入過程中��,既可以選擇基于二層的認(rèn)證方式���,如802.1x認(rèn)證等�����;也可以選擇基于四層的認(rèn)證方式����,如WEB認(rèn)證方式等��。本發(fā)明在網(wǎng)絡(luò)通信中的應(yīng)用可以提高網(wǎng)絡(luò)運營商所提供服務(wù)的質(zhì)量����,適應(yīng)網(wǎng)絡(luò)通信技術(shù)發(fā)展的需求�����,使得用戶可以根據(jù)實際需要動態(tài)自由地選擇接入網(wǎng)絡(luò)所使用的認(rèn)證方式�。
圖1為本發(fā)明的具體實施方式
流程圖�����;圖2為本發(fā)明中EAP-SIM認(rèn)證的過程示意圖�����;圖3為本發(fā)明中WEB認(rèn)證的過程示意圖���。
具體實施例方式
本發(fā)明的核心思想是將基于端口的802.1X認(rèn)證中對二層端口的控制改為通過在網(wǎng)絡(luò)層進(jìn)行權(quán)限的配置實現(xiàn)對未通過認(rèn)證用戶的控制��,從而使用戶能夠在802.1X認(rèn)證之前進(jìn)行DHCP過程獲得IP地址����,以進(jìn)行基于傳輸層的WEB認(rèn)證���,進(jìn)而實現(xiàn)了基于端口的認(rèn)證和基于傳輸層的認(rèn)證的兼容�����。
802.1X為基于端口的認(rèn)證方式����,該認(rèn)證方式是通過對二層端口的控制從而達(dá)到對用戶控制的目的���;而對于WEB認(rèn)證則是一個基傳輸層的認(rèn)證���,該認(rèn)證的進(jìn)行是以用戶通過DHCP過程獲得IP地址為前提,所以對WEB認(rèn)證和802.1X來說�,一個是四層認(rèn)證一個是二層認(rèn)證,為了實現(xiàn)二者的兼容����,必須對二層端口的控制進(jìn)行相應(yīng)的改變,本發(fā)明的具體實現(xiàn)方式參見圖1�����,敘述如下步驟1將802.1X認(rèn)證的二層端口設(shè)置為常開狀態(tài)���,以保證該端口能夠允許DHCP過程的正常進(jìn)行����,使用戶在802.1X認(rèn)證通過之前能夠獲得IP地址,從而方便用戶進(jìn)行WEB認(rèn)證��;步驟2為了保證802.1X認(rèn)證對用戶的控制����,需要將原來由二層端口實現(xiàn)的控制轉(zhuǎn)移至網(wǎng)絡(luò)層實現(xiàn),即在網(wǎng)絡(luò)層進(jìn)行采用802.1X認(rèn)證的用戶訪問權(quán)限的配置�,配置的數(shù)據(jù)主要包括ACL(訪問控制)控制、CAR(允許訪問速率)屬性��、QOS(業(yè)務(wù)質(zhì)量)保證等�;例如對于硬件轉(zhuǎn)發(fā)來說,這些數(shù)據(jù)主要是通過主機(jī)CPU下發(fā)的指定的ASIC(專用集成電路)芯片����,用于硬件轉(zhuǎn)發(fā)的ASIC芯片根據(jù)不同的指定對該用戶進(jìn)行相應(yīng)的管理和控制;
根據(jù)需要還可以通過命令行提供一個兼容開關(guān)來控制802.1X認(rèn)證(如EAP-SIM認(rèn)證)是否兼容WEB認(rèn)證���,以方便網(wǎng)絡(luò)運營商的應(yīng)用����,如果選擇兩種認(rèn)證兼容,則繼續(xù)執(zhí)行步驟3���,即NAS設(shè)備允許在認(rèn)證前完成DHCP過程,進(jìn)行IP地址的取得�����;步驟3用戶需要進(jìn)行認(rèn)證時���,首先通過處于常開狀態(tài)的二層端口地DHCP報文的傳送�,使用戶可以通過DHCP過程獲得IP地址��,為基于傳輸層的WEB認(rèn)證的實現(xiàn)提供了基礎(chǔ)��,用戶獲得IP地址后可以進(jìn)行根據(jù)自己的使用方便進(jìn)行選擇�,比如可以采用發(fā)送WEB頁面進(jìn)行認(rèn)證請求,或直接發(fā)起EAP-SIM認(rèn)證過程����;步驟4接入設(shè)備接收用戶發(fā)送來的認(rèn)證請求報文,并根據(jù)報文中承載的用戶域名信息判斷用戶是采用802.1X認(rèn)證方式接入網(wǎng)絡(luò)�,還是采用WEB認(rèn)證方式接入網(wǎng)絡(luò),如果采用的是802.1X認(rèn)證方式�,執(zhí)行步驟5,如果采用的是WEB認(rèn)證方式,則執(zhí)行步驟6�����;例如可以采用“用戶名@802.1X.com”表示用戶采用的是802.1X認(rèn)證方式�����,采用“用戶名@WEB.com”表示用戶采用的是WEB認(rèn)證方式��,這樣接入設(shè)備便可以較為方便地將用戶所采用的不同的認(rèn)證方式區(qū)分開來���;當(dāng)然本發(fā)明具體實施過程中也可以根據(jù)認(rèn)證請求報文中的其它特征信息判斷用戶所采用的認(rèn)證方式�;步驟5用戶采用基于端口認(rèn)證的802.1X認(rèn)證方式接入網(wǎng)絡(luò)�����,則用戶向接入設(shè)備發(fā)送802.1X認(rèn)證請求報文����,現(xiàn)以選擇EAP-SIM(一種廣泛用于無線的基于802.1X認(rèn)證協(xié)議的擴(kuò)展認(rèn)證方式)認(rèn)證接入方式為例進(jìn)行說明,用戶向接入設(shè)備的NAS(Network Access Server����,網(wǎng)絡(luò)接入服務(wù)器)端發(fā)送EAP認(rèn)證請求報文���,并執(zhí)行步驟7;具體的EAP-SIM認(rèn)證過程如圖2所示�,經(jīng)過了步驟3的DHCP過程之后,首先由用戶向NAS發(fā)送EAP-SIM認(rèn)證請求報文�����;步驟6用戶向接入設(shè)備的NAS端發(fā)送WEB認(rèn)證請求報文����,并執(zhí)行步驟7���;對于采用WEB認(rèn)證的用戶的具體認(rèn)證過程如圖3所示��,用戶已經(jīng)通過步驟3的DHCP過程獲得了IP地址��,此時用戶上網(wǎng)的權(quán)限通常僅可以訪問指定的WEB服務(wù)器��,如果用戶打開IE(瀏覽器)直接訪問其他網(wǎng)址�,NAS端將用戶重定向到WEB服務(wù)器��,由WEB服務(wù)器發(fā)起WEB認(rèn)證過程��,用戶在收到WEB服務(wù)器所下發(fā)的認(rèn)證網(wǎng)頁后輸入用戶帳號和口令,通過WEB認(rèn)證請求報文將用戶的身份信息發(fā)送給WEB服務(wù)器�����,WEB服務(wù)器收到用戶的身份信息(包括用戶的帳號和口令)后繼續(xù)通過WEB認(rèn)證請求報文將其轉(zhuǎn)發(fā)給NAS端�����,并由接入設(shè)備中的NAS端向認(rèn)證服務(wù)器發(fā)起該用戶的認(rèn)證過程�;步驟7接入設(shè)備將用戶的身份信息發(fā)送給認(rèn)證服務(wù)器進(jìn)行用戶身份的認(rèn)證,所述的認(rèn)證服務(wù)器通常為RADIUS(遠(yuǎn)程認(rèn)證)服務(wù)器����;對于采用WEB認(rèn)證的用戶,接入設(shè)備向認(rèn)證服務(wù)器發(fā)送WEB認(rèn)證請求報文進(jìn)行認(rèn)證請求�����,對于采用EAP-SIM認(rèn)證的用戶�,接入設(shè)備向認(rèn)證服務(wù)器發(fā)送EAP-SIM認(rèn)證請求報文進(jìn)行認(rèn)證請求;
步驟8認(rèn)證服務(wù)器將認(rèn)證結(jié)果通過接入設(shè)備發(fā)送給用戶�,并將認(rèn)證通過的用戶的網(wǎng)絡(luò)層所配置的訪問權(quán)限進(jìn)行修改,即允許認(rèn)證通過的用戶可以自由地進(jìn)行網(wǎng)絡(luò)訪問�;對于采用WEB認(rèn)證的用戶,認(rèn)證服務(wù)器將WEB認(rèn)證結(jié)果返回給接入設(shè)備�,再由接入設(shè)備將認(rèn)證結(jié)果發(fā)送給WEB服務(wù)器�����,最后用戶從WEB服務(wù)器獲取認(rèn)證結(jié)果��;對于采用EAP-SIM認(rèn)證的用戶����,認(rèn)證服務(wù)器通過EAP-SIM認(rèn)證響應(yīng)報文將認(rèn)證結(jié)果發(fā)送給接入設(shè)備���,再由接入設(shè)備將認(rèn)證結(jié)果發(fā)送給用戶��。
對于具體的802.1X認(rèn)證過程和WEB認(rèn)證過程與現(xiàn)有技術(shù)中的認(rèn)證過程完全相同。當(dāng)用戶通過認(rèn)證過程后��,用戶端的控制程序可以根據(jù)實際需要進(jìn)行兩種設(shè)置一種是發(fā)起第二次DHCP的過程�����,NAS端可以通過配置完成第二次DHCP的過程���,NAS可以根據(jù)用戶名所帶的不同的域(Domain)信息對用戶的IP地址進(jìn)行二次分配����,以方便網(wǎng)絡(luò)接入過程中的地址管理;另一種是客戶端不發(fā)起第二次DHCP的過程��。整個認(rèn)證過程結(jié)束后�����,NAS根據(jù)用戶認(rèn)證所得到的相應(yīng)上網(wǎng)權(quán)限實現(xiàn)對用戶相關(guān)數(shù)據(jù)和表項的下發(fā)和控制����,比如說用戶訪問過濾、CAR控制�、QOS保證等,使得用戶可以直接根據(jù)自己的需要進(jìn)行Internet(互聯(lián)網(wǎng))的訪問��。
權(quán)利要求
1.一種實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法�����,其特征在于設(shè)置基于端口認(rèn)證的二層端口為常開狀態(tài)�����,在網(wǎng)絡(luò)層配置基于端口認(rèn)證的用戶的訪問權(quán)限����;并將基于傳輸層認(rèn)證的認(rèn)證開始報文通過基于端口認(rèn)證的二層端口進(jìn)行傳送�,實現(xiàn)基于傳輸層的認(rèn)證�。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法,其特征在于進(jìn)一步包括a���、通過DHCP(動態(tài)主機(jī)配置協(xié)議)過程為用戶分配IP(互聯(lián)網(wǎng)協(xié)議)地址�,該過程的報文通過基于端口認(rèn)證的二層端口進(jìn)行傳送����;b、接入設(shè)備判斷用戶發(fā)送的認(rèn)證開始報文是基于端口認(rèn)證的認(rèn)證報文�,還是基于傳輸層認(rèn)證的認(rèn)證報文,如果是基于端口認(rèn)證的報文����,則執(zhí)行步驟c�,如果是基于傳輸層認(rèn)證的報文,則執(zhí)行步驟d��;c��、接入設(shè)備將用戶的進(jìn)行802.1X認(rèn)證的身份信息發(fā)送給認(rèn)證服務(wù)器���,執(zhí)行步驟e���;d��、接入設(shè)備將用戶的WEB認(rèn)證的身份信息通過處于常開狀態(tài)的二層端口發(fā)送給認(rèn)證服務(wù)器��,執(zhí)行步驟e����;e�、認(rèn)證服務(wù)器根據(jù)用戶的身份信息對用戶進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果通過接入設(shè)備返回給用戶�����,同時由認(rèn)證服務(wù)器通知接入設(shè)備改變認(rèn)證成功的用戶的訪問權(quán)限��,即令認(rèn)證通過的用戶訪問網(wǎng)絡(luò)不再受到網(wǎng)絡(luò)層的限制����。
3.根據(jù)權(quán)利要求2所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法,其特征在于所述的步驟b中�����,接入設(shè)備是根據(jù)認(rèn)證開始報文中承載的用戶域名信息判斷報文是基于端口認(rèn)證的認(rèn)證報文�����,還是基于傳輸層認(rèn)證的認(rèn)證報文。
4.根據(jù)權(quán)利要求2所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法�����,其特征在于所述的步驟e還包括對于認(rèn)證通過的用戶�,如果需要更換IP地址,則通過DHCP過程為其進(jìn)行二次地址分配�����,即為用戶分配新的IP地址����。
5.根據(jù)權(quán)利要求1所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法,其特征在于所述的基于傳輸層認(rèn)證為WEB(環(huán)球網(wǎng))認(rèn)證方式時��,所述的基于傳輸層的認(rèn)證開始報文包括基于DHCP(動態(tài)主機(jī)配置協(xié)議)的報文和基于HTTP(超文本傳輸協(xié)議)的報文��,及DNS(域名服務(wù))報文�。
6.根據(jù)權(quán)利要求1所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法�,其特征在于該方法還包括配置兼容開關(guān)來控制基于端口認(rèn)證是否兼容基于傳輸層認(rèn)證。
7.根據(jù)權(quán)利要求1所述的實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法��,其特征在于所述的在網(wǎng)絡(luò)層配置基于端口認(rèn)證的用戶的訪問權(quán)限包括在ACL(訪問控制列表)中配置訪問控制權(quán)限,以及配置CAR(允許訪問速率)屬性和QOS(業(yè)務(wù)質(zhì)量)保證��。
全文摘要
本發(fā)明涉及一種實現(xiàn)基于端口認(rèn)證和基于傳輸層認(rèn)證兼容的方法��,該方法為將基于端口認(rèn)證的二層端口設(shè)置為常開狀態(tài)�,并在網(wǎng)絡(luò)層配置基于端口認(rèn)證的用戶的訪問權(quán)限;然后將基于傳輸層認(rèn)證的認(rèn)證開始報文通過基于端口認(rèn)證的二層端口進(jìn)行傳送�����,實現(xiàn)基于傳輸層的認(rèn)證和基于端口認(rèn)證的兼容�����。本發(fā)明的實現(xiàn)使用戶在網(wǎng)絡(luò)接入過程中��,既可以選擇802.1x認(rèn)證方式����,也可以選擇WEB認(rèn)證方式進(jìn)行網(wǎng)絡(luò)接入認(rèn)證,為在網(wǎng)絡(luò)通信中的提高網(wǎng)絡(luò)運營商所提供服務(wù)的質(zhì)量提供了技術(shù)基礎(chǔ)��。
文檔編號H04L29/02GK1505331SQ02152388
公開日2004年6月16日 申請日期2002年12月4日 優(yōu)先權(quán)日2002年12月4日
發(fā)明者候超, 金濤, 管紅光, 候 超 申請人:華為技術(shù)有限公司