專(zhuān)利名稱(chēng):基于擴(kuò)展802.1x認(rèn)證系統(tǒng)的安全接入方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信的接入技術(shù)����,特別涉及終端設(shè)備利用802. lx協(xié)議通過(guò)二層 接入設(shè)備安全接入的技術(shù)�����。
背景技術(shù):
伴隨著網(wǎng)絡(luò)應(yīng)用的深入��,網(wǎng)絡(luò)安全問(wèn)題也愈演愈烈���,包括拒絕服務(wù)攻擊�,病毒���、黑 客入侵���、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等在內(nèi)的安全問(wèn)題發(fā)生的幾率越來(lái)越大��,而且?guī)?lái)的危害也日 益嚴(yán)重���,成為互聯(lián)網(wǎng)安全的重大威脅�����。傳統(tǒng)網(wǎng)絡(luò)通過(guò)分層安全性抵御安全攻擊����,如為網(wǎng)絡(luò)周 邊、關(guān)鍵網(wǎng)絡(luò)段和面向應(yīng)用的授權(quán)等提供級(jí)別越來(lái)越高的安全保護(hù)�;這些模式提供全面的 網(wǎng)絡(luò)接入,可以保護(hù)資源����,防止外部威脅和非法應(yīng)用接入,但僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備已無(wú) 法保證網(wǎng)絡(luò)的安全性�;即便運(yùn)行著防火墻等網(wǎng)絡(luò)周邊安全機(jī)制,病毒�、電子郵件蠕蟲(chóng)、特洛 伊木馬��、拒絕服務(wù)攻擊和其他惡意行為仍頻繁利用終端用戶(hù)設(shè)備滲入內(nèi)部網(wǎng)絡(luò)環(huán)境�。在不 安全端點(diǎn)的用戶(hù),也會(huì)不經(jīng)意間將以上威脅帶入內(nèi)部網(wǎng)絡(luò)��,而用戶(hù)對(duì)此卻毫不覺(jué)察�����,甚至某 些威脅隨后可能會(huì)迅速蔓延,以致造成網(wǎng)絡(luò)中斷����。人們意識(shí)到,傳統(tǒng)的網(wǎng)絡(luò)解決方案無(wú)法解 決這些問(wèn)題�����,必須要從接入終端的安全性著手�����,保證通過(guò)網(wǎng)絡(luò)邊緣設(shè)備接入的終端是安全 的����、可信的���,使得用戶(hù)身份識(shí)別和驗(yàn)證必須與端點(diǎn)評(píng)估結(jié)合在一起���,且必須應(yīng)用于每個(gè)會(huì)話 及會(huì)話內(nèi)部。現(xiàn)在面臨的挑戰(zhàn)是要找到盡可能利用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的適當(dāng)方法�,同時(shí)為 各類(lèi)用戶(hù)接入資源和應(yīng)用提供簡(jiǎn)單安全的模式。 針對(duì)于此�,業(yè)界提出了幾種安全接入技術(shù)��,目前具有代表性的技術(shù)包括思科的網(wǎng) 絡(luò)接入控制NAC(Network AdmissionControl)技術(shù)��,微軟的網(wǎng)絡(luò)接入保護(hù)技術(shù)NAP(Network AccessProtection)以及TCG組織的可信網(wǎng)絡(luò)連接TNC(TrustedNetworkConnect)技術(shù) 等���。這些技術(shù)的主要思路都是從終端著手,通過(guò)事先制定的安全策略���,對(duì)接入網(wǎng)絡(luò)的主機(jī) 進(jìn)行安全性檢測(cè)�����,自動(dòng)拒絕不安全的主機(jī)接入����,保護(hù)網(wǎng)絡(luò)直到這些主機(jī)符合網(wǎng)絡(luò)的安全策 略為止��?���?尚啪W(wǎng)絡(luò)連接(TNC)是針對(duì)這種情況而提出的一種解決方案,旨在通過(guò)提供一 致的安全服務(wù)體系結(jié)構(gòu)來(lái)為網(wǎng)絡(luò)提供安全性保障�����。可信網(wǎng)絡(luò)連接(TNC)�����,是可信計(jì)算組織 (TrustedComputingGroup��,簡(jiǎn)稱(chēng)TCG)的一個(gè)部門(mén)����,也指開(kāi)放的標(biāo)準(zhǔn)網(wǎng)絡(luò)接入控制架構(gòu)。TNC 是建立在基于主機(jī)的可信計(jì)算技術(shù)之上的�,其主要目的在于通過(guò)使用可信主機(jī)提供的終端 技術(shù)�����,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制的協(xié)同工作�����。又因?yàn)橥暾孕r?yàn)被終端作為安全狀態(tài)的證明技術(shù)�, 所以用TNC的權(quán)限控制策略可以估算目標(biāo)網(wǎng)絡(luò)的終端適應(yīng)度。TNC網(wǎng)絡(luò)構(gòu)架會(huì)結(jié)合已存在 的網(wǎng)絡(luò)訪問(wèn)控制策略來(lái)實(shí)現(xiàn)訪問(wèn)控制功能�����。TNC規(guī)范的主要思想是,當(dāng)終端要訪問(wèn)網(wǎng)絡(luò)之 前���,要對(duì)終端的身份進(jìn)行識(shí)別�,并對(duì)其完整性狀態(tài)進(jìn)行檢測(cè)并與系統(tǒng)的安全策略進(jìn)行比較����, 如果滿(mǎn)足安全策略要求,則允許終端接入網(wǎng)絡(luò)��;否則��,則拒絕或是對(duì)該終端進(jìn)行隔離����。當(dāng)終 端處于隔離狀態(tài)時(shí),可以對(duì)該終端進(jìn)行修復(fù)����;當(dāng)終端的完整性及其它安全屬性達(dá)到系統(tǒng)安 全策略的要求時(shí),方可允許該終端接入網(wǎng)絡(luò)��。這樣���,可大大提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性及可 信性����。 現(xiàn)有終端設(shè)備通過(guò)二層設(shè)備接入網(wǎng)絡(luò)的方案中,802. lx協(xié)議是在接入身份認(rèn)
4證方面廣泛應(yīng)用的協(xié)議�����,它是IEEE為了解決基于端口的接入控制(Port-BasedAccess Control)而定義的一個(gè)標(biāo)準(zhǔn)���。關(guān)于802. 1X協(xié)議的工作原理可參見(jiàn)公開(kāi)號(hào)為CN1567868A (申 請(qǐng)?zhí)?3145192.6��,
公開(kāi)日2005年1月19日)的專(zhuān)利申請(qǐng)說(shuō)明書(shū)第1_4頁(yè)和附圖1_5��。在這 種接入模式下��,用戶(hù)終端作為支持局域網(wǎng)承載擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol over LAN,簡(jiǎn)稱(chēng)EAPOL)的認(rèn)證請(qǐng)求者����,二層接入設(shè)備是支持802. lx協(xié)議的認(rèn)證 者,采用RADIUS認(rèn)證服務(wù)器來(lái)對(duì)用戶(hù)終端系統(tǒng)的身份進(jìn)行認(rèn)證��;這種方式可以有效地解決 接入用戶(hù)身份認(rèn)證的問(wèn)題���,但是無(wú)法同時(shí)解決終端的安全可信接入問(wèn)題���。因此�,有必要對(duì)這 種認(rèn)證方式進(jìn)行改進(jìn)�,來(lái)滿(mǎn)足終端用戶(hù)通過(guò)二層設(shè)備安全可信的接入網(wǎng)絡(luò)的需求。
發(fā)明內(nèi)容
本發(fā)明提供了一種基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法�,從而克服現(xiàn)有 802. lx認(rèn)證協(xié)議無(wú)法實(shí)現(xiàn)終端用戶(hù)可信接入的問(wèn)題。 基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法�����,所述擴(kuò)展802. lx認(rèn)證系統(tǒng)包括認(rèn)證 請(qǐng)求者�����、認(rèn)證點(diǎn)�����、認(rèn)證服務(wù)器和策略服務(wù)器��,其特征在于���,所述認(rèn)證請(qǐng)求者和認(rèn)證點(diǎn)之間運(yùn) 行擴(kuò)展的EAP0L協(xié)議��,所述認(rèn)證點(diǎn)與認(rèn)證服務(wù)器之間運(yùn)行鑒權(quán)用高層協(xié)議��,所述認(rèn)證方法 包括如下步驟 a���、認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)發(fā)起標(biāo)準(zhǔn)EAP0L認(rèn)證請(qǐng)求�,啟動(dòng)認(rèn)證�;
b、認(rèn)證點(diǎn)向認(rèn)證請(qǐng)求者發(fā)送身份認(rèn)證請(qǐng)求報(bào)文����; c、認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)發(fā)送擴(kuò)展的身份認(rèn)證應(yīng)答報(bào)文���,該擴(kuò)展的身份認(rèn)證應(yīng)答報(bào) 文帶有安全接入標(biāo)記�����; d��、認(rèn)證點(diǎn)收到認(rèn)證請(qǐng)求者的身份認(rèn)證應(yīng)答報(bào)文后,記錄該認(rèn)證請(qǐng)求者身份信息帶 有安全接入標(biāo)記�,到對(duì)應(yīng)的認(rèn)證服務(wù)器進(jìn)行認(rèn)證; e���、認(rèn)證點(diǎn)收到認(rèn)證服務(wù)器認(rèn)證成功消息后�,查詢(xún)到該認(rèn)證請(qǐng)求者身份信息帶有安 全接入標(biāo)記后,通知認(rèn)證請(qǐng)求者策略服務(wù)器的IP地址和端口信息�����,打開(kāi)通向策略服務(wù)器的 數(shù)據(jù)通道����; f、認(rèn)證請(qǐng)求者通過(guò)認(rèn)證點(diǎn)接收到策略服務(wù)器的信息后���,會(huì)通過(guò)加密通道連接策略 服務(wù)器��,請(qǐng)求安全規(guī)則����; g���、策略服務(wù)器通過(guò)認(rèn)證點(diǎn)將安全規(guī)則下發(fā)到認(rèn)證請(qǐng)求者���,認(rèn)證請(qǐng)求者運(yùn)行安全規(guī) 則并計(jì)算安全結(jié)果,通知認(rèn)證點(diǎn)��; h、認(rèn)證點(diǎn)根據(jù)安全結(jié)果����,決定是否打開(kāi)通向訪問(wèn)網(wǎng)絡(luò)的數(shù)據(jù)通道或?qū)⒄J(rèn)證請(qǐng)求者 重定向到隔離區(qū)。 進(jìn)一步的��,步驟c中���,所述擴(kuò)展的身份認(rèn)證應(yīng)答報(bào)文帶有的安全接入標(biāo)記是在標(biāo) 準(zhǔn)身份認(rèn)證應(yīng)答報(bào)文的最后添加的��。 其中�����,步驟d中����,認(rèn)證點(diǎn)到對(duì)應(yīng)的認(rèn)證服務(wù)器進(jìn)行認(rèn)證的具體步驟包括���, dl��、認(rèn)證點(diǎn)提交認(rèn)證請(qǐng)求者的身份信息給認(rèn)證服務(wù)器���; d2、認(rèn)證服務(wù)器產(chǎn)生向認(rèn)證點(diǎn)返回一個(gè)身份驗(yàn)證質(zhì)詢(xún)請(qǐng)求報(bào)文���; d3��、認(rèn)證點(diǎn)將身份驗(yàn)證質(zhì)詢(xún)請(qǐng)求報(bào)文發(fā)送給認(rèn)證請(qǐng)求者���; d4、認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)答復(fù)身份驗(yàn)證質(zhì)詢(xún)請(qǐng)求報(bào)文���; d5�����、認(rèn)證點(diǎn)將認(rèn)證請(qǐng)求者的答復(fù)結(jié)果通過(guò)訪問(wèn)請(qǐng)求報(bào)文發(fā)送到認(rèn)證服務(wù)器��;
d6����、認(rèn)證服務(wù)器根據(jù)存儲(chǔ)的認(rèn)證請(qǐng)求信息判斷該認(rèn)證請(qǐng)求者是否合法����,然后回應(yīng) 成功/失敗報(bào)文到認(rèn)證點(diǎn)。 其中���,步驟e中��,所述打開(kāi)通向策略服務(wù)器的數(shù)據(jù)通道是在固定時(shí)間內(nèi)打開(kāi)的��,且 該固定時(shí)間是可以配置的���。 其中�,步驟f中��,所述的加密通道是指SSL隧道�。 具體的,步驟h中�����,認(rèn)證點(diǎn)根據(jù)安全計(jì)算結(jié)果打開(kāi)通向訪問(wèn)網(wǎng)絡(luò)的數(shù)據(jù)通道的條 件是����,認(rèn)證請(qǐng)求者安全級(jí)別計(jì)算結(jié)果不低于預(yù)定義的級(jí)別要求。 具體的�,所述認(rèn)證點(diǎn)與認(rèn)證服務(wù)器之間運(yùn)行鑒權(quán)用高層協(xié)議為RADIUS服務(wù)器。
本發(fā)明的有益效果是��,通過(guò)擴(kuò)展標(biāo)準(zhǔn)EAP0L協(xié)議�����,能夠較好的滿(mǎn)足二層接入設(shè)備 對(duì)終端的接入控制;在不改變傳統(tǒng)接入認(rèn)證方式的情況下����,充分保證了接入網(wǎng)絡(luò)的邊緣設(shè) 備的真實(shí)���、可信�����。
圖1是本發(fā)明中擴(kuò)展的802. lx認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖�。
圖2是現(xiàn)有技術(shù)的標(biāo)準(zhǔn)的802. lx認(rèn)證流程圖���。
圖3是本發(fā)明方法中安全接入的流程示意圖���。
具體實(shí)施例方式
本發(fā)明針對(duì)二層接入設(shè)備的特點(diǎn),通過(guò)擴(kuò)展EAP0L協(xié)議�����,實(shí)現(xiàn)一種終端安全可信 接入的方法��。如圖1,擴(kuò)展的802. 1X的認(rèn)證系統(tǒng)包括�,認(rèn)證請(qǐng)求者,認(rèn)證點(diǎn)���、認(rèn)證服務(wù)器和策 略服務(wù)器���。其中認(rèn)證請(qǐng)求者對(duì)應(yīng)安全終端、認(rèn)證點(diǎn)對(duì)應(yīng)二層接入設(shè)備�;策略服務(wù)器用于向安 全終端下發(fā)安全策略和對(duì)接入設(shè)備的安全管理。所述的安全終端安裝在用戶(hù)的計(jì)算機(jī)上�, 提供EAPOL協(xié)議支持和安全等級(jí)計(jì)算功能。所述的二層接入設(shè)備一般指以太網(wǎng)交換機(jī)���,支 持EAPOL協(xié)議����。標(biāo)準(zhǔn)的EAPOL協(xié)議僅僅從用戶(hù)名和密碼角度對(duì)用戶(hù)的安全進(jìn)行限制���,但是 在可信接入的框架下���,接入的用戶(hù)不僅僅要求進(jìn)行密碼認(rèn)證,還需要對(duì)終端安全級(jí)別進(jìn)行 判斷,從而雙重驗(yàn)證后��,才判斷是否可以接入����。 以EAP-MD5方式,說(shuō)明現(xiàn)有技術(shù)的802. lx的工作過(guò)程��,如圖2所示 1)認(rèn)證請(qǐng)求者產(chǎn)生認(rèn)證開(kāi)始報(bào)文����,啟動(dòng)認(rèn)證����; 2)認(rèn)證點(diǎn)發(fā)送回應(yīng)報(bào)文,要求認(rèn)證請(qǐng)求者提供身份信息����; 3)認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)發(fā)送含有用戶(hù)名的身份認(rèn)證應(yīng)答報(bào)文; 4)認(rèn)證點(diǎn)將此報(bào)文封裝在鑒權(quán)用高層協(xié)議報(bào)文中����,發(fā)送給認(rèn)證服務(wù)器; 5)認(rèn)證服務(wù)器產(chǎn)生一個(gè)MD5質(zhì)詢(xún)�,發(fā)送給認(rèn)證點(diǎn), 6)認(rèn)證點(diǎn)轉(zhuǎn)發(fā)該MD5質(zhì)詢(xún)到認(rèn)證請(qǐng)求者���; 7)認(rèn)證請(qǐng)求者收到該報(bào)文后�,根據(jù)返回的MD5算法,計(jì)算出用戶(hù)密碼的MD5結(jié)果發(fā) 送到認(rèn)證點(diǎn)�; 8)認(rèn)證點(diǎn)將此MD5密碼信息封裝在鑒權(quán)用高層協(xié)議報(bào)文中,發(fā)送給認(rèn)證服務(wù)器�;
9)認(rèn)證服務(wù)器根據(jù)返回的加密后的密碼值,對(duì)該認(rèn)證請(qǐng)求者用戶(hù)進(jìn)行身份認(rèn)證��, 將認(rèn)證成功或失敗的信息傳送給認(rèn)證點(diǎn)�;
11)認(rèn)證點(diǎn)將根據(jù)結(jié)果,開(kāi)啟或關(guān)閉數(shù)據(jù)通路�����。
本發(fā)明的安全接入方法是在EAPOL標(biāo)準(zhǔn)協(xié)議的基礎(chǔ)上,一方面擴(kuò)展了安全終端 EAP0L協(xié)議身份認(rèn)證應(yīng)答報(bào)文���,另外增加了認(rèn)證點(diǎn)和認(rèn)證服務(wù)器和策略服務(wù)器交互的安全 等級(jí)信息報(bào)文����,從而實(shí)現(xiàn)終端用戶(hù)通過(guò)二層接入設(shè)備安全可信接入網(wǎng)絡(luò)。
實(shí)施例 現(xiàn)結(jié)合圖3���,對(duì)本發(fā)明的安全接入過(guò)程進(jìn)行詳細(xì)說(shuō)明當(dāng)安全終端用戶(hù)和二層接 入設(shè)備建立好物理連接后�����,安全終端向二層接入設(shè)備按照標(biāo)準(zhǔn)EAP0L協(xié)議發(fā)送一個(gè)EAPOL 認(rèn)證開(kāi)始報(bào)文�,啟動(dòng)802. lxR認(rèn)證����,二層接入設(shè)備向安全終端發(fā)送EAP身份認(rèn)證請(qǐng)求報(bào)文, 要求安全終端提交用戶(hù)名���。安全終端回應(yīng)一個(gè)擴(kuò)展的EAP身份認(rèn)證應(yīng)答報(bào)文給二層接入設(shè) 備,該應(yīng)答報(bào)文中包含用戶(hù)名信息��,同時(shí)帶有安全接入的標(biāo)記信息�����。二層接入設(shè)備記錄該帶 有安全標(biāo)記的應(yīng)答報(bào)文��,并將用戶(hù)名提交給RADIUS認(rèn)證服務(wù)�����。RADIUS認(rèn)證服務(wù)器產(chǎn)生一 個(gè)128位的質(zhì)詢(xún)��,并向二層接入設(shè)備回應(yīng)一個(gè)訪問(wèn)質(zhì)詢(xún)報(bào)文,里面含有EAP-MD5質(zhì)詢(xún)請(qǐng)求報(bào) 文�。二層接入設(shè)備將EAP-MD5質(zhì)詢(xún)請(qǐng)求報(bào)文發(fā)送給安全終端,安全終端收到后�,將密碼采用 MD5算法進(jìn)行加密,產(chǎn)生質(zhì)詢(xún)密碼�,通過(guò)EAP-MD5質(zhì)詢(xún)應(yīng)答報(bào)文把質(zhì)詢(xún)密碼發(fā)給二層接入設(shè) 備。二層接入設(shè)備將質(zhì)詢(xún)密碼通過(guò)訪問(wèn)請(qǐng)求報(bào)文發(fā)送到RADIUS認(rèn)證服務(wù)器����,由RADIUS認(rèn) 證服務(wù)器進(jìn)行認(rèn)證��,RADIUS認(rèn)證服務(wù)器根據(jù)存儲(chǔ)的認(rèn)證請(qǐng)求信息判斷該安全終端用戶(hù)是否 合法��,然后回應(yīng)成功/失敗報(bào)文到二層接入設(shè)備�。二層接入設(shè)備根據(jù)認(rèn)證成功結(jié)果�����,進(jìn)入安 全控制流程通知安全終端策略服務(wù)器的IP地址和端口信息,并在一個(gè)固定的時(shí)間內(nèi)打開(kāi) 數(shù)據(jù)通路(如果超時(shí)����,安全控制流程自動(dòng)結(jié)束,策略服務(wù)器通道關(guān)閉)���;安全終端收到了策 略服務(wù)器的通知消息后���,會(huì)通過(guò)SSL連接策略服務(wù)器,請(qǐng)求安全規(guī)則���;策略服務(wù)器將安全規(guī) 則下發(fā)到安全終端用戶(hù)本地��,安全終端用戶(hù)的安全計(jì)算模塊運(yùn)行規(guī)則并計(jì)算安全結(jié)果��;終 端用戶(hù)將計(jì)算出的安全結(jié)果通知給二層接入設(shè)備����;二層接入設(shè)備根據(jù)安全結(jié)果�,決定是否 繼續(xù)打開(kāi)或關(guān)閉數(shù)據(jù)通道���;二層接入設(shè)備通知終端用戶(hù)最終請(qǐng)求結(jié)果����。 本發(fā)明的關(guān)鍵點(diǎn)就在在終端用戶(hù)應(yīng)答認(rèn)證點(diǎn)的身份認(rèn)證請(qǐng)求報(bào)文時(shí)���,在標(biāo)準(zhǔn) EAPOL協(xié)議的IdentifyName消息的最后���,添加一定字節(jié)的標(biāo)識(shí)字段�����,具體字節(jié)數(shù)可以根據(jù) 用戶(hù)自定義的特殊標(biāo)識(shí)而定��。當(dāng)帶有該安全接入標(biāo)記的IdentifyName消息到達(dá)認(rèn)證點(diǎn)后����, 認(rèn)證點(diǎn)可以根據(jù)該標(biāo)記控制該安全終端進(jìn)入安全接入流程��;否則可以直接按照標(biāo)準(zhǔn)的認(rèn)證 結(jié)果來(lái)執(zhí)行相應(yīng)的操作�。 二層接入設(shè)備在進(jìn)入安全接入控制流程后�,為了安全角度考慮,可以在一個(gè)固定 時(shí)間內(nèi)暫時(shí)開(kāi)放接入策略服務(wù)器的數(shù)據(jù)通道����;超時(shí)則關(guān)閉該通道,拒絕該安全終端用戶(hù)接 入內(nèi)網(wǎng)。 本發(fā)明充分利用了 EAPOL協(xié)議的原有特點(diǎn)和優(yōu)勢(shì)���,即在基于二層接入設(shè)備上實(shí)現(xiàn) 了在密碼認(rèn)證和終端安全級(jí)別雙認(rèn)證���,然后又實(shí)施對(duì)終端用戶(hù)準(zhǔn)予接入的安全可信接入策 略�,是安全可信接入標(biāo)準(zhǔn)框架在二層接入設(shè)備上的一種實(shí)現(xiàn)方式��。同時(shí)二層接入設(shè)備上擴(kuò) 展的協(xié)議也同時(shí)兼容原有標(biāo)準(zhǔn)EAPOL協(xié)議終端,不論對(duì)于我方擴(kuò)展終端用戶(hù)或第三方終端 用戶(hù)�,都可以保持兼容。
權(quán)利要求
基于擴(kuò)展802.1x認(rèn)證系統(tǒng)的安全接入方法���,所述擴(kuò)展802.1x認(rèn)證系統(tǒng)包括認(rèn)證請(qǐng)求者�、認(rèn)證點(diǎn)、認(rèn)證服務(wù)器和策略服務(wù)器����,其特征在于,所述認(rèn)證請(qǐng)求者和認(rèn)證點(diǎn)之間運(yùn)行擴(kuò)展的EAPOL協(xié)議��,所述認(rèn)證點(diǎn)與認(rèn)證服務(wù)器之間運(yùn)行鑒權(quán)用高層協(xié)議���,所述認(rèn)證方法包括如下步驟a��、認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)發(fā)起標(biāo)準(zhǔn)EAPOL認(rèn)證請(qǐng)求���,啟動(dòng)認(rèn)證;b�、認(rèn)證點(diǎn)向認(rèn)證請(qǐng)求者發(fā)送身份認(rèn)證請(qǐng)求報(bào)文;c�、認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)發(fā)送擴(kuò)展的身份認(rèn)證應(yīng)答報(bào)文,該擴(kuò)展的身份認(rèn)證應(yīng)答報(bào)文帶有安全接入標(biāo)記�;d��、認(rèn)證點(diǎn)收到認(rèn)證請(qǐng)求者的身份認(rèn)證應(yīng)答報(bào)文��,記錄該認(rèn)證請(qǐng)求者身份信息帶有安全接入標(biāo)記后����,到對(duì)應(yīng)的認(rèn)證服務(wù)器進(jìn)行認(rèn)證;e�、認(rèn)證點(diǎn)收到認(rèn)證服務(wù)器認(rèn)證成功消息后,查詢(xún)到該認(rèn)證請(qǐng)求者身份信息帶有安全接入標(biāo)記后�����,通知認(rèn)證請(qǐng)求者策略服務(wù)器的IP地址和端口信息,打開(kāi)通向策略服務(wù)器的數(shù)據(jù)通道��;f��、認(rèn)證請(qǐng)求者通過(guò)認(rèn)證點(diǎn)接收到策略服務(wù)器的信息后,會(huì)通過(guò)加密通道連接策略服務(wù)器��,請(qǐng)求安全規(guī)則�;g、策略服務(wù)器通過(guò)認(rèn)證點(diǎn)將安全規(guī)則下發(fā)到認(rèn)證請(qǐng)求者,認(rèn)證請(qǐng)求者運(yùn)行安全規(guī)則并計(jì)算安全結(jié)果��,通知認(rèn)證點(diǎn)��;h���、認(rèn)證點(diǎn)根據(jù)安全結(jié)果,決定是否打開(kāi)通向訪問(wèn)網(wǎng)絡(luò)的數(shù)據(jù)通道或?qū)⒄J(rèn)證請(qǐng)求者重定向到隔離區(qū)。
2. 如權(quán)利要求1所述基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法��,其特征在于��,步驟c 中����,所述擴(kuò)展的身份認(rèn)證應(yīng)答報(bào)文帶有的安全接入標(biāo)記是在標(biāo)準(zhǔn)身份認(rèn)證應(yīng)答報(bào)文的最后 添加的�。
3. 如權(quán)利要求2所述基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法�����,其特征在于���,所述步 驟d中,認(rèn)證點(diǎn)到對(duì)應(yīng)的認(rèn)證服務(wù)器進(jìn)行認(rèn)證的具體步驟包括�����,dl�����、認(rèn)證點(diǎn)提交認(rèn)證請(qǐng)求者的身份信息給認(rèn)證服務(wù)器�����; d2 ���、認(rèn)證服務(wù)器產(chǎn)生向認(rèn)證點(diǎn)返回一個(gè)身份驗(yàn)證質(zhì)詢(xún)請(qǐng)求報(bào)文�; d3���、認(rèn)證點(diǎn)將身份驗(yàn)證質(zhì)詢(xún)請(qǐng)求報(bào)文發(fā)送給認(rèn)證請(qǐng)求者��; d4��、認(rèn)證請(qǐng)求者向認(rèn)證點(diǎn)答復(fù)身份驗(yàn)證質(zhì)詢(xún)請(qǐng)求報(bào)文�; d5、認(rèn)證點(diǎn)將認(rèn)證請(qǐng)求者的答復(fù)結(jié)果通過(guò)訪問(wèn)請(qǐng)求報(bào)文發(fā)送到認(rèn)證服務(wù)器�����; d6��、認(rèn)證服務(wù)器根據(jù)存儲(chǔ)的認(rèn)證請(qǐng)求信息判斷該認(rèn)證請(qǐng)求者是否合法�����,然后回應(yīng)成功/ 失敗報(bào)文到認(rèn)證點(diǎn)����。
4. 如權(quán)利要求1-3任一項(xiàng)所述基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法,其特征在 于���,步驟e中�����,所述的打開(kāi)通向策略服務(wù)器的數(shù)據(jù)通道是在固定時(shí)間內(nèi)打開(kāi)的���,且該固定時(shí) 間是可以配置的���。
5. 如權(quán)利要求4所述基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法,其特征在于�,步驟f 中,所述的加密通道是指SSL隧道��。
6. 如權(quán)利要求4所述基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法����,其特征在于���,步驟h 中����,認(rèn)證點(diǎn)根據(jù)安全計(jì)算結(jié)果打開(kāi)通向訪問(wèn)網(wǎng)絡(luò)的數(shù)據(jù)通道的條件是��,認(rèn)證請(qǐng)求者安全級(jí) 別計(jì)算結(jié)果不低于預(yù)定義的級(jí)別要求�。
7.如權(quán)利要求4所述基于擴(kuò)展802. lx認(rèn)證系統(tǒng)的安全接入方法,其特征在于�����,所述認(rèn) 證點(diǎn)與認(rèn)證服務(wù)器之間運(yùn)行鑒權(quán)用高層協(xié)議為RADIUS服務(wù)器。
全文摘要
本發(fā)明公開(kāi)了一種基于擴(kuò)展802.1x認(rèn)證系統(tǒng)的安全接入方法���,是在EAPOL標(biāo)準(zhǔn)協(xié)議的基礎(chǔ)上�����,通過(guò)擴(kuò)展認(rèn)證請(qǐng)求者EAPOL協(xié)議身份認(rèn)證應(yīng)答報(bào)文��,增加安全接入標(biāo)記����,從而使得認(rèn)證點(diǎn)控制進(jìn)入安全接入流程���;認(rèn)證服務(wù)器和策略服務(wù)器通過(guò)認(rèn)證點(diǎn)交互安全等級(jí)信息報(bào)文���,從而實(shí)現(xiàn)認(rèn)證請(qǐng)求者即終端用戶(hù)通過(guò)二層接入設(shè)備安全可信接入網(wǎng)絡(luò)��。本發(fā)明通過(guò)擴(kuò)展標(biāo)準(zhǔn)EAPOL協(xié)議��,能夠較好的滿(mǎn)足二層接入設(shè)備對(duì)終端的接入控制;在不改變傳統(tǒng)接入認(rèn)證方式的情況下�����,充分保證了接入網(wǎng)絡(luò)的邊緣設(shè)備的真實(shí)、可信���。
文檔編號(hào)H04L9/32GK101764788SQ20081014795
公開(kāi)日2010年6月30日 申請(qǐng)日期2008年12月23日 優(yōu)先權(quán)日2008年12月23日
發(fā)明者何恐, 佘健 申請(qǐng)人:邁普通信技術(shù)股份有限公司