專利名稱:一種802.1x認證方法和設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域��,特別是涉及一種802. IX認證方法和設備�����。
背景技術:
隨著無線網(wǎng)絡技術的發(fā)展���,無線網(wǎng)絡的使用范圍逐漸擴大���,且安全問題日益嚴重�����,為了解決無線局域網(wǎng)的網(wǎng)絡安全問題���,提出了 802. IX協(xié)議,802. IX協(xié)議作為局域網(wǎng)端口的接入控制機制在以太網(wǎng)中被廣泛應用����,其用于解決以太網(wǎng)內認證和安全方面的問題;802. IX協(xié)議是一種基于端口的網(wǎng)絡接入控制協(xié)議�����,且基于端口的網(wǎng)絡接入控制是指在局域網(wǎng)接入設備的端口對所接入的客戶端進行認證和控制�����,如果連接在端口上的客戶端能通過認證�,則可以訪問局域網(wǎng)中的資源����;如果不能通過認證�����,則無法訪問局域網(wǎng)中的資源�����。
現(xiàn)有技術中�����,由于AP(ACCeSS Point�����,接入點)設備太多�,不易進行控制����,因此目前大多采用FitAP (瘦AP)+AC (Access Point,接入控制器)設備的組網(wǎng)架構�,如圖I所示,為FitAP+AC設備的網(wǎng)絡架構示意圖,在該網(wǎng)絡架構下���,多個AC設備均需要對其相應的客戶端進行802. IX認證�,且在進行802. IX認證的過程中�����,各AC設備均需要與認證服務器進行交
八
ο但是��,認證服務器為了實現(xiàn)與各AC設備的交互過程��,需要配置各AC設備的相關信息(如IP地址等)��,且由于各AC設備都有各自的IP地址���,因此在認證服務器上的配置很復雜�����。
發(fā)明內容
本發(fā)明提供一種802. IX認證方法和設備��,以簡化認證服務器的配置�����。為了達到上述目的���,本發(fā)明提供一種802. IX認證方法,應用于包括客戶端����、接入點AP設備、接入控制器AC設備��、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中���,在所述客戶端發(fā)起802. IX認證時��,該方法包括以下步驟所述AC設備接收所述AP設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL報文�����,且所述EAPOL報文的目的地址被所述AP設備修改為組播地址��;如果所述EAPOL報文不是EAPOL-密鑰KEY報文�,則所述AC設備在確定所述EAPOL報文的目的地址為組播地址后����,將所述EAPOL報文發(fā)送給所述BAS,由所述BAS在所述認證服務器上對所述客戶端進行802. IX認證;如果所述EAPOL報文是EAP0L-KEY報文�����,則所述AC設備利用所述EAP0L-KEY報文生成密鑰信息�����,并將所述密鑰信息發(fā)送給所述AP設備���。所述AC設備上使能有認證和加密分離功能��,且使能所述認證和加密分離功能表示所述AC設備需要自身處理EAP0L-KEY報文�����,并且需要將EAP0L-KEY報文之外的其他EAPOL報文發(fā)送給所述BAS進行處理���。 所述AC設備利用所述EAP0L-KEY報文生成密鑰信息,具體包括在所述客戶端進行802. IX認證成功時���,所述AC設備接收所述BAS通知的所述客戶端認證成功的消息����,且所述消息中攜帶加密密鑰的屬性信息;所述AC設備利用所述EAP0L-KEY報文以及所述加密密鑰的屬性信息生成密鑰信
肩��、O本發(fā)明提供一種802. IX認證方法���,應用于包括客戶端、接入點AP設備��、接入控制器AC設備�����、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中�����,在所述客戶端發(fā)起802. IX認證時�,該方法包括以下步驟所述BAS接收所述AC設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL-開始Start報文,并通過所述AC設備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進行認證的EAPOL-請求Request報文���;所述BAS接收所述AC設備轉發(fā)的來自所述客戶端的EAPOL-響應Response報文����,且所述EAPOL-Response報文中攜帶所述客戶端的認證信息�����;所述BAS向所述認證服務器發(fā)送攜帶所述客戶端的認證信息的認證請求報文,由所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證���。所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證����,之后還包括在所述客戶端進行802. IX認證成功時��,所述BAS接收來自所述認證服務器的接受Accept報文�����,且所述Ac^pt報文中攜帶加密密鑰的屬性信息��;所述BAS通過所述AC設備向所述客戶端發(fā)送用于通知802. IX認證成功的EAPOL-成功Success報文�,并向所述AC設備發(fā)送用于通知所述客戶端認證成功的消息,且所述消息中攜帶加密密鑰的屬性信息�����。本發(fā)明提供一種接入控制器AC設備�����,應用于包括客戶端、接入點AP設備����、所述AC設備、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中��,在所述客戶端發(fā)起802. IX認證時����,該AC設備包括接收模塊����,用于接收所述AP設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL報文,且所述EAPOL報文的目的地址被所述AP設備修改為組播地址�;發(fā)送模塊,用于當所述EAPOL報文不是EAPOL-密鑰KEY報文時���,在確定所述EAPOL報文的目的地址為組播地址后���,將所述EAPOL報文發(fā)送給所述BAS,由所述BAS在所述認證服務器上對所述客戶端進行802. IX認證����;處理模塊����,用于當所述EAPOL報文是EAP0L-KEY報文時�����,則利用所述EAP0L-KEY報文生成密鑰信息����,并將所述密鑰信息發(fā)送給所述AP設備。所述AC設備上使能有認證和加密分離功能����,且使能所述認證和加密分離功能表示所述AC設備需要自身處理EAP0L-KEY報文,并且需要將EAP0L-KEY報文之外的其他EAPOL報文發(fā)送給所述BAS進行處理�。所述接收模塊,還用于在所述客戶端進行802. IX認證成功時��,接收所述BAS通知的所述客戶端認證成功的消息����,且所述消息中攜帶加密密鑰的屬性信息;所述處理模塊����,具體用于利用所述EAP0L-KEY報文以及所述加密密鑰的屬性信息生成密鑰信息����。本發(fā)明提供一種寬帶接入服務器BAS����,應用于包括客戶端、接入點AP設備 ����、接入控制器AC設備、所述BAS以及認證服務器的系統(tǒng)中�����,在所述客戶端發(fā)起802. IX認證時�����,該BAS包括第一接收模塊�����,用于接收所述AC設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL-開始Start報文���;第一發(fā)送模塊�,用于通過所述AC設備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進行認證的EAPOL-請求Request報文���;第二接收模塊��,用于接收所述AC設備轉發(fā)的來自所述客戶端的EAPOL-響應Response報文���,且所述EAPOL-Response報文中攜帶所述客戶端的認證信息;第二發(fā)送模塊��,用于向所述認證服務器發(fā)送攜帶所述客戶端的認證信息的認證請求報文����,由所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證。還包括第三接收模塊����,用于在所述客戶端進行802. IX認證成功時,接收來自所 述認證服務器的接受Ac^pt報文�����,且所述Ac^pt報文中攜帶加密密鑰的屬性信息���;第三發(fā)送模塊����,用于通過所述AC設備向所述客戶端發(fā)送用于通知802. IX認證成功的EAPOL-成功Success報文,并向所述AC設備發(fā)送用于通知所述客戶端認證成功的消息,且所述消息中攜帶加密密鑰的屬性信息�。與現(xiàn)有技術相比,本發(fā)明至少具有以下優(yōu)點本發(fā)明中����,通過將802. IX認證過程與802. IX加密過程進行分離,在BAS (Broadband Access Server,寬帶接入服務器)上執(zhí)行802. IX認證過程,并在AC設備上執(zhí)行802. IX加密過程��,使得不需要在認證服務器上配置各AC設備的地址��,只需要配置該BAS的地址即可��,從而簡化認證服務器的配置��。
圖I是現(xiàn)有技術中FitAP+AC設備的網(wǎng)絡架構示意圖���;圖2是本發(fā)明提出的一種802. IX認證方法流程圖;圖3是本發(fā)明提出的一種AC設備的結構示意圖��;圖4是本發(fā)明提出的一種BAS的結構示意圖��。
具體實施例方式現(xiàn)有技術中,需要在AC設備上進行802. IX認證過程與802. IX加密過程�;當在AC設備上配置802. IX認證時,會下發(fā)未知源MAC (Media Access Control,介質訪問控制)地址丟棄和802. IX協(xié)議報文上送CPU (Central Processing Unit,中央處理單元)規(guī)則,因此當客戶端未認證通過時����,只有802. IX協(xié)議報文會上送CPU處理,其他報文都會被丟棄�����;當客戶端認證成功后����,AC設備會下發(fā)MAC轉發(fā)表項,當后續(xù)收到報文時�����,檢查MAC轉發(fā)表項是否存在�����,如果已經(jīng)存在����,則正常轉發(fā)報文。 但是上述過程中,需要在AC設備上進行802. IX認證��,且認證服務器需要配置各AC設備的相關信息��,導致認證服務器上的配置很復雜����。針對上述問題,本發(fā)明提出一種802. IX認證方法����,以圖I為本發(fā)明的應用場景示意圖,則該方法可以應用于包括客戶端���、AP設備�、AC設備�、BAS以及認證服務器的系統(tǒng)中,且該方法通過將802. IX認證過程與802. IX加密過程進行分離���,在BAS上執(zhí)行802. IX認證過程�,并在AC設備上執(zhí)行802. IX加密過程��,從而簡化認證服務器的配置�����。為了實現(xiàn)上述802. IX認證過程與802. IX加密過程分離的功能�����,則
(I)需要保證AC設備和BAS之間能夠建立SOCKET (套接字)連接�����,以方便AC設備與BAS之間的通信����。(2)需要在BAS上配置802. IX認證功能,且在配置802. IX認證功能后����,BAS上會下發(fā)未知源MAC地址丟棄和802. IX協(xié)議報文上送CPU規(guī)則,因此當客戶端未認證通過時����,只有802. IX協(xié)議報文會上送CPU處理,其他報文都會被丟棄�����;當客戶端認證成功后,AC設備會下發(fā)MAC轉發(fā)表項�����,當后續(xù)收到報文時�,檢查MAC轉發(fā)表項是否存在,如果已經(jīng)存在��,則正常轉發(fā)報文�。(3)需要在AC設備上使能認證和加密分離功能,且使能認證和加密分離功能表不AC設備需要自身處理EAPOL(EXtensible Authentication Protocol over LAN,局域網(wǎng)上的可擴展認證協(xié)議)-KEY (密鑰)報文����,并且需要將EAP0L-KEY報文之外的其他EAPOL報文(如EAPOL-Start (開始)報文、或EAPOL-Response (響應)報文等)發(fā)送給BAS進行處 理��?��;谏鲜雠渲们闆r��,如圖2所示��,該802. IX認證方法包括以下步驟步驟201����,客戶端向AP設備發(fā)送EAPOL-Start報文����,且AP設備在收到EAPOL-Start報文后,將EAPOL-Start報文的目的地址修改為組播地址,并將修改后的EAPOL-Start報文發(fā)送給AC設備���。具體的�,客戶端首先會在AC設備上建立802. 11連接����,并且在連接建立成功之后,客戶端需要發(fā)起802. IX認證過程�,即客戶端首先向AP設備發(fā)送EAPOL-Start報文,且AP設備在接收到基于802. IX協(xié)議的EAPOL-Start報文后�,需要將EAPOL-Start報文的目的地址修改為組播地址,如修改為組播地址(01-80-C2-00-00-03)���,使得在將修改后的EAPOL-Start報文發(fā)送給AC設備之后��,AC設備可以基于組播地址繼續(xù)轉發(fā)該EAPOL-Start報文��。步驟202��,AC設備在接收到EAPOL-Start報文之后��,將該EAPOL-Start報文發(fā)送給BAS�����。本發(fā)明中�,由于在AC設備上使能了認證和加密分離功能,因此在接收到EAPOL-Start報文之后�,可以判斷出該EAPOL-Start報文不是EAP0L-KEY報文,因此AC設備在確定EAPOL-Start報文的目的地址為組播地址之后���,需要將該EAPOL-Start報文發(fā)送給BAS���。步驟203,BAS在接收到EAPOL-Start報文后���,向AC設備發(fā)送EAPOL-Request (請求)報文���,且該EAPOL-Request報文用于觸發(fā)客戶端進行認證。步驟204��,AC設備在接收到EAPOL-Request報文后����,將該EAPOL-Request報文發(fā)送給AP設備�,并由AP設備將該EAPOL-Request報文發(fā)送給客戶端�。步驟205,客戶端在接收到EAPOL-Request報文后����,向AP設備發(fā)送EAPOL-Response報文��,且該EAPOL-Response報文中攜帶客戶端的認證信息(如客戶端的用戶名以及密碼等信息)��。步驟206�����,AP設備在接收到EAPOL-Response報文后����,將EAPOL-Response報文的目的地址修改為組播地址,并將修改后的EAPOL-Response報文發(fā)送給AC設備��。其中�,將目的地址修改為組播地址的原因在于使得在將修改后的EAPOL-Response報文發(fā)送給AC設備之后,AC設備可以基于組播地址繼續(xù)轉發(fā)該EAPOL-Response報文�����。
步驟207,AC設備在接收到EAPOL-Response報文后���,將EAPOL-Response報文發(fā)送給 BAS��。本發(fā)明中�����,由于在AC設備上使能了認證和加密分離功能���,因此在接收到EAPOL-Response報文之后,可以判斷出該EAPOL-Response報文不是EAP0L-KEY報文��,因此AC設備在確定EAPOL-Response報文的目的地址為組播地址之后��,需要將該EAPOL-Response 報文發(fā)送給 BAS����。需要注意的是,在實際應用中����,上述EAPOL-Request報文的發(fā)送過程以及EAPOL-Response報文的發(fā)送過程可以執(zhí)行多次,且每次發(fā)送過程均可以按照上述步驟204-步驟207的流程進行處理,對于多次發(fā)送的EAPOL-Request報文和EAPOL-Response報文中攜帶的信息以及其相關功能����,與現(xiàn)有技術中相同,對此本發(fā)明中不再詳加說明�����。步驟208, BAS在接收到EAPOL-Response報文后��,向認證服務器發(fā)送認證請求報文��,且該認證請求報文中攜帶了客戶端的認證信息��,由認證服務器利用客戶端的認證信息 對客戶端進行802. IX認證��。需要注意的是��,上述過程為由BAS發(fā)起的802. IX認證過程�����,且由于BAS與認證服務器進行交互����,實現(xiàn)對客戶端的802. IX認證過程,因此不需要在認證服務器上配置各AC設備的地址���,從而簡化認證服務器的配置�。進一步的���,在客戶端進行802. IX認證成功時�,還可以包括如下的802. IX加密過程步驟209�����,BAS接收來自認證服務器的Acc印t (接受)報文�����,且該Acc印t報文中攜帶加密密鑰的屬性信息���。其中��,該加密密鑰的屬性信息可以為=MS-MPPE-Send-Key和MS-MPPE-Recv-Key 等兩個屬性���。步驟210,BAS向AC設備發(fā)送用于通知客戶端認證成功的消息����,且該消息中攜帶加密密鑰的屬性信息���。需要注意的是,在客戶端進行802. IX認證成功時���,該BAS還需要向AC設備發(fā)送用于通知802. IX認證成功的EAPOL-Success (成功)報文����,由AC設備將該EAPOL-Success報文發(fā)送給AP設備��,并由AP設備將該EAPOL-Success報文發(fā)送給客戶端��,且客戶端在接收到該EAPOL-Success報文之后�����,可以獲知自身802. IX認證成功����。步驟211�,AC設備在接收到BAS通知的客戶端認證成功的消息后,從該消息中獲得并保存加密密鑰的屬性信息�����,并通過AP設備向客戶端發(fā)送EAP0L-KEY報文,開始和客戶端進行四次握手協(xié)商過程���。進一步的��,在四次握手協(xié)商過程中�,當客戶端接收到EAP0L-KEY報文之后�,需要通過AP設備向AC設備發(fā)送EAP0L-KEY報文。步驟212�����,AC設備在接收到EAP0L-KEY報文后����,利用EAP0L-KEY報文生成密鑰信息,并將密鑰信息發(fā)送給AP設備���。本發(fā)明中��,由于在AC設備上使能了認證和加密分離功能�����,因此在接收到EAPOL-Key報文之后�����,可以判斷出該EAP0L-KEY報文是自身需要處理的EAP0L-KEY報文����,因此AC設備自身可以直接利用EAP0L-KEY報文生成密鑰信息;具體的��,AC設備可以利用之前保存的加密密鑰的屬性信息以及該EAP0L-KEY報文生成密鑰信息���,且AC設備會與客戶端生成相同的密鑰信息�,其具體生成過程本發(fā)明中不再詳加贅述�����。
進一步的�,AC設備在將密鑰信息發(fā)送給AP設備之后���,AP設備可以利用該密鑰信息來加解密該客戶端的后續(xù)數(shù)據(jù)報文�����,以達到傳輸?shù)陌踩?�?����;谂c上述方法同樣的發(fā)明構思�����,本發(fā)明還提出了一種接入控制器AC設備���,應用于包括客戶端��、接入點AP設備�、所述AC設備�����、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中�����,在所述客戶端發(fā)起802. IX認證時,如圖3所示,該AC設備包括接收模塊11�,用于接收所述AP設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL報文����,且 所述EAPOL報文的目的地址被所述AP設備修改為組播地址��;發(fā)送模塊12�����,用于當所述EAPOL報文不是EAPOL-密鑰KEY報文時�����,在確定所述EAPOL報文的目的地址為組播地址后��,將所述EAPOL報文發(fā)送給所述BAS�����,由所述BAS在所述認證服務器上對所述客戶端進行802. IX認證����;處理模塊13,用于當所述EAPOL報文是EAP0L-KEY報文時��,則利用所述EAP0L-KEY報文生成密鑰信息�,并將所述密鑰信息發(fā)送給所述AP設備。所述AC設備上使能有認證和加密分離功能���,且使能所述認證和加密分離功能表示所述AC設備需要自身處理EAP0L-KEY報文��,并且需要將EAP0L-KEY報文之外的其他EAPOL報文發(fā)送給所述BAS進行處理��。所述接收模塊11����,還用于在所述客戶端進行802. IX認證成功時���,接收所述BAS通知的所述客戶端認證成功的消息�����,且所述消息中攜帶加密密鑰的屬性信息����;所述處理模塊13���,具體用于利用所述EAP0L-KEY報文以及所述加密密鑰的屬性信息生成密鑰信息�����。其中����,本發(fā)明裝置的各個模塊可以集成于一體,也可以分離部署�。上述模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊�。基于與上述方法同樣的發(fā)明構思��,本發(fā)明還提出了一種寬帶接入服務器BAS�,應用于包括客戶端、接入點AP設備����、接入控制器AC設備、所述BAS以及認證服務器的系統(tǒng)中����,在所述客戶端發(fā)起802. IX認證時,如圖4所示,該BAS包括第一接收模塊21,用于接收所述AC設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL-開始Start報文�;第一發(fā)送模塊22,用于通過所述AC設備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進行認證的EAPOL-請求Request報文���;第二接收模塊23�,用于接收所述AC設備轉發(fā)的來自所述客戶端的EAPOL-響應Response報文,且所述EAPOL-Response報文中攜帶所述客戶端的認證信息�����;第二發(fā)送模塊24�����,用于向所述認證服務器發(fā)送攜帶所述客戶端的認證信息的認證請求報文��,由所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證�����。該BAS還包括第三接收模塊25��,用于在所述客戶端進行802. IX認證成功時����,接收來自所述認證服務器的接受Ac^pt報文�����,且所述Ac^pt報文中攜帶加密密鑰的屬性信息;第三發(fā)送模塊26����,用于通過所述AC設備向所述客戶端發(fā)送用于通知802. IX認證成功的EAPOL-成功Success報文,并向所述AC設備發(fā)送用于通知所述客戶端認證成功的消息,且所述消息中攜帶加密密鑰的屬性信息����。其中,本發(fā)明裝置的各個模塊可以集成于一體����,也可以分離部署。上述模塊可以合并為一個模塊����,也可以進一步拆分成多個子模塊。
通過以上的實施方式的描述���,本領域的技術人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn)����,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)�����。基于這樣的理解����,本發(fā)明的技術方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(可以是⑶-ROM���,U盤,移動硬盤等)中�����,包括若干指令用以使得一臺計算機設備(可以是個人計算機�����,服務器����,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。本領域技術人員可以理解附圖只是一個優(yōu)選實施例的示意圖��,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的����。本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中��,也可以進行相應變化位于不同于 本實施例的一個或多個裝置中�����。上述實施例的模塊可以合并為一個模塊��,也可以進一步拆分成多個子模塊��。上述本發(fā)明序號僅僅為了描述�,不代表實施例的優(yōu)劣�。以上公開的僅為本發(fā)明的幾個具體實施例,但是�����,本發(fā)明并非局限于此�����,任何本領域的技術人員能思之的變化都應落入本發(fā)明的保護范圍���。
權利要求
1.ー種802. IX認證方法�����,應用于包括客戶端����、接入點AP設備、接入控制器AC設備�����、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中�����,在所述客戶端發(fā)起802. IX認證時����,其特征在于�,該方法包括以下步驟 所述AC設備接收所述AP設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL報文,且所述EAPOL報文的目的地址被所述AP設備修改為組播地址�����; 如果所述EAPOL報文不是EAPOL-密鑰KEY報文�,則所述AC設備在確定所述EAPOL報文的目的地址為組播地址后,將所述EAPOL報文發(fā)送給所述BAS�����,由所述BAS在所述認證服務器上對所述客戶端進行802. IX認證; 如果所述EAPOL報文是EAP0L-KEY報文�����,則所述AC設備利用所述EAP0L-KEY報文生成密鑰信息��,并將所述密鑰信息發(fā)送給所述AP設備����。
2.如權利要求I所述的方法,其特征在于�,所述AC設備上使能有認證和加密分離功能,且使能所述認證和加密分離功能表示所述AC設備需要自身處理EAP0L-KEY報文����,并且需要將EAP0L-KEY報文之外的其他EAPOL報文發(fā)送給所述BAS進行處理。
3.如權利要求I所述的方法�,其特征在干,所述AC設備利用所述EAP0L-KEY報文生成密鑰信息���,具體包括 在所述客戶端進行802. IX認證成功吋���,所述AC設備接收所述BAS通知的所述客戶端認證成功的消息��,且所述消息中攜帯加密密鑰的屬性信息�; 所述AC設備利用所述EAP0L-KEY報文以及所述加密密鑰的屬性信息生成密鑰信息���。
4.ー種802. IX認證方法�,應用于包括客戶端���、接入點AP設備��、接入控制器AC設備�、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中��,在所述客戶端發(fā)起802. IX認證時����,其特征在于��,該方法包括以下步驟 所述BAS接收所述AC設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL-開始Start報文�,并通過所述AC設備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進行認證的EAPOL-請求Request報文; 所述BAS接收所述AC設備轉發(fā)的來自所述客戶端的EAPOL-響應Response報文���,且所述EAPOL-Response報文中攜帶所述客戶端的認證信息���; 所述BAS向所述認證服務器發(fā)送攜帯所述客戶端的認證信息的認證請求報文�����,由所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證�。
5.如權利要求4所述的方法���,其特征在于��,所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證��,之后還包括 在所述客戶端進行802. IX認證成功吋����,所述BAS接收來自所述認證服務器的接受Accept報文�,且所述Ac^pt報文中攜帯加密密鑰的屬性信息; 所述BAS通過所述AC設備向所述客戶端發(fā)送用于通知802. IX認證成功的EAPOL-成功Success報文�����,井向所述AC設備發(fā)送用于通知所述客戶端認證成功的消息���,且所述消息中攜帯加密密鑰的屬性信息�����。
6.一種接入控制器AC設備�,應用于包括客戶端、接入點AP設備��、所述AC設備���、寬帶接入服務器BAS以及認證服務器的系統(tǒng)中�����,在所述客戶端發(fā)起802. IX認證時����,其特征在于�,該AC設備包括 接收模塊,用于接收所述AP設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL報文�����,且所述EAPOL報文的目的地址被所述AP設備修改為組播地址��; 發(fā)送模塊�,用于當所述EAPOL報文不是EAPOL-密鑰KEY報文吋,在確定所述EAPOL報文的目的地址為組播地址后���,將所述EAPOL報文發(fā)送給所述BAS�,由所述BAS在所述認證服務器上對所述客戶端進行802. IX認證����; 處理模塊,用于當所述EAPOL報文是EAP0L-KEY報文時���,則利用所述EAP0L-KEY報文生成密鑰信息��,并將所述密鑰信息發(fā)送給所述AP設備����。
7.如權利要求6所述的AC設備�����,其特征在于���,所述AC設備上使能有認證和加密分離功能�,且使能所述認證和加密分離功能表示所述AC設備需要自身處理EAP0L-KEY報文,并且需要將EAP0L-KEY報文之外的其他EAPOL報文發(fā)送給所述BAS進行處理��。
8.如權利要求6所述的AC設備��,其特征在干���, 所述接收模塊����,還用于在所述客戶端進行802. IX認證成功時��,接收所述BAS通知的所述客戶端認證成功的消息�,且所述消息中攜帯加密密鑰的屬性信息; 所述處理模塊��,具體用于利用所述EAP0L-KEY報文以及所述加密密鑰的屬性信息生成密鑰信息��。
9.一種寬帶接入服務器BAS�����,應用于包括客戶端��、接入點AP設備��、接入控制器AC設備���、所述BAS以及認證服務器的系統(tǒng)中��,在所述客戶端發(fā)起802. IX認證時����,其特征在于��,該BAS包括 第一接收模塊��,用于接收所述AC設備轉發(fā)的來自所述客戶端的局域網(wǎng)上的可擴展認證協(xié)議EAPOL-開始Start報文�����; 第一發(fā)送模塊�,用于通過所述AC設備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進行認證的EAPOL-請求Request報文; 第二接收模塊��,用于接收所述AC設備轉發(fā)的來自所述客戶端的EAPOL-響應Response報文����,且所述EAPOL-Response報文中攜帶所述客戶端的認證信息; 第二發(fā)送模塊���,用于向所述認證服務器發(fā)送攜帯所述客戶端的認證信息的認證請求報文����,由所述認證服務器利用所述客戶端的認證信息對所述客戶端進行802. IX認證。
10.如權利要求9所述的BAS���,其特征在于��,還包括 第三接收模塊���,用于在所述客戶端進行802. IX認證成功吋,接收來自所述認證服務器的接受Ac^pt報文����,且所述Ac^pt報文中攜帯加密密鑰的屬性信息; 第三發(fā)送模塊����,用于通過所述AC設備向所述客戶端發(fā)送用于通知802. IX認證成功的EAPOL-成功Success報文,井向所述AC設備發(fā)送用于通知所述客戶端認證成功的消息�,且所述消息中攜帯加密密鑰的屬性信息。
全文摘要
本發(fā)明公開了一種802.1X認證方法和設備�,該方法包括AC設備接收AP設備轉發(fā)的來自客戶端的EAPOL報文;如果所述EAPOL報文不是EAPOL-KEY報文���,則所述AC設備在確定所述EAPOL報文的目的地址為組播地址后����,將所述EAPOL報文發(fā)送給所述BAS�;如果所述EAPOL報文是EAPOL-KEY報文,則所述AC設備利用所述EAPOL-KEY報文生成密鑰信息���,并將所述密鑰信息發(fā)送給所述AP設備����。本發(fā)明中�,可簡化認證服務器的配置。
文檔編號H04L29/06GK102761869SQ201210211979
公開日2012年10月31日 申請日期2012年6月26日 優(yōu)先權日2012年6月26日
發(fā)明者盧宇, 徐勇剛 申請人:杭州華三通信技術有限公司