本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是涉及一種dot1x用戶認證系統(tǒng)、方法及體系。

背景技術(shù)：

IEEE802LAN/WAN委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1X協(xié)議(dot1x)。802.1X協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認證和安全方面的問題。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問網(wǎng)絡(luò)中的資源；如果不能通過認證，則無法訪問。

如圖1所示，現(xiàn)有802.1X協(xié)議的體系結(jié)構(gòu)一般包括三個重要的部分：客戶端(Supplicant System)、認證系統(tǒng)(Authenticator System)和認證服務(wù)器(Authentication Server System)?？蛻舳讼到y(tǒng)一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起802.1X協(xié)議的認證過程。為支持基于端口的接入控制，客戶端系統(tǒng)需支持擴展認證協(xié)議(EAPOL：Extensible Authentication Protocol Over LAN)。認證系統(tǒng)通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，如交換機(switch)。認證服務(wù)器可以存儲有關(guān)用戶的信息，比如用戶的優(yōu)先級、用戶的訪問控制列表等等。當(dāng)用戶通過認證后，認證服務(wù)器會把用戶的相關(guān)信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。

常用的802.1X認證方式有兩種，一種是遠程認證，一種為本地認證。其中，遠程認證過程在交換機認證系統(tǒng)和遠端的服務(wù)器之間完成，支持遠程認證撥號用戶服務(wù)(RADIUS：Remote Authentication Dial-In User Service)、終端訪問控制器控制系統(tǒng)協(xié)議(TACACS：Terminal Access Controller Access Control System)等協(xié)議。

常用的RADIUS認證過程中，認證服務(wù)器為RADIUS服務(wù)器，客戶端和認證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認證信息，認證系統(tǒng)與認證服務(wù)器之間通過RADIUS協(xié)議傳送認證信息。

現(xiàn)有802.1X協(xié)議的體系結(jié)構(gòu)中，認證系統(tǒng)基于虛擬交互集群(VSC:Virtual Switch Chassis)協(xié)議實現(xiàn)，即認證系統(tǒng)中包括多臺交換機，但通常僅由多臺交換機中的某一臺交換機作為主機執(zhí)行相應(yīng)的認證過程，例如數(shù)據(jù)接收、與認證服務(wù)器交互等，其他交換機作為備用設(shè)備沒有真正意義上的運行，這導(dǎo)致了系統(tǒng)資源的浪費。而現(xiàn)有802.1X協(xié)議的體系結(jié)構(gòu)中需要在認證系統(tǒng)之外單獨設(shè)立認證服務(wù)器，以用于存儲用戶數(shù)據(jù)庫信息，供用戶認證計費，由于認證服務(wù)器的價格昂貴，從而導(dǎo)致現(xiàn)有802.1X協(xié)議的體系結(jié)構(gòu)的成本較高。且認證服務(wù)器部署時，需要為多臺認證系統(tǒng)的用戶同時服務(wù)，用戶上線交互就多，影響用戶上線速度。有時會出現(xiàn)用戶上線數(shù)據(jù)丟失，認證服務(wù)器會對將該用戶掛起，導(dǎo)致用戶無法再次上線。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種dot1x用戶認證系統(tǒng)、方法及體系，從而可提高網(wǎng)絡(luò)用戶認證過程的可靠性，提高網(wǎng)絡(luò)用戶的上網(wǎng)體驗，降低dot1x體系成本。

本發(fā)明提供方案如下：

本發(fā)明實施例提供了一種dot1x用戶認證系統(tǒng)，該系統(tǒng)具體可包括多個交換機；所述多個交換機中包括一主機，所述主機用于基于一選擇參數(shù)，將第一交換機確定為主認證服務(wù)器，將第二交換機確定為備份認證服務(wù)器，所述第一交換機和第二交換機為所述多個交換機中除所述主機之外的其他交換機；

所述主認證服務(wù)器，用于基于接收的認證協(xié)議報文，對用戶進行認證，并將認證數(shù)據(jù)發(fā)送至所述備份認證服務(wù)器進行備份，以便當(dāng)所述主認證服務(wù)器的工作狀態(tài)不符合預(yù)設(shè)要求時，所述備份認證服務(wù)器在所述主機控制下利用備份的認證數(shù)據(jù)進行認證。

優(yōu)選的，所述選擇參數(shù)，基于外部輸入的控制信息確定；或者，

所述選擇參數(shù)，基于所述其他交換機的工作狀態(tài)確定。

優(yōu)選的，所述工作狀態(tài)為所述其他交換機的空閑狀態(tài)；

所述空閑狀態(tài)，基于所述其他交換機的CPU負荷確定。

優(yōu)選的，所述主機基于所述其他交換機定期上報的工作狀態(tài)信息，確定所述其他交換機的工作狀態(tài)。

優(yōu)選的，當(dāng)所述主機在預(yù)設(shè)時間內(nèi)，沒有收到主認證服務(wù)器上報的工作狀態(tài)信息時，確定所述主認證服務(wù)器的工作狀態(tài)不符合預(yù)設(shè)要求，將當(dāng)前的備份認證發(fā)生器確定為主認證服務(wù)器，并基于選擇參數(shù)，在其他交換機中選擇確定備份認證服務(wù)器。

本發(fā)明實施例還提供了一種dot1x用戶認證方法，所述方法應(yīng)用于一dot1x用戶認證系統(tǒng)中，所示dot1x用戶認證系統(tǒng)包括多個交換機，所述多個交換機中包括一主機，所述主機用于基于一選擇參數(shù)，將第一交換機確定為主認證服務(wù)器，將第二交換機確定為備份認證服務(wù)器，所述第一交換機和第二交換機為所述多個交換機中除所述主機之外的其他交換機；

所述方法包括：

主認證服務(wù)器基于接收的認證協(xié)議報文，對用戶進行認證，并將認證數(shù)據(jù)發(fā)送至備份認證服務(wù)器進行備份，以便當(dāng)所述主認證服務(wù)器的工作狀態(tài)不符合預(yù)設(shè)要求時，所述備份認證服務(wù)器在所述主機控制下利用備份的認證數(shù)據(jù)進行認證。

優(yōu)選的，所述方法包括：

主機基于外部輸入的控制信息確定選擇參數(shù)；或者，

主機基于所述其他交換機的工作狀態(tài)確定所述選擇參數(shù)。

優(yōu)選的，所述工作狀態(tài)為所述其他交換機的空閑狀態(tài)；

所述方法還包括：基于所述其他交換機的CPU負荷確定所述其他交換機的空閑狀態(tài)。

優(yōu)選的，所述方法還包括：主機基于所述其他交換機定期上報的工作狀態(tài)信息，確定所述其他交換機的工作狀態(tài)。

優(yōu)選的，所述主機基于所述其他交換機上報的工作狀態(tài)信息，確定所述其他交換機的工作狀態(tài)包括：

當(dāng)所述主機在預(yù)設(shè)時間內(nèi)，沒有收到主認證服務(wù)器上報的工作狀態(tài)信息時，確定所述主認證服務(wù)器的工作狀態(tài)不符合預(yù)設(shè)要求。

本發(fā)明實施例還提供了一種dot1x用戶認證體系，包括用戶端，以及上述本發(fā)明實施例所提供的dot1x用戶認證系統(tǒng)。

從以上所述可以看出，本發(fā)明提供的dot1x用戶認證系統(tǒng)、方法及體系，通過在系統(tǒng)內(nèi)部設(shè)置多個交換機；所述多個交換機中包括一主機，所述主機用于基于一選擇參數(shù)，將第一交換機確定為主認證服務(wù)器，將第二交換機確定為備份認證服務(wù)器，所述第一交換機和第二交換機為所述多個交換機中除所述主機之外的其他交換機；所述主認證服務(wù)器，用于基于接收的認證協(xié)議報文，對用戶進行認證，并將認證數(shù)據(jù)發(fā)送至所述備份認證服務(wù)器進行備份，以便當(dāng)所述主認證服務(wù)器的工作狀態(tài)不符合預(yù)設(shè)要求時，所述備份認證服務(wù)器在所述主機控制下利用備份的認證數(shù)據(jù)進行認證。從而可提高網(wǎng)絡(luò)用戶認證過程的可靠性，提高網(wǎng)絡(luò)用戶的上網(wǎng)體驗，降低dot1x體系結(jié)構(gòu)成本。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有dot1x用戶認證體系結(jié)構(gòu)示意圖；

圖2為本發(fā)明實施例提供的dot1x用戶認證系統(tǒng)結(jié)構(gòu)示意圖；

圖3為本發(fā)明實施例提供的dot1x用戶認證方法流程示意圖；

圖4為本發(fā)明實施例提供的dot1x用戶認證體系結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例的附圖，對本發(fā)明實施例的技術(shù)方案進行清楚、完整地描述。顯然，所描述的實施例是本發(fā)明的一部分實施例，而不是全部的實施例。基于所描述的本發(fā)明的實施例，本領(lǐng)域普通技術(shù)人員所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

除非另作定義，此處使用的技術(shù)術(shù)語或者科學(xué)術(shù)語應(yīng)當(dāng)為本發(fā)明所屬領(lǐng)域 內(nèi)具有一般技能的人士所理解的通常意義。本發(fā)明專利申請說明書以及權(quán)利要求書中使用的“第一”、“第二”以及類似的詞語并不表示任何順序、數(shù)量或者重要性，而只是用來區(qū)分不同的組成部分。同樣，“一個”或者“一”等類似詞語也不表示數(shù)量限制，而是表示存在至少一個?！斑B接”或者“相連”等類似的詞語并非限定于物理的或者機械的連接，而是可以包括電性的連接，不管是直接的還是間接的?！吧稀?、“下”、“左”、“右”等僅用于表示相對位置關(guān)系，當(dāng)被描述對象的絕對位置改變后，則該相對位置關(guān)系也相應(yīng)地改變。

本發(fā)明實施例提供了一種dot1x用戶認證系統(tǒng)，如圖2所示，該系統(tǒng)具體可以包括多個交換機(如圖2中標識201、202、203、204所示的交換機)，即該dot1x用戶認證系統(tǒng)通過支持虛擬交互集群(VSC:Virtual Switch Chassis)協(xié)議，將多臺交換機虛擬為一臺設(shè)備。

上述多個交換機中包括一主機201(該主機可事先指定或基于一標準選擇)，所述主機201用于基于一選擇參數(shù)，將第一交換機確定為主認證服務(wù)器202，將第二交換機確定為備份認證服務(wù)器203，第一交換機和第二交換機為多個交換機中除主機201之外的其他交換機；

主認證服務(wù)器202，用于基于接收的認證協(xié)議報文，對用戶進行認證，并將認證數(shù)據(jù)發(fā)送至備份認證服務(wù)器203進行備份，以便當(dāng)主認證服務(wù)器202的工作狀態(tài)不符合預(yù)設(shè)要求時，備份認證服務(wù)器203在主機201控制下利用備份的認證數(shù)據(jù)進行認證。

本發(fā)明實施例所提供的dot1x用戶認證系統(tǒng)，利用系統(tǒng)內(nèi)部的交換機作為認證服務(wù)器，從而可無需外置認證服務(wù)器，節(jié)省了外置認證服務(wù)器的購置費用，降低了dot1x用戶認證系統(tǒng)的成本。

而且，該系統(tǒng)通過主、備份認證服務(wù)器的設(shè)置，從而在系統(tǒng)內(nèi)部實現(xiàn)認證服務(wù)器的冗余備份，在充分利用系統(tǒng)內(nèi)部資源的同時，可確保網(wǎng)絡(luò)用戶認證過程的正常實現(xiàn)，提高了網(wǎng)絡(luò)用戶認證過程的可靠性，提高了網(wǎng)絡(luò)用戶的上網(wǎng)體驗。

在一具體實施例中，主機201可基于外部輸入的控制信息，或者基于系統(tǒng)內(nèi)其他交換機的工作狀態(tài)信息確定主認證服務(wù)器202和備份認證服務(wù)器203的選擇參數(shù)，從而可靈活、準確實現(xiàn)認證服務(wù)器的選擇。

本發(fā)明實施例中，其他交換機的工作狀態(tài)具體可為其他交換機的空閑狀態(tài)，也可以為其他交換機的軟、硬件配置狀態(tài)，工況狀態(tài)等狀態(tài)。且上述空閑狀態(tài)，具體可基于其他交換機的CPU負荷等參數(shù)確定。

在具體實現(xiàn)時，主機201可基于其他交換機定期上報的工作狀態(tài)信息，確定其他交換機的工作狀態(tài)，以便在系統(tǒng)運行初始狀態(tài)下實現(xiàn)主、備份認證服務(wù)器的選擇，以及在系統(tǒng)運行過程中動態(tài)實現(xiàn)主、備認證服務(wù)器的切換以及備份認證服務(wù)器的選擇確定。具體實現(xiàn)過程將在后續(xù)部分進行詳細的說明。

本發(fā)明實施例還提供了一種dot1x用戶認證方法，該方法具體可應(yīng)用于上述本發(fā)明實施例所提供的dot1x用戶認證系統(tǒng)中。

該方法具體可以包括：

主認證服務(wù)器202基于接收的認證協(xié)議報文，對用戶進行認證，并將認證數(shù)據(jù)發(fā)送至備份認證服務(wù)器203進行備份，以便當(dāng)主認證服務(wù)器202的工作狀態(tài)不符合預(yù)設(shè)要求時，備份認證服務(wù)器203在主機201控制下利用備份的認證數(shù)據(jù)進行認證。

在一具體實施例中，該方法具體還可以包括：

主機201基于外部輸入的控制信息確定選擇參數(shù)；或者，

主機201基于其他交換機的工作狀態(tài)確定選擇參數(shù)。

本發(fā)明實施例所涉及的工作狀態(tài)具體可為其他交換機的空閑狀態(tài)；

在一具體實施例中，該方法具體還可以包括：基于其他交換機的CPU負荷確定所述其他交換機的空閑狀態(tài)。

在一具體實施例中，該方法具體還可以包括：主機201基于其他交換機定期上報的工作狀態(tài)信息，確定其他交換機的工作狀態(tài)。

那么，該方法中，當(dāng)主機201在預(yù)設(shè)時間內(nèi)，沒有收到主認證服務(wù)器202上報的工作狀態(tài)信息時，主機201可確定主認證服務(wù)器202的工作狀態(tài)不符合預(yù)設(shè)要求，后續(xù)主機201可將當(dāng)前的備份認證服務(wù)器202確定為主認證服務(wù)器201，并基于選擇參數(shù)，選擇其他交換機作為備份認證服務(wù)器202，從而實現(xiàn)主、備份認證服務(wù)器的動態(tài)切換選擇。

下面，以本發(fā)明實施例所提供的上述方法，應(yīng)用于上述本發(fā)明實施例提供的系統(tǒng)為例，對該方法的具體實現(xiàn)過程(即該系統(tǒng)的具體應(yīng)用過程)進行詳盡 的說明。

如圖3所示，該實施例具體可以包括：

步驟301，初始主認證服務(wù)器和備份認證服務(wù)器的選擇。

在系統(tǒng)運行初期，主機201(Master)和其他交換機正常啟動運行，主機201開始執(zhí)行主認證服務(wù)器202和備份認證服務(wù)器203的初始選擇確定步驟。

具體選擇確定時，主機201可基于外部輸入的控制信息，或者圖1中交換機A、B、C上報的工作狀態(tài)信息(例如hello報文)，確定選擇參數(shù)，以決定主認證服務(wù)器202和備份認證服務(wù)器203具體為其他交換機中的哪一臺。

此實施例中，設(shè)定交換機A的CPU負載最低，交換機B次之，交換機C最高，因此，主機201將交換機A確定為初始主認證服務(wù)器，將交換機B確定為初始備份認證服務(wù)器，從而可構(gòu)建交換機A、B作為主備關(guān)系的認證系統(tǒng)，同時，還可建立兩者之間的同步關(guān)系，以實現(xiàn)認證數(shù)據(jù)的備份。

在具體實現(xiàn)時，可由主機201向交換機A發(fā)送通知消息等手段，使交換機A感知自身作為主認證服務(wù)器202存在，并通過軟、硬件等資源的加載啟動，使其自身具有主認證服務(wù)器202的功能，或者，主機201通過軟、硬件的調(diào)配，使交換機A具有主認證服務(wù)器202的功能，例如，使交換機A具有用戶的優(yōu)先級、用戶的訪問控制列表等。主機202可通過同樣的操作步驟，使交換機B感知自身作為備份認證服務(wù)器203存在，并使交換機B具有備份認證服務(wù)器203的功能。

步驟302，主認證服務(wù)器202接收認證協(xié)議報文。

具體的，當(dāng)交換機A感知自身為主認證服務(wù)器202之后，啟動freeradius進程，并告知系統(tǒng)內(nèi)的其他交換機即成員設(shè)備，交換機A為主認證服務(wù)器202(即認證系統(tǒng))，系統(tǒng)內(nèi)的其他交換機在收到告知后，將接收的、由客戶端401所發(fā)送的認證協(xié)議報文發(fā)送至交換機A即主認證服務(wù)器202。

步驟303，主認證服務(wù)器202基于接收的認證協(xié)議報文，對用戶進行認證，并將認證數(shù)據(jù)發(fā)送至備份服務(wù)器203即交換機B進行認證數(shù)據(jù)同步備份。

對于認證結(jié)果，主認證服務(wù)器202可通過其他交換機返回至客戶端401。并且，對于認證通過的用戶，認證系統(tǒng)(例如主認證服務(wù)器202)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)網(wǎng)絡(luò)訪問流程將基于該訪問控制列表進行監(jiān)管。

需要說明的是，在上述步驟301、302、303實現(xiàn)過程中，系統(tǒng)內(nèi)的其他交換機例如交換機A、B、C，仍然可向主機201上報CPU負荷等工作狀態(tài)信息，以使主機201實時了解系統(tǒng)內(nèi)成員設(shè)備的工作狀態(tài)，以便主機201判斷是否需要進行主、備份認證服務(wù)器的動態(tài)切換。

步驟304，在預(yù)設(shè)的時間內(nèi)，主機201沒有接收到主認證服務(wù)器202上報的工作狀態(tài)信息時，主機201啟動主備份認證服務(wù)器切換以及備份認證服務(wù)器203選擇確定操作。

具體的，當(dāng)主機201長時間沒有收到主認證服務(wù)器202所發(fā)送的hello報文之后，判斷交換機A即主認證服務(wù)器202掛起或異常，并通知交換機B即初始的備份認證服務(wù)器203切換到主認證服務(wù)器202的工作狀態(tài)，同時，主機201還可以基于外部輸入的控制信息或者其他交換機上報的工作狀態(tài)信息，為交換機B(此時為主認證服務(wù)器202)選擇備份認證服務(wù)器，例如交換機C。

后續(xù)可重復(fù)執(zhí)行步驟302、303、304的操作，即交換機B在接收到切換通知后，立即開啟freeradius進程，并告知系統(tǒng)內(nèi)的其他交換機即成員設(shè)備，交換機B為主認證服務(wù)器(即認證系統(tǒng))，系統(tǒng)內(nèi)的其他交換機在收到告知后，將接收的、由客戶端401所發(fā)送的認證協(xié)議報文發(fā)送至交換機B即主認證服務(wù)器202，主認證服務(wù)器202即交換機B基于接收的認證協(xié)議報文，對用戶進行認證，同時，將認證數(shù)據(jù)發(fā)送至備份服務(wù)器即交換機C進行認證數(shù)據(jù)同步備份。從而實現(xiàn)動態(tài)的主備份認證服務(wù)器的切換，確保用戶認證流程的正常實現(xiàn)，提高用戶認證的可靠性，提高用戶的上網(wǎng)體驗。

本發(fā)明實施例還提供了一種dot1x用戶認證體系，如圖4所示，該體現(xiàn)結(jié)構(gòu)內(nèi)具體可包括用戶端301，以及上述本發(fā)明實施例所提供的dot1x用戶認證系統(tǒng)。

以上所述僅是本發(fā)明的優(yōu)選實施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明技術(shù)原理的前提下，還可以做出若干改進和替換，這些改進和替換也應(yīng)視為本發(fā)明的保護范圍。