CN101128796A - 用于共享介质的802.1x认证技术 - Google Patents
用于共享介质的802.1x认证技术 Download PDFInfo
- Publication number
- CN101128796A CN101128796A CNA2004800330082A CN200480033008A CN101128796A CN 101128796 A CN101128796 A CN 101128796A CN A2004800330082 A CNA2004800330082 A CN A2004800330082A CN 200480033008 A CN200480033008 A CN 200480033008A CN 101128796 A CN101128796 A CN 101128796A
- Authority
- CN
- China
- Prior art keywords
- mac
- client node
- receives
- subnet
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000004044 response Effects 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000295 complement effect Effects 0.000 claims description 5
- 230000001010 compromised effect Effects 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 15
- 238000003860 storage Methods 0.000 description 14
- 230000005641 tunneling Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 3
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 3
- 102100039558 Galectin-3 Human genes 0.000 description 3
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 3
- 101150115300 MAC1 gene Proteins 0.000 description 3
- 101150051246 MAC2 gene Proteins 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001915 proofreading effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种用于在诸如路由器这样的中间节点中的共享介质端口上安全地实现基于端口的认证的技术。为此,本发明提供了增强的基于端口的网络访问控制,其包括共享介质端口处的基于客户端的控制。与先前的实现方式不同,并非一旦多个客户端节点中的任何一个处的用户被子网认证,端口就准许这些客户端节点访问受信子网。相反,针对尝试通过共享介质端口访问受信子网的每个客户端节点执行基于端口的认证。这样,就不会发生在一个客户端节点处的用户已被受信子网认证之后,“附带着”经过共享介质端口的未被认证的客户端节点危害对受信子网的访问的情况。
Description
技术领域
本发明一般地涉及网络通信,更具体而言,涉及用于通过中间网络节点中的共享介质端口来控制网络通信的技术。
背景技术
计算机网络是用于在诸如计算机这样的节点之间传输数据的互连的子网的地理上分布的集合。网络的拓扑由一般由通过一个或多个中间节点彼此通信的客户端节点的布置所限定。这里所使用的客户端节点是被配置为发起或者端接经由网络的通信的终端站节点。相反,中间节点是帮助在客户端节点之间路由数据的网络节点。节点之间的通信一般是通过根据预定义的协议交换离散数据分组来实现的。在这个上下文中,协议由限定节点如何彼此交互的一组规则构成。
每个数据分组一般包括前附有至少一个网络头部的(由至少一个网络头部封装的)“有效载荷”数据,所述网络头部是根据网络通信协议来格式化的。网络头部包括使得客户端节点和中间节点能够通过计算机网络高效地路由分组的信息。通常,分组的网络头部至少包括数据链路(第2层)头部和互联网络(第3层)头部,如开放***互连(OSI)参考模型所述。OSI参考模型一般在1999年9月出版的由Radia Perlman所著的标题为“Interconnections Second Edition”的参考书的第1.1节中更详细描述,这里通过引用将其结合进来,就好像在此处完整阐述了一样。
数据链路头部提供用于经由特定物理链路(即通信介质)传输分组的信息,所述物理链路例如是点到点链路、以太网链路、无线链路、光链路等等。为此,数据链路头部可以指定由物理链路连接的一对“源”和“目的地”网络接口。网络接口包含用于将网络节点耦合到一个或多个物理层的机械、电气和信令电路和逻辑。一般,网络接口可以包含连接到不同通信介质的一个或多个端口。这里所使用的端口是一个物理接口,物理链路通过该物理接口附接到网络接口。网络接口通常与被称为媒体访问控制(MAC)地址的硬件特定地址相关联。因此,数据链路头部中的源和目的地网络接口一般被存储为源和目的地MAC地址。数据链路头部还可以存储用于管理经由物理链路的数据传输的流控制、帧同步和差错检查信息。
互联网络头部提供限定分组经过计算机网络的逻辑路径(或“虚拟电路”)的信息。值得注意的是,路径可以跨过多个物理链路。互联网络头部可以根据因特网协议(IP)来格式化,该协议指定逻辑路径的端点处的源和目的地节点的IP地址。从而,分组可以沿着其逻辑路径从一个节点“跳”到另一个节点,直到它到达被分配给分组的互联网络头部中存储的目的地IP地址的客户端节点。在每一跳之后,可以根据需要更新分组的数据链路头部中的源和目的地MAC地址。但是,当分组在网络中的链路之间传送时,源和目的地IP地址一般保持不变。
客户端节点可以被配置成经由各种类型的网络进行通信,所述网络可以在从局域网(LAN)到广域网(WAN)的范围中变化。LAN一般经由位于同一个总的物理位置(例如家中或办公建筑物中)的专用私有通信链路连接客户端节点。WAN一般经由诸如公共载波电话线这样的长途通信链路连接大量地理上分散的节点。因特网是WAN的一个示例,其连接全世界的不同网络,从而提供各种网络中包含的节点之间的全球通信。
多个LAN和WAN可以由诸如路由器或交换机之类的中间节点互连,以扩展计算机网络的有效“尺寸”并增大进行通信的节点的数目。例如,一个或多个中间节点可以被用于将属于特定组织(或“企业”)的LAN扩展到超过该组织的地理边界。中间节点使得例如在家庭办公室工作的经授权的远程办公者能够远程地连接到企业LAN。在示例性情况下,远程办公者建立与本地中间节点的通信会话,而本地中间节点又建立与企业网络中的远程中间节点的通信会话。一旦以这种方式相连接,远程办公者就可以访问企业网络中提供的资源和服务,就好像他/她在物理上位于该组织中一样。
由于本地和远程中间节点可能经由诸如因特网这样的非受信公共网络耦合,因此节点可以被配置成利用经由公共网络实现的更安全的“受信”子网来进行通信。受信子网采用经由更大的、“非受信”公共网络发送的以密码方式确保安全的通信。从效果来说,受信子网充当保护中间节点之间传输的数据的虚拟“隧道”。例如,虚拟专用网络(VPN)可以被中间节点用来确保它们传输的数据的私密性。为此,当数据分组在中间节点之一处“进入”VPN隧道时,它们可以被加密,而当它们在另一中间节点处“离开”时,可以被解密。用于封装通过VPN隧道的通信的传统的隧道协议,例如第2层隧道协议(LT2P)、点到点隧道协议(PPTP)和IP安全性(IPSec)协议,是本领域中已知的。
虽然VPN隧道可以被构造成经由非受信网络安全地传送数据,但是远程用户(即远程办公者)在被授予对隧道的访问权限之前一般应当被认证。通过以这种方式要求用户认证,保护企业网络免受未经授权的用户获得对企业的VPN隧道(即“企业VPN”)的访问权限。用户认证一般是在耦合到企业VPN的中间节点端口处实现的。该端口假定以下两个可能的状态之一:“开放”或“关闭”。最初,端口的状态是关闭,从而防止客户端节点访问企业VPN。但是,在用户在该端口处被认证之后,端口变为开放状态。开放端口使得经认证的用户能够访问企业VPN。除了提供对VPN隧道的访问之外,开放端口还可以提供通过处于关闭状态的端口无法提供的其他专门的服务,例如增强的服务质量。
一种用于实现这种类型的传统的基于端口的安全性的流行技术在2001年7月发表的标题为“Port-based Network Access Control”的电气和电子工程师学会(IEEE)标准IEEE Std 802.1X-2001中有所描述,这里通过引用将其结合进来,就好像在此处完整阐述了一样。在该标准中,客户端节点在客户端节点端口处执行“请求者(supplicant)”端口访问实体(PAE),中间节点在耦合到客户端节点端口的中间节点端口处执行“认证者(authenticator)”PAE。请求者和认证者PAE被配置为发送和接收根据802.1X标准格式化的数据分组。
中间节点的端口最初处于不受控状态(即“关闭”状态),从而该端口处的所有客户端节点通信都被定向到认证者PAE。客户端节点处的请求者PAE生成802.1X认证请求,以将中间节点的端口更改为受控状态(即“开放”状态)。按照802.1X标准,根据可扩展认证协议(EAP)对请求进行格式化,并将该请求封装在传统的IEEE802数据帧中。EAP协议在1998年3月发表的标题为“PPP Extensible Authentication Protocol(EAP)”的请求注释(RFC)2284中更详细描述,IEEE802标准在2002年2月发表的标题为“802IEEE Standard for Local and Metropolitan Area Networks:Overview and Architecture”的IEEE Std 802-2001中总地描述,这里通过引用将两者都结合进来,就好像在此处完整阐述了一样。有利地,EAP协议是能够支持各种不同认证技术的通用协议。从而,请求者PAE可以根据任何与EAP协议一致的认证方法来生成802.1X认证请求。当客户端节点和中间节点经由共享的LAN网段相连接时,请求者PAE将请求格式化为基于LAN的EAP(EAPOL)分组,并将其转发到中间节点。
在中间节点处,EAPOL分组被认证者PAE所接收,认证者PAE处理分组并将请求转发到适当的认证服务,例如远程认证拨入用户服务(RADIUS)。如果必要的话,在将请求转发到认证服务之前,认证者PAE可以例如根据基于RADIUS的EAP协议来对请求进行重格式化。基于RADIUS的EAP协议在2000年6月发表的标题为“RADIUSExtension”的RFC 2869中更详细描述,这里通过引用将其结合进来,就好像在此处完整阐述了一样。
一旦接收到请求,认证服务提供认证、授予和计费(AAA)功能,以确定客户端节点处的用户是否可以在中间节点的端口处被认证。AAA过程是根据由用户的EAP请求指定的认证方法来执行的。因此,AAA过程可以要求在认证服务和客户端节点之间执行询问-响应交换序列。一旦完成这些过程,认证服务就将用户的认证状态通知给认证者PAE。如果用户被认证,则认证者PAE将中间节点端口的状态更改为受控,从而使得用户能够访问企业VPN和其他中间节点服务。否则,中间节点的端口保持在不受控状态中。这个802.1X认证过程一般被周期性地重复,以核实中间节点端口处用户的认证状态没有变化,例如从已认证变为未认证。
虽然上述802.1X认证过程对于耦合到单独的客户端节点的中间节点端口来说性能良好,但是当多个客户端节点耦合到中间节点中的共享介质端口时,它就适应得不太好了。这里所使用的共享介质端口是将网络接口连接到与多个其他网络接口相耦合的一个或多个物理链路的物理接口。例如,共享介质端口可以包括集成的集线器或交换机,通过该集线器或交换机,端口连接到多个远程网络接口。或者,端口可以连接到将端口耦合到多个远程网络接口的“下游”集线器或交换机。例如,在家中工作的远程办公者可以通过“家庭”(即本地)中间节点中的共享介质端口来访问企业VPN。同时,在家中的不同计算机工作的一个或多个家庭成员可以通过同一共享介质端口建立不同的网络连接。
当经授权和未经授权的用户都通过被配置成执行基于端口的网络访问控制(例如802.1X认证)的共享介质端口通信时,常常会出现网络安全性问题。如前所述,一旦用户在端口处被认证,共享介质端口就从未经授权状态转变到经授权状态。因此,只要用户在耦合到共享介质端口的一个客户端节点处被授权,耦合到该端口的另一个客户端节点处的未经授权的用户就可以获得对中间节点的服务的未经授权的访问权限。在这种情况下,网络安全性可能会受到耦合到经授权的端口的未经授权的用户的危害。当接入点(AP)连接到共享介质端口时,这个问题更为严重,这是因为AP可以充当数目可能很大的作为无线客户端节点的未经授权的用户的网关。不幸的是,IEEE802.1X标准并没有针对解决共享介质端口处的这种安全性漏洞的可能性。
以前,上述安全性问题已经通过在耦合到共享介质端口的客户端节点内采用网络访问控制来针对解决。客户端节点被配置成用于即使端口已经处于经授权状态中,也确定它们各自的用户是否被授权通过共享介质端口访问受信子网(例如企业VPN)。例如,组织可以安装允许的客户端节点的列表,从而只有在该列表上的那些客户端节点才能被准予访问组织的企业VPN。虽然这种解决方案本质上扩展了传统的用于连接到共享介质端口的客户端节点的基于端口的网络访问控制,但是该解决方案具有许多重大缺陷。
首先,维护和分发更新后的授权客户端节点列表对于大型组织来说是一项艰巨的任务。在组织例如向其远程办公者发布大量客户端节点的情况下,更新后的列表的分发可能非常难以及时开展。此外,由于经授权的客户端节点可能会以相对较高的频率加入或离开组织,因此在维护这种列表时消耗的时间和资源可能高得令人望而却步。第二,由于对企业VPN的访问控制是在数目可能很大的客户端节点中实现的,因此每个客户端节点都可能成为VPN的网络安全性受到危害的点。从而,在大量客户端节点中配置和维护安全性措施也可能消耗过多的时间和资源。此外,允许基于客户端节点访问并在该节点上不认证用户。即,经授权的客户端节点可能受未经授权的用户的控制。
因此,需要在共享介质端口处提供一种更高效和安全的认证技术。该技术应当与传统的基于端口的安全性(例如802.1X认证)相兼容,并且应当提供高水平的网络安全性。此外,该技术不应当消耗过多的时间和资源来部署大量客户端节点。还希望该技术不依赖于耦合到共享介质端口的个体客户端节点中实现的安全性措施。
发明内容
本发明提供了一种用于在诸如路由器这样的中间节点中的共享介质端口上安全地实现基于端口的认证的技术。为此,本发明提供了增强的基于端口的网络访问控制,其包括共享介质端口处的基于客户端的控制。与先前的实现方式不同,并非一旦多个客户端节点中的任何一个处的用户被子网认证,端口就准许这些客户端节点访问受信子网。相反,针对尝试通过共享介质端口访问受信子网的每个客户端节点执行基于端口的认证。这样,就不会发生在一个客户端节点处的用户已被受信子网认证之后,“附带着”经过共享介质端口的未被认证的客户端节点危害对受信子网的访问的情况。
根据示例性实施例,该技术增强了由IEEE802.1X认证标准指定的基于端口的网络访问控制,以将共享介质端口划分成多个逻辑子接口。每个子接口专用于向客户端节点提供对各自的网络或子网的访问。例如,第一客户端节点可以通过第一子接口访问受信子网,例如虚拟专用网络,第二客户端节点可以通过实现在同一端口上的第二子接口访问非受信网络,例如因特网。在这种情况下,第一和第二子接口是分别针对受信子网和非受信网络以不同方式配置的。例如,第一和第二子接口可以与使子接口彼此相区分的不同的因特网协议(IP)地址或虚拟局域网标识符相关联。
此外,在示例性实施例中,在共享介质端口处采用了媒体访问控制(MAC)过滤器,以确定哪些客户端节点被准予访问端口的每个逻辑子接口。本发明的这个方面确保了即使在端口采用802.1X的基于端口的网络访问的情况下,MAC过滤器也会按逐客户端的方式限制经由端口的子接口的网络访问。具体而言,过滤器存储客户端节点MAC地址的列表,其中每个地址与各自的子接口和“认证状态”(例如已认证、未认证或未知)相关联。基于客户端节点的MAC地址的值,中间网络节点可以利用MAC过滤器来识别客户端节点可以访问哪些(如果有的话)逻辑子接口,以及客户端节点是否被认证以经由这些子接口进行通信。
在操作中,MAC过滤器是在中间网络节点的每个共享介质端口处“动态”地创建的;即,直到客户端节点向共享介质端口的逻辑子接口之一发送802.1X认证请求之后,才在共享介质端口处创建MAC过滤器。响应于接收到该请求,在中间网络节点中执行的操作***自动地在共享介质端口处创建MAC过滤器。认证请求包括客户端节点的MAC地址等等,该MAC地址是由MAC过滤器所“学习”到的。在这个上下文中,过滤器通过存储MAC地址并使其与接收到802.1X请求的子接口相关联,来学习MAC地址。然后该请求从共享介质端口被转发到适当的认证服务,该认证服务返回对客户端节点的关于访问与子接口相关联的网络或子网的认证状态的指示。客户端节点的认证状态被存储在MAC过滤器中,并且可以被返回给客户端节点。当在共享介质端口处接收到后续的802.1X请求时,MAC过滤器被更新,以包括新的客户端节点MAC地址和/或认证状态。作为说明,如果客户端节点在子接口上的认证失败预定多次(例如2次),则“警告”消息经由与子接口相关联的网络或子网被发送,以指示客户端节点可能正在试图危害网络。
当MAC过滤器指示客户端节点未被认证以在该子接口上进行通信时,从客户端节点接收到的数据分组或者被逻辑子接口“丢弃”,或者被重定向到更适当的子接口。当分组被重定向到更适当的子接口时,经认证的用户可以访问受信子网,未经认证的用户可以访问另一个子网,例如授予它们访问因特网的权限。这样一来,就可以在经认证的和未经认证的用户之间对共享介质端口进行安全的共享。这类使用的示例是远程工作者拥有对企业网络的访问权限,而远程工作者的家庭成员使用同一中间节点来访问因特网。
此外,如果经由网络或子网接收到的数据分组被寻址到未在该网络或子网上认证的客户端节点,则该分组被丢弃。在示例性实施例中,中间网络节点中的一个或多个路由选择表被配置成使客户端节点IP地址与中间网络节点中的子接口相互联系。因此,在接收到的数据分组通过路由选择表与子接口关联起来以后,与该子接口相关联的MAC过滤器可被用于确定所寻址的客户端节点是否被认证以接收该数据分组。如果是的话,则分组被转发到该客户端节点;否则它在子接口处被丢弃。
此外,在示例性实施例中,在共享介质端口处可以采用IP过滤器。IP过滤器存储与连接到端口的客户端节点相对应的IP地址的列表。根据该实施例,IP过滤器与MAC过滤器协同工作,以实质上忽略由MAC过滤器所规定的某些访问限制。即,虽然共享介质端口处的MAC过滤器可能不准许在不同子接口上被认证的客户端节点彼此通信,但是IP过滤器可能会准许。结果,其IP地址被存储在IP过滤器中的客户端节点可以经由共享介质端口彼此通信,而不论在MAC过滤器中存储的它们的认证状态如何。
有利的是,本发明的技术增强了被配置为执行基于端口(例如802.1X)认证的共享介质端口上的网络访问安全性。该技术阻止未经授权(即“欺骗性”)的客户端节点通过共享介质端口访问受信子网,即使先前的客户端节点已经通过该端口的认证也是如此。虽然经由子接口对受信子网的访问可能会仅限于经认证的客户端节点,但是该技术仍允许未经认证的客户端节点经由共享介质端口的其他子接口进行通信。这样一来,在共享介质端口处而不是像先前那样在每个客户端节点处实现了对受信子网的安全访问。
附图说明
通过结合附图参考以下描述,将更好地理解本发明的以上和其他优点,附图中类似的标号是指相同的或功能相似的元件,其中:
图1是示例性网络配置的示意性框图,在该配置中,家庭网络中的中间节点通过虚拟专用网络耦合到企业网络中的中间节点;
图2是可用于图1的家庭网络中的示例性中间节点的示意性框图;
图3是耦合到可用于在图2的中间节点中实现本发明的示例性共享介质端口的客户端节点的示意性框图;
图4是可以在图3的客户端节点和共享介质端口之间传输的示例性802.1X认证请求的示意性框图;
图5是可用在图3的共享介质端口处的示例性媒体访问控制(MAC)过滤器的示意性框图;
图6是示出用于更新图5的MAC过滤器的内容的步骤序列的流程图;
图7是示出用于确定在共享介质端口的逻辑子接口处接收到的分组是否可以经由与子接口相关联的网络或子网转发的步骤序列的流程图;
图8是可用于图2的中间节点中的路由选择表的示例性条目的示意性框图;
图9是示出用于确定在图2的中间节点处接收到的分组是否可以通过共享介质端口被转发到分组所寻址的目的地客户端节点的步骤序列的流程图;
图10是可用于图2的中间节点中的示例性IP过滤器的示意性框图;
图11是示例性共享介质端口的示意性框图,根据本发明,在该共享介质端口处可以实现图10的IP过滤器;以及
图12是示出用于确定在共享介质端口的逻辑子接口处接收到的分组是否可以被转发到其所寻址的目的地客户端节点的步骤序列的流程图。
具体实施方式
A.网络环境
本发明提供了一种用于在诸如路由器、交换机、网桥之类的中间节点中的共享介质端口上安全地实现基于端口的认证的技术。图1示出示例性网络配置,其包括根据本发明的技术可以采用的中间节点200。具体而言,“家庭”计算机网络100通过在中间节点200处建立的虚拟专用网络155(VPN)耦合到远程“企业”网络160。VPN从效果上而言创建了穿过诸如因特网150这样的非受信网络的安全通信“隧道”。在这个上下文中,企业网络是在组织(例如商行)内实现的。另一方面,家庭网络由被准予远程地访问企业网络中的资源的远程办公者等实现。
家庭网络100可以包括多个互连的客户端节点110,其中某些客户端节点被准予访问企业VPN 155(即“企业”客户端节点),而其他客户端节点未被准予访问企业VPN 155(即“非企业”客户端节点)。客户端节点可以是发起和/或端接经由家庭局域网(LAN)140的通信的计算机***或其他设备。例如,客户端节点110可以是个人计算机、网络打印机、因特网协议(IP)电话(或其他IP语音设备)等等。客户端节点110中的一个或多个可以通过接入点(AP)120来访问家庭LAN 140。即,无线客户端节点将数据分组130传输到AP,而AP又对分组进行重格式化并经由LAN 140发送分组。每个经由家庭LAN传送的分组130一般包括限定分组经过网络的路径的数据链路(第2层)和互联网络(第3层)头部。
数据分组130可以从客户端节点110被发送到中间节点200。在接收到分组之后,中间节点200可以处理分组,以确定分组的发端(即“源”)客户端节点是否被认证以经由企业VPN 155通信。如果是的话,则可以根据企业VPN内使用的隧道协议对分组进行重格式化。经重格式化的分组130随后被转发到VPN隧道的另一“端”处的远程中间节点195。
中间节点195通过企业LAN 170耦合到企业网络160中的其他网络节点。例如,LAN 170将中间节点195连接到认证服务器180和服务器节点190。在接收到来自企业VPN 155的分组130之后,中间节点195经由LAN 170将分组转发到分组所寻址的网络节点。当企业网络160中的网络节点向家庭网络100中的客户端节点110发送数据分组130时,这个过程可以颠倒过来。更具体而言,分组可以经由企业LAN 170被转发到中间节点195,通过企业VPN 155去到中间节点200,并且经由家庭LAN 140去到客户端节点110。
图2是中间节点200的示意性框图。中间节点实现模块化的且可缩放的体系结构,其例如帮助在网络100内将节点用作边缘设备。例如,节点200可以实现为可从Cisco Systems,Inc.获得的1700系列路由器。作为说明,中间节点200包括网络处理引擎210,其耦合到多个端口,例如共享介质端口300和端口260。
端口300和端口260一般驻留在中间节点200中的一个或多个网络接口卡(NIC)上,其中每个NIC被分配以唯一的媒体访问控制(MAC)地址。端口260包括使得中间节点200能够例如经由耦合到因特网150的点到点链路、以太网链路、光链路、无线链路或其他物理链路来进行通信的机械、电气和信令电路。相反,共享介质端口300提供使得节点200能够经由耦合到多个客户端节点110的一个或多个物理链路进行通信的机械、电气和信令电路。例如,端口300可以包括集成的集线器或交换机,或者可以附接到家庭LAN 140中的“下游”集线器或交换机。每个端口300和端口260一般与不同的网络配置相关联。例如,端口可以与不同的IP配置、虚拟局域网(VLAN)配置、认证协议等等相关联。
网络处理引擎210是包括结合在典型中间节点内的功能的基于处理器***。即,该引擎包括经由***控制器216耦合到***存储器220的处理器212(以及缓存214)。存储器220可以包括可以由处理器212寻址的动态随机访问存储器(DRAM)和/或同步DRAM(SDRAM)存储单元,用于存储诸如端口访问实体(PAE)这样的软件应用240以及诸如路由选择表250、MAC过滤器500、IP过滤器1000之类的数据结构。网络操作***230的某些部分一般驻留于存储器220中并且被处理器212执行,它通过调用支持在中间节点上执行的软件进程的网络操作等来功能性地组织中间节点200。Cisco Systems,Inc.的IOSTM操作***是网络操作***230的一个示例。本领域的技术人员将会清楚,其他存储装置,包括各种计算机可读介质,可以被用于存储和执行与中间节点的操作有关的程序指令。
B.增强的基于端口的认证
根据示例性实施例,共享介质端口可以被划分成多个逻辑子接口。每个子接口专用于向客户端节点提供对各自的网络或子网的访问。此外,在示例性实施例中,在共享介质端口处采用了媒体访问控制(MAC)过滤器来确定哪些客户端节点被准予访问端口的每个逻辑子接口。本发明这个方面确保了即使在端口采用诸如802.1X认证这样的基于端口的网络访问控制的情况下,MAC过滤器也会按逐客户端的方式限制经由端口的子接口的网络访问。
图3示出中间节点200的共享介质端口300。共享介质端口被划分成两个示例性的逻辑子接口:受信子接口340和非受信子接口350.每个子接口与可以通过共享介质端口访问的不同的网络或子网相关联。例如,寻址到受信子接口340的通信被定向到企业VPN 155;寻址到非受信子接口350的通信被定向到因特网150。虽然只示出了两个逻辑子接口340和350,但是本领域的技术人员将会意识到共享介质端口300可以被划分成任意数目的不同的受信(即限于经授权的用户和设备)和非受信子接口。
每个逻辑子接口340和350与对应于其各自的网络或子网的不同网络配置相关联。更具体而言,子接口可以与使子接口彼此相区分的不同的IP地址空间(例如根据动态主机配置协议分配)、VLAN标识符等相关联。例如,如果在共享介质端口300处接收到的数据分组被寻址到企业网络160中的网络节点并且分组的发送者被授权访问所寻址的节点,则该分组可以与受信子接口340相关联。更一般而言,分组可以按各种方式与受信子接口相关联,这些方式例如是基于分组的目的地IP地址、分组的源MAC地址、接收分组的网络接口等等。如果分组不与受信子接口340相关联,则接受到的分组就与非受信子接口350相关联。
在示例性实施例中,共享介质端口300被配置成实现IEEE802.1X的基于端口的网络访问控制。如图所示,共享介质端口经由家庭LAN 140耦合到客户端节点110中的端口310。客户端节点执行与客户端节点端口310相关联的请求者PAE 320,中间节点200执行与共享介质端口300相关联的认证者PAE 330。当客户端节点尝试在共享介质端口处被认证以例如获得对受信子接口340的访问权限时,请求者PAE 320向认证者PAE330发送包含802.1X认证请求的数据分组400。该请求优选被格式化为基于LAN的EAP(EAPOL)的数据分组。
图4示出示例性EAPOL分组400的内容。该分组是传统的802.3以太网帧,其包括目的地MAC字段410、源MAC字段420、以太网类型字段430、数据部分480和循环冗余校验(CRC)字段490等。值得注意的是,该以太网帧还可以包括其他数据链路信息,例如链路层控制(LLC)和子网访问协议(SNAP)信息,这取决于家庭LAN 140的配置。
由于分组400从客户端节点端口310被发送到共享介质端口300,因此源MAC字段420存储客户端节点端口的MAC地址,而目的地MAC字段410存储共享介质端口的MAC地址。优选地,两个MAC地址都是唯一地标识与端口310和300相关联的网络接口的48位地址值。以太网类型字段430存储指示数据部分480中包含的数据的类型的值。例如,等于十六进制值0x888E的以太网类型字段可以指示数据部分480包括从一个PAE发送到另一个的EAP分组470。
数据部分480可以包括附在EAP分组470之前的附加的网络头部,例如IP头部440。IP头部包括目的地IP字段450和源IP字段460等等,其中目的地IP字段450和源IP字段460共同限定经过计算机网络的逻辑路径。具体而言,分组是在被分配以源IP地址440的第一网络节点处生成的,并且被寻址到被分配以目的地IP地址450的第二网络节点。在这种情况下,第一网络节点生成被转发到第二网络节点的EAP分组470。EAP分组可以包括标识相应的认证协议的认证请求,所述协议例如是询问握手认证协议(CHAP)、传输层安全性(TLS)、一次口令(OTP)等等。CRC字段490存储数据完整性校验值,该值可以用于在经由物理链路接收到分组之后检测和/或校正分组400中的差错。
一般,认证者PAE 330被配置成扫描在共享介质端口300处接收到数据分组以确定分组是否包含802.1X认证请求。例如,存储在以太网类型字段430中的预定的值(例如0x888E)可以将分组标识为802.1X请求。如果认证者PAE 330确定接收到的分组包含802.1X请求,则认证者PAE330可以从接收到的分组中提取EAP认证请求470,并且如果必要的话,还可以在将请求转发到诸如认证服务器180这样的适当的认证服务之前对其进行重格式化。虽然示例性认证服务器180位于企业网络160中,但是也可以设想认证者PAE可以将请求转发到位于企业网络“外部”的认证服务。在这种实施例中,认证者PAE 330可以经由因特网150而不是经由企业VPN 155路由EAP认证请求。
在接收到802.1X请求之后,认证服务器180与认证者PAE 330和请求者PAE 320协同工作,以确定客户端节点例如在受信子接口340处的认证状态。为此,认证服务器可以经由请求者和认证者PAE与客户端节点(或客户端节点处的用户)进行一系列询问-响应交换。作为说明,在认证过程结束时,认证服务器180将客户端节点分配到受信子接口处的三种可能的认证状态之一:已认证、未认证或未知。认证过程的结果被返回给认证者PAE 330。认证者PAE随后可以通知客户端节点其在受信子接口340处的认证状态。
共享介质端口300在与共享介质端口300相关联的MAC过滤器500中存储客户端节点的认证状态。MAC过滤器识别逻辑子接口340和350中的哪个(如果有的话)可以被客户端节点110访问以及客户端节点是否被认证以经由这些子接口通信。当EAPOL分组400最初在共享介质端口300处被接收到时,网络操作***230被配置成从分组的数据链路头部信息中解析分组的源MAC地址420。操作***还识别分组所寻址的子接口,该子接口例如由分组的VLAN标识符、目的地IP地址450等等所指示。然后解析出的MAC地址420及其所寻址的子接口被存储在MAC过滤器500中的适当的条目中。如果MAC过滤器尚未被创建在例如存储器220中,则网络操作***230可以被配置成响应于在共享介质端口处接收到分组400而“动态”地创建过滤器。
图5示出共享介质端口300处可以采用的示例性MAC过滤器500。MAC过滤器500存储客户端节点MAC地址510的列表,其中每个地址与各自的子接口520和认证状态530(例如已认证、未认证或未知)相关联。优选地,过滤器被组织成散列表。即,可以通过基于对解析出的MAC地址420应用散列函数(例如消息摘要5(MD5)函数)的结果来索引过滤器,从而来定位MAC过滤器500中的条目。MAC过滤器500示出两个示例性条目,其对应于具有分配到MAC地址MAC1和MAC2的网络接口的客户端节点110。如图所示,与MAC1和MAC2相关联的客户端节点被认证以经由受信子接口340通信。注意,由于客户端节点可以被授权以通过不止一个子接口进行通信,因此MAC过滤器500可以包含与相同的MAC地址510(例如MAC1或MAC2)相关联的多个条目。
在示例性实施例中,MAC过滤器500不存储与连接到AP 120的无线客户端节点110相对应的MAC地址510。具体而言,当至少一个连接到AP的客户端节点被认证以通过受信子接口340进行通信时,虽然其他连接到AP的客户端节点未被认证,但网络安全性也可能受到危害。因此,AP 120优选耦合到中间节点200中的端口260,而不是耦合到共享介质端口300。一般,AP 120实现其自己的安全性措施(例如网络访问控制),以确保未经授权的无线客户端节点无法通过AP访问家庭LAN 140。
有利地,网络操作***230可以使用MAC过滤器500,以实质上按逐客户端的方式将共享介质端口300从不受控状态切换到受控状态。具体而言,如果在端口300处接收到来自在分组所寻址的子接口处被认证的客户端节点的分组130,则端口300被设置到受控状态。否则共享介质端口被设置到不受控状态。例如,假定在不受控状态中,共享介质端口所接收的分组被定向到非受信子接口350,而在受控状态中,分组被定向到受信子接口340。在这种情况下,当在共享介质端口300处接收到分组400时,操作***230解析分组的源MAC地址420,并且索引MAC过滤器500中的适当条目。如果MAC过滤器条目指示分组的发送者在受信子接口340处被认证,则操作***将共享介质端口设置到受控状态。另一方面,如果发送者未被认证,则分组可以被丢弃,或者被重定向到在该处发送者被认证的子接口。如果发送者的认证状态未知,则分组优选被丢弃。
当在共享介质端口300处接收到随后的802.1X请求时,MAC过滤器500可以被动态地更新,以包括新的客户端节点MAC地址510和/或认证状态530。例如,如果从其认证状态尚未被记录在过滤器中的客户端节点接收到认证请求400,则新的MAC地址510和认证状态530可以被添加到MAC过滤器中。此外,存储在过滤器中的认证状态530可以由于重新认证客户端节点而被更新。即,在802.1X重新认证过程之后,认证服务器180可以确定客户端节点在受信子接口340处的认证状态已经改变,例如从已认证变为未认证,从而认证者PAE 330可以相应地修改MAC过滤器500。
作为说明,如果认证服务器180例如在受信子接口340处对客户端节点110的认证失败了预定多次(例如2次),则网络操作***230可经由企业VPN 155发送“警告”消息,以指示客户端节点可以正在尝试危害企业网络160的安全性。该警告也可以由其他事件触发,例如客户端节点的认证状态的改变,例如从已认证变为未认证。警告消息可以根据简单网络管理协议(SNMP)等来格式化。在SNMP警告消息的情况下,可能的安全性漏洞也可以被记录在802.1X管理信息库(MIB)中存储的安全性“对象”中,该802.1X管理信息库被实现在中间节点200处。在1999年4月发表的标题为“An Architecture for Describing SNMP ManagementFrameworks”的RFC 2571中更详细地描述了SNMP协议,这里通过引用将其结合进来,就好像在此处完整阐述了一样。响应于接收到警告消息,企业网络160中的网络节点可以实现增加的安全性措施,例如访问控制列表(ACL)、口令等等。
图6示出用于更新MAC过滤器500的内容的步骤序列。序列开始于步骤600处,并进行到步骤610,在该步骤中,在共享介质端口300处接收到802.1X认证请求。在这里,假定从未经授权的客户端节点110接收到的分组被定向到共享介质端口的非受信子接口350,而从经授权的客户端节点接收到的分组被定向到受信子接口340。因此,在共享介质端口300处接收到的802.1X请求隐含地对应于客户端节点对受信子接口340处的认证的请求。
在步骤620处,从802.1X请求中解析出客户端节点的MAC地址420,并将其存储在MAC过滤器500中的适当条目处。例如,可以基于对解析出的MAC地址420应用散列函数的结果来索引MAC过滤器条目。MAC过滤器条目还可以存储对客户端节点尝试在该处被认证的子接口(例如受信子接口340)的指示。接下来,在步骤630处,与共享介质端口300相关联的认证者PAE 330将接收到的认证请求转发到企业网络的认证服务器180。在执行预定的认证过程之后(例如客户端节点的802.1X请求中所指定的认证过程),认证服务器180将客户端节点的认证状态返回给认证者PAE 330。在步骤640处,认证者PAE将返回的认证状态存储在与客户端节点相关联的MAC过滤器条目中。序列结束于步骤650处。
图7是示出用于确定在共享介质端口300的逻辑子接口处接收到的分组130是否可以经由与子接口相关联的网络或子网被转发的步骤序列的流程图。序列开始于步骤700处,并且进行到步骤710,在该步骤中,在共享介质端口处接收到分组130。作为说明,如果接收到的分组包含企业网络160的分配的IP空间内的目的地IP地址450并且分组的目的地地址与其源MAC地址420形成有效的组合,则该分组与受信子接口340相关联。更具体而言,在步骤715处,如果IP地址和MAC地址被确定为有效组合,则序列前进到步骤720。否则,在步骤730处,分组被“丢弃”(即不被转发)或被重定向到不同的子接口;序列结束于步骤760处。例如,如果接收到的分组不与受信子接口340相关联,则分组可以与非受信子接口350相关联,并且经由因特网150被转发。
如果接收到的分组与受信子接口340相关联,则,在步骤720处,网络操作***230确定分组的源MAC地址420是否被存储在MAC过滤器500中。步骤730处,如果源MAC地址未被存储在过滤器500中,则分组被丢弃;然后,序列结束于步骤760处。或者,在步骤730处,分组可以被重定向到非受信子接口,并经由因特网150被转发。当在步骤720处MAC过滤器条目匹配源MAC地址420时,序列进行到步骤740,在该步骤中,操作***230基于匹配的MAC过滤器条目的内容来确定客户端节点是否被认证以经由受信子接口340进行通信。如果存储在匹配过滤器条目中的认证状态530指示客户端节点未在受信子接口处被认证,则序列返回步骤730。另一方面,如果客户端节点已被认证,则在步骤750处,接收到的分组经由企业VPN 155被转发。序列结束于步骤760处。
根据示例性实施例,中间节点200可以被配置成在从“外部”网络节点(即不位于家庭网络100中的网络节点)接收到的数据分组130被寻址到未被授权接收这些分组的客户端节点的情况下丢弃这些分组。例如,如果从企业VPN 155接收到的数据分组130被寻址到家庭网络100中的非企业客户端节点110,则中间节点200可以丢弃该分组。为此,中间节点可以存储一个或多个路由选择表250,这些路由选择表被配置成将某些客户端节点IP地址“绑定”到逻辑子接口。宽泛地说,网络操作***230被配置成基于例如存储在存储器220中的已知位置的适当的路由选择表250的内容来路由接收到的数据分组。如果路由选择表指示接收到的分组将要被路由到中间节点中的共享介质端口,则路由选择表250还可以指定分组被路由到的特定子接口。然后,与子接口相关联的MAC过滤器500可以被用于确定分组所寻址的客户端节点是否在子接口处被认证。如果是的话,则分组被转发到客户端节点。否则,分组被丢弃。
图8示出存储用于对在中间节点200处接收到的分组130进行路由的信息的示例性路由选择表条目800。条目800包含多个字段,它们分别存储IP地址810、端口820、子接口830、下一跳地址840和其他路由信息850等等。IP地址810是一般为32位长的值,它代表分配给特定网络节点的网络地址。端口820存储标识耦合到(直接地或间接地)被分配以IP地址810的节点的中间节点端口的值。如果端口820是共享介质端口,则子接口830可以存储指示在该共享介质端口处实现的逻辑子接口的值。下一跳地址840存储网络操作***230可以将接收到的分组130转发到的网络节点的IP地址。路由选择信息850存储可以辅助网络处理引擎210执行路由选择操作的其他信息,例如标志、老化信息、状态信息等等。
图9示出当在中间节点200处接收到例如来自因特网150的分组130时可以执行的步骤序列。在这里,假定接收到的分组被寻址到耦合到共享介质端口300的客户端节点110。序列开始于步骤900处,并且前进到步骤910,在该步骤中,在中间节点200处接收到分组。接下来,在步骤920处,网络操作***230定位分组的IP头部440中的目的地IP地址450。然后操作***定位适当的路由选择表250,该路由选择表例如位于存储器220中的已知位置处。操作***基于分组的目的地IP地址450的值索引路由选择表中的条目800。除其他以外,被索引出的条目还标识分组可以被路由到的端口820,并且还可以标识端口820处的特定子接口830。出于说明目的,假定端口820对应于共享介质端口300,并且子接口830对应于受信子接口340。
在步骤930处,网络操作***230定位与端口820(即共享介质端口300)相关联的MAC过滤器500。在步骤940处,网络操作***230还将目的地IP地址450映射到相应的客户端节点MAC地址。假定该映射尚未被存储在中间节点200中,操作***可以经由其网络接口广播地址解析协议(ARP)请求。作为响应,被分配以目的地IP地址450的客户端节点将其MAC地址返回给中间节点200。在1982年11月发表的标题为“Ethernet Address Resolution Protocol”的RFC 826中更详细地描述了ARP协议,这里通过引用将其结合进来,就好像在此处完整阐述了一样。但是,本领域的技术人员将会意识到,也可以利用其他技术来执行IP地址到MAC地址转换。
接下来,在步骤950处,从客户端节点接收到的MAC地址被散列,并且所得到的散列值被用于索引MAC过滤器500中的条目。如果无法定位到MAC过滤器中的匹配条目,则在步骤970处,分组在中间节点200处被丢弃,并且序列结束于步骤990处。或者,如果可能的话,分组130可以被重定向到共享介质端口上的更适当的子接口。但是,如果MAC过滤器500包含匹配接收到的MAC地址的条目,则在步骤960处,操作***230识别存储在MAC过滤器条目中的MAC地址的相应的认证状态530。在步骤980处,如果分组130所寻址的节点已被认证,则分组被转发到该节点。否则,在步骤970处,分组被丢弃或者被重新分类到更适当的子接口。序列结束于步骤990处。
此外,在该示例性实施例中,在共享介质端口300处可以采用IP过滤器1000。IP过滤器存储与连接到共享介质端口的客户端节点110相对应的IP地址的列表。可以以多种方式来组织IP过滤器,这些方式例如是散列表、链接的列表、基于树的结构等等。IP过滤器1000与MAC过滤器500协同工作,以实质上忽略MAC过滤器所规定的某些访问限制。即,虽然MAC过滤器一般不准许在不同子接口上认证的客户端节点彼此通信,但是IP过滤器却可能准许。结果,其IP地址被存储在IP过滤器中的客户端节点可以经由共享介质端口彼此通信,而不论MAC过滤器中存储的它们认证状态如何。
图10示出连接到共享介质端口300的企业客户端节点110和非企业客户端节点110。作为说明,从企业客户端节点发送的数据分组130被定向到受信子接口340。另一方面,非企业客户端节点将数据分组130传输到非受信子接口350。假定企业客户端节点(例如远程办公者)希望通过中间节点200中的共享介质端口300向非企业客户端节点(例如本地打印机)发送分组130。中间节点存储IP过滤器1000,该IP过滤器包含分配给被授权通过共享介质端口直接通信的客户端节点的IP地址的列表。当在中间节点200处接收到分组130时,网络操作***230确定该分组是否包含与存储在IP过滤器中的IP地址相匹配的目的地IP地址450。如果是的话,则操作***将分组转发到其所寻址的客户端节点,而不论存储在MAC过滤器500中的与分组相关联的认证状态530如何。
图11示出包括IP过滤器1000的共享介质端口300的示意性框图。当在共享介质端口处接收到分组130时,将分组的源MAC地址420与MAC过滤器500中的条目相比较。此外,可以将分组的目的地地址450与IP过滤器1000中的条目相比较。如果目的地地址450匹配IP过滤器中条目,则接收到的分组被转发到其所寻址的目的地节点,而不论存储在MAC过滤器中与源MAC地址420相关联的认证状态530如何。这样一来,IP过滤器1000可以忽略由MAC过滤器500施加的可能的网络访问限制。
图12示出用于转发在共享介质端口300处接收到的分组130的步骤序列。序列开始于步骤1200处,并且进行到步骤1210,在该步骤中,在共享介质端口中接收到来自家庭LAN 140中的第一客户端节点110的分组130。该分组可以包含源和目的地MAC地址410和420,以及源和目的地IP地址460和450。在示例性实施例中,如果接收到的分组的目的地IP地址450被包括在企业网络160的分配的IP空间中,并且其目的地IP地址与其源MAC地址420形成有效的组合,则该分组与受信子接口340相关联。具体而言,在步骤1215处,如果IP地址和MAC地址被确定为有效组合,则序列前进到步骤1220。否则,在步骤1250处,分组被“丢弃”(即不被转发)或被重定向到不同的子接口;序列结束于步骤1280处。例如,如果接收到的分组不与受信子接口340相关联,则分组可以与非受信子接口350相关联,并且经由因特网150被转发。
在步骤1220处,网络操作***230确定目的地IP地址450是否与存储在IP过滤器1000中的IP地址相匹配。如果是的话,则在步骤1230处分组被转发到家庭LAN 140中其所寻址的节点,并且序列结束于步骤1280处。如果在IP过滤器1000未定位到分组的目的地IP地址450,则序列前进到步骤1240。在步骤1240处,网络操作***230确定分组的源MAC地址420是否被存储在MAC过滤器500中。如果不是,则在步骤1250处分组被丢弃,并且序列结束于步骤1280处。或者,在步骤1250处,在适当时分组可以被重定向到非受信子接口并且经由因特网150被转发。如果MAC地址420与MAC过滤器500中的条目相匹配,则在步骤1260处,操作***230基于存储在匹配的MAC过滤器条目中的认证状态530来确定客户端节点是否被认证以经由受信子接口340进行通信。如果客户端节点未被认证,则序列返回步骤1250。否则,在步骤1270处,接收到的分组130经由企业VPN 155被转发。序列结束于步骤1280处。
C.结论
以上是对本发明的示例性实施例的详细描述。在不脱离本发明的精神和范围的情况下,可以进行各种修改和添加。例如,受信子接口340可以被配置成实现传统的分割隧道技术。因此,定向到受信子接口340的分组不仅可以通过企业VPN 155被路由,还可以被直接路由到因特网150。从而,分割隧道技术可以降低定向到网络160的网络流量的量,从而降低企业160的“网关”服务器处(例如中间节点195处)的带宽消耗。
虽然示例性实施例描述了共享介质端口300处的基于端口的网络访问控制技术,但是该技术可以更一般性地应用于任何在多个子接口处采用网络访问控制的端口。此外,虽然示例性实施例描述了共享介质端口处的单个MAC过滤器500,但是也可以设想,对于共享介质端口上每个逻辑子接口,可以有单独的MAC过滤器与其相关联。
可以明确地设想,本发明的教导可以实现为软件,包括具有在计算机上执行的程序指令的计算机可读介质、硬件、固件或其组合。因此,应当以示例的方式来理解这些描述,而不应当将其用于限制本发明的范围。
Claims (24)
1.一种用于实现中间节点的共享介质端口处的基于端口的网络访问控制的方法,所述共享介质端口耦合到多个客户端节点,所述方法包括:
将所述共享介质端口划分成多个逻辑子接口,每个逻辑子接口专用于提供对可通过所述中间节点访问的不同网络或子网的访问;
在所述共享介质端口处接收来自第一客户端节点的数据分组;
将接收到的数据分组与所述多个逻辑子接口中的第一逻辑子接口相关联;
确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信;以及
如果确定所述第一客户端节点被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,则经由所述第一逻辑子接口的专用网络或子网转发所述接收到的数据分组。
2.根据权利要求1所述的方法,还包括:
如果确定所述第一客户端节点未被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,则执行至少以下之一:丢弃所述接收到的数据分组或将所述接收到的数据分组重新分类到不同的逻辑子接口。
3.根据权利要求1所述的方法,其中所述第一逻辑子接口的专用网络或子网是虚拟专用网络(VPN)。
4.根据权利要求1所述的方法,其中所述多个逻辑子接口中的逻辑子接口专用于提供对因特网的访问。
5.根据权利要求1所述的方法,其中所述确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信的步骤还包括:
从所述接收到的数据分组中解析出源媒体访问控制(MAC)地址;
基于所述解析出的源MAC地址的值索引与所述共享介质端口相关联的MAC过滤器中的条目;
识别存储在被索引出的MAC过滤器条目中的认证状态;以及
基于存储在所述被索引出的MAC过滤器条目中的所述认证状态确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信。
6.根据权利要求5所述的方法,其中所述MAC过滤器被组织成散列表。
7.根据权利要求1所述的方法,还包括:
从所述接收到的数据分组中解析出目的地因特网协议(IP)地址;
将解析出的目的地IP地址与存储在与所述共享介质端口相关联的IP过滤器中的一个或多个IP地址相比较;以及
如果所述解析出的目的地IP地址与存储在所述IP过滤器中的IP地址相匹配,则即使确定所述第一客户端节点未被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,也经由所述网络或子网转发所述接收到的数据分组。
8.根据权利要求1所述的方法,其中所述将接收到的数据分组与所述第一逻辑子接口相关联的步骤还包括:
定位被配置成存储路由选择信息的路由选择表中与所述接收到的数据分组相关联的条目;以及
基于所述路由选择表条目的内容将所述接收到的数据分组与所述第一逻辑子接口相关联。
9.根据权利要求1所述的方法,还包括:
在所述共享介质端口处接收来自所述第一客户端节点的认证请求;
响应于接收到所述认证请求,如果与所述共享介质端口相关联的MAC过滤器尚未被创建,则创建该MAC过滤器;
将存储在接收到的认证请求中的源MAC地址复制到所述MAC过滤器中的适当条目中;
将所述接收到的认证请求转发到认证服务;
接收来自所述认证服务的响应,该响应标识与所述第一客户端节点相关联的认证状态;以及
将所述认证状态存储到与所述源MAC地址被复制到其中的MAC过滤器条目相同的MAC过滤器条目中。
10.根据权利要求9所述的方法,其中所述将源MAC地址复制到适当的MAC过滤器条目中的步骤还包括:
基于对所述源MAC地址应用散列函数的结果索引所述MAC过滤器中的条目;以及
将所述源MAC地址存储在被索引出的MAC过滤器条目中。
11.根据权利要求9所述的方法,其中所述接收到的认证请求是802.1X认证请求。
12.根据权利要求9所述的方法,还包括:
在所述第一客户端节点在所述共享介质端口处进行的认证失败预定次数之后,经由所述第一逻辑子接口的专用网络或子网发送警告消息。
13.根据权利要求9所述的方法,还包括:
在所述第一客户端节点的认证状态从已认证状态变为未认证状态或未知状态之后,经由所述第一逻辑子接口的专用网络或子网发送警告消息。
14.一种用于实现包含多个客户端节点的网络中的基于端口的网络访问控制的中间节点,该中间节点包括:
处理器;
共享介质端口,其用于接收来自所述多个客户端节点中的第一客户端节点的数据分组;以及
存储器,其适合于存储供所述处理器执行的指令,所述指令中的至少一部分限定被配置成执行以下步骤的网络操作***:
将所述共享介质端口划分成多个逻辑子接口,每个逻辑子接口专用于提供对可通过所述中间节点访问的不同网络或子网的访问;
将从所述第一客户端节点接收到的数据分组与所述多个逻辑子接口中的第一逻辑子接口相关联;
确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口向其提供专用访问的网络或子网进行通信;以及
如果确定所述第一客户端节点被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,则经由所述网络或子网转发所述接收到的数据分组。
15.根据权利要求14所述的中间节点,其中:
所述存储器还适合于存储包含一个或多个条目的MAC过滤器,所述条目被配置成至少存储MAC地址和认证状态,并且
所述网络操作***还被配置成执行以下步骤:
在所述共享介质端口处接收来自所述第一客户端节点的认证请求;
将存储在接收到的认证请求中的源MAC地址复制到所述MAC过滤器中的适当条目中;
将所述接收到的认证请求转发到认证服务;
接收来自所述认证服务的响应,该响应标识与所述第一客户端节点相关联的认证状态;以及
将所述认证状态存储到与所述源MAC地址被复制到其中的MAC过滤器条目相同的MAC过滤器条目中。
16.根据权利要求14所述的中间节点,其中:
所述存储器还适合于存储包含IP地址列表的IP过滤器,并且
所述网络操作***还被配置成执行以下步骤:
从所述接收到的数据分组中解析出目的地IP地址;
将解析出的目的地IP地址与存储在与所述共享介质端口相关联的IP过滤器中的一个或多个IP地址相比较;以及
如果所述解析出的目的地IP地址与存储在所述IP过滤器中的IP地址相匹配,则即使确定所述第一客户端节点未被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,也经由所述网络或子网转发所述接收到的数据分组。
17.根据权利要求14所述的中间节点,其中:
所述存储器还适合于存储包含一个或多个条目的MAC过滤器,所述条目被配置成至少存储MAC地址和认证状态,并且
所述网络操作***还被配置成执行以下步骤:
从所述接收到的数据分组中解析出源MAC地址;
基于所述解析出的源MAC地址的值索引与所述共享介质端口相关联的MAC过滤器中的条目;
识别存储在被索引出的MAC过滤器条目中的认证状态;以及
基于存储在所述被索引出的MAC过滤器条目中的所述认证状态确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信。
18.一种实现共享介质端口处的基于端口的网络访问控制的装置,所述共享介质端口耦合到多个客户端节点,所述装置包括:
用于将所述共享介质端口划分成多个逻辑子接口的装置,每个逻辑子接口专用于提供对可通过所述中间节点访问的不同网络或子网的访问;
用于在所述共享介质端口处接收来自第一客户端节点的数据分组的装置;
用于将接收到的数据分组与所述多个逻辑子接口中的第一逻辑子接口相关联的装置;
用于确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信的装置;以及
用于经由所述第一逻辑子接口的专用网络或子网转发所述接收到的数据分组的装置。
19.根据权利要求18所述的装置,其中所述用于确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信的装置还包括:
用于从所述接收到的数据分组中解析出源MAC地址的装置;
用于基于所述解析出的源MAC地址的值索引与所述共享介质端口相关联的MAC过滤器中的条目的装置;
用于识别存储在被索引出的MAC过滤器条目中的认证状态的装置;以及
用于基于存储在所述被索引出的MAC过滤器条目中的所述认证状态确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信的装置。
20.根据权利要求18所述的装置,还包括:
用于从所述接收到的数据分组中解析出目的地IP地址的装置;
用于将解析出的目的地IP地址与存储在与所述共享介质端口相关联的IP过滤器中的一个或多个IP地址相比较的装置;以及
用于即使在确定所述第一客户端节点未被认证以经由所述第一逻辑子接口的专用网络或子网进行通信的情况下,也经由所述网络或子网转发所述接收到的数据分组的装置。
21.根据权利要求18所述的装置,其中所述用于将接收到的数据分组与所述第一逻辑子接口相关联的装置还包括:
用于定位被配置成存储路由选择信息的路由选择表中与所述接收到的数据分组相关联的条目的装置;以及
用于基于所述路由选择表条目的内容将所述接收到的数据分组与所述第一逻辑子接口相关联的装置。
22.根据权利要求18所述的装置,还包括:
用于在所述共享介质端口处接收来自所述第一客户端节点的认证请求的装置;
用于在与所述共享介质端口相关联的MAC过滤器尚未被创建的情况下创建该MAC过滤器的装置;
用于将存储在接收到的认证请求中的源MAC地址复制到所述MAC过滤器中的适当条目中的装置;
用于将所述接收到的认证请求转发到认证服务的装置;
用于接收来自所述认证服务的响应的装置,该响应标识与所述第一客户端节点相关联的认证状态;以及
用于将所述认证状态存储到与所述源MAC地址被复制到其中的MAC过滤器条目相同的MAC过滤器条目中的装置。
23.根据权利要求22所述的装置,其中所述接收到的认证请求是802.1X认证请求。
24.一种计算机可读介质,包括供处理器执行的指令,所述指令用于一种实现中间节点中的共享介质端口处的基于端口的网络访问控制的方法,所述共享介质端口耦合到多个客户端节点,所述方法包括以下步骤:
将所述共享介质端口划分成多个逻辑子接口,每个逻辑子接口专用于提供对可通过所述中间节点访问的不同网络或子网的访问;
在所述共享介质端口处接收来自第一客户端节点的数据分组;
将接收到的数据分组与所述多个逻辑子接口中的第一逻辑子接口相关联;
确定所述第一客户端节点是否被认证以经由所述第一逻辑子接口的专用网络或子网进行通信;以及
如果确定所述第一客户端节点被认证以经由所述第一逻辑子接口的专用网络或子网进行通信,则经由所述第一逻辑子接口的专用网络或子网转发所述接收到的数据分组。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/728,302 US7624431B2 (en) | 2003-12-04 | 2003-12-04 | 802.1X authentication technique for shared media |
| US10/728,302 | 2003-12-04 | ||
| PCT/US2004/039903 WO2005057827A2 (en) | 2003-12-04 | 2004-11-30 | 802.1x authentication technique for share media |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101128796A true CN101128796A (zh) | 2008-02-20 |
| CN100594476C CN100594476C (zh) | 2010-03-17 |
Family
ID=34633677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200480033008A Expired - Fee Related CN100594476C (zh) | 2003-12-04 | 2004-11-30 | 用于实现基于端口的网络访问控制的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7624431B2 (zh) |
| EP (1) | EP1690356B1 (zh) |
| CN (1) | CN100594476C (zh) |
| AU (1) | AU2004297941A1 (zh) |
| CA (1) | CA2546503A1 (zh) |
| WO (1) | WO2005057827A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102939737A (zh) * | 2010-04-12 | 2013-02-20 | 高通创锐讯有限公司 | 用于在网络中进行低开销通信的转发 |
| CN103581202A (zh) * | 2013-11-19 | 2014-02-12 | 上海众人网络安全技术有限公司 | 基于身份认证平台的商户令牌交叉认证方法 |
| CN104247545A (zh) * | 2012-01-16 | 2014-12-24 | 新加坡科技研究局 | 无线通信***以及用于控制无线通信***的方法 |
| CN110311929A (zh) * | 2019-08-01 | 2019-10-08 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
Families Citing this family (101)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8708826B2 (en) * | 2001-09-28 | 2014-04-29 | Bally Gaming, Inc. | Controlled access switch |
| US20070111799A1 (en) * | 2001-09-28 | 2007-05-17 | Robb Harold K | Controlled access switch |
| US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| ES2228266B1 (es) * | 2003-07-28 | 2006-06-01 | Diseño De Sistemas En Silicio, S.A. | Procedimiento de conmutacion de paquetes en un medio de transmision con multiples estaciones conectadas mediante distintos enlaces. |
| US7876772B2 (en) | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
| US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
| US7836490B2 (en) | 2003-10-29 | 2010-11-16 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
| US8528071B1 (en) * | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
| US7733856B2 (en) * | 2004-07-15 | 2010-06-08 | Alcatel-Lucent Usa Inc. | Obtaining path information related to a virtual private LAN services (VPLS) based network |
| US20090043765A1 (en) * | 2004-08-20 | 2009-02-12 | Rhoderick John Kennedy Pugh | Server authentication |
| US7647492B2 (en) * | 2004-09-15 | 2010-01-12 | Check Point Software Technologies Inc. | Architecture for routing and IPSec integration |
| US7930741B2 (en) * | 2004-09-16 | 2011-04-19 | Alcatel Lucent | System and method for securing an ethernet connectivity fault management (CFM) domain defined on a VLAN |
| US7660259B1 (en) * | 2004-10-20 | 2010-02-09 | Extreme Networks, Inc. | Methods and systems for hybrid hardware- and software-base media access control (MAC) address learning |
| US7669244B2 (en) * | 2004-10-21 | 2010-02-23 | Cisco Technology, Inc. | Method and system for generating user group permission lists |
| US7877796B2 (en) | 2004-11-16 | 2011-01-25 | Cisco Technology, Inc. | Method and apparatus for best effort propagation of security group information |
| US7721323B2 (en) | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
| US7886145B2 (en) | 2004-11-23 | 2011-02-08 | Cisco Technology, Inc. | Method and system for including security information with a packet |
| US7827402B2 (en) | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
| US9525666B2 (en) * | 2005-01-31 | 2016-12-20 | Unisys Corporation | Methods and systems for managing concurrent unsecured and cryptographically secure communications across unsecured networks |
| JP2007005847A (ja) * | 2005-06-21 | 2007-01-11 | Alaxala Networks Corp | ネットワークにおけるデータ伝送制御 |
| US7733906B2 (en) * | 2005-06-30 | 2010-06-08 | Intel Corporation | Methodology for network port security |
| US20070002833A1 (en) * | 2005-06-30 | 2007-01-04 | Symbol Technologies, Inc. | Method, system and apparatus for assigning and managing IP addresses for wireless clients in wireless local area networks (WLANs) |
| US7787477B2 (en) * | 2005-07-11 | 2010-08-31 | Mks Instruments, Inc. | Address-transparent device and method |
| WO2007016436A2 (en) * | 2005-07-29 | 2007-02-08 | Identity Engines, Inc. | Segmented network identity management |
| US8418233B1 (en) * | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
| US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
| FR2889899B1 (fr) * | 2005-08-17 | 2007-09-28 | Alcatel Sa | Dispositif de controle de mise en oeuvre de fonction(s) au sein d'un equipement de service d'un coeur de reseau de communication internet |
| US20080220879A1 (en) * | 2005-09-07 | 2008-09-11 | Bally Gaming, Inc. | Trusted Cabinet Identification Method |
| US8166175B2 (en) * | 2005-09-12 | 2012-04-24 | Microsoft Corporation | Sharing a port with multiple processes |
| DE102005046742B4 (de) * | 2005-09-29 | 2007-08-16 | Siemens Ag | Zugangselement und Verfahren zur Zugangskontrolle eines Netzelements |
| US7873993B2 (en) * | 2005-11-09 | 2011-01-18 | Cisco Technology, Inc. | Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation |
| US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
| US7796590B1 (en) * | 2006-02-01 | 2010-09-14 | Marvell Israel (M.I.S.L.) Ltd. | Secure automatic learning in ethernet bridges |
| US11405846B2 (en) | 2006-03-02 | 2022-08-02 | Tango Networks, Inc. | Call flow system and method for use in a legacy telecommunication system |
| US8023479B2 (en) * | 2006-03-02 | 2011-09-20 | Tango Networks, Inc. | Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks |
| US7843901B2 (en) | 2006-03-02 | 2010-11-30 | Tango Networks, Inc. | Call flow system and method for use in a legacy telecommunication system |
| US7890096B2 (en) | 2006-03-02 | 2011-02-15 | Tango Networks, Inc. | System and method for enabling call originations using SMS and hotline capabilities |
| US9674869B2 (en) * | 2006-03-20 | 2017-06-06 | Qualcomm Incorporated | Apparatus and method for fast access in a wireless communication system |
| US20070237088A1 (en) * | 2006-04-05 | 2007-10-11 | Honeywell International. Inc | Apparatus and method for providing network security |
| US20070255861A1 (en) * | 2006-04-27 | 2007-11-01 | Kain Michael T | System and method for providing dynamic network firewall with default deny |
| US9294477B1 (en) * | 2006-05-04 | 2016-03-22 | Sprint Communications Company L.P. | Media access control address security |
| US8108692B1 (en) | 2006-06-27 | 2012-01-31 | Siliconsystems, Inc. | Solid-state storage subsystem security solution |
| US9491599B2 (en) | 2006-06-29 | 2016-11-08 | At&T Mobility Ii Llc | Systems and methods for providing wireless account feature notifications to mobile communication devices |
| US7606554B1 (en) * | 2006-06-29 | 2009-10-20 | At&T Mobility Ii Llc | Systems for providing wireless account feature notifications to mobile communication devices |
| US7870600B2 (en) * | 2006-08-25 | 2011-01-11 | Cisco Technology, Inc. | Apparatus and method for secure configuration of shared powerline devices |
| CN100591011C (zh) * | 2006-08-31 | 2010-02-17 | 华为技术有限公司 | 一种认证方法及*** |
| US8289976B2 (en) * | 2006-09-28 | 2012-10-16 | Packetfront Network Products Ab | Method for automatically providing a customer equipment with the correct service |
| US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
| US8316430B2 (en) * | 2006-10-06 | 2012-11-20 | Ricoh Company, Ltd. | Preventing network traffic blocking during port-based authentication |
| US8418241B2 (en) | 2006-11-14 | 2013-04-09 | Broadcom Corporation | Method and system for traffic engineering in secured networks |
| US8763088B2 (en) | 2006-12-13 | 2014-06-24 | Rockstar Consortium Us Lp | Distributed authentication, authorization and accounting |
| DE102006059654A1 (de) * | 2006-12-18 | 2008-06-19 | Müller Martini Holding AG | Vorrichtung zum Herstellen von Druckerzeugnissen und Verfahren zur Steuerung ihrer Antriebe |
| EP2103075A1 (en) * | 2006-12-22 | 2009-09-23 | Telefonaktiebolaget LM Ericsson (PUBL) | Preventing spoofing |
| CN104917751B (zh) * | 2006-12-22 | 2019-06-04 | 艾利森电话股份有限公司 | 电子欺骗的防止 |
| US20080184332A1 (en) * | 2007-01-31 | 2008-07-31 | Motorola, Inc. | Method and device for dual authentication of a networking device and a supplicant device |
| US9497028B1 (en) | 2007-05-03 | 2016-11-15 | Google Inc. | System and method for remote storage auditing |
| US7840708B2 (en) * | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
| US20090228963A1 (en) * | 2007-11-26 | 2009-09-10 | Nortel Networks Limited | Context-based network security |
| US8856387B2 (en) * | 2008-04-24 | 2014-10-07 | Qualcomm Incorporated | Local IP access scheme |
| US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
| US8270417B2 (en) * | 2008-06-04 | 2012-09-18 | Telefonaktiebolaget L M Ericsson (Publ) | Access network node and method for access network node |
| JP5261502B2 (ja) * | 2008-12-12 | 2013-08-14 | パナソニック株式会社 | 通信ネットワークシステム |
| WO2010127610A1 (zh) * | 2009-05-04 | 2010-11-11 | 成都市华为赛门铁克科技有限公司 | 一种虚拟专用网节点信息的处理方法、设备及*** |
| US8356184B1 (en) * | 2009-06-25 | 2013-01-15 | Western Digital Technologies, Inc. | Data storage device comprising a secure processor for maintaining plaintext access to an LBA table |
| JP5398410B2 (ja) * | 2009-08-10 | 2014-01-29 | アラクサラネットワークス株式会社 | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム |
| JP5372711B2 (ja) * | 2009-11-13 | 2013-12-18 | アラクサラネットワークス株式会社 | 複数認証サーバを有効利用する装置、システム |
| TWI413375B (zh) * | 2010-03-04 | 2013-10-21 | Gemtek Technology Co Ltd | 路由裝置及相關的控制電路 |
| US8230071B1 (en) * | 2010-06-28 | 2012-07-24 | Ncircle Network Security, Inc. | Network services platform |
| US8904511B1 (en) * | 2010-08-23 | 2014-12-02 | Amazon Technologies, Inc. | Virtual firewalls for multi-tenant distributed services |
| US9031072B2 (en) * | 2010-12-22 | 2015-05-12 | Juniper Networks, Inc. | Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCOE-to-FC gateway |
| US8798046B2 (en) * | 2010-12-22 | 2014-08-05 | Juniper Networks, Inc. | Methods and apparatus for providing unique MAC address to individual node for fibre channel over Ethernet (FCoE) traffic |
| US9608939B2 (en) | 2010-12-22 | 2017-03-28 | Juniper Networks, Inc. | Methods and apparatus to reduce forwarding state on an FCoE-to-FC gateway using port-specific MAC addresses |
| US8767526B1 (en) | 2010-12-27 | 2014-07-01 | Juniper Networks, Inc. | Supplicant framework to handle clientless devices on a dot1x platform |
| WO2012122217A2 (en) * | 2011-03-07 | 2012-09-13 | Adtran, Inc. | Method and apparatus for network access control |
| US8661522B2 (en) * | 2011-07-28 | 2014-02-25 | Arbor Networks, Inc. | Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack |
| US8774187B2 (en) * | 2011-10-24 | 2014-07-08 | Richard L. Hartman | Methods, systems, and devices for interfacing to networks |
| US9305142B1 (en) | 2011-12-19 | 2016-04-05 | Western Digital Technologies, Inc. | Buffer memory protection unit |
| US10104060B2 (en) * | 2013-01-30 | 2018-10-16 | Hewlett Packard Enterprise Development Lp | Authenticating applications to a network service |
| JP6144934B2 (ja) * | 2013-03-15 | 2017-06-07 | キヤノン株式会社 | 印刷装置、その制御方法、及びプログラム |
| CN103634190B (zh) * | 2013-10-31 | 2018-09-28 | 上海斐讯数据通信技术有限公司 | 一种以太网口数据包带vlan id的方法 |
| US9602505B1 (en) * | 2014-04-30 | 2017-03-21 | Symantec Corporation | Dynamic access control |
| US9930049B2 (en) * | 2015-01-16 | 2018-03-27 | Cisco Technology, Inc. | Method and apparatus for verifying source addresses in a communication network |
| FR3037751A1 (fr) * | 2015-06-18 | 2016-12-23 | Orange | Composant materiel et procede d'acces d'un terminal distant a un reseau local, passerelle de service, procede d'autorisation d'acces et programme d'ordinateur correspondants |
| CN105391733B (zh) * | 2015-12-09 | 2018-08-03 | 福建星网锐捷网络有限公司 | 一种802.1x认证用户迁移防攻击的方法和*** |
| US10231108B2 (en) | 2015-12-11 | 2019-03-12 | Google Llc | Virtual addressing for mesh networks |
| US10397196B2 (en) | 2017-02-28 | 2019-08-27 | Cyber 2.0 (2015) Ltd. | Port-scrambling-based networks |
| US10673581B2 (en) * | 2016-04-11 | 2020-06-02 | Enyx Sa | Low latency packet recovery |
| US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
| US10735387B2 (en) * | 2017-05-11 | 2020-08-04 | Unisys Corporation | Secured network bridge |
| US11153078B2 (en) | 2018-01-16 | 2021-10-19 | Raytheon Company | Extensible system for authenticated and protected key agreement in large mesh layer 2 ethernet networks |
| US11088829B2 (en) | 2018-09-04 | 2021-08-10 | International Business Machines Corporation | Securing a path at a node |
| US11038671B2 (en) * | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Shared key processing by a storage device to secure links |
| US10833856B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Automatic re-authentication of links using a key server |
| US10833860B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Shared key processing by a host to secure links |
| US11038698B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Securing a path at a selected node |
| US11991273B2 (en) | 2018-09-04 | 2024-05-21 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US10764291B2 (en) | 2018-09-04 | 2020-09-01 | International Business Machines Corporation | Controlling access between nodes by a key server |
| US11025413B2 (en) * | 2018-09-04 | 2021-06-01 | International Business Machines Corporation | Securing a storage network using key server authentication |
| JP7234726B2 (ja) * | 2019-03-20 | 2023-03-08 | 富士フイルムビジネスイノベーション株式会社 | 通信装置、通信システム、及びプログラム |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6891819B1 (en) * | 1997-09-05 | 2005-05-10 | Kabushiki Kaisha Toshiba | Mobile IP communications scheme incorporating individual user authentication |
| ES2258134T3 (es) * | 2002-01-18 | 2006-08-16 | Nokia Corporation | Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones. |
| US6892309B2 (en) * | 2002-02-08 | 2005-05-10 | Enterasys Networks, Inc. | Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user |
| US6990592B2 (en) * | 2002-02-08 | 2006-01-24 | Enterasys Networks, Inc. | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users |
| US7295556B2 (en) * | 2002-03-01 | 2007-11-13 | Enterasys Networks, Inc. | Location discovery in a data network |
| CN1214597C (zh) * | 2002-03-26 | 2005-08-10 | 华为技术有限公司 | 基于802.1x协议的网络接入设备与客户端握手的实现方法 |
| AU2003230389A1 (en) | 2002-05-13 | 2003-11-11 | Thomson Licensing S.A. | Seamless public wireless local area network user authentication |
| CN100477610C (zh) * | 2002-09-20 | 2009-04-08 | 松下电器产业株式会社 | 在连接多个数据通信网络的中间网络元件处的接入控制 |
| JP3697437B2 (ja) * | 2002-10-10 | 2005-09-21 | 株式会社東芝 | ネットワークシステムおよびネットワークシステムの構築方法 |
| WO2004036391A2 (en) * | 2002-10-17 | 2004-04-29 | Enterasys Networks, Inc. | System and method for ieee 802.1x user authentication in a network entry device |
| CN100341305C (zh) * | 2002-11-26 | 2007-10-03 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| US7752320B2 (en) * | 2003-11-25 | 2010-07-06 | Avaya Inc. | Method and apparatus for content based authentication for network access |
-
2003
- 2003-12-04 US US10/728,302 patent/US7624431B2/en active Active
-
2004
- 2004-11-30 AU AU2004297941A patent/AU2004297941A1/en not_active Abandoned
- 2004-11-30 EP EP04812434.1A patent/EP1690356B1/en active Active
- 2004-11-30 CN CN200480033008A patent/CN100594476C/zh not_active Expired - Fee Related
- 2004-11-30 WO PCT/US2004/039903 patent/WO2005057827A2/en active Application Filing
- 2004-11-30 CA CA002546503A patent/CA2546503A1/en not_active Abandoned
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102939737A (zh) * | 2010-04-12 | 2013-02-20 | 高通创锐讯有限公司 | 用于在网络中进行低开销通信的转发 |
| US9001909B2 (en) | 2010-04-12 | 2015-04-07 | Qualcomm Incorporated | Channel estimation for low-overhead communication in a network |
| CN102939737B (zh) * | 2010-04-12 | 2015-10-21 | 高通股份有限公司 | 用于在网络中进行低开销通信的转发 |
| US9295100B2 (en) | 2010-04-12 | 2016-03-22 | Qualcomm Incorporated | Delayed acknowledgements for low-overhead communication in a network |
| US9326316B2 (en) | 2010-04-12 | 2016-04-26 | Qualcomm Incorporated | Repeating for low-overhead communication in a network |
| US9326317B2 (en) | 2010-04-12 | 2016-04-26 | Qualcomm Incorporated | Detecting delimiters for low-overhead communication in a network |
| CN104247545A (zh) * | 2012-01-16 | 2014-12-24 | 新加坡科技研究局 | 无线通信***以及用于控制无线通信***的方法 |
| CN104247545B (zh) * | 2012-01-16 | 2019-04-16 | 新加坡科技研究局 | 节点、接入点和无线通信***以及用于控制其的方法 |
| CN103581202A (zh) * | 2013-11-19 | 2014-02-12 | 上海众人网络安全技术有限公司 | 基于身份认证平台的商户令牌交叉认证方法 |
| CN103581202B (zh) * | 2013-11-19 | 2016-06-01 | 上海众人网络安全技术有限公司 | 基于身份认证平台的商户令牌交叉认证方法 |
| CN110311929A (zh) * | 2019-08-01 | 2019-10-08 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
| CN110311929B (zh) * | 2019-08-01 | 2022-01-07 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005057827A3 (en) | 2007-08-02 |
| EP1690356A4 (en) | 2013-12-25 |
| US7624431B2 (en) | 2009-11-24 |
| WO2005057827A2 (en) | 2005-06-23 |
| CA2546503A1 (en) | 2005-06-23 |
| AU2004297941A1 (en) | 2005-06-23 |
| US20050125692A1 (en) | 2005-06-09 |
| CN100594476C (zh) | 2010-03-17 |
| EP1690356A2 (en) | 2006-08-16 |
| EP1690356B1 (en) | 2015-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| JP4190421B2 (ja) | パーソナル仮想ブリッジ・ローカル・エリア・ネットワーク | |
| EP2624525B1 (en) | Method, apparatus and virtual private network system for issuing routing information | |
| US7447166B1 (en) | Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains | |
| EP3267653B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
| EP1878169B1 (en) | Operator shop selection in broadband access related application | |
| JP6884818B2 (ja) | Vxlan実装方法、ネットワークデバイス、および通信システム | |
| CN1722661B (zh) | 认证***、网络线路级联器和认证方法 | |
| US20140075505A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| US20040213237A1 (en) | Network authentication apparatus and network authentication system | |
| US20070127500A1 (en) | System, device, method and software for providing a visitor access to a public network | |
| JP2005513915A6 (ja) | パーソナル仮想ブリッジ・ローカル・エリア・ネットワーク | |
| JP2005252717A (ja) | ネットワーク管理方法及びネットワーク管理サーバ | |
| US8400990B1 (en) | Global service set identifiers | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和*** | |
| US20120054830A1 (en) | Network Relay Device and Relay Control Method of Received Frames | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| CN108667832A (zh) | 基于配置信息的认证方法、服务器、交换机和存储介质 | |
| JP2005086656A (ja) | 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 | |
| CN115567440A (zh) | 局域网间通信的实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100317 |