CN101917398A - 一种客户端访问权限控制方法及设备 - Google Patents
一种客户端访问权限控制方法及设备 Download PDFInfo
- Publication number
- CN101917398A CN101917398A CN 201010221068 CN201010221068A CN101917398A CN 101917398 A CN101917398 A CN 101917398A CN 201010221068 CN201010221068 CN 201010221068 CN 201010221068 A CN201010221068 A CN 201010221068A CN 101917398 A CN101917398 A CN 101917398A
- Authority
- CN
- China
- Prior art keywords
- client
- address
- message
- request message
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种客户端访问权限控制方法及设备,认证设备向客户端发送第一EAP身份请求报文;认证设备接收客户端发送的第一EAP身份响应报文;认证设备将接收到的第一EAP身份响应报文封装在第一RADIUS接入请求报文中发送至认证服务器,认证服务器接收认证设备发送过来的第一RADIUS接入请求报文,解封装该第一RADIUS接入请求报文中的第一EAP身份响应报文,获取客户端的用户名和IP地址,并根据获取到的客户端的用户名和IP地址,对该客户端的访问权限进行控制,本发明在802.1x认证***中实现了对客户端访问权限的控制。
Description
技术领域
本发明涉及802.1x网络认证领域,尤其涉及一种客户端访问权限控制方法及设备。
背景技术
802.1x协议是美国电气和电子工程师学会(Institute of Electrical andElectronic Engineers,IEEE)802委员会制定的局域网(Local Area Network,LAN)标准中的一个。802.1x协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;否则,无法访问局域网中的资源。
802.1x认证***为典型的客户端/服务器结构,图1给出了802.1x认证***的体系结构,如图1所示,该体系中包括三个设备实体:客户端、认证设备和认证服务器。
客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持局域网可扩展认证协议(Extensible Authentication Protocol over LAN,EAPOL)。
认证设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
认证服务器是为认证设备提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费,通常为远程认证拨号用户服务(Remote Authentication Dial-In User Service,RADIUS)服务器。
802.1x认证过程可以由客户端主动发起,也可以由认证设备端发起。
802.1x认证***支持可扩展认证协议EAP中继方式和EAP终结方式与远程RADIUS服务器交互完成认证。
EAP中继方式是IEEE802.1x标准规定的,将EAP承载在其他高层协议中,如EAP over Radius,以便扩展认证协议报文穿越复杂的网络到达RADIUS服务器。EAP中继方式包括下述四种:EAP-信息摘要(Message Digest,MD)5、EAP-传输层安全(Transport Layer Security,TLS)、EAP-隧道传输层安全(Tunneled Transport Layer Security,TTLS)和受保护的扩展认证协议(ProtectedExtensible Authentication Protocol,PEAP)。
图2为现有IEEE 802.1x认证***采用可扩展认证协议(ExtensibleAuthentication Protocol,EAP)-信息摘要(Message Digest,MD)5方式对客户端认证的流程图,EAP-MD5方式指的是RADIUS服务器发送MD5加密字给客户端,客户端用该加密字对口令部分进行加密处理的验证客户端身份的方式,本流程以客户端发起的认证为例,如图2所示,其具体步骤如下:
1、当用户有访问网络需求时,打开802.1x客户端程序,输入已经申请、登记过的用户名和密码,该用户使用的客户端发起EAPOL开始(EAPOL-Start)报文,启动认证过程。
2、认证设备端收到EAPOL-Start报文后,发出EAP身份请求(EAP-Request/Identity)报文,要求客户端发送输入的用户名。
3、客户端接收到EAP-Request/Identity报文,将用户名通过EAP身份响应(EAP-Response/Identity)报文发送给认证设备;认证设备将EAP-Response/Identity数据包封装在RADIUS接入请求(RADIUS Access-Request)报文中发送给RADIUS服务器。
4、RADIUS服务器收到设备端转发的用户名后,将该用户名与数据库中的用户名对比,找到该用户对应的密码,用随机生成的一个加密字对该密码进行加密处理,同时将该加密字通过RADIUS接入挑战(RADIUSAccess-Challenge)报文发送给认证设备,认证设备将该加密字通过RADIUSMD5挑战请求(EAP-Request/MD5 Challenge)报文转发给客户端。
5、客户端收到由认证设备传来的加密字后,用该加密字对密码进行加密处理,将加密的密码通过EAP MD5挑战响应(EAP-Response/MD5 Challenge)报文发送给认证设备,认证设备将该加密的密码通过RADIUS接入请求(RADIUS Access-Request)报文传给RADIUS服务器。
6、RADIUS服务器将收到的已加密的密码和本地经过加密运算后的密码对比,若相同,认为该用户为合法用户,向认证设备返回RADIUS接入接受(RADIUS Access-Accept)报文,认证设备收到RADIUS Access-Accept报文后,向客户端返回EAP成功(EAP-Success)报文。
7、设备收到EAP-Success报文后将端口改为授权状态,允许用户通过端口访问网络。
8、此后,认证设备会向客户端定期发送握手请求报文(EAPOL-Request/Identity),对用户的在线情况进行检测。缺省情况下,若连续三次握手请求报文都得不到客户端的应答,认证设备就会让用户下线,防止用户因为异常原因下线而设备端无法感知。客户端也可以发送EAPOL下线(EAPOL-Logoff)报文给认证设备,主动要求下线。用户下线后,认证设备将端口状态改变成未授权的状态,该客户端不能访问网络。
在现有的IP网络组网中,使用802.1x提供接入认证只是简单地对经由某个端口的报文的收发进行控制,由于RADIUS服务器无法获知客户端的IP地址,无法确定该客户端的访问控制列表(Acess Control List,ACL)中的源IP地址,因此RADIUS服务器无法通过向认证设备下发该客户端授权的ACL的方式,实现对客户端经由授权端口访问的特定的网络资源进行权限控制。
发明内容
本发明实施例提供一种客户端访问权限控制方法及设备,用以在802.1x认证***中实现对客户端经由授权端口访问的特定的网络资源进行权限控制。
本发明实施例提供的客户端访问权限控制方法,包括:
认证设备向客户端发送第一可扩展认证协议EAP身份请求报文;
所述认证设备接收所述客户端在接收到所述第一EAP身份请求报文后发送的第一EAP身份响应报文,所述第一EAP身份响应报文中携带有客户端的用户名和IP地址;
所述认证设备将接收到的所述第一EAP身份响应报文封装在第一远程认证拨号用户服务RADIUS接入请求报文中发送至认证服务器。
本发明实施例提供的客户端访问权限控制方法,包括:
认证服务器接收认证设备发送过来的第一远程认证拨号用户服务RADIUS接入请求报文,所述第一RADIUS接入请求报文中封装有携带客户端用户名和IP地址的第一EAP身份响应报文;
所述认证服务器解封装所述第一RADIUS接入请求报文中的第一EAP身份响应报文,获取所述客户端的用户名和IP地址,并根据获取到的所述用户名和IP地址,对客户端的访问权限进行控制。
本发明实施例提供的客户端访问权限控制方法,包括:
客户端接收认证设备发送的第一可扩展认证协议EAP身份请求报文;
客户端根据接收的第一EAP身份请求报文,生成第一EAP身份响应报文,在所述第一EAP身份响应报文中携带客户端的用户名和IP地址;所述第一EAP身份响应报文携带客户端的IP地址,通过下述方式实现:
扩展第一EAP身份响应报文的Identity域;
在扩展后的所述Identity域中所述客户端的用户名之后依次附加指示IP地址类型的字节和客户端的IP地址;
客户端将生成的第一EAP身份响应报文发送至所述认证设备。
本发明实施例提供的认证设备,包括:
发送单元,用于向客户端发送第一可扩展认证协议EAP身份请求报文,以及将第一远程认证拨号用户服务RADIUS接入请求报文发送至认证服务器;
接收单元,用于接收客户端在接收到所述第一EAP身份请求报文后发送的第一EAP身份响应报文,所述第一EAP身份响应报文中携带有客户端的用户名和IP地址;
封装单元,用于将接收到的所述第一EAP身份响应报文封装在第一远程认证拨号用户服务RADIUS接入请求报文中。
本发明实施例提供的认证服务器,包括:
接收单元,用于接收认证设备发送过来的第一远程认证拨号用户服务RADIUS接入请求报文,所述第一RADIUS接入请求报文中封装有携带客户端用户名和IP地址的第一可扩展认证协议EAP身份响应报文;
获取单元,用于解封装所述第一RADIUS接入请求报文中的第一EAP身份响应报文,获取所述客户端的用户名和IP地址;
访问权限控制单元,用于根据获取到的所述用户名和IP地址,对客户端的访问权限进行控制。
本发明实施例提供的客户端,包括:
接收单元,用于接收认证设备发送的第一可扩展认证协议EAP身份请求报文;
第一EAP身份响应报文生成单元,用于根据接收的第一EAP身份请求报文,生成携带客户端的用户名和IP地址的第一EAP身份响应报文;所述第一EAP身份响应报文携带客户端的IP地址,通过下述方式实现:扩展第一EAP身份响应报文的Identity域;在扩展后的所述Identity域中所述客户端的用户名之后依次附加指示IP地址类型的字节和客户端的IP地址。
发送单元,用于将生成的第一EAP身份响应报文发送至所述认证设备。
本发明实施例的有益效果包括:
本发明实施例提供的上述客户端访问权限控制方法、认证设备、认证服务器及客户端,通过认证设备在向客户端发起EAP身份请求报文,客户端向认证设备发送第一身份响应报文,在该第一身份响应报文中携带有该客户端的用户名和IP地址;认证设备将第一身份响应报文封装在第一RADIUS接入请求报文中发送至认证服务器;认证服务器对第一RADIUS接入请求报文解封装后解析出该客户端的用户名和IP地址,根据获取到的用户名和IP地址,实现对该客户端的访问权限的控制,本发明实施例提供的上述客户端访问权限控制方法、认证设备、认证服务器及客户端,在现有的802.1x认证***中,实现了对客户端的访问权限的控制,并且,在本发明实施例中,客户端、认证设备和认证服务器采用的都是符合现有IEEE 802.1x协议的报文进行交互,不需要对现有802.1x认证***中的认证设备和认证服务器进行协议上的改造,具有良好的兼容性,并且实现成本低。
附图说明
图1为现有技术中802.1x认证***的各设备实体的连接结构示意图;
图2为现有技术中802.1x认证***采用EAP-MD5方式对客户端进行认证的流程图;
图3为本发明实施例提供的客户端访问权限控制方法的流程图;
图4为本发明实施例提供的实例一的流程图;
图5为本发明实施例提供的实例二的流程图;
图6为本发明实施例提供的认证设备的结构示意图;
图7为本发明实施例提供的认证服务器的结构示意图;
图8为本发明实施例提供的客户端的结构示意图。
具体实施方式
下面结合附图,对本发明实施例提供的一种客户端访问权限控制方法及设备进行详细地说明。
本发明实施例提供的客户端访问权限控制方法,如图3所示,包括下述步骤:
S301、认证设备向客户端发送第一可扩展认证协议EAP身份请求报文;
如果整个流程由客户端发起,那么在本步骤S301之前,还包括客户端主动向认证设备发送局域网可扩展认证协议-开始(EAPOL-Start)报文的步骤;如果整个流程是由认证设备发起,那么本步骤S301即发起流程的步骤。
S302、认证设备接收客户端发送的第一EAP身份响应报文,该第一EAP身份响应报文中携带有客户端的用户名和IP地址;
S303、认证设备将接收到的第一EAP身份响应报文封装在第一RADIUS接入请求报文中发送至认证服务器;
S304、认证服务器接收认证设备发送过来的第一RADIUS接入请求报文;
S305、认证服务器解封装第一RADIUS接入请求报文中的第一EAP身份响应报文,获取客户端的用户名和IP地址;
S306、认证服务器根据获取到的用户名和IP地址,对客户端的访问权限进行控制。
本发明实施例提供的客户端访问权限控制方法中,客户端可以采用静态IP地址或者动态IP地址的形式,下面分别针对这两种方式下的具体实现方式进行详细地说明。
首先说明客户端采用静态IP地址的形式的情况下,本发明实施例提供的客户端访问权限控制方法的具体实例一。
为了说明的简便,本实例一还是以客户端发起整个访问权限的控制流程、采用EAP-MD5的EAP中继方式进行访问权限控制为例进行说明。
当然,本实例一中,并不限于采用EAP-MD5的EAP中继方式,对于其他EAP中继方式,例如EAP-TLS,EAP-TTLS和PEAP方式等也同样适用。
如图4所示,客户端采用静态IP地址形式的情况下,本实例提供的客户端访问权限控制方法,包括下述步骤:
S401、客户端向认证设备发起EAPOL开始报文;
S402、认证设备根据接收的EAPOL开始报文,向客户端发送第一EAP身份请求报文;
S403、客户端根据接收的第一EAP身份请求报文,生成第一EAP身份响应报文并返回至认证设备;在第一EAP身份响应报文中,携带有该客户端的用户名和IP地址;
在本实例中,在本访问权限控制流程之前,客户端可以通过调用操作***应用编程接口(Application Program Interface,API)获知自身的IP地址配置方式是静态IP方式,并通过该API接口获知预先配置的静态IP地址。
客户端生成第一EAP身份响应报文的过程中,对现有的EAP身份响应报文进行扩展,扩展第一EAP身份响应报文身份(Identity)域,并在扩展后的Identity域中该客户端的用户名之后依次附加指示IP地址类型的字节和客户端的IP地址。
例如采用占用一个字节的0x01指示客户端的IP地址为IPv6格式的地址,并在0x01之后,附加该客户端的IP地址,如果该客户端有多个IP地址,则依次在0x01之后附加。采用占用一个字节的0x02指示客户端的IP地址为IPv4格式的地址,并在0x02之后,附加该客户端的IP地址。
S404、认证设备将接收到的第一EAP身份响应报文封装在第一RADIUS接入请求报文中发送至认证服务器;
在本步骤S404中,认证设备将第一EAP身份响应报文封装在第一RADIUS接入请求报文的EAP Message属性中。
S405、认证服务器根据第一RADIUS接入请求报文,完成对客户端身份认证的流程。
本步骤认证服务器需要与客户端和认证设备之间进行交互完成,首先,认证服务器解封装第一RADIUS接入请求报文中包含的第一EAP身份响应报文,获取到客户端的用户名和IP地址,然后,由于其解析出的客户端的IP地址是非零的IP地址,认证服务器确认身份认证之后需要继续访问权限的控制的流程。因此,认证服务器在本步骤405中将客户端的用户名对应的密码生成加密字,将该加密字通过RADIUS接入挑战报文发送至认证设备,认证设备再将该加密字通过RADIUS接入请求报文发送至客户端,客户端返回EAP挑战回应报文至认证设备,认证设备向认证服务器返回RADIUS接入请求报文,认证服务器对客户端的身份进行认证,并在认证成功后,向认证设备发送RADIUS接入接受报文指示该客户端连接的端口为授权端口。认证设备根据RADIUS接入接受报文,将该客户端连接的端口的状态修改为授权状态,并向该客户端返回EAP成功报文。具体的身份认证流程与现有技术相同,在此不再赘述。
S406、认证服务器在上述对客户端身份认证的流程结束后,根据解析出的客户端的用户名,查询预先设置的与所述用户名对应的访问控制列表ACL;将获取到的客户端的IP地址,添加到查询到的ACL的源IP地址项中;
S407、将添加客户端IP地址后的ACL发送至认证设备。
此后,认证设备可以通过ACL对客户端的访问权限进行控制,该过程属于现有技术,在此不再赘述。
接着说明客户端采用动态IP地址的形式的情况下,本发明实施例提供的客户端访问权限控制方法的具体实例二。
为了说明的简便,本实例二以客户端发起整个访问权限的控制流程、采用EAP-MD5的EAP中继方式进行访问权限控制为例进行说明,与客户端采用静态IP方式类似,本实例二并不限于采用EAP-MD5的EAP中继方式。
本实例二中,客户端通过调用操作***应用编程接口获取到自身IP地址配置方式为动态IP的方式并且当前没有分配任何IP地址,那么就会两次发起EAPOL报文,第一次发起是为了完成身份认证的过程,以便能够通过授权的端口从DHCP服务器中获取动态分配的IP地址,第二次发起是为了通过身份认证过程将获取到的IP地址告知认证服务器,以便认证服务器实现对访问权限的控制。具体流程图5所示,包括下述步骤:
S501、客户端向认证设备发送EAPOL开始报文;
S502、认证设备根据接收的EAPOL开始报文,向客户端发送第二EAP身份请求报文;
为了区分两次认证过程中认证设备发送的EAP身份请求报文,在此将客户端在发起身份认证过程中接收的EAP身份请求报文称呼为第二EAP身份请求报文,将客户端发起访问权限控制过程中接收的EAP身份请求报文称呼为第一EAP身份请求报文。
S503、客户端向认证设备返回第二EAP身份响应报文;
同样,为了与客户端发起访问权限控制过程中的EAP身份响应报文相区别,在此,称呼客户端在发起身份认证过程的EAP身份响应报文为第二EAP身份响应报文,将客户端发起访问权限控制过程中的EAP身份响应报文称为第一EAP身份响应报文。
由于客户端此时还未获取到自身的IP地址,在第二EAP身份响应报文中,客户端对现有EAP身份响应报文的格式进行扩展,在Identity域中自身的用户名之后,附加上等于零的IP地址。由于客户端的IP地址都为非零的IP地址,附加等于零的IP地址的目的在于通告认证服务器,此次流程只对客户端的身份进行认证,不对其进行访问权限的控制。
S504、认证设备将接收到的第二EAP身份响应报文封装在第二RADIUS接入请求报文中发送至认证服务器;
本步骤S504的实现方式与图4中S404类似,认证设备将第二EAP身份响应报文封装在第二RADIUS接入请求报文的EAP Message属性中。
S505、认证服务器根据第二RADIUS接入请求报文,完成对客户端身份认证的流程;
本步骤S505中,认证服务器解封装第二RADIUS接入请求报文中包含的第二EAP身份响应报文,获取到客户端的用户名和IP地址,然后,由于其解析出的客户端的IP地址是等于零的IP地址,认证服务器因此认定此次流程只完成客户端身份认证的过程,只到其解析出的IP地址是非零的IP地址,才会触发客户端访问权限控制的过程。认证服务器对客户端身份认证的流程与步骤S405中类似,在此不再赘述。
S506、客户端在身份认证的流程完成之后,通过认证设备上授权的端口,从DHCP服务器中获取动态分配的IP地址。然后执行下述步骤S507;
S507、客户端第二次向认证设备发送EAPOL开始报文;
S508、认证设备根据接收的EAPOL开始报文,向客户端发送第一EAP身份请求报文;
S509、客户端向认证设备返回第一EAP身份响应报文;在第一EAP身份响应报文中,携带该客户端的用户名和获取到的IP地址;
此时客户端已通过DHCP方式获取到自身IP地址。因此,在第一EAP身份响应报文中,该客户端的IP地址不为零。
客户端生成第一EAP身份响应报文的方法与上述步骤S403和S503类似,在此不再赘述。
S510、认证设备将接收到的第一EAP身份响应报文封装在第一RADIUS接入请求报文中发送至认证服务器;
本步骤S510的实现方式与上述步骤S404和S504类似,在此不再赘述。
S511、认证服务器根据第一RADIUS接入请求报文,完成第二次对客户端进行身份认证的流程。
本步骤S511与S505实施方法相同,不同之处在于,认证服务器解封装第一RADIUS接入请求报文并解析出客户端的IP地址为非零的IP地址时,明确本次身份验证的流程之后需要对客户端进行访问权限控制,即可转向下述步骤S512。并且,由于在步骤S501-S505的身份认证过程中,该客户端连接的端口已经被授权,在本步骤S511中,认证设备不再对客户端连接的端口进行授权。
S512、认证服务器根据解析出的客户端的用户名,查询预先设置的与所述用户名对应的访问控制列表ACL;将获取到的客户端的IP地址,添加到查询到的ACL的源IP地址项中;
S513、将添加客户端IP地址后的ACL发送至认证设备。
基于同一发明构思,本发明实施例还提供了一种认证设备、认证服务器和客户端,由于该认证设备、认证服务器和客户端解决问题的原理与前述客户端访问权限控制方法相似,因此该认证设备、认证服务器和客户端的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的认证设备,如图6所示,包括:
发送单元601,用于向客户端发送第一可扩展认证协议EAP身份请求报文,以及将第一远程认证拨号用户服务RADIUS接入请求报文发送至认证服务器;
接收单元602,用于接收客户端在接收到所述第一EAP身份请求报文后发送的第一EAP身份响应报文,第一EAP身份响应报文中携带有客户端的用户名和IP地址;
封装单元603,用于将接收到的第一EAP身份响应报文封装在第一远程认证拨号用户服务RADIUS接入请求报文中。
进一步地,当客户端的IP地址采用动态IP地址时,上述认证设备进一步还包括端口授权单元604;
端口授权单元604,用于在对所述客户端身份进行认证的流程完成之后,将客户端连接的端口状态修改为授权状态,准许客户端通过该授权的端口从DHCP服务器中获取分配的IP地址;
相应地,接收单元602,进一步用于接收客户端在获取到分配的IP地址之后发送的局域网可扩展认证协议EAPOL开始报文;
发送单元601,进一步用于根据EAPOL开始报文,触发向客户端发送第一可扩展认证协议EAP身份请求报文的步骤。
进一步地,上述发送单元601,还用于在对客户端进行身份认证的流程中,向客户端发送第二EAP身份请求报文;以及将第二RADIUS接入请求报文报文发送至所述认证服务器;以及在接收到认证服务器发送的RADIUS接入接受报文后向客户端返回EAP成功报文;
相应地,接收单元602,还用于在连接客户端的端口的认证流程中,接收客户端在接收到第二EAP身份请求报文后发送的携带有客户端的用户名和等于零的IP地址的第二EAP身份响应报文,以及接收认证服务器根据第二RADIUS接入请求报文对客户端完成身份认证后发送的RADIUS接入接受报文;
封装单元603,还用于在连接客户端的端口的认证流程中,将接收到的第二EAP身份响应报文封装在第二RADIUS接入请求报文中。
进一步地,上述封装单元603,进一步用于将第一EAP身份响应报文封装在第一RADIUS接入请求报文的EAP Message属性中,以及将第二EAP身份响应报文封装在第二RADIUS接入请求报文的EAP Message属性中。
本发明实施例提供的认证服务器,如图7所示,包括:
接收单元701,用于接收认证设备发送过来的第一远程认证拨号用户服务RADIUS接入请求报文,所述第一RADIUS接入请求报文中封装有携带客户端用户名和IP地址的第一可扩展认证协议EAP身份响应报文;
获取单元702,用于解封装所述第一RADIUS接入请求报文中的第一EAP身份响应报文,获取所述客户端的用户名和IP地址;
访问权限控制单元703,用于根据获取到的所述用户名和IP地址,对客户端的访问权限进行控制。
进一步地,上述访问权限控制单元703,进一步用于根据客户端的用户名,查询预先设置的与所述用户名对应的访问控制列表ACL;将获取到的所述IP地址,添加到查询到的ACL的源IP地址项中;将添加所述IP地址后的ACL下发至所述认证设备,通过所述认证设备对所述客户端的访问权限进行控制。
进一步地,当客户端的IP地址采用动态IP地址方式时,本发明实施例提供的认证服务器,还包括:第一端口认证单元704;
相应地,上述接收单元701,还用于接收认证设备发送的第二RADIUS接入请求报文;
获取单元702,还用于解析出第二RADIUS接入报文中携带的客户端的用户名及等于零的IP地址;
第一端口认证单元704,用于根据获取单元解析出的结果,对该客户端的身份进行认证,并在认证成功时向认证设备发送RADIUS接入接受报文以指示客户端连接的端口为授权端口。
进一步地,当客户端的IP地址采用静态IP地址方式时,本发明实施例提供的认证服务器,还包括:第二端口认证单元705,该第二端口认证单元705,用于获取客户端的用户名和IP地址之后,对客户端的访问权限进行控制之前,对该客户端进行身份认证,并在认证成功时,向所述认证设备发送EAP成功消息以指示所述客户端连接的端口为授权端口。
本发明实施例提供的客户端,如图8所示,包括:
接收单元801,用于接收认证设备发送的第一可扩展认证协议EAP身份请求报文;
第一EAP身份响应报文生成单元802,用于根据接收的第一EAP身份请求报文,生成携带客户端的用户名和IP地址的第一EAP身份响应报文;所述第一EAP身份响应报文携带客户端的IP地址,通过下述方式实现:扩展第一EAP身份响应报文的Identity域;在扩展后的所述Identity域中所述客户端的用户名之后依次附加指示IP地址类型的字节和客户端的IP地址。
发送单元803,用于将生成的第一EAP身份响应报文发送至认证设备。
本发明实施例提供的客户端访问权限控制方法、认证设备、认证服务器及客户端,通过认证设备在向客户端发起EAP身份请求报文,客户端向认证设备发送第一身份响应报文,在该第一身份响应报文中携带有该客户端的用户名和IP地址;认证设备将第一身份响应报文封装在第一RADIUS接入请求报文中发送至认证服务器;认证服务器对第一RADIUS接入请求报文解封装后解析出该客户端的用户名和IP地址,根据获取到的用户名和IP地址,实现对该客户端的访问权限的控制,本发明实施例提供的上述客户端访问权限控制方法、认证设备、认证服务器及客户端,在现有的802.1x认证***中,实现了对客户端的访问权限的控制,并且,在本发明实施例中,认证设备和认证服务器和客户端采用的都是符合现有IEEE 802.1x协议的报文进行交互,不需要对现有802.1x认证***中的认证设备和认证服务器进行协议上的改造,具有良好的兼容性,并且实现成本低。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种客户端访问权限控制方法,其特征在于,包括:
认证设备向客户端发送第一可扩展认证协议EAP身份请求报文;
所述认证设备接收所述客户端在接收到所述第一EAP身份请求报文后发送的第一EAP身份响应报文,所述第一EAP身份响应报文中携带有客户端的用户名和IP地址;
所述认证设备将接收到的所述第一EAP身份响应报文封装在第一远程认证拨号用户服务RADIUS接入请求报文中发送至认证服务器。
2.如权利要求1所述的方法,其特征在于,所述客户端的IP地址包括静态IP地址或动态IP地址。
3.如权利要求2所述的方法,其特征在于,当所述客户端的IP地址采用动态IP地址方式时,认证设备发送所述第一EAP身份请求报文的步骤之前,还包括:
所述认证设备在对所述客户端身份进行认证的流程完成之后,将客户端连接的端口状态修改为授权状态,准许客户端通过该授权的端口从动态主机配置协议DHCP服务器中获取分配的IP地址;
所述认证设备接收客户端在获取到分配的IP地址之后发送的局域网可扩展认证协议EAPOL开始报文。
4.如权利要求3所述的方法,其特征在于,对客户端身份进行认证的流程中包括:
所述认证设备向所述客户端发送第二EAP身份请求报文;
所述认证设备接收客户端在接收到第二EAP身份请求报文后发送的携带有所述客户端的用户名和等于零的IP地址的第二EAP身份响应报文;
所述认证设备将接收到的第二EAP身份响应报文封装在第二RADIUS接入请求报文中发送至认证服务器;
所述认证设备接收所述认证服务器根据所述第二RADIUS接入请求报文对客户端完成身份认证后发送的RADIUS接入接受报文,并向客户端返回EAP成功报文。
5.如权利要求4所述的方法,其特征在于,认证设备将接收到的EAP身份响应报文封装在RADIUS接入请求报文中,包括:
所述认证设备将所述第一EAP身份响应报文封装在所述第一RADIUS接入请求报文的EAP Message属性中;
所述认证设备将所述第二EAP身份响应报文封装在所述第二RADIUS接入请求报文的EAP Message属性中。
6.一种客户端访问权限控制方法,其特征在于,包括:
客户端接收认证设备发送的第一可扩展认证协议EAP身份请求报文;
客户端根据接收的第一EAP身份请求报文,生成第一EAP身份响应报文,在所述第一EAP身份响应报文中携带客户端的用户名和IP地址;在第一EAP身份响应报文携带客户端的IP地址,通过下述方式实现:
扩展第一EAP身份响应报文的Identity域;
在扩展后的所述Identity域中所述客户端的用户名之后依次附加指示IP地址类型的字节和客户端的IP地址;
客户端将生成的所述第一EAP身份响应报文发送至所述认证设备。
7.一种客户端访问权限控制方法,其特征在于,包括:
认证服务器接收认证设备发送过来的第一远程认证拨号用户服务RADIUS接入请求报文,所述第一RADIUS接入请求报文中封装有携带客户端用户名和IP地址的第一EAP身份响应报文;
所述认证服务器解封装所述第一RADIUS接入请求报文中的第一EAP身份响应报文,获取所述客户端的用户名和IP地址,并根据获取到的所述用户名和IP地址,对客户端的访问权限进行控制。
8.如权利要求7所述的方法,其特征在于,所述认证服务器根据获取到所述用户名和IP地址,对客户端的访问权限进行控制,包括:
所述认证服务器根据客户端的用户名,查询预先设置的与所述用户名对应的访问控制列表ACL;
将获取到的所述IP地址,添加到查询到的ACL的源IP地址项中;
将添加所述IP地址后的ACL下发至所述认证设备,指示所述认证设备对所述客户端的访问权限进行控制。
9.如权利要求7或8所述的方法,其特征在于,所述客户端采用的IP地址包括静态IP地址或动态IP地址。
10.如权利要求9所述的方法,其特征在于,当所述客户端的IP地址采用动态IP地址方式时,所述认证服务器接收所述第一RADIUS接入请求报文之前,还包括:
所述认证服务器接收认证设备发送的第二RADIUS接入请求报文;
解析出所述第二RADIUS接入报文中携带的客户端的用户名及等于零的IP地址;
根据解析出的结果,对该客户端的身份进行认证,并在认证成功时向所述认证设备发送RADIUS接入接受报文,并指示所述客户端连接的端口为授权端口。
11.如权利要求9所述的方法,其特征在于,所述当所述客户端的IP地址采用静态IP地址方式时,所述认证服务器获取所述客户端的用户名和IP地址步骤之后,对客户端的访问权限进行控制的步骤之前,还包括:
所述认证服务器对该客户端进行身份认证,并在认证成功时,向所述认证设备发送RADIUS接入接受报文,并指示所述客户端连接的端口为授权端口。
12.一种认证设备,其特征在于,包括:
发送单元,用于向客户端发送第一可扩展认证协议EAP身份请求报文,以及将第一远程认证拨号用户服务RADIUS接入请求报文发送至认证服务器;
接收单元,用于接收客户端在接收到所述第一EAP身份请求报文后发送的第一EAP身份响应报文,所述第一EAP身份响应报文中携带有客户端的用户名和IP地址;
封装单元,用于将接收到的所述第一EAP身份响应报文封装在第一远程认证拨号用户服务RADIUS接入请求报文中。
13.如权利要求12所述的认证设备,其特征在于,当所述客户端的IP地址采用动态IP地址时,还包括:
端口授权单元,用于在对所述客户端身份进行认证的流程完成之后,将客户端连接的端口状态修改为授权状态,准许客户端通过该授权的端口从DHCP服务器中获取分配的IP地址;
所述接收单元,进一步用于接收客户端在获取到分配的IP地址之后发送的局域网可扩展认证协议EAPOL开始报文;
所述发送单元,进一步用于根据所述EAPOL开始报文,触发向所述客户端发送第一EAP身份请求报文的步骤。
14.如权利要求13所述的认证设备,其特征在于,所述发送单元,还用于在对客户端进行身份认证的流程中,向所述客户端发送第二EAP身份请求报文;以及将第二RADIUS接入请求报文报文发送至所述认证服务器;以及在接收到认证服务器发送的RADIUS接入接受报文后向客户端返回EAP成功报文;
所述接收单元,还用于在连接客户端的端口的认证流程中,接收客户端在接收到第二EAP身份请求报文后发送的携带有所述客户端的用户名和等于零的IP地址的第二EAP身份响应报文,以及接收所述认证服务器根据所述第二RADIUS接入请求报文对客户端完成身份认证后发送的RADIUS接入接受报文;
所述封装单元,还用于在连接客户端的端口的认证流程中,将接收到的第二EAP身份响应报文封装在第二RADIUS接入请求报文中。
15.如权利要求14所述的认证设备,其特征在于,所述封装单元,进一步用于将所述第一EAP身份响应报文封装在第一RADIUS接入请求报文的EAP Message属性中;以及将所述第二EAP身份响应报文封装在所述第二RADIUS接入请求报文的EAP Message属性中。
16.一种认证服务器,其特征在于,包括:
接收单元,用于接收认证设备发送过来的第一远程认证拨号用户服务RADIUS接入请求报文,所述第一RADIUS接入请求报文中封装有携带客户端用户名和IP地址的第一可扩展认证协议EAP身份响应报文;
获取单元,用于解封装所述第一RADIUS接入请求报文中的第一EAP身份响应报文,获取所述客户端的用户名和IP地址;
访问权限控制单元,用于根据获取到的所述用户名和IP地址,对客户端的访问权限进行控制。
17.如权利要求16所述的认证服务器,其特征在于,所述访问权限控制单元,进一步用于根据客户端的用户名,查询预先设置的与所述用户名对应的访问控制列表ACL;将获取到的所述IP地址,添加到查询到的ACL的源IP地址项中;将添加所述IP地址后的ACL下发至所述认证设备,通过所述认证设备对所述客户端的访问权限进行控制。
18.如权利要求16所述的认证服务器,其特征在于,当所述客户端的IP地址采用动态IP地址方式时,还包括:第一端口认证单元;
所述接收单元,还用于接收认证设备发送的第二RADIUS接入请求报文;
所述获取单元,还用于解析出所述第二RADIUS接入报文中携带的客户端的用户名及等于零的IP地址;
所述第一端口认证单元,用于根据获取单元解析出的结果,对该客户端的身份进行认证,并在认证成功时向所述认证设备发送RADIUS接入接受报文以指示所述客户端连接的端口为授权端口。
19.如权利要求16所述的认证服务器,其特征在于,当所述客户端的IP地址采用静态IP地址方式时,还包括:第二端口认证单元,用于获取所述客户端的用户名和IP地址之后,对客户端的访问权限进行控制之前,对该客户端进行身份认证,并在认证成功时,向所述认证设备发送EAP成功消息以指示所述客户端连接的端口为授权端口。
20.一种客户端,其特征在于,包括:
接收单元,用于接收认证设备发送的第一可扩展认证协议EAP身份请求报文;
第一EAP身份响应报文生成单元,用于根据接收的第一EAP身份请求报文,生成携带客户端的用户名和IP地址的第一EAP身份响应报文;所述第一EAP身份响应报文携带客户端的IP地址,通过下述方式实现:扩展第一EAP身份响应报文的Identity域;在扩展后的所述Identity域中所述客户端的用户名之后依次附加指示IP地址类型的字节和客户端的IP地址;
发送单元,用于将生成的第一EAP身份响应报文发送至所述认证设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010221068 CN101917398A (zh) | 2010-06-28 | 2010-06-28 | 一种客户端访问权限控制方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010221068 CN101917398A (zh) | 2010-06-28 | 2010-06-28 | 一种客户端访问权限控制方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101917398A true CN101917398A (zh) | 2010-12-15 |
Family
ID=43324784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010221068 Pending CN101917398A (zh) | 2010-06-28 | 2010-06-28 | 一种客户端访问权限控制方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917398A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271134A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、***、客户端及认证服务器 |
| CN102820999A (zh) * | 2012-05-11 | 2012-12-12 | 中华电信股份有限公司 | 云端虚拟桌面应用的网络服务等级与功能的管控***与方法 |
| CN102882994A (zh) * | 2012-11-02 | 2013-01-16 | 华为技术有限公司 | Ip地址分配、获取方法及装置 |
| CN102957678A (zh) * | 2011-08-26 | 2013-03-06 | 华为数字技术有限公司 | 认证ip电话机和协商语音域的方法、***以及设备 |
| CN103036906A (zh) * | 2012-12-28 | 2013-04-10 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103369531A (zh) * | 2013-07-02 | 2013-10-23 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN103414561A (zh) * | 2013-07-30 | 2013-11-27 | 福建星网锐捷网络有限公司 | 一种网络认证方法、装置和*** |
| CN103856573A (zh) * | 2012-12-04 | 2014-06-11 | 华为技术有限公司 | 一种互联网协议ip地址的配置方法、装置及*** |
| CN104205722A (zh) * | 2012-03-28 | 2014-12-10 | 英特尔公司 | 基于设备验证的有条件的有限服务授权 |
| CN104410644A (zh) * | 2014-12-15 | 2015-03-11 | 北京国双科技有限公司 | 数据配置方法及装置 |
| CN106302400A (zh) * | 2016-07-29 | 2017-01-04 | 锐捷网络股份有限公司 | 访问请求的处理方法及装置 |
| CN106936804A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
| CN107770745A (zh) * | 2017-09-15 | 2018-03-06 | 安徽中瑞通信科技股份有限公司 | 一种无线领域计费平台的无线终端入网方法 |
| CN107770119A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种网络准入指定域的控制方法 |
| CN108881309A (zh) * | 2018-08-14 | 2018-11-23 | 北京奇虎科技有限公司 | 大数据平台的访问方法、装置、电子设备及可读存储介质 |
| CN108989290A (zh) * | 2018-06-21 | 2018-12-11 | 上海二三四五网络科技有限公司 | 一种在外网中实现服务器网络访问限制的控制方法及控制装置 |
| CN109302490A (zh) * | 2018-11-12 | 2019-02-01 | 林昌盛威(北京)科技有限公司 | 网络连接控制方法及***、网关、云服务器 |
| CN109495503A (zh) * | 2018-12-20 | 2019-03-19 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
| CN111222121A (zh) * | 2019-12-27 | 2020-06-02 | 广州芯德通信科技股份有限公司 | 一种嵌入式设备授权管理方法 |
| CN112000493A (zh) * | 2020-08-24 | 2020-11-27 | 成都卫士通信息产业股份有限公司 | 一种数据处理***、方法及电子设备和存储介质 |
| CN112202799A (zh) * | 2020-10-10 | 2021-01-08 | 杭州盈高科技有限公司 | 一种实现用户和/或终端与ssid绑定的认证***及方法 |
| CN112822197A (zh) * | 2021-01-10 | 2021-05-18 | 何顺民 | 一种安全接入控制的方法和*** |
| CN113904856A (zh) * | 2021-10-15 | 2022-01-07 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证*** |
| CN114866258A (zh) * | 2022-05-16 | 2022-08-05 | 卡奥斯工业智能研究院(青岛)有限公司 | 一种访问关系的建立方法、装置、电子设备及存储介质 |
| CN115567261A (zh) * | 2022-09-20 | 2023-01-03 | 浪潮思科网络科技有限公司 | 一种接入设备的认证方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101132A1 (en) * | 2003-06-18 | 2007-05-03 | Siemens Aktiengesellschaft | Method and device for forming an encrypted message together with method and device for encrypting an encrypted message |
| CN101296081A (zh) * | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 认证、认证后分配ip地址的方法、***、接入实体和装置 |
| CN101527671A (zh) * | 2008-03-03 | 2009-09-09 | 华为技术有限公司 | 一种实现IPv6会话的方法、设备及*** |
| CN101599967A (zh) * | 2009-06-29 | 2009-12-09 | 杭州华三通信技术有限公司 | 基于802.1x认证***的权限控制方法及*** |
-
2010
- 2010-06-28 CN CN 201010221068 patent/CN101917398A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101132A1 (en) * | 2003-06-18 | 2007-05-03 | Siemens Aktiengesellschaft | Method and device for forming an encrypted message together with method and device for encrypting an encrypted message |
| CN101296081A (zh) * | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 认证、认证后分配ip地址的方法、***、接入实体和装置 |
| CN101527671A (zh) * | 2008-03-03 | 2009-09-09 | 华为技术有限公司 | 一种实现IPv6会话的方法、设备及*** |
| CN101599967A (zh) * | 2009-06-29 | 2009-12-09 | 杭州华三通信技术有限公司 | 基于802.1x认证***的权限控制方法及*** |
Cited By (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271134A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、***、客户端及认证服务器 |
| CN102271134B (zh) * | 2011-08-11 | 2014-07-30 | 北京星网锐捷网络技术有限公司 | 网络配置信息的配置方法、***、客户端及认证服务器 |
| CN102957678A (zh) * | 2011-08-26 | 2013-03-06 | 华为数字技术有限公司 | 认证ip电话机和协商语音域的方法、***以及设备 |
| WO2013029381A1 (zh) * | 2011-08-26 | 2013-03-07 | 华为技术有限公司 | 认证ip电话机和协商语音域的方法、***以及设备 |
| CN102957678B (zh) * | 2011-08-26 | 2016-04-06 | 北京华为数字技术有限公司 | 认证ip电话机和协商语音域的方法、***以及设备 |
| CN104205722B (zh) * | 2012-03-28 | 2018-05-01 | 英特尔公司 | 基于设备验证的有条件的有限服务授权 |
| CN104205722A (zh) * | 2012-03-28 | 2014-12-10 | 英特尔公司 | 基于设备验证的有条件的有限服务授权 |
| CN102820999A (zh) * | 2012-05-11 | 2012-12-12 | 中华电信股份有限公司 | 云端虚拟桌面应用的网络服务等级与功能的管控***与方法 |
| CN102820999B (zh) * | 2012-05-11 | 2015-05-06 | 中华电信股份有限公司 | 云端虚拟桌面应用的网络服务等级与功能的管控方法 |
| TWI476627B (zh) * | 2012-05-11 | 2015-03-11 | Chunghwa Telecom Co Ltd | The management system and method of network service level and function of cloud virtual desktop application |
| CN102882994B (zh) * | 2012-11-02 | 2015-05-06 | 华为技术有限公司 | Ip地址分配、获取方法及装置 |
| CN102882994A (zh) * | 2012-11-02 | 2013-01-16 | 华为技术有限公司 | Ip地址分配、获取方法及装置 |
| CN103856573B (zh) * | 2012-12-04 | 2017-06-13 | 华为技术有限公司 | 一种互联网协议ip地址的配置方法、装置及*** |
| CN103856573A (zh) * | 2012-12-04 | 2014-06-11 | 华为技术有限公司 | 一种互联网协议ip地址的配置方法、装置及*** |
| CN103036906B (zh) * | 2012-12-28 | 2016-03-30 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103036906A (zh) * | 2012-12-28 | 2013-04-10 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103369531A (zh) * | 2013-07-02 | 2013-10-23 | 杭州华三通信技术有限公司 | 一种基于终端信息进行权限控制的方法及装置 |
| CN103414561A (zh) * | 2013-07-30 | 2013-11-27 | 福建星网锐捷网络有限公司 | 一种网络认证方法、装置和*** |
| CN104410644A (zh) * | 2014-12-15 | 2015-03-11 | 北京国双科技有限公司 | 数据配置方法及装置 |
| CN106936804A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
| CN106936804B (zh) * | 2015-12-31 | 2020-04-28 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
| CN106302400A (zh) * | 2016-07-29 | 2017-01-04 | 锐捷网络股份有限公司 | 访问请求的处理方法及装置 |
| CN107770119A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种网络准入指定域的控制方法 |
| CN107770745A (zh) * | 2017-09-15 | 2018-03-06 | 安徽中瑞通信科技股份有限公司 | 一种无线领域计费平台的无线终端入网方法 |
| CN108989290A (zh) * | 2018-06-21 | 2018-12-11 | 上海二三四五网络科技有限公司 | 一种在外网中实现服务器网络访问限制的控制方法及控制装置 |
| CN108881309A (zh) * | 2018-08-14 | 2018-11-23 | 北京奇虎科技有限公司 | 大数据平台的访问方法、装置、电子设备及可读存储介质 |
| CN109302490A (zh) * | 2018-11-12 | 2019-02-01 | 林昌盛威(北京)科技有限公司 | 网络连接控制方法及***、网关、云服务器 |
| CN109495503A (zh) * | 2018-12-20 | 2019-03-19 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
| CN109495503B (zh) * | 2018-12-20 | 2021-11-12 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
| CN111222121A (zh) * | 2019-12-27 | 2020-06-02 | 广州芯德通信科技股份有限公司 | 一种嵌入式设备授权管理方法 |
| CN111222121B (zh) * | 2019-12-27 | 2022-03-11 | 广州芯德通信科技股份有限公司 | 一种嵌入式设备授权管理方法 |
| CN112000493A (zh) * | 2020-08-24 | 2020-11-27 | 成都卫士通信息产业股份有限公司 | 一种数据处理***、方法及电子设备和存储介质 |
| CN112202799A (zh) * | 2020-10-10 | 2021-01-08 | 杭州盈高科技有限公司 | 一种实现用户和/或终端与ssid绑定的认证***及方法 |
| CN112202799B (zh) * | 2020-10-10 | 2022-05-10 | 杭州盈高科技有限公司 | 一种实现用户和/或终端与ssid绑定的认证***及方法 |
| CN112822197A (zh) * | 2021-01-10 | 2021-05-18 | 何顺民 | 一种安全接入控制的方法和*** |
| CN113904856A (zh) * | 2021-10-15 | 2022-01-07 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证*** |
| CN113904856B (zh) * | 2021-10-15 | 2024-04-23 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证*** |
| CN114866258A (zh) * | 2022-05-16 | 2022-08-05 | 卡奥斯工业智能研究院(青岛)有限公司 | 一种访问关系的建立方法、装置、电子设备及存储介质 |
| CN115567261A (zh) * | 2022-09-20 | 2023-01-03 | 浪潮思科网络科技有限公司 | 一种接入设备的认证方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101917398A (zh) | 一种客户端访问权限控制方法及设备 | |
| CN100591011C (zh) | 一种认证方法及*** | |
| US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
| CN101163000B (zh) | 一种二次认证方法及*** | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| US8953791B2 (en) | Key derivative function for network communications | |
| US10104546B2 (en) | Systems and methods for authentication | |
| CN101599967B (zh) | 基于802.1x认证***的权限控制方法及*** | |
| US11075907B2 (en) | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same | |
| WO2012151351A1 (en) | Wireless authentication using beacon messages | |
| CN102271134B (zh) | 网络配置信息的配置方法、***、客户端及认证服务器 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN102196434A (zh) | 无线局域网终端认证方法及*** | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN101237325B (zh) | 以太网接入认证方法和下线认证方法以及以太网设备 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN102231725A (zh) | 一种动态主机配置协议报文的认证方法、设备及*** | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| CN102801819A (zh) | 一种在网络接入控制***中透传IPv6地址的方法 | |
| CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和*** | |
| CN101742502A (zh) | 一种实现wapi认证的方法、***及设备 | |
| Granzer et al. | Security analysis of open building automation systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101215 |