CN106534117B - 一种认证方法和装置 - Google Patents
一种认证方法和装置 Download PDFInfo
- Publication number
- CN106534117B CN106534117B CN201610991314.1A CN201610991314A CN106534117B CN 106534117 B CN106534117 B CN 106534117B CN 201610991314 A CN201610991314 A CN 201610991314A CN 106534117 B CN106534117 B CN 106534117B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network access
- mac address
- message
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种认证方法和装置。本申请在上行设备采用基于MAC地址的802.1X认证方式对网络接入设备认证的前提下,防止上行设备在终端设备认证过程中拦截网络接入设备向AAA服务器发送的用于认证终端设备的Radius报文,实现终端设备的认证。
Description
技术领域
本申请涉及网络通信技术,特别涉及一种认证方法和装置。
背景技术
为提高网络安全性和可靠性,在除了对终端设备如PC等进行认证外,还需要对用于为终端设备提供网络接入功能的网络接入设备进行认证。如图1所示的组网,终端设备和网络接入设备需要分别通过认证后方能接入网络。
现有方式是通过认证点分离来间接对终端设备和网络接入设备进行认证的。所谓认证点分离是指:终端设备的认证点为网络接入设备,网络接入设备的认证点为介于网络接入设备和认证服务器(比如AAA服务器)之间的的网络中转设备(也称网络接入设备的上行设备,以下均以上行设备为例描述),终端设备由网络接入设备认证,网络接入设备由上行设备认证。需要注意的是,虽然终端设备由网络接入设备认证,网络接入设备由上行设备认证,但是,网络接入设备在对终端设备认证时、上行设备对网络接入设备认证时,都不是开启的本地认证模式,在执行认证过程中都需要与认证服务器(比如AAA服务器)交互以完成最终认证。
但是,当上行设备采用基于MAC地址的802.1X认证方式对网络接入设备认证时,即使网络接入设备的MAC地址通过认证,网络接入设备下行接入的终端设备无法通过认证,原因是:在终端设备认证过程中,网络接入设备向认证服务器(比如AAA服务器)发送的用于认证终端设备的Radius报文会被上行设备拦截,导致Radius报文发送不到认证服务器(比如AAA服务器),进而导致终端设备的认证无法通过,而网络接入设备发送的Radius报文之所以被上行设备拦截,原因是网络接入设备发送的Radius报文的源MAC地址是网络接入设备上连接认证服务器(比如AAA服务器)的三层端口的MAC地址,而非上述通过认证的MAC地址。
发明内容
本申请提供了一种认证方法和装置,以在上行设备采用基于MAC地址的802.1X认证方式对网络接入设备认证的前提下,防止上行设备在终端设备认证过程中拦截网络接入设备向认证服务器(比如AAA服务器)发送的用于认证终端设备的Radius报文,实现终端设备的认证。
本申请提供的技术方案包括:
一种认证方法,该方法应用于介于网络接入设备和认证服务器之间的网络中转设备,包括:
接收网络接入设备发向认证服务器的认证报文,所述认证报文用于对网络接入设备接入的终端设备进行认证;
判断本地是否已启用与所述认证报文匹配的放行策略,如果是,则继续发送所述认证报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证。
一种认证装置,该装置应用于介于网络接入设备和认证服务器之间的网络中转设备,包括:
接收单元,用于接收网络接入设备发向认证服务器的认证报文,所述认证报文用于对网络接入设备接入的终端设备进行认证;
判断单元,用于判断本地是否已启用与所述认证报文匹配的放行策略,
处理单元,用于在所述判断单元的判断结果为是时,继续发送所述认证
报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证。
由以上技术方案可以看出,本发明能够在上行设备采用基于MAC地址的802.1X认证方式对网络接入设备认证的前提下,防止介于网络接入设备和认证服务器之间的网络中转设备(也即上行设备)在终端设备认证过程中拦截网络接入设备向认证服务器(比如AAA服务器)发送的用于认证终端设备的Radius报文,完成终端设备的认证。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为终端设备和网络接入设备分别认证组网示意图;
图2为本发明提供的方法流程图;
图3为本发明提供的实施例应用组网示意图;
图4为本发明提供的装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明能够在上行设备采用基于MAC地址的802.1X认证方式对网络接入设备认证的前提下,防止上行设备在终端设备认证过程中拦截网络接入设备向认证服务器(比如AAA服务器)发送的用于认证终端设备的Radius报文,完成终端设备的认证。
下面对本发明提供的方法进行描述:
参见图2,图2为本发明提供的方法流程图。该流程应用于介于网络接入设备和认证服务器之间的网络中转设备(在本申请中简称网络接入设备上行接入的上行设备)。如图2所示,该流程可包括以下步骤:
步骤201,上行设备接收网络接入设备发向认证服务器的认证报文。
这里,认证报文用于对网络接入设备下行接入的终端设备进行认证。
在本发明中,网络接入设备开启非本地802.1X认证方式,其在对终端设备进行认证过程中还需要和认证服务器交互以最终完成终端设备的认证。当网络接入设备向认证服务器发送认证报文时,该认证报文的源MAC地址为网络接入设备上到认证服务器三层可达的端口的MAC地址。
步骤202,上行设备判断本地是否已启用与认证报文匹配的放行策略,如果是,则继续发送认证报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证。
作为本发明的一个实施例,当上行设备判断出本地还未启用与认证报文匹配的放行策略,则拦截认证报文,终止认证报文转发。
作为本发明的一个实施例,本发明进一步包括:上行设备通过本设备上开启的基于MAC地址的认证方式对网络接入设备进行认证,当网络接入设备的MAC地址通过认证时,启用本地配置的放行策略,放行策略与端口MAC地址对应,用于对源MAC地址为所述端口MAC地址的认证报文放行,端口MAC地址为网络接入设备上到认证服务器三层可达的端口的MAC地址。
基于此,步骤202中,判断本地是否已启用与认证报文匹配的放行策略包括:
查找已启用的与所述认证报文的源MAC地址对应的放行策略,当查找到对应的放行策略,则确定本地已启用与所述认证报文匹配的放行策略,否则,确定本地未启用与所述认证报文匹配的放行策略。
至此,完成图2所示流程。
相比背景技术描述的上行设备拦截认证报文的原因,可以看出,本发明中,尽管网络接入设备发向认证服务器的认证报文(用于对终端设备认证)的源MAC地址为网络接入设备上与认证服务器三层可达的端口的MAC地址,但是,只要上行设备在接收到该认证报文后判断出本地已启用与认证报文匹配的放行策略,则会继续发送认证报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证,这实现了即使在上行设备采用基于MAC地址的802.1X认证方式对网络接入设备认证的前提下,也能防止上行设备在终端设备认证过程中拦截网络接入设备向AAA服务器发送的用于认证终端设备的Radius报文,完成终端设备的认证。
下面通过一个具体实施例对图2进行举例描述:
参见图3,图3为本发明提供的实施例组网示意图。在图3中,网络接入设备以接入交换机(Switch)为例,网络接入设备的上行设备以上行Switch为例,认证服务器为AAA服务器为例。
在图3中,上行Switch上开启基于MAC地址的802.1X认证方式。接入Switch上开启802.1X认证方式(具体可为基于MAC地址的802.1X认证方式,也可为基于端口的802.1X认证方式,按需求决定,本实施例并不具体限定)。接入Switch上开启的802.1X认证方式为非本地的认证方式,当接入Switch对终端设备进行认证时,需要和AAA服务器交互。
在图3中,上行Switch通过本设备上开启的基于MAC地址的802.1X认证方式对接入Switch进行认证,当接入Switch的MAC地址通过认证时,上行Switch启用本地配置的放行策略,放行策略与端口MAC地址对应,用于对源MAC地址为端口MAC地址的认证报文放行,端口MAC地址为接入Switch上到AAA服务器三层可达的端口的MAC地址,该端口可为虚拟口,也可为物理端口。
其中,上行Switch通过本设备上开启的基于MAC地址的802.1X认证方式对接入Switch进行认证,具体可参见802.1X认证,这里不再赘述。
下面仅以802.1X协议中的可扩展认证协议(EAP:Extensible authenticationprotocol)-MD5为例描述终端设备的认证:
终端设备上开启802.1X客户端(Client)功能,终端设备向接入Switch发送认证开始(EAPoL-Start)报文,开始802.1x认证;
接入Switch接收EAPoL-Start报文,向终端设备发送EAP请求/确认(EAP-Request/Identity)报文,要求终端设备上报用户名。EAP-Request/Identity报文的目的MAC地址为终端设备的MAC地址。
终端设备接收EAP-Request/Identity报文,回应EAP响应/确认(EAP-Response/Identity)报文,EAP-Response/Identity报文携带用户名。
接入Switch接收EAP-Response/Identity报文,将EAP-Response/Identity报文封装为远程用户拨号认证服务(RADIUS:Remote Authentication Dial In User Service)接入请求(Access-Request)报文并发送给RADIUS服务器。RADIUS Access-Request报文即为上述的认证报文,其源MAC地址为接入Switch上至AAA服务器三层可达的端口的端口MAC地址。
上行Switch接收RADIUS Access-Request报文,以RADIUS Access-Request报文的源MAC地址为关键字查找已启用的与该关键字对应的放行策略。
上行Switch查找到对应的放行策略,则继续转发RADIUS Access-Request报文至AAA服务器。
AAA服务器接收RADIUS Access-Request报文,随机产生一个挑战(Challenge)字,通过上行Switch中转向接入Switch发送RADIUS Access-Challenge报文。RADIUS Access-Challenge报文携带EAP-Request/MD5-Challenge报文。
接入Switch向终端设备发送EAP-Request/MD5-Challenge报文,要求终端设备进行认证。EAP-Request/MD5-Challenge的目的MAC地址为终端设备的MAC地址。
终端设备收到EAP-Request/MD5-Challenge报文后,将密码和EAP-Request/MD5-Challenge报文携带的Challenge字进行MD5加密,得到Challenged-Pass-word,将Challenged-Pass-word携带在EAP-Response/MD5-Challenge报文发送给接入Switch;
接入Switch接收EAP-Response/MD5-Challenge报文,将EAP-Response/MD5-Challenge报文封装为RADIUS-Access-Request报文向AAA服务器发送。RADIUS-Access-Request报文的源MAC地址为接入Switch上至AAA服务器三层可达的端口的端口MAC地址。
上行Switch接收RADIUS Access-Request报文,以RADIUS Access-Request报文的源MAC地址为关键字查找已启用的与该关键字对应的放行策略。
上行Switch查找到对应的放行策略,则继续转发RADIUS Access-Request报文至AAA服务器。
AAA服务器接收RADIUS-Access-Request报文,根据RADIUS Access-Request报文携带的Challenged-Pass-word判断终端设备是否合法,当合法,则通过上行Switch返回Radius Access-Accept认证报文给接入Switch;
接入Switch接收Radius Access-Accept认证报文,向终端设备发送EAP-Success报文,通过终端设备上线成功。
至此,完成了接入Switch对终端设备的认证。
需要说明的是,在上面描述中,当上行Switch未查找到对应的放行策略,则终止转发接收的RADIUS Access-Request报文。
至此,完成图3所示实施例描述。
以上对本发明提供的方法进行了描述,下面对本发明提供的装置进行描述:
参见图4,图4为本发明提供的装置结构图。该装置应用于介于网络接入设备和认证服务器之间的网络中转设备,包括:
接收单元,用于接收网络接入设备发向认证服务器的认证报文,所述认证报文用于对网络接入设备接入的终端设备进行认证;
判断单元,用于判断本地是否已启用与所述认证报文匹配的放行策略,
处理单元,用于在所述判断单元的判断结果为是时,继续发送所述认证报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证。
优选地,所述装置进一步包括:
认证单元,用于通过本设备上开启的基于MAC地址的认证方式对网络接入设备进行认证,当网络接入设备的MAC地址通过认证时,启用本地配置的放行策略,所述放行策略与端口MAC地址对应,用于对源MAC地址为所述端口MAC地址的认证报文放行,所述端口MAC地址为网络接入设备上到认证服务器三层可达的端口的MAC地址;
所述判断单元判断本地是否已启用与所述认证报文匹配的放行策略包括:
查找已启用的与所述认证报文的源MAC地址对应的放行策略,当查找到对应的放行策略,则确定本地已启用与所述认证报文匹配的放行策略,否则,确定本地未启用与所述认证报文匹配的放行策略。
优选地,所述处理单元进一步在所述判断单元的判断结果为否时,终止所述认证报文转发。
优选地,所述认证报文为远程用户拨号认证服务RADIUS报文。
优选地,所述认证方式为802.1X认证方式。
至此,完成图4所示装置结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种认证方法,其特征在于,该方法应用于介于网络接入设备和认证服务器之间的网络中转设备,包括:
通过本设备上开启的基于MAC地址的认证方式对网络接入设备进行认证,当网络接入设备的MAC地址通过认证时,启用本地配置的放行策略;所述放行策略与端口MAC地址对应,用于对源MAC地址为所述端口MAC地址的认证报文放行,所述端口MAC地址为网络接入设备上到认证服务器三层可达的端口的MAC地址;
接收网络接入设备发向认证服务器的认证报文,所述认证报文用于对网络接入设备接入的终端设备进行认证;
基于本地已启用与所述认证报文匹配的放行策略,继续发送所述认证报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证。
2.根据权利要求1所述的方法,其特征在于,当判断出本地未启用与所述认证报文匹配的放行策略,该方法进一步包括:
终止所述认证报文转发。
3.根据权利要求1所述的方法,其特征在于,所述认证报文为远程用户拨号认证服务RADIUS报文。
4.根据权利要求1所述的方法,其特征在于,所述认证方式为802.1X认证方式。
5.一种认证装置,其特征在于,该装置应用于介于网络接入设备和认证服务器之间的网络中转设备,包括:
认证单元,用于通过本设备上开启的基于MAC地址的认证方式对网络接入设备进行认证,当网络接入设备的MAC地址通过认证时,启用本地配置的放行策略,所述放行策略与端口MAC地址对应,用于对源MAC地址为所述端口MAC地址的认证报文放行,所述端口MAC地址为网络接入设备上到认证服务器三层可达的端口的MAC地址;
接收单元,用于接收网络接入设备发向认证服务器的认证报文,所述认证报文用于对网络接入设备接入的终端设备进行认证;
判断单元,用于判断出本地已启用与所述认证报文匹配的放行策略;
处理单元,用于在所述判断单元判断出本地已启用与所述认证报文匹配的放行策略时,继续发送所述认证报文至认证服务器,以使网络接入设备与认证服务器交互完成对终端设备的认证。
6.根据权利要求5所述的装置,其特征在于,所述处理单元进一步在所述判断单元的判断结果为否时,终止所述认证报文转发。
7.根据权利要求5所述的装置,其特征在于,所述认证报文为远程用户拨号认证服务RADIUS报文。
8.根据权利要求5所述的装置,其特征在于,所述认证方式为802.1X认证方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610991314.1A CN106534117B (zh) | 2016-11-10 | 2016-11-10 | 一种认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610991314.1A CN106534117B (zh) | 2016-11-10 | 2016-11-10 | 一种认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106534117A CN106534117A (zh) | 2017-03-22 |
| CN106534117B true CN106534117B (zh) | 2020-03-06 |
Family
ID=58350606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610991314.1A Active CN106534117B (zh) | 2016-11-10 | 2016-11-10 | 一种认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106534117B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1330073A1 (en) * | 2002-01-18 | 2003-07-23 | Nokia Corporation | Method and apparatus for access control of a wireless terminal device in a communications network |
| CN1842000A (zh) * | 2005-03-29 | 2006-10-04 | 华为技术有限公司 | 实现无线局域网接入认证的方法 |
| CN101127598A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种在无源光网络中实现802.1x认证的方法和*** |
| CN101656760A (zh) * | 2009-09-17 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种地址分配方法和一种接入控制设备 |
| CN102761940A (zh) * | 2012-06-26 | 2012-10-31 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1319337C (zh) * | 2003-07-02 | 2007-05-30 | 华为技术有限公司 | 基于以太网认证***的认证方法 |
| KR100533003B1 (ko) * | 2004-03-02 | 2005-12-02 | 엘지전자 주식회사 | 사용자 인증을 위한 프로토콜 개선 방법 |
| CN100591011C (zh) * | 2006-08-31 | 2010-02-17 | 华为技术有限公司 | 一种认证方法及*** |
-
2016
- 2016-11-10 CN CN201610991314.1A patent/CN106534117B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1330073A1 (en) * | 2002-01-18 | 2003-07-23 | Nokia Corporation | Method and apparatus for access control of a wireless terminal device in a communications network |
| CN1842000A (zh) * | 2005-03-29 | 2006-10-04 | 华为技术有限公司 | 实现无线局域网接入认证的方法 |
| CN101127598A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种在无源光网络中实现802.1x认证的方法和*** |
| CN101656760A (zh) * | 2009-09-17 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种地址分配方法和一种接入控制设备 |
| CN102761940A (zh) * | 2012-06-26 | 2012-10-31 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106534117A (zh) | 2017-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10708780B2 (en) | Registration of an internet of things (IoT) device using a physically uncloneable function | |
| US7325246B1 (en) | Enhanced trust relationship in an IEEE 802.1x network | |
| EP1764975B1 (en) | Distributed authentication functionality | |
| US7831996B2 (en) | Authentication techniques | |
| EP2051432B1 (en) | An authentication method, system, supplicant and authenticator | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| DK2924944T3 (en) | Presence authentication | |
| CN107079007A (zh) | 基于证书的认证 | |
| US20060161770A1 (en) | Network apparatus and program | |
| WO2014117525A1 (zh) | 静态用户终端认证处理方法及装置 | |
| US8069473B2 (en) | Method to grant access to a data communication network and related devices | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、***、服务器和终端 | |
| JP2004274772A (ja) | Eponにおける認証方法及び認証装置 | |
| WO2008034319A1 (fr) | Procédé, système et dispositif d'authentification destinés à un dispositif de réseau | |
| EP4057658A1 (en) | Machine-card verification method applied to minimalist network, and related device | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及*** | |
| KR20100101887A (ko) | 통신시스템에서 인증 방법 및 시스템 | |
| CN107995216B (zh) | 一种安全认证方法、装置、认证服务器及存储介质 | |
| KR20030053280A (ko) | 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법 | |
| JP3792648B2 (ja) | 無線lanの高速認証方式及び高速認証方法 | |
| US8286224B2 (en) | Authentication device and network authentication system, method for authenticating terminal device and program storage medium | |
| CN112423299A (zh) | 一种基于身份认证进行无线接入的方法及*** | |
| CN113472714A (zh) | 认证终端设备的方法及装置 | |
| CN106534117B (zh) | 一种认证方法和装置 | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |