授權接入數據通信網絡的方法和相關設備的製作方法

2023-05-31 13:15:51

專利名稱：授權接入數據通信網絡的方法和相關設備的製作方法
技術領域：
本發明涉及授權請求者接入數據通信網絡的方法。本發明還涉及實現所述方法的認證(authentication)伺服器和認證器(authenticator)。所述方法和設備已經從IEEE標準802.1X-2001中獲知。
背景技術：
其中在§3.1-第5頁上描述了請求者是在點到點區域網段的一端上的實體，其由被連到所述連結的另一端上的認證器來認證。必須注意到，在本文中使用請求者來代替設備，例如對等體，所述對等體用於其它與接入控制相關的規範。
在§3.1-第5頁上還描述了網絡接入埠是系統到LAN的連接點。其可以是物理埠，例如連到物理LAN段的單個LAN媒體接入控制，或者是邏輯埠，例如在站點和接入點之間的關聯。必須注意到，「埠」在本文中作為網絡接入埠的簡稱而使用。
另外，其描述了認證器是在點到點LAN段的一端上的實體，其幫助被連到所述連結的另一端的實體的認證。所述認證器負責與請求者進行通信，以及遞交從請求者所接收的信息給合適的認證伺服器，以便用於待檢查的證書和待確定的後續狀態。
認證伺服器是給認證器提供認證服務的實體。所述服務根據請求者所提供的證書，確定是否授權請求者接入由認證器所提供的服務。認證伺服器功能可以與認證器配置在一起，或者其可以通過認證器所接入的網絡而被遠程接入。
以這種方式，所述方法授權請求者接入數據通信網絡，由此請求者與媒體接入控制地址相關聯，並且被耦合到數據通信網絡的認證器埠上，所述方法包括以下步驟-由認證器發送認證請求給被耦合到其的認證伺服器；以及-由認證伺服器基於預定規則和條件進行認證判決；以及-由認證伺服器發送包含認證判決結果的認證回復給認證器。
另外，在所述IEEE標準802.1X-2001的第10頁上提到認證器和認證伺服器之間的通信細節是在所述IEEE標準802.1X-2001的範圍之外的。然而，所述通信可能典型地通過擴展認證協議而實現，所述擴展認證協議在這裡簡稱為EAP，是在合適的高層協議上所承載的連接，例如通過EAPRADIUS。因此，認證伺服器可以位於所述LAN的範圍之外，所述LAN支持「EAP over LAN」，即EAPOL，並且在請求者和認證器之間進行交換；並且認證器和認證伺服器之間的通信無需受制於相關系統的控制埠(若干控制埠)的認證狀態。
以這種方式，根據所述可能的實現，並且如由IETF RFC 2865，June2000-§2 Operation/Introduction所描述的那樣，作為RADIUS伺服器的認證伺服器接收請求，其驗證發送客戶，即認證器，並且其查詢用戶的資料庫，即請求者的資料庫，以尋找名稱與所述請求相匹配的用戶。資料庫中的用戶條目包括必要條件的列表，所述必要條件必需被滿足以便允許用戶的接入。這主要包括密碼的驗證，但是還可以指定用戶允許接入的埠的客戶。另外，在所述標準的第6頁描述了如果所有條件都滿足，則用戶的配置值列表被放入「Accept」響應中，所述用戶即請求者。所述值包括服務的類型和遞送期望服務的所有必需值。這些值可能包括這樣的值，例如IP位址、子網掩碼、期望的壓縮、和期望的分組過濾器標識或期望協議和主機。
由認證伺服器基於預定規則和條件進行認證判決的步驟也在IEEE標準802.1X-2001的第7頁上被描述了，即認證伺服器執行認證功能，以便為認證器檢查申請者的證書，並且指示是否授權所述請求者所述接入認證器的服務。以這種方式，埠接入控制提供了系統功能性的擴展，所述擴展提供了防止請求者非認證地接入由系統所提供的服務的方法。例如，如果相關系統是MAC網橋，則對所述網橋和其所連接的LAN的接入的控制是所希望的，以便限制到公共可接入網橋埠的接入，或者在組織之內，限制到部門LAN的接入為所述部門的成員。
接入控制通過系統強加的請求者認證而獲得，所述請求者連到系統的控制埠。根據認證處理的結果，所述系統可以確定是否授權請求者接入其在所述控制埠上的業務。如果沒有授權請求者接入，則所述系統設置所述控制埠狀態為非授權。所定義的機制可以被使用，以便允許任何系統對連接到所述系統的控制埠中的一個上的其它系統進行認證。相關系統包括終端站點、伺服器、路由器和MAC網橋。
必需注意到，在IEEE標準802.1X-2001的§8.2 Scope-第21頁描述了下面的內容，基於埠的接入控制的操作假設其所操作的埠提供在單個請求者和單個認證器之間的點到點連接。所述假設允許基於每個埠進行認證判決。並且還描述了「對連到單個認證器的多個請求者的認證是在本標準的範圍之外的」。然而必須解釋，為了不使本說明書以及圖1的內容過多，在權利要求的前序中以及在進一步的描述中所描述的認證器是標準中所描述的多個認證器的綜合。然而必須理解，在上面提到的標準802.1X-2001中，認證判決仍然是基於每個埠的。另外，本發明的認證器可以根據分布式方式在不同埠上實現，所述分布式方式將認證器帶回到請求者和認證器之間的一對一的關係中。
現在將通過例子的方式來描述就所述方法而顯現出的問題，所述方法授權例如SUP4的請求者接入數據通信網絡。假定下面的拓撲，其中第一用戶使用具有第一請求者SUP1的第一用戶駐地設備，所述第一請求者SUP1耦合到接入單元的第一埠P1，所述接入單元包含所述認證器AUTH1；並且第二用戶使用具有第二請求者SUP4的第二用戶駐地設備，所述第二請求者耦合到所述接入單元的第二埠P2。授權第一請求者SUP1接入認證器的數據通信網絡DCN的方法包括以下步驟由認證器AUTH1發送認證請求給耦合到其的認證伺服器AS；
由認證伺服器AS基於預定的規則和條件進行認證判決；以及由認證伺服器AS發送認證回復給認證器，所述認證回復包括所述認證判決的結果。
如上面所描述的那樣，認證判決包括必要條件的列表，其必須被滿足以允許用戶的接入。所述列表主要包括密碼的驗證，但是可能還包括指定用戶被允許接入的埠(諸埠)的客戶(諸客戶)。假定基於所述第一用戶的密碼驗證，授權所述第一請求者SUP1通過認證器的第一埠P1接入通信網絡。
現在，授權第二請求者SUP4接入認證器的數據通信網絡的方法包括同樣的步驟。基於所述第二用戶的密碼驗證，授權第二請求者SUP4通過認證器的第二埠P2接入通信網絡。然而，如果第二駐地設備使用例如MAC4的媒體接入控制地址，所述MAC4與第二請求者SUP4相關聯，其例如恰巧與媒體接入控制地址MAC1具有相同的值，所述MAC1由第一駐地設備所使用，即與第一請求者SUP1相關聯，在這種情況下，所述結果將還包括用於所述第二請求者的認證。這意味著，與媒體接入控制地址是否具有相同值無關，每個請求者將僅通過滿足所述密碼的必要條件來接收所述授權。
這導致了MAC地址的複製，以及由此導致了拒絕服務和/或服務降級的攻擊。
所述MAC地址複製通常由MAC數據層面或Internet協議層數據層面的解決方案所解決，例如MAC地址轉換、VLAN隔離或在接入節點自身的MAC地址註冊。
通過上面的方法，MAC地址複製主要在一個接入節點中被解決了，而與其它接入節點無關，並且其假設由於用戶不能知道彼此的MAC地址，因此MAC地址複製是較少的事件。然而，當允許同一接入節點的用戶和不同接入節點的用戶之間直接進行對等通信時，所述些解決方案將會失敗。當允許對等通信時，用戶將還知道彼此的MAC地址，並且因此任何用戶可以偷竊其他用戶的MAC地址。另外，這將導致拒絕服務和/或服務降級的攻擊。

發明內容
本發明的目的是提供授權請求者接入數據通信網絡的方法，以及執行所述方法的認證伺服器和認證器，例如上面已知的那些，但是其中，在數據通信網絡中的MAC地址複製是不允許的。
根據本發明，所述目的通過根據本發明的方法、根據本發明的認證伺服器和根據本發明的認證器來實現的。實際上，這是由於所述方法還包括由認證伺服器建立包括條目的註冊存儲器的事實。一個所述條目包括在例如SUP1的授權請求者的媒體接入控制地址和用於所述被授權的請求者的認證埠之間的關聯，所述被授權的請求者已經接收到通過所述認證埠P1接入所允許的數據通信網絡的授權。另外所述預定的規則和條件包括第一控制步驟，即，當有這樣的先前條目時，通過所述判決裝置的第一控制裝置來控制註冊存儲器，所述先前條目包括在所述請求者的媒體接入控制地址和所述認證器的埠之間的第一關聯。
實際上，由於建立了註冊存儲器，通過包括例如(MAC1、P1)的配對(與所述請求者相關聯的MAC地址；允許接入所通過的認證器的埠)的條目，例如SUP1的所有請求者被註冊到所述註冊存儲器中，所述請求者之前接收到認證，即接入所允許的數據通信網絡的授權。當認證伺服器從認證器接收到新認證請求用於例如期望接入的SUP4的特定請求者時，認證伺服器首先為所述特定請求者控制關聯條目的存在，所述關聯條目即在註冊存儲器中例如(MAC4，P2)的配對(特定請求者的相關MAC地址；預期接入所通過的認證器的埠)。所述信息，即特定請求者的相關MAC地址和預期接入所通過的認證器的埠，通常被發現於認證器的認證請求中。
除了執行通常的規則和條件以外，認證伺服器的所述第一控制步驟的執行，即考慮MAC地址-埠的關係，提供了認證判決的改進的結果，即所述結果現在排除了數據通信網絡中的MAC地址複製。
另外，認證器包括解釋器，以便當從實際上考慮了(MAC地址，埠)關聯的認證伺服器接收到認證回復時對其進行解釋。所述解釋器還根據認證回覆中結果的內容來設置所述認證器的過濾器。因此，如果所述結果包括對所述埠和對所述媒體接入控制地址的認證，由此具有所述媒體接入控制地址的所述請求者實際上被授權通過認證器的埠接入數據通信網絡，在這種情況下，所述過濾器被設置以便通過埠接受請求者的業務流，但是僅僅對於所指定的媒體接入控制地址。類似地，如果所述結果包括對所述埠和媒體接入控制地址的拒絕，由此拒絕具有所述媒體接入控制地址的請求者通過認證器的所述埠接入數據通信網絡，在這種情況下，設置過濾器拒絕請求者的所有業務流。
這意味著，僅對成功實現認證程序的MAC地址的請求者進行授權以通過認證器埠接入數據通信網絡。與已知的現有技術的解決方案相反，當成功實現認證程序時，通過所述埠的接入被授權用於所述申請者的所有業務流。業務流的過濾排除了惡意用戶要首先成功地實現對其正常MAC地址的認證程序，並且還要使用偷竊的MAC地址通過其認證器的埠接入數據通信網絡中的業務。本應用禁止了這個。
另外，在由認證伺服器所執行的第一控制步驟是肯定的情況下，根據本發明的方法還包括這樣的步驟，即，由判決裝置產生結果，所述結果包括對所述埠和對所述媒體接入控制地址的認證，並且因此授權具有所述媒體接入控制地址的所述請求者通過所述認證器的埠接入數據通信網絡。這意味著，當在註冊存儲器中發現請求配對(MAC地址，埠)的第一完全匹配時，所述相同的(MAC地址，埠)配對，即在所述認證器的相同埠上的所述相同請求者，之前已經接收了接入通信網絡的授權。所述請求者的用戶駐地設備的用戶期望再次接入網絡。允許再次接入沒有產生MAC地址複製，並且可以提供認證。這將在本說明書中描述。
另外，本說明書描述了在所述第一控制步驟是否定的情況下，所述方法還包括由第二控制裝置所執行的第二控制步驟，即，當有這樣的先前條目時控制所述註冊存儲器，其中所述先前條目包括請求者的媒體接入控制地址與任何其它埠之間的第二關聯，即對與註冊存儲器中條目的部分匹配的檢查。實際上，甚至當使所述條目與其它埠相關聯時，其中所述其它埠作為請求者請求接入所通過的埠，此時，基於例如SUP4的請求者的MAC地址的存在來控制註冊存儲器。在所述第二控制步驟是肯定的情況下，所述方法還包括由判決裝置產生結果的步驟，所述結果包括對所述埠和對所述媒體接入控制地址的拒絕，並且，認證伺服器由此拒絕與所述媒體接入控制地址相關聯的請求者通過認證器的請求埠接入數據通信網絡。實際上，在特定MAC地址之前已經註冊在註冊存儲器中的情況下，即使在另一個埠上允許具有所述特定MAC地址的請求者接入數據網絡，這也將會產生MAC複製。在MAC地址的註冊存儲器中與其它埠相關聯的條目的存在意味著要麼請求的請求者恰巧具有和已經註冊MAC地址的相同的特定MAC地址，要麼意味著惡意用戶已經偷竊了所述特定MAC地址並且其嘗試使用所述地址。在這兩種情況下都應當避免具有所述特定MAC地址的請求者接入數據通信網絡。這通過在判決裝置的結果中包括拒絕而實現。
必須注意到所述「第二關聯」並不意味著必須在所述註冊裝置中再次發現所述MAC地址。「第二關聯」僅意味著「第二類關聯」，即「第二類條目」，將在註冊存儲器中被查找。更準確地，由所述第二控制裝置控制關於所述配對(MAC地址；除了用於接收所述請求的埠以外的任何其它埠)的先前條目的存在。
最後，本說明書描述了，在所述第一控制步驟是否定的情況下，並且在所述第二控制步驟也是否定的情況下，所述方法還包括以下步驟插入新條目到所述註冊存儲器中，所述新條目包括例如SUP4的請求者的媒體接入控制地址和例如P2的認證器的埠；以及產生結果，所述結果包括對所述埠和對所述媒體接入控制地址的認證，並且由此授權具有所述媒體接入控制地址的請求者通過認證器的所述埠接入數據通信網絡。這意味著，在所述兩個控制步驟都是否定的情況下，所述MAC地址將不會在註冊存儲器中被發現，並且由此之前沒有授權所述請求者通過一個或其它埠進行接入。所述請求者在這種情況下使用具有新MAC地址的新硬體。所述新MAC地址會與所述請求者的埠相關聯地被註冊。在上面提到的例子中，與MAC1地址相關聯的請求者SUP1現在與新的MAC2地址相關聯。埠P1已經是存儲器註冊中的條目的一部分的事實是不相關的。因此，存儲器註冊可以包括與同一埠相關的幾個MAC地址。本發明的目的在於不會複製所述MAC條目。
另外，通過由判決裝置產生包括認證的結果來授權接入。
值得注意的是，在權利要求中所使用的「包括」不應被解釋為限於其後所列的內容。這樣，「包括裝置A和B的設備」的範圍不應限於僅包括部件A和B的設備。這意味著，就本發明來說，設備的僅相關部件是A和B。
類似地，應該注意到，同樣在權利要求中所使用的「耦合」不應被解釋為限於僅直接連接。這樣，「耦合到設備B的設備A」的範圍不應限於這樣的設備或系統，其中設備A的輸出直接連接到設備B的輸入。這意味著，在A的輸出和B的輸入之間有路徑，所述路徑可以是包括其它設備或裝置的路徑。


連同附圖，參考下面實施例的描述，本發明的上述及其它目的和特徵將變得更加清楚，並且本發明本身也將更好地被理解，其中圖1表示全球通信網絡。
具體實施例方式
根據本發明的設備依照圖1中所示的其電信環境的工作方式將通過其中所示的不同塊的功能描述的方式而被解釋。基於所述描述，所述塊的實際實現對於本技術領域人員來說是顯而易見的，並且因此不再詳細地進行描述。另外，將更詳細地描述所述授權請求者接入到數據通信網絡的方法的工作原理。
參考圖1，顯示了全球通信網絡。全球通信網絡包括兩個用戶駐地設備，即第一用戶駐地設備CPE1和第二用戶駐地設備CPE3、數據通信網絡DCN和認證伺服器AS。
第一和第二用戶駐地設備CPE1和CPE3每個都被耦合到數據通信網絡DCN。
認證伺服器AS也被耦合到數據通信網絡DCN。
第一用戶駐地設備包括3個終端單元，即TU1、TU2、TU3，以及網絡單元NU1。在所述優選實施例中，通過具有MAC接口MAC1的路由器的方式來實現網絡單元NU1，然而，這並不是對本發明的基本思想的任何限制。
另一個用戶駐地設備CPE3包括終端單元TU4。終端單元TU4具有MAC地址MAC4，並且包括請求者SUP4。以這種方式，請求者SUP4與網絡單元NU1的MAC4地址相關聯。
數據通信網絡DCN包括接入單元，所述接入單元包括多個埠。明確地示出了兩個埠P1和P2。接入單元的所述兩個埠被耦合到用戶駐地設備的每個上。更具體地，第一用戶駐地設備CPE1通過接入單元AU的第一埠P1耦合到數據通信網絡DCN上，而另一個用戶駐地設備CPE3通過接入單元AU的另一埠P2耦合到數據通信網絡上。接入單元AU包括認證器AUTH1，所述認證器包括發送器Tx、接收器Rx和過濾器FILT。發送器Tx和接收器Rx都被耦合到認證伺服器AS上。發送器Tx和接收器Rx還被耦合到解釋器INTPR上，所述解釋器又被耦合到過濾器FILT上。根據所述實施例，過濾器FILT還被耦合到接入單元AU的不同埠上。圖1中明確地示出了與兩個埠P1和P2的耦合。與其它埠的耦合僅以虛線被示出。
認證伺服器AS包括判決器DEC，所述判決器被耦合到認證伺服器AS的輸入/輸出上。判決器DEC包括第一控制器CONT1和第二控制器CONT2。
認證伺服器AS還包括註冊存儲器MEM，所述註冊存儲器被耦合到認證伺服器AS的輸入/輸出和判決器DEC上。
使請求者SUP1和SUP4、認證器AUTH1和認證伺服器AS能夠彼此通信，以便執行認證過程，並且因此最終授權請求者SUP1或SUP2通過認證器的相應埠而接入數據通信網絡。
現在將更詳細地進行描述。
在IEEE標準802.1X-2001的第8頁上解釋了控制和非控制的接入。基於埠的接入控制的操作具有這樣的效果，即，給認證器系統到區域網LAN的連接點產生的兩個不同接入點(圖1中沒有示出)。一個接入點允許在所述系統和LAN上的其它系統之間不管認證狀態而進行分組數據單元的非控制交換，即非控制埠，其中所述分組數據單元此後稱作PDU；另一個接入點僅在埠的當前狀態是授權的情況下允許PDU的交換，即控制埠。非控制和控制埠被認為是到LAN的同一連接點的一部分，例如用於請求者SUP1與認證器AUTH1進行協作的埠P1。在物理埠上所接收的任何幀在控制和非控制埠上都是可獲得的；並受制於與控制埠相關聯的認證狀態。
另外，再參考802.1X-2001的第8頁最後一段，通過可以向請求者系統提供一對一連接的任何物理或邏輯埠，可以提供到LAN的連接點。例如，可以通過在交換LAN基礎設施中的單個LAN MAC來提供所述連接點。在LAN環境中，其中所述MAC方法允許在認證器和請求者之間的一對多關係的可能性，例如在共享媒介環境中，對於802.1X-2001中所描述的接入控制機制的運行而言，在單個請求者和單個認證器之間的不同關聯的產生是必需的先決條件。
必需注意到，如上所解釋的那樣，不同的單個認證器的功能可以被集成到負責不同請求者的全局認證器中，所述不同的單個認證器每個都與不同的請求者相關聯。對於特定的實施例而言，所述具有一個集成認證器AUTH1的實現是優選的。然而，這並不是對本發明的原理思想的任何限制。
現在將解釋兩個請求者SUP1和SUP4、認證器AUTH1和認證伺服器AS在接入控制機制中的不同任務。
認證器AUTH1使用非控制埠(沒有示出)，用於與請求者交換協議信息，並且還負責執行請求者SUP1或SUP4中的一個的認證，所述請求者分別連到所述認證器的控制埠中的一個P1或P4上，以及因此負責控制相應控制埠的認證狀態。
為了執行認證，認證器AUTH1利用認證伺服器AS。認證伺服器AS可能和認證器AUTH1一起配置在同一系統中，或者其可能位於通過基於LAN或其它的遠程通信機制可接入的其它位置。所述優選實施例描述了同一DCN的所有認證器共有的認證伺服器AS。實際上MAC地址複製是涉及認證器所連接的整個乙太網通信網絡的問題，因此總的來說，應當為DCN解決所述問題。通過為連接到同一乙太網DCN的所有認證器具有同一AS來實現所述目標。
響應來自於認證器的請求PAE，請求者SUP1或SUP4負責將其證書傳遞給認證器AUTH1。請求者PAE還可能初始化認證交換，以及執行註銷(logoff)交換。
認證主要發生在系統初始化的時刻，或當請求者系統連接到認證器系統的埠上的時候。直到成功完成認證為止，請求者系統才能接入認證器系統以執行認證交換，或接入由認證器的系統所提供的任何業務，所述認證器的系統不受設置於認證器控制埠上的接入控制所限制。一旦成功完成認證，認證系統允許通過認證系統的控制埠完全接入到所提供的業務。
對於所述實施例，優選地定義了這樣的封裝格式，所述格式允許由LAN MAC業務直接承載認證消息。EAP的所述封裝格式被稱為LAN上的EAP或EAPOL，其用於在請求者SUP1和SUP4與認證器AUTH1之間的所有通信。認證器AUTH1然後執行EAP協議的重新打包，用於向前傳輸到認證伺服器AS。對於所述實施例，優選地用RADIUS來提供所述後面的通信。然而，必須注意到，這可以通過使用其它協議來實現。
另外，一旦認證程序開始，可以產生下面結果中的一個a)由於請求和響應序列中的過度超時，所述認證程序終止。產生異常中斷狀態。
b)由於認證伺服器AS返回「拒絕消息」給認證器AUTH1，所述認證程序終止，所述「拒絕消息」在這裡被稱作「包括含拒絕的結果的認證回復」。
c)由於認證伺服器AS返回「接受消息」給認證器AUTH1，所述認證程序終止，所述「接受消息」在這裡被稱作「包括含認證的結果的認證回復」。
如上解釋的那樣，例如SUP4的請求者期望接收到授權以便接入數據通信網絡DCN。請求者還與終端單元TU4的MAC4地址相關聯，並且被耦合到認證器AU的埠P2上。
為了獲得所述授權，認證器的發送器Tx發送認證請求給認證伺服器AS。認證伺服器AS基於預定規則和條件來進行認證判決。因此使用認證伺服器AS的判決器DEC。此後，認證伺服器AS發送包含認證判決結果的認證回復給認證器AUTH1。
然而，為了給請求者SUP4產生認證判決，根據本發明，認證伺服器AS還包括註冊存儲器MEM。所述註冊存儲器MEM包括條目。所述條目包括在媒體接入控制地址和認證埠P1之間的關聯，所述媒體接入控制地址例如是授權請求者SUP1的MAC1，所述認證埠P1正在被認證用於所述授權請求者，所述授權請求者已經通過所述認證埠P1接收到接入數據通信網絡DCN的授權。
判決器DEC基於預定規則和條件而產生認證判決的結果RES。然而，根據本發明，判決器DEC的第一控制器CONT1還執行第一控制步驟，即，當有這樣的先前條目時控制註冊存儲器MEM，其中所述先前條目包括在請求者SUP4的媒體接入控制地址MAC4和認證器的埠P2之間的第一關聯。
這意味著，可以在認證請求中發現的所述信息，媒體接入控制地址MAC4和認證器的埠P2，由判決器DEC從所述認證請求中提取。第一控制器CONT1使用所述信息作為註冊存儲器MEM的輸入。註冊存儲器MEM作為輸入接收(MAC4，P2)。
註冊存儲器MEM以OK消息或者以NOK消息對所述輸入進行反應，所述OK消息意味著在註冊存儲器MEM4中發現配對條目(MAC4，P2)，所述NOK消息意味著在註冊存儲器MEM4中沒有發現配對條目(MAC4，P2)。判決器DEC考慮所述OK消息或NOK消息以產生結果RES。
判決器DEC的認證判決RES的相應結果被包括在認證回覆中，並且被認證伺服器AS發送給認證器AUTH1。
認證器AUTH1的接收器Rx從認證伺服器AS接收認證回復。
認證器AUTH1的解釋器INTPR解釋接收於認證伺服器AS的認證回復，其中根據本發明，通過由第一控制器CONT2所執行的所述第一控制步驟，所述認證伺服器AS實際上能夠支持其認證判決。必須注意到，通過解碼器來實現所述解釋器，所述解碼器對接收於認證伺服器AS的認證回復進行解碼。
解釋器INTPR可以以不同方式實現。一種可能的方式是，根據包含在認證回覆中的參考，解釋器INTPR獲知其涉及哪個先前發送的認證請求，以及因此獲知其關於哪個請求者，例如SUP4。解釋器INTPR能夠基於請求者SUP4，從認證器AUTH1的資料庫中提取相關聯的MAC地址和埠，即MAC4和P2。另一種可能的實現是，不保存任何認證請求資料庫，並且解釋器INTPR依賴於認證回覆中的信息。這意味著，解釋器INTPR從認證回覆中提取包含於所述認證回覆中的埠和MAC地址。
根據上述兩種可能的實現，轉發所述信息給過濾器FILT，所述信息即相關MAC地址和埠，即在所述例子中的MAC4和P2。根據包含在所述認證回覆中的所述信息來設置過濾器FILT，並且接著，所述過濾器FILT相應地對埠P2的業務流進行過濾。這意味著-如果結果RES(AUTH)包括對埠P2和對MAC4地址的認證，由此實際上授權具有MAC4地址的請求者SUP4通過認證器AU的埠P2接入數據通信網絡DCN，在這種情況下，過濾器FILT接受通過埠P2的請求者SUP4的業務流，但是僅對由此給予授權的MAC4地址；並且
-如果結果RES(REF)包括對埠P2和對MAC4地址的拒絕，由此拒絕具有MAC4地址的請求者SUP4通過認證器AU的埠P2接入數據通信網絡DCN，在這種情況下，過濾器FILT拒絕具有MAC4地址的請求者SUP4的業務流。
必須注意到，過濾器FILT可以通過用於認證器AUTH1的所有埠的一個過濾器塊來實現，或者其還可以作為一個中心功能塊來實現，所述中心功能塊控制在認證器AUTH1的不同埠上的業務流。
通過在判決器DEC的認證判決期間考慮用於配對(MAC地址，埠)關係的潛在早先授權，或者通過相應地設置認證器AUTH1的埠P2用於請求的請求者SUP4，即在認證結果的情況下，僅允許用於被提供授權的MAC地址MAC4的業務流，這樣避免了對複製MAC地址的接入進行授權，並預先考慮了惡意用戶。
在下面的段落中，所述第一控制步驟將進一步被解釋，並且將介紹第二控制步驟。
如果第一控制步驟是肯定的，這意味著在註冊存儲器MEM4(圖1中沒有示出)中發現了條目(MAC4，P2)，在這種情況下，判決器DEC產生結果RES(AUTH)，所述結果RES包含對埠P2和對MAC4地址的認證，由此授權具有MAC4地址的請求者SUP4通過認證器AU的埠P2接入數據通信網絡DCN。
如果第一控制步驟是否定的，這意味著在註冊存儲器MEM4(圖1中沒有示出)中沒有發現了條目(MAC4，P2)，在這種情況下，判決器DEC包括第二控制器CONT2，以便當有這樣的先前條目時在註冊存儲器MEM上執行第二控制，其中所述先前條目包括在請求者SUP4的MAC地址MAC4與其它埠之間的第二類關聯，即配對(MAC4；除了在授權請求中的埠以外的任何其它埠)。在第二控制是否定的情況下，判決器DEC產生包括對埠P2和對MAC地址的拒絕的結果RES(REF)，由此拒絕具有MAC4地址的請求者SUP4通過認證器AU的埠P2接入數據通信網絡DCN。
必須注意到，所述第二控制器CONT2可以作為和所述第一控制器CONT1一樣的另一個功能塊來實現。然而，必須解釋，兩種控制器可以通過一個且相同的功能塊來實現。根據所述實現，由所述全局控制器所使用的參數以不同方式來定義，所述不同的方式取決於會被執行的不同控制步驟，即以例如(MAC4，P2)作為輸入的第一控制步驟，或者以例如(MAC4，除了P2的任何其它埠)作為輸入的第二控制步驟。
另外，必須解釋，兩個控制步驟也都可以通過一個全局控制步驟的執行來實現，所述全局控制步驟不是提供OK消息或Not OK消息，而是提供更詳細的反饋，例如(MAC OK；P2 NOK)，這意味著在註冊存儲器MEM中發現了MAC4與其它埠相關聯。然而，實現的不同方式的詳細描述超出了本發明的目的的範圍。
在第一控制是否定的情況下，並且在第二控制是否定的情況下，認證伺服器AS插入新的條目到註冊存儲器MEM中，所述條目包括請求者SUP4的MAC4地址和認證器埠P2。另外，判決器DEC產生包括對埠P2和對媒體接入控制地址MAC4的認證的結果RES(AUTH)，由此授權具有MAC4地址的請求者SUP4通過認證器AU的埠P2接入數據通信網絡DCN。
最後注意到，本發明的實施例在上面是以功能模塊的方式來描述的。根據上面給出的所述塊的功能描述，對於設計電子設備領域的技術人員來說，如何通過已知的電子部件來製造這些塊的實施例是顯而易見的。因此沒有給出所述功能塊的內容的詳細結構。
儘管上面已經就具體的裝置描述了本發明的原理，但是可以清楚地知道，所述描述僅是以例子的方式來進行的，並不像所附權利要求那樣作為對本發明範圍的限制。
權利要求
1.授權請求者(SUP4)接入數據通信網絡(DCN)的方法，所述請求者已經與媒體接入控制地址(MAC4)相關聯，並且被耦合到所述數據通信網絡(DCN)的認證器(AU)的埠(P2)上，所述方法包括以下步驟由所述認證器(AUTH)發送認證請求給耦合到其的認證伺服器(AS)；以及由所述認證伺服器(AS)基於預定的規則和條件進行認證判決；以及由所述認證伺服器(AS)發送認證回復給所述認證器(AU)，所述認證回復包括所述認證判決的結果，其特徵在於，所述方法還包括以下步驟由所述認證伺服器(AS)建立包括條目的註冊存儲器(MEM)，由此，條目包括在被授權的請求者(SUP1)的媒體接入控制地址(MAC1)與用於所述被授權的請求者的認證埠(P1)之間的關聯，所述認證請求者已經接收了通過所述認證埠(P1)接入所允許的數據通信網絡(DCN)的授權；以及所述預定的規則和條件包括第一控制步驟，即，當有這樣的先前條目時控制所述註冊存儲器(MEM)，所述先前條目包括在所述請求者(SUP4)的所述媒體接入控制地址(MAC4)和所述認證器的所述埠(P2)之間的第一關聯。
2.根據權利要求1的授權請求者(SUP4)接入數據通信網絡(DCN)的方法，在所述第一控制步驟是肯定的情況下，所述方法還包括這樣的步驟，即，產生包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的認證的結果，並且因此授權具有所述媒體接入控制地址(MAC4)的所述請求者(SUP4)通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)。
3.根據權利要求1的授權請求者(SUP4)接入數據通信網絡(DCN)的方法，在所述第一控制步驟是否定的情況下，所述方法還包括第二控制步驟，即，當有這樣的先前條目時控制所述註冊存儲器(MEM)，其中所述先前條目包括在所述請求者的所述媒體接入控制地址(MAC4)與任何其它埠之間的第二關聯，由此，在所述第二控制步驟是肯定的情況下，所述方法還包括這樣的步驟，即，產生包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的拒絕的結果，並且因此拒絕具有所述媒體接入控制地址(MAC4)的所述請求者(SUP4)通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)。
4.根據權利要求3的授權請求者(SUP4)接入數據通信網絡(DCN)的方法，在所述第一控制步驟為否定並且所述第二控制步驟也為否定的情況下，所述方法還包括以下步驟在所述註冊存儲器(MEM)中插入新條目，所述新條目包括所述請求者的所述媒體接入控制地址(MAC4)和所述認證器的所述埠(P2)；以及產生包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的認證的結果，並且因此授權具有所述媒體接入控制地址(MAC4)的所述請求者(SUP4)通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)。
5.認證伺服器(AS)，當接收到來自於認證器(AUTH)的認證請求時，所述認證伺服器發送認證回復給所述認證器(AU)，所述認證回復包括認證判決的結果，所述認證伺服器(AS)包括判決裝置(DEC)，以產生基於預定規則和條件的認證判決的所述結果，所述認證請求涉及授權請求者(SUP4)接入數據通信網絡(DCN)的許可，所述請求者已經與媒體接入控制地址(MAC4)相關聯，並且被耦合到所述數據通信網路(DCN)的所述認證器(AU)的埠(P2)上，其特徵在於，所述認證伺服器(AS)還包括被耦合到所述判決裝置(DEC)上的註冊存儲器(MEM)，所述註冊存儲器(MEM)包括條目，由此，條目包括在被授權的請求者(SUP1)的媒體接入控制地址(MAC1)與用於所述被授權的請求者的認證埠(P1)之間的關聯，所述被授權的請求者已經接收到通過所述認證的埠(P1)接入所允許的數據通信網絡(DCN)的授權；以及所述判決裝置包括第一控制裝置(CONT1)，當有這樣的先前條目時，所述第一控制裝置在所述註冊存儲器(MEM)上執行第一控制，其中所述先前條目包括在所述請求者(SUP4)的所述媒體接入控制地址(MAC4)和所述認證器的所述埠(P2)之間的第一關聯。
6.根據權利要求5的認證伺服器(AS)，在所述第一控制是肯定的情況下，所述判決裝置(DEC)產生包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的認證的結果(RES(AUTH))，由此，具有所述媒體接入控制地址(MAC4)的所述請求者(SUP4)被授權通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)。
7.根據權利要求5的認證伺服器(AS)，在所述第一控制是否定的情況下，所述判決裝置包括第二控制裝置(CONT2)，當有這樣的先前條目時，所述第二控制裝置在所述註冊存儲器(MEM)上執行第二控制，其中所述先前條目包括在所述請求者的所述媒體接入控制地址(MAC4)與其它埠之間的第二關聯，並且由此，在所述第二控制是肯定的情況下，所述判決裝置(DEC)產生包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的拒絕的結果(RES(REF))，由此具有所述媒體接入控制地址(MAC4)的所述請求者(SUP4)被拒絕通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)。
8.根據權利要求7的認證伺服器(AS)，在所述第一控制是否定的情況下，並且所述第二控制也是否定的情況下，所述認證伺服器(AS)在所述註冊存儲器(MEM)中插入新條目，所述新條目包括所述請求者的所述媒體接入控制地址(MAC4)和所述認證器的所述埠(P2)；並且，所述判決裝置(DEC)產生包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的認證的結果(RES(AUTH))，由此，具有所述媒體接入控制地址(MAC4)的所述請求者(SUP4)被授權通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)。
9.一種要使請求者(SUP4)能夠接入數據通信網絡(DCN)的認證器(AUTH1)，所述請求者與媒體接入控制地址(MAC4)相關聯，並且被耦合到所述數據通信網絡(DCN)的所述認證器(AU)的埠(P2)上，所述認證器(AUTH)因此包括發送器(Tx)，以發送認證請求給被耦合到所述認證器(AU)上的認證伺服器(AS)；以及接收器(Rx)，以從所述認證伺服器(AS)接收認證回復，其中所述認證回復包括基於預定規則和條件的認證判決的結果，其特徵在於，所述認證器(AUTH)包括解釋器(INTPR)，以便根據權利要求1來解釋從認證伺服器(AS)所接收的所述認證回復，並且相應地設置所述認證器(AUTH1)的過濾器，由此，如果所述結果(RES(AUTH))包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的認證，由此具有所述媒體接入控制(MAC4)的所述請求者(SUP4)被授權通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)，在這種情況下，所述過濾器僅對所述媒體接入控制地址(MAC4)來通過所述埠(P2)接受所述請求者(SUP4)的業務流；並且由此，如果所述結果(RES(REF))包括對所述埠(P2)和對所述媒體接入控制地址(MAC4)的拒絕，由此具有所述媒體接入控制(MAC4)的所述請求者(SUP4)被拒絕通過所述認證器(AU)的所述埠(P2)接入所述數據通信網絡(DCN)，在這種情況下，所述過濾器拒絕所述請求者(SUP4)的業務流。
全文摘要
授權請求者接入數據通信網絡的方法和相關設備。請求者與媒體接入控制地址相關聯，且被耦合到數據通信網絡的認證器的埠。所述方法包括認證器發送認證請求給耦合到其的認證伺服器；認證伺服器基於預定規則和條件進行認證判決；及認證伺服器發送認證回復給認證器，所述認證回復包括認證判決的結果。所述方法還包括由認證伺服器建立包括條目的註冊存儲器，由此條目包括在媒體接入控制地址與埠之間的關聯，所述認證的請求者已接收到通過認證的埠接入數據通信網絡的授權；及所述方法還包括預定的規則和條件包括第一控制步驟，即當有這樣的先前條目時控制註冊存儲器，所述先前條目包括在媒體接入控制地址和埠之間的第一關聯。
文檔編號H04L29/06GK1665189SQ200510051200
公開日2005年9月7日 申請日期2005年3月2日 優先權日2004年3月2日
發明者耶格 J·E·R·德, E·A·C·西克斯, M·A·T·貝克, D·帕帕季米特裡烏 申請人:阿爾卡特公司