基於802.1x認證系統的權限控制方法及系統的製作方法

2023-06-03 02:21:21 1

專利名稱：基於802.1x認證系統的權限控制方法及系統的製作方法
技術領域：
本發明涉及802.1 x認證技術領域，具體涉及基於802.1 x認證系統的權限控制方法及系統。
背景技術：
電氣和電子工禾呈師f辦i義(IEEE， Institute of Electrical and Electronics Engineer) 802.1x協議是一種基於埠的網絡接入控制協議。"基於埠的 網絡接入控制，，是指在區域網接入設備的埠這一級對所接入的用戶設備進 行認證和控制。連4委在埠上的用戶設備如果能通過認證，就可以訪問局域 網中的資源；否則，無法訪問區域網中的資源。802.1x系統為典型的客戶端/伺服器結構，圖l給出了 802.1x認證系統 的體系結構，如圖l所示，該結構中包括三個實體客戶端、設備端和認證 伺服器。客戶端是位於區域網段一端的一個實體，由該鏈路另一端的設備端對其 進行認證。客戶端一般為一個用戶終端設備，用戶可以通過啟動客戶端軟體 發起802.IX認證。客戶端必須支持區域網上的可擴展認證協議(EAPOL， Extensible Authentication Protocol over LAN)。設備端是位於區域網段一端的另一個實體，對所連接的客戶端進行認 證。設備端通常為支持802.1X協議的網絡設備，它為客戶端提供接入局域 網的埠，該埠可以是物理埠，也可以是邏輯埠。認證伺服器是為設備端提供認證服務的實體。認'證伺服器用於實現對用 戶進行認證、授權和計費，通常為遠程認證撥號用戶服務(RADIUS, Remote Authentication Dial-In User Service)月良務器。iU正過程可以由客戶端主動發起，也可以由設備端發起。 一方面當i殳備 端探測到有未經過認證的用戶使用網絡時，就會主動向客戶端發送 EAP-Request/Identity才艮文，發起認i正；另 一方面客戶端可以通過客戶端軟體 向設備端發送EAPOL-Start報文，發起認證。802.1x系統支持EAP中繼方式和EAP終結方式與遠端RADIUS伺服器 交互完成認證。EAP中繼方式是IEEE 802. lx標準規定的，將EAP承載在其它高層協議 中，如EAP over RADIUS,以便擴展認證協議報文穿越複雜的網絡到達 RADIUS伺服器。 一般來說，EAP中繼方式需要RADIUS伺服器支持EAP 屬性EAP-Message和Message-Authenticates目前設備支持的EAP中繼方法有四種EAP-信息摘要(MD, Message Digest) 5、 EAP-傳輸層安全(TLS， Transport Layer Security) 、 EAP-隧道 傳豐命層安全(TTLS, Tunneled Transport Layer Security)和受<呆護的擴展{人 證協議(PEAP， Protected Extensible Authentication Protocol),其中EAP-MD5:驗證客戶端的身份，RADIUS伺服器發送MD5加密字給客 戶端，客戶端用該加密字對口令部分進行加密處理。EAP-TLS:客戶端和RADIUS伺服器端通過EAP-TLS認證方法檢查彼 此的安全證書，驗證對方身份，保證通信目的端的正確性，防止網絡數據被 竊聽。EAP-TTLS:是對EAP-TLS的一種擴展。在EAP-TLS中，實現對客戶 端和RADIUS伺服器的雙向認證。EAP-TTLS擴展了這種實現，使用TLS 建立起來的安全隧道傳遞信息。PEAP:首先創建和使用TLS安全通道來進行完整性保護，然後進行新 的EAP協商，從而完成對客戶端的身份驗證。 圖2為現有的IEEE 802.1x認證系統的EAP-MD5方式的業務流程圖， 本流程以客戶端發起iL證為例，如圖2所示，其具體步驟如下步驟201:當用戶有訪問網絡需求時打開802.1x客戶端程序，輸入已經申請、登記過的用戶名和密碼，客戶端發起EAPOL開始(EAPOL-Start)報 文，啟動認證過程。步驟202:設備端收到EAPOL-Start報文後，發出EAP身份請求 (EAP-Request/Identity)報文，要求客戶端發送輸入的用戶名。步驟203:客戶端接收到EAP-Request/Identity報文，將用戶名通過EAP 身份響應(EAP-Response/Identity )報文發送給設備端；設備端將 EAP-Response/Identity數據包封裝在RADIUS接入請求(RADIUS Access-Request)報文中發送給RADIUS伺服器。步驟204: RADIUS伺服器收到設備端轉發的用戶名後，將該用戶名與 資料庫中的用戶名對比，找到該用戶名對應的密碼，用隨機生成的一個加密 字對該密碼進行加密處理，同時將該加密字通過RADIUS接入挑戰(RADIUS Access-Challenge "艮文發送給設備端，設備端將該加密字通過RADIUS MD5 挑戰請求(EAP-Request/MD5 Challenge )報文轉發給客戶端。步驟205:客戶端收到由設備端傳來的加密字後，用該加密字對密碼進 行加密處理，將加密的密碼通過EAP MD5 4兆戰響應(EAP-Response/MD5 Challenge)報文發送給設備端，設備端將該加密的密碼通過RADIUS接入 請求(RADIUS Access-Request)淨艮文傳給RADIUS月良務器。步驟206: RADIUS伺服器將收到的已加密的密碼和本地經過加密運算 後的密碼對比，若相同，認為該用戶為合法用戶，向i殳備端返回RADIUS 接入接受(RADIUS Access-Accept )淨艮文，設備端收到RADIUS Access-Accept 才艮文後，向客戶端返回EAP成功(EAP-Success)寺艮文。步驟207:設備收到EAP-Success報文後將埠改為授權狀態，允許用 戶通過埠訪問網糹各。此後，設備端會向客戶端定期發送握手請求報文 (EAPOL-Request/Identity),對用戶的在線情況進行監測。預設情況下， 若連續兩次握手請求報文都得不到客戶端應答，設備端就會讓用戶下線，防 止用戶因為異常原因下線而設備端無法感知。客戶端也可以發送EAPOL下7線(EAPOL-Logoff)報文給設備端，主動要求下.線。用戶下線後，設備端 將埠狀態從授權狀態改變成未授權狀態。EAP終結方式與EAP中繼方式的認證流程相比，不同之處在於用於對 用戶密碼進行加密處理的隨機加密字由設備端生成，之後設備端會將用戶 名、隨機加密字和客戶端加密後的密碼一起送給RADIUS伺服器，進行相關 的"^人i正處理。訪問控制列表(ACL ， Access Control List)提供了控制用戶訪問網絡資 源和限制用戶訪問權限的功能。當用戶上線時，如果RADIUS伺服器上配置 了授權ACL,則設備端會根據RADIUS伺服器下發的授權ACL對用戶所在 埠的數據流進行控制。現有的IPv6網絡組網中，使用802.1 x提供接入認證，但只是簡單地控 制埠的報文收發，網絡管理員不能得知接入用戶的IPv6地址，也不能使 用接入用戶的IPv6地址對用戶進行權限控制。發明內容本發明提供基於802.1x認證系統的權限控制方法及系統，以實現802.1x 認證系統中基於用戶IP位址的權限控制。 本發明的技術方案是這樣實現的一種基於802.1x認證系統的權限控制方法，該方法包括客戶端獲取自身的IP位址，將該IP位址攜帶在可擴展認證協議EAP身份響應報文中發送給設備端，設備端將該IP位址發送給認證伺服器； 認證伺服器根據客戶端的IP位址，對客戶端進行權限控制。 所述IP位址攜帶在EAP身份響應報文的身份標識域中。 所述IP位址附加在身份標識域中的用戶名頭部。 所述攜帶在EAP身份響應報文的身份標識域中的IP位址多於一個。 所述IP位址為IPv6地址，且所有IPv6地址的前綴相同，則所述身l分標識域中只包含一個IPv6地址前綴，同時包含每個IPv6地址對應的接口標識。所述客戶端獲取自身的IP位址為客戶端在802.1x認證過程開始前獲耳又 自身的IP位址;所述客戶端將該IP位址攜帶在EAP身份響應報文中發送給設備端為客戶端在收到設備端發來的要求輸入用戶名的EAP身份請求報文後，將自 身的IPv6地址和用戶名攜帶在EAP身份響應報文中發送給設備端。所述客戶端獲取自身的IP位址為客戶端在802.1x認證過程結束後，獲 取自身的IP位址；所述客戶端將該IP位址攜帶在EAP身份響應報文中發送給設備端為客戶端在收到設備端發來的請求握手的EAP身份請求報文後，將自身的 IPv6地址攜帶在響應握手的EAP身份響應報文中發送給設備端。所述認證伺服器為遠程認證撥號用戶服務RADIUS伺服器，所述設備端將該IP位址發送給認證伺服器包括設備端將該IP位址通過RADIUS IPv4或IPv6標準屬性上報給RADIUS服 務器；或者，所述設備端將EAP身份響應數據包封裝在RADIUS報文中上報給RADIUS伺服器，且RADIUS伺服器通過解析RADIUS報文中的EAP身份響應數據包，得到客戶端的IP位址。所述認證伺服器根據客戶端的IP位址對客戶端進行權限控制包括 認證伺服器判斷客戶端的IP位址是否合法，若合法，則允許客戶端在線；否則，通知設備端拒絕客戶端在線。所述EAP身份響應報文進一步包括客戶端的用戶名，且，所述設備端將該IP位址發送給認證伺服器進一步包括客戶端將用戶名發送給認證伺服器；所述認證伺服器根據客戶端的IP位址對客戶端進行權限控制包括認證伺服器查找與該用戶名對應的接入控制列表ACL，以客戶端的IP位址更新ACL中的源IP位址項內容，將該ACL下發給設備端，設備端根據該ACL對客戶端的後續數據流進行控制。9所述認證伺服器根據客戶端的IP位址對客戶端進行權限控制包括認證伺服器保存客戶端的IP位址，根據客戶端的IP位址對客戶端的後續 動作進行跟蹤。所述認證伺服器根據客戶端的IP位址對客戶端進行權限控制之後進一步包括客戶端發現自身的IP位址更改，將更改後的IP位址攜帶在EAP身份響應 報文中發送給設備端，轉至所述設備端將該IP位址發送給認證伺服器的動作。 一種基於802.1x認證系統的權限控制系統，該系統包括 客戶端，獲取自身的IP位址，將該IP位址攜帶在EAP身份響應報文中發 送給設備端；設備端，將客戶端發來的IP位址發送給iU正伺服器； 認證伺服器，根據設備端發來的客戶端的IP位址，對客戶端進行權限控制。 所述客戶端進一步用於，發現自身的IP位址更改，將更改後的IP位址攜 帶在EAP身份響應報文中發送給設備端。 所述客戶端包括IP位址獲取模塊，荻取自身的IP位址；認證模塊，802.1認證過程開始，向IP位址獲取模塊查詢是否已獲取了本 客戶端的IP位址，若是，將該IP位址通過EAP身份響應報文發送給設備端； 否則，向握手才莫塊發送IP位址上報指示；握手模塊，接收IP位址上報指示，當收到設備端發來的用於握手的EAP 身份請求報文時，向IP位址獲取模塊查詢是否已獲取了本客戶端的IP位址， 若是，將該IP位址攜帶在用於握手的EAP身份響應報文中發送給設備端。與現有技術相比，本發明中，客戶端獲取自身的IP位址，將該IP位址 攜帶在EAP身份響應報文中發送給設備端，設備端將該IP位址發送給認證 伺服器，認證伺服器根據客戶端的IP位址對客戶端進行權限控制。本發明 實現了 802.1x認證系統中基於用戶IP位址的權限控制。另外，本發明實施例可以支持多個IP位址的上報，當客戶端具有多個分成前綴+接口 ID的形式，從 而節省IPv6地址佔用的字節數。


圖1為現有的802.1x認證系統的體系結構示意圖；圖2為現有的IEEE 802.1x認證系統的EAP-MD5方式的業務流程圖；圖3為本發明提供的基於802.1x認證系統的權限控制方法流程圖；圖4為本發明實施例提供的基於802.1x認證系統的權限控制方法流程圖；圖5為本發明提供的基於802.1x認證系統的權限控制系統的組成圖； 圖6為本發明實施例提供的客戶端的組成圖。
具體實施方式
下面結合附圖及具體實施例對本發明再作進一步詳細的說明。 圖3為本發明提供的基於802.1x認證系統的權限控制方法流程圖，如 圖3所示，其具體步驟如下步驟301:客戶端獲取自身的IPv6地址。客戶端可通過作業系統的應用編程j妻口 ( API ， Application Program Interface)獲取網卡配置成功的IPv6地址。客戶端的IPv6地址可通過多種 方式配置，如手工配置、鄰居發現(ND, Neighbor Discovery)無狀態自動 配置、動態主機配置協議(DHCP， Dynamic Host Configuration Protocol)有狀態自動配置等。步驟302:客戶端將自身的IPv6地址攜帶在EAP-Response/Identity報文 中發送給設備端。如果網卡為客戶端配置了多個IPv6地址，則客戶端可獲取最先配置的 預定數目個IPv6地址上報給設備端。這裡的EAP-Response/Identity報文可以是802.1x認證過程中客戶端發送的用於上報用戶名的EAP-Response/Identity報文，也可以是802.lx認證 結束後客戶端發送的用於握手的EAP-Response/Identity報文。步驟303:設備端接收EAP-Response/Identity報文，將客戶端的IPv6 地址通過RADIUS報文上報給RADIUS伺服器。若RADIUS伺服器可以解析出EAP-Response/Identity數據包中的IPv6 地址，則本步驟中，設備端可以直接將EAP-Response/Identity數據包封裝在 RADIUS報文中發送給RADIUS伺服器，RADIUS伺服器收到RADIUS報 文後，會從EAP-Response/Identity數據包中解析出客戶端的IPv6地址。若RADIUS伺服器不能解析EAP-Response/Identity數據包，則本步驟 中，設備端收到EAP-Response/Identity報文後，要先解析出客戶端的IPv6 地址，然後將該IPv6地址通過RADIUS IPv6標準屬性上報給RADIUS服務 器；同時，將去掉客戶端的IPv6地址的EAP-Response/Identity數據包封裝 成RADIUS的EAP擴展屬性報文發送給RADIUS伺服器。RFC3162中定義的RADIUS IPv6標準屬性如下96號屬性Framed—Interface—Id，表示登錄用戶的IPv6地址的接口 ID 97號屬性Framed—IPv6—Prefix,表示登錄用戶的IPv6地址的前綴 98號屬性Login—IPv6—Host,表示登錄用戶的IPv6地址 這裡，設備端也可以記錄客戶端的IPv6地址，以對客戶端的後續動作 進行跟蹤。步驟304: RADIUS伺服器4姿收到客戶端的IPv6地址，衝艮據該客戶端的 IPv6地址對客戶端進行權限控制。 對客戶端的權限控制可以如下一、確定是否允許客戶端在線。具體地RADIUS伺服器判斷客戶端的 IPv6地址是否合法，若是，則允許客戶端在線；否則，通知設備端不允許客 戶端在線。若設備端同時上報了客戶端的一個以上IPv6地址，則RADIUS伺服器 要依次判斷每個IPv6地址的合法性，只有客戶端使用合法的IPv6地址登錄時，才允許客戶端在線。二、 向設備端下發客戶端的ACL。該ACL中包含源IPv6地址項，當客 戶端未上報IPv6地址時，該項為空，ACL不生效；當RADIUS伺服器收到 客戶端上報的IPv6地址後，根據客戶端的用戶名查找到ACL,將客戶端的 IPv6地址添入該ACL的源IPv6地址項，該ACL生效，將該ACL下發給設 備端，設備端使用該ACL對客戶端的數據流進行控制。若設備端同時上報了客戶端的 一個以上IPv6地址，則RADIUS伺服器 將上報的所有IPv6地址都添加到ACL的源IPv6地址項。三、 對客戶端的後續動作進行跟蹤，這裡要求RADIUS伺服器記錄客 戶端的IPv6地址。例如可根據客戶端的IPv6地址查看該客戶端是否攻擊 了其它設備或者是否受到了其它設備的攻擊。步驟305:客戶端發現自身的IPv6地址更改，將更改後的IPv6地址攜 帶在EAP-Response/Identity報文中發送給設備端，返回步驟303。當客戶端的IPv6地址更改後，若RADIUS伺服器對客戶端的權限控制 屬於步驟304提到的第二條，則RADIUS伺服器要以更改後的客戶端IPv6 地址替換ACL中的源IPv6地址項的內容，並將更新的ACL下發給設備端， 設備端使用該更新後的ACL對客戶端的後續數據流進行控制。圖4為本發明實施例提供的基於802.1x認證系統的權限控制方法流程 圖，本實施例以通過ACL對客戶端進行權限控制為例，其具體步驟如下步驟400: RADIUS月良務器保存用戶名與ACL的對應關係。步驟401: 802.1x認證過程開始，客戶端接收設備端發來的 EAP-Request/Identity才艮文。步驟402:客戶端判斷是否已獲取到自身的IPv6地址，若是，執行步 驟403;否則，執行步驟407。步驟403 : 客戶端將自身的用戶名和IPv6地址攜帶在 EAP-Response/Identity報文中發送給設備端。用戶名是攜帶在EAP-Response/Identity報文的身份標識(Identifier)域中的，本步驟中，IPv6地址也是攜帶在Identifier域中，且IPv6地址附加在 用戶名的頭部，每個IPv6地址可佔用18個字節，該18個字節的取值及含 義如下0x15,表示IP位址上傳，佔用1位元組；0x06,表示IP位址為IPv6地 址，佔用l字節；具體的IPv6地址，佔用16位元組。為了減少IPv6地址佔用的長度，對於具有相同前綴的多個IPv6地址， 可採用如下方式附加在用戶名頭部0x15,表示1P地址上傳，佔用l字節；0x16,表示IPv6前綴，佔用1 字節；IPv6前綴，佔用8位元組；0x15,表示IP位址上傳，佔用l字節；0x26,表示IPv6接口ID,佔用 l字節；IPv6接口ID，佔用8位元組。每個IPv6前綴後可跟一個以上接口 ID, IPv6前綴+—個IPv6接口 ID 組成一個IPv6地址。若客戶端4吏用設備端分配的前綴，則可以不在 EAP-Response/Identity報文中攜帶IPv6前綴，直接攜帶各IPv6接口 ID即可； 設備端收到EAP-Response/Identity報文中後，發現Identifier域中只攜帶了 IPv6接口 ID,則使用自身為客戶端分配的前綴與各IPv6接口 ID分別組合 形成客戶端的各IPv6地址。步驟 404 : 設備端收到 EAP-Response/Identity 報文，將 EAP-Response/Identity數據包裝在RADIUS Access-Request淨艮文中發送給 RADIUS月良務器。步驟405: RADIUS伺服器接收RADIUS Access-Request報文，解析出 客戶端的IPv6地址和用戶名，查找與客戶端的用戶名對應的ACL。步驟406: RADIUS伺服器將客戶端的IPv6地址添加到ACL的源IPv6 地址項中，將該ACL下發給設備端，設備端根據該ACL對客戶端的數據流 進行控制，轉至步驟411。步驟407:客戶端將自身的用戶名攜帶在EAP-Response/Identity報文中 發送給設備端，完成後續認證過程。14步驟408:客戶端發現已獲取到自身的IPv6地址，則將該IPv6地址攜 帶在握手響應報文EAP-Response/Identity報文中發送給設備端。步驟409:設備端收到EAP-Response/Identity報文，解析出客戶端的IPv6 地址，將該IPv6地址通過RADIUS IPv6標準屬性上報給RADIUS伺服器， 同時將客戶端的用戶名通過RADIUS報文上報給RADIUS伺服器。步驟410: RADIUS伺服器接收客戶端的IPv6地址和用戶名，查找與用 戶名對應的ACL，返回步驟406。步驟411:客戶端發現自身的IPv6地址更改，將更改後的IPv6地址攜 帶在EAP-Response/Identity報文中發送給設備端，返回步驟409。圖3、 4所示實施例同樣適用於IPv4地址。圖5為本發明實施例提供的基於802.1x認證系統的權限控制系統的組 成圖，如圖5所示，其主要包括客戶端51、設備端52和認證伺服器53, 其中客戶端51:獲取自身的IP位址，將該IP位址攜帶在EAP身份響應報文中 發送給設備端52。客戶端51還可用於，當發現自身的IP位址更改時，將更改後的IP位址攜 帶在EAP身份響應報文中發送給設備端52。設備端52:接收客戶端51發來的EAP身份響應報文，將報文中的客戶端 的IP位址通過RADIUS報文發送給認證伺服器53。認證伺服器53:根據設備端52發來的客戶端的IP位址，對客戶端進行權 限控制。如圖6所示，客戶端51可包括IP位址獲取模塊511、認證模塊512和握 手模塊5B,其中IP ^L址獲取模塊511:獲取自身的IP位址。認證模塊512: 802.1認證過程開始，向IP位址獲取模塊511查詢是否已 獲取了本客戶端的IP位址，若是，將該IP位址通過EAP身份響應報文發送給 設備端52;否則，向握手模塊513發送IP位址上報指示。握手模塊513:接收認證模塊512發來的IP位址上報指示，當收到設 備端52發來的用於握手的EAP身份請求報文時，向IP位址獲取模塊511 查詢是否已獲取了本客戶端的IP位址，若是，將該IP位址攜帶在用於握手 的EAP身份響應報文中發送給設備端52;否則，直接向設備端52發送用於 握手的EAP身份響應報文。以上所述僅為本發明的過程及方法實施例，並不用以限制本發明，凡在 本發明的精神和原則之內所做的任何修改、等同替換、改進等，均應包含在 本發明的保護範圍之內。
權利要求
1、一種基於802.1x認證系統的權限控制方法，其特徵在於，該方法包括客戶端獲取自身的IP位址，將該IP位址攜帶在可擴展認證協議EAP身份響應報文中發送給設備端，設備端將該IP位址發送給認證伺服器；認證伺服器根據客戶端的IP位址，對客戶端進行權限控制。
2、 如權利要求l所述的方法，其特徵在於，所述IP位址攜帶在EAP身份 響應報文的身份標識域中。
3、 如權利要求2所述的方法，其特徵在於，所述IP位址附加在身份標識 域中的用戶名頭部。
4、 如權利要求2或3所述的方法，其特徵在於，所述攜帶在EAP身份響 應報文的身份標識域中的IP位址多於一個。
5、 如權利要求2或3所述的方法，其特徵在於，所述IP位址為IPv6地址， 且所有IPv6地址的前綴相同，則所述身份標識域中只包含一個IPv6地址前綴， 同時包含每個IPv6地址對應的接口標識。
6、 如權利要求1所述的方法，其特徵在於，所述客戶端獲取自身的IP地 址為客戶端在802.1x認證過程開始前獲取自身的IP位址；所述客戶端將該IP位址攜帶在EAP身份響應報文中發送給設備端為 客戶端在收到設備端發來的要求輸入用戶名的EAP身份請求報文後，將自 身的IPv6地址和用戶名攜帶在EAP身份響應報文中發送給設備端。
7、 如權利要求1所述的方法，其特徵在於，所述客戶端獲取自身的IP地 址為客戶端在802.1x認證過程結束後，獲耳又自身的IP位址；所述客戶端將該IP位址攜帶在EAP身份響應報文中發送給設備端為 客戶端在收到設備端發來的請求握手的EAP身份請求報文後，將自身的 IPv6地址攜帶在響應握手的EAP身份響應報文中發送給設備端。
8、 如權利要求l所述的方法，其特徵在於，所述認證伺服器為遠程認證撥 號用戶服務RADIUS伺服器，所述設備端將該IP位址發送給認證伺服器包括設備端將該IP位址通過RADIUS IPv4或IPv6標準屬性上報給RADIUS服 務器；或者，所述設備端將EAP身份響應數據包封裝在RADIUS報文中上報給 RADIUS伺服器，且RADIUS伺服器通過解析RADIUS報文中的EAP身份響 應數據包，得到客戶端的IP位址。
9、 如權利要求l所述的方法，其特徵在於，所述認證伺服器根據客戶端的 IP位址對客戶端進行權P艮控制包括認證伺服器判斷客戶端的IP位址是否合法，若合法，則允許客戶端在線； 否則，通知設備端拒絕客戶端在線。
10、 如權利要求l所述的方法，其特徵在於，所述EAP身份響應報文進一 步包括客戶端的用戶名，且，所述設備端將該IP位址發送給認證伺服器進一步包括客戶端將用戶 名發送給認證伺服器；所述認證伺服器根據客戶端的IP位址對客戶端進行權限控制包括認證服 務器查找與該用戶名對應的接入控制列表ACL,以客戶端的IP位址更新ACL 中的源IP位址項內容，將該ACL下發給設備端，設備端根據該ACL對客戶端 的後續數據流進行控制。
11、 如權利要求l所述的方法，其特徵在於，所述認證伺服器根據客戶端 的IP位址對客戶端進行權限控制包括認證伺服器保存客戶端的IP位址，衝艮據客戶端的IP位址對客戶端的後續 動作進行跟蹤。
12、 如權利要求l所述的方法，其特徵在於，所述認證伺服器根據客戶端 的IP位址對客戶端進行權限控制之後進一步包括客戶端發現自身的IP位址更改，將更改後的IP位址攜帶在EAP身份響應 報文中發送給設備端，轉至所述設備端將該IP位址發送給認證伺服器的動作。
13、 一種基於802.1x認證系統的權限控制系統，其特徵在於，該系統包括客戶端，獲取自身的IP位址，將該IP位址攜帶在EAP身份響應報文中發 送給設備端；設備端，將客戶端發來的IP位址發送給認證伺服器；認證伺服器，根據設備端發來的客戶端的IP位址，對客戶端進行權限控制。
14、 如權利要求13所述的系統，其特徵在於，所述客戶端進一步用於，發 現自身的IP位址更改，將更改後的IP位址攜帶在EAP身份響應報文中發送給 設備端。
15、 如權利要求13或14所述的系統，其特徵在於，所述客戶端包括 IP位址獲取模塊，獲取自身的IP位址；認證模塊，802.1認證過程開始，向IP位址獲取模塊查詢是否已獲取了本 客戶端的IP位址，若是，將該IP位址通過EAP身份響應報文發送給設備端； 否則，向握手模塊發送IP位址上報指示；握手模塊，接收IP位址上報指示，當收到設備端發來的用於握手的EAP 身份請求報文時，向IP位址獲取模塊查詢是否已獲取了本客戶端的IP位址， 若是，將該IP位址攜帶在用於握手的EAP身份響應報文中發送給設備端。
全文摘要
本發明公開了基於802.1x認證系統的權限控制方法及系統。方法包括客戶端獲取自身的IP位址，將該IP位址攜帶在EAP身份響應報文中發送給設備端，設備端將該IP位址發送給認證伺服器，認證伺服器根據客戶端的IP位址對客戶端進行權限控制。本發明實現了802.1x認證系統中基於用戶IP位址的權限控制。
文檔編號H04L29/06GK101599967SQ200910086770
公開日2009年12月9日 申請日期2009年6月29日 優先權日2009年6月29日
發明者濤 林, 彬 王 申請人:杭州華三通信技術有限公司