網絡認證的實現方法
2023-05-28 23:17:31 3
專利名稱:網絡認證的實現方法
技術領域:
本發明涉及一種網絡認證的實現方法,特別是指802.1x協議的網絡認證實現方法。
背景技術:
802.1x協議是基於埠的網絡接入控制協議,是IEEE為了解決基於埠的接入控制(Port-Based Network Access Control)而定義的一個標準,802.1x的體系結構如圖1所示,包括請求者(客戶端)1——請求認證的用戶/設備;認證者(認證系統)2——對接入的用戶/設備進行認證的埠;乙太網的每個物理埠被分為受控和不受控的兩個邏輯埠,物理埠收到的每個幀都被送到受控和不受控埠。對受控埠的訪問,受限於受控埠的授權狀態。認證者的PAE(埠訪問實體)根據認證伺服器認證過程的結果,控制「受控埠」的授權/未授權狀態。處在未授權狀態的控制埠,拒絕用戶/設備的訪問。
認證伺服器3——根據認證者的信息,對請求訪問網絡資源的用戶/設備進行實際認證的設備。
圖2是目前802.1X用戶認證失敗的消息流程圖,如圖2所示,包括如下詳細步驟步驟201,客戶端向接入設備發送一EAPoL(EAP over LAN)開始報文,開始802.1x認證接入;步驟202,接入設備向客戶端發送EAP(Extensible Authentication Protocol,擴展鑑別協議)Identity身份請求報文,要求客戶端將用戶名送上來;步驟203,客戶端回應一EAP Identity身份應答報文給接入設備的請求,其中包括用戶名;步驟204,接入設備將EAP Identity身份應答報文封裝到RADIUS接入請求報文中,發送給認證伺服器;步驟205,認證伺服器產生質詢報文並將其發送到接入設備;步驟206,接入設備通過EAP請求報文將RADIUS接入MD5 Challenge質詢報文發送給客戶端,要求客戶端進行認證;步驟207,客戶端收到EAP MD5 Challenge質詢請求報文後,將用戶的密碼和質詢報文做加密算法處理後的質詢密碼,以EAP應答報文回應給接入設備;步驟208,接入設備將質詢報文、質詢密碼和用戶名一起發送到認證伺服器進行認證步驟209,認證伺服器根據用戶信息,做算法處理,判斷用戶是否合法;若認證失敗,伺服器回應認證失敗報文到接入設備,接入設備向客戶端發送EAPOL-Failuer失敗報文;若認證成功,伺服器回應認證成功報文到接入設備,接入設備向客戶端發送EAPOL-Success成功報文,連通受控埠,運行客戶端訪問網絡內資源,認證流程結束。
由此流程看出,802.1x認證在用戶認證失敗或客戶端違反伺服器安全策略而下線時,目前沒有向用戶提供認證失敗或下線的原因,這導致用戶無法簡便直觀的得知認證失敗或違反具體的安全策略而下線的原因,不利於802.1x客戶端的易用性;另一方面也會造成運營服務商和用戶之間對於認證失敗或下線原因的誤解。
發明內容
針對現有技術中存在的問題和不足,本發明的目的在於提供一種802.1x網絡認證的實現方法,使得用戶在認證失敗下線的原因直觀的顯示給用戶,為用戶操作帶來方便。
為了達到上述目的,本發明提出一種網絡認證的實現方法,包括(1)客戶端與認證伺服器進行802.1x認證流程,如果認證失敗進入步驟(2);如果認證成功進入步驟(3);(2)認證伺服器向接入設備發送一認證失敗報文,該報文認證失敗報文中包括認證失敗原因;接入設備將認證失敗原因放入擴展鑑別協議通知報文的數據域部分,並將所述擴展鑑別協議通知報文發送到客戶端,步驟結束;(3)認證伺服器向客戶端發送認證成功報文。
其中,所述方法還包括(4)客戶端與伺服器進行安全策略認證,如果安全策略認證成功則進入步驟(6);如果安全策略認證失敗進入步驟(5);
(5)伺服器向接入設備發送認證失敗報文,所述認證失敗報文中包括認證失敗原因;接入設備將認證失敗原因放入擴展鑑別協議通知報文的數據域部分,並將所述擴展鑑別協議通知報文發送到客戶端,步驟結束;(6)伺服器通過接入設備向客戶端發送認證成功報文;(7)接入設備向客戶端發送檢測策略。
其中,所述步驟(7)具體為接入設備將檢測策略添加到擴展鑑別協議請求報文的數據域中,並將該擴展鑑別協議請求報文發送到客戶端。
其中,所述步驟(7)具體為接入設備對檢測策略加密,將加密後的檢測策略添加到擴展鑑別協議密鑰報文的密鑰域,並進行加密籤名和填充擴展鑑別協議密鑰報文的其它域,並將該擴展鑑別協議密鑰報文發送到客戶端。
其中,所述錯誤原因為一錯誤代碼。
其中,所述步驟(2)還包括客戶端根據認證失敗原因,將認證失敗原因以可視化圖形方式顯示。
其中,所述步驟(5)還包括客戶端根據認證失敗原因,將認證失敗原因以可視化圖形方式顯示。
由上述方法可以看出,本發明使得在用戶認證失敗或下線前,802.1x設備和802.1x客戶端可以提供相應的認證失敗或用戶下線原因,從而保證用戶明白認證失敗或下線的原因。同時服務商也能針對認證失敗或下線原因給予用戶相應的答覆和解決方案。不僅解決了802.1x客戶端用戶易用性的問題,也解決了運營服務商和用戶之間對於認證失敗或下線原因的誤解的問題,服務商並能根據提供給用戶的原因向用戶提供相應的解決方案。作為優選,本發明通過預先定義的不同的錯誤代碼對應不同的原因,發送到客戶端,並使客戶端能夠根據錯誤代碼將錯誤原因圖形化顯示。作為優選,本發明利用了現有的擴展鑑別協議報文,對擴展鑑別協議報文的格式進行擴展,即在擴展鑑別協議報文中定義了反映認證失敗或用戶違反安全策略的下線原因的數值域,不會佔用更多資源。
圖1是現有的802.1x的體系結構示意圖;
圖2是現有的802.1x系統用戶認證失敗的流程示意圖;圖3是本發明的網絡認證實現方法中用戶認證失敗流程示意圖;圖4是本發明的網絡認證實現方法中用戶認證成功,但違背了伺服器的安全策略導致用戶下線的消息流程示意圖;圖5是EAPoL包和EAP-Packet的EAP-Request和Response報文格式示意圖;圖6是EAPoL包和EAPoL-Key的格式示意圖。
具體實施例方式
下面結合附圖對本發明進行詳細描述。
本發明是通過對現有的EAP Notification報文進行擴展,將認證失敗或下線原因通過對該報文中的數據域傳送給802.1x客戶端。為了便於區別各種認證失敗原因,設置一錯誤代碼Code值,將失敗原因定義了7種類型值,如Code值為1,表示用戶名不正確;Code值為2,表示用戶密碼不正確;Code值為3,表示用戶違反了伺服器的安全策略,客戶端存在代理;Code值為4,表示用戶違反了伺服器的安全策略,進行了一些非法操作;Code值為5,表示時間限制下線;Code值為6,表示流量限制下線;Code值為7,表示其它失敗原因等。該Code值不限於只為以上七種內容,可根據技術的發展和實際需要,進行相應的增加或修改。
本發明在用戶認證失敗或下線時,802.1x設備端向802.1x客戶端發送含有Code值的EAP Notification報文;然後802.1x客戶端對EAP Notification報文進行解析,將認證失敗或下線原因以可視化界面的方式顯示。以用戶認證失敗為例,如圖3所示,具體的認證處理過程如下(301)客戶端向接入設備發送一EAPoL開始報文,請求開始802.1x認證流程;(302)接入設備接收到用戶請求後,向客戶端發送EAP Identity身份請求報文,要求客戶端發送用戶名信息;(303)客戶端根據接入設備的身份請求報文,回復一EAP Identity身份應答報文,所述身份應答報文中包括用戶名信息;(304)接入設備將所述EAP Identity身份應答報文封裝到RADIUS接入請求報文中,發送給認證伺服器;(305)認證伺服器產生MD5 Challenge質詢報文,並將該質詢報文發送到接入設備;(306)接入設備通過EAP請求報文將認證伺服器的MD5 Challenge質詢報文發送給客戶端,要求客戶端進行認證;(307)客戶端收到MD5 Challenge質詢報文後,將用戶密碼和質詢報文做加密算法處理後,生成質詢密碼,並發送給接入設備;(308)接入設備將質詢報文、質詢密碼和用戶名一起發送到RADIUS伺服器,由RADIUS伺服器進行認證;如果RADIUS伺服器認證通過,伺服器回應認證成功報文到接入設備,接入設備向客戶端發送EAPOL-Success成功報文,連通受控埠,運行客戶端訪問網絡內資源,認證流程結束;如果RADIUS伺服器認證失敗,進入步驟(309);(309)認證伺服器將EAPOL-Failue認證失敗報文發送到接入設備,報文中包括拒絕原因,所述拒絕原因為一Code值;(310)接入設備將認證失敗原因放入EAP Notification通知消息報文的數據域部分,並將所述報文發送到客戶端,客戶端解析所述EAP Notification通知消息報文,通過其中的Code值生成可視化圖形方式顯示;(311)接入設備向用戶端發送EAP Failure報文,與用戶斷開連接。
為了提高系統安全性,作為優選,還可以為伺服器設置安全策略。如果用戶的用戶名和密碼都正確,如果違反了伺服器安全策略,也不能與伺服器建立連接。下面以用戶通過身份認證但是違反伺服器安全策略為例,流程如圖4所示,包括(401)客戶端向接入設備發送一EAPoL開始報文,請求開始802.1x認證流程;(402)接入設備接收到用戶請求後,向客戶端發送EAP Identity身份請求報文,要求客戶端發送用戶名信息;(403)客戶端根據接入設備的身份請求報文,回復一EAP Identity身份應答報文,所述身份應答報文中包括用戶名信息;(404)接入設備將所述EAP Identity身份應答報文封裝到RADIUS接入請求報文中,發送給認證伺服器;(405)認證伺服器產生MD5 Challenge質詢報文,並將該質詢報文發送到接入設備;
(406)接入設備通過EAP請求報文將認證伺服器的MD5 Challenge質詢報文發送給客戶端,要求客戶端進行認證;(407)客戶端收到MD5 Challenge質詢報文後,將用戶密碼和質詢報文做加密算法處理後,生成質詢密碼,並發送給接入設備;(408)接入設備將質詢報文、質詢密碼和用戶名一起發送到RADIUS伺服器,由RADIUS伺服器進行認證;如果認證通過,伺服器回應認證成功報文到接入設備,接入設備向客戶端發送EAPOL-Success成功報文,進入步驟(409);如果認證失敗,認證伺服器將EAPOL-Failue認證失敗報文發送到接入設備,接入設備將認證失敗原因放入EAP Notification通知消息報文,並將所述報文發送到客戶端,客戶端解析所述EAP Notification通知消息報文,通過其中的Code值生成可視化圖形方式顯示;(409)認證伺服器向接入設備發送認證接受消息報文;(410)認證伺服器通過接入設備將EAP Success報文發送給客戶端;(411)接入設備將檢測策略(如Policy為1,表示客戶端進行代理檢測;Policy為2,表示客戶端進行了一些非法操作等)通過EAP-Request報文或EAP-Key報文傳送到客戶端,當採用EAP-Request報文傳送時,直接將策略填充到EAP-Request報文的數據域中;若採用EAP-Key報文傳送,則需對檢測策略加密,然後用加密後的檢測策略填充EAP-Key報文的Key域,並進行加密籤名和填充EAP-Key數據報文的其它域,向客戶端發送經過數據加密的檢測策略的EAP-Key數據報文,以啟動客戶端的檢測;客戶端啟動策略解析,並根據解析的策略啟動相應的檢測進程(如策略編碼為1,啟動代理檢測程序;策略編碼為2,啟動非法操作監視程序等),並進行定時的檢測;(412)客戶端將根據設置策略的對應檢測方法的檢測結果(若對應策略的檢測方法檢測對應的違反安全策略存在,則在對應策略的策略值填1;否則策略值填0)通過EAP-Response報文或EAP-Key報文傳送到客戶端,當採用EAP-Response報文傳送時,直接將策略填充到EAP-Response報文的數據域中;若採用EAP-Key報文傳送,則需對加密後的檢測結果填充EAP-Key報文的Key域,並進行加密籤名和填充EAP-Key數據報文的其它域,向接入設備發送經過數據加密的檢測結果的EAP-Key數據報文;認證設備根據獲取的檢測結果進行解析,如果複合安全策略則連通受控埠,允許客戶端訪問網絡內資源;如果違反安全策略,則執行步驟(413);(413)接入設備向客戶端發送EAP Notification報文,認證失敗原因在EAPNotification報文中通過Code值傳送給客戶端,如用戶啟用了代理時,EAPNotification報文數據域的Code值為3;客戶端解析獲取到的Code值,並將原因顯示。
(414)接入設備向用戶端發送EAP Failure報文,與用戶斷開連接。
圖5是EAPoL包(基於區域網的擴展認證協議)和EAP-Packet包(擴展認證協議的Packet報文)的格式示意圖。EAPoL包由目的MAC地址、源MAC地址、乙太網PAE報文類型(PAE報文值為2)、EAP協議版本號(0x01)、包類型(EAPoL報文類型)、包長度(不包含包的頭部數據)及包數據等欄位組成。其中包類型如圖6所示,此欄位用於指示包所傳輸的數據類型,如傳輸的數據類型為EAP-Packet即擴展認證協議的Packet報文時,取值0)。如圖5所示,本發明中的EAP Notification報文數據內容填充EAP-Packet報文類型(EAP-Packet的報文類型如表2所示)為EAP-Request,則值為1;標識符域Identifier為輔助匹配Response應答,即輔助應答報文匹配對應請求報文的域;數據長度Length域為包含Code域、Identifier域、Length域及後面Data域的數據長度;EAP Request的類型(EAP Request的報文類型如表3所示)為EAP Notification,則值為2;對應類型數據Type-Data域為下線原因編碼值,如Code值為1,表示用戶名不正確;Code值為2,表示用戶密碼不正確;Code值為3,表示用戶違反了伺服器的安全策略,客戶端存在代理;Code值為4,表示用戶違反了伺服器的安全策略,進行了一些非法操作;Code值為5,表示時間限制下線;Code值為6,表示流量限制下線;Code值為7,表示其它失敗原因。
表1是EAPoL包中的包類型域取值示意圖。如表1,當傳輸的包類型為EAP-Packet(認證信息幀,用於承載認證信息)時,包類型域取值為0;當傳輸的包類型為EAPoL-Start(認證發起幀,Supplicant和Authenticator均可以發起)時,包類型域取值為1;當傳輸的包類型為EAPoL-Logoff(退出請求幀,可主動終止已認證狀態)時,包類型域取值為2;當傳輸的包類型為EAPoL-Key(密鑰信息幀,支持對EAP報文的加密)時,包類型域取值為3;當傳輸的包類型為EAPoL-Encapsulated-ASF-Alert(用於支持Alert Standard Forum ASF的Alerting消息)時,包類型域取值為4。
表1表2是EAP-Packet包中的數據類型域取值示意圖。如表2所示,當EAP-Packet的報文類型為EAP-Request時,取值為1;當報文類型為EAP-Response時,取值為2;報文類型為EAP-Success時,取值為3;當報文類型為EAP-Failure時,取值為4。
表2表3是EAP-Request報文的數據類型域取值示意圖。如表3所示,當EAP-Request的報文類型為EAP Identity Type時,取值為1;當報文類型為EAP Notification Type時,取值為2;當報文類型為EAP NAK Response Type時,取值為3;當報文類型為EAP MD5 Challenge時,取值為4。
表3
圖6是EAPoL(基於區域網的擴展認證協議)包和EAP-Key(基於區域網的擴展認證協議的關鍵字Key)的格式示意圖。EAPoL包由目的MAC地址、源MAC地址、乙太網PAE報文類型(PAE報文值為2)、EAP協議版本號(0x01)、包類型、包長度(不包含包的頭部數據)及包數據等欄位組成;包類型如圖4所示,此欄位用於指示包所傳輸的數據類型,如傳輸的數據類型為擴展認證協議關鍵字EAP-Key時,取值3。如圖3所示,本發明中的包策略數據是按EAPoL-Key的數據格式填充Descriptor Type(描述符類型如Key數據採用RC4加密,則取值1)、Key Length(關鍵字數據長度)、Replay Counter(重傳計數器)、Key IV(關鍵字隨機數據)、Keyindex(關鍵字索引號)、Key Signature(關鍵字數據籤名)和Key(關鍵字,填充經過加密的檢測策略或結果)組成。其中,檢測策略編碼為1,啟動代理檢測程序;策略編碼為2,啟動非法操作監視程序等;通過將策略數據進行加密後填充EAPoL-Key的Key域,以完成客戶端和認證者間的數據交互。
權利要求
1.一種網絡認證的實現方法,包括(1)客戶端與認證伺服器進行802.1x認證流程,如果認證失敗進入步驟(2);如果認證成功進入步驟(3);(2)認證伺服器向接入設備發送一認證失敗報文,該報文認證失敗報文中包括認證失敗原因;接入設備將認證失敗原因放入擴展鑑別協議通知報文的數據域部分,並將所述擴展鑑別協議通知報文發送到客戶端,步驟結束;(3)認證伺服器向客戶端發送認證成功報文。
2.根據權利要求1所述的網絡認證的實現方法,其特徵在於,還包括(4)客戶端與伺服器進行安全策略認證,如果安全策略認證成功則進入步驟(6);如果安全策略認證失敗進入步驟(5);(5)伺服器向接入設備發送認證失敗報文,所述認證失敗報文中包括認證失敗原因;接入設備將認證失敗原因放入擴展鑑別協議通知報文的數據域部分,並將所述擴展鑑別協議通知報文發送到客戶端,步驟結束;(6)伺服器通過接入設備向客戶端發送認證成功報文;(7)接入設備向客戶端發送檢測策略。
3.根據權利要求2所述的網絡認證的實現方法,其特徵在於,所述步驟(7)具體為接入設備將檢測策略添加到擴展鑑別協議請求報文的數據域中,並將該擴展鑑別協議請求報文發送到客戶端。
4.根據權利要求2所述的網絡認證的實現方法,其特徵在於,所述步驟(7)具體為接入設備對檢測策略加密,將加密後的檢測策略添加到擴展鑑別協議密鑰報文的密鑰域,並進行加密籤名和填充擴展鑑別協議密鑰報文的其它域,並將該擴展鑑別協議密鑰報文發送到客戶端。
5.根據權利要求1或2所述的網絡認證的實現方法,其特徵在於,所述錯誤原因為一錯誤代碼。
6.根據權利要求1所述的網絡認證的實現方法,其特徵在於,所述步驟(2)還包括客戶端根據認證失敗原因,將認證失敗原因以可視化圖形方式顯示。
7.根據權利要求2所述的網絡認證的實現方法,其特徵在於,所述步驟(5)還包括客戶端根據認證失敗原因,將認證失敗原因以可視化圖形方式顯示。
全文摘要
本發明公開了一種網絡認證的實現方法,針對802.1x認證在用戶認證失敗而下線時沒有向用戶提供認證失敗或下線的原因的問題而發明,提出一種方法包括用戶認證失敗或違反安全策略下線前,伺服器向802.1x設備發送認證失敗或違反安全策略下線的原因,802.1x設備將原因代碼放置於擴展鑑別協議通知報文中,並將該失敗信息報文發送給802.1x客戶端,通知802.1x客戶端用戶認證失敗或下線原因。本發明應用於802.1協議,在EAP報文中定義了反映認證失敗或用戶違反安全策略的下線原因的數值域,預先定義的該域不同的錯誤代碼對應不同的原因,解決了802.1x客戶端用戶易用性的問題,也解決了運營服務商和用戶之間對於認證失敗或下線原因的誤解,服務商能根據提供給用戶的原因向用戶提供相應的解決方案。
文檔編號H04L29/06GK101075869SQ20061008141
公開日2007年11月21日 申請日期2006年5月18日 優先權日2006年5月18日
發明者黃小華, 嚴峰, 毛羽 申請人:中興通訊股份有限公司