專利名稱:網絡認證的實現方法
技術領域:
本發(fā)明涉及一種網絡認證的實現方法���,特別是指802.1x協(xié)議的網絡認證實現方法���。
背景技術:
802.1x協(xié)議是基于端口的網絡接入控制協(xié)議,是IEEE為了解決基于端口的接入控制(Port-Based Network Access Control)而定義的一個標準���,802.1x的體系結構如圖1所示����,包括請求者(客戶端)1——請求認證的用戶/設備;認證者(認證系統(tǒng))2——對接入的用戶/設備進行認證的端口�����;以太網的每個物理端口被分為受控和不受控的兩個邏輯端口�,物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問���,受限于受控端口的授權狀態(tài)����。認證者的PAE(端口訪問實體)根據認證服務器認證過程的結果����,控制“受控端口”的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口�,拒絕用戶/設備的訪問。
認證服務器3——根據認證者的信息���,對請求訪問網絡資源的用戶/設備進行實際認證的設備。
圖2是目前802.1X用戶認證失敗的消息流程圖���,如圖2所示�����,包括如下詳細步驟步驟201��,客戶端向接入設備發(fā)送一EAPoL(EAP over LAN)開始報文�����,開始802.1x認證接入���;步驟202���,接入設備向客戶端發(fā)送EAP(Extensible Authentication Protocol,擴展鑒別協(xié)議)Identity身份請求報文���,要求客戶端將用戶名送上來�����;步驟203��,客戶端回應一EAP Identity身份應答報文給接入設備的請求�,其中包括用戶名;步驟204��,接入設備將EAP Identity身份應答報文封裝到RADIUS接入請求報文中��,發(fā)送給認證服務器��;步驟205��,認證服務器產生質詢報文并將其發(fā)送到接入設備��;步驟206�����,接入設備通過EAP請求報文將RADIUS接入MD5 Challenge質詢報文發(fā)送給客戶端�����,要求客戶端進行認證�����;步驟207���,客戶端收到EAP MD5 Challenge質詢請求報文后�����,將用戶的密碼和質詢報文做加密算法處理后的質詢密碼���,以EAP應答報文回應給接入設備;步驟208����,接入設備將質詢報文、質詢密碼和用戶名一起發(fā)送到認證服務器進行認證步驟209��,認證服務器根據用戶信息����,做算法處理,判斷用戶是否合法��;若認證失敗�����,服務器回應認證失敗報文到接入設備���,接入設備向客戶端發(fā)送EAPOL-Failuer失敗報文��;若認證成功�����,服務器回應認證成功報文到接入設備���,接入設備向客戶端發(fā)送EAPOL-Success成功報文�����,連通受控端口����,運行客戶端訪問網絡內資源����,認證流程結束。
由此流程看出�����,802.1x認證在用戶認證失敗或客戶端違反服務器安全策略而下線時�,目前沒有向用戶提供認證失敗或下線的原因,這導致用戶無法簡便直觀的得知認證失敗或違反具體的安全策略而下線的原因��,不利于802.1x客戶端的易用性;另一方面也會造成運營服務商和用戶之間對于認證失敗或下線原因的誤解��。
發(fā)明內容
針對現有技術中存在的問題和不足��,本發(fā)明的目的在于提供一種802.1x網絡認證的實現方法�,使得用戶在認證失敗下線的原因直觀的顯示給用戶�,為用戶操作帶來方便。
為了達到上述目的��,本發(fā)明提出一種網絡認證的實現方法����,包括(1)客戶端與認證服務器進行802.1x認證流程,如果認證失敗進入步驟(2)�;如果認證成功進入步驟(3);(2)認證服務器向接入設備發(fā)送一認證失敗報文�����,該報文認證失敗報文中包括認證失敗原因�����;接入設備將認證失敗原因放入擴展鑒別協(xié)議通知報文的數據域部分����,并將所述擴展鑒別協(xié)議通知報文發(fā)送到客戶端��,步驟結束�����;(3)認證服務器向客戶端發(fā)送認證成功報文�����。
其中���,所述方法還包括(4)客戶端與服務器進行安全策略認證,如果安全策略認證成功則進入步驟(6)�����;如果安全策略認證失敗進入步驟(5)�;
(5)服務器向接入設備發(fā)送認證失敗報文,所述認證失敗報文中包括認證失敗原因�����;接入設備將認證失敗原因放入擴展鑒別協(xié)議通知報文的數據域部分����,并將所述擴展鑒別協(xié)議通知報文發(fā)送到客戶端����,步驟結束��;(6)服務器通過接入設備向客戶端發(fā)送認證成功報文�;(7)接入設備向客戶端發(fā)送檢測策略�。
其中,所述步驟(7)具體為接入設備將檢測策略添加到擴展鑒別協(xié)議請求報文的數據域中��,并將該擴展鑒別協(xié)議請求報文發(fā)送到客戶端�。
其中,所述步驟(7)具體為接入設備對檢測策略加密�,將加密后的檢測策略添加到擴展鑒別協(xié)議密鑰報文的密鑰域,并進行加密簽名和填充擴展鑒別協(xié)議密鑰報文的其它域�,并將該擴展鑒別協(xié)議密鑰報文發(fā)送到客戶端。
其中�����,所述錯誤原因為一錯誤代碼�����。
其中,所述步驟(2)還包括客戶端根據認證失敗原因��,將認證失敗原因以可視化圖形方式顯示���。
其中�,所述步驟(5)還包括客戶端根據認證失敗原因����,將認證失敗原因以可視化圖形方式顯示。
由上述方法可以看出���,本發(fā)明使得在用戶認證失敗或下線前�����,802.1x設備和802.1x客戶端可以提供相應的認證失敗或用戶下線原因�,從而保證用戶明白認證失敗或下線的原因����。同時服務商也能針對認證失敗或下線原因給予用戶相應的答復和解決方案。不僅解決了802.1x客戶端用戶易用性的問題�����,也解決了運營服務商和用戶之間對于認證失敗或下線原因的誤解的問題,服務商并能根據提供給用戶的原因向用戶提供相應的解決方案��。作為優(yōu)選�����,本發(fā)明通過預先定義的不同的錯誤代碼對應不同的原因�,發(fā)送到客戶端,并使客戶端能夠根據錯誤代碼將錯誤原因圖形化顯示��。作為優(yōu)選�����,本發(fā)明利用了現有的擴展鑒別協(xié)議報文�,對擴展鑒別協(xié)議報文的格式進行擴展�,即在擴展鑒別協(xié)議報文中定義了反映認證失敗或用戶違反安全策略的下線原因的數值域,不會占用更多資源�����。
圖1是現有的802.1x的體系結構示意圖����;
圖2是現有的802.1x系統(tǒng)用戶認證失敗的流程示意圖�;圖3是本發(fā)明的網絡認證實現方法中用戶認證失敗流程示意圖����;圖4是本發(fā)明的網絡認證實現方法中用戶認證成功,但違背了服務器的安全策略導致用戶下線的消息流程示意圖�����;圖5是EAPoL包和EAP-Packet的EAP-Request和Response報文格式示意圖����;圖6是EAPoL包和EAPoL-Key的格式示意圖。
具體實施例方式
下面結合附圖對本發(fā)明進行詳細描述�����。
本發(fā)明是通過對現有的EAP Notification報文進行擴展��,將認證失敗或下線原因通過對該報文中的數據域傳送給802.1x客戶端�����。為了便于區(qū)別各種認證失敗原因���,設置一錯誤代碼Code值�����,將失敗原因定義了7種類型值���,如Code值為1�����,表示用戶名不正確��;Code值為2��,表示用戶密碼不正確��;Code值為3���,表示用戶違反了服務器的安全策略����,客戶端存在代理;Code值為4����,表示用戶違反了服務器的安全策略�,進行了一些非法操作�����;Code值為5��,表示時間限制下線�����;Code值為6����,表示流量限制下線;Code值為7�,表示其它失敗原因等。該Code值不限于只為以上七種內容�,可根據技術的發(fā)展和實際需要,進行相應的增加或修改����。
本發(fā)明在用戶認證失敗或下線時,802.1x設備端向802.1x客戶端發(fā)送含有Code值的EAP Notification報文����;然后802.1x客戶端對EAP Notification報文進行解析�,將認證失敗或下線原因以可視化界面的方式顯示�。以用戶認證失敗為例,如圖3所示��,具體的認證處理過程如下(301)客戶端向接入設備發(fā)送一EAPoL開始報文�����,請求開始802.1x認證流程���;(302)接入設備接收到用戶請求后���,向客戶端發(fā)送EAP Identity身份請求報文,要求客戶端發(fā)送用戶名信息��;(303)客戶端根據接入設備的身份請求報文�,回復一EAP Identity身份應答報文,所述身份應答報文中包括用戶名信息����;(304)接入設備將所述EAP Identity身份應答報文封裝到RADIUS接入請求報文中�,發(fā)送給認證服務器���;(305)認證服務器產生MD5 Challenge質詢報文,并將該質詢報文發(fā)送到接入設備�����;(306)接入設備通過EAP請求報文將認證服務器的MD5 Challenge質詢報文發(fā)送給客戶端�,要求客戶端進行認證;(307)客戶端收到MD5 Challenge質詢報文后����,將用戶密碼和質詢報文做加密算法處理后,生成質詢密碼�����,并發(fā)送給接入設備�����;(308)接入設備將質詢報文���、質詢密碼和用戶名一起發(fā)送到RADIUS服務器�����,由RADIUS服務器進行認證�����;如果RADIUS服務器認證通過���,服務器回應認證成功報文到接入設備����,接入設備向客戶端發(fā)送EAPOL-Success成功報文�����,連通受控端口���,運行客戶端訪問網絡內資源����,認證流程結束���;如果RADIUS服務器認證失敗����,進入步驟(309)���;(309)認證服務器將EAPOL-Failue認證失敗報文發(fā)送到接入設備�����,報文中包括拒絕原因����,所述拒絕原因為一Code值�����;(310)接入設備將認證失敗原因放入EAP Notification通知消息報文的數據域部分��,并將所述報文發(fā)送到客戶端����,客戶端解析所述EAP Notification通知消息報文,通過其中的Code值生成可視化圖形方式顯示�;(311)接入設備向用戶端發(fā)送EAP Failure報文,與用戶斷開連接����。
為了提高系統(tǒng)安全性��,作為優(yōu)選�����,還可以為服務器設置安全策略�����。如果用戶的用戶名和密碼都正確�,如果違反了服務器安全策略�,也不能與服務器建立連接。下面以用戶通過身份認證但是違反服務器安全策略為例����,流程如圖4所示,包括(401)客戶端向接入設備發(fā)送一EAPoL開始報文����,請求開始802.1x認證流程;(402)接入設備接收到用戶請求后����,向客戶端發(fā)送EAP Identity身份請求報文,要求客戶端發(fā)送用戶名信息;(403)客戶端根據接入設備的身份請求報文��,回復一EAP Identity身份應答報文�����,所述身份應答報文中包括用戶名信息�;(404)接入設備將所述EAP Identity身份應答報文封裝到RADIUS接入請求報文中�,發(fā)送給認證服務器;(405)認證服務器產生MD5 Challenge質詢報文���,并將該質詢報文發(fā)送到接入設備�����;
(406)接入設備通過EAP請求報文將認證服務器的MD5 Challenge質詢報文發(fā)送給客戶端�,要求客戶端進行認證�;(407)客戶端收到MD5 Challenge質詢報文后,將用戶密碼和質詢報文做加密算法處理后���,生成質詢密碼���,并發(fā)送給接入設備;(408)接入設備將質詢報文、質詢密碼和用戶名一起發(fā)送到RADIUS服務器����,由RADIUS服務器進行認證;如果認證通過����,服務器回應認證成功報文到接入設備,接入設備向客戶端發(fā)送EAPOL-Success成功報文��,進入步驟(409)��;如果認證失敗�,認證服務器將EAPOL-Failue認證失敗報文發(fā)送到接入設備,接入設備將認證失敗原因放入EAP Notification通知消息報文���,并將所述報文發(fā)送到客戶端��,客戶端解析所述EAP Notification通知消息報文���,通過其中的Code值生成可視化圖形方式顯示;(409)認證服務器向接入設備發(fā)送認證接受消息報文�����;(410)認證服務器通過接入設備將EAP Success報文發(fā)送給客戶端;(411)接入設備將檢測策略(如Policy為1�����,表示客戶端進行代理檢測��;Policy為2�����,表示客戶端進行了一些非法操作等)通過EAP-Request報文或EAP-Key報文傳送到客戶端�,當采用EAP-Request報文傳送時��,直接將策略填充到EAP-Request報文的數據域中����;若采用EAP-Key報文傳送,則需對檢測策略加密�����,然后用加密后的檢測策略填充EAP-Key報文的Key域��,并進行加密簽名和填充EAP-Key數據報文的其它域����,向客戶端發(fā)送經過數據加密的檢測策略的EAP-Key數據報文���,以啟動客戶端的檢測;客戶端啟動策略解析��,并根據解析的策略啟動相應的檢測進程(如策略編碼為1����,啟動代理檢測程序;策略編碼為2�,啟動非法操作監(jiān)視程序等),并進行定時的檢測�����;(412)客戶端將根據設置策略的對應檢測方法的檢測結果(若對應策略的檢測方法檢測對應的違反安全策略存在�,則在對應策略的策略值填1;否則策略值填0)通過EAP-Response報文或EAP-Key報文傳送到客戶端���,當采用EAP-Response報文傳送時�,直接將策略填充到EAP-Response報文的數據域中�;若采用EAP-Key報文傳送,則需對加密后的檢測結果填充EAP-Key報文的Key域��,并進行加密簽名和填充EAP-Key數據報文的其它域,向接入設備發(fā)送經過數據加密的檢測結果的EAP-Key數據報文��;認證設備根據獲取的檢測結果進行解析�����,如果復合安全策略則連通受控端口��,允許客戶端訪問網絡內資源�����;如果違反安全策略�,則執(zhí)行步驟(413);(413)接入設備向客戶端發(fā)送EAP Notification報文���,認證失敗原因在EAPNotification報文中通過Code值傳送給客戶端,如用戶啟用了代理時����,EAPNotification報文數據域的Code值為3;客戶端解析獲取到的Code值���,并將原因顯示���。
(414)接入設備向用戶端發(fā)送EAP Failure報文��,與用戶斷開連接�。
圖5是EAPoL包(基于局域網的擴展認證協(xié)議)和EAP-Packet包(擴展認證協(xié)議的Packet報文)的格式示意圖�。EAPoL包由目的MAC地址、源MAC地址�����、以太網PAE報文類型(PAE報文值為2)���、EAP協(xié)議版本號(0x01)���、包類型(EAPoL報文類型)、包長度(不包含包的頭部數據)及包數據等字段組成���。其中包類型如圖6所示����,此字段用于指示包所傳輸的數據類型���,如傳輸的數據類型為EAP-Packet即擴展認證協(xié)議的Packet報文時�����,取值0)����。如圖5所示,本發(fā)明中的EAP Notification報文數據內容填充EAP-Packet報文類型(EAP-Packet的報文類型如表2所示)為EAP-Request���,則值為1�;標識符域Identifier為輔助匹配Response應答����,即輔助應答報文匹配對應請求報文的域;數據長度Length域為包含Code域����、Identifier域、Length域及后面Data域的數據長度���;EAP Request的類型(EAP Request的報文類型如表3所示)為EAP Notification,則值為2����;對應類型數據Type-Data域為下線原因編碼值�,如Code值為1�,表示用戶名不正確;Code值為2��,表示用戶密碼不正確�;Code值為3,表示用戶違反了服務器的安全策略����,客戶端存在代理;Code值為4��,表示用戶違反了服務器的安全策略�,進行了一些非法操作;Code值為5����,表示時間限制下線;Code值為6�����,表示流量限制下線�����;Code值為7,表示其它失敗原因�����。
表1是EAPoL包中的包類型域取值示意圖���。如表1����,當傳輸的包類型為EAP-Packet(認證信息幀���,用于承載認證信息)時�,包類型域取值為0���;當傳輸的包類型為EAPoL-Start(認證發(fā)起幀�����,Supplicant和Authenticator均可以發(fā)起)時����,包類型域取值為1����;當傳輸的包類型為EAPoL-Logoff(退出請求幀,可主動終止已認證狀態(tài))時���,包類型域取值為2�;當傳輸的包類型為EAPoL-Key(密鑰信息幀���,支持對EAP報文的加密)時��,包類型域取值為3�;當傳輸的包類型為EAPoL-Encapsulated-ASF-Alert(用于支持Alert Standard Forum ASF的Alerting消息)時���,包類型域取值為4����。
表1表2是EAP-Packet包中的數據類型域取值示意圖����。如表2所示,當EAP-Packet的報文類型為EAP-Request時�����,取值為1;當報文類型為EAP-Response時���,取值為2�����;報文類型為EAP-Success時��,取值為3�;當報文類型為EAP-Failure時��,取值為4��。
表2表3是EAP-Request報文的數據類型域取值示意圖��。如表3所示�,當EAP-Request的報文類型為EAP Identity Type時,取值為1��;當報文類型為EAP Notification Type時�����,取值為2;當報文類型為EAP NAK Response Type時����,取值為3����;當報文類型為EAP MD5 Challenge時,取值為4�����。
表3
圖6是EAPoL(基于局域網的擴展認證協(xié)議)包和EAP-Key(基于局域網的擴展認證協(xié)議的關鍵字Key)的格式示意圖���。EAPoL包由目的MAC地址�、源MAC地址��、以太網PAE報文類型(PAE報文值為2)��、EAP協(xié)議版本號(0x01)����、包類型、包長度(不包含包的頭部數據)及包數據等字段組成���;包類型如圖4所示����,此字段用于指示包所傳輸的數據類型,如傳輸的數據類型為擴展認證協(xié)議關鍵字EAP-Key時�,取值3。如圖3所示���,本發(fā)明中的包策略數據是按EAPoL-Key的數據格式填充Descriptor Type(描述符類型如Key數據采用RC4加密�,則取值1)�、Key Length(關鍵字數據長度)、Replay Counter(重傳計數器)��、Key IV(關鍵字隨機數據)��、Keyindex(關鍵字索引號)��、Key Signature(關鍵字數據簽名)和Key(關鍵字�,填充經過加密的檢測策略或結果)組成。其中�����,檢測策略編碼為1�����,啟動代理檢測程序;策略編碼為2���,啟動非法操作監(jiān)視程序等�;通過將策略數據進行加密后填充EAPoL-Key的Key域�����,以完成客戶端和認證者間的數據交互���。
權利要求
1.一種網絡認證的實現方法,包括(1)客戶端與認證服務器進行802.1x認證流程��,如果認證失敗進入步驟(2)�;如果認證成功進入步驟(3);(2)認證服務器向接入設備發(fā)送一認證失敗報文�����,該報文認證失敗報文中包括認證失敗原因����;接入設備將認證失敗原因放入擴展鑒別協(xié)議通知報文的數據域部分��,并將所述擴展鑒別協(xié)議通知報文發(fā)送到客戶端���,步驟結束;(3)認證服務器向客戶端發(fā)送認證成功報文���。
2.根據權利要求1所述的網絡認證的實現方法�����,其特征在于�,還包括(4)客戶端與服務器進行安全策略認證���,如果安全策略認證成功則進入步驟(6)�;如果安全策略認證失敗進入步驟(5)�;(5)服務器向接入設備發(fā)送認證失敗報文,所述認證失敗報文中包括認證失敗原因��;接入設備將認證失敗原因放入擴展鑒別協(xié)議通知報文的數據域部分�����,并將所述擴展鑒別協(xié)議通知報文發(fā)送到客戶端���,步驟結束�����;(6)服務器通過接入設備向客戶端發(fā)送認證成功報文�;(7)接入設備向客戶端發(fā)送檢測策略。
3.根據權利要求2所述的網絡認證的實現方法�����,其特征在于��,所述步驟(7)具體為接入設備將檢測策略添加到擴展鑒別協(xié)議請求報文的數據域中���,并將該擴展鑒別協(xié)議請求報文發(fā)送到客戶端。
4.根據權利要求2所述的網絡認證的實現方法��,其特征在于��,所述步驟(7)具體為接入設備對檢測策略加密����,將加密后的檢測策略添加到擴展鑒別協(xié)議密鑰報文的密鑰域,并進行加密簽名和填充擴展鑒別協(xié)議密鑰報文的其它域���,并將該擴展鑒別協(xié)議密鑰報文發(fā)送到客戶端����。
5.根據權利要求1或2所述的網絡認證的實現方法,其特征在于����,所述錯誤原因為一錯誤代碼。
6.根據權利要求1所述的網絡認證的實現方法����,其特征在于,所述步驟(2)還包括客戶端根據認證失敗原因�,將認證失敗原因以可視化圖形方式顯示。
7.根據權利要求2所述的網絡認證的實現方法��,其特征在于����,所述步驟(5)還包括客戶端根據認證失敗原因,將認證失敗原因以可視化圖形方式顯示���。
全文摘要
本發(fā)明公開了一種網絡認證的實現方法��,針對802.1x認證在用戶認證失敗而下線時沒有向用戶提供認證失敗或下線的原因的問題而發(fā)明��,提出一種方法包括用戶認證失敗或違反安全策略下線前�����,服務器向802.1x設備發(fā)送認證失敗或違反安全策略下線的原因���,802.1x設備將原因代碼放置于擴展鑒別協(xié)議通知報文中��,并將該失敗信息報文發(fā)送給802.1x客戶端�,通知802.1x客戶端用戶認證失敗或下線原因�。本發(fā)明應用于802.1協(xié)議,在EAP報文中定義了反映認證失敗或用戶違反安全策略的下線原因的數值域��,預先定義的該域不同的錯誤代碼對應不同的原因���,解決了802.1x客戶端用戶易用性的問題,也解決了運營服務商和用戶之間對于認證失敗或下線原因的誤解�����,服務商能根據提供給用戶的原因向用戶提供相應的解決方案�����。
文檔編號H04L29/06GK101075869SQ20061008141
公開日2007年11月21日 申請日期2006年5月18日 優(yōu)先權日2006年5月18日
發(fā)明者黃小華, 嚴峰, 毛羽 申請人:中興通訊股份有限公司