專利名稱:一種對用戶設(shè)備進行認證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種對用戶設(shè)備進行認證的方法。
背景技術(shù):
已有技術(shù)中,IEEE802協(xié)議定義的局域網(wǎng)不提供接入認證,一般來說,只要用戶接入局域網(wǎng)就可以訪問網(wǎng)絡(luò)上的設(shè)備或資源。但是對于如電信接入、寫字樓局域網(wǎng)以及移動辦公等應(yīng)用場合,網(wǎng)絡(luò)管理者希望能對用戶設(shè)備的接入進行控制和配置,為此產(chǎn)生了基于端口的網(wǎng)絡(luò)接入控制需求,即IEEE802.1X(以下簡稱802.1X)協(xié)議。該協(xié)議對用戶進行認證的結(jié)構(gòu)框圖如圖1所示,從圖中可以看出,該認證體系包括三個部分用戶設(shè)備、接入控制設(shè)備以及認證服務(wù)器。
通常,用戶設(shè)備要訪問網(wǎng)絡(luò)首先要向接入控制設(shè)備發(fā)起認證請求,只有被認證授權(quán)后才能訪問相應(yīng)的網(wǎng)絡(luò)和資源。802.1X標(biāo)準(zhǔn)規(guī)定用戶和認證者之間通過在以太網(wǎng)上運行的擴展認證協(xié)議(以下簡稱EAP)來交換信息,802局域網(wǎng)采用如圖2所示的01-80-C2-00-00-03的報文。但是對某些不能透傳上述多播報文(即“01-80-C2-00-00-03”的報文)的通信設(shè)備,就不能完成對用戶的認證。
對于由用戶設(shè)備主動發(fā)起認證的情況,除了擴展認證發(fā)起(以下簡稱EAP-Start)報文的目的地址必須為上述多播地址外,對于擴展認證請求報文和擴展認證應(yīng)答報文,都可以用單播來完成。但是某些網(wǎng)絡(luò)設(shè)備卻不允許多播擴展認證發(fā)起報文穿透,導(dǎo)致認證無法完成,從而阻止了用戶的訪問請求。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種對用戶設(shè)備進行認證的方法,改變用戶設(shè)備與控制設(shè)備之間的擴展認證發(fā)起報文的形式,以避免對多播EAP-Start報文不能穿透的設(shè)備由于不能透傳標(biāo)準(zhǔn)擴展認證發(fā)起報文而引起的認證失敗。
本發(fā)明提出的對用戶設(shè)備進行認證的方法,包括以下各步驟1、首先待認證用戶設(shè)備向接入控制設(shè)備發(fā)起目的地址為“FF-FF-FF-FF-FF-FF”的認證報文;2、接入控制設(shè)備中的報文接收模塊接收到上述認證報文后,將目的地址“FF-FF-FF-FF-FF-FF”轉(zhuǎn)換成“01-80-C2-00-00-03”;3、報文接收模塊將目的地址為“01-80-C2-00-00-03”的認證報文發(fā)送至接入控制設(shè)備中的認證處理模塊;4、認證處理模塊和認證服務(wù)器之間通過撥入用戶遠程認證協(xié)議完成對用戶設(shè)備的認證。
上述方法中的接入控制設(shè)備為交換機、路由器或無線接入訪問設(shè)備中的任何一種。
上述方法中,報文接收模塊中的適配層將報文中的目的地址“FF-FF-FF-FF-FF-FF”轉(zhuǎn)換成“01-80-C2-00-00-03”本發(fā)明提出的用戶設(shè)備進行認證的方法,對于采用802.1X認證的網(wǎng)絡(luò)來說,可以降低對終端用戶接入設(shè)備的要求,從而降低運營商的總擁有成本。特別是對網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的運營商,網(wǎng)上設(shè)備千差萬別,對于其中不能透傳EAP-Start報文的設(shè)備,但又要求采用802.1X認證時,可以使用本發(fā)明的認證方式。因此本發(fā)明方法可以使已有設(shè)備在采用802.1X認證的網(wǎng)絡(luò)中繼續(xù)使用,可以很好地保護用戶的已有投資,給網(wǎng)絡(luò)運營管理提供方便。
圖1是已有技術(shù)中的802.1X認證結(jié)構(gòu)框圖;圖2是標(biāo)準(zhǔn)擴展認證發(fā)起(EAP-Start)報文的結(jié)構(gòu)形式;圖3是本發(fā)明方法的認證結(jié)構(gòu)框圖;
圖4是本發(fā)明的廣播擴展認證發(fā)起(EAP-BStart)報文的結(jié)構(gòu)形式。
具體實施例方式
本發(fā)明提出了一種對用戶設(shè)備進行認證的方法,其認證結(jié)構(gòu)框圖如圖3所示,該認證結(jié)構(gòu)框圖包括用戶設(shè)備、接入控制設(shè)備及認證服務(wù)器三部分,對用戶設(shè)備進行認證的方法包括以下步驟(1)首先待認證用戶設(shè)備向接入控制設(shè)備發(fā)起目的地址為“FF-FF-FF-FF-FF-FF”的認證報文;(2)接入控制設(shè)備中的報文接收模塊接收到上述認證報文后,該報文接收模塊中的適配層將報文中的目的地址“FF-FF-FF-FF-FF-FF”轉(zhuǎn)換成“01-80-C2-00-00-03”;(3)報文接收模塊將目的地址為“01-80-C2-00-00-03”的認證報文發(fā)送至接入控制設(shè)備中的認證處理模塊;(4)認證處理模塊和認證服務(wù)器之間通過撥入用戶遠程認證協(xié)議完成對用戶設(shè)備的認證。
上述方法中認證設(shè)備為交換機、路由器或無線接入訪問設(shè)備中的任何一種。
網(wǎng)絡(luò)設(shè)備對于目的地址為“FF-FF-FF-FF-FF-FF”的報文均可以在本網(wǎng)段內(nèi)廣播,所以,如圖4所示的全F為目的地址的EAP-BStart報文可以透傳,從而完成特定情況下的認證。接入控制設(shè)備接收到此類報文后,可以把它解釋為普通的EAP-Start報文。經(jīng)過這樣的處理后,不會給802.1X標(biāo)準(zhǔn)狀態(tài)機帶來任何影響。對控制設(shè)備用戶狀態(tài)機來說,就收到了一個目的地址為“01-80-C2-00-00-03”的標(biāo)準(zhǔn)EAP-Start報文。
本發(fā)明對于采用802.1X認證的網(wǎng)絡(luò)來說,可以降低對某些終端用戶接入設(shè)備的要求,從而降低運營商的總擁有成本。另外,該認證方式與標(biāo)準(zhǔn)認證可以并存,從而給網(wǎng)絡(luò)運營管理提供方便。
權(quán)利要求
1.一種對用戶設(shè)備進行認證的方法,其特征在于該方法包括以下各步驟(1)首先待認證用戶設(shè)備向接入控制設(shè)備發(fā)起目的地址為“FF-FF-FF-FF-FF-FF”的認證報文;(2)接入控制設(shè)備中的報文接收模塊接收到上述認證報文后,將報文中的目的地址“FF-FF-FF-FF-FF-FF”轉(zhuǎn)換成“01-80-C2-00-00-03”;(3)報文接收模塊將目的地址為“01-80-C2-00-00-03”的認證報文發(fā)送至接入控制設(shè)備中的認證處理模塊;(4)認證處理模塊和認證服務(wù)器之間通過撥入用戶遠程認證協(xié)議完成對用戶設(shè)備的認證。
2.如權(quán)利要求1所述的方法,其特征在于其中所述的接入控制設(shè)備為交換機、路由器或無線接入訪問設(shè)備中的任何一種。
3.如權(quán)利要求1所述的方法,其特征在于,步驟(2)進一步包括所述報文接收模塊中的適配層將報文中的目的地址“FF-FF-FF-FF-FF-FF”轉(zhuǎn)換成“01-80-C2-00-00-03”。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種對用戶設(shè)備進行認證的方法。首先,待認證用戶設(shè)備向接入控制設(shè)備發(fā)起目的地址為“FF-FF-FF-FF-FF-FF”的認證報文;接入控制設(shè)備中的報文接收模塊收到上述認證報文后,其中的適配層將報文中的目的地址轉(zhuǎn)換成“01-80-C2-00-00-03”;報文接收模塊將轉(zhuǎn)換了目的地址的認證報文發(fā)送至接入控制設(shè)備中的認證處理模塊;認證處理模塊和認證服務(wù)器之間通過撥入用戶遠程認證協(xié)議完成對用戶設(shè)備的認證。本發(fā)明的方法,對于采用802.1X認證的網(wǎng)絡(luò)來說,可以降低對終端用戶接入設(shè)備的要求,從而降低運營商的總擁有成本,使已有設(shè)備在采用802.1X認證的網(wǎng)絡(luò)中繼續(xù)使用,給網(wǎng)絡(luò)運營管理提供方便。
文檔編號H04L29/06GK1510863SQ0216006
公開日2004年7月7日 申請日期2002年12月26日 優(yōu)先權(quán)日2002年12月26日
發(fā)明者劉刀桂, 羅漢軍, 湯杰成 申請人:華為技術(shù)有限公司