專利名稱：安全驗證通告協(xié)議的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種通過在網(wǎng)絡(luò)節(jié)點之間安全地共享驗證信息來簡化用戶接入的技術(shù)。特別地，本發(fā)明涉及一種通過在交換設(shè)備與接入點之間自動共享客戶驗證信息而使客戶機能在網(wǎng)絡(luò)中漫游，但卻不用在每一個網(wǎng)絡(luò)節(jié)點重新進行驗證的系統(tǒng)和方法。
背景技術(shù)：
具有多個邊緣設(shè)備或接入點的網(wǎng)絡(luò)通常需要使用中心驗證服務(wù)器來驗證所有客戶。因此，驗證服務(wù)器成為網(wǎng)絡(luò)瓶頸，所有已驗證業(yè)務(wù)必須經(jīng)由該服務(wù)器。此外，當客戶機從一個接入點或邊緣設(shè)備移動到另一個時，驗證服務(wù)器必須重新驗證該客戶機，以便再次建立涉及核心網(wǎng)絡(luò)的連通性。這種重新驗證處理非常耗時、并且破壞了客戶連通性，此外還有可能導(dǎo)致數(shù)據(jù)丟失，而當客戶機只在私有網(wǎng)絡(luò)中的安全節(jié)點之間移動時，這種處理是沒有必要的。
因此，目前需要一種用于在參與的邊緣節(jié)點或接入點之間安全分發(fā)客戶機驗證信息的系統(tǒng)和方法，由此減少對于接入驗證服務(wù)器的需求，并且減小反復(fù)重新驗證客戶機的時間和工作，其中客戶機是在不同邊緣節(jié)點和/或接入點之間的網(wǎng)絡(luò)內(nèi)部移動的。

發(fā)明內(nèi)容
本發(fā)明的特征為是一種為了在例如遍布于局域網(wǎng)(LAN)或其它網(wǎng)域的多個點上同時“預(yù)驗證”移動用戶的目的用于在授權(quán)節(jié)點之間分發(fā)驗證信息的網(wǎng)絡(luò)設(shè)備。優(yōu)選實施例則是一種用于在包含了關(guān)聯(lián)于驗證群組的一個或多個網(wǎng)絡(luò)節(jié)點、驗證服務(wù)器以及具有相關(guān)客戶機標識符和證書的客戶機的網(wǎng)絡(luò)中通告安全驗證的網(wǎng)絡(luò)設(shè)備。該網(wǎng)絡(luò)設(shè)備優(yōu)選包含了至少一個適于從客戶機接收分組和證書的端口；用于保持一個或多個已驗證客戶機的客戶機標識符的表；以及驗證管理器。驗證管理器則適于通過使用源MAC地址之類的來自分組的信息來確定是否預(yù)先驗證了客戶機；如果沒有執(zhí)行預(yù)驗證，則根據(jù)客戶機證書來確定是否從驗證服務(wù)器驗證客戶機；如果驗證服務(wù)器驗證了該客戶機，則將客戶機標識符傳送到一個或多個網(wǎng)絡(luò)節(jié)點。一旦接收到客戶機標識符，則授權(quán)所述一個或多個網(wǎng)絡(luò)節(jié)點允許客戶機接入這些節(jié)點上的網(wǎng)絡(luò)，由此在網(wǎng)絡(luò)中的多個點上同時預(yù)驗證該客戶機?？蛻魴C傳送的原始分組中存在的客戶機證書通常包含了客戶機的用戶標識符和口令。該網(wǎng)絡(luò)設(shè)備可以是從包括以下設(shè)備的群組中選出的設(shè)備，其中該群組包括路由器、網(wǎng)橋、多層交換機、網(wǎng)絡(luò)接入點、無線網(wǎng)絡(luò)接入點以及這些設(shè)備的組合。


本發(fā)明是以示例而非僅限于附圖中的特征的方式被描述的，其中圖1是依照本發(fā)明優(yōu)選實施例包含了多個適于交換預(yù)驗證信息的網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)通信網(wǎng)絡(luò)；圖2是依照本發(fā)明優(yōu)選實施例執(zhí)行安全驗證通告的多層交換設(shè)備的功能框圖；圖3是依照本發(fā)明優(yōu)選實施例執(zhí)行安全驗證通告的交換模塊的功能框圖；圖4是依照本發(fā)明優(yōu)選實施例用于預(yù)驗證網(wǎng)絡(luò)內(nèi)的客戶機的共享許可表的示意圖；圖5是依照本發(fā)明優(yōu)選實施例預(yù)驗證網(wǎng)絡(luò)內(nèi)的客戶機的驗證管理器的功能框圖；以及圖6是依照本發(fā)明優(yōu)選實施例在初始驗證客戶機以及隨后在網(wǎng)絡(luò)內(nèi)預(yù)先驗證該客戶機時在網(wǎng)絡(luò)內(nèi)產(chǎn)生的消息圖示。
具體實施例方式
圖1中描述的是一個數(shù)據(jù)通信網(wǎng)絡(luò)，該網(wǎng)絡(luò)包括多個適于交換預(yù)驗證信息的網(wǎng)絡(luò)設(shè)備。例如，在優(yōu)選實施例中，網(wǎng)絡(luò)100可以包括或以可操作的方式連接到局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、城域網(wǎng)(MAN)、網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)、因特網(wǎng)或是這些網(wǎng)絡(luò)的組合。網(wǎng)絡(luò)100包括多個交換設(shè)備102～105、多個客戶機110～114、應(yīng)用服務(wù)器130、驗證服務(wù)器120。任何一個交換設(shè)備102～105都可以包括或者以可操作的方式連接到一個無線接入點，例如接入點108～109。同樣，一個或多個客戶機110～114可以具有有線或無線能力，由此允許設(shè)備通過網(wǎng)絡(luò)100移動，正如移動客戶機110從第一交換設(shè)備110移動到接入點108。
本優(yōu)選實施例的第一交換設(shè)備103和第三交換設(shè)備105是用以太網(wǎng)協(xié)議和網(wǎng)際協(xié)議(IP)來運作的，但是在這里也可以實施多種其他的網(wǎng)絡(luò)層協(xié)議——包括無連接網(wǎng)絡(luò)協(xié)議(CLNP)或網(wǎng)絡(luò)分組交換(IPX)/順序分組包交換(SPX)——以及鏈路層協(xié)議——包括令牌環(huán)網(wǎng)和異步傳輸模式(ATM)WAN/諸如T1/E1之類的串行協(xié)議。
如下文中更詳細描述的那樣，網(wǎng)絡(luò)100的交換設(shè)備可以與一個或多個預(yù)驗證網(wǎng)絡(luò)(VPAN)驗證群組相關(guān)聯(lián)，其中每一個群組由唯一的VPAN標識符指定。例如，第一VPAN110包括第一交換設(shè)備103、路由器102、第三交換設(shè)備105以及無線接入點108。
圖2描述的是用于執(zhí)行安全驗證通告的多層交換設(shè)備的功能框圖。交換設(shè)備103優(yōu)選包含了多個交換模塊210，這些模塊借助交換結(jié)構(gòu)250而以可操作的方式相互連接，由此在交換模塊之間傳送協(xié)議數(shù)據(jù)單元(PDU)。交換模塊210的形式可以是適于以可拆卸方式嚙合到底板252中的某個插槽或總線系統(tǒng)(未顯示)的交換處理器、交換元件或交換刀片服務(wù)器，而該底板則以可操作的方式將每一個交換模塊210連接在一起。
多個交換模塊210中的每一個都包含了多個外部端口203，這些端口以可操作的方式經(jīng)由網(wǎng)絡(luò)通信鏈路連接到網(wǎng)絡(luò)100。在優(yōu)選實施例中，每一個交換模塊210還包括至少一個交換控制器206，一般來說，該控制器能夠?qū)嵤╅_放式系統(tǒng)互連(OSI)參考模型中定義的第二層(數(shù)據(jù)鏈路)交換和第三層(網(wǎng)絡(luò))路由操作，但是并不局限于此。同樣，每一個模塊210都適于經(jīng)由端口203來向網(wǎng)絡(luò)傳送協(xié)議數(shù)據(jù)單元(PDU)以及接收來自網(wǎng)絡(luò)的PDU，此外還適于借助交換結(jié)構(gòu)250而向每個其他交換模塊傳送PDU并且接收來自每個其他交換模塊的PDU。
對本申請的目的而言，在這里將那些從朝向交換結(jié)構(gòu)250的通信鏈路流入交換模塊210的PDU稱為輸入PDU，并且將輸入PDU進入交換設(shè)備103時所經(jīng)過的交換模塊210通稱為入口交換模塊。此外，在這里還將那些從交換結(jié)構(gòu)250流入通信鏈路的PDU稱為輸出PDU，而輸出這些PDU的交換模塊則稱為出口交換模塊。對本發(fā)明中的多個交換模塊210來說，其中每一個模塊都可以充當入口交換模塊和出口交換模塊，而這取決于流動及其方向。交換設(shè)備103是適于執(zhí)行安全驗證通告的多個網(wǎng)絡(luò)節(jié)點中的一個，其中包括路由器、網(wǎng)橋、業(yè)務(wù)量分類器、速率警戒器、記賬設(shè)備、編輯設(shè)備以及地址查找設(shè)備。
圖3描述的是用于執(zhí)行安全驗證通告的交換模塊的功能框圖。交換模塊210優(yōu)選包含了多個網(wǎng)絡(luò)接口模塊(NIM)304、至少一個交換控制器206、管理模塊320以及結(jié)構(gòu)接口模塊308。每一個NIM304都以可操作的方式連接到一個或多個外部端口203，以便接收和傳送數(shù)據(jù)業(yè)務(wù)。例如，優(yōu)選使用電氣與電子工程師協(xié)會(IEEE)802.3、IEEE802.2和/或IEEE802.11所運作的NIM304用于執(zhí)行物理層和數(shù)據(jù)鏈路層控制，其中所述控制以可操作的方式將交換設(shè)備103與包括有線、無線和光學(xué)通信鏈路在內(nèi)的通信介質(zhì)相連接。
NIM 304所接收的輸入PDU經(jīng)過內(nèi)部數(shù)據(jù)總線305被傳送到交換控制器206，其中在去往目的地節(jié)點的途中，在隊列管理器緩存PDU之前，路由器引擎330通常會執(zhí)行濾波和轉(zhuǎn)發(fā)決定。而優(yōu)選實施例的路由引擎則包含了分類器332、轉(zhuǎn)發(fā)處理器334以及出口處理器336。分類器332提取輸入PDU的一個或多個字段，并且使用包括所提取字段在內(nèi)的一個或多個與輸入PDU相關(guān)聯(lián)的屬性來對按內(nèi)容訪問存儲器(CAM)333進行查詢，并且將PDU分類給多個流中的某個流。例如，PDU屬性通常包括目的地和源地址、入口端口號、協(xié)議類型、優(yōu)先級信息以及包括802.1Q標簽在內(nèi)的虛擬局域網(wǎng)(VLAN)信息。
在優(yōu)選實施例中，在執(zhí)行分類器332所識別的恰當?shù)霓D(zhuǎn)發(fā)操作之前，交換控制器206還會使用驗證管理器360來執(zhí)行許可測試。舉例來說，如果輸入PDU來源于某個已驗證客戶機，并且該客戶機當前登錄到交換設(shè)備103，那么該客戶機的身份以及相關(guān)接入特權(quán)將會記錄在交換設(shè)備103內(nèi)部所保持的共享許可表(SAT)362中。如果客戶機尚未經(jīng)過驗證并且當前并未登錄，那么這時會提示該客戶機提供證書，以便從驗證服務(wù)器120之類的外部數(shù)據(jù)庫中確定客戶機的接入配置文件，其中所述證書優(yōu)選為用戶名和口令。如果交換設(shè)備的SAT362或驗證服務(wù)器120拒絕客戶機所請求的接入特權(quán)，那么輸入PDU將被過濾。
但是，如果客戶機請求的接入得到SAT362或驗證服務(wù)器120的許可，那么分類器332將會從轉(zhuǎn)發(fā)表3354中檢索相關(guān)的PDU轉(zhuǎn)發(fā)指令，并且會將即時的PDU傳送到轉(zhuǎn)發(fā)處理器334。只要客戶機登錄或者保持客戶機與目的地節(jié)點之間的會話，那么來自相同客戶機的后續(xù)PDU同樣是被允許進入交換設(shè)備103的。
當進入網(wǎng)絡(luò)100的客戶機通過驗證服務(wù)器120的驗證時，將采用驗證管理器360并使用相關(guān)客戶機標識符(ID)來更新SAT362。依照本發(fā)明的優(yōu)選實施例，驗證管理器360進一步被采用來向一個或多個與交換設(shè)備103關(guān)聯(lián)于相同VPAN驗證群組的網(wǎng)絡(luò)節(jié)點傳送預(yù)驗證狀態(tài)消息，在優(yōu)選實施例中，預(yù)驗證狀態(tài)消息包括新近通過驗證的客戶機的客戶機標識符以及與之關(guān)聯(lián)的接入特權(quán)。一旦接收到預(yù)驗證狀態(tài)消息，那么接收方將會使用新近通過驗證的客戶機的客戶機標識符以及接入特權(quán)來更新各自的共享許可表。這樣一來，一旦客戶機肯定地登錄到VPAN安全群組中的某個成員，那么客戶機就有效地登錄到了所述安全群組中的每一個部件。
一旦在客戶機正在傳送的節(jié)點上對客戶機進行了驗證，那么輸入PDU將會傳送到轉(zhuǎn)發(fā)處理器334，并且在該處理器中將會執(zhí)行所檢索的轉(zhuǎn)發(fā)指令所標識的轉(zhuǎn)發(fā)操作。如果目的地介質(zhì)訪問控制(MAC)地址為交換設(shè)備103所知并且可以通過該設(shè)備到達，那么PDU通常會在沒有變更的情況下切換到恰當?shù)某隹诙丝?。如果該地址未知，那么在與入口端口相關(guān)聯(lián)的VLAN內(nèi)部，源MAC地址可以通過源學(xué)習(xí)機制而與入口端口203相關(guān)聯(lián)，并且PDU將會廣播到VLAN內(nèi)部每一個與所述入口端口相關(guān)聯(lián)的出口端口。如果PDU的目的地節(jié)點是在另一個網(wǎng)絡(luò)內(nèi)部，那么轉(zhuǎn)發(fā)服務(wù)器334通常將會遞減生存周期(TTL)計數(shù)器，并使用新的數(shù)據(jù)鏈路層報頭來重新封裝分組，例如在將分組路由到恰當目的地之前。
舉例來說，在某些實施例中，轉(zhuǎn)發(fā)處理器334還被用于執(zhí)行分組處理操作，其中包括但不局限于用于重新封裝數(shù)據(jù)的報頭變換、用于向PDU附加一個或多個VLAN標簽的VLAN標簽推送、用于從PDU中刪除一個或多個VLAN標簽的VLAN標簽彈出、用于保持網(wǎng)絡(luò)資源的服務(wù)質(zhì)量(QoS)、用于監(jiān)視客戶業(yè)務(wù)量的計費和記賬、多協(xié)議標簽交換(MPLS)管理、用于有選擇地過濾PDU的驗證、訪問控制、包括地址解析協(xié)議(ARP)控制在內(nèi)的更高層學(xué)習(xí)、用于為業(yè)務(wù)量分析再現(xiàn)和重定向PDU的端口鏡像、源學(xué)習(xí)、用于確定分配交換資源給PDU的相對優(yōu)先級的服務(wù)等級(CoS)以及用于警戒和業(yè)務(wù)整形的色彩標記。
在路由引擎330執(zhí)行了分組處理之后，為通過交換設(shè)備103的其它交換模塊可以到達的節(jié)點所指定的PDU，根據(jù)它們的服務(wù)等級(CoS)和/或服務(wù)質(zhì)量(QoS)要求，被隊列管理器340暫時緩存在優(yōu)先級隊列342中，直至帶寬可用于將PDU通過交換結(jié)構(gòu)250進行傳送為止。然后，PDU然后經(jīng)由結(jié)構(gòu)接口模塊308被傳送到恰當?shù)某隹诮粨Q模塊，以便沿著PDU的目的地節(jié)點方向進行傳送。
在優(yōu)選實施例中，結(jié)構(gòu)接口模塊308用于向交換結(jié)構(gòu)250傳送輸入PDU，并且接收來自一個或多個其他交換模塊中的每一個模塊的輸出PDU。在優(yōu)選實施例中，從結(jié)構(gòu)接口模塊308接收的輸出數(shù)據(jù)將會緩存在優(yōu)先級隊列342中，經(jīng)過路由器引擎的出口處理器336用于進行例如統(tǒng)計處理，以及經(jīng)由一個NIM 304從恰當?shù)某隹诙丝诒粋魉汀?br> 在圖4中描述的是用于在網(wǎng)絡(luò)內(nèi)預(yù)授權(quán)客戶機的共享許可表362的示意圖。SAT400包含了一個或多個用于識別已驗證客戶機以及與該客戶機相關(guān)聯(lián)的接入特權(quán)的字段。在優(yōu)選實施例中，已驗證客戶機是借助其地址來進行識別的，其中所述地址優(yōu)選地為MAC源地址(SA)401，但是，舉例來說，該地址也可以是IP地址。與客戶機相關(guān)聯(lián)的接入特權(quán)優(yōu)選地包含一個或多個VLAN標識符(VID)402，但是該接入特權(quán)也可以包括一個或多個規(guī)定用戶查看、下載或變更不同文件的接入控制。
SAT362中所列舉的客戶機標識符包括那些直接登錄到諸如交換機103之類的作為SAT362宿主的網(wǎng)絡(luò)節(jié)點的客戶機，以及直接登錄到與同一個VPAN驗證群組相關(guān)聯(lián)的其他網(wǎng)絡(luò)節(jié)點的客戶機。如下文中更詳細描述的那樣，對直接登錄到VPAN中的其他網(wǎng)絡(luò)節(jié)點的客戶機來說，其客戶機ID是在這些其他網(wǎng)絡(luò)節(jié)點的授權(quán)管理器360產(chǎn)生的一個或多個驗證狀態(tài)消息中知道的。在優(yōu)選實施例中，SAT362包含在驗證管理器360中，但是它也可以與轉(zhuǎn)發(fā)表354的橋接和路由信息相整合，此外還可以處于中央命令處理器260中。例如，該客戶機可以是網(wǎng)絡(luò)100內(nèi)部或外部的一個節(jié)點，也可以是其上運行的應(yīng)用程序。
圖5中描述的是用于在虛擬預(yù)驗證區(qū)域網(wǎng)絡(luò)內(nèi)部預(yù)先授權(quán)客戶機的驗證管理器360的功能框圖。優(yōu)選實施例的驗證管理器360包括驗證狀態(tài)模塊502、安全模塊506、SAT 362、預(yù)驗證消息生成器510以及預(yù)驗證消息接收機512。一旦從請求與交換設(shè)備103相連或是請求與可以經(jīng)由設(shè)備103到達的節(jié)點相連的客戶機那里接收到PDU，路由引擎330將會確定客戶機是否被驗證來這樣做。特別地，路由引擎330將一個或多個從輸入PDU中提取的字段傳送到狀態(tài)模塊502，該模塊用于首先查詢共享許可表362，以便確定客戶機的許可狀態(tài)。
如果狀態(tài)管理器502不能根據(jù)SAT 362來驗證客戶機，那么狀態(tài)管理器502會向路由引擎330告知暫時拒絕驗證客戶機，由此導(dǎo)致路由器引擎330就證書而向客戶機給出提示，其中該證書優(yōu)選為用戶標識符和口令。一旦接收到用戶標識符和口令，那么狀態(tài)管理器502，更具體地是檢索代理504，產(chǎn)生一個傳送到外部數(shù)據(jù)庫的驗證查詢，以便確定客戶機的許可狀態(tài)，其中舉例來說，所述數(shù)據(jù)庫可以是驗證服務(wù)器120。在優(yōu)選實施例中，驗證查詢和后續(xù)響應(yīng)分別是由安全模塊506來進行加密和解密的。
如果驗證服務(wù)器120發(fā)布一個許可該驗證的響應(yīng)，那么狀態(tài)模塊502將會觸發(fā)更新控制器508，以便將客戶機標識符添加給內(nèi)部SAT362。然后，在優(yōu)選實施例中，預(yù)驗證生成器將會確定第一交換設(shè)備103所屬的驗證群組表(AGT)514中的每一個其他成員的目的地地址。隨后，預(yù)驗證生成器510向VPAN驗證群組中的每一個部件發(fā)送一個經(jīng)過安全模塊506加密的預(yù)驗證許可消息。同樣，當客戶機注銷以及以其他方式取消驗證的時候，預(yù)驗證生成器510同樣會向驗證群組中的每一個成員傳送一個預(yù)驗證廢止消息。
更新控制器508還用于從驗證群組中的其他成員接收預(yù)驗證許可和廢止消息。一旦接收到預(yù)驗證許可消息，更新控制器508，具體地預(yù)驗證接收機512，將其中的客戶機標識符以及相關(guān)的接入特權(quán)添加給本地SAT 362。同樣，一旦接收到廢止特權(quán)的預(yù)驗證指示，即來自驗證群組的另一個成員的廢止消息，那么預(yù)驗證接收機512就會使得客戶機標識符以及特權(quán)從本地SAT362中被刪除。
由此，客戶機可以在不執(zhí)行用戶登錄過程的形式的情況下快速接入驗證群組中的每一個成員。雖然在優(yōu)選實施例中對驗證管理器360進行配置，使之臨時拒絕SAT362中未曾顯性列舉的每一個客戶機的驗證，但是本領(lǐng)域技術(shù)人員將會了解，驗證管理器360是可以用不同的缺省驗證規(guī)則來進行配置的。
圖6中描述的是在客戶機最初經(jīng)過驗證并且隨后在網(wǎng)絡(luò)內(nèi)進行預(yù)驗證時在網(wǎng)絡(luò)內(nèi)產(chǎn)生的消息圖示。例如，在這里將移動客戶機110傳送到的VPAN內(nèi)部的某個節(jié)點的第一消息稱為接入請求消息602。一旦接收到接入請求消息602，則第一交換設(shè)備103將會使用移動節(jié)點110的MAC源地址來查詢SAT 362。如果源地址不存在并且移動客戶機110臨時拒絕驗證，那么交換設(shè)備103會發(fā)送一個標識符請求消息604，以便提示客戶機110輸入用戶ID和口令606。如果驗證服務(wù)器120能夠根據(jù)接收到的用戶ID和口令606來驗證客戶機103，那么服務(wù)器412將會傳送一個包含驗證確認的驗證消息610～611。一旦接收到驗證確認，那么第一交換設(shè)備103將會允許移動客戶機110向應(yīng)用服務(wù)器130之類的被請求資源傳送和建立一個通信會話612。
依照優(yōu)選實施例，第一交換設(shè)備103還會向VPAN授權(quán)群組150中的每一個成員傳送預(yù)驗證許可消息614，其中該群組包含了用于將許可消息轉(zhuǎn)發(fā)到第三交換設(shè)備105的路由器102，而第三交換設(shè)備105則將該消息轉(zhuǎn)發(fā)到接入點108。在VPAN 150中，每一個接收許可消息的節(jié)點都會使用移動用戶的客戶機ID來更新其SAT362，以便表示移動客戶機110登錄到該節(jié)點。
隨后，如果移動客戶機110以圖1所示方式在VPAN 150內(nèi)部移動，那么移動客戶機110可以實時無中斷地與應(yīng)用服務(wù)器130繼續(xù)正在進行的會話。舉例來說，在移動客戶機110使用連至接入點108的無線連接來調(diào)換連至第一交換設(shè)備103的連接時，作為預(yù)先存在的會話612的一部分，移動客戶機110會繼續(xù)向應(yīng)用服務(wù)器130傳送會話消息620～621以及接收來自應(yīng)用服務(wù)器130的消息。如上所述，接入點108根據(jù)從會話管理620中提取的MAC源地址以及VLAN相關(guān)信息來驗證移動用戶，而不用再次就用戶ID以及口令向移動客戶機110發(fā)出提示，而這種提示會破壞與應(yīng)用服務(wù)器130正在進行的會話，此外還會導(dǎo)致數(shù)據(jù)丟失以及為用戶帶來不便。
應(yīng)該指出的是，網(wǎng)絡(luò)管理員為依照優(yōu)選實施例的網(wǎng)絡(luò)節(jié)點分配了多個VPAN驗證群組標識符中的至少一個。這樣一來，網(wǎng)絡(luò)可以分成多個虛擬預(yù)驗證子網(wǎng)。例如，在這里可以相應(yīng)于工程部門、財務(wù)部門以及銷售部門而將企業(yè)網(wǎng)絡(luò)細分成存在一定程度重疊的獨立子網(wǎng)。然后，如果請求接入的節(jié)點具有與當前驗證客戶機的網(wǎng)絡(luò)部分不同的VPAN關(guān)聯(lián)，那么，在一部分網(wǎng)絡(luò)中通過驗證的客戶機有可能需要登錄到不同部分的網(wǎng)絡(luò)。以圖1為例，移動客戶機110需要通過執(zhí)行登錄來連接到第二交換設(shè)備104或是其相關(guān)接入點109，這是因為客戶機的預(yù)驗證只在第一交換設(shè)備103、路由器102、第三交換設(shè)備105以及接入點108中有效。
隨后，如果移動客戶機110從相連的節(jié)點注銷，那么該節(jié)點會在相連節(jié)點以及其他每一個關(guān)聯(lián)于VPAN驗證群組的節(jié)點撤銷預(yù)驗證。如果移動客戶機110從接入點108注銷，那么舉例來說，接入點108將會產(chǎn)生傳送到VPAN 150中的每一個其他成員的預(yù)驗證廢止消息，這些成員包括向路由器102轉(zhuǎn)發(fā)廢止消息632的第三交換設(shè)備，而路由器102則將該消息轉(zhuǎn)發(fā)到第一交換設(shè)備103。一旦接收到廢止消息632，那么每一個節(jié)點都會從它的SAT中刪除移動客戶機ID，由此在沒有再次登錄的情況下阻止移動客戶機110接入網(wǎng)絡(luò)110。
在優(yōu)選實施例中，對與某個VPAN相關(guān)聯(lián)的網(wǎng)絡(luò)節(jié)點，也就是VPAN驗證群組中的成員而言，這些網(wǎng)絡(luò)節(jié)點用于使用本領(lǐng)域技術(shù)人員已知的鄰居發(fā)現(xiàn)協(xié)議來發(fā)現(xiàn)對方。優(yōu)選地，所述鄰居發(fā)現(xiàn)協(xié)議是第二層協(xié)議，該協(xié)議使用了傳送到被保留的多播MAC地址的“hello”消息而使每一個網(wǎng)絡(luò)設(shè)備能夠向LAN中的其他節(jié)點通告其自身標識，其中該標識優(yōu)選為IP地址，此外，還使每一個網(wǎng)絡(luò)設(shè)備能夠發(fā)現(xiàn)其鄰居的標識，并且能夠確定哪些鄰居正在運行本發(fā)明的預(yù)驗證協(xié)議以及一個或多個VLAN中的哪些是鄰居所支持的或者一個或多個VPAN中的哪些是可以通過這些鄰居到達的節(jié)點所支持的。在優(yōu)選實施例中，每一個希望共享驗證的設(shè)備被提供一個對于VPAN唯一的加密密鑰，該密鑰用于打開通過其可以共享客戶機標識信息的網(wǎng)絡(luò)節(jié)點之間的加密通信流。本發(fā)明可以使用的例子鄰居發(fā)現(xiàn)協(xié)議是IEEE802.1A/B，由此該協(xié)議在此引入作為參考。
雖然上文中的描述包含了很多規(guī)定，但是這些規(guī)定不應(yīng)當解釋為是對發(fā)明范圍進行的限制，而是僅僅提供了關(guān)于本發(fā)明的一些優(yōu)選實施例的例子。
因此，在這里是以示例而不是限制的方式公開本發(fā)明的，并且在這里應(yīng)該通過參考下列權(quán)利要求來確定本發(fā)明的范圍。
權(quán)利要求
1.一種用于在網(wǎng)絡(luò)中通告安全驗證的網(wǎng)絡(luò)設(shè)備，該網(wǎng)絡(luò)包括一個或多個關(guān)聯(lián)于驗證群組的網(wǎng)絡(luò)節(jié)點、驗證服務(wù)器以及具有相關(guān)客戶機標識符和證書的客戶機，所述網(wǎng)絡(luò)設(shè)備包括至少一個端口，用于接收來自客戶機的協(xié)議數(shù)據(jù)單元(PDU)以及證書；表，用于保留一個或多個已驗證客戶機中的每一個客戶機的客戶機標識符；以及驗證管理器，用于根據(jù)所述PDU而從所述表中確定客戶機是否通過驗證；根據(jù)所述客戶機證書確定是否從所述驗證服務(wù)器驗證所述客戶機；以及如果所述驗證服務(wù)器對所述客戶機進行了驗證，則將所述客戶機的標識符傳送到一個或多個網(wǎng)絡(luò)節(jié)點。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備，其中，所述驗證管理器用于根據(jù)所述PDU的源地址來確定客戶機是否被驗證。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備，其中，所述客戶機證書包含用戶標識符和口令。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備，其中，所述網(wǎng)絡(luò)設(shè)備從包括以下設(shè)備的群組中被選出路由器、網(wǎng)橋、多層交換機、網(wǎng)絡(luò)接入點、無線網(wǎng)絡(luò)接入點以及這些設(shè)備的組合。
5.一種數(shù)據(jù)通信網(wǎng)絡(luò)中的安全驗證系統(tǒng)，包括請求接入網(wǎng)絡(luò)的客戶機，其中所述客戶機與客戶機標識符以及安全證書相關(guān)聯(lián)；第一節(jié)點，用于接收包含所述安全證書的接入請求以及根據(jù)所述安全證書來驗證所述客戶機；以及第二節(jié)點；其中，如果所述客戶機在所述第一節(jié)點被驗證，則在所述第一節(jié)點和所述第二節(jié)點向所述客戶機提供網(wǎng)絡(luò)接入。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備，其中，如果所述客戶機被驗證，則所述第一節(jié)點用于將所述客戶機標識符傳送到所述第二節(jié)點，并且其中，所述第二節(jié)點用于保留一個共享許可表，所述表包含了所述傳送的客戶機標識符。
7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備，其中，所述共享許可表對被授權(quán)接入網(wǎng)絡(luò)的一個或多個已驗證的用戶進行標識。
8.一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)中通告安全驗證的方法，包括多個關(guān)聯(lián)于阻止未授權(quán)接入網(wǎng)絡(luò)的驗證群組的網(wǎng)絡(luò)節(jié)點，所述方法包括以下步驟在多個節(jié)點中的第一節(jié)點上接收來自請求接入網(wǎng)絡(luò)的客戶機的證書；在第一節(jié)點確定是否驗證過該客戶機對網(wǎng)絡(luò)的接入；如果客戶機通過驗證在所述第一節(jié)點上，向所述客戶機提供對所述網(wǎng)絡(luò)的接入；自動地向關(guān)聯(lián)于所述驗證群組的多個節(jié)點的其他節(jié)點傳送客戶機信息；以及允許多個節(jié)點中的其他節(jié)點向所述客戶提供對所述網(wǎng)絡(luò)的接入。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)設(shè)備，其中，所述客戶機信息包含所述客戶機的源地址。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)設(shè)備，其中，所述客戶機信息包含源介質(zhì)訪問控制(MAC)地址。
全文摘要
本發(fā)明公開一種用于在授權(quán)節(jié)點之間分發(fā)驗證信息，以便在LAN中的多個點上同時“預(yù)驗證”某個移動用戶的網(wǎng)絡(luò)設(shè)備。當客戶機嘗試通過該網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)時，該網(wǎng)絡(luò)設(shè)備將會嘗試根據(jù)用戶給出的證書來對客戶機進行驗證。如果通過驗證，那么在該網(wǎng)絡(luò)設(shè)備上，客戶機將被允許進入網(wǎng)絡(luò)，并且客戶機的預(yù)驗證信息將會傳送到與驗證群組相關(guān)聯(lián)的一個或多個網(wǎng)絡(luò)節(jié)點。一旦接收到預(yù)驗證信息，那么除了初始驗證客戶機的網(wǎng)絡(luò)設(shè)備之外，在這些節(jié)點上，所述一個或多個網(wǎng)絡(luò)節(jié)點將會被授權(quán)許可該客戶機進入網(wǎng)絡(luò)，由此在網(wǎng)絡(luò)中的多個節(jié)點上同時預(yù)驗證客戶機。
文檔編號H04L9/32GK1790980SQ20051013428
公開日2006年6月21日 申請日期2005年12月13日 優(yōu)先權(quán)日2004年12月13日
發(fā)明者杰里米·W·圖維, 埃里克·托利維爾 申請人:阿爾卡特公司