專利名稱:認(rèn)證和訪問控制系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種不依賴于物理通信介質(zhì)的認(rèn)證和訪問控制系統(tǒng)及方法,尤其涉及一種不依賴于數(shù)據(jù)鏈路層的各種通信協(xié)議的、適應(yīng)于低硬件規(guī)格裝置的認(rèn)證和訪問控制系統(tǒng)及方法。
背景技術(shù):
現(xiàn)有的局域網(wǎng)訪問認(rèn)證協(xié)議中,除了使用HTTP(超文本傳輸協(xié)議)的應(yīng)用層認(rèn)證之外,都是基于數(shù)據(jù)鏈路層來定義的,因此需要與數(shù)據(jù)鏈路層的各種通信協(xié)議相對應(yīng),其中的一個(gè)示例是IEEE802. Ix認(rèn)證,如圖I所示。IEEE802. Ix認(rèn)證是基于端口的訪問控制協(xié)議,其采用EAP點(diǎn)對點(diǎn)協(xié)議認(rèn)證,EAP信息被封裝在MAC幀中,稱為EAP0L?;贗EEE802. Ix的認(rèn)證系統(tǒng)在客戶端和認(rèn)證者之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息,而在認(rèn)證者與認(rèn)證服務(wù)器之間通過Radius協(xié)議傳送認(rèn)證信息。為了克服IEEE802. Ix認(rèn)證依賴于數(shù) 據(jù)鏈路層的各種通信協(xié)議的缺點(diǎn),存在基于網(wǎng)絡(luò)層的訪問認(rèn)證協(xié)議PANA,如圖2所示。PANA是在UDP/IP (用戶數(shù)據(jù)報(bào)協(xié)議/因特網(wǎng)協(xié)議)上承載EAP信息的客戶端/服務(wù)器型的訪問認(rèn)證協(xié)議,其可以應(yīng)用在支持Μ)Ρ/ΙΡ的任何數(shù)據(jù)鏈路層上?;赑ANA的認(rèn)證系統(tǒng)在客戶端和認(rèn)證代理之間運(yùn)行PANA協(xié)議,而認(rèn)證代理和認(rèn)證服務(wù)器之間的接口可以是Radius (遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng))、Diameter (Radius協(xié)議的升級版本)等。盡管如此,現(xiàn)有的認(rèn)證框架相對于處理能力較低的裝置來說負(fù)擔(dān)仍然很重。
發(fā)明內(nèi)容
為此,本發(fā)明提供一種使用Kerberos認(rèn)證的認(rèn)證和訪問控制系統(tǒng)及方法,Kerberos作為一種可信任的第三方認(rèn)證服務(wù),是通過傳統(tǒng)的密碼技術(shù)(例如,共享密鑰)執(zhí)行認(rèn)證服務(wù)的,其認(rèn)證模塊的安裝簡便,特別適用于低硬件規(guī)格裝置。根據(jù)本發(fā)明的一方面,提供一種認(rèn)證和訪問控制系統(tǒng),包括客戶端、連接控制裝置、認(rèn)證配置信息服務(wù)器、Kerberos服務(wù)器、和網(wǎng)絡(luò)接入控制器,其中,客戶端在認(rèn)證前只能訪問認(rèn)證網(wǎng)絡(luò),認(rèn)證成功后能夠訪問授權(quán)訪問網(wǎng)絡(luò);連接控制裝置用于控制客戶端連接認(rèn)證網(wǎng)絡(luò)或授權(quán)訪問網(wǎng)絡(luò);認(rèn)證配置信息服務(wù)器用于提供Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息Aerberos服務(wù)器用于統(tǒng)一管理認(rèn)證信息;網(wǎng)絡(luò)接入控制器用于根據(jù)認(rèn)證結(jié)果控制連接控制裝置;以及其中,客戶端與連接控制裝置連接,觸發(fā)連接控制裝置向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊,生成認(rèn)證用的客戶端IP地址,客戶端從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息,向Kerberos服務(wù)器發(fā)送認(rèn)證請求,Kerberos認(rèn)證完成后,客戶端向網(wǎng)絡(luò)接入控制器請求對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問,網(wǎng)絡(luò)接入控制器對客戶端的請求授權(quán),并控制連接控制裝置將認(rèn)證成功的客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)。優(yōu)選地,客戶端與連接控制裝置連接時(shí),觸發(fā)連接控制裝置采用自動注冊的方式向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊。
優(yōu)選地,連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以獲取認(rèn)證用的IPv6前綴,從而生成認(rèn)證用的客戶端IPv6地址。優(yōu)選地,客戶端采用自動獲取的方式從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息。優(yōu)選地,客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)接入控制器觸發(fā)連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以執(zhí)行IP地址的自動更新,從而生產(chǎn)新的客戶端IP地址。優(yōu)選地,客戶端與授權(quán)訪問網(wǎng)絡(luò)之間發(fā)生鏈路故障時(shí),連接控制裝置將該鏈路故障通知給網(wǎng)絡(luò)接入控制器,網(wǎng)絡(luò)接入控制器控制連接控制裝置將客戶端從授權(quán)訪問網(wǎng)絡(luò)切換到認(rèn)證網(wǎng)絡(luò)。優(yōu)選地,根據(jù)認(rèn)證結(jié)果,將沒有認(rèn)證成功的客戶端和認(rèn)證成功的客戶端分成兩個(gè) 虛擬局域網(wǎng)并進(jìn)行通信隔離。根據(jù)本發(fā)明的另一方面,提供一種通過認(rèn)證和訪問控制系統(tǒng)執(zhí)行的認(rèn)證和訪問控制方法,所述認(rèn)證和訪問控制系統(tǒng)包括客戶端、連接控制裝置、認(rèn)證配置信息服務(wù)器、Kerberos服務(wù)器、和網(wǎng)絡(luò)接入控制器,其中,客戶端在認(rèn)證前只能訪問認(rèn)證網(wǎng)絡(luò)而認(rèn)證成功后能夠訪問授權(quán)訪問網(wǎng)絡(luò);連接控制裝置用于控制客戶端連接認(rèn)證網(wǎng)絡(luò)或授權(quán)訪問網(wǎng)絡(luò);認(rèn)證配置信息服務(wù)器用于提供Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息AerbeiOS服務(wù)器用于統(tǒng)一管理認(rèn)證信息;網(wǎng)絡(luò)接入控制器用于根據(jù)認(rèn)證結(jié)果來控制連接控制裝置,所述方法包括以下步驟客戶端與連接控制裝置連接,觸發(fā)連接控制裝置向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊;生成認(rèn)證用的客戶端IP地址;客戶端從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息;客戶端向Kerberos服務(wù)器發(fā)送Kerberos標(biāo)準(zhǔn)認(rèn)證信息,以進(jìn)行Kerberos認(rèn)證;Kerberos服務(wù)器向認(rèn)證成功的客戶端發(fā)送網(wǎng)絡(luò)接入控制器服務(wù)票證;客戶端利用該網(wǎng)絡(luò)接入控制器服務(wù)票證向網(wǎng)絡(luò)接入控制器請求對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問;網(wǎng)絡(luò)接入控制器解讀該網(wǎng)絡(luò)接入控制器服務(wù)票證,若解讀成功,則控制連接控制裝置將認(rèn)證成功的客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)。優(yōu)選地,客戶端與連接控制裝置連接時(shí),觸發(fā)連接控制裝置采用自動注冊的方式向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊。優(yōu)選地,其中所述認(rèn)證和訪問控制系統(tǒng)中的連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以獲取認(rèn)證用的IPv6前綴,從而生成認(rèn)證用的客戶端IPv6地址。優(yōu)選地,客戶端采用自動獲取的方式從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息。優(yōu)選地,客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)接入控制器觸發(fā)連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以執(zhí)行IP地址的自動更新,從而生成新的客戶端IP地址。優(yōu)選地,客戶端與授權(quán)訪問網(wǎng)絡(luò)之間發(fā)生鏈路故障時(shí),連接控制裝置將該鏈路故障通知給網(wǎng)絡(luò)接入控制器,網(wǎng)絡(luò)接入控制器控制連接控制裝置將客戶端從授權(quán)訪問網(wǎng)絡(luò)切換到認(rèn)證網(wǎng)絡(luò)。優(yōu)選地,根據(jù)認(rèn)證結(jié)果,將沒有認(rèn)證成功的客戶端和認(rèn)證成功的客戶端分成兩個(gè)虛擬局域網(wǎng)并進(jìn)行通信隔離。
以下將結(jié)合附圖,詳細(xì)描述根據(jù)
具體實(shí)施例方式圖I示出了 IEEE802. Ix認(rèn)證的協(xié)議模型;圖2示出了 PANA認(rèn)證的協(xié)議模型;圖3示出了根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制系統(tǒng);圖4示出了根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制方法的順序圖;圖5示出了 Kerberos認(rèn)證過程; 圖6示出了根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制系統(tǒng)的部分工作流程;圖7示出了根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制系統(tǒng)中的網(wǎng)絡(luò)接入控制器的功能結(jié)構(gòu);圖8示出了客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的自動注冊流程;圖9示出了自動注冊信息的格式;圖10示出了獲取認(rèn)證所需必要信息的流程;圖11示出了認(rèn)證完成客戶端從網(wǎng)絡(luò)接入控制服務(wù)器獲取授權(quán)訪問許可的流程;圖12示出了認(rèn)證完成后自動更新IPv6地址的信息格式;圖13示出了認(rèn)證完成客戶端斷線后,防止不正當(dāng)?shù)呐c連接控制裝置進(jìn)行連接的方法;
具體實(shí)施例方式圖3示出了根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制系統(tǒng)。如圖3所示,認(rèn)證和訪問控制系統(tǒng)包括認(rèn)證客戶端1,認(rèn)證前的客戶端裝置;認(rèn)證完成客戶端2,認(rèn)證成功的客戶端裝置;連接控制裝置3,控制客戶端裝置連接認(rèn)證網(wǎng)絡(luò)或授權(quán)訪問網(wǎng)絡(luò)的裝置并發(fā)送路由器廣播,其可以包括支持基于MAC地址劃分虛擬局域網(wǎng)(VLAN)的交換機(jī)或者訪問節(jié)點(diǎn)(AP)以及支持IPv6的路由器兩部分功能;認(rèn)證配置信息服務(wù)器4,用于提供Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息的裝置,其可以采用DHCP服務(wù)器來實(shí)現(xiàn)Kerberos服務(wù)器5,統(tǒng)一管理認(rèn)證信息的服務(wù)器;網(wǎng)絡(luò)接入控制器(NAC) 6,用于控制連接控制裝置的服務(wù)器;認(rèn)證網(wǎng)絡(luò)7,用于向認(rèn)證客戶端I提供認(rèn)證通信的網(wǎng)絡(luò);授權(quán)訪問網(wǎng)絡(luò)8,用于向認(rèn)證完成客戶端2提供授權(quán)訪問通信的網(wǎng)絡(luò),其只連接認(rèn)證成功的客戶端裝置。認(rèn)證客戶端I與連接控制裝置3連接,觸發(fā)連接控制裝置3向網(wǎng)絡(luò)接入控制器6進(jìn)行認(rèn)證客戶端I的MAC地址與連接控制裝置3的IP地址之間的對應(yīng)關(guān)系的注冊,認(rèn)證客戶端I接收連接控制裝置3發(fā)送的路由器廣播以獲取認(rèn)證用的IPv6前綴,從而生成認(rèn)證用的客戶端IPv6地址,然后認(rèn)證客戶端I通過認(rèn)證配置信息服務(wù)器4獲取認(rèn)證所需必要信息,包括Kerberos服務(wù)器5和網(wǎng)絡(luò)接入控制器6的地址信息,然后認(rèn)證客戶端I通過Kerberos服務(wù)器5進(jìn)行Kerberos認(rèn)證,Kerberos認(rèn)證完成后,認(rèn)證客戶端I向網(wǎng)絡(luò)接入控制器6請求對授權(quán)訪問網(wǎng)絡(luò)8進(jìn)行訪問,網(wǎng)絡(luò)接入控制器6對認(rèn)證客戶端I的請求授權(quán),控制連接控制裝置3將認(rèn)證客戶端I從認(rèn)證網(wǎng)絡(luò)7切換到授權(quán)訪問網(wǎng)絡(luò)8,并觸發(fā)連接控制裝置3發(fā)送路由器廣播,認(rèn)證客戶端I接收該路由器廣播以執(zhí)行IP地址的自動更新,從而生成新的客戶端IP地址,認(rèn)證客戶端I變成認(rèn)證完成客戶端2。圖4示出了根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制方法的順序圖。如圖4所示,根據(jù)本發(fā)明的實(shí)施例的認(rèn)證和訪問控制方法可以包括三個(gè)過程,即自動發(fā)現(xiàn)、認(rèn)證與授權(quán)、和訪問控制。首先,認(rèn)證客戶端I開機(jī),通過認(rèn)證VLAN 7與連接控制裝置3進(jìn)行網(wǎng)絡(luò)連接,觸發(fā)連接控制裝置3通過SNMP陷阱向網(wǎng)絡(luò)接入控制器6進(jìn)行認(rèn)證客戶端I的MAC地址與連接控制裝置3的IP地址之間的對應(yīng)關(guān)系的注冊。然后,認(rèn)證客戶端I接收來自連接控制裝置3的路由器廣播,獲取認(rèn)證用的IPv6前綴,從而生成認(rèn)證用的客戶端IPv6地址。然后,認(rèn)證客戶端I向認(rèn)證配置信息服務(wù)器4發(fā)送獲取認(rèn)證用信息的請求信息,認(rèn)證配置信息服務(wù)器4對該信息應(yīng)答,認(rèn)證客戶端I從該應(yīng)答信息中獲取Kerberos服務(wù)器5和網(wǎng)絡(luò)接入控制器6的地址信息。以上步驟完成了認(rèn)證客戶端I自動發(fā)現(xiàn)認(rèn)證所需必要信息的過程。然后,認(rèn)證客戶端I向Kerberos服務(wù)器5發(fā)起標(biāo)準(zhǔn)的Kerberos認(rèn)證,認(rèn)證成功后,Kerberos服務(wù)器5向認(rèn)證客戶端I發(fā)送網(wǎng)絡(luò)接入控制器服務(wù)票證。以上步驟完成了對認(rèn)證客戶端I
的認(rèn)證與授權(quán)的過程。然后,認(rèn)證客戶端I通過AP請求信息將網(wǎng)絡(luò)接入控制器服務(wù)票證發(fā)送給網(wǎng)絡(luò)接入控制器6,以請求訪問授權(quán)訪問網(wǎng)絡(luò)VLAN 8,并且認(rèn)證客戶端I通過Kerberos標(biāo)準(zhǔn)信息KRB_PRIV請求信息向網(wǎng)絡(luò)接入控制器6發(fā)送例如認(rèn)證客戶端I的MAC地址,網(wǎng)絡(luò)接入控制器6對所述網(wǎng)絡(luò)接入控制器服務(wù)票證進(jìn)行解讀,獲取認(rèn)證客戶端I的MAC地址,對認(rèn)證客戶端I的請求予以授權(quán),網(wǎng)絡(luò)接入控制器6先通過AP應(yīng)答信息響應(yīng)認(rèn)證客戶端I的訪問授權(quán)訪問網(wǎng)絡(luò)VLAN 8的請求,然后為認(rèn)證客戶端I設(shè)置授權(quán)有效時(shí)間(生存期限),通過KRB_PRIV應(yīng)答信息將所設(shè)置的授權(quán)有效時(shí)間發(fā)送給認(rèn)證客戶端1,最后網(wǎng)絡(luò)接入控制器6在本地查表得到認(rèn)證客戶端I所在的連接控制裝置3的IP地址,對連接控制裝置3進(jìn)行控制。連接控制裝置3變更基于MAC地址劃分的VLAN,將認(rèn)證客戶端I從認(rèn)證網(wǎng)絡(luò)VLAN7切換到授權(quán)訪問網(wǎng)絡(luò)VLAN 8。同時(shí),為了盡快生成用于訪問授權(quán)訪問網(wǎng)絡(luò)VLAN 8的客戶端IPv6地址,網(wǎng)絡(luò)接入控制器6觸發(fā)連接控制裝置3發(fā)送針對授權(quán)訪問網(wǎng)絡(luò)VLAN 8的路由器廣播,認(rèn)證客戶端I接收該路由器廣播,獲取用于訪問授權(quán)訪問網(wǎng)絡(luò)VLAN 8的IPv6前綴,執(zhí)行IP地址的自動更新,從而生成用于訪問授權(quán)訪問網(wǎng)絡(luò)VLAN 8的客戶端IPv6地址,認(rèn)證客戶端I變成認(rèn)證完成客戶端2,與授權(quán)訪問網(wǎng)絡(luò)VLAN 8進(jìn)行通信。以上步驟完成了對認(rèn)證客戶端I的訪問控制的過程。圖5示出了 Kerberos認(rèn)證過程。如圖5所示,Kerberos服務(wù)器5包括認(rèn)證服務(wù)器(AS)和票證授予服務(wù)器(TGS)。認(rèn)證客戶端I向Kerberos服務(wù)器5中的認(rèn)證服務(wù)器發(fā)送AS請求信息,認(rèn)證服務(wù)器通過AS應(yīng)答信息向認(rèn)證客戶端I發(fā)送票證授予式票證(TGT),認(rèn)證客戶端I對該AS應(yīng)答信息進(jìn)行解讀以獲得票證授予式票證。然后,認(rèn)證客戶端I將所獲得的票證授予式票證通過TGS請求信息發(fā)送給Kerberos服務(wù)器5中的票證授予服務(wù)器,票證授予服務(wù)器通過TGS應(yīng)答信息向認(rèn)證客戶端I發(fā)送網(wǎng)絡(luò)接入控制器服務(wù)票證,認(rèn)證客戶端I對該TGS應(yīng)答信息進(jìn)行解讀來獲得網(wǎng)絡(luò)接入控制器服務(wù)票證。不能解讀AS應(yīng)答信息來得到TGT的認(rèn)證客戶端I屬于認(rèn)證失敗的客戶端,不能獲取網(wǎng)絡(luò)接入控制器服務(wù)票證。如圖6所示,認(rèn)證客戶端I與連接控制裝置3連接時(shí),觸發(fā)連接控制裝置3采用自動注冊的方式執(zhí)行認(rèn)證客戶端I的MAC地址與連接控制裝置3的IP地址之間的對應(yīng)關(guān)系的注冊,然后采用自動獲取的方式從認(rèn)證配置信息服務(wù)器4獲取Kerberos服務(wù)器5和網(wǎng)絡(luò)接入控制器6的地址信息,再執(zhí)行Kerberos認(rèn)證,最后向網(wǎng)絡(luò)接入控制器6請求對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問,從而從網(wǎng)絡(luò)接入控制器6獲取授權(quán)訪問許可。認(rèn)證完成客戶端2的生存期限由網(wǎng)絡(luò)接入控制器6來管理。圖7示出了網(wǎng)絡(luò)接入控制器6的功能結(jié)構(gòu)。如圖7所示,網(wǎng)絡(luò)接入控制器6包括Kerberos應(yīng)用服務(wù)模塊、客戶端生存期限管理模塊、MAC-IP管理模塊、以及用于控制連接控制裝置的連接控制裝置控制模塊,其中Kerberos應(yīng)用服務(wù)模塊用于參與Kerberos認(rèn)證相關(guān)的通信交互,例如對KRB_PRIV請求和應(yīng)答信息的接收和發(fā)送,客戶端生存期限管理模塊用于管理各認(rèn)證完成客戶端
2的生存期限,MAC-IP管理模塊用于管理客戶端的MAC地址與連接控制裝置的IP地址之間的對應(yīng)關(guān)系。 圖8示出了認(rèn)證客戶端I的MAC地址與連接控制裝置3的IP地址之間的對應(yīng)關(guān)系的自動注冊流程。認(rèn)證客戶端I與連接控制裝置3連接時(shí),觸發(fā)連接控制裝置3使用SNMP陷阱向網(wǎng)絡(luò)接入控制器6發(fā)送信息,網(wǎng)絡(luò)接入控制器6通過接收到的SNMP陷阱信息來注冊認(rèn)證客戶端I的MAC地址與連接控制裝置3的IP地址之間的對應(yīng)關(guān)系。圖9示出了自動注冊信息的格式,其為可擴(kuò)展的標(biāo)準(zhǔn)SNMP信息。圖10示出了為了認(rèn)證而自動獲取必要信息的流程。為了進(jìn)行認(rèn)證,認(rèn)證客戶端I向認(rèn)證配置信息服務(wù)器4發(fā)送獲取認(rèn)證用信息的請求信息,收到認(rèn)證配置信息服務(wù)器4的獲取認(rèn)證用信息的應(yīng)答信息后,從該應(yīng)答信息獲取Kerberos服務(wù)器5和網(wǎng)絡(luò)接入控制器6的地址信息。圖11示出了認(rèn)證成功后,認(rèn)證客戶端I從網(wǎng)絡(luò)接入控制器6獲取授權(quán)訪問許可的流程。認(rèn)證客戶端I向網(wǎng)絡(luò)接入控制器6發(fā)送對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問的請求(包含客戶端MAC地址),網(wǎng)絡(luò)接入控制器6確認(rèn)該對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問的請求,為認(rèn)證客戶端I分配可訪問的時(shí)間并響應(yīng)認(rèn)證客戶端I,然后通過連接控制裝置3控制認(rèn)證客戶端I從認(rèn)證網(wǎng)絡(luò)7切換到授權(quán)訪問網(wǎng)絡(luò)8,并通過如圖12所示的可擴(kuò)展的標(biāo)準(zhǔn)SNMP信息觸發(fā)連接控制裝置3發(fā)送路由器廣播,客戶端接收該路由器廣播,執(zhí)行IP地址的自動更新,從而生成新的客戶端IP地址,認(rèn)證客戶端I變成認(rèn)證完成客戶端2。圖13示出了認(rèn)證完成客戶端2斷線后,為了防止不正當(dāng)?shù)难b置與連接控制裝置3進(jìn)行連接的方法。當(dāng)認(rèn)證完成客戶端2與授權(quán)訪問網(wǎng)絡(luò)8之間發(fā)生鏈路故障時(shí),連接控制裝置3通過SNMP陷阱將該鏈路故障通知給網(wǎng)絡(luò)接入控制器6,網(wǎng)絡(luò)接入控制器6控制連接控制裝置3將認(rèn)證完成客戶端2從授權(quán)訪問網(wǎng)絡(luò)8切換到認(rèn)證網(wǎng)絡(luò)7,認(rèn)證完成客戶端2又變成認(rèn)證客戶端I。
權(quán)利要求
1.一種認(rèn)證和訪問控制系統(tǒng),包括客戶端、連接控制裝置、認(rèn)證配置信息服務(wù)器、Kerberos服務(wù)器、和網(wǎng)絡(luò)接入控制器,其中,客戶端在認(rèn)證前只能訪問認(rèn)證網(wǎng)絡(luò),認(rèn)證成功后能夠訪問授權(quán)訪問網(wǎng)絡(luò);連接控制裝置用于控制客戶端連接認(rèn)證網(wǎng)絡(luò)或授權(quán)訪問網(wǎng)絡(luò);認(rèn)證配置信息服務(wù)器用于提供Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息^erbeiOS服務(wù)器用于統(tǒng)一管理認(rèn)證信息;網(wǎng)絡(luò)接入控制器用于根據(jù)認(rèn)證結(jié)果控制連接控制裝置;以及 其中,客戶端與連接控制裝置連接,觸發(fā)連接控制裝置向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊,生成認(rèn)證用的客戶端IP地址,客戶端從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息,向Kerberos服務(wù)器發(fā)送認(rèn)證請求,Kerberos認(rèn)證完成后,客戶端向網(wǎng)絡(luò)接入控制器請求對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問,網(wǎng)絡(luò)接入控制器對客戶端的請求授權(quán),并控制連接控制裝置將認(rèn)證成功的客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求I所述的認(rèn)證和訪問控制系統(tǒng),客戶端與連接控制裝置連接時(shí),觸發(fā)連接控制裝置采用自動注冊的方式向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊。
3.根據(jù)權(quán)利要求I所述的認(rèn)證和訪問控制系統(tǒng),連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以獲取認(rèn)證用的IPv6前綴,從而生成認(rèn)證用的客戶端IPv6地址。
4.根據(jù)權(quán)利要求I所述的認(rèn)證和訪問控制系統(tǒng),客戶端采用自動獲取的方式從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息。
5.根據(jù)權(quán)利要求I所述的認(rèn)證和訪問控制系統(tǒng),客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)接入控制器觸發(fā)連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以執(zhí)行IP地址的自動更新,從而生產(chǎn)新的客戶端IP地址。
6.根據(jù)權(quán)利要求I至5任一項(xiàng)所述的認(rèn)證和訪問控制系統(tǒng),客戶端與授權(quán)訪問網(wǎng)絡(luò)之間發(fā)生鏈路故障時(shí),連接控制裝置將該鏈路故障通知給網(wǎng)絡(luò)接入控制器,網(wǎng)絡(luò)接入控制器控制連接控制裝置將客戶端從授權(quán)訪問網(wǎng)絡(luò)切換到認(rèn)證網(wǎng)絡(luò)。
7.根據(jù)權(quán)利要求I至5任一項(xiàng)所述的認(rèn)證和訪問控制系統(tǒng),根據(jù)認(rèn)證結(jié)果,將沒有認(rèn)證成功的客戶端和認(rèn)證成功的客戶端分成兩個(gè)虛擬局域網(wǎng)并進(jìn)行通信隔離。
8.一種通過認(rèn)證和訪問控制系統(tǒng)執(zhí)行的認(rèn)證和訪問控制方法,所述認(rèn)證和訪問控制系統(tǒng)包括客戶端、連接控制裝置、認(rèn)證配置信息服務(wù)器、Kerberos服務(wù)器、和網(wǎng)絡(luò)接入控制器,其中,客戶端在認(rèn)證前只能訪問認(rèn)證網(wǎng)絡(luò)而認(rèn)證成功后能夠訪問授權(quán)訪問網(wǎng)絡(luò);連接控制裝置用于控制客戶端連接認(rèn)證網(wǎng)絡(luò)或授權(quán)訪問網(wǎng)絡(luò);認(rèn)證配置信息服務(wù)器用于提供Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息Aerberos服務(wù)器用于統(tǒng)一管理認(rèn)證信息;網(wǎng)絡(luò)接入控制器用于根據(jù)認(rèn)證結(jié)果來控制連接控制裝置,所述方法包括以下步驟 客戶端與連接控制裝置連接,觸發(fā)連接控制裝置向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊; 生成認(rèn)證用的客戶端IP地址; 客戶端從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息; 客戶端向Kerberos服務(wù)器發(fā)送Kerberos認(rèn)證請求信息,以進(jìn)行Kerberos認(rèn)證; Kerberos服務(wù)器向認(rèn)證成功的客戶端發(fā)送網(wǎng)絡(luò)接入控制器服務(wù)票證;客戶端利用該網(wǎng)絡(luò)接入控制器服務(wù)票證向網(wǎng)絡(luò)接入控制器請求對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問; 網(wǎng)絡(luò)接入控制器解讀該網(wǎng)絡(luò)接入控制器服務(wù)票證,若解讀成功,則控制連接控制裝置將認(rèn)證成功的客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)。
9.根據(jù)權(quán)利要求8所述的認(rèn)證和訪問控制方法,客戶端與連接控制裝置連接時(shí),觸發(fā)連接控制裝置采用自動注冊的方式向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊。
10.根據(jù)權(quán)利要求8所述的認(rèn)證和訪問控制方法,其中所述認(rèn)證和訪問控制系統(tǒng)中的連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以獲取認(rèn)證用的IPv6前綴,從而生成認(rèn)證用的客戶端IPv6地址。
11.根據(jù)權(quán)利要求8所述的認(rèn)證和訪問控制方法,客戶端采用自動獲取的方式從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息。
12.根據(jù)權(quán)利要求8所述的認(rèn)證和訪問控制方法,客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)接入控制器觸發(fā)連接控制裝置發(fā)送路由器廣播,客戶端接收該路由器廣播以執(zhí)行IP地址的自動更新,從而生成新的客戶端IP地址。
13.根據(jù)權(quán)利要求8至12任一項(xiàng)所述的認(rèn)證和訪問控制方法,客戶端與授權(quán)訪問網(wǎng)絡(luò)之間發(fā)生鏈路故障時(shí),連接控制裝置將該鏈路故障通知給網(wǎng)絡(luò)接入控制器,網(wǎng)絡(luò)接入控制器控制連接控制裝置將客戶端從授權(quán)訪問網(wǎng)絡(luò)切換到認(rèn)證網(wǎng)絡(luò)。
14.根據(jù)權(quán)利要求8至12任一項(xiàng)所述的認(rèn)證和訪問控制方法,根據(jù)認(rèn)證結(jié)果,將沒有認(rèn)證成功的客戶端和認(rèn)證成功的客戶端分成兩個(gè)虛擬局域網(wǎng)并進(jìn)行通信隔離。
全文摘要
本發(fā)明提供一種認(rèn)證和訪問控制系統(tǒng)及方法,所述認(rèn)證和訪問控制系統(tǒng)包括客戶端、連接控制裝置、認(rèn)證配置信息服務(wù)器、Kerberos服務(wù)器、和網(wǎng)絡(luò)接入控制器,其中,客戶端與連接控制裝置連接,觸發(fā)連接控制裝置向網(wǎng)絡(luò)接入控制器進(jìn)行客戶端MAC地址與連接控制裝置IP地址之間的對應(yīng)關(guān)系的注冊,生成認(rèn)證用的客戶端IP地址,客戶端從認(rèn)證配置信息服務(wù)器獲取Kerberos服務(wù)器和網(wǎng)絡(luò)接入控制器的地址信息,向Kerberos服務(wù)器發(fā)送認(rèn)證請求,Kerberos認(rèn)證完成后,客戶端向網(wǎng)絡(luò)接入控制器請求對授權(quán)訪問網(wǎng)絡(luò)進(jìn)行訪問,網(wǎng)絡(luò)接入控制器對客戶端的請求授權(quán),控制連接控制裝置將認(rèn)證成功的客戶端從認(rèn)證網(wǎng)絡(luò)切換到授權(quán)訪問網(wǎng)絡(luò)。
文檔編號H04L29/06GK102868672SQ20111019179
公開日2013年1月9日 申請日期2011年7月5日 優(yōu)先權(quán)日2011年7月5日
發(fā)明者王玥, 李 浩, 王東, 宮田宏 申請人:橫河電機(jī)株式會社