專利名稱:一種802.1x認(rèn)證方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉 及一種802. IX認(rèn)證方法和設(shè)備。
背景技術(shù):
為了解決無線局域網(wǎng)的網(wǎng)絡(luò)安全問題,提出了 802. IX協(xié)議,該802. IX協(xié)議作為局域網(wǎng)端口的接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用,其用于解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題;802. IX協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議,且基于端口的網(wǎng)絡(luò)接入控制是指在局域網(wǎng)接入設(shè)備的端口對所接入的客戶端進(jìn)行認(rèn)證和控制,如果連接在端口上的客戶端能通過認(rèn)證,則可以訪問局域網(wǎng)中的資源;如果不能通過認(rèn)證,則無法訪問局域網(wǎng)中的資源。如圖I所示,為802. IX認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖,包括客戶端(Client)、接入設(shè)備(Device)和認(rèn)證服務(wù)器(Server);該客戶端需要支持 EAPOL (Extensible AuthenticationProtocol over LAN,局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議),且客戶端可以通過啟動(dòng)客戶端軟件發(fā)起802. IX認(rèn)證;接入設(shè)備為支持802. IX協(xié)議的網(wǎng)絡(luò)設(shè)備,用于為客戶端提供接入局域網(wǎng)的端口,該端口為物理端口或者邏輯端口 ;認(rèn)證服務(wù)器是提供認(rèn)證服務(wù)的實(shí)體,用于對客戶端進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi),其可以為 RADIUS (Remote Authentication Dial-In User Service,遠(yuǎn)程認(rèn)證撥號用戶服務(wù))服務(wù)器。隨著無線技術(shù)的發(fā)展,802. IX認(rèn)證系統(tǒng)可以應(yīng)用在無線局域網(wǎng)中,如圖2所示,為基于無線局域網(wǎng)的802. IX認(rèn)證系統(tǒng),圖2中的二層交換機(jī)為接入設(shè)備,在該應(yīng)用場景下,AP(Access Point,接入點(diǎn))設(shè)備是無線連接的媒介,AP設(shè)備本身并不進(jìn)行接入控制;且對于支持802. IX認(rèn)證的二層交換機(jī)來說,由于無線接入空口傳輸?shù)奶厥庑?,二層交換機(jī)并不能感知到客戶端是從哪個(gè)AP設(shè)備接入的,從而造成對客戶端管理上的困難。
發(fā)明內(nèi)容
本發(fā)明提供一種802. IX認(rèn)證方法和設(shè)備,以實(shí)現(xiàn)對客戶端的精確管理和控制。為了達(dá)到上述目的,本發(fā)明提供一種802. IX認(rèn)證方法,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),該方法包括以下步驟所述接入設(shè)備接收來自所述AP設(shè)備的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述AP設(shè)備的介質(zhì)訪問控制MAC地址、所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID、以及所述客戶端的MAC地址;所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且所述認(rèn)證請求報(bào)文中攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802. IX認(rèn)證。所述接入設(shè)備接收來自所述AP設(shè)備的EAPOL-Start報(bào)文,之后還包括所述接入設(shè)備通過所述AP設(shè)備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文,并接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,且所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息;所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,具體包括所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)送攜帶所述客戶端的認(rèn)證信息的認(rèn)證請求報(bào)文。所述方法進(jìn)一步包括接入設(shè)備接收來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,所述接入設(shè)備在用戶表項(xiàng)中記錄所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址之間的對應(yīng)關(guān)系;所述接入設(shè)備接收來自所述客戶端的EAPOL-Response報(bào)文之后,所述接入設(shè)備通過所述EAPOL-Response報(bào)文中攜帶的所述客戶端的MAC地址查詢所述用戶表項(xiàng),并利用查詢結(jié)果得到所述客戶端對應(yīng)的AP設(shè)備的MAC地址以及所述客戶端對應(yīng)的SSID。本發(fā)明提供一種802. IX認(rèn)證方法,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、接入設(shè)備 和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),該方法包括以下步驟所述AP設(shè)備接收來自所述客戶端的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述客戶端的介質(zhì)訪問控制MAC地址;所述AP設(shè)備在所述EAPOL-Start報(bào)文中添加所述AP設(shè)備本身的MAC地址以及所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID ;所述AP設(shè)備將攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備;由所述接入設(shè)備利用收到的EAPOL-Start報(bào)文中攜帶的信息向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,并由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802. IX認(rèn)證。所述AP設(shè)備將攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備,之后還包括所述AP設(shè)備接收來自所述接入設(shè)備的用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文,并將所述EAPOL-Request報(bào)文發(fā)送給所述客戶端;以及,接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,并將所述EAPOL-Response報(bào)文發(fā)送給所述接入設(shè)備,且所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息。本發(fā)明提供一種接入設(shè)備,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、所述接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),該接入設(shè)備包括接收模塊,用于接收來自所述AP設(shè)備的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述AP設(shè)備的介質(zhì)訪問控制MAC地址、所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID、以及所述客戶端的MAC地址;發(fā)送模塊,用于向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且所述認(rèn)證請求報(bào)文中攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802. IX認(rèn)證。所述發(fā)送模塊,還用于在接收到來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,通過所述AP設(shè)備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文;所述接收模塊,還用于接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,且所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息;且所述認(rèn)證請求報(bào)文中還攜帶所述客戶端的認(rèn)證信息。還包括處理模塊,用于在接收到來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,在用戶表項(xiàng)中記錄所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址之間的對應(yīng)關(guān)系;在接收到來自所述客戶端的EAPOL-Response報(bào)文之后,通過所述EAPOL-Response報(bào)文中攜帶的所述客戶端的MAC地址查詢所述用戶表項(xiàng),并利用查 詢 結(jié)果得到所述客戶端對應(yīng)的AP設(shè)備的MAC地址以及所述客戶端對應(yīng)的SSID。本發(fā)明提供一種接入點(diǎn)AP設(shè)備,應(yīng)用于包括客戶端、所述AP設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),該AP設(shè)備包括接收模塊,用于接收來自所述客戶端的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述客戶端的介質(zhì)訪問控制MAC地址;處理模塊,用于在所述EAPOL-Start報(bào)文中添加所述AP設(shè)備本身的MAC地址以及所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID ;發(fā)送模塊,用于將攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備;由所述接入設(shè)備利用收到的EAPOL-Start報(bào)文中攜帶的信息向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,并由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802. IX認(rèn)證。所述接收模塊,還用于接收來自所述接入設(shè)備的用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文;以及,接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息;所述發(fā)送模塊,還用于將所述EAPOL-Request報(bào)文發(fā)送給所述客戶端;以及,將所述EAPOL-Response報(bào)文發(fā)送給所述接入設(shè)備。與現(xiàn)有技術(shù)相比,本發(fā)明至少具有以下優(yōu)點(diǎn)本發(fā)明中,AP設(shè)備通過在EAPOL-Start (開始)報(bào)文中攜帶自身的MAC (Medium Access Control,介質(zhì)訪問控制)地址以及客戶端對應(yīng)的SSID(Service Set Identifier,服務(wù)集標(biāo)識),使得接入設(shè)備可以獲知客戶端是從哪個(gè)AP設(shè)備接入的,即接入設(shè)備可以精確獲取客戶端的接入AP設(shè)備,從而可以實(shí)現(xiàn)對客戶端的精確管理和控制。
圖I是現(xiàn)有技術(shù)中的802. IX認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖;圖2是現(xiàn)有技術(shù)中的基于無線局域網(wǎng)的802. IX認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖;圖3是本發(fā)明提出的一種802. IX認(rèn)證方法流程圖;圖4是本發(fā)明提出的一種接入設(shè)備的結(jié)構(gòu)示意圖5是本發(fā)明提出的一種AP設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式以圖2為本發(fā)明應(yīng)用場景示意圖,當(dāng)在接入設(shè)備(即二層交換機(jī))上配置了802. IX認(rèn)證功能時(shí),會(huì)下發(fā)802. IX協(xié)議報(bào)文上報(bào)未知源MAC地址丟棄規(guī)則,客戶端在未認(rèn)證通過時(shí),只有802. IX協(xié)議報(bào)文送到上層802. IX模塊,其他報(bào)文會(huì)被丟棄;在客戶端認(rèn)證通過后,會(huì)下發(fā)MAC轉(zhuǎn)發(fā)表項(xiàng),當(dāng)后續(xù)收到報(bào)文時(shí),檢查MAC轉(zhuǎn)發(fā)表項(xiàng)是否存在,如果已經(jīng)存在,則正常轉(zhuǎn)發(fā)報(bào)文。在上述圖2所示的應(yīng)用場景下,客戶端和AP設(shè)備連接成功之后,AP設(shè)備只進(jìn)行報(bào)文的轉(zhuǎn)發(fā),因此當(dāng)認(rèn)證報(bào)文到達(dá)接入設(shè)備時(shí),接入設(shè)備無法確切知道客戶端是以無線方式接入還是以有線方式接入,且在以無線方式接入時(shí)無法確切知道客戶端的具體接入AP設(shè) 備。針對上述問題,本發(fā)明提出一種802. IX認(rèn)證方法,如圖2所示的應(yīng)用場景示意圖,該方法應(yīng)用于包括客戶端、AP設(shè)備、接入設(shè)備(即二層交換機(jī))和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,如圖3所示,該方法包括以下步驟步驟301,客戶端向AP設(shè)備發(fā)送EAPOL-Start報(bào)文,且該EAPOL-Start報(bào)文中攜帶客戶端的MAC地址。其中,在客戶端需要發(fā)起802. IX認(rèn)證時(shí),則客戶端會(huì)通過AP設(shè)備向接入設(shè)備發(fā)送EAPOL-Start報(bào)文。步驟302,AP設(shè)備接收來自客戶端的EAPOL-Start報(bào)文,并在EAPOL-Start報(bào)文中添加AP設(shè)備本身的MAC地址以及客戶端對應(yīng)的SSID。本發(fā)明中,AP設(shè)備在接收到基于802. IX協(xié)議的EAPOL-Start報(bào)文后,可以將AP設(shè)備本身的MAC地址以及客戶端對應(yīng)的SSID(即客戶端連接的SSID)通過RADIUS格式屬性封裝到EAPOL-Start報(bào)文的載荷中。步驟303,AP設(shè)備將攜帶AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、以及客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給接入設(shè)備。步驟304,接入設(shè)備接收來自AP設(shè)備的EAPOL-Start報(bào)文,該EAPOL-Start報(bào)文中攜帶AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、客戶端的MAC地址。本發(fā)明中,接入設(shè)備在接收到EAPOL-Start報(bào)文之后,可以按照RADIUS屬性TLV(Type Length Value,類型長度值)格式對EAPOL-Start報(bào)文的載荷內(nèi)容進(jìn)行解析,得到AP設(shè)備的MAC地址和客戶端對應(yīng)的SSID,以及從該EAPOL-Start報(bào)文的報(bào)文頭中獲得客戶端的MAC地址,并根據(jù)該客戶端的MAC地址建立用戶表項(xiàng),以及在用戶表項(xiàng)中記錄AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、以及客戶端的MAC地址之間的對應(yīng)關(guān)系;如表I所示,為用戶表項(xiàng)的一種具體實(shí)例。表I
客戶端的MAC客戶端對應(yīng)的SSID AP設(shè)備的MAC地址~
MAC 地址 ISSID AMAC 地址 B步驟305,接入設(shè)備向AP設(shè)備發(fā)送EAPOL-Request (請求)報(bào)文,且該EAPOL-Request報(bào)文用于觸發(fā)客戶端進(jìn)行認(rèn)證。步驟306,AP設(shè)備接收來自接入設(shè)備的EAPOL-Request報(bào)文,并將該EAPOL-Request報(bào)文發(fā)送給客戶端。步驟307,客戶端接收來自AP設(shè)備的EAPOL-Request報(bào)文,并向AP設(shè)備發(fā)送EAPOL-Response (響應(yīng))報(bào)文,且該EAPOL-Response報(bào)文中攜帶客戶端的認(rèn)證信息(如客戶端的用戶名以及密碼等信息)。步驟308,AP設(shè)備接收來自客戶端的EAPOL-Response報(bào)文,并將該EAPOL-Response報(bào)文發(fā)送給接入設(shè)備。步驟309,接入設(shè)備接收來自AP設(shè)備的EAPOL-Response報(bào)文,并向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且該認(rèn)證請求報(bào)文中攜帶了 AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、以及客戶端的MAC地址;此外,在該認(rèn)證請求報(bào)文中還需要攜帶客戶端的認(rèn)證信息。 具體的,接入設(shè)備在接收到EAPOL-Response報(bào)文之后,可以通過EAPOL-Response報(bào)文中攜帶的客戶端的MAC地址查詢用戶表項(xiàng),并利用查詢結(jié)果得到客戶端對應(yīng)的AP設(shè)備的MAC地址以及客戶端對應(yīng)的SSID,繼而可以通過認(rèn)證請求報(bào)文將AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、客戶端的MAC地址、以及客戶端的認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器。需要注意的是,在實(shí)際應(yīng)用中,上述認(rèn)證請求報(bào)文可以為RADIUS認(rèn)證請求報(bào)文,且接入設(shè)備可以將AP設(shè)備的MAC地址以及客戶端對應(yīng)的SSID添加到RADIUS認(rèn)證請求報(bào)文的30號屬性的Data(數(shù)據(jù))域中。本發(fā)明中,在將認(rèn)證請求報(bào)文發(fā)送給認(rèn)證服務(wù)器之后,該認(rèn)證服務(wù)器可以利用認(rèn)證請求報(bào)文中攜帶的信息(AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、客戶端的MAC地址、客戶端的認(rèn)證信息)對客戶端進(jìn)行802. IX認(rèn)證。進(jìn)一步的,由于認(rèn)證請求報(bào)文中攜帶了 AP設(shè)備的MAC地址以及客戶端對應(yīng)的SSID,因此認(rèn)證服務(wù)器可精確知道客戶端連接的AP設(shè)備以及對應(yīng)的SSID,且管理員可在認(rèn)證服務(wù)器上配置能夠允許接入的AP設(shè)備以及SSID,并且可以針對不同AP設(shè)備和SSID下發(fā)不同的用戶權(quán)限,比如流量限速,會(huì)話時(shí)長等,從而可以實(shí)現(xiàn)對客戶端的精確管理和控制?;谂c上述方法同樣的發(fā)明構(gòu)思,本發(fā)明還提出了一種接入設(shè)備,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、所述接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),如圖4所示,該接入設(shè)備包括接收模塊11,用于接收來自所述AP設(shè)備的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述AP設(shè)備的介質(zhì)訪問控制MAC地址、所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID、以及所述客戶端的MAC地址;發(fā)送模塊12,用于向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且所述認(rèn)證請求報(bào)文中攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802. IX認(rèn)證。所述發(fā)送模塊12,還用于在接收到來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,通過所述AP設(shè)備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文;所述接收模塊11,還用于接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,且所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息;
且所述認(rèn)證請求報(bào)文中還攜帶所述客戶端的認(rèn)證信息。該接入設(shè)備還包括處理模塊13,用于在接收到來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,在用戶表項(xiàng)中記錄所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址之間的對應(yīng)關(guān)系;在接收到來自所述客戶端的EAPOL-Response報(bào)文之后,通過所述EAPOL-Response報(bào)文中攜帶的所述客戶端的MAC地址查詢所述用戶表項(xiàng),并利用查詢結(jié)果得到所述客戶端對應(yīng)的AP設(shè)備的MAC地址以及所述客戶端對應(yīng)的SSID。其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊?;谂c上述方法同樣的發(fā)明構(gòu)思,本發(fā)明還提出了一種接點(diǎn)AP設(shè)備,應(yīng)用于包括 客戶端、所述AP設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),如圖5所示,該AP設(shè)備包括接收模塊21,用于接收來自所述客戶端的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述客戶端的介質(zhì)訪問控制MAC地址;處理模塊22,用于在所述EAPOL-Start報(bào)文中添加所述AP設(shè)備本身的MAC地址以及所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID ;發(fā)送模塊23,用于將攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備;由所述接入設(shè)備利用收到的EAPOL-Start報(bào)文中攜帶的信息向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,并由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802. IX認(rèn)證。所述接收模塊21,還用于接收來自所述接入設(shè)備的用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文;以及,接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息;所述發(fā)送模塊23,還用于將所述EAPOL-Request報(bào)文發(fā)送給所述客戶端;以及,將所述EAPOL-Response報(bào)文發(fā)送給所述接入設(shè)備。其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實(shí)現(xiàn),也可以借助軟件加必要的通用硬件平臺(tái)的方式來實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是⑶-R0M,U盤,移動(dòng)硬盤等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。
上述本發(fā)明序號僅僅為了描述,不代表實(shí)施例的優(yōu)劣。以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.ー種802. IX認(rèn)證方法,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),其特征在于,該方法包括以下步驟 所述接入設(shè)備接收來自所述AP設(shè)備的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帯所述AP設(shè)備的介質(zhì)訪問控制MAC地址、所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID、以及所述客戶端的MAC地址; 所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且所述認(rèn)證請求報(bào)文中攜帯所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帯的信息對所述客戶端進(jìn)行802. IX認(rèn)證。
2.如權(quán)利要求I所述的方法,其特征在干, 所述接入設(shè)備接收來自所述AP設(shè)備的EAPOL-Start報(bào)文,之后還包括所述接入設(shè)備通過所述AP設(shè)備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文,并接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,且所述EAPOL-Response報(bào)文中攜帯所述客戶端的認(rèn)證信息; 所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,具體包括所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)送攜帯所述客戶端的認(rèn)證信息的認(rèn)證請求報(bào)文。
3.如權(quán)利要求2所述的方法,其特征在于,所述方法進(jìn)ー步包括 所述接入設(shè)備接收來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,所述接入設(shè)備在用戶表項(xiàng)中記錄所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址之間的對應(yīng)關(guān)系; 所述接入設(shè)備接收來自所述客戶端的EAPOL-Response報(bào)文之后,所述接入設(shè)備通過所述EAPOL-Response報(bào)文中攜帶的所述客戶端的MAC地址查詢所述用戶表項(xiàng),并利用查詢結(jié)果得到所述客戶端對應(yīng)的AP設(shè)備的MAC地址以及所述客戶端對應(yīng)的SSID。
4.ー種802. IX認(rèn)證方法,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),其特征在于,該方法包括以下步驟 所述AP設(shè)備接收來自所述客戶端的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶所述客戶端的介質(zhì)訪問控制MAC地址; 所述AP設(shè)備在所述EAPOL-Start報(bào)文中添加所述AP設(shè)備本身的MAC地址以及所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID ; 所述AP設(shè)備將攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備; 由所述接入設(shè)備利用收到的EAPOL-Start報(bào)文中攜帯的信息向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,并由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帯的信息對所述客戶端進(jìn)行802. IX認(rèn)證。
5.如權(quán)利要求4所述的方法,其特征在干,所述AP設(shè)備將攜帯所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備,之后還包括 所述AP設(shè)備接收來自所述接入設(shè)備的用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文,并將所述EAPOL-Request報(bào)文發(fā)送給所述客戶端;以及,接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,并將所述EAPOL-Response報(bào)文發(fā)送給所述接入設(shè)備,且所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息。
6.一種接入設(shè)備,應(yīng)用于包括客戶端、接入點(diǎn)AP設(shè)備、所述接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),其特征在于,該接入設(shè)備包括 接收模塊,用于接收來自所述AP設(shè)備的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帯所述AP設(shè)備的介質(zhì)訪問控制MAC地址、所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID、以及所述客戶端的MAC地址; 發(fā)送模塊,用于向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且所述認(rèn)證請求報(bào)文中攜帯所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帯的信息對所述客戶端進(jìn)行802. IX認(rèn)證。
7.如權(quán)利要求6所述的接入設(shè)備,其特征在干, 所述發(fā)送模塊,還用于在接收到來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,通過所述AP設(shè)備向所述客戶端發(fā)送用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文; 所述接收模塊,還用于接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,且所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息; 且所述認(rèn)證請求報(bào)文中還攜帶所述客戶端的認(rèn)證信息。
8.如權(quán)利要求7所述的接入設(shè)備,其特征在于,還包括 處理模塊,用于在接收到來自所述AP設(shè)備的EAPOL-Start報(bào)文之后,在用戶表項(xiàng)中記錄所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址之間的對應(yīng)關(guān)系; 在接收到來自所述客戶端的EAPOL-Response報(bào)文之后,通過所述EAPOL-Response報(bào)文中攜帯的所述客戶端的MAC地址查詢所述用戶表項(xiàng),并利用查詢結(jié)果得到所述客戶端對應(yīng)的AP設(shè)備的MAC地址以及所述客戶端對應(yīng)的SSID。
9.一種接入點(diǎn)AP設(shè)備,應(yīng)用于包括客戶端、所述AP設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器的802. IX認(rèn)證系統(tǒng)中,在所述客戶端通過所述AP設(shè)備發(fā)起802. IX認(rèn)證時(shí),其特征在于,該AP設(shè)備包括 接收模塊,用于接收來自所述客戶端的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL-開始Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帯所述客戶端的介質(zhì)訪問控制MAC地址; 處理模塊,用于在所述EAPOL-Start報(bào)文中添加所述AP設(shè)備本身的MAC地址以及所述客戶端對應(yīng)的服務(wù)集標(biāo)識SSID ; 發(fā)送模塊,用于將攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址的EAPOL-Start報(bào)文發(fā)送給所述接入設(shè)備; 由所述接入設(shè)備利用收到的EAPOL-Start報(bào)文中攜帯的信息向所述認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,并由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帯的信息對所述客戶端進(jìn)行802. IX認(rèn)證。
10.如權(quán)利要求9所述的AP設(shè)備,其特征在干, 所述接收模塊,還用于接收來自所述接入設(shè)備的用于觸發(fā)所述客戶端進(jìn)行認(rèn)證的EAPOL-請求Request報(bào)文;以及, 接收來自所述客戶端的EAPOL-響應(yīng)Response報(bào)文,所述EAPOL-Response報(bào)文中攜帶所述客戶端的認(rèn)證信息; 所述發(fā)送模塊,還用于將所述EAPOL-Request報(bào)文發(fā)送給所述客戶端;以及,將所述EAPOL-Response報(bào)文發(fā)送給所述接入設(shè)備。
全文摘要
本發(fā)明公開了一種802.1X認(rèn)證方法和設(shè)備,該方法包括接入設(shè)備接收來自AP設(shè)備的EAPOL-Start報(bào)文,且所述EAPOL-Start報(bào)文中攜帶AP設(shè)備的MAC地址、客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;所述接入設(shè)備向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文,且所述認(rèn)證請求報(bào)文中攜帶所述AP設(shè)備的MAC地址、所述客戶端對應(yīng)的SSID、以及所述客戶端的MAC地址;由所述認(rèn)證服務(wù)器利用所述認(rèn)證請求報(bào)文中攜帶的信息對所述客戶端進(jìn)行802.1X認(rèn)證。本發(fā)明中,使得接入設(shè)備可以精確獲取客戶端的接入AP設(shè)備。
文檔編號H04L29/12GK102761940SQ20121021197
公開日2012年10月31日 申請日期2012年6月26日 優(yōu)先權(quán)日2012年6月26日
發(fā)明者盧宇, 徐勇剛 申請人:杭州華三通信技術(shù)有限公司