專(zhuān)利名稱(chēng):在802.1x接入方式下對(duì)用戶(hù)接入進(jìn)行強(qiáng)制門(mén)戶(hù)認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信網(wǎng)絡(luò)中所使用的接入認(rèn)證方法���,特別涉及在802.1X接入方式下對(duì)用戶(hù)接入進(jìn)行強(qiáng)制門(mén)戶(hù)認(rèn)證的方法��。
背景技術(shù):
在寬帶接入網(wǎng)中��,需要對(duì)用戶(hù)的接入進(jìn)行認(rèn)證�����。目前主要有WEB(環(huán)球網(wǎng))認(rèn)證方式�����,PPPOE(以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議)認(rèn)證方式以及802.1X接入認(rèn)證方式��。
其中�,WEB認(rèn)證方式可以在WEB認(rèn)證網(wǎng)頁(yè)上向用戶(hù)推出運(yùn)營(yíng)商的宣傳頁(yè)面,從而實(shí)現(xiàn)對(duì)運(yùn)營(yíng)商的宣傳�����。PPPOE的接入認(rèn)證方式則是在用戶(hù)認(rèn)證通過(guò)后通過(guò)PPPOE協(xié)議中的PADM(PPPOE有效發(fā)現(xiàn)消息)報(bào)文來(lái)向用戶(hù)推出運(yùn)營(yíng)商的宣傳頁(yè)面�。但是802.1X接入認(rèn)證方式卻無(wú)法像WEB認(rèn)證方式或PPPOE的接入認(rèn)證方式那樣在用戶(hù)的認(rèn)證過(guò)程中或認(rèn)證之后向用戶(hù)推出運(yùn)營(yíng)商的宣傳頁(yè)面。
發(fā)明內(nèi)容
因此�,為了克服802.1X接入認(rèn)證方式的這種缺陷,本發(fā)明提出了一種在802.1X接入方式下對(duì)用戶(hù)接入進(jìn)行強(qiáng)制門(mén)戶(hù)認(rèn)證的方法��。該方法首先對(duì)現(xiàn)有的EAP(可擴(kuò)展認(rèn)證協(xié)議)協(xié)議進(jìn)行擴(kuò)充�,增加了EAP-URL(統(tǒng)一資源定位符)的報(bào)文類(lèi)型。在此基礎(chǔ)上�����,根據(jù)本發(fā)明的在802.1X接入方式下對(duì)用戶(hù)接入進(jìn)行強(qiáng)制門(mén)戶(hù)認(rèn)證的方法包括如下步驟由接入控制器(AC)接收用戶(hù)的上線(xiàn)請(qǐng)求報(bào)文����;認(rèn)證用戶(hù)的合法性;根據(jù)認(rèn)證是否成功決定是否允許該用戶(hù)上線(xiàn)���;向認(rèn)證成功的用戶(hù)發(fā)送EAP-URL報(bào)文�。
在上述方法中,認(rèn)證用戶(hù)合法性的步驟包括當(dāng)用戶(hù)收到AC的EAP-Request/Identity報(bào)文時(shí)���,便發(fā)送EAP-Response/Identity報(bào)文進(jìn)行應(yīng)答���;AC收到用戶(hù)的EAP-Response/Identity應(yīng)答報(bào)文后就提取報(bào)文中的用戶(hù)名進(jìn)行合法性認(rèn)證�����;如果認(rèn)證失敗就拒絕該用戶(hù)上線(xiàn)�����,發(fā)送EAP-Failure報(bào)文�����,通知用戶(hù)接入失?����?��;如果認(rèn)證成功就對(duì)用戶(hù)名進(jìn)行保存�����,同時(shí)向用戶(hù)發(fā)送請(qǐng)求用戶(hù)密碼的報(bào)文EAP-Request/Challenge���;用戶(hù)收到該請(qǐng)求報(bào)文后��,把用戶(hù)密碼發(fā)送給AC���;對(duì)收到的用戶(hù)密碼進(jìn)行認(rèn)證;根據(jù)認(rèn)證結(jié)果��,在認(rèn)證失敗時(shí)用EAP-Failure報(bào)文通知用戶(hù)并拒絕其上線(xiàn)��,或者在認(rèn)證成功時(shí)用EAP-Success通知用戶(hù)并使用戶(hù)上線(xiàn)�����。
在本發(fā)明的一種實(shí)施例中�,發(fā)送用戶(hù)密碼的步驟包括根據(jù)EAP-Request/Challenge中的challenge和報(bào)文ID和密碼進(jìn)行MD5加密;通過(guò)EAP-Response/Challenge把加密的密碼發(fā)送給AC����。
在本發(fā)明的一種實(shí)施例中,對(duì)收到的用戶(hù)密碼進(jìn)行認(rèn)證是在AC本地進(jìn)行���,或者是把用戶(hù)名和密碼封裝在標(biāo)準(zhǔn)的Radius(遠(yuǎn)程撥號(hào)用戶(hù)認(rèn)證服務(wù))協(xié)議中送到遠(yuǎn)端的遠(yuǎn)程撥號(hào)用戶(hù)認(rèn)證服務(wù)器中進(jìn)行認(rèn)證�。
在本發(fā)明的一種實(shí)施例中,還可包括����,用戶(hù)收到EAP-Success報(bào)文后就使內(nèi)部狀態(tài)機(jī)躍遷進(jìn)入穩(wěn)態(tài);在收到EAP-URL報(bào)文時(shí)��,根據(jù)報(bào)文中的URL進(jìn)行Internet訪問(wèn)���。
根據(jù)本發(fā)明,通過(guò)對(duì)EAP協(xié)議的擴(kuò)展��,實(shí)現(xiàn)本發(fā)終接802.1X的強(qiáng)制Portal�����,從而有效地?cái)U(kuò)充了現(xiàn)有802.1X業(yè)務(wù)�����,可以實(shí)現(xiàn)更為有效的業(yè)務(wù)承載�。。
通過(guò)詳細(xì)文字說(shuō)明并結(jié)合以下附圖�����,本發(fā)明的上述目的、特征及優(yōu)點(diǎn)將變得更加易于理解��,其中圖1是說(shuō)明現(xiàn)有EAP協(xié)議的示意圖���;圖2是本發(fā)明的優(yōu)選實(shí)施方式的流程圖�����。
具體實(shí)施例方式
圖1示意性地說(shuō)明了現(xiàn)有EAP協(xié)議�����。參考圖1��,其中的各個(gè)域及其含義和取值如下EAPOL Flag是局域網(wǎng)承載的可擴(kuò)展認(rèn)證協(xié)議的標(biāo)志�����,其值為0x888EVersion版本號(hào)�����,其值為0x01Packet Type包類(lèi)型�,其取值及含義為
0EAP-包1EAPOL-開(kāi)始2EAPOL-登錄拒絕3EAPOL-密碼4EAPOL-封裝-ASF-警告Packet Body Length該值域?yàn)閮蓚€(gè)字節(jié),表明了EAPOL包的長(zhǎng)度���,包體包括DestMAC(宿MAC)�����,SourMAC(源MAC)����,VLAN Tagged(虛擬局域網(wǎng)標(biāo)簽)�,Version(版本),Packet Type(包類(lèi)型)����,Packet Body Length(包體長(zhǎng)度)以及以后的所有數(shù)據(jù)���。
Code代碼����,其取值及含義為1請(qǐng)求2應(yīng)答3成功4失敗Identifier標(biāo)識(shí)符����,該域?yàn)橐粋€(gè)字節(jié)��,輔助進(jìn)行應(yīng)答和請(qǐng)求的匹配��。
Length長(zhǎng)度����,該域?yàn)閮蓚€(gè)字節(jié)����,表明了EAP數(shù)據(jù)包的長(zhǎng)度,EAP數(shù)據(jù)包包括Code����,Identifier和Length以及Data等各域。超出Length域長(zhǎng)度范圍的字節(jié)應(yīng)該視為數(shù)據(jù)鏈路層的填充(padding))�,在接收時(shí)應(yīng)該被忽略掉。
Data數(shù)據(jù)�,包括Type(類(lèi)型)和Type-Data(類(lèi)型數(shù)據(jù))兩部分。Data域?yàn)?個(gè)或更多個(gè)字節(jié)���。在成功/失敗時(shí)Data域?yàn)?個(gè)字節(jié)���,即不含Data域;在請(qǐng)求/應(yīng)答時(shí),含Data域��,其中的Type類(lèi)型如下1Identity(標(biāo)識(shí))2Notification(通知)3Nak(Response only)(僅應(yīng)答)5One-Time Password(OTP)(RFC1938)(一次密碼)6Generic Token Card(通用令牌卡)18 SIM為了實(shí)現(xiàn)在802.1X用戶(hù)上線(xiàn)后的強(qiáng)制Portal功能�,必須對(duì)現(xiàn)有的EAP協(xié)議進(jìn)行擴(kuò)充。同時(shí)�,要求客戶(hù)端支持?jǐn)U充協(xié)議。
對(duì)EAP協(xié)議的擴(kuò)充主要是對(duì)Data域進(jìn)行擴(kuò)充��,增加一個(gè)報(bào)文類(lèi)型Data類(lèi)型值Data類(lèi)型名稱(chēng)200 EAP-URL根據(jù)上面協(xié)議的描述�����,給EAP URL的數(shù)據(jù)長(zhǎng)度范圍為255字節(jié)��。該報(bào)文和Notification報(bào)文相似��,不影響協(xié)議狀態(tài)機(jī)的變遷���。這是由于EAP URL的數(shù)據(jù)范圍是根據(jù)具體的實(shí)際情況定義出來(lái)的,該報(bào)文只是通知客戶(hù)端進(jìn)行一些Internet訪問(wèn)等一些動(dòng)作�����,不進(jìn)行客戶(hù)端狀態(tài)機(jī)的遷移���。
下面結(jié)合圖2具體說(shuō)明本發(fā)明優(yōu)選實(shí)施方式的處理流程�����。
首先�����,用戶(hù)通過(guò)支持上述擴(kuò)展協(xié)議的802.1X撥號(hào)器����,輸入合法的用戶(hù)名和密碼后請(qǐng)求連接。
在這種情況下���,客戶(hù)端首先發(fā)出EAPOL-Start組播報(bào)文域AC來(lái)建立鏈接�����。AC收到用戶(hù)的建立請(qǐng)求報(bào)文就為用戶(hù)建立連接表項(xiàng)�,并建立EAP-Request/Identity報(bào)文����,在該報(bào)文建立成功后向該請(qǐng)求連接的用戶(hù)發(fā)送,以請(qǐng)求用戶(hù)名��。
用戶(hù)在收到AC的EAP-Request/Identity報(bào)文后,發(fā)送EAP-Response/Identity報(bào)文進(jìn)行應(yīng)答���。
AC收到用戶(hù)對(duì)EAP-Response/Identity的應(yīng)答報(bào)文后�����,就提取報(bào)文中的用戶(hù)名進(jìn)行合法性的認(rèn)證��,如果認(rèn)證不成功���,即判斷用戶(hù)名為非法,就對(duì)該用戶(hù)予以拒絕�����,發(fā)送EAP-Failure報(bào)文通知用戶(hù)接入失?��?�;如果認(rèn)證成功����,即判斷用戶(hù)名為合法�����,就對(duì)用戶(hù)名進(jìn)行保存����,同時(shí)向用戶(hù)發(fā)送請(qǐng)求用戶(hù)密碼的報(bào)文EAP-Request/Challenge。
用戶(hù)在收到該請(qǐng)求報(bào)文后就根據(jù)EAP-Request/Challenge中的Challenge(Challenge是服務(wù)器產(chǎn)生的隨機(jī)字)和報(bào)文ID以及密碼進(jìn)行MD5加密����。然后通過(guò)EAP-Response/Challenge把加密的密碼發(fā)送給AC。MD5加密是不可逆的���,在加密時(shí)把用戶(hù)的“密碼����、收到報(bào)文的ID��、以及Challenge”運(yùn)用一定的計(jì)算法則產(chǎn)生加密密碼�,使用戶(hù)密碼不被竊取。MD5是一種常規(guī)的加密方法��,因此本文中不再詳細(xì)說(shuō)明���。
上述用戶(hù)名和密碼的認(rèn)證是分兩步進(jìn)行的����,即先獲取用戶(hù)名再獲取密碼,然后進(jìn)行認(rèn)證�����。
AC在收到用戶(hù)的密碼響應(yīng)EAP-Request/Challenge后�����,就從該報(bào)文中解析出密碼����,對(duì)用戶(hù)密碼的認(rèn)證可以在AC本地進(jìn)行,也可以由AC把用戶(hù)名和密碼封裝在標(biāo)準(zhǔn)的Radius協(xié)議中送到遠(yuǎn)端的遠(yuǎn)程撥號(hào)用戶(hù)認(rèn)證服務(wù)器中進(jìn)行認(rèn)證����。如果認(rèn)證失敗,就由AC向用戶(hù)發(fā)送EAP-Failure報(bào)文����,通知用戶(hù)認(rèn)證失敗并拒絕用戶(hù)上線(xiàn)。如果認(rèn)證成功AC就向用戶(hù)發(fā)送EAP-Success報(bào)文�����,通知用戶(hù)上線(xiàn)。在這種情況下���,AC還會(huì)根據(jù)配置向用戶(hù)發(fā)送EAP-URL報(bào)文。該配置是指用戶(hù)認(rèn)證通過(guò)后是否發(fā)送EAP-URL進(jìn)行自動(dòng)的門(mén)戶(hù)認(rèn)證服務(wù)�,如果配置了就發(fā)送,否則不發(fā)送��。
最后�,當(dāng)用戶(hù)收到EAP-Success報(bào)文就進(jìn)行內(nèi)部狀態(tài)機(jī)的躍遷,進(jìn)入穩(wěn)態(tài)�����。然后在收到EAP-URL報(bào)文時(shí)��,就可根據(jù)報(bào)文中的URL訪問(wèn)因特網(wǎng)���,在本例中就是訪問(wèn)新浪網(wǎng)�����。
AC與不同的運(yùn)營(yíng)商相關(guān)���,但是對(duì)一個(gè)ISP只能增加一個(gè)URL�����。在客戶(hù)端支持的情況下���,在用戶(hù)認(rèn)證通過(guò)而向用戶(hù)發(fā)送EAP-URL后,客戶(hù)端就可以自動(dòng)打開(kāi)一個(gè)IE����,訪問(wèn)該URL對(duì)應(yīng)的網(wǎng)站。
需要說(shuō)明的是��,上述對(duì)本發(fā)明的實(shí)施方式的說(shuō)明是以本地終結(jié)802.1X為例的���,即設(shè)備在解析802.1x報(bào)文通過(guò)后獲取其中的用戶(hù)信息�����,把獲取到的信息封裝在標(biāo)準(zhǔn)的Radius報(bào)文中��,發(fā)送到認(rèn)證服務(wù)器進(jìn)行認(rèn)證��,然后釋放收到的802.1x報(bào)文��。但是本發(fā)明顯然也可用于透?jìng)?或稱(chēng)續(xù)傳)方式的802.1X����。在透?jìng)鞣绞较拢镜谹C不對(duì)802.1x報(bào)文進(jìn)行解析��,而是把它封裝在擴(kuò)展的Radius報(bào)文中發(fā)送到認(rèn)證服務(wù)器進(jìn)行認(rèn)證處理�。在透?jìng)鞣绞降?02.X下實(shí)現(xiàn)本發(fā)明方法的具體過(guò)程和上述終結(jié)情況下是相同的��。認(rèn)證服務(wù)器配置了EAP-URL��,并在認(rèn)證授權(quán)成功后把該值通過(guò)EAP的該擴(kuò)展屬性發(fā)送給AC�,AC再根據(jù)用戶(hù)的認(rèn)證情況決定是否把該URL發(fā)送給用戶(hù)。
權(quán)利要求
1.在802.1X接入方式下對(duì)用戶(hù)接入進(jìn)行強(qiáng)制門(mén)戶(hù)認(rèn)證的方法����,包括如下步驟(1)接入控制器(AC)接收用戶(hù)建立鏈接的請(qǐng)求報(bào)文;(2)所述AC認(rèn)證用戶(hù)的合法性���;(3)根據(jù)認(rèn)證是否成功決定是否允許用戶(hù)上線(xiàn)��;其特征在于�����,還包括(4)向認(rèn)證成功的用戶(hù)發(fā)送EAP-URL報(bào)文��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述認(rèn)證用戶(hù)合法性的步驟包括(2-1)當(dāng)所述用戶(hù)從接入控制器(AC)收到EAP-Request/Identity報(bào)文時(shí)�����,發(fā)送EAP-Response/Identity報(bào)文進(jìn)行應(yīng)答���;(2-2)當(dāng)所述AC收到用戶(hù)的EAP-Response/Identity應(yīng)答報(bào)文后�,提取報(bào)文中的用戶(hù)名進(jìn)行合法性認(rèn)證����;(2-3)如果認(rèn)證失敗就拒絕用戶(hù)上線(xiàn),并發(fā)送EAP-Failure報(bào)文通知用戶(hù)上線(xiàn)失?�?��;(2-4)如果認(rèn)證成功就對(duì)用戶(hù)名進(jìn)行保存�����,同時(shí)向用戶(hù)發(fā)送請(qǐng)求用戶(hù)密碼的報(bào)文EAP-Request/Challenge��;(2-5)用戶(hù)收到該請(qǐng)求報(bào)文后����,把用戶(hù)密碼發(fā)送給所述AC;(2-6)所述AC對(duì)收到的用戶(hù)密碼進(jìn)行認(rèn)證����;(2-7)所述AC根據(jù)認(rèn)證結(jié)果���,在認(rèn)證失敗時(shí)用EAP-Failure報(bào)文通知用戶(hù)并拒絕其上線(xiàn)�����,或者在認(rèn)證成功時(shí)用EAP-Success通知用戶(hù)并使用戶(hù)上線(xiàn)����。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述發(fā)送用戶(hù)密碼的步驟包括用戶(hù)端根據(jù)EAP-Request/Challenge中的Challenge和報(bào)文ID和密碼進(jìn)行MD5加密�����;和通過(guò)EAP-Response/Challenge把加密的密碼發(fā)送給所述AC。
4.根據(jù)權(quán)利要求2所述的方法��,其特征在于����,對(duì)收到的用戶(hù)密碼進(jìn)行認(rèn)證是在AC本地進(jìn)行,或者是把用戶(hù)名和密碼封裝在標(biāo)準(zhǔn)的Radius(遠(yuǎn)程撥號(hào)用戶(hù)認(rèn)證服務(wù))協(xié)議中送到遠(yuǎn)端的遠(yuǎn)程撥號(hào)用戶(hù)認(rèn)證服務(wù)器中進(jìn)行認(rèn)證���。
5.根據(jù)權(quán)利要求1-4任一項(xiàng)所述的方法����,其特征在于��,進(jìn)一步包括用戶(hù)收到EAP-Success報(bào)文后�����,使內(nèi)部狀態(tài)機(jī)躍遷進(jìn)入穩(wěn)態(tài)��;和用戶(hù)在收到EAP-URL報(bào)文時(shí)���,根據(jù)報(bào)文中的URL訪問(wèn)因特網(wǎng)��。
全文摘要
本發(fā)明提供了一種在802.1X接入方式下對(duì)用戶(hù)接入進(jìn)行強(qiáng)制門(mén)戶(hù)認(rèn)證的方法���。該方法首先對(duì)現(xiàn)有的EAP(可擴(kuò)展認(rèn)證協(xié)議)協(xié)議進(jìn)行擴(kuò)充����,增加了EAP URL(統(tǒng)一資源定位符)的報(bào)文類(lèi)型��。在此基礎(chǔ)上�,根據(jù)本發(fā)明的實(shí)現(xiàn)802.1X的強(qiáng)制門(mén)戶(hù)認(rèn)證服務(wù)器的方法,包括如下步驟由接入控制器(AC)接收用戶(hù)的建立鏈接的請(qǐng)求報(bào)文�����,認(rèn)證用戶(hù)的合法性���;如果認(rèn)證成功,則通知用戶(hù)上線(xiàn)����,并向用戶(hù)發(fā)送EAP-URL報(bào)文。本發(fā)明的方法對(duì)現(xiàn)有802.1X業(yè)務(wù)的提出了一種有效的擴(kuò)充�,從而可以實(shí)現(xiàn)更為有效的業(yè)務(wù)承載。
文檔編號(hào)H04L29/06GK1571332SQ0314952
公開(kāi)日2005年1月26日 申請(qǐng)日期2003年7月15日 優(yōu)先權(quán)日2003年7月15日
發(fā)明者侯超, 吳局業(yè), 許崗, 李教峰 申請(qǐng)人:華為技術(shù)有限公司