專利名稱：實(shí)現(xiàn)交換設(shè)備端口級接入認(rèn)證的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)字通信領(lǐng)域，特別是涉及一種實(shí)現(xiàn)交換設(shè)備端口級接入認(rèn)證的方法。
背景技術(shù)：
802. Ix協(xié)議是一種基于交換機(jī)端口的網(wǎng)絡(luò)接入控制(Port BasedNetwork Access Control)協(xié)議。連接在交換機(jī)端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則對局域網(wǎng)中的資源無法訪問或訪問受限。現(xiàn)有的基于802. Ix協(xié)議的用戶身份認(rèn)證技術(shù)對設(shè)備端與用戶集的設(shè)定如下1、設(shè)備端以IP(互聯(lián)網(wǎng)協(xié)議地址)標(biāo)識，用戶集為單一全集。這種方案是當(dāng)前大多數(shù)產(chǎn)品的設(shè)定，并沒有強(qiáng)調(diào)不同設(shè)備對不同組織/部門/類型的用戶接入的區(qū)別化管理要求。2、設(shè)備端以IP標(biāo)識，部署多個(gè)接入設(shè)備對應(yīng)不同用戶集合。這種情況在組織的無線接入管理時(shí)經(jīng)常遇到。雖然工業(yè)的無線接入控制器每一個(gè)AP(無線接入點(diǎn))可以實(shí)現(xiàn)多個(gè)服務(wù)的SSID (服務(wù)集標(biāo)志符)，但是因?yàn)楫?dāng)前認(rèn)證技術(shù)的局限，導(dǎo)致想要在不同無線接入服務(wù)間配置不同的認(rèn)證身份集時(shí)，還必須部署多個(gè)AP，造成了成本的浪費(fèi)，以及管理的復(fù)雜
度提高。3、設(shè)備端以IP為標(biāo)識，限定每個(gè)設(shè)備與一個(gè)用戶集綁定。在目前的結(jié)構(gòu)化布線大樓里，一些公共場所的網(wǎng)絡(luò)接入點(diǎn)，往往與辦公室里的正式辦公網(wǎng)絡(luò)共享接入層交換機(jī)。在這種情況下，如果想要為同一個(gè)接入層交換機(jī)的多個(gè)不同端口配置不同認(rèn)證身份集，對公共場所與辦公室等不同區(qū)域的接入進(jìn)行區(qū)別管理，原有技術(shù)不能滿足要求，必須使用擴(kuò)展交換機(jī)端口與用戶集綁定的802. Ix身份認(rèn)證技術(shù)。因此，雖然基于802. Ix協(xié)議的用戶身份認(rèn)證技術(shù)在國內(nèi)外企業(yè)中都有廣泛的應(yīng)用，但是都只限于以一臺交換設(shè)備為最小單元的單一身份集、或者有限身份集的綁定認(rèn)證方式。這種應(yīng)用方式在很多情況下難以滿足復(fù)雜應(yīng)用環(huán)境的對用戶設(shè)備接入的管理要求。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種實(shí)現(xiàn)交換設(shè)備端口級接入認(rèn)證的方法及系統(tǒng)，能夠明顯提升管理的靈活性和實(shí)施的方便性。為解決上述技術(shù)問題，本發(fā)明的實(shí)現(xiàn)交換設(shè)備端口級接入認(rèn)證的方法，包括如下步驟步驟1、用戶在認(rèn)證端(即安裝了 802. Ix認(rèn)證組件的用戶終端)輸入用戶名和口令，發(fā)送到設(shè)備端(RADIUS Client，通常為交換機(jī)或無線控制器)；步驟2、設(shè)備端根據(jù)獲取的用戶名和口令，向RADIUS(RemoteAuthentication Dial-In User Servic，遠(yuǎn)端撥接認(rèn)證服務(wù))服務(wù)器發(fā)送認(rèn)證請求包；步驟3、RADIUS服務(wù)器解析認(rèn)證請求包，提取NAS-IP-Address (設(shè)備端互聯(lián)網(wǎng)協(xié)議地址),NAS-Port (設(shè)備端端口 )屬性，在設(shè)備端數(shù)據(jù)庫根據(jù)NAS-IP-Address進(jìn)行第一次查詢，如果有對應(yīng)記錄，則繼續(xù)后續(xù)步驟，否則返回拒絕響應(yīng)包；步驟4、RADIUS服務(wù)器在設(shè)備端數(shù)據(jù)庫根據(jù)NAS-Port以及前一步查詢結(jié)果，進(jìn)行第二次查詢，定位到對應(yīng)的邏輯用戶集名稱，如果沒有找到單獨(dú)指定的邏輯用戶集，則使用缺省用戶集名稱；步驟5、RADIUS服務(wù)器根據(jù)前一步查詢得到的用戶集名稱，以及認(rèn)證請求中提交的用戶名和口令信息，通過用戶身份集數(shù)據(jù)庫進(jìn)行認(rèn)證，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包發(fā)送給設(shè)備端；如果認(rèn)證失敗，則返回拒絕響應(yīng)包；步驟6、設(shè)備端根據(jù)接收到的認(rèn)證結(jié)果接入或拒絕用戶終端接入；如果可以接入， 則設(shè)備端向RADIUS服務(wù)器發(fā)送上線開始請求包；步驟7、RADIUS服務(wù)器返回上線開始響應(yīng)包，同時(shí)記錄上線起始時(shí)間；步驟8、用戶開始訪問網(wǎng)絡(luò)資源。本發(fā)明提供了一種交換機(jī)IP-端口(包含邏輯端口)_用戶集的綁定的實(shí)現(xiàn)方案， 可有效細(xì)化用戶設(shè)備接入管理的粒度，配合現(xiàn)有常用網(wǎng)絡(luò)接入設(shè)備，能夠明顯提升管理的靈活性和實(shí)施的方便性。本發(fā)明適用于所有具備內(nèi)部局域網(wǎng)、需要通過用戶認(rèn)證的方式進(jìn)行網(wǎng)絡(luò)接入控制，并希望通過更簡潔的方式實(shí)現(xiàn)細(xì)分化控制的企事業(yè)單位。


下面結(jié)合附圖與具體實(shí)施方式
對本發(fā)明作進(jìn)一步詳細(xì)的說明圖1是RADIUS認(rèn)證的基本消息交互流程圖；圖2是現(xiàn)有的RADIUS服務(wù)器維護(hù)的數(shù)據(jù)庫示意圖；圖3是擴(kuò)展后的RADIUS服務(wù)器維護(hù)的數(shù)據(jù)庫示意圖；圖4是擴(kuò)展后的RADIUS認(rèn)證消息交互流程圖。
具體實(shí)施例方式安裝了 802. Ix認(rèn)證組件的認(rèn)證端(用戶終端)、設(shè)備端和RADIUS服務(wù)器之間的基本消息交互流程如圖1所示。認(rèn)證端的802. Ix協(xié)議報(bào)文通過設(shè)備端，承載在RADIUS協(xié)議中發(fā)送給RADIUS服務(wù)器。如圖2所示，RADIUS服務(wù)器通常要維護(hù)三個(gè)數(shù)據(jù)庫。用戶集數(shù)據(jù)庫hers，用于存儲用戶信息(如用戶名、口令以及使用的協(xié)議、IP地址等屬性)。設(shè)備端數(shù)據(jù)庫Clients，用于存儲設(shè)備端(如交換機(jī))的信息(如共享密鑰、設(shè)備端IP等屬性)。對應(yīng)數(shù)據(jù)庫Dictionary，存儲的信息用于解釋RADIUS協(xié)議中的屬性和屬性值的含義。對于用戶集數(shù)據(jù)庫hers，需要進(jìn)行擴(kuò)展?？梢詫?shù)據(jù)庫中的用戶按需要的規(guī)則自由添加/劃分為多個(gè)邏輯用戶集，同時(shí)建立一個(gè)缺省用戶集，即可在同一臺服務(wù)器上實(shí)現(xiàn)多個(gè)用戶集的需求。
設(shè)備端數(shù)據(jù)庫Clients通常以交換設(shè)備的IP作為設(shè)備端的區(qū)分單位；要擴(kuò)展到端口級，需要獲取額外的交換設(shè)備信息。RADIUS服務(wù)器接收認(rèn)證請求包，RADIUS協(xié)議報(bào)文除了解析并重新組裝ΕΑΡ-Message (擴(kuò)展授權(quán)協(xié)議消息)，提取her-Name (用戶名) 等屬性外，還接收如NAS-IP-Address (設(shè)備端IP地址)、NAS-Port (設(shè)備端端口)等屬性；利用NAS-Port等屬性，擴(kuò)展設(shè)備端數(shù)據(jù)庫Clients內(nèi)容，形成對設(shè)備端Clients按 NAS-IP-Address及NAS-Port的檢索，即可對設(shè)備端進(jìn)行端口級區(qū)分。RADIUS服務(wù)器維護(hù)的數(shù)據(jù)庫擴(kuò)展后的結(jié)構(gòu)如圖3所示。在RADIUS服務(wù)器維護(hù)的數(shù)據(jù)庫進(jìn)行擴(kuò)展后，相應(yīng)的擴(kuò)展RADIUS服務(wù)器內(nèi)部的認(rèn)證流程，內(nèi)部流程擴(kuò)展步驟如下擴(kuò)展步驟一、RADIUS服務(wù)器將設(shè)備端數(shù)據(jù)庫Clients載入到內(nèi)存，以 NAS-IP-Address、NAS-Port組合為主鍵，以邏輯用戶集名稱等為屬性，構(gòu)造均衡二叉排序樹，保存在內(nèi)存中。擴(kuò)展步驟二、RADIUS服務(wù)器收到設(shè)備端發(fā)送的認(rèn)證請求包(Access-Request)后， 解析認(rèn)證請求包，獲取NAS-IP-Address，根據(jù)NAS-IP-Address查詢設(shè)備端數(shù)據(jù)庫，如果沒有查詢結(jié)果，則回復(fù)拒絕響應(yīng)包。擴(kuò)展步驟三、查詢到結(jié)果后，解析認(rèn)證請求包，獲取NAS-Port屬性，在設(shè)備端排序樹中進(jìn)行根據(jù)NAS-IP-Address和NAS-Port進(jìn)行快速查詢，定位到對應(yīng)的邏輯用戶集名稱； 如果無指定的邏輯用戶集，則對應(yīng)到缺省用戶集。擴(kuò)展步驟四、根據(jù)查詢到的用戶集名稱在用戶集數(shù)據(jù)庫中定位相應(yīng)的用戶集入口， 此時(shí)，認(rèn)證請求即指向了管理者配置的用戶集，亦達(dá)成了交換設(shè)備IP、端口和用戶集的綁定。擴(kuò)展步驟五、根據(jù)認(rèn)證請求包信息，以及對應(yīng)的用戶集進(jìn)行身份認(rèn)證。RADIUS服務(wù)器維護(hù)的數(shù)據(jù)庫以及內(nèi)部認(rèn)證流程擴(kuò)展后，完整的用戶認(rèn)證交互步驟如圖4所示。其具體說明如下步驟1、用戶在認(rèn)證端輸入用戶名和口令，發(fā)送到設(shè)備端。步驟2、設(shè)備端根據(jù)獲取的用戶名和口令，向RADIUS服務(wù)器發(fā)送認(rèn)證請求包。步驟3、RADIUS服務(wù)器解析認(rèn)證請求包，提取NAS-IP-Address (設(shè)備端互聯(lián)網(wǎng)協(xié)議地址),NAS-Port (設(shè)備端端口 )屬性，根據(jù)RADIUS服務(wù)器擴(kuò)展的內(nèi)部流程(上述的擴(kuò)展步驟1-5)，完成對該認(rèn)證請求的認(rèn)證過程。步驟4、設(shè)備端根據(jù)接收到的認(rèn)證結(jié)果接入或拒絕用戶終端接入；如果可以接入， 則設(shè)備端向認(rèn)證服務(wù)器發(fā)送上線開始請求包。步驟5、認(rèn)證服務(wù)器返回上線開始響應(yīng)包，同時(shí)記錄上線起始時(shí)間。步驟6、用戶開始訪問網(wǎng)絡(luò)資源。步驟7、設(shè)備端向認(rèn)證服務(wù)器發(fā)送上線停止請求包。步驟8、認(rèn)證服務(wù)器返回上線結(jié)束響應(yīng)包，同時(shí)記錄上線結(jié)束時(shí)間。步驟9、用戶訪問資源結(jié)束。本發(fā)明的認(rèn)證方法完全在RADIUS服務(wù)器內(nèi)部擴(kuò)展實(shí)現(xiàn)，與認(rèn)證端和設(shè)備端無關(guān)， 考慮到在認(rèn)證過程中引入交互設(shè)備端口檢索可能帶來的性能降低，對RADIUS服務(wù)器設(shè)計(jì)性能測試方法。假設(shè)一個(gè)大型組織有32000個(gè)終端需要認(rèn)證上網(wǎng)，第一次模擬分16個(gè)交換機(jī)端口(對應(yīng)16個(gè)身份集，每個(gè)身份集2000個(gè)用戶)進(jìn)行認(rèn)證，第二次模擬1個(gè)交換機(jī)端口(對應(yīng)1個(gè)身份集，32000個(gè)用戶)進(jìn)行認(rèn)證，RADIUS服務(wù)器采用單線程串行工作，測試
數(shù)據(jù)如下
權(quán)利要求
1.一種實(shí)現(xiàn)交換設(shè)備端口級接入認(rèn)證的方法，其特征在于，包括如下步驟步驟1、用戶在安裝了 802. Ix認(rèn)證組件的認(rèn)證端輸入用戶名和口令，并發(fā)送到設(shè)備端； 步驟2、設(shè)備端根據(jù)獲取的用戶名和口令，向遠(yuǎn)端撥接認(rèn)證服務(wù)器發(fā)送認(rèn)證請求包； 步驟3、遠(yuǎn)端撥接認(rèn)證服務(wù)器解析認(rèn)證請求包，提取設(shè)備端互聯(lián)網(wǎng)協(xié)議地址 NAS-IP-Address和設(shè)備端端口 NAS-Port屬性，在設(shè)備端數(shù)據(jù)庫根據(jù)設(shè)備端互聯(lián)網(wǎng)協(xié)議地址NAS-IP-Address進(jìn)行第一次查詢，如果有對應(yīng)記錄，則繼續(xù)后續(xù)步驟，否則返回拒絕響應(yīng)包；步驟4、遠(yuǎn)端撥接認(rèn)證服務(wù)器在設(shè)備端數(shù)據(jù)庫根據(jù)設(shè)備端端口 NAS-Port以及前一步查詢結(jié)果，進(jìn)行第二次查詢，定位到對應(yīng)的邏輯用戶集名稱，如果沒有找到單獨(dú)指定的邏輯用戶集，則使用缺省用戶集名稱；步驟5、遠(yuǎn)端撥接認(rèn)證服務(wù)器根據(jù)前一步查詢得到的用戶集名稱，以及認(rèn)證請求中提交的用戶名和口令信息，通過用戶身份集數(shù)據(jù)庫進(jìn)行認(rèn)證，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包發(fā)送給設(shè)備端；如果認(rèn)證失敗，則返回拒絕響應(yīng)包；步驟6、設(shè)備端根據(jù)接收到的認(rèn)證結(jié)果接入或拒絕用戶終端接入；如果可以接入，則設(shè)備端向遠(yuǎn)端撥接認(rèn)證服務(wù)器發(fā)送上線開始請求包；步驟7、遠(yuǎn)端撥接認(rèn)證服務(wù)器返回上線開始響應(yīng)包，同時(shí)記錄上線起始時(shí)間； 步驟8、用戶開始訪問網(wǎng)絡(luò)資源。
2.如權(quán)利要求1所述的方法，其特征在于還包括，步驟9、設(shè)備端向遠(yuǎn)端撥接認(rèn)證服務(wù)器發(fā)送上線停止請求包；步驟10、遠(yuǎn)端撥接認(rèn)證服務(wù)器返回上線結(jié)束響應(yīng)包，同時(shí)記錄上線結(jié)束時(shí)間；步驟11、用戶訪問資源結(jié)束。
3.如權(quán)利要求1所述的方法，其特征在于所述設(shè)備端為交換機(jī)或無線控制器。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)交換設(shè)備端口級接入認(rèn)證的方法，認(rèn)證服務(wù)器擴(kuò)展設(shè)備端數(shù)據(jù)庫，構(gòu)造均衡二叉排序樹；同時(shí)擴(kuò)展用戶身份集數(shù)據(jù)庫，將上網(wǎng)用戶劃分為邏輯用戶集，并建立與設(shè)備端的對應(yīng)關(guān)系；認(rèn)證服務(wù)器收到認(rèn)證請求包后，獲取設(shè)備端IP，根據(jù)設(shè)備端IP查詢設(shè)備端數(shù)據(jù)庫，如果沒有查詢結(jié)果，則回復(fù)拒絕響應(yīng)包；查詢到結(jié)果后，提取設(shè)備端端口屬性，根據(jù)設(shè)備端端口再次查詢設(shè)備端數(shù)據(jù)，根據(jù)設(shè)備端與邏輯用戶集的對應(yīng)關(guān)系獲取邏輯用戶集名稱；根據(jù)邏輯用戶集名重新定位到用戶身份集數(shù)據(jù)庫，此時(shí)，認(rèn)證請求即指向了管理者配置的用戶集；根據(jù)認(rèn)證請求包和該用戶集的數(shù)據(jù)庫，完成認(rèn)證。本發(fā)明能夠明顯提升管理的靈活性和實(shí)施的方便性。
文檔編號H04L29/06GK102480460SQ20101055359
公開日2012年5月30日 申請日期2010年11月22日 優(yōu)先權(quán)日2010年11月22日
發(fā)明者徐培杰, 李剛, 湯宏 申請人:上海寶信軟件股份有限公司