CN1214597C - 基于802.1x协议的网络接入设备与客户端握手的实现方法 - Google Patents
基于802.1x协议的网络接入设备与客户端握手的实现方法 Download PDFInfo
- Publication number
- CN1214597C CN1214597C CN 02116339 CN02116339A CN1214597C CN 1214597 C CN1214597 C CN 1214597C CN 02116339 CN02116339 CN 02116339 CN 02116339 A CN02116339 A CN 02116339A CN 1214597 C CN1214597 C CN 1214597C
- Authority
- CN
- China
- Prior art keywords
- client
- network access
- access equipment
- handshake
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Communication Control (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于802.1X协议的网络接入设备与客户端握手的实现方法,该方法利用客户端向接入设备发出包括客户端地址和约定组播地址的认证请求报文提供的客户端地址,在客户端认证成功后,按照握手时间间隔向客户端发出握手报文,客户端在收到握手报文后,按照握手时间间隔向接入设备发出握手响应报文,握手报文和握手响应报文采用802.1X协议的扩展认证协议的请求认证报文和扩展认证协议的响应认证报文,当接入设备和客户端在握手时间间隔内不能收到对方发出的报文超过规定的次数,分别进行客户下线处理和发出是否重新接入网络的提示,采用上述方案可以有效解决基于802.1X协议的网络计费、安全问题。
Description
技术领域
本发明涉及网络接入设备与客户端握手的实现方法,尤其是基于802.1X协议的宽带接入网络中的网络接入设备与客户端握手的实现方法。
背景技术
目前的宽带接入网络中,通常依据基于端口的网络控制协议802.1X完成客户端的网络接入控制。在客户端接入网络过程中,在网络设备的物理接入级对接入的客户端进行认证和控制,也就是在以太网交换机或宽带接入设备的端口对接入的客户端进行认证和控制。连接在该类端口上的用户设备如果能通过认证,就可以访问网络内的资源;如果不能通过认证,则无法访问网络内的资源。802.1X的体系结构参考图2。该体系结构包括三个部分:客户端部分、网络接入设备部分和认证服务器部分。用户接入层设备需要实现802.1X的网络接入设备端部分,客户端部分一般安装在用户PC中;认证服务器部分一般驻留在运营商的计费、认证、授权中心。客户端与网络接入设备之间运行802.1X定义的客户端与设备端之间的认证协议(EAPOL协议);设备端与认证服务器之间同样运行设备端与认证服务器之间的扩展认证协议(EAP协议)。网络接入设备部分内部有受控端口和非受控端口,非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务;受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
由上述可知,在基于802.1X协议的网络接入中只能实现客户端的重认证,而无法实现接入设备与客户端之间的握手,因此将导致运营网络中存在一些严重的缺陷:一是由于在运营网络中时长的统计是根据用户认证通过和注销的间隔时间来计算的,这样,当客户端的异常关机或者客户端运行异常,都将导致客户端无法发出注销消息,进而导致客户端异常情况下按时长计费的偏差。二是导致客户端仿冒问题,例如,一个客户端认证通过后,未注销直接关机,另一个客户端接入后可能顶替前一个客户端访问网络。三是当设备端出现故障时不会提示用户网络故障。
发明内容
本发明的目的在于提供一种基于802.1X协议的网络接入设备与客户端握手的实现方法,使用该方法可以有效解决基于802.1X协议的网络计费、安全问题。
为达到上述目的,本发明提供的基于802.1X协议的网络接入设备与客户端握手的实现方法,包括:
(1)客户端向网络接入设备发出包括客户端地址和约定组播地址的认证请求报文;
(2)网络接入设备根据上述认证请求报文记录客户端地址,在客户端认证成功后,按照握手时间间隔向客户端发出握手报文,客户端在收到握手报文后,向网络接入设备发出握手响应报文。
步骤(2)所述网络接入设备向客户端发出握手报文为发出采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity)或地址解析协议(APR,Address Resolve Protocol)的请求认证报文(ARP-Request)。
步骤(2)所述客户端向网络接入设备发出握手响应报文为发出采用802.1X协议的扩展认证协议的认证响应报文(EAP-Response/Identity)或地址解析协议的认证响应报文(ARP-Reponse)。
所述方法还包括:
在客户端认证成功后,当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数,进行客户下线处理。
在客户端认证成功后,当客户端在握手时间间隔内不能收到网络接入设备发出的握手报文超过规定的次数,发出是否重新接入网络的提示。
由于本发明利用客户端向网络接入设备发出的认证请求报文中的接入设备地址和客户端地址,在客户端认证成功后,按照握手时间间隔向客户端发出握手报文,客户端在收到握手报文后立刻向网络接入设备发出握手响应报文,而且上述报文采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity)和802.1X协议的扩展认证协议的响应认证报文(EAP-Response/Identity)或者地址解析协议的ARP-Request和ARP-Response报文,这样,在设备端扩展出握手机制后,仍然能够支持标准的802.1X客户端,如WindowsXP,避免了大量更换客户端软件造成的困难和费用;当客户端出现异常情况时,例如计算机死机、掉电或异常关机,设备端可以及时检测客户端的状态,从而停止计费,避免造成计费纠纷;另外,原有的802.1X体系定义的重认证机制的时间间隔较长,因此在重认证间隔内,客户端存在仿冒的可能,如果利用重认证机制来防止客户端仿冒,必须将重认证间隔时间降到较低的程度,例如秒级,由于在运营网络上由于存在大量的客户端,大量的认证报文将淹没认证服务器,造成资源拥塞,实际上是不可行的,而本发明采用的EAP方式的握手报文与重认证发起报文完全相同,设备端根据状态机状态的不同区分是重认证还是握手,做到完全兼容802.1X协议描述的重认证机制,同时网络设备端和客户端之间握手的实现,可以及时发现仿冒的客户端,从而可以提高网络的安全度。
附图说明
图1是本发明所述方法实施例流程图;
图2是802.1X协议的体系结构图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细的描述。
本发明的实质在于扩展了标准802.1X协议的使用方式,利用标准协议报文实现了与重认证兼容的握手机制,使得当客户端异常时,接入设备能主动发现,并自动停止计费,同时还可以记录辨识客户端的物理地址,从而识别假冒用户。
图1是本发明所述方法实施例流程图。按照图1实施本发明,首先要设定握手时间间隔,当客户端需要接入网络时,在步骤1向网络接入设备发出包括客户端地址和约定组播地址的认证请求报文;该步骤实质上为客户端认证过程中发出认证请求报文的步骤。上述报文就是EAPOL协议报文。然后在步骤2,网络接入设备根据上述认证请求报文记录上述客户端地址。与本步骤同时进行的是客户端的认证操作,由于只有在客户端认证通过后才能进行接入设备与客户端之间的握手操作,因此在步骤3判断客户端的认证是否成功,如果未成功,同时结束认证和握手操作,如果客户端认证成功,则在步骤4接入设备按照设定的握手时间间隔按照步骤1记载的客户端地址以单播方式向客户端发出握手报文,客户端在收到握手报文后,也按照设定的握手时间间隔按照接入设备的地址向网络接入设备发出握手响应报文。本步骤中的网络接入设备向客户端发出握手报文有两种类型:EAP报文握手和ARP报文握手;
EAP报文握手类型为网络接入设备发出采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity),所述客户端回应握手响应报文为802.1X协议的扩展认证协议的响应认证报文(EAP-Response/Identity)
ARP报文握手为采用ARP协议的设备端发出的请求认证报文(ARP-Request),对应的客户端响应报文为ARP-Response。
在步骤5接入设备和客户端分别进行握手的处理操作。该步骤所述的操作对于接入设备来说,要继续不断地按照设定的握手时间间隔发送握手报文,当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数,例如3次,则认为客户端离线,进行客户下线处理,在下线处理过程中完成计费停止操作。
步骤5所述的操作对于客户端来说,也要继续不断地按照设定的握手时间间隔发送握手响应报文,如果客户端在握手时间间隔内,例如5秒,不能收到网络接入设备发出的握手报文超过规定的次数,例如3次,则认为自己离线,因此发出是否重新接入网络的提示信息供操作者选择。
图1所述实施例指出的网络接入设备为网络交换机,例如以太网交换机。
从图1所述实施例可知,本发明的网络接入设备与客户端握手的实现方法与客户端的认证过是相兼容的,本发明利用了客户端的认证过程提供的接入设备和客户端的地址信息,在客户端认证通过后,继续进行网络接入设备与客户端握手的操作。由于握手操作采用的是802.1X协议中定义的标准报文或客户端普遍支持的ARP协议报文,因此在802.1X接入设备端扩展了上述握手操作后,客户端不需要做任何修改,就可以支持扩展握手功能的接入设备端。
Claims (8)
1、一种基于802.1X协议的网络接入设备与客户端握手的实现方法,包括:
(1)客户端向网络接入设备发出包括客户端地址和约定组播地址的认证请求报文;
(2)网络接入设备根据上述认证请求报文记录客户端地址,在客户端认证成功后,按照握手时间间隔向客户端发出握手报文,客户端在收到握手报文后,向网络接入设备发出握手响应报文。
2、根据权利要求1所述的网络接入设备与客户端握手的实现方法,其特征在于:步骤(2)所述网络接入设备向客户端发出握手报文为发出采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity)。
3、根据权利要求2所述的网络接入设备与客户端握手的实现方法,其特征在于:步骤(2)所述客户端向网络接入设备发出握手响应报文为发出采用802.1X协议的扩展认证协议的认证响应报文(EAP-Response/Identity)。
4、根据权利要求3所述的网络接入设备与客户端握手的实现方法,其特征在于所述方法还包括:在客户端认证成功后,当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数,进行客户下线处理。
5、根据权利要求4所述的网络接入设备与客户端握手的实现方法,其特征在于所述方法还包括:在客户端认证成功后,当客户端在握手时间间隔内不能收到网络接入设备发出的握手报文超过规定的次数,发出是否重新接入网络的提示。
6、根据权利要求5所述的网络接入设备与客户端握手的实现方法,其特征在于:所述网络接入设备为网络交换机。
7、根据权利要求1所述的网络接入设备与客户端握手的实现方法,其特征在于:步骤(2)所述网络接入设备向客户端发出握手报文为发出采用地址解析协议的请求认证报文(ARP-Request)。
8、根据权利要求7所述的网络接入设备与客户端握手的实现方法,其特征在于:步骤(2)所述客户端向网络接入设备发出握手响应报文为发出采用地址解析协议的认证响应报文(ARP-Reponse)。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02116339 CN1214597C (zh) | 2002-03-26 | 2002-03-26 | 基于802.1x协议的网络接入设备与客户端握手的实现方法 |
| AU2003227166A AU2003227166A1 (en) | 2002-03-26 | 2003-03-19 | A method for implementing handshaking between the network accessing device and the user based on 802.1x protocol |
| PCT/CN2003/000203 WO2003081839A1 (fr) | 2002-03-26 | 2003-03-19 | Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x |
| BR0308387-0A BR0308387A (pt) | 2002-03-26 | 2003-03-19 | Método para implementar o estabelecimento da comunicação entre o dispositivo de acesso de rede baseado no 802.1x e o cliente |
| US10/942,306 US20050080921A1 (en) | 2002-03-26 | 2004-09-16 | Method of implementing handshaking between 802.1X-based network access device and client |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02116339 CN1214597C (zh) | 2002-03-26 | 2002-03-26 | 基于802.1x协议的网络接入设备与客户端握手的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1447570A CN1447570A (zh) | 2003-10-08 |
| CN1214597C true CN1214597C (zh) | 2005-08-10 |
Family
ID=28048655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02116339 Expired - Lifetime CN1214597C (zh) | 2002-03-26 | 2002-03-26 | 基于802.1x协议的网络接入设备与客户端握手的实现方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050080921A1 (zh) |
| CN (1) | CN1214597C (zh) |
| AU (1) | AU2003227166A1 (zh) |
| BR (1) | BR0308387A (zh) |
| WO (1) | WO2003081839A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7562390B1 (en) | 2003-05-21 | 2009-07-14 | Foundry Networks, Inc. | System and method for ARP anti-spoofing security |
| US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
| US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
| US7624431B2 (en) * | 2003-12-04 | 2009-11-24 | Cisco Technology, Inc. | 802.1X authentication technique for shared media |
| US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
| CN100355299C (zh) * | 2004-11-16 | 2007-12-12 | 华为技术有限公司 | 一种接收组播广播业务的方法 |
| US7734737B2 (en) * | 2005-05-26 | 2010-06-08 | Nokia Corporation | Device management with configuration information |
| CN100461098C (zh) * | 2006-05-11 | 2009-02-11 | 中兴通讯股份有限公司 | 一种认证软件自动升级方法 |
| US8391894B2 (en) * | 2006-06-26 | 2013-03-05 | Intel Corporation | Methods and apparatus for location based services in wireless networks |
| CN101163000B (zh) * | 2006-10-13 | 2011-03-02 | 中兴通讯股份有限公司 | 一种二次认证方法及系统 |
| US20080107092A1 (en) * | 2006-11-08 | 2008-05-08 | Pouya Taaghol | Universal services interface for wireless broadband networks |
| US20080108336A1 (en) * | 2006-11-08 | 2008-05-08 | Muthaiah Venkatachalum | Location-based services in wireless broadband networks |
| CN101702716B (zh) * | 2009-11-13 | 2013-06-05 | 中兴通讯股份有限公司 | 一种防止认证用户被攻击的方法及装置 |
| CN102761869B (zh) * | 2012-06-26 | 2015-04-15 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
| CN103200172B (zh) * | 2013-02-19 | 2018-06-26 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
| US9825928B2 (en) * | 2014-10-22 | 2017-11-21 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| CN107608843B (zh) * | 2017-07-31 | 2021-02-02 | 苏州浪潮智能科技有限公司 | 验证芯片接口互联成功的方法及其第一芯片 |
| US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
| US10999379B1 (en) | 2019-09-26 | 2021-05-04 | Juniper Networks, Inc. | Liveness detection for an authenticated client session |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11308509A (ja) * | 1998-04-17 | 1999-11-05 | Minolta Co Ltd | デジタルカメラシステム及びこのシステムに用いられる記録媒体 |
| US6161125A (en) * | 1998-05-14 | 2000-12-12 | Sun Microsystems, Inc. | Generic schema for storing configuration information on a client computer |
| US6301609B1 (en) * | 1999-07-07 | 2001-10-09 | Lucent Technologies Inc. | Assignable associate priorities for user-definable instant messaging buddy groups |
| US6597683B1 (en) * | 1999-09-10 | 2003-07-22 | Pulse-Link, Inc. | Medium access control protocol for centralized wireless network communication management |
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| KR100619005B1 (ko) * | 1999-11-25 | 2006-08-31 | 삼성전자주식회사 | 장치간의 연결 설정을 위한 인증방법 |
| DE69941335D1 (de) * | 1999-12-02 | 2009-10-08 | Sony Deutschland Gmbh | Nachrichtenauthentisierung |
| US6785823B1 (en) * | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US6430395B2 (en) * | 2000-04-07 | 2002-08-06 | Commil Ltd. | Wireless private branch exchange (WPBX) and communicating between mobile units and base stations |
| US20020091926A1 (en) * | 2001-01-10 | 2002-07-11 | The Furukawa Electric Co., Ltd. | Multicast authentication method, multicast authentication server, network interconnection apparatus and multicast authentication system |
| US20020108058A1 (en) * | 2001-02-08 | 2002-08-08 | Sony Corporation And Sony Electronics Inc. | Anti-theft system for computers and other electronic devices |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| US7224979B2 (en) * | 2001-05-03 | 2007-05-29 | Symantec Corporation | Location-aware service proxies in a short-range wireless environment |
| US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
| JP4236398B2 (ja) * | 2001-08-15 | 2009-03-11 | 富士通株式会社 | 通信方法、通信システム及び通信接続プログラム |
| US8817757B2 (en) * | 2001-12-12 | 2014-08-26 | At&T Intellectual Property Ii, L.P. | Zero-configuration secure mobility networking technique with web-based authentication interface for large WLAN networks |
| US7194622B1 (en) * | 2001-12-13 | 2007-03-20 | Cisco Technology, Inc. | Network partitioning using encryption |
| US6996714B1 (en) * | 2001-12-14 | 2006-02-07 | Cisco Technology, Inc. | Wireless authentication protocol |
-
2002
- 2002-03-26 CN CN 02116339 patent/CN1214597C/zh not_active Expired - Lifetime
-
2003
- 2003-03-19 BR BR0308387-0A patent/BR0308387A/pt not_active Application Discontinuation
- 2003-03-19 WO PCT/CN2003/000203 patent/WO2003081839A1/zh not_active Application Discontinuation
- 2003-03-19 AU AU2003227166A patent/AU2003227166A1/en not_active Abandoned
-
2004
- 2004-09-16 US US10/942,306 patent/US20050080921A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| CN1447570A (zh) | 2003-10-08 |
| US20050080921A1 (en) | 2005-04-14 |
| BR0308387A (pt) | 2005-01-11 |
| AU2003227166A1 (en) | 2003-10-08 |
| WO2003081839A1 (fr) | 2003-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1214597C (zh) | 基于802.1x协议的网络接入设备与客户端握手的实现方法 | |
| US5699513A (en) | Method for secure network access via message intercept | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| CN101150406B (zh) | 基于802.1x协议的网络设备认证方法及系统及相关装置 | |
| US20060070116A1 (en) | Apparatus and method for authenticating user for network access in communication system | |
| CN112102516B (zh) | 一种变电站智能机器人巡检系统及其接入运行方法 | |
| CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
| CN101127600A (zh) | 一种用户接入认证的方法 | |
| CN1784851A (zh) | 能够适应不同用户设备的灵活无线局域网接入点架构 | |
| CN1450766A (zh) | 一种基于动态主机配置协议的用户管理方法 | |
| CN1416245A (zh) | 基于边界网关协议报文的控制报文安全保护方法 | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| CN113194476A (zh) | 一种设备激活及鉴权绑定方法 | |
| CN106878337A (zh) | 一种实现接入网源地址验证的Web认证方法与系统 | |
| CN111416824B (zh) | 一种网络接入认证控制系统 | |
| EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
| CN1494258A (zh) | 一种网络综合接入设备的安全管理方法 | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN114338218B (zh) | PPPoE拨号的方法 | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20050810 |