一种联动认证动态VLAN切换的方法及系统技术方案
Method and system for linkage authentication dynamic VLAN switching
The invention relates to a linkage authentication dynamic VLAN switching system and method, which solves the problem that the existing 802.1X access technology can not carry out VLAN switching. In specific embodiments of the invention provide a 802.1X domain authentication linkage dynamic VLAN switching system, including: client authentication, switches, RADIUS authentication server, VLAN database, AD server and domain; among them, the client and the switch are connected to provide authentication window, send authentication message to the switch, and receiving the switch returns the authentication result; the switch with the client and RADIUS authentication server connected to transmit the authentication message authentication client sent to the authentication server, and according to the property of the VLAN switch port VLAN reply message authentication server issued in the RADIUS; the authentication server receives the authentication message to the switch. AD domain controller initiate authentication, query the corresponding user's VLAN information, VLAN returned to the client authentication authentication package.
【技术实现步骤摘要】
本专利技术涉及网络安全
,具体涉及一种基于802.1x准入技术的802.1X域联动认证动态VLAN切换的方法及系统。
技术介绍
目前802.1x准入技术中,与AD域联动认证主要指以AD域控作为认证数据源,依据AD域控中的组织单位和用户作为认证用户,进行域认证的一种方式;主要分为LDAP和NTLM两种方式。LDAP方式:通过LDAP协议发送用户名密码进行认证;主要存在的缺点是:由于LDAP为明文认证,所以在认证过程中会传输明文的密码,容易造成密码的泄露,对用户的安全性造成一定的影响,但如果采用TLS方式的话,需要双方搭建一整套的证书系统,对802项目的实施难度提出了不小的要求。NTLM方式:NTLM是微软自身提供的一种认证方式,在传输过程中采用随机码的认证方式,无需在交互过程中传输明文的密码;只需要提供密码加密的挑战字即可;安全性有了一定的保证,但是域控无法提供用户附加的VLAN的相关信息,使得认证后的端口都处于默认的VLAN,对大型的企业,拥有很多的组织单位的企业而言,是不能接受的,无法做到对不用的组织单位使用不用的VLAN;这也是造成802很难实施的原因之一。
技术实现思路
针对上述的问题,本专利技术提出一种联动认证动态VLAN切换的方法及系统,通过使用NTLM认证方式解决认证安全问题,在NTLM认证后,增加动态VLAN模块,负责VLAN的获取与下发,实现动态VLAN的配置与切换。为解决现有技术问题,本专利技术所采用的技术方案是:本专利技术第一方面提供一种联动认证动态VLAN切换系统,本系统包含:认证客户端,交换机,RADIUS认证服务器,VLAN数...
【技术保护点】
一种联动认证动态VLAN切换方法,其特征在于,具体包括以下步骤:(1)认证数据库同步域控组织单位和认证用户,配置组对应的VLAN属性,然后保存同步的信息到相应的数据库,为认证后的VLAN查找做准备;所述的同步域控使用的是LDAP协议,使用LDAPsearch命令进行同步;(2)当认证客户端发起802认证后,认证客户端将相应的认证数据发给交换机;(3)交换机将此认证报文封装为RADIUS可以识别的RADIUS认证报文转发给RADIUS服务器;所述的RADIUS服务器采用开源的FREERADIUS;(4)当认证报文到达RADIUS服务器后;RADIUS根据认证报文中的认证类型,发起预先配置的AD域认证NTLM;(5)AD域控返回认证结果报文到RADIUS服务器;(6)RADIUS服务器接收到认证结果报文后,根据用户信息向VLAN数据库查询相应的VLAN信息;(7)VLAN数据库根据RADIUS查询的用户名关键字,查询对应的组织单位的相关信息;然后返回相应的VLAN属性给RADIUS服务器;(8)RADIUS服务器根据查询到的VLAN属性,封装带VLAN属性的认证回复包给交换机;(9)交换机...
【技术特征摘要】
1.一种联动认证动态VLAN切换方法,其特征在于,具体包括以下步骤:(1)认证数据库同步域控组织单位和认证用户,配置组对应的VLAN属性,然后保存同步的信息到相应的数据库,为认证后的VLAN查找做准备;所述的同步域控使用的是LDAP协议,使用LDAPsearch命令进行同步;(2)当认证客户端发起802认证后,认证客户端将相应的认证数据发给交换机;(3)交换机将此认证报文封装为RADIUS可以识别的RADIUS认证报文转发给RADIUS服务器;所述的RADIUS服务器采用开源的FREERADIUS;(4)当认证报文到达RADIUS服务器后;RADIUS根据认证报文中的认证类型,发起预先配置的AD域认证NTLM;(5)AD域控返回认证结果报文到RADIUS服务器;(6)RADIUS服务器接收到认证结果报文后,根据用户信息向VLAN数据库查询相应的VLAN信息;(7)VLAN数据库根据RADIUS查询的用户名关键字,查询对应的组织单位的相关信息;然后返回相应的VLAN属性给RADIUS服务器;(8)RADIUS服务器根据查询到的VLAN属性,封装带VLAN属性的认证回复包给交换机;(9)交换机收到此认证回复包,解析VLAN属性,根据此VLAN切换端口的VLAN值,然后返回认证结果给认证客户端。2.如权利要求1所述的基于802.1X域联动认证动态VLAN切换系统的切换方法,其特征在于,所述配置组对应的VLAN完成后,还展示用户信息和VLAN信息。3.如权利要求1所述的一种联动认证动态VLAN切换系统的切换方法,其特征在于,所述NTLM认证所需要的参数包括challenge挑战字、response回复字段,所述挑战字由RADIUS服务器产生,所述 response回复字段由认证客户端产生。4.如权利要求1所述的一种联动认证动态VLAN切换系统的切换方法,其特征在于,所述VLAN数据库负责动态VLAN属性的生成与维护。5.一种联动认证动态VLAN切换系统,其特征在于,包括:认证客户端,交换机,RADIUS认证服务器,VLAN数据库,以及AD域服务器;其中,所述认证客户端与交换机相连,用于提供认证窗口,发送认证报文到交换机,并接收交换机返回的认证结果;所述交换机与所述客户机和RADIUS认证服务器相连,用于将认证客户端发送的认证报文转发到认证服务器,并根据认证服务器下发的回复...
【专利技术属性】
技术研发人员:刘文超,牟永鹏,宋成龙,
申请(专利权)人:北京北信源软件股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。