本发明专利技术提供了一种dot1x用户认证系统、方法及体系,通过在系统内部设置多个交换机;所述多个交换机中包括一主机,所述主机用于基于一选择参数,在其他交换机中确定主认证服务器和备份认证服务器;所述主认证服务器,用于基于接收的认证协议报文,对用户进行认证,并将认证数据发送至所述备份认证服务器进行备份,以便当所述主认证服务器的工作状态不符合预设要求时,所述备份认证服务器在所述主机控制下利用备份的认证数据进行认证。从而可提高网络用户认证过程的可靠性,提高网络用户的上网体验,降低dot1x体系结构成本。
【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种dot1x用户认证系统、方法及体系。
技术介绍
IEEE802LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议(dot1x)。802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。连接在端口上的用户设备如果能通过认证,就可以访问网络中的资源;如果不能通过认证,则无法访问。如图1所示,现有802.1X协议的体系结构一般包括三个重要的部分:客户端(SupplicantSystem)、认证系统(AuthenticatorSystem)和认证服务器(AuthenticationServerSystem)。客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起802.1X协议的认证过程。为支持基于端口的接入控制,客户端系统需支持扩展认证协议(EAPOL:ExtensibleAuthenticationProtocolOverLAN)。认证系统通常为支持802.1X协议的网络设备,如交换机(switch)。认证服务器可以存储有关用户的信息,比如用户的优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。常用的802.1X认证方式有两种,一种是远程认证,一种为本地认证。其中,远程认证过程在交换机认证系统和远端的服务器之间完成,支持远程认证拨号用户服务(RADIUS:RemoteAuthenticationDial-InUserService)、终端访问控制器控制系统协议(TACACS:TerminalAccessControllerAccessControlSystem)等协议。常用的RADIUS认证过程中,认证服务器为RADIUS服务器,客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。现有802.1X协议的体系结构中,认证系统基于虚拟交互集群(VSC:VirtualSwitchChassis)协议实现,即认证系统中包括多台交换机,但通常仅由多台交换机中的某一台交换机作为主机执行相应的认证过程,例如数据接收、与认证服务器交互等,其他交换机作为备用设备没有真正意义上的运行,这导致了系统资源的浪费。而现有802.1X协议的体系结构中需要在认证系统之外单独设立认证服务器,以用于存储用户数据库信息,供用户认证计费,由于认证服务器的价格昂贵,从而导致现有802.1X协议的体系结构的成本较高。且认证服务器部署时,需要为多台认证系统的用户同时服务,用户上线交互就多,影响用户上线速度。有时会出现用户上线数据丢失,认证服务器会对将该用户挂起,导致用户无法再次上线。
技术实现思路
本专利技术提供一种dot1x用户认证系统、方法及体系,从而可提高网络用户认证过程的可靠性,提高网络用户的上网体验,降低dot1x体系成本。本专利技术提供方案如下:本专利技术实施例提供了一种dot1x用户认证系统,该系统具体可包括多个交换机;所述多个交换机中包括一主机,所述主机用于基于一选择参数,将第一交换机确定为主认证服务器,将第二交换机确定为备份认证服务器,所述第一交换机和第二交换机为所述多个交换机中除所述主机之外的其他交换机;所述主认证服务器,用于基于接收的认证协议报文,对用户进行认证,并将认证数据发送至所述备份认证服务器进行备份,以便当所述主认证服务器的工作状态不符合预设要求时,所述备份认证服务器在所述主机控制下利用备份的认证数据进行认证。优选的,所述选择参数,基于外部输入的控制信息确定;或者,所述选择参数,基于所述其他交换机的工作状态确定。优选的,所述工作状态为所述其他交换机的空闲状态;所述空闲状态,基于所述其他交换机的CPU负荷确定。优选的,所述主机基于所述其他交换机定期上报的工作状态信息,确定所述其他交换机的工作状态。优选的,当所述主机在预设时间内,没有收到主认证服务器上报的工作状态信息时,确定所述主认证服务器的工作状态不符合预设要求,将当前的备份认证发生器确定为主认证服务器,并基于选择参数,在其他交换机中选择确定备份认证服务器。本专利技术实施例还提供了一种dot1x用户认证方法,所述方法应用于一dot1x用户认证系统中,所示dot1x用户认证系统包括多个交换机,所述多个交换机中包括一主机,所述主机用于基于一选择参数,将第一交换机确定为主认证服务器,将第二交换机确定为备份认证服务器,所述第一交换机和第二交换机为所述多个交换机中除所述主机之外的其他交换机;所述方法包括:主认证服务器基于接收的认证协议报文,对用户进行认证,并将认证数据发送至备份认证服务器进行备份,以便当所述主认证服务器的工作状态不符合预设要求时,所述备份认证服务器在所述主机控制下利用备份的认证数据进行认证。优选的,所述方法包括:主机基于外部输入的控制信息确定选择参数;或者,主机基于所述其他交换机的工作状态确定所述选择参数。优选的,所述工作状态为所述其他交换机的空闲状态;所述方法还包括:基于所述其他交换机的CPU负荷确定所述其他交换机的空闲状态。优选的,所述方法还包括:主机基于所述其他交换机定期上报的工作状态信息,确定所述其他交换机的工作状态。优选的,所述主机基于所述其他交换机上报的工作状态信息,确定所述其他交换机的工作状态包括:当所述主机在预设时间内,没有收到主认证服务器上报的工作状态信息时,确定所述主认证服务器的工作状态不符合预设要求。本专利技术实施例还提供了一种dot1x用户认证体系,包括用户端,以及上述本专利技术实施例所提供的dot1x用户认证系统。从以上所述可以看出,本专利技术提供的dot1x用户认证系统、方法及体系,通过在系统内部设置多个交换机;所述多个交换机中包括一主机,所述主机用于基于一选择参数,将第一交换机确定为主认证服务器,将第二交换机确定为备份认证服务器,所述第一交换机和第二交换机为所述多个交换机中除所述主机之外的其他交换机;所述主认证服务器,用于基于接收的认证协议报文,对用户进行认证,并将认证数据发送至所述备份认证服务器进行备份,以便当所述主认证服务器的工作状态不符合预设要求时,所述备份认证服务器在所述主机控制下利用备份的认证数据进行认证。从而可提高网络用户认证过程的可靠性,提高网络用户的上网体验,降低dot1x体系结构成本。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为现有dot1x用户认证体系结构示意图;图2为本专利技术实施例提供的dot1x用户认证系统结构示意图;图3为本专利技术实施例提供的dot1x用户认证方法流程示意图;图4为本专利技术实施例提供的dot1x用户认证体系结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例的附图,对本专利技术实施例的技术方案进行清楚、完整地本文档来自技高网...
【技术保护点】
一种dot1x用户认证系统,其特征在于,包括多个交换机;所述多个交换机中包括一主机,所述主机用于基于一选择参数,将第一交换机确定为主认证服务器,将第二交换机确定为备份认证服务器,所述第一交换机和第二交换机为所述多个交换机中除所述主机之外的其他交换机;所述主认证服务器,用于基于接收的认证协议报文,对用户进行认证,并将认证数据发送至所述备份认证服务器进行备份,以便当所述主认证服务器的工作状态不符合预设要求时,所述备份认证服务器在所述主机控制下利用备份的认证数据进行认证。
【技术特征摘要】
1.一种dot1x用户认证系统,其特征在于,包括多个交换机;所述多个交换机中包括一主机,所述主机用于基于一选择参数,将第一交换机确定为主认证服务器,将第二交换机确定为备份认证服务器,所述第一交换机和第二交换机为所述多个交换机中除所述主机之外的其他交换机;所述主认证服务器,用于基于接收的认证协议报文,对用户进行认证,并将认证数据发送至所述备份认证服务器进行备份,以便当所述主认证服务器的工作状态不符合预设要求时,所述备份认证服务器在所述主机控制下利用备份的认证数据进行认证。2.如权利要求1所述的系统,其特征在于,所述选择参数,基于外部输入的控制信息确定;或者,所述选择参数,基于所述其他交换机的工作状态确定。3.如权利要求2所述的系统,其特征在于,所述工作状态为所述其他交换机的空闲状态;所述空闲状态,基于所述其他交换机的CPU负荷确定。4.如权利要求2所述的系统,其特征在于,所述主机基于所述其他交换机定期上报的工作状态信息,确定所述其他交换机的工作状态。5.如权利要求4所述的系统,其特征在于,当所述主机在预设时间内,没有收到主认证服务器上报的工作状态信息时,确定所述主认证服务器的工作状态不符合预设要求,将当前的备份认证发生器确定为主认证服务器,并基于选择参数,在其他交换机中选择确定备份认证服务器。6.一种dot1x用户认证方法,其特征在于,所述方法应用于一dot1x用户认证系统中,所示dot1x用户认证系统...
【专利技术属性】
技术研发人员:成诗明,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。