基于802.1×的终端宽带接入的安全认证控制方法技术

基于８０２．１Ｘ的终端宽带接入的安全认证控制方法，平时各个用户处于独自的ＶＬＡＮ中，相互之间隔离，当８０２．１ｘ的接入时，认证服务器为ＲＡＤＩＵＳ服务器，该服务器可以存储有关用户的信息，采用用户的ＶＬＡＮ＋ＭＡＣ＋ＩＰ的绑定作为逻辑端口，利用客户端、认证系统和认证服务器建立用户接入网络的认证流程：１）、认证通过前，通道只能通过ＥＡＰＯＬ的８０２．１Ｘ认证报文；２）、认证通过时，通道的状态切换为ａｕｔｈｏｒｉｚｅｄ，此时从远端认证服务器可以传递来用户的信息；认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，并有ＤＨＣＰ过程；客户端是一需要接入ＬＡＮ，支持ＥＡＰＯＬ协议，运行８０２．１Ｘ客户端软件；认证系统为支持ＩＥＥＥ８０２．１ｘ协议的网络设备，认证系统对应于不同用户的端口。

【技术实现步骤摘要】

【技术保护点】
基于８０２．１Ｘ的终端宽带接入的安全认证控制方法，平时各个用户处于独自的ＶＬＡＮ中，相互之间隔离，当８０２．１ｘ的接入时，认证服务器为ＲＡＤＩＵＳ服务器，该服务器可以存储有关用户的信息，其特征是采用用户的ＶＬＡＮ＋ＭＡＣ＋ＩＰ的绑定作为逻辑端口，利用客户端、认证系统和认证服务器建立用户接入网络的认证流程：１）、认证通过前，通道只能通过ＥＡＰＯＬ的８０２．１Ｘ认证报文；２）、认证通过时，通道的状态切换为ａｕｔｈｏｒｉｚｅｄ，此时从远端认证服务器可以传递来用户的信息，比如ＶＬＡＮ、ＣＡＲ参数、优先级、用户的访问控制列表；３、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，并有ＤＨＣＰ过程；４、客户端是一需要接入ＬＡＮ，支持ＥＡＰＯＬ协议，运行８０２．１Ｘ客户端软件；认证系统为支持ＩＥＥＥ８０２．１ｘ协议的网络设备，认证系统对应于不同用户的端口（物理端口，或用户设备的ＶＬＡＮ＋ＭＡＣ＋ＩＰ的绑定作为逻辑端口，上述两个逻辑端口：受控端口和不受控端口，不受控端口始终处于双向连通状态，主要用来传递ＥＡＰＯＬ协议帧，可保证客户端始终可以发出或接受认证；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务；受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务；当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管；认证服务器和ＲＡＤＩＵＳ服务器之间通过ＥＡＰ协议进行通信。在接入网络前，用上述８０２．１ｘ发起认证请求。此时ＴＧＡＴＥ不但要对用户的身份进行认证，而且对终端的安全等级也要进行检查：.如用户身份认证不通过，则不允许接入网络的；如用户身份认证通过，但安全等级不符合要求，那么用户只能访问一个非常有限的服务区域，只能到那个服务区域去安装补丁等，去提升安全等级。...

【技术特征摘要】

【专利技术属性】
技术研发人员：顾恺，顾杰，智勇，吴冬，宦林英，张宇斌，
申请(专利权)人：南京联创网络科技有限公司，
类型：发明
国别省市：84[中国|南京]