本发明专利技术实施例公开了一种基于配置信息的认证方法、装置、交换机、网络和存储介质。该方法适用于第一交换机作为申请者向认证服务器申请加入第二交换机所在网络的场景,第二交换机充当代理者在第一交换机和认证服务器之间进行报文中转,方法包括:认证服务器对第一交换机的身份认证通过后,通过第二交换机向第一交换机发送报告配置的请求报文;认证服务器通过第二交换机接收第一交换机的配置响应报文;认证服务器将配置信息与设定的交换机配置信息进行匹配,当匹配成功后,向第二交换机发送认证成功的报文。本发明专利技术实施例保证交换机按照网络管理员预定的设置进行工作,有效降低了由配置信息的篡改造成的安全隐患的可能性。配置信息的篡改造成的安全隐患的可能性。配置信息的篡改造成的安全隐患的可能性。
【技术实现步骤摘要】
基于配置信息的认证方法、装置、交换机、网络和介质
[0001]本申请是申请号为“201810401268.4”,申请日为“2018年04月28日”,题目为“基于配置信息的认证方法、服务器、交换机和存储介质”的中国专利申请的分案申请。
[0002]本专利技术实施例涉及网络通信技术,尤其涉及一种基于配置信息的认证方法、装置、交换机、网络和介质。
技术介绍
[0003]可信交换网络系统要求每个接入用户进行认证与控制,保证通信实体之间的可信关系和控制。对于现有的终端设备,现有的电气和电子工程师协会(Institute of Electrical and Electronics Engineers,简称:IEEE)802.1x协议已经进行了规范和实现。IEEE802.1x协议称为基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,达到接收合法用户输入,保护网络安全的目的。
[0004]图1为现有IEEE802.1x认证体系的组成结构示意图。如图1所示,基于IEEE802.1x协议的认证体系包括以下三个组成部分:申请者(Supplicant)、认证设备(Authenticator)和认证服务器(Authentication Server),其中,申请者:申请者需要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x认证。为了支持基于端口的接入控制,申请者需要支持基于局域网的扩展认证协议(EAP Over LAN,简称:EAPoL);认证设备:在申请者和认证服务器之间起到代理作用,能够将来自申请者的EAPoL认证请求报文转为远程用户拨号认证服务(Remote Authentication Dial In User Service,简称:RADIUS)报文发到认证服务器,将认证服务器返回的RADIUS报文转为EAPoL报文发送给申请者。认证设备根据认证服务器对申请者的认证请求结果,来决定是否将申请者的接入物理端口打开;认证服务器:认证服务器是指能够具备处理入网身份认证和访问权限检查能力的专用服务器,通常为RADIUS服务器,认证服务器能够检查申请者和认证设备的身份、类型和网络访问权限,并且通过认证设备向申请者返回身份认证应答结果。认证设备和认证服务器之间通过承载于RADIUS协议之上的扩展认证协议(Extensible Authentication Protocol,简称:EAP)进行通信。
[0005]在实现本专利技术的过程中,专利技术人发现现有技术中至少存在如下问题:
[0006]网络接入认证设备通过判断待接入的设备是否拥有认证协议需要的口令和/或密钥来确认是否允许该待接入设备接入,其目的就是为了保证接入网络的是一个安全的设备,而不是一个攻击者。
[0007]但是,目前大部分网络通信设备(包括二层交换机、三层交换机以及各种网关设备)自身并未进行有效的安全检查,例如,交换机一个很重要的功能就是虚拟局域网(Virtual Local Area Network,简称:VLAN),VLAN实现了在物理拓扑结构不变的前提下逻辑拓扑结构的不同划分,同一个端口在不同VLAN下将实现完全不同的网络接入。因此,一旦有人非法修改了网络通信设备的配置,将造成重大安全隐患。
技术实现思路
[0008]本专利技术实施例提供一种基于配置信息的认证方法、服务器、交换机和存储介质,以保证交换机按照网络管理员预定的设置进行工作,有效降低了由配置信息的篡改造成安全隐患的可能性。
[0009]第一方面,本专利技术实施例提供了一种基于配置信息的认证方法,所述方法适用于第一交换机作为申请者向认证服务器申请加入第二交换机所在网络的场景,所述方法包括:
[0010]所述认证服务器对所述第一交换机的身份认证通过后,通过所述第二交换机向所述第一交换机发送报告配置的请求报文;
[0011]所述认证服务器通过所述第二交换机接收所述第一交换机的配置响应报文,所述配置响应报文包括所述第一交换机根据所述请求报文查询得到的配置信息;
[0012]所述认证服务器将所述配置信息与设定的交换机配置信息进行匹配,当匹配成功后,向所述第二交换机发送认证成功的报文,以使所述第二交换机开启与所述第一交换机相连接的端口。
[0013]可选的,在所述认证服务器向所述第二交换机发送认证成功的报文之后,还包括:
[0014]所述认证服务器通过所述第二交换机接收所述第一交换机主动发送的状态响应报文,所述状态响应报文包括所述第一交换机的配置信息;或者,
[0015]所述认证服务器通过所述第二交换机定期向所述第一交换机发送状态查询报文,接收所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文,所述状态响应报文包括所述第一交换机根据所述状态查询报文查询得到的配置信息。
[0016]可选的,在所述认证服务器接收所述第一交换机主动发送的状态响应报文之后,或者,在所述认证服务器接收所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文之后,还包括:
[0017]所述认证服务器将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配,当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后,向所述第二交换机发送网络断开的报文,以使所述第二交换机断开与所述第一交换机相连接的端口。
[0018]可选的,所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败,包括:
[0019]所述状态响应报文中的配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致;或者,所述当前设定的交换机配置信息发生变化,使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
[0020]可选的,在所述认证服务器向所述第二交换机发送认证成功的报文之前,还包括:
[0021]所述认证服务器通过所述第二交换机逐次向所述第一交换机发送所述请求报文,各所述请求报文所请求的配置信息各不相同;
[0022]对应于各次的请求报文,所述认证服务器通过所述第二交换机接收配置响应报文,所述配置响应报文包括与当前请求报文对应的配置信息;
[0023]所述认证服务器将各次的配置信息分别与设定的交换机配置信息进行匹配,当全部匹配成功后,向所述第二交换机发送认证成功的报文。
[0024]可选的,在所述认证服务器向所述第二交换机发送认证成功的报文之后,还包括:
[0025]所述认证服务器通过所述第二交换机逐次向所述第一交换机发送状态查询报文,各所述状态查询报文所请求的配置信息各不相同;
[0026]对应于各次的状态查询报文,所述认证服务器通过所述第二交换机接收状态响应报文,所述状态响应报文包括与当前状态查询报文对应的配置信息;
[0027]对应于各次的状态查询报文,所述认证服务器将接收到的配置信息与设定的交换机配置信息进行匹配,当匹配失败后,向所述第二交换机发送网络断开的报文,以使所述第二交换机断开与所述第一交本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于配置信息的认证方法,其特征在于,所述方法适用于第一交换机作为申请者向认证服务器申请加入第二交换机所在网络的场景,所述方法包括:第二交换机将第一交换机发送的身份认证请求转发至认证服务器,以使所述认证服务器根据所述身份认证请求对所述第一交换机的身份进行认证;第二交换机将所述认证服务器认证通过后发送的所述报告配置的请求报文转发至第一交换机;第二交换机将第一交换机反馈的配置响应报文转发给认证服务器,以使所述认证服务将配置信息与设定的交换机配置信息进行匹配,其中,所述配置响应报文包括所述第一交换机根据所述请求报文查询得到的所述配置信息;第二交换机接收所述认证服务器匹配成功后发送的认证成功的报文,并根据所述认证成功的报文,开启与所述第一交换机相连接的端口。2.根据权利要求1所述方法,其特征在于,第二交换机将第一交换机发送的身份认证请求转发至认证服务器,包括:第二交换机将第一交换机发送的基于EAP的身份认证请求,转换为基于RADIUS的身份认证请求发送给认证服务器;第二交换机将所述认证服务器认证通过后发送的所述报告配置的请求报文转发至第一交换机,包括:第二交换机将基于RADIUS的报告配置的请求报文,转换为基于EAP的报告配置的请求报文发送至第一交换机;第二交换机将第一交换机反馈的配置响应报文转发给认证服务器,包括:第二交换机将第一交换机反馈的基于EAP的配置响应报文转换为基于RADIUS的配置响应报文发送给认证服务器。3.根据权利要求1所述的方法,其特征在于,在第二交换机接收所述认证服务器匹配成功后发送的认证成功的报文,并根据所述认证成功的报文,开启与所述第一交换机相连接的端口之后,还包括:第二交换机将第一交换机主动发送的状态响应报文转发至认证服务器,所述状态响应报文包括所述第一交换机的配置信息;或者,第二交换机将认证服务器定期发送的状态查询报文转发给所述第一交换机,并将所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文转发至认证服务器,所述状态响应报文包括所述第一交换机根据所述状态查询报文查询得到的配置信息。4.根据权利要求3所述的方法,其特征在于,在所述第二交换机将第一交换机主动发送的状态响应报文转发至认证服务器,或者,将所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文转发至认证服务器之后,还包括:第二交换机在接收到认证服务器发送的网络断开的报文时,断开与所述第一交换机相连接的端口;其中,所述网络断开的报文为所述认证服务器将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹...
【专利技术属性】
技术研发人员:郭冰,王立文,
申请(专利权)人:北京东土军悦科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。