802.1X认证方法、装置、系统、客户端和网络设备制造方法及图纸

本发明专利技术公开了一种８０２．１Ｘ认证方法、装置、系统、客户端和网络设备。方法包括：接收第一网络设备转发的产商８０２．１Ｘ认证报文，所述产商８０２．１Ｘ认证报文为将标准８０２．１Ｘ认证报文中的目的介质访问控制ＭＡＣ地址设置为产商组播地址的８０２．１Ｘ认证报文；识别出所述产商８０２．１Ｘ认证报文中目的ＭＡＣ地址之外的内容为标准８０２．１Ｘ认证报文中的内容；根据所述产商８０２．１Ｘ认证报文通过认证服务器进行认证，并接收所述认证服务器返回的认证结果。本发明专利技术的技术方案在不对第一网络设备进行升级改造的前提下，实现了利用８０２．１Ｘ认证报文跨第一网络设备进行８０２．１Ｘ认证。

【技术实现步骤摘要】

本专利技术涉及访问控制领域，特别涉及一种802. 1X认证方法、装置、系统、 客户端和网络设备。
技术介绍
802. IX协议是一种基于以太网的认证协议，利用802. 1X认证报文进行 认证是为了达到对网络中的用户进行安全管理控制的目的，只有身份认证合 格的用户才能正常使用网络。图1为现有技术中802. 1X认证的一种场景示意图，如图1所示，个人计 算机(Personal Computer,简称PC)用户接入网络时，用户PC上的802. IX 认证客户端向网络设备发送802. IX认证报文，该802. IX认证才艮文中包括用 户输入的用户名和密码，其中，网络设备可以是网络接入服务器(Network Access Server,简称NAS );网络设备通过远程用户拨号iU正系统(Remote Authentication Dial In User Service,简称RADIUS)协议向认证服务器 发送认证请求，该认证请求中包括用户名和密码，认证J良务器对用户名和密 码进行认证，如果用户名和密码匹配正确则认证服务器将认证成功的认证结 果返回给网络设备，如果用户名和密码匹配错误则认证服务器将认证失败的 认证结果返回给网络设备；网络设备根据认证成功的认证结果允许用户PC在 网络上正常通信或者根据认证失败的认证结果拒绝用户PC在网络上通信，并 向PC上的802. IX认证客户端返回认证结果。在实际网络部署运营中，存在与用户PC连接的网络设备不支持802. IX 认证的情况，如图2所示，为现有技术中802. IX认证的另一种场景示意图。 图2中与PC连接的网络设备称为第一网络设备，该第一网络设备为网络中原5有的网络设备，在功能上不支持802.1X认证。当需要继续延用第一网络设备 或者因施工周期、资金等原因不能在短时间内对第一网络设备进行升级改造 的情况下，新增的网络设备(称为第二网络设备)必须直接连接在原有的第 一网络设备上，第二网络设备支持802. 1X认证，而认证服务器与第二网络设 备连接。此时，当第二网络设备对PC进行802. IX认证时，必须通过第一网 络设备才能实现，即产生了 跨原有的第一网络设备进行802. 1X认证的应 用需求。但是，由于国际标准组织电气和电子工程师协会(Institute of Electrical and Electronics Engineers ,简称IEEE)在802. ld2004中 规定含有目的介质访问控制(Media Access Control,简称MAC)地址 01-80-C2-00-00-03的802. IX认证报文(即标准802. IX认证报文)不能被 桥接设备转发，也就是说标准802. 1X认证报文是无法穿透图2中的第一网络 设备的，这样在图2的网络部署中相关的802. 1Xi^〖正就无法完成。为解决上述跨原有的第一网络设备的802. 1X认证无法完成的问题，现有 技术中可采用如下二种方法 一、可以直接对第一网络设备进行升级改造， 使第一网络设备能够透传标准802. 1X认证报文，但通常第一网络设备的使用 时间均已比较长，相对比较陈旧，甚至第一网络设备的产商(产商为生产制 造商的简称)早已停止维护，此种情况下对第一网络设备进行大面积的升级 改造，不仅增加了网络改造的复杂性，而且也没有达到对网络平滑升级的目 的。二、采用其它协i义才艮文，例如地址解析协i义(Address Resolution Protocol,简称ARP)才艮文、动态主才几分酉己十办i义(Dynamic Host Configuration Protocol,简称DHCP)报文等，作为802. IX认证报文来触发认证从而完成 认证过程，采用这种方法不仅会影响相关协议报文的正常处理流程，而且由 于采用的协议报文是非常普通和常见的，因此在认证过程中容易受到欺骗(例 如ARP欺骗)。因此现有技术中在不对第一网络设备进行升级改造的前提下，还没有一 种方案能够有效解决利用802. IX认证报文跨第一网络设备进行802. IX认证的问题。
技术实现思路
本专利技术的目的是针对现有技术中的问题，提出一种802. 1X认证方法、装 置、系统、客户端和网络设备，从而在不对第一网络设备进行升级改造的前 提下，能够有效解决利用802. 1X认证报文跨第一网络设备进行802. 1X认证 的问题。为实现上述目的，本专利技术提供了一种802. 1X认证方法，包括 接收第一网络设备转发的产商802. IX认证报文，所述产商802. IX认证报文为将标准802. IX认证报文中的目的MAC地址设置为产商组播地址的802. 1X认证报文；识别出所述产商802. IX认证报文中目的MAC地址之外的内容为标准 802. 1X认证报文中的内容；根据所述产商802. IX认证报文通过认证服务器进行认证，并接收所述认 证服务器返回的认证结果。为实现上述目的，本专利技术提供了一种802. 1X认证装置，包括接收模块，用于接收第一网络设备转发的产商802. 1X认证报文，所述产 商802. IX认证报文为将标准802. IX认证报文中的目的MAC地址设置为产商 组播地址的iU正才艮文；识别模块，用于识别出所述产商802. IX认证报文中目的MAC地址之外的 内容为标准802. 1X认证报文中的内容；认证模块，用于根据所述产商802. IX认证报文通过认证服务器进行认 证，并接收所述认证服务器返回的认证结果。为实现上述目的，本专利技术提供了一种网络设备，包括上述802. 1X认证装置。为实现上述目的，本专利技术提供了一种802.1X认证客户端，包括报文生成模块，用于生成产商802. IX认证报文，所述产商802. IX认证 报文为将标准802. 1X认证报文中的目的MAC地址设置为产商组播地址的认证 报文；第二收发模块，用于将所述产商802. IX认证报文发送给第一网络设备。为实现上述目的，本专利技术提供了一种802. 1X认证系统，包括第一网络设 备和认证服务器，还包括第二网络设备和802. IX认证客户端；所述802. IX认证客户端，用于生成产商802. IX认证报文并发送给所述 第一网络设备，所述产商802. IX认证报文为将标准802. IX认证报文中的目 的MAC地址i殳置为产商组纟番地址的802. IX认证才艮文；所述第一网络设备，用于将所述产商802. 1X认证报文转发给所述第二网 络设备；所述第二网络设备，用于接收所述产商802. 1X认证报文，识别出所述产 商802. IX认证报文中目的MAC地址之外的内容为标准802. IX认证报文中的 内容，根据所述产商802. 1X认证报文生成认证请求，将所述认证请求发送给 所述认证服务器，并接收所述认证服务器返回的认证结果；所述认证服务器根据所述认证请求进行认证，生成所述认证结果，并将 所述认证结果返回给所述第二网络设备。本专利技术的技术方案中产商802. 1X认证报文中的目的MAC地址为产商组播 地址，因此第一网络设备可以透传该产商802. 1X认证报文，使第二网络设备 可以接收到产商802. IX认证报文，并通过产商802. IX认证报文完成802. IX 认证。本专利技术在不对第一网络设备进行本文档来自技高网...

【技术保护点】
一种８０２．１Ｘ认证方法，其特征在于，包括：　接收第一网络设备转发的产商８０２．１Ｘ认证报文，所述产商８０２．１Ｘ认证报文为将标准８０２．１Ｘ认证报文中的目的介质访问控制ＭＡＣ地址设置为产商组播地址的８０２．１Ｘ认证报文；　识别 出所述产商８０２．１Ｘ认证报文中目的ＭＡＣ地址之外的内容为标准８０２．１Ｘ认证报文中的内容；　根据所述产商８０２．１Ｘ认证报文通过认证服务器进行认证，并接收所述认证服务器返回的认证结果。

【技术特征摘要】
1、一种802. 1X认证方法，其特征在于，包括接收第一网络设备转发的产商802.1X认证报文，所述产商802.1X认证报文为将标准802.1X认证报文中的目的介质访问控制MAC地址设置为产商组播地址的802.1X认证报文；识别出所述产商802.1X认证报文中目的MAC地址之外的内容为标准802.1X认证报文中的内容；根据所述产商802.1X认证报文通过认证服务器进行认证，并接收所述认证服务器返回的认证结果。2、 根据权利要求1所述的方法，其特征在于，所述产商802. 1X认证报 文包括用户名和密码；所述根据所述产商802. 1X认证报文通过认证服务器进 行认证，并接收所述认证服务器返回的认证结果包括根据所述产商802. 1X认证报文生成认证请求，所述认证请求中包括用户 名和密码；将所述认证请求发送给所述认证服务器；接收所述认证服务器对所述认证请求中的用户名和密码进行认证后返回 的认证结果。3、 根据权利要求1或2所述的方法，其特征在于，还包括 根据所^i人证结果允许或拒绝用户在网络上通信。4、 一种802. lX认i正装置，其特征在于，包括接收模块，用于接收第一网络设备转发的产商802.1X认证报文，所述产 商802. IX认证报文为将标准802. IX认证报文中的目的MAC地址设置为产商 组4番地址的认证才艮文；识别模块，用于识别出所述产商802. IX认证报文中目的MAC地址之外的 内容为标准802. 1X认证报文中的内容；认证模块，用于根据所述产商802. IX认证报文通过认证服务器进行认证，并接收所述认证服务器返回的认证结果。5、 根据权利要求4所述的装置，其特征在于，所述认证模块包括 认证请求生成模块，用于根据所述产商802. IX认证报文生成认证请求，所述认证请求中包括用户名和密码；第一收发模...

【专利技术属性】
技术研发人员：卓志强，
申请(专利权)人：北京星网锐捷网络技术有限公司，
类型：发明
国别省市：11[中国|北京]