[发明专利]基于802.1x协议的网络设备认证方法及系统及中继转发装置

说明书

技术领域

本发明涉及网络通信领域，尤其涉及基于802.1x协议的网络设备认证方法及系统及中继转发装置。

背景技术

目前局域网中广泛使用的IEEE 802.1x协议是基于端口的网络访问控制协议，用于网络接入设备的物理接入级对接入客户端进行认证和控制。802.1x协议的应用体系结构如图1所示，包括：客户端、认证者和认证服务器；在用户接入层以太网交换机实现802.1x的认证者部分，是位于局域网或无线局域网点对点链路一端的一个实体；802.1x的客户端作为认证请求者是位于局域网或无线局域网上点对点链路一端的一个实体，通常安装在用户端，如个人计算机中；802.1x的认证服务器通常驻留在运营商的计费、认证和授权中心。802.1x的客户端与认证者之间运行IEEE 802.1x定义的基于局域网的可扩展认证协议EAPoL；认证者与认证服务器间同样运行扩展认证协议EAP。以太网交换机端内部有受控端口和非受控端口；其中非受控端口始终处于双向连通状态，受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务，且受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。在上述的体系结构下，连接在以太网交换或宽带接入交换机的端口上的用户设备如果能通过认证，就可以访问网络内的资源；如果不能通过认证，则无法访问网络内的资源。

现有技术一中，客户端通过认证者向认证服务器发起认证请求，认证服务器响应请求信息，通过认证者与客户端交互信息，最后由认证服务器根据交互的信息判断客户端的用户设备是否合法，如果用户设备合法则通过客户端的认证请求，并进行后续授权、计费等流程。

上述技术中，仅是基于客户端和认证服务器之间的认证，没考虑到对认证者的认证，如果认证者是一个不合法的设备，则可能造成中间人攻击，模拟客户端信息进行欺骗，或者窃取用户的有用信息。例如：窃听到客户的数据信息，或者一些有用的账户信息；另外，一个不合法的认证者设备，还可能对服务器发起拒绝服务等攻击，占用网络资源。

另外，在某些网络中，在802.1x认证服务器和客户端之间还存在有一些用于转发数据的中间设备，上述技术中没考虑到对这些中间设备进行认证，中间设备的物理地址MAC也就不能被认证者认可，因此这个MAC地址对网络的访问就会被认证者拒绝，也就无法实现通过远程登录服务协议Telnet对这些中间设备进行管理。

现有技术二中，为使认证者也同样能得到认证，将客户端功能引入作为认证者的网络接入设备的上行端口，使上行口可以启动认证程序并通过预配置的上行口接收认证请求报文，如以太网交换机的上行端口，将客户端对象绑定到以太网交换机的上行端口，使以太网交换机的上行端口成为802.1x协议中的客户端，可以主动要求上级端口进行认证，并接收认证请求报文。如此，使得认证者具有被认证的功能。

上述的现有技术二中的方法，虽考虑到对设备如何进行认证，但认证方法中需要先设置上行口，而上行口不能随意改动，因此，需要预先对设备作很多配置，而且一旦配置后，不能改动，这样对网络早期部署和后期扩容、维护都带来很大的不变。

发明内容

本发明要解决的技术问题是提供一种基于802.1x协议的网络设备认证方法，能够对所有接入网络中的设备进行认证。

为解决上述技术问题，本发明提供一种基于802.1x协议的网络设备认证方法，包括：

经预配置开启认证功能的网络设备向认证者发送认证开始报文；

认证者接收到认证开始报文后，认证服务器判断是否收到认证者的授权标志，如果收到且验证该授权标志为合法时，对该网络设备继续认证程序。

其中，网络设备周期性发起认证开始报文。

其中，认证者接收到认证开始报文后，进一步包括：

认证者获取发送认证开始报文的网络设备的用户标识并将该用户标识发送给认证服务器；

该方法中，认证服务器对接收到的认证者的授权标志验证为合法后，继续的认证程序包括：

认证服务器通过认证者向用户标识对应的客户端发送加密质询信息；

客户端接收到加密质询信息后，通过认证者向认证服务器反馈加密质询信息；

认证服务器根据反馈信息对用户进行认证，判断用户是否合法，如果是，则该网络设备认证成功；如果否，则该网络设备认证失败。

其中，该方法进一步包括：

如果该网络设备认证成功，则认证服务器根据预配置的信息判断得到该网络设备是认证服务器客户端之间转发数据的设备；

认证服务器根据判断结果授权该网络设备为认证者，该设备配置自身成为认证者需要使用的策略。