[发明专利]安全认证策略配置方法、装置及系统

说明书

技术领域

本发明涉及安全认证技术领域，尤其涉及一种安全认证策略配置方法、装置及系统。

背景技术

现有技术中，三层网络架构是当前校园网中最为普遍的一种网络层次架构，三层网络架构分为接入层、汇聚层和核心层三个网络层次，在这种网络层次架构中，硬件功能较弱的接入设备上运行着非常多的功能，而硬件功能强大的核心设备上运行的功能却非常少，这就使得接入设备的故障率较高，而接入设备的数量往往是非常宏大的，因此就耗费了网络管理员大量的时间和精力来配置和维护数量众多的接入设备。

对此，现有技术提出，将校园网的网络层次架构由三层网络架构改造为扁平化网络架构，扁平化网络架构中只包含接入层和核心层，终端设备的网关通常在核心设备上。在这种网络层次架构中，硬件功能强大的核心设备承担起运行较多功能的任务，硬件功能较弱的接入设备上运行的功能较少，因此有效地降低了接入设备的故障率，节省了网络管理员的工作量。

当前，校园网络中存在着非法地址解析协议(ARP，Address Resolution Protocol)报文泛滥的问题，这些报文可能是恶意用户构造的，也可能是用户在无意识的情况下通过木马程序发出的，如果不对这些报文加以控制，就会造成用户使用的终端设备无法连接网络。为了解决该问题，网络管理员可以手动在接入设备中与终端设备直接通信的末端端口上配置安全认证策略，以此来对终端设备发送的报文进行安全认证控制，例如在末端端口上配置美国电气和电子工程师协会(IEEE，Institute of Electrical and Electronics Engineers)802.1X认证策略或网页(WEB)认证策略，当终端设备发送的报文到达末端端口时，末端端口根据配置的安全认证策略对报文进行安全认证，若未通过认证，则丢弃该报文，若通过认证，则绑定ARP后转发该报文，从而在报文发送的源头阻止终端设备发送非法ARP报文。

现有技术中，安全认证策略一般由网络管理员手工在接入设备的末端端口上进行配置，其基本过程是：网络管理员先在网管上找到要配置安全认证策略的接入设备，然后在接入设备的各接入端口中找到要配置安全认证策略的末端端口，网络管理员在末端端口上开启IEEE 802.1X认证策略或WEB认证策略。在扁平化网络架构中，接入设备通常有成百上千台，如果均由网络管理员来手工配置安全认证策略，则使得网络管理员的配置维护工作量非常大。现有技术还没有提出一种实现安全认证策略自动配置的具体实现方案。

发明内容

本发明实施例提供一种安全认证策略配置方法、装置及系统，用以提出一种实现安全认证策略自动配置的具体实现方案。

本发明实施例技术方案如下：

一种安全认证策略配置方法，该方法包括步骤：核心设备在各接入设备包含的接入端口中，确定与终端设备直接通信的各末端端口；所述核心设备针对包含末端端口的每个接入设备，分别发送安全认证策略配置报文；接入设备接收到所述安全认证策略配置报文后，针对自身包含的每个末端端口，分别进行安全认证策略的配置操作。

一种安全认证策略配置装置，包括：第一确定单元，用于在各接入设备包含的接入端口中，确定与终端设备直接通信的各末端端口；第一发送单元，用于针对包含第一确定单元确定出的末端端口的每个接入设备，分别发送安全认证策略配置报文。

一种核心设备，包括上述安全认证策略配置装置。

一种安全认证策略配置装置，包括：第一接收单元，用于接收核心设备发送的安全认证策略配置报文；第一配置操作单元，用于在第一接收单元接收到所述安全认证策略配置报文后，针对所述安全认证策略配置装置包含的每个末端端口，分别进行安全认证策略的配置操作。

一种接入设备，包括上述安全认证策略配置装置。

一种安全认证策略配置系统，包括上述核心设备和上述接入设备。

本发明实施例技术方案中，核心设备在各接入设备包含的接入端口中，确定与终端设备直接通信的各末端端口，然后针对包含末端端口的每个接入设备，分别发送安全认证策略配置报文，接入设备接收到所述安全认证策略配置报文后，针对自身包含的每个末端端口，分别进行安全认证策略的配置操作。由上可见，本发明实施例提出了一种实现安全认证策略自动配置的具体实现方案，而不再是由网络管理员进行手工配置，因此提高了安全认证策略的配置效率和可靠性。

附图说明

图1为本发明实施例中，安全认证策略配置系统结构示意图；

图2为本发明实施例中，安全认证策略配置系统具体实现架构示意图；

图3为本发明实施例中，安全认证策略配置方法流程示意图；