[发明专利]通过交换站对第一设备进行认证

说明书

为了获得对物理网络的访问，想获得访问的设备通过上级实体、例如交换机被认证。一旦交换机在端口处检测到未知的MAC地址，则所属的设备必须被鉴权。本发明涉及用于在网络内通过交换站对第一设备进行简化的认证的方法、第一设备和交换站，其中考虑通过使用附加的、例如虚拟的网络接口形成的请求。在此，由设备借助证书递送附加的MAC地址用于认证，使得具有多个MAC地址的设备在一次性认证过程中获得从多个MAC地址对网络的访问。

技术领域

本发明涉及用于在网络内通过交换站对第一设备进行认证的方法、第一设备和交换站。

背景技术

为了获得对物理网络的访问，想要获得访问的设备通过上级实体被认证。认证经常借助标准IEEE 802.1X发生，其中所述认证通常通过有IEEE 802.1X能力的交换机实现，所述设备连接在所述交换机的端口上。在此情况下，通过MAC地址（Media Access Control-Adresse（媒体访问控制地址））来实现对设备的标识。一旦交换机在端口处检测到未知的MAC地址，或物理连接被中断，则所属的设备必须重新被鉴权，或者说所述设备必须通过交换机被重新认证。

虚拟化解决方案日益增加地不仅被使用在服务器环境中，而且被使用在客户端领域中。这导致，客户端设备除了物理网络接口之外，还拥有带有附加MAC地址的虚拟接口。

由现有技术已知了有IEEE 802.1X能力的交换机，其支持所谓的多主机认证（Multihost-Authentification）。在此情况下，仅认证第一访问。连接在交换机的同一端口上的虚拟网络接口或者所有其他设备不必附加地被鉴权。

此外，由现有技术已知有IEEE 802.1X能力的交换机，其支持所谓的多域认证（Multi-Domain-Authentification）。在此情况下，每个设备或者每个网络接口（也为虚拟网络接口）必须重新鉴权，因为在物理网络上可见的虚拟MAC地址对于交换机是未知的。

类似的在自动化环境中适用：Profinet设备除了MAC地址以外每个网络接口地还附加地具有设备特定的MAC地址。

发明内容

以此为背景，本发明的任务在于：实现在网络内的简化的认证过程的可能性，其中考虑通过使用附加的网络接口所形成的请求。

该任务通过根据在独立权利要求中说明的特征的方法、第一设备和交换站被解决。

有利的实施方式和改进方案在从属权利要求中得以说明。

下面所提及的优点不必必然地通过独立权利要求的主题实现。更确切地说，这里也可以涉及仅通过各个实施方式或改进方案所实现的优点。

根据本发明，用于在网络内通过交换站对第一设备进行认证的方法具有以下步骤：

第一设备在数据结构的身份区域中将第一标识符传送给交换站。第一设备在数据结构的扩展的身份区域中将至少一个附加的标识符传送给交换站。交换站根据所传送的第一标识符和所传送的附加的标识符认证第一设备。

按照所描述的方法通过交换站被认证的设备补充地说明：应该针对哪些网络接口附加地进行认证。因此，第一设备在网络内基于其物理网络接口仅须鉴权一次。同时，通过第一设备说明：应该针对哪些附加的网络接口同样地进行认证。

然而，从而保证：其他设备或其虚拟网络接口（其连接到交换机的同一端口上）必须如所期望的那样被鉴权。因此每个设备在一次性认证过程中进行认证，其中，授权从多个网络接口对网络的访问。

按照一种实施方式，第一设备传送属于物理网络接口的第一媒体访问控制地址作为第一标识符并且传送属于虚拟网络接口的附加的媒体访问控制地址或者属于物理网络接口的第二媒体访问控制地址作为附加的标识符。