基于802.1X协议的网络接入设备与客户端握手的实现方法

摘要

本发明公开了一种基于802.1X协议的网络接入设备与客户端握手的实现方法，该方法利用客户端向接入设备发出包括客户端地址和约定组播地址的认证请求报文提供的客户端地址，在客户端认证成功后，按照握手时间间隔向客户端发出握手报文，客户端在收到握手报文后，按照握手时间间隔向接入设备发出握手响应报文，握手报文和握手响应报文采用802.1X协议的扩展认证协议的请求认证报文和扩展认证协议的响应认证报文，当接入设备和客户端在握手时间间隔内不能收到对方发出的报文超过规定的次数，分别进行客户下线处理和发出是否重新接入网络的提示，采用上述方案可以有效解决基于802.1X协议的网络计费、安全问题。

说明书

技术领域

本发明涉及网络接入设备与客户端握手的实现方法，尤其是基于802.1X协议的宽带接入网络中的网络接入设备与客户端握手的实现方法。

背景技术

目前的宽带接入网络中，通常依据基于端口的网络控制协议802.1X完成客户端的网络接入控制。在客户端接入网络过程中，在网络设备的物理接入级对接入的客户端进行认证和控制，也就是在以太网交换机或宽带接入设备的端口对接入的客户端进行认证和控制。连接在该类端口上的用户设备如果能通过认证，就可以访问网络内的资源；如果不能通过认证，则无法访问网络内的资源。802.1X的体系结构参考图2。该体系结构包括三个部分：客户端部分、网络接入设备部分和认证服务器部分。用户接入层设备需要实现802.1X的网络接入设备端部分，客户端部分一般安装在用户PC中；认证服务器部分一般驻留在运营商的计费、认证、授权中心。客户端与网络接入设备之间运行802.1X定义的客户端与设备端之间的认证协议(EAPOL协议)；设备端与认证服务器之间同样运行设备端与认证服务器之间的扩展认证协议(EAP协议)。网络接入设备部分内部有受控端口和非受控端口，非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务；受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。

由上述可知，在基于802.1X协议的网络接入中只能实现客户端的重认证，而无法实现接入设备与客户端之间的握手，因此将导致运营网络中存在一些严重的缺陷：一是由于在运营网络中时长的统计是根据用户认证通过和注销的间隔时间来计算的，这样，当客户端的异常关机或者客户端运行异常，都将导致客户端无法发出注销消息，进而导致客户端异常情况下按时长计费的偏差。二是导致客户端仿冒问题，例如，一个客户端认证通过后，未注销直接关机，另一个客户端接入后可能顶替前一个客户端访问网络。三是当设备端出现故障时不会提示用户网络故障。

发明内容

本发明的目的在于提供一种基于802.1X协议的网络接入设备与客户端握手的实现方法，使用该方法可以有效解决基于802.1X协议的网络计费、安全问题。

为达到上述目的，本发明提供的基于802.1X协议的网络接入设备与客户端握手的实现方法，包括：

(1)客户端向网络接入设备发出包括客户端地址和约定组播地址的认证请求报文；

(2)网络接入设备根据上述认证请求报文记录客户端地址，在客户端认证成功后，按照握手时间间隔向客户端发出握手报文，客户端在收到握手报文后，向网络接入设备发出握手响应报文。

步骤(2)所述网络接入设备向客户端发出握手报文为发出采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity)或地址解析协议(APR，Address Resolve Protocol)的请求认证报文(ARP-Request)。

步骤(2)所述客户端向网络接入设备发出握手响应报文为发出采用802.1X协议的扩展认证协议的认证响应报文(EAP-Response/Identity)或地址解析协议的认证响应报文(ARP-Reponse)。

所述方法还包括：

在客户端认证成功后，当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数，进行客户下线处理。

在客户端认证成功后，当客户端在握手时间间隔内不能收到网络接入设备发出的握手报文超过规定的次数，发出是否重新接入网络的提示。

由于本发明利用客户端向网络接入设备发出的认证请求报文中的接入设备地址和客户端地址，在客户端认证成功后，按照握手时间间隔向客户端发出握手报文，客户端在收到握手报文后立刻向网络接入设备发出握手响应报文，而且上述报文采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity)和802.1X协议的扩展认证协议的响应认证报文(EAP-Response/Identity)或者地址解析协议的ARP-Request和ARP-Response报文，这样，在设备端扩展出握手机制后，仍然能够支持标准的802.1X客户端，如WindowsXP，避免了大量更换客户端软件造成的困难和费用；当客户端出现异常情况时，例如计算机死机、掉电或异常关机，设备端可以及时检测客户端的状态，从而停止计费，避免造成计费纠纷；另外，原有的802.1X体系定义的重认证机制的时间间隔较长，因此在重认证间隔内，客户端存在仿冒的可能，如果利用重认证机制来防止客户端仿冒，必须将重认证间隔时间降到较低的程度，例如秒级，由于在运营网络上由于存在大量的客户端，大量的认证报文将淹没认证服务器，造成资源拥塞，实际上是不可行的，而本发明采用的EAP方式的握手报文与重认证发起报文完全相同，设备端根据状态机状态的不同区分是重认证还是握手，做到完全兼容802.1X协议描述的重认证机制，同时网络设备端和客户端之间握手的实现，可以及时发现仿冒的客户端，从而可以提高网络的安全度。

附图说明

图1是本发明所述方法实施例流程图；

图2是802.1X协议的体系结构图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细的描述。

本发明的实质在于扩展了标准802.1X协议的使用方式，利用标准协议报文实现了与重认证兼容的握手机制，使得当客户端异常时，接入设备能主动发现，并自动停止计费，同时还可以记录辨识客户端的物理地址，从而识别假冒用户。

图1是本发明所述方法实施例流程图。按照图1实施本发明，首先要设定握手时间间隔，当客户端需要接入网络时，在步骤1向网络接入设备发出包括客户端地址和约定组播地址的认证请求报文；该步骤实质上为客户端认证过程中发出认证请求报文的步骤。上述报文就是EAPOL协议报文。然后在步骤2，网络接入设备根据上述认证请求报文记录上述客户端地址。与本步骤同时进行的是客户端的认证操作，由于只有在客户端认证通过后才能进行接入设备与客户端之间的握手操作，因此在步骤3判断客户端的认证是否成功，如果未成功，同时结束认证和握手操作，如果客户端认证成功，则在步骤4接入设备按照设定的握手时间间隔按照步骤1记载的客户端地址以单播方式向客户端发出握手报文，客户端在收到握手报文后，也按照设定的握手时间间隔按照接入设备的地址向网络接入设备发出握手响应报文。本步骤中的网络接入设备向客户端发出握手报文有两种类型：EAP报文握手和ARP报文握手；

EAP报文握手类型为网络接入设备发出采用802.1X协议的扩展认证协议的请求认证报文(EAP-Request/Identity)，所述客户端回应握手响应报文为802.1X协议的扩展认证协议的响应认证报文(EAP-Response/Identity)

ARP报文握手为采用ARP协议的设备端发出的请求认证报文(ARP-Request)，对应的客户端响应报文为ARP-Response。

在步骤5接入设备和客户端分别进行握手的处理操作。该步骤所述的操作对于接入设备来说，要继续不断地按照设定的握手时间间隔发送握手报文，当网络接入设备在握手时间间隔内不能收到客户端发出的握手响应报文超过规定的次数，例如3次，则认为客户端离线，进行客户下线处理，在下线处理过程中完成计费停止操作。

步骤5所述的操作对于客户端来说，也要继续不断地按照设定的握手时间间隔发送握手响应报文，如果客户端在握手时间间隔内，例如5秒，不能收到网络接入设备发出的握手报文超过规定的次数，例如3次，则认为自己离线，因此发出是否重新接入网络的提示信息供操作者选择。

图1所述实施例指出的网络接入设备为网络交换机，例如以太网交换机。

从图1所述实施例可知，本发明的网络接入设备与客户端握手的实现方法与客户端的认证过是相兼容的，本发明利用了客户端的认证过程提供的接入设备和客户端的地址信息，在客户端认证通过后，继续进行网络接入设备与客户端握手的操作。由于握手操作采用的是802.1X协议中定义的标准报文或客户端普遍支持的ARP协议报文，因此在802.1X接入设备端扩展了上述握手操作后，客户端不需要做任何修改，就可以支持扩展握手功能的接入设备端。