一种802.1X认证系统中重认证的实现方法

摘要

本发明公开了一种802.1X认证系统中重认证的实现方法，当用户终端登录网络时，客户端向设备端发送认证起始报文，触发802.1X认证过程，当认证成功后，认证服务器向设备端发认证成功报文，该方法还包括：设备端收到认证服务器发来的认证成功报文后，判断该认证成功报文中是否携带有重认证时间间隔属性Session－Timeout和终端操作属性Termination－Action，如果有，再判断Termination－Action属性值是否为1，如果是，则到达Session－Timeout属性值时触发重认证；否则，到达Session－Timeout属性值时切断当前用户的连接；如果只携带有Session－Timeout属性或两个属性均未携带，则设备端根据自身参数配置控制是否发起重认证。采用该方法可使802.1X设备端和认证服务器的重认证机制有机结合，从而完善802.1X认证系统中的重认证，并使该重认证的实现更灵活。

说明书

技术领域

本发明涉及一种重认证技术，特别是指一种802.1X认证系统中重认证的实现方法。

背景技术

802.1X协议是2001年6月电气和电子工程师协会(IEEE)标准化组织正式通过的基于端口的网络访问控制协议。IEEE 802.1X定义了基于端口的网络接入控制协议，其中，端口可以是物理端口，也可以是逻辑端口。

IEEE 802.1X的体系结构如图1所示，802.1X系统共有三个实体：客户端系统(Supplicant System)、设备端系统(Authenticator System)、认证服务器系统(Authentication Server System)。在客户端进一步包括客户端端口状态实体(PAE)，在设备端进一步包括设备端系统提供的服务和设备端端口状态实体，在认证服务器系统中进一步包括认证服务器；该认证服务器与设备端的端口状态实体相连，通过扩展认证协议(EAP)来交换设备端和认证服务器间的认证信息，客户端的端口状态实体直接连到局域网(LAN)上，设备端的服务和端口状态实体分别通过受控端口(Controlled Port)和非受控端口连接于局域网上，客户端和设备端通过客户端和设备端间的认证协议(EAPoL)进行通信。其中，Controlled Port负责控制网络资源和业务的访问。

如图1所示，设备端系统的内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)，该非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可保证随时接收和发送EAPoL协议帧；而受控端口只有在认证通过，即授权状态下才打开，用于传递网络资源和服务，也就是说，在认证未通过时该受控端口为未授权端口，受控端口可配置为双向受控、仅输入受控两种方式，以适应不同应用环境的需要。

基于图1所示的结构，以设备端对EAP报文进行中继转发为例，IEEE802.1X认证的具体实现过程如图2所示。其中，客户端和设备端之间通过EAPoL协议进行通信，本实施例中，采用用户远程拨号认证服务器(RADIUS)为认证服务器，设备端和RADIUS服务器之间通过EAPoR(EAP over Radius)协议进行通信。那么，该认证过程包括以下步骤：

步骤201：当用户登录网络时，客户端收到用户登录信息后，向设备端发送认证起始报文EAPoL-Start，触发认证过程。这里，如果客户端是动态分配地址的，认证起始报文也可能是DHCP请求报文；如果客户端是手工配置地址的，认证起始报文还可能是ARP请求报文。

步骤202：设备端收到客户端发来的EAPoL-Start报文后，向客户端发出请求用户名报文EAPoL-Request[Identity]，请求用户名。

步骤203：客户端收到设备端发来的EAPoL-Request[Identity]报文后，将用户名通过响应用户名报文EAPoL-Response[Identity]发给设备端。

步骤204：设备端收到客户端发来的EAPoL-Response[Identity]报文后，通过接入请求报文RADIUS Access-Request(EAPoL-Response[Identity])将用户名透传给RADIUS服务器。

步骤205：RADIUS服务器收到设备端透传过来的EAPoL-Response[Identity]报文后，向设备端发出请求用户密码报文EAP-Request[MD5 Challenge]，并通过密码请求报文RADIUS Access-Challenge(EAP-Request[MD5 Challenge])透传给设备端，向客户端进行MD5质询。

步骤206：设备端收到RADIUS服务器发来的EAP-Request[MD5 Challenge]报文后，通过EAPoL-Request[MD5 Challenge]透传给客户端。

步骤207：客户端收到设备端发来的EAPoL-Request[MD5 Challenge]报文后，将密码通过响向应用户密码报文EAPoL-Response[MD5 Challenge]发给设备端。

步骤208：设备端收到客户端发来的EAPoL-Response[MD5 Challenge]报文后，通过RADIUS Access-Request(EAP-Response[MD5 Challenge])报文透传给。

步骤209：RADIUS服务器收到设备端透传过来的EAP-Response[MD5Challenge]报文后进行认证，若认证成功，将认证成功报文EAP-Success通过允许接入报文RADIUS Access-Accept(EAP-Success)发送给设备端；否则，发认证失败报文EAP-Failure。

步骤210：设备端收到RADIUS服务器发来的EAP-Success报文后，通过EAPoL-Success报文透传给客户端；客户端收到设备端发来的EAPoL-Success报文后，通知用户认证成功；如果收到认证失败报文，则通知用户认证失败。

虽然，802.1X认证成功后，用户即可进行正常通信，但在通信过程中，合法用户有可能因异常情况发生而下线，也有可能出现非法用户替代合法用户进行通信的情况，故此，为了保证通信系统的安全可靠性，802.1X认证系统采用重认证机制。所谓重认证就是指在802.1X首次认证成功后，经过一段时间认证服务器可再对所连接的用户进行一次认证，以判断该用户是否还在线以及当前所连接的用户是否为合法用户。当然，重认证可进行多次，具体的重认证次数和间隔时间由认证服务器或设备端根据需要设定。

目前，802.1X协议中有两个属性与重认证机制有关，即：重认证时间间隔属性Session-Timeout和终端操作属性Termination-Action，同时，802.1X协议中规定：如果认证服务器在授权时下发了Session-Timeout属性，就必须带上Termination-Action属性，且Termination-Action属性的值必须为1，此时设备端进行重认证的时间间隔即为Session-Timeout属性的值。也就是说，下发的报文中只有两种情况：同时携带Session-Timeout和Termination-Action两个属性，或是不携带这两个属性中的任何一个，并且，要是携带了这两个属性，就必须进行重认证。

上述规定虽然能支持重认证的实现，但是，该规定存在以下两方面的问题：一方面，如果当前支持802.1X协议的认证服务器不想进行重认证，而是规定超时后切断用户，那么，按照目前的协议规定就不能实现；另一方面，如果当前的认证服务器不想进行重认证，而设备端想进行重认证，目前的协议规定也不支持。可见，现有技术中802.1X设备端和802.1X认证服务器在重认证机制上尚未完善，对重认证周期的控制未能有机结合，如此，不仅给运营商管理带来不便，而且限制了IEEE 802.1X认证系统中重认证机制的灵活性。

发明内容

有鉴于此，本发明的主要目的在于提供一种802.1X认证系统中重认证的实现方法，使802.1X设备端的重认证机制和802.1X认证服务器的重认证机制能够有机结合，从而完善802.1X认证系统中的重认证技术，并使802.1X认证系统中重认证技术的实现更具灵活性。

为达到上述目的，本发明的技术方案是这样实现的：

一种802.1X认证系统中重认证的实现方法，当用户终端登录网络时，802.1X客户端向802.1X设备端发送认证起始报文，触发802.1X认证过程，当认证成功后，802.1X认证服务器向802.1X设备端发认证成功报文，该方法还包括：

802.1X设备端收到802.1X认证服务器发来的认证成功报文后，判断该认证成功报文中是否携带有重认证时间间隔属性Session-Timeout和终端操作属性Termination-Action，如果携带有这两个属性，再判断Termination-Action属性值是否为1，如果是，则到达Session-Timeout属性值时触发重认证过程；否则，到达Session-Timeout属性值时切断当前用户的连接；如果该报文中只携带有Session-Timeout属性或两个属性均未携带，则802.1X设备端根据自身参数配置控制是否发起重认证。

上述方案中，所述802.1X设备端根据自身配置控制是否发起重认证进一步包括：802.1X设备端根据自身的参数配置判断是否需要重认证，如果不需要，则设置当前端口为被授权端口，并通过该端口进行通信；否则，设置当前端口为被授权端口，并通过该端口进行通信，同时设置重认证时间，时间到时触发重认证过程。

当Termination-Action属性值为0时，该方法进一步包括：禁止802.1X设备端和802.1X认证服务器中的任何一端发起重认证过程。

当认证成功报文中同时携带有Session-Timeout和Termination-Action两个属性时，该方法进一步包括：设置当前端口为被授权端口，并通过该端口进行通信。

该方法还进一步包括：重认证失败后，设置当前端口为非授权端口，并切断当前用户的连接。

由上述方案可以看出，本发明的关键在于：通过Session-Timeout和Termination-Action两个属性的相互配合来控制重认证，具体是在用户登录认证成功后，根据认证成功报文中所携带的属性及其值判断是否进行以及如何进行重认证。

在基于IEEE 802.1X的认证系统中，对802.1X协议进行扩展，改变对Termination-Action值为0、Session-Timeout属性单独下发以及Termination-Action属性和Session-Timeout属性均不下发三种情况的定义。因此，本发明所提供的802.1X认证系统中重认证的实现方法，增加了对认证服务器下发认证成功报文中所携带Session-Timeout和Termination-Action属性及其值的判断，通过这两个属性的相互配合来确定如何控制重认证的进行，即：如果Termination-Action＝1，则Session-Timeout到期就触发重认证过程；如果Termination-Action＝0，则Session-Timeout到期就切断用户，且禁止认证服务器或设备端发起重认证；如果只携带Session-Timeout属性或未携带这两个属性，则由802.1X设备端自己控制重认证的发生。如此，可完善IEEE 802.1X认证系统中的重认证机制，使服务器对重认证周期的控制和802.1X设备端对重认证周期的控制得以有机的结合，从而方便了运营商的管理，确保基于IEEE 802.1X认证系统的重认证机制能够灵活使用，有效解决了现有技术中的问题，且实现起来简单、可靠、高效。

附图说明

图1为IEEE 802.1X的体系结构示意图；

图2为802.1X系统中设备端对EAP报文进行中继转发时的消息流程图；

图3为本发明中重认证过程实现的流程图。

具体实施方式

下面结合附图及具体实施例对本发明再作进一步详细的说明。

为保证Session-Timeout和Termination-Action两个值能够相互配合，完成各种情况下的重认证，就要允许Termination-Action的值为0且Session-Timeout属性可单独下发。并且，设定Termination-Action值为1时，到达Session-Timeout值后开始重认证过程；Termination-Action值为0时，Session-Timeout到期就切断用户且不允许认证服务器或设备端任何一方进行重认证；当认证服务器下发的认证成功报文中只携带Session-Timeout属性或不携带这两个属性中的任何一个，则均由802.1X设备端控制重认证的周期。基于此，本发明在802.1X设备端收到认证成功报文后，增加了对该认证成功报文中携带涉及重认证属性个数及属性值的判断，以决定是否需要触发重认证和如何触发重认证。

如图3所示，本发明的重认证过程包括以下步骤：

步骤301～303：设备端收到认证服务器下发的认证成功报文后，判断该认证成功报文中是否携带有Session-Timeout和Termination-Action两个属性，如果是，则进入步骤304；否则，如果两个属性均未携带或只携带有Session-Timeout属性，则由802.1X的设备端，即认证接入点来控制是否进行重认证以及重认证周期的设定。也就是说，此种情况下，802.1X设备端可以根据自身的参数配置决定是否需要进行重认证，如果需要，则由设备端自己设定所需的重认证时间，比如：在设备端预先设置一个重认证定时器，需要重认证时启动定时器，定时器超时即开始重认证过程。

步骤304～306：再判断所携带的Termination-Action值是否为1，如果是，则当Session-Timeout到期时，马上开始重认证过程，即：重新对当前用户的用户名和密码等信息进行确认，该重认证过程与首次认证过程完全相同；否则，如果Termination-Action值为0，则当Session-Timeout到期时，立即切断当前用户的连接，且认证服务器和802.1X设备端均不支持重认证，即：这种情况下，任何一端都不会发起重认证。

仍以设备端对EAP报文进行中继转发为例，本实施例中，认证服务器为RADIUS服务器，再参见图2所示，RADIUS服务器下发的认证成功报文中会携带EAP-Success和有关重认证属性信息，步骤209a和210a、步骤209b和210b以及步骤209c和210c分别表示RADIUS服务器下发认证成功报文中携带有关重认证属性参数的三种情况：

1)步骤209a和210a表示：RADIUS服务器发送给设备端的认证成功报文RADIUS Access-Accept(EAP-Success)或RADIUS Accounting-request(EAP-Success)中带有Session-Timeout和Termination-Action两个属性，且Termination-Action的值为0，那么，设备端的当前端口被授权，可用来传递网络资源和服务，但当Session-Timeout到期时，就要将当前用户切断，并将当前端口改为未授权，且这种情况下，认证服务器和802.1X设备端中的任何一端都不会发起重认证。

2)步骤209b和210b表示：RADIUS服务器发送给设备端的认证成功报文RADIUS Access-Accept(EAP-Success)或RADIUS Accounting-request(EAP-Success)中带有Session-Timeout和Termination-Action两个属性，且Termination-Action的值为1，那么，设备端的受控端口被授权，可用来传递网络资源和服务，且当Session-Timeout到期时，要对当前用户进行重认证，重认证的过程如步骤211～步骤219所示。如果重认证成功，当前端口仍处于被授权状态，当前用户继续通信，如果重认证失败，则当前端口被置为非授权，要切断当前用户的连接。

3)步骤209c和210c表示：RADIUS服务器发送给设备端的认证成功报文RADIUS Access-Accept(EAP-Success)或RADIUS Accounting-request(EAP-Success)中只带有Session-Timeout一个属性，那么，由设备端自己决定是否需要进行重认证，如果需要，则设定一个重认证时间，到时即开始重认证过程，该重认证过程同样如步骤211～步骤219所示。如果重认证成功，当前端口仍处于被授权状态，当前用户继续通信，如果重认证失败，则当前端口被置为非授权，要切断当前用户的连接。此种情况下，不考虑Session-Timeout的具体值是多少。

另外，图2中未示，如果RADIUS服务器发送给设备端的认证成功报文RADIUS Access-Accept(EAP-Success)或RADIUS Accounting-request(EAP-Success)中未携带Session-Timeout和Termination-Action两个属性中的任何一个，那么，同样由设备端自己决定是否需要进行重认证，如果需要，则设定一个重认证时间，到时即开始重认证过程，该重认证过程同样如步骤211～步骤219所示。如果重认证成功，当前端口仍处于被授权状态，当前用户继续通信，如果重认证失败，则当前端口被置为非授权，要切断当前用户的连接。此种情况下，不考虑Session-Timeout的具体值是多少。

由于目前的WLAN网络主要采用802.1X系列协议，因此，本发明中的重认证方法可直接用于WLAN网络的通信过程中。

以上所述，仅为本发明的较佳实施例而已，并非用来限定本发明的保护范围。