认证失败后配置业务通道的方法、系统和认证服务器转让专利
申请号 : CN200610111378.4
文献号 : CN100596070C
文献日 : 2010-03-24
发明人 : 魏家宏 , 万席峰
申请人 : 华为技术有限公司
摘要 :
本发明公开了认证失败后配置业务通道的方法、系统和认证服务器。所述方法包括:认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;认证者根据业务通道属性为请求者配置业务通道。所述系统包括:认证服务器,进一步用于在判断请求者不合法时,根据预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送;认证者,进一步用于根据业务通道属性为请求者配置业务通道。本发明还对认证服务器进行了改进。本发明可以在接入认证失败后自动、动态地配置业务通道,使得配置业务通道更加灵活、方便,降低了维护成本。
权利要求 :
1、一种认证失败后配置业务通道的方法,其特征在于,包括:认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求 者分配业务通道属性,并向认证者发送携带有所述业务通道属性的接入拒绝消 息;
认证者根据所述携带在接入拒绝消息的业务通道属性为请求者配置用于 访问受限网络资源的业务通道。
2、如权利要求1所述的认证失败后配置业务通道的方法,其特征在于, 所述发送具体为:认证服务器使用远程拨号用户认证服务RADIUS协议向认 证者发送。
3、一种认证失败后配置业务通道的系统,其特征在于,包括:认证服务器,用于在判断请求者不合法时,根据预置的业务通道属性信息 为请求者分配业务通道属性,并向认证者发送携带有所述业务通道属性的接入 拒绝消息;
认证者,用于根据所述携带在接入拒绝消息的业务通道属性为请求者配置 用于访问受限网络资源的业务通道。
4、如权利要求3所述的认证失败后配置业务通道的系统,其特征在于, 认证者和认证服务器之间通信使用远程拨号用户认证服务RADIUS协议。
5、一种认证服务器,其特征在于,包括:
存储单元,用于储存业务通道属性信息;
分配单元,用于在请求者认证失败后,根据存储单元中预置的业务通道属 性信息为请求者分配业务通道属性;
发送单元,用于将分配好的业务通道属性承载在接入拒绝消息中向认证者 发送,以使所述认证者根据所述携带在接入拒绝消息的业务通道属性为请求者 配置用于访问受限网络资源的业务通道。
说明书 :
技术领域
本发明涉及宽带接入技术领域,尤其涉及认证失败后配置业务通道的方 法、系统和认证服务器。
背景技术
随着ADSL、LAN等接入技术的成熟,宽带接入的应用越来越广泛。在 宽带接入过程中,接入认证是非常重要的一环,是确保网络安全,实现用户管 理的重要手段。
接入认证的系统主要包括三个部分:请求者(supplicant),指请求接入网 络的用户终端或网络设备,是被认证的实体,如个人电脑。认证者 (Authenticator),也是接入设备,是执行认证的实体,是接收请求者认证请求 的设备,如宽带远程接入服务器(Broadband Remote Access Serve,BRAS)。 认证服务器(Authentication Server),是给认证者提供认证服务的实体,如远 程拨号用户认证服务(Remote Authentication Dial in User Service,RADIUS)服务 器。
在请求者进行接入认证时,请求者发起认证请求,认证者通过验证授权计 费(Authentication Authorization Accounting,AAA)协议向认证服务器发起接 入请求。认证服务器查找数据库,如果请求者认证通过,认证服务器可以根据 用户的业务类型和业务权限信息,给用户授权配置用户QOS策略,配置访问 控制策略。授权过程中,认证者根据认证服务器返回的消息中的相关属性,比 如通道属性,VLAN属性等等,来配置用户端口映射的上行业务通道,比如 VLAN或者其他通道标识。因此用户在通过认证后,可以访问到相应的网络资 源。如果认证失败,接入设备,即认证者不给用户端口配置任何上行业务通道, 因此用户无法访问任何网络资源。
但是对于运营商来说,希望用户没有通过认证时也能访问一些受限的网络 资源,比如业务的广告页面,用来吸引用户开通业务,或者申请开通业务的页 面,用来供用户网上申请业务开通。还有个用途是,使得用户可以下载一些上 网需要的软件,如认证客户端软件。因此,在用户认证失败后,运营商希望给 用户配置缺省的业务通道,使得用户可以访问受限的网络资源。
目前,一种在用户认证失败后给用户配置业务通道的方法是:通过管理员 在每台接入设备即认证者上手工为用户端口配置一个缺省的业务通道,还可以 为整个设备配置缺省的业务通道。在认证失败后,用户通过缺省的业务通道访 问受限的网络资源。
上述技术由人工配置缺省的业务通道,配置工作需要在每台接入设备上进 行,修改也需要在每台接入设备上进行,工作量大,成本高;而且采用手工配 置,每次用户获得的业务通道是不变的,属于静态配置,配置方式不灵活。
接入认证的系统主要包括三个部分:请求者(supplicant),指请求接入网 络的用户终端或网络设备,是被认证的实体,如个人电脑。认证者 (Authenticator),也是接入设备,是执行认证的实体,是接收请求者认证请求 的设备,如宽带远程接入服务器(Broadband Remote Access Serve,BRAS)。 认证服务器(Authentication Server),是给认证者提供认证服务的实体,如远 程拨号用户认证服务(Remote Authentication Dial in User Service,RADIUS)服务 器。
在请求者进行接入认证时,请求者发起认证请求,认证者通过验证授权计 费(Authentication Authorization Accounting,AAA)协议向认证服务器发起接 入请求。认证服务器查找数据库,如果请求者认证通过,认证服务器可以根据 用户的业务类型和业务权限信息,给用户授权配置用户QOS策略,配置访问 控制策略。授权过程中,认证者根据认证服务器返回的消息中的相关属性,比 如通道属性,VLAN属性等等,来配置用户端口映射的上行业务通道,比如 VLAN或者其他通道标识。因此用户在通过认证后,可以访问到相应的网络资 源。如果认证失败,接入设备,即认证者不给用户端口配置任何上行业务通道, 因此用户无法访问任何网络资源。
但是对于运营商来说,希望用户没有通过认证时也能访问一些受限的网络 资源,比如业务的广告页面,用来吸引用户开通业务,或者申请开通业务的页 面,用来供用户网上申请业务开通。还有个用途是,使得用户可以下载一些上 网需要的软件,如认证客户端软件。因此,在用户认证失败后,运营商希望给 用户配置缺省的业务通道,使得用户可以访问受限的网络资源。
目前,一种在用户认证失败后给用户配置业务通道的方法是:通过管理员 在每台接入设备即认证者上手工为用户端口配置一个缺省的业务通道,还可以 为整个设备配置缺省的业务通道。在认证失败后,用户通过缺省的业务通道访 问受限的网络资源。
上述技术由人工配置缺省的业务通道,配置工作需要在每台接入设备上进 行,修改也需要在每台接入设备上进行,工作量大,成本高;而且采用手工配 置,每次用户获得的业务通道是不变的,属于静态配置,配置方式不灵活。
发明内容
本发明要解决的技术问题是提供认证失败后配置业务通道的方法、系统和 认证服务器,以达到降低配置成本,配置方式更灵活的目的。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的:
一种认证失败后配置业务通道的方法,包括:
认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求 者分配业务通道属性并向认证者发送携带有所述业务通道属性的接入拒绝消 息;
认证者根据所述携带在接入拒绝消息的业务通道属性为请求者配置用于 访问受限网络资源的业务通道。
其中,所述发送具体为:认证服务器使用RADIUS协议向认证者发送。
一种认证失败后配置业务通道的系统,包括:
认证服务器,进一步用于在判断请求者不合法时,根据预置的业务通道属 性信息为请求者分配业务通道属性并向认证者发送携带有所述业务通道属性 的接入拒绝消息;
认证者,进一步用于根据所述携带在接入拒绝消息的业务通道属性为请求 者配置用于访问受限网络资源的业务通道。
其中,认证者和认证服务器之间通信使用RADIUS协议。
一种认证服务器,包括:
存储单元,用于储存业务通道属性信息;
分配单元,用于在请求者认证失败后,根据存储单元中预置的业务通道属 性信息为请求者分配业务通道属性;
发送单元,用于将分配好的业务通道属性承载在接入拒绝消息中向认证者 发送,以使所述认证者根据所述携带在接入拒绝消息的业务通道属性为请求者 配置用于访问受限网络资源的业务通道。
以上技术方案可以看出,在本发明中,请求者认证失败后,根据预置的业 务通道属性信息为请求者分配业务通道属性,认证者根据收到的业务通道属 性,把该请求者端口配置到这个业务通道中,避免了手工配置业务通道,实现 了自动配置,大大减少工作量,降低了成本;认证者根据认证服务器分配的业 务通道属性,为请求者配置业务通道,而认证服务器上的业务通道属性是可以 根据预置的分配策略动态调整的,进而认证者为请求者配置业务通道也是动态 的,可以分配到的业务通道属性是多样的,这样的配置方式更加灵活,更加容 易满足不同运营商的需求。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的:
一种认证失败后配置业务通道的方法,包括:
认证服务器在判断请求者不合法时,根据预置的业务通道属性信息为请求 者分配业务通道属性并向认证者发送携带有所述业务通道属性的接入拒绝消 息;
认证者根据所述携带在接入拒绝消息的业务通道属性为请求者配置用于 访问受限网络资源的业务通道。
其中,所述发送具体为:认证服务器使用RADIUS协议向认证者发送。
一种认证失败后配置业务通道的系统,包括:
认证服务器,进一步用于在判断请求者不合法时,根据预置的业务通道属 性信息为请求者分配业务通道属性并向认证者发送携带有所述业务通道属性 的接入拒绝消息;
认证者,进一步用于根据所述携带在接入拒绝消息的业务通道属性为请求 者配置用于访问受限网络资源的业务通道。
其中,认证者和认证服务器之间通信使用RADIUS协议。
一种认证服务器,包括:
存储单元,用于储存业务通道属性信息;
分配单元,用于在请求者认证失败后,根据存储单元中预置的业务通道属 性信息为请求者分配业务通道属性;
发送单元,用于将分配好的业务通道属性承载在接入拒绝消息中向认证者 发送,以使所述认证者根据所述携带在接入拒绝消息的业务通道属性为请求者 配置用于访问受限网络资源的业务通道。
以上技术方案可以看出,在本发明中,请求者认证失败后,根据预置的业 务通道属性信息为请求者分配业务通道属性,认证者根据收到的业务通道属 性,把该请求者端口配置到这个业务通道中,避免了手工配置业务通道,实现 了自动配置,大大减少工作量,降低了成本;认证者根据认证服务器分配的业 务通道属性,为请求者配置业务通道,而认证服务器上的业务通道属性是可以 根据预置的分配策略动态调整的,进而认证者为请求者配置业务通道也是动态 的,可以分配到的业务通道属性是多样的,这样的配置方式更加灵活,更加容 易满足不同运营商的需求。
附图说明
图1为本发明方法主要流程图;
图2为本发明方法具体流程图;
图3为本发明方法中具体实施方式流程图;
图4为本发明系统结构图;
图5为本发明认证服务器的结构图。
图2为本发明方法具体流程图;
图3为本发明方法中具体实施方式流程图;
图4为本发明系统结构图;
图5为本发明认证服务器的结构图。
具体实施方式
本发明要解决的技术问题是,在接入认证中,请求者认证失败后,如何以 较低成本,灵活地为请求者配置业务通道,使得请求者可以访问受限的网络资 源。
接入认证系统主要包括三个部分:请求者,认证者,认证服务器。下面先 对这三个部分进行进一步的介绍,以利于本发明技术方案的理解。
请求者,指请求接入网络的用户终端或网络设备,是被认证的实体,请求 访问那些通过认证者来访问的服务,如个人电脑。请求者首先与一个认证者关 联,然后再通过认证服务器认证自己的身份来完成访问请求。
请求和认证者由一个逻辑或物理的点对点局域网段连接起来。
认证者,即接入设备,是执行认证的实体,是接收请求者认证请求的设备, 如宽带远程接入服务器(Broadband Remote Access Serve,BRAS)。
认证服务器,给认证者提供认证服务的实体,如RADIUS服务器。为了 检验请求者的凭证,认证者使用一个认证服务器。认证服务器代表认证者检查 请求者的凭证,然后向认证者做出响应,指出请求者是否被授权访问认证者的 服务。认证服务器可以是RADIUS服务器等等。
目前应用最广的认证服务器是RADIUS认证服务器。认证包含三个方面 内容:鉴别(Authentication)、授权(Authorization)、计费(Accounting), 所以认证服务器又叫AAA服务器。RADIUS协议是目前应用最广泛,并已发 展成为事实上的AAA标准协议。RADIUS用户认证系统功能特点如下:不仅 支持RADIUS标准协议,支持以太网上点到点协议(Point-to-Point Protocol over Ethernet,PPPOE)、动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)等多种接入认证方式,支持可扩展身份验证协议(Extensible Authentication Protocol,EAP)。
在接入认证过程中,请求者发起认证请求,认证者通过验证授权计费AAA 协议向认证服务器发起接入请求。认证服务器查找数据库,如果请求者认证通 过,认证服务器可以根据用户的业务类型和业务权限信息,给用户授权配置用 户业务质量(Quality of Service,QOS)策略,配置访问控制策略,配置用户 端口映射的上行业务通道,比如VLAN或者其他通道标识。
本发明着重探讨的是,如果认证失败,如何以较低的成本,灵活地为请求 者配置业务通道,使得请求者可以访问一些受限的网络资源。
本发明在认证失败后配置业务通道方法的基本思路是:将要配置的,可以 访问受限业务通道的属性信息存储于认证服务器上,在认证服务器根据数据库 信息判断请求者标识不合法,即认证失败时,根据预置的业务通道属性信息为 请求者分配业务通道属性;认证者根据业务通道属性为请求者配置用于访问受 限网络资源的业务通道。
结合整个认证过程,参阅图1,本发明在认证失败后配置业务通道方法的 主要流程是:
步骤101、请求者向认证者发起接入认证请求。
步骤102、认证者通过AAA协议向认证服务器发起接入请求。
步骤103、认证服务器在判断请求者标识不合法时,根据预置的业务通道 属性信息为请求者分配业务通道属性,并向认证者发送。
步骤104、认证者根据业务通道属性,为请求者配置业务通道。
请参阅图2,本发明方法的具体流程包括步骤:
步骤201、请求者向认证者发送开始消息,以表达需要进行接入认证的意 愿。
步骤202、认证者向请求者发送认证请求消息。
步骤203、请求者返回认证响应消息,同时将自身的身份信息发送到认证 者。
步骤204、认证者通过AAA协议向认证服务器发起接入请求,同时将请 求者的身份信息发送到认证服务器。
步骤205、认证服务器查询数据库中预存的请求者身份信息,对比收到的 请求者身份信息,以确定请求者身份的合法性。
步骤206、认证服务器在确定请求者身份不合法时,根据预置的业务通道 属性信息为请求者分配业务通道属性,并在向认证者发送的接入拒绝消息中携 带所述业务通道属性。
预置的业务通道属性信息里一般包含有业务通道属性,以及与之对应的分 配策略。
其中,分配业务通道属性的方式为:根据请求者的用户类型,或者请求者 所属的认证者身份来分配业务通道属性。
步骤207、认证者在检查到接入拒绝消息中的业务通道属性时,根据业务 通道属性,为请求者配置用于访问受限网络资源的业务通道。
步骤208、认证者向请求者发送接入认证失败响应。
在本发明提供的具体的实施方式中,请求者和认证者之间的协议为 802.1X,认证者和认证服务器之间的协议为RADIUS协议,认证服务器为 RADIUS服务器。结合附图3,具体实施例的步骤为:
步骤301、请求者将EAP消息封装,并向认证者发起开始消息 EAPOL-Start。
可扩展身份认证协议(Extensible Authentication Protocol,EAP)是802.1X 用来提供标准接入认证机制的协议。局域网上的可扩展身份验证协议(EAP over LAN,EAPOL)是一种封装EAP消息的方法,即802.1X协议,使得EAP 消息能够向认证者发送。
步骤302、认证者向请求者发送请求消息EAPOL EAP-Request(Identity)。
步骤303、请求者向认证者发送响应消息EAPOL EAP-Response(Identity)。
步骤304、认证者将EAPOL封装解除,再将EAP消息封装在RADIUS 消息里,向RADIUS服务器发送请求认证消息RADIUS Access Request(EAP-Message/EAP-Response/Ientity)。
要进行封装的原因是,请求者、认证者之间的协议,和认证者、认证服务 器之间的协议是不同的,请求者与认证者之间使用的EAP消息要向RADIUS 服务器发送前,需要进行封装,将EAP报文封装在RADIUS消息内,因为与 EAP有关的代码存储在认证者上,RADIUS服务器上不需要直接读取EAP消 息,而是读取将EAP封装起来的RADIUS消息。RADIUS协议通过利用 EAP-Message和Message-Authenticator属性来支持EAP。所有的属性由 Type-Length-Value三元组成。
步骤305、RADIUS服务器向认证者发送带随机数的质询消息RADIUS Access Challenge(EAP-Message/EAP-Request)。
步骤306、认证者向请求者发送请求消息EAPOL EAP-Request,同时也将 随机数带给请求者。
步骤307、请求者根据上述随机数将请求者身份信息加密,向认证者发送 响应消息EAPOL EAP-Response。
步骤308、认证者向RADIUS服务器发送认证请求消息RADIUS Access Request(EAP-Message/EAP-Response)。
步骤309、RADIUS服务器查找数据库中预先保存的用户密码,根据预置 的用户密码和相同的随机数进行加密,对比加密的结果与接收到的在步骤307 中生成的加密结果不一致时,则判断请求者标识不合法,根据预置的业务通道 属性信息为请求者分配业务通道属性,并在向认证者返回携带所述业务通道属 性的接入拒绝消息RADIUS Access Reject(EAP-Message/EAP-Fail/Tunnel)。
其中,预置的业务通道属性信息里一般包含有业务通道属性,以及与之对 应的分配策略。当然,向认证者发送业务通道属性的方法,不仅仅局限于由接 入拒绝消息携带给认证者的发送方式,也可以采用单独将业务通道属性发送给 认证者的发送方式。
在本发明中,业务通道属性存储于认证服务器,业务通道属性由认证服务 器来分配。
其中,RADIUS服务器根据请求者的用户类型,或者请求者所属的认证者 身份来分配业务通道属性。需要说明的是,认证服务器分配业务通道属性的方 式并不局限于此。
步骤310、认证者在检查到接入拒绝消息中的业务通道属性时,根据业务 通道属性,为请求者配置用于访问受限网络资源的业务通道。
在现有技术中,认证者在接收到接入拒绝消息时,不进行任何操作。在本 实施例中,即使返回的是接入拒绝消息,也要对其进行检查,以确定其是否含 有业务通道属性。
步骤311、认证者向请求者发送接入认证失败消息EAPOL EAP-Fail。
请参阅图4,本发明还提供了一种认证失败后配置业务通道的系统,该系 统对401认证服务器、402认证者的功能进行了改进,改进后:
401认证服务器,进一步用于根据数据库信息判断请求者不合法时,根据 预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送。
402认证者,进一步用于根据业务通道属性为请求者配置用于访问受限网 络资源的业务通道。
在本发明提供的实施例中,402认证者和401认证服务器之间的连接关系 为:
在请求者发起接入认证的过程中:402认证者接收请求者发送的开始消 息,向请求者发送认证请求消息,接收请求者返回的认证响应消息。
在402认证者利用401认证服务器提供的认证服务为请求者认证身份的过 程中:402认证者通过AAA协议向401认证服务器发起接入请求;402认证 服务器查询数据库,以确定请求者身份的合法性。
在接入认证失败后:401认证服务器在确定请求者身份不合法时,根据预 置的业务通道属性信息为请求者分配业务通道属性,并向402认证者返回携带 所述业务通道属性的接入拒绝消息;402认证者在检查到接入拒绝消息中的业 务通道属性时,根据业务通道属性,为请求者配置用于访问受限网络资源的业 务通道;402认证者向请求者发送接入认证失败响应。
本发明具体对401认证服务器进行了改进,参阅图5,改进后,401认证 服务器包括:501存储单元、502分配单元和503发送单元。
501存储单元,用于储存业务通道属性,以使得401认证服务器可以获取 预置好的业务通道属性,为认证失败的请求者分配用于访问受限网络资源的业 务通道的属性。
502分配单元,用于在请求者认证失败后,为请求者分配501存储单元中 的业务通道属性。分配的一般方法是,根据请求者的用户类型,或者请求者所 属的认证者身份来分配业务通道属性。需要说明的是,分配业务通道属性的方 式并不局限于此。
503发送单元,用于将分配好的业务通道属性向402认证者发送。向402 认证者发送业务通道属性的方法有,由接入拒绝消息来携带给402认证者,或 者单独将业务通道属性发送给402认证者等多种发送方式。
以上对本发明所提供的认证失败后配置业务通道的方法、系统和认证服务 器进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了 阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时, 对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用模块 范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
接入认证系统主要包括三个部分:请求者,认证者,认证服务器。下面先 对这三个部分进行进一步的介绍,以利于本发明技术方案的理解。
请求者,指请求接入网络的用户终端或网络设备,是被认证的实体,请求 访问那些通过认证者来访问的服务,如个人电脑。请求者首先与一个认证者关 联,然后再通过认证服务器认证自己的身份来完成访问请求。
请求和认证者由一个逻辑或物理的点对点局域网段连接起来。
认证者,即接入设备,是执行认证的实体,是接收请求者认证请求的设备, 如宽带远程接入服务器(Broadband Remote Access Serve,BRAS)。
认证服务器,给认证者提供认证服务的实体,如RADIUS服务器。为了 检验请求者的凭证,认证者使用一个认证服务器。认证服务器代表认证者检查 请求者的凭证,然后向认证者做出响应,指出请求者是否被授权访问认证者的 服务。认证服务器可以是RADIUS服务器等等。
目前应用最广的认证服务器是RADIUS认证服务器。认证包含三个方面 内容:鉴别(Authentication)、授权(Authorization)、计费(Accounting), 所以认证服务器又叫AAA服务器。RADIUS协议是目前应用最广泛,并已发 展成为事实上的AAA标准协议。RADIUS用户认证系统功能特点如下:不仅 支持RADIUS标准协议,支持以太网上点到点协议(Point-to-Point Protocol over Ethernet,PPPOE)、动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)等多种接入认证方式,支持可扩展身份验证协议(Extensible Authentication Protocol,EAP)。
在接入认证过程中,请求者发起认证请求,认证者通过验证授权计费AAA 协议向认证服务器发起接入请求。认证服务器查找数据库,如果请求者认证通 过,认证服务器可以根据用户的业务类型和业务权限信息,给用户授权配置用 户业务质量(Quality of Service,QOS)策略,配置访问控制策略,配置用户 端口映射的上行业务通道,比如VLAN或者其他通道标识。
本发明着重探讨的是,如果认证失败,如何以较低的成本,灵活地为请求 者配置业务通道,使得请求者可以访问一些受限的网络资源。
本发明在认证失败后配置业务通道方法的基本思路是:将要配置的,可以 访问受限业务通道的属性信息存储于认证服务器上,在认证服务器根据数据库 信息判断请求者标识不合法,即认证失败时,根据预置的业务通道属性信息为 请求者分配业务通道属性;认证者根据业务通道属性为请求者配置用于访问受 限网络资源的业务通道。
结合整个认证过程,参阅图1,本发明在认证失败后配置业务通道方法的 主要流程是:
步骤101、请求者向认证者发起接入认证请求。
步骤102、认证者通过AAA协议向认证服务器发起接入请求。
步骤103、认证服务器在判断请求者标识不合法时,根据预置的业务通道 属性信息为请求者分配业务通道属性,并向认证者发送。
步骤104、认证者根据业务通道属性,为请求者配置业务通道。
请参阅图2,本发明方法的具体流程包括步骤:
步骤201、请求者向认证者发送开始消息,以表达需要进行接入认证的意 愿。
步骤202、认证者向请求者发送认证请求消息。
步骤203、请求者返回认证响应消息,同时将自身的身份信息发送到认证 者。
步骤204、认证者通过AAA协议向认证服务器发起接入请求,同时将请 求者的身份信息发送到认证服务器。
步骤205、认证服务器查询数据库中预存的请求者身份信息,对比收到的 请求者身份信息,以确定请求者身份的合法性。
步骤206、认证服务器在确定请求者身份不合法时,根据预置的业务通道 属性信息为请求者分配业务通道属性,并在向认证者发送的接入拒绝消息中携 带所述业务通道属性。
预置的业务通道属性信息里一般包含有业务通道属性,以及与之对应的分 配策略。
其中,分配业务通道属性的方式为:根据请求者的用户类型,或者请求者 所属的认证者身份来分配业务通道属性。
步骤207、认证者在检查到接入拒绝消息中的业务通道属性时,根据业务 通道属性,为请求者配置用于访问受限网络资源的业务通道。
步骤208、认证者向请求者发送接入认证失败响应。
在本发明提供的具体的实施方式中,请求者和认证者之间的协议为 802.1X,认证者和认证服务器之间的协议为RADIUS协议,认证服务器为 RADIUS服务器。结合附图3,具体实施例的步骤为:
步骤301、请求者将EAP消息封装,并向认证者发起开始消息 EAPOL-Start。
可扩展身份认证协议(Extensible Authentication Protocol,EAP)是802.1X 用来提供标准接入认证机制的协议。局域网上的可扩展身份验证协议(EAP over LAN,EAPOL)是一种封装EAP消息的方法,即802.1X协议,使得EAP 消息能够向认证者发送。
步骤302、认证者向请求者发送请求消息EAPOL EAP-Request(Identity)。
步骤303、请求者向认证者发送响应消息EAPOL EAP-Response(Identity)。
步骤304、认证者将EAPOL封装解除,再将EAP消息封装在RADIUS 消息里,向RADIUS服务器发送请求认证消息RADIUS Access Request(EAP-Message/EAP-Response/Ientity)。
要进行封装的原因是,请求者、认证者之间的协议,和认证者、认证服务 器之间的协议是不同的,请求者与认证者之间使用的EAP消息要向RADIUS 服务器发送前,需要进行封装,将EAP报文封装在RADIUS消息内,因为与 EAP有关的代码存储在认证者上,RADIUS服务器上不需要直接读取EAP消 息,而是读取将EAP封装起来的RADIUS消息。RADIUS协议通过利用 EAP-Message和Message-Authenticator属性来支持EAP。所有的属性由 Type-Length-Value三元组成。
步骤305、RADIUS服务器向认证者发送带随机数的质询消息RADIUS Access Challenge(EAP-Message/EAP-Request)。
步骤306、认证者向请求者发送请求消息EAPOL EAP-Request,同时也将 随机数带给请求者。
步骤307、请求者根据上述随机数将请求者身份信息加密,向认证者发送 响应消息EAPOL EAP-Response。
步骤308、认证者向RADIUS服务器发送认证请求消息RADIUS Access Request(EAP-Message/EAP-Response)。
步骤309、RADIUS服务器查找数据库中预先保存的用户密码,根据预置 的用户密码和相同的随机数进行加密,对比加密的结果与接收到的在步骤307 中生成的加密结果不一致时,则判断请求者标识不合法,根据预置的业务通道 属性信息为请求者分配业务通道属性,并在向认证者返回携带所述业务通道属 性的接入拒绝消息RADIUS Access Reject(EAP-Message/EAP-Fail/Tunnel)。
其中,预置的业务通道属性信息里一般包含有业务通道属性,以及与之对 应的分配策略。当然,向认证者发送业务通道属性的方法,不仅仅局限于由接 入拒绝消息携带给认证者的发送方式,也可以采用单独将业务通道属性发送给 认证者的发送方式。
在本发明中,业务通道属性存储于认证服务器,业务通道属性由认证服务 器来分配。
其中,RADIUS服务器根据请求者的用户类型,或者请求者所属的认证者 身份来分配业务通道属性。需要说明的是,认证服务器分配业务通道属性的方 式并不局限于此。
步骤310、认证者在检查到接入拒绝消息中的业务通道属性时,根据业务 通道属性,为请求者配置用于访问受限网络资源的业务通道。
在现有技术中,认证者在接收到接入拒绝消息时,不进行任何操作。在本 实施例中,即使返回的是接入拒绝消息,也要对其进行检查,以确定其是否含 有业务通道属性。
步骤311、认证者向请求者发送接入认证失败消息EAPOL EAP-Fail。
请参阅图4,本发明还提供了一种认证失败后配置业务通道的系统,该系 统对401认证服务器、402认证者的功能进行了改进,改进后:
401认证服务器,进一步用于根据数据库信息判断请求者不合法时,根据 预置的业务通道属性信息为请求者分配业务通道属性并向认证者发送。
402认证者,进一步用于根据业务通道属性为请求者配置用于访问受限网 络资源的业务通道。
在本发明提供的实施例中,402认证者和401认证服务器之间的连接关系 为:
在请求者发起接入认证的过程中:402认证者接收请求者发送的开始消 息,向请求者发送认证请求消息,接收请求者返回的认证响应消息。
在402认证者利用401认证服务器提供的认证服务为请求者认证身份的过 程中:402认证者通过AAA协议向401认证服务器发起接入请求;402认证 服务器查询数据库,以确定请求者身份的合法性。
在接入认证失败后:401认证服务器在确定请求者身份不合法时,根据预 置的业务通道属性信息为请求者分配业务通道属性,并向402认证者返回携带 所述业务通道属性的接入拒绝消息;402认证者在检查到接入拒绝消息中的业 务通道属性时,根据业务通道属性,为请求者配置用于访问受限网络资源的业 务通道;402认证者向请求者发送接入认证失败响应。
本发明具体对401认证服务器进行了改进,参阅图5,改进后,401认证 服务器包括:501存储单元、502分配单元和503发送单元。
501存储单元,用于储存业务通道属性,以使得401认证服务器可以获取 预置好的业务通道属性,为认证失败的请求者分配用于访问受限网络资源的业 务通道的属性。
502分配单元,用于在请求者认证失败后,为请求者分配501存储单元中 的业务通道属性。分配的一般方法是,根据请求者的用户类型,或者请求者所 属的认证者身份来分配业务通道属性。需要说明的是,分配业务通道属性的方 式并不局限于此。
503发送单元,用于将分配好的业务通道属性向402认证者发送。向402 认证者发送业务通道属性的方法有,由接入拒绝消息来携带给402认证者,或 者单独将业务通道属性发送给402认证者等多种发送方式。
以上对本发明所提供的认证失败后配置业务通道的方法、系统和认证服务 器进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了 阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时, 对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用模块 范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。