[发明专利]接入元件和用于网络元件的接入控制的方法

说明书

技术领域

本发明涉及一种接入元件和一种用于在该接入元件的端口上对多个网络元件进行接入控制的方法。

背景技术

在现有技术中已知用于在面向分组的网络或数据网上网络元件的接入控制的方法。网络元件通过以下方式获得对数据网的接入，即通过接入元件向鉴权服务器传送该网络元件的识别信息和鉴权信息。该鉴权服务器检验该网络元件的信息，并且对该网络元件的接入作出决定。在肯定的决定的情况下，实现该网络元件通过接入元件的释放的端口的接入。该接入元件通常被构造为交换机(Switch)或一般被构造为接入点。

以下考虑对第一网络元件的接入控制，例如通过被布置在第一网络元件中的内部交换机将第二网络元件与该第一网络元件相连接。两个网络元件例如串联地与接入元件的端口相连接。对接入元件的相应的端口或“Port”进行接入控制，并且因此也将该接入控制称为“与端口有关”。

在这种装置中出现以下问题。在成功地鉴权网络元件之一之后，释放所有与接入元件的端口相连接的网络元件的接入。例如在第二网络元件的鉴权之后，对第一和第二网络元件进行这种释放，而不考虑或要求对第一网络元件的识别或鉴权。因此，设置在接入元件上的对第一网络元件的接入控制已变成无效。

发明内容

本发明的任务是，确保对多个与接入元件的端口相连接的网络元件的改进的接入控制。

该任务的解决方案在其方法方面通过一种具有权利要求1的特征的方法以及在其装置方面通过一种具有权利要求7的特征的网络元件来实现。

在此，在面向分组的网络中，从接入元件(例如交换机或接入点)的端口出发，在该端口上，至少一个第二网络元件通过第一网络元件与接入元件相连接。第二网络元件例如与第一网络元件串联，并且最终与接入元件的端口相连接。假设第一网络元件在接入元件上已经被鉴权或注册。在此情况下，用于接入控制的本发明方法首先规定启动第一网络元件在接入元件上的重新的鉴权过程。由第一网络元件启动该鉴权过程。第一网络元件于是将由接入元件所发送的并且到达第一网络元件的鉴权请求转发给第二网络元件。然后由第二网络元件进行利用应答消息对该鉴权请求的应答，其中该应答消息通过第一网络元件被转发给接入元件。

因此，利用本发明方法导致接入元件对第一网络元件的重新的鉴权请求，根据本发明，该鉴权请求随后被转发给第二网络元件。以此方式，有利地强制实施第二网络元件的鉴权。在现有技术中，(对于网络安全来说不利地)，迄今为止，只要连接在相同端口上的第一网络元件已经有效地被鉴权并且已获得在接入元件上的释放，就对第二网络元件不要求这种鉴权。

本发明的方法和相关装置的另一个优点在于，实现仅仅要求第一网络元件的控制逻辑的比较简单的修改。尤其是一点也不要求接入元件或鉴权服务器的修改。

在从属权利要求中说明了本发明的有利的改进方案。

本发明的一种特别有利的改进方案规定了两个其它的方法步骤，这些方法步骤规定，由第一网络元件接收并分析由接入元件根据应答消息所发送的确认消息，并且由第一网络元件根据该分析(也就是第二网络元件在接入元件上的接入的释放或拒绝)释放或阻止第二网络元件的接入。因此这里有利地利用以下核心思想来改进创造性的基本思想：第一网络元件相对于第二网络元件在其侧通过以下方式在功能上充当“接入元件”，即分析所转发的确认消息，并且然后在第一网络元件上促使释放或阻止。

由第一网络元件启动第一网络元件在接入元件上的重新的鉴权过程的实施变型方案在于，第一网络元件通过相应的信号或通过另外的措施在接入元件上注销。该实施变型方案具有简单的软件技术实现的优点。

在本发明的一种有利的改进方案中，针对上述情况规定了第一网络元件的重新的注册，使得通过第一网络元件的注销导致了重新的鉴权过程的启动。因此，第一网络元件相对于真正的接入元件保留了其作为受接入控制的网络元件的功能角色，而它相对于第二网络元件在功能上充当“接入元件”。

由第一网络元件启动第一网络元件在接入元件上的重新的鉴权过程的一种替代的实施变型方案在于，第一网络元件向接入元件发送执行重新鉴权的请求。该变型方案的优点尤其在于，第一网络元件不会由于注销和重新的注册而暂时停止使用。

附图说明

以下借助附图来更详细地阐述具有本发明的其它优点和扩展的实施例。其中：

图1示出用于示意性表示两个串联连接在接入元件上的网络元件的结构图；以及

图2示出用于示意性表示与接入控制有关的控制消息的时间顺序的结构图。

具体实施方式