[发明专利]基于802.1X的终端宽带接入的安全认证控制方法

摘要

基于802.1X的终端宽带接入的安全认证控制方法，平时各个用户处于独自的VLAN中，相互之间隔离，当802.1x的接入时，认证服务器为RADIUS服务器，该服务器可以存储有关用户的信息，采用用户的VLAN+MAC+IP的绑定作为逻辑端口，利用客户端、认证系统和认证服务器建立用户接入网络的认证流程：1)、认证通过前，通道只能通过EAPOL的802.1X认证报文；2)、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息；认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，并有DHCP过程；客户端是一需要接入LAN，支持EAPOL协议，运行802.1X客户端软件；认证系统为支持IEEE 802.1x协议的网络设备，认证系统对应于不同用户的端口。

主权项

1、基于802.1X的终端宽带接入的安全认证控制方法，平时各个用户处于独自的VLAN中，相互之间隔离，当802.1x的接入时，认证服务器为RADIUS服务器，该服务器可以存储有关用户的信息，其特征是采用用户的VLAN+MAC+lP的绑定作为逻辑端口，利用客户端、认证系统和认证服务器建立用户接入网络的认证流程：1)、认证通过前，通道只能通过EAPOL的802.1X认证报文；2)、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表；3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，并有DHCP过程；4、客户端是一需要接入LAN，支持EAPOL协议，运行802.1X客户端软件；认证系统为支持IEEE 802.1x协议的网络设备，认证系统对应于不同用户的端口(物理端口，或用户设备的VLAN+MAC+IP的绑定作为逻辑端口，上述两个逻辑端口：受控端口和不受控端口，不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务；受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务；当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管；认证服务器和RADIUS服务器之间通过EAP协议进行通信。在接入网络前，用上述802.1x发起认证请求。此时TGATE不但要对用户的身份进行认证，而且对终端的安全等级也要进行检查：·如用户身份认证不通过，则不允许接入网络的；如用户身份认证通过，但安全等级不符合要求，那么用户只能访问一个非常有限的服务区域，只能到那个服务区域去安装补丁等，去提升安全等级。