实现基于端口认证和基于传输层认证兼容的方法

1、一种实现基于端口认证和基于传输层认证兼容的方法，其特 征在于：
1)设置基于端口认证的二层端口为常开状态，在网络层配置基 于端口认证的用户的访问权限；
2)通过二层端口传送动态主机配置协议DHCP，用户获得IP地 址后发送认证请求报文；
3)接入设备判断认证请求报文，进行基于端口的认证或基于传 输层的认证。
2、根据权利要求1所述的实现基于端口认证和基于传输层认证 兼容的方法，其特征在于所述步骤3)进一步包括：
a、接入设备判断用户发送的认证请求报文是基于端口认证的认 证报文，还是基于传输层认证的认证报文，如果是基于端口认证的报 文，则执行步骤b，如果是基于传输层认证的报文，则执行步骤c；
b、接入设备将用户的进行802.1X认证的身份信息发送给认证 服务器，执行步骤d；
c、接入设备将用户的WEB认证的身份信息通过处于常开状态的 二层端口发送给认证服务器，执行步骤d；
d、认证服务器根据用户的身份信息对用户进行认证，并将认证 结果通过接入设备返回给用户，同时由认证服务器通知接入设备改变 认证成功的用户的访问权限，即令认证通过的用户访问网络不再受到 网络层的限制。
3、根据权利要求2所述的实现基于端口认证和基于传输层认证 兼容的方法，其特征在于所述的步骤a中，接入设备是根据认证开始 报文中承载的用户域名信息判断报文是基于端口认证的认证报文，还 是基于传输层认证的认证报文。
4、根据权利要求2所述的实现基于端口认证和基于传输层认证 兼容的方法，其特征在于所述的步骤d还包括：对于认证通过的用户， 如果需要更换IP地址，则通过DHCP过程为其进行二次地址分配，即 为用户分配新的IP地址。
5、根据权利要求1所述的实现基于端口认证和基于传输层认证 兼容的方法，其特征在于所述的基于传输层认证为WEB认证方式时， 所述的基于传输层的认证请求报文包括：基于DHCP的报文和基于 HTTP的报文，及DNS报文。
6、根据权利要求1所述的实现基于端口认证和基于传输层认证 兼容的方法，其特征在于该方法还包括：配置兼容开关来控制基于端 口认证是否兼容基于传输层认证。
7、根据权利要求1所述的实现基于端口认证和基于传输层认证 兼容的方法，其特征在于所述的在网络层配置基于端口认证的用户的 访问权限包括：在访问控制列表中配置访问控制权限，以及配置允许 访问速率属性和业务质量保证。

技术领域\n本发明涉及网络通信技术领域，尤其涉及一种实现基于端口认证和基 于传输层认证兼容的方法。\n背景技术\n随着网络通信技术的发展，各网络运营商所采用的针对用户的网络接 入控制方法也多种多样，包括基于四层的WEB认证、基于二层的802.1x认 证等多种已经被广泛应用的认证方法。\n802.1x即IEEE Std 802.1x-2001，是一种基于端口的访问控制协议，且 为一种基于以太网技术的认证协议，该认证方式是在用户通过认证后将二 层端口打开，并通过DHCP(动态主机配置协议)过程获得IP(互联网协 议)地址，进行正常的网络访问。目前，802.1x以其协议安全、实现简单， 和其他认证协议一起，给使用ADSL(非对称数字用户环线)、VDSL (甚高速数字用户线路)、LAN(局域网)等多种宽带接入方式的用户提 供了新的认证方式。\n而另一种基于传输层的WEB的四层认证方法，是在用户进行WEB认 证前通过DHCP过程获得IP地址，获得IP地址后用户才可以通过IP报文将 相应的认证信息发送给认证服务器进行WEB认证，WEB认证方式同样也 是目前网络通信中广泛应用的一种认证方式。\n由上述两种认证方式的介绍可以看出，802.1x协议规定在用户 通过认证前二层端口处于被阻塞状态，无法进行报文的传递；只有在 802.1x认证通过后，授权受控端口开通，才能够传递业务报文，即 从现有技术来看，用户如果未能通过基于二层的认证，则用户的DHCP 报文无法通过由802.1x认证所控制的二层端口，基于四层的WEB认 证根本无法进行。因此，网络运营商无法在同一地点同时向用户提供 两种接入认证方法，使得用户无法根据实际情况自由选择认证方式， 而只能使用某一种认证方法进行网络的接入，给用户接入网络带来了 极大的不方便。如在许多公共场所上网，网络无法获取用户信息，因 此无法事先给用户配置对应的认证方法；这就限制了部分未使用该网 络默认的认证方法进行网络接入的用户正常接入网络。\n发明内容\n本发明的目的是提供一种实现基于端口认证和基于传输层认证 兼容的方法，以提高网络运营商所提供服务的质量，使用户可以根据 自己的实际需要自由地选择接入网络所使用的认证方式。\n本发明的目的是这样实现的：一种实现基于端口认证和基于传输 层认证兼容的方法为：1)设置基于端口认证的二层端口为常开状态， 在网络层配置基于端口认证的用户的访问权限；2)通过二层端口传 送动态主机配置协议DHCP，用户获得IP地址后发送认证请求报文； 3)接入设备判断认证请求报文，进行基于端口的认证或基于传输层的 认证。\n所述步骤3)进一步包括：\na、接入设备判断用户发送的认证请求报文是基于端口认证的认 证报文，还是基于传输层认证的认证报文，如果是基于端口认证的报 文，则执行步骤b，如果是基于传输层认证的报文，则执行步骤c；\nb、接入设备将用户的进行802.1X认证的身份信息发送给认证 服务器，执行步骤d；\nc、接入设备将用户的WEB认证的身份信息通过处于常开状态的 二层端口发送给认证服务器，执行步骤d；\nd、认证服务器根据用户的身份信息对用户进行认证，并将认证 结果通过接入设备返回给用户，同时由认证服务器通知接入设备改变 认证成功的用户的访问权限，即令认证通过的用户访问网络不再受到 网络层的限制。\n所述的步骤a中，接入设备是根据认证开始报文中承载的用户域 名信息判断报文是基于端口认证的认证报文，还是基于传输层认证的 认证报文。\n所述的步骤d还包括：对于认证通过的用户，如果需要更换IP 地址，则通过DHCP过程为其进行二次地址分配，即为用户分配新的 IP地址。\n所述的基于传输层认证为WEB(环球网)认证方式时，所述的基于 传输层的认证请求报文包括：基于DHCP(动态主机配置协议)的报文 和基于HTTP(超文本传输协议)的报文，及DNS(域名服务)报文。\n该方法还包括：配置兼容开关来控制基于端口认证是否兼容基于传输 层认证。\n所述的在网络层配置基于端口认证的用户的访问权限包括：在ACL (访问控制列表)中配置访问控制权限，以及配置CAR(允许访问速率) 属性和QOS(业务质量)保证。\n由上述技术方案可以看出，本发明中将基于端口的802.1X认证方式所 控制的二层端口设置为常开状态，以保证基于传输层的WEB认证方式的 DHCP过程可以正常进行，而将基于二层的认证方式的控制端口设置在三 层。由于认证前DHCP过程的正常进行，从而使WEB认证流程和802.1X认 证流程统一起来，实现了在同一地点两种认证的兼容。因此，本发明实现 了用户在网络接入过程中，既可以选择基于二层的认证方式，如802.1x认 证等；也可以选择基于四层的认证方式，如WEB认证方式等。本发明在 网络通信中的应用可以提高网络运营商所提供服务的质量，适应网络通信 技术发展的需求，使得用户可以根据实际需要动态自由地选择接入网络所 使用的认证方式。\n附图说明\n图1为本发明的具体实施方式流程图；\n图2为本发明中EAP-SIM认证的过程示意图；\n图3为本发明中WEB认证的过程示意图。\n具体实施方式\n本发明的核心思想是将基于端口的802.1X认证中对二层端口的控制改 为通过在网络层进行权限的配置实现对未通过认证用户的控制，从而使用 户能够在802.1X认证之前进行DHCP过程获得IP地址，以进行基于传输层 的WEB认证，进而实现了基于端口的认证和基于传输层的认证的兼容。\n802.1X为基于端口的认证方式，该认证方式是通过对二层端口的控制 从而达到对用户控制的目的；而对于WEB认证则是一个基传输层的认 证，该认证的进行是以用户通过DHCP过程获得IP地址为前提，所以对 WEB认证和802.1X来说，一个是四层认证一个是二层认证，为了实现二 者的兼容，必须对二层端口的控制进行相应的改变，本发明的具体实现方 式参见图1，叙述如下：\n步骤1：将802.1X认证的二层端口设置为常开状态，以保证该端口能 够允许DHCP过程的正常进行，使用户在802.1X认证通过之前能够获得 IP地址，从而方便用户进行WEB认证；\n步骤2：为了保证802.1X认证对用户的控制，需要将原来由二层端口 实现的控制转移至网络层实现，即在网络层进行采用802.1X认证的用户访 问权限的配置，配置的数据主要包括ACL(访问控制)控制、CAR(允许 访问速率)属性、QOS(业务质量)保证等；例如：对于硬件转发来说， 这些数据主要是通过主机CPU下发的指定的ASIC(专用集成电路)芯 片，用于硬件转发的ASIC芯片根据不同的指定对该用户进行相应的管理 和控制；\n根据需要还可以通过命令行提供一个兼容开关来控制802.1X认证(如 EAP-SIM认证)是否兼容WEB认证，以方便网络运营商的应用，如果选 择两种认证兼容，则继续执行步骤3，即NAS设备允许在认证前完成 DHCP过程，进行IP地址的取得；\n步骤3：用户需要进行认证时，首先通过处于常开状态的二层端口地 DHCP报文的传送，使用户可以通过DHCP过程获得IP地址，为基于传输 层的WEB认证的实现提供了基础，用户获得IP地址后可以进行根据自己的 使用方便进行选择，比如可以采用发送WEB页面进行认证请求，或直接 发起EAP-SIM认证过程；\n步骤4：接入设备接收用户发送来的认证请求报文，并根据报文中承 载的用户域名信息判断用户是采用802.1X认证方式接入网络，还是采用 WEB认证方式接入网络，如果采用的是802.1X认证方式，执行步骤5，如 果采用的是WEB认证方式，则执行步骤6；\n例如可以采用“用户名@802.1X.com”表示用户采用的是802.1X认证 方式，采用“用户名@WEB.com”表示用户采用的是WEB认证方式，这 样接入设备便可以较为方便地将用户所采用的不同的认证方式区分开来；\n当然本发明具体实施过程中也可以根据认证请求报文中的其它特征信 息判断用户所采用的认证方式；\n步骤5：用户采用基于端口认证的802.1X认证方式接入网络，则用户 向接入设备发送802.1X认证请求报文，现以选择EAP-SIM(一种广泛用于 无线的基于802.1X认证协议的扩展认证方式)认证接入方式为例进行说 明，用户向接入设备的NAS(Network Access Server，网络接入服务器) 端发送EAP认证请求报文，并执行步骤7；\n具体的EAP-SIM认证过程如图2所示，经过了步骤3的DHCP过程之 后，首先由用户向NAS发送EAP-SIM认证请求报文；\n步骤6：用户向接入设备的NAS端发送WEB认证请求报文，并执行步 骤7；\n对于采用WEB认证的用户的具体认证过程如图3所示，用户已经通过 步骤3的DHCP过程获得了IP地址，此时用户上网的权限通常仅可以访问指 定的WEB服务器，如果用户打开IE(浏览器)直接访问其他网址， NAS端将用户重定向到WEB服务器，由WEB服务器发起WEB认证过程， 用户在收到WEB服务器所下发的认证网页后输入用户帐号和口令，通过 WEB认证请求报文将用户的身份信息发送给WEB服务器，WEB服务器收 到用户的身份信息(包括用户的帐号和口令)后继续通过WEB认证请求 报文将其转发给NAS端，并由接入设备中的NAS端向认证服务器发起该用 户的认证过程；\n步骤7：接入设备将用户的身份信息发送给认证服务器进行用户身份 的认证，所述的认证服务器通常为RADIUS(远程认证)服务器；\n对于采用WEB认证的用户，接入设备向认证服务器发送WEB认证请 求报文进行认证请求，对于采用EAP-SIM认证的用户，接入设备向认证服 务器发送EAP-SIM认证请求报文进行认证请求；\n步骤8：认证服务器将认证结果通过接入设备发送给用户，并将认证 通过的用户的网络层所配置的访问权限进行修改，即允许认证通过的用户 可以自由地进行网络访问；\n对于采用WEB认证的用户，认证服务器将WEB认证结果返回给接入 设备，再由接入设备将认证结果发送给WEB服务器，最后用户从WEB服 务器获取认证结果；\n对于采用EAP-SIM认证的用户，认证服务器通过EAP-SIM认证响应报 文将认证结果发送给接入设备，再由接入设备将认证结果发送给用户。\n对于具体的802.1X认证过程和WEB认证过程与现有技术中的认证过 程完全相同。当用户通过认证过程后，用户端的控制程序可以根据实际需 要进行两种设置：一种是发起第二次DHCP的过程，NAS端可以通过配置 完成第二次DHCP的过程，NAS可以根据用户名所带的不同的域 (Domain)信息对用户的IP地址进行二次分配，以方便网络接入过程中的 地址管理；另一种是客户端不发起第二次DHCP的过程。整个认证过程结 束后，NAS根据用户认证所得到的相应上网权限实现对用户相关数据和表 项的下发和控制，比如说用户访问过滤、CAR控制、QOS保证等，使得用 户可以直接根据自己的需要进行Internet(互联网)的访问。