专利名称:认证和访问控制系统及方法
技术领域:
本发明涉及一种不依赖于物理通信介质的认证和访问控制系统及方法,尤其涉及一种不依赖于数据链路层的各种通信协议的、适应于低硬件规格装置的认证和访问控制系统及方法。
背景技术:
现有的局域网访问认证协议中,除了使用HTTP(超文本传输协议)的应用层认证之外,都是基于数据链路层来定义的,因此需要与数据链路层的各种通信协议相对应,其中的一个示例是IEEE802. Ix认证,如图I所示。IEEE802. Ix认证是基于端口的访问控制协议,其采用EAP点对点协议认证,EAP信息被封装在MAC帧中,称为EAP0L。基于IEEE802. Ix的认证系统在客户端和认证者之间使用EAPOL格式封装EAP协议传送认证信息,而在认证者与认证服务器之间通过Radius协议传送认证信息。为了克服IEEE802. Ix认证依赖于数 据链路层的各种通信协议的缺点,存在基于网络层的访问认证协议PANA,如图2所示。PANA是在UDP/IP (用户数据报协议/因特网协议)上承载EAP信息的客户端/服务器型的访问认证协议,其可以应用在支持Μ)Ρ/ΙΡ的任何数据链路层上。基于PANA的认证系统在客户端和认证代理之间运行PANA协议,而认证代理和认证服务器之间的接口可以是Radius (远程用户拨号认证系统)、Diameter (Radius协议的升级版本)等。尽管如此,现有的认证框架相对于处理能力较低的装置来说负担仍然很重。
发明内容
为此,本发明提供一种使用Kerberos认证的认证和访问控制系统及方法,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(例如,共享密钥)执行认证服务的,其认证模块的安装简便,特别适用于低硬件规格装置。根据本发明的一方面,提供一种认证和访问控制系统,包括客户端、连接控制装置、认证配置信息服务器、Kerberos服务器、和网络接入控制器,其中,客户端在认证前只能访问认证网络,认证成功后能够访问授权访问网络;连接控制装置用于控制客户端连接认证网络或授权访问网络;认证配置信息服务器用于提供Kerberos服务器和网络接入控制器的地址信息Aerberos服务器用于统一管理认证信息;网络接入控制器用于根据认证结果控制连接控制装置;以及其中,客户端与连接控制装置连接,触发连接控制装置向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册,生成认证用的客户端IP地址,客户端从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息,向Kerberos服务器发送认证请求,Kerberos认证完成后,客户端向网络接入控制器请求对授权访问网络进行访问,网络接入控制器对客户端的请求授权,并控制连接控制装置将认证成功的客户端从认证网络切换到授权访问网络。优选地,客户端与连接控制装置连接时,触发连接控制装置采用自动注册的方式向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册。
优选地,连接控制装置发送路由器广播,客户端接收该路由器广播以获取认证用的IPv6前缀,从而生成认证用的客户端IPv6地址。优选地,客户端采用自动获取的方式从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息。优选地,客户端从认证网络切换到授权访问网络时,网络接入控制器触发连接控制装置发送路由器广播,客户端接收该路由器广播以执行IP地址的自动更新,从而生产新的客户端IP地址。优选地,客户端与授权访问网络之间发生链路故障时,连接控制装置将该链路故障通知给网络接入控制器,网络接入控制器控制连接控制装置将客户端从授权访问网络切换到认证网络。优选地,根据认证结果,将没有认证成功的客户端和认证成功的客户端分成两个 虚拟局域网并进行通信隔离。根据本发明的另一方面,提供一种通过认证和访问控制系统执行的认证和访问控制方法,所述认证和访问控制系统包括客户端、连接控制装置、认证配置信息服务器、Kerberos服务器、和网络接入控制器,其中,客户端在认证前只能访问认证网络而认证成功后能够访问授权访问网络;连接控制装置用于控制客户端连接认证网络或授权访问网络;认证配置信息服务器用于提供Kerberos服务器和网络接入控制器的地址信息AerbeiOS服务器用于统一管理认证信息;网络接入控制器用于根据认证结果来控制连接控制装置,所述方法包括以下步骤客户端与连接控制装置连接,触发连接控制装置向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册;生成认证用的客户端IP地址;客户端从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息;客户端向Kerberos服务器发送Kerberos标准认证信息,以进行Kerberos认证;Kerberos服务器向认证成功的客户端发送网络接入控制器服务票证;客户端利用该网络接入控制器服务票证向网络接入控制器请求对授权访问网络进行访问;网络接入控制器解读该网络接入控制器服务票证,若解读成功,则控制连接控制装置将认证成功的客户端从认证网络切换到授权访问网络。优选地,客户端与连接控制装置连接时,触发连接控制装置采用自动注册的方式向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册。优选地,其中所述认证和访问控制系统中的连接控制装置发送路由器广播,客户端接收该路由器广播以获取认证用的IPv6前缀,从而生成认证用的客户端IPv6地址。优选地,客户端采用自动获取的方式从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息。优选地,客户端从认证网络切换到授权访问网络时,网络接入控制器触发连接控制装置发送路由器广播,客户端接收该路由器广播以执行IP地址的自动更新,从而生成新的客户端IP地址。优选地,客户端与授权访问网络之间发生链路故障时,连接控制装置将该链路故障通知给网络接入控制器,网络接入控制器控制连接控制装置将客户端从授权访问网络切换到认证网络。优选地,根据认证结果,将没有认证成功的客户端和认证成功的客户端分成两个虚拟局域网并进行通信隔离。
以下将结合附图,详细描述根据
具体实施例方式图I示出了 IEEE802. Ix认证的协议模型;图2示出了 PANA认证的协议模型;图3示出了根据本发明的实施例的认证和访问控制系统;图4示出了根据本发明的实施例的认证和访问控制方法的顺序图;图5示出了 Kerberos认证过程; 图6示出了根据本发明的实施例的认证和访问控制系统的部分工作流程;图7示出了根据本发明的实施例的认证和访问控制系统中的网络接入控制器的功能结构;图8示出了客户端MAC地址与连接控制装置IP地址之间的对应关系的自动注册流程;图9示出了自动注册信息的格式;图10示出了获取认证所需必要信息的流程;图11示出了认证完成客户端从网络接入控制服务器获取授权访问许可的流程;图12示出了认证完成后自动更新IPv6地址的信息格式;图13示出了认证完成客户端断线后,防止不正当的与连接控制装置进行连接的方法;
具体实施例方式图3示出了根据本发明的实施例的认证和访问控制系统。如图3所示,认证和访问控制系统包括认证客户端1,认证前的客户端装置;认证完成客户端2,认证成功的客户端装置;连接控制装置3,控制客户端装置连接认证网络或授权访问网络的装置并发送路由器广播,其可以包括支持基于MAC地址划分虚拟局域网(VLAN)的交换机或者访问节点(AP)以及支持IPv6的路由器两部分功能;认证配置信息服务器4,用于提供Kerberos服务器和网络接入控制器的地址信息的装置,其可以采用DHCP服务器来实现Kerberos服务器5,统一管理认证信息的服务器;网络接入控制器(NAC) 6,用于控制连接控制装置的服务器;认证网络7,用于向认证客户端I提供认证通信的网络;授权访问网络8,用于向认证完成客户端2提供授权访问通信的网络,其只连接认证成功的客户端装置。认证客户端I与连接控制装置3连接,触发连接控制装置3向网络接入控制器6进行认证客户端I的MAC地址与连接控制装置3的IP地址之间的对应关系的注册,认证客户端I接收连接控制装置3发送的路由器广播以获取认证用的IPv6前缀,从而生成认证用的客户端IPv6地址,然后认证客户端I通过认证配置信息服务器4获取认证所需必要信息,包括Kerberos服务器5和网络接入控制器6的地址信息,然后认证客户端I通过Kerberos服务器5进行Kerberos认证,Kerberos认证完成后,认证客户端I向网络接入控制器6请求对授权访问网络8进行访问,网络接入控制器6对认证客户端I的请求授权,控制连接控制装置3将认证客户端I从认证网络7切换到授权访问网络8,并触发连接控制装置3发送路由器广播,认证客户端I接收该路由器广播以执行IP地址的自动更新,从而生成新的客户端IP地址,认证客户端I变成认证完成客户端2。图4示出了根据本发明的实施例的认证和访问控制方法的顺序图。如图4所示,根据本发明的实施例的认证和访问控制方法可以包括三个过程,即自动发现、认证与授权、和访问控制。首先,认证客户端I开机,通过认证VLAN 7与连接控制装置3进行网络连接,触发连接控制装置3通过SNMP陷阱向网络接入控制器6进行认证客户端I的MAC地址与连接控制装置3的IP地址之间的对应关系的注册。然后,认证客户端I接收来自连接控制装置3的路由器广播,获取认证用的IPv6前缀,从而生成认证用的客户端IPv6地址。然后,认证客户端I向认证配置信息服务器4发送获取认证用信息的请求信息,认证配置信息服务器4对该信息应答,认证客户端I从该应答信息中获取Kerberos服务器5和网络接入控制器6的地址信息。以上步骤完成了认证客户端I自动发现认证所需必要信息的过程。然后,认证客户端I向Kerberos服务器5发起标准的Kerberos认证,认证成功后,Kerberos服务器5向认证客户端I发送网络接入控制器服务票证。以上步骤完成了对认证客户端I
的认证与授权的过程。然后,认证客户端I通过AP请求信息将网络接入控制器服务票证发送给网络接入控制器6,以请求访问授权访问网络VLAN 8,并且认证客户端I通过Kerberos标准信息KRB_PRIV请求信息向网络接入控制器6发送例如认证客户端I的MAC地址,网络接入控制器6对所述网络接入控制器服务票证进行解读,获取认证客户端I的MAC地址,对认证客户端I的请求予以授权,网络接入控制器6先通过AP应答信息响应认证客户端I的访问授权访问网络VLAN 8的请求,然后为认证客户端I设置授权有效时间(生存期限),通过KRB_PRIV应答信息将所设置的授权有效时间发送给认证客户端1,最后网络接入控制器6在本地查表得到认证客户端I所在的连接控制装置3的IP地址,对连接控制装置3进行控制。连接控制装置3变更基于MAC地址划分的VLAN,将认证客户端I从认证网络VLAN7切换到授权访问网络VLAN 8。同时,为了尽快生成用于访问授权访问网络VLAN 8的客户端IPv6地址,网络接入控制器6触发连接控制装置3发送针对授权访问网络VLAN 8的路由器广播,认证客户端I接收该路由器广播,获取用于访问授权访问网络VLAN 8的IPv6前缀,执行IP地址的自动更新,从而生成用于访问授权访问网络VLAN 8的客户端IPv6地址,认证客户端I变成认证完成客户端2,与授权访问网络VLAN 8进行通信。以上步骤完成了对认证客户端I的访问控制的过程。图5示出了 Kerberos认证过程。如图5所示,Kerberos服务器5包括认证服务器(AS)和票证授予服务器(TGS)。认证客户端I向Kerberos服务器5中的认证服务器发送AS请求信息,认证服务器通过AS应答信息向认证客户端I发送票证授予式票证(TGT),认证客户端I对该AS应答信息进行解读以获得票证授予式票证。然后,认证客户端I将所获得的票证授予式票证通过TGS请求信息发送给Kerberos服务器5中的票证授予服务器,票证授予服务器通过TGS应答信息向认证客户端I发送网络接入控制器服务票证,认证客户端I对该TGS应答信息进行解读来获得网络接入控制器服务票证。不能解读AS应答信息来得到TGT的认证客户端I属于认证失败的客户端,不能获取网络接入控制器服务票证。如图6所示,认证客户端I与连接控制装置3连接时,触发连接控制装置3采用自动注册的方式执行认证客户端I的MAC地址与连接控制装置3的IP地址之间的对应关系的注册,然后采用自动获取的方式从认证配置信息服务器4获取Kerberos服务器5和网络接入控制器6的地址信息,再执行Kerberos认证,最后向网络接入控制器6请求对授权访问网络进行访问,从而从网络接入控制器6获取授权访问许可。认证完成客户端2的生存期限由网络接入控制器6来管理。图7示出了网络接入控制器6的功能结构。如图7所示,网络接入控制器6包括Kerberos应用服务模块、客户端生存期限管理模块、MAC-IP管理模块、以及用于控制连接控制装置的连接控制装置控制模块,其中Kerberos应用服务模块用于参与Kerberos认证相关的通信交互,例如对KRB_PRIV请求和应答信息的接收和发送,客户端生存期限管理模块用于管理各认证完成客户端
2的生存期限,MAC-IP管理模块用于管理客户端的MAC地址与连接控制装置的IP地址之间的对应关系。 图8示出了认证客户端I的MAC地址与连接控制装置3的IP地址之间的对应关系的自动注册流程。认证客户端I与连接控制装置3连接时,触发连接控制装置3使用SNMP陷阱向网络接入控制器6发送信息,网络接入控制器6通过接收到的SNMP陷阱信息来注册认证客户端I的MAC地址与连接控制装置3的IP地址之间的对应关系。图9示出了自动注册信息的格式,其为可扩展的标准SNMP信息。图10示出了为了认证而自动获取必要信息的流程。为了进行认证,认证客户端I向认证配置信息服务器4发送获取认证用信息的请求信息,收到认证配置信息服务器4的获取认证用信息的应答信息后,从该应答信息获取Kerberos服务器5和网络接入控制器6的地址信息。图11示出了认证成功后,认证客户端I从网络接入控制器6获取授权访问许可的流程。认证客户端I向网络接入控制器6发送对授权访问网络进行访问的请求(包含客户端MAC地址),网络接入控制器6确认该对授权访问网络进行访问的请求,为认证客户端I分配可访问的时间并响应认证客户端I,然后通过连接控制装置3控制认证客户端I从认证网络7切换到授权访问网络8,并通过如图12所示的可扩展的标准SNMP信息触发连接控制装置3发送路由器广播,客户端接收该路由器广播,执行IP地址的自动更新,从而生成新的客户端IP地址,认证客户端I变成认证完成客户端2。图13示出了认证完成客户端2断线后,为了防止不正当的装置与连接控制装置3进行连接的方法。当认证完成客户端2与授权访问网络8之间发生链路故障时,连接控制装置3通过SNMP陷阱将该链路故障通知给网络接入控制器6,网络接入控制器6控制连接控制装置3将认证完成客户端2从授权访问网络8切换到认证网络7,认证完成客户端2又变成认证客户端I。
权利要求
1.一种认证和访问控制系统,包括客户端、连接控制装置、认证配置信息服务器、Kerberos服务器、和网络接入控制器,其中,客户端在认证前只能访问认证网络,认证成功后能够访问授权访问网络;连接控制装置用于控制客户端连接认证网络或授权访问网络;认证配置信息服务器用于提供Kerberos服务器和网络接入控制器的地址信息^erbeiOS服务器用于统一管理认证信息;网络接入控制器用于根据认证结果控制连接控制装置;以及 其中,客户端与连接控制装置连接,触发连接控制装置向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册,生成认证用的客户端IP地址,客户端从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息,向Kerberos服务器发送认证请求,Kerberos认证完成后,客户端向网络接入控制器请求对授权访问网络进行访问,网络接入控制器对客户端的请求授权,并控制连接控制装置将认证成功的客户端从认证网络切换到授权访问网络。
2.根据权利要求I所述的认证和访问控制系统,客户端与连接控制装置连接时,触发连接控制装置采用自动注册的方式向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册。
3.根据权利要求I所述的认证和访问控制系统,连接控制装置发送路由器广播,客户端接收该路由器广播以获取认证用的IPv6前缀,从而生成认证用的客户端IPv6地址。
4.根据权利要求I所述的认证和访问控制系统,客户端采用自动获取的方式从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息。
5.根据权利要求I所述的认证和访问控制系统,客户端从认证网络切换到授权访问网络时,网络接入控制器触发连接控制装置发送路由器广播,客户端接收该路由器广播以执行IP地址的自动更新,从而生产新的客户端IP地址。
6.根据权利要求I至5任一项所述的认证和访问控制系统,客户端与授权访问网络之间发生链路故障时,连接控制装置将该链路故障通知给网络接入控制器,网络接入控制器控制连接控制装置将客户端从授权访问网络切换到认证网络。
7.根据权利要求I至5任一项所述的认证和访问控制系统,根据认证结果,将没有认证成功的客户端和认证成功的客户端分成两个虚拟局域网并进行通信隔离。
8.一种通过认证和访问控制系统执行的认证和访问控制方法,所述认证和访问控制系统包括客户端、连接控制装置、认证配置信息服务器、Kerberos服务器、和网络接入控制器,其中,客户端在认证前只能访问认证网络而认证成功后能够访问授权访问网络;连接控制装置用于控制客户端连接认证网络或授权访问网络;认证配置信息服务器用于提供Kerberos服务器和网络接入控制器的地址信息Aerberos服务器用于统一管理认证信息;网络接入控制器用于根据认证结果来控制连接控制装置,所述方法包括以下步骤 客户端与连接控制装置连接,触发连接控制装置向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册; 生成认证用的客户端IP地址; 客户端从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息; 客户端向Kerberos服务器发送Kerberos认证请求信息,以进行Kerberos认证; Kerberos服务器向认证成功的客户端发送网络接入控制器服务票证;客户端利用该网络接入控制器服务票证向网络接入控制器请求对授权访问网络进行访问; 网络接入控制器解读该网络接入控制器服务票证,若解读成功,则控制连接控制装置将认证成功的客户端从认证网络切换到授权访问网络。
9.根据权利要求8所述的认证和访问控制方法,客户端与连接控制装置连接时,触发连接控制装置采用自动注册的方式向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册。
10.根据权利要求8所述的认证和访问控制方法,其中所述认证和访问控制系统中的连接控制装置发送路由器广播,客户端接收该路由器广播以获取认证用的IPv6前缀,从而生成认证用的客户端IPv6地址。
11.根据权利要求8所述的认证和访问控制方法,客户端采用自动获取的方式从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息。
12.根据权利要求8所述的认证和访问控制方法,客户端从认证网络切换到授权访问网络时,网络接入控制器触发连接控制装置发送路由器广播,客户端接收该路由器广播以执行IP地址的自动更新,从而生成新的客户端IP地址。
13.根据权利要求8至12任一项所述的认证和访问控制方法,客户端与授权访问网络之间发生链路故障时,连接控制装置将该链路故障通知给网络接入控制器,网络接入控制器控制连接控制装置将客户端从授权访问网络切换到认证网络。
14.根据权利要求8至12任一项所述的认证和访问控制方法,根据认证结果,将没有认证成功的客户端和认证成功的客户端分成两个虚拟局域网并进行通信隔离。
全文摘要
本发明提供一种认证和访问控制系统及方法,所述认证和访问控制系统包括客户端、连接控制装置、认证配置信息服务器、Kerberos服务器、和网络接入控制器,其中,客户端与连接控制装置连接,触发连接控制装置向网络接入控制器进行客户端MAC地址与连接控制装置IP地址之间的对应关系的注册,生成认证用的客户端IP地址,客户端从认证配置信息服务器获取Kerberos服务器和网络接入控制器的地址信息,向Kerberos服务器发送认证请求,Kerberos认证完成后,客户端向网络接入控制器请求对授权访问网络进行访问,网络接入控制器对客户端的请求授权,控制连接控制装置将认证成功的客户端从认证网络切换到授权访问网络。
文档编号H04L29/06GK102868672SQ20111019179
公开日2013年1月9日 申请日期2011年7月5日 优先权日2011年7月5日
发明者王玥, 李 浩, 王东, 宫田宏 申请人:横河电机株式会社