H04L29/06 H04L29/08 H04L12/66
1.一种认证网关,包括网络认证系统,其特征在于:所述网络认证系统包括申请方系 统、认证方系统和认证服务器,所述申请方系统中包含有申请方PAE,且申请方PAE采用EAP 的认证机制与LAN连接,所述认证方系统中包含有认证方提供的服务和认证方PAE,所述认 证方提供的服务通过可控端口与LAN通信连接,所述认证方PAE通过非控端口与LAN通信连 接,所述认证服务器采用EAP的认证机制与认证方PAE通信连接,所述申请方PAE负责将申请 方的信任信息送到认证方PAE作为对认证方所述所述所述PAE询问的响应,所述认证方PAE 负责强制对连接到它的受控端口的申请方PAE进行认证,并且控制受控端口相对应的认证 状态;所述认证方系统通过认证前后打开或关闭用户接入端口来进行端口访问控制,且基 于端口访问控制在LAN设备的物理接入级对接入设备进行认证和控制。
2.根据权利要求1所述的一种认证网关,其特征在于:所述PAE为端口访问实体,PAE用 于负责响应来自认证方和申请方之间的请求信息,并将这写信息建立信任关系,在认证交 换的过程中执行申请方的角视为申请方PAE,负责申请方通信,并将申请方的信任信息交 给相对的认证服务器去检测以决定随后的认证状态被视为认证方PAE,认证方PAE依据认证 过程的结构控制受控端口的授权与非授权状态。
3.根据权利要求1所述的一种认证网关,其特征在于:所述申请方系统通过接入设备端 口的状态判断是否能接入网络,所述接入设备端口分为授权端口和非授权端口,且非授权 端口始终处于双向连通状态,用于传递EAP协议帧,并保证用户始终可以发送或接受认证信 息,所述授权端口用于传递网络资源和服务,且授权端口包含有双向授权和输入授权两种。
4.根据权利要求1所述的一种认证网关,其特征在于:所述的申请方系统中,任何提供 一对一连接到申请方系统的物理和逻辑端口都能提供一个连接到LAN上的连接点。
5.根据权利要求1所述的一种认证网关,其特征在于:所述端口访问控制提供对系统功 能可选的扩展,并提供一种防止申请方对系统提供的设备非授权访问。
本发明涉及通信技术领域,特别涉及一种认证网关。
随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证 券、网上银行、电子政务、电子商务、企业远程办公等。为满足用户的上网需求,网络运营商 为每个用户部署一个网关设备,对于网关设备的有效认证方法是目前亟待解决的问题。
目前,常见的网关认证技术有:在链路层上所涉及的认证协议有IEE802.1x,PPP, 还有VPN使用的数据链路封住协议L2TP和 在应用层上的web认证技术等。然而,上述的网关 认证技术的系统安全性不高且过于复杂,认证过程比较繁琐,同时认证系统的造价高,难以 大面积的进行推广。
为此,我们提出以一种认证网关来解决上述问题。
本发明的目的是为了解决背景技术而提出的一种认证网关。
为了实现上述目的,本发明采用了如下技术方案:
一种认证网关,包括网络认证系统,所述网络认证系统包括申请方系统、认证方系统和 认证服务器,所述申请方系统中包含有申请方PAE,且申请方PAE采用EAP的认证机制与LAN 连接,所述认证方系统中包含有认证方提供的服务和认证方PAE,所述认证方提供的服务通 过可控端口与LAN通信连接,所述认证方PAE通过非控端口与LAN通信连接,所述认证服务器 采用EAP的认证机制与认证方PAE通信连接,所述申请方PAE负责将申请方的信任信息送到 认证方PAE作为对认证方PAE询问的响应,所述认证方PAE负责强制对连接到它的受控端口 的申请方PAE进行认证,并且控制受控端口相对应的认证状态;所述认证方系统通过认证前 后打开或关闭用户接入端口来进行端口访问控制,且基于端口访问控制在LAN设备的物理 接入级对接入设备进行认证和控制。
在上述技术方案的基础上,可以有以下进一步的技术方案:
所述PAE为端口访问实体,PAE用于负责响应来自认证方和申请方之间的请求信息,并 将这写信息建立信任关系,在认证交换的过程中执行申请方的角视为申请方PAE,负责申 请方通信,并将申请方的信任信息交给相对的认证服务器去检测以决定随后的认证状态被 视为认证方PAE,认证方PAE依据认证过程的结构控制受控端口的授权与非授权状态。
所述申请方系统通过接入设备端口的状态判断是否能接入网络,所述接入设备端 口分为授权端口和非授权端口,且非授权端口始终处于双向连通状态,用于传递EAP协议 帧,并保证用户始终可以发送或接受认证信息,所述授权端口用于传递网络资源和服务,且 授权端口包含有双向授权和输入授权两种,以适应不同的环境。
所述的申请方系统中,任何提供一对一连接到申请方系统的物理和逻辑端口都能 提供一个连接到LAN上的连接点。
所述端口访问控制提供对系统功能可选的扩展,并提供一种防止申请方对系统提 供的设备非授权访问。
本发明以IEE802.1x技术为基础,使得该网关认证技术的应用更易推广,且低廉的 造价大大降低了认证系统的建设成本,提高了该认证网关的竞争力,同时该认证技术通过 客户端的形式代替传统的Web认证方式,不仅简单高效,而且安全性高,用户所当心的出现 信息泄露问题的概率大大降低,为该认证网关的推广提供了有利条件。
图1是本发明提出的一种认证网关的网络认证系统结构示意图;
图2是本发明提出的一种认证网关认证方系统的可控端口和不可控端口结构示意图;
图3是本发明提出的一种认证网关认证方系统的授权状态下结构示意图;
图4是本发明提出的一种认证网关认证方系统的非授权状态下工作时结构示意图。
下面结合具体实施例来对本发明进一步说明。
参照图1-4,一种认证网关,包括网络认证系统,网络认证系统包括申请方系统、认 证方系统和认证服务器,申请方系统中包含有申请方PAE,且申请方PAE采用EAP的认证机制 与LAN连接,认证方系统中包含有认证方提供的服务和认证方PAE,认证方提供的服务通过 可控端口与LAN通信连接,认证方PAE通过非控端口与LAN通信连接,认证服务器采用EAP的 认证机制与认证方PAE通信连接。
PAE为端口访问实体,PAE用于负责响应来自认证方和申请方之间的请求信息,并 将这写信息建立信任关系,在认证交换的过程中执行申请方的角视为申请方PAE,负责申 请方通信,并将申请方的信任信息交给相对的认证服务器去检测以决定随后的认证状态被 视为认证方PAE,认证方PAE依据认证过程的结构控制受控端口的授权与非授权状态。
申请方系统通过接入设备端口的状态判断是否能接入网络,接入设备端口分为授 权端口和非授权端口,且非授权端口始终处于双向连通状态,用于传递EAP协议帧,并保证 用户始终可以发送或接受认证信息,授权端口用于传递网络资源和服务,且授权端口包含 有双向授权和输入授权两种,以适应不同的环境。的申请方系统中,任何提供一对一连接到 申请方系统的物理和逻辑端口都能提供一个连接到LAN上的连接点。
申请方PAE负责将申请方的信任信息送到认证方PAE作为对认证方PAE询问的响 应,认证方PAE负责强制对连接到它的受控端口的申请方PAE进行认证,并且控制受控端口 相对应的认证状态。认证方系统通过认证前后打开或关闭用户接入端口来进行端口访问控 制,且基于端口访问控制在LAN设备的物理接入级对接入设备进行认证和控制。端口访问控 制提供对系统功能可选的扩展,并提供一种防止申请方对系统提供的设备非授权访问,例 如:如果关注的系统是MAC桥,则要想严格的控制可访问的公开桥端口的访问,就需要在对 桥的访问和与相连接的LAN上加以控制。如果想严格的控制一个部门成员仅在一个组织内 部的LAN访问,访问控制的实现需要靠系统强制申请方到系统的受控端口认证,并根据认证 过程的结构决定是否可以访问受控端口的访问。如果申请方没有得到访问的权限,系统设 置受控端口状态到非授权状态。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其 发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
本文发布于:2023-04-13 13:31:27,感谢您对本站的认可!
本文链接:https://patent.en369.cn/patent/4/85901.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |