[发明专利]相关认证信息下发方法、装置及网络设备

说明书

技术领域

本发明涉及网络通信领域，尤其涉及一种相关认证信息下发方法、装置及网络设备。

背景技术

802.1X协议是基于客户端/服务器端(Client/Server)模式的访问控制和认证协议。802.1x协议会在客户端(例如用户或设备)获得局域网(Local Area Network；简称为：LAN)或无线局域网(Wireless Local Area Network；简称为：WLAN)提供的各种业务之前，对连接到交换机端口的客户端进行认证，以限制未经授权的客户端通过交换机端口访问LAN或WLAN。其中，802.1x协议通过允许客户端的基于局域网的可扩展身份认证协议(Extensible Authentication Protocol over LAN；简称为：EAPOL)数据通过交换机端口，并通过认证服务器对用户或设备进行认证。当认证通过以后，客户端的正常数据就可以顺利地通过交换机的端口来访问LAN或WLAN。

如图1所示，在802.1X认证体系中有三种角色：客户端11、接入交换机12和认证服务器13。其中，客户端11是指LAN或WLAN所连接的一端的实体(entity)，接入交换机12是LAN或WLAN所连接的用于认证客户端11的实体(entity)。认证服务器13指为接入交换机12提供认证服务的实体。远程用户拨号认证协议(Remote Authentication Dial In User Service；简称为：Radius)是一种在网络接入交换机12和认证服务器13间传输认证、授权和配置信息的协议，通常将认证服务器称之为Radius服务器13。

基于Radius协议的认证过程为：认证客户端向接入交换机发出认证请求，认证请求中包含用户信息；接入交换机把用户信息通过Radius协议发送给Radius服务器；Radius服务器根据用户信息，通过接入交换机与认证客户端进行交互以对用户身份进行认证，并将认证结果通过Radius协议返回给接入交换机；如果认证通过，接入交换机允许用户接入网络；如果认证失败，接入交换机拒绝用户接入网络。其中，Radius服务器对客户端的身份认证过程具体为：Radius服务器在接收到用户的认证请求时生成随机加密字并保存，并将加密字通过接入交换机发送给客户端；客户端根据和Radius服务器预先约定的加密算法，对随机加密、用户名和密码进行加密处理，并将加密结果通过接入交换机发送给Radius服务器；Radius服务器接收客户端的加密结果，同时Radius服务器也会用与客户端相同的加密算法对随机加密字、用户名和密码进行加密处理，并获取加密结果；然后，Radius服务器会将自己的加密结果和客户端的加密结果进行比对，根据比对结果完成对客户端的身份认证。

在上述认证过程中，客户端和Radius服务器之间需要传输完成身份认证必须的用户信息、加密字、口令信息以及认证结果等信息。通常在认证结束后，Radius服务器还需要向客户端下发账户余额、客户端升级信息、广告信息以及认证失败原因等信息，称之为相关认证信息。起初相关认证信息是以私有属性方式进行传输，例如Radius服务器通过向接入交换机发送简单网络管理协议(Simple Network Management Protocol；简称为：SNMP)报文实现下发相关认证信息。其中，SNMP协议主要是帮助管理员简化对支持SNMP协议的设备的设置操作，它通常包含两个参数分别为：基本管理信息(Management Information Base；简称为：MIB)和对象标识符(Object Identifier；简称为：OID)。MIB是一系列定义对象的集合，该集合主要包括需要保存对象的数据项目，数据类型，以及允许在每个数据项目中的操作等。MIB的主要用途是让SNMP协议通过查询或设置在MIB中相应对象的值，实现对网络设备状态的监视或管理。MIB是一个树形的结构，OID就是树上的一个个节点。而接入交换机为通过SNMP报文实现下传功能，需要定义私有的MIB和OID。不同交换机的MIB和OID是不一样的，不同厂商的MIB和OID更不一样。而Radius服务器要使用SNMP报文传输信息，需要兼容不同厂商不同的交换机，这对Radius服务器来说将很不方便。