文/林祥

    无论是H3C公司的EAD还是业界其他同类解决方案，都是以身份和安全状态作为网络接入控制的基准。以H3C公司的EAD为例，这一解决方案涉及EAD客户端、接入设备、AAA服务器以及安全策略服务器四者之间的联动。用户上网需要身份认证的过程：EAD客户端<--->接入设备<--->AAA服务器；还需要经历安全认证：EAD客户端<--->接入设备<--->安全策略服务器。用户在选择部署各种网络接入控制解决方案的时候，往往面临这样的困境：由于安全认证没有明确的标准，如果用户过去购买的接入设备是A公司的，而现在打算部署B公司的网络接入控制方案，则会存在B方案中的安全策略服务器无法与早期购买的A公司接入设备联动的问题，具体而言，就是接入设备无法识别安全策略服务器下发的ACL，除非更换过往购买的接入设备；然而这样显然会浪费客户大量的投资费用。

    为了充分保护客户投资，维护客户利益，H3C的专家们经过精心研究，提出了一种通过最小的改动实现最好的兼容效果的专利技术。目前该技术已在中国、美国等多个国家进行了专利布署，以下结合附图，对该技术专利进行简单介绍：

    本专利技术的核心思想是借助客户端与AAA服务器协助安全策略服务器下发ACL。请参考专利附图，具体的过程可简述如下：身份认证过程与现有的机制一致，安全认证则有所不同：如果客户端安全认证通过，此时安全策略服务器并不下发ACL，相反安全策略服务器回应安全认证通过的结果给客户端，并且把安全ACL以及非H3C设备标识携带在响应报文中。客户端收到该响应报文以后，会主动下线，重新向AAA服务器发起身份认证，并且在请求身份认证的Radius报文携带安全策略服务器下发给客户端的ACL。AAA服务器收到这一请求之后，进行身份认证，然后提取出报文中携带的ACL，将这一ACL发送给接入设备，要求接入设备应用这一ACL。对于安全认证不通过的情形，也是通过重新发起身份认证将相应的隔离ACL下发到接入设备上去。

http://www.h3c.com.cn/res/200902/16/20090216_778510_image001_637486_30008_0.png充分保护用户投资" TITLE="EAD专利：“巧”创新 充分保护用户投资" />

【专利点评】

    通过上述介绍，我们发现专利技术并不是那些看起来非常复杂，深奥难懂的技术。将技术高难度与技术创新的高价值划等号、与专利的高价值划等号是一种认知上的偏见。真正优秀的专利往往是通过巧妙的小范围改进获得很大的实际效果。本专利技术创新的价值重点就在于一个“巧”字上，惟有“巧”才是深厚的技术积累的体现，亦是对用户真实需求的深刻洞察。本专利正是巧妙地利用了重新身份认证这一机制，同时还充分考虑到身份认证有相对统一标准这一实际，有机地将他们融合起来。因为大部分现有的接入设备都支持Radius协议，因此通过重新发起身份认证下发安全的ACL具有很高的通用性，使得安全ACL的下发不再是问题。用户无需更换接入设备，或者被迫选择接入设备提供商的网络接入控制解决方案，实现了充分保护用户投资的目的。

目前，H3C在业务软件方面已申请专利近百件，本期介绍仅是H3C众多“设计精巧”的专利中的一个典型案例。这些专利无不体现了H3C对IP网络技术的深刻理解以及H3C一贯提倡的“创新为你”，保护用户投资的务实精神。