一种网络认证装置及网络认证系统的制作方法

专利名称：：一种网络认证装置及网络认证系统的制作方法
技术领域：
：本实用新型涉及计算机网络通信
技术领域：
，尤其涉及一种网络认证装置及网络"i人i正系统。
背景技术：
：以太网具有开放的特性，用户只要连接到网络设备上，就可以通过网络设备使用各种网络服务。IEEE802.1x标准定义了一种基于工作站/服务器模式的输入控制机制和认证协议，约束网络服务只向那些允许进行访问的用户提供，克服传统网络的安全性弱点。如图1所示，为正EE802.1x典型应用的角色分类示意图，其中，可以看到恳请者、认证者、认证服务器三个角色。恳请者(Supplicant),是最终用户所扮演的角色,一般是运行在PC机上的客户端软件。由它发起对网络服务访问的请求。常见的符合IEEE802.1x客户端标准的软件，如WindowsXP操作系统自带的正EE802.lx客户端。认证者(Authenticator),控制恳请者对网络服务的访问。它实际在认证过程中只是一个认证信息交换的途径，负责与恳请者通信，将恳请者的认证请求发往认证服务器，而后根据认证服务器的指示执行对恳请者网络访问的授权。认证者一般为交换机，路由器等接入控制设备。认证服务器(AuthenticationServer),—般是运行在PC机上的服务器软件。它负责核对认证用户的身份并将认证结果通知认证者。服务器必须是支持RADIUS协议的安全系统。典型的认证服务器软件如Windows2000Server操作系统自带的IAS月良务(InternetAuthenticationService)。常见的认证过程如图2所示，具体包括l.用户运行恳请者客户端软件,此时会发送一个EAPOL—STAR报文；2.认证者收到这个报文后，发送一个EAP—request/identity报文给恳请者；3.此时恳请者答复EAP一response/identity报文给认证者(一般附带用户名信息)。4.认证者收到恳i青者发送的EAP—response/identity报文后，认证者就开始为客户端与认证服务器进行认证报文的转发。如果认证服务器认可恳请者的身份，则认证成功，认证者将允许该用户使用网络，否则，用户将无法使用网络。5.用户如果需要退出认证状态，通过恳请者发送一个EAPOL—Logoff报文通知认证者，认证者收到此报文后，将关闭该用户的网络相关服务。标准的EAPOLJLogoff报文的格式，如表一所示。表一<table>tableseeoriginaldocumentpage5</column></row><table>其中，DestinationMAC:8021x协议使用的组播地址。数据固定填充为01—80一C2J)0一00一03。SourceMAC:IX应用方案中为恳请者所在PC的网卡物理地址。PAEEthernetType:表示Ix协议，数据固定填充为888e。ProtocolVersion:表示协议版本号，数据固定填充为01。PacketType:表示Logoff报文类型，数据固定填充为02。PacketBodyLength:表示协议数据域的字段长度，数据固定填充为0。方案应用中，下线报文不能容易被伪造，并造成该用户被非法踢下线。但8021x协议中规定的EAPOL一Logoff报文，从刚才的报文格式分析中可以发现除了SourceMAC填充为恳请者所在PC的网卡物理地址外，其他字^a均已固定。因此只要知道要攻击方的物理网卡地址，即可以轻易通过构造同一认证端口下其他用户的EAPOL—Logoff报文，并通过发包工具发送(如Sniffer),攻击该用户下线。例如，图1中，恳请者l(PCl)与恳请者2(PC2)同时接入到认证者的端口1。PCI与PC2认证上线；PCI获取PC2的MAC地址(如Windows操作系统中可以通过arp—a命令来得知PC2的MAC地址，假设获取到的为OOdOfB123456);PCI上构造EAPOL一Logoff报文，报文中各字段填写如下DestinationMAC:01—80一C2一00一00—03SourceMAC:00d0f8123456(PC2的MAC地址)PAEEthernetType:888eProtocolVersion:01PacketType:02PacketBodyLength:0其中，除了SourceMAC为步骤3中获取的地址，其他字段均为协议规定的数值。通过发包工具(如sniffer)发送如上的报文。认证者收到PCI恶意伪造的EAPOL一Logoff报文后，会认为是PC2发出的下线请求，并将PC2踢下线，使得PC2无法使用网络。
实用新型内容本实用新型实施例提供一种网络认证装置及网络认证系统，用以解决现有网络认证技术中存在下线安全隐患的问题，并且能够很好的兼容标准的802.1x协议认证过程。一种恳请者设备，该设备包括认证开关、认证响应单元、随机值存储单元和认证退出单元，其中，所述认i正响应单元判断所述认证开关是否打开，如果是，在认i正响应EAP_response报文中添加随机值N，并将所述随机值N保存在所述随机值存储单元；否则，不在认证响应EAP—response净艮文中添加随机值N;所迷认证退出单元获取所述随机值存储单元中的随机值N，并添加在认证退出EAPOL一Logoff报文中。一种网络认证系统，包括认证者和恳请者，所述恳请者中包含认证开关，其中，所述恳请者打开所述认证开关时，在认证响应EAP_response报文中添加随机值N，并在发送给认证者的认证退出EAPOL—Logoff报文中添加随机值N;所述认证者接收i人"ii响应EAP—response4艮文中添加的随机值N并保存；当确认收到的认证退出EAPOL一Logoff报文中携带的P迤机值N与本地保存的随机值N相符，响应所述EAPOLJLogoff报文，否则，丢弃所述EAPOL—Logoff报文。一种认证者设备，该设备包括认证开关、认证成功单元、随机值存储单元和认证确认单元，其中，EAPOL一Success报文中添加随机值N,并将所述随机值N保存在所述随机值存储单元；否则，不在i人证成功EAPOL—Success报文中添加随机值N;所述认证确认单元确认收到的认证退出EAPOL—Logoff报文中携带的随机值N与所述随机值存储单元保存的随机值N相符，响应所述EAPOL—Logoff报文，否则，丢弃所述EAPOL一Logoff报文。一种网络认证系统，包括认证者和恳请者，所述认证者中包含认证开关，其中，所述认证者打开认证开关时，在发送给恳请者的认证成功EAPOL—Success报文中添加随机值N;所述恳请者，保存所述随机值N，并在发送给认证者的认证退出EAPOL—Logoff报文中添加随机值N;所述认证者，还用于验证接收到的认证退出EAPOL—Logoff报文中携带的所述随机值N是否与本地存储的随机值N相符，如果是，响应所述EAPOLJLogoff报文，否则，丢弃所述EAPOL—Logoff报文。本实用新型实施例提供一种恳请者设备，该设备包括认证开关、认证响应单元、随机值存储单元和认证退出单元，所述认证响应单元判断所述认证开关是否打开，如果是，在认证响应EAP—response报文中添加随机值N，并将所述随机值N保存在所述随机值存储单元；否则，不在认证响应EAP—response报文中添加随机值N;所述认证退出单元获取所述随机值存储单元中的随机值N，并添加在认证退出EAPOL一Logoff报文中。本实用新型实施例提供的方案，消除了802.1x协议应用过程中存在的用户被恶意踢下线的隐患，并且，使用随机值进行认证，破解难度大，安全性高；同时，该方案能够4艮好的兼容标准的802.1x协i义iU正过程。图1为现有技术中正EE802.1x典型应用的角色分类示意图；图2为现有技术中的网络认证过程示意图；图3为本实用新型实施例1提供的网络认证系统示意图；图4为本实用新型实施例1提供的恳请者设备结构示意图；图5为本实用新型实施例2提供的网络认证系统示意图；图6为本实用新型实施例2提供的认证者设备结构示意图。具体实施方式本实用新型实施例的主要思路在于在恳请者增加一个认证开关。打开该开关情况下，恳请者在EAP—response报文中添加一个随才几值，表示方案中需要对EAPOL一Logoff报文进行鉴别。当恳请者下线时，在EAPOL—Logoff报文中增加这个随机值并发送给认证者。认证者鉴别随机值符合，报文合法时才进行处理，否则丢弃。不打开该开关的情况下，则与原处理流程一致，以兼容标准的802lx协i义i人i正过程。或者，另外一个方面，该认证开关可以设置于认证者，打开认证开关，当恳请者认证成功时，认证者在EAP—Success净艮文中告知恳请者一个随才几值，表示方案中需要对EAPOL一Logoff报文进行鉴别。当恳请者下线时，在EAPOL_Logoff报文中增加这个随机值并发送给认证者。认证者鉴别随机值符合，报文合法时才进行处理，否则丢弃。不打开该开关的情况下，则与原处理流程一致,以兼容标准的8021x协议认证过程。下面结合各个附图对本实用新型实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。如图3所示，本实用新型实施例1提供的包含认证开关的网络认证系统结构示意图，其中，网络认证开关位于恳请者中，当打开认证开关时，恳请者在认证响应EAP—respoNlse报文中添加随才几值Nl。具体的，随才几值Nl可以添加在EAPOL—Success报文的数据域或其他可以添加数据的地方。同时，恳请者需要在本地将随机值Nl保存下来。这里的随机值Nl可以通过随机算法得到。认证者接收并保存所述随机值Nl。认证者接收到认证响应EAP_respoNlse报文后，提取其中的随机值N1并保存在本地。认证者根据协议的规定，会给恳请者发送EAPOL—Success报文。恳请者在接收到EAPOL_Success报文后，iU正成功，可以才妄入网络。这里，认证者通过判断接收到认证响应EAP一respoNlse报文中是否携带随机值N1确定认证开关是否打开。如果EAP—respoNlse报文中携带随机值Nl,则认证开关打开，认证者进行相应操作；如果EAP—respoNlse报文中没有携带随机值Nl,则认证开关没有打开，认证者以现有的802.1x标准规定的方式进行后续操作。相应的，恳请者打开认证开关后，也可以通过特定的报文发送认证者，通知认证者认证开关打开，需要提取EAP_respoNlse报文中携带的随机值N1。当恳请者准备下线退出网络时，首先需要判断本地是否保存有随机数Nl,如果没有，则以现有的802.1x标准规定的方式发送认证退出EAPOL—Logoff报文；如果本地保存有随机数Ni,恳请者在发送给认证者的认证退出EAPOL一Logoff报文中同样添加随机值N1,发送给认证者。这里，可以将随机数N1经过特定的加密算法得到随机数N1，也可以直接将N1作为Nl。进行加密计算时，采用的加密算法可以为现有的任何加密算法，例如MD5加密算法、DES加密算法、3DES加密算法以及RSA加密算法等，基至可以是用户自定义的算法。只要恳请者对于EAPOL一Logoff报文进行加密后，认证者可以对加密后的报文进行合法性判断即可。由于这几种加密算法均为现有常用加密技术，此处不再赘述。在加密算法中，可以将随机值N1与相应的MAC地址合并加密，得到随机值N1。这里的MAC地址可以更换为用户名、固定值等其它任何约定的值，也可以设么也不加，仅仅对随机值N1进行加密计算得到随机值N1。认证者确认收到的认证退出EAPOL一Logoff报文中携带的随机值Nl与本地保存的随机值Nl相符，响应所述EAPOL—Logoff报文，否则，丢弃所述EAPOL—Logoff报文。认证者在接收到恳请者发送的EAPOL一Logoff报文后，提取其中包含的随机值N1。并获取本地存储的随机值N1，将N1进行与上述步骤中同样的加密算法后，与接收到的随机值Nl进行比较，如果相同则认为二者相符，EAPOL—Logoff报文为合法报文，响应所述EAPOL一Logoff报文；否则，如果得到的值与接收到的Nl不符，则说明该EAPOL一Logoff报文不合法，丢弃该报文。这里，i人证者与恳请者对随机值Nl的加密算法需一致，不论采用何种加密算法，均需要双方一致。认证者与恳请者可以通过事先的协商，或者通过用户的设定来保障双方加密算法的一致。当然，在认证开关关闭时，所有操作过程与现有802.1x标准规定的方式相同，此处不在赘述。由于认证开关包含于恳请者设备中，因此，本实用新型提供了一种恳请者设备，如图4所示，该恳请者设备包括该设备包括i人证开关11、认证响应单元12、随机值存储单元13和认证退出单元14,具体如下认证响应单元12判断认证开关11是否打开，如果是，在认证响应EAP—respoNlse报文中添加随机值Nl，并将随机值Nl保存在随机值存储单元13;否则，不在认证响应EAP—respoNlse报文中添加随一几值Nl,以标准的802.1x协议认证过程中的认证响应EAP一respoNlse4艮文格式发送报文。对应的认证者设备接收到认证响应EAP—respoNlse报文后，判断其中是否添加有随机值Nl,如果有，确认认证开关11为打开状态，需要对随机值N1进行本地存^f渚，否则，确认i人证开关ll关闭，以标准的802.1x协i义认证过程处理报文。在恳请者设备下线的时候，认证退出单元14获取随机值存储单元13中的随机值Nl,并添加在认证退出EAPOL—Logoff报文中。进一步的，认证退出单元14判断随机值存储单元13中是否存储有随机值Nl，如果是，获取随机值Nl,并添加在认证退出EAPOL—Logoff报文中；否则，不在认证退出EAPOL_Logoff报文中添加所述随才几值Nl。这里，为了保障随机值存储单元13中存储的随机值N1是当前认证过程使用的随机值N1，需要在每次认证过程结束后，也就是在每次恳请者设备正常下线后，清空随机值存储单元13。或者，每次认证过程中生成的随机值N1均添加不同的存储标志以区分不同的随才几值Nl。ii对应的认证者设备接收到认证退出EAPOL—Logoff报文后，提取其中的随机值Nl，并与本地存储的随机值Nl进行比较，如果相符，则相应EAPOL一Logoff报文，否则，丢弃EAPOL_Logoff报文。较佳的，上述设备进一步包括随机值生成单元15，用于生成随机值N1。认证响应单元12在确定认证开关11打开时，从随机值生成单元15获取随机值N1,并添加到认证响应EAP—respoN1se才艮文中。较佳的，上述设备进一步包括加密单元16，用于对所述随^/L值Nl进行加-山q开。这里，需要对添加入报文中的随机值N1进行加密，加密单元16获取随枳i值生成单元15或者随机值存储单元13中的随机值N1，进行加密计算后，发送给认证响应单元11或iU正退出单元14。采用的加密算法可以为现有的任何加密算法，例如MD5加密算法、DES加密算法、3DES加密算法以及RSA加密算法等，基至可以是用户自定义的算法。只要恳请者对于EAPOL—Logoff报文进行加密后，认证者可以对加密后的报文进行合法性判断即可。由于这几种加密算法均为现有常用加密技术，此处不再赘述。同理，认证开关可以设置在认证者，如图5所示，其中，当打开^人i正开关时，认证者在发送给恳^青者的认证成功EAPOL一Success报文中添加随机值N2。根据现有的认证过程标准，认证者在恳请者认证成功后，会向恳请者发送一个认证成功报文--EAPOL_Success报文。认证者可以在这个EAPOL—Success报文中添加一个随机值N2。具体的，随机值N2可以添加在EAPOL一Success才艮文的^t据域或其他可以添加H据的地方。同时，认证者需要保存这个随机值N2，保存的方法可以在本地生成一张表，以恳请者的MAC地址做为索引，一个MAC地址对应一个随机值N2。这样，在必要的时候，认证者可以方便的查询不同的恳请者对应的随机值N2。这里的随机值N2可以通过随机算法得到。恳请者在接收到EAPOL_Success报文后，认证成功，可以接入网络。这时，恳请者如果发现EAPOL—Success报文中携带有随机值N2，则需要将随机当恳请者准备下线退出网络时，首先需要判断本地是否保存有随机数N2，如果没有，则以现有的802.lx标准^见定的方式发送^人i正退出EAPOL—Logoff报文；如果本地保存有随机数N2，则在EAPOL一Logoff报文中添加随机数N2，A'V力入"、'+,久&绍、}八》工巧。这里，可以将随机数N2经过特定的加密算法得到随机数N2，也可以直接将N2作为N2。进行加密计算时，采用的加密算法可以为现有的任何加密算法，例如MD5加密算法、DES加密算法、3DES加密算法以及RSA加密算法等，基至可以是用户自定义的算法。只要恳请者对于EAPOL—Logoff报文进行加密后，认证者可以对加密后的报文进行合法性判断即可。由于这几种加密算法均为现有常用加密技术，此处不再赘述。在加密算法中，可以将随机值N2与相应的MAC地址合并加密，得到随机值N2。这里的MAC地址可以更换为用户名、固定值等其它任何约定的值，也可以设么也不加，仅仅对随机值N2进行加密计算得到随机值N2。认证者在接收到恳请者发送的EAPOL一Logoff报文后，提取其中包含的随机值N2。并获取本地存储的随机值N2，将本地保存的N2进行与上述步骤中同样的加密算法后，与接收到的N2进行比较，如果相同则认为二者相符，EAPOL一Logoff报文为合法报文，响应所述EAPOL一Logoff报文；否则，说明该EAPOL—Logoff报文不合法，丟弃该报文。这里，认证者与恳请者对随机值N2的加密算法需一致，不论采用何种加密算法，均需要双方一致。认证者与恳请者可以通过事先的协商，或者通过用户的设定来保障双方加密算法的一致。当然，在认证开关关闭时，所有操作过程与现有802.1x标准规定的方式相同，此处不在赘述。由于认证开关包含于认证者设备中，因此，本实用新型提供了一种认证者设备，如图6所示，该设备包括认证开关21、认证成功单元22、随机值存储单元23和认证确认单元24，具体如下认证成功单元22判断认证开关21是否打开，如果是，在认证成功EAPOL一Success报文中添加随机值N2,并将随机值N2保存在随机值存储单元23;否则，不在认证成功EAPOL—Success报文中添加随机值N2,以标准的802.lx协议认证过程中的认证成功EAPOL—Success才艮文才各式发送才艮文。对应的恳请者设备在接收到认证成功EAPOL—Success报文后，判断其中是否添加随机值N2，如果有，确认认证开关21为打开状态，需要对随机值N2进行本地存储，否则，确认认证开关21关闭，以标准的802.1x协议认证过程处理报文。在恳请者设备下线的时候，在认证退出EAPOL—Logoff报文中天就爱随机值N2。认证确认单元24确认收到的认证退出EAPOL—Logoff报文中携带的随机值N2与随机值存储单元23保存的随机值N2相符，响应所述EAPOL—Logo掛艮文，否则，丟弃所述EAPOL—Logoff报文。进一步的，认证确认单元24还用于，判断随机值存储单元23中是否存储有随机值N2，如果是，获取随机值N2，并与认证退出EAPOL—Logoff报文中携带的随机值N2进行比较；否则，按照标准的802.1x协议认证过程处理报文，响应EAPOL一Logoff报文。这里，为了保障随机值存储单元23中存储的随机值N2是当前认证过程使用的随机值N2，需要在每次认证过程结束后，也就是在每次恳请者设备正常下线后，清空随机值存储单元23。或者，每次认证过程中生成的随机值N2均添加不同的存储标志以区分不同的随机值N2。较佳的，上述设备进一步包括随机值生成单元25,用于生成随机值N2。认证成功单元22在确定认证开关21打开时，从随机值生成单元25获取随机值N2，并添加到EAPOL—Success报文中。较佳的，上述设备进一步包括加密单元26,用于对所述随机值N2进行加密计算。这里，需要对添加入报文中的随机值N2进行加密，加密单元26获取随机值生成单元25或者随机值存储单元23中的随机值N2，进行加密计算后，发送给认证成功单元21或认证确认单元24。采用的加密算法可以为现有的任何加密算法，例如MD5加密算法、DES加密算法、3DES加密算法以及RSA加密算法等，基至可以是用户自定义的算法。只要恳请者对于EAPOL—Logoff报文进行加密后，认证者可以对加密后的报文进行合法性判断即可。由于这几种加密算法均为现有常用加密技术，此处不再赘述。本实用新型实施例中，基本的过程主要包括3个阶段，具体如下阶段l:前置条件打开i人证开关，否则遵守标准的8021X协i义i人证过-呈；阶段2:恳请者认证阶段恳请者生成并发送给认证者随机值，或者认证者下发随机值给恳请者，同时认证者与恳请者都保存该随机值(随机值用于加密算法)；阶段3:恳请者下线阶段恳请者下线时对EAPOL一Logoff报文使用MD5算法进行加密；认证者对收到的EAPOL—Logoff报文进行合法性判断，合法时进行处理，否则丟弃。本实用新型实施例提供的方案，消除了802.1x协议应用过程中存在的用户被恶意踢下线的隐患，并且，使用随机值进行认证，破解难度大，安全性高；同时，该方案能够很好的兼容标准的802.1x协议认证过程。显然，本领域的技术人员可以对本实用新型进行各种改动和变型而不脱离本实用新型的精神和范围。这样，倘若本实用新型的这些修改和变型属于本实用新型权利要求及其等同技术的范围之内，则本实用新型也意图包含这些改动和变型在内。权利要求1、一种恳请者设备，其特征在于，该设备包括认证开关、认证响应单元、随机值存储单元和认证退出单元，其中，所述认证响应单元判断所述认证开关是否打开，如果是，在认证响应EAP_response报文中添加随机值N，并将所述随机值N保存在所述随机值存储单元；否则，不在认证响应EAP_response报文中添加随机值N；所述认证退出单元获取所述随机值存储单元中的随机值N，并添加在认证退出EAPOL_Logoff报文中。2、如权利要求1所述的恳请者设备，其特征在于，所述设备进一步包括随机值生成单元，用于生成随机值N。3、如权利要求1或2所述的恳请者设备，其特征在于，所述设备进一步包括加密单元，用于对所迷随机值N进行加密计算。4、如权利要求1所迷的恳请者设备，其特征在于，所迷认证退出单元还用于，判断所述随机值存储单元中是否存储有随机值N,如果是，获取所述随机值N,并添加在认证退出EAPOL—Logoff报文中；否则，不在所述认证退出EAPOLJLogoff报文中添加所述随机值N。5、一种网络认证系统，包括认证者和恳请者，其特征在于，所述恳请者中包含认证开关，其中，所述恳请者打开所述认证开关时，在认证响应EAP一response4艮文中添加随机值N，并在发送给认证者的认证退出EAPOL一Logoff报文中添加随机值N;所述认证者^^收认证响应EAP—response}艮文中添力口的P逭才/l4直]SI并〗呆存；当确认收到的认证退出EAPOL—Logoff报文中携带的随机值N与本地保存的随机值N相符，响应所迷EAPOL—Logoff报文，否则，丢弃所述EAPOL—Logoff报文。6、一种认证者设备，其特征在于，该设备包括认证开关、认证成功单元、随机值存储单元和认证确认单元，其中，EAPOL—Success净艮文中添加随机值N,并将所迷随才几值N保存在所述随机值存储单元；否则，不在认证成功EAPOL—Success报丈中添加随机值N;所述认证确认单元确认收到的认证退出EAPOL—Logoff报文中携带的随机值N与所述随机值存储单元保存的随机值N相符，响应所述EAPOL—Logoff报文，否则，丢弃所述EAPOL—Logoff报文。7、如权利要求6所迷的认证者设备，其特征在于，所述设备进一步包括随机值生成单元，用于生成随机值N。8、如权利要求6或7所述的认证者设备，其特征在于，所述设备进一步包括加密单元，用于对所述随;f凡值N进行加密计算。9、如权利要求6所迷的认证者设备，其特征在于，所述认证确认单元还用于，判断所述随机值存储单元中是否存储有随机值N,如果是，获取所述随机值N，并与认证退出EAPOL^Logoff报文中携带的随机值N进行比较；否则，响应所述EAPOL—Logoff报文。10、一种网络认证系统，包括认证者和恳请者，其特征在于，所述认证者中包含认证开关，其中，所述认证者打开认证开关时，在发送给恳请者的认证成功EAPOL—Success报文中添加随机值N;所述恳请者，保存所述随机值N，并在发送给认证者的认证退出EAPOL—Logoff报文中添加随机值N;所迷认证者，还用于验证接收到的认证退出EAPOL一Logoff报文中携带的所述随机值N是否与本地存储的随机值N相符，如果是，响应所述EAPO乙JLogoff报文，否则，丟弃所迷EAPOL—Logoff报文。专利摘要本实用新型公开了一种网络认证装置及网络认证系统，包括恳请者设备，该设备包括认证开关、认证响应单元、随机值存储单元和认证退出单元，所述认证响应单元判断所述认证开关是否打开，如果是，在认证响应EAP_response报文中添加随机值N，并将所述随机值N保存在所述随机值存储单元；否则，不在认证响应EAP_response报文中添加随机值N；所述认证退出单元获取所述随机值存储单元中的随机值N，并添加在认证退出EAPOL_Logoff报文中。本实用新型实施例提供的方案，消除了802.1x协议应用过程中存在的用户被恶意踢下线的隐患，并且，使用随机值进行认证，破解难度大，安全性高；同时，该方案能够很好的兼容标准的802.1x协议认证过程。文档编号H04L29/06GK201294532SQ200820123878公开日2009年8月19日申请日期2008年11月24日优先权日2008年11月24日发明者郑庆达申请人:北京星网锐捷网络技术有限公司