一种认证服务方法与流程

文档序号:11206314阅读:567来源:国知局
一种认证服务方法与流程

本发明涉及一种网络安全认证方法,具体地说,涉及一种基于802.1x上的扩展认证协议(eap)的认证方法。



背景技术:

ieee802.1x是由ieee制定的关于用户接入网络的认证标准,是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1x协议可以限制未经授权的用户/设备通过接入端口访问局域网,是一种可信网络接入技术的认证协议,以其协议安全、实现简单的特点,与其他认证协议一起,为使用不对称数字用户线(asymmetricdigitalsubscriberline,简称adsl)、vdsl、局域网lan、无线局域网wlan等多种宽带接入方式的用户提供了丰富的认证方式。

802.1x认证系统采用网络应用系统典型的client/server(c/s)结构,包括三个部分:客户端(client)、设备端(device)和认证服务器(server),如图1所示。在图1所述的局域网中,客户端和交换机以有线连接,或者是和无线接入点以无线方式连接,再接入核心网中,且网络中包括认证服务器来验证计算机用户身份的合法性。其中认证服务器通常为radius服务器,用于存储有关接入请求者的用户身份及设备身份信息,比如接入请求者的设备访问控制列表等等。当接入请求者通过认证后,认证服务器把接入请求者的相关信息传递给认证者,由认证者构建动态的访问控制列表,接入请求者的后续流量接受上述参数的监管。

但是,现有技术中对用户的认证通常采用用户名和密码或者随机密钥等方法进行认证,然而对保密要求或者安全防范要求比较高的网络,不仅需要对用户进行认证,同时还需要对设备的接入进行认证,而对设备的验证,既要认证接入设备的合法性,也要认证接入设备内部设备的安全性。因为在某些环境中,计算机设备的内部元器件随时存在被替换的可能,这样就会破坏信息系统中该环节的安全性,甚至会危及整个系统的安全性。

现有技术中对计算机的认证还可采用可信运算平台(trustedcomputingplatform,tpm)或者我国的tpm替代部件——可信密码模块(trustedcryptographymodule,tcm),但是不管是tpm还是tcm,都需要在计算机内部增加硬件模块也就是芯片来实现其功能。



技术实现要素:

针对上述技术问题,本发明的目的在于提供一种通过802.1x认证来提高安全性的认证网络和认证方法,又不需要在计算机内部增加芯片,从而解决了网络中接入设备的安全性验证。

为达到上述目的,本发明是通过以下技术方案实现的:

步骤1:客户端接入局域网,向设备端发起eapol开始报文,启动802.1x认证接入。设备端向客户端发送eap身份请求报文,要求客户端发来用户名和客户端的硬件信息;

步骤2:客户端向设备端回应eap身份认证应答报文,其中包括用户名和硬件信息;

步骤3:设备端收到eap身份认证应答报文封装到radius访问请求报文中,发送到认证服务器中;

步骤4:认证服务器收到radius访问请求报文后,将认证服务器端计算获取的硬件信息和认证服务器的数据库中所存储的硬件信息向对比,对比方法为:

(1)如果计算得到的硬件信息和数据库中的硬件信息完全一致,则判断为硬件完整;

(2)如果计算得到的硬件信息和数据库中的硬件信息不一致,且只有其中一个硬件的硬件信息不一致,但是读取到的该硬件和数据库中的硬件属于同一品牌同一型号或系列型号,且客户端的硬件设备型号优于或等于数据库中存储的原型号,则属于情况(2);

(3)如果计算得到的硬件信息和数据库中的硬件信息不一致,其中一个硬件的硬件id不一致且不属于同一品牌或同一型号,或者硬件型号差于数据库中存储的原型号,或者其中至少两个硬件的硬件信息不一致,则属于情况(3);

步骤5:认证服务器在硬件信息认证后,向设备端发送产生radius访问质询报文。

步骤6:设备端收到访问质询报文后,将报文中的质询请求发送到客户端,请求质询。

步骤7:客户端收到质询请求后,将密码和质询做md5算法后,回应给设备端;

步骤8:设备端将质询、md5算法得到的密码和用户名一起送到认证服务器,由认证服务器进行认证;

步骤9:认证服务器根据用户信息判断用户是否合法,并根据不同情况回复不同响应信号,具体如下:

(1)用户名密码认证成功,且硬件信息认证完全符合时,回应认证成功报文给设备端,设备端给客户端分配ip地址;

(2)用户名密码认证成功,但当硬件信息认证属于情况(2),则回应认证部分成功报文给设备端,设备端给客户端分配一次性ip,仅限于本次连接使用,客户端成功连接上局域网后,客户端通过软件连接客户设备修改系统,上报硬件更改结果,并经由管理员审批成功后,同步修改服务器上的数据库,将该客户端所对应的数据库中的硬件信息修改为新的硬件信息;

(3)用户名密码认证不成功,或硬件信息认证属于情况(3),则回应eap失败报文给设备端,设备端不给客户端分配ip地址,且当硬件信息认证不成功时,认证服务器同时发送报警信息给管理员。

该网络认证方法进一步包括:客户端获取本机的硬件信息,包括硬盘序列号id、cpu标识号id、内存条序列号、主板序列号和网卡mac地址中的三个或三个以上的信息。

该网络认证方法进一步包括:采用非对称密钥进行加密,客户端采用认证服务器端的公钥对合并后的硬件信息进行加密,随后在认证服务器端利用私钥对接收到的加密信息进行解密,以得到该客户端当前的硬件信息。

该网络认证方法进一步包括:可以采用rsa算法来计算公钥和私钥矩阵。

该网络认证方法进一步包括:在计算硬件信息时,可以根据不同的硬件计算其硬件信息。

该网络认证方法进一步包括:由设备端自动检测是否有新客户端加入,当检测到有新客户端接入时,主动向客户端发起eap身份请求报文,要求客户端发来用户名和客户端的硬件信息,省略eapol开始报文。

本申请还公开了一种增强安全性的网络认证系统,包括客户端,设备端和认证服务器,其中三者之间通过上述网络认证方法进行认证。

附图说明

图1是802.1x系统结构图;

图2是本发明认证网络的认证方法的流程图;

图3是本发明认证服务器自动记录硬件信息的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白,下面结合附图和实施例对本发明进行进一步的说明。显然,所描述的实施例仅仅是本发明一部分实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。

图2为本发明增强安全性的网络认证服务的流程图,如图2所示,用户客户端、设备端和认证服务器的工作流程如下:

步骤1:需要管理的物理环境中的网络客户端接入局域网,客户端通过设备端为客户端提供的非受控端口向设备端发送eapol开始报文,来启动802.1x的认证接入。设备端向客户端发送eap身份请求报文,要求客户端发来用户名和客户端的硬件信息。其中,非受控端口是设备端提供的两个端口之一,该端口可看成为可扩展认证协议(eap)端口,不进行认证控制,同时该非受控端口始终处于双向连通状态,主要用来传递在通过认证前必需的eapol协议帧,保证客户端始终能够发出或接收认证报文。

在一个优选实施方式中,客户端获取本机的硬件信息,包括硬盘序列号id、cpu标识号id、内存条序列号、主板序列号和网卡mac地址中的三个或三个以上的信息,单独计算各个硬件的硬件信息之后将这些硬件信息进行合并,合并后的硬件信息中记录有各需要保护硬件的硬件信息名称及硬件信息合并时的顺序信息。

为了传输过程的安全性,需要对硬件信息进行加密传输,但是由于在认证服务器端需要对硬件信息进行解密并和数据库中存储的硬件信息相比较,因此,在进行硬件信息加密时,不能采用哈希算法来进行加密。

在一个优选实施方式中,采用非对称密钥进行加密,客户端采用认证服务器端的公钥对合并后的硬件信息进行加密,随后在认证服务器端利用私钥对接收到的加密信息进行解密,以得到该客户端当前的硬件信息。

在一个优选实施方式中,可以采用rsa算法来计算公钥和私钥矩阵,具体步骤如下:

(1)选择两个不同的大素数p和q;

(2)计算乘积n=pq和φ(n)=(p-1)(q-1);

(3)选择大于1小于φ(n)的随机整数e,使得gcd(e,φ(n))=1;注:gcd即最大公约数;

(4)计算d使得d*e=1modφ(n);注:即d*emodφ(n)=1;

(5)对每一个密钥k=(n,p,q,d,e),定义加密变换为ek(x)=xemodn,解密变换为dk(x)=ydmodn,这里x,y∈zn;

(6)p,q销毁,以{e,n}为公开密钥,{d,n}为私有密钥。

在一个优选实施方式中,在计算硬件信息时,可以根据不同的计算方法来计算其硬件信息。

在另一优选实施方式中,也可由设备端自动检测是否有新客户端加入,当检测到有新客户端接入时,主动向客户端发起eap身份请求报文,要求客户端发来用户名和客户端的硬件信息,从而省略eapol开始报文。

步骤2:客户端向设备端回应eap身份认证应答报文,其中包括用户名和硬件信息。

步骤3:设备端收到eap身份认证应答报文,并将该eap身份应答报文封装到radius访问请求报文中,随后将radius访问请求报文发送到认证服务器中。

步骤4:认证服务器收到radius访问请求报文后,提取加密后的硬件信息,认证服务器查找共享的公钥,并相应的私钥对该加密硬件信息进行解密,得到解密后的客户端的硬件信息,随后将认证服务器端计算获取的硬件信息和认证服务器的数据库中所存储的硬件信息向对比,如果各个硬件信息对比都相等,则说明该客户端的硬件设备完整,否则该客户端的硬件设备不完整。

如果出现所述客户端中的硬件信息与认证服务器的数据库中所存储的硬件信息不一致的情况,那么说明客户端中的某些硬件设备被替换了,但是硬件设备的替换可能有几种情况:一种情况是由于使用者非法替换或者窃取硬件设备导致的;另一种情况是由于硬件设备自然损耗所导致的硬件更换,例如硬盘损坏导致更换硬盘。如果是前者,则硬件完整性认证不通过,但如果是后者,则可能会由于认证服务器数据库更新不及时而导致合法更换硬件的用户无法正常使用网络,因此要予以区分。

在一个优选实施方式中,认证服务器在比较硬件信息时,进行下述判断:

(1)如果计算得到的硬件信息和数据库中的硬件信息完全一致,则判断为硬件完整;

(2)如果计算得到的硬件信息和数据库中的硬件信息比对时发现,其中一个硬件的硬件信息不一致,但是客户端读取到的该硬件和数据库中的硬件属于同一品牌同一型号或类似型号,且客户端的硬件设备型号优于或等于数据库中存储的原型号,则认为是由于硬件设备自然损耗所导致的合理的硬件更换;

(3)如果计算得到的硬件信息和数据库中的硬件信息比对时发现,其中一个硬件的硬件id不一致且不属于同一品牌或同一型号,或者硬件型号差于数据库中存储的原型号,或者其中至少两个硬件的硬件信息不一致,则认为该客户端硬件完整性认证不通过,有可能是客户端内部元器件被非法替换或窃取。

在另一优选实施方式中,在比对判断硬件信息时,将硬盘序列号id、cpu标识号id、内存条序列号、主板序列号和网卡mac地址中的每个硬件信息解析成归一化的硬件信息向量,使得各向量中各参数的取值范围为[0,1]。例如硬盘的硬件信息向量由品牌、尺寸、容量、转速、接口组成,如表1所示:

表1

在认证服务器端的数据库中存储有各客户端的原始归一化的硬件信息向量,使得各向量中各参数的取值范围为[0,1]。分别记录为如表2:

表2

认证服务器接收并解密硬件信息后和数据库中存储的硬件信息进行比较,当硬件信息不相同时,根据认证服务器上存储的硬件信息向量和接收的客户端现硬件信息,对该出现差异的硬件进行计算,得到其余弦距离cos(h),具体计算公式为:

其中,xij为接收的硬件信息,yij为认证服务器上存储的硬件信息,其中i指示硬件信息出现差异的硬件,i为1~5的自然数,分别对应硬盘、cpu、内存、主板和网卡信息发生差异,j为各硬件的硬件信息对比所需要的参数,例如硬盘信息中,j为1~5的自然数,具体参见表1,2,且参数和硬件可根据实际需要进行增减,n表示出现差异的硬件的最大对比参数数量。

仍然以硬盘为例,如果硬盘的信息对比出现差异,则其余弦距离为:

在认证服务器中还设置一差别阈值,当余弦距离cos(h)大于等于差别阈值时,说明该硬件的变更处于可接受的范围内,即该硬件变动属于情况(2);如果余弦距离cos(h)小于差别阈值时,说明该硬件的变更处于不可接受的范围,即该客户端硬件完整性认证不通过,该硬件的变更属于情况(3)。

步骤5:认证服务器在计算硬件信息并比较后,向设备端发送产生radius访问质询报文。

步骤6:设备端收到radius访问质询报文后,将该消息解封后,将报文中的质询请求发送到客户端,请求质询。

步骤7:客户端收到质询请求后,将自身密码和质询做md5算法后,回应给设备端;

步骤8:设备端将质询、经过md5算法得到的密码和用户名一起发送到认证服务器,由认证服务器进行认证;

步骤9:认证服务器根据用户信息判断用户是否合法,并根据不同情况回复不同响应信号,具体如下:

(1)用户名密码认证成功,且硬件信息认证完全符合时,回应认证成功报文给设备端,设备端给客户端分配ip地址;

(2)用户名密码认证成功,但当硬件信息认证属于对比情况(2),则回应认证部分成功报文给设备端,设备端给客户端分配一次性ip,仅限于本次连接使用,客户端成功连接上局域网后,客户端通过软件连接客户设备修改系统,上报硬件更改结果,并经由管理员审批成功后,同步修改服务器上的数据库,将该客户端所对应的数据库中的硬件信息修改为新的硬件信息;

(3)用户名密码认证不成功,或硬件信息认证属于对比情况(3),则回应eap失败报文给设备端,设备端不给客户端分配ip地址,且当硬件信息认证不成功时,认证服务器同时发送报警信息给管理员。

图3是本发明认证服务器端记录硬件信息的流程图,按照本发明的另一优选实施方式,认证服务器中数据库存储的硬件信息为客户端首次接入认证服务器时自动添加的,具体包括以下步骤:

步骤10:在用户新领取客户端时,在认证服务器的数据库中由管理员录入用户名和密码,并将该用户名关联的硬件信息设置为null(空);

步骤20:客户端接入局域网,向设备端发起eapol开始报文,启动802.1x认证接入。设备端向客户端发送eap身份请求报文,要求客户端发来用户名和客户端的硬件信息;

步骤30:客户端向设备端回应eap身份认证应答报文,其中包括用户名和硬件信息;

步骤40:设备端收到eap身份认证应答报文封装到radius访问请求报文中,发送到认证服务器中;

步骤50:认证服务器收到radius访问请求报文后,解析出用户名和硬件信息,并查询该用户名关联的硬件信息是否为空,若为空,则认定该进行认证的客户端为首次登陆,将解析得到的硬件信息填入和该用户名关联的硬件信息数据表项中;若不为空,则说明该客户端不是首次登陆,继续执行原有的对比及认证程序。由此,有效提升了管理员输入硬件信息的效率。

基于本申请的技术方案,可以实现了一种增强安全性的认证网络及其认证方法,既兼顾了设备的常规更替,又防止了客户端设备的非法窃取,且减少了网络管理员的工作量,还避免了录入过程中可能出现的差错。

对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1