基于本地认证802.1x认证系统认证方法及认证设备的制造方法
【技术领域】
[0001 ] 本发明涉及802.1x认证领域,特别涉及一种基于本地认证802.1x认证系统认证方法及认证设备。
【背景技术】
[0002]802.1x协议是一种基于端口的网络接入控制协议,可以对局域网设备实现端口级接入控制和认证。典型的802.1x系统为C/S体系结构,包括客户端、设备端、认证服务器(通常使用Radius认证)三个实体,如图1所示。
[0003]其中,客户端和设备之间通过EAPOL (Extensible Authenticat1n Protocolover LAN,局域网上的可扩展认证协议)进行交互;设备端和认证服务器之间通过EAPOR(Extensible Authenticat1n Protocol over Radius,基于 Radius 的可扩展认证协议)进行交互。
[0004]但在某些简单的应用场景中出于对成本、可维护性、可实施性等各方面因素考虑,可能只有客户端和设备端,而不会部署认证服务器,所以802.1x系统的典型体系结构对于上述简单应用场景并不适用。
【发明内容】
[0005]本发明的目的在于克服现有技术中一些简单的应用场景仅设置有客户端及设备端而无认证服务器,导致无法进行802.1x认证服务的问题,提供一种可以在设备端内置有本地认证功能的802.1x认证系统的认证方法。
[0006]为了实现上述发明目的,本发明提供了以下技术方案:
一种基于本地认证的802.1x认证系统的认证方法,所述802.1x认证系统包括客户端以及设备端,所述设备端中设置有本地设备模块及本地认证模块,所述方法包括如下步骤:
(1)所述设备端的本地设备模块响应所述客户端发送的认证请求向所述客户端发出用户名请求,或,
所述设备端的本地设备模块检测到有新的客户端加入系统后自动向所述客户端发出用户名请求;
(2)客户端响应用户名请求,将自己的用户名发送至所述设备端的本地设备模块;
(3)所述设备端根据接收到的用户名随机生成挑战值,并将该挑战值发送至所述客户端;
(4)所述客户端用接收到的所述挑战值对用户密码进行加密,并将加密后的密码发送到所述设备端;
(5)所述设备端中本地认证模块对用户密码进行验证,并将验证结果通过所述本地设备模块反馈至客户端。
[0007]某些实施例中,所述挑战值由所述本地设备模块生成,其生成后直接由所述本地设备模块传送至所述客户端。
[0008]另外一些实施例中,所述挑战值由所述本地认证模块生成,所述挑战值生成后经由所述本地设备模块传送至所述客户端。
[0009]进一步的,所述本地认证模块在生成所述挑战值前,先验证本地用户表中是否存在该用户名,如不存在,则直接返回认证失败。
[0010]进一步的,所述生成挑战值的步骤中,还包括对该挑战值进行加密处理的步骤。[0011 ] 一些实施例中,所述设备端对挑战值进行加密的方式为MD5加密算法。
[0012]进一步的,当采用MD5加密算法对所述挑战值进行加密时,本地认证模块对用户密码进行验证的步骤中,所述本地认证模块利用挑战值对本地用户表中保存的密码进行加密后与本地设备模块传送来的加密后用户密码进行比对,如果相同,则认证成功;反之认证失败。
[0013]另外一些实施例中,所述设备端对挑战值进行加密的方式为3DES加密算法。
[0014]进一步的,当采用3DES加密算法对所述挑战值进行加密时,本地认证模块对用户密码进行验证的步骤中,所述本地认证模块对用户密码解密后与本地用户表中的密码进行比对,如果相同,则认证成功;反之认证失败。
[0015]本发明同时提供一种可以本地认证的802.1x认证设备,包括,本地设备模块及本地认证模块;所述本地认证模块及本地设备模块集成封装于所述认证设备内;
所述本地设备模块用于响应客户端的认证请求向客户端发出用户名请求,或,检测到有新的客户端接入时自动向所述客户端发出用户名请求;根据客户端发来的用户名产生挑战值或接收自所述本地认证模块发来的挑战值,并将该挑战值反馈至客户端;将自客户端发来的用户名、用户密码及自身产生的挑战值发送至本地认证模块;根据本地认证模块的认证结果将客户端连接的端口打开或维持关闭;
所述本地认证模块用于接收自所述本地设备模块传来的客户端用户名,根据该用户名产生挑战值,或,接收产生自所述本地设备模块的挑战值;根据接收到的客户端用户名、用户名密码及自身或本地设备模块产生的挑战值对客户端进行认证;将认证结果反馈至所述本地设备模块及客户端。
[0016]与现有技术相比,本发明的有益效果:本发明提供一种基于本地认证的802.1x认证系统的认证方法,通过在设备端内置802.1x本地认证模块,使得系统只需客户端及设备端即可完成系统的802.1x认证,简化了系统结构;另外本申请提供的认证方法还利用本地认证模块或本地设备模块产生的挑战值对用户密码进行加密,加密方式包括MD5加密方式、3DES加密方式、混合加密方式等多种形式,数据传输过程更加安全可靠。
[0017]【附图说明】:
图1为现有技术中典型的802.1x认证系统。
[0018]图2为本发明中设备端设置有本地认证模块的802.1x认证系统。
[0019]图3为本发明实施例1中认证方法。
[0020]图4为本发明实施例2中认证方法。
【具体实施方式】
[0021]下面结合附图及具体实施例对本发明作进一步的详细描述。但不应将此理解为本发明上述主题的范围仅限于以下的实施例,凡基于本
【发明内容】
所实现的技术均属于本发明的范围。
[0022]实施例1:如图3所示,本实施例提供一种基于本地认证的802.1x认证系统的认证方法,
所述802.1x认证系统包括客户端I以及设备端2,所述设备端2中设置有本地设备模块21 (其功能相当于传统的802.1x认证系统中的设备端功能)及本地认证模块22 (其功能包括传统的802.1x认证系统中认证服务器功能),所述方法包括如下步骤:
5101:所述设备端2的本地设备模块21响应所述客户端I发送的认证请求向所述客户端I发出用户名请求,或,
所述设备端2的本地设备模块21检测到有新的客户端I加入系统后自动向所述客户端I发出用户名请求;
5102:客户端I响应用户名请求,将自己的用户名发送至所述设备端2的本地设备模块
21 ;
5103:所述设备端2根据接收到的用户名随机生成挑战值,本实施例中,所述挑战值由所述本地设备模块21生成,其生成后直接由所述本地设备模块21传送至所述客户端I ;在生成所述挑战值时,所述本地设备模块21还可根据设置选择对该挑战值进行加密处理或不进行加密处理;在选择加密处理时,所述本地设备模块21可选用MD5加密算法或3DES加密算法对所述挑战值进行加密。应注意的是,所述本地设备模块21可以通过配置让用户选择使用哪种加密算法,当用户选定时,所述本地设备模块21每次对挑战值进行加密时均采用用户所选择的加密算法进行加密;同时,用户也可以选择让所述本地设备模块21在每次加密时自动随机选择具体的加密算法。
[0023]S104:所述客户端I用接收到的所述挑战值对用户密码进行加密,并将加密后的密码发送到所述设备端2中的本地设备模块21 ;
S105:所述设备端2的本地认证模块22从所述本地设备模块21接收所述用户名、加密后的用户密码及挑战值,并对用户密码进行验证,之后将验证结果通过所述本地设备模块21反馈至客户端I ;应注意的是,由于本地认证模块22与本地设备模块21均集成在设备端2中,因此所述本地认证模块22与本地设备模块21之间采用接口调用的方式进行数据传输。
[0024]当采用MD5加密算法对所述挑战值进行加密时,所述本地认证模块22对用户密码进行验证时,先利用挑战值对本地用户表中保存的密码进行加密后与自本地设备模块21传来的用户密码进行比对,如果相同,则认证成功;反之认证失败,所述本地设备模块21还根据认证结果对客户端的接入端口进行打开或维持关闭操作。
[0025]当采用3DES加密算法对所述挑战值进行加密时,所述本地认证模块22对用户密码进行验证时,直接将本地设备模块21传来的用户密码解密后与本地用户表中的密码进行比对,如果相同,则认证成功;反之认证失败。
[0026]实施例2:如图4所示,本实施例提供一种基于本地认证的802.1x认证系统的认证方法,
所述802.1x认证系统包括客户端I以及设备端2,所述设备端2中设置有本地设备模块21 (其功能相当于传统的802.1x认证系统中的设备端功能)及本地认证模块22 (其功能包括传统的802.1x认证系统中认证服务器功能),所述方法包括如下步骤:
5201:所述设备端2的本地设备模块21响应所述客户端I发送的认证请求向所述客户端I发出用户名请求,或,
所述设备端2的本地设备模块21检测到有新的客户端I加入系统后自动向所述客户端I发出用户名请求;
5202:客户端I响应用户名请求,将自己的用户名发送至所述设备端2的本地设备模块
21 ;
5203:所述设备端