基于802.1x协议的认证方法及系统的制作方法

基于802.1x协议的认证方法及系统的制作方法
【专利摘要】本发明公开了一种基于802.1X协议的认证方法及系统，该方法包括：每当客户端接收到用户所输入的用户名和密码时，均将登陆用户的用户名和密码发送至认证服务器进行认证，且当认证通过后，允许用户访问局域网中的资源，否则，拒绝用户访问局域网中的资源；采用本发明的方法及系统，可拒绝不合法用户访问局域网中的资源。
【专利说明】基于802.1X协议的认证方法及系统
【技术领域】
[0001]本发明涉及通信【技术领域】，特别涉及一种基于802.1X协议的认证方法及系统。
【背景技术】
[0002]802.1X协议是一种基于端口的网络接入控制协议，所谓基于端口的网络接入控制是指在局域网接入设备的端口这一级对所接入的用户进行认证；其中，当所接入的用户通过认证后，即可访问局域网中的资源；否则无法访问局域网中的资源。
[0003]由于在现有技术中，接入设备的一个端口可接入多个用户，且针对其中的一个端口，只要该端口下的第一个用户认证成功后，该端口下的其它用户无需再进行认证即可访问局域网中的资源；这样，无疑使得该端口下不合法的用户亦可访问局域网中的资源。

【发明内容】

[0004]有鉴于此，本发明的目的在于提供一种基于802.1X协议的认证方法及系统，以拒绝不合法用户访问局域网中的资源。
[0005]为实现上述目的，本发明提供如下技术方案:
[0006]—种基于802.1X协议的认证方法,包括:
[0007]每当客户端接收到用户所输入的用户名和密码时，发送认证请求报文至接入设备;
[0008]所述接入设备发送询问认证报文至所述客户端；
[0009]所述客户端发送应答报文至所述接入设备；其中，所述应答报文中至少包括所述用户的用户名；
[0010]所述接入设备对所述应答报文进行封装，获得认证报文，且将所述认证报文发送至所述认证服务器；
[0011]所述认证服务器对所述认证报文进行解析，获得所述用户的用户名；
[0012]所述认证服务器对所述用户名的合法性进行认证；
[0013]当所述认证通过后，所述认证服务器生成随机数，且将所述随机数经所述接入设备转发至所述客户端；
[0014]所述客户端利用预设的加密算法对所述随机数和密码进行加密，生成第一随机密码，且将所述第一随机密码经所述接入设备转发至所述认证服务器；
[0015]所述认证服务器利用预设的加密算法对所述随机数和自身所存储的用户名通过认证的用户的密码进行加密，生成第二随机密码；
[0016]所述认证服务器将所述第一随机密码和所述第二随机密码进行对比，若相同，则认证通过，允许所述用户访问局域网中的资源；否则认证不通过，拒绝所述用户访问局域网中的资源。
[0017]优选的，所述方法还包括:在预设时间内，当所述客户端未接收到用户所输入的用户名和密码时，执行所述接入设备发送询问认证报文至所述客户端这一步骤。[0018]优选的，当所述用户认证通过后，所述方法还包括:
[0019]所述认证服务器发送通过认证报文至所述接入设备；
[0020]所述接入设备查看自身的二层表中是否存储有通过认证的用户所登陆的客户端的硬件地址；
[0021]当未存储有所述硬件地址时，将所述硬件地址存储至所述二层表中。
[0022]优选的，当所述用户认证不通过后，所述方法还包括:
[0023]所述认证服务器发送未通过认证报文至所述接入设备；
[0024]所述接入设备查看自身的二层表中是否存储未通过认证的用户所登陆的客户端的硬件地址；
[0025]当存储有所述硬件地址时，从二层表中删除所述硬件地址。
[0026]优选的，所述预设的加密算法为第五版信息摘要算法MD5。
[0027]一种基于802.1X协议的认证系统，包括:
[0028]客户端用于，每当接收到用户所输入的用户名和密码时，发送认证请求报文至接入设备、发送应答报文至所述接入设备以及利用预设的加密算法对随机数和密码进行加密，生成第一随机密码，且将所述第一随机密码发送至所述接入设备；其中，所述应答报文中至少包括所述用户的用户名；
[0029]所述接入设备用于，发送询问认证报文至所述客户端、对所述应答报文进行封装，获得认证报文，且将所述认证报文发送至认证服务器、将所述随机数转发至所述客户端、将所述第一随机密码转发至所述认证服务器；
[0030]所述认证服务器用于，对所述认证报文进行解析，获得所述用户的用户名、对所述用户名的合法性进行认证、生成随机数，且将所述随机数发送至所述接入设备、利用预设的加密算法对所述随机数和自身所存储的用户名通过认证的用户的密码进行加密，生成第二随机密码以及将所述第一随机密码和所述第二随机密码进行对比，若相同，则认证通过，允许所述用户访问局域网中的资源，否则认证不通过，拒绝所述用户访问局域网中的资源。
[0031]优选的，当所述客户端未接收到用户所输入的用户名和密码时，所述接入设备还用于，在预设时间内，主动发送询问认证报文至所述客户端。
[0032]优选的，当所述用户认证通过后，
[0033]所述认证服务器还用于，发送通过认证报文至所述接入设备；
[0034]所述接入设备还用于，查看自身的二层表中是否存储有通过认证的用户所登陆的客户端的硬件地址及当未存储所述硬件地址时，将所述硬件地址存储至所述二层表中。
[0035]优选的，当所述用户认证未通过后，
[0036]所述认证服务器还用于，发送未通过认证报文至所述接入设备；
[0037]所述接入设备还用于，查看自身的二层表中是否存储未通过认证的用户所登陆的客户端的硬件地址及当存储有所述硬件地址时，从二层表中删除所述硬件地址。
[0038]优选的，所述预设的加密算法为第五版信息摘要算法MD5。
[0039]由上述的技术方案可以看出，在本发明实施例中，每当客户端接收到用户所输入的用户名和密码时(代表此时有用户要访问局域网络)，均将该用户的用户名和密码发送至认证服务器进行认证，且只有认证通过，才允许该用户访问局域网中的资源，否则拒绝该用户访问局域网中的资源；由上可见，采用本发明的方法及系统，可拒绝不合法用户访问局域网中的资源。
【专利附图】

【附图说明】
[0040]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0041]图1为本发明实施例所提供的基于802.1X协议的认证方法的流程图；
[0042]图2为本发明实施例所提供的基于802.1X协议的认证方法的另一流程图；
[0043]图3为本发明实施例所提供的基于802.1X协议的认证方法的又一流程图；
[0044]图4为本发明实施例所提供的基于802.1X协议的认证系统的示意图。
【具体实施方式】
[0045]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0046]本发明公开了一种基于802.1X协议的认证方法，如图1所示，该方法至少包括以下步骤:
[0047]Sll:每当客户端接收到用户所输入的用户名和密码时，发送认证请求报文至接入设备；
[0048]S12:接入设备发送询问认证报文至客户端；
[0049]S13:客户端发送应答报文至接入设备；其中，应答报文中至少包括用户的用户名；
[0050]S14:接入设备对应答报文进行封装，获得认证报文，且将认证报文发送至认证服务器；
[0051]S15:认证服务器对认证报文进行解析，获得用户的用户名；
[0052]S16:认证服务器对用户名的合法性进行认证；
[0053]S17:当认证通过后，认证服务器生成随机数，且将随机数经接入设备转发至客户端;
[0054]S18:客户端利用预设的加密算法对随机数和密码进行加密，生成第一随机密码，且将第一随机密码经接入设备转发至认证服务器；
[0055]具体的，预设的加密算法可为第五版信息摘要算法(Message-DigestAlgorithm5, MD5)；
[0056]S19:认证服务器利用预设的加密算法对随机数和自身所存储的用户名通过认证的用户的密码进行加密，生成第二随机密码；
[0057]S20:认证服务器将第一随机密码和第二随机密码进行对比，若相同，则认证通过，允许用户访问局域网中的资源；否则认证不通过，拒绝用户访问局域网中的资源。
[0058]由上可见，在本发明实施例中，每当客户端接收到用户所输入的用户名和密码时(代表此时有用户要访问局域网络)，均将该用户的用户名和密码发送至认证服务器进行认证，且只有认证通过，才允许该用户访问局域网中的资源，否则拒绝该用户访问局域网中的资源；由上可见，采用本发明的方法，可拒绝不合法的用户访问局域网中的资源。
[0059]需要说明的是，本发明的接入设备可具体为交换机，而当首次对交换机所接入的用户进行认证时，需对交换机进行初始化，清空二层表中的硬件地址表，设置中央处理器不学习硬件地址，对源硬件地址查找失败的包进行丢弃处理，在此时，交换机各个端口所连接的客户端不能通过端口访问局域网。
[0060]在本发明其它实施例中，针对客户端未接收到用户所输入的用户名和密码这种情况，在预设时间内，可直接执行S12 (即接入设备发送询问认证报文至客户端)这一步骤开始认证。
[0061]在本发明其它实施例中，当用户认证通过后，上述所有实施例中的方法，如图2所示，还可包括:
[0062]S31:认证服务器发送通过认证报文至接入设备；
[0063]S32:接入设备查看自身的二层表中是否存储有上述通过认证的用户所登陆的客户端的硬件地址；
[0064]S33:当未存储有硬件地址时，将硬件地址存储至自身二层表中。
[0065]由上可见，当将通过认证的用户的硬件地址存储至接入设备的二层表中，此时即将该端口改为授权状态，而用户即可通过端口访问局域网络；除此之外，在此期间，接入设备还会向通过认证的用户所登陆的客户定时发送握手报文，对用户的在线情况进行监测，且在缺省情况下，两次握手请求报文均得不到上述客户端的应答时，接入设备会主动让用户下线，即从自身的二层表中删除该用户所登陆的客户端的硬件地址，从而可以防止用户因为异常原因下线而接入设备无法感知的情况发生。
[0066]而对于未通过认证的用户，上述所有实施例中的方法，如图3所示，还可包括:
[0067]S41:认证服务器发送未通过认证报文至接入设备；
[0068]S42:接入设备可将首先查看自身的二层表中是否存储未通过认证的用户所登陆的客户端的硬件地址；
[0069]S43:当存储有上述硬件地址时，从二层表中删除上述硬件地址；
[0070]由上可见，采用上述方法，接入设备可根据认证结果，对用户的硬件地址进行控制，以达到控制用户访问网络的效果，而不需要专用802.1X寄存器即可对端口或用户进行访问控制，从而使得其通用性更好。
[0071]需要说明的是，在本发明实施例中，其客户端可以主动发送下线报文至接入设备，要求下线，此时接入设备只需把与该客户端相连接的端口由授权状态改为未授权状态，并向客户端发送下线应答报文即可。
[0072]与上述方法相对应的，本发明还公开了一种基于804.1X协议的认证系统，如图4所示，包括:
[0073]客户端41用于，每当接收到用户所输入的用户名和密码时，发送认证请求报文至接入设备42、发送应答报文至接入设备42以及利用预设的加密算法对随机数和密码进行加密码，生成第一随机密码，且将第一随机密码发送至接入设备42 ;其中，应答报文中至少包括用户的用户名；[0074]具体的，预设的加密算法可为MD5 ；
[0075]接入设备42用于，发送询问认证报文至客户端41、对应答报文进行封装，获得认证报文，且将认证报文发送至认证服务器43、将随机数转发至客户端41、将第一随机密码转发至认证服务器43 ；
[0076]认证服务器43用于，对认证报文进行解析，获得用户的用户名、对用户名的合法性进行认证、生成随机数，且将随机数发送至接入设备42、利用预设的加密算法对随机数和自身所存储的用户名通过认证的用户的密码进行加密，生成第二随机密码以及将第一随机密码和第二随机密码进行对比，若相同，则认证通过，允许用户访问局域网中的资源，否则认证不通过，拒绝用户访问局域网中的资源。
[0077]由上述的技术方案可以看出，在本发明实施例中，每当客户端41接收到用户所输入的用户名和密码时(代表此时有用户要访问局域网络)，均将该用户的用户名和密码发送至认证服务器43进行认证，且只有认证通过，才允许该用户访问局域网中的资源，否则拒绝该用户访问局域网中的资源；由上可见，采用本发明的系统，可拒绝不合法用户访问局域网中的资源。
[0078]在本发明其它实施例中，当客户端41未接收到用户所输入的用户名和密码时，上述所有实施例中的接入设备42还用于，在预设时间内，主动发送询问认证报文至客户端41。
[0079]在本发明其它实施例中，当用户认证通过后，上述所有实施例中的认证服务器43还用于，发送通过认证报文至所述接入设备42 ；
[0080]接入设备42还用于，查看自身的二层表中是否存储通过认证的用户所登陆的客户端的硬件地址及当未存储硬件地址时，将硬件地址存储至自身的二层表中；
[0081]而当用户认证未通过后，上述所有实施例中的认证服务器43还用于，发送未通过认证报文至接入设备42 ；
[0082]接入设备42还用于，查看自身的二层表中是否存储未通过认证的用户所登陆的客户端的硬件地址及当存储有硬件地址时，从二层表中删除硬件地址。
[0083]对于客户端41、接入设备42及认证服务器43的各细化功能可参见上述方法的记载，在此不再赘述。
[0084]对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【权利要求】
1.一种基于802.1X协议的认证方法，其特征在于，包括: 每当客户端接收到用户所输入的用户名和密码时，发送认证请求报文至接入设备； 所述接入设备发送询问认证报文至所述客户端； 所述客户端发送应答报文至所述接入设备；其中，所述应答报文中至少包括所述用户的用户名； 所述接入设备对所述应答报文进行封装，获得认证报文，且将所述认证报文发送至所述认证服务器； 所述认证服务器对所述认证报文进行解析，获得所述用户的用户名； 所述认证服务器对所述用户名的合法性进行认证； 当所述认证通过后，所述认证服务器生成随机数， 且将所述随机数经所述接入设备转发至所述客户端； 所述客户端利用预设的加密算法对所述随机数和密码进行加密，生成第一随机密码，且将所述第一随机密码经所述接入设备转发至所述认证服务器； 所述认证服务器利用预设的加密算法对所述随机数和自身所存储的用户名通过认证的用户的密码进行加密，生成第二随机密码； 所述认证服务器将所述第一随机密码和所述第二随机密码进行对比，若相同，则认证通过，允许所述用户访问局域网中的资源；否则认证不通过，拒绝所述用户访问局域网中的资源。
2.根据权利要求1所述的方法，其特征在于，还包括:在预设时间内，当所述客户端未接收到用户所输入的用户名和密码时，执行所述接入设备发送询问认证报文至所述客户端这一步骤。
3.根据权利要求1所述的方法，其特征在于，当所述用户认证通过后，还包括: 所述认证服务器发送通过认证报文至所述接入设备； 所述接入设备查看自身的二层表中是否存储有通过认证的用户所登陆的客户端的硬件地址； 当未存储有所述硬件地址时，将所述硬件地址存储至所述二层表中。
4.根据权利要求1所述的方法，其特征在于，当所述用户认证不通过后，还包括: 所述认证服务器发送未通过认证报文至所述接入设备； 所述接入设备查看自身的二层表中是否存储未通过认证的用户所登陆的客户端的硬件地址； 当存储有所述硬件地址时，从二层表中删除所述硬件地址。
5.根据权利要求1所述的方法，其特征在于，所述预设的加密算法为第五版信息摘要算法MD5。
6.一种基于802.1X协议的认证系统,其特征在于,包括: 客户端用于，每当接收到用户所输入的用户名和密码时，发送认证请求报文至接入设备、发送应答报文至所述接入设备以及利用预设的加密算法对随机数和密码进行加密，生成第一随机密码，且将所述第一随机密码发送至所述接入设备；其中，所述应答报文中至少包括所述用户的用户名； 所述接入设备用于，发送询问认证报文至所述客户端、对所述应答报文进行封装，获得认证报文，且将所述认证报文发送至认证服务器、将所述随机数转发至所述客户端、将所述第一随机密码转发至所述认证服务器； 所述认证服务器用于，对所述认证报文进行解析，获得所述用户的用户名、对所述用户名的合法性进行认证、生成随机数，且将所述随机数发送至所述接入设备、利用预设的加密算法对所述随机数和自身所存储的用户名通过认证的用户的密码进行加密，生成第二随机密码以及将所述第一随机密码和所述第二随机密码进行对比，若相同，则认证通过，允许所述用户访问局域网中的资源，否则认证不通过，拒绝所述用户访问局域网中的资源。
7.根据权利要求6所述的系统，其特征在于，当所述客户端未接收到用户所输入的用户名和密码时，所述接入设备还用于，在预设时间内，主动发送询问认证报文至所述客户端。
8.根据权利要求6所述的系统，其特征在于，当所述用户认证通过后， 所述认证服务器还用于，发送通过认证报文至所述接入设备； 所述接入设备还用于，查看自身的二层表中是否存储有通过认证的用户所登陆的客户端的硬件地址及当未存储所述硬件地址时，将所述硬件地址存储至所述二层表中。
9.根据权利要求6所述的系统，其特征在于，当所述用户认证未通过后， 所述认证服务器还用于，发送未通过认证报文至所述接入设备； 所述接入设备还用于 ，查看自身的二层表中是否存储未通过认证的用户所登陆的客户端的硬件地址及当存储有所述硬件地址时，从二层表中删除所述硬件地址。
10.根据权利要求6所述的系统，其特征在于，所述预设的加密算法为第五版信息摘要算法MD5。
【文档编号】H04L9/32GK103716334SQ201410014425
【公开日】2014年4月9日 申请日期:2014年1月13日 优先权日:2014年1月13日
【发明者】唐利, 朱余浩 申请人:深圳市共进电子股份有限公司