一种基于802.1X的快速安全认证方法与装置与流程

本发明涉及认证应用技术领域，具体涉及一种基于802.1x的快速安全认证方法与装置。

背景技术：

随着无线网络应用、便携式终端应用的快速发展，信息的快速交流等，网络已经无时无刻地影响着每一个企业和个人的发展。企业通过网络进行协同办公、处理各种机密文件等业务应用。但是企业的网络需要安全的保障，需要针对企业内部人员的开放，同时针对某些特定人员进行阶段式、区域式开放等的网络开放控制。这就需要企业网络认证服务的应用。

目前针对网络认证有很多种方式，基于802.1x的认证就需要终端用户输入用户名和密码进行认证。认证过程需要终端与交换机、认证服务器之间进行多次数据交互，才能够确认网络的开放与否。同时针对常用用户的终端安全性不能确定、对网络的整体环境带来一定的风险。

为此，如何安全、有效的控制网络环境应用，同时能够方便常用用户的认证过程，能够快速认证、使用网络环境。便是本发明研究目的所在。

因此需要一种基于802.1x的快速安全认证方法与装置，能够安全、有效地控制网络使用环境，同时能够方便常用用户进行快速认证和使用网络环境。

技术实现要素：

针对上述现有技术中的问题，需要能够安全、有效地控制网络使用环境，同时能够方便常用用户进行快速认证和使用网络环境，本发明的目的在于提供一种基于802.1x的快速安全认证方法与装置。

为了实现上述目的，本发明采用的技术方案如下：

根据本发明，提供了一种基于802.1x的快速安全认证方法，包括以下步骤：

认证终端设备以dhcp方式通过交换机获取临时ip；

认证终端设备获取终端安全审计平台的终端设备uid；

认证服务器接收到终端设备认证请求消息，判断是否为终端设备uid认证；

若是终端设备uid认证，则利用终端设备uid发起802.1x认证；

若不是终端设备uid认证，则输入用户名和密码发起802.1x认证，并与认证服务器进行交互；

若802.1x认证的认证结果为认证成功，则重新获取授权ip地址；

若802.1x认证的认证结果为认证失败，则禁止访问网络；

若获取授权ip地址成功，则允许访问网络；

若获取授权ip地址失败，则禁止访问网络。

根据本发明的一个实施例，临时ip可以访问所述终端安全审计平台，但不能访问其它网络信息。

根据本发明的一个实施例，通过终端设备硬件信息生成终端设备uid，终端设备uid是终端设备的唯一身份id。

根据本发明的一个实施例，进行终端设备uid认证时，认证服务器通过终端安全审计平台验证终端设备uid对应认证终端的安全审计结果，判断认证终端是否安全，以及是否是合法终端设备uid信息。

根据本发明的一个实施例，终端安全审计平台反馈认证成功后，认证服务器会将认证通过结果发送给交换机。

根据本发明的一个实施例，还包括以下步骤：

搭建认证网络，部署终端安全审计平台；

提供认证服务器、认证终端以及支持802.1x认证的交换机；

启动终端安全审计平台准入客户端；

认证终端生成终端设备uid；

输入包含用户名和密码的认证信息进行认证，认证成功后将终端设备uid与认证信息进行关联存储；

认证终端再次进行认证时，通过终端设备uid进行终端设备uid认证。

根据本发明的一个实施例，认证终端利用准入客户端的安检功能和硬件设备生成唯一的终端设备uid。

根据本发明，提供了一种基于802.1x的快速安全认证装置，其使用如上所述的方法。

根据本发明，提供了一种计算机设备，包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时执行如上所述的方法。

根据本发明，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时执行以上所述的方法。

本发明通过以上技术方案，能够获得以下有益技术效果：

本发明提供的基于802.1x的快速安全认证方法和装置，通过认证终端以dhcp方式通过交换机获取临时ip；认证终端获取终端安全审计平台的终端设备uid；认证服务器接收到交换机认证信息，判断是否为终端设备uid认证；若是终端设备uid认证，则利用终端设备uid发起802.1x认证；若不是终端设备uid认证，则输入用户名和密码发起802.1x认证，根据认证结果判断是否重新获取能访问网络的授权ip，实现了：能够安全、有效地控制网络使用环境，同时能够方便常用用户进行快速认证和使用网络环境，提高企业网络应用的安全性，减少认证过程中的数据交互，提高认证效率。

当然，实施本发明的任一产品必不一定需要同时达到以上所述的所有技术效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明提供的基于802.1x的快速安全认证方法的认证终端的一个实施例的流程图；

图2为本发明提供的基于802.1x的快速安全认证方法的认证服务器的一个实施例的流程图；

图3为本发明提供的基于802.1x的快速安全认证方法的一个实施例的流程图；

图4为本发明提供的基于802.1x的快速安全认证方法的另一个实施例的流程图；

图5为本发明提供的基于802.1x的快速安全认证方法的计算机设备的一个实施例的硬件结构示意图。

具体实施方式

如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解，硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式，而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包括”为一开放式用语，故应解释成“包括但不限定于”。说明书后续描述为实施本发明的较佳实施方式，然所述描述乃以说明本发明的一般原则为目的，并非用以限定本发明的范围。本发明的保护范围当视所附权利要求所界定者为准。

本发明的一个实施例中，如图1-4所示，提供了一种基于802.1x的快速安全认证方法，包括以下步骤：

s00：认证终端以dhcp方式通过交换机获取临时ip；

s01：认证终端获取终端安全审计平台的终端设备uid；

s02：认证服务器接收到终端设备认证请求消息，根据请求消息内容判断是否为终端设备uid认证，若是则进入步骤s03，若否，则进入步骤s04；具体地，判断是否为终端设备uid认证即判断是否存在(存储有)该终端设备uid，若存在，则为终端设备uid认证，若不存在，则为一般802.1x认证(即需要输入用户名和密码)；

s03：利用终端设备uid发起802.1x认证(即利用终端设备uid作为802.1x认证的用户名和密码进行802.1x认证)；认证服务器通过终端设备uid和终端安全审计平台进行终端设备信息交互，以确定是安全、合法、有效的终端设备；

s04：输入用户名和密码发起802.1x认证，并与认证服务器进行交互；此时，认证服务器判断输入的用户名和密码的上网权限(访问网络权限)；

s05：若802.1x认证的认证结果为认证成功(认证服务器发送认证通过结果)，则进入步骤s06，若为认证失败(认证服务器发送认证失败结果)，则禁止访问网络；

s06：重新获取授权ip地址；

s07：若获取授权ip地址成功，则允许访问网络；

s08：若获取授权ip地址失败，则禁止访问网络。

根据本发明的一个实施例，临时ip可以访问所述终端安全审计平台，但不能访问其它网络信息。

根据本发明的一个实施例，通过设备硬件信息生成终端设备uid，终端uid是终端设备的唯一身份id。

在一些实施方式中，进行终端设备uid认证时，认证服务器通过安全审计平台验证终端设备uid对应认证终端的安全审计结果，判断认证终端是否安全，以及是否是合法终端设备uid信息。

在一些实施方式中，安全审计平台反馈认证成功后，认证服务器会将认证通过结果发送给交换机。交换机接收到认证通过信息后，给认证终端反馈通过结果，同时重新给认证终端分配可以正常访问网络的授权ip信息。终端接收到认证通过信息后，重新获取授权ip地址。获取成功后就可以正常访问网络。

在一些实施方式中，还包括以下步骤：

s10：搭建认证网络，部署终端安全审计平台；

s11：提供认证服务器、认证终端设备以及支持802.1x认证的交换机；

s12：启动终端安全审计平台；

s13：认证终端设备根据终端硬件设备生成终端设备uid；

s14：输入包含用户名和密码的认证信息进行认证，认证成功后将终端设备uid与认证信息进行关联存储；

s15：认证终端再次进行认证时，通过终端设备uid进行终端设备uid认证。

在一些实施方式中，认证终端利用准入客户端的安检功能和硬件设备生成唯一的终端设备uid。

其中，终端安全审计平台：该平台主要管理终端设备的设备状态和业务控制，设备状态包括设备安全状态、网路安全状态，数据安全状态等等，终端设备实时将自己设备的状态信息汇报给终端安全审计平台。终端安全审计平台根据终端状态实时控制终端设备操作，确保终端设备上数据和设备的安全操作。

终端安全审计平台准入客户端：该客户端是在终端设备上独立运行，通过网络和终端安全审计平台进行数据交互和设备安全控制。

本发明是在802.1x认证基础上进行实现的，利用802.1x的认证发起流程，同时使用安全审计数据平台进行终端机器的安全审计，利用安全审计的终端安全性、通过802.1x的认证过程进行认证发起，在认证服务端进行具体认证业务的处理，利用安全审计平台的特性进行终端认证的授权验证。简化了认证终端和认证服务端之间的数据交互，提高认证的安全性和认证终端机器本身安全性的验证功能。更好的控制认证过程和提高企业整体网络环境的安全性。本发明是认证服务器和终端安全审计平台进行协同工作的，利用终端安全审计平台对认证终端设备安全性和认证终端设备的用户详细信息进行网络的认证工作处理。

从上述实施例可以看出，本发明实施例提供的基于802.1x的快速安全认证方法，通过认证终端以dhcp方式通过交换机获取临时ip；认证终端获取终端安全审计平台的终端设备uid；认证服务器接收到交换机认证信息，判断是否为终端设备uid认证；若是终端设备uid认证，则利用终端设备uid发起802.1x认证；若不是终端设备uid认证，则输入用户名和密码发起802.1x认证，根据认证结果判断是否重新获取能访问网络的授权ip，实现了：能够安全、有效地控制网络使用环境，同时能够方便常用用户进行快速认证和使用网络环境，提高企业网络应用的安全性，减少认证过程中的数据交互，提高认证效率。

需要特别指出的是，上述基于802.1x的快速安全认证方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于基于802.1x的快速安全认证方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种基于802.1x的快速安全认证装置的第一个实施例。所述基于802.1x的快速安全认证装置使用了上述的基于802.1x的快速安全认证方法。

从上述实施例可以看出，本发明实施例提供的基于802.1x的快速安全认证装置，通过认证终端以dhcp方式通过交换机获取临时ip；认证终端获取终端安全审计平台的终端设备uid；认证服务器接收到交换机认证信息，判断是否为终端设备uid认证；若是终端设备uid认证，则利用终端设备uid发起802.1x认证；若不是终端设备uid认证，则输入用户名和密码发起802.1x认证，根据认证结果判断是否重新获取能访问网络的授权ip，实现了：能够安全、有效地控制网络使用环境，同时能够方便常用用户进行快速认证和使用网络环境。

需要特别指出的是，上述基于802.1x的快速安全认证装置的实施例采用了所述基于802.1x的快速安全认证方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述基于802.1x的快速安全认证方法的其他实施例中。当然，由于所述基于802.1x的快速安全认证方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述基于802.1x的快速安全认证装置也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第三个方面，提出了一种执行所述基于802.1x的快速安全认证方法的计算机设备的一个实施例。

所述执行所述基于802.1x的快速安全认证方法的计算机设备包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时执行上述任意一种方法。

如图5所示，为本发明提供的执行所述基于802.1x的快速安全认证方法的计算机设备的一个实施例的硬件结构示意图。

以如图5所示的计算机设备为例，在该计算机设备中包括一个处理器301以及一个存储器302，并还可以包括：输入装置303和输出装置304。

处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接，图4中以通过总线连接为例。

存储器302作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的所述基于802.1x的快速安全认证方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的基于802.1x的快速安全认证方法。

存储器302可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据基于802.1x的快速安全认证装置的使用所创建的数据等。此外，存储器302可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器302可选包括相对于处理器301远程设置的存储器，这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置303可接收输入的数字或字符信息，以及产生与基于802.1x的快速安全认证装置的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。

所述一个或者多个基于802.1x的快速安全认证方法对应的程序指令/模块存储在所述存储器302中，当被所述处理器301执行时，执行上述任意方法实施例中的基于802.1x的快速安全认证方法。

所述执行所述基于802.1x的快速安全认证方法的计算机设备的任何一个实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

基于上述目的，本发明实施例的第四个方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时可执行上述任意方法实施例中的基于802.1x的快速安全认证方法与实现上述任意装置/系统实施例中的基于802.1x的快速安全认证装置/系统。所述计算机可读存储介质的实施例，可以达到与之对应的前述任意方法与装置/系统实施例相同或者相类似的效果。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

此外，典型地，本发明实施例公开所述的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(pda)、平板电脑(pad)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。

此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。

此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

此外，应该明白的是，本文所述的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦写可编程rom(eeprom)或快闪存储器。易失性存储器可以包括随机存取存储器(ram)，该ram可以充当外部高速缓存存储器。作为例子而非限制性的，ram可以以多种形式获得，比如同步ram(dram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强sdram(esdram)、同步链路dram(sldram)以及直接rambusram(drram)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行：通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”(“a”、“an”、“the”)旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。