基于802.1X与SAVI的网络认证与访问方法与流程

本发明实施例涉及网络安全领域，更具体地，涉及一种基于802.1x与savi的网络认证与访问方法。
背景技术：
：：随着社会的不断进步和经济的不断发展，网络已经成为人们日常生活中必不可少的一部分。但是，由于源地址缺乏可信性、身份认证机制和有效的身份验证回溯机制，传统的互联网并不具备广泛的可信性。这些问题带来了一系列的安全威胁，比如钓鱼网站、dns劫持、ddos攻击等，严重阻碍了当前互联网的发展。sava的提出，为源地址验证提供了新的解决思路，有效地解决了当前网络中网络层缺乏对ip分组源地址真实性验证的问题。savi通过五元组的设计方案，部署savi交换机并进行实时监控，来实现收集用户上网记录的目的。在savi中，anchor表示终端所有不可能被伪造的部分，具有十分重要的意义。savi交换机通过监听并解析地址分配报文实现了将anchor和ip地址的绑定，从而实现ip过滤。然而，现有的savi解决方案大多只针对单一有线或无线介质，有线侧采用主机独占的交换机端口号作为anchor，无线侧采用确保安全(如802.11i)的mac地址作为anchor。面对如今大量存在的有线无线融合网络环境缺少相对应的统一认证机制，部署成本高、难度大。除此之外，为了对用户身份进行管理和溯源，现有一技术提出了一种基于dhcpv6客户端的源地址验证可信身份系统，该系统通过扩展dhcpv6协议将用户身份信息嵌入到分配给用户的ipv6地址中，实现了真实可信身份的生成算法。但是，该系统需要针对不同操作系统开发不同的dhcpv6扩展客户端，部署成本高、开发难度大，不适用于实际应用。也有一现有的技术提出一种基于webportal的无客户端迁移方案，解决了上述需要开发不同操作系统客户端等繁琐的问题。由于webportal是应用层的产物，用户需要拥有ip地址才能访问webportal服务器。这就导致用户在认证前需要申请一个临时地址，认证成功后需要再次发起dhcp请求得到真实地址，即用户需要经过两次dhcp最终才能获取嵌入用户身份信息的ipv6地址。两次地址的获取带来了巨大的协议信令开销，难以适用于复杂多变的实际环境。综上可知，现有的网络认证访问方法均存在一定的缺陷。技术实现要素：针对现有技术存在的问题，本发明实施例提供一种基于802.1x与savi的网络认证与访问方法。本发明实施例提供一种基于802.1x与savi的网络认证与访问方法，包括：接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文；接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址；其中，所述radius客户端为包括savi配置的802.1x认证客户端。本发明实施例提供一种基于802.1x与savi的网络认证与访问方法，包括：接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文；接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述ip地址中包含所述终端的信息。本发明实施例提供一种基于802.1x与savi的网络认证与访问方法，包括：向radius客户端发送接入请求报文，以使得所述radius客户端基于所述接入请求报文向radius服务器发起802.1x认证；接收所述radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文，以使得所述地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息；接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述radius客户端为包括savi配置的802.1x认证客户端。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置radius客户端为包括savi配置的802.1x认证客户端，使得本认证与访问方法能够将802.1x与savi结合起来，协同工作，使终端能分配得到携带用户身份信息的ip地址，解决了现有的方法需要开发大量客户端、部署难度大、信令开销高的缺陷，为有线无线一体化可信源地址身份验证提供了一种通用的低成本、高效率的方案。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明基于802.1x与savi的网络认证与访问方法radius服务器端实施例的流程图；图2为本发明实施例中的ast示例图；图3为本发明基于802.1x与savi的网络认证与访问系统radius服务器端实施例的模块图；图4为本发明实施例的基于802.1x与savi的网络认证与访问设备radius服务器端的结构示意图；图5为本发明基于802.1x与savi的网络认证与访问方法终端实施例的流程图；图6为本发明基于802.1x与savi的网络认证与访问系统终端实施例的模块图；图7为本发明实施例的基于802.1x与savi的网络认证与访问设备终端的结构示意图；图8为本发明基于802.1x与savi的网络认证与访问方法radius客户端实施例的流程图；图9为本发明基于802.1x与savi的网络认证与访问系统radius客户端实施例的模块图；图10为本发明实施例的基于802.1x与savi的网络认证与访问设备radius客户端的结构示意图；图11为本发明基于802.1x与savi的网络认证与访问方法地址分配服务器端实施例的流程图；图12为本发明基于802.1x与savi的网络认证与访问系统地址分配服务器端实施例的模块图；图13为本发明实施例的基于802.1x与savi的网络认证与访问设备地址分配服务器端的结构示意图；图14为本发明实施例中的认证与访问方法对应系统的整体架构图；图15为本发明实施例中的radius服务器工作流程图；图16为本发明实施例中的地址分配服务器工作流程图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本发明实施例是基于由终端、radius客户端、radius服务器和地址交换服务器搭建的802.1x和savi协同工作的有线无线一体化的认证系统工作的。其中，radius客户端为包括savi配置的802.1x认证客户端，802.1x认证客户端分为802.1x交换机和802.1x无线接入点ap。图1为本发明基于802.1x与savi的网络认证与访问方法radius服务器端实施例的流程图，如图1所示，包括：s101、接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文；s102、接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；s103、若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址；其中，所述radius客户端为包括savi配置的802.1x认证客户端，所述ip地址中包含所述终端的信息。需要说明的是，本实施例的执行主体为radius服务器。aaa安全协议作为一种网络中进行访问安全控制的安全管理机制，提供了认证(authentication)、授权(authorization)和计费(accounting)三种安全服务。802.1x作为aaa安全协议族中应用最广泛的协议之一，采用radius协议，工作在数据链路层，无需获取ip地址即可完成认证，同时适用于有线网络和无线网络，为源地址身份验证提供了一种新的思路。通过数据链护层来实现身份认证可以明确避免两次dhcp过程，但难以规避认证通过后的用户篡改ip地址所导致的攻击行为，即终端在完成802.1x身份认证之后还需进一步进行savi验证。具体地，步骤s101之前可具体包括：终端向radius客户端发送接入请求报文，radius客户端基于该接入请求报文向radius服务器发送802.1x认证请求报文。进一步地，在步骤s101中，802.1x认证请求报文用于使得radius服务器对于终端进行802.1x认证，802.1x认证为现有的技术，802.1x认证请求报文与终端一一对应。进一步地，在步骤s102中，radius客户端在终端发送接入请求报文后便保存了终端的身份信息。进一步地，在步骤s103中，地址分配服务器基于终端的身份信息为终端分配ip地址具体包括：地址分配服务器基于终端的地址分配身份信息，为终端分配包含有自身信息的ip地址。步骤s103还包括：若所述信息请求报文认证不通过，则radius服务器将拒绝分配地址指令报文发送至地址分配服务器。具体地，radius客户端和radius服务器均为基于radius协议的设备。radius客户端为包括savi配置的802.1x认证客户端，在802.1x认证客户端具有savi配置时，802.1x认证客户端则为radius客户端。radius是一种用于在需要认证其链接的网络访问服务器(nas)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。802.1x协议是基于client/server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问lan/wlan。在获得交换机或lan提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许eapol(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置radius客户端为包括savi配置的802.1x认证客户端，使得本认证与访问方法能够将802.1x与savi结合起来，协同工作，使终端能分配得到携带用户身份信息的ip地址，解决了现有的方法需要开发大量客户端、部署难度大、信令开销高的缺陷，为有线无线一体化可信源地址身份验证提供了一种通用的低成本、高效率的方案。基于上述实施例，所述接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，之后还包括：基于所述终端的身份信息绑定所述终端anchor和所述终端的id，将所述终端的身份信息添加入状态认证表(authenticationstatetable，ast)中，并将所述终端的身份信息中的所述终端的id加密处理成加密id，所述加密id为encrypt-id；对应的，基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，具体包括：将所述ast中，所述终端的加密id发送至所述地址分配服务器。需要说明的是，本实施例的执行主体为radius服务器。进一步地，在进行本实施例的同时，radius服务器提供溯源服务、身份管理、动态信息管理等对外接口。进一步地，终端anchor表示终端所有不可能被伪造的部分。如有线终端在交换机独占的端口号，无线端被802.11i等技术保证安全的mac地址，都是现阶段有效的anchor。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置将终端的id加密处理成encrypt-id，能够保护终端用户的隐私。基于上述实施例，所述若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址，之后还包括：基于所述radius客户端发送的删除信息请求报文，将所述终端的身份信息从所述ast中删除，并将删除完成报文发送至所述radius客户端，以使得所述radius客户端切断所述终端的网络访问连接，并阻断所述终端的非认证报文，所述非认证报文中不包含所述接入请求报文。需要说明的是，本实施例的执行主体为radius服务器。本实施例是应用于终端本身请求下线的情况。进一步地，基于所述radius客户端发送的删除信息请求报文，将所述终端的身份信息从所述ast中删除，具体包括：基于所述radius客户端发送的删除信息请求报文，将终端的anchor对应的表行从ast中删除。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置若终端下线则终端的身份信息从ast中已删除，能够使得终端与网络的连接更具安全性。基于上述实施例，图2为本发明实施例中的ast示例图，本实施例请参考图2。所述基于所述终端的身份信息绑定所述终端anchor和所述终端的id，将所述终端的身份信息添加入状态认证表ast中，具体包括：在所述ast中，添加所述终端的anchor、所述终端的id、所述终端的时间信息lifetime和所述终端的认证状态auth-state，其中，所述auth-state为通过，所述lifetime为地址分配最大等待时间；对应的，在所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址，之后还包括：更新所述ast中的所述lifetime为地址分配租约周期。需要说明的是，本实施例的执行主体为radius服务器。具体地，anchor作为ast中的主键，每一个表项包含一个id域表示该终端的id。进一步地，ast还包括一个other域，用来保存其他可能用到的信息或扩展信息。进一步地，在所述ast中，添加所述终端的anchor、所述终端的id、所述终端的时间信息lifetime和所述终端的认证状态auth-state，其中，所述auth-state为通过，所述lifetime为地址分配最大等待时间，之后还包括：若在地址分配最大等待时间内地址分配服务器未分配地址给终端，则在ast中删除所述终端的身份信息。进一步地，更新所述ast中的所述lifetime为地址分配租约周期之后还包括：若地址分配租约周期到期，则在ast中删除所述终端的身份信息。地址分配租约周期为终端访问网络时间。基于上述实施例，若所述终端为有线终端，则所述radius客户端为包括savi配置的802.1x交换机；若所述终端为无线终端，则所述radius客户端为包括savi配置的802.1x无线接入点ap。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置radius客户端为无线接入点或交换机，能够进行有线无线一体化验证；并且，设置radius客户端为包括savi配置的802.1x交换机或者设置radius客户端为包括savi配置的802.1x无线接入点ap，能够节约硬件成本。作为一个优选实施例，图3为本发明基于802.1x与savi的网络认证与访问系统radius服务器端实施例的模块图，如图3所示，包括：验证模块301，用于接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文；填表模块302，用于接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；访问模块303，若所述信息请求报文认证通过，则所述访问模块303用于基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址；其中，所述radius客户端为包括savi配置的802.1x认证客户端。需要说明的是，上述特征验证模块301、填表模块302和访问模块303配合以执行上述实施例中的一种基于802.1x与savi的网络认证与访问方法，该系统的具体功能参见上述的认证与访问方法的实施例，此处不再赘述。作为一个优选实施例，图4为本发明实施例的基于802.1x与savi的网络认证与访问设备radius服务器端的结构示意图，如图4所示，该设备包括：处理器(processor)401、通信接口(communicationsinterface)402、存储器(memory)403和总线404，其中，处理器401，通信接口402，存储器403通过总线404完成相互间的通信。处理器401可以调用存储器403中的逻辑指令，以执行如下方法：接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文；接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址；其中，所述radius客户端为包括savi配置的802.1x认证客户端。作为一个优选实施例，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文；接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址；其中，所述radius客户端为包括savi配置的802.1x认证客户端。作为一个优选实施例，本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文；接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配ip地址；其中，所述radius客户端为包括savi配置的802.1x认证客户端。基于上述实施例，图5为本发明基于802.1x与savi的网络认证与访问方法终端实施例的流程图，如图5所示，包括：s501、向radius客户端发送接入请求报文，以使得所述radius客户端基于所述接入请求报文向radius服务器发起802.1x认证；s502、接收所述radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文，以使得所述地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息；s503、接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述radius客户端为包括savi配置的802.1x认证客户端。需要说明的是，本实施例的执行主体为终端。具体地，步骤s501中，radius客户端基于所述接入请求报文向radius服务器发起802.1x认证，之后还包括：radius服务器接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文。进一步地，步骤s503，述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址具体包括：地址分配服务器基于终端的地址分配身份信息，发送包含有终端自身信息的ip地址。地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，能够将802.1x与savi结合起来，协同工作，使终端能分配得到携带用户身份信息的ip地址，解决了现有的方法需要开发大量客户端、部署难度大、信令开销高的缺陷，为有线无线一体化可信源地址身份验证提供了一种通用的低成本、高效率的方案。基于上述实施例，所述接收所述地址分配服务器基于所述地址分配请求发送的ip地址，并根据所述ip地址访问网络，之后还包括：向所述radius客户端发送下线请求报文，完成下线。需要说明的是，本实施例的执行主体为终端。进一步地，向所述radius客户端发送下线请求报文，完成下线，具体包括：radius客户端接收所述终端发送的下线请求报文，并基于所述下线请求报文向所述radius服务器发送删除信息请求报文，以使得所述radius服务器将所述终端的身份信息从所述ast中删除；若判断获知所述终端的身份信息删除完成，则切断所述终端的网络访问连接，并阻断所述终端的非认证报文，所述非认证报文中不包含所述接入请求报文。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置若终端下线则终端的身份信息从ast中已删除，能够使得终端与网络的连接更具安全性。作为一个优选实施例，图6为本发明基于802.1x与savi的网络认证与访问系统终端实施例的模块图，如图6所示，包括：认证模块601，用于向radius客户端发送接入请求报文，以使得所述radius客户端基于所述接入请求报文向radius服务器发起802.1x认证；地址分配模块602，用于接收所述radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文，以使得所述地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息；访问网络模块603，用于接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述radius客户端为包括savi配置的802.1x认证客户端。需要说明的是，上述认证模块601、地址分配模块602和访问网络模块603配合以执行上述实施例中的一种基于802.1x与savi的网络认证与访问方法，该系统的具体功能参见上述的认证与访问方法的实施例，此处不再赘述。作为一个优选实施例，图7为本发明实施例的基于802.1x与savi的网络认证与访问设备终端的结构示意图，如图7所示，该设备包括：处理器(processor)701、通信接口(communicationsinterface)702、存储器(memory)703和总线704，其中，处理器701，通信接口702，存储器703通过总线704完成相互间的通信。处理器701可以调用存储器703中的逻辑指令，以执行如下方法：向radius客户端发送接入请求报文，以使得所述radius客户端基于所述接入请求报文向radius服务器发起802.1x认证；接收所述radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文，以使得所述地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息；接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述radius客户端为包括savi配置的802.1x认证客户端。作为一个优选实施例，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：向radius客户端发送接入请求报文，以使得所述radius客户端基于所述接入请求报文向radius服务器发起802.1x认证；接收所述radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文，以使得所述地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息；接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述radius客户端为包括savi配置的802.1x认证客户端。作为一个优选实施例，本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：向radius客户端发送接入请求报文，以使得所述radius客户端基于所述接入请求报文向radius服务器发起802.1x认证；接收所述radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文，以使得所述地址分配服务器基于所述地址分配请求报文向radius服务器请求所述终端的地址分配身份信息；接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述radius客户端为包括savi配置的802.1x认证客户端。基于上述实施例，图8为本发明基于802.1x与savi的网络认证与访问方法radius客户端实施例的流程图，如图8所示，包括：s801、接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文；s802、接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述ip地址中包含所述终端的信息。需要说明的是，本实施例的执行主体为radius客户端。具体地，步骤s801中，接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文，之后还包括：radius服务器接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，能够将802.1x与savi结合起来，协同工作，使终端能分配得到携带用户身份信息的ip地址，解决了现有的方法需要开发大量客户端、部署难度大、信令开销高的缺陷，为有线无线一体化可信源地址身份验证提供了一种通用的低成本、高效率的方案。基于上述实施例，所述接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，之后还包括：向所述radius服务器发送终端的身份信息，以使得所述radius服务器将所述终端的身份信息添加入状态认证表ast中。需要说明的是，本实施例的执行主体为radius客户端。具体地，向所述radius服务器发送终端的身份信息，以使得所述radius服务器将所述终端的身份信息添加入状态认证表ast中，具体包括：向所述radius服务器发送终端的身份信息，以使得所述radius服务器接收所述radius客户端基于所述认证通过报文发送的所述终端的身份信息，基于所述终端的身份信息绑定所述终端anchor和所述终端的id，将所述终端的身份信息添加入状态认证表ast中。基于上述实施例，所述接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络，之后还包括：接收所述终端发送的下线请求报文，并基于所述下线请求报文向所述radius服务器发送删除信息请求报文，以使得所述radius服务器将所述终端的身份信息从所述ast中删除；接收所述radius服务器发送的删除完成报文，并切断所述终端的网络访问连接，阻断所述终端的非认证报文，所述非认证报文中不包含所述接入请求报文。需要说明的是，本实施例的执行主体为radius客户端。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置若终端下线则终端的身份信息从ast中已删除，能够使得终端与网络的连接更具安全性。作为一个优选实施例，图9为本发明基于802.1x与savi的网络认证与访问系统radius客户端实施例的模块图，如图9所示，包括：认证请求模块901，用于接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文；交互访问模块902，用于接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述ip地址中包含所述终端的信息。需要说明的是，认证请求模块901和交互访问模块902配合以执行上述实施例中的一种基于802.1x与savi的网络认证与访问方法，该系统的具体功能参见上述的认证与访问方法的实施例，此处不再赘述。作为一个优选实施例，图10为本发明实施例的基于802.1x与savi的网络认证与访问设备radius客户端的结构示意图，如图10所示，该设备包括：处理器(processor)1001、通信接口(communicationsinterface)1002、存储器(memory)1003和总线1004，其中，处理器1001，通信接口1002，存储器1003通过总线1004完成相互间的通信。处理器1001可以调用存储器1003中的逻辑指令，以执行如下方法：接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文；接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述ip地址中包含所述终端的信息。作为一个优选实施例，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文；接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述ip地址中包含所述终端的信息。作为一个优选实施例，本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文；接收所述radius服务器基于所述802.1x认证请求报文发送的认证通过报文，并将所述认证通过报文发送至所述终端，以使得所述终端向地址分配服务器发送地址分配请求报文，并接收所述地址分配服务器基于所述终端的地址分配身份信息发送的ip地址，并根据所述ip地址访问网络；其中，所述ip地址中包含所述终端的信息。作为一个优选实施例，图11为本发明基于802.1x与savi的网络认证与访问方法地址分配服务器端实施例的流程图，如图11所示，包括：s1101、接收终端在802.1x认证通过发送的地址分配请求报文，并且基于所述地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文，以使得所述radius服务器判断所述信息请求报文是否认证通过；s1102、接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址，以使得所述终端基于所述ip地址访问网络。需要说明的是，本实施例的执行主体为地址分配服务器。具体地，步骤s1101中所述信息请求报文中包括所述终端的anchor。进一步地，步骤s1102中所述终端的地址分配身份信息为：encrypt-id，其中，encrypt-id是所述终端的身份信息中的所述终端的id加密处理成的。进一步地，在接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址，以使得所述终端基于所述ip地址访问网络，之后还包括：接收所述终端发送的续约地址分配请求报文renew，并且基于所述续约地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文，以使得所述radius服务器判断所述信息请求报文是否认证通过。在以使得所述radius服务器判断所述信息请求报文是否认证通过，之后还包括：若所述信息请求报文认证通过，则radius服务器在ast中，将lifetime对应的地址分配租约周期延长。作为一个优选实施例，图12为本发明基于802.1x与savi的网络认证与访问系统地址分配服务器端实施例的模块图，如图12所示，包括：地址请求模块1201，用于接收终端在802.1x认证通过发送的地址分配请求报文，并且基于所述地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文，以使得所述radius服务器判断所述信息请求报文是否认证通过；分配访问模块1202，用于接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址，以使得所述终端基于所述ip地址访问网络。需要说明的是，地址请求模块1201和分配访问模块1202配合以执行上述实施例中的一种基于802.1x与savi的网络认证与访问方法，该系统的具体功能参见上述的认证与访问方法的实施例，此处不再赘述。作为一个优选实施例，图13为本发明实施例的基于802.1x与savi的网络认证与访问设备地址分配服务器端的结构示意图，如图13所示，该设备包括：处理器(processor)1301、通信接口(communicationsinterface)1302、存储器(memory)1303和总线1304，其中，处理器1301，通信接口1302，存储器1303通过总线1304完成相互间的通信。处理器1301可以调用存储器1303中的逻辑指令，以执行如下方法：接收终端在802.1x认证通过发送的地址分配请求报文，并且基于所述地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文，以使得所述radius服务器判断所述信息请求报文是否认证通过；接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址，以使得所述终端基于所述ip地址访问网络。作为一个优选实施例，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：接收终端在802.1x认证通过发送的地址分配请求报文，并且基于所述地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文，以使得所述radius服务器判断所述信息请求报文是否认证通过；接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址，以使得所述终端基于所述ip地址访问网络。作为一个优选实施例，本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：接收终端在802.1x认证通过发送的地址分配请求报文，并且基于所述地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文，以使得所述radius服务器判断所述信息请求报文是否认证通过；接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址，以使得所述终端基于所述ip地址访问网络。下面以一个具体实施例来进一步说明本发明提供的802.1x与savi的网络认证与访问方法。图14为本发明实施例中的认证与访问方法对应系统的整体架构图。图15为本发明实施例中的radius服务器工作流程图。图16为本发明实施例中的地址分配服务器工作流程图。本实施例请结合图14、图15和图16。终端向radius客户端发送接入请求报文。radius客户端接收终端发送的接入请求报文，并基于所述接入请求报文向radius服务器发送802.1x认证请求报文。radius服务器接收radius客户端发送的802.1x认证请求报文，若判断获知所述802.1x认证请求报文对应的终端的802.1x认证通过，则向所述radius客户端发送认证通过报文。radius客户端接收radius服务器发送的认证通过报文，并将所述认证通过报文发送至所述终端。终端接收radius客户端发送的认证通过报文，并向地址分配服务器发送地址分配请求报文。地址分配服务器接收终端在802.1x认证通过发送的地址分配请求报文，并且基于所述地址分配请求报文向radius服务器发送对应于所述终端的信息请求报文。radius服务器接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；若所述信息请求报文认证通过，则将所述终端的地址分配身份信息发送至所述地址分配服务器。地址分配服务器接收radius服务器判断获知所述信息请求报文认证通过后发送的所述终端的地址分配身份信息，并基于所述终端的地址分配身份信息向所述终端发送ip地址。接收所述地址分配服务器基于所述终端的身份信息发送的ip地址，并根据所述ip地址访问网络。其中，所述radius客户端为包括savi配置的802.1x认证客户端。本发明实施例提供的基于802.1x与savi的网络认证与访问方法，通过设置radius客户端为包括savi配置的802.1x认证客户端，使得本认证与访问方法能够将802.1x与savi结合起来，协同工作，使终端能分配得到携带用户身份信息的ip地址，解决了现有的方法需要开发大量客户端、部署难度大、信令开销高的缺陷，为有线无线一体化可信源地址身份验证提供了一种通用的低成本、高效率的方案。最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12当前第1页12