本發(fā)明涉及一種網(wǎng)絡安全認證方法，具體地說，涉及一種基于802.1x上的擴展認證協(xié)議(eap)的認證方法。

背景技術：

ieee802.1x是由ieee制定的關于用戶接入網(wǎng)絡的認證標準，是一種基于端口的網(wǎng)絡接入控制協(xié)議，所以具體的802.1x認證功能必須在設備端口上進行配置，對端口上接入的用戶設備通過認證來控制對網(wǎng)絡資源的訪問。802.1x協(xié)議可以限制未經(jīng)授權的用戶/設備通過接入端口訪問局域網(wǎng)，是一種可信網(wǎng)絡接入技術的認證協(xié)議，以其協(xié)議安全、實現(xiàn)簡單的特點，與其他認證協(xié)議一起，為使用不對稱數(shù)字用戶線(asymmetricdigitalsubscriberline，簡稱adsl)、vdsl、局域網(wǎng)lan、無線局域網(wǎng)wlan等多種寬帶接入方式的用戶提供了豐富的認證方式。

802.1x認證系統(tǒng)采用網(wǎng)絡應用系統(tǒng)典型的client/server(c/s)結構，包括三個部分：客戶端(client)、設備端(device)和認證服務器(server)，如圖1所示。在圖1所述的局域網(wǎng)中，客戶端和交換機以有線連接，或者是和無線接入點以無線方式連接，再接入核心網(wǎng)中，且網(wǎng)絡中包括認證服務器來驗證計算機用戶身份的合法性。其中認證服務器通常為radius服務器，用于存儲有關接入請求者的用戶身份及設備身份信息，比如接入請求者的設備訪問控制列表等等。當接入請求者通過認證后，認證服務器把接入請求者的相關信息傳遞給認證者，由認證者構建動態(tài)的訪問控制列表，接入請求者的后續(xù)流量接受上述參數(shù)的監(jiān)管。

但是，現(xiàn)有技術中對用戶的認證通常采用用戶名和密碼或者隨機密鑰等方法進行認證，然而對保密要求或者安全防范要求比較高的網(wǎng)絡，不僅需要對用戶進行認證，同時還需要對設備的接入進行認證，而對設備的驗證，既要認證接入設備的合法性，也要認證接入設備內部設備的安全性。因為在某些環(huán)境中，計算機設備的內部元器件隨時存在被替換的可能，這樣就會破壞信息系統(tǒng)中該環(huán)節(jié)的安全性，甚至會危及整個系統(tǒng)的安全性。

現(xiàn)有技術中對計算機的認證還可采用可信運算平臺(trustedcomputingplatform，tpm)或者我國的tpm替代部件——可信密碼模塊(trustedcryptographymodule,tcm)，但是不管是tpm還是tcm，都需要在計算機內部增加硬件模塊也就是芯片來實現(xiàn)其功能。

技術實現(xiàn)要素：

針對上述技術問題，本發(fā)明的目的在于提供一種通過802.1x認證來提高安全性的認證網(wǎng)絡和認證方法，又不需要在計算機內部增加芯片，從而解決了網(wǎng)絡中接入設備的安全性驗證。

為達到上述目的，本發(fā)明是通過以下技術方案實現(xiàn)的：

步驟1：客戶端接入局域網(wǎng)，向設備端發(fā)起eapol開始報文，啟動802.1x認證接入。設備端向客戶端發(fā)送eap身份請求報文，要求客戶端發(fā)來用戶名和客戶端的硬件信息；

步驟2：客戶端向設備端回應eap身份認證應答報文，其中包括用戶名和硬件信息；

步驟3：設備端收到eap身份認證應答報文封裝到radius訪問請求報文中，發(fā)送到認證服務器中；

步驟4：認證服務器收到radius訪問請求報文后，將認證服務器端計算獲取的硬件信息和認證服務器的數(shù)據(jù)庫中所存儲的硬件信息向對比，對比方法為：

(1)如果計算得到的硬件信息和數(shù)據(jù)庫中的硬件信息完全一致，則判斷為硬件完整；

(2)如果計算得到的硬件信息和數(shù)據(jù)庫中的硬件信息不一致，且只有其中一個硬件的硬件信息不一致，但是讀取到的該硬件和數(shù)據(jù)庫中的硬件屬于同一品牌同一型號或系列型號，且客戶端的硬件設備型號優(yōu)于或等于數(shù)據(jù)庫中存儲的原型號，則屬于情況(2)；

(3)如果計算得到的硬件信息和數(shù)據(jù)庫中的硬件信息不一致，其中一個硬件的硬件id不一致且不屬于同一品牌或同一型號，或者硬件型號差于數(shù)據(jù)庫中存儲的原型號，或者其中至少兩個硬件的硬件信息不一致，則屬于情況(3)；

步驟5：認證服務器在硬件信息認證后，向設備端發(fā)送產(chǎn)生radius訪問質詢報文。

步驟6：設備端收到訪問質詢報文后，將報文中的質詢請求發(fā)送到客戶端，請求質詢。

步驟7：客戶端收到質詢請求后，將密碼和質詢做md5算法后，回應給設備端；

步驟8：設備端將質詢、md5算法得到的密碼和用戶名一起送到認證服務器，由認證服務器進行認證；

步驟9：認證服務器根據(jù)用戶信息判斷用戶是否合法，并根據(jù)不同情況回復不同響應信號，具體如下：

(1)用戶名密碼認證成功，且硬件信息認證完全符合時，回應認證成功報文給設備端，設備端給客戶端分配ip地址；

(2)用戶名密碼認證成功，但當硬件信息認證屬于情況(2)，則回應認證部分成功報文給設備端，設備端給客戶端分配一次性ip，僅限于本次連接使用，客戶端成功連接上局域網(wǎng)后，客戶端通過軟件連接客戶設備修改系統(tǒng)，上報硬件更改結果，并經(jīng)由管理員審批成功后，同步修改服務器上的數(shù)據(jù)庫，將該客戶端所對應的數(shù)據(jù)庫中的硬件信息修改為新的硬件信息；

(3)用戶名密碼認證不成功，或硬件信息認證屬于情況(3)，則回應eap失敗報文給設備端，設備端不給客戶端分配ip地址，且當硬件信息認證不成功時，認證服務器同時發(fā)送報警信息給管理員。

該網(wǎng)絡認證方法進一步包括：客戶端獲取本機的硬件信息，包括硬盤序列號id、cpu標識號id、內存條序列號、主板序列號和網(wǎng)卡mac地址中的三個或三個以上的信息。

該網(wǎng)絡認證方法進一步包括：采用非對稱密鑰進行加密，客戶端采用認證服務器端的公鑰對合并后的硬件信息進行加密，隨后在認證服務器端利用私鑰對接收到的加密信息進行解密，以得到該客戶端當前的硬件信息。

該網(wǎng)絡認證方法進一步包括：可以采用rsa算法來計算公鑰和私鑰矩陣。

該網(wǎng)絡認證方法進一步包括：在計算硬件信息時，可以根據(jù)不同的硬件計算其硬件信息。

該網(wǎng)絡認證方法進一步包括：由設備端自動檢測是否有新客戶端加入，當檢測到有新客戶端接入時，主動向客戶端發(fā)起eap身份請求報文，要求客戶端發(fā)來用戶名和客戶端的硬件信息，省略eapol開始報文。

本申請還公開了一種增強安全性的網(wǎng)絡認證系統(tǒng)，包括客戶端，設備端和認證服務器，其中三者之間通過上述網(wǎng)絡認證方法進行認證。

附圖說明

圖1是802.1x系統(tǒng)結構圖；

圖2是本發(fā)明認證網(wǎng)絡的認證方法的流程圖；

圖3是本發(fā)明認證服務器自動記錄硬件信息的流程圖。

具體實施方式

為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白，下面結合附圖和實施例對本發(fā)明進行進一步的說明。顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，基于本發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明的保護范圍。

圖2為本發(fā)明增強安全性的網(wǎng)絡認證服務的流程圖，如圖2所示，用戶客戶端、設備端和認證服務器的工作流程如下：

步驟1：需要管理的物理環(huán)境中的網(wǎng)絡客戶端接入局域網(wǎng)，客戶端通過設備端為客戶端提供的非受控端口向設備端發(fā)送eapol開始報文，來啟動802.1x的認證接入。設備端向客戶端發(fā)送eap身份請求報文，要求客戶端發(fā)來用戶名和客戶端的硬件信息。其中，非受控端口是設備端提供的兩個端口之一，該端口可看成為可擴展認證協(xié)議(eap)端口，不進行認證控制，同時該非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞在通過認證前必需的eapol協(xié)議幀，保證客戶端始終能夠發(fā)出或接收認證報文。

在一個優(yōu)選實施方式中，客戶端獲取本機的硬件信息，包括硬盤序列號id、cpu標識號id、內存條序列號、主板序列號和網(wǎng)卡mac地址中的三個或三個以上的信息，單獨計算各個硬件的硬件信息之后將這些硬件信息進行合并，合并后的硬件信息中記錄有各需要保護硬件的硬件信息名稱及硬件信息合并時的順序信息。

為了傳輸過程的安全性，需要對硬件信息進行加密傳輸，但是由于在認證服務器端需要對硬件信息進行解密并和數(shù)據(jù)庫中存儲的硬件信息相比較，因此，在進行硬件信息加密時，不能采用哈希算法來進行加密。

在一個優(yōu)選實施方式中，采用非對稱密鑰進行加密，客戶端采用認證服務器端的公鑰對合并后的硬件信息進行加密，隨后在認證服務器端利用私鑰對接收到的加密信息進行解密，以得到該客戶端當前的硬件信息。

在一個優(yōu)選實施方式中，可以采用rsa算法來計算公鑰和私鑰矩陣，具體步驟如下：

(1)選擇兩個不同的大素數(shù)p和q；

(2)計算乘積n＝pq和φ(n)＝(p-1)(q-1)；

(3)選擇大于1小于φ(n)的隨機整數(shù)e，使得gcd(e,φ(n))＝1；注：gcd即最大公約數(shù)；

(4)計算d使得d*e＝1modφ(n)；注：即d*emodφ(n)＝1；

(5)對每一個密鑰k＝(n,p,q,d,e)，定義加密變換為ek(x)＝xemodn，解密變換為dk(x)＝y(tǒng)dmodn，這里x,y∈zn；

(6)p,q銷毀，以{e,n}為公開密鑰，{d,n}為私有密鑰。

在一個優(yōu)選實施方式中，在計算硬件信息時，可以根據(jù)不同的計算方法來計算其硬件信息。

在另一優(yōu)選實施方式中，也可由設備端自動檢測是否有新客戶端加入，當檢測到有新客戶端接入時，主動向客戶端發(fā)起eap身份請求報文，要求客戶端發(fā)來用戶名和客戶端的硬件信息，從而省略eapol開始報文。

步驟2：客戶端向設備端回應eap身份認證應答報文，其中包括用戶名和硬件信息。

步驟3：設備端收到eap身份認證應答報文，并將該eap身份應答報文封裝到radius訪問請求報文中，隨后將radius訪問請求報文發(fā)送到認證服務器中。

步驟4：認證服務器收到radius訪問請求報文后，提取加密后的硬件信息，認證服務器查找共享的公鑰，并相應的私鑰對該加密硬件信息進行解密，得到解密后的客戶端的硬件信息，隨后將認證服務器端計算獲取的硬件信息和認證服務器的數(shù)據(jù)庫中所存儲的硬件信息向對比，如果各個硬件信息對比都相等，則說明該客戶端的硬件設備完整，否則該客戶端的硬件設備不完整。

如果出現(xiàn)所述客戶端中的硬件信息與認證服務器的數(shù)據(jù)庫中所存儲的硬件信息不一致的情況，那么說明客戶端中的某些硬件設備被替換了，但是硬件設備的替換可能有幾種情況：一種情況是由于使用者非法替換或者竊取硬件設備導致的；另一種情況是由于硬件設備自然損耗所導致的硬件更換，例如硬盤損壞導致更換硬盤。如果是前者，則硬件完整性認證不通過，但如果是后者，則可能會由于認證服務器數(shù)據(jù)庫更新不及時而導致合法更換硬件的用戶無法正常使用網(wǎng)絡，因此要予以區(qū)分。

在一個優(yōu)選實施方式中，認證服務器在比較硬件信息時，進行下述判斷：

(1)如果計算得到的硬件信息和數(shù)據(jù)庫中的硬件信息完全一致，則判斷為硬件完整；

(2)如果計算得到的硬件信息和數(shù)據(jù)庫中的硬件信息比對時發(fā)現(xiàn)，其中一個硬件的硬件信息不一致，但是客戶端讀取到的該硬件和數(shù)據(jù)庫中的硬件屬于同一品牌同一型號或類似型號，且客戶端的硬件設備型號優(yōu)于或等于數(shù)據(jù)庫中存儲的原型號，則認為是由于硬件設備自然損耗所導致的合理的硬件更換；

(3)如果計算得到的硬件信息和數(shù)據(jù)庫中的硬件信息比對時發(fā)現(xiàn)，其中一個硬件的硬件id不一致且不屬于同一品牌或同一型號，或者硬件型號差于數(shù)據(jù)庫中存儲的原型號，或者其中至少兩個硬件的硬件信息不一致，則認為該客戶端硬件完整性認證不通過，有可能是客戶端內部元器件被非法替換或竊取。

在另一優(yōu)選實施方式中，在比對判斷硬件信息時，將硬盤序列號id、cpu標識號id、內存條序列號、主板序列號和網(wǎng)卡mac地址中的每個硬件信息解析成歸一化的硬件信息向量，使得各向量中各參數(shù)的取值范圍為[0，1]。例如硬盤的硬件信息向量由品牌、尺寸、容量、轉速、接口組成，如表1所示：

表1

在認證服務器端的數(shù)據(jù)庫中存儲有各客戶端的原始歸一化的硬件信息向量，使得各向量中各參數(shù)的取值范圍為[0，1]。分別記錄為如表2：

表2

認證服務器接收并解密硬件信息后和數(shù)據(jù)庫中存儲的硬件信息進行比較，當硬件信息不相同時，根據(jù)認證服務器上存儲的硬件信息向量和接收的客戶端現(xiàn)硬件信息，對該出現(xiàn)差異的硬件進行計算，得到其余弦距離cos(h)，具體計算公式為：

其中，xij為接收的硬件信息，yij為認證服務器上存儲的硬件信息，其中i指示硬件信息出現(xiàn)差異的硬件，i為1～5的自然數(shù)，分別對應硬盤、cpu、內存、主板和網(wǎng)卡信息發(fā)生差異，j為各硬件的硬件信息對比所需要的參數(shù)，例如硬盤信息中，j為1～5的自然數(shù)，具體參見表1,2，且參數(shù)和硬件可根據(jù)實際需要進行增減，n表示出現(xiàn)差異的硬件的最大對比參數(shù)數(shù)量。

仍然以硬盤為例，如果硬盤的信息對比出現(xiàn)差異，則其余弦距離為：

在認證服務器中還設置一差別閾值，當余弦距離cos(h)大于等于差別閾值時，說明該硬件的變更處于可接受的范圍內，即該硬件變動屬于情況(2)；如果余弦距離cos(h)小于差別閾值時，說明該硬件的變更處于不可接受的范圍，即該客戶端硬件完整性認證不通過，該硬件的變更屬于情況(3)。

步驟5：認證服務器在計算硬件信息并比較后，向設備端發(fā)送產(chǎn)生radius訪問質詢報文。

步驟6：設備端收到radius訪問質詢報文后，將該消息解封后，將報文中的質詢請求發(fā)送到客戶端，請求質詢。

步驟7：客戶端收到質詢請求后，將自身密碼和質詢做md5算法后，回應給設備端；

步驟8：設備端將質詢、經(jīng)過md5算法得到的密碼和用戶名一起發(fā)送到認證服務器，由認證服務器進行認證；

步驟9：認證服務器根據(jù)用戶信息判斷用戶是否合法，并根據(jù)不同情況回復不同響應信號，具體如下：

(1)用戶名密碼認證成功，且硬件信息認證完全符合時，回應認證成功報文給設備端，設備端給客戶端分配ip地址；

(2)用戶名密碼認證成功，但當硬件信息認證屬于對比情況(2)，則回應認證部分成功報文給設備端，設備端給客戶端分配一次性ip，僅限于本次連接使用，客戶端成功連接上局域網(wǎng)后，客戶端通過軟件連接客戶設備修改系統(tǒng)，上報硬件更改結果，并經(jīng)由管理員審批成功后，同步修改服務器上的數(shù)據(jù)庫，將該客戶端所對應的數(shù)據(jù)庫中的硬件信息修改為新的硬件信息；

(3)用戶名密碼認證不成功，或硬件信息認證屬于對比情況(3)，則回應eap失敗報文給設備端，設備端不給客戶端分配ip地址，且當硬件信息認證不成功時，認證服務器同時發(fā)送報警信息給管理員。

圖3是本發(fā)明認證服務器端記錄硬件信息的流程圖，按照本發(fā)明的另一優(yōu)選實施方式，認證服務器中數(shù)據(jù)庫存儲的硬件信息為客戶端首次接入認證服務器時自動添加的，具體包括以下步驟：

步驟10：在用戶新領取客戶端時，在認證服務器的數(shù)據(jù)庫中由管理員錄入用戶名和密碼，并將該用戶名關聯(lián)的硬件信息設置為null(空)；

步驟20：客戶端接入局域網(wǎng)，向設備端發(fā)起eapol開始報文，啟動802.1x認證接入。設備端向客戶端發(fā)送eap身份請求報文，要求客戶端發(fā)來用戶名和客戶端的硬件信息；

步驟30：客戶端向設備端回應eap身份認證應答報文，其中包括用戶名和硬件信息；

步驟40：設備端收到eap身份認證應答報文封裝到radius訪問請求報文中，發(fā)送到認證服務器中；

步驟50：認證服務器收到radius訪問請求報文后，解析出用戶名和硬件信息，并查詢該用戶名關聯(lián)的硬件信息是否為空，若為空，則認定該進行認證的客戶端為首次登陸，將解析得到的硬件信息填入和該用戶名關聯(lián)的硬件信息數(shù)據(jù)表項中；若不為空，則說明該客戶端不是首次登陸，繼續(xù)執(zhí)行原有的對比及認證程序。由此，有效提升了管理員輸入硬件信息的效率。

基于本申請的技術方案，可以實現(xiàn)了一種增強安全性的認證網(wǎng)絡及其認證方法，既兼顧了設備的常規(guī)更替，又防止了客戶端設備的非法竊取，且減少了網(wǎng)絡管理員的工作量，還避免了錄入過程中可能出現(xiàn)的差錯。

對所公開的實施例的上述說明，使本領域技術人員能夠實現(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領域的技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其他實施例中實現(xiàn)。因此，本發(fā)明將不被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。