一種基于cpk標(biāo)識(shí)認(rèn)證的802.1x網(wǎng)絡(luò)接入方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域���,尤其涉及一種基于CPK標(biāo)識(shí)認(rèn)證的802.1X網(wǎng)絡(luò)接入方法����。
【背景技術(shù)】
[0002]IEEE 802.1x (Port-Based Network Access Control)是一個(gè)基于端口的網(wǎng)絡(luò)訪問控制協(xié)議��,所謂的基于端口的網(wǎng)絡(luò)接入控制是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶進(jìn)行認(rèn)證����,其中所接入的用戶通過認(rèn)證后,即可訪問局域網(wǎng)中的資源�����,否則無法訪問局域網(wǎng)中的資源����。
[0003]由于在現(xiàn)有市場(chǎng)上推出的基于802.1X的認(rèn)證方式都是基于端口的認(rèn)證方式����,在該認(rèn)證方式下����,接入設(shè)備的一個(gè)端口可接入多個(gè)用戶����,如果該端口被認(rèn)證通過,則該端口下的所有用戶無需再進(jìn)行認(rèn)證即可訪問局域網(wǎng)中的資源�����;并且對(duì)用戶的認(rèn)證一般都采用用戶名和用戶口令單一的識(shí)別認(rèn)證方式(用戶名和用戶口令的安全性較低����,幾個(gè)人都可公用一組用戶名和用戶口令或可能被他人冒充),不能做到分別對(duì)各個(gè)用戶進(jìn)行身份識(shí)別和認(rèn)證控制���,這樣無疑使得該端口下不合法的用戶也可訪問局域網(wǎng)中的資源�����;且網(wǎng)絡(luò)中出現(xiàn)違法行為��,無法定位和追溯網(wǎng)絡(luò)具體的用戶��。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有技術(shù)中存在的上述問題���,本發(fā)明提供一種基于CPK標(biāo)識(shí)認(rèn)證的802.1X網(wǎng)絡(luò)接入方法����,采用支持CPK標(biāo)識(shí)認(rèn)證技術(shù)的客戶端和認(rèn)證服務(wù)器��,為每一個(gè)網(wǎng)絡(luò)接入用戶提供一個(gè)用戶身份識(shí)別的CPK Key設(shè)備�,可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各個(gè)用戶的身份識(shí)別和認(rèn)證控制,可拒絕不合法用戶�、定位與追溯網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)行為。
[0005]為達(dá)到上述目的�����,本發(fā)明的實(shí)施例采用的如下技術(shù)方案:
[0006]一種基于CPK標(biāo)識(shí)認(rèn)證的802.1X網(wǎng)絡(luò)接入方法�,其特征在于包括以下步驟:
[0007]I)當(dāng)用戶需要接入網(wǎng)絡(luò)時(shí)打開客戶端,并且插入用戶的CPK key設(shè)備���,輸入用戶的CPKpin碼�、已經(jīng)申請(qǐng)、登記過的用戶名和用戶口令�,發(fā)起登錄認(rèn)證請(qǐng)求;客戶端將向接入設(shè)備發(fā)出認(rèn)證請(qǐng)求幀��,開始啟動(dòng)一次認(rèn)證過程��;
[0008]2)接入設(shè)備收到認(rèn)證請(qǐng)求幀后����,發(fā)出一個(gè)請(qǐng)求幀要求客戶端發(fā)送輸入的用戶名��;
[0009]3)客戶端響應(yīng)接入設(shè)備的請(qǐng)求����,將用戶名信息發(fā)送給接入設(shè)備。接入設(shè)備將客戶端送上來的響應(yīng)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理���;
[0010]4)認(rèn)證服務(wù)器收到接入設(shè)備轉(zhuǎn)發(fā)的用戶名信息后���,將該信息與數(shù)據(jù)庫中的用戶名列表對(duì)比,找到該用戶名對(duì)應(yīng)的用戶口令信息��,用隨機(jī)生成的一個(gè)隨機(jī)挑戰(zhàn)碼對(duì)用戶口令進(jìn)行加密處理��,同時(shí)將該隨機(jī)挑戰(zhàn)碼發(fā)送給接入設(shè)備,由接入設(shè)備傳給客戶端�;
[0011]5)客戶端收到由接入設(shè)備傳來的隨機(jī)挑戰(zhàn)碼后,用該隨機(jī)挑戰(zhàn)碼對(duì)用戶輸入的用戶口令進(jìn)行加密處理����,并且使用用戶的CPK key設(shè)備對(duì)用戶的用戶名進(jìn)行簽名生成CPK簽名信息,并用服務(wù)器的CPK標(biāo)識(shí)公鑰對(duì)此CPK簽名信息進(jìn)行加密��,將加密后的用戶口令信息和加密后的CPK簽名信息通過接入設(shè)備傳給認(rèn)證服務(wù)器�����;
[0012]6)認(rèn)證服務(wù)器解析得到加密后的用戶口令信息和加密后的CPK簽名信息���,先用服務(wù)器的CPK標(biāo)識(shí)私鑰解密得到CPK簽名信息�����,再驗(yàn)證CPK簽名信息是否合法���。若簽名驗(yàn)證通過,認(rèn)證服務(wù)器將收到的加密的用戶口令信息和本地加密的用戶口令信息進(jìn)行對(duì)比��,若相同,則認(rèn)為該用戶為合法用戶��,返回認(rèn)證通過的消息�����。
[0013]所述認(rèn)證服務(wù)器為支持CPK標(biāo)識(shí)認(rèn)證技術(shù)的�、能進(jìn)行CPK標(biāo)識(shí)白名單管理的認(rèn)證服務(wù)器,認(rèn)證服務(wù)器中保存有用于認(rèn)證鑒權(quán)的多組信息���,每一條所述的多組信息包括用戶私有標(biāo)識(shí)�、基于用戶私有標(biāo)識(shí)產(chǎn)生的用戶的CPK標(biāo)識(shí)公私鑰對(duì)中的CPK標(biāo)識(shí)公鑰�、基于服務(wù)器私有標(biāo)識(shí)產(chǎn)生的服務(wù)器的CPK標(biāo)識(shí)公私鑰對(duì)中的CPK標(biāo)識(shí)私鑰、用戶名����、用戶口令及附加鑒權(quán)信息���;用戶私有標(biāo)識(shí)包括但不限于:身份證號(hào)碼����、電話號(hào)碼���、姓名和用戶名等��。
[0014]所述用戶的CPK key設(shè)備在使用前需要用戶設(shè)置CPK Key的pin碼來激活CPK Key設(shè)備(CPK Key的pin碼是不同于用戶的用戶口令)�,在每次認(rèn)證中都需要用戶輸入已設(shè)置的CPK Key的pin碼做本地驗(yàn)證;用戶的CPK Key的Pin碼在一次認(rèn)證中錯(cuò)誤輸入到達(dá)一定次數(shù)�,用戶的CPK Key設(shè)備會(huì)鎖死,用戶則需要去CPK Key設(shè)備的發(fā)證中心去解鎖��。
[0015]所述客戶端為支持CPK標(biāo)識(shí)認(rèn)證技術(shù)的802.1X協(xié)議的客戶端���,在用戶發(fā)起登錄認(rèn)證請(qǐng)求后�����,客戶端先檢測(cè)是否有CPK key設(shè)備插入����,若檢測(cè)到有CPK key設(shè)備插入���,再對(duì)用戶輸入的CPK pin碼做本地驗(yàn)證�����;CPK pin碼驗(yàn)證通過后��,再發(fā)送認(rèn)證請(qǐng)求報(bào)文到接入設(shè)備���,否則若沒有檢測(cè)到用戶的CPK Key設(shè)備或有CPK Key設(shè)備但輸入的用戶的CPK pin碼錯(cuò)誤�,其顯示相應(yīng)的錯(cuò)誤信息給用戶����。
[0016]在認(rèn)證通過后,客戶端會(huì)定時(shí)檢測(cè)被認(rèn)證設(shè)備的CPK key是否在線�,如果用戶的CPK key設(shè)備被拔出后,客戶端可通知認(rèn)證服務(wù)器用戶下線�。
[0017]在所述的認(rèn)證服務(wù)器中,分配給每個(gè)用戶的CPK key設(shè)備��,用戶名都具有唯一性�����;用戶的CPK key設(shè)備��、用戶名和用戶口令都是一一對(duì)應(yīng)綁定的�。
[0018]所述的認(rèn)證服務(wù)器解析得到加密后的用戶口令信息和加密后的CPK簽名信息�,先用服務(wù)器的CPK標(biāo)識(shí)私鑰解密得到CPK簽名信息,再用認(rèn)證服務(wù)器白名單中的用戶的CPK標(biāo)識(shí)公鑰驗(yàn)證CPK簽名信息的合法性�����,若簽名驗(yàn)證失敗,則返回簽名認(rèn)證失敗信息�����;若簽名驗(yàn)證通過�����,再將認(rèn)證服務(wù)器收到的加密的用戶口令信息和本地加密的用戶口令信息進(jìn)行對(duì)比�,若相同,則認(rèn)為該用戶為合法用戶��,返回認(rèn)證通過的消息�����,若不同�����,則返回認(rèn)證失敗信息��;其中CPK簽名信息包括但不限于:用用戶的CPK key設(shè)備對(duì)用戶的用戶名(或用戶口令���、隨機(jī)挑戰(zhàn)碼等)進(jìn)行簽名生成CPK簽名信息等����。
[0019]所述認(rèn)證服務(wù)器與客戶端都采用預(yù)設(shè)的加密算法,此種加密算法是不可逆的�。加密算法包括但不限于:MD5算法等。
[0020]所述此種方法可適用于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的用戶接入認(rèn)證��。
【附圖說明】
[0021]圖1為本發(fā)明基于CPK標(biāo)識(shí)認(rèn)證的802.1X網(wǎng)絡(luò)接入方法的流程圖
【具體實(shí)施方式】
[0022]為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,下面將結(jié)合實(shí)施例中的附圖�����,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明���。
[0023]參照?qǐng)D1所示,本發(fā)明提出的一種基于CPK標(biāo)識(shí)認(rèn)證的802.1X協(xié)議的用戶網(wǎng)絡(luò)接入認(rèn)證方法�����,至少包括以下步驟:
[0024]步驟101:當(dāng)用戶需要接入網(wǎng)絡(luò)時(shí)打開客戶端程序��,并且插入用戶的CPK key設(shè)備��,輸入的用戶的CPK pin碼�、已經(jīng)申請(qǐng)、登記過的用戶名和用戶口令����,發(fā)起登錄認(rèn)證請(qǐng)求;客戶端先對(duì)用戶輸入的CPK pin碼做本地驗(yàn)證��,用戶的CPK pin碼驗(yàn)證通過后�����,客戶端將向接入設(shè)備發(fā)出認(rèn)證請(qǐng)求幀(EAPOL-Start)�,開始啟動(dòng)一次認(rèn)證過程?����?蛻舳巳魶]有檢測(cè)到用戶的CPK Key設(shè)備或有CPK Key設(shè)備但輸入的用戶的CPK pin碼錯(cuò)誤�����,其顯示相應(yīng)的錯(cuò)誤信息給用戶�����;
[0025]步驟102:接入設(shè)備收到認(rèn)證請(qǐng)求幀后,發(fā)出一個(gè)請(qǐng)求幀(EAP-Request/Identity)要求客戶端發(fā)送輸入的用戶名�����;
[0026]步驟103:客戶端響應(yīng)接入設(shè)備發(fā)出的請(qǐng)求��,將用戶名信息通過響應(yīng)幀(EAP-Response/Identity)發(fā)送給接入設(shè)備����;
[0027]步驟104:接入設(shè)備將客戶端發(fā)送的響應(yīng)幀中的EAP報(bào)文封裝在RADIUS報(bào)文(RADIUS Access-Request)中發(fā)送給認(rèn)證服務(wù)器進(jìn)行處理;
[0028]步驟105:認(rèn)證服務(wù)器收到接入設(shè)備轉(zhuǎn)發(fā)的用戶名信息后����,將該信息與數(shù)據(jù)庫中的用戶名列表中對(duì)比,驗(yàn)證用戶名的合法性���,若合法�����,找到該用戶名對(duì)應(yīng)的用戶口令信息����,用隨機(jī)生成的一個(gè)隨機(jī)挑戰(zhàn)碼對(duì)用戶口令進(jìn)行加密處理,同時(shí)將該隨機(jī)挑戰(zhàn)碼(RADIUSAccess-Challenge)發(fā)送給接入設(shè)備����;
[0029]步驟106:接入設(shè)備將認(rèn)證服務(wù)器發(fā)送的隨機(jī)挑戰(zhàn)碼(EAP-Request/ChalIenge)轉(zhuǎn)發(fā)給客戶端�;
[0030]步驟107:客戶端收到由接入設(shè)備傳來的隨機(jī)挑戰(zhàn)碼后,用該隨機(jī)挑戰(zhàn)碼對(duì)用戶輸入的用戶口令進(jìn)行加密處理��,并且使用用戶的CPK key設(shè)備對(duì)用戶的用戶名進(jìn)行簽名��,生成CPK簽名信息��,再用服務(wù)器的CPK標(biāo)識(shí)公鑰對(duì)此CPK簽名信息進(jìn)行加密處理�,并將加密后的用戶口令信息和加密后的CPK簽名信息(EAP-Response/Challenge&CPK signature)發(fā)送給接入設(shè)備;
[0031]步驟108:接入設(shè)備將客戶端傳來的數(shù)據(jù)報(bào)文封裝在RADIUS報(bào)文中(RADIUSAccess-Request)發(fā)送給認(rèn)證服務(wù)器�;
[0032]步驟109:認(rèn)證服務(wù)器解析出接入設(shè)備傳來的數(shù)據(jù)報(bào)文得到加密后的用戶口令信息和加密后的CPK簽名信息,先用服務(wù)器的CPK標(biāo)識(shí)私鑰解密得到CPK簽名信息�,再用認(rèn)證服務(wù)器白名單中的用戶的CPK標(biāo)識(shí)公鑰驗(yàn)證CPK簽名信息的合法性,若簽名驗(yàn)證失敗��,則返回簽名認(rèn)證失敗信息���;若簽名驗(yàn)證通過�����,再將認(rèn)證服務(wù)器收到的加密的用戶口令信息和本地加密的用戶口令信息進(jìn)行對(duì)比���,若相同���,則認(rèn)為該用戶為合法用戶,并向接入設(shè)備發(fā)送認(rèn)證通過信息(RADIUS Access-Accept)���,若不同��,貝Ij返回認(rèn)證失敗信息���。
[0033]步驟110:若接入設(shè)備收到認(rèn)證通過信息向客戶端發(fā)送認(rèn)證成功信息(EAP-Success),并將端口改為授權(quán)狀態(tài)��,允許用戶通過端口訪問網(wǎng)絡(luò)�����。若接入設(shè)備收到認(rèn)證失敗信息�,則返回失敗信息給客戶端。