CN103297239A - 一种客户端合法性检测方法及装置 - Google Patents
一种客户端合法性检测方法及装置 Download PDFInfo
- Publication number
- CN103297239A CN103297239A CN2013101835136A CN201310183513A CN103297239A CN 103297239 A CN103297239 A CN 103297239A CN 2013101835136 A CN2013101835136 A CN 2013101835136A CN 201310183513 A CN201310183513 A CN 201310183513A CN 103297239 A CN103297239 A CN 103297239A
- Authority
- CN
- China
- Prior art keywords
- nas
- client
- eap
- message
- keyword
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供一种客户端合法性检测方法及装置,应用于包括客户端、NAS以及Radius服务器的认证系统中,其中该方法包括:客户端向NAS发送EAP身份验证回应报文;NAS向服务器发送Radius认证请求报文;服务器从预设的关键词列表中选取关键词,根据关键词算出被对比值,将关键词携带在上线挑战报文的EAP-Message属性中通过NAS透传给客户端;客户端从EAP-Message属性中获取携带的关键词并计算出对比值,并将对比值携带在EAP-Message属性中通过NAS透传给服务器;服务器将对比值和被对比值进行对比,如果一致则允许上线,并转入周期性重新认证流程中。本发明不需要在NAS上作扩展功能,只需要支持标准的Radius和EAP即可。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种客户端合法性检测方法及装置。
背景技术
随着网络技术的不断发展,网络中的终端越来越多,为了便于管理,基于802.1X系统的客户端Client认证应用越来越广泛。为了使合法用户能够正常使用网络,并阻止非法用户进入,对于认证Client合法性检测方法的要求是越来越高。
802.1X系统中包括三个实体:客户端(Client)、设备端(NAS)和认证服务器(Radius server),如图1所示。客户端(Client)是请求接入局域网的用户终端,它由局域网中的设备端对其进行认证,客户端安装支持802.1X认证的客户端软件。设备端(NAS)是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入网络的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。认证服务器(Radius server)用于对客户端进行认证、授权和计费。
在现有技术中,客户端和认证服务器都存有一个数据表,认证服务器从数据列表中选取一段函数编码,计算出被对比值,同时由函数编码、偏移及长度等信息构造关键词;认证服务器在收到设备端发送来的请求报文后,将被对比值和关键词通过回应报文发送给设备端,设备端再把关键词发送给客户端;客户端根据服务器下发的关键词和与认证服务器约定好的规则从数据表中获取函数,并计算对比值,通过应答报文将对比值发送给设备端;由设备端比较对比值和被对比值,两者一致则用户在线,否则将用户下线。用户上线之后,认证服务器会定期发送更新回应报文给设备端,通过更新回应报文发送更新的关键词和被对比值,再重复上述认证过程。该方法流程可参考图1。
该方法要求设备端从认证服务器发送的回应报文或更新回应报文中提取被对比值,从客户端发送的应答报文中提取对比值,再比较两者是否一致。但标准的802.1X设备是不支持上述功能的,要使用该方法需在设备端上单独开发此功能,否则不能兼容各厂商的标准802.1X设备来实现该方法。
发明内容
有鉴于此,本发明提供一种客户端合法性检测装置,应用于认证系统的802.1X客户端中,该系统还包括设备端(NAS)以及Radius服务器,该装置包括请求单元及计算单元;其中:
请求单元,用于向NAS发送EAP身份验证回应报文;
计算单元,用于在收到NAS发送的EAP认证挑战报文后,获取该报文中携带的关键词,并根据第一预设规则计算出用于对比的值,再将对比值发送给NAS。
本发明还提供另一种客户端合法性检测装置,应用于认证系统的Radius服务器中,该系统还包括设备端(NAS)以及802.1X客户端,该装置包括:计算更新单元、回应单元以及对比单元,其中:
计算更新单元,用于从文件表中选取关键词,根据第二预设规则和关键词算出被对比值;
回应单元,用于在收到NAS发送来的Radius认证请求报文后,将关键词发送给NAS;
对比单元,用于将NAS发来的对比值与被对比值进行对比,两者一致则允许用户上线,否则不允许用户上线。
本发明还提供一种客户端合法性检测方法,应用于认证系统的802.1X客户端中,该系统还包括设备端(NAS)以及Radius服务器,其中该方法包括以下步骤:
步骤A、向NAS发送EAP身份验证回应报文;
步骤B、在收到NAS发送的EAP认证挑战报文后,获取该报文中携带的关键词,并根据第一预设规则计算出用于对比的值,再将对比值发送给NAS。
本发明还提供另一种客户端合法性检测方法,应用于认证系统的Radius服务器中,该系统还包括设备端(NAS)以及802.1X客户端,其中该方法包括:
步骤a、从文件表中选取关键词,根据第二预设规则和关键词算出被对比值;
步骤b、在收到NAS发送来的Radius认证请求报文后,将关键词发送给NAS;
步骤c、将NAS发来的对比值与被对比值进行对比,两者一致则允许用户上线,否则不允许用户上线。
本发明提供了一种完善的802.1X认证方式下的客户端合法性检测方法,可兼容所有支持标准Radius协议和EAP协议的NAS,不需要在NAS上作扩展功能,使得客户端防破解方案可以与各厂商的标准NAS配合。
附图说明
图1是现有技术中客户端合法性检测示意图。
图2是本发明一种实施方式中客户端合法性检测装置逻辑结构示意图。
图3是本发明提供的客户端合法性检测流程示意图。
具体实施方式
本发明提供一种客户端合法性检测的解决方案,其应用于包括802.1X系统中的客户端(Client)、设备端(NAS)以及Radius服务器(Radius server)的认证系统中。请参考图2。在优选的实施方式,本发明提供一种客户端合法性检测装置,该装置应用在Client上,包括请求单元及计算单元。相应地,本实施方式还提供一种与之相配合的合法性检测装置,应用于Radius server上,该装置包括:计算更新单元、回应单元以及对比单元。请参考图3,以上两个装置与设备端(NAS)相互配合执行如下处理流程。
步骤1、EAP认证过程开始,在收到NAS身份验证请求报文(EAP-Request/Identity)后,Client侧的请求单元向NAS发送EAP身份验证回应报文(EAP-Response/Identity);
步骤2、在收到来自Client的EAP身份验证回应报文后,NAS相应地向Radius server发送Radius认证请求报文;
步骤3、服务器端在收到Radius认证请求报文(Radius Access-Request)后,其上的计算更新单元按照预设算法从预设的关键词列表中选取关键词,然后根据第二预设规则和关键词算出被对比值,将关键词携带在Radius上线挑战报文(Radius Access-Challenge)的EAP-Message属性中发送给NAS;
步骤4、NAS将Radius上线挑战报文的EAP-Message属性承载在EAP认证挑战报文(EAP-Request/MD5Challenge)中发送给Client;
步骤5、计算单元从EAP认证挑战报文的EAP-Message属性中获取携带的关键词,并根据第一预设规则和关键词算出对比值,并将对比值携带在EAP挑战回应报文的EAP-Message属性中发送给NAS;
步骤6、NAS将该EAP挑战回应报文的EAP-Message属性承载在Radius认证请求报文发送给Radius server;
步骤7、对比单元从Radius认证请求报文的EAP-Message属性中获取对比值,并将对比值与被对比值进行对比,两者一致则允许用户上线,否则不允许用户上线;
步骤8、在用户上线后,NAS定时向Client发送EAP身份验证请求报文(EAP-Request/Identity)以启动重认证过程;
步骤9、在收到NAS身份验证请求报文(EAP-Request/Identity)后,Client侧的请求单元向NAS发送EAP身份验证回应报文(EAP-Response/Identity);
步骤10、在收到来自Client的EAP身份验证回应报文后,NAS相应地向Radius server发送Radius认证请求报文;
步骤11、服务器端在收到Radius认证请求报文(Radius Access-Request)后,其上的计算更新单元按照预设算法从预设的关键词列表中选取新关键词,然后根据第二预设规则和新关键词算出新的被对比值,将新关键词携带在Radius上线挑战报文(Radius Access-Challenge)的EAP-Message属性中发送给NAS;
步骤12、NAS将Radius上线挑战报文的EAP-Message属性承载在EAP认证挑战报文(EAP-Request/MD5Challenge)中发送给Client;
步骤13、计算单元从EAP认证挑战报文的EAP-Message属性中获取携带的新关键词,并根据第一预设规则和新关键词算出新对比值,并将新对比值携带在EAP挑战回应报文的EAP-Message属性中发送给NAS;
步骤14、NAS将该EAP挑战回应报文的EAP-Message属性承载在Radius认证请求报文发送给Radius server;
步骤15、对比单元从Radius认证请求报文的EAP-Message属性中获取新对比值,并将新对比值与新的被对比值进行对比,两者一致则允许用户上线并返回步骤8,否则不允许用户上线;
在优选的实施方式中,步骤3中的第二预设规则和步骤5中的第一预设规则是相同的。也就是说,802.1X Client和Radius Server有着相同的预设规则。由于合法的Client和Radius server有着相同的对比值计算规则,因此它们可根据同一关键词,通过相同的规则计算出一样的结果。其中,所述预设规则可以是一段函数,也可以是一个设计好的算法。
请参考图1所示,与本发明并无直接关联的标准的EAP协议以及Radius协议部分不再一一详细描述。与现有技术不同的是,本发明整个客户端合法性检查的过程对于NAS来说是透明的,NAS只是负责按照标准的方式来透明地传递信息即可,因此不需要对NAS进行软件升级来扩展其功能。具体来说,在步骤3和步骤5中,传递关键词(比如Random Key)以及对比值(比如Random_Hash_Vaule)过程中,Radius Server以及802.1XClient均是将需要传递的信息填写在EAP-Message属性中。根据EAP/Radius协议,EAP-Message属性中的所有信息都将被NAS双向透传。也就是说凡是支持EAP/Radius协议的NAS,都会在将来自802.1X Client一侧的EAP报文中的EAP-Message属性承载到Radius报文中传递给Radius Server,并将来自Radius Sever的Radius报文中的EAP-Message属性承载到EAP报文中传递给802.1X Client。在这个过程中,NAS并不需要知晓EAP-Message属性中具体的信息是什么,因此从EAP-Message属性中的信息传递层面来说,NAS是透明,NAS对这部分信息执行的处理是透传。本发明利用这一特点将Server当前使用的关键词通过NAS透传给Client,Client计算出的对比值通过NAS透传给Radius server的,使对比值与被对比值的对比过程在Radius server中进行,而不是在NAS中进行,这样一来,NAS就无需再做任何修改。
在优选的实施方式中,步骤3中所述关键词列表时预先设置好的,表中包含有多个关键词,Radius server可从该表中随机(或者其他预定算法)选取一个作为发送给NAS的关键词。在优选的实施方式中,步骤7中允许用户上线有两种情况,一是用户未上线而申请上线时允许其上线,二是用户在线时允许用户继续在线;而不允许用户上线也有两种情况,一是用户未上线时不允许其上线,二是用户在线时强迫用户下线。由步骤7可知,由Client计算出的对比值和由Radius server计算的被对比值的对比过程是在Radiusserver中进行的。而在现有技术中,该过程是在NAS中进行的,由于现有技术要求NAS从Radius server发送的回应报文或更新回应报文中提取被对比值,从Client发送的应答报文中提取对比值,再比较两者是否一致,但标准的NAS设备是不支持上述功能的,要使用该方法需在NAS上单独开发此功能,这样一来就增大了投资成本。在本发明中,Client与NAS之间是标准的EAP协议,NAS与Radius Server之间是标准的Radius协议,因此NAS只需支持Radius协议和EAP协议,不需要做其他形式的修改,就可对Client合法性进行检测认证,极大的降低了投资成本。
在Client完成上线之后,NAS会定期触发Client重新发起认证(通常也是发送EAP-Request/Identity报文给Client)。步骤8中NAS根据规定的间隔时间定期向Radius server发送请求认证报文。其中,规定间隔时间的方式有很多种,例如,可以在NAS上设置该间隔时间,也可以由Radius server在回应报文中携带该间隔时间。由于NAS会定时向Client发送重认证报文,Client收到重认证报文后会再次发送上线认证请求报文,再重复整个认证过程。请参考步骤9到步骤15,这个过程中传递关键词以及计算对比值和被对比值的原理是一样的,只不过Radius Server会重新选择一个新的关键词来下发。通过下发新的关键词,可以实现定期动态地验证Client的合法性。在整个过程中,Client将不断的收到NAS发送来的不同新关键词(相对于上一个关键词而言);至少针对源自同一个802.1X客户端的认证请求,该计算更新单元每一次选取的关键词与上一次选取的关键词不同。然后Client不断的根据发送来的新关键词计算出对比值,然后将对比值通过NAS发送给Radius server进行对比认证,从而实现了Client合法性的重认证。这样的实现机制首先利用了NAS标准的发起重新认证这一特点,从安全角度来说极大程度地提高了安全性,使得攻击者仿冒合法Client的难度极大幅度的提升。
综上所述,本发明提供一种完善的802.1X认证方式下的Client合法性检测方法,可兼容所有支持标准Radius协议和EAP协议的NAS,由于Radius协议和EAP协议几乎被大部分NAS所支持,因为本发明使用范围非常广泛,而且本发明也不需要在NAS上作扩展功能,使得本发明Client防破解方案可以方便地与各厂商的NAS配合使用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种客户端合法性检测装置,应用于认证系统的802.1X客户端中,该系统还包括设备端(NAS)以及Radius服务器,该装置包括请求单元及计算单元;其特征在于:
请求单元,用于向NAS发送EAP身份验证回应报文;
计算单元,用于在收到NAS发送的EAP认证挑战报文后,获取该报文中携带的关键词,并根据第一预设规则计算出用于对比的值,再将对比值发送给NAS。
2.如权利要求1所述的装置,其特征在于,所述第一预设规则与Radius服务器上的第二预设规则相同。
3.如权利要求1所述的装置,其特征在于,所述计算单元进一步用于从EAP认证挑战报文的EAP-Message属性中获取所述关键词,并进一步用于将该对比值填写在EAP挑战回应报文的EAP-Message属性中发送给NAS。
4.一种客户端合法性检测装置,应用于认证系统的Radius服务器中,该系统还包括设备端(NAS)以及802.1X客户端,该装置包括:计算更新单元、回应单元以及对比单元,其特征在于:
计算更新单元,用于从文件表中选取关键词,根据第二预设规则和关键词算出被对比值;
回应单元,用于在收到NAS发送来的Radius认证请求报文后,将关键词发送给NAS;
对比单元,用于将NAS发来的对比值与被对比值进行对比,两者一致则允许用户上线,否则不允许用户上线。
5.如权利要求4所述的装置,其特征在于,其中所述回应单元进一步用于将所述关键词携带在Radius上线挑战报文的中发送给NAS;所述对比单元进一步用于将关键词携带在Radius上线挑战报文的EAP-Message属性中发送给所述NAS。
6.如权利要求4所述的装置,其特征在于,计算更新单元,用于根据预设算法从文件表中选取关键词,其中针对源自同一个802.1X客户端的认证请求,该计算更新单元每一次选取的关键词与上一次选取的关键词不同。
7.一种客户端合法性检测方法,应用于认证系统的802.1X客户端中,该系统还包括设备端(NAS)以及Radius服务器,其特征在于,该方法包括以下步骤:
步骤A、向NAS发送EAP身份验证回应报文;
步骤B、在收到NAS发送的EAP认证挑战报文后,获取该报文中携带的关键词,并根据第一预设规则计算出用于对比的值,再将对比值发送给NAS。
8.如权利要求7所述的方法,其特征在于,所述第一预设规则与Radius服务器上的第二预设规则相同。
9.如权利要求7所述的方法,其特征在于,所述步骤B进一步包括:从EAP认证挑战报文的EAP-Message属性中获取所述关键词,并将该对比值填写在EAP挑战回应报文的EAP-Message属性中发送给NAS。
10.一种客户端合法性检测方法,应用于认证系统的Radius服务器中,该系统还包括设备端(NAS)以及802.1X客户端,其特征在于,该方法包括:
步骤a、从文件表中选取关键词,根据第二预设规则和关键词算出被对比值;
步骤b、在收到NAS发送来的Radius认证请求报文后,将关键词发送给NAS;
步骤c、将NAS发来的对比值与被对比值进行对比,两者一致则允许用户上线,否则不允许用户上线。
11.如权利要求10所述的方法,其特征在于,其中所述步骤b进一步包括:将所述关键词携带在Radius上线挑战报文的中发送给NAS;所述步骤c进一步包括:将关键词携带在Radius上线挑战报文的EAP-Message属性中发送给所述NAS。
12.如权利要求10所述的方法,其特征在于,所述步骤a进一步包括:根据预设算法从文件表中选取关键词,其中针对源自同一个802.1X客户端的认证请求,每一次选取的关键词与上一次选取的关键词不同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310183513.6A CN103297239B (zh) | 2013-05-15 | 2013-05-15 | 一种客户端合法性检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310183513.6A CN103297239B (zh) | 2013-05-15 | 2013-05-15 | 一种客户端合法性检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103297239A true CN103297239A (zh) | 2013-09-11 |
| CN103297239B CN103297239B (zh) | 2017-09-05 |
Family
ID=49097596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310183513.6A Active CN103297239B (zh) | 2013-05-15 | 2013-05-15 | 一种客户端合法性检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103297239B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108874402A (zh) * | 2018-04-20 | 2018-11-23 | 新华三技术有限公司 | 一种网络附属存储软件安装方法和装置 |
| CN111031053A (zh) * | 2019-12-17 | 2020-04-17 | 迈普通信技术股份有限公司 | 身份认证方法、装置、电子设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060048212A1 (en) * | 2003-07-11 | 2006-03-02 | Nippon Telegraph And Telephone Corporation | Authentication system based on address, device thereof, and program |
| CN102299803A (zh) * | 2011-09-09 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 安全认证方法及装置、认证设备及认证服务器 |
| CN102299924A (zh) * | 2011-08-22 | 2011-12-28 | 神州数码网络(北京)有限公司 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
-
2013
- 2013-05-15 CN CN201310183513.6A patent/CN103297239B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060048212A1 (en) * | 2003-07-11 | 2006-03-02 | Nippon Telegraph And Telephone Corporation | Authentication system based on address, device thereof, and program |
| CN102299924A (zh) * | 2011-08-22 | 2011-12-28 | 神州数码网络(北京)有限公司 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
| CN102299803A (zh) * | 2011-09-09 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 安全认证方法及装置、认证设备及认证服务器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108874402A (zh) * | 2018-04-20 | 2018-11-23 | 新华三技术有限公司 | 一种网络附属存储软件安装方法和装置 |
| CN111031053A (zh) * | 2019-12-17 | 2020-04-17 | 迈普通信技术股份有限公司 | 身份认证方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297239B (zh) | 2017-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8584224B1 (en) | Ticket based strong authentication with web service | |
| CN103888265B (zh) | 一种基于移动终端的应用登录系统和方法 | |
| US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
| US9887997B2 (en) | Web authentication using client platform root of trust | |
| US20070143832A1 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
| KR101488627B1 (ko) | 트러스티드 연결 아키텍처에 적용되는 플랫폼 인증 폴리시 관리 방법 및 장치 | |
| US9081969B2 (en) | Apparatus and method for remotely deleting critical information | |
| CN108023873B (zh) | 信道建立方法及终端设备 | |
| CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
| CN106330828B (zh) | 网络安全接入的方法、终端设备 | |
| US8918844B1 (en) | Device presence validation | |
| US20140259124A1 (en) | Secure wireless network connection method | |
| US11461165B2 (en) | Techniques for repairing an inoperable auxiliary device using another device | |
| CN103347020A (zh) | 一种跨应用认证访问的系统及方法 | |
| CN110943840B (zh) | 一种签名验证方法 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| CN106888091A (zh) | 基于eap的可信网络接入方法和系统 | |
| CN116323304B (zh) | 用于电动车辆充电站的识别方法 | |
| KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| CN103297239A (zh) | 一种客户端合法性检测方法及装置 | |
| CN106454833A (zh) | 一种实现无线802.1x认证的方法及系统 | |
| CN102932244A (zh) | 基于双向可信性验证的可信接入网关 | |
| US9622075B2 (en) | System and method for adaptive multifactor authentication | |
| CN103179564A (zh) | 基于移动终端认证的网络应用登录方法 | |
| KR101133167B1 (ko) | 보안이 강화된 사용자 인증 처리 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |