CN106790012B - 基于802.1x协议数据包验证的用户身份认证方法 - Google Patents
基于802.1x协议数据包验证的用户身份认证方法 Download PDFInfo
- Publication number
- CN106790012B CN106790012B CN201611149130.7A CN201611149130A CN106790012B CN 106790012 B CN106790012 B CN 106790012B CN 201611149130 A CN201611149130 A CN 201611149130A CN 106790012 B CN106790012 B CN 106790012B
- Authority
- CN
- China
- Prior art keywords
- authentication
- client
- network
- data
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于802.1X协议数据包验证的用户身份认证方法,包括以下步骤:S1:用户启动所述客户端发起802.1X认证,所述设备端通过底层数据包收发对与所述设备端连接的客户端进行认证,通过所述认证服务器对所述设备端的用户进行认证、授权和计费;S2:所述网卡判断模块通过所述信息列举函数列举客户端上的所有网卡,获取所有网卡基本信息并将其保存,该基于802.1X协议数据包验证的用户身份认证方法使用最低的资源需求即可完成高效、稳定、自动化的局域网身份认证、不必扩展自定义字段与标准的认证服务就可实现正常兼容,无需任何修改即可完整认证匹配、兼容性好、降低了用户的使用难度,可在异常的情况下自动在发起认证。
Description
技术领域
本发明涉及网络认证技术领域,尤其涉及一种基于802.1X协议数据包验证的用户身份认证方法。
背景技术
802.1X作为一种开放的认证协议,在实际应用中各个实现方案都或多或少的扩展这个协议来满足自己的要求。其次,各种方案在Windows平台下的实现方案都不具备简单易用的特点。针对现在市面上常见的认证客户端的实现缺点总结如下:
过分扩展协议,一些客户端为了阻止用户使用其他客户端来进行身份认证,在标准协议之外扩展了自己的附加字段,导致用户不能使用其他客户端进行身份认证。
兼容性差,由于Windows平台的特性限制,基于底层网络协议的软件都必须利用驱动程序来完成,但是市面上的客户端在实现这种驱动的时候都采用自己技术,但是这种实现方案并不完美。经常造成客户端无响应或者导致用户电脑蓝屏。
网络类型支持不完善,在某些网络环境下,网络不支持802.1X的标准广播包,这就造成一部分的认证客户端无法正常发起身份认证请求。
多网卡支持,由于用户电脑上可能出现多张网卡,这个时候会造成某些拨号软件无法正确打开有效的网络适配器;另一些常见的方式是让用户选择网卡,但是针对普通用户来说,这并不是一个完美的解决方案,因为普通用户根本就不了解这些专业的名词。
无法断线重连,在实际的使用过程中,常见的认证客户端无法在系统休眠再启动或者网卡被禁用或启用的情况下,再次自动发起重新认证的流程。
因此,本领域的技术人员亟需研究出一种使用最低的资源需求即可完成高效、稳定、自动化的局域网身份认证、不必扩展自定义字段与标准的认证服务就可实现正常兼容,无需任何修改即可完整认证匹配、兼容性好、降低了用户的使用难度,可在异常的情况下自动在发起认证的基于802.1X协议数据包验证的用户身份认证方法。
发明内容
本发明要解决的技术问题是提供一种基于802.1X协议数据包验证的用户身份认证方法,该基于802.1X协议数据包验证的用户身份认证方法使用最低的资源需求即可完成高效、稳定、自动化的局域网身份认证、不必扩展自定义字段与标准的认证服务就可实现正常兼容,无需任何修改即可完整认证匹配、兼容性好、降低了用户的使用难度,可在异常的情况下自动在发起认证。
为解决上述技术问题,本发明提供了一种基于802.1X协议数据包验证的用户身份认证方法,其特征在于:提供客户端、设备端及认证服务器,所述客户端包括数据接收模块、认证模块、数据类型判断模块、数据请求类型判断模块、响应数据处理模块、请求数据处理模块、网络重连模块及登录判断模块,所述设备端包括网卡判断模块及网卡自动选择模块,
所述基于802.1X协议数据包验证的用户身份认证方法包括以下步骤:
S1:用户启动所述客户端发起802.1X认证,所述设备端通过底层数据包收发对与所述设备端连接的客户端进行认证,通过所述认证服务器对所述设备端的用户进行认证、授权和计费;
S2:所述网卡判断模块通过所述信息列举函数列举客户端上的所有网卡,获取所有网卡基本信息并将其保存,所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块,所述网卡自动选择模块根据所述网卡数据对所述物理网卡进行自动选择;
S3:所述客户端监控所述客户端与所述设备端连接的系统状态,当达到恢复状态时,所述客户端启动与所述设备端重新连接的机制,与所述设备端重新连接;
所述步骤S1的步骤“底层数据包收发”的实现步骤包括:
S1a:所述认证模块发送第一次认证开始帧,判断认证开始帧发送是否超时,如果是,则执行步骤S1c,如果否,则执行步骤S1b;
S1b:所述数据接收模块等待接收数据包,并将所接收的数据包发送给所述数据类型判断模块;
S1c:所述认证模块发送第二次认证开始帧,判断认证开始帧发送是否超时,如果是,则结束流程,如果否,则返回所述步骤S1b;
S1d:所述数据类型判断模块判断所接收的数据包的类型,如果是响应数据包,则将所述响应数据包发送给所述响应数据处理模块,如果是请求数据包,则将所述请求数据包发送给所述请求数据处理模块;
S1e:所述请求数据处理模块将请求数据包发送给所述数据请求类型判断模块,所述响应数据处理模块将响应数据包发送所述登录判断模块,所述数据请求类型判断模块将所述请求数据包的数据判断后进行认证分类并将认证分类的信息发送给所述登录判断模块;
S1f:所述登录判断模块对所设备端的登录状态进行判断,如果登录不成功,则结束流程,如果登录成功,则所述客户端与所述设备连接成功;
其中,所述设备端为支持802.1X协议的网络设备,所述认证服务器是为设备端提供认证服务的实体;
其中,所述底层数据包收发的编程接口为WinPcap网络驱动程序。
优选地,所述客户端支持可扩展认证协议EAPOL,
所述设备端为客户端提供接入局域网的端口,该端口是物理端口或者逻辑端口。
优选地,所述信息列举函数为GetAdaptersAddresses函数。
优选地,所述网卡基本信息为网卡GUID、网卡设备名称、网卡详细名称、网卡MAC地址及网卡设备类型。
优选地,所述认证分类包括发送用户名、发送密码及响应心跳。
优选地,所述步骤S3的步骤“所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块”的实现步骤包括:所述网卡判断模块通过查询对应系统注册表路径下对应网卡名称的一个键,判断所述键下面的子健“Connection”的开头类型,如果所述子健的键值是以“PCI”开头,则判断所述物理网卡是否为一张,如果为一张,则所述网卡自动选择模块对所述物理网卡进行选择,如果所述子健的键值不是以“PCI”开头,则结束流程。
优选地,所述网络重连模块包括网络变化判断单元、数据获取接收单元、状态判断单元及重新认证与连接恢复单元,所述步骤S4的实现步骤包括:
S401:所述网络变化判断单元根据NotifyAddrChange函数判断客户端与设备端连接的网络是否发生变化,如果所述网络发生变化,则执行步骤S402,否则,结束流程;
S402:所述网络变化判断单元将所述网络变化的消息发送给所述数据获取接收单元;
S403:所述数据获取接收单元获取所述客户端与所述设备端连接状态信息,所述数据获取接收单元利用INetConnect ionManager函数获取所述客户端网卡管理员的状态信息,所述数据获取接收单元将获取的信息发送给所述状态判断单元;
S404:所述状态判断单元判断所述设备端连接状态信息及所述设备端管理员的状态信息是否一致,如果一致,则返回步骤S401,如果不一致则所述状态判断单元将判断结果的信息发送给所述重新认证与连接恢复单元并执行步骤S405;
S405:所述重新认证与连接恢复单元将所述客户端与所述设备的网络重新认证及连接。
优选地,所述认证服务器为Radui s认证服务器,所述Radui s认证服务器的认证方式为EAPOL-Md5。
优选地,还提供DHCP服务器,当所述客户端与所述设备端的网络连接认证成功之后,所述客户端自动向所述DHCP服务器请求可用的IP地址。
优选地,所述步骤S1的实现步骤包括:
S101:当用户有访问网络需求时,打开所述客户端,输入已经申请、登记过的用户名和密码,发起连接请求EAPOL-Start报文,所述客户端将发出请求认证的报文发送给所述设备端;
S102:所述设备端接收请求认证的数据帧,发出一个EAP-Request/Identity请求帧请求所述客户端发送输入的用户名;
S103:所述客户端响应设备端发出的请求,将用户名信息通过EAP-Response/Identity数据帧发送给所述设备端,所述设备端将所述客户端发送的数据帧封包处理成RADIUS Access-Request报文,将所述RADIUS Access-Request报文发送给认证服务器进行处理,所述认证服务器接收所述设备端转发的用户名信息,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,随机生成的一个加密字对用户名信息进行加密处理,所述认证服务器将所述加密字通过RADIUS Access-Chal lenge报文发送给所述设备端,所述设备端将所述加密字信息转发给所述客户端;
S104:所述客户端接收到所述设备端发送的加密字,用该加密字对密码部分进行加密处理,生成EAP-Response/MD5Challenge报文,并通过所述设备端发送给所述认证服务器;
S105:所述认证服务器将收到的已加密的RADIUS Access-Request密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,发送认证通过的EAP-Success消息给所述设备端;
S106:所述设备端接收认证通过消息后将为所述客户端提供接入局域网的端口改为授权状态,允许用户通过端口访问网络,所述设备端通过向客户端定期发送握手报文,对用户的在线情况进行监测,在缺省情况下,如果两次握手请求报文都得不到客户端应答,所述设备端让用户下线;
S107:所述客户端发送EAPOL-Logoff报文给设备端,主动要求下线,所述设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
采用了上述方法之后,用户启动所述客户端发起802.1X认证,所述设备端通过底层数据包收发对与所述设备端连接的客户端进行认证,通过所述认证服务器对所述设备端的用户进行认证、授权和计费;所述网卡判断模块通过所述信息列举函数列举客户端上的所有网卡,获取所有网卡基本信息并将其保存,所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块,所述网卡自动选择模块根据所述网卡数据对所述物理网卡进行自动选择;所述客户端监控所述客户端与所述设备端连接的系统状态,当达到恢复状态时,所述客户端启动与所述设备端重新连接的机制,与所述设备端重新连接;所述认证模块发送第一次认证开始帧,判断认证开始帧发送是否超时,如果是,所述认证模块发送第二次认证开始帧,判断认证开始帧发送是否超时,如果否,则所述数据接收模块等待接收数据包,并将所接收的数据包发送给所述数据类型判断模块;所述数据类型判断模块判断所接收的数据包的类型,如果是响应数据包,则将所述响应数据包发送给所述响应数据处理模块,如果是请求数据包,则将所述请求数据包发送给所述请求数据处理模块;
所述请求数据处理模块将请求数据包发送给所述数据请求类型判断模块,所述响应数据处理模块将响应数据包发送所述登录判断模块,所述数据请求类型判断模块将所述请求数据包的数据判断后进行认证分类并将认证分类的信息发送给所述登录判断模块;所述登录判断模块对所设备端的登录状态进行判断,如果登录不成功,则结束流程,如果登录成功,则所述客户端与所述设备连接成功;该基于802.1X协议数据包验证的用户身份认证方法使用最低的资源需求即可完成高效、稳定、自动化的局域网身份认证、不必扩展自定义字段与标准的认证服务就可实现正常兼容,无需任何修改即可完整认证匹配、兼容性好、降低了用户的使用难度,可在异常的情况下自动在发起认证。
附图说明
图1是本发明的一种基于802.1X协议数据包验证的用户身份认证方法的整体模型示意图;
图2是本发明的一种基于802.1X协议数据包验证的用户身份认证方法的执行流程示意图;
图3是本发明的一种基于802.1X协议数据包验证的用户身份认证方法的认证步骤的执行流程示意图;
图4是与图3的认证步骤执行流程图对应的认证过程模型图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。
实施例1
请参阅图1至图3,图1是本发明的一种基于802.1X协议数据包验证的用户身份认证方法的整体模型示意图;图2是本发明的一种基于802.1X协议数据包验证的用户身份认证方法的执行流程示意图;图3是本发明的一种基于802.1X协议数据包验证的用户身份认证方法的认证步骤的执行流程示意图。
本发明公开了一种基于802.1X协议数据包验证的用户身份认证方法,提供客户端、设备端及认证服务器,所述客户端包括数据接收模块、认证模块、数据类型判断模块、数据请求类型判断模块、响应数据处理模块、请求数据处理模块、网络重连模块及登录判断模块,所述设备端包括网卡判断模块及网卡自动选择模块,所述基于802.1X协议数据包验证的用户身份认证方法包括以下步骤:
S1:用户启动所述客户端发起802.1X认证,所述设备端通过底层数据包收发对与所述设备端连接的客户端进行认证,通过所述认证服务器对所述设备端的用户进行认证、授权和计费;
S2:所述网卡判断模块通过所述信息列举函数列举客户端上的所有网卡,获取所有网卡基本信息并将其保存,所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块,所述网卡自动选择模块根据所述网卡数据对所述物理网卡进行自动选择;
S3:所述客户端监控所述客户端与所述设备端连接的系统状态,当达到恢复状态时,所述客户端启动与所述设备端重新连接的机制,与所述设备端重新连接;
所述步骤S1的步骤“底层数据包收发”的实现步骤包括:
S1a:所述认证模块发送第一次认证开始帧,判断认证开始帧发送是否超时,如果是,则执行步骤S1c,如果否,则执行步骤S1b;
S1b:所述数据接收模块等待接收数据包,并将所接收的数据包发送给所述数据类型判断模块;
S1c:所述认证模块发送第二次认证开始帧,判断认证开始帧发送是否超时,如果是,则结束流程,如果否,则返回所述步骤S1b;
S1d:所述数据类型判断模块判断所接收的数据包的类型,如果是响应数据包,则将所述响应数据包发送给所述响应数据处理模块,如果是请求数据包,则将所述请求数据包发送给所述请求数据处理模块;
S1e:所述请求数据处理模块将请求数据包发送给所述数据请求类型判断模块,所述响应数据处理模块将响应数据包发送所述登录判断模块,所述数据请求类型判断模块将所述请求数据包的数据判断后进行认证分类并将认证分类的信息发送给所述登录判断模块;
S1f:所述登录判断模块对所设备端的登录状态进行判断,如果登录不成功,则结束流程,如果登录成功,则所述客户端与所述设备连接成功;
所述步骤S1的实现步骤包括:
S101:当用户有访问网络需求时,打开所述客户端,输入已经申请、登记过的用户名和密码,发起连接请求EAPOL-Start报文,所述客户端将发出请求认证的报文发送给所述设备端;
S102:所述设备端接收请求认证的数据帧,发出一个EAP-Request/Identity请求帧请求所述客户端发送输入的用户名;
S103:所述客户端响应设备端发出的请求,将用户名信息通过EAP-Response/Identity数据帧发送给所述设备端,所述设备端将所述客户端发送的数据帧封包处理成RADIUS Access-Request报文,将所述RADIUS Access-Request报文发送给认证服务器进行处理,所述认证服务器接收所述设备端转发的用户名信息,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,随机生成的一个加密字对用户名信息进行加密处理,所述认证服务器将所述加密字通过RADIUS Access-Challenge报文发送给所述设备端,所述设备端将所述加密字信息转发给所述客户端;
S104:所述客户端接收到所述设备端发送的加密字,用该加密字对密码部分进行加密处理,生成EAP-Response/MD5Challenge报文,并通过所述设备端发送给所述认证服务器;
S105:所述认证服务器将收到的已加密的RADIUS Access-Request密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,发送认证通过的EAP-Success消息给所述设备端;
S106:所述设备端接收认证通过消息后将为所述客户端提供接入局域网的端口改为授权状态,允许用户通过端口访问网络,所述设备端通过向客户端定期发送握手报文,对用户的在线情况进行监测,在缺省情况下,如果两次握手请求报文都得不到客户端应答,所述设备端让用户下线;
S107:所述客户端发送EAPOL-Logoff报文给设备端,主动要求下线,所述设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
其中,所述设备端为支持802.1X协议的网络设备,所述认证服务器是为设备端提供认证服务的实体;
其中,所述网卡基本信息为网卡GUID、网卡设备名称、网卡详细名称、网卡MAC地址及网卡设备类型。
其中,所述认证分类包括发送用户名、发送密码及响应心跳。
其中,所述底层数据包收发的编程接口为WinPcap网络驱动程序。
在本实施例,所述客户端支持可扩展认证协议EAPOL,所述设备端为客户端提供接入局域网的端口,该端口是物理端口或者逻辑端口。
在本实施例,优选的所述信息列举函数为GetAdaptersAddresses函数,所述信息列举函数也可以为其他类型的函数。
所述步骤S3的步骤“所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块”的实现步骤包括:所述网卡判断模块通过查询对应系统注册表路径下对应网卡名称的一个键,判断所述键下面的子健“Connection”的开头类型,如果所述子健的键值是以“PCI”开头,则判断所述物理网卡是否为一张,如果为一张,则所述网卡自动选择模块对所述物理网卡进行选择,如果所述子健的键值不是以“PCI”开头,则结束流程。
所述网络重连模块包括网络变化判断单元、数据获取接收单元、状态判断单元及重新认证与连接恢复单元,所述步骤S4的实现步骤包括:
S401:所述网络变化判断单元根据NotifyAddrChange函数判断客户端与设备端连接的网络是否发生变化,如果所述网络发生变化,则执行步骤S402,否则,结束流程;
S402:所述网络变化判断单元将所述网络变化的消息发送给所述数据获取接收单元;
S403:所述数据获取接收单元获取所述客户端与所述设备端连接状态信息,所述数据获取接收单元利用INetConnectionManager函数获取所述客户端网卡管理员的状态信息,所述数据获取接收单元将获取的信息发送给所述状态判断单元;
S404:所述状态判断单元判断所述设备端连接状态信息及所述设备端管理员的状态信息是否一致,如果一致,则返回步骤S401,如果不一致则所述状态判断单元将判断结果的信息发送给所述重新认证与连接恢复单元并执行步骤S405;
S405:所述重新认证与连接恢复单元将所述客户端与所述设备的网络重新认证及连接。
在本实施例,所述认证服务器为Raduis认证服务器,所述Raduis认证服务器的认证方式为EAPOL-Md5。
还提供DHCP服务器,当所述客户端与所述设备端的网络连接认证成功之后,所述客户端自动向所述DHCP服务器请求可用的IP地址。
采用了上述方法之后,用户启动所述客户端发起802.1X认证,所述设备端通过底层数据包收发对与所述设备端连接的客户端进行认证,通过所述认证服务器对所述设备端的用户进行认证、授权和计费;所述网卡判断模块通过所述信息列举函数列举客户端上的所有网卡,获取所有网卡基本信息并将其保存,所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块,所述网卡自动选择模块根据所述网卡数据对所述物理网卡进行自动选择;所述客户端监控所述客户端与所述设备端连接的系统状态,当达到恢复状态时,所述客户端启动与所述设备端重新连接的机制,与所述设备端重新连接;所述认证模块发送第一次认证开始帧,判断认证开始帧发送是否超时,如果是,所述认证模块发送第二次认证开始帧,判断认证开始帧发送是否超时,如果否,则所述数据接收模块等待接收数据包,并将所接收的数据包发送给所述数据类型判断模块;所述数据类型判断模块判断所接收的数据包的类型,如果是响应数据包,则将所述响应数据包发送给所述响应数据处理模块,如果是请求数据包,则将所述请求数据包发送给所述请求数据处理模块;所述请求数据处理模块将请求数据包发送给所述数据请求类型判断模块,所述响应数据处理模块将响应数据包发送所述登录判断模块,所述数据请求类型判断模块将所述请求数据包的数据判断后进行认证分类并将认证分类的信息发送给所述登录判断模块;所述登录判断模块对所设备端的登录状态进行判断,如果登录不成功,则结束流程,如果登录成功,则所述客户端与所述设备连接成功;该基于802.1X协议数据包验证的用户身份认证方法使用最低的资源需求即可完成高效、稳定、自动化的局域网身份认证、不必扩展自定义字段与标准的认证服务就可实现正常兼容,无需任何修改即可完整认证匹配、兼容性好、降低了用户的使用难度,可在异常的情况下自动在发起认证。
同时,应当理解的是,以上仅为本发明的优选实施例,不能因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效实现方法,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于802.1X协议数据包验证的用户身份认证方法,其特征在于:提供客户端、设备端及认证服务器,所述客户端包括数据接收模块、认证模块、数据类型判断模块、数据请求类型判断模块、响应数据处理模块、请求数据处理模块、网络重连模块及登录判断模块,所述设备端包括网卡判断模块及网卡自动选择模块,
所述基于802.1X协议数据包验证的用户身份认证方法包括以下步骤:
S1:用户启动所述客户端发起802.1X认证,所述设备端通过底层数据包收发对与所述设备端连接的客户端进行认证,通过所述认证服务器对所述设备端的用户进行认证、授权和计费;
S2:所述网卡判断模块通过信息列举函数列举客户端上的所有网卡,获取所有网卡基本信息并将其保存,所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块,所述网卡自动选择模块根据所述网卡数据对物理网卡进行自动选择;
S3:所述客户端监控所述客户端与所述设备端连接的系统状态,当达到恢复状态时,所述客户端启动与所述设备端重新连接的机制,与所述设备端重新连接;
所述步骤S1的步骤“底层数据包收发”的实现步骤包括:
S1a:所述认证模块发送第一次认证开始帧,判断认证开始帧发送是否超时,如果是,则执行步骤S1c,如果否,则执行步骤S1b;
S1b:所述数据接收模块等待接收数据包,并将所接收的数据包发送给所述数据类型判断模块;
S1c:所述认证模块发送第二次认证开始帧,判断认证开始帧发送是否超时,如果是,则结束流程,如果否,则返回所述步骤S1b;
S1d:所述数据类型判断模块判断所接收的数据包的类型,如果是响应数据包,则将所述响应数据包发送给所述响应数据处理模块,如果是请求数据包,则将所述请求数据包发送给所述请求数据处理模块;
S1e:所述请求数据处理模块将请求数据包发送给所述数据请求类型判断模块,所述响应数据处理模块将响应数据包发送所述登录判断模块,所述数据请求类型判断模块将所述请求数据包的数据判断后进行认证分类并将认证分类的信息发送给所述登录判断模块;
S1f:所述登录判断模块对所设备端的登录状态进行判断,如果登录不成功,则结束流程,如果登录成功,则所述客户端与所述设备连接成功;
其中,所述设备端为支持802.1X协议的网络设备,所述认证服务器是为设备端提供认证服务的实体;
其中,所述底层数据包收发的编程接口为WinPcap网络驱动程序。
2.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述客户端支持可扩展认证协议EAPOL,所述设备端为客户端提供接入局域网的端口,该端口是物理端口或者逻辑端口。
3.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述信息列举函数为GetAdaptersAddresses函数。
4.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述网卡基本信息为网卡GUID、网卡设备名称、网卡详细名称、网卡MAC地址及网卡设备类型。
5.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述认证分类包括发送用户名、发送密码及响应心跳。
6.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述步骤S3的步骤“所述网卡判断模块对所述网卡的数据进判断并将判断后的网卡数据发送给所述网卡自动选择模块”的实现步骤包括:所述网卡判断模块通过查询对应系统注册表路径下对应网卡名称的一个键,判断所述键下面的子健“Connection”的开头类型,如果所述子健的键值是以“PCI”开头,则判断所述物理网卡是否为一张,如果为一张,则所述网卡自动选择模块对所述物理网卡进行选择,如果所述子健的键值不是以“PCI”开头,则结束流程。
7.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述网络重连模块包括网络变化判断单元、数据获取接收单元、状态判断单元及重新认证与连接恢复单元,步骤S4的实现步骤包括:
S401:所述网络变化判断单元根据NotifyAddrChange函数判断客户端与设备端连接的网络是否发生变化,如果所述网络发生变化,则执行步骤S402,否则,结束流程;
S402:所述网络变化判断单元将所述网络变化的消息发送给所述数据获取接收单元;
S403:所述数据获取接收单元获取所述客户端与所述设备端连接状态信息,所述数据获取接收单元利用INetConnectionManager函数获取所述客户端网卡管理员的状态信息,所述数据获取接收单元将获取的信息发送给所述状态判断单元;
S404:所述状态判断单元判断所述设备端连接状态信息及所述设备端管理员的状态信息是否一致,如果一致,则返回步骤S401,如果不一致则所述状态判断单元将判断结果的信息发送给所述重新认证与连接恢复单元并执行步骤S405;
S405:所述重新认证与连接恢复单元将所述客户端与所述设备的网络重新认证及连接。
8.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述认证服务器为Raduis认证服务器,所述Raduis认证服务器的认证方式为EAPOL-Md5。
9.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:还提供DHCP服务器,当所述客户端与所述设备端的网络连接认证成功之后,所述客户端自动向所述DHCP服务器请求可用的IP地址。
10.根据权利要求1基于802.1X协议数据包验证的用户身份认证方法,其特征在于:所述步骤S1的实现步骤包括:
S101:当用户有访问网络需求时,打开所述客户端,输入已经申请、登记过的用户名和密码,发起连接请求EAPOL-Start报文,所述客户端将发出请求认证的报文发送给所述设备端;
S102:所述设备端接收请求认证的数据帧,发出一个EAP-Request/Identity请求帧请求所述客户端发送输入的用户名;
S103:所述客户端响应设备端发出的请求,将用户名信息通过EAP-Response/Identity数据帧发送给所述设备端,所述设备端将所述客户端发送的数据帧封包处理成RADIUSAccess-Request报文,将所述RADIUS Access-Request报文发送给认证服务器进行处理,所述认证服务器接收所述设备端转发的用户名信息,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,随机生成的一个加密字对用户名信息进行加密处理,所述认证服务器将所述加密字通过RADIUS Access-Challenge报文发送给所述设备端,所述设备端将所述加密字信息转发给所述客户端;
S104:所述客户端接收到所述设备端发送的加密字,用该加密字对密码部分进行加密处理,生成EAP-Response/MD5Challenge报文,并通过所述设备端发送给所述认证服务器;
S105:所述认证服务器将收到的已加密的RADIUS Access-Request密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,发送认证通过的EAP-Success消息给所述设备端;
S106:所述设备端接收认证通过消息后将为所述客户端提供接入局域网的端口改为授权状态,允许用户通过端口访问网络,所述设备端通过向客户端定期发送握手报文,对用户的在线情况进行监测,在缺省情况下,如果两次握手请求报文都得不到客户端应答,所述设备端让用户下线;
S107:所述客户端发送EAPOL-Logoff报文给设备端,主动要求下线,所述设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611149130.7A CN106790012B (zh) | 2016-12-14 | 2016-12-14 | 基于802.1x协议数据包验证的用户身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611149130.7A CN106790012B (zh) | 2016-12-14 | 2016-12-14 | 基于802.1x协议数据包验证的用户身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106790012A CN106790012A (zh) | 2017-05-31 |
| CN106790012B true CN106790012B (zh) | 2020-02-18 |
Family
ID=58880873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611149130.7A Active CN106790012B (zh) | 2016-12-14 | 2016-12-14 | 基于802.1x协议数据包验证的用户身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106790012B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790013A (zh) * | 2016-12-14 | 2017-05-31 | 深圳市彬讯科技有限公司 | 基于802.1X协议的Windows局域网身份认证方法 |
| CN111769909B (zh) * | 2020-06-16 | 2023-05-09 | 上海英方软件股份有限公司 | 一种基于行情数据级联重传的装置及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1599372A (zh) * | 2004-06-25 | 2005-03-23 | 港湾网络有限公司 | 基于媒体访问控制的802.1x认证的实体查找方法 |
| CN1688124A (zh) * | 2005-05-16 | 2005-10-26 | 中国科学院计算技术研究所 | 基于端口技术和认证协议的无线网络接入控制方法 |
| CN101599967A (zh) * | 2009-06-29 | 2009-12-09 | 杭州华三通信技术有限公司 | 基于802.1x认证系统的权限控制方法及系统 |
| CN103200172A (zh) * | 2013-02-19 | 2013-07-10 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8068414B2 (en) * | 2004-08-09 | 2011-11-29 | Cisco Technology, Inc. | Arrangement for tracking IP address usage based on authenticated link identifier |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
-
2016
- 2016-12-14 CN CN201611149130.7A patent/CN106790012B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1599372A (zh) * | 2004-06-25 | 2005-03-23 | 港湾网络有限公司 | 基于媒体访问控制的802.1x认证的实体查找方法 |
| CN1688124A (zh) * | 2005-05-16 | 2005-10-26 | 中国科学院计算技术研究所 | 基于端口技术和认证协议的无线网络接入控制方法 |
| CN101599967A (zh) * | 2009-06-29 | 2009-12-09 | 杭州华三通信技术有限公司 | 基于802.1x认证系统的权限控制方法及系统 |
| CN103200172A (zh) * | 2013-02-19 | 2013-07-10 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 吴华光.基于802.1x认证的网络安全性的研究.《 上饶师范学院学报(自然科学版)》.2005,全文. * |
| 基于802.1X协议的身份认证体系在医院网络管理中的应用;汤钦华;《数字技术与应用》;20131215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106790012A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8266681B2 (en) | System and method for automatic network logon over a wireless network | |
| US8893240B2 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| EP2051432B1 (en) | An authentication method, system, supplicant and authenticator | |
| US6715082B1 (en) | Security server token caching | |
| EP1872558B1 (en) | Connecting vpn users in a public network | |
| US7672457B2 (en) | Computer-readable recording medium recording a wireless communication authentication program | |
| US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| US8583794B2 (en) | Apparatus, method, and computer program product for registering user address information | |
| CN106878139B (zh) | 基于802.1x协议的认证逃生方法及装置 | |
| JP2002373153A (ja) | バイオメトリック認証されるvlan | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| CN104581722A (zh) | 一种基于wps的网络连接方法和装置 | |
| KR100763131B1 (ko) | 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법 | |
| EP1919156A1 (en) | Optimized EAP-SIM authentication | |
| US8010994B2 (en) | Apparatus, and associated method, for providing communication access to a communication device at a network access port | |
| CN106790012B (zh) | 基于802.1x协议数据包验证的用户身份认证方法 | |
| EP3635988B1 (en) | Improvements in and relating to network communications | |
| US20090271846A1 (en) | Method and Device to Suspend the Access to a Service | |
| US11502987B2 (en) | Communication system and method for performing third-party authentication between home service end and foreign service end | |
| CN106790013A (zh) | 基于802.1X协议的Windows局域网身份认证方法 | |
| KR20070078212A (ko) | 공중 무선랜에서의 다중 모드 접속 인증 방법 | |
| CN104581723A (zh) | 一种客户端设备联网信息数据的应用方法及装置 | |
| KR100459935B1 (ko) | 공중 무선 랜 서비스 망에서의 사용자 인증방법 | |
| JP7227891B2 (ja) | 認証サーバおよび認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 518000 R & D room 3501, block a, building 7, Vanke Cloud City Phase I, Xingke 1st Street, Xili community, Xili street, Nanshan District, Shenzhen City, Guangdong Province Patentee after: Tubatu Group Co.,Ltd. Address before: 1001-a, 10th floor, bike technology building, No.9, Keke Road, high tech Zone, Nanshan District, Shenzhen, Guangdong 518000 Patentee before: SHENZHEN BINCENT TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address |