CN107222476B - 一种认证服务方法 - Google Patents

一种认证服务方法 Download PDF

Info

Publication number
CN107222476B
CN107222476B CN201710388510.4A CN201710388510A CN107222476B CN 107222476 B CN107222476 B CN 107222476B CN 201710388510 A CN201710388510 A CN 201710388510A CN 107222476 B CN107222476 B CN 107222476B
Authority
CN
China
Prior art keywords
client
hardware
hardware information
equipment end
certificate server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201710388510.4A
Other languages
English (en)
Other versions
CN107222476A (zh
Inventor
李冬
王勇
张营
刘明峰
石鑫磊
邵晓东
常英贤
焦洋
陈剑飞
周强
苏豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Shandong Electric Power Co Qufu Power Supply Co
State Grid Shandong Electric Power Co Ltd
Qingdao Power Supply Co of State Grid Shandong Electric Power Co Ltd
Yantai Power Supply Co of State Grid Shandong Electric Power Co Ltd
Linyi Power Supply Co of State Grid Shandong Electric Power Co Ltd
Zaozhuang Power Supply Co of State Grid Shandong Electric Power Co Ltd
TaiAn Power Supply Co of State Grid Shandong Electric Power Co Ltd
Original Assignee
State Grid Shandong Electric Power Co Qufu Power Supply Co
State Grid Shandong Electric Power Co Ltd
Qingdao Power Supply Co of State Grid Shandong Electric Power Co Ltd
Yantai Power Supply Co of State Grid Shandong Electric Power Co Ltd
Linyi Power Supply Co of State Grid Shandong Electric Power Co Ltd
Zaozhuang Power Supply Co of State Grid Shandong Electric Power Co Ltd
TaiAn Power Supply Co of State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Shandong Electric Power Co Qufu Power Supply Co, State Grid Shandong Electric Power Co Ltd, Qingdao Power Supply Co of State Grid Shandong Electric Power Co Ltd, Yantai Power Supply Co of State Grid Shandong Electric Power Co Ltd, Linyi Power Supply Co of State Grid Shandong Electric Power Co Ltd, Zaozhuang Power Supply Co of State Grid Shandong Electric Power Co Ltd, TaiAn Power Supply Co of State Grid Shandong Electric Power Co Ltd filed Critical State Grid Shandong Electric Power Co Qufu Power Supply Co
Priority to CN201710388510.4A priority Critical patent/CN107222476B/zh
Publication of CN107222476A publication Critical patent/CN107222476A/zh
Application granted granted Critical
Publication of CN107222476B publication Critical patent/CN107222476B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种通过802.1协议进行认证的认证网络和认证方法,该认证网络包括客户端、设备端和认证服务器,其中客户端接入局域网启动802.1x认证,并发送包括用户名和硬件信息的EAP身份认证应答报文至设备端,设备端将该EAP身份认证应答报文封装到RADIUS访问请求报文中,发送到认证服务器中,认证服务器收到RADIUS访问请求报文后,进行解析得到用户名和硬件信息,并进行硬件信息的对比,随后向客户端获取密码,根据用户名、密码和硬件信息的比对结果,确定认证结果,本发明具有提高安全性、操作简单的技术效果。

Description

一种认证服务方法
技术领域
本发明涉及一种网络安全认证方法,具体地说,涉及一种基于802.1x上的扩展认证协议(EAP)的认证方法。
背景技术
IEEE 802.1X是由IEEE制定的关于用户接入网络的认证标准,是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1x协议可以限制未经授权的用户/设备通过接入端口访问局域网,是一种可信网络接入技术的认证协议,以其协议安全、实现简单的特点,与其他认证协议一起,为使用不对称数字用户线(Asymmetric DigitalSubscriber Line,简称ADSL)、VDSL、局域网LAN、无线局域网WLAN等多种宽带接入方式的用户提供了丰富的认证方式。
802.1x认证系统采用网络应用系统典型的Client/Server(C/S)结构,包括三个部分:客户端(Client)、设备端(Device)和认证服务器(Server),如图1所示。在图1所述的局域网中,客户端和交换机以有线连接,或者是和无线接入点以无线方式连接,再接入核心网中,且网络中包括认证服务器来验证计算机用户身份的合法性。其中认证服务器通常为RADIUS服务器,用于存储有关接入请求者的用户身份及设备身份信息,比如接入请求者的设备访问控制列表等等。当接入请求者通过认证后,认证服务器把接入请求者的相关信息传递给认证者,由认证者构建动态的访问控制列表,接入请求者的后续流量接受上述参数的监管。
但是,现有技术中对用户的认证通常采用用户名和密码或者随机密钥等方法进行认证,然而对保密要求或者安全防范要求比较高的网络,不仅需要对用户进行认证,同时还需要对设备的接入进行认证,而对设备的验证,既要认证接入设备的合法性,也要认证接入设备内部设备的安全性。因为在某些环境中,计算机设备的内部元器件随时存在被替换的可能,这样就会破坏信息系统中该环节的安全性,甚至会危及整个系统的安全性。
现有技术中对计算机的认证还可采用可信运算平台(Trusted ComputingPlatform,TPM)或者我国的TPM替代部件——可信密码模块(Trusted cryptographymodule,TCM),但是不管是TPM还是TCM,都需要在计算机内部增加硬件模块也就是芯片来实现其功能。
发明内容
针对上述技术问题,本发明的目的在于提供一种通过802.1x认证来提高安全性的认证网络和认证方法,又不需要在计算机内部增加芯片,从而解决了网络中接入设备的安全性验证。
为达到上述目的,本发明是通过以下技术方案实现的:
步骤1:客户端接入局域网,向设备端发起EAPoL开始报文,启动802.1x认证接入。设备端向客户端发送EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息;
步骤2:客户端向设备端回应EAP身份认证应答报文,其中包括用户名和硬件信息;
步骤3:设备端收到EAP身份认证应答报文封装到RADIUS访问请求报文中,发送到认证服务器中;
步骤4:认证服务器收到RADIUS访问请求报文后,将认证服务器端计算获取的硬件信息和认证服务器的数据库中所存储的硬件信息向对比,对比方法为:
(1)如果计算得到的硬件信息和数据库中的硬件信息完全一致,则判断为硬件完整;
(2)如果计算得到的硬件信息和数据库中的硬件信息不一致,且只有其中一个硬件的硬件信息不一致,但是读取到的该硬件和数据库中的硬件属于同一品牌同一型号或系列型号,且客户端的硬件设备型号优于或等于数据库中存储的原型号,则属于情况(2);
(3)如果计算得到的硬件信息和数据库中的硬件信息不一致,其中一个硬件的硬件ID不一致且不属于同一品牌或同一型号,或者硬件型号差于数据库中存储的原型号,或者其中至少两个硬件的硬件信息不一致,则属于情况(3);
步骤5:认证服务器在硬件信息认证后,向设备端发送产生RADIUS访问质询报文。
步骤6:设备端收到访问质询报文后,将报文中的质询请求发送到客户端,请求质询。
步骤7:客户端收到质询请求后,将密码和质询做MD5算法后,回应给设备端;
步骤8:设备端将质询、MD5算法得到的密码和用户名一起送到认证服务器,由认证服务器进行认证;
步骤9:认证服务器根据用户信息判断用户是否合法,并根据不同情况回复不同响应信号,具体如下:
(1)用户名密码认证成功,且硬件信息认证完全符合时,回应认证成功报文给设备端,设备端给客户端分配IP地址;
(2)用户名密码认证成功,但当硬件信息认证属于情况(2),则回应认证部分成功报文给设备端,设备端给客户端分配一次性IP,仅限于本次连接使用,客户端成功连接上局域网后,客户端通过软件连接客户设备修改系统,上报硬件更改结果,并经由管理员审批成功后,同步修改服务器上的数据库,将该客户端所对应的数据库中的硬件信息修改为新的硬件信息;
(3)用户名密码认证不成功,或硬件信息认证属于情况(3),则回应EAP失败报文给设备端,设备端不给客户端分配IP地址,且当硬件信息认证不成功时,认证服务器同时发送报警信息给管理员。
该网络认证方法进一步包括:客户端获取本机的硬件信息,包括硬盘序列号ID、CPU标识号ID、内存条序列号、主板序列号和网卡MAC地址中的三个或三个以上的信息。
该网络认证方法进一步包括:采用非对称密钥进行加密,客户端采用认证服务器端的公钥对合并后的硬件信息进行加密,随后在认证服务器端利用私钥对接收到的加密信息进行解密,以得到该客户端当前的硬件信息。
该网络认证方法进一步包括:可以采用RSA算法来计算公钥和私钥矩阵。
该网络认证方法进一步包括:在计算硬件信息时,可以根据不同的硬件计算其硬件信息。
该网络认证方法进一步包括:由设备端自动检测是否有新客户端加入,当检测到有新客户端接入时,主动向客户端发起EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息,省略EAPoL开始报文。
本申请还公开了一种增强安全性的网络认证系统,包括客户端,设备端和认证服务器,其中三者之间通过上述网络认证方法进行认证。
附图说明
图1是802.1x系统结构图;
图2是本发明认证网络的认证方法的流程图;
图3是本发明认证服务器自动记录硬件信息的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合附图和实施例对本发明进行进一步的说明。显然,所描述的实施例仅仅是本发明一部分实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
图2为本发明增强安全性的网络认证服务的流程图,如图2所示,用户客户端、设备端和认证服务器的工作流程如下:
步骤1:需要管理的物理环境中的网络客户端接入局域网,客户端通过设备端为客户端提供的非受控端口向设备端发送EAPoL开始报文,来启动802.1x的认证接入。设备端向客户端发送EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息。其中,非受控端口是设备端提供的两个端口之一,该端口可看成为可扩展认证协议(EAP)端口,不进行认证控制,同时该非受控端口始终处于双向连通状态,主要用来传递在通过认证前必需的EAPoL协议帧,保证客户端始终能够发出或接收认证报文。
在一个优选实施方式中,客户端获取本机的硬件信息,包括硬盘序列号ID、CPU标识号ID、内存条序列号、主板序列号和网卡MAC地址中的三个或三个以上的信息,单独计算各个硬件的硬件信息之后将这些硬件信息进行合并,合并后的硬件信息中记录有各需要保护硬件的硬件信息名称及硬件信息合并时的顺序信息。
为了传输过程的安全性,需要对硬件信息进行加密传输,但是由于在认证服务器端需要对硬件信息进行解密并和数据库中存储的硬件信息相比较,因此,在进行硬件信息加密时,不能采用哈希算法来进行加密。
在一个优选实施方式中,采用非对称密钥进行加密,客户端采用认证服务器端的公钥对合并后的硬件信息进行加密,随后在认证服务器端利用私钥对接收到的加密信息进行解密,以得到该客户端当前的硬件信息。
在一个优选实施方式中,可以采用RSA算法来计算公钥和私钥矩阵,具体步骤如下:
(1)选择两个不同的大素数p和q;
(2)计算乘积n=pq和Φ(n)=(p-1)(q-1);
(3)选择大于1小于Φ(n)的随机整数e,使得gcd(e,Φ(n))=1;注:gcd即最大公约数;
(4)计算d使得d*e=1modΦ(n);注:即d*e modΦ(n)=1;
(5)对每一个密钥k=(n,p,q,d,e),定义加密变换为Ek(x)=xe mod n,解密变换为Dk(x)=yd mod n,这里x,y∈Zn;
(6)p,q销毁,以{e,n}为公开密钥,{d,n}为私有密钥。
在一个优选实施方式中,在计算硬件信息时,可以根据不同的计算方法来计算其硬件信息。
在另一优选实施方式中,也可由设备端自动检测是否有新客户端加入,当检测到有新客户端接入时,主动向客户端发起EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息,从而省略EAPoL开始报文。
步骤2:客户端向设备端回应EAP身份认证应答报文,其中包括用户名和硬件信息。
步骤3:设备端收到EAP身份认证应答报文,并将该EAP身份应答报文封装到RADIUS访问请求报文中,随后将RADIUS访问请求报文发送到认证服务器中。
步骤4:认证服务器收到RADIUS访问请求报文后,提取加密后的硬件信息,认证服务器查找共享的公钥,并相应的私钥对该加密硬件信息进行解密,得到解密后的客户端的硬件信息,随后将认证服务器端计算获取的硬件信息和认证服务器的数据库中所存储的硬件信息向对比,如果各个硬件信息对比都相等,则说明该客户端的硬件设备完整,否则该客户端的硬件设备不完整。
如果出现所述客户端中的硬件信息与认证服务器的数据库中所存储的硬件信息不一致的情况,那么说明客户端中的某些硬件设备被替换了,但是硬件设备的替换可能有几种情况:一种情况是由于使用者非法替换或者窃取硬件设备导致的;另一种情况是由于硬件设备自然损耗所导致的硬件更换,例如硬盘损坏导致更换硬盘。如果是前者,则硬件完整性认证不通过,但如果是后者,则可能会由于认证服务器数据库更新不及时而导致合法更换硬件的用户无法正常使用网络,因此要予以区分。
在一个优选实施方式中,认证服务器在比较硬件信息时,进行下述判断:
(1)如果计算得到的硬件信息和数据库中的硬件信息完全一致,则判断为硬件完整;
(2)如果计算得到的硬件信息和数据库中的硬件信息比对时发现,其中一个硬件的硬件信息不一致,但是客户端读取到的该硬件和数据库中的硬件属于同一品牌同一型号或类似型号,且客户端的硬件设备型号优于或等于数据库中存储的原型号,则认为是由于硬件设备自然损耗所导致的合理的硬件更换;
(3)如果计算得到的硬件信息和数据库中的硬件信息比对时发现,其中一个硬件的硬件ID不一致且不属于同一品牌或同一型号,或者硬件型号差于数据库中存储的原型号,或者其中至少两个硬件的硬件信息不一致,则认为该客户端硬件完整性认证不通过,有可能是客户端内部元器件被非法替换或窃取。
在另一优选实施方式中,在比对判断硬件信息时,将硬盘序列号ID、CPU标识号ID、内存条序列号、主板序列号和网卡MAC地址中的每个硬件信息解析成归一化的硬件信息向量,使得各向量中各参数的取值范围为[0,1]。例如硬盘的硬件信息向量由品牌、尺寸、容量、转速、接口组成,如表1所示:
表1
在认证服务器端的数据库中存储有各客户端的原始归一化的硬件信息向量,使得各向量中各参数的取值范围为[0,1]。分别记录为如表2:
表2
认证服务器接收并解密硬件信息后和数据库中存储的硬件信息进行比较,当硬件信息不相同时,根据认证服务器上存储的硬件信息向量和接收的客户端现硬件信息,对该出现差异的硬件进行计算,得到其余弦距离cos(H),具体计算公式为:
其中,xij为接收的硬件信息,yij为认证服务器上存储的硬件信息,其中i指示硬件信息出现差异的硬件,i为1~5的自然数,分别对应硬盘、CPU、内存、主板和网卡信息发生差异,j为各硬件的硬件信息对比所需要的参数,例如硬盘信息中,j为1~5的自然数,具体参见表1,2,且参数和硬件可根据实际需要进行增减,n表示出现差异的硬件的最大对比参数数量。
仍然以硬盘为例,如果硬盘的信息对比出现差异,则其余弦距离为:
在认证服务器中还设置一差别阈值,当余弦距离cos(H)大于等于差别阈值时,说明该硬件的变更处于可接受的范围内,即该硬件变动属于情况(2);如果余弦距离cos(H)小于差别阈值时,说明该硬件的变更处于不可接受的范围,即该客户端硬件完整性认证不通过,该硬件的变更属于情况(3)。
步骤5:认证服务器在计算硬件信息并比较后,向设备端发送产生RADIUS访问质询报文。
步骤6:设备端收到RADIUS访问质询报文后,将该消息解封后,将报文中的质询请求发送到客户端,请求质询。
步骤7:客户端收到质询请求后,将自身密码和质询做MD5算法后,回应给设备端;
步骤8:设备端将质询、经过MD5算法得到的密码和用户名一起发送到认证服务器,由认证服务器进行认证;
步骤9:认证服务器根据用户信息判断用户是否合法,并根据不同情况回复不同响应信号,具体如下:
(1)用户名密码认证成功,且硬件信息认证完全符合时,回应认证成功报文给设备端,设备端给客户端分配IP地址;
(2)用户名密码认证成功,但当硬件信息认证属于对比情况(2),则回应认证部分成功报文给设备端,设备端给客户端分配一次性IP,仅限于本次连接使用,客户端成功连接上局域网后,客户端通过软件连接客户设备修改系统,上报硬件更改结果,并经由管理员审批成功后,同步修改服务器上的数据库,将该客户端所对应的数据库中的硬件信息修改为新的硬件信息;
(3)用户名密码认证不成功,或硬件信息认证属于对比情况(3),则回应EAP失败报文给设备端,设备端不给客户端分配IP地址,且当硬件信息认证不成功时,认证服务器同时发送报警信息给管理员。
图3是本发明认证服务器端记录硬件信息的流程图,按照本发明的另一优选实施方式,认证服务器中数据库存储的硬件信息为客户端首次接入认证服务器时自动添加的,具体包括以下步骤:
步骤10:在用户新领取客户端时,在认证服务器的数据库中由管理员录入用户名和密码,并将该用户名关联的硬件信息设置为null(空);
步骤20:客户端接入局域网,向设备端发起EAPoL开始报文,启动802.1x认证接入。设备端向客户端发送EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息;
步骤30:客户端向设备端回应EAP身份认证应答报文,其中包括用户名和硬件信息;
步骤40:设备端收到EAP身份认证应答报文封装到RADIUS访问请求报文中,发送到认证服务器中;
步骤50:认证服务器收到RADIUS访问请求报文后,解析出用户名和硬件信息,并查询该用户名关联的硬件信息是否为空,若为空,则认定该进行认证的客户端为首次登陆,将解析得到的硬件信息填入和该用户名关联的硬件信息数据表项中;若不为空,则说明该客户端不是首次登陆,继续执行原有的对比及认证程序。由此,有效提升了管理员输入硬件信息的效率。
基于本申请的技术方案,可以实现了一种增强安全性的认证网络及其认证方法,既兼顾了设备的常规更替,又防止了客户端设备的非法窃取,且减少了网络管理员的工作量,还避免了录入过程中可能出现的差错。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (6)

1.一种增强安全性的网络认证方法,具体包括:
步骤1:客户端接入局域网,向设备端发起EAPoL开始报文,启动802.1x认证,接入设备端向客户端发送EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息;
步骤2:客户端向设备端回应EAP身份认证应答报文,其中包括用户名和硬件信息;
步骤3:设备端收到EAP身份认证应答报文封装到RADIUS访问请求报文中,发送到认证服务器中;
步骤4:认证服务器收到RADIUS访问请求报文后,将认证服务器端解密获取的硬件信息和认证服务器的数据库中所存储的硬件信息相对比,对比方法为:
(1)如果计算得到的硬件信息和数据库中的硬件信息完全一致,则判断为硬件完整;
(2)如果计算得到的硬件信息和数据库中的硬件信息不一致,且只有其中一个硬件的硬件信息不一致,但是读取到的该硬件和数据库中的硬件属于同一品牌同一型号或系列型号,且客户端的硬件设备型号优于或等于数据库中存储的原型号,则属于情况(2);
(3)如果计算得到的硬件信息和数据库中的硬件信息不一致,其中一个硬件的硬件ID不一致且不属于同一品牌或同一型号,或者硬件型号差于数据库中存储的原型号,或者其中至少两个硬件的硬件信息不一致,则属于情况(3);
步骤5:认证服务器在硬件信息对比后,向设备端发送产生RADIUS访问质询报文;
步骤6:设备端收到访问质询报文后,将报文中的质询请求发送到客户端,请求质询;
步骤7:客户端收到质询请求后,将密码和质询做MD5算法后,回应给设备端;
步骤8:设备端将质询、MD5算法得到的密码和用户名一起送到认证服务器,由认证服务器进行认证;
步骤9:认证服务器根据用户信息判断用户是否合法,并根据不同情况回复不同响应信号,具体如下:
(1)用户名密码认证成功,且硬件信息认证完全符合时,回应认证成功报文给设备端,设备端给客户端分配IP地址;
(2)用户名密码认证成功,但当硬件信息认证属于情况(2),则回应认证部分成功报文给设备端,设备端给客户端分配一次性IP,仅限于本次连接使用,客户端成功连接上局域网后,客户端通过软件连接客户设备修改系统,上报硬件更改结果,并经由管理员审批成功后,同步修改服务器上的数据库,将该客户端所对应的数据库中的硬件信息修改为新的硬件信息;
(3)用户名密码认证不成功,或硬件信息认证属于情况(3),则回应EAP失败报文给设备端,设备端不给客户端分配IP地址,且当硬件信息认证不成功时,认证服务器同时发送报警信息给管理员。
2.如权利要求1所述的网络认证方法,进一步包括:客户端获取本机的硬件信息,包括硬盘序列号ID、CPU标识号ID、内存条序列号、主板序列号和网卡MAC地址中的三个或三个以上的信息。
3.如权利要求2所述的网络认证方法,进一步包括:采用非对称密钥进行加密,客户端采用认证服务器端的公钥对合并后的硬件信息进行加密,随后在认证服务器端利用私钥对接收到的加密信息进行解密,以得到该客户端当前的硬件信息。
4.如权利要求3所述的网络认证方法,进一步包括:在计算硬件信息时,可以根据不同的硬件计算其硬件信息。
5.如权利要求4所述的网络认证方法,进一步包括:由设备端自动检测是否有新客户端加入,当检测到有新客户端接入时,主动向客户端发起EAP身份请求报文,要求客户端发来用户名和客户端的硬件信息,省略EAPoL开始报文。
6.一种增强安全性的网络认证系统,包括客户端、设备端和认证服务器,该网络认证系统采用如权利要求1-5任一项所述的网络认证方法。
CN201710388510.4A 2017-05-27 2017-05-27 一种认证服务方法 Expired - Fee Related CN107222476B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710388510.4A CN107222476B (zh) 2017-05-27 2017-05-27 一种认证服务方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710388510.4A CN107222476B (zh) 2017-05-27 2017-05-27 一种认证服务方法

Publications (2)

Publication Number Publication Date
CN107222476A CN107222476A (zh) 2017-09-29
CN107222476B true CN107222476B (zh) 2018-02-16

Family

ID=59946799

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710388510.4A Expired - Fee Related CN107222476B (zh) 2017-05-27 2017-05-27 一种认证服务方法

Country Status (1)

Country Link
CN (1) CN107222476B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107819780B (zh) * 2017-11-22 2018-07-31 国网山东省电力公司 一种基于802.1x的网络认证方法
CN108667832B (zh) * 2018-04-28 2022-11-01 北京东土军悦科技有限公司 基于配置信息的认证方法、服务器、交换机和存储介质
US20200220865A1 (en) * 2019-01-04 2020-07-09 T-Mobile Usa, Inc. Holistic module authentication with a device
CN109756509B (zh) * 2019-01-24 2021-08-06 金润方舟科技股份有限公司 一种基于信息回执的网络认证系统及其工作方法
CN110535887A (zh) * 2019-09-30 2019-12-03 海南鼎立信科技有限责任公司 基于Kafka的安全访问控制方法、装置、存储介质及电子设备
CN112054909A (zh) * 2020-09-19 2020-12-08 黑龙江讯翱科技有限公司 一种基于RSA算法的Radius认证方法
CN113132404B (zh) * 2021-04-28 2023-05-30 平安国际智慧城市科技股份有限公司 身份认证方法、终端及存储介质
CN113904856B (zh) * 2021-10-15 2024-04-23 广州威戈计算机科技有限公司 认证方法、交换机和认证系统
CN114866258A (zh) * 2022-05-16 2022-08-05 卡奥斯工业智能研究院(青岛)有限公司 一种访问关系的建立方法、装置、电子设备及存储介质
CN115600177B (zh) * 2022-10-09 2024-04-16 北京金和网络股份有限公司 一种身份认证的方法、装置、存储介质及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN2587116Y (zh) * 2002-11-13 2003-11-19 上海宽讯时代科技有限公司 无线局域网安全防卫墙系统设备
CN101977202A (zh) * 2010-11-11 2011-02-16 北京航空航天大学 一种用于b/s网络结构的一次性口令认证系统和认证方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183940A (zh) * 2007-12-11 2008-05-21 中兴通讯股份有限公司 一种多应用系统对用户身份进行认证的方法
US8990891B1 (en) * 2011-04-19 2015-03-24 Pulse Secure, Llc Provisioning layer two network access for mobile devices
CN103118025B (zh) * 2013-01-30 2016-01-27 福建星网锐捷网络有限公司 基于入网认证的单点登录方法、装置及认证服务器

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN2587116Y (zh) * 2002-11-13 2003-11-19 上海宽讯时代科技有限公司 无线局域网安全防卫墙系统设备
CN101977202A (zh) * 2010-11-11 2011-02-16 北京航空航天大学 一种用于b/s网络结构的一次性口令认证系统和认证方法

Also Published As

Publication number Publication date
CN107222476A (zh) 2017-09-29

Similar Documents

Publication Publication Date Title
CN107222476B (zh) 一种认证服务方法
CN103747036B (zh) 一种桌面虚拟化环境下的可信安全增强方法
CN102271042B (zh) 数字证书认证方法、系统、USB Key设备和服务器
US8438385B2 (en) Method and apparatus for identity verification
US8452954B2 (en) Methods and systems to bind a device to a computer system
CN106453361B (zh) 一种网络信息的安全保护方法及系统
CN110162936A (zh) 一种软件内容的使用授权方法
CN109361668A (zh) 一种数据可信传输方法
US10263782B2 (en) Soft-token authentication system
JP2004508619A (ja) トラステッド・デバイス
JP2013516685A (ja) コンピューターポリシーを施行するためのシステムおよび方法
CN102215221A (zh) 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统
CN101241528A (zh) 终端接入可信pda的方法和接入系统
CN101075869B (zh) 网络认证的实现方法
CN103368905A (zh) 一种基于可信密码模块芯片的网络接入认证方法
CN108494783A (zh) 云端数据的保护方法
CN108965222A (zh) 身份认证方法、系统及计算机可读存储介质
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN110929231A (zh) 数字资产的授权方法、装置和服务器
US8806216B2 (en) Implementation process for the use of cryptographic data of a user stored in a data base
CN103368906A (zh) 一种基于可信密码模块芯片的可信网络接入认证系统
CN109474431A (zh) 客户端认证方法及计算机可读存储介质
CN112261103A (zh) 一种节点接入方法及相关设备
CN105071993A (zh) 加密状态检测方法和系统
CN113630255B (zh) 基于sram puf的轻量级双向认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180216

Termination date: 20190527

CF01 Termination of patent right due to non-payment of annual fee