CN110855604A - 一种获取端口挂载hub的方法、设备端及认证服务器 - Google Patents

Abstract

本发明提供一种获取端口挂载HUB的方法、设备端及认证服务器，客户端向设备端发出认证请求帧；设备端获取客户端的用户信息；再发送至认证服务器进行处理；认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户信息列表进行对比；如果相符，则认证所述客户端为授权状态，通过端口访问网络。设备端判断所述客户端端口下是否挂载HUB；如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。这样，通过端口下挂hub发现的方式进一步对网络安全进行了加固，经过检测可以发现端口下挂的hub，可以全局掌控局域网中所有入网设备是否合规，及时通知运维人员可能存在潜在的风险。

Description

一种获取端口挂载HUB的方法、设备端及认证服务器

技术领域

本发明涉及网络安全技术领域，尤其涉及一种获取端口挂载HUB的方法、设备端及认证服务器。

背景技术

近年来，网络安全事件频繁发生，公司逐渐意识到网络安全的重要性，当前信息内网中，针对终端进行分区分域管理，在边界上对终端设备入网进行多种方式认证，从而保证设备入网的合规性。

但现实中仍然存在接入交换机端口没有开启认证协议、或者为了工作的方便在交换机端口下私接HUB多个用户同时无认证上网等情况，这无形当中给具有不良居心的人或者组织开了一个后门，这些行为可能会造成企业敏感数据泄露、非法攻击造成内网大量设备瘫痪，严重影响了工作和企业生产。

目前通过Radius认证实现安全网络，反对未经验证的访问。具体实现方式是在交换机端打开该协议认证方式，在后端认证服务器端实现入网用户的信息收集及验证识别。符合国际认证标准，安全性高；部署灵活，可以结合其它多种认证和管理方式共同实现高层次的准入控制管理；采用SYSlog记账方式对出入网的终端设备进行管理，方便设备资产管理和行为审计等功能.但是对于非法接入的仿mac设备无法识别。无法发现交换机端口下挂hub。

发明内容

为了克服上述现有技术中的不足，本发明提供一种保证内网数据信息安全监测分析，及时发现入网的非法设备和监测在网设备非法运行，并及时阻断非法设备的入侵。

本发明的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明的实践而习得。

根据本发明实施例的第一方面，提供了一种获取端口挂载HUB的方法，方法包括：

客户端向设备端发出认证请求帧；

设备端接收到认证请求帧后，获取客户端的用户信息；

设备端将客户端发送的用户信息，再发送至认证服务器进行处理；

认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户信息列表进行对比；

如果相符，则认证所述客户端为授权状态，通过端口访问网络。

如果相符，则认证所述客户端为授权状态，通过端口访问网络；

设备端对所述客户端的端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；

如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。

进一步需要说明的是，设备端接收到客户端的认证请求帧后，发出Identity类型的请求帧，获取客户端发送输入的用户名；

所述客户端响应设备端发出的请求，将用户信息通过Identity类型的响应帧发送给设备端。

进一步需要说明的是，设备端将所述客户端发送的响应帧发送给认证服务器进行处理；

认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户名列表进行对比，获取所述用户信息对应的用户密码信息，并通过本地加密运算后生成的MD5密码，对用户密码信息进行加密处理，同时将加密后的用户密码信息发送给设备端；

设备端将加密后的用户密码信息转发给所述客户端；

所述客户端对加密后的用户密码信息再进行客户端加密处理，并发送给设备端；

设备端将客户端加密处理后的加密用户密码信息发送给认证服务器；

认证服务器获取客户端加密处理的密码信息，并和本地经过加密运算后的MD5密码进行对比；

如果相同，则认为所述客户端为合法用户，并向设备端发送认证通过；

所述设备端收到认证通过信息后，向所述客户端发送认证成功帧，并将端口改为授权状态，允许所述客户端通过端口访问网络。

进一步需要说明的是，设备端将所述客户端发送的响应帧中的EAP报文封装在RADIUS报文中发送给认证服务器进行处理；

认证服务器收到设备端转发的用户信息后，将加密后的用户密码信息通过RADIUS报文发送给设备端；

所述客户端对加密后的用户密码信息再进行客户端加密处理，生成EAP-Response/MD5Challenge报文，并发送给设备端；

设备端将EAP-Response/MD5Challenge报文封装在RADIUS报文中发送给认证服务器；

认证服务器将收到的EAP-Response/MD5Challenge报文进行解析，并进行对比；

如果相同，则向设备端发送认证通过报文；

所述设备端收到认证通过报文后，向所述客户端发送认证成功帧，允许所述客户端通过端口访问网络。

根据本发明实施例的第二方面，提供了一种设备端，包括：设备端认证处理模块，设备端信息转发模块以及挂载检测模块；

设备端认证处理模块用于接收客户端发送的认证请求帧，获取客户端的用户信息，以及用于获取客户端的用户信息，获取认证服务器发送的用户信息；

设备端信息转发模块用于将客户端信息转发至认证服务器，以及将认证服务器发送的数据信息转发至客户端；

挂载检测模块用于对对授权访问网络的客户端端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；

如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。

进一步需要说明的是，还包括：设备端通信模块；

挂载检测模块还用于与授权访问网络的客户端端口建立虚拟通信通道，并基于客户端的IP标识虚拟通信通道地址，所述虚拟通信通道为单一IP客户端虚拟通信通道；

设备端通信模块用于通过虚拟通信通道接收客户端传输的报文，每个报文标识有客户端IP，设备端通信模块将报文进行处理，配置为预设频段的模拟信号，输出至认证服务器；认证服务器接收预设频段的模拟信号，从所述预设频段的模拟信号进行削峰、数字失真以及数模处理，处理后恢复报文信息；

设备端通信模块还用于通过虚拟通信通道向目标客户端传输报文，每个报文标识有客户端IP，设备端通信模块将报文进行处理，配置为预设频段的模拟信号，输出至客户端；客户端接收预设频段的模拟信号，从所述预设频段的模拟信号进行削峰、数字失真以及数模处理，处理后恢复报文信息。

进一步需要说明的是，设备端认证处理模块还用于接收到客户端的认证请求帧后，发出Identity类型的请求帧，以及用于接收客户端发送的Identity类型的响应帧；

设备端信息转发模块还用于接收并向客户端发送加密信息，以及还用于向认证服务器接收并发送加密信息。

根据本发明实施例的第三方面，提供了一种认证服务器，包括：认证模块和加密模块；

认证模块用于收到设备端转发的用户信息后，将所述用户信息与数据库中的用户名列表进行对比，获取所述用户信息对应的用户密码信息；

加密模块用于通过本地加密运算后生成的MD5密码，对用户密码信息进行加密处理，同时将加密后的用户密码信息发送给设备端；以及用于认证服务器获取客户端加密处理的密码信息，通过认证模块和本地经过加密运算后的MD5密码进行对比；如果相同，则认为所述客户端为合法用户，并向设备端发送认证通过。

报文处理模块用于收到设备端转发的用户信息后，将加密后的用户密码信息通过RADIUS报文发送给设备端；以及用于将收到的EAP-Response/MD5Challenge报文进行解析，通过认证模块进行对比。

从以上技术方案可以看出，本发明具有以下优点：

本发明对客户端的身份进行认证，认证通过后为授权状态，通过端口访问网络；设备端对所述客户端的端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。

这样，检测端口下挂载HUB的方式进一步对网络安全进行了加固，经过检测可以发现端口下挂的hub，可以全局掌控局域网中所有入网设备是否合规，及时通知运维人员可能存在潜在的风险。

附图说明

为了更清楚地说明本发明的技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为获取端口挂载HUB的方法流程图；

图2为获取端口挂载HUB的方法实施例流程图；

图3为设备端示意图；

图4为认证服务器示意图。

具体实施方式

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

本发明提供一种获取端口挂载HUB的方法，如图1所示，方法包括：

S1，客户端向设备端发出认证请求帧；

S2，设备端接收到认证请求帧后，获取客户端的用户信息；

S3，设备端将客户端发送的用户信息，再发送至认证服务器进行处理；

S4，认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户信息列表进行对比；

S5，如果相符，则认证所述客户端为授权状态，通过端口访问网络。如果不相符，则认证所述客户端为不授权状态，无法通过端口访问网络。

为了进一步说明本发明涉及的获取端口挂载HUB的方法，下面以一具体实施例进行说明。

获取端口挂载HUB的方法所提供的实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

如图2所示，方法包括：

S11，客户端向设备端发出认证请求帧；

S12，设备端接收到认证请求帧后，获取客户端的用户信息；

S13，设备端将客户端发送的用户信息，再发送至认证服务器进行处理；

S14，认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户信息列表进行对比；

S15，如果相符，则认证所述客户端为授权状态，通过端口访问网络。如果不相符，则认证所述客户端为不授权状态，无法通过端口访问网络。则不执行下述步骤。

S16，设备端对所述客户端的端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；

S17，如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。如未出现挂载HUB，则所述客户端正常访问网络。

本发明所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本发明的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本发明的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。

进一步的，下面结合具体实施例说明本发明涉及的方法，本发明中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

具体的方法实例为：

当用户需要访问外部网络时打开802.1X客户端程序，输入已经申请、登记过的用户名和密码，发起连接请求。此时，客户端程序将向设备端发出认证请求帧(EAPOL-Start)，开始启动一次认证过程。

设备端收到认证请求帧后，将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。

客户端程序响应设备端发出的请求，将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。

设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUSAccess-Request)中发送给认证服务器进行处理。

RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名列表中对比，找到该用户名对应的密码信息，用随机生成的一个MD5Challenge对密码进行加密处理，同时将此MD5Challenge通过RADIUSAccess-Challenge报文发送给设备端。

设备端将RADIUS服务器发送的MD5Challenge转发给客户端。

客户端收到由设备端传来的MD5Challenge后，用该Challenge对密码部分进行加密处理，生成EAP-Response/MD5Challenge报文，并发送给设备端。

设备端将此EAP-Response/MD5Challenge报文封装在RADIUS报文(RADIUSAccess-Request)中发送给RADIUS服务器。

RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法用户，并向设备端发送认证通过报文(RADIUSAccess-Accept)。

设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success)，并将端口改为授权状态，允许用户通过端口访问网络。

扫描接入认证交换机端口状态，通过计算端口下认证用户的数量，判断交换机端口下是否下挂HUB。

如果交换机端口下挂HUB，通过认证机制对此端口进行阻断，禁止上网，同时发送预警给管理员。

以下介绍本发明涉及的方法实施例中的设备端，设备端可以用于执行本发明上述的方法。如图3所示，设备端包括：设备端认证处理模块，设备端信息转发模块以及挂载检测模块；

设备端认证处理模块用于接收客户端发送的认证请求帧，获取客户端的用户信息，以及用于获取客户端的用户信息，获取认证服务器发送的用户信息；还用于接收到客户端的认证请求帧后，发出Identity类型的请求帧，以及用于接收客户端发送的Identity类型的响应帧；

设备端信息转发模块用于将客户端信息转发至认证服务器，以及将认证服务器发送的数据信息转发至客户端；还用于接收并向客户端发送加密信息，以及还用于向认证服务器接收并发送加密信息。

挂载检测模块用于对对授权访问网络的客户端端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；

如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。

这里，挂载检测模块还用于与授权访问网络的客户端端口建立虚拟通信通道，并基于客户端的IP标识虚拟通信通道地址，所述虚拟通信通道为单一IP客户端虚拟通信通道；

设备端通信模块用于通过虚拟通信通道接收客户端传输的报文，每个报文标识有客户端IP，设备端通信模块将报文进行处理，配置为预设频段的模拟信号，输出至认证服务器；认证服务器接收预设频段的模拟信号，从所述预设频段的模拟信号进行削峰、数字失真以及数模处理，处理后恢复报文信息；

设备端通信模块还用于通过虚拟通信通道向目标客户端传输报文，每个报文标识有客户端IP，设备端通信模块将报文进行处理，配置为预设频段的模拟信号，输出至客户端；客户端接收预设频段的模拟信号，从所述预设频段的模拟信号进行削峰、数字失真以及数模处理，处理后恢复报文信息。这样可以保证数据传输，或者报文传输的准确性。

在设备端中可以配置可读介质，存储过程数据信息，可读介质的计算机程序产品可以形成一部分，其可以包括包装材料。数据的计算机可读介质可以包括计算机存储介质，诸如随机存取存储器(RAM)，只读存储器(ROM)，非易失性随机存取存储器(NVRAM)，电可擦可编程只读存储器(EEPROM)，闪存，磁或光学数据存储介质，和类似物。在一些实施例中，一种制造产品可包括一个或多个计算机可读存储媒体。

以下介绍本发明涉及的方法实施例中的认证服务器，认证服务器可以用于执行本发明上述的方法。如图4所示，认证服务器包括：认证模块4，加密模块5，报文处理模块；

认证模块4用于收到设备端转发的用户信息后，将所述用户信息与数据库中的用户名列表进行对比，获取所述用户信息对应的用户密码信息；加密模块5用于通过本地加密运算后生成的MD5密码，对用户密码信息进行加密处理，同时将加密后的用户密码信息发送给设备端；以及用于认证服务器获取客户端加密处理的密码信息，通过认证模块和本地经过加密运算后的MD5密码进行对比；如果相同，则认为所述客户端为合法用户，并向设备端发送认证通过。

报文处理模块用于收到设备端转发的用户信息后，将加密后的用户密码信息通过RADIUS报文发送给设备端；以及用于将收到的EAP-Response/MD5Challenge报文进行解析，通过认证模块进行对比。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的获取端口挂载HUB的方法可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据获取端口挂载HUB的方法公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的索引方法。

所属技术领域的技术人员能够理解，获取端口挂载HUB的方法各个方面可以实现为系统、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在获取端口挂载HUB的方法中，存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。

获取端口挂载HUB的方法程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

上次数据传输包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

获取端口挂载HUB的方法可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种获取端口挂载HUB的方法，其特征在于，方法包括：

客户端向设备端发出认证请求帧；

设备端接收到认证请求帧后，获取客户端的用户信息；

设备端将客户端发送的用户信息，再发送至认证服务器进行处理；

认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户信息列表进行对比；

如果相符，则认证所述客户端为授权状态，通过端口访问网络。

2.根据权利要求1所述的获取端口挂载HUB的方法，其特征在于，方法还包括：

如果相符，则认证所述客户端为授权状态，通过端口访问网络；

设备端对所述客户端的端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；

如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。

3.根据权利要求1或2所述的获取端口挂载HUB的方法，其特征在于，方法还包括：

设备端接收到客户端的认证请求帧后，发出Identity类型的请求帧，获取客户端发送输入的用户名；

所述客户端响应设备端发出的请求，将用户信息通过Identity类型的响应帧发送给设备端。

4.根据权利要求3所述的获取端口挂载HUB的方法，其特征在于，方法还包括：

设备端将所述客户端发送的响应帧发送给认证服务器进行处理；

认证服务器收到设备端转发的用户信息后，将所述用户信息与数据库中的用户名列表进行对比，获取所述用户信息对应的用户密码信息，并通过本地加密运算后生成的MD5密码，对用户密码信息进行加密处理，同时将加密后的用户密码信息发送给设备端；

设备端将加密后的用户密码信息转发给所述客户端；

所述客户端对加密后的用户密码信息再进行客户端加密处理，并发送给设备端；

设备端将客户端加密处理后的加密用户密码信息发送给认证服务器；

认证服务器获取客户端加密处理的密码信息，并和本地经过加密运算后的MD5密码进行对比；

如果相同，则认为所述客户端为合法用户，并向设备端发送认证通过；

所述设备端收到认证通过信息后，向所述客户端发送认证成功帧，并将端口改为授权状态，允许所述客户端通过端口访问网络。

5.根据权利要求4所述的获取端口挂载HUB的方法，其特征在于，方法还包括：

设备端将所述客户端发送的响应帧中的EAP报文封装在RADIUS报文中发送给认证服务器进行处理；

认证服务器收到设备端转发的用户信息后，将加密后的用户密码信息通过RADIUS报文发送给设备端；

所述客户端对加密后的用户密码信息再进行客户端加密处理，生成EAP-Response/MD5Challenge报文，并发送给设备端；

设备端将EAP-Response/MD5Challenge报文封装在RADIUS报文中发送给认证服务器；

认证服务器将收到的EAP-Response/MD5Challenge报文进行解析，并进行对比；

如果相同，则向设备端发送认证通过报文；

所述设备端收到认证通过报文后，向所述客户端发送认证成功帧，允许所述客户端通过端口访问网络。

6.一种设备端，其特征在于，包括：设备端认证处理模块，设备端信息转发模块以及挂载检测模块；

设备端认证处理模块用于接收客户端发送的认证请求帧，获取客户端的用户信息，以及用于获取客户端的用户信息，获取认证服务器发送的用户信息；

设备端信息转发模块用于将客户端信息转发至认证服务器，以及将认证服务器发送的数据信息转发至客户端；

挂载检测模块用于对对授权访问网络的客户端端口状态进行扫描，获取所述客户端对应的端口下用户IP的数量，判断所述客户端端口下是否挂载HUB；

如果所述客户端端口挂载HUB，对所述客户端端口进行阻断，同时向管理员发送预警信息。

7.根据权利要求6所述的设备端，其特征在于，还包括：设备端通信模块；

挂载检测模块还用于与授权访问网络的客户端端口建立虚拟通信通道，并基于客户端的IP标识虚拟通信通道地址，所述虚拟通信通道为单一IP客户端虚拟通信通道；

设备端通信模块用于通过虚拟通信通道接收客户端传输的报文，每个报文标识有客户端IP，设备端通信模块将报文进行处理，配置为预设频段的模拟信号，输出至认证服务器；认证服务器接收预设频段的模拟信号，从所述预设频段的模拟信号进行削峰、数字失真以及数模处理，处理后恢复报文信息；

设备端通信模块还用于通过虚拟通信通道向目标客户端传输报文，每个报文标识有客户端IP，设备端通信模块将报文进行处理，配置为预设频段的模拟信号，输出至客户端；客户端接收预设频段的模拟信号，从所述预设频段的模拟信号进行削峰、数字失真以及数模处理，处理后恢复报文信息。

8.根据权利要求6所述的设备端，其特征在于，

设备端认证处理模块还用于接收到客户端的认证请求帧后，发出Identity类型的请求帧，以及用于接收客户端发送的Identity类型的响应帧；

设备端信息转发模块还用于接收并向客户端发送加密信息，以及还用于向认证服务器接收并发送加密信息。

9.一种认证服务器，其特征在于，包括：认证模块和加密模块；

认证模块用于收到设备端转发的用户信息后，将所述用户信息与数据库中的用户名列表进行对比，获取所述用户信息对应的用户密码信息；

加密模块用于通过本地加密运算后生成的MD5密码，对用户密码信息进行加密处理，同时将加密后的用户密码信息发送给设备端；以及用于认证服务器获取客户端加密处理的密码信息，通过认证模块和本地经过加密运算后的MD5密码进行对比；如果相同，则认为所述客户端为合法用户，并向设备端发送认证通过。

10.根据权利要求9所述的认证服务器，其特征在于，还包括：报文处理模块；

报文处理模块用于收到设备端转发的用户信息后，将加密后的用户密码信息通过RADIUS报文发送给设备端；以及用于将收到的EAP-Response/MD5Challenge报文进行解析，通过认证模块进行对比。

Images