CN111654865B - 终端认证方法、装置、网络设备及可读存储介质 - Google Patents
终端认证方法、装置、网络设备及可读存储介质 Download PDFInfo
- Publication number
- CN111654865B CN111654865B CN202010765089.6A CN202010765089A CN111654865B CN 111654865 B CN111654865 B CN 111654865B CN 202010765089 A CN202010765089 A CN 202010765089A CN 111654865 B CN111654865 B CN 111654865B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- authentication
- information
- network device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种终端认证方法、装置、网络设备及可读存储介质。方法包括:根据从中间网络设备获取的由用户终端发送的关联请求帧,向用户终端发送关联响应帧,关联请求帧用于用户终端关联802.1X信号;根据关联请求帧,创建与用户终端对应的端口访问实体;当在创建端口访问实体后的预设时长内,未收到用户终端发送的触发认证请求时,根据关联请求帧,创建模拟用户终端发起的触发认证请求,触发认证请求包括EAPol Start请求;根据触发认证请求,触发用于对用户终端的用户信息进行认证的认证操作,得到对用户信息的认证结果,能够改善网络设备因无法接收到EAPol Start请求,从而无法快速对用户终端进行接入认证的问题。
Description
技术领域
本发明涉及数据通信技术领域,具体而言,涉及一种终端认证方法、装置、网络设备及可读存储介质。
背景技术
802.1X协议是IEEE为了解决基于端口的接入控制而定义的一个标准。802.1X协议可以用于实现无线局域网用户的接入认证。在802.lX协议的体系架构中,通常包括三类实体设备。用户终端、支持802.lX协议的网络设备及用于接入认证的服务器。当用户终端需要进行接入认证时,通常需要发送EAPol Start请求至网络设备。网络设备在接收到EAPolStart请求后,才触发对用户终端的认证操作。若网络设备没有接收到EAPol Start请求,便无法对用户终端进行接入认证。
发明内容
本申请提供一种终端认证方法、装置、网络设备及可读存储介质,能够改善网络设备因无法接收到EAPol Start请求而影响用户终端的接入认证的问题。
为了实现上述目的,本申请实施例所提供的技术方案如下所示:
第一方面,本申请实施例提供一种终端认证方法,应用于支持802.1X协议的网络设备,所述方法包括:
根据从中间网络设备获取的由用户终端发送的关联请求帧,向所述用户终端发送关联响应帧,所述关联请求帧用于所述用户终端关联802.1X信号;
根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,用于存储所述用户终端发送的数据;
当在创建所述端口访问实体后的预设时长内,未收到所述用户终端发送的触发认证请求时,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,所述触发认证请求包括EAPol Start请求;
根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果。
在上述的实施方式中,当网络设备在预设时长内未收到用户终端发送的触发认证请求时,便可以自动创建一个模拟用户终端发送的触发认证请求,然后对用户终端进行后续的接入认证,以改善网络设备因无法接收到EAPol Start请求,从而无法快速对用户终端进行接入认证的问题。
结合第一方面,在一些可选的实施方式中,根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,包括:
根据所述关联请求帧携带的所述用户终端的标识信息,创建与所述用户终端对应的端口访问实体及与所述用户终端对应的计时器,所述计时器用于在创建所述端口访问实体时开始计时。
在上述的实施方式中,端口访问实体可以用于存储于用户终端所传输的数据,计时器用于对该用户终端关联802.1X信号后进行计时,以便于网络设备在预设时长内未接收到触发认证请求时,创建一个模拟用户终端发送的触发认证请求。
结合第一方面,在一些可选的实施方式中,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,包括:
根据所述关联请求帧携带的所述用户终端的标识信息,创建模拟所述用户终端发起的EAPol Start请求。
在上述的实施例方式中,通过创建模拟用户终端发起的EAPol Start请求,有利于网络设备在预设时长内没接收到用户终端发送的EAPol Start请求时,可以继续触发对用户终端的接入认证操作。
结合第一方面,在一些可选的实施方式中,所述标识信息包括所述用户终端的MAC地址信息。
结合第一方面,在一些可选的实施方式中,根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果,包括:
在获取到所述触发认证请求时,向所述用户终端发送身份认证请求;
接收所述用户终端根据所述身份认证请求响应的所述用户终端的用户信息;
将所述用户信息发送至认证服务器,以使所述服务器根据所述用户信息查找是否存在与所述用户信息对应的目标密码信息,并在存在所述目标密码信息时,通过加密策略得到的加密字段对所述目标密码信息进行加密,得到参考验证信息,并将所述加密字段发送至所述网络设备;
从所述服务器接收所述加密字段,并将所述加密字段发送至所述用户终端,以使所述用户终端通过所述加密字段对所述用户信息对应的密码信息进行加密,得到待认证信息;
接收所述用户终端发送的所述待认证信息,并将所述待认证信息发送至所述服务器,以使所述服务器根据所述参考验证信息对所述待认证信息进行比对,得到对所述用户信息的认证结果。
在上述的实施方式中,在对用户终端进行接入认证的过程中,通过服务器、网络设备、用户终端相互交互,由服务器对用户终端进行身份认证,有利于提高对用户终端接入认证的可靠性及有效性。
结合第一方面,在一些可选的实施方式中,所述网络设备包括用于传输EAPoL协议内容的非受控端口,以及用于在所述用户终端通过认证后开启的受控端口,所述方法还包括:
当所述认证结果表征对所述用户终端的所述用户信息认证通过时,控制所述受控端口开启,用于准许所述用户终端通过所述受控端口传输或访问数据。
结合第一方面,在一些可选的实施方式中,所述网络设备包括无线接入控制器、交换机中的一种。
第二方面,本申请实施例还提供一种终端认证装置,应用于支持802.1X协议的网络设备,所述装置包括:
发送单元,用于根据从中间网络设备获取的由用户终端发送的关联请求帧,向所述用户终端发送关联响应帧,所述关联请求帧用于所述用户终端关联802.1X信号;
第一创建单元,用于根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,用于存储所述用户终端发送的数据;
第二创建单元,用于当在创建所述端口访问实体后的预设时长内,未收到所述用户终端发送的触发认证请求时,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,所述触发认证请求包括EAPol Start请求;
触发认证单元,用于根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果。
第三方面,本申请实施例还提供一种网络设备,所述网络设备包括相互耦合的存储器、处理器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述网络设备执行上述的方法。
第四方面,本申请实施例还提供一种计算机可读存储介质,所述可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络系统的通信连接示意图。
图2为本申请实施例提供的网络设备的结构示意图。
图3为本申请实施例提供的终端认证方法的流程示意图。
图4为本申请实施例提供的终端认证装置的功能框图。
图标:10-网络设备;11-处理模块;12-存储模块;13-通信模块;100-终端认证装置;110-发送单元;120-第一创建单元;130-第二创建单元;140-触发认证单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。需要说明的是,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图,对本申请实施例作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请结合参照图1和图2,本申请实施例提供一种网络设备10,可以应用于如图1所示的网络系统中。网络系统可以包括用户终端、中间网络设备、网络设备10及服务器。其中,中间网络设备可理解为用于搭建形成用户终端至网络设备10之间通信连接的路由器、交换机等中间网络设备。中间网络设备的数量可以为一个或多个。当中间网络设备为一个时,该中间网络设备可以作为用户终端接入网络的接入设备。服务器可以用于对用户终端的身份进行认证。
可理解地,网络设备10可以与服务器、中间网络设备建立通信连接。用户终端可以通过中间网络设备与网络设备10建立通信连接。
用户终端可以是,但不限于,智能手机、个人电脑(Personal Computer,PC)、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、移动上网设备(MobileInternet Device,MID)等。网络设备10可以是但不限于无线接入控制器(AccessController,AC)、交换机等。其中,无线接入控制器的英文全称可以是Wireless AccessPoint Controller,可以用于集中化控制无线AP(Access Point,访问接入点)。
请参照图2,网络设备10可以支持802.1X协议,可以包括处理模块11、通信模块13、存储模块12以及终端认证装置100。处理模块11、通信模块13、存储模块12以及终端认证装置100各个元件之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
在网络设备10中,存储模块12内存储计算机程序,当所述计算机程序被处理模块11执行时,使得网络设备10可以执行下述的终端认证方法中的各步骤。
请参照图3,本申请实施例还提供一种终端认证方法,可以应用于上述的网络设备10中,由网络设备10执行或实现方法中的各步骤。能够改善因网络设备10在无法接收到EAPol Start请求而影响用户终端的接入认证的问题。方法可以包括以下步骤:
步骤S210,根据从中间网络设备获取的由用户终端发送的关联请求帧,向所述用户终端发送关联响应帧,所述关联请求帧用于所述用户终端关联802.1X信号;
步骤S220,根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,用于存储所述用户终端发送的数据;
步骤S230,当在创建所述端口访问实体后的预设时长内,未收到所述用户终端发送的触发认证请求时,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,所述触发认证请求包括EAPol Start请求;
步骤S240,根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果。
在本实施例中,当网络设备10在预设时长内未收到用户终端发送的触发认证请求时,便可以自动创建一个模拟用户终端发送的触发认证请求,然后,继续对用户终端进行后续的接入认证,以改善网络设备10因无法接收到EAPol Start请求,从而无法快速对用户终端进行接入认证的问题。
下面将对方法中的各步骤进行详细阐述,如下:
在步骤S210中,关联请求帧由用户终端发起。当需要对用户终端进行接入认证时,用户终端便可以向接入设备(比如AP设备)发送关联请求帧,接入设备可以将该关联请求帧发送至中间网络设备(比如路由器、交换机),由中间网络设备将该关联请求帧转发至网络设备10。其中,中间网络设备的数量可以为一个或多个,这里不做具体限定。关联请求帧中可以根据实际情况携带相应的信息。例如,关联请求帧可以携带用户终端的标识信息。标识信息可以包括但不限于用户终端的MAC地址。当然,关联请求帧还可以携带其他信息,例如,还可以携带服务集标识(Service Set Identifier,SSID)。
网络设备10在接收到关联请求帧后,便可以向用户终端发送关联响应帧。关联响应帧用于表示用户终端与802.1X信号关联,用户终端接入到802.1X网络。802.1X信号可理解为基于802.1X协议的无线网络信号。
在步骤S220中,网络设备10在接收到关联请求帧后,可以根据关联请求帧中携带的相应信息,创建相应的端口访问实体。端口访问实体与用户终端相关联,不同的用户终端需要创建单独创建与用户终端自身对应的端口访问实体(Port Access Entity,PAE)。PAE是认证机制中负责执行算法和协议操作的实体。网络设备10上的PAE可以利用服务器对需要接入局域网的用户终端执行认证,并根据认证结果相应地控制网络设备10上的受控端口的授权或非授权状态。
例如,步骤S220可以包括:根据所述关联请求帧携带的所述用户终端的标识信息,创建与所述用户终端对应的端口访问实体。另外,网络设备10还可以创建与所述用户终端对应的计时器,所述计时器用于在创建所述端口访问实体时开始计时。
在本实施例中,网络设备10可以针对每个用户终端创建与用户终端对应的计时器。每个计时器可以用于在创建与用户终端对应的端口访问实体时开始计时,以便于网络设备10统计等待用户终端发送触发认证请求的等待时长。
当然,在其他实施方式中,一个计时器可以同时进行多个时间统计的功能。例如,通过一个计时器,可以在创建与每个用户终端对应的端口访问实体时开始计时,实现同时统计网络设备10等待多个用户终端发送触发认证请求的等待时长。
作为一种可选的实施方式,网络设备10在收到关联请求帧请求后,可以判断是否存在计时器,若不存在计时器,便创建一个计时器。若存在计时器,便无需再创建计时器,可以直接利用已有的计时器进行计时,以记录网络设备10等待用户终端发送触发认证请求的等待时长。
在步骤S230中,预设时长可以根据实际情况进行设置,通常为一个较短的时长。例如,预设时长可以为50毫秒、100毫秒、1秒等时长。
通常而言,普通的用户终端在收到关联响应帧后,可以立即通过中间网络设备向网络设备10发送触发认证请求。而对于一些无法发送EAPol Start请求的用户终端,或者中间网络设备无法透传EAPoL Start请求时,网络设备10便无法接收到EAPoL Start请求。因此,网络设备10可以在创建端口访问实体时或者在发送关联响应帧时,便开始计时,所记录的时长即为网络设备10等待接收触发认证请求的时长。
当在创建端口访问实体后的预设时长内,未收到用户终端根据关联响应帧发送的触发认证请求时,则表示触发认证请求的发送过程存在异常。例如,用户终端无法主动发起EAPoL Start请求,或者用户终端发送的EAPoL Start请求无法被中间网络设备透传,从而使得网络设备10无法接收到EAPoL Start请求。
当在创建端口访问实体后的预设时长内,未收到用户终端根据关联响应帧发送的触发认证请求时,网络设备10可以根据关联请求中携带的相应信息,创建模拟用户终端发起的触发认证请求。
例如,步骤S230可以包括:根据所述关联请求帧携带的所述用户终端的标识信息,创建模拟所述用户终端发起的EAPol Start请求。
基于此,网络设备10在触发认证请求的发送过程存在异常时,可以自动创建模拟用户终端发起的触发认证请求/EAPol Start请求。在创建得到触发认证请求后,网络设备10可以自动认为接收到用户终端发送的触发认证请求,然后开始执行步骤S240,以对用户终端进行接入认证。
在步骤S240中,用户终端的用户信息可以根据实际情况进行确定,可以是但不限于用户名、用户账号、密码等。在触发认证操作后,网络设备10可以从用户终端获取用户信息,然后将用户信息发送至服务器,由服务器、用户终端进行交互,实现对用户终端认证。
作为一种可选的实施方式,步骤S240可以包括:
在获取到所述触发认证请求时,向所述用户终端发送身份认证请求;
接收所述用户终端根据所述身份认证请求响应的所述用户终端的用户信息;
将所述用户信息发送至认证服务器,以使所述服务器根据所述用户信息查找是否存在与所述用户信息对应的目标密码信息,并在存在所述目标密码信息时,通过加密策略得到的加密字段对所述目标密码信息进行加密,得到参考验证信息,并将所述加密字段发送至所述网络设备10;
从所述服务器接收所述加密字段,并将所述加密字段发送至所述用户终端,以使所述用户终端通过所述加密字段对所述用户信息对应的密码信息进行加密,得到待认证信息;
接收所述用户终端发送的所述待认证信息,并将所述待认证信息发送至所述服务器,以使所述服务器根据所述参考验证信息对所述待认证信息进行比对,得到对所述用户信息的认证结果。
在本实施例中,服务器的数据库中通常存储有预先录入的用户信息表。用户信息表可以包括用户名、与用户名对应的密码。即,用户名与密码之间存在关联关系。服务器在接收到网络设备10发送的用户终端的用户信息时,可以在用户信息表中查找是否存在与用户信息相同的目标用户信息,若不存在目标用户信息,则确认对用户终端的认证不通过。若用户信息表中存在与用户终端的用户信息相同的目标用户信息,便可以查找到与目标用户信息对应的目标密码信息。
服务器的加密策略可以根据实际情况进行确定。例如,加密策略可以为随机加密算法,可以用于生成一个随机的加密字段。加密字段可以为数字、字母或其他字符等,可以根据实际情况进行确定。服务器可以利用加密字段对目标密码信息进行加密,得到参考验证信息。另外,用户终端在收到服务器通过网络设备10发送的加密字段后,可以利用加密字段,对用户信息对应的密码信息进行加密,然后,将加密后得到的信息作为待认证信息,并通过网络设备10将待认证信息发送至服务器。
服务器在收到待认证信息后,便可以将待认证信息与参考验证信息进行比对,若两者相同,表示用户终端的用户信息的密码信息与用户信息表中目标用户信息的目标密码信息相同,此时,确定对用户终端的认证通过,得到表征认证通过的认证结果;若待认证信息与参考验证信息不同,确认对用户终端的认证不通过,得到表征认证未通过的认证结果。
在服务器对用户终端的认证通过后,网络设备10可以与用户终端再次进行四次握手,秘钥协商,如果协商成功,用户终端便可以通过网络进行数据交互,即,用户终端此时才可以真正访问相应的网络资源,例如,图片、文档等。其中,四次握手与密钥协商的过程为本领域技术人员所熟知,这里不再赘述。
作为一种可选的实施方式,方法还可以包括:当用户终端认证通过后,删除与用户终端对应的计时器。基于此,可以降低网络设备10的资源消耗。
在本实施例中,网络设备10可以包括用于传输EAPoL协议内容的非受控端口,以及用于在所述用户终端通过认证后开启的受控端口。方法还可以包括:
当所述认证结果表征对所述用户终端的所述用户信息认证通过时,控制所述受控端口开启,用于准许所述用户终端通过所述受控端口传输或访问数据。
可理解地,网络设备10的非受控端口可以用于传输EAPoL协议,可以保证随时接收和发送EAPoL协议帧。网络设备10的受控端口只有当用户终端认证通过后,才对用户终端打开,用于传递业务网络资源和服务。如果用户终端通过认证,网络设备10的受控端口便开启,此时,用户终端可以通过受控端口访问网络内的资源。如果用户终端未能通过认证,则无法访问网络内的资源。其中,网络内的资源可以根据实际情况进行确定,包括但不限于文本、图片、音频等。
示例性地,下面将举例阐述终端认证方法的实现过程,如下:
第一步,用户终端接入802.1X网络,可以包含如下子步骤:
a.用户终端关联802.1X信号,发送Associate request关联请求帧。然后通过接入设备和中间网络设备将该关联请求帧传输给网络设备10,网络设备10再回复Associateresponse关联响应帧。
b.若用户终端能主动根据关联响应帧发起EAPol Start请求,则通过接入设备、中间网络设备向网络设备10发送EAPol Start请求。若用户终端无法发起EAPol Start请求,便等待网络终端的反馈。
第二步,在网络设备10设置一个计时器,可以包含如下子步骤:
a.在802.1X网络系统中,当用户终端接入网络后,网络设备10可以创建一个和该用户终端相关的端口访问实体(PAE),PAE用于与用户终端的通信,可以将从用户终端收到的信息传送至认证服务器以便完成接入认证。
b.在PAE的代码处理逻辑中,可以设置一个计时器,用以判断和监控网络设备10能否成功收到EAPol Start请求(触发认证请求)。计时器可以用于在创建PAE后开始计时。
第三步,计时器记录时间,在创建PAE后的预设时长未收到EAPol Start请求,网络设备10可以自动触发模拟一个EAPol Start请求,模拟是用户终端发送给网络设备10自身的请求,可以包含如下子步骤:
a.在PAE创建之后,计时器开始计时。通常而言,对于能够主动发起EAPol Start请求的用户终端,这类用户终端可以在50ms内,主动发送EAPol Start请求,网络设备10收到该请求后,继续触发后续的认证流程。
b.对于无法发起EAPol Start请求的用户终端,或者网络中间设备无法透传EAPolStart请求。网络设备10上的计时器可以监测是否超时,例如,在创建PAE后的预设时长(比如50毫秒)未收到EAPol Start请求,便认为计时器超时,网络设备10自动触发创建模拟EAPol Start请求操作步骤;
c.网络设备10根据用户终端发送的关联请求帧,解析得到用户终端的MAC地址等信息,然后构造填充转化为用户终端发出的EAPol Start请求,以模拟一个EAPol Start请求,假冒是用户终端发送给网络设备10自身的EAPol Start请求;
第四步,网络设备10在接收到EAPol Start请求,或在创建得到EAPol Start请求后,网络设备10和用户终端进行后续的安全认证、密钥协商流程,直至用户成功完成认证,可以包含如下子步骤:
a.网络设备10继续给用户终端发送Request/Identity请求(身份认证请求);
b.用户终端收到Request/Identity请求后,再给网络设备10发送Response/Identity响应,包含用户名信息数据。网络设备10将用户终端发送的数据帧封装到报文中(RADIUS Access-Request报文)送给认证服务器进行处理;
c.用于接入认证的服务器收到网络设备10转发的用户名信息后,将该信息与数据库中的用户名表对比,若用户名表中存在与用户名信息相同的用户名,则获取与该用户名对应的密码信息,用随机生成的一个加密字对该密码信息进行加密处理,得到参考验证信息,同时也将该加密字通过RADIUS Access-Challenge报文发送给网络设备10,由网络设备10转发给用户终端;
d.用户终端收到由网络设备10传来的加密字(EAP-Request/MD5Challenge报文)后,用该加密字对自身的密码信息部分进行加密处理,以得到待认证信息,并通过网络设备10传给认证服务器;
e.服务器将收到的待认证信息(RADIUS Access-Request报文)和本地经过加密运算后得到的参考验证信息进行对比,如果两者相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文);若两者不同,便确认对用户终端的认证不通过;
f.网络设备10收到认证通过消息后将授权端口改为授权状态,允许用户通过该授权端口访问网络;
g.网络设备10和用户终端再进行四次握手,秘钥协商,如果协商成功,便可进行数据交互,此时,用户终端才可以被准许访问网络资源。
基于上述设计,对于某些不能主动发起EAPol Start请求的用户终端,或者中间网络设备无法透传EAPol Start请求的情况下,用户终端依然能够进行802.1X的接入认证。另外,在网络设备10只需要设置计时器,就可以解决因网络设备10无法接收到EAPol Start请求而影响用户终端接入认证的问题,对网络设备10的资源消耗低,有利于降低模块功能和代码的维护成本。本实施例提供的方法,对中间网络设备的要求低,无需中间设备支持相关透传的协议。另外,用户终端先获取地址,再认证;或者,先认证成功后,才能拿到地址,这两种不同802.1X认证实现原理均适用本实施例提供的方法,应用范围广。
请参照图4,本申请实施例还提供一种终端认证装置100,可以应用于上述的网络设备10中,用于执行或实现终端认证方法中的各步骤。终端认证装置100包括至少一个可以软件或固件(Firmware)的形式存储于存储模块12中或固化在网络设备10操作系统(Operating System,OS)中的软件功能模块。处理模块11用于执行存储模块12中存储的可执行模块,例如终端认证装置100所包括的软件功能模块及计算机程序等。
在本实施例中,终端认证装置100可以包括发送单元110、第一创建单元120、第二创建单元130及触发认证单元130。
发送单元110,用于根据从中间网络设备获取的由用户终端发送的关联请求帧,向所述用户终端发送关联响应帧,所述关联请求帧用于所述用户终端关联802.1X信号。
第一创建单元120,用于根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,用于存储所述用户终端发送的数据。
第二创建单元130,用于当在创建所述端口访问实体后的预设时长内,未收到所述用户终端发送的触发认证请求时,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,所述触发认证请求包括EAPol Start请求。
触发认证单元130,用于根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果。
可选地,第一创建单元120还用于:根据所述关联请求帧携带的所述用户终端的标识信息,创建与所述用户终端对应的端口访问实体及与所述用户终端对应的计时器,所述计时器用于在创建所述端口访问实体时开始计时。
可选地,第二创建单元130还用于:根据所述关联请求帧携带的所述用户终端的标识信息,创建模拟所述用户终端发起的EAPol Start请求。
可选地,触发认证单元130还用于:
在获取到所述触发认证请求时,向所述用户终端发送身份认证请求;
接收所述用户终端根据所述身份认证请求响应的所述用户终端的用户信息;
将所述用户信息发送至认证服务器,以使所述服务器根据所述用户信息查找是否存在与所述用户信息对应的目标密码信息,并在存在所述目标密码信息时,通过加密策略得到的加密字段对所述目标密码信息进行加密,得到参考验证信息,并将所述加密字段发送至所述网络设备10;
从所述服务器接收所述加密字段,并将所述加密字段发送至所述用户终端,以使所述用户终端通过所述加密字段对所述用户信息对应的密码信息进行加密,得到待认证信息;
接收所述用户终端发送的所述待认证信息,并将所述待认证信息发送至所述服务器,以使所述服务器根据所述参考验证信息对所述待认证信息进行比对,得到对所述用户信息的认证结果。
可选地,网络设备10包括用于传输EAPoL协议内容的非受控端口,以及用于在所述用户终端通过认证后开启的受控端口。终端认证装置100还可以包括端口控制单元,用于当所述认证结果表征对所述用户终端的所述用户信息认证通过时,控制所述受控端口开启,用于准许所述用户终端通过所述受控端口传输或访问数据。
在本实施例中,处理模块11可以是一种集成电路芯片,具有信号的处理能力。上述处理模块11可以是通用处理器。例如,该处理器可以是中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DigitalSignal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。
存储模块12可以是,但不限于,随机存取存储器,只读存储器,可编程只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,存储模块12可以用于存储关联响应帧、端口访问实体等。当然,存储模块12还可以用于存储程序,处理模块11在接收到执行指令后,执行该程序。
通信模块13用于通过网络建立网络设备10与服务器、中间网络设备的通信连接,并通过网络收发数据。
可以理解的是,图2所示的结构仅为网络设备10的一种结构示意图,网络设备10还可以包括比图2所示更多的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的网络设备10、终端认证装置100的具体工作过程,可以参考前述方法中的各步骤对应过程,在此不再过多赘述。
本申请实施例还提供一种计算机可读存储介质。可读存储介质中存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如上述实施例中所述的终端认证方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
综上所述,本申请提供一种终端认证方法、装置、网络设备及可读存储介质。方法包括:根据从中间网络设备获取的由用户终端发送的关联请求帧,向用户终端发送关联响应帧,关联请求帧用于用户终端关联802.1X信号;根据关联请求帧,创建与用户终端对应的端口访问实体,用于存储用户终端发送的数据;当在创建端口访问实体后的预设时长内,未收到用户终端发送的触发认证请求时,根据关联请求帧,创建模拟用户终端发起的触发认证请求,触发认证请求包括EAPol Start请求;根据触发认证请求,触发用于对用户终端的用户信息进行认证的认证操作,得到对用户信息的认证结果。在本方案中,当网络设备在预设时长内未收到用户终端发送的触发认证请求时,便可以自动创建一个模拟用户终端发送的触发认证请求,然后对用户终端进行后续的接入认证,以改善网络设备因无法接收到EAPol Start请求,从而无法快速对用户终端进行接入认证的问题。
在本申请所提供的实施例中,应该理解到,所揭露的装置、系统和方法,也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种终端认证方法,其特征在于,应用于支持802.1X协议的网络设备,所述方法包括:
根据从中间网络设备获取的由用户终端发送的关联请求帧,向所述用户终端发送关联响应帧,所述关联请求帧用于所述用户终端关联802.1X信号;
根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,用于存储所述用户终端发送的数据;
当在创建所述端口访问实体后的预设时长内,未收到所述用户终端发送的触发认证请求时,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,所述触发认证请求包括EAPol Start请求;
根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果。
2.根据权利要求1所述的方法,其特征在于,根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,包括:
根据所述关联请求帧携带的所述用户终端的标识信息,创建与所述用户终端对应的端口访问实体及与所述用户终端对应的计时器,所述计时器用于在创建所述端口访问实体时开始计时。
3.根据权利要求1所述的方法,其特征在于,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,包括:
根据所述关联请求帧携带的所述用户终端的标识信息,创建模拟所述用户终端发起的EAPol Start请求。
4.根据权利要求2或3所述的方法,其特征在于,所述标识信息包括所述用户终端的MAC地址信息。
5.根据权利要求1所述的方法,其特征在于,根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果,包括:
在获取到所述触发认证请求时,向所述用户终端发送身份认证请求;
接收所述用户终端根据所述身份认证请求响应的所述用户终端的用户信息;
将所述用户信息发送至认证服务器,以使所述服务器根据所述用户信息查找是否存在与所述用户信息对应的目标密码信息,并在存在所述目标密码信息时,通过加密策略得到的加密字段对所述目标密码信息进行加密,得到参考验证信息,并将所述加密字段发送至所述网络设备;
从所述服务器接收所述加密字段,并将所述加密字段发送至所述用户终端,以使所述用户终端通过所述加密字段对所述用户信息对应的密码信息进行加密,得到待认证信息;
接收所述用户终端发送的所述待认证信息,并将所述待认证信息发送至所述服务器,以使所述服务器根据所述参考验证信息对所述待认证信息进行比对,得到对所述用户信息的认证结果。
6.根据权利要求1所述的方法,其特征在于,所述网络设备包括用于传输EAPoL协议内容的非受控端口,以及用于在所述用户终端通过认证后开启的受控端口,所述方法还包括:
当所述认证结果表征对所述用户终端的所述用户信息认证通过时,控制所述受控端口开启,用于准许所述用户终端通过所述受控端口传输或访问数据。
7.根据权利要求1-3中任一项所述的方法,其特征在于,所述网络设备包括无线接入控制器、交换机中的一种。
8.一种终端认证装置,其特征在于,应用于支持802.1X协议的网络设备,所述装置包括:
发送单元,用于根据从中间网络设备获取的由用户终端发送的关联请求帧,向所述用户终端发送关联响应帧,所述关联请求帧用于所述用户终端关联802.1X信号;
第一创建单元,用于根据所述关联请求帧,创建与所述用户终端对应的端口访问实体,用于存储所述用户终端发送的数据;
第二创建单元,用于当在创建所述端口访问实体后的预设时长内,未收到所述用户终端发送的触发认证请求时,根据所述关联请求帧,创建模拟所述用户终端发起的触发认证请求,所述触发认证请求包括EAPol Start请求;
触发认证单元,用于根据所述触发认证请求,触发用于对所述用户终端的用户信息进行认证的认证操作,得到对所述用户信息的认证结果。
9.一种网络设备,其特征在于,所述网络设备包括相互耦合的存储器、处理器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述网络设备执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010765089.6A CN111654865B (zh) | 2020-07-31 | 2020-07-31 | 终端认证方法、装置、网络设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010765089.6A CN111654865B (zh) | 2020-07-31 | 2020-07-31 | 终端认证方法、装置、网络设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111654865A CN111654865A (zh) | 2020-09-11 |
| CN111654865B true CN111654865B (zh) | 2022-02-22 |
Family
ID=72346393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010765089.6A Active CN111654865B (zh) | 2020-07-31 | 2020-07-31 | 终端认证方法、装置、网络设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111654865B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
| CN101237325A (zh) * | 2008-03-12 | 2008-08-06 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| CN102299803A (zh) * | 2011-09-09 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 安全认证方法及装置、认证设备及认证服务器 |
| CN103200172A (zh) * | 2013-02-19 | 2013-07-10 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
| EP2651156A1 (en) * | 2010-12-09 | 2013-10-16 | Huawei Technologies Co., Ltd. | Centralized 802.1x authentication method, device and system of wireless local area network |
| EP2953308A1 (en) * | 2013-02-04 | 2015-12-09 | ZTE Corporation | Method and device for handling authentication of static user terminal |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN106878139A (zh) * | 2017-03-17 | 2017-06-20 | 迈普通信技术股份有限公司 | 基于802.1x协议的认证逃生方法及装置 |
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9077701B2 (en) * | 2012-01-06 | 2015-07-07 | Futurewei Technologies, Inc. | Systems and methods for authentication |
-
2020
- 2020-07-31 CN CN202010765089.6A patent/CN111654865B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
| CN101237325A (zh) * | 2008-03-12 | 2008-08-06 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| EP2651156A1 (en) * | 2010-12-09 | 2013-10-16 | Huawei Technologies Co., Ltd. | Centralized 802.1x authentication method, device and system of wireless local area network |
| CN102299803A (zh) * | 2011-09-09 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 安全认证方法及装置、认证设备及认证服务器 |
| EP2953308A1 (en) * | 2013-02-04 | 2015-12-09 | ZTE Corporation | Method and device for handling authentication of static user terminal |
| CN103200172A (zh) * | 2013-02-19 | 2013-07-10 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN106878139A (zh) * | 2017-03-17 | 2017-06-20 | 迈普通信技术股份有限公司 | 基于802.1x协议的认证逃生方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 802.1x协议在校园网认证中的应用;陈跃文;《电脑知识与技术(学术交流)》;20060527(第14期);全文 * |
| EAP Extensions for EAP Re-authentication Protocol (ERP) draft-ietf-hokey-rfc5296bis-05;Q. Wu等;《IETF 》;20111029;全文 * |
| RADIUS (Remote Authentication Dial In User Service)Support For Extensible Authentication Protocol (EAP);B. Aboba等;《IETF rfc3579》;20030930;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111654865A (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10027664B2 (en) | Secure simple enrollment | |
| US11764966B2 (en) | Systems and methods for single-step out-of-band authentication | |
| US8266681B2 (en) | System and method for automatic network logon over a wireless network | |
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| TWI360975B (en) | Key generation in a communication system | |
| JP5199405B2 (ja) | 通信システムにおける認証 | |
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| US20040162105A1 (en) | Enhanced general packet radio service (GPRS) mobility management | |
| WO2015043131A1 (zh) | 无线网络认证方法及无线网络认证装置 | |
| DK2924944T3 (en) | Presence authentication | |
| KR20040075293A (ko) | 컴퓨팅 장치를 보안 네트워크에 접속시키기 위한 방법 및시스템 | |
| CN104125567B (zh) | 家庭基站接入网络侧的鉴权方法、装置及家庭基站 | |
| EP3179695B1 (en) | Network authentication | |
| JP2023162296A (ja) | コアネットワークへの非3gppデバイスアクセス | |
| US11303630B2 (en) | Method for opening a secure session on a computer terminal | |
| CN110602693B (zh) | 无线网络的组网方法和设备 | |
| CN111654865B (zh) | 终端认证方法、装置、网络设备及可读存储介质 | |
| KR100901279B1 (ko) | 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템. | |
| TWI641271B (zh) | 一種存取認證方法、ue和存取設備 | |
| KR20070078212A (ko) | 공중 무선랜에서의 다중 모드 접속 인증 방법 | |
| CN106713222A (zh) | 一种无线局域网络的接入认证方法、服务器和认证系统 | |
| CN108024249B (zh) | 一种防止wifi暴力破解的方法及系统 | |
| CN116961891A (zh) | 密钥生成方法、装置、相关设备和存储介质 | |
| WO2016015215A1 (zh) | 一种数据的处理装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |