技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種基于802.1X協(xié)議的認(rèn)證方法及系統(tǒng)。

背景技術(shù)

802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，所謂基于端口的網(wǎng)絡(luò)接入控制是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶進行認(rèn)證；其中，當(dāng)所接入的用戶通過認(rèn)證后，即可訪問局域網(wǎng)中的資源；否則無法訪問局域網(wǎng)中的資源。

由于在現(xiàn)有技術(shù)中，接入設(shè)備的一個端口可接入多個用戶，且針對其中的一個端口，只要該端口下的第一個用戶認(rèn)證成功后，該端口下的其它用戶無需再進行認(rèn)證即可訪問局域網(wǎng)中的資源；這樣，無疑使得該端口下不合法的用戶亦可訪問局域網(wǎng)中的資源。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種基于802.1X協(xié)議的認(rèn)證方法及系統(tǒng)，以拒絕不合法用戶訪問局域網(wǎng)中的資源。

為實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種基于802.1X協(xié)議的認(rèn)證方法，包括：

每當(dāng)客戶端接收到用戶所輸入的用戶名和密碼時，發(fā)送認(rèn)證請求報文至接入設(shè)備；

所述接入設(shè)備發(fā)送詢問認(rèn)證報文至所述客戶端；

所述客戶端發(fā)送應(yīng)答報文至所述接入設(shè)備；其中，所述應(yīng)答報文中至少包括所述用戶的用戶名；

所述接入設(shè)備對所述應(yīng)答報文進行封裝，獲得認(rèn)證報文，且將所述認(rèn)證報文發(fā)送至所述認(rèn)證服務(wù)器；

所述認(rèn)證服務(wù)器對所述認(rèn)證報文進行解析，獲得所述用戶的用戶名；

所述認(rèn)證服務(wù)器對所述用戶名的合法性進行認(rèn)證；

當(dāng)所述認(rèn)證通過后，所述認(rèn)證服務(wù)器生成隨機數(shù)，且將所述隨機數(shù)經(jīng)所述接入設(shè)備轉(zhuǎn)發(fā)至所述客戶端；

所述客戶端利用預(yù)設(shè)的加密算法對所述隨機數(shù)和密碼進行加密，生成第一隨機密碼，且將所述第一隨機密碼經(jīng)所述接入設(shè)備轉(zhuǎn)發(fā)至所述認(rèn)證服務(wù)器；

所述認(rèn)證服務(wù)器利用預(yù)設(shè)的加密算法對所述隨機數(shù)和自身所存儲的用戶名通過認(rèn)證的用戶的密碼進行加密，生成第二隨機密碼；

所述認(rèn)證服務(wù)器將所述第一隨機密碼和所述第二隨機密碼進行對比，若相同，則認(rèn)證通過，允許所述用戶訪問局域網(wǎng)中的資源；否則認(rèn)證不通過，拒絕所述用戶訪問局域網(wǎng)中的資源。

優(yōu)選的，所述方法還包括：在預(yù)設(shè)時間內(nèi)，當(dāng)所述客戶端未接收到用戶所輸入的用戶名和密碼時，執(zhí)行所述接入設(shè)備發(fā)送詢問認(rèn)證報文至所述客戶端這一步驟。

優(yōu)選的，當(dāng)所述用戶認(rèn)證通過后，所述方法還包括：

所述認(rèn)證服務(wù)器發(fā)送通過認(rèn)證報文至所述接入設(shè)備；

所述接入設(shè)備查看自身的二層表中是否存儲有通過認(rèn)證的用戶所登陸的客戶端的硬件地址；

當(dāng)未存儲有所述硬件地址時，將所述硬件地址存儲至所述二層表中。

優(yōu)選的，當(dāng)所述用戶認(rèn)證不通過后，所述方法還包括：

所述認(rèn)證服務(wù)器發(fā)送未通過認(rèn)證報文至所述接入設(shè)備；

所述接入設(shè)備查看自身的二層表中是否存儲未通過認(rèn)證的用戶所登陸的客戶端的硬件地址；

當(dāng)存儲有所述硬件地址時，從二層表中刪除所述硬件地址。

優(yōu)選的，所述預(yù)設(shè)的加密算法為第五版信息摘要算法MD5。

一種基于802.1X協(xié)議的認(rèn)證系統(tǒng)，包括：

客戶端用于，每當(dāng)接收到用戶所輸入的用戶名和密碼時，發(fā)送認(rèn)證請求報文至接入設(shè)備、發(fā)送應(yīng)答報文至所述接入設(shè)備以及利用預(yù)設(shè)的加密算法對隨機數(shù)和密碼進行加密，生成第一隨機密碼，且將所述第一隨機密碼發(fā)送至所述接入設(shè)備；其中，所述應(yīng)答報文中至少包括所述用戶的用戶名；

所述接入設(shè)備用于，發(fā)送詢問認(rèn)證報文至所述客戶端、對所述應(yīng)答報文進行封裝，獲得認(rèn)證報文，且將所述認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器、將所述隨機數(shù)轉(zhuǎn)發(fā)至所述客戶端、將所述第一隨機密碼轉(zhuǎn)發(fā)至所述認(rèn)證服務(wù)器；

所述認(rèn)證服務(wù)器用于，對所述認(rèn)證報文進行解析，獲得所述用戶的用戶名、對所述用戶名的合法性進行認(rèn)證、生成隨機數(shù)，且將所述隨機數(shù)發(fā)送至所述接入設(shè)備、利用預(yù)設(shè)的加密算法對所述隨機數(shù)和自身所存儲的用戶名通過認(rèn)證的用戶的密碼進行加密，生成第二隨機密碼以及將所述第一隨機密碼和所述第二隨機密碼進行對比，若相同，則認(rèn)證通過，允許所述用戶訪問局域網(wǎng)中的資源，否則認(rèn)證不通過，拒絕所述用戶訪問局域網(wǎng)中的資源。

優(yōu)選的，當(dāng)所述客戶端未接收到用戶所輸入的用戶名和密碼時，所述接入設(shè)備還用于，在預(yù)設(shè)時間內(nèi)，主動發(fā)送詢問認(rèn)證報文至所述客戶端。

優(yōu)選的，當(dāng)所述用戶認(rèn)證通過后，

所述認(rèn)證服務(wù)器還用于，發(fā)送通過認(rèn)證報文至所述接入設(shè)備；