技術領域

本發(fā)明涉及802.1x認證領域，特別涉及一種基于本地認證802.1x認證系統(tǒng)認證方法及認證設備。

背景技術

802.1x協(xié)議是一種基于端口的網(wǎng)絡接入控制協(xié)議，可以對局域網(wǎng)設備實現(xiàn)端口級接入控制和認證。典型的802.1x系統(tǒng)為C/S體系結構，包括客戶端、設備端、認證服務器（通常使用Radius認證）三個實體，如圖1所示。

其中，客戶端和設備之間通過EAPOL（ExtensibleAuthenticationProtocoloverLAN，局域網(wǎng)上的可擴展認證協(xié)議）進行交互；設備端和認證服務器之間通過EAPOR（ExtensibleAuthenticationProtocoloverRadius，基于Radius的可擴展認證協(xié)議）進行交互。

但在某些簡單的應用場景中出于對成本、可維護性、可實施性等各方面因素考慮，可能只有客戶端和設備端，而不會部署認證服務器，所以802.1x系統(tǒng)的典型體系結構對于上述簡單應用場景并不適用。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術中一些簡單的應用場景僅設置有客戶端及設備端而無認證服務器，導致無法進行802.1x認證服務的問題，提供一種可以在設備端內(nèi)置有本地認證功能的802.1x認證系統(tǒng)的認證方法。

為了實現(xiàn)上述發(fā)明目的，本發(fā)明提供了以下技術方案：

一種基于本地認證的802.1x認證系統(tǒng)的認證方法，所述802.1x認證系統(tǒng)包括客戶端以及設備端，所述設備端中設置有本地設備模塊及本地認證模塊，所述方法包括如下步驟：

（1）所述設備端的本地設備模塊響應所述客戶端發(fā)送的認證請求向所述客戶端發(fā)出用戶名請求，或，

所述設備端的本地設備模塊檢測到有新的客戶端加入系統(tǒng)后自動向所述客戶端發(fā)出用戶名請求；

（2）客戶端響應用戶名請求，將自己的用戶名發(fā)送至所述設備端的本地設備模塊；

（3）所述設備端根據(jù)接收到的用戶名隨機生成挑戰(zhàn)值，并將該挑戰(zhàn)值發(fā)送至所述客戶端；

（4）所述客戶端用接收到的所述挑戰(zhàn)值對用戶密碼進行加密，并將加密后的密碼發(fā)送到所述設備端；

（5）所述設備端中本地認證模塊對用戶密碼進行驗證，并將驗證結果通過所述本地設備模塊反饋至客戶端。

某些實施例中，所述挑戰(zhàn)值由所述本地設備模塊生成，其生成后直接由所述本地設備模塊傳送至所述客戶端。

另外一些實施例中，所述挑戰(zhàn)值由所述本地認證模塊生成，所述挑戰(zhàn)值生成后經(jīng)由所述本地設備模塊傳送至所述客戶端。

進一步的，所述本地認證模塊在生成所述挑戰(zhàn)值前，先驗證本地用戶表中是否存在該用戶名，如不存在，則直接返回認證失敗。

進一步的，所述生成挑戰(zhàn)值的步驟中，還包括對該挑戰(zhàn)值進行加密處理的步驟。

一些實施例中，所述設備端對挑戰(zhàn)值進行加密的方式為MD5加密算法。

進一步的，當采用MD5加密算法對所述挑戰(zhàn)值進行加密時，本地認證模塊對用戶密碼進行驗證的步驟中，所述本地認證模塊利用挑戰(zhàn)值對本地用戶表中保存的密碼進行加密后與本地設備模塊傳送來的加密后用戶密碼進行比對，如果相同，則認證成功；反之認證失敗。

另外一些實施例中，所述設備端對挑戰(zhàn)值進行加密的方式為3DES加密算法。

進一步的，當采用3DES加密算法對所述挑戰(zhàn)值進行加密時，本地認證模塊對用戶密碼進行驗證的步驟中，所述本地認證模塊對用戶密碼解密后與本地用戶表中的密碼進行比對，如果相同，則認證成功；反之認證失敗。

本發(fā)明同時提供一種可以本地認證的802.1x認證設備，包括，本地設備模塊及本地認證模塊；所述本地認證模塊及本地設備模塊集成封裝于所述認證設備內(nèi)；

所述本地設備模塊用于響應客戶端的認證請求向客戶端發(fā)出用戶名請求，或，檢測到有新的客戶端接入時自動向所述客戶端發(fā)出用戶名請求；根據(jù)客戶端發(fā)來的用戶名產(chǎn)生挑戰(zhàn)值或接收自所述本地認證模塊發(fā)來的挑戰(zhàn)值，并將該挑戰(zhàn)值反饋至客戶端；將自客戶端發(fā)來的用戶名、用戶密碼及自身產(chǎn)生的挑戰(zhàn)值發(fā)送至本地認證模塊；根據(jù)本地認證模塊的認證結果將客戶端連接的端口打開或維持關閉；

所述本地認證模塊用于接收自所述本地設備模塊傳來的客戶端用戶名，根據(jù)該用戶名產(chǎn)生挑戰(zhàn)值，或，接收產(chǎn)生自所述本地設備模塊的挑戰(zhàn)值；根據(jù)接收到的客戶端用戶名、用戶名密碼及自身或本地設備模塊產(chǎn)生的挑戰(zhàn)值對客戶端進行認證；將認證結果反饋至所述本地設備模塊及客戶端。