本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種基于EAP的可信網(wǎng)絡(luò)接入方法和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)應(yīng)用的迅速普及,人們與網(wǎng)絡(luò)的關(guān)系變得越來越緊密。然而,由于互聯(lián)網(wǎng)具有開放性、互聯(lián)性等特征,致使網(wǎng)絡(luò)存在很多不安全因素,惡意軟件的肆意攻擊,黑客不軌的破壞行為都嚴重地威脅了人們的利益安全。因此,現(xiàn)在非常需要一套既能夠保護計算機不受惡意攻擊,又能夠為訪問網(wǎng)絡(luò)提供安全保障的解決方案。由可信計算組織(TCG)提出的TNC(Trusted Network Connect,可信任網(wǎng)絡(luò)連接)就是在這樣的背景下產(chǎn)生的。
TNC能夠解決在網(wǎng)絡(luò)環(huán)境下的終端安全問題,并且通過對終端進行完整性度量,來評估終端對于要訪問網(wǎng)絡(luò)的適用性,以便確保只有合法并且自身安全的終端才能夠接入到網(wǎng)絡(luò)。TNC利用結(jié)合終端完整性檢驗的訪問控制技術(shù),來實現(xiàn)終端主機的安全連接。
TNC中,在終端接入網(wǎng)絡(luò)之前,對用戶的身份進行認證;如果認證通過,對終端平臺的身份進行認證;如果認證通過,對終端的平臺可信狀態(tài)進行度量;如果度量結(jié)果滿足網(wǎng)絡(luò)接入的安全策略,則允許終端接入網(wǎng)絡(luò),否則將終端連接到指定的隔離區(qū)域,對其進行安全性修補和升級。
但是,一旦攻擊者盜取用戶身份便可以獲取網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)。隨著網(wǎng)絡(luò)安全要求越來越高,現(xiàn)有的身份認證方式已經(jīng)難以滿足要求,其認證安全性有待提高。
技術(shù)實現(xiàn)要素:
鑒于上述問題,提出了本發(fā)明以便提供一種基于EAP的可信網(wǎng)絡(luò)接入方法和系統(tǒng),用于克服上述問題或者至少部分地解決或者減緩上 述問題的缺點。
根據(jù)本發(fā)明的一個方面,提供了一種基于EAP的可信網(wǎng)絡(luò)接入,包括:NAC服務(wù)器對終端進行初步身份認證;初步認證通過后,NAC服務(wù)器對終端進行二次認證;二次認證通過后,NAC服務(wù)器對終端進行安全可信檢測。
可選的,所述NAC服務(wù)器對終端進行初步身份認證包括:
接收用戶名響應(yīng)報文;
根據(jù)用戶名從用戶數(shù)據(jù)庫中查詢所述用戶名是否是合法的用戶名;
若是,向終端發(fā)送提問報文,接收終端的響應(yīng)報文;
根據(jù)所述響應(yīng)報文對終端進行身份認證。
可選的,所述NAC服務(wù)器對終端進行二次認證包括:
根據(jù)終端發(fā)送的用戶名,查詢輔助認證信息;
根據(jù)輔助認證信息向用戶發(fā)送第一驗證碼;
向終端發(fā)送驗證碼請求報文,請求提供驗證碼;
接收終端發(fā)送的驗證碼響應(yīng)報文,所述驗證碼響應(yīng)報文中攜帶用戶輸入的第二驗證碼;比較已發(fā)送的第一驗證碼和接收的第二驗證碼。
可選的所述驗證碼請求報文和驗證碼響應(yīng)報文均為EAP報文。
可選的,終端二次認證成功后與NAC服務(wù)器維持心跳,每隔一段時間發(fā)送一次心跳,NAC服務(wù)器根據(jù)心跳判斷終端用戶的在線狀態(tài)。
可選的,終端與NAC服務(wù)器之間通過NAS進行報文轉(zhuǎn)發(fā);終端與NAS之間直接通過EAP報文交互;NAS與NAC服務(wù)器之間通過將EAP報文封裝在RADIUS報文進行交互。
根據(jù)本發(fā)明的另一個方面,提供了一種基于EAP的可信網(wǎng)絡(luò)接入系統(tǒng),包括第一身份驗證模塊,對終端進行初步身份認證;第二身份驗證模塊,在初步認證通過后,對終端進行二次認證;安全可信狀態(tài)驗證模塊,在二次認證通過后,對終端進行安全可信檢測。
可選的,所述第一身份驗證模塊包括:
用戶名響應(yīng)報文子接收模塊,從終端接收攜帶用戶名的用戶名響應(yīng)報文;
查詢子模塊,根據(jù)用戶名從用戶數(shù)據(jù)庫中查詢所述用戶名是否是合法的用戶名;
提問報文子發(fā)送模塊,向終端發(fā)送提問報文;
響應(yīng)報文接收子模塊,接收終端的響應(yīng)報文;
身份認證子模塊,根據(jù)所述響應(yīng)報文對終端進行身份認證。
可選的,所述第二身份驗證模塊包括:
根據(jù)終端發(fā)送的用戶名,查詢輔助認證信息;
根據(jù)輔助認證信息向用戶發(fā)送第一驗證碼;
向終端發(fā)送驗證碼請求報文,請求提供驗證碼;
接收終端發(fā)送的驗證碼響應(yīng)報文,所述驗證碼響應(yīng)報文中攜帶用戶輸入的第二驗證碼;比較已發(fā)送的第一驗證碼和接收的第二驗證碼。
可選的,所述驗證碼請求報文和驗證碼響應(yīng)報文均為EAP報文。
可選的,所述系統(tǒng)還包括在線狀態(tài)維持模塊,用于接收終端認證成功后每隔一段時間發(fā)送的一次心跳,根據(jù)心跳判斷終端的在線狀態(tài)。。
本發(fā)明的有益效果為:
通過二次身份認證,增強了用戶身份認證的準確性以及網(wǎng)絡(luò)的安全性;基于IEEE802.1x標準協(xié)議和EAP協(xié)議,提高了網(wǎng)絡(luò)設(shè)備兼容性。。
上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的具體實施方式。
附圖說明
通過閱讀下文優(yōu)選實施方式的詳細描述,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
圖1示意性示出了根據(jù)本發(fā)明一個實施例的基于EAP的可信網(wǎng)絡(luò)接入方法的流程圖;
圖2示意性示出了根據(jù)本發(fā)明一個實施例的NAC服務(wù)器對終端進行初步身份認證信令交互示意圖;
圖3示意性示出了根據(jù)本發(fā)明一個實施例的NAC服務(wù)器對終端進行二次認證信令交互示意圖;
圖4示意性示出了根據(jù)本發(fā)明一個實施例的基于EAP的可信網(wǎng)絡(luò)接入系統(tǒng)的示意圖。
具體實施例
下面結(jié)合附圖和具體的實施方式對本發(fā)明作可選的描述。
TNC的網(wǎng)絡(luò)訪問層基于現(xiàn)有的網(wǎng)絡(luò)訪問技術(shù),主要包括802.1x、VPN和P2P。802.1x為局域網(wǎng)提供基于端口的訪問控制,能夠通過受控端口與非受控端口對網(wǎng)絡(luò)連接進行控制,這也是目前應(yīng)用最廣泛的網(wǎng)絡(luò)接入方法。因此,本實施例基于IEEE802.1x標準協(xié)議實現(xiàn)。
圖1示意性示出了根據(jù)本發(fā)明一個實施例的基于EAP的可信網(wǎng)絡(luò)接入方法的流程圖,如圖1所示,具體包括以下步驟:
步驟101,NAC服務(wù)器對終端進行初步身份認證,如圖2所示;
具體地,包括以下子步驟:
步驟1011:NAS服務(wù)器(network access server,網(wǎng)絡(luò)接入服務(wù)器)接收網(wǎng)絡(luò)接入請求者從終端發(fā)起的網(wǎng)絡(luò)認證請求報文(EAPOL-Start),向終端發(fā)送用戶名請求報文(EAP-Request/Identity);NAC服務(wù)器接收用戶名響應(yīng)報文(EAP-Response/Identity);,其中,EAPOL(EAP OVER LAN)為基于局域網(wǎng)的擴展身份認證協(xié)議,是基于802.1X網(wǎng)絡(luò)訪問認證技術(shù)發(fā)展而來的;EAP(Extensible Authentication Protocol,可擴展身份驗證協(xié)議);
步驟1012:NAC服務(wù)器根據(jù)用戶名從用戶數(shù)據(jù)庫中查詢所述用戶名是否是合法的用戶名,若不是,則不做進一步處理;
步驟1013,若是,內(nèi)部產(chǎn)生一個隨機數(shù),將隨機數(shù)加入提問報文(EAP-Request/Challenge)發(fā)送給終端,接收終端的響應(yīng)報文(EAP-Response/Challenge);其中,所述響應(yīng)報文為終端將使用所述隨機數(shù)對用戶密碼進行加密得到的字節(jié)串;提問和響應(yīng)報文通過公私秘鑰對的形式進行簽名,以保證傳輸安全性。
步驟1014:NAC服務(wù)器根據(jù)所述響應(yīng)報文對終端進行身份認證;
NAC服務(wù)器將應(yīng)答串與自己的計算結(jié)果比較,若二者相同,則通過初步認證;否則,認證失敗。
初步認證過程中,終端與NAC服務(wù)器之間的報文交互是通過NAS進行轉(zhuǎn)發(fā)實現(xiàn)的。
步驟102,在確認終端通過初步認證后,NAC服務(wù)器對終端進行二次認證,如圖3所示;
具體地,包括以下子步驟:
步驟1021,根據(jù)終端發(fā)送的用戶身份信息,即用戶名,查詢本地的用戶信息表,該用戶信息表中保存了用戶身份信息和輔助認證信息的綁定關(guān)系。其中,輔助認證信息用于NAC服務(wù)器對初步認證用戶進行二次認證,該輔助認證信息可以為手機號、微信號、QQ號等與網(wǎng)絡(luò)接入請求者的用戶身份信息唯一綁定的信息。
步驟1022,根據(jù)步驟1021獲取的輔助認證信息向網(wǎng)絡(luò)接入請求者發(fā)送第一驗證碼。例如,假設(shè)輔助認證信息為已注冊用戶的手機號碼,則NAC服務(wù)器向該手機號碼發(fā)送第一驗證碼。NAC服務(wù)器可通過短信、彩信等方式向網(wǎng)絡(luò)接入請求者的手機號上發(fā)送第一驗證碼。該第一驗證碼除了用于完成后續(xù)的二次認證,還可以及時提醒網(wǎng)絡(luò)接入請求者當前是否是其本人在對終端進行操作,從而獲知是否有非法網(wǎng)絡(luò)接入請求者盜用了其身份信息,以便及時采取應(yīng)對措施,避免不必要的損失。
步驟1023,NAC服務(wù)器向終端發(fā)送驗證碼請求報文(EAP-Request/SMS),請求提供驗證碼。
如果當前終端上的網(wǎng)絡(luò)接入請求者是合法用戶,則其可以將獲取的第一驗證碼輸入到終端,作為第二驗證碼發(fā)送給NAC服務(wù)器。
步驟1024,NAC服務(wù)器接收終端針對驗證碼請求報文回應(yīng)的驗證碼響應(yīng)報文(EAP-Response/SMS),所述驗證碼響應(yīng)報文中攜帶網(wǎng)絡(luò)接入請求者輸入的第二驗證碼。比較已發(fā)送的第一驗證碼和接收的第二驗證碼,當?shù)谝或炞C碼和第二驗證碼相同時,說明網(wǎng)絡(luò)接入請求者為合法用戶,通過二次驗證。如果當前進行身份認證的是非法用戶,則其很難同時獲取NAC服務(wù)器通過輔助認證信息發(fā)送的第一驗證碼,無法通過驗證碼認證過程。
二次認證過程中,所述驗證碼請求報文和驗證碼響應(yīng)報文均為EAP報文。終端和NAC服務(wù)器實現(xiàn)約定好認證類型,設(shè)置EAP報文中的type字段,例如,當所述type字段為8時,表示所述EAP報文為驗證碼認證相關(guān)報文。
二次認證過程中,終端與NAC服務(wù)器之間的報文交互是通過NAS進行轉(zhuǎn)發(fā)實現(xiàn)的。終端與NAS之間的報文交互是直接通過EAP報文實現(xiàn)的;NAS與NAC服務(wù)器之間的報文交互是通過將EAP報文封裝在RADIUS報文中實現(xiàn)的。
終端認證成功后與NAC服務(wù)器維持心跳,每隔一段時間發(fā)送一次心跳并接受服務(wù)器返回,NAC服務(wù)器根據(jù)心跳判斷終端用戶的在線狀態(tài)。
步驟103,二次認證通過后,對終端進行安全可信檢測。
圖4示意性示出了根據(jù)本發(fā)明一個實施例的基于EAP的可信網(wǎng)絡(luò)接入系統(tǒng)的示意圖;如圖4所示,一種基于EAP的可信網(wǎng)絡(luò)接入系統(tǒng),包括:
第一身份驗證模塊、第二身份驗證模塊、安全可信狀態(tài)驗證模塊;其中,
所述第一身份驗證模塊,對終端進行初步身份認證;
所述第二身份驗證模塊,在初步認證通過后,對終端進行二次認證;
所述安全可信狀態(tài)驗證模塊,在二次認證通過后,對終端進行安 全可信檢測。
具體地,所述第一身份驗證模塊,
具體的,包括,
用戶名響應(yīng)報文子接收模塊,從終端接收攜帶用戶名的用戶名響應(yīng)報文(EAP-Response/Identity);,其中,EAPOL(EAP OVER LAN)為基于局域網(wǎng)的擴展身份認證協(xié)議,是基于802.1X網(wǎng)絡(luò)訪問認證技術(shù)發(fā)展而來的;EAP(Extensible Authentication Protocol,可擴展身份驗證協(xié)議);
查詢子模塊,根據(jù)用戶名從用戶數(shù)據(jù)庫中查詢所述用戶名是否是合法的用戶名,若不是,則不做進一步處理;
提問報文子發(fā)送模塊,若是,內(nèi)部產(chǎn)生一個隨機數(shù),將隨機數(shù)加入提問報文(EAP-Request/Challenge)發(fā)送給終端;
響應(yīng)報文接收子模塊,接收終端的響應(yīng)報文(EAP-Response/Challenge);其中,所述響應(yīng)報文為終端將使用所述隨機數(shù)對用戶密碼進行加密得到的字節(jié)串;提問和響應(yīng)報文通過公私秘鑰對的形式進行簽名,以保證傳輸安全性。
身份認證子模塊,根據(jù)所述響應(yīng)報文對終端進行身份認證;將應(yīng)答串與自己的計算結(jié)果比較,若二者相同,則通過初步認證;否則,認證失敗。
初步認證過程中,終端與第一身份驗證模塊之間的報文交互是通過NAS進行轉(zhuǎn)發(fā)實現(xiàn)的。
所述第二身份驗證模塊,在初步認證通過后,對終端進行二次認證;
具體地,包括:
輔助認證信息查詢子模塊,根據(jù)終端發(fā)送的用戶身份信息,即用戶名,查詢本地的用戶信息表,該用戶信息表中保存了用戶身份信息和輔助認證信息的綁定關(guān)系。其中,輔助認證信息用于NAC服務(wù)器對初步認證用戶進行二次認證,該輔助認證信息可以為手機號、微信號、QQ號等與網(wǎng)絡(luò)接入請求者的用戶身份信息唯一綁定的信息。
第一驗證碼發(fā)送子模塊,根據(jù)輔助認證信息查詢模塊獲取的輔助 認證信息向網(wǎng)絡(luò)接入請求者發(fā)送第一驗證碼。例如,假設(shè)輔助認證信息為已注冊用戶的手機號碼,則向該手機號碼發(fā)送第一驗證碼??赏ㄟ^短信、彩信等方式向網(wǎng)絡(luò)接入請求者的手機號上發(fā)送第一驗證碼。該第一驗證碼除了用于完成后續(xù)的二次認證,還可以及時提醒網(wǎng)絡(luò)接入請求者當前是否是其本人在對終端進行操作,從而獲知是否有非法網(wǎng)絡(luò)接入請求者盜用了其身份信息,以便及時采取應(yīng)對措施,避免不必要的損失。
驗證碼請求報文子發(fā)送模塊,向終端發(fā)送驗證碼請求報文(EAP-Request/SMS),請求提供驗證碼。
如果當前終端上的網(wǎng)絡(luò)接入請求者是合法用戶,則其可以將獲取的第一驗證碼輸入到終端,作為第二驗證碼發(fā)送給。
驗證碼響應(yīng)報文接收子模塊,接收終端針對驗證碼請求報文回應(yīng)的驗證碼響應(yīng)報文(EAP-Response/SMS),所述驗證碼響應(yīng)報文中攜帶網(wǎng)絡(luò)接入請求者輸入的第二驗證碼。比較已發(fā)送的第一驗證碼和接收的第二驗證碼,當?shù)谝或炞C碼和第二驗證碼相同時,說明網(wǎng)絡(luò)接入請求者為合法用戶,通過二次驗證。如果當前進行身份認證的是非法用戶,則其很難同時獲取第一驗證碼發(fā)送模塊通過輔助認證信息發(fā)送的第一驗證碼,無法通過驗證碼認證過程。
二次認證過程中,所述驗證碼請求報文和驗證碼響應(yīng)報文均為EAP報文。
所述系統(tǒng)還包括在線狀態(tài)維持模塊,用于接收終端認證成功后每隔一段時間發(fā)送的一次心跳,根據(jù)心跳判斷終端的在線狀態(tài)。
所述安全可信狀態(tài)驗證模塊,二次認證通過后,對終端進行安全可信檢測。
本發(fā)明實施例的基于EAP的可信網(wǎng)絡(luò)接入方法和系統(tǒng),通過二次認證方法,增強了用戶身份認證的準確性以及網(wǎng)絡(luò)的安全性;基于IEEE802.1x標準協(xié)議和EAP協(xié)議,提高了網(wǎng)絡(luò)設(shè)備兼容性。
本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當理解,可以在實踐中使用微處理器或者數(shù)字信號處理器 (DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的基于EAP的可信網(wǎng)絡(luò)接入系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。
本文中所稱的“一個實施例”、“實施例”或者“一個或者多個實施例”意味著,結(jié)合實施例描述的特定特征、結(jié)構(gòu)或者特性包括在本發(fā)明的至少一個實施例中。此外,請注意,這里“在一個實施例中”的詞語例子不一定全指同一個實施例。
在此處所提供的說明書中,說明了大量具體細節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下被實踐。在一些實例中,并未詳細示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。
應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。
此外,還應(yīng)當注意,本說明書中使用的語言主要是為了可讀性和教導(dǎo)的目的而選擇的,而不是為了解釋或者限定本發(fā)明的主題而選擇的。因此,在不偏離所附權(quán)利要求書的范圍和精神的情況下,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說許多修改和變更都是顯而易見的。對于本發(fā)明的范圍,對本發(fā)明所做的公開是說明性的,而非限制性的,本發(fā)明的范圍由所附權(quán)利要求書限定。