[发明专利]心跳握手方法及系统

说明书

技术领域

本发明涉及认证技术领域，具体涉及心跳握手方法及系统。

背景技术

802.1x协议起源于802.11协议，是一种基于端口的认证协议，是一种 对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻 辑端口，如：虚拟局域网(VLAN，Virtual Local Area Network)口。对于无 线局域网来说，一个端口就是一个信道。802.1x认证的最终目的就是确定一 个端口是否可用。对于一个端口，如果认证成功就打开该端口，允许所有报 文通过；如果认证不成功就使该端口保持关闭，即只允许802.1x认证协议 报文通过。

图1为802.1x认证系统的体系结构，如图1所示，其包括三个部分： 客户端、设备端和认证服务器。其中，客户端端口访问实体(PAE，Port Access Entity)负责响应设备端的认证请求，向设备端提交用户的认证信息；设备 端PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证 结果相应地控制受控端口的授权/非授权状态。

802.1x认证系统提供了一种用户接入认证的手段，它仅关注端口的打开 与关闭。对于合法用户接入时，端口打开，而对于非法用户接入或没有用户 接入时，则使端口处于关闭状态。认证的结果在于端口状态的改变，而不涉 及其它认证技术所考虑的IP地址协商和分配问题，是各种认证技术中最为 简化的实现方案。

出于安全考虑，现有方案在802.1x认证成功后，增加了心跳握手机制， 如果心跳异常，将强制用户下线。图2为现有的802.1x心跳握手流程图， 如图2所示，其具体步骤如下：

步骤201：认证服务器根据私有算法对随机密钥(Rand_Key)进行运算， 得到随机哈希(Rand_Hash)值，将Rand_Hash值、Rand_Key和私有算法 标识发送给交换机/路由器。

认证服务器会定期更新Rand_Key。

步骤202：交换机/路由器保存认证服务器发来的Rand_Hash值，将认证 服务器发来的Rand_Key和私有算法标识携带在802.1x心跳握手请求报文中 发送给客户端。

步骤203：客户端接收Rand_Key和私有算法标识，采用私有算法标识 对应的私有算法，对该Rand_Key进行运算，得到Rand_Hash值，将 Rand_Hash值携带在随后发送给交换机/路由器的802.1x心跳握手响应报文 中。

步骤204：交换机/路由器收到客户端发来的Rand_Hash值，判断该 Rand_Hash值和认证服务器发来的Rand_Hash值是否相同，若是，执行步骤 205；否则，执行步骤206。

步骤205：交换机/路由器继续与客户端进行心跳握手，本流程结束。

步骤206：交换机/路由器向客户端和认证服务器发送下线报文，强制用 户下线。

对于一般用户而言，802.1x认证主要用于接入用户身份核查，不会启用 安全特性检查，用户也不会去破解802.1x心跳。但是如果想使用安全特性 检查，现有方案中虽然定期更新Rand_Key，但在用户破解了Rand_Key生 成Rand_Hash的方法后，还是容易重写一个心跳报文维护程序，完成客户端 心跳破解。做法是：在802.1x认证成功、客户端已经开始周期性握手后， 异常强制关闭用于认证的客户端，使用另一程序接管握手报文，从而使得原 有客户端失效。这样原有客户端的一些在线的实时安全特性将失效。

发明内容

本发明提供一种心跳握手方法及系统，以提高心跳握手的可靠性。

本发明的技术方案是这样实现的：

一种心跳握手方法，该方法包括：

当有客户端版本发布时，对该客户端版本进行编译，将编译文件中的代码 片段生成指纹文件，认证服务器导入该指纹文件；

认证服务器发现客户端通过认证，从该客户端的指纹文件中随机获取代码 片段，采用预设私有算法对代码片段进行运算，得到随机哈希值，将该随机哈 希值发送给设备端，将代码片段的位置信息通过设备端透传给客户端；

客户端根据代码片段的位置信息从编译文件中读取代码片段，采用预设私 有算法，对读取的代码片段进行运算，得到随机哈希值，将该随机哈希值携带 在心跳握手响应报文中发送给设备端；