[发明专利]一种基于802.1x的接入控制系统

权利要求书

1.一种基于802.1x的接入控制系统，其特征在于：包括客户端系统、认证服务器及认证者系统，所述的客户端系统包括：

802.1x认证模块，负责与所述认证者系统、认证服务器交互，发送和接受认证信息，完成用户认证和接入控制；

网络接入设备监控模块，负责监控客户端网络接入设备的状态变化并通知802.1x认证模块；

USBKEY监控模块，负责获取USBKEY状态变化信息和USBKEY内的认证信息，并通知802.1x认证模块；

分组过滤引擎，通过分组过滤实现用户级的细粒度网络访问控制；

客户端完整性检测模块，负责对客户端各模块的完整性进行检测，确保用户不能使用未经认证或更改过的客户端进行802.1x认证。

2.根据权利要求1所述的基于802.1x的接入控制系统，其特征在于：所述的分组过滤引擎的工作流程包括：在客户端系统通过认证后，认证服务器从用户控制策略数据库中提取和某个认证用户绑定的认证策略，封装入数据报后通过认证者系统返回认证策略给802.1x认证模块，802.1x认证模块将认证策略中的网络访问控制策略部分通过802.1x认证模块与PFE间的通信接口发送给PFE,PFE依据接收到的网络访问控制策略设置分组过滤规则，并依据分组过滤规则对客户端上特定用户发送和接收的数据包进行过滤。

3.根据权利要求1所述的基于802.1x的接入控制系统，其特征在于：所述客户端完整性检测模块的检测流程包括：

(1) 用户使用802.1x认证模块，发起连接请求，即向认证者系统发送EAPOL-Start报文；

(2) 认证者系统收到请求认证的数据报文后，发送EAP-Request/Identity请求报文给客户端系统，要求802.1x认证模块发送用户输入的用户名；

(3) 802.1x认证模块响应认证者系统请求，通过EAP-Response/Identity报文将用户名发给认证者系统；

(4)认证服务器收到认证者系统转发的用户名信息后，认证服务器根据用户名确定和该用户绑定的USBKEY认证信息；

(5)认证者系统向客户端发送EAP-Request/Notification报文，要求客户端发送客户端完整性检测模块检测的完整性检测信息；

(6)802.1x认证模块响应认证者系统请求，首先利用MD5算法计算802.1x认证模块、网络接入设备监控模块、USBKEY监控模块、分组过滤引擎的可执行文件的散列值，再对各模块的散列值进行求和运算，然后以USBKEY中存储的唯一的ID作为密钥对散列运算的结果进行加密生成完整性检测信息，并将完整性认证信息封装到EAP-Response/Notification报文中，通过认证者系统转发到认证服务器；

认证服务器收到完整性检测报文后，根据客户端系统发送的用户名信息在认证服务器数据库中提取和用户绑定的USBKEY的ID，使用USBKEY的ID作为密钥进行解密，将完整性检测信息和认证服务器中存储的原版模块的散列值进行比较，如果相同，说明模块未经变动，完整性检测通过，继续后续操作；否则说明模块已被非法改动，认证服务器将终止与客户端的交互。