[发明专利]一种基于802.1x的接入控制系统

说明书

技术领域

本发明涉及网络信息安全领域，主要针对局域网数据安全的应用，用于增强局域网安全性的客户端接入控制。

背景技术

随着网络和信息技术的发展，目前,国内政府机关、保密部门、科研机构、金融及企事业单位已具备相当规模的内部网络，然而内部网络自身却存在着不可忽视的安全隐患，在极大提高生产工作效率的同时也对数据安全构成严重的威胁。数据安全不仅仅关系到个人的隐私问题，也关系到企业的商业机密和生存问题，甚至关系到一个国家的安全问题。由于大量的业务和技术数据都存储于内网的计算机之中，一旦由于安全问题而出现数据泄露、破坏的事件，将可能给企业或者国家造成难以挽回的损失。

另外，据美国联邦调查局和中国国家信息安全评测认证中心的调查结果可知，80%以上的安全威胁来自内部，企业和政府机构因重要数据被窃造成的损失远远超过病毒感染和黑客攻击所造成的损失，调查结果同时也证明了信息安全问题主要来自内部泄密，而不是由病毒和外来黑客引起，并且与互联网相比，内网的安全措施更加薄弱，接入速度更快，更容易引发安全问题，因此解决局域网数据安全问题具有十分重要的现实意义。

目前，影响内网数据安全的一个重要的安全威胁在于对内网缺乏有效的接入控制手段，只要用户能够接入局域网交换机，就可以顺利接入内网，访问内网中的设备或资源。目前主要的接入控制技术包括PPPoE、Web+VLAN以及802.1x。

1.PPPoE(Point-to-PointProtocoloverEthernet)

PPPoE技术是一种早期的接入认证技术，目前在宽带接入服务方面仍具有很高的使用率。PPPoE利用PPP协议封装以太帧发起一个点到点的连接请求，通过以太网交换机或DSL设备，连到接入网关设备上。接入网关设备和RADIUS认证服务器共同完成用户的接入认证。PPPoE技术的不足在于：接入用户到接入设备间用的是点到点连接，对组播的实现造成了困难；接入认证阶段产生大量的广播报文，会对网络性能产生较大的影响，效率比较低下，不适合用在局域网中进行接入控制。PPPoE技术的详细介绍见文献《AMethodforTransmittingPPPOverEthernet(PPPoE)》(L.Mamakos,K.Lidl,J.Evarts,D.Carrel,D.Simone-RFC2516,February1999)。

2.WEB+DHCP

WEB+DHCP是一种较流行的接入认证技术，其对客户的认证是通过在浏览的页面中输入用户名和密码来实现的。首先用户接入时将先通过DHCP服务器分配认证地址，并由局端设备对该IP地址强制URL访问登录页面，用户输入用户名和密码后由WEB认证服务器完成用户的接入认证。WEB+DHCP认证技术不需要专门的客户端软件，但由于WEB认证承载在应用层协议之上，对网络设备的要求较高，建网成本高，用户的连接性差且难以检测用户是否离线。

3.802.1x

802.1x是一种基于端口的接入控制方案，主要用于解决用户接入局域网时的身份认证问题。

802.1x协议的体系结构由三个部分构成：客户端系统(请求者)、认证者系统、认证服务器，如图1所示。

(1)客户端系统（请求者）：请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证。

(2)认证者系统：认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备，为请求者提供服务端口。认证系统的端口在逻辑上又可分为“可控端口”与“不可控端口”。“不可控端口”始终处于双向连通状态，用于传递802.1x认证所需的EAP数据包，保证客户端系统始终可以向认证者系统发送和接收认证消息。“可控端口”则只在客户端认证通过的情况下才会打开，认证成功后，请求者就可以通过“可控端口”访问网络资源并获得相应的服务；否则受控端口处于未认证状态，用户无法访问认证系统提供的服务。

(3)认证服务器：认证服务器是为认证系统提供认证服务的实体，通常使用RADIUS服务器来实现认证服务器的认证和授权功能。

以802.1x协议的MD5Challenge认证为例，802.1x的认证过程如下：

(1)用户接入网络时，使用802.1x客户端程序,发起连接请求,此时,客户端程序将发出EAPOL-Start报文给认证系统(交换机),开始一次认证过程。

(2)认证系统收到请求认证的数据报文后,将发出一个EAP-Request/Identity请求报文给用户的客户端,要求客户端程序发送用户输入的用户名。