[发明专利]一种客户端合法性检测方法及装置

说明书

技术领域

本发明涉及数据通信领域，尤其涉及一种客户端合法性检测方法及装置。

背景技术

随着网络技术的不断发展，网络中的终端越来越多，为了便于管理，基于802.1X系统的客户端Client认证应用越来越广泛。为了使合法用户能够正常使用网络，并阻止非法用户进入，对于认证Client合法性检测方法的要求是越来越高。

802.1X系统中包括三个实体：客户端（Client）、设备端（NAS）和认证服务器（Radius server），如图1所示。客户端（Client）是请求接入局域网的用户终端，它由局域网中的设备端对其进行认证，客户端安装支持802.1X认证的客户端软件。设备端（NAS）是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入网络的端口（物理端口或逻辑端口），并通过与服务器的交互来对所连接的客户端进行认证。认证服务器（Radius server）用于对客户端进行认证、授权和计费。

在现有技术中，客户端和认证服务器都存有一个数据表，认证服务器从数据列表中选取一段函数编码，计算出被对比值，同时由函数编码、偏移及长度等信息构造关键词；认证服务器在收到设备端发送来的请求报文后，将被对比值和关键词通过回应报文发送给设备端，设备端再把关键词发送给客户端；客户端根据服务器下发的关键词和与认证服务器约定好的规则从数据表中获取函数，并计算对比值，通过应答报文将对比值发送给设备端；由设备端比较对比值和被对比值，两者一致则用户在线，否则将用户下线。用户上线之后，认证服务器会定期发送更新回应报文给设备端，通过更新回应报文发送更新的关键词和被对比值，再重复上述认证过程。该方法流程可参考图1。

该方法要求设备端从认证服务器发送的回应报文或更新回应报文中提取被对比值，从客户端发送的应答报文中提取对比值，再比较两者是否一致。但标准的802.1X设备是不支持上述功能的，要使用该方法需在设备端上单独开发此功能，否则不能兼容各厂商的标准802.1X设备来实现该方法。

发明内容

有鉴于此，本发明提供一种客户端合法性检测装置，应用于认证系统的802.1X客户端中，该系统还包括设备端（NAS）以及Radius服务器，该装置包括请求单元及计算单元；其中：

请求单元，用于向NAS发送EAP身份验证回应报文；

计算单元，用于在收到NAS发送的EAP认证挑战报文后，获取该报文中携带的关键词，并根据第一预设规则计算出用于对比的值，再将对比值发送给NAS。

本发明还提供另一种客户端合法性检测装置，应用于认证系统的Radius服务器中，该系统还包括设备端（NAS）以及802.1X客户端，该装置包括：计算更新单元、回应单元以及对比单元，其中：

计算更新单元，用于从文件表中选取关键词，根据第二预设规则和关键词算出被对比值；

回应单元，用于在收到NAS发送来的Radius认证请求报文后，将关键词发送给NAS；

对比单元，用于将NAS发来的对比值与被对比值进行对比，两者一致则允许用户上线，否则不允许用户上线。

本发明还提供一种客户端合法性检测方法，应用于认证系统的802.1X客户端中，该系统还包括设备端（NAS）以及Radius服务器，其中该方法包括以下步骤：

步骤A、向NAS发送EAP身份验证回应报文；

步骤B、在收到NAS发送的EAP认证挑战报文后，获取该报文中携带的关键词，并根据第一预设规则计算出用于对比的值，再将对比值发送给NAS。

本发明还提供另一种客户端合法性检测方法，应用于认证系统的Radius服务器中，该系统还包括设备端（NAS）以及802.1X客户端，其中该方法包括：

步骤a、从文件表中选取关键词，根据第二预设规则和关键词算出被对比值；

步骤b、在收到NAS发送来的Radius认证请求报文后，将关键词发送给NAS；

步骤c、将NAS发来的对比值与被对比值进行对比，两者一致则允许用户上线，否则不允许用户上线。

本发明提供了一种完善的802.1X认证方式下的客户端合法性检测方法，可兼容所有支持标准Radius协议和EAP协议的NAS，不需要在NAS上作扩展功能，使得客户端防破解方案可以与各厂商的标准NAS配合。

附图说明

图1是现有技术中客户端合法性检测示意图。

图2是本发明一种实施方式中客户端合法性检测装置逻辑结构示意图。