[发明专利]一种用于安防行业的设备接入混合认证系统

权利要求书

1.一种用于安防行业的设备接入混合认证系统，其特征是，包括认证服务器、混合认证系统、监控相机和业务网络，其中，监控相机与混合认证系统建立数据连接并进行数据交换，认证服务器与混合认证系统建立数据连接并进行数据交换，认证服务器与业务网络建立数据连接并进行数据交换。

2.根据权利要求1所述的一种用于安防行业的设备接入混合认证系统，其特征是，认证服务器采用标准的radius认证服务器。

3.根据权利要求1所述的一种用于安防行业的设备接入混合认证系统，其特征是，混合认证系统架设在传输安防业务的网络基础设备上。

4.根据权利要求1所述的一种用于安防行业的设备接入混合认证系统，其特征是，混合认证系统的认证方式包括独立的MAC地址认证方式、独立的802.1X认证方式、MAC地址+802.1X混合认证方式以及MAC地址+802.1X+设备安防协议的混合认证方式。

5.根据权利要求4所述的一种用于安防行业的设备接入混合认证系统，其特征是，独立的MAC地址认证方式的认证步骤是：当首次检测到设备的MAC地址时，即启动对该MAC地址的认证操作，如果该MAC地址与该端口配置的白名单存在匹配，则将该MAC地址作为一条静态的MAC绑到该端口，从而允许其接入安全的业务网络，如果不匹配，该MAC会被加入黑名单，并为其设置一个静默期，在静默期间，认证系统会忽略该MAC的所有数据，直到静默期结束，重新进行认证。

6.根据权利要求4所述的一种用于安防行业的设备接入混合认证系统，其特征是，独立的802.1X认证包括客户端主动申请和交换机主动扫描两种认证触发方式。

7.根据权利要求4所述的一种用于安防行业的设备接入混合认证系统，其特征是，独立的802.1X认证包括基于端口和基于MAC两种接入控制方式，在基于端口的接入控制方式下，只要该端口的第一个设备认证成功后，其他从该端口接入的设备均无需再次认证，但当上述的第一个设备下线后，其他的设备也会被拒绝进入系统；在基于MAC的接入控制方式下，所有的设备都需要独立进行认证，认证后的设备下线不会影响其他设备。

8.根据权利要求4所述的一种用于安防行业的设备接入混合认证系统，其特征是，MAC地址+802.1X混合认证方式的组网环境是：接入的设备群MAC地址分布明确并且均安装了802.1X客户端，其认证流程是：

（A1）混合认证系统接收到来自请求接入设备的报文；

（A2）判断该报文是否属于802.1X协议报文，如果是，进入步骤A3，如果否，进入步骤A5；

（A3）判断报文源的MAC是否位于该端口的白名单中，如果是，进入步骤A4，如果否，进入步骤A5；

（A4）执行802.1X认证，如果是，则认证通过，允许设备接入，如果否，进入步骤A5；

（A5）认证不通过，将设备加入系统黑名单并设置静默期。

9.根据权利要求4所述的一种用于安防行业的设备接入混合认证系统，其特征是，MAC地址+802.1X+设备安防协议的混合认证方式的组网环境是：接入的设备群MAC地址分布明确且安装了802.1X客户端，并且所有设备都是安防设备，其认证流程是：

（B1）混合认证系统接收到来自请求接入设备的报文；

（B2）判断该报文是否属于802.1X协议报文，如果是，进入步骤B3，如果否，进入步骤B7；

（B3）判断报文源的MAC是否位于该端口的白名单中，如果是，进入步骤B4，如果否，进入步骤B7；

（B4）执行802.1X认证，如果是，则认证通过，则进入步骤B5，如果否，进入步骤B7；

（B5）向设备发送安防设备协议探测报文，并设置超时时间，如果在超时时间内收到回复，则进入步骤B6，如果没有在超时时间内收到回复，则进入步骤B7；

（B6）判断回复报文是否有效，如果有效，则认证通过，如果否，则进入步骤B7；

（B7）认证不通过，将设备加入系统黑名单并设置静默期。

10.根据权利要求8或9所述的一种用于安防行业的设备接入混合认证系统，其特征是，在混合认证模式下，只允许配置MAC地址段白名单且只允许配置基于MAC的802.1X接入控制方式。