[发明专利]基于802.1X与SAVI的网络认证与访问方法

说明书

本发明实施例提供一种基于802.1X与SAVI的网络认证与访问方法，包括：接收RADIUS客户端发送的802.1X认证请求报文，若判断获知认证通过，则向RADIUS客户端发送认证通过报文；接收RADIUS客户端发送的终端的身份信息，并且，接收地址分配服务器发送的信息请求报文，判断信息请求报文是否认证通过；若信息请求报文认证通过，则将终端的地址分配身份信息发送至地址分配服务器，以使得地址分配服务器为终端分配IP地址；其中，RADIUS客户端为包括SAVI配置的802.1X认证客户端，IP地址中包含终端的信息。本发明实施例能够将802.1X与SAVI结合起来，使终端能分配得到携带用户身份信息的IP地址，解决了现有的方法需要开发大量客户端、部署难度大、信令开销高的缺陷。

技术领域

本发明实施例涉及网络安全领域，更具体地，涉及一种基于802.1X与 SAVI的网络认证与访问方法。

背景技术

随着社会的不断进步和经济的不断发展，网络已经成为人们日常生活中必不可少的一部分。但是，由于源地址缺乏可信性、身份认证机制和有效的身份验证回溯机制，传统的互联网并不具备广泛的可信性。这些问题带来了一系列的安全威胁，比如钓鱼网站、DNS劫持、DDOS攻击等，严重阻碍了当前互联网的发展。SAVA的提出，为源地址验证提供了新的解决思路，有效地解决了当前网络中网络层缺乏对IP分组源地址真实性验证的问题。

SAVI通过五元组的设计方案，部署SAVI交换机并进行实时监控，来实现收集用户上网记录的目的。在SAVI中，Anchor表示终端所有不可能被伪造的部分，具有十分重要的意义。SAVI交换机通过监听并解析地址分配报文实现了将Anchor和IP地址的绑定，从而实现IP过滤。

然而，现有的SAVI解决方案大多只针对单一有线或无线介质，有线侧采用主机独占的交换机端口号作为Anchor，无线侧采用确保安全(如802.11i) 的MAC地址作为Anchor。面对如今大量存在的有线无线融合网络环境缺少相对应的统一认证机制，部署成本高、难度大。

除此之外，为了对用户身份进行管理和溯源，现有一技术提出了一种基于DHCPv6客户端的源地址验证可信身份系统，该系统通过扩展 DHCPv6协议将用户身份信息嵌入到分配给用户的ipv6地址中，实现了真实可信身份的生成算法。但是，该系统需要针对不同操作系统开发不同的 DHCPv6扩展客户端，部署成本高、开发难度大，不适用于实际应用。

也有一现有的技术提出一种基于Web Portal的无客户端迁移方案，解决了上述需要开发不同操作系统客户端等繁琐的问题。由于Web Portal是应用层的产物，用户需要拥有IP地址才能访问Web Portal服务器。这就导致用户在认证前需要申请一个临时地址，认证成功后需要再次发起 DHCP请求得到真实地址，即用户需要经过两次DHCP最终才能获取嵌入用户身份信息的ipv6地址。两次地址的获取带来了巨大的协议信令开销，难以适用于复杂多变的实际环境。

综上可知，现有的网络认证访问方法均存在一定的缺陷。

发明内容

针对现有技术存在的问题，本发明实施例提供一种基于802.1X与SAVI 的网络认证与访问方法。

本发明实施例提供一种基于802.1X与SAVI的网络认证与访问方法，包括：接收RADIUS客户端发送的802.1X认证请求报文，若判断获知所述 802.1X认证请求报文对应的终端的802.1X认证通过，则向所述RADIUS客户端发送认证通过报文；接收所述RADIUS客户端基于所述认证通过报文发送的所述终端的身份信息，并且，接收地址分配服务器发送的对应于所述终端的信息请求报文，判断所述信息请求报文是否认证通过；若所述信息请求报文认证通过，则基于所述终端的身份信息，将所述终端的地址分配身份信息发送至所述地址分配服务器，以使得所述地址分配服务器基于所述终端的地址分配身份信息为所述终端分配IP地址；其中，所述RADIUS客户端为包括SAVI配置的802.1X认证客户端。