一种基于CPK标识认证的802.1X网络接入方法技术

本发明专利技术提供一种基于CPK标识认证的802.1X网络接入方法。该方法包括：客户端检测到插入的用户的CPK Key设备，先对用户输入的CPK Key的pin码做本地验证，验证通过后，再将用户输入的用户名、用户口令以及用CPK Key设备生成的CPK签名信息通过接入设备发送至认证服务器进行认证。认证服务器验证CPK签名是否合法，若合法，再验证用户口令信息，当认证通过后，允许用户访问局域网中的资源，否则，拒绝用户访问局域网中的资源；本发明专利技术中的客户端和认证服务器都支持CPK标识认证技术，采用本发明专利技术的方法，可拒绝不合法用户访问网络资源、可定位与追溯网络用户的网络行为。

【技术实现步骤摘要】

本专利技术涉及网络通信
，尤其涉及一种基于CPK标识认证的802.1X网络接入方法。
技术介绍
IEEE 802.1x(Port-Based Network Access Control)是一个基于端口的网络访问控制协议，所谓的基于端口的网络接入控制是指在局域网接入设备的端口这一级对所接入的用户进行认证，其中所接入的用户通过认证后，即可访问局域网中的资源，否则无法访问局域网中的资源。由于在现有市场上推出的基于802.1X的认证方式都是基于端口的认证方式，在该认证方式下，接入设备的一个端口可接入多个用户，如果该端口被认证通过，则该端口下的所有用户无需再进行认证即可访问局域网中的资源；并且对用户的认证一般都采用用户名和用户口令单一的识别认证方式(用户名和用户口令的安全性较低，几个人都可公用一组用户名和用户口令或可能被他人冒充)，不能做到分别对各个用户进行身份识别和认证控制，这样无疑使得该端口下不合法的用户也可访问局域网中的资源；且网络中出现违法行为，无法定位和追溯网络具体的用户。
技术实现思路
针对现有技术中存在的上述问题，本专利技术提供一种基于CPK标识认证的802.1X网络接入方法，采用支持CPK标识认证技术的客户端和认证服务器，为每一个网络接入用户提供一个用户身份识别的CPK Key设备，可实现对网络中各个用户的身份识别和认证控制，可拒绝不合法用户、定位与追溯网络用户的网络行为。为达到上述目的，本专利技术的实施例采用的如下技术方案：一种基于CPK标识认证的802.1X网络接入方法，其特征在于包括以下步骤：1)当用户需要接入网络时打开客户端，并且插入用户的CPK key设备，输入用户的CPKpin码、已经申请、登记过的用户名和用户口令，发起登录认证请求；客户端将向接入设备发出认证请求帧，开始启动一次认证过程；2)接入设备收到认证请求帧后，发出一个请求帧要求客户端发送输入的用户名；3)客户端响应接入设备的请求，将用户名信息发送给接入设备。接入设备将客户端送上来的响应帧经过封包处理后送给认证服务器进行处理；4)认证服务器收到接入设备转发的用户名信息后，将该信息与数据库中的用户名列表对比，找到该用户名对应的用户口令信息，用随机生成的一个随机挑战码对用户口令进行加密处理，同时将该随机挑战码发送给接入设备，由接入设备传给客户端；5)客户端收到由接入设备传来的随机挑战码后，用该随机挑战码对用户输入的用户口令进行加密处理，并且使用用户的CPK key设备对用户的用户名进行签名生成CPK签名信息，并用服务器的CPK标识公钥对此CPK签名信息进行加密，将加密后的用户口令信息和加密后的CPK签名信息通过接入设备传给认证服务器；6)认证服务器解析得到加密后的用户口令信息和加密后的CPK签名信息，先用服务器的CPK标识私钥解密得到CPK签名信息，再验证CPK签名信息是否合法。若签名验证通过，认证服务器将收到的加密的用户口令信息和本地加密的用户口令信息进行对比，若相同，则认为该用户为合法用户，返回认证通过的消息。所述认证服务器为支持CPK标识认证技术的、能进行CPK标识白名单管理的认证服务器，认证服务器中保存有用于认证鉴权的多组信息，每一条所述的多组信息包括用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、基于服务器私有标识产生的服务器的CPK标识公私钥对中的CPK标识私钥、用户名、用户口令及附加鉴权信息；用户私有标识包括但不限于：身份证号码、电话号码、姓名和用户名等。所述用户的CPK key设备在使用前需要用户设置CPK Key的pin码来激活CPK Key设备(CPK Key的pin码是不同于用户的用户口令)，在每次认证中都需要用户输入已设置的CPK Key的pin码做本地验证；用户的CPK Key的Pin码在一次认证中错误输入到达一定次数，用户的CPK Key设备会锁死，用户则需要去CPK Key设备的发证中心去解锁。所述客户端为支持CPK标识认证技术的802.1X协议的客户端，在用户发起登录认证请求后，客户端先检测是否有CPK key设备插入，若检测到有CPK key设备插入，再对用户输入的CPK pin码做本地验证；CPK pin码验证通过后，再发送认证请求报文到接入设备，否则若没有检测到用户的CPK Key设备或有CPK Key设备但输入的用户的CPK pin码错误，其显示相应的错误信息给用户。在认证通过后，客户端会定时检测被认证设备的CPK key是否在线，如果用户的CPK key设备被拔出后，客户端可通知认证服务器用户下线。在所述的认证服务器中，分配给每个用户的CPK key设备，用户名都具有唯一性；用户的CPK key设备、用户名和用户口令都是一一对应绑定的。所述的认证服务器解析得到加密后的用户口令信息和加密后的CPK签名信息，先用服务器的CPK标识私钥解密得到CPK签名信息，再用认证服务器白名单中的用户的CPK标识公钥验证CPK签名信息的合法性，若签名验证失败，则返回签名认证失败信息；若签名验证通过，再将认证服务器收到的加密的用户口令信息和本地加密的用户口令信息进行对比，若相同，则认为该用户为合法用户，返回认证通过的消息，若不同，则返回认证失败信息；其中CPK签名信息包括但不限于：用用户的CPK key设备对用户的用户名(或用户口令、随机挑战码等)进行签名生成CPK签名信息等。所述认证服务器与客户端都采用预设的加密算法，此种加密算法是不可逆的。加密算法包括但不限于：MD5算法等。所述此种方法可适用于有线网络和无线网络的用户接入认证。附图说明图1为本专利技术基于CPK标识认证的802.1X网络接入方法的流程图具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下面将结合实施例中的附图，对本专利技术进一步详细说明。参照图1所示，本专利技术提出的一种基于CPK标识认证的802.1X协议的用户网络接入认证方法，至少包括以下步骤：步骤101：当用户需要接入网络时打开客户端程序，并且插入用户的CPK key设备，输入的用户的CPK pin码、已经申请、登记过的用户名和用户口令，发起登录认证请求；客户端先对用户输入的CPK pin码做本地验证，用户的CPK pin码验证通过后，客户端将向接入设备发出认证请求帧(EAPOL-Start)，开始启动一次认证过程。客户端若没有检测到用户的CPK Key设备或有CPK Key设备但输入的用户的CPK pin码错误，其显示相本文档来自技高网...

【技术保护点】
一种基于CPK标识认证的802.1X网络接入方法，其特征在于包括以下步骤：1)当用户需要接入网络时打开客户端，并且插入用户的CPK key设备，输入用户的CPK pin码、已经申请、登记过的用户名和用户口令，发起登录认证请求；客户端将向接入设备发出认证请求帧，开始启动一次认证过程；2)接入设备收到认证请求帧后，发出一个请求帧要求客户端发送输入的用户名；3)客户端响应接入设备的请求，将用户名信息发送给接入设备。接入设备将客户端送上来的响应帧经过封包处理后送给认证服务器进行处理；4)认证服务器收到接入设备转发的用户名信息后，将该信息与数据库中的用户名列表对比，找到该用户名对应的用户口令信息，用随机生成的一个随机挑战码对用户口令进行加密处理，同时将该随机挑战码发送给接入设备，由接入设备传给客户端；5)客户端收到由接入设备传来的随机挑战码后，用该随机挑战码对用户输入的用户口令进行加密处理，并且使用用户的CPK key设备对用户的用户名进行签名生成CPK签名信息，并用服务器的CPK标识公钥对此CPK签名信息进行加密，将加密后的用户口令信息和加密后的CPK签名信息通过接入设备传给认证服务器；6)认证服务器解析得到加密后的用户口令信息和加密后的CPK签名信息，先用服务器的CPK标识私钥解密得到CPK签名信息，再验证CPK签名信息是否合法。若签名验证通过，认证服务器将收到的加密的用户口令信息和本地加密的用户口令信息进行对比，若相同，则认为该用户为合法用户，返回认证通过的消息。...

【技术特征摘要】
1.一种基于CPK标识认证的802.1X网络接入方法，其特征在于包括以下步骤：
1)当用户需要接入网络时打开客户端，并且插入用户的CPK key设备，输入用户的CPK pin
码、已经申请、登记过的用户名和用户口令，发起登录认证请求；客户端将向接入设备发出
认证请求帧，开始启动一次认证过程；
2)接入设备收到认证请求帧后，发出一个请求帧要求客户端发送输入的用户名；
3)客户端响应接入设备的请求，将用户名信息发送给接入设备。接入设备将客户端送上来的
响应帧经过封包处理后送给认证服务器进行处理；
4)认证服务器收到接入设备转发的用户名信息后，将该信息与数据库中的用户名列表对比，
找到该用户名对应的用户口令信息，用随机生成的一个随机挑战码对用户口令进行加密处理，
同时将该随机挑战码发送给接入设备，由接入设备传给客户端；
5)客户端收到由接入设备传来的随机挑战码后，用该随机挑战码对用户输入的用户口令进行
加密处理，并且使用用户的CPK key设备对用户的用户名进行签名生成CPK签名信息，并用
服务器的CPK标识公钥对此CPK签名信息进行加密，将加密后的用户口令信息和加密后的
CPK签名信息通过接入设备传给认证服务器；
6)认证服务器解析得到加密后的用户口令信息和加密后的CPK签名信息，先用服务器的
CPK标识私钥解密得到CPK签名信息，再验证CPK签名信息是否合法。若签名验证通过，
认证服务器将收到的加密的用户口令信息和本地加密的用户口令信息进行对比，若相同，则
认为该用户为合法用户，返回认证通过的消息。
2.如权利要求1所述的一种基于CPK标识认证的802.1X网络接入方法，其特征在于：上述
中的CPK，就是组合公钥体制(Combined Public Key Cryptosystem，简称CPK)，是在椭圆曲
线密码(ECC算法)上，由组合矩阵和分割密钥序列构成，是一种先进的标识认证体制。
3.如权利要求1所述的一种基于CPK标识认证的802.1X网络接入方法，其特征在于：所述
认证服务器为支持CPK标识认证技术的、能进行CPK标识白名单管理的认证服务器，认证
服务器中保存有用于认证鉴权的多组信息，每一条所述的多组信息包括用户私有标识、基于
用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、基于服务器私有标识产
生的服务器的CPK标识公私钥对中的CPK标识私钥、用户名、用户口令及附加鉴权信息；
用户私有标识包括但不限于：身份证号码、电话号码、姓名和用户名等。
4.如权利要求1所述的一种基于CPK标识认证的802.1X网络接入方法，其特征在于：所述
用户的CPK key设备在使用前需要用户设置CPK...

【专利技术属性】
技术研发人员：陈谦，孟俊，邱银娟，刘杨，杨剑波，
申请(专利权)人：易兴旺，陈谦，胡浩，孟俊，
类型：发明
国别省市：四川;51