基于EAP的可信网络接入方法和系统技术方案

本发明专利技术公开了一种基于EAP的可信网络接入方法和系统，所述方法包括：NAC服务器对终端进行初步身份认证；初步认证通过后，NAC服务器对终端进行二次认证；二次认证通过后，NAC服务器对终端进行安全可信检测。本发明专利技术所述方法和系统，通过二次身份认证，增强了用户身份认证的准确性以及网络的安全性；基于IEEE802.1x标准协议和EAP协议，提高了网络设备兼容性。

Trusted network access method and system based on EAP

The invention discloses a trusted network access method and system based on EAP, the method comprises the following steps: preliminary authentication of NAC server terminal; preliminary after authentication, the NAC server two terminal authentication; two after authentication, the NAC server to the terminal in a safe and reliable detection. The method and system of the invention, two times through the authentication, to enhance the security of the accuracy of user authentication and network; IEEE802.1x protocol and EAP protocol based on improved network equipment compatibility.

【技术实现步骤摘要】
基于EAP的可信网络接入方法和系统
本专利技术涉及通信网络
，尤其涉及一种基于EAP的可信网络接入方法和系统。
技术介绍
随着互联网应用的迅速普及，人们与网络的关系变得越来越紧密。然而，由于互联网具有开放性、互联性等特征，致使网络存在很多不安全因素，恶意软件的肆意攻击，黑客不轨的破坏行为都严重地威胁了人们的利益安全。因此，现在非常需要一套既能够保护计算机不受恶意攻击，又能够为访问网络提供安全保障的解决方案。由可信计算组织(TCG)提出的TNC(TrustedNetworkConnect，可信任网络连接)就是在这样的背景下产生的。TNC能够解决在网络环境下的终端安全问题，并且通过对终端进行完整性度量，来评估终端对于要访问网络的适用性，以便确保只有合法并且自身安全的终端才能够接入到网络。TNC利用结合终端完整性检验的访问控制技术，来实现终端主机的安全连接。TNC中，在终端接入网络之前，对用户的身份进行认证；如果认证通过，对终端平台的身份进行认证；如果认证通过，对终端的平台可信状态进行度量；如果度量结果满足网络接入的安全策略，则允许终端接入网络，否则将终端连接到指定的隔离区域，对其进行安全性修补和升级。但是，一旦攻击者盗取用户身份便可以获取网络内的数据。随着网络安全要求越来越高，现有的身份认证方式已经难以满足要求，其认证安全性有待提高。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种基于EAP的可信网络接入方法和系统，用于克服上述问题或者至少部分地解决或者减缓上述问题的缺点。根据本专利技术的一个方面，提供了一种基于EAP的可信网络接入，包括：NAC服务器对终端进行初步身份认证；初步认证通过后，NAC服务器对终端进行二次认证；二次认证通过后，NAC服务器对终端进行安全可信检测。可选的，所述NAC服务器对终端进行初步身份认证包括：接收用户名响应报文；根据用户名从用户数据库中查询所述用户名是否是合法的用户名；若是，向终端发送提问报文，接收终端的响应报文；根据所述响应报文对终端进行身份认证。可选的，所述NAC服务器对终端进行二次认证包括：根据终端发送的用户名，查询辅助认证信息；根据辅助认证信息向用户发送第一验证码；向终端发送验证码请求报文，请求提供验证码；接收终端发送的验证码响应报文，所述验证码响应报文中携带用户输入的第二验证码；比较已发送的第一验证码和接收的第二验证码。可选的所述验证码请求报文和验证码响应报文均为EAP报文。可选的，终端二次认证成功后与NAC服务器维持心跳，每隔一段时间发送一次心跳，NAC服务器根据心跳判断终端用户的在线状态。可选的，终端与NAC服务器之间通过NAS进行报文转发；终端与NAS之间直接通过EAP报文交互；NAS与NAC服务器之间通过将EAP报文封装在RADIUS报文进行交互。根据本专利技术的另一个方面，提供了一种基于EAP的可信网络接入系统，包括第一身份验证模块，对终端进行初步身份认证；第二身份验证模块，在初步认证通过后，对终端进行二次认证；安全可信状态验证模块，在二次认证通过后，对终端进行安全可信检测。可选的，所述第一身份验证模块包括：用户名响应报文子接收模块，从终端接收携带用户名的用户名响应报文；查询子模块，根据用户名从用户数据库中查询所述用户名是否是合法的用户名；提问报文子发送模块，向终端发送提问报文；响应报文接收子模块，接收终端的响应报文；身份认证子模块，根据所述响应报文对终端进行身份认证。可选的，所述第二身份验证模块包括：根据终端发送的用户名，查询辅助认证信息；根据辅助认证信息向用户发送第一验证码；向终端发送验证码请求报文，请求提供验证码；接收终端发送的验证码响应报文，所述验证码响应报文中携带用户输入的第二验证码；比较已发送的第一验证码和接收的第二验证码。可选的，所述验证码请求报文和验证码响应报文均为EAP报文。可选的，所述系统还包括在线状态维持模块，用于接收终端认证成功后每隔一段时间发送的一次心跳，根据心跳判断终端的在线状态。。本专利技术的有益效果为：通过二次身份认证，增强了用户身份认证的准确性以及网络的安全性；基于IEEE802.1x标准协议和EAP协议，提高了网络设备兼容性。。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示意性示出了根据本专利技术一个实施例的基于EAP的可信网络接入方法的流程图；图2示意性示出了根据本专利技术一个实施例的NAC服务器对终端进行初步身份认证信令交互示意图；图3示意性示出了根据本专利技术一个实施例的NAC服务器对终端进行二次认证信令交互示意图；图4示意性示出了根据本专利技术一个实施例的基于EAP的可信网络接入系统的示意图。具体实施例下面结合附图和具体的实施方式对本专利技术作可选的描述。TNC的网络访问层基于现有的网络访问技术，主要包括802.1x、VPN和P2P。802.1x为局域网提供基于端口的访问控制，能够通过受控端口与非受控端口对网络连接进行控制，这也是目前应用最广泛的网络接入方法。因此，本实施例基于IEEE802.1x标准协议实现。图1示意性示出了根据本专利技术一个实施例的基于EAP的可信网络接入方法的流程图，如图1所示，具体包括以下步骤：步骤101，NAC服务器对终端进行初步身份认证，如图2所示；具体地，包括以下子步骤：步骤1011：NAS服务器(networkaccessserver，网络接入服务器)接收网络接入请求者从终端发起的网络认证请求报文(EAPOL-Start)，向终端发送用户名请求报文(EAP-Request/Identity)；NAC服务器接收用户名响应报文(EAP-Response/Identity)；，其中，EAPOL(EAPOVERLAN)为基于局域网的扩展身份认证协议，是基于802.1X网络访问认证技术发展而来的；EAP(ExtensibleAuthenticationProtocol，可扩展身份验证协议)；步骤1012：NAC服务器根据用户名从用户数据库中查询所述用户名是否是合法的用户名，若不是，则不做进一步处理；步骤1013，若是，内部产生一个随机数，将随机数加入提问报文(EAP-Request/Challenge)发送给终端，接收终端的响应报文(EAP-Response/Challenge)；其中，所述响应报文为终端将使用所述随机数对用户密码进行加密得到的字节串；提问和响应报文通过公私秘钥对的形式进行签名，以保证传输安全性。步骤1014：NAC服务器根据所述响应报文对终端进行身份认证；NAC服务器将应答串与自己的计算结果比较，若二者相同，则通过初步认证；否则，认证失败。初步认证过程中，终端与NAC服务器之间的报文交互是通过NAS进行转发实现的。步骤102，在确认终端通过初步认证后，NAC服务器对终端进行二次认证，如图3所示；具体地，包括以下子步本文档来自技高网...

【技术保护点】
一种基于EAP的可信网络接入方法，其特征在于，包括：NAC服务器对终端进行初步身份认证；初步认证通过后，NAC服务器对终端进行二次认证；二次认证通过后，NAC服务器对终端进行安全可信检测。

【技术特征摘要】
1.一种基于EAP的可信网络接入方法，其特征在于，包括：NAC服务器对终端进行初步身份认证；初步认证通过后，NAC服务器对终端进行二次认证；二次认证通过后，NAC服务器对终端进行安全可信检测。2.如权利要求1所述的基于EAP的可信网络接入方法，其特征在于，所述NAC服务器对终端进行初步身份认证包括：接收用户名响应报文；根据用户名从用户数据库中查询所述用户名是否是合法的用户名；若是，向终端发送提问报文，接收终端的响应报文；根据所述响应报文对终端进行身份认证。3.如权利要求1所述的基于EAP的可信网络接入方法，其特征在于，所述NAC服务器对终端进行二次认证包括：根据终端发送的用户名，查询辅助认证信息；根据辅助认证信息向用户发送第一验证码；向终端发送验证码请求报文，请求提供验证码；接收终端发送的验证码响应报文，所述验证码响应报文中携带用户输入的第二验证码；比较已发送的第一验证码和接收的第二验证码。4.如权利要求3所述的基于EAP的可信网络接入方法，其特征在于，所述验证码请求报文和验证码响应报文均为EAP报文。5.如权利要求1所述的基于EAP的可信网络接入方法，其特征在于，进一步包括：终端二次认证成功后与NAC服务器维持心跳，每隔一段时间发送一次心跳，NAC服务器根据心跳判断终端用户的在线状态。6.如权利要求1所述的基于EAP的可信网络接入方法，其特征在于，进一步包括：终端与NAC服务器之间通过NAS进行报文转发；终端与NAS之间直接通过EAP报文交互；NAS与NAC...

【专利技术属性】
技术研发人员：朱禄，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11