[发明专利]基于扩展802.1x认证系统的安全接入方法

权利要求书

1.基于扩展802.1x认证系统的安全接入方法，所述扩展802.1x认证系统包 括认证请求者、认证点、认证服务器和策略服务器，所述认证点为二层接入设备， 其特征在于，所述认证请求者和认证点之间运行扩展的EAPOL协议，所述认证 点与认证服务器之间运行鉴权用高层协议，所述认证方法包括如下步骤：

a、认证请求者向认证点发起标准EAPOL认证请求，启动认证；

b、认证点向认证请求者发送身份认证请求报文；

c、认证请求者向认证点发送扩展的身份认证应答报文，该扩展的身份认证 应答报文带有安全接入标记；

d、认证点收到认证请求者的身份认证应答报文，记录该认证请求者身份信 息带有安全接入标记后，到对应的认证服务器进行认证；

当认证点收到未带有安全接入标记认证请求者的身份认证应答报文时， 则直接到对应的认证服务器进行认证，并根据认证结果开起或关闭访问 网络的数据通道，结束本次接入认证；

e、认证点收到认证服务器认证成功消息后，查询到该认证请求者身份信息 带有安全接入标记后，通知认证请求者策略服务器的IP地址和端口信息， 打开通向策略服务器的数据通道；

f、认证请求者通过认证点接收到策略服务器的信息后，会通过加密通道连 接策略服务器，请求安全规则；

g、策略服务器通过认证点将安全规则下发到认证请求者，认证请求者运行 安全规则并计算安全结果，通知认证点；

h、认证点根据安全结果，决定是否打开通向访问网络的数据通道或将认证 请求者重定向到隔离区。

2.如权利要求1所述基于扩展802.1x认证系统的安全接入方法，其特征在 于，步骤c中，所述扩展的身份认证应答报文带有的安全接入标记是在标准身份 认证应答报文的最后添加的。

3.如权利要求2所述基于扩展802.1x认证系统的安全接入方法，其特征在 于，所述步骤d中，认证点到对应的认证服务器进行认证的具体步骤包括，

d1、认证点提交认证请求者的身份信息给认证服务器；

d2、认证服务器产生并向认证点返回一个身份验证质询请求报文；

d3、认证点将身份验证质询请求报文发送给认证请求者；

d4、认证请求者向认证点答复身份验证质询应答报文；

d5、认证点将认证请求者的答复结果通过访问请求报文发送到认证服务器；

d6、认证服务器根据存储的认证请求信息判断该认证请求者是否合法，然后 回应成功/失败报文到认证点。

4.如权利要求1-3任一项所述基于扩展802.1x认证系统的安全接入方法， 其特征在于，步骤e中，所述的打开通向策略服务器的数据通道是在固定时间内 打开的，且该固定时间是可以配置的。

5.如权利要求4所述基于扩展802.1x认证系统的安全接入方法，其特征在 于，步骤f中，所述的加密通道是指SSL隧道。

6.如权利要求4所述基于扩展802.1x认证系统的安全接入方法，其特征在 于，步骤h中，认证点根据安全计算结果打开通向访问网络的数据通道的条件是， 认证请求者安全级别计算结果不低于预定义的级别要求。

7.如权利要求4所述基于扩展802.1x认证系统的安全接入方法，其特征在 于，所述认证点与认证服务器之间运行鉴权用高层协议为RADIUS协议。