[发明专利]一种网络接入认证控制系统

权利要求书

1.一种网络接入认证控制系统，其特征在于，包括：接入认证控制器、安装在终端上的认证客户端、网络接入模块和接入策略库模块，其中，所述接入认证控制器分别与所述终端和网络基础设施通信连接；

所述接入认证控制器包括：网桥模块、认证模块和接入控制模块，其中，

所述网桥模块用于在终端和网络基础设施之间进行数据转发，所述网桥模块配置的IP地址与所述终端位于同一网段；

所述认证模块在所述网桥模块的指定TCP端口上进行监听，提供认证服务；

所述接入控制模块用于对放行的协议报文进行控制；

所述接入策略库模块用于定义允许网络接入的合法规则；

所述网络接入模块用于在终端启动后，开始监听所述终端发送出的连接请求事件，对所述连接请求事件进行判断，如果符合所述接入策略库模块的合法规则，则向所述认证客户端通知该事件；所述网络接入模块还用于在发现存在已建立的网络访问通道在预设时间内没有报文通过时，则将该事件上报给所述认证客户端模块，所述网络接入模块响应所述认证客户端模块的指令，创建或关闭网络访问通道；

所述认证客户端用于在收到网络接入模块的通知后，启动接入认证流程，与所述认证模块进行认证协议的交互，

所述认证客户端和认证模块之间交互认证协议，包括：

所述认证客户端向所述认证模块发送消息s1；

所述认证模块收到消息s1后，检查终端证书的有效性；如果有效，则生成随机数r1_acc并构造s2消息发送给所述认证客户端；

所述认证客户端收到s2消息后，检查所述认证模块的数字证书的有效性；如果有效，则使用其私钥对s2消息中的密文c1进行解密，得到r2_acc；终端生成随机数r1_client后，构造s3消息发送给所述接入认证控制器；

所述认证模块收到s3消息后，使用其私钥对s3消息中的密文c1进行解密，得到r3_acc，如果r3_acc和r1_acc相同，则终端的身份得到认证；使用其私钥对s3消息中的密文c2进行解密，得到r2_client；

所述认证模块构造s4消息发送给认证客户端，认证客户端收到s4消息后，使用其私钥对s4消息中的密文c1进行解密，得到r3_client，如果r3_client和r1_client相同，则所述认证模块的身份得到认证，所述认证客户端向所述认证模块发送认证成功消息s5；

所述认证模块收到s5消息后，通知接入控制模块创建相应的网络访问通道；

当所述网络接入模块在预设时间内没有检测到所述网络访问通道有流量通过时，则关闭该网络访问通道；所述终端向所述接入认证控制器发送k1消息，其中，所述k1消息内容包括使用接入认证控制器证书中的公钥对r1_client和r2_acc按位异或后的结果进行加密后的密文和表示要关闭的网络通道的dip、dport、proto、sip、sport、mac；

所述接入认证控制器收到k1消息后，使用其私钥解密c1，得到r4，如果r4和r2_client和r1_acc按位异或的结果相同，则终端身份得到认证；所述接入认证控制器向终端发送成功消息k2；

所述认证模块收到k1消息并确认终端身份后，通知所述接入控制模块关闭dip、dport、proto、sip、sport、mac指定的网络访问通道；所述网络接入模块收到k2消息后，关闭dip、dport、proto、sip、sport、mac指定的网络访问通道；

由接入认证控制器对终端进行认证，同时所述终端也对所述接入认证控制器进行认证，当上述两个认证同时通过后，由网络接入模块和所述接入控制模块分别建立相应的网络访问通道，允许所述终端通过该接入认证控制器接入网络。

2.如权利要求1所述的网络接入认证控制系统，其特征在于，所述网桥模块通过LAN网口与所述终端连接，通过WAN网口与所述网络基础设施连接。

3.如权利要求1所述的网络接入认证控制系统，其特征在于，在所述终端启动后，通过DHCP协议获得IP地址、子网掩码和默认网关，由所述网络接入模块监听所述终端发送出的网络报文，并通过所述接入控制模块放行DHCP协议、ARP协议和认证协议报文，丢弃其他报文。