1.一種基于802.1X協議的Windows局域網身份認證方法,其特征在于:提供客戶端、設備端及認證服務器,
所述基于802.1X協議的Windows局域網身份認證方法包括以下步驟:
S1:用戶啟動所述客戶端發起802.1X認證,所述設備端通過底層數據包收發對與所述設備端連接的客戶端進行認證,通過所述認證服務器對所述設備端的用戶進行認證、授權和計費;
S2:所述網卡判斷模塊通過所述信息列舉函數列舉客戶端上的所有網卡,獲取所有網卡基本信息并將其保存,所述網卡判斷模塊對所述網卡的數據進判斷并將判斷后的網卡數據發送給所述網卡自動選擇模塊,所述網卡自動選擇模塊根據所述網卡數據對所述物理網卡進行自動選擇;
S3:所述客戶端監控所述客戶端與所述設備端連接的系統狀態,當達到恢復狀態時,所述客戶端啟動與所述設備端重新連接的機制,與所述設備端重新連接;
所述步驟S1的實現步驟包括:
S101:當用戶有訪問網絡需求時,打開所述客戶端,輸入已經申請、登記過的用戶名和密碼,發起連接請求EAPOL-Start報文,所述客戶端將發出請求認證的報文發送給所述設備端;
S102:所述設備端接收請求認證的數據幀,發出一個EAP-Request/Identity請求幀請求所述客戶端發送輸入的用戶名;
S103:所述客戶端響應設備端發出的請求,將用戶名信息通過EAP-Response/Identity數據幀發送給所述設備端,所述設備端將所述客戶端發送的數據幀封包處理成RADIUS Access-Request報文,將所述RADIUS Access-Request報文發送給認證服務器進行處理,所述認證服務器接收所述設備端轉發的用戶名信息,將該信息與數據庫中的用戶名表對比,找到該用戶名對應的密碼信息,隨機生成的一個加密字對用戶名信息進行加密處理,所述認證服務器將所述加密字通過RADIUS Access-Challenge報文發送給所述設備端,所述設備端將所述加密字信息轉發給所述客戶端;
S104:所述客戶端接收到所述設備端發送的加密字,用該加密字對密碼部分進行加密處理,生成EAP-Response/MD5Challenge報文,并通過所述設備端發送給所述認證服務器;
S105:所述認證服務器將收到的已加密的RADIUS Access-Request密碼信息和本地經過加密運算后的密碼信息進行對比,如果相同,則認為該用戶為合法用戶,發送認證通過的EAP-Success消息給所述設備端;
S106:所述設備端接收認證通過消息后將為所述客戶端提供接入局域網的端口改為授權狀態,允許用戶通過端口訪問網絡,所述設備端通過向客戶端定期發送握手報文,對用戶的在線情況進行監測,在缺省情況下,如果兩次握手請求報文都得不到客戶端應答,所述設備端讓用戶下線;
S107:所述客戶端發送EAPOL-Logoff報文給設備端,主動要求下線,所述設備端把端口狀態從授權狀態改變成未授權狀態,并向客戶端發送EAP-Failure報文。
2.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述客戶端支持可擴展認證協議EAPOL,所述設備端為客戶端提供接入局域網的端口,該端口是物理端口或者邏輯端口。
3.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述信息列舉函數為GetAdaptersAddresses函數。
4.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述網卡基本信息為網卡GUID、網卡設備名稱、網卡詳細名稱、網卡MAC地址及網卡設備類型。
5.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述認證分類包括發送用戶名、發送密碼及響應心跳。
6.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述步驟S3的步驟“所述網卡判斷模塊對所述網卡的數據進判斷并將判斷后的網卡數據發送給所述網卡自動選擇模塊”的實現步驟包括:所述網卡判斷模塊通過查詢對應系統注冊表路徑下對應網卡名稱的一個鍵,判斷所述鍵下面的子健“Connection”的開頭類型,如果所述子健的鍵值是以“PCI”開頭,則判斷所述物理網卡是否為一張,如果為一張,則所述網卡自動選擇模塊對所述物理網卡進行選擇,如果所述子健的鍵值不是以“PCI”開頭,則結束流程。
7.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述網絡重連模塊包括網絡變化判斷單元、數據獲取接收單元、狀態判斷單元及重新認證與連接恢復單元,所述步驟S4的實現步驟包括:
S401:所述網絡變化判斷單元根據NotifyAddrChange函數判斷客戶端與設備端連接的網絡是否發生變化,如果所述網絡發生變化,則執行步驟S402,否則,結束流程;
S402:所述網絡變化判斷單元將所述網絡變化的消息發送給所述數據獲取接收單元;
S403:所述數據獲取接收單元獲取所述客戶端與所述設備端連接狀態信息,所述數據獲取接收單元利用INetConnectionManager函數獲取所述客戶端網卡管理員的狀態信息,所述數據獲取接收單元將獲取的信息發送給所述狀態判斷單元;
S404:所述狀態判斷單元判斷所述設備端連接狀態信息及所述設備端管理員的狀態信息是否一致,如果一致,則返回步驟S401,如果不一致則所述狀態判斷單元將判斷結果的信息發送給所述重新認證與連接恢復單元并執行步驟S405;
S405:所述重新認證與連接恢復單元將所述客戶端與所述設備的網絡重新認證及連接。
8.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述認證服務器為Raduis認證服務器,所述Raduis認證服務器的認證方式為EAPOL-Md5。
9.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:還提供DHCP服務器,當所述客戶端與所述設備端的網絡連接認證成功之后,所述客戶端自動向所述DHCP服務器請求可用的IP地址。
10.根據權利要求1基于802.1X協議的Windows局域網身份認證方法,其特征在于:所述客戶端包括數據接收模塊、認證模塊、數據類型判斷模塊、數據請求類型判斷模塊、響應數據處理模塊、請求數據處理模塊、網絡重連模塊及登錄判斷模塊,所述設備端包括網卡判斷模塊及網卡自動選擇模塊;
所述步驟S1的步驟“底層數據包收發”的實現步驟包括:
S1a:所述認證模塊發送第一次認證開始幀,判斷認證開始幀發送是否超時,如果是,則執行步驟S1c,如果否,則執行步驟S1b;
S1b:所述數據接收模塊等待接收數據包,并將所接收的數據包發送給所述數據類型判斷模塊;
S1c:所述認證模塊發送第二次認證開始幀,判斷認證開始幀發送是否超時,如果是,則結束流程,如果否,則返回所述步驟S1b;
S1d:所述數據類型判斷模塊判斷所接收的數據包的類型,如果是響應數據包,則將所述響應數據包發送給所述響應數據處理模塊,如果是請求數據包,則將所述請求數據包發送給所述請求數據處理模塊;
S1e:所述請求數據處理模塊將請求數據包發送給所述數據請求類型判斷模塊,所述響應數據處理模塊將響應數據包發送所述登錄判斷模塊,所述數據請求類型判斷模塊將所述請求數據包的數據判斷后進行認證分類并將認證分類的信息發送給所述登錄判斷模塊;
S1f:所述登錄判斷模塊對所設備端的登錄狀態進行判斷,如果登錄不成功,則結束流程,如果登錄成功,則所述客戶端與所述設備連接成功;
其中,所述設備端為支持802.1X協議的網絡設備,所述認證服務器是為設備端提供認證服務的實體;
其中,所述底層數據包收發的編程接口為WinPcap網絡驅動程序。