[发明专利]认证系统中的认证方法及设备端

说明书

技术领域

本申请涉及网络通信技术领域，特别涉及一种认证系统中的认证方法及设备端。

背景技术

为解决无线局域网的网络安全问题，IEEE（Institute of Electrical and Electronics Engineers，电气电子工程师学会）802LAN（Local Area Network，局域网）/WAN（Wide Area Network，广域网）委员会提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源—相当于物理连接被断开。使用802.1x的系统为典型的Client（客户端）/Server（服务器）体系结构，包括三个实体，如图1所示，这三个实体分别为：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服务器）。

802.1x系统支持EAP（Extensible Authentication Protocol，可扩展认证协议）中继方式和EAP终结方式与RADIUS（Remote Authentication Dial In User Service，远程用户拨入认证服务）对接，从而利用远端的RADIUS服务器完成认证。在客户端与设备端之间，EAP协议报文使用EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）封装格式。

如图1所示，以EAP终结方式为例，现有技术的802.1x认证流程主要包括以下步骤：

步骤1：当用户需要访问外部网络时打开802.1x客户端（程序），输入已经申请、登记过的用户名和密码，发起连接请求。此时，客户端将向设备端发出认证请求帧EAPOL-Start，开始启动一次认证过程；

步骤2，设备端接收到EAPOL-Start后，将发出一个Identity（身份）类型的请求帧EAP-Request/Identity，要求客户端发送用户输入的用户名；

步骤3，客户端响应设备端发出的EAP-Request/Identity，将用户输入的用户名通过Identity类型的响应帧EAP-Response/Identity发送给设备端；

步骤4，设备端随机生成一个MD5Challenge（加密字），将此MD5Challenge封装在MD5Challenge类型的请求帧EAP-Request/MD5Challenge中发送出去，要求客户端使用此MD5Challenge对用户输入的密码进行加密处理；

步骤5，客户端收到由设备端传来的MD5Challenge后，用该MD5Challenge对用户输入的密码进行加密处理，将MD5Challenge和加密后的密码携带在MD5Challenge类型的响应帧EAP-Response/MD5Challenge中，发送给设备端；

步骤6，设备端将客户端发来的用户名、MD5Challenge和客户端加密后的密码封装在RADIUS报文RADIUS Access-Request中发送给RADIUS服务器进行处理；

步骤7，RADIUS服务器提取RADIUS Access-Request中的用户名、MD5Challenge和客户端加密后的密码，将该用户名与数据库中的用户名列表中的用户名进行对比，找到该用户名对应的密码，用RADIUS Access-Request中的MD5Challenge对找到的密码进行加密，再与RADIUS Access-Request中的客户端加密后的密码进行对比，如果两者相同，则认为该用户是合法用户，向设备端发送认证通过报文RADIUSAccess-Accept；

步骤8，设备端接收到RADIUS Access-Accept后，向RADIUS服务器发起计费开始请求报文RADIUS Accounting-Request；

步骤9，RADIUS服务器核对用户名信息后，开始计费，并发出计费开始响应报文RADIUS Accounting-Response给设备端；