[发明专利]认证方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种认证方法及装置。

背景技术

IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X协议的体系结构一般包括三个重要的部分：客户端(SupplicantSystem)、认证系统(AuthenticatorSystem)和认证服务器(AuthenticationServerSystem)。客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起802.1X协议的认证过程。为支持基于端口的接入控制，客户端系统需支持扩展认证协议(ExtensibleAuthenticationProtocolOverLAN，简称为EAPOL)。认证系统通常为支持802.1X协议的网络设备，如交换机。认证服务器可以存储有关用户的信息，比如用户的优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。

常用的802.1X认证方式有如下两种：

方式一是远程认证，认证过程在认证系统和远端的服务器之间完成，支持远程认证拨号用户服务(RemoteAuthenticationDial-InUserService，简称为RADIUS)、终端访问控制器控制系统协议(TerminalAccessControllerAccessControlSystem，简称为TACACS)等协议，常用的RADIUS认证如图1所示，图1是相关技术中的远程认证的流程图，认证服务器为RADIUS服务器，客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。认证系统一般默认采用EAP-MD5认证加密算法。该远程认证流程包括以下步骤：

步骤S102，当用户有访问网络需求时，打开802.1X客户端程序，输入已经申请、登记过的用户名和密码，向认证系统发送一个EAPoL-Start报文，开始802.1X认证接入。

步骤S104，认证系统向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来。

步骤S106，客户端回应一个EAP-Response/Identity给认证系统，其中包括用户名。

步骤S108，认证系统将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中，发送给认证服务器。

步骤S110，认证服务器收到认证系统转发的用户名信息后，将该信息与数据库中的用户名表对比，找到该用户名对应的密码信息，用随机生成的一个Challenge(加密字)对它进行加密处理，同时也将此Challenge通过RADIUSAccess-Challenge报文发送给认证系统。

步骤S112，认证系统将Challenge通过EAP-Request/MD5-Challenge报文转发给客户端程序。

步骤S114，客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的加密密码，封装在EAP-Response/MD5-Challenge回应给认证系统。

步骤S116，认证系统将Challenge，加密密码和用户名一起通过RADIUSAccess-Request报文送到认证服务器，由认证服务器进行认证。

步骤S118，认证服务器将收到的用户的加密密码和本地计算出的加密密码进行对比，如果相同，则认为该用户为合法用户，认证成功，否则认为该用户为非法用户，认证失败。然后将认证结果封装在RADIUSAccess-Accept报文中发送给认证系统。

步骤S120，认证系统如果收到认证成功报文，则向客户端发送EAP-Success报文，并将端口改为授权状态，允许用户通过端口访问网络。否则，向客户端发送EAP-Failure报文，并禁止用户通过端口访问网络。