[发明专利]一种终端可信接入认证系统及方法

摘要

本发明公开了一种终端可信接入认证系统及方法，通过CA将用户的公钥和标识信息捆绑并存放在电子证书内，实现了用户的身份认证；结合数据加密和数字签名技术保证了用户信息的保密性、完整性和不可抵赖性；本发明对设备的整体性能要求不高，可以有效降低建网成本；支持组播业务；兼容PPP，扩展性和适应性良好；设计了可控端口和不可控端口，实现了业务和认证的分离；认证通过后，不再需要对数据包进行封装处理，效率高；可映射不同的用户等级到不同的VLAN，实现拥有不同权限的用户域的管理；具有实现方式简单、认证效率高、安全可靠、易于运营的优势。

主权项

一种终端可信接入认证方法，该方法基于一种终端可信接入认证系统，所述系统包括用于实现终端用户的可信身份认证的用户身份认证模块以及用于实现终端节点的可信接入认证的终端接入认证模块；所述的用户身份认证模块包括CA用户证书以及CA认证服务器；CA认证中心为每位用户配发一个USB‑Key硬件设备，CA用户证书、私钥以及用户的基本信息保存在USB‑Key硬件设备中；USB‑Key硬件设备能够设置用户口令，且具有USB接口；所述的终端接入认证模块包括终端组件、接入认证交换机和RADIUS认证服务器；RADIUS认证服务器根据用户提交的认证账号和密码进行接入认证；其特征在于，所述方法包括以下步骤：1）可信身份认证1‑1）首先终端组件通过GetTimes()函数获取本地时间，然后将时间拼装成字符串格式；1‑2）通过GenSimpleKey(10)函数获取时间字符串的10位随机数；1‑3）调用本地的USB‑Key硬件设备中的私钥对该随机数进行PKCS#7签名，签名函数CertificateSign_certThumbprint(strTexts, rtest)由相应CA认证中心提供；1‑4）签名完成后，调用CA认证服务器进行验证，服务器利用私钥解密出证书信息和本地时间，然后查看证书信息是否存在于白名单中，同时将本地时间与当前时间作比较，确保验证过程在允许的时间间隔内完成；2）可信接入认证2‑1）用户插入USB‑Key硬件设备，终端组件广播发送EAPOL‑Start包，请求认证；2‑2）接入认证交换机返回请求用户名包；2‑3）终端组件自动获取数字证书设备中的入网号作为用户名，发送封装用户名的数据包；2‑4）RADIUS服务器产生MD5‑Challenge加密字，并由接入认证交换机返回给终端组件；2‑5）客户端发送用户名和加密密码包；2‑6）接入认证交换机将用户名和密码包转发给RADIUS服务器进行验证，合法则返回成功认证包，否则返回认证失败包。