技術領域

本發明涉及一種認證對接方法、RADIUS服務器、客戶端和認證對接系 統，屬于數據通信技術領域。

背景技術

先介紹幾個與本發明相關的基本概念：

802.1x協議是基于Client/Server(客戶端/服務器端模式)的訪問 控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問局 域網(Local?Area?Network，簡稱LAN)/無線局域網(Wireless?Local?Area Network，簡稱WLAN)。在獲得交換機或LAN提供的各種業務之前，802.1x 對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x 只允許基于局域網的擴展認證協議(Extensible?Authentication Protocol?over?LAN，簡稱EAPOL)數據通過設備連接的交換機端口，認證 通過以后，正常的數據可以順利地通過以太網端口。

802.1x定義了基于端口的網絡接入控制協議，需要注意的是該協議僅 適用于接入設備與接入端口間點到點的連接方式，其中端口可以是物理端 口，也可以是邏輯端口。典型的應用方式有：交換機的一個物理端口僅連 接一個終端站點(end?station)。

802.1x的體系結構中包括三個部分：

1.Supplicant?System：用戶接入設備；

2.Authenticator?System：接入控制設備；

3.Authentication?Sever?System：認證服務器。

在接入控制設備(如交換機)中實現802.1x的認證系統部分；802.1x 的客戶端一般安裝在用戶PC中，典型為Windows?XP操作系統自帶的客戶 端；802.1x的認證服務器系統一般駐留在運營商的認證授權計費 (Authentication?Authorization?Accounting，簡稱AAA)中心，采用遠 程用戶撥號認證系統(Remote?Authentication?Dial?In?User?Service， 簡稱RADIUS)服務器。用戶接入設備與接入控制設備間運行802.1x定義 的EAPOL協議；接入控制設備與認證服務器間同樣運行擴展認證協議EAP (Extensible?Authentication?Protocol，簡稱EAP)，EAP幀中封裝了 認證數據，將該協議承載在其他高層次協議中，如RADIUS，以便穿越復雜 的網絡到達認證服務器。接入控制設備中的每個物理端口內部有受控端口 (Controlled?Port)和非受控端口(Uncontrolled?Port)。非受控端口 始終處于雙向連通狀態，主要用來傳遞EAPOL協議幀，可保證隨時接收用 戶接入設備發出的認證EAPOL報文。受控端口只有在認證通過的狀態下才 打開，用于傳遞網絡資源和服務。受控端口可配置為雙向受控和僅輸入受 控兩種方式，以適應不同的應用環境。輸入受控方式應用在需要桌面管理 的場合，例如管理員遠程喚醒一臺計算機。

RADIUS是一種在網絡接入服務器(Network?Access?Server，簡稱NAS) 和共享認證服務器間傳輸認證、授權和配置信息的協議。RADIUS使用UDP 作為其傳輸協議。此外RADIUS也負責傳送網絡接入服務器和共享計費服 務器間的計費信息。

RADIUS主要特征如下：

Client/Server：網絡接入服務器作為RADIUS的客戶端，負責將用戶 信息傳遞給指定的RADIUS服務器，然后根據返回信息進行操作。RADIUS 服務器負責接收用戶連接請求，認證用戶后，返回所有必要的配置信息以 便客戶端為用戶提供服務。RADIUS服務器可以作為其他RADIUS服務器或 認證服務器的代理。

網絡安全：客戶端與RADIUS服務器之間的通信是通過共享密鑰的使 用來鑒別的，這個共享密鑰不會通過網絡傳送。此外，任何用戶口令在客 戶機和RADIUS服務器間發送時都需要進行加密過程，以避免有人通過嗅 探非安全網絡得到用戶密碼。