技術領域

本發明涉及通信技術，尤其涉及一種認證方法、裝置和系統。

背景技術

美國電氣電子工程師學會(Institute?of?Electrical?and?Electronic?Engineers；以下簡稱：IEEE)802.1x是IEEE802委員會制定的一個局域網(Local?Area?Network；以下簡稱：LAN)標準。對于一個部署了802.1x認證方式的LAN，當用戶接入到LAN中時，需要通過802.1x認證方式，未經過認證的用戶將無法接入到LAN中。802.1x認證方式基本采用基于端口的網絡存取控制，為局域網用戶提供點對點式的安全接入。當用戶通過認證客戶端(Supplicant；以下簡稱：Su)輸入用戶名、密碼進行認證時，Su將提交相關的認證信息給接入交換機進行認證，接入交換機將相關認證信息轉發給認證服務器進行確認；如果確認通過，接入交換機將在這個端口下添加一條允許訪問網絡的介質訪問控制(Media?Access?Control；以下簡稱：MAC)信息，即將1x端口打開，用戶便可以使用網絡。當用戶通過802.1x認證客戶端退出認證時，Su向接入交換機提交相關的退出認證信息進行下線，接入交換機將相關信息轉發給認證服務器進行確認；確認通過之后，接入交換機刪除該端口下的允許訪問網絡的MAC信息，即關閉1x端口，用戶將無法繼續使用網絡。

在實際的1x認證環境下，還存在許多免認證終端，其無法安裝1x客戶端來接入網絡，如網絡電話、打印機等，但又需要限制哪些免認證終端能接入網絡。針對上述應用場景，又提出了MAC認證方案。MAC認證方式與802.1x認證方式類似，也是基于端口的網絡存取控制。當免認證終端接入到某個開啟MAC認證功能的交換機端口下，只要該免認證終端有任何訪問網絡的行為，則接入交換機都會將該免認證終端的MAC地址轉發給認證服務器進行確認；如果確認通過，則接入交換機將在該端口下添加一條允許訪問網絡的MAC信息，免認證終端便可以訪問網絡。類似地，免認證終端下線的方式與此類似，此處不再贅述。

在現有技術中的802.1x網絡環境下，如果網絡中的某個交換機端口開啟了MAC認證功能，并在認證服務器上配置一個MAC地址為免認證終端的MAC地址，則任何使用Su認證的用戶只要知道該MAC地址的存在，在其通過Su認證時，在用戶名和密碼中都輸入該MAC地址后仿冒免認證終端進行認證，便能通過認證而接入網絡，導致網絡的安全性降低。

發明內容

本發明提供一種認證方法、裝置和系統，用以防止用戶仿冒免認證終端繞開認證而接入網絡，提高網絡的安全性。

本發明提供一種認證方法，包括：

在終端發起認證時，從所述終端獲取認證方式屬性，所述認證方式屬性用于標識所述終端的認證方式；

向安全管理服務器發送認證報文，所述認證報文中攜帶所述終端的認證信息和認證方式屬性，以使所述安全管理服務器根據所述認證信息和所述認證方式屬性對所述終端進行認證。

本發明提供一種認證方法，包括：

接收接入交換機發送的認證報文，所述認證報文中攜帶終端的認證信息和認證方式屬性，所述認證方式屬性是所述接入交換機在所述終端發起認證時從所述終端獲取的，所述認證方式屬性用于標識所述終端的認證方式；

根據所述認證信息和所述認證方式屬性對所述終端進行認證。

本發明提供一種接入交換機，包括：

獲取模塊，用于在終端發起認證時，從所述終端獲取認證方式屬性，所述認證方式屬性用于標識所述終端的認證方式；

發送模塊，用于向安全管理服務器發送認證報文，所述認證報文中攜帶所述終端的認證信息和認證方式屬性，以使所述安全管理服務器根據所述認證信息和所述認證方式屬性對所述終端進行認證。

本發明提供一種安全管理服務器，包括：

接收模塊，用于接收接入交換機發送的認證報文，所述認證報文中攜帶終端的認證信息和認證方式屬性，所述認證方式屬性是所述接入交換機在所述終端發起認證時從所述終端獲取的，所述認證方式屬性用于標識所述終端的認證方式；

認證模塊，用于根據所述認證信息和所述認證方式屬性對所述終端進行認證。

本發明提供一種認證系統，包括上述的接入交換機、上述的安全管理服務器以及終端。