技術(shù)領(lǐng)域

?本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域的認(rèn)證方法，具體地說，涉及基于可信密碼模塊芯片的網(wǎng)絡(luò)接入認(rèn)證方法。

背景技術(shù)

如圖1所示的以太網(wǎng)組網(wǎng)圖，計(jì)算機(jī)以有線方式與以太網(wǎng)交換機(jī)相連，或者以無線方式與無線接入點(diǎn)AP相連，再通過以太網(wǎng)線路連接到核心網(wǎng)中，如企業(yè)局域網(wǎng)或城域網(wǎng)等，在網(wǎng)絡(luò)中通常設(shè)有遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)（Remote?Authentication?Dial-In?User?Service，簡(jiǎn)稱RADIUS）認(rèn)證服務(wù)器來驗(yàn)證計(jì)算機(jī)用戶身份的合法性。在實(shí)際的組網(wǎng)中，PC可直接連在以太網(wǎng)交換機(jī)上，也可以通過集線器、以太網(wǎng)交換設(shè)備等級(jí)聯(lián)到以太網(wǎng)交換機(jī)上，還可以通過甚高速數(shù)字用戶線路（Very?High?Speed?Digital?Subscriber?Line，簡(jiǎn)稱VDSL）和VDSL交換機(jī)相連，其中在VDSL線路中傳遞的是以太網(wǎng)格式的報(bào)文。在無線局域網(wǎng)中，可采用IEEE(?Institute?of?Electrical?and?Electronics?Engineers，電氣和電子工程師學(xué)會(huì))802.11、802.11a、802.11b、802.11g等?無線以太網(wǎng)協(xié)議來連接PC和AP。

????802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，是一種可信網(wǎng)絡(luò)接入技術(shù)的認(rèn)證協(xié)議，802.1x以其協(xié)議安全、實(shí)現(xiàn)簡(jiǎn)單的特點(diǎn)，與其他認(rèn)證協(xié)議一起，為使用不對(duì)稱數(shù)字用戶線（Asymmetric?Digital?Subscriber?Line，簡(jiǎn)稱ADSL）、VDSL、局域網(wǎng)（Local?Area?Network，簡(jiǎn)稱LAN）、無線局域網(wǎng)（Wireless?Local?Area?Network，簡(jiǎn)稱WLAN）等多種寬帶接入方式的用戶提供了豐富的認(rèn)證方式。

擴(kuò)展認(rèn)證協(xié)議（Extensible?Authentication?Protocol，簡(jiǎn)稱EAP）認(rèn)證是為點(diǎn)到點(diǎn)協(xié)議（Point-to-Point?Protocol，簡(jiǎn)稱PPP）設(shè)計(jì)的一種新的認(rèn)證構(gòu)架，可以包括很多種認(rèn)證方式，比如常用的EAP-MD5(Message?Digest?5，消息摘要5，一種加密算法）、EAP-TLS（Transport?Layer?Security，傳輸層安全）等。802.1x提供了EAPoL（EAP?over?LAN，局域網(wǎng)承載EAP協(xié)議）的封裝，以及支撐EAP認(rèn)證的構(gòu)架，而EAP隨著802.1x協(xié)議的發(fā)展，也有了大量的應(yīng)用。

802.1X認(rèn)證系統(tǒng)包括三個(gè)重要的組成部分：接入請(qǐng)求者、認(rèn)證者和認(rèn)證服務(wù)器，如圖2所示。

接入請(qǐng)求者一般為一個(gè)用戶終端系統(tǒng)，通常要安裝一個(gè)接入請(qǐng)求者軟件，用戶通過啟動(dòng)這個(gè)接入請(qǐng)求者軟件發(fā)起802.1x協(xié)議的認(rèn)證過程。為支持基于端口的接入控制，接入請(qǐng)求者需支持EAPoL協(xié)議。

認(rèn)證者通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。接入請(qǐng)求者通過認(rèn)證者接入局域網(wǎng)的網(wǎng)絡(luò)接入端口，該網(wǎng)絡(luò)接入端口可以是認(rèn)證者的物理端口，也可以是接入請(qǐng)求者的媒質(zhì)接入控制（Media?Access?Control，簡(jiǎn)稱MAC）地址。

網(wǎng)絡(luò)接入端口被劃分成兩個(gè)虛端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL認(rèn)證報(bào)文，保證接入請(qǐng)求者始終可以發(fā)出或接受認(rèn)證。受控端口則用于傳遞業(yè)務(wù)報(bào)文，在未授權(quán)狀態(tài)下被阻塞，在授權(quán)狀態(tài)下連通。為適應(yīng)不同的應(yīng)用環(huán)境，受控端口的操作受控方向可配置為雙向受控和單向受控兩種方式。如圖2中，認(rèn)證者的受控端口處于未認(rèn)證、未授權(quán)狀態(tài)，因此接入請(qǐng)求者無法訪問認(rèn)證者提供的服務(wù)。

認(rèn)證服務(wù)器通常為RADIUS服務(wù)器，用于存儲(chǔ)有關(guān)接入請(qǐng)求者的用戶身份及設(shè)備身份信息，比如接入請(qǐng)求者的設(shè)備訪問控制列表等。當(dāng)接入請(qǐng)求者通過認(rèn)證后，認(rèn)證服務(wù)器把接入請(qǐng)求者的相關(guān)信息傳遞給認(rèn)證者，由認(rèn)證者構(gòu)建動(dòng)態(tài)的訪問控制列表，接入請(qǐng)求者的后續(xù)流量接受上述參數(shù)的監(jiān)管。

認(rèn)證者的端口認(rèn)證實(shí)體（Port?Authentication?Entity，簡(jiǎn)稱PAE）通過非受控端口與接入請(qǐng)求者PAE進(jìn)行通信，二者之間運(yùn)行EAPoL協(xié)議；認(rèn)證者PAE與認(rèn)證服務(wù)器之間運(yùn)行EAP協(xié)議。如果認(rèn)證者PAE和認(rèn)證服務(wù)器集成在同一個(gè)系統(tǒng)內(nèi)，那么兩者之間的通信可以不采用EAP協(xié)議。