技術領域

本發明涉及網絡通信系統，具體涉及一種網絡接入認證方法、裝置及系統、認證服務器。

背景技術

802.1x協議是基于客戶端/服務器架構的訪問控制和認證協議，該協議可以限制為經授權的用戶/設備通過接入端口訪問LAN，在獲得交換機或者LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許基于局域網的擴展認證協議（EAPoLlo）數據通過設備連接的交換機端口，認證通過以后，正常的數據可以通過以太網端口進行傳輸。802.1x協議具體的實現方式通常為：在用戶設備上安裝客戶端，用戶通過客戶端輸入用戶名和密碼，服務器端對用戶名和密碼進行認證，在認證通過的情況下，為用戶提供各種業務服務。

但是，目前有些用戶通過逆向工程破解客戶端的算法，然后編寫一個具有相同算法的客戶端來代替原客戶端，但是所編寫的客戶端不對認證后的上網情況進行計費，并且，用戶還在通過所編寫的客戶端接入網絡后，在用戶設備上假設代理，為其它的用戶提供網絡連接，導致網絡接入認證存在計費漏洞的問題。

針對該問題目前提出了一些解決方案。

方案一、在認證過程中，認證服務器下發一些規則給客戶端，包括禁用客戶端所在的電腦假設網絡代理，當客戶端檢測到用戶設備上架設了網絡代理后，就立即斷開網絡，從而阻止其他用戶上網。但是，這種方法很容易被用戶繞開，比如用戶認證通過后把客戶端強行關閉，然后再架設網絡代理，從而仍然存在上述的計費漏洞的問題。

方案二，在方案一的基礎上，增加客戶端和認證服務器之間的心跳檢測，當心跳中斷時，服務端斷開用戶的網絡。但是，用戶仍然能夠通過逆向工程破解客戶端工作原理，然后自己使用相同的原理實現一個客戶端，完全模擬原有客戶端的行為，但不限制網絡代理，這樣所架設網絡代理就仍然存在有計費漏洞的問題。

方案三，在方案二的基礎上，對客戶端進行加密處理，比如使用加殼技術對客戶端進行處理，或使用一些難以反向破解的算法和服務端通訊。這一類方法能較大地提高逃費的難度，但是完全不可逆向破解是無法做到的，一旦被破解成功，就會被廣泛使用。

可見，目前在目前的網絡接入認證技術中，存在由于用戶破解認證客戶端而造成的計費漏洞問題。

發明內容

有鑒于此，本發明實施例提供了一種網絡接入認證方法、裝置及系統、認證服務器，用以解決現有的網絡接入認證技術中，存在由于用戶破解認證客戶端而造成的計費漏洞問題。

本發明實施例技術方案如下：

一種網絡接入認證方法，包括：認證服務器在待發送給不同用戶設備的認證客戶端中設置不同的校驗規則，校驗規則中包括用于對信息進行校驗得到校驗碼的多個指令，不同的校驗規則中包括的指令所執行的校驗處理不相同；針對請求獲取認證客戶端的用戶設備，獲取通過該用戶設備發送所述請求的用戶的用戶認證信息，選擇一個設置了校驗規則的認證客戶端，建立所選擇的認證客戶端中的校驗規則與所獲取的用戶認證信息的對應關系，將所選擇的認證客戶端發送給用戶設備；認證服務器接收來自用戶設備上運行的認證客戶端發送的認證請求，認證請求中包括用戶輸入的用戶認證信息和第一校驗碼，該第一校驗碼是認證客戶端中的校驗規則對用戶輸入的用戶認證信息進行校驗得到的；認證服務器根據認證請求中的用戶認證信息，以及所建立的校驗規則和用戶認證信息的對應關系，確定與認證請求中的用戶認證信息對應的校驗規則，并使用確定的校驗規則對認證請求中的用戶認證信息進行校驗得到第二校驗碼；認證服務器在確定第一校驗碼和第二校驗碼一致，且當前沒有認證請求中的用戶認證信息對應的用戶接入網絡的情況下，將發送認證請求的認證客戶端接入網絡。