技術領域

本發明涉及通信領域，具體而言，涉及一種認證方法及裝置。

背景技術

IEEE802LAN/WAN委員會為解決無線局域網網絡安全問題，提出了802.1X協議。后來，802.1X協議作為局域網端口的一個普通接入控制機制在以太網中被廣泛應用，主要解決以太網內認證和安全方面的問題。連接在端口上的用戶設備如果能通過認證，就可以訪問局域網中的資源；如果不能通過認證，則無法訪問局域網中的資源。

802.1X協議的體系結構一般包括三個重要的部分：客戶端(SupplicantSystem)、認證系統(AuthenticatorSystem)和認證服務器(AuthenticationServerSystem)。客戶端系統一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起802.1X協議的認證過程。為支持基于端口的接入控制，客戶端系統需支持擴展認證協議(ExtensibleAuthenticationProtocolOverLAN，簡稱為EAPOL)。認證系統通常為支持802.1X協議的網絡設備，如交換機。認證服務器可以存儲有關用戶的信息，比如用戶的優先級、用戶的訪問控制列表等等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量就將接受上述參數的監管。

常用的802.1X認證方式有如下兩種：

方式一是遠程認證，認證過程在認證系統和遠端的服務器之間完成，支持遠程認證撥號用戶服務(RemoteAuthenticationDial-InUserService，簡稱為RADIUS)、終端訪問控制器控制系統協議(TerminalAccessControllerAccessControlSystem，簡稱為TACACS)等協議，常用的RADIUS認證如圖1所示，圖1是相關技術中的遠程認證的流程圖，認證服務器為RADIUS服務器，客戶端和認證系統之間使用EAPOL格式封裝EAP協議傳送認證信息，認證系統與認證服務器之間通過RADIUS協議傳送認證信息。認證系統一般默認采用EAP-MD5認證加密算法。該遠程認證流程包括以下步驟：

步驟S102，當用戶有訪問網絡需求時，打開802.1X客戶端程序，輸入已經申請、登記過的用戶名和密碼，向認證系統發送一個EAPoL-Start報文，開始802.1X認證接入。

步驟S104，認證系統向客戶端發送EAP-Request/Identity報文，要求客戶端將用戶名送上來。

步驟S106，客戶端回應一個EAP-Response/Identity給認證系統，其中包括用戶名。

步驟S108，認證系統將EAP-Response/Identity報文封裝到RADIUSAccess-Request報文中，發送給認證服務器。

步驟S110，認證服務器收到認證系統轉發的用戶名信息后，將該信息與數據庫中的用戶名表對比，找到該用戶名對應的密碼信息，用隨機生成的一個Challenge(加密字)對它進行加密處理，同時也將此Challenge通過RADIUSAccess-Challenge報文發送給認證系統。

步驟S112，認證系統將Challenge通過EAP-Request/MD5-Challenge報文轉發給客戶端程序。

步驟S114，客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的加密密碼，封裝在EAP-Response/MD5-Challenge回應給認證系統。

步驟S116，認證系統將Challenge，加密密碼和用戶名一起通過RADIUSAccess-Request報文送到認證服務器，由認證服務器進行認證。

步驟S118，認證服務器將收到的用戶的加密密碼和本地計算出的加密密碼進行對比，如果相同，則認為該用戶為合法用戶，認證成功，否則認為該用戶為非法用戶，認證失敗。然后將認證結果封裝在RADIUSAccess-Accept報文中發送給認證系統。

步驟S120，認證系統如果收到認證成功報文，則向客戶端發送EAP-Success報文，并將端口改為授權狀態，允許用戶通過端口訪問網絡。否則，向客戶端發送EAP-Failure報文，并禁止用戶通過端口訪問網絡。