[发明专利]认证方法、系统及认证服务器

说明书

技术领域

本发明涉及网络通信技术，尤其涉及一种认证方法、系统及认证服务器。

背景技术

802.1X协议是美国电气电子工程师学会(Institute of Electrical andElectronic Engineers；简称为：IEEE)802委员会制定的局域网(Local AreaNetwork；简称为：LAN)标准中的一个。802.1X协议是基于端口的网络访问控制协议，基于端口的网络访问控制是指在网络的接入级控制客户端对网络的访问，客户端接入网络中接入设备的端口(例如：以太网交换机或宽带接入设备的端口)默认阻断用户对网络的所有访问权限，只处理一种特定的协议报文。也就是说，对于一个部署了802.1X协议的LAN，当客户端(如个人电脑等)接入到LAN中时，需要通过802.1X认证，未经过认证的客户端将无法接入到LAN中。

802.1X认证系统由三个部分或实体构成：客户端、认证设备和认证服务器。其中，客户端，也就是认证请求者，通过运行802.1X客户端软件按照802.1X协议规定的格式封装成相应的报文，发送给认证设备，同时处理认证设备回应的响应报文，执行客户端的认证流程。认证设备，又称认证者，主要用于接收客户端发起的认证请求，并将认证请求进行相应的处理，然后封装成网际协议(Internet Protocol；简称为：IP)层之上的高层协议转发到认证服务器中进行认证，如果认证服务器认为客户端认证成功，则允许客户端访问需要的网络资源，如果认证服务器认为客户端认证失败，则不允许客户端访问网络资源。认证服务器主要是对客户端进行认证，如果客户端认证成功，则向认证设备发送认证成功的消息，如果客户端认证失败，则向认证设备发送认证失败的消息。其中，客户端和认证设备之间采用扩展认证协议(Expanded Authentication Protocol；简称为：EAP)交换认证信息，因为EAP报文是封装在以太网的802.3帧进行发送的，所客户端和认证设备之间实际交互的报文是基于局域网的EPA(EAP OverLAN；简称为：EAPOL)报文；认证设备和认证服务器之间也是交互EAP报文，但通常将EAP报文封装在远程用户拨号认证系统协议(RemoteAuthentication Dial In User Service；简称为：Radius)这类高层协议中进行交互。

微软视窗操作系统活动目录(Windows Active Directories；简称为：Windows AD)主要用于客户端的安全管理和客户端的标准化管理。安全管理主要是指管理客户端可以安装的软件和可以运行的程序；标准化管理主要是指管理客户端的桌面内容和排放位置。Windows活动目录中存储了使用计算机的用户的相关信息，并且允许管理员和用户能够轻松地查找和使用这些信息。Windows活动目录使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织，可以实现对用户使用计算机的授权。

802.1X协议是基于端口的网络访问控制，可以在端口级别管理用户对网络的访问，但无法直接管理用户使用计算机的授权。而Windows AD域可以对用户使用计算机进行授权，但无法管理端口。于是现有技术将两者结合起来对用户进行认证。现有基于802.1X认证与Windows AD域认证联动的流程包括：

步骤1、客户端收到用户发出的认证请求(认证用户填写用户名和密码，并单击客户端的登录按钮)后，向认证设备发出认证开始(EAPOL-Start)报文，触发认证过程。

步骤2、认证设备向客户端发出身份认证请求(EAPOL-Request/Identity)报文，要求获取用户名。

步骤3、客户端将用户名通过身份认证响应(EAPOL-Respons/Identity)报文发送给认证设备。

步骤4、认证设备将客户端发送的身份认证响应报文封装在Radius协议中，生成Radius身份认证响应(Radius/EAPOL-Respons/Identity)报文，并发送给802.1X认证服务器。

步骤5、802.1X认证服务器向认证设备发出Radius口令请求(Radius/EAPOL-Request/Challenge)报文，向客户端发出密码质询。

步骤6、认证设备接收802.1X认证服务器发出的Radius口令请求报文，将Radius口令请求报文中封装的EAP口令质询请求(EAPOL-Request/Challenge)报文转发给客户端。