[发明专利]一种认证服务方法

说明书

技术领域

本发明涉及一种网络安全认证方法，具体地说，涉及一种基于802.1x上的扩展认证协议(EAP)的认证方法。

背景技术

IEEE 802.1X是由IEEE制定的关于用户接入网络的认证标准，是一种基于端口的网络接入控制协议，所以具体的802.1x认证功能必须在设备端口上进行配置，对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1x协议可以限制未经授权的用户/设备通过接入端口访问局域网，是一种可信网络接入技术的认证协议，以其协议安全、实现简单的特点，与其他认证协议一起，为使用不对称数字用户线(Asymmetric Digital Subscriber Line，简称ADSL)、VDSL、局域网LAN、无线局域网WLAN等多种宽带接入方式的用户提供了丰富的认证方式。

802.1x认证系统采用网络应用系统典型的Client/Server(C/S)结构，包括三个部分：客户端(Client)、设备端(Device)和认证服务器(Server)，如图1所示。在图1所述的局域网中，客户端和交换机以有线连接，或者是和无线接入点以无线方式连接，再接入核心网中，且网络中包括认证服务器来验证计算机用户身份的合法性。其中认证服务器通常为RADIUS服务器，用于存储有关接入请求者的用户身份及设备身份信息，比如接入请求者的设备访问控制列表等等。当接入请求者通过认证后，认证服务器把接入请求者的相关信息传递给认证者，由认证者构建动态的访问控制列表，接入请求者的后续流量接受上述参数的监管。

但是，现有技术中对用户的认证通常采用用户名和密码或者随机密钥等方法进行认证，然而对保密要求或者安全防范要求比较高的网络，不仅需要对用户进行认证，同时还需要对设备的接入进行认证，而对设备的验证，既要认证接入设备的合法性，也要认证接入设备内部设备的安全性。因为在某些环境中，计算机设备的内部元器件随时存在被替换的可能，这样就会破坏信息系统中该环节的安全性，甚至会危及整个系统的安全性。

现有技术中对计算机的认证还可采用可信运算平台(Trusted Computing Platform，TPM)或者我国的TPM替代部件——可信密码模块(Trusted cryptography module,TCM)，但是不管是TPM还是TCM，都需要在计算机内部增加硬件模块也就是芯片来实现其功能。

发明内容

针对上述技术问题，本发明的目的在于提供一种通过802.1x认证来提高安全性的认证网络和认证方法，又不需要在计算机内部增加芯片，从而解决了网络中接入设备的安全性验证。

为达到上述目的，本发明是通过以下技术方案实现的：

步骤1：客户端接入局域网，向设备端发起EAPoL开始报文，启动802.1x认证接入。设备端向客户端发送EAP身份请求报文，要求客户端发来用户名和客户端的硬件信息；

步骤2：客户端向设备端回应EAP身份认证应答报文，其中包括用户名和硬件信息；

步骤3：设备端收到EAP身份认证应答报文封装到RADIUS访问请求报文中，发送到认证服务器中；

步骤4：认证服务器收到RADIUS访问请求报文后，将认证服务器端计算获取的硬件信息和认证服务器的数据库中所存储的硬件信息向对比，对比方法为：

(1)如果计算得到的硬件信息和数据库中的硬件信息完全一致，则判断为硬件完整；

(2)如果计算得到的硬件信息和数据库中的硬件信息不一致，且只有其中一个硬件的硬件信息不一致，但是读取到的该硬件和数据库中的硬件属于同一品牌同一型号或系列型号，且客户端的硬件设备型号优于或等于数据库中存储的原型号，则属于情况(2)；

(3)如果计算得到的硬件信息和数据库中的硬件信息不一致，其中一个硬件的硬件ID不一致且不属于同一品牌或同一型号，或者硬件型号差于数据库中存储的原型号，或者其中至少两个硬件的硬件信息不一致，则属于情况(3)；

步骤5：认证服务器在硬件信息认证后，向设备端发送产生RADIUS访问质询报文。

步骤6：设备端收到访问质询报文后，将报文中的质询请求发送到客户端，请求质询。

步骤7：客户端收到质询请求后，将密码和质询做MD5算法后，回应给设备端；

步骤8：设备端将质询、MD5算法得到的密码和用户名一起送到认证服务器，由认证服务器进行认证；

步骤9：认证服务器根据用户信息判断用户是否合法，并根据不同情况回复不同响应信号，具体如下：