專利名稱:基于可擴(kuò)展認(rèn)證協(xié)議的認(rèn)證方法�����、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域��,特別涉及基于可擴(kuò)展認(rèn)證協(xié)議(ΕΑΡ Extensible Authentication Protocol) WiAilE^fe>^^Mο
背景技術(shù):
虛擬私有撥號(hào)網(wǎng)(VPDN :Virtual Private Dial-up Network)是指利用公共網(wǎng)絡(luò)如ISDN或PSTN等的撥號(hào)功能接入公共網(wǎng)絡(luò)���,實(shí)現(xiàn)虛擬專用網(wǎng),從而為企業(yè)��、小型ISP����、移動(dòng)辦公人員等提供接入服務(wù)。即����,VPDN為遠(yuǎn)端用戶和私有企業(yè)網(wǎng)之間提供了一種經(jīng)濟(jì)而有效的點(diǎn)到點(diǎn)連接方式�����。其中��,在客戶端通過VPDN接入網(wǎng)絡(luò)時(shí)����,為保證接入的安全性�����,需要對(duì)客戶端進(jìn)行認(rèn)證���。目前�,常用的認(rèn)證方式為點(diǎn)到點(diǎn)協(xié)議(PPP :Point to Point Protocol)認(rèn)證和 IEEE802. IX協(xié)議(以下簡(jiǎn)稱802. IX協(xié)議)認(rèn)證�����。在上述兩種認(rèn)證方式中�����,都是僅要求對(duì)客戶端的用戶名和密碼進(jìn)行認(rèn)證,在認(rèn)證通過后�����,允許客戶端接入網(wǎng)絡(luò)���,否則����,禁止客戶端接入網(wǎng)絡(luò)�。但是,僅認(rèn)證客戶端用戶名和密碼對(duì)安全接入的效果并不理想�����,比如�����,只要第三方獲取該用戶名和密碼之后即可實(shí)現(xiàn)接入�����, 這會(huì)大大降低網(wǎng)絡(luò)接入的安全性�����。
發(fā)明內(nèi)容
本發(fā)明提供了基于可擴(kuò)展認(rèn)證協(xié)議的認(rèn)證方法�����、系統(tǒng)和設(shè)備��,以提高網(wǎng)絡(luò)接入的安全性����。本發(fā)明提供的技術(shù)方案包括一種基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證方法,包括A�����,在EAP認(rèn)證過程中��,認(rèn)證端向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文�,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型;B���,被認(rèn)證端獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息�����,并將所述擴(kuò)展信息發(fā)送至認(rèn)證端�����;C��,認(rèn)證端對(duì)所述擴(kuò)展信息進(jìn)行認(rèn)證����,如果認(rèn)證失敗,則拒絕被認(rèn)證端接入網(wǎng)絡(luò)�����,如果認(rèn)證成功���,則允許被認(rèn)證端接入網(wǎng)絡(luò)��。一種基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證端設(shè)備,該認(rèn)證端設(shè)備�,包括發(fā)送單元和認(rèn)證單元;其中��,所述發(fā)送單元��,用于在EAP認(rèn)證過程中,向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文���,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型�,以從所述被認(rèn)證端獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息���;所述認(rèn)證單元�,用于對(duì)所述擴(kuò)展信息進(jìn)行認(rèn)證�,如果認(rèn)證失敗,則拒絕被認(rèn)證端接入網(wǎng)絡(luò)�����,如果認(rèn)證成功��,則允許被認(rèn)證端接入網(wǎng)絡(luò)���。一種基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的被認(rèn)證端設(shè)備�,其特征在于�����,該被認(rèn)證端設(shè)備,包括接收單元���、獲取單元和發(fā)送單元����;其中���,所述接收單元�����,用于接收認(rèn)證端發(fā)送的認(rèn)證請(qǐng)求報(bào)文�����;所述獲取單元���,用于獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息;發(fā)送單元����,用于將獲取的所述擴(kuò)展信息發(fā)送至認(rèn)證端進(jìn)行認(rèn)證,并在所述擴(kuò)展信息通過認(rèn)證時(shí)��,接入網(wǎng)絡(luò)��。一種基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證系統(tǒng)�,其特征在于,該系統(tǒng)包括如上所述的認(rèn)證端設(shè)備和被認(rèn)證端設(shè)備��。由以上技術(shù)方案可以看出�,本發(fā)明中,進(jìn)一步采取了對(duì)被認(rèn)證端的擴(kuò)展信息進(jìn)行認(rèn)證����,這樣,即使第三方獲取用戶名和密碼����,其由于不知道被認(rèn)證端的擴(kuò)展信息,也不能接入網(wǎng)絡(luò)��,這提高了網(wǎng)絡(luò)接入的安全性���。
圖1示出了現(xiàn)有EAP協(xié)議規(guī)定的報(bào)文格式示意圖����;圖2為本發(fā)明對(duì)現(xiàn)有EAP報(bào)文擴(kuò)展的示意圖�;圖3為對(duì)數(shù)據(jù)字段進(jìn)行擴(kuò)展的示意圖����;圖4為本發(fā)明實(shí)施例1提供的流程圖�;圖5為本發(fā)明實(shí)施例1流程應(yīng)用的組網(wǎng)示意圖����;圖6為本發(fā)明實(shí)施例2提供的流程圖;圖7為本發(fā)明實(shí)施例提供的認(rèn)證端設(shè)備結(jié)構(gòu)圖�����;圖8為本發(fā)明實(shí)施例提供的被認(rèn)證端設(shè)備結(jié)構(gòu)圖���。
具體實(shí)施例方式為了使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述�。本發(fā)明提供的方法通過對(duì)EAP協(xié)議進(jìn)行擴(kuò)展��,使認(rèn)證端在EAP認(rèn)證過程中����,向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文���,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型�����,當(dāng)被認(rèn)證端接收到認(rèn)證請(qǐng)求報(bào)文后,獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息����,并將所述擴(kuò)展信息發(fā)送至認(rèn)證端,優(yōu)選地����,該擴(kuò)展信息可攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端,當(dāng)認(rèn)證端接收到認(rèn)證響應(yīng)報(bào)文后����,對(duì)該認(rèn)證響應(yīng)報(bào)文中的擴(kuò)展信息進(jìn)行有效性認(rèn)證,如果認(rèn)證失敗�����,則拒絕被認(rèn)證端的網(wǎng)絡(luò)接入,如果認(rèn)證成功�,則允許被認(rèn)證端的網(wǎng)絡(luò)接入�����。在上述方法中��,擴(kuò)展信息可包含RSA證書信息��、DSS證書信息��、數(shù)字簽名�����、設(shè)備序列號(hào)����、設(shè)備MAC地址、ESN信息�����、IMSI信息中的至少一個(gè)���。在上述方法中�,認(rèn)證請(qǐng)求報(bào)文,以及認(rèn)證響應(yīng)報(bào)文均是對(duì)現(xiàn)有EAP協(xié)議規(guī)定的報(bào)文的擴(kuò)展�����。圖1示出了現(xiàn)有EAP協(xié)議規(guī)定的報(bào)文格式示意圖���。如圖1所示,現(xiàn)有EAP協(xié)議規(guī)定的報(bào)文主要包含類型(type)字段��、廠商標(biāo)識(shí)字段(Vendor-ID)�、Vendor-Type字段和數(shù)據(jù)字段。而本發(fā)明中的認(rèn)證請(qǐng)求報(bào)文和認(rèn)證響應(yīng)報(bào)文采用的格式是對(duì)圖1所示的報(bào)文格式的私有擴(kuò)展��,具體可參見圖2所示�����,主要包括對(duì)圖1所示的type字段進(jìn)行擴(kuò)展��,例如使 Type字段取值為2M時(shí)指示私有擴(kuò)展����,對(duì)圖1所示的Vendor-Type字段進(jìn)行擴(kuò)展����,例如使Vendor-Id字段取值為01來指示報(bào)文類型為擴(kuò)展信息認(rèn)證類型�。優(yōu)選地,本發(fā)明中�����,還可對(duì)圖1所示的數(shù)據(jù)字段進(jìn)行擴(kuò)展���,具體為統(tǒng)一采用圖3所示的hfo Type-Info Lenghh-Info Value (簡(jiǎn)稱TLV)格式攜帶各種數(shù)據(jù)���。其中,hfo Type��,長(zhǎng)度為1個(gè)字節(jié)��,具體為數(shù)據(jù)類型�����,用于表示請(qǐng)求的數(shù)據(jù)類型或者攜帶的數(shù)據(jù)類型�;Info Length,長(zhǎng)度為1個(gè)字節(jié),用于表示長(zhǎng)度�����,包括Info Type和hfoLength的長(zhǎng)度����;Value,長(zhǎng)度可變��,用于指示與^ifo Type對(duì)應(yīng)的具體值�����?����;趫D3所示的格式����,下面分別描述認(rèn)證請(qǐng)求報(bào)文和認(rèn)證響應(yīng)報(bào)文中的數(shù)據(jù)字段認(rèn)證請(qǐng)求報(bào)文其通過在數(shù)據(jù)字段中攜帶以下參數(shù)向被認(rèn)證端請(qǐng)求擴(kuò)展信息Info Type 取值可為1����,用于表示向被認(rèn)證端請(qǐng)求擴(kuò)展信息;Info Length 大于等于 3 ;Value 需要被認(rèn)證端提供的擴(kuò)展信息的類型�。以擴(kuò)展信息具體為RSA證書、DSS 證書�、數(shù)字簽名、設(shè)備序列號(hào)����、設(shè)備MAC地址、ESN信息�、和IMSI信息為例,則Value中可包含該各個(gè)擴(kuò)展信息的類型����,該各個(gè)擴(kuò)展信息的類型取值在下文進(jìn)行了定義。認(rèn)證響應(yīng)報(bào)文URSA證書RSA Certif icate����,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 2 ;Info Length 大于等于 3 �;Value =RSA 證書信息。2�、DSS證書DSS Certif icate,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 3 ���;Info Length 大于等于 3 ��;Value =DSS 證書信息����。3、數(shù)字簽名=Signature,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 4 �����;Info Length 大于等于 3 �;Value =RSA或者DSA的數(shù)字簽名;說明與發(fā)送的證書相對(duì)應(yīng)的數(shù)字簽名����。4、設(shè)備序列號(hào)SN�,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 6 ;Info Length 大于等于 3 ���;Value 設(shè)備序列號(hào)值;說明用來攜帶被認(rèn)證端的設(shè)備序列號(hào)信息����。5、設(shè)備MAC地址MAC�,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 7 ;Info Length 大于等于 3 ;
Value 設(shè)備 MAC 地址值���;說明用來攜帶被認(rèn)證端的MAC地址信息�����。6���、ESN信息ESN,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 8 ����;Info Length 大于等于 3 ;Value 被認(rèn)證端的數(shù)據(jù)卡或者M(jìn)odem ESN號(hào)�。7、IMSI信息IMSI�����,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 9 ��;Info Length 大于等于 3 ����;Value IMSI 號(hào)信息��;以上只是舉例描述了幾種擴(kuò)展信息的類型�����,至于其他類型的擴(kuò)展信息�����,本領(lǐng)域技術(shù)人員可根據(jù)應(yīng)用場(chǎng)景和需求進(jìn)行擴(kuò)展����。另外����,在上述方法中,為了確保認(rèn)證響應(yīng)報(bào)文中擴(kuò)展信息的完整性����、正確性和不可仿造性,所述將擴(kuò)展信息攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端具體可為從認(rèn)證請(qǐng)求報(bào)文中獲取隨機(jī)值�����,采用自身證書中標(biāo)識(shí)的哈希算法和加密算法對(duì)所述隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算���,將所述擴(kuò)展信息���、隨機(jī)值、計(jì)算得到的簽名一起攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端����。優(yōu)選地,本發(fā)明也按照?qǐng)D3所示的格式使隨機(jī)值攜帶在認(rèn)證請(qǐng)求報(bào)文和認(rèn)證響應(yīng)報(bào)文的數(shù)據(jù)字段��,具體如下隨機(jī)值����,其通過以下三個(gè)參數(shù)表示Info Type 取值可為 5 ;Info Length 大于等于 3 ���;Value 隨機(jī)值�,建議大于等于28字節(jié)���。至于計(jì)算得到的簽名��,其可設(shè)置在認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的設(shè)定位置�����,比如����,可設(shè)置在認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的最后一個(gè)hfo Type-Info Length-Value所在的字段, 本發(fā)明不具體限定���。另外�,本發(fā)明提供的方法可應(yīng)用于PPP協(xié)議的認(rèn)證環(huán)境中���,也可應(yīng)用于 IEEE802. IX協(xié)議的認(rèn)證環(huán)境中��。下面分別以這兩個(gè)認(rèn)證環(huán)境為例對(duì)本發(fā)明提供的方法進(jìn)行說明�����。實(shí)施例1 該實(shí)施例1以PPP協(xié)議的認(rèn)證環(huán)境為例���。參見圖4,圖4為本發(fā)明實(shí)施例1提供的流程圖�����。該流程應(yīng)用于3G L2TP組網(wǎng), 其他情況原理類似�?���;谠搼?yīng)用3G L2TP組網(wǎng),上述的認(rèn)證端可為L(zhǎng)NS和該LNS本地或遠(yuǎn)程的AAA服務(wù)器����,被認(rèn)證端可為3G終端。在3G L2TP組網(wǎng)中�,一種情況是LNS與3G終端之間建立L2TP隧道,另一種情況是LNS與3G終端連接的訪問設(shè)備(LAC :L2TP Access Concentrator)之間建立L2TP隧道�����。下面以圖5所示的在LNS與LAC之間建立隧道的組網(wǎng)為例對(duì)本實(shí)施例1進(jìn)行詳細(xì)描述���,其他情況原理類似如圖4所示���,該流程可包括以下步驟步驟401,LAC接收3G終端發(fā)起的PPP連接建立請(qǐng)求�����,并與3G終端進(jìn)行PPP LCP協(xié)商和對(duì)3G終端進(jìn)行認(rèn)證�。本步驟401為標(biāo)準(zhǔn)PPP協(xié)議認(rèn)證的流程�,這里不再贅述���。步驟402�,LAC在3G終端通過認(rèn)證后�,向LNS發(fā)起L2TP隧道建立請(qǐng)求,以建立與 LNS之間的L2TP隧道��。優(yōu)選地���,在L2TP隧道建立過程中��,LAC與LNS可進(jìn)行執(zhí)行相互認(rèn)證的操作����,以驗(yàn)證對(duì)方的有效性�����,該操作為可選的�����,也為標(biāo)準(zhǔn)PPP協(xié)議認(rèn)證的流程,不再詳述�。步驟403,LNS在與LAC之間的L2TP隧道完成建立后�����,與3G終端進(jìn)行重協(xié)商��,在協(xié)商出采用EAP協(xié)議對(duì)3G終端進(jìn)行認(rèn)證時(shí)�,進(jìn)入EAP認(rèn)證���。步驟404����,在進(jìn)入EAP認(rèn)證階段后��,LNS向3G終端發(fā)送身份標(biāo)識(shí)請(qǐng)求報(bào)文�����,用于請(qǐng)求3G終端的身份標(biāo)識(shí)����。本步驟404中的身份標(biāo)識(shí)請(qǐng)求報(bào)文采用圖1所示的EAP協(xié)議規(guī)定的報(bào)文格式,其中,為和其他類型的報(bào)文區(qū)分�,可將該身份標(biāo)識(shí)請(qǐng)求報(bào)文中type字段取值為1,以表示用于向3G終端請(qǐng)求身份標(biāo)識(shí)�。步驟405,3G終端接收到身份標(biāo)識(shí)請(qǐng)求報(bào)文后�����,將自身的身份標(biāo)識(shí)攜帶在身份標(biāo)識(shí)響應(yīng)報(bào)文中發(fā)送給LNS�����。本步驟405中的身份標(biāo)識(shí)響應(yīng)報(bào)文采用圖1所示的EAP協(xié)議規(guī)定的報(bào)文格式�����。另外����,本發(fā)明中,身份標(biāo)識(shí)具體實(shí)現(xiàn)時(shí)可為用戶名����,以下均以用戶名為例進(jìn)行描述。步驟406����,LNS根據(jù)3G終端的用戶名判斷是否啟動(dòng)對(duì)該3G終端進(jìn)行擴(kuò)展信息認(rèn)證����,如果是���,執(zhí)行步驟407�,否則��,按照現(xiàn)有EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程繼續(xù)對(duì)3G終端進(jìn)行認(rèn)證�。本實(shí)施例1中��,會(huì)在LNS中存儲(chǔ)需要啟動(dòng)擴(kuò)展信息認(rèn)證的用戶記錄��,該記錄可為用戶名與啟動(dòng)擴(kuò)展信息認(rèn)證之間的對(duì)應(yīng)關(guān)系���?�;诖?����,本步驟406中�,當(dāng)接收到3G終端的用戶名后,從該對(duì)應(yīng)關(guān)系中查找該接收的用戶名��,如果查找到�����,則決定對(duì)該3G終端進(jìn)行擴(kuò)展信息認(rèn)證���,否則���,決定不對(duì)該3G終端進(jìn)行擴(kuò)展信息認(rèn)證,而是按照現(xiàn)有EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程繼續(xù)對(duì)3G終端進(jìn)行認(rèn)證���,這里��,現(xiàn)有EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程可為MD5認(rèn)證流程�����,或者其他認(rèn)證流程����,本發(fā)明并不具體限定��。步驟407,LNS發(fā)送認(rèn)證請(qǐng)求報(bào)文至3G終端��。本步驟407中的認(rèn)證請(qǐng)求報(bào)文采用圖2所示的格式�,其數(shù)據(jù)字段攜帶了隨機(jī)值和向3G終端請(qǐng)求的擴(kuò)展信息的類型,其中��,隨機(jī)值��、以及向3G終端請(qǐng)求的擴(kuò)展信息的類型均采用圖3所示的格式�����,具體在上文已進(jìn)行了描述���,這里不再贅述。步驟408��,3G終端判斷自身是否支持所述認(rèn)證請(qǐng)求報(bào)文所屬的擴(kuò)展信息認(rèn)證類型���,如果是����,則執(zhí)行步驟409����,否則����,向LNS返回不支持?jǐn)U展信息認(rèn)證的報(bào)文(EAP-NAK)��,以使 LNS根據(jù)EAP-NAK決定后續(xù)處理流程�����?;趫D2所示的認(rèn)證請(qǐng)求報(bào)文的格式,則在Vendor-type取值為01指示報(bào)文的類型為擴(kuò)展信息認(rèn)證類型時(shí)����,本步驟408的判斷具體為先判斷該認(rèn)證請(qǐng)求報(bào)文的 Vendor-type字段是否置為01,在否時(shí)��,3G終端按照標(biāo)準(zhǔn)PPP協(xié)議流程處理�,在是時(shí),繼續(xù)判斷自身是否支持?jǐn)U展信息認(rèn)證類型��,如果是��,則執(zhí)行步驟409����,如果否�����,向LNS返回不支持?jǐn)U展信息認(rèn)證的報(bào)文(EAP-NAK)�,以使LNS根據(jù)EAP-NAK決定后續(xù)處理流程���,比如迫使3G終端下線�����,或者執(zhí)行上述的按照現(xiàn)有EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程繼續(xù)對(duì)3G終端進(jìn)行認(rèn)證��。步驟409�����,3G終端從認(rèn)證請(qǐng)求報(bào)文中獲取隨機(jī)值,并獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息���,將所述隨機(jī)值和獲取的擴(kuò)展信息添加至認(rèn)證響應(yīng)報(bào)文中����。本步驟409中,隨機(jī)值��、獲取的擴(kuò)展信息均采用上面描述的圖3格式分別添加在認(rèn)證響應(yīng)報(bào)文的數(shù)據(jù)字段���。步驟410��,3G終端對(duì)獲取的隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算�����,將該計(jì)算的簽名添加至認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的設(shè)定位置�����,并發(fā)送至LNS�。本步驟410中�����,3G終端可使用自身證書中標(biāo)識(shí)的哈希算法和加密算法對(duì)獲取的隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算���。至于該計(jì)算的簽名添加的位置��,具體可添加在認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的最后一個(gè)hfo Type-Info Length-Value所在的字段�����。步驟411����,LNS接收到認(rèn)證響應(yīng)報(bào)文后,首先對(duì)該認(rèn)證響應(yīng)報(bào)文中的簽名進(jìn)行認(rèn)證����,如果認(rèn)證失敗,則拒絕3G終端的接入���,如果認(rèn)證成功���,則將所述認(rèn)證響應(yīng)報(bào)文中的各個(gè)擴(kuò)展信息發(fā)送給本地或遠(yuǎn)程AAA服務(wù)器進(jìn)行認(rèn)證,并在認(rèn)證成功時(shí)�����,允許3G終端的接入����,否則��,拒絕3G終端的接入。本步驟411中�,LNS可采用PKI策略對(duì)認(rèn)證響應(yīng)報(bào)文中的簽名進(jìn)行認(rèn)證,具體可參考現(xiàn)有利用PKI策略的驗(yàn)證方案��,這里不再贅述���。其中�����,本步驟411對(duì)簽名進(jìn)行認(rèn)證�����,目的是為了驗(yàn)證擴(kuò)展信息的完整性����,并在3G終端被盜時(shí)���,通過吊銷3G終端的證書阻止3G終端被盜用����。本步驟411中,拒絕3G終端的接入具體為斷開上面已建立的LAC和LNS之間的隧道�,這樣,3G終端就無法訪問LNS���。還有���,本步驟411中,本地或遠(yuǎn)程AAA服務(wù)器對(duì)擴(kuò)展信息進(jìn)行認(rèn)證���,目的是為了驗(yàn)證該擴(kuò)展信息是否正確��、有效�����。至此��,通過上面步驟即可實(shí)現(xiàn)本實(shí)施例1����。下面通過實(shí)施例2對(duì)本發(fā)明提供的方法應(yīng)用于802. IX認(rèn)證環(huán)境的流程進(jìn)行描述��。 實(shí)施例2 本實(shí)施例2以802. IX認(rèn)證環(huán)境為例���,基于該認(rèn)證環(huán)境�����,上述的認(rèn)證端可為設(shè)備端和該設(shè)備端本地或遠(yuǎn)程的Radius服務(wù)器���,被認(rèn)證端為客戶端。下面通過圖6對(duì)本發(fā)明實(shí)施例2進(jìn)行描述�。參見圖6,圖6為本發(fā)明實(shí)施例2提供的流程圖����。其中,EAP認(rèn)證初始階段與標(biāo)準(zhǔn) 802. IX協(xié)議一致�����,不再贅述���,當(dāng)進(jìn)入EAP認(rèn)證階段后�����,即可采用擴(kuò)展信息認(rèn)證流程���。需要說明的是�,在該流程中��,采用基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議(EAPOL)對(duì)EAP認(rèn)證階段中的所有報(bào)文(也即以下各個(gè)步驟中的報(bào)文)進(jìn)行封裝���?�;诖?�,如圖6所示���,該流程可包括以下步驟步驟601,設(shè)備端向客戶端發(fā)送身份標(biāo)識(shí)請(qǐng)求報(bào)文��,用于請(qǐng)求客戶端的身份標(biāo)識(shí)����。步驟602,客戶端接收到身份標(biāo)識(shí)請(qǐng)求報(bào)文后�����,將自身的身份標(biāo)識(shí)攜帶在身份標(biāo)識(shí)響應(yīng)報(bào)文中發(fā)送給設(shè)備端��。本發(fā)明中,身份標(biāo)識(shí)具體實(shí)現(xiàn)時(shí)可為用戶名��,以下均以用戶名為例進(jìn)行描述����。上述步驟601至步驟602為802. IX協(xié)議的標(biāo)準(zhǔn)流程���,不再詳細(xì)描述�。步驟603���,設(shè)備端根據(jù)客戶端的用戶名判斷是否啟動(dòng)擴(kuò)展信息認(rèn)證��,如果是����,執(zhí)行步驟604��,否則����,按照現(xiàn)有802. 1X/EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程繼續(xù)對(duì)客戶端進(jìn)行認(rèn)證。本實(shí)施例2中�,會(huì)在設(shè)備端中存儲(chǔ)需要啟動(dòng)擴(kuò)展信息認(rèn)證的用戶記錄��,該記錄可為用戶名與啟動(dòng)擴(kuò)展信息認(rèn)證之間的對(duì)應(yīng)關(guān)系����?����;诖?�,本步驟603中�,當(dāng)接收到客戶端端的用戶名后,從該對(duì)應(yīng)關(guān)系中查找該接收的用戶名���,如果查找到�,則決定對(duì)該客戶端進(jìn)行擴(kuò)展信息認(rèn)證�,否則,決定不對(duì)該客戶端進(jìn)行擴(kuò)展信息認(rèn)證�����,按照現(xiàn)有802. 1X/EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程繼續(xù)對(duì)客戶端進(jìn)行認(rèn)證����,這里的認(rèn)證流程可為MD5認(rèn)證流程����,或者其他認(rèn)證流程��,本發(fā)明并不具體限定�。相比于標(biāo)準(zhǔn)802. IX,本步驟603����,以及下述的步驟604至步驟609均是對(duì)標(biāo)準(zhǔn) 802. IX中的設(shè)備端向客戶端請(qǐng)求密碼���,以及設(shè)備端對(duì)客戶端發(fā)送的密碼進(jìn)行認(rèn)證的改進(jìn)����。 在本發(fā)明中����,不再僅僅要求客戶端提供的密碼,以及僅僅認(rèn)證該密碼�,而是要求客戶端提供更多的信息,以提高網(wǎng)絡(luò)接入的安全性����,具體見下述步驟���。步驟604,設(shè)備端發(fā)送認(rèn)證請(qǐng)求報(bào)文至客戶端����。步驟605,客戶端判斷自身是否支持所述認(rèn)證請(qǐng)求報(bào)文所屬的擴(kuò)展信息認(rèn)證類型�����, 如果是����,則執(zhí)行步驟606,否則��,向設(shè)備端返回EAP-NAK��,使設(shè)備端根據(jù)該EAP-NAK決定后續(xù)處理流程��,比如�,迫使客戶端下線,或者執(zhí)行上述的按照現(xiàn)有802. 1X/EAP標(biāo)準(zhǔn)協(xié)議規(guī)定的認(rèn)證流程繼續(xù)對(duì)客戶端進(jìn)行認(rèn)證等����。步驟606�����,客戶端從認(rèn)證請(qǐng)求報(bào)文中獲取隨機(jī)值�����,并獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息�����,將所述隨機(jī)值和獲取的擴(kuò)展信息添加至認(rèn)證響應(yīng)報(bào)文中�����。步驟607,客戶端對(duì)獲取的隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算����,將該計(jì)算的簽名添加至認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的設(shè)定位置,并發(fā)送至設(shè)備端����。步驟608,設(shè)備端首先對(duì)該認(rèn)證響應(yīng)報(bào)文中的簽名進(jìn)行認(rèn)證,如果認(rèn)證失敗�����,則拒絕客戶端的接入���,如果認(rèn)證成功��,則進(jìn)一步與本地或遠(yuǎn)程Radius服務(wù)器交互認(rèn)證所述認(rèn)證響應(yīng)報(bào)文中的各個(gè)擴(kuò)展信息�,并在認(rèn)證成功時(shí)���,允許客戶端接入網(wǎng)絡(luò)��,否則�,拒絕客戶端的接入��。本步驟608中��,在允許客戶端接入網(wǎng)絡(luò)之前����,還可進(jìn)一步包括802. IX協(xié)議規(guī)定的以下標(biāo)準(zhǔn)操作設(shè)備端與Radius服務(wù)器交互實(shí)現(xiàn)PAP認(rèn)證,并在認(rèn)證成功時(shí)����,向客戶端發(fā)送 EAP認(rèn)證成功��,以實(shí)現(xiàn)允許客戶端接入網(wǎng)絡(luò)����。至此���,通過上面步驟601至步驟608完成實(shí)施例2�。需要說明的是�����,在上述實(shí)施例1或?qū)嵤├?中�,如果所述認(rèn)證端和被認(rèn)證端之間交互的報(bào)文中存在長(zhǎng)度大于鏈路MTU的報(bào)文,比如�,被認(rèn)證端向認(rèn)證端發(fā)送的認(rèn)證響應(yīng)報(bào)文中包含證書信息時(shí),這可能會(huì)導(dǎo)致認(rèn)證響應(yīng)報(bào)文的長(zhǎng)度大于鏈路MTU值�����,基于此��,本發(fā)明可對(duì)長(zhǎng)度大于鏈路MTU值的報(bào)文進(jìn)行分片處理����。下面以認(rèn)證響應(yīng)報(bào)文為例描述分片處理,其他情況原理類似����。在本發(fā)明中,為了完成認(rèn)證響應(yīng)報(bào)文分成的多個(gè)分片報(bào)文的發(fā)送和接收��,可通過在分片報(bào)文中定義Flags和Message Length字段�����,其中��,F(xiàn)lags字段包含L標(biāo)志(Length) 和M標(biāo)志(More fragments)標(biāo)志��,L標(biāo)志表示報(bào)文中包含Message Length字段�,第一個(gè)分片報(bào)文中必須設(shè)置此標(biāo)志;M標(biāo)志表示是否還有后續(xù)的分片報(bào)文�����,第一標(biāo)識(shí)比如1表示是����, 第二標(biāo)識(shí)比如0表示否��,分片報(bào)文中除了最后1個(gè)分片報(bào)文��,其他分片報(bào)文都需要設(shè)置M標(biāo)志��。當(dāng)認(rèn)證端接收到設(shè)置了 M標(biāo)志的分片報(bào)文后����,必須回復(fù)響應(yīng)報(bào)文�����,此報(bào)文作為接收到分片報(bào)文后的ACK報(bào)文���,報(bào)文格式可采用圖2所示的擴(kuò)展信息認(rèn)證報(bào)文格式�����,其中Vendor data為空��。為了避免分片報(bào)文的錯(cuò)誤���,可在分成的分片報(bào)文中,使各個(gè)分片報(bào)文都包含標(biāo)識(shí)字段�����,并且該標(biāo)識(shí)字段的取值按照傳輸?shù)拇涡蛞来芜f增��,但被重傳的分片報(bào)文的標(biāo)識(shí)字段取值保持不變��。并且��,認(rèn)證端回復(fù)的針對(duì)分片報(bào)文的ACK報(bào)文與該分片報(bào)文的Identifier 字段值相同�。以上對(duì)本發(fā)明實(shí)施例提供的方法進(jìn)行描述。下面對(duì)本發(fā)明實(shí)施例提供的裝置進(jìn)行描述本發(fā)明還提供了一種基于可擴(kuò)展認(rèn)證協(xié)議的認(rèn)證系統(tǒng)����,該系統(tǒng)包括認(rèn)證端設(shè)備和被認(rèn)證端設(shè)備。其中�,認(rèn)證端設(shè)備具體實(shí)現(xiàn)時(shí)可采用圖7所示的結(jié)構(gòu),包括發(fā)送單元和認(rèn)證單兀��。其中�����,所述發(fā)送單元�,用于在EAP認(rèn)證過程中,向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文��,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型,以從所述被認(rèn)證端獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息��;所述認(rèn)證單元����,用于對(duì)所述擴(kuò)展信息進(jìn)行認(rèn)證,如果認(rèn)證失敗�����,則拒絕被認(rèn)證端接入網(wǎng)絡(luò)���,如果認(rèn)證成功�,則允許被認(rèn)證端接入網(wǎng)絡(luò)����。優(yōu)選地,所述發(fā)送單元發(fā)送認(rèn)證請(qǐng)求報(bào)文的操作是在所述認(rèn)證端設(shè)備認(rèn)證端按照 PPP協(xié)議認(rèn)證方式與被認(rèn)證端完成隧道建立�,且與被認(rèn)證端重協(xié)商出啟用EAP認(rèn)證以及接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行;或者�,是在所述認(rèn)證端設(shè)備按照PPP協(xié)議認(rèn)證方式與被認(rèn)證端連接的隧道訪問設(shè)備完成隧道建立,且與該被認(rèn)證端重協(xié)商出啟用EAP認(rèn)證��、以及接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行�����;或者����,是在所述認(rèn)證端設(shè)備按照802. IX協(xié)議認(rèn)證方式接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行。至于被認(rèn)證端設(shè)備��,其可采用圖8所示的結(jié)構(gòu)����,包括接收單元、獲取單元和發(fā)送單元�����。其中�����,所述接收單元�,用于接收認(rèn)證端發(fā)送的認(rèn)證請(qǐng)求報(bào)文;所述獲取單元�,用于獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息;發(fā)送單元����,用于將獲取的所述擴(kuò)展信息發(fā)送至認(rèn)證端進(jìn)行認(rèn)證���,并在所述擴(kuò)展信息通過認(rèn)證時(shí),接入網(wǎng)絡(luò)���。優(yōu)選地���,如圖8所示,所述被認(rèn)證端設(shè)備進(jìn)一步包括判斷單元�����,用于判斷所述被認(rèn)證端設(shè)備是否支持所述認(rèn)證請(qǐng)求報(bào)文所屬的擴(kuò)展信息認(rèn)證類型���,如果是��,觸發(fā)所述獲取單元繼續(xù)執(zhí)行獲取擴(kuò)展信息的操作���,否則,發(fā)送不支持?jǐn)U展信息認(rèn)證類型的報(bào)文給認(rèn)證端�,以使認(rèn)證端根據(jù)該不支持?jǐn)U展信息認(rèn)證類型的報(bào)文決定后續(xù)處理流程。優(yōu)選地,所述發(fā)送單元可包括獲取子單元���,用于從所述認(rèn)證請(qǐng)求報(bào)文中獲取隨機(jī)值���;簽名子單元,用于采用所述裝置的本身證書中標(biāo)識(shí)的哈希算法和加密算法對(duì)所述隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算���;發(fā)送子單元,用于將獲取的擴(kuò)展信息和隨機(jī)值����、以及計(jì)算得到的所述簽名一起攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端,以使認(rèn)證端對(duì)認(rèn)證響應(yīng)報(bào)文中的隨機(jī)值和簽名進(jìn)行認(rèn)證�����,在均通過認(rèn)證時(shí)�,繼續(xù)執(zhí)行對(duì)擴(kuò)展信息的認(rèn)證。其中��,所述發(fā)送子單元具體實(shí)現(xiàn)時(shí)可包括以下模塊添加模塊���,用于將獲取的每一擴(kuò)展信息�、所述認(rèn)證請(qǐng)求報(bào)文中的隨機(jī)值按照TLV 格式分別添加在所述認(rèn)證響應(yīng)報(bào)文的數(shù)據(jù)字段,以及將所述簽名添加在所述認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的設(shè)定位置��;發(fā)送模塊���,用于在完成添加后�����,發(fā)送所述認(rèn)證響應(yīng)報(bào)文至認(rèn)證端��。至此���,完成本發(fā)明實(shí)施例提供的系統(tǒng)和設(shè)備的描述。由以上技術(shù)方案可以看出�����,本發(fā)明中�����,并非僅對(duì)用戶名和密碼進(jìn)行認(rèn)證�����,還進(jìn)一步對(duì)被認(rèn)證端的擴(kuò)展信息進(jìn)行認(rèn)證,這樣�����,即使第三方獲取用戶名和密碼�����,其由于不知道被認(rèn)證端的擴(kuò)展信息��,也不能接入網(wǎng)絡(luò)����,這提高了網(wǎng)絡(luò)接入的安全性���。以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所做的任何修改�����、等同替換、改進(jìn)等�����,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)����。
權(quán)利要求
1.一種基于可擴(kuò)展認(rèn)證協(xié)議EAP的認(rèn)證方法,其特征在于���,該方法包括A��,在EAP認(rèn)證過程中���,認(rèn)證端向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型�;B,被認(rèn)證端獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息�,并將所述擴(kuò)展信息發(fā)送至認(rèn)證端;C���,認(rèn)證端對(duì)所述擴(kuò)展信息進(jìn)行認(rèn)證�,如果認(rèn)證失敗���,則拒絕被認(rèn)證端接入網(wǎng)絡(luò)���,如果認(rèn)證成功��,則允許被認(rèn)證端接入網(wǎng)絡(luò)�。
2.根據(jù)權(quán)利要求1所述的基于EAP的認(rèn)證方法����,其特征在于,步驟A是在認(rèn)證端按照 PPP協(xié)議認(rèn)證方式與被認(rèn)證端完成隧道建立�����,且與被認(rèn)證端重協(xié)商出啟用EAP認(rèn)證以及接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行��;或者���,步驟A是在認(rèn)證端按照PPP協(xié)議認(rèn)證方式與被認(rèn)證端連接的隧道訪問設(shè)備完成隧道建立,且與該被認(rèn)證端重協(xié)商出啟用EAP認(rèn)證以及接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行����。
3.根據(jù)權(quán)利要求1所述的基于EAP的認(rèn)證方法,其特征在于���,步驟A是在認(rèn)證端按照802. IX協(xié)議認(rèn)證方式接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行���。
4.根據(jù)權(quán)利要求2或3所述的基于EAP的認(rèn)證方法���,步驟A中,在認(rèn)證端向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文之前�,進(jìn)一步包括認(rèn)證端根據(jù)被認(rèn)證端發(fā)送的身份標(biāo)識(shí)判斷是否對(duì)被認(rèn)證端啟用擴(kuò)展信息認(rèn)證,如果是����,則繼續(xù)執(zhí)行所述認(rèn)證端向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文的操作。
5.根據(jù)權(quán)利要求1所述的基于EAP的認(rèn)證方法�,其特征在于,步驟B之前�����,進(jìn)一步包括Bi��,被認(rèn)證端判斷自身是否支持所述認(rèn)證請(qǐng)求報(bào)文所屬的擴(kuò)展信息認(rèn)證類型��,如果是�����,繼續(xù)執(zhí)行步驟B,否則�����,發(fā)送不支持?jǐn)U展信息認(rèn)證類型的報(bào)文給認(rèn)證端����,以使認(rèn)證端根據(jù)該不支持?jǐn)U展信息認(rèn)證類型的報(bào)文決定后續(xù)處理流程。
6.根據(jù)權(quán)利要求1所述的基于EAP的認(rèn)證方法�,其特征在于,步驟B中�����,所述將擴(kuò)展信息發(fā)送至認(rèn)證端包括從所述認(rèn)證請(qǐng)求報(bào)文中獲取隨機(jī)值���,采用自身證書中標(biāo)識(shí)的哈希算法和加密算法對(duì)所述隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算����;將獲取的隨機(jī)值���、以及計(jì)算得到的所述簽名與所述擴(kuò)展信息一起攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端;步驟C中�,所述認(rèn)證端認(rèn)證擴(kuò)展信息之前�,進(jìn)一步包括對(duì)認(rèn)證響應(yīng)報(bào)文中的隨機(jī)值和簽名進(jìn)行認(rèn)證��,在均通過認(rèn)證時(shí)��,繼續(xù)執(zhí)行步驟C中對(duì)擴(kuò)展信息的認(rèn)證���。
7.根據(jù)權(quán)利要求6所述的基于EAP的認(rèn)證方法����,其特征在于��,所述將獲取的隨機(jī)值�����、以及計(jì)算得到的所述簽名與所述擴(kuò)展信息一起攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端包括將獲取的隨機(jī)值����,以及每一擴(kuò)展信息按照TLV格式分別添加在所述認(rèn)證響應(yīng)報(bào)文的數(shù)據(jù)字段;將所述簽名添加在所述認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的設(shè)定位置����;在完成添加后,發(fā)送所述認(rèn)證響應(yīng)報(bào)文至認(rèn)證端����。
8.一種基于可擴(kuò)展認(rèn)證協(xié)議EAP的認(rèn)證端設(shè)備�����,其特征在于�����,該認(rèn)證端設(shè)備��,包括發(fā)送單元和認(rèn)證單元��;其中���,所述發(fā)送單元,用于在EAP認(rèn)證過程中�,向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型�����,以從所述被認(rèn)證端獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息���;所述認(rèn)證單元�,用于對(duì)所述擴(kuò)展信息進(jìn)行認(rèn)證���,如果認(rèn)證失敗�����,則拒絕被認(rèn)證端接入網(wǎng)絡(luò)����,如果認(rèn)證成功�����,則允許被認(rèn)證端接入網(wǎng)絡(luò)���。
9.根據(jù)權(quán)利要求8所述的基于EAP的認(rèn)證端設(shè)備��,其特征在于,所述發(fā)送單元發(fā)送認(rèn)證請(qǐng)求報(bào)文的操作是在所述認(rèn)證端設(shè)備按照PPP協(xié)議認(rèn)證方式與被認(rèn)證端完成隧道建立,且與被認(rèn)證端重協(xié)商出啟用EAP認(rèn)證以及接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行;或者,是在所述認(rèn)證端設(shè)備按照PPP協(xié)議認(rèn)證方式與被認(rèn)證端連接的隧道訪問設(shè)備完成隧道建立,且與該被認(rèn)證端重協(xié)商出啟用EAP認(rèn)證以及接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行;或者,是在所述認(rèn)證端設(shè)備按照802. IX協(xié)議認(rèn)證方式接收到被認(rèn)證端發(fā)送的身份標(biāo)識(shí)后執(zhí)行。
10.一種基于可擴(kuò)展認(rèn)證協(xié)議EAP的被認(rèn)證端設(shè)備�,其特征在于�,該被認(rèn)證端設(shè)備���,包括接收單元����、獲取單元和發(fā)送單元����;其中����,所述接收單元,用于接收認(rèn)證端發(fā)送的認(rèn)證請(qǐng)求報(bào)文�;所述獲取單元��,用于獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息�; 發(fā)送單元��,用于將獲取的所述擴(kuò)展信息發(fā)送至認(rèn)證端進(jìn)行認(rèn)證����,并在所述擴(kuò)展信息通過認(rèn)證時(shí)�����,接入網(wǎng)絡(luò)�。
11.根據(jù)權(quán)利要求10所述的基于EAP的被認(rèn)證端設(shè)備����,其特征在于��,所述被認(rèn)證端設(shè)備進(jìn)一步包括判斷單元,用于判斷所述被認(rèn)證端設(shè)備是否支持所述認(rèn)證請(qǐng)求報(bào)文所屬的擴(kuò)展信息認(rèn)證類型���,如果是,觸發(fā)所述獲取單元繼續(xù)執(zhí)行獲取擴(kuò)展信息的操作,否則,發(fā)送不支持?jǐn)U展信息認(rèn)證類型的報(bào)文給認(rèn)證端,以使認(rèn)證端根據(jù)該不支持?jǐn)U展信息認(rèn)證類型的報(bào)文決定后續(xù)處理流程。
12.根據(jù)權(quán)利要求10所述的基于EAP的被認(rèn)證端設(shè)備,其特征在于,所述發(fā)送單元包括獲取子單元�����,用于從所述認(rèn)證請(qǐng)求報(bào)文中獲取隨機(jī)值;簽名子單元,用于采用所述裝置的本身證書中標(biāo)識(shí)的哈希算法和加密算法對(duì)所述隨機(jī)值和擴(kuò)展信息進(jìn)行簽名計(jì)算;發(fā)送子單元�����,用于將獲取的隨機(jī)值��、以及計(jì)算得到的所述簽名與所述擴(kuò)展信息一起攜帶在認(rèn)證響應(yīng)報(bào)文中發(fā)送至認(rèn)證端�����,以使認(rèn)證端對(duì)認(rèn)證響應(yīng)報(bào)文中的隨機(jī)值和簽名進(jìn)行認(rèn)證�����,在均通過認(rèn)證時(shí),繼續(xù)執(zhí)行對(duì)擴(kuò)展信息的認(rèn)證�����。
13.根據(jù)權(quán)利要求12所述的基于EAP的被認(rèn)證端設(shè)備���,其特征在于�����,所述發(fā)送子單元包括添加模塊���,用于將獲取的隨機(jī)值�,以及每一擴(kuò)展信息按照TLV格式分別添加在所述認(rèn)證響應(yīng)報(bào)文的數(shù)據(jù)字段,以及將所述簽名添加在所述認(rèn)證響應(yīng)報(bào)文中數(shù)據(jù)字段的設(shè)定位置���;發(fā)送模塊���,用于在完成添加后,發(fā)送所述認(rèn)證響應(yīng)報(bào)文至認(rèn)證端�����。
14.一種基于可擴(kuò)展認(rèn)證協(xié)議EAP的認(rèn)證系統(tǒng),其特征在于����,該系統(tǒng)包括權(quán)利要求8所述的認(rèn)證端設(shè)備和權(quán)利要求10所述的被認(rèn)證端設(shè)備���。
全文摘要
本發(fā)明提供了一種基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證方法�����、系統(tǒng)和設(shè)備�,該方法包括A,在EAP認(rèn)證過程中�����,認(rèn)證端向被認(rèn)證端發(fā)送認(rèn)證請(qǐng)求報(bào)文���,所述認(rèn)證請(qǐng)求報(bào)文包含需要被認(rèn)證端提供的擴(kuò)展信息類型��;B���,被認(rèn)證端獲取與所述認(rèn)證請(qǐng)求報(bào)文中擴(kuò)展信息類型對(duì)應(yīng)的擴(kuò)展信息���,并將所述擴(kuò)展信息發(fā)送至認(rèn)證端����;C���,認(rèn)證端對(duì)所述擴(kuò)展信息進(jìn)行認(rèn)證���,如果認(rèn)證失敗,則拒絕被認(rèn)證端接入網(wǎng)絡(luò)���,如果認(rèn)證成功���,則允許被認(rèn)證端接入網(wǎng)絡(luò)。
文檔編號(hào)H04L9/32GK102185868SQ20111013291
公開日2011年9月14日 申請(qǐng)日期2011年5月20日 優(yōu)先權(quán)日2011年5月20日
發(fā)明者劉雄威 申請(qǐng)人:杭州華三通信技術(shù)有限公司