一種認證方法及裝置系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及通信領域,特別涉及一種認證方法及裝置系統(tǒng)。
【背景技術】
[0002]IEEE802LAN/WAN委員會為解決局域網(wǎng)網(wǎng)絡安全問題,在2001年制定了標準IEEEStd802.1X-2001,之后在2004年提出其修訂版:IEEE Std802.1X-2004。經(jīng)研究表明,目前,基于802.1X的網(wǎng)絡訪問控制(NAC:Network Access Control)系統(tǒng)在學校、企業(yè)等單位得到廣泛應用。然而,IEEE802.1X存在安全缺陷,面臨拒絕服務攻擊(DoS:Denial of serviceattacks)、會話劫持、重放攻擊、中間人攻擊等安全威脅。
[0003]為了消除協(xié)議缺陷,目前已有四次握手認證解決方案,該方案在無線網(wǎng)絡得到廣泛應用,是IEEE802.lli標準的一部分,但是其仍然存在一定安全隱患,面臨幾種不同形式的拒絕服務攻擊的威脅。
[0004]另外,對局域網(wǎng)上的擴展認證協(xié)議(EAPOL 〖Extensible Authenticat1n Protocolover LAN)的數(shù)據(jù)幀增加保護字段并建立共享密鑰和密鑰輪換機制,并對逐條消息進行完整性和源真實性進行保護。但是,現(xiàn)有IEEE802.1X協(xié)議最大的缺陷是狀態(tài)機不完整,缺乏雙向認證,以及對消息的完整性和源真實性的保護力較弱。而且,這些有效改進協(xié)議的方案,需要對數(shù)據(jù)幀格式加以改變,在當前基于IEEE802.1X的NAC系統(tǒng)上實施時具有一定難度,不夠實用。
【發(fā)明內容】
[0005]本發(fā)明的目的在于提供一種認證方法及裝置系統(tǒng),能夠解決認證機制在安全方面存在的不足,以及在NAC系統(tǒng)上實施所存在的不便的問題。
[0006]根據(jù)本發(fā)明的一個方面,提供了一種認證方法,包括:
[0007]客戶端接收來自認證服務器的第一認證信息和來自無線接入端的第三認證信息,所述第三認證信息是無線接入端根據(jù)認證服務器發(fā)送的第二認證信息得到的;
[0008]根據(jù)所述第一認證信息對認證服務器進行認證,以及根據(jù)所述第三認證信息對無線接入端進行認證。
[0009]優(yōu)選地,所述第一認證信息是用來客戶端對認證服務器進行認證的認證信息,第二認證信息是用來無線接入端對認證服務器進行認證的認證信息,第三認證信息是用來客戶端對無線接入端進行認證的認證信息。
[0010]優(yōu)選地,根據(jù)所述第一認證信息對認證服務器進行認證的步驟包括:
[0011]根據(jù)客戶端與認證服務器共享的預置密鑰,對所述第一認證信息進行解析,得到第一隨機數(shù)、第二隨機數(shù)和共享密鑰;
[0012]將解析得到的第一隨機數(shù)與客戶端預存的隨機數(shù)進行比對,若相同,則認證服務器認證成功。
[0013]優(yōu)選地,根據(jù)所述第三認證信息對無線接入端進行認證的步驟包括:
[0014]根據(jù)解析得到的共享密鑰,對所述第三認證信息進行解密,得到第二隨機數(shù);
[0015]將解析得到的第二隨機數(shù)與所述第一認證信息中的第二隨機數(shù)進行比對,若相同,則無線接入端認證成功。
[0016]優(yōu)選地,對所述客戶端下線階段進行認證的步驟包括:
[0017]在所述客戶端接收到來自無線接入端的第一下線認證信息后,對第一下線認證信息進行認證;
[0018]若認證成功,則發(fā)送第二下線認證信息給無線接入端,由其根據(jù)所述第二下線認證信息控制當前端口狀態(tài)。
[0019]優(yōu)選地,所述的對第一下線認證信息進行認證的步驟包括:
[0020]利用共享密鑰對第一下線認證信息進行解析,得到下線標識、無線接入端標識和第一隨機數(shù);
[0021]若客戶端主動要求下線,且所解析到的下線標識為TRUE,無線接入端標識和第一隨機數(shù)均有效,則無線接入端認證成功,反之,則丟棄所述第一下線認證信息;
[0022]若認證失敗,或強制客戶端下線,且所解析到的下線標識為FALSE,無線接入端標識和第一隨機數(shù)均有效,則無線接入端認證成功,反之,則丟棄第一下線認證信息。
[0023]優(yōu)選地,所述的由其根據(jù)所述第二下線認證信息控制當前端口狀態(tài)的步驟包括:
[0024]利用共享密鑰對第二下線認證信息進行解析,得到下線標識、客戶端標識和第二隨機數(shù);
[0025]若客戶端主動要求下線,且所解析到的下線標識為TRUE,客戶端標識和第二隨機數(shù)均有效,則客戶端認證成功,使當前端口關閉,反之,則丟棄第二下線認證信息,保持當前端口連接;
[0026]若認證失敗,或強制客戶端下線,且所解析到的下線標識為FALSE,客戶端標識和第二隨機數(shù)均有效,則客戶端認證成功,使當前端口關閉,反之,則丟棄第二下線認證信息,保持當前端口連接。
[0027]根據(jù)本發(fā)明的另一方面,提供了一種認證裝置,包括:
[0028]接收模塊,用于客戶端接收來自認證服務器的第一認證信息和來自無線接入端的第三認證信息,所述第三認證信息是所述無線接入端根據(jù)認證服務器發(fā)送的第二認證信息得到的;
[0029]雙向認證模塊,用于根據(jù)所述第一認證信息對認證服務器進行認證,以及根據(jù)所述第三認證信息對無線接入端進行認證。
[0030]優(yōu)選地,所述雙向認證模塊包括:
[0031]第一認證解析子模塊,用于根據(jù)客戶端與認證服務器共享的預置密鑰,對所述第一認證信息進行解析,得到第一隨機數(shù)、第二隨機數(shù)和共享密鑰;
[0032]認證服務器認證子模塊,用于將解析得到的第一隨機數(shù)與客戶端預存的隨機數(shù)進行比對,若相同,則認證服務器認證成功。
[0033]優(yōu)選地,所述雙向認證模塊包括:
[0034]第三認證解析子模塊,用于根據(jù)解析得到的共享密鑰,對所述第三認證信息進行解密,得到第二隨機數(shù);
[0035]無線接入端認證子模塊,用于將解析得到的第二隨機數(shù)與所述第一認證信息中的第二隨機數(shù)進行比對,若相同,則無線接入端認證成功。
[0036]優(yōu)選地,還包括:
[0037]第一下線認證模塊,用于在所述客戶端接收到來自無線接入端的第一下線認證信息后,對第一下線認證信息進行認證;
[0038]第二下線認證模塊,用于若認證成功,則發(fā)送第二下線認證信息給無線接入端,由其根據(jù)所述第二下線認證信息控制當前端口狀態(tài)。
[0039]優(yōu)選地,所述第一下線認證模塊包括:
[0040]第一下線解析子模塊,用于利用共享密鑰對第一下線認證信息進行解析,得到下線標識、無線接入端標識和第一隨機數(shù);
[0041]第一下線主動認證子模塊,用于若客戶端主動要求下線,且所解析到的下線標識為TRUE,無線接入端標識和第一隨機數(shù)均有效,則無線接入端認證成功,反之,則丟棄所述第一下線認證信息;
[0042]第一下線被動認證子模塊,用于若認證失敗,或強制客戶端下線,且所解析到的下線標識為FALSE,無線接入端標識和第一隨機數(shù)均有效,則無線接入端認證成功,反之,則丟棄第一下線認證信息。
[0043]優(yōu)選地,所述第二下線認證模塊包括:
[0044]第二下線解析子模塊,用于利用共享密鑰對第二下線認證信息進行解析,得到下線標識、客戶端標識和第二隨機數(shù);
[0045]第二下線主動認證子模塊,用于若客戶端主動要求下線,且所解析到的下線標識為TRUE,客戶端標識和第二隨機數(shù)均有效,則客戶端認證成功,使當前端口關閉,反之,則丟棄第二下線認證信息,保持當前端口連接;
[0046]第二下線被動認證子模塊,用于若認證失敗,或強制客戶端下線,且所解析到的下線標識為FALSE,客戶端標識和第二隨機數(shù)均有效,則客戶端認證成功,使當前端口關閉,反之,則丟棄第二下線認證信息,保持當前端口連接。
[0047]根據(jù)本發(fā)明的另一方面,提供了一種認證系統(tǒng)的認證方法,包括:
[0048]認證服務器對無線接入端和客戶端進行認證,在認證成功后,將第一認證信息和第二認證信息發(fā)送給所述無線接入端;
[0049]無線接入端根據(jù)第二認證信息,生成第三認證信息,并將所述第一認證信息和第三認證信息發(fā)送給客戶端;
[0050]客戶端根據(jù)所述第一認證信息對認證服務器進行認證,以及根據(jù)所述第三認證信息對無線接入端進行認證。
[0051]根據(jù)本發(fā)明的另一方面,提供了一種認證系統(tǒng),包括:
[0052]認證服務器,用于對無線接入端和