专利名称:安全认证方法及装置、认证设备及认证服务器的制作方法
技术领域:
本发明涉及安全认证技术领域,尤其涉及一种安全认证方法及装置、认证设备及认证服务器。
背景技术:
现有技术中,在美国电气和电子工程师协会(IEEE,Institute of Electrical and Electronics Engineers) 802(LAN, Local Area Network) Φ, ^ 5 ^ , 任何终端设备都可以接入网络,也就是说终端设备不需要经过任何安全认证即可直接接入网络,这会严重影响网络的安全性。随着局域网技术的广泛应用,对接入网络的终端设备进行安全认证的需求日益增长,对此,现有技术提出了 IEEE 802. Ix协议,用于保证终端设备只有经过安全认证后才能接入网络。IEEE 802. Ix标准安全认证体系由终端设备、认证设备和认证服务器三部分组成, 其网络架构如图1所示,其中终端设备为请求进行安全认证的设备,因此也可以称为恳求者(Supplicant),终端设备可以为用户的个人计算机(PC,Personal Computer),此外,终端设备需要运行符合 IEEE 802. Ix标准的客户端,由运行的该客户端来发起安全认证流程;认证设备置于终端设备和认证服务器之间,是整个安全认证过程中的报文转发者,在实际使用中一般为网络中的交换机设备,认证设备接收终端设备的安全认证请求,进行校验和封装后转发给认证服务器进行安全认证,同时对认证服务器返回的应答报文进行校验和封装后转发给终端设备,也可以将认证设备称为网络访问服务器(NAS,Network Access Server);认证服务器对认证设备转发的认证请求进行校验,为终端设备提供安全认证服务,在实际使用中一般为远程用户拨号认证(RADIUS,Remote Authentication Dial In User Service)服务器。如图2所示,为现有技术中,对终端设备进行安全认证的方法流程图,其具体处理流程如下步骤21,终端设备需要进行安全认证时,向认证设备发送局域网可扩展认证协议开始(EAPoL-Start, Extensible Authentication Protocol over LAN-Start) 艮文,终端设备和认证设备之间通过EAPoL协议交换信息;步骤22,认证设备向终端设备应答可扩展认证协议请求及身份(ΕΑΡ-Request/ Identity)报文,通知终端设备发送设备信息;步骤23,终端设备向认证设备应答携带有设备信息的可扩展认证协议响应及身份 (EAP-Response/Identity) 艮文;步骤24,认证设备从EAP-Response/Identity报文中提取出设备信息,将该设备信息封装到远程用户拨号认证接入请求(RADIUS Access-Request)报文中发送给认证服务器,认证设备和认证服务器之间通过RADIUS协议交换信息;
步骤25,认证服务器在设备信息数据库中查找是否存在RADIUS Access-Request 报文中携带的设备信息,若查找到,则随机产生一个加密字,将加密字封装到远程用户拨号认证接入询问(RADIUS Access-Challenge)报文中发送给认证设备,同时,根据随机产生的加密字对该终端设备的口令信息进行加密运算,得到运算结果;步骤沈,认证设备从RADIUS Access-Challenge报文中提取出加密字,将该加密字封装到可扩展认证协议请求(ΕΑΡ-Request)报文中,发送给终端设备;步骤27,终端设备根据RADIUS Access-Challenge报文中携带的加密字,对该终端设备的口令信息进行加密运算,得到运算结果,将运算结果封装到可扩展认证协议响应 (ΕΑΡ-Response)报文中发送给认证设备;步骤观,认证设备从ΕΑΡ-Response报文中提取出运算结果,然后将该运算结果封装到远程用户拨号认证接入请求(RADIUS Access-Request)报文中发送给认证服务器;步骤四,认证服务器比较RADIUS Access-Request报文中携带的运算结果与自身的运算结果是否一致,如果一致,则应答远程用户拨号认证接入接受(RADIUS Access-Accept)报文,否则,应答远程用户拨号认证接入拒绝(RADIUS Access-Reject)报文;步骤210,认证设备接收到RADIUS Access-Accept报文后,认为该终端设备通过安全认证,则打开受控端口,同时向该终端设备发送可扩展认证协议成功(EAP-Success) 报文,接收到RADIUS Access-Reject报文后,认为该终端设备未通过安全认证,则不打开受控端口,同时向该终端设备发送可扩展认证协议失败(ΕΑΡ-Failure)报文。现有技术中,认证服务器可能会由于设备维修或网络整改等原因,暂时停止为终端设备提供安全认证服务,从认证服务器开始停止提供安全认证的时间点到开始恢复提供安全认证的时间点之间的时间段内,若终端设备触发了安全认证请求,即向认证设备发送了 EAPoL-Mart报文,则认证设备会按照上述流程向认证服务器发送RADIUS Access-Request报文,由于认证服务器此时停止为终端设备提供安全认证服务,因此不会向认证设备反馈RADIUS Access-Challenge报文,那么认证设备在等待预设的时间长度后, 会认为安全认证等待超时,则向终端设备发送ΕΑΡ-Failure报文,通知终端设备安全认证失败,由于使用该终端设备的用户不能获知此时认证服务器已经停止提供认证服务,可能会继续触发安全认证请求,因此耗费了终端设备和认证设备较多的处理资源,也耗费了较多的网络传输资源。
发明内容
本发明实施例提供一种安全认证方法及装置、认证设备及认证服务器,用以解决现有技术中对终端设备进行安全认证时,耗费了终端设备和认证设备较多的处理资源,以及耗费了较多网络传输资源的问题。本发明实施例技术方案如下一种安全认证方法,该方法包括步骤认证设备在终端设备请求进行安全认证时,向认证服务器发送远程用户拨号认证接入请求RADIUS Access-Request报文;若在预设的时间长度内未接收到认证服务器发送的远程用户拨号认证接入询问RADIUS Access-Challenge报文,则确认所述认证服务器停止为终端设备提供安全认证服务;所述认证设备将自身存储的、提示认证服务器停止为终端设备提供安全认证服务的提示信息携带在可扩展认证协议失败ΕΑΡ-Failure报文中发送给所述终端设备。一种安全认证装置,包括存储单元,用于存储提示认证服务器停止为终端设备提供安全认证服务的提示信息;请求报文发送单元,用于在终端设备请求进行安全认证时,向认证服务器发送远程用户拨号认证接入请求RADIUS Access-Request报文;停止服务确认单元,用于在预设的时间长度内未接收到认证服务器发送的远程用户拨号认证接入询问 RADIUS Access-Challenge报文时,确认所述认证服务器停止为终端设备提供安全认证服务;失败报文发送单元,用于将所述存储单元存储的所述提示信息,携带在可扩展认证协议失败ΕΑΡ-Failure报文中发送给所述终端设备。一种认证设备,包括上述安全认证装置。一种安全认证方法,该方法包括步骤认证服务器获得提示所述认证服务器停止为终端设备提供安全认证服务的提示信息;在停止为终端设备提供认证服务之前,将所述提示信息携带在至少一个待发送报文中发送给认证设备,以供所述认证设备存储所述提示 fn息ο一种安全认证装置,包括提示信息获得单元,用于获得提示所述安全认证装置停止为终端设备提供安全认证服务的提示信息;报文发送单元,用于在所述安全认证装置停止为终端设备提供认证服务之前,将提示信息获得单元获得的所述提示信息携带在至少一个待发送报文中发送给认证设备,以供所述认证设备存储所述提示信息。一种认证服务器,包括上述安全认证装置。本发明实施例技术方案中,认证设备在终端设备请求进行安全认证时,向认证服务器发送RADIUS Access-Request报文,若在预设的时间长度内未接收到认证服务器发送的RADIUS Access-Challenge报文,则确认所述认证服务器停止为终端设备提供安全认证服务,此时认证设备向该终端设备发送EAP-Fai lure报文,且该EAP-Fai lure报文中携带有提示认证服务器停止为终端设备提供安全认证服务的提示信息,因此使用该终端设备的用户就能够根据ΕΑΡ-Failure报文中携带的上述提示信息,获知此次认证失败的原因为此时认证服务器已经停止为终端设备提供安全认证服务,那么就不会继续触发安全认证请求, 因此能够有效地节省终端设备和认证设备较多的处理资源,也节省了较多的网络传输资源。
图1为现有技术中,IEEE 802. Ix标准安全认证体系的网络架构示意图;图2为现有技术中,对终端设备进行安全认证的方法流程示意图;图3为本发明实施例一中,安全认证方法流程示意图;图4为本发明实施例二中,安全认证方法具体实现流程示意图;图5为本发明实施例三中,安全认证装置结构示意图;图6为本发明实施例四中,安全认证装置结构示意图。
具体实施例方式下面结合各个附图对本发明实施例技术方案的主要实现原理具体实施方式
及其对应能够达到的有益效果进行详细地阐述。实施例一如图3所示,为本发明实施例一提出的安全认证方法流程图,其具体处理流程如下步骤31,认证设备在终端设备请求进行安全认证时,向认证服务器发送RADIUS Access-Request 才艮文;终端设备若需要进行安全认证,则向认证设备发送EAPoL-Mart报文,请求进行安全认证,认证设备接收到EAPoLItart报文后,向终端设备反馈EAP-Request/Identity 报文,通知该终端设备发送设备信息,其中该设备信息可以但不限于为终端设备为了进行安全认证预先设置的,终端设备接收到EAP-Request/Identity报文后,将自身的设备信息携带在EAP-Response/Identity报文中,发送给认证设备,认证设备接收到EAP-Response/ Identity报文后,从EAP-Response/Identity报文中提取出终端设备的设备信息,然后将该设备信息封装到RADIUS Access-Request报文中,并将该RADIUS Access-Request报文发送给认证服务器。步骤32,若在预设的时间长度内未接收到认证服务器发送的RADIUS Access-Challenge报文,则认证设备确认所述认证服务器停止为终端设备提供安全认证服务;若认证服务器此时处于正常工作状态,那么该认证服务器接收到上述RADIUS Access-Challenge报文后,会先从RADIUS Access-Challenge报文中提取出请求进行安全认证的终端设备的设备信息,然后在自身的设备信息数据库中,查找是否存在提取出的设备信息,若未查找到,则确认该终端设备不通过安全认证,向认证设备发送RADIUS Access-Reject报文,认证设备向终端设备发送ΕΑΡ-Failure报文,通知终端设备未通过安全认证,若查找到,则先根据该终端设备的设备信息,在存储的设备信息和口令信息的对应关系中,查找该终端设备的口令信息,然后随机产生一个加密字,根据随机产生的加密字, 对该终端设备的口令信息进行加密运算,得到运算结果,同时,认证服务器将随机产生的加密字封装到 RADIUS Access-Challenge 报文中,将该 RADIUS Access-Challenge 报文发送给认证设备;若认证服务器此时已经停止为终端设备提供安全认证服务,则认证服务器不会向认证设备反馈RADIUS Access-Challenge报文,如果认证设备在等待预设的时间长度后,未接收到认证服务器发送的RADIUS Access-Challenge报文,则可以确认认证服务器此时已经停止为终端设备提供安全认证服务。步骤33,认证设备将自身存储的、提示认证服务器停止为终端设备提供安全认证服务的提示信息携带在ΕΑΡ-Failure报文中发送给所述终端设备。若认证设备在预设的时间长度内未接收到认证服务器发送的RADIUS Access-Challenge报文,则需要向终端设备发送ΕΑΡ-Failure报文,通知终端设备未通过安全认证,本发明实施例一提出,认证设备中存储有提示认证服务器停止为终端设备提供安全认证服务的提示信息,当认证设备确认认证服务器已经停止为终端设备提供安全认证服务时,就将上述提示信息携带在ΕΑΡ-Failure报文中,然后将ΕΑΡ-Failure报文发送给终端设备,其中,认证设备可以但不限于将上述提示信息携带在ΕΑΡ-Failure报文的数据包域中。终端设备接收到ΕΑΡ-Failure报文后,从数据包域中提取出上述提示信息,将该提示信息进行展现,提示使用该终端设备的用户认证服务器停止为终端设备提供安全认证服务,那么使用该终端设备的用户就能够根据上述提示信息,获知此次认证失败的原因为此时认证服务器已经停止为终端设备提供安全认证服务,那么就不会继续触发安全认证请求。本发明实施例一中,认证服务器可以但不限于通过下述两种方式存储上述提示信息,分别为第一种方式,认证管理人员在认证服务器停止为终端设备提供认证服务之前,在认证设备上配置提示认证服务器停止为终端设备提供安全认证服务的提示信息,认证设备将配置的上述提示信息保存在可读可写的物理空间中;第二种方式,认证服务器在停止为终端设备提供认证服务之前,将上述提示信息携带在至少一个待发送报文中发送给认证设备,其中该待发送报文可以但不限于为下述报文中的一种或多种RADIUS Access-Challenge 报文、RADIUS Access-Acc印t 报文、 RADIUS Access-Reject报文,认证服务器将提示信息携带在哪个待发送报文中发送给认证设备,可以由认证服务器和认证设备预先进行约定,认证服务器将提示信息携带在预先约定的待发送报文中发送给认证设备。若约定在RADIUS Access-Challenge报文中携带提示信息,即RADIUS Access-Challenge报文为预先约定的待发送报文,则认证设备从 RADIUS Access-Challenge报文中提取出上述提示信息后进行存储,若约定在认证服务器发送给认证设备的最后一个报文中携带提示信息,即RADIUS Access-Acc印t报文或RADIUS Access-Reject报文为预先约定的待发送报文,则认证设备从RADIUS Access-Accept报文或RADIUS Access-Reject报文中提取出上述提示信息后进行存储。具体的认证管理人员在认证服务器停止为终端设备提供认证服务之前,预先在认证服务器上配置提示认证服务器停止为终端设备提供安全认证服务的提示信息,从认证管理人员配置上述提示信息到认证服务器开始停止为终端设备提供安全认证服务这一时间段内,若认证服务器需要向认证设备反馈预先约定的待发送报文,则认证服务器将上述提示信息携带在预先约定的待发送报文中发送给认证设备,认证设备接收到预先约定的待发送报文后,提取报文中携带的上述提示信息后进行存储。在上述第二种方式中,认证服务器可以但不限于将上述提示信息携带在预先约定的待发送报文的私有属性域中,其中,可以将上述提示信息携带在私有属性域的应答信息 (Reply-Message)属性中,上述提示信息在R印ly-Message属性中的格式可以预先和认证设备进行约定,例如,认证服务器预先和认证设备约定上述提示信息在R印Iy-Message属性中的格式为“PRE-ST0P_MSG :msg”,即上述提示信息携带在预先约定的待发送报文的私有属性域的PRE-ST0P_MSG字段中,msg表示上述提示认证服务器停止为终端设备提供安全认证服务的提示信息,认证设备接收到预先约定的待发送报文后,提取报文的私有属性域的PRE-ST0P_MSG字段中携带的上述提示信息,然后进行存储。此外,从认证管理人员配置上述提示信息到认证服务器开始停止为终端设备提供安全认证服务这一时间段内,认证服务器可以在向认证设备反馈的每个预先约定的待发送报文中均携带上述提示信息,认证设备第一次接收到携带有上述提示信息的、预先约定的待发送报文后,提取出上述提示信息后进行存储,在后续接收到预先约定的待发送报文时, 先从报文中提取出携带的提示信息,然后判断提取出的提示信息是否与存储的提示信息一致,若一致,则不进行处理,若不一致,则更新存储的提示信息;认证服务器也可以只在向认证设备反馈的部分预先约定的待发送报文中携带上述提示信息,例如从认证管理人员配置上述提示信息到认证服务器开始停止为终端设备提供安全认证服务这一时间段内,认证服务器只在第一次向认证设备反馈的、预先约定的待发送报文中携带上述提示信息,或只在第一次和第二次向认证设备反馈的、预先约定的待发送报文中携带上述提示信息。也就是说认证服务器将上述提示信息携带在至少一个预先约定的待发送报文中发送给认证设备。本发明实施例一提出,认证设备中还可以存储有认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息,例如认证服务器停止为终端设备提供安全认证服务的时间段为2011年8月30日M点至2011年8月31日M点,则认证服务器中就存储有上述时间段对应的时间段信息(例如为“2011年8月30日M点至2011年8月31日 M点”),为了提高认证设备确认认证服务器停止为终端设备提供安全认证服务的准确性, 认证设备在确认认证服务器停止为终端设备提供安全认证服务之前,还可以进一步判断当前时间点是否位于存储的所述时间段信息对应的时间段内,若判断结果为是,则可以确认认证服务器已经停止为终端设备提供安全认证服务,若判断结果为否,则可以认为是由于其他原因导致未接收到认证服务器发送的RADIUS Access-Challenge报文,而不是由认证服务器已经停止为终端设备提供安全认证服务导致的。其中,认证设备可以但不限于通过下述三种方式存储上述时间段信息,分别为第一种方式,认证管理人员在认证服务器停止为终端设备提供认证服务之前,预先在认证设备上配置认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息,认证设备将配置的上述时间段信息保存在可读可写的物理空间中,其中,认证管理人员可以但不限于同时在认证设备上配置上述提示信息和时间段信息。第二种方式,认证服务器在停止为终端设备提供认证服务之前,将上述时间段信息携带在至少一个待发送报文中发送给认证设备,认证设备从报文中提取出上述时间段信息后进行存储,具体的认证管理人员在认证服务器停止为终端设备提供认证服务之前,预先在认证服务器上配置认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息,其中,认证管理人员可以但不限于同时在认证服务器上配置上述提示信息和时间段信息,从认证管理人员配置时间段信息到认证服务器开始停止为终端设备提供安全认证服务这一时间段内,若认证服务器需要向认证设备反馈预先约定的待发送报文,则认证服务器将上述时间段信息携带在预先约定的待发送报文中发送给认证设备,认证设备接收到预先约定的待发送报文后,提取报文中携带的上述时间段信息后进行存储。在上述第二种方式中,认证服务器可以将提示信息和时间段信息分别发送给认证设备,认证服务器可以但不限于将上述时间段信息携带在预先约定的待发送报文的私有属性域中,其中,可以将上述时间段信息携带在私有属性域的Reply-Message属性中, 上述时间段信息在Reply-Message属性中的格式可以预先和认证设备进行约定,例如, 认证服务器预先和认证设备约定上述时间段信息在R印ly-Message属性中的格式为 "STOP-TIME :tBegin, tEnd”,即上述时间段信息携带在 RADIUS Access-Accept 报文或 RADIUS Access-Reject报文的私有属性域的STOP-TIME字段中,tBegin表示认证服务器开始停止为终端设备提供安全认证服务的时间点,tEnd表示认证服务器开始恢复为终端设备提供安全认证服务的时间点,认证设备接收到RADIUS Access-Accept报文或RADIUS Access-Reject报文后,提取报文的私有属性域的STOP-TIME字段中携带的上述提示信息, 然后进行存储;认证服务器也可以将提示信息和时间段信息携带在一个RADIUS Access-Accept 报文或RADIUS Access-Reject报文中发送给认证设备,此时,认证设备可以从一个 RADIUS Access-Accept报文或RADIUS Access-Reject报文中同时提取出时间段信息和提示信息。例如,将上述提示信息和时间段信息携带在RADIUS Access-Accept报文或 RADIUS Access-Reject报文的私有属性域的Iteply-Message属性中,格式为“ST0P-TIME tBegin, tEnd ;PRE_ST0P_MSG :msg”。第三种方式,认证服务器在停止为终端设备提供认证服务之前,将上述时间段信息携带在上述提示信息中发送给认证设备,认证设备从提示信息中提取出上述时间段信息后进行存储。为了告知使用终端设备的用户,认证服务器何时恢复为终端设备提供安全认证服务,以便终端设备能够在认证服务器恢复为终端设备提供安全认证服务后,及时的进行安全认证,本发明实施例一提出,携带在ΕΑΡ-Failure报文中的提示信息中可以包含认证服务器恢复为终端设备提供安全认证服务的时间点对应的时间点信息,例如,上述提示信息为“因网络机房整改,需要在2011年8月30日M点至2011年8月31日M点停止认证, 请相关人员注意”,其中“2011年8月31日M点”即为认证服务器恢复为终端设备提供安全认证服务的时间点对应的时间点信息。本发明实施例一中,对终端设备进行的安全性认证可以但不限于为IEEE802. Ix 安全认证。由上述处理过程可知,本发明实施例技术方案中,认证设备在终端设备请求进行安全认证时,向认证服务器发送RADIUS Access-Request报文,若在预设的时间长度内未接收到认证服务器发送的RADIUS Access-Challenge报文,则确认所述认证服务器停止为终端设备提供安全认证服务,此时认证设备向该终端设备发送ΕΑΡ-Failure报文,且该 ΕΑΡ-Failure报文中携带有提示认证服务器停止为终端设备提供安全认证服务的提示信息,因此使用该终端设备的用户就能够根据ΕΑΡ-Failure报文中携带的上述提示信息,获知此次认证失败的原因为此时认证服务器已经停止为终端设备提供安全认证服务,那么就不会继续触发安全认证请求,因此能够有效地节省终端设备和认证设备较多的处理资源, 也节省了较多的网络传输资源。下面给出更为详细的实施方式。实施例二如图4所示,为本发明实施例二提供的安全认证方法具体实现流程图,其具体处理流程如下步骤41,终端设备需要进行安全认证时,向认证设备发送EAPoL-Mart报文;步骤42,认证设备向终端设备应答EAP-Request/Identity报文,通知终端设备发送设备信息;步骤43,终端设备向认证设备应答携带有设备信息的EAP-Response/Identity报文;步骤44,认证设备从EAP-Response/Identity报文中提取出设备信息,将该设备信息封装到RADIUS Access-Request报文中发送给认证服务器;步骤45,认证设备在等待预设的时间长度后,未接收到认证服务器发送的RADIUS Access-Challenge报文,且当前时间点位于认证服务器停止为终端设备提供安全认证服务的时间段内,因此认证设备确认认证服务器此时已经停止为终端设备提供安全认证服务, 则将提示认证服务器停止为终端设备提供安全认证服务的提示信息携带在EAP-Failure 报文中发送给终端设备。实施例三与图3所示的安全认证方法对应,本发明实施例三提供一种安全认证装置,其结构如图5所示,包括存储单元51,用于存储提示认证服务器停止为终端设备提供安全认证服务的提示 fn息;请求报文发送单元52,用于在终端设备请求进行安全认证时,向认证服务器发送 RADIUS Access-Request 报文;停止服务确认单元53,用于在预设的时间长度内未接收到认证服务器发送的 RADIUS Access-Challenge报文时,确认所述认证服务器停止为终端设备提供安全认证服务;失败报文发送单元M,用于将所述存储单元51存储的所述提示信息,携带在 ΕΑΡ-Failure报文中发送给所述终端设备。较佳地,所述存储单元51,还用于存储所述认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息;所述安全认证装置还包括时间段确认单元,用于在停止服务确认单元53确认所述认证服务器停止为终端设备提供安全认证服务之前,确认当前时间点位于存储单元51 存储的所述时间段信息对应的时间段内。本发明实施例三还提供一种认证设备,至少包括上述安全认证装置。实施例四本发明实施例四提供一种安全认证装置,其结构如图6所示,包括提示信息获得单元61,用于获得提示所述安全认证装置停止为终端设备提供安全认证服务的提示信息;报文发送单元62,用于在所述安全认证装置停止为终端设备提供认证服务之前, 将提示信息获得单元61获得的所述提示信息携带在至少一个待发送报文中发送给认证设备,以供所述认证设备存储所述提示信息。较佳地,所述待发送报文为下述报文中的一种或多种RADIUS Access-Challenge 报文;RADIUS Access-Accept 艮文;RADIUS Access-Reject 报文。较佳地,所述安全认证装置还包括时间段信息发送单元,用于将所述认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息发送给所述认证设备。
本发明实施例四还提供一种认证服务器,至少包括上述安全认证装置。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种安全认证方法,其特征在于,包括认证设备在终端设备请求进行安全认证时,向认证服务器发送远程用户拨号认证接入请求 RADIUS Access-Request 艮文;若在预设的时间长度内未接收到认证服务器发送的远程用户拨号认证接入询问 RADIUS Access-Challenge报文,则确认所述认证服务器停止为终端设备提供安全认证服务;所述认证设备将自身存储的、提示认证服务器停止为终端设备提供安全认证服务的提示信息携带在可扩展认证协议失败ΕΑΡ-Failure报文中发送给所述终端设备。
2.如权利要求1所述的方法,其特征在于,所述提示信息为认证服务器在停止为终端设备提供认证服务之前,携带在至少一个待发送报文中发送给所述认证设备的。
3.如权利要求2所述的方法,其特征在于,所述待发送报文包括以下报文中的至少一种远程用户拨号认证接入询问RADIUS Access-Challenge报文; 远程用户拨号认证接入接受RADIUS Access-Acc印t报文; 远程用户拨号认证接入拒绝RADIUS Access-Reject报文。
4.如权利要求1所述的方法,其特征在于,所述认证设备还存储有所述认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息;所述认证设备确认所述认证服务器停止为终端设备提供安全认证服务之前,还包括 所述认证设备确认当前时间点位于存储的所述时间段信息对应的时间段内。
5.一种安全认证装置,其特征在于,包括存储单元,用于存储提示认证服务器停止为终端设备提供安全认证服务的提示信息; 请求报文发送单元,用于在终端设备请求进行安全认证时,向认证服务器发送远程用户拨号认证接入请求RADIUS Access-Request报文;停止服务确认单元,用于在预设的时间长度内未接收到认证服务器发送的远程用户拨号认证接入询问RADIUS Access-Challenge报文时,确认所述认证服务器停止为终端设备提供安全认证服务;失败报文发送单元,用于将所述存储单元存储的所述提示信息,携带在可扩展认证协议失败ΕΑΡ-Failure报文中发送给所述终端设备。
6.如权利要求5所述的装置,其特征在于,所述存储单元,还用于存储所述认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息;所述装置还包括时间段确认单元,用于在停止服务确认单元确认所述认证服务器停止为终端设备提供安全认证服务之前,确认当前时间点位于存储单元存储的所述时间段信息对应的时间段内。
7.—种认证设备,其特征在于,包括权利要求5或权利要求6所述的安全认证装置。
8.一种安全认证方法,其特征在于,包括认证服务器获得提示所述认证服务器停止为终端设备提供安全认证服务的提示信息;在停止为终端设备提供认证服务之前,将所述提示信息携带在至少一个待发送报文中发送给认证设备,以供所述认证设备存储所述提示信息。
9.如权利要求8所述的方法,其特征在于,所述待发送报文包括以下报文中的一种或多种远程用户拨号认证接入询问RADIUS Access-Challenge报文; 远程用户拨号认证接入接受RADIUS Access-Acc印t报文; 远程用户拨号认证接入拒绝RADIUS Access-Reject报文。
10.如权利要求8所述的方法,其特征在于,还包括将所述认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息发送给所述认证设备。
11.一种安全认证装置,其特征在于,包括提示信息获得单元,用于获得提示所述安全认证装置停止为终端设备提供安全认证服务的提示信息;报文发送单元,用于在所述安全认证装置停止为终端设备提供认证服务之前,将提示信息获得单元获得的所述提示信息携带在至少一个待发送报文中发送给认证设备,以供所述认证设备存储所述提示信息。
12.如权利要求11所述的装置,其特征在于,所述待发送报文包括以下报文中的一种或多种远程用户拨号认证接入询问RADIUS Access-Challenge报文; 远程用户拨号认证接入接受RADIUS Access-Accept报文; 远程用户拨号认证接入拒绝RADIUS Access-Reject报文。
13.如权利要求11所述的装置,其特征在于,还包括时间段信息发送单元,用于将所述认证服务器停止为终端设备提供安全认证服务的时间段对应的时间段信息发送给所述认证设备。
14.一种认证服务器,其特征在于,包括权利要求11 13任一权利要求所述的安全认证装置。
全文摘要
本发明公开了一种安全认证方法及装置、认证设备及认证服务器,该方法包括步骤认证设备在终端设备请求进行安全认证时,向认证服务器发送RADIUS Access-Request报文;若在预设的时间长度内未接收到认证服务器发送的RADIUS Access-Challenge报文,则确认所述认证服务器停止为终端设备提供安全认证服务;所述认证设备将自身存储的、提示认证服务器停止提供安全认证服务的提示信息携带在EAP-Failure报文中发送给所述终端设备。采用本发明技术方案,解决了现有技术中对终端设备进行安全认证时,耗费了终端设备和认证设备较多的处理资源,以及耗费了较多网络传输资源的问题。
文档编号H04L12/56GK102299803SQ20111026684
公开日2011年12月28日 申请日期2011年9月9日 优先权日2011年9月9日
发明者林明静 申请人:北京星网锐捷网络技术有限公司