一种认证方法及装置系统的制作方法
【技术领域】
[0001]本发明涉及通信领域,特别涉及一种认证方法及装置系统。
【背景技术】
[0002]IEEE802LAN/WAN委员会为解决局域网网络安全问题,在2001年制定了标准IEEEStd802.1X-2001,之后在2004年提出其修订版:IEEE Std802.1X-2004。经研究表明,目前,基于802.1X的网络访问控制(NAC:Network Access Control)系统在学校、企业等单位得到广泛应用。然而,IEEE802.1X存在安全缺陷,面临拒绝服务攻击(DoS:Denial of serviceattacks)、会话劫持、重放攻击、中间人攻击等安全威胁。
[0003]为了消除协议缺陷,目前已有四次握手认证解决方案,该方案在无线网络得到广泛应用,是IEEE802.lli标准的一部分,但是其仍然存在一定安全隐患,面临几种不同形式的拒绝服务攻击的威胁。
[0004]另外,对局域网上的扩展认证协议(EAPOL 〖Extensible Authenticat1n Protocolover LAN)的数据帧增加保护字段并建立共享密钥和密钥轮换机制,并对逐条消息进行完整性和源真实性进行保护。但是,现有IEEE802.1X协议最大的缺陷是状态机不完整,缺乏双向认证,以及对消息的完整性和源真实性的保护力较弱。而且,这些有效改进协议的方案,需要对数据帧格式加以改变,在当前基于IEEE802.1X的NAC系统上实施时具有一定难度,不够实用。
【发明内容】
[0005]本发明的目的在于提供一种认证方法及装置系统,能够解决认证机制在安全方面存在的不足,以及在NAC系统上实施所存在的不便的问题。
[0006]根据本发明的一个方面,提供了一种认证方法,包括:
[0007]客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是无线接入端根据认证服务器发送的第二认证信息得到的;
[0008]根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
[0009]优选地,所述第一认证信息是用来客户端对认证服务器进行认证的认证信息,第二认证信息是用来无线接入端对认证服务器进行认证的认证信息,第三认证信息是用来客户端对无线接入端进行认证的认证信息。
[0010]优选地,根据所述第一认证信息对认证服务器进行认证的步骤包括:
[0011]根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
[0012]将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
[0013]优选地,根据所述第三认证信息对无线接入端进行认证的步骤包括:
[0014]根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
[0015]将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
[0016]优选地,对所述客户端下线阶段进行认证的步骤包括:
[0017]在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
[0018]若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
[0019]优选地,所述的对第一下线认证信息进行认证的步骤包括:
[0020]利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
[0021]若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
[0022]若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
[0023]优选地,所述的由其根据所述第二下线认证信息控制当前端口状态的步骤包括:
[0024]利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
[0025]若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
[0026]若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
[0027]根据本发明的另一方面,提供了一种认证装置,包括:
[0028]接收模块,用于客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是所述无线接入端根据认证服务器发送的第二认证信息得到的;
[0029]双向认证模块,用于根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
[0030]优选地,所述双向认证模块包括:
[0031]第一认证解析子模块,用于根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
[0032]认证服务器认证子模块,用于将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
[0033]优选地,所述双向认证模块包括:
[0034]第三认证解析子模块,用于根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
[0035]无线接入端认证子模块,用于将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
[0036]优选地,还包括:
[0037]第一下线认证模块,用于在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
[0038]第二下线认证模块,用于若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
[0039]优选地,所述第一下线认证模块包括:
[0040]第一下线解析子模块,用于利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
[0041]第一下线主动认证子模块,用于若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
[0042]第一下线被动认证子模块,用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
[0043]优选地,所述第二下线认证模块包括:
[0044]第二下线解析子模块,用于利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
[0045]第二下线主动认证子模块,用于若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
[0046]第二下线被动认证子模块,用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
[0047]根据本发明的另一方面,提供了一种认证系统的认证方法,包括:
[0048]认证服务器对无线接入端和客户端进行认证,在认证成功后,将第一认证信息和第二认证信息发送给所述无线接入端;
[0049]无线接入端根据第二认证信息,生成第三认证信息,并将所述第一认证信息和第三认证信息发送给客户端;
[0050]客户端根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
[0051]根据本发明的另一方面,提供了一种认证系统,包括:
[0052]认证服务器,用于对无线接入端和