本发明专利技术提供了一种认证方法及装置,其中,该方法包括:接收用户终端发送的包含用户名的报文;根据接收的用户名判断是否为该用户终端执行本地认证;在判断结果为否的情况下,对该用户终端执行远程认证处理,通过本发明专利技术,解决了相关技术中存在的无法为用户提供区别认证服务,用户体验低的问题,进而达到了实现为不同的用户提供不同的认证服务,提高用户体验的效果。
【技术实现步骤摘要】
本专利技术涉及通信领域,具体而言,涉及一种认证方法及装置。
技术介绍
IEEE802LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。802.1X协议的体系结构一般包括三个重要的部分:客户端(SupplicantSystem)、认证系统(AuthenticatorSystem)和认证服务器(AuthenticationServerSystem)。客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起802.1X协议的认证过程。为支持基于端口的接入控制,客户端系统需支持扩展认证协议(ExtensibleAuthenticationProtocolOverLAN,简称为EAPOL)。认证系统通常为支持802.1X协议的网络设备,如交换机。认证服务器可以存储有关用户的信息,比如用户的优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。常用的802.1X认证方式有如下两种:方式一是远程认证,认证过程在认证系统和远端的服务器之间完成,支持远程认证拨号用户服务(RemoteAuthenticationDial-InUserService,简称为RADIUS)、终端访问控制器控制系统协议(TerminalAccessControllerAccessControlSystem,简称为TACACS)等协议,常用的RADIUS认证如图1所示,图1是相关技术中的远程认证的流程图,认证服务器为RADIUS服务器,客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。认证系统一般默认采用EAP-MD5认证加密算法。该远程认证流程包括以下步骤:步骤S102,当用户有访问网络需求时,打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,向认证系统发送一个EAPoL-Start报文,开始802.1X认证接入。步骤S104,认证系统向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来。步骤S106,客户端回应一个EAP-Response/Identity给认证系统,其中包括用户名。步骤S108,认证系统将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器。步骤S110,认证服务器收到认证系统转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个Challenge(加密字)对它进行加密处理,同时也将此Challenge通过RADIUSAccess-Challenge报文发送给认证系统。步骤S112,认证系统将Challenge通过EAP-Request/MD5-Challenge报文转发给客户端程序。步骤S114,客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的加密密码,封装在EAP-Response/MD5-Challenge回应给认证系统。步骤S116,认证系统将Challenge,加密密码和用户名一起通过RADIUSAccess-Request报文送到认证服务器,由认证服务器进行认证。步骤S118,认证服务器将收到的用户的加密密码和本地计算出的加密密码进行对比,如果相同,则认为该用户为合法用户,认证成功,否则认为该用户为非法用户,认证失败。然后将认证结果封装在RADIUSAccess-Accept报文中发送给认证系统。步骤S120,认证系统如果收到认证成功报文,则向客户端发送EAP-Success报文,并将端口改为授权状态,允许用户通过端口访问网络。否则,向客户端发送EAP-Failure报文,并禁止用户通过端口访问网络。方式二是本地认证,认证过程在认证系统上完成,用户信息(包括用户名、密码和各种属性)配置在认证系统上,图2是相关技术中的本地认证的流程图,如图2所示,客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息。该认证流程包括以下步骤:步骤S202,当用户有访问网络需求时,打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,向认证系统发送一个EAPoL-Start报文,开始802.1X认证接入。步骤S204,认证系统向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来。步骤S206,客户端回应一个EAP-Response/Identity报文给认证系统,其中包括用户名。步骤S208,认证系统收到客户端发送的用户名信息后,认证系统随机生成的一个Challenge(加密字),同时也将此Challenge通过EAP-Request/Challenge报文发送给客户端。步骤S210,客户端收到EAP-Request/Challenge报文后,将密码和Challenge做MD5算法后的加密密码,封装在EAP-Response/MD5-Challenge中回应给认证系统。步骤S212,认证系统将收到的用户的加密密码和本地计算出的加密密码进行对比,如果相同,则认为该用户为合法用户,认证成功,向客户端发送EAP-Success报文,并将端口改为授权状态,允许用户通过端口访问网络。否则认为该用户为非法用户,认证失败,向客户端发送EAP-Failure报文,并禁止用户通过端口访问网络。远程认证,例如RADIUS认证,其优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证;缺点是涉及客户端、认证系统、远程认证服务器三者间的报文交互,网络开销大,认证速度慢。本地认证的优点是只需要涉及客户端和认证系统间交互,速度快,可以降低运营成本;缺点是存储信息量受认证系统硬件条件限制,无法为更多的用户提供认证。可见,802.1X的两种常见认证方式,远程认证和本地认证各有优缺点,用户体验不理想。尤其是随着本文档来自技高网...
【技术保护点】
一种认证方法,其特征在于,包括:接收用户终端发送的包含用户名的报文;根据接收的所述用户名判断是否为所述用户终端执行本地认证;在判断结果为否的情况下,对所述用户终端执行远程认证处理。
【技术特征摘要】
1.一种认证方法,其特征在于,包括:
接收用户终端发送的包含用户名的报文;
根据接收的所述用户名判断是否为所述用户终端执行本地认证;
在判断结果为否的情况下,对所述用户终端执行远程认证处理。
2.根据权利要求1所述的方法,其特征在于,在根据接收的所述用户名判断是
否为所述用户终端执行本地认证之后,还包括:
在判断结果为是的情况下,对所述用户终端执行本地认证处理。
3.根据权利要求1所述的方法,其特征在于,在根据接收的所述用户名判断是
否为所述用户终端执行本地认证之前,还包括:
在用于对所述用户终端执行本地认证的数据库的用户名表中记录满足
预定条件的用户的用户名。
4.根据权利要求3所述的方法,其特征在于,根据接收的所述用户名判断是否
为所述用户终端执行本地认证包括:
判断所述用户名与所述数据库的用户名表中的信息是否匹配;
在判断结果为否的情况下,确定放弃为所述用户终端执行本地认证。
5.根据权利要求1所述的方法,其特征在于,对所述用户终端执行远程认证处
理包括:
判断对所述用户终端进行认证的认证方式是否为组合认证方式,其中,
所述组合认证方式为利用本地认证和远程认证对所述用户终端进行认证;
在判断结果为是的情况下,对所述用户终端执行远程认证处理。
6.一种认证装置,其特...
【专利技术属性】
技术研发人员:曹淑玲,王林梅,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。