一种安全认证方法、装置、认证服务器及存储介质制造方法及图纸

本发明专利技术公开了一种安全认证方法、装置、认证服务器及存储介质，所述方法包括：认证服务器接收代理者设备发送的EAP认证开始报文；所述认证服务器响应于所述EAP认证开始报文对所述代理者设备进行认证；当所述认证服务器对所述代理者设备认证通过时，所述认证服务器通过所述代理者设备对申请者设备进行认证。只有当认证服务器对代理者设备认证通过时，认证服务器才会通过代理者设备对申请者设备进行认证，从而可以提高认证服务器的安全性。从而可以提高认证服务器的安全性。从而可以提高认证服务器的安全性。

【技术实现步骤摘要】
一种安全认证方法、装置、认证服务器及存储介质
[0001]本申请是申请号为“201711391342.0”，申请日为“2017年12月21日”，题目为“一种安全认证方法、装置、认证服务器及存储介质”的中国专利申请的分案申请。


[0002]本专利技术实施例涉及网络通信
，尤其涉及一种安全认证方法、装置、认证服务器及存储介质。

技术介绍

[0003]EAP(Extensible Authentication Protocol，可扩展认证协议)是一种提供网络接入认证的可扩展框架，可以支持不同的认证方法。EAP一般承载在互联网二层协议之上，用户只有在完成EAP规定的认证之后才能进行合法的网络通信，不能正确认证的用户则不能进行数据通信。许多网络都使用EAP作为接入认证的标准协议，如802.11、WIMAX(Worldwide Interoperability for Microwave Access，微波存取全球互通)等。
[0004]图1为现有IEEE802.1x认证体系的组成结构示意图。如图1所示，基于IEEE802.1x协议的认证体系包括以下三个组成部分：申请者设备、代理者设备和认证服务器。1)、申请者设备：申请者设备需要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE802.1x认证。为了支持基于端口的接入控制，申请者需要支持EAPoL协议(EAP OVER LAN基于局域网的扩展认证协议)。2)、代理者设备：代理者设备在申请者设备和认证服务器之间起到代理作用，能够将来自申请者设备的EAPoL认证请求报文转为Radius报文发到认证服务器、将认证服务器返回的Radius报文转为EAPoL报文发送给申请者设备。代理者设备根据认证服务器对申请者设备的认证结果，来决定是否在自身上打开与申请者设备连接的接入物理端口。3)、认证服务器：认证服务器是指能够具备处理入网身份认证和访问权限检查能力的专用服务器，通常为Radius(Remote Authentication Dial In User Service，远程用户拨号认证系统)服务器，认证服务器能够检查申请者和认证系统的身份、类型和网络访问权限，并且通过认证系统向申请者返回身份认证应答结果。认证系统和认证服务器之间通过承载于Radius协议之上的EAP(Extensible Authentication Protocol，扩展认证协议)协议进行通信。具体地，其原理如下：代理者设备向客户端发起一个认证标识符请求(EAP Request/ID)，客户端返回自己的认证标识符(EAP Response/ID)，代理者设备把客户端的认证标识转发给认证服务器，认证服务器通过本地配置判断此客户端应该进行何种具体的认证方法(如EAP
‑
MD5，EAP
‑
TLS等)，然后开始发起具体的认证过程。在认证过程中，代理者设备对EAP的认证消息在客户端和AAA服务器之间进行透传，由于不执行具体的认证计算，代理者设备作为接入点不需要实现具体的认证方法；客户端和认证服务器进行认证相关的安全计算，因此保持了网络的可扩展性。
[0005]在实现本专利技术的过程中，专利技术人发现现有技术中至少存在如下问题：
[0006]在现有的安全认证方法中，认证服务器并不会对代理者设备进行认证，这种情况下，认证服务器的网络接口是不受控制的，任何连接到该网络接口的网络设备均可以访问
认证服务器，故存在一定的安全隐患。

技术实现思路

[0007]本专利技术提供一种安全认证方法、装置、认证服务器及存储介质，只有当认证服务器对代理者设备认证通过时，认证服务器才会通过代理者设备对申请者设备进行认证，从而可以提高认证服务器的安全性。
[0008]为达到上述目的，本专利技术的技术方案是这样实现的：
[0009]第一方面，本专利技术实施例提供了一种安全认证方法，所述方法包括：
[0010]认证服务器接收代理者设备发送的认证报文；
[0011]当所述认证服务器确定接收到的所述认证报文为EAP认证开始报文时，所述认证服务器响应于所述EAP认证开始报文对所述代理者设备进行认证；
[0012]当所述认证服务器对所述代理者设备认证通过时，所述认证服务器通过所述代理者设备对申请者设备进行认证。
[0013]在上述实施例中，所述认证服务器响应于所述EAP认证开始报文对所述代理者设备进行认证，包括：
[0014]所述认证服务器响应于所述EAP认证开始报文通知所述代理者设备发送所述代理者设备的身份信息；
[0015]所述认证服务器接收所述代理者设备发送的EAP认证响应报文；其中，所述EAP认证响应报文中携带所述代理者设备的身份信息；
[0016]所述认证服务器将所述EAP认证响应报文转换为Radius接入请求报文；
[0017]所述认证服务器根据所述Radius接入请求报文对所述代理者设备进行认证。
[0018]在上述实施例中，所述认证服务器响应于所述EAP认证开始报文对所述代理者设备进行认证，包括：
[0019]所述认证服务器响应于所述EAP认证开始报文通知所述代理者设备发送所述代理者设备的身份信息；
[0020]所述认证服务器接收所述代理者设备发送的EAP认证响应报文；其中，所述EAP认证响应报文中携带所述代理者设备的身份信息；
[0021]所述认证服务器根据所述EAP认证响应报文对所述代理者设备进行认证。
[0022]在上述实施例中，所述认证服务器确定接收到的所述认证报文为EAP认证开始报文，包括：
[0023]所述认证服务器获取所述认证报文的协议类型和目的媒体访问控制MAC地址；
[0024]当所述协议类型为预设协议类型且所述目的MAC地址为预设MAC地址时，所述认证服务器确定接收到的所述认证报文为所述EAP认证开始报文。
[0025]第二方面，本专利技术实施例还提供了一种设置于认证服务器上的安全认证装置，所述装置包括：网卡驱动模块和认证模块；其中，
[0026]所述网卡驱动模块，用于接收代理者设备发送的认证报文；
[0027]所述认证模块，当确定接收到的所述认证报文为EAP认证开始报文时，响应于所述EAP认证开始报文对所述代理者设备进行认证；当对所述代理者设备认证通过时，通过所述代理者设备对申请者设备进行认证。
[0028]在上述实施例中，所述认证模块包括：EAPoL处理子模块和Radius处理子模块；其中，
[0029]所述EAPoL处理子模块，用于响应于所述EAP认证开始报文通知所述代理者设备发送所述代理者设备的身份信息；
[0030]所述网卡驱动子模块，用于接收所述代理者设备发送的EAP认证响应报文；其中，所述EAP认证响应报文中携带所述代理者设备的身份信息；
[0031]所述EAPoL处理子模块，还用于将所述EAP认证响应报文转换为Radius接入请求报文；
[0032]所述Radius处理子模块本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全认证方法，其特征在于，所述方法包括：代理者设备向认证服务器发送认证报文；其中，认证服务器与代理者连接的网络端口处于关闭或禁止状态，且当认证服务器根据认证报文的协议类型和目的媒体访问控制MAC地址确定接收到的认证报文为EAP认证开始报文时，响应于EAP认证开始报文通知代理者设备发送代理者设备的身份信息；代理者设备根据认证服务器发送的通知，向认证服务器发送EAP认证响应报文，EAP认证响应报文中携带代理者设备的身份信息，身份信息包括用户名；其中，所述认证服务器根据所述EAP认证响应报文对所述代理者设备进行认证，并当认证服务器在预先保存的用户名和密码中查找到EAP认证响应报文中携带的用户名对应的密码时，用随机生成的一个加密字对所述密码进行加密处理，同时将加密字发送给代理者设备；代理者设备使用接收的加密字对代理者设备的密码进行加密并将所述加密字、用户名以及加密密码封装在报文中发送给认证服务器；其中，当认证服务器确定所述报文中携带的加密密码与预先保存的所述用户名对应的加密密码相同时，对代理者设备认证通过，并将自身与所述代理者设备连接的网络端口改为授权状态；代理者设备通过所述网络端口实现认证服务器对申请者设备的认证，其中，认证服务器与代理者设备使用Radius协议通信，代理者设备与申请者设备使用EAP协议通信。2.根据权利要求1所述的方法，其特征在于，代理者设备向认证服务器发送认证报文，包括：代理者设备通过在802.1X客户端程序中，输入已经申请且登记过的用户名和密码，向认证服务器发送EAP认证开始报文。3.根据权利要求1所述的方法，其特征在于，代理者设备通过所述网络端口实现认证服务器对申请者设备的认证，包括：代理者设备根据认证服务器对所述代理者设备认证通过后发送的认证成功报文，通过所述网络端口实现认证服务器对申请者设备的认证。4.根据权利要求1或3所述的方法，其特征在于，代理者设备通过所述网络端口实现认证服务器对申请者设备的认证，包括：代理者设备接收申请者设备发送的EAP认证开始报文；代理者设备响应于EAP认证开始报文向申请者设备发送Identity类型的EAP请求报文，要求对申请者设备进行身份验证；其中，申请者设备在接收到Identity类型的EAP请求报文后，向代理者设备发送Identity类型的EAP响应报文，Identity类型的EAP响应报文中携带申请者设备的用户名；代理...

【专利技术属性】
技术研发人员：郭冰，
申请(专利权)人：北京东土军悦科技有限公司，
类型：发明
国别省市：