一种增强安全性的可信网络接入认证方法,属于通信领域。该认证系统包括,访问请求者、认证者、接入认证服务器和策略管理器。设备与用户信息采集器客户端通过接入设备向认证服务器发送用户签名信息、设备签名信息;接入认证服务器验证用户签名信息与设备签名信息,策略管理器验证用户和设备的网络访问权限,并将策略结果返回给认证者;认证者根据策略结果控制接入请求者接入到可信网络。本发明专利技术解决了可信网络接入认证系统如何拒绝非授权设备进入网络的技术问题;对不同接入请求者根据不同的策略结果,将它们接入到不同子网中,可实现网络隔离的效果。
【技术实现步骤摘要】
本专利技术涉及数据通信领域的认证方法,具体地说,涉及一种承载在认证用高层协议上的扩展认证协议(EAP)的认证方法。
技术介绍
如图1所示的以太网组网图,计算机以有线方式与以太网交换机相连,或者以无线方式与无线接入点AP相连,再通过以太网线路连接到核心网中,如企业局域网或城域网等,在网络中通常设有远程用户拨号认证服务(Remote Authentication Dial-In User krvice,简称RADIUS)认证服务器来验证计算机用户身份的合法性。在实际的组网中,PC 可直接连在以太网交换机上,也可以通过集线器、以太网交换设备等级联到以太网交换机上,还可以通过甚高速数字用户线路(Very High Speed Digital Subscriber Line,简称 VDSL)和VDSL交换机相连,其中在VDSL线路中传递的是以太网格式的报文。在无线局域网中,可采用 IEEE(Instituteof Electrical and Electronics Engineers,电气禾口电子工禾呈师学会)802. 11,802. Ila,802. lib,802. Ilg等无线以太网协议来连接PC和AP。802. Ix协议称为基于端口的访问控制协议,是一种可信网络接入技术的认证协议,802. Ix以其协议安全、实现简单的特点,与其他认证协议一起,为使用不对称数字用户线(Asymmetric Digital Subscriber Line,简称 ADSL)、VDSL、局域网(Local Area Network,简称 LAN)、无线局域网(Wireless Local Area Network,简称 WLAN)等多种宽带接入方式的用户提供了丰富的认证方式。扩展认证协议(ExtensibleAuthentication Protocol,简称 ΕΑΡ)认证是为点到点协议(Point-to-Point Protocol,简称PPP)设计的一种新的认证构架,可以包括很多种认证方式,比如常用的EAP-MD5 (Message Digest 5,消息摘要5,一种加密算法)、 EAP-TLS(Transport Layerkcurity,传输层安全)等等。802. Ix 提供了 EAPoL(ΕΑΡ over LAN,局域网承载EAP协议)的封装,以及支撑EAP认证的构架,而EAP随着802. Ix协议的发展,也有了大量的应用。802. IX认证系统包括三个重要的组成部分接入请求者、认证者和认证服务器, 如图2所示。接入请求者一般为一个用户终端系统,通常要安装一个接入请求者软件,用户通过启动这个接入请求者软件发起802. Ix协议的认证过程。为支持基于端口的接入控制,接入请求者需支持EAPoL协议。认证者通常为支持802. Ix协议的网络设备。接入请求者通过认证者接入局域网的网络接入端口,该网络接入端口可以是认证者的物理端口,也可以是接入请求者的媒质接入控制(Media Access Control,简称 MAC)地址。网络接入端口被划分成两个虚端口 受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL认证报文,保证接入请求者始终可以发出或接受认证。受控端口则用于传递业务报文,在未授权状态下被阻塞,在授权状态下连通。为适应不同的应用环境,受控端口的操作受控方向可配置为双向受控和单向受控两种方式。图2中, 认证者的受控端口处于未认证、未授权状态,因此接入请求者无法访问认证者提供的服务。认证服务器通常为RADIUS服务器,用于存储有关接入请求者的用户身份及设备身份信息,比如接入请求者的设备访问控制列表等等。当接入请求者通过认证后,认证服务器把接入请求者的相关信息传递给认证者,由认证者构建动态的访问控制列表,接入请求者的后续流量接受上述参数的监管。认证者的端口认证实体(Port Authentication Entity,简称PAE)通过非受控端口与接入请求者PAE进行通信,二者之间运行EAPoL协议;认证者PAE与认证服务器之间运行EAP协议。如果认证者PAE和认证服务器集成在同一个系统内,那么两者之间的通信可以不采用EAP协议。在802. Ix协议中使用了 EAP认证方式。用户提供用户名、用户密码等认证信息, 通过802. Ix协议中包含的某种EAP认证方式,到认证者进行用户身份合法性的认证。常用的EAP认证方式有MD5、TLS、一次性密码(One Time Password,简称OTP)等等。当认证者收到用户的认证信息后,通过承载在RADIUS协议上的ΕΑΡ (ΕΑΡ over RADIUS,简称EAPoR) 协议到对应的认证服务器上进行认证。下面以EAP-MD5为例描述802. Ix认证方法。实际使用时,可以使用所有802. Ix 的认证方式。图3为EAP-MD5认证方法的示意图。当接入请求者和认证者之间建立好物理连接后,接入请求者向认证者发送一个EAPoL开始报文,启动802. Ix认证,认证者向接入请求者发送EAP认证请求报文,要求接入请求者提交用户名。接入请求者回应一个EAP认证应答报文给认证者,该应答报文中包含用户名信息。认证者以EAPoR报文格式向RADIUS 认证服务器发送含有EAP认证应答报文的访问请求报文,将用户名提交给RADIUS认证服务器。RADIUS认证服务器产生一个1 位的质询,并向认证者回应一个访问质询报文,里面含有EAP-MD5质询请求报文。认证者将EAP-MD5质询请求报文发送给接入请求者,接入请求者收到后,将密码和质询采用MD5算法进行加密,产生质询密码,并通过EAP-MD5质询应答报文把质询密码发送给认证者。认证者将质询密码通过访问请求报文送到RADIUS认证服务器,由RADIUS认证服务器进行认证,RADIUS认证服务器根据存储的接入请求者信息判断该接入请求者是否合法,然后回应认证成功/失败报文到认证者;如果认证成功,则RADIUS 认证成功报文中还含有用于接入请求者授权的协商参数以及接入请求者的相关业务属性。 认证者根据认证结果,向接入请求者回应EAP成功/失败报丈,通知接入请求者认证结果。 如果认证成功,则对接入请求者进行地址分配,然后进行授权、计费等流程。802. Ix协议建议认证在最接近用户的设备上实现,所以802. Ix认证一般在以太网交换机或AP上实现。对于一般的企业网,如图4所示,可以使用802. Ix认证方法对用户在AP或者以太网交换机上进行认证。而对安全性要求较高的网络,需要禁止外来设备的接入,如涉密单位的网络,则不仅要对用户进行认证,而且要实现对设备进行单独认证。
技术实现思路
本专利技术所要解决的技术问题在于提供一种可信网络接入认证系统的认证方法,使用TCM芯片,提供一种甄别终端设备的途径,从而解决了 802. Ix认证中伪造终端设备的可能。本专利技术是通过以下技术方案实现的可信网络接入认证系统的认证方法,所述认证系统包括接入请求者、认证者和认证服务器,所述接入请求者与所述认证者之间采用局域网承载扩展认证协议进行通讯,所述认证者与所述认证服务器之间采用承载在认证用高层协议上的扩展认证协议进行通讯,所述认证方法包括以下步骤步骤1,接入请求本文档来自技高网...
【技术保护点】
1.一种增强安全性的可信网络接入认证方法,所述认证系统包括接入请求者、认证者、接入认证服务器和策略管理器。所述接入请求者与所述认证者之间、所述认证者与所述认证服务器之间采用认证协议进行通讯。
【技术特征摘要】
1.一种增强安全性的可信网络接入认证方法,所述认证系统包括接入请求者、认证者、 接入认证服务器和策略管理器。所述接入请求者与所述认证者之间、所述认证者与所述认证服务器之间采用认证协议进行通讯。2.根据权利要求1所述的增强安全性的可信网络接入认证方法,其特征在于所述接入请求者包括网络接入请求者、客户端与签名收集者,所述网络接入请求者与所述客户端、所述客户端与所述签名收集者以数据承载方式连通;所述接入认证服务器包括网络接入认证服务器、服务端、签名验证者与策略管理器,所述网络接入认证服务器与所述服务端、所述服务端与所述签名验证者、所述服务端与所述策略管理器以数据承载方式连通。3.根据权利要求1所述的增强安全性的可信网络接入认证方法,所述认证方法包括以下步骤步骤1,接入请求者发起认证开始报文,启动认证;步骤2,认证者处理认证开始报文,获得含有接入请求者身份认证信息的认证协议响应报文;步骤3,认证者将所述扩展认证协议响应报文转发给认证服务器;步骤4,认证服务器产生含有某种认证方式的请求报文发送给认证者;步骤5,认证者将认证方式转发给接入请求者;步骤6,接入请求者按照指定的认证方式进行认证处理,向认证者发送请求应答报文;步骤7,认证者将请求应答报文转发给认证服务器;步骤8,认证服务器验证用户签名信息与设备签名信息,验证失败,则向认证者返回认证失败报文,至步骤12;步骤9,认证服务器匹配用户与设备的网络访问策略,匹配失败,则向认证者返回认证失败报文,至步骤12;步骤10,认证服务器向认证者返回认证成功报文;步骤11,认证者根据...
【专利技术属性】
技术研发人员:陈嘉,王晓光,冯金阳,
申请(专利权)人:清大安科北京科技有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。