專利名稱:一種基于eap認(rèn)證的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�,特別涉及一種基于EAP認(rèn)證的方法和系統(tǒng)。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)的發(fā)展����,信息安全越來越受到人們的關(guān)注,其中身份認(rèn)證是信息安全的 一個(gè)重要組成部分�。
目前網(wǎng)絡(luò)犯罪案件越來越多��,糾其原因���,關(guān)鍵的環(huán)節(jié)還在于所使用的認(rèn)證方法。目前最 常用的方法是"靜態(tài)口令"認(rèn)證方法��,所謂"靜態(tài)口令"認(rèn)證方法指用來認(rèn)證的數(shù)據(jù)為靜態(tài) 的����,即每次認(rèn)證時(shí)所使用的口令是不變的,所以"靜態(tài)口令"認(rèn)證方法的認(rèn)證口令很容易通 過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)被截獲���,存在根本的安全隱患�����。最常見的"靜態(tài)口令"認(rèn)證方 法有"用戶名/密碼"認(rèn)證方法����,以及IC卡認(rèn)證方法(通過從IC卡讀取認(rèn)證口令進(jìn)行認(rèn)證的 方法)等����。
基于智能密鑰裝置的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證方式��。 智能密鑰裝置是一種帶有處理器和存儲(chǔ)器的小型硬件裝置,可以通過計(jì)算機(jī)的數(shù)據(jù)通訊接口 與計(jì)算機(jī)連接����, 一般是通過USB (Universal Serial Bus,通用串行總線)接口與計(jì)算機(jī)相連���, 通常被稱為USB KEY或USB Token (身份認(rèn)證設(shè)備)���。智能密鑰裝置具有物理抗攻擊的特性, 安全性很高����。智能密鑰裝置目前被廣泛應(yīng)用在身份識(shí)別、網(wǎng)上銀行和VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò))等方面�����。
智能密鑰裝置一般采用安全設(shè)計(jì)芯片來實(shí)現(xiàn)其與安全相關(guān)的功能�����,因?yàn)榘踩O(shè)計(jì)芯片除 了具有通用嵌入式微控制器的各種特性外�����,更突出的特性是表現(xiàn)在安全性能方面�����。安全設(shè)計(jì) 芯片在芯片設(shè)計(jì)時(shí)會(huì)針對(duì)安全性能在結(jié)構(gòu)上做一些特殊處理����,使其更加安全。安全設(shè)計(jì)芯片 一般都要求符合相關(guān)的標(biāo)準(zhǔn)�,以及通過相關(guān)的認(rèn)證等以保證其安全性能,比如TCG (Trusted Computing Group,可信計(jì)算組織)TPM (Trusted Platform Module,可信平臺(tái)模塊)vl2規(guī)范�����、 ISO (International Standardize Organization,國際標(biāo)準(zhǔn)化組織)15408國際標(biāo)準(zhǔn)或中國密碼管 理委員會(huì)標(biāo)準(zhǔn)等等�。目前市面上有很多款安全設(shè)計(jì)芯片可供選擇,其中意法半導(dǎo)體的 ST19WP18微控制器�����,已通過"公共標(biāo)準(zhǔn)"評(píng)估保障級(jí)£八1^5+ (增強(qiáng)版)的認(rèn)證�����,這是IS015408國際標(biāo)準(zhǔn)關(guān)于此類產(chǎn)品的最高標(biāo)準(zhǔn)之一 。目前用的比較多的智能卡芯片為安全設(shè)計(jì)芯片的一 種���。
目前隨機(jī)口令技術(shù)也在興起���,隨機(jī)口令技術(shù)是一種讓認(rèn)證口令按照時(shí)間/事件不斷動(dòng)態(tài)變 化而變化,每個(gè)密碼只使用一次的技術(shù)�����。隨機(jī)口令是利用隨機(jī)口令算法生成的�。其中隨機(jī)口 令算法可以按照時(shí)間或次數(shù)的動(dòng)態(tài)變化來實(shí)現(xiàn),即隨機(jī)口令是通過隨機(jī)因子(即生成要素) 和另外一個(gè)或幾個(gè)因子經(jīng)過隨機(jī)口令算法計(jì)算得來的�,其中生成要素可以采用時(shí)間生成要素, 也可以釆用事件生成要素�����。隨機(jī)口令技術(shù)采用一種專用硬件設(shè)備實(shí)現(xiàn)���,也被稱為智能密鑰裝 置��,其結(jié)構(gòu)一般為在智能密鑰裝置內(nèi)置口令生成芯片�,在口令生成芯片內(nèi)置有專門的口令生 成算法���。目前市面上采用隨機(jī)口令技術(shù)的智能密鑰裝置主要有聯(lián)機(jī)型和非聯(lián)機(jī)型兩種����,其中 非聯(lián)機(jī)型的智能密鑰裝置主要有顯示屏��、電源�����,每次生成的隨機(jī)口令顯示在顯示屏上����,由用
戶在客戶端主機(jī)中輸入該隨機(jī)口令實(shí)現(xiàn)遠(yuǎn)程認(rèn)證;而聯(lián)機(jī)型主要為帶USB接口的智能密鑰裝
置�,每次生成的隨機(jī)口令通過USB接口輸入到客戶端主機(jī)中實(shí)現(xiàn)遠(yuǎn)程認(rèn)證,同理還可以是通 過藍(lán)牙�、紅外等其它接口輸入到客戶端主機(jī)中的。
PPP (Point to Point Protocol,點(diǎn)對(duì)點(diǎn)協(xié)議)認(rèn)證是TCP/IP網(wǎng)絡(luò)協(xié)議集合中的一個(gè)子協(xié) 議���,主要用來創(chuàng)建電話線路以及ISDN撥號(hào)接入ISP的連接���,具有多種身份驗(yàn)證方法、數(shù)據(jù) 壓縮和加密以及通知IP地址等功能���。對(duì)于EAP (Extensible Authentication Protocol,擴(kuò)展認(rèn)證 協(xié)議)認(rèn)證�����,為PPP認(rèn)證的擴(kuò)展認(rèn)證協(xié)議�,可以支持多種認(rèn)證機(jī)制,因?yàn)镋AP認(rèn)證并不在 鏈路控制階段指定認(rèn)證方法��,而是把這個(gè)過程推遲到認(rèn)證階段���,這樣認(rèn)證方就可以在要求更 多的信息以后再?zèng)Q定使用什么樣的認(rèn)證方法�����,這種機(jī)制就允許使用一臺(tái)后端服務(wù)器來真正執(zhí) 行認(rèn)證機(jī)制����,而PPP認(rèn)證方只是傳遞認(rèn)證交換信息����。由于在EAP認(rèn)證過程中,中間的接入 設(shè)備不需要對(duì)用戶及認(rèn)證報(bào)文進(jìn)行分析�,所以對(duì)用戶來說更加安全。因此��,隨著網(wǎng)絡(luò)技術(shù)的 快速發(fā)展,基于EAP的認(rèn)證方法逐漸被各運(yùn)營商所接受�����。
目前基于EAP認(rèn)證的過程通常為客戶端發(fā)送認(rèn)證請(qǐng)求給認(rèn)證端���,認(rèn)證端響應(yīng)后請(qǐng)求客 戶端的認(rèn)證信息,客戶端將認(rèn)證信息發(fā)送至認(rèn)證端進(jìn)行認(rèn)證��,認(rèn)證端將認(rèn)證結(jié)果發(fā)給客戶端�����。
在業(yè)務(wù)控制方面��,認(rèn)證�����、計(jì)費(fèi)��、授權(quán)(AAA: Authentication Authorization���、 Accounting) 的實(shí)現(xiàn)主要是通過RADIUS (遠(yuǎn)程撥號(hào)用戶認(rèn)證服務(wù))協(xié)議完成的多種用戶認(rèn)證�����。
在實(shí)現(xiàn)本發(fā)明過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題
O目前支持EAP報(bào)文的認(rèn)證方法由于采用的是靜態(tài)方式實(shí)現(xiàn)的認(rèn)證�����,所以安全性不高�����; 2)由于在EAP認(rèn)證中的認(rèn)證端可以為多種形式����,比如個(gè)人計(jì)算機(jī)、公司的服務(wù)器或?qū)?用服務(wù)器等等�����,所以這就給統(tǒng)一管理帶來很多不便���。
發(fā)明內(nèi)容
為了提高現(xiàn)有EAP認(rèn)證中的安全性和為了更便于統(tǒng)一管理��,本發(fā)明提供了一種基于EAP 認(rèn)證的方法和系統(tǒng)���。所述技術(shù)方案如下
一種基于EAP認(rèn)證的方法��,其特征在于�����,所述方法包括
1) 客戶端向網(wǎng)絡(luò)接入控制端發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文���;
2) 網(wǎng)絡(luò)接入控制端響應(yīng)并請(qǐng)求客戶端的認(rèn)證信息�����;
3) 客戶端接收包含智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息��,并以EAP報(bào)文的形 式發(fā)送至網(wǎng)絡(luò)接入控制端����;
4) 網(wǎng)絡(luò)接入控制端接收所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息后,發(fā)送至專用認(rèn)證端����;
5) 所述專用認(rèn)證端認(rèn)證所述當(dāng)包含當(dāng)前隨機(jī)口令的認(rèn)證信息�,并將認(rèn)證結(jié)果發(fā)送至網(wǎng) 絡(luò)接入控制端����,由所述網(wǎng)絡(luò)接入控制端以EAP報(bào)文的形式發(fā)送至所述客戶端。
所述網(wǎng)絡(luò)接入控制端為EAP認(rèn)證服務(wù)器����。 所述網(wǎng)絡(luò)接入控制端為路由器。
所述專用認(rèn)證端為RADIUS認(rèn)證服務(wù)器����,所述步驟4)具體為
網(wǎng)絡(luò)接入控制端接收所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息后,按照RADIUS通信協(xié)議將所 述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至RADIUS認(rèn)證服務(wù)器��;
相應(yīng)的���,步驟5)所述專用認(rèn)證端認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息��,并將認(rèn)證結(jié) 果發(fā)送至網(wǎng)絡(luò)接入控制端�,具體為RADIUS認(rèn)證服務(wù)器認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信 息��,并將認(rèn)證結(jié)果按照RADIUS通信協(xié)議發(fā)送至網(wǎng)絡(luò)接入控制端�。
所述專用認(rèn)證端為OTP認(rèn)證服務(wù)器,所述步驟4)具體為
網(wǎng)絡(luò)接入控制端接收所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息后,按照預(yù)先協(xié)商好的通信協(xié)議 將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器����;
相應(yīng)的,步驟5)所述專用認(rèn)證端認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息�,并將認(rèn)證結(jié) 果發(fā)送至網(wǎng)絡(luò)接入控制端,具體為OTP認(rèn)證服務(wù)器認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息��, 并將認(rèn)證結(jié)果按照所述預(yù)先協(xié)商好的通信協(xié)議發(fā)送至網(wǎng)絡(luò)接入控制端����。
所述網(wǎng)絡(luò)接入控制端按照預(yù)先協(xié)商好的通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā) 送至OTP認(rèn)證服務(wù)器的方法具體為
a) 網(wǎng)絡(luò)接入控制端從所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中提取出預(yù)設(shè)的網(wǎng)絡(luò)接入名;
b) 在所述網(wǎng)絡(luò)接入控制端的服務(wù)器中查找與所述網(wǎng)絡(luò)接入名相對(duì)應(yīng)的通信協(xié)議���;
c) 所述網(wǎng)絡(luò)接入控制端按照所述通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器�。
步驟3)所述智能密鑰裝置生成的當(dāng)前隨機(jī)口令的步驟具體為所述智能密鑰裝置根據(jù) 預(yù)設(shè)的隨機(jī)口令算法對(duì)內(nèi)置的生成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令��。
步驟3)所述智能密鑰裝置生成當(dāng)前隨機(jī)口令的步驟中還包括所述智能密鑰裝置生成 當(dāng)前隨機(jī)口令后���,修改所述生成要素。
所述生成要素為時(shí)間生成要素或事件生成要素��。
所述專用認(rèn)證端預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法����,并預(yù)設(shè) 與所述智能密鑰裝置內(nèi)置的生成要素相同的生成要素���,步驟5)所述專用認(rèn)證端認(rèn)證所述包 含當(dāng)前隨機(jī)口令的認(rèn)證信息的步驟具體為-
A. 所述專用認(rèn)證端根據(jù)所述隨機(jī)口令算法對(duì)所述生成要素進(jìn)行計(jì)算生成認(rèn)證口令;
B. 所述專用認(rèn)證端比較所述認(rèn)證口令與所述隨機(jī)口令是否一致�����,如果一致���,則認(rèn)證成 功�����;如果不一致��,則認(rèn)證失敗�。
步驟5)所述專用認(rèn)證端認(rèn)證所述當(dāng)前隨機(jī)口令的步驟中還包括
所述專用認(rèn)證端生成認(rèn)證口令后����,采用與所述智能密鑰裝置修改生成要素相同的方法修 改所述專用認(rèn)證端的生成要素。
所述專用認(rèn)證端預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法����,所述包 含當(dāng)前隨機(jī)口令的認(rèn)證信息中包含所述智能密鑰裝置內(nèi)置的生成要素,步驟5)所述專用認(rèn) 證端認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息的步驟具體為
a. 所述專用認(rèn)證端根據(jù)所述隨機(jī)口令算法對(duì)所述認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn) 證口令;
b. 所述專用認(rèn)證端比較所述認(rèn)證口令與所述隨機(jī)口令是否一致���,如果一致����,則認(rèn)證成功���; 如果不一致����,則認(rèn)證失敗��。
所述系統(tǒng)包括智能密鑰裝置���、客戶端��、網(wǎng)絡(luò)接入控制端和專用認(rèn)證端�����, 所述智能密鑰裝置包括生成模塊、輸出模塊和控制模塊
所述生成模塊用于在所述控制模塊的控制下根據(jù)預(yù)設(shè)的隨機(jī)口令算法生成當(dāng)前隨機(jī)口 令�����,并將所述當(dāng)前隨機(jī)口令發(fā)送給所述輸出模塊;
所述輸出模塊用于在所述控制模塊的控制下將包含所述當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送給
所述客戶端����;
所述控制模塊用于控制所述生成模塊生成當(dāng)前隨機(jī)口令,并控制所述輸出模塊將所述包 含當(dāng)前隨機(jī)口令的認(rèn)證信息輸出給所述客戶端��;所述客戶端包括請(qǐng)求模塊�����、接收模塊和發(fā)送模塊 所述請(qǐng)求模塊用于向所述網(wǎng)絡(luò)接入控制端發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文����;
所述接收模塊用于接收所述網(wǎng)絡(luò)接入控制端發(fā)送來的請(qǐng)求認(rèn)證信息的EAP報(bào)文后,接收 所述智能密鑰裝置的輸出模塊發(fā)送的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息�,并接收所述網(wǎng)絡(luò)接 入控制端返回的所述認(rèn)證結(jié)果;
所述發(fā)送模塊用于將所述接收模塊接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信息以EAP報(bào)文的 形式發(fā)送至網(wǎng)絡(luò)接入控制端����;
所述網(wǎng)絡(luò)接入控制端包括響應(yīng)模塊、接收模塊��、發(fā)送模塊和返回模塊
所述響應(yīng)模塊用于接收所述客戶端的請(qǐng)求模塊發(fā)送的認(rèn)證請(qǐng)求EAP報(bào)文后���,向所述客戶 端發(fā)送請(qǐng)求認(rèn)證信息的EAP報(bào)文��;
所述接收模塊用于接收所述客戶端發(fā)送來的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息�����,以及所 述專用認(rèn)證端發(fā)送來的認(rèn)證結(jié)果�;
所述發(fā)送模塊用于將所述網(wǎng)絡(luò)接入控制端的接收模塊接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證 信息發(fā)送至專用認(rèn)證端�����;
所述返回模塊用于將所述網(wǎng)絡(luò)接入控制端的接收模塊接收到的所述認(rèn)證結(jié)果返回給所述 客戶端����;
所述專用認(rèn)證端包括接收模塊、認(rèn)證模塊和返回模塊-
所述接收模塊用于接收所述網(wǎng)絡(luò)接入控制端發(fā)送來的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信
息�;
所述認(rèn)證模塊用于認(rèn)證所述專用認(rèn)證端的接收模塊接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信
息;
所述返回模塊用于將所述認(rèn)證模塊的認(rèn)證結(jié)果返回給所述網(wǎng)絡(luò)接入控制端的接收模塊����。
所述網(wǎng)絡(luò)接入控制端為EAP認(rèn)證服務(wù)器。
所述網(wǎng)絡(luò)接入控制端為路由器���。
所述專用認(rèn)證端為RADIUS認(rèn)證服務(wù)器���,所述網(wǎng)絡(luò)接入控制端的發(fā)送模塊具體為 RADIUS協(xié)議發(fā)送模塊���,用于按照RADIUS通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā) 送至RADIUS認(rèn)證服務(wù)器��;所述專用認(rèn)證端的返回模塊具體為RADIUS協(xié)議返回模塊���,用于 將所述認(rèn)證模塊的認(rèn)證結(jié)果按照RADIUS通信協(xié)議返回給所述網(wǎng)絡(luò)接入控制端的接收模塊。
所述專用認(rèn)證端為OTP認(rèn)證服務(wù)器��,所述網(wǎng)絡(luò)接入控制端的發(fā)送模塊具體為OTP協(xié)議 發(fā)送模塊,用于按照預(yù)先協(xié)商好的通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器�;所述專用認(rèn)證端的返回模塊具體為OTP協(xié)議返回模塊�����,用于將所述認(rèn)證模塊的 認(rèn)證結(jié)果按照預(yù)先協(xié)商好的通信協(xié)議返回給所述網(wǎng)絡(luò)接入控制端的接收模塊�。 所述OTP協(xié)議發(fā)送模塊具體包括
提取單元�����,用于從所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中提取出預(yù)設(shè)的網(wǎng)絡(luò)接入名�; 協(xié)議查找單元,用于在所述網(wǎng)絡(luò)接入控制端的服務(wù)器中查找與所述提取單元提取的網(wǎng)絡(luò)
接入名相對(duì)應(yīng)的通信協(xié)議���;
發(fā)送單元�����,用于按照所述通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證
服務(wù)器��。
所述智能密鑰裝置的生成模塊具體包括 設(shè)置單元�,用于預(yù)設(shè)隨機(jī)口令算法和生成要素;
生成單元���,用于在所述控制模塊的控制下根據(jù)所述設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)所述 預(yù)設(shè)的生成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令。 所述智能密鑰裝置還包括
修改模塊��,用于在所述生成單元生成當(dāng)前隨機(jī)口令后����,修改所述設(shè)置單元預(yù)設(shè)的生成要 素,所述生成要素包括時(shí)間生成要素和/或事件生成要素。 所述專用認(rèn)證端的認(rèn)證模塊具體包括
設(shè)置單元��,用于預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法����,預(yù)設(shè)與 所述智能密鑰裝置的生成要素相同的生成要素��;
生成單元���,用于根據(jù)所述設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)所述預(yù)設(shè)的生成要素進(jìn)行計(jì)算 生成認(rèn)證口令����;
認(rèn)證單元���,用于將所述生成單元生成的認(rèn)證口令與所述接收模塊接收的所述當(dāng)前隨機(jī)口 令比較�����,如果一致,則認(rèn)證成功����;如果不一致,則認(rèn)證失敗���。 所述專用認(rèn)證端還包括
修改模塊�,用于在所述生成單元生成認(rèn)證口令后����,用與所述智能密鑰裝置修改生成要素 相同的方法修改所述設(shè)置單元預(yù)設(shè)的生成要素,所述生成要素包括時(shí)間生成要素和/或事件生 成要素��。
所述專用認(rèn)證端的認(rèn)證模塊具體包括
設(shè)置單元���,用于預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法�; 生成單元����,用于根據(jù)所述設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)所述接收模塊接收的所述包含 當(dāng)前隨機(jī)口令的認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn)證口令�����;認(rèn)證單元�,用于將所述生成單元生成的認(rèn)證口令與所述接收模塊接收的所述當(dāng)前隨機(jī)口 令比較,如果一致�����,則認(rèn)證成功�����;如果不一致,則認(rèn)證失敗��。
所述輸出模塊為顯示模塊�、USB通信接口、紅外通信接口或藍(lán)牙通信接口�����。
本發(fā)明提供的基于EAP認(rèn)證的方法和系統(tǒng)�,具有如下有益效果-
1) 與現(xiàn)有技術(shù)中采用靜態(tài)認(rèn)證方式的EAP認(rèn)證方法相比���,本發(fā)明采用了隨機(jī)口令技術(shù)����, 使得每次認(rèn)證時(shí)所使用的認(rèn)證信息都是變換的,從而提高了安全性;
2) 由于本發(fā)明采用了專用認(rèn)證端����,而不是分散的網(wǎng)絡(luò)接入控制端,即第三方認(rèn)證��,所以 可以在專用的認(rèn)證端實(shí)現(xiàn)很多控制和管理功能�����,比如可以管理不同用戶的權(quán)限�����,使用期限����, 査看用戶操作的歷史痕跡等等,便于實(shí)現(xiàn)統(tǒng)一管理���。
圖1是本發(fā)明實(shí)施例1提供的基于EAP認(rèn)證的方法的流程圖2是本發(fā)明實(shí)施例2提供的基于EAP認(rèn)證的方法的流程圖��; 圖3是本發(fā)明實(shí)施例3提供的基于EAP認(rèn)證的系統(tǒng)的結(jié)構(gòu)圖�。
具體實(shí)施例方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn) 一步地詳細(xì)描述�。 實(shí)施例1
參見圖l���,本發(fā)明實(shí)施例提供了一種基于EAP認(rèn)證的方法��,具體包括以下步驟-
步驟101:客戶端向EAP認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文����。
步驟102: EAP認(rèn)證服務(wù)器響應(yīng)并請(qǐng)求客戶端的認(rèn)證信息���。
EAP認(rèn)證服務(wù)器也可以是其它形式的網(wǎng)絡(luò)接入控制端�,比如路由器等。
步驟103:智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息���,并發(fā)送至客戶端���。
智能密鑰裝置生成的當(dāng)前隨機(jī)口令的步驟具體為智能密鑰裝置根據(jù)預(yù)設(shè)的隨機(jī)口令算
法對(duì)內(nèi)置的生成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令。生成要素為時(shí)間生成要素或事件生成要素 等���。智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息后還包括修改該生成要素的步驟。
步驟104:客戶端以EAP報(bào)文的形式發(fā)送至EAP認(rèn)證服務(wù)器�。
步驟105: EAP認(rèn)證服務(wù)器將該包含當(dāng)前隨機(jī)口令的認(rèn)證信息按照RADIUS通信協(xié)議發(fā)送至RADIUS認(rèn)證服務(wù)器��。
步驟106: RADIUS認(rèn)證服務(wù)器認(rèn)證該包含當(dāng)前隨機(jī)口令的認(rèn)證信息�����。
當(dāng)RADIUS認(rèn)證服務(wù)器預(yù)設(shè)與智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法���,并預(yù)
設(shè)與智能密鑰裝置內(nèi)置的生成要素相同的生成要素時(shí),RADIUS認(rèn)證服務(wù)器認(rèn)證包含當(dāng)前隨
機(jī)口令的認(rèn)證信息的步驟具體為
A. RADIUS認(rèn)證服務(wù)器根據(jù)隨機(jī)口令算法對(duì)生成要素進(jìn)行計(jì)算生成認(rèn)證口令�����;
B. RADIUS認(rèn)證服務(wù)器比較認(rèn)證口令與隨機(jī)口令是否一致��,如果一致����,則認(rèn)證成功����;如 果不一致��,則認(rèn)證失敗���。
此時(shí)在RADIUS認(rèn)證服務(wù)器生成認(rèn)證口令后�����,還包括采用與智能密鑰裝置修改生成要素 相同的方法修改RADIUS認(rèn)證服務(wù)器的生成要素的步驟�。
RADIUS認(rèn)證服務(wù)器預(yù)設(shè)與智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法�,包含當(dāng) 前隨機(jī)口令的認(rèn)證信息中包含智能密鑰裝置內(nèi)置的生成要素,RADIUS認(rèn)證服務(wù)器認(rèn)證包含 當(dāng)前隨機(jī)口令的認(rèn)證信息的步驟具體為
a. RADIUS認(rèn)證服務(wù)器根據(jù)隨機(jī)口令算法對(duì)認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn)證口
令�����;
b. RADIUS認(rèn)證服務(wù)器比較認(rèn)證口令與隨機(jī)口令是否一致�����,如果一致���,則認(rèn)證成功�;如 果不一致����,則認(rèn)證失敗。
步驟107: RADIUS認(rèn)證服務(wù)器將認(rèn)證結(jié)果按照RADIUS通信協(xié)議返回給EAP認(rèn)證服務(wù)器���。
步驟108: EAP認(rèn)證服務(wù)器將認(rèn)證結(jié)果以EAP報(bào)文的形式返回給客戶端�����。 實(shí)施例2
參見圖2��,本發(fā)明實(shí)施例提供了一種基于EAP認(rèn)證的方法����,具體包括以下步驟-步驟201:客戶端向EAP認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文��。 步驟202: EAP認(rèn)證服務(wù)器響應(yīng)并請(qǐng)求客戶端的認(rèn)證信息���。 EAP認(rèn)證服務(wù)器也可以是其它形式的網(wǎng)絡(luò)接入控制端,比如路由器等����。 步驟203:智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息,并發(fā)送至客戶端���。 智能密鑰裝置生成的當(dāng)前隨機(jī)口令的步驟具體為智能密鑰裝置根據(jù)預(yù)設(shè)的隨機(jī)口令算 法對(duì)內(nèi)置的生成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令���。生成要素為時(shí)間生成要素或事件生成要素 等��。智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息后還包括修改該生成要素的步驟���。 步驟204:客戶端以EAP報(bào)文的形式發(fā)送至EAP認(rèn)證服務(wù)器。步驟205: EAP認(rèn)證服務(wù)器將該包含當(dāng)前隨機(jī)口令的認(rèn)證信息按照預(yù)先協(xié)商好的通信協(xié) 議發(fā)送至OTP認(rèn)證服務(wù)器�。
EAP認(rèn)證服務(wù)器按照預(yù)先協(xié)商好的通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至 OTP認(rèn)證服務(wù)器的方法具體為
1) EAP認(rèn)證服務(wù)器從所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中提取出預(yù)設(shè)的網(wǎng)絡(luò)接入名;
2) 在EAP認(rèn)證服務(wù)器中查找與該網(wǎng)絡(luò)接入名相對(duì)應(yīng)的通信協(xié)議��;
3) EAP認(rèn)證服務(wù)器按照該通信協(xié)議將包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服 務(wù)器��。
步驟206: OTP認(rèn)證服務(wù)器認(rèn)證該包含當(dāng)前隨機(jī)口令的認(rèn)證信息��。
當(dāng)OTP認(rèn)證服務(wù)器預(yù)設(shè)與智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法����,并預(yù)設(shè)與 智能密鑰裝置內(nèi)置的生成要素相同的生成要素時(shí),OTP認(rèn)證服務(wù)器認(rèn)證包含當(dāng)前隨機(jī)口令的 認(rèn)證信息的步驟具體為
A. OTP認(rèn)證服務(wù)器根據(jù)隨機(jī)口令算法對(duì)生成要素進(jìn)行計(jì)算生成認(rèn)證口令����;
B. OTP認(rèn)證服務(wù)器比較認(rèn)證口令與隨機(jī)口令是否一致,如果一致�,則認(rèn)證成功;如果
不一致��,則認(rèn)證失敗�。
此時(shí)在OTP認(rèn)證服務(wù)器生成認(rèn)證口令后���,還包括采用與智能密鑰裝置修改生成要素相同 的方法修改OTP認(rèn)證服務(wù)器的生成要素的步驟��。
OTP認(rèn)證服務(wù)器預(yù)設(shè)與智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法�,包含當(dāng)前隨 機(jī)口令的認(rèn)證信息中包含智能密鑰裝置內(nèi)置的生成要素�,OTP認(rèn)證服務(wù)器認(rèn)證包含當(dāng)前隨機(jī) 口令的認(rèn)證信息的步驟具體為
a. OTP認(rèn)證服務(wù)器根據(jù)隨機(jī)口令算法對(duì)認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn)證口令;
b. OTP認(rèn)證服務(wù)器比較認(rèn)證口令與隨機(jī)口令是否一致�����,如果一致�����,則認(rèn)證成功���;如果不
一致��,則認(rèn)證失敗��。
步驟207: OTP認(rèn)證服務(wù)器將認(rèn)證結(jié)果按照預(yù)先協(xié)商好的通信協(xié)議返回給EAP認(rèn)證服務(wù)
器o
步驟208: EAP認(rèn)證服務(wù)器將認(rèn)證結(jié)果以EAP報(bào)文的形式返回給客戶端。 實(shí)施例3:
參見圖3���,本發(fā)明實(shí)施例提供了一種基于EAP認(rèn)證的系統(tǒng)����,包括智能密鑰裝置300��、客 戶端400�、網(wǎng)絡(luò)接入控制端500和專用認(rèn)證端600,
智能密鑰裝置300包括生成模塊301��、輸出模塊302和控制模塊303:生成模塊301用于在控制模塊303的控制下根據(jù)預(yù)設(shè)的隨機(jī)口令算法生成當(dāng)前隨機(jī)口令���,
并將當(dāng)前隨機(jī)口令發(fā)送給輸出模塊302;
輸出模塊302用于在控制模塊303的控制下將包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送給客戶 端400;
控制模塊303用于控制生成模塊301生成當(dāng)前隨機(jī)口令�����,并控制輸出模塊302將包含當(dāng)
前隨機(jī)口令的認(rèn)證信息輸出給客戶端400;
客戶端400包括請(qǐng)求模塊401 ����、接收模塊402和發(fā)送模塊403:
請(qǐng)求模塊401用于向網(wǎng)絡(luò)接入控制端500發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文;
接收模塊402用于接收網(wǎng)絡(luò)接入控制端500發(fā)送來的請(qǐng)求認(rèn)證信息的EAP報(bào)文后�����,接收
智能密鑰裝置300的輸出模塊302發(fā)送的包含當(dāng)前隨機(jī)口令的認(rèn)證信息�,并接收網(wǎng)絡(luò)接入控
制端500返回的認(rèn)證結(jié)果��;
發(fā)送模塊403用于將接收模塊402接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信息以EAP報(bào)文的
形式發(fā)送至網(wǎng)絡(luò)接入控制端500;
網(wǎng)絡(luò)接入控制端500包括響應(yīng)模塊501 ����、接收模塊502、發(fā)送模塊503和返回模塊504: 響應(yīng)模塊501用于接收客戶端400的請(qǐng)求模塊401發(fā)送的認(rèn)證請(qǐng)求EAP報(bào)文后,向客戶
端400發(fā)送請(qǐng)求認(rèn)證信息的EAP報(bào)文����;
接收模塊502用于接收客戶端400發(fā)送來的包含當(dāng)前隨機(jī)口令的認(rèn)證信息,以及專用認(rèn)
證端600發(fā)送來的認(rèn)證結(jié)果�;
發(fā)送模塊503用于將接收模塊接502收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至專用認(rèn)
證端600;
返回模塊504用于將接收模塊502接收到的認(rèn)證結(jié)果返回給所述客戶端400;
專用認(rèn)證端600包括接收模塊601 、認(rèn)證模塊602和返回模塊603:
接收模塊601用于接收網(wǎng)絡(luò)接入控制端500發(fā)送來的包含當(dāng)前隨機(jī)口令的認(rèn)證信息����;
認(rèn)證模塊602用于認(rèn)證接收模塊601接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信息;
返回模塊603用于將認(rèn)證模塊602的認(rèn)證結(jié)果返回給接收模塊501����。
其中,網(wǎng)絡(luò)接入控制端為EAP認(rèn)證服務(wù)器或路由器等�。
專用認(rèn)證端600可以是RADIUS認(rèn)證服務(wù)器�����,此時(shí)網(wǎng)絡(luò)接入控制端的發(fā)送模塊502具體 為RADIUS協(xié)議發(fā)送模塊���,用于按照RADIUS通信協(xié)議將包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送 至RADIUS認(rèn)證服務(wù)器����;同樣,專用認(rèn)證端的返回模塊603具體為RADIUS協(xié)議返回模塊���, 用于將認(rèn)證模塊的認(rèn)證結(jié)果按照RADIUS通信協(xié)議返回給網(wǎng)絡(luò)接入控制端的接收模塊�����。專用認(rèn)證端600還可以是OTP認(rèn)證服務(wù)器�����,此時(shí)網(wǎng)絡(luò)接入控制端的發(fā)送模塊502具體為 OTP協(xié)議發(fā)送模塊��,用于按照預(yù)先協(xié)商好的通信協(xié)議將包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至 OTP認(rèn)證服務(wù)器�����;同樣,專用認(rèn)證端的返回模塊603具體為OTP協(xié)議返回模塊�����,用于將認(rèn)證 模塊的認(rèn)證結(jié)果按照預(yù)先協(xié)商好的通信協(xié)議返回給網(wǎng)絡(luò)接入控制端的接收模塊����。
進(jìn)一步的,OTP協(xié)議發(fā)送模塊具體包括-
提取單元��,用于從包含當(dāng)前隨機(jī)口令的認(rèn)證信息中提取出預(yù)設(shè)的網(wǎng)絡(luò)接入名�����; 協(xié)議査找單元����,用于在網(wǎng)絡(luò)接入控制端的服務(wù)器中査找與提取單元提取的網(wǎng)絡(luò)接入名相 對(duì)應(yīng)的通信協(xié)議��;
發(fā)送單元���,用于按照通信協(xié)議將包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器。 具體的���,智能密鑰裝置的生成模塊具體包括-設(shè)置單元,用于預(yù)設(shè)隨機(jī)口令算法和生成要素���;
生成單元��,用于在控制模塊303的控制下根據(jù)設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)預(yù)設(shè)的生 成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令��。
進(jìn)一步的���,智能密鑰裝置300還包括
修改模塊,用于在生成單元生成當(dāng)前隨機(jī)口令后�����,修改設(shè)置單元預(yù)設(shè)的生成要素��。 具體的�,專用認(rèn)證端600的認(rèn)證模塊602具體包括
設(shè)置單元,用于預(yù)設(shè)與智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法��,預(yù)設(shè)與智能 密鑰裝置的生成要素相同的生成要素���;
生成單元�,用于根據(jù)設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)預(yù)設(shè)的生成要素進(jìn)行計(jì)算生成認(rèn)證 口令���;
認(rèn)證單元���,用于將生成單元生成的認(rèn)證口令與接收模塊接收的當(dāng)前隨機(jī)口令比較�����,如果 一致�,則認(rèn)證成功��;如果不一致�����,則認(rèn)證失敗����。 進(jìn)一步的,專用認(rèn)證端600還包括
修改模塊��,用于在生成單元生成認(rèn)證口令后,用與智能密鑰裝置修改生成要素相同的方
法修改設(shè)置單元預(yù)設(shè)的生成要素�����。
具體的����,專用認(rèn)證端600的認(rèn)證模塊602還可以具體包括
設(shè)置單元�����,用于預(yù)設(shè)與智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法�;
生成單元,用于根據(jù)設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)接收模塊接收的包含當(dāng)前隨機(jī)口令
的認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn)證口令����;
認(rèn)證單元,用于將生成單元生成的認(rèn)證口令與接收模塊接收的當(dāng)前隨機(jī)口令比較���,如果一致��,則認(rèn)證成功�����;如果不一致,則認(rèn)證失敗���。
其中輸出模塊具體為顯示模塊�、USB通信接口�、紅外通信接口或藍(lán)牙通信接口等等。 其中生成要素包括時(shí)間生成要素和/或事件生成要素等����。
本發(fā)明實(shí)施例提供的基于EAP認(rèn)證的方法和系統(tǒng)�,與現(xiàn)有技術(shù)中采用靜態(tài)認(rèn)證方式的 EAP認(rèn)證方法和系統(tǒng)相比,采用了隨機(jī)口令技術(shù)����,使得每次認(rèn)證時(shí)所使用的認(rèn)證信息都是變 換的,從而提高了安全性����;另外,由于本發(fā)明實(shí)施例采用了專用認(rèn)證端�,而不是分散的網(wǎng)絡(luò) 接入控制端,即第三方認(rèn)證���,所以可以在專用的認(rèn)證端實(shí)現(xiàn)很多控制和管理功能�����,比如可以 管理不同用戶的權(quán)限�����,使用期限�����,査看用戶操作的歷史痕跡等等�,便于實(shí)現(xiàn)統(tǒng)一管理���。
以上所述僅為本發(fā)明的較佳實(shí)施例��,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之 內(nèi)��,所作的任何修改�、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1�、一種基于EAP認(rèn)證的方法,其特征在于,所述方法包括1)客戶端向網(wǎng)絡(luò)接入控制端發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文���;2)網(wǎng)絡(luò)接入控制端響應(yīng)并請(qǐng)求客戶端的認(rèn)證信息���;3)客戶端接收包含智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息,并以EAP報(bào)文的形式發(fā)送至網(wǎng)絡(luò)接入控制端���;4)網(wǎng)絡(luò)接入控制端接收所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息后�����,發(fā)送至專用認(rèn)證端����;5)所述專用認(rèn)證端認(rèn)證所述當(dāng)包含當(dāng)前隨機(jī)口令的認(rèn)證信息,并將認(rèn)證結(jié)果發(fā)送至網(wǎng)絡(luò)接入控制端���,由所述網(wǎng)絡(luò)接入控制端以EAP報(bào)文的形式發(fā)送至所述客戶端����。
2���、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法��,其特征在于�,所述網(wǎng)絡(luò)接入控制端為 EAP認(rèn)證服務(wù)器���。
3�、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法���,其特征在于�����,所述網(wǎng)絡(luò)接入控制端為 路由器�。
4���、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法,其特征在于,所述專用認(rèn)證端為RADIUS 認(rèn)證服務(wù)器���,所述步驟4)具體為-網(wǎng)絡(luò)接入控制端接收所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息后���,按照RADIUS通信協(xié)議將所 述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至RADIUS認(rèn)證服務(wù)器�����;相應(yīng)的,步驟5)所述專用認(rèn)證端認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息���,并將認(rèn)證結(jié) 果發(fā)送至網(wǎng)絡(luò)接入控制端����,具體為RADIUS認(rèn)證服務(wù)器認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信 息,并將認(rèn)證結(jié)果按照RADIUS通信協(xié)議發(fā)送至網(wǎng)絡(luò)接入控制端�����。
5�、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法,其特征在于�,所述專用認(rèn)證端為OTP 認(rèn)證服務(wù)器���,所述步驟4)具體為網(wǎng)絡(luò)接入控制端接收所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息后����,按照預(yù)先協(xié)商好的通信協(xié)議 將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器�;相應(yīng)的,步驟5)所述專用認(rèn)證端認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息�,并將認(rèn)證結(jié)果發(fā)送至網(wǎng)絡(luò)接入控制端,具體為OTP認(rèn)證服務(wù)器認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息, 并將認(rèn)證結(jié)果按照所述預(yù)先協(xié)商好的通信協(xié)議發(fā)送至網(wǎng)絡(luò)接入控制端���。
6�、 根據(jù)權(quán)利要求5所述的基于EAP認(rèn)證的方法�����,其特征在于��,所述網(wǎng)絡(luò)接入控制端按 照預(yù)先協(xié)商好的通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器的方法 具體為-a) 網(wǎng)絡(luò)接入控制端從所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中提取出預(yù)設(shè)的網(wǎng)絡(luò)接入名��;b) 在所述網(wǎng)絡(luò)接入控制端的服務(wù)器中査找與所述網(wǎng)絡(luò)接入名相對(duì)應(yīng)的通信協(xié)議�����;c) 所述網(wǎng)絡(luò)接入控制端按照所述通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器�。
7���、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法���,其特征在于�����,步驟3)所述智能密鑰裝 置生成的當(dāng)前隨機(jī)口令的步驟具體為所述智能密鑰裝置根據(jù)預(yù)設(shè)的隨機(jī)口令算法對(duì)內(nèi)置的 生成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令��。
8�����、 根據(jù)權(quán)利要求7所述的基于EAP認(rèn)證的方法���,其特征在于�����,步驟3)所述智能密鑰裝 置生成當(dāng)前隨機(jī)口令的步驟中還包括所述智能密鑰裝置生成當(dāng)前隨機(jī)口令后��,修改所述生 成要素��。
9�、 根據(jù)權(quán)利要求7或8所述的基于EAP認(rèn)證的方法,其特征在于��,所述生成要素為時(shí) 間生成要素或事件生成要素�����。
10��、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法�����,其特征在于�����,所述專用認(rèn)證端預(yù)設(shè)與 所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法,并預(yù)設(shè)與所述智能密鑰裝置內(nèi)置的 生成要素相同的生成要素��,步驟5)所述專用認(rèn)證端認(rèn)證所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息 的步驟具體為A. 所述專用認(rèn)證端根據(jù)所述隨機(jī)口令算法對(duì)所述生成要素進(jìn)行計(jì)算生成認(rèn)證口令�����;B. 所述專用認(rèn)證端比較所述認(rèn)證口令與所述隨機(jī)口令是否一致��,如果一致�,則認(rèn)證成 功����;如果不一致,則認(rèn)證失敗�����。
11、 根據(jù)權(quán)利要求10所述的基于EAP認(rèn)證的方法,其特征在于����,步驟5)所述專用認(rèn)證 端認(rèn)證所述當(dāng)前隨機(jī)口令的步驟中還包括所述專用認(rèn)證端生成認(rèn)證口令后,采用與所述智能密鑰裝置修改生成要素相同的方法修 改所述專用認(rèn)證端的生成要素����。
12、 根據(jù)權(quán)利要求1所述的基于EAP認(rèn)證的方法���,其特征在于��,所述專用認(rèn)證端預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法��,所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中包含所述智能密鑰裝置內(nèi)置的生成要素�����,步驟5)所述專用認(rèn)證端認(rèn)證所述包含當(dāng)前隨機(jī) 口令的認(rèn)證信息的步驟具體為-a. 所述專用認(rèn)證端根據(jù)所述隨機(jī)口令算法對(duì)所述認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn) 證口令�;b. 所述專用認(rèn)證端比較所述認(rèn)證口令與所述隨機(jī)口令是否一致,如果一致����,則認(rèn)證成功���; 如果不一致����,則認(rèn)證失敗。
13����、 一種基于EAP認(rèn)證的系統(tǒng)�,其特征在于,所述系統(tǒng)包括智能密鑰裝置���、客戶端���、網(wǎng)絡(luò)接入控制端和專用認(rèn)證端��,所述智能密鑰裝置包括生成模塊����、輸出模塊和控制模塊-所述生成模塊用于在所述控制模塊的控制下根據(jù)預(yù)設(shè)的隨機(jī)口令算法生成當(dāng)前隨機(jī)口令,并將所述當(dāng)前隨機(jī)口令發(fā)送給所述輸出模塊�;所述輸出模塊用于在所述控制模塊的控制下將包含所述當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送給 所述客戶端;所述控制模塊用于控制所述生成模塊生成當(dāng)前隨機(jī)口令���,并控制所述輸出模塊將所述包 含當(dāng)前隨機(jī)口令的認(rèn)證信息輸出給所述客戶端��;所述客戶端包括請(qǐng)求模塊、接收模塊和發(fā)送模塊-所述請(qǐng)求模塊用于向所述網(wǎng)絡(luò)接入控制端發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文�;所述接收模塊用于接收所述網(wǎng)絡(luò)接入控制端發(fā)送來的請(qǐng)求認(rèn)證信息的EAP報(bào)文后,接收 所述智能密鑰裝置的輸出模塊發(fā)送的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息��,并接收所述網(wǎng)絡(luò)接 入控制端返回的所述認(rèn)證結(jié)果��;所述發(fā)送模塊用于將所述接收模塊接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信息以EAP報(bào)文的形式發(fā)送至網(wǎng)絡(luò)接入控制端�����;所述網(wǎng)絡(luò)接入控制端包括響應(yīng)模塊��、接收模塊��、發(fā)送模塊和返回模塊所述響應(yīng)模塊用于接收所述客戶端的請(qǐng)求模塊發(fā)送的認(rèn)證請(qǐng)求EAP報(bào)文后���,向所述客戶 端發(fā)送請(qǐng)求認(rèn)證信息的EAP報(bào)文;所述接收模塊用于接收所述客戶端發(fā)送來的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息����,以及所 述專用認(rèn)證端發(fā)送來的認(rèn)證結(jié)果;所述發(fā)送模塊用于將所述網(wǎng)絡(luò)接入控制端的接收模塊接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證 信息發(fā)送至專用認(rèn)證端���;所述返回模塊用于將所述網(wǎng)絡(luò)接入控制端的接收模塊接收到的所述認(rèn)證結(jié)果返回給所述 客戶端���;所述專用認(rèn)證端包括接收模塊���、認(rèn)證模塊和返回模塊所述接收模塊用于接收所述網(wǎng)絡(luò)接入控制端發(fā)送來的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息���;所述認(rèn)證模塊用于認(rèn)證所述專用認(rèn)證端的接收模塊接收到的包含當(dāng)前隨機(jī)口令的認(rèn)證信息;所述返回模塊用于將所述認(rèn)證模塊的認(rèn)證結(jié)果返回給所述網(wǎng)絡(luò)接入控制端的接收模塊��。
14��、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng)���,其特征在于����,所述網(wǎng)絡(luò)接入控制端 為EAP認(rèn)證服務(wù)器��。
15���、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng)�,其特征在于����,所述網(wǎng)絡(luò)接入控制端 為路由器。
16��、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng),其特征在于,所述專用認(rèn)證端為 RADIUS認(rèn)證服務(wù)器��,所述網(wǎng)絡(luò)接入控制端的發(fā)送模塊具體為RADIUS協(xié)議發(fā)送模塊����,用于 按照RADIUS通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至RADIUS認(rèn)證服務(wù)器;所 述專用認(rèn)證端的返回模塊具體為RADIUS協(xié)議返回模塊�����,用于將所述認(rèn)證模塊的認(rèn)證結(jié)果按 照RADIUS通信協(xié)議返回給所述網(wǎng)絡(luò)接入控制端的接收模塊���。
17�����、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng)�����,其特征在于,所述專用認(rèn)證端為OTP 認(rèn)證服務(wù)器���,所述網(wǎng)絡(luò)接入控制端的發(fā)送模塊具體為OTP協(xié)議發(fā)送模塊,用于按照預(yù)先協(xié)商好的通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器����;所述專用認(rèn)證端 的返回模塊具體為OTP協(xié)議返回模塊,用于將所述認(rèn)證模塊的認(rèn)證結(jié)果按照預(yù)先協(xié)商好的通 信協(xié)議返回給所述網(wǎng)絡(luò)接入控制端的接收模塊�。
18�����、 根據(jù)權(quán)利要求17所述的基于EAP認(rèn)證的系統(tǒng)����,其特征在于,所述OTP協(xié)議發(fā)送模 塊具體包括-提取單元�,用于從所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中提取出預(yù)設(shè)的網(wǎng)絡(luò)接入名�����;協(xié)議查找單元,用于在所述網(wǎng)絡(luò)接入控制端的服務(wù)器中査找與所述提取單元提取的網(wǎng)絡(luò)接入名相對(duì)應(yīng)的通信協(xié)議��;發(fā)送單元�,用于按照所述通信協(xié)議將所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息發(fā)送至OTP認(rèn)證服務(wù)器�����。
19���、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng)��,其特征在于����,所述智能密鑰裝置的生成模塊具體包括設(shè)置單元,用于預(yù)設(shè)隨機(jī)口令算法和生成要素����;生成單元,用于在所述控制模塊的控制下根據(jù)所述設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)所述 預(yù)設(shè)的生成要素進(jìn)行計(jì)算生成當(dāng)前隨機(jī)口令����。
20、 根據(jù)權(quán)利要求19所述的基于EAP認(rèn)證的系統(tǒng),其特征在于����,所述智能密鑰裝置還包括修改模塊,用于在所述生成單元生成當(dāng)前隨機(jī)口令后�����,修改所述設(shè)置單元預(yù)設(shè)的生成要 素����,所述生成要素包括時(shí)間生成要素和/或事件生成要素���。
21���、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng),其特征在于�����,所述專用認(rèn)證端的認(rèn)證模塊具體包括設(shè)置單元,用于預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法��,預(yù)設(shè)與所述智能密鑰裝置的生成要素相同的生成要素;生成單元�����,用于根據(jù)所述設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)所述預(yù)設(shè)的生成要素進(jìn)行計(jì)算 生成認(rèn)證口令����;認(rèn)證單元,用于將所述生成單元生成的認(rèn)證口令與所述接收模塊接收的所述當(dāng)前隨機(jī)口令比較���,如果一致���,則認(rèn)證成功���;如果不一致��,則認(rèn)證失敗���。
22、 根據(jù)權(quán)利要求21所述的基于EAP認(rèn)證的系統(tǒng)�����,其特征在于�,所述專用認(rèn)證端還包括修改模塊,用于在所述生成單元生成認(rèn)證口令后���,用與所述智能密鑰裝置修改生成要素 相同的方法修改所述設(shè)置單元預(yù)設(shè)的生成要素�����,所述生成要素包括時(shí)間生成要素和/或事件生 成要素�。
23�����、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng)�,其特征在于��,所述專用認(rèn)證端的認(rèn)證模塊具體包括設(shè)置單元���,用于預(yù)設(shè)與所述智能密鑰裝置的隨機(jī)口令算法相同的隨機(jī)口令算法�����;生成單元����,用于根據(jù)所述設(shè)置單元預(yù)設(shè)的隨機(jī)口令算法對(duì)所述接收模塊接收的所述包含當(dāng)前隨機(jī)口令的認(rèn)證信息中的生成要素進(jìn)行計(jì)算生成認(rèn)證口令;認(rèn)證單元��,用于將所述生成單元生成的認(rèn)證口令與所述接收模塊接收的所述當(dāng)前隨機(jī)口令比較��,如果一致�,則認(rèn)證成功���;如果不一致����,則認(rèn)證失敗��。
24�����、 根據(jù)權(quán)利要求13所述的基于EAP認(rèn)證的系統(tǒng)�����,其特征在于����,所述輸出模塊為顯示 模塊、USB通信接口�、紅外通信接口或藍(lán)牙通信接口。
全文摘要
本發(fā)明屬于信息安全領(lǐng)域���。一種基于EAP認(rèn)證的方法客戶端向網(wǎng)絡(luò)接入控制端發(fā)送認(rèn)證請(qǐng)求EAP報(bào)文�����;網(wǎng)絡(luò)接入控制端響應(yīng)并請(qǐng)求客戶端的認(rèn)證信息���;客戶端接收包含智能密鑰裝置生成的當(dāng)前隨機(jī)口令的認(rèn)證信息,并以EAP報(bào)文的形式發(fā)送至網(wǎng)絡(luò)接入控制端�����;網(wǎng)絡(luò)接入控制端接收包含當(dāng)前隨機(jī)口令的認(rèn)證信息后發(fā)送至專用認(rèn)證端;專用認(rèn)證端認(rèn)證包含當(dāng)前隨機(jī)口令的認(rèn)證信息�,并將認(rèn)證結(jié)果發(fā)送至網(wǎng)絡(luò)接入控制端,由其以EAP報(bào)文的形式發(fā)送至客戶端����。本發(fā)明還提供了一種基于EAP認(rèn)證的系統(tǒng)�。由于本發(fā)明采用了隨機(jī)口令技術(shù),從而提高了安全性����;而且由于本發(fā)明采用了專用認(rèn)證端,可以實(shí)現(xiàn)很多控制和管理功能�,便于統(tǒng)一管理�����。
文檔編號(hào)H04L12/56GK101594231SQ200810112978
公開日2009年12月2日 申請(qǐng)日期2008年5月27日 優(yōu)先權(quán)日2008年5月27日
發(fā)明者于華章, 舟 陸 申請(qǐng)人:北京飛天誠信科技有限公司