一種基于802.1x的認(rèn)證方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本申請涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種基于802.lx的認(rèn)證方法及裝置。
【背景技術(shù)】
[0002] 802.lx協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，在局域網(wǎng)接入網(wǎng)關(guān)的端口這一 級對接入的終端設(shè)備進(jìn)行認(rèn)證和控制。如果連接在端口上的終端設(shè)備認(rèn)證通過，則可以通 過該端口訪問局域網(wǎng)。
[0003] 802.lx認(rèn)證系統(tǒng)通常包括用戶所使用的終端設(shè)備、接入網(wǎng)關(guān)以及認(rèn)證服務(wù)器，該 系統(tǒng)使用EAP(ExtensibleAuthenticationProtocol，擴展驗證協(xié)議）實現(xiàn)上述各設(shè)備之 間的認(rèn)證信息交互。隨著網(wǎng)絡(luò)安全要求越來越高，現(xiàn)有的802.lx認(rèn)證方式已經(jīng)難以滿足要 求，其認(rèn)證安全性有待提尚。

【發(fā)明內(nèi)容】

[0004] 有鑒于此，本申請?zhí)峁┮环N基于802.lx的認(rèn)證方法及裝置。
[0005] 具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：
[0006] 本申請?zhí)峁┮环N基于802.lx的認(rèn)證方法，應(yīng)用于認(rèn)證服務(wù)器上，該方法包括：
[0007] 根據(jù)已注冊的用戶身份信息采用802.lx認(rèn)證方式對當(dāng)前認(rèn)證用戶進(jìn)行初步認(rèn) 證；
[0008] 在確認(rèn)所述當(dāng)前認(rèn)證用戶通過初步認(rèn)證后，獲取與已注冊的用戶身份信息綁定的 輔助認(rèn)證信息；
[0009] 通過所述輔助認(rèn)證信息采用驗證碼認(rèn)證方式對當(dāng)前認(rèn)證用戶進(jìn)行二次認(rèn)證，以確 認(rèn)當(dāng)前認(rèn)證用戶身份合法。
[0010] 本申請還提供一種基于802.lx的認(rèn)證方法，應(yīng)用于認(rèn)證用戶使用的終端設(shè)備上， 該方法包括：
[0011] 根據(jù)認(rèn)證用戶輸入的用戶身份信息采用802.lx認(rèn)證方式向認(rèn)證服務(wù)器進(jìn)行初步 認(rèn)證；
[0012] 接收所述認(rèn)證服務(wù)器在確認(rèn)所述認(rèn)證用戶通過初步認(rèn)證后發(fā)送的驗證碼請求報 文；
[0013] 向所述認(rèn)證服務(wù)器發(fā)送所述驗證碼請求報文的驗證碼響應(yīng)報文，所述驗證碼響應(yīng) 報文中攜帶第二驗證碼，以使所述認(rèn)證服務(wù)器根據(jù)所述第二驗證碼對所述認(rèn)證用戶進(jìn)行二 次認(rèn)證。
[0014] 本申請還提供一種基于802.lx的認(rèn)證裝置，應(yīng)用于認(rèn)證服務(wù)器上，該裝置包括：
[0015] 初步認(rèn)證單元，用于根據(jù)已注冊的用戶身份信息采用802.lx認(rèn)證方式對當(dāng)前認(rèn) 證用戶進(jìn)行初步認(rèn)證；
[0016] 信息獲取單元，用于在確認(rèn)所述當(dāng)前認(rèn)證用戶通過初步認(rèn)證后，獲取與已注冊的 用戶身份信息綁定的輔助認(rèn)證信息；
[0017] 二次認(rèn)證單元，用于通過所述輔助認(rèn)證信息采用驗證碼認(rèn)證方式對當(dāng)前認(rèn)證用戶 進(jìn)行二次認(rèn)證，以確認(rèn)當(dāng)前認(rèn)證用戶身份合法。
[0018] 本申請還提供一種基于802.lx的認(rèn)證裝置，應(yīng)用于認(rèn)證用戶使用的終端設(shè)備上， 該裝置包括：
[0019] 初步認(rèn)證單元，用于根據(jù)認(rèn)證用戶輸入的用戶身份信息采用802.lx認(rèn)證方式向 認(rèn)證服務(wù)器進(jìn)行初步認(rèn)證；
[0020] 報文接收單元，用于接收所述認(rèn)證服務(wù)器在確認(rèn)所述認(rèn)證用戶通過初步認(rèn)證后發(fā) 送的驗證碼請求報文；
[0021] 報文發(fā)送單元，用于向所述認(rèn)證服務(wù)器發(fā)送所述驗證碼請求報文的驗證碼響應(yīng)報 文，所述驗證碼響應(yīng)報文中攜帶第二驗證碼，以使所述認(rèn)證服務(wù)器根據(jù)所述第二驗證碼對 所述認(rèn)證用戶進(jìn)行二次認(rèn)證。
[0022] 由以上描述可以看出，本申請在現(xiàn)有802.lx認(rèn)證方式基礎(chǔ)上結(jié)合驗證碼認(rèn)證，提 高認(rèn)證的準(zhǔn)確性以及網(wǎng)絡(luò)的安全性。
【附圖說明】
[0023] 圖1是本申請一示例性實施例示出的認(rèn)證系統(tǒng)示意圖；
[0024] 圖2是本申請一示例性實施例示出的一種基于802.lx的認(rèn)證方法流程圖；
[0025] 圖3是本申請另一示例性實施例示出的一種基于802.lx的認(rèn)證方法流程圖；
[0026] 圖4是本申請一示例性實施例示出的一種基于802.lx的認(rèn)證信息交互示意圖；
[0027] 圖5是本申請一示例性實施例示出的一種基于802.lx的認(rèn)證裝置所在設(shè)備的硬 件結(jié)構(gòu)示意圖；
[0028] 圖6是本申請一示例性實施例示出的一種基于802.lx的認(rèn)證裝置的結(jié)構(gòu)示意 圖；
[0029] 圖7是本申請另一示例性實施例示出的一種基于802.lx的認(rèn)證裝置的結(jié)構(gòu)示意 圖。
【具體實施方式】
[0030] 這里將詳細(xì)地對示例性實施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及 附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附 權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
[0031] 在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。 在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"、"所述"和"該"也旨在包括多 數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語"和/或"是指 并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。
[0032] 應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這 些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離 本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第 一信息。取決于語境，如在此所使用的詞語"如果"可以被解釋成為"在……時"或"當(dāng)…… 時"或"響應(yīng)于確定"。
[0033] 隨著網(wǎng)絡(luò)應(yīng)用的普及，提高網(wǎng)絡(luò)安全越來越重要。目前，當(dāng)用戶接入網(wǎng)絡(luò)時，認(rèn) 證系統(tǒng)會對用戶的身份進(jìn)行認(rèn)證，只允許合法用戶接入網(wǎng)絡(luò)，以提高網(wǎng)絡(luò)安全性。其中， 802.lx就是一種接入認(rèn)證方式，在局域網(wǎng)接入網(wǎng)關(guān)端口這一級根據(jù)用戶的用戶名、密碼等 用戶身份信息進(jìn)行認(rèn)證。如果認(rèn)證通過，用戶所使用的終端設(shè)備就可以通過連接的端口訪 問局域網(wǎng)。但是，當(dāng)非法用戶竊取了合法用戶的用戶名和密碼時，會以合法用戶的身份接入 網(wǎng)絡(luò)，帶來網(wǎng)絡(luò)安全隱患。
[0034] 針對上述問題，本申請實施例提出一種基于802.lx的認(rèn)證方法，該方法在根據(jù)用 戶身份信息進(jìn)行認(rèn)證的基礎(chǔ)上，結(jié)合驗證碼認(rèn)證，以提高認(rèn)證的準(zhǔn)確性以及網(wǎng)絡(luò)的安全性。
[0035] 參見圖1，為本申請實施例示出的一種認(rèn)證系統(tǒng)的組網(wǎng)示意圖。該認(rèn)證系統(tǒng)包括 認(rèn)證用戶所使用的終端設(shè)備P1和P2、無線接入點API和AP2、接入網(wǎng)關(guān)S1、認(rèn)證服務(wù)器 Server、移動通信網(wǎng)關(guān)G1。用戶Userl通過P1向認(rèn)證服務(wù)器認(rèn)證；User2通過P2向認(rèn)證 服務(wù)器認(rèn)證。其中，本申請實施例示出的終端設(shè)備P1和P2可同時支持局域網(wǎng)和移動互聯(lián) 網(wǎng)，例如，現(xiàn)在普遍使用的智能手機，可通過WLAN(WirelessLocalAreaNetwork，無線局 域網(wǎng)）接入局域網(wǎng)，也可接入移動互聯(lián)網(wǎng)進(jìn)行實時通信。當(dāng)然，本申請實施例中認(rèn)證用戶也 可以使用一臺支持局域網(wǎng)的終端設(shè)備（例如，計算機）和一臺支持移動互聯(lián)網(wǎng)的終端設(shè)備 (例如，手機）共同完成本申請的認(rèn)證過程。
[0036] 參見圖2,為本申請基于802.lx的認(rèn)證方法的一個實施例流程圖，該實施例從認(rèn) 證服務(wù)器側(cè)對認(rèn)證過程進(jìn)行描述。
[0037] 步驟201，根據(jù)已注冊的用戶身份信息采用802.lx認(rèn)證方式對當(dāng)前認(rèn)證用戶進(jìn)行 初步認(rèn)證。
[0038] 在認(rèn)證服務(wù)器中會保存已注冊的合法用戶的用戶身份信息（例如，用戶名和密 碼），當(dāng)認(rèn)證用戶通過終端設(shè)備接入時，在終端設(shè)備上輸入用戶身份信息啟動802.lx認(rèn)證 流程。本申請實施例中，當(dāng)認(rèn)證服務(wù)器根據(jù)用戶身份信息初步確認(rèn)當(dāng)前認(rèn)證用戶身份合法 時，認(rèn)證服務(wù)器不會立即允許認(rèn)證用戶的終端設(shè)備通過接入網(wǎng)關(guān)的端口訪問網(wǎng)絡(luò)，而是繼 續(xù)執(zhí)行后續(xù)二次認(rèn)證流程，以提高網(wǎng)絡(luò)安全性。由于802.lx基于用戶身份信息的認(rèn)證流程 為現(xiàn)有技術(shù)，在此不再贅述。
[0039] 步驟202,在確認(rèn)所述當(dāng)前認(rèn)證用戶通過初步認(rèn)證后，獲取與已注冊的用戶身份信 息綁定的輔助認(rèn)證信息。
[0040] 當(dāng)根據(jù)用戶身份信息初步確定用戶身份合法時，認(rèn)證服務(wù)器根據(jù)該用戶身份信息 查詢本地的用戶信息表，該用戶信息表中保存了已注冊的用戶身份信息和輔助認(rèn)證信息的 綁定關(guān)系。其中，輔助認(rèn)證信息用于認(rèn)證服務(wù)器對認(rèn)證用戶進(jìn)行二次認(rèn)證，該輔助認(rèn)證信息 可以為手機號、微信號、QQ號等與已注冊用戶身份信息唯一綁定的信息。
[0041] 步驟203,通過所述輔助認(rèn)證信息采用驗證碼認(rèn)證方式對當(dāng)前認(rèn)證用戶進(jìn)行二次 認(rèn)證，以確認(rèn)當(dāng)前認(rèn)證用戶身份合法。
[0042] 二次認(rèn)證過程如下：根據(jù)步驟202獲取的輔助認(rèn)證信息向已注冊用戶使用的第一 終端設(shè)備發(fā)送第一驗證碼。例如，假設(shè)輔助認(rèn)證信息為已注冊用戶的手機號碼，則認(rèn)證服務(wù) 器向該手機號碼對應(yīng)的第一終端設(shè)備發(fā)送第一驗證碼。其中，該第一終端設(shè)備為已注冊的 合法用戶使用的終端設(shè)備。認(rèn)證服務(wù)器可通過短信、彩信等方式向已注冊用戶的手機號上 發(fā)送第一驗證碼。該第一驗證碼除了用于完成后續(xù)的二次認(rèn)證，還可以及時提醒已注冊用 戶當(dāng)前是否是其本人操作，從而獲知是否有非法用戶盜用了其用戶身份信息，以便及時采 取應(yīng)對措施，避免不必要的損失。
[0043] 同時，認(rèn)證服務(wù)器向當(dāng)前認(rèn)證用戶使用的終端設(shè)備發(fā)送驗證碼請求報文，請求該 終端設(shè)備提供驗證碼，以下將當(dāng)前認(rèn)證用戶使用的終端設(shè)備稱為第二終端設(shè)備。
[0044] 如果當(dāng)前認(rèn)證用戶是已注冊用戶，則當(dāng)前認(rèn)證用戶可從注冊時的輔助認(rèn)證信息對 應(yīng)的第一終端設(shè)