一種認(rèn)證方法�、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明的實(shí)施例涉及通信領(lǐng)域,尤其涉及一種認(rèn)證方法�����、裝置及系統(tǒng)�����。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)應(yīng)用的普及,提高網(wǎng)絡(luò)安全越來(lái)越重要���。目前用戶(hù)在訪問(wèn)網(wǎng)絡(luò)的過(guò)程中�����, 通常接入與網(wǎng)絡(luò)連接的接入設(shè)備,以訪問(wèn)網(wǎng)絡(luò)��。在接入設(shè)備為用戶(hù)提供網(wǎng)絡(luò)訪問(wèn)服務(wù)前����,對(duì) 用戶(hù)進(jìn)行合法性檢查,以控制用戶(hù)的網(wǎng)絡(luò)訪問(wèn)行為�,是維護(hù)其所訪問(wèn)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的方 法之一〇
[0003] 現(xiàn)有技術(shù)中,通常采用IEEE(電氣和電子工程師協(xié)會(huì)����,全稱(chēng):Institute of Electrical and Electronics Engineers)標(biāo)準(zhǔn)化組織所提出的802. IX協(xié)議對(duì)接入的用 戶(hù)/設(shè)備進(jìn)行合法性檢查。802. IX協(xié)議是基于客戶(hù)/服務(wù)器(Client/Server)模式的訪問(wèn)控 制和認(rèn)證協(xié)議���。它可以限制未經(jīng)授權(quán)的用戶(hù)/設(shè)備通過(guò)接入端口(access port)訪問(wèn)LAN/ WLAN��。在獲得接入設(shè)備或LAN提供的各種業(yè)務(wù)之前�����,根據(jù)802. IX協(xié)議對(duì)連接到接入設(shè)備上的 用戶(hù)/設(shè)備進(jìn)行認(rèn)證��。在上述認(rèn)證通過(guò)之前�����,只允許EAPoL(Extensible Authentication Protocol over LAN�,基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)與用戶(hù)連接的接入設(shè)備端口; 在上述認(rèn)證通過(guò)以后���,正常的數(shù)據(jù)可以順利地通過(guò)與用戶(hù)連接的接入設(shè)備端口并訪問(wèn)網(wǎng) 絡(luò)�����。
[0004] 但是現(xiàn)有的802. IX認(rèn)證方法中��,非法客戶(hù)端可通過(guò)接入設(shè)備不斷向認(rèn)證服務(wù)器發(fā) 送EAPoL報(bào)文�����,根據(jù)認(rèn)證服務(wù)器對(duì)非法客戶(hù)端所發(fā)送EAPoL報(bào)文的回應(yīng)����,確定認(rèn)證服務(wù)器上 是否存在相應(yīng)的用戶(hù)名,再?gòu)恼J(rèn)證服務(wù)器向非法客戶(hù)端發(fā)送的用來(lái)索取認(rèn)證憑證的EAPoL 報(bào)文�����,推得與用戶(hù)名對(duì)應(yīng)的認(rèn)證方法以及認(rèn)證憑證��,從而導(dǎo)致用戶(hù)信息泄漏�����,增加網(wǎng)絡(luò)被攻 擊的風(fēng)險(xiǎn)�����,同時(shí)非法客戶(hù)端在這一過(guò)程中向認(rèn)證服務(wù)器不斷發(fā)送的報(bào)文還會(huì)增加認(rèn)證服務(wù) 器的工作負(fù)擔(dān)并消耗大量資��,造成認(rèn)證效率下降�。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的實(shí)施例提供一種認(rèn)證方法���,能夠在接入設(shè)備上對(duì)客戶(hù)端的認(rèn)證行為進(jìn)行 篩選��,從而避免用戶(hù)信息泄露從而帶來(lái)網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)�,并降低認(rèn)證消耗資源,提高認(rèn)證 效率���。
[0006] 第一方面�,本發(fā)明實(shí)施例提供了一種認(rèn)證方法�,該方法包括如下步驟:接入設(shè)備接 收客戶(hù)端發(fā)送的認(rèn)證開(kāi)始EAPoL-Start報(bào)文,認(rèn)證開(kāi)始報(bào)文包含客戶(hù)端的MAC地址;接入設(shè) 備將客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址表進(jìn)行匹配��,預(yù)設(shè)的MAC地址表包括合法客戶(hù)端的 MAC地址���;當(dāng)客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址表不匹配時(shí)���,接入設(shè)備丟棄認(rèn)證開(kāi)始報(bào)文。 [0007]在第一方面的第一種可能的實(shí)現(xiàn)方式中�����,預(yù)設(shè)的MAC地址表還包括與MAC地址對(duì)應(yīng) 的用戶(hù)名����,認(rèn)證方法還包括:當(dāng)認(rèn)證開(kāi)始報(bào)文中包含的客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址 表匹配時(shí),接入設(shè)備向客戶(hù)端發(fā)送請(qǐng)求用戶(hù)名的認(rèn)證信息請(qǐng)求EAP-Request報(bào)文;客戶(hù)端接 收到接入設(shè)備發(fā)送的認(rèn)證信息請(qǐng)求報(bào)文后���,向接入設(shè)備返回包括客戶(hù)端用戶(hù)名的認(rèn)證信息 響應(yīng)EAP-Response報(bào)文�����;當(dāng)認(rèn)證信息響應(yīng)報(bào)文中包含的客戶(hù)端的MAC地址和用戶(hù)名與預(yù)設(shè) 的MAC地址表中的MAC地址及對(duì)應(yīng)的用戶(hù)名匹配時(shí)�,接入設(shè)備向認(rèn)證服務(wù)器發(fā)送包括客戶(hù)端 用戶(hù)信息的認(rèn)證報(bào)文,否則接入設(shè)備丟棄客戶(hù)端的MAC地址對(duì)應(yīng)客戶(hù)端發(fā)來(lái)的所有認(rèn)證報(bào) 文���。
[0008] 結(jié)合第一方面第一種可能的實(shí)現(xiàn)方式����,在第二種可能的實(shí)現(xiàn)方式中��,預(yù)設(shè)的MAC地 址表還包括用戶(hù)名的不匹配次數(shù)預(yù)設(shè)值��,認(rèn)證方法還包括:當(dāng)認(rèn)證信息響應(yīng)報(bào)文中客戶(hù)端 的用戶(hù)名對(duì)應(yīng)的不匹配次數(shù)達(dá)到預(yù)設(shè)配置值時(shí)�,接入設(shè)備直接丟棄客戶(hù)端的MAC地址對(duì)應(yīng) 客戶(hù)端發(fā)來(lái)的所有認(rèn)證報(bào)文。
[0009] 結(jié)合第一方面第一種可能的實(shí)現(xiàn)方式��,在第二種可能的實(shí)現(xiàn)方式中����,預(yù)設(shè)的MAC地 址表還包括預(yù)設(shè)的靜默時(shí)間����,認(rèn)證方法還包括:當(dāng)認(rèn)證信息響應(yīng)報(bào)文中包含的客戶(hù)端的用 戶(hù)名的不匹配次數(shù)達(dá)到預(yù)設(shè)值時(shí)����,接入設(shè)備在預(yù)設(shè)的靜默時(shí)間內(nèi)直接丟棄客戶(hù)端的MAC地 址對(duì)應(yīng)客戶(hù)端發(fā)來(lái)的所有認(rèn)證報(bào)文��。
[0010]第二方面��,本發(fā)明實(shí)施例提供了一種認(rèn)證裝置���,位于接入設(shè)備�,包括:接收單元�,用 于接收客戶(hù)端發(fā)送的認(rèn)證開(kāi)始EAPoL-Start報(bào)文,認(rèn)證開(kāi)始報(bào)文包含客戶(hù)端的MAC地址;處 理單元����,用于將客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址表進(jìn)行匹配,預(yù)設(shè)的MAC地址表包括合法 客戶(hù)端的MAC地址;處理單元����,還用于當(dāng)客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址表不匹配時(shí),丟 棄認(rèn)證開(kāi)始報(bào)文�。
[0011]在第二方面的第一種可能的實(shí)現(xiàn)方式中,認(rèn)證裝置還包括:發(fā)送單元�����,用于當(dāng)認(rèn)證 開(kāi)始報(bào)文中包含的客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址表匹配時(shí),向客戶(hù)端發(fā)送請(qǐng)求用戶(hù)名 的認(rèn)證信息請(qǐng)求EAP-Request報(bào)文;接收單元��,還用于接收包括客戶(hù)端用戶(hù)名的認(rèn)證信息響 應(yīng)EAP-Response報(bào)文;處理單元�����,還用于當(dāng)認(rèn)證信息響應(yīng)報(bào)文中包含的客戶(hù)端的MAC地址和 用戶(hù)名與預(yù)設(shè)的MAC地址表中的MAC地址及對(duì)應(yīng)的用戶(hù)名匹配時(shí)�,通知發(fā)送單元向認(rèn)證服務(wù) 器發(fā)送包括客戶(hù)端用戶(hù)信息的認(rèn)證報(bào)文,否則丟棄客戶(hù)端的MAC地址對(duì)應(yīng)客戶(hù)端發(fā)來(lái)的所 有認(rèn)證報(bào)文����。
[0012] 結(jié)合第二方面第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中��,處理單元還 用于:當(dāng)認(rèn)證信息響應(yīng)EAP-Response報(bào)文中客戶(hù)端的用戶(hù)名對(duì)應(yīng)的不匹配次數(shù)達(dá)到預(yù)設(shè)的 MAC地址表中的預(yù)設(shè)配置值時(shí)�,直接丟棄客戶(hù)端的MAC地址對(duì)應(yīng)客戶(hù)端發(fā)來(lái)的所有認(rèn)證報(bào) 文。
[0013] 結(jié)合第二方面第二種可能的實(shí)現(xiàn)方式�,在第三可能的實(shí)現(xiàn)方式中,預(yù)設(shè)的MAC地址 表還包括預(yù)設(shè)的靜默時(shí)間�;處理單元,還用于當(dāng)認(rèn)證信息響應(yīng)報(bào)文中包含的客戶(hù)端的用戶(hù) 名的不匹配次數(shù)達(dá)到預(yù)設(shè)值時(shí)�,在預(yù)設(shè)的靜默時(shí)間內(nèi)直接丟棄客戶(hù)端的MAC地址對(duì)應(yīng)客戶(hù) 端發(fā)來(lái)的所有認(rèn)證報(bào)文�。
[0014] 結(jié)合第二方面第一種至第三種中任一種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方 式中���,客戶(hù)端的MAC地址對(duì)應(yīng)客戶(hù)端發(fā)來(lái)的所有報(bào)文�,包括認(rèn)證開(kāi)始報(bào)文、認(rèn)證信息響應(yīng)報(bào) 文;通知發(fā)送單元向認(rèn)證服務(wù)器發(fā)送包括客戶(hù)端用戶(hù)信息的認(rèn)證報(bào)文����,客戶(hù)端的用戶(hù)信息 包括客戶(hù)端的MAC地址和用戶(hù)名。
[0015] 第三方面����,本發(fā)明實(shí)施例提供了一種認(rèn)證系統(tǒng),包括:如上述第二方面中任意一種 可能的實(shí)現(xiàn)方式中的認(rèn)證裝置�����。
[0016] 本發(fā)明的實(shí)施例提供一種認(rèn)證方法����、裝置及系統(tǒng),通過(guò)在接入設(shè)備接收客戶(hù)端發(fā) 送的包含客戶(hù)端MAC地址的認(rèn)證開(kāi)始報(bào)文�,接入設(shè)備將客戶(hù)端的MAC地址與預(yù)設(shè)的包括合法 客戶(hù)端的MAC地址的MAC地址表進(jìn)行匹配,當(dāng)客戶(hù)端的MAC地址與預(yù)設(shè)的MAC地址表不匹配 時(shí)����,接入設(shè)備丟棄認(rèn)證開(kāi)始報(bào)文,從而能夠在接入設(shè)備上對(duì)客戶(hù)端的認(rèn)證行為進(jìn)行篩選,從 而避免用戶(hù)信息泄露從而帶來(lái)網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)��,并降低認(rèn)證消耗資源�����,提高認(rèn)證效率��。
【附圖說(shuō)明】
[0017] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見(jiàn)地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以 根據(jù)這些附圖獲得其他的附圖。
[0018] 圖1為現(xiàn)有技術(shù)中一種認(rèn)證方法的流程示意圖�����;
[0019] 圖2為本發(fā)明的實(shí)施例提供的一種認(rèn)證方法的流程示意圖��;
[0020] 圖3為本發(fā)明的另一實(shí)施例提供的一種認(rèn)證方法的流程示意圖��;
[0021] 圖4為本發(fā)明的實(shí)施例提供的一種認(rèn)證裝置的示意性結(jié)構(gòu)圖�;
[0022]圖5為本發(fā)明的另一實(shí)施例提供的一種認(rèn)證裝置的示意性結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0023]下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完 整地描述,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�。基于 本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍。
[0024]如圖1所示��,基于802. IX協(xié)議的認(rèn)證方法通常包括:
[0025] 101�、客戶(hù)端向接入設(shè)備發(fā)送認(rèn)證開(kāi)始報(bào)文,啟動(dòng)認(rèn)證過(guò)程�����;
[0026] 102����、接入設(shè)備收到認(rèn)證開(kāi)始報(bào)文后,響應(yīng)客戶(hù)端發(fā)出的認(rèn)證開(kāi)始報(bào)文并向客戶(hù)端 發(fā)送認(rèn)證信息請(qǐng)求報(bào)文�����,要求客戶(hù)端發(fā)送用戶(hù)名���;
[0027] 103�����、客戶(hù)端收到認(rèn)證信息請(qǐng)求報(bào)文后��,向接入設(shè)備發(fā)送包括用戶(hù)名的認(rèn)證信息響 應(yīng)報(bào)文���;
[0028] 104���、接入設(shè)備將包含用戶(hù)名的報(bào)文發(fā)送至認(rèn)證服務(wù)器;
[0029] 105����、認(rèn)證服務(wù)器根據(jù)收到的包含用戶(hù)名的報(bào)文查找預(yù)先配置的認(rèn)證方法��,并根據(jù) 認(rèn)證方法生成相應(yīng)的認(rèn)證詢(xún)問(wèn)報(bào)文��;
[0030] 106����、認(rèn)證服務(wù)器向接入設(shè)備發(fā)送認(rèn)證詢(xún)問(wèn)報(bào)文,要求客戶(hù)端提供與相應(yīng)認(rèn)證方法 對(duì)應(yīng)的認(rèn)證憑證��;
[0031] 107���、接入設(shè)備向客戶(hù)端轉(zhuǎn)發(fā)認(rèn)證詢(xún)問(wèn)報(bào)文��;
[0032] 108���、客戶(hù)端收到認(rèn)證服務(wù)器的認(rèn)證詢(xún)問(wèn)報(bào)文后�����,向接入設(shè)備發(fā)送包含與相應(yīng)認(rèn)證 方法對(duì)應(yīng)的認(rèn)證憑證的認(rèn)證憑證報(bào)文�����;
[0033] 109�����、接入設(shè)備向認(rèn)證服