基于可擴展認證協議的認證方法、系統和設備技術方案

本發明專利技術提供了一種基于可擴展認證協議(EAP)的認證方法、系統和設備，該方法包括：A，在EAP認證過程中，認證端向被認證端發送認證請求報文，所述認證請求報文包含需要被認證端提供的擴展信息類型；B，被認證端獲取與所述認證請求報文中擴展信息類型對應的擴展信息，并將所述擴展信息發送至認證端；C，認證端對所述擴展信息進行認證，如果認證失敗，則拒絕被認證端接入網絡，如果認證成功，則允許被認證端接入網絡。

【技術實現步驟摘要】

本專利技術涉及網絡通信
，特別涉及基于可擴展認證協議(ΕΑΡ Extensible Authentication Protocol) WiAilE^fe>^^Mο
技術介紹
虛擬私有撥號網(VPDN :Virtual Private Dial-up Network)是指利用公共網絡如ISDN或PSTN等的撥號功能接入公共網絡，實現虛擬專用網，從而為企業、小型ISP、移動辦公人員等提供接入服務。即，VPDN為遠端用戶和私有企業網之間提供了一種經濟而有效的點到點連接方式。其中，在客戶端通過VPDN接入網絡時，為保證接入的安全性，需要對客戶端進行認證。目前，常用的認證方式為點到點協議(PPP :Point to Point Protocol)認證和 IEEE802. IX協議(以下簡稱802. IX協議)認證。在上述兩種認證方式中，都是僅要求對客戶端的用戶名和密碼進行認證，在認證通過后，允許客戶端接入網絡，否則，禁止客戶端接入網絡。但是，僅認證客戶端用戶名和密碼對安全接入的效果并不理想，比如，只要第三方獲取該用戶名和密碼之后即可實現接入， 這會大大降低網絡接入的安全性。
技術實現思路
本專利技術提供了基于可擴展認證協議的認證方法、系統和設備，以提高網絡接入的安全性。本專利技術提供的技術方案包括一種基于可擴展認證協議(EAP)的認證方法，包括A，在EAP認證過程中，認證端向被認證端發送認證請求報文，所述認證請求報文包含需要被認證端提供的擴展信息類型；B，被認證端獲取與所述認證請求報文中擴展信息類型對應的擴展信息，并將所述擴展信息發送至認證端；C，認證端對所述擴展信息進行認證，如果認證失敗，則拒絕被認證端接入網絡，如果認證成功，則允許被認證端接入網絡。一種基于可擴展認證協議(EAP)的認證端設備，該認證端設備，包括發送單元和認證單元；其中，所述發送單元，用于在EAP認證過程中，向被認證端發送認證請求報文，所述認證請求報文包含需要被認證端提供的擴展信息類型，以從所述被認證端獲取與所述認證請求報文中擴展信息類型對應的擴展信息；所述認證單元，用于對所述擴展信息進行認證，如果認證失敗，則拒絕被認證端接入網絡，如果認證成功，則允許被認證端接入網絡。一種基于可擴展認證協議(EAP)的被認證端設備，其特征在于，該被認證端設備，包括接收單元、獲取單元和發送單元；其中，所述接收單元，用于接收認證端發送的認證請求報文；所述獲取單元，用于獲取與所述認證請求報文中擴展信息類型對應的擴展信息；發送單元，用于將獲取的所述擴展信息發送至認證端進行認證，并在所述擴展信息通過認證時，接入網絡。一種基于可擴展認證協議(EAP)的認證系統，其特征在于，該系統包括如上所述的認證端設備和被認證端設備。由以上技術方案可以看出，本專利技術中，進一步采取了對被認證端的擴展信息進行認證，這樣，即使第三方獲取用戶名和密碼，其由于不知道被認證端的擴展信息，也不能接入網絡，這提高了網絡接入的安全性。附圖說明圖1示出了現有EAP協議規定的報文格式示意圖；圖2為本專利技術對現有EAP報文擴展的示意圖；圖3為對數據字段進行擴展的示意圖；圖4為本專利技術實施例1提供的流程圖；圖5為本專利技術實施例1流程應用的組網示意圖；圖6為本專利技術實施例2提供的流程圖；圖7為本專利技術實施例提供的認證端設備結構圖；圖8為本專利技術實施例提供的被認證端設備結構圖。具體實施例方式為了使本專利技術的目的、技術方案和優點更加清楚，下面結合附圖和具體實施例對本專利技術進行詳細描述。本專利技術提供的方法通過對EAP協議進行擴展，使認證端在EAP認證過程中，向被認證端發送認證請求報文，所述認證請求報文包含需要被認證端提供的擴展信息類型，當被認證端接收到認證請求報文后，獲取與所述認證請求報文中擴展信息類型對應的擴展信息，并將所述擴展信息發送至認證端，優選地，該擴展信息可攜帶在認證響應報文中發送至認證端，當認證端接收到認證響應報文后，對該認證響應報文中的擴展信息進行有效性認證，如果認證失敗，則拒絕被認證端的網絡接入，如果認證成功，則允許被認證端的網絡接入。在上述方法中，擴展信息可包含RSA證書信息、DSS證書信息、數字簽名、設備序列號、設備MAC地址、ESN信息、IMSI信息中的至少一個。在上述方法中，認證請求報文，以及認證響應報文均是對現有EAP協議規定的報文的擴展。圖1示出了現有EAP協議規定的報文格式示意圖。如圖1所示，現有EAP協議規定的報文主要包含類型(type)字段、廠商標識字段(Vendor-ID)、Vendor-Type字段和數據字段。而本專利技術中的認證請求報文和認證響應報文采用的格式是對圖1所示的報文格式的私有擴展，具體可參見圖2所示，主要包括對圖1所示的type字段進行擴展，例如使 Type字段取值為2M時指示私有擴展，對圖1所示的Vendor-Type字段進行擴展，例如使Vendor-Id字段取值為01來指示報文類型為擴展信息認證類型。優選地，本專利技術中，還可對圖1所示的數據字段進行擴展，具體為統一采用圖3所示的hfo Type-Info Lenghh-Info Value (簡稱TLV)格式攜帶各種數據。其中，hfo Type，長度為1個字節，具體為數據類型，用于表示請求的數據類型或者攜帶的數據類型；Info Length，長度為1個字節，用于表示長度，包括Info Type和hfoLength的長度；Value，長度可變，用于指示與^ifo Type對應的具體值。基于圖3所示的格式，下面分別描述認證請求報文和認證響應報文中的數據字段認證請求報文其通過在數據字段中攜帶以下參數向被認證端請求擴展信息Info Type 取值可為1，用于表示向被認證端請求擴展信息；Info Length 大于等于 3 ；Value 需要被認證端提供的擴展信息的類型。以擴展信息具體為RSA證書、DSS 證書、數字簽名、設備序列號、設備MAC地址、ESN信息、和IMSI信息為例，則Value中可包含該各個擴展信息的類型，該各個擴展信息的類型取值在下文進行了定義。認證響應報文URSA證書RSA Certif icate，其通過以下三個參數表示Info Type 取值可為 2 ；Info Length 大于等于 3 ；Value =RSA 證書信息。2、DSS證書DSS Certif icate，其通過以下三個參數表示Info Type 取值可為 3 ；Info Length 大于等于 3 ；Value =DSS 證書信息。3、數字簽名=Signature,其通過以下三個參數表示Info Type 取值可為 4 ；Info Length 大于等于 3 ；Value =RSA或者DSA的數字簽名；說明與發送的證書相對應的數字簽名。4、設備序列號SN，其通過以下三個參數表示Info Type 取值可為 6 ；Info Length 大于等于 3 ；Value 設備序列號值；說明用來攜帶被認證端的設備序列號信息。5、設備MAC地址MAC，其通過以下三個參數表示Info Type 取值可為 7 ；Info Length 大于等于 3 ；Value 設備 MAC 地址值；說明用來攜帶被認證端的MAC地址信息。6、ESN信息ESN，其通過以下三個參數表本文檔來自技高網...

【技術保護點】
１．一種基于可擴展認證協議ＥＡＰ的認證方法，其特征在于，該方法包括：Ａ，在ＥＡＰ認證過程中，認證端向被認證端發送認證請求報文，所述認證請求報文包含需要被認證端提供的擴展信息類型；Ｂ，被認證端獲取與所述認證請求報文中擴展信息類型對應的擴展信息，并將所述擴展信息發送至認證端；Ｃ，認證端對所述擴展信息進行認證，如果認證失敗，則拒絕被認證端接入網絡，如果認證成功，則允許被認證端接入網絡。

【技術特征摘要】
1.一種基于可擴展認證協議EAP的認證方法，其特征在于，該方法包括A，在EAP認證過程中，認證端向被認證端發送認證請求報文，所述認證請求報文包含需要被認證端提供的擴展信息類型；B，被認證端獲取與所述認證請求報文中擴展信息類型對應的擴展信息，并將所述擴展信息發送至認證端；C，認證端對所述擴展信息進行認證，如果認證失敗，則拒絕被認證端接入網絡，如果認證成功，則允許被認證端接入網絡。2.根據權利要求1所述的基于EAP的認證方法，其特征在于，步驟A是在認證端按照 PPP協議認證方式與被認證端完成隧道建立，且與被認證端重協商出啟用EAP認證以及接收到被認證端發送的身份標識后執行；或者，步驟A是在認證端按照PPP協議認證方式與被認證端連接的隧道訪問設備完成隧道建立，且與該被認證端重協商出啟用EAP認證以及接收到被認證端發送的身份標識后執行。3.根據權利要求1所述的基于EAP的認證方法，其特征在于，步驟A是在認證端按照802. IX協議認證方式接收到被認證端發送的身份標識后執行。4.根據權利要求2或3所述的基于EAP的認證方法，步驟A中，在認證端向被認證端發送認證請求報文之前，進一步包括認證端根據被認證端發送的身份標識判斷是否對被認證端啟用擴展信息認證，如果是，則繼續執行所述認證端向被認證端發送認證請求報文的操作。5.根據權利要求1所述的基于EAP的認證方法，其特征在于，步驟B之前，進一步包括Bi，被認證端判斷自身是否支持所述認證請求報文所屬的擴展信息認證類型，如果是，繼續執行步驟B，否則，發送不支持擴展信息認證類型的報文給認證端，以使認證端根據該不支持擴展信息認證類型的報文決定后續處理流程。6.根據權利要求1所述的基于EAP的認證方法，其特征在于，步驟B中，所述將擴展信息發送至認證端包括從所述認證請求報文中獲取隨機值，采用自身證書中標識的哈希算法和加密算法對所述隨機值和擴展信息進行簽名計算；將獲取的隨機值、以及計算得到的所述簽名與所述擴展信息一起攜帶在認證響應報文中發送至認證端；步驟C中，所述認證端認證擴展信息之前，進一步包括對認證響應報文中的隨機值和簽名進行認證，在均通過認證時，繼續執行步驟C中對擴展信息的認證。7.根據權利要求6所述的基于EAP的認證方法，其特征在于，所述將獲取的隨機值、以及計算得到的所述簽名與所述擴展信息一起攜帶在認證響應報文中發送至認證端包括將獲取的隨機值，以及每一擴展信息按照TLV格式分別添加在所述認證響應報文的數據字段；將所述簽名添加在所述認證響應報文中數據字段的設定位置；在完成添加后，發送所述認證響應報文至認證端。8.一種基于可擴展認證協議EAP的認證端設備，其特征在于，該認證端設備，包括發送單元和認證單元；其中，所述發送單元，用于在...

【專利技術屬性】
技術研發人員：劉雄威，
申請(專利權)人：杭州華三通信技術有限公司，
類型：發明
國別省市：86