[发明专利]认证报文处理方法、装置和系统

说明书

技术领域

本发明实施例涉及网络管理技术领域，尤其涉及一种认证报文处理方法、 装置和系统。

背景技术

802.1X协议是基于客户端(Client)/服务器(Server)模式的访问控 制和认证协议，可以限制未经授权的用户设备通过接入端口访问局域网 (Local Area Network；以下简称：LAN)/无线局域网(Wireless Local Area Network；以下简称：WLAN)。在获得交换机或LAN提供的各种业务之 前，802.1x对连接到交换机端口上的用户设备进行认证。在认证通过之前， 802.1x只允许基于局域网的扩展认证协议(Extensible Authentication Protocol over LAN；以下简称：EAPOL)数据通过用户设备连接的交换机 端口；认证通过以后，正常的数据才可以顺利地通过以太网端口。

远程用户拨号认证系统(Remote Authentication Dial In User Service； 以下简称：Radius)，是一种在网络接入服务器(Network Access Server； 以下简称：NAS)和共享认证服务器间传输认证、授权和配置信息的协议。 Radius使用用户数据报协议((User Datagram Protocol；以下简称：UDP) 作为传输协议。Radius服务器支持多种用户认证方法。当用户提供了用户 名和原始口令后，Radius服务器可支持口令验证协议(Password Authentication Protocol；以下简称：PAP)、质询握手协议(Challenge Handshake Authentication Protocol；以下简称：CHAP)和扩展认证协议 (Extensible Authentication Protocol；以下简称：EAP)等其他认证机制。 其中EAP认证方式，由于其安全性，已经成为Radius认证方式中最常见 的认证协议。

EAP报文是点到点协议(Point-to-Point Protocol；以下简称：PPP)报 文的扩展，通信过程中采用传输控制协议(Transport Control Protocol；以 下简称：TCP)/因特网协议(Internet Protocol；以下简称：IP)协议，支 持多种认证机制，具有良好的扩展性。由于EAP的扩展性和安全性，在 Radius认证中EAP认证非常普遍。基于EAP的认证协议包括：扩展认证 协议-信息摘要5挑战(Extensible Authentication Protocol-Message Digest 5 Challenge；以下简称：EAP-MD5)、扩展认证协议-传输层安全 (Extensible Authentication Protocol-Transport Layer Security；以下简称： EAP-TLS)和扩展认证协议-隧道传输层安全(Extensible Authentication Protocol-Tunneled Transport Layer Security；以下简称：EAP-TTLS)。

其中，EAP-MD5的认证在802.1X的认证中最为常用，在现有的802.1X +Radius EAP-MD5认证过程中，NAS首先向Radius服务器发送第一次认 证请求，该第一次认证请求报文中包含了认证用户名；然后，Radius服务 器对第一次认证请求进行响应，在响应报文中包含了一个随机挑战值 (Challenge)；接下来，NAS再向Radius服务器发送第二次认证请求， 该第二次认证请求报文中包含了认证用户名，以及通过随机挑战值加密后 的用户密码；最后，Radius服务器根据用户信息、随机挑战值和加密后的 用户密码进行密码校验，如果密码正确，则发送认证成功响应报文至NAS； 否则发送认证失败响应报文至NAS。

现有的802.1X+Radius EAP-MD5认证过程中，NAS与Radius服务 器需要进行两次交互，每次交互都不可缺少。其中任何一个步骤没有完成， 都会导致认证失败。