CN109361659B - 一种认证方法及装置 - Google Patents
一种认证方法及装置 Download PDFInfo
- Publication number
- CN109361659B CN109361659B CN201811142244.8A CN201811142244A CN109361659B CN 109361659 B CN109361659 B CN 109361659B CN 201811142244 A CN201811142244 A CN 201811142244A CN 109361659 B CN109361659 B CN 109361659B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authentication client
- short message
- check code
- authorization attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
Abstract
本发明提供一种认证方法及装置,该方法包括:对认证客户端进行身份信息校验;当校验所述认证客户端的身份信息合法时,向接入设备发送针对所述认证客户端的第一授权属性,以使所述接入设备根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;向所述认证客户端发送第一短信校验码,并接收所述认证客户端发送的第二短信校验码;当所述第一短信校验码和所述第二短信校验码匹配时,向所述接入设备发送针对所述认证客户端的第二授权属性,以使所述接入设备根据所述第二授权属性对所述认证客户端发送的报文进行转发控制。应用本发明实施例可以扩展802.1X认证结合短信的二次身份认证方案的适用场景。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种认证方法及装置。
背景技术
随着对信息安全要求越来越高,传统的802.1X认证已无法满足安全要求,802.1X认证结合短信等手段的二次身份认证称为一种热门的认证方式。
目前,802.1X认证结合短信的二次身份认证的主要实现流程如下:
Radius(Remote Authentication Dial In User Service,远程用户拨入认证服务)服务器校验802.1X认证客户端(简称为认证客户端)的用户身份信息合法之后,一方面通过短信网关向认证客户端发送短信校验码,另一方面通过接入设备向认证客户端发送要求输入短信校验码的请求报文。
认证客户端接收到该要求输入短信校验码的请求报文时,通过接入设备向Radius服务器发送携带短信校验码的响应报文。
Radius服务器接收到该响应报文时,对其中携带的短信校验码进行校验,并当校验短信校验码合法时,通过接入设备向认证客户端回应上线成功报文。
然而实践发现,在目前的802.1X认证结合短信的二次身份认证方案中,Radius服务器和接入设备之间需要通过EAP(Extensible Authentication Protocol,扩展验证协议)协议的透传属性携带短信认证的相关信息,对于PAP(Password AuthenticationProtocol,密码认证协议)协议等不存在EAP透传属性的认证方式并不适用。
此外,接入设备和认证客户端交互短信认证的相关信息时,需要对EAPOL(EAPOVER LAN(Local Area Network,局域网),基于局域网的EAP)协议进行扩展,方案适用性差。
发明内容
本发明提供一种认证方法及装置,以解决目前的802.1X认证结合短信的二次身份认证方案适用性差的问题。
根据本发明实施例的第一方面,提供一种认证方法,应用于认证服务器,所述方法包括:
对认证客户端进行身份信息校验;
当校验所述认证客户端的身份信息合法时,向接入设备发送针对所述认证客户端的第一授权属性,以使所述接入设备根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
向所述认证客户端发送第一短信校验码,并接收所述认证客户端发送的第二短信校验码;
当所述第一短信校验码和所述第二短信校验码匹配时,向所述接入设备发送针对所述认证客户端的第二授权属性,以使所述接入设备根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
根据本发明实施例的第二方面,提供一种认证方法,应用于接入设备,所述方法包括:
当接收到认证服务器发送的针对认证客户端的第一授权属性时,根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
当接收到认证服务器发送的针对认证客户端的第二授权属性时,根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
根据本发明实施例的第三方面,提供一种认证装置,应用于认证服务器,其特征在于,所述装置包括:
第一校验单元,用于对认证客户端进行身份信息校验;
发送单元,用于当校验所述认证客户端的身份信息合法时,向接入设备发送针对所述认证客户端的第一授权属性,以使所述接入设备根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
所述发送单元,还用于向所述认证客户端发送第一短信校验码;
接收单元,用于接收所述认证客户端发送的第二短信校验码;
第二校验单元,用于对认证客户端进行短信校验码校验;
所述发送单元,还用于当所述第一短信校验码和所述第二短信校验码匹配时,向所述接入设备发送针对所述认证客户端的第二授权属性,以使所述接入设备根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
根据本发明实施例的第四方面,提供一种认证装置,应用于接入设备,所述装置包括:
接收单元,用于接收认证服务器发送的针对认证客户端的授权属性;
转发控制单元,用于当所述接收单元接收到认证服务器发送的针对认证客户端的第一授权属性时,根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
所述转发控制单元,还用于当所述接收单元接收到认证服务器发送的针对认证客户端的第二授权属性时,根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
应用本发明实施例,通过对认证客户端进行身份信息校验,并当校验认证客户端的身份信息合法时,向接入设备发送针对认证客户端的第一授权属性,以使接入设备根据第一授权属性对认证客户端发送的报文进行转发控制;进而,向认证客户端发送第一短信校验码,并接收认证客户端发送的第二短信校验码,当第一短信校验码和第二短信校验码匹配时,向接入设备发送针对认证客户端的第二授权属性,以使接入设备根据所述第二授权属性对认证客户端发送的报文进行转发控制,扩展了802.1X认证结合短信的二次身份认证方案的适用场景。
附图说明
图1是本发明实施例提供的一种认证系统的架构示意图;
图2是本发明实施例提供的一种认证方法的流程示意图;
图3是本发明实施例提供的一种认证方法的流程示意图;
图4是本发明实施例提供的一种认证方法的流程示意图;
图5是本发明实施例提供的一种认证装置的结构示意图;
图6是本发明实施例提供的另一种认证装置的结构示意图;
图7是本发明实施例提供的一种认证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,下面先对本发明实施例适用的系统架构进行简单说明。
请参见图1,为本发明实施例提供的一种认证系统的架构示意图,如图1所示,该认证系统包括认证客户端、接入设备以及认证服务器;其中:
需要说明的是,在本发明实施例中,若未特殊说明,若提及的认证服务器为使用802.1X协议的认证服务器,如Radius服务器,本发明实施例后续不再复述。
当认证客户端在访问网络之前,可以先发起认证,由认证服务器对认证客户端进行身份信息校验。
当认证服务器校验认证客户端的身份信息合法时,可以向接入设备发送针对认证客户端的授权属性(本文中称为第一授权属性),该第一授权属性用于指示接入设备允许该认证客户端发送给认证服务器的报文通过,但拒绝认证客户端发送给其他网络设备的报文通过。
接入设备接收到认证服务器发送的针对认证客户端的第一授权属性时,可以根据该第一授权属性对该认证客户端发送的报文进行转发控制。
认证服务器还可以向认证客户端发送短信校验码(本文中称为第一短信校验码);
认证客户端接收到该第一短信校验码时,还可以向认证服务器发送短信校验码(本文中称为第二短信校验码)。
认证服务器接收到认证客户端发送的第二短信校验码时,可以比较第一短信校验码和第二短信校验码,并当第一短信校验码和第二短信校验码匹配时,向接入设备发送针对该认证客户端的第二授权属性;其中,该第二授权属性用于指示接入设备允许该认证客户端发送的报文通过。
接入设备接收到认证服务器发送的针对认证客户端的第二授权属性时,可以根据该第二授权属性对该认证客户端发送的报文进行转发控制。
可见,在本发明实施例中,认证服务器在校验认证客户端的身份信息合法之后,先对认证客户端进行部分网络访问授权,允许认证客户端访问认证服务器,进而再对认证客户端进行短信认证,并当短信认证通过后,再对认证客户端进行网络访问授权,允许认证客户端正常访问网络,对于不存在EAP透传属性的认证方式也可以实现结合短信的二次身份认证;此外,由于短信认证过程中,不需要接入设备和认证客户端之间专门交互短信认证的相关信息,因此,不需要对标准802.1X认证协议进行针对接入设备和认证客户端之间的短信认证相关信息的交互的扩展,提高了方案的适用性。
请参见图2,为本发明实施例提供的一种认证方法的流程示意图,其中,该认证方法可以应用于认证服务器,如图2所示,该认证方法可以包括以下步骤:
步骤201、对认证客户端进行身份信息校验。
本发明实施例中,认证服务器对认证客户端进行身份校验的具体实现可以参见标准802.1X认证方案的相关描述,本发明实施例对此不做赘述。
其中,身份信息可以包括用户名和密码等。
步骤202、当校验认证客户端的身份信息合法时,向接入设备发送针对认证客户端的第一授权属性,以使接入设备根据第一授权属性对该认证客户端发送的报文进行转发控制。
本发明实施例中,考虑到现有802.1X认证结合短信的二次身份认证方案中进行短信认证时,认证服务器和接入设备之间需要通过EAP协议的透传属性携带短信认证的相关信息,导致其适用场景受限,因此,为了扩展802.1X认证结合短信的二次身份认证方案的适用场景,认证服务器校验认证客户端身份信息合法之后,可以对认证客户端进行部分网络访问授权,以允许认证客户端访问认证服务器,从而,认证服务器可以直接与认证客户端进行短信认证。
相应地,在本发明实施例中,当认证服务器校验认证客户端的身份信息合法时,认证服务器可以向接入设备发送针对该认证客户端的第一授权属性。
其中,该第一授权属性可以用于指示接入设备允许认证客户端发送给认证服务器的报文通过。
例如,认证服务器可以通过向接入设备下发ACL(Access Control List,访问控制列表)表项的方式指示接入设备允许认证客户端发送给认证服务器的报文通过。
在本发明其中一个实施例中,上述向接入设备发送针对认证客户端的第一授权属性,可以包括:
向接入设备发送携带第一授权属性的认证成功响应报文;其中,第一授权属性信息携带在认证成功响应报文的Filter-ID(过滤标识)字段中。
在该实施例中,当认证服务器校验认证客户端的身份信息合法时,认证服务器可以在向接入设备发送的认证成功响应报文(如Radius Access-Accept(访问接受)报文)的Filter-ID字段中携带针对该认证客户端的第一授权属性。
接入设备接收到该认证成功响应报文时,可以从Filter-ID字段中获取该第一授权属性,并根据该第一授权属性对认证客户端的报文进行转发控制。
本发明实施例中,接入设备接收到认证服务器发送的针对认证客户端的第一授权属性时的具体处理流程可以参见图3所示方法流程中的相关描述,本发明实施例在此不做赘述。
步骤203、向认证客户端发送第一短信校验码,并接收认证客户端发送的第二短信校验码。
本发明实施例中,认证服务器向接入设备发送针对认证客户端的第一授权属性之后,可以向认证客户端发送第一短信校验码,以使认证客户端接收到该第一短信校验码之后,向认证服务器发送第二短信校验码。
在本发明其中一个实施例中,上述向认证客户端发送第一短信校验码,可以包括:
接收认证客户端发送的短信校验码请求报文;
生成第一短信校验码,并通过短信网关将第一短信校验码发送给认证客户端。
在该实施例中,当认证客户端确定认证服务器校验身份信息合法时,如认证客户端接收到认证成功响应报文(如EAP-Success(成功)报文),认证客户端可以向认证服务器发送短信校验码请求报文,如认证客户端可以通过HTTP(HyperText Transfer Protocol,超文本传输协议)/HTTPs(HTTP over Secure Socket Layer,安全版HTTP协议)协议向认证服务器发送短信校验码请求报文。
认证服务器接收到认证客户端发送的短信校验码请求报文时,可以为认证客户端生成短信校验码(即第一短信校验码),并通过短信的方式将该第一短信校验码发送给认证客户端。
其中,短信校验码请求报文中可以携带认证客户端关联的手机号,以使认证服务器可以向该手机号发送短信校验码;或者,短信校验码请求报文中可以携带认证客户端的标识信息,且认证服务器中可以存储认证客户端的标识信息和认证客户端关联的手机号的对应关系,进而,认证服务器可以根据认证客户端的标识信息确定认证客户端关联的手机号,并向该手机号发送短信校验码。
步骤204、当第一短信校验码和第二短信校验码匹配时,向接入设备发送针对认证客户端的第二授权属性,以使接入设备根据第二授权属性对认证客户端发送的报文进行转发控制。
本发明实施例中,当认证服务器接收到认证客户端发送的第二短信校验码时,认证服务器可以比较该第二短信校验码和自身保存的第一短信校验码,以确定二者是否匹配,如确定二者是否相同。
当认证服务器确定第一短信校验码和第二短信校验码匹配时,认证服务器可以向接入设备发送针对认证客户端的第二授权属性;其中,该第二授权属性用于指示接入设备允许认证客户端发送的报文通过,即允许该认证客户端正常访问网络。
在本发明其中一个实施例中,上述向接入设备发送针对认证客户端的第二授权属性,可以包括:
向接入设备发送携带第二授权属性的COA报文。
在该实施例中,当认证服务器对认证客户端短信认证通过(即第一短信校验码和第二短信校验码匹配)时,认证服务器可以向接入设备发送携带第二授权属性的COA(Change of Authorization,许可更改)报文。
当接入设备接收到认证服务器发送的COA报文时,可以获取其中携带的第二授权属性,并根据该第二授权属性对认证客户端发送的报文进行转发控制。
本发明实施例中,接入设备接收到认证服务器发送的针对认证客户端的第二授权属性时的具体处理流程可以参见图3所示方法流程中的相关描述,本发明实施例在此不做赘述。
请参见图3,为本发明实施例提供的一种认证方法的流程示意图,其中,该认证方法可以应用于接入设备,如图3所示,该认证方法可以包括以下步骤:
步骤301、当接收到认证服务器发送的针对认证客户端的第一授权属性时,根据第一授权属性对认证客户端发送的报文进行转发控制;其中,第一授权属性用于指示接入设备允许认证客户端发送给认证服务器的报文通过。
本发明实施例中,认证服务器向接入设备发送针对认证客户端的第一授权属性的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
本发明实施例中,接入设备接收到认证服务器发送的针对认证客户端的第一授权属性时,可以根据该第一授权属性对认证客户端发送的报文进行转发控制,即允许认证客户端发送给认证服务器的报文通过,并拒绝认证客户端发送给其他网络设备的报文通过,从而,认证客户端仅能访问认证服务器,而无法访问其他网络设备。
步骤302、当接收到认证服务器发送的针对认证客户端的第二授权属性时,根据第二授权属性对认证客户端发送的报文进行转发控制;其中,第二授权属性用于指示接入设备允许认证客户端发送的报文通过。
本发明实施例中,认证服务器向接入设备发送针对认证客户端的第二授权属性的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
本发明实施例中,接入设备接收到认证服务器发送的针对认证客户端的第二授权属性时,可以根据该第二授权属性对该认证客户端发送的报文进行转发控制,即允许该认证客户端发送的报文通过,从而,认证客户端可以正常访问网络。
其中,第二授权属性的优先级高于第一授权属性,即接入设备优先根据第二授权属性对认证客户端的发送的报文进行转发控制。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体实例对本发明实施例提供的技术方案进行说明。
在该实施例中,以认证服务器为Radius服务器,认证方式为EAP-MD5(Message-Digest Algorithm,消息摘要算法)认证方式为例,假设Radius服务器的IP地址为IP0,接入设备上与认证客户端连接的端口为port1。
请参见图4,该实施例中的802.1X和短信混合认证实现流程如下:
1、认证客户端向接入设备发送EAPOL-Start(发起)报文,开始802.1X认证接入;
2、接入设备向客户端发送EAP-Request(请求)/Identity(身份)报文,请求认证客户端的身份信息(包括用户名和密码);
3、认证客户端向接入设备回应EAP-Response(响应)/Identity报文,该EAP-Response/Identity报文中携带认证客户端的身份信息;
4、接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给Radius服务器;
5、认证服务器产生一个Challenge(挑战字),通过接入设备将RADIUS Access-Challenge报文发送给认证客户端,其中包含有EAP-Request/MD5-Challenge报文;
6、接入设备将EAP-Request/MD5-Challenge报文发送给认证客户端,请求认证客户端进行认证;
7、认证客户端收到EAP-Request/MD5-Challenge报文后,将密码和EAP-Request/MD5-Challenge报文中携带的Challenge做MD5算法后,得到Challenged-Password,并携带在EAP-Response/MD5-Challenge报文中回应给接入设备;
8、接入设备将EAP-Response/MD5-Challenge报文封装在Radius Access-Request报文中,发送给Radius服务器;
9、Radius服务器根据密码和EAP-Response/MD5-Challenge报文中携带的Challenge做MD5算法,并将结果与EAP-Response/MD5-Challenge报文中携带的Challenged-Password比较,若相同,则确定用户的身份信息合法;否则,确定用户的身份信息不合法;
在该实施例中,步骤1~9的具体实现可以参见现有EAP-MD5认证方式中的相关描述。
下文中以Radius服务器校验认证客户端的身份信息合法为例进行描述。
10、Radius服务器向接入设备返回Radius Access-Accept报文,该报文中除了携带EAP-Success报文之外,还携带第一授权属性信息;其中,该第一授权属性信息携带在Radius Access-Accept报文的Filter-ID字段;
在该实施例中,第一授权属性可以为如表1所示的ACL表项:
表1
| 匹配项 | 动作项 |
| 目的IP地址不是IP0 | 丢弃报文 |
11、接入设备将第一授权属性在本地生效,根据第一授权属性对认证客户端发送的报文进行转发控制;
其中,接入设备可以在port1下发表1所示的ACL表项,当接入设备从port1接收到报文时,可以根据报文目的IP地址查询表1所示的ACL表项;若匹配,即目的IP地址不是IP0,则丢弃所接收到的报文;若不匹配,则根据报文的目的IP地址对报文进行转发。
12、接入设备向认证客户端发送EAP-Success报文;
13、认证客户端向认证服务器发送短信校验码请求报文,该请求报文中携带认证客户端关联的手机号;
其中,该短信校验码请求报文为HTTP报文。
14、Radius服务器接收到短信校验码请求报文时,生成第一短信校验码并保存,向该短信校验码请求报文中携带的手机号发送第一短信校验码;
其中,短信网关接收到第一短信校验码时,将该第一短信校验码发送给该手机号。
该手机号关联的终端接收到该第一短信校验码时,可以在指定界面中展示该第一短信校验码,由该手机号的关联终端的使用者在认证客户端的指定界面输入短信校验码。
15、认证客户端向Radius服务器发送第二短信校验码;
其中,认证客户端可以通过HTTP报文向Radius服务器发送第二短信校验码。
16、Radius服务器校验短信校验码是否合法。
其中,Radius服务器接收到第二短信校验码时,可以比较该第二短信校验码和自身保存的第一短信校验码,若二者相同,则确定短信校验码合法;否则,确定短信校验码不合法。
下文中以短信校验码合法为例。
17、Radius服务器向接入设备发送携带第二授权属性的COA报文;其中,该第二授权属性用于指示接入设备允许认证客户端的报文通过;
在该实施例中,第二授权属性可以为如表2所示的ACL表项:
表2
| 匹配项 | 动作项 |
| * | 允许通过 |
18、接入设备将第二授权属性在本地生效,并根据第二授权属性对认证客户端发送的报文进行转发控制;
其中,接入设备可以在port1下发表2所示的ACL表项(表2所示的ACL表项会覆盖表1所示的ACL表项),当接入设备从port1接收到报文时,根据表2所示的ACL表项,会允许报文通过,从而,认证客户端可以正常访问网络。
19、Radius服务器向认证客户端发送上线成功报文,进而,认证客户端可以开始访问网络。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过对认证客户端进行身份信息校验,并当校验认证客户端的身份信息合法时,向接入设备发送针对认证客户端的第一授权属性,以使接入设备根据第一授权属性对认证客户端发送的报文进行转发控制;进而,向认证客户端发送第一短信校验码,并接收认证客户端发送的第二短信校验码,当第一短信校验码和第二短信校验码匹配时,向接入设备发送针对认证客户端的第二授权属性,以使接入设备根据所述第二授权属性对认证客户端发送的报文进行转发控制,扩展了802.1X认证结合短信的二次身份认证方案的适用场景。
请参见图5,为本发明实施例提供的一种认证装置的结构示意图,其中,该装置可以应用于上述方法实施例中的认证服务器,如图5所示,该认证装置可以包括:
第一校验单元510,用于对认证客户端进行身份信息校验;
发送单元520,用于当校验所述认证客户端的身份信息合法时,向接入设备发送针对所述认证客户端的第一授权属性,以使所述接入设备根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
所述发送单元520,还用于向所述认证客户端发送第一短信校验码;
接收单元530,用于接收所述认证客户端发送的第二短信校验码;
第二校验单元540,用于对认证客户端进行短信校验码校验;
所述发送单元520,还用于当所述第一短信校验码和所述第二短信校验码匹配时,向所述接入设备发送针对所述认证客户端的第二授权属性,以使所述接入设备根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
所述发送单元520,具体用于向所述接入设备发送携带所述第一授权属性的认证成功响应报文;其中,所述第一授权属性信息携带在所述认证成功响应报文的过滤标识Filter-ID字段中。
在可选实施例中,所述接收单元530,具体用于接收所述认证客户端发送的短信校验码请求报文;
相应地,请一并参见图6,为本发明实施例提供的另一种认证装置的结构示意图,如图6所示,在图5所示的认证装置的基础上,图6所示认证装置还可以包括:
生成单元550,用于生成所述第一短信校验码;
所述发送单元520,具体用于通过短信网关将所述第一短信校验码发送给所述认证客户端。
在可选实施例中,所述发送单元520,具体用于向所述接入设备发送携带所述第二授权属性的许可更改COA报文。
请参见图7,为本发明实施例提供的一种认证装置的结构示意图,其中,该装置可以应用于上述方法实施例中的接入设备,如图7所示,该认证装置可以包括:
接收单元710,用于接收认证服务器发送的针对认证客户端的授权属性;
转发控制单元720,用于当所述接收单元710接收到认证服务器发送的针对认证客户端的第一授权属性时,根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
所述转发控制单元720,还用于当所述接收单元710接收到认证服务器发送的针对认证客户端的第二授权属性时,根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过对认证客户端进行身份信息校验,并当校验认证客户端的身份信息合法时,向接入设备发送针对认证客户端的第一授权属性,以使接入设备根据第一授权属性对认证客户端发送的报文进行转发控制;进而,向认证客户端发送第一短信校验码,并接收认证客户端发送的第二短信校验码,当第一短信校验码和第二短信校验码匹配时,向接入设备发送针对认证客户端的第二授权属性,以使接入设备根据所述第二授权属性对认证客户端发送的报文进行转发控制,扩展了802.1X认证结合短信的二次身份认证方案的适用场景。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (8)
1.一种认证方法,应用于认证服务器,其特征在于,所述方法包括:
对认证客户端进行身份信息校验;
当校验所述认证客户端的身份信息合法时,向接入设备发送针对所述认证客户端的第一授权属性,以使所述接入设备根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
向所述认证客户端发送第一短信校验码,并接收所述认证客户端发送的第二短信校验码;其中,所述认证客户端通过HTTP/HTTPs协议向认证服务器发送短信校验码请求报文;所述认证服务器接收到认证客户端发送的短信校验码请求报文时,生成所述第一短信校验码,并通过短信的方式将第一短信校验码发送给所述认证客户端;
当所述第一短信校验码和所述第二短信校验码匹配时,向所述接入设备发送针对所述认证客户端的第二授权属性,以使所述接入设备根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
2.根据权利要求1所述的方法,其特征在于,所述向 接入设备发送针对所述认证客户端的第一授权属性,包括:
向所述接入设备发送携带所述第一授权属性的认证成功响应报文;其中,所述第一授权属性信息携带在所述认证成功响应报文的过滤标识Filter-ID字段中。
3.根据权利要求1或2所述的方法,其特征在于,所述向所述接入设备发送针对所述认证客户端的第二授权属性,包括:
向所述接入设备发送携带所述第二授权属性的许可更改COA报文。
4.一种认证方法,应用于接入设备,其特征在于,所述方法包括:
当接收到认证服务器发送的针对认证客户端的第一授权属性时,根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;所述第一授权属性由所述认证服务器对所述认证客户端进行身份信息校验,并校验所述认证客户端的身份信息合法时向所述接入设备发送;
当接收到认证服务器发送的针对认证客户端的第二授权属性时,根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过;所述第二授权属性由所述认证服务器确定第一短信校验码和第二短信校验码匹配时,向所述接入设备发送,所述认证客户端通过HTTP/HTTPs协议向认证服务器发送短信校验码请求报文;所述认证服务器接收到认证客户端发送的短信校验码请求报文时,生成所述第一短信校验码,并通过短信的方式将第一短信校验码发送给所述认证客户端,并接收所述认证客户端发送的第二短信校验码。
5.一种认证装置,应用于认证服务器,其特征在于,包括:
第一校验单元,用于对认证客户端进行身份信息校验;
发送单元,用于当校验所述认证客户端的身份信息合法时,向接入设备发送针对所述认证客户端的第一授权属性,以使所述接入设备根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;
所述发送单元,还用于向所述认证客户端发送第一短信校验码;其中,所述认证客户端通过HTTP/HTTPs协议向认证服务器发送短信校验码请求报文;所述认证服务器接收到认证客户端发送的短信校验码请求报文时,生成所述第一短信校验码,并通过短信的方式将第一短信校验码发送给所述认证客户端;
接收单元,用于接收所述认证客户端发送的第二短信校验码;
第二校验单元,用于对认证客户端进行短信校验码校验;
所述发送单元,还用于当所述第一短信校验码和所述第二短信校验码匹配时,向所述接入设备发送针对所述认证客户端的第二授权属性,以使所述接入设备根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过。
6.根据权利要求5所述的装置,其特征在于,
所述发送单元,具体用于向所述接入设备发送携带所述第一授权属性的认证成功响应报文;其中,所述第一授权属性信息携带在所述认证成功响应报文的过滤标识Filter-ID字段中。
7.根据权利要求5或6所述的装置,其特征在于,
所述发送单元,具体用于向所述接入设备发送携带所述第二授权属性的许可更改COA报文。
8.一种认证装置,应用于接入设备,其特征在于,所述装置包括:
接收单元,用于接收认证服务器发送的针对认证客户端的授权属性;
转发控制单元,用于当所述接收单元接收到认证服务器发送的针对认证客户端的第一授权属性时,根据所述第一授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第一授权属性用于指示所述接入设备允许所述认证客户端发送给所述认证服务器的报文通过;所述第一授权属性由所述认证服务器对所述认证客户端进行身份信息校验,并校验所述认证客户端的身份信息合法时向所述接入设备发送;
所述转发控制单元,还用于当所述接收单元接收到认证服务器发送的针对认证客户端的第二授权属性时,根据所述第二授权属性对所述认证客户端发送的报文进行转发控制;其中,所述第二授权属性用于指示所述接入设备允许所述认证客户端发送的报文通过;所述第二授权属性由所述认证服务器确定第一短信校验码和第二短信校验码匹配时,向所述接入设备发送,所述认证客户端通过HTTP/HTTPs协议向认证服务器发送短信校验码请求报文;所述认证服务器接收到认证客户端发送的短信校验码请求报文时,生成所述第一短信校验码,并通过短信的方式将第一短信校验码发送给所述认证客户端,并接收所述认证客户端发送的第二短信校验码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811142244.8A CN109361659B (zh) | 2018-09-28 | 2018-09-28 | 一种认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811142244.8A CN109361659B (zh) | 2018-09-28 | 2018-09-28 | 一种认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361659A CN109361659A (zh) | 2019-02-19 |
| CN109361659B true CN109361659B (zh) | 2021-05-28 |
Family
ID=65348268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811142244.8A Active CN109361659B (zh) | 2018-09-28 | 2018-09-28 | 一种认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361659B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830446B (zh) * | 2019-10-14 | 2022-07-12 | 云深互联(北京)科技有限公司 | 一种spa安全验证的方法和装置 |
| CN113438081B (zh) * | 2021-06-16 | 2022-05-31 | 新华三大数据技术有限公司 | 一种认证方法、装置及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878032A (zh) * | 2017-02-21 | 2017-06-20 | 新华三技术有限公司 | 一种认证方法和装置 |
| WO2017151867A1 (en) * | 2016-03-04 | 2017-09-08 | Secureauth Corporation | Secure mobile device two-factor authentication |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008015659A1 (en) * | 2006-08-03 | 2008-02-07 | Provost Fellows And Scholars Of The College Of The Holy And Undivided Trinity Of Queen Elizabeth Near Dublin | A network access method and system |
| CN104869121B (zh) * | 2015-05-26 | 2018-09-04 | 新华三技术有限公司 | 一种基于802.1x的认证方法及装置 |
| CN106888091A (zh) * | 2015-12-23 | 2017-06-23 | 北京奇虎科技有限公司 | 基于eap的可信网络接入方法和系统 |
| CN107888592A (zh) * | 2017-11-13 | 2018-04-06 | 杭州迪普科技股份有限公司 | 一种vpn登录认证方法及装置 |
-
2018
- 2018-09-28 CN CN201811142244.8A patent/CN109361659B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017151867A1 (en) * | 2016-03-04 | 2017-09-08 | Secureauth Corporation | Secure mobile device two-factor authentication |
| CN106878032A (zh) * | 2017-02-21 | 2017-06-20 | 新华三技术有限公司 | 一种认证方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361659A (zh) | 2019-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| US7325246B1 (en) | Enhanced trust relationship in an IEEE 802.1x network | |
| CN100591011C (zh) | 一种认证方法及系统 | |
| CN101163000B (zh) | 一种二次认证方法及系统 | |
| US9805185B2 (en) | Disposition engine for single sign on (SSO) requests | |
| DK2924944T3 (en) | Presence authentication | |
| JP3697437B2 (ja) | ネットワークシステムおよびネットワークシステムの構築方法 | |
| CN103888265A (zh) | 一种基于移动终端的登录系统和方法 | |
| CN101557406A (zh) | 一种用户终端的认证方法、装置及系统 | |
| WO2016078419A1 (zh) | 一种开放授权方法、装置及开放平台 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US11848926B2 (en) | Network authentication | |
| WO2021083026A1 (zh) | 信息处理方法、装置、设备及计算机可读存储介质 | |
| CN109361659B (zh) | 一种认证方法及装置 | |
| CN112423299A (zh) | 一种基于身份认证进行无线接入的方法及系统 | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| US10057252B1 (en) | System for secure communications | |
| KR20180039037A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| US10447688B1 (en) | System for secure communications | |
| KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 | |
| CN114500074B (zh) | 单点系统安全访问方法、装置及相关设备 | |
| US20230315830A1 (en) | Web-based authentication for desktop applications | |
| CN106603492B (zh) | 一种认证方法和装置 | |
| CN106534117B (zh) | 一种认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |