CN113904856A - 认证方法、交换机和认证系统 - Google Patents

Abstract

本申请涉及一种认证方法、交换机和认证系统。该认证方法，应用于交换机，包括：获取终端发送的请求报文；提取请求报文中的用户名信息，判断用户名信息是否有效；若用户名信息有效，生成随机数文件并发送至终端；接收终端发送的第一摘要文件；基于自身保存的用户密码对随机数文件进行摘要计算后生成第二摘要文件，并对第一摘要文件和第二摘要文件进行比对，生成比对结果；生成第二摘要文件的算法与生成第一摘要文件的算法相同；根据比对结果向终端反馈认证结果，并对应控制端口的状态。上述认证方法，由交换机和终端直接完成整个认证过程，无需服务器的参与，相当于提供了一种免维护的网络安全接入方法，有利于扩展认证方法的应用场景。

Description

认证方法、交换机和认证系统

技术领域

本申请涉及网络通信技术领域，尤其涉及一种认证方法、交换机和认证系统。

背景技术

随着网络技术的快速发展，各种形式的认证系统和认证方法不断涌现。人们在享受网络带来的便利的同时，也同样关注着网络的安全性。作为网络安全的物理边界，边缘接入交换机是保护内网安全的第一道防线。

传统的认证方法，由终端交换机与后台服务器进行合作，完成整个安全验证过程。由于需要服务器的参与，需要定期对服务器进行维护，对于野外等维护困难的工作场所，传统的认证方法并不适用。因此，传统的认证方法，具有应用场景受限的缺点。

发明内容

基于此，有必要针对上述技术问题，提供一种认证方法、交换机和认证系统，扩展应用场景。

本申请第一方面，提供了一种认证方法，应用于交换机，包括：

获取终端发送的请求报文；

提取所述请求报文中的用户名信息，判断所述用户名信息是否有效；

若所述用户名信息有效，生成随机数文件并发送至所述终端；

接收所述终端发送的第一摘要文件；所述第一摘要文件由所述终端在接收到所述随机数文件后，基于所述终端保存的用户密码对所述随机数文件进行摘要计算后生成；

基于交换机保存的用户密码对所述随机数文件进行摘要计算后生成第二摘要文件，并对所述第一摘要文件和所述第二摘要文件进行比对，生成比对结果；生成所述第二摘要文件的算法与生成所述第一摘要文件的算法相同；

根据所述比对结果向所述终端反馈认证结果，并对应控制端口的状态。

在其中一个实施例中，所述获取终端发送的请求报文，包括：

接收终端发送的认证请求报文；

向所述终端发送请求回应报文；所述请求回应报文用于指示所述终端发送包含用户名信息的请求报文；

接收所述终端发送的请求报文。

在其中一个实施例中，所述提取所述请求报文中的用户名信息，判断所述用户名信息是否有效之后，还包括：

若所述用户名信息无效，向所述终端反馈用户名信息有误的响应结果。

在其中一个实施例中，所述提取所述请求报文中的用户名信息，判断所述用户名信息是否有效之后，所述基于交换机保存的用户密码对所述随机数文件进行摘要计算后生成第二摘要文件，并对所述第一摘要文件和所述第二摘要文件进行比对，生成比对结果之前，还包括：

根据所述用户名信息，以及预存的用户名信息与密码信息的对应关系，确定所述用户名信息对应的密码信息。

在其中一个实施例中，所述比对结果包括比对一致和比对不一致；所述根据所述比对结果向所述终端反馈认证结果，并对应控制端口的状态，包括：

若比对一致，向所述终端反馈认证成功的结果，并控制端口为授权状态；

若比对不一致，向所述终端反馈认证失败的结果，并控制所述端口为关闭状态。

在其中一个实施例中，所述若比对一致，向所述终端反馈认证成功的结果，并控制端口为授权状态之后，还包括：

向所述终端发送握手报文，并根据所述终端的应答情况得到所述终端与交换机的连接状态。

在其中一个实施例中，所述若比对一致，向所述终端反馈认证成功的结果，并控制端口为授权状态之后，还包括：

接收所述终端发送的下线请求，并根据所述下线请求将所述端口更改为关闭状态。

本申请第二方面，提供了一种认证方法，应用于终端，包括：

向交换机发送请求报文；

接收所述交换机发送的随机数文件；所述随机数文件由所述交换机在接收到所述请求报文后，提取所述请求报文中的用户名信息，并判断所述用户名信息是否有效，在所述用户名信息有效的情况下生成；

基于终端保存的用户密码对所述随机数文件进行摘要计算，生成第一摘要文件并发送至所述交换机；

接收所述交换机反馈的认证结果；所述认证结果由所述交换机接收所述第一摘要文件，基于交换机保存的用户密码对所述随机数文件进行摘要计算后生成第二摘要文件，并对所述第一摘要文件和所述第二摘要文件进行比对，生成比对结果，根据所述比对结果生成；生成所述第二摘要文件的算法与生成所述第一摘要文件的算法相同。

在其中一个实施例中，所述向交换机发送请求报文之后，还包括：接收交换机发送的用户名信息有误的响应结果。该响应结果由交换机在用户名信息无效时生成。

在其中一个实施例中，比对结果包括比对一致和比对不一致；所述接收所述交换机反馈的认证结果包括：若比对一致，接收所述交换机反馈的认证成功的结果；若比对不一致，接收所述交换机反馈的认证失败的结果。

在其中一个实施例中，所述向交换机发送请求报文包括：向所述交换机发送认证请求报文；接收所述交换机发送的请求回应报文，并根据所述请求回应报文，向所述交换机发送包含用户名信息的请求报文。

在其中一个实施例中，所述若比对一致，接收所述交换机反馈的认证成功的结果之后，还包括：接收所述交换机发送的握手报文，并向所述交换机发送对应应答报文；所述应答报文用于所述交换机确定其自身与所述终端的连接状态并输出。

在其中一个实施例中，所述若比对一致，接收所述交换机反馈的认证成功的结果之后，还包括：向交换机发送下线请求。

本申请第三方面，提供了一种交换机，包括主控芯片、加密芯片和端口；所述主控芯片连接所述加密芯片和所述端口；所述端口用于连接所述终端和网络；

所述端口用于接收所述终端发送的请求报文并转发至所述主控芯片，接收所述终端发送的第一摘要文件并转发至所述主控芯片；

所述主控芯片用于提取所述请求报文中的用户名信息，判断所述用户名信息是否有效，还用于接收所述终端经由所述端口反馈的第一摘要文件；所述第一摘要文件由所述终端在接收到随机数文件后，基于所述终端保存的用户密码对所述随机数文件进行摘要计算后生成；所述随机数文件由所述主控芯片或所述加密芯片在所述用户名信息有效的情况下生成；

所述加密芯片用于保存用户密码，所述主控芯片无法读取所述用户密码；所述加密芯片还用于对所述随机数文件进行摘要计算后生成第二摘要文件并发送至所述主控芯片；生成所述第二摘要文件的算法与生成所述第一摘要文件的算法相同；

所述主控芯片还用于接收所述第二摘要文件，并对比所述第一摘要文件和所述第二摘要文件，生成比对结果；以及根据所述比对结果向所述终端反馈认证结果，并对应控制所述端口的状态。

本申请第四方面，提供了一种认证系统，包括终端和上述的交换机；所述交换机连接终端和网络。

上述认证方法，由交换机和终端直接完成整个认证过程，无需服务器的参与，相当于提供了一种免维护的网络安全接入方法，有利于扩展认证方法的应用场景。

附图说明

图1为一实施例中认证方法的应用环境图；

图2为一实施例中认证方法的流程示意图；

图3为一实施例中接收终端发送的请求报文的流程示意图；

图4为另一实施例中认证方法的流程示意图；

图5为又一实施例中认证方法的流程示意图；

图6为一实施例中交换机的结构框图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请。

可以理解，以下实施例中的“连接”，如果被连接的电路、模块、单元等相互之间具有电信号或数据的传递，则应理解为“电连接”、“通信连接”等。

在此使用时，单数形式的“一”、“一个”和“所述/该”也可以包括复数形式，除非上下文清楚指出另外的方式。还应当理解的是，术语“包括/包含”或“具有”等指定所陈述的特征、整体、步骤、操作、组件、部分或它们的组合的存在，但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。

本申请实施例中提供的对网络接入的授权方法，可以应用于如图1所示的应用环境中。其中，第一终端101、第二终端102和第三终端103分别接入交换机104，交换机104分别对各终端进行登录鉴权认证，若认证通过，则对应终端可通过交换机104访问网络105。其中，终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、摄像机、屏幕、电梯、适配器、控制器和便携式可穿戴设备。交换机104是一种用于电或光信号转发的网络设备。

本申请第一方面，提供了一种认证方法，应用于交换机，如图2所示，该认证方法包括步骤S110至步骤S170。

步骤S110：获取终端发送的请求报文。

其中，终端可以是个人计算机、笔记本电脑、智能手机、平板电脑、网络摄像机、可视对讲机、显示器、电梯、适配器、控制器和便携式可穿戴设备等。请求报文是终端在需要访问网络时，向交换机端发送的开启认证过程的报文。该请问报文中，至少包含用户名信息。进一步的，用户名信息可以包括数字、字母和符号中的任意一种或多种。

具体的，终端可以基于802.1X协议，通过802.1X客户端程序，向交换机发送EAP(Extensible Authentication Protocol，可扩展认证协议)报文，作为请求报文，开始认证过程。进一步的，交换机获取终端发送的请求报文的方式，可以是主动获取，也可以是被动接收。

可以理解，交换机通过端口实现与终端的数据交互，也即，具体由交换机上的端口获取终端发送的请求报文。

步骤S120：提取请求报文中的用户名信息，判断该用户名信息是否有效。

其中，交换机判断用户名信息是否有效的方式并不唯一。例如，交换机可以将用户名与存储器中储存的有效用户名进行比对，若存在比对一致的用户名信息，则判断用户名信息有效，否则用户名信息无效；交换机也可以在存储器中储存有与用户名信息对应的密码信息时，判断用户名有效。可以理解，若用户名信息无效，则由交换机向终端反馈用户名信息有误的响应结果。

具体的，端口获取终端发送的请求报文后，对请求报文进行格式转换后，将请求报文转发至交换机内部的主控芯片，再由主控芯片上的RADIUS(Remote AuthenticationDial In User Service，远程用户拨号认证系统)模块进行用户名信息的提取，并判断该用户名信息是否有效。

步骤S130：若用户名信息有效，生成随机数文件并发送至终端。

具体的，若用户名信息有效，则交换机生成随机数，并将随机数写入文件，得到随机数文件。需要说明的是，随机数文件可以由交换机内部的主控芯片或加密芯片生成。该随机数文件组合为RADIUS Access-Challenge报文，RADIUS Access-Challenge报文经由主控芯片到达端口，再由端口对报文进行解封包处理后，转换成终端可以识别的EAP报文，并发送至终端。。

步骤S140：接收终端发送的第一摘要文件。

其中，第一摘要文件由终端在接收到随机数文件后，基于终端保存的用户密码对随机数文件进行摘要计算后生成。

具体的，终端接收到随机数文件后，由终端内部的加密模块，基于设定摘要算法，将随机数文件、终端保存的用户密码以及EAP的ID号加密后，生成第一摘要文件，并发送至交换机。可以理解，该第一摘要文件为EAP-Response/Challenge报文。该设定摘要算法，可以是MD5算法、SHA1算法、SHA256算法或SHA512算法。

步骤S160：基于交换机保存的用户密码对随机数文件进行摘要计算后生成第二摘要文件，并对第一摘要文件和第二摘要文件进行比对，生成比对结果。

其中，生成第二摘要文件的算法与生成第一摘要文件的算法相同。具体的，交换机端口接收到终端发送的第一摘要文件，转发至主控芯片；主控芯片上的RADIUS模块，将随机数文件和EAP的ID号发送给加密芯片；基于设定摘要算法，加密芯片根据自己保存的用户密码、随机数文件、EAP的ID号，生成第二摘要文件，并发送给主控芯片；主控芯片对比第一摘要文件和第二摘要文件，生成对比结果。进一步的，主控芯片无法读取加密芯片中存储的用户密码。

步骤S170：根据比对结果向终端反馈认证结果，并对应控制端口的状态。

其中，比对结果包括比对一致和比对不一致，若比对一致，则说明该用户名信息对应的用户为合法用户，否则为非法用户。具体的，主控芯片获取比对结果，根据比对结果的不同，经由端口向终端反馈对应的认证结果，并对应控制端口的状态，以决定终端是否能通过端口接入网络，进行后续数据交互。

上述认证方法，由交换机和终端直接完成整个认证过程，无需服务器的参与，相当于提供了一种免维护的网络安全接入方法，有利于扩展认证方法的应用场景；在交换机内部配置加密芯片，与终端内部的加密模块配合，实现交换机与终端之间的双重加密核查，由于加密芯片和加密模块内部数据具有不可读取、不可拷贝、且带有不可预知的时序(如随机NOP)，有利于提升认证过程的安全性。

在一个实施例中，如图3所示，步骤S110包括步骤S111至步骤S113。

步骤S111：接收终端发送的认证请求报文。

具体的，当终端需要访问网络时，打开终端上的802.1X客户端程序，向交换机发出EAPOL(Extensible Authentication Protocol Over Lan，基于局域网的可扩展认证协议)-Start报文，启动认证过程。进一步的，该认证请求报文，可以包含已经申请、登记过的用户名信息和用户密码。

步骤S112：向终端发送请求回应报文；该请求回应报文用于指示终端发送包含用户名信息的请求报文。

具体的，交换机接收到认证请求报文后，将发出一个Identity类型的请求报文(EAP-Request/Identity)指示终端再次发送用户名信息。

步骤S113：获取终端发送的请求报文。

具体的，终端响应交换机发出的请求，发出一个包含用户名信息的dentity类型的应答报文(EAP-Request/Identity)至交换机，作为请求报文。

上述实施例中，采用消息交互的方式，获取终端发送的请求报文，可以提高请求报文中用户名信息的准确性，进而提升认证效率。

在一个实施例中，如图4所示，步骤S120之后，步骤S160之前，还包括步骤S150：根据用户名信息，以及预存的用户名信息与密码信息的对应关系，确定用户名信息对应的密码信息。

其中，用户名信息与密码信息的对应关系存储在加密芯片中的存储模块，主控芯片无法读取。具体的，主控芯片向加密芯片发送用户名信息，由加密芯片根据用户名信息，以及预存的用户名信息与密码信息的对应关系，确定用户名信息所对应的密码信息，以便进行后续的密码比对工作。

在一个实施例中，比对结果包括比对一致和比对不一致；步骤S170包括：若比对一致，向终端反馈认证成功的结果，并控制端口为授权状态；若比对不一致，向终端反馈认证失败的结果，并控制端口为关闭状态。

其中，当端口为授权状态时，允许用户的业务流通过端口访问网络，若端口为关闭状态，则只允许认证信息数据通过而不允许业务数据通过。具体的，由主控芯片根据比对结果或认证结果，控制端口为对应状态：当比对一致时，反馈认证成功的结果，并控制端口为授权状态，终端可以通过端口连接网络；当比对不一致时，反馈认证失败的结果，并控制端口为关闭状态，此时，终端不可以通过端口连接网络，但可以通过端口向主控芯片发送认证信息数据。

在一个实施例中，若比对一致，向终端反馈认证成功的结果，并控制端口为授权状态之后，还包括：向终端发送握手报文，并根据终端的应答情况得到终端与交换机的连接状态。

其中，交换机向终端发送握手报文的时机并不唯一，可以是在认证通过之后的预设时间后，也可以是在终端通过交换机与网络之间传输预设大小的数据流之后，还可以是在终端与网络之间的传输数据流小于设定值时。该握手报文的具体形式也不唯一，例如可以是基于EAP协议的EAP-Request/Identity。

具体的，交换机向终端发送握手报文，若终端在线，则向交换机反馈应答报文，以便交换机根据应答报文确定终端当前仍处于在线状态。在应答报文缺省的情况下，交换机会再次向终端发送握手报文，若连续预设次数的握手报文均无应答，则交换机判断终端已下线，终端与交换机的连接已断开，此时，交换机将端口修改为关闭状态。该预设次数，可以是2次、3次或4次，可以根据实际需要进行设定。进一步的，得到终端与交换机的连接状态后，交换机还可以将连接状态发送至管理员所在终端或显示器，以便管理员及时进行异常排查。

上述实施例中，认证成功后，由交换机向终端发送握手报文，并根据握手报文的应答情况判断终端与交换机的连接状态，可以防止终端因异常原因下线而交换机无法感知的情况发生，有利于进一步提升通信安全性。

在一个实施例中，若比对一致，向终端反馈认证成功的结果，并控制端口为授权状态之后，还包括：接收终端发送的下线请求，并根据该下线请求将端口更改为关闭状态。

具体的，终端根据自身需求，向交换机发送下线请求，主动要求下线，由交换机根据该下线请求，将端口更改为关闭状态，并向终端反馈响应结果。在一个实施例中，下线请求为EAPOL-Logoff报文，响应结果为EAP-Failure报文。

上述实施例中，相当于提供了一种终端主动下线的请求方式，可以满足终端主要下线的需求，有利于提高认证方法的科学性和全面性。

本申请第二方面，提供了一种认证方法，应用于终端，如图5所示，该认证方法包括步骤S210至步骤S240。

步骤S210：向交换机发送请求报文。

步骤S220：接收交换机发送的随机数文件。

随机数文件由交换机在接收到请求报文后，提取请求报文中的用户名信息，并判断用户名信息是否有效，在用户名信息有效的情况下生成。

在一个实施例中，步骤S210之后，还包括：接收交换机发送的用户名信息有误的响应结果。该响应结果由交换机在用户名信息无效时生成。

步骤S230：基于终端保存的用户密码对随机数文件进行摘要计算，生成第一摘要文件并发送至交换机。

步骤S240：接收交换机反馈的认证结果。

认证结果由交换机接收第一摘要文件，基于交换机自身保存的用户密码对随机数文件进行摘要计算后生成第二摘要文件，并对第一摘要文件和第二摘要文件进行比对，生成比对结果，根据比对结果生成。生成第二摘要文件的算法与生成第一摘要文件的算法相同。

在一个实施例中，比对结果包括比对一致和比对不一致；步骤S240包括：若比对一致，接收交换机反馈的认证成功的结果；若比对不一致，接收交换机反馈的认证失败的结果。

在一个实施例中，步骤S210包括：向交换机发送认证请求报文；接收交换机发送的请求回应报文，并根据该请求回应报文，向交换机发送包含用户名信息的请求报文。

在一个实施例中，若比对一致，接收交换机反馈的认证成功的结果之后，还包括：接收交换机发送的握手报文，并向交换机发送对应应答报文；该应答报文用于交换机确定其自身与终端的连接状态并输出。

在一个实施例中，若比对一致，接收交换机反馈的认证成功的结果之后，还包括：向交换机发送下线请求。

关于应用于终端的认证方法的具体限定，参见上文应用于交换机的认证方法的描述，此处不再赘述。应该理解的是，虽然上述实施例中涉及的各流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述实施例中涉及的各流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

本申请第三方面，如图6所示，提供了一种交换机，包括主控芯片10、加密芯片20和端口30；主控芯片10连接加密芯片20和端口30；端口30用于连接网络和终端。端口30用于获取终端发送的请求报文并转发至主控芯片10，接收终端发送的第一摘要文件并转发至主控芯片10。主控芯片10用于提取请求报文中的用户名信息，判断所述用户名信息是否有效，还用于接收终端经由端口30反馈的第一摘要文件；第一摘要文件由终端在接收到随机数文件后，基于终端保存的用户密码对随机数文件进行摘要计算后生成；该随机数文件由主控芯片10或加密芯片20在用户名信息有效的情况下生成；加密芯片20用于保存用户密码，还用于对随机数文件进行摘要计算后生成第二摘要文件并发送至主控芯片10；生成第二摘要文件的算法与生成第一摘要文件的算法相同；主控芯片10还用于接收第二摘要文件，并对比第一摘要文件和第二摘要文件，生成比对结果；以及根据比对结果向终端反馈认证结果，并对应控制端口30的状态。

其中，主控芯片10可以是单片机、DSP(Digital Signal Process，数字信号处理)芯片或FPGA(Field Programmable Gate Array，现场可编程逻辑门阵列)芯片。加密芯片20是对内部集成了各类摘要算法，自身具有极高安全等级，可以保证内部存储的密钥和信息数据不会被非法读取与篡改的一类安全芯片的统称。端口30是可以为接入交换机的任意两个网络节点提供独享的电信号通路的硬件装置。该端口30的类型并不唯一，可以是周知端口、动态端口或注册端口。具体的，主控芯片10与加密芯片20之间通过SPI或IIC硬件接口连接。关于交换机工作过程的具体限定参见上文认证方法实施例中的相关描述，此处不再赘述。

上述交换机，可以和终端直接完成整个认证过程，无需服务器的参与，有利于提高维护便利性，进而扩展认证系统的应用场景；在交换机内部配置加密芯片，与终端内部的加密模块配合，实现交换机与终端之间的双重加密核查，由于加密芯片和加密模块内部数据具有不可读取、不可拷贝、且带有不可预知的时序(如随机NOP)，有利于提升认证过程的安全性。

本申请第四方面，提供了一种认证系统，包括终端和上述的交换机。该交换机连接终端和网络。具体的，终端向交换机发起认证请求，认证通过后，交换机将自身端口设置为授权状态，终端可以通过端口进行网络访问。

上述认证系统，由交换机和终端直接完成整个认证过程，无需服务器的参与，有利于提高维护便利性，进而扩展认证系统的应用场景；在交换机内部配置加密芯片，与终端内部的加密模块配合，实现交换机与终端之间的双重加密核查，由于加密芯片和加密模块内部数据具有不可读取、不可拷贝、且带有不可预知的时序(如随机NOP)，有利于提升认证过程的安全性。

为便于理解，下面对本申请所涉及的技术方案进行详细说明。具体的，本申请的认证方案涉及终端和交换机两端。其中，终端包括客户机CPU和加密模块，客户机CPU和加密模块之间通过SPI、IIC或USB硬件接口连接，客户机CPU中安装有操作系统(Windows或Linux)、802.1X客户端软件以及加密模块驱动。交换机包括端口、主控芯片和加密芯片。主控芯片和加密芯片之间通过SPI或IIC硬件接口连接。主控芯片中安装有交换机的认证模块应用程序(用于驱动端口)和加密芯片驱动(用于驱动加密芯片)，还配置有RADIUS模块。整个认证过程包括以下步骤：

第一步：EAPOL-Start。

当终端需要访问网络时，打开终端上的802.1X客户端程序，输入已经申请、登记过的用户名信息和用户密码，发起连接请求。此时，客户端程序将向交换机端发出认证请求报文(EAPOL-Start)，开始启动一次认证过程。

第二步：EAP-Request/Identity。

交换机端收到认证请求报文后，将发出一个Identity类型的请求报文(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名信息。

第三步：EAP-Response/Identity。

客户端程序响应交换机端发出的请求，将用户名信息通过Identity类型的应答帧报文(EAP-Response/Identity)发送给交换机端。

第四步：RADIUS Access-Request(EAP-Response/Identity)。

交换机端将客户端发送的响应报文中的EAP报文封装在RADIUS报文(RADIUSAccess-Request)中发送给RADIUS模块进行处理。

第五步：RADIUS Access-Challenge(EAP-Request/Challenge)。

RADIUS模块收到交换机端转发的用户名信息后，将该用户名信息与数据库中的用户名列表中对比，确认用户名合法后，生成随机数，通过RADIUS Access-Challenge报文发送给交换机端口。

第六步：EAP-Request/Challenge。

交换机端口将RADIUS模块发送的Challenge报文解封包处理后转发给客户端。

第七步：EAP-Response/Challenge。

客户端收到由交换机端传来的Challenge报文后，用该Challenge+用户密码+EAP的ID号根据加密模块内置摘要算法生成EAP-Response/Challenge报文，并发送给交换机端。

第八步：RADIUS Access-Request(EAP-Response/Challenge)。

交换机端将此EAP-Response/Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS模块。

第九步：RADIUS Access-Accept(EAP-Success)。

RADIUS模块通过加密芯片内置摘要算法生成本地密码摘要，同收到的EAP-Response/Challenge报文里的摘要进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息(RADIUS Access-Accept报文)，并向发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息(EAP-Failure报文)，并保持交换机端的端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

第十步：EAP-Success。

认证模块应用程序收到RADIUS模块反馈认证通过的报文后向客户端发送认证成功报文(EAP-Success)，并将端口改为授权状态，允许用户通过该端口访问网络。

第十一步：Handshake Request(EAP-Request/Identity)。

用户在线期间，交换机端会通过向客户端定期发送握手报文的方法，对用户的在线情况时行监测。

第十二步：Handshake Response(EAP-Response/Identity)。

客户端收到握手报文后，向交换机端发送应答报文，表示用户仍然在线。缺省情况下，若交换机端发送的两次握手请求报文都未得到客户端应答，交换机端就会让用户下线，防止用户因为异常原因下线而交换机端无法感知。

第十三步：EAPOL-Logoff。

客户端也可以发送EAPOL-Logoff报文给交换机端，主动要求下线。

第十四步：EAP-Failure。

接收到EAPOL-Logoff报文后，交换机端把端口状态从授权状态改变成未授权状态，并向客户端发送EAP-Failure报文。

上述认证方法和认证系统，由交换机和终端直接完成整个认证过程，无需服务器的参与，相当于提供了一种免维护的网络安全接入方法，有利于扩展认证方法的应用场景；在交换机内部配置加密芯片，与终端内部的加密模块配合，实现交换机与终端之间的双重加密核查，由于加密芯片和加密模块内部数据具有不可读取、不可拷贝、且带有不可预知的时序(如随机NOP)，有利于提升认证过程的安全性。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上该实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种认证方法，其特征在于，应用于交换机，包括：

获取终端发送的请求报文；

提取所述请求报文中的用户名信息，判断所述用户名信息是否有效；

若所述用户名信息有效，生成随机数文件并发送至所述终端；

接收所述终端发送的第一摘要文件；所述第一摘要文件由所述终端在接收到所述随机数文件后，基于所述终端保存的用户密码对所述随机数文件进行摘要计算后生成；

基于交换机保存的用户密码对所述随机数文件进行摘要计算后生成第二摘要文件，并对所述第一摘要文件和所述第二摘要文件进行比对，生成比对结果；生成所述第二摘要文件的算法与生成所述第一摘要文件的算法相同；

根据所述比对结果向所述终端反馈认证结果，并对应控制端口的状态。

2.根据权利要求1所述的认证方法，其特征在于，所述获取终端发送的请求报文，包括：

接收终端发送的认证请求报文；

向所述终端发送请求回应报文；所述请求回应报文用于指示所述终端发送包含用户名信息的请求报文；

接收所述终端发送的请求报文。

3.根据权利要求1所述的认证方法，其特征在于，所述提取所述请求报文中的用户名信息，判断所述用户名信息是否有效之后，还包括：

若所述用户名信息无效，向所述终端反馈用户名信息有误的响应结果。

4.根据权利要求1所述的认证方法，其特征在于，所述提取所述请求报文中的用户名信息，判断所述用户名信息是否有效之后，所述基于交换机保存的用户密码对所述随机数文件进行摘要计算后生成第二摘要文件，并对所述第一摘要文件和所述第二摘要文件进行比对，生成比对结果之前，还包括：

根据所述用户名信息，以及预存的用户名信息与密码信息的对应关系，确定所述用户名信息对应的密码信息。

5.根据权利要求1至4中任意一项所述的认证方法，其特征在于，所述比对结果包括比对一致和比对不一致；所述根据所述比对结果向所述终端反馈认证结果，并对应控制端口的状态，包括：

若比对一致，向所述终端反馈认证成功的结果，并控制端口为授权状态；

若比对不一致，向所述终端反馈认证失败的结果，并控制所述端口为关闭状态。

6.根据权利要求5所述的认证方法，其特征在于，所述若比对一致，向所述终端反馈认证成功的结果，并控制端口为授权状态之后，还包括：

向所述终端发送握手报文，并根据所述终端的应答情况得到所述终端与交换机的连接状态。

7.根据权利要求5所述的认证方法，其特征在于，所述若比对一致，向所述终端反馈认证成功的结果，并控制端口为授权状态之后，还包括：

接收所述终端发送的下线请求，并根据所述下线请求将所述端口更改为关闭状态。

8.一种认证方法，其特征在于，应用于终端，包括：

向交换机发送请求报文；

接收所述交换机发送的随机数文件；所述随机数文件由所述交换机在接收到所述请求报文后，提取所述请求报文中的用户名信息，并判断所述用户名信息是否有效，在所述用户名信息有效的情况下生成；

基于终端保存的用户密码对所述随机数文件进行摘要计算，生成第一摘要文件并发送至所述交换机；

接收所述交换机反馈的认证结果；所述认证结果由所述交换机接收所述第一摘要文件，基于交换机保存的用户密码对所述随机数文件进行摘要计算后生成第二摘要文件，并对所述第一摘要文件和所述第二摘要文件进行比对，生成比对结果，根据所述比对结果生成；生成所述第二摘要文件的算法与生成所述第一摘要文件的算法相同。

9.一种交换机，其特征在于，包括主控芯片、加密芯片和端口；所述主控芯片连接所述加密芯片和所述端口；所述端口用于连接终端和网络；

所述端口用于接收所述终端发送的请求报文并转发至所述主控芯片，接收所述终端发送的第一摘要文件并转发至所述主控芯片；

所述主控芯片用于提取所述请求报文中的用户名信息，判断所述用户名信息是否有效，还用于接收所述终端经由所述端口反馈的第一摘要文件；所述第一摘要文件由所述终端在接收到随机数文件后，基于所述终端保存的用户密码对所述随机数文件进行摘要计算后生成；所述随机数文件由所述主控芯片或所述加密芯片在所述用户名信息有效的情况下生成；

所述加密芯片用于保存用户密码，所述主控芯片无法读取所述用户密码；所述加密芯片还用于对所述随机数文件进行摘要计算后生成第二摘要文件并发送至所述主控芯片；生成所述第二摘要文件的算法与生成所述第一摘要文件的算法相同；

所述主控芯片还用于接收所述第二摘要文件，并对比所述第一摘要文件和所述第二摘要文件，生成比对结果；以及根据所述比对结果向所述终端反馈认证结果，并对应控制所述端口的状态。

10.一种认证系统，其特征在于，包括终端和如权利要求9所述的交换机；所述交换机连接所述终端和网络。

Images