CN1243434C - 基于远程认证的网络中实现eap认证的方法 - Google Patents
基于远程认证的网络中实现eap认证的方法 Download PDFInfo
- Publication number
- CN1243434C CN1243434C CN02131771.2A CN02131771A CN1243434C CN 1243434 C CN1243434 C CN 1243434C CN 02131771 A CN02131771 A CN 02131771A CN 1243434 C CN1243434 C CN 1243434C
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- message
- eap
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于远程认证的网络中实现EAP认证的方法。该方法包括:请求认证的用户发送开始EAP(扩展认证协议)认证报文;网络接入控制设备收到开始EAP认证报文后,将用户认证信息封装于远程认证报文中,并发送给远程认证服务器进行认证;远程认证服务器将认证结果返回网络接入控制设备,并由网络接入控制设备将认证结果通过EAP报文发送给用户。本发明方的实现既有利于EAP认证方式的推广和使用,又在一定程度上降低了运营商在现有的远程认证网络中提供支持EAP认证RADIUS服务器的运营成本。本发明还可以实现对地址池的保护,减少了运营商的运营风险,提高了网络的安全性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于远程认证的网络中实现EAP认证的方法。
背景技术
在很多网络接入过程中,均对网络接入用户实行了认证制度。目前,无论是在窄带接入网中,还是在XDSL(数字用户环路)、HFC(光纤同轴混合接入)等宽带接入网中大多是采用PPP(点对点协议)实现对用户的认证;而在LAN(局域网)接入网中,既有通过扩充的PPP实现用户的认证,也有通过扩展的RADIUS(远程拨号用户认证服务)协议实现的各种认证方法;另外,还有部分网络采用WEB认证方式进行用户的接入认证。
PPP认证方式在用户认证成功之前,不建立链路,也不为用户分配IP(互联网协议)地址,用户无法浏览运营商的门户网站,以及不需要认证就允许用户访问的网络,如Intranet(企业内部互联网)等。因此,PPP认证方式不能很好的承载运营商日益丰富的特色业务。而且,PPP认证实现比较复杂,状态多达十几个,握手报文也有好几对,且PPP建立的链路不稳定,容易断线。尤其是PPPover LAN(基于局域网的点对点协议)接入网环境下,网络本身已经提供了以太网链路层协议,为了对用户进行认证而在链路上再建立一层链路,显然是浪费资源、影响效率。
WEB认证方式为用户无条件的得到IP地址,完成预连接过程;然后用户可以进行WEB认证,以便进行Internet(互联网)访问。WEB认证方式不能对地址进行有效的保护,用户只要开机就能够获得地址,这样就造成大量的IP地址被白白的占用,又不能对用户进行收费,因此不利于提高运营商的运营收益;而且这种方式下地址池容易受到攻击。
在业务控制方面,认证、计费、授权(AAA:Authentication、Authorization、Accounting)的实现主要是通过标准的RADIUS协议来完成。RADIUS是一个典型的客户机/服务器模式的协议。接入设备一般实现RADIUS客户端,计费服务器实现RADIUS服务器端,且通过RADIUS报文实现信息交互。通过扩展的RADIUS协议实现的各种认证方法,中间的接入设备必须对用户对认证信息进行分析并把用户信息按照协议分别封装,无法很好地保证用户信息的安全。而对于EAP认证,中间的接入设备不需要对用户对认证报文进行分析,对用户来说更加安全。因此,随着宽带网络技术的快速发展,基于EAP(扩展认证协议)的认证方法逐渐被各运营商所接受,但是网上运营的很多RADIUS服务器不支持对EAP报文的识别。因此无法在实现基于IEEE802.1x协议的认证。
发明内容
本发明的目的是提供一种基于远程认证的网络中实现EAP认证的方法,从而使网络上运营的RADIUS服务器可以在不识别EAP报文的情况下,支持用户的EAP认证过程,促进了EAP认证方式的推广应用。
一种基于远程认证的网络中实现EAP认证的方法,包括:
网络接入控制设备解析EAP报文,提取用户认证信息,转换成标准的远程认证报文,并终结EAP报文;
网络接入控制设备将所述的远程认证报文传送至远程认证服务器进行认证。
上述方法具体包括如下步骤:
a、请求认证的用户发送开始EAP(扩展认证协议)认证报文;
b、网络接入控制设备收到开始EAP认证报文后,向用户发送EAP用户名请求报文;用户将用户名通过EAP身份响应报文返回给网络接入服务器;网络接入服务器根据用户名产生该用户的挑战字challenge,并将其通过密码请求报文发送给用户;用户将根据challenge生成的密码发送给网络接入服务器;网络接入控制设备将用户认证信息封装于远程认证报文中,并发送给远程认证服务器;
c、远程认证服务器将认证结果返回网络接入控制设备,并由网络接入控制设备将认证结果通过EAP报文发送给用户。
所述的远程认证服务器为RADIUS(远程拨号用户认证服务)服务器。
步骤b所述的用户认证信息包括:请求认证的用户的用户名、密码、challenge(挑战字)及chapID(报文序列号)信息。
所述的步骤a还包括用户与接入点设备间连接的建立过程,该过程为:用户向接入点设备发送连接请求报文,并接收接入点设备对该请求的响应报文,从而建立连接。
所述的步骤b中是将challenge通过MD5加密算法对其进行加密处理后得到密码。
所述的基于远程认证的网络中实现EAP认证的方法,还包括:用户通过EAP认证后的DHCP(动态主机协议)地址分配过程和计费过程。
由上述的技术方案可以看出,本发明在基于RADIUS协议的网络中实现了EAP认证方法,方便了用户对认证方式的选择应用。本发明的实现既有利于EAP认证方式的推广和使用,又在一定程度上降低了运营商在现有的远程认证网络中提供EAP认证的运营成本。本发明还可以实现对地址池的保护,减少了运营商的运营风险,提高了网络的安全性。
附图说明
图1为本发明的具体实施方式流程图。
具体实施方式
本发明的具体实施方式结合图1叙述如下:
本发明是为解决现在商用的RADIUS服务器无法支持EAP报文的问题,以满足各个运营商对EAP认证方式的需求。主要的思路是通过在NAS(网络接入服务器)内部把EAP报文进行终结,并转换成标准的RADIUS报文传送至远端的RADIUS服务器进行认证,以更好的承载运营商的业务。
图1中的用户(即认证客户端)为商用的802.1x客户端,即需要进行EAP认证,并接入网络。
步骤1:用户开机后,向AP(业务接入点)发送建立连接请求报文;
步骤2:用户收到连接请求响应报文后,确定用户与AP建立连接;
步骤3:用户打开拨号器输入用户名和密码,发送EAPOL-Start(EAP认证开始)组播报文以寻找NAS,开始802.1x认证过程;
步骤4:NAS收到用户的EAPOL-Start报文后,就根据该用户的接入端口类型进行协商,向用户发送EAP-Request/Identity(EAP认证身份请求)报文;
步骤5:用户收到该报文后向NAS发送EAP-Response/Identity(EAP认证身份请求响应)报文,报文中携带着用户身份信息,即用户名,NAS收到EAP-Response/Identity后,把报文中的用户名解析出来并存在为用户分配的表项中;
步骤6:NAS根据该用户身份信息为其生成一个128bit的challenge(挑战字),并向用户发送EAP-Request/MD5-challenge(EAP认证对挑战字加密请求)报文,该报文中携带由NAS产生的challenge;
步骤7:用户收到该报文后就通过提取报文中的challenge通过MD5算法加密,并把加过密的密码封装在EAP-Response/MD5-challenge(EAP认证对挑战字加密请求响应)报文中发送给NAS;
步骤8:NAS收到用户的该报文后,就把用户通过MD5加密的密码解析出来;然后把用户名和密码以及challenge封装在标准的RADIUS报文中,打包发送给RADIUS服务器,即通过Access-Request(接入请求)报文发送给RADIUS服务器,进行集中认证;
步骤9:如果验证通过,则RADIUS服务器通过标准的RADIUS协议通知NAS认证成功,即向NAS发送Access-Accept(接入成功)报文,然后NAS向用户发送认证成功报文;如果验证失败,RADIUS服务器返回给NAS验证失败的结果,即向NAS发送Access-Reject(接入失败)报文,同时NAS向用户发送认证失败报文,用户不能进行Internet(互联网)浏览;
步骤10:用户收到认证成功报文后,进行DHCP(动态主机配置协议)地址分配过程,获得进行网络访问应用的IP地址;
步骤11、12:如果DHCP地址分配过程成功完成,则NAS打开用户的Internet访问权限,并对用户进行计费,计费过程首先由NAS向RADIUS服务器发送Accounting-Request/Start(计费开始请求)报文,然后,当NAS接收到RADIUS服务器返回的Accounting-Response/Start(计费开始请求响应)报文时,计费过程开始,用户开始访问网络;如果DHCP地址分配过程失败,则结束用户该次上线过程。
在用户上网过程中,为了保护用户计费信息,每隔一段时间NAS就向RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息,并由RADIUS服务器回应实时计费确认报文。当NAS收到下线请求时,向RADIUS服务器发送计费过程结束报文,RADIUS服务器向NAS返回计费过程结束确认报文;至此,计费过程结束。
Claims (12)
1、一种基于远程认证的网络中实现EAP认证的方法,其特征在于:
网络接入控制设备解析EAP报文,提取用户认证信息,转换成标准的远程认证报文,并终结EAP报文;
网络接入控制设备将所述标准的远程认证报文传送至远程认证服务器进行认证。
2、根据权利要求1所述基于远程认证的网络中实现EAP认证的方法,其特征在于包括如下步骤:
a、请求认证的用户发送开始扩展认证协议EAP认证报文;
b、网络接入控制设备收到开始EAP认证报文后,向用户发送EAP用户名请求报文;用户将用户名通过EAP身份响应报文返回给网络接入控制设备;网络接入控制设备根据用户名产生该用户的挑战字challenge,并将其通过密码请求报文发送给用户;用户将根据challenge生成的密码发送给网络接入控制设备;网络接入控制设备将用户认证信息封装于远程认证报文中,并发送给远程认证服务器;
c、远程认证服务器将认证结果返回网络接入控制设备,并由网络接入控制设备将认证结果通过EAP报文发送给用户。
3、根据权利要求2所述的基于远程认证的网络中实现EAP认证的方法,其特征在于所述的远程认证服务器为远程拨号用户认证服务RADIUS服务器。
4、根据权利要求3所述的基于远程认证的网络中实现EAP认证的方法,其特征在于步骤b所述的用户认证信息包括:请求认证的用户的用户名、密码、挑战字challenge及报文序列号chapID信息。
5、根据权利要求2所述的基于远程认证的网络中实现EAP认证的方法,其特征在于所述的步骤a还包括用户与接入点设备间连接的建立过程,该过程为:用户向接入点设备发送连接请求报文,并接收接入点设备对该请求的响应报文,从而建立连接。
6、根据权利要求4所述的基于远程认证的网络中实现EAP认证的方法,其特征在于网络接入控制设备为网络接入服务器NAS。
7、根据权利要求2所述的基于远程认证的网络中实现EAP认证的方法,其特征在于:所述的步骤b中是将challenge通过MD5加密算法对其进行加密处理后得到密码。
8、根据权利要求2所述的基于远程认证的网络中实现EAP认证的方法,其特征在于还包括:用户通过EAP认证后的动态主机协议DHCP地址分配过程和计费过程。
9、根据权利要求6所述的基于远程认证的网络中实现EAP认证的方法,其特征在于,所述步骤a为:
用户输入用户名和密码,发送EAP认证开始EAPOL-Start组播报文以寻找网络接入服务器NAS,开始802.1x认证过程;
所述步骤b为:
NAS收到用户的EAPOL-Start报文后,就根据该用户的接入端口类型进行协商,向用户发送EAP认证身份请求EAP-Request/Identity报文;
用户收到该报文后向NAS发送EAP认证身份请求响应EAP-Response/Identity报文,报文中携带着用户身份信息,即用户名,NAS收到EAP-Response/Identity后,把报文中的用户名解析出来并存在为用户分配的表项中;
NAS根据该用户身份信息为其生成一个128bit的挑战字challenge,并向用户发送EAP认证对挑战字加密请求EAP-Request/MD5-challenge报文,该报文中携带由NAS产生的challenge;
用户收到该报文后就通过提取报文中的challenge通过MD5算法加密,并把加过密的密码封装在EAP认证对挑战字加密请求响应EAP-Response/MD5-challenge报文中发送给NAS;
NAS收到用户的该报文后,就把用户通过MD5加密的密码解析出来;然后把用户名和密码以及challenge封装在标准的RADIUS报文中,打包发送给RADIUS服务器,即通过接入请求Access-Request报文发送给RADIUS服务器,进行集中认证;
所述步骤c为:
如果验证通过,则RADIUS服务器通过标准的RADIUS协议通知NAS认证成功,即向NAS发送接入成功Access-Accept报文,然后NAS向用户发送认证成功报文;如果验证失败,RADIUS服务器返回给NAS验证失败的结果,即向NAS发送接入失败Access-Reject报文,同时NAS向用户发送认证失败报文,用户不能进行互联网Internet浏览。
10、根据权利要求9所述的网络中实现EAP认证的方法,其特征在于,在所述步骤a之前,包括如下步骤:
用户向业务接入点发送建立连接请求报文;
用户收到连接请求响应报文后,确定用户与业务接入点建立连接。
11、根据权利要求10所述的网络中实现EAP认证的方法,其特征在于,在所述步骤c之后,包括如下步骤:
用户收到认证成功报文后,进行动态主机配置协议DHCP地址分配过程,获得进行网络访问应用的IP地址;
NAS向RADIUS服务器发送计费开始请求Accounting-Request/Start报文;
NAS接收到RADIUS服务器返回的计费开始请求响应Accounting-Response/Start报文时,开始计费,用户开始访问网络。
12、根据权利要求11所述的网络中实现EAP认证的方法,其特征在于:
在用户上网过程中,每隔一段时间NAS就向RADIUS用户认证服务器报一个实时计费信息,所述实时计费信息包括:当前用户上网总时长或用户总流量信息;
RADIUS服务器对所述实时计费信息回应实时计费确认报文;
当NAS收到下线请求时,NAS向RADIUS服务器发送计费过程结束报文,RADIUS服务器向NAS返回计费过程结束确认报文,至此,计费过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02131771.2A CN1243434C (zh) | 2002-09-23 | 2002-09-23 | 基于远程认证的网络中实现eap认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02131771.2A CN1243434C (zh) | 2002-09-23 | 2002-09-23 | 基于远程认证的网络中实现eap认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1486029A CN1486029A (zh) | 2004-03-31 |
| CN1243434C true CN1243434C (zh) | 2006-02-22 |
Family
ID=34145023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN02131771.2A Expired - Lifetime CN1243434C (zh) | 2002-09-23 | 2002-09-23 | 基于远程认证的网络中实现eap认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1243434C (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549494A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现用户认证的方法 |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| CN100461098C (zh) * | 2006-05-11 | 2009-02-11 | 中兴通讯股份有限公司 | 一种认证软件自动升级方法 |
| CN101075869B (zh) * | 2006-05-18 | 2012-01-11 | 中兴通讯股份有限公司 | 网络认证的实现方法 |
| EP1868126B1 (en) * | 2006-06-16 | 2011-08-10 | Thomson Licensing | Device and method for discovering emulated clients |
| CN101110673B (zh) * | 2006-07-17 | 2011-02-02 | 华为技术有限公司 | 利用一次eap过程执行多次认证的方法和装置 |
| US8539559B2 (en) | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| US8099597B2 (en) | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
| US8285990B2 (en) * | 2007-05-14 | 2012-10-09 | Future Wei Technologies, Inc. | Method and system for authentication confirmation using extensible authentication protocol |
| CN101056178B (zh) * | 2007-05-28 | 2010-07-07 | 中兴通讯股份有限公司 | 一种控制用户网络访问权限的方法和系统 |
| CN101414998B (zh) * | 2007-10-15 | 2012-08-08 | 华为技术有限公司 | 一种基于认证机制转换的通信方法、系统及设备 |
| CN101471773B (zh) * | 2007-12-27 | 2011-01-19 | 华为技术有限公司 | 一种网络服务的协商方法和系统 |
| CN101483521B (zh) * | 2008-01-08 | 2012-05-23 | 华为技术有限公司 | WiMAX网络的多主机接入认证方法及系统 |
| CN101594231B (zh) * | 2008-05-27 | 2011-07-20 | 北京飞天诚信科技有限公司 | 一种基于eap认证的方法和系统 |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
| CN102625310B (zh) * | 2012-03-13 | 2016-06-15 | 中国联合网络通信集团有限公司 | 无线网络接入方法、认证方法和装置 |
| CN103338440B (zh) * | 2013-07-09 | 2016-03-02 | 杭州华三通信技术有限公司 | 认证系统中的认证方法及设备端 |
-
2002
- 2002-09-23 CN CN02131771.2A patent/CN1243434C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1486029A (zh) | 2004-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1243434C (zh) | 基于远程认证的网络中实现eap认证的方法 | |
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| US7142851B2 (en) | Technique for secure wireless LAN access | |
| CN101163000B (zh) | 一种二次认证方法及系统 | |
| US20060070116A1 (en) | Apparatus and method for authenticating user for network access in communication system | |
| CN1152333C (zh) | 基于认证、计费、授权协议的门户认证实现方法 | |
| US20050198501A1 (en) | System and method of providing credentials in a network | |
| CN109104475B (zh) | 连接恢复方法、装置及系统 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN101212297A (zh) | 基于web的wlan接入认证方法及系统 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN1523811A (zh) | 用户连接因特网时认证网络访问的用户的方法和系统 | |
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| CN110891065A (zh) | 一种基于Token的用户身份辅助加密的方法 | |
| CN101047502B (zh) | 一种网络认证方法 | |
| CN100583759C (zh) | 实现不同认证控制设备间同步认证的方法 | |
| CN102238159A (zh) | 基于点到点协议的接入控制方法、设备和系统 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| CN101018232A (zh) | 一种基于ppp协议的认证方法、系统及其装置 | |
| CN1889465A (zh) | 接入控制设备、接入控制系统和接入控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060222 |
|
| CX01 | Expiry of patent term |