CN1340940A - 用于处理分组业务的接入-请求消息的方法 - Google Patents
用于处理分组业务的接入-请求消息的方法 Download PDFInfo
- Publication number
- CN1340940A CN1340940A CN01130962A CN01130962A CN1340940A CN 1340940 A CN1340940 A CN 1340940A CN 01130962 A CN01130962 A CN 01130962A CN 01130962 A CN01130962 A CN 01130962A CN 1340940 A CN1340940 A CN 1340940A
- Authority
- CN
- China
- Prior art keywords
- access
- request message
- message
- code value
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000013475 authorization Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000008267 milk Substances 0.000 description 1
- 210000004080 milk Anatomy 0.000 description 1
- 235000013336 milk Nutrition 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于在IMT-2000系统中处理接入-请求消息的方法。由一个临时验证码值加密一个用户密码,生成一个能够检验一个接入-请求消息自身的验证码值。这样当AAA服务器接收到接入-请求消息时,它可以直接检验接入-请求消息而不必分析所接收的接入-请求消息。因此,即使一个恶意黑客向AAA服务器发送大量虚假的接入-请求消息,也能够减少系统资源的使用和消息处理时间,这样使系统免于崩溃。
Description
发明领域
本发明涉及一种通信系统,具体涉及一种用于在IMT-2000系统中处理分组业务的接入-请求消息以验证一个用户的方法。
背景技术
在IMT-2000系统中,通过执行验证、授权接入和计费来提供分组业务。因此保持分组业务的安全。
在IMT-2000系统中,一个验证、授权和记帐(AAA)服务器为某个帐户执行验证、接入授权和计费。一个外部代理(Foreign Agent)(FA)向AAA服务器请求服务,并为由AAA服务器验证的用户提供分组业务。AAA服务器和FA之间的发送和接收通常通过应用远端验证拨号接入用户业务(RADIUS)协议来执行。
RADIUS协议是一种客户/服务器协议,通过此协议,AAA服务器验证通过拨号接入调制解调器请求连接的用户并同一个中央服务器通信以授权用户接入一个请求的系统或服务。RADIUS协议将用户信息保持在一个中央数据库中,使得每个远端区域服务器可以共同保持数据库中的信息。
图1是表示在现有技术的IMT-2000系统中在FA和AAA服务器之间一个RADIUS协议消息的发送和接收的流程图。如图1所示,RADIUS协议有一个验证消息、一个授权消息和一个帐户消息。
验证消息被用于在当用户登录到通常要求密码的单个网络或包括因特网的公共网络时验证用户身份。
授权消息被用于确定谁被授权接入一个多用户计算机系统中的对应系统。它还表示使用授权,比如一个文件的访问范围、允许的接入时间、或分配的存储空间。
验证消息和授权消息包括用于请求接入一个终端所在网络的接入-请求消息(access-request message)、用于接受接入该终端所在网络的接入-接受消息(access-accept message)、用于拒绝接入该终端所在网络的接入-拒绝消息(access-reject message)、和用于请求询问该终端的接入-询问消息(access-challenge message)。
帐户消息被用于表示分组业务的初始化、待提供的分组业务的时间和数量、或者分组业务的终止。帐户消息包括用于请求计费信息的生成的帐户-请求消息和用于接受计费信息的生成的帐户-应答消息。
图2表示RADIUS消息的格式。如图2所示,该消息包含代码字段、标识符字段、长度字段、验证字段和属性字段。代码表示消息类型,大小为1字节。标识符按照会话标识消息,大小为1字节。长度表示消息的整个长度,包括代码、标识符、和长度字段的长度。验证码(authenticator)是一个用于验证的值,大小为16字节。属性表示主要数据的属性。
RADIUS协议消息有一个验证码字段,用于验证验证码的值是一个由FA任意产生的值。该值不能重复;先前曾被用过的值不应被再用。验证码被设为任意值的原因是为了防止黑客出于恶意目的窃取消息。如果验证码根据消息而被固定,即使黑客不知道共享密钥的值,也可以利用在公共持有的密钥的基础上产生的消息的验证码从AAA服务器得到正常的接入-接受消息。因此,验证码的值需要在每次产生消息时改变,从而防止黑客入侵。
下面将描述在IMT-2000系统中处理AAA以提供分组业务的现有技术方法。
如图1所示,当FA1发送用于请求接入AAA服务器2的接入-请求消息时(S1),AAA服务器2分析该接入-请求消息以执行用户验证。如果用户被成功验证,AAA服务器2向FA1发送接入-接受消息(S2)。当发送了接入-接受消息时,建立了一个连接。当分组数据被发送和接收时,FA1向AAA服务器2发送用于计费的帐户计费请求消息(S3)。AAA服务器2接着校验接收的帐户计费请求消息。如果帐户计费请求被检验成功,AAA服务器2向FA1发送帐户计费接受消息(S4)。
图3是表示在IMT-2000系统的FA中用于生成接入-请求消息的现有技术方法的流程图。如图3所示,FA1生成一个任意的16字节值以被用做验证码(S11)。FA1接着利用生成的验证码、用户密码和其本身同AAA服务器2共有的密钥来加密一个用户密码(S12)。接着它把加密的用户密码写入属性字段以生成接入-请求消息(S13),并向AAA服务器2发送接入-请求消息(S14)。
图4是表示用于处理从分组系统的AAA服务器接收的接入-请求消息的现有技术方法的流程图。如图所示,AAA服务器2译解所接收的接入-请求消息(S21)。为了把加密的用户密码解密,AAA服务器2把译解的接入-请求消息中包含的验证码值、FA1和AAA服务器2共有的密钥、和加密的用户密码输入到MD5(消息提要(MessageDigest):加密/解密算法),并执行MD5算法,从而解密用户密码(S22)。
AAA服务器2接着比较解密的用户密码和存储在数据库中的对应用户的用户密码(S23)并执行用户验证。经比较,如果两个用户密码完全相同,确定已经成功地执行了用户验证。但是如果两个用户密码不完全相同,确定用户验证已经失败(S24)。
如果成功地执行了用户验证,AAA服务器2生成接入-接受消息并将其发送到FA1。如果用户验证已失败,AAA服务器2生成接入-拒绝消息并将其发送到FA1。
现在将介绍用于生成接入-接受消息的方法。AAA服务器2将一个表示接入-接受消息的值放到代码字段中,将一个包含在所接收的接入-请求消息中的ID值放到ID字段中。接入-接受消息的整个长度值被放到长度字段中,接入-请求消息的验证码字段的值被放到验证码字段中。AAA服务器2还将属性值,即要从接入-接受消息接收的信息,放到属性字段中,从而生成接入-接受消息。
AAA服务器2将接入-接受消息以及FA1与其自身之间已知的共享密钥输入到MD5算法中并执行MD5算法,随着MD5算法的执行,产生了一个16字节的消息提要。消息提要被放到接入-接受消息的验证码字段中以最终生成一个接入-接受消息。AAA服务器2接着向FA1发送最终生成的接入-接受消息。
接入-接受消息一经接收,FA1确定接入-接受消息的ID值,并搜索与接入-接受消息相匹配的接入-请求消息的信息。然后,FA1搜索接入-请求消息的验证码值。
FA1将接入-接受消息的验证码值存储到一个临时存储区域,并将接入-请求消息的验证码值写入接入-接受消息的验证码字段。然后,FA1利用新近被填充了验证码字段的接入-接受消息以及FA1和AAA服务器之间已知的共享密钥来执行MD5算法。
其后,FA1将16字节的消息提要值,即,通过执行MD5算法获得的值,与临时存储的验证码值进行比较,以检验接收的接入-接受消息。如果消息提要值和临时存储的验证码值完全相同,FA1确定所接收的接入-接受消息是检验成功的。但是如果两个值不完全相同,FA1确定所接收的接入-接受消息未检验成功,舍弃此消息,把接入-接受消息发送回AAA服务器2。
现有技术IMT-2000系统有许多问题。例如,在利用验证码值加密用户密码之后,FA1生成一个最终的接入-请求消息。因此,当AAA服务器2接收到接入-请求消息时,它译解接入-请求消息并检验接入-请求消息的属性字段的值,即,加密的用户密码。因此,当接收到接入-请求消息时,必须分析接入-请求消息以验证用户。另外,验证只是针对用户进行,不可能验证接入-请求消息本身。
因此,如果一个恶意黑客向AAA服务器2发送大量虚假的接入-请求消息,AAA服务器2必须逐一分析虚假的接入-请求消息,并利用属性字段的值执行验证。在这种情况下,由于AAA服务器2执行许多过程以试图验证,比如访问数据库和其他资源分配,因此,系统变得超载,引发系统崩溃。
上述参考内容被适当地结合于此,用于对其它或备择细节,特征和/或技术背景进行适当的说明。
发明内容
本发明的一个目的是解决至少上述问题和/或缺点,并提供至少下文中描述的优点。
本发明的另一个目的是提供一种在IMT-2000系统中处理接入-请求消息的方法,其能够在不进行译解的情况下直接检验接入-请求消息。
本发明的另一个目的是提供一种在IMT-2000系统中处理接入-请求消息的方法,其能够提高消息处理速度。
本发明的另一个目的是提供一种在IMT-2000系统中处理接入-请求消息的方法,其能够减少用于消息处理的资源使用。
本发明的另一个目的是提供一种在IMT-2000系统中处理接入-请求消息的方法,其能够改进系统性能。
本发明的另一个目的是提供一种处理分组业务的接入-请求消息的方法,其包括:将一个临时随机生成的验证码值写入接入-请求消息的属性字段;利用临时验证码值加密用户密码;利用具有临时验证码值和加密的用户密码的接入-请求消息执行加密算法,其中接入-请求消息具有一个填入了规定值以生成消息提要的验证码字段;通过用消息提要代替验证码字段的值生成最终的接入-请求消息;向验证、授权和记帐(AAA)服务器发送最终的接入-请求消息;和由AAA服务器检验接入-请求消息。
本发明的另一个目的是提供一种在通信系统中处理分组业务的接入-请求消息的方法,其包括:将用于验证接入-请求消息的验证码值写入接入-请求消息的验证码字段并发送一个接入-请求消息;当接收到接入-请求消息时通过利用接入-请求消息的验证码值检验接入-请求消息;如果接入-请求消息被成功地检验则译解接入-请求消息;以及通过利用译解的接入-请求消息的临时验证码值和为每个消息发射机和消息接收机已知的共享密钥对译解的接入-请求消息的加密用户密码进行解密来执行用户验证。
为至少全部或部分实现上述目的,提供了一种在IMT-2000系统中处理接入-请求消息的方法,其包括:利用临时验证码值加密用户密码(每次产生一个消息时产生不同的临时验证码值);通过利用临时验证码值以及FA和AAA服务器之间预定的共享密钥产生用于验证接入-请求消息的验证码值;将验证码值写入验证码字段并生成接入-请求消息;当AAA服务器接收到接入-请求消息时,它通过利用接入-请求消息的验证码值检验接入-请求消息;如果接入-请求消息被检验成功便分析接入-请求消息;以及通过利用分析的接入-请求消息的临时验证码值以及FA和AAA服务器之间已知的共享密钥对接入-请求消息的加密用户密码进行解密来执行用户验证。
为至少全部或部分实现上述目的,进一步提供了一种在IMT-2000系统中处理接入-请求消息的方法,其包括:将一个临时验证码值写入接入-请求消息的属性字段,其中每次生成一个消息时产生不同的临时验证码值,接入-请求消息具有验证码字段和属性字段;加密具有临时验证码值的用户密码;利用接入-请求消息执行加密算法,接入-请求消息具有临时验证码值和加密的用户密码,其验证码字段填充有预设的特定值;把消息提要,即执行加密算法所产生的值,作为验证码值;将验证码值填入验证码字段;生成一个最终的接入-请求消息并把最终的接入-请求消息发送到AAA(验证、授权和记帐)服务器;和由AAA服务器检验接入-请求消息。
为至少全部或部分实现上述目的,进一步提供了一种在IMT-2000系统中处理接入-请求消息的方法,其包括:将用于验证接入-请求消息的验证码值写入验证码字段并发送一个接入-请求消息;如果接收到接入-请求消息便通过利用接入-请求消息的验证码值检验接入-请求消息;如果检验成功了接入-请求消息便译解接入-请求消息;并通过利用译解的接入-请求消息的临时验证码值以及FA与AAA服务器之间已知的共享密钥对译解的接入-请求消息的加密用户密码进行解密;和执行用户验证。
为至少全部或部分实现上述目的,进一步提供了一种处理接入-请求消息的方法,其包括:接收接入-请求消息,该消息具有一个代码字段、一个标识符字段、一个长度字段、和验证码值、以及至少一个属性字段,验证码值是通过加密一个临时接入-请求消息产生的消息提要,至少一个属性字段包括一个加密用户密码;处理验证码值以确定接入-请求消息是一个有效的接入-请求消息还是一个异常的接入-请求消息;如果确定接入-请求消息有效则执行用户验证,如果确定接入-请求消息异常则舍弃接入-请求消息。
为至少全部或部分实现上述目的,进一步提供了一种接入-请求消息,其包含:一个代码字段,用于表示该消息是接入-请求消息;一个标识符字段,用于标识对应于接入-请求消息的接入-接受消息;一个长度字段,用于标识接入-请求消息的长度;一个验证码值,其包括用户验证信息和消息验证信息;一个临时验证码字段;和一个加密的用户密码。其中验证码值包含一个16字节的消息提要,其通过利用包含临时验证码和在消息源点和消息终点之间预先定义的已知验证码值的临时接入-请求消息执行规定的加密算法而产生。
本发明的其他优点、目的和特征将部分地在以下说明中提出,部分地可以由本领域技术人员在审看了以下说明后理解或者可以通过本发明的实践获得。本发明的目的和优点可以通过所附权利要求中特别指出的方式实现和获得。
附图说明
下面将参考附图对本发明进行详细说明,在附图中相同标号表示相同单元,其中:
图1表示在IMT-2000系统中的FA和AAA服务器之间进行RADIUS协议消息的发送和接收的现有技术方法;
图2表示一个显示RADIUS消息的格式的结构;
图3是表示由IMT-2000系统中的FA生成一个接入-请求消息的现有技术方法的流程图;
图4是表示用于处理由IMT-2000系统的AAA服务器所接收的接入-请求消息的现有技术方法的流程图;
图5是表示根据本发明优选实施例用于在IMT-2000系统中生成一个接入-请求消息的方法的流程图;
图6表示一个显示根据本发明优选实施例的接入-请求消息格式的结构;以及
图7是表示根据本发明优选实施例用于在IMT-2000系统中处理接入-请求消息的方法的流程图。
优选实施例的详细说明
图5是表示根据本发明优选实施例用于在IMT-2000系统中生成一个接入-请求消息的方法的流程图。如图所示,FA1生成一个任意16字节的值并将其作为临时验证码值(S101)。FA1将在FA1和AAA服务器2之间已知的共享密钥输入到MD5算法,并执行MD5算法以对用户密码解密(S102)。
其后,FA1通过利用临时验证码值和加密的用户密码生成第一接入-请求消息(S103)。
如图6所示,此处被详细说明。FA1于是把表示接入-请求消息的值放到代码字段中;把标识接入-请求消息的一个任意值,即,应答消息,放到ID字段中;并把接入-请求消息的整个长度值放到长度字段中。FA1把FA1和AAA服务器2之间预先定义的特定值(例如,值‘0’)放到验证码字段‘A’的全部16个字节中;把临时验证码值放到属性字段‘B’中;把加密的用户密码放到一个不同的属性字段中,和把其他信息放到一个不同的属性字段中,从而生成第一接入-请求消息(S103)。
然后,FA1利用第一接入-请求消息以及FA1和AAA服务器2之间已知的共享密钥执行MD5算法。从这里,它把16字节的消息提要,即执行MD5算法产生的值,作为验证码值(S104)。
FA1把生成的验证码值写入第一接入-接受消息的验证码字段‘C’,并最终生成一个第二接入-请求消息(S105)。
图7表示根据本发明优选实施例用于在IMT-2000系统中处理接入-请求消息的方法。如图所示,AAA服务器2将写入所接收的接入-请求消息的验证码字段中的值存储在一个临时存储区域中,并把FA1和AAA服务器2之间预先定义的特定值(例如,‘0’)放入验证码字段(S111)。
AAA服务器2把验证码字段被填充为‘0’的接入-请求消息和FA1与AAA服务器2之间已知的共享密钥输入给MD5算法并执行MD5算法以生成一个16字节的消息提要(S112)。然后,AAA服务器2将16字节的消息提要与临时存储的验证码值进行比较以检验所接收的接入-请求消息(S113)。
经比较,如果消息提要和临时存储的验证码值不完全相同,AAA服务器2确定所接收的接入-请求消息异常并舍弃该接入-请求消息。但是如果消息提要和临时存储的验证码值完全相同,AAA服务器2确定所接收的接入-请求消息已检验成功,并执行用户验证(S114)。即,AAA服务器2把所接收的接入-请求消息的加密用户密码、临时验证码值以及FA 1与AAA服务器2之间已知的共享密钥输入给MD5算法,并执行MD5算法。
根据MD5算法的执行,AAA服务器2获得解密的16字节用户密码。AAA服务器2将解密的用户密码和存储在数据库中的对应用户的密码进行比较。经比较,如果两个密码完全相同,AAA服务器2确定用户验证已被成功地执行。反之如果两个密码不完全相同,AAA服务器2确定用户验证失败。
如果成功地执行了用户验证,AAA服务器2生成一个接入-接受消息,并将其发送给FA1。同时,如果用户验证已经失败,AAA服务器2生成一个接入-拒绝消息并将其发送给FA1(S115)。
一种用于生成接入-接受消息的方法和一种用于生成接入-拒绝消息的方法以与现有技术中相同的方式执行。因而省略这些过程的描述。
如上所述,在根据本优选实施例的分组业务中处理一个接入-请求消息的方法中,利用任意值对用户密码加密,其中在每次生成一个消息时产生不同的任意值。利用代码、ID、长度、填充了在FA和AAA服务器之间预先定义的特定值的临时验证码、任意值和加密的用户密码生成验证码,从而生成一个接入-请求消息。以此方式,AAA服务器2在接收到接入-请求消息时能够直接检验该消息自身而不必译解该接入-请求消息。
通常,支持分组数据业务的因特网协议(IP)网络采用一种简单IP和一种移动IP。遵从简单IP的IP网络的验证方法包括密码验证协议(Password Authentication Protocol)(PAP)方法和询问握手验证协议(Challenge Handshake Authentication Protocol)(CHAP)方法。
在PAP方法中,当一个用户向FA发送一个用户ID和一个用户密码时,FA对用户密码加密并把接入-请求消息发送给AAA服务器,请求用户验证。根据用户验证来建立或断开一次连接。本方法的特征是用户密码不经安全程序便发送给FA,并被加密以在FA和AAA服务器之间发送。
与PAP方法相比,CHAP方法旨在更稳定的系统连接。FA把一个任意值发送给用户,用户为此任意值生成一个单向散列函数值,并把此单向散列函数值发送给FA。FA把一个接入-请求消息发送给AAA服务器,该消息包括上述任意值和单向散列函数值。AAA服务器为发送的任意值生成一个单向散列函数值。AAA服务器将接收的散列值与自身计算的散列值进行比较以执行用户验证。如果成功地执行了验证,服务器继续执行下面的程序,但是如果验证失败,服务器终止连接。
遵从移动IP的IP网络中的验证方法以与CHAP相同的方式执行。
优选实施例既适用于简单IP又适用于移动IP。当应用简单IP方法的PAP方法时,准备一个新的属性字段用于写入一个临时验证码值。另选地,当使用CHAP方法时,一个临时验证码值被写入已经准备好的CHAP CHALLENGE属性字段。
本发明及其优选实施例有许多优点。例如,用户密码由临时验证码值加密而且生成一个能够检验接入-请求消息自身的验证码值,使得当AAA服务器接收到接入-请求消息时,它能够直接检验该接入-请求消息而不必分析所接收的接入-请求消息。
因此,即使一个恶意黑客向AAA服务器发送了大量的虚假的接入-请求消息,系统资源的使用和消息处理时间被减少,从而使系统免于崩溃,系统性能因此改进。
上述实施例和优点仅是示例性的,并不应被认为是对本发明的限制。本发明的教导可以容易地应用于其他类型的装置。本发明的描述用于说明目的,不限制权利要求的范围。本领域技术人员可以进行很多替换、改进和变型。在权利要求中,装置加功能的语句意欲涵盖此处描述的执行所述功能的结构,不仅包括结构上的等同物,也包括等同物的结构。
Claims (12)
1.一种用于处理分组业务的接入-请求消息的方法,其包括:
把一个临时随机生成的验证码值写入一个接入-请求消息的属性字段;
利用临时验证码值对用户密码加密;
利用具有临时验证码值和加密的用户密码的接入-请求消息执行加密算法,以生成一个消息提要,该接入-请求消息具有被填充了规定值的验证码字段;
通过用消息提要代替验证码字段的值生成一个最终的接入-请求消息;
把最终的接入-请求消息发送给验证、授权和记帐(AAA)服务器;和
由AAA服务器检验接入-请求消息。
2.根据权利要求1的方法,其中规定值是在外部代理和AAA服务器之间预先定义的值。
3.根据权利要求1的方法,其中检验接入-请求消息包括:
临时存储接入-请求消息的验证码字段的内容;
用规定值填充验证码字段;
执行加密算法以获得一个消息提要;和
通过对临时存储的验证码值和消息提要进行比较来检验接入-请求消息。
4.根据权利要求3的方法,其中检验接入-请求消息进一步包括:
如果验证码值和消息提要完全相同,确定接入-请求消息为正常;和
如果验证码值和消息提要不完全相同,确定接入-请求消息为异常。
5.根据权利要求4的方法,进一步包括:
如果接入-请求消息为正常,则译解接入-请求消息;和
通过对写入译解的接入-请求消息的属性字段中的加密的用户密码进行解密来执行用户验证。
6.根据权利要求5的方法,其中执行用户验证包括:
利用接入-请求消息的临时验证码值对写入接入-请求消息的属性字段中的加密的用户密码进行解密;
对解密的用户密码和存储在数据库中的用户密码进行比较;
如果解密的用户密码和存储的用户密码完全相同,确定用户验证成功;和
如果解密的用户密码和存储的用户密码不完全相同,确定用户验证失败。
7.一种用于在通信系统中处理分组业务的接入-请求消息的方法,其包括:
把用于验证一个接入-请求消息的验证码值写入接入-请求消息的验证码字段并发送接入-请求消息;
当收到接入-请求消息时,利用接入-请求消息的验证码值检验接入-请求消息;
如果接入-请求消息被成功地检验,则译解接入-请求消息;和
通过利用译解的接入-请求消息的临时验证码值和为每个消息发射机和消息接收机所知的共享密钥对译解的接入-请求消息的加密用户密码进行解密来执行用户验证。
8.根据权利要求7的方法,其中检验接入-请求消息包括:
临时存储被写入所接收的接入-请求消息的验证码字段中的验证码值;
用验证码字段中的规定值代替验证码值以形成一个检验接入-请求消息,该规定值由消息发射机和消息接收机之间预先定义;
利用检验接入-请求消息和共享密钥执行加密算法以形成一个消息提要;和
对消息提要和临时存储的验证码值进行比较,其中如果消息提要和验证码值完全相同则接入-请求消息是检验成功的,如果消息提要和验证码值不完全相同则接入-请求消息是异常的。
9.根据权利要求7的方法,其中执行用户验证包括:
利用译解的接入-请求消息的临时验证码值对写入译解的接入-请求消息的属性字段中的加密用户密码进行解密;
对解密的用户密码和存储在数据库中的用户密码进行比较;
如果解密的用户密码和存储的用户密码完全相同则确定用户验证为成功;和
如果解密的用户密码和存储的用户密码不完全相同则确定用户验证失败。
10.根据权利要求7的方法,其中发送接入-请求消息包括:
利用临时验证码值对用户密码加密;
利用临时验证码值以及消息发射机和消息接收机之间预先定义的规定值产生用于接入-请求消息验证的验证码值;和
把验证码值写入验证码字段并生成接入-请求消息。
11.根据权利要求10的方法,其中对用户密码加密包括:
生成一个任意值作为临时验证码值,该任意值在每次生成消息时被不同地产生;
把临时验证码值写入接入-请求消息的属性字段;和
利用临时验证码值和共享密钥对用户密码加密。
12.根据权利要求10的方法,其中生成验证码值包括:
通过用临时验证码值和加密的用户密码填充接入-请求消息的属性字段,并用规定值填充验证码字段来形成接入-请求消息;
利用生成的接入-请求消息和共享密钥执行加密算法以形成一个消息提要;和
把消息提要作为验证码值。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020000050068A KR100350316B1 (ko) | 2000-08-28 | 2000-08-28 | 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법 |
| KR50068/2000 | 2000-08-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1340940A true CN1340940A (zh) | 2002-03-20 |
| CN100512201C CN100512201C (zh) | 2009-07-08 |
Family
ID=19685568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011309628A Expired - Fee Related CN100512201C (zh) | 2000-08-28 | 2001-08-28 | 用于处理分组业务的接入-请求消息的方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7234057B2 (zh) |
| KR (1) | KR100350316B1 (zh) |
| CN (1) | CN100512201C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007137512A1 (fr) * | 2006-05-29 | 2007-12-06 | Huawei Technologies Co., Ltd. | Procédé et système de gestion d'un réseau d'accès multi-trafic |
| CN101820423A (zh) * | 2006-05-12 | 2010-09-01 | 国际商业机器公司 | 用于防御拒绝服务攻击的方法和系统 |
| CN1643879B (zh) * | 2002-03-27 | 2010-09-29 | 诺基亚西门子通信有限责任两合公司 | 用于在aaa服务器系统中更新信息的方法 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7411981B1 (en) | 2000-08-31 | 2008-08-12 | Cisco Technology, Inc. | Matching of radius request and response packets during high traffic volume |
| US6771665B1 (en) * | 2000-08-31 | 2004-08-03 | Cisco Technology, Inc. | Matching of RADIUS request and response packets during high traffic volume |
| US7237257B1 (en) * | 2001-04-11 | 2007-06-26 | Aol Llc | Leveraging a persistent connection to access a secured service |
| WO2003022647A1 (en) * | 2001-09-11 | 2003-03-20 | Kevin Orton | Aircraft flight security system and method |
| US7502929B1 (en) * | 2001-10-16 | 2009-03-10 | Cisco Technology, Inc. | Method and apparatus for assigning network addresses based on connection authentication |
| KR100429800B1 (ko) * | 2001-12-01 | 2004-05-03 | 삼성전자주식회사 | 데이타 인터페이싱 방법 및 장치 |
| US7469294B1 (en) * | 2002-01-15 | 2008-12-23 | Cisco Technology, Inc. | Method and system for providing authorization, authentication, and accounting for a virtual private network |
| KR100442610B1 (ko) * | 2002-04-22 | 2004-08-02 | 삼성전자주식회사 | 라디우스 프로토콜의 플로우 제어방법 |
| US7143435B1 (en) | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| US20040047308A1 (en) * | 2002-08-16 | 2004-03-11 | Alan Kavanagh | Secure signature in GPRS tunnelling protocol (GTP) |
| US7827409B2 (en) * | 2003-10-07 | 2010-11-02 | Koolspan, Inc. | Remote secure authorization |
| US7992193B2 (en) * | 2005-03-17 | 2011-08-02 | Cisco Technology, Inc. | Method and apparatus to secure AAA protocol messages |
| US20060259759A1 (en) * | 2005-05-16 | 2006-11-16 | Fabio Maino | Method and apparatus for securely extending a protected network through secure intermediation of AAA information |
| JP4436294B2 (ja) * | 2005-08-26 | 2010-03-24 | 株式会社トリニティーセキュリティーシステムズ | 認証処理方法、認証処理プログラム、記録媒体および認証処理装置 |
| CN1929482B (zh) * | 2006-09-20 | 2010-08-04 | 华为技术有限公司 | 一种网络业务认证方法及装置 |
| JP2011008701A (ja) * | 2009-06-29 | 2011-01-13 | Sony Corp | 情報処理サーバ、情報処理装置、および情報処理方法 |
| EP2617156B1 (en) * | 2010-09-13 | 2019-07-03 | CA, Inc. | Methods, apparatus and systems for securing user-associated passwords used for identity authentication |
| WO2014069783A1 (ko) * | 2012-10-31 | 2014-05-08 | 삼성에스디에스 주식회사 | 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치 |
| US9460302B2 (en) * | 2014-01-21 | 2016-10-04 | Cofactor Computing Llc | Method and system for shielding data in transit and data in memory |
| US9336363B2 (en) | 2014-01-21 | 2016-05-10 | Cofactor Computing Llc | Method and system for secure deployment of information technology (IT) solutions in untrusted environments |
| US9602493B2 (en) * | 2015-05-19 | 2017-03-21 | Cisco Technology, Inc. | Implicit challenge authentication process |
| US9935948B2 (en) * | 2015-09-18 | 2018-04-03 | Case Wallet, Inc. | Biometric data hashing, verification and security |
| US10467387B2 (en) * | 2016-06-23 | 2019-11-05 | Oath Inc. | Computerized system and method for modifying a media file by automatically applying security features to select portions of media file content |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6088799A (en) * | 1997-12-11 | 2000-07-11 | International Business Machines Corporation | Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same |
| US6081508A (en) * | 1998-02-25 | 2000-06-27 | Indus River Networks, Inc. | Remote computer communication |
| US6282193B1 (en) * | 1998-08-21 | 2001-08-28 | Sonus Networks | Apparatus and method for a remote access server |
-
2000
- 2000-08-28 KR KR1020000050068A patent/KR100350316B1/ko not_active IP Right Cessation
-
2001
- 2001-08-23 US US09/934,477 patent/US7234057B2/en not_active Expired - Fee Related
- 2001-08-28 CN CNB011309628A patent/CN100512201C/zh not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1643879B (zh) * | 2002-03-27 | 2010-09-29 | 诺基亚西门子通信有限责任两合公司 | 用于在aaa服务器系统中更新信息的方法 |
| CN101820423A (zh) * | 2006-05-12 | 2010-09-01 | 国际商业机器公司 | 用于防御拒绝服务攻击的方法和系统 |
| WO2007137512A1 (fr) * | 2006-05-29 | 2007-12-06 | Huawei Technologies Co., Ltd. | Procédé et système de gestion d'un réseau d'accès multi-trafic |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20020017014A (ko) | 2002-03-07 |
| US7234057B2 (en) | 2007-06-19 |
| CN100512201C (zh) | 2009-07-08 |
| KR100350316B1 (ko) | 2002-08-28 |
| US20020026573A1 (en) | 2002-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| US20190306157A1 (en) | Authenticating and authorizing users with jwt and tokenization | |
| EP1617588A1 (en) | Device authentication system | |
| CN1640092A (zh) | 用于提供带客户授权验证的密钥管理协议的系统和方法 | |
| CN1655506A (zh) | 用于验证家庭网络设备的装置和方法 | |
| CN1611031A (zh) | 从公共服务器请求内容时提供客户端保密性的方法和系统 | |
| CN1722658A (zh) | 计算机系统的有效的和安全的认证 | |
| CN102201915A (zh) | 一种基于单点登录的终端认证方法和装置 | |
| WO2005008950A1 (en) | Secure seed generation protocol | |
| US8566952B1 (en) | System and method for encrypting data and providing controlled access to encrypted data with limited additional access | |
| CN111884811B (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN111080299B (zh) | 一种交易信息的防抵赖方法及客户端、服务器 | |
| DK2414983T3 (en) | Secure computer system | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN1813455A (zh) | 用于分发密码的方法 | |
| CN115865520B (zh) | 移动云服务环境中具有隐私保护的认证和访问控制方法 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN116707983A (zh) | 授权认证方法及装置、接入认证方法及装置、设备、介质 | |
| CN111770081A (zh) | 基于角色认证的大数据机密文件访问方法 | |
| RU2698424C1 (ru) | Способ управления авторизацией |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: LG- NORTEL CO., LTD. Free format text: FORMER OWNER: LG ELECTRONIC CO., LTD. Effective date: 20061124 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20061124 Address after: Seoul, South Kerean Applicant after: LG Nortel Co., Ltd. Address before: Seoul, South Kerean Applicant before: LG Electronics Inc. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: LG-ERICSSON CO., LTD. Free format text: FORMER NAME: LG-NORTEL CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Seoul, South Kerean Patentee after: Novera Optics Korea Co., Ltd. Address before: Seoul, South Kerean Patentee before: LG Nortel Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090708 Termination date: 20150828 |
|
| EXPY | Termination of patent right or utility model |