CN1925401B - 互联网接入系统及接入方法 - Google Patents

Abstract

本发明提供了一种网络接入系统，包括：外接认证装置，存储有用户认证信息，用于提供给客户端；客户端，用于提供网络接入服务，并在接入网络或使用网络提供的业务时将外接认证装置提供的用户认证信息提供给网络。还提供了一种网络接入方法，外接认证装置中保存有用户认证信息，在通过客户端接入网络时，包括：客户端从外接认证装置中获得用户认证信息；客户端使用获得的用户认证信息去登陆网络，由网络确认用户认证信息合法后实现网络接入。使用本发明，可解决网络接入用户帐号盗用问题及帐号唯一性限制问题。

Description

互联网接入系统及接入方法

技术领域

本发明涉及通信技术领域，特别是指互联网接入系统及接入方法。

背景技术

随着互联网的发展，宽带接入和网上增值业务不断增加新内容，一个用户可能拥有多个宽带接入帐号和接入密码，还可能拥有多个增值业务帐号和对应的业务密码，不仅每次登陆都要手工输入，给用户带来不便，并且帐号和密码被遗忘、泄漏等问题时有发生。下面对ADSL接入帐号泄漏的几个原因进行描述：

1、弱口令导致帐号和密码被盗用：

一方面是指宽带接入的密码设置简单易于攻破。例如，ADSL宽带接入的初始密码仅由8位数字和字符组成，通过口令枚举的方式探测密码相对容易，可能导致密码被窃取，同样ADSL帐号查询系统里面设置的简单查询密码也可以通过这种方式被窃取。

另一方面是指用户接入宽带的客户端(如计算机)本身是弱口令易被攻破。弱口令的计算机很容易被黑客扫描侵入，配以读取密码的专用工具，盗取用户的接入账户和密码。例如：用户使用EnterNet 500拨号工具时，宽带接入帐号和密码保存在计算机C：\ProgramFiles\Efficient Networks\EnterNet 500\app\EnterNet.ini文件中，该文件用记事本打开，其中的“UserName＝”后面的字符就是宽带接入帐号，“Password＝”后面保存的是加密过的密码。黑客盗取该EnterNet.ini文件，复制到他自己计算机上的Enternet 500安装文件夹的相应位置覆盖掉相应文件，在他的计算机上运行Enternet 500就可以使用查看星号密码的方法得到所盗用的宽带接入帐号和密码了。

2、打开ADSL调制解调器路由功能导致ADSL宽带接入帐号和密码丢失：

运营商向用户发放的具有路由功能的ADSL调制解调器大多数品牌与型号采用相同的芯片，并且管理地址、端口、管理帐号与密码均为通用的默认设置，如果用户安全意识不高，没有更改默认设置，黑客通过连接默认的调制解调器管理端口并使用默认管理帐号与密码就能够接入网络，进而通过IE访问调制解调器管理页面，盗走用户帐号和密码。

3、线路窃听，用户帐号和密码在网络链路中被截获：

线路窃听在网络接入认证和业务认证时都有可能发生。目前由于采用PAP(密码身份验证协议)协议，用户在接入网络过程中，从客户端向RADIUS(认证服务器)传送的是明文认证信息，黑客可以通过对用户接入过程中窃听网卡数据包的方式窃取宽带接入帐号和密码。但该问题可以通过将BRAS(宽带远程接入服务器)的安全协议由PAP改为CHAP(挑战握手验证协议)解决，本分明不再讨论对这种情况的解决方法。

用户登录到信息层计费平台、与信息层平台合作的服务提供商或者ADSL自服务系统时提交上去的封装有业务帐号/密码(应用层认证信息)信息的数据包有可能被黑客截获致使帐号和密码被盗。

4、用户机器被植入木马程序导致ADSL帐号/密码丢失：

木马都具有特殊功能，除了普通的文件操作以外，还具有搜索缓存中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。

5、帐号/密码在渠道中丢失：

帐号/密码的使用不依赖于物理载体，在渠道中给一些不法分子可乘之机，导致无主帐号和帐号丢失问题。

不仅有帐号被盗的情况存在，随着宽带用户的增多，还出现了接入帐号唯一性限制问题，这也可以理解为另一种方式的帐号盗用。ADSL帐号共用问题主要有两种形式。一种是一个帐号多人同时登录，这种方式在RADIUS改造后得到了解决，目前在RADIUS上完成ADSL帐号的唯一性限制工作，也就是在服务器端完成。随着宽带接入用户的迅速增长，以及在线计费系统本身负责的功能任务众多，压力负载问题越来越受到关注。另一种是多人错时共用帐号的现象，指多人知晓同一ADSL帐号密码，然后错开时段分别上网，这种做法在ADSL包月用户中使用较多，该问题目前的系统无法解决。

发明内容

有鉴于此，本发明的主要目的在于提供了一种互联网接入系统和接入方法，以解决互联网用户帐号盗用问题及帐号唯一性限制问题。

本发明提供了一种网络接入系统，包括：

外接认证装置，存储有用户认证信息，用于提供给客户端；

客户端，用于提供网络接入服务，并在接入网络或使用网络提供的业务时将外接认证装置提供的用户认证信息提供给网络。

其中，所述系统还包括外接认证装置管理系统，用于存储外接认证装置序列号与宽带接入帐号的对应关系，及外接认证装置的状态值。

其中，所述系统还包括外接认证装置制作系统，用于初始化外接认证装置。

其中，所述的外接认证装置包括：USBKey、磁盘。

本发明还提供了一种网络接入方法，外接认证装置中保存有用户认证信息，在通过客户端接入网络时，包括：

客户端从外接认证装置中获得用户认证信息；

客户端使用获得的用户认证信息去登陆网络，由网络侧设备确认用户认证信息合法后实现网络接入。

其中，所述客户端从外接认证装置中获得用户认证信息的步骤包括：客户端访问外接认证装置，获得外接认证装置加密保存的用户认证信息；客户端对所述用户认证信息进行解密，获得需要的用户认证信息。

其中，所述获得的外接认证装置加密保存的用户认证信息中还包括加密的密钥；所述解密步骤包括：客户端提取出加密的密钥发送给外接认证装置；外接认证装置对加密的密钥解密后并发送给客户端；客户端使用解密后的密钥解密所述获得的加密保存的用户认证信息。

其中，进一步包括：外接认证装置对客户端执行鉴权过程。所述鉴权过程包括：外接认证装置生成一个随机数并对该随机数进行加密；同时将生成的随机数发送给客户端；客户端使用相同的算法将随机数加密后返回给外接认证装置；外接认证装置将收到的值与其自己加密后的结果进行比较，若相同则通过鉴权。

其中，进一步包括：外接认证装置向客户端请求用户输入个人身份号码PIN；客户端将用户输入的PIN传送给外接认证装置；外接认证装置对客户端传送过来的PIN进行验证。

其中，实现网络接入后进一步包括：使用网络提供的业务时，网络侧设备向客户端请求业务帐号；

客户端从外接认证装置中获得业务帐号并提供给网络侧设备；网络侧设备根据客户端提供的业务帐号获得用于计费的用户合同号，并允许所述业务的使用。

其中，所述向客户端请求业务帐号为通过发送挑战消息实现；所述客户端从外接认证装置中获得业务帐号并提供给网络的步骤包括：客户端收到挑战消息后，从外接认证装置中读取存储的包括业务帐号的数字证书及对挑战消息的签名，并发送给网络；网络验证数字证书合法和有效、所述签名有效后，提取出所述业务帐号。

由上述方法可以看出，本发明通过在客户端使用特殊硬件存储用户接入认证信息，改变传统的由用户通过键盘输入一长串接入帐号/密码或业务帐号/密码的方式，方便用户使用，不会再产生遗忘密码的情况。

同时对现行的弱密码体系进行改造，采用PKI(公钥基础设施)安全机制对认证信息进行保护。而PKI被认为是成熟的、安全的电子商务应用体系，PKI体系是未来网上交易行为的必然趋势，工商银行、招商银行等都已经向用户发放USBKey，以便安全可靠地开展网上银行业务。因而本发明可进一步促进互联网尤其是信息层计费平台的业务发展，更好地挖掘互联网用户的支付资源。下面详细说明本发明的效果：

A、解决帐号盗用问题，具体包括：

A1、解决弱口令强算导致帐号和密码被盗用的问题：使用特殊硬件后，认证信息可以设计得足够复杂，给黑客穷举式解密带来极大困难，解决弱密码强算问题。而且本客户端不保存帐号/密码，可以解决上述攻击计算机盗取接入帐号的问题。

A2、解决打开ADSL调制解调器路由功能导致ADSL帐号/密码丢失的问题：使用特殊硬件后，用户就不再知道自己的帐号/密码，也就不能再配置ADSL调制解调器的路由方式，也就不会存在导致通过ADSL调制解调器路由方式导致的帐号/密码被盗问题。

A3、解决线路窃听导致用户帐号和密码在网络链路中被截获：对于用户登陆业务平台，本发明将网络接入认证和业务认证均通过特殊硬件实现，并且可以合二为一完成一次性认证，并利用数字证书传输用户认证信息，即使数据包被黑客截获，也无法被重用，在此过程中解决了网络链路中帐号和密码丢失问题。

A4、解决用户机器被植入木马程序导致ADSL帐号/密码丢失问题：对于木马程序是通过记录用户键盘操作获得帐号和密码，由于采用特殊硬件实现用户不需输入帐号和密码，因此不会由于被植入木马程序导致帐号和密码丢失。

A5、解决帐号/密码在渠道中丢失问题：特殊硬件的使用将在很大程度上使这一问题得到解决。

B、解决了接入帐号唯一性限制问题：

由于用户接入认证时需使用特殊硬件，因此，可以有效的避免了一个帐号被多人使用，也自然避免了多人错时共用帐号(尤其是不限时包月帐号)现象的发生。另一方面，目前ADSL帐号的唯一性限制在接入网的认证系统上完成，从网络层面实现接入帐号唯一性限制，随着宽带接入用户增长到一定程度，认证平台的压力负载均衡问题日益严峻。而本发明利用特殊硬件标识每个用户，通过与客户端的交互，从用户层面实现接入帐号唯一性限制，从而减轻认证平台的压力。

C、有利于业务的发展：

由于本发明采用特殊硬件存储用户认证信息，并且给数字证书提供了很好的载体，可以作为用户网络真实身份的载体，能够统一用户多种业务帐号，来唯一确定用户身份、防止抵赖，起到用户网上信用卡的作用。在此基础上提供一站式服务(如一点开通、统一账单等)，电信业务与行业应用相结合，对用户屏蔽行业差异，实现服务的融合。对于用户来说，业务使用更加便捷，用户无需再拿着居民身份证或者企业证明跑到服务提供商营业厅办理，只要插上特殊硬件，登录到指定站点，填写相关信息即可办理业务，使用更为方便；对于服务提供商来说，在方便用户的同时，也减轻了其营业厅的工作量，便于网上营业厅的业务开展，达到了增强用户忠实度的目的。

总之，本发明提供的网络接入认证方式和用户管理办法，以最大程度解决现有ADSL存在的帐号盗用、从客户端实现唯一性限制等问题，并可唯一确认标识一个用户，解决了互联网用户上网的安全认证和支付的信用问题，促进互联网增值业务的发展。

附图说明

图1为现有接入网络系统结构示意图；

图2为本发明接入网络系统结构示意图；

图3为本发明业务接入认证流程图；

图4为预先批量产生帐号流程图。

具体实施方式

现有技术中，对于现场办公、网上受理、代理方式这三个渠道发展的宽带用户，在用户申请宽带接入业务时需要设置查询密码，而宽带接入帐号是在通信公司在为用户装机时发放给用户的。而后，用户在网上受理页面或者拨打宽带接入(如ADSL)帐号查询系统的服务电话，用通信公司提供的宽带接入帐号和其申请宽带业务时设置的查询密码就可获得宽带接入帐号对应的密码(如ADSL帐号对应的密码)。

本发明以客户端为依托，结合PKI(公钥基础设施)安全机制，利用外接认证装置(一种特殊硬件，后续以USBKey为例进行说明，也可以是其他外设如磁盘等)存储用户认证信息，替代宽带接入帐号/密码，让用户在不知道认证信息具体内容的情况下，自动实现网络的接入认证，从而减少宽带接入帐号/密码泄漏的风险。

同时本分明还实现了宽带接入帐号唯一性限制。由USBKey保存用户的认证信息，只有在用于接入网络的客户端设备(后续以计算机为例进行说明，也可以是其他终端，如PDA、手机等)上插入USBKey，客户端才能够接入网络，将USBKey拔出客户端计算机时，客户端将断开与网络的连接。因此USBKey能够较好的避免一个帐号多人同时登录的问题；对于避免多人错时共用帐号的情况，由于需要USBKey载体的客观传递，因此也可有效降低多人错时共用帐号；此外，采用PKI安全机制保护接入帐号/密码可以限制用户使用路由方式共享上网。

另外，由于使用USBKey作为用户身份标识，可以唯一的识别用户身份进行认证计费，因此还可以将网络接入认证与增值业务(应用业务)的认证过程捆绑，在保证网络接入认证安全可靠的基础上，真正实现一次性认证。

下面参考图2示出的本发明接入网络，对本发明进行说明，其中USBKey、USBKey制作系统、USBKey管理系统对于原接入网络是新增设备，其余设备均为原接入网络设备，功能均没有发生变化。本分明网络接入系统包括以下部分：

USBkey，存储有用户认证信息，并用于提供给客户端。用户认证信息包括用于接入网络的认证信息(如宽带接入帐号和密码)，还包括用户登陆应用业务的认证信息(如业务帐号和密码)。认证信息内容包括的帐号和密码，可以以某种加密方式存储。还可以包括数字证书用于对用户认证信息的加密传输。

具体在实现时，USBKey提供一个标准API(应用程序接口)，以便使用API的其它应用可以共享对用户认证信息的访问。例如，API标准可以为CSP或PKCS#11；对于支持Microsoft平台的应用，接口采用Microsoft CryptoAPI——CSP标准；在Netscape和许多支持UNIX平台的应用中，这个接口采用PKCS#11标准。

客户端，为用户提供网络接入服务，用于根据USBkey提供的用户认证信息，将其中的接入认证信息或业务认证信息在接入网络时或业务使用时提供给接入服务器或业务服务器。具体来说：

在接入认证过程中，客户端控制对USBKey中的记录用户认证信息的ID文件解密，并将该文件的内容用预定的算法(如三重数据加密标准算法3DES等)解密，得到宽带接入帐号/密码。将解密后的宽带接入帐号/密码通过PPPoE协议提交给RADIUS接入认证服务器进入宽带网络接入认证。

在业务认证过程中，需要从USBKey中读取私钥签名后的业务帐号和对应的数字证书。提交给业务系统，由业务系统根据收到的信息进行业务使用的认证，认证通过后就可以处理用户请求的相关应用业务。

客户端还可与USBKey结合，实现访问自服务系统(自服务系统指提供客户信息查询、客户登录名修改、客户口令修改的系统，该系统还可提供本期消费情况查询、消费信息查询功能)，实现USBKey用户的自服务。如，提供更改USBKey的PIN码(个人识别密码)功能。需要说明的是，采用USBKey后，用户不再知晓自己的帐号和密码，登陆自服务系统时由客户端直接从USBKey读取帐号和密码提供给自服务系统进行验证，为了确保USBKey的安全性，可提供给用户使用该USBKey的PIN码。并且，由于采用了USBKey，因此自服务系统提供的登录帐号修改和密码修改两项功能不再需要，只需要保留客户信息查询、本期消费情况查询、消费信息查询功能即可。

BRAS(Broadband Remote Access Server，宽带接入服务器)：宽带接入设备，可以认为是客户端接入RADIUS的接口。

RADIUS接入认证服务器：接收客户端发送过来的宽带接入帐号/密码字段，对该帐号和密码进行认证(如，RADIUS根据帐号查找到所存储的相应的帐号记录，比对密码进行认证)后，分配其IP地址，客户端使用该IP地址接入网络。

AIOBS(计费系统)服务器：存有在线用户IP和用户计费账号信息的对应列表。在用户访问信息计费系统时，通过信息层平台与AIOBS的接口，由AIOBS根据IP地址反查用户计费账号提供给信息层计费系统。业务认证时，信息层计费系统将用户的IP地址传递给AIOBS，由AIOBS验证用户IP地址的合法性。

其中，上述BRAS、RADIUS接入服务器和AIOBS服务器统称为OBS(在线计费系统)，完成网络接入认证、业务认证和对ADSL业务管理流程的支撑三部分工作。

信息层计费系统：用来实现用户接入网络后对用户增值业务消费的统一计费。信息层计费系统接收到客户端提交的业务认证请求后，将客户端IP地址发送给AIOBS由AIOBS验证用户IP地址的合法性，从AIOBS系统获取对应的用户计费账号信息以进行计费处理。

九七系统(一种多业务综合计费系统)：OBS系统与九七系统配合完成对ADSL业务的开户/挂失/解挂/注销/查询等管理流程的支撑。九七系统用于承担着各项业务受理、用户管理等工作，并且将相关信息定期传给帐务系统。

USBKey管理系统：系统管理主要保存着USBKey序列号与ADSL帐号(宽带接入帐号)的对应关系列表。接收来自AIOBS的用户挂失/解挂/注销信息，相应改变USBKey的状态值，状态包括：USBKey待发、USBKey已发、注销。此状态值的改变由用户去办理。还用于接收来自九七受理系统提交的USBKey编号，根据USBKey编号，返回给九七系统用户的宽带接入帐号(返回给九七的功能主要是为了在用户挂失USBKey、更换USBKey、初始化USBKey的PIN码等业务流程时，九七系统都需要向USBKey管理系统提交USBKey编号，获得返回的用户的宽带接入帐号，以实现对ADSL业务的开户/挂失/解挂/注销/查询等管理流程的支撑)。

USBkey制作系统，用于初始化USBKey，包括将用户ID文件等信息写入USBKey，在USBKey卡内生成公私钥对等。就相当于以前制作密码封的步骤。

下面，对基于本发明系统的认证过程进行描述。分别根据接入认证信息与电子商务行为认证信息区分开为例，来描述接入网络的认证方法、使用业务时的认证方法。下面参见附图的实施例进行描述。

预先，将含有用户认证信息(包括接入认证信息及业务认证信息)的ID文件写入USBKey，该过程由USBKey制作系统完成。鉴于这些信息的重要性，可以采用下面的ID文件保护用户认证信息：

ID文件中可设计为包括两部分，一部分是使用3DES密钥(或其他密钥)加密过的接入用户认证信息，另一部分是使用用户公钥保护的3DES密钥。相应的USBKey上还保存对应的用户私钥。

进一步的，还可以在使用用户公钥保护3DES密钥之前对3DES密钥进行加密处理(如可以把16字节的密钥的前半部分进行反转)。这是因为，客户端拨号时需要从USBKey中取得3DES密钥，如果USBKey直接在线路上明文传输密钥到计算机显然会有泄密的危险，所以对3DES密钥进行的加密处理，这样，使用用户公钥保护起来的是经过处理的3DES密钥，所以USBKey送出到计算机的3DES密钥是加密过的密钥，破解者即便截获此密钥也没有用。

还可以在ID文件当中加入一些扰码，比如在确定的位置加入一个字节的随机数据，这些随机数据本身并没有用处，但是能够起到干扰从ID文件入手的破解行为，同样也可以在对用户接入认证信息加密之前插入一些扰码。

另一方面，在数据库(数据库可位于图1的USBKey管理系统中)中也要预先保存USBKey序列号与用户的宽带接入帐号的对应关系，并分别设计相应的状态字段记录该帐号和该USBKey的使用状态。这些是用户在开户时取得的信息。

当用户要访问网络时，将USBKey连接到客户端计算机上，宽带接入认证过程包括以下步骤：

步骤201：计算机启动客户端软件(可由用户开启客户端软件，或当检测到用户开启IE等网络浏览器时自动启动客户端软件)，客户端向USBKey发送请求读取安全ID文件信息的请求；

步骤202：USBKey收到客户端的请求，对客户端执行鉴权过程，以确保该USBKey在该计算机上使用是合法的。具体来说，鉴权过程可以为：

USBKey生成一个随机数并对该随机数进行3DES加密；同时将生成的随机数发送给客户端，由客户端使用相同的算法将随机数加密后返回给USBKey，USBKey将收到的值与其自己加密后的结果进行比较，若结果相同即通过身份认证。此过程类似于银行卡和POS机的认证过程。

步骤203：在确认USBKey在该计算机上使用是合法的后，USBKey向客户端请求用户输入PIN，对客户端传送过来的用户输入的PIN进行验证。其中，PIN码是用来保护USBKey的，本步骤是用来确保使用USBKey的用户是合法用户。

步骤204：在认证通过后，USBKey将ID文件发送给客户端，客户端执行解密过程获得用户认证信息，具体解密过程参见步骤204从～204g，包括：

首先，客户端将接收的ID文件分解出使用用户公钥加密的3DES密钥，并将分解出的使用用户公钥加密的3DES密钥发送给USBkey请求解密；

然后，USBKey使用私钥解密出3DES密钥，并传送给客户端；

然后，客户端使用USBKey解密后的3DES密钥解密出ID文件中的用户认证信息(包括宽带接入帐号和密码)；

步骤205：客户端使用解密出的用户认证信息通过BRAS登陆接入系统RADIUS。RADIUS认证通过后，为该用户分配一个IP地址，用户即可成功接入网络。这个步骤和现有的步骤是相同的，故不再赘述。

由上可见，用户在网络接入时，用户动手做的是只需将USBKey插入客户端计算机，并正确输入USBKey的PIN码就可以直接接入网络。而真正的接入网络所需要的用户认证信息，用户不需要输入，并且也并不知道。

当用户已经接入网络后，在使用某业务时，如图3所示，业务认证过程包括以下内容：

步骤301：用户通过IE打开信息层门户，使用某业务；

步骤302：信息层计费系统判断是USBKey用户(用户进入信息层计费系统的入口分为USBKey用户入口和普通用户入口，从USBKey入口进入的用户，信息层平台即可判断是USBKey用户)，则向客户端发送一个挑战(Challenge)消息，开始建立SSL双向认证通路；

步骤303：客户端收到挑战消息后，从USBKey中读取数字证书及对挑战(Challenge)消息的签名，将数字证书与签名发回信息层计费系统，数字证书中包含业务帐号；

步骤304：信息层计费系统首先验证数字证书是否为运营商(如北京网通)下发，第二步验证证书是否有效，第三步验证签名是否有效，第四步取出业务帐号(用户宽带接入帐号与业务帐号可以设置为统一的)，并将其通过SOAP/HTTP协议通讯提交给AIOBS，获取用于计费用的用户合同号(用户的所有消费信息均记录在此合同号中，信息层平台在获得了此合同号后，允许该用户进行信息层消费，并记录消费信息)。因为信息层平台已经用数字证书验证了用户的合法身份，此时不必再向AIOBS提供密码，只提供业务帐号即可；

步骤305：AIOBS中存有业务帐号与计费用的用户合同号信息对应列表，通过业务帐号找出相应的用户合同号信息，并返回给信息层平台；

步骤306：信息层计费平台获得用户合同号信息后，可以进行计费的处理了，发给用户令牌，至此接入认证和信息层平台认证成功。

和现有技术一样，本系统仍然提供自服务管理过程。自服务包括目前ADSL用户通过登陆指定的网站实现的自服务操作。现有技术下，自服务包括提供客户信息查询、客户登录名修改、客户口令修改、本期消费情况查询、消费信息查询五项功能。而使用USBKey后，用户不再知晓自己的帐号和密码，客户登录名修改和客户口令修改两项功能不再需要，只需要保留客户信息查询、本期消费情况查询、消费信息查询三项功能。

在使用自服务时，也需要对用户认证信息进行认证，认证信息的提供均可以由USBKey提供，而省去了用户输入帐号和密码的步骤，其余步骤与现有使用过程相同。另外，对于USBKey中存放的用户认证等信息，不允许用户进行修改，仅允许用户可以修改访问USBKey的PIN码。USBKey的PIN码修改功能直接通过客户端完成，属于用户本地操作，不需要与网络服务器交互，使客户端提供的修改PIN码的功能，离线操作即可。

下面以ADSL业务为例，对本发明的实施过程进行详细说明。

帐号批开流程：帐号批开即指在OBS系统中批量生成帐号，并批量制作USBKey的过程。

一、预先批量产生帐号流程(如图5所示)：

1、营业局下批量生成帐号的工单。

2、帐三在OBS系统中批量生成帐号。

3、帐三从OBS中读出3DES加密的认证信息文件。

4、根据认证信息文件，帐三操作USBKey制作系统批量制作USBKey：

5、计算机上安装USBKey的驱动程序；

6、运行USBKey初始化管理软件；

7、根据用户认证信息文件，顺序将USBKey插入计算机USB口，在USBKey内生成公私钥对，加密写入认证信息。

8、在数据库中记录USBKey序列号、帐号的对应关系。

9、将USBKey返回营业厅。

二、制作USBKey流程(即初始化USBKey)：为了方便公司管理与客服工作，将用户认证信息写入USBKey后需要记录USBKey当中的帐号与USBKey的对应关系，以方便维护人员为用户安装宽带或者提供其它服务时快速知晓用户基本信息。

USBKey初始化流程将被细化为两部分，一部分USBKey厂家负责的产品生产流程，一部分是网络接入提供商负责的USBKey初始化流程。USBKey厂家负责的产品生产流程如下：

1、厂家拿到网络接入提供商制订的USBKey产品序列号规则；

2、在USBKey里面固化按照规则产生的序列号；

3、最后为USBKey张贴标签，序列号将被注明在标签上面。

网络接入提供商负责的USBKey初始化流程如下：

1、AIOBS将批量生成的用户认证信息导入到文件当中，并将其送给后台初始人员；

2、初始化人员操作初始化程序将文件当中的用户认证信息顺序读出并写到USBKey当中；

3、初始化程序将当次用到的帐号与USBKey序列号对应关系记录下来导出到文件当中；

4、最后将对应关系文件导入到后台查询系统(可以与九七系统接口，定期传送)。

今后工作人员插上用户USBKey或者直接录入标签上面的序列号就能够迅速查询到用户上网帐号与相关信息，有利于以后的管理。

因为需要把帐号与USBKey序列号对应关系记录下来并提供查询功能，所以需要在后台布署查询服务器(可以与九七系统互连)，查询服务器与营业厅等相关终端相连，随时响应查询请求。

营业厅开户流程：开户即指用户申请开通ADSL接入业务。具体包括以下方面：为用户分配USBKey和帐号；用户信息录入九七系统。

目前发展用户分为营业厅办理、现场办公、网上受理、代理方式，对于后三种采用申请时设置查询密码、装机时发放帐号，然后用户在网上受理页面或者10060都可以通过ADSL帐号+查询密码来查询ADSL密码。无论何种方式发展的用户，最终都要通过九七系统下工单，下工单流程是统一的。

1、USBKey本地操作：插上USBKey后，就可以读取USBKey中帐号、USBKey编号的客户端程序。营业员通过访问后台系统(USBKey制作系统数据库)，将帐号录入九七系统，帐号可从USBKey中读出，帐号可以从USBKey制作系统数据库通过USBKey编号查询。将USBKey交给客户；

2、系统自动分配ADSL号，ADSL号与电话号码关联；

使用此方式，没有改变原有业务流程和工单派发流程，只是将原有的业务节点功能稍作增强和改动。对于营业厅开户操作，营业员同以前一样在九七系统中录入用户信息、帐号。由于不再有密码纸，为了获得帐号，需要通过增加九七和OBS的接口程序，九七将帐号提交给OBS，OBS返回给九七帐号。如果不采用此方式，还可以将帐号直接写入USBKey，这样就简化了远程获取的工作。另外，需要OBS定期将开户帐号发给USBKey管理系统，便于统计使用USBKey的用户数量。营业厅可以增加对USBKey中序列号和帐号的读取功能。至于USBKey可以等到上门安装时发放给用户，也可以由客户当时拿走。

在业务受理过程中，改变后台系统中USBKey的状态值。当用户挂失USBKey时，营业厅现场制作新的USBKey，其帐号不变，密码是OBS中新生成的，对应原帐号。

更新认证信息流程：在客户端提供修改USBKey的PIN码功能即可。

解锁流程：如果用户忘记USBKey的PIN码，或者用户连续输错USBKey的PIN码达到公司允许上限，USBKey自动锁定，用户需要到营业厅解锁，即初始化密码。营业厅需要维护USBKey的PUK码，用PUK码解锁后USBKey初始化PIN码自动设置成统一值，由用户回家后修改成自己的PIN码。

挂失流程：挂失即指用户由于USBKey的丢失或损坏而更换USBKey，流程如下：

1、用户拿着身份证来营业厅办理挂失。

2、通过身份证号码在九七系统中查询到该用户的帐号。

3、对于损坏的USBKey，要验证回收。只要挂失，无论损坏或丢失，保留帐号，但必须修改OBS中的密码字段，即作初始化密码工作，这点和以前OBS的操作一致。OBS需增加通知USBKey管理中心注销该帐号对应的USBKey序列号的接口。

4、OBS中新生成的密码返回到营业厅，营业厅制作新的USBKey。

暂关/恢复流程：可以由用户主动提出暂关，也可以因为欠费被动暂关。流程如下：

1、用户到营业厅提出暂关(需要带身份证，或带USBKey)，或者帐务系统通知九七系统某用户欠费。

2、设置OBS中相应用户帐号状态为暂关状态。当OBS中某用户帐号设置为暂关状态后，该用户进行网络认证时，OBS根据帐号状态不会让该用户通过网络接入认证，该用户就不能使用网络。)

对于解挂、恢复流程，同上1、2，只是设置的状态是解挂/恢复状态，OBS会对用户帐号修改相应状态。

本环节中，九七系统对OBS的暂关操作和帐务系统通知九七系统某用户欠费，目前均已经具备，只需增加营业厅对USBKey中序列号和帐号的读取功能。

帐号注销流程：注销即指用户主动申请停止此项业务时的业务流程。营业厅注销时需要同时注销九七系统中用户信息所对应的帐号、OBS系统中的认证信息、USBKey管理中心的记录。当该用户与公司不再有任何业务关系时，要回收USBKey。但是对于帐号需要保留，以便日后分析客户行为。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种网络接入系统，其特征在于，包括：

外接认证装置，用于对所述外部认证装置在客户端上使用是合法的进行鉴权，对当前用户是否为所述外部认证装置的合法用户进行鉴权，并将存储其中的用户认证信息和业务认证信息及数字证书提供给客户端；

客户端，用于在接入网络或使用网络提供的业务时将所述外接认证装置提供的用户认证信息和业务认证信息及数字证书提供给网络，并在网络确认用户认证信息合法后接入网络；

所述网络中包括外接认证装置管理系统，用于存储外接认证装置序列号与宽带接入帐号的对应关系，及外接认证装置的状态值；

所述网络中包括外接认证装置制作系统，用于初始化外接认证装置。

2.根据权利要求1所述的系统，其特征在于，所述的外接认证装置包括：USBKey、磁盘。

3.一种网络接入方法，其特征在于，外接认证装置中保存有用户认证信息，在通过客户端接入网络时，包括：

外接认证装置对客户端执行鉴权过程，包括；

外接认证装置生成一个随机数并对该随机数进行加密；同时将生成的随机数发送给客户端；

客户端使用相同的算法将随机数加密后返回给外接认证装置；

外接认证装置将收到的值与其自己加密后的结果进行比较，若相同则通过鉴权；

外接认证装置对当前用户执行鉴权过程，包括；

外接认证装置向客户端请求用户输入个人身份号码PIN；

客户端将用户输入的PIN传送给外接认证装置；

外接认证装置对客户端传送过来的PIN进行验证；

客户端从外接认证装置中获得用户认证信息及数字证书，包括：

客户端访问外接认证装置，获得外接认证装置加密保存的用户认证信息；所述获得的外接认证装置加密保存的用户认证信息中包括加密的密钥；

客户端提取出加密的密钥发送给外接认证装置；

外接认证装置对加密的密钥解密后发送给客户端；

客户端使用解密后的密钥解密所述获得的加密保存的用户认证信息；

客户端使用获得的用户认证信息和数字证书去登陆网络，由网络确认用户认证信息合法后接入网络。

4.根据权利要求3所述的方法，其特征在于，实现网络接入后进一步包括：

使用网络提供的业务时，网络向客户端请求业务帐号；

客户端从外接认证装置中获得业务帐号并提供给网络；

网络根据客户端提供的业务帐号获得用于计费的用户合同号，并允许所述业务的使用。

5.根据权利要求4所述的方法，其特征在于，所述向客户端请求业务帐号为通过发送挑战消息实现；

所述客户端从外接认证装置中获得业务帐号并提供给网络的步骤包括：

客户端收到挑战消息后，从外接认证装置中读取存储的包括业务帐号的数字证书及对挑战消息的签名，并发送给网络；

网络验证数字证书合法和有效、所述签名有效后，提取出所述业务帐号。

Images