CN100591013C - 实现认证的方法和认证系统 - Google Patents
实现认证的方法和认证系统 Download PDFInfo
- Publication number
- CN100591013C CN100591013C CN200610127666A CN200610127666A CN100591013C CN 100591013 C CN100591013 C CN 100591013C CN 200610127666 A CN200610127666 A CN 200610127666A CN 200610127666 A CN200610127666 A CN 200610127666A CN 100591013 C CN100591013 C CN 100591013C
- Authority
- CN
- China
- Prior art keywords
- dhcp
- user
- authentication
- network equipment
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种实现认证的方法和认证系统,其核心是:当DHCP网络设备接收到用户发送的DHCP报文后,通过与认证服务器的交互,获取对应所述用户的认证信息;所述DHCP网络设备基于所述认证信息中的认证客户端所需信息对所述用户进行DHCP认证。本发明还提供了另一种实现认证的方法,以及认证服务器、DHCP网络设备和用户设备。通过本发明,能够针对用户进行安全认证,不仅保证了用户的安全性,而且保证了网络设备的安全性。另外,本发明通过DHCP认证机制,能够实现用户对网络的认证;通过增加的中继认证服务器,能够实现漫游地对用户的有效认证;通过认证服务器能够发起重认证过程,使本发明能够支持网络对用户的重认证。
Description
技术领域
本发明涉及通信领域,尤其涉及认证技术。
背景技术
为了保证对合法用户的接入控制,网络侧需要对用户进行接入认证,同时,需要给用户设备分配相应的IP地址和相关参数,以便使能用户设备的通信。
在认证过程之前,用户与服务器之间共享有密钥,基于RADIUS(RFC2865Remote Authentication Dial In User Service,远程认证拨入用户业务)协议对用户终端进行认证的过程如图1所示,其主要思想是:用户发起认证,服务器发送一个挑战字给用户,用户基于共享密钥对挑战字进行计算,并将得到的认证返回值返回;所述服务器基于共享密钥对挑战字进行计算,然后比较计算结果与接到的认证返回值,从而实现对用户的认证。
基于DHCP(RFC2131 Dynamic Host Configuration Protocol和RFC3315Dynamic Host Configuration Protocol for IPv6,动态主机配置协议)对用户进行地址分配时的网络模型A和网络模型B分别如图2所示和图3所示。其中网络模型A对应DHCP客户端与服务器在同一网段的情况;网络模型B针对DHCP客户端与服务器间有路由器的情况。在实际应用中主要采用网络模型B。基于上述网络模型,申请地址的主机,即运行DHCP CLIENT(DHCP客户端)的客户机,也称为用户设备,与服务器进行交互,得到服务器为自己分配的地址及参数。
在实际用户接入网络时,可以在给用户进行地址及相关参数的分配时,基于DHCP协议完成网络对用户接入的认证,这是因为:DHCP协议有一个option90扩展,其遵循RFC3118标准,要求DHCP网络设备与DHCP CLIENT之间共享密钥,利用密钥对交互的DHCP消息进行计算,得到MAC(消息认证码)值,以防止非法DHCP客户端获得地址或对DHCP网络设备进行攻击。
为保证DHCP网络设备的安全性及地址资源的安全性,需要网络接入认证先于地址分配进行。如果用户同时具有DHCP客户端和认证协议的客户端能力,则可以分别执行DHCP过程和认证过程,并需要另外的机制保证认证先于地址分配进行。但是,当用户仅仅具有DHCP客户端能力,而不具备认证客户端能力时,如何实现网络接入认证先于地址分配进行是一个研究课题。
与本发明有关的现有技术提供了一种当用户仅仅具有DHCP客户端能力,而不具备认证客户端能力的情况下实现网络接入认证先于地址分配进行的流程,具体如图4所示,其主要思想是:用户发送DHCP DISCOVER(DHCP发现)报文寻找为自己分配地址的DHCP SERVER(DHCP服务器),当报文到达DHCPRELAY/RADIUS CLIENT等接入设备时,所述接入设备在报文中插入OPTION82以记录用户的接入位置信息,并触发网络认证过程,将用户的接入位置信息和账户信息发送给认证服务器;当获知到所述认证服务器根据所述用户接入位置信息完成认证过程后,才继续执行DHCP过程以完成IP地址的配置。
由现有技术可以看出,该方案其实是通过接入设备代理用户进行接入认证的,其只能利用用户的接入位置进行认证,因此其存在如下的技术缺陷:
1、安全性不够:现有技术对用户的识别依赖用户与接入位置的绑定关系,当这种绑定关系不可靠时,网络无法对用户进行合法性验证,网络也易受到攻击,安全性不够。
2、不能实现网络与用户间的双向认证:现有技术只能实现网络对用户进行认证,而没有用户对网络的认证能力。
3、现有技术不能支持漫游:现有技术将用户绑定在接入位置端口下,当用户产生漫游时,由于无法对用户进行有效识别。即使增加DHCP认证机制,当用户在漫游地需要当地DHCP SERVER提供服务时,由于漫游地的网络缺少与用户共享的密钥,也无法实现漫游地的网络对用户的有效认证和地址分配。
4、现有技术较难支持网络对用户的重认证:RADIUS协议不支持重认证,即使更换支持重认证的协议,如DIAMETER协议,也无法让用户重新进入图4所示过程,这是由于DHCP RELAY没有机制触发重新的地址分配。如果仍由网络代理认证,则失去了重认证的意义。
发明内容
本发明的第一目的是提供一种实现认证的方法和系统,通过本发明,能够针对用户进行安全认证,不仅保证了用户的安全性,而且保证了网络设备的安全性。
本发明的第二目的是提供第二种实现认证的方法,通过本发明,能够实现用户对网络的认证。
本发明通过如下的技术方案实现:
本发明提供一种实现认证的方法,其包括:
A、当DHCP网络设备接收到用户发送的DHCP报文后,通过与认证服务器的交互,获取对应所述用户的认证信息;
B、所述DHCP网络设备基于所述认证信息中的认证客户端所需信息对所述用户进行DHCP认证。
其中,所述的方法还包括:所述DHCP网络设备对用户DHCP认证结束后,将所述用户的用户标识上报给所述认证服务器,并将认证结果通知给所述认证服务器。
其中所述步骤A具体包括:所述用户发送DHCP报文给DHCP网络设备,其中携带所述用户的用户标识;当DHCP网络设备接收到所述用户发送的DHCP报文后,其将所述用户标识上报给认证服务器;所述认证服务器根据所述用户标识提取或生成对应所述用户标识的认证信息,并将其发送给所述DHCP网络设备;所述DHCP网络设备根据所述认证服务器发送的信息获取到所述认证信息。
其中,所述认证信息包括:根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,所述认证服务器与所述用户之间共享的密钥Ka;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及对应所述指定的共享密钥Ka生成的会话密钥Ka’以及生成会话密钥Ka’的参数。
其中,当所述生成会话密钥Ka’的参数为空时,所述认证信息中的认证客户端所需信息包括:所述用户和所述认证服务器共享的密钥Ka;或,当所述生成会话密钥Ka’的参数不为空时,由所述用户和所述认证服务器共享的密钥Ka生成的会话密钥Ka’。
其中,所述的方法还包括:当用户与所述认证服务器之间共享一个共享密钥Ka并且所述生成会话密钥Ka’的参数为空时,所述用户基于共享密钥Ka对网络设备进行认证;否则,所述用户获取所述DHCP网络设备获得的所述认证信息中的认证网络所需信息;并基于所述认证网络所需信息生成认证网络的认证信息,并基于生成的所述认证信息认证网络设备。其中,所述认证信息中的认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
其中,所述认证网络的认证信息包括:根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,根据选择参数选择的对应共享密钥Ka;或,根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。
其中,所述的方法还包括:所述认证服务器对所述DHCP网络设备进行认证;和/或,所述DHCP网络设备对所述认证服务器进行认证。
其中,当所述认证服务器对所述用户进行重认证时,还包括:所述认证服务器发起重认证流程,并通知所述DHCP网络设备;所述DHCP网络设备接收到所述重认证的通知后,利用DHCP强制更新Force Renew消息携带DHCP认证信息对所述用户进行重认证。其中,当网络支持用户漫游时,在所述DHCP网络设备与所述认证服务器之间设置中继认证服务器,并通过所述中继认证服务器中继所述DHCP网络设备与所述认证服务器之间的交互信息。
其中,所述DHCP网络设备包括:DHCP服务器和DHCP中继服务器。
本发明提供另一种实现认证的方法,其包括:用户对网络设备进行认证。其中,所述用户对网络设备进行认证的过程具体包括:当DHCP网络设备接收到用户发送的DHCP报文后,通过与认证服务器的交互,获取对应所述用户的认证信息;当生成会话密钥Ka’的参数为空,并且所述用户与认证服务器之间共享一个密钥Ka时,所述用户基于所述共享密钥Ka认证网络设备,否则,所述用户通过所述DHCP网络设备获取的所述认证信息中的认证网络所需信息;并基于所述认证网络所需信息生成认证网络的认证信息,并基于生成的所述认证信息认证网络设备。
其中,获取的对应所述用户的认证信息包括:根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,所述认证服务器与所述用户之间共享的密钥Ka;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及根据所述指定的共享密钥Ka生成的会话密钥Ka’以及生成会话密钥Ka’的参数。其中,所述认证信息中的认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
其中,所述认证网络的认证信息包括:根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,根据选择参数选择的对应共享密钥Ka;或,根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。
本发明提供一种认证系统,其包括:认证服务器、DHCP网络设备和用户设备;所述认证服务器,用于当接收到DHCP网络设备发送的携带用户信息的报文后,提供对应所述用户的认证信息给所述DHCP网络设备;所述DHCP网络设备,用于当接收到所述用户设备发送的DHCP报文后,将DHCP报文携带的用户信息发送给所述认证服务器,并通过与所述认证服务器的交互获取对应所述用户的所述认证信息;并基于所述认证信息中认证客户端所需信息对用户进行DHCP认证。
其中,所述认证服务器包括:用户信息获取单元、认证信息生成单元和认证信息传输单元;所述用户信息获取单元,用于从接收到的所述DHCP网络设备发送的报文中获取用户的用户标识;所述认证信息生成单元,用于根据所述用户标识提取或生成对应所述用户的认证信息;所述认证信息传输单元,用于传输所述认证信息生成单元得到的所述认证信息给所述DHCP网络设备。
其中,所述认证服务器还包括:第一认证单元,用于对所述DHCP网络设备进行认证。
其中,所述DHCP网络设备还包括:认证信息获取单元,用于通过与所述认证服务器之间的交互获取所述认证信息;DHCP认证单元,用于根据所述认证信息获取单元获得的认证信息中认证客户端所需信息对所述用户进行DHCP认证。
其中,所述DHCP网络设备还包括:通知单元,用于将所述用户的用户标识,以及对所述用户的认证结果通知所述认证服务器。
其中,所述DHCP网络设备还包括:第二认证单元,用于对所述认证服务器进行认证。
其中,所述DHCP网络设备还包括:认证网络所需信息传输单元,用于通过传输的DHCP报文发送所述认证信息获取单元获得的认证信息中认证网络所需信息。
其中,所述用户设备包括:DHCP报文传输单元和认证网络单元;所述DHCP报文传输单元,用于发送用户的DHCP报文和接收DHCP网络设备发送给的DHCP报文;所述认证网络单元,用于当用户与网络设备共享一个密钥,且生成会话密钥Ka’的参数为空时,基于共享密钥Ka对网络设备进行认证;否则,用于从所述DHCP报文传输单元接收到的DHCP报文中获得认证网络所需信息,并根据所述认证网络所需信息生成认证网络的的认证信息;然后,根据所述认证网络的的认证信息对网络设备进行认证。
其中,所述的认证系统还包括:中继认证服务器,用于当用户处于漫游状态时,中继所述认证服务器与所述DHCP网络设备之间交互的信息。
其中,所述DHCP网络设备包括:DHCP服务器和DHCP中继服务器。
本发明提供一种认证服务器,其包括:用户信息获取单元、认证信息生成单元和认证信息传输单元;所述用户信息获取单元,用于从接收到的所述DHCP网络设备发送的报文中获取用户的用户标识;所述认证信息生成单元,用于根据所述用户标识提取或生成对应所述用户标识的认证信息;所述认证信息传输单元,用于传输所述认证信息生成单元得到的所述认证信息给所述DHCP网络设备。
其中,所述认证服务器还包括:第一认证单元,用于对所述DHCP网络设备进行认证。
本发明提供一种DHCP网络设备,其包括:认证信息获取单元,用于通过与所述认证服务器之间的交互获取对应所述用户的认证信息;DHCP认证单元,用于根据所述认证信息获取单元获得的所述认证信息中认证客户端所需信息对所述用户进行DHCP认证。
其中,所述的DHCP网络设备还包括:通知单元,用于将所述用户的用户标识,以及对所述用户的认证结果通知给所述认证服务器。
其中,所述的DHCP网络设备还包括:第二认证单元,用于对所述认证服务器进行认证。
其中,所述的DHCP网络设备还包括:认证网络所需信息传输单元,用于通过传输的DHCP报文发送所述认证信息获取单元获得的认证信息中认证网络所需信息。
其中,所述DHCP网络设备包括:DHCP服务器和DHCP中继服务器。
本发明提供一种用户设备,其包括:认证信息产生单元和认证网络单元;所述认证信息产生单元,用于从接收到的DHCP报文中获得认证网络所需信息,并根据所述认证网络所需信息生成认证网络的认证信息;所述认证网络单元,用于根据所述认证网络的认证信息对网络设备进行认证。
由上述本发明提供的技术方案可以看出,本发明中通过DHCP网络设备与认证服务器的交互,获取对应所述用户的认证信息;然后基于所述认证信息中的认证客户端所需信息对所述用户进行DHCP认证的技术,能够针对用户进行安全认证,不仅保证了用户的安全性,而且保证了网络设备的安全性。
另外,本发明通过DHCP认证机制,能够实现用户对网络的认证。
另外,本发明通过增加的中继认证服务器,能够实现漫游地对用户的有效认证;通过认证服务器能够发起重认证过程,使本发明能够支持网络对用户的重认证。
附图说明
图1为背景技术提供的基于RADIUS协议的认证过程;
图2为背景技术提供的DHCP协议对应的网络模型A;
图3为背景技术提供的DHCP协议对应的网络模型B;
图4为现有技术提供的认证和地址分配过程的流程图;
图5为本发明提供的第一实施例的流程图;
图6为本发明提供的第一实施例中当认证协议采用RADIUS协议,DHCP网络设备为DHCP SERVER时的处理流程;
图7为本发明提供的第一实施例中当认证协议采用RADIUS协议,DHCP网络设备为DHCP RELAY时的处理流程;
图8为本发明提供的第三实施例中的系统结构图;
图9为本发明提供的第四实施例中的认证服务器的结构图;
图10为本发明提供的第五实施例中的DHCP网络设备的结构图;
图11为本发明提供的第六实施例中的用户设备的结构图。
具体实施方式
本发明利用DHCP认证机制解决安全问题,以及实现用户对网络认证;同时为解决漫游问题,将DHCP认证所需要的共享密钥用于用户接入网络的认证,另外通过DHCP网络设备发起重认证,可以有效地利用DHCP机制支持重认证。同时,认证服务器-DHCP网络设备-DHCP CLIENT之间形成级连认证关系,利用此关系完成认证服务器对用户的接入认证。本发明由于是基于对每个用户的认证,因此充分保证了安全性。
本发明提供的第一实施例是第一种实现认证的方法,其核心是:当DHCP网络设备接收到用户发送给的DHCP报文后,通过与认证服务器的交互,获取与所述用户之间进行DHCP认证时使用的认证信息;所述DHCP网络设备基于所述认证信息中用于对所述用户进行DHCP认证的信息对所述用户进行DHCP认证。在实施本发明时,用户和认证服务器之间共享一个密钥Ka或共享多个共享密钥;所述认证服务器与所述DHCP网络设备共享密钥Kd。本发明提供的第一实施例的具体实施过程如图5所示,包括如下步骤:
步骤S101,用户发送DHCP报文给DHCP网络设备,其中携带所述用户的用户标识。
步骤S102,当DHCP网络设备接收到用户发送给的DHCP报文后,其将所述DHCP报文中携带的用户标识发送给所述认证服务器,并请求对所述用户进行认证。
步骤S103,所述认证服务器接收到用户标识后,提取对应所述用户标识的认证信息,并将所述对应所述用户标识的认证信息传送给所述DHCP网络设备。
步骤S103的具体实施过程包括如下四种情况:
第一种情况:当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数为空时,所述认证服务器直接提取所述密钥Ka作为认证信息,并将其传送给所述DHCP网络设备。
第二种情况:当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数不为空时,所述认证服务器利用与用户之间共享的密钥Ka以及生成所述会话密钥Ka’的参数,生成对应的会话密钥Ka’;并将所述会话密钥Ka’以及所述生成所述会话密钥Ka’的参数等认证信息传送给所述DHCP网络设备。
第三种情况:当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数为空时,所述认证服务器将为所述用户指定的共享密钥Ka以及对应所述共享密钥Ka的选择参数等认证信息传送给所述DHCP网络设备。
第四种情况:当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数不为空时,根据所述共享密钥Ka以及生成所述会话密钥Ka’的参数生成对应的会话密钥Ka’,然后将所述会话密钥Ka’、所述生成所述会话密钥Ka’的参数以及所述对应所述共享密钥Ka的选择参数等认证信息传送给所述DHCP网络设备。
步骤S104,所述DHCP网络设备根据所述认证服务器发送给的所述认证信息得到认证用户所需的信息,并基于所述信息对所述用户进行DHCP认证。
对应步骤S103中的四种情况,步骤S104的具体实施过程也分为四种情况:
第一种情况:当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成共享密钥Ka’的参数为空时,所述DHCP网络设备根据所述认证服务器发送给的所述认证信息得到认证用户所需的信息,包括:对应所述用户的共享密钥Ka;所述DHCP网络设备利用所述密钥Ka对接收到的DHCP报文进行认证,以验证发送DHCP报文的用户的合法性,也就是说,所述DHCP网络设备利用所述密钥Ka对接收到的DHCP报文进行计算,并比较计算结果与所述DHCP报文中携带的消息认证码是否一致,若一致,则说明所述用户是合法用户。
第二种情况:当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数不为空时,所述DHCP网络设备根据所述认证服务器发送给的所述认证信息得到的认证用户所需的信息,包括:与所述用户对应的会话密钥Ka’;所述DHCP网络设备利用所述会话密钥Ka’对接收到的DHCP报文进行认证,以验证发送DHCP报文的用户的合法性,也就是说,所述DHCP网络设备利用所述会话密钥Ka’对接收到的DHCP报文进行计算,并比较计算结果与所述DHCP报文中携带的消息认证码是否一致,若一致,则说明所述用户是合法用户。
第三种情况:当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数为空时,所述DHCP网络设备根据所述认证服务器发送给的所述认证信息得到认证所述用户所需的信息,包括:所述指定的共享密钥Ka;所述DHCP网络设备利用所述密钥Ka对接收到的DHCP报文进行认证,以验证发送DHCP报文的用户的合法性,也就是说,所述DHCP网络设备利用所述密钥Ka对接收到的DHCP报文进行计算,并比较计算结果与所述DHCP报文中携带的消息认证码是否一致,若一致,则说明所述用户是合法用户。
第四种情况:当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数不为空时,所述DHCP网络设备根据所述认证服务器发送给的所述认证信息得到认证所述用户所需的信息,包括:根据所述指定的共享密钥Ka生成的会话密钥Ka’;所述DHCP网络设备利用所述会话密钥Ka’对接收到的DHCP报文进行认证,以验证发送DHCP报文的用户的合法性,也就是说,所述DHCP网络设备利用所述会话密钥Ka’对接收到的DHCP报文进行计算,并比较计算结果与所述DHCP报文中携带的消息认证码是否一致,若一致,则说明所述用户是合法用户。
步骤S105,当所述DHCP网络设备对用户DHCP认证通过后,将所述用户对应的用户标识上报给所述认证服务器,并将认证结果通知给所述认证服务器。
基于上述第一实施例还可以实现用户对网络侧的认证。具体实施过程如下:
对于第一种情况,即当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数为空时,所述用户直接根据所述密钥Ka对接收到的DHCP报文进行认证,即利用所述密钥Ka对接收到的DHCP报文进行计算,并比较计算结果与所述DHCP报文中携带的消息认证码是否一致,若一致,则说明所述DHCP网络设备是合法的。
对于其余三种情况,需要所述DHCP网络设备将认证网络所需的信息传送给所述用户;所述用户接收到后,利用所述认证网络所需的信息得到认证网络所需的认证信息,并基于所述认证信息对网络设备进行DHCP认证。具体实施过程如下:
对于第二种情况,即当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数不为空时,所述DHCP网络设备将所述生成会话密钥Ka’的参数等认证网络所需的信息传送给对应的用户;所述用户接收到所述生成会话密钥Ka’的参数后,根据共享密钥Ka以及所述生成会话密钥Ka’的参数生成对应的会话密钥Ka’,并基于所述会话密钥Ka’对网络设备进行认证。
对于第三种情况,即当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数为空时,所述DHCP网络设备将对应所指定的共享密钥Ka的选择参数发送给所述用户;所述用户根据所述选择参数从多个共享密钥中选择出对应的密钥Ka,并基于所述密钥Ka对网络设备进行认证。
对于第四种情况,即当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数不为空时,所述DHCP网络设备将对应所指定的共享密钥Ka的选择参数以及对应所指定的共享密钥Ka的所述生成会话密钥Ka’的参数,发送给所述用户;所述用户根据所述选择参数从多个共享密钥中选择出对应的密钥Ka,并基于所述密钥Ka以及所述生成会话密钥Ka’的参数计算出对应的会话密钥Ka’,并基于所述会话密钥Ka’对网络设备进行认证。
基于上述第一实施例,还可以实现认证服务器对DHCP网络设备的认证,一种方法为基于所述认证服务器与所述DHCP网络设备之间共享密钥Kd进行认证。具体实施过程如下:
在上述第一实施例执行步骤S103的同时,所述认证服务器还将认证挑战字传送给所述DHCP网络设备;
当所述DHCP网络设备接收到所述认证挑战字后,利用共享密钥Kd对所述认证挑战字进行计算,并通过报文将得到的认证返回值传送给所述认证服务器;
所述认证服务器接收到所述DHCP网络设备传送的报文后,利用所述共享密钥Kd对之前的认证挑战字进行计算,将自己计算得到的计算结果与所接收到的认证返回值进行比较,当其一致时,则认为所述DHCP网络设备合法;否则,认为不合法。
同样,基于第一实施例还可以实现DHCP网络设备对认证服务器的认证,一种方法为基于所述认证服务器与所述DHCP网络设备之间共享密钥Kd进行认证。具体实施过程如下:
所述DHCP网络设备将认证挑战字传送给所述认证服务器;
当所述认证服务器接收到所述认证挑战字后,利用共享密钥Kd对所述认证挑战字进行计算,并通过报文将计算结果传送给所述DHCP网络设备;
所述DHCP网络设备接收到所述认证服务器传送的报文后,利用所述共享密钥Kd对原认证挑战字进行计算,将自己计算得到的计算结果与所接收到的计算结果进行比较,当其一致时,则认为所述认证服务器合法;否则,认为不合法。
DHCP网络设备与认证服务器之间的双向信任可以基于共享的密码,基于互相持有对方的数字证书,基于IPsec(IP安全)或TLS(传输层安全RFC2246)等构建安全的传输通道等技术来保证,不在本专利讨论范围。
另外,基于上述第一实施例还可以实现对用户进行重认证。此时所述认证服务器触发重认证流程,并通知所述DHCP网络设备;所述DHCP网络设备接收到所述重认证的通知后,利用DHCP Force Renew(DHCP强制更新)消息携带认证信息对所述用户进行重认证。
另外,上述第一实施例还可以支持用户漫游的情况。此时在所述DHCP网络设备与所述认证服务器之间设置中继认证服务器,并通过所述中继认证服务器中继所述DHCP网络设备与所述认证服务器之间的交互信息。
上述第一实施例中所述DHCP网络设备与所述认证服务器间的交互过程采用认证协议,所述认证协议包括RADIUS协议、DIAMETER协议或EAP(RFC3748 Extensible Authentication Protocol,扩展认证协议)。
上述第一实施例中所述DHCP网络设备与所述DHCP CLIENT(DHCP客户端)之间的交互采用DHCP协议,包括遵循RFC2131的用于IPv4的DHCPv4协议和/或遵循RFC3315的用于IPv6的DHCPv6协议。所述DHCP报文包括DHCPv4的DISCOVER报文或DHCPv6的SOLICIT报文。
上述DHCP网络设备包括DHCP SERVER和DHCP中继服务器。
下面以认证协议采用RADIUS协议,DHCP网络设备为DHCP SERVER时的处理流程为例对第一实施例进行详细说明,如图6所示,包括如下步骤:
步骤1,用户发送DHCP DISCOVER报文,同时携带OPTION 90(此OPTION 90不带认证码)报文和用户ID。
步骤2,当DHCP SERVER收到DHCP DISCOVER报文后,DHCP SERVER作为认证客户端构造RADIUS接入请求认证报文,在RADIUS接入请求认证报文中,携带用户ID。
步骤3,AA-SERVER(认证服务器)接到所述RADIUS接入请求认证报文后,基于与用户共享的密钥Ka和生成会话密钥Ka’的参数(图6中的nonce随机码),产生一个用于DHCP认证的认证密钥,如会话密钥Ka’,然后将所述会话密钥Ka’以及所述参数发送给所述DHCP SERVER。
如果AA-SERVER也需要认证DHCP SERVER,也需要同时向DHCPSERVER发送一个认证挑战字,如图6中的challenge。
步骤4,DHCP SERVER利用Ka’生成option90字段,连同nonce值,发送给DHCP CLIENT。
步骤5,DHCP CLIENT收到nonce值后,结合与网络共享的密钥Ka,生成会话密钥Ka’,并利用所述Ka’验证DHCP SERVER发来的报文,以实现对网络的认证。
步骤6,DHCP CLIENT发送DHCP REQ(DHCP请求)报文,携带option90及用户ID。
步骤7,DHCP SERVER按照option90标准完成对DHCP REQ消息的认证,如果通过,则认为用户通过了网络认证。
DHCP SERVER发送ACCESS REQ(认证请求)报文到认证服务器,这次请求携带有用户ID,如果需要对DHCP SERVER认证,还带有认证的返回值,即图6中的“challenge resp using Kd(利用Kd计算出的挑战字)”。
步骤8,AA-SERVER接收到DHCP SERVER发送的认证请求报文后,利用共享密钥Kd对步骤3发送的认证挑战字进行计算,并将计算结果与所述认证请求报文中携带的认证返回值一致时,则认为所述DHCP SERVER合法。
AA-SERVER通过了对DHCP SERVER的认证后,同时也通过了对DHCPSERVER携带用户的认证。
认证服务器返回认证通过ACCESS ACCEPT(认证通过)报文。
步骤9,DHCP SERVER返回给用户带有DHCP option90的DHCP ACK(DHCP响应)报文,完成认证和地址指定过程。
当支持用户漫游时,AA-SERVER发现用户不是本地用户,可通过认证漫游接口寻找到用户家乡网络的AA-SERVER,此时nonce值和会话密钥Ka’由家乡网络的AA-SERVER给出,同时认证通过该家乡网络的AA-SERVER中继给上述AA-SERVER认证服务器。
对于重认证,首先需要认证协议支持重认证,然后DHCP SERVER可利用DHCP协议中约定的Force Renew过程与option90标准结合,完成重认证。其中所述Force Renew过程遵循RFC3203标准。
上述仅仅是以认证协议采用RADIUS协议进行说明的,本发明不限于RADIUS协议。
以认证协议采用RADIUS协议,DHCP网络设备为DHCP RELAY为例对第一实施例进行详细说明,在此实例中,DHCP RELAY实体实现认证客户端功能,认证服务器与DHCP RELAY共享密钥Kd,DHCP RELAY对从用户端发来的携带OPTION 90的DHCP消息,进行基于消息的认证后,去除option90,与DHCP SERVER进行无option90的DHCP过程,而对DHCP SERVER发来的DHCP消息,增加option90,与用户进行DHCP option90保护的消息认证过程。具体实施过程如图7所示,包括如下步骤:
步骤1,用户发送DHCP DISCOVER报文,同时携带OPTION 90(此OPTION 90不带认证码)报文和用户ID。
步骤2,当DHCP RELAY收到DHCP DISCOVER报文后,DHCP RELAY作为认证客户端构造RADIUS ACCESS REQ(接入请求认证)报文,在RADIUS接入请求认证报文中,携带用户ID。
步骤3,AA-SERVER接到所述RADIUS接入请求认证报文后,基于与用户共享的密钥Ka和生成会话密钥Ka’的参数(图7中的nonce随机码),产生一个用于DHCP认证的认证密钥,如会话密钥Ka’,然后将所述会话密钥Ka’以及所述参数发送给所述DHCP RELAY。
如果AA-SERVER也需要认证DHCP SERVER,也需要同时向DHCPRELAY发送一个认证挑战字,如图7中的challenge。
步骤4,DHCP RELAY发送DHCP DISCOVER给DHCP SERVER,不携带option90。
步骤5,DHCP SERVER发送Dhcp Offer给DHCP RELAY。
步骤6,DHCP RELAY利用Ka’生成option90字段,并通过Dhcp Offer报文,将所述option90字段和nonce值,发送给DHCP CLIENT。
步骤7,DHCP CLIENT收到nonce值后,结合与网络共享的密钥Ka,生成会话密钥Ka’,并利用所述Ka’验证DHCP RELAY发来的报文,以实现对网络的认证。
步骤8,DHCP CLIENT发送DHCP REQ报文,携带利用所述Ka’生成的option90字段以及用户ID。
步骤9,DHCP RELAY按照option90标准完成对DHCP REQ消息的认证,如果通过,则认为用户通过了网络认证。
步骤10,DHCP RELAY发送认证请求报文到认证服务器,这次请求携带有用户ID,如果需要对DHCP网络设备认证,还带有认证的返回值,即图7中的“challenge resp using Kd(利用Kd计算出的认证返回值)”。
步骤11,AA-SERVER接收到DHCP RELAY发送的ACCESS REQ认证请求报文后,利用共享密钥Kd对步骤3中发送的挑战字进行计算,并将计算结果与所述认证请求报文中携带的认证返回值一致时,则认为所述DHCP RELAY合法,于是发送ACCESS ACCEPT给所述DHCP RELAY。
步骤12,所述DHCP RELAY发送DHCP REQ给DHCP SERVER。
步骤13,所述DHCP SERVER回送DHCPACK给所述DHCP RELAY。
步骤14,DHCP RELAY返回给用户带有DHCP option90的DHCP ACK报文,完成认证和地址指定过程。
当支持用户漫游时,AA-SERVER发现用户不是本地用户,可通过认证漫游接口寻找到用户家乡网络的AA-SERVER,此时nonce值和Ka’由家乡网络的AA-SERVER给出,同时认证通过该家乡网络的AA-SERVER中继给上述AA-SERVER认证服务器。
对于重认证,首先需要认证协议支持重认证,然后DHCP RELAY可利用DHCP协议中约定的Force Renew过程与option90标准结合,完成重认证。其中所述Force Renew过程遵循RFC3203标准。
本发明提供的第二实施例是第二种实现认证的方法,其主要思想是:用户对网络设备进行认证。其主要实现过程如下:
首先,用户发送DHCP报文给DHCP网络设备。
当DHCP网络设备接收到用户发送的DHCP报文后,通过与认证服务器的交互,获取对应所述用户的认证信息。此过程与第一实施例中的相关描述雷同,这里不再详细描述。获得的对应所述用户的认证信息包括如下信息:根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,所述认证服务器与所述用户之间共享的密钥Ka;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及对应所述指定的共享密钥Ka的会话密钥Ka’以及生成会话密钥Ka’的参数。
当所述生成会话密钥Ka’的参数为空时,并且用户与认证服务器之间共享一个密钥Ka时,所述用户可以直接根据所述密钥Ka对网络设备进行认证。
当所述生成会话密钥Ka’的参数为空,并且用户与认证服务器之间共享多个密钥时;或者当所述生成会话密钥Ka’的参数不为空时,需要所述DHCP网络设备将获取的所述认证信息中的认证网络所需信息发送给所述用户设备;然后,所述用户基于所述认证网络所需信息生成认证网络的认证信息,并基于生成的所述认证信息认证网络设备。其中,所述的所述认证信息中的认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。所述认证网络的认证信息包括:根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,根据选择参数选择的对应共享密钥Ka;或,根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。此部分的具体实施过程如下:
当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数不为空时,所述用户接收到所述生成会话密钥Ka’的参数后,根据共享密钥Ka以及所述生成会话密钥Ka’的参数生成对应的会话密钥Ka’,并基于所述会话密钥Ka’对网络设备进行认证。
当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数为空时,所述用户根据所述选择参数从多个共享密钥中选择出对应的密钥Ka,并基于所述密钥Ka对网络设备进行认证。
当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数不为空时,所述用户根据所述选择参数从多个共享密钥中选择出对应的密钥Ka,并基于所述密钥Ka以及所述生成会话密钥Ka’的参数计算出对应的会话密钥Ka’,并基于所述会话密钥Ka’对网络设备进行认证。
本发明提供的第三实施例是一种认证系统,其结构如图8所示,包括:认证服务器、DHCP网络设备和用户设备。
其中所述认证服务器包括用户信息获取单元、认证信息生成单元和认证信息传输单元,当需要对所述DHCP网络设备进行认证时,所述认证服务器还包括第一认证单元。
所述DHCP网络设备包括认证信息获取单元、DHCP认证单元;所述DHCP网络设备还可以包括通知单元;当需要对所述认证服务器进行认证时,所述DHCP网络设备还可以包括第二认证单元;当需要实现用户对网络认证时,还需要所述DHCP网络设备包括认证网络所需信息传输单元。
所述用户设备包括DHCP报文传输单元和认证网络单元。
下面描述认证服务器、DHCP网络设备和用户设备之间的信号传递和处理关系:
所述用户设备通过所述DHCP报文传输单元发送用户的DHCP报文给所述DHCP网络设备,其中携带所述用户的用户标识。
所述DHCP网络设备将所述用户标识传送给所述认证服务器。
所述认证服务器通过用户信息获取单元从接收到的所述DHCP网络设备发送的报文中获取用户的用户标识;
然后通过所述认证信息生成单元根据所述用户标识提取或生成对应所述用户的认证信息;所述认证信息包括:根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,所述认证服务器与所述用户之间共享的密钥Ka;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及对应所述指定的共享密钥Ka的会话密钥Ka’以及生成会话密钥Ka’的参数。
最后通过所述认证信息传输单元传输所述认证信息生成单元得到的所述认证信息给所述DHCP网络设备。
如果需要认证服务器对所述DHCP网络设备进行认证,还需要通过第一认证单元利用与所述DHCP网络设备间共享的密钥Kd对接收到的报文进行认证。具体认证过程雷同于方法实施例中的相关描述,这里不再详细描述。
当所述认证服务器发送给的所述认证信息到达所述DHCP网络设备后,所述DHCP网络设备进行如下处理:
所述DHCP网络设备通过认证信息获取单元接收到所述认证服务器发送给的所述认证信息;所述认证信息中认证客户端所需信息包括:所述用户和所述认证服务器共享的密钥Ka;或,由所述用户和所述认证服务器共享的密钥Ka生成的会话密钥Ka’。
然后通过所述DHCP认证单元根据所述认证信息获取单元获得的认证信息中认证客户端所需信息对所述用户进行DHCP认证。
当认证结束后,通过通知单元将所述用户的用户标识,以及对所述用户的认证结果通知所述认证服务器。当需要对所述认证服务器进行认证时,所述DHCP网络设备通过第二认证单元利用与所述认证服务器间共享的密钥Kd对接收到的报文进行认证。具体认证过程雷同于方法实施例中的相关描述,这里不再详细描述。
当需要实现用户对网络设备的认证时,需要用户设备进行如下处理:
当所述用户与所述认证服务器之间共享一个密钥Ka,并且所述生成会话密钥Ka’的参数为空时,则所述用户设备仅仅通过认证网络单元基于共享密钥Ka就可以对DHCP网络设备发送给的DHCP报文进行认证,以实现对网络设备的认证。
当所述用户与所述认证服务器之间共享多个密钥,并且所述生成会话密钥Ka’的参数为空时;或者,无论用户与所述认证服务器之间共享一个还是共享多个密钥,所述生成会话密钥Ka’的参数不为空时,需要进行如下的处理:
所述DHCP网络设备通过认证网络所需信息传输单元传输DHCP报文,将所述认证信息获取单元获得的认证信息中认证网络所需信息发送给所述用户设备。所述认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
当DHCP网络设备发送的DHCP报文到达所述用户设备后,所述用户设备的处理情况如下:
所述用户设备通过DHCP报文传输单元接收DHCP网络设备发送给的DHCP报文。
然后通过认证网络单元对从所述DHCP报文传输单元接收到的DHCP报文中获得认证网络所需信息,并根据所述认证网络所需信息生成对网络设备进行DHCP认证的认证信息。其中所述认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
其中所述对网络设备进行DHCP认证的认证信息包括:根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,根据选择参数选择的对应共享密钥Ka;或,根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。
具体根据所述认证网络所需信息生成对网络设备进行DHCP认证的认证信息的具体处理过程如下:
用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数不为空时,所述用户设备根据接收到所述生成会话密钥Ka’的参数后,根据共享密钥Ka以及所述生成会话密钥Ka’的参数生成对应的会话密钥Ka’。
当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且生成会话密钥Ka’的参数为空时,所述用户根据接收到的对应所述指定的共享密钥Ka的选择参数从多个共享密钥中选择出对应的密钥Ka。
当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且生成会话密钥Ka’的参数不为空时,所述用户设备根据接收到的对应所述指定的共享密钥Ka的选择参数从多个共享密钥中选择出对应的密钥Ka,并基于所述密钥Ka以及所述生成会话密钥Ka’的参数计算出对应的会话密钥Ka’。
最后通过认证网络单元根据所述得到的所述对网络设备进行DHCP认证的认证信息对网络设备进行认证。具体认证过程雷同于方法实施例中的相关描述,这里不再详细描述。
为了支持用户漫游,本发明基于上述提供的第三实施例,增加了中继认证服务器。当用户处于漫游状态时,通过所述中继认证服务器中继所述认证服务器与所述DHCP网络设备之间交互的信息。
上述所述DHCP网络设备包括:DHCP服务器或DHCP中继服务器。
本发明提供的第四实施例是一种认证服务器,其结构如图9所示,包括:用户信息获取单元、认证信息生成单元和认证信息传输单元。
当DHCP网络设备发送的报文到达所述认证服务器后,所述认证服务器通过所述用户信息获取单元从接收到的所述DHCP网络设备发送的报文中获取用户的用户标识;
然后通过所述认证信息生成单元根据所述用户标识提取或生成对应所述用户标识的认证信息;所述认证信息包括:根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,所述认证服务器与所述用户之间共享的密钥Ka;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及对应所述指定的共享密钥Ka的会话密钥Ka’以及生成会话密钥Ka’的参数。
最后通过所述认证信息传输单元传输所述认证信息生成单元得到的所述认证信息给所述DHCP网络设备。
如果需要对所述DHCP网络设备进行认证,还需要通过第一认证单元利用与所述DHCP网络设备间共享的密钥Kd对接收到的报文进行认证。具体认证过程雷同于方法实施例中的相关描述,这里不再详细描述。
本发明提供的第五实施例是一种DHCP网络设备,其结构如图10所示,包括:认证信息获取单元、DHCP认证单元;所述DHCP网络设备还可以包括通知单元;当需要对所述认证服务器进行认证时,所述DHCP网络设备还可以包括第二认证单元;当需要实现用户对网络认证时,还需要所述DHCP网络设备包括认证网络所需信息传输单元。
所述DHCP网络设备通过认证信息获取单元接收到所述认证服务器发送给的认证信息;所述认证信息包括:根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,所述认证服务器与所述用户之间共享的密钥Ka;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及对应所述指定的共享密钥Ka的会话密钥Ka’以及生成会话密钥Ka’的参数。
然后通过所述DHCP认证单元根据所述认证信息获取单元获得的认证信息中认证客户端所需信息对所述用户进行DHCP认证。所述认证信息中认证客户端所需信息包括:所述用户和所述认证服务器共享的密钥Ka;或,由所述用户和所述认证服务器共享的密钥Ka生成的会话密钥Ka’。
当认证结束后,通过通知单元将所述用户的用户标识,以及对所述用户的认证结果通知所述认证服务器。当需要对所述认证服务器进行认证时,所述DHCP网络设备通过第二认证单元利用与所述认证服务器间共享的密钥Kd对接收到的报文进行认证。具体认证过程雷同于方法实施例中的相关描述,这里不再详细描述。
当需要实现用户对网络的认证时,所述DHCP网络设备通过认证网络所需信息传输单元传输DHCP报文,将所述认证信息获取单元获得的认证信息中认证网络所需信息发送给所述用户设备。所述认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
第五实施例中的DHCP网络设备包括DHCP服务器或DHCP中继服务器。
本发明提供的第六实施例是一种用户设备,其结构如图11所示,包括:DHCP报文传输单元、认证信息产生单元和认证网络单元。
所述用户设备通过DHCP报文传输单元接收DHCP报文,通过认证信息产生单元从接收到的DHCP报文中获得认证网络所需信息,并根据所述认证网络所需信息生成对认证网络的认证信息。
其中所述认证网络所需信息包括:所述生成会话密钥Ka’的参数;或,对应所述指定的共享密钥Ka的选择参数;对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
所述认证网络的认证信息包括:根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,根据选择参数选择的对应共享密钥Ka;或,根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。
根据所述认证网络所需信息生成认证网络的认证信息的过程具体如下:
当用户与所述认证服务器之间共享一个共享密钥Ka时,并且所述生成会话密钥Ka’的参数不为空时,所述用户设备根据接收到所述生成会话密钥Ka’的参数后,根据共享密钥Ka以及所述生成会话密钥Ka’的参数生成对应的会话密钥Ka’。
当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数为空时,所述用户根据接收到的对应所述指定的共享密钥Ka的选择参数从多个共享密钥中选择出对应的密钥Ka。
当用户与所述认证服务器之间共享多个共享密钥时,所述认证服务器为所述用户指定一个共享密钥Ka,并且当生成会话密钥Ka’的参数不为空时,所述用户设备根据接收到的对应所述指定的共享密钥Ka的选择参数从多个共享密钥中选择出对应的密钥Ka,并基于所述密钥Ka以及所述生成会话密钥Ka’的参数计算出对应的会话密钥Ka’。
之后所述用户设备通过通过认证网络单元根据所述认证信息生成单元得到的所述对网络设备进行DHCP认证的认证信息对网络设备进行认证。具体认证过程雷同于方法实施例中的相关描述,这里不再详细描述。
由上述可以看出,本发明中通过DHCP网络设备与认证服务器的交互,获取对应所述用户的认证信息;然后基于所述认证信息中的认证客户端所需信息对所述用户进行DHCP认证的技术,能够针对用户进行安全认证,不仅保证了用户的安全性,而且保证了网络设备的安全性。另外,本发明通过DHCP认证机制,能够实现用户对网络的认证;通过增加的中继认证服务器,能够实现漫游地对用户的有效认证;通过认证服务器能够发起重认证过程,使本发明能够支持网络对用户的重认证。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (34)
1、一种实现认证的方法,其特征在于,包括:
A、当动态主机配置协议DHCP网络设备接收到用户发送的DHCP报文后,通过与认证服务器的交互,获取对应所述用户的认证信息;
B、所述DHCP网络设备基于所述认证信息中的认证客户端所需信息对所述用户进行DHCP认证。
2、如权利要求1所述的方法,其特征在于,还包括:
所述DHCP网络设备对用户DHCP认证结束后,将所述用户的用户标识上报给所述认证服务器,并将认证结果通知给所述认证服务器。
3、如权利要求1所述的方法,其特征在于,所述步骤A具体包括:
用户发送DHCP报文给DHCP网络设备,其中携带所述用户的用户标识;
当DHCP网络设备接到DHCP报文后,将所述用户标识报给认证服务器;
所述认证服务器根据所述用户标识提取或生成对应所述用户标识的认证信息,并将其发送给所述DHCP网络设备;
所述DHCP网络设备根据所述认证服务器发送的信息获取到所述认证信息。
4、如权利要求1、2或3所述的方法,其特征在于,所述认证信息包括:
根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,
所述认证服务器与所述用户之间共享的密钥Ka;或,
当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,
当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及根据所述指定的共享密钥Ka生成的会话密钥Ka’以及生成会话密钥Ka’的参数。
5、如权利要求4所述的方法,其特征在于,当所述生成会话密钥Ka’的参数为空时,所述认证信息中的认证客户端所需信息包括:所述用户和所述认证服务器共享的密钥Ka;或,
当所述生成会话密钥Ka’的参数不为空时,由所述用户和所述认证服务器共享的密钥Ka生成的会话密钥Ka’。
6、如权利要求5所述的方法,其特征在于,还包括:
当用户与所述认证服务器之间共享一个共享密钥Ka并且所述生成会话密钥Ka’的参数为空时,所述用户基于共享密钥Ka对网络设备进行认证;否则,所述用户获取所述DHCP网络设备获得的所述认证信息中的认证网络所需信息;并基于所述认证网络所需信息生成认证网络的认证信息,并基于生成的所述认证信息认证网络设备。
7、如权利要求6所述的方法,其特征在于,所述认证信息中的认证网络所需信息包括:
所述生成会话密钥Ka’的参数;或,
对应所述指定的共享密钥Ka的选择参数;
对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
8、如权利要求6所述的方法,其特征在于,所述认证网络的认证信息包括:
根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,
根据选择参数选择的对应共享密钥Ka;或,
根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。
9、如权利要求1所述的方法,其特征在于,还包括:
所述认证服务器对所述DHCP网络设备进行认证;和/或,所述DHCP网络设备对所述认证服务器进行认证。
10、如权利要求1所述的方法,其特征在于,当所述认证服务器对所述用户进行重认证时,还包括:
所述认证服务器发起重认证流程,并通知所述DHCP网络设备;
所述DHCP网络设备接收到所述重认证的通知后,利用DHCP强制更新Force Renew消息携带DHCP认证信息对所述用户进行重认证。
11、如权利要求1、9或10所述的方法,其特征在于,当网络支持用户漫游时,在所述DHCP网络设备与所述认证服务器之间设置中继认证服务器,并通过所述中继认证服务器中继所述DHCP网络设备与所述认证服务器之间的交互信息。
12、如权利要求1所述的方法,其特征在于,所述DHCP网络设备包括:DHCP服务器和DHCP中继服务器。
13、一种实现认证的方法,其特征在于,包括:用户对网络设备进行认证;
所述用户对网络设备进行认证的过程具体包括:
当DHCP网络设备接收到用户发送的DHCP报文后,通过与认证服务器的交互,获取对应所述用户的认证信息;当生成会话密钥Ka’的参数为空,并且所述用户与认证服务器之间共享一个密钥Ka时,所述用户基于所述共享密钥Ka认证网络设备,否则,所述用户通过所述DHCP网络设备获取的所述认证信息中的认证网络所需信息;并基于所述认证网络所需信息生成认证网络的认证信息,并基于生成的所述认证信息认证网络设备。
14、如权利要求13所述的方法,其特征在于,获取的对应所述用户的认证信息包括:
根据所述认证服务器与所述用户之间共享的密钥Ka生成的对应所述用户的会话密钥Ka’以及生成会话密钥Ka’的参数;或,
当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka以及对应所述指定的共享密钥Ka的选择参数;或,
当所述认证服务器与所述用户之间共享多个密钥时,所述认证服务器为所述用户指定的共享密钥Ka的选择参数,以及根据所述指定的共享密钥Ka生成的会话密钥Ka’以及生成会话密钥Ka’的参数。
15、如权利要求13所述的方法,其特征在于,所述认证信息中的认证网络所需信息包括:
所述生成会话密钥Ka’的参数;或,
对应所述指定的共享密钥Ka的选择参数;
对应所述指定的共享密钥Ka的选择参数以及对应所述指定的共享密钥Ka的所述生成会话密钥Ka’的参数。
16、如权利要求13所述的方法,其特征在于,所述认证网络的认证信息包括:
根据所述共享密钥Ka和所述生成会话密钥Ka’的参数生成的会话密钥Ka’;或,
根据选择参数选择的对应共享密钥Ka;或,
根据选择参数选择的对应共享密钥Ka以及生成会话密钥Ka’的参数,生成的会话密钥Ka’。
17、一种认证系统,其特征在于,包括:
认证服务器、DHCP网络设备和用户设备;
所述认证服务器,用于当接收到DHCP网络设备发送的携带用户信息的报文后,提供对应所述用户的认证信息给所述DHCP网络设备;
所述DHCP网络设备,用于当接收到所述用户设备发送的DHCP报文后,将DHCP报文携带的用户信息发送给所述认证服务器,并通过与所述认证服务器的交互获取对应所述用户的所述认证信息;并基于所述认证信息中认证客户端所需信息对用户进行DHCP认证。
18、如权利要求17所述的认证系统,其特征在于,所述认证服务器包括:
用户信息获取单元、认证信息生成单元和认证信息传输单元;
所述用户信息获取单元,用于从接收到的所述DHCP网络设备发送的报文中获取用户的用户标识;
所述认证信息生成单元,用于根据所述用户标识提取或生成对应所述用户的认证信息;
所述认证信息传输单元,用于传输所述认证信息生成单元得到的所述认证信息给所述DHCP网络设备。
19、如权利要求18所述的认证系统,其特征在于,所述认证服务器还包括:第一认证单元,用于对所述DHCP网络设备进行认证。
20、如权利要求17所述的认证系统,其特征在于,所述DHCP网络设备包括:
认证信息获取单元,用于通过与所述认证服务器的交互获取所述认证信息;
DHCP认证单元,用于根据所述认证信息获取单元获得的认证信息中认证客户端所需信息对所述用户进行DHCP认证。
21、如权利要求20所述的认证系统,其特征在于,所述DHCP网络设备还包括:通知单元,用于将所述用户的用户标识,以及对所述用户的认证结果通知所述认证服务器。
22、如权利要求20或21所述的认证系统,其特征在于,所述DHCP网络设备还包括:第二认证单元,用于对所述认证服务器进行认证。
23、如权利要求22所述的认证系统,其特征在于,所述DHCP网络设备还包括:认证网络所需信息传输单元,用于通过传输的DHCP报文发送所述认证信息获取单元获得的认证信息中认证网络所需信息。
24、如权利要求17所述的认证系统,其特征在于,所述用户设备包括:
DHCP报文传输单元和认证网络单元;
所述DHCP报文传输单元,用于发送用户的DHCP报文和接收DHCP网络设备发送给的DHCP报文;
所述认证网络单元,用于当用户与网络设备共享一个密钥,且生成会话密钥Ka’的参数为空时,基于共享密钥Ka对网络设备进行认证;否则,用于从所述DHCP报文传输单元接收到的DHCP报文中获得认证网络所需信息,并根据所述认证网络所需信息生成认证网络的认证信息;然后,根据所述认证网络的认证信息对网络设备进行认证。
25、如权利要求17所述的认证系统,其特征在于,还包括:中继认证服务器,用于当用户处于漫游状态时,中继所述认证服务器与所述DHCP网络设备之间交互的信息。
26、如权利要求17所述的认证系统,其特征在于,所述DHCP网络设备包括:DHCP服务器和DHCP中继服务器。
27、一种认证服务器,其特征在于,包括:
用户信息获取单元、认证信息生成单元和认证信息传输单元;
所述用户信息获取单元,用于从接收到的所述DHCP网络设备发送的报文中获取用户的用户标识;
所述认证信息生成单元,用于根据所述用户标识提取或生成对应所述用户标识的认证信息;
所述认证信息传输单元,用于传输所述认证信息生成单元得到的所述认证信息给所述DHCP网络设备。
28、如权利要求27所述的认证服务器,其特征在于,所述认证服务器还包括:第一认证单元,用于对所述DHCP网络设备进行认证。
29、一种DHCP网络设备,其特征在于,包括:
认证信息获取单元,用于通过与所述认证服务器之间的交互获取对应所述用户的认证信息;
DHCP认证单元,用于根据所述认证信息获取单元获得的所述认证信息中认证客户端所需信息对所述用户进行DHCP认证。
30、如权利要求29所述的DHCP网络设备,其特征在于,还包括:通知单元,用于将所述用户的用户标识,以及对所述用户的认证结果通知给所述认证服务器。
31、如权利要求29或30所述的DHCP网络设备,其特征在于,还包括:第二认证单元,用于对所述认证服务器进行认证。
32、如权利要求31所述的DHCP网络设备,其特征在于,还包括:认证网络所需信息传输单元,用于通过传输的DHCP报文发送所述认证信息获取单元获得的认证信息中认证网络所需信息。
33、如权利要求29所述的DHCP网络设备,其特征在于,所述DHCP网络设备包括:DHCP服务器和DHCP中继服务器。
34、一种用户设备,其特征在于,所述用户设备包括:
认证信息产生单元和认证网络单元;
所述认证信息产生单元,用于从接收到的DHCP报文中获得认证网络所需信息,并根据所述认证网络所需信息生成认证网络的认证信息;
所述认证网络单元,用于根据所述认证网络的认证信息对网络设备进行认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610127666A CN100591013C (zh) | 2006-09-05 | 2006-09-05 | 实现认证的方法和认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610127666A CN100591013C (zh) | 2006-09-05 | 2006-09-05 | 实现认证的方法和认证系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101141253A CN101141253A (zh) | 2008-03-12 |
CN100591013C true CN100591013C (zh) | 2010-02-17 |
Family
ID=39193022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610127666A Expired - Fee Related CN100591013C (zh) | 2006-09-05 | 2006-09-05 | 实现认证的方法和认证系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100591013C (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5143198B2 (ja) * | 2010-08-24 | 2013-02-13 | 株式会社バッファロー | ネットワーク中継装置 |
CN102487505B (zh) * | 2010-12-06 | 2015-05-27 | 中国移动通信集团河南有限公司 | 一种传感器节点的接入认证方法、装置及系统 |
CN102651736B (zh) * | 2011-02-28 | 2014-12-03 | 华为技术有限公司 | 基于dhcp的认证方法、dhcp服务器及客户端 |
CN102123157B (zh) * | 2011-03-03 | 2013-12-04 | 上海华为技术有限公司 | 一种认证方法及系统 |
TWI479906B (zh) * | 2011-05-20 | 2015-04-01 | Wistron Corp | 網路連線之認證方法以及使用該方法的網路裝置與網路認證系統 |
CN102810064A (zh) * | 2011-05-30 | 2012-12-05 | 海尔集团公司 | 用于电器设备的用户侧信息加载方法和电器设备 |
KR101252787B1 (ko) | 2011-12-06 | 2013-04-09 | 이청종 | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 |
CN102497378B (zh) * | 2011-12-15 | 2015-03-18 | 杭州华三通信技术有限公司 | 为客户端动态选择dhcp服务器的方法和装置 |
CN102710811B (zh) * | 2012-06-14 | 2016-02-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
US9215228B1 (en) * | 2014-06-17 | 2015-12-15 | Cisco Technology, Inc. | Authentication of devices having unequal capabilities |
US9801055B2 (en) * | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
CN106330442B (zh) * | 2015-06-17 | 2020-04-28 | 中兴通讯股份有限公司 | 身份认证方法、装置及系统 |
CN106357486A (zh) * | 2016-08-18 | 2017-01-25 | 杭州迪普科技有限公司 | 一种网络用户接入方法和装置 |
CN112839334B (zh) | 2017-08-28 | 2022-06-28 | 华为技术有限公司 | 一种信息验证方法及相关设备 |
-
2006
- 2006-09-05 CN CN200610127666A patent/CN100591013C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101141253A (zh) | 2008-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100591013C (zh) | 实现认证的方法和认证系统 | |
CN101127600B (zh) | 一种用户接入认证的方法 | |
JP4666169B2 (ja) | 信頼されないアクセス局を介した通信方法 | |
US7342906B1 (en) | Distributed wireless network security system | |
US9344417B2 (en) | Authentication method and system | |
US20100107223A1 (en) | Network Access Method, System, and Apparatus | |
CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
JP2007180998A (ja) | 無線網制御装置及び無線網制御システム | |
CN101478576A (zh) | 选择服务网络的方法、装置和系统 | |
KR20150017891A (ko) | 무선 통신 시스템에서 기기 등록 및 인증을 수행하는 방법 및 장치 | |
CN102572005A (zh) | 一种ip地址分配方法和设备 | |
CN101621374A (zh) | 一种网络认证的方法、装置、系统及服务器 | |
CN111194035B (zh) | 一种网络连接方法、装置和存储介质 | |
CN101668017A (zh) | 一种认证方法和设备 | |
CN102263793A (zh) | 一种mtc服务器权限验证控制方法、系统及装置 | |
CN101800686A (zh) | 业务实现方法、装置和系统 | |
CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
CN101272247A (zh) | 基于dhcp实现用户认证的方法及设备及系统 | |
EP3758401A1 (en) | Method and device for obtaining local domain name | |
JP2008263445A (ja) | 接続設定システム、認証装置、無線端末、及び接続設定方法 | |
CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
CN101232369B (zh) | 动态主机配置协议中密钥分发方法和系统 | |
KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
CN205693897U (zh) | Lte电力无线专网的二次身份认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100217 Termination date: 20170905 |
|
CF01 | Termination of patent right due to non-payment of annual fee |