CN101127600A - 一种用户接入认证的方法 - Google Patents
一种用户接入认证的方法 Download PDFInfo
- Publication number
- CN101127600A CN101127600A CNA2006101154464A CN200610115446A CN101127600A CN 101127600 A CN101127600 A CN 101127600A CN A2006101154464 A CNA2006101154464 A CN A2006101154464A CN 200610115446 A CN200610115446 A CN 200610115446A CN 101127600 A CN101127600 A CN 101127600A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- message
- dhcp
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Abstract
本发明为一种用户接入认证的方法,包括:在接入认证过程中,用户向网络侧发起请求,网络侧为用户下发随机数;用户利用所述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧;网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证;如果认证通过,所述用户使用DHCP服务器分配的IP地址,接入网络。本发明使密码传递更为安全,避免了IP地址的浪费,并且能有效的防止非法用户的攻击。
Description
技术领域
本发明涉及网络安全认证技术,特别涉及一种用户接入认证的方法。
背景技术
动态主机配置协议(DHCP:Dynamic Host Configuration Protocol)基于客户端-服务器的模式,它能够为网络上的主机动态的分配IP地址和其他配置信息。图1详细说明了DHCP服务器为DHCP客户端动态分配IP地址的过程:
(1)发现阶段:即DHCP客户端(Client)寻找DHCP服务器(Server)的阶段。
当DHCP客户端第一次登录网络的时候,它会向网络广播一个DHCP发现(Discover)消息。
(2)提供阶段:即DHCP服务器提供IP地址的阶段。
每个有空闲地址的DHCP服务器都发出DHCP提供(Offer)消息来响应这个DHCP Discover消息。
(3)选择阶段:即DHCP客户端选择某个DHCP服务器提供的IP地址的阶段。
如果客户端收到网络上多台DHCP服务器的回应,就会挑选其中一个DHCPOffer(通常是最先抵达的那个),并且会向网络发送一个DHCP请求(Request)广播数据包,告诉所有DHCP服务器它将指定接受哪一台服务器提供IP地址。
(4)确认阶段,即DHCP服务器确认所提供的IP地址的阶段。
当DHCP服务器接收到客户端的DHCP请求(Request)之后,会向客户端发出一个DHCP确认(Ack)消息,以确认IP租约的正式生效,也就结束了一个完整的DHCP工作过程。
另外,除DHCP客户端选中的DHCP服务器外,其他的DHCP服务器都将回收曾提供的IP地址。
目前主要的接入认证技术主要有以下三种:以太网上的点对点协议(Point-to-Point Protocol over Ethernet,PPPoE),DHCP+Web以及IEEE802.1x。以下分别对这三种认证方式进行简单说明:
(一)PPPoE工作过程:
PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。
Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符(Session ID),同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程:PPP会话阶段主要是链路控制协议(LinkControl Protocol,LCP)、认证、网络控制协议(Network Control Protocol,NCP)的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商,NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和域名服务器(DNS)等工作。
PPPoE协议是传统公共交换电话网(PSTN)窄带拨号接入技术在以太网接入技术的延伸,它和原有窄带网络用户接入认证体系一致,最终用户相对比较容易接受。但是它的缺点也很明显:
(1)在PPPoE认证中,认证系统必须将每个包进行拆解才能判断和识别用户是否合法,一旦用户增多或者数据包增大,封装速度必然跟不上,成为了网络瓶颈;
(2)PPPoE认证完成后,业务数据流也必须经过宽带接入服务器(BAS)设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵;
(3)组播业务开展困难,而视频业务大部分是基于组播的;
(4)需要运营商提供客户终端软件,维护工作量过大。
(二)DHCP+Web工作过程:
DHCP+Web认证需要与DHCP服务器和Web服务器配合使用。用户首先通过DHCP得到一个IP地址,这个IP地址的目的是与Web服务器通信,也可以使用户只访问一些内部服务器;宽带远程接入服务器(Broadband Remote Access Server,BRAS)将用户强制连接到Web服务器上,并在浏览器中弹出认证页面。在该页面中,用户输入帐号和密码;BRAS收到用户的信息,对用户的合法性进行检查,到AAA服务器对用户进行认证;认证通过后,用户可以获得新的合法的IP地址,使得用户可以访问外部因特网或特定的网络服务。
这种方式使认证和业务流实现了分离,并可以方便地利用Web服务器推出增值业务,对用户进行业务宣传及业务引导,DHCP+Web可以实现较多的增值业务,同时可以很好的支持组播业务。它的缺陷如下:
(1)Web承载在应用层上,对于设备的要求较高,建网成本高;
(2)用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
(3)易用性不够好,用户在访问网络前,不管是Telnet、Ftp还是其它业务,必须使用浏览器进行Web认证;
(4)IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP(因特网服务提供商)的支持;
(5)DHCP+Web目前没有统一的标准。
(三)IEEE802.1X工作过程:
802.1X技术是基于端口的认证技术,其认证阶段采用扩展认证协议(EAP)报文,EAP报文是PPP报文的扩展,其认证阶段与PPPoE方式类似。其认证过程为:用户通过802.1X客户端软件采用基于局域网的EAP报文(EAPoL报文)发起认证,交换机终结EAPoL报文并向认证服务器转发EAP报文,认证通过后,DHCP服务器为用户分配IP地址,用户受控端口打开,允许用户正常通信。该认证方式的缺点是:
(1)需要特定客户端软件:由于802.1X目前没有标准的客户端,不同厂商客户端程序不同,维护工作量较大;
(2)IP地址分配和网络安全问题:802.1X协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1X,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
(3)802.1X在用户控制能力方面较弱,只能进行端口/带宽的控制;
另外,在现有技术中还提供了一种通过DHCP协议实现用户接入的认证方法。处理过程如下(如图2所示):
(1)用户设备基于密码和会话参数(由用户设备产生)生成一个证书。
(2)用户设备组建DHCP Discover消息发给认证设备,消息中包含用户标识符、会话参数以及步骤(1)中产生的证书。
(3)认证设备基于接收到的会话参数和相关的密码产生一个验证证书。
(4)比较接收的证书和验证证书,如果相同,则认为认证通过。
该技术是由用户端自己选择用于产生证书(credential)的会话参数的,这种方法无法有效地防止重发攻击。攻击者只要截取用户端发出的DHCP Discover消息,然后重新发送,就可以通过认证,获得授权的地址,顺利地接入网络。
发明内容
为了解决现有技术的缺陷,本发明的目的之一在于提供一种用户接入认证的方法,增强用户认证的安全性。
本发明的另一目的在于通过建立用户和密钥之间的绑定关系,使非法用户不能获得正确的密钥,因而不能通过认证。
为了达到上述目的,本发明的技术方案为:
一种用户接入认证的方法,包括:
在接入认证过程中,用户向网络侧发起请求,网络侧为用户下发随机数;
用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧;
网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证;
如果认证通过,所述用户使用动态主机配置协议DHCP服务器分配的IP地址,接入网络。
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送DHCP发现消息,消息中携带用户标识;
网络接入服务器接收所述DHCP发现消息,为用户分配或从认证服务器获得一个随机数,并转发DHCP发现消息至DHCP服务器,消息中携带所述随机数;
DHCP服务器选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和IP地址;
或者包括:
用户发送DHCP发现消息,消息中携带用户标识;
网络接入服务器接收所述DHCP发现消息,并转发至DHCP服务器;
DHCP服务器为用户分配一个随机数并选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和IP地址。
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法及用户标识;
网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密算法的请求至认证服务器,所述认证服务器根据所述至少一个加密算法确定采用的加密算法,完成加密算法的协商,并返回协商结果至网络接入服务器;
网络接入服务器为用户分配一个随机数,并转发DHCP发现消息至DHCP服务器,消息中携带所述随机数和协商后的加密算法;
DHCP服务器根据选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和协商后的加密算法。
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送动DHCP发现消息,消息中携带用户支持的至少一个加密算法和用户标识;
网络接入服务器向认证服务器发送请求消息,消息中携带所述的至少一个加密算法,认证服务器响应所述的请求,根据所述至少一个加密算法选择一个加密算法并分配随机数;
网络接入服务器从认证服务器获得随机数和选择的加密算法,将DHCP发现消息转发至DHCP服务器,消息中携带所述随机数和协商后的加密算法;
DHCP服务器选择IP地址,并发送DHCP提供消息,消息中携带所述随机数和协商后的加密算法。
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法和用户标识;
网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密算法的请求至认证服务器,认证服务器响应所述的请求,根据所述至少一个加密算法选择一个加密算法;
网络接入服务器从认证服务器获得选择的加密算法,将DHCP发现消息转发至DHCP服务器,消息中携带所述的选择的加密算法;
DHCP服务器为用户选择一个随机数并选择IP地址,并向用户发送DHCP提供消息,消息中携带所述的随机数和加密算法。
用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧的步骤包括:
用户利用加密算法,对所述随机数和用户密码进行加密运算,并发送DHCP请求消息,消息中携带所述随机数和运算结果;
网络接入服务器接收所述DHCP请求消息,并发送认证请求至认证服务器,请求中携带随机数和运算结果。
网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证的步骤包括:
认证服务器在数据库中找到用户的密码,利用用户采用的加密算法,对用户密码和认证请求中的随机数进行加密运算,将运算的结果和认证请求中的运算结果进行比较,以对用户进行认证;
如果认证通过,用户使用动态主机配置协议DHCP服务器分配的IP地址,接入网络的步骤包括:
如果认证通过,认证服务器给网络接入服务器返回认证成功消息,网络接入服务器将所述DHCP请求消息转发至DHCP服务器;
DHCP服务器通过网络接入服务器给用户返回DHCP确认消息,用户接入网络成功。
所述的方法还包括:
用户通过网络获取密钥或证书;
在用户重认证或重启认证时,用户根据所述密钥或证书对用户密码进行加密;
认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过比较解密后的密码与认证服务器中用户的密码,对用户进行认证。
认证服务器对用户进行认证的步骤包括:
用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或证书加密后的密码;
网络接入服务器根据动态主机配置协议发现消息组建携带用户标识和加密后的密码的认证请求消息并发给认证服务器;
认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密,同时从数据库中找到用户的密码;
将解密后的密码和所述的用户密码进行比较,对用户进行认证。
当认证通过后,还包括:
认证服务器向网络接入服务器返回认证成功消息;
网络接入服务器将DHCP发现消息转发给DHCP服务器;
DHCP服务器通过网络接入服务器给用户返回DHCP提供消息;
用户通过网络接入服务器向DHCP服务器发送DHCP请求消息;
DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成功接入网络。
一种用户接入认证的方法,包括:
用户获取密钥或证书;
用户根据所述密钥或证书对用户密码进行加密;
认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过比较解密后的密码与认证服务器中用户的密码,对用户进行认证。
认证服务器对用户进行认证的步骤包括:
用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或证书加密后的密码;
网络接入服务器根据DHCP发现消息组建携带用户标识和加密后的密码的认证请求消息并发给认证服务器;
认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密,同时从数据库中找到用户的密码;
将解密后的密码和所述的用户密码进行比较,对用户进行认证。
用户通过网络、带外方式或扩展认证协议获取密钥或证书。
当认证通过时,还包括:
认证服务器向网络接入服务器返回认证成功消息;
网络接入服务器将DHCP发现消息转发给DHCP服务器;
DHCP服务器通过网络接入服务器给用户返回DHCP提供消息;
用户通过网络接入服务器向DHCP服务器发送DHCP请求消息;
DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成功接入网络。
本发明可以取得以下有益效果:采用网络侧分配的随机数对用户密码进行加密,使密码传递更为安全;不需要特殊的客户端软件,只要支持DHCP协议就可以;认证以后分配IP地址,避免了IP地址的浪费;在网络层上实现用户认证;认证服务器端存在用户和密钥的绑定关系,非法用户不能获取正确的密钥,从而不能通过认证,能有效的防止非法用户的攻击。
附图说明
图1为现有技术DHCP原理图;
图2为现有技术的会话建立期间进行认证的方法;
图3为本发明中用户接入认证的过程示意图;
图4为本发明的实现强认证的过程示意图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明的具体实施例进行详细说明。
实施例1
为了解决在传送用户密码(password)时的安全问题,本发明的具体实施例1在用户请求地址时从网络侧获取随机数(如挑战字:Challenge ID),用户利用随机数(Challenge ID)和用户密码进行加密运算,并将加密后的结果传送至网络侧的认证服务器,网络侧的认证服务器也使用上述随机数和存储的用户密码进行相同的加密运算,通过比较用户和网络侧对用户密码进行加密的结果,来实现对用户的认证。
通过使用网络侧为用户提供的随机数来对用户密码进行加密运算,在网络侧(如认证服务器端)也使用同样的随机数对用户密码进行加密运算,用户认证成功之后才可以使用网络侧的DHCP服务器分配的IP地址,避免了不上网用户对IP地址占用所造成的资源浪费,并能使密码传递更为安全。
在本实施例中,随机数可以由网络侧的网络接入服务器(NAS)、认证服务器或DHCP服务器产生并通过DHCP服务器提供给用户。所采用的加密算法可以是用户和认证服务器事先配置好的,即设置为相同的一种加密算法,如HMAC_MD5算法,或者由用户和认证服务器进行协商确定。下面对本发明的用户接入认证过程进行详细描述。图3为本发明的用户接入认证时的过程示意图,该过程对应的是由认证服务器(本实施例中为AAA(认证、授权、计费)服务器)产生Challenge Id,并在用户和认证服务器之间进行加密算法的协商。在用户第一次启动时,通过DHCP进行三层认证的过程包括:
(1)用户设备(即DHCP客户端)提示用户输入用户名和密码,如可通过在用户设备上弹出窗口或语音等其他方式提示用户,由用户输入用户名和密码。
(2)用户设备组建并发送DHCP Discover消息,消息中携带用户标识,和用户对加密算法的请求(如可以为用户支持的加密算法)。所述用户标识用于唯一地标识用户,可以是用户名,也可以是MAC地址等。如果不需要和AAA服务器协商加密算法,则所述DHCP Discover消息中就不需要携带用户对加密算法的请求。用户所请求的加密算法可以是HMAC_MD5或其他算法(如HMAC_SHA等算法),也可以是多种加密算法,以由AAA服务器进行选择。
(3)网络接入服务器接收到DHCP Discover消息后,首先缓存DHCPDiscover消息,然后组建随机数请求消息(如Radius消息或Diameter消息),以向网络侧请求随机数。该请求消息包含用户支持的可用于对密码进行加密的一个或多个加密算法。网络接入服务器(NAS)发送Challenge Id请求消息给AAA服务器,向AAA服务器请求一个Challenge Id,并协商加密算法。
(4)AAA服务器接收到所述Challenge Id请求消息,为用户分配随机数Challenge ID,并在网络侧建立随机数和用户的绑定关系,同时选择一个用户可用的加密算法(如HMAC_MD5),并返回Challenge Id应答消息至网络接入服务器,其中包含所分配的随机数和协商后的加密算法(HMAC_MD5)。
(5)网络接入服务器接收到AAA服务器的Challenge Id应答消息,从Challenge Id应答消息中获取Challenge Id和加密算法,并将该随机数Challenge Id和加密算法作为中继代理信息选项(Relay Agent InformationOption)添加至DHCP Discover中,网络接入服务器将DHCP Discover发给DHCP服务器。
(6)DHCP服务器接收到DHCP Discover消息后,根据消息中的用户标识在地址池中选择IP地址(在IPv4中,只分配一个IP地址,但是在IPv6中,则可不仅限于一个IP地址),并从所述DHCP Discover消息的中继代理信息选项(Relay Agent Information Option)中获取Challenge Id和加密算法,然后发送DHCP Offer消息,该消息包含选择的IP地址、随机数(Challenge Id)和加密算法。
(7)DHCP服务器发出的DHCP Offer消息由网络接入服务器转发至DHCP客户端(DHCP Client)。
(8)用户设备接收到DHCP Offer后,从DHCP Offer中获取Challenge Id和协商后的加密算法,并利用该随机数和协商后的加密算法对用户密码进行加密运算,同时组建DHCP Request消息发给网络接入服务器,消息中携带用户标识、随机数和加密后的密码。
(9)网络接入服务器收到DHCP Request消息后,首先缓存该DHCP Request消息,从DHCP Request消息中获取用户标识,Challenge Id和经过加密的密码,然后根据DHCP Request消息的内容组建AAA认证请求并发送给AAA服务器,该认证请求中携带用户标识、随机数和加密后的密码。
(10)AAA服务器接收到认证请求消息后,根据用户标识在数据库中查找匹配的条目,在保存于AAA服务器数据库的条目中包含用户标识(索引)、和用户标识对应的用户密码等信息。如果找到匹配的条目,则AAA服务器使用认证请求中的随机数和协商的加密算法对条目中的密码进行加密计算;如果AAA服务器计算得到的加密结果和认证请求消息中的携带的加密后的密码相同,则认证通过,否则认证失败。如果认证成功,AAA服务器向网络接入服务器NAS发送认证成功消息;如果认证失败,则结束该流程。
(11)如果网络接入服务器收到所述认证成功消息,则转发缓存的DHCPRequest消息至DHCP服务器。
(12)DHCP服务器接收到DHCP Request消息后,确认地址分配和参数配置,返回DHCP确认消息(DHCP Ack),表示允许用户使用分配的地址。
(13)网络接入服务器转发所述DHCP ACK给用户设备。
(14)用户设备接收所述的确认消息,表明成功接入网络。
在如上流程中,用户和AAA服务器之间的加密算法的协商是一个可选的过程,该加密算法也可以不用协商,而可以直接由AAA服务器或用户一方通知给另一方(用户或AAA服务器),但并不限于此。
例如,如果由用户直接通知AAA服务器采用的加密算法,则在步骤(2)-步骤(7)中不携带用户支持的加密算法或协商后的加密算法,而可在步骤(8)中利用随机数和用户预配置的加密算法对用户密码进行加密,并通过组建的DHCP Request消息将用户采用的加密算法通知给AAA服务器。
另外,本发明中,随机数(Challenge Id)既可以由AAA服务器产生,也可以由网络接入服务器或DHCP服务器产生。
如果由网络接入服务器NAS产生,则步骤(3)和(4)可仅用于加密算法的协商,而不必向AAA服务器请求随机数(Challenge Id)。而在步骤(5)中由NAS为用户分配随机数,在网络侧建立随机数和用户的绑定关系,并在DHCPDiscover消息中携带所述随机数至DHCP服务器。如果用户和AAA服务器间也不需要进行加密算法的协商时,则步骤(3)和(4)可直接省略。
如果由DHCP服务器产生随机数,在协商加密算法的情况下,则步骤(6)中DHCP Offer携带的消息中的随机数可为由DHCP服务器分配产生的随机数,而在该步骤的前序步骤中并没有随机数的产生与携带。如果用户和AAA服务器间不需要进行加密算法的协商,则步骤(3)和(4)可直接省略。
对于随机数的产生与下发并不限于上述实施例中给出的方式,而还可以有其它的形式。
通过如上的用户接入认证过程,解决了在传送密码(Password)时的安全问题,用户只有根据DHCP服务器返回的和用户绑定的随机数并利用加密算法对密码进行加密后才能通过认证服务器的认证,只有认证通过,用户才可以真正的分配到IP地址。因此,即使攻击者截取了用户端发出的DHCP Discover消息,但由于Challenge Id是由网络侧分配的,攻击者无法通过ChallengeId和用户的绑定检查,所以,可以比较有效的防止重发攻击。
另外,本发明还可以包括如下步骤(可选):
(15)用户通过网络(如Web、Ftp或其他方式)从网络侧获取密钥(包括共享密钥或其它密钥)或证书,并在网络侧建立所述密钥(或证书)与用户的绑定关系,这样在DHCP用户重启(例如关机重启)后,用户就可通过DHCP进行三层认证流程。
由于使用加密算法(如HMAC_MD5算法,但并不限于此)加密进行认证是一种弱认证方法,那么,用户可以在成功接入网络之后,通过Web(或者Ftp等其他的方式)获取证书(或者密钥),则用户在重认证或者下次重启认证时,就可以采用与用户绑定的证书(或者密钥)对用户密码进行加密,实现强认证。
用户也可直接在第一次启动之前通过配置(或其他带外方式)或扩展认证协议EAP等方式从网络侧获取证书或密钥来实现强认证。
本发明的利用证书或密钥通过DHCP进行强认证的过程在具体实施例2中进行了说明。
实施例2
如图4所示,用户通过DHCP进行三层认证的过程包括:
1)用户设备(即DHCP客户端)通过用户输入的方式获取用户的用户名和密码,如可以通过在用户设备上弹出窗口,提示用户输入用户名和密码,当然也可采用其它可替代方式。
2)用户设备广播发送DHCP Discover消息,消息中携带用户标识和经过密钥(或证书)加密后的密码。
该密钥(或证书)可以是用户成功接入网络后通过网络(Web、Ftp等)获取,或者可直接在第一次启动之前通过配置(或其他带外方式)或扩展认证协议EAP等方式从网络侧获取,网络侧在为用户分配密钥(或证书的)同时建立密钥(或证书)与用户的绑定关系。
3)网络接入服务器收到DHCP Discover消息后缓存该消息,从DHCP Discover中获取用户标识和经过加密的密码(Password),并于组建携带用户标识和经过加密的密码后发送AAA认证请求消息至认证服务器(本实施例中为AAA服务器)。
4)AAA服务器接收所述的认证请求消息,从认证请求消息中提取用户标识和经过加密的密码,然后根据AAA服务器中用户对应的密钥对加密后的密码进行解密,同时在数据库中查找用户的密码,判断解密后的密码和找到的密码是否相同,如果相同则认证成功,不同则认证失败。
5)如果认证成功,网络接入服务器转发缓存的DHCP Discover消息给DHCP服务器,如果认证失败,该流程结束。
6)DHCP服务器接收处理DHCP Discover消息,返回DHCP Offer消息。
7)网络接入服务器NAS转发所述DHCP Offer消息至DHCP客户端。
8)用户设备接收处理DHCP Offer消息,返回DHCP Request消息。
9)网络接入服务器(NAS)转发DHCP Request消息给DHCP服务器。
10)DHCP服务器接收处理DHCP Request消息,返回DHCP确认(DHCP Ack)消息,表示允许用户使用分配的地址。
11)NAS转发DHCP Ack消息给DHCP客户端。
12)用户设备接收所述的确认消息,表示用户成功接入网络。
本实施例可以使用户直接使用密钥或证书对密码进行加密,然后在AAA服务器端找到对应的密钥或证书对用户加密后的密码进行解密,通过判断解密后的密码和用户密码是否相同来实现对用户的认证。该密钥或证书的获得可以是在用户成功接入网络后用户通过网络获取,也可以不需要先进行第一次认证而是通过配置方式(或者其他的带外方式)或EAP方式获取。该方法由于在AAA服务器端采用和用户对应的密钥或证书(即AAA服务器的密钥或证书)对用户密码进行解密来实现对用户的认证,因此能够有效的防止非法用户的攻击。
如上各实施例中的用户认证过程不仅适用于DHCPv4认证,同样适用于DHCPv6认证。
通过如上所述,本发明可以达到如下效果:本发明采用网络侧分配的随机数对用户密码进行加密,使密码传递更为安全;不需要特殊的客户端软件,只要支持DHCP协议就可以;认证以后分配IP地址,避免了IP地址的浪费;在网络层上实现用户认证;认证服务器端存在用户和密钥(或证书)的绑定关系,非法用户不能获取正确的密钥(或证书),从而不能通过认证,能有效的防止非法用户的攻击。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种用户接入认证的方法,其特征在于,包括:
在接入认证过程中,用户向网络侧发起请求,网络侧为用户下发随机数;
用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧;
网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证;
如果认证通过,用户使用动态主机配置协议DHCP服务器分配的IP地址,接入网络。
2.根据权利要求1所述的方法,其特征在于:
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送DHCP发现消息,消息中携带用户标识;
网络接入服务器接收所述DHCP发现消息,为用户分配或从认证服务器获得一个随机数,并转发DHCP发现消息至DHCP服务器,消息中携带所述随机数;
DHCP服务器选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和IP地址;
或者包括:
用户发送DHCP发现消息,消息中携带用户标识;
网络接入服务器接收所述DHCP发现消息,并转发至DHCP服务器;
DHCP服务器为用户分配一个随机数并选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和IP地址。
3.根据权利要求1所述的方法,其特征在于:
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法及用户标识;
网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密算法的请求至认证服务器,所述认证服务器根据所述至少一个加密算法确定采用的加密算法,完成加密算法的协商,并返回协商结果至网络接入服务器;
网络接入服务器为用户分配一个随机数,并转发DHCP发现消息至DHCP服务器,消息中携带所述随机数和协商后的加密算法;
DHCP服务器根据选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和协商后的加密算法。
4.根据权利要求1所述的方法,其特征在于:
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送动DHCP发现消息,消息中携带用户支持的至少一个加密算法和用户标识;
网络接入服务器向认证服务器发送请求消息,消息中携带所述的至少一个加密算法,认证服务器响应所述的请求,根据所述至少一个加密算法选择一个加密算法并分配随机数;
网络接入服务器从认证服务器获得随机数和选择的加密算法,将DHCP发现消息转发至DHCP服务器,消息中携带所述随机数和协商后的加密算法;
DHCP服务器选择IP地址,并发送DHCP提供消息,消息中携带所述随机数和协商后的加密算法。
5.根据权利要求1所述的方法,其特征在于:
用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括:
用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法和用户标识;
网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密算法的请求至认证服务器,认证服务器响应所述的请求,根据所述至少一个加密算法选择一个加密算法;
网络接入服务器从认证服务器获得选择的加密算法,将DHCP发现消息转发至DHCP服务器,消息中携带所述的选择的加密算法;
DHCP服务器为用户选择一个随机数并选择IP地址,并向用户发送DHCP提供消息,消息中携带所述的随机数和加密算法。
6.根据权利要求1-5中任意一项所述的方法,其特征在于:
用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧的步骤包括:
用户利用加密算法,对所述随机数和用户密码进行加密运算,并发送DHCP请求消息,消息中携带所述随机数和运算结果;
网络接入服务器接收所述DHCP请求消息,并发送认证请求至认证服务器,请求中携带随机数和运算结果。
7.根据权利要求1-5中任意一项所述的方法,其特征在于:
网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证的步骤包括:
认证服务器在数据库中找到用户的密码,利用用户采用的加密算法,对用户密码和认证请求中的随机数进行加密运算,将运算的结果和认证请求中的运算结果进行比较,以对用户进行认证;
如果认证通过,用户使用动态主机配置协议DHCP服务器分配的IP地址,接入网络的步骤包括:
如果认证通过,认证服务器给网络接入服务器返回认证成功消息,网络接入服务器将所述DHCP请求消息转发至DHCP服务器;
DHCP服务器通过网络接入服务器向用户返回DHCP确认消息,用户接入网络成功。
8.根据权利要求1-5中的任一项所述的方法,其特征在于,还包括:
用户通过网络获取密钥或证书;
在用户重认证或重启认证时,用户根据所述密钥或证书对用户密码进行加密;
认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过比较解密后的密码与认证服务器中用户的密码,对用户进行认证。
9.根据权利要求8所述的方法,其特征在于,认证服务器对用户进行认证的步骤包括:
用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或证书加密后的密码;
网络接入服务器根据动态主机配置协议发现消息组建携带用户标识和加密后的密码的认证请求消息并发给认证服务器;
认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密,同时从数据库中找到用户的密码;
将解密后的密码和所述用户的密码进行比较,对用户进行认证。
10.根据权利要求9所述的方法,其特征在于,当认证通过后,还包括:
认证服务器向网络接入服务器返回认证成功消息;
网络接入服务器将DHCP发现消息转发给DHCP服务器;
DHCP服务器通过网络接入服务器给用户返回DHCP提供消息;
用户通过网络接入服务器向DHCP服务器发送DHCP请求消息;
DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成功接入网络。
11.一种用户接入认证的方法,其特征在于,包括:
用户获取密钥或证书;
用户根据所述密钥或证书对用户密码进行加密;
认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过比较解密后的密码与认证服务器中用户的密码,对用户进行认证。
12.根据权利要求11所述的方法,其特征在于,认证服务器对用户进行认证的步骤包括:
用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或证书加密后的密码;
网络接入服务器根据DHCP发现消息组建携带用户标识和加密后的密码的认证请求消息并发给认证服务器;
认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密,同时从数据库中找到用户的密码;
将解密后的密码和所述用户的密码进行比较,对用户进行认证。
13.根据权利要求11所述的方法,其特征在于:
用户通过网络、带外方式或扩展认证协议获取密钥或证书。
14.根据权利要求11所述的方法,其特征在于:
当认证通过时,还包括:
认证服务器向网络接入服务器返回认证成功消息;
网络接入服务器将DHCP发现消息转发给DHCP服务器;
DHCP服务器通过网络接入服务器给用户返回DHCP提供消息;
用户通过网络接入服务器向DHCP服务器发送DHCP请求消息;
DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成功接入网络。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101154464A CN101127600B (zh) | 2006-08-14 | 2006-08-14 | 一种用户接入认证的方法 |
PCT/CN2007/001228 WO2008022514A1 (fr) | 2006-08-14 | 2007-04-16 | Procédé, système et appareil pour authentification d'accès utilisateur |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101154464A CN101127600B (zh) | 2006-08-14 | 2006-08-14 | 一种用户接入认证的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101127600A true CN101127600A (zh) | 2008-02-20 |
CN101127600B CN101127600B (zh) | 2011-12-07 |
Family
ID=39095537
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101154464A Expired - Fee Related CN101127600B (zh) | 2006-08-14 | 2006-08-14 | 一种用户接入认证的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101127600B (zh) |
WO (1) | WO2008022514A1 (zh) |
Cited By (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827106A (zh) * | 2010-04-29 | 2010-09-08 | 华为技术有限公司 | 一种dhcp安全通信方法、装置和系统 |
CN102663322A (zh) * | 2012-02-23 | 2012-09-12 | 深圳市乐讯科技有限公司 | 一种隐藏游戏地图防止用户作弊的方法和装置 |
CN102833746A (zh) * | 2012-09-14 | 2012-12-19 | 福建星网锐捷网络有限公司 | 用户重认证方法及接入控制器 |
CN103108037A (zh) * | 2013-01-22 | 2013-05-15 | 华为技术有限公司 | 一种通信方法,Web服务器及Web通信系统 |
CN103139136A (zh) * | 2011-11-22 | 2013-06-05 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
CN103391292A (zh) * | 2013-07-18 | 2013-11-13 | 百度在线网络技术(北京)有限公司 | 针对移动应用的安全登录方法、系统和装置 |
KR20130136924A (ko) * | 2012-06-05 | 2013-12-13 | 로베르트 보쉬 게엠베하 | 안전한 데이터 전송을 위한 방법 및 통신 시스템 |
CN103532987A (zh) * | 2013-11-11 | 2014-01-22 | 国家电网公司 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
CN103685257A (zh) * | 2013-12-06 | 2014-03-26 | 上海斐讯数据通信技术有限公司 | 一种dhcp网络防护系统及方法 |
CN105306200A (zh) * | 2014-06-09 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 网络账号密码的加密方法和装置 |
CN105323207A (zh) * | 2014-06-06 | 2016-02-10 | 南京理工大学常熟研究院有限公司 | 一种防AP窃取的Web门户安全登录方法 |
CN105721153A (zh) * | 2014-09-05 | 2016-06-29 | 三星Sds株式会社 | 基于认证信息的密钥交换系统及方法 |
WO2016127649A1 (zh) * | 2015-02-12 | 2016-08-18 | 中兴通讯股份有限公司 | 一种实现终端登录的方法和装置 |
CN106161400A (zh) * | 2015-04-22 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 通信消息安全检测方法、装置及系统 |
CN106209793A (zh) * | 2016-06-30 | 2016-12-07 | 上海斐讯数据通信技术有限公司 | 一种身份验证方法及验证系统 |
CN106357486A (zh) * | 2016-08-18 | 2017-01-25 | 杭州迪普科技有限公司 | 一种网络用户接入方法和装置 |
CN106416123A (zh) * | 2014-05-23 | 2017-02-15 | 国际商业机器公司 | 基于密码的认证 |
CN106506479A (zh) * | 2016-10-24 | 2017-03-15 | 北京明华联盟科技有限公司 | 密码认证的方法、系统及客户端、服务器和智能设备 |
CN107070648A (zh) * | 2017-03-01 | 2017-08-18 | 北京信安世纪科技有限公司 | 一种密钥保护方法及pki系统 |
CN107135069A (zh) * | 2017-04-24 | 2017-09-05 | 努比亚技术有限公司 | 远程协助控制方法及系统 |
CN107426339A (zh) * | 2017-09-04 | 2017-12-01 | 珠海迈越信息技术有限公司 | 一种数据连接通道的接入方法、装置及系统 |
CN107786423A (zh) * | 2016-08-29 | 2018-03-09 | 北京融聚世界网络科技有限公司 | 一种即时通讯的方法和系统 |
CN107888460A (zh) * | 2016-09-29 | 2018-04-06 | 新华三技术有限公司 | 一种客户端接入网络的方法及装置 |
CN112788028A (zh) * | 2021-01-10 | 2021-05-11 | 何顺民 | 一种获取网络参数的方法和系统 |
CN112866247A (zh) * | 2021-01-18 | 2021-05-28 | 杭州中网智慧科技有限公司 | 一种身份认证方法和装置 |
CN113287335A (zh) * | 2019-01-15 | 2021-08-20 | 中兴通讯股份有限公司 | 防止用户跟踪的方法和设备、存储介质和电子设备 |
CN114024708A (zh) * | 2021-09-23 | 2022-02-08 | 广东电力信息科技有限公司 | 一种基于入侵检测技术的网络边界防护方法 |
CN114944927A (zh) * | 2022-03-17 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于Portal认证的无客户端互斥访问平台 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103067333B (zh) * | 2011-10-18 | 2016-03-30 | 华为终端有限公司 | 验证机顶盒接入身份的方法和认证服务器 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6654891B1 (en) * | 1998-10-29 | 2003-11-25 | Nortel Networks Limited | Trusted network binding using LDAP (lightweight directory access protocol) |
CN1248447C (zh) * | 2002-05-15 | 2006-03-29 | 华为技术有限公司 | 一种宽带网络接入方法 |
CN1567294A (zh) * | 2003-06-14 | 2005-01-19 | 华为技术有限公司 | 一种对用户进行认证的方法 |
US7519988B2 (en) * | 2003-07-31 | 2009-04-14 | International Business Machines Corporation | Method and apparatus for authenticated network address allocation |
US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
US20060047826A1 (en) * | 2004-08-25 | 2006-03-02 | International Business Machines Corp. | Client computer self health check |
-
2006
- 2006-08-14 CN CN2006101154464A patent/CN101127600B/zh not_active Expired - Fee Related
-
2007
- 2007-04-16 WO PCT/CN2007/001228 patent/WO2008022514A1/zh active Application Filing
Cited By (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827106A (zh) * | 2010-04-29 | 2010-09-08 | 华为技术有限公司 | 一种dhcp安全通信方法、装置和系统 |
CN103139136A (zh) * | 2011-11-22 | 2013-06-05 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
CN103139136B (zh) * | 2011-11-22 | 2016-06-08 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
CN102663322B (zh) * | 2012-02-23 | 2015-06-24 | 深圳市乐讯科技有限公司 | 一种隐藏游戏地图防止用户作弊的方法和装置 |
CN102663322A (zh) * | 2012-02-23 | 2012-09-12 | 深圳市乐讯科技有限公司 | 一种隐藏游戏地图防止用户作弊的方法和装置 |
KR20130136924A (ko) * | 2012-06-05 | 2013-12-13 | 로베르트 보쉬 게엠베하 | 안전한 데이터 전송을 위한 방법 및 통신 시스템 |
CN103475634A (zh) * | 2012-06-05 | 2013-12-25 | 罗伯特·博世有限公司 | 用于安全地传输数据的方法和通信系统 |
KR102144408B1 (ko) * | 2012-06-05 | 2020-08-13 | 로베르트 보쉬 게엠베하 | 안전한 데이터 전송을 위한 방법 및 통신 시스템 |
CN102833746B (zh) * | 2012-09-14 | 2015-11-25 | 福建星网锐捷网络有限公司 | 用户重认证方法及接入控制器 |
CN102833746A (zh) * | 2012-09-14 | 2012-12-19 | 福建星网锐捷网络有限公司 | 用户重认证方法及接入控制器 |
CN103108037B (zh) * | 2013-01-22 | 2015-12-02 | 华为技术有限公司 | 一种通信方法,Web服务器及Web通信系统 |
CN103108037A (zh) * | 2013-01-22 | 2013-05-15 | 华为技术有限公司 | 一种通信方法,Web服务器及Web通信系统 |
CN103391292A (zh) * | 2013-07-18 | 2013-11-13 | 百度在线网络技术(北京)有限公司 | 针对移动应用的安全登录方法、系统和装置 |
CN103532987A (zh) * | 2013-11-11 | 2014-01-22 | 国家电网公司 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
CN103532987B (zh) * | 2013-11-11 | 2016-06-29 | 国家电网公司 | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
CN103685257A (zh) * | 2013-12-06 | 2014-03-26 | 上海斐讯数据通信技术有限公司 | 一种dhcp网络防护系统及方法 |
CN103685257B (zh) * | 2013-12-06 | 2018-04-06 | 上海斐讯数据通信技术有限公司 | 一种dhcp网络防护系统及方法 |
CN106416123A (zh) * | 2014-05-23 | 2017-02-15 | 国际商业机器公司 | 基于密码的认证 |
CN106416123B (zh) * | 2014-05-23 | 2019-10-18 | 国际商业机器公司 | 基于密码的认证 |
CN105323207A (zh) * | 2014-06-06 | 2016-02-10 | 南京理工大学常熟研究院有限公司 | 一种防AP窃取的Web门户安全登录方法 |
CN105306200A (zh) * | 2014-06-09 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 网络账号密码的加密方法和装置 |
CN105306200B (zh) * | 2014-06-09 | 2019-06-21 | 腾讯科技(深圳)有限公司 | 网络账号密码的加密方法和装置 |
CN105721153B (zh) * | 2014-09-05 | 2020-03-27 | 三星Sds株式会社 | 基于认证信息的密钥交换系统及方法 |
CN105721153A (zh) * | 2014-09-05 | 2016-06-29 | 三星Sds株式会社 | 基于认证信息的密钥交换系统及方法 |
WO2016127649A1 (zh) * | 2015-02-12 | 2016-08-18 | 中兴通讯股份有限公司 | 一种实现终端登录的方法和装置 |
CN105991578A (zh) * | 2015-02-12 | 2016-10-05 | 中兴通讯股份有限公司 | 一种实现终端登录的方法和装置 |
CN106161400A (zh) * | 2015-04-22 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 通信消息安全检测方法、装置及系统 |
CN106209793A (zh) * | 2016-06-30 | 2016-12-07 | 上海斐讯数据通信技术有限公司 | 一种身份验证方法及验证系统 |
CN106357486A (zh) * | 2016-08-18 | 2017-01-25 | 杭州迪普科技有限公司 | 一种网络用户接入方法和装置 |
CN107786423A (zh) * | 2016-08-29 | 2018-03-09 | 北京融聚世界网络科技有限公司 | 一种即时通讯的方法和系统 |
CN107888460A (zh) * | 2016-09-29 | 2018-04-06 | 新华三技术有限公司 | 一种客户端接入网络的方法及装置 |
CN107888460B (zh) * | 2016-09-29 | 2020-12-11 | 新华三技术有限公司 | 一种客户端接入网络的方法及装置 |
CN106506479A (zh) * | 2016-10-24 | 2017-03-15 | 北京明华联盟科技有限公司 | 密码认证的方法、系统及客户端、服务器和智能设备 |
CN107070648A (zh) * | 2017-03-01 | 2017-08-18 | 北京信安世纪科技有限公司 | 一种密钥保护方法及pki系统 |
CN107135069A (zh) * | 2017-04-24 | 2017-09-05 | 努比亚技术有限公司 | 远程协助控制方法及系统 |
CN107426339B (zh) * | 2017-09-04 | 2020-05-26 | 珠海迈越信息技术有限公司 | 一种数据连接通道的接入方法、装置及系统 |
CN107426339A (zh) * | 2017-09-04 | 2017-12-01 | 珠海迈越信息技术有限公司 | 一种数据连接通道的接入方法、装置及系统 |
CN113287335A (zh) * | 2019-01-15 | 2021-08-20 | 中兴通讯股份有限公司 | 防止用户跟踪的方法和设备、存储介质和电子设备 |
CN113287335B (zh) * | 2019-01-15 | 2023-03-10 | 中兴通讯股份有限公司 | 防止用户跟踪的方法和设备、存储介质和电子设备 |
CN112788028A (zh) * | 2021-01-10 | 2021-05-11 | 何顺民 | 一种获取网络参数的方法和系统 |
CN112866247A (zh) * | 2021-01-18 | 2021-05-28 | 杭州中网智慧科技有限公司 | 一种身份认证方法和装置 |
CN114024708A (zh) * | 2021-09-23 | 2022-02-08 | 广东电力信息科技有限公司 | 一种基于入侵检测技术的网络边界防护方法 |
CN114944927A (zh) * | 2022-03-17 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于Portal认证的无客户端互斥访问平台 |
CN114944927B (zh) * | 2022-03-17 | 2023-08-08 | 国网浙江省电力有限公司杭州供电公司 | 基于Portal认证的无客户端互斥访问平台 |
Also Published As
Publication number | Publication date |
---|---|
WO2008022514A1 (fr) | 2008-02-28 |
CN101127600B (zh) | 2011-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101127600B (zh) | 一种用户接入认证的方法 | |
US6393484B1 (en) | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks | |
US9948647B2 (en) | Method and device for authenticating static user terminal | |
US20100107223A1 (en) | Network Access Method, System, and Apparatus | |
WO2018192528A1 (zh) | 网络接入方法、装置和网络设备 | |
US8336082B2 (en) | Method for realizing the synchronous authentication among the different authentication control devices | |
US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
WO2008034319A1 (fr) | Procédé, système et dispositif d'authentification destinés à un dispositif de réseau | |
CN100574195C (zh) | 基于动态主机配置协议的安全接入方法及其系统 | |
WO2014101449A1 (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
US9736156B2 (en) | WLAN user fixed network accessing method and system | |
WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及系统 | |
WO2014176997A1 (zh) | 数据收发方法及系统、消息的处理方法及装置 | |
WO2010000157A1 (zh) | 接入设备的配置方法、装置及系统 | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
CN101471934A (zh) | 动态主机配置协议中双向加密及身份鉴权的方法 | |
WO2009079896A1 (fr) | Procédé d'authenfication d'accès utilisateur fondé sur un protocole de configuration d'hôte dynamique | |
KR20040001329A (ko) | 공중 무선랜 서비스를 위한 망 접속 방법 | |
CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
CN102577299B (zh) | 简化的接入网认证信息承载协议 | |
CN100546305C (zh) | 一种点到点协议强制认证方法和装置 | |
CN102282800A (zh) | 一种终端认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111207 Termination date: 20160814 |