CN101227468A - 用于认证用户到网络的方法、设备和系统 - Google Patents
用于认证用户到网络的方法、设备和系统 Download PDFInfo
- Publication number
- CN101227468A CN101227468A CNA2008100030779A CN200810003077A CN101227468A CN 101227468 A CN101227468 A CN 101227468A CN A2008100030779 A CNA2008100030779 A CN A2008100030779A CN 200810003077 A CN200810003077 A CN 200810003077A CN 101227468 A CN101227468 A CN 101227468A
- Authority
- CN
- China
- Prior art keywords
- user
- network
- bit sequence
- shielded resource
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
用于认证用户到网络的计算机实现的方法、设备和计算机程序产品。响应于接收到来自用户的关于访问受保护的资源的请求,该方法发送唯一的比特序列到用户所使用的网络连接中。下一步,响应于接收到关于唯一的比特序列由所述用户登录到网络时认证该用户的接入点接收的验证,该方法认证用户以访问受保护的资源。
Description
技术领域
本申请一般涉及数据处理系统,特别涉及用于网络安全的方法和设备。更具体地,本申请涉及一种用于源安全检查以认证用户到网络的计算机实现的方法、设备以及计算机可用的程序代码。
背景技术
当前,由于敏感性信息通常被存储在商用和政府网络计算机和数据库中,因此计算机网络的安全性越来越重要。例如,银行的以太网计算机和数据库可以包括顾客姓名、账户余额、银行账户号码、地址、电话号码、社会保险号码及其他机密的私人信息。未经认证的用户可以从连接至以太网的计算机本地访问一个或多个银行的计算机和/或数据库。银行的计算机也可以连接至远程网络,例如互联网。在这种情况下,未经授权的用户可以通过互联网连接而远程获得对银行计算机系统的访问。
当前的网络安全选项被设计用来阻止未经授权的用户获取对包括防火墙的局域网的未经授权的访问。防火墙是一种信息技术安全设备,其充当具有低信任区域的网络(例如互联网)与具有高信任区域的内部网络(例如以太网)之间的中间体。高信任区域是在施加安全措施以保护数据的网络或数据处理系统内部的区域。例如,高信任区域可能要求用户用安全密码来被认证。因此,获得对高信任区域的访问的用户是被信任的。对于访问区域,低信任区域通常要求最低限度的或不要求安全检查。因此,低信任区域中的用户由于他们没有被认证为可信的或授权的用户而不太可信。
网络防火墙通常阻止没有合法用户认证的低信任区域网络中的用户获得对内部网络的访问。用户认证协议通常要求请求接入网络的客户端输入用户名和密码。在允许客户端连接之前,检验用户名和密码以确保该用户是被授权访问内部网络的。因此,防火墙旨在阻止对网络的未授权访问。
然而,如果黑客能够突破网络防火墙,则他可能能够从内部网络找到密码和用户名。因此,黑客可以通过使用其已占用的授权的用户名和密码登录到内部网络。一旦黑客已经得到对系统的访问,他就能够访问存储在内部网络上的敏感信息。
Telnet是一种由客户端计算机使用的终端仿真程序,用以连接至网络上的服务器。客户端通过使用合法的用户名和密码登录到服务器来开始telnet会话。然而,telnet会话是未加密的。Telnet不加密任何数据,包括在telnet连接上发送的用户名和密码。因此,如果黑客能够访问位于网络上使用telnet的客户端和服务器之间的路由器、交换机或网关,则黑客可能能够看到未加密的用户名和密码。因此,黑客可以使用窃取的用户名和密码来访问其他受保护的资源。
因此,当前的解决方案没有提供有效的方法来阻止黑客使用其通过攻击网络而获取的合法的用户名和密码以获取对受保护的网络资源的未授权访问。
发明内容
说明性实施例提供了一种用于认证用户到网络的计算机实现的方法、设备以及计算机可用的程序代码。在一个实施例中,响应于接收到来自用户的关于访问受保护资源的请求,所述方法发送唯一的比特序列到用户所用的网络连接中。然后,响应于接收到对所述唯一比特序列已经由用户登录到网络时认证该用户的接入点接收的验证,所述方法认证该用户以访问受保护的资源。
附图说明
本发明特征的新颖特性在所附的权利要求中阐明。然而,通过参考下面结合附图对说明性实施例的详细描述,本发明本身及使用的优选模式、其他目的及其优点将得到最好的理解,其中:
图1示出了数据处理系统的网络,其中实现了说明性实施例;
图2是数据处理系统的框图,其中实现了说明性实施例;
图3是说明当按照说明性实施例执行安全源检查时的数据流的框图;
图4是说明当按照说明性实施例将源安全检查包注入网络连接时的数据流的框图;
图5是说明用于由受保护资源按照说明性实施例执行安全源检查的方法的流程图;
图6是说明用于由认证服务器按照说明性实施例验证安全源检查的方法的流程图;
图7是说明用于由接入点按照说明性实施例响应安全源检查的方法的流程图;
图8是说明用于由认证服务器按照说明性实施例执行单点登录认证的方法的流程图;
图9是说明用于按照说明性实施例进行单点登录认证请求的方法的流程图。
具体实施方式
现在参考附图,特别是参考附图1-2,提供了数据处理环境示例图,其中可实现说明性实施例。应当认识到,图1-2仅仅是示例性的,并不旨在断言或暗示关于环境的任何限制,其中可实现不同的实施例。可以对所描述的环境作出许多修改。
现在参考附图,图1示出了数据处理系统的网络,其中可实现说明性实施例。网络数据处理系统100是计算机网络,其中可实现实施例。网络数据处理系统100包括网络102,其是用于在网络数据处理系统100内连接在一起的各种设备和计算机之间提供通信链路的媒介。网络102可以包括例如有线、无线通信链路或光缆。
在所描述的实例中,服务器104和RADIUS(远程认证拨入用户服务)服务器106连接到网络102以及存储单元108。RADIUS服务器106使用RADIUS标准。RADIUS是在互联网工程任务组(IETF)请求注解(RFC)文件中描述的标准,包括2865、2284、2869、2882以及4137。RADIUS是无线和全部有线(wire-full)认证所必需的,用户将在所述认证中登录到网络。
RADIUS服务器106是远程认证拨入用户服务服务器,用以认证请求接入网络的用户登录信息。用户登录信息通常包括用户名和密码。用户登录信息也可以包括但不限于指纹扫描、语音识别、安全策略或任何其他已知的或可用的认证授权用户的方法。
RADIUS服务器106执行认证、授权和计费系统协议以验证用户注册的合法性。例如,RADIUS服务器106接收来自网络接入点的请求的用户的密码和用户名,例如接入点(AP)109。然后,RADIUS服务器106验证用户名和密码是否是合法的。如果用户名和密码是合法的,则RADIUS服务器106授权对网络或ISP系统的接入。
AP 109是将两个或更多计算设备、显示设备、打印机、电话以及任何其他有线的或无线设备连接到网络的设备,例如网络102。例如,AP 109可以是但不限于无线接入点路由器。
用户通常从客户端计算设备请求接入网络102,例如客户端110、112和114。在该实例中,客户端110、112和114通过AP 109连接到网络102。客户端110、112和114可以是例如个人计算机或网络计算机。在所描述的实例中,服务器104提供数据,例如客户端110、112和114的应用程序、引导程序(boot)文件和操作系统映像。在该实例中,客户端110、112和114是服务器104的客户端。网络数据处理系统100可以包括附加的服务器、客户端以及其他未示出的设备。
在所描述的实例中,网络数据处理系统100是具有网络102的互联网,其代表使用传输控制协议/互联网协议(TCP/IP)的协议族来相互通信的网络和网关的世界范围的集合。在互联网的中心是主节点或主机之间的高速数据通信线路的骨干网,其包括数千的路由数据和消息的商用、政府、教育和其他计算机系统。当然,网络数据处理系统100也可以被实现为若干不同类型的网络,例如企业内网、局域网(LAN)或者广域网(WAN)。例如,网络数据处理系统100可以包括以太网。图1只是作为实例而不是作为对不同实施例的结构上的限制。
现在参考图2,示出了数据处理系统的框图,其中可实现说明性实施例。数据处理系统200例如是计算机,例如图1中的服务器104或客户端110,其中可以针对说明性实施例而设置实现所述方法的计算机可用代码或指令。
在所描述的实例中,数据处理系统200使用集线器结构,包括北桥和内存控制集线器(MCH)202,以及南桥和输入/输出(I/O)控制集线器(ICH)204。处理单元206、主存储器208和图形处理器210耦合至北桥和内存控制集线器202。处理单元206可以包括一个或多个处理器,甚至可以被实现为使用一个或多个异类处理器系统。图形处理器210可以通过例如加速图形端口(AGP)而耦合至MCH。
在所描述的实例中,局域网(LAN)适配器212耦合至南桥和I/O控制集线器204,音频适配器216、键盘和鼠标适配器220、调制解调器222、只读存储器(ROM)224、通用串行总线(USB)端口和其他通信端口232,以及PCI/PCIe设备234通过总线238耦合至南桥和I/O控制集线器204,并且硬盘驱动器(HDD)226和CD-ROM驱动器230通过总线240耦合至南桥和I/O控制集线器204。PCI/PCIe设备可以包括例如用于笔记本电脑的以太网适配器、add-in卡以及PC卡。PCI使用卡总线控制器,而PCIe不使用。ROM 224可以是例如快速(flash)二进制输入输出系统(BIOS,binary input/output system)。硬盘驱动器226和CD-ROM驱动器230可以使用例如电子集成驱动器(IDE)或串行高级技术配件(SATA,serialadvanced technology attachment)接口。超级I/O(SIO)设备236可以耦合至南桥和I/O控制集线器204。
操作系统运行在处理单元206上,协调并提供在图2的数据处理系统200内的各种组件的控制。操作系统可以是商业可用的操作系统,例如Microsoft Windows XP(Microsoft和Windows是在美国和其他国家的微软公司的商标)。面向对象的编程系统,例如Java编程系统,可以结合操作系统运行,并向操作系统提供来自Java程序或在数据处理系统200上执行的应用程序的调用。Java及所有基于Java的商标是在美国和其他国家的Sun Microsystems公司的商标。
用于操作系统、面向对象的编程系统以及应用程序或程序的指令被设置在存储设备上,例如硬盘驱动器226,并且可以被加载到主存储器208中以由处理单元206执行。说明性实施例的方法可以由处理单元206利用计算机实现的指令来执行,所述指令可以被设置在存储器中,例如主存储器208、只读存储器224,或者在一个或多个外围设备中。
图1-2中的硬件可以根据实现而改变。其他内部硬件或外围设备,例如闪存、等效非易失性存储器或光盘驱动器等,可以与图1-2所示的硬件一起使用或代替它。同样,说明性实施例的方法可以应用于多处理器数据处理系统。
在一些说明性实例中,数据处理系统200可以是个人数字助理(PDA),其通常被配置有闪存以提供非易失性存储器用于存储操作系统文件和/或用户生成的数据。总线系统可以由一个或多个总线构成,例如系统总线、I/O总线和PCI总线。当然,可以使用任何类型的通信构造或结构来实现总线系统,其在连接到该构造或结构的不同组件或设备之间规定数据的传送。
通信单元可以包括一个或多个用于传送和接收数据的设备,例如调制解调器或网络适配器。存储器可以是例如主存储器208或者例如在北桥和内存控制集线器202中的高速缓冲存储器。处理单元可以包括一个或多个处理器或CPU。图1-2所示的实例以及上文描述的实例并不意味着结构上的限制。例如,除了采取PDA的形式之外,数据处理系统200也可以是台式计算机、膝上型计算机或电话设备。
计算机网络可以包括但不限于计算机、显示设备、打印机、数据存储设备以及通过电信设备或电缆连接的任何其他关于计算机的硬件和软件的任何组合。局域网(LAN)是彼此相对接近的计算机的网络。例如,LAN中的计算机和计算机设备可以位于单个建筑物内。LAN的实例是以太网。广域网(WAN)是跨越相对较大地理区域的网络。例如,WAN中单独的计算机可能位于成百或成千英里以外。WAN的实例是互联网。
用户通过接入点接入网络,例如图1中的AP 109。在无线网络中,客户端计算机上的用户请求从无线接入点(WAP)接入。在允许客户端连接之前,AP可能要求用户输入用户登录信息,例如用户名和密码。然而,不能对每个接入点(AP)加载每个授权用户和员工的合法登录信息。因此,AP与远程认证拨入用户服务(RADIUS)服务器联系以认证用户登录信息。
例如,当IBM员工的膝上型电脑与WAP联系以接入IBM内部网络时,膝上型电脑传送该员工的IBM企业内网密码和用户ID到WAP。WAP与RADIUS服务器联系,RADIUS服务器确定该用户名和密码是否是合法的。如果用户名和密码是合法的,则RADIUS服务器认证该用户。如果用户名和密码不是合法的,则RADIUS服务器不认证该用户。RADIUS服务器通知AP认证的成功或失败。如果认证是成功的,则AP准许用户的膝上型电脑接入网络并为该膝上型电脑分配IP地址。
同样,网络接入服务器(NAS)是到远程资源的接入点,例如计算机、打印机或数据存储设备。计算机上的客户端请求接入以连接到网络。客户端通常被要求输入登录信息,例如用户名和密码或其他授权信息。NAS本身不包括关于合法用户登录信息的信息。因此,NAS发送请求的客户端的登录信息到RADIUS服务器用以验证。如果RADIUS服务器验证了用户的登录信息,则NAS准许客户端连接并访问受保护的资源。然而,如果黑客突破了防火墙或者通过攻击网络而获得了合法的登录信息,例如分配给授权用户的用户名和密码,则黑客能够获得对网络的接入,即使黑客并不是授权的用户。
因此,说明性实施例提供了用于认证用户到网络的计算机实现的方法、设备和计算机程序产品。在一个实施例中,响应于接收到来自用户的关于访问受保护的资源的请求,所述方法发送唯一的比特序列到用户使用的网络连接中。下一步,响应于接收到对由用户登录网络时认证该用户的接入点接收到源安全检查包的验证,所述方法认证用户并允许该用户访问受保护的资源。
在另一实施例中,受保护的资源发送由请求访问受保护的资源的用户使用的互联网协议地址到认证服务器。响应于对互联网协议地址的接收,认证服务器取回互联网协议地址所使用的用户名和密码对。认证服务器发送由被分配该互联网协议地址的用户所使用的登录信息。响应于接收到该注册信息,受保护的资源使用登录信息认证用户。在该实例中,登录信息是用户名和密码对。然而,按照说明性实施例,登录信息可以包括任何用于认证用户的信息。例如,登录信息可以包括用户标识符、安全协议、指纹扫描、声纹或者任何其他用于认证用户的信息。
图3是说明当按照说明性实施例执行安全源检查时的数据流的框图。网络数据处理系统300是被连接以形成网络的两个或更多计算设备的网络,例如图1中的网络数据处理系统100。
用户301是计算设备处的请求从接入点302接入网络的用户。接入点302是用于使得用户能连接到网络的任何设备,例如图1中的接入点109。接入点302可以包括但不限于路由器、无线接入点、网络接入点和/或全部有线接入点。
网络303是任何类型的网络,包括但不限于广域网、局域网、互联网、企业内网、以太网或网络类型的任意组合。例如,网络303可以包括例如图1中的网络202的网络。在该实例中,网络303是公司内网。企业内网是内部的、私有的商用网络。仅授权的用户和授权的公司员工才能接入企业内网。
在该实例中,接入点302不提供到网络303的开放接入。因此,在用户301被允许连接到网络303之前,接入点302提示用户301提供用于认证的登录ID 304。登录ID 304是任何用户名、密码、数字签名和/或用于将用户认证为被授权接入私有网络的用户或员工的任何其他方式。在该实例中,登录ID 304是用户名和密码。
接入点302可能不为每个被授权连接到网络303的用户存储每个用户名和密码,因此,用户301直接认证到认证服务器306。换句话说,通过接入点302提供的到认证服务器306的网络连接,用户301直接将登录ID304发送到认证服务器306。由认证服务器306对用户301进行的、使得用户301能够初始连接到网络303的认证被称为主RADIUS认证。
认证服务器306是用于认证用户登录ID的服务器。认证服务器306是实现用于认证用户的认证协议的任何服务器。在该实例中,认证服务器306是RADIUS服务器,例如图1中的RADIUS服务器106。
如果登录ID 304是合法的登录ID,则认证服务器306分配互联网协议(IP)地址308给用户301并发送IP地址308到接入点302。IP地址是被分配给网络上的计算机或其他设备的唯一地址,网络设备使用该IP地址来彼此识别和通信。
只要计算设备连接到网络303,认证服务器306分配给用户301的IP地址308就唯一地标识了网络303中的用户301所使用的计算设备。换句话说,如果用户301正在使用膝上型计算机在接入点302接入网络303,则只要膝上型计算机通过接入点302上的接入端口连接到网络303,IP地址308就唯一地标识了该膝上型计算机并将该膝上型计算机与登录ID 304相关联。每次用户退出网络303并且然后重新连接到网络303时,不同的IP地址可能被分配给该用户。然而,在任何给定的时间,相同的IP地址不会被分配给网络上多于一个的设备。因此,IP地址308对于网络303是唯一的。IP地址308被用于标识网络303上用户301所使用的计算设备。在该实例中,网络303是企业内网。然而,在不同的实例中,IP地址308可以被用于唯一地标识任何类型网络中的计算设备,包括但不限于互联网、企业内网、以太网或任何其他类型的网络。
认证服务器306为认证服务器306认证的每个用户保存登录ID 304和IP地址308。在该实例中,认证服务器306为用户301存储用户名、用户密码和IP地址308。被保存的登录ID 304和IP地址308可以在随后的用户301的次认证期间由认证服务器306使用。
边界业务提供(Boundary Service Offering,BSO)路由器312是用于在网络之间转发数据包的设备。BSO路由器312被设置在网关上,该网关在网络303和位于不同网络上的远程资源314之间。远程资源314是与BSO路由器312关联的局域网中的资源。在该实例中,BSO路由器312是Cisco的产品。
BSO路由器312通过在准许用户接入局域网之前要求用户的登录认证来保护连接到BSO路由器312的局域网的资源。
远程资源314是网络上的任何资源。例如,远程资源314可以包括计算机、数据库、应用程序、打印机或者可通过BSO路由器312访问的任何其他设备或资源。远程资源314包括受保护的、私有的和/或机密的数据。BSO路由器312通过要求用户提供认证(例如企业内网密码316)以访问远程资源314位于其中的局域网,来保护远程资源314以使其不能被未授权的用户访问。
例如,BSO路由器312可以是保护到实验室的接入的路由器,所述实验室包括两台或更多含有未发布软件的机器。在该实例中,BSO路由器312保护位于实验室中的机器组。该机器组包括远程资源314。用户必须登录到BSO路由器312并且提供合法的企业内网密码,例如企业内网密码316,以获得到实验室中的包括远程资源314的一台或多台机器的访问。
用户301通过telnet连接到BSO路由器312。Telnet是用于在两个主机之间建立连接的协议。然而,telnet会话是不安全的。换句话说,在telnet上传送的用户名和密码是未加密的。
当用户301请求访问远程资源314时,BSO路由器312提示用户输入合法的用户登录,例如用于认证用户301的用户名和/或企业内网密码316。企业内网密码316可以是与登录ID 304中所使用的相同的密码。然而,企业内网密码316也可以是和登录ID 304中所使用的不同的密码。
即使当用户301通过BSO路由器312认证,telnet目标机器,例如远程资源314,也将要求合法的登录信息,例如用户名和密码。Telnet目标机器也可以请求用户301的RADIUS次认证。
然而,由于telnet会话是未加密的,因而企业内网密码316穿过网络连接而被透明地传送。黑客318可以通过攻击telnet连接来获取企业内网密码316。然后,黑客318可以使用企业内网密码316来获得对受保护的资源的访问。在该实例中,黑客318是试图获取到网络(例如网络303)的未授权接入的用户。
如果黑客318使用窃取到的企业内网密码316访问受保护的资源,例如受保护的资源320或远程资源314,则通过telnet会话所访问的受保护的资源不能辨别黑客或其他恶意网络监听是否源于被分配给用户301用于这次特定登录会话的网络端口和授权的计算设备。
这个漏洞对于BSO路由器312的认证是存在的,当用户301远程登录到机器时也存在。在两种情况中,用户301输入的密码和登录信息以透明的未加密文本在公司网络上被发送。当用户301使用telnet连接到一个机器并且然后认证到DCE(分布式计算环境)、高级文件系统(FSA)、全局存储结构(GSA)或任何其他获取数据的分布式方式时,密码和登录信息也是被透明地传送的。因此,受保护的资源320通过用户301使用的网络连接发送源安全检查包以认证用户连接的源,并验证用户是位于已认证计算设备和针对授权用户的正确的接入点端口。在该实例中,源安全检查包是唯一的比特序列。唯一的比特序列是随机的比特序列。比特序列可以是连接流最大传输单元(MTU)的长度。例如,如果MTU大小是512字节,则唯一的比特序列可以是512字节的随机比特序列。唯一的比特序列可以是用户选择的任何长度的比特序列。比特序列的长度可以有足够的长度以使得唯一的比特序列能够被生成。换句话说,如果比特序列足够长,则在预定时间间隔期间,比特序列基本不可能被复制到正在网络连接上被传送的其它数据分组中。可以使用任何已知的或可用的用于生成唯一的比特序列的方法来生成唯一的比特序列。
因此,在该说明性实例中,用户301试图在接入点302连接到网络。接入点302提示用户301输入登录ID 304。接入点302发送登录ID 304到认证服务器306以由认证服务器306直接认证。
响应于从接入点302接收到用户名和密码,认证服务器306确定用户名和密码是否是合法的。如果在预定时间周期内没有从认证服务器306接收到认证,则接入点302将拒绝用户301接入网络。换句话说,不允许用户301在接入点302连接到网络。
如果用户名和密码是合法的,则认证服务器306发送用户名和密码的认证到接入点302。该认证包括分配给用户301的IP地址308以唯一地标识用户301所使用的计算设备从而连接到网络。因此,当用户301最初登录到网络303时,用户301直接被认证服务器306认证。这可以称作用户301的主RADIUS认证。在该实例中,使用任何已知的或可用的用于由RADIUS服务器认证用户的方法来进行用户301的主RADIUS认证。
认证服务器306保存登录ID 304和分配给用户301的IP地址308。因此,认证服务器306知道用户301当前正接入网络的IP地址和网络接入点。登录ID 304和IP地址308可以被认证服务器306用以识别用户301的网络接入点源。
在这种情况下,认证服务器306知道连接到网络的用户301在接入点302上的网络端口处。认证服务器306也知道用户301的登录ID 304,以及被分配给用户301的IP地址308。这个信息可以被用来确保用户301只可以通过该单一RADIUS认证端口或从该端口被认证到其他网络服务。
响应于接收到认证,接入点302允许用户301连接到网络。当用户301连接到网络303时,用户301请求资源保护点322建立telnet会话以使得用户301能够访问远程资源314。资源保护点322是任何用以访问受保护的数据库的资源保护点、到受保护的资源的登录认证,或者是任何认证点。资源保护点322也可以包括telnet点自身。资源保护点322也可以是BSO路由器,例如BSO路由器312。然而,资源保护点322并不必须包括BSO路由器。当认证企业内网密码316时,资源保护点322为用户301建立telnet会话以访问远程资源314。
在一个实施例中,资源保护点322通过认证服务器306认证用户301。认证服务器306认证用户301的源IP地址与用户301在资源保护点322和/或受保护的资源320处输入的用户ID相关联。换句话说,在被准许访问受保护的资源320之前,在资源保护点322和/或受保护的资源320提示用户301输入用户名和密码。认证服务器306认证用户名和密码与分配给该用户名和密码的IP地址相对应。
在另一实施例中,受保护的资源,例如远程资源314,通过受保护的资源自己的认证机制来验证用户ID和密码。在该实例中,受保护的资源可以将认证服务器306返回给受保护的资源的用户ID和密码对应用于受保护的资源自己的认证机制。因此,用户将不会被要求再次输入用户ID和密码对。这个受保护的资源的认证机制可以包括任何已知的或可用的用于认证用户的机制或方法。
因此,在该实例中,黑客318获得企业内网密码316,并使用属于用户301的企业内网密码316来请求访问受保护的资源320。受保护的资源320查询认证服务器306。该查询向认证服务器306询问黑客318所使用的网络连接是否来自IP地址308。该查询还向认证服务器306询问黑客318是否被分配了IP地址308。然而,由于黑客318已使用了窃取的用户名和密码以及telnet来连接到受保护的资源320,因此,认证服务器306可能不能确定网络连接是否来自IP地址308以及黑客318是否被分配了IP地址308。
如果认证服务器306不能验证黑客318使用的网络连接来自IP地址308,则受保护的资源320发送通知417给认证服务器306。通知417表明受保护的资源320将注入唯一的网络比特序列到黑客318使用的网络连接中。然后,受保护的资源320注入源安全检查包到该连接中。
认证服务器306发送通知到接入点302以通知接入点302受保护的资源320正在注入源安全检查包到网络连接中。然后,接入点302将在预定时期内为源安全检查包监控网络连接。
如果接入点302识别出或检测到去往用户301使用的计算设备的源安全检查包,则接入点302删除或丢弃该源安全检查包并通知认证服务器306由受保护的资源320发送的源安全检查包确实去往正确的已认证的用户计算设备。然后,认证服务器306发送授权到受保护的资源320以通知受保护的资源320请求访问的用户是经过认证的。然后,受保护的资源320允许用户连接并访问该受保护的资源。
然而,在该实例中,黑客318请求访问受保护的资源320。因此,当受保护的资源320发送源安全检查包到黑客318使用的网络连接中时,源安全检查包将不是去往用户301使用的已认证的用户计算设备。作为替代,源安全检查包将去往黑客318使用的未认证的计算设备。因此,在预定时期内,接入点302将看不到或检测不到去往用户301使用的已认证的计算设备的源安全检查包。因此,接入点302将不发送授权到认证服务器306,并且认证服务器306将不发送验证到受保护的资源320。
当受保护的资源320未收到来自认证服务器306的授权时,受保护的资源320将拒绝黑客318访问受保护的资源,其中所述授权指示源安全检查包去往与IP地址308和用户301相关联的正确的已认证计算设备。换句话说,受保护的资源320将识别出黑客318正在使用分配给用户301的密码和IP地址并且阻止黑客318访问受保护的资源320上的资源。
在该实例中,已认证的用户计算设备是膝上型电脑。然而,已认证的用户计算设备可以是任何类型的已知的或可用的计算设备,包括但不限于台式计算机、PDA、蜂窝电话、平板(tablet)PC或任何其他类型的计算设备。
在另一实施例中,当用户301从资源保护点322请求访问受保护的资源320时,资源保护点322和/或受保护的资源320不提示用户301输入用于认证的用户登录信息。作为替代,资源保护点322发送用于用户301的IP地址到认证服务器306。换句话说,每次用户为了访问而连接到受保护的资源320时,用于受保护的资源的资源保护点322联系认证服务器306并发送查询。来自资源保护点322的查询表明一个IP地址的用户(例如IP地址308)正在请求访问受保护的资源。IP地址308可以是例如9.4.4.4的IP地址。认证服务器306为用户301查找IP地址308使用的登录ID 304。在该实例中,登录ID 304是用户ID和密码对。认证服务器306发送登录ID到受保护的资源320的资源保护点322。在主RADIUS认证过程期间,认证服务器306保存IP地址308使用的用户名和密码对。认证服务器306将IP地址308使用的用户名和密码对返回到资源保护点322。用户名和密码对以加密的格式被传送。
当资源保护点322接收到来自认证服务器306的用户名和密码对时,资源保护点322使得用户301能够连接到受保护的资源320而无须用户301输入用户名和密码对。如此,每次用户通过BSO路由器312连接到远程资源314,或者通过资源保护点322连接到受保护的资源320,用户名和密码都不是透明地在telnet连接上被传送的。
资源保护点322和/或受保护的资源320将接收自认证服务器306的用户名和密码对应用于资源保护点和/或受保护的资源自己的认证机制。资源保护点322和/或受保护的资源320不要求用户301输入用户名和密码对。因此,每次用户301连接到不同的受保护的资源时,该用户能够连接到受保护的资源320而无须重新输入相同的用户名和密码。该方法可以称作单点登录特性。
图4是说明当源安全检查包按照说明性实施例被注入网络连接时的数据流的框图。网络数据处理系统400是被连接以形成网络的两个或更多计算设备的网络,例如图1中的网络数据处理系统100。网络可以包括广域网、局域网、互联网、企业内网或网络类型的任何组合。
用户402是请求从接入点404接入网络的计算设备上的用户。接入点404是用于使得用户能连接到网络的任何设备,例如图1中的接入点109或图3中的接入点302。受保护的资源406和410是受保护的资源,例如图3中的受保护的资源320。
认证服务器414是用于认证用户登录ID的服务器。认证服务器414是实现用于认证用户的认证协议的任何服务器。在该实例中,认证服务器414是RAIUD服务器,例如图1中的RADIUS服务器106和图3中的认证服务器306。
因此,在该实例中,用户402在接入点404的端口处连接到网络。在允许用户402接入网络之前,接入点提示用户402输入用户名和/或密码。接入点404传送用户402输入的用户名和密码到认证服务器414用于认证。
在用户402被认证并连接到网络之后,用户402使用telnet407从接入点404连接到受保护的资源406。然后,用户402在受保护的资源406和受保护的资源410之间使用telnet 408建立连接,并请求访问受保护的资源410。
受保护的资源410发送查询到认证服务器414以询问用户402所使用的网络连接是否来自已认证的计算设备。然而,由于用户402已加入两个telnet会话以到达受保护的资源,因而认证服务器414可能不能确定网络连接是否源自连接到接入点404的端口的已认证计算设备。
因此,受保护的资源410发送通知412到认证服务器414。通知412通知认证服务器414受保护的资源410将注入源安全检查包到用户402所使用的网络连接中。然后,受保护的资源410注入源检查416到连接中。源检查416是源安全检查包。
在该实例中,源检查416是唯一的网络比特序列。唯一的网络比特序列可以是长度为连接流最大传输单元(MTU)的随机比特序列。MTU可以是任何MTU值。通常,MTU值是512字节。MTU是TCP/IP协议的一部分。
认证服务器414发送通知412到接入点404。通知412通知接入点受保护的资源410正在注入源安全检查包到网络连接中。然后,接入点404开始针对源安全检查包而监控网络连接。
接入点404在预定时期内检测源检查416。预定时期是任何用户可定义的时间量。预定时期也可以是默认的或预定的时间量。
接入点404发送验证源418消息到认证服务器414。验证源418消息验证了源安全检查包被检测到去往接入点404的端口处的用户402的已认证计算设备。然后,认证服务器414发送授权连接420消息到受保护的资源410。授权连接420通知受保护的资源410源安全包是去往接入点404上的正确端口处的已认证计算设备。因此,用户402所使用的网络连接的源是已认证的。然后,受保护的资源410允许用户402访问受保护的资源410。
按照该实施例,如果接入点404没有在预定时期内检测到源检查416,接入点404将不会发送通知412到认证服务器414。同样,认证服务器414将不会在预定时期内接收到验证源418。因此,认证服务器414将不会发送授权连接420消息。在该实例中,当受保护的资源410没有在预定时期内接收到授权连接420消息时,受保护的资源410将不允许用户402访问受保护的资源410。
因此,RAIUD服务器能够检查用户的名称和密码。另外,RADIUS服务器还能够检查用户使用的IP地址是被分配给连接到接入点的端口上的已认证计算设备的正确的IP地址。因此,即使黑客能够获取正确的用户名和密码以登录到受保护的资源,如果用户没有使用正确的IP地址则RADIUS服务器就不会认证该用户。换句话说,如果用户的连接不是来自用户使用的IP地址所标识的已认证计算设备,则RADIUS服务器将不认证该用户并且该用户将不被准许访问受保护的资源。
在该实施例中,认证服务器404检查用户登录名、密码和IP地址。在另一实施例中,认证服务器也可以检查用于访问资源的安全策略。安全策略定义了用户能够在何时以及如何访问受保护的资源。如果安全策略要求用户从特定的建筑物或建筑物中的办公室接入网络,则如果IP地址被分配给不是位于正确建筑物和/或办公室中的计算设备则认证服务器将不准许用户访问受保护的资源。换句话说,如果用户正在通过例如互联网上的远程防火墙接入网络,则如果安全策略要求用户从直接连接到LAN中的本地计算机接入内部私有LAN则认证服务器不准许用户接入。
图5是说明用于由受保护的资源按照说明性实施例执行安全源检查的方法的流程图。在图5中示出的该说明性实例中,所述方法由用于执行源安全检查的软件组件来实现,例如图3中的受保护的资源320和/或图4中的受保护的资源406或410。
该方法开始于接收到来自用户的关于访问受保护的资源的请求(步骤502)。该方法识别互联网协议(IP)地址N和请求访问的用户“X”(步骤504)。该方法发送查询到认证服务器以请求预定时期内的回复(步骤506),该回复是关于用户的连接是否来自被分配给用户“X”的标识的IP地址“N”。
该方法作出关于是否在预定时期内接收到确认的判定(步骤508),所述确认是关于连接是来自所标识的IP地址并且IP地址是被分配给用户“X”的。如果该方法确定连接是来自被分配给用户“X”的标识的IP地址“N”,则该方法允许用户访问资源(步骤509),然后该方法终止。
返回到步骤508,响应于对在预定时期内没有接收到确认的判定,该方法发送关于源安全检查包将被发送到网络连接中的通知到认证服务器(步骤510)。源安全检查包可以是唯一的比特序列。
下一步,该方法注入源安全检查包到连接中(步骤512)。该方法作出关于在预定时期内是否接收到认证用户的验证或授权的判定(步骤514)。如这里使用的,预定时期可以包括用户定义的时期。预定时期也可以包括预设的或默认的时期。
如果在预定时期内没有接收到验证或授权,则该方法此后终止。如果在预定时期内接收到验证或授权,则该方法使得用户能够访问受保护的资源(步骤509),然后该方法终止。
图6是说明用于由认证服务器按照说明性实施例验证安全源检查的方法的流程图。在图6所示的这个说明性实例中,该方法由用于提供到网络的接入的软件组件来执行,如图3的接入点302和/或图4中的接入点404。
该方法开始于接收到来自受保护的资源的查询(步骤602),所述查询是关于请求访问受保护的资源的用户“X”所使用的网络连接是否来自分配给用户“X”的IP地址“N”。该方法发送回复(步骤604)。换句话说,如果该方法确定IP地址“N”是被分配给用户“X”的并且用户“X”使用的连接来自IP地址“N”,则该方法发送回复以确认连接是来自分配给用户“X”的IP地址“N”的。如果该方法不能确认连接来自分配给用户“X”的IP地址“N”,则该方法发送表明相同含义的回复到受保护的资源。
下一步,该方法作出关于是否接收到通知的判定(步骤606),该通知表明受保护的资源正在注入源安全检查包到用户正使用的网络连接中。例如,源安全检查包可以是唯一的比特序列。如果没有接收到通知,则该方法此后终止。
如果接收到通知,则该方法发送通知到网络的接入点(步骤608),该通知表明受保护的资源正在注入源安全检查包到用户正使用的网络连接中。该方法作出关于是否在预定时期内接收到来自接入点的验证了源安全检查包被接收的验证(步骤610)。如果没有接收到所述验证,则该方法此后终止。
返回到步骤610,如果接收到验证,则该方法发送验证或授权到受保护的资源以认证用户(步骤612),然后该方法终止。当用户被认证时,受保护的资源将允许用户访问受保护的资源。
图7是说明用于由接入点按照说明性实施例响应安全源检查的方法的流程图。在图7所示的这个说明性实例中,该方法由用于认证用户的软件组件来执行,例如图3中的认证服务器306和/或图4中的认证服务器414。
该方法开始于接收到来自认证服务器的通知,所述通知是关于受保护的资源正在注入源安全检查包到请求访问该受保护的资源的用户所使用的网络连接中(步骤702)。源安全检查包可以是任何唯一的比特序列。
下一步,该方法作出关于是否在预定时期内接收到源安全检查包的判定(步骤704)。换句话说,接入点在预定时期内针对源安全检查包而监控网络连接。如果在预定时期内没有接收到源安全检查包,则该方法此后终止。如果在预定时期内接收到源安全检查包,则该方法发送关于源安全检查包被接收的验证到认证服务器(步骤706),然后该方法终止。
现在参考图8,示出了用于由认证服务器按照说明性实施例进行单点登录认证的方法的流程图。在图8所示的这个说明性实例中,该方法由用于认证用户的软件组件来执行,例如图3中的认证服务器306和/或图4中的认证服务器414。
该方法开始于接收到用于请求访问受保护的资源的用户的IP地址(步骤802)。该IP地址可以在来自受保护的资源或资源保护点的查询中被发送到认证服务器。
下一步,该方法取回该IP地址所使用的用户名和密码对(步骤804)。当用户在主RADIUS认证期间最初被认证时,认证服务器保存该IP地址所使用的用户名和密码对。
该方法发送用户名和密码对到受保护的资源(步骤806),该方法此后终止。在另一实施例中,该方法发送用户名和密码对到资源保护点。资源保护点和/或受保护的资源在资源保护点和/或受保护的资源自己的认证机制中使用该用户名和密码对。
图9是说明按照说明性实施例的单点登录认证请求的方法的流程图。在图8所示的这个说明性实例中,该方法由用于保护对资源的访问的软件组件来执行,例如图3中的受保护的资源320或资源保护点322,或图4中的受保护的资源410。
该方法开始于接收到访问受保护的资源的请求(步骤902)。该方法发送用于请求访问受保护的资源的客户端的IP地址到认证服务器(步骤904)。
下一步,该方法接收来自认证服务器的用户名和密码对(步骤906)。该方法使用接收自认证服务器的用户名和密码对来执行用户登录(步骤908)。换句话说,该方法不提示用户输入用户名和密码。作为替代,该方法使用接收自认证服务器的用户名和密码来认证该用户。
该方法作出关于是否执行附加认证的判定(步骤910)。如果该方法不执行附加的认证,则该方法此后终止。
返回到步骤910,如果该方法的确进行附加认证,则该方法使用受保护的资源的认证机制来执行附加的认证(步骤912),然后该方法终止。该方法可以将接收自认证服务器的用户名和密码用于认证机制。在另一实施例中,该方法可以提示用户输入用户名和密码以用在认证机制中从而认证用户。
因此,说明性实施例提供了用于认证用户到网络的计算机实现的方法、设备和计算机程序产品。在一个实施例中,响应于接收到来自用户的关于访问受保护的资源的请求,受保护的资源发送源安全检查包到用户所使用的网络连接中。下一步,响应于接收到关于源安全检查包被用户登录到网络时认证用户的接入点接收的验证,受保护的资源认证用户并允许用户访问受保护的资源。
在该方法中,说明性实施例提供了RADIUS安全源检查(RADIUSsecurity origin check,RSOC),其允许任何受保护的资源针对用户的认证而查询RADIUS服务器。受保护的资源能够通知RADIUS服务器用户将要登录到受保护的资源并请求用户的认证。
说明性实施例允许受保护的资源基于用户的网络连接的源来认证用户。因此,在说明性实施例中,RADIUS服务器不但能够认证用户到网络,而且即使当用户远程登录到多个不同的受保护的资源时RADIUS服务器也能够确保用户对受保护的资源的任何访问都是源自正确的网络接入端口。
附图中的流程图和框图说明了根据不同实施例的系统、方法和计算机程序产品的可能实现的结构、功能和操作。在这点上,流程图或框图中的每个块可以代表包括一个或多个用于执行指定逻辑功能的可执行指令的代码模块、代码段或代码部分。还应当指出,在一些可选的实现中,块中注明的功能可以以与图中注明的顺序不同的顺序发生。例如,两个连续示出的块事实上可以基本上同时执行,或者块有时也可以按照所包含的功能而以相反的顺序被执行。
本发明可以采取完全硬件的实施例、完全软件的实施例或者包含硬件和软件元件二者的实施例的形式。在优选实施例中,本发明被实现在软件中,其包括但不限于固件、驻留软件、微码等。
而且,本发明可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式,所述计算机可用或计算机可读介质提供由计算机或任何指令执行系统使用的、或与其结合地使用的程序代码。为了进行描述,计算机可用的或计算机可读的介质可以是任何实体装置,其可以包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与其结合地使用的程序。
介质可以是电子的、磁的、光的、电磁的、红外的或半导体系统(或装置或设备)或传播介质。计算机可读介质的实例包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。当前的光盘实例包括光盘-只读存储器(CD-ROM)、光盘-读/写(CD-R/W)和DVD。
适合存储和/或执行程序代码的数据处理系统将包括至少一个直接或通过系统总线间接耦合到存储器元件的处理器。存储器元件可以包括在程序代码的实际执行期间使用的本地存储器、大容量存储器以及高速缓冲存储器,高速缓冲存储器提供至少一些程序代码的临时存储以减少在执行期间必须从大容量存储器取回代码的次数。
输入/输出或I/O设备(包括但不限于键盘、显示器、指点器等)可以直接地或通过中间I/O控制器而耦合到系统。
网络适配器也可以耦合到系统以使得数据处理系统能够通过中间私有或公共网络而耦合到其他数据处理系统或远程打印机或存储设备。调制解调器,电缆调制解调器和以太网卡只是几个当前可用的网络适配器的类型。
本发明的说明书已经为说明和描述的目的而被介绍,并且并不旨在以公开的形式限制本发明。许多修改和变型对于本领域技术人员而言是显而易见的。选择并描述实施例以最好地解释本发明的原理、实际应用,并且使本领域技术人员理解本发明对于具有不同修改的不同实施例均适合于所设想的特定的使用。
Claims (20)
1.一种用于认证用户到网络的计算机实现的方法,所述计算机实现的方法包括:
响应于接收到来自用户的关于访问受保护的资源的请求,发送唯一的比特序列到所述用户所使用的网络连接中;以及
响应于接收到关于所述唯一的比特序列已经由所述用户登录到网络时认证该用户的接入点接收的验证,认证该用户以访问所述受保护的资源。
2.根据权利要求1的计算机实现的方法,还包括:
识别用于由所述用户使用以连接到网络的网络连接的互联网协议地址。
3.根据权利要求1的计算机实现的方法,还包括:
发送查询到认证服务器,其中,所述查询请求确认所述网络连接是源自分配给所述用户的互联网协议地址的。
4.根据权利要求1的计算机实现的方法,还包括:
发送关于所述受保护的资源正在注入所述唯一的比特序列到所述网络连接中的通知到认证服务器。
5.根据权利要求3的计算机实现的方法,还包括:
发送关于所述受保护的资源正在注入所述唯一的比特序列到所述网络连接中的通知到所述接入点。
6.根据权利要求1的计算机实现的方法,还包括:
基于对所述唯一的比特序列被检测到去往与分配给所述用户的互联网协议地址相关联的计算设备的判定,确认所述用户所使用的网络连接是源自分配给该用户的互联网协议地址的。
7.根据权利要求6的计算机实现的方法,其中,所述确认还包括:
发送关于验证所述网络连接的源的消息到认证服务器。
8.根据权利要求7的计算机实现的方法,还包括:
响应于接收到关于验证所述网络连接的源的所述消息,发送所述用户的认证到所述受保护的资源。
9.根据权利要求8的计算机实现的方法,其中,所述认证是关于所述唯一的比特序列由所述用户登录到网络时认证该用户的接入点接收的验证。
10.根据权利要求1的计算机实现的方法,其中,所述唯一的比特序列是具有比特长度等于最大传输单元长度的随机比特序列。
11.一种用于认证用户到网络的计算机实现的方法,所述计算机实现的方法包括:
响应于接收到来自用户的关于访问受保护的资源的请求,发送所述用户所使用的互联网协议地址到认证服务器;以及
响应于接收到来自所述认证服务器的所述用户的登录信息,使用所述登录信息来认证所述用户。
12.根据权利要求11的计算机实现的方法,其中,所述登录信息是用户名和密码对。
13.根据权利要求11的计算机实现的方法,还包括:
由所述认证服务器响应于接收到来自所述受保护的资源的所述用户的互联网协议地址,取回由所述互联网协议地址使用的用户名和密码对;以及
发送所述用户名和密码对到所述受保护的资源,其中,所述用户名和密码对构成所述登录信息。
14.一种用于认证用户到网络的设备,包括:
用于响应于接收到来自用户的关于访问受保护的资源的请求而发送唯一的比特序列到所述用户所使用的网络连接中的装置;以及
用于响应于接收到关于源安全检查包由所述用户登录到网络时认证该用户的接入点接收的验证而认证所述用户以访问所述受保护的资源的装置。
15.根据权利要求14的设备,其中,所述唯一的比特序列是具有比特长度等于最大传输单元长度的随机比特序列。
16.根据权利要求14的设备,还包括:用于基于对所述唯一的比特序列被检测到去往与分配给所述用户的互联网协议地址相关联的计算设备的判定而确认所述用户所使用的网络连接是源自分配给该用户的互联网协议地址的装置。
17.一种用于认证用户到网络的系统,所述系统包括:
受保护的资源,其中,所述受保护的资源发送唯一的比特序列到所述用户所使用的网络连接中以判定该用户是否是授权的用户,并且其中,所述受保护的资源通知认证服务器所述唯一的比特序列已经被发送。
18.根据权利要求17的系统,还包括:
接入点,其中,所述接入点检测到所述唯一的比特序列是去往计算设备的。
19.根据权利要求17的系统,还包括:
认证服务器,其中,如果所述唯一的比特序列被所述接入点检测到去往对应于分配给所述用户的互联网协议地址的已认证计算设备,则所述认证服务器验证所述用户是授权的用户。
20.根据权利要求17的系统,其中,所述唯一的比特序列是具有比特长度等于最大传输单元长度的随机比特序列。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/625,301 | 2007-01-20 | ||
| US11/625,301 US7886339B2 (en) | 2007-01-20 | 2007-01-20 | Radius security origin check |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101227468A true CN101227468A (zh) | 2008-07-23 |
| CN101227468B CN101227468B (zh) | 2011-08-03 |
Family
ID=39642555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100030779A Expired - Fee Related CN101227468B (zh) | 2007-01-20 | 2008-01-18 | 用于认证用户到网络的方法、设备和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7886339B2 (zh) |
| CN (1) | CN101227468B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997494A (zh) * | 2014-05-22 | 2014-08-20 | 北京京东尚科信息技术有限公司 | 一种抵御黑客攻击的方法和系统 |
| US9294891B2 (en) | 2012-04-12 | 2016-03-22 | Zte Corporation | Short message sending method, short message service center and gateway |
| CN105848151A (zh) * | 2016-05-27 | 2016-08-10 | 北京奇虎科技有限公司 | WiFi接入点设备及WiFi接入鉴权控制方法、装置 |
| CN105898750A (zh) * | 2016-05-27 | 2016-08-24 | 北京奇虎科技有限公司 | WiFi接入点设备及WiFi接入鉴权控制方法、装置 |
| CN105898749A (zh) * | 2016-05-27 | 2016-08-24 | 北京奇虎科技有限公司 | 便携式接入端设备及WiFi接入鉴权方法、装置 |
| CN106101065A (zh) * | 2016-05-27 | 2016-11-09 | 北京奇虎科技有限公司 | 便携式控制端设备及WiFi接入远程鉴权方法、装置 |
| CN109558119A (zh) * | 2018-11-09 | 2019-04-02 | 杭州安恒信息技术股份有限公司 | 一种基于Java的Web框架遍历请求地址的方法 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7584503B1 (en) * | 2005-02-22 | 2009-09-01 | Juniper Networks, Inc. | Federating trust in a heterogeneous network |
| US20080298344A1 (en) * | 2007-06-01 | 2008-12-04 | Motorola, Inc. | Method and Apparatus to Facilitate Assessing and Using Security State Information Regarding a Wireless Communications Device |
| US20090037582A1 (en) * | 2007-07-31 | 2009-02-05 | Morris Robert P | Method And System For Managing Access To A Resource Over A Network Using Status Information Of A Principal |
| US8627493B1 (en) * | 2008-01-08 | 2014-01-07 | Juniper Networks, Inc. | Single sign-on for network applications |
| CN102025701B (zh) * | 2009-09-17 | 2014-12-10 | 中兴通讯股份有限公司 | 身份位置分离网络中用户登录icp网站的方法和系统 |
| US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
| US8881258B2 (en) | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| US9916545B1 (en) * | 2012-02-29 | 2018-03-13 | Amazon Technologies, Inc. | Portable network interfaces for authentication and license enforcement |
| US9161219B2 (en) | 2012-06-22 | 2015-10-13 | Guest Tek Interactive Entertainment Ltd. | Authorizing secured wireless access at hotspot having open wireless network and secure wireless network |
| EP2750349A1 (en) * | 2012-12-31 | 2014-07-02 | British Telecommunications public limited company | Method and device for secure network access |
| KR102144509B1 (ko) * | 2014-03-06 | 2020-08-14 | 삼성전자주식회사 | 근접 통신 방법 및 장치 |
| US9832024B2 (en) | 2015-11-13 | 2017-11-28 | Visa International Service Association | Methods and systems for PKI-based authentication |
| US20180359639A1 (en) * | 2017-06-12 | 2018-12-13 | Francesco Trama | Methods and Systems for Protecting Computer Networks by Masking Ports |
| US11546323B1 (en) * | 2022-08-17 | 2023-01-03 | strongDM, Inc. | Credential management for distributed services |
| US11736531B1 (en) | 2022-08-31 | 2023-08-22 | strongDM, Inc. | Managing and monitoring endpoint activity in secured networks |
| US11765159B1 (en) | 2022-09-28 | 2023-09-19 | strongDM, Inc. | Connection revocation in overlay networks |
| US11916885B1 (en) | 2023-01-09 | 2024-02-27 | strongDM, Inc. | Tunnelling with support for dynamic naming resolution |
| US11765207B1 (en) | 2023-03-17 | 2023-09-19 | strongDM, Inc. | Declaring network policies using natural language |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010582B1 (en) * | 2000-06-26 | 2006-03-07 | Entrust Limited | Systems and methods providing interactions between multiple servers and an end use device |
| US7174456B1 (en) * | 2001-05-14 | 2007-02-06 | At&T Corp. | Fast authentication and access control method for mobile networking |
| JP3600578B2 (ja) * | 2001-09-29 | 2004-12-15 | 株式会社東芝 | 無線通信システム及び無線lanアクセスポイント |
| KR100470303B1 (ko) * | 2002-04-23 | 2005-02-05 | 에스케이 텔레콤주식회사 | 공중 무선 근거리 통신망에서 이동성을 갖는 인증 시스템및 방법 |
| CN1225870C (zh) * | 2002-09-23 | 2005-11-02 | 华为技术有限公司 | 基于虚拟局域网的网络接入控制方法及装置 |
| FR2846841B1 (fr) * | 2002-10-31 | 2005-02-18 | Orange France Sa | Systeme et procede de gestion d'acces d'un reseau de communication a un terminal mobile |
| US7284062B2 (en) * | 2002-12-06 | 2007-10-16 | Microsoft Corporation | Increasing the level of automation when provisioning a computer system to access a network |
| US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
| JP4425859B2 (ja) * | 2003-07-11 | 2010-03-03 | 日本電信電話株式会社 | アドレスに基づく認証システム、その装置およびプログラム |
| JP4701172B2 (ja) * | 2003-07-29 | 2011-06-15 | トムソン ライセンシング | リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 |
| JP4185853B2 (ja) * | 2003-11-28 | 2008-11-26 | 株式会社日立コミュニケーションテクノロジー | 無線システム、サーバ、および移動局 |
| US7716338B1 (en) * | 2003-10-24 | 2010-05-11 | Avaya, Inc. | Rehoming via tunnel switching |
| JP4305234B2 (ja) * | 2004-03-18 | 2009-07-29 | 日本電気株式会社 | 公衆無線lan接続サービス装置及びその方法 |
| JP2005286883A (ja) * | 2004-03-30 | 2005-10-13 | Canon Inc | パケット中継装置及びそのアドレス割り当て方法 |
| US20060021004A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for externalized HTTP authentication |
| JP4715239B2 (ja) * | 2005-03-04 | 2011-07-06 | 沖電気工業株式会社 | 無線アクセス装置、無線アクセス方法及び無線ネットワーク |
| US20060271485A1 (en) * | 2005-03-12 | 2006-11-30 | Jiwire, Inc. | Wireless connectivity security technique |
| US20060236369A1 (en) * | 2005-03-24 | 2006-10-19 | Covington Michael J | Method, apparatus and system for enforcing access control policies using contextual attributes |
| US8424067B2 (en) * | 2006-01-19 | 2013-04-16 | International Business Machines Corporation | Smart password determination |
| US20070204156A1 (en) * | 2006-02-28 | 2007-08-30 | Mark Jeghers | Systems and methods for providing access to network resources based upon temporary keys |
-
2007
- 2007-01-20 US US11/625,301 patent/US7886339B2/en not_active Expired - Fee Related
-
2008
- 2008-01-18 CN CN2008100030779A patent/CN101227468B/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9294891B2 (en) | 2012-04-12 | 2016-03-22 | Zte Corporation | Short message sending method, short message service center and gateway |
| CN103997494A (zh) * | 2014-05-22 | 2014-08-20 | 北京京东尚科信息技术有限公司 | 一种抵御黑客攻击的方法和系统 |
| CN103997494B (zh) * | 2014-05-22 | 2018-02-06 | 北京京东尚科信息技术有限公司 | 一种抵御黑客攻击的方法和系统 |
| CN105848151A (zh) * | 2016-05-27 | 2016-08-10 | 北京奇虎科技有限公司 | WiFi接入点设备及WiFi接入鉴权控制方法、装置 |
| CN105898750A (zh) * | 2016-05-27 | 2016-08-24 | 北京奇虎科技有限公司 | WiFi接入点设备及WiFi接入鉴权控制方法、装置 |
| CN105898749A (zh) * | 2016-05-27 | 2016-08-24 | 北京奇虎科技有限公司 | 便携式接入端设备及WiFi接入鉴权方法、装置 |
| CN106101065A (zh) * | 2016-05-27 | 2016-11-09 | 北京奇虎科技有限公司 | 便携式控制端设备及WiFi接入远程鉴权方法、装置 |
| CN109558119A (zh) * | 2018-11-09 | 2019-04-02 | 杭州安恒信息技术股份有限公司 | 一种基于Java的Web框架遍历请求地址的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7886339B2 (en) | 2011-02-08 |
| US20080178264A1 (en) | 2008-07-24 |
| CN101227468B (zh) | 2011-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| CN100438421C (zh) | 用于对网络位置的子位置进行用户验证的方法和系统 | |
| US9590973B2 (en) | Methods for fraud detection | |
| CA2689847C (en) | Network transaction verification and authentication | |
| US20170063829A1 (en) | Systems and methods for location-based authentication | |
| US8266683B2 (en) | Automated security privilege setting for remote system users | |
| US20130104214A1 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| EP2586174A1 (en) | Identity verification | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| CN115333840A (zh) | 资源访问方法、系统、设备及存储介质 | |
| EP2926527B1 (en) | Virtual smartcard authentication | |
| Bilal et al. | Assessment of secure OpenID-based DAAA protocol for avoiding session hijacking in Web applications | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
| CN108886524B (zh) | 保护远程认证 | |
| Gao et al. | A research of security in website account binding | |
| EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
| US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
| Ghazizadeh et al. | Secure OpenID authentication model by using Trusted Computing | |
| Hsu et al. | WebCallerID: Leveraging cellular networks for Web authentication | |
| CN114500074B (zh) | 单点系统安全访问方法、装置及相关设备 | |
| KR102199747B1 (ko) | Otp 기반의 가상키보드를 이용한 보안 방법 및 시스템 | |
| Riaz et al. | Analysis of Web based Structural Security Patterns by Employing Ten Security Principles | |
| Bolgouras et al. | Enabling Qualified Anonymity for Enhanced User Privacy in the Digital Era | |
| WO2008025137A1 (en) | Automated security privilege setting for remote system users |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110803 Termination date: 20190118 |