CN105791231B - 进行二次认证的宽带接入方法、终端、服务器和系统 - Google Patents
进行二次认证的宽带接入方法、终端、服务器和系统 Download PDFInfo
- Publication number
- CN105791231B CN105791231B CN201410812402.1A CN201410812402A CN105791231B CN 105791231 B CN105791231 B CN 105791231B CN 201410812402 A CN201410812402 A CN 201410812402A CN 105791231 B CN105791231 B CN 105791231B
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- account number
- password
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了进行二次认证的宽带接入方法、终端、服务器和系统。包括:认证服务器根据终端预置的帐号和密码进行一次认证,认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;根据终端的宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端,进行二次认证;终端根据真实的帐号和密码重新拨号,认证服务器认证通过后,进行正常宽带接入。本发明将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
Description
技术领域
本发明属于计算机及数据通信领域中的用户认证技术,尤其涉及利用宽带线路信息进行二次认证的宽带接入方法、终端、服务器和系统。
背景技术
网络服务提供商当前提供的宽带互联网接入手段主要是非对称数字环路(ADSL)方式,该接入技术以基于以太网的PPP(PPPoE)认证方式作为其主要认证方式。PPPoE的认证方式是用户终端在拨号时,通过密码认证协议(PAP)或询问握手认证协议(CHAP)提交一对帐号/密码或挑战值至网络侧认证鉴权计费服务器(AAA),通过网络侧对该帐号/密码的认证后,完成对用户的鉴权和接入的。
在实际使用过程中,考虑到保护用户帐号安全的需要,网络服务提供商在用户宽带开户时向用户提供的密码往往比较复杂,难以记忆,而用户在需要更换拨号终端如路由器需重新配置拨号帐号密码时,通常很难找到宽带开户时印有宽带密码的纸质业务单,从而给用户使用宽带造成了不便。与此同时,由于宽带在开户安装时存在宽带帐号、密码的一次配置过程,宽带安装时需要网络服务提供商派专人去用户家中进行安装和设置,费时、费力,也增加了网络服务提供商的支出,同时给用户也带来了不便。
发明内容
本发明要解决的一个问题是简化用户和宽带安装人员配置用户宽带拨号帐号、密码的操作。
根据本发明一方面,提出进行二次认证的宽带接入方法,包括:
认证服务器接收终端发起的一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;
认证服务器接收终端发起的二次认证请求,在所述二次认证请求中包括宽带线路信息,根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端;
认证服务器对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入。
进一步,认证服务器与终端预置相同的密钥,其中,终端根据密钥解密获取真实的帐号和密码。
进一步,宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
根据本发明一方面,提出进行二次认证的宽带接入方法,包括:
终端向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
终端在认证通过后接入网络,并向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息;
终端接收认证服务器下发的经过密钥加密后的真实的帐号和密码,所述真实的帐号和密码与所述宽带线路信息相匹配;
终端经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号以进行二次认证,在认证通过后,进行正常宽带接入。
进一步,终端与认证服务器预置相同的密钥,其中,认证服务器根据密钥加密真实的帐号和密码并下发给终端。
进一步,宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
根据本发明一方面,提出进行二次认证的宽带接入方法,包括:
终端向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
认证通过,认证服务器向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;
终端向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息;
认证服务器根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端;
终端经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号;
认证服务器对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入。
进一步,终端与认证服务器预置相同的密钥。
进一步,宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
根据本发明一方面,提出进行二次认证的认证服务器,包括:
一次认证单元,用于接收终端发起的一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;
二次认证单元,用于接收终端发起的二次认证请求,在所述二次认证请求中包括宽带线路信息,根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端;对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入。
进一步,所述二次认证单元与终端预置相同的密钥,其中,终端根据密钥解密获取真实的帐号和密码。
进一步,宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
根据本发明一方面,提出进行二次认证的终端,包括:
一次认证发起单元,用于向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
二次认证发起单元,用于在认证通过后接入网络,并向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息;接收认证服务器下发的经过密钥加密后的真实的帐号和密码,所述真实的帐号和密码与所述宽带线路信息相匹配;经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号以进行二次认证,在认证通过后,进行正常宽带接入。
进一步,所述二次认证发起单元与认证服务器预置相同的密钥,其中,认证服务器根据密钥加密真实的帐号和密码并下发给终端。
进一步,宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
进一步,所述一次认证发起单元以及所述二次认证发起单元设置在路由器中。
根据本发明一方面,提出进行二次认证的系统,包括上述任一所述的认证服务器以及上述任一所述的终端。
在本发明中,网络侧认证服务器根据宽带线路信息匹配用户真实的帐号和密码,并加密后下发至终端,由进行解密后重新根据该帐号和密码进行上网。从而,将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为进行二次认证的宽带接入方法实施例的流程示意图。
图2为进行二次认证的宽带接入方法另一实施例的流程示意图。
图3为进行二次认证的宽带接入方法另一实施例的流程示意图。
图4为进行二次认证的宽带接入方法的实施例的流程示意图。
图5为进行二次认证的认证服务器的结构示意图。
图6为进行二次认证的终端的结构示意图。
图7为进行二次认证的系统的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
本发明通过终端预置帐号和密码进行一次认证,进而使用用户宽带线路信息匹配用户认证信息并向终端回写的方法,以优化宽带装维和使用流程,满足用户终端的快速部署和使用的要求。
图1为进行二次认证的宽带接入方法实施例的流程示意图,该方法包括以下步骤:
在步骤110,认证服务器(AAA)接收终端的一次认证请求,该一次认证请求包括预置在终端中的帐号和密码,例如默认的A1/B1。
对参与PPPoE拨号过程的终端,如家庭路由器等,在终端中预配置一套用于进行PPPoE首次认证的帐号密码A1/B1。
在网络服务提供商的AAA服务器中配置终端预配置的帐号密码A1/B1,将其列为可信并对其分配默认配置带宽、在线时长等信息。
在步骤120,认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,配置用户默认带宽、在线时长等参数,终端接入网络。
在步骤130,认证服务器接收终端通过HTTP协议发起的二次认证请求,在该二次认证请求中包括宽带线路信息。根据该宽带线路信息匹配用户真实的帐号和密码,即二次认证帐号密码A2/B2。认证服务器还根据终端上报的终端MAC地址进行校验。
在网络服务提供商的宽带城域网中,对于一个活动的(已拨号上线)宽带用户,由用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)构成的三元组信息,即宽带线路信息,可在网络中唯一定位和标识该宽带用户。
用户在拨号上线时,根据Radius协议,上述线路信息会通过用户上线报文传递给网络侧AAA,对应用户上线报文中的“NAS-IP-Address”和“NAS-Port-Id”字段。AAA在用户活动阶段,会始终维护用户线路的NAS_IP、svlanID和subsvlanID这一三元组信息从而在网络中标识该用户。
在步骤140,认证服务器将真实的帐号和密码A2/B2经过密钥K加密后下发至终端。
认证服务器与终端需要约定用于在网络中传递用户真实帐号密码A2/B2的一枚密钥K,约定后,在认证服务器与终端预置相同的密钥,其中,终端根据密钥解密获取真实的帐号和密码,将A2/B2写入终端配置,并使用A2/B2重新拨号。
在步骤150,认证服务器对根据真实的帐号和密码A2/B2重新拨号的终端进行二次认证,认证通过后下发上线计费开始报文,进行正常宽带接入。
在该实施例中,网络侧认证服务器根据宽带线路信息匹配用户真实的帐号和密码,并加密后下发至终端,由进行解密后重新根据该帐号和密码进行上网。从而,将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
支持主流的接入侧网元,不改变Radius协议约定的认证信息和过程。只需对宽带认证服务器进行配置即可实现对用户宽带线路信息的匹配,对现网网元性能无影响。
基于HTTP方法实现,在协议层面具备良好的适配性和扩展性;涉及到的实现接口采用webservice进行实现,接口具备较好的扩展性。
目前使用的对拨号上网用户进行二次认证的技术主要是利用用户的终端信息如MAC地址等向网络侧实体查询用户真实帐号/密码,此方法同样能够简化用户记忆和输入用户宽带帐号密码的过程,但同样存在两点不足:一个是终端信息如MAC地址信息极容易伪造,从而很容易造成非认证终端采用伪造的虚假信息获取到用户真实帐号密码的问题,从而造成用户信息的泄漏和网络安全问题;二是对用户终端的MAC地址查询和匹配工作需要专用网络实体进行承接,同时终端侧也需要基于专有协议如TR069开发相应接口和功能,增加了网络侧和终端侧的对接难度,影响业务的上线周期。
针对终端侧信息容易伪造的问题,技术上可采用网络侧用户标识而非终端侧用户标识对用户的身份进行判别。与终端侧信息由用户控制不同,网络侧信息由网络服务提供商接入服务器等专有网元配置和分配,安全性较高。针对需要专用网络实体承担用户终端信息匹配的问题,可在利用现有AAA服务的基础上,对AAA已有信息进行利用并适当调整AAA的判定逻辑,从而加快业务的部署。
图2为进行二次认证的宽带接入方法另一实施例的流程示意图,该方法包括以下步骤:
在步骤210,终端向认证服务器(AAA)发送一次认证请求,该一次认证请求包括预置在终端中的帐号和密码,例如默认的A1/B1。其中,认证服务器在认证通过后,向终端所在BRAS下发默认配置信息,配置用户默认带宽、在线时长等参数,用户上线。
在步骤220,终端在认证通过后接入网络,通过HTTP协议向认证服务器发起二次认证请求,在该二次认证请求中包括宽带线路信息。其中,认证服务器根据该宽带线路信息匹配用户真实的帐号和密码,即二次认证帐号密码A2/B2。认证服务器还根据终端上报的终端MAC地址进行校验。其中,宽带线路信息例如是用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID),上述信息构成的三元组信息可在网络中唯一定位和标识该宽带用户。
在步骤230,终端接收认证服务器下发的经过密钥K加密后的真实的帐号和密码A2/B2,所述真实的帐号和密码与所述宽带线路信息相匹配。
在步骤240,终端经过密钥解密出真实的帐号和密码A2/B2,将A2/B2写入终端配置,并使用A2/B2重新拨号以进行二次认证,在认证通过后,进行正常宽带接入。其中,认证服务器对根据真实的帐号和密码A2/B2重新拨号的终端进行二次认证,认证通过后下发上线计费开始报文,用户正常上网。
在该实施例中,网络侧认证服务器根据宽带线路信息匹配用户真实的帐号和密码,并加密后下发至终端,由进行解密后重新根据该帐号和密码进行上网。从而,将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
支持主流的接入侧网元,不改变Radius协议约定的认证信息和过程。只需对宽带认证服务器进行配置即可实现对用户宽带线路信息的匹配,对现网网元性能无影响。
基于HTTP方法实现,在协议层面具备良好的适配性和扩展性;涉及到的实现接口采用webservice进行实现,接口具备较好的扩展性。
图3为进行二次认证的宽带接入方法另一实施例的流程示意图,该方法包括以下步骤:
在步骤310,终端向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码。
在步骤320,认证通过,认证服务器向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络。
在步骤330,终端向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息。
在步骤340,认证服务器根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端。
在步骤350,终端经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号。
在步骤360,认证服务器对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入。
在该实施例中,网络侧认证服务器根据宽带线路信息匹配用户真实的帐号和密码,并加密后下发至终端,由进行解密后重新根据该帐号和密码进行上网。从而,将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
支持主流的接入侧网元,不改变Radius协议约定的认证信息和过程。只需对宽带认证服务器进行配置即可实现对用户宽带线路信息的匹配,对现网网元性能无影响。
基于HTTP方法实现,在协议层面具备良好的适配性和扩展性;涉及到的实现接口采用webservice进行实现,接口具备较好的扩展性。
下面通过附图和具体实施例,对本发明做进一步说明。
图4为进行二次认证的宽带接入方法的实施例的流程示意图,该方法包括以下步骤:
1、用户上线时,用户终端使用预置的默认A1/B1向认证服务器(AAA)进行一次认证。
2、BRAS将用户认证信息传递给AAA。
3、认证服务器(AAA)通过默认帐号A1/B1的认证。
4、向用户线路所在BRAS下发默认配置信息,配置用户默认带宽、在线时长等参数,用户上线。
5、BRAS向用户终端分配IP地址并下发配置信息。
6、用户上线。
7、用户终端上线后,通过HTTP协议发起二次认证帐号配置请求,同时上报终端MAC地址进行校验。
8、AAA根据用户上线报文中的信息获取到的用户宽带线路属性(NAS_IP、svlanID、subsvlanID)匹配出用户真实帐号密码,即二次认证帐号密码A2/B2。
9、AAA将用户A2/B2经过密钥K加密后下发至终端。
10、终端经过密钥K解密出A2/B2后,将A2/B2写入终端配置,并使用A2/B2重新拨号。
11、AAA对A2/B2进行二次认证,认证通过后下发上线计费开始报文,用户正常上网。
图5为进行二次认证的认证服务器的结构示意图。该认证服务器包括:一次认证单元510以及二次认证单元520。其中:
一次认证单元510,用于接收终端发起的一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络。
对参与PPPoE拨号过程的终端,如家庭路由器等,在终端中预配置一套用于进行PPPoE首次认证的帐号密码A1/B1。
在网络服务提供商的AAA服务器中配置终端预配置的帐号密码A1/B1,将其列为可信并对其分配默认配置带宽、在线时长等信息。
二次认证单元520,用于接收终端发起的二次认证请求,在所述二次认证请求中包括宽带线路信息,根据该宽带线路信息匹配用户真实的帐号和密码,还根据终端上报的终端MAC地址进行校验。将真实的帐号和密码经过密钥加密后下发至终端;对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入。
在网络服务提供商的宽带城域网中,对于一个活动的(已拨号上线)宽带用户,由用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)构成的三元组信息,即宽带线路信息,可在网络中唯一定位和标识该宽带用户。
用户在拨号上线时,根据Radius协议,上述线路信息会通过用户上线报文传递给网络侧AAA,例如二次认证单元,对应用户上线报文中的“NAS-IP-Address”和“NAS-Port-Id”字段。AAA在用户活动阶段,会始终维护用户线路的NAS_IP、svlanID和subsvlanID这一三元组信息从而在网络中标识该用户。
认证服务器与终端需要约定用于在网络中传递用户真实帐号密码A2/B2的一枚密钥K,约定后,在认证服务器与终端预置相同的密钥,其中,终端根据密钥解密获取真实的帐号和密码,将A2/B2写入终端配置,并使用A2/B2重新拨号。
在该实施例中,网络侧认证服务器根据宽带线路信息匹配用户真实的帐号和密码,并加密后下发至终端,由进行解密后重新根据该帐号和密码进行上网。从而,将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
支持主流的接入侧网元,不改变Radius协议约定的认证信息和过程。只需对宽带认证服务器进行配置即可实现对用户宽带线路信息的匹配,对现网网元性能无影响。
基于HTTP方法实现,在协议层面具备良好的适配性和扩展性;涉及到的实现接口采用webservice进行实现,接口具备较好的扩展性。
目前使用的对拨号上网用户进行二次认证的技术主要是利用用户的终端信息如MAC地址等向网络侧实体查询用户真实帐号/密码,此方法同样能够简化用户记忆和输入用户宽带帐号密码的过程,但同样存在两点不足:一个是终端信息如MAC地址信息极容易伪造,从而很容易造成非认证终端采用伪造的虚假信息获取到用户真实帐号密码的问题,从而造成用户信息的泄漏和网络安全问题;二是对用户终端的MAC地址查询和匹配工作需要专用网络实体进行承接,同时终端侧也需要基于专有协议如TR069开发相应接口和功能,增加了网络侧和终端侧的对接难度,影响业务的上线周期。
针对终端侧信息容易伪造的问题,技术上可采用网络侧用户标识而非终端侧用户标识对用户的身份进行判别。与终端侧信息由用户控制不同,网络侧信息由网络服务提供商接入服务器等专有网元配置和分配,安全性较高。针对需要专用网络实体承担用户终端信息匹配的问题,可在利用现有AAA服务的基础上,对AAA已有信息进行利用并适当调整AAA的判定逻辑,从而加快业务的部署。
图6为进行二次认证的终端的结构示意图。该终端包括:一次认证发起单元610以及二次认证发起单元620。其中:
一次认证发起单元610,用于向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码。
二次认证发起单元620,用于在认证通过后接入网络,并向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息;接收认证服务器下发的经过密钥加密后的真实的帐号和密码,所述真实的帐号和密码与所述宽带线路信息相匹配;经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号以进行二次认证,在认证通过后,进行正常宽带接入。
其中,宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
所述二次认证发起单元与认证服务器预置相同的密钥,其中,认证服务器根据密钥加密真实的帐号和密码并下发给终端。
在本发明的实施例中,终端可以是路由器,即所述一次认证发起单元以及所述二次认证发起单元设置在路由器中。
在该实施例中,网络侧认证服务器根据宽带线路信息匹配用户真实的帐号和密码,并加密后下发至终端,由进行解密后重新根据该帐号和密码进行上网。从而,将原来由用户配置宽带帐号密码的方式调整为网络侧自动配置的方式。简化了配置操作,并且,提高了安全性。
支持主流的接入侧网元,不改变Radius协议约定的认证信息和过程。只需对宽带认证服务器进行配置即可实现对用户宽带线路信息的匹配,对现网网元性能无影响。
基于HTTP方法实现,在协议层面具备良好的适配性和扩展性;涉及到的实现接口采用webservice进行实现,接口具备较好的扩展性。
图7为进行二次认证的系统的结构示意图。该系统包括终端和认证服务器(AAA服务器)。图7为典型的组网方式,家庭宽带用户在该典型组网方式下实现认证过程。其中:
用户侧终端在出厂时需预置经网络服务提供商授权的首次认证帐号和密码A1/B1,以及经网络服务提供商授权的、对二次认证帐号和密码A2/B2进行解密的密钥K。
AAA服务器在获取到用户首次认证帐号和密码A1/B1时,并不立即下发用户真实帐号和密码的对应配置属性,而是下发A1/B1对应的缺省属性,该属性通过在线时长、访问地址白名单等限定了用户的访问范围,防止用户二次认证请求的报文被拦截。
AAA服务器在获取到用户首次认证帐号和密码A1/B1时,保存用户上线报文中的线路属性信息(NAS_IP、svlanID、subsvlanID),并且根据用户上线记录,匹配用户真实帐号和密码A2/B2,但此时并不向用户端下发。
AAA服务器待用户提交真实帐号和密码获取请求后,通过加密密钥K将A2/B2加密后下发至用户端,此时二次认证过程完成。
首次认证过程和二次认证过程间存在时间间隔T,用户在该间隔内的网络行为被限定在首次认证后AAA下发的访问范围中。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (17)
1.进行二次认证的宽带接入方法,包括:
认证服务器接收终端发起的一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;
认证服务器接收终端发起的二次认证请求,在所述二次认证请求中包括宽带线路信息,根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端,其中,所述宽带线路信息为网络侧信息;
认证服务器对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入。
2.根据权利要求1所述进行二次认证的宽带接入方法,包括:
认证服务器与终端预置相同的密钥,其中,终端根据密钥解密获取真实的帐号和密码。
3.根据权利要求1或2所述进行二次认证的宽带接入方法,包括:
宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
4.进行二次认证的宽带接入方法,包括:
终端向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
终端在认证通过后接入网络,并向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息,其中,所述宽带线路信息为网络侧信息;
终端接收认证服务器下发的经过密钥加密后的真实的帐号和密码,所述真实的帐号和密码与所述宽带线路信息相匹配;
终端经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号以进行二次认证,在认证通过后,进行正常宽带接入。
5.根据权利要求4所述进行二次认证的宽带接入方法,包括:
终端与认证服务器预置相同的密钥,其中,认证服务器根据密钥加密真实的帐号和密码并下发给终端。
6.根据权利要求4或5所述进行二次认证的宽带接入方法,包括:
宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
7.进行二次认证的宽带接入方法,包括:
认证通过,认证服务器向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;
终端向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息,其中,所述宽带线路信息为网络侧信息;
认证服务器根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端;
终端经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号。
8.根据权利要求7所述进行二次认证的宽带接入方法,包括:
终端与认证服务器预置相同的密钥。
9.根据权利要求7或8所述进行二次认证的宽带接入方法,包括:
宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
10.进行二次认证的认证服务器,包括:
一次认证单元,用于接收终端发起的一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;认证通过,向终端所在BRAS下发默认配置信息,BRAS向终端分配IP地址并下发配置信息,终端接入网络;
二次认证单元,用于接收终端发起的二次认证请求,在所述二次认证请求中包括宽带线路信息,根据该宽带线路信息匹配用户真实的帐号和密码,将真实的帐号和密码经过密钥加密后下发至终端;对根据真实的帐号和密码重新拨号的终端进行二次认证,认证通过后,进行正常宽带接入,其中,所述宽带线路信息为网络侧信息。
11.根据权利要求10所述进行二次认证的认证服务器,包括:
所述二次认证单元与终端预置相同的密钥,其中,终端根据密钥解密获取真实的帐号和密码。
12.根据权利要求10或11所述进行二次认证的认证服务器,包括:
宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
13.进行二次认证的终端,包括:
一次认证发起单元,用于向认证服务器发起一次认证请求,在所述一次认证请求中包括预置在终端的帐号和密码;
二次认证发起单元,用于在认证通过后接入网络,并向认证服务器发起二次认证请求,在所述二次认证请求中包括宽带线路信息,其中,所述宽带线路信息为网络侧信息;接收认证服务器下发的经过密钥加密后的真实的帐号和密码,所述真实的帐号和密码与所述宽带线路信息相匹配;经过密钥解密出真实的帐号和密码,并使用所述真实的帐号和密码重新拨号以进行二次认证,在认证通过后,进行正常宽带接入。
14.根据权利要求13所述进行二次认证的终端,包括:
所述二次认证发起单元与认证服务器预置相同的密钥,其中,认证服务器根据密钥加密真实的帐号和密码并下发给终端。
15.根据权利要求13或14所述进行二次认证的终端,包括:
宽带线路信息包括用户线路的接入服务器IP(NAS_IP)、外层VLAN(svlanID)和内层VLAN(subsvlanID)。
16.根据权利要求13或14所述进行二次认证的终端,包括:
所述一次认证发起单元以及所述二次认证发起单元设置在路由器中。
17.进行二次认证的系统,包括权利要求10至12任一所述的认证服务器以及权利要求13至16任一所述的终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410812402.1A CN105791231B (zh) | 2014-12-23 | 2014-12-23 | 进行二次认证的宽带接入方法、终端、服务器和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410812402.1A CN105791231B (zh) | 2014-12-23 | 2014-12-23 | 进行二次认证的宽带接入方法、终端、服务器和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791231A CN105791231A (zh) | 2016-07-20 |
| CN105791231B true CN105791231B (zh) | 2019-02-12 |
Family
ID=56378074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410812402.1A Active CN105791231B (zh) | 2014-12-23 | 2014-12-23 | 进行二次认证的宽带接入方法、终端、服务器和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791231B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109788528B (zh) * | 2017-11-15 | 2021-08-17 | 中国电信股份有限公司 | 接入点及其上网业务开通方法和系统 |
| EP3609149A1 (en) | 2018-08-08 | 2020-02-12 | Nokia Technologies Oy | Method and apparatus for security management in 5g networks |
| CN114189767B (zh) * | 2020-08-31 | 2023-09-19 | 中国移动通信集团浙江有限公司 | 宽带增值业务的认证方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553691A (zh) * | 2003-05-26 | 2004-12-08 | ��Ϊ��������˾ | 大容量宽带接入方法及系统 |
| CN1874226A (zh) * | 2006-06-26 | 2006-12-06 | 杭州华为三康技术有限公司 | 终端接入方法及系统 |
| CN101202626A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | Iptv业务认证装置 |
| CN103067407A (zh) * | 2013-01-17 | 2013-04-24 | 中兴通讯股份有限公司 | 用户终端接入网络的认证方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050177515A1 (en) * | 2004-02-06 | 2005-08-11 | Tatara Systems, Inc. | Wi-Fi service delivery platform for retail service providers |
-
2014
- 2014-12-23 CN CN201410812402.1A patent/CN105791231B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553691A (zh) * | 2003-05-26 | 2004-12-08 | ��Ϊ��������˾ | 大容量宽带接入方法及系统 |
| CN1874226A (zh) * | 2006-06-26 | 2006-12-06 | 杭州华为三康技术有限公司 | 终端接入方法及系统 |
| CN101202626A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | Iptv业务认证装置 |
| CN103067407A (zh) * | 2013-01-17 | 2013-04-24 | 中兴通讯股份有限公司 | 用户终端接入网络的认证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 一种PPPoE的安全认证方式设计;李军等;《西华大学学报》;20080331;第27卷(第2期);全文 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791231A (zh) | 2016-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10667131B2 (en) | Method for connecting network access device to wireless network access point, network access device, and application server | |
| CN109286932B (zh) | 入网认证方法、装置及系统 | |
| CN100389555C (zh) | 一种适合有线和无线网络的接入认证方法 | |
| US9942756B2 (en) | Securing credential distribution | |
| CN105007579B (zh) | 一种无线局域网接入认证方法及终端 | |
| CN111447601B (zh) | 一种汽车蓝牙钥匙的实现方法及装置 | |
| CN111512608B (zh) | 基于可信执行环境的认证协议 | |
| CN110995418B (zh) | 云存储认证方法及系统、边缘计算服务器、用户路由器 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| WO2019199836A1 (en) | Secure communication using device-identity information linked to cloud-based certificates | |
| US11812263B2 (en) | Methods and apparatus for securely storing, using and/or updating credentials using a network device at a customer premises | |
| CN101621801A (zh) | 无线局域网的认证方法、系统及服务器、终端 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US9998287B2 (en) | Secure authentication of remote equipment | |
| US8627423B2 (en) | Authorizing remote access points | |
| US10834592B2 (en) | Securing credential distribution | |
| US10091189B2 (en) | Secured data channel authentication implying a shared secret | |
| CN104247485B (zh) | 在通用自举架构中的网络应用功能授权 | |
| US20210256102A1 (en) | Remote biometric identification | |
| CN105791231B (zh) | 进行二次认证的宽带接入方法、终端、服务器和系统 | |
| JP2021536687A (ja) | コアネットワークへの非3gppデバイスアクセス | |
| WO2009155807A1 (zh) | 预认证的方法、认证系统和装置 | |
| Liu et al. | An efficient privacy protection solution for smart home application platform | |
| KR101451163B1 (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |