CN108200039A - 基于动态创建临时账号密码的无感知认证授权系统和方法 - Google Patents
基于动态创建临时账号密码的无感知认证授权系统和方法 Download PDFInfo
- Publication number
- CN108200039A CN108200039A CN201711461057.1A CN201711461057A CN108200039A CN 108200039 A CN108200039 A CN 108200039A CN 201711461057 A CN201711461057 A CN 201711461057A CN 108200039 A CN108200039 A CN 108200039A
- Authority
- CN
- China
- Prior art keywords
- server
- authentication
- account
- unaware
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法,该系统包括设有代理AAA服务器或未设有代理AAA服务器的两种IP计费网络,网元包括:认证客户端、DHCP服务器、NAS服务器和经由其连接的外部Internet、Portal服务器、AAA服务器和代理AAA服务器;以及增设的、用于绑定认证客户端或智能终端的无感知认证装置。其中无感知认证装置动态创建与用户账号对应的无感知认证账号,以及与无感知认证账号关联的一次性使用的临时密码,实现无感知认证授权,免去用户非首次上网时,每次上网都需要手动输入账号密码的繁琐;同时,使用动态生成的一次性临时密码认证,不需使用用户原始密码;且在认证过程中,只与受信任节点交互,避免泄露用户账户信息,确保通信安全。
Description
技术领域
本发明涉及一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法,属于计算机网络管理与控制的技术领域。
背景技术
AAA是认证、授权、计费(Authentication、Authorization、Accounting)三个英文单词的简称,也是一种能够处理用户访问网络的请求、并为客户端提供认证、授权、计费以及账户服务的网络安全管理的机制或系统,其主要功能是管理用户访问网络,对具有访问权的用户提供相应级别的服务。AAA采用客户端/服务器模型,客户端运行在网络接入服务器NAS(Network Access Server)上,由AAA服务器集中管理客户端信息。AAA服务器通常同网络访问控制、网关服务器以及包括用户信息、目录的数据库等网元装置协同工作。
现有的IP计费网络(包括按流量计费或按在线时长计费的不同类型网络)中,现在通用的解决方案是使用入口Portal协议配合AAA服务器执行对客户端的认证、授权、计费的控制与管理。参见图1,介绍其典型的组网方式与结构:
这种组网方式架构的系统中,设置的网元包括:认证客户端、NAS服务器、动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务器、Portal服务器、AAA服务器以及经由NAS连接的外部Internet网络。其中,认证客户端为用户终端计算机或包括智能手机、机顶盒的智能终端;DHCP服务器用途是在认证客户端接入网络时,为其分配IP地址;NAS服务器是路由器、计费网关等关口设备的统称,其作用是管控认证客户端的网络访问,并在认证客户端完成认证之前,将其所有超文本传输协议HTTP请求重定向到Portal服务器,且在客户端认证过程中,通过与Portal服务器、AAA服务器的交互,完成认证客户端的身份认证、授权、以及计费的功能,在客户端认证(包括身份认证和授权)通过以后,允许客户端访问被授权的Internet资源;Portal服务器为接收认证客户端认证请求的服务器系统,提供WEB门户和认证界面,通过与NAS服务器交互认证客户端的认证信息,NAS服务器通过与AAA服务器交互,完成对认证客户端的认证、授权与计费。
上述的认证客户端、NAS服务器、Portal服务器、AAA服务器的交互过程是现在网络系统中传统的Portal验证流程,其过程为:
(1)认证客户端向DHCP服务器发送IP地址请求,DHCP服务器为认证客户端下发IP地址。
(2)认证客户端在未认证时,通过在浏览器输入一个互联网统一资源定位符URL地址的HTTP访问请求,该HTTP访问请求在经过NAS服务器时,被重定向到Portal服务器的WEB认证网页上。
(3)认证客户端在浏览器中输入的认证信息,被提交给Portal服务器,Portal服务器接收到用户输入的认证信息后,将其发送给NAS服务器。
(4)NAS服务器与AAA服务器交互通信,将认证客户端的认证信息发送给AAA服务器,以便AAA服务器执行对客户端的认证、授权操作。
(5)认证授权通过后,NAS服务器打开认证客户端与Internet的通路,允许认证客户端的IP地址访问Internet;同时NAS服务器向AAA服务器发送记账(即计费)信息。
(6)认证客户端结束Internet访问时,访问Portal服务器的注销页面和提交结束访问请求,Portal服务器通知NAS服务器断开认证客户端与Internet的通路,禁止认证客户端IP地址访问Internet。NAS服务器通知AAA服务器结束对认证客户端的计费。
此外,如果认证客户端未主动注销Internet连接(例如,认证客户端直接断开网络连接、关闭操作系统、移动客户端关闭无线WIFI网络等),NAS服务器都会在设定的空闲时间超时后,主动断开认证客户端IP地址与Internet的通路,并通知AAA服务器停止对认证客户端的计费。
基于上述分析,目前对认证客户端的计费管理存在如下缺点:
认证客户端每次接入网络时,都需要进入WEB认证页面,手动输入用户账号及其密码进行身份认证后,才能访问网络。对于某些没有图形操作界面的终端装置(比如:打印机、专用服务器等)就无法通过Portal服务器进行验证。因此,如何对现在的客户端请求访问网络系统时的身份与计费的验证流程进行改进,就成为业内科技人员关注的新课题。
发明内容
有鉴于此,本发明的目的是提供一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法,本发明的系统和方法能够分别适用于设有代理AAA服务器和未设置有代理AAA服务器的两种组网方式的网络系统。本发明系统增设无感知认证装置,在无感知认证装置绑定认证客户端或智能终端,并动态创建与其用户账号对应的无感知认证账号及与该无感知认证账号关联的一次性使用的临时密码,实现无感知认证授权;免去用户在非首次接入网络的情况下,每次上网都需要手动输入账号密码进行认证的繁琐。同时,由于认证过程中,使用的是动态生成的无感知认证账号及与其对应的一次性临时密码,不需要使用用户的原始密码;且只与受信任的节点(DHCP服务器、NAS服务器,Portal服务器,无感知认证装置、AAA服务器)交互,因此本发明还能避免用户账户或密码信息泄露的风险,确保通信安全性。
为了达到上述目的,本发明提供了一种基于动态创建临时账号密码的无感知认证授权系统,所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统,所述两种网络系统分别包括下述网元:认证客户端、动态主机配置协议DHCP(DynamicHost Configuration Protocol)服务器、网络接入服务器NAS(Network Access Server)和经由其连接的外部Internet网络、入口Portal服务器,AAA服务器和代理AAA服务器;其特征在于:
所述无感知认证授权系统的两种网络IP计费网络系统中,都增设有用于绑定认证客户端或智能终端的无感知认证装置,该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One-time Password),实现无感知认证授权,免去用户每次上网需要手动输入账号密码的繁烦;同时,因使用动态生成的一次性密码认证,不需使用用户原始密码;且在认证过程中,只与受信任节点交互,避免泄露用户账户信息,确保通信安全;其中:
认证客户端,为用户终端计算机或包括智能手机、机顶盒的智能终端;
DHCP服务器,用于在认证客户端接入网络时,为其分配IP地址;
NAS服务器和经由其连接的外部Internet网络,NAS为包括路由器、计费网关的关口设备统称,用于控制与管理认证客户端的网络访问:在认证客户端完成认证以前,将其所有超文本传输协议HTTP请求重定向到Portal服务器;在认证客户端认证过程中,分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互,完成认证客户端的身份认证、安全认证、以及授权和计费的功能;在认证客户端完成认证授权后,允许认证客户端访问被授权的Internet资源;
无感知认证装置,负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互,执行认证客户端或智能终端的绑定,并动态创建无感知认证账号以及与其对应的一次性使用的临时密码OTP,实现无感知认证;
Portal服务器,为接收认证客户端认证请求的接入服务器,用于提供WEB门户和认证界面;
AAA服务器,负责与上述相关网元配合,执行认证客户端完整的身份认证、安全认证、授权和计费的功能;并在需要时,对用户执行强制下线;
代理AAA服务器,只设置于有代理AAA服务器的网络系统中,负责对认证客户端的无感知账号以及与其对应的一次性使用的临时密码OTP进行识别认证,并对OTP认证以外的AAA报文进行处理后,转发至AAA服务器。
为了达到上述目的,本发明还提供了本发明基于动态创建临时账号密码的无感知认证授权系统的工作方法,其特征在于:认证客户端首次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权;该认证客户端以后每次接入网络时,DHCP服务器在为该认证客户端下发IP地址的同时,还与无感知认证装置交互,根据该认证客户端的特征信息寻找该用户的上网账号,并由无感知认证装置为该用户账号动态创建生成一个与该认证客户端用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP,无感知认证装置再以该无感知认证账号以及与其对应的一次性临时密码OTP向NAS服务器发起登录请求和身份认证,实现无感知认证授权,免去用户每次上网手动输入账号密码进行身份认证的繁琐操作,实现无感知认证;且避免泄露用户账号信息,保证通信安全。
本发明基于动态创建临时账号密码的无感知认证授权网络系统及其工作方法的创新优点和技术特色是:
本发明的技术关键是在系统中增设无感知认证装置,并在无感知认证装置绑定认证客户端或智能终端,且动态创建与其用户账号对应的无感知认证账号以及与该无感知认证账号关联的一次性使用的临时密码,实现无感知认证授权。
本发明其他关键技术还包括:系统中的无感知认证装置能够为已绑账号的认证客户端或智能终端动态创建一个关联的无感知认证账号,以及与该无感知认证账号对应的一个一次性使用的、具有工作时限的临时密码,该动态产生的一次性使用的临时密码是随机产生的,并且只能在设定工作时限内认证一次有效,认证一次后就失效;或者超过设定时限、即使该临时密码尚未用于认证,也同样失效。此外,本发明系统中的AAA服务能够根据无感知认证账号和与其对应的一次性使用的临时密码完成用户身份的验证,其余的授权、记账流程步骤的操作中,除增加对无感认证账号与原始账号转换处理外都仍然按照原有流程进行。
本发明很好地解决了目前在Portal认证模式下无法安全有效地实行无感知认证的技术缺陷,现在使用本发明系统和方法后,用户在完成绑定终端后,再次接入网络时,可以自动地直接访问网络;从而不需要再像以往非首次接入网络时,必须每次上网都需要手动输入账号密码进行Portal认证的繁琐。本发明的一项特色是解决了没有图形操作界面的个别特殊终端(如:打印机、专用服务器等)无法通过Portal服务器进行验证的技术问题。再者,本发明在认证过程中,不涉及用户账号原始密码的操作,使用的是动态生成的一次性使用的临时密码;而且只与受信任的DHCP服务器、NAS服务器,Portal服务器,无感知认证装置、AAA服务器等节点网元通信交互,即使用户在首次绑定完成以后,再次修改账号密码,也无需再进行其他任何操作步骤,能够避免泄露用户账户或密码,确保通信安全。
本发明只对AAA服务器的认证部分进行改动(在使用代理AAA服务器的情况下是将AAA服务器的认证部分交由代理AAA服务器实现,在不使用代理AAA服务器的情况下AAA服务器的认证部分增加,后续授权、记账流程不变,不影响用户的计费策略(如身份认证有效但访问授权拒绝的情况)。
本发明系统和方法支持多厂商的NAS设备(包括路由器和网关等多个关口网元),既适用于有代理AAA服务器的网络系统,也适用于没有代理AAA服务器的网络系统。本发明只对AAA服务器的认证操作的部分流程进行少量修改:即在使用代理AAA服务器的网络系统中,将AAA服务器的认证部分功能转交给代理AAA服务器实现;以及在不使用代理AAA服务器的网络系统中,AAA服务器的认证操作需要增加从无感知认证账号到用户原账号的还原过程,以及一次一次性使用的临时密码的验证操作步骤。其他的后续授权、记账操作流程均没有任何改变,也不影响用户的计费策略(包括身份认证有效、但访问授权被拒绝的情况)。本发明还能够进行准出控制,即支持Portal认证;因其不改变任何NAS服务器、AAA服务器的接口工作流程和业务处理逻辑,兼容性非常强、实施推广简便、容易。
总之,本发明系统及其工作方法具有很好的推广应用前景。
附图说明
图1是目前使用的IP计费网络系统结构组成示意图。
图2是本发明的一种基于动态创建临时账号密码的无感知认证授权网络系统:设有代理AAA服务器的系统结构组成示意图。
图3是本发明的另一种基于动态创建临时账号密码的无感知认证授权网络系统:未设有代理AAA服务器的系统结构组成示意图。
图4是本发明基于动态创建临时账号密码的无感知认证授权网络系统的工作方法操作步骤流程图。
图5是本发明无感知认证授权网络系统的工作方法操作步骤一的流程图。
图6是本发明无感知认证授权网络系统的工作方法操作步骤二的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图2和图3,介绍本发明一种基于动态创建临时账号密码的无感知认证授权网络系统的结构组成——包括两种IP计费网络系统:设有代理AAA服务器(如图2所示)或未设置有代理AAA服务器的(如图3所示)。
这两种网络系统分别包括下述网元:认证客户端、动态主机配置协议DHCP服务器、网络接入服务器NAS和经由其连接的外部Internet网络、入口Portal服务器、AAA服务器和代理AAA服务器,以及增设的本发明关键设备、用于绑定认证客户端或智能终端的无感知认证装置,该无感知认证装置动态创建与用户账号对应的无感知认证账号及对应的一次性使用的临时密码OTP,实现无感知认证授权,免去用户每次上网需要手动输入密码的繁琐;同时,因使用动态生成的一次性临时密码认证,不需使用用户原始密码;在认证过程中,只与受信任节点交互(包括DHCP服务器、NAS服务器、Portal服务器、无感知认证装置,AAA服务器和代理AAA服务器),避免泄露用户账户信息,确保通信安全。其中:
认证客户端,为用户终端计算机或包括智能手机、机顶盒的智能终端;
DHCP服务器,用于在认证客户端接入网络时,为其分配IP地址;
NAS服务器和经由其连接的外部Internet网络,NAS为包括路由器、计费网关的关口设备统称,用于控制与管理认证客户端的网络访问:在认证客户端完成认证以前,将其所有超文本传输协议HTTP请求重定向到Portal服务器;在认证客户端认证过程中,分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互,完成认证客户端的身份认证、安全认证、以及授权和计费的功能;在认证客户端完成认证授权后,允许认证客户端访问被授权的Internet资源;
无感知认证装置,负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互,执行认证客户端或智能终端的绑定,并动态创建无感知认证账号以及与该无感知认证账号对应的一次性使用的临时密码OTP,实现无感知认证;
Portal服务器,为接收认证客户端认证请求的接入服务器,用于提供WEB门户和认证界面;
AAA服务器,负责与上述相关网元配合,执行认证客户端完整的身份认证、安全认证、授权和计费的功能;并在需要时,对用户执行强制下线;
代理AAA服务器,只设置于有代理AAA服务器的网络系统中,负责对认证客户端的无感知账号以及与其对应的一次性使用的临时密码OTP进行识别认证,并对OTP认证以外的AAA报文进行处理后,转发至AAA服务器。
本发明还提供了一种基于动态创建临时账号密码的无感知认证授权网络系统的工作方法:认证客户端首次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权;该认证客户端以后每次接入网络时,DHCP服务器在为该认证客户端下发IP地址的同时,还与无感知认证装置交互,根据该客户端的特征信息(至少包括其媒体访问控制MAC地址,即硬件地址)寻找该用户的上网账号,并由无感知认证装置为该用户账号动态生成一个与该认证客户端用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP;无感知认证装置以该无感知认证账号以及与其对应的一次性使用的临时密码OTP向NAS服务器发起登录请求和身份认证,使得用户不再需要每次上网手动输入账号密码进行身份认证的繁琐操作,实现无感知认证;且避免泄露用户密码信息,保证通信安全。
参见图4,介绍本发明工作方法的具体操作步骤:
步骤1,认证客户端初次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权。
步骤2,认证客户端在非首次接入网络时,DHCP服务器为该认证客户端下发IP地址的同时,根据该客户端至少包括媒体访问控制MAC(Media Access Control)地址的特征信息与无感知认证装置交互;无感知认证装置寻找到该认证客户端绑定的上网账号,并为该上网账号动态生成一个与该绑定上网账号对应的无感知认证账号,以及与其关联的一个一次性临时密码OTP;然后,无感知认证装置就以该无感知认证账号以及与其对应的一次性使用的临时密码OTP向NAS服务器发起登录请求和身份认证,实现无感知认证授权,使得用户不需每次上网重复执行手动输入账号密码进行身份认证的繁琐操作,且通信安全。
该步骤1包括如下操作内容:
步骤11,认证客户端向DHCP服务器发起IP地址请求。
步骤12,DHCP服务器为该认证客户端下发IP地址。
步骤13,认证客户端发起HTTP访问请求,NAS服务器将该访问请求重定向到Portal服务器的WEB门户和认证界面。
步骤14,用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息,Portal服务器将该身份认证信息发送到NAS服务器。
步骤15,NAS服务器将该认证信息发送到代理AAA服务器或AAA服务器,由代理AAA服务器将该身份认证请求信息转发给上游AAA服务器,执行身份认证信息验证;或AAA服务器直接执行身份认证信息验证。
如果验证不通过,则将验证结果返回到NAS服务器,NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源,并结束流程;
如果验证通过,则将验证结果返回到NAS服务器,NAS服务器再将该验证结果返回到Portal服务器,继续执行步骤(16)。
步骤16,NAS服务器放行该认证客户端,允许其访问网络资源,并向代理AAA服务器发送记账报文,或者NAS服务器直接向AAA服务器发送记账报文。
无感知认证装置与Portal服务器交互,接收到该认证客户端已经通过验证的上网账号和IP地址信息后,又从DHCP服务器获取该认证客户端包括MAC地址的身份特征信息,就自动执行和完成该认证客户端与用户账号的绑定。
步骤17,代理AAA服务器将该记账报文转发到上游AAA服务器,以供该AAA服务器利用记账报文触发检测用户的上线及计费策略,执行计费操作。
或者NAS服务器直接向AAA服务器发送记账报文,AAA服务器利用记账报文触发检测用户的上线及计费策略,执行计费操作。
直至用户网费余额不足、需要强制用户下线时,AAA服务器采用授权变更CoA(Change of Authorization)消息将该认证客户端强制下线。
需要说明的是,在步骤1中,若认证客户端是无法使用浏览器访问WEB门户的、包括机顶盒的智能终端时,则下述两个步骤执行的相应操作内容如下:
步骤13a,用户在其他客户端上访问WEB门户和认证界面。
步骤14a,用户在认证界面上手动选择要绑定的认证客户端IP地址,Portal服务器将认证信息和用户所选择的客户端信息发送到NAS服务器。
而步骤11~步骤17中的其他操作步骤内容都保持一致,没有任何变化。
另外一个需要说明的是:本发明上述方法中的步骤14和步骤15的另一种处理方法是:无感知认证装置不通过NAS服务器检验用户身份是否合法,而是其直接从Portal服务器获取认证客户端的用户账号、原始密码及其IP地址后,自行执行检验操作;此时的操作包括下列具体内容:
步骤14b,用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息,Portal服务器直接将该身份认证信息发送给无感知认证装置。
步骤15b,无感知认证装置将该认证客户端的用户账号、原始密码及其IP地址的身份认证信息发送到代理AAA服务器或AAA服务器,由代理AAA服务器将该身份认证请求信息转发给上游AAA服务器,进行身份认证信息验证。或者AAA服务器直接执行身份认证信息验证。
验证是否通过的两种具体操作内容,均与前述步骤15相同,这里不再赘述。
参见图6,介绍本发明工作方法步骤2的具体操作步骤。
步骤21,认证客户端向DHCP服务器发起IP地址请求。
步骤22,DHCP服务器为该认证客户端下发IP地址,并将该认证客户端的上线信息发送到无感知认证装置;无感知认证装置根据该认证客户端的特征信息找到该用户绑定的上网账号,并为该上网账号按照设定规则动态生成一个与其对应的无感知认证账号,以及与该无感知认证账号对应的一个一次性临时密码OTP。该步骤中的设定规用于对用户绑定的上网账号进行标识,以标记该上网账号为无感知认证账号。所谓设定规则和根据设定规则生成的无感知认证账号名称的多种格式、包括特定字符和数字的各种组合,或在其无感知认证账号名的后面增添域名后缀的格式都不作限定。
步骤23,无感知认证装置以该无感知认证账号向NAS服务器发起登录请求:将步骤22中创建的该无感知认证账号和与其对应的一次性临时密码发送到NAS服务器进行身份认证。
步骤24,NAS服务器接收到该登录请求,以及该无感知认证账号和与其对应的一次性使用的临时密码后,将这些数据发送到代理AAA服务器或AAA服务器进行验证。
步骤25)代理AAA服务器或AAA服务器接收到该无感知认证账号和与其对应的一次性使用的临时密码时,先识别接收到的该认证账号中的无感知标识,确认该账号为无感知认证账号后,再向无感知认证装置验证该账号和与其对应的一次性临时密码的有效性。
如果验证不通过,就将验证失败结果返回到NAS服务器,NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源,结束该流程;或者用户继续执行Portal服务器的传统认证操作流程:手动输入该用户账号和原始密码;
如果验证通过。就将验证结果发送到NAS服务器,NAS服务器放行该认证客户端,并向代理AAA服务器或AAA服务器发送记账报文后,继续执行步骤26。
步骤26,代理AAA服务器将记账报文中的无感知认证账号还原为原始账号,并转发到上游的AAA服务器,AAA服务器利用记账报文触发检测用户的上线及计费策略,进行计费操作。
或者AAA服务器直接将记账报文中的无感知认证账号转换还原为原始用户账号,并继续处理记账报文,利用记账报文触发检测用户的上线及计费策略,进行计费操作。
步骤27,当用户网费余额不足、需要强制用户下线时,AAA服务器发送授权变更CoA消息给代理AAA服务器,同时将CoA消息中的原始账号转换为无感知认证账号后,再将该CoA消息发送给NAS服务器,由NAS服务器强制该无感知用户下线,并返回记账消息。
或者AAA服务器直接完成CoA消息中的原始账号到无感知认证账号的转换后,再将该CoA消息发送给NAS服务器,由NAS服务器强制该无感知用户下线,并返回记账消息。
本发明已经进行了多次实施试验,其中的一个仿真实施试验是在北京邮电大学校园网的五期优化中:在无代理AAA服务器的网络系统中采用了本发明基于动态创建临时账号密码的无感知认证授权系统的结构组成及其工作方法。认证客户端通过校园网连接NAS服务器、DHCP服务器、Portal服务器、AAA服务器和无感知认证装置,对首次接入网络系统的认证客户端,用户手动输入用户账号和原始密码进行认证,无感知认证装置进行终端设备和用户账号的绑定,并创建与用户账号对应的无感知认证账号以及与该无感知认证账号关联的一次性使用的临时密码。然后,非首次接入网络的认证客户端或其他智能终端,无感知认证装置都会采用标识后的无感知认证账号以及与该认证账号关联的一次性使用的临时密码发起登录请求,无需用户手动进行认证。
本发明实施例的多次试验是成功的,实现了发明目的。
Claims (9)
1.一种基于动态创建临时账号密码的无感知认证授权系统,所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统,所述两种网络系统分别包括下述网元:认证客户端、动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务器、网络接入服务器NAS(Network Access Server)和经由其连接的外部Internet网络、入口Portal服务器,AAA服务器和代理AAA服务器;其特征在于:
所述无感知认证授权系统的两种网络IP计费网络系统中,都增设有用于绑定认证客户端或智能终端的无感知认证装置,该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One-time Password),实现无感知认证授权,免去用户每次上网需要手动输入账号密码的繁琐;同时,因使用动态生成的一次性密码认证,不需使用用户原始密码;且在认证过程中,只与受信任节点交互,避免泄露用户账户信息,确保通信安全;其中:
认证客户端,为用户终端计算机或包括智能手机、机顶盒的智能终端;
DHCP服务器,用于在认证客户端接入网络时,为其分配IP地址;
NAS服务器和经由其连接的外部Internet网络,NAS为包括路由器、计费网关的关口设备统称,用于控制与管理认证客户端的网络访问:在认证客户端完成认证以前,将其所有超文本传输协议HTTP请求重定向到Portal服务器;在认证客户端认证过程中,分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互,完成认证客户端的身份认证、安全认证、以及授权和计费的功能;在认证客户端完成认证授权后,允许认证客户端访问被授权的Internet资源;
无感知认证装置,负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互,执行认证客户端或智能终端的绑定,并动态创建无感知认证账号以及与其对应的一次性使用的临时密码OTP,实现无感知认证;
Portal服务器,为接收认证客户端认证请求的接入服务器,用于提供WEB门户和认证界面;
AAA服务器,负责与上述相关网元配合,执行认证客户端完整的身份认证、安全认证、授权和计费的功能;并在需要时,对用户执行强制下线;
代理AAA服务器,只设置于有代理AAA服务器的网络系统中,负责对认证客户端的无感知账号以及与其对应的一次性使用的临时密码OTP进行识别认证,并对OTP认证以外的AAA报文进行处理后,转发至AAA服务器。
2.根据权利要求1所述的无感知认证授权系统,其特征在于:所述受信任的节点包括DHCP服务器、NAS服务器、Portal服务器、无感知认证装置、AAA服务器和代理AAA服务器。
3.根据权利要求1所述的基于动态创建临时账号密码的无感知认证授权系统的工作方法,其特征在于:认证客户端首次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权;该认证客户端以后每次接入网络时,DHCP服务器在为该认证客户端下发IP地址的同时,还与无感知认证装置交互,根据该认证客户端的特征信息寻找该用户的上网账号,并由无感知认证装置为该用户账号动态创建生成一个与该认证客户端用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP,无感知认证装置再以该无感知认证账号以及与其对应的一次性临时密码OTP向NAS服务器发起登录请求和身份认证,实现无感知认证授权,免去用户每次上网手动输入账号密码进行身份认证的繁琐操作,实现无感知认证;且避免泄露用户账号信息,保证通信安全。
4.根据权利要求3所述的无感知认证授权系统,其特征在于:所述认证客户端的特征信息至少包括其媒体访问控制MAC(Media Access Control)地址,即硬件地址。
5.根据权利要求3所述的方法,其特征在于,所述方法包括下列操作步骤:
步骤1,认证客户端初次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权;该步骤1包括如下操作内容:
(11)认证客户端向DHCP服务器发起IP地址请求;
(12)DHCP服务器为该认证客户端下发IP地址;
(13)认证客户端发起HTTP访问请求,NAS服务器将该访问请求重定向到Portal服务器的WEB门户和认证界面;
(14)用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息,Portal服务器将该身份认证信息发送到NAS服务器;
(15)NAS服务器将该认证信息发送到代理AAA服务器或AAA服务器,由代理AAA服务器将该身份认证请求信息转发给上游AAA服务器,执行身份认证信息验证;或AAA服务器直接执行身份认证信息验证;
如果验证不通过,则将验证结果返回到NAS服务器,NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源,并结束流程;
如果验证通过,则将验证结果返回到NAS服务器,NAS服务器再将该验证结果返回到Portal服务器,继续执行步骤(16);
(16)NAS服务器放行该认证客户端,允许其访问网络资源,并向代理AAA服务器发送记账报文,或者NAS服务器直接向AAA服务器发送记账报文;
无感知认证装置与Portal服务器交互,接收到该认证客户端已经通过验证的上网账号和IP地址信息后,又从DHCP服务器获取该认证客户端包括MAC地址的身份特征信息,就自动执行和完成该认证客户端与用户账号的绑定;
(17)代理AAA服务器将该记账报文转发到上游AAA服务器,以供该AAA服务器利用记账报文触发检测用户的上线及计费策略,执行计费操作;
或者NAS服务器直接向AAA服务器发送记账报文,AAA服务器利用记账报文触发检测用户的上线及计费策略,执行计费操作;
直至用户网费余额不足、需要强制用户下线时,AAA服务器采用授权变更CoA(Changeof Authorization)消息将该认证客户端强制下线;
步骤2,认证客户端在非首次接入网络时,DHCP服务器为该认证客户端下发IP地址的同时,根据该客户端至少包括媒体访问控制MAC(Media Access Control)地址的特征信息与无感知认证装置交互,无感知认证装置寻找到该认证客户端绑定的上网账号,并为该上网账号动态创建一个与该绑定上网账号对应的无感知认证账号,以及与其关联的一个一次性临时密码OTP;无感知认证装置以该无感知认证账号以及与其对应的一次性临时密码OTP向NAS服务器发起登录请求和身份认证,实现无感知认证授权,使得用户不需每次上网重复执行手动输入账号密码进行身份认证的繁琐操作,且通信安全;该步骤2包括如下操作内容:
(21)认证客户端向DHCP服务器发起IP地址请求;
(22)DHCP服务器为该认证客户端下发IP地址,并将该认证客户端的上线信息发送到无感知认证装置;无感知认证装置根据该认证客户端的特征信息找到该用户绑定的上网账号,并为该上网账号按照设定规则动态生成一个与其对应的无感知认证账号,以及与该无感知认证账号对应的一个一次性临时密码OTP;
(23)无感知认证装置以该无感知认证账号向NAS服务器发起登录请求:将步骤(22)中创建的该无感知认证账号和与其对应的一次性临时密码发送到NAS服务器进行身份认证;
(24)NAS服务器接收到该登录请求,以及该无感知认证账号和与其对应的一次性临时密码后,将这些数据发送到代理AAA服务器或AAA服务器进行验证;
(25)代理AAA服务器或AAA服务器接收到该无感知认证账号和与其对应的一次性临时密码时,先识别接收到的该认证账号中的无感知标识,确认该账号为无感知认证账号后,再向无感知认证装置验证该账号和与其对应的一次性临时密码的有效性;
如果验证不通过,就将验证失败结果返回到NAS服务器,NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源,结束该流程;或者用户继续执行Portal服务器的传统认证操作流程:手动输入该用户账号和原始密码;
如果验证通过。就将验证结果发送到NAS服务器,NAS服务器放行该认证客户端,并向代理AAA服务器或AAA服务器发送记账报文后,继续执行步骤(26);
(26)代理AAA服务器将记账报文中的无感知认证账号还原为原始账号,并转发到上游的AAA服务器,AAA服务器利用记账报文触发检测用户的上线及计费策略,进行计费操作;
或者AAA服务器直接将记账报文中的无感知认证账号转换还原为原始用户账号,并继续处理记账报文,利用记账报文触发检测用户的上线及计费策略,进行计费操作;
(27)当用户网费余额不足、需要强制用户下线时,AAA服务器发送授权变更CoA消息给代理AAA服务器,同时将CoA消息中的原始账号转换为无感知认证账号后,再将该CoA消息发送给NAS服务器,由NAS服务器强制该无感知用户下线,并返回记账消息;
或者AAA服务器直接完成CoA消息中的原始账号到无感知认证账号的转换后,再将该CoA消息发送给NAS服务器,由NAS服务器强制该无感知用户下线,并返回记账消息。
6.根据权利要求5所述的方法,其特征在于,所述方法的步骤1中,若认证客户端是无法使用浏览器访问WEB门户的、包括机顶盒的智能终端时,则下述两个步骤执行的相应操作内容如下:
(13)用户在其他客户端上访问WEB门户和认证界面;
(14)用户在认证界面上手动选择要绑定的认证客户端IP地址,Portal服务器将该认证信息和用户所选择的客户端信息发送到NAS服务器;
而步骤(11)~(17)的其他操作内容都保持一致。
7.根据权利要求5或6所述的方法,其特征在于,所述方法的步骤1中的(14)~(17)的另一种更加简便的操作方法内容是:
(14a)用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息,Portal服务器将该身份认证信息发送到NAS服务器后,Portal服务器先利用AAA协议与AAA服务器交互,验证该用户的身份认证密码信息是否合法有效;
如果验证不通过,则将验证结果返回到NAS服务器,NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源,并结束流程;
如果验证通过,则将验证结果返回到NAS服务器,NAS服务器再将该验证结果返回到Portal服务器,Portal服务器直接与无感知认证装置交互,完成该认证客户端与用户账号的绑定。
8.根据权利要求4所述的方法,其特征在于;所述方法的步骤(14)和(15)的另一种处理方法是:无感知认证装置不通过NAS服务器检验用户身份是否合法,而是其直接从Portal服务器获取认证客户端的用户账号、原始密码及其IP地址后,自行执行检验操作;此时的操作包括下列具体内容:
(14a)用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息,Portal服务器直接将该身份认证信息发送给无感知认证装置;
(15a)无感知认证装置将该认证客户端的用户账号、原始密码及其IP地址的身份认证信息发送到代理AAA服务器或AAA服务器,由代理AAA服务器将该身份认证请求信息转发给上游AAA服务器,进行身份认证信息验证;或者AAA服务器直接执行身份认证信息验证;
验证是否通过的具体操作内容,均与步骤(15)相同。
9.根据权利要求5所述的方法,其特征在于:所述步骤(22)中,所述设定规则用于对用户绑定的上网账号进行标识,以标记该上网账号为无感知认证账号;所述设定规则和根据设定规则生成的无感知认证账号名称的多种格式、包括特定字符和数字的各种组合,或在其无感知认证账号名的后面增添域名后缀的格式都不作限定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711461057.1A CN108200039B (zh) | 2017-12-28 | 2017-12-28 | 基于动态创建临时账号密码的无感知认证授权系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711461057.1A CN108200039B (zh) | 2017-12-28 | 2017-12-28 | 基于动态创建临时账号密码的无感知认证授权系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108200039A true CN108200039A (zh) | 2018-06-22 |
| CN108200039B CN108200039B (zh) | 2021-05-04 |
Family
ID=62585333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711461057.1A Active CN108200039B (zh) | 2017-12-28 | 2017-12-28 | 基于动态创建临时账号密码的无感知认证授权系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108200039B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110516470A (zh) * | 2019-07-31 | 2019-11-29 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN112564973A (zh) * | 2020-12-10 | 2021-03-26 | 宁波迦南智能电气股份有限公司 | 一种参数自更新的电能表wifi连接方法 |
| CN114938361A (zh) * | 2022-05-30 | 2022-08-23 | 阿里云计算有限公司 | 媒体服务提供方法、系统、设备及存储介质 |
| CN115996380A (zh) * | 2023-03-22 | 2023-04-21 | 北京首信科技股份有限公司 | 一种网络柔性管控的方法和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
| CN104954508A (zh) * | 2015-06-24 | 2015-09-30 | 北京网瑞达科技有限公司 | 一种用于dhcp协议辅助计费的系统及其辅助计费方法 |
| US20150341338A1 (en) * | 2011-01-13 | 2015-11-26 | International Business Machines Corporation | Serialized authentication and authorization services |
-
2017
- 2017-12-28 CN CN201711461057.1A patent/CN108200039B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150341338A1 (en) * | 2011-01-13 | 2015-11-26 | International Business Machines Corporation | Serialized authentication and authorization services |
| CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
| CN104954508A (zh) * | 2015-06-24 | 2015-09-30 | 北京网瑞达科技有限公司 | 一种用于dhcp协议辅助计费的系统及其辅助计费方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110516470A (zh) * | 2019-07-31 | 2019-11-29 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN112564973A (zh) * | 2020-12-10 | 2021-03-26 | 宁波迦南智能电气股份有限公司 | 一种参数自更新的电能表wifi连接方法 |
| CN112564973B (zh) * | 2020-12-10 | 2022-06-14 | 宁波迦南智能电气股份有限公司 | 一种参数自更新的电能表wifi连接方法 |
| CN114938361A (zh) * | 2022-05-30 | 2022-08-23 | 阿里云计算有限公司 | 媒体服务提供方法、系统、设备及存储介质 |
| CN115996380A (zh) * | 2023-03-22 | 2023-04-21 | 北京首信科技股份有限公司 | 一种网络柔性管控的方法和设备 |
| CN115996380B (zh) * | 2023-03-22 | 2023-06-20 | 北京首信科技股份有限公司 | 一种网络柔性管控的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108200039B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7010582B1 (en) | Systems and methods providing interactions between multiple servers and an end use device | |
| CN108092988A (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| JP4551369B2 (ja) | サービスシステムおよびサービスシステム制御方法 | |
| CN104954330B (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
| CN107528853A (zh) | 微服务权限控制的实现方法 | |
| CN103220303B (zh) | 服务器的登录方法及服务器、认证设备 | |
| CN106394486A (zh) | 虚拟钥匙的授权方法、系统及服务器 | |
| CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
| CN102739664B (zh) | 提高网络身份认证安全性的方法和装置 | |
| CN108200039A (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN102638454A (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN105721412A (zh) | 多系统间的身份认证方法及装置 | |
| CN102209046A (zh) | 网络资源整合系统及方法 | |
| CN103546419A (zh) | 一种登录方法 | |
| CN109040069A (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
| CN107872445A (zh) | 接入认证方法、设备和认证系统 | |
| CN112039873A (zh) | 一种单点登录访问业务系统的方法 | |
| CN108259457A (zh) | 一种web认证方法及装置 | |
| CN110505188A (zh) | 一种终端认证方法、相关设备和认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Deng Yuting Inventor after: Zhang Yuming Inventor after: Wang Junyan Inventor after: Wang Daojia Inventor after: Weng Yuan Inventor after: Yang Chengfei Inventor after: Cluster Inventor before: Wang Junyan Inventor before: Wang Daojia Inventor before: Weng Yuan Inventor before: Yang Chengfei Inventor before: Cluster |
|
| CB03 | Change of inventor or designer information |