CN108933767A - 服务器及网页认证方法 - Google Patents
服务器及网页认证方法 Download PDFInfo
- Publication number
- CN108933767A CN108933767A CN201710387357.3A CN201710387357A CN108933767A CN 108933767 A CN108933767 A CN 108933767A CN 201710387357 A CN201710387357 A CN 201710387357A CN 108933767 A CN108933767 A CN 108933767A
- Authority
- CN
- China
- Prior art keywords
- network access
- value
- user equipment
- equipment
- access equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明提供一种认证方法,应用于服务器,该认证方法包括步骤:接收网络接入设备发送的验证请求消息,验证请求消息包括向网络接入设备发送入网请求的用户设备的关联标识和物理地址,并接收用户设备提供的身份验证信息;对身份验证信息进行鉴权认证;如果认证成功,根据关联标识和物理地址生成用户设备的第一标识值;经由网络接入设备将第一标识值发送至用户设备;经由网络接入设备接收用户设备发送的第二标识值;验证第二标识值;及如果验证成功,向网络接入设备发送验证通过消息。本发明还提供一种服务器和计算机可读存储介质。本发明所述的认证方法、服务器和计算机可读存储介质能提高网页认证的安全。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种服务器、网页认证方法及计算机可读存储介质。
背景技术
网页认证或门户网站认证(Captive Portal)是公共热点网络常用的一种认证方法。通常认证服务器需要先验证用户设备的身份信息,验证通过后,再验证用户设备的令牌值。然而,该认证过程容易遭受中间人的攻击,例如媒体访问控制(MediaAccess Control(MAC) Spoofing)地址欺骗。MAC地址欺骗是一种利用伪造的源地址发送虚假数据包的恶意攻击方法,攻击者可利用其它设备的MAC地址获得信息或网络访问权限。
发明内容
鉴于以上内容,有必要提供一种服务器、网页认证方法及计算机存储介质,使得网页认证更加安全。
本发明实施方式提供一种服务器,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下步骤:接收网络接入设备发送的验证请求消息,所述验证请求消息包括向所述网络接入设备发送入网请求的用户设备的关联标识和物理地址,并经由所述网络接入设备接收所述用户设备提供的身份验证信息;对所述身份验证信息进行鉴权认证;如果鉴权认证成功,根据所述关联标识和所述物理地址生成所述用户设备的第一标识值,所述第一标识值包括第一令牌值和第一签名值;经由所述网络接入设备将所述第一标识值发送至所述用户设备;经由所述网络接入设备接收所述用户设备发送的第二标识值,所述第二标识值包括第二令牌值和第二签名值;验证所述第二标识值;及如果所述第二标识值验证成功,向所述网络接入设备发送验证通过消息。
本发明实施方式提供一种网页认证方法,所述方法包括步骤:接收网络接入设备发送的验证请求消息,所述验证请求消息包括向所述网络接入设备发送入网请求的用户设备的关联标识和物理地址,并经由所述网络接入设备接收所述用户设备提供的身份验证信息;对所述身份验证信息进行鉴权认证;如果鉴权认证成功,根据所述关联标识和所述物理地址生成所述用户设备的第一标识值,所述第一标识值包括第一令牌值和第一签名值;经由所述网络接入设备将所述第一标识值发送至所述用户设备;经由所述网络接入设备接收所述用户设备发送的第二标识值,所述第二标识值包括第二令牌值和第二签名值;验证所述第二标识值;及如果所述第二标识值验证成功,向所述网络接入设备发送验证通过消息。
进一步地,本发明实施方式还提供一种计算机存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述认证方法的步骤。
相较于现有技术,本发明实施例所述的服务器、网页认证方法及计算机存储介质能够降低中间人攻击的风险,使得网页认证过程更加安全。
附图说明
图1是本发明实施例之网页认证的工作流程图。
图2是本发明实施例之服务器的程序模块图。
图3是本发明实施例之网页认证方法的步骤流程图。
主要元件符号说明
| 用户设备 | 1 |
| 网络接入设备 | 2 |
| 服务器 | 3 |
| 存储器 | 10 |
| 处理器 | 20 |
| 接收模块 | 100 |
| 验证模块 | 200 |
| 生成模块 | 300 |
| 发送模块 | 400 |
具体实施方式
参阅图1所示,是本发明实施例之网页认证的工作流程图。用户设备1与网络接入设备2通信连接,网络接入设备2通信连接于服务器3。用户设备1为请求接入网络的设备,如智能手机和笔记本电脑等。无线接入设备(又称无线访问节点)2,能够将有线网络转换为无线网络,为接入网络的用户设备1分配关联标识等,同时也是用户设备1和服务器3之间认证沟通的桥梁。服务器3用于验证用户设备 1提供的验证信息。
所述网页认证流程包括:(1)用户设备1向网络接入设备2发送关联请求消息(Association Request),请求接入网络;(2)网络接入设备2接收所述入网请求消息后为用户设备1分配唯一的关联标识 (Association Identifier,AID),建立一个用户设备1的物理地址和所述关联标识的映射表,并向用户设备1返回请求响应消息;(3)用户设备1向网络接入设备2发送用户数据,所述用户数据可为用户设备 1需要访问的网页信息,例如wwww.google.com;(4)网络接入设备2 向用户设备1返回一个重定向页面,同时,将用户设备1的所述物理地址和所述关联标识发送至服务器3;(5)用户设备1通过所述重定向页面向服务器3提供身份验证信息,所述身份验证信息包括用户名称和密码;(6)服务器3验证所述身份验证消息,当验证通过后,根据所述物理地址和所述关联标识生成一个第一标识值,并经由网络接入设备2向用户设备1返回所述第一标识值;(7)用户设备1接收所述第一标识值,并经由网络接入设备2向服务器3发送一个第二标识值;(8)网络接入设备2根据所述映射表再次向服务器3发送所述用户设备1的所述物理地址和所述关联标识;(9)服务器根据网络接入设备2发送的所述物理地址和所述关联标识以及第一标识值,验证用户设备1发送的所述第二标识值,并在验证成功后,通知网络接入设备2允许用户设备1接入网络,认证流程结束。
参阅图2是本发明实施例之服务器的程序模块图。服务器3包括存储器10、处理器20、接收模块100、验证模块200、生成模块300 和发送模块400。
存储器20至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。所述处理器30可以是中央处理器(Central ProcessingUnit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于执行软件程序代码运算数据,例如,用于执行服务器3的认证操作。
模块100-400被配置成由一个或多个处理器(本实施例为处理器 20)执行,以完成本发明。本发明所称的模块是完成一特定功能的计算机程序段。存储器10用于存储所述服务器3的程序代码等资料。处理器20用于执行存储器10中存储的程序代码。
接收模块100用于接收网络接入设备2发送的第一验证请求消息,并经由网络接入设备2接收用户设备1提供的身份验证信息。所述验证请求消息包括向网络接入设备2发送入网请求的用户设备1的物理地址和关联标识。在本实施例中,所述身份验证信息包括用户名称和密码。
验证模块200用于对所述身份验证信息进行鉴权认证。生成模块 300用于在鉴权认证成功后,根据所述物理地址和所述关联标识生成第一标识值。所述第一标识值包括第一令牌值和第一签名值。在本实施例中,所述第一签名值是根据安全哈希算法(SecureHash Algorithm, SHA)512通过计算用户设备1的所述物理地址和所述关联标识得到。
当生成所述第一标识值后,发送模块400经由网络接入设备2将所述第一标识值发送至用户设备1。
当用户设备1再次经由网络接入设备2向服务器3发送第二验证第二标识值的请求时,接收模块100接收用户设备1发送的所述第二标识值,并再次接收网络接入设备2重新发送的用户设备1的所述物理地址和所述关联标识,所述第二标识值包括第二令牌值和第二签名值。在本实施例中,网络接入设备2根据向用户设备1分配关联标识时建立的映射表向服务器3重新发送所述物理地址和所述关联标识。所述映射表记录了用户设备1的物理地址和关联标识的对应关系。
验证模块200根据所述第一标识值验证所述第二标识值。本实施例中,验证服务器3首先根据所述第一令牌值验证所述第二令牌值。当所述第二令牌值验证成功后,根据网络接入设备2重新发送的所述物理地址和所述关联标识验证所述第二签名值。当所述所述物理地址和所述关联标识和所述第二签名值中的物理地址数据和关联标识数据不一致时,表示验证失败。
当所述第二签名值中的物理地址和关联标识与网络接入设备2 重新发送的所述物理地址和所述关联标识一致时,发送模块400向网络接入设备2发送用户设备1验证通过消息,以使网络接入设备将用户设备1接入网络。
如图3所示,是本发明实施例之认证方法的步骤流程图。所述认证方法应用于服务器中,通过处理器执行存储器中存储的程序代码实现。
步骤S10,接收网络接入设备发送的验证请求消息,所述验证请求消息包括向所述网络接入设备发送入网请求的用户设备的关联标识和物理地址,并经由所述网络接入设备接收所述用户设备提供的身份验证信息。本实施例中,所述验证信息包括用户名称和密码。
步骤S20,对所述身份验证信息进行鉴权认证。
步骤S30,如果鉴权认证成功,根据所述关联标识和所述物理地址生成所述用户设备的第一标识值,所述第一标识值包括第一令牌值和第一签名值。本实施例中,通过安全哈希算法512计算所述关联标识与所述物理地址,以得到所述第一签名值。
步骤S40,经由所述网络接入设备将所述第一标识值发送至所述用户设备;
步骤S50,经由所述网络接入设备接收所述用户设备发送的第二标识值,所述第二标识值包括第二令牌值和第二签名值,并接收所述网络接入设备重新发送的所述用户设备的所述关联标识与所述物理地址。
步骤S60,根据所述第一令牌值验证所述第二令牌值。
步骤S70,如果所述第一令牌值验证成功,根据所述网络接入设备重新发送的所述用户设备的所述关联标识与所述物理地址验证所述第二签名值。
步骤S80,如果所述第二标识值验证成功,向所述网络接入设备发送所述用户设备验证通过消息。
以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (9)
1.一种服务器,其特征在于,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下步骤:
接收网络接入设备发送的验证请求消息,所述验证请求消息包括向所述网络接入设备发送入网请求的用户设备的关联标识和物理地址,并经由所述网络接入设备接收所述用户设备提供的身份验证信息;
对所述身份验证信息进行鉴权认证;
如果鉴权认证成功,根据所述关联标识和所述物理地址生成所述用户设备的第一标识值,所述第一标识值包括第一令牌值和第一签名值;
经由所述网络接入设备将所述第一标识值发送至所述用户设备;
经由所述网络接入设备接收所述用户设备发送的第二标识值,所述第二标识值包括第二令牌值和第二签名值;
验证所述第二标识值;及
如果所述第二标识值验证成功,向所述网络接入设备发送所述用户设备验证通过消息。
2.如权利要求1所述的服务器,其特征在于,所述生成所述第一标识值的步骤还包括:
通过安全哈希算法计算所述关联标识与所述物理地址,以得到所述第一签名值。
3.如权利要求2所述的服务器,其特征在于,所述经由所述网络接入设备接收所述用户设备发送的第二标识值的步骤还包括:
接收所述网络接入设备重新发送的所述用户设备的所述关联标识与所述物理地址。
4.如权利要求3所述的服务器,其特征在于,所述验证所述第二标识值的步骤包括:
根据所述第一令牌值验证所述第二令牌值;及
如果所述第一令牌值验证成功,根据所述网络接入设备重新发送的所述用户设备的所述关联标识与所述物理地址验证所述第二签名值。
5.一种网页认证方法,应用于服务器中,其特征在于,所述方法包括步骤:
接收网络接入设备发送的验证请求消息,所述验证请求消息包括向所述网络接入设备发送入网请求的用户设备的关联标识和物理地址,并经由所述网络接入设备接收所述用户设备提供的身份验证信息;
对所述身份验证信息进行鉴权认证;
如果鉴权认证成功,根据所述关联标识和所述物理地址生成所述用户设备的第一标识值,所述第一标识值包括第一令牌值和第一签名值;
经由所述网络接入设备将所述第一标识值发送至所述用户设备;
经由所述网络接入设备接收所述用户设备发送的第二标识值,所述第二标识值包括第二令牌值和第二签名值;
验证所述第二标识值;及
如果所述第二标识值验证成功,向所述网络接入设备发送所述用户设备验证通过消息。
6.如权利要求5所述的网页认证方法,其特征在于,所述生成所述第一标识值的步骤还包括:
通过安全哈希算法计算所述关联标识与所述物理地址,以得到所述第一签名值。
7.如权利要求6所述的网页认证方法,其特征在于,所述经由所述网络接入设备接收所述用户设备发送的第二标识值的步骤还包括:
接收所述网络接入设备重新发送的所述用户设备的所述关联标识与所述物理地址。
8.如权利要求7所述的网页认证方法,其特征在于,所述验证所述第二标识值的步骤包括:
根据所述第一令牌值验证所述第二令牌值;及
如果所述第一令牌值验证成功,根据所述网络接入设备重新发送的所述用户设备的所述关联标识与所述物理地址验证所述第二签名值。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求5至8中任一项所述的网页认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710387357.3A CN108933767A (zh) | 2017-05-26 | 2017-05-26 | 服务器及网页认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710387357.3A CN108933767A (zh) | 2017-05-26 | 2017-05-26 | 服务器及网页认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108933767A true CN108933767A (zh) | 2018-12-04 |
Family
ID=64451215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710387357.3A Pending CN108933767A (zh) | 2017-05-26 | 2017-05-26 | 服务器及网页认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108933767A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109451504A (zh) * | 2019-01-03 | 2019-03-08 | 中国联合网络通信集团有限公司 | 物联网模组鉴权方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237325A (zh) * | 2008-03-12 | 2008-08-06 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| CN103078932A (zh) * | 2012-12-31 | 2013-05-01 | 中国移动通信集团江苏有限公司 | 一种实现通用单点登录的方法、装置和系统 |
| CN105450652A (zh) * | 2015-12-03 | 2016-03-30 | 迈普通信技术股份有限公司 | 一种认证方法、装置及系统 |
| US20160119316A1 (en) * | 2013-09-30 | 2016-04-28 | Beijing Zhigu Rui Tuo Tech Co., Ltd. | Wireless network authentication method and wireless network authentication apparatus |
| CN106488453A (zh) * | 2016-12-07 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种portal认证的方法及系统 |
-
2017
- 2017-05-26 CN CN201710387357.3A patent/CN108933767A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237325A (zh) * | 2008-03-12 | 2008-08-06 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| CN103078932A (zh) * | 2012-12-31 | 2013-05-01 | 中国移动通信集团江苏有限公司 | 一种实现通用单点登录的方法、装置和系统 |
| US20160119316A1 (en) * | 2013-09-30 | 2016-04-28 | Beijing Zhigu Rui Tuo Tech Co., Ltd. | Wireless network authentication method and wireless network authentication apparatus |
| CN105450652A (zh) * | 2015-12-03 | 2016-03-30 | 迈普通信技术股份有限公司 | 一种认证方法、装置及系统 |
| CN106488453A (zh) * | 2016-12-07 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种portal认证的方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109451504A (zh) * | 2019-01-03 | 2019-03-08 | 中国联合网络通信集团有限公司 | 物联网模组鉴权方法及系统 |
| CN109451504B (zh) * | 2019-01-03 | 2021-11-16 | 中国联合网络通信集团有限公司 | 物联网模组鉴权方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6716745B2 (ja) | ブロックチェーン基盤の権限認証方法、端末及びこれを利用したサーバ | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| US20150237035A1 (en) | Securing Organizational Computing Assets over a Network Using Virtual Domains | |
| CN105188055A (zh) | 无线网络接入方法、无线接入点以及服务器 | |
| CN107426235B (zh) | 基于设备指纹的权限认证方法、装置及系统 | |
| CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
| CN104243157A (zh) | 一种用于用户身份认证的方法和装置 | |
| US20110225641A1 (en) | Token Request Troubleshooting | |
| CN103905194B (zh) | 身份溯源认证方法及系统 | |
| CN103841560A (zh) | 增强sim卡可靠性的方法及设备 | |
| CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
| CN102868702B (zh) | 系统登录装置和系统登录方法 | |
| WO2016188053A1 (zh) | 一种无线网络接入方法、装置及计算机存储介质 | |
| CN111371725A (zh) | 一种提升会话机制安全性的方法、终端设备和存储介质 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| TWI516965B (zh) | 檔案分享方法及系統 | |
| US20150280920A1 (en) | System and method for authorization | |
| CN112491776A (zh) | 安全认证方法及相关设备 | |
| CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| CN106878280B (zh) | 用户认证的方法和装置、获取用户号码信息的方法和装置 | |
| WO2017185458A1 (zh) | 生成和获取用于删除isd-p域的授权的方法及装置 | |
| CN113055371A (zh) | 一种物联tcp设备登录认证方法和系统 | |
| CN114157438A (zh) | 网络设备管理方法、装置及计算机可读存储介质 | |
| CN109063461B (zh) | 一种第三方免密登录方法及系统 | |
| CN108933767A (zh) | 服务器及网页认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181204 |