CN109120611A - 用于地址生成服务器的用户认证方法、设备、系统及介质 - Google Patents
用于地址生成服务器的用户认证方法、设备、系统及介质 Download PDFInfo
- Publication number
- CN109120611A CN109120611A CN201810879430.3A CN201810879430A CN109120611A CN 109120611 A CN109120611 A CN 109120611A CN 201810879430 A CN201810879430 A CN 201810879430A CN 109120611 A CN109120611 A CN 109120611A
- Authority
- CN
- China
- Prior art keywords
- message
- server
- address
- authentication
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本公开提供一种用于地址生成服务器的用户认证方法,包括:接收客户端发送的用户信息和第一报文,第一报文包括第一随机数,并转发用户信息和第一随机数至用户管理服务器进行身份验证;接收用户管理服务器发送的身份验证的消息,并向客户端发送第二报文,该消息包括第二随机数;接收客户端发送的含有密码摘要的第三报文,并转发密码摘要中的密码至用户管理服务器进行密码验证,其中,该第三报文包括所述第一随机数;接收用户管理服务器发送的密码验证的消息,将第一随机数及第二随机数进行比对的得到比对结果,并发送第四报文至客户端,该报文包括用户认证结果。本公开还提供了一种用户认证的电子设备、一种用户认证系统以及一种计算机可读介质。
Description
技术领域
本公开涉及计算机网络技术领域,尤其涉及一种用于地址生成服务器的用户认证方法、设备、系统及介质。
背景技术
随着计算机网络技术的飞速发展,世界各地高校、运营商以及部分商业公司已经开始了IPv6的商业化进程,诸如Google,YouTube,百度,阿里巴巴等互联网企业均已经提供了IPv6服务供用户访问。目前,国内的无线IPv6认证仍处于一个初级阶段,IPv6接入主要集中在面向教育网的高校,因此,为用户提供简单有效的基于Android兼容iOS真实源地址认证技术具有很大价值。
发明内容
针对现有技术问题,本公开提供一种用于地址生成服务器的用户认证方法、电子设备及系统,用于解决目前国内无线IPv6访问技术使用范围受限的问题。
本公开的一个方面提供了一种用于地址生成服务器的用户认证方法,包括:接收客户端发送的用户信息和第一报文,所述第一报文包括第一随机数,并转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证;接收所述用户管理服务器发送的身份验证的消息,并向所述客户端发送第二报文,该身份验证的消息是所述用户管理服务器对所述用户信息和第一随机数进行身份验证后发送的消息,该消息包括第二随机数,所述第二报文包括身份验证的结果;接收所述客户端发送的含有密码摘要的第三报文,并转发所述密码摘要中的密码至所述用户管理服务器进行密码验证,其中,该第三报文包括所述第一随机数;接收所述用户管理服务器发送的密码验证的消息,并对所述第一随机数及第二随机数进行比对得到比对结果,根据所述密码验证消息和所述比对结果发送第四报文至所述客户端,所述第四报文包括所述用户信息的认证结果。
可选地,转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证,包括:所述用户管理服务器根据所述用户信息生成第一UID;所述用户管理服务器获取追溯服务器发送的第二UID,所述第二UID是所述追溯服务器根据用户信息对应的IPv6地址生成的;所述用户管理服务器将所述第一UID与第二UID进行比对,得到比对结果。
可选地,转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证,还包括:所述用户管理服务器将所述第一随机数与所述比对结果进行匹配,若所述比对结果成功且匹配成功,则所述用户管理服务器向所述地址生成服务器发送身份验证成功的消息,否则,所述用户管理服务器向所述地址生成服务器发送身份验证失败的消息。
可选地,所述第二UID是所述追溯服务器根据用户信息对应的IPv6地址生成的,包括:所述追溯服务器将所述IPv6地址拆分为前64位和后64位;所述追溯服务器通过所述前64位查询该IPv6地址对应的IDEA密钥,并根据所述IDEA密钥将所述后64位IPv6地址进行解密,得到所述第二UID。
可选地,接收所述客户端发送的含有密码摘要的第三报文,并转发密码验证请求至所述用户管理服务器进行密码验证,还包括:所述用户管理器接收第一密码,所述第一密码为所述地址生成服务器提取所述密码摘要得到的;所述用户管理器获取数据库中的第二密码,所述第二密码为用户注册时保存在所述数据库中的,与所述用户信息对应;所述用户管理器将所述第一密码与所述第二密码进行比对,得到密码验证结果,若密码验证结果为验证成功,发送密码验证成功的消息至所述地址生成服务器,否则发送密码验证失败的消息至所述地址生成服务器。
可选地,接收所述客户端发送的含有密码摘要的第三报文,还包括:若所述第二报文提示用户名存在,则接收所述客户端发送的含有密码摘要的第三报文。
可选地,若所述认证结果为认证成功,所述第四报文还包括分配给所述客户端的IPv6地址。
本公开的另一个方面提供了一种用于地址生成服务器的用户认证电子设备,包括通信器,用于与服务器通信;处理器;存储器,其存储有计算机可执行程序,该程序在被所述处理器执行时,使得所述处理器执行本公开的用户认证的方法。
本公开的另一方面提供了一种用于地址生成服务器的用户认证的系统,包括:身份信息验证模块,用于地址生成服务器转发用户信息和第一随机数至用户管理服务器进行身份验证,并接受身份验证的消息,所述消息包括第二随机数;第二报文生成模块,用于地址生成服务器根据所述身份验证的消息发送第二报文至所述客户端,所述第二报文包含身份验证的结果;密码验证模块,用于对用户密码进行验证,所述地址生成服务器接收客户端生成的带有密码摘要的第三报文,并转发密码验证请求至所述用户管理服务器进行密码验证,所述第三报文包括第一随机数;认证结果显示模块,用于显示用户认证结果,所述地址生成服务器接受所述用户管理服务器发送的密码验证的消息,并对第一随机数及第二随机数进行比对得到比对结果,根据密码验证的消息和比对结果发送第四报文至所述客户端,所述第四报文包括所述用户信息的认证结果。
本公开的另一方面提供了一种计算可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现本公开中用户认证的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的客户端,地址生成服务器与用户管理服务器之间的交互流程图。
图2示意性示出了根据本公开实施例的用于地址生成服务器的用户认证方法的流程图。
图3示意性示出了可应用本公开实施例的用户认证方法的服务器部署图。
图4示意性示出了根据本公开实施例的用户认证方法的电子设备框图。
图5示意性示出了根据本公开实施例的用户认证系统的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。本领域技术人员还应理解,实质上任意表示两个或更多可选项目的转折连词和/或短语,无论是在说明书、权利要求书还是附图中,都应被理解为给出了包括这些项目之一、这些项目任一方、或两个项目的可能性。例如,短语“A或B”应当被理解为包括“A”或“B”、或“A和B”的可能性。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
本公开实施例提供一种用于地址生成服务器的用户认证方法,在已部署Android兼容iOS真实源地址认证体系的情况下,通过客户端、地址生成服务器与用户管理服务器之间的交互过程,实现用户认证,为Android或iOS端提供简单有效的认证技术,如图1所示,交互过程使用修改后的DHCPv6协议。其中,该交互过程通俗来说,可以将客户端,地址生成服务器与用户管理服务器之间交互比喻成三人之间的聊天,相互根据对方发送的聊天内容给对方回复消息,下文所述的第一、第二、第三、第四报文、身份验证的消息及密码验证的消息相当于聊天内容。
图2示意性示出了根据本公开实施例的用于地址生成服务器的用户认证方法的流程图。
如图2所示,方法包括:
S1,地址生成服务器接收客户端发送的用户信息和第一报文,所述第一报文包括第一随机数,并转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证。
在上述操作S1中,所述客户端提供DHCP模块和Option模块。DHCP模块包括系统接口管理器、地址管理器、配置管理器及交互管理器。系统接口管理器管理系统中所有的网络接口;地址管理器相当于一个跟IPv6地址有关的数据库,其中存储了所有的与Client、身份关联和相关的IPv6地址信息;配置管理器用于从配置文件中读取配置信息,并在实时运行时,提供这些配置信息;交互管理器负责DHCPv6报文的交互以及DHCPv6的核心逻辑实现。
Option模块包括5类:Username Option、Nonce Option、Password DigestOption、Error Option及Random Option。Username Option用来携带DHCPv6协议Solicit报文的用户名信息;NonceOption用来携带DHCPv6协议Advertise报文的第二随机数信息,该随机数由DHCPv6Server随机生成,用于对用户密码进行加密;Password Digest Option用来携带DHCPv6协议Request报文的密码摘要信息,用于对用户密码进行验证;Error Option用来携带由服务器端发送给客户端的DHCPv6报文的报错信息;Random Option用来携带跨域登录情况下DHCPv6协议Solicit报文的第一随机数信息,该随机数由eID二维码生成,用于对用户进行认证。
首先,客户端提供用户密码输入框,用户在用户密码输入框输入用户名和密码(即用户信息)以进行身份验证,同时,客户端还提供了界面友好操作功能,例如“记住密码”、“登录后最小化”、“随系统启动”等功能,并且,客户端向地址生成服务器发送第一报文(Solicit报文)以请求获得IPv6地址,最终客户端根据地址生成服务器分配的IPv6地址进行登录,该报文Solicit内含有第一随机数。
其次,地址生成服务器将用户信息和第一随机数发送给用户管理服务器进行身份验证,该验证过程需借助追溯服务器来完成,且该验证过程包括身份信息确认和匹配两个过程。
身份信息确认过程包括:
S11,所述用户管理服务器根据所述用户信息生成第一UID。
具体地,用户管理器根据地址生成服务器转发的用户名和密码生成唯一与之对应的第一UID,并将其发送给地址管理生成服务器。
S12,所述用户管理服务器获取追溯服务器发送的第二UID,所述第二UID是所述追溯服务器根据用户信息对应的IPv6地址生成的。
具体地,授权的管理员与追溯服务器建立连接,将需要追溯的IPv6地址发送给追溯服务器,所述追溯服务器根据该IPv6地址生成第二UID,该IPv6地址与输入的用户名和密码对应,在用户注册的过程中根据注册时设置的新的用户名和密码加上其他信息(时间信息或MAC地址信息等)生成,并保存在数据库中。
S13,所述用户管理服务器将所述第一UID与第二UID进行比对,得到比对结果。
具体地,用户管理服务器将追溯服务器提供的第二UID与自身生成的第一UID比对得到比对结果,根据比对结果查询UID所代表的身份信息的正确性。
其中,第二UID生成过程包括:
S131,追溯服务器将该IPv6地址拆分成两个部分:前64位和后64位;
S132,通过前64位查询该IPv6地址对应的IDEA密钥,并根据所述IDEA密钥将后64位IPv6地址进行解密,得到第二UID信息。
具体地,首先,将前64位IPv6地址放入数据库中查询其对应的分发IDEA密钥以及其对应的用户管理服务器的IPv6地址,然后,利用IDEA密钥对IPv6后64位地址进行解密,得到新的的64位信息,前40位为第二UID,后18位为时间信息或MAC地址HASH值,最后,将第二UID信息和MAC地址HASH值(若HASH值存在)发送给该IPv6地址所对应的用户管理服务器,用户管理服务器返回该用户的所有信息,并将用户的生成信息以及时间信息返还给管理员,完成追溯流程。
完成身份确认之后,接下来进行匹配过程,包括:地址生成服务器根据用户管理器生成的第一UID生成第三UID(该UID带有Random Option中的第一随机数信息,该第一随机数信息用于匹配身份信息确认的结果,消息格式为:“ran:xxxxxxxxxx”)并发送给用户管理服务器,用户管理服务器将第三UID与自身产生的第一UID进行匹配,得到身份验证的结果,并根据身份验证的结果发送身份验证的消息至地址生成服务器。
通俗的解释第一UID、第二UID和第三UID,例如,使用某APP的用户都有属于该APP的用户名和密码,在注册过程中,当设定用户名和密码时,地址生成服务器会根据设定的这些用户名和密码生成具体的地址信息,并加密保存在相关的数据库中,这些具体的地址信息里面包括第二UID;而当在该APP客户端登录时,用户管理服务器就会根据此刻输入的用户名和密码生成第一UID,若这两个UID相同,则表明在该APP登录时身份信息确认成功;而第三UID是在登录时根据第一UID生成的。
另外,用户管理服务器阶段性对所述IDEA密钥进行更新,并将更新后的IDEA密钥发送给追溯服务器和本域内的地址生成服务器。用户管理服务器建立MAC地址HASH映射表,为不同的MAC地址生成HASH值,根据追溯服务器提供的MAC地址HASH值,查询对应的MAC地址表。
S2,地址生成服务器接收所述用户管理服务器发送的身份验证的消息,并向所述客户端发送第二报文,该身份验证的消息是所述用户管理服务器对所述用户信息和第一随机数进行身份验证后发送的消息,该消息包括第二随机数。
在上述操作S2中,若身份验证成功,则地址生成服务器接收身份验证成功的消息“uid:xxxxxxxxxx;anth:yes;ran:xxxxxx”,后,保留该消息中的第二随机数,若身份验证失败,则地址生成服务器接收身份验证失败的消息“uid:xxxxxxxxxx;ans:no;ran:xxxxxx”,地址生成服务器根据接收的身份验证的消息生成第二报文(Advertise报文)至客户端,该Advertise报文包含身份验证的结果。
S3,接收所述客户端发送的含有密码摘要的第三报文,并转发所述密码摘要中的密码至所述用户管理服务器进行密码验证,其中,该第三报文包括所述第一随机数。
在上述操作S3中,客户端接受到地址生成服务器返回的Advertise报文后对其进行处理,若地址生成服务器返回的Advertise报文中包括Error Option且Error Option提示用户名不存在,则客户端返回界面提示用户名错误;若地址生成服务器返回的Advertise报文中提示用户名存在,则客户端从Advertise报文中的Nonce Option中提取第三随机数(nonce),将nonce和密码使用MD5算法加密,生成密码摘要digest,将digest添加到Password Digest Option,并将携带有digest的Password Digest Option添加到第三报文(Request报文)中,将Request报文发送至地址生成服务器请求地址生成服务器分配地址,其中,Request报文中含有Random Option中的第一随机数。
地址生成服务器提取出Request报文中的密码,并将该密码发送至用户管理服务器,用户管理服务器获取用户在注册时保存在数据库中的密码,将这两个密码进行比对,若不同,则回复密码验证失败的消息“uid:xxxxxxxxxx;no”,若相同,则发送密码验证成功的消息“uid:xxxxxxxxxx;yes”至地址生成服务器。
S4,所述地址生成服务器接收密码验证的消息,并对所述第一随机数及第二随机数进行比对得到比对结果,根据密码验证的消息和比对结果发送第四报文至所述客户端,所述第四报文包括所述用户信息的认证结果。
在上述操作S4中,地址生成服务器接收客户端的Request报文,提取出RandomOption中的第一随机数,并接受用户管理服务器发送的密码验证的消息,将第一随机数与操作S2中所存的第二随机数进行比对得到比对的结果。
若密码验证成功且比对结果成功,则使用IDEA(3DES或其他满足要求的加密算法)对UID(该UID是在地址生成服务器与用户管理器交互的过程中生成的,是地址生成服务器接收用户管理器生成的第一UID并添加第一随机数生成的UID)和时间(或其他参数)加密,获得IPv6地址的后64位接口ID(简称AID),即该地址嵌入了当前用户身份表示的身份信息。将密码验证成功的结果和AID添加入第四报文(Reply报文)中,发送Reply报文给客户端,则客户端使用该IPv6地址,并在客户端界面上显示登录成功。
若密码验证失败,则将密码验证失败的结果添加到Error Option中,并将ErrorOption添加到Reply报文中发送给客户端,则客户端界面上提示密码错误。
图3是示意性示出了可应用本公开实施例用户认证方法的服务器部署图,参考图3对本发明可应用的服务器逻辑组成部分加以说明。本公开是基于Android和IOS源地址的用户认证方法。
IOS系统采用上述所述方法进行用户认证过程时,源地址接收端口不需要进行转换,通过无线接入点AP直接自动搜寻AC;AP搜寻到AC后从AC上下载设备固件,配置信息,RADIUS服务器上储存用户的用户名,密码等,通过这些信息并采用上述方法实现对无线用户进行认证,例如iPad,iPhone及iPod touch等使用的都是IOS系统,这些电子设备使用本公开所述的用户认证方法进行用户认证无需进行端口转换。
与IOS用户认证相比,Android源地址认证需预先进行源地址接收端口的转换,比如国内目前使用比较多的华为、小米等都是Android系统。Android源地址认证方式中,接收源地址是546端口,目的是547端口,由于546端口绑定的3000端口,Android需要安装客户端(无需root权限),Android发出DHCPv6请求源端口546替换3000,否则需root,DHCPv6服务器收到dhcpv6请求报文后,报文修改程序会将源端口3000替换为546,然后查找radius数据库获取mac、用户名和密码,添加到DHCPv6请求的扩展选项中,并采用本公开所述用户认证方法进行用户认证,其中DHCPv6服务器包括报文修改(源端口转换、DHCPv6扩展选项添加)和DHCPv6用户服务。
综上所述,本公开实施例提供的用于地址生成服务器的用户认证的方法可应用于IOS和Android进行用户认证,解决了目前国内无线IPv6访问范围受限的问题。
本公开提供了一种安装有客户端的电子设备,如图4所示,电子设备400包括处理器410、存储器420、通信器430。该电子设备400可以执行上述参考图2描述的方法,以进行消息处理。
具体地,处理器410可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器410还可以包括用于缓存用途的板载存储器。处理器410可以是用于执行参考图2描述的根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
存储器420,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
存储器420可以包括计算机程序421,该计算机程序421可以包括代码/计算机可执行指令,其在由处理器410执行时使得处理器410执行例如上面结合图2所描述的方法流程及其任何变形。
计算机程序421可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序421中的代码可以包括一个或多个程序模块,例如包括421A、模块421B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器410执行时,使得处理器410可以执行例如上面结合图2所描述的方法流程及其任何变形。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
图5示意性示出了根据本公开实施例的用户认证系统系统的框图。
如图5所示,用户认证系统500包括身份信息验证模块510、第二报文生成模块520、密码验证模块530,及认证结果显示模块540。
身份信息验证模块510,用于地址生成服务器转发用户信息和第一随机数至用户管理服务器进行身份验证,并接收所述用户管理服务器身份验证的消息,所述身份验证的消息包括第二随机数。
其中,身份验证包括身份信息确认及匹配过程,身份信息确认过程:用户管理器根据地址生成服务器发送用户信息生成第一UID,追溯服务器追溯用户注册时保存在数据库中的IPv6地址获得第二UID,将第一UID和第二UID进行比对,查询第一UID所代表的身份信息是否正确,从而得到身份信息比对的结果;匹配过程:用户管理器接收地址生成服务器发送的第三UID与第一UID进行匹配,得到身份验证的结果,该第三UID是地址生成服务器根据第一UID加上随机数生成的。用户管理器根据身份验证的结果发送身份验证的消息至地址生成服务器。
第二报文生成模块520,用于地址生成服务器根据所述身份验证的消息发送第二报文至所述客户端。地址生成服务器接受到身份验证的消息后,保留该消息中的第二随机数,并发送第二报文(Advertise报文)至客户端,该Advertise报文包含身份验证的结果。
密码验证模块530,用于对用户密码进行验证。客户端接受到地址生成服务器返回的Advertise报文后对其进行处理,若地址生成服务器返回的Advertise报文中包括ErrorOption且Error Option提示用户名不存在,则客户端返回提示用户名错误;若地址生成服务器返回的Advertise报文中提示用户名存在,则从Advertise报文中的Nonce Option中提取第三随机数(nonce),将nonce和密码使用MD5算法加密,生成密码摘要digest,将digest添加到Password Digest Option,并将携带有digest的Password Digest Option添加到第三报文(Request报文)中,将Request报文发送至地址生成服务器请求地址生成服务器分配地址,其中,Request报文中含有Random Option中的第一随机数。
地址生成服务器提取出Request报文中的密码,并将该密码发送至用户管理服务器,用户管理服务器获取用户在注册时保存在数据库中的密码,将这两个密码进行比对,若不同,则发送密码验证失败的消息“uid:xxxxxxxxxx;no”至地址生成服务器,若相同,则发送密码验证成功的消息“uid:xxxxxxxxxx;yes”至地址生成服务器。
认证结果显示模块540,用于显示用户认证结果,所述地址生成服务器对第一随机数及第二随机数进行比对得到比对结果,并根据密码验证的消息和比对结果发送第四报文至所述客户端,所述第四报文包括所述用户信息的认证结果。
具体地,地址生成服务器接收客户端的Request报文后,提取出Random Option中的第一随机数,并与操作S2中所存的随机数进行比对得到比对结果,若密码验证成功且比对结果成功,则使用IDEA(3DES或其他满足要求的加密算法)对UID(该UID是在地址生成服务器与用户管理器交互的过程中生成的,是地址生成服务器接收用户管理器生成的第一UID并添加第一随机数生成的UID)和时间(或其他参数)加密,获得IPv6地址的后64位接口ID(简称AID),即该地址嵌入了当前用户身份表示的身份信息。将密码验证成功的结果和AID添加入第四报文(Reply报文)中,发送Reply报文给客户端,则客户端使用该IPv6地址,并在客户端界面上显示登录成功;若密码验证失败,则将密码验证失败的结果添加到ErrorOption中,并将Error Option添加到Reply报文中发送给客户端,则客户端界面上提示密码错误。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种用于地址生成服务器的用户认证方法,包括:
S1,接收客户端发送的用户信息和第一报文,所述第一报文包括第一随机数,并转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证;
S2,接收所述用户管理服务器发送的身份验证的消息,并向所述客户端发送第二报文,该身份验证的消息是所述用户管理服务器对所述用户信息和第一随机数进行身份验证后发送的消息,该消息包括第二随机数,所述第二报文包括身份验证的结果;
S3,接收所述客户端发送的含有密码摘要的第三报文,并转发所述密码摘要中的密码至所述用户管理服务器进行密码验证,其中,该第三报文包括所述第一随机数;
S4,接收所述用户管理服务器发送的密码验证的消息,将所述第一随机数及所述第二随机数进行比对的得到比对结果,并发送第四报文至所述客户端,所述密码验证的消息是所述用户管理服务器对密码进行验证后发送的消息,所述第四报文包括所述用户信息的认证结果。
2.根据权利要求1所述的方法,在上述操作S1中,转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证,包括:
S11,所述用户管理服务器根据所述用户信息生成第一UID;
S12,所述用户管理服务器获取追溯服务器发送的第二UID,所述第二UID是所述追溯服务器根据用户信息对应的IPv6地址生成的;
S13,所述用户管理服务器将所述第一UID与第二UID进行比对,得到比对结果。
3.根据权利要求2所述的方法,在上述操作S1中,转发所述用户信息和所述第一随机数至用户管理服务器进行身份验证,还包括:
所述用户管理服务器将所述第一随机数与所述比对结果进行匹配,若比对结果为比对成功且匹配成功,则所述用户管理服务器向所述地址生成服务器发送身份验证成功的消息,否则,所述用户管理服务器向所述地址生成服务器发送身份验证失败的消息。
4.根据权利要求2所述的方法,所述第二UID是所述追溯服务器根据用户信息对应的IPv6地址生成的,包括:
S131,所述追溯服务器将所述IPv6地址拆分为前64位和后64位;
S132,所述追溯服务器通过所述前64位查询该IPv6地址对应的IDEA密钥,并根据所述IDEA密钥将所述后64位IPv6地址进行解密,得到所述第二UID。
5.根据权利要求1所述的方法,在上述操作S3中,接收所述客户端发送的含有密码摘要的第三报文,并转发所述密码摘要中的密码至所述用户管理服务器进行密码验证,还包括:
S31,所述用户管理器接收第一密码,所述第一密码为所述地址生成服务器提取所述密码摘要得到的;
S32,所述用户管理器获取数据库中的第二密码,所述第二密码为用户注册时保存在所述数据库中的,与所述用户信息对应;
S33,所述用户管理器将所述第一密码与所述第二密码进行比对,得到密码验证结果,若验证结果为验证成功,发送密码验证成功的消息至所述地址生成服务器,否则,发送密码验证失败的消息至所述地址生成服务器。
6.根据权利要求1所述的方法,接收所述客户端发送的含有密码摘要的第三报文,还包括:
若所述第二报文提示用户名存在,则接收所述客户端发送的含有密码摘要的第三报文。
7.根据权利要求1所述的方法,在上述操作S4中,若所述认证结果为认证成功,所述第四报文还包括分配给所述客户端的IPv6地址。
8.一种地址生成服务器的用户认证电子设备,包括:
处理器;
存储器,其存储有计算机可执行程序,该程序在被所述处理器执行时,使得所述处理器执行如权利要求1-7中用户认证的方法。
9.一种用于地址生成服务器的用户认证系统,包括:
身份信息验证模块,用于地址生成服务器转发用户信息和第一随机数至用户管理服务器进行身份验证,所述地址生成服务器接收所述用户管理服务器身份验证的消息,所述身份验证的消息包括第二随机数;
第二报文生成模块,用于地址生成服务器根据所述身份验证的消息发送第二报文至所述客户端;
密码验证模块,用于进行密码验证,所述地址生成服务器接收客户端生成的带有密码摘要的第三报文,并转发密码摘要中的密码至所述用户管理服务器进行密码验证,所述第三报文包括第一随机数;
认证结果显示模块,用于显示用户认证结果,所述地址生成服务器接收所述用户管理器发送的密码验证的消息,并对第一随机数及第二随机数进行比对得到比对结果,根据比对结果发送第四报文至所述客户端,所述第四报文包括所述用户信息的认证结果。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中用户认证的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810879430.3A CN109120611B (zh) | 2018-08-03 | 2018-08-03 | 用于地址生成服务器的用户认证方法、设备、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810879430.3A CN109120611B (zh) | 2018-08-03 | 2018-08-03 | 用于地址生成服务器的用户认证方法、设备、系统及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109120611A true CN109120611A (zh) | 2019-01-01 |
| CN109120611B CN109120611B (zh) | 2021-07-06 |
Family
ID=64852793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810879430.3A Active CN109120611B (zh) | 2018-08-03 | 2018-08-03 | 用于地址生成服务器的用户认证方法、设备、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109120611B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988146A (zh) * | 2020-07-31 | 2020-11-24 | 新华三信息技术有限公司 | 一种身份验证方法、装置、设备及机器可读存储介质 |
| CN112000493A (zh) * | 2020-08-24 | 2020-11-27 | 成都卫士通信息产业股份有限公司 | 一种数据处理系统、方法及电子设备和存储介质 |
| CN114615279A (zh) * | 2022-03-18 | 2022-06-10 | 中央财经大学 | 一种基于区块链技术的可信多方数据协同方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060077908A1 (en) * | 2004-10-07 | 2006-04-13 | Park So H | Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof |
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN1953373A (zh) * | 2006-09-19 | 2007-04-25 | 清华大学 | 一种开放式真实IPv6源地址过滤与验证方法 |
| CN101304423A (zh) * | 2008-07-08 | 2008-11-12 | 北京邮电大学 | 用户身份认证方法及系统 |
| CN101610255A (zh) * | 2009-07-10 | 2009-12-23 | 清华大学 | 基于密码学生成地址的源地址验证装置 |
| CN102663588A (zh) * | 2012-04-10 | 2012-09-12 | 中山爱科数字家庭产业孵化基地有限公司 | 一种基于ipv6的远程网络支付方法 |
| CN102761630A (zh) * | 2012-07-20 | 2012-10-31 | 清华大学 | 一种面向真实用户身份信息的IPv6地址分配方法 |
| US9686279B2 (en) * | 2015-09-30 | 2017-06-20 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for providing GPS location embedded in an IPv6 address using neighbor discovery |
| CN108023973A (zh) * | 2017-11-13 | 2018-05-11 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 基于地理坐标配置IPv6地址的云网互联的方法及装置 |
| US9973590B2 (en) * | 2011-11-26 | 2018-05-15 | Bing Wu | User identity differentiated DNS resolution |
-
2018
- 2018-08-03 CN CN201810879430.3A patent/CN109120611B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060077908A1 (en) * | 2004-10-07 | 2006-04-13 | Park So H | Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof |
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN1953373A (zh) * | 2006-09-19 | 2007-04-25 | 清华大学 | 一种开放式真实IPv6源地址过滤与验证方法 |
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN101304423A (zh) * | 2008-07-08 | 2008-11-12 | 北京邮电大学 | 用户身份认证方法及系统 |
| CN101610255A (zh) * | 2009-07-10 | 2009-12-23 | 清华大学 | 基于密码学生成地址的源地址验证装置 |
| US9973590B2 (en) * | 2011-11-26 | 2018-05-15 | Bing Wu | User identity differentiated DNS resolution |
| CN102663588A (zh) * | 2012-04-10 | 2012-09-12 | 中山爱科数字家庭产业孵化基地有限公司 | 一种基于ipv6的远程网络支付方法 |
| CN102761630A (zh) * | 2012-07-20 | 2012-10-31 | 清华大学 | 一种面向真实用户身份信息的IPv6地址分配方法 |
| US9686279B2 (en) * | 2015-09-30 | 2017-06-20 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for providing GPS location embedded in an IPv6 address using neighbor discovery |
| CN108023973A (zh) * | 2017-11-13 | 2018-05-11 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 基于地理坐标配置IPv6地址的云网互联的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 郝永放等: "《NFC标签与服务器双向认证方案的设计》", 《物联网技术》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988146A (zh) * | 2020-07-31 | 2020-11-24 | 新华三信息技术有限公司 | 一种身份验证方法、装置、设备及机器可读存储介质 |
| CN111988146B (zh) * | 2020-07-31 | 2022-07-12 | 新华三信息技术有限公司 | 一种身份验证方法、装置、设备及机器可读存储介质 |
| CN112000493A (zh) * | 2020-08-24 | 2020-11-27 | 成都卫士通信息产业股份有限公司 | 一种数据处理系统、方法及电子设备和存储介质 |
| CN114615279A (zh) * | 2022-03-18 | 2022-06-10 | 中央财经大学 | 一种基于区块链技术的可信多方数据协同方法及系统 |
| CN114615279B (zh) * | 2022-03-18 | 2023-06-20 | 中央财经大学 | 一种基于区块链技术的可信多方数据协同方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109120611B (zh) | 2021-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108322469B (zh) | 信息处理系统、方法和装置 | |
| CN107040922B (zh) | 无线网络连接方法、装置及系统 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN105007279B (zh) | 认证方法和认证系统 | |
| CN107239688B (zh) | Docker镜像仓库的权限认证方法和系统 | |
| CN103685311B (zh) | 一种登录验证方法及设备 | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| CN105516948B (zh) | 一种设备控制方法及装置 | |
| CN103107996B (zh) | 数字证书在线下载方法及系统、数字证书发放平台 | |
| CN109309565A (zh) | 一种安全认证的方法及装置 | |
| CN106170964B (zh) | 基于不同身份服务的用户虚拟身份 | |
| CN108476246A (zh) | 计算机网络中的安全域名解析 | |
| CN109413096B (zh) | 一种多应用的登录方法及装置 | |
| CN108881308A (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN109714168A (zh) | 可信远程证明方法、装置和系统 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN104639516A (zh) | 身份认证方法、设备及系统 | |
| US10158493B2 (en) | Solution for generating and issuing security codes with guaranteed issuer authenticity and origin | |
| CN106936577A (zh) | 一种用于证书申请的方法、终端和系统 | |
| CN105490997B (zh) | 安全校验方法、装置、终端及服务器 | |
| CN109587101A (zh) | 一种数字证书管理方法、装置及存储介质 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| US20170272467A1 (en) | Systems and methods for automating client-side discovery of public keys of external contacts that are secured by dane using dnssec | |
| CN206212040U (zh) | 一种用于快递行业的实名认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211208 Address after: 100084 Beijing Haidian District Zhongguancun East Road 1 hospital Qinghua science and Technology Park 8 Building B block seal building Patentee after: CERNET Co.,Ltd. Address before: 100084 B1001-C 8, building 1, Zhongguancun East Road, Haidian District, Beijing, 2. Patentee before: NEXT GENERATION INTERNET MAJOR APPLICATION TECHNOLOGY (BEIJING) ENGINEERING RESEARCH CENTER Co.,Ltd. |