CN111031053B - 身份认证方法、装置、电子设备及可读存储介质 - Google Patents
身份认证方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN111031053B CN111031053B CN201911305611.6A CN201911305611A CN111031053B CN 111031053 B CN111031053 B CN 111031053B CN 201911305611 A CN201911305611 A CN 201911305611A CN 111031053 B CN111031053 B CN 111031053B
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity authentication
- user information
- terminal device
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本申请提供一种身份认证方法、装置、电子设备及可读存储介质,包括:在第一终端设备通过身份认证流程的鉴权验证后,认证服务器将第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断身份认证列表中是否存在用户信息;若身份认证列表中存在用户信息,认证服务器确定当前的身份认证流程是否维持有效。可能维持当前的身份认证有效,也可能判定当前的身份认证不维持有效,而维持原本的身份认证有效。由于在两次身份认证中只维持其一为有效,因此,避免了多个认证设备的端口可能在相同时间段内均处于认证通过状态的情况,改善了现有技术中为其他用户非法接入网络提供可能的问题。
Description
技术领域
本申请涉及数据处理技术领域,具体而言,涉及一种身份认证方法、装置、电子设备及可读存储介质。
背景技术
终端设备可以通过各自连接的认证设备向服务器提起用户名或用户名+mac地址的802.1x身份认证。
由于802.1x身份认证过程中,未提供认证设备之间的信息同步,因此,相同用户名(或相同的用户名+mac地址)可以通过不同的认证设备向服务器发起认证,且均能够认证成功,从而导致多个认证设备的端口可能在相同时间段内均处于认证通过状态,为其他用户非法接入网络提供了可能。
发明内容
本申请实施例的目的在于提供一种身份认证方法、装置、电子设备及可读存储介质,用以改善现有技术中为其他用户非法接入网络提供可能的问题。
第一方面,本申请实施例提供了一种身份认证方法,所述方法包括:在第一终端设备通过身份认证流程的鉴权验证后,认证服务器将所述第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断所述身份认证列表中是否存在所述用户信息,所述身份认证列表维护有当前身份认证有效的终端设备的用户信息;若所述身份认证列表中存在所述用户信息,所述认证服务器确定当前的身份认证流程是否维持有效。
在上述的实施方式中,先对第一终端设备对应的用户信息进行鉴权验证,再鉴权验证通过后,判断该用户信息是否已经是当前身份认证有效的用户信息,若是,则表示在本次身份认证之前,该用户信息已经通过了身份认证,因此,可以由认证服务器在两次身份认证中选择其一,并维持其一的身份认证为有效,可能维持当前的身份认证有效,也可能判定当前的身份认证不维持有效,而维持原本的身份认证有效。由于在两次身份认证中只维持其一为有效,因此,避免了多个认证设备的端口可能在相同时间段内均处于认证通过状态的情况,改善了现有技术中为其他用户非法接入网络提供可能的问题。
在一个可能的设计中,所述认证服务器确定当前的身份认证流程是否维持有效,包括:所述认证服务器向所述第一终端设备对应的第一认证设备发送询问交互报文,以使所述第一认证设备把所述询问交互报文转发给所述第一终端设备;所述认证服务器接收所述第一认证设备转发的应答交互报文,并根据所述应答交互报文确定所述第一终端设备当前的身份认证流程是否维持,其中,所述应答交互报文由所述第一终端设备响应于用户的选择指令生成,并由所述第一终端设备转发至所述第一认证设备。
在上述的实施方式中,认证服务器可以先向第一终端设备发送询问交互报文,以便接收用户的应答交互报文,然后根据应答交互报文的内容来决定是维持当前的用户信息对应的身份认证有效还是维持原本的用户信息对应的身份认证有效。由于当前的用户信息经由的认证设备与原本的用户信息经由的认证设备不同,因此,只维持两者中的其一有效,可以相应的关闭无效的用户信息对应的认证设备的端口。
在一个可能的设计中,所述应答交互报文由所述第一终端设备响应于用户的第一选择指令生成,所述第一选择指令为表征取消当前的身份认证流程的选择指令;所述认证服务器确定当前的身份认证流程是否维持有效,包括:中断并退出所述第一终端设备当前的身份认证流程,以维持所述用户信息在所述身份认证列表中对应的第二终端设备的身份认证有效。
在上述的实施方式中,用户输入的选择指令为表征取消当前的身份认证流程的选择指令,具体可以为取消下线原有用户的选择指令,即用户欲保留原先的身份认证,则认证服务器可以中断当前正在进行的用户信息对应的身份认证动作,从而维持原先的身份认证有效。
在一个可能的设计中,所述应答交互报文由所述第一终端设备响应于用户的第二选择指令生成,所述第二选择指令为表征维持当前的身份认证流程的选择指令;所述认证服务器确定当前的身份认证流程是否维持有效,包括:向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文;若接收到所述第二终端设备对应的第二认证设备返回的下线应答报文,确认所述第二终端设备下线,且所述第一终端设备在当前的身份认证流程中身份认证成功,其中,所述下线应答报文由所述第二终端设备响应于用户的下线确认指令生成,并由所述第二终端设备转发至所述第二认证设备。
在上述的实施方式中,用户输入的选择指令为表征维持当前的身份认证流程的选择指令,具体可以为确认下线原有用户的选择指令,则继续向第二终端设备发送强制下线报文,若接收到用户通过第二终端设备输入的下线应答报文,则表示用户欲取消原先的身份认证,而继续当前的身份认证;因此,认证服务器可以将原先的身份认证在第二终端设备下线,并在当前的第一终端设备认证成功,从而将原先与第二终端设备连接的第二认证设备的端口关闭,而认证与第一终端设备连接的第一认证设备的端口开启,从而只维持一个认证设备的端口开启。
在一个可能的设计中,在所述向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文之后,所述方法还包括:若在预设时间段内未接收到所述第二认证设备返回的下线应答报文,向所述第二终端设备循环发送N次强制下线报文;若N次强制下线报文均未在所述预设时间段内接收到相应的下线应答报文,中断并退出当前身份认证流程,以维持所述用户信息在所述身份认证列表中对应的所述第二终端设备的身份认证有效。
在上述的实施方式中,即使用户输入的选择指令为表征确认下线原有用户的选择指令,若认证服务器几次发往第二终端设备的强制下线报文均无应答,则依然判定用户欲保留原先的身份认证,则认证服务器可以中断当前正在进行的用户信息对应的身份认证动作,从而维持原先的身份认证有效。
在一个可能的设计中,所述方法还包括:若所述身份认证列表中不存在所述用户信息,所述认证服务器确认所述用户信息在所述第一终端设备认证成功。
在上述的实施方式中,若身份认证列表中不存在相应的用户信息,则表明本次认证为该用户信息的首次认证,则认证服务器可以直接确认该用户信息在所述第一终端设备认证成功。
在一个可能的设计中,所述第一终端设备通过身份认证流程的鉴权验证,包括:所述认证服务器接收第一认证设备发送的认证请求报文,所述认证请求报文包括第一终端设备的用户信息;所述认证服务器生成鉴权挑战报文,并将所述鉴权挑战报文经所述第一认证设备向所述第一终端设备发送,以使所述第一终端设备根据密码以及所述鉴权挑战报文中的密码加密字生成密码加密信息,其中,所述鉴权挑战报文包括所述密码加密字;所述认证服务器接收所述第一认证设备发送的鉴权应答报文,并根据预先存储的密码以及所述鉴权应答报文中的所述密码加密字、所述密码加密信息,对所述第一终端设备进行鉴权验证,其中,所述鉴权应答报文包括所述密码加密字、密码加密信息以及所述用户信息;若所述预先存储的密码与所述密码加密字运算后获得的运算结果与所述密码加密信息相同,确定所述第一终端设备对应的用户信息通过所述鉴权验证。
在上述实施方式中,描述了鉴权验证过程的一种具体实施方式,鉴权验证也可以通过其他实施方式进行,鉴权验证过程的具体步骤不应该理解为是对本申请的限制。
第二方面,本申请实施例提供了一种身份认证装置,所述装置包括:用户信息比对模块,用于在第一终端设备通身份认证流程的鉴权验证后,将所述第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断所述身份认证列表中是否存在所述用户信息,所述身份认证列表维护有当前身份认证有效的终端设备的用户信息;择一有效维持模块,用于在所述身份认证列表中存在所述用户信息时,确定当前的身份认证流程是否维持为有效。
在一个可能的设计中,择一有效维持模块,用于向所述第一终端设备对应的第一认证设备发送询问交互报文,以使所述第一认证设备把所述询问交互报文转发给所述第一终端设备;所述认证服务器接收所述第一认证设备转发的应答交互报文,并根据所述应答交互报文确定所述第一终端设备当前的身份认证流程是否维持,其中,所述应答交互报文由所述第一终端设备响应于用户的选择指令生成,并由所述第一终端设备转发至所述第一认证设备。
在一个可能的设计中,择一有效维持模块,具体用于中断并退出所述第一终端设备当前的身份认证流程,以维持所述用户信息在所述身份认证列表中对应的第二终端设备的身份认证有效。
在一个可能的设计中,择一有效维持模块,具体用于向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文;若接收到所述第二终端设备对应的第二认证设备返回的下线应答报文,确认所述第二终端设备下线,且所述第一终端设备在当前的身份认证流程中身份认证成功,其中,所述下线应答报文由所述第二终端设备响应于用户的下线确认指令生成,并由所述第二终端设备转发至所述第二认证设备。
在一个可能的设计中,择一有效维持模块,还用于若在预设时间段内未接收到所述第二认证设备返回的下线应答报文,向所述第二终端设备循环发送N次强制下线报文;若N次强制下线报文均未在所述预设时间段内接收到相应的下线应答报文,中断并退出当前身份认证流程,以维持所述用户信息在所述身份认证列表中对应的所述第二终端设备的身份认证有效。
在一个可能的设计中,所述装置还包括首次认证模块,用于在身份认证列表中不存在所述用户信息时,确认所述用户信息在所述第一终端设备认证成功。
在一个可能的设计中,所述装置还包括鉴权验证模块,用于接收第一认证设备发送的认证请求报文,所述认证请求报文包括第一终端设备的用户信息;生成鉴权挑战报文,并将所述鉴权挑战报文经所述第一认证设备向所述第一终端设备发送,以使所述第一终端设备根据密码以及所述鉴权挑战报文中的密码加密字生成密码加密信息,其中,所述鉴权挑战报文包括所述密码加密字;接收所述第一认证设备发送的鉴权应答报文,并根据预先存储的密码以及所述鉴权应答报文中的所述密码加密字、所述密码加密信息,对所述第一终端设备进行鉴权验证,其中,所述鉴权应答报文包括所述密码加密字、密码加密信息以及所述用户信息;若所述预先存储的密码与所述密码加密字运算后获得的运算结果与所述密码加密信息相同,确定所述第一终端设备对应的用户信息通过所述鉴权验证。
第三方面,本申请实施例提供了一种电子设备,包括上述第一方面或第一方面的任一可选的实现方式所述的方法。
第四方面,本申请提供一种可读存储介质,该可读存储介质上存储有可执行程序,该可执行程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第五方面,本申请提供一种可执行程序产品,所述可执行程序产品在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了802.1x身份认证的应用环境的部分示意图;
图2示出了本申请实施例提供的身份认证方法的流程示意图;
图3示出了图2中步骤S120的具体步骤的流程示意图;
图4示出了图2中步骤S110的具体步骤的流程示意图;
图5示出了本申请实施例提供的身份认证装置的示意性结构框图。
具体实施方式
图1示出了802.1x身份认证的应用环境的部分示意图,802.1x身份认证的应用环境包括多个终端设备、多个认证设备以及认证服务器300,多个终端设备中的每个终端设备可以通过各自连接的认证设备向认证服务器300提起用户信息的802.1x身份认证。可选地,用户信息可以包括用户名与mac地址的组合,也可以包括用户名。终端设备往往是打印机、移动终端、电脑等设备;认证设备往往是交互机、路由器等设备;认证服务器300往往是AAA服务器。
详情请参见图1,第一终端设备110可以通过对应的第一认证设备210向认证服务器300提起802.1x身份认证,第二终端设备120可以通过对应的第二认证设备220向认证服务器300提起802.1x身份认证。可选地,第一终端设备110与第二终端设备120可以为同一终端设备,也可以为不同的终端设备。第一认证设备210与第二认证设备220为不同的认证设备。
在介绍本申请实施例之前,先对现有的技术方案进行简要说明:
在现有的802.1x身份认证过程中,由于未提供认证设备之间的信息同步,因此,用户就相同的用户信息经不同的认证设备向认证服务器300发起认证时,相同的用户信息均可以被认证服务器300认证成功。例如,用户就某一用户信息在第一终端设备110经第一认证设备210向认证服务器300发起认证时,可以被认证服务器300认证成功;随后用户就同样的用户信息在第二终端设备120经第二认证设备220向认证服务器300发起认证时,依然可以被认证服务器300认证成功。即无论终端设备是否相同,在其他认证条件均满足的情况下,只要途径的认证设备不同,则途径不同认证设备的同一用户信息均能够被认证成功。
然而,上述情况导致了多个认证设备的端口在相同时间段内可能均处于认证通过状态,为其他非法用户非法接入网络提供了可能。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参见图2,图2示出了本申请实施例提供的身份认证方法,该方法可以由认证服务器300执行,该方法具体包括如下步骤S110至步骤S120:
步骤S110,在第一终端设备通过身份认证流程的鉴权验证后,认证服务器将所述第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断所述身份认证列表中是否存在所述用户信息,所述身份认证列表维护有当前身份认证有效的终端设备的用户信息。
可选地,用户信息可以包括用户名,用户可以通过不同的终端设备发起用户信息的认证,也可以通过同一终端设备发起用户信息的认证;可选地,用户信息可以包括用户名与mac地址的组合,则用户需要通过同一终端设备发起用户信息的认证。用户信息除了包括上述的内容,还可以一并包括认证设备的IP地址以及认证设备的mac地址。
为了便于描述,不妨将用户本次经某认证设备发起身份认证对应的用户信息记为第一用户信息,将记录在身份认证列表中的与第一用户信息相同的用户信息记为第二用户信息,第二用户信息为用户先前经另一认证设备发起身份认证对应的用户信息,并且是当前身份认证有效的终端设备的用户信息。也就是说,第一用户信息与第二用户信息是相同的用户信息,只是发起身份认证的时间不同,且第一用户信息与第二用户信息经过的认证设备不同。
应当理解,第一用户信息对应的终端设备(不妨设为第一终端设备110)可以与第二用户信息对应的终端设备(不妨设为第二终端设备120)相同,也可以不同。终端设备向认证服务器300发送第一用户信息途径的认证设备(不妨设为第一认证设备210)与终端设备向认证服务器300发送第二用户信息途径的认证设备(不妨设为第二认证设备220)是不同的,即第一终端设备110与第二终端设备120可以是同一终端设备,也可以是不同的终端设备;第一认证设备210与第二认证设备220不是同一认证设备。
判断所述身份认证列表中是否存在所述用户信息,即判断身份认证列表中是否存在与第一用户信息相同的第二用户信息,即可以判断当前正在进行身份认证的用户信息是否在之前已经通过其他的认证设备认证成功。
可选地,在步骤S110之后,若所述身份认证列表中不存在用户信息,所述认证服务器300确认所述第一用户信息在所述第一终端设备110认证成功。
身份认证列表中不存在用户信息,表示身份认证列表中不存在与第一用户信息相同的用户信息,则表明本次认证可能是第一用户信息的首次认证,即与第一用户信息相同的用户信息未通过其他的认证设备被认证服务器300认证过;也可能表明即使本次认证并非首次认证,但该用户信息在当前不是身份认证有效的用户信息;因此,认证服务器300可以直接确认第一用户信息在所述第一终端设备110认证成功。
步骤S120,若所述身份认证列表中存在所述用户信息,所述认证服务器确定当前的身份认证流程是否维持有效。
身份认证列表中存在用户信息,即存在与所述第一用户信息相同的第二用户信息,意味着对应的用户信息已经是当前身份认证有效的用户信息,则表示在本次身份认证之前,该与第一用户信息相同的用户信息已经通过了身份认证,因此,可以由认证服务器300维持当前的身份认证有效,也可能判定当前的身份认证不维持有效,而维持原本的身份认证有效,即在两次身份认证中选择其一,并维持其一的身份认证为有效。由于在两次身份认证中只维持其一为有效,因此,避免了多个认证设备的端口可能在相同时间段内均处于认证通过状态的情况,改善了现有技术中为其他用户非法接入网络提供可能的问题。
可选地,在一种具体实施方式中,在身份认证列表中存在与所述第一用户信息相同的第二用户信息时,可以直接把第一用户信息对应的身份认证维持为有效。
请参见图3,认证服务器300在所述第一用户信息和所述第二用户信息对应的身份认证中择一维持为有效具体包括如下步骤S121至步骤S122:
步骤S121,认证服务器300向所述第一终端设备110对应的第一认证设备210发送询问交互报文,以使所述第一认证设备210把所述询问交互报文转发给所述第一终端设备110。
询问交互报文为获取用户选择意见的报文。认证服务器300向第一认证设备210发送询问交互报文,由第一认证设备210把询问交互报文转发给第一终端设备110。
可选地,询问交互报文可问询用户是取消当前的身份认证流程还是维持当前的身份认证流程,用户可以基于询问交互报文在第一终端设备110输入表征取消当前的身份认证流程的选择指令或表征维持当前的身份认证流程的选择指令,第一终端设备110可以根据用户输入的选择指令生成应答交互报文。
在另一种实施方式中,可选地,询问交互报文可问询用户是否下线原有用户,用户可以基于询问交互报文在第一终端设备110输入表征取消下线原有用户的选择指令或表征确认下线原有用户的选择指令,第一终端设备110可以根据用户输入的选择指令生成应答交互报文。
步骤S122,认证服务器接收所述第一认证设备转发的应答交互报文,并根据所述应答交互报文确定所述第一终端设备当前的身份认证流程是否维持。
其中,所述应答交互报文由所述第一终端设备110响应于用户的选择指令生成,并由所述第一终端设备110转发至所述第一认证设备210。
在一种具体实施方式中,应答交互报文由所述第一终端设备110响应于用户的第一选择指令生成,所述第一选择指令为表征取消当前的身份认证流程的选择指令,也可以是表征取消下线原有用户的选择指令,则步骤S122包括:中断并退出所述第一终端设备当前的身份认证流程,以维持所述用户信息在所述身份认证列表中对应的第二终端设备的身份认证有效。
用户输入的选择指令为表征取消当前的身份认证流程的选择指令,或表征取消下线原有用户的选择指令,即用户欲保留原先的身份认证,则认证服务器300可以中断当前正在进行的用户信息对应的身份认证动作,从而维持原先的身份认证有效。
在另一种具体实施方式中,应答交互报文由所述第一终端设备110响应于用户的第二选择指令生成,所述第二选择指令为表征维持当前的身份认证流程的选择指令,也可以是表征确认下线原有用户的选择指令,则步骤S122包括:向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文;若接收到所述第二终端设备对应的第二认证设备返回的下线应答报文,确认所述第二终端设备下线,且所述第一终端设备在当前的身份认证流程中身份认证成功。其中,所述下线应答报文由所述第二终端设备120响应于用户的下线确认指令生成,并由所述第二终端设备120转发至所述第二认证设备220。
用户输入的选择指令为表征维持当前的身份认证流程的选择指令,或表征确认下线原有用户的选择指令,则继续向第二终端设备120发送强制下线报文,若接收到用户通过第二终端设备120输入的下线应答报文,则表示用户欲取消原先的身份认证,而继续当前的身份认证;因此,认证服务器300可以将原先的身份认证在第二终端设备120下线,并在当前的第一终端设备110认证成功,从而将原先与第二终端设备120连接的第二认证设备220的端口关闭,而认证与第一终端设备110连接的第一认证设备210的端口开启,从而只维持一个认证设备的端口开启。
可选地,若在预设时间段内未接收到所述第二认证设备220返回的下线应答报文,向所述第二终端设备120循环发送N次强制下线报文;若N次强制下线报文均未在所述预设时间段内接收到相应的下线应答报文,中断并退出当前身份认证流程,以维持所述用户信息在所述身份认证列表中对应的所述第二终端设备的身份认证有效。
可选地,上述的N次可以为三次,即若在预设时间段内未接收到所述第二认证设备220返回的下线应答报文,可以重复执行:发送强制下线报文并等待第二认证设备220在预设时间段内返回下线应答报文,重复执行三次,若均未接收到第二认证设备220返回的下线应答报文,则可以判定未在原有的终端设备(即第二终端设备120)得到用户的同意。
即使用户输入的选择指令为表征确认下线原有用户的选择指令,若认证服务器300几次发往第二终端设备120的强制下线报文均无应答,则依然判定用户欲保留原先的身份认证,则认证服务器300可以中断当前正在进行的用户信息对应的身份认证动作,从而维持原先的身份认证有效。
请参见图4,步骤S110具体可以包括如下步骤S111至步骤S114:
步骤S111,认证服务器300接收第一认证设备210发送的认证请求报文,所述认证请求报文包括第一终端设备110的用户信息。
第一终端设备110回应第一认证设备210发送到第一终端设备110的EAP-Request/Identity报文,把EAP-Response/Identity报文发送给第一认证设备210,其中,EAP-Response/Identity报文包括用户信息。第一认证设备210把EAP-Response/Identity报文封装到RADIUS Access-Request报文中,并把RADIUS Access-Request报文发送给认证服务器300。其中,RADIUS Access-Request报文为上述的认证请求报文。
步骤S112,认证服务器300生成鉴权挑战报文,并将所述鉴权挑战报文经所述第一认证设备210向所述第一终端设备110发送,以使所述第一终端设备110根据密码以及所述鉴权挑战报文中的密码加密字生成密码加密信息,其中,所述鉴权挑战报文包括所述密码加密字。
认证服务器300产生一个RADIUS Access-Challenge报文,并通过第一认证设备210把RADIUS Access-Challenge报文发送给第一终端设备110。RADIUS Access-Challenge报文中包括有密码加密字EAP-Request/MD5-Challenge。
第一终端设备110接收RADIUS Access-Challenge报文,并且对密码和密码加密字EAP-Request/MD5-Challenge进行M5算法处理,获得密码加密信息Challenged-Pass-word,并且第一终端设备110把用户信息、密码加密信息Challenged-Pass-word以及密码加密字EAP-Request/MD5-Challenge放入鉴权应答报文EAP-Response/MD5-Challenge中,并且把鉴权应答报文经第一认证设备210向认证服务器300发送。
步骤S113,认证服务器300接收所述第一认证设备210发送的鉴权应答报文,并根据预先存储的密码以及所述鉴权应答报文中的所述密码加密字、所述密码加密信息,对所述第一终端设备110进行鉴权验证,其中,所述鉴权应答报文包括所述密码加密字、密码加密信息以及所述用户信息。
认证服务器300接收鉴权应答报文EAP-Response/MD5-Challenge,并从中获取密码加密信息Challenged-Pass-word以及密码加密字EAP-Request/MD5-Challenge。认证服务器300可以利用预先存储的密码与密码加密字EAP-Request/MD5-Challenge进行运算,获得运算结果,然后把运算结果与密码加密信息Challenged-Pass-word进行比对,从而判断来自第一终端设备110的用户输入的密码是否正确。
步骤S114,若所述预先存储的密码与所述密码加密字运算后获得的运算结果与所述密码加密信息相同,确定所述第一终端设备110对应的用户信息通过所述鉴权验证。
所述预先存储的密码与所述密码加密字运算后获得的运算结果与所述密码加密信息相同,表示来自第一终端设备110的用户输入的密码是正确的,因此,确定第一终端设备110对应的用户信息通过鉴权验证。
请参见图5,图5示出了本申请实施例提供的身份认证装置,所述装置400包括:
用户信息比对模块410,用于在第一终端设备通身份认证流程的鉴权验证后,将所述第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断所述身份认证列表中是否存在所述用户信息,所述身份认证列表维护有当前身份认证有效的终端设备的用户信息。
择一有效维持模块420,用于在所述身份认证列表中存在所述用户信息时,确定当前的身份认证流程是否维持为有效。
择一有效维持模块420,用于向所述第一终端设备对应的第一认证设备发送询问交互报文,以使所述第一认证设备把所述询问交互报文转发给所述第一终端设备;所述认证服务器接收所述第一认证设备转发的应答交互报文,并根据所述应答交互报文确定所述第一终端设备当前的身份认证流程是否维持,其中,所述应答交互报文由所述第一终端设备响应于用户的选择指令生成,并由所述第一终端设备转发至所述第一认证设备。
择一有效维持模块420,具体用于中断并退出所述第一终端设备当前的身份认证流程,以维持所述用户信息在所述身份认证列表中对应的第二终端设备的身份认证有效。
择一有效维持模块420,具体用于向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文;若接收到所述第二终端设备对应的第二认证设备返回的下线应答报文,确认所述第二终端设备下线,且所述第一终端设备在当前的身份认证流程中身份认证成功,其中,所述下线应答报文由所述第二终端设备响应于用户的下线确认指令生成,并由所述第二终端设备转发至所述第二认证设备。
择一有效维持模块420,还用于若在预设时间段内未接收到所述第二认证设备返回的下线应答报文,向所述第二终端设备循环发送N次强制下线报文;若N次强制下线报文均未在所述预设时间段内接收到相应的下线应答报文,中断并退出当前身份认证流程,以维持所述用户信息在所述身份认证列表中对应的所述第二终端设备的身份认证有效。
所述装置还包括:首次认证模块,用于在身份认证列表中不存在所述用户信息时,确认所述用户信息在所述第一终端设备认证成功。
鉴权验证模块,用于接收第一认证设备发送的认证请求报文,所述认证请求报文包括第一终端设备的用户信息;生成鉴权挑战报文,并将所述鉴权挑战报文经所述第一认证设备向所述第一终端设备发送,以使所述第一终端设备根据密码以及所述鉴权挑战报文中的密码加密字生成密码加密信息,其中,所述鉴权挑战报文包括所述密码加密字;接收所述第一认证设备发送的鉴权应答报文,并根据预先存储的密码以及所述鉴权应答报文中的所述密码加密字、所述密码加密信息,对所述第一终端设备进行鉴权验证,其中,所述鉴权应答报文包括所述密码加密字、密码加密信息以及所述用户信息;若所述预先存储的密码与所述密码加密字运算后获得的运算结果与所述密码加密信息相同,确定所述第一终端设备对应的用户信息通过所述鉴权验证。
图5示出的身份认证装置与图2示出的身份认证方法相对应,在此便不做赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种身份认证方法,其特征在于,所述方法包括:
在第一终端设备通过身份认证流程的鉴权验证后,认证服务器将所述第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断所述身份认证列表中是否存在所述用户信息,所述身份认证列表维护有当前身份认证有效的终端设备的用户信息;
若所述身份认证列表中存在所述用户信息,所述认证服务器确定当前的身份认证流程是否维持有效;
所述认证服务器确定当前的身份认证流程是否维持有效,包括:
所述认证服务器向所述第一终端设备对应的第一认证设备发送询问交互报文,以使所述第一认证设备把所述询问交互报文转发给所述第一终端设备;
所述认证服务器接收所述第一认证设备转发的应答交互报文,并根据所述应答交互报文确定所述第一终端设备当前的身份认证流程是否维持,其中,所述应答交互报文由所述第一终端设备响应于用户的选择指令生成,并由所述第一终端设备转发至所述第一认证设备;
所述认证服务器确定当前的身份认证流程是否维持有效,包括:
向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文;
若接收到所述第二终端设备对应的第二认证设备返回的下线应答报文,确认所述第二终端设备下线,且所述第一终端设备在当前的身份认证流程中身份认证成功,其中,所述下线应答报文由所述第二终端设备响应于用户的下线确认指令生成,并由所述第二终端设备转发至所述第二认证设备。
2.根据权利要求1所述的方法,其特征在于,所述应答交互报文由所述第一终端设备响应于用户的第一选择指令生成,所述第一选择指令为表征取消当前的身份认证流程的选择指令;
所述认证服务器确定当前的身份认证流程是否维持有效,包括:
中断并退出所述第一终端设备当前的身份认证流程,以维持所述用户信息在所述身份认证列表中对应的第二终端设备的身份认证有效。
3.根据权利要求1所述的方法,其特征在于,所述应答交互报文由所述第一终端设备响应于用户的第二选择指令生成,所述第二选择指令为表征维持当前的身份认证流程的选择指令。
4.根据权利要求3所述的方法,其特征在于,在所述向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文之后,所述方法还包括:
若在预设时间段内未接收到所述第二认证设备返回的下线应答报文,向所述第二终端设备循环发送N次强制下线报文;
若N次强制下线报文均未在所述预设时间段内接收到相应的下线应答报文,中断并退出当前身份认证流程,以维持所述用户信息在所述身份认证列表中对应的所述第二终端设备的身份认证有效。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述身份认证列表中不存在所述用户信息,所述认证服务器确认所述用户信息在所述第一终端设备认证成功。
6.根据权利要求1所述的方法,其特征在于,所述第一终端设备通过身份认证流程的鉴权验证,包括:
所述认证服务器接收第一认证设备发送的认证请求报文,所述认证请求报文包括第一终端设备的用户信息;
所述认证服务器生成鉴权挑战报文,并将所述鉴权挑战报文经所述第一认证设备向所述第一终端设备发送,以使所述第一终端设备根据密码以及所述鉴权挑战报文中的密码加密字生成密码加密信息,其中,所述鉴权挑战报文包括所述密码加密字;
所述认证服务器接收所述第一认证设备发送的鉴权应答报文,并根据预先存储的密码以及所述鉴权应答报文中的所述密码加密字、所述密码加密信息,对所述第一终端设备进行鉴权验证,其中,所述鉴权应答报文包括所述密码加密字、密码加密信息以及所述用户信息;
若所述预先存储的密码与所述密码加密字运算后获得的运算结果与所述密码加密信息相同,确定所述第一终端设备对应的用户信息通过所述鉴权验证。
7.一种身份认证装置,其特征在于,所述装置包括:
用户信息比对模块,用于在第一终端设备通身份认证流程的鉴权验证后,将所述第一终端设备对应的用户信息与维护的身份认证列表中的用户信息进行比对,判断所述身份认证列表中是否存在所述用户信息,所述身份认证列表维护有当前身份认证有效的终端设备的用户信息;
择一有效维持模块,用于在所述身份认证列表中存在所述用户信息时,确定当前的身份认证流程是否维持为有效;
择一有效维持模块,用于向所述第一终端设备对应的第一认证设备发送询问交互报文,以使所述第一认证设备把所述询问交互报文转发给所述第一终端设备;认证服务器接收所述第一认证设备转发的应答交互报文,并根据所述应答交互报文确定所述第一终端设备当前的身份认证流程是否维持,其中,所述应答交互报文由所述第一终端设备响应于用户的选择指令生成,并由所述第一终端设备转发至所述第一认证设备;
所述择一有效维持模块,用于向所述用户信息在所述身份认证列表中对应的第二终端设备发送强制下线报文;若接收到所述第二终端设备对应的第二认证设备返回的下线应答报文,确认所述第二终端设备下线,且所述第一终端设备在当前的身份认证流程中身份认证成功,其中,所述下线应答报文由所述第二终端设备响应于用户的下线确认指令生成,并由所述第二终端设备转发至所述第二认证设备。
8.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行时执行如权利要求1-6任一项所述的方法。
9.一种可读存储介质,其特征在于,该可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911305611.6A CN111031053B (zh) | 2019-12-17 | 2019-12-17 | 身份认证方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911305611.6A CN111031053B (zh) | 2019-12-17 | 2019-12-17 | 身份认证方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111031053A CN111031053A (zh) | 2020-04-17 |
| CN111031053B true CN111031053B (zh) | 2022-06-21 |
Family
ID=70210177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911305611.6A Active CN111031053B (zh) | 2019-12-17 | 2019-12-17 | 身份认证方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111031053B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111723347B (zh) * | 2020-06-01 | 2023-06-06 | 清华大学 | 身份认证方法、装置、电子设备及存储介质 |
| CN114244566B (zh) * | 2021-11-17 | 2023-12-22 | 广东电网有限责任公司 | 基于ip地址的非法外联检测方法、装置、计算机设备 |
| CN115021939B (zh) * | 2022-06-30 | 2024-04-09 | 中国联合网络通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060212407A1 (en) * | 2005-03-17 | 2006-09-21 | Lyon Dennis B | User authentication and secure transaction system |
| CN101771540B (zh) * | 2008-12-29 | 2013-09-18 | 中国移动通信集团公司 | 一种用户认证方法及装置和系统 |
| CN101707620B (zh) * | 2009-11-26 | 2013-07-17 | 迈普通信技术股份有限公司 | 一种检测Web认证用户重复登录的方法和系统 |
| CN101909056B (zh) * | 2010-07-21 | 2013-03-13 | 北京星网锐捷网络技术有限公司 | 客户端状态识别方法、装置及网络设备 |
| CN103297239B (zh) * | 2013-05-15 | 2017-09-05 | 新华三技术有限公司 | 一种客户端合法性检测方法及装置 |
| CN104837134B (zh) * | 2014-02-07 | 2018-06-26 | 中国移动通信集团北京有限公司 | 一种Web认证用户登录方法、设备和系统 |
| US10491598B2 (en) * | 2016-06-30 | 2019-11-26 | Amazon Technologies, Inc. | Multi-factor authentication to access services |
| CN107529191B (zh) * | 2017-07-31 | 2020-09-25 | 安徽四创电子股份有限公司 | 一种基于radius和portal协议记录用户终端下线时间的方法 |
| CN108259457B (zh) * | 2017-09-27 | 2021-06-29 | 新华三技术有限公司 | 一种web认证方法及装置 |
-
2019
- 2019-12-17 CN CN201911305611.6A patent/CN111031053B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111031053A (zh) | 2020-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111031053B (zh) | 身份认证方法、装置、电子设备及可读存储介质 | |
| US9264420B2 (en) | Single sign-on for network applications | |
| US20060212928A1 (en) | Method and apparatus to secure AAA protocol messages | |
| US20060080534A1 (en) | System and method for access control | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| CN113672897B (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| US20090300197A1 (en) | Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN109716725B (zh) | 数据安全系统及其操作方法和计算机可读存储介质 | |
| CN113950813A (zh) | 匿名电子邮件中继的系统和方法 | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| WO2011037226A1 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
| CN106790036B (zh) | 一种信息防篡改方法、装置、服务器和终端 | |
| EP4261716A1 (en) | Blockchain-based method and system for sdp access control | |
| CN115442064A (zh) | 一种车辆控制器诊断方法、装置、设备和介质 | |
| US8452966B1 (en) | Methods and apparatus for verifying a purported user identity | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN109361659B (zh) | 一种认证方法及装置 | |
| CN113992387B (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 | |
| CN108886524B (zh) | 保护远程认证 | |
| CN106412904B (zh) | 一种防假冒用户认证权限的方法及系统 | |
| CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
| CN110191139A (zh) | 一种鉴权方法和系统、终端接入网络的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |