CN1885770B - 一种认证方法 - Google Patents

Abstract

本发明公开了一种认证方法，该方法包括：鉴权服务器在接收到终端发送的访问请求后，判断该请求用户对应的密码是否有效，如果是，则将认证结果信息发送给终端，然后直接结束该流程；否则，鉴权服务器获取该用户的最终有效密码，将该最终有效密码发送给用户，并指示终端以最终有效密码向鉴权服务器发起认证，鉴权服务器在认证后将认证结果信息发送给终端。本发明中，通过密码更新周期的设定，使得用户的密码以一定的周期进行改变，既提高了固定用户名密码认证方式的安全性，又使得用户不必每次登录都更改密码，减少了用户烦琐操作，为用户提供了便利；此外，本发明中还可以提供多种级别的认证业务，增加了对用户的吸引力。

Description

一种认证方法

技术领域

本发明涉及通信系统认证技术领域，特别是指一种认证方法。

背景技术

随着无线技术的发展，如全球接入互操作(WiMAX)网络、无线局域网(WLAN)等现今热门的无线接入网络，市场前景越来越好。但是随着应用越来越广泛，无线接入网络所受到的攻击也越来越多，因此现有的无线接入网络大多在接入前对用户采用固定用户名和密码进行认证的方式增加安全性。但是由于长期采用固定的用户名和密码，使得用户名和密码很容易被窃取，因此采用固定用户名和密码的安全性较低。

为了解决固定用户名和密码的安全性问题，在现有技术中还提出了一种一次一密(OTP)的认证方法，下面以这种一次一密的方法在WiMAX网络中的实现对其进行说明。

如图1所示，OTP认证方法在WiMAX网络中的实现具体包括以下步骤：

步骤101、终端(MSS)向认证者(Authenticator)发送接入请求。

步骤102、Authenticator接收到MSS发送的接入请求后，向MSS下发OTP认证页面，在该页面上提示用户输入用户标识信息@域名形式的用户名，如MSISDN@OTP形式。

步骤103、MSS在用户输入了MSISDN@OTP形式的用户名后，通过HTTP协议或者HTTPS协议将包括该用户名的认证请求消息上报给Authenticator。

步骤104、Authenticator在接收到MSS发送的认证请求消息后，通过域名后缀识别出该次认证请求消息为OTP认证请求后，将包括用户名为MSISDN@OTP，密码为空的认证请求消息发送给鉴权服务器(AAA Server)。

步骤105、AAA Server在接收到Authenticator上报的用户名为MSISDN@OTP，密码为空的认证请求信息，识别出用户名中包括OTP认证的域名后缀后，为该MSISDN对应的MSS生成新密码，并用该新密码替换原有的旧密码，然后执行步骤106和步骤107。

步骤106、AAA Server通过短消息中心将新密码以短消息的形式发送给MSISDN对应的MSS。

步骤107、AAA Server向Authenticator返回认证失败消息，该消息中包括网络给MSS生成了新密码的信息，然后执行步骤108。

步骤108、Authenticator在接收到AAA Server返回的认证失败消息，识别出AAA Server为用户生成了新密码后，向MSS下推认证页面，以通知用户输入用户名和新密码。

步骤109、MSS接收认证页面，将认证页面显示给用户，并在用户输入了用户名和新密码后，通过HTTPS协议向Authenticator上报用户名和新密码信息。

步骤110、Authenticator将接收到的用户名和密码信息通过认证请求消息发送给AAA Server进行认证。

步骤111、AAA Server在接收到Authenticator发送的认证请求消息后，对其中的信息进行认证，并将认证是否成功的结果信息通过认证请求响应消息发送给Authenticator。

步骤112、Authenticator在接收到认证请求响应消息后，将该消息转发给终端，然后结束该流程。

上述OTP认证方法虽然相比固定用户名密码认证方式大大增加了安全性，但是存在着以下缺点：

1、用户每进行一次登录，就需要至少两次输入用户名和密码，使得认证操作烦琐。

2、OTP认证实现方式单一，无法给用户提供不同级别的认证业务。

3、新密码由鉴权服务器生成，不利于用户记忆。

发明内容

有鉴于此，本发明的目的在于提供一种认证方法，该方法能够降低OTP认证方式中的用户操作烦琐程度，为用户提供便利。

为了达到上述目的，本发明提供了一种认证方法，包括以下步骤：

A、鉴权服务器在接收到终端发送的访问请求后，判断该请求用户对应的密码是否有效，如果是，执行步骤B；否则执行步骤C；

B、鉴权服务器将对终端上报的用户名和密码信息进行认证后获得的认证结果信息发送给终端，然后直接结束该流程；

C、鉴权服务器将需要更新密码的信息下发给认证者；认证者在接收到需要更新密码的信息后，指示终端向鉴权服务器上报更新密码请求消息；鉴权服务器根据终端上报的密码更新请求消息获取该用户的最终有效密码，并将该最终有效密码发送给用户；

D、鉴权服务器指示终端以最终有效密码向鉴权服务器发起认证，鉴权服务器在认证后将获得的认证结果信息发送给终端。

其中，步骤A中判断该请求用户对应的密码是否有效的方法为：鉴权服务器判断该次登录与上次更新密码时相差的登录次数是否小于预先设定的同一密码登录次数，如果是，该请求用户对应的密码有效；否则该请求用户对应的密码无效。

步骤C中所述鉴权服务器根据终端上报的密码更新请求消息获取该用户的最终有效密码，包括：终端将用户输入的密码通过所述更新密码请求消息上报给认证者，认证者在接收到终端上报的所述请求消息后，判断所述请求消息中是否有密码，如果有，则将该密码也上报给鉴权服务器，鉴权服务器接收到所述请求消息，并识别出该消息中包括密码后，将用户上报的密码作为新的密码，存储用户信息与该新密码的对应关系。

步骤C中所述将最终有效密码发送给用户的方法可以为：

鉴权服务器获取认证该请求用户的最终有效密码后，将该最终有效密码通过认证者发送给发起访问请求的终端，用户通过该终端获取密码。

较佳地，步骤A中所述的访问请求中包括用户标识信息和密码；则所述判断该请求用户对应的密码是否有效之前进一步包括：

判断访问请求中的用户标识信息和密码是否合法，如果是，则执行所述的判断该请求用户对应的密码是否有效的步骤；否则向终端返回认证失败的消息，然后直接结束该流程。

步骤C中所述将最终有效密码发送给用户的方法可以为：

鉴权服务器将最终有效密码发送给用户标识信息所对应的终端，用户通过该终端获取密码。

步骤D中所述鉴权服务器指示终端以最终有效密码向鉴权服务器发起认证可以包括：

D1、鉴权服务器指示认证者向所述认证请求对应的门户服务器请求该门户服务器的入口地址，然后门户服务器向认证者返回自身的入口地址；

D2、认证者指示用户以接收的所述最终有效密码作为密码向认证者发送访问门户服务器入口地址请求；

D3、认证者接收到访问门户服务器入口地址请求后，向鉴权服务器上报包括所述最终有效密码作为密码的信息发起认证。

从以上方案可以看出，本发明中，通过密码更新周期的设定，使得用户的密码以一定的周期进行改变，既提高了固定用户名密码认证方式的安全性，又使得用户不必每次登录都更改密码，减少了用户的烦琐操作，为用户提供了便利；

此外，本发明中的密码更新周期可以是密码更新时长，也可以是同一密码登录次数，并且通过为密码更新时长或同一密码登录次数设置不同的值，可以实现多种级别的认证业务，增加了用户对认证业务的选择范围，提高了认证业务对用户的吸引力；

进而，本发明中还可以由用户自行指定更新密码，使得更新后的密码方便用户记忆，进一步为用户提供了便利。

附图说明

图1为现有技术中OTP认证的流程图；

图2为本发明的总体流程图；

图3为本发明第一实施例的流程图；

图4为本发明第二实施例的流程图；

图5为本发明第三实施例的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

本发明的总体流程如图2所示，具体步骤如下：

步骤201、鉴权服务器在接收到终端发送的访问请求后，判断该请求用户对应的密码是否有效，如果是，执行步骤202；否则执行步骤203；

步骤202、将认证结果信息发送给终端，然后直接结束该流程；

步骤203、鉴权服务器获取该用户的最终有效密码，并将该最终有效密码发送给用户；

步骤204、鉴权服务器指示终端以最终有效密码向鉴权服务器发起认证，鉴权服务器在认证后将认证结果信息发送给终端。

下面通过本发明在WiMAX网络中的实现方式作为具体实施例对本发明进行详细说明。

在本发明的第一实施例中，需要预先在Authenticator中为用户设置对应的密码更新周期，该密码更新周期可以是密码更新时长或同一密码登录次数，用户可以通过定制的方式定制不同的密码更新时长或同一密码登录次数，以实现在一定的时间段内或一定的登录次数内不必更新密码。对于前者，还需要在AAA Server中设置密码更新时间，则通过用当前时间减去密码更新时间所得的时间是否小于密码更新时长，就可以判断出该次登录是否在上次密码更新后设置的密码更新时长内，如果是则该用户的密码在有效期内，不需要更新密码；否则需要更新密码，并将密码更新时间更改为该次更新密码的时间。对于后者，还需要在AAA Server中设置同一密码登录剩余次数，该同一密码登录剩余次数的初始值与同一密码登录次数相同，用户每登录一次该同一密码登录剩余次数值减一，如果用户的同一密码登录剩余次数值大于0，则该用户的密码在有效期内，不需要更新密码；否则需要更新密码，更新密码后，同一密码登录剩余次数值恢复为同一密码登录次数值。

如图3所示为本实施例的实现流程，具体步骤如下：

步骤301、MSS向Authenticator发送访问请求消息，在该访问请求消息中包括用户名和密码。本步骤中的用户名可以是普通的用户名，如用户的ID，也可以是用户标识信息，如MSISDN等。

步骤302、Authenticator接收到访问请求后，将该访问请求转发给AAAServer。

步骤303、AAA Server接收到请求消息后，对所接收的请求消息中的用户名和密码进行认证，判断其是否合法，如果是执行步骤304；否则执行步骤317。

步骤304、AAA Server判断该请求用户对应的密码是否在有效期内，即判断用当前时间减去该请求用户对应的密码更新时间所得的时间是否小于密码更新时长，如果是则执行步骤305；否则执行步骤306。

步骤305、AAA Server向Authenticator返回回复消息，在该消息中包括认证成功消息，然后执行步骤307。

如果用户定制的密码更新周期是同一密码登录次数，则本步骤中还需将该用户的同一密码登录剩余次数值减一。

步骤306、AAA Server向Authenticator返回回复消息，在该消息中包括需要用户更新密码的信息，然后执行步骤307。

步骤307、Authenticator判断AAA Server返回的回复消息中是否包括需要用户更新密码的信息，如果是执行步骤308；否则直接向MSS返回认证成功消息；

步骤308、Authenticator向MSS下推认证页面，提示用户发起更新密码请求。提示用户发起更新密码请求的方法为在该认证页面上提示用户输入用户标识信息@域名形式的用户名。其中用户标识信息是指唯一能够标识用户名所对应的合法终端的标识信息，如可以是MSISDN或其他信息，在本实施例中以MSISDN为例进行说明；域名可以是OTP字段或其他标识该用户标识信息是用来进行OTP认证的字段，在本实施例中以OTP字段为例进行说明。

步骤309、MSS在用户输入了MSISDN@OTP形式的用户名后，通过HTTP协议或者HTTPS协议将包括该用户名的更新密码请求消息上报给Authenticator。

在本实施例中，还可以用户只输入MSISDN，然后通过认证页面上提供的下拉框或其他形式选择进行OTP认证的域名@OTP。

步骤310、Authenticator在接收到MSS发送的更新密码请求消息后，通过OTP后缀识别出需要向AAA Server发起更新密码请求后，将包括用户名为MSISDN@OTP，密码为空的更新密码请求消息发送给AAA Server。

步骤311、AAA Server在接收到Authenticator上报的更新密码请求消息，识别出用户名中包括OTP后缀后，为该MSISDN对应的用户生成新密码，用该新密码替换原有的旧密码然后执行步骤312和步骤313。

此外，如果用户定制的密码更新周期是密码更新时长，则在本步骤中还需要将该用户对应的密码更新时间更改为当前时间；如果用户定制的密码更新周期是同一密码登录次数，则本步骤中还需要将该用户对应的同一密码登录剩余次数值更改为该用户定制的同一密码登录次数的值。

步骤312、AAA Server将新密码发送给MSISDN对应的MSS。

本步骤中AAA Server可以首先与短消息中心进行交互，然后通过短消息中心将密码以短消息的形式发送给MSS。

步骤313、AAA Server向Authenticator返回认证失败消息，该消息中包括网络给MSS生成了新密码的信息，该信息可以通过设定认证失败消息中的失败原因值(failure-Code)为Push-Authentication-Code的形式实现，然后执行步骤314。

步骤314、Authenticator在接收到AAA Server返回的认证失败消息，识别出失败原因值为Push-Authentication-Code后，再次向MSS下推认证页面，提示用户输入用户名和新密码，这里的用户名为正常形式的用户名，如用户ID等。

步骤315、MSS接收认证页面，将认证页面显示给用户，并在用户输入了用户名和新密码后，通过HTTPS协议向Authenticator发送包括用户名和新密码的认证请求消息。

步骤316、Authenticator接收到MSS上报的认证请求消息后，将该消息转发给AAA Server，然后返回执行步骤303。

步骤317、AAA Server通过Authenticator将拒绝请求消息发送给MSS，通知其该次认证失败，以及对应的认证失败原因，认证失败的原因可以是用户名和密码错误或者超时等，然后结束该流程。

步骤318、AAA Server通过Authenticator将请求通过的消息发送给MSS，通知其该次认证成功。

以上是对本发明第一实施例的说明，在该实施例中AAA Server接收到Authenticator上报的访问请求后，如果认证该访问请求中的用户名和密码成功，并判断出用户的密码在有效期内，则不需要更新密码直接将认证结果信息通过Authenticator返回给用户完成认证，从而用户不必每次登录都需要获取新密码，再采用新密码登录。

为进一步方便用户，在更新密码时能够使用户更容易记忆新密码，提出了本发明的第二实施例，在该实施例中用户可以自行确定更改后的密码。此外，对于新密码，AAA Server也可以不通过短消息中心，而是直接通过Authenticator发送给MSS，使用户能够更加方便地获取密码。下面对该实施例进行详细说明。

在本发明第二实施例的流程如图4所示，其中，步骤401至步骤408与第一实施例中的步骤301至步骤308相同，只是在步骤403中，如果判断出用户名和密码不合法，则直接执行步骤420，在步骤407中，如果判断出不需要用户更新密码，则直接向用户返回认证成功消息。此后，在步骤409中，用户可以在认证页面上输入密码，并在上报的更新密码请求消息中携带密码信息，如果用户输入了密码，在密码信息就是用户输入的密码；如果用户没有输入密码则密码为空。在步骤410，Authenticator上报的更新密码请求消息中的密码与MSS上报的密码信息一致。在步骤411中，AAA Server识别出用户名中包括OTP后缀后，判断其中的密码是否为空，如果密码为空则与步骤311中相同，为该MSISDN对应的用户生成新密码，并用新生成的密码替换原有的旧密码；如果密码不为空，则不再生成新密码，而是直接将该上报的密码作为新密码替换原有的旧密码。

在执行完步骤411后，本实施例中执行步骤412：AAA Server判断更新密码是否成功，如果成功则给Authenticator返回包括新密码和更新密码成功信息的更新密码回复消息；否则给Authenticator返回包括更新密码失败和失败原因的更新密码回复消息，失败原因可以是超时等。

步骤415、Authenticator接收到AAA Server返回的更新密码回复消息后，判断更新密码是否成功，如果成功则执行步骤416，将新密码发送给MSS，并向MSS下推认证页面，提示用户输入用户名和新密码，这里的用户名为正常形式的用户名，如用户ID等，然后执行步骤418；否则执行步骤417，向用户发送更新密码失败消息，该消息中包括AAA Server下发的失败原因信息，然后结束该流程。

此后的步骤418至步骤421与步骤315至步骤318相同，这里不再详细说明。

以上是对本发明认证方法具体实施例的说明，本发明的认证方法还可以与环球网(Web)认证方法相结合，以提高Web认证的安全性，下面通过第三实施例对其进行说明。

在本发明的第三实施例中，除与第一实施例中相同，需要预先在AAAServer中为用户设置对应的密码更新周期外，还需预先在Authenticator中为用户设定更新密码标识，用来标识是否已经为该用户更新了密码。例如设定该标识的初始值为0，代表没有进行密码更新，而在AAA Server为用户更新密码之后，将该值更改为1，代表已经进行了密码更新。在本发明第三实施例中的实现流程如图5所示，具体步骤如下：

在步骤501，MSS向Authenticator发送访问请求消息，在该访问请求消息中包括用户标识信息和密码，以及所要访问的门户服务器(Portal Server)的相关信息，如域名信息。之后，步骤502至步骤506与第一实施例中的步骤302至306相同，其中在步骤303中，如果认证失败，AAA Server直接通过Authenticator将拒绝请求消息发送给MSS，通知其该次认证失败，然后结束该流程。

在步骤507中，Authenticator判断AAA Server返回的回复消息中的信息是否为需要用户更新密码，如果是执行步骤508；否则Authenticator根据步骤501中用户上报的接入请求信息向对应的Potral Server发送门户服务器入口地址(Portal URL)请求消息，并在获得Portal URL后，将用户上报的用户标识信息和密码发送给Portal Server，然后执行步骤519及其后步骤。

步骤508至步骤510与第一实施例中的步骤308至步骤310相同，在步骤511中，AAA Server接收到更新密码请求消息后，根据带有OTP后缀形式的用户名识别出该请求为更新密码请求，则为用户生成新的密码，保存该密码与MSISDN的对应关系，并将该用户对应的密码更新标识值更改为1，然后执行步骤512。

步骤512、AAA Server向Authenticator返回更新密码请求响应消息，在该消息中包括更新密码成功的信息并携带新的密码。

步骤513、Authenticator在接收到更新密码请求响应消息后，识别出更新密码成功后，根据步骤501中用户上报的接入请求信息向对应的PotralServer发送Portal URL请求消息。

步骤514、Portal Server在接收到Portal URL请求消息后，将自身的PortalURL发送给Authenticator。

步骤515、Authenticator在接收到Portal Server返回的Portal URL后，将密码更新成功信息、新的密码和用户请求的Portal URL一起发送给MSS，并再次向MSS下推包括Portal URL的认证页面，提示用户输入用户名和新密码。

步骤516、MSS在用户输入用户名和密码后，通过HTTPS协议向Authenticator发送包括用户名和密码的访问Portal URL请求消息。

步骤517、Authenticator判断该请求消息所对应的用户是否已经进行了密码更新，如果是执行步骤518；否则返回执行步骤502。本步骤中判断用户是否已经进行了密码更新即判断密码更新标识的值是否为1。

步骤518、Authenticator将MSS上报的HTTPS协议形式的访问PortalURL请求消息发送给Portal Server，然后将密码更新标识的值更改为0。

步骤519、Portal Server在接收到Authenticator转发的请求消息后，向Authenticator发送挑战请求。本步骤中，Portal Server向Authenticator发送挑战请求是为了在Portal Server和AAA Server之间进行CHAP认证，以确定Portal Server的合法性。

步骤520、Authenticator接收到挑战请求后，进行计算获得挑战值(Challenge)，并向Portal Server返回包括该Challenge和挑战标识(ChallengeID)的挑战响应消息(ACK_Challenge)。

步骤521、Portal Server对密码和Authenticator发送的Challenge ID和Challenge以MD5算法计算获得挑战密码(Challenge-Password)，然后将该Challenge-Password和用户名一起发送给Authenticator，发起认证请求。

步骤522、Authenticator将接收到的认证请求中的用户名和Challenge-Password以及Challenge ID和Challenge通过认证请求消息发送给AAA Server进行认证。

步骤523、AAA Server在接收到Authenticator发送的认证请求消息后，对其中的信息进行认证，并将认证是否成功的结果信息通过认证请求响应消息发送给Authenticator。

本步骤中，AAA Server对Authenticator发送的认证请求消息中的信息进行认证包括，根据Challenge ID、Challenge和自身中用户名对应的密码通过MD5算法生成Challenge-Password，然后将认证者上报的Challenge-Password和生成的Challenge-Password进行比较是否相同。

步骤524、Authenticator将AAA Server返回的认证是否成功的结果信息发送给Portal Server。

步骤525、Portal Server在接收到Authenticator发送的认证响应消息后，判断其中的认证结果信息是否为认证成功，如果是则向MSS发送认证成功的页面；否则向用户返回认证失败的页面。

步骤526、Portal Server向Authenticator发送已经向MSS发送认证成功或认证失败页面的信息，然后结束该流程。

在上述步骤509中，用户也可以在认证页面上输入密码，然后MSS将用户输入的密码也上报给Authenticator，则在步骤510，Authenticator在接收到MSS上报的请求信息后，判断请求信息中是否有密码，如果有则将该密码也上报给AAA Server，在步骤511，AAA Server接收到认证请求消息，并识别出该消息中包括密码后，并不生成新的密码，而是将用户上报的密码作为新的密码，存储用户信息与该新密码的对应关系，并将该用户上报的密码下发给Authenticator。

此外，在上述步骤512中，AAA Server也可以不将密码发送给Authenticator，而是与第一实施例中相同，通过短消息中心将密码发送给用户。

在本发明所举的三个具体实施例中，都是以本发明在WiMAX网络中的应用为例进行说明的。本发明还可以应用在除WiMAX外的WLAN或其他网络中，例如本发明在WLAN网络中应用时，只需要将具体实施例流程中的MS S替换成WLAN用户终端(WLAN User Terminal)，将Authenticator替换成WLAN订阅者接入认证和服务控制点(WLAN Subscriber AccessAuthentication Point and Service Control Point，AC)，将AAA Server替换成订阅者认证服务器(RADIUS Subscribe Authentication Server，AS)即可。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种认证方法，其特征在于，该方法包括以下步骤：

A、鉴权服务器在接收到终端发送的访问请求后，判断该请求用户对应的密码是否有效，如果是，执行步骤B；否则执行步骤C；

B、鉴权服务器将对终端上报的用户名和密码信息进行认证后获得的认证结果信息发送给终端，然后直接结束该流程；

C、鉴权服务器将需要更新密码的信息下发给认证者；认证者在接收到需要更新密码的信息后，指示终端向鉴权服务器上报更新密码请求消息；鉴权服务器根据终端上报的密码更新请求消息获取该用户的最终有效密码，并将该最终有效密码发送给用户；

D、鉴权服务器指示终端以最终有效密码向鉴权服务器发起认证，鉴权服务器在认证后将获得的认证结果信息发送给终端；

其中，步骤A中判断该请求用户对应的密码是否有效的方法为：鉴权服务器判断该次登录与上次更新密码时相差的登录次数是否小于预先设定的同一密码登录次数，如果是，该请求用户对应的密码有效；否则该请求用户对应的密码无效；

步骤C中所述鉴权服务器根据终端上报的密码更新请求消息获取该用户的最终有效密码，包括：终端将用户输入的密码通过所述更新密码请求消息上报给认证者，认证者在接收到终端上报的所述请求消息后，判断所述请求消息中是否有密码，如果有，则将该密码也上报给鉴权服务器，鉴权服务器接收到所述请求消息，并识别出该消息中包括密码后，将用户上报的密码作为新的密码，存储用户信息与该新密码的对应关系。

2.根据权利要求1所述的方法，其特征在于，步骤C中所述将最终有效密码发送给用户的方法为：

鉴权服务器获取认证该请求用户的最终有效密码后，将该最终有效密码通过认证者发送给发起访问请求的终端，用户通过该终端获取密码。

3.根据权利要求1所述的方法，其特征在于，步骤A中所述的访问请求中包括用户标识信息和密码；则所述判断该请求用户对应的密码是否有效之前进一步包括：

判断访问请求中的用户标识信息和密码是否合法，如果是，则执行所述的判断该请求用户对应的密码是否有效的步骤；否则向终端返回认证失败的消息，然后直接结束该流程。

4.根据权利要求3所述的方法，其特征在于，步骤C中所述将最终有效密码发送给用户的方法为：

鉴权服务器将最终有效密码发送给用户标识信息所对应的终端，用户通过该终端获取密码。

5.根据权利要求1所述的方法，其特征在于，步骤D中所述鉴权服务器指示终端以最终有效密码向鉴权服务器发起认证包括：

D1、鉴权服务器指示认证者向所述认证请求对应的门户服务器请求该门户服务器的入口地址，然后门户服务器向认证者返回自身的入口地址；

D2、认证者指示用户以接收的所述最终有效密码作为密码向认证者发送访问门户服务器入口地址请求；

D3、认证者接收到访问门户服务器入口地址请求后，向鉴权服务器上报包括所述最终有效密码作为密码的信息发起认证。

Images