局域网DHCP环境下的用户认证方法技术

本发明专利技术公开了一种局域网DHCP环境下的用户认证方法，通过四元组来识别用户身份，四元组包括用户名、密码、组和session‑id。本发明专利技术在用户认证与认证服务器进行通信时采用挑战‑应答机制,认证时采用用户名、密码和动态随机值联合进行认证的方式，保证了用户每次认证时使用的认证报文不同，这样可以防止非法用户窃取了用户的用户名和密码后通过认证。本发明专利技术实现了用户的安全上网认证，同时认证过程中不需要传送密码，保护了用户的隐私，节约了用户的建网成本。对于用户来说，仍旧只需要记住用户名和密码即可，而不用关心组和session‑id，因此在用户体验上与传统的认证方式没有任何区别。

User authentication method in LAN DHCP environment

The present invention discloses a user authentication method for LAN DHCP environment, through the four tuple to identify the identity of the user, the four tuple including username and password, ID group and session. The invention of communication in user authentication and authentication server using the challenge response mechanism, the user name and password authentication and dynamic random value for authentication, guarantees the authentication message using each user authentication is different, so you can prevent unauthorized users to steal the user's username and password through the authentication. The invention realizes the user's Internet security authentication, and the password is sent without the certification process, to protect the privacy of the user, saving the user cost. For users, still need to remember username and password can be, without concern for group and session ID, so the user experience and the traditional methods did not make any difference.

【技术实现步骤摘要】
局域网DHCP环境下的用户认证方法
本专利技术涉及局域网DHCP环境下的用户认证方法。
技术介绍
美国的“棱镜计划”被曝光之后，网络安全的问题更加成为了国家政府企业关注的焦点，同时随着互联网和智能终端的发展人们也越来越依赖于互联网了。因此加强其上网时的安全性越来越受到人们的重视。身份认证是网络安全的第一道闸门。因为访问权限的控制、信息的加密等网络安全方面的技术，都是以安全认证为基础和前提的。在互联网刚刚兴起的时候，人们上网大都是通过公共交换电话网（PublicSwitchedTelephoneNetwork,PSTN）拨号上网的形式，也就是在电话线上连接一个Modem，然后这个Modem在和电脑等上网设备相连，用户需要上网时只要输入用户信息进行认证即可，在认证过程中使用的是点对点的PPP协议。这种技术拓展性很差，很难适应小型企业局域网环境，无法同时解决既要多台上网设备连接一台接入设备，又要对各个用户分别计费和控制的要求。在1998年后期由客户端软件公司RouterWare、Redback公司、Worldcom的子公司UUNETTechnologies在IETFRFC的基础上共同开放了以太网上的点对点协议（Point-to-PointProtocoloverEthernet,PPPOE），解决了这一问题。PPPOE的提出满足了局域网用户上网的需求，同时还能够对用户进行认证和计费等，并且网速也大大提高了。目前，对于企业、学校这些拥有计算机数量较多的局域网环境，网络管理员为了在网络组网和配置上的方便，常常会采用动态主机配置协议（DynamicHostConfigurationProtocol,DHCP）服务，为局域网中的每一台计算机动态的分配IP地址、子网掩码、默认的网关地址以及DNS服务器的地址等。用户在获得了IP地址、DNS服务器地址、默认网关地址等信息之后，再通过身份认证即可访问互联网。针对局域网DHCP系统下的认证技术有IP/MAC绑定、web认证、VLAN绑定和801.1x认证等。这些认证技术各有特点，但也有不足。最近，思科、华为等设备商又对DHCP协议进行了扩展，提出了DHCP+的接入认证技术，即通过用户获得IP地址的同时进行用户身份的认证，DHCP+目前还处于发展阶段，没有统一的标准，各个公司根据实际的需求对DHCP协议中使用Option字段实现不同用户的不同需求。
技术实现思路
本专利技术的目的是针对目前局域网DHCP系统认证方案中存在的安全漏洞，提供一种局域网DHCP环境下的用户认证方法，实现用户的安全上网认证，保护用户的隐私，节约用户的建网成本。为了解决上述技术问题，本专利技术所提供的技术方案是：局域网DHCP环境下的用户认证方法，通过四元组来识别用户身份；所述四元组包括用户名、密码、组和session-id；具体包括以下步骤：①、认证用户通过局域网内的DHCP服务器获得动态的IP地址；②、用户打开认证客户端，此时认证客户端会向认证服务器发送一个hello报文，表示“我要进行认证”；③、认证服务器收到这个hello报文后将随机生成一个128位的随机数发送给用户；④、用户在客户端输入用户名和密码，客户端根据接收到的随机数和用户密码、上一次IP和session-id进行计算得出MD5（消息摘要算法第五版，Message-DigestAlgorithm5）值，如果是首次认证用户，上一次IP和session-id分别被默认为0.0.0.0和0；然后将用户名、MD5值和上一次IP地址发送到认证服务器；⑤、认证服务器首先提取用户发来的上一次IP信息，通过上一次IP计算出用户所属的组，然后从组里面查找是否有该用户名；如果没有发现该用户名，则直接认证失败；如果有，则从服务器端数据库中提取该用户的密码和session-id，并与之前生成的发到认证用户的随机数计算出MD5值并与用户发来的MD5值比较，相同就认证通过，不同就认证失败；⑥、如果认证成功，认证服务器会生成一个表示认证成功的session-id，同时认证服务器会将用户目前的IP和新生成的session-id存入数据库替换掉之前的IP和session-id，然后将包含session-id的认证成功的报文发给用户客户端；⑦、用户接收到认证成功报文后，更新配置文件，将目前用户的IP地址、session-id一同存入配置文件；⑧如果客户端收到认证失败报文，就会提示用户认证失败，需要用户重新进行认证，认证的次数超过三次就会退出认证。采用了上述技术方案后，本专利技术具有以下的有益效果：（1）本专利技术能够抗重放攻击。抗重放攻击又被称作重播攻击、新鲜性攻击或回放攻击。因为认证采用挑战-应答机制，每次认证都会有不同的随机数和session-id共同作为动态因子，这就保证了每次认证报文都不会相同，攻击者即使截获并重放了认证报文也无法通过后续认证；同时根据用户组的动态属性，每次用户都有可能处于不同的组，所以攻击者发来的认证报文所处的组也无法与原用户所处的组对应起来，同样会导致攻击失败。（2）本专利技术能够抗伪造攻击。因为参与认证的认证报文是由MD5（IP+用户密码+随机数+session-id）生成，且用户密码不会通过网络传输，因而攻击者无法利用截获的信息推算出其他信息，并且认证报文每次都不会相同，从而避免了伪造攻击。（3）本专利技术能够抗口令猜测攻击。攻击者通过猜测用户的用户名和密码，企图猜测正确后达到认证通过的目的。虽然对用户呈现出来的是输入用户名和密码正确即可通过认证，但是本专利技术在内部算法中添加了组和session-id这些动态因子，所以即便攻击者猜测对用户名和密码也仍然无法通过认证。（4）本专利技术具有不可否认性。用户登录成功，则表明此用户已认证，因为认证采用MD5算法具有唯一性，从而用户不可否认其行为。（5）本专利技术具有挑战-应答机制。避免了在网络上传输密码这些敏感信息。附图说明为了使本专利技术的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本专利技术作进一步详细的说明，其中图1为本专利技术的流程图。具体实施方式（实施例1）见图1，本实施例的局域网DHCP环境下的用户认证方法，通过四元组来识别用户身份；所述四元组包括用户名、密码、组和session-id；具体包括以下步骤：①、认证用户通过局域网内的DHCP服务器获得动态的IP地址；②、用户打开认证客户端，此时认证客户端会向认证服务器发送一个hello报文，表示“我要进行认证”；③、认证服务器收到这个hello报文后将随机生成一个128位的随机数发送给用户；④、用户在客户端输入用户名和密码，客户端根据接收到的随机数和用户密码、上一次IP和session-id进行计算得出MD5（消息摘要算法第五版，Message-DigestAlgorithm5）值，如果是首次认证用户，上一次IP和session-id分别被默认为0.0.0.0和0；然后将用户名、MD5值和上一次IP地址发送到认证服务器；⑤、认证服务器首先提取用户发来的上一次IP信息，通过上一次IP计算出用户所属的组，然后从组里面查找是否有该用户名；如果没有发现该用户名，则直接认证失败；如果有，则从服务器端数据库中提取该用户的密码和session-id，并与之前生成的发到认证用户的随机本文档来自技高网...

【技术保护点】
局域网DHCP环境下的用户认证方法，其特征在于：通过四元组来识别用户身份；所述四元组包括用户名、密码、组和session‑id；具体包括以下步骤：①、认证用户通过局域网内的DHCP服务器获得动态的IP地址；②、用户打开认证客户端，此时认证客户端会向认证服务器发送一个hello报文，表示“我要进行认证”；③、认证服务器收到这个hello报文后将随机生成一个128位的随机数发送给用户；④、用户在客户端输入用户名和密码，客户端根据接收到的随机数和用户密码、上一次IP和session‑id进行计算得出MD5值，如果是首次认证用户，上一次IP和session‑id分别被默认为0.0.0.0和0；然后将用户名、MD5值和上一次IP地址发送到认证服务器；⑤、认证服务器首先提取用户发来的上一次IP信息，通过上一次IP计算出用户所属的组，然后从组里面查找是否有该用户名；如果没有发现该用户名，则直接认证失败；如果有，则从服务器端数据库中提取该用户的密码和session‑id，并与用户发来的上一次IP、之前生成的发到认证用户的随机数计算出MD5值并与用户发来的MD5值比较，相同就认证通过，不同就认证失败；⑥、如果认证成功，认证服务器会生成一个表示认证成功的session‑id，同时认证服务器会将用户目前的IP和新生成的session‑id存入数据库替换掉之前的IP和session‑id，然后将包含session‑id的认证成功的报文发给用户客户端；⑦、用户接收到认证成功报文后，更新配置文件，将目前用户的IP地址、session‑id一同存入配置文件；⑧如果客户端收到认证失败报文，就会提示用户认证失败，需要用户重新进行认证，认证的次数超过三次就会退出认证。...

【技术特征摘要】
1.局域网DHCP环境下的用户认证方法，其特征在于：通过四元组来识别用户身份；所述四元组包括用户名、密码、组和session-id；具体包括以下步骤：①、认证用户通过局域网内的DHCP服务器获得动态的IP地址；②、用户打开认证客户端，此时认证客户端会向认证服务器发送一个hello报文，表示“我要进行认证”；③、认证服务器收到这个hello报文后将随机生成一个128位的随机数发送给用户；④、用户在客户端输入用户名和密码，客户端根据接收到的随机数和用户密码、上一次IP和session-id进行计算得出MD5值，如果是首次认证用户，上一次IP和session-id分别被默认为0.0.0.0和0；然后将用户名、MD5值和上一次IP地址发送到认证服务器；⑤、认证服务器首先提取用户发来的上一次IP信息，通过上一次IP计算出用户所属的...

【专利技术属性】
技术研发人员：席丽霞，赵煜扬，张晓光，张文博，杨松，
申请(专利权)人：江苏韶光光电科技有限公司，
类型：发明
国别省市：江苏,32