基于动态创建临时账号密码的无感知认证授权系统和方法技术方案

一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法，该系统包括设有代理AAA服务器或未设有代理AAA服务器的两种IP计费网络，网元包括：认证客户端、DHCP服务器、NAS服务器和经由其连接的外部Internet、Portal服务器、AAA服务器和代理AAA服务器；以及增设的、用于绑定认证客户端或智能终端的无感知认证装置。其中无感知认证装置动态创建与用户账号对应的无感知认证账号，以及与无感知认证账号关联的一次性使用的临时密码，实现无感知认证授权，免去用户非首次上网时，每次上网都需要手动输入账号密码的繁琐；同时，使用动态生成的一次性临时密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全。

【技术实现步骤摘要】
基于动态创建临时账号密码的无感知认证授权系统和方法
本专利技术涉及一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法，属于计算机网络管理与控制的

技术介绍
AAA是认证、授权、计费(Authentication、Authorization、Accounting)三个英文单词的简称，也是一种能够处理用户访问网络的请求、并为客户端提供认证、授权、计费以及账户服务的网络安全管理的机制或系统，其主要功能是管理用户访问网络，对具有访问权的用户提供相应级别的服务。AAA采用客户端/服务器模型，客户端运行在网络接入服务器NAS(NetworkAccessServer)上，由AAA服务器集中管理客户端信息。AAA服务器通常同网络访问控制、网关服务器以及包括用户信息、目录的数据库等网元装置协同工作。现有的IP计费网络(包括按流量计费或按在线时长计费的不同类型网络)中，现在通用的解决方案是使用入口Portal协议配合AAA服务器执行对客户端的认证、授权、计费的控制与管理。参见图1，介绍其典型的组网方式与结构：这种组网方式架构的系统中，设置的网元包括：认证客户端、NAS服务器、动态主机配置协议DHCP(DynamicHostConfigurationProtocol)服务器、Portal服务器、AAA服务器以及经由NAS连接的外部Internet网络。其中，认证客户端为用户终端计算机或包括智能手机、机顶盒的智能终端；DHCP服务器用途是在认证客户端接入网络时，为其分配IP地址；NAS服务器是路由器、计费网关等关口设备的统称，其作用是管控认证客户端的网络访问，并在认证客户端完成认证之前，将其所有超文本传输协议HTTP请求重定向到Portal服务器，且在客户端认证过程中，通过与Portal服务器、AAA服务器的交互，完成认证客户端的身份认证、授权、以及计费的功能，在客户端认证(包括身份认证和授权)通过以后，允许客户端访问被授权的Internet资源；Portal服务器为接收认证客户端认证请求的服务器系统，提供WEB门户和认证界面，通过与NAS服务器交互认证客户端的认证信息，NAS服务器通过与AAA服务器交互，完成对认证客户端的认证、授权与计费。上述的认证客户端、NAS服务器、Portal服务器、AAA服务器的交互过程是现在网络系统中传统的Portal验证流程，其过程为：(1)认证客户端向DHCP服务器发送IP地址请求，DHCP服务器为认证客户端下发IP地址。(2)认证客户端在未认证时，通过在浏览器输入一个互联网统一资源定位符URL地址的HTTP访问请求，该HTTP访问请求在经过NAS服务器时，被重定向到Portal服务器的WEB认证网页上。(3)认证客户端在浏览器中输入的认证信息，被提交给Portal服务器，Portal服务器接收到用户输入的认证信息后，将其发送给NAS服务器。(4)NAS服务器与AAA服务器交互通信，将认证客户端的认证信息发送给AAA服务器，以便AAA服务器执行对客户端的认证、授权操作。(5)认证授权通过后，NAS服务器打开认证客户端与Internet的通路，允许认证客户端的IP地址访问Internet；同时NAS服务器向AAA服务器发送记账(即计费)信息。(6)认证客户端结束Internet访问时，访问Portal服务器的注销页面和提交结束访问请求，Portal服务器通知NAS服务器断开认证客户端与Internet的通路，禁止认证客户端IP地址访问Internet。NAS服务器通知AAA服务器结束对认证客户端的计费。此外，如果认证客户端未主动注销Internet连接(例如，认证客户端直接断开网络连接、关闭操作系统、移动客户端关闭无线WIFI网络等)，NAS服务器都会在设定的空闲时间超时后，主动断开认证客户端IP地址与Internet的通路，并通知AAA服务器停止对认证客户端的计费。基于上述分析，目前对认证客户端的计费管理存在如下缺点：认证客户端每次接入网络时，都需要进入WEB认证页面，手动输入用户账号及其密码进行身份认证后，才能访问网络。对于某些没有图形操作界面的终端装置(比如：打印机、专用服务器等)就无法通过Portal服务器进行验证。因此，如何对现在的客户端请求访问网络系统时的身份与计费的验证流程进行改进，就成为业内科技人员关注的新课题。
技术实现思路
有鉴于此，本专利技术的目的是提供一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法，本专利技术的系统和方法能够分别适用于设有代理AAA服务器和未设置有代理AAA服务器的两种组网方式的网络系统。本专利技术系统增设无感知认证装置，在无感知认证装置绑定认证客户端或智能终端，并动态创建与其用户账号对应的无感知认证账号及与该无感知认证账号关联的一次性使用的临时密码，实现无感知认证授权；免去用户在非首次接入网络的情况下，每次上网都需要手动输入账号密码进行认证的繁琐。同时，由于认证过程中，使用的是动态生成的无感知认证账号及与其对应的一次性临时密码，不需要使用用户的原始密码；且只与受信任的节点(DHCP服务器、NAS服务器，Portal服务器，无感知认证装置、AAA服务器)交互，因此本专利技术还能避免用户账户或密码信息泄露的风险，确保通信安全性。为了达到上述目的，本专利技术提供了一种基于动态创建临时账号密码的无感知认证授权系统，所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统，所述两种网络系统分别包括下述网元：认证客户端、动态主机配置协议DHCP(DynamicHostConfigurationProtocol)服务器、网络接入服务器NAS(NetworkAccessServer)和经由其连接的外部Internet网络、入口Portal服务器，AAA服务器和代理AAA服务器；其特征在于：所述无感知认证授权系统的两种网络IP计费网络系统中，都增设有用于绑定认证客户端或智能终端的无感知认证装置，该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One-timePassword)，实现无感知认证授权，免去用户每次上网需要手动输入账号密码的繁烦；同时，因使用动态生成的一次性密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全；其中：认证客户端，为用户终端计算机或包括智能手机、机顶盒的智能终端；DHCP服务器，用于在认证客户端接入网络时，为其分配IP地址；NAS服务器和经由其连接的外部Internet网络，NAS为包括路由器、计费网关的关口设备统称，用于控制与管理认证客户端的网络访问：在认证客户端完成认证以前，将其所有超文本传输协议HTTP请求重定向到Portal服务器；在认证客户端认证过程中，分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互，完成认证客户端的身份认证、安全认证、以及授权和计费的功能；在认证客户端完成认证授权后，允许认证客户端访问被授权的Internet资源；无感知认证装置，负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互，执行认证客户端或智能本文档来自技高网...

【技术保护点】
1.一种基于动态创建临时账号密码的无感知认证授权系统，所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统，所述两种网络系统分别包括下述网元：认证客户端、动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务器、网络接入服务器NAS(Network Access Server)和经由其连接的外部Internet网络、入口Portal服务器，AAA服务器和代理AAA服务器；其特征在于：所述无感知认证授权系统的两种网络IP计费网络系统中，都增设有用于绑定认证客户端或智能终端的无感知认证装置，该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One‑time Password)，实现无感知认证授权，免去用户每次上网需要手动输入账号密码的繁琐；同时，因使用动态生成的一次性密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全；其中：认证客户端，为用户终端计算机或包括智能手机、机顶盒的智能终端；DHCP服务器，用于在认证客户端接入网络时，为其分配IP地址；NAS服务器和经由其连接的外部Internet网络，NAS为包括路由器、计费网关的关口设备统称，用于控制与管理认证客户端的网络访问：在认证客户端完成认证以前，将其所有超文本传输协议HTTP请求重定向到Portal服务器；在认证客户端认证过程中，分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互，完成认证客户端的身份认证、安全认证、以及授权和计费的功能；在认证客户端完成认证授权后，允许认证客户端访问被授权的Internet资源；无感知认证装置，负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互，执行认证客户端或智能终端的绑定，并动态创建无感知认证账号以及与其对应的一次性使用的临时密码OTP，实现无感知认证；Portal服务器，为接收认证客户端认证请求的接入服务器，用于提供WEB门户和认证界面；AAA服务器，负责与上述相关网元配合，执行认证客户端完整的身份认证、安全认证、授权和计费的功能；并在需要时，对用户执行强制下线；代理AAA服务器，只设置于有代理AAA服务器的网络系统中，负责对认证客户端的无感知账号以及与其对应的一次性使用的临时密码OTP进行识别认证，并对OTP认证以外的AAA报文进行处理后，转发至AAA服务器。...

【技术特征摘要】
1.一种基于动态创建临时账号密码的无感知认证授权系统，所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统，所述两种网络系统分别包括下述网元：认证客户端、动态主机配置协议DHCP(DynamicHostConfigurationProtocol)服务器、网络接入服务器NAS(NetworkAccessServer)和经由其连接的外部Internet网络、入口Portal服务器，AAA服务器和代理AAA服务器；其特征在于：所述无感知认证授权系统的两种网络IP计费网络系统中，都增设有用于绑定认证客户端或智能终端的无感知认证装置，该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One-timePassword)，实现无感知认证授权，免去用户每次上网需要手动输入账号密码的繁琐；同时，因使用动态生成的一次性密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全；其中：认证客户端，为用户终端计算机或包括智能手机、机顶盒的智能终端；DHCP服务器，用于在认证客户端接入网络时，为其分配IP地址；NAS服务器和经由其连接的外部Internet网络，NAS为包括路由器、计费网关的关口设备统称，用于控制与管理认证客户端的网络访问：在认证客户端完成认证以前，将其所有超文本传输协议HTTP请求重定向到Portal服务器；在认证客户端认证过程中，分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互，完成认证客户端的身份认证、安全认证、以及授权和计费的功能；在认证客户端完成认证授权后，允许认证客户端访问被授权的Internet资源；无感知认证装置，负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互，执行认证客户端或智能终端的绑定，并动态创建无感知认证账号以及与其对应的一次性使用的临时密码OTP，实现无感知认证；Portal服务器，为接收认证客户端认证请求的接入服务器，用于提供WEB门户和认证界面；AAA服务器，负责与上述相关网元配合，执行认证客户端完整的身份认证、安全认证、授权和计费的功能；并在需要时，对用户执行强制下线；代理AAA服务器，只设置于有代理AAA服务器的网络系统中，负责对认证客户端的无感知账号以及与其对应的一次性使用的临时密码OTP进行识别认证，并对OTP认证以外的AAA报文进行处理后，转发至AAA服务器。2.根据权利要求1所述的无感知认证授权系统，其特征在于：所述受信任的节点包括DHCP服务器、NAS服务器、Portal服务器、无感知认证装置、AAA服务器和代理AAA服务器。3.根据权利要求1所述的基于动态创建临时账号密码的无感知认证授权系统的工作方法，其特征在于：认证客户端首次接入网络时，手动输入其用户账号和原始密码，进行身份认证授权；该认证客户端以后每次接入网络时，DHCP服务器在为该认证客户端下发IP地址的同时，还与无感知认证装置交互，根据该认证客户端的特征信息寻找该用户的上网账号，并由无感知认证装置为该用户账号动态创建生成一个与该认证客户端用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP，无感知认证装置再以该无感知认证账号以及与其对应的一次性临时密码OTP向NAS服务器发起登录请求和身份认证，实现无感知认证授权，免去用户每次上网手动输入账号密码进行身份认证的繁琐操作，实现无感知认证；且避免泄露用户账号信息，保证通信安全。4.根据权利要求3所述的无感知认证授权系统，其特征在于：所述认证客户端的特征信息至少包括其媒体访问控制MAC(MediaAccessControl)地址，即硬件地址。5.根据权利要求3所述的方法，其特征在于，所述方法包括下列操作步骤：步骤1，认证客户端初次接入网络时，手动输入其用户账号和原始密码，进行身份认证授权；该步骤1包括如下操作内容：(11)认证客户端向DHCP服务器发起IP地址请求；(12)DHCP服务器为该认证客户端下发IP地址；(13)认证客户端发起HTTP访问请求，NAS服务器将该访问请求重定向到Portal服务器的WEB门户和认证界面；(14)用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息，Portal服务器将该身份认证信息发送到NAS服务器；(15)NAS服务器将该认证信息发送到代理AAA服务器或AAA服务器，由代理AAA服务器将该身份认证请求信息转发给上游AAA服务器，执行身份认证信息验证；或AAA服务器直接执行身份认证信息验证；如果验证不通过，则将验证结果返回到NAS服务器，NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源，并结束流程；如果验证通过，则将验证结果返回到NAS服务器，NAS服务器再将该验证结果返回到Portal服务器，继续执行步骤(16)；(16)NAS服务器放行该认证客户端，允许其访问网络资源，并向代理AAA服务器发送记账报文，或者NAS服务器直接向AAA服务器发送记账报文；无感知认证装置与Portal服务器交互，接收到该认证客户端已经通过验证的上网账号和IP地址信息后，又从DHCP服务器获取该认证客户端包括MAC地址的身份特征信息，就自动执行和完成该认证客户端与用户账号的绑定；(17)代理AAA服务器将该记账报文转发到上游AAA服务器，以供该AAA服务器利用记账报文触发检测用户的上线及计费策略，执行计费操作；或者NAS服务器直接向AAA服务器发送记账报文，AAA服务器利用记账报文触发检测用户的上线及计费策略，执行计费操作；直至用户网费余额...

【专利技术属性】
技术研发人员：王君妍，王道佳，翁源，杨呈飞，丛群，
申请(专利权)人：北京网瑞达科技有限公司，
类型：发明
国别省市：北京,11