【技术实现步骤摘要】
基于动态创建临时账号密码的无感知认证授权系统和方法
本专利技术涉及一种基于动态创建临时账号密码的无感知认证授权系统及其工作方法,属于计算机网络管理与控制的
技术介绍
AAA是认证、授权、计费(Authentication、Authorization、Accounting)三个英文单词的简称,也是一种能够处理用户访问网络的请求、并为客户端提供认证、授权、计费以及账户服务的网络安全管理的机制或系统,其主要功能是管理用户访问网络,对具有访问权的用户提供相应级别的服务。AAA采用客户端/服务器模型,客户端运行在网络接入服务器NAS(NetworkAccessServer)上,由AAA服务器集中管理客户端信息。AAA服务器通常同网络访问控制、网关服务器以及包括用户信息、目录的数据库等网元装置协同工作。现有的IP计费网络(包括按流量计费或按在线时长计费的不同类型网络)中,现在通用的解决方案是使用入口Portal协议配合AAA服务器执行对客户端的认证、授权、计费的控制与管理。参见图1,介绍其典型的组网方式与结构:这种组网方式架构的系统中,设置的网元包括:认证客户端、NAS服务器、动态主机配置协议DHCP(DynamicHostConfigurationProtocol)服务器、Portal服务器、AAA服务器以及经由NAS连接的外部Internet网络。其中,认证客户端为用户终端计算机或包括智能手机、机顶盒的智能终端;DHCP服务器用途是在认证客户端接入网络时,为其分配IP地址;NAS服务器是路由器、计费网关等关口设备的统称,其作用是管控认证客户端的网络访问, ...
【技术保护点】
1.一种基于动态创建临时账号密码的无感知认证授权系统,所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统,所述两种网络系统分别包括下述网元:认证客户端、动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务器、网络接入服务器NAS(Network Access Server)和经由其连接的外部Internet网络、入口Portal服务器,AAA服务器和代理AAA服务器;其特征在于:所述无感知认证授权系统的两种网络IP计费网络系统中,都增设有用于绑定认证客户端或智能终端的无感知认证装置,该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One‑time Password),实现无感知认证授权,免去用户每次上网需要手动输入账号密码的繁琐;同时,因使用动态生成的一次性密码认证,不需使用用户原始密码;且在认证过程中,只与受信任节点交互,避免泄露用户账户信息,确保通信安全;其中:认证客户端,为用户终端计算机或包括智能手机、机顶盒的智能终端;DHCP服务器,用于在认证客户端接入 ...
【技术特征摘要】
1.一种基于动态创建临时账号密码的无感知认证授权系统,所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统,所述两种网络系统分别包括下述网元:认证客户端、动态主机配置协议DHCP(DynamicHostConfigurationProtocol)服务器、网络接入服务器NAS(NetworkAccessServer)和经由其连接的外部Internet网络、入口Portal服务器,AAA服务器和代理AAA服务器;其特征在于:所述无感知认证授权系统的两种网络IP计费网络系统中,都增设有用于绑定认证客户端或智能终端的无感知认证装置,该无感知认证装置动态创建与用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP(One-timePassword),实现无感知认证授权,免去用户每次上网需要手动输入账号密码的繁琐;同时,因使用动态生成的一次性密码认证,不需使用用户原始密码;且在认证过程中,只与受信任节点交互,避免泄露用户账户信息,确保通信安全;其中:认证客户端,为用户终端计算机或包括智能手机、机顶盒的智能终端;DHCP服务器,用于在认证客户端接入网络时,为其分配IP地址;NAS服务器和经由其连接的外部Internet网络,NAS为包括路由器、计费网关的关口设备统称,用于控制与管理认证客户端的网络访问:在认证客户端完成认证以前,将其所有超文本传输协议HTTP请求重定向到Portal服务器;在认证客户端认证过程中,分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互,完成认证客户端的身份认证、安全认证、以及授权和计费的功能;在认证客户端完成认证授权后,允许认证客户端访问被授权的Internet资源;无感知认证装置,负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互,执行认证客户端或智能终端的绑定,并动态创建无感知认证账号以及与其对应的一次性使用的临时密码OTP,实现无感知认证;Portal服务器,为接收认证客户端认证请求的接入服务器,用于提供WEB门户和认证界面;AAA服务器,负责与上述相关网元配合,执行认证客户端完整的身份认证、安全认证、授权和计费的功能;并在需要时,对用户执行强制下线;代理AAA服务器,只设置于有代理AAA服务器的网络系统中,负责对认证客户端的无感知账号以及与其对应的一次性使用的临时密码OTP进行识别认证,并对OTP认证以外的AAA报文进行处理后,转发至AAA服务器。2.根据权利要求1所述的无感知认证授权系统,其特征在于:所述受信任的节点包括DHCP服务器、NAS服务器、Portal服务器、无感知认证装置、AAA服务器和代理AAA服务器。3.根据权利要求1所述的基于动态创建临时账号密码的无感知认证授权系统的工作方法,其特征在于:认证客户端首次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权;该认证客户端以后每次接入网络时,DHCP服务器在为该认证客户端下发IP地址的同时,还与无感知认证装置交互,根据该认证客户端的特征信息寻找该用户的上网账号,并由无感知认证装置为该用户账号动态创建生成一个与该认证客户端用户账号对应的无感知认证账号和与其对应的一次性使用的临时密码OTP,无感知认证装置再以该无感知认证账号以及与其对应的一次性临时密码OTP向NAS服务器发起登录请求和身份认证,实现无感知认证授权,免去用户每次上网手动输入账号密码进行身份认证的繁琐操作,实现无感知认证;且避免泄露用户账号信息,保证通信安全。4.根据权利要求3所述的无感知认证授权系统,其特征在于:所述认证客户端的特征信息至少包括其媒体访问控制MAC(MediaAccessControl)地址,即硬件地址。5.根据权利要求3所述的方法,其特征在于,所述方法包括下列操作步骤:步骤1,认证客户端初次接入网络时,手动输入其用户账号和原始密码,进行身份认证授权;该步骤1包括如下操作内容:(11)认证客户端向DHCP服务器发起IP地址请求;(12)DHCP服务器为该认证客户端下发IP地址;(13)认证客户端发起HTTP访问请求,NAS服务器将该访问请求重定向到Portal服务器的WEB门户和认证界面;(14)用户在WEB门户和认证界面输入包括用户账号和原始密码的身份认证信息,Portal服务器将该身份认证信息发送到NAS服务器;(15)NAS服务器将该认证信息发送到代理AAA服务器或AAA服务器,由代理AAA服务器将该身份认证请求信息转发给上游AAA服务器,执行身份认证信息验证;或AAA服务器直接执行身份认证信息验证;如果验证不通过,则将验证结果返回到NAS服务器,NAS服务器将禁止该认证客户端访问除WEB门户和认证界面以外的其他网络资源,并结束流程;如果验证通过,则将验证结果返回到NAS服务器,NAS服务器再将该验证结果返回到Portal服务器,继续执行步骤(16);(16)NAS服务器放行该认证客户端,允许其访问网络资源,并向代理AAA服务器发送记账报文,或者NAS服务器直接向AAA服务器发送记账报文;无感知认证装置与Portal服务器交互,接收到该认证客户端已经通过验证的上网账号和IP地址信息后,又从DHCP服务器获取该认证客户端包括MAC地址的身份特征信息,就自动执行和完成该认证客户端与用户账号的绑定;(17)代理AAA服务器将该记账报文转发到上游AAA服务器,以供该AAA服务器利用记账报文触发检测用户的上线及计费策略,执行计费操作;或者NAS服务器直接向AAA服务器发送记账报文,AAA服务器利用记账报文触发检测用户的上线及计费策略,执行计费操作;直至用户网费余额...
【专利技术属性】
技术研发人员:王君妍,王道佳,翁源,杨呈飞,丛群,
申请(专利权)人:北京网瑞达科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。