專利名稱:一種環(huán)球網(wǎng)認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng)認(rèn)證技術(shù)領(lǐng)域,特別是指一種環(huán)球網(wǎng)(Web)認(rèn)證方法。
背景技術(shù):
隨著無線技術(shù)的發(fā)展,如全球接入互操作(WiMAX)網(wǎng)絡(luò)、無線局域網(wǎng)(WLAN)等現(xiàn)今熱門的無線接入網(wǎng)絡(luò),市場前景越來越好。但是隨著應(yīng)用越來越廣泛,無線接入網(wǎng)絡(luò)所受到的攻擊也越來越多,因此現(xiàn)有的無線接入網(wǎng)絡(luò)大多采用Web認(rèn)證的方式來增強(qiáng)網(wǎng)絡(luò)的安全性。
Web認(rèn)證方式是指終端(MSS、WLAN User Terminal……)在訪問服務(wù)之前,首先通過認(rèn)證者(Authenticator、AC……)獲取門戶服務(wù)器(PortalServer)的入口地址,然后認(rèn)證者向終端下發(fā)訪問門戶服務(wù)器入口地址(PortalURL)的認(rèn)證頁面,終端在該認(rèn)證頁面輸入用戶名和密碼,并將這些信息通過認(rèn)證者上報(bào)給鑒權(quán)服務(wù)器(RADIUS or Diameter Server、AS……)進(jìn)行認(rèn)證,在認(rèn)證通過后MSS才可以訪問Portal Server上的服務(wù)。
下面以WiMAX網(wǎng)絡(luò)中的Web認(rèn)證流程對Web認(rèn)證方式進(jìn)行詳細(xì)說明。如圖1所示,WiMAX網(wǎng)絡(luò)中的Web認(rèn)證流程包括以下步驟步驟101、終端(MSS)向認(rèn)證者(Authenticator)發(fā)送訪問請求消息,該消息中包括終端所要訪問的服務(wù)的相關(guān)信息,如域名信息等。
步驟102、Authentieator在接收到MSS發(fā)送的接入請求消息后,向所要訪問的服務(wù)的相關(guān)信息對應(yīng)的門戶服務(wù)器(Portal Server)發(fā)送消息請求Portal Server的入口地址(Portal URL)。
步驟103~104、Portal Server將自身的Portal URL發(fā)送給Authentieator,該P(yáng)ortal URL可以是網(wǎng)址或者IP地址等,Authenticator在接收到Portal Server發(fā)送的Portal URL后,向MSS下推訪問該P(yáng)ortal URL的認(rèn)證頁面。
步驟105、用戶在Authenticator下發(fā)的認(rèn)證頁面上輸入用戶名和密碼后,終端通過HTTPS協(xié)議將用戶輸入的用戶名和密碼信息提交給Authenticator。
步驟106、Authenticator在接收到MSS提交的用戶名和密碼后,將該用戶名和密碼通過認(rèn)證請求消息發(fā)送給RADIUS or Diameter Server(AAAServer)為該用戶進(jìn)行認(rèn)證。
步驟107、AAA Server在接收到認(rèn)證請求消息后,對該消息中的用戶名和密碼進(jìn)行認(rèn)證,并將認(rèn)證成功或失敗的結(jié)果信息通過認(rèn)證請求響應(yīng)消息返回給Authenticator。
步驟108、Authenticator在接收到AAA Server返回的認(rèn)證請求響應(yīng)消息后,將其中的認(rèn)證結(jié)果信息發(fā)送給Portal Server。
步驟109~111、Portal Server在接收到Authenticator發(fā)送的認(rèn)證結(jié)果信息后,判斷該認(rèn)證結(jié)果信息是否為認(rèn)證成功,如果是則向MSS發(fā)送認(rèn)證成功的頁面,此后終端就可以對需要的服務(wù)進(jìn)行訪問了,然后執(zhí)行步驟112;否則,向MSS返回認(rèn)證失敗頁面,以提示用戶認(rèn)證沒有通過,然后執(zhí)行步驟112。
步驟112、Portal Server將向終端下發(fā)認(rèn)證成功或失敗頁面的信息發(fā)送給Authenticator,然后結(jié)束該流程。
通過上述流程就完成了終端接入的Web認(rèn)證,保證了只有使用正確的用戶名和密碼的用戶才能夠訪問服務(wù)。但是在這種Web認(rèn)證方式中采用固定的用戶名和密碼進(jìn)行認(rèn)證,固定的用戶名和密碼很容易被他人獲取,所以上述現(xiàn)有技術(shù)的Web認(rèn)證方法中安全性很差。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種環(huán)球網(wǎng)認(rèn)證方法,能夠提高Web認(rèn)證的安全性。
為了達(dá)到上述目的,本發(fā)明提供了一種環(huán)球網(wǎng)認(rèn)證方法,包括以下步驟A、認(rèn)證者在接收到終端發(fā)送的訪問請求后,鑒權(quán)服務(wù)器根據(jù)認(rèn)證者的通知獲取認(rèn)證該請求用戶的最終有效密碼,并將最終有效密碼發(fā)送給用戶;B、鑒權(quán)服務(wù)器通過認(rèn)證者指示用戶在終端上以接收的最終有效密碼向鑒權(quán)服務(wù)器發(fā)起環(huán)球網(wǎng)認(rèn)證。
步驟A中所述將最終有效密碼發(fā)送給用戶的方法可以為鑒權(quán)服務(wù)器獲取認(rèn)證該請求用戶的最終有效密碼后,將該最終有效密碼通過認(rèn)證者發(fā)送給發(fā)起訪問請求的終端,用戶通過該終端獲取密碼。
步驟A中所述的訪問請求中可以包括用戶標(biāo)識信息;則步驟A中所述鑒權(quán)服務(wù)器獲取認(rèn)證該請求用戶的最終有效密碼之前可以進(jìn)一步包括A01、認(rèn)證者向鑒權(quán)服務(wù)器上報(bào)所述用戶標(biāo)識信息;A02、鑒權(quán)服務(wù)器根據(jù)該用戶標(biāo)識信息判斷對應(yīng)的密碼是否超過了有效期,如果超過了有效期,則執(zhí)行所述的獲取認(rèn)證該請求用戶的最終有效密碼的步驟。
步驟A中所述的訪問請求中可以進(jìn)一步包括密碼;則步驟A01中進(jìn)一步包括認(rèn)證者向鑒權(quán)服務(wù)器上報(bào)所述密碼;步驟A02中所述鑒權(quán)服務(wù)器判斷對應(yīng)的密碼是否超過了有效期之前進(jìn)一步包括鑒權(quán)服務(wù)器對接收的用戶標(biāo)識信息和密碼進(jìn)行認(rèn)證,如果認(rèn)證通過,執(zhí)行所述的判斷對應(yīng)的密碼是否超過了有效期的步驟;否則通過認(rèn)證者向終端返回拒絕請求消息,然后結(jié)束該流程。
步驟A中所述鑒權(quán)服務(wù)器根據(jù)認(rèn)證者的通知獲取認(rèn)證該請求用戶的最終有效密碼可以包括A1、認(rèn)證者指示終端將用戶標(biāo)識信息和需要更改密碼的信息發(fā)送給鑒權(quán)服務(wù)器;A2、鑒權(quán)服務(wù)器根據(jù)接收的需要更改密碼的信息獲取對應(yīng)用戶的最終有效密碼,記錄所述用戶標(biāo)識信息與所述最終有效密碼的對應(yīng)關(guān)系。
較佳地,步驟A1中所述的需要更改密碼的信息為用戶標(biāo)識信息后用于標(biāo)識需要更改密碼的域名。
較佳地,步驟A1中所述的用戶標(biāo)識信息為用戶的唯一合法標(biāo)識。
步驟A2中所述獲取對應(yīng)用戶的最終有效密碼可以為鑒權(quán)服務(wù)器為對應(yīng)用戶生成新密碼作為最終有效密碼;或可以為鑒權(quán)服務(wù)器將終端與需要更改密碼的信息一起上報(bào)的密碼作為本次認(rèn)證的最終有效密碼。
步驟A中所述將最終有效密碼發(fā)送給用戶的方法還可以為鑒權(quán)服務(wù)器獲取本次認(rèn)證所需的最終有效密碼后,將該最終有效密碼發(fā)送給用戶標(biāo)識信息所對應(yīng)的終端,用戶通過該終端獲取密碼。
所述步驟B可以包括B1、鑒權(quán)服務(wù)器指示認(rèn)證者向所述認(rèn)證請求對應(yīng)的門戶服務(wù)器請求該門戶服務(wù)器的入口地址,然后門戶服務(wù)器向認(rèn)證者返回自身的入口地址;B2、認(rèn)證者指示用戶以接收的所述最終有效密碼作為密碼向認(rèn)證者發(fā)送訪問門戶服務(wù)器入口地址請求;B3、認(rèn)證者接收到訪問門戶服務(wù)器入口地址請求后,向鑒權(quán)服務(wù)器上報(bào)包括所述最終有效密碼作為密碼的信息發(fā)起認(rèn)證;B4、鑒權(quán)服務(wù)器根據(jù)認(rèn)證者上報(bào)的信息進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果信息發(fā)送給認(rèn)證者;B5、認(rèn)證者將認(rèn)證結(jié)果信息轉(zhuǎn)發(fā)給所述門戶服務(wù)器,門戶服務(wù)器根據(jù)認(rèn)證結(jié)果信息向用戶終端下發(fā)對應(yīng)的認(rèn)證結(jié)果頁面。
較佳地,所述步驟B3中認(rèn)證者接收到訪問門戶服務(wù)器入口地址請求后進(jìn)一步包括認(rèn)證者判斷該請求對應(yīng)用戶是否已經(jīng)進(jìn)行了密碼更新,如果是則執(zhí)行所述的向鑒權(quán)服務(wù)器上報(bào)包括所述最終有效密碼的信息發(fā)起認(rèn)證的步驟。
步驟B3中所述向鑒權(quán)服務(wù)器上報(bào)包括所述最終有效密碼的信息發(fā)起認(rèn)證之前可以進(jìn)一步包括B31、認(rèn)證者向門戶服務(wù)器轉(zhuǎn)發(fā)訪問門戶服務(wù)器入口地址請求;
B32、門戶服務(wù)器接收到該請求后,向認(rèn)證者發(fā)送挑戰(zhàn)請求;B33、認(rèn)證者向門戶服務(wù)器上報(bào)挑戰(zhàn)值、挑戰(zhàn)標(biāo)識;B34、門戶服務(wù)器根據(jù)所述挑戰(zhàn)值、挑戰(zhàn)標(biāo)識和訪問門戶服務(wù)器入口地址請求中的密碼生成挑戰(zhàn)密碼,并將生成的挑戰(zhàn)密碼發(fā)送給認(rèn)證者;所述認(rèn)證者向鑒權(quán)服務(wù)器發(fā)起認(rèn)證所上報(bào)的最終有效密碼為所述挑戰(zhàn)密碼;所述認(rèn)證者向鑒權(quán)服務(wù)器發(fā)起認(rèn)證所上報(bào)的信息中進(jìn)一步包括挑戰(zhàn)值、挑戰(zhàn)標(biāo)識。
從以上方案可以看出,本發(fā)明中,在進(jìn)行Web認(rèn)證過程中,由鑒權(quán)服務(wù)器獲取用戶的最終有效密碼,并將該最終有效密碼發(fā)送給用戶,用戶使用該最終有效密碼發(fā)起Web認(rèn)證,使得用戶的密碼能夠動態(tài)更新,提高了Web認(rèn)證的安全性;本發(fā)明中,不僅提供了用戶每次登錄都更改密碼的實(shí)現(xiàn)形式,還提供了用戶可以選擇的以有效期為周期進(jìn)行密碼更改的實(shí)現(xiàn)形式,增加了業(yè)務(wù)實(shí)現(xiàn)方式,提高了競爭力。
圖1為現(xiàn)有技術(shù)中Web認(rèn)證的流程圖;圖2為本發(fā)明的總體流程圖;圖3為本發(fā)明第一實(shí)施例的流程圖;圖4為本發(fā)明第二實(shí)施例的流程圖;圖5為本發(fā)明在WiMAX網(wǎng)絡(luò)中的框架圖;圖6為本發(fā)明在WLAN網(wǎng)絡(luò)中的框架圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖對本發(fā)明作進(jìn)一步的詳細(xì)描述。
本發(fā)明的總體流程如圖2所示,具體步驟如下
步驟201、認(rèn)證者在接收到終端發(fā)送的訪問請求后,鑒權(quán)服務(wù)器根據(jù)認(rèn)證者的通知獲取認(rèn)證該請求用戶的最終有效密碼,并將最終有效密碼發(fā)送給用戶;步驟202、鑒權(quán)服務(wù)器通過認(rèn)證者指示用戶在終端上以接收的最終有效密碼向鑒權(quán)服務(wù)器發(fā)起Web認(rèn)證。
在上述步驟201中,鑒權(quán)服務(wù)器獲取本次認(rèn)證的最終有效密碼,可以是自身生成新的密碼作為最終有效密碼,也可以是把終端上報(bào)的密碼作為最終有效密碼。鑒權(quán)服務(wù)器將最終有效密碼發(fā)送給用戶,可以是由鑒權(quán)服務(wù)器與短消息服務(wù)器進(jìn)行交互,通過短消息服務(wù)器以短消息的形式將密碼發(fā)送給上述用戶標(biāo)識信息對應(yīng)的終端;也可以是鑒權(quán)服務(wù)器通過與其他服務(wù)器進(jìn)行交互,以其他形式將密碼發(fā)送給上述用戶標(biāo)識信息對應(yīng)的終端,如以多媒體消息形式,或電子郵件方式等。此外,還可以是鑒權(quán)服務(wù)器通過認(rèn)證者直接發(fā)送給發(fā)送訪問請求消息的終端。
此外,為了進(jìn)一步增加Web認(rèn)證的安全性,本發(fā)明中還可以在鑒權(quán)服務(wù)器與Portal Server之間增加挑戰(zhàn)握手認(rèn)證(CHAP)交互流程。
下面通過本發(fā)明在WiMAX網(wǎng)絡(luò)中的兩種實(shí)現(xiàn)方式作為具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)說明。
在本發(fā)明的第一實(shí)施例中,預(yù)先在Authenticator中為用戶設(shè)定更新密碼標(biāo)識,用來標(biāo)識是否已經(jīng)為該用戶更新了密碼。例如設(shè)定該標(biāo)識的初始值為0,代表沒有進(jìn)行密碼更新,而在AAA Server為用戶更新密碼之后,將該值更改為1,代表已經(jīng)進(jìn)行了密碼更新。
如圖3所示,為本實(shí)施例的具體實(shí)現(xiàn)流程,步驟如下步驟301、MSS向 Authenticator發(fā)送訪問請求,其中包括所要訪問的Portal Server相關(guān)信息,該信息可以是該P(yáng)ortal Server對應(yīng)的域名信息,例如www.google.com。
步驟302、Authenticator接收到MSS發(fā)送的訪問Portal Server請求后,向MSS下發(fā)OTP認(rèn)證頁面,在該頁面上提示用戶輸入用戶標(biāo)識信息(MSISDN)@域名形式的用戶名。其中用戶標(biāo)識信息是指唯一能夠標(biāo)識用戶名所對應(yīng)的合法終端的標(biāo)識信息,如可以是MSISDN或其他信息,在本實(shí)施例中以MSISDN為例進(jìn)行說明;域名可以是OTP字段或其他標(biāo)識該用戶標(biāo)識信息是用來進(jìn)行OTP認(rèn)證的字段,在本實(shí)施例中以O(shè)TP字段為例進(jìn)行說明。
步驟303、MSS在用戶輸入了MSISDN@OTP形式的用戶名后,通過HTTP協(xié)議或者HTTPS協(xié)議將包括該用戶名的認(rèn)證請求消息上報(bào)給Authenticator。
在本實(shí)施例中,還可以用戶只輸入MSISDN,然后通過認(rèn)證頁面上提供的下拉框或其他形式選擇進(jìn)行OTP認(rèn)證的域名@OTP。
步驟304、Authenticator在接收到MSS發(fā)送的認(rèn)證請求消息后,通過OTP后綴識別出該次認(rèn)證請求消息為OTP認(rèn)證請求后,將包括用戶名為MSISDN@OTP,密碼為空的認(rèn)證請求消息發(fā)送給AAA Server。
步驟305、AAA Server在接收到Authenticator上報(bào)的用戶名為MSISDN@OTP,密碼為空的認(rèn)證請求信息,識別出用戶名中包括OTP后綴后,為該MSISDN對應(yīng)的用戶生成新密碼,并用該新密碼替換原有的舊密碼,然后執(zhí)行步驟306和步驟307。
步驟306、AAA Server將新密碼發(fā)送給MSISDN對應(yīng)的MSS。
本步驟中AAA Server可以首先與短消息中心進(jìn)行交互,然后通過短消息中心將密碼以短消息的形式發(fā)送給MSS。
步驟307、AAA Server向Authenticator返回認(rèn)證失敗消息,該消息中包括網(wǎng)絡(luò)給MSS生成了新密碼的信息,該信息可以通過設(shè)定認(rèn)證失敗消息中的失敗原因值(failure-Code)為Push-Authentication-Code的形式實(shí)現(xiàn),然后執(zhí)行步驟308。
步驟308、Authenticator在接收到AAA Server返回的認(rèn)證失敗消息,識別出失敗原因值為Push-Authentication-Code后,將該消息對應(yīng)終端的更新密碼標(biāo)識的值更改為1,然后根據(jù)步驟302中接收的訪問請求消息中的PortalServer信息向Portal Server發(fā)起取Portal URL請求。
步驟309、Portal Server接收到取Portal URL請求后,向AAA Server返回取Portal URL響應(yīng),其中包括Portal Server的Portal URL地址。
步驟310、Authenticator在接收到Portal Server返回的Portal URL地址后,向MSS下推訪問Portal URL的認(rèn)證頁面,以通知用戶輸入用戶名和新密碼以訪問Portal URL,這里的用戶名可以為正常形式的用戶名,如用戶ID等。
步驟311、MSS接收認(rèn)證頁面,將認(rèn)證頁面顯示給用戶,并在用戶輸入了用戶名和新密碼后,通過HTTPS協(xié)議向Authenticator發(fā)送包括用戶名和新密碼的訪問Portal URL請求消息。
步驟312、Authenticator接收到MSS上報(bào)的訪問Portal URL請求消息后,識別出其中包括用戶名和密碼信息后,判斷該MSS是否已經(jīng)進(jìn)行了密碼更新,如果是則執(zhí)行步驟313;否則,返回執(zhí)行步驟302。
本步驟中,判斷該MSS是否已經(jīng)進(jìn)行了密碼更新即判斷該MSS對應(yīng)的更新密碼標(biāo)識的值是否為1。
步驟313、Authenticator將接收到訪問Portal URL請求消息轉(zhuǎn)發(fā)給PortalServer,并將更新密碼標(biāo)識的值更改為0。
步驟314、Portal Server在接收到Authenticator轉(zhuǎn)發(fā)的訪問Portal URL請求消息后,向Authenticator發(fā)送挑戰(zhàn)請求。本步驟中,Portal Server向Authenticator發(fā)送挑戰(zhàn)請求是為了在Portal Server和AAA Server之間進(jìn)行CHAP認(rèn)證,以確定Portal Server的合法性。
步驟315、Authenticator接收到挑戰(zhàn)請求后,進(jìn)行計(jì)算獲得挑戰(zhàn)值(Challenge),并向Portal Server返回包括該Challenge和挑戰(zhàn)標(biāo)識(ChallengeID)的挑戰(zhàn)響應(yīng)消息(ACK_Challenge)。
步驟316、Portal Server對密碼和Authenticator發(fā)送的Challenge ID和Challenge以MD5算法計(jì)算獲得挑戰(zhàn)密碼(Challenge-Password),然后將該Challenge-Password和用戶名一起發(fā)送給Authenticator,發(fā)起認(rèn)證請求。
步驟317、Authenticator將接收到的認(rèn)證請求中的用戶名和Challenge-Password以及Challenge ID和Challenge通過認(rèn)證請求消息發(fā)送給AAA Server進(jìn)行認(rèn)證。
步驟318、AAA Server在接收到Authenticator發(fā)送的認(rèn)證請求消息后,對其中的信息進(jìn)行認(rèn)證,并將認(rèn)證是否成功的結(jié)果信息通過認(rèn)證請求響應(yīng)消息發(fā)送給Authenticator。
本步驟中,AAA Server對Authenticator發(fā)送的認(rèn)證請求消息中的信息進(jìn)行認(rèn)證包括,根據(jù)Challenge ID、Challenge和自身中用戶名對應(yīng)的密碼通過MD5算法生成Challenge-Password,然后將認(rèn)證者上報(bào)的Challenge-Password和生成的Challenge-Password進(jìn)行比較是否相同。
步驟319、Authenticator在接收到認(rèn)證請求響應(yīng)消息后,將認(rèn)證結(jié)果信息發(fā)送給Portal Server。
步驟320~321、Portal Server根據(jù)接收的認(rèn)證結(jié)果信息向MSS下發(fā)認(rèn)證成功頁面或認(rèn)證失敗頁面,并將已經(jīng)向MSS下發(fā)了認(rèn)證成功或認(rèn)證失敗頁面的信息發(fā)送給Authenticator,然后結(jié)束該流程。
以上是對本發(fā)明第一實(shí)施例的說明,在本發(fā)明第一實(shí)施例中提供了每次Web認(rèn)證都更改密碼的流程,在這種每次認(rèn)證都更改密碼的流程中,用戶需要頻繁地輸入用戶名和密碼。此外,在該實(shí)施例中,更新后的密碼完全由AAA Server生成,生成的密碼不方便用戶記憶。為方便用戶,增加本發(fā)明的實(shí)現(xiàn)方式,并為用戶提供更多的業(yè)務(wù)實(shí)現(xiàn)方式,提出了本發(fā)明的第二實(shí)施例,以下進(jìn)行說明。
在本發(fā)明第二實(shí)施例中,預(yù)先在AAA Server中為用戶設(shè)置對應(yīng)的密碼更新時(shí)長或同一密碼登錄次數(shù),用戶可以通過定制的方式定制不同的密碼更新時(shí)長或同一密碼登錄次數(shù),以實(shí)現(xiàn)在一定的時(shí)間段內(nèi)或一定的登錄次數(shù)內(nèi)不必更新密碼。對于前者,還需要在AAA Server中設(shè)置密碼更新時(shí)間,則通過判斷用當(dāng)前時(shí)間減去密碼更新時(shí)間所得的時(shí)間是否小于密碼更新時(shí)長,就可以判斷出該次登錄是否在上次密碼更新后設(shè)置的密碼更新時(shí)長內(nèi),如果是則該用戶的密碼在有效期內(nèi),不需要更新密碼;否則需要更新密碼,并將密碼更新時(shí)間更改為該次更新密碼的時(shí)間。對于后者,還需要在AAA Server中設(shè)置同一密碼登錄剩余次數(shù),該同一密碼登錄剩余次數(shù)的初始值與同一密碼登錄次數(shù)相同,用戶每登錄一次該同一密碼登錄剩余次數(shù)值減一,如果用戶的同一密碼登錄剩余次數(shù)值大于0,則該用戶的密碼在有效期內(nèi),不需要更新密碼;否則需要更新密碼,更新密碼后,同一密碼登錄剩余次數(shù)值恢復(fù)為用戶定制的同一密碼登錄次數(shù)的值。
如圖4所示為本實(shí)施例的實(shí)現(xiàn)流程,具體步驟如下步驟401、MSS向Authenticator發(fā)送訪問請求消息,在該訪問請求消息中包括用戶標(biāo)識信息和密碼,以及所要訪問的門戶服務(wù)器的相關(guān)信息,如域名信息。
步驟402、Authenticator接收到訪問請求后,將該訪問請求轉(zhuǎn)發(fā)給AAAServer。
步驟403、AAA Server接收到訪問請求后,對該訪問請求中的用戶名和密碼進(jìn)行認(rèn)證,判斷是否合法,如果是執(zhí)行步驟404;否則通過Authenticator向MSS返回拒絕請求消息,然后結(jié)束該流程。
步驟404、AAA Server判斷該訪問請求所對應(yīng)用戶的密碼是否在有效期內(nèi)如果在有效期內(nèi)執(zhí)行步驟405;否則執(zhí)行步驟406。
步驟405、向Authenticator返回訪問回復(fù)消息,在該消息中包括認(rèn)證成功消息,然后執(zhí)行步驟407。
本步驟中,如果用戶定制的密碼更新周期是同一密碼登錄次數(shù),則還需將同一密碼登錄剩余次數(shù)值減一。
步驟406、向Authenticator返回訪問回復(fù)消息,在該消息中包括需要用戶更新密碼的信息,然后執(zhí)行步驟407。
步驟407、Authenticator判斷AAA Server返回的訪問回復(fù)消息中的信息是否為需要用戶更新密碼,如果是執(zhí)行步驟408;否則Authenticator根據(jù)步驟401中用戶上報(bào)的接入請求信息向?qū)?yīng)的Potral Server發(fā)送Portal URL請求消息,并在獲得Portal URL后,將用戶上報(bào)的用戶標(biāo)識信息和密碼發(fā)送給Portal Server,然后執(zhí)行步驟419及其后步驟。
步驟408、Authenticator向MSS下推認(rèn)證頁面,提示用戶更新密碼。在該認(rèn)證頁面中提供OTP后綴,用戶可以直接選擇該后綴然后重新發(fā)起認(rèn)證。
步驟409、用戶在認(rèn)證頁面上的用戶名中輸入MSISDN@OTP形式的用戶名后,MSS向Authenticator上報(bào)該用戶名。
步驟410、Authenticator接收到用戶上報(bào)的信息后,識別出用戶名帶有OTP后綴,則判斷出該信息是更新密碼請求,然后向AAA Server發(fā)送更新密碼請求消息,在該消息中包括MSISDN@OTP形式的用戶名。
步驟411、AAA Server接收到更新密碼請求消息后,根據(jù)帶有OTP后綴形式的用戶名識別出該請求為更新密碼請求,則為用戶生成新的密碼,并保存該密碼與MSISDN的對應(yīng)關(guān)系。
此外,在本步驟中,如果用戶定制的密碼更新周期是密碼更新時(shí)長,則還需要將該用戶對應(yīng)的密碼更新時(shí)間更改為當(dāng)前時(shí)間;如果用戶定制的密碼更新周期是同一密碼登錄次數(shù),則還需要將該用戶對應(yīng)的同一密碼登錄剩余次數(shù)值更改為該用戶定制的同一密碼登錄次數(shù)的值。
步驟412、AAA Server向Authenticator返回更新密碼請求響應(yīng)消息,在該消息中包括更新密碼成功的信息并攜帶新的密碼。
步驟413、Authenticator在接收到更新密碼請求響應(yīng)消息后,識別出更新密碼成功后,根據(jù)步驟401中用戶上報(bào)的接入請求信息向?qū)?yīng)的PotralServer發(fā)送Portal URL請求消息。
步驟414、Portal Server在接收到Portal URL請求消息后,將自身的PortalURL發(fā)送給Authenticator。
步驟415、Authenticator在接收到Portal Server返回的Portal URL后,將密碼更新成功信息、新的密碼和用戶請求的Portal URL一起發(fā)送給MSS,并再次向MSS下推包括Portal URL的認(rèn)證頁面,提示用戶輸入用戶名和新密碼。
步驟416、MSS在用戶輸入用戶名和密碼后,通過HTTPS協(xié)議向Authenticator發(fā)送包括用戶名和密碼的訪問Portal URL的請求消息。
步驟417、Authenticator判斷該訪問Portal URL請求消息所對應(yīng)的用戶是否已經(jīng)進(jìn)行了密碼更新,如果是執(zhí)行步驟418;否則返回執(zhí)行步驟402。本步驟中判斷用戶是否已經(jīng)進(jìn)行了密碼更新的方法與第一實(shí)施例中相同,即通過對預(yù)先為用戶設(shè)定的更新密碼標(biāo)識值進(jìn)行判斷來確定是否進(jìn)行了密碼更新,另外,對密碼更新標(biāo)識值的設(shè)定和更改方法也與第一實(shí)施例中相同,這里不再詳細(xì)說明。
步驟418、Authenticator將MSS上報(bào)的HTTPS協(xié)議形式的訪問PortalURL請求消息發(fā)送給Portal Server。
步驟419、Portal Server接收到該訪問Portal URL請求消息后發(fā)起CHAP過程,與Authenticator進(jìn)行交互,在CHAP認(rèn)證通過后,Portal Server將用戶名和挑戰(zhàn)密碼(Challenge-Password)發(fā)送給Authenticator。
本步驟中的CHAP過程的具體實(shí)現(xiàn)與第一實(shí)施例相同,即本步驟包括了圖3中的步驟314至步驟316。
步驟420、Authenticator向AAA Server上報(bào)包括Challenge ID、Challenge、Challenge-Password和用戶名的信息的認(rèn)證請求消息。
步驟421、AAA Server在接收到認(rèn)證請求消息后,判斷其中的信息是否合法,并將判斷后獲得的認(rèn)證是否成功的結(jié)果信息通過認(rèn)證響應(yīng)消息發(fā)送給Authenticator。
步驟422、Authenticator將AAA Server返回的認(rèn)證響應(yīng)消息中的信息發(fā)送給Portal Server。
步驟423、Portal Server在接收到Authenticator發(fā)送的認(rèn)證響應(yīng)消息后,判斷其中的認(rèn)證結(jié)果信息是否為認(rèn)證成功,如果是則向MSS發(fā)送認(rèn)證成功的頁面;否則向用戶返回認(rèn)證失敗頁面。
步驟424、Portal Server向Authenticator發(fā)送已經(jīng)向MSS發(fā)送認(rèn)證成功或認(rèn)證失敗頁面的信息,然后結(jié)束該流程。
在上述步驟409中,用戶也可以在認(rèn)證頁面上輸入密碼,然后MSS將用戶輸入的密碼也上報(bào)給Authenticator,則在步驟410,Authenticator在接收到MSS上報(bào)的請求信息后,判斷請求信息中是否有密碼,如果有則將該密碼也上報(bào)給AAA Server,在步驟411,AAA Server接收到認(rèn)證請求消息,并識別出該消息中包括密碼后,并不生成新的密碼,而是將用戶上報(bào)的密碼作為新的密碼,存儲用戶信息與該新密碼的對應(yīng)關(guān)系,并將該用戶上報(bào)的密碼下發(fā)給Authenticator。
此外,在上述步驟412中,AAA Server也可以不將密碼發(fā)送給Authenticator,而是與第一實(shí)施例中相同,通過短消息中心將密碼發(fā)送給用戶。
在本發(fā)明所舉的兩個(gè)具體實(shí)施例中,都是以本發(fā)明在如圖5所示的WiMAX網(wǎng)絡(luò)架構(gòu)中的應(yīng)用為例進(jìn)行說明的。本發(fā)明還可以應(yīng)用在除WiMAX外的WLAN或其他的采用三方認(rèn)證模式的網(wǎng)絡(luò)中,例如本發(fā)明在如圖6所示的WLAN網(wǎng)絡(luò)架構(gòu)中應(yīng)用時(shí),只需要將具體實(shí)施例流程中的MSS替換成WLAN用戶終端(WLAN User Terminal),將Authenticator替換成WLAN訂閱者接入認(rèn)證和服務(wù)控制點(diǎn)(WLAN Subscriber AccessAuthentication Point and Service Control Point,AC),將AAA Server替換成訂閱者認(rèn)證服務(wù)器(RADIUS Subscribe Authentication Server,AS)即可。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種環(huán)球網(wǎng)認(rèn)證方法,其特征在于,該方法包括以下步驟A、認(rèn)證者在接收到終端發(fā)送的訪問請求后,鑒權(quán)服務(wù)器根據(jù)認(rèn)證者的通知獲取認(rèn)證該請求用戶的最終有效密碼,并將最終有效密碼發(fā)送給用戶;B、鑒權(quán)服務(wù)器通過認(rèn)證者指示用戶在終端上以接收的最終有效密碼向鑒權(quán)服務(wù)器發(fā)起環(huán)球網(wǎng)認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟A中所述將最終有效密碼發(fā)送給用戶的方法為鑒權(quán)服務(wù)器獲取認(rèn)證該請求用戶的最終有效密碼后,將該最終有效密碼通過認(rèn)證者發(fā)送給發(fā)起訪問請求的終端,用戶通過該終端獲取密碼。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟A中所述的訪問請求中包括用戶標(biāo)識信息;步驟A中所述鑒權(quán)服務(wù)器獲取認(rèn)證該請求用戶的最終有效密碼之前進(jìn)一步包括A01、認(rèn)證者向鑒權(quán)服務(wù)器上報(bào)所述用戶標(biāo)識信息;A02、鑒權(quán)服務(wù)器根據(jù)該用戶標(biāo)識信息判斷對應(yīng)的密碼是否超過了有效期,如果超過了有效期,則執(zhí)行所述的獲取認(rèn)證該請求用戶的最終有效密碼的步驟。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,步驟A中所述的訪問請求中進(jìn)一步包括密碼;步驟A01中進(jìn)一步包括認(rèn)證者向鑒權(quán)服務(wù)器上報(bào)所述密碼;步驟A02中所述鑒權(quán)服務(wù)器判斷對應(yīng)的密碼是否超過了有效期之前進(jìn)一步包括鑒權(quán)服務(wù)器對接收的用戶標(biāo)識信息和密碼進(jìn)行認(rèn)證,如果認(rèn)證通過,執(zhí)行所述的判斷對應(yīng)的密碼是否超過了有效期的步驟;否則通過認(rèn)證者向終端返回拒絕請求消息,然后結(jié)束該流程。
5.根據(jù)權(quán)利要求1至4中任一所述的方法,其特征在于,步驟A中所述鑒權(quán)服務(wù)器根據(jù)認(rèn)證者的通知獲取認(rèn)證該請求用戶的最終有效密碼包括A1、認(rèn)證者指示終端將用戶標(biāo)識信息和需要更改密碼的信息發(fā)送給鑒權(quán)服務(wù)器;A2、鑒權(quán)服務(wù)器根據(jù)接收的需要更改密碼的信息獲取對應(yīng)用戶的最終有效密碼,記錄所述用戶標(biāo)識信息與所述最終有效密碼的對應(yīng)關(guān)系。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟A1中所述的需要更改密碼的信息為用戶標(biāo)識信息后用于標(biāo)識需要更改密碼的域名。
7.根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟A1中所述的用戶標(biāo)識信息為用戶的唯一合法標(biāo)識。
8.根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟A2中所述獲取對應(yīng)用戶的最終有效密碼為鑒權(quán)服務(wù)器為對應(yīng)用戶生成新密碼作為最終有效密碼;或?yàn)殍b權(quán)服務(wù)器將終端與需要更改密碼的信息一起上報(bào)的密碼作為本次認(rèn)證的最終有效密碼。
9.根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟A中所述將最終有效密碼發(fā)送給用戶的方法為鑒權(quán)服務(wù)器獲取本次認(rèn)證所需的最終有效密碼后,將該最終有效密碼發(fā)送給用戶標(biāo)識信息所對應(yīng)的終端,用戶通過該終端獲取密碼。
10.根據(jù)權(quán)利要求1至4中任一所述的方法,其特征在于,所述步驟B包括B1、鑒權(quán)服務(wù)器指示認(rèn)證者向所述認(rèn)證請求對應(yīng)的門戶服務(wù)器請求該門戶服務(wù)器的入口地址,然后門戶服務(wù)器向認(rèn)證者返回自身的入口地址;B2、認(rèn)證者指示用戶以接收的所述最終有效密碼作為密碼向認(rèn)證者發(fā)送訪問門戶服務(wù)器入口地址請求;B3、認(rèn)證者接收到訪問門戶服務(wù)器入口地址請求后,向鑒權(quán)服務(wù)器上報(bào)包括所述最終有效密碼作為密碼的信息發(fā)起認(rèn)證;B4、鑒權(quán)服務(wù)器根據(jù)認(rèn)證者上報(bào)的信息進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果信息發(fā)送給認(rèn)證者;B5、認(rèn)證者將認(rèn)證結(jié)果信息轉(zhuǎn)發(fā)給所述門戶服務(wù)器,門戶服務(wù)器根據(jù)認(rèn)證結(jié)果信息向用戶終端下發(fā)對應(yīng)的認(rèn)證結(jié)果頁面。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述步驟B3中認(rèn)證者接收到訪問門戶服務(wù)器入口地址請求后進(jìn)一步包括認(rèn)證者判斷該請求對應(yīng)用戶是否已經(jīng)進(jìn)行了密碼更新,如果是則執(zhí)行所述的向鑒權(quán)服務(wù)器上報(bào)包括所述最終有效密碼的信息發(fā)起認(rèn)證的步驟。
12.根據(jù)權(quán)利要求10所述的方法,其特征在于,步驟B3中所述向鑒權(quán)服務(wù)器上報(bào)包括所述最終有效密碼的信息發(fā)起認(rèn)證之前進(jìn)一步包括B31、認(rèn)證者向門戶服務(wù)器轉(zhuǎn)發(fā)訪問門戶服務(wù)器入口地址請求;B32、門戶服務(wù)器接收到該請求后,向認(rèn)證者發(fā)送挑戰(zhàn)請求;B33、認(rèn)證者向門戶服務(wù)器上報(bào)挑戰(zhàn)值、挑戰(zhàn)標(biāo)識;B34、門戶服務(wù)器根據(jù)所述挑戰(zhàn)值、挑戰(zhàn)標(biāo)識和訪問門戶服務(wù)器入口地址請求中的密碼生成挑戰(zhàn)密碼,并將生成的挑戰(zhàn)密碼發(fā)送給認(rèn)證者;所述認(rèn)證者向鑒權(quán)服務(wù)器發(fā)起認(rèn)證所上報(bào)的最終有效密碼為所述挑戰(zhàn)密碼;所述認(rèn)證者向鑒權(quán)服務(wù)器發(fā)起認(rèn)證所上報(bào)的信息中進(jìn)一步包括挑戰(zhàn)值、挑戰(zhàn)標(biāo)識。
全文摘要
本發(fā)明公開了一種環(huán)球網(wǎng)認(rèn)證方法,該方法包括A.認(rèn)證者在接收到終端發(fā)送的訪問請求后,鑒權(quán)服務(wù)器根據(jù)認(rèn)證者的通知獲取認(rèn)證該請求用戶的最終有效密碼,并將最終有效密碼發(fā)送給用戶;B.鑒權(quán)服務(wù)器通過認(rèn)證者指示用戶在終端上以接收的最終有效密碼向鑒權(quán)服務(wù)器發(fā)起環(huán)球網(wǎng)Web認(rèn)證。本發(fā)明中,由鑒權(quán)服務(wù)器獲取用戶的最終有效密碼,并將該最終有效密碼發(fā)送給用戶,用戶使用該最終有效密碼發(fā)起Web認(rèn)證,使得用戶的密碼能夠動態(tài)更新,提高了Web認(rèn)證的安全性;此外本發(fā)明中,不僅提供了用戶每次登錄都更改密碼的實(shí)現(xiàn)形式,還提供了用戶可以選擇的以有效期為周期進(jìn)行密碼更改的實(shí)現(xiàn)形式,增加了業(yè)務(wù)實(shí)現(xiàn)方式,提高了競爭力。
文檔編號H04L9/12GK1885768SQ20051007960
公開日2006年12月27日 申請日期2005年6月23日 優(yōu)先權(quán)日2005年6月23日
發(fā)明者單長虹, 黃迎新 申請人:華為技術(shù)有限公司