專利名稱:使用戶使用指定撥號(hào)程序進(jìn)行撥號(hào)的控制方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)接入技術(shù),尤其指使用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)的控制方法及其裝置�����。
背景技術(shù):
如圖1所示���,現(xiàn)有的IP網(wǎng)絡(luò)系統(tǒng)����,包括PC(個(gè)人計(jì)算機(jī))100、xDSL(多種用戶數(shù)字線)調(diào)制解調(diào)器(Modem)200��、接入設(shè)備(如IPDSLAM���,IP用戶數(shù)字線接入復(fù)用器)300�����、IP網(wǎng)絡(luò)400��、RADIUS(遠(yuǎn)程撥號(hào)接入認(rèn)證協(xié)議)服務(wù)器500和網(wǎng)絡(luò)管理裝置600�����,撥號(hào)用戶以PPP/PPPoE(點(diǎn)對(duì)點(diǎn)協(xié)議/基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議)的方式接入接入設(shè)備,撥號(hào)程序位于XDSL調(diào)制解調(diào)器內(nèi)�,Modem以PPP/PPPoE方式接入接入設(shè)備。在圖示中�,用戶接入認(rèn)證通過(guò)RADIUS(遠(yuǎn)程撥號(hào)接入認(rèn)證協(xié)議)來(lái)完成。XDSL調(diào)制解調(diào)器可以有網(wǎng)絡(luò)管理裝置進(jìn)行管理(CPEmanagement)��。
一般�,在用戶請(qǐng)求撥號(hào)接入的時(shí)候需要對(duì)用戶通過(guò)PC輸入的密碼進(jìn)行撥號(hào)接入認(rèn)證���,例如要求用戶使用用戶名和密碼進(jìn)行認(rèn)證。但是在撥號(hào)接入的時(shí)候用戶可以使用不同廠商提供的位于調(diào)制解調(diào)器內(nèi)的不同的撥號(hào)程序�����,對(duì)此��,運(yùn)營(yíng)商缺乏對(duì)撥號(hào)程序的有效控制�。
運(yùn)營(yíng)商不能有效的識(shí)別指定的撥號(hào)程序,造成用戶可能使用非法撥號(hào)程序接入網(wǎng)絡(luò)����,盜用業(yè)務(wù)等可能性,同時(shí)運(yùn)營(yíng)商也無(wú)法利用撥號(hào)程序來(lái)控制�����、開(kāi)展新業(yè)務(wù)�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種使用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)的控制方法及其裝置,以實(shí)現(xiàn)運(yùn)營(yíng)商對(duì)撥號(hào)程序能進(jìn)行有效控制���,而且不僅能夠避免用戶使用非法撥號(hào)程序接入網(wǎng)絡(luò)和盜用業(yè)務(wù)現(xiàn)象的發(fā)生�,以增強(qiáng)網(wǎng)絡(luò)用戶使用的安全性,同時(shí)也便于運(yùn)營(yíng)商利用撥號(hào)程序來(lái)進(jìn)行統(tǒng)一管理�,以滿足控制和開(kāi)展新業(yè)務(wù)的需要。
本發(fā)明所提供的一種使用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)的控制方法����,基于包括PC、調(diào)制解調(diào)器��、接入設(shè)備和IP網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)�,其特征在于,包括配置步驟在指定撥號(hào)程序中配置用戶撥號(hào)程序密碼����;生成并認(rèn)證步驟在用戶進(jìn)行撥號(hào)接入認(rèn)證時(shí)撥號(hào)程序使用由用戶通過(guò)PC輸入的用戶密碼和所述用戶撥號(hào)程序密碼組合生成的具有不可求逆性的用戶接入密碼進(jìn)行接入認(rèn)證,以完成由指定撥號(hào)程序撥號(hào)接入的控制���。
在上述的控制方法中����,在所述配置步驟中配置的用戶撥號(hào)程序密碼按需或定期更新��,以形成動(dòng)態(tài)密碼���。
在上述的控制方法中,用戶接入密碼組合生成的方式為以用戶密碼和用戶撥號(hào)程序密碼作為單向函數(shù)的基本輸入?yún)?shù)通過(guò)單向函數(shù)運(yùn)算得到�。
在上述的控制方法中�����,指定撥號(hào)程序位于調(diào)制解調(diào)器�,動(dòng)態(tài)密碼存貯在調(diào)制解調(diào)器中�����。
在上述的控制方法中��,指定撥號(hào)程序位于調(diào)制解調(diào)器���,動(dòng)態(tài)密碼存貯在PC和調(diào)制解調(diào)器中��。
在上述的控制方法中�����,PC和調(diào)制解調(diào)器之間的通信使用HTTP協(xié)議�����,同時(shí)使用HTTP消息摘要認(rèn)證方式進(jìn)行認(rèn)證�。
在上述的控制方法中,HTTP消息摘要包含授權(quán)請(qǐng)求頭���、WWW-鑒別響應(yīng)報(bào)文頭���、認(rèn)證信息頭。
在上述的控制方法中�����,它還包括在配置步驟和生成并認(rèn)證步驟之間增加的同步處理步驟����,即對(duì)用戶撥號(hào)程序密碼更新之后對(duì)調(diào)制解調(diào)器中存貯的用戶撥號(hào)程序密碼和PC中存貯的用戶撥號(hào)程序密碼失去同步所進(jìn)行的檢測(cè)和更新,包括同步丟失的檢測(cè)步驟在用戶撥號(hào)程序密碼更新之后�,在調(diào)制解調(diào)器中存貯有更新前、后兩個(gè)用戶撥號(hào)程序密碼����,在接到PC的撥號(hào)請(qǐng)求時(shí),調(diào)制解調(diào)器分別使用該兩個(gè)用戶撥號(hào)程序密碼分別進(jìn)行HTTP-Digest接入認(rèn)證�,并在認(rèn)證的結(jié)果是使用更新后的用戶撥號(hào)程序密碼認(rèn)證失敗但使用更新前用戶撥號(hào)程序密碼認(rèn)證成功,則確定PC的用戶撥號(hào)程序密碼需要更新���;
用戶撥號(hào)程序密碼的同步步驟調(diào)制解調(diào)器使用更新前用戶撥號(hào)程序密碼加密更新后的用戶撥號(hào)程序密碼以密文的形式通過(guò)HTTP協(xié)議發(fā)送給PC�,PC解密并保留新的用戶撥號(hào)程序密碼。
在上述的控制方法中�����,認(rèn)證步驟中的撥號(hào)接入認(rèn)證是通過(guò)網(wǎng)絡(luò)系統(tǒng)中的RADIUS服務(wù)器進(jìn)行的�����。
本發(fā)明還提供了一種實(shí)現(xiàn)上述控制方法的調(diào)制解調(diào)器���。該調(diào)制解調(diào)器包括撥號(hào)模塊,其特征在于�����,它還包括第一計(jì)算模塊�����,其中撥號(hào)模塊�,具有支持網(wǎng)絡(luò)系統(tǒng)管理協(xié)議的功能,接受對(duì)其進(jìn)行的用戶撥號(hào)程序密碼的動(dòng)態(tài)配置�;第一計(jì)算模塊,用于實(shí)現(xiàn)單向函數(shù)的計(jì)算功能���,即以PC輸入的用戶密碼和配置的所述用戶撥號(hào)程序密碼作為基本的輸入?yún)?shù)���,利用該單向函數(shù)計(jì)算出不可求逆的用于接入認(rèn)證的用戶接入密碼��。
在上述的調(diào)制解調(diào)器中�,還包括與外接的PC通過(guò)HTTP協(xié)議進(jìn)行通信的通信模塊和以HTTP消息摘要進(jìn)行更新認(rèn)證的認(rèn)證模塊�����。
本發(fā)明再提供了一種實(shí)現(xiàn)上述控制方法的RADIUS服務(wù)器�,該RADIUS服務(wù)器包括一第二計(jì)算模塊,用于實(shí)現(xiàn)單向函數(shù)的計(jì)算功能����,即以用戶密碼和撥號(hào)程序密碼計(jì)算出用于接入認(rèn)證的用戶接入密碼。
在上述的RADIUS服務(wù)器中�,還包括一用于更新用戶撥號(hào)程序密碼并通過(guò)RADIUS消息輸出該密碼的更新處理模塊。
由于采用了上述的技術(shù)解決方案�,即通過(guò)撥號(hào)程序支持動(dòng)態(tài)配置用戶撥號(hào)程序密碼以及使用單向函數(shù)由用戶密碼和用戶撥號(hào)程序密碼導(dǎo)出用戶撥號(hào)接入的用戶接入密碼,使得運(yùn)營(yíng)商能夠要求用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)��,以便于運(yùn)營(yíng)商進(jìn)行統(tǒng)一管理���,以滿足控制和開(kāi)展新業(yè)務(wù)的需要�����。同時(shí)����,本發(fā)明保證用戶密碼和用戶撥號(hào)程序密碼不以明文形式在網(wǎng)絡(luò)上出現(xiàn)�����,并通過(guò)撥號(hào)程序密碼更新��,提供了更強(qiáng)的認(rèn)證強(qiáng)度�,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)用戶使用的安全性。另外�����,本發(fā)明只需對(duì)調(diào)制解調(diào)器中的撥號(hào)模塊和網(wǎng)絡(luò)系統(tǒng)中的RADIUS(遠(yuǎn)程撥號(hào)接入認(rèn)證協(xié)議)服務(wù)器進(jìn)行擴(kuò)展即能達(dá)到目的��,網(wǎng)絡(luò)改造成本低�。
圖1是現(xiàn)有IP網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)示意圖;
圖2是本發(fā)明使用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)的控制方法的實(shí)施例之一的示意圖�;圖3(a)~(b)是本發(fā)明使用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)的控制方法的實(shí)施例之二的分段示意圖;圖4是本發(fā)明調(diào)制解調(diào)器的功能框圖�����;圖5是本發(fā)明RADIUS服務(wù)器的功能框圖�。
具體實(shí)施例方式
本發(fā)明的基本思想是運(yùn)營(yíng)商在指定的撥號(hào)程序中配置用戶撥號(hào)程序密碼(可以定時(shí)有網(wǎng)管裝置更新該密碼);在用戶進(jìn)行接入認(rèn)證的時(shí)候撥號(hào)程序由用戶通過(guò)PC輸入的用戶密碼和用戶撥號(hào)程序密碼通過(guò)單向函數(shù)生成的不可求逆的接入密碼進(jìn)行接入認(rèn)證�,以完成由指定撥號(hào)程序撥號(hào)接入的控制。
第一��,本發(fā)明即使用戶使用指定撥號(hào)程序進(jìn)行撥號(hào)的控制方法的方案之一在本發(fā)明中��,撥號(hào)程序位于調(diào)制解調(diào)器(本實(shí)施例為xDSL調(diào)制解調(diào)器)�,動(dòng)態(tài)密碼存貯在調(diào)制解調(diào)器中。
參見(jiàn)圖2�����,其包括三個(gè)過(guò)程初始化配置過(guò)程���,撥號(hào)接入過(guò)程和密碼更新過(guò)程�,其中為了描述方便起見(jiàn)����,ppp接入的過(guò)程在圖中已經(jīng)被簡(jiǎn)化。詳細(xì)流程如下1.網(wǎng)絡(luò)管理裝置隨機(jī)生成用戶撥號(hào)程序密碼(PSWD-modem)����,并且由CPE(用戶前端設(shè)備)管理服務(wù)器通過(guò)CPE管理協(xié)議配置給調(diào)制解調(diào)器中的撥號(hào)程序并存貯在調(diào)制解調(diào)器內(nèi)����,同時(shí)將該密碼通知RADIUS服務(wù)器����。
2.用戶請(qǐng)求撥號(hào)接入,并且在PC上輸入用戶密碼(PSWD-User)��。通過(guò)PC和調(diào)制解調(diào)器之間的接口將用戶密碼傳遞給調(diào)制解調(diào)器中的撥號(hào)程序���。
3.調(diào)制解調(diào)器中的撥號(hào)程序根據(jù)用戶撥號(hào)程序密碼PSWD-modem和用戶密碼PSWD-User生成PPP撥號(hào)程序使用的用戶接入密碼(PSWD-ppp),ppp接入密碼的計(jì)算方式為PSWD-ppp=MD5(PSWD-User‖PSWD-modem)�。其中“‖”表示字符串連接,MD5(x)表示用MD5算法計(jì)算消息x的消息摘要���,MD5算法為單向函數(shù)種的一種���,當(dāng)然也可以使用其它任何合適的單向函數(shù)作為替代。而任何單向函數(shù)要求將用戶密碼PSWD-User和用戶撥號(hào)程序密碼PSWD-modem作為輸入?yún)?shù)�,不限于使用上述格式。以單向函數(shù)運(yùn)算之后的結(jié)果作為用戶接入密碼的目的是為了保證用戶密碼PSWD-User和用戶撥號(hào)程序密碼PSWD-modem不以明文形式在網(wǎng)絡(luò)上出現(xiàn)��。
單向函數(shù)可以通過(guò)增加運(yùn)算復(fù)雜度方式來(lái)確保組合生成的用戶接入密碼的不可求逆性,即從用戶接入密碼無(wú)法推導(dǎo)出用戶密碼和用戶撥號(hào)程序密碼��。
4.在RADIUS服務(wù)器對(duì)接收到用戶接入請(qǐng)求消息(ACCESS-REQUEST)進(jìn)行認(rèn)證的時(shí)候�,RADIUS服務(wù)器從數(shù)據(jù)庫(kù)中提取用戶撥號(hào)程序密碼(PSWD-modem)和用戶密碼(PSWD-User),以撥號(hào)程序相同的方式計(jì)算出用戶接入認(rèn)證密碼���,即PSWD-ppp=MD5(PSWD-User‖PSWD-modem)用計(jì)算出的該用戶接入認(rèn)證密碼以PAP(密碼認(rèn)證協(xié)議)或CHAP(質(zhì)詢握手認(rèn)證協(xié)議)認(rèn)證對(duì)用戶進(jìn)行認(rèn)證����。如果認(rèn)證成功則接受請(qǐng)求����,通過(guò)RADIUS消息ACCESS-SUCCESS(接入成功)傳送至接入設(shè)備(本實(shí)施例為IPDSLAM),進(jìn)入撥號(hào)狀態(tài)���;否則通過(guò)RADIUS消息ACCESS-REJECT(接入拒絕)傳送至接入設(shè)備�,拒絕用戶撥號(hào)接入�����。
5.為了增強(qiáng)安全性����,網(wǎng)絡(luò)管理裝置可以按照需要��,定期更新?lián)芴?hào)程序密碼PSWD-modem����。網(wǎng)絡(luò)管理系統(tǒng)更新PSWD-modem的方式為網(wǎng)絡(luò)管理系統(tǒng)生成新的PSWD-modem并通過(guò)CPE管理服務(wù)器配置到調(diào)制解調(diào)器中��,同時(shí)通知RADIUS服務(wù)器更新PSWD-modem�。
6.定期更新用戶撥號(hào)程序密碼PSWD-modem,也可以用另外的方式來(lái)實(shí)現(xiàn)在用戶接入認(rèn)證成功之后RADIUS服務(wù)器更新PSWD-modem���,新的PSWD-modem通過(guò)RADIUS(遠(yuǎn)程撥號(hào)接入認(rèn)證協(xié)議)消息ACCESS-SUCCESS(接入成功)捎帶給接入設(shè)備IPDSLAM���,IPDSLAM在收到新的密碼之后����,通過(guò)IPDSALM和調(diào)制解調(diào)器之間的CPE管理通道將新的密碼配置到調(diào)制解調(diào)器中。
本方案具有以下特點(diǎn)1.用戶必須使用指定的撥號(hào)程序進(jìn)行撥號(hào)��,因?yàn)槠渌鼡芴?hào)程序無(wú)法獲得撥號(hào)程序密碼PSWD-modem�。
2.由于本方案使用PSWD-ppp=MD5(PSWD-User‖PSWD-modem)作為用戶接入密碼,用戶撥號(hào)程序密碼PSWD-modem和用戶密碼PSWD-User不會(huì)以明文形式在網(wǎng)絡(luò)上出現(xiàn)��。同時(shí),因?yàn)镸D5為單向函數(shù)�����,而無(wú)法由用戶接入密碼逆向推出用戶撥號(hào)程序密碼PSWD-modem和用戶密碼PSWD-User�。
3.本方案提供了用戶撥號(hào)程序密碼更新功能,可以根據(jù)需要更新用戶撥號(hào)程序密碼���。如果在每次接入認(rèn)證成功之后就更新?lián)芴?hào)程序密碼��,那么在PPP認(rèn)證的時(shí)候如果使用的是PAP認(rèn)證�����,本方案的認(rèn)證強(qiáng)度相當(dāng)于CHAP認(rèn)證�����。因此本方案提供了更強(qiáng)的認(rèn)證強(qiáng)度�����。
4.實(shí)施本方案的改造成本低�����,只需在調(diào)制解調(diào)器和RADIUS服務(wù)器上做很小的改動(dòng)���。
第二�����,本發(fā)明即使用戶使用指定撥號(hào)程序進(jìn)行撥號(hào)的控制方法的方案之二本方案之二基于的思想是為了看起來(lái)?yè)芴?hào)是從PC發(fā)起的�����,在PC和調(diào)制解調(diào)器中都備份PSWD-modem����,該密碼在PPP撥號(hào)中的用途和用法同方案一一樣��;但是該密碼在本方案中還有另外一個(gè)用途為了保證PC和調(diào)制解調(diào)器之間的連接的安全性���,PC和調(diào)制解調(diào)器之間的通信���,使用HTTP-Digest(超文本傳輸協(xié)議-消息摘要)接入認(rèn)證方式(RFC2617)進(jìn)行認(rèn)證��,這樣可以控制使用指定的PC程序和指定的調(diào)制解調(diào)器進(jìn)行撥號(hào)接入�,PSWD-modem就被用做HTTP消息摘要接入認(rèn)證中的共享密碼。
在本發(fā)明中,撥號(hào)程序位于調(diào)制解調(diào)器(本實(shí)施例為xDSL調(diào)制解調(diào)器)內(nèi)����,位于PC內(nèi)的特定程序通過(guò)HTTP協(xié)議(RFC2616)與調(diào)制解調(diào)器進(jìn)行通信,請(qǐng)求進(jìn)行撥號(hào)接入(因此撥號(hào)程序看起來(lái)位于PC內(nèi)以使運(yùn)營(yíng)商占領(lǐng)桌面)��,動(dòng)態(tài)用戶撥號(hào)程序密碼同時(shí)存貯在PC和調(diào)制解調(diào)器中�����。其包括三個(gè)過(guò)程初始化配置過(guò)程��,撥號(hào)接入過(guò)程和密碼更新過(guò)程��。其中為了描述方便起見(jiàn)���,ppp接入的過(guò)程在圖中已經(jīng)被簡(jiǎn)化����。
xDSL用戶可能擁有多臺(tái)PC�����,以下的方案的描述中只考慮此種情況��。對(duì)于單PC的情況本方案二同樣適用,而且在該情形下不會(huì)有密碼同步問(wèn)題發(fā)生�����。如果用戶在單PC的情況下�,實(shí)際上方案一更簡(jiǎn)單,但從安全性考慮方案二更完備��。
參見(jiàn)圖3(a)~(b)���,本方案的詳細(xì)流程如下
1.每個(gè)用戶的撥號(hào)程序具有不同的注冊(cè)碼�����,并且在軟件(撥號(hào)程序)發(fā)放的時(shí)候隨同軟件發(fā)放給用戶�����。該注冊(cè)碼同時(shí)在網(wǎng)絡(luò)管理裝置(CPE管理服務(wù)器)或RADIUS服務(wù)器中進(jìn)行配置�����,以方便管理����。
2.用戶請(qǐng)求撥號(hào)接入���,并且輸入用戶密碼(PSWD-User)�。通過(guò)PC和調(diào)制解調(diào)器之間的接口(基于HTTP)將加密之后的用戶密碼傳遞給調(diào)制解調(diào)器中的撥號(hào)程序���。在用戶第一次從本PC上撥號(hào)或進(jìn)行密碼同步的時(shí)候使用注冊(cè)碼進(jìn)行加密�����,在其它情況下使用PC中存貯的動(dòng)態(tài)密碼進(jìn)行加密�。HTTP(超文本傳輸協(xié)議)文本在用戶第一次從本機(jī)上撥號(hào)或進(jìn)行密碼同步的時(shí)候使用注冊(cè)碼作為HTTP-Digest接入認(rèn)證密碼進(jìn)行HTTP-Digest接入認(rèn)證�����,在其它情況下使用PC中存貯的動(dòng)態(tài)密碼進(jìn)行HTTP-Digest認(rèn)證���,即用PSWD-modem作為HTTP-Digest認(rèn)證使用的共享密碼完成該認(rèn)證��。
3.調(diào)制解調(diào)器通過(guò)驗(yàn)證HTTP-Digest檢測(cè)用戶PC存貯的用戶撥號(hào)程序密碼是否已經(jīng)同步��,在檢測(cè)到用戶動(dòng)態(tài)密碼失去同步時(shí)通知用戶進(jìn)行密碼同步操作�����。否則對(duì)接收的HTTP文本進(jìn)行HTTP-digest認(rèn)證���,即用PSWD-modem進(jìn)行HTTP-Digest接入認(rèn)證�����,判斷是否接受撥號(hào)請(qǐng)求�,如果認(rèn)證通過(guò)�,用PSWD-modem解密PSWD-User;如果認(rèn)證沒(méi)有通過(guò)���,則直接拒絕用戶撥號(hào)�。如果通過(guò)HTTP-Digest認(rèn)證則進(jìn)行下一步�����。
參見(jiàn)圖3(a)���,對(duì)用戶撥號(hào)程序密碼更新之后對(duì)調(diào)制解調(diào)器中存貯的用戶撥號(hào)程序密碼和PC中存貯的用戶撥號(hào)程序密碼失去同步所進(jìn)行的檢測(cè)和更新���,即當(dāng)用戶撥號(hào)程序密碼更新之后,調(diào)制解調(diào)器中存貯的用戶撥號(hào)程序密碼和PC中存貯的用戶撥號(hào)程序密失去同步的時(shí)候�����,按以下步驟進(jìn)行檢測(cè)和更新����;同步丟失的檢測(cè)在用戶撥號(hào)程序更新之后,在調(diào)制解調(diào)器中存貯有一舊一新兩個(gè)用戶撥號(hào)程序密碼��,在接到PC的撥號(hào)請(qǐng)求時(shí)���,調(diào)制解調(diào)器分別使用兩個(gè)用戶撥號(hào)程序密碼來(lái)進(jìn)行HTTP認(rèn)證�����。如果a)使用新的用戶撥號(hào)程序密碼認(rèn)證失敗但使用舊的用戶撥號(hào)程序密碼認(rèn)證成功��,則PC的用戶撥號(hào)程序密碼需要更新�����;b)使用更新后的用戶撥號(hào)程序密碼認(rèn)證失敗且使用更新前用戶撥號(hào)程序密碼認(rèn)證也失敗�����,則拒絕PC的撥號(hào)請(qǐng)求�����;c)使用更新后的用戶撥號(hào)程序密碼認(rèn)證成功但使用更新前用戶撥號(hào)程序密碼認(rèn)證失敗�����,則確定PC的用戶撥號(hào)程序密碼已更新����。
參見(jiàn)圖3(b),用戶撥號(hào)程序密碼的同步調(diào)制解調(diào)器使用舊的用戶撥號(hào)程序密碼加密新的用戶撥號(hào)程序密碼以密文的形式通過(guò)HTTP協(xié)議發(fā)送給PC�,PC解密并保留新的用戶撥號(hào)程序密碼。其過(guò)程是用PSWD-Modem進(jìn)行HTTP Digest接入認(rèn)證�����,判定是否接受密碼更新���。如果認(rèn)證通過(guò)則接受密碼更新���,用舊PSWD-Modem解密新PSWD-Modem,并更新PSWD-Modem���。PC上只保留最新的PSWD-Modem����。
4.調(diào)制解調(diào)器撥號(hào)程序根據(jù)自己的密碼PSWD-modem和用戶輸入的密碼PSWD-User生成PPP撥號(hào)程序使用的接入密碼PSWD-ppp,ppp用戶接入密碼的計(jì)算方式為PSWD-ppp=MD5(PSWD-User‖PSWD-modem)�����?�!硎咀址B接�����,MD5(x)表示用MD5算法計(jì)算消息x的消息摘要(關(guān)于MD5算法和計(jì)算格式的具體說(shuō)明如前所述)����。以MD5運(yùn)算之后的結(jié)果作為接入密碼的目的是為了保證密碼PSWD-User和密碼PSWD-modem不以明文形式在網(wǎng)絡(luò)上出現(xiàn)�����。
5.在RADIUS服務(wù)器對(duì)接收到用戶接入請(qǐng)求消息(ACCESS-REQUEST)進(jìn)行認(rèn)證的時(shí)候��,RADIUS服務(wù)器從數(shù)據(jù)庫(kù)中提取用戶撥號(hào)程序密碼PSWD-modem和用戶密碼PSWD-User�,以撥號(hào)程序相同的方式計(jì)算出用戶接入認(rèn)證密碼PSWD-pppPSWD-ppp=MD5(PSWD-User‖PSWD-modem)用計(jì)算出的用戶接入認(rèn)證密碼以PAP(密碼認(rèn)證協(xié)議)或CHAP(質(zhì)詢握手認(rèn)證協(xié)議)認(rèn)證對(duì)用戶進(jìn)行認(rèn)證。如果認(rèn)證成功則接受請(qǐng)求,通過(guò)RADIUS消息ACCESS-SUCCESS(接入成功)傳送至接入設(shè)備��,進(jìn)入撥號(hào)狀態(tài)��;否則通過(guò)RADIUS消息ACCESS-REJECT(接入拒絕)傳送至接入設(shè)備��,拒絕用戶撥號(hào)接入���。
6.為了增強(qiáng)安全性�,網(wǎng)絡(luò)管理系統(tǒng)可以按照需要����,定期更新?lián)芴?hào)程序密碼PSWD-modem。網(wǎng)絡(luò)管理系統(tǒng)更新PSWD-modem的方式為網(wǎng)絡(luò)管理系統(tǒng)生成新的PSWD-modem并通過(guò)CPE管理協(xié)議配置到調(diào)制解調(diào)器中�,同時(shí)通知RADIUS服務(wù)器更新PSWD-modem,并只保留最新的PSWD-modem����。
7.調(diào)制解調(diào)器存貯更新后的PSWD-modem,同時(shí)保留上一次的密碼���,即保存最近的兩用戶撥號(hào)程序密碼����,在PC使用上一次的PSWD-modem發(fā)送撥號(hào)請(qǐng)求時(shí)通知用戶更新動(dòng)態(tài)密碼,如果發(fā)現(xiàn)用戶密碼失去同步則要求用戶進(jìn)行密碼同步操作���,見(jiàn)步驟3�,此處不再重復(fù)敘述���。
8.定期更新?lián)芴?hào)程序密碼PSWD-modem也可以用另外的方式來(lái)實(shí)現(xiàn)在用戶接入認(rèn)證成功之后RADIUS服務(wù)器更新PSWD-modem���,新的PSWD-modem通過(guò)RADIUS消息ACCESS-SUCCESS捎帶給接入設(shè)備IPDSLAM,IPDSLAM在收到新的密碼之后����,通過(guò)IPDSALM和調(diào)制解調(diào)器之間的CPE管理通道將新的密碼配置到調(diào)制解調(diào)器中���。
第三���,本發(fā)明調(diào)制解調(diào)器參見(jiàn)圖4,該調(diào)制解調(diào)器1包括撥號(hào)模塊11����,具有支持網(wǎng)絡(luò)系統(tǒng)管理協(xié)議的功能���,接受對(duì)其進(jìn)行的用戶撥號(hào)程序密碼的動(dòng)態(tài)配置�,負(fù)責(zé)接收PC的撥號(hào)請(qǐng)求并返回狀態(tài)。
通信模塊13��,通過(guò)HTTP協(xié)議與PC通信�;認(rèn)證模塊14,用于在必要的時(shí)候同步PC和調(diào)制解調(diào)器中的用戶撥號(hào)程序密碼�����,并支持HTTP-Digest接入認(rèn)證來(lái)確保該通信接口的安全性��;第一計(jì)算模塊12��,用于將通過(guò)PC輸入的用戶密碼和配置的所述用戶撥號(hào)程序密碼通過(guò)單向函數(shù)計(jì)算出用于接入認(rèn)證的用戶接入密碼�。該模塊中所實(shí)現(xiàn)的單向函數(shù)可以使用任何合適的單向函數(shù),如MD5����,SHA等(要求該函數(shù)從計(jì)算復(fù)雜性的角度來(lái)說(shuō),該函數(shù)是不可逆的)��,單向函數(shù)至少將用戶密碼和用戶撥號(hào)程序密碼作為輸入?yún)?shù)���。
第四����,本發(fā)明RADIUS服務(wù)器參見(jiàn)圖5,該RADIUS服務(wù)器2包括第二計(jì)算模塊21����,用于實(shí)現(xiàn)單向函數(shù)的計(jì)算功能,即以用戶密碼和撥號(hào)程序密碼計(jì)算出用于接入認(rèn)證的用戶接入密碼�����。該模塊中所實(shí)現(xiàn)的單向函數(shù)可以使用任何合適的單向函數(shù)��,如MD5����,SHA等(要求該函數(shù)從計(jì)算復(fù)雜性的角度來(lái)說(shuō),該函數(shù)是不可逆的)���,單向函數(shù)至少將用戶密碼和用戶撥號(hào)程序密碼作為輸入?yún)?shù)。使用的單向函數(shù)和計(jì)算方式必須和調(diào)制解調(diào)器中完全一致�;更新處理模塊22,用于更新用戶撥號(hào)程序密碼并通過(guò)RADIUS消息輸出該密碼��。
綜上所述�����,本發(fā)明具有下列特點(diǎn)1)可以強(qiáng)制用戶使用特定的撥號(hào)程序/modem進(jìn)行撥號(hào),便于運(yùn)營(yíng)商進(jìn)行統(tǒng)一管理���。
2)使用本方案實(shí)現(xiàn)該控制方式只需對(duì)特定的撥號(hào)程序和RADIUS服務(wù)器進(jìn)行擴(kuò)展���,網(wǎng)絡(luò)改造成本低。撥號(hào)程序的改造為需要支持CPE管理協(xié)議以支持撥號(hào)程序密碼的配置�����,并且對(duì)認(rèn)證過(guò)程需要增加有用戶輸入的密碼和配置的撥號(hào)程序密碼計(jì)算出用于接入認(rèn)證的密碼這一步驟�����。在RADIUS服務(wù)器上只需要擴(kuò)展有用戶密碼和撥號(hào)程序密碼計(jì)算出用于接入認(rèn)證的密碼這一步驟���。
3)用戶必須使用指定的撥號(hào)程序進(jìn)行撥號(hào)�,因?yàn)槠渌鼡芴?hào)程序無(wú)法獲得撥號(hào)程序密碼PSWD-modem�。
4)由于本方案使用PSWD-ppp=MD5(PSWD-User‖PSWD-modem)作為接入密碼,PSWD-modem不會(huì)以明文形式在網(wǎng)絡(luò)上出現(xiàn)���。本方案提供了撥號(hào)程序密碼更新����,可以根據(jù)需要更新?lián)芴?hào)程序密碼。如果在每次接入認(rèn)證成功之后就更新?lián)芴?hào)程序密碼���,那么在PPP認(rèn)證的時(shí)候如果使用的是PAP認(rèn)證�,本方案的認(rèn)證強(qiáng)度相當(dāng)于CHAP認(rèn)證���。因此本方案提供了更強(qiáng)的認(rèn)證強(qiáng)度���。
5)支持接入密碼動(dòng)態(tài)更新,進(jìn)一步增強(qiáng)安全性�。
以上實(shí)施例僅供說(shuō)明本發(fā)明之用,而非對(duì)本發(fā)明的限制���,有關(guān)技術(shù)領(lǐng)域的技術(shù)人員����,在不脫離本發(fā)明的精神和范圍的情況下����,還可以作出各種變換或變型�,因此所有等同的技術(shù)方案也應(yīng)該屬于本發(fā)明范疇之內(nèi)���,應(yīng)由各權(quán)利要求限定。
權(quán)利要求
1.一種使用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)的控制方法���,基于包括PC����、調(diào)制解調(diào)器�����、接入設(shè)備和IP網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)�,其特征在于,包括配置步驟在指定撥號(hào)程序中配置用戶撥號(hào)程序密碼���;生成并認(rèn)證步驟在用戶進(jìn)行撥號(hào)接入認(rèn)證時(shí)撥號(hào)程序使用由用戶通過(guò)PC輸入的用戶密碼和所述用戶撥號(hào)程序密碼組合生成的具有不可求逆性的用戶接入密碼進(jìn)行接入認(rèn)證��,以完成由指定撥號(hào)程序撥號(hào)接入的控制��。
2.根據(jù)權(quán)利要求1所述的控制方法��,其特征在于在所述配置步驟中配置的用戶撥號(hào)程序密碼按需或定期更新�����,以形成動(dòng)態(tài)密碼��。
3.根據(jù)權(quán)利要求2所述的控制方法�,其特征在于所述用戶接入密碼組合生成的方式為以用戶密碼和用戶撥號(hào)程序密碼作為單向函數(shù)的基本輸入?yún)?shù)通過(guò)單向函數(shù)運(yùn)算得到。
4.根據(jù)權(quán)利要求2或3所述的控制方法�����,其特征在于所述的指定撥號(hào)程序位于調(diào)制解調(diào)器���,動(dòng)態(tài)密碼存貯在調(diào)制解調(diào)器中�。
5.根據(jù)權(quán)利要求2或3所述的控制方法�����,其特征在于所述的指定撥號(hào)程序位于調(diào)制解調(diào)器�,動(dòng)態(tài)密碼存貯在PC和調(diào)制解調(diào)器中。
6.根據(jù)權(quán)利要求5所述的控制方法���,其特征在于所述的PC和調(diào)制解調(diào)器之間的通信使用HTTP協(xié)議�����,同時(shí)使用HTTP消息摘要認(rèn)證方式進(jìn)行認(rèn)證�����。
7.根據(jù)權(quán)利要求6所述的控制方法��,其特征在于所述的HTTP消息摘要包含授權(quán)請(qǐng)求頭�����、WWW-鑒別響應(yīng)報(bào)文頭��、認(rèn)證信息頭��。
8.根據(jù)權(quán)利要求6所述的控制方法����,其特征在于它還包括在配置步驟和生成并認(rèn)證步驟之間增加的同步處理步驟�,即對(duì)用戶撥號(hào)程序密碼更新之后對(duì)調(diào)制解調(diào)器中存貯的用戶撥號(hào)程序密碼和PC中存貯的用戶撥號(hào)程序密碼失去同步所進(jìn)行的檢測(cè)和更新,包括同步丟失的檢測(cè)步驟在用戶撥號(hào)程序密碼更新之后���,在調(diào)制解調(diào)器中存貯有更新前����、后兩個(gè)用戶撥號(hào)程序密碼,在接到PC的撥號(hào)請(qǐng)求時(shí)��,調(diào)制解調(diào)器分別使用該兩個(gè)用戶撥號(hào)程序密碼分別進(jìn)行HTTP-Digest接入認(rèn)證�����,并在認(rèn)證的結(jié)果是使用更新后的用戶撥號(hào)程序密碼認(rèn)證失敗但使用更新前用戶撥號(hào)程序密碼認(rèn)證成功���,則確定PC的用戶撥號(hào)程序密碼需要更新����;用戶撥號(hào)程序密碼的同步步驟調(diào)制解調(diào)器使用更新前用戶撥號(hào)程序密碼加密更新后的用戶撥號(hào)程序密碼以密文的形式通過(guò)HTTP協(xié)議發(fā)送給PC�����,PC解密并保留新的用戶撥號(hào)程序密碼����。
9.根據(jù)權(quán)利要求1所述的控制方法,其特征在于所述的認(rèn)證步驟中的撥號(hào)接入認(rèn)證是通過(guò)網(wǎng)絡(luò)系統(tǒng)中的RADIUS服務(wù)器進(jìn)行的����。
10.一種調(diào)制解調(diào)器,包括撥號(hào)模塊�����,其特征在于,它還包括第一計(jì)算模塊�,其中撥號(hào)模塊,具有支持網(wǎng)絡(luò)系統(tǒng)管理協(xié)議的功能�����,接受對(duì)其進(jìn)行的用戶撥號(hào)程序密碼的動(dòng)態(tài)配置�;第一計(jì)算模塊����,用于實(shí)現(xiàn)單向函數(shù)的計(jì)算功能,即以PC輸入的用戶密碼和配置的所述用戶撥號(hào)程序密碼作為基本的輸入?yún)?shù)���,利用該單向函數(shù)計(jì)算出不可求逆的用于接入認(rèn)證的用戶接入密碼�。
11.根據(jù)權(quán)利要求10述的調(diào)制解調(diào)器����,其特征在于還包括與外接的PC通過(guò)HTTP協(xié)議進(jìn)行通信的通信模塊和以HTTP消息摘要進(jìn)行更新認(rèn)證的認(rèn)證模塊。
12.一種RADIUS服務(wù)器�����,其特征在于它包括一第二計(jì)算模塊,用于實(shí)現(xiàn)單向函數(shù)的計(jì)算功能�����,即以用戶密碼和撥號(hào)程序密碼計(jì)算出用于接入認(rèn)證的用戶接入密碼����。
13.根據(jù)權(quán)利要求12所述的RADIUS服務(wù)器,其特征在于它還包括一用于更新用戶撥號(hào)程序密碼并通過(guò)RADIUS消息輸出該密碼的更新處理模塊��。
全文摘要
本發(fā)明涉及一種使用戶使用指定撥號(hào)程序進(jìn)行撥號(hào)的控制方法及其裝置����,其方法包括配置步驟在指定撥號(hào)程序中配置用戶撥號(hào)程序密碼;生成并認(rèn)證步驟在用戶進(jìn)行撥號(hào)接入認(rèn)證時(shí)撥號(hào)程序使用由用戶通過(guò)PC輸入的用戶密碼和所述用戶撥號(hào)程序密碼組合生成的具有不可求逆性的用戶接入密碼進(jìn)行接入認(rèn)證���,以完成由指定撥號(hào)程序撥號(hào)接入的控制�。其中配置的用戶撥號(hào)程序密碼按需或定期更新���,以形成動(dòng)態(tài)密碼�����。本發(fā)明使得運(yùn)營(yíng)商能夠要求用戶使用指定的撥號(hào)程序進(jìn)行撥號(hào)�����,以便于運(yùn)營(yíng)商進(jìn)行統(tǒng)一管理�����、控制和開(kāi)展新業(yè)務(wù)����。同時(shí)��,本發(fā)明保證用戶密碼和用戶撥號(hào)程序密碼不以明文形式在網(wǎng)絡(luò)上出現(xiàn)����,增強(qiáng)網(wǎng)絡(luò)用戶使用的安全性。另外�,本發(fā)明只需對(duì)調(diào)制解調(diào)器中的撥號(hào)模塊和網(wǎng)絡(luò)系統(tǒng)中的RADIUS服務(wù)器進(jìn)行擴(kuò)展即可達(dá)到目的,網(wǎng)絡(luò)改造成本低����。
文檔編號(hào)H04L12/28GK101060519SQ20061002584
公開(kāi)日2007年10月24日 申請(qǐng)日期2006年4月19日 優(yōu)先權(quán)日2006年4月19日
發(fā)明者姚亦峰, 朱建華, 蘇鵬, 繆應(yīng)忠 申請(qǐng)人:上海貝爾阿爾卡特股份有限公司