專利名稱:一種用戶接入認證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全認證4支術(shù),特別涉及一種用戶接入認證的方法。
技術(shù)背景動態(tài)主才幾配置協(xié)議(DHCP: Dynamic Host Configuration Protocol)基于 客戶端-服務(wù)器的模式,它能夠為網(wǎng)絡(luò)上的主機動態(tài)的分配IP地址和其他配置 信息。圖1詳細說明了DHCP服務(wù)器為DHCP客戶端動態(tài)分配IP地址的過程(1) 發(fā)現(xiàn)階段即DHCP客戶端(Client)尋找DHCP服務(wù)器(Server)的階段。 當(dāng)DHCP客戶端第一次登錄網(wǎng)絡(luò)的時候,它會向網(wǎng)絡(luò)廣播一個DHCP發(fā)現(xiàn)(Di scover)消息。(2) 提供階段即DHCP服務(wù)器提供IP地址的階段。 每個有空閑地址的DHCP服務(wù)器都發(fā)出DHCP提供(Offer)消息來響應(yīng)這個DHCP Discover消息。(3) 選擇階段即DHCP客戶端選擇某個DHCP服務(wù)器提供的IP地址的階段。如果客戶端收到網(wǎng)絡(luò)上多臺DHCP服務(wù)器的回應(yīng),就會挑選其中一個DHCP Offer (通常是最先抵達的那個),并且會向網(wǎng)絡(luò)發(fā)送一個DHCP請求(Request) 廣播數(shù)據(jù)包,告訴所有DHCP服務(wù)器它將指定接受哪一臺服務(wù)器提供IP地址。(4) 確認階段,即DHCP服務(wù)器確認所提供的IP地址的階段。 當(dāng)DHCP服務(wù)器接收到客戶端的DHCP請求(Request )之后,會向客戶端發(fā)出一個DHCP確認(Ack)消息,以確認IP租約的正式生效,也就結(jié)束了一個完 整的DHCP工作過程。另外,除DHCP客戶端選中的DHCP服務(wù)器外,其他的DHCP服務(wù)器都將回 收曾提供的IP地址。目前主要的接入認證技術(shù)主要有以下三種以太網(wǎng)上的點對點協(xié)議(Point -to-Point Protocol over Ethernet, PPPoE) , DHCP+Web以及IEEE802. lx。 以下分別對這三種認證方式進行簡單說明 (一 )PPPoE工作過程PPPoE建立過程可以分為Discovery階段和PPP會話階段。 Discovery階段是一個無狀態(tài)的階段,該階段主要是選擇接入服務(wù)器,確 定所要建立的PPP會話標(biāo)識符(Session ID),同時獲得對方點到點的連接信 息;PPP會話階^殳執(zhí)行標(biāo)準的PPP過程PPP^^舌階段主要是鏈i^制協(xié)議(Link Control Protocol, LCP)、認證、網(wǎng)絡(luò)控制協(xié)議(Network Control Protocol, NCP)的協(xié)商過程,LCP階段主要完成建立、配置和檢測數(shù)據(jù)鏈路連接,認證 協(xié)議類型由LCP協(xié)商,NCP是一個協(xié)議族,用于配置不同的網(wǎng)絡(luò)層協(xié)議,常用 的是IP控制協(xié)議(IPCP),它負責(zé)配置用戶的IP和域名服務(wù)器(DNS)等工作。PPPoE協(xié)議是傳統(tǒng)公共交換電話網(wǎng)(PSTN)窄帶撥號接入技術(shù)在以太網(wǎng)接 入技術(shù)的延伸,它和原有窄帶網(wǎng)絡(luò)用戶接入認證體系一致,最終用戶相對比 較容易接受。但是它的缺點也很明顯(1) 在PPPoE認證中,認證系統(tǒng)必須將每個包進行拆解才能判斷和識別 用戶是否合法, 一旦用戶增多或者數(shù)據(jù)包增大,封裝速度必然跟不上,成為 了網(wǎng)絡(luò)瓶頸;(2) PPPoE認證完成后,業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過寬帶接入服務(wù)器(BAS) 設(shè)備,容易造成單點瓶頸和故障,而且該設(shè)備通常非常昂貴;(3) 組播業(yè)務(wù)開展困難,而視頻業(yè)務(wù)大部分是基于組播的;(4) 需要運營商提供客戶終端軟件,維護工作量過大。 (二 ) DHCP+Web工作過程DHCP+Web認證需要與DHCP服務(wù)器和Web服務(wù)器配合使用。用戶首先通過DHCP 得到一個IP地址,這個IP地址的目的是與Web服務(wù)器通信,也可以使用戶只訪
問一些內(nèi)部月良務(wù)器;寬帶遠程接M良務(wù)器(Broadband Remote Access Server, BRAS)將用戶強制連接到Web服務(wù)器上,并在瀏覽器中彈出認證頁面。在該頁 面中,用戶輸入帳號和密碼;BRAS收到用戶的信息,對用戶的合法性進行檢 查,到AAA服務(wù)器對用戶進行認證;認證通過后,用戶可以獲得新的合法的IP 地址,使得用戶可以訪問外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)。這種方式使認證和業(yè)務(wù)流實現(xiàn)了分離,并可以方便地利用Web服務(wù)器推出 增值業(yè)務(wù),對用戶進行業(yè)務(wù)宣傳及業(yè)務(wù)引導(dǎo),DHCP + Web可以實現(xiàn)較多的增值 業(yè)務(wù),同時可以很好的支持組播業(yè)務(wù)。它的缺陷如下(1) Web承載在應(yīng)用層上,對于設(shè)備的要求較高,建網(wǎng)成本高;(2) 用戶連接性差,不容易檢測用戶離線,基于時間的計費較難實現(xiàn);(3) 易用性不夠好,用戶在訪問網(wǎng)絡(luò)前,不管是Telnet、 Ftp還是其它 業(yè)務(wù),必須使用瀏覽器進行Web認證;(4) IP地址的分配在用戶認證前,如果用戶不是上網(wǎng)用戶,則會造成地 址的浪費,而且不便于多ISP (因特網(wǎng)服務(wù)提供商)的支持;(5 ) DHCP+Web目前沒有統(tǒng)一的標(biāo)準。 (三)IEEE802. 1X工作過程802. 1X技術(shù)是基于端口的認證技術(shù),其認證階段采用擴展認證協(xié)議(EAP) 報文,EAP報文是PPP報文的擴展,其認證階段與PPPoE方式類似。其認證過程 為用戶通過802. 1X客戶端軟件采用基于局域網(wǎng)的EAP報文(EAPoL報文)發(fā) 起認證,交換機終結(jié)EAPoL報文并向認證服務(wù)器轉(zhuǎn)發(fā)EAP報文,認證通過后, DHCP服務(wù)器為用戶分配IP地址,用戶受控端口打開,允許用戶正常通信。該 認證方式的缺點是U)需要特定客戶端軟件由于802. 1X目前沒有標(biāo)準的客戶端,不同廠 商客戶端程序不同,維護工作量較大;(2) IP地址分配和網(wǎng)絡(luò)安全問題802. 1X協(xié)議是一個2層協(xié)議,只負責(zé) 完成對用戶端口的認證控制,對于完成端口認證后,用戶進入三層IP網(wǎng)絡(luò)后,
需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問題,因此,單靠以太網(wǎng)交換機+ 802. IX,無法全面解決城域網(wǎng)以太接入的可運營、可管理以及接入安 全性等方面的問題;(3 ) 802. 1X在用戶控制能力方面較弱,只能進行端口/帶寬的控制; 另外,在現(xiàn)有技術(shù)中還提供了 一種通過DHCP協(xié)議實現(xiàn)用戶接入的認證方 法。處理過程如下(如圖2所示)(1) 用戶設(shè)備基于密碼和會話參數(shù)(由用戶設(shè)備產(chǎn)生)生成一個證書。(2) 用戶設(shè)備組建DHCP Di scover消息發(fā)給認證設(shè)備,消息中包含用戶標(biāo) 識符、會話參數(shù)以及步驟(1)中產(chǎn)生的證書。(3) 認證設(shè)備基于接收到的會話參數(shù)和相關(guān)的密碼產(chǎn)生一個驗證證書。(4) 比較接收的證書和驗證證書,如果相同,則認為認證通過。 該技術(shù)是由用戶端自己選擇用于產(chǎn)生證書(credential)的會話參數(shù)的,這種方法無法有效地防止重發(fā)攻擊。攻擊者只要截取用戶端發(fā)出的DHCP Discover 消息,然后重新發(fā)送,就可以通過認證,獲得授權(quán)的地址,順利地接入網(wǎng)絡(luò)。發(fā)明內(nèi)容為了解決現(xiàn)有技術(shù)的缺陷,本發(fā)明的目的之一在于提供一種用戶接入認 證的方法,增強用戶認證的安全性。本發(fā)明的另 一 目的在于通過建立用戶和密鑰之間的綁定關(guān)系,使非法用 戶不能獲得正確的密鑰,因而不能通過認證。為了達到上述目的,本發(fā)明的技術(shù)方案為一種用戶接入認證的方法,包括在接入認證過程中,用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù); 用戶使用上述隨機數(shù)和用戶密碼進行加密運算,并將加密后的結(jié)果傳送 至網(wǎng)絡(luò)側(cè);網(wǎng)絡(luò)側(cè)使用上述隨機數(shù)和存儲的用戶密碼進行相同的加密運算,以對所 述用戶進行認證; 如果認證通過,所述用戶使用動態(tài)主機配置協(xié)議DHCP服務(wù)器分配的IP地 址,4妄入網(wǎng)絡(luò)。用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括 用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶標(biāo)識;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,為用戶分配或從認證服務(wù)器獲 得一個隨機數(shù),并轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)消息至DHCP服務(wù)器,消息中攜帶所述隨機數(shù);DHCP服務(wù)器選擇IP地址,并向用戶發(fā)送DHCP提供消息,消息中攜帶所述 隨機數(shù)和IP地址;或者包括用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶標(biāo)識; 網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,并轉(zhuǎn)發(fā)至DHCP服務(wù)器; DHCP服務(wù)器為用戶分配一個隨機數(shù)并選擇IP地址,并向用戶發(fā)送DHCP提供消息,消息中攜帶所述隨機數(shù)和IP地址。用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶支持的至少一個加密算法及用戶標(biāo)識;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,并發(fā)送攜帶所述至少一個加密 算法的請求至認證服務(wù)器,所述認證服務(wù)器根據(jù)所述至少一個加密算法確定 采用的加密算法,完成加密算法的協(xié)商,并返回協(xié)商結(jié)果至網(wǎng)絡(luò)接入服務(wù)器;網(wǎng)絡(luò)接入服務(wù)器為用戶分配一個隨機數(shù),并轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)消息至DHCP服 務(wù)器,消息中攜帶所述隨機數(shù)和協(xié)商后的加密算法;DHCP服務(wù)器根據(jù)選擇IP地址,并向用戶發(fā)送DHCP提供消息,消息中攜帶 所述隨機數(shù)和協(xié)商后的加密算法。用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括用戶發(fā)送動DHCP發(fā)現(xiàn)消息,消息中攜帶用戶支持的至少一個加密算法和 用戶標(biāo)識; 網(wǎng)絡(luò)接入服務(wù)器向認證服務(wù)器發(fā)送請求消息,消息中攜帶所述的至少一 個加密算法,認證服務(wù)器響應(yīng)所述的請求,根據(jù)所述至少一個加密算法選擇一個加密算法并分配隨機數(shù);網(wǎng)絡(luò)接入服務(wù)器從認證服務(wù)器獲得隨機數(shù)和選擇的加密算法,將DHCP發(fā) 現(xiàn)消息轉(zhuǎn)發(fā)至DHCP服務(wù)器,消息中攜帶所述隨機數(shù)和協(xié)商后的加密算法;DHCP服務(wù)器選擇IP地址,并發(fā)送DHCP提供消息,消息中攜帶所述隨機數(shù) 和協(xié)商后的加密算法。用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶支持的至少一個加密算法和用 戶標(biāo)識;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,并發(fā)送攜帶所述至少一個加密 算法的請求至認證服務(wù)器,認證服務(wù)器響應(yīng)所述的請求,根據(jù)所述至少一個 加密算法選擇一個加密算法;網(wǎng)絡(luò)接入服務(wù)器從認證服務(wù)器獲得選擇的加密算法,將DHCP發(fā)現(xiàn)消息轉(zhuǎn) 發(fā)至DHCP服務(wù)器,消息中攜帶所述的選擇的加密算法;DHCP服務(wù)器為用戶選擇一個隨機數(shù)并選擇IP地址,并向用戶發(fā)送DHCP提 供消息,消息中攜帶所述的隨機數(shù)和加密算法。用戶使用上述隨機數(shù)和用戶密碼進行加密運算,并將加密后的結(jié)果傳送 至網(wǎng)絡(luò)側(cè)的步驟包括用戶利用加密算法,對所述隨機數(shù)和用戶密碼進行加密運算,并發(fā)送DHCP 請求消息,消息中攜帶所述隨機數(shù)和運算結(jié)果;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP請求消息,并發(fā)送認證請求至認證服務(wù)器, 請求中攜帶隨機數(shù)和運算結(jié)果。網(wǎng)絡(luò)側(cè)使用上述隨機數(shù)和存儲的用戶密碼進行相同的加密運算,以對所 述用戶進行認證的步驟包括認證服務(wù)器在數(shù)據(jù)庫中找到用戶的密碼,利用用戶采用的加密算法,對
用戶密碼和認證請求中的隨機數(shù)進行加密運算,將運算的結(jié)果和認證請求中的運算結(jié)果進行比較,以對用戶進行認證;如果認證通過,用戶使用動態(tài)主機配置協(xié)議DHCP服務(wù)器分配的IP地址, 接入網(wǎng)絡(luò)的步驟包括如果認證通過,認證服務(wù)器給網(wǎng)絡(luò)接入服務(wù)器返回認證成功消息,網(wǎng)絡(luò) 接入服務(wù)器將所述DHCP請求消息轉(zhuǎn)發(fā)至DHCP服務(wù)器;DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器給用戶返回DHCP確認消息,用戶接入網(wǎng) 絡(luò)成功。所述的方法還包括用戶通過網(wǎng)絡(luò)獲取密鑰或證書;在用戶重認證或重啟認證時,用戶根據(jù)所述密鑰或證書對用戶密碼進行加密;認證服務(wù)器利用對應(yīng)的密鑰或證書對用戶加密后的密碼進行解密,通過 比較解密后的密碼與認證服務(wù)器中用戶的密碼,對用戶進行認證。 認證服務(wù)器對用戶進行認證的步驟包括用戶向網(wǎng)絡(luò)接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息,該消息攜帶經(jīng)過所述密鑰或 i正書加密后的密石馬;網(wǎng)絡(luò)接入服務(wù)器根據(jù)動態(tài)主機配置協(xié)議發(fā)現(xiàn)消息組建攜帶用戶標(biāo)識和加 密后的密碼的認證請求消息并發(fā)給認證服務(wù)器;認證服務(wù)器利用用戶對應(yīng)的密鑰或證書對所述加密后的密碼進行解密, 同時從數(shù)據(jù)庫中找到用戶的密碼;將解密后的密碼和所述的用戶密碼進行比較,對用戶進行認證。當(dāng)認證通過后,還包括認證服務(wù)器向網(wǎng)絡(luò)接入服務(wù)器返回認證成功消息; 網(wǎng)絡(luò)接入服務(wù)器將DHCP發(fā)現(xiàn)消息轉(zhuǎn)發(fā)給DHCP服務(wù)器; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器給用戶返回DHCP提供消息;
用戶通過網(wǎng)絡(luò)接入服務(wù)器向DHCP服務(wù)器發(fā)送DHCP請求消息; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器向用戶設(shè)備返回DHCP應(yīng)答消息,用戶成 功接入網(wǎng)絡(luò)。一種用戶4矣入iU正的方法,包4舌 用戶獲取密鑰或證書;用戶根據(jù)所述密鑰或證書對用戶密碼進行加密;認證服務(wù)器利用對應(yīng)的密鑰或證書對用戶加密后的密碼進行解密,通過 比較解密后的密碼與認證服務(wù)器中用戶的密碼,對用戶進行認證。 認證服務(wù)器對用戶進行認證的步驟包括用戶向網(wǎng)絡(luò)接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息,該消息攜帶經(jīng)過所述密鑰或 -i正書加密后的密碼;網(wǎng)絡(luò)接入服務(wù)器根據(jù)DHCP發(fā)現(xiàn)消息組建攜帶用戶標(biāo)識和加密后的密碼的 認證請求消息并發(fā)給認證服務(wù)器;認證服務(wù)器利用用戶對應(yīng)的密鑰或證書對所述加密后的密碼進行解密, 同時從數(shù)據(jù)庫中找到用戶的密碼;將解密后的密碼和所述的用戶密碼進行比較,對用戶進行認證。用戶通過網(wǎng)絡(luò)、帶外方式或擴展認證協(xié)議獲取密鑰或證書。當(dāng)認證通過時,還包括認證服務(wù)器向網(wǎng)絡(luò)接入服務(wù)器返回認證成功消息; 網(wǎng)絡(luò)接入服務(wù)器將DHCP發(fā)現(xiàn)消息轉(zhuǎn)發(fā)給DHCP服務(wù)器; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器給用戶返回DHCP提供消息; 用戶通過網(wǎng)絡(luò)接入服務(wù)器向DHCP服務(wù)器發(fā)送DHCP請求消息; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器向用戶設(shè)備返回DHCP應(yīng)答消息,用戶成 功接入網(wǎng)絡(luò)。本發(fā)明可以取得以下有益效果采用網(wǎng)絡(luò)側(cè)分配的隨機數(shù)對用戶密碼進 行加密,使密碼傳遞更為安全;不需要特殊的客戶端軟件,只要支持DHCP協(xié)以后分配IP地址,避免了IP地址的浪費;在網(wǎng)絡(luò)層上實現(xiàn)用 戶認證;認證服務(wù)器端存在用戶和密鑰的綁定關(guān)系,非法用戶不能獲取正確 的密鑰,從而不能通過認證,能有效的防止非法用戶的攻擊。
圖1為現(xiàn)有^t支術(shù)DHCP原理圖; 圖2為現(xiàn)有技術(shù)的會話建立期間進行認證的方法; 圖3為本發(fā)明中用戶接入認證的過程示意圖; 圖4為本發(fā)明的實現(xiàn)強認證的過程示意圖;具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖對本發(fā)明 的具體實施例進行詳細說明。實施例l為了解決在傳送用戶密碼(password)時的安全問題,本發(fā)明的具體實 施例l在用戶請求地址時從網(wǎng)絡(luò)側(cè)獲取隨機數(shù)(如挑戰(zhàn)字Challenge ID), 用戶利用隨機數(shù)(Challenge ID )和用戶密碼進行加密運算,并將加密后的 結(jié)果傳送至網(wǎng)絡(luò)側(cè)的認證服務(wù)器,網(wǎng)絡(luò)側(cè)的認證服務(wù)器也使用上述隨機數(shù)和 存儲的用戶密碼進行相同的加密運算,通過比較用戶和網(wǎng)絡(luò)側(cè)對用戶密碼進 行加密的結(jié)果,來實現(xiàn)對用戶的認證。通過使用網(wǎng)絡(luò)側(cè)為用戶提供的隨機數(shù)來對用戶密碼進行加密運算,在網(wǎng) 絡(luò)側(cè)(如認證服務(wù)器端)也使用同樣的隨機數(shù)對用戶密碼進行加密運算,用網(wǎng)用戶對IP地址占用所造成的資源浪費,并能使密碼傳遞更為安全。在本實施例中,隨機數(shù)可以由網(wǎng)絡(luò)側(cè)的網(wǎng)絡(luò)接入服務(wù)器(MS)、認證服 務(wù)器或DHCP服務(wù)器產(chǎn)生并通itDHCP服務(wù)器提供給用戶。所采用的加密算法可以是 用戶和認證服務(wù)器事先配置好的,即設(shè)置為相同的一種加密算法,如HMAC-MD5算
法,或者由用戶和認證服務(wù)器進行協(xié)商確定。下面對本發(fā)明的用戶接入認證過程進行詳細描述。圖3為本發(fā)明的用戶接入認證時的過程示意圖,該過程對 應(yīng)的是由認證服務(wù)器(本實施例中為AAA (認證、授權(quán)、計費)服務(wù)器)產(chǎn)生 Challenge Id,并在用戶和認證服務(wù)器之間進行加密算法的協(xié)商。在用戶第 一次啟動時,通過DHCP進行三層認證的過程包括(1) 用戶設(shè)備(即DHCP客戶端)提示用戶輸入用戶名和密碼,如可通 過在用戶設(shè)備上彈出窗口或語音等其他方式提示用戶,由用戶輸入用戶名和 密碼。(2) 用戶設(shè)備組建并發(fā)送DHCP Discover消息,消息中攜帶用戶標(biāo)識, 和用戶對加密算法的請求(如可以為用戶支持的加密算法)。所述用戶標(biāo)識 用于唯一地標(biāo)識用戶,可以是用戶名,也可以是MAC地址等。如果不需要和AAA 服務(wù)器協(xié)商加密算法,則所述DHCP Discover消息中就不需要攜帶用戶對加密 算法的請求。用戶所請求的加密算法可以是HMAC—MD5或其他算法(如HMAC-SHA 等算法),也可以是多種加密算法,以由AAA服務(wù)器進行選擇。(3) 網(wǎng)絡(luò)接入服務(wù)器接收到DHCP Discover消息后,首先緩存DHCP Discover消息,然后組建隨機數(shù)請求消息(如Radius消息或Diameter消息), 以向網(wǎng)絡(luò)側(cè)請求隨機數(shù)。該請求消息包含用戶支持的可用于對密碼進行加密 的一個或多個加密算法。網(wǎng)絡(luò)接入服務(wù)器(NAS)發(fā)送Challenge Id請求消息 給AAA服務(wù)器,向AAA服務(wù)器請求一個Challenge Id,并協(xié)商加密算法。(4) AAA服務(wù)器接收到所述Challenge Id請求消息,為用戶分配隨機數(shù) Challenge ID,并在網(wǎng)絡(luò)側(cè)建立隨機數(shù)和用戶的綁定關(guān)系,同時選擇一個用戶 可用的加密算法(如HMAC—MD5),并返回Challenge Id應(yīng)答消息至網(wǎng),入服 務(wù)器,其中包含所分配的隨機數(shù)和協(xié)商后的加密算法(HMAC_MD5)。(5) 網(wǎng)絡(luò)接入服務(wù)器接收到AAA服務(wù)器的Challenge Id應(yīng)答消息,從 Challenge Id應(yīng)答消息中獲取Challenge Id和加密算法,并將該隨機數(shù) Challenge Id和加密算法作為中繼代理信息選項(Relay Agent Information
Option)添加至DHCP Discover中,網(wǎng)^"入服務(wù)器將DHCP Discover發(fā)給DHCP 服務(wù)器。(6) DHCP服務(wù)器接收到DHCP Discover消息后,根據(jù)消息中的用戶標(biāo)識 在地址池中選擇IP地址(在IPv4中,只分配一個IP地址,但是在IPv6中,則 可不僅限于一個IP地址),并從所述DHCP Discover消息的中繼代理信息選項(Relay Agent Information Option)中獲取Challenge Id和力口密算法,然 后發(fā)送DHCP 0ffer消息,該消息包含選擇的IP地址、隨機數(shù)(Chal lenge Id) 和加密算法。(7) DHCP服務(wù)器發(fā)出的DHCP Offer消息由網(wǎng)絡(luò)接入服務(wù)器轉(zhuǎn)發(fā)至DHCP 客戶端(DHCP Client)。(8) 用戶設(shè)備接收到DHCP 0ffer后,從DHCP Offer中獲取Challenge Id 和協(xié)商后的加密算法,并利用該隨機數(shù)和協(xié)商后的加密算法對用戶密碼進行 加密運算,同時組建DHCP Request消息發(fā)給網(wǎng)絡(luò)接入服務(wù)器,消息中攜帶用 戶標(biāo)識、隨機數(shù)和加密后的密碼。(9) 網(wǎng)絡(luò)接入服務(wù)器收到DHCP Request消息后,首先緩存該DHCP Request 消息,從DHCP Request消息中獲取用戶標(biāo)識,Challenge Id和經(jīng)過加密的密 碼,然后根據(jù)DHCP Request消息的內(nèi)容組建AAA認證請求并發(fā)送給AAA服務(wù)器, 該認證請求中攜帶用戶標(biāo)識、隨機數(shù)和加密后的密碼。(10) AAA服務(wù)器接收到認證請求消息后,#4居用戶標(biāo)識在數(shù)據(jù)庫中查找 匹配的條目,在保存于AAA服務(wù)器數(shù)據(jù)庫的條目中包含用戶標(biāo)識(索引)、和 用戶標(biāo)識對應(yīng)的用戶密碼等信息。如果找到匹配的條目,則AAA服務(wù)器使用認 證請求中的隨枳4t和協(xié)商的加密算法對條目中的密碼進行加密計算;如果AAA 服務(wù)器計算得到的加密結(jié)果和認證請求消息中的攜帶的加密后的密碼相同, 則認證通過,否則認證失敗。如果認證成功,AAA服務(wù)器向網(wǎng)絡(luò)接入服務(wù)器NAS 發(fā)送認證成功消息;如果認證失敗,則結(jié)束該流程。(11) 如果網(wǎng)絡(luò)接入服務(wù)器收到所述認證成功消息,則轉(zhuǎn)發(fā)緩存的DHCPRequest消息至DHCP服務(wù)器。(12) DHCP服務(wù)器接收到DHCP Request消息后,確認地址分配和參數(shù)配 置,返回DHCP確認消息(DHCP Ack),表示允許用戶使用分配的地址。(13) 網(wǎng)絡(luò)接入服務(wù)器轉(zhuǎn)發(fā)所述DHCP ACK給用戶設(shè)備。(14) 用戶設(shè)備接收所述的確認消息,表明成功接入網(wǎng)絡(luò)。 在如上流程中,用戶和AAA服務(wù)器之間的加密算法的協(xié)商是一個可選的過程,該加密算法也可以不用協(xié)商,而可以直接由AAA服務(wù)器或用戶一方通知給 另一方(用戶或AAA服務(wù)器),但并不限于此。例如,如果由用戶直接通知AAA服務(wù)器采用的加密算法,則在步驟(2)-步驟(7 )中不攜帶用戶支持的加密算法或協(xié)商后的加密算法,而可在步驟(8 ) 中利用隨機數(shù)和用戶預(yù)配置的加密算法對用戶密碼進行加密,并通過組建的 DHCP Request消息將用戶采用的加密算法通知給AAA服務(wù)器。另外,本發(fā)明中,隨機數(shù)(Challenge Id )既可以由AAA服務(wù)器產(chǎn)生,也 可以由網(wǎng)絡(luò)接入服務(wù)器或DHCP服務(wù)器產(chǎn)生。如果由網(wǎng)絡(luò)接入服務(wù)器NAS產(chǎn)生,則步驟(3)和(4)可僅用于加密算法 的協(xié)商,而不必向AAA服務(wù)器請求隨機數(shù)(Challenge Id)。而在步驟(5 ) 中由NAS為用戶分配隨機數(shù),在網(wǎng)絡(luò)側(cè)建立隨機數(shù)和用戶的綁定關(guān)系,并在DHCP Discover消息中攜帶所述隨機數(shù)至DHCP服務(wù)器。如果用戶和AAA服務(wù)器間也 不需要進行加密算法的協(xié)商時,則步驟(3)和(4)可直接省略。如果由DHCP服務(wù)器產(chǎn)生隨機數(shù),在協(xié)商加密算法的情況下,則步驟(6) 中DHCP Offer攜帶的消息中的隨機數(shù)可為由DHCP服務(wù)器分配產(chǎn)生的隨機數(shù), 而在該步驟的前序步驟中并沒有隨機數(shù)的產(chǎn)生與攜帶。如果用戶和AAA服務(wù)器 間不需要進行加密算法的協(xié)商,則步驟(3)和(4)可直接省略。有其它的形式。通過如上的用戶接入認證過程,解決了在傳送密碼(Password)時的安
全問題,用戶只有根據(jù)DHCP服務(wù)器返回的和用戶綁定的隨機數(shù)并利用加密算 法對密碼進行加密后才能通過認證服務(wù)器的認證,只有認證通過,用戶才可 以真正的分配到IP地址。因此,即使攻擊者截取了用戶端發(fā)出的DHCP Discover 消息,但由于Challenge Id是由網(wǎng)絡(luò)側(cè)分配的,攻擊者無法通過Challenge Id和用戶的綁定檢查,所以,可以比較有效的防止重發(fā)攻擊。 另外,本發(fā)明還可以包括如下步驟(可選)(15)用戶通過網(wǎng)絡(luò)(如Web、 Ftp或其他方式)從網(wǎng)絡(luò)側(cè)獲取密鑰(包 括共享密鑰或其它密鑰)或證書,并在網(wǎng)絡(luò)側(cè)建立所述密鑰(或證書)與用 戶的綁定關(guān)系,這樣在DHCP用戶重啟(例如關(guān)^L重啟)后,用戶就可通過DHCP 進行三層認證流程。由于使用加密算法(如HMAC-MD5算法,但并不限于此)加密進行認證是 一種弱認證方法,那么,用戶可以在成功接入網(wǎng)絡(luò)之后,通過Web(或者Ftp 等其他的方式)獲取證書(或者密鑰),則用戶在重認證或者下次重啟認證 時,就可以采用與用戶綁定的證書(或者密鑰)對用戶密碼進行加密,實現(xiàn) 強認證。用戶也可直接在第一次啟動之前通過配置(或其他帶外方式)或擴展認 證協(xié)議E AP等方式從網(wǎng)絡(luò)側(cè)獲取證書或密鑰來實現(xiàn)強認證。本發(fā)明的利用證書或密鑰通過DHCP進行強認證的過程在具體實施例2中 進行了說明。實施例2如圖4所示,用戶通過DHCP進行三層認證的過程包括1) 用戶設(shè)備(即DHCP客戶端)通過用戶輸入的方式獲取用戶的用戶名 和密碼,如可以通過在用戶設(shè)備上彈出窗口,提示用戶輸入用戶名和密碼, 當(dāng)然也可采用其它可替代方式。2) 用戶設(shè)備廣播發(fā)送DHCP Discover消息,消息中攜帶用戶標(biāo)識和經(jīng)過
密鑰(或證書)加密后的密碼。該密鑰(或證書)可以是用戶成功接入網(wǎng)絡(luò)后通過網(wǎng)絡(luò)(Web、 Ftp等) 獲取,或者可直接在第一次啟動之前通過配置(或其他帶外方式)或擴展認 證協(xié)議EAP等方式從網(wǎng)絡(luò)側(cè)獲取,網(wǎng)絡(luò)側(cè)在為用戶分配密鑰(或證書的)同時 建立密鑰(或證書)與用戶的綁定關(guān)系。3) 網(wǎng)絡(luò)4妾AJ良務(wù)器4t^DHCP Discover消息后緩存該消息,/ADHCP Discover 中獲取用戶標(biāo)識和經(jīng)過加密的密碼(Password),并于組建攜帶用戶標(biāo)識和 經(jīng)過加密的密碼后發(fā)送AAA認證請求消息至認證服務(wù)器(本實施例中為AAA服務(wù)器)。4) AAA服務(wù)器接收所述的認證請求消息,從認證請求消息中提取用戶標(biāo) 識和經(jīng)過加密的密碼,然后4艮據(jù)AAA服務(wù)器中用戶對應(yīng)的密鑰對加密后的密碼 進行解密,同時在數(shù)據(jù)庫中查找用戶的密碼,判斷解密后的密碼和找到的密 碼是否相同,如果相同則認證成功,不同則認證失敗。5) 如果認證成功,網(wǎng)絡(luò)接入服務(wù)器轉(zhuǎn)發(fā)緩存的DHCP Discover消息給DHCP 服務(wù)器,如果認證失敗,該流程結(jié)束。6) DHCP服務(wù)器接收處理DHCP Discover消息,返回DHCP 0ffer消息。7) 網(wǎng)絡(luò)接入服務(wù)器NAS轉(zhuǎn)發(fā)所述DHCP Offer消息至DHCP客戶端。8) 用戶設(shè)備接收處理DHCP 0ffer消息,返回DHCP Request消息。9) 網(wǎng)絡(luò)接入服務(wù)器(MS)轉(zhuǎn)發(fā)DHCP Request消息給DHCP服務(wù)器。10) DHCP服務(wù)器接收處理DHCPRequest消息,返回DHCP確認(DHCP Ack ) 消息,表示允許用戶使用分配的地址。11) NAS轉(zhuǎn)發(fā)DHCP Ack消息給DHCP客戶端。12) 用戶設(shè)備接收所述的確認消息,表示用戶成功接入網(wǎng)絡(luò)。本實施例可以使用戶直接使用密鑰或證書對密碼進行加密,然后在AAA服 務(wù)器端找到對應(yīng)的密鑰或證書對用戶加密后的密碼進行解密,通過判斷解密 后的密碼和用戶密碼是否相同來實現(xiàn)對用戶的認證。該密鑰或證書的獲得可
以是在用戶成功接入網(wǎng)絡(luò)后用戶通過網(wǎng)絡(luò)獲取,也可以不需要先進行第一次認證而是通過配置方式(或者其他的帶外方式)或EAP方式獲取。該方法由于 在AAA服務(wù)器端采用和用戶對應(yīng)的密鑰或證書(即AAA服務(wù)器的密鑰或證書) 對用戶密碼進行解密來實現(xiàn)對用戶的認證,因此能夠有效的防止非法用戶的 攻擊。如上各實施例中的用戶認證過程不僅適用于DHCPv4認證,同樣適用于DHCPv6認證。通過如上所述,本發(fā)明可以達到如下效果本發(fā)明采用網(wǎng)絡(luò)側(cè)分配的隨 機數(shù)對用戶密碼進行加密,使密碼傳遞更為安全;不需要特殊的客戶端軟件, 只要支持DHCP協(xié)議就可以;認證以后分配IP地址,避免了IP地址的浪費;在 網(wǎng)絡(luò)層上實現(xiàn)用戶認證;認證服務(wù)器端存在用戶和密鑰(或證書)的綁定關(guān) 系,非法用戶不能獲取正確的密鑰(或證書),從而不能通過認證,能有效 的防止非法用戶的攻擊。以上具體實施方式
僅用于說明本發(fā)明,而非用于限定本發(fā)明。凡在本發(fā) 明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應(yīng)包含在本 發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種用戶接入認證的方法,其特征在于,包括在接入認證過程中,用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù);用戶使用上述隨機數(shù)和用戶密碼進行加密運算,并將加密后的結(jié)果傳送至網(wǎng)絡(luò)側(cè);網(wǎng)絡(luò)側(cè)使用上述隨機數(shù)和存儲的用戶密碼進行相同的加密運算,以對所述用戶進行認證;如果認證通過,用戶使用動態(tài)主機配置協(xié)議DHCP服務(wù)器分配的IP地址,接入網(wǎng)絡(luò)。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨才幾數(shù)的步驟包括 用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶標(biāo)識;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,為用戶分配或從認證服務(wù)器獲 得一個隨機數(shù),并轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)消息至DHCP服務(wù)器,消息中攜帶所述隨機數(shù);DHCP服務(wù)器選擇IP地址,并向用戶發(fā)送DHCP提供消息,消息中攜帶所述 隨機數(shù)和IP地址;或者包括用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶標(biāo)識; 網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,并轉(zhuǎn)發(fā)至DHCP服務(wù)器; DHCP服務(wù)器為用戶分配一個隨機數(shù)并選擇IP地址,并向用戶發(fā)送DHCP提供 消息,消息中攜帶所述隨機數(shù)和IP地址。
3. 根據(jù)權(quán)利要求l所述的方法,其特征在于用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括 用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶支持的至少一個加密算法及用 戶標(biāo)識; 網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,并發(fā)送攜帶所述至少一個加密 算法的請求至認證服務(wù)器,所述認證服務(wù)器根據(jù)所述至少一個加密算法確定采用的加密算法,完成加密算法的協(xié)商,并返回協(xié)商結(jié)果至網(wǎng)絡(luò)接入服務(wù)器;網(wǎng)絡(luò)接入服務(wù)器為用戶分配一個隨機數(shù),并轉(zhuǎn)發(fā)DHCP發(fā)現(xiàn)消息至DHCP服 務(wù)器,消息中攜帶所述隨機數(shù)和協(xié)商后的加密算法;DHCP服務(wù)器根據(jù)選擇IP地址,并向用戶發(fā)送DHCP提供消息,消息中攜帶 所述隨機數(shù)和協(xié)商后的加密算法。
4. 根據(jù)權(quán)利要求l所述的方法,其特征在于用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括 用戶發(fā)送動DHCP發(fā)現(xiàn)消息,消息中攜帶用戶支持的至少一個加密算法和 用戶標(biāo)識;網(wǎng)絡(luò)接入服務(wù)器向認證服務(wù)器發(fā)送請求消息,消息中攜帶所述的至少一 個加密算法,認證服務(wù)器響應(yīng)所述的請求,根據(jù)所述至少一個加密算法選擇 一個加密算法并分配隨才幾數(shù);網(wǎng)絡(luò)接入服務(wù)器從認證服務(wù)器獲得隨機數(shù)和選擇的加密算法,將DHCP發(fā) 現(xiàn)消息轉(zhuǎn)發(fā)至DHCP服務(wù)器,消息中攜帶所述隨機數(shù)和協(xié)商后的加密算法;DHCP服務(wù)器選擇IP地址,并發(fā)送DHCP提供消息,消息中攜帶所述隨機數(shù) 和協(xié)商后的加密算法。
5. 根據(jù)權(quán)利要求1所述的方法,其特征在于用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù)的步驟包括 用戶發(fā)送DHCP發(fā)現(xiàn)消息,消息中攜帶用戶支持的至少一個加密算法和用 戶標(biāo)識;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP發(fā)現(xiàn)消息,并發(fā)送攜帶所述至少 一個加密 算法的請求至認證服務(wù)器,認證服務(wù)器響應(yīng)所述的請求,根據(jù)所述至少一個 加密算法選擇一個加密算法;網(wǎng)絡(luò)接入服務(wù)器從認證服務(wù)器獲得選擇的加密算法,將DHCP發(fā)現(xiàn)消息轉(zhuǎn) 發(fā)至DHCP服務(wù)器,消息中攜帶所述的選擇的加密算法;DHCP服務(wù)器為用戶選擇一個隨機數(shù)并選擇IP地址,并向用戶發(fā)送DHCP提 供消息,消息中攜帶所述的隨機數(shù)和加密算法。
6. 根據(jù)權(quán)利要求l-5中任意一項所述的方法,其特征在于 用戶使用上述隨機數(shù)和用戶密碼進行加密運算,并將加密后的結(jié)果傳送至網(wǎng)絡(luò)側(cè)的步驟包括用戶利用加密算法,對所述隨才幾數(shù)和用戶密碼進行加密運算,并發(fā)送DHCP 請求消息,消息中攜帶所述隨機數(shù)和運算結(jié)果;網(wǎng)絡(luò)接入服務(wù)器接收所述DHCP請求消息,并發(fā)送認證請求至認證服務(wù)器, 請求中攜帶隨機數(shù)和運算結(jié)果。
7. 根據(jù)權(quán)利要求1-5中任意一項所述的方法,其特征在于 網(wǎng)絡(luò)側(cè)使用上述隨機數(shù)和存儲的用戶密碼進行相同的加密運算,以對所述用戶進行認證的步驟包括認證服務(wù)器在數(shù)據(jù)庫中找到用戶的密碼,利用用戶采用的加密算法,對 用戶密碼和認證請求中的隨機數(shù)進行加密運算,將運算的結(jié)果和認證請求中 的運算結(jié)果進行比較,以對用戶進行認證;如果認證通過,用戶使用動態(tài)主機配置協(xié)議DHCP服務(wù)器分配的IP地址, 接入網(wǎng)絡(luò)的步驟包括如果認證通過,認證服務(wù)器給網(wǎng)絡(luò)接入服務(wù)器返回認證成功消息,網(wǎng)絡(luò) 接入服務(wù)器將所述DHCP請求消息轉(zhuǎn)發(fā)至DHCP服務(wù)器;DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器向用戶返回DHCP確認消息,用戶接入網(wǎng) 絡(luò)成功。
8. 根據(jù)權(quán)利要求l-5中的任一項所述的方法,其特征在于,還包括 用戶通過網(wǎng)絡(luò)獲取密鑰或證書;在用戶重認證或重啟認證時,用戶根據(jù)所述密鑰或證書對用戶密碼進行 加密;認證服務(wù)器利用對應(yīng)的密鑰或證書對用戶加密后的密碼進行解密,通過 比較解密后的密碼與認證服務(wù)器中用戶的密碼,對用戶進行認證。
9. 根據(jù)權(quán)利要求8所述的方法,其特征在于,認證服務(wù)器對用戶進行認證 的步驟包括用戶向網(wǎng)絡(luò)接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息,該消息攜帶經(jīng)過所述密鑰或 證書加密后的密碼;網(wǎng)絡(luò)接入服務(wù)器根據(jù)動態(tài)主機配置協(xié)議發(fā)現(xiàn)消息組建攜帶用戶標(biāo)識和加 密后的密碼的認證請求消息并發(fā)給認證服務(wù)器;認證服務(wù)器利用用戶對應(yīng)的密鑰或證書對所述加密后的密碼進行解密, 同時從數(shù)據(jù)庫中找到用戶的密碼;將解密后的密碼和所述用戶的密碼進行比較,對用戶進行認證。
10. 根據(jù)權(quán)利要求9所述的方法,其特征在于,當(dāng)認證通過后,還包括 認證服務(wù)器向網(wǎng)絡(luò)接入服務(wù)器返回認證成功消息; 網(wǎng)絡(luò)接入服務(wù)器將DHCP發(fā)現(xiàn)消息轉(zhuǎn)發(fā)給DHCP服務(wù)器; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器給用戶返回DHCP提供消息;用戶通過網(wǎng)絡(luò)接入服務(wù)器向DHCP服務(wù)器發(fā)送DHCP請求消息; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器向用戶設(shè)備返回DHCP應(yīng)答消息,用戶成 功接入網(wǎng)絡(luò)。
11. 一種用戶接入認證的方法,其特征在于,包括 用戶獲取密鑰或證書;用戶根據(jù)所述密鑰或證書對用戶密碼進行加密;認證服務(wù)器利用對應(yīng)的密鑰或證書對用戶加密后的密碼進行解密,通過 比較解密后的密碼與認證服務(wù)器中用戶的密碼,對用戶進行認證。
12. 根據(jù)權(quán)利要求ll所述的方法,其特征在于,認證服務(wù)器對用戶進行 認證的步驟包括用戶向網(wǎng)絡(luò)接入服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息,該消息攜帶經(jīng)過所述密鑰或 證書加密后的密碼;網(wǎng)絡(luò)接入服務(wù)器根據(jù)DHCP發(fā)現(xiàn)消息組建攜帶用戶標(biāo)識和加密后的密碼的 認證請求消息并發(fā)給認證服務(wù)器;認證服務(wù)器利用用戶對應(yīng)的密鑰或證書對所述加密后的密碼進行解密, 同時從數(shù)據(jù)庫中找到用戶的密碼;將解密后的密碼和所述用戶的密碼進行比較,對用戶進行認證。
13. 根據(jù)權(quán)利要求ll所述的方法,其特征在于用戶通過網(wǎng)絡(luò)、帶外方式或擴展認證協(xié)議獲取密鑰或證書。
14, 根據(jù)權(quán)利要求ll所述的方法,其特征在于 當(dāng)認證通過時,還包括認證服務(wù)器向網(wǎng)絡(luò)接入服務(wù)器返回認證成功消息; 網(wǎng)絡(luò)接入服務(wù)器將DHCP發(fā)現(xiàn)消息轉(zhuǎn)發(fā)給DHCP服務(wù)器; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器給用戶返回DHCP提供消息; 用戶通過網(wǎng)絡(luò)接入服務(wù)器向DHCP服務(wù)器發(fā)送DHCP請求消息; DHCP服務(wù)器通過網(wǎng)絡(luò)接入服務(wù)器向用戶設(shè)備返回DHCP應(yīng)答消息,用戶成 功接入網(wǎng)絡(luò)。
全文摘要
本發(fā)明為一種用戶接入認證的方法,包括在接入認證過程中,用戶向網(wǎng)絡(luò)側(cè)發(fā)起請求,網(wǎng)絡(luò)側(cè)為用戶下發(fā)隨機數(shù);用戶利用所述隨機數(shù)和用戶密碼進行加密運算,并將加密后的結(jié)果傳送至網(wǎng)絡(luò)側(cè);網(wǎng)絡(luò)側(cè)使用上述隨機數(shù)和存儲的用戶密碼進行相同的加密運算,以對所述用戶進行認證;如果認證通過,所述用戶使用DHCP服務(wù)器分配的IP地址,接入網(wǎng)絡(luò)。本發(fā)明使密碼傳遞更為安全,避免了IP地址的浪費,并且能有效的防止非法用戶的攻擊。
文檔編號H04L9/32GK101127600SQ20061011544
公開日2008年2月20日 申請日期2006年8月14日 優(yōu)先權(quán)日2006年8月14日
發(fā)明者管紅光 申請人:華為技術(shù)有限公司