亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

局域網(wǎng)dhcp環(huán)境下的用戶認(rèn)證方法

文檔序號:7800105閱讀:2653來源:國知局
局域網(wǎng)dhcp環(huán)境下的用戶認(rèn)證方法
【專利摘要】本發(fā)明公開了一種局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法,通過四元組來識別用戶身份,四元組包括用戶名、密碼、組和session-id。本發(fā)明在用戶認(rèn)證與認(rèn)證服務(wù)器進(jìn)行通信時采用挑戰(zhàn)-應(yīng)答機(jī)制,認(rèn)證時采用用戶名、密碼和動態(tài)隨機(jī)值聯(lián)合進(jìn)行認(rèn)證的方式,保證了用戶每次認(rèn)證時使用的認(rèn)證報文不同,這樣可以防止非法用戶竊取了用戶的用戶名和密碼后通過認(rèn)證。本發(fā)明實(shí)現(xiàn)了用戶的安全上網(wǎng)認(rèn)證,同時認(rèn)證過程中不需要傳送密碼,保護(hù)了用戶的隱私,節(jié)約了用戶的建網(wǎng)成本。對于用戶來說,仍舊只需要記住用戶名和密碼即可,而不用關(guān)心組和session-id,因此在用戶體驗(yàn)上與傳統(tǒng)的認(rèn)證方式?jīng)]有任何區(qū)別。
【專利說明】局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法。
【背景技術(shù)】
[0002]美國的“棱鏡計劃”被曝光之后,網(wǎng)絡(luò)安全的問題更加成為了國家政府企業(yè)關(guān)注的焦點(diǎn),同時隨著互聯(lián)網(wǎng)和智能終端的發(fā)展人們也越來越依賴于互聯(lián)網(wǎng)了。因此加強(qiáng)其上網(wǎng)時的安全性越來越受到人們的重視。身份認(rèn)證是網(wǎng)絡(luò)安全的第一道閘門。因?yàn)樵L問權(quán)限的控制、信息的加密等網(wǎng)絡(luò)安全方面的技術(shù),都是以安全認(rèn)證為基礎(chǔ)和前提的。
[0003]在互聯(lián)網(wǎng)剛剛興起的時候,人們上網(wǎng)大都是通過公共交換電話網(wǎng)(PublicSwitched Telephone Network, PSTN)撥號上網(wǎng)的形式,也就是在電話線上連接一個Modem,然后這個Modem在和電腦等上網(wǎng)設(shè)備相連,用戶需要上網(wǎng)時只要輸入用戶信息進(jìn)行認(rèn)證即可,在認(rèn)證過程中使用的是點(diǎn)對點(diǎn)的PPP協(xié)議。這種技術(shù)拓展性很差,很難適應(yīng)小型企業(yè)局域網(wǎng)環(huán)境,無法同時解決既要多臺上網(wǎng)設(shè)備連接一臺接入設(shè)備,又要對各個用戶分別計費(fèi)和控制的要求。在1998年后期由客戶端軟件公司RouterWare、Redback公司、Worldcom的子公司UUNET Technologies在IETFRFC的基礎(chǔ)上共同開放了以太網(wǎng)上的點(diǎn)對點(diǎn)協(xié)議(Point-to-Point Protocol over Ethernet, PPPOE),解決了這一問題。PPPOE 的提出滿足了局域網(wǎng)用戶上網(wǎng)的需求,同時還能夠?qū)τ脩暨M(jìn)行認(rèn)證和計費(fèi)等,并且網(wǎng)速也大大提高了。
[0004]目前,對于企業(yè)、學(xué)校這些擁有計算機(jī)數(shù)量較多的局域網(wǎng)環(huán)境,網(wǎng)絡(luò)管理員為了在網(wǎng)絡(luò)組網(wǎng)和配置上的方便,常常會采用動態(tài)主機(jī)配置協(xié)議(Dynamic Host ConfigurationProtocol,DHCP)服務(wù),為局域網(wǎng)中的每一臺計算機(jī)動態(tài)的分配IP地址、子網(wǎng)掩碼、默認(rèn)的網(wǎng)關(guān)地址以及DNS服務(wù)器的地址等。用戶在獲得了 IP地址、DNS服務(wù)器地址、默認(rèn)網(wǎng)關(guān)地址等信息之后,再通過身份認(rèn)證即可訪問互聯(lián)網(wǎng)。針對局域網(wǎng)DHCP系統(tǒng)下的認(rèn)證技術(shù)有IP/MAC綁定、web認(rèn)證、VLAN綁定和801.1x認(rèn)證等。這些認(rèn)證技術(shù)各有特點(diǎn),但也有不足。最近,思科、華為等設(shè)備商又對DHCP協(xié)議進(jìn)行了擴(kuò)展,提出了 DHCP+的接入認(rèn)證技術(shù),即通過用戶獲得IP地址的同時進(jìn)行用戶身份的認(rèn)證,DHCP+目前還處于發(fā)展階段,沒有統(tǒng)一的標(biāo)準(zhǔn),各個公司根據(jù)實(shí)際的需求對DHCP協(xié)議中使用Option字段實(shí)現(xiàn)不同用戶的不同需求。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的目的是針對目前局域網(wǎng)DHCP系統(tǒng)認(rèn)證方案中存在的安全漏洞,提供一種局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法,實(shí)現(xiàn)用戶的安全上網(wǎng)認(rèn)證,保護(hù)用戶的隱私,節(jié)約用戶的建網(wǎng)成本。
[0006]為了解決上述技術(shù)問題,本發(fā)明所提供的技術(shù)方案是:局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法,通過四元組來識別用戶身份;所述四元組包括用戶名、密碼、組和session-1d;具體包括以下步驟:
[0007]①、認(rèn)證用戶通過局域網(wǎng)內(nèi)的DHCP服務(wù)器獲得動態(tài)的IP地址;
[0008]②、用戶打開認(rèn)證客戶端,此時認(rèn)證客戶端會向認(rèn)證服務(wù)器發(fā)送一個hello報文,表示“我要進(jìn)行認(rèn)證”;
[0009]③、認(rèn)證服務(wù)器收到這個hello報文后將隨機(jī)生成一個128位的隨機(jī)數(shù)發(fā)送給用戶;
[0010]④、用戶在客戶端輸入用戶名和密碼,客戶端根據(jù)接收到的隨機(jī)數(shù)和用戶密碼、上一次IP和session-1d進(jìn)行計算得出MD5 (消息摘要算法第五版,Message-DigestAlgorithm5)值,如果是首次認(rèn)證用戶,上一次IP和session-1d分別被默認(rèn)為0.0.0.0和O ;然后將用戶名、MD5值和上一次IP地址發(fā)送到認(rèn)證服務(wù)器;
[0011]⑤、認(rèn)證服務(wù)器首先提取用戶發(fā)來的上一次IP信息,通過上一次IP計算出用戶所屬的組,然后從組里面查找是否有該用戶名;如果沒有發(fā)現(xiàn)該用戶名,則直接認(rèn)證失敗;如果有,則從服務(wù)器端數(shù)據(jù)庫中提取該用戶的密碼和session-1d,并與之前生成的發(fā)到認(rèn)證用戶的隨機(jī)數(shù)計算出MD5值并與用戶發(fā)來的MD5值比較,相同就認(rèn)證通過,不同就認(rèn)證失?。?br> [0012]⑥、如果認(rèn)證成功,認(rèn)證服務(wù)器會生成一個表示認(rèn)證成功的session-1d,同時認(rèn)證服務(wù)器會將用戶目前的IP和新生成的session-1d存入數(shù)據(jù)庫替換掉之前的IP和session-1d,然后將包含session-1d的認(rèn)證成功的報文發(fā)給用戶客戶端;
[0013]⑦、用戶接收到認(rèn)證成功報文后,更新配置文件,將目前用戶的IP地址、session-1d 一同存入配置文件;
[0014]⑧如果客戶端收到認(rèn)證失敗報文,就會提示用戶認(rèn)證失敗,需要用戶重新進(jìn)行認(rèn)證,認(rèn)證的次數(shù)超過三次就會退出認(rèn)證。
[0015]采用了上述技術(shù)方案后,本發(fā)明具有以下的有益效果:(1)本發(fā)明能夠抗重放攻擊??怪胤殴粲直环Q作重播攻擊、新鮮性攻擊或回放攻擊。因?yàn)檎J(rèn)證采用挑戰(zhàn)-應(yīng)答機(jī)制,每次認(rèn)證都會有不同的隨機(jī)數(shù)和session-1d共同作為動態(tài)因子,這就保證了每次認(rèn)證報文都不會相同,攻擊者即使截獲并重放了認(rèn)證報文也無法通過后續(xù)認(rèn)證;同時根據(jù)用戶組的動態(tài)屬性,每次用戶都有可能處于不同的組,所以攻擊者發(fā)來的認(rèn)證報文所處的組也無法與原用戶所處的組對應(yīng)起來,同樣會導(dǎo)致攻擊失敗。
[0016](2)本發(fā)明能夠抗偽造攻擊。因?yàn)閰⑴c認(rèn)證的認(rèn)證報文是由MD5 (IP+用戶密碼+隨機(jī)數(shù)+session-1d)生成,且用戶密碼不會通過網(wǎng)絡(luò)傳輸,因而攻擊者無法利用截獲的信息推算出其他信息,并且認(rèn)證報文每次都不會相同,從而避免了偽造攻擊。
[0017](3)本發(fā)明能夠抗口令猜測攻擊。攻擊者通過猜測用戶的用戶名和密碼,企圖猜測正確后達(dá)到認(rèn)證通過的目的。雖然對用戶呈現(xiàn)出來的是輸入用戶名和密碼正確即可通過認(rèn)證,但是本發(fā)明在內(nèi)部算法中添加了組和session-1d這些動態(tài)因子,所以即便攻擊者猜測對用戶名和密碼也仍然無法通過認(rèn)證。
[0018](4)本發(fā)明具有不可否認(rèn)性。用戶登錄成功,則表明此用戶已認(rèn)證,因?yàn)檎J(rèn)證采用MD5算法具有唯一性,從而用戶不可否認(rèn)其行為。
[0019](5)本發(fā)明具有挑戰(zhàn)-應(yīng)答機(jī)制。避免了在網(wǎng)絡(luò)上傳輸密碼這些敏感信息。
【專利附圖】

【附圖說明】
[0020]為了使本發(fā)明的內(nèi)容更容易被清楚地理解,下面根據(jù)具體實(shí)施例并結(jié)合附圖,對本發(fā)明作進(jìn)一步詳細(xì)的說明,其中[0021]圖1為本發(fā)明的流程圖。
【具體實(shí)施方式】
[0022](實(shí)施例1)
[0023]見圖1,本實(shí)施例的局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法,通過四元組來識別用戶身份;所述四元組包括用戶名、密碼、組和session-1d ;具體包括以下步驟:
[0024]①、認(rèn)證用戶通過局域網(wǎng)內(nèi)的DHCP服務(wù)器獲得動態(tài)的IP地址;
[0025]②、用戶打開認(rèn)證客戶端,此時認(rèn)證客戶端會向認(rèn)證服務(wù)器發(fā)送一個hello報文,表示“我要進(jìn)行認(rèn)證”;
[0026]③、認(rèn)證服務(wù)器收到這個hello報文后將隨機(jī)生成一個128位的隨機(jī)數(shù)發(fā)送給用戶;
[0027]④、用戶在客戶端輸入用戶名和密碼,客戶端根據(jù)接收到的隨機(jī)數(shù)和用戶密碼、上一次IP和session-1d進(jìn)行計算得出MD5 (消息摘要算法第五版,Message-DigestAlgorithm5)值,如果是首次認(rèn)證用戶,上一次IP和session-1d分別被默認(rèn)為0.0.0.0和O ;然后將用戶名、MD5值和上一次IP地址發(fā)送到認(rèn)證服務(wù)器;
[0028]⑤、認(rèn)證服務(wù)器首先提取用戶發(fā)來的上一次IP信息,通過上一次IP計算出用戶所屬的組,然后從組里面查找是否有該用戶名;如果沒有發(fā)現(xiàn)該用戶名,則直接認(rèn)證失??;如果有,則從服務(wù)器端數(shù)據(jù)庫中提取該用戶的密碼和session-1d,并與之前生成的發(fā)到認(rèn)證用戶的隨機(jī)數(shù)計算出MD5值并與用戶發(fā)來的MD5值比較,相同就認(rèn)證通過,不同就認(rèn)證失敗;
[0029]⑥、如果認(rèn)證成功,認(rèn)證服務(wù)器會生成一個表示認(rèn)證成功的session-1d,同時認(rèn)證服務(wù)器會將用戶目前的IP和新生成的session-1d存入數(shù)據(jù)庫替換掉之前的IP和session-1d,然后將包含session-1d的認(rèn)證成功的報文發(fā)給用戶客戶端;
[0030]⑦、用戶接收到認(rèn)證成功報文后,更新配置文件,將目前用戶的IP地址、session-1d 一同存入配置文件;
[0031]⑧如果客戶端收到認(rèn)證失敗報文,就會提示用戶認(rèn)證失敗,需要用戶重新進(jìn)行認(rèn)證,認(rèn)證的次數(shù)超過三次就會退出認(rèn)證。
[0032]用戶名:用戶認(rèn)證時的帳號。
[0033]密碼:用戶自己設(shè)置的密碼。
[0034]組:局域網(wǎng)用戶每次通過DHCP獲得的IP地址都是動態(tài)的,把這個動態(tài)的IP映射為動態(tài)的組,這樣用戶每次有可能屬于不同的組。
[0035]session-1d:每次認(rèn)證成功,認(rèn)證服務(wù)器和用戶都會同時保留的一個相同的隨機(jī)值。
[0036]本發(fā)明實(shí)現(xiàn)了用戶的安全上網(wǎng)認(rèn)證,同時認(rèn)證過程中不需要傳送密碼,保護(hù)了用戶的隱私,節(jié)約了用戶的建網(wǎng)成本。對于用戶來說,仍舊只需要記住用戶名和密碼即可,而不用關(guān)心組和session-1d,因此在用戶體驗(yàn)上與傳統(tǒng)的認(rèn)證方式?jīng)]有任何區(qū)別。
[0037]以上所述的具體實(shí)施例,對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實(shí)施例而已,并不用于限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.局域網(wǎng)DHCP環(huán)境下的用戶認(rèn)證方法,其特征在于:通過四元組來識別用戶身份;所述四元組包括用戶名、密碼、組和session-1d ;具體包括以下步驟: ①、認(rèn)證用戶通過局域網(wǎng)內(nèi)的DHCP服務(wù)器獲得動態(tài)的IP地址; ②、用戶打開認(rèn)證客戶端,此時認(rèn)證客戶端會向認(rèn)證服務(wù)器發(fā)送一個hello報文,表示“我要進(jìn)行認(rèn)證”; ③、認(rèn)證服務(wù)器收到這個hello報文后將隨機(jī)生成一個128位的隨機(jī)數(shù)發(fā)送給用戶; ④、用戶在客戶端輸入用戶名和密碼,客戶端根據(jù)接收到的隨機(jī)數(shù)和用戶密碼、上一次IP和session-1d進(jìn)行計算得出MD5值,如果是首次認(rèn)證用戶,上一次IP和session-1d分別被默認(rèn)為0.0.0.0和O ;然后將用戶名、MD5值和上一次IP地址發(fā)送到認(rèn)證服務(wù)器; ⑤、認(rèn)證服務(wù)器首先提取用戶發(fā)來的上一次IP信息,通過上一次IP計算出用戶所屬的組,然后從組里面查找是否有該用戶名;如果沒有發(fā)現(xiàn)該用戶名,則直接認(rèn)證失敗;如果有,則從服務(wù)器端數(shù)據(jù)庫中提取該用戶的密碼和session-1d,并與之前生成的發(fā)到認(rèn)證用戶的隨機(jī)數(shù)計算出MD5值并與用戶發(fā)來的MD5值比較,相同就認(rèn)證通過,不同就認(rèn)證失敗; ⑥、如果認(rèn)證成功,認(rèn)證服務(wù)器會生成一個表示認(rèn)證成功的session-1d,同時認(rèn)證服務(wù)器會將用戶目前的IP和新生成的session-1d存入數(shù)據(jù)庫替換掉之前的IP和session-1d,然后將包含session-1d的認(rèn)證成功的報文發(fā)給用戶客戶端; ⑦、用戶接收到認(rèn)證成功報文后,更新配置文件,將目前用戶的IP地址、session-1d—同存入配置文件; ⑧如果客戶端收到認(rèn)證失敗報文,就會提示用戶認(rèn)證失敗,需要用戶重新進(jìn)行認(rèn)證,認(rèn)證的次數(shù)超過三次就會退出認(rèn)證。
【文檔編號】H04L29/06GK103873476SQ201410120871
【公開日】2014年6月18日 申請日期:2014年3月27日 優(yōu)先權(quán)日:2014年3月27日
【發(fā)明者】席麗霞, 趙煜揚(yáng), 張曉光, 張文博, 楊松 申請人:江蘇韶光光電科技有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1