專利名稱:一種用戶終端的認證方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,特別涉及一種用戶終端的認證方法����、裝置及 系統(tǒng)。
背景技術(shù):
目前局域網(wǎng)中廣泛使用的IEEE 802.1x協(xié)議是基于端口的網(wǎng)絡(luò)訪問控制協(xié) 議,用于網(wǎng)絡(luò)接入設(shè)備的物理接入級對接入客戶端進行認證和控制�。802.1x 協(xié)議的應(yīng)用體系結(jié)構(gòu)如圖l所示,包括客戶端�����,接入設(shè)備���,認證��、授權(quán)和計 費(Authentication, Authorization and Accounting, AAA)月良務(wù)器�����。
在用戶接入層以太網(wǎng)交換機作為802.1x的接入設(shè)備,位于局域網(wǎng)或無線局 域網(wǎng)點對點鏈路一端的一個實體�;802.1x的客戶端作為認證請求者是位于局域 網(wǎng)或無線局域網(wǎng)上點對點鏈路另一端的一個實體,通常安裝在個人計算機中���; 802.1x的AAA服務(wù)器通常位于運營商的認證��、授權(quán)和計費中心���。802.1x的客戶 端與接入設(shè)備之間運行正EE 802.1x定義的基于局域網(wǎng)的可擴展認證協(xié)議 (Extensible Authentication Protocol over LANs, EAPoL) ; 4妻入i殳備與AAA 服務(wù)器之間同樣運行擴展認證協(xié)議EAP。以太網(wǎng)交換機內(nèi)部有受控端口和非受 控端口��,其中非受控端口始終處于雙向連通狀態(tài),受控端口只有在認證通過 的狀態(tài)下才打開���,用于傳遞網(wǎng)絡(luò)資源和服務(wù)�����。在上述的體系結(jié)構(gòu)下�,連接在
以太網(wǎng)交換機端口上的用戶設(shè)備如果能通過認證����,就可以訪問網(wǎng)絡(luò)資源;如
果不能通過iU正���,則無法訪問網(wǎng)絡(luò)資源�。
客戶端認證上網(wǎng)的一般流程如圖2所示���,包括以下步驟 步驟S201�、用戶上線�����,輸入用戶名和密碼;
步驟S202����、接入設(shè)備根據(jù)獲取的用戶名和密碼等信息,向AAA服務(wù)器發(fā) 送認證請求報文����;
5步驟S203、 AAA服務(wù)器將該用戶信息與用戶數(shù)據(jù)庫信息進行對比分析�, 如果認證成功,則將用戶的權(quán)限信息以認證響應(yīng)報文發(fā)送給接入設(shè)備�����;如果 認證失敗��,則返回認證失敗的響應(yīng)報文����;
步驟S204�、接入設(shè)備根據(jù)接收到的認證結(jié)果接入/拒絕用戶。如果可以接 入用戶��,則接入設(shè)備向AAA服務(wù)器發(fā)送計費開始請求報文��;
步驟S205、 AAA服務(wù)器返回計費開始響應(yīng)報文�;
步驟S206、用戶下線�����,接入設(shè)備向AAA服務(wù)器發(fā)送計費停止請求報文�; 步驟S207、 AAA服務(wù)器返回計費結(jié)束響應(yīng)報文����。
現(xiàn)有技術(shù)中,客戶端通過接入設(shè)備向AAA服務(wù)器發(fā)起認證請求���,首先客 戶端要與接入設(shè)備交互用戶名和密碼等信息���,然后接入設(shè)備將這些信息發(fā)給 AAA服務(wù)器,最后由AAA服務(wù)器來判斷客戶端的用戶是否合法�,如果客戶端 的用戶合法,則通過客戶端的認證請求��,并進行后續(xù)授權(quán)���、計費等流程��,如 果客戶端的用戶不合法�����,則認證失敗����,用戶無法上線。
現(xiàn)有技術(shù)中�����,由于客戶端用戶信息列表只存在于AAA服務(wù)器中����,接入設(shè) 備上沒有關(guān)于客戶端用戶名的任何信息,接入設(shè)備只能將客戶端的用戶名和 密碼等信息直接發(fā)給AAA服務(wù)器��,沒有判斷(也無法判斷)客戶端的用戶名 正確與否��,如果客戶端存在攻擊���,即大量的非法用戶來進行認證,AAA服務(wù) 器會來不及處理��,出現(xiàn)系統(tǒng)繁忙,甚至癱瘓����,這時合法的用戶來認證時,也 無法認證成功�。
發(fā)明內(nèi)容
本發(fā)明提供一種用戶終端的認證方法、裝置及系統(tǒng)�����,防止非法用戶對AAA
服務(wù)器的攻擊���,保證合法用戶正常認證��。
為達到上述目的�,本發(fā)明一方面提供了一種用戶終端的認證方法��,應(yīng)用 于包括至少一個用戶終端���、 一個接入設(shè)備以及一個認證服務(wù)器的系統(tǒng)中�,所 述方法包括
所述接入設(shè)備接收所述用戶終端發(fā)送的包含用戶名和密碼的認證請求消 息��,所述用戶名包括主體用戶名和校驗位標(biāo)識���;識是否匹配��;
入設(shè)備將所述用戶終端的認證請求消息轉(zhuǎn)發(fā)給所述認證服務(wù)器進行處理�����。
優(yōu)選的��,當(dāng)所述接入設(shè)備判斷所述主體用戶名與所述校驗位標(biāo)識不匹配 時���,還包括
所述接入設(shè)備向所述用戶終端發(fā)送認證終止消息��;或�, 所述接入設(shè)備丟棄所述認證請求消息��。
優(yōu)選的�����,所述包含主體用戶名和校驗位標(biāo)識的用戶名���,具體通過以下策 略生成
所述認證服務(wù)器接收包含所述主體用戶名和密碼的注冊請求��;
當(dāng)所述認證服務(wù)器判斷所述主體用戶名可以注冊時�����,根據(jù)預(yù)設(shè)的校驗策
略����,為所述主體用戶名生成校-瞼位標(biāo)識�;
所述認證服務(wù)器保存所述主體用戶名和所述4史驗位標(biāo)識組成的用戶名的
注冊信息,并向所述注冊請求的注冊端返回所述用戶名的注冊信息�。 優(yōu)選的,所述預(yù)設(shè)的校驗策略具體通過以下方式設(shè)置 分別在所述認證服務(wù)器和所述接入設(shè)備中設(shè)置所述校驗策略�����;或�����, 在所述認證服務(wù)器中設(shè)置所述校驗策略����,所述認證服務(wù)器將所述校驗策
略發(fā)送給所述接入設(shè)備。
另一方面���,本發(fā)明還提供了一種接入設(shè)備����,包括
接收模塊,用于接收所述用戶終端發(fā)送的包含用戶名和密碼的認證請求 消息���,所述用戶名包括主體用戶名和校驗位標(biāo)識���;
判斷模塊,用于根據(jù)預(yù)設(shè)的校驗策略判斷所述接收模塊所接收的主體用 戶名與校驗位標(biāo)識是否匹配�����;
處理模塊���,用于當(dāng)所迷判斷模塊判斷所述主體用戶名與所述校驗位標(biāo)識 匹配時���,將所述用戶終端的認證請求消息轉(zhuǎn)發(fā)給所述認證i良務(wù)器進行處理。
優(yōu)選的����,所述處理模塊,還用于當(dāng)所述判斷模塊判斷所述主體用戶名與所述校驗位標(biāo)識不匹配時�,向所述用戶終端發(fā)送認證終止消息,或丟棄所述 認證請求消息。
優(yōu)選的����,所述接入設(shè)備還包括
策略模塊,用于預(yù)先設(shè)置所述校驗策略����,或接收所述認證服務(wù)器發(fā)送的 所述校驗策略���。
另一方面��,本發(fā)明還提供了一種服務(wù)器�,包括
注冊模塊�,用于接收包含所述主體用戶名和密碼的注冊請求;
識別模塊���,用于判斷所述主體用戶名是否符合注冊規(guī)則��;
生成模塊�����,用于在所述識別模塊判斷所述主體用戶名符合注冊規(guī)則����,可
以注冊時,根據(jù)預(yù)設(shè)的校驗策略��,為所述主體用戶名生成校驗位標(biāo)識�;
存儲模塊,用于保存所述主體用戶名和所述生成模塊所生成的校驗位標(biāo)
識組成的用戶名的注冊信息����,并向所述注冊請求的注冊端返回所述用戶名的
注冊信息。
優(yōu)選的���,所述服務(wù)器還包括
策略模塊�,與所述生成模塊電性連接��,用于預(yù)先設(shè)置所述校驗策略����,并 且在接入設(shè)備未設(shè)置校驗策略時將所述校驗策略發(fā)送給所述接入設(shè)備。
另一方面����,本發(fā)明還提供了一種認證系統(tǒng),包括至少一個用戶終端�、一 個接入設(shè)備以及一個認證服務(wù)器,其中
所述用戶終端,用于向所述接入設(shè)備發(fā)送包含用戶名和密碼的認證請求 消息�����,所述用戶名包括主體用戶名和校驗位標(biāo)識���;
所述接入設(shè)備��,用于根據(jù)預(yù)設(shè)的校驗策略判斷所述用戶終端發(fā)送的所述 認證請求消息中包括的所述主體用戶名與所述校驗位標(biāo)識是否匹配��,并在判 斷所述主體用戶名與所述校驗位標(biāo)識匹配時,將所述用戶終端的認證請求消 息轉(zhuǎn)發(fā)給所述認證服務(wù)器�;
所述認證服務(wù)器,用于根據(jù)所述接入設(shè)備轉(zhuǎn)發(fā)的認證請求消息對所述用 戶名進行認證��,并將認證結(jié)果通過接入設(shè)備返回給所述用戶終端����。優(yōu)選的,所述認證服務(wù)器����,還用于接收包含所述主體用戶名和密碼的注 冊請求,在判斷所述主體用戶名符合注冊規(guī)則�,可以注冊時,根據(jù)預(yù)設(shè)的校 驗策略,為所述主體用戶名生成校驗位標(biāo)識���,并保存所述主體用戶名和所述 校驗位標(biāo)識組成的用戶名的注冊信息���,向所述注冊請求的注冊端返回所述用 戶名的注冊信息。
與現(xiàn)有技術(shù)相比����,本發(fā)明具有以下優(yōu)點
通過本發(fā)明,接入設(shè)備在收到用戶上線時的認證信息時�,可以根據(jù)校驗 算法,初步判斷用戶名是否合法�,如果合法,再去認證服務(wù)器上認證�,如果 不合法,直接拒絕用戶上線�,以防止認證服務(wù)器收到攻擊,影響合法用戶正 常認證����。
圖1為現(xiàn)有"f支術(shù)中802.1x協(xié)議的應(yīng)用體系結(jié)構(gòu)示意圖2為現(xiàn)有技術(shù)中客戶端認證上網(wǎng)的流程示意圖3為本發(fā)明提供的一種用戶終端的i人證方法的流程示意圖4為本發(fā)明提供的一種用戶終端的認證方法的流程示意圖5為本發(fā)明提供的一種認證系統(tǒng)的機構(gòu)示意圖6為本發(fā)明提供的一種接入設(shè)備的結(jié)構(gòu)示意圖7為本發(fā)明提供的一種認證服務(wù)器的結(jié)構(gòu)示意圖。
具體實施例方式
如背景技術(shù)所述��,由于客戶端用戶信息列表只存在于AAA服務(wù)器中����,接 入設(shè)備上沒有關(guān)于客戶端用戶名的任何信息�����,所以接入設(shè)備無法判斷用戶是 否合法���。
本發(fā)明為了解決現(xiàn)有技術(shù)中存在的問題,提出了 一種用戶終端的認證方 法�����,不僅適用于上述的包括AAA服務(wù)器的i人證系統(tǒng)中�����,而且還適用于包括同
樣具有身份認證功能的認證系統(tǒng)中����。
首先���,在認證服務(wù)器上創(chuàng)建用戶信息時��,為每個用戶所創(chuàng)建的用戶名都
9由兩部分組成"主體用戶名"部分和"校驗位標(biāo)識"部分���。其中��,校驗位 標(biāo)識部分的長度可以是N位(N大于等于0)�,而主體用戶名部分則可根據(jù)用 戶個人的喜好按照當(dāng)前系統(tǒng)的用戶名命名規(guī)則來創(chuàng)建�,例如,當(dāng)前系統(tǒng)要求 主體用戶名部分為6-12位的字母和數(shù)字組合���,不能包含其他符號�,則主體用戶 名部分只能在符合以上規(guī)則的前提下創(chuàng)建��。
校驗位標(biāo)識部分是由認證服務(wù)器根據(jù)主體用戶名部分���,通過一定的校驗 策略計算得出來的��,同時�,接入設(shè)備也要求能執(zhí)行類似的校驗策略���。這樣�����, 當(dāng)接入設(shè)備接收到用戶上線的消息時�����,通過查看用戶名中的主體用戶名部分 和校驗位標(biāo)識部分是否符合上述的沖史驗策略���,就可以初步判斷當(dāng)前請求上線 的用戶是否合法�����。如果該用戶不合法����,則提示該用戶認證失敗��,拒絕該用戶 的認證請求���,讓該用戶下線��;反之,如果接入設(shè)備初步檢查該用戶合法��,貝'J 將該用戶的用戶名和密碼等信息發(fā)送到認證服務(wù)器�,由認證服務(wù)器來判斷該 用戶的信息是否合法。
通過上述的流程����,當(dāng)一個用戶請求接入當(dāng)前系統(tǒng)進行認證時���,分別由接 入設(shè)備和認證服務(wù)器對該用戶的合法性進行了兩次檢查,其中���,第一次檢查 由接入設(shè)備執(zhí)行�,接入設(shè)備的檢查是初步檢查����,通過判斷請求認證的用戶的
略,來確認用戶是否合法����,這樣的檢查在于對偽造認證信息的初步過濾,即 根據(jù)用戶名構(gòu)成是否合法來進行的過濾����,避免大量偽造認證信息的攻擊,減 輕了認證服務(wù)器的認證負擔(dān)��;第二次檢查則是由認證服務(wù)器執(zhí)行���,通過判斷 請求認證的用戶的用戶名和密碼是否與認證服務(wù)器中所保存的用戶注冊信息 相一致���,這樣的判斷是對用戶身份的真正識別���,判斷請求認證的用戶是否是 在認證服務(wù)器上注冊的合法用戶。
其中��,上述的由認證服務(wù)器執(zhí)行的第二次檢查與現(xiàn)有技術(shù)中的認證流程 相一致��,都是通過預(yù)先在認證服務(wù)器中保存的用戶信息判斷是否接受用戶的 認證請求��,但是��,上述的由接入設(shè)備進行的第一次檢查則是本發(fā)明提出的區(qū) 別于現(xiàn)有技術(shù)的認證流程����,在現(xiàn)有技術(shù)中,接入設(shè)備不保存任何用戶信息��, 是對用戶的認證請求進行轉(zhuǎn)發(fā)����,而不能實現(xiàn)過濾功能。而在本發(fā)明所提出的技術(shù)方案中���,用戶通過用戶終端發(fā)送的認證請求消 息所包含的用戶名信息中同時包括主體用戶名部分和校驗位標(biāo)識部分兩種信 息��,而這兩種信息是用戶最初在認證服務(wù)器中進行注冊時�����,由認證服務(wù)器按 照預(yù)設(shè)的校驗策略一并生成并返回給用戶的�����,因此�����,上述的主體用戶名部分 和校驗位標(biāo)識部分存在與才交驗策略相對應(yīng)的匹配關(guān)系�����,"t妄入設(shè)備同樣可以執(zhí) 行上述的校驗策略���,并根據(jù)該校驗策略對用戶通過用戶終端發(fā)送的主體用戶 名部分和校驗位標(biāo)識部分進行匹配關(guān)系的判斷,如果判斷結(jié)果是該用戶的主 體用戶名部分和校驗位標(biāo)識部分匹配�,即符合校-瞼規(guī)則,則認為該用戶的用 戶名構(gòu)成合法�����,將該用戶的認證請求消息轉(zhuǎn)發(fā)給認證服務(wù)器進行處理,反之�, 如果判斷結(jié)果是該用戶的主體用戶名部分和校驗位標(biāo)識部分不匹配,即不符 合校驗規(guī)則�����,則認為該用戶的用戶名構(gòu)成不合法�����,向用戶終端返回認證終止 消息����,拒絕該用戶的認證請求,或者�����,直接將該用戶發(fā)送的認證請求消息進 行丟棄�����,不做任何進一步處理�。
通過上述說明��,可以看出本發(fā)明的技術(shù)方案的重點在于由接入設(shè)備所執(zhí) 行的第一次檢查��,下面,結(jié)合具體的應(yīng)用環(huán)境����,對本發(fā)明所提出的技術(shù)方案
進^f亍詳細"i兌明。
如圖3所示���,為本發(fā)明所提出的一種用戶終端的認證方法����,應(yīng)用于包括至 少一個用戶終端���、 一個接入設(shè)備以及一個認證服務(wù)器的系統(tǒng)中��,為了方便敘 述�,后續(xù)說明中直接以AAA服務(wù)器為例來說明認證服務(wù)器的處理流程���,具體 包括以下步驟
步驟S301 ����、接入設(shè)備接收用戶終端發(fā)送的包含用戶名和密碼的認證請求 消息,其中���,用戶名包括主體用戶名和校-瞼位標(biāo)識�。
如前述的技術(shù)方案的說明����,在本發(fā)明的技術(shù)方案中,用戶通過用戶終端 向接入設(shè)備發(fā)送的認證請求消息與現(xiàn)有的技術(shù)方案相似�����,同樣包括用戶名和 密碼�����,但是��,本發(fā)明的^^支術(shù)方案與現(xiàn)有技術(shù)的區(qū)別在于用戶名部分進一步包 括兩部分信息��,即主體用戶名部分和校驗位標(biāo)識部分����。這兩部分信息是在用 戶向AAA服務(wù)器進行初始化注冊的時候,就由AAA服務(wù)器創(chuàng)建并分配給用戶的���,具體通過以下流程產(chǎn)生
(1) AAA服務(wù)器接收用戶提交的包含主體用戶名和密碼的注冊請求�����。 本步驟與現(xiàn)有技術(shù)的處理流程相一致����,由用戶通過用戶終端向AAA服務(wù)
器提出注冊請求��,該注冊請求中包含用戶自定義的主體用戶名和密碼�,其中 的主體用戶名需要遵循當(dāng)前系統(tǒng)的命名規(guī)則,否則�,將作為非法用戶名而直 接拒絕注冊,如前述的命名規(guī)則示例所述����,具體的命名規(guī)則中包括用戶名的 長度限制區(qū)間,用戶名中的字符類型限制���,是否允許在用戶名中使用符號等 信息��,只有符合上述的命名MJ'J,用戶對該主體用戶名的注冊請求才會被允 許繼續(xù)進行�����。
需要指出的是���,在現(xiàn)有技術(shù)中����,不存在主體用戶名的概念�,用戶按照上 述的命名規(guī)則所提出的字符組合將直接被確認為待注冊的用戶名進行處理, 如果在后續(xù)的注冊過程中�����,該字符組合被確認可以注冊�����,則將該字符組合作 為該用戶的用戶名��。與之不同的是��,在本發(fā)明的技術(shù)方案中�,用戶按照上述 的命名規(guī)則所提出的字符組合只是作為待注冊的主體用戶名進行處理,如果 在后續(xù)的注冊過程中���,該字符組合被確認可以注冊����,則按照預(yù)設(shè)的校驗策略, 為該字符組合生成校驗位標(biāo)識�����,并將該字符組合作為主體用戶名����,與生成的 校驗位標(biāo)識共同組成該用戶的用戶名,完成注冊��,具體的才L瞼位標(biāo)識生成方 式和處理流程在后續(xù)步驟中說明���。
(2) 當(dāng)AAA服務(wù)器判斷主體用戶名可以注冊時,才艮據(jù)預(yù)設(shè)的校驗策略����, 為該主體用戶名生成才交-瞼位標(biāo)識。
本步驟所提及的4交驗策略是在AAA服務(wù)器中預(yù)先設(shè)定的�,具體可以是一 種校驗算法,該校驗算法的設(shè)置是為了使根據(jù)該校驗算法計算出的校驗位標(biāo) 識與主體用戶名的組合具有規(guī)律性�,從而便于進行后續(xù)的識別流程(識別流 程相當(dāng)于生成過程的逆過程),基于這樣的考慮��,上述校驗算法優(yōu)選上述的 主體用戶名為計算材料。
為了實現(xiàn)上述的識別流程��,上述校驗算法需要預(yù)先在接入設(shè)備中設(shè)置�����, 或由AAA服務(wù)器向接入設(shè)備發(fā)送該校驗算法��,以便于接入設(shè)備根據(jù)該校驗算 法對用戶進行合法性檢查����,具體的檢查流程在后續(xù)步驟中詳細敘述。
12(3 ) AAA服務(wù)器保存主體用戶名和校驗位標(biāo)識組成的用戶名的注冊信 息�����,并向注冊請求的注冊端返回該用戶名的注冊信息����。
本步驟的目的在于在AAA服務(wù)器中保留用戶的注冊信息,以便于為用戶 請求認證的時候提供認證依據(jù)����,在現(xiàn)有技術(shù)中同樣存在相似步驟,區(qū)別點在 于現(xiàn)有技術(shù)只保留了密碼和由用戶自定義的字符組合所形成的用戶名����,本發(fā) 明的技術(shù)方案則保留了密碼和包括主體用戶名和校驗位標(biāo)識的用戶名�����,其中 的主體用戶名是由用戶自定義的字符組合�����。
另一方面�,本步驟中����,AAA服務(wù)器還將上述注冊信息返回給用戶,這是 因為最終生成的用戶名不再僅僅是用戶最初自定義的字符組合�����,而是進一步 包括了AAA服務(wù)器根據(jù)用戶自定義的字符組合生成的校驗位標(biāo)識�,AAA服務(wù) 器將上述兩部分信息合并成為一個新的用戶名返回給用戶����,該用戶名與用戶 自定義的密碼相對應(yīng)。
步驟S302��、接入設(shè)備根據(jù)預(yù)設(shè)的校驗策略判斷主體用戶名與校驗位標(biāo)識 是否匹配。
其中的校-瞼策略具體可以通過以下兩種方式設(shè)置 分別在AAA月良務(wù)器和接入設(shè)備中設(shè)置校驗策略�����;或����, 在AAA服務(wù)器中設(shè)置校驗策略,AAA服務(wù)器將所述校驗策略發(fā)送給接入 設(shè)備����。
在實際的應(yīng)用場景中,具體采用上述哪種方式進行校-瞼策略的設(shè)置并不 影響本發(fā)明的保護范圍���。
在本步驟中���,接入設(shè)備根據(jù)上述預(yù)先設(shè)置或由AAAil良務(wù)器發(fā)送過來的校 驗策略,判斷用戶終端發(fā)送的認證請求消息中的用戶名是否合法���,即判斷該 用戶名所包含的主體用戶名與校驗位標(biāo)識是否相匹配�。
當(dāng)判斷主體用戶名與校驗位標(biāo)識匹配時���,確認該用戶名合法���,轉(zhuǎn)入步驟 S303;
當(dāng)判斷主體用戶名與核z險位標(biāo)識不匹配時�,確認該用戶名不合法����,轉(zhuǎn)入 步驟S304。
步驟S303 ��、接入設(shè)備將用戶終端的認證請求消息轉(zhuǎn)發(fā)給AAA服務(wù)器進行處理��。
后續(xù)的處理步驟與現(xiàn)有技術(shù)相類似�,由AAA服務(wù)器對用戶名和密碼進行 對應(yīng)關(guān)系的驗證,具體的驗證依據(jù)就是前述步驟中保存在AAA服務(wù)器中的用 戶名注冊信息��。
步驟S304�����、接入設(shè)備向用戶終端發(fā)送認證終止消息或丟棄該認證請求消
自
本步驟的目的在于終止用戶終端發(fā)送的認證請求消息的認證進程�����,其中���, 接入設(shè)備向用戶終端發(fā)送認證終止消息的方式可以明確的告知用戶終端認證
失敗��,不能允許該認證請求消息所對應(yīng)的用戶上線����;而接入設(shè)備直接對認證
在一定的響應(yīng)時間過后沒有收到任何的回復(fù)消息�����,則判定此次認證過程失敗��, 不能允許該iU正請求消息所對應(yīng)的用戶上線�。
止用戶的認證進程,減少用戶的認證等候時間�����,而接入設(shè)備直接對認證請求
程���,節(jié)約系統(tǒng)資源�,尤其是在系統(tǒng)遭到大量偽造的認證請求報文攻擊的情況 下�,直接進行丟棄處理可以避免逐條回復(fù)認證請求消息所帶來的巨大系統(tǒng)負 擔(dān)。
在實際的應(yīng)用場景中�,具體采用上述哪種方式進行處理并不影響本發(fā)明 的保護范圍���。
下面,進一步結(jié)合具體的示例��,對本發(fā)明的技術(shù)方案進行說明�。如圖4所 示,以生成一個主體用戶名部分為"tester"的用戶名為例�,本發(fā)明的技術(shù)方 案具體包括以下步驟
步驟S401 、 AAA服務(wù)器接收用戶的注冊請求�����。 AAA服務(wù)器接收到包含字符組合"tester"和密碼的注冊請求��。 其中����,"tester"是用戶根據(jù)系統(tǒng)的命名規(guī)則所自定義的一個字符組合, 作為待注冊的主體用戶名通過注冊請求發(fā)送給AAA服務(wù)器��, 一同發(fā)送的還有用戶自定義的密碼����,用戶請求完成上述字符組合和密碼相對應(yīng)的用戶注冊流 程。
步驟S402�����、 AAA服務(wù)器根據(jù)校驗策略生成校驗位標(biāo)識��。 在本步驟之前���,AAA服務(wù)器優(yōu)先進行用戶上報的字符組合是否符合當(dāng)前 系統(tǒng)的命名規(guī)則以及該字符組合是否已經(jīng)被注冊的判斷��,只有判斷通過時�����, 才會執(zhí)行本步驟���,否則,則確認認證過程失敗���。
具體的校驗位標(biāo)識生成過程是依據(jù)預(yù)先設(shè)置好的校驗策略來進行的���,為 了方便說明,本發(fā)明給出了以下校驗策略的示例假設(shè)預(yù)先設(shè)定用三位數(shù)字 來作為校驗位標(biāo)識�,具體的校驗策略規(guī)則是將主體用戶名部分的每個字符所 對應(yīng)的ASCII碼值相加,然后再加上校驗位標(biāo)識所對應(yīng)的三位數(shù)����,讓最后求得 的和為999�。
結(jié)合前述示例����,校驗位標(biāo)識的具體生成過程為"tester"每個字符對應(yīng) 的ASCII碼值分別為116、 101��、 115���、 116����、 101和114,相加后等于663����,因此, 校驗位標(biāo)識所對應(yīng)的數(shù)值為999 - 663 = 336���。
這樣�����,AAA服務(wù)器的用戶信息列表中存在用戶名為"tester336"的用戶�����, 即主體用戶名為"tester",校驗位標(biāo)識為336��。而不會存在"tester001"�����、 "tester335"或"tester337"等用戶����。
下面��,以"tester336����,,用戶和"tester001"用戶請求AAA服務(wù)器認證的進 程為例進行說明��。
步驟S403��、用戶終端向接入設(shè)備發(fā)送包含校驗位標(biāo)識的認證請求消息���。
當(dāng)用戶通過用戶終端向接入設(shè)備發(fā)送認證請求消息來進行上網(wǎng)認證時�, 該認證請求消息中包含用戶名和密碼等信息,其中的用戶名包括用戶名主體 部分和4交-驗位標(biāo)識部分��。
如果是"tester336"用戶進行認證請求����,則向接入設(shè)備發(fā)送的認證請求消 息中至少包括用戶名主體部分"tester"、才吏驗位標(biāo)識部分"336"和相應(yīng)的密 碼��,其中����,用戶名主體部分"tester"和校驗位標(biāo)識部分"336"共同以用戶名 "tester336,��,的形式呈現(xiàn)�����。
如果是"testerOOr用戶進行認證請求�,則向接入設(shè)備發(fā)送的認證請求消息中至少包括用戶名主體部分"tester"、校-瞼位標(biāo)識部分"001"和相應(yīng)的密 碼��,其中��,用戶名主體部分"tester"和校-驗位標(biāo)識部分"001"共同以用戶名 "tester001"的形式呈現(xiàn)。
步驟S404�、接入設(shè)備根據(jù)校驗策略判斷用戶終端發(fā)送的認證請求消息中 的用戶名是否合法,即判斷用戶名主體部分和校驗位標(biāo)識部分是否符合檢驗 策略����。
由于接入設(shè)備也會進行與AAA服務(wù)器同樣的校驗策略,會將用戶名 "tester336"或"tester001"的主體用戶名部分對應(yīng)ASCII碼值相加�����,然后再 加上校驗位部分的數(shù)值�,查看最后的和值是否為999��。
對于"tester336"用戶����,根據(jù)校驗策略計算的結(jié)果是999,所以�,接入設(shè) 備認為"tester336"用戶是合法的,轉(zhuǎn)入步驟S406;
反之��,對于"tester001"用戶��,根據(jù)校驗策略計算的結(jié)果不是999,所以�, 接入設(shè)備認為"testerOOr,用戶不合法,轉(zhuǎn)入步驟S405����。
步驟S405、接入設(shè)備直接拒絕用戶上線�。
接入設(shè)備向用戶終端發(fā)送拒絕認證的消息,拒絕用戶上線���,至此���,結(jié)束 該用戶的認證請求進程。
在本應(yīng)用場景下�����,用戶名"tester001"的主體用戶名部分對應(yīng)ASCII碼值 相加的結(jié)杲是663,加上4交-驗位標(biāo)識部分所對應(yīng)的數(shù)值OOl,求得的和值是664, 而不是999�,所以,判定用戶名"tester001"不合法��,直接拒絕用戶上線���。這 樣就可以防止AAA服務(wù)器受到該用戶"tester001"的攻擊�。
類似的�,接入設(shè)備也可以用該校驗策略來防止用戶名為"tester335"、 "tester337"……的用戶對AAA月良務(wù)器進行攻擊。
步驟S406�����、接入設(shè)備將用戶的信息發(fā)送到AAA服務(wù)器上進行認證����。
接入設(shè)備將用戶通過用戶終端發(fā)送的認證請求信息中所包含的用戶名和 密碼等信息發(fā)送給AAA服務(wù)器進行認證。
如果認證成功��,則將用戶的權(quán)限信息以認證響應(yīng)報文發(fā)送給接入設(shè)備��; 如果認證失敗�,則返回認證失敗的響應(yīng)報文。后續(xù)的步驟S407至步驟S412的 處理流程與現(xiàn)有技術(shù)中的步驟S203至步驟S207的處理流程相類似�����,在此不再重復(fù)4又述�����。
需要指出的是�����,上述校驗策略并不能實現(xiàn)完全的過濾��,例如��,如果在AAA 服務(wù)器的用戶信息列表中不存在用戶名為"dddddd399"的用戶的信息���,但當(dāng) 用戶名為"dddddd399"的用戶通過接入設(shè)備來進行認證時�����,接入設(shè)備通過校 驗算法計算的最后和值卻為999�����,這時接入設(shè)備會認為用戶合法��,會將用戶認 證信息發(fā)給AAA服務(wù)器來進行認證�����。因此����,可以看出接入設(shè)備無法對這個非 法用戶進行過濾����,這主要是由于前面假定的校驗策略是一種非常筒單的算法�����, 即使是這種簡單的校驗策略�����,也能防止一般的非法用戶的簡單攻擊����。如果采 用更加復(fù)雜的校驗算法�,接入設(shè)備過濾非法用戶的可能性將更大,AAA服務(wù) 器被攻擊的可能性會大大降低��。
因此�,在具體的應(yīng)用場景中,可以根據(jù)過濾級別的需要調(diào)整上述校驗策 略中的具體算法內(nèi)容�,這樣的變化����,并不影響本發(fā)明的保護范圍。
改進后的客戶端認證方法與原有方法進行比較�����,主要存在以下不同
接入設(shè)備在收到用戶上線時的認證信息時,可以根據(jù)校驗算法��,初步判 斷用戶名是否合法���,如果合法�,再去AAA服務(wù)器上認證����,如果不合法,直接 拒絕用戶上線���,以防止AAA服務(wù)器收到攻擊�,影響合法用戶正常認證����。
為了實現(xiàn)上述的本發(fā)明所提出的技術(shù)方案,本發(fā)明還提出了 一種認證系 統(tǒng)�,如圖5所示,包括至少一個用戶終端51����、 一個4妄入設(shè)備52以及一個認證服 務(wù)器53:
用戶終端51,用于向接入設(shè)備52發(fā)送包含用戶名和密碼的認證請求消息���, 其中,用戶名包括主體用戶名和校-瞼位標(biāo)識���;
接入設(shè)備52,用于根據(jù)預(yù)設(shè)的校驗策略判斷用戶終端5l發(fā)送的認證請求 消息眾多包括的主體用戶名與校驗位標(biāo)識是否匹配���,并在判斷主體用戶名與 校驗位標(biāo)識匹配時,將用戶終端的認證請求消息轉(zhuǎn)發(fā)給認證服務(wù)器53;
認證服務(wù)器53���,用于根據(jù)接入設(shè)備52轉(zhuǎn)發(fā)的認證請求消息對用戶名進行 認證��,并將認證結(jié)果通過接入設(shè)備52返回給用戶終端51���。
其中,在具體的應(yīng)用場景中���,認證服務(wù)器53��,還用于接收包含主體用戶
17名和密碼的注冊請求����,在判斷主體用戶名符合注冊規(guī)則���,可以注冊時����,根據(jù)
預(yù)設(shè)的校驗策略����,為主體用戶名生成校驗位標(biāo)識,并保存主體用戶名和校驗
位標(biāo)識組成的用戶名的注冊信息��,向注冊請求的注冊端返回用戶名的注冊信 臺
如圖6所示���,上述的接入設(shè)備52具體包括
接收模塊521,用于接收用戶終端51發(fā)送的包含用戶名和密碼的認證請求 消息��,用戶名包括主體用戶名和校驗位標(biāo)識�;
判斷模塊522�,與接收模塊521電性連接,用于根據(jù)預(yù)設(shè)的校驗策略判斷 接收模塊521所接收的主體用戶名與校驗位標(biāo)識是否匹配��;
處理模塊523���,與判斷模塊522電性連接���,用于當(dāng)判斷模塊522判斷主體用 戶名與校驗位標(biāo)識匹配時��,將用戶終端51的認證請求消息轉(zhuǎn)發(fā)給認證服務(wù)器 53進4于處理�。
在具體的應(yīng)用場景中�,處理模塊523,還用于當(dāng)判斷模塊522判斷主體用 戶名與校驗位標(biāo)識不匹配時�,向用戶終端51發(fā)送認證終止消息,或丟棄認證 請求消息���。
在具體的應(yīng)用場景中���,接入設(shè)備52還包括
策略模塊524,與判斷模塊522電性連接��,用于預(yù)先設(shè)置校驗策略�,或接
收認證服務(wù)器53發(fā)送的校驗策略。
另一方面��,如圖7所示���,上述的認證服務(wù)器53具體包括 注冊模塊531,用于接收包含主體用戶名和密碼的注冊請求�����; 識別模塊532�����,與注冊模塊531電性連接�����,用于判斷主體用戶名是否符合
注冊規(guī)則�;
生成模塊533,與識別模塊532電性連接��,用于在識別模塊532判斷主體用 戶名符合注冊規(guī)則����,可以注冊時,根據(jù)預(yù)設(shè)的校驗策略�,為主體用戶名生成 才交-驗4立標(biāo)識;
存儲模塊534�����,與生成模塊533電性連接����,用于保存主體用戶名和生成模 塊533所生成的4交-瞼位標(biāo)識組成的用戶名的注冊信息,并向注冊"i青求的注冊端 返回用戶名的注冊信息。
18在具體的應(yīng)用場景中�����,認證服務(wù)器53還包括
策略模塊535��,與生成模塊533電性連接��,用于預(yù)先設(shè)置校驗策略���,或?qū)?校驗策略發(fā)送給接入設(shè)備52 ��。
通過本發(fā)明��,接入設(shè)備52在收到用戶上線時的認證信息時�����,可以根據(jù)校 驗算法����,初步判斷用戶名是否合法�����,如果合法,再去認證服務(wù)器53上認證��, 如果不合法�����,直接拒絕用戶上線�,以防止認證服務(wù)器53收到攻擊��,影響合法 用戶正常認證��。
通過以上的實施方式的描述���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可以通過硬件實現(xiàn)���,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)。 基于這樣的理解�,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟 件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM��, U盤�,移動硬 盤等)中,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機���,服 務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施場景所述的方法��。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施場景的示意圖��,附圖中 的模塊或流程并不一定是實施本發(fā)明所必須的����。
本領(lǐng)域技術(shù)人員可以理解實施場景中的裝置中的模塊可以按照實施場景 描述進行分布于實施場景的裝置中,也可以進行相應(yīng)變化位于不同于本實施 場景的一個或多個裝置中�。上述實施場景的模塊可以合并為一個模塊,也可 以進一步拆分成多個子模塊����。
上述本發(fā)明序號僅僅為了描述,不代表實施場景的優(yōu)劣�����。
以上公開的僅為本發(fā)明的幾個具體實施場景���,但是����,本發(fā)明并非局限于 此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍�����。
權(quán)利要求
1����、一種用戶終端的認證方法,應(yīng)用于包括至少一個用戶終端�����、一個接入設(shè)備以及一個認證服務(wù)器的系統(tǒng)中�,其特征在于�,所述方法包括所述接入設(shè)備接收所述用戶終端發(fā)送的包含用戶名和密碼的認證請求消息,所述用戶名包括主體用戶名和校驗位標(biāo)識���;所述接入設(shè)備根據(jù)預(yù)設(shè)的校驗策略判斷所述主體用戶名與所述校驗位標(biāo)識是否匹配����;當(dāng)所述接入設(shè)備判斷所述主體用戶名與所述校驗位標(biāo)識匹配時����,所述接入設(shè)備將所述用戶終端的認證請求消息轉(zhuǎn)發(fā)給所述認證服務(wù)器進行處理���。
2、 如權(quán)利要求l所述的方法�����,其特征在于�����,當(dāng)所述接入設(shè)備判斷所述主 體用戶名與所述才交-瞼位標(biāo)識不匹配時����,還包括所述接入設(shè)備向所述用戶終端發(fā)送認證終止消息;或�����, 所述接入設(shè)備丟棄所述認證請求消息��。
3�����、 如權(quán)利要求l所述的方法�����,其特征在于,所述包含主體用戶名和校驗 位標(biāo)識的用戶名����,具體通過以下策略生成所述認證服務(wù)器接收包含所述主體用戶名和密碼的注冊請求;當(dāng)所述認證服務(wù)器判斷所述主體用戶名可以注冊時���,才艮據(jù)預(yù)設(shè)的校驗策略�����,為所述主體用戶名生成校驗位標(biāo)識�����;所述認證服務(wù)器保存所述主體用戶名和所述校驗位標(biāo)識組成的用戶名的注冊信息,并向所述注冊請求的注冊端返回所述用戶名的注冊信息���。
4�����、 如權(quán)利要求1或3所述的方法�����,其特征在于����,所述預(yù)設(shè)的校驗策略具 體通過以下方式i殳置分別在所述認證服務(wù)器和所述接入設(shè)備中設(shè)置所述校驗策略;或��, 在所述認證服務(wù)器中設(shè)置所述校驗策略����,所述認證服務(wù)器將所述校驗策 略發(fā)送給所述接入設(shè)備。
5����、 一種接入設(shè)備,其特征在于�,包括接收模塊,用于接收所述用戶終端發(fā)送的包含用戶名和密碼的認證請求 消息����,所述用戶名包括主體用戶名和才交驗位標(biāo)識;判斷模塊�,用于根據(jù)預(yù)設(shè)的校驗策略判斷所述接收模塊所接收的主體用戶名與校驗位標(biāo)識是否匹配;處理模塊��,用于當(dāng)所述判斷模塊判斷所述主體用戶名與所述校驗位標(biāo)識 匹配時,將所述用戶終端的認證請求消息轉(zhuǎn)發(fā)給所述認證服務(wù)器進行處理�。
6、 如權(quán)利要求5所述的接入設(shè)備�,其特征在于,所述處理模塊����,還用于當(dāng)所述判斷模塊判斷所述主體用戶名與所述校驗 位標(biāo)識不匹配時,向所述用戶終端發(fā)送認證終止消息����,或丟棄所述認證請求 消息。
7���、 如權(quán)利要求5所述的接入設(shè)備���,其特征在于,還包括策略模塊�����,用于預(yù)先設(shè)置所述校驗策略��,或接收所述認證服務(wù)器發(fā)送的 所述校驗策略����。
8、 一種服務(wù)器���,其特征在于���,包括注冊模塊,用于接收包含所述主體用戶名和密碼的注冊請求�����;識別模塊��,用于判斷所述主體用戶名是否符合注冊規(guī)則��;生成模塊���,用于在所述識別模塊判斷所述主體用戶名符合注冊規(guī)則����,可以注冊時�,根據(jù)預(yù)設(shè)的4交驗策略,為所述主體用戶名生成校驗位標(biāo)識;存儲模塊�,用于保存所述主體用戶名和所述生成模塊所生成的校驗位標(biāo)識組成的用戶名的注冊信息,并向所述注冊請求的注冊端返回所述用戶名的注冊信息���。
9�����、 如權(quán)利要求8所述的服務(wù)器���,其特征在于,還包括策略模塊�,用于預(yù)先設(shè)置所述校驗策略,并且在接入設(shè)備未設(shè)置校驗策 略時將所述校驗策略發(fā)送給所述接入設(shè)備�。
10、 一種認證系統(tǒng)���,其特征在于���,包括至少一個用戶終端、 一個接入設(shè) 備以及一個認證服務(wù)器�,其中所述用戶終端,用于向所述接入設(shè)備發(fā)送包含用戶名和密碼的認證請求 消息�,所述用戶名包括主體用戶名和校驗位標(biāo)識;所述接入設(shè)備����,用于根據(jù)預(yù)設(shè)的校驗策略判斷所述用戶終端發(fā)送的所述 認證請求消息中包括的所述主體用戶名與所述校驗位標(biāo)識是否匹配,并在判 斷所述主體用戶名與所述校驗位標(biāo)識匹配時����,將所述用戶終端的認證請求消息轉(zhuǎn)發(fā)給所述認證服務(wù)器;所述認證服務(wù)器���,用于根據(jù)所述接入設(shè)備轉(zhuǎn)發(fā)的認證請求消息對所述用 戶名進行認證���,并將認證結(jié)果通過接入設(shè)備返回給所述用戶終端。
11�����、如權(quán)利要求IO所述的認證系統(tǒng)����,其特征在于,所述認證服務(wù)器����,還用于接收包含所述主體用戶名和密碼的注冊請求�����, 在判斷所述主體用戶名符合注冊規(guī)則����,可以注冊時��,根據(jù)預(yù)設(shè)的校驗策略�, 為所述主體用戶名生成才交-瞼位標(biāo)識,并保存所述主體用戶名和所述才交-瞼位標(biāo) 識組成的用戶名的注冊信息��,向所述注冊請求的注冊端返回所述用戶名的注 冊信息�。
全文摘要
本發(fā)明公開了一種用戶終端的認證方法、裝置及系統(tǒng)�����,所述方法包括所述接入設(shè)備接收所述用戶終端發(fā)送的包含用戶名和密碼的認證請求消息����,所述用戶名包括主體用戶名和校驗位標(biāo)識;所述接入設(shè)備根據(jù)預(yù)設(shè)的校驗策略判斷所述主體用戶名與所述校驗位標(biāo)識是否匹配����;當(dāng)所述接入設(shè)備判斷所述主體用戶名與所述校驗位標(biāo)識匹配時�����,所述接入設(shè)備將所述用戶終端的認證請求消息轉(zhuǎn)發(fā)給所述認證服務(wù)器進行處理。通過本發(fā)明��,接入設(shè)備在收到用戶上線時的認證信息時�����,可以初步判斷用戶名是否合法����,以防止認證服務(wù)器收到攻擊,影響合法用戶正常認證�����。
文檔編號H04L9/32GK101557406SQ200910143680
公開日2009年10月14日 申請日期2009年6月1日 優(yōu)先權(quán)日2009年6月1日
發(fā)明者熊定山 申請人:杭州華三通信技術(shù)有限公司