专利名称:一种用户接入认证的方法
技术领域:
本发明涉及网络安全认证4支术,特别涉及一种用户接入认证的方法。
技术背景动态主才几配置协议(DHCP: Dynamic Host Configuration Protocol)基于 客户端-服务器的模式,它能够为网络上的主机动态的分配IP地址和其他配置 信息。图1详细说明了DHCP服务器为DHCP客户端动态分配IP地址的过程(1) 发现阶段即DHCP客户端(Client)寻找DHCP服务器(Server)的阶段。 当DHCP客户端第一次登录网络的时候,它会向网络广播一个DHCP发现(Di scover)消息。(2) 提供阶段即DHCP服务器提供IP地址的阶段。 每个有空闲地址的DHCP服务器都发出DHCP提供(Offer)消息来响应这个DHCP Discover消息。(3) 选择阶段即DHCP客户端选择某个DHCP服务器提供的IP地址的阶段。如果客户端收到网络上多台DHCP服务器的回应,就会挑选其中一个DHCP Offer (通常是最先抵达的那个),并且会向网络发送一个DHCP请求(Request) 广播数据包,告诉所有DHCP服务器它将指定接受哪一台服务器提供IP地址。(4) 确认阶段,即DHCP服务器确认所提供的IP地址的阶段。 当DHCP服务器接收到客户端的DHCP请求(Request )之后,会向客户端发出一个DHCP确认(Ack)消息,以确认IP租约的正式生效,也就结束了一个完 整的DHCP工作过程。另外,除DHCP客户端选中的DHCP服务器外,其他的DHCP服务器都将回 收曾提供的IP地址。目前主要的接入认证技术主要有以下三种以太网上的点对点协议(Point -to-Point Protocol over Ethernet, PPPoE) , DHCP+Web以及IEEE802. lx。 以下分别对这三种认证方式进行简单说明 (一 )PPPoE工作过程PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。 Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确 定所要建立的PPP会话标识符(Session ID),同时获得对方点到点的连接信 息;PPP会话阶^殳执行标准的PPP过程PPP^^舌阶段主要是链i^制协议(Link Control Protocol, LCP)、认证、网络控制协议(Network Control Protocol, NCP)的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证 协议类型由LCP协商,NCP是一个协议族,用于配置不同的网络层协议,常用 的是IP控制协议(IPCP),它负责配置用户的IP和域名服务器(DNS)等工作。PPPoE协议是传统公共交换电话网(PSTN)窄带拨号接入技术在以太网接 入技术的延伸,它和原有窄带网络用户接入认证体系一致,最终用户相对比 较容易接受。但是它的缺点也很明显(1) 在PPPoE认证中,认证系统必须将每个包进行拆解才能判断和识别 用户是否合法, 一旦用户增多或者数据包增大,封装速度必然跟不上,成为 了网络瓶颈;(2) PPPoE认证完成后,业务数据流也必须经过宽带接入服务器(BAS) 设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵;(3) 组播业务开展困难,而视频业务大部分是基于组播的;(4) 需要运营商提供客户终端软件,维护工作量过大。 (二 ) DHCP+Web工作过程DHCP+Web认证需要与DHCP服务器和Web服务器配合使用。用户首先通过DHCP 得到一个IP地址,这个IP地址的目的是与Web服务器通信,也可以使用户只访
问一些内部月良务器;宽带远程接M良务器(Broadband Remote Access Server, BRAS)将用户强制连接到Web服务器上,并在浏览器中弹出认证页面。在该页 面中,用户输入帐号和密码;BRAS收到用户的信息,对用户的合法性进行检 查,到AAA服务器对用户进行认证;认证通过后,用户可以获得新的合法的IP 地址,使得用户可以访问外部因特网或特定的网络服务。这种方式使认证和业务流实现了分离,并可以方便地利用Web服务器推出 增值业务,对用户进行业务宣传及业务引导,DHCP + Web可以实现较多的增值 业务,同时可以很好的支持组播业务。它的缺陷如下(1) Web承载在应用层上,对于设备的要求较高,建网成本高;(2) 用户连接性差,不容易检测用户离线,基于时间的计费较难实现;(3) 易用性不够好,用户在访问网络前,不管是Telnet、 Ftp还是其它 业务,必须使用浏览器进行Web认证;(4) IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地 址的浪费,而且不便于多ISP (因特网服务提供商)的支持;(5 ) DHCP+Web目前没有统一的标准。 (三)IEEE802. 1X工作过程802. 1X技术是基于端口的认证技术,其认证阶段采用扩展认证协议(EAP) 报文,EAP报文是PPP报文的扩展,其认证阶段与PPPoE方式类似。其认证过程 为用户通过802. 1X客户端软件采用基于局域网的EAP报文(EAPoL报文)发 起认证,交换机终结EAPoL报文并向认证服务器转发EAP报文,认证通过后, DHCP服务器为用户分配IP地址,用户受控端口打开,允许用户正常通信。该 认证方式的缺点是U)需要特定客户端软件由于802. 1X目前没有标准的客户端,不同厂 商客户端程序不同,维护工作量较大;(2) IP地址分配和网络安全问题802. 1X协议是一个2层协议,只负责 完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,
需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+ 802. IX,无法全面解决城域网以太接入的可运营、可管理以及接入安 全性等方面的问题;(3 ) 802. 1X在用户控制能力方面较弱,只能进行端口/带宽的控制; 另外,在现有技术中还提供了 一种通过DHCP协议实现用户接入的认证方 法。处理过程如下(如图2所示)(1) 用户设备基于密码和会话参数(由用户设备产生)生成一个证书。(2) 用户设备组建DHCP Di scover消息发给认证设备,消息中包含用户标 识符、会话参数以及步骤(1)中产生的证书。(3) 认证设备基于接收到的会话参数和相关的密码产生一个验证证书。(4) 比较接收的证书和验证证书,如果相同,则认为认证通过。 该技术是由用户端自己选择用于产生证书(credential)的会话参数的,这种方法无法有效地防止重发攻击。攻击者只要截取用户端发出的DHCP Discover 消息,然后重新发送,就可以通过认证,获得授权的地址,顺利地接入网络。发明内容为了解决现有技术的缺陷,本发明的目的之一在于提供一种用户接入认 证的方法,增强用户认证的安全性。本发明的另 一 目的在于通过建立用户和密钥之间的绑定关系,使非法用 户不能获得正确的密钥,因而不能通过认证。为了达到上述目的,本发明的技术方案为一种用户接入认证的方法,包括在接入认证过程中,用户向网络侧发起请求,网络侧为用户下发随机数; 用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送 至网络侧;网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所 述用户进行认证; 如果认证通过,所述用户使用动态主机配置协议DHCP服务器分配的IP地 址,4妄入网络。用户向网络側发起请求,网络侧为用户下发随机数的步骤包括 用户发送DHCP发现消息,消息中携带用户标识;网络接入服务器接收所述DHCP发现消息,为用户分配或从认证服务器获 得一个随机数,并转发DHCP发现消息至DHCP服务器,消息中携带所述随机数;DHCP服务器选择IP地址,并向用户发送DHCP提供消息,消息中携带所述 随机数和IP地址;或者包括用户发送DHCP发现消息,消息中携带用户标识; 网络接入服务器接收所述DHCP发现消息,并转发至DHCP服务器; DHCP服务器为用户分配一个随机数并选择IP地址,并向用户发送DHCP提供消息,消息中携带所述随机数和IP地址。用户向网络侧发起请求,网络側为用户下发随机数的步骤包括用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法及用户标识;网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密 算法的请求至认证服务器,所述认证服务器根据所述至少一个加密算法确定 采用的加密算法,完成加密算法的协商,并返回协商结果至网络接入服务器;网络接入服务器为用户分配一个随机数,并转发DHCP发现消息至DHCP服 务器,消息中携带所述随机数和协商后的加密算法;DHCP服务器根据选择IP地址,并向用户发送DHCP提供消息,消息中携带 所述随机数和协商后的加密算法。用户向网络側发起请求,网络侧为用户下发随机数的步骤包括用户发送动DHCP发现消息,消息中携带用户支持的至少一个加密算法和 用户标识; 网络接入服务器向认证服务器发送请求消息,消息中携带所述的至少一 个加密算法,认证服务器响应所述的请求,根据所述至少一个加密算法选择一个加密算法并分配随机数;网络接入服务器从认证服务器获得随机数和选择的加密算法,将DHCP发 现消息转发至DHCP服务器,消息中携带所述随机数和协商后的加密算法;DHCP服务器选择IP地址,并发送DHCP提供消息,消息中携带所述随机数 和协商后的加密算法。用户向网络侧发起请求,网络側为用户下发随机数的步骤包括用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法和用 户标识;网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密 算法的请求至认证服务器,认证服务器响应所述的请求,根据所述至少一个 加密算法选择一个加密算法;网络接入服务器从认证服务器获得选择的加密算法,将DHCP发现消息转 发至DHCP服务器,消息中携带所述的选择的加密算法;DHCP服务器为用户选择一个随机数并选择IP地址,并向用户发送DHCP提 供消息,消息中携带所述的随机数和加密算法。用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送 至网络侧的步骤包括用户利用加密算法,对所述随机数和用户密码进行加密运算,并发送DHCP 请求消息,消息中携带所述随机数和运算结果;网络接入服务器接收所述DHCP请求消息,并发送认证请求至认证服务器, 请求中携带随机数和运算结果。网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所 述用户进行认证的步骤包括认证服务器在数据库中找到用户的密码,利用用户采用的加密算法,对
用户密码和认证请求中的随机数进行加密运算,将运算的结果和认证请求中的运算结果进行比较,以对用户进行认证;如果认证通过,用户使用动态主机配置协议DHCP服务器分配的IP地址, 接入网络的步骤包括如果认证通过,认证服务器给网络接入服务器返回认证成功消息,网络 接入服务器将所述DHCP请求消息转发至DHCP服务器;DHCP服务器通过网络接入服务器给用户返回DHCP确认消息,用户接入网 络成功。所述的方法还包括用户通过网络获取密钥或证书;在用户重认证或重启认证时,用户根据所述密钥或证书对用户密码进行加密;认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过 比较解密后的密码与认证服务器中用户的密码,对用户进行认证。 认证服务器对用户进行认证的步骤包括用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或 i正书加密后的密石马;网络接入服务器根据动态主机配置协议发现消息组建携带用户标识和加 密后的密码的认证请求消息并发给认证服务器;认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密, 同时从数据库中找到用户的密码;将解密后的密码和所述的用户密码进行比较,对用户进行认证。当认证通过后,还包括认证服务器向网络接入服务器返回认证成功消息; 网络接入服务器将DHCP发现消息转发给DHCP服务器; DHCP服务器通过网络接入服务器给用户返回DHCP提供消息;
用户通过网络接入服务器向DHCP服务器发送DHCP请求消息; DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成 功接入网络。一种用户4矣入iU正的方法,包4舌 用户获取密钥或证书;用户根据所述密钥或证书对用户密码进行加密;认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过 比较解密后的密码与认证服务器中用户的密码,对用户进行认证。 认证服务器对用户进行认证的步骤包括用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或 -i正书加密后的密码;网络接入服务器根据DHCP发现消息组建携带用户标识和加密后的密码的 认证请求消息并发给认证服务器;认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密, 同时从数据库中找到用户的密码;将解密后的密码和所述的用户密码进行比较,对用户进行认证。用户通过网络、带外方式或扩展认证协议获取密钥或证书。当认证通过时,还包括认证服务器向网络接入服务器返回认证成功消息; 网络接入服务器将DHCP发现消息转发给DHCP服务器; DHCP服务器通过网络接入服务器给用户返回DHCP提供消息; 用户通过网络接入服务器向DHCP服务器发送DHCP请求消息; DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成 功接入网络。本发明可以取得以下有益效果采用网络侧分配的随机数对用户密码进 行加密,使密码传递更为安全;不需要特殊的客户端软件,只要支持DHCP协以后分配IP地址,避免了IP地址的浪费;在网络层上实现用 户认证;认证服务器端存在用户和密钥的绑定关系,非法用户不能获取正确 的密钥,从而不能通过认证,能有效的防止非法用户的攻击。
图1为现有^t支术DHCP原理图; 图2为现有技术的会话建立期间进行认证的方法; 图3为本发明中用户接入认证的过程示意图; 图4为本发明的实现强认证的过程示意图;具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明 的具体实施例进行详细说明。实施例l为了解决在传送用户密码(password)时的安全问题,本发明的具体实 施例l在用户请求地址时从网络侧获取随机数(如挑战字Challenge ID), 用户利用随机数(Challenge ID )和用户密码进行加密运算,并将加密后的 结果传送至网络侧的认证服务器,网络侧的认证服务器也使用上述随机数和 存储的用户密码进行相同的加密运算,通过比较用户和网络侧对用户密码进 行加密的结果,来实现对用户的认证。通过使用网络側为用户提供的随机数来对用户密码进行加密运算,在网 络侧(如认证服务器端)也使用同样的随机数对用户密码进行加密运算,用网用户对IP地址占用所造成的资源浪费,并能使密码传递更为安全。在本实施例中,随机数可以由网络侧的网络接入服务器(MS)、认证服 务器或DHCP服务器产生并通itDHCP服务器提供给用户。所采用的加密算法可以是 用户和认证服务器事先配置好的,即设置为相同的一种加密算法,如HMAC-MD5算
法,或者由用户和认证服务器进行协商确定。下面对本发明的用户接入认证过程进行详细描述。图3为本发明的用户接入认证时的过程示意图,该过程对 应的是由认证服务器(本实施例中为AAA (认证、授权、计费)服务器)产生 Challenge Id,并在用户和认证服务器之间进行加密算法的协商。在用户第 一次启动时,通过DHCP进行三层认证的过程包括(1) 用户设备(即DHCP客户端)提示用户输入用户名和密码,如可通 过在用户设备上弹出窗口或语音等其他方式提示用户,由用户输入用户名和 密码。(2) 用户设备组建并发送DHCP Discover消息,消息中携带用户标识, 和用户对加密算法的请求(如可以为用户支持的加密算法)。所述用户标识 用于唯一地标识用户,可以是用户名,也可以是MAC地址等。如果不需要和AAA 服务器协商加密算法,则所述DHCP Discover消息中就不需要携带用户对加密 算法的请求。用户所请求的加密算法可以是HMAC—MD5或其他算法(如HMAC-SHA 等算法),也可以是多种加密算法,以由AAA服务器进行选择。(3) 网络接入服务器接收到DHCP Discover消息后,首先緩存DHCP Discover消息,然后组建随机数请求消息(如Radius消息或Diameter消息), 以向网络侧请求随机数。该请求消息包含用户支持的可用于对密码进行加密 的一个或多个加密算法。网络接入服务器(NAS)发送Challenge Id请求消息 给AAA服务器,向AAA服务器请求一个Challenge Id,并协商加密算法。(4) AAA服务器接收到所述Challenge Id请求消息,为用户分配随机数 Challenge ID,并在网络侧建立随机数和用户的绑定关系,同时选择一个用户 可用的加密算法(如HMAC—MD5),并返回Challenge Id应答消息至网,入服 务器,其中包含所分配的随机数和协商后的加密算法(HMAC_MD5)。(5) 网络接入服务器接收到AAA服务器的Challenge Id应答消息,从 Challenge Id应答消息中获取Challenge Id和加密算法,并将该随机数 Challenge Id和加密算法作为中继代理信息选项(Relay Agent Information
Option)添加至DHCP Discover中,网^"入服务器将DHCP Discover发给DHCP 服务器。(6) DHCP服务器接收到DHCP Discover消息后,根据消息中的用户标识 在地址池中选择IP地址(在IPv4中,只分配一个IP地址,但是在IPv6中,则 可不仅限于一个IP地址),并从所述DHCP Discover消息的中继代理信息选项(Relay Agent Information Option)中获取Challenge Id和力口密算法,然 后发送DHCP 0ffer消息,该消息包含选择的IP地址、随机数(Chal lenge Id) 和加密算法。(7) DHCP服务器发出的DHCP Offer消息由网络接入服务器转发至DHCP 客户端(DHCP Client)。(8) 用户设备接收到DHCP 0ffer后,从DHCP Offer中获取Challenge Id 和协商后的加密算法,并利用该随机数和协商后的加密算法对用户密码进行 加密运算,同时组建DHCP Request消息发给网络接入服务器,消息中携带用 户标识、随机数和加密后的密码。(9) 网络接入服务器收到DHCP Request消息后,首先緩存该DHCP Request 消息,从DHCP Request消息中获取用户标识,Challenge Id和经过加密的密 码,然后根据DHCP Request消息的内容组建AAA认证请求并发送给AAA服务器, 该认证请求中携带用户标识、随机数和加密后的密码。(10) AAA服务器接收到认证请求消息后,#4居用户标识在数据库中查找 匹配的条目,在保存于AAA服务器数据库的条目中包含用户标识(索引)、和 用户标识对应的用户密码等信息。如果找到匹配的条目,则AAA服务器使用认 证请求中的随枳4t和协商的加密算法对条目中的密码进行加密计算;如果AAA 服务器计算得到的加密结果和认证请求消息中的携带的加密后的密码相同, 则认证通过,否则认证失败。如果认证成功,AAA服务器向网络接入服务器NAS 发送认证成功消息;如果认证失败,则结束该流程。(11) 如果网络接入服务器收到所述认证成功消息,则转发緩存的DHCPRequest消息至DHCP服务器。(12) DHCP服务器接收到DHCP Request消息后,确认地址分配和参数配 置,返回DHCP确认消息(DHCP Ack),表示允许用户使用分配的地址。(13) 网络接入服务器转发所述DHCP ACK给用户设备。(14) 用户设备接收所述的确认消息,表明成功接入网络。 在如上流程中,用户和AAA服务器之间的加密算法的协商是一个可选的过程,该加密算法也可以不用协商,而可以直接由AAA服务器或用户一方通知给 另一方(用户或AAA服务器),但并不限于此。例如,如果由用户直接通知AAA服务器采用的加密算法,则在步骤(2)-步骤(7 )中不携带用户支持的加密算法或协商后的加密算法,而可在步骤(8 ) 中利用随机数和用户预配置的加密算法对用户密码进行加密,并通过组建的 DHCP Request消息将用户采用的加密算法通知给AAA服务器。另外,本发明中,随机数(Challenge Id )既可以由AAA服务器产生,也 可以由网络接入服务器或DHCP服务器产生。如果由网络接入服务器NAS产生,则步骤(3)和(4)可仅用于加密算法 的协商,而不必向AAA服务器请求随机数(Challenge Id)。而在步骤(5 ) 中由NAS为用户分配随机数,在网络侧建立随机数和用户的绑定关系,并在DHCP Discover消息中携带所述随机数至DHCP服务器。如果用户和AAA服务器间也 不需要进行加密算法的协商时,则步骤(3)和(4)可直接省略。如果由DHCP服务器产生随机数,在协商加密算法的情况下,则步骤(6) 中DHCP Offer携带的消息中的随机数可为由DHCP服务器分配产生的随机数, 而在该步骤的前序步骤中并没有随机数的产生与携带。如果用户和AAA服务器 间不需要进行加密算法的协商,则步骤(3)和(4)可直接省略。有其它的形式。通过如上的用户接入认证过程,解决了在传送密码(Password)时的安
全问题,用户只有根据DHCP服务器返回的和用户绑定的随机数并利用加密算 法对密码进行加密后才能通过认证服务器的认证,只有认证通过,用户才可 以真正的分配到IP地址。因此,即使攻击者截取了用户端发出的DHCP Discover 消息,但由于Challenge Id是由网络侧分配的,攻击者无法通过Challenge Id和用户的绑定检查,所以,可以比较有效的防止重发攻击。 另外,本发明还可以包括如下步骤(可选)(15)用户通过网络(如Web、 Ftp或其他方式)从网络侧获取密钥(包 括共享密钥或其它密钥)或证书,并在网络侧建立所述密钥(或证书)与用 户的绑定关系,这样在DHCP用户重启(例如关^L重启)后,用户就可通过DHCP 进行三层认证流程。由于使用加密算法(如HMAC-MD5算法,但并不限于此)加密进行认证是 一种弱认证方法,那么,用户可以在成功接入网络之后,通过Web(或者Ftp 等其他的方式)获取证书(或者密钥),则用户在重认证或者下次重启认证 时,就可以采用与用户绑定的证书(或者密钥)对用户密码进行加密,实现 强认证。用户也可直接在第一次启动之前通过配置(或其他带外方式)或扩展认 证协议E AP等方式从网络側获取证书或密钥来实现强认证。本发明的利用证书或密钥通过DHCP进行强认证的过程在具体实施例2中 进行了说明。实施例2如图4所示,用户通过DHCP进行三层认证的过程包括1) 用户设备(即DHCP客户端)通过用户输入的方式获取用户的用户名 和密码,如可以通过在用户设备上弹出窗口,提示用户输入用户名和密码, 当然也可采用其它可替代方式。2) 用户设备广播发送DHCP Discover消息,消息中携带用户标识和经过
密钥(或证书)加密后的密码。该密钥(或证书)可以是用户成功接入网络后通过网络(Web、 Ftp等) 获取,或者可直接在第一次启动之前通过配置(或其他带外方式)或扩展认 证协议EAP等方式从网络側获取,网络側在为用户分配密钥(或证书的)同时 建立密钥(或证书)与用户的绑定关系。3) 网络4妾AJ良务器4t^DHCP Discover消息后緩存该消息,/ADHCP Discover 中获取用户标识和经过加密的密码(Password),并于组建携带用户标识和 经过加密的密码后发送AAA认证请求消息至认证服务器(本实施例中为AAA服务器)。4) AAA服务器接收所述的认证请求消息,从认证请求消息中提取用户标 识和经过加密的密码,然后4艮据AAA服务器中用户对应的密钥对加密后的密码 进行解密,同时在数据库中查找用户的密码,判断解密后的密码和找到的密 码是否相同,如果相同则认证成功,不同则认证失败。5) 如果认证成功,网络接入服务器转发緩存的DHCP Discover消息给DHCP 服务器,如果认证失败,该流程结束。6) DHCP服务器接收处理DHCP Discover消息,返回DHCP 0ffer消息。7) 网络接入服务器NAS转发所述DHCP Offer消息至DHCP客户端。8) 用户设备接收处理DHCP 0ffer消息,返回DHCP Request消息。9) 网络接入服务器(MS)转发DHCP Request消息给DHCP服务器。10) DHCP服务器接收处理DHCPRequest消息,返回DHCP确认(DHCP Ack ) 消息,表示允许用户使用分配的地址。11) NAS转发DHCP Ack消息给DHCP客户端。12) 用户设备接收所述的确认消息,表示用户成功接入网络。本实施例可以使用户直接使用密钥或证书对密码进行加密,然后在AAA服 务器端找到对应的密钥或证书对用户加密后的密码进行解密,通过判断解密 后的密码和用户密码是否相同来实现对用户的认证。该密钥或证书的获得可
以是在用户成功接入网络后用户通过网络获取,也可以不需要先进行第一次认证而是通过配置方式(或者其他的带外方式)或EAP方式获取。该方法由于 在AAA服务器端采用和用户对应的密钥或证书(即AAA服务器的密钥或证书) 对用户密码进行解密来实现对用户的认证,因此能够有效的防止非法用户的 攻击。如上各实施例中的用户认证过程不仅适用于DHCPv4认证,同样适用于DHCPv6认证。通过如上所述,本发明可以达到如下效果本发明采用网络侧分配的随 机数对用户密码进行加密,使密码传递更为安全;不需要特殊的客户端软件, 只要支持DHCP协议就可以;认证以后分配IP地址,避免了IP地址的浪费;在 网络层上实现用户认证;认证服务器端存在用户和密钥(或证书)的绑定关 系,非法用户不能获取正确的密钥(或证书),从而不能通过认证,能有效 的防止非法用户的攻击。以上具体实施方式
仅用于说明本发明,而非用于限定本发明。凡在本发 明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本 发明的保护范围之内。
权利要求
1.一种用户接入认证的方法,其特征在于,包括在接入认证过程中,用户向网络侧发起请求,网络侧为用户下发随机数;用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧;网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证;如果认证通过,用户使用动态主机配置协议DHCP服务器分配的IP地址,接入网络。
2. 根据权利要求1所述的方法,其特征在于用户向网络侧发起请求,网络侧为用户下发随才几数的步骤包括 用户发送DHCP发现消息,消息中携带用户标识;网络接入服务器接收所述DHCP发现消息,为用户分配或从认证服务器获 得一个随机数,并转发DHCP发现消息至DHCP服务器,消息中携带所述随机数;DHCP服务器选择IP地址,并向用户发送DHCP提供消息,消息中携带所述 随机数和IP地址;或者包括用户发送DHCP发现消息,消息中携带用户标识; 网络接入服务器接收所述DHCP发现消息,并转发至DHCP服务器; DHCP服务器为用户分配一个随机数并选择IP地址,并向用户发送DHCP提供 消息,消息中携带所述随机数和IP地址。
3. 根据权利要求l所述的方法,其特征在于用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括 用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法及用 户标识; 网络接入服务器接收所述DHCP发现消息,并发送携带所述至少一个加密 算法的请求至认证服务器,所述认证服务器根据所述至少一个加密算法确定采用的加密算法,完成加密算法的协商,并返回协商结果至网络接入服务器;网络接入服务器为用户分配一个随机数,并转发DHCP发现消息至DHCP服 务器,消息中携带所述随机数和协商后的加密算法;DHCP服务器根据选择IP地址,并向用户发送DHCP提供消息,消息中携带 所述随机数和协商后的加密算法。
4. 根据权利要求l所述的方法,其特征在于用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括 用户发送动DHCP发现消息,消息中携带用户支持的至少一个加密算法和 用户标识;网络接入服务器向认证服务器发送请求消息,消息中携带所述的至少一 个加密算法,认证服务器响应所述的请求,根据所述至少一个加密算法选择 一个加密算法并分配随才几数;网络接入服务器从认证服务器获得随机数和选择的加密算法,将DHCP发 现消息转发至DHCP服务器,消息中携带所述随机数和协商后的加密算法;DHCP服务器选择IP地址,并发送DHCP提供消息,消息中携带所述随机数 和协商后的加密算法。
5. 根据权利要求1所述的方法,其特征在于用户向网络侧发起请求,网络侧为用户下发随机数的步骤包括 用户发送DHCP发现消息,消息中携带用户支持的至少一个加密算法和用 户标识;网络接入服务器接收所述DHCP发现消息,并发送携带所述至少 一个加密 算法的请求至认证服务器,认证服务器响应所述的请求,根据所述至少一个 加密算法选择一个加密算法;网络接入服务器从认证服务器获得选择的加密算法,将DHCP发现消息转 发至DHCP服务器,消息中携带所述的选择的加密算法;DHCP服务器为用户选择一个随机数并选择IP地址,并向用户发送DHCP提 供消息,消息中携带所述的随机数和加密算法。
6. 根据权利要求l-5中任意一项所述的方法,其特征在于 用户使用上述随机数和用户密码进行加密运算,并将加密后的结果传送至网络側的步骤包括用户利用加密算法,对所述随才几数和用户密码进行加密运算,并发送DHCP 请求消息,消息中携带所述随机数和运算结果;网络接入服务器接收所述DHCP请求消息,并发送认证请求至认证服务器, 请求中携带随机数和运算结果。
7. 根据权利要求1-5中任意一项所述的方法,其特征在于 网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证的步骤包括认证服务器在数据库中找到用户的密码,利用用户采用的加密算法,对 用户密码和认证请求中的随机数进行加密运算,将运算的结果和认证请求中 的运算结果进行比较,以对用户进行认证;如果认证通过,用户使用动态主机配置协议DHCP服务器分配的IP地址, 接入网络的步骤包括如果认证通过,认证服务器给网络接入服务器返回认证成功消息,网络 接入服务器将所述DHCP请求消息转发至DHCP服务器;DHCP服务器通过网络接入服务器向用户返回DHCP确认消息,用户接入网 络成功。
8. 根据权利要求l-5中的任一项所述的方法,其特征在于,还包括 用户通过网络获取密钥或证书;在用户重认证或重启认证时,用户根据所述密钥或证书对用户密码进行 加密;认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过 比较解密后的密码与认证服务器中用户的密码,对用户进行认证。
9. 根据权利要求8所述的方法,其特征在于,认证服务器对用户进行认证 的步骤包括用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或 证书加密后的密码;网络接入服务器根据动态主机配置协议发现消息组建携带用户标识和加 密后的密码的认证请求消息并发给认证服务器;认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密, 同时从数据库中找到用户的密码;将解密后的密码和所述用户的密码进行比较,对用户进行认证。
10. 根据权利要求9所述的方法,其特征在于,当认证通过后,还包括 认证服务器向网络接入服务器返回认证成功消息; 网络接入服务器将DHCP发现消息转发给DHCP服务器; DHCP服务器通过网络接入服务器给用户返回DHCP提供消息;用户通过网络接入服务器向DHCP服务器发送DHCP请求消息; DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成 功接入网络。
11. 一种用户接入认证的方法,其特征在于,包括 用户获取密钥或证书;用户根据所述密钥或证书对用户密码进行加密;认证服务器利用对应的密钥或证书对用户加密后的密码进行解密,通过 比较解密后的密码与认证服务器中用户的密码,对用户进行认证。
12. 根据权利要求ll所述的方法,其特征在于,认证服务器对用户进行 认证的步骤包括用户向网络接入服务器发送DHCP发现消息,该消息携带经过所述密钥或 证书加密后的密码;网络接入服务器根据DHCP发现消息组建携带用户标识和加密后的密码的 认证请求消息并发给认证服务器;认证服务器利用用户对应的密钥或证书对所述加密后的密码进行解密, 同时从数据库中找到用户的密码;将解密后的密码和所述用户的密码进行比较,对用户进行认证。
13. 根据权利要求ll所述的方法,其特征在于用户通过网络、带外方式或扩展认证协议获取密钥或证书。
14, 根据权利要求ll所述的方法,其特征在于 当认证通过时,还包括认证服务器向网络接入服务器返回认证成功消息; 网络接入服务器将DHCP发现消息转发给DHCP服务器; DHCP服务器通过网络接入服务器给用户返回DHCP提供消息; 用户通过网络接入服务器向DHCP服务器发送DHCP请求消息; DHCP服务器通过网络接入服务器向用户设备返回DHCP应答消息,用户成 功接入网络。
全文摘要
本发明为一种用户接入认证的方法,包括在接入认证过程中,用户向网络侧发起请求,网络侧为用户下发随机数;用户利用所述随机数和用户密码进行加密运算,并将加密后的结果传送至网络侧;网络侧使用上述随机数和存储的用户密码进行相同的加密运算,以对所述用户进行认证;如果认证通过,所述用户使用DHCP服务器分配的IP地址,接入网络。本发明使密码传递更为安全,避免了IP地址的浪费,并且能有效的防止非法用户的攻击。
文档编号H04L9/32GK101127600SQ20061011544
公开日2008年2月20日 申请日期2006年8月14日 优先权日2006年8月14日
发明者管红光 申请人:华为技术有限公司