专利名称:一种用户认证方法及装置和系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种用户认证方法及装置和系统
背景技术:
目前无线局域网WLAN的Web认证机制中,用户的认证由接入控制器AC、门户 Portal月艮务器禾口 RADIUS (Remote Authentication Dial In User Service)认i正月艮务器共 同完成。用户认证时,用户所在客户端与接入点AP建立连接后,与AC之间完成DHCP地址 分配,即AC为该用户所在客户端分配地址,AC通知Portal服务器向该用户所在客户端发送 认证页面,该用户通过其所在客户端将用户名和用户密码发送给Portal服务器,然后,AC、 Portal服务器和RADIUS认证服务器共同完成对该用户的认证,认证通过后,由Portal向该 用户所在客户端发送认证通过页面。 在用户认证通过后,AC中会维持一个会话状态表,用于记录已通过认证的用户会 话,即会话状态表中存储该用户所在客户端地址。目前, 一般以IP地址或者IP地址+MAC 地址作为该会话状态表的识别索引,当网络侧收到客户端发送的访问请求时,如果该客户 端的源IP地址或者源IP地址+源MAC地址已经存在于当前会话状态表的记录中,则认为 该客户端用户已经通过认证,确定其为合法用户。WLAN仅进行一次用户认证,然后通过客户 端的IP地址+MAC来识别客户端用户。 上述RADIUS认证服务器中存储有用户名与登录状态的对应关系,在用户认证通 过后,RADIUS认证服务器中存储的认证通过用户的用户名对应的登录状态为在线状态,AC 中存储认证通过用户的用户名。当认证通过用户正常离线后,RADIUS认证服务器修改该 用户名对应的登录状态为离线状态,AC清除其存储的该用户名;当认证通过用户异常离线 后,RADIUS认证服务器中存储的该用户名对应的登录状态仍然为在线状态,AC不会清除其 存储的该用户名,在设定时间内该用户通过其所在客户端登录网络不需要再次认证,可以 直接登录,在超过设定时间后,RADIUS认证服务器修改该用户名对应的登录状态为离线状 态,AC清除其存储的该用户名。 因此,基于上述认证机制容易导致合法用户对业务的滥用,比如合法用户通过认
证后,主动异常离线,将其IP地址+區(:地址让给其他用户使用,该合法用户再重新申请认
证并登录,或者非法用户获取合法用户的用户名和用户密码后,使用合法用户的用户名和用户 密码申请认证并登录,因此,造成多用户使用同一用户名同时登录网络,使用业务。由于目前 WLAN业务计费是按时间计费的,同时使用的多个用户只进行一次计费,造成业务收入流失。
发明内容
本发明提供一种用户认证方法及装置和系统,用以避免多用户使用同一用户名同 时登录网络,使用业务,进而避免业务收入流失。
本发明实施例提供一种用户认证方法,包括 网络侧接收用户所在客户端发送的携带用户名和用户密码的认证请求;
根据所述用户名匹配存储的用户名与登录状态的对应关系;当匹配到所述用户名
对应的登录状态为在线状态时,确定所述用户的第一认证结果为认证失败;否则,确定所述
用户的第一认证结果为根据所述用户名和所述用户密码确定出的第二认证结果。
本发明实施例还提供一种匹配装置,包括 存储单元,用于存储用户名与登录状态的对应关系; 匹配单元,用于根据请求认证的用户的用户名匹配所述存储单元存储的用户名与 登录状态的对应关系; 确定单元,用于当匹配到所述用户名对应的登录状态为在线状态时,确定所述用 户的第一认证结果为认证失败。 本发明实施例还提供一种用户认证系统,包括
客户端,用于发送携带用户名和用户密码的认证请求; 认证装置,用于接收所述客户端发送的携带用户名和用户密码的认证请求;以及 根据所述用户名匹配存储的用户名与登录状态的对应关系;当匹配到所述用户名对应的登 录状态为在线状态时,确定所述用户的第一认证结果为认证失败;否则,确定所述用户的第 一认证结果为根据所述用户名和所述用户密码确定出的第二认证结果。
本发明有益效果如下 本发明实施例提供的方法,包括网络侧接收用户所在客户端发送的携带用户名 和用户密码的认证请求;根据用户名匹配存储的用户名与登录状态的对应关系;当匹配到 该用户名对应的登录状态为在线状态时,确定该用户的第一认证结果为认证失败;否则,确 定该用户的第一认证结果为根据该用户名和用户密码确定出的第二认证结果。采用本发明 提供的方法及装置和系统,由于,当用户认证通过后,网络侧存储的该用户名对应的登录状 态为在线状态,当该用户正常离线后,网络侧存储的该用户名对应的登录状态更新为离线 状态,当该用户异常离线,则网络侧存储的该用户名对应的登录状态仍为在线,因此,网络 侧在接收到用户所在客户端发送的携带用户名和用户密码的认证请求后,当根据该用户名 匹配到该用户名对应的登录状态为在线状态时,表示该用户在线或异常离线,进而确定使 用该客户端发起认证请求的用户非法,确定该用户的认证结果为认证失败,因此,避免了多 用户使用同一用户名同时登录网络,使用业务,进而避免了业务收入流失。
图1为本发明实施例提供的一种用户认证方法流程图; 图2A、图2B为本发明实施例提供的一种用户认证方法流程图; 图3A、图3B为本发明实施例提供的一种用户认证方法流程图; 图4A、图4B为本发明实施例提供的一种用户认证方法流程图; 图5为本发明实施例提供的一种匹配装置结构示意图; 图6为本发明实施例提供的一种用户认证系统结构示意图; 图7为本发明实施例提供的一种用户认证系统中的认证装置结构示意图。
具体实施例方式
本发明实施例提供一种用户认证方法,如图1所示,包括
步骤S101、网络侧接收用户所在客户端发送的携带用户名和用户密码的认证请 求。 步骤S102、根据该用户名匹配存储的用户名与登录状态的对应关系。 步骤S103、当匹配到该用户名对应的登录状态为在线状态时,进入步骤S104,否
则,进入步骤S105。 步骤S104、确定该用户的第一认证结果为认证失败。 步骤S105、确定该用户的第一认证结果为根据该用户名和用户密码确定出的第二 认证结果。 下面结合附图,用具体实施例对本发明提供的方法及装置和相应系统进行详细描 述。 图2A为本发明实施例提供的一种用户认证方法流程图之一,其中,接入控制器 AC、门户Portal服务器和RADIUS服务器位于网络侧,具体包括 步骤S2101、WLAN用户所在客户端在与网络侧建立连接,并由AC为其分配IP地址 后,发送访问请求给AC。 步骤S2102、 AC接收客户端发送的访问请求,将访问请求发送给Portal服务器。
步骤S2103、 Portal服务器接收AC发送的访问请求,向客户端发送认证页面。
步骤S2104、客户端接收Portal服务器发送的认证页面,根据认证页面中的指示, 填写用户名和用户密码,并由认证请求携带发送给Portal服务器。 步骤S2105、 Portal服务器接收客户端发送的用户名和用户密码,并将客户端的 IP地址发送给AC。 步骤S2106、AC接收Portal服务器发送的IP地址,存储IP地址,然后随机生成随 机数,并将随机数和IP地址发送给Portal服务器。其中,随机数用于同用户密码一起进行 运算,生成共享密钥。 本发明实施例中,生成的随机数具体包括两个随机数,分别是chal 1 enge和 chaID。随机数的生成方法和包含的随机数数量以及每个随机数的取值范围,与密钥生成算 法有关,具体随机数生成方法可采用现有技术中的多种方法,在此不做详细描述。其他实施 例中可以有其他选择。 步骤S2107、Portal服务器接收AC发送的IP地址和随机数,根据IP地址,匹配出 对应的用户名和用户密码,使用密钥生成算法对用户密码和随机数进行运算,生成共享密 钥,并将IP地址、用户名和共享密钥发送给AC。本发明实施例中,密钥生成算法采用MD5算 法,其他实施例中也可以选择其他密钥生成算法。 步骤S2108、 AC接收Portal服务器发送的IP地址、用户名和共享密钥,根据用户 名匹配存储的用户名与登录状态的对应关系,匹配到用户名对应的登录状态为在线状态, 确定该用户的认证结果为认证失败。 步骤S2109、 AC发送IP地址和认证失败消息给Portal服务器。 步骤S2110、Portal服务器接收AC发送的IP地址和认证失败消息,生成认证失败
页面,根据IP地址发送认证失败页面给客户端。 图2B为本发明实施例提供的一种用户认证方法流程图之二,具体包括 步骤S2201-步骤S2207、步骤S2201-步骤S2207与图2A中的步骤S2101-步骤S2107相同。 步骤S2208、 AC接收Portal服务器发送的IP地址、用户名和共享密钥,根据用户 名匹配存储的用户名与登录状态的对应关系,没有匹配到用户名对应的登录状态为在线状 态。 步骤S2209、 AC发送用户名、随机数和共享密钥给RADIUS认证服务器。 步骤S2210、RADIUS认证服务器接收AC发送的用户名、随机数和共享密钥,根据存
储的用户信息,匹配出对应该用户名的用户密码,使用密钥生成算法对匹配出的用户密码
和随机数进行运算,生成共享密钥,比较生成的共享密钥和接收的共享密钥是否相同,如果
相同,认证通过,如果不同,认证失败,并将认证结果消息(认证通过消息或认证失败消息)
发送给AC。 步骤S2211、 AC接收RADIUS认证服务器发送的认证结果消息,并将该认证结果消 息和对应该消息的IP地址发送给Portal服务器。 步骤S2212、Portal服务器接收AC发送的认证结果消息和IP地址,生成认证结果
页面(认证通过页面或认证失败页面),并根据IP地址将认证结果页面发送给客户端。 图3A为本发明实施例提供的一种用户认证方法流程图之三,具体包括 步骤S3101-步骤S3107、步骤S3101-步骤S3107与图2A中的步骤S2101-步骤
S2107相同。 步骤S3108、 AC发送用户名、随机数和共享密钥给RADIUS认证服务器。 步骤S3109、 RADIUS认证服务器接收AC发送的用户名、随机数和共享密钥,根据
用户名匹配存储的用户名与登录状态的对应关系,匹配到用户名对应的登录状态为在线状
态,确定该用户的认证结果为认证失败。 步骤S3110、 RADIUS认证服务器发送认证失败消息给AC。 步骤S3111、 AC发送IP地址和认证失败消息给Portal服务器。 步骤S3112、Portal服务器接收AC发送的IP地址和认证失败消息,生成认证失败
页面,根据IP地址发送认证失败页面给客户端。 图3B为本发明实施例提供的一种用户认证方法流程图之四,具体包括 步骤S3201-步骤S3208、步骤S3201-步骤S3208与图3A中的步骤S3101-步骤
S3108相同。 步骤S3209、 RADIUS认证服务器接收AC发送的用户名、随机数和共享密钥,根据 用户名匹配存储的用户名与登录状态的对应关系,匹配到用户名对应的登录状态为离线状 态。 步骤S3210、 RADIUS认证服务器根据存储的用户信息,匹配出对应该用户名的用 户密码,使用密钥生成算法对匹配出的用户密码和随机数进行运算,生成共享密钥,比较生 成的共享密钥和接收的共享密钥是否相同,如果相同,认证通过,如果不同,认证失败,并将 认证结果消息(认证通过消息或认证失败消息)发送给AC。 步骤S3211、 AC接收RADIUS认证服务器发送的认证结果消息,并将该认证结果消 息和对应该消息的IP地址发送给Portal服务器。 步骤S3212、Portal服务器接收AC发送的认证结果消息和IP地址,生成认证结果 页面(认证通过页面或认证失败页面),并根据IP地址将认证结果页面发送给客户端。
图4A为本发明实施例提供的一种用户认证方法的信令交互流程图之五,具体包 括 步骤S4101-步骤S4108、步骤S4101-步骤S4108与图3A中的步骤S3101-步骤 S3108相同。 步骤S4109、RADIUS认证服务器接收AC发送的用户名、随机数和共享密钥,根据存 储的用户信息,匹配出对应该用户名的用户密码,使用密钥生成算法对匹配出的用户密码 和随机数进行运算,生成共享密钥,比较生成的共享密钥和接收的共享密钥是否相同,如果 相同,认证通过,如果不同,认证失败,并将认证结果消息(认证通过消息或认证失败消息) 发送给AC。 步骤S4110、 AC接受RADIUS认证服务器发送的认证结果消息,如果认证结果消息
为认证失败消息,则进入步骤S4111,否则,根据用户名匹配存储的用户名与登录状态的对
应关系,匹配到用户名对应的登录状态为在线状态,确定该用户的认证结果为认证失败。 步骤S4111、 AC发送IP地址和认证失败消息给Portal服务器。 步骤S4112、Portal服务器接收AC发送的IP地址和认证失败消息,生成认证失败
页面,根据IP地址发送认证失败页面给客户端。 图4B为本发明实施例提供的一种用户认证方法的信令交互流程图之六,具体包 括 步骤S4201-步骤S4209、步骤S4201-步骤S4209与图4A中的步骤S4101-步骤 S4109相同。 步骤S4210、 AC接受RADIUS认证服务器发送的认证结果消息,如果认证结果消息 为认证失败消息,则进入步骤S4211,否则,根据用户名匹配存储的用户名与登录状态的对 应关系,没有匹配到用户名对应的登录状态为在线状态。 步骤S4211、AC将该认证结果消息和对应该消息的IP地址发送给Portal服务器。
步骤S4212、Portal服务器接收AC发送的认证结果消息和IP地址,生成认证结果 页面(认证通过页面或认证失败页面),并根据IP地址将认证结果页面发送给客户端。
上述图2A-4B所示的用户认证方法,网络侧根据接收的认证请求携带的用户名匹 配存储的用户名与登录状态的对应关系,当匹配到该用户名对应的登录状态为在线状态 时,确定该用户的认证结果为认证失败;否则,确定该用户的认证结果为根据该用户名和用 户密码确定出的认证结果,因此,避免了多用户使用同一用户名同时登录网络,使用业务, 进而避免了业务收入流失。 基于同一发明构思,根据本发明上述实施例提供的用户认证方法,相应地,本发明 实施例还提供了一种匹配装置,应用于无线局域网,装置结构示意图如图5所示,具体包 括 存储单元501,用于存储用户名与登录状态的对应关系; 匹配单元502,用于根据请求认证的用户的用户名匹配上述存储单元501存储的 用户名与登录状态的对应关系; 确定单元503,用于当匹配到该用户名对应的登录状态为在线状态时,确定该用户 的认证结果为认证失败。 较佳地,上述匹配装置嵌入到网络侧的接入控制器和认证服务器中。
8
本发明实施例还提供一种用户认证系统,应用于无线局域网,系统结构示意图如 图6所示,包括 客户端601,用于发送携带用户名和用户密码的认证请求; 认证装置602,用于接收用户所在客户端601发送的携带用户名和用户密码的认 证请求;以及根据该用户名匹配存储的用户名与登录状态的对应关系;当匹配到该用户名 对应的登录状态为在线状态时,确定该用户的第一认证结果为认证失败;否则,确定该用户 的第一认证结果为根据该用户名和用户密码确定出的第二认证结果。 较佳地,上述认证装置602,如图7所示,具体包括门户服务器701、接入控制器 702和认证服务器703 ; 上述门户服务器701,用于接收用户所在客户端发送的携带用户名和用户密码的 认证请求; 上述接入控制器702,用于根据上述门户服务器701传送的该用户名匹配存储的 用户名与登录状态的对应关系;当匹配到该用户名对应的登录状态为在线状态时,确定该 用户的第一认证结果为认证失败; 上述门户服务器701、上述接入控制器702和上述认证服务器703,还用于当上述 接入控制器702没有匹配到该用户名对应的登录状态为在线状态时,确定该用户的第一认 证结果为其根据该用户名和用户密码确定出的第二认证结果。 较佳地,上述认证装置602,如图7所示,具体包括门户服务器701、接入控制器 702和认证服务器703 ; 上述门户服务器701,用于接收用户所在客户端发送的携带用户名和用户密码的 认证请求; 上述接入控制器702,用于接收上述门户服务器701传送的用户名,并传送给上述 认证服务器703 ; 上述认证服务器703,用于根据上述接入控制器702传送的该用户名匹配存储的 用户名与登录状态的对应关系;当匹配到该用户名对应的登录状态为在线状态时,确定该 用户的第一认证结果为认证失败; 上述门户服务器701、上述接入控制器702和上述认证服务器703,还用于当上述 认证服务器703没有匹配到该用户名对应的登录状态为在线状态时,确定该用户的第一认 证结果为其根据该用户名和用户密码确定出的第二认证结果。 较佳地,上述认证装置602,如图7所示,具体包括门户服务器701、接入控制器 702和认证服务器703 ; 上述门户服务器701,用于接收用户所在客户端发送的携带用户名和用户密码的 认证请求; 上述门户服务器701、上述接入控制器702和上述认证服务器703,用于根据该用 户名和用户密码确定出第二认证结果; 上述认证服务器703,还用于将第二认证结果发送给上述接入控制器702 ;
上述接入控制器702,还用于当认证结果为认证通过时,根据上述门户服务器701 传送的该用户名匹配存储的用户名与登录状态的对应关系;当匹配到该用户名对应的登录 状态为在线状态时,确定该用户的第一认证结果为认证失败;否则,确定该用户的第一认证结果为上述认证服务器703发送的第二认证结果。 综上所述,本发明实施例提供的方案,网络侧根据接收的认证请求携带的用户名 匹配存储的用户名与登录状态的对应关系,当匹配到该用户名对应的登录状态为在线状态 时,确定该用户的第一认证结果为认证失败;否则,确定该用户的第一认证结果为根据该用 户名和用户密码确定出的第二认证结果,因此,避免了多用户使用同一用户名同时登录网 络,使用业务,进而避免了业务收入流失。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种用户认证方法,其特征在于,包括网络侧接收用户所在客户端发送的携带用户名和用户密码的认证请求;根据所述用户名匹配存储的用户名与登录状态的对应关系;当匹配到所述用户名对应的登录状态为在线状态时,确定所述用户的第一认证结果为认证失败;否则,确定所述用户的第一认证结果为根据所述用户名和所述用户密码确定出的第二认证结果。
2. 如权利要求1所述的方法,其特征在于,由网络侧的门户服务器接收所述认证请求;以及由网络侧的接入控制器接收到所述门户服务器传送的所述用户名时,根据所述用户名 匹配存储的用户名与登录状态的对应关系。
3. 如权利要求1所述的方法,其特征在于,由网络侧的门户服务器接收所述认证请求;以及由网络侧的认证服务器接收到所述门户服务器通过网络侧的接入控制器传送的所述 用户名时,根据所述用户名匹配存储的用户名与登录状态的对应关系。
4. 如权利要求1所述的方法,其特征在于,由网络侧的门户服务器接收所述认证请求;以及由网络侧的接入控制器接收到网络侧的认证服务器发送的所述用户的认证通过结果 时,根据所述门户服务器传送的所述用户名匹配存储的用户名与登录状态的对应关系。
5. —种匹配装置,其特征在于,包括 存储单元,用于存储用户名与登录状态的对应关系;匹配单元,用于根据请求认证的用户的用户名匹配所述存储单元存储的用户名与登录 状态的对应关系;确定单元,用于当匹配到所述用户名对应的登录状态为在线状态时,确定所述用户的 第一认证结果为认证失败。
6. 如权利要求5所述的装置,其特征在于,所述匹配装置嵌入到网络侧的接入控制器 或认证服务器中。
7. —种用户认证系统,其特征在于,包括 客户端,用于发送携带用户名和用户密码的认证请求;认证装置,用于接收所述客户端发送的携带用户名和用户密码的认证请求;以及根据 所述用户名匹配存储的用户名与登录状态的对应关系;当匹配到所述用户名对应的登录状 态为在线状态时,确定所述用户的第一认证结果为认证失败;否则,确定所述用户的第一认 证结果为根据所述用户名和所述用户密码确定出的第二认证结果。
8. 如权利要求7所述的系统,其特征在于,所述认证装置包括门户服务器、接入控制 器和认证服务器;所述门户服务器,用于接收所述客户端发送的携带用户名和用户密码的认证请求; 所述接入控制器,用于根据所述门户服务器传送的所述用户名匹配存储的用户名与登录状态的对应关系;当匹配到所述用户名对应的登录状态为在线状态时,确定所述用户的第一认证结果为认证失败;所述门户服务器、所述接入控制器和所述认证服务器,还用于当所述接入控制器没有匹配到所述用户名对应的登录状态为在线状态时,确定所述用户的第一认证结果为其根据所述用户名和用户密码确定出的第二认证结果。
9. 如权利要求7所述的系统,其特征在于,所述认证装置包括门户服务器、接入控制 器和认证服务器;所述门户服务器,用于接收所述客户端发送的携带用户名和用户密码的认证请求; 所述接入控制器,用于接收所述门户服务器传送的所述用户名,并传送给所述认证服 务器;所述认证服务器,用于根据所述接入控制器传送的所述用户名匹配存储的用户名与登 录状态的对应关系;如果匹配到所述用户名对应的登录状态为在线状态,确定所述用户的 第一认证结果为认证失败;所述门户服务器、所述接入控制器和所述认证服务器,还用于当所述认证服务器没有 匹配到所述用户名对应的登录状态为在线状态时,确定所述用户的第一认证结果为其根据 所述用户名和用户密码确定出的第二认证结果。
10. 如权利要求7所述的系统,其特征在于,所述认证装置包括门户服务器、接入控制 器和认证服务器;所述门户服务器,用于接收所述客户端发送的携带用户名和用户密码的认证请求; 所述门户服务器、所述接入控制器和认证服务器,用于根据所述用户名和用户密码确定出第二认证结果;所述认证服务器,还用于将所述第二认证结果发送给所述接入控制器; 所述接入控制器,还用于当所述认证结果为认证通过时,根据所述门户服务器传送的所述用户名匹配存储的用户名与登录状态的对应关系;当匹配到所述用户名对应的登录状态为在线状态时,确定所述用户的第一认证结果为认证失败;否则,确定所述用户的第一认证结果为所述认证服务器发送的所述第二认证结果。
全文摘要
本发明公开了一种用户认证方法及装置和系统,包括网络侧接收用户所在客户端发送的携带用户名和用户密码的认证请求;根据该用户名匹配存储的用户名与登录状态的对应关系;当匹配到该用户名对应的登录状态为在线状态时,确定该用户的第一认证结果为认证失败;否则,确定该用户的第一认证结果为根据该用户名和用户密码确定出的第二认证结果。采用本发明提供的方法及装置和系统,避免了多用户使用同一用户名同时登录网络,使用业务,进而避免了业务收入流失。
文档编号H04L29/06GK101771540SQ20081024677
公开日2010年7月7日 申请日期2008年12月29日 优先权日2008年12月29日
发明者刘利军, 李祥军, 邵春菊, 魏冰 申请人:中国移动通信集团公司