专利名称:控制客户端访问网络设备的方法和网络认证服务器的制作方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种控制客户端访问网络设备的方 法和网络认证服务器。
背景技术:
ITU (International Telecommunication Union,国际电信联盟)中提出 的家庭网络的一般模型的结构示意图如图1所示。根据各个实体所处位置及 作用的不同,图1所示的家庭网络的模型的可以分为7种,分别为远程用 户、远程终端、应用程序服务器、安全家庭网关、家庭应用程序服务器、家 庭用户和家庭设备。其中家庭设备根据功能不同又被划分如下的A、 B、 C三 类设备。A类设备具有控制功能;例如电脑、机顶盒B类设备具有桥接功能;例如交换机(switch)、集线器(hub)C类设备为其它家庭设备提供特定服务;例如数字电视、冰箱。该C类设备没有通信接口直接连接到家庭网络,而是通过B类设备连接到家庭网络。图1所示的家庭网络的模型中有12种关系,分别在远程用户和远程终 端、远程终端和安全家庭网关、远程终端和家庭应用程序服务器、远程终端 和家庭设备、应用程序服务器和安全家庭网关、应用程序服务器和家庭应用 程序服务器、应用程序服务器和家庭设备、安全家庭网关和家庭设备、家庭 应用程序服务器和家庭设备、家庭设备和家庭用户、家庭设备和其他家庭设备、妄仝家庭网关和家庭应用程序服务器之间。这些实休及它们之间的相互 关系就构成了整个家庭网络的 一般模型。在家庭网络中需要建立信息安全体系,该信息安全体系的目的是保证家 庭网络系统中的数据只能被有权限的用户访问,未经授权的用户无法访问数 据,因此,需要对用户进行有效的身份认证。如果没有有效的用户身份认证 手段,访问者的身份就很容易被伪造,使得任何安全防范体系都形同虛设。上述用户身份认证是指计算机及网络系统确认操作者身份的过程。计算 机和计算机网络组成了一个虚拟的数字世界,在该数字世界中,用户的身份 信息等所有信息都是由一组特定的数据来表示,计算机及网络系统只能识别 用户的数字身份,计算机及网络系统给用户的授权也是针对用户数字身份而 进行的。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一 无二的物理身份。如何保证以数字身份进行搡作的访问者就是这个数字身份 的合法拥有者,即如何保证操作者的物理身份与数字身份相对应,就成为了题。目前,在家庭网络中进行用户身份认证的方式包括如下几种1、 用户名/密码方式。用户名/密码方式是最简单也是最常用的用户身份认证方法,该方式中 的用户名/密码非常容易被破解,因此,该方式是一种是极不安全的用户身 份认证方式。2、 IC卡认证方式。IC卡由合法用户随身携带,该合法用户登录家庭网络时,必须将其携带 的IC卡插入专用的读卡器读取其中的信息,以验证该合法用户的身份,通过 IC卡硬件的不可复制性来保证用户身份不会被仿冒。然而,由于每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到 IC卡中存储的用户的身份验证信息,因此,该方式还是存在安全隐患。3、动态口令iU正方式。动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密 码只能使用一次的技术。动态口令技术采用一次一密的方法,有效保证了用 户身份的安全性。但是,如果家庭网络的客户端与服务器端的时间或次数不 能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登 录时需要通过键盘输入一长串无规律的密码, 一旦输错就要重新操作,使用 起来非常不方便,从而有可能造成新的安全漏洞。在用户访问网络设备时,服务器要对用户的身份进行认证,要保证网络 安全,认证必须严格复杂。现有技术中,如果用户访问了网络中的一台网络 设备之后,又要访问另外的网络设备,为保证安全,服务器需要根据网络设 备发出的对用户进行认证的请求,对用户重复进行一次严格复杂的认证,用 户操作及服务器的控制都比较复杂。发明内容本发明实施例的目的是提供一种控制客户端访问网络设备的方法和网络 认证服务器,从而可以有效而方便地控制用户的终端对网络中的设备的访问。本发明实施例的目的是通过以下技术方案实现的 一种控制客户端访问网络设备的方法,包括步骤A、 网络中的认证服务器通过用户的客户端对用户进行身份认证,身份 认证通过后,所述认证服务器给所述用户的客户端分配认证信息,该认证信 息包括临时I D和相应的有效期;B、 所述认证服务器根据所述给用户的客户端分配的认证信息,控制所述用卢的客卢端访问网络中的设备。一种网络认证服务器,包括身份认证模块,用于通过用户的客户端对用户进行身份认证;权限分配模块,用于在所述身份认证模块对所述用户的身份认证通过后,给所述用户的客户端分配认证信息,该认证信息包括临时ID和相应的有 效期;并将所述认证信息发送给所述用户的客户端;客户端访问控制模块用于在所述网络中的设备接收到用户的客户端的 访问请求后,根据所述权限分配模块给所述用户的客户端分配的认证信息, 控制所述用户的客户端对所述网络中的设备的访问。由上述本发明实施例提供的技术方案可以看出,本发明实施例中,网络 中的认证服务器通过用户的客户端对用户进行身份认证后,所述认证服务器 给所述用户分配临时ID和相应的有效期,以及权限信息,用户可根据这个认 证服务器分配的临时I D访问网络中的设备,由于此临时ID和相应的有效期由 认证服务器根据用户的身份分配,与用户相对应,用户在利用此临时ID访问 网络设备时,服务器能根据临时ID识别出用户的身份、有效期和权限等信 息,从而不必再对用户进行复杂严格的身份认证。所以,上述技术方案实现 了网络中的认证服务器安全、有效而方便地控制用户的终端对网络中的设备 的i方问。
图1为ITU中提出的家庭网络的一般模型的结构示意图; 图2为本发明所述方法的实施例的处理流程图; 图3为本发明所述单点登录过程的实施例的处理流程图; 图4为本发明所述装置的实施例的结构示意图。
具体实施方式
本发明实施例提供了 一种控制客户端访问网络设备的方法和网络认证服 务器。本发明实施例所述方法的主要处理流程为网络中的认证服务器和用户 的客户端之间首先采用公钥密码体制进行双向身份认证,所述认证服务器给 所述用户的客户端分配临时ID和相应的有效期,以及权限信息。然后,控制 所述用户的客户端在所述有效期内,使用所述临时ID访问网络中的设备。 本发明实施例所述方法适用于各种小形局域网络,比如,家庭网络。 以家庭网络为例,本发明所述方法的实施例的处理流程主要包括如下步骤步骤A、家庭网络中的认证服务器通过用户的客户端对用户进行身份认 证,在该身份认证通过后,所述认证服务器给所述用户的客户端分配认证信 息,该认证信息包括临时ID和相应的有效期;步骤B、在所述用户的客户端使用所述给其分配的临时ID访问家庭网络 中的设备后,所述认证服务器根据所述给用户的客户端分配的认证信息,控 制所述用户的客户端访问网络中的设备。本发明实施例提供了 一个对上述步骤A进行细化的图2所示的处理流程, 该流程包括如下步骤步骤21、家庭网络在建立起来之后,就应该为家庭网络中的用户提供各 种服务。用户在使用该各种服务之前,家庭网络需要对用户的身份进行认 证,在确认了用户的合法身份之后,该用户才能使用家庭网络中的设备。在本实施例的处理流程中,用户是指家庭网络中的家庭成员或者访客, 客户端是指用户登录家庭网络所经由的家庭设备, 一般为上述家庭网络中的 A类设备,例如个人电脑。认证服务器是指家庭网络中具有控制功能的A类设备,例如家庭网关。数据库则可以建立在家庭网络中的一台服务器上,用泉 保存和家庭网络用户及设备权限相关的消息, 一般仅家庭网络管理员才对该 数据库具有操作权。用户首先通过客户端向iU正服务器发送初始^人证请求,该初始认证请求 中携带用户ID和用认证服务器公钥加密的随机数a 。步骤22、认证服务器检查接收到的上述初始认证请求中携带的用户ID是 否正确,如果是,则生成随机数b,继续进行认证,否则;终止本次认证。步骤23、认证服务器用自身的私钥解密出上述初始认证请求中携带的随 机数a,用上述用户的公钥对随机数a和新生成的上述随机数b进行加密后, 一同发送给客户端。步骤24、客户端用自身的私钥解密出上述认证服务器发送的随机数a、 b,检查该随机数a是否正确,若检查通过,则完成上述用户对认证服务器的 身份认证。步骤25、客户端确定了认证服务器的身份之后,将接收到的上述随机数 b用认证服务器的公钥加密后发送给认证服务器。步骤26、认证服务器使用自身的私钥解密出上述客户端发送的随机数 b,检查该随机数b是否正确,若检查通过,则确认了上述用户的身份。将上 述随机数a、 b及用户的公钥、认证服务器的公钥作为参数,生成和用户共享 的密钥Ks。上述共享密钥Ks是可选项,不生成Ks也能完成用户的认证。该共享密钥 主要是为了防止非法用户监听身份认证过程中的交互信息而将用户的临时ID截狄。步骤27、认证服务器在确认了上述用户的身份之后,向数据库发送上述 用户的权限查询消息。息。
步骤29、认证服务器给上述用户的客户端分配临时ID及其相应的有效 期,向客户端返回^人i正成功响应消息,在该i人i正成功响应消息中携带用上述 Ks加密的临时I D和相应的有效期信息以及获得的上述权限信息。上述用户的客户端的临时ID的作用主要体现在单点登录中,用户身份认 证通过之后,就可以使用该临时ID来登录家庭网络中的所有设备。限,该有效期一般比较短,可以是几个小时或者几十分钟。在用户使用完设 备后忘记退出登录时,过了该有效期,临时ID就将失效,这样可以减少设备 被其他非法用户利用的威险。步骤210、客户端接收到上述认证服务器返回的认证成功响应消息后, 使用协商好的密码算法和相同的参数计算出相同的上述共享密钥Ks,用该Ks 解密获得新分配到的临时ID和相应的有效期信息,以及上述权限信息,关联 保存获得的用户ID、临时ID、权限及其有效期,整个认证过程结束。在完成了上述用户的身份认证过程后,由于临时ID仅在用户通过身份认 证后生成,具有很强的随机性,并且只有用户自身知道,因此,当该用户需 要使用家庭网络中的多个设备提供的服务时,无需对该用户进行多次身份认 证,而只需检查该用户是否具有有效的临时ID,从而可以实现家庭网络中的 单点登录。本发明实施例提供了一个对上述步骤B进行细化的图3所示的单点登录过 程的实施例的处理流程,该流程包括如下步骤该单点登录过程的实施例的处理流程如图3所示,包括如下步骤 步骤31 、用户通过客户端向家庭网络中的设备发送携带用户临时ID信息的请求服务消息;步骤32、上速设备向认证服务器奎询上述用卢临时ID是否存在,即检奎用户是否进行了身份认证,及该身份认证是否还在有效期内。步骤33、若认证服务器经查询确定上述用户临时ID不存在或虽然存在, 但不在有效期内,则向上述设备返回拒绝访问消息,上述设备接收到拒绝访 问消息后,拒绝上述用户的访问,要求上述用户进行身份认证。步骤34、若认证服务器经查询确定上述用户临时ID存在且在有效期内, 则向上述设备返回允许访问消息,在该允许访问消息中携带上述临时ID的有 效期以及权限等消息。步骤35、上述设备接收到上述允许访问消息后,获取该允许访问消息中 携带的临时ID、有效期和权限信息,并将该临时ID、权限、有效期信息进行 关联保存。步骤36、用户在临时ID有效期内根据分配的权限访问上述设备。 在上面的单点登录过程中,设备将从认证服务器获得的用户的客户端的 临时ID、权限、有效期进行关联保存。这样,在用户再次请求服务时,该设 备就可以直接检查该用户是否具有使用该服务的权限,而不需再到认证服务 器上去验证了,减轻了认证服务器的负担,提高了用户的访问效率。当用户 使用完设备忘记退出登录时,如果临时ID有效期满,设备就会自动取消该临 时ID,而无需认证服务器通知该设备。本发明还提供了一个上述单点登录过程的实施例。在该实施例中,家庭中的父亲某次登录家庭网络,通过了身份认证之 后,将获取一个临时ID、权限及这次登录的有效期T。如果他想要使用家庭 网络中的设备A,则需要先使用该临时ID登录到设备A。上述临时ID仅父亲自 己知道,这就避免了其它用户(如小孩)在父亲认证完之后利用父亲的固定 ID登录设备,因为固定ID很容易被家庭网络中的其他成员获知。设备A到认证服务器上检查父亲输入的临时ID是否存在,若存在,则说明该用户通过了身份认证,并且该次身份认证还在有效期内;若检查不到该 临时ID,则说明该用户未经身份认证,可能是非法用户,或者该次认证获取 的有效期已过,需要重新进行身份认证。假设设备A检查到输入的临时ID是 存在的,那么父亲就可以根据身份认证过程中获取的权限来访问设备A 了 。 父亲用完设备A后如果按照正常流程注销在设备A的登录,设备A就立即删除 父亲的临时ID等信息,但是如果父亲忘记注销登录,那么临时ID等信息也会 在有效期结束时由设备A删除。综上所述,在本发明实施例中,认证服务器给各个用户的客户端分配唯 一的临时ID和相应的有效期,以及权限信息,用户的客户端使用该临时ID访 问网络中的设备时,服务器能够根据临时ID识别出用户的身份、有效期和权 限等信息,不必再对用户进行复杂严格的身份认证。并且,用户在临时ID的 有效期内,可以多次登录网络中的设备。本发明实施例采用了基于公钥密码 的双向身份认证机制,认证过程中没有秘密信息的传输,用户可以跨越开放 的网络向服务器认证自己的身份,而不必担心认证信息被破解,因此,本发 明实施例所述认证方式是一种非常安全的用户身份认证方式。本发明实施例提供的控制客户端访问网络设备的装置为认证服务器,该 认证服务器的实施例的结构如图4所示,主要包括如下模块身份认证模块,用于通过用户的客户端对用户进行身份认证;权限分配模块,用于在所述身份认证模块对所述用户的身份认证通过 后,给所述用户的客户端分配认证信息,该认证信息包括临时ID和相应的有 效期;并将所述认证信息发送给所述用户的客户端;客户端访问控制模块用于在所述网络中的设备接收到用户的客户端的 访问请求后,根据所述权限分配模块给所述用户的客户端分配的认证信息, 控制所述用户的客户端对所述网络中的设备的访问。所速认证服务器还可以包括认证信息保存模块用于将给各个用户的客户端分配的认证信息进行关 联保存,该认证信息包括临时ID和相应的有效期,以及使用网络设备的权限 信息。上述客户端访问控制模块具体包括认证信息确认模块用于在所述网络中的设备接收到用户的客户端的访 问请求后,响应所述设备的对所述用户进行验证的请求,根据给所述用户的 客户端分配的认证信息对所述用户进行验证;访问控制处理模块用于根据认证信息确认模块对所述用户进行认证的 结果,获取给所述用户的客户端分配的认证信息;根据该认证信息控制所述 用户的客户端对所述网络中的设备的访问。上述访问控制处理模块具体包括拒绝访问控制处理模块用于当确定所述用户的临时ID不存在或虽然存 在但不在有效期内时,向所述设备返回拒绝访问消息;允许访问控制处理模块用于当确定所述用户临时ID存在且在有效期 内,则向所述设备返回允许访问消息,并将给所述用户的客户端分配的认证 信息发送给所述设备。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1. 一种控制客户端访问网络设备的方法,其特征在于,包括步骤A、网络中的认证服务器通过用户的客户端对用户进行身份认证,身份认证通过后,所述认证服务器给所述用户的客户端分配认证信息,该认证信息包括临时ID和相应的有效期;B、所述认证服务器根据所述给用户的客户端分配的认证信息,控制所述用户的客户端访问网络中的设备。
2、 根据权利要求1所述的方法,其特征在于,所述步骤A具体包括A1 、所述认证服务器和用户的客户端之间采用公钥密码体制进行双向身 份认证,所述认i正服务器通过用户的客户端和用户之间互相确定对方的身 份;A2、在所述身份认证通过后,所述认证服务器给所述用户的客户端分配 认证信息,该认证信息包括临时ID和相应的有效期,以及使用网络设备的权 限信息。
3、 根据权利要求1或2所述的方法,其特征在于,所述的步骤B具体包括B1 、所述认证服务器将所述认证信息发送给所述用户的客户端; B2、所述认证服务器在网络中的设备接收到所述用户的客户端的访问请 求后,响应所述设备发出的对所述用户进行验证的请求,对所述用户进行验 证;所述认证服务器根据所述给用户分配的认证信息,控制所述设备是否接 受所述用户的客户端的访问。
4、 根据权利要求3所述的方法,其特征在于,所述的步骤B1具体包括 所述认证服务器和所述用户的客户端在双向身份认证通过后生成共享密钥,使用该共享密钥对所述认证信息进行加密后,发送给所述用户的客户端。
5、 根据权利要求3所述的方法,其特征在于,所述的步骤B2具体包括 B21 、所述认i正服务器在所述网络中的设备接收到所述用户的客户端的访问请求后,响应所述设备的对所述用户进行验证的请求,根据所述用户的 临时I D对所述用户进行验证;B22、所述认证服务器确定所述用户的临时ID不存在或虽然存在但不在 有效期内时,向所述设备返回拒绝访问消息;当认证服务器确定所述用户临 时ID存在且在有效期内,则向所述设备返回允许访问消息,并将所述用户的 客户端的认证信息发送给所述设备;B23 、所述设备接收到所述拒绝访问消息后,拒绝所述用户的客户端的 访问;所述设备接收到所述允许访问消息后,接受所述用户的客户端的访 问,并将所述用户的客户端的认证信息进行关联保存。
6、 根据权利要求1所述的方法,其特征在于,所述方法适用于家庭网络。
7、 一种网络认证服务器,其特征在于,包括身份认证模块,用于通过用户的客户端对用户进行身份认证; 权限分配模块,用于在所述身份认证模块对所述用户的身份认证通过后,给所述用户的客户端分配认证信息,该认证信息包括临时ID和相应的有效期;并将所述认证信息发送给所述用户的客户端;客户端访问控制模块用于在所述网络中的设备接收到用户的客户端的访问请求后,根据所述权限分配模块给所述用户的客户端分配的认证信息,控制所述用户的客户端对所述网络中的设备的访问。
8、 根据权利要求7所述的认证服务器,其特征在于,所述认证服务器还 包括认证信息保存模块用于将给各个用户的客户端分配的认证信息进行关联保存,该认证信息包括临时ID和相应的有效期,以及使用网络设备的权限 信息。
9、 根据权利要求7或8所述的认证服务器,其特征在于,所述客户端访 问控制模块具体包括认证信息确认模块用于在所述网络中的设备接收到用户的客户端的访 问请求后,响应所述设备的对所述用户进行验证的请求,根据给所述用户的 客户端分配的认证信息对所述用户进行验证;访问控制处理模块用于根据认证信息确认模块对所述用户进行认证的 结果,获取给所述用户的客户端分配的认证信息;根据该认证信息控制所述 用户的客户端对所述网络中的设备的访问。
10、 根据权利要求9所述的认证服务器,其特征在于,所述访问控制处 理模块具体包括拒绝访问控制处理模块用于当确定所述用户的临时ID不存在或虽然存 在但不在有效期内时,向所述设备返回拒绝访问消息;允许访问控制处理模块用于当确定所述用户临时ID存在且在有效期 内,则向所述设备返回允许访问消息,并将给所述用户的客户端分配的认证 信息发送给所述设备。
全文摘要
本发明提供了一种控制客户端访问网络设备的方法和网络认证服务器,该方法主要包括网络中的认证服务器通过用户的客户端对用户进行身份认证,身份认证通过后,所述认证服务器给所述用户的客户端分配认证信息,该认证信息包括临时ID和相应的有效期;所述认证服务器根据所述给用户的客户端分配的认证信息,控制所述用户的客户端访问网络中的设备。利用本发明所述方法和网络认证服务器,可以实现网络中的认证服务器安全、有效而方便地控制用户的终端对网络中的设备的访问。
文档编号H04L29/06GK101222488SQ20071006339
公开日2008年7月16日 申请日期2007年1月10日 优先权日2007年1月10日
发明者云 刘, 超 李, 阳 辛, 进 陈 申请人:华为技术有限公司;北京邮电大学