专利名称:一种用户认证方法
技术领域:
本发明涉及光通信领域,具体涉及一种用户iU正方法。
技术背景现在通常的认证方式是先将设备信息先预先保存在设备中,然后用户终端将设备信息发送到光线路终端(OLT),进行认证,如果认证通过,则认为该设 备合法;而对用户的认证则采用用户名和密码来进行认证,通常是通过用户输 入用户名和密码,通过一定的方式进行认证,通过则认为是合法的用户。在目前所应用的无源光网络(PON)中,需要对光网络单元ONU/光网络 终端(ONT)等用户终端进行认证,该认证操作是基于预先为各用户终端所分 配的可唯一识别标识(各用户终端分别保存各自的可唯一识别标识,应用该可 唯一识别标识发起认证)实现的。这种情况下,在更换用户终端时,用户需要 到运营商处进行登记,运营商很可能需要进行数据库修改等繁杂的不必要操作; 这给用户和运营商均带来不便,并且一定程度上限制了用户对用户终端的选择, 不利于整个产业的发展。再有,目前的认证方式为用户终端认证或用户认证。当仅对用户终端进行 认证时,则任何一个用户(即便该用户不是合法用户)拥有该用户终端时均可 正常使用网络;当仅应用用户名和密码进行用户认证时,如果用户名和密码被 盗,则获得该用户名和密码的任何人均可正常使用网络。显然,目前的认证方 式会给用户和运营商的利益带来损失,安全性较低。另外,当应用用户名和密码进行认证时,通常需要手工输入用户名和密码; 但未来的业务应用(如电话、网络电视等业务)往往不需要连接电脑等设备, 因此无法实现用户名和密码的手工输入。显然,目前的认证方式无法支持未来 业务。由以上所述可见,目前在PON中所应用的认证方式需要各用户终端分别保 存各自的可唯一识别标识,认证的基础过于固定化,会给用户和运营商带来不 必要的额外操作;并且,认证安全性较低,无法支持未来业务,因而会严重降 低用户满意度。发明内容有鉴于此,本发明的主要目的在于提供一种用户认证方法,提高认证灵活 性、安全性,提高用户满意度。为达到上述目的,本发明的技术方案是这样实现的一种用户认证方法,应用于无源光网络,在用户终端上增设存储卡读写器, 该方法还包括用户终端从与所述存储卡读写器相连的外设中获取用户终端信息和用户信 息;针对用户终端所获取的用户终端信息、用户信息进行包含用户终端认证、 用户认证在内的双重认证。进行所述双重认证的过程为将用户终端所获取的用户终端信息、用户信息发送给OLT/认证服务器,由 该OLT/认证服务器4艮据收到的用户终端信息、用户信息先后进行用户终端认证 和用户认证。所述用户终端i人-〖正方法为用所述用户终端信息与预先保存的用户终端认证信息进行比较,如果两种 信息一致,确定认证通过;否则,确定认证未通过。 所述用户认证方法为针对所述用户信息进行合法性判断,如果该合法性判断通过,确定认证通 过;否则,确定iU正未通过。在用户终端认证通过后,进一步建立支持所述用户认证过程中通信交互的 用户iU正通道。进一步向用户终端返回用户终端认证和/或用户认证的认证结果。该方法进一步包括所述用户终端认证和所述用户认证均通过的情况下,打开所述用户终端所 使用的网络权限,允许用户终端使用网络;以及所述用户终端认证和所述用户 认证中有一项认证未通过的情况下,不允许所述用户终端使用网络。该方法进一步包括将所述用户终端信息和所述用户信息预先存储在所述外设中; 所述用户终端信息和所述用户信息在用户开通业务时得到确认。 所述用户终端信息是用户终端的介质访问控制地址信息;或者,是用户终 端的序列码标识符信息;所述用户信息为用户名和密码。进一步修改所述密码;该修改方法为将新密码反写入所述外设。 可见,本发明所提供的用户认证方法,通过在用户终端上增加存储卡读写 器实现用户终端和用户终端信息、用户信息的分离,因此不再需要将用户终端 信息、用户信息固定存储于用户终端中;使得用户能够从市场上任意购买一款 用户终端使用,并能随意更换用户终端,能够推动整个PON的产业链发展。并 且,在通过存储卡读写器从外设中读取用户终端信息、用户信息的基础上,能 够自动进行用户终端认证和用户认证的双重认证。显然,认证的灵活性、安全 性得到了明显提高,因而可以有效提高用户满意度。
图1为本发明一实施例的用户认证流程图。
具体实施方式
下面结合附图对本发明技术详细描述。参见图1,图1为本发明一实施例的用户iU正流程图,该流程包括以下步
步骤101:从外设中获取用户终端信息和用户信息。要想实现本步骤的操作,需要在用户终端的印刷电路板(PCB)电路中增 加存储卡读写器的电路:没计,并将该存储卡读写器的读写管脚与用户终端的中 央处理单元(CPU)相连;这样,当用户终端上的存储卡读写器中插入外设时, 该存储卡读写器能够从该外设中读取外设中的信息,并将读取的信息通过自身 的读写管脚发送给用户终端的CPU,供用户终端进行后续处理。当然,所述存储卡读写器上要设置有接口读写器,以保证外设能够插入该 接口读写器中,并由该接口读写器读取该外设中的信息。例如,可以在用户终 端上设计支持通用串行总线(USB)的接口读写器,按照当前的USB标准设计 该接口读写器的电路;也可以在用户终端上设计支持安全数字(SD)存储卡的 接口读写器,按照当前的SD存储卡标准设计该接口读写器的电路。需要说明的是在用户终端上设计其存储卡读写器时,通常建议采用当前 通用的一些协议标准(如USB标准、IC卡标准,SD存储卡标准,SIM卡标准 等),这样各个厂家之间的产品能够互通,以实现产品兼容。在实际应用中,运营商可以将用户终端信息和用户信息(这些信息通常在 用户开通业务时得到确认)预先存储在标准的外设中。当所述外设被插入用户终端上的存储卡读写器后,该存储卡读写器就可以 读取外设中的用户终端信息和用户信息。当然,还可以在用户终端上设置方便外设插入和拔出的附加装置,还可以 设置指示读写状态的指示灯。可见,在用户终端上设置存储卡读写器能够实现用户终端和用户终端信息、 用户信息的分离;并且,用户终端能够通过存储卡读写器从外设中读取用户终 端信息、用户信息。这样,就不再需要将用户终端信息、用户信息固定存储于 用户终端中,因此用户能够从市场上任意购买一款用户终端使用,并能随意更 换用户终端。这显然能够推动整个PON的产业链发展。步骤102:用户终端解析从外设中获取的用户终端信息,并将解析出的用 户终端信息发送给OLT,由OLT进行用户终端认证。
具体的用户终端认证方法为OLT用收到的用户终端信息与自身保存的用 户终端认证信息进行比较,如果两种信息一致,OLT确定认证通过;否则,OLT 确定认证未通过。当然,无i仑认证是否通过,OLT都向用户终端返回认证结果。需要说明的是,在不同的应用环境中,进行用户终端认证所涉及的信息可 能不同。如在以太网无源光网络(EPON)系统中,进行用户终端认证所涉 及的信息至少包含用户终端的介质访问控制(MAC )地址信息,该MAC地址 信息会通过多点控制协议(MPCP)等协议被发送给OLT,以进行用户终端认 证;在吉比特无源光网络(GPON)系统中,进行用户终端认证所涉及的信息 至少包含用户终端的序列码(SN)标识符信息,该SN标识符信息会通过物理 层操作管理维护(PLOAM)等协议消息被发送到OLT,以进行用户终端认证。在实际应用中,OLT也可以将收到的用户终端信息转发给特定的认证服务 器,由该认证服务器进行后续的用户终端认证、认证结果反馈等后续操作。步骤103:根据用户终端认证是否通过的不同结果执行后续的不同操作。 如果认证通过,进入步骤104;否则,直接进入步骤107。具体而言,在用户终端认证通过的情况下,OLT在自身与用户终端之间建 立用户认证通道,该用户i人证通道可以由多种传输通道实现,如在EPON系 统中的操作管理维护(OAM)通道,或是在GPON系统中的ONT管理控制接 口 (OMCI)通道。实际上,所述传输通道也可以;故通信消息(如GPON中的 PLOAM消息)所取代。在用户认证通道上只传输必要的管理信息,以及用于进行后续用户认证的 用户认证协议包,如以太网上点对点协议(PPPOE)等,或者是用户名、密 码等信息。除此以外,针对用户终端的其它网络权限则全部关闭,暂时不允许 用户终端使用网络。步骤104:用户终端解析从外设中获取的用户信息,并将解析出的用户信 息发送给OLT,由OLT进行用户认证。具体的用户认证方法为用户终端将收到的用户信息(如用户名、密码等) 组装到用户认证协议包(可包含PPPOE等帧结构)中,并将用户认证协议包通
过所述用户认证通道发送到OLT。当然,用户终端也可以将收到的用户信息直接发送给OLT。OLT接收到来自用户终端的用户信息后,针对其中所包含的用户名和密码 等信息进行合法性判断,进行该合法性判断时还可以进一步结合用户终端的设 备信息。如果所述合法性判断通过,OLT确定认证通过;否则,OLT确定认证 未通过。并且,无论认证是否通过,OLT都会将认证结果返回给用户终端。在 实际应用中,OLT也可以将收到的用户信息转发给特定的认证服务器,由该认 证服务器进行后续的用户认证、认证结果反馈等后续操作。步骤105:根据用户认证是否通过的不同结果执行后续的不同操作。如果 认证通过,进入步骤106;否则,直接进入步骤107。开用户终端所使用的网络权限,允许用户终端使用网络。步骤107:进行用户终端认证的OLT或认证服务器确定认证失败,并且不 允许用户终端使用网络。前述指示灯的作用可以进行扩展,除了指示读写状态以外,还可以指示用 户终端信息、用户信息的发送状态,以及指示认证通过/失败的状态。这样,如 果出现设备故障也能进行定位,并且在认证失败后能清楚获知失败原因。以上的处理过程是在将外设插入存储卡读写器之后完全自动进行的,不需 要人工的参与。另外,在认证通过后,还允许用户修改密码(将新密码反写入 到所述外设中之后才认为密码修改成功)。由以上所述可见,本发明所提供的用户认证方法,通过在用户终端上增加 存储卡读写器实现用户终端和用户终端信息、用户信息的分离,因此不再需要将用户终端信息、用户信息固定存储于用户终端中;使得用户能够从市场上任 意购买一款用户终端使用,并能随意更换用户终端,能够推动整个PON的产业 链发展。并且,在通过存储卡读写器从外设中读取用户终端信息、用户信息的 基础上,能够自动进行用户终端认证和用户认证的双重认证。显然,认证的灵 活性、安全性得到了明显提高,因而可以有效提高用户满意度。
权利要求
1、 一种用户认证方法,应用于无源光网络,其特征在于,在用户终端上增设存储卡读写器,该方法还包括用户终端从与所述存储卡读写器相连的外设中获取用户终端信息和用户信 息;针对用户终端所获取的用户终端信息、用户信息进行包含用户终端认证、 用户认证在内的双重认i正。
2、 根据权利要求1所述的方法,其特征在于,进行所述双重认证的过程为 将用户终端所获取的用户终端信息、用户信息发送给光线路终端OLT/认证服务器,由该OLT/认证服务器根据收到的用户终端信息、用户信息先后进行用 户终端iU正和用户i人i正。
3、 根据权利要求2所述的方法,其特征在于,所述用户终端认证方法为 用所述用户终端信息与预先保存的用户终端认证信息进行比较,如果两种信息一致,确定认i正通过;否则,确定认证未通过。
4、 根据权利要求2所述的方法,其特征在于,所述用户认证方法为 针对所述用户信息进行合法性判断,如果该合法性判断通过,确定认证通过;否则,确定认证未通过。
5、 根据权利要求2所述的方法,其特征在于,在用户终端认证通过后,进 一步建立支持所述用户认证过程中通信交互的用户认证通道。
6、 根据权利要求1至5任一项所述的方法,其特征在于,进一步向用户终 端返回用户终端认证和/或用户认证的认证结果。
7、 根据权利要求1至5任一项所述的方法,其特征在于,该方法进一步包括所述用户终端认证和所述用户认证均通过的情况下,打开所述用户终端所 使用的网络权限,允许用户终端使用网络;以及所述用户终端认证和所述用户 认证中有一项认证未通过的情况下,不允许所述用户终端使用网络。
8、 根据权利要求1所述的方法,其特征在于,该方法进一步包括 将所述用户终端信息和所述用户信息预先存储在所述外设中; 所述用户终端信息和所述用户信息在用户开通业务时得到确认。
9、 根据权利要求1所述的方法,其特征在于,所述用户终端信息是用户终 端的介质访问控制地址信息;或者,是用户终端的序列码标识符信息;所述用户信息为用户名和密码。
10、 根据权利要求9所述的方法,其特征在于,进一步修改所述密码;该 修改方法为将新密码反写入所述外设。
全文摘要
本发明公开了一种用户认证方法,应用于无源光网络,在用户终端上增设存储卡读写器,该方法还包括用户终端从与所述存储卡读写器相连的外设中获取用户终端信息和用户信息;针对用户终端所获取的用户终端信息、用户信息进行包含用户终端认证、用户认证在内的双重认证。可见,本发明所提供的用户认证方法,通过在用户终端上增加存储卡读写器实现用户终端和用户终端信息、用户信息的分离,以及自动进行用户终端认证和用户认证的双重认证,使认证的灵活性、安全性得到了明显提高,因而可以有效提高用户满意度。
文档编号H04L9/00GK101145903SQ20071017630
公开日2008年3月19日 申请日期2007年10月24日 优先权日2007年10月24日
发明者卢金树, 青 李, 谢云鹏, 马焕南 申请人:中兴通讯股份有限公司