专利名称:一种互联网用户身份验证的系统和方法
技术领域:
本发明涉及一种安全认证方法,尤其是涉 及互联网上用户身份验证的系统和方法。
背景技术:
互联网已经广泛应用在生产、服务、生活等各个方面,诸如电子商务、金融服务、商业服务等等大量应用服务已经在互联网上提供。随着互联网上提供的业务不断丰富,为了保护用户的信息和财产安全,需要对用户身份进行认证,以防止有人假冒他人身份在互联网上实时有害的活动。现有的服务网站往往通过手机短信、电话呼叫等通信方法向用户发送验证码的方法实现对用户身份的验证。中华人民共和国国家知识产权局于2009年3月4日授权公的公告号为CN100466776C的专利文献,名称是身份注册手机短信反向认证系统和反向认证方法,其中的方法包括客户终端通过网络向商家身份注册认证系统申请提供服务;商家身份注册认证系统锁定客户IP后,向客户终端发送服务注册代码;客户终端将服务注册代码用手机短信发送给商家身份注册认证系统,商家身份注册认证系统授权内容服务商向该客户终端提供服务。此方案需要通过手机短信发送注册代码,再验证该注册代码是否与身份注册认证系统的注册代码一致,步骤繁琐,需要用户支付短信费用,难以实现互联网业务低费用或无费用。中华人民共和国国家知识产权局于2011年9月28日授权公的公告号为CN101447872B的专利文献,名称是一种用户身份验证方法、系统及验证码生成维护子系统,其中的方法包括为登录应用系统的用户生成用户身份验证码,由通信交换机将用户身份验证码作为主叫号码,呼叫用户的能显示主叫号码的通信终端;应用系统获取用户输入的显示在通信终端上的主叫号码并与生成的用户身份验证码进行比较,进行用户身份验证。此方案需要通过电话呼叫发送认证码,步骤繁琐,需要占用电话通信资源,虽然电话未接通时免费,但生成的用户身份验证码与该次呼叫的真实主叫号码很难一致,扰乱电话通信网主叫号码发送的规范,容易被电话通信网拦截。
发明内容
本发明主要是解决现有技术所存在的需要手机短信或电话通信网呼叫传送用户身份验证码,步骤繁琐、需要占用短信或电话资源或费用的技术问题,提供一种步骤简单、无需占用短信或电话资源或费用的互联网用户身份验证的系统和方法。本发明针对上述技术问题主要是通过下述技术方案得以解决的一种互联网用户身份验证的系统,包括
用户终端,向网站服务器发送包含自身IP地址的业务请求,并接收网站服务器返回的业务响应,用户终端通过互联网与其他节点进行通信;网站服务器,用于接收用户终端的业务请求和返回业务响应,在判断所述业务请求需要用户身份验证后,发送用户验证请求至身份服务器并接收身份服务器返回的用户身份信息或验证结果,判断验证所述用户身份信息或验证结果后,对用户终端的业务请求作出业务响应;
IP地址分配认证单元,用于给用户终端指定或分配IP地址,并给用户终端提供网络接入的认证;
信息采集单元,用于采集IP地址分配认证单元中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器;
和设置有身份数据库的身份服务器,用于接收信息采集单元发送过来的用户身份信息和IP地址,建立所述用户身份信息和IP地址对应关系并存储在身份数据库中;当收到网站服务器发送的包含用户终端IP地址的身份验证请求后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器,或者进行判断验证后返回给网站服务器所述验证结果。
作为优选,所述IP地址分配认证单元包括接入网络的地址分配单元和接入认证单元,所述地址分配单元为固定地址分配单元或者动态地址分配单元,所述接入网络为有线接入网络或无线接入网络。作为优选,所述IP地址分配单元为2G或2. 5G或3G或4G无线通信接入网络的网关支持节点(GGSN, Gateway GPRS Support Node)。一种互联网用户身份验证的方法,包括以下步骤
a、在身份服务器建立身份数据库;
b、在身份数据库存储用户身份信息与对应的用户终端IP地址,所述用户身份信息包括用户终端ISDN号码和用户终端接入互联网认证时使用的用户名中的至少一个;
C、网站服务器接受用户注册,存储用户的登记数据,登记数据包括用户身份信息和是否需要通过身份服务器进行验证,一般用一个标记位表示用户是否需要通过身份服务器进行验证;
d、用户终端连接至网站服务器,并发送业务请求至网站服务器;
e、所述网站服务器在判断业务请求需要对用户身份进行验证后,发送用户身份请求到用户终端;如果不需要对用户身份进行验证则直接作出业务响应;
f、用户终端发送用户身份回复到网站服务器,网站服务器查询用户注册的登记数据,在通过标记位判断需要通过身份服务器验证用户身份后,网站服务器连接至身份服务器,如果不需要通过身份服务器验证用户身份则通过网站服务器自己的数据库对用户终端发送的信息(一般为用户名和密码)进行验证;
g、网站服务器发送身份验证请求至身份服务器;身份服务器接收身份验证请求并进行验证,身份服务器发送身份验证回复到网站服务器;网站服务器接收身份验证回复,并根据验证结果对用户终端的业务请求作出业务响应。作为优选,所述步骤c具体包括
ell、网站服务器接受用户注册,在用户终端输入登记数据和手机号码并通过互联网发送到网站服务器;
cl2、网站服务器为所述进行注册的用户生成注册验证码并以短信形式向手机号码对应的手机发送注册验证码;
cl3、进行注册的用户将手机短信上的注册验证码输入到用户终端,所述注册验证码通过互联网发送至网站服务器;
cl4、网站服务器比较通过短信发出的注册验证码与通过互联网返回的注册验证码,如果一致则存储登记数据,注册成功;否则,注册失败。作为优选,如果用户身份信息已经被身份服务器的身份数据库收录则所述步骤c可以按以下步骤进行
c21、网站服务器接受用户注册,在用户终端输入登记数据并通过互联网发送到网站服务器;
c22、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;c23、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用 户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复;如果未查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送查询失败回复;
c24、网站服务器接收身份验证回复,查询所述发送身份验证请求的用户注册的登记数据,并比较身份验证回复中的用户身份信息和登记数据,如果身份验证回复中的用户身份信息和登记数据的用户身份信息一致,则存储登记数据,注册成功;否则,注册失败;如果网站服务器接收到查询失败回复则注册失败。作为优选,所述步骤g具体包括
gll、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;gl2、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复;如果未查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送查询失败回复;
gl3、网站服务器接收身份验证回复,查询发送身份验证请求的用户注册的登记数据,并比较身份验证回复的用户身份信息和登记数据的用户身份信息,如果一致则验证通过,网站服务器对用户终端的业务请求作出业务响应;如果不一致则验证失败,网站服务器发送失败响应至用户终端;如果网站服务器接收到查询失败回复则发送失败响应至用户终端。作为优选,所述步骤g还可以按如下方式进行
g21、网站服务器将包含用户终端IP地址和登记数据的身份验证请求发送至身份服务
器;
g22、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,身份服务器比较身份验证请求中的登记数据的用户身份信息与用户终端IP地址对应的用户身份信息;如果未查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送查询失败回复并跳转至步骤g24 ;
g23、如果所述登记数据的用户身份信息和用户终端IP地址对应的用户身份信息一致,则身份服务器发送验证通过的身份验证回复到网站服务器,否则身份服务器发送验证失败的身份验证回复到网站服务器;
g24、如果网站服务器收到验证通过的身份验证回复,则对用户终端的业务请求作出业务响应;如果网站服务器收到验证失败的身份验证回复,则对用户终端发送失败响应;如果网站服务器接收到查询失败回复则发送失败响应至用户终端。作为优选,所述步骤b具体包括
bll、用户向接入网络提供方申请固定的用户终端IP地址;接入网络提供方在其固定地址分配单元中为用户分配固定的IP地址,并确定用户名,用户获取用户名和固定的IP地址;
bl2、用户终端使用所述固定的IP地址发送用户名和密码或者业务请求到接入认证单元;接入认证单元进行认证;
bl3、信息采集单元接收所述用户名和用户终端IP地址,并建立用户名和用户终端IP地址的对应关系;
bl4、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;bl5、身份服务器在身份数据库中存储所述的用户名和用户终端IP地址及两者之间的对应关系。作为优选,所述步骤b还可以按如下方式进行
b21、用户终端发送用户名和密码至接入认证单元或动态地址分配单元,申请IP地址;b22、接入认证单元认证用户名和密码,动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址;
这里有两种情况一、接入认证单元先认证用户名和密码,认证通过则动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址,认证不通过则作失败响应;二、动态地址分配单元先在其因特网IP地址集合中为用户终端分配用户终端IP地址,然后用户终端发送用户名和密码到接入认证单元,接入认证单元认证用户名和密码,认证通过则进入步骤b23,认证不通过则作出失败响应;
b23、信息采集单元接收用户终端IP地址和所述用户名,并建立用户终端IP地址和所述用户名的对应关系;
b24、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;b25、身份服务器在身份数据库中存储所述用户名和用户终端IP地址及两者之间的对应关系。作为优选,所述步骤b还可以如下方式进行
b31、用户终端发送附着(Attach)请求至业务支持节点(SGSN,Serving GPRS SUPPORTNODE);
b32、所述业务支持节点(SGSN)对用户终端进行身份验证,通过验证后,向用户终端发送附着(Attach)接受;
b33、用户终端发送激活分组报文协议(PDP, Packet Data Protocol)上下文请求到业务支持节点(SGSN),业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN),;
b34、所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议上下文应答到业务支持节点(SGSN),所述指定IP地址具体是网关支持节点(GGSN)从所述网关支持节点(GGSN)的因特网IP地址集合中分配IP地址或者由网关支持节点(GGSN)连接的DHCP服务器分配IP地址;
b35、业务支持节点(SGSN)发送激活分组报文协议(PDP)上下文接受到用户终端;b36、信息采集单元接收指定的IP地址和对应的国际移动用户识别号(MSI,International Mobile Subscriber Identification Number),信息米集单兀通过国际移动用户识别号(IMSI)获取对应的移动用户ISDN(Integrated Services Digital Network)号石马(MSISDN, Mobile Subscriber International ISDN number);
b37、所述信息采集单元建立移动用户ISDN号码(MSISDN)和指定的IP地址的对应关系,并将移动用户ISDN号码(MSISDN)和指定的IP地址发送至身份服务器;
b38、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码(MSISDN)。
在互联网或移动互联网中,每个网络终端都有唯一的地址与其他终端或网络设备相区别,这个区别的地址可以是IP地址。当前IP地址包括IPV4和IPV6地址,代表当前的设备;在某一子网中某一时刻,IP地址与网络终端是对应的;同时,在互联网上传输的各种应用数据包中,IP地址是必不可少的。用户终端通过有线或无线网络连接互联网时,通常接受互联网接入服务的提供运营商的认证;如手机终端需要经过2G、2. 5G、3G、或4G接入服务提供商中国移动或中国电信或中国联通的认证才能使用。认证过程使用的用户身份信息与用户终端是对应关系,而一个IP地址只能被相同用户名接入因特网的用户终端使用。因此,一个IP地址对应一个用户身份信息。在2G、2. 5G、3G、或4G接入网络,一个移动用户ISDN号码(MSISDN)只允许一个用户终端接入,而有的接入网络一个用户身份信息允许多个用户终端接入;因此,一个用户身份信息可以对应一个或多个IP地址。本发明所采用的技术方案,身份服务器获取并存储用户接入网络使用的认证用户名和用户终端接入网络分配的IP地址;网站服务器通过发送用户终端IP地址到身份服务器,获取用户终端对应的用户身份信息,然后将用户身份信息与用户注册的登记数据比较,进行用户身份的验证;避免了基于手机短信或电话通信网呼叫传送用户身份验证码,步骤繁琐、需要占用短信或电话资源费用的问题,提供一种步骤简单、无需占用短信或电话等资源的互联网用户身份验证的系统和方法。本发明的有益效果是使用第三方建立的身份服务器,为服务网站提供用户身份验证服务,避免用户身份被假冒。具体地,身份服务器连接2G、3G、4G、WALN、无线或有线接入网络的接入服务提供运营商通信网络,获取用户终端IP地址与用户身份信息的对应关系;网站服务器或其网页程序发送终端IP地址到身份服务器,获取IP地址对应的用户身份信息,并将用户身份信息与用户注册时的验证方式和登记数据进行比较,如果所述用户身份信息与用户注册时的验证方式和登记数据时的用户身份信息关联一致,则表示用户验证通过。此方案保证了对网站服务器发送请求的用户即为本用户终端的合法用户,并且中间步骤较少,验证过程中不需要手机或者电话的支持,减少资源占用。在一些安全性要求较高的网络服务中,可以保证每一个步骤(或重要步骤)都是由合法用户提出请求,提高安全性。
图I是本发明的一种互联网用户身份验证的系统的结构示意 图2是本发明的一种互联网用户身份验证的方法的流程示意 图3是本发明的一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图4是本发明的另一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程 图5是本发明的又一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程 图6是本发明的一种用户在网站上注册的方法的流程 图7是本发明的另一种用户在网站上注册的方法的流程 图8是本发明的一种网站服务器到身份服务器验证用户身份的流程 图9是本发明的另一种网站服务器到身份服务器验证用户身份的流程 图中11、用户终端,12、IP地址分配认证单元,13、身份服务器,14、网站服务器,15、信息采集单元,16、网络。
具体实施例方式下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。实施例I
本实施例的一种互联网用户身份验证的系统,如图I所示,包括用户终端11、IP地址分配认证单元12、身份服务器13、网站服务器14和信息采集单元15。用户终端11和网站服务器14经由网络16连接,身份服务器13和网站服务器14经由网络16连接,用户终端11和IP地址分配认证单元12经由网络16连接,IP地址分配认证单元12通过信息采集单元15连接身份服务器13。网络16由因特网、专用通信线路、移动通信网络(包括基站)、宽带无线网络(包括AP )、网关等构成。网站服务器14通过网络16提供各种服务,例如电子商务、金融服务等。用户终端11可以是个人电脑、其中安装了浏览器程序的手机或PDA等等。IP地址分配认证单元12可以包括接入网络的地址分配单元和接入认证单元; 身份服务器13可以由一台服务器实现或由运行相同或不同应用的服务器组实现。身
份服务器的管理要充分考虑安全因素,综合采用多种网络安全技术,如不间断电源、防火墙、各种系统漏洞检测与修复技术等。信息采集单元15可以是采集IP地址分配认证单元发出和接收的信息和命令的信令采集装置,或者可以是读取IP地址分配单元的IP地址数据库的读取装置或接入认证单元的用户认证数据库的读取装置,或者是所述采集装置和读取装置的组合。用户终端11向网站服务器14发送包含自身IP地址的请求,并将接收到的网站服务器14返回的业务回复进行处理;
网站服务器14用于接收用户终端11的业务请求并作出业务响应,对需要用户身份验证的业务,接收用户终端11的注册,并在用户通过用户终端11使用这些业务时,发送身份验证请求到身份服务器13,并根据接收到的身份服务器13返回的身份验证回复,对用户终端11发送业务响应;
IP地址分配认证单元12用于给用户终端11指定或分配IP地址,并给用户终端11提供网络接入认证;
信息采集单元15用于采集IP地址分配认证单元12中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器13 ;
身份服务器13设置有身份数据库,用于接收信息采集单元15发送过来的用户身份信息和IP地址并存储到身份数据库中,当收到网站服务期发送的用户终端IP地址后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器14或将验证结果返回给网站服务器14。 身份服务器13上的身份数据库为根据本发明所述方法建立的存储用户IP地址与身份信息对应关系的数据库。 本实施例中,IP地址分配认证单元包括接入网络的动态地址分配单元和接入认证单元;所述接入网络为有线接入网或无线接入网,有线接入网例如非对称数字用户环路(ADSL, Asymmetric Digital Subscriber Loop),无线接入网例如无线局域网络(WLAN,Wireless Local Area Networks);所述动态地址分配单元可以是配置动态主机设置协议(DHCP,Dynamic Host Configuration Protocol)的服务器,接入认证单元可以是配置了远程用户拨号认证服务协议(RADIUS, Remote Authentication Dial In User Service)的服务器。一种互联网用户身份验证的方法,包括以下步骤
步骤a、在身份服务器建立身份数据库;
步骤b、在身份数据库存储用户身份信息与对应的用户终端IP地址,所述用户身份信息包括用户终端ISDN号码和用户终端接入互联网认证时使用的用户名中的至少一个;如图4所示,本实施例中步骤b具体包括
步骤b21、用户终端发送用户名和密码至接入认证单元或动态地址分配单元,申请IP地址;
步骤b22、接入认证单元认证用户名和密码,动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址;
对不同接入认证方式的网络,这里有两种情况一、用户终端先发送用户名和密码到接入认证单元,接入认证单元认证用户名和密码,认证通过则动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址,并进入步骤b23,认证不通过则作失败响应;此种认证方式例如基于端口的访问控制协议(Port Based Network Access Control)的IEEE 802. IX认证;二、动态地址分配单元先在其因特网IP地址集合中为用户终端分配用户终端IP地址,然后用户终端发送用户名和密码到接入认证单元,接入认证单元认证用户名和密码,认证通过则进入步骤b23,认证不通过则作出失败响应;此种认证方式例如基于 Web Portal 的 Web 认证;
步骤b23、信息采集单元接收用户终端IP地址和所述用户名,并建立用户终端IP地址和所述用户名的对应关系;
信息采集单元接收用户终端IP地址和用户名的流程,可以采用信令采集流程或数据库读取流程;所述信令采集流程,是信息采集单元采集动态地址分配单元收到和发出的IP数据包中的信息和命令,并采集接入认证单元收到和发出的IP数据包中的信息和命令,分析所述信息和命令,获取用户终端IP地址和用户名的对应关系。所述数据库读取流程,是信息采集单元连接动态地址分配单元或接入认证单元的存储IP地址和用户名的数据库,获取IP地址和用户名并建立对应关系;例如在信息采集单元与接入认证单元和动态地址分配单元建立TCP/IP连接,接入认证单元或动态地址分配单元将存储在其数据库中的IP地址和用户名通过所述TCP/IP连接发送到信息采集单元;又例如接入认证单元和动态地址分配单元的数据库配置有数据库服务端程序,信息采集单元配置有数据库的客户端程序,所述数据库客户端连接所述数据库服务端, 信息采集单元通过数据库客户端程序读取数据库服务端的数据库中的IP地址和用户名并建立对应关系;
步骤b24、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
步骤b25、身份服务器在身份数据库中存储所述用户名和用户终端IP地址及两者之间的对应关系;
至此步骤b结束。步骤C、网站服务器接受用户注册,存储用户的登记数据,登记数据包括用户身份信息和是否需要通过身份服务器进行验证,一般用一个标记位表示用户是否需要通过身份服务器进行验证;
用户注册的登记数据包括验证方式和验证时使用的用户身份信息,网站服务器使用所述登记数据的信息验证用户身份,因此,对用户注册的登记数据需要进行验证,验证通过则存储到网站服务器存储装置中,否则发送注册失败信息到用户终端;
以网上银行这样的网站服务器为例,往往要求用户首先在网站服务器注册用户名和密码,并设置账户信息和用户涉及账户资金的操作时的验证方式;用户使用网上银行进行涉及账户资金操作时,网上银行的网站服务器使用用户注册时设置的验证方式验证用户身份;对设置的验证方式和验证使用的登记数据的注册用户的身份,网上银行的网站服务器可以通过手机短信、核对用户身份证或户口本等方式进行验证;本实施例使用短信方式验证注册用户的身份;
如图6所示,本实施例中步骤c具体包括
步骤ell、网站服务器接受用户注册,在用户终端输入登记数据和手机号码并通过互联网发送到网站服务器;
步骤cl2、网站服务器为所述进行注册的用户生成注册验证码并以短信形式向手机号码对应的手机发送注册验证码;
所述生成的注册验证码可以由若干个数字或字母组合而成;
步骤cl3、进行注册的用户将手机短信上的注册验证码输入到用户终端,所述注册验证码通过互联网发送至网站服务器;
步骤cl4、网站服务器比较通过短信发出的注册验证码与通过互联网返回的注册验证码,如果一致则存储登记数据,注册成功;否则,注册失败;
至此步骤c结束。后续步骤如图2所示。步骤d、用户终端连接至网站服务器,并发送业务请求至网站服务器;在互联网中的设备之间的通过发送或接收IP数据包实现通信,IP数据包包括源IP地址和目的IP地址,源IP地址是发送方IP地址,目的IP地址是接收方的IP地址;用户终端发送到网站服务器的业务请求是IP数据包,其源IP地址是用户终端的IP地址;网站服务器可以从接收到用户终端的业务请求中,获取用户终端的IP地址;
步骤e、所述网站服务器在判断业务请求需要对用户身份进行验证后,发送用户身份请求到用户终端;如果不需要对用户身份进行验证则直接作出业务响应;
步骤f、用户终端发送用户身份回复到网站服务器,网站服务器查询用户注册的登记数据,在通过标记位判断需要通过身份服务器验证用户身份后,网站服务器连接至身份服务器,如果不需要通过身份服务器验证用户身份则通过网站服务器自己的数据库对用户终端发送的信息(一般为用户名和密码)进行验证或采用其他方式验证;
以网上银行的网站服务器为例,用户发送涉及账户资金的操作的业务请求时,为了保证资金安全,往往要对用户进行身份验证并通过后才允许用户进行下一步的转帐等操作;用户身份验证的方式在用户开通网上银行时注册,可以注册向用户手机发送短信验证码的 方式,也可以注册身份服务器验证方式,也可以注册多种验证方式;网上银行的网站服务器可以根据用户操作的资金额度或用户设置的验证选择方式,确定验证的方式并进行验证;步骤g、网站服务器发送身份验证请求至身份服务器;身份服务器接收身份验证请求并进行验证,身份服务器发送身份验证回复到网站服务器;网站服务器接收身份验证回复,并根据验证结果对用户终端的业务请求作出业务响应;如图8所示,本实施例中步骤g具体包括
步骤gll、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;步骤gl2、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复;如果未查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送查询失败回复;
步骤gl3、网站服务器接收身份验证回复,查询发送身份验证请求的用户注册的登记数据,并比较身份验证回复的用户身份信息和登记数据的用户身份信息,如果一致则验证通过,网站服务器对用户终端的业务请求作出业务响应;如果不一致则验证失败,网站服务器发送失败响应至用户终端;如果网站服务器接收到查询失败回复则发送失败响应至用户终端;
至此步骤g结束。在以上步骤中,在互联网上进行的用户身份信息传输,可以采用加密技术进行保
LU O实施例2
本实施例的互联网用户身份验证的系统与实施例I相同,互联网用户身份验证的方法中,用户注册前用户信息已经被身份服务器的身份数据库收录,步骤C与实施例I的方法不同,其余步骤相同。步骤c如图7所示,按以下方式进行
步骤c21、网站服务器接受用户注册,在用户终端输入登记数据并通过互联网发送到网站服务器;
步骤c22、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;步骤c23、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复;如果未查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送查询失败回复;
步骤c24、网站服务器接收身份验证回复,查询所述发送身份 验证请求的用户注册的登记数据,并比较身份验证回复中的用户身份信息和登记数据的用户身份信息,如果身份验证回复中的用户身份信息和登记数据的用户身份信息一致,则存储登记数据,注册成功;否贝U,注册失败;如果网站服务器接收到查询失败回复则注册失败。本实施例中注册用户的身份使用身份服务器验证。实施例3
本实施例的互联网用户身份验证的系统与实施例I相同,互联网用户身份验证的方法中,步骤g与实施例I的方法不同,其余步骤相同。步骤g如图9所示,按以下方式进行步骤g21、网站服务器将包含用户终端IP地址和登记数据的身份验证请求发送至身份服务器;
步骤g22、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,身份服务器比较身份验证请求中的登记数据与用户终端IP地址对应的用户身份信息;如果未查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送查询失败回复并跳转至步骤g24 ;
步骤g23、如果所述登记数据的用户身份信息和用户终端IP地址对应的用户身份信息一致,则身份服务器发送验证通过的身份验证回复到网站服务器,否则身份服务器发送验证失败的身份验证回复到网站服务器;
步骤g24、如果网站服务器收到验证通过的身份验证回复,则对用户终端的业务请求作出业务响应;如果网站服务器收到验证失败的身份验证回复,则对用户终端发送失败响应;如果网站服务器接收到查询失败回复则发送失败响应至用户终端。实施例4
本实施例的互联网用户身份验证的系统与实施例2相同,互联网用户身份验证的方法中,步骤g与实施例2的方法不同,其余步骤相同。步骤g按实施例3中的方式进行。实施例5
本实施例的互联网用户身份验证的系统,其中的IP地址分配认证单元包括有线接入网络或无线接入网络的固定地址分配单元和接入认证单元,其余部分与实施例I相同。互联网用户身份验证的方法中,步骤b与实施例I不同,其余步骤相同。步骤b如图3所示,具体为
步骤bll、用户向接入网络提供方申请固定的用户终端IP地址;接入网络提供方在其固定地址分配单元中为用户分配固定的IP地址,并确定用户名,所述固定地址分配单元在其因特网IP地址集合中分配固定的IP地址;用户获取用户名和固定的IP地址;
用户向接入网络提供方,例如中国宽带互联网(CHINANET)的提供方中国电信,提交申请获批准后取得固定的IP地址,并确定一个用户名设置到接入网络的固定地址分配单元中;用户取得固定的IP地址和用户名后,设置到用户设备或用户终端中;步骤bl2、用户终端使用所述固定IP地址发送用户名和密码或者业务请求到接入认证单元;接入认证单元进行认证;
固定IP地址的接入认证,根据固定地址分配单元的设置,可以采用用户名和密码认证的认证方式,也可以采用其他接入认证方式,如采用IP地址捆绑用户设备信息的接入认证方式;
步骤bl3、信息采集单元接收所述用户名和用户终端IP地址,并建立用户名和用户终端IP地址的对应关系;
信息采集单元接收用户终端IP地址和用户名的流程,可以采用数据库读取流程;所述数据库读取流程,是信息采集单元连接固定地址分配单元或接入认证单元的存储IP地址和用户名的数据库,获取IP地址和用户名并建立对应关系;例如认证单元和固定地址分配单元的数据库配置有数据库服务端程序,信息采集单元配置有数据库的客户端程序,所述数据库客户端连接所述数据库服务端,信息采集单元通过数据库客户端程序读取数据库服 务端的数据库中的IP地址和用户名;或者例如在信息采集单元与接入认证单元和固定地址分配单元建立TCP/IP连接,接入认证单元或固定地址分配单元将存储在其数据库中的IP地址和用户名通过所述TCP/IP连接发送到信息采集单元;
步骤bl4、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
步骤bl5、身份服务器在身份数据库中存储所述的用户名和用户终端IP地址及两者之间的对应关系。实施例6
本实施例的互联网用户身份验证的系统与实施例5相同,互联网用户身份验证的方法中,用户注册前用户信息已经被身份服务器的身份数据库收录,步骤c与实施例5的方法不同,其余步骤相同。步骤c按实施例2中的方式进行。实施例7
本实施例的互联网用户身份验证的系统与实施例5相同,互联网用户身份验证的方法中,步骤g与实施例5的方法不同,其余步骤相同。步骤g按实施例3中的方式进行。实施例8
本实施例的互联网用户身份验证的系统与实施例6相同,互联网用户身份验证的方法中,步骤g与实施例6的方法不同,其余步骤相同。步骤g按实施例3中的方式进行。实施例9
本实施例的互联网用户身份验证的系统,其中的IP地址分配认证单元包括2G或2. 5G或3G或4G无线通信接入网络的网关支持节点(GGSN),其余部分与实施例I相同。互联网用户身份验证的方法中,步骤b与实施例I不同,其余步骤相同。步骤b如图5所示,具体为
步骤b31、用户终端发送附着(Attach)请求至业务支持节点(SGSN);
步骤b32、所述业务支持节点(SGSN)对用户终端进行身份验证,通过验证后,向用户终端发送附着(Attach)接受;
步骤b33、用户终端发送激活分组报文协议(PDP)上下文请求到业务支持节点(SGSN),业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN);步骤b34、所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议(PDP)上下文应答到业务支持节点(SGSN)JgS IP地址具体是网关支持节点(GGSN)从所述网关支持节点(GGSN)的因特网IP地址集合中分配IP地址或者由网关支持节点(GGSN)连接的DHCP服务器分配IP地址;
步骤b35、业务支持节点(SGSN)发送激活分组报文协议(PDP)上下文接受到用户终端;步骤b36、信息采集单元接收指定的IP地址和对应的国际移动用户识别号(MSI)Jf息采集单元通过国际移动用户识别号(MSI)获取对应的移动用户ISDN号码(MSISDN);步骤b37、信息采集单元建立移动用户ISDN号码(MSISDN)和指定的IP地址的对应关系,并将移动用户ISDN号码(MSISDN)和指定的IP地址发送至身份服务器;
步骤b38、身份服务器在身份数据库中存储所述指定 的IP地址和移动用户ISDN号码(MSISDN);
所述步骤b36信息采集单元获取移动用户ISDN号码(MSISDN)具体按下述方式进行信令采集单元与网关支持节点单元(GGSN)和业务支持节点(SGSN)等网元连接,采集、存储和分析业务支持节点(SGSN)和网关支持节点单元(GGSN)的通信信令,获取国际移动用户识别码(IMSI)和指定IP地址的对应关系;信令采集单元连接HLR或者BOSS系统,查询和接收国际移动用户识别码(MSI)对应的移动用户ISDN号码(MSISDN);信令采集单元建立移动用户ISDN号码(MSISDN)与IP地址的对应关系。其中所述的信令采集单元获取国际移动用户识别码(MSI)和指定IP地址的对应关系,具体按下述方式进行
信令采集单元采集、存储和分析用户终端与业务支持节点(SGSN)之间执行的附着(Attach)流程的信令信息,所述采集的信令信息包括国际移动用户识别码(IMSI)和网络服务区域点标识(NSAPI, Network Service Access Point Identifier)等,并建立和存储网络服务区域点标识(NSAPI)、分组临时移动用户标识号(P-TMSI)和国际移动用户识别码(MSI)之间的对应关系;信令采集单元采集、存储和分析业务支持节点(SGSN)与网关支持节点(GGSN)之间执行分组报文协议(PDP)上下文激活流程的信令信息,所述采集的的信令信息包括网络服务区域点标识(NSAPI)、静态PDP地址和动态PDP地址等信息,并建立和存储静态PDP或动态PDP地址与网络服务区域点标识(NSAPI)之间对应关系。国际移动用户识别码(IMSI)通过网络服务区域点标识(NSAPI ),与静态PDP地址或动态PDP地址建立对应关系,而静态PDP或动态PDP地址是所述指定的IP地址,因此,国际移动用户识别码(MSI)与指定的IP地址建立对应关系。所述的用户终端与业务支持节点(SGSN)之间执行的附着(Attach)流程,可以按下述方式进行用户终端在开始使用数据业务,与业务支持节点(SGSN)之间执行附着(Attach)流程时发送国际移动用户识别码(IMSI)和网络服务区域点标识(NSAPI)等参数,并接收业务支持节点(SGSN)返回的分组临时移动用户标识号(P-TMSI,Packet TemporaryMobile Subscriber Identity);用户终端在使用数据业务过程中移动切换,与业务支持节点(SGSN)之间执行附着(Attach)流程时发送分组临时移动用户标识号(P-TMSI)和网络服务区域点标识(NSAPI)等参数,并接收业务支持节点(SGSN)返回的分组临时移动用户标识号(P-TMSI, Packet Temporary Mobile Subscriber Identity)。信息米集单兀米集用户终端与业务支持节点(SGSN)之间的附着(Attach)流程的信令信息,并存储国际移动用户识别码(MSI)、网络服务区域点标识(NSAPI)和最后返回的分组临时移动用户标识号(P-TMSI)的对应关系。所述的业务支持节点(SGSN)与网关支持节点(GGSN)之间执行分组报文协议(PDP)上下文激活流程,可以按下述方式进行用户终端发送激活分组报文协议(PDP)上下文请求到业务支持节点(SGSN),所述激活分组报文协议(PDP)上下文请求包括网络服务区域点标识(NSAPI)等参数;业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN),所述建立分组报文协议(PDP)上下文请求包括网络服务区域点标识(NSAPI)等参数;所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议(PDP)上下文应答到业务支持节点(SGSN),其中建立分组报文协议(PDP)上下文应答的动态PDP地址参数即为指定IP地址。实施例10
本实施例的互联网用户身份验证的系统与实施例5相同,互联网用户身份验证的方法中,用户注册前用户信息已经被身份服务器的身份数据库收录,步骤c与实施例9的方法不 同,其余步骤相同。步骤c按实施例2中的方式进行。实施例11
本实施例的互联网用户身份验证的系统与实施例5相同,互联网用户身份验证的方法中,步骤g与实施例9的方法不同,其余步骤相同。步骤g按实施例3中的方式进行。实施例12
本实施例的互联网用户身份验证的系统与实施例6相同,互联网用户身份验证的方法中,步骤g与实施例10的方法不同,其余步骤相同。步骤g按实施例3中的方式进行。本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。尽管本文较多地使用了用户身份信息、用户终端、身份服务器等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
权利要求
1.一种互联网用户身份验证的系统,其特征在于,包括 用户终端,向网站服务器发送包含自身IP地址的业务请求,并接收网站服务器返回的业务响应,用户终端通过互联网与其他节点进行通信; 网站服务器,用于接收用户终端的业务请求和返回业务响应,在判断所述业务请求需要用户身份验证后,发送用户验证请求至身份服务器并接收身份服务器返回的用户身份信息或验证结果,判断验证所述用户身份信息或验证结果后,对用户终端的业务请求作出业务响应; IP地址分配认证单元,用于给用户终端指定或分配IP地址,并给用户终端提供网络接入的认证; 信息采集单元,用于采集IP地址分配认证单元中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器; 和设置有身份数据库的身份服务器,用于接收信息采集单元发送过来的用户身份信息和IP地址,建立所述用户身份信息和IP地址对应关系并存储在身份数据库中;当收到网站服务器发送的包含用户终端IP地址的身份验证请求后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器,或者进行判断验证后返回给网站服务器所述验证结果。
2.根据权利要求I所述的一种互联网用户身份验证的系统,其特征在于,所述IP地址分配认证单元包括接入网络的地址分配单元和接入认证单元,所述地址分配单元为固定地址分配单元或者动态地址分配单元,所述接入网络为有线接入网络或无线接入网络。
3.根据权利要求I所述的一种互联网用户身份验证的系统,其特征在于,所述IP地址分配单元为2G或2. 5G或3G或4G无线通信接入网络的网关支持节点。
4.一种互联网用户身份验证的方法,其特征在于,包括以下步骤 a、在身份服务器建立身份数据库; b、在身份数据库存储用户身份信息与对应的用户终端IP地址,所述用户身份信息包括用户终端ISDN号码和用户终端接入互联网认证时使用的用户名中的至少一个; C、网站服务器接受用户注册,存储用户的登记数据,登记数据包括用户身份信息和是否需要通过身份服务器进行验证; d、用户终端连接至网站服务器,并发送业务请求至网站服务器; e、所述网站服务器在判断业务请求需要对用户身份进行验证后,发送用户身份请求到用户终端; f、用户终端发送用户身份回复到网站服务器,网站服务器查询用户注册的登记数据,在判断需要通过身份服务器验证用户身份后,网站服务器连接至身份服务器; g、网站服务器发送身份验证请求至身份服务器;身份服务器接收身份验证请求并进行验证,身份服务器发送身份验证回复到网站服务器;网站服务器接收身份验证回复,并根据验证结果对用户终端的业务请求作出业务响应。
5.根据权利要求4所述的一种互联网用户身份验证的方法,其特征在于,所述步骤c具体包括 ell、网站服务器接受用户注册,在用户终端输入登记数据和手机号码并通过互联网发送到网站服务器;cl2、网站服务器为所述进行注册的用户生成注册验证码并以短信形式向手机号码对应的手机发送注册验证码; cl3、进行注册的用户将手机短信上的注册验证码输入到用户终端,所述注册验证码通过互联网发送至网站服务器; cl4、网站服务器比较通过短信发出的注册验证码与通过互联网返回的注册验证码,如果一致则存储登记数据,注册成功;否则,注册失败。
6.根据权利要求4所述的一种互联网用户身份验证的方法,其特征在于,所述步骤c具体包括 c21、网站服务器接受用户注册,在用户终端输入登记数据并通过互联网发送到网站服务器; c22、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;c23、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复; c24、网站服务器接收身份验证回复,查询所述发送身份验证请求的用户注册的登记数据,并比较身份验证回复的用户身份信息和登记数据,如果身份验证回复的用户身份信息和登记数据的用户身份信息一致,则存储登记数据,注册成功;否则,注册失败。
7.根据权利要求4所述的一种互联网用户身份验证的方法,其特征在于,所述步骤g具体包括 gll、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;gl2、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复; gl3、网站服务器接收身份验证回复,查询发送身份验证请求的用户注册的登记数据,并比较身份验证回复的用户身份信息和登记数据的用户身份信息,如果一致则验证通过,网站服务器对用户终端的业务请求作出业务响应;如果不一致则验证失败,网站服务器发送失败响应至用户终端。
8.根据权利要求4所述的一种互联网用户身份验证的方法,其特征在于,所述步骤g具体包括 g21、网站服务器将包含用户终端IP地址和登记数据的身份验证请求发送至身份服务器; g22、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,身份服务器比较身份验证请求中登记数据的用户身份信息与用户终端IP地址对应的用户身份信息; g23、如果所述登记数据的用户身份信息和用户终端IP地址对应的用户身份信息一致,则身份服务器发送验证通过的身份验证回复到网站服务器,否则身份服务器发送验证失败的身份验证回复到网站服务器; g24、如果网站服务器收到验证通过的身份验证回复,则对用户终端的业务请求作出业务响应;如果网站服务器收到验证失败的身份验证回复,则对用户终端发送失败响应。
9.根据权利要求4或5或6或7或8所述的一种互联网用户身份验证的方法,其特征在于,所述步骤b具体包括 bll、用户向接入网络提供方申请固定的用户终端IP地址;接入网络提供方在其固定地址分配单元中为用户分配固定的IP地址,并确定用户名,用户获取用户名和固定的IP地址; bl2、用户终端使用所述固定的IP地址发送用户名和密码或者业务请求到接入认证单元;接入认证单元进行认证; bl3、信息采集单元接收所述用户名和用户终端IP地址,并建立用户名和用户终端IP地址的对应关系; bl4、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;bl5、身份服务器在身份数据库中存储所述的用户名和用户终端IP地址及两者之间的 对应关系。
10.根据权利要求4或5或6或7或8所述的一种互联网用户身份验证的方法,其特征在于,所述步骤b具体包括 b21、用户终端发送用户名和密码至接入认证单元或动态地址分配单元,申请IP地址;b22、接入认证单元认证用户名和密码,动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址; b23、信息采集单元接收用户终端IP地址和所述用户名,并建立用户终端IP地址和所述用户名的对应关系; b24、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;b25、身份服务器在身份数据库中存储所述用户名和用户终端IP地址及两者之间的对应关系。
11.根据权利要求4或5或6或7或8所述的一种互联网用户身份验证的方法,其特征在于,所述步骤b具体包括 b31、用户终端发送附着请求至业务支持节点; b32、所述业务支持节点对用户终端进行身份验证,通过验证后,向用户终端发送附着接受; b33、用户终端发送激活分组报文协议上下文请求到业务支持节点,业务支持节点发送建立分组报文协议上下文请求到网关支持节点; b34、所述网关支持节点指定IP地址,并发送建立分组报文协议上下文应答到业务支持节点,所述指定IP地址具体是网关支持节点从所述网关支持节点的因特网IP地址集合中分配IP地址或者由网关支持节点连接的DHCP服务器分配IP地址;b35、业务支持节点发送激活分组报文协议上下文接受到用户终端;b36、信息采集单元接收指定的IP地址和对应的国际移动用户识别号,信息采集单元通过国际移动用户识别号获取对应的移动用户ISDN号码; b37、所述信息采集单元建立移动用户ISDN号码和指定的IP地址的对应关系,并将移动用户ISDN号码和指定的IP地址发送至身份服务器; b38、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码。
全文摘要
本发明公开了一种互联网用户身份验证的系统和方法,其系统包括用户终端、网站服务器、IP地址分配认证单元、信息采集单元和身份服务器。身份服务器获取用户终端IP地址与用户身份信息的对应关系;网站服务器发送终端IP地址到身份服务器,获取IP地址对应的用户身份信息,并将用户身份信息与用户注册时的验证方法和登记数据进行比较,如果所述用户身份信息与用户注册时的验证方法和登记数据时的用户身份信息关联一致,则表示用户验证通过。本发明提供的验证方法简单、准确安全性高,适用范围广。
文档编号H04L9/32GK102882853SQ20121032394
公开日2013年1月16日 申请日期2012年9月5日 优先权日2012年9月5日
发明者孙正楠 申请人:孙银海