专利名称:一种环球网认证方法
技术领域:
本发明涉及通信系统认证技术领域,特别是指一种环球网(Web)认证方法。
背景技术:
随着无线技术的发展,如全球接入互操作(WiMAX)网络、无线局域网(WLAN)等现今热门的无线接入网络,市场前景越来越好。但是随着应用越来越广泛,无线接入网络所受到的攻击也越来越多,因此现有的无线接入网络大多采用Web认证的方式来增强网络的安全性。
Web认证方式是指终端(MSS、WLAN User Terminal……)在访问服务之前,首先通过认证者(Authenticator、AC……)获取门户服务器(PortalServer)的入口地址,然后认证者向终端下发访问门户服务器入口地址(PortalURL)的认证页面,终端在该认证页面输入用户名和密码,并将这些信息通过认证者上报给鉴权服务器(RADIUS or Diameter Server、AS……)进行认证,在认证通过后MSS才可以访问Portal Server上的服务。
下面以WiMAX网络中的Web认证流程对Web认证方式进行详细说明。如图1所示,WiMAX网络中的Web认证流程包括以下步骤步骤101、终端(MSS)向认证者(Authenticator)发送访问请求消息,该消息中包括终端所要访问的服务的相关信息,如域名信息等。
步骤102、Authentieator在接收到MSS发送的接入请求消息后,向所要访问的服务的相关信息对应的门户服务器(Portal Server)发送消息请求Portal Server的入口地址(Portal URL)。
步骤103~104、Portal Server将自身的Portal URL发送给Authentieator,该Portal URL可以是网址或者IP地址等,Authenticator在接收到Portal Server发送的Portal URL后,向MSS下推访问该Portal URL的认证页面。
步骤105、用户在Authenticator下发的认证页面上输入用户名和密码后,终端通过HTTPS协议将用户输入的用户名和密码信息提交给Authenticator。
步骤106、Authenticator在接收到MSS提交的用户名和密码后,将该用户名和密码通过认证请求消息发送给RADIUS or Diameter Server(AAAServer)为该用户进行认证。
步骤107、AAA Server在接收到认证请求消息后,对该消息中的用户名和密码进行认证,并将认证成功或失败的结果信息通过认证请求响应消息返回给Authenticator。
步骤108、Authenticator在接收到AAA Server返回的认证请求响应消息后,将其中的认证结果信息发送给Portal Server。
步骤109~111、Portal Server在接收到Authenticator发送的认证结果信息后,判断该认证结果信息是否为认证成功,如果是则向MSS发送认证成功的页面,此后终端就可以对需要的服务进行访问了,然后执行步骤112;否则,向MSS返回认证失败页面,以提示用户认证没有通过,然后执行步骤112。
步骤112、Portal Server将向终端下发认证成功或失败页面的信息发送给Authenticator,然后结束该流程。
通过上述流程就完成了终端接入的Web认证,保证了只有使用正确的用户名和密码的用户才能够访问服务。但是在这种Web认证方式中采用固定的用户名和密码进行认证,固定的用户名和密码很容易被他人获取,所以上述现有技术的Web认证方法中安全性很差。
发明内容
有鉴于此,本发明的目的在于提供一种环球网认证方法,能够提高Web认证的安全性。
为了达到上述目的,本发明提供了一种环球网认证方法,包括以下步骤A、认证者在接收到终端发送的访问请求后,鉴权服务器根据认证者的通知获取认证该请求用户的最终有效密码,并将最终有效密码发送给用户;B、鉴权服务器通过认证者指示用户在终端上以接收的最终有效密码向鉴权服务器发起环球网认证。
步骤A中所述将最终有效密码发送给用户的方法可以为鉴权服务器获取认证该请求用户的最终有效密码后,将该最终有效密码通过认证者发送给发起访问请求的终端,用户通过该终端获取密码。
步骤A中所述的访问请求中可以包括用户标识信息;则步骤A中所述鉴权服务器获取认证该请求用户的最终有效密码之前可以进一步包括A01、认证者向鉴权服务器上报所述用户标识信息;A02、鉴权服务器根据该用户标识信息判断对应的密码是否超过了有效期,如果超过了有效期,则执行所述的获取认证该请求用户的最终有效密码的步骤。
步骤A中所述的访问请求中可以进一步包括密码;则步骤A01中进一步包括认证者向鉴权服务器上报所述密码;步骤A02中所述鉴权服务器判断对应的密码是否超过了有效期之前进一步包括鉴权服务器对接收的用户标识信息和密码进行认证,如果认证通过,执行所述的判断对应的密码是否超过了有效期的步骤;否则通过认证者向终端返回拒绝请求消息,然后结束该流程。
步骤A中所述鉴权服务器根据认证者的通知获取认证该请求用户的最终有效密码可以包括A1、认证者指示终端将用户标识信息和需要更改密码的信息发送给鉴权服务器;A2、鉴权服务器根据接收的需要更改密码的信息获取对应用户的最终有效密码,记录所述用户标识信息与所述最终有效密码的对应关系。
较佳地,步骤A1中所述的需要更改密码的信息为用户标识信息后用于标识需要更改密码的域名。
较佳地,步骤A1中所述的用户标识信息为用户的唯一合法标识。
步骤A2中所述获取对应用户的最终有效密码可以为鉴权服务器为对应用户生成新密码作为最终有效密码;或可以为鉴权服务器将终端与需要更改密码的信息一起上报的密码作为本次认证的最终有效密码。
步骤A中所述将最终有效密码发送给用户的方法还可以为鉴权服务器获取本次认证所需的最终有效密码后,将该最终有效密码发送给用户标识信息所对应的终端,用户通过该终端获取密码。
所述步骤B可以包括B1、鉴权服务器指示认证者向所述认证请求对应的门户服务器请求该门户服务器的入口地址,然后门户服务器向认证者返回自身的入口地址;B2、认证者指示用户以接收的所述最终有效密码作为密码向认证者发送访问门户服务器入口地址请求;B3、认证者接收到访问门户服务器入口地址请求后,向鉴权服务器上报包括所述最终有效密码作为密码的信息发起认证;B4、鉴权服务器根据认证者上报的信息进行认证,并将认证结果信息发送给认证者;B5、认证者将认证结果信息转发给所述门户服务器,门户服务器根据认证结果信息向用户终端下发对应的认证结果页面。
较佳地,所述步骤B3中认证者接收到访问门户服务器入口地址请求后进一步包括认证者判断该请求对应用户是否已经进行了密码更新,如果是则执行所述的向鉴权服务器上报包括所述最终有效密码的信息发起认证的步骤。
步骤B3中所述向鉴权服务器上报包括所述最终有效密码的信息发起认证之前可以进一步包括B31、认证者向门户服务器转发访问门户服务器入口地址请求;
B32、门户服务器接收到该请求后,向认证者发送挑战请求;B33、认证者向门户服务器上报挑战值、挑战标识;B34、门户服务器根据所述挑战值、挑战标识和访问门户服务器入口地址请求中的密码生成挑战密码,并将生成的挑战密码发送给认证者;所述认证者向鉴权服务器发起认证所上报的最终有效密码为所述挑战密码;所述认证者向鉴权服务器发起认证所上报的信息中进一步包括挑战值、挑战标识。
从以上方案可以看出,本发明中,在进行Web认证过程中,由鉴权服务器获取用户的最终有效密码,并将该最终有效密码发送给用户,用户使用该最终有效密码发起Web认证,使得用户的密码能够动态更新,提高了Web认证的安全性;本发明中,不仅提供了用户每次登录都更改密码的实现形式,还提供了用户可以选择的以有效期为周期进行密码更改的实现形式,增加了业务实现方式,提高了竞争力。
图1为现有技术中Web认证的流程图;图2为本发明的总体流程图;图3为本发明第一实施例的流程图;图4为本发明第二实施例的流程图;图5为本发明在WiMAX网络中的框架图;图6为本发明在WLAN网络中的框架图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明的总体流程如图2所示,具体步骤如下
步骤201、认证者在接收到终端发送的访问请求后,鉴权服务器根据认证者的通知获取认证该请求用户的最终有效密码,并将最终有效密码发送给用户;步骤202、鉴权服务器通过认证者指示用户在终端上以接收的最终有效密码向鉴权服务器发起Web认证。
在上述步骤201中,鉴权服务器获取本次认证的最终有效密码,可以是自身生成新的密码作为最终有效密码,也可以是把终端上报的密码作为最终有效密码。鉴权服务器将最终有效密码发送给用户,可以是由鉴权服务器与短消息服务器进行交互,通过短消息服务器以短消息的形式将密码发送给上述用户标识信息对应的终端;也可以是鉴权服务器通过与其他服务器进行交互,以其他形式将密码发送给上述用户标识信息对应的终端,如以多媒体消息形式,或电子邮件方式等。此外,还可以是鉴权服务器通过认证者直接发送给发送访问请求消息的终端。
此外,为了进一步增加Web认证的安全性,本发明中还可以在鉴权服务器与Portal Server之间增加挑战握手认证(CHAP)交互流程。
下面通过本发明在WiMAX网络中的两种实现方式作为具体实施例对本发明进行详细说明。
在本发明的第一实施例中,预先在Authenticator中为用户设定更新密码标识,用来标识是否已经为该用户更新了密码。例如设定该标识的初始值为0,代表没有进行密码更新,而在AAA Server为用户更新密码之后,将该值更改为1,代表已经进行了密码更新。
如图3所示,为本实施例的具体实现流程,步骤如下步骤301、MSS向 Authenticator发送访问请求,其中包括所要访问的Portal Server相关信息,该信息可以是该Portal Server对应的域名信息,例如www.google.com。
步骤302、Authenticator接收到MSS发送的访问Portal Server请求后,向MSS下发OTP认证页面,在该页面上提示用户输入用户标识信息(MSISDN)@域名形式的用户名。其中用户标识信息是指唯一能够标识用户名所对应的合法终端的标识信息,如可以是MSISDN或其他信息,在本实施例中以MSISDN为例进行说明;域名可以是OTP字段或其他标识该用户标识信息是用来进行OTP认证的字段,在本实施例中以OTP字段为例进行说明。
步骤303、MSS在用户输入了MSISDN@OTP形式的用户名后,通过HTTP协议或者HTTPS协议将包括该用户名的认证请求消息上报给Authenticator。
在本实施例中,还可以用户只输入MSISDN,然后通过认证页面上提供的下拉框或其他形式选择进行OTP认证的域名@OTP。
步骤304、Authenticator在接收到MSS发送的认证请求消息后,通过OTP后缀识别出该次认证请求消息为OTP认证请求后,将包括用户名为MSISDN@OTP,密码为空的认证请求消息发送给AAA Server。
步骤305、AAA Server在接收到Authenticator上报的用户名为MSISDN@OTP,密码为空的认证请求信息,识别出用户名中包括OTP后缀后,为该MSISDN对应的用户生成新密码,并用该新密码替换原有的旧密码,然后执行步骤306和步骤307。
步骤306、AAA Server将新密码发送给MSISDN对应的MSS。
本步骤中AAA Server可以首先与短消息中心进行交互,然后通过短消息中心将密码以短消息的形式发送给MSS。
步骤307、AAA Server向Authenticator返回认证失败消息,该消息中包括网络给MSS生成了新密码的信息,该信息可以通过设定认证失败消息中的失败原因值(failure-Code)为Push-Authentication-Code的形式实现,然后执行步骤308。
步骤308、Authenticator在接收到AAA Server返回的认证失败消息,识别出失败原因值为Push-Authentication-Code后,将该消息对应终端的更新密码标识的值更改为1,然后根据步骤302中接收的访问请求消息中的PortalServer信息向Portal Server发起取Portal URL请求。
步骤309、Portal Server接收到取Portal URL请求后,向AAA Server返回取Portal URL响应,其中包括Portal Server的Portal URL地址。
步骤310、Authenticator在接收到Portal Server返回的Portal URL地址后,向MSS下推访问Portal URL的认证页面,以通知用户输入用户名和新密码以访问Portal URL,这里的用户名可以为正常形式的用户名,如用户ID等。
步骤311、MSS接收认证页面,将认证页面显示给用户,并在用户输入了用户名和新密码后,通过HTTPS协议向Authenticator发送包括用户名和新密码的访问Portal URL请求消息。
步骤312、Authenticator接收到MSS上报的访问Portal URL请求消息后,识别出其中包括用户名和密码信息后,判断该MSS是否已经进行了密码更新,如果是则执行步骤313;否则,返回执行步骤302。
本步骤中,判断该MSS是否已经进行了密码更新即判断该MSS对应的更新密码标识的值是否为1。
步骤313、Authenticator将接收到访问Portal URL请求消息转发给PortalServer,并将更新密码标识的值更改为0。
步骤314、Portal Server在接收到Authenticator转发的访问Portal URL请求消息后,向Authenticator发送挑战请求。本步骤中,Portal Server向Authenticator发送挑战请求是为了在Portal Server和AAA Server之间进行CHAP认证,以确定Portal Server的合法性。
步骤315、Authenticator接收到挑战请求后,进行计算获得挑战值(Challenge),并向Portal Server返回包括该Challenge和挑战标识(ChallengeID)的挑战响应消息(ACK_Challenge)。
步骤316、Portal Server对密码和Authenticator发送的Challenge ID和Challenge以MD5算法计算获得挑战密码(Challenge-Password),然后将该Challenge-Password和用户名一起发送给Authenticator,发起认证请求。
步骤317、Authenticator将接收到的认证请求中的用户名和Challenge-Password以及Challenge ID和Challenge通过认证请求消息发送给AAA Server进行认证。
步骤318、AAA Server在接收到Authenticator发送的认证请求消息后,对其中的信息进行认证,并将认证是否成功的结果信息通过认证请求响应消息发送给Authenticator。
本步骤中,AAA Server对Authenticator发送的认证请求消息中的信息进行认证包括,根据Challenge ID、Challenge和自身中用户名对应的密码通过MD5算法生成Challenge-Password,然后将认证者上报的Challenge-Password和生成的Challenge-Password进行比较是否相同。
步骤319、Authenticator在接收到认证请求响应消息后,将认证结果信息发送给Portal Server。
步骤320~321、Portal Server根据接收的认证结果信息向MSS下发认证成功页面或认证失败页面,并将已经向MSS下发了认证成功或认证失败页面的信息发送给Authenticator,然后结束该流程。
以上是对本发明第一实施例的说明,在本发明第一实施例中提供了每次Web认证都更改密码的流程,在这种每次认证都更改密码的流程中,用户需要频繁地输入用户名和密码。此外,在该实施例中,更新后的密码完全由AAA Server生成,生成的密码不方便用户记忆。为方便用户,增加本发明的实现方式,并为用户提供更多的业务实现方式,提出了本发明的第二实施例,以下进行说明。
在本发明第二实施例中,预先在AAA Server中为用户设置对应的密码更新时长或同一密码登录次数,用户可以通过定制的方式定制不同的密码更新时长或同一密码登录次数,以实现在一定的时间段内或一定的登录次数内不必更新密码。对于前者,还需要在AAA Server中设置密码更新时间,则通过判断用当前时间减去密码更新时间所得的时间是否小于密码更新时长,就可以判断出该次登录是否在上次密码更新后设置的密码更新时长内,如果是则该用户的密码在有效期内,不需要更新密码;否则需要更新密码,并将密码更新时间更改为该次更新密码的时间。对于后者,还需要在AAA Server中设置同一密码登录剩余次数,该同一密码登录剩余次数的初始值与同一密码登录次数相同,用户每登录一次该同一密码登录剩余次数值减一,如果用户的同一密码登录剩余次数值大于0,则该用户的密码在有效期内,不需要更新密码;否则需要更新密码,更新密码后,同一密码登录剩余次数值恢复为用户定制的同一密码登录次数的值。
如图4所示为本实施例的实现流程,具体步骤如下步骤401、MSS向Authenticator发送访问请求消息,在该访问请求消息中包括用户标识信息和密码,以及所要访问的门户服务器的相关信息,如域名信息。
步骤402、Authenticator接收到访问请求后,将该访问请求转发给AAAServer。
步骤403、AAA Server接收到访问请求后,对该访问请求中的用户名和密码进行认证,判断是否合法,如果是执行步骤404;否则通过Authenticator向MSS返回拒绝请求消息,然后结束该流程。
步骤404、AAA Server判断该访问请求所对应用户的密码是否在有效期内如果在有效期内执行步骤405;否则执行步骤406。
步骤405、向Authenticator返回访问回复消息,在该消息中包括认证成功消息,然后执行步骤407。
本步骤中,如果用户定制的密码更新周期是同一密码登录次数,则还需将同一密码登录剩余次数值减一。
步骤406、向Authenticator返回访问回复消息,在该消息中包括需要用户更新密码的信息,然后执行步骤407。
步骤407、Authenticator判断AAA Server返回的访问回复消息中的信息是否为需要用户更新密码,如果是执行步骤408;否则Authenticator根据步骤401中用户上报的接入请求信息向对应的Potral Server发送Portal URL请求消息,并在获得Portal URL后,将用户上报的用户标识信息和密码发送给Portal Server,然后执行步骤419及其后步骤。
步骤408、Authenticator向MSS下推认证页面,提示用户更新密码。在该认证页面中提供OTP后缀,用户可以直接选择该后缀然后重新发起认证。
步骤409、用户在认证页面上的用户名中输入MSISDN@OTP形式的用户名后,MSS向Authenticator上报该用户名。
步骤410、Authenticator接收到用户上报的信息后,识别出用户名带有OTP后缀,则判断出该信息是更新密码请求,然后向AAA Server发送更新密码请求消息,在该消息中包括MSISDN@OTP形式的用户名。
步骤411、AAA Server接收到更新密码请求消息后,根据带有OTP后缀形式的用户名识别出该请求为更新密码请求,则为用户生成新的密码,并保存该密码与MSISDN的对应关系。
此外,在本步骤中,如果用户定制的密码更新周期是密码更新时长,则还需要将该用户对应的密码更新时间更改为当前时间;如果用户定制的密码更新周期是同一密码登录次数,则还需要将该用户对应的同一密码登录剩余次数值更改为该用户定制的同一密码登录次数的值。
步骤412、AAA Server向Authenticator返回更新密码请求响应消息,在该消息中包括更新密码成功的信息并携带新的密码。
步骤413、Authenticator在接收到更新密码请求响应消息后,识别出更新密码成功后,根据步骤401中用户上报的接入请求信息向对应的PotralServer发送Portal URL请求消息。
步骤414、Portal Server在接收到Portal URL请求消息后,将自身的PortalURL发送给Authenticator。
步骤415、Authenticator在接收到Portal Server返回的Portal URL后,将密码更新成功信息、新的密码和用户请求的Portal URL一起发送给MSS,并再次向MSS下推包括Portal URL的认证页面,提示用户输入用户名和新密码。
步骤416、MSS在用户输入用户名和密码后,通过HTTPS协议向Authenticator发送包括用户名和密码的访问Portal URL的请求消息。
步骤417、Authenticator判断该访问Portal URL请求消息所对应的用户是否已经进行了密码更新,如果是执行步骤418;否则返回执行步骤402。本步骤中判断用户是否已经进行了密码更新的方法与第一实施例中相同,即通过对预先为用户设定的更新密码标识值进行判断来确定是否进行了密码更新,另外,对密码更新标识值的设定和更改方法也与第一实施例中相同,这里不再详细说明。
步骤418、Authenticator将MSS上报的HTTPS协议形式的访问PortalURL请求消息发送给Portal Server。
步骤419、Portal Server接收到该访问Portal URL请求消息后发起CHAP过程,与Authenticator进行交互,在CHAP认证通过后,Portal Server将用户名和挑战密码(Challenge-Password)发送给Authenticator。
本步骤中的CHAP过程的具体实现与第一实施例相同,即本步骤包括了图3中的步骤314至步骤316。
步骤420、Authenticator向AAA Server上报包括Challenge ID、Challenge、Challenge-Password和用户名的信息的认证请求消息。
步骤421、AAA Server在接收到认证请求消息后,判断其中的信息是否合法,并将判断后获得的认证是否成功的结果信息通过认证响应消息发送给Authenticator。
步骤422、Authenticator将AAA Server返回的认证响应消息中的信息发送给Portal Server。
步骤423、Portal Server在接收到Authenticator发送的认证响应消息后,判断其中的认证结果信息是否为认证成功,如果是则向MSS发送认证成功的页面;否则向用户返回认证失败页面。
步骤424、Portal Server向Authenticator发送已经向MSS发送认证成功或认证失败页面的信息,然后结束该流程。
在上述步骤409中,用户也可以在认证页面上输入密码,然后MSS将用户输入的密码也上报给Authenticator,则在步骤410,Authenticator在接收到MSS上报的请求信息后,判断请求信息中是否有密码,如果有则将该密码也上报给AAA Server,在步骤411,AAA Server接收到认证请求消息,并识别出该消息中包括密码后,并不生成新的密码,而是将用户上报的密码作为新的密码,存储用户信息与该新密码的对应关系,并将该用户上报的密码下发给Authenticator。
此外,在上述步骤412中,AAA Server也可以不将密码发送给Authenticator,而是与第一实施例中相同,通过短消息中心将密码发送给用户。
在本发明所举的两个具体实施例中,都是以本发明在如图5所示的WiMAX网络架构中的应用为例进行说明的。本发明还可以应用在除WiMAX外的WLAN或其他的采用三方认证模式的网络中,例如本发明在如图6所示的WLAN网络架构中应用时,只需要将具体实施例流程中的MSS替换成WLAN用户终端(WLAN User Terminal),将Authenticator替换成WLAN订阅者接入认证和服务控制点(WLAN Subscriber AccessAuthentication Point and Service Control Point,AC),将AAA Server替换成订阅者认证服务器(RADIUS Subscribe Authentication Server,AS)即可。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种环球网认证方法,其特征在于,该方法包括以下步骤A、认证者在接收到终端发送的访问请求后,鉴权服务器根据认证者的通知获取认证该请求用户的最终有效密码,并将最终有效密码发送给用户;B、鉴权服务器通过认证者指示用户在终端上以接收的最终有效密码向鉴权服务器发起环球网认证。
2.根据权利要求1所述的方法,其特征在于,步骤A中所述将最终有效密码发送给用户的方法为鉴权服务器获取认证该请求用户的最终有效密码后,将该最终有效密码通过认证者发送给发起访问请求的终端,用户通过该终端获取密码。
3.根据权利要求1所述的方法,其特征在于,步骤A中所述的访问请求中包括用户标识信息;步骤A中所述鉴权服务器获取认证该请求用户的最终有效密码之前进一步包括A01、认证者向鉴权服务器上报所述用户标识信息;A02、鉴权服务器根据该用户标识信息判断对应的密码是否超过了有效期,如果超过了有效期,则执行所述的获取认证该请求用户的最终有效密码的步骤。
4.根据权利要求3所述的方法,其特征在于,步骤A中所述的访问请求中进一步包括密码;步骤A01中进一步包括认证者向鉴权服务器上报所述密码;步骤A02中所述鉴权服务器判断对应的密码是否超过了有效期之前进一步包括鉴权服务器对接收的用户标识信息和密码进行认证,如果认证通过,执行所述的判断对应的密码是否超过了有效期的步骤;否则通过认证者向终端返回拒绝请求消息,然后结束该流程。
5.根据权利要求1至4中任一所述的方法,其特征在于,步骤A中所述鉴权服务器根据认证者的通知获取认证该请求用户的最终有效密码包括A1、认证者指示终端将用户标识信息和需要更改密码的信息发送给鉴权服务器;A2、鉴权服务器根据接收的需要更改密码的信息获取对应用户的最终有效密码,记录所述用户标识信息与所述最终有效密码的对应关系。
6.根据权利要求5所述的方法,其特征在于,步骤A1中所述的需要更改密码的信息为用户标识信息后用于标识需要更改密码的域名。
7.根据权利要求5所述的方法,其特征在于,步骤A1中所述的用户标识信息为用户的唯一合法标识。
8.根据权利要求5所述的方法,其特征在于,步骤A2中所述获取对应用户的最终有效密码为鉴权服务器为对应用户生成新密码作为最终有效密码;或为鉴权服务器将终端与需要更改密码的信息一起上报的密码作为本次认证的最终有效密码。
9.根据权利要求5所述的方法,其特征在于,步骤A中所述将最终有效密码发送给用户的方法为鉴权服务器获取本次认证所需的最终有效密码后,将该最终有效密码发送给用户标识信息所对应的终端,用户通过该终端获取密码。
10.根据权利要求1至4中任一所述的方法,其特征在于,所述步骤B包括B1、鉴权服务器指示认证者向所述认证请求对应的门户服务器请求该门户服务器的入口地址,然后门户服务器向认证者返回自身的入口地址;B2、认证者指示用户以接收的所述最终有效密码作为密码向认证者发送访问门户服务器入口地址请求;B3、认证者接收到访问门户服务器入口地址请求后,向鉴权服务器上报包括所述最终有效密码作为密码的信息发起认证;B4、鉴权服务器根据认证者上报的信息进行认证,并将认证结果信息发送给认证者;B5、认证者将认证结果信息转发给所述门户服务器,门户服务器根据认证结果信息向用户终端下发对应的认证结果页面。
11.根据权利要求10所述的方法,其特征在于,所述步骤B3中认证者接收到访问门户服务器入口地址请求后进一步包括认证者判断该请求对应用户是否已经进行了密码更新,如果是则执行所述的向鉴权服务器上报包括所述最终有效密码的信息发起认证的步骤。
12.根据权利要求10所述的方法,其特征在于,步骤B3中所述向鉴权服务器上报包括所述最终有效密码的信息发起认证之前进一步包括B31、认证者向门户服务器转发访问门户服务器入口地址请求;B32、门户服务器接收到该请求后,向认证者发送挑战请求;B33、认证者向门户服务器上报挑战值、挑战标识;B34、门户服务器根据所述挑战值、挑战标识和访问门户服务器入口地址请求中的密码生成挑战密码,并将生成的挑战密码发送给认证者;所述认证者向鉴权服务器发起认证所上报的最终有效密码为所述挑战密码;所述认证者向鉴权服务器发起认证所上报的信息中进一步包括挑战值、挑战标识。
全文摘要
本发明公开了一种环球网认证方法,该方法包括A.认证者在接收到终端发送的访问请求后,鉴权服务器根据认证者的通知获取认证该请求用户的最终有效密码,并将最终有效密码发送给用户;B.鉴权服务器通过认证者指示用户在终端上以接收的最终有效密码向鉴权服务器发起环球网Web认证。本发明中,由鉴权服务器获取用户的最终有效密码,并将该最终有效密码发送给用户,用户使用该最终有效密码发起Web认证,使得用户的密码能够动态更新,提高了Web认证的安全性;此外本发明中,不仅提供了用户每次登录都更改密码的实现形式,还提供了用户可以选择的以有效期为周期进行密码更改的实现形式,增加了业务实现方式,提高了竞争力。
文档编号H04L9/12GK1885768SQ20051007960
公开日2006年12月27日 申请日期2005年6月23日 优先权日2005年6月23日
发明者单长虹, 黄迎新 申请人:华为技术有限公司