专利名称:一种用户身份确定方法及装置和系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种用户身份确定方法及装置和系统。
背景技术:
目前无线局域网WLAN的Web认证机制中,用户的认证由接入控制器AC、门户 Portal月艮务器禾口 RADIUS (Remote Authentication Dial In User Service)认i正月艮务器共 同完成。用户认证时,用户所在客户端与接入点AP建立连接后,与AC之间完成DHCP地址 分配,即AC为该用户所在客户端分配地址,AC通知Portal服务器向该用户所在客户端发送 认证页面,该用户通过其所在客户端将用户名和用户密码发送给Portal服务器,然后,AC、 Portal服务器和RADIUS认证服务器共同完成对该用户的认证,认证通过后,由Portal向该 用户所在客户端发送认证通过页面。 在用户认证通过后,AC中会维持一个会话状态表,用于记录已通过认证的用户会 话,即会话状态表中存储该用户所在客户端的地址。目前, 一般以IP地址或者IP地址+MAC 地址作为该会话状态表的识别索引,当网络侧收到客户端发送的访问请求时,如果该客户 端的源IP地址或者源IP地址+源MAC地址已经存在于当前会话状态表的记录中,则认为 该客户端用户已经通过认证,确定其为合法用户。WLAN仅进行一次用户认证,然后通过客户 端的IP地址+MAC来识别客户端用户。由于IP地址和MAC地址的信息都可以进行篡改,因 此,这种方式很容易导致非法用户不进行用户认证,而是通过冒用合法用户身份的方式来 免费使用WLAN业务。 常见的一种攻击方式为非法用户通过发起地址欺骗攻击来避免用户认证过程,冒 用合法用户身份,具体实现方式为恶意攻击者利用DOS等攻击方式使已通过认证的某用 户所在客户端失效,然后将自己所在客户端的IP/MAC地址伪装成该合法用户所在客户端 的IP/MAC地址,并发起访问请求,由于AC通过IP/MAC地址无法识别出该客户端用户为非 法用户,导致非法用户可以达到免费访问网络的目的。
发明内容
本发明提供一种用户身份确定方法及装置和系统,用以避免非法用户通过地址欺
骗非法访问网络,提高对用户身份确定的准确性。 本发明实施例提供一种用户身份确定方法,包括 无线局域网网络侧在向认证通过用户所在客户端返回认证通过页面时和返回访 问请求响应时,生成第一信息,并使用与所述认证通过用户所在客户端的地址相对应的共 享密钥对所述第一信息进行加密,将加密结果通过下行cookie发送给所述认证通过用户 所在客户端; 所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息,并按照设 定的变换策略将所述第一信息变换成第二信息,并使用所述共享密钥加密所述第二信息, 将加密结果通过上行cookie发送到所述网络侧;
4
所述网络侧接收客户端发送的上行cookie,当确定使用与所述客户端的地址对应 的共享密钥解密出的信息为所述第二信息时,确定所述客户端用户为合法用户;否则,确定 所述客户端用户为非法用户。 本发明实施例还提供一种接入控制器,包括 生成单元,用于在向认证通过用户所在客户端返回认证通过页面时和返回访问请 求响应时,生成第一信息; 加密发送单元,用于使用与所述认证通过用户所在客户端的地址相对应的共享密 钥对所述第一信息进行加密,将加密结果通过下行cookie发送给所述认证通过用户所在 客户端; 接收单元,用于接收客户端发送的上行cookie ; 解密确定单元,用于当确定使用与所述客户端的地址对应的共享密钥解密出的信 息为与所述第一信息之间满足设定的变换策略的第二信息时,确定所述客户端用户为合法 用户;否则,确定所述客户端用户为非法用户。 本发明实施例还提供一种用户身份确定系统,包括上述的接入控制器,还包括 认证服务器,用于确定用户认证通过; 门户服务器,用于发送认证通过页面给所述接入控制器; 所述接入控制器,还用于接收所述门户服务器发送的所述认证通过页面,并发送
所述认证通过页面给所述认证通过用户所在客户端。 本发明有益效果如下 本发明实施例提供的方法,包括无线局域网网络侧在向认证通过用户所在客户 端返回认证通过页面时和返回访问请求响应时,生成第一信息,并使用与认证通过用户所 在客户端的地址相对应的共享密钥对第一信息进行加密,将加密结果通过下行cookie发 送给认证通过用户所在客户端;认证通过用户所在客户端使用共享密钥解密出第一信息, 并按照设定的变换策略将第一信息变换成第二信息,并使用共享密钥加密第二信息,将加 密结果通过上行cookie发送到网络侧;网络侧接收客户端发送的上行cookie,当确定使用 与该客户端的地址对应的共享密钥解密出的信息为第二信息时,确定该客户端用户为合法 用户;否则,确定该客户端用户为非法用户。采用本发明提供的方法及装置和系统,当非法 用户所在客户端使用认证通过用户所在客户端的地址访问网络时,由于其无法使用网络侧 与合法用户之间的共享密钥加密第二信息,则发起访问请求时发送的cookie携带的信息 不正确,进而网络侧无法解密出与第一信息不满足设定的变化策略的第二信息,确定该客 户端用户为非法用户,因此,避免了非法用户通过地址欺骗非法访问网络,提高了对用户身 份确定的准确性。
图1为本发明实施例提供的一种用户身份确定方法流程图; 图2为本发明实施例提供的一种用户身份确定方法中用户认证的信令交互流程 图; 图3为本发明实施例提供的一种用户身份确定方法中用户认证通过后访问网站 时的信令交互流程图之一;
5
图4为本发明实施例提供的一种用户身份确定方法中用户认证通过后访问网站 时的信令交互流程图之二; 图5为本发明实施例提供的一种接入控制器结构示意图;
图6为本发明实施例提供的一种用户身份确定系统结构示意图。
具体实施例方式
本发明实施例提供一种用户身份确定方法,如图1所示,包括 步骤S101、网络侧在向认证通过用户所在客户端返回认证通过页面时和返回访问 请求响应时,首先生成第一信息,如果是在返回认证通过页面时,随机生成第一信息,如果 是在返回访问请求响应时,则可以随机生成第一信息;或者将根据最近接收的上行cookie 解密出的第二信息作为第一信息;或者对根据最近接收的上行cookie解密出的第二信息 进行设定的运算,将运算结果作为第一信息。 在生成第一信息后,使用与认证通过用户所在客户端的地址相对应的共享密钥对 第一信息进行加密,将加密结果通过下行cookie发送给认证通过用户所在客户端。
其中,共享密钥为根据用户密码生成,例如,使用密钥生成算法对用户密码进行运 算,生成共享密钥;或者生成随机数,并使用密钥生成算法对用户密码和随机数进行运算, 生成共享密钥;或者使用与客户端约定的密钥生成算法对用户密码进行运算,生成共享密 钥。 生成的共享密钥在存储时与认证通过用户所在客户端的地址相对应。 步骤S102、认证通过用户所在客户端接收到网络侧发送的下行cookie后,使用共
享密钥从该下行cookie中解密出第一信息,并按照设定的变换策略将第一信息变换成第
二信息,并使用共享密钥加密第二信息,将加密结果通过上行cookie发送到网络侧。 其中,共享密钥为根据用户密码生成,例如,网络侧随认证通过页面将密钥生成算
法下发给认证通过用户所在客户端,认证通过用户所在客户端使用密钥生成算法对用户密
码进行运算,生成共享密钥;或者随认证通过页面将密钥生成算法和随机数下发给认证通
过用户所在客户端,认证通过用户所在客户端使用密钥生成算法对用户密码和随机数进行
运算,生成共享密钥;或者使用与网络侧约定的密钥生成算法对用户密码进行运算,生成共
享密钥。 其中,认证通过用户所在客户端解密出第一信息使用的解密算法和加密第二信息 使用的加密算法为网络侧随认证通过页面下发的解密算法和加密算法,或者为与网络侧约 定的解密算法和加密算法。 步骤S103、网络侧接收客户端发送的上行cookie,当确定使用与该客户端的地址 对应的共享密钥从该上行cookie中解密出的信息为第二信息时,确定该客户端用户为合 法用户;否则,确定该客户端用户为非法用户。 下面结合附图,用具体实施例对本发明提供的方法及装置和相应系统进行详细描 述。 图2为本发明实施例提供的一种用户身份确定方法中用户认证的信令交互流程 图,其中,接入控制器AC、门户Portal服务器和RADIUS服务器位于网络侧,具体包括
步骤S201、 WLAN用户所在客户端在与网络侧建立连接,并由AC为其分配IP地址后,发送访问请求给AC。 步骤S202、 AC接收客户端发送的访问请求,将访问请求发送给Portal服务器。
步骤S203、 Portal服务器接收AC发送的访问请求,向客户端发送认证页面。
步骤S204、客户端接收Portal服务器发送的认证页面,根据认证页面中的指示, 填写用户名和用户密码,并由认证请求携带发送给Portal服务器,以及存储用户密码。
步骤S205、Portal服务器接收客户端发送的用户名和用户密码,并将客户端的IP 地址发送给AC。 步骤S206、 AC接收Portal服务器发送的IP地址,存储IP地址,然后随机生成随 机数,并将随机数和IP地址发送给Portal服务器。其中,随机数用于同用户密码一起进行 运算,生成共享密钥。 本发明实施例中,生成的随机数具体包括两个随机数,分别是challenge和 chaID。随机数的生成方法和包含的随机数数量以及每个随机数的取值范围,与密钥生成算 法有关,具体随机数生成方法可采用现有技术中的多种方法,在此不做详细描述。其他实施 例中可以有其他选择。 步骤S207、 Portal服务器接收AC发送的IP地址和随机数,根据IP地址,匹配出 对应的用户名和用户密码,使用密钥生成算法对用户密码和随机数进行运算,生成共享密 钥,并将IP地址、用户名和共享密钥发送给AC。本发明实施例中,密钥生成算法采用MD5算 法,其他实施例中也可以选择其他密钥生成算法。 步骤S208、 AC接收Portal服务器发送的IP地址、用户名和共享密钥,对应IP地
址存储共享密钥,并发送用户名、随机数和共享密钥给RADIUS认证服务器。 步骤S209、 RADIUS认证服务器接收AC发送的用户名、随机数和共享密钥,根据本
地存储的用户信息,匹配出对应该用户名的用户密码,使用密钥生成算法对匹配出的用户
密码和随机数进行运算,生成共享密钥,比较生成的共享密钥和接收的共享密钥是否相同,
如果相同,认证通过,如果不同,认证失败,并将认证结果消息(认证通过消息或认证失败
消息)发送给AC。 步骤S210、AC接收RADIUS认证服务器发送的认证结果消息,并将该认证结果消息 和对应该消息的IP地址发送给Portal服务器。 步骤S211、 Portal服务器接收AC发送的认证结果消息和IP地址,生成认证结果 页面(认证通过页面或认证失败页面),并将认证结果页面和IP地址发送给AC,并随认证 通过页面将密钥生成算法发送给AC。 步骤S212、 AC接收Portal服务器发送的认证结果页面和IP地址。 如果认证结果页面为认证失败页面,那么根据IP地址发送该认证失败页面给客户端。 如果认证结果页面为认证通过页面,那么随机生成第一信息,并使用加密算法和 共享密钥对第一信息进行加密运算,将加密结果通过发送给客户端的下行cookie携带,本 发明实施例中加密算法采用3Des算法,其他实施例中也可以选择其他密钥生成算法。根据 IP地址发送认证通过页面、随机数和cookie给客户端,并随认证通过页面下发密钥生成算 法、加密算法和解密算法给客户端,发送的给客户端的cookie的域名属性为"*",即客户端 在后续访问任何域名的网站时都需要同时发送cookie。
WALN用户认证通过后,其所在客户端接收网络侧下发的认证通过页面,后续访问 网站时,使用随认证通过页面下发的密钥生成算法对用户密码和随机数进行运算,生成共 享密钥;并使用共享密钥和随认证通过页面下发的解密算法对最近接收的下行cookie携 带的信息进行解密,解密出第一信息;并按照设定的变换策略将第一信息变换成第二信息, 比如,采用递增运算作为设定的变换策略;并使用共享密钥和随认证页面下发的加密算法 加密第二信息,将加密结果通过在发起访问请求时发送的上行cookie携带,发送给AC。
图3为本发明实施例提供的一种用户身份确定方法中用户认证通过后访问网站 时的信令交互流程图之一,具体包括 步骤S301、 WALN用户所在客户端在发起访问请求时发送上行cookie给AC。
步骤S302、 AC接收该客户端发送的访问请求和上行cookie,使用该客户端IP地 址对应的共享密钥在该上行cookie中解密出与第一信息之间满足上述变换策略的第二信 息,确定该用户为合法用户。 步骤S303、 AC发送访问请求给该客户端请求访问的网站服务器。
步骤S304、网站服务器返回响应页面给AC。 步骤S305、 AC接收网站服务器返回的响应页面,更新第一信息,例如,再次随机生 成第一信息;或者将解密出的第二信息作为更新后的第一信息;或者对解密出的第二信息 进行设定的运算,运算结果作为更新后的第一信息,并使用该客户端IP地址对应的共享密 钥加密第一信息。 步骤S306、根据该客户端IP地址发送认证页面给该客户端,同时将步骤S305中的 加密结果通过发送给该客户端的下行cookie携带,发送给该客户端。 图4为本发明实施例提供的一种用户身份确定方法中用户认证通过后访问网站 时的信令交互流程图之二,具体包括 步骤S401、 WALN用户所在客户端在发起访问请求时发送上行cookie给AC。
步骤S402、 AC接收该客户端发送的访问请求和上行cookie,使用该客户端IP地 址对应的共享密钥在该上行cookie中没有解密出与第一信息之间是否满足上述变换策略 的第二信息,确定该用户为非法用户,并在发送身份确定非法消息和该IP地址给Portal服 务器后,清除存储的该IP地址及该IP地址对应的共享密钥和第一信息。
步骤S403、 AC发送身份确定非法消息和该客户端的IP地址给Portal服务器。
步骤S404、 Portal服务器接收AC发送的身份确定非法消息和该客户端的IP地 址,根据该IP地址发送认证页面给该客户端。 上述图2-图4所示的用户身份确定方法,WALN网络侧与用户所在客户端之间,利 用交互的下行cookie和上行cookie,分别携带对第一信息和第二信息加密的结果,网络侧 根据是否解密出与第一信息之间满足设定的变换策略的第二信息,确定该客户端用户为合 法用户或非法用户,因此,避免了非法用户通过地址欺骗非法访问网络,提高了对用户身份 确定的准确性。并且,网络侧被加密的第一信息不全部相同,即客户端被加密的第二信息也 不全部相同,因此,可以防止非法用户通过重放攻击非法访问网络。并且,客户端使用的密 钥生成算法、加密算法和解密算法由网络侧随认证通过页面下发给客户端,客户端通过浏 览器执行算法程序,完成共享密钥的生成、解密出第一信息和加密第二信息,因此,不需要 改变现有客户端,便于在现有实际网络中实现该方法。
基于同一发明构思,根据本发明上述实施例提供的用户身份确定方法,相应地,本 发明实施例还提供了一种接入控制器,结构示意图如图5所示,具体包括
生成单元501,用于在向认证通过用户所在客户端返回认证通过页面时和返回访 问请求响应时,生成第一信息; 加密发送单元502,用于使用与认证通过用户所在客户端的地址相对应的共享密 钥对第一信息进行加密,将加密结果通过下行cookie发送给认证通过用户所在客户端;
接收单元503,用于接收客户端发送的上行cookie ; 解密确定单元504,用于当确定使用与该客户端的地址对应的共享密钥解密出的 信息为与第一信息之间满足设定的变换策略的第二信息时,确定该客户端用户为合法用 户;否则,确定该客户端用户为非法用户。 上述生成单元501,具体用于随机生成第一信息;或者将根据最近一次接收的上 行cookie解密出的第二信息作为第一信息;或者对根据最近一次接收的上行cookie解密 出的第二信息进行设定的运算,将运算结果作为第一信息。 较佳地,上述加密发送单元502,还用于发送认证通过页面给认证通过用户所在客 户端,并随认证通过页面下发生成共享密钥使用的密钥生成算法、加密算法以及解密算法 其中之一或其任意组合。 本发明实施例还提供一种用户身份确定系统,系统结构示意图如图6所示,包括
如图5所示的接入控制器601,还包括 认证服务器602,用于确定用户认证通过; 门户服务器603,用于发送认证通过页面给接入控制器601 ; 上述接入控制器601 ,还用于接收门户服务器603发送的认证通过页面,并发送认 证通过页面给认证通过用户所在客户端。 综上所述,本发明实施例提供的方案,WALN网络侧与用户所在客户端之间,利用交 互的下行cookie和上行cookie,分别携带对第一信息和第二信息加密的结果,网络侧根据 是否解密出与第一信息之间满足设定的变换策略的第二信息,确定该客户端用户为合法用 户或非法用户,因此,避免了非法用户通过地址欺骗非法访问网络,提高了对用户身份确定 的准确性。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种用户身份确定方法,其特征在于,包括无线局域网网络侧在向认证通过用户所在客户端返回认证通过页面时和返回访问请求响应时,生成第一信息,并使用与所述认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密,将加密结果通过下行cookie发送给所述认证通过用户所在客户端;所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息,并按照设定的变换策略将所述第一信息变换成第二信息,并使用所述共享密钥加密所述第二信息,将加密结果通过上行cookie发送到所述网络侧;所述网络侧接收客户端发送的上行cookie,当确定使用与所述客户端的地址对应的共享密钥解密出的信息为所述第二信息时,确定所述客户端用户为合法用户;否则,确定所述客户端用户为非法用户。
2. 如权利要求1所述的方法,其特征在于,所述生成第一信息,具体为 随机生成所述第一信息;或者将根据最近一次接收的所述上行cookie解密出的第二信息作为所述第一信息;或者 对根据最近一次接收的所述上行cookie解密出的第二信息进行设定的运算,将运算 结果作为所述第一信息。
3. 如权利要求1所述的方法,其特征在于,所述共享密钥的生成方式具体为 所述网络侧使用密钥生成算法对所述用户密码进行运算,生成所述共享密钥,并随认证通过页面将所述密钥生成算法下发给所述认证通过用户所在客户端;所述认证通过用户 所在客户端使用所述密钥生成算法对所述用户密码进行运算,生成所述共享密钥;或者所述网络侧生成随机数,并使用密钥生成算法对所述用户密码和所述随机数进行运 算,生成所述共享密钥,并随认证通过页面将所述密钥生成算法和所述随机数下发给所述 认证通过用户所在客户端;所述认证通过用户所在客户端使用所述密钥生成算法对所述用 户密码和所述随机数进行运算,生成所述共享密钥;或者所述网络侧和所述认证通过用户所在客户端分别使用约定的密钥生成算法对所述用 户密码进行运算,生成所述共享密钥。
4. 如权利要求3所述的方法,其特征在于,所述随认证通过页面将所述密钥生成算法 和所述随机数下发给所述客户端,具体包括在所述网络侧的认证服务器确定用户认证通过后,由所述网络侧的门户服务器发送所 述认证通过页面给所述网络侧的接入控制器,所述接入控制器发送所述认证通过页面给所 述认证通过用户所在客户端,并随所述认证通过页面将所述密钥生成算法和所述随机数下 发给所述认证通过用户所在客户端。
5. 如权利要求l所述的方法,其特征在于,还包括所述网络侧随认证通过页面下发解 密算法给所述认证通过用户所在客户端;所述认证通过用户所在客户端使用所述共享密钥 解密出所述第一信息,具体为所述认证通过用户所在客户端使用所述共享密钥和随所述 认证通过页面下发的解密算法解密出所述第一信息;和/或还包括所述网络侧随认证通过页面下发加密算法给所述认证通过用户所在客户端; 所述认证通过用户所在客户端使用所述共享密钥加密所述第二信息,具体为所述认证通 过用户所在客户端使用所述共享密钥和随所述认证通过页面下发的加密算法加密所述第二信息。
6. 如权利要求1所述的方法,其特征在于,所述认证通过用户所在客户端使用所述共 享密钥解密出所述第一信息,具体为所述认证通过用户所在客户端使用所述共享密钥和 与网络侧约定的解密算法解密出所述第一信息;所述认证通过用户所在客户端使用所述共享密钥加密所述第二信息,具体为所述认 证通过用户所在客户端使用所述共享密钥和与网络侧约定的加密算法加密所述第二信息。
7. —种接入控制器,其特征在于,包括生成单元,用于在向认证通过用户所在客户端返回认证通过页面时和返回访问请求响 应时,生成第一信息;加密发送单元,用于使用与所述认证通过用户所在客户端的地址相对应的共享密钥对 所述第一信息进行加密,将加密结果通过下行cookie发送给所述认证通过用户所在客户丄山顺;接收单元,用于接收客户端发送的上行cookie ;解密确定单元,用于当确定使用与所述客户端的地址对应的共享密钥解密出的信息 为与所述第一信息之间满足设定的变换策略的第二信息时,确定所述客户端用户为合法用户;否则,确定所述客户端用户为非法用户。
8. 如权利要求7所述的接入控制器,其特征在于,所述生成单元,具体用于随机生成所 述第一信息;或者将根据最近一次接收的所述上行cookie解密出的第二信息作为所述第一信息;或者 对根据最近一次接收的所述上行cookie解密出的第二信息进行设定的运算,将运算 结果作为所述第一信息。
9. 如权利要求7所述的接入控制器,其特征在于,所述加密发送单元,还用于发送认证 通过页面给所述认证通过用户所在客户端,并随所述认证通过页面下发生成所述共享密钥 使用的密钥生成算法、加密算法以及解密算法其中之一或其任意组合。
10. —种用户身份确定系统,其特征在于,包括如权利要求7或8所述的接入控制器,还 包括认证服务器,用于确定用户认证通过; 门户服务器,用于发送认证通过页面给所述接入控制器;所述接入控制器,还用于接收所述门户服务器发送的所述认证通过页面,并发送所述 认证通过页面给所述认证通过用户所在客户端。
全文摘要
本发明公开了一种用户身份确定方法及装置和系统,包括网络侧使用与认证通过用户所在客户端的地址相对应的共享密钥对生成的第一信息进行加密,将加密结果通过下行cookie发送给认证通过用户所在客户端;认证通过用户所在客户端解密出第一信息,并按照设定的变换策略将第一信息变换成第二信息,并使用共享密钥加密第二信息,将加密结果通过上行cookie发送到网络侧;网络侧接收客户端发送的cookie,当确定使用与该客户端的地址对应的共享密钥解密出的信息为第二信息时,确定该客户端用户合法,否则,不合法。采用本发明提供的方法及装置和系统,避免了非法用户通过地址欺骗非法访问网络,提高了对用户认证的准确性。
文档编号H04W12/06GK101772024SQ200810247300
公开日2010年7月7日 申请日期2008年12月29日 优先权日2008年12月29日
发明者刘利军, 李祥军, 邵春菊, 魏冰 申请人:中国移动通信集团公司