一种安全认证方法及鉴权认证服务器的制造方法
【技术领域】
[0001]本发明涉及网络安全技术,尤指一种安全认证方法及鉴权认证服务器。
【背景技术】
[0002]随着全球信息和通信技术(ICT,Informat1n and Communicat1n Technology)产业(包括电信服务、信息服务、IT服务及应用的有机结合)的快速发展,网络安全和信息安全日益成为人们关注的核心问题之一。如何进行可靠的认证,来保护信息、金融、商业机密等关键领域的安全,成为通信和信息产业的最重要技术之一。
[0003]目前,行业流行的安全认证方式有很多种,可以归纳为以下最基本的四种:一种是用户名+ 口令(静态和动态)的安全机制,其中动态口令通常包括短信密码、动态令牌(通常基于时间同步方式,在一定的时间间隔内生成新的口令)、手机令牌(通过手机客户端软件生成动态口令)等;普通互联网业务通常采用静态口令认证,银行以及支付类业务通常采用动态口令;第二种是数字证书认证(USBKEY),网络银行通常采取该认证方式;第三种是基于共享密钥的认证方式,比如通用引导认证(GBA, Generic BootstrappingAuthenticat1n),即基于移动通用集成电路卡(UICC)与归属用户服务器(HSS)中共享密钥K的认证方式,比如中国移动手机电视业务采用此认证方式;第四种是基于生物特征的认证:如指纹、虹膜、人脸等。通常,系统会使用上述多个认证方式的组合,也就是常说的多因素认证,来增加认证的安全强度。
[0004]传统的网络0SI7层结构中网络层网元与应用层网络在逻辑上是完全分离的,网络层主要负责网络的连接建立和删除;应用层主要负责业务应用的建立和删除,在传统的方案中这两层分别都有身份安全认证的协议流程,且不交叉使用。目前,上述所有现有认证方案均在应用层实现。而且,现有安全认证方式存在使用复杂的问题,比如,对于USBKEY方式,就必须额外携带U盾;再如,对于动态短信密码的方式,实现比较复杂,用户需要等待5?20秒后再按照短信通知的短信密码输入,降低了用户体验。
[0005]基于上述安全认证方式,现有的政企应用都是在应用层实现的身份认证,比如虚拟专用网络(VPN),数字证书等,安全等级较低,容易被破解。而且现有针对园区用户的认证,需要在不同的硬件平台和操作系统的各种终端上普遍使用,适配工作比较繁琐,认证效率低,降低了用户体验。
【发明内容】
[0006]为了解决上述技术问题,本发明提供一种安全认证方法及鉴权认证服务器,能够简单、高效地实现认证,并且保密级别高。
[0007]为了达到本发明目的,本发明提供了一种安全认证方法,包括:在终端建立承载连接中,通过鉴权认证服务器激活用户状态;
[0008]在终端用户访问园区网应用时,应用服务器通过鉴权认证服务器对用户身份进行认证。
[0009]所述在终端建立承载连接中,通过鉴权认证服务器激活用户状态包括:
[0010]所述在终端建立承载连接中的分组网关,为合法用户分配动态IP地址,并判断请求建立承载连接的终端是否为园区网用户,如果是,向园区网中的鉴权认证服务器发出注册请求,并将终端的国际移动用户识别码MSI和分配的IP地址携带给鉴权认证服务器;
[0011]所述鉴权认证服务器会根据MSI完成用户激活,存储该IP地址。
[0012]所述鉴权认证服务器会根据MSI完成用户激活包括:
[0013]所述鉴权认证服务器根据所述终端的MSI,确定终端用户是否属于鉴权认证服务器所属园区网的合法用户,如果是,认证用户名口令,以确认IMSI对应的终端用户是否与请求中的用户名匹配;并校验用户名对应的密码是否正确。
[0014]认证完成后,如果匹配且正确,则认证成功,所述鉴权认证服务器将所述IP地址与IMS1、员工信息进行关联,并向所述分组网关返回注册响应为注册成功信息。
[0015]所述通过鉴权认证服务器对用户身份进行认证包括:
[0016]所述应用服务器将收到的IP地址携带在应用访问请求中发送给鉴权认证服务器;所述鉴权认证服务器完成认证后,将该IP地址对应的用户信息,返回给应用服务器;
[0017]所述应用服务器将来自终端用户的密码提交给鉴权认证服务器,所述鉴权认证服务器对密码进行验证并将验证结果返回给应用服务器。
[0018]所述在终端用户断开园区网时,该方法还包括:
[0019]所述分组网关向鉴权认证服务器发送注销请求,其中携带有终端的MSI,IP地址;
[0020]所述鉴权认证服务器清除自身保存的该终端的IP地址与MS1、用户信息的关联关系,并向所述分组网关返回注销响应;
[0021]所述分组网关向终端返回注销响应,以使终端断开园区网。
[0022]本发明还提供一种鉴权认证服务器,用于在终端建立承载连接中,激活用户状态;在终端用户访问园区网应用时,对用户身份进行认证。
[0023]所述鉴权认证服务器至少包括认证模块、身份认证模块,其中,
[0024]认证模块,用于在接收到来自分组网关的注册请求,根据终端MSI完成用户激活并存储随影的IP地址,对用户终端进行安全认证并向分组网关返回认证结果;
[0025]身份认证模块,用于在接收到来自应用服务器的应用访问请求时,根据认证模块的认证结果,完成进一步认证后,向应用服务器返回该IP地址对应的用户信息;在接收到来自应用服务器提交的密码时,验证后向应用服务器返回验证结果。
[0026]所述认证模块,还用于在接收到来自分组网关的注销请求,清除自身保存的请求注销的终端的IP地址与IMS1、用户信息,并向分组网关返回注销响应。
[0027]所述鉴权认证服务器为IT侧园区网内的鉴权认证服务器。
[0028]与现有技术相比,本申请技术方案提供包括在终端建立承载连接中,通过鉴权认证服务器激活用户状态;在终端用户访问园区网应用时,应用服务器通过鉴权认证服务器对用户身份进行认证。通过本发明安全认证方法,安全认证由网络中的设备来完成,减少了用户的参与,明显提高了认证效率,节省了用户认证时间,更重要的是,通过具有电信级的园区网(泛指政府、企业、公共事业等有组织的网络)进行安全认证激活,达到了电信级安全认证水平即本发明采用了 SM卡+鉴权认证服务器的安全认证方式,明显改善了用户体验。
[0029]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0030]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0031]图1为本发明安全认证方法的流程图;
[0032]图2为本发明安全认证方法中终端建立承载连接的实施例的流程图;
[0033]图3为本发明安全认证方法中园区网认证的实施例的流程图;
[0034]图4为本发明安全认证中用户访问园区网应用的实施例的流程图;
[0035]图5为本发明终端注销园区网访问的实施例的流程图;
[0036]图6为本发明鉴权认证服务器的组成结构示意图。
【具体实施方式】
[0037]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0038]图1为本发明安全认证方法的流程图,如图1所示,本发明应用于使用移动终端SM卡的场景中,比如手机、PAD、笔记本电脑、PC等设备的数据卡。包括以下步骤:
[0039]步骤100:在终端建立承载连接中,通过鉴权认证服务器激活用户状态。
[0040]本步骤中,终端和通过通信网络,包括基站、移动管理单元(MME)、服务网关(SGW)、分组网关(LGW/PGW),与网络建立承载连接,在现有的承载连接建立过程中,对于园区网用户,本发明中会向园区网中的鉴权认证服务器发出认证请求。园区网泛指政府、企业、公共事业等有组织的网络。
[0041]图2为本发明安全认证方法中终端建立承载连接的实施例的流程图,如图2所示,包括:
[0042]步骤200:用户开机,触发终端(UE)附着网络的过程,UE向MME发送网络附着请求(Attach Request)消息。此处,如果UE已经附着成功,那么需要先发起分离过程,再发起附着过程。
[0043]步骤201:MME触发建立默认承载过程,向SGW发送会话请求(Create Sess1nRequest)消息。
[0044]步骤202:SGff 将会话请求(Create Sess1n Request)消息转发到 LGW/PGW。
[0045]步骤203?步骤204 =LGff/PGff为合法用户分配动态IP地址,并判断请求建立承载连接的终端是否为园区网用户,如果是,LGW/PGW向园区网中的鉴权认证服务器发出注册请求,并将终端的国际移动用户识别码(MSI)和分配的IP地址携带给鉴权认证服务器,而鉴权认证服务器会根据MSI完成用户激活,存储该IP地址。
[0046]本步骤中,园区网泛指政府、企业、公共事业等有组织的网络。园区用户是指如用户被设置为APN等园区网用户。本步骤中,鉴权认证服务器可以是位于IT侧园区网内的鉴权认证服务器(Authenticat1n Server)。从本步骤可见,在终端进行附着建立承载连接的同时,通过园区网进行电信级安全认证激活,使得整个安全认证具有了更高的安全级别。
[0047]步骤205:同时,LGW/PGW 向 SGW 返回会话响应(Create Sess1n Response)消息,在会话响应消息中携带有分配的IP地址。
[0048]步骤206:SGff将收到的会话响应(Create Sess1n Response)消息转发给MME。
[0049]步骤207:MME附着成功,向UE发送携带有分配的IP地址的附着响应(AttachAccept)消息。用户附着成功后,即完成终端承载连接建立。
[