技术领域
[0001] 本
发明涉及网络安全技术,尤指一种安全认证方法及鉴权认证服务器。
背景技术
[0002] 随着全球信息和通信技术(ICT,Information and Communication Technology)产业(包括电信服务、信息服务、IT服务及应用的有机结合)的快速发展,网络安全和信息安全日益成为人们关注的核心问题之一。如何进行可靠的认证,来保护信息、金融、商业机密等关键领域的安全,成为通信和信息产业的最重要技术之一。
[0003] 目前,行业流行的安全认证方式有很多种,可以归纳为以下最基本的四种:一种是用户名+口令(静态和动态)的安全机制,其中动态口令通常包括短信密码、动态令牌(通常基于时间同步方式,在一定的时间间隔内生成新的口令)、手机令牌(通过手机客户端
软件生成动态口令)等;普通互联网业务通常采用静态口令认证,
银行以及支付类业务通常采用动态口令;第二种是数字证书认证(USBKEY),网络银行通常采取该认证方式;第三种是基于共享密钥的认证方式,比如通用引导认证(GBA,Generic Bootstrapping Authentication),即基于移动通用
集成电路卡(UICC)与归属用户服务器(HSS)中共享密钥K的认证方式,比如中国移动
手机电视业务采用此认证方式;第四种是基于
生物特征的认证:如指纹、虹膜、人脸等。通常,系统会使用上述多个认证方式的组合,也就是常说的多因素认证,来增加认证的安全强度。
[0004] 传统的网络OSI7层结构中网络层网元与应用层网络在逻辑上是完全分离的,网络层主要负责网络的连接建立和删除;应用层主要负责业务应用的建立和删除,在传统的方案中这两层分别都有身份安全认证的协议流程,且不交叉使用。目前,上述所有现有认证方案均在应用层实现。而且,现有安全认证方式存在使用复杂的问题,比如,对于USBKEY方式,就必须额外携带U盾;再如,对于动态短信密码的方式,实现比较复杂,用户需要等待5~20秒后再按照短信通知的短信密码输入,降低了用户体验。
[0005] 基于上述安全认证方式,现有的政企应用都是在应用层实现的身份认证,比如虚拟专用网络(VPN),数字证书等,安全等级较低,容易被破解。而且现有针对园区用户的认证,需要在不同的
硬件平台和
操作系统的各种终端上普遍使用,适配工作比较繁琐,认证效率低,降低了用户体验。
发明内容
[0006] 为了解决上述技术问题,本发明提供一种安全认证方法及鉴权认证服务器,能够简单、高效地实现认证,并且保密级别高。
[0007] 为了达到本发明目的,本发明提供了一种安全认证方法,包括:在终端建立承载连接中,通过鉴权认证服务器激活用户状态;
[0008] 在终端用户
访问园区网应用时,
应用服务器通过鉴权认证服务器对用户身份进行认证。
[0009] 所述在终端建立承载连接中,通过鉴权认证服务器激活用户状态包括:
[0010] 所述在终端建立承载连接中的分组网关,为合法用户分配动态IP地址,并判断
请求建立承载连接的终端是否为园区网用户,如果是,向园区网中的鉴权认证服务器发出注册请求,并将终端的国际移动用户识别码IMSI和分配的IP地址携带给鉴权认证服务器;
[0011] 所述鉴权认证服务器会根据IMSI完成用户激活,存储该IP地址。
[0012] 所述鉴权认证服务器会根据IMSI完成用户激活包括:
[0013] 所述鉴权认证服务器根据所述终端的IMSI,确定终端用户是否属于鉴权认证服务器所属园区网的合法用户,如果是,认证用户名口令,以确认IMSI对应的终端用户是否与请求中的用户名匹配;并校验用户名对应的密码是否正确。
[0014] 认证完成后,如果匹配且正确,则认证成功,所述鉴权认证服务器将所述IP地址与IMSI、员工信息进行关联,并向所述分组网关返回注册响应为注册成功信息。
[0015] 所述通过鉴权认证服务器对用户身份进行认证包括:
[0016] 所述应用服务器将收到的IP地址携带在应用访问请求中发送给鉴权认证服务器;所述鉴权认证服务器完成认证后,将该IP地址对应的用户信息,返回给应用服务器;
[0017] 所述应用服务器将来自终端用户的密码提交给鉴权认证服务器,所述鉴权认证服务器对密码进行验证并将验证结果返回给应用服务器。
[0018] 所述在终端用户断开园区网时,该方法还包括:
[0019] 所述分组网关向鉴权认证服务器发送注销请求,其中携带有终端的IMSI,IP地址;
[0020] 所述鉴权认证服务器清除自身保存的该终端的IP地址与IMSI、用户信息的关联关系,并向所述分组网关返回注销响应;
[0021] 所述分组网关向终端返回注销响应,以使终端断开园区网。
[0022] 本发明还提供一种鉴权认证服务器,用于在终端建立承载连接中,激活用户状态;在终端用户访问园区网应用时,对用户身份进行认证。
[0023] 所述鉴权认证服务器至少包括认证模
块、身份认证模块,其中,
[0024] 认证模块,用于在接收到来自分组网关的注册请求,根据终端IMSI完成用户激活并存储随影的IP地址,对用户终端进行安全认证并向分组网关返回认证结果;
[0025] 身份认证模块,用于在接收到来自应用服务器的应用访问请求时,根据认证模块的认证结果,完成进一步认证后,向应用服务器返回该IP地址对应的用户信息;在接收到来自应用服务器提交的密码时,验证后向应用服务器返回验证结果。
[0026] 所述认证模块,还用于在接收到来自分组网关的注销请求,清除自身保存的请求注销的终端的IP地址与IMSI、用户信息,并向分组网关返回注销响应。
[0027] 所述鉴权认证服务器为IT侧园区网内的鉴权认证服务器。
[0028] 与
现有技术相比,本
申请技术方案提供包括在终端建立承载连接中,通过鉴权认证服务器激活用户状态;在终端用户访问园区网应用时,应用服务器通过鉴权认证服务器对用户身份进行认证。通过本发明安全认证方法,安全认证由网络中的设备来完成,减少了用户的参与,明显提高了认证效率,节省了用户认证时间,更重要的是,通过具有电信级的园区网(泛指政府、企业、
公共事业等有组织的网络)进行安全认证激活,达到了电信级安全认证
水平即本发明采用了SIM卡+鉴权认证服务器的安全认证方式,明显改善了用户体验。
[0029] 本发明的其它特征和优点将在随后的
说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、
权利要求书以及
附图中所特别指出的结构来实现和获得。
附图说明
[0030] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性
实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0032] 图2为本发明安全认证方法中终端建立承载连接的实施例的流程图;
[0033] 图3为本发明安全认证方法中园区网认证的实施例的流程图;
[0034] 图4为本发明安全认证中用户访问园区网应用的实施例的流程图;
[0035] 图5为本发明终端注销园区网访问的实施例的流程图;
[0036] 图6为本发明鉴权认证服务器的组成结构示意图。
具体实施方式
[0037] 为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0038] 图1为本发明安全认证方法的流程图,如图1所示,本发明应用于使用移动终端SIM卡的场景中,比如手机、PAD、
笔记本电脑、PC等设备的数据卡。包括以下步骤:
[0039] 步骤100:在终端建立承载连接中,通过鉴权认证服务器激活用户状态。
[0040] 本步骤中,终端和通过通信网络,包括基站、移动管理单元(MME)、服务网关(SGW)、分组网关(LGW/PGW),与网络建立承载连接,在现有的承载连接建立过程中,对于园区网用户,本发明中会向园区网中的鉴权认证服务器发出认证请求。园区网泛指政府、企业、公共事业等有组织的网络。
[0041] 图2为本发明安全认证方法中终端建立承载连接的实施例的流程图,如图2所示,包括:
[0042] 步骤200:用户开机,触发终端(UE)附着网络的过程,UE向MME发送网络附着请求(Attach Request)消息。此处,如果UE已经附着成功,那么需要先发起分离过程,再发起附着过程。
[0043] 步骤201:MME触发建立默认承载过程,向SGW发送会话请求(Create Session Request)消息。
[0044] 步骤202:SGW将会话请求(Create Session Request)消息转发到LGW/PGW。
[0045] 步骤203~步骤204:LGW/PGW为合法用户分配动态IP地址,并判断请求建立承载连接的终端是否为园区网用户,如果是,LGW/PGW向园区网中的鉴权认证服务器发出注册请求,并将终端的国际移动用户识别码(IMSI)和分配的IP地址携带给鉴权认证服务器,而鉴权认证服务器会根据IMSI完成用户激活,存储该IP地址。
[0046] 本步骤中,园区网泛指政府、企业、公共事业等有组织的网络。园区用户是指如用户被设置为APN等园区网用户。本步骤中,鉴权认证服务器可以是位于IT侧园区网内的鉴权认证服务器(Authentication Server)。从本步骤可见,在终端进行附着建立承载连接的同时,通过园区网进行电信级安全认证激活,使得整个安全认证具有了更高的安全级别。
[0047] 步骤205:同时,LGW/PGW向SGW返回会话响应(Create Session Response)消息,在会话响应消息中携带有分配的IP地址。
[0048] 步骤206:SGW将收到的会话响应(Create Session Response)消息转发给MME。
[0049] 步骤207:MME附着成功,向UE发送携带有分配的IP地址的附着响应(Attach Accept)消息。用户附着成功后,即完成终端承载连接建立。
[0050] 图3为本发明安全认证方法中园区网认证的实施例的流程图,如图3所示,LGW/PGW向鉴权认证服务器发出认证请求具体包括:
[0051] 步骤300:终端用户向LGW/PGW发送注册请求,LGW/PGW将终端的IMSI以及分配的IP地址携带在注册请求中发送给鉴权认证服务器。
[0052] 进一步地,在注册请求消息中还携带有终端对应的账号和密码信息。
[0053] 步骤301:鉴权认证服务器对用户终端进行安全认证。具体包括:
[0054] 首先,根据终端的IMSI,确定终端用户是否属于鉴权认证服务器所属园区网的合法用户,如果是,进一步认证用户名口令,以确认IMSI对应的终端用户是否与请求中的用户名匹配;并校验用户名对应的密码是否正确。
[0055] 认证完成后,如果认证成功,即上述检验均正确,则将IP地址与IMSI、员工信息如员工工号进行关联,并向LGW/PGW返回注册响应为注册成功信息;否则,向LGW/PGW返回注册响应为注册失败信息。
[0056] 步骤302:LGW/PGW根据获得的注册响应消息,确认终端是否能安全接入园区网。
[0057] 步骤303:LGW/PGW将分配的IP地址携带在注册响应中返回给UE,以使UE加入园区网。
[0058] 从步骤100可以看出,在本发明提供的安全认证方法中,园区网用户每次在终端与网络之间建立承载时,LGW/PGW一方面要为用户终端分配动态IP地址,另一方面,还要向鉴权认证服务器发起激活用户状态的请求,同时将终端的IMSI和分配的IP地址推送到鉴权认证服务器进行安全认证。实现了在终端进行附着建立承载连接的同时,通过具有电信级的园区网进行安全认证,使得整个安全认证具有了更高的安全级别。
[0059] 步骤101:在终端用户访问园区网应用时,应用服务器通过鉴权认证服务器对用户身份进行认证。本步骤中,应用服务器可以是位于IT侧园区网内的应用服务器(Application Server)。
[0060] 本步骤具体实现如图4所示,包括:
[0061] 步骤400:终端通过TCP协议向园区网的应用服务器发起携带有自身IP地址的应用访问请求,以请求接入园区网。
[0062] 步骤401:应用服务器将收到的IP地址携带在应用访问请求中发送给鉴权认证服务器进行认证。
[0063] 步骤402:鉴权认证服务器完成认证后,将该IP地址对应的用户信息如员工工号,返回给应用服务器。
[0064] 步骤403:应用服务器将收到的用户信息如员工工号,以及认证页面推送给终端。
[0065] 步骤404:用户在终端上通过认证页面,根据用户信息录入密码,并提交给应用服务器。
[0066] 步骤405:应用服务器将获得的密码提交给鉴权认证服务器。
[0067] 步骤406:鉴权认证服务器对接收到的密码进行验证将验证结果返回给应用服务器。如何使用密码实现认证的实现属于本领域技术人员的惯用技术手段,这里不再赘述。
[0068] 步骤407:在验证结果显示认证成功,即密码与用户信息对应且正确时,应用服务器将园区网应用页面推送给终端。
[0069] 图4中,园区网应用会根据预先登记的信息如用户名,IMSI等信息,结合园区网提供的IMSI及IP地址信息,就可以判断出每个终端用户的IP地址对应的真实的用户信息如员工信息或用户名等;而园区网应用可以通过真实的用户名信息向用户要求密码认证,以完成用户身份认证。
[0070] 从步骤101可见,在用户终端访问园区网应用时,系统已经获得了用户身份,只需进行密码确认,而不需要再次输入账号信息,应用服务级对用户身份的认证与现有方式一致。而步骤100中的具有电信级的园区网进行安全认证激活,远高于一般园区网的安全认证等级,其所主要依赖的3G和4G蜂窝移动通信技术的安全认证,使得整个安全认证具有了更高的安全级别。
[0071] 当终端用户离开园区网时,本发明方法还包括:
[0072] 步骤102:在终端用户断开园区网时,通过鉴权认证服务器对用户身份进行注销。具体实现如图5所示,包括:
[0073] 步骤500:终端用户向LGW/PGW发送注销请求,LGW/PGW将终端的IMSI以及分配的IP地址携带在注销请求中发送给鉴权认证服务器。
[0074] 步骤501~步骤502:鉴权认证服务器清除自身保存的IP地址与IMSI、用户信息如员工工号的关联关系,并向LGW/PGW返回注销响应。
[0075] 步骤503:LGW/PGW向UE返回注销响应,以使UE断开园区网。
[0076] 通过本发明安全认证方法,安全认证由网络中的设备来完成,减少了用户的参与,明显提高了认证效率,节省了用户认证时间,更重要的是,通过具有电信级的园区网进行安全认证激活,达到了电信级安全认证水平即SIM卡+鉴权认证服务器的安全认证方式,明显改善了用户体验。
[0077] 图6为本发明鉴权认证服务器的组成结构示意图,如图6所示,用于在终端建立承载连接中,激活用户状态;在终端用户访问园区网应用时,对用户身份进行认证。至少包括认证模块、身份认证模块,其中,
[0078] 认证模块,用于在接收到来自分组网关的注册请求,根据终端的IMSI完成用户激活并存储随影的IP地址,对用户终端进行安全认证并向分组网关返回认证结果;
[0079] 认证模块,还用于在接收到来自分组网关的注销请求,清除自身保存的请求注销的终端的IP地址与IMSI、用户信息,并向分组网关返回注销响应。
[0080] 身份认证模块,用于在接收到来自应用服务器的应用访问请求时,根据认证模块的认证结果,完成进一步认证后,向应用服务器返回该IP地址对应的用户信息;在接收到来自应用服务器提交的密码时,验证后向应用服务器返回验证结果。
[0081] 以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。