專利名稱:控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方法和網(wǎng)絡(luò)認(rèn)證服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,尤其涉及一種控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方 法和網(wǎng)絡(luò)認(rèn)證服務(wù)器。
背景技術(shù):
ITU (International Telecommunication Union,國際電信聯(lián)盟)中提出 的家庭網(wǎng)絡(luò)的一般模型的結(jié)構(gòu)示意圖如圖1所示����。根據(jù)各個實(shí)體所處位置及 作用的不同,圖1所示的家庭網(wǎng)絡(luò)的模型的可以分為7種�,分別為遠(yuǎn)程用 戶、遠(yuǎn)程終端�、應(yīng)用程序服務(wù)器、安全家庭網(wǎng)關(guān)�����、家庭應(yīng)用程序服務(wù)器、家 庭用戶和家庭設(shè)備���。其中家庭設(shè)備根據(jù)功能不同又被劃分如下的A��、 B����、 C三 類設(shè)備���。A類設(shè)備具有控制功能�����;例如電腦����、機(jī)頂盒B類設(shè)備具有橋接功能���;例如交換機(jī)(switch)、集線器(hub)C類設(shè)備為其它家庭設(shè)備提供特定服務(wù)�;例如數(shù)字電視、冰箱�。該C類設(shè)備沒有通信接口直接連接到家庭網(wǎng)絡(luò)��,而是通過B類設(shè)備連接到家庭網(wǎng)絡(luò)�����。圖1所示的家庭網(wǎng)絡(luò)的模型中有12種關(guān)系�,分別在遠(yuǎn)程用戶和遠(yuǎn)程終 端��、遠(yuǎn)程終端和安全家庭網(wǎng)關(guān)����、遠(yuǎn)程終端和家庭應(yīng)用程序服務(wù)器、遠(yuǎn)程終端 和家庭設(shè)備�、應(yīng)用程序服務(wù)器和安全家庭網(wǎng)關(guān)、應(yīng)用程序服務(wù)器和家庭應(yīng)用 程序服務(wù)器�、應(yīng)用程序服務(wù)器和家庭設(shè)備、安全家庭網(wǎng)關(guān)和家庭設(shè)備�、家庭 應(yīng)用程序服務(wù)器和家庭設(shè)備、家庭設(shè)備和家庭用戶����、家庭設(shè)備和其他家庭設(shè)備、妄仝家庭網(wǎng)關(guān)和家庭應(yīng)用程序服務(wù)器之間�����。這些實(shí)休及它們之間的相互 關(guān)系就構(gòu)成了整個家庭網(wǎng)絡(luò)的 一般模型。在家庭網(wǎng)絡(luò)中需要建立信息安全體系�����,該信息安全體系的目的是保證家 庭網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的用戶訪問��,未經(jīng)授權(quán)的用戶無法訪問數(shù) 據(jù)�����,因此����,需要對用戶進(jìn)行有效的身份認(rèn)證。如果沒有有效的用戶身份認(rèn)證 手段�����,訪問者的身份就很容易被偽造����,使得任何安全防范體系都形同虛設(shè)。上述用戶身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程�。計(jì)算 機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)組成了一個虛擬的數(shù)字世界,在該數(shù)字世界中,用戶的身份 信息等所有信息都是由一組特定的數(shù)據(jù)來表示�,計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)只能識別 用戶的數(shù)字身份�,計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)給用戶的授權(quán)也是針對用戶數(shù)字身份而 進(jìn)行的。而我們生活的現(xiàn)實(shí)世界是一個真實(shí)的物理世界����,每個人都擁有獨(dú)一 無二的物理身份。如何保證以數(shù)字身份進(jìn)行搡作的訪問者就是這個數(shù)字身份 的合法擁有者��,即如何保證操作者的物理身份與數(shù)字身份相對應(yīng)�����,就成為了題�����。目前����,在家庭網(wǎng)絡(luò)中進(jìn)行用戶身份認(rèn)證的方式包括如下幾種1、 用戶名/密碼方式���。用戶名/密碼方式是最簡單也是最常用的用戶身份認(rèn)證方法����,該方式中 的用戶名/密碼非常容易被破解,因此����,該方式是一種是極不安全的用戶身 份認(rèn)證方式。2���、 IC卡認(rèn)證方式���。IC卡由合法用戶隨身攜帶,該合法用戶登錄家庭網(wǎng)絡(luò)時�,必須將其攜帶 的IC卡插入專用的讀卡器讀取其中的信息,以驗(yàn)證該合法用戶的身份�,通過 IC卡硬件的不可復(fù)制性來保證用戶身份不會被仿冒。然而�����,由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的�,通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到 IC卡中存儲的用戶的身份驗(yàn)證信息,因此���,該方式還是存在安全隱患�。3����、動態(tài)口令iU正方式�。動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化���、每個密 碼只能使用一次的技術(shù)。動態(tài)口令技術(shù)采用一次一密的方法���,有效保證了用 戶身份的安全性�。但是�����,如果家庭網(wǎng)絡(luò)的客戶端與服務(wù)器端的時間或次數(shù)不 能保持良好的同步����,就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登 錄時需要通過鍵盤輸入一長串無規(guī)律的密碼�����, 一旦輸錯就要重新操作�����,使用 起來非常不方便,從而有可能造成新的安全漏洞����。在用戶訪問網(wǎng)絡(luò)設(shè)備時,服務(wù)器要對用戶的身份進(jìn)行認(rèn)證����,要保證網(wǎng)絡(luò) 安全,認(rèn)證必須嚴(yán)格復(fù)雜?���,F(xiàn)有技術(shù)中,如果用戶訪問了網(wǎng)絡(luò)中的一臺網(wǎng)絡(luò) 設(shè)備之后���,又要訪問另外的網(wǎng)絡(luò)設(shè)備���,為保證安全,服務(wù)器需要根據(jù)網(wǎng)絡(luò)設(shè) 備發(fā)出的對用戶進(jìn)行認(rèn)證的請求�����,對用戶重復(fù)進(jìn)行一次嚴(yán)格復(fù)雜的認(rèn)證�,用 戶操作及服務(wù)器的控制都比較復(fù)雜���。發(fā)明內(nèi)容本發(fā)明實(shí)施例的目的是提供一種控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方法和網(wǎng)絡(luò) 認(rèn)證服務(wù)器,從而可以有效而方便地控制用戶的終端對網(wǎng)絡(luò)中的設(shè)備的訪問���。本發(fā)明實(shí)施例的目的是通過以下技術(shù)方案實(shí)現(xiàn)的 一種控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方法���,包括步驟A、 網(wǎng)絡(luò)中的認(rèn)證服務(wù)器通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證���,身份 認(rèn)證通過后,所述認(rèn)證服務(wù)器給所述用戶的客戶端分配認(rèn)證信息��,該認(rèn)證信 息包括臨時I D和相應(yīng)的有效期�;B、 所述認(rèn)證服務(wù)器根據(jù)所述給用戶的客戶端分配的認(rèn)證信息��,控制所述用盧的客盧端訪問網(wǎng)絡(luò)中的設(shè)備�����。一種網(wǎng)絡(luò)認(rèn)證服務(wù)器�����,包括身份認(rèn)證模塊,用于通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證���;權(quán)限分配模塊����,用于在所述身份認(rèn)證模塊對所述用戶的身份認(rèn)證通過后�,給所述用戶的客戶端分配認(rèn)證信息,該認(rèn)證信息包括臨時ID和相應(yīng)的有 效期�����;并將所述認(rèn)證信息發(fā)送給所述用戶的客戶端�;客戶端訪問控制模塊用于在所述網(wǎng)絡(luò)中的設(shè)備接收到用戶的客戶端的 訪問請求后,根據(jù)所述權(quán)限分配模塊給所述用戶的客戶端分配的認(rèn)證信息���, 控制所述用戶的客戶端對所述網(wǎng)絡(luò)中的設(shè)備的訪問���。由上述本發(fā)明實(shí)施例提供的技術(shù)方案可以看出,本發(fā)明實(shí)施例中��,網(wǎng)絡(luò) 中的認(rèn)證服務(wù)器通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證后����,所述認(rèn)證服務(wù)器 給所述用戶分配臨時ID和相應(yīng)的有效期����,以及權(quán)限信息��,用戶可根據(jù)這個認(rèn) 證服務(wù)器分配的臨時I D訪問網(wǎng)絡(luò)中的設(shè)備����,由于此臨時ID和相應(yīng)的有效期由 認(rèn)證服務(wù)器根據(jù)用戶的身份分配,與用戶相對應(yīng)���,用戶在利用此臨時ID訪問 網(wǎng)絡(luò)設(shè)備時����,服務(wù)器能根據(jù)臨時ID識別出用戶的身份�、有效期和權(quán)限等信 息��,從而不必再對用戶進(jìn)行復(fù)雜嚴(yán)格的身份認(rèn)證���。所以���,上述技術(shù)方案實(shí)現(xiàn) 了網(wǎng)絡(luò)中的認(rèn)證服務(wù)器安全、有效而方便地控制用戶的終端對網(wǎng)絡(luò)中的設(shè)備 的i方問���。
圖1為ITU中提出的家庭網(wǎng)絡(luò)的一般模型的結(jié)構(gòu)示意圖�����; 圖2為本發(fā)明所述方法的實(shí)施例的處理流程圖�����; 圖3為本發(fā)明所述單點(diǎn)登錄過程的實(shí)施例的處理流程圖�; 圖4為本發(fā)明所述裝置的實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明實(shí)施例提供了 一種控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方法和網(wǎng)絡(luò)認(rèn)證服 務(wù)器����。本發(fā)明實(shí)施例所述方法的主要處理流程為網(wǎng)絡(luò)中的認(rèn)證服務(wù)器和用戶 的客戶端之間首先采用公鑰密碼體制進(jìn)行雙向身份認(rèn)證,所述認(rèn)證服務(wù)器給 所述用戶的客戶端分配臨時ID和相應(yīng)的有效期����,以及權(quán)限信息。然后����,控制 所述用戶的客戶端在所述有效期內(nèi),使用所述臨時ID訪問網(wǎng)絡(luò)中的設(shè)備�����。 本發(fā)明實(shí)施例所述方法適用于各種小形局域網(wǎng)絡(luò),比如���,家庭網(wǎng)絡(luò)�����。 以家庭網(wǎng)絡(luò)為例�,本發(fā)明所述方法的實(shí)施例的處理流程主要包括如下步驟步驟A�、家庭網(wǎng)絡(luò)中的認(rèn)證服務(wù)器通過用戶的客戶端對用戶進(jìn)行身份認(rèn) 證,在該身份認(rèn)證通過后���,所述認(rèn)證服務(wù)器給所述用戶的客戶端分配認(rèn)證信 息���,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期;步驟B�、在所述用戶的客戶端使用所述給其分配的臨時ID訪問家庭網(wǎng)絡(luò) 中的設(shè)備后�,所述認(rèn)證服務(wù)器根據(jù)所述給用戶的客戶端分配的認(rèn)證信息,控 制所述用戶的客戶端訪問網(wǎng)絡(luò)中的設(shè)備����。本發(fā)明實(shí)施例提供了 一個對上述步驟A進(jìn)行細(xì)化的圖2所示的處理流程, 該流程包括如下步驟步驟21��、家庭網(wǎng)絡(luò)在建立起來之后,就應(yīng)該為家庭網(wǎng)絡(luò)中的用戶提供各 種服務(wù)�。用戶在使用該各種服務(wù)之前,家庭網(wǎng)絡(luò)需要對用戶的身份進(jìn)行認(rèn) 證����,在確認(rèn)了用戶的合法身份之后,該用戶才能使用家庭網(wǎng)絡(luò)中的設(shè)備����。在本實(shí)施例的處理流程中,用戶是指家庭網(wǎng)絡(luò)中的家庭成員或者訪客�, 客戶端是指用戶登錄家庭網(wǎng)絡(luò)所經(jīng)由的家庭設(shè)備, 一般為上述家庭網(wǎng)絡(luò)中的 A類設(shè)備�����,例如個人電腦����。認(rèn)證服務(wù)器是指家庭網(wǎng)絡(luò)中具有控制功能的A類設(shè)備,例如家庭網(wǎng)關(guān)��。數(shù)據(jù)庫則可以建立在家庭網(wǎng)絡(luò)中的一臺服務(wù)器上�,用泉 保存和家庭網(wǎng)絡(luò)用戶及設(shè)備權(quán)限相關(guān)的消息, 一般僅家庭網(wǎng)絡(luò)管理員才對該 數(shù)據(jù)庫具有操作權(quán)。用戶首先通過客戶端向iU正服務(wù)器發(fā)送初始^人證請求�,該初始認(rèn)證請求 中攜帶用戶ID和用認(rèn)證服務(wù)器公鑰加密的隨機(jī)數(shù)a 。步驟22�、認(rèn)證服務(wù)器檢查接收到的上述初始認(rèn)證請求中攜帶的用戶ID是 否正確,如果是���,則生成隨機(jī)數(shù)b����,繼續(xù)進(jìn)行認(rèn)證����,否則;終止本次認(rèn)證�。步驟23、認(rèn)證服務(wù)器用自身的私鑰解密出上述初始認(rèn)證請求中攜帶的隨 機(jī)數(shù)a,用上述用戶的公鑰對隨機(jī)數(shù)a和新生成的上述隨機(jī)數(shù)b進(jìn)行加密后����, 一同發(fā)送給客戶端。步驟24����、客戶端用自身的私鑰解密出上述認(rèn)證服務(wù)器發(fā)送的隨機(jī)數(shù)a�、 b,檢查該隨機(jī)數(shù)a是否正確�����,若檢查通過,則完成上述用戶對認(rèn)證服務(wù)器的 身份認(rèn)證�����。步驟25�、客戶端確定了認(rèn)證服務(wù)器的身份之后,將接收到的上述隨機(jī)數(shù) b用認(rèn)證服務(wù)器的公鑰加密后發(fā)送給認(rèn)證服務(wù)器�����。步驟26���、認(rèn)證服務(wù)器使用自身的私鑰解密出上述客戶端發(fā)送的隨機(jī)數(shù) b�,檢查該隨機(jī)數(shù)b是否正確�,若檢查通過,則確認(rèn)了上述用戶的身份����。將上 述隨機(jī)數(shù)a、 b及用戶的公鑰�����、認(rèn)證服務(wù)器的公鑰作為參數(shù),生成和用戶共享 的密鑰Ks��。上述共享密鑰Ks是可選項(xiàng)�,不生成Ks也能完成用戶的認(rèn)證。該共享密鑰 主要是為了防止非法用戶監(jiān)聽身份認(rèn)證過程中的交互信息而將用戶的臨時ID截狄���。步驟27��、認(rèn)證服務(wù)器在確認(rèn)了上述用戶的身份之后���,向數(shù)據(jù)庫發(fā)送上述 用戶的權(quán)限查詢消息。息����。
步驟29、認(rèn)證服務(wù)器給上述用戶的客戶端分配臨時ID及其相應(yīng)的有效 期��,向客戶端返回^人i正成功響應(yīng)消息�����,在該i人i正成功響應(yīng)消息中攜帶用上述 Ks加密的臨時I D和相應(yīng)的有效期信息以及獲得的上述權(quán)限信息�����。上述用戶的客戶端的臨時ID的作用主要體現(xiàn)在單點(diǎn)登錄中���,用戶身份認(rèn) 證通過之后����,就可以使用該臨時ID來登錄家庭網(wǎng)絡(luò)中的所有設(shè)備�。限,該有效期一般比較短�����,可以是幾個小時或者幾十分鐘���。在用戶使用完設(shè) 備后忘記退出登錄時��,過了該有效期��,臨時ID就將失效�,這樣可以減少設(shè)備 被其他非法用戶利用的威險(xiǎn)����。步驟210�、客戶端接收到上述認(rèn)證服務(wù)器返回的認(rèn)證成功響應(yīng)消息后����, 使用協(xié)商好的密碼算法和相同的參數(shù)計(jì)算出相同的上述共享密鑰Ks,用該Ks 解密獲得新分配到的臨時ID和相應(yīng)的有效期信息,以及上述權(quán)限信息�,關(guān)聯(lián) 保存獲得的用戶ID、臨時ID���、權(quán)限及其有效期����,整個認(rèn)證過程結(jié)束����。在完成了上述用戶的身份認(rèn)證過程后,由于臨時ID僅在用戶通過身份認(rèn) 證后生成�����,具有很強(qiáng)的隨機(jī)性��,并且只有用戶自身知道���,因此�,當(dāng)該用戶需 要使用家庭網(wǎng)絡(luò)中的多個設(shè)備提供的服務(wù)時,無需對該用戶進(jìn)行多次身份認(rèn) 證����,而只需檢查該用戶是否具有有效的臨時ID,從而可以實(shí)現(xiàn)家庭網(wǎng)絡(luò)中的 單點(diǎn)登錄�����。本發(fā)明實(shí)施例提供了一個對上述步驟B進(jìn)行細(xì)化的圖3所示的單點(diǎn)登錄過 程的實(shí)施例的處理流程����,該流程包括如下步驟該單點(diǎn)登錄過程的實(shí)施例的處理流程如圖3所示��,包括如下步驟 步驟31 �、用戶通過客戶端向家庭網(wǎng)絡(luò)中的設(shè)備發(fā)送攜帶用戶臨時ID信息的請求服務(wù)消息;步驟32��、上速設(shè)備向認(rèn)證服務(wù)器奎詢上述用盧臨時ID是否存在����,即檢奎用戶是否進(jìn)行了身份認(rèn)證,及該身份認(rèn)證是否還在有效期內(nèi)����。步驟33�、若認(rèn)證服務(wù)器經(jīng)查詢確定上述用戶臨時ID不存在或雖然存在���, 但不在有效期內(nèi)����,則向上述設(shè)備返回拒絕訪問消息�����,上述設(shè)備接收到拒絕訪 問消息后��,拒絕上述用戶的訪問��,要求上述用戶進(jìn)行身份認(rèn)證���。步驟34�、若認(rèn)證服務(wù)器經(jīng)查詢確定上述用戶臨時ID存在且在有效期內(nèi)�����, 則向上述設(shè)備返回允許訪問消息����,在該允許訪問消息中攜帶上述臨時ID的有 效期以及權(quán)限等消息�����。步驟35�����、上述設(shè)備接收到上述允許訪問消息后���,獲取該允許訪問消息中 攜帶的臨時ID�����、有效期和權(quán)限信息���,并將該臨時ID�、權(quán)限�����、有效期信息進(jìn)行 關(guān)聯(lián)保存����。步驟36����、用戶在臨時ID有效期內(nèi)根據(jù)分配的權(quán)限訪問上述設(shè)備���。 在上面的單點(diǎn)登錄過程中�,設(shè)備將從認(rèn)證服務(wù)器獲得的用戶的客戶端的 臨時ID�、權(quán)限、有效期進(jìn)行關(guān)聯(lián)保存��。這樣��,在用戶再次請求服務(wù)時�����,該設(shè) 備就可以直接檢查該用戶是否具有使用該服務(wù)的權(quán)限���,而不需再到認(rèn)證服務(wù) 器上去驗(yàn)證了�����,減輕了認(rèn)證服務(wù)器的負(fù)擔(dān)����,提高了用戶的訪問效率。當(dāng)用戶 使用完設(shè)備忘記退出登錄時��,如果臨時ID有效期滿��,設(shè)備就會自動取消該臨 時ID,而無需認(rèn)證服務(wù)器通知該設(shè)備��。本發(fā)明還提供了一個上述單點(diǎn)登錄過程的實(shí)施例�����。在該實(shí)施例中��,家庭中的父親某次登錄家庭網(wǎng)絡(luò)��,通過了身份認(rèn)證之 后��,將獲取一個臨時ID���、權(quán)限及這次登錄的有效期T。如果他想要使用家庭 網(wǎng)絡(luò)中的設(shè)備A,則需要先使用該臨時ID登錄到設(shè)備A����。上述臨時ID僅父親自 己知道,這就避免了其它用戶(如小孩)在父親認(rèn)證完之后利用父親的固定 ID登錄設(shè)備,因?yàn)楣潭↖D很容易被家庭網(wǎng)絡(luò)中的其他成員獲知���。設(shè)備A到認(rèn)證服務(wù)器上檢查父親輸入的臨時ID是否存在�����,若存在���,則說明該用戶通過了身份認(rèn)證,并且該次身份認(rèn)證還在有效期內(nèi)�����;若檢查不到該 臨時ID�,則說明該用戶未經(jīng)身份認(rèn)證,可能是非法用戶�����,或者該次認(rèn)證獲取 的有效期已過���,需要重新進(jìn)行身份認(rèn)證�����。假設(shè)設(shè)備A檢查到輸入的臨時ID是 存在的�,那么父親就可以根據(jù)身份認(rèn)證過程中獲取的權(quán)限來訪問設(shè)備A 了 。 父親用完設(shè)備A后如果按照正常流程注銷在設(shè)備A的登錄�����,設(shè)備A就立即刪除 父親的臨時ID等信息��,但是如果父親忘記注銷登錄���,那么臨時ID等信息也會 在有效期結(jié)束時由設(shè)備A刪除����。綜上所述��,在本發(fā)明實(shí)施例中����,認(rèn)證服務(wù)器給各個用戶的客戶端分配唯 一的臨時ID和相應(yīng)的有效期,以及權(quán)限信息�,用戶的客戶端使用該臨時ID訪 問網(wǎng)絡(luò)中的設(shè)備時�����,服務(wù)器能夠根據(jù)臨時ID識別出用戶的身份、有效期和權(quán) 限等信息���,不必再對用戶進(jìn)行復(fù)雜嚴(yán)格的身份認(rèn)證�����。并且�,用戶在臨時ID的 有效期內(nèi)���,可以多次登錄網(wǎng)絡(luò)中的設(shè)備��。本發(fā)明實(shí)施例采用了基于公鑰密碼 的雙向身份認(rèn)證機(jī)制��,認(rèn)證過程中沒有秘密信息的傳輸���,用戶可以跨越開放 的網(wǎng)絡(luò)向服務(wù)器認(rèn)證自己的身份,而不必?fù)?dān)心認(rèn)證信息被破解��,因此��,本發(fā) 明實(shí)施例所述認(rèn)證方式是一種非常安全的用戶身份認(rèn)證方式��。本發(fā)明實(shí)施例提供的控制客戶端訪問網(wǎng)絡(luò)設(shè)備的裝置為認(rèn)證服務(wù)器����,該 認(rèn)證服務(wù)器的實(shí)施例的結(jié)構(gòu)如圖4所示��,主要包括如下模塊身份認(rèn)證模塊�����,用于通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證��;權(quán)限分配模塊���,用于在所述身份認(rèn)證模塊對所述用戶的身份認(rèn)證通過 后,給所述用戶的客戶端分配認(rèn)證信息��,該認(rèn)證信息包括臨時ID和相應(yīng)的有 效期�;并將所述認(rèn)證信息發(fā)送給所述用戶的客戶端;客戶端訪問控制模塊用于在所述網(wǎng)絡(luò)中的設(shè)備接收到用戶的客戶端的 訪問請求后���,根據(jù)所述權(quán)限分配模塊給所述用戶的客戶端分配的認(rèn)證信息�����, 控制所述用戶的客戶端對所述網(wǎng)絡(luò)中的設(shè)備的訪問��。所速認(rèn)證服務(wù)器還可以包括認(rèn)證信息保存模塊用于將給各個用戶的客戶端分配的認(rèn)證信息進(jìn)行關(guān) 聯(lián)保存�,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期�,以及使用網(wǎng)絡(luò)設(shè)備的權(quán)限 信息。上述客戶端訪問控制模塊具體包括認(rèn)證信息確認(rèn)模塊用于在所述網(wǎng)絡(luò)中的設(shè)備接收到用戶的客戶端的訪 問請求后��,響應(yīng)所述設(shè)備的對所述用戶進(jìn)行驗(yàn)證的請求���,根據(jù)給所述用戶的 客戶端分配的認(rèn)證信息對所述用戶進(jìn)行驗(yàn)證��;訪問控制處理模塊用于根據(jù)認(rèn)證信息確認(rèn)模塊對所述用戶進(jìn)行認(rèn)證的 結(jié)果����,獲取給所述用戶的客戶端分配的認(rèn)證信息��;根據(jù)該認(rèn)證信息控制所述 用戶的客戶端對所述網(wǎng)絡(luò)中的設(shè)備的訪問��。上述訪問控制處理模塊具體包括拒絕訪問控制處理模塊用于當(dāng)確定所述用戶的臨時ID不存在或雖然存 在但不在有效期內(nèi)時�����,向所述設(shè)備返回拒絕訪問消息�;允許訪問控制處理模塊用于當(dāng)確定所述用戶臨時ID存在且在有效期 內(nèi),則向所述設(shè)備返回允許訪問消息��,并將給所述用戶的客戶端分配的認(rèn)證 信息發(fā)送給所述設(shè)備���。以上所述�����,僅為本發(fā)明較佳的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不 局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可 輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)���。因此��,本發(fā)明 的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1. 一種控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方法��,其特征在于�����,包括步驟A�����、網(wǎng)絡(luò)中的認(rèn)證服務(wù)器通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證�����,身份認(rèn)證通過后����,所述認(rèn)證服務(wù)器給所述用戶的客戶端分配認(rèn)證信息���,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期��;B���、所述認(rèn)證服務(wù)器根據(jù)所述給用戶的客戶端分配的認(rèn)證信息,控制所述用戶的客戶端訪問網(wǎng)絡(luò)中的設(shè)備��。
2�、 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述步驟A具體包括A1 ��、所述認(rèn)證服務(wù)器和用戶的客戶端之間采用公鑰密碼體制進(jìn)行雙向身 份認(rèn)證����,所述認(rèn)i正服務(wù)器通過用戶的客戶端和用戶之間互相確定對方的身 份;A2���、在所述身份認(rèn)證通過后��,所述認(rèn)證服務(wù)器給所述用戶的客戶端分配 認(rèn)證信息�,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期����,以及使用網(wǎng)絡(luò)設(shè)備的權(quán) 限信息。
3�����、 根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于,所述的步驟B具體包括B1 ����、所述認(rèn)證服務(wù)器將所述認(rèn)證信息發(fā)送給所述用戶的客戶端; B2����、所述認(rèn)證服務(wù)器在網(wǎng)絡(luò)中的設(shè)備接收到所述用戶的客戶端的訪問請 求后,響應(yīng)所述設(shè)備發(fā)出的對所述用戶進(jìn)行驗(yàn)證的請求�,對所述用戶進(jìn)行驗(yàn) 證�;所述認(rèn)證服務(wù)器根據(jù)所述給用戶分配的認(rèn)證信息,控制所述設(shè)備是否接 受所述用戶的客戶端的訪問����。
4、 根據(jù)權(quán)利要求3所述的方法���,其特征在于�����,所述的步驟B1具體包括 所述認(rèn)證服務(wù)器和所述用戶的客戶端在雙向身份認(rèn)證通過后生成共享密鑰�����,使用該共享密鑰對所述認(rèn)證信息進(jìn)行加密后�����,發(fā)送給所述用戶的客戶端���。
5����、 根據(jù)權(quán)利要求3所述的方法��,其特征在于���,所述的步驟B2具體包括 B21 ����、所述認(rèn)i正服務(wù)器在所述網(wǎng)絡(luò)中的設(shè)備接收到所述用戶的客戶端的訪問請求后��,響應(yīng)所述設(shè)備的對所述用戶進(jìn)行驗(yàn)證的請求����,根據(jù)所述用戶的 臨時I D對所述用戶進(jìn)行驗(yàn)證;B22����、所述認(rèn)證服務(wù)器確定所述用戶的臨時ID不存在或雖然存在但不在 有效期內(nèi)時����,向所述設(shè)備返回拒絕訪問消息���;當(dāng)認(rèn)證服務(wù)器確定所述用戶臨 時ID存在且在有效期內(nèi)�,則向所述設(shè)備返回允許訪問消息���,并將所述用戶的 客戶端的認(rèn)證信息發(fā)送給所述設(shè)備����;B23 �����、所述設(shè)備接收到所述拒絕訪問消息后���,拒絕所述用戶的客戶端的 訪問;所述設(shè)備接收到所述允許訪問消息后���,接受所述用戶的客戶端的訪 問�����,并將所述用戶的客戶端的認(rèn)證信息進(jìn)行關(guān)聯(lián)保存��。
6��、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述方法適用于家庭網(wǎng)絡(luò)。
7���、 一種網(wǎng)絡(luò)認(rèn)證服務(wù)器��,其特征在于�����,包括身份認(rèn)證模塊��,用于通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證��; 權(quán)限分配模塊��,用于在所述身份認(rèn)證模塊對所述用戶的身份認(rèn)證通過后��,給所述用戶的客戶端分配認(rèn)證信息�,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期;并將所述認(rèn)證信息發(fā)送給所述用戶的客戶端���;客戶端訪問控制模塊用于在所述網(wǎng)絡(luò)中的設(shè)備接收到用戶的客戶端的訪問請求后�,根據(jù)所述權(quán)限分配模塊給所述用戶的客戶端分配的認(rèn)證信息���,控制所述用戶的客戶端對所述網(wǎng)絡(luò)中的設(shè)備的訪問�。
8���、 根據(jù)權(quán)利要求7所述的認(rèn)證服務(wù)器,其特征在于�,所述認(rèn)證服務(wù)器還 包括認(rèn)證信息保存模塊用于將給各個用戶的客戶端分配的認(rèn)證信息進(jìn)行關(guān)聯(lián)保存,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期���,以及使用網(wǎng)絡(luò)設(shè)備的權(quán)限 信息��。
9��、 根據(jù)權(quán)利要求7或8所述的認(rèn)證服務(wù)器�,其特征在于,所述客戶端訪 問控制模塊具體包括認(rèn)證信息確認(rèn)模塊用于在所述網(wǎng)絡(luò)中的設(shè)備接收到用戶的客戶端的訪 問請求后���,響應(yīng)所述設(shè)備的對所述用戶進(jìn)行驗(yàn)證的請求����,根據(jù)給所述用戶的 客戶端分配的認(rèn)證信息對所述用戶進(jìn)行驗(yàn)證����;訪問控制處理模塊用于根據(jù)認(rèn)證信息確認(rèn)模塊對所述用戶進(jìn)行認(rèn)證的 結(jié)果,獲取給所述用戶的客戶端分配的認(rèn)證信息��;根據(jù)該認(rèn)證信息控制所述 用戶的客戶端對所述網(wǎng)絡(luò)中的設(shè)備的訪問���。
10����、 根據(jù)權(quán)利要求9所述的認(rèn)證服務(wù)器�,其特征在于,所述訪問控制處 理模塊具體包括拒絕訪問控制處理模塊用于當(dāng)確定所述用戶的臨時ID不存在或雖然存 在但不在有效期內(nèi)時�����,向所述設(shè)備返回拒絕訪問消息;允許訪問控制處理模塊用于當(dāng)確定所述用戶臨時ID存在且在有效期 內(nèi)���,則向所述設(shè)備返回允許訪問消息���,并將給所述用戶的客戶端分配的認(rèn)證 信息發(fā)送給所述設(shè)備。
全文摘要
本發(fā)明提供了一種控制客戶端訪問網(wǎng)絡(luò)設(shè)備的方法和網(wǎng)絡(luò)認(rèn)證服務(wù)器��,該方法主要包括網(wǎng)絡(luò)中的認(rèn)證服務(wù)器通過用戶的客戶端對用戶進(jìn)行身份認(rèn)證��,身份認(rèn)證通過后���,所述認(rèn)證服務(wù)器給所述用戶的客戶端分配認(rèn)證信息����,該認(rèn)證信息包括臨時ID和相應(yīng)的有效期�����;所述認(rèn)證服務(wù)器根據(jù)所述給用戶的客戶端分配的認(rèn)證信息�,控制所述用戶的客戶端訪問網(wǎng)絡(luò)中的設(shè)備�����。利用本發(fā)明所述方法和網(wǎng)絡(luò)認(rèn)證服務(wù)器,可以實(shí)現(xiàn)網(wǎng)絡(luò)中的認(rèn)證服務(wù)器安全����、有效而方便地控制用戶的終端對網(wǎng)絡(luò)中的設(shè)備的訪問。
文檔編號H04L29/06GK101222488SQ20071006339
公開日2008年7月16日 申請日期2007年1月10日 優(yōu)先權(quán)日2007年1月10日
發(fā)明者云 劉, 超 李, 陽 辛, 進(jìn) 陳 申請人:華為技術(shù)有限公司;北京郵電大學(xué)