本發明專利技術公開了一種安全認證方法及鑒權認證服務器,包括在終端建立承載連接中,通過鑒權認證服務器激活用戶狀態;在終端用戶訪問園區網應用時,應用服務器通過鑒權認證服務器對用戶身份進行認證。通過本發明專利技術安全認證方法,安全認證由網絡中的設備來完成,減少了用戶的參與,明顯提高了認證效率,節省了用戶認證時間,更重要的是,通過具有電信級的園區網(泛指政府、企業、公共事業等有組織的網絡)進行安全認證激活,達到了電信級安全認證水平,即SIM卡+鑒權認證服務器的安全認證方式,明顯改善了用戶體驗。
【技術實現步驟摘要】
本專利技術涉及網絡安全技術,尤指一種安全認證方法及鑒權認證服務器。
技術介紹
隨著全球信息和通信技術(ICT,Informat1n and Communicat1n Technology)產業(包括電信服務、信息服務、IT服務及應用的有機結合)的快速發展,網絡安全和信息安全日益成為人們關注的核心問題之一。如何進行可靠的認證,來保護信息、金融、商業機密等關鍵領域的安全,成為通信和信息產業的最重要技術之一。目前,行業流行的安全認證方式有很多種,可以歸納為以下最基本的四種:一種是用戶名+ 口令(靜態和動態)的安全機制,其中動態口令通常包括短信密碼、動態令牌(通常基于時間同步方式,在一定的時間間隔內生成新的口令)、手機令牌(通過手機客戶端軟件生成動態口令)等;普通互聯網業務通常采用靜態口令認證,銀行以及支付類業務通常采用動態口令;第二種是數字證書認證(USBKEY),網絡銀行通常采取該認證方式;第三種是基于共享密鑰的認證方式,比如通用引導認證(GBA, Generic BootstrappingAuthenticat1n),即基于移動通用集成電路卡(UICC)與歸屬用戶服務器(HSS)中共享密鑰K的認證方式,比如中國移動手機電視業務采用此認證方式;第四種是基于生物特征的認證:如指紋、虹膜、人臉等。通常,系統會使用上述多個認證方式的組合,也就是常說的多因素認證,來增加認證的安全強度。傳統的網絡0SI7層結構中網絡層網元與應用層網絡在邏輯上是完全分離的,網絡層主要負責網絡的連接建立和刪除;應用層主要負責業務應用的建立和刪除,在傳統的方案中這兩層分別都有身份安全認證的協議流程,且不交叉使用。目前,上述所有現有認證方案均在應用層實現。而且,現有安全認證方式存在使用復雜的問題,比如,對于USBKEY方式,就必須額外攜帶U盾;再如,對于動態短信密碼的方式,實現比較復雜,用戶需要等待5?20秒后再按照短信通知的短信密碼輸入,降低了用戶體驗。基于上述安全認證方式,現有的政企應用都是在應用層實現的身份認證,比如虛擬專用網絡(VPN),數字證書等,安全等級較低,容易被破解。而且現有針對園區用戶的認證,需要在不同的硬件平臺和操作系統的各種終端上普遍使用,適配工作比較繁瑣,認證效率低,降低了用戶體驗。
技術實現思路
為了解決上述技術問題,本專利技術提供一種安全認證方法及鑒權認證服務器,能夠簡單、高效地實現認證,并且保密級別高。為了達到本專利技術目的,本專利技術提供了一種安全認證方法,包括:在終端建立承載連接中,通過鑒權認證服務器激活用戶狀態;在終端用戶訪問園區網應用時,應用服務器通過鑒權認證服務器對用戶身份進行認證。所述在終端建立承載連接中,通過鑒權認證服務器激活用戶狀態包括:所述在終端建立承載連接中的分組網關,為合法用戶分配動態IP地址,并判斷請求建立承載連接的終端是否為園區網用戶,如果是,向園區網中的鑒權認證服務器發出注冊請求,并將終端的國際移動用戶識別碼MSI和分配的IP地址攜帶給鑒權認證服務器;所述鑒權認證服務器會根據MSI完成用戶激活,存儲該IP地址。所述鑒權認證服務器會根據MSI完成用戶激活包括:所述鑒權認證服務器根據所述終端的MSI,確定終端用戶是否屬于鑒權認證服務器所屬園區網的合法用戶,如果是,認證用戶名口令,以確認IMSI對應的終端用戶是否與請求中的用戶名匹配;并校驗用戶名對應的密碼是否正確。認證完成后,如果匹配且正確,則認證成功,所述鑒權認證服務器將所述IP地址與IMS1、員工信息進行關聯,并向所述分組網關返回注冊響應為注冊成功信息。所述通過鑒權認證服務器對用戶身份進行認證包括:所述應用服務器將收到的IP地址攜帶在應用訪問請求中發送給鑒權認證服務器;所述鑒權認證服務器完成認證后,將該IP地址對應的用戶信息,返回給應用服務器;所述應用服務器將來自終端用戶的密碼提交給鑒權認證服務器,所述鑒權認證服務器對密碼進行驗證并將驗證結果返回給應用服務器。所述在終端用戶斷開園區網時,該方法還包括:所述分組網關向鑒權認證服務器發送注銷請求,其中攜帶有終端的MSI,IP地址;所述鑒權認證服務器清除自身保存的該終端的IP地址與MS1、用戶信息的關聯關系,并向所述分組網關返回注銷響應;所述分組網關向終端返回注銷響應,以使終端斷開園區網。本專利技術還提供一種鑒權認證服務器,用于在終端建立承載連接中,激活用戶狀態;在終端用戶訪問園區網應用時,對用戶身份進行認證。所述鑒權認證服務器至少包括認證模塊、身份認證模塊,其中,認證模塊,用于在接收到來自分組網關的注冊請求,根據終端MSI完成用戶激活并存儲隨影的IP地址,對用戶終端進行安全認證并向分組網關返回認證結果;身份認證模塊,用于在接收到來自應用服務器的應用訪問請求時,根據認證模塊的認證結果,完成進一步認證后,向應用服務器返回該IP地址對應的用戶信息;在接收到來自應用服務器提交的密碼時,驗證后向應用服務器返回驗證結果。所述認證模塊,還用于在接收到來自分組網關的注銷請求,清除自身保存的請求注銷的終端的IP地址與IMS1、用戶信息,并向分組網關返回注銷響應。所述鑒權認證服務器為IT側園區網內的鑒權認證服務器。與現有技術相比,本申請技術方案提供包括在終端建立承載連接中,通過鑒權認證服務器激活用戶狀態;在終端用戶訪問園區網應用時,應用服務器通過鑒權認證服務器對用戶身份進行認證。通過本專利技術安全認證方法,安全認證由網絡中的設備來完成,減少了用戶的參與,明顯提高了認證效率,節省了用戶認證時間,更重要的是,通過具有電信級的園區網(泛指政府、企業、公共事業等有組織的網絡)進行安全認證激活,達到了電信級安全認證水平即本專利技術采用了 SM卡+鑒權認證服務器的安全認證方式,明顯改善了用戶體驗。本專利技術的其它特征和優點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本專利技術而了解。本專利技術的目的和其他優點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。【附圖說明】此處所說明的附圖用來提供對本專利技術的進一步理解,構成本申請的一部分,本專利技術的示意性實施例及其說明用于解釋本專利技術,并不構成對本專利技術的不當限定。在附圖中:圖1為本專利技術安全認證方法的流程圖;圖2為本專利技術安全認證方法中終端建立承載連接的實施例的流程圖;圖3為本專利技術安全認證方法中園區網認證的實施例的流程圖;圖4為本專利技術安全認證中用戶訪問園區網應用的實施例的流程圖;圖5為本專利技術終端注銷園區網訪問的實施例的流程圖;圖6為本專利技術鑒權認證服務器的組成結構示意圖。【具體實施方式】為使本專利技術的目的、技術方案和優點更加清楚明白,下文中將結合附圖對本專利技術的實施例進行詳細說明。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。圖1為本專利技術安全認證方法的流程圖,如圖1所示,本專利技術應用于使用移動終端SM卡的場景中,比如手機、PAD、筆記本電腦、PC等設備的數據卡。包括以下步驟:步驟100:在終端建立承載連接中,通過鑒權認證服務器激活用戶狀態。本步驟中,終端和通過通信網絡,包括基站、移動管理單元(MME)、服務網關(SGW)、分組網關(LGW/PGW),與網絡建立承載連接,在現有的承載連接建立過程中,對于園區網用戶,本專利技術中會向園本文檔來自技高網...
【技術保護點】
一種安全認證方法,其特征在于,包括:在終端建立承載連接中,通過鑒權認證服務器激活用戶狀態;在終端用戶訪問園區網應用時,應用服務器通過鑒權認證服務器對用戶身份進行認證。
【技術特征摘要】
【專利技術屬性】
技術研發人員:孫枕戈,田鋒,張軍,岳旭鵬,陳亞紅,
申請(專利權)人:中興通訊股份有限公司,
類型:發明
國別省市:廣東;44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。