[发明专利]基于动态创建临时密码的无感知认证授权网络系统和方法

说明书

一种基于动态创建临时密码的无感知认证授权网络系统及其工作方法，该系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络，包括网元有：认证客户端、DHCP服务器、NAS服务器和经由其连接的外部Internet网络、Portal服务器、AAA服务器和代理AAA服务器；以及增设的、用于绑定认证客户端或智能终端的无感知认证装置。本发明的无感知认证装置动态创建与用户账号对应的一次性使用的临时密码OTP，实现无感知认证授权，免去用户非首次上网时，每次上网都需要手动输入密码的繁琐；同时，因使用动态生成的一次性临时密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全。

技术领域

本发明涉及一种基于动态创建临时密码的无感知认证授权网络系统及其工作方法，属于计算机网络管理与控制的技术领域。

背景技术

AAA是认证、授权、计费(Authentication、Authorization、Accounting)三个英文单词的简称，也是一种能够处理用户访问网络的请求、并为客户端提供认证、授权、计费以及账户服务的网络安全管理的机制或系统，其主要功能是管理用户访问网络，对具有访问权的用户提供相应级别的服务。AAA采用客户端/服务器模型，客户端运行在网络接入服务器NAS(Network Access Server)上，由AAA服务器集中管理客户端信息。AAA服务器通常同网络访问控制、网关服务器以及包括用户信息、目录的数据库等网元装置协同工作。

现有的IP计费网络(包括按流量计费或按在线时长计费的不同类型网络)中，现在通用的解决方案是使用入口Portal协议配合AAA服务器执行对客户端的认证、授权、计费的控制与管理。参见图1，介绍其典型的组网方式与结构：

这种组网方式架构的系统中，设置的网元包括：认证客户端、NAS服务器、动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务器、Portal服务器、AAA服务器以及经由NAS连接的外部Internet网络。其中，认证客户端为用户终端计算机或包括智能手机、机顶盒的智能终端；DHCP服务器用途是在认证客户端接入网络时，为其分配IP地址；NAS服务器是路由器、计费网关等关口设备的统称，其作用是管控认证客户端的网络访问，并在认证客户端完成认证之前，将其所有超文本传输协议HTTP请求重定向到Portal服务器，且在客户端认证过程中，通过与Portal服务器、AAA服务器的交互，完成认证客户端的身份认证、授权、以及计费的功能，在客户端认证(包括身份认证和授权)通过以后，允许客户端访问被授权的Internet资源；Portal服务器为接收认证客户端认证请求的服务器系统，提供WEB门户和认证界面，通过与NAS服务器交互认证客户端的认证信息，NAS服务器通过与AAA服务器交互，完成对认证客户端的认证、授权与计费。

上述的认证客户端、NAS服务器、Portal服务器、AAA服务器的交互过程是现在网络系统中传统的Portal验证流程，其过程为：

(1)认证客户端向DHCP服务器发送IP地址请求，DHCP服务器为认证客户端下发IP地址。

(2)认证客户端在未认证时，通过在浏览器输入一个互联网统一资源定位符URL地址的HTTP访问请求，该HTTP访问请求在经过NAS服务器时，被重定向到Portal服务器的WEB认证网页上。

(3)认证客户端在浏览器中输入的认证信息，被提交给Portal服务器，Portal服务器接收到用户输入的认证信息后，将其发送给NAS服务器。

(4)NAS服务器与AAA服务器交互通信，将认证客户端的认证信息发送给AAA服务器，以便AAA服务器执行对客户端的认证、授权操作。

(5)认证授权通过后，NAS服务器打开认证客户端与Internet的通路，允许认证客户端的IP地址访问Internet；同时NAS服务器向AAA服务器发送记账(即计费)信息。