[发明专利]基于动态创建临时密码的无感知认证授权网络系统和方法

摘要

一种基于动态创建临时密码的无感知认证授权网络系统及其工作方法，该系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络，包括网元有：认证客户端、DHCP服务器、NAS服务器和经由其连接的外部Internet网络、Portal服务器、AAA服务器和代理AAA服务器；以及增设的、用于绑定认证客户端或智能终端的无感知认证装置。本发明的无感知认证装置动态创建与用户账号对应的一次性使用的临时密码OTP，实现无感知认证授权，免去用户非首次上网时，每次上网都需要手动输入密码的繁琐；同时，因使用动态生成的一次性临时密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全。

主权项

1.一种基于动态创建临时密码的无感知认证授权网络系统，所述系统包括设有代理AAA服务器或未设置有代理AAA服务器的两种IP计费网络系统，所述两种网络系统分别包括下述网元：认证客户端、动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务器、网络接入服务器NAS(Network Access Server)和经由其连接的外部Internet网络、入口Portal服务器、AAA服务器和代理AAA服务器；其特征在于：所述无感知认证授权系统的两种网络IP计费网络系统中，都增设有用于绑定认证客户端或智能终端的无感知认证装置，该无感知认证装置动态创建与用户账号对应的一次性使用的临时密码OTP(One-time Password)，实现无感知认证授权，免去用户每次上网需要手动输入密码的繁琐；同时，因使用动态生成的一次性临时密码认证，不需使用用户原始密码；且在认证过程中，只与受信任节点交互，避免泄露用户账户信息，确保通信安全；其中：认证客户端，为用户终端计算机或包括智能手机、机顶盒的智能终端；DHCP服务器，用于在认证客户端接入网络时，为其分配IP地址；NAS服务器和经由其连接的外部Internet网络，NAS为包括路由器、计费网关的关口设备统称，用于控制与管理认证客户端的网络访问：在认证客户端完成认证以前，将其所有超文本传输协议HTTP请求重定向到Portal服务器；在认证客户端认证过程中，分别与无感知认证装置、Portal服务器、代理AAA服务器或/和AAA服务器交互，完成认证客户端的身份认证、安全认证、以及授权和计费的功能；在认证客户端完成认证授权后，允许认证客户端访问被授权的Internet资源；无感知认证装置，负责分别与Portal服务器、DHCP服务器、NAS服务器和代理AAA服务器或AAA服务器进行交互，执行认证客户端或智能终端的绑定，并动态创建对应的一次性使用的临时密码OTP，实现无感知认证；Portal服务器，为接收认证客户端认证请求的接入服务器，用于提供WEB门户和认证界面；AAA服务器，负责与上述相关网元配合，执行认证客户端完整的身份认证、安全认证、授权和计费的功能；并在需要时，对用户进行强制下线；代理AAA服务器，只设置于有代理AAA服务器的网络系统中，负责对认证客户端的一次性使用的临时密码OTP进行识别认证，并对OTP认证以外的AAA报文进行处理后，转发至AAA服务器。