CN101998407B - 基于wlan接入认证的业务访问方法 - Google Patents
基于wlan接入认证的业务访问方法 Download PDFInfo
- Publication number
- CN101998407B CN101998407B CN200910169686.6A CN200910169686A CN101998407B CN 101998407 B CN101998407 B CN 101998407B CN 200910169686 A CN200910169686 A CN 200910169686A CN 101998407 B CN101998407 B CN 101998407B
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication center
- identity token
- cookie
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种基于WLAN接入认证的业务访问方法,包括:在终端进行WLAN接入认证过程中,WLAN门户服务器向已通过WLAN接入认证的终端发送第一Cookie;终端请求访问应用***的业务,与应用***关联的业务认证中心根据第一Cookie,确定终端已通过WLAN接入认证;所述关联的业务认证中心通过第一Cookie获取终端身份令牌;所述关联的业务认证中心将所获取的终端身份令牌发送给应用***;以及应用***根据终端身份令牌向终端提供业务访问。通过以上方法,终端通过WLAN接入认证后,无需业务认证就能访问多个应用***提供的业务,改善了用户体验,减轻了应用***的***开销。
Description
技术领域
本申请涉及无线通信领域,尤其涉及一种基于WLAN接入认证的业务访问方法。
背景技术
随着无线通信技术的发展和社会信息化程度的提高,一方面,经由WLAN(Wireless Local Area Network,即无线局域网)对提供增值业务的应用***的访问需求日益增加,另一方面,能够提供业务访问的应用***也越来越多。
图1示出了一种WLAN接入认证***1的结构,可包括终端11、接入点(Access Point,简称AP)12、接入控制点(Access Controller,简称AC)13、接入认证服务器14和门户(Portal)服务器15。在***1中,接入点12可提供终端11的无线接入。接入控制点13对终端11接入WLAN的过程进行控制。接入控制点13、接入认证服务器14和门户服务器15协同完成对终端11的接入认证。本申请人的第200610169785.0号未决中国专利申请(公开号为CN 101212297 A)中详细描述了这种WLAN接入认证方法,该申请的全部内容并入本文作为参考,此处不再赘述。
图2示出了一种单点登录***2,使终端通过一次业务认证便能访问多个应用***的业务。***2可包括应用***、业务认证中心和终端数据库。应用***可分为一级应用***21和二级应用***22,并分别与一级业务认证中心23和二级业务认证中心24关联。应用***可通过关联的业务认证中心获取所需的终端身份令牌,并根据终端身份令牌向终端提供业务访问。每个二级业务认证中心24与记录有多个终端信息的终端数据库25关联。在本申请人尚未公开的第200810116578.8号中国专利申请中详细描述了这种单点登录方法,该申请的全部内容并入本文作为参考,此处不再赘述。
但是,由于上述WLAN接入认证与单点登录***的业务认证彼此独立,终端通过WLAN接入认证后,仍需要进行至少一次业务认证才能访问应用***提供的业务。这样的重复认证不仅影响了用户体验,而且由于应用***需要维护业务认证所需的终端数据而增加了***开销。
发明内容
为了克服现有技术中的重复认证问题,根据本申请的一个实施方案,提供了一种基于WLAN接入认证的业务访问方法,包括:在终端进行WLAN接入认证过程中,WLAN门户服务器向已通过WLAN接入认证的终端发送第一Cookie;终端请求访问应用***的业务,与应用***关联的业务认证中心根据第一Cookie,确定终端已通过WLAN接入认证;所述关联的业务认证中心通过第一Cookie获取终端身份令牌;所述关联的业务认证中心将所获取的终端身份令牌发送给应用***;以及应用***根据终端身份令牌向终端提供业务访问。
通过以上方法,终端通过WLAN接入认证后,无需业务认证就能访问多个应用***提供的业务,改善了用户体验,减轻了应用***的***开销。
附图说明
图1为一种WLAN接入认证***的结构示意图;
图2为一种单点登录***的结构示意图;
图3为根据本申请第一实施方案的基于WLAN接入认证的业务访问方法的流程图;
图4为根据本申请第二实施方案的基于WLAN接入认证的业务访问方法的流程图;
图5为根据本申请第三实施方案的基于WLAN接入认证的业务访问方法的流程图;
图6为根据本申请第四实施方案的基于WLAN接入认证的业务访问方法的流程图;
图7为根据本申请第五实施方案的基于WLAN接入认证的业务访问方法的流程图;
图8为本申请一个示例性应用场景的基于WLAN接入认证的业务访问方法的处理流程图;
图9为本申请另一示例性应用场景的基于WLAN接入认证的业务访问方法的处理流程图。
具体实施方式
根据本申请,在终端发起访问某个应用***业务的请求时,如果终端已经通过了WLAN接入认证,则应用***能够通过与该终端相关联的业务认证中心获取终端身份令牌,根据终端身份令牌为终端提供业务访问,而不必进行业务认证。本领域技术人员能够理解,终端身份令牌是应用***为终端提供业务访问所需的信息,可包括例如终端的MSISDN(Mobile Station international ISDN number,即移动台国际ISDN号码)、计费信息等。
在现有的WLAN接入方法中,门户服务器可向终端发送接入认证结果页面。根据本申请的一个实施方案,门户服务器在终端通过WLAN接入认证时,除了向终端发送接入认证结果页面之外,还可向终端发送Cookie。Cookie是一个保存在终端的文本文件,由门户服务器向终端发送的Cookie的内容可包括终端标识以及接入认证通过标志。在本申请中,终端标识是可唯一确定终端身份的识别码,例如终端的MSISDN等。接入认证通过标志可以是能够确定终端已通过WLAN接入认证的各种信息,作为一个非限制性示例,可以是门户服务器标识,例如门户服务器的名称或地址等。可以理解,门户服务器可以将Cookie随接入认证结果页面发送给终端,也可以在发送接入认证结果页面之前或之后单独地向终端发送Cookie。
下面将参照图3至图7,描述根据本申请的基于WLAN接入认证的业务访问方法,其中,提供业务访问的***采用如图2所示的两级架构。图3至图7所示的方法的第一步骤(图3中的步骤301、图4中的步骤401、图5中的步骤501、图6中的步骤601和图7中的步骤701)可以是如上所述的门户服务器向已通过WLAN接入认证的终端发送Cookie的步骤。可以理解,在终端向应用***发出业务访问请求后,可检查在该应用***中是否已有终端身份令牌,若有,则可直接为终端提供业务访问。因此,只有在应用***中没有请求业务访问的终端的终端身份令牌的情况下,才会执行如图3至图7所示方法的门户服务器向通过WLAN接入认证的终端发送Cookie的第一步骤之后的各个步骤。
在如图3所示的根据本申请第一实施方案的方法中,在步骤301后,当终端发起对应用***业务的访问请求时,与该应用***相关联的业务认证中心可根据终端中的Cookie,判断终端是否通过了WLAN接入认证(步骤302)。这时,应用***将业务访问请求重定向至与该应用***关联的业务认证中心。例如,如果终端想要访问的是一级应用***的业务,则由一级业务认证中心判断该终端是否通过WLAN接入认证;如果终端想要访问的是二级应用***的业务,则由与该二级应用***相关联的二级业务认证中心判断该终端是否通过WLAN接入认证。如上所述,在终端进行WLAN接入认证过程中,门户服务器为已通过WLAN接入认证的终端发送了终端标识和接入认证通过标志的Cookie。因此,业务认证中心可以根据终端中的Cookie所包含的接入认证通过标志,确定该终端已通过了WLAN接入认证。
然后,业务认证中心可通过Cookie,获取所需的终端身份令牌(步骤303)。业务认证中心接收到终端身份令牌之后,将之发送给应用***(步骤304),应用***可根据终端身份令牌向终端提供业务访问(步骤305)。可以理解,在业务认证中心向应用***发送终端身份令牌的步骤304中,业务认证中心也可以先将终端身份令牌发送给终端,再由终端发送给应用***,以便于应用***向该终端提供所需的业务访问。
根据如图4所示的本申请的第二实施方案,门户服务器在步骤401向已通过WLAN接入认证的终端发送Cookie。在业务认证中心根据终端中的Cookie确定终端已通过WLAN接入认证(步骤402)后,业务认证中心可采用这样的方式来通过Cookie获取终端身份令牌,即:业务认证中心可从Cookie中取得终端标识,根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌(步骤403)。业务认证中心接收到终端身份令牌之后,将之发送给应用***(步骤404),应用***则可根据终端身份令牌向终端提供业务访问(步骤405)。
如上所述,每个二级业务认证中心均与记录有多个终端信息的终端数据库关联。在本申请中,终端“归属”于某个二级业务认证中心,指的是终端的信息记录在与该二级业务认证中心关联的终端数据库中。在向终端归属的二级业务认证中心请求提供终端身份令牌之前,业务认证中心需先判断终端归属于哪个二级业务认证中心,业务认证中心可通过各种现有方法,根据从Cookie中取得的终端标识来确定该终端所归属的二级业务认证中心,为了简要的目的,本申请不对判断方法进行详细描述。业务认证中心将终端标识发送终端归属的二级业务认证中心来请求终端身份令牌,这样,终端归属的二级业务认证中心可根据终端标识获取对应的终端身份令牌并将其发送给业务认证中心。本领域技术人员可以理解,终端归属的二级业务认证中心可根据终端标识,采用各种现有方式,查找与之关联的终端数据库来获取终端身份令牌,这里也不再赘述。
可选地,业务认证中心可存储终端身份令牌。这样,在图4所示的步骤403中,在业务认证中心从Cookie取得终端标识后,可首先判断该终端标识对应的终端身份令牌是否存储在其本地:若没有,则需要根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌,并在获得身份令牌后将其存储在本地;若有,则可省略请求终端归属的二级业务认证中心提供终端身份令牌的过程。例如,可在业务认证中心配置终端身份令牌表来存储终端身份令牌。可以理解,在终端身份令牌表中,可将终端标识作为每个终端身份令牌的索引信息,换言之,终端身份令牌表中可记录有终端标识与终端身份令牌的对应关系。因此,业务认证中心根据终端标识,可通过查找终端身份令牌表来获取对应的终端身份令牌。
为了提高安全性,由门户服务器向终端发送的Cookie可包含经过加密的终端标识,这样,业务认证中心需要对Cookie中加密的终端标识进行解密才能取得终端标识。本领域技术人员可采用各种密码体制来实现终端标识的加密和解密。作为一个具体实施例,可采用对称密码算法,即门户服务器与业务认证中心共享一个密钥Ka。具体而言,已通过WLAN接入认证的终端中的Cookie所包含的是门户服务器以密钥Ka对终端标识进行加密后的密文,业务认证中心获取该Cookie后,以密钥Ka对加密的终端标识进行解密后获得正确的终端标识。可采用各种对称密码算法,例如:DES算法、3-DES算法、AES算法等。作为另一具体实施例,可采用非对称密码算法,即,已通过WLAN接入认证的终端中的Cookie所包含的是门户服务器以公钥Kp对终端标识进行加密后的密文,业务认证中心获取该Cookie后,可使用其私钥Ks对加密的终端标识进行解密。可采用各种非对称密码算法,例如:RSA算法、ElGmal算法、ECC算法等。
可以理解,虽然将终端标识经过加密后加入Cookie可在一定程度上提高安全性,但是仍然可能发生重放攻击(replay attack)。为此,根据本申请的一个实施例,业务认证中心可在从Cookie中取得终端标识之后,将终端标识进行存储,并为每个终端标识分配终端标识索引。这种情况下,业务认证中心可向终端发送改写的Cookie来替换之前由门户服务器提供的Cookie,该改写的Cookie可包含业务认证中心的标识(例如该业务认证中心的名称、地址等信息)以及与终端标识相对应的终端标识索引。如上所述,在业务认证中心向应用***发送终端身份令牌的步骤中,业务认证中心可以先将终端身份令牌发送给终端,再由终端发送给应用***。因此,可在业务认证中心将终端身份令牌经由终端发送给应用***的过程中,将改写的Cookie发送到终端中来替换原来的Cookie。这样,在终端请求访问另一应用***的业务时,与该应用***关联的业务认证中心可根据改写的Cookie中所包含的业务认证中心的标识和终端标识索引,向由业务认证中心标识所代表的业务认证中心发送终端标识索引,由业务认证中心标识代表的业务认证中心根据终端标识索引获取对应的终端标识,从而获取所需的终端身份令牌。在如上所述的业务认证中心中建立有终端身份令牌表以存储终端身份令牌的情况下,可对终端身份令牌表进行改造,在其中增加记录与终端标识对应的终端标识索引的表项。这样,改写的Cookie中的业务认证中心标识代表的业务认证中心可根据终端标识索引查找终端身份令牌表,若未找到对应的终端身份令牌,则可从终端身份令牌表中获取对应的终端标识,根据终端标识来获取所需的终端身份令牌。通过这样的方式,包含有终端标识的Cookie仅在终端通过WLAN接入认证后首次请求业务访问时使用一次,因此可避免重放攻击。
可以理解,可在业务认证中心与终端归属的二级业务认证中心之间以及业务认证中心与关联的应用***之间建立安全传输信道来进行终端标识和/或终端身份令牌的传输。作为一个示例,上述安全传输信道可以是VPN(Virtual Private Network,即虚拟专用网),例如SSL安全隧道。
图5和图6示出了根据本申请第三和第四实施方案的基于WLAN接入认证的业务访问方法,其中,二级业务认证中心不直接向终端归属的二级业务认证中心请求终端身份令牌,而是经由一级业务认证中心请求终端归属的二级业务认证中心提供终端身份令牌,这可避免不同的二级业务认证中心之间的互连而导致的网状访问情况,从而避免了可能的信息拥塞。
具体而言,门户服务器向已通过WLAN接入认证的终端发送Cookie(图5的步骤501、图6的步骤601),业务认证中心根据终端中的Cookie确定终端已通过WLAN接入认证(图5的步骤502、图6的步骤602)。之后,可判断业务认证中心的级别是一级还是二级(图5的步骤503、图6的步骤603)。若判断出业务认证中心是一级业务认证中心,则一级业务认证中心从Cookie中取得终端标识,根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌(图5的步骤504、图6的步骤604)。若判断出业务认证中心是二级业务认证中心,则图5所示的方法与图6所示的方法的处理略有不同。
在判断出业务认证中心是二级业务认证中心的情况下,如图5所示,二级业务认证中心在从Cookie中取得终端标识后,将终端标识发送至一级业务认证中心(步骤505),由一级业务认证中心根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌(步骤506),并向请求终端身份令牌的二级业务认证中心发送终端身份令牌(步骤507)。而如图6所示,二级业务认证中心将Cookie发送至一级业务认证中心(步骤605),由一级业务认证中心从Cookie中取得终端标识,根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌(步骤606),并向请求终端身份令牌的二级业务认证中心发送终端身份令牌(步骤607)。可以看出,在图5所示方法中,由二级业务认证中心负责从Cookie中取得终端标识,而在图6所示的方法中,由一级业务认证中心从Cookie中取得终端标识。
在业务认证中心接收到终端身份令牌之后,图5所示的方法与图6所示的方法将进行相同处理:业务认证中心将终端身份令牌发送给应用***(图5的步骤508、图6的步骤608),应用***则可根据终端身份令牌向终端提供业务访问(图5的步骤509、图6的步骤609)。
可选地,业务认证中心可存储终端身份令牌,也可建立如上所述的终端身份令牌表,其中可记录有终端标识与终端身份令牌的对应关系。这样,若在图5所示的步骤503或图6所示的步骤603中经判断确定业务认证中心是一级业务认证中心,则一级业务认证中心在从Cookie中取得终端标识后,可首先判断所需的终端身份令牌是否存储在一级业务认证中心本地:若没有,则可根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌;若有,则可省略请求终端归属的二级业务认证中心提供终端身份令牌的过程。另一方面,在业务认证中心是二级业务认证中心的情况下,在图5所示的方法中,该二级业务认证中心从Cookie中取得终端标识后,可判断所需的终端身份令牌是否存储在其本地,若有,则可省略之后经由一级业务认证中心请求终端归属的二级业务认证中心提供终端身份令牌的过程;在图6所示的方法中,一级业务认证中心从接收自二级业务认证中心的Cookie中取得终端标识之后,若判断所需的终端身份令牌已存储在一级业务认证中心,则可省略请求终端归属的二级业务认证中心提供终端身份令牌的过程。
也可类似地建立安全传输信道来进行终端标识和/或终端身份令牌的传输。作为一个示例,安全传输信道可以是VPN,例如SSL安全隧道。
根据一个实施例,由WLAN门户服务器向终端发送的Cookie可包含经过加密的终端标识。可以理解,在终端标识经加密的情况下,由于图6所示的方法中是由一级业务认证中心从Cookie中取得终端标识,因此,二级业务认证中心不需要保存解密所需的密钥Ka(对称密码算法)或私钥Ks(非对称密码算法),因此可降低二级业务认证中心的数据存储量和运算量。
可以理解,在图5和图6所示的方法中,也可进一步包括业务认证中心向终端发送改写的Cookie来替换之前由门户服务器提供的Cookie的步骤,其中,改写的Cookie可包含业务认证中心标识以及与终端标识相对应的终端标识索引。需要说明的是,在根据图6所示的方法中,如果业务认证中心是二级业务认证中心,虽然由一级业务认证中心从Cookie中取得终端标识,但在一级业务认证中心向二级业务认证中心发送终端身份令牌时,也可将终端标识发送至该二级业务认证中心。因此,业务认证中心可在获取了终端标识之后,将终端标识进行存储,并为每个终端标识分配终端标识索引。
在以上参照图3至图6描述的方法中,业务认证中心在获取终端身份令牌后,将其发送给应用***。作为一种选择,在业务认证中心可通过例如配置终端身份令牌表存储获取的终端身份令牌的情况下,业务认证中心可为存储的每个终端身份令牌设置对应的终端身份令牌编号。图7示出了根据这一实施方案的方法,在门户服务器向已通过WLAN接入认证的终端发送Cookie的步骤701、业务认证中心根据终端中的Cookie确定终端已通过WLAN接入认证的步骤702、业务认证中心获取到终端身份令牌的步骤703之后,业务认证中心不直接向应用***发送终端身份令牌,而是将终端身份令牌进行存储,例如,存储在终端身份令牌表中,并为其设置对应的终端身份令牌编号。因此,业务认证中心向应用***发送的是终端身份令牌编号(步骤704)而并非直接发送终端身份令牌。应用***在接收到终端身份令牌编号后,与业务认证中心建立安全传输信道,向业务认证中心提供终端身份令牌编号,由业务认证中心从终端身份令牌表中查找到对应的终端身份令牌,再经由上述安全传输信道将终端身份令牌发送给应用***(步骤705)。作为一个示例,可在业务认证中心与应用***之间建立VPN来传输终端身份令牌,例如SSL安全隧道。应用***得到终端身份令牌后,可根据终端身份令牌向终端提供业务访问(步骤706)。
如之前描述过的那样,业务认证中心可以将终端身份令牌经由终端发送给应用***,以便于应用***向该终端提供所需的业务访问。但是通常情况下,业务认证中心与终端之间的传输信道以及终端与应用***之间的传输信道安全性较差,因此,传输终端身份令牌可能会产生终端身份令牌被窃取的安全隐患。而根据图7所示的方法,业务认证中心经由终端向应用***发送的信息只是终端身份令牌编号,而终端身份令牌是在安全传输信道中进行传输的,因而改善了安全性。
为了便于理解,下面参照图8和图9,以两个具体应用场景为例来说明根据本申请实施例的基于WLAN接入认证的业务访问方法的详细处理过程。
图8表示的是终端a在经过WLAN接入认证后访问一级应用***A的一个示例性场景,其中,一级应用***A与一级业务认证中心1相关联,二级业务认证中心2与记录有终端a的信息的终端数据库B相关联,即,终端a归属于二级业务认证中心2。在终端a的WLAN接入认证过程中,WLAN门户服务器向通过了WLAN接入认证的终端a发送包含接入认证通过标志和经加密的终端标识的Cookie。图8所示的处理流程如下:
步骤801:终端a向一级应用***A发起业务访问请求;
步骤802:一级应用***A检查是否具有终端a的终端身份令牌,如果有,则跳转到步骤814;
步骤803:一级应用***A将终端a的业务访问请求重定向至一级业务认证中心1;
步骤804:一级业务认证中心1根据终端a中的Cookie是否具有接入认证通过标志,判断终端a是否已通过WLAN接入认证,若通过WLAN接入认证,则对Cookie中的加密的终端标识进行解密,取得终端标识,存储终端标识并为其设置对应的终端标识索引,若未通过WLAN接入认证,则执行终端a的WLAN接入认证过程;
步骤805:一级业务认证中心1与二级业务认证中心2建立安全传输信道,向二级业务认证中心2发送终端标识,请求终端身份令牌;
步骤806:二级业务认证中心2向终端数据库B发出终端身份令牌请求;
步骤807:终端数据库B向二级业务认证中心2发送终端身份令牌;
步骤808:二级业务认证中心2通过步骤805建立的安全传输信道,向一级业务认证中心1发送终端身份令牌;
步骤809:一级业务认证中心1存储终端身份令牌,为终端身份令牌设置终端身份令牌编号,生成包含一级业务认证中心1的标识和终端标识索引的新的Cookie;
步骤810:一级业务认证中心1将终端a的业务访问请求重定向至一级应用***A,在此过程中,向一级应用***A发送终端身份令牌编号,向终端a发送新的Cookie来替换之前由门户服务器提供的Cookie;
步骤811:一级应用***A与一级业务认证中心1建立安全传输信道,向一级业务认证中心1发送终端身份令牌编号以请求终端身份令牌;
步骤812:一级业务认证中心1根据终端身份令牌编号获取终端身份令牌;
步骤813:一级业务认证中心1通过步骤811中建立的安全传输信道向一级应用***A发送终端身份令牌;
步骤814:一级应用***A根据终端身份令牌为终端a提供业务访问。
图9表示的是终端a在经过WLAN接入认证后访问二级应用***A’的一个示例性场景,其中,二级应用***A’与二级业务认证中心3相关联,二级业务认证中心3与一级业务认证中心1相关联。二级业务认证中心2与记录有终端a的信息的终端数据库B相关联,即,终端a归属于二级业务认证中心2。在终端a的WLAN接入认证过程中,WLAN门户服务器向通过了WLAN接入认证的终端a发送包含接入认证通过标志和经加密的终端标识的Cookie。图9所示的处理流程如下:
步骤901:终端a向二级应用***A’发起业务访问请求;
步骤902:二级应用***A’检查是否具有终端a的终端身份令牌,如果有,则跳转到步骤917;
步骤903:二级应用***A’将终端a的业务访问请求重定向至二级业务认证中心3;
步骤904:二级业务认证中心3根据终端a中的Cookie是否具有接入认证通过标志,判断终端a是否已通过WLAN接入认证,若未通过WLAN接入认证,则执行终端a的WLAN接入认证过程;
步骤905:二级业务认证中心3向一级业务认证中心1发送Cookie,请求一级业务认证中心1提供终端身份令牌;
步骤906:一级业务认证中心1对Cookie中的加密的终端标识进行解密,取得终端标识,存储终端标识;
步骤907:一级业务认证中心1与二级业务认证中心2建立安全传输信道,向二级业务认证中心2发送终端标识,请求终端身份令牌;
步骤908:二级业务认证中心2向终端数据库B发出终端身份令牌请求;
步骤909:终端数据库B向二级业务认证中心2发送终端身份令牌;
步骤910:二级业务认证中心2通过步骤907中建立的安全传输信道,向一级业务认证中心1发送终端身份令牌;
步骤911:一级业务认证中心1向二级业务认证中心3发送终端身份令牌和终端标识;
步骤912:二级业务认证中心3存储终端身份令牌和终端标识,为终端身份令牌设置终端身份令牌编号,为终端标识设置终端标识索引,生成包含二级业务认证中心3的标识和终端标识索引的新的Cookie;
步骤913:二级业务认证中心3将终端a的业务访问请求重定向至二级应用***A’,在此过程中,向二级应用***A’发送终端身份令牌编号,向终端a发送新的Cookie来替换之前由门户服务器提供的Cookie;
步骤914:二级应用***A’与二级业务认证中心3建立安全传输信道,向二级业务认证中心3发送终端身份令牌编号以请求终端身份令牌;
步骤915:二级业务认证中心3根据终端身份令牌编号获取终端身份令牌;
步骤916:二级业务认证中心3通过步骤914中建立的安全传输信道向二级应用***A’发送终端身份令牌;
步骤917:二级应用***A’根据终端身份令牌为终端a提供业务访问。
以上参照附图对本申请的示例性的实施方案进行了描述。本领域技术人员应该理解,上述实施方案仅仅是为了说明的目的而所举的示例,而不是用来进行限制。凡在本申请的教导和权利要求保护范围下所作的任何修改、等同替换等,均应包含在本申请要求保护的范围内。
Claims (6)
1.一种基于WLAN接入认证的业务访问方法,包括:
在终端进行WLAN接入认证过程中,WLAN门户服务器向已通过WLAN接入认证的终端发送第一Cookie;
终端请求访问应用***的业务,与应用***关联的业务认证中心根据第一Cookie,确定终端已通过WLAN接入认证;
所述关联的业务认证中心通过第一Cookie获取终端身份令牌;
所述关联的业务认证中心将所获取的终端身份令牌发送给应用***;以及
应用***根据终端身份令牌向终端提供业务访问,
其特征在于,第一Cookie包含接入认证通过标志和终端标识,所述关联的业务认证中心通过第一Cookie获取终端身份令牌的步骤包括:所述关联的业务认证中心从第一Cookie中取得终端标识,根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌,
所述方法进一步包括:所述关联的业务认证中心在从第一Cookie中取得终端标识之后,存储终端标识,为终端标识分配终端标识索引,向终端发送包含所述关联的业务认证中心的标识和终端标识索引的第二Cookie来替换第一Cookie。
2.如权利要求1所述的方法,其中,第一Cookie中包含的终端标识经过加密。
3.如权利要求1或2所述的方法,若所述关联的业务认证中心是一级业务认证中心,则所述关联的业务认证中心通过第一Cookie获取终端身份令牌的步骤包括:所述关联的业务认证中心从第一Cookie中取得终端标识,根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌;
若所述关联的业务认证中心是二级业务认证中心,则所述关联的业务认证中心通过第一Cookie获取终端身份令牌的步骤包括:所述关联的业务认证中心经由一级业务认证中心,通过第一Cookie请求终端归属的二级业务认证中心提供终端身份令牌。
4.如权利要求3所述的方法,在所述关联的业务认证中心是二级业务认证中心的情况下,所述关联的业务认证中心通过第一Cookie获取终端身份令牌的步骤包括:所述关联的业务认证中心将第一Cookie发送至一级业务认证中心,一级业务认证中心从第一Cookie中取得终端标识,根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌,并向所述关联的业务认证中心发送终端身份令牌和终端标识。
5.如权利要求3所述的方法,在所述关联的业务认证中心是二级业务认证中心的情况下,所述关联的业务认证中心通过第一Cookie获取终端身份令牌的步骤包括:所述关联的业务认证中心从第一Cookie中取得终端标识,将终端标识发送至一级业务认证中心,一级业务认证中心根据终端标识请求终端归属的二级业务认证中心提供终端身份令牌,并向所述关联的业务认证中心发送终端身份令牌。
6.如权利要求1所述的方法,其中,业务认证中心能够存储终端身份令牌,以及能够为每个终端身份令牌设置对应的终端身份令牌编号,所述关联的业务认证中心将所获取的终端身份令牌发送给应用***的步骤进一步包括:
所述关联的业务认证中心向应用***发送终端身份令牌编号;
应用***经由安全传输信道,请求所述关联的业务认证中心根据终端身份令牌编号提供对应的终端身份令牌。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910169686.6A CN101998407B (zh) | 2009-08-31 | 2009-08-31 | 基于wlan接入认证的业务访问方法 |
| PCT/CN2010/001327 WO2011022950A1 (zh) | 2009-08-31 | 2010-08-31 | 基于wlan接入认证的业务访问方法、***及装置 |
| RU2012108415/08A RU2573212C2 (ru) | 2009-08-31 | 2010-08-31 | Способ доступа к службам, системам и устройствам на основе аутентификации доступа wlan |
| KR1020127008361A KR101442136B1 (ko) | 2009-08-31 | 2010-08-31 | Wlan 접속 인증을 기반으로 하는 서비스에 액세스하는 방법, 시스템 및 장치 |
| EP10811116.2A EP2475194B1 (en) | 2009-08-31 | 2010-08-31 | Service access method, system and device based on wlan access authentication |
| US13/393,162 US20120198539A1 (en) | 2009-08-31 | 2010-08-31 | Service Access Method, System and Device Based on WLAN Access Authentication |
| JP2012525856A JP2013503514A (ja) | 2009-08-31 | 2010-08-31 | Wlanアクセス認証に基づくサービスアクセス方法、システム及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910169686.6A CN101998407B (zh) | 2009-08-31 | 2009-08-31 | 基于wlan接入认证的业务访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101998407A CN101998407A (zh) | 2011-03-30 |
| CN101998407B true CN101998407B (zh) | 2014-07-02 |
Family
ID=43787783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910169686.6A Expired - Fee Related CN101998407B (zh) | 2009-08-31 | 2009-08-31 | 基于wlan接入认证的业务访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101998407B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254386B (zh) * | 2011-09-20 | 2019-07-05 | 中兴通讯股份有限公司 | 一种信息处理方法和名字映射服务器 |
| CN103067337B (zh) * | 2011-10-19 | 2017-02-15 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及*** |
| US9015817B2 (en) * | 2013-04-03 | 2015-04-21 | Symantec Corporation | Resilient and restorable dynamic device identification |
| CN104270404B (zh) * | 2014-08-29 | 2018-09-04 | 小米科技有限责任公司 | 一种基于终端标识的登录方法及装置 |
| CN106790331B (zh) * | 2015-11-23 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种业务接入方法、***及相关装置 |
| US10984078B2 (en) | 2018-07-16 | 2021-04-20 | Vmware, Inc. | Systems and methods for improved authentication |
| CN110958119A (zh) * | 2019-10-25 | 2020-04-03 | 泰康保险集团股份有限公司 | 身份验证方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
| CN101399724A (zh) * | 2007-09-28 | 2009-04-01 | 中国电信股份有限公司 | 面向用户的网络接入和业务使用的一次认证方法 |
-
2009
- 2009-08-31 CN CN200910169686.6A patent/CN101998407B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
| CN101399724A (zh) * | 2007-09-28 | 2009-04-01 | 中国电信股份有限公司 | 面向用户的网络接入和业务使用的一次认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101998407A (zh) | 2011-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107770182B (zh) | 家庭网关的数据存储方法及家庭网关 | |
| CN103873454B (zh) | 一种认证方法及设备 | |
| CN101998407B (zh) | 基于wlan接入认证的业务访问方法 | |
| CN104852925B (zh) | 移动智能终端数据防泄漏安全存储、备份方法 | |
| KR101442136B1 (ko) | Wlan 접속 인증을 기반으로 하는 서비스에 액세스하는 방법, 시스템 및 장치 | |
| US8527762B2 (en) | Method for realizing an authentication center and an authentication system thereof | |
| US8984295B2 (en) | Secure access to electronic devices | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和*** | |
| CN103036867A (zh) | 基于相互认证的虚拟专用网络服务设备和方法 | |
| KR20160123069A (ko) | 단말의 통합 인증 방법 및 그 장치 | |
| EP1999567A2 (en) | Proactive credential distribution | |
| CN104756458A (zh) | 用于保护通信网络中的连接的方法和设备 | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN107920081A (zh) | 登录认证方法及装置 | |
| US20170289159A1 (en) | Security support for free wi-fi and sponsored connectivity for paid wi-fi | |
| CN106911702A (zh) | 基于改进cp‑abe的云存储分组加密访问控制方法 | |
| CN103152326A (zh) | 一种分布式认证方法及认证*** | |
| CN101998406B (zh) | 基于wlan接入认证的业务访问方法 | |
| CN105915566A (zh) | 用于实时账户访问的安全*** | |
| CN109413648A (zh) | 访问控制方法、终端、智能卡、后台服务器及存储介质 | |
| CN104243435A (zh) | 一种基于OAuth的HTTP协议的通讯方法 | |
| CN103428176A (zh) | 移动用户访问移动互联网应用的方法、***及应用服务器 | |
| WO2017005962A1 (en) | Two-user authentication | |
| Wang et al. | Secure and efficient control transfer for IoT devices | |
| CN101998405A (zh) | 基于wlan接入认证的业务访问方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140702 Termination date: 20210831 |