CN106375348A - 一种Portal认证方法和装置 - Google Patents
一种Portal认证方法和装置 Download PDFInfo
- Publication number
- CN106375348A CN106375348A CN201611025251.0A CN201611025251A CN106375348A CN 106375348 A CN106375348 A CN 106375348A CN 201611025251 A CN201611025251 A CN 201611025251A CN 106375348 A CN106375348 A CN 106375348A
- Authority
- CN
- China
- Prior art keywords
- password
- authentication
- user name
- client
- random parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供了一种门户Portal认证方法和装置,应用于Portal服务器。其中的方法包括:在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。本申请实施例提高了Portal认证的安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种Portal认证方法和装置。
背景技术
Portal(门户)认证通常也称为Web(网页)认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证。在采用了Portal认证的组网环境中,未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务;当用户需要使用互联网中的其它信息时,必须在Portal服务器提供的网站上进行Portal认证,只有认证通过后才可以使用这些互联网资源。
具体地,实现Portal认证的过程为:认证客户端(下文简称客户端)关联接入设备,访问任意URL(Uniform Resoure Locator,统一资源定位符);接入设备通过与Portal服务器进行交互,向客户端推送认证用户名和密码的页面;Portal服务器收到用户输入的用户名和密码后,将该信息组装成Portal协议报文发送给接入设备;接入设备与认证服务器交互,并在认证通过后将认证结果通知Portal服务器;最后,Portal服务器向客户端推送认证通过的页面。
可见,在上述Portal认证过程中,仅对用户名和密码进行身份认证,安全性较低。
发明内容
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的Portal认证方法和装置,提高了Portal认证的安全性。
本申请实施例公开了一种Portal认证方法,应用于Portal服务器,所述方法包括:
在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;
接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;
根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。
另一方面,本申请实施例公开了一种Portal认证装置,应用于Portal服务器,所述装置包括:
随机参数发送模块,用于在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;
认证请求接收模块,用于接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;
认证结果获取模块,用于根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。
本申请实施例包括以下优点:
本申请实施例在Portal服务器接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应,并且在接收到来自所述客户端针对所述网络访问响应返回的认证请求之后,根据所述认证请求中的用户名、密码和随机参数,获取针对所述认证请求的认证响应结果,以及将所述认证响应结果返回给所述客户端。其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值。本申请实施例在对用户名和密码进行认证的基础上,增加了签名验证过程,提高了Portal认证的安全性。
附图说明
图1是本申请其中一个实施例的一种Portal认证方法的步骤流程图;
图2是本申请其中一个应用示例的一种Portal认证方法的流程示意图;
图3是本申请另一应用示例的一种Portal认证方法的流程示意图;
图4是本申请一示例性实施例示出的Portal认证装置所应用的设备的硬件结构示意图;
图5是本申请其中一个实施例的一种Portal认证装置的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
参照图1,示出了本申请其中一个实施例的一种Portal认证方法的步骤流程图,应用于Portal服务器,所述方法具体可以包括:
步骤101、在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;
本申请实施例可适用于包括认证客户端(下文简称客户端)、接入设备、Portal服务器以及认证服务器的***环境中,具体地,本申请实施例可应用于Portal服务器。可选地,所述网络访问请求具体可以为HTTP(HyperText Transfer Protocol,超文本传输协议)请求或者HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,安全的超文本传输协议)请求。其中,所述客户端具体可以为可运行HTTP/HTTPS浏览器或运行Portal客户端软件的主机。所述接入设备具体可以为交换机、路由器等,用于将来自客户端的HTTP/HTTPS请求重定向到Portal服务器,通过与Portal服务器和认证服务器的交互完成客户端的Portal认证。
为便于说明,本申请实施例中均以手机作为客户端、AC(Access Controller,接入控制器)作为接入设备、AAA(Authentication、Authorization、Accounting,验证、授权和记账)服务器作为认证服务器进行说明。当用户通过手机中的浏览器访问任意网站时(即客户端发起网络访问请求),AC将该网络访问请求重定向到Portal服务器,在Portal服务器接收到来自客户端的该网络访问请求时,Portal服务器可以生成并存储一个随机参数,以及向所述客户端返回携带有该随机参数的网络访问响应。可以理解,所述随机参数可以为一个包含数字、字母等的随机字符串,本申请实施例对于随机参数的具体形式不加以限制。
步骤102、接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;
在本申请实施例中,Portal服务器针对客户端的网络访问请求返回的网络访问响应可以包括认证页面,可以通过该认证页面的html(HyperText Markup Language,超文本标记语言)地址传递所述随机串参数,并且可以在该认证页面中设置一键登录按钮,用户在认证页面中直接点击该一键登录按钮,即可完成认证请求的触发操作,而不用手动输入用户名和密码,为用户的操作带来极大的便利。
在具体应用中,可以预先在客户端中存储有该客户端的数字证书编号,以及数字证书编号对应的用户证书。在本申请的一种应用示例中,用户通过手机浏览器访问任意网站,并且接收到Portal服务器返回的携带有随机参数的网络访问响应(如认证页面),当用户在认证页面中点击一键登录按钮时,手机浏览器首先获取该客户端的数字证书编号,将该数字证书编号作为该客户端的用户名,以及获取该数字证书编号对应的用户证书,根据该用户证书的私钥以及预置签名算法对该随机参数生成签名值,将该签名值作为该客户端的密码,然后,向Portal服务器发送携带有该客户端的用户名、密码和所述随机参数的认证请求,以使Portal服务器可以根据该认证请求中携带的客户端的用户名、密码和随机参数完成对该客户端的Portal认证。可以理解,所述预置签名算法具体可以包括RSA、SM4等签名算法,本申请对于具体的签名算法不加以限制。
步骤103、根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。
在本申请实施例中,可以提供如下两种获取针对所述认证请求的认证响应结果的可选方案。
方案一
Portal服务器在接收到来自所述客户端针对所述网络访问响应返回的认证请求之后,首先和AAA服务器进行交互,对所述认证请求中的密码进行签名验证,如果所述密码通过签名验证,Portal服务器再与AC、以及AAA服务器进行交互,对所述认证请求中的用户名和密码进行身份验证,如果所述用户名和密码通过身份验证,则可以确定所述认证请求的认证响应结果为认证通过。
具体地,本方案的根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果的步骤,可以包括:
步骤S11、根据所述用户名和所述随机参数,按照预设规则对所述密码进行签名验证;
步骤S12、若所述密码未通过签名验证,则确定针对所述认证请求的认证响应结果为认证未通过;
步骤S13、若所述密码通过签名验证,则从接入设备获取挑战字后,通过所述接入设备将所述用户名和所述密码发送至认证服务器进行身份验证;
步骤S14、若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证通过;
步骤S15、若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码未通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证未通过。
在本方案中,增加了对签名值的验证过程,可以提高Portal认证的安全性。此外,如果所述签名值未通过验证,则可以直接确定所述认证请求的认证响应结果为认证未通过,而不用再执行后续的用户名和密码的身份验证过程,简化了Portal认证流程,可以提高Portal认证的效率。
其中,所述根据所述随机参数,按照预设规则对所述密码进行签名验证的步骤,具体可以包括:
步骤S21、根据所述用户名从数字证书服务器获取所述用户名对应的数字证书;
步骤S22、根据获取的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文;
步骤S23、判断所述明文与所述随机参数是否一致,若一致,则确定所述密码通过签名验证;否则,确定所述密码未通过签名验证。
Portal服务器接收到来自所述客户端针对所述网络访问响应返回的认证请求之后,可以根据认证请求中携带的用户名在数字证书服务器中查询得到所述用户名对应的数字证书,并且根据获取的数字证书的公钥以及预置签名算法对所述密码进行处理,得到所述密码对应的明文;如果所述明文与所述随机参数一致,则可以确定所述密码通过签名验证,如果所述明文与所述随机参数不一致,则确定所述密码未通过签名验证。可以理解,所述数字证书服务器可以单独存在,也可以集成在认证服务器上。
如果所述密码通过签名验证,则Portal服务器通过AC将所述用户名和密码发送至AAA服务器进行身份验证,对所述用户名和密码进行身份验证可以采用已有的身份验证方法,Portal服务器接收来自AC转发的AAA服务器针对所述用户名和密码的身份验证结果,若所述用户名和密码通过身份验证,则Portal服务器向客户端返回的认证响应结果为认证通过,否则,Portal服务器向客户端返回的认证响应结果为认证未通过。
为了更清楚地描述本方案的实现过程,下面结合具体示例说明本申请的Portal认证方法的具体过程。参照图2,示出了本申请其中一个应用示例的一种Portal认证方法的流程示意图,具体步骤如下:
步骤A1、用户通过手机浏览器访问任意网站(即发起网络访问请求),AC将该网络访问请求重定向到Portal服务器;
步骤A2、Portal服务器针对该网络访问请求生成一个随机参数,并存储该随机参数,Portal服务器将该随机参数随着认证页面一起返回给手机浏览器;
步骤A3、当用户在手机浏览器的认证页面中点击一键登录按钮时,手机浏览器将该随机参数做为入参调用预置的安全模块,所述安全模块用于获取该手机进行Portal认证的用户名和密码。具体地,安全模块读取该手机的数字证书编号以及对应的用户证书,将数字证书编号作为用户名,以及根据用户证书的私钥,按照预置签名算法对随机参数进行签名得到签名值,将签名值作为密码。手机浏览器向Portal服务器提交携带有所述用户名、密码和随机参数的认证请求。
步骤A4、Portal服务器接收到该认证请求之后,根据其中的用户名在AAA服务器(或者数字证书服务器)中查询得到该用户名对应的数字证书,根据该数字证书的公钥,按照预置签名验证算法对该认证请求中的密码进行处理,得到该密码对应的明文,判断该明文与该认证请求中的随机参数是否一致,若一致,则确定该密码通过签名验证,执行步骤A5;否则,确定该密码未通过签名验证,向用户返回认证未通过的认证响应结果;
步骤A5、Portal服务器向AC请求Challenge(挑战字);
步骤A6、Portal服务器接收AC分配的Challenge;
步骤A7、Portal服务器向AC发送所述用户名和所述密码以进行身份验证;所述用户名为证书编号,密码为签名值;
步骤A8、AC与AAA服务器进行Radius协议认证交互,对所述用户名和密码进行身份验证;如果所述用户名和密码通过身份验证,则AC获取的认证响应结果为认证通过,否则认证响应结果为认证未通过;
步骤A9、AC向Portal服务器返回获取得到的认证响应结果;
步骤A10、Portal服务器将认证响应结果返回给手机浏览器;
步骤A11、若认证响应结果为认证通过,手机浏览器显示登录成功,用户可以访问互联网;否则,手机浏览器显示登录失败,用户不能访问互联网。
方案二
为了减轻Portal服务器的负担,本方案在Portal服务器接收到来自所述客户端针对所述网络访问响应返回的认证请求之后,Portal服务器可以直接通过AC将所述认证请求发送至AAA服务器,由AAA服务器对所述用户名和密码进行身份验证,以及对所述密码进行签名验证,Portal服务器只需接收来自AC转发的AAA的认证响应结果即可。
具体地,本方案的根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果的步骤,可以包括:
步骤S31、从接入设备获取挑战字后,通过所述接入设备将所述用户名、所述密码和所述随机参数发送至认证服务器进行身份验证;
步骤S32、接收所述接入设备转发的来自所述认证服务器的针对所述认证请求的认证响应结果;
其中,所述认证响应结果为所述认证服务器根据获取的所述用户名对应的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文,并在判断出所述明文与所述随机参数一致时,确定所述用户名和所述密码通过身份验证后返回的,或者在判断出所述明文与所述随机参数不一致时,确定所述用户名和所述密码未通过身份验证后返回的。
具体地,当所述用户名和密码通过身份验证并且所述密码通过签名验证时,可以确定所述认证响应结果为认证通过。
在本方案中,Portal服务器在接收到来自所述客户端针对所述网络访问响应返回的认证请求之后,可以直接通过AC将携带有所述用户名、密码和随机参数的认证请求发送至AAA服务器,以使AAA认证服务器对所述用户名和密码进行身份验证,以及对所述签名值进行签名验证。
AAA服务器接收到所述认证请求之后,根据所述认证请求中的用户名在本地(或者数字证书服务器)中查询得到所述用户名对应的数字证书,并且根据获取的数字证书的公钥以及预置签名算法对所述密码进行处理,得到所述密码对应的明文;如果所述明文与所述随机参数一致,则可以确定所述密码通过签名验证,如果所述明文与所述随机参数不一致,则确定所述密码未通过签名验证。如果所述密码未通过签名验证,则可以直接返回认证未通过的认证响应结果,如果所述密码通过签名验证,则继续对所述用户名和密码进行身份验证;若所述用户名和密码通过身份验证,则AAA认证服务器返回认证通过的认证响应结果,否则,AAA服务器返回认证未通过的认证响应结果。
为了更清楚地描述本方案的实现过程,下面结合具体示例说明本申请的Portal认证方法的具体过程。参照图3,示出了本申请另一应用示例的一种Portal认证方法的流程示意图,具体步骤如下:
步骤B1、用户通过手机浏览器访问任意网站(即发起网络访问请求),AC将该网络访问请求重定向到Portal服务器;
步骤B2、Portal服务器针对该网络访问请求生成一个随机参数,并存储该随机参数,Portal服务器将该随机参数随着认证页面一起返回给手机浏览器;
步骤B3、当用户在手机浏览器的认证页面中点击一键登录按钮时,手机浏览器将该随机参数做为入参调用预置的安全模块,安全模块读取该手机的数字证书编号以及对应的用户证书,将数字证书编号作为用户名,以及根据用户证书的私钥,按照预置签名算法对随机参数进行签名得到签名值,将签名值作为密码。手机浏览器向Portal服务器提交携带有所述用户名、密码和随机参数的认证请求;
步骤B4、Portal服务器接收到该认证请求之后,向AC请求Challenge;
步骤B5、Portal服务器接收AC分配的Challenge;
步骤B6、Portal服务器向AC发送携带有所述用户名、所述密码和所述随机参数的认证请求;
步骤B7、AC接收到来自Portal服务器的认证请求之后,与AAA服务器进行Radius协议认证交互,对所述用户名和密码进行身份验证以及对所述密码进行签名验证;
步骤B8、AAA服务器根据所述认证请求中的用户名在本地(或者数字证书服务器)中查询得到所述用户名对应的数字证书,并且根据获取的数字证书的公钥以及预置签名算法对所述密码进行处理,得到所述密码对应的明文;如果所述明文与所述随机参数一致,则可以确定所述密码通过签名验证,如果所述明文与所述随机参数不一致,则确定所述密码未通过签名验证;如果所述密码未通过签名验证,则可以直接返回认证未通过的认证响应结果,如果所述密码通过签名验证,则继续对所述用户名和密码进行身份验证;若所述用户名和密码通过身份验证,则AAA认证服务器返回认证通过的认证响应结果,否则,AAA服务器返回认证未通过的认证响应结果;
步骤B9、AAA服务器向AC返回认证响应结果;
步骤B10、AC向Portal服务器返回认证响应结果;
步骤B11、Portal服务器将认证响应结果返回给手机浏览器;
步骤B12、若认证响应结果为认证通过,手机浏览器显示登录成功,用户可以访问互联网;否则,手机浏览器显示登录失败,用户不能访问互联网。
本申请实施例可以预先在客户端和AAA服务器中存储有相同证书编号对应的相同的用户证书,这样,当客户端发送认证请求时无需输入用户名和密码,而是将该客户端的数字证书编号作为用户名、将根据用户证书的私钥和随机参数生成的签名值作为密码,不仅简化了用户操作,而且提高了用户名和密码的安全性。
综上,本申请实施例在Portal服务器接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应,并且在接收到来自所述客户端针对所述网络访问响应返回的认证请求之后,根据所述认证请求中的用户名、密码和随机参数,获取针对所述认证请求的认证响应结果,以及将所述认证响应结果返回给所述客户端。其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值。本申请实施例在对用户名和密码进行认证的基础上,增加了签名验证过程,提高了Portal认证的安全性。此外,本申请实施例在提交认证请求时,将证书编号作为用户名、将签名值作为密码,无需在每次Portal认证时手动输入用户名和密码,从而可以简化用户的操作,为用户的使用带来极大的便利。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
与前述Portal认证方法实施例相对应,本申请还提供了Portal认证装置实施例。请参考图4,本申请Portal认证装置60的实施例可以应用在Portal服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在Portal服务器的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图4所示,为本申请Portal认证装置60所在Portal服务器的一种硬件结构图,除了图4所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的Portal服务器通常根据其实际功能,还可以包括其他硬件,对此不再赘述。
参照图5,示出了本申请其中一个实施例的一种Portal认证装置的结构框图,所述装置应用于Portal服务器。在本申请实施例中,所述装置具体可以包括:
随机参数发送模块501,用于在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;
认证请求接收模块502,用于接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;
认证结果获取模块503,用于根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。
在本申请的一种可选实施例中,所述认证结果获取模块503,具体可以包括:
签名验证子模块,用于根据所述用户名和所述随机参数,按照预设规则对所述密码进行签名验证;
确定子模块,用于若所述密码未通过签名验证,则确定针对所述认证请求的认证响应结果为认证未通过;
第一发送子模块,用于若所述密码通过签名验证,则从接入设备获取挑战字后,通过所述接入设备将所述用户名和所述密码发送至认证服务器进行身份验证;
所述确定子模块,还用于若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证通过;
所述确定子模块,还用于若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码未通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证未通过。
在本申请的另一种可选实施例中,所述签名验证子模块,具体可以包括:
证书获取单元,用于根据所述用户名从数字证书服务器获取所述用户名对应的数字证书;
明文确定单元,用于根据获取的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文;
验证确定单元,用于判断所述明文与所述随机参数是否一致,若一致,则确定所述密码通过签名验证;否则,确定所述密码未通过签名验证。
在本申请的又一种可选实施例中,所述认证结果获取模块503,具体可以包括:
第二发送子模块,用于从接入设备获取挑战字后,通过所述接入设备将所述用户名、所述密码和所述随机参数发送至认证服务器进行身份验证;
结果接收子模块,用于接收所述接入设备转发的来自所述认证服务器的针对所述认证请求的认证响应结果;
其中,所述认证响应结果为所述认证服务器根据获取的所述用户名对应的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文,并在判断出所述明文与所述随机参数一致时,确定所述用户名和所述密码通过身份验证后返回的,或者在判断出所述明文与所述随机参数不一致时,确定所述用户名和所述密码未通过身份验证后返回的。
在本申请的再一种可选实施例中,所述网络访问请求为超文本传输协议HTTP请求或者安全的超文本传输协议HTTPS请求。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
以上对本申请所提供的一种Portal认证方法和装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种门户Portal认证方法,其特征在于,应用于Portal服务器,所述方法包括:
在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;
接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;
根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果的步骤,包括:
根据所述用户名和所述随机参数,按照预设规则对所述密码进行签名验证;
若所述密码未通过签名验证,则确定针对所述认证请求的认证响应结果为认证未通过;
若所述密码通过签名验证,则从接入设备获取挑战字后,通过所述接入设备将所述用户名和所述密码发送至认证服务器进行身份验证;
若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证通过;
若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码未通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证未通过。
3.根据权利要求2所述的方法,其特征在于,所述根据所述随机参数,按照预设规则对所述密码进行签名验证的步骤,包括:
根据所述用户名从数字证书服务器获取所述用户名对应的数字证书;
根据获取的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文;
判断所述明文与所述随机参数是否一致,若一致,则确定所述密码通过签名验证;否则,确定所述密码未通过签名验证。
4.根据权利要求1所述的方法,其特征在于,所述根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果的步骤,包括:
从接入设备获取挑战字后,通过所述接入设备将所述用户名、所述密码和所述随机参数发送至认证服务器进行身份验证;
接收所述接入设备转发的来自所述认证服务器的针对所述认证请求的认证响应结果;
其中,所述认证响应结果为所述认证服务器根据获取的所述用户名对应的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文,并在判断出所述明文与所述随机参数一致时,确定所述用户名和所述密码通过身份验证后返回的,或者在判断出所述明文与所述随机参数不一致时,确定所述用户名和所述密码未通过身份验证后返回的。
5.根据权利要求1所述的方法,其特征在于,所述网络访问请求为超文本传输协议HTTP请求或者安全的超文本传输协议HTTPS请求。
6.一种门户Portal认证装置,其特征在于,应用于Portal服务器,所述装置包括:
随机参数发送模块,用于在接收到来自客户端的网络访问请求时,向所述客户端返回携带有随机参数的网络访问响应;
认证请求接收模块,用于接收来自所述客户端针对所述网络访问响应返回的认证请求,所述认证请求中携带有所述客户端的用户名、密码和所述随机参数;其中,所述用户名为所述客户端的数字证书编号,所述密码为所述客户端根据所述随机参数生成的签名值;
认证结果获取模块,用于根据所述用户名、所述密码和所述随机参数,获取针对所述认证请求的认证响应结果,并将所述认证响应结果返回给所述客户端。
7.根据权利要求6所述的装置,其特征在于,所述认证结果获取模块,包括:
签名验证子模块,用于根据所述用户名和所述随机参数,按照预设规则对所述密码进行签名验证;
确定子模块,用于若所述密码未通过签名验证,则确定针对所述认证请求的认证响应结果为认证未通过;
第一发送子模块,用于若所述密码通过签名验证,则从接入设备获取挑战字后,通过所述接入设备将所述用户名和所述密码发送至认证服务器进行身份验证;
所述确定子模块,还用于若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证通过;
所述确定子模块,还用于若接收到所述接入设备转发的所述认证服务器确定所述用户名和所述密码未通过身份验证的验证结果,则确定针对所述认证请求的认证响应结果为认证未通过。
8.根据权利要求7所述的装置,其特征在于,所述签名验证子模块,包括:
证书获取单元,用于根据所述用户名从数字证书服务器获取所述用户名对应的数字证书;
明文确定单元,用于根据获取的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文;
验证确定单元,用于判断所述明文与所述随机参数是否一致,若一致,则确定所述密码通过签名验证;否则,确定所述密码未通过签名验证。
9.根据权利要求6所述的装置,其特征在于,所述认证结果获取模块,包括:
第二发送子模块,用于从接入设备获取挑战字后,通过所述接入设备将所述用户名、所述密码和所述随机参数发送至认证服务器进行身份验证;
结果接收子模块,用于接收所述接入设备转发的来自所述认证服务器的针对所述认证请求的认证响应结果;
其中,所述认证响应结果为所述认证服务器根据获取的所述用户名对应的数字证书的公钥,按照预置签名验证算法对所述密码进行处理,得到所述密码对应的明文,并在判断出所述明文与所述随机参数一致时,确定所述用户名和所述密码通过身份验证后返回的,或者在判断出所述明文与所述随机参数不一致时,确定所述用户名和所述密码未通过身份验证后返回的。
10.根据权利要求7所述的装置,其特征在于,所述网络访问请求为超文本传输协议HTTP请求或者安全的超文本传输协议HTTPS请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611025251.0A CN106375348B (zh) | 2016-11-17 | 2016-11-17 | 一种Portal认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611025251.0A CN106375348B (zh) | 2016-11-17 | 2016-11-17 | 一种Portal认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106375348A true CN106375348A (zh) | 2017-02-01 |
| CN106375348B CN106375348B (zh) | 2019-12-27 |
Family
ID=57892686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611025251.0A Active CN106375348B (zh) | 2016-11-17 | 2016-11-17 | 一种Portal认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106375348B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483475A (zh) * | 2017-09-06 | 2017-12-15 | 上海尚渝网络科技有限公司 | 大并发量下的网络认证***及其方法 |
| CN109547451A (zh) * | 2018-11-30 | 2019-03-29 | 四川长虹电器股份有限公司 | 基于tee的可信认证服务认证的方法 |
| CN110166471A (zh) * | 2019-05-28 | 2019-08-23 | 杭州迪普科技股份有限公司 | 一种Portal认证方法及装置 |
| CN110708156A (zh) * | 2019-09-26 | 2020-01-17 | 中电万维信息技术有限责任公司 | 一种通信方法、客户端及服务器 |
| CN112019493A (zh) * | 2019-05-31 | 2020-12-01 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
| CN112565213A (zh) * | 2020-11-25 | 2021-03-26 | 青岛海尔科技有限公司 | 认证方法及装置、存储介质、电子装置 |
| CN114944927A (zh) * | 2022-03-17 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于Portal认证的无客户端互斥访问平台 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1503525A (zh) * | 2002-11-26 | 2004-06-09 | 华为技术有限公司 | 实现安全性认证的ip网络***及其方法 |
| CN1567294A (zh) * | 2003-06-14 | 2005-01-19 | 华为技术有限公司 | 一种对用户进行认证的方法 |
| CN101179387A (zh) * | 2007-12-12 | 2008-05-14 | 江苏省电力公司 | 基于数字证书和多级域下的统一身份管理和认证方法 |
| CN101557406A (zh) * | 2009-06-01 | 2009-10-14 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及*** |
| CN101783806A (zh) * | 2010-03-15 | 2010-07-21 | 杭州华三通信技术有限公司 | 一种Portal证书认证方法及其装置 |
| CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、***及认证服务器 |
-
2016
- 2016-11-17 CN CN201611025251.0A patent/CN106375348B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1503525A (zh) * | 2002-11-26 | 2004-06-09 | 华为技术有限公司 | 实现安全性认证的ip网络***及其方法 |
| CN1567294A (zh) * | 2003-06-14 | 2005-01-19 | 华为技术有限公司 | 一种对用户进行认证的方法 |
| CN101179387A (zh) * | 2007-12-12 | 2008-05-14 | 江苏省电力公司 | 基于数字证书和多级域下的统一身份管理和认证方法 |
| CN101557406A (zh) * | 2009-06-01 | 2009-10-14 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及*** |
| CN101783806A (zh) * | 2010-03-15 | 2010-07-21 | 杭州华三通信技术有限公司 | 一种Portal证书认证方法及其装置 |
| CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、***及认证服务器 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483475A (zh) * | 2017-09-06 | 2017-12-15 | 上海尚渝网络科技有限公司 | 大并发量下的网络认证***及其方法 |
| CN109547451A (zh) * | 2018-11-30 | 2019-03-29 | 四川长虹电器股份有限公司 | 基于tee的可信认证服务认证的方法 |
| CN110166471A (zh) * | 2019-05-28 | 2019-08-23 | 杭州迪普科技股份有限公司 | 一种Portal认证方法及装置 |
| CN112019493A (zh) * | 2019-05-31 | 2020-12-01 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
| CN112019493B (zh) * | 2019-05-31 | 2024-04-09 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
| CN110708156A (zh) * | 2019-09-26 | 2020-01-17 | 中电万维信息技术有限责任公司 | 一种通信方法、客户端及服务器 |
| CN112565213A (zh) * | 2020-11-25 | 2021-03-26 | 青岛海尔科技有限公司 | 认证方法及装置、存储介质、电子装置 |
| CN114944927A (zh) * | 2022-03-17 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于Portal认证的无客户端互斥访问平台 |
| CN114944927B (zh) * | 2022-03-17 | 2023-08-08 | 国网浙江省电力有限公司杭州供电公司 | 基于Portal认证的无客户端互斥访问平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106375348B (zh) | 2019-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106375348A (zh) | 一种Portal认证方法和装置 | |
| US11405380B2 (en) | Systems and methods for using imaging to authenticate online users | |
| US10015157B2 (en) | Multi-domain applications with authorization and authentication in cloud environment | |
| US10225260B2 (en) | Enhanced authentication security | |
| US9794329B2 (en) | Cloud application with secure local access | |
| EP3249877A1 (en) | Redirection method, apparatus, and system | |
| US20170295159A1 (en) | Authenticating Clients Using Tokens | |
| CN102624737A (zh) | 单点登录***中针对Form身份鉴别的单点登录集成方法 | |
| CN111062023B (zh) | 多应用***实现单点登录的方法及装置 | |
| CN103634399B (zh) | 一种实现跨域数据传输的方法和装置 | |
| CN105991518B (zh) | 网络接入认证方法及装置 | |
| CN110175448B (zh) | 一种可信设备登录认证方法及具有认证功能的应用*** | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN107046544A (zh) | 一种识别对网站的非法访问请求的方法和装置 | |
| CN107451472A (zh) | 表单验证方法、装置和*** | |
| Ye et al. | Formal analysis of a single sign-on protocol implementation for android | |
| CN106549909A (zh) | 一种授权验证方法及设备 | |
| CN103647652B (zh) | 一种实现数据传输的方法、装置和服务器 | |
| US8904510B2 (en) | Authenticating a user for testing purposes | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN102694789B (zh) | 用于场内富客户端的轻量认证 | |
| CN104660556B (zh) | 跨站伪造请求漏洞检测的方法及装置 | |
| CN113761509B (zh) | iframe验证登录方法及装置 | |
| CN105959278A (zh) | 一种调用vpn的方法、设备和*** | |
| US10057249B2 (en) | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |