專利名稱:互聯(lián)網(wǎng)接入系統(tǒng)及接入方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是指互聯(lián)網(wǎng)接入系統(tǒng)及接入方法�。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展,寬帶接入和網(wǎng)上增值業(yè)務(wù)不斷增加新內(nèi)容����,一個(gè)用戶可能擁有多個(gè)寬帶接入帳號(hào)和接入密碼,還可能擁有多個(gè)增值業(yè)務(wù)帳號(hào)和對(duì)應(yīng)的業(yè)務(wù)密碼�,不僅每次登陸都要手工輸入,給用戶帶來(lái)不便���,并且?guī)ぬ?hào)和密碼被遺忘�����、泄漏等問(wèn)題時(shí)有發(fā)生。下面對(duì)ADSL接入帳號(hào)泄漏的幾個(gè)原因進(jìn)行描述1�、弱口令導(dǎo)致帳號(hào)和密碼被盜用一方面是指寬帶接入的密碼設(shè)置簡(jiǎn)單易于攻破。例如���,ADSL寬帶接入的初始密碼僅由8位數(shù)字和字符組成����,通過(guò)口令枚舉的方式探測(cè)密碼相對(duì)容易���,可能導(dǎo)致密碼被竊取�����,同樣ADSL帳號(hào)查詢系統(tǒng)里面設(shè)置的簡(jiǎn)單查詢密碼也可以通過(guò)這種方式被竊取��。
另一方面是指用戶接入寬帶的客戶端(如計(jì)算機(jī))本身是弱口令易被攻破����。弱口令的計(jì)算機(jī)很容易被黑客掃描侵入,配以讀取密碼的專用工具���,盜取用戶的接入賬戶和密碼���。例如用戶使用EnterNet 500撥號(hào)工具時(shí),寬帶接入帳號(hào)和密碼保存在計(jì)算機(jī)C\ProgramFiles\Efficient Networks\EnterNet 500\app\EnterNet.ini文件中���,該文件用記事本打開(kāi)��,其中的“UserName=”后面的字符就是寬帶接入帳號(hào)�,“Password=”后面保存的是加密過(guò)的密碼���。黑客盜取該EnterNet.ini文件�����,復(fù)制到他自己計(jì)算機(jī)上的Enternet 500安裝文件夾的相應(yīng)位置覆蓋掉相應(yīng)文件���,在他的計(jì)算機(jī)上運(yùn)行Enternet 500就可以使用查看星號(hào)密碼的方法得到所盜用的寬帶接入帳號(hào)和密碼了��。
2�����、打開(kāi)ADSL調(diào)制解調(diào)器路由功能導(dǎo)致ADSL寬帶接入帳號(hào)和密碼丟失運(yùn)營(yíng)商向用戶發(fā)放的具有路由功能的ADSL調(diào)制解調(diào)器大多數(shù)品牌與型號(hào)采用相同的芯片����,并且管理地址�����、端口���、管理帳號(hào)與密碼均為通用的默認(rèn)設(shè)置,如果用戶安全意識(shí)不高���,沒(méi)有更改默認(rèn)設(shè)置�����,黑客通過(guò)連接默認(rèn)的調(diào)制解調(diào)器管理端口并使用默認(rèn)管理帳號(hào)與密碼就能夠接入網(wǎng)絡(luò)����,進(jìn)而通過(guò)IE訪問(wèn)調(diào)制解調(diào)器管理頁(yè)面,盜走用戶帳號(hào)和密碼��。
3��、線路竊聽(tīng)��,用戶帳號(hào)和密碼在網(wǎng)絡(luò)鏈路中被截獲線路竊聽(tīng)在網(wǎng)絡(luò)接入認(rèn)證和業(yè)務(wù)認(rèn)證時(shí)都有可能發(fā)生����。目前由于采用PAP(密碼身份驗(yàn)證協(xié)議)協(xié)議,用戶在接入網(wǎng)絡(luò)過(guò)程中���,從客戶端向RADIUS(認(rèn)證服務(wù)器)傳送的是明文認(rèn)證信息��,黑客可以通過(guò)對(duì)用戶接入過(guò)程中竊聽(tīng)網(wǎng)卡數(shù)據(jù)包的方式竊取寬帶接入帳號(hào)和密碼����。但該問(wèn)題可以通過(guò)將BRAS(寬帶遠(yuǎn)程接入服務(wù)器)的安全協(xié)議由PAP改為CHAP(挑戰(zhàn)握手驗(yàn)證協(xié)議)解決���,本分明不再討論對(duì)這種情況的解決方法���。
用戶登錄到信息層計(jì)費(fèi)平臺(tái)��、與信息層平臺(tái)合作的服務(wù)提供商或者ADSL自服務(wù)系統(tǒng)時(shí)提交上去的封裝有業(yè)務(wù)帳號(hào)/密碼(應(yīng)用層認(rèn)證信息)信息的數(shù)據(jù)包有可能被黑客截獲致使帳號(hào)和密碼被盜����。
4���、用戶機(jī)器被植入木馬程序?qū)е翧DSL帳號(hào)/密碼丟失木馬都具有特殊功能�����,除了普通的文件操作以外�����,還具有搜索緩存中的口令�����、設(shè)置口令�、掃描目標(biāo)機(jī)器的IP地址�����、進(jìn)行鍵盤(pán)記錄��、遠(yuǎn)程注冊(cè)表的操作����、以及鎖定鼠標(biāo)等功能。
5����、帳號(hào)/密碼在渠道中丟失帳號(hào)/密碼的使用不依賴于物理載體,在渠道中給一些不法分子可乘之機(jī)����,導(dǎo)致無(wú)主帳號(hào)和帳號(hào)丟失問(wèn)題。
不僅有帳號(hào)被盜的情況存在��,隨著寬帶用戶的增多��,還出現(xiàn)了接入帳號(hào)唯一性限制問(wèn)題�����,這也可以理解為另一種方式的帳號(hào)盜用�。ADSL帳號(hào)共用問(wèn)題主要有兩種形式����。一種是一個(gè)帳號(hào)多人同時(shí)登錄�����,這種方式在RADIUS改造后得到了解決�����,目前在RADIUS上完成ADSL帳號(hào)的唯一性限制工作�����,也就是在服務(wù)器端完成��。隨著寬帶接入用戶的迅速增長(zhǎng)��,以及在線計(jì)費(fèi)系統(tǒng)本身負(fù)責(zé)的功能任務(wù)眾多���,壓力負(fù)載問(wèn)題越來(lái)越受到關(guān)注��。另一種是多人錯(cuò)時(shí)共用帳號(hào)的現(xiàn)象�,指多人知曉同一ADSL帳號(hào)密碼,然后錯(cuò)開(kāi)時(shí)段分別上網(wǎng)�����,這種做法在ADSL包月用戶中使用較多����,該問(wèn)題目前的系統(tǒng)無(wú)法解決����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供了一種互聯(lián)網(wǎng)接入系統(tǒng)和接入方法��,以解決互聯(lián)網(wǎng)用戶帳號(hào)盜用問(wèn)題及帳號(hào)唯一性限制問(wèn)題���。
本發(fā)明提供了一種網(wǎng)絡(luò)接入系統(tǒng)�,包括外接認(rèn)證裝置��,存儲(chǔ)有用戶認(rèn)證信息�,用于提供給客戶端;客戶端��,用于提供網(wǎng)絡(luò)接入服務(wù)���,并在接入網(wǎng)絡(luò)或使用網(wǎng)絡(luò)提供的業(yè)務(wù)時(shí)將外接認(rèn)證裝置提供的用戶認(rèn)證信息提供給網(wǎng)絡(luò)��。
其中�,所述系統(tǒng)還包括外接認(rèn)證裝置管理系統(tǒng),用于存儲(chǔ)外接認(rèn)證裝置序列號(hào)與寬帶接入帳號(hào)的對(duì)應(yīng)關(guān)系�,及外接認(rèn)證裝置的狀態(tài)值。
其中��,所述系統(tǒng)還包括外接認(rèn)證裝置制作系統(tǒng)�����,用于初始化外接認(rèn)證裝置�����。
其中�,所述的外接認(rèn)證裝置包括USBKey、磁盤(pán)��。
本發(fā)明還提供了一種網(wǎng)絡(luò)接入方法��,外接認(rèn)證裝置中保存有用戶認(rèn)證信息����,在通過(guò)客戶端接入網(wǎng)絡(luò)時(shí)�,包括客戶端從外接認(rèn)證裝置中獲得用戶認(rèn)證信息�;客戶端使用獲得的用戶認(rèn)證信息去登陸網(wǎng)絡(luò),由網(wǎng)絡(luò)側(cè)設(shè)備確認(rèn)用戶認(rèn)證信息合法后實(shí)現(xiàn)網(wǎng)絡(luò)接入�。
其中,所述客戶端從外接認(rèn)證裝置中獲得用戶認(rèn)證信息的步驟包括客戶端訪問(wèn)外接認(rèn)證裝置�,獲得外接認(rèn)證裝置加密保存的用戶認(rèn)證信息;客戶端對(duì)所述用戶認(rèn)證信息進(jìn)行解密��,獲得需要的用戶認(rèn)證信息�。
其中�,所述獲得的外接認(rèn)證裝置加密保存的用戶認(rèn)證信息中還包括加密的密鑰;所述解密步驟包括客戶端提取出加密的密鑰發(fā)送給外接認(rèn)證裝置���;外接認(rèn)證裝置對(duì)加密的密鑰解密后并發(fā)送給客戶端���;客戶端使用解密后的密鑰解密所述獲得的加密保存的用戶認(rèn)證信息。
其中��,進(jìn)一步包括外接認(rèn)證裝置對(duì)客戶端執(zhí)行鑒權(quán)過(guò)程���。所述鑒權(quán)過(guò)程包括外接認(rèn)證裝置生成一個(gè)隨機(jī)數(shù)并對(duì)該隨機(jī)數(shù)進(jìn)行加密���;同時(shí)將生成的隨機(jī)數(shù)發(fā)送給客戶端;客戶端使用相同的算法將隨機(jī)數(shù)加密后返回給外接認(rèn)證裝置;外接認(rèn)證裝置將收到的值與其自己加密后的結(jié)果進(jìn)行比較�,若相同則通過(guò)鑒權(quán)。
其中�����,進(jìn)一步包括外接認(rèn)證裝置向客戶端請(qǐng)求用戶輸入個(gè)人身份號(hào)碼PIN����;客戶端將用戶輸入的PIN傳送給外接認(rèn)證裝置;外接認(rèn)證裝置對(duì)客戶端傳送過(guò)來(lái)的PIN進(jìn)行驗(yàn)證����。
其中,實(shí)現(xiàn)網(wǎng)絡(luò)接入后進(jìn)一步包括使用網(wǎng)絡(luò)提供的業(yè)務(wù)時(shí)�,網(wǎng)絡(luò)側(cè)設(shè)備向客戶端請(qǐng)求業(yè)務(wù)帳號(hào);客戶端從外接認(rèn)證裝置中獲得業(yè)務(wù)帳號(hào)并提供給網(wǎng)絡(luò)側(cè)設(shè)備�����;網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)客戶端提供的業(yè)務(wù)帳號(hào)獲得用于計(jì)費(fèi)的用戶合同號(hào)�����,并允許所述業(yè)務(wù)的使用��。
其中,所述向客戶端請(qǐng)求業(yè)務(wù)帳號(hào)為通過(guò)發(fā)送挑戰(zhàn)消息實(shí)現(xiàn)���;所述客戶端從外接認(rèn)證裝置中獲得業(yè)務(wù)帳號(hào)并提供給網(wǎng)絡(luò)的步驟包括客戶端收到挑戰(zhàn)消息后���,從外接認(rèn)證裝置中讀取存儲(chǔ)的包括業(yè)務(wù)帳號(hào)的數(shù)字證書(shū)及對(duì)挑戰(zhàn)消息的簽名,并發(fā)送給網(wǎng)絡(luò)���;網(wǎng)絡(luò)驗(yàn)證數(shù)字證書(shū)合法和有效��、所述簽名有效后�����,提取出所述業(yè)務(wù)帳號(hào)。
由上述方法可以看出��,本發(fā)明通過(guò)在客戶端使用特殊硬件存儲(chǔ)用戶接入認(rèn)證信息���,改變傳統(tǒng)的由用戶通過(guò)鍵盤(pán)輸入一長(zhǎng)串接入帳號(hào)/密碼或業(yè)務(wù)帳號(hào)/密碼的方式���,方便用戶使用,不會(huì)再產(chǎn)生遺忘密碼的情況��。
同時(shí)對(duì)現(xiàn)行的弱密碼體系進(jìn)行改造,采用PKI(公鑰基礎(chǔ)設(shè)施)安全機(jī)制對(duì)認(rèn)證信息進(jìn)行保護(hù)�。而PKI被認(rèn)為是成熟的、安全的電子商務(wù)應(yīng)用體系����,PKI體系是未來(lái)網(wǎng)上交易行為的必然趨勢(shì),工商銀行�、招商銀行等都已經(jīng)向用戶發(fā)放USBKey,以便安全可靠地開(kāi)展網(wǎng)上銀行業(yè)務(wù)���。因而本發(fā)明可進(jìn)一步促進(jìn)互聯(lián)網(wǎng)尤其是信息層計(jì)費(fèi)平臺(tái)的業(yè)務(wù)發(fā)展�,更好地挖掘互聯(lián)網(wǎng)用戶的支付資源�����。下面詳細(xì)說(shuō)明本發(fā)明的效果A��、解決帳號(hào)盜用問(wèn)題���,具體包括A1�����、解決弱口令強(qiáng)算導(dǎo)致帳號(hào)和密碼被盜用的問(wèn)題使用特殊硬件后�,認(rèn)證信息可以設(shè)計(jì)得足夠復(fù)雜,給黑客窮舉式解密帶來(lái)極大困難��,解決弱密碼強(qiáng)算問(wèn)題����。而且本客戶端不保存帳號(hào)/密碼,可以解決上述攻擊計(jì)算機(jī)盜取接入帳號(hào)的問(wèn)題���。
A2����、解決打開(kāi)ADSL調(diào)制解調(diào)器路由功能導(dǎo)致ADSL帳號(hào)/密碼丟失的問(wèn)題使用特殊硬件后��,用戶就不再知道自己的帳號(hào)/密碼�,也就不能再配置ADSL調(diào)制解調(diào)器的路由方式���,也就不會(huì)存在導(dǎo)致通過(guò)ADSL調(diào)制解調(diào)器路由方式導(dǎo)致的帳號(hào)/密碼被盜問(wèn)題��。
A3�、解決線路竊聽(tīng)導(dǎo)致用戶帳號(hào)和密碼在網(wǎng)絡(luò)鏈路中被截獲對(duì)于用戶登陸業(yè)務(wù)平臺(tái)�����,本發(fā)明將網(wǎng)絡(luò)接入認(rèn)證和業(yè)務(wù)認(rèn)證均通過(guò)特殊硬件實(shí)現(xiàn),并且可以合二為一完成一次性認(rèn)證���,并利用數(shù)字證書(shū)傳輸用戶認(rèn)證信息�����,即使數(shù)據(jù)包被黑客截獲����,也無(wú)法被重用�,在此過(guò)程中解決了網(wǎng)絡(luò)鏈路中帳號(hào)和密碼丟失問(wèn)題。
A4���、解決用戶機(jī)器被植入木馬程序?qū)е翧DSL帳號(hào)/密碼丟失問(wèn)題對(duì)于木馬程序是通過(guò)記錄用戶鍵盤(pán)操作獲得帳號(hào)和密碼���,由于采用特殊硬件實(shí)現(xiàn)用戶不需輸入帳號(hào)和密碼,因此不會(huì)由于被植入木馬程序?qū)е聨ぬ?hào)和密碼丟失����。
A5、解決帳號(hào)/密碼在渠道中丟失問(wèn)題特殊硬件的使用將在很大程度上使這一問(wèn)題得到解決����。
B����、解決了接入帳號(hào)唯一性限制問(wèn)題由于用戶接入認(rèn)證時(shí)需使用特殊硬件��,因此�,可以有效的避免了一個(gè)帳號(hào)被多人使用,也自然避免了多人錯(cuò)時(shí)共用帳號(hào)(尤其是不限時(shí)包月帳號(hào))現(xiàn)象的發(fā)生�。另一方面,目前ADSL帳號(hào)的唯一性限制在接入網(wǎng)的認(rèn)證系統(tǒng)上完成����,從網(wǎng)絡(luò)層面實(shí)現(xiàn)接入帳號(hào)唯一性限制,隨著寬帶接入用戶增長(zhǎng)到一定程度��,認(rèn)證平臺(tái)的壓力負(fù)載均衡問(wèn)題日益嚴(yán)峻�。而本發(fā)明利用特殊硬件標(biāo)識(shí)每個(gè)用戶,通過(guò)與客戶端的交互�����,從用戶層面實(shí)現(xiàn)接入帳號(hào)唯一性限制�,從而減輕認(rèn)證平臺(tái)的壓力����。
C��、有利于業(yè)務(wù)的發(fā)展由于本發(fā)明采用特殊硬件存儲(chǔ)用戶認(rèn)證信息�,并且給數(shù)字證書(shū)提供了很好的載體�����,可以作為用戶網(wǎng)絡(luò)真實(shí)身份的載體��,能夠統(tǒng)一用戶多種業(yè)務(wù)帳號(hào)��,來(lái)唯一確定用戶身份����、防止抵賴,起到用戶網(wǎng)上信用卡的作用���。在此基礎(chǔ)上提供一站式服務(wù)(如一點(diǎn)開(kāi)通�����、統(tǒng)一賬單等)�,電信業(yè)務(wù)與行業(yè)應(yīng)用相結(jié)合��,對(duì)用戶屏蔽行業(yè)差異,實(shí)現(xiàn)服務(wù)的融合��。對(duì)于用戶來(lái)說(shuō)���,業(yè)務(wù)使用更加便捷����,用戶無(wú)需再拿著居民身份證或者企業(yè)證明跑到服務(wù)提供商營(yíng)業(yè)廳辦理�����,只要插上特殊硬件�����,登錄到指定站點(diǎn)���,填寫(xiě)相關(guān)信息即可辦理業(yè)務(wù)���,使用更為方便;對(duì)于服務(wù)提供商來(lái)說(shuō)�,在方便用戶的同時(shí),也減輕了其營(yíng)業(yè)廳的工作量����,便于網(wǎng)上營(yíng)業(yè)廳的業(yè)務(wù)開(kāi)展,達(dá)到了增強(qiáng)用戶忠實(shí)度的目的�。
總之,本發(fā)明提供的網(wǎng)絡(luò)接入認(rèn)證方式和用戶管理辦法�����,以最大程度解決現(xiàn)有ADSL存在的帳號(hào)盜用����、從客戶端實(shí)現(xiàn)唯一性限制等問(wèn)題,并可唯一確認(rèn)標(biāo)識(shí)一個(gè)用戶�����,解決了互聯(lián)網(wǎng)用戶上網(wǎng)的安全認(rèn)證和支付的信用問(wèn)題����,促進(jìn)互聯(lián)網(wǎng)增值業(yè)務(wù)的發(fā)展。
圖1為現(xiàn)有接入網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖�;圖2為本發(fā)明接入網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖;圖3為本發(fā)明業(yè)務(wù)接入認(rèn)證流程圖����;圖4為預(yù)先批量產(chǎn)生帳號(hào)流程圖�����。
具體實(shí)施例方式
現(xiàn)有技術(shù)中��,對(duì)于現(xiàn)場(chǎng)辦公��、網(wǎng)上受理��、代理方式這三個(gè)渠道發(fā)展的寬帶用戶�,在用戶申請(qǐng)寬帶接入業(yè)務(wù)時(shí)需要設(shè)置查詢密碼��,而寬帶接入帳號(hào)是在通信公司在為用戶裝機(jī)時(shí)發(fā)放給用戶的����。而后,用戶在網(wǎng)上受理頁(yè)面或者撥打?qū)拵Ы尤?如ADSL)帳號(hào)查詢系統(tǒng)的服務(wù)電話����,用通信公司提供的寬帶接入帳號(hào)和其申請(qǐng)寬帶業(yè)務(wù)時(shí)設(shè)置的查詢密碼就可獲得寬帶接入帳號(hào)對(duì)應(yīng)的密碼(如ADSL帳號(hào)對(duì)應(yīng)的密碼)。
本發(fā)明以客戶端為依托�,結(jié)合PKI(公鑰基礎(chǔ)設(shè)施)安全機(jī)制,利用外接認(rèn)證裝置(一種特殊硬件��,后續(xù)以USBKey為例進(jìn)行說(shuō)明�����,也可以是其他外設(shè)如磁盤(pán)等)存儲(chǔ)用戶認(rèn)證信息�,替代寬帶接入帳號(hào)/密碼����,讓用戶在不知道認(rèn)證信息具體內(nèi)容的情況下,自動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)的接入認(rèn)證���,從而減少寬帶接入帳號(hào)/密碼泄漏的風(fēng)險(xiǎn)�。
同時(shí)本分明還實(shí)現(xiàn)了寬帶接入帳號(hào)唯一性限制��。由USBKey保存用戶的認(rèn)證信息�,只有在用于接入網(wǎng)絡(luò)的客戶端設(shè)備(后續(xù)以計(jì)算機(jī)為例進(jìn)行說(shuō)明����,也可以是其他終端,如PDA�����、手機(jī)等)上插入U(xiǎn)SBKey,客戶端才能夠接入網(wǎng)絡(luò)����,將USBKey拔出客戶端計(jì)算機(jī)時(shí)���,客戶端將斷開(kāi)與網(wǎng)絡(luò)的連接����。因此USBKey能夠較好的避免一個(gè)帳號(hào)多人同時(shí)登錄的問(wèn)題�����;對(duì)于避免多人錯(cuò)時(shí)共用帳號(hào)的情況,由于需要USBKey載體的客觀傳遞��,因此也可有效降低多人錯(cuò)時(shí)共用帳號(hào)����;此外,采用PKI安全機(jī)制保護(hù)接入帳號(hào)/密碼可以限制用戶使用路由方式共享上網(wǎng)����。
另外��,由于使用USBKey作為用戶身份標(biāo)識(shí),可以唯一的識(shí)別用戶身份進(jìn)行認(rèn)證計(jì)費(fèi)��,因此還可以將網(wǎng)絡(luò)接入認(rèn)證與增值業(yè)務(wù)(應(yīng)用業(yè)務(wù))的認(rèn)證過(guò)程捆綁,在保證網(wǎng)絡(luò)接入認(rèn)證安全可靠的基礎(chǔ)上���,真正實(shí)現(xiàn)一次性認(rèn)證。
下面參考圖2示出的本發(fā)明接入網(wǎng)絡(luò)�����,對(duì)本發(fā)明進(jìn)行說(shuō)明��,其中USBKey��、USBKey制作系統(tǒng)�����、USBKey管理系統(tǒng)對(duì)于原接入網(wǎng)絡(luò)是新增設(shè)備�����,其余設(shè)備均為原接入網(wǎng)絡(luò)設(shè)備,功能均沒(méi)有發(fā)生變化��。本分明網(wǎng)絡(luò)接入系統(tǒng)包括以下部分USBkey��,存儲(chǔ)有用戶認(rèn)證信息��,并用于提供給客戶端��。用戶認(rèn)證信息包括用于接入網(wǎng)絡(luò)的認(rèn)證信息(如寬帶接入帳號(hào)和密碼)�����,還包括用戶登陸應(yīng)用業(yè)務(wù)的認(rèn)證信息(如業(yè)務(wù)帳號(hào)和密碼)����。認(rèn)證信息內(nèi)容包括的帳號(hào)和密碼,可以以某種加密方式存儲(chǔ)���。還可以包括數(shù)字證書(shū)用于對(duì)用戶認(rèn)證信息的加密傳輸。
具體在實(shí)現(xiàn)時(shí)��,USBKey提供一個(gè)標(biāo)準(zhǔn)API(應(yīng)用程序接口),以便使用API的其它應(yīng)用可以共享對(duì)用戶認(rèn)證信息的訪問(wèn)�。例如,API標(biāo)準(zhǔn)可以為CSP或PKCS#11�����;對(duì)于支持Microsoft平臺(tái)的應(yīng)用����,接口采用Microsoft CryptoAPI——CSP標(biāo)準(zhǔn);在Netscape和許多支持UNIX平臺(tái)的應(yīng)用中���,這個(gè)接口采用PKCS#11標(biāo)準(zhǔn)�����。
客戶端��,為用戶提供網(wǎng)絡(luò)接入服務(wù),用于根據(jù)USBkey提供的用戶認(rèn)證信息����,將其中的接入認(rèn)證信息或業(yè)務(wù)認(rèn)證信息在接入網(wǎng)絡(luò)時(shí)或業(yè)務(wù)使用時(shí)提供給接入服務(wù)器或業(yè)務(wù)服務(wù)器。具體來(lái)說(shuō)在接入認(rèn)證過(guò)程中����,客戶端控制對(duì)USBKey中的記錄用戶認(rèn)證信息的ID文件解密�,并將該文件的內(nèi)容用預(yù)定的算法(如三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)算法3DES等)解密,得到寬帶接入帳號(hào)/密碼�����。將解密后的寬帶接入帳號(hào)/密碼通過(guò)PPPoE協(xié)議提交給RADIUS接入認(rèn)證服務(wù)器進(jìn)入寬帶網(wǎng)絡(luò)接入認(rèn)證。
在業(yè)務(wù)認(rèn)證過(guò)程中�����,需要從USBKey中讀取私鑰簽名后的業(yè)務(wù)帳號(hào)和對(duì)應(yīng)的數(shù)字證書(shū)��。提交給業(yè)務(wù)系統(tǒng)����,由業(yè)務(wù)系統(tǒng)根據(jù)收到的信息進(jìn)行業(yè)務(wù)使用的認(rèn)證��,認(rèn)證通過(guò)后就可以處理用戶請(qǐng)求的相關(guān)應(yīng)用業(yè)務(wù)�����。
客戶端還可與USBKey結(jié)合,實(shí)現(xiàn)訪問(wèn)自服務(wù)系統(tǒng)(自服務(wù)系統(tǒng)指提供客戶信息查詢����、客戶登錄名修改�、客戶口令修改的系統(tǒng),該系統(tǒng)還可提供本期消費(fèi)情況查詢����、消費(fèi)信息查詢功能)���,實(shí)現(xiàn)USBKey用戶的自服務(wù)�。如,提供更改USBKey的PIN碼(個(gè)人識(shí)別密碼)功能���。需要說(shuō)明的是�,采用USBKey后,用戶不再知曉自己的帳號(hào)和密碼��,登陸自服務(wù)系統(tǒng)時(shí)由客戶端直接從USBKey讀取帳號(hào)和密碼提供給自服務(wù)系統(tǒng)進(jìn)行驗(yàn)證��,為了確保USBKey的安全性�����,可提供給用戶使用該USBKey的PIN碼�����。并且�,由于采用了USBKey,因此自服務(wù)系統(tǒng)提供的登錄帳號(hào)修改和密碼修改兩項(xiàng)功能不再需要��,只需要保留客戶信息查詢��、本期消費(fèi)情況查詢����、消費(fèi)信息查詢功能即可。
BRAS(Broadband Remote Access Server��,寬帶接入服務(wù)器)寬帶接入設(shè)備����,可以認(rèn)為是客戶端接入RADIUS的接口。
RADIUS接入認(rèn)證服務(wù)器接收客戶端發(fā)送過(guò)來(lái)的寬帶接入帳號(hào)/密碼字段��,對(duì)該帳號(hào)和密碼進(jìn)行認(rèn)證(如�����,RADIUS根據(jù)帳號(hào)查找到所存儲(chǔ)的相應(yīng)的帳號(hào)記錄�,比對(duì)密碼進(jìn)行認(rèn)證)后,分配其IP地址���,客戶端使用該IP地址接入網(wǎng)絡(luò)����。
AIOBS(計(jì)費(fèi)系統(tǒng))服務(wù)器存有在線用戶IP和用戶計(jì)費(fèi)賬號(hào)信息的對(duì)應(yīng)列表���。在用戶訪問(wèn)信息計(jì)費(fèi)系統(tǒng)時(shí)���,通過(guò)信息層平臺(tái)與AIOBS的接口,由AIOBS根據(jù)IP地址反查用戶計(jì)費(fèi)賬號(hào)提供給信息層計(jì)費(fèi)系統(tǒng)��。業(yè)務(wù)認(rèn)證時(shí)����,信息層計(jì)費(fèi)系統(tǒng)將用戶的IP地址傳遞給AIOBS��,由AIOBS驗(yàn)證用戶IP地址的合法性���。
其中,上述BRAS����、RADIUS接入服務(wù)器和AIOBS服務(wù)器統(tǒng)稱為OBS(在線計(jì)費(fèi)系統(tǒng)),完成網(wǎng)絡(luò)接入認(rèn)證�����、業(yè)務(wù)認(rèn)證和對(duì)ADSL業(yè)務(wù)管理流程的支撐三部分工作����。
信息層計(jì)費(fèi)系統(tǒng)用來(lái)實(shí)現(xiàn)用戶接入網(wǎng)絡(luò)后對(duì)用戶增值業(yè)務(wù)消費(fèi)的統(tǒng)一計(jì)費(fèi)。信息層計(jì)費(fèi)系統(tǒng)接收到客戶端提交的業(yè)務(wù)認(rèn)證請(qǐng)求后�����,將客戶端IP地址發(fā)送給AIOBS由AIOBS驗(yàn)證用戶IP地址的合法性���,從AIOBS系統(tǒng)獲取對(duì)應(yīng)的用戶計(jì)費(fèi)賬號(hào)信息以進(jìn)行計(jì)費(fèi)處理��。
九七系統(tǒng)(一種多業(yè)務(wù)綜合計(jì)費(fèi)系統(tǒng))OBS系統(tǒng)與九七系統(tǒng)配合完成對(duì)ADSL業(yè)務(wù)的開(kāi)戶/掛失/解掛/注銷/查詢等管理流程的支撐��。九七系統(tǒng)用于承擔(dān)著各項(xiàng)業(yè)務(wù)受理�、用戶管理等工作,并且將相關(guān)信息定期傳給帳務(wù)系統(tǒng)����。
USBKey管理系統(tǒng)系統(tǒng)管理主要保存著USBKey序列號(hào)與ADSL帳號(hào)(寬帶接入帳號(hào))的對(duì)應(yīng)關(guān)系列表�。接收來(lái)自AIOBS的用戶掛失/解掛/注銷信息,相應(yīng)改變USBKey的狀態(tài)值���,狀態(tài)包括USBKey待發(fā)�����、USBKey已發(fā)����、注銷���。此狀態(tài)值的改變由用戶去辦理�。還用于接收來(lái)自九七受理系統(tǒng)提交的USBKey編號(hào),根據(jù)USBKey編號(hào)�,返回給九七系統(tǒng)用戶的寬帶接入帳號(hào)(返回給九七的功能主要是為了在用戶掛失USBKey、更換USBKey�����、初始化USBKey的PIN碼等業(yè)務(wù)流程時(shí)�,九七系統(tǒng)都需要向USBKey管理系統(tǒng)提交USBKey編號(hào),獲得返回的用戶的寬帶接入帳號(hào)����,以實(shí)現(xiàn)對(duì)ADSL業(yè)務(wù)的開(kāi)戶/掛失/解掛/注銷/查詢等管理流程的支撐)。
USBkey制作系統(tǒng)���,用于初始化USBKey��,包括將用戶ID文件等信息寫(xiě)入U(xiǎn)SBKey��,在USBKey卡內(nèi)生成公私鑰對(duì)等���。就相當(dāng)于以前制作密碼封的步驟。
下面��,對(duì)基于本發(fā)明系統(tǒng)的認(rèn)證過(guò)程進(jìn)行描述����。分別根據(jù)接入認(rèn)證信息與電子商務(wù)行為認(rèn)證信息區(qū)分開(kāi)為例��,來(lái)描述接入網(wǎng)絡(luò)的認(rèn)證方法����、使用業(yè)務(wù)時(shí)的認(rèn)證方法�����。下面參見(jiàn)附圖的實(shí)施例進(jìn)行描述��。
預(yù)先���,將含有用戶認(rèn)證信息(包括接入認(rèn)證信息及業(yè)務(wù)認(rèn)證信息)的ID文件寫(xiě)入U(xiǎn)SBKey,該過(guò)程由USBKey制作系統(tǒng)完成�。鑒于這些信息的重要性,可以采用下面的ID文件保護(hù)用戶認(rèn)證信息ID文件中可設(shè)計(jì)為包括兩部分�����,一部分是使用3DES密鑰(或其他密鑰)加密過(guò)的接入用戶認(rèn)證信息�����,另一部分是使用用戶公鑰保護(hù)的3DES密鑰。相應(yīng)的USBKey上還保存對(duì)應(yīng)的用戶私鑰�����。
進(jìn)一步的�,還可以在使用用戶公鑰保護(hù)3DES密鑰之前對(duì)3DES密鑰進(jìn)行加密處理(如可以把16字節(jié)的密鑰的前半部分進(jìn)行反轉(zhuǎn))。這是因?yàn)?���,客戶端撥?hào)時(shí)需要從USBKey中取得3DES密鑰,如果USBKey直接在線路上明文傳輸密鑰到計(jì)算機(jī)顯然會(huì)有泄密的危險(xiǎn)����,所以對(duì)3DES密鑰進(jìn)行的加密處理,這樣�,使用用戶公鑰保護(hù)起來(lái)的是經(jīng)過(guò)處理的3DES密鑰,所以USBKey送出到計(jì)算機(jī)的3DES密鑰是加密過(guò)的密鑰�����,破解者即便截獲此密鑰也沒(méi)有用��。
還可以在ID文件當(dāng)中加入一些擾碼�,比如在確定的位置加入一個(gè)字節(jié)的隨機(jī)數(shù)據(jù),這些隨機(jī)數(shù)據(jù)本身并沒(méi)有用處��,但是能夠起到干擾從ID文件入手的破解行為,同樣也可以在對(duì)用戶接入認(rèn)證信息加密之前插入一些擾碼���。
另一方面�����,在數(shù)據(jù)庫(kù)(數(shù)據(jù)庫(kù)可位于圖1的USBKey管理系統(tǒng)中)中也要預(yù)先保存USBKey序列號(hào)與用戶的寬帶接入帳號(hào)的對(duì)應(yīng)關(guān)系�,并分別設(shè)計(jì)相應(yīng)的狀態(tài)字段記錄該帳號(hào)和該USBKey的使用狀態(tài)���。這些是用戶在開(kāi)戶時(shí)取得的信息�����。
當(dāng)用戶要訪問(wèn)網(wǎng)絡(luò)時(shí),將USBKey連接到客戶端計(jì)算機(jī)上���,寬帶接入認(rèn)證過(guò)程包括以下步驟步驟201計(jì)算機(jī)啟動(dòng)客戶端軟件(可由用戶開(kāi)啟客戶端軟件�,或當(dāng)檢測(cè)到用戶開(kāi)啟IE等網(wǎng)絡(luò)瀏覽器時(shí)自動(dòng)啟動(dòng)客戶端軟件)�����,客戶端向USBKey發(fā)送請(qǐng)求讀取安全I(xiàn)D文件信息的請(qǐng)求����;步驟202USBKey收到客戶端的請(qǐng)求�,對(duì)客戶端執(zhí)行鑒權(quán)過(guò)程�,以確保該USBKey在該計(jì)算機(jī)上使用是合法的。具體來(lái)說(shuō)�,鑒權(quán)過(guò)程可以為USBKey生成一個(gè)隨機(jī)數(shù)并對(duì)該隨機(jī)數(shù)進(jìn)行3DES加密;同時(shí)將生成的隨機(jī)數(shù)發(fā)送給客戶端����,由客戶端使用相同的算法將隨機(jī)數(shù)加密后返回給USBKey,USBKey將收到的值與其自己加密后的結(jié)果進(jìn)行比較��,若結(jié)果相同即通過(guò)身份認(rèn)證�����。此過(guò)程類似于銀行卡和POS機(jī)的認(rèn)證過(guò)程����。
步驟203在確認(rèn)USBKey在該計(jì)算機(jī)上使用是合法的后,USBKey向客戶端請(qǐng)求用戶輸入PIN����,對(duì)客戶端傳送過(guò)來(lái)的用戶輸入的PIN進(jìn)行驗(yàn)證。其中��,PIN碼是用來(lái)保護(hù)USBKey的,本步驟是用來(lái)確保使用USBKey的用戶是合法用戶�。
步驟204在認(rèn)證通過(guò)后,USBKey將ID文件發(fā)送給客戶端���,客戶端執(zhí)行解密過(guò)程獲得用戶認(rèn)證信息��,具體解密過(guò)程參見(jiàn)步驟204從~204g���,包括首先,客戶端將接收的ID文件分解出使用用戶公鑰加密的3DES密鑰��,并將分解出的使用用戶公鑰加密的3DES密鑰發(fā)送給USBkey請(qǐng)求解密����;然后,USBKey使用私鑰解密出3DES密鑰��,并傳送給客戶端����;然后��,客戶端使用USBKey解密后的3DES密鑰解密出ID文件中的用戶認(rèn)證信息(包括寬帶接入帳號(hào)和密碼)����;步驟205客戶端使用解密出的用戶認(rèn)證信息通過(guò)BRAS登陸接入系統(tǒng)RADIUS��。RADIUS認(rèn)證通過(guò)后��,為該用戶分配一個(gè)IP地址�����,用戶即可成功接入網(wǎng)絡(luò)�。這個(gè)步驟和現(xiàn)有的步驟是相同的����,故不再贅述。
由上可見(jiàn)��,用戶在網(wǎng)絡(luò)接入時(shí)�,用戶動(dòng)手做的是只需將USBKey插入客戶端計(jì)算機(jī),并正確輸入U(xiǎn)SBKey的PIN碼就可以直接接入網(wǎng)絡(luò)�。而真正的接入網(wǎng)絡(luò)所需要的用戶認(rèn)證信息,用戶不需要輸入��,并且也并不知道����。
當(dāng)用戶已經(jīng)接入網(wǎng)絡(luò)后����,在使用某業(yè)務(wù)時(shí)����,如圖3所示,業(yè)務(wù)認(rèn)證過(guò)程包括以下內(nèi)容步驟301用戶通過(guò)IE打開(kāi)信息層門(mén)戶����,使用某業(yè)務(wù);步驟302信息層計(jì)費(fèi)系統(tǒng)判斷是USBKey用戶(用戶進(jìn)入信息層計(jì)費(fèi)系統(tǒng)的入口分為USBKey用戶入口和普通用戶入口��,從USBKey入口進(jìn)入的用戶�����,信息層平臺(tái)即可判斷是USBKey用戶)�����,則向客戶端發(fā)送一個(gè)挑戰(zhàn)(Challenge)消息����,開(kāi)始建立SSL雙向認(rèn)證通路����;步驟303客戶端收到挑戰(zhàn)消息后�����,從USBKey中讀取數(shù)字證書(shū)及對(duì)挑戰(zhàn)(Challenge)消息的簽名���,將數(shù)字證書(shū)與簽名發(fā)回信息層計(jì)費(fèi)系統(tǒng),數(shù)字證書(shū)中包含業(yè)務(wù)帳號(hào)���;步驟304信息層計(jì)費(fèi)系統(tǒng)首先驗(yàn)證數(shù)字證書(shū)是否為運(yùn)營(yíng)商(如北京網(wǎng)通)下發(fā)�,第二步驗(yàn)證證書(shū)是否有效���,第三步驗(yàn)證簽名是否有效���,第四步取出業(yè)務(wù)帳號(hào)(用戶寬帶接入帳號(hào)與業(yè)務(wù)帳號(hào)可以設(shè)置為統(tǒng)一的),并將其通過(guò)SOAP/HTTP協(xié)議通訊提交給AIOBS�����,獲取用于計(jì)費(fèi)用的用戶合同號(hào)(用戶的所有消費(fèi)信息均記錄在此合同號(hào)中�����,信息層平臺(tái)在獲得了此合同號(hào)后,允許該用戶進(jìn)行信息層消費(fèi)���,并記錄消費(fèi)信息)����。因?yàn)樾畔悠脚_(tái)已經(jīng)用數(shù)字證書(shū)驗(yàn)證了用戶的合法身份��,此時(shí)不必再向AIOBS提供密碼�,只提供業(yè)務(wù)帳號(hào)即可;步驟305AIOBS中存有業(yè)務(wù)帳號(hào)與計(jì)費(fèi)用的用戶合同號(hào)信息對(duì)應(yīng)列表����,通過(guò)業(yè)務(wù)帳號(hào)找出相應(yīng)的用戶合同號(hào)信息,并返回給信息層平臺(tái)�����;步驟306信息層計(jì)費(fèi)平臺(tái)獲得用戶合同號(hào)信息后��,可以進(jìn)行計(jì)費(fèi)的處理了����,發(fā)給用戶令牌�����,至此接入認(rèn)證和信息層平臺(tái)認(rèn)證成功。
和現(xiàn)有技術(shù)一樣����,本系統(tǒng)仍然提供自服務(wù)管理過(guò)程。自服務(wù)包括目前ADSL用戶通過(guò)登陸指定的網(wǎng)站實(shí)現(xiàn)的自服務(wù)操作?����,F(xiàn)有技術(shù)下���,自服務(wù)包括提供客戶信息查詢����、客戶登錄名修改��、客戶口令修改�����、本期消費(fèi)情況查詢����、消費(fèi)信息查詢五項(xiàng)功能���。而使用USBKey后,用戶不再知曉自己的帳號(hào)和密碼���,客戶登錄名修改和客戶口令修改兩項(xiàng)功能不再需要��,只需要保留客戶信息查詢���、本期消費(fèi)情況查詢、消費(fèi)信息查詢?nèi)?xiàng)功能��。
在使用自服務(wù)時(shí)�,也需要對(duì)用戶認(rèn)證信息進(jìn)行認(rèn)證,認(rèn)證信息的提供均可以由USBKey提供��,而省去了用戶輸入帳號(hào)和密碼的步驟��,其余步驟與現(xiàn)有使用過(guò)程相同����。另外,對(duì)于USBKey中存放的用戶認(rèn)證等信息�����,不允許用戶進(jìn)行修改,僅允許用戶可以修改訪問(wèn)USBKey的PIN碼��。USBKey的PIN碼修改功能直接通過(guò)客戶端完成�����,屬于用戶本地操作���,不需要與網(wǎng)絡(luò)服務(wù)器交互,使客戶端提供的修改PIN碼的功能���,離線操作即可�����。
下面以ADSL業(yè)務(wù)為例�����,對(duì)本發(fā)明的實(shí)施過(guò)程進(jìn)行詳細(xì)說(shuō)明��。
帳號(hào)批開(kāi)流程帳號(hào)批開(kāi)即指在OBS系統(tǒng)中批量生成帳號(hào)���,并批量制作USBKey的過(guò)程����。
一�、預(yù)先批量產(chǎn)生帳號(hào)流程(如圖5所示)1、營(yíng)業(yè)局下批量生成帳號(hào)的工單�����。
2�、帳三在OBS系統(tǒng)中批量生成帳號(hào)。
3���、帳三從OBS中讀出3DES加密的認(rèn)證信息文件�����。
4��、根據(jù)認(rèn)證信息文件�����,帳三操作USBKey制作系統(tǒng)批量制作USBKey5����、計(jì)算機(jī)上安裝USBKey的驅(qū)動(dòng)程序;6�、運(yùn)行USBKey初始化管理軟件;7����、根據(jù)用戶認(rèn)證信息文件,順序?qū)SBKey插入計(jì)算機(jī)USB口�����,在USBKey內(nèi)生成公私鑰對(duì)��,加密寫(xiě)入認(rèn)證信息�。
8���、在數(shù)據(jù)庫(kù)中記錄USBKey序列號(hào)���、帳號(hào)的對(duì)應(yīng)關(guān)系。
9���、將USBKey返回營(yíng)業(yè)廳�����。
二��、制作USBKey流程(即初始化USBKey)為了方便公司管理與客服工作�,將用戶認(rèn)證信息寫(xiě)入U(xiǎn)SBKey后需要記錄USBKey當(dāng)中的帳號(hào)與USBKey的對(duì)應(yīng)關(guān)系,以方便維護(hù)人員為用戶安裝寬帶或者提供其它服務(wù)時(shí)快速知曉用戶基本信息�。
USBKey初始化流程將被細(xì)化為兩部分,一部分USBKey廠家負(fù)責(zé)的產(chǎn)品生產(chǎn)流程�����,一部分是網(wǎng)絡(luò)接入提供商負(fù)責(zé)的USBKey初始化流程��。USBKey廠家負(fù)責(zé)的產(chǎn)品生產(chǎn)流程如下1��、廠家拿到網(wǎng)絡(luò)接入提供商制訂的USBKey產(chǎn)品序列號(hào)規(guī)則�����;2����、在USBKey里面固化按照規(guī)則產(chǎn)生的序列號(hào);3、最后為USBKey張貼標(biāo)簽����,序列號(hào)將被注明在標(biāo)簽上面。
網(wǎng)絡(luò)接入提供商負(fù)責(zé)的USBKey初始化流程如下1���、AIOBS將批量生成的用戶認(rèn)證信息導(dǎo)入到文件當(dāng)中���,并將其送給后臺(tái)初始人員;2����、初始化人員操作初始化程序?qū)⑽募?dāng)中的用戶認(rèn)證信息順序讀出并寫(xiě)到USBKey當(dāng)中;3��、初始化程序?qū)?dāng)次用到的帳號(hào)與USBKey序列號(hào)對(duì)應(yīng)關(guān)系記錄下來(lái)導(dǎo)出到文件當(dāng)中���;4、最后將對(duì)應(yīng)關(guān)系文件導(dǎo)入到后臺(tái)查詢系統(tǒng)(可以與九七系統(tǒng)接口�����,定期傳送)����。
今后工作人員插上用戶USBKey或者直接錄入標(biāo)簽上面的序列號(hào)就能夠迅速查詢到用戶上網(wǎng)帳號(hào)與相關(guān)信息����,有利于以后的管理���。
因?yàn)樾枰褞ぬ?hào)與USBKey序列號(hào)對(duì)應(yīng)關(guān)系記錄下來(lái)并提供查詢功能�,所以需要在后臺(tái)布署查詢服務(wù)器(可以與九七系統(tǒng)互連)��,查詢服務(wù)器與營(yíng)業(yè)廳等相關(guān)終端相連����,隨時(shí)響應(yīng)查詢請(qǐng)求。
營(yíng)業(yè)廳開(kāi)戶流程開(kāi)戶即指用戶申請(qǐng)開(kāi)通ADSL接入業(yè)務(wù)����。具體包括以下方面為用戶分配USBKey和帳號(hào);用戶信息錄入九七系統(tǒng)��。
目前發(fā)展用戶分為營(yíng)業(yè)廳辦理����、現(xiàn)場(chǎng)辦公、網(wǎng)上受理�、代理方式,對(duì)于后三種采用申請(qǐng)時(shí)設(shè)置查詢密碼、裝機(jī)時(shí)發(fā)放帳號(hào)����,然后用戶在網(wǎng)上受理頁(yè)面或者10060都可以通過(guò)ADSL帳號(hào)+查詢密碼來(lái)查詢ADSL密碼。無(wú)論何種方式發(fā)展的用戶����,最終都要通過(guò)九七系統(tǒng)下工單,下工單流程是統(tǒng)一的�。
1、USBKey本地操作插上USBKey后��,就可以讀取USBKey中帳號(hào)��、USBKey編號(hào)的客戶端程序�。營(yíng)業(yè)員通過(guò)訪問(wèn)后臺(tái)系統(tǒng)(USBKey制作系統(tǒng)數(shù)據(jù)庫(kù)),將帳號(hào)錄入九七系統(tǒng)���,帳號(hào)可從USBKey中讀出���,帳號(hào)可以從USBKey制作系統(tǒng)數(shù)據(jù)庫(kù)通過(guò)USBKey編號(hào)查詢�����。將USBKey交給客戶;2�、系統(tǒng)自動(dòng)分配ADSL號(hào),ADSL號(hào)與電話號(hào)碼關(guān)聯(lián)��;使用此方式���,沒(méi)有改變?cè)袠I(yè)務(wù)流程和工單派發(fā)流程����,只是將原有的業(yè)務(wù)節(jié)點(diǎn)功能稍作增強(qiáng)和改動(dòng)��。對(duì)于營(yíng)業(yè)廳開(kāi)戶操作����,營(yíng)業(yè)員同以前一樣在九七系統(tǒng)中錄入用戶信息、帳號(hào)��。由于不再有密碼紙���,為了獲得帳號(hào)�,需要通過(guò)增加九七和OBS的接口程序�,九七將帳號(hào)提交給OBS,OBS返回給九七帳號(hào)�。如果不采用此方式����,還可以將帳號(hào)直接寫(xiě)入U(xiǎn)SBKey����,這樣就簡(jiǎn)化了遠(yuǎn)程獲取的工作。另外�,需要OBS定期將開(kāi)戶帳號(hào)發(fā)給USBKey管理系統(tǒng),便于統(tǒng)計(jì)使用USBKey的用戶數(shù)量�。營(yíng)業(yè)廳可以增加對(duì)USBKey中序列號(hào)和帳號(hào)的讀取功能。至于USBKey可以等到上門(mén)安裝時(shí)發(fā)放給用戶�����,也可以由客戶當(dāng)時(shí)拿走��。
在業(yè)務(wù)受理過(guò)程中�����,改變后臺(tái)系統(tǒng)中USBKey的狀態(tài)值����。當(dāng)用戶掛失USBKey時(shí),營(yíng)業(yè)廳現(xiàn)場(chǎng)制作新的USBKey���,其帳號(hào)不變���,密碼是OBS中新生成的,對(duì)應(yīng)原帳號(hào)�����。
更新認(rèn)證信息流程在客戶端提供修改USBKey的PIN碼功能即可�。
解鎖流程如果用戶忘記USBKey的PIN碼,或者用戶連續(xù)輸錯(cuò)USBKey的PIN碼達(dá)到公司允許上限����,USBKey自動(dòng)鎖定,用戶需要到營(yíng)業(yè)廳解鎖�,即初始化密碼。營(yíng)業(yè)廳需要維護(hù)USBKey的PUK碼���,用PUK碼解鎖后USBKey初始化PIN碼自動(dòng)設(shè)置成統(tǒng)一值��,由用戶回家后修改成自己的PIN碼����。
掛失流程掛失即指用戶由于USBKey的丟失或損壞而更換USBKey���,流程如下1��、用戶拿著身份證來(lái)營(yíng)業(yè)廳辦理掛失��。
2�����、通過(guò)身份證號(hào)碼在九七系統(tǒng)中查詢到該用戶的帳號(hào)�。
3、對(duì)于損壞的USBKey��,要驗(yàn)證回收�����。只要掛失��,無(wú)論損壞或丟失�����,保留帳號(hào)�,但必須修改OBS中的密碼字段,即作初始化密碼工作���,這點(diǎn)和以前OBS的操作一致����。OBS需增加通知USBKey管理中心注銷該帳號(hào)對(duì)應(yīng)的USBKey序列號(hào)的接口�����。
4����、OBS中新生成的密碼返回到營(yíng)業(yè)廳,營(yíng)業(yè)廳制作新的USBKey�����。
暫關(guān)/恢復(fù)流程可以由用戶主動(dòng)提出暫關(guān)���,也可以因?yàn)榍焚M(fèi)被動(dòng)暫關(guān)�。流程如下1�、用戶到營(yíng)業(yè)廳提出暫關(guān)(需要帶身份證,或帶USBKey)�,或者帳務(wù)系統(tǒng)通知九七系統(tǒng)某用戶欠費(fèi)。
2�����、設(shè)置OBS中相應(yīng)用戶帳號(hào)狀態(tài)為暫關(guān)狀態(tài)。當(dāng)OBS中某用戶帳號(hào)設(shè)置為暫關(guān)狀態(tài)后�,該用戶進(jìn)行網(wǎng)絡(luò)認(rèn)證時(shí),OBS根據(jù)帳號(hào)狀態(tài)不會(huì)讓該用戶通過(guò)網(wǎng)絡(luò)接入認(rèn)證�����,該用戶就不能使用網(wǎng)絡(luò)����。)對(duì)于解掛、恢復(fù)流程����,同上1、2��,只是設(shè)置的狀態(tài)是解掛/恢復(fù)狀態(tài)�����,OBS會(huì)對(duì)用戶帳號(hào)修改相應(yīng)狀態(tài)�����。
本環(huán)節(jié)中,九七系統(tǒng)對(duì)OBS的暫關(guān)操作和帳務(wù)系統(tǒng)通知九七系統(tǒng)某用戶欠費(fèi)�����,目前均已經(jīng)具備����,只需增加營(yíng)業(yè)廳對(duì)USBKey中序列號(hào)和帳號(hào)的讀取功能�����。
帳號(hào)注銷流程注銷即指用戶主動(dòng)申請(qǐng)停止此項(xiàng)業(yè)務(wù)時(shí)的業(yè)務(wù)流程��。營(yíng)業(yè)廳注銷時(shí)需要同時(shí)注銷九七系統(tǒng)中用戶信息所對(duì)應(yīng)的帳號(hào)�、OBS系統(tǒng)中的認(rèn)證信息、USBKey管理中心的記錄�。當(dāng)該用戶與公司不再有任何業(yè)務(wù)關(guān)系時(shí),要回收USBKey�。但是對(duì)于帳號(hào)需要保留,以便日后分析客戶行為�。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)接入系統(tǒng)�����,其特征在于�,包括外接認(rèn)證裝置,存儲(chǔ)有用戶認(rèn)證信息�,用于提供給客戶端;客戶端�����,用于提供網(wǎng)絡(luò)接入服務(wù)���,并在接入網(wǎng)絡(luò)或使用網(wǎng)絡(luò)提供的業(yè)務(wù)時(shí)將外接認(rèn)證裝置提供的用戶認(rèn)證信息提供給網(wǎng)絡(luò)以認(rèn)證����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于��,所述系統(tǒng)還包括外接認(rèn)證裝置管理系統(tǒng)�����,用于存儲(chǔ)外接認(rèn)證裝置序列號(hào)與寬帶接入帳號(hào)的對(duì)應(yīng)關(guān)系�,及外接認(rèn)證裝置的狀態(tài)值。
3.根據(jù)權(quán)利要求1或2所述的系統(tǒng)�,其特征在于,所述系統(tǒng)還包括外接認(rèn)證裝置制作系統(tǒng)��,用于初始化外接認(rèn)證裝置��。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于����,所述的外接認(rèn)證裝置包括USBKey、磁盤(pán)���。
5.一種網(wǎng)絡(luò)接入方法�,其特征在于��,外接認(rèn)證裝置中保存有用戶認(rèn)證信息,在通過(guò)客戶端接入網(wǎng)絡(luò)時(shí)��,包括客戶端從外接認(rèn)證裝置中獲得用戶認(rèn)證信息���;客戶端使用獲得的用戶認(rèn)證信息去登陸網(wǎng)絡(luò)����,由網(wǎng)絡(luò)側(cè)設(shè)備確認(rèn)用戶認(rèn)證信息合法后接入網(wǎng)絡(luò)�����。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于��,所述客戶端從外接認(rèn)證裝置中獲得用戶認(rèn)證信息的步驟包括客戶端訪問(wèn)外接認(rèn)證裝置�����,獲得外接認(rèn)證裝置加密保存的用戶認(rèn)證信息�;客戶端對(duì)所述用戶認(rèn)證信息進(jìn)行解密,獲得需要的用戶認(rèn)證信息�����。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于���,所述獲得的外接認(rèn)證裝置加密保存的用戶認(rèn)證信息中還包括加密的密鑰�;所述解密步驟包括客戶端提取出加密的密鑰發(fā)送給外接認(rèn)證裝置���;外接認(rèn)證裝置對(duì)加密的密鑰解密后并發(fā)送給客戶端����;客戶端使用解密后的密鑰解密所述獲得的加密保存的用戶認(rèn)證信息����。
8.根據(jù)權(quán)利要求5所述的方法,其特征在于���,進(jìn)一步包括外接認(rèn)證裝置對(duì)客戶端執(zhí)行鑒權(quán)過(guò)程�。
9.根據(jù)權(quán)利要求8所述的方法�,其特征在于���,所述鑒權(quán)過(guò)程包括外接認(rèn)證裝置生成一個(gè)隨機(jī)數(shù)并對(duì)該隨機(jī)數(shù)進(jìn)行加密���;同時(shí)將生成的隨機(jī)數(shù)發(fā)送給客戶端���;客戶端使用相同的算法將隨機(jī)數(shù)加密后返回給外接認(rèn)證裝置;外接認(rèn)證裝置將收到的值與其自己加密后的結(jié)果進(jìn)行比較����,若相同則通過(guò)鑒權(quán)。
10.根據(jù)權(quán)利要求5或8所述的方法���,其特征在于���,進(jìn)一步包括外接認(rèn)證裝置向客戶端請(qǐng)求用戶輸入個(gè)人身份號(hào)碼PIN;客戶端將用戶輸入的PIN傳送給外接認(rèn)證裝置�;外接認(rèn)證裝置對(duì)客戶端傳送過(guò)來(lái)的PIN進(jìn)行驗(yàn)證。
11.根據(jù)權(quán)利要求5所述的方法��,其特征在于����,實(shí)現(xiàn)網(wǎng)絡(luò)接入后進(jìn)一步包括使用網(wǎng)絡(luò)提供的業(yè)務(wù)時(shí),網(wǎng)絡(luò)側(cè)設(shè)備向客戶端請(qǐng)求業(yè)務(wù)帳號(hào)���;客戶端從外接認(rèn)證裝置中獲得業(yè)務(wù)帳號(hào)并提供給網(wǎng)絡(luò)側(cè)設(shè)備�;網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)客戶端提供的業(yè)務(wù)帳號(hào)獲得用于計(jì)費(fèi)的用戶合同號(hào)���,并允許所述業(yè)務(wù)的使用�。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于����,所述向客戶端請(qǐng)求業(yè)務(wù)帳號(hào)為通過(guò)發(fā)送挑戰(zhàn)消息實(shí)現(xiàn);所述客戶端從外接認(rèn)證裝置中獲得業(yè)務(wù)帳號(hào)并提供給網(wǎng)絡(luò)側(cè)設(shè)備的步驟包括客戶端收到挑戰(zhàn)消息后���,從外接認(rèn)證裝置中讀取存儲(chǔ)的包括業(yè)務(wù)帳號(hào)的數(shù)字證書(shū)及對(duì)挑戰(zhàn)消息的簽名��,并發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備���;網(wǎng)絡(luò)側(cè)設(shè)備驗(yàn)證數(shù)字證書(shū)合法和有效、所述簽名有效后�����,提取出所述業(yè)務(wù)帳號(hào)���。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)接入系統(tǒng)���,包括外接認(rèn)證裝置����,存儲(chǔ)有用戶認(rèn)證信息�,用于提供給客戶端���;客戶端��,用于提供網(wǎng)絡(luò)接入服務(wù)�,并在接入網(wǎng)絡(luò)或使用網(wǎng)絡(luò)提供的業(yè)務(wù)時(shí)將外接認(rèn)證裝置提供的用戶認(rèn)證信息提供給網(wǎng)絡(luò)�。還提供了一種網(wǎng)絡(luò)接入方法,外接認(rèn)證裝置中保存有用戶認(rèn)證信息��,在通過(guò)客戶端接入網(wǎng)絡(luò)時(shí)���,包括客戶端從外接認(rèn)證裝置中獲得用戶認(rèn)證信息�;客戶端使用獲得的用戶認(rèn)證信息去登陸網(wǎng)絡(luò)�,由網(wǎng)絡(luò)確認(rèn)用戶認(rèn)證信息合法后實(shí)現(xiàn)網(wǎng)絡(luò)接入。使用本發(fā)明����,可解決網(wǎng)絡(luò)接入用戶帳號(hào)盜用問(wèn)題及帳號(hào)唯一性限制問(wèn)題。
文檔編號(hào)H04L9/08GK1925401SQ200610149618
公開(kāi)日2007年3月7日 申請(qǐng)日期2006年10月12日 優(yōu)先權(quán)日2006年10月12日
發(fā)明者韓鼎金, 蘭娟, 黃燕, 羅長(zhǎng)安, 蘇莉娜, 尹娜, 李丙立 申請(qǐng)人:中國(guó)網(wǎng)通(集團(tuán))有限公司北京市分公司