專利名稱:一種用戶認證方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及互聯(lián)網中的認證技術����,具體涉及一種用戶認證方法和系統(tǒng)。
背景技術:
目前��,隨著互聯(lián)網的發(fā)展�,互聯(lián)網用戶越來越多�。一般��,互聯(lián)網服務提供商通過接入服務器控制互聯(lián)網用戶的接入�,具體來說,接入互聯(lián)網之前�,用戶要輸入互聯(lián)網服務提供商提供的用戶名和密碼,只有當用戶名和密碼正確才能成功接入互聯(lián)網�。這樣���,相當于用戶在與互聯(lián)網連接之前已經做過一次認證���,該認證不僅要求用戶名和密碼正確,同時還要求物理線路正確�����。
隨著互聯(lián)網上應用軟件和網站越來越多�����,每個應用軟件和網站都有各自的身份驗證機制�,這樣,使得用戶在使用這些應用軟件或登錄這些網站時都需要注冊用戶名和密碼����,通過身份驗證后才能使用該應用軟件或訪問該網站�。在注冊用戶名和密碼時����,若注冊的用戶名和密碼不同,用戶在使用時很可能會忘記���;若注冊的用戶名和密碼相同����,對于用戶而言又很不安全�。為此,一些公司和機構推出了單點登錄(SSO)技術,如Windows Passport、自由聯(lián)盟(Liberty Alliance)以及OpenID等等��;所述單點登錄技術,用戶只需進行一次登錄操作�,便可獲得所需訪問的應用系統(tǒng)和網頁的認證和授權。其中�����,Windows Passport是一種由微軟控制的中央統(tǒng)籌式的單一登錄服務,屬于一種基于訪問票據的集中式單點登錄模式����,其一般的實現(xiàn)過程包括用戶先通過Passport注冊頁面創(chuàng)建會員�����;在用戶第一次登錄時����,Passport服務器驗證身份之后��,生成Cookie驗證票����,驗證票上含有用戶名���、簽發(fā)日期時間�����、過期日期時間和用戶其他數(shù)據等等��;驗證票保存到數(shù)據庫和Passport服務器所在域Cookie中���,同時,在成員網站的數(shù)據庫上創(chuàng)建與Passport服務器數(shù)據庫中會員的映射關系���;會員通過身份驗證��,成功登錄某個成員網站A����,若會員從網站A跳轉或登錄其他成員網站B,只需要會員的Cookie驗證票通過Passport服務器的驗證即可�����?;诖耍杏脩粜畔⒍家娣旁赑assport服務器所在域中���,由它負責統(tǒng)一的身份驗證�,訪問票據以Cookie的形式存放在用戶的瀏覽器中��。此種方案的最大缺點是一旦Passport服務器所在域中心站點被黑客攻破��,將會給整個系統(tǒng)造成巨大損失�����。另夕卜�����,若采用Windows Passport技術必須全數(shù)使用微軟架構,因此,在對外與其他非微軟的技術與應用進行溝通時會有較大障礙����。Liberty Alliance是一個聯(lián)盟機構,自由聯(lián)盟規(guī)范讓不同的服務提供商加入一個聯(lián)邦式的信賴網絡中�����,它是一種基于SAML標準的面向Web服務的開放協(xié)議����。所述SAML是允許Web站點安全地共享身份信息的一種規(guī)范,在SAML框架下�,無論用戶使用哪種信任機制�����,只要滿足SAML的接口�、信息交互定義和流程規(guī)范,相互之間都可以無縫集成�����。用戶需要注冊一個用戶名和密碼,在Liberty Alliance范圍內����,只要用戶在任何一個網站通過認證后,不必接受其它網站的認證就可以使用其服務�。但是,Liberty Alliance的情況與WindowsPassport極為類似�����,網絡中僅存在一個身份提供者(Identity Provider, IDP),而所有的應用服務器(Service Provide, SP)都依賴于同一個IDP進行身份驗證����。此外,LibertyAlliance本身不產生應用,應用還需由技術廠商來開發(fā)支持�����,因此,Liberty Alliance本身存在管理復雜����、缺乏靈活性且應用缺乏兼容性等缺點。OpenID是一個以用戶為中心的數(shù)字身份識別框架����,它可以通過網站統(tǒng)一資源定位符(URL)來認證用戶身份����,當客戶端用戶登錄一個支持OpenID的網站RP時���,用戶可以選擇OpenID的方式登錄該網站,OpenID可以是該用戶在另一個網站OP注冊的一個網站URL ����;RP會根據用戶提供的OpenID去發(fā)現(xiàn)0P�����,然后請求該OP對用戶身份進行鑒權����,OP收到RP請求后,會要求用戶登錄OP認證頁面進行鑒權�����;鑒權后��,OP會提醒該用戶是否允許外部網站對用戶鑒權�����,用戶同意后�����,OP將鑒權結果返回給RP��。與Windows Passport和LibertyAlliance情況相似的是0penID的用戶密碼存儲在OpenID的網站數(shù)據庫內��,一旦密碼被泄露��,會給用戶帶來巨大的損失���。 可見�����,在現(xiàn)有技術中����,實現(xiàn)單點登錄的認證方式還是通過注冊用戶名和密碼�,并統(tǒng)一將用戶名和密碼存儲在一個數(shù)據庫中,一旦存儲這些認證信息的數(shù)據庫失密���,將會給整個系統(tǒng)和用戶帶來巨大損失��。
發(fā)明內容
有鑒于此�����,本發(fā)明的主要目的在于提供一種用戶認證方法和系統(tǒng)��,能在減少用戶繁瑣的登錄及接入認證步驟的同時���,提高互聯(lián)網業(yè)務的安全性�。為達到上述目的�����,本發(fā)明的技術方案是這樣實現(xiàn)的本發(fā)明提供了一種用戶認證方法�,該方法包括客戶端完成上網接入認證后,接入服務器存儲所述客戶端的網絡地址與用戶標識的綁定關系��;客戶端請求頁面時��,認證服務器根據服務端獲取的所述客戶端的網絡地址���,從接入服務器獲取所述客戶端網絡地址對應的用戶標識�;認證服務器發(fā)送認證用戶標識給服務端�,服務端根據所述認證用戶標識生成客戶端請求的頁面。上述方案中�,所述認證服務器發(fā)送認證用戶標識給服務端為所述認證服務器將從接入服務器獲得的用戶標識直接作為認證用戶標識發(fā)送給服務端。上述方案中��,所述認證服務器發(fā)送認證用戶標識給服務端為所述認證服務器根據從接入服務器獲得的用戶標識和服務商編號計算新用戶標識�����,并將新用戶標識作為認證用戶標識發(fā)送給服務端�。上述方案中,所述服務端生成客戶端請求的頁面之前�,該方法還包括服務端將認證服務器發(fā)來的認證用戶標識,與自身數(shù)據庫信息比對��,完成對當前客戶端的認證����。上述方案中,所述接入服務器是寬帶接入服務器(BAS)����、網關GPRS支持節(jié)點(GGSN)、運營級網絡地址轉換設備(CGN)�、或分組數(shù)據服務節(jié)點(PDSN)�����。上述方案中����,所述網絡地址為IP地址���、或為IP地址+協(xié)議號+端口號�����。本發(fā)明還提供了一種用戶認證系統(tǒng)����,該系統(tǒng)包括客戶端�����、接入服務器�、認證服務器和服務端;其中��,所述客戶端�,用于與接入服務器完成上網接入認證�����;還用于向服務端請求頁面����,接收服務端生成的自身請求的頁面���;所述接入服務器,用于與客戶端完成上網接入認證��,并存儲接入客戶端的網絡地址與用戶標識的綁定關系����;還用于根據認證服務器發(fā)來的客戶端的網絡地址,將所述網絡地址對應的用戶標識發(fā)送給認證服務器���;所述認證服務器��,用于獲取服務端發(fā)來的當前客戶端的網絡地址����,根據所述網絡地址從接入服務器獲取與客戶端的網絡地址對應的用戶標識���,向服務端發(fā)送認證用戶標識���;所述服務端�,用于將當前接入的客戶端的網絡地址發(fā)送給認證服務器���;還用于接收認證服務器發(fā)來的認證用戶標識����,并根據所述認證用戶標識生成客戶端請求的頁面�。上述方案中,所述接入服務器包括第一收發(fā)單元和數(shù)據存儲單元�����;其中��,所述第一收發(fā)單元����,用于與客戶端完成上網接入認證;還用于根據認證服務器發(fā) 來的客戶端的網絡地址�,將所述網絡地址對應的用戶標識發(fā)送給認證服務器;所述數(shù)據存儲單元�,用于存儲接入客戶端的網絡地址與用戶標識的綁定關系��。上述方案中����,所述認證服務器包括第二收發(fā)單元���,用于獲取服務端發(fā)來的當前客戶端的網絡地址�����,根據所述網絡地址從接入服務器獲取與客戶端的網絡地址對應的用戶標識,將獲得的用戶標識作為認證用戶標識發(fā)送給服務端�����。上述方案中�,所述認證服務器還包括計算單元,用于根據從接入服務器獲取到的用戶標識與服務商編號計算產生新用戶標識發(fā)送給第二收發(fā)單元�;相應的,所述第二收發(fā)單元�����,還用于將從接入服務器獲得的用戶標識發(fā)送給計算單元����,并將計算單元產生的新用戶標識作為認證用戶標識發(fā)送給服務端���。上述方案中,所述服務端包括第三收發(fā)單元和頁面生成單元���;其中�����,所述第三收發(fā)單元��,用于將當前接入的客戶端的網絡地址發(fā)送給認證服務器�����;還用于接收認證服務器發(fā)來的認證用戶標識�����;所述頁面生成單元���,用于根據所述認證用戶標識生成客戶端請求的頁面。上述方案中,所述服務端還包括數(shù)據分析單元�����,用于將認證服務器發(fā)來的認證用戶標識�����,與自身數(shù)據庫信息比對����,完成對當前客戶端的認證。本發(fā)明提供的用戶認證方法和系統(tǒng)��,在客戶端完成接入認證后�,由接入服務器存儲當前客戶端的網絡地址與用戶標識的綁定關系��;當客戶端請求頁面時�,由認證服務器根據服務端獲取的客戶端的網絡地址,從接入服務器獲取網絡地址對應的用戶標識��,并向服務端發(fā)送認證用戶標識�����,進而服務端就可以根據認證用戶標識生成客戶端所請求的頁面??梢姡景l(fā)明中客戶端用戶僅需通過上網接入認證��,便可訪問用戶請求的網頁����,不僅實現(xiàn)了單點登錄,還減少了繁瑣的登錄步驟���,提高了用戶的上網體驗��。并且��,本發(fā)明的實現(xiàn)方案中沒有集中存放用戶名和密碼的數(shù)據庫��,可避免數(shù)據庫被竊取而導致用戶身份信息丟失的情況�����,極大的提高了互聯(lián)網業(yè)務的安全性���;對于服務提供商來說,也簡化了服務端的功能設計�����。
圖I為本發(fā)明用戶認證系統(tǒng)的組成架構示意圖;圖2為本發(fā)明用戶認證方法的實現(xiàn)流程示意圖3為本發(fā)明實施例提供的用戶認證方法的實現(xiàn)流程示意圖�����。
具體實施例方式下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明�����。圖I為本發(fā)明用戶認證系統(tǒng)的組成架構示意圖���,如圖I所示���,本發(fā)明的用戶認證系統(tǒng)包括客戶端11、接入服務器12����、認證服務器13和服務端14 ;其中�,客戶端11,用于與接入服務器12完成上網接入認證���;還用于向服務端14請求頁面�����,接收服務端14生成的自身請求的頁面�����;這里����,所述請求頁面包括上網接入請求和網頁連接請求。接入服務器12�����,用于與客戶端11完成上網接入認證��,并存儲接入客戶端11的網絡 地址與用戶標識的綁定關系���;還用于根據認證服務器13發(fā)來的客戶端11的網絡地址�����,將所述網絡地址對應的用戶標識發(fā)送給認證服務器13�。認證服務器13����,用于獲取服務端14發(fā)來的當前客戶端11的網絡地址��,根據所述網絡地址從接入服務器12獲取與客戶端11的網絡地址對應的用戶標識�����,向服務端14發(fā)送認證用戶標識���;這里,認證服務器13可以將從接入服務器12獲取到的用戶標識直接作為認證用戶標識��,發(fā)送給服務端14 ;也可以先根據獲取到的用戶標識與服務商編號計算產生新用戶標識����,再將新用戶標識作為認證用戶標識發(fā)送給服務端14。這里���,認證服務器13能提供完成用戶認證功能的應用程序(API)接口��。服務端14��,用于將當前接入的客戶端11的網絡地址發(fā)送給認證服務器13 ;還用于接收認證服務器13發(fā)來的認證用戶標識,并根據所述認證用戶標識生成客戶端請求的頁面��;這里,所述認證用戶標識可以是認證服務器13從接入服務器12直接獲取的用戶標識�����;也可以是認證服務器13根據從接入服務器12獲取的用戶標識計算得到的新用戶標識���。相應的�,服務端14將認證服務器13發(fā)來的認證用戶標識��,與自身數(shù)據庫信息比對�����,完成對當前客戶端11的認證��,生成客戶端11所請求的頁面��。進一步的��,接入服務器12包括第一收發(fā)單元和數(shù)據存儲單元���;其中��,所述第一收發(fā)單元�,用于與客戶端11完成上網接入認證;還用于根據認證服務器13發(fā)來的客戶端11的網絡地址��,將所述網絡地址對應的用戶標識發(fā)送給認證服務器13 ���;所述數(shù)據存儲單元��,用于存儲接入客戶端11的網絡地址與用戶標識的綁定關系�����。所述認證服務器13包括第二收發(fā)單元��,用于獲取服務端14發(fā)來的當前客戶端11的網絡地址�,根據所述網絡地址從接入服務器12獲取與客戶端11的網絡地址對應的用戶標識�,將獲得的用戶標識作為認證用戶標識發(fā)送給服務端14 ;所述認證服務器13還包括計算單元�����,用于根據從接入服務器12獲取到的用戶標識與服務商編號計算產生新用戶標識發(fā)送給第二收發(fā)單元���;相應的���,所述第二收發(fā)單元�����,還用于將從接入服務器12獲得的用戶標識發(fā)送給計算單元,并將計算單元產生的新用戶標識作為認證用戶標識發(fā)送給服務端14�����。服務端14包括第三收發(fā)單元和頁面生成單元��;其中��,
所述第三收發(fā)單元��,用于將當前接入的客戶端11的網絡地址發(fā)送給認證服務器13 ;還用于接收認證服務器13發(fā)來的認證用戶標識���;所述頁面 生成單元�����,用于根據所述認證用戶標識生成客戶端請求的頁面����;服務端14還包括數(shù)據分析單元�,用于將認證服務器13發(fā)來的認證用戶標識�,與自身數(shù)據庫信息比對����,完成對當前客戶端11的認證。本發(fā)明中�,客戶端11通過接入網與接入服務器12相連,通過互聯(lián)網與服務端14相連���;認證服務器13與接入服務器12和服務端14相連�����,以實現(xiàn)認證服務器13與接入服務器12和服務端14之間的數(shù)據傳輸功能���。具體的,用戶在客戶端11輸入正確的用戶名和密碼�����,與接入服務器12完成上網接入認證���,接入互聯(lián)網����;之后,接入服務器12在自身存儲當前客戶端11的網絡地址與用戶標識的綁定關系�����;當客戶端11向服務端14請求頁面時�,服務端14獲得客戶端11的網絡地址����,之后將獲得的客戶端的網絡地址發(fā)送給認證服務器13 ;認證服務器13接收服務端14發(fā)來的當前客戶端的網絡地址,并將所述網絡地址發(fā)送給接入服務器12 ;接入服務器12根據自身存儲的客戶端的網絡地址與用戶標識的綁定關系���,將當前客戶端的網絡地址對應的用戶標識發(fā)送給認證服務器13 ����;認證服務器13將獲得的用戶標識作為認證用戶標識發(fā)送給服務端14 ;或者��,認證服務器13根據獲得的用戶標識和服務商編號計算新用戶標識���,將新用戶標識作為認證用戶標識發(fā)送給服務端14 ;服務端14分析比對認證用戶標識和自身數(shù)據庫的數(shù)據信息���,生成客戶端11所請求的頁面發(fā)送客戶端11。其中,所述網絡地址可以是IP地址���;當使用網絡地址轉換(MT)技術時���,由于一個IP地址可能同時被幾個用戶使用,這種情況下�����,為了進一步區(qū)分用戶�,確保網絡地址對應的客戶端的唯一性,所述網絡地址也可以是當前客戶端的IP地址+協(xié)議號+端口號的組合�����。其中����,所述接入服務器12可以是寬帶接入服務器(BAS)、運營級網絡地址轉換設備(CGN)���、或網關GPRS支持節(jié)點(GGSN)等���;所述認證服務器13可以與多個接入服務器12連接��,實際使用時��,認證服務器13根據客戶端11發(fā)送請求的網絡地址選擇相應的接入服務器12�����。所述用戶標識可以采用互聯(lián)網服務提供商(ISP)對用戶的編號�;所述編號為數(shù)字或字符串�,與用戶的身份證、年齡�����、性別�����、地址等私人信息無關���,這樣,可確保用戶的私密信息不會外泄��。所述認證服務器13與接入服務器12和服務端14的通信采用數(shù)據安全技術或采用專用網絡�����,以保證通信時的數(shù)據安全?���;谏鲜鱿到y(tǒng),本發(fā)明實現(xiàn)用戶認證系統(tǒng)的方法如圖2所示�,包括以下步驟步驟201 :客戶端完成上網接入認證;這里���,客戶端接入互聯(lián)網前�,先要輸入用戶名和密碼通過接入服務器的上網接入認證��;所述用戶名和密碼是ISP在客戶端用戶安裝互聯(lián)網接入服務時分配的���。其中����,接入服務器可以是BAS���、GGSN����、運營級CGN、分組數(shù)據服務節(jié)點(PDSN)等設備�。步驟202 :完成上網接入認證后,接入服務器存儲當前接入的客戶端的網絡地址與用戶標識的綁定關系����;
這里,所述綁定關系為當前接入的客戶端的網絡地址及其對應的用戶標識����;所述網絡地址可以是IP地址,也可以是IP地址+協(xié)議號+端口號的組合���,以確保網絡地址對應的客戶端的唯一性��;所述用戶標識采用ISP對用戶的編號,可以是數(shù)字或字符串��,所述用戶標識與用戶的身份證號碼�����、地址����、年齡��、性別等私人信息無關���,如此,可確保用戶的私密信息不會外泄�。步驟203 205 :客戶端向服務端請求頁面時,服務端獲取當前客戶端的網絡地址給認證服務器�����,認證服務器根據獲得的網絡地址從接入服務器獲取所述IP地址對應的用戶標識����;這里,所述客戶端向服務端請求頁面包括用戶通過客戶端點擊Web瀏覽器�,完成傳輸控制協(xié)議(TCP)連接后,通過超文本傳送協(xié)議(HTTP)向服務端請求打開主頁����,同時服 務端獲取當前客戶端的網絡地址。服務端將獲得的當前客戶端的網絡地址發(fā)送給認證服務器�,傳輸過程可采用數(shù)據安全技術或專用網絡,以保證認證服務器與服務端通信時的數(shù)據安全性���。認證服務器根據當前客戶端的網絡地址����、以及接入服務器中存儲的當前客戶端的網絡地址與用戶標識的綁定關系,獲得當前客戶端網絡地址對應的用戶標識���,此通信過程也采用數(shù)據安全技術或專用網絡����,以保證認證服務器與接入服務器通信時的數(shù)據安全性��。步驟206 207 :認證服務器將獲得的用戶標識作為認證用戶標識發(fā)送給服務端���,服務端根據認證用戶標識為客戶端生成用戶所請求的頁面���。這里,服務端根據認證用戶標識及自身的數(shù)據庫信息��,通過對客戶端的認證�����,生成用戶所請求的網頁返回給客戶端�。需要說明的是�����,不同的客戶端用于完成上網接入認證的用戶名和密碼不同、IP地址不同����、協(xié)議號和端口號不同,對應的用戶標識也不同����,例如甲地客戶端,用于完成上網接入認證的用戶名和密碼為x�、IP地址為a、協(xié)議號為b���、端口號為c,對應的用戶標識為I ;乙地客戶端�����,用于完成上網接入認證的用戶名和密碼為X��、IP地址為A����、協(xié)議號為B、端口號為C�,對應的用戶標識為2 ;將甲地的IP地址a、協(xié)議號b���、端口號C��、用戶標識I和乙地的IP地址A��、協(xié)議號B��、端口號C���、用戶標識2,與服務端自身數(shù)據庫里的IP地址����、協(xié)議號、端口號與用戶標識信息比對��,完成甲乙兩地不同客戶端的認證��,生成針對甲乙客戶端的網頁���。圖3為本發(fā)明實施例提供的用戶認證方法的實現(xiàn)流程示意圖。本實施例中���,接入服務器是BAS�����,用戶通過家庭寬帶接入互聯(lián)網�����,BAS完成對用戶的鑒別和接入授權��;服務端是Web服務器����,服務提供商通過Web服務器向用戶提供服務;認證服務器通過表象化狀態(tài)轉變(REST)方式向服務提供商的程序開放能夠完成用戶識別功能的API接口��。本實施例的用戶認證方法包括以下步驟步驟301 :客戶端完成上網接入認證���;這里����,客戶端通過家庭寬帶接入互聯(lián)網前����,先要輸入正確的用戶名和密碼通過BAS的上網接入認證�����;所述用戶名和密碼是ISP在客戶端用戶安裝互聯(lián)網接入服務時分配的���。步驟302 :完成上網接入認證后,BAS存儲當前接入的客戶端的網絡地址與用戶標識的綁定關系����;這里,當客戶端完成上網接入認證后�,BAS會存儲當前客戶端的網絡地址及其對應的用戶標識;所述網絡地址可以是IP地址�����,也可以是IP地址+協(xié)議號+端口號的組合��,以確保網絡地址對應的客戶端的唯一性�����;所述用戶標識采用ISP對用戶的編號�����,可以是數(shù)字或字符串,所述用戶標識與用戶的身份證號碼�����、地址�、年齡�����、性別等私人信息無關�,如此,可確保用戶的私密信息不會外泄��。步驟303 305 :客戶端向Web服務器請求Web頁面時�,Web服務器獲取當前客戶端的網絡地址并發(fā)送給認證服務器,認證服務器根據獲得的網絡地址從BAS獲取所述網絡地址對應的用戶標識���;這里���,所述客戶端向Web服務器請求Web頁面包括用戶通過客戶端點擊Web瀏覽器,完成TCP連接后����,通過HTTP協(xié)議向Web服務器請求打開主頁�,同時Web服務器獲取當前客戶端的網絡地址�����。其中��,Web頁面是由通用網關接口(CGI)程序編寫的���,Web服務器根據客戶端的網絡地址和端口號����,調用認證服務器提供的能夠完成用戶認證功能的REST接口���。Web服務器將當前客戶端的網絡地址和端口號發(fā)送給認證服務器����,傳輸過程采用 數(shù)據安全技術或專用網絡�,以保證認證服務器與服務端通信時的數(shù)據安全性。認證服務器根據當前客戶端的網絡地址���、以及BAS中存儲的客戶端的網絡地址與用戶標識的綁定關系���,獲得當前接入的客戶端的網絡地址對應的用戶標識����;通信過程采用數(shù)據安全技術或專用網絡����,以保證認證服務器與BAS通信時的數(shù)據安全性�。步驟306 308:認證服務器根據收到的用戶標識和服務商編號,計算得出新用戶標識�����,并將新用戶標識作為認證用戶標識發(fā)送給Web服務器�,Web服務器根據認證用戶標識為客戶端生成所請求的頁面;這里����,所述計算可以是將用戶標識和服務商編號做加法、或減法���、或其它預先約定的運算��。所述Web服務器根據認證用戶標識及自身的數(shù)據庫信息�����,通過對客戶端的認證�����,生成用戶所請求的頁面返回給客戶端��。需要說明的是�,不同的客戶端用于完成上網接入認證的用戶名和密碼不同、IP地址不同��、協(xié)議號和端口號不同�,計算得出對應的新用戶標識也不同。例如甲地客戶端�����,用于完成上網接入認證的用戶名和密碼為x���、IP地址為a����、協(xié)議號為b��、端口號為C,對應的用戶標識為1���,根據用戶標識和服務商編號計算得出的新用戶標識為m;乙地客戶端�,用于完成上網接入認證的用戶名和密碼為X��、IP地址為A����、協(xié)議號為B、端口號為C�����,對應的用戶標識為2��,根據用戶標識和服務商編號計算得出的新用戶標識為M ;將甲地的IP地址a�、協(xié)議號b���、端口號c�、新用戶標識m和乙地的IP地址A�、協(xié)議號B、端口號C��、新用戶標識M與Web服務器自身數(shù)據庫里的IP地址、協(xié)議號���、端口號與新用戶標識信息比對�,完成甲乙兩地不同客戶端的認證�����,生成針對甲乙客戶端的網頁���。以上所述�,僅為本發(fā)明的較佳實施例而已�����,并非用來限定本發(fā)明的保護范圍�����。凡在本發(fā)明的精神和范圍之內所作的任何修改����、等同替換和改進等,均包含在本發(fā)明的保護范圍之內。
權利要求
1.一種用戶認證方法��,其特征在于�����,該方法包括 客戶端完成上網接入認證后�����,接入服務器存儲所述客戶端的網絡地址與用戶標識的綁定關系; 客戶端請求頁面時��,認證服務器根據服務端獲取的所述客戶端的網絡地址���,從接入服務器獲取所述客戶端網絡地址對應的用戶標識���; 認證服務器發(fā)送認證用戶標識給服務端���,服務端根據所述認證用戶標識生成客戶端請求的頁面�����。
2.根據權利要求I所述的方法���,其特征在于�,所述認證服務器發(fā)送認證用戶標識給服務端為所述認證服務器將從接入服務器獲得的用戶標識直接作為認證用戶標識發(fā)送給服務端���。
3.根據權利要求I所述的方法���,其特征在于,所述認證服務器發(fā)送認證用戶標識給服務端為所述認證服務器根據從接入服務器獲得的用戶標識和服務商編號計算新用戶標識�,并將新用戶標識作為認證用戶標識發(fā)送給服務端。
4.根據權利要求1���、2或3所述的方法��,其特征在于�,所述服務端生成客戶端請求的頁面之前����,該方法還包括服務端將認證服務器發(fā)來的認證用戶標識,與自身數(shù)據庫信息比對���,完成對當前客戶端的認證����。
5.根據權利要求1、2或3所述的方法���,其特征在于���,所述接入服務器是寬帶接入服務器(BAS)、網關GPRS支持節(jié)點(GGSN)��、運營級網絡地址轉換設備(CGN)���、或分組數(shù)據服務節(jié)點(PDSN)�����。
6.根據權利要求1�、2或3所述的方法�����,其特征在于�����,所述網絡地址為IP地址���、或為IP地址+協(xié)議號+端口號��。
7.一種用戶認證系統(tǒng)����,其特征在于����,該系統(tǒng)包括客戶端、接入服務器�、認證服務器和服務端;其中����, 所述客戶端,用于與接入服務器完成上網接入認證���;還用于向服務端請求頁面��,接收服務端生成的自身請求的頁面���; 所述接入服務器,用于與客戶端完成上網接入認證�,并存儲接入客戶端的網絡地址與用戶標識的綁定關系���;還用于根據認證服務器發(fā)來的客戶端的網絡地址,將所述網絡地址對應的用戶標識發(fā)送給認證服務器����; 所述認證服務器,用于獲取服務端發(fā)來的當前客戶端的網絡地址��,根據所述網絡地址從接入服務器獲取與客戶端的網絡地址對應的用戶標識����,向服務端發(fā)送認證用戶標識; 所述服務端��,用于將當前接入的客戶端的網絡地址發(fā)送給認證服務器�����;還用于接收認證服務器發(fā)來的認證用戶標識���,并根據所述認證用戶標識生成客戶端請求的頁面���。
8.根據權利要求7所述的系統(tǒng),其特征在于�����,所述接入服務器包括第一收發(fā)單元和數(shù)據存儲單兀����;其中, 所述第一收發(fā)單元���,用于與客戶端完成上網接入認證��;還用于根據認證服務器發(fā)來的客戶端的網絡地址����,將所述網絡地址對應的用戶標識發(fā)送給認證服務器�����; 所述數(shù)據存儲單元�,用于存儲接入客戶端的網絡地址與用戶標識的綁定關系。
9.根據權利要求7所述的系統(tǒng)�,其特征在于,所述認證服務器包括第二收發(fā)單元���,用于獲取服務端發(fā)來的當前客戶端的網絡地址�����,根據所述網絡地址從接入服務器獲取與客戶端的網絡地址對應的用戶標識���,將獲得的用戶標識作為認證用戶標識發(fā)送給服務端���。
10.根據權利要求9所述的系統(tǒng),其特征在于����,所述認證服務器還包括計算單元,用于根據從接入服務器獲取到的用戶標識與服務商編號計算產生新用戶標識發(fā)送給第二收發(fā)單元����; 相應的,所述第二收發(fā)單元����,還用于將從接入服務器獲得的用戶標識發(fā)送給計算單元,并將計算單元產生的新用戶標識作為認證用戶標識發(fā)送給服務端��。
11.根據權利要求7所述的系統(tǒng)����,其特征在于�����,所述服務端包括第三收發(fā)單元和頁面生成單元��;其中, 所述第三收發(fā)單元����,用于將當前接入的客戶端的網絡地址發(fā)送給認證服務器;還用于接收認證服務器發(fā)來的認證用戶標識���; 所述頁面生成單元�����,用于根據所述認證用戶標識生成客戶端請求的頁面��。
12.根據權利要求11所述的系統(tǒng)�����,其特征在于����,所述服務端還包括數(shù)據分析單元,用于將認證服務器發(fā)來的認證用戶標識�����,與自身數(shù)據庫信息比對�����,完成對當前客戶端的認證�����。
13.根據權利要求7至12任一項所述的系統(tǒng)����,其特征在于,所述接入服務器是BAS�、GGSN、運營級 CGN�����、或 H)SN�。
14.根據權利要求7至12任一項所述的系統(tǒng),其特征在于,所述網絡地址為IP地址���、或為IP地址+協(xié)議號+端口號�����。
全文摘要
本發(fā)明公開了一種用戶認證方法���,該方法包括客戶端完成上網接入認證后����,接入服務器存儲所述客戶端的網絡地址與用戶標識的綁定關系;客戶端請求頁面時�,認證服務器根據服務端獲取的所述客戶端的網絡地址,從接入服務器獲取所述客戶端網絡地址對應的用戶標識�;認證服務器發(fā)送認證用戶標識給服務端,服務端根據所述認證用戶標識生成客戶端請求的頁面��。本發(fā)明還同時公開了一種用戶認證系統(tǒng)��,采用本發(fā)明的用戶認證方法和系統(tǒng)���,能在減少用戶繁瑣的登錄及接入認證步驟的同時����,提高互聯(lián)網業(yè)務的安全性。
文檔編號H04L29/08GK102710621SQ20121016062
公開日2012年10月3日 申請日期2012年5月22日 優(yōu)先權日2012年5月22日
發(fā)明者劉奇峰, 呂勇 申請人:中興通訊股份有限公司