本发明公开了一种用户身份确定方法及装置和系统,在用户认证通过后,记录该认证通过用户对应的身份合法时刻,认证通过用户所在客户端周期地发送设定格式报文到网络侧,网络侧接收到客户端发送的设定格式报文,且确定使用与该客户端对应的共享密钥从该设定格式报文中解密出的信息为与之前随机生成的第一信息之间满足设定的变换策略的第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻,网络侧在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。采用本发明提供的方法及装置和系统,限制了非法用户通过地址欺骗非法访问网络,提高了对用户认证的准确性。
无线局域网网络侧在用户认证通过后,随机生成第一信息,并使用与认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密,将加密结果发送给所述认证通过用户所在客户端,并记录当前时刻为所述认证通过用户对应的身份合法时刻;
所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息,在上报周期到达时,按照设定的变换策略将所述第一信息变换成第二信息,并使用所述共享密钥加密所述第二信息,将加密结果通过设定格式报文携带发送到所述网络侧;
所述网络侧接收到客户端发送的所述设定格式报文,且确定使用与所述客户端的地址对应的共享密钥从所述设定格式报文中解密出的信息为所述第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻;
所述网络侧在检测周期到达时,将所述身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。
所述网络侧在确定出非法用户后,删除存储的非法用户所在客户端的地址及与所述非法用户所在客户端的地址对应的共享密钥和第一信息;或者在执行所述删除之前,还发送认证页面给所述非法用户所在客户端。
3.如权利要求1所述的方法,其特征在于,所述按照设定的变换策略将所述第一信息变换成第二信息,具体为:在各上报周期到达时,对所述第一信息按照不同的变换策略进行变换,得到所述第二信息;或者在各上报周期到达时,对上一次得到的第二信息按照相同的变换策略进行变换,得到本次对应的第二信息。
4.如权利要求1所述的方法,其特征在于,所述共享密钥按下述方式生成:所述网络侧使用密钥生成算法对所述认证通过用户的用户密码进行运算,生成所述共享密钥,并随认证通过页面将所述密钥生成算法下发给所述认证通过用户所在客户端;所述认证通过用户所在客户端使用所述密钥生成算法对所述用户密码进行运算,生成所述共享密钥;或者所述网络侧生成随机数,并使用密钥生成算法对所述用户密码和所述随机数进行运算,生成所述共享密钥,并随认证通过页面将所述密钥生成算法和所述随机数下发给所述认证通过用户所在客户端;所述认证通过用户所在客户端使用所述密钥生成算法对所述用户密码和所述随机数进行运算,生成所述共享密钥;或者所述网络侧和所述认证通过用户所在客户端分别使用约定的密钥生成算法对所述用户密码进行运算,生成所述共享密钥。
5.如权利要求4所述的方法,其特征在于,所述随认证通过页面将所述密钥生成算法和所述随机数下发给所述认证通过用户所在客户端,具体包括:在所述网络侧的认证服务器确定用户认证通过后,由所述网络侧的门户服务器发送所述认证通过页面给所述网络侧的接入控制器,所述接入控制器发送所述认证通过页面给所述认证通过用户所在客户端,并随所述认证通过页面将所述密钥生成算法和所述随机数下发给所述认证通过用户所在客户端。
6.如权利要求1所述的方法,其特征在于,还包括:所述网络侧随认证通过页面下发解密算法给所述认证通过用户所在客户端;所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息,具体为:所述认证通过用户所在客户端使用所述共享密钥和随所述认证通过页面下发的解密算法解密出所述第一信息;和/或还包括:所述网络侧随认证通过页面下发加密算法给所述认证通过用户所在客户端;
所述认证通过用户所在客户端使用所述共享密钥加密所述第二信息,具体为:所述认证通过用户所在客户端使用所述共享密钥和随所述认证通过页面下发的加密算法加密所述第二信息。
7.如权利要求1所述的方法,其特征在于,所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息,具体为:所述认证通过用户所在客户端使用所述共享密钥和与网络侧约定的解密算法解密出所述第一信息;
所述认证通过用户所在客户端使用所述共享密钥加密所述第二信息,具体为:所述认证通过用户所在客户端使用所述共享密钥和与网络侧约定的加密算法加密所述第二信息。
生成单元,用于在用户认证通过后,随机生成第一信息;
加密发送单元,用于使用与认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密,将加密结果发送给所述认证通过用户所在客户端,并记录当前时刻为所述认证通过用户对应的身份合法时刻;
解密确定单元,用于接收到客户端发送的所述设定格式报文,且确定使用与所述客户端的地址对应的共享密钥从所述设定格式报文中解密出的信息为第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻,其中,所述第二信息为按照设定的变换策略由所述第一信息变换得到的信息;
检测单元,用于在检测周期到达时,将所述身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。
9.如权利要求8所述的接入控制器,其特征在于,还包括:删除单元,用于在确定出非法用户后,删除存储的非法用户所在客户端的地址及与所述非法用户所在客户端的地址对应的共享密钥和第一信息。
10.如权利要求8所述的接入控制器,其特征在于,所述加密发送单元,还用于发送认证通过页面给所述认证通过用户所在客户端,并随所述认证通过页面下发生成所述共享密钥使用的密钥生成算法、加密算法以及解密算法其中之一或其任意组合。
11.一种用户身份确定系统,其特征在于,包括如权利要求8所述的接入控制器,还包括:门户服务器;
所述接入控制器,还用于在确定出非法用户后,发送身份确定非法消息给所述门户服务器,并删除存储的非法用户所在客户端的地址及所述非法用户所在客户端的地址对应的共享密钥和第一信息;
所述门户服务器,还用于接收所述接入控制器发送的所述身份确定非法消息,并发送认证页面给所述非法用户所在客户端。
12.如权利要求11所述的系统,其特征在于,还包括:
所述门户服务器,还用于发送认证通过页面给所述接入控制器;
所述接入控制器,还用于接收所述门户服务器发送的所述认证通过页面,并发送所述认证通过页面给所述认证通过用户所在客户端。
一种用户身份确定方法及装置和系统
技术领域
[0001] 本发明涉及通信领域,尤其涉及一种用户身份确定方法及装置和系统 [0002] 背景技术
[0003] 目前无线局域网WLAN的Web认证机制中,用户的认证由接入控制器AC、门户Portal服务器和RADIUS(Remote Authentication Dial In User Service)认证服务器共同完成。用户认证时,用户所在客户端与接入点AP建立连接后,与AC之间完成DHCP地址分配,即AC为该用户所在客户端分配地址,AC通知Portal服务器向该用户所在客户端发送认证页面,该用户通过其所在客户端将用户名和用户密码发送给Portal服务器,然后,AC、Portal服务器和RADIUS认证服务器共同完成对该用户的认证,认证通过后,由Portal向该用户所在客户端发送认证通过页面。
[0004] 在用户认证通过后,AC中会维持一个会话状态表,用于记录已通过认证的用户会话,即会话状态表中存储该用户所在客户端的地址。目前,一般以IP地址或者IP地址+MAC地址作为该会话状态表的识别索引,当网络侧收到客户端发送的访问请求时,如果该客户端的源IP地址或者源IP地址+源MAC地址已经存在于当前会话状态表的记录中,则认为该客户端用户已经通过认证,确定其为合法用户。WLAN仅进行一次用户认证,然后通过客户端的IP地址+MAC来识别客户端用户。由于IP地址和MAC地址的信息都可以进行篡改,因此,这种方式很容易导致非法用户不进行用户认证,而是通过冒用合法用户身份的方式来免费使用WLAN业务。
[0005] 常见的一种攻击方式为非法用户通过发起地址欺骗攻击来避免用户认证过程,冒用合法用户身份,具体实现方式为:恶意攻击者利用DOS等攻击方式使已通过认证的某用户所在客户端失效,然后将自己所在客户端的IP/MAC 地址伪装成该合法用户所在客户端的IP/MAC地址,并发起访问请求,由于AC通过IP/MAC地址无法识别出该客户端用户为非法用户,导致非法用户可以达到免费访问网络的目的。
[0006] 发明内容
[0007] 本发明提供一种用户身份确定方法及装置和系统,用以限制非法用户通过地址欺骗非法访问网络,提高对用户身份确定的准确性。
[0008] 本发明实施例提供一种用户身份确定方法,包括:
[0009] 无线局域网网络侧在用户认证通过后,随机生成第一信息,并使用与认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密,将加密结果发送给所述认证通过用户所在客户端,并记录当前时刻为所述认证通过用户对应的身份合法时刻; [0010] 所述认证通过用户所在客户端使用所述共享密钥解密出所述第一信息,在上报周期到达时,按照设定的变换策略将所述第一信息变换成第二信息,并使用所述共享密钥加密所述第二信息,将加密结果通过设定格式报文携带发送到所述网络侧; [0011] 所述网络侧接收到客户端发送的所述设定格式报文,且确定使用与所述客户端的地址对应的共享密钥从所述设定格式报文中解密出的信息为所述第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻;
[0012] 所述网络侧在检测周期到达时,将所述身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。
[0013] 本发明实施例还提供一种接入控制器,包括:
[0014] 生成单元,用于在用户认证通过后,随机生成第一信息;
[0015] 加密发送单元,用于使用与认证通过用户所在客户端的地址相对应的共享密钥对所述第一信息进行加密,将加密结果发送给所述认证通过用户所在客户端,并记录当前时刻为所述认证通过用户对应的身份合法时刻;
[0016] 接收单元,用于接收客户端发送的设定格式报文;
[0017] 解密确定单元,用于接收到客户端发送的所述设定格式报文,且确定使用与所述客户端的地址对应的共享密钥从所述设定格式报文中解密出的信息为第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻,其中,所述第二信息为按照设定的变换策略由所述第一信息变换得到的信息;
[0018] 检测单元,用于在检测周期到达时,将所述身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。
[0019] 本发明实施例还提供一种用户身份确定系统,包括上述接入控制器,还包括:门户服务器;
[0020] 所述接入控制器,还用于在确定出非法用户后,发送身份确定非法消息给所述门户服务器,并删除存储的非法用户所在客户端的地址及所述非法用户所在客户端的地址对应的共享密钥和第一信息;
[0021] 所述门户服务器,还用于接收所述接入控制器发送的所述身份确定非法消息,并发送认证页面给所述非法用户所在客户端。
[0022] 本发明有益效果如下:
[0023] 本发明实施例提供的方法,包括:无线局域网网络侧在用户认证通过后,随机生成第一信息,并使用与认证通过用户所在客户端的地址相对应的共享密钥对第一信息进行加密,将加密结果发送给认证通过用户所在客户端,并记录当前时刻为该认证通过用户对应的身份合法时刻;认证通过用户所在客户端使用共享密钥解密出第一信息,在上报周期到达时,按照设定的变换策略将第一信息变换成第二信息,并使用共享密钥加密第二信息,将加密结果通过设定格式报文携带发送到网络侧;网络侧接收到客户端发送的设定格式报文,且确定使用与该客户端的地址对应的共享密钥从该设定格式报文中解密出的信息为与第一信息之间满足上述变换策略的第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻;网络侧在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。采用本发明提 供的方法及装置和系统,当非法用户所在客户端使用认证通过用户所在客户端的地址访问网络时,由于其无法使用网络侧与合法用户之间的共享密钥加密第二信息,则无法周期地发送正确的设定格式报文,则网络侧不会更新存储的该认证通过用户对应的身份合法时刻,在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户,因此,限制了非法用户通过地址欺骗非法访问网络,提高了对用户身份确定的准确性。 附图说明
[0024] 图1为本发明实施例提供的一种用户身份确定方法流程图;
[0025] 图2为本发明实施例提供的一种用户身份确定方法中用户认证的信令交互流程图;
[0026] 图3为本发明实施例提供的一种用户身份确定方法中用户认证通过后的信令交互流程图之一;
[0027] 图4为本发明实施例提供的一种用户身份确定方法中用户认证通过后的信令交互流程图之二;
[0028] 图5为本发明实施例提供的一种用户身份确定方法中用户认证通过后的信令交互流程图之三;
[0029] 图6为本发明实施例提供的一种接入控制器结构示意图;
[0030] 图7为本发明实施例提供的一种用户身份确定系统结构示意图。 具体实施方式
[0031] 本发明实施例提供一种用户身份确定方法,如图1所示,包括: [0032] 步骤S101、网络侧在用户认证通过后,首先随机生成第一信息,使用与认证通过用户所在客户端的地址相对应的共享密钥对第一信息进行加密,将加密结果发送给认证通过用户所在客户端,并记录当前时刻为认证通过用户对应的身份合法时刻。 [0033] 其中,共享密钥为根据用户密码生成,例如,使用密钥生成算法对用户密码进行运算,生成共享密钥;或者生成随机数,并使用密钥生成算法对用户密码和随机数进行运算,生成共享密钥;或者使用与客户端约定的密钥生成算法对用户密码进行运算,生成共享密钥。
[0034] 生成的共享密钥在存储时与认证通过用户所在客户端的地址相对应。 [0035] 步骤S102、认证通过用户所在客户端接收到网络侧发送的对第一信息进行加密的加密结果后,使用共享密钥解密出第一信息,在上报周期到达时,按照设定的变换策略将第一信息变换成第二信息,并使用共享密钥加密第二信息,将加密结果通过设定格式报文携带发送到网络侧。
[0036] 其中,共享密钥为根据用户密码生成,例如,网络侧随认证通过页面将密钥生成算法下发给认证通过用户所在客户端,认证通过用户所在客户端使用密钥生成算法对用户密码进行运算,生成共享密钥;或者随认证通过页面将密钥生成算法和随机数下发给认证通过用户所在客户端,认证通过用户所在客户端使用密钥生成算法对用户密码和随机数进行运算,生成共享密钥;或者使用与网络侧约定的密钥生成算法对用户密码进行运算,生成共享密钥。
[0037] 其中,认证通过用户所在客户端解密出第一信息使用的解密算法和加密第二信息使用的加密算法为网络侧随认证通过页面下发的解密算法和加密算法,或者为与网络侧约定的解密算法和加密算法。
[0038] 其中,设定格式报文可以采用任意格式报文,例如采用现有技术中的心跳报文等。 [0039] 步骤S103、网络侧接收到客户端发送的设定格式报文,且确定使用与该客户端的地址对应的共享密钥从该设定格式报文中解密出的信息为与第一信息之间满足上述变换策略的第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻。 [0040] 步骤S104、网络侧在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。
[0041] 上述步骤S104中的设定阈值大于上述步骤S102中的上报周期。 [0042] 下面结合附图,用具体实施例对本发明提供的方法及装置和相应系统进行详细描述。
[0043] 图2为本发明实施例提供的一种用户身份确定方法中用户认证的信令交互流程图,其中,接入控制器AC、门户Portal服务器和RADIUS服务器位于网络侧,具体包括: [0044] 步骤S201、WLAN用户所在客户端在与网络侧建立连接,并由AC为其分配IP地址后,发送访问请求给AC。
[0045] 步骤S202、AC接收客户端发送的访问请求,将访问请求发送给Portal服务器。 [0046] 步骤S203、Portal服务器接收AC发送的访问请求,向客户端发送认证页面。 [0047] 步骤S204、客户端接收Portal服务器发送的认证页面,根据认证页面中的指示,填写用户名和用户密码,并由认证请求携带发送给Portal服务器,以及存储用户密码。 [0048] 步骤S205、Portal服务器接收客户端发送的用户名和用户密码,并将客户端的IP地址发送给AC。
[0049] 步骤S206、AC接收Portal服务器发送的IP地址,存储IP地址,然后随机生成随机数,并将随机数和IP地址发送给Portal服务器。其中,随机数用于同用户密码一起进行运算,生成共享密钥。
[0050] 本发明实施例中,生成的随机数具体包括两个随机数,分别是challenge和chaID。随机数的生成方法和包含的随机数数量以及每个随机数的取值范围,与密钥生成算法有关,具体随机数生成方法可采用现有技术中的多种方法,在此不做详细描述。其他实施例中可以有其他选择。
[0051] 步骤S207、Portal服务器接收AC发送的IP地址和随机数,根据IP地址,匹配出对应的用户名和用户密码,使用密钥生成算法对用户密码和随机数进行 运算,生成共享密钥,并将IP地址、用户名和共享密钥发送给AC。本发明实施例中,密钥生成算法采用MD5算法,其他实施例中也可以选择其他密钥生成算法。
[0052] 步骤S208、AC接收Portal服务器发送的IP地址、用户名和共享密钥,对应IP地址存储共享密钥,并发送用户名、随机数和共享密钥给RADIUS认证服务器。 [0053] 步骤S209、RADIUS认证服务器接收AC发送的用户名、随机数和共享密钥,根据本地存储的用户信息,匹配出对应该用户名的用户密码,使用密钥生成算法对匹配出的用户密码和随机数进行运算,生成共享密钥,比较生成的共享密钥和接收的共享密钥是否相同,如果相同,认证通过,如果不同,认证失败,并将认证结果消息(认证通过消息或认证失败消息)发送给AC。
[0054] 步骤S210、AC接收RADIUS认证服务器发送的认证结果消息,并将该认证结果消息和对应该消息的IP地址发送给Portal服务器。
[0055] 步骤S211、Portal服务器接收AC发送的认证结果消息和IP地址,生成认证结果页面(认证通过页面或认证失败页面),并将认证结果页面和IP地址发送给AC,并随认证通过页面将密钥生成算法发送给AC。
[0056] 步骤S212、AC接收Portal服务器发送的认证结果页面和IP地址。 [0057] 如果认证结果页面为认证失败页面,那么根据IP地址发送该认证失败页面给客户端。
[0058] 如果认证结果页面为认证通过页面,那么随机生成第一信息,并使用加密算法和共享密钥对第一信息进行加密运算,本发明实施例中加密算法采用3Des算法,其他实施例中也可以选择其他密钥生成算法。根据IP地址发送认证通过页面、随机数和对第一信息进行加密的加密结果给客户端,并随认证通过页面下发密钥生成算法、加密算法和解密算法给客户端,并记录当前时刻为该认证通过用户对应的身份合法时刻。
[0059] 本发明实施例中,WALN用户认证通过后,其所在客户端接收网络侧下发 的认证通过页面和对第一信息进行加密的加密结果,使用随认证通过页面下发的密钥生成算法对用户密码和随机数进行运算,生成共享密钥;并使用共享密钥和随认证通过页面下发的解密算法解密出第一信息。
[0060] 本发明实施例中,认证通过用户所在客户端周期地发送心跳报文到网络侧,具体为:
[0061] 在上报周期到达时,按照设定的变换策略将第一信息变换成第二信息,比如,在各上报周期到达时,对第一信息按照不同的变换策略进行变换,得到第二信息;或者在各上报周期到达时,对上一次得到的第二信息按照相同的变换策略进行变换,得到本次对应的第二信息,具体的变换策略可以采用现有技术的各种方法;并使用共享密钥和随认证页面下发的加密算法加密第二信息,将加密结果通过心跳报文发送给AC。
[0062] 图3为本发明实施例提供的一种用户身份确定方法中用户认证通过后的信令交互流程图之一,具体包括:
[0063] 步骤S301、WLAN用户所在客户端发送心跳报文给AC。
[0064] 步骤S302、AC接收该客户端发送的心跳报文,使用与该客户端IP地址对应的共享密钥解密出与第一信息之间满足上述变换策略的第二信息,确定该用户为合法用户,并用当前时刻更新该客户端用户对应的身份合法时刻。
[0065] 至此流程结束;或者进入步骤S303。
[0066] 步骤S303、AC发送响应报文给客户端。
[0067] 图4为本发明实施例提供的一种用户身份确定方法中首次认证通过后的信令交互流程图之二,具体包括:
[0068] 步骤S401、WLAN用户所在客户端发送心跳报文给AC。
[0069] 步骤S402、AC接收该客户端发送的心跳报文,使用与该客户端IP地址对应的共享密钥没有解密出与第一信息之间满足上述变换策略的第二信息,确定该用户为非法用户。 [0070] 至此流程结束;或者在进入步骤S403完成发送身份确定非法消息和该IP 地址给Portal服务器后,删除存储的该非法用户所在客户端IP地址及该IP地址对应的共享密钥和第一信息。
[0071] 步骤S403、AC发送身份确定非法消息和该客户端的IP地址给Portal服务器。 [0072] 步骤S404、Portal服务器接收AC发送的身份确定非法消息和该客户端的IP地址,根据该IP地址发送认证页面给客户端。
[0073] 图5为本发明实施例提供的一种用户身份确定方法中用户认证通过后的信令交互流程图之三,具体包括:
[0074] 步骤S501、本发明实施例中,AC在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户,删除该非法用户所在客户端IP地址及对应该IP地址的共享密钥和第一信息。
[0075] 至此流程结束;或者在删除该非法用户所在客户端IP地址及对应该IP地址的共享密钥和第一信息之前,发送超时消息和该非法用户所在客户端IP地址给Portal服务器。 [0076] 步骤S502、AC发送超时消息和该非法用户所在客户端IP地址给Portal服务器。 [0077] 步骤S503、Portal服务器接收AC发送的超时消息和该非法用户所在客户端IP地址,根据该IP地址发送认证页面给该非法用户所在客户端。
[0078] 上述图5所示方法中的设定阈值大于图3和图4所示方法中的上报周期。 [0079] 上述图2-图5所示的用户身份确定方法,在用户认证通过后,记录该认证通过用户对应的身份合法时刻,认证通过用户所在客户端周期地发送心跳报文到网络侧,网络侧接收到客户端发送的心跳报文,且使用与该客户端对应的共享密钥从该心跳报文中解密出与第一信息之间满足设定的变换策略的第二信息时,确定该客户端用户为合法用户,并用当前时刻更新该客户端用户对应的身份合法时刻,网络侧在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户,因此,限制了非法用户 通过地址欺骗非法访问网络,提高了对用户身份确定的准确性。认证通过用户所在客户端在每个上报周期到达时发送的心跳报文携带的被加密的第二信息也不相同,因此,可以防止非法用户通过重放攻击非法访问网络。并且,客户端使用的密钥生成算法、加密算法和解密算法由网络侧随认证通过页面下发给客户端,客户端通过浏览器执行算法程序,完成共享密钥的生成、解密出第一信息和加密第二信息,因此,不需要改变现有客户端,便于在现有实际网络中实现该方法。
[0080] 基于同一发明构思,根据本发明上述实施例提供的用户身份确定方法,相应地,本发明实施例还提供了一种接入控制器,结构示意图如图6所示,具体包括: [0081] 生成单元601,用于在用户认证通过后,随机生成第一信息;
[0082] 加密发送单元602,用于使用与认证通过用户所在客户端的地址相对应的共享密钥对第一信息进行加密,将加密结果发送给认证通过用户所在客户端,并记录当前时刻为认证通过用户对应的身份合法时刻;
[0083] 接收单元603,用于接收客户端发送的设定格式报文;其中,设定格式报文可以采用任意格式报文,例如采用现有技术中的心跳报文等。
[0084] 解密确定单元604,用于当接收到客户端发送的设定格式报文,且确定使用与该客户端的地址对应的共享密钥从该设定格式报文中解密出的信息为与第一信息之间满足设定的变换策略的第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻; [0085] 检测单元605,用于在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户。
[0086] 较佳地,上述接入控制器,还包括:
[0087] 删除单元606,用于在确定出非法用户后,删除存储的非法用户所在客户端的地址及与该非法用户所在客户端的地址对应的共享密钥和第一信息。
[0088] 较佳地,上述加密发送单元602,还用于发送认证通过页面给认证通过用 户所在客户端,并随认证通过页面下发生成共享密钥使用的密钥生成算法、加密算法以及解密算法其中之一或其任意组合。
[0089] 本发明实施例还提供一种用户身份确定系统,系统结构示意图如图7所示,包括图6所示的接入控制器701和门户服务器702;
[0090] 上述接入控制器701,还用于在确定出非法用户后,发送身份确定非法消息给门户服务器702,并删除存储的该非法用户所在客户端的地址及该非法用户所在客户端的地址对应的共享密钥和第一信息;
[0091] 上述门户服务器702,还用于接收上述接入控制器701发送的身份确定非法消息,并发送认证页面给该非法用户所在客户端。
[0092] 较佳地,上述用户身份确定系统,还包括:
[0093] 认证服务器703,用于确定用户认证通过;
[0094] 上述门户服务器702,还用于发送认证通过页面给接入控制器701; [0095] 上述接入控制器701,还用于接收门户服务器702发送的认证通过页面,并发送认证通过页面给认证通过用户所在客户端。
[0096] 综上所述,本发明实施例提供的方案,在用户认证通过后,记录该认证通过用户对应的身份合法时刻,认证通过用户所在客户端周期地发送心跳报文到网络侧,网络侧接收到客户端发送的心跳报文,且确定使用与该客户端对应的共享密钥从该心跳报文中解密出的信息为与第一信息之间满足设定的变换策略的第二信息时,用当前时刻更新该客户端用户对应的身份合法时刻,网络侧在检测周期到达时,将身份合法时刻与当前时刻的间隔时长大于设定阈值的对应客户端用户确定为非法用户,因此,限制了非法用户通过地址欺骗非法访问网络,提高了对用户身份确定的准确性。
[0097] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
