一种分发用于接入网络的一次性密码的方法

摘要

本发明公开了一种通过非结构化补充业务数据USSD分发用于接入网络的一次性密码OTP的方法，该方法关键在于：认证服务器AS收到用户端发起的OTP请求后生成OTP密码，然后AS利用标准USSD信令，将其自身生成的OTP密码通过移动通信网络发送给对应的移动用户终端，采用该方法，使得OTP密码的分发方式更加多样，并且使得OTP密码的接入认证方式得以应用于无线局域网WLAN与移动通信网络相结合的网络环境中。

说明书

技术领域

本发明属于安全认证技术领域，尤其涉及一种通过非结构化补充业务数据(USSD)业务分发用于接入网络的一次性密码(OTP)的方法。

背景技术

当前，为了业务的传输安全，用户接入网络时多采用接入认证的方式，现有技术中存在以下几种接入认证方式：

1、固定用户名和密码的接入认证方式，该方式采用固定的用户名和密码实现接入过程，在不同的接入过程中，用户所采用的用户名和密码不变，此种方式虽然能够实现接入认证，但是由于用户采用的是固定的用户名和密码，因此，容易在用户名和密码被人盗用的情况下造成损失；

2、一次性密码(OTP)接入认证方式，该种方式采用一次性密码实现接入认证过程，在用户每次接入时，认证服务器都生成一个临时的一次性密码，并通过安全的途径发送给用户，用户根据该密码实现接入认证过程，该种方式具有简单易行、使用方便、安全性高的优点。

在通过OTP进行接入认证的过程中，其接入过程顺序经过以下环节：

用户申请OTP密码、认证服务器生成OTP密码、认证服务器向用户下发OTP密码、用户使用收到的OTP密码接入网络；

其中，用户申请OTP密码、认证服务器生成OTP密码的过程包括：

用户向认证服务器发送申请密码消息，认证服务器收到该消息后与归属位置寄存器进行信令交互，从而自归属位置寄存器上得到该用户的签约数据，然后，认证服务器根据签约数据判断该用户是否为签约用户，如果是，则生成OTP密码，否则，不允许用户获得OTP密码；

认证服务器向用户下发OTP密码的过程包括：认证服务器将生成的OTP密码发送到短消息中心，短消息中心再利用短消息将该OTP密码发送到用户的移动终端；

在上述通过OTP进行接入认证的过程中，虽然采用短消息的方式能够将认证服务器所生成的OTP密码分发给用户的移动终端，但是，此种分发实现方式单一，不利于OTP接入认证方式的推广使用。

另外，当前无线局域网(WLAN)正在和例如全球数字移动电话系统(GSM)的移动通信网络相结合，此种结合一方面有利于WLAN业务的推广，可利用移动通信网络解决WLAN用户计费的问题；另一方面，移动通信网络运营商可以借与WLAN相结合增加对高端用户的吸引力；针对WLAN与移动通信网络相结合的网络环境，需要一种与该网络应用环境相对应的OTP接入认证解决方案以及该解决方案中的OTP密码分发方法，然而，在现有技术中，还没有相应的方案和方法。

发明内容

有鉴于此，本发明的主要目的在于提供一种通过USSD分发用于接入网络的OTP密码的方法，该方法使得认证服务器能够通过USSD将所生成的OTP密码分发给移动用户终端，增加了OTP密码的分发方式。

本发明公开了一种通过非结构化补充业务数据USSD分发用于接入网络的一次性密码OTP的方法，该方法关键在于：认证服务器AS收到用户端发起的OTP请求后生成OTP密码，然后AS利用标准USSD信令，将其自身生成的OTP密码通过移动通信网络发送给对应的移动用户终端。

其中，所述认证服务器利用标准USSD信令，向对应的移动用户终端发送OTP密码包括：

步骤A：AS利用标准USSD信令，向移动通信网络中的归属位置寄存器HLR发送密码发送通知消息，将AS所生成的OTP密码发送给所述对应移动用户终端归属的HLR；

步骤B：HLR收到密码发送通知消息后，将该消息中的OTP密码通过移动通信网络发送到所述对应移动用户终端。

其中，执行步骤B之后，该方法进一步包括：

步骤C：HLR利用标准USSD信令向AS发送密码发送通知应答消息。

其中，所述步骤C之后，该方法进一步包括：

AS向HLR发送USSD通话结束消息，HLR收到该消息后，关闭HLR与移动用户终端之间的对话连接。

其中，HLR收到密码发送通知消息后，所述步骤B为：

HLR根据移动用户终端的信息确定移动用户终端所在位置，然后，HLR根据所确定的该位置将OTP密码通过移动通信网络发送到该移动用户终端，该移动用户终端接收到该OTP密码后，向HLR返回发送成功消息。

其中，在AS将OTP密码发送到移动用户终端之后，该方法进一步包括：

AS向接入网络的用户端发送申请密码成功消息。

其中，所述接入网络为无线局域网WLAN。

其中，所述接入网络为网际协议IP网。

其中，所述移动通信网络为全球数字移动电话系统GSM网络。

其中，所述标准USSD信令为GSM MAP协议中的标准USSD信令。

可见，本发明具有如下有益效果：

(1)本发明可以利用现有的移动通信网络分发接入网络的OTP密码，认证服务器与移动通信网络间采用的标准的信令操作，无需修改移动通信网络的任何网元，从而使得该方法易于实现；

(2)由于USSD是一种有连接的服务，因此，采用USSD获取OTP密码可以保证获取OTP密码的实时性。

另外，本发明的OTP分发方法使得OTP接入认证方式得以应用于WLAN与例如GSM的通信网络相结合的网络环境之下。

附图说明

图1为本发明中GSM网络与WLAN相结合的组网示意图。

图2为本发明实现分发OTP密码的流程图。

具体实施方式

本发明为一种通过USSD分发接入网络的OTP密码的方法，采用该方法，认证服务器(AS)利用标准USSD信令，经过移动通信网络将该OTP密码发送给移动用户终端，OTP密码下发过程中的信令交互采用移动通信网络中的标准信令，从而使得本发明易于实现。

本发明所针对的接入网络可以是网际协议(IP)网络，也可以是WLAN，或者也可以是其他能够采用OTP接入认证方式的网络。

下面以移动通信网络为GSM网络，所接入的网络为WLAN，WLAN网络与GSM网络相结合为例，并结合附图对本发明进行详细说明。

参见图1，WLAN网络与GSM结合所构成的网络中包括以下网元：

客户端(Client)，该客户端可以为个人计算机(PC)或其他利用WLAN接入互联网的设备；

接入点(AP)，WLAN业务网络的小型无线基站设备，用以完成无线接入功能；

接入控制设备(AC)，用以控制用户端接入WLAN网络；

AS，用以对接入的用户端进行认证、授权和计费，在认证通过的情况下，允许用户端接入互联网；

HLR，该设备为GSM网络中的设备，用以存储用户信息，转发GSM网络中的USSD消息；

移动用户终端(MS)，通常为手机，用以申请和接收OTP密码。

本发明在图1所示的网络中，利用GSM中的USSD业务实现获取WLAN的OTP密码，其中，USSD是GSM网络所提供的一种补充业务，被用于以交互方式向用户提供信息，它的实现有两种方式：一种是由GSM网络提供与用户相关的信息服务，另一种是GSM网络作为承载，由专门的信息承载中心提供信息服务；在图1所示组网图中，AS与GSM网络间采用GSM MAP协议中的标准USSD操作，GSM中的任何网元不需要修改。

参见图2，本发明利用GSM MAP协议中的标准USSD操作向移动用户终端分发OTP密码，分发OTP密码的过程采用GSM MAP协议中的标准USSD信令操作，具体流程包括：

步骤201：AS向HLR发送密码发送通知消息，将AS所生成的OTP密码发送给移动用户终端归属的HLR，在本发明实施例中，采用标准USSD信令中的MAP_UNSTRUCTED_SS_NOTIFY_req消息作为上述的密码发送通知消息；

步骤202：HLR收到密码发送通知消息后，根据移动用户终端的信息确定移动用户终端的所在位置，然后，HLR根据所确定的移动用户终端的位置，将该密码发送通知消息中的OTP密码通过GSM网络发送给移动用户终端，移动用户终端接收到该OTP密码后，向HLR返回发送成功消息，通知HLR发送成功；

步骤203：HLR收到移动用户终端返回的发送成功消息后，向AS发送密码发送通知应答消息，向AS通知HLR已经通过GSM网络将OTP密码成功发送到移动用户终端，其中，本步骤中的密码发送通知应答消息为步骤201中密码发送通知消息的应答消息，本发明实施例中采用标准USSD信令中的MAP_UNSTRUCTED_SS_NOTIFY_rsp消息作为上述的密码发送通知应答消息；

步骤204：AS向HLR发送USSD通话结束消息，结束AS与HLR之间的USSD通话，在本发明实施例中，采用MAP_CLOSE_IND消息作为上述的USSD通话结束消息；

步骤205：HLR收到USSD通话结束消息后，关闭与移动用户终端之间的对话连接。

其中，上述步骤204和步骤205为可选步骤，不执行步骤204和205也可以实现OTP密码的分发。

参见图2，在进行上述密码分发过程之前，还执行以下步骤：

WLAN的用户通过用户端向AS发送申请密码消息，该消息中包括有WLAN用户在用户端所输入的用户名；AS根据所收到的申请密码消息中的用户名，与该用户名所对应的移动用户终端归属的HLR进行信令交互，获取该移动用户终端的签约数据；AS根据所得到的签约数据对该移动用户终端是否为WLAN的签约用户进行鉴权，鉴权通过后则AS生成OTP密码，然后，AS利用上述步骤201～步骤205将该OTP密码分发给对应的移动用户终端；其中，上述WLAN用户可以通过WLAN用户端向AS发送申请密码消息，也可以通过该WLAN用户对应的移动用户终端向AS发送申请密码消息。

参见图2，在进行上述密码分发过程之后，还执行以下步骤，以实现WLAN用户端利用OTP密码接入WLAN网络：

AS成功将所生成的OTP密码分发给对应的移动用户终端后，AS向WLAN用户端发送申请密码成功消息，通知WLAN用户端OTP密码已经发送到该WLAN用户的移动用户终端，其中，该申请密码成功消息是上述申请密码消息的应答消息；当前移动用户终端的使用者在他所使用的WLAN用户端发起WLAN的接入认证时输入该OTP密码，该OTP密码依次经过图1所示的AP、AC后传输至AS，由AS根据该OTP密码进行OTP方式的接入认证，AS判断OTP密码有效后，允许该用户端通过WLAN接入互联网。

以上所述具体实施例为在WLAN网络与GSM网络相结合的网络环境下，获取接入WLAN的OTP密码的方法，本发明也可应用于WLAN网络与例如宽带码分多址(WCDMA)的其它移动通信网络相结合的网络应用环境，或者，本发明也可应用于IP网络与其它移动通信网络相结合的网络应用环境，其实现方法与上述实施例所述方法相同。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。