专利名称:域认证和用户网络权限控制统一处理的方法及系统的制作方法
技术领域:
本发明涉及网络接入认证技术,尤其涉及域认证和用户网络权限控制统一处理的方法及系统。
背景技术:
现在企业网和相关的局域网大部分都是使用了域系统,例如很多企业网采用了Microsoft公司的Windows主域控制器。对于企业网的网络设备来说,可能需要提供一些业务控制,包括用户输入不同的用户名和口令而得到不同的网络访问权限,其中用户的用户名和口令需要用户自己输入。由于企业网中使用了域控制器,当用户要访问一些内部的网络资源时就必须通过域认证,这样用户还需要输入一次相应的用户名和口令。
很多域服务器使用了分布式安全协议-Kerberos(WINDOWS2000等操作系统域服务器采用的一种加密认证算法),包括它实现的安全服务身份认证,数据的完整性和保密性,以及代理。例如Windows2000实现标准的Kerberos协议。在Windows 2000中,Kerberos是以安全服务提供者(Securiy Service Provider,SSP)的方式通过安全服务提供者接口(Security Service Provider Interface,SSPI)来实现的。应用程序可以直接通过SSPI来获得Kerberos的服务。实际上,SSL(Secure Sockets Layer)的大多数应用程序都不会直接利用SSPI,不过,有一些应用程序是直接调用SSPI,例如,一个分布式的组件式对象模型(DCOM)或COM+是利用DCOM提供的安全接口(在图中没有显示出来,实际上,DCOM是利用认证过的RPC接口,而该接口是直接调用SSPI)。除此以外,大多数协议是把SSPI的实现细节封装起来。因此,用户没有必要担心实现分布式安全性的具体实现细节。
Kerberos SSP能够提供三种安全性服务认证,进行身份验证;数据完整性,保证数据在传送过程中不被篡改;数据保密性,保证数据在传送过程中不被获取。Kerberos是通过加密来实现这些服务。域服务器提供公钥和私钥加密。在私钥加密中,加密和解密的密钥是相同的。Kerberos不需要它的用户(一个安全实体)用一个特别的加密密钥,而只要使用一个一般的密码。在域服务器中,密码不会直接用来加密用户和服务器之间传送的数据。事实上,那些基于密码的密钥仅在登录时有用。而其它用来加密在网络上传送的数据的密钥都是动态生成的。准确的说,用户用来登录的密钥是用户密码的散列值。由于散列算法是单向的,因此,给定一个密码的散列值是无法获得密码的。在域服务器里,每一个用户都拥有密码,而访问服务器都会要求认证用户的密码。域中任何一个拥有密码的实体称为一个安全实体。运行在域控制器上的Kerberos服务器本身称为密钥分发中心(KDC)。域控制器拥有访问这个域内每一个安全实体密码的散列值的权限(这些信息是放在实体的活动目录中,也放在域控制器上。通常明文密码是不放在这个目录下的,而仅仅是密码的hash值)。不过,为了保持密码的同步,一个管理员可以同时在这个目录下存放用户的明文密码及其散列值。
对于网络接入设备来说,一般使用远程访问拔号用户服务协议(RADIUS)服务器对所控制的用户进行认证,一般采用MD5加密的方式来处理用户的口令。RADIUS服务器接收到用户的用户名和口令后,如果认证通过的话,将把该用户的权限发给网络接入设备,由设备端进行控制,从而实现整个网络的控制。RADIUS协议主要通过用户的认证、授权和计费功能。具体协议可以参考RFC2865和RFC2866。
现有技术中,用户无论是采用域认证方式还是采用网络接入设备认证方式(如MD5方式),如果用户想同时访问内部局域网和Internet网,都必须进行两次登录,第一是用户的域认证,第二次是网络接入设备的MD5方式,而且用户名和口令还可能不一样。这样给用户带来了不便,同时更多的密码和口令也增加了泄密的危险。
发明内容
本发明的目的在于提供一种域认证和用户网络权限控制统一处理的方法及系统,以解决现有的认证过程中需要两次输入用户信息的问题。
为解决上述问题,本发明提供以下技术方案一种域认证和用户网络权限控制统一处理的方法,在该方法中用户通过网络接入设备连接网络,由网络中的域控制器对用户进行域认证,由网络中的认证服务器管理用户网络权限;所述方法包括步骤所述域控制器根据上线用户提交的信息对用户进行域认证,并至少将通过认证的用户信息发给认证服务器;认证服务器将用户相应的权限信息发送给网络接入设备;网络接入设备按所述权限信息设置用户使用网络的权限。
其中在所述域控制器中,由一驻留程序通过安全服务提供者接口(SSPI)来实时地得出上线用户。
所述域控制器通过SOCKET接口向认证服务器发送信息。
一种域认证和用户网络权限控制统一处理的方法,在该方法中用户通过网络接入设备连接网络,由网络中的域控制器对用户进行域认证;所述方法包括步骤所述域控制器根据上线用户提交的信息对用户进行域认证,并将通过认证的上线用户的相应权限信息发给网络接入设备;网络接入设备按所述权限信息设置用户使用网络的权限。
一种网络系统,包括将用户接入网络的网络接入设备,对用户进行域认证的域控制器和管理用户网络权限的认证服务器;其中,所述域控制器与认证服务器之间具有通信接口,域控制器通过该接口向认证服务器发送域认证结果信息。
本发明在设备端解决域认证问题,用户只需输入一次用户名和密码即可完成域认证和网络权限认证,大大方便用户操作,可广泛地应用于企业网和局域网。
图1、图2为本发明域认证用户接入网络的逻辑示意图;图3为图1所示方案的域认证用户上线流程图。
具体实施例方式
一般来说企业网用户都会有自己的域认证用户,当用户开机首先提供用户名和口令通过域认证,然后用户(本实施例以WEB认证用户进行说明,其他用户类似)打开WEB页面后自动弹出认证界面,用户需要再一次输入用户名和口令,完成第二次认证后网络接入设备才打开该用户的上网权限。
本发明将网络接入设备的用户网络权限同域用户的域认证进行绑定,统一完成用户的认证过程,不需用户第二次输入口令。即域控制器根据上线用户提交的信息对用户进行域认证;然后将通过认证的上线用户的权限信息主动发送给网络接入设备;由网络接入设备按接收的权限信息设置用户使用网络的权限。其中主动发送是指不需要网络接入设备先发起请求,即在网络接入设备没有认证请求的情况下直接下发权限信息。
参阅图1所示,在企业网或局域网中,用户通过以太网交换设备LANSWITCH与网络接入设备连接,域控制器(或称域服务器)和认证服务器与网络接入设备连接,企业网或局域网内的用户通过网络接入设备接入到外部网络,如因特网等。域控制器用于对企业网内的域认证用户进行认证,认证服务器为RADIUS服务器,用于管理用户的上网权限信息。
域服务器上驻留有一第三方程序,该程序通过SSPI编程实时地得出上线的用户,并把该用户的用户名等相关信息通过SOCKET(TCP/IP协议套接字)编程发送给认证服务器,认证服务器通过一协议主动控制网络接入设备。在认证服务器端也有相应的通信程序,得到域服务器上下线的用户并进行匹配。当认证服务器认证通过后,把该用户相应的网络访问权限可以直接通过RADIUS协议发送到网络接入设备。
在RFC2882中已经提出了由RADIUS服务器主动控制接入设备,可以采用该协议对用户的域认证结果进行控制。
参阅图2所示,在服务器上保存有用户使用网络的权限信息,并驻留有一第三方程序,该程序通过SSPI编程实时地得出上线的用户,并直接通过私有协议向网络接入设备发送控制信息。当用户域认证成功后,该用户的认证结果和相应的权限通过第三方程序发送到网络接入设备中,由网络接入设备打开该用户相应的网络访问权限。
在图1和图2中,域认证服务器和认证服务器从逻辑上是独立的,在物理上可以相互独立的服务器,也可是一台服务器。如果是一台服务器,则相互之间不需要两者的私有协议,采用进程间通信。
参阅图3所示的流程图,该流程图为图1所示方案中的域认证用户的认证过程,其具体过程如下1、用户开机发出动态主机配置协议(DHCP)报文,网络接入设备收到该报文后进行响应,并可以通过内置服务器或外置服务器(Windows域服务器的DHCP服务)完成用户整个DHCP过程,用户获得IP地址。
2、用户开始通过Kerberos协议同域控制器进行身份认证,认证成功后,域服务器记录该用户在线。
3、域服务器通过驻留的程序向认证服务器发送该用户的认证结果信息,认证Server收到后通过认证协议把该用户相应的权限发送给网络接入设备。域认证服务器和认证服务器之间采用一个比较简单的私有协议完成交互。
4、网络接入设备收到发送来的用户授权信息后,重新设置该用户的权限,并给认证服务器相应的回应。如网络接入设备赋予该用户访问Internet网的权限。
5、网络接入设备重新设置该用户的权限后,该用户即可以访问相应的网络。
用户下线时,首先域服务器可以检测到用户已经关机或断线,驻留在域服务器上的第三方扫描程序会发现该用户状态已经下线,它将通知认证服务器该用户下线,然后认证服务器通知接入设备端删除该用户的所有数据。
图2中,用户认证过程如下
A、用户开机发出动态主机配置协议(DHCP)报文,网络接入设备收到该报文后进行响应,并可以通过内置服务器或外置服务器(Windows域服务器的DHCP服务)完成用户整个DHCP过程,用户获得IP地址。
B、用户开始通过Kerberos协议同域控制器进行身份认证,认证成功后,域服务器记录该用户在线。
C、域服务器通过驻留的程序向网络接入设备发送该用户的认证结果信息和该用户相应的权限。
D、网络接入设备收到域服务器发送来的信息后,重新设置该用户的权限。如网络接入设备赋予该用户访问Internet网的权限。
E、网络接入设备重新设置该用户的权限后,该用户将可以访问相应的网络。
用户下线时,首先域服务器可以检测到用户已经关机或断线,驻留在域服务器上的第三方扫描程序会发现该用户状态已经下线,直接通知接入设备端删除该用户的所有数据。
本发明完成用户认证基本不需对网络接入设备进行改动,所有工作量基本都是在服务器端完成,整个过程主要需要服务器端的支持。
权利要求
1.一种域认证和用户网络权限控制统一处理的方法,在该方法中用户通过网络接入设备连接网络,由网络中的域控制器对用户进行域认证;其特征在于该方法包括步骤A、域控制器根据上线用户提交的信息对用户进行域认证;B、至少将通过认证的上线用户的权限信息主动发送给网络接入设备;C、网络接入设备按所述权限信息设置用户使用网络的权限。
2.如权利要求1所述的方法,其特征在于,步骤B包括域控制器将通过认证的上线用户的用户信息发送给认证服务器;由认证服务器将该用户的权限信息发送网络接入设备。
3.如权利要求1所述的方法,其特征在于,步骤B中,由域控制器将通过认证的上线用户的权限信息直接发送给网络接入设备。
4.如权利要求1所述的方法,其特征在于,在所述域控制器中,由一驻留程序通过安全服务提供者接口(SSPI)来实时地检测出上线用户。
5.如权利要求2所述的方法,其特征在于,所述域控制器通过SOCKET接口向认证服务器发送信息。
6.如权利要求2或5所述的方法,其特征在于,所述域控制器和认证服务器采用相互独立的设备实现,相互间通过远程访问拔号用户服务(RADIUS)协议或私有协议通信。
7.如权利要求2或5所述的方法,其特征在于,所述域控制器和认证服务器采用同一设备实现,相互之间通过进程通信。
8.如权利要求2所述的方法,其特征在于,当域控制器检测到用户已经下线时通知认证服务器,由认证服务器通知接入设备删除该用户的所有数据。
9.如权利要求3所述的方法,其特征在于,所述域控制器采用私有协议向网络接入设备发送用户权限信息。
10.如权利要求3或9所述的方法其特征在于,当域服务器检测用户已经下线时直接通知接入设备端删除该用户的所有数据。
11.一种网络系统,包括将用户接入网络的网络接入设备,对用户进行域认证的域控制器和管理用户网络权限的认证服务器;其特征在于,所述域控制器与认证服务器之间具有通信接口,域控制器通过该接口向认证服务器发送域认证结果信息。
12.如权利要求11所述的网络系统,其特征在于,所述域控制器和认证服务器可为相互独立的物理设备,采用私有协议通信方式;或者为同一物理设备,采用进程间通信方式。
全文摘要
本发明公开了一种域认证和用户网络权限控制统一处理的方法及系统,该方法为域控制器根据上线用户提交的信息对用户进行域认证,然后至少将通过认证的上线用户的权限信息发送给网络接入设备,由网络接入设备按所述权限信息设置用户使用网络的权限。本发明的系统包括网络接入设备、域控制器和认证服务器;其中域控制器与认证服务器之间具有通信接口,域控制器通过该接口向认证服务器发送域认证结果信息。
文档编号H04L12/28GK1595897SQ03159260
公开日2005年3月16日 申请日期2003年9月12日 优先权日2003年9月12日
发明者侯超, 唐海霆, 管红光 申请人:华为技术有限公司