专利名称:一种对网络接入用户进行认证的方法
技术领域:
本发明涉及对网络接入用户进行认证的方法。
背景技术:
在计算机网络中通常并存着多种不同的用户认证方式,网络的认证服务器为对采用不同认证方式的用户进行认证,就需要对用户采用的认证方式进行识别。以以太网为例,在以太网中,目前大多采用电气与电子工程师协会推荐的IEEE 802.1x协议对用户进行认证操作。IEEE 802.1x协议为基于端口的访问控制协议(Port based network access controlprotocol),它使用可扩展认证协议(EAP,Extensible AuthenticationProtocol)的认证方式,常用的EAP认证方式有MD5(一种加密方法)、TLS(传输层安全)、OTP(一次性密码)、SIM(用户识别模块)等,只要用户提供用户名、用户密码等认证信息,通过802.1x协议中包含的某种EAP认证方式,就可以到网络的宽带接入服务器(BAS)上进行用户身份合法性的认证。宽带接入服务器(BAS)收到用户的认证信息后,通过类似远程用户拨号认证协议(RADIUS协议)的协议到对应的认证服务器上进行认证。
随着基于以太网技术的802.1x协议的应用,上述802.1x协议中包含的多种EAP认证方式都得到了广泛的应用。从一个用户来看,可能任意选择EAP认证方式中的一种进行认证;从一群用户来看,就是多种EAP认证方式并存。目前,在请求注释协议(RFC协议)标准中,使用互相协商机制来进行协商,从而识别某种EAP的认证方式。例如,假设客户端只支持EPA的MD5认证方式,即EAP-MD5,而认证服务器同时支持EAP-SIM和EAP-MD5认证方式,并且EAP-SIM认证方式优先。这样,对于认证服务器来说,就要在EAP-MD5认证方式和EAP-SIM认证方式并存的条件下,通过协商来识别具体的EAP认证方式。
但是采用协商机制来动态识别某种EAP认证方式,在认证方式确认前可能需要大量的协商报文,比如客户端可能支持EAP-MD5、EAP-SIM、EAP-TLS、EAP-OTP等多种方式,而认证服务器支持EAP-TTLS、EAP-MD5两种方式,那么,客户端和认证服务器可能需要多次发起认证方式的协商,遍历所有的EAP认证方式,最后得到协商的结果认证方式,用该方式对用户进行认证。上述对用户的认证方法必然消耗大量的网络资源和计算资源,耗费的用户认证时间也相当可观,同时实现较为复杂。
由于在实际的组网环境中,往往有多个认证服务器,由于每个认证服务器认证的用户不同,一般只支持有限的几种认证方式。在认证协商过程中,接入服务器在某一次认证协商时,根据用户名中的域名部分找到对应的互联网服务提供商(ISP)提供的多台认证服务器,从中只能选择一个认证服务器。如果选择了错误的认证服务器,那么这个服务器支持的所有的认证方式都不能满足客户端认证方式的需求,那么就只能通知用户认证失败。而真正支持此认证方式的服务器并没有发挥作用。
当用户数量增大到一定程度,就需要多台认证服务器进行集群,在多种EAP认证方式并存的情况下,不能按照业务将用户指定到相应的某个认证子集群进行认证,而是整个集群都要对各个业务进行认证。如果需要对使用某种认证方式的用户进行业务统计时,必须对整个集群认证服务器进行统计,而不能按照真正提供给用户认证服务的认证服务器子集群来统计。
由于EAP提供了一个认证框架,在EAP基础上可以不断地推出新的认证方式。当新增的一种EAP认证方式进入运营后,必须对网上正在运行的认证服务器进行不间断升级,这个难度非常大;如果中断原有认证服务再升级,又会影响在线业务,造成不必要的损失和客户的投诉。
由上述可知,现有的通过协商对用户采用的认证方式进行识别,并用识别出的认证方式对用户进行认证的方法复杂、效率低,并且耗费大量的网络资源。
发明内容
本发明的目的在于提供一种能够简单有效地动态识别用户认证方式的网络接入用户的认证方法,使用该方法能够提高网络资源的使用效率。
为达到上述目的,本发明提供的对网络接入用户进行认证的方法,包括下述步骤步骤1设置包括用户名、域名和认证方式名的用户网络接入名;步骤2在用户进行网络接入时,网络接入服务器利用用户提供的网络接入名识别出该用户采用的认证方式;
步骤3利用步骤2识别出的认证方式确定为该用户服务的网络认证服务器,由该网络认证服务器对用户进行认证。
所述步骤2进一步包括步骤21用户向网络接入服务器发送网络接入请求的报文;步骤22网络接入服务器向用户发送请求用户提供网络接入名的报文;步骤23用户向网络接入服务器反馈包括网络接入名的响应报文;步骤24网络接入服务器从响应报文的网络接入名中提取出用户名、认证方式名和域名,根据该认证方式名确定用户采用的认证方式。
所述步骤3进一步包括步骤31网络接入服务器根据域名获得对应的互联网服务提供商(ISP)的相关认证服务器列表;步骤32根据认证方式名决定使用支持这种认证方式的认证服务器或者认证服务器子集群;步骤33用确定的认证方式对应的流程,完成用户认证。
由于本发明通过预先设置的包括用户名、域名和认证方式名的用户网络接入名进行网络接入,这可以使网络接入服务器直接利用用户提供的网络接入名识别出该用户采用的认证方式,进而用识别出的认证方式确定为该用户服务的网络认证服务器对用户进行认证;因此,本发明能够简单有效地动态识别多种用户采用的认证方式,没有多余的协商过程,实现简单,并使网络资源和计算资源的消耗以及用户认证时间大大减少;同时,本发明方便按照用户的业务选择对应的认证服务器,可以按照业务划分认证服务器或认证服务器子集群,这样,当新增一种认证方式时,只需要增加新的认证服务器,在设备上进行简单的配合,就可以开展新的认证服务,对原有的认证服务没有任何影响,从而保证运营的不间断性。
图1是本发明所述方法的实施例流程图。
具体实施例方式
下面以对EAP的多种认证方式识别为例结合附图对本发明作进一步详细的描述。
图1是本发明所述方法的实施例流程图。图1所述的实施例流程采用802.1x协议。按照图1实施本发明,首先要设置包括用户名、域名和认证方式名的用户网络接入名,该网络接入名还可以根据使用需求附加其它的信息,例如计费方式,但本例中仅包括用户名、域名和认证方式。本例中的用户网络接入名的具体格式为用户名@认证方式名.域名,当然也可以为其它的格式,如用户名.认证方式名@域名,或,用户名@域名.认证方式名。这样就可以通过用户网络接入名简单有效地识别多种EAP认证方式,例如用户zhangsan在中国电信163网上有一个用户名zhangsan,使用EAP-MD5认证方式,此时用户客户端提供的用户网络接入名是“zhangsan@md5.163.com”(上例的用户网络接入名可以是运营商直接发布给用户的“zhangsan@md5.163.com”,也可以是客户端在“zhangsan@163.com”基础上按照用户认证方式自动生成“zhangsan@md5.163.com”)。
基于上述设置,在用户和接入服务器之间建立好物理连接后,用户客户端在网络接入时,在步骤1向接入服务器发送一个认证开始报文(EAPoL-Start报文),如果用户是动态分配地址的,则发送动态主机配置协议(DHCP)报文,以启动依据802.1x协议进行网络接入的开始。此时,接入服务器在步骤2向客户端发送EAP请求或识别报文(EAP-Request/Identity报文),要求用户客户端将用户的网络接入名送上来,接着用户客户端在步骤3向网络接入服务器回应一个EAP响应或识别报文(EAP-Response/Identity),该报文中包括满足预先设置的用户网络接入名格式的该用户的网络接入名。需要说明的是,这个用户名指的是最终用户的名字,如果是预付费发行的卡,该用户名就是上述卡的卡号;而域名是指提供这个网络服务器的运营商相关的名称,可以直接是运营商名称,也可以是运营商提供的网络相关的名称。比如“zhangsan@163.com”,是用户名为zhangsan的用户在中国电信163网上的用户网络接入名;“A8010@card.cnc.com”,是中国网通发布的预付费卡上的用户网络接入名。当网络接入服务器在步骤4收到用户客户端回应的EAP-Response/Identity报文,从中提取出用户名、认证方式名、域名,根据该认证方式名确定用户采用的认证方式,然后网络接入服务器在步骤5根据域名获得对应的ISP相关的认证服务器列表,根据认证方式名决定使用支持这种认证方式的认证服务器或者认证服务器子集群,最后在步骤6使用确定的认证方式对应的流程完成用户认证。
最后还需说明,当认证服务器或认证服务器子集群支持多种认证方式时,可以允许认证服务器或认证服务器子集群与用户在步骤5协商认证方式,也可以由接入服务器限制只能使用认证方式名对应的认证方式而不允许使用其它认证方式。
权利要求
1.一种对网络接入用户进行认证的方法,包括下述步骤步骤1设置包括用户名、域名和认证方式名的用户网络接入名;步骤2在用户进行网络接入时,网络接入服务器利用用户提供的网络接入名识别出该用户采用的认证方式;步骤3利用步骤2识别出的认证方式确定为该用户服务的网络认证服务器,由该网络认证服务器对用户进行认证。
2.根据权利要求1所述的对网络接入用户进行认证的方法,其特征在于,所述步骤2进一步包括步骤21用户向网络接入服务器发送网络接入请求的报文;步骤22网络接入服务器向用户发送请求用户提供网络接入名的报文;步骤23用户向网络接入服务器反馈包括网络接入名的响应报文;步骤24网络接入服务器从响应报文的网络接入名中提取出用户名、认证方式名和域名,根据该认证方式名确定用户采用的认证方式。
3.根据权利要求2所述的对网络接入用户进行认证的方法,其特征在于,所述步骤3进一步包括步骤31网络接入服务器根据域名获得对应的互联网服务提供商(ISP)的相关认证服务器列表;步骤32根据认证方式名决定使用支持这种认证方式的认证服务器或者认证服务器子集群;步骤33用确定的认证方式对应的流程,完成用户认证。
4.根据权利要求3所述的对网络接入用户进行认证的方法,其特征在于当认证服务器或认证服务器子集群支持多种认证方式时,所述步骤32还包括认证服务器或认证服务器子集群与用户协商认证方式的子步骤。
5.根据权利要求3所述的对网络接入用户进行认证的方法,其特征在于当认证服务器或认证服务器子集群支持多种认证方式时,所述步骤32还包括网络接入服务器确定认证方式的子步骤。
6.根据权利要求1、2、3、4或5所述的对网络接入用户进行认证的方法,其特征在于所述用户网络接入名的格式为用户名@认证方式名.域名。
全文摘要
本发明公开了一种对网络接入用户进行认证的方法,该方法首先设置包括用户名、域名和认证方式名的用户网络接入名,这样,在用户进行网络接入时,网络接入服务器利用用户提供的网络接入名识别出该用户采用的认证方式,再利用识别出的认证方式确定为该用户服务的网络认证服务器,由该网络认证服务器对用户进行认证;上述方法能够简单有效地动态识别多种用户采用的认证方式,没有多余的协商过程,实现简单,并使网络资源和计算资源的消耗以及用户认证时间大大减少。
文档编号H04L9/32GK1486013SQ0213178
公开日2004年3月31日 申请日期2002年9月23日 优先权日2002年9月23日
发明者金涛, 管红光, 金 涛 申请人:华为技术有限公司