专利名称:一种多域认证方法及系统的制作方法
技术领域:
本发明属于计算机网络安全认证技术领域,特别涉及一种多域认证方法 及系统。
背景技术:
802.1x的体系结构中,包括三个部分,即客户端,认证系统(专指交换 机),认证服务器。由于各个用户可能使用不同的运营商提供的网络服务, 所以不同的用户需要由认证系统将用户信息发送到不同的认证服务器进行 认证。而目前的基于802.1x的认证系统, 一般只能为所有用户指定同一个 认证服务器,而不能根据用户名来确定此用户应该送到某个运营商的认证服 务器进行认证。
在目前的用户管理中,例如windows系统的用户管理, 一般都是把相同 类型的用户划分到同一个域中,而完全用户名则由用户名和i或名组成,比如 username@domain的形式,其中@为分隔用户名和域名的分隔符。所以在进 行认证的时候,客户端一般都是将带有域名的完全用户名发到认证系统进行 认证,由此一定程度上浪费了系统的资源。
发明内容
本发明所要解决的技术问题是,提供一种基于802.1x的多域认证方法 及系统,从而实现交换才几#>据客户端传过来的用户名,确定此用户应该到其 所属的认证服务器进^f于认i正。
为了解决上述问题,本发明公开了一种多域认证方法,如下
在认证系统中,配置各个域以及各个域与认证服务器的对应关系,在认 证过程中,认证系统通过解析完全用户名,获得其中的域名后,将该用户的
i人i正信息发送至与该域对应的i人^i正服务器进行认证。
上述的方法中,所述认证系统未配置域名分隔符时,在认证过程中,所 述认证系统利用认证系统默认的域名分隔符对完全用户名进行解析,获取到 该用户所在的域名。
所述认证系统配置任意符号为域名分隔符时,在认证过程中,所述认证 系统利用已配置的域名分隔符对完全用户名进行解析,获取到该用户所在的 域名。
进一步地,上述方法在进^f亍所述解析完全用户名的过^f呈中,如果解析到 用户没有携带域名,则将用户认证信息发送到系统配置的缺省域名下对应的 认证服务器进行认证。
上述方法中,所述用户iU正信息至少包括用户名和用户密码。
本发明还公开了 一种多域认证系统,包括完全用户名解析模块以及分别 与其相连的域配置模块、用户信息发送模块,其中
域配置模块,用于配置一个或者多个域的域名以及与每一个域相对应的 认证服务器,并将配置好的域与端口接入规则相绑定;
完全用户名解析模块,用于接收用户认证信息,并根据从域配置模块中 获取的配置信息,解析完全用户名,得到用户所在的域名,找到与该域对应 的认证服务器名;
用户信息发送模块,从完全用户名解析模块获得用户所属的认证服务器 名后,将其认证信息发送到相应认证服务器。
上述系统中,所述域配置才莫块,未配置域名分隔符时,所述完全用户名 解析模块利用认证系统默认的域名分隔符对完全用户名进行解析,获取到该 用户所在的域名。
所述域配置模块,配置任意符号为域名分隔符,用于分隔用户名和域名 时,所述完全用户名解析才莫块利用已配置的域名分隔符对完全用户名进行解 析,获取到该用户所在的域名。
进一步地,上述系统中,所述完全用户名解析;漠块,在解析完全用户名
时,如果解析到用户没有携带域名,则认为用户所在域的域名为系统配置的
缺省域名;
此时,用户信息发送模块将用户认证信息发送到系统配置的缺省域名下 对应的认证服务器进行认证。
上述系统中,所述用户认^M言息至少包括用户名和用户密码。
本发明所釆用的技术方案,在交换机上实现根据客户端传过来的用户 名,来确定此用户应该送到哪个i人i正月l务器进行认i正,从而大大节约了系统 资源。
图1是本发明中域配置流程图; 图2是本发明中多域认证流程图3是某交换机采用本发明:技术方案进行多域认证流程图。
具体实施例方式
本发明的主要构思是,通过解析完全用户名携带的域名,然后根据域名 查找与该域绑定的认证服务器,以实现不同的域的用户在不同的认证服务器 上进行认证。
下面结合附图和具体实施方式
,详细说明本发明技术方案的具体实现。
一种基于802.lx的多域认证系统,包括域配置模块、完全用户名解析 模块及用户信息发送模块,完全用户名解析模块分别与域配置模块、用户信 息发送模块相连,其中
域配置模块,用于配置域名分隔符,以及一个或者多个域,及其域名以 及与该域对应的认证服务器,并将配置好的域与端口接入规则相绑定,其中 一个端口接入规则下可绑定一个或者多个域;
完全用户名解析模块,用于接收用户认证信息,并利用配置的域名分隔
符对用户名进行解析,获取到该用户所在的域名,找到与该域对应的iU正服 务器名,然后将认证服务器名发送到用户信息发送模块,当解析到用户没有 携带域名时,则将系统配置的缺省域名下对应的认证服务器名发送到用户信 息发送模块;
用户信息发送模块,从完全用户名解析模块获得用户所属的认证服务器 名后,将其认证信息发送到相应认i正力l务器。
上述系统进行多域认证的过程包括以下步骤 步骤一、配置域名分隔符;
该步骤中,由于用户名和域名的分割符号可能是不同的字符,比如@,.,弁 等等,所以可以指定一个分割符来解析出用户名和域名,当然也可以缺省配 置域名分隔符,此时,默认域名分隔符为@;
步骤二、域的配置,在域的配置才莫式下,配置内容包括域名以及与该域 绑定的认证服务器;
步骤三、域的配置规则,需要将配置好的域与端口接入规则相绑定,其 中一个端口接入^见则下可以绑定一个或者多个域;
上述步骤一至三,可以概括为域的相关配置,其流程如图1所示。
步骤四、用户进行认证时,通过解析完全用户名,得到用户所在的域名, 通过域名找到该域对应的认证服务器名,然后将用户信息送到认证服务器进 行认证;
上述多域认证的处理流程如图2所示,当用户进行认证时候,认证客户 端将用户i人{正信息通过扩展i人i正协i义EAP ( Extensible Authentication Protocol)报文发送到交换机,即认证系统,交换机利用配置的域名分隔符 号对用户名进行解析,获取到该用户所在的域名。然后查找认^〖正用户接入端 口上的规则,判断规则下是否配置了该域,如果配置了,则取该域下配置的 认证服务器名,将用户的认证信息发送到该认证服务器进行认证。
如果用户名中没有携带域名,则将用户认证信息发送到缺省域名下配置 的认证服务器进行认证。
下面以一个应用实例进一步说明,某交换机设备,基于8011x体系下, 如何实现才艮据域名查找认证服务器的过程,如图3所示
步骤300:配置一个域名分隔符,zxrlO(config)#domain-delimiter@,即 域名分隔符为@;
该步骤中,也可以缺省配置域名分隔符。
步骤301:配置一个域domain 1, zxrlO(config)#domain 1;
在该域的配置模式下,
配置该域的域名,zxrlO(domain-config)#domain-name zte.com.cn,即i玄 域6勺域名为zte.com.cn;
配置与该域绑定的认证服务器,zxr 10(domain-config)#radiusserver radius—chinatel ,即与该域绑定的iU正月l务器为radius—chinatel;
如果步骤300中缺省配置域名分隔符,此时,步骤301中使用系统默认 的域名分隔符。
步骤302 : 将配置好的域与端口接入规则aaa 1相绑定, zxrlO(config-nas)弁aaa 1 isp zte.com,cn;
步骤303:当用户进行认证时,认证客户端将认证信息发送到交换机, 认证用户名为zhl@zte.com.cn;
步骤304:认证系统根据域名分隔符号@解析完全用户名,获取该用户 戶斤A的^的A名为zte.com.cn;
该步骤中,如果解析到用户没有携带域名时,进入步骤307b;
步骤305:判断端口接入规则aaal下是否配置了 zte.com.cn这个域,如 杲是,转入步骤306,否则转入步骤307b;
步骤306: 4艮据zte.com.cn这个域的配置信息,查找到与该域相绑定的 认证服务器为radius_chinatel,进入步骤307a;
步骤307a:将用户认证信息,发送到radius—chinatel进行认证,该认证 信息至少包:fe用户名和用户密码;
步骤307b:将用户认证信息,发送到缺省域名下配置的认证服务器进 行认证,该认证信息至少包括用户名和用户密码。
从上述实施例可以看出,本发明所采用的技术方案,在交换机上实现根 据客户端传过来的用户名,来确定此用户应该送到哪个认证服务器进行认 证,从而大大节约了系统资源。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本 发明的保护范围之内。
权利要求
1、一种多域认证方法,其特征在于,该方法如下在认证系统中,配置各个域以及各个域与认证服务器的对应关系,在认证过程中,认证系统通过解析完全用户名,获得其中的域名后,将该用户的认证信息发送至与该域对应的认证服务器进行认证。
2、 如权利要求l所述的方法,其特征在于,所述认iiE系统未配置域名分隔符时,在iU正过程中,所述iU正系统利用 认证系统默认的域名分隔符对完全用户名进行解析,获取到该用户所在的域 名。
3、 如权利要求l所述的方法,其特征在于,所述认证系统配置任意符号为域名分隔符时,在认证过程中,所述认证 系统利用已配置的域名分隔符对完全用户名进行解析,获取到该用户所在的 域名。
4、 如权利要求1至3任一项所述的方法,其特征在于,在进行所述解 析完全用户名的过程中,如果解析到用户没有携带域名,则将用户认证信息 发送到系统配置的缺省域名下对应的认证服务器进行认证。
5、 如权利要求4所述的方法,其特征在于,所述用户认证信息至少包 括用户名和用户密码。
6、 一种多域认证系统,其特征在于,该系统包括完全用户名解析模块 以及分别与其相连的域配置模块、用户信息发送模块,其中域配置^f莫块,用于配置一个或者多个域的域名以及与每一个域相对应的 认证服务器,并将配置好的域与端口接入规则相绑定;完全用户名解析模块,用于接收用户认证信息,并根据从域配置模块中 获取的配置信息,解析完全用户名,得到用户所在的域名,找到与该域对应 的认证服务器名;用户信息发送模块,从完全用户名解析模块获得用户所属的认证服务器 名后,将其认证信息发送到相应认证服务器。
7、 如权利要求6所述的系统,其特征在于,所述域配置模块,未配置域名分隔符时,所述完全用户名解析模块利用 认证系统默认的域名分隔符对完全用户名进行解析,获取到该用户所在的域 名。
8、 如权利要求6所述的系统,其特征在于,所述域配置才莫块,配置任意符号为域名分隔符,用于分隔用户名和域名 时,所述完全用户名解析^t块利用已配置的域名分隔符对完全用户名进^f亍解 析,获取到该用户所在的域名。
9、 如权利要求6至8任一项所述的系统,其特征在于,所述完全用户名解析模块,在解析完全用户名时,如果解析到用户没有 携带域名,则认为用户所在域的域名为系统配置的缺省域名;此时,用户信息发送模块将用户认证信息发送到系统配置的缺省域名下 对应的认证服务器进行认证。
10、 如权利要求9所述的系统,其特征在于, 所述用户认证信息至少包括用户名和用户密码。
全文摘要
本发明公开了一种多域认证方法及系统,属于计算机网络安全认证技术领域。本发明方法是在认证系统中,配置各个域以及各个域与认证服务器的对应关系,在认证过程中,认证系统通过解析完全用户名,获得其中的域名后,将该用户的认证信息发送至与该域对应的认证服务器进行认证。本发明还公开了一种多域认证系统,包括完全用户名解析模块以及分别与其相连的域配置模块、用户信息发送模块。本发明所采用的技术方案,在交换机上实现根据客户端传过来的用户名,来确定此用户应该送到哪个认证服务器进行认证,从而大大节约了系统资源。
文档编号H04L29/06GK101170566SQ20071018735
公开日2008年4月30日 申请日期2007年11月20日 优先权日2007年11月20日
发明者曾红李 申请人:中兴通讯股份有限公司