专利名称:认证业务切换处理方法与装置、网络设备与通信系统的制作方法
技术领域:
本发明涉及通信技术,尤其是一种认证业务切换处理方法与装置、网络 设备与通信系统。
背景技术:
在通信过程中,为了对用户的操作进行安全管理控制,通常需要对用户 的身份进行合法性认证。只有在用户身份通过合法性认证后,才允许该用户 进行其请求的操作。
如图1所示,为对个人计算机(personal computer,以下简称PC)用户 进行认证的一个场景示意图。用户PC接入网络时,用户在PC上的802.1x 认证客户端上输入用户名与密码信息,并发起入网认证请求。802,lx认证客 户端通过802.1x认证协议报文将入网认证请求发送给网络设备,其中的入网 认证请求中包括用户输入的用户名与密码信息,网络设备通常情况下是网络 接入服务器(Network Access Server,以下简称NAS )。网络设备通过远程 用户拨号认证系统(Remote Authentication Dial In User Service,以下简称 RADIUS)协议将入网认证请求转发给认证服务器。认证服务器基于自身存 储的认证信息对入网认证请求中的用户名和密码进行认证。如果认证服务器 通过认证认为该用户名和密码匹配正确,认证服务器生成认证成功的认证结 果,如果认证服务器认为该用户名和密码匹配错误,则生成认证失败的认证 结杲,并通过RADIUS协议将认证成功或认证失败的认证结果返回给网络设 备。网络设备根据认证服务器返回的认证结果,在上述用户名与密码通过认 证的情况下,允许相应的PC进行网络通信,否则,网络设备拒绝相应的PC 通过网络通信。除此之外,还有对网络设备自身的登录认证,认证过程与图1类似。为 了避免用户随意修改网络设备上的配置,从而影响网络的正常运行,就需要 为网络设备设置登录的用户名和密码。为了对登录网络设备的用户名与密码 进行统一的维护、管理,通常情况下,将所有为网络设备设置的用户名和密 码存储在认证服务器,通过认证服务器统一管理所有可登录网络设备的用户
名和密码。如图2所示,为对网络设备管理员进行认证的一个场景示意图。
在有用户要登录网络设备时,在网络设备上输入登录的用户名与密码,并发 起登录认证请求,该登录认证请求中携带有输入的用户名与密码。网络设备
将登录认证请求发送给认证服务器,通常情况下也是通过RADIUS协议发送。 认证服务器基于存储的用户名与密码与对登录认证请求中的用户名和密码进 行认证。如果认证服务器通过认证认为该用户名和密码匹配正确,认证服务 器生成认证成功的认证结果,如果认证服务器认为该用户名和密码匹配错误, 则生成认证失败的认证结果,并将认证成功或认证失败的认证结果返回给网 络设备。网络设备根据认证服务器返回的认证结果决定是否允许该用户登录 网络设备进行相应才乘作,并将认证结果反馈该用户。
在基于认证服务器的认证场景下,如果认证服务器失效,不接受网络设 备发起的认证请求,会给网络运行带来突难性的后果。例如所有的用户都 不能通过认证,从而无法使用网络通信,网络管理员也不能登录网络设备进 行相应的管理、信息查询。为了避免该情况出现,网络管理员通常会配置备 用认证方法。现有的备用认证方法主要有备份认证服务器认证方法、本地认 证方法与免认证方法。备份认证服务器认证方法是在主认证服务器失效的情 况下,网络设备将认证请求发送给主认证服务器的备份认证服务器,通过备 份认证服务器进行认*〖正,以保证网络的正常运行。本地认证方法是在主认证 服务器失效的情况下,使用网络设备自身的数据库进行用户名和密码的匹配; 针对网络设备自身的登录认证,管理员可以在网络设备上预先配置应急用户 名和密码,以在主认证服务器故障时管理员可以通过应急用户名和密码继续正常管理网络设备。免认证方法是在主服务器失效的情况下,网络设备忽略 用户名与密码的匹配,让所有PC都可以进行网络通信,所有的用户都可以 登录管理网络设备。
在上述三种备用认证方法中,本地认证方法与免认证方法都是应急措施, 无法保证网络与网络设备的安全性。备份认证服务器认证方法为目前最常采 用的方法,其涉及主认证服务器与备份认证服务器两个服务器上数据信息的 实时同步更新,较为复杂。另外,由于资金、维护周期等原因,备份认证服 务器的性能、容量、稳定性等各项指标一般都不及主认证服务器。因此,为 了保证网络的安全与正常运行,在主认证服务器恢复认证功能后,需要将认 证业务切换回主认证服务器。
现有技术中,主要采用以下两种方法将认证业务由备份认证服务器切换
回主认证服务器第一种方法是,手工在网络设备上激活主认证服务器。现 有的部分网络设备上,提供了相关激活命令。但方法操作复杂,易于出错, 并且增加了网络管理成本,另外由于人工发现的滞后性,导致无法及时切换 回主认证服务器。第二种方法是,无论主认证服务器是否成功恢复认证功能,
都定时将认证业务试:!冢性地切换回主认证服务器。该方法中,如果主认证服
务器未成功恢复认证功能,将认证业务切换回主认证服务器后,会导致从认 证业务切换回主认证服务器与发现主认证服务器未成功恢复这段时间内,用 户的认证失败,从而影响该一段时间内用户正常^f吏用网络与对网络设备进行 维护管理。
发明内容
本发明实施例的目的是提供一种认证业务切换处理方法与装置、网络 设备与通信系统,有效识别主认证服务器的认证功能是否成功恢复,并在主 认证服务器的认证功能成功恢复认证功能的情况下,将认证业务切换回主认 证服务器,保证用户正常使用网络与对网络设备进行维护管理。为解决上述4支术问题,本发明实施例提供的 一种"i人证业务切换处理方 法,包括
主认证服务器失效后,根据预先存储的主认证服务器地址,以预先设置 的刺探周期向所述主认证服务器地址发送认证请求报文,该认证请求报文中 包括预设用户名和密码;
根据预设时间内是否接收到主认证服务器针对所述认证请求报文返回 的认证响应^^文,识别所述主认证服务器是否恢复认证功能;
在所述主认证服务器恢复认证功能时,将认证业务切换回所述主认证服 务器。
本发明实施例提供的一种认证业务切换处理装置,包括 第一存储模块,用于存储主认证服务器地址; 第二存储模块,用于存储预先设置的刺探周期;
第三存储模块,用于存储预设用户名和密码;
发送模块,用于在主认证服务器失效后,根据所述主认证服务器地址, 以所述预先设置的刺探周期向所述主认证服务器地址发送认证请求报文,该 认证请求报文中包括所述预设用户名和密码;
计时模块,用于在所述发送模块发送所述预设用户名和密码后,按照 预"i殳时间开始计时;
接收模块,用于接收主认证服务器针对所述认证请求报文返回的认证响 应报文;
识别模块,用于根据所述计时模块的计时信息,根据所述接收模块在预 设时间内是否接收到主认证服务器返回的认证响应才艮文,识别所述主认证服 务器是否恢复认证功能;
切换模块,用于根据所述识别模块的识别结果,在所述主认证服务器 恢复认证功能时,将认证业务切换回所述主认证服务器。
本发明实施例提供的一种网络设备,包括通信业务处理模块和认证业
8务处理模块,还包括本发明上述实施例提供的认证业务切换处理装置,用 于对所述认证业务处理模块上的认证业务进行切换处理。
本发明实施例提供的 一种通信系统,包括网络设备与主认证服务器, 还包括本发明上述实施例提供的认证业务切换处理装置,用于对所述网络 设备上的认证业务进行切换处理。
基于本发明上述实施例提供的认证业务切换处理方法与装置、网络设备 与通信系统,可以在主认证服务器失效后,通过向主认证服务器发送认证请 求报文有效识别主认证服务器的认证功能成功是否成功恢复,并在主认证服 务器的认证功能成功恢复时,自动将网络设备上的认证业务切换回主认证服 务器,与现有技术相比,可以降低由于人工激活主认证服务器导致的出错 率与增加的网络管理成本,及时将认证业务切换回主认证服务器,并且在主 认证服务器的认证功能成功恢复后才切换,可以有效保证用户正常使用网络 与对网络设备进行维护管理。
下面通过附图和实施例,对本发明的技术方案做进一 步的详细描述。
图1为对PC用户进行认证的一个场景示意图2为对网络设备管理员进行认证的一个场景示意图3为本发明认证业务切换处理方法一个实施例的流程图4为本发明认证业务切换处理方法另 一个实施例的流程图5为本发明认证业务切换处理装置一个实施例的结构示意图6为本发明认证业务切换处理装置另一个实施例的结构示意图7为本发明网络设备一个实施例的结构示意图8为本发明网络设备另一个实施例的结构示意图9为本发明通信系统一个实施例的结构示意图IO为本发明通信系统另一个实施例的结构示意图;图11为本发明通信系统又一个实施例的结构示意图; 图12为本发明通信系统再一个实施例的结构示意图。
具体实施例方式
本发明的实施例中,可以预先设置或更新刺探周期,该刺探周期具体可 以为零时长或大于零的任意时长。并且可以才艮据实际需求调整。在主认证服
业务的切换。在本发明的各实施例中,若采用本地认证方法或免认证方法, 则不需要设置备份认证服务器,此时的主认证服务器也就是网络设备的认证 服务器。如图3所示,本发明认证业务切换处理方法一个实施例的流程图, 其包括以下步骤
步骤101,主认证服务器失效后,根据预先存储的主认证服务器地址, 以预先设置的刺探周期向主认证服务器地址发送认证请求报文,该认证请求 报文中包括预设用户名和密码。
其中的预设用户名、密码可以由管理员手动配置,也可以厂商预设,甚 至可以随机产生,并可以被随时更新。在主认证服务器失效后,根据预设用
刺探周期等信息可以随着网络环境的变化而调整。
步骤102,根据预设时间内是否接收到主认证服务器针对所述认证请求 报文返回的认证响应报文,也即认证结果,识别主认证服务器是否恢复认 证功能。
如果认证服务器恢复了正常的认证功能,就会收到网络设备发出的认 证请求报文,针对其中的用户名密码进行匹配,并根据匹配结果响应认证 成功或i人i正失败的i人证响应报文,也即认证结果报文。对于网络设备本 身,可以忽略该认证响应报文本身的信息,不论其内容表示认证成功或认 证失败,只要有收到主认证服务器返回的认证响应才艮文,即可认为主认证服务器的认证功能已恢复正常。
步骤103,在主认证服务器是否恢复认证功能时,将认证业务切换回主 认证服务器。
现有技术中,还会通过主认证服务器是否响应PING请求报文来检测 主认证服务器是否恢复,但在实际运作中,主认证服务器中运行的认证程 序本身的恢复与否,与操作系统是否响应PING请求没有必然关系。并且, 通常情况下,认证服务器为了防止攻击,都会关闭操作系统的PING响应 功能,因此,该方法的应用场景受限,容易误判。本发明的实施例中,直 接通过主认证服务器是否响应认证请求报文来有效识别主认证服务器的认 证功能成功是否成功恢复,判断结果准确,并在主认证服务器的认证功能成 功恢复时,自动将网络设备上的认证业务切换回主认证服务器,无需管理员 手工切换,与现有技术相比,可以降低由于人工激活主认证服务器导致的 出错率与增加的网络管理成本,减少了网络管理员的工作强度及复杂性, 可以及时将认证业务切换回主认证服务器,极大地增加了网络的可用性及安 全性,并且在主认证服务器的认证功能成功恢复后才切换,可以有效保证用 户正常使用网络与对网络设备进行维护管理。并且,可以避免由于长时间使 用本地认证和免认证方法失去的网络安全控制效果,降低了黑客侵入、病 毒传播的可能行。在本发明实施例的认证业务切换处理,可以不中断通信 业务。
本发明实施例中的认证请求报文不会对认证服务器造成本质上的功 能和性能影响,但是,为了避免人为通过认证请求报文恶意攻击认证服务 器,可以将刺探周期设置为一定时长。
如图4所示,为本发明认证业务切换处理方法另 一个实施例的流程图, 其包括以下步骤
步骤201,主认证服务器失效后,根据预先存储的主认证服务器地址, 以预先设置的刺探周期向主认证服务器地址发送认证请求报文,该认证请求报文中包括预设用户名和密码。
步骤202,根据预设时间内是否接收到主认证服务器针对所述认证请求 报文返回的认证响应报文,识别主认证服务器是否恢复认证功能。若主认证 服务器恢复认证功能,执行步骤203。否则,若主认证服务器未恢复认证功 能,不执行后续认证业务的切换处理操作。
步骤203,识别网络设备当前采用的认证方法,判断该网络设备当前 采用的认证方法是否为备份认证服务器认证方法。若是备份认证服务器认证 方法,执行步骤204。否则,若网络设备当前采用的认证方法为本地认证方 法或免认证方法,执行步骤205。
步骤204,将网络设备当前时刻及以后时刻接收到的认证请求对应的认 证业务切换回主认证服务器,该认证请求可以是入网认证请求,也可以是登 录认证请求。
步骤205,直接将网络设备上所有的认证业务切换回主认证服务器。 如果网络设备当前采用的备用认证方法主要有备份认证服务器认证方 法,当前已经向备份认证服务器转发认证请求报文,但还未收到备份认证服 务器的认证响应报文,有些认证协议约定网络设备与认证服务器之间需要多 次报文交互,继续在备份认证服务器上进行认证处理,直到整个认证过程完 成,得到认证服务返回的认证结果,从而可以避免整个认证过程被拆分到两 个认证服务器进行导致的认证失败。如果是一个新发起的认证请求,则直接 切换到主认证服务器上进行认证。
如图5所示,为本发明认证业务切换处理装置一个实施例的结构示意 图,该实施例的认证业务切换处理装置可用于实现本发明如图3所示实施 例的认证业务切换处理流程,其包括第 一存储模块301 、第二存储模块302、 第三存储模块303、发送模块304、计时模块305、接收模块306、识别模 块307与切换模块308。其中,第一存储模块301用于存储主认证服务器地 址。第二存储模块302用于存储预先设置的刺探周期。第三存储模块303
12用于存储预设用户名和密码。具体地,第一存储模块301、第二存储模块 302与第三存储才莫块303中的任意一个或多个可以一体i殳置。发送^f莫块304 用于在主认证服务器失效后,根据第一存储模块301中存储的主认证服务器 地址,以第二存储模块302中预先设置的刺探周期向主认证服务器地址发送 认证请求报文,该认证请求报文中包括第三存储模块303中的预设用户名和 密码。计时模块305用于在发送模块304发送预设用户名和密码后,按照 预设时间开始计时。接收模块306用于接收主认证服务器返回的认证响应报 文。识别模块307用于根据计时模块305的计时信息,根据接收模块306在 预设时间内是否接收到主认证服务器针对所述认证请求报文返回的认证响 应报文,识别主认证服务器是否恢复认证功能。切换模块308用于根据识别 模块307的识别结果,在主认证服务器是否恢复认证功能时,将认证业务切 换回主认证服务器。
如图6所示,为本发明认证业务切换处理装置另一个实施例的结构示意 图,该实施例的认证业务切换处理装置可用于实现本发明如图4所示实施 例的认证业务切换处理流程,与图5所示的实施例相比,该实施例的认证 业务切换处理装置中,切换模块308包括识别单元401与切换单元402。 其中,识别单元401用于识别网络设备当前采用的认证方法,判断网络设 备当前采用的认证方法为本地认证方法、免认证方法还是备份认证服务器认 证方法。切换单元402用于根据识别单元401的识别结果,若网络设备当 前釆用的认证方法为本地认证方法或免认证方法,则直4妻将网络设备上所有 的认证业务切换回主认证服务器;若网络设备当前釆用的认证方法为备份认 证服务器认证方法,将网络设备当前时刻及以后时刻接收到的认证请求对应 的认证业务切换回主认证服务器。其中的认证请求可以是入网认证请求,也 可以是登录认证请求。
本发明实施例提供的一种网络设备,包括通信业务处理模块501和认 证业务处理模块502,还包括认证业务切换处理装置503。其中,认证业务处理模块502与认证服务器结合,处理用户的认证业务,包括将PC发 送的入网认证请求或用户发送的登录认证请求转发给认证服务器,以及将认 证服务器发送的认证结果转发给PC或用户,以及在主认证服务器的认证 功能失效的情况下,采用备用认证方法处理认证业务,其中的备用认证方法 可以是备份认证服务器认证方法、本地认证方法或免认证方法。其中的认证
务处理模块501用于根据认证业务处理模块502接收到的认证结果,或采 用免认证方法的指示,允许或拒绝相应的PC进行网络通信。认证业务切换 处理装置503用于对认证业务处理模块502上的认证业务进行切换处理, 在主认证服务器恢复认证功能时,将认证业务切换回主认证服务器。具体地, 该认证业务切换处理装置503可以采用如5或图6所示的实施例。如图7 所示,为本发明网络设备一个实施例的结构示意图,该实施例的网络设备采 用图5所示实施例的认证业务切换处理装置。如图8所示,为本发明网络设 备另一个实施例的结构示意图,该实施例中,网络设备采用图6所示实施例 的认证业务切换处理装置。认证业务切换处理装置503可以通过认证业务 处理模块502进行用户名和密码的匹配,以及通过网络设备自身的数据库进 行用户名和密码的匹配还是通过备份认证服务器进行用户名和密码的匹配, 来确定认证业务处理模块502当前采用免认证方法、本地认证方法还是备份 认证服务器认证方法,从而4丸行认证业务的切换。
本发明实施例提供的一种通信系统,包括网络设备1与对该网络设备 1上的认证业务进行认证处理的主认证服务器2,还包括认证业务切换处 理装置3,用于对网络设备1上的认证业务进行切换处理。该实施例中的 认证业务切换处理装置3具体可以采用如5或图6所示的实施例。如图9 所示,为本发明通信系统一个实施例的结构示意图,该实施例中的认证业务 切换处理装置3采用图5所示实施例的认证业务切换处理装置。如图10所 示,为本发明通信系统另一个实施例的结构示意图,该实施例中的认证业务
14切换处理装置3采用图6所示实施例的认证业务切换处理装置。
另外,本发明实施例提供的通信系统还可以包括主认证服务器2的备 份认证服务器4,在主认证服务器2的认证功能失效后,认证业务切换处 理装置3将网络设备1上的认证业务切换到备份认证服务器4,由备份认 证服务器4对网络设备1上的认证业务进行认证。如图11所示,为本发明 通信系统又一个实施例的结构示意图。如图12所示,为本发明通信系统再 一个实施例的结构示意图。
在本发明实施例的通信系统中,认证业务切换处理装置3与网络设备 1可以一体设置,即认证业务切换处理装置3可以设置在网络设备1中。
本领域普通4支术人员可以理解实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机 可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤; 而前述的存储介质包括ROM、 RAM、》兹碟或者光盘等各种可以存储程 序代码的介质。
别主认证服务器的认证功能成功是否成功恢复,判断结果准确,降低了由于 人工激活主认证服务器导致的出错率与增加的网络管理成本,减少了网络 管理员的工作强度及复杂性,极大地增加了网络的可用性及安全性,可以 有效保证用户正常使用网络与对网络设备进行维护管理,避免由于长时间使 用本地认证和免认证方法失去的网络安全控制效果,降低了黑客侵入、病 毒传播的可能行。
最后所应说明的是以上实施例仅用以说明本发明的技术方案,而非对 本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明, 本领域的普通技术人员应当理解其依然可以对本发明的技术方案进行修改 或者等同替换,而这种修改或者等同替换并不脱离本发明技术方案的精神和 范围。
权利要求
1、一种认证业务切换处理方法,其特征在于,包括主认证服务器失效后,根据预先存储的主认证服务器地址,以预先设置的刺探周期向所述主认证服务器地址发送认证请求报文,该认证请求报文中包括预设用户名和密码;根据预设时间内是否接收到主认证服务器针对所述认证请求报文返回的认证响应报文,识别所述主认证服务器是否恢复认证功能;在所述主认证服务器恢复认证功能时,将认证业务切换回所述主认证服务器。
2、 根据权利要求1所述的方法,其特征在于,还包括预先设置或更 新所述刺探周期的操作。
3、 根据权利要求2所述的方法,其特征在于,还包括所述刺探周期 为零时长或大于零的任意时长。
4、 根据权利要求1、 2或3所述的方法,其特征在于,所述将认证业 务切换回所述主认证服务器包括识别网络设备当前采用的认证方法;若所述网络i殳备当前采用的认证方法为本地iU正方法或免i人证方法, 则直接将所述网络设备上所有的认证业务切换回所述主认证服务器;若所述网络设备当前采用的认证方法为备份认证服务器认证方法,将 所述网络设备当前时刻及以后时刻接收到的认证请求对应的认证业务切换 回所述主认证服务器,所述认证请求为入网认证请求或登录认证请求。
5、 一种认证业务切换处理装置,其特征在于,包括 第 一存储模块,用于存储主认证服务器地址; 第二存储模块,用于存储预先设置的刺探周期; 第三存储模块,用于存储预设用户名和密码;发送模块,用于在主认证服务器失效后,根据所述主认证服务器地址,以所述预先设置的刺探周期向所述主认证服务器地址发送认证请求报文,该认证请求>^文中包括所述预设用户名和密码;计时模块,用于在所述发送模块发送所述预设用户名和密码后,按照 预^:时间开始计时;接收模块,用于接收主认证服务器针对所述认证请求报文返回的认证响 应报文;识别模块,用于根据所述计时模块的计时信息,根据所述接收模块在预 设时间内是否接收到主认证服务器返回的认证响应报文,识别所述主认证服 务器是否恢复认证功能;切换模块,用于根据所述识别模块的识别结果,在所述主认证服务器 恢复认证功能时,将认证业务切换回所述主认证服务器。
6、 根据权利要求5所述的装置,其特征在于,所述第一存储模块、 第二存储模块与第三存储模块中的任意一个或多^一体设置。
7、 根据权利要求5或6所述的装置,其特征在于,所述切换模块包括识别单元,用于识别网络设备当前采用的i人证方法; 切换单元,用于根据所述识别单元的识别结果,若所述网络设备当前 采用的认证方法为本地^人证方法或免认证方法,则直接将所述网络设备上所 有的认证业务切换回所述主认证服务器;若所述网络设备当前采用的认证方 法为备份认证服务器认证方法,将所述网络设备当前时刻及以后时刻接收到 的认证请求对应的认证业务切换回所述主认证服务器,所述认证请求为入网 认证请求或登录认证请求。
8、 一种网络设备,包括通信业务处理模块和认证业务处理模块,其 特征在于,还包括权利要求5、 6或7任意一项所迷的认证业务切换处理 装置,用于对所述认证业务处理模块上的认证业务进行切换处理。
9、 一种通信系统,包括网络设备与主认证服务器,其特征在于,还包括权利要求5、 6或7任意一项所述的认证业务切换处理装置,用于对 所述网络设备上的认证业务进行切换处理。
10、 根据权利要求9所述的通信系统,其特征在于,所述认证业务 切换处理装置与所述网络设备一体设置。
11、 根据权利要求9或IO所述的通信系统,其特征在于,还包括所 述主认证服务器的备份认证服务器。
全文摘要
本发明公开了一种认证业务切换处理方法与装置、网络设备与通信系统,其中,方法包括主认证服务器失效后,根据预先存储的主认证服务器地址,以预先设置的刺探周期向所述主认证服务器地址发送认证请求报文,该认证请求报文中包括预设用户名和密码;根据预设时间内是否接收到主认证服务器针对所述认证请求报文返回的认证响应报文,识别所述主认证服务器是否恢复认证功能;在所述主认证服务器恢复认证功能时,将认证业务切换回所述主认证服务器。本发明实施例可以降低由于人工激活主认证服务器导致的出错率与增加的网络管理成本,及时将认证业务切换回主认证服务器,有效保证用户正常使用网络与对网络设备进行维护管理。
文档编号H04L29/06GK101465862SQ20091007617
公开日2009年6月24日 申请日期2009年1月9日 优先权日2009年1月9日
发明者卓志强 申请人:北京星网锐捷网络技术有限公司