专利名称:认证方法、服务器及系统的制作方法
技术领域:
本发明实施例涉及网络技术领域,尤其涉及一种认证方法、服务器及系统。
背景技术:
802. IX协议是一种基于端口的网络访问控制协议(Port-BasedNetwork Access Control,简称为PBNAC)。基于端口的网络访问控制是指网络设备的接入级(即以太网交换 机或宽带接入设备的端口)控制客户端对网络的访问。客户端接入网络设备的端口默认为 阻断用户对网络的所有访问权限,而只处理一种特定的协议报文。连接在此类端口上的客 户端设备,如果需要访问网络资源,首先必须经过认证,认证成功的客户端设备才能访问网 络资源,如果不经过认证,就不能访问网络资源。802. IX系统的基本框架示意图可以如图1所示,其中,802. IX系统可以由三部分 组成,认证恳求者(Supplicant System),认证者(AuthenticatorSystem)以及认证服务器 (Authentication System)。其中,认证恳求者一般直接称为认证客户端或客户端,它是客 户端设备中运行的软件或者独立运行的计算机软件,作用是接收认证必须的信息(通常为 用户名和密码),按照802. IX协议规定的格式,封装成相应报文,发送给认证者,同时处理 认证者回应的响应报文,执行客户端的认证流程。认证者有时直接称为认证设备或设备,提 供用户接入网络的接口。它是由设备中运行的软件来支持相应功能的,接收认证恳求者发 起的认证请求,并将请求进行相应的处理,然后封装成高层协议(IP层之上的协议)转发到 认证服务器中进行认证,如果认证服务器认为认证恳求者认证成功,则允许认证客户端访 问需要的网络资源,如果认证服务器认为认证恳求者认证失败,则不允许认证客户端访问 网络资源。认证服务器可以运行在认证者中,也可以运行在独立的硬件设备中,作用是对认 证恳求者进行认证(如果恳求者使用用户名和密码进行认证,那么就校验用户名和密码是 否正确),如果认证恳求者认证成功,则向认证者发送认证成功的消息,如果认证恳求者认 证失败,则向认证者发送认证失败的消息。在实现本发明过程中,发明人发现现有技术中至少存在如下问题标准的802. IX认证过程中,是不允许用户密码为空,如果用户密码为空,则可能 出现多种不同的处理方式其中一种是认证服务器直接拒绝密码为空的用户接入网络;另 一种是认证服务器允许密码为空的用户进行Windows AD域的认证,并在Windows AD域认 证通过后允许用户直接接入网络。对于第一种直接拒绝密码为空的用户接入网络的处理方式,现有技术中可以采用 将认证设备的802. IX功能关闭,然后等到所有用户都加入Windows AD域后再开启802. IX 功能解决上述问题。但是,关闭802. IX功能后,网络的安全无法保障,会带来更加严重的安
^^^ 急 ^^ ο对于第二种允许密码为空的用户进行Windows AD域认证并在认证通过后允许用 户直接接入网络的处理方式,会出现密码为空的用户接入网络不受限的情况,因此现有技 术通常不会使用这种处理方式。
发明内容
本发明实施例提供一种认证方法、服务器及系统,用以解决现有技术中802. IX与 Windows AD域联动认证时,不允许密码为空的问题,同时保障了网络的安全。本发明实施例提供一种认证方法,用于实现802. IX与Windows AD域的联动认证, 包括802. IX认证服务器接收到用户的认证请求,所述认证请求中携带所述用户的用户 名和空密码;所述802. IX认证服务器将所述用户名和空密码发送给Windows AD域服务器,由 所述Windows AD域服务器对所述用户名和空密码进行校验;校验成功后,所述802. IX认证服务器向所述Windows AD域服务器发送查询请求, 所述查询请求中携带所述用户名;所述Windows AD域服务器判断所述用户名是否为授权用户;当所述用户名为授权用户时,联动认证成功。本发明实施例又提供一种认证服务器,包括接收模块,用于接收用户的认证请求,所述认证请求中携带所述用户的用户名和 空密码;发送模块,用于将所述用户名和空密码发送给Windows AD域服务器,由所述 Windows AD域服务器对所述用户名和空密码进行校验;权限查询模块,用于当所述Windows AD服务器对所述用户名和空密码校验成功 后,向所述Windows AD域服务器发送查询请求,所述查询请求中携带所述用户名;所述用 户名用于所述Windows AD域服务器判断所述用户名是否为授权用户;当所述用户名为授 权用户时,联动认证成功。本发明实施例还提供一种认证系统,用于实现802. IX与Windows AD域的联动认 证,包括802. IX认证服务器与Windows AD域服务器;所述802. IX认证服务器包括接收模块,用于接收用户的认证请求,所述认证请求中携带所述用户的用户名和 空密码;发送模块,用于将所述用户名和空密码发送给Windows AD域服务器,由所述 Windows AD域服务器对所述用户名和空密码进行校验;权限查询模块,用于当所述Windows AD域服务器对所述用户名和空密码校验成功 后,向所述Windows AD域服务器发送查询请求,所述查询请求中携带所述用户名;所述Windows AD域服务器包括校验模块,用于对所述802. IX认证服务器的发送模块发送的所述用户名和空密 码进行校验;判断模块,用于判断所述802. IX认证服务器的权限查询模块发送的所述用户名 是否为授权用户;当所述用户名为授权用户时,联动认证成功。本发明实施例的认证方法、服务器及认证系统,通过在Windows AD域服务器对用 户名和空密码校验成功后,认证服务器再次查询用户名的访问权限,只有用户为授权用户
5时才能认证成功,使得802. IX与Windows AD域在进行联动认证时,可以实现空密码认证, 并获得授权。这种认证方法无需额外的部署,仅需增加一次信令的交互,节省了成本。而且, 无需关闭802. IX功能即可在802. IX与Windows AD域联动认证时实现空密码认证,方法安 全可靠,不存在现有技术的安全隐患;而且还有效控制了空密码用户可以不受限制接入网 络的弊端。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。图1为现有技术中802. IX系统的基本框架示意图;图2为本发明实施例提供的认证方法的流程图;图3为本发明实施例提供的认证方法的交互流程图;图4为本发明实施例提供的认证服务器的结构示意图;图5为本发明实施例提供的认证系统的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图2为本发明实施例提供的认证方法的流程图,该认证方法用于实现802. IX与 Windows AD域的联动认证。如图2所示,该方法包括201 802. IX认证服务器接收到用户的认证请求,该认证请求中携带用户的用户 名和空密码;202 :802. IX认证服务器将用户名和空密码发送给Windows AD域服务器,由 Windows AD域服务器对用户名和空密码进行校验;203 校验成功后,802. IX认证服务器向Windows AD域服务器发送查询请求,查询 请求中携带用户名;204 =Windows AD域服务器判断用户名是否为授权用户;当用户名为授权用户时,联动认证成功。下面,结合图3所示的认证方法的交互流程图对本发明实施例提供的认证方法进 行详细的说明。如图3所示,该方法包括301 802. IX认证恳求者收到用户的认证请求后,向802. IX认证者发出认证开始 报文以触发认证过程;其中,用户的认证请求可以理解为认证恳求者接收到认证用户通过输入设备 (如鼠标、键盘等)输入的用户名和密码。在本实施例中,密码为空。认证开始报文可以是EAPOL-Start报文。其中,EAPOL (Extensib IeAuthenti cationProtocol Over LAN)是一种基于局域网的扩展认证协议。302 802. IX认证者向认证恳求者发出身份请求报文,以获得用户的用户名;其中,身份请求报文可以为EAPOL-Request [Identity]报文。303 802. IX认证恳求者将用户名通过身份回应报文发送给802. IX认证者;其中,身份回应报文可以为EAPOL-Responsetldentity]报文,其中封装有用户的 用户名。304 802. IX认证者将认证恳求者发送的身份回应报文封装在协议远程用户拨号 认证系统(Radius)协议中转发给认证服务器;其中,远程用户拨号认证系统协议(Remote Authentication Dial In UserService,简称为Radius)是一种可扩展的应用层认证协议。本实施例中的作用为封装 EAPOL报文并传递给认证服务器。将EAPOL-Response [Identity]报文封装在Radius协议 中的原因在于EAP0L报文为二层协议,不能跨越网段直接传播,所以要将其封装在Radius 这类应用层协议中进行传播。封装后的报文可以为Aadius/EAPOL-Response[Identity] 报文。另外需要说明的是Radius协议本身除了封装EAPOL报文之外,还可以提供很多 属性的封装,比如用户的用户名等信息的封装。305 802. IX 认证服务器接收到 Radius/EAPOL-Response [Identity]报文后,向认 证者发出口令挑战报文,以获得用户的密码;其中,口令挑战报文可以是Radius/EAPOL-Request[Challenge]报文,报文内容 可以是一定长度的随机数,通常为32个字节。306 认证者接收到认证服务器发出的Radius/EAPOL-Request [Challenge]报文 后,将报文中封装的口令挑战EAPOL-Request [Challenge]报文转发给802. IX认证恳求 者;307 认证恳求者将密码通过口令响应报文发送给认证者;其中的口令响应报文可以为EAPOL-Response[MD5],封装有用户的密码,本实施例 中用户的密码为空。308 认证者将认证恳求者发送的口令响应报文封装在Radius协议中,组装成 Radius/EAPOL-Response [MD5]报文,转发给认证服务器;309 认证服务器接收到Radius/EAPOL-Response[MD5]报文,从中提取用户名和 密码,并封装成认证请求报文发送给Windows AD域服务器;其中,认证请求报文可以是LDAP-Bind-Request报文,该报文的作用是向LDAP服 务器(在本实施例中即为802. IX认证服务器)发送认证请求,将当前连接会话绑定到LDAP 服务器的上下文中。LDAP是轻量级目录访问协议的简称,用来访问类似于电话簿的数据库, 这种数据库的内容是以〈名称,值〉的方式存储数据的。由于Windows AD域服务器支持 LDAP协议进行访问,所以Windows AD域服务器中的用户信息就是以 < 名称,值〉的方式存 储到Windows AD域服务器中。310 =Windows AD域服务器对接收到的用户名和密码进行校验;具体的校验方式可以为Windows AD域服务器在其保存的用户信息中查询是否存在该用户名;
如果不存在,则校验成功;如果存在,则在用户信息中查询该用户名对应的密码是否为空;如果是,则校验成功;如果否,则校验失败。其中需要说明的是,用户信息是预先在Windows AD域服务器上配置完成的信息, 该用户信息包括拥有访问该Windows AD域服务器内容权限的用户名及密码。用户信息可 以为表单的形式存在,如表1所示表 权利要求
一种认证方法,用于实现802.1X与Windows AD域的联动认证,其特征在于,包括802.1X认证服务器接收到用户的认证请求,所述认证请求中携带所述用户的用户名和空密码;所述802.1X认证服务器将所述用户名和空密码发送给Windows AD域服务器,由所述Windows AD域服务器对所述用户名和空密码进行校验;校验成功后,所述802.1X认证服务器向所述Windows AD域服务器发送查询请求,所述查询请求中携带所述用户名;所述Windows AD域服务器判断所述用户名是否为授权用户;当所述用户名为授权用户时,联动认证成功。
2.根据权利要求1所述的认证方法,其特征在于,所述由所述WindowsAD域服务器对所 述用户名和空密码进行校验,包括所述Windows AD域服务器在预先保存的用户信息中查询是否存在所述用户名; 如果不存在,则校验成功;如果存在,所述Windows AD域服务器在所述用户信息中查询所述用户名对应的密码是 否为空;如果是,则校验成功; 如果否,则校验失败。
3.根据权利要求1或2所述的认证方法,其特征在于,所述WindowsAD域服务器判断 所述用户名是否为授权用户,包括所述Windows AD域服务器查询预先保存的用户信息,判断所述预先保存的用户信息中 是否存在所述用户名;如果存在所述用户名,则所述用户名为授权用户。
4.根据权利要求1所述的认证方法,其特征在于,所述802.IX认证服务器向所述 Windows AD域服务器发送查询请求,包括所述802. IX认证服务器向所述Windows AD域服务器发送LDAP-QUERY-Request报文, 所述LDAP-QUERY-Request报文中携带所述用户名。
5.根据权利要求4所述的认证方法,其特征在于,还包括所述802. IX认证服务器接收所述Windows AD域服务器发送的LDAP-QUERY-Response 报文,所述LDAP-QUERY-Response报文中携带查询结果。
6.一种认证服务器,其特征在于,包括接收模块,用于接收用户的认证请求,所述认证请求中携带所述用户的用户名和空密码;发送模块,用于将所述用户名和空密码发送给Windows AD域服务器,由所述Windows AD域服务器对所述用户名和空密码进行校验;权限查询模块,用于当所述Windows AD服务器对所述用户名和空密码校验成功后,向 所述Windows AD域服务器发送查询请求,所述查询请求中携带所述用户名;所述用户名用 于所述Windows AD域服务器判断所述用户名是否为授权用户;当所述用户名为授权用户 时,联动认证成功。
7.根据权利要求6所述的认证服务器,其特征在于,所述权限查询模块包括发送单元和接收单元;所述发送单元,用于发送所述查询请求,所述查询请求为LDAP-QUERY-Request报文; 所述接收单元,用于接收查询结果,所述查询结果携带在LDAP-QUERY-Response报文中。
8.一种认证系统,用于实现802. IX与Windows AD域的联动认证,其特征在于,包括 802. IX认证服务器与Windows AD域服务器;所述802. IX认证服务器包括接收模块,用于接收用户的认证请求,所述认证请求中携带所述用户的用户名和空密码;发送模块,用于将所述用户名和空密码发送给Windows AD域服务器,由所述Windows AD域服务器对所述用户名和空密码进行校验;权限查询模块,用于当所述Windows AD域服务器对所述用户名和空密码校验成功后, 向所述Windows AD域服务器发送查询请求,所述查询请求中携带所述用户名; 所述Windows AD域服务器包括校验模块,用于对所述802. IX认证服务器的发送模块发送的所述用户名和空密码进 行校验;判断模块,用于判断所述802. IX认证服务器的权限查询模块发送的所述用户名是否 为授权用户;当所述用户名为授权用户时,联动认证成功。
9.根据权利要求8所述的认证系统,其特征在于,所述校验模块包括第一查询单元,用于在所述Windows AD域服务器预先保存的用户信息中查询是否存在 所述用户名;如果不存在,则校验成功;第二查询单元,用于当所述第一查询单元的查询结果为所述用户名不存在时,在所述 Windows AD域服务器预先保存的用户信息中查询所述用户名对应的密码是否为空;如果 是,则校验成功;如果否,则校验失败。
10.根据权利要求8或9所述的认证系统,其特征在于,所述判断模块包括查询单元,用于查询所述预先保存的用户信息,判断所述预先保存的用户信息中是否 存在所述用户名;如果存在所述用户名,则所述用户名为授权用户。
全文摘要
本发明提供一种认证方法、服务器及系统。该认证方法用于实现802.1X与Windows AD域的联动认证,包括802.1X认证服务器接收到用户的认证请求,所述认证请求中携带所述用户的用户名和空密码;所述802.1X认证服务器将所述用户名和空密码发送给Windows AD域服务器,由所述WindowsAD域服务器对所述用户名和空密码进行校验;校验成功后,所述802.1X认证服务器向所述Windows AD域服务器发送查询请求,所述查询请求中携带所述用户名;所述Windows AD域服务器判断所述用户名是否为授权用户;当所述用户名为授权用户时,联动认证成功。
文档编号H04L29/06GK101986598SQ201010527519
公开日2011年3月16日 申请日期2010年10月27日 优先权日2010年10月27日
发明者刘忠东, 刘福能, 李进, 杨红飞 申请人:北京星网锐捷网络技术有限公司