专利名称:一种用户身份认证方法及系统的制作方法
技术领域:
本发明涉及一种信息安全领域,具体地讲,是涉及一种网络设备的用户身份认证方法及系统。
背景技术:
随着运营商的建设的网络越来越大,网络设备的数量迅速增加。目前,各种网络设备的用户信息维护都由设备各自维护,当要使用同一个用户的时候登录各个网络设备时候,需要在各个设备上新建相同的用户。在网络迅速增加和市场化迅猛发展的今天,这种管理模式的弊端日益显现,尤其是在新建网络大量使用防火墙,交换机,路由器等等的情况下,这种弊端表现得尤为突出。此外,如果要修改一个用户的访问控制策略,需要在各个设备上去修改策略,造成网络设备用户维护的困难和繁琐,从而加大了生产成本,并且对信息安全构成了严重威胁。所以,有必要提出一种新的用户身份的认证方法,以解决同一个用户在登录不同设备时候需要输入不同的密码,网络设备管理员需要在各个设备上新建同一个用户的技术问题。
发明内容
本发明的目的在于提供一种用户身份认证方法及系统,可以实现基于安全策略的统一用户管理和认证,在实现对用户身份的多网络设备对用户身份进行统一认证的同时, 减轻网络设备管理员维护困难和繁琐,从而降低生产成本和信息安全威胁。为解决以上技术问题,本发明提供一种用户身份认证的方法,将用户身份的认证参数统一存放记录在统一认证服务器中,在用户登录网络设备时,由统一认证服务器统一认证用户身份的合法性。进一步地,如认证过程具体包括网络设备将用户身份的认证请求参数发送给统一认证服务器;统一认证服务器将认证请求参数与存储在统一认证服务器中的记录相比较,如果有一条记录与用户输入的一致,则认证成功,否则失败。进一步地,所述用户身份的认证参数包括用户名和密码。为解决以上技术问题,本发明提供一种用户身份认证的方法,包括步骤1、用户访问网络设备时,网络设备将认证请求参数发送给统一认证服务器;步骤2、统一认证服务器接收认证请求参数,对用户进行认证,并把认证结果参数发送给网络设备;步骤3、网络设备根据接收到的认证结果参数,决定是否允许用户访问网络设备。进一步地,所述步骤1具体包括步骤1. 1、网络设备接收到访问用户输入的认证请求参数;步骤1. 2、网络设备对认证请求参数进行协议封装和转换;
步骤1. 3、协议转换完成后,把认证请求参数发送给统一认证服务器。进一步地,所述步骤2具体包括步骤2. 1、统一认证服务器接收到认证请求参数;步骤2. 2、统一认证服务器查询和比较获取的认证请求参数,得到认证结果参数;步骤2. 3、统一认证服务器将认证结果参数发送给网络设备。进一步地,所述步骤2. 2具体包括统一认证服务器将认证请求参数与存储在统一认证服务器中的记录相比较,如果有一条记录与用户输入的一致,则认证成功,否则失败。进一步地,所述步骤3具体包括当认证结果参数显示肯定时,表示用户为合法用户,允许用户访问网络设备;当认证结果参数显示否定时,表示用户为非法用户,拒绝用户访问网络设备。进一步地,所述用户身份的认证参数包括用户名和密码。为解决以上技术问题,本发明提供一种用户身份认证系统,包括网络设备和统一认证服务器,所述网络设备,用于接收用户输入的认证请求参数,并发送给统一认证服务器;所述统一认证服务器,用于统一存放含有用户身份的认证参数的记录,以及统一认证登录所述网络设备的用户的合法性,并将认证结果参数发送给网络设备。进一步地,所述网络设备与统一认证服务器使用LDAP或RADIUS协议通信。与现有技术相比,本发明提供的一种用户身份认证方法及系统,采用统一认证服务器统一存放用户身份账号,实现基于安全策略的统一用户管理和认证,实现对用户身份的多网络设备对用户身份进行统一认证,使得同一个用户在登录不同设备时不需要输入不同的密码,以及使得网络设备管理员不需要在各个设备上新建同一个用户的问题;同时使得网络设备管理员只需要在认证服务器中修改一个用户的访问控制策略而不需要在各个设备上去修改策略,减轻网络设备管理员维护困难和繁琐,从而降低生产成本和信息安全威胁。此外,认证协议包括LDAP和RADIUS的协议,实现对网络的集中管理,增强了多网络设备对市场和需求的变化的灵活性。
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是本发明提供的一种用户身份认证方法的流程图;图2是本发明提供的一种用户身份认证系统的结构示意图;图3是本发明实施例提供的一种用户身份认证方法的流程图。
具体实施例方式为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。本发明提供一种用户身份认证的方法,将用户身份的认证参数如用户名、密码等统一存放记录在统一认证服务器中,在用户登录网络设备时,统一认证用户的合法性。该方法包括步骤1、用户访问网络设备时,网络设备将认证请求参数发送给统一认证服务器; 具体包括步骤1. 1、网络设备接收到访问用户输入的用户名和密码等认证请求参数;步骤1. 2、网络设备对认证请求参数进行协议封装和转换;其中,所述协议封装采用 LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)或RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证系统)协议。步骤1. 3、协议转换完成后,把认证请求参数发送给统一认证服务器;步骤2、统一认证服务器接收认证请求参数,对用户进行认证,并把认证结果参数发送给网络设备;具体包括步骤2. 1、统一认证服务器根据接收到认证请求参数,获取到用户名和密码等参数;步骤2. 2、统一认证服务器查询和比较用户名和密码是否合法,得到认证结果参数;具体包括统一认证服务器根据解包后获取的用户名和密码口令,与存储在统一认证服务器 LDAP目录中的身份记录进行比较,如果有一条记录与用户输入的一致,则认证成功,用户登录者与LDAP中的一个身份记录相匹配,否则失败,据此得到认证结果参数。步骤2. 3、统一认证服务器将认证结果参数发送给网络设备;步骤3、网络设备根据接收到的认证结果参数,决定是否允许用户访问网络设备。 当认证结果参数显示肯定合法时,表示用户为合法用户,允许用户访问网络设备;当认证结果参数显示否定时,表示用户为非法用户,拒绝用户访问网络设备。如图2所示,本发明还提供一种用户身份认证系统,该系统包括网络设备100和统一认证服务器200,其中,网络设备100,用于接收用户输入的认证请求参数,并发送给统一认证服务器 200 ;统一认证服务器200,用于统一存放含有用户的认证参数如用户名、密码等身份记录,以及统一认证登录网络设备的用户的合法性,将认证结果参数发送给网络设备100。下面将结合实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。如图3所示,本发明提供一种用户身份认证的方法,包括步骤10 用户输入用户名和密码等认证请求参数,网络设备接收用户输入的认证请求参数,并对认证请求参数采用LDAP或RADIUS进行协议封装和转换,协议转换完成后, 把认证请求参数发送给统一认证服务器;步骤20 统一认证服务器接收到认证请求参数,参数包括用户名和密码;步骤30 统一认证服务器把用户名和密码与存储在统一认证服务器LDAP目录中的用户集合进行匹配校验,如果有一条记录与用户输入的一致,则认证成功,用户登录者与 LDAP中的一个身份记录相匹配,否则失败,据此得到认证结果参数。
步骤40 统一认证服务器把认证结果参数发送给网络设备;步骤50 网络设备获取统一认证服务器的认证结果参数,对认证结果参数进行分析;如果认证结果参数标识是登录成功,就允许用户访问该设备,否则就不允许,返回用户登录设备时的初始状态。其中,网络设备与统一认证服务器通信的协议使用LDAP或RADIUS。1) LDAP协议方式使用LDAP认证方式,用户名和密码口令是存储到统一认证服务器指定的LDAP目录中,当用户登录时,用户输入的用户名和密码口令与LDAP目录中的记录相比较,如果有一条记录与用户输入的一致,则认证成功,用户登录者与LDAP中的一个身份记录相匹配, 否则失败。2) RADIUS 协议方式使用RADIUS认证方式,网络设备把认证请求参数封装成RADIUS协议包,发送给统一认证服务器,统一认证服务器自行解包后发送用户名和密码口令与存储在统一认证服务器LDAP目录中的记录相比较,如果有一条记录与用户输入的一致,则认证成功,用户登录者与LDAP中的一个身份记录相匹配,否则失败。本发明提供的一种用户身份认证方法及系统,涉及建立营运商、中大企业级网络设备的用户认证中心,网络设备统一身份认证,实现基于安全策略的统一用户管理和认证, 采用统一认证服务器统一存放用户身份账号,实现对用户身份的多网络设备对用户身份进行统一认证,使得同一个用户在登录不同设备时不需要输入不同的密码,以及使得网络设备管理员不需要在各个设备上新建同一个用户的问题;同时使得网络设备管理员只需要在认证服务器中修改一个用户的访问控制策略而不需要在各个设备上去修改策略,减轻网络设备管理员维护困难和繁琐,从而降低生产成本和信息安全威胁。此外,认证协议包括LDAP 和RADIUS的协议,实现对网络的集中管理,增强了多网络设备对市场和需求的变化的灵活性。上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、 修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
权利要求
1.一种用户身份认证的方法,其特征在于,将用户身份的认证参数统一存放记录在统一认证服务器中,在用户登录网络设备时,由统一认证服务器统一认证用户身份的合法性。
2.如权利要求1所述的方法,其特征在于,认证过程具体包括 网络设备将用户身份的认证请求参数发送给统一认证服务器;统一认证服务器将认证请求参数与存储在统一认证服务器中的记录相比较,如果有一条记录与用户输入的一致,则认证成功,否则失败。
3.如权利要求1或2所述的方法,其特征在于,所述用户身份的认证参数包括用户名和密码。
4.一种用户身份认证的方法,其特征在于,包括步骤1、用户访问网络设备时,网络设备将认证请求参数发送给统一认证服务器; 步骤2、统一认证服务器接收认证请求参数,对用户进行认证,并把认证结果参数发送给网络设备;步骤3、网络设备根据接收到的认证结果参数,决定是否允许用户访问网络设备。
5.如权利要求4所述的方法,其特征在于,所述步骤1具体包括 步骤1. 1、网络设备接收到访问用户输入的认证请求参数;步骤1. 2、网络设备对认证请求参数进行协议封装和转换;步骤1. 3、协议转换完成后,把认证请求参数发送给统一认证服务器。
6.如权利要求4所述的方法,其特征在于,所述步骤2具体包括 步骤2. 1、统一认证服务器接收到认证请求参数;步骤2. 2、统一认证服务器查询和比较获取的认证请求参数,得到认证结果参数; 步骤2. 3、统一认证服务器将认证结果参数发送给网络设备。
7.如权利要求4所述的方法,其特征在于,所述步骤2.2具体包括统一认证服务器将认证请求参数与存储在统一认证服务器中的记录相比较,如果有一条记录与用户输入的一致,则认证成功,否则失败。
8.如权利要求4所述的方法,其特征在于,所述步骤3具体包括当认证结果参数显示肯定时,表示用户为合法用户,允许用户访问网络设备;当认证结果参数显示否定时,表示用户为非法用户,拒绝用户访问网络设备。
9.如权利要求4至8任一所述的方法,其特征在于,所述用户身份的认证参数包括用户名和密码。
10.一种用户身份认证系统,其特征在于,包括网络设备和统一认证服务器, 所述网络设备,用于接收用户输入的认证请求参数,并发送给统一认证服务器;所述统一认证服务器,用于统一存放含有用户身份的认证参数的记录,以及统一认证登录所述网络设备的用户的合法性,并将认证结果参数发送给网络设备。
11.如权利要求10所述的系统,其特征在于,所述网络设备与统一认证服务器使用 LDAP或RADIUS协议通信。
全文摘要
本发明提供一种用户身份认证的方法,将用户身份的认证参数统一存放记录在统一认证服务器中,在用户登录网络设备时,由统一认证服务器统一认证用户身份的合法性。本发明还提供一种用户身份认证系统。通过本发明的用户身份认证方法及系统,可以实现基于安全策略的统一用户管理和认证,在实现对用户身份的多网络设备对用户身份进行统一认证的同时,减轻网络设备管理员维护困难和繁琐,从而降低生产成本和信息安全威胁。
文档编号H04L9/32GK102307097SQ20111025918
公开日2012年1月4日 申请日期2011年9月2日 优先权日2011年9月2日
发明者黄韶军 申请人:深圳中兴网信科技有限公司