身份认证方法和装置制造方法

身份认证方法和装置制造方法
【专利摘要】本发明公开了一种身份认证方法和装置，涉及安全管理领域。为解决现有技术在多认证协议的综合应用环境中对核心认证服务器有较大依赖性的问题而发明。包括：S10、统一调度中间件接收用户终端发送的身份认证请求；S20、所述统一调度中间件根据所述身份认证请求确定认证类型；S30、所述统一调度中间件根据所述认证类型从预设认证服务器组中选取至少一个目标服务器，并分别向所述至少一个目标服务器发送所述身份认证请求，使所述至少一个目标服务器对所述身份认证请求进行认证后，反馈认证结果；S40、所述统一调度中间件分别接收所述至少一个目标服务器反馈的认证结果；S50、所述统一调度中间件将所述认证结果返回给对应的用户终端。
【专利说明】身份认证方法和装置

【技术领域】
[0001]本发明涉及安全管理领域，尤其涉及一种身份认证方法和装置。

【背景技术】
[0002]目前，身份认证方法主要包括两种:单因子认证和多因子认证。其中，多因子认证使用多种条件对用户进行认证，能够提高身份认证的安全性。
[0003]现有技术中，多因子认证时，通常需要将多种认证服务器中一种认证服务器作为核心认证服务器，所有认证请求均传输至核心认证服务器，由核心认证服务器进行统一调度。
[0004]然而，由核心认证服务器进行统一调度，使得原本由另一个认证服务器进行认证的请求也需经过核心认证服务器统一调度，对核心认证服务器有较大的依赖性。


【发明内容】

[0005]本发明提供一种身份认证方法和装置，能够减少对核心认证服务器的依赖。
[0006]本发明解决技术问题采用如下技术方案:一种身份认证方法，包括:S10、统一调度中间件接收用户终端发送的身份认证请求；S20、所述统一调度中间件根据所述身份认证请求确定认证类型；S30、所述统一调度中间件根据所述认证类型从预设认证服务器组中选取至少一个目标服务器，并分别向所述至少一个目标服务器发送所述身份认证请求，使所述至少一个目标服务器对所述身份认证请求进行认证后，反馈认证结果；S40、所述统一调度中间件分别接收所述至少一个目标服务器反馈的认证结果；S50、所述统一调度中间件将所述认证结果返回给对应的用户终端。
[0007]可选的，该身份认证方法，还包括:S11、如果接收到至少两个身份认证请求，所述统一调度中间件分别获取所述至少两个身份认证请求的优先级；S12、所述统一调度中间件根据所述至少两个身份认证请求的优先级对所述至少两个身份认证请求进行排列；按所述排列的顺序依次执行所述S20至所述S50。
[0008]可选的，本发明实施例提供的身份认证方法中所述S30，包括:S301、所述统一调度中间件根据所述认证类型和预设认证-服务器映射表，从预设认证服务器组中确定每个认证类型对应的目标服务器；S302、如果所述认证类型为至少两个，所述统一调度中间件根据所述认证类型对所述身份认证请求进行分割，得到至少两个子请求；S303、所述统一调度中间件分别向每个认证类型对应的目标服务器发送对应的子请求，使每个目标服务器对子请求进行认证后，反馈认证结果。
[0009]可选的，本实施例提供的身份认证方法，还包括:S60、所述认证结果为认证成功时，所述统一调度中间件存储对应的用户终端的访问记录。
[0010]可选的，本实施例提供的身份认证方法中预设认证服务器组，包括:轻量目录访问协议LDAP认证服务器、远程认证拨号用户服务RADIUS认证服务器。
[0011]本发明解决技术问题采用如下技术方案:一种身份认证装置，包括:
[0012]接入单元、类型识别单元、身份认证单元、结果接收单元、服务器组和输出单元；
[0013]所述接入单元，用于接收用户终端发送的身份认证请求；
[0014]类型识别单元，与所述接入单元相连，用于根据所述接入单元接收的身份认证请求确定认证类型；
[0015]身份认证单元，与所述类型识别单元和所述服务器组相连，用于根据所述认证类型从所述服务器组中选取至少一个目标服务器，并分别向所述至少一个目标服务器发送所述身份认证请求，使所述至少一个目标服务器对所述身份认证请求进行认证后，反馈认证结果；
[0016]结果接收单元，与所述服务器组相连，用于分别接收所述至少一个目标服务器反馈的认证结果；
[0017]所述输出单元，与所述结果接收单元相连，用于将所述结果接收单元得到的认证结果返回给对应的用户终端。
[0018]可选的，本实施例提供的身份认证装置，还包括:
[0019]优先级获取单元，与所述接入单元相连，用于如果接收到至少两个身份认证请求，分别获取所述至少两个身份认证请求的优先级；
[0020]请求排列单元，与所述优先级获取单元和所述类型识别单元相连，用于根据所述至少两个身份认证请求的优先级对所述至少两个身份认证请求进行排列；
[0021]所述类型识别单元，具体用于按所述排列的顺序分别根据身份认证请求确定认证类型。
[0022]可选的，本实施例提供的身份认证装置中所述身份认证单元，包括:
[0023]服务器选取模块，用于根据所述认证类型和预设认证-服务器映射表，从所述服务器组中确定每个认证类型对应的目标服务器；
[0024]请求分割模块，与所述服务器选取模块相连，用于如果所述认证类型为至少两个，根据所述认证类型对所述身份认证请求进行分割，得到至少两个子请求；
[0025]认证模块，与所述请求分割模块和所述服务器选取模块相连，用于分别向每个认证类型对应的目标服务器发送对应的子请求，使每个目标服务器对子请求进行认证后，反馈认证结果。
[0026]可选的，本实施例提供的身份认证装置，还包括:
[0027]记录存储单元，与所述结果接收单元相连，用于所述认证结果为认证成功时，存储对应的用户终端的访问记录。
[0028]可选的，本实施例提供的身份认证装置中服务器组，包括:
[0029]轻量目录访问协议LDAP认证服务器、远程认证拨号用户服务RADIUS认证服务器。
[0030]本发明具有如下有益效果:由于通过统一调度中间件统一接收请求并从服务器组中选取对应服务器，简化了身份认证的逻辑，减少对核心认证服务器的依赖；解决了现有技术在多认证协议的综合应用环境中由核心认证服务器进行统一调度，使得原本由另一个认证服务器进行认证的请求也需经过核心认证服务器统一调度，对核心认证服务器有较大的依赖性的问题。

【专利附图】

【附图说明】
[0031]图1为本发明实施例1提供的身份认证方法的流程图；
[0032]图2为本发明实施例2提供的身份认证方法的流程图；
[0033]图3为本发明实施例3提供的身份认证方法的流程图；
[0034]图4为本发明实施例4提供的身份认证装置的结构示意图一；
[0035]图5为本发明实施例4提供的身份认证装置的结构示意图二 ；
[0036]图6为图4所述的身份认证装置中身份认证单元的结构示意图；
[0037]图7为本发明实施例4提供的身份认证装置的结构示意图三。

【具体实施方式】
[0038]下面结合实施例及附图对本发明的技术方案作进一步阐述。
[0039]实施例1
[0040]如图1所述，本实施例提供了一种身份认证方法，包括:
[0041]步骤101，统一调度中间件接收用户终端发送的身份认证请求。
[0042]在本实施例中，可以通过步骤101接收一个或多个用户终端发送的一个或多个身份认证请求。
[0043]步骤102，统一调度中间件根据身份认证请求确定认证类型。
[0044]在本实施例中，步骤102可以在步骤101接收到身份认证请求后，即开始身份认证；为防止遗漏，还可以根据身份认证请求的优先级进行排列，并根据排列顺序进行身份认证，在此不作限制。
[0045]步骤103，统一调度中间件根据认证类型从预设认证服务器组中选取至少一个目标服务器，并分别向至少一个目标服务器发送身份认证请求，使至少一个目标服务器对身份认证请求进行认证后，反馈认证结果。
[0046]在本实施例中，统一调度中间件根据该认证类型从预设认证服务器组中选取至少一个目标服务器，并分别向该至少一个目标服务器发送身份认证请求的过程可以包括:统一调度中间件根据认证类型和预设认证-服务器映射表，从预设认证服务器组中确定每个认证类型对应的目标服务器；如果认证类型为至少两个，统一调度中间件根据认证类型对身份认证请求进行分割，得到至少两个子请求；统一调度中间件分别向每个认证类型对应的目标服务器发送对应的子请求，使每个目标服务器对子请求进行认证后，反馈认证结果。
[0047]在本实施例中，预设认证服务器组可以包括轻量目录访问协议LDAP认证服务器、远程认证拨号用户服务RADIUS认证服务器；还可以包括其他认证服务器，在此不作限制。
[0048]步骤104，统一调度中间件分别接收至少一个目标服务器反馈的认证结果。
[0049]步骤105，统一调度中间件将该认证结果返回给对应的用户终端。
[0050]本发明具有如下有益效果:由于通过统一调度中间件统一接收请求并从服务器组中选取对应服务器，简化了身份认证的逻辑，减少对核心认证服务器的依赖；解决了现有技术中由核心认证服务器进行统一调度，使得原本由另一个认证服务器进行认证的请求也需经过核心认证服务器统一调度，对核心认证服务器有较大的依赖性的问题。
[0051]实施例2
[0052]如图2所示，本实施例提供了一种身份认证方法，该方法与图1所示的相似，区别在于，为保证身份认证的有序运作，该方法包括:
[0053]步骤201，统一调度中间件接收用户终端发送的身份认证请求。该过程与图1所示的步骤101相似，在此不再一一赘述。
[0054]步骤202，如果接收到至少两个身份认证请求，统一调度中间件分别获取该至少两个身份认证请求的优先级。
[0055]在本实施例中，可以根据发送身份认证请求的用户终端确定优先级；也可以根据接收身份认证请求的时间确定优先级；还可以通过其他方式确定优先级，在此不再一一赘述。
[0056]步骤203，统一调度中间件根据至少两个身份认证请求的优先级对该至少两个身份认证请求进行排列。
[0057]在本实施例中，可以按优先级从高到低的顺序对至少两个身份认证请求进行排序，也可以从低到高，在此不作限制。
[0058]步骤204至步骤207，统一调度中间件按排列的顺序根据身份认证请求确定认证类型，使预设认证服务器组中至少一个目标服务器进行认证反馈认证结果后，将认证结果返回给对应的用户终端。该过程与图1所示的步骤102至步骤105相似，在此不再一一赘述。
[0059]本发明具有如下有益效果:由于通过统一调度中间件统一接收请求并从服务器组中选取对应服务器，简化了身份认证的逻辑，减少对核心认证服务器的依赖；解决了现有技术中由核心认证服务器进行统一调度，使得原本由另一个认证服务器进行认证的请求也需经过核心认证服务器统一调度，对核心认证服务器有较大的依赖性的问题。
[0060]实施例3
[0061]如图3所示，本实施例提供了一种身份认证方法，该方法与图1所示的相似，区别在于，还包括:
[0062]步骤106，该认证结果为认证成功时，统一调度中间件存储对应的用户终端的访问记录。
[0063]在本实施例中，为方便后续的审计工作，可以通过步骤104对用户终端的访问记录进行存储，从而使用户可以通过该访问记录进行审计。
[0064]本发明具有如下有益效果:由于通过统一调度中间件统一接收请求并从服务器组中选取对应服务器，简化了身份认证的逻辑，减少对核心认证服务器的依赖；解决了现有技术中由核心认证服务器进行统一调度，使得原本由另一个认证服务器进行认证的请求也需经过核心认证服务器统一调度，对核心认证服务器有较大的依赖性的问题。
[0065]实施例4
[0066]如图4所示，本发明实施例提供一种身份认证装置，包括:接入单元401、类型识别单元402、身份认证单元403、结果接收单元404、服务器组405和输出单元406 ;所述接入单元，用于接收用户终端发送的身份认证请求；类型识别单元，与所述接入单元相连，用于根据所述接入单元接收的身份认证请求确定认证类型；身份认证单元，与所述类型识别单元和所述服务器组相连，用于根据所述认证类型从所述服务器组中选取至少一个目标服务器，并分别向所述至少一个目标服务器发送所述身份认证请求，使所述至少一个目标服务器对所述身份认证请求进行认证后，反馈认证结果；结果接收单元，与所述服务器组相连，用于分别接收所述至少一个目标服务器反馈的认证结果；所述输出单元，与所述结果接收单元相连，用于将所述结果接收单元得到的认证结果返回给对应的用户终端。
[0067]在本实施例中，通过接入单元401、类型识别单元402、身份认证单元403、结果接收单元404、服务器组405和输出单元406实现身份认证的过程，与本发明实施例1提供的相似，在此不再一一赘述。其中，服务器组，包括:轻量目录访问协议LDAP认证服务器、远程认证拨号用户服务RADIUS认证服务器；还可以包括其他认证服务器，在此不作限制。
[0068]进一步的，如图5所示，本实施例提供的身份认证装置，还包括:
[0069]优先级获取单元407，与接入单元相连，用于如果接收到至少两个身份认证请求，分别获取至少两个身份认证请求的优先级；
[0070]请求排列单元408，与优先级获取单元和类型识别单元相连，用于根据至少两个身份认证请求的优先级对至少两个身份认证请求进行排列；
[0071]该类型识别单元，具体用于按所述排列的顺序分别根据身份认证请求确定认证类型。
[0072]在本实施例中，身份认证装置还包括优先级获取单元和请求排列单元时，身份认证装置实现身份认证的过程，与本发明实施例2提供的过程相似，在此不再一一赘述。
[0073]进一步的，如图6所示，本实施例提供的身份认证装置中身份认证单元403，包括:
[0074]服务器选取模块4031，用于根据所述认证类型和预设认证-服务器映射表，从所述服务器组中确定每个认证类型对应的目标服务器；
[0075]请求分割模块4032，与所述服务器选取模块相连，用于如果所述认证类型为至少两个，根据所述认证类型对所述身份认证请求进行分割，得到至少两个子请求；
[0076]认证模块4033，与所述请求分割模块和所述服务器选取模块相连，用于分别向每个认证类型对应的目标服务器发送对应的子请求，使每个目标服务器对子请求进行认证后，反馈认证结果。
[0077]进一步的，如图7所示，本实施例提供的身份认证装置，还包括:
[0078]记录存储单元409，与结果接收单元相连，用于认证结果为认证成功时，存储对应的用户终端的访问记录。
[0079]在本实施例中，身份认证装置还包括记录存储单元时，实现身份认证的过程，与本发明实施例3提供的过程相似，在此不再一一赘述。
[0080]本实施例提供的身份认证装置，可以作为身份认证的统一调度中间件；通过该统一调度中间件接收认证请求，选取合适的认证服务器，收集认证服务器返回的认证结果并反馈给用户终端，从而实现身份认证。
[0081]本发明具有如下有益效果:由于通过统一调度中间件统一接收请求并从服务器组中选取对应服务器，简化了身份认证的逻辑，减少对核心认证服务器的依赖；解决了现有技术中由核心认证服务器进行统一调度，使得原本由另一个认证服务器进行认证的请求也需经过核心认证服务器统一调度，对核心认证服务器有较大的依赖性的问题。
[0082]本实施例提供的身份认证方法和装置，可以应用在国家电子政务外网的安全接入平台中，为网关集群用户身份同一认证和权限管理提供支撑、为审计系统提供相关依据等，能够满足国家电子政务外网的安全性能需求。
[0083]以上实施例的先后顺序仅为便于描述，不代表实施例的优劣。
[0084]最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【权利要求】
1.一种身份认证方法，其特征在于，包括: 510、统一调度中间件接收用户终端发送的身份认证请求； S20、所述统一调度中间件根据所述身份认证请求确定认证类型； S30、所述统一调度中间件根据所述认证类型从预设认证服务器组中选取至少一个目标服务器，并分别向所述至少一个目标服务器发送所述身份认证请求，使所述至少一个目标服务器对所述身份认证请求进行认证后，反馈认证结果； S40、所述统一调度中间件分别接收所述至少一个目标服务器反馈的认证结果； S50、所述统一调度中间件将所述认证结果返回给对应的用户终端。
2.根据权利要求1所述的身份认证方法，其特征在于，还包括: 511、如果接收到至少两个身份认证请求，所述统一调度中间件分别获取所述至少两个身份认证请求的优先级； 512、所述统一调度中间件根据所述至少两个身份认证请求的优先级对所述至少两个身份认证请求进行排列；按所述排列的顺序依次执行所述S20至所述S50。
3.根据权利要求1所述的身份认证方法，其特征在于，所述S30，包括: 5301、所述统一调度中间件根据所述认证类型和预设认证-服务器映射表，从预设认证服务器组中确定每个认证类型对应的目标服务器； 5302、如果所述认证类型为至少两个，所述统一调度中间件根据所述认证类型对所述身份认证请求进行分割，得到至少两个子请求； 5303、所述统一调度中间件分别向每个认证类型对应的目标服务器发送对应的子请求，使每个目标服务器对子请求进行认证后，反馈认证结果。
4.根据权利要求1所述的身份认证方法，其特征在于，还包括: S60、所述认证结果为认证成功时，所述统一调度中间件存储对应的用户终端的访问记录。
5.根据权利要求1至4中任意一项所述的身份认证方法，其特征在于，所述预设认证服务器组，包括:轻量目录访问协议LDAP认证服务器、远程认证拨号用户服务RADIUS认证服务器。
6.一种身份认证装置，其特征在于，包括: 接入单元、类型识别单元、身份认证单元、结果接收单元、服务器组和输出单元； 所述接入单元，用于接收用户终端发送的身份认证请求； 类型识别单元，与所述接入单元相连，用于根据所述接入单元接收的身份认证请求确定认证类型； 身份认证单元，与所述类型识别单元和所述服务器组相连，用于根据所述认证类型从所述服务器组中选取至少一个目标服务器，并分别向所述至少一个目标服务器发送所述身份认证请求，使所述至少一个目标服务器对所述身份认证请求进行认证后，反馈认证结果; 结果接收单元，与所述服务器组相连，用于分别接收所述至少一个目标服务器反馈的认证结果； 所述输出单元，与所述结果接收单元相连，用于将所述结果接收单元得到的认证结果返回给对应的用户终端。
7.根据权利要求6所述的身份认证装置，其特征在于，还包括: 优先级获取单元，与所述接入单元相连，用于如果接收到至少两个身份认证请求，分别获取所述至少两个身份认证请求的优先级； 请求排列单元，与所述优先级获取单元和所述类型识别单元相连，用于根据所述至少两个身份认证请求的优先级对所述至少两个身份认证请求进行排列； 所述类型识别单元，具体用于按所述排列的顺序分别根据身份认证请求确定认证类型。
8.根据权利要求6所述的身份认证装置，其特征在于，所述身份认证单元，包括: 服务器选取模块，用于根据所述认证类型和预设认证-服务器映射表，从所述服务器组中确定每个认证类型对应的目标服务器； 请求分割模块，与所述服务器选取模块相连，用于如果所述认证类型为至少两个，根据所述认证类型对所述身份认证请求进行分割，得到至少两个子请求； 认证模块，与所述请求分割模块和所述服务器选取模块相连，用于分别向每个认证类型对应的目标服务器发送对应的子请求，使每个目标服务器对子请求进行认证后，反馈认证结果。
9.根据权利要求6所述的身份认证装置，其特征在于，还包括: 记录存储单元，与所述结果接收单元相连，用于所述认证结果为认证成功时，存储对应的用户终端的访问记录。
10.根据权利要求6至9中任意一项所述的身份认证装置，其特征在于，所述服务器组，包括: 轻量目录访问协议LDAP认证服务器、远程认证拨号用户服务RADIUS认证服务器。
【文档编号】H04L29/06GK104468520SQ201410638739
【公开日】2015年3月25日 申请日期:2014年11月7日 优先权日:2014年11月7日
【发明者】罗海宁, 冷默, 韩帅, 邵国安, 吕品, 周民, 杨绍亮, 杨洪伟 申请人:国家信息中心