认证方法、装置及认证服务器与流程

本申请涉及网络通信的技术领域，尤其是涉及一种认证方法、装置及认证服务器。

背景技术：

随着园区网络的发展，在新一代园区网络中，通过软件定义网络(softwaredefinednetwork，简称sdn)实现园区内网络设备的智能控制，以实现园区被网络设备的自动化上线、业务自动化开通、用户接入绑定、有线无线一体化等一系列强大功能。

sdn控制器支持用户的接入绑定，绑定类型可以是动态ip地址和静态ip地址。静态ip地址的绑定是指用户手工配置静态ip地址，然后通过接入认证(802.1x或者mac认证)上线后，将ip地址记录到接入用户绑定信息中，完成ip地址与用户的绑定，不允许用户使用其它地址访问网络。

目前在军工企业中，出于对网络安全的考虑，军工企业用户常常采用静态ip的方式与用户进行绑定，即每个用户有其对应的ip地址，这样可以更好的对产生的网络安全问题进行溯源。然而目前由于系统无法识别应用场景，例如有一些公用机场景中，当不同的用户登录时，如果均绑定了公用机的ip地址则会无法绑定。

技术实现要素：

有鉴于此，本申请的目的在于提供一种认证方法、装置及认证服务器，以缓解了在现有的静态ip的绑定方式下，多个用户在使用一个公用机时公用机ip地址无法绑定的技术问题。

第一方面，本申请实施例提供了一种认证方法，应用于radius服务器，包括：接收第一终端发送的认证请求，其中，所述认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识；判断所述第一用户名是否存在于已绑定信息中，若所述第一用户名不存在于所述已绑定信息中，则判断所述已绑定信息中是否存在所述第一ip地址与所述终端标识之间的绑定关系；若存在所述绑定关系，则确定所述第一终端为允许多个用户名采用同一ip地址登录的公用机，并允许使用所述第一用户名进行认证的所述第一终端在线。

进一步地，所述方法还包括：若判断出所述第一用户名存在于所述已绑定信息中，则判断所述已绑定信息中是否存在第一用户名与第一ip地址之间的绑定关系；若所述已绑定信息中存在所述第一用户名与所述第一ip地址之间的绑定关系，则判断所述已绑定信息中是否存在所述第一用户名、所述第一ip地址、所述终端标识之间的绑定关系；若判断结果为否，则判断与所述第一用户名和所述第一ip地址绑定的第二终端是否为公用机；若判断出所述第二终端为公用机，则不允许所述第一用户名采用所述第一ip地址保持在线。

进一步地，所述方法还包括：如果判断出所述第一用户名不存在于所述已绑定信息中，且判断出所述已绑定信息中不存在所述第一ip地址与所述终端标识之间的绑定关系，则判断所述第一ip地址是否存在于已绑定信息中；若判断出所述第一ip地址存在于所述已绑定信息中，则不允许所述第一用户名采用所述第一ip地址保持在线；若判断出所述第一ip地址不存在于所述已绑定信息中，则允许使用所述第一用户名进行认证的所述第一终端在线。

第二方面，本申请实施例提供了一种认证方法，应用于radius服务器，包括：接收第一终端发送的认证请求，其中，所述认证请求中包括第一用户名、第一用户名绑定的第一ip地址和所述第一终端的终端标识；在确定所述第一ip地址已经被其他用户名绑定的情况下，确定所述第一终端是否为允许多个用户登录的公用机；若确定为允许多个用户登录的公用机，则允许使用所述第一用户名进行认证的终端在线。

进一步地，确定所述第一终端是否为允许多个用户登录的公用机包括：获取所述第一终端发送的公用机标识，其中，所述公用机标识用于标识终端是否为允许多个用户名采用同一ip地址登录的公用机；基于所述公用机标识确定所述第一终端是否为公用机。

第三方面，本申请实施例提供了一种认证装置，设置于radius服务器，包括：接收单元，用于接收第一终端发送的认证请求，其中，所述认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识；第一判断单元，用于判断所述第一用户名是否存在于已绑定信息中；第二判断单元，用于在判断出所述第一用户名不存在于所述已绑定信息中的情况下，判断所述已绑定信息中是否存在所述第一ip地址与所述终端标识之间的绑定关系；第一允许登录单元，用于在判断出存在所述绑定关系的情况下，确定所述第一终端为允许多个用户名采用同一ip地址登录的公用机，并允许使用所述第一用户名进行认证的所述第一终端在线。

进一步地，所述装置还包括：第三判断单元，用于在所述第一判断单元判断出所述第一用户名存在于所述已绑定信息中的情况下，则判断所述已绑定信息中是否存在第一用户名与第一ip地址之间的绑定关系；第四判断单元，用于在判断出所述已绑定信息中存在所述第一用户名与所述第一ip地址之间的绑定关系的情况下，判断所述已绑定信息中是否存在所述第一用户名、所述第一ip地址、所述终端标识之间的绑定关系；第五判断单元，用于在判断结果为否的情况下，判断与所述第一用户名和所述第一ip地址绑定的第二终端是否为公用机；第一拒绝在线单元，用于在判断出所述第二终端为公用机的情况下，不允许所述第一用户名采用所述第一ip地址保持在线。

进一步地，所述装置还包括：第六判断单元，用于所述第一判断单元判断出所述第一用户名不存在于所述已绑定信息中，且所述第二判断单元判断出所述已绑定信息中不存在所述第一ip地址与所述终端标识之间的绑定关系的情况下，判断所述第一ip地址是否存在于已绑定信息中；第二拒绝在线单元，用于在判断出所述第一ip地址存在于所述已绑定信息中的情况下，不允许所述第一用户名采用所述第一ip地址保持在线；第二允许登录单元，用于在判断出所述第一ip地址不存在于所述已绑定信息中的情况下，允许使用所述第一用户名进行认证的所述第一终端在线。

第四方面，本申请实施例提供了一种认证装置，设置于radius服务器，包括：接收单元，用于接收第一终端发送的认证请求，其中，所述认证请求中包括第一用户名、第一用户名绑定的第一ip地址和所述第一终端的终端标识；确定单元，用于在确定所述第一ip地址已经被其他用户名绑定的情况下，确定所述第一终端是否为允许多个用户登录的公用机；允许登录单元，用于在确定为允许多个用户登录的公用机的情况下，允许使用所述第一用户名进行认证的终端在线。

第五方面，本申请实施例提供了一种认证服务器，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述所述的方法。

在本申请实施例中，通过确定第一终端作为公用机的情况下，允许使用第一用户名进行认证的第一终端在线的方式，能够使得不同用户通过公用机绑定相同的ip地址，。

本申请的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本申请实施例的一种认证方法的流程图；

图2是根据本申请实施例的另一种可选地认证方法的流程图；

图3是根据本申请实施例的再一种可选地认证方法的流程图；

图4是根据本申请实施例的一种客户端和认证服务器之间的认证交互图；

图5是根据本申请实施例的另一种认证方法的流程图；

图6是根据本申请实施例的一种认证装置的示意图；

图7是根据本申请实施例的另一种认证装置的示意图；

图8是根据本申请实施例的一种认证服务器的示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例一

根据本申请实施例，提供了一种认证方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在相关技术中，当不同终端的不同用户绑定相同的ip地址时，会导致ip地址冲突，然而对于公用机的场景，则要保证不同用户绑定相同的ip地址才能使用公用机，因此两种应用场景产生了冲突。目前的实现方式中，在认证服务器中的已绑定信息中，一般保存的是用户名和ip地址之间的绑定关系，因此认证服务器实际上是不能对应用场景进行区分的。

图1是根据本申请实施例的一种认证方法的流程图，如图1所示，该方法包括如下步骤：

步骤102，接收第一终端发送的认证请求，其中，认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识。

当本申请实施例所提供的方法应用在radius认证组网中时，可以通过radius认证服务器接收认证请求。radius服务器是一种用于在需要认证其链接的网络访问服务器(nas)和共享认证服务器之间进行认证、授权和计费信息的文档协议；radius服务器负责接收用户终端发送的连接请求、认证请求，然后返回客户机所有必要的配置信息以将服务发送到用户终端。

步骤104，判断第一用户名是否存在于已绑定信息中，其中，若判断结果为否，则执行步骤106；

其中，已绑定信息是根据用户此前的认证过程确定并保存的用户名、ip地址、终端标识之间的绑定关系。

步骤106，判断已绑定信息中是否存在第一ip地址与第一终端的终端标识之间的绑定关系；其中，若判断结果为存在该绑定关系，则执行步骤108；

其中，判断已绑定信息中是否存在第一ip地址与第一终端的终端标识之间的绑定关系是为了确定是否有其他用户名采用第一ip地址以及第一终端进行过认证。

步骤108，确定所述第一终端为允许多个用户名采用同一ip地址登录的公用机。

当106的判断结果为是时，则确定出有其他的用户名采用过第一ip地址、第一终端进行过认证，此时，则选择第一终端作为公用机，即确定出第一终端作为公用机。

步骤110，允许第一用户名采用第一ip地址保持在线。

在本申请实施例中，radius服务器在获取到认证请求之后，当根据已绑定信息确定已经有其他用户与第一ip地址、第一终端的终端标识绑定，此时则确定第一终端为公用机。当一个终端被识别为公用机时，则允许不同用户在该终端上通过相同的ip地址绑定在线。

在本申请实施例中，通过确定第一终端作为公用机的情况下，允许使用第一用户名进行认证的第一终端在线的方式，能够使得不同用户通过公用机绑定相同的ip地址，使得在公用机上不同的用户可以使用相同的ip地址。

为了进一步的说明本实施例所提供的方法，本实施例以第一用户名为user1、第一ip地址为ip1、第一终端的终端标识为id1、第二用户名user2、第二ip地址为ip2、第二终端的终端标识为id2，公用机标识为tag为例进行介绍。其中，当公用机标识tag为0时，表示对应的终端为非公用机；公用机标识tag为1时，表示对应的终端为公用机。

举例来说，若已绑定信息中的信息如表1所示，其中，在初始状态时，第一终端为非公用机。

表1

在执行上述步骤s102至步骤s110中的步骤104时，可以判断出表1的已绑定信息中不存在第一用户名user1。进一步的，根据步骤106可以确定出已绑定信息中存在第一ip地址ip1与第一终端的终端标识id1之间的绑定关系。在此情况下，可以确定出第一终端为公用机。在确定出第一终端是公用机之后，可以在已绑定信息中为公用机添加公用机标识，即设置tag＝1。

由此，已绑定信息更新为如表2的信息，将第一终端标记为公用机，即设置tag＝1。

表2

由此可知，在本发明实施例中，可以实现公用机和非公用机的应用场景加以区分，从而使得在公用机上允许不同的用户在公用机上绑定相同的ip地址。

考虑到user1可能误用或者恶意登陆id1这台终端，会误将id1标记为公用机，影响到正常的使用，所以在已绑定信息与user2对应的表项中，公用机标识为0，只对user1这一项标记公用机tag1；当然，也可以选择将user2对应表项中的公用机标识标记成1。

实施例二

图2是根据本申请实施例的另一种可选地认证方法的流程图，如图2所示，该方法包括如下步骤：

步骤102，接收第一终端发送的认证请求，其中，认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识。

步骤104，判断第一用户名是否存在于已绑定信息中；其中，若判断结果为是，则执行步骤202；

步骤202，判断已绑定信息中是否存在第一用户名与第一ip地址之间的绑定关系；其中，若判断结果为是，执行步骤204；若判断结果为否，则执行步骤208，不允许第一用户名采用第一ip地址保持在线。

若已绑定信息中的信息如表3至少一种情况所示：

表3

当认证请求中包括(user1，ip1，id1)时，通过步骤s104可知，第一用户名user1存在于表3的已绑定信息中，此时执行步骤s202，即判断表3已绑定信息中是否存在user1和ip1的绑定关系，其中，执行步骤202之后的判断结果为否，即已绑定信息中不存在第一用户名user1与第一ip地址ip1之间的绑定关系，即此时可以通过已绑定信息确定出第一用户名user1曾经通过第二ip地址ip2进行过绑定。因此，此时应当拒绝第一用户名user1采用第一ip地址ip1保持在线，否则会造成ip地址冲突。

步骤204，判断已绑定信息中是否存在第一用户名、第一ip地址、第一终端的终端标识之间的绑定关系；其中，若判断结果为否，则执行步骤206；若判断结果为是，则执行步骤110；

步骤110，允许第一用户名采用第一ip地址保持在线。

其中，与表3不同的，若已绑定信息中的信息如表4所示：

表4

当认证请求中包括(user1，ip1，id1)，且已绑定信息中的信息如表4所示时，通过步骤s104，判断第一用户名是否存在于已绑定信息中，可知，步骤104的判断结果为是，即在如表4所示的已绑定信息中包括第一用户名user1。接下来，执行步骤s202，即判断已绑定信息中是否存在第一用户名与第一ip地址之间的绑定关系。通过判断可知，步骤202中的判断结果为是，即已绑定信息中存在第一用户名user1与第一ip地址ip1之间的绑定关系。但是在执行步骤204时，判断已绑定信息中是否存在第一用户名user1、第一ip地址ip1、第一终端的终端标识id1之间的绑定关系的结果为否。而此时基于表4中的已绑定信息可知，与第一用户名user1、第一ip地址ip1绑定的是第二终端的终端标识id2，且从表4所示的已绑定信息中可以看出，第二终端也不是公用机(即，tag＝0)，由此，则执行步骤110，即允许第一用户名user1采用第一ip地址ip1保持在线。

通过上述描述可知，当已绑定信息为表4中的情况时，与第一ip地址绑定的第二终端并不是公用机，因此，在本发明实施例中，允许同一用户名采用同一ip在不同的非公用机上使用。

步骤206，判断与第一用户名、第一ip地址绑定的第二终端是否为公用机；其中，若判断第二终端为公用机，则执行步骤208；

步骤208，不允许第一用户名采用第一ip地址保持在线。

举例来说，若已绑定信息中的信息如表5所示(需要注意的是，本实施例中默认在接收到第一终端的认证请求前，确定的公用机为终端标识id2所对应的终端)：

表5

当认证请求中包括(user1、ip1、id1)时，步骤104和步骤202的判断结果均为是，即已绑定信息中存在第一用户名user1，并且存在第一用户名user1与第一ip地址ip1之间的绑定关系。通过执行步骤204可知，步骤204的判断结果为否，即在表5所示的已绑定信息中不存在第一用户名user1、第一ip地址ip1、和第一终端的终端标识id1之间的绑定关系。此时判断与user1、ip1绑定的第二终端id2是否为公用机，若为公用机，则不允许user1采用ip1保持在线。

在本实施例中，在接收认证请求前，radius服务器已经确定出：公用机为id2、user1采用ip1通过id2进行过绑定，若此时user1采用ip1通过id1进行绑定被允许，则会造成ip冲突。例如，第一终端为公用机，那么允许第一用户名user1通过第一ip地址绑定至第二终端，以及允许第二用户名user2通过第一ip地址绑定至第二终端。如果第一终端迁移至其他的终端，例如，第一终端，那么可以表示为第一用户名user1通过第一ip地址ip1绑定至第一终端id1。此时可以看出，第一用户名user1和第二用户名user2通过相同的ip地址绑定至不同的终端，此时会出现用户间的ip地址冲突。因此，本实施例中，在确定出公用机之后，当radius服务器接收到非公用机的终端发送的认证请求时，则不允许与公用机绑定的用户名采用其他终端设备保持在线。

本实施例中的实现方式，是为了解决若其他终端也采用与公用机绑定的用户名、以及ip地址进行登录，会造成ip地址冲突的问题。

此外，若已绑定信息中的信息如表6所示：

表6

若认证请求中包括(user1、ip1、id1)，则执行步骤104，步骤202和步骤204时，步骤104、步骤202和步骤204的判断结果均为是，即第一用户名曾经采用第一ip地址和第一终端的终端标识id1进行绑定过，此时执行步骤110，允许第一用户名采用第一ip地址保持在线。

实施例三

图3是根据本申请实施例的再一种可选地认证方法的流程图，如图3所示，本实施例所提供的认证方法，包括：

步骤102，接收第一终端发送的认证请求，其中，认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识。

步骤104，判断第一用户名是否存在于已绑定信息中，若判断结果为否，则执行步骤106；

步骤106，判断已绑定信息中是否存在第一ip地址与第一终端的终端标识之间的绑定关系，即，判断已绑定信息中是否存在第一终端的终端标识与第一ip地址绑定的匹配项；若判断结果为否，执行步骤308；

步骤308，判断第一ip地址是否存在于已绑定信息中，若判断结果为是，则执行步骤208；若判断结果为否，则执行步骤110；

步骤208，不允许第一用户名采用第一ip地址保持在线；

步骤110，允许第一用户名采用第一ip地址保持在线。

举例来说，若已绑定信息中的信息如表7所示：

表7

若认证消息中包括：(user1、ip1、id1)，则根据步骤104确定出第一用户名user1不存在于已绑定信息中，根据步骤106确定出已绑定信息中不存在第一ip地址ip1与第一终端的终端标识id1之间的绑定关系。由此可以确定出，此时第一ip地址已经被其他用户名采用其他终端绑定过，并且本实施例中的判断条件也不满足实施例一中所提供的确定公用机的条件，即此时id1和id2均可视为非公用机，若此时第一用户名user1采用ip1与id1绑定，则会导致非公用机的ip地址冲突。因此，不允许第一用户名采user1用第一ip地址ip1保持在线。

若已绑定信息中的信息如表8所示：

表8

当认证请求中包括(user1、ip1、id1)时，根据步骤104可以判断出认证请求中的第一用户名不存在于已绑定信息中，此时，根据步骤106可以确定出已绑定信息中也不存在第一ip地址ip1与第一终端的终端标识id1之间的绑定关系。此时，可以根据步骤308，判断第一ip地址ip1也不存在于已绑定信息中。即此时不同的用户名采用不同的ip地址、不同的终端，因此，允许第一用户名绑定第一ip地址。

由此，本公开中的通过多个实施例与实施例一的结合，可以在不同终端、不同用户名绑定的相同的ip地址的情况下，提示ip地址冲突；在不同终端、不同用户名绑定不同的ip地址的情况下，各个用户均正常在线；从而可以保证在审计时根据ip地址对用户的溯源，同时还能保证在公用机场景下不同的用户绑定相同的ip地址在公用机上登录。可以很好的解决不同的使用场景下的ip冲突的问题。

实施例四

为了解决现有技术中由于系统无法识别应用场景，提示ip冲突的问题，本实施例中还提供了一种认证方法，该方法应用于radius服务器，该方法包括：

步骤102，接收第一终端发送的认证请求，认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识；

步骤404，在确定所述第一ip地址已经被其他用户名绑定的情况下，确定所述第一终端是否为允许多个用户登录的公用机；若确定为公用机，则允许使用所述第一用户名进行认证的终端在线。

其中，确定第一终端是否为公用机包括：接收第一终端的公用机标识，根据公用机标识确定第一终端是否为公用机，其中，公用机标识用于标识所述终端是否为允许多个用户名采用同一ip地址登录的公用机。

相配合的，可以在终端侧通过用户界面，提示用户去选择待认证的终端是否作为公用机，待认证的终端是否为公用机的信息可以通过公用机标识携带。该公用机标识可以携带在认证请求中发送至radius服务器，当然也可以通过其他方式发送至radius服务器，本实施例对此不做限制。

举例来说，可以在终端侧的用户界面，添加“ip绑定方式”的选项，此时用户可以根据使用场景自己来区分是否可以使用同一个ip地址，也即，用户可以自己选择是否允许不同用户通过相同的终端绑定至相同的ip地址。

在用户选择了终端的接入场景，即选择了当前使用的终端是否为公用机之后，就可以向radius服务器发送认证请求，此时，认证请求中认证请求中携带的第一终端的公用机标识tag可以为1，即表示第一终端为公用机。radius服务器在获取到上述认证请求之后，在确定出第一ip地址已经被第二用户名绑定的情况下，如果确定出认证请求中携带该tag＝1的公用机标识，则确定第一终端为公用机。在识别出第一终端为公用机的情况下，即便确定出第一ip地址已经被第二用户名绑定，依然允许使用第一用户名进行认证的第一终端在线。

可选的，本实施例所提供的认证方法还可以包括：

在确定出公用机之后，当radius服务器接收第二终端发送的认证请求时，若根据已绑定信息确定出第二终端为非公用机，且认证请求中的用户名与公用机绑定的用户名相同，此时则不允许与公用机绑定的用户名采用第二终端设备保持在线。

实施例五

本实施例对于本申请的应用场景做简要说明，但应当理解的是，本方法并不以下述两种认证场景作为限制。

在本申请实施例中，认证服务器的认证方式主要包括mac认证方式和802.1x认证方式。

在mac认证方式下，可以通过radius认证请求(access-request)报文同时获取上述第一用户名，第一ip地址以及calling-station-id(即，第一终端的终端标识)属性。

而在802.1x认证方式下，上述实施例中所包括的认证请求实际上包括两个过程：通过radius认证请求报文获取所述第一用户名和所述第一终端的终端标识，以及通过ead报文获取所述第一ip地址。

具体地，802.1x认证方式是通过radius认证报文来获取用户名(即，上述第一用户名)及终端标识calling-station-id信息(即，第一终端的终端标识)，通过ead(enduseradmissiondomination，终端准入控制)报文获取ip地址信息(即，第一ip地址)。

如图4所示，第一终端首先向网关设备发送用户名和密码(即，图4中步骤s1)，然后，网关设备向认证服务器发送认证请求(access-request)(即，图4中步骤s2)，此时，认证服务器就能够获取到上述calling-station-id。在第一终端登录上线之后(即，图4中步骤s3至步骤s6)，可以通过认证客户端发送ead报文给认证服务器，以获取上述第一ip地址。在获取到第一用户名，calling-station-id和第一ip地址之后，就能够基于上述信息生成已绑定信息公用机标识。

在获取到上述认证请求的报文之后(user1，ip1，calling-station-id1，)，如果radius服务器在已绑定信息中确定出第一ip地址(ip1)已经被第二用户名(除user1之外的其他用户名)绑定，则radius服务器将确定第一终端是否为公用机，如果识别出是公用机，则允许使用第一用户名(user1)进行认证的所述第一终端在线。

针对802.1x认证方式，是先允许用户在线，再根据已绑定信息进行绑定关系检查如果不满足绑定关系的检查，则第一用户名将被踢下线；如果满足，则保持第一用户名(user1)进行认证的第一终端在线。

而针对mac认证方式，是先根据已绑定信息进行绑定关系的检查，根据检查结果确定是否允许用户在线。

实施例六

图5是根据本申请实施例的另一种认证方法的流程图，如图5所示，该方法包括如下步骤：

步骤s601，认证客户端发送ead报文给认证服务器；

步骤s602，认证服务器通过ead报文获取第一终端的终端标识id1；并基于第一终端的终端标识id1生成认证请求，其中，该认证请求中包括以下信息：第一用户名user1、第一用户名绑定的第一ip地址ip1和第一终端的终端标识id1；

步骤s603，判断user1是否存在已绑定信息中，如果判断出否，即user1为首次绑定ip地址，则执行步骤s604；如果判断出是，则执行步骤s610；

步骤s604，判断已绑定信息中是否存在同时包含(ip1，id1)的已绑定信息；如果判断出否，则执行步骤s605，如果判断出是，则执行步骤s608；

步骤s605，判断已绑定信息中是否存在包含(ip1)的已绑定信息；如果存在，则执行步骤s606；否则，执行步骤s608；

步骤s606，不允许user1绑定至ip1，并执行步骤s607；

步骤s607，将user1踢下线，并提示用户绑定失败。

表9

假设，已绑定信息如上述表9所示。如果认证请求中包括：(user1，ip1，id1)。此时，首先，通过步骤s603判断出user1未存在于已绑定信息，即执行步骤s604。通过步骤s604可以判断出已绑定信息中不存在同时包含(ip1，id1)的已绑定信息，此时执行步骤s605，通过步骤s605可以判断出已绑定信息中存在包含(ip1)的已绑定信息，即绑定信息：(user2，ip1，id2)。在判断出已绑定信息中存在包含(ip1)的已绑定信息之后，依次执行步骤s606和步骤s607，即，不允许user1绑定至ip1，并将user1踢下线，并提示用户绑定失败。

步骤s608，将(user1，ip1，id1，tag)添加至已绑定信息中，并设置tag＝1；此时，终端标识id1所标识的终端被识别为公用机，执行s609；

步骤s609，保持user1处于在线状态；

表10

假设，已绑定信息如上述表10所示。如果认证请求中包括：(user1，ip1，id1)。此时，首先，通过步骤s603判断出user1未存在于已绑定信息，即执行步骤s604。通过步骤s604可以判断出已绑定信息中存在同时包含(ip1，id1)的已绑定信息，即：(user2，ip1，id1)。此时执行步骤s608和步骤s609，将(user1，ip1，id1，tag)添加至已绑定信息中，并保持user1处于在线状态。

步骤s610，在已绑定信息中查找是否存在包含(user1，ip1)的绑定信息，如果存在，则执行步骤s611，否则，执行步骤s607；

表11

假设，已绑定信息如上述表11所示。如果认证请求中包括：(user1，ip1，id1)。此时，首先，通过步骤s610可以判断出已绑定信息中不包含(user1，ip1)的绑定信息。此时，执行步骤s607，即将user1踢下线，并提示用户绑定失败。

步骤s611，判断已绑定信息中是否存在包含(user1，ip1，id1)的绑定信息，如果存在，则执行步骤s609，否则执行步骤s612；

表12

假设，已绑定信息如上述表12所示。如果认证请求中包括：(user1，ip1，id1)。此时，首先，通过步骤s611可以判断出已绑定信息中包含(user1，ip1，id1)的绑定信息。此时，执行步骤s609，即保持user1处于在线状态。

步骤s612，继续判断已绑定信息中是否存在包含(user1，ip1，tag＝1)的绑定信息；如果存在，则执行步骤s607，否则执行步骤s613；

表13

假设，已绑定信息如上述表13所示。如果认证请求中包括：(user1，ip1，id1)。此时，首先，通过步骤s611可以判断出已绑定信息中不包含(user1，ip1，id1)的绑定信息。此时，执行步骤s612，通过步骤s612可以判断出存在包含(user1，ip1，tag＝1)的绑定信息，则执行步骤s607，将user1踢下线，并提示用户绑定失败，否则执行步骤s613，即，(user1，ip1，id1，tag)添加至已绑定信息中，并在添加之后，执行步骤s609。

步骤s613，将(user1，ip1，id1，tag)添加至已绑定信息中，并在添加之后，执行步骤s609。

在本申请实施例中，通过设置在识别到第一终端是公用机的情况下，允许使用第一用户名进行认证的第一终端在线的方式，能够使得不同用户通过相同的终端绑定至相同的ip地址，从而使得多个用户在使用公用机时均绑定同一ip地址(即多个用户均绑定公用机的ip地址)。

实施例七

本申请实施例还提供了一种认证装置，该认证装置主要用于执行本申请实施例上述内容所提供的认证方法，以下对本申请实施例提供的认证装置做具体介绍。

图6是根据本申请实施例的一种认证装置的示意图，如图6所示，该认证装置主要包括接收单元61，第一判断单元62，第二判断单元63和允许登录单元64，其中：

接收单元61，用于接收第一终端发送的认证请求，其中，所述认证请求中包括第一用户名、第一用户名绑定的第一ip地址和第一终端的终端标识；

第一判断单元62，用于判断所述第一用户名是否存在于已绑定信息中；

第二判断单元63，用于在判断出所述第一用户名不存在于所述已绑定信息中的情况下，判断所述已绑定信息中是否存在所述第一ip地址与所述终端标识之间的绑定关系；

允许登录单元64，用于在判断出存在所述绑定关系的情况下，确定所述第一终端为允许多个用户名采用同一ip地址登录的公用机，并允许使用所述第一用户名进行认证的所述第一终端在线。

在本申请实施例中，通过确定第一终端作为公用机的情况下，允许使用第一用户名进行认证的第一终端在线的方式，能够使得不同用户通过公用机绑定相同的ip地址。

可选地，所述装置还包括：第三判断单元，用于在所述第一判断单元判断出所述第一用户名存在于所述已绑定信息中的情况下，则判断所述已绑定信息中是否存在第一用户名与第一ip地址之间的绑定关系；第四判断单元，用于在判断出所述已绑定信息中存在所述第一用户名与所述第一ip地址之间的绑定关系的情况下，判断所述已绑定信息中是否存在所述第一用户名、所述第一ip地址、所述终端标识之间的绑定关系；第五判断单元，用于在判断结果为否的情况下，判断与所述第一用户名和所述第一ip地址绑定的第二终端是否为公用机；拒绝在线单元，用于在判断出所述第二终端为公用机的情况下，不允许所述第一用户名采用所述第一ip地址保持在线。

可选地，所述装置还包括：第六判断单元，用于所述第一判断单元判断出所述第一用户名不存在于所述已绑定信息中，且所述第二判断单元判断出所述已绑定信息中不存在所述第一ip地址与所述终端标识之间的绑定关系的情况下，判断所述第一ip地址是否存在于已绑定信息中；其中，在判断出所述第一ip地址存在于所述已绑定信息中的情况下，则通过所述拒绝在线单元不允许所述第一用户名采用所述第一ip地址保持在线；在判断出所述第一ip地址不存在于所述已绑定信息中的情况下，通过允许登录单元允许使用所述第一用户名进行认证的所述第一终端在线。

图7是根据本申请实施例的另一种认证装置的示意图，如图7所示，该认证装置主要包括接收单元71，确定单元72和允许登录单元73，其中：

接收单元71，用于接收第一终端发送的认证请求，其中，所述认证请求中包括第一用户名、第一用户名绑定的第一ip地址和所述第一终端的终端标识；

确定单元72，用于在确定所述第一ip地址已经被其他用户名绑定的情况下，确定所述第一终端是否为允许多个用户登录的公用机；

允许登录单元73，用于在确定为允许多个用户登录的公用机的情况下，允许使用所述第一用户名进行认证的终端在线。

在本申请实施例中，通过确定第一终端作为公用机的情况下，允许使用第一用户名进行认证的第一终端在线的方式，能够使得不同用户通过公用机绑定相同的ip地址。

本申请实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

本申请实施例提供的用户ip地址的绑定装置，与上述实施例提供的用户ip地址的绑定方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

实施例八

参见图8，本申请实施例还提供一种认证服务器100，包括：处理器80，存储器81，总线82和通信接口83，所述处理器80、通信接口83和存储器81通过总线82连接；处理器80用于执行存储器81中存储的可执行模块，例如计算机程序。

其中，存储器81可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口83(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线82可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器81用于存储程序，所述处理器80在接收到执行指令后，执行所述程序，前述本申请实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器80中，或者由处理器80实现。

处理器80可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器80中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器80可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器81，处理器80读取存储器81中的信息，结合其硬件完成上述方法的步骤。

另外，在本申请实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。

在本申请的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本申请实施例所提供的一种认证方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。