多用戶類型的統一認證系統及其方法

2023-05-20 06:00:56 1

專利名稱：多用戶類型的統一認證系統及其方法
技術領域：
本發明涉及一種認證處理的控制系統及其方法，特別是指一種多用戶類型的統一認證系統及其方法。
背景技術：
為了安全的使用一臺計算機提供的共享資源，通常需要使用認證的方法來對訪問者的身份加以限定。從而證明該使用者是合法用戶，並擁有對某些網絡資源的訪問權限。
一個認證過程分為兩個階段，一是證明聲明是這個用戶的使用者確實是這個用戶，二是這個用戶對特定的共享資源是否具有使用權限。對於第二個階段，一般是由共享資源的提供者來決定一個特定的用戶是否具有使用該資源的權限；而對於第一個階段，則使用用戶名與密碼進行驗證的方法來決定用戶是否是他所聲明的身份。為了能夠統一管理一個組織或企業內部的所有帳戶以及其它資源，提出了域或群組的概念，這大大提高了用戶的可管理性在一個域範圍內，對特定用戶的認證可以在域伺服器上統一進行。但對於一個提供資源共享的計算機，由於其上一般也建立了內在的帳戶，所以當一個用戶對這個計算機的資源提出使用請求時，這臺計算機就要區分這個用戶是本地帳戶還是域帳戶。域的概念被發展為不同的模型，例如現在廣泛使用的就有兩種Windows域和NIS域。這樣，在一個網絡環境中，當一臺計算機向外提供資源時，就需要考慮三種用戶本地用戶，Windows域用戶和NIS域用戶，不同的用戶類型使用不同的認證方式，為了向所有類型的用戶提供服務，一個資源的提供者要支持好幾種不同的認證方式。
目前，所有的資源提供者都支持本機帳戶的認證，但對於域帳戶的認證，有的支持而有的不支持。以典型的文件服務為例，Samba服務支持Windows域認證，而不支持NIS域認證，所以NIS域用戶就無法直接使用Samba提供的文件服務；FTP服務一般支持NIS域認證而不支持Windows域認證，所以Windows域用戶就無法直接使用FTP服務。通過某種手段，可能使得某個服務支持某個認證方式，但對於不同的服務，即使支持相同的認證方式，其支持的程度和處理方式也各不相同。對於一個以提供文件服務為主的伺服器來說，這種情況是無法接受的。
因此如何提供一種所有服務都支持的統一的認證方法，從而簡化認證方式，提高資源的利用效率，是當前認證系統待解決的問題。

發明內容
因此，本發明為解決上述問題而提出一種多用戶類型的統一認證系統及其方法，主要的目的在於實現所有服務認證的集中控制，從而簡化認證方式，提高資源的利用效率。
為達到上述目的，本發明提供一種多用戶類型的統一認證系統，用以向不同類型的網絡資源用戶提供統一認證方式，實現所有服務認證處理的集中控制，包括一符號定義模塊，用以設定並存儲所有域對應的特定符號；一輸入接收模塊，其用以接收認證請求，同時接收用戶輸入的具有該特定符號的用戶名及密碼；一類型確定模塊，用以根據該特定符號，確定該用戶所在的域；一域名確定模塊，用以根據該用戶所在域，確定該用戶在該域的相應域名；一域名比對模塊，用以比對該域名與本機所在域的域名，得出比對結果；以及一認證模塊，用以根據該比對結果，調用相應的認證程序進行身份認證。
另外，本發明進而提供一種多用戶類型的統一認證方法，用以向不同類型的網絡資源用戶提供統一認證方式，實現所有服務認證處理的集中控制，首先定義所有域對應的特定符號，接收一認證請求，同時接收具有特定符號的用戶名及密碼後，根據該特定符號，確定該用戶所在的域，再確定該用戶在該域的相應域名，比對該域名與本機所在域的域名，得出比對結果，最後根據該比較結果，調用相應的認證程序進行認證。
根據本發明所提的多用戶類型的統一認證系統及其方法，在一個系統的所有服務中提供了統一的認證方式。由於本發明對所有服務支持的認證方式是一致的，因此所有服務對某種認證方式的處理也是一致的。這樣不僅大大簡化了各個服務的認證模塊，而且避免了大量的重複勞動，提高了資源的利用效率，實現了各個服務認證處理的集中控制，保證了用戶身份的安全性，也不會產生身份混亂問題。
有關本發明的詳細內容及技術，茲就配合


如下

圖1是現有認證系統的架構圖；圖2是本發明所提的多用戶類型的統一認證系統的模塊架構圖；圖3是本發明所提的多用戶類型的統一認證方法的運行流程圖；圖4是本發明實施例的用戶身份處理的流程圖；圖5是本發明實施例的根據用戶認證配置判斷所支持的認證方式的流程圖；圖6是本發明實施例進行Windows域認證的流程圖；圖7是本發明實施例進行NIS域認證的流程圖；圖8是本發明實施例進行本地用戶認證的流程圖。
其中，附圖標記說明如下110 需要認證的服務120 統一認證系統130 底層認證系統121 符號定義模塊122 輸入接收模塊123 類型確定模塊124 域名確定模塊125 域名比對模塊126 認證模塊步驟210定義所有域對應的特定符號步驟220接收一認證請求，同時接收具有特定符號的用戶名及密碼步驟230根據該特定符號，確定該用戶所在的域步驟240確定該用戶在該域的相應域名步驟250比對該域名與本機所在域的域名，得出比對結果步驟260根據該比較結果，調用相應的認證程序進行認證步驟301接收用戶名和密碼步驟302判斷用戶名是否是「域名\用戶名「形式步驟303「域名」是本機所在的(或受本機信任的)Windows域名或本機所在NIS域名或本機機器名？步驟304將用戶名前的域名替換為本機機器名(HostName)並添加後綴「@」步驟305用戶名後帶有「*」？步驟306將本機所在的Windows域名「WinsDomain\」添加到用戶名前步驟307用戶名後帶有「+」？步驟308將本機所在的NIS域名「NISDomain\」添加到用戶名前步驟309將本機機器名「HostName\」添加到用戶名前並添加後綴「@」步驟401是否支持Windows域用戶認證？步驟402是否通過認證？步驟403是否支持NIS域用戶認證步驟404是否通過認證步驟405是否支持本機用戶認證？步驟406是否通過認證步驟407返回失敗標誌步驟408返回成功標誌步驟501「域名\用戶名」中的「域名」是否與本機加入的Windows域的域名相同？步驟502用戶名後帶「+」或者「@」？步驟503調用Windows域用戶認證程序認證步驟601「域名\用戶名」中的「域名」是否與本機加入的NIS域的域名相同？步驟602用戶名後帶「*」或者「@」步驟603調用NIS域用戶認證程序認證步驟701「域名\用戶名」中的「域名」是否與本機機器名相同？步驟702用戶名後帶「*」或者「+」步驟703調用本地用戶認證程序認證
具體實施例方式
本發明為一種多用戶類型的統一認證系統及其方法，請參見圖1，該圖是認證系統結構示意圖，系統結構為三層式結構，需要認證的服務110位於整體結構的上層，包括所有需要認證的服務或應用程式，典型的服務如文件服務中的Samba/CIFS，HTTP，AFP和FTP等服務，其它如login等登錄服務。本發明的統一認證系統120位於整體架構的中間層，用於提供上層使用最低層進行認證的邏輯處理，主要負責對上層需要認證的服務提出的認證請求進行處理，以及負責記錄及管理認證模塊的配置信息，是用戶控制或調整認證系統的接口，底層認證系統130位於整體架構的底層，負責特定的認證請求，如Windows域認證，NIS域認證，本地認證及其它認證等。
當用戶發出資源使用要求後，服務(資源的提供者)收到用戶的請求，此時服務需要判斷使用此資源是否需要具有特定的用戶權限，此時如果不需要具有特定的用戶權限，則直接提供給資源供用戶使用。否則，服務要求用戶鍵入用戶名和密碼準備進行驗證。用戶輸入用戶名和密碼後，交給統一認證模塊進行認證，統一認證模塊的認證工作完成後，返回成功或失敗信息。此時服務進行認證成功或失敗的判斷，如果成功，則提供給資源供用戶使用，否則要求用戶重新輸入用戶名和密碼進行再次驗證。
請參見圖2，該圖是本發明的多用戶類型的統一認證系統的模塊架構圖，說明如下(1)符號定義模塊121，用以設定並存儲所有域對應的特定符號。
為了系統功能的最大化，一般定義支持全部的認證方式，主要包括本地用戶認證，Windows域用戶認證和NIS域用戶認證，如果有其它的認證方式，當然也可以加入。為了解決用戶名前綴定義所無法解決的用戶身份紊亂問題，本發明使用特定符號定義與用戶名相結合的方法。使用用戶名前綴定義了用戶身份所屬的區域(如域名)，而使用後綴特定符號則定義了前綴域名所屬的類別，如前綴所屬的域名的類別是NIS域還是Windows域等。通過這種域名類型限定進行辨別以調用特定的底層認證模塊。
目前使用的後綴特定符號定義如下


在使用本發明的方法時，需要認證的客戶端用戶可以使用上述的任何一種或兩種方法進行用戶身份限定，以上的方法不是必須的，即用戶可以不使用任何方法或使用一個或兩個方法的結合，但結合使用這兩個方法可以保證完全限定一個用戶的身份。具體使用那種方法或組合方法或不使用任何方法完全由發出資源訪問請求的用戶輸入決定。系統將根據用戶傳入的用戶名來判斷用戶的身份。
(2)輸入接收模塊122，其用以接收認證請求，同時接收用戶輸入的具有該特定符號的用戶名及密碼。
(3)類型確定模塊123，用以根據該特定符號，確定該用戶所在的域。根據用戶的認證配置，不同的特定符號代表不同的認證方式，系統可以根據該特定符號確定相應的認證方式。
(4)域名確定模塊124，用以根據該用戶所在域，確定該用戶在該域的相應域名。
(5)域名比對模塊125，用以比對該域名與該主機所在域的域名，得出比對結果。
(6)認證模塊126，用以根據該比對結果，調用相應的認證程序進行身份認證，如果比對結果相同，則進行相應的身份認證，如果比對結果為不同，則進行本地認證。
在上述的統一認證系統中，還包括一認證配置模塊，為了更加靈活的使用本認證方法以適應不同的場合，本發明定義了一個認證配置模塊，此模塊的主要功能是進行是否支持特定認證方式的定義，因為有時系統管理員不需要某種認證方式的支持或系統並沒有加入到一個特定的域中。此時，就需要屏蔽掉這些認證支持。本模塊最簡單的核心實現是定義一個配置文件，此配置文件中規定了系統管理員許可系統支持的認證方式。此配置文件的定義如下認證方式＝定義值
a.認證方式的定義

B.定義值

C.配置文件樣例#這是注釋行，此文件為認證配置模塊配置文件樣例，開始行Windows＝YesNIS＝NoLOCAL＝Yes#這是注釋行，此文件為認證配置模塊配置文件樣例，結束行以上為配置文件樣例，如上所述，此配置文件規定了Windows域用戶可以進行認證，而NIS域用戶則不允許認證，本地用戶也可以進行認證。
接著，通過圖3來說明本發明的流程，該圖是本發明所提的多用戶類型的統一認證方法的運行流程圖，說明如下首先定義所有域對應的特定符號(步驟210)，然後接收一認證請求，同時接收具有特定符號的用戶名及密碼(步驟220)，根據該特定符號，確定該用戶所在的域(步驟230)，確定該用戶在該域的相應域名(步驟240)，比對該域名與本機所在域的域名，得出比對結果(步驟250)，最後根據該比較結果，調用相應的認證程序進行認證(步驟260)。
請參見圖4，該圖是本發明實施例的用戶身份處理的流程圖，本流程圖所規定的流程是為保證用戶身份的確認及唯一性。為了系統功能的最大化，一般定義支持全部的認證方式，主要包括本地用戶認證，Windows域用戶認證和NIS域用戶認證，如果有其它的認證方式，當然也可以加入。本發明首先定義所有域對應的特定符號，為了解決使用上述的用戶名前綴定義所無法解決的用戶身份紊亂問題，本發明使用後綴定義與用戶名字首相結合的方法。使用用戶名前綴定義了用戶身份所屬的區域(如域名)，而使用後綴則定義了前綴域名所屬的類別，如前綴所屬的域名的類別是NIS域還是Windows域等。
特定符號定義如下

通過這種域名類型限定進行辨別以調用特定的底層認證模塊。當接收到認證請求後，首先接收用戶名和密碼(步驟301)，然後判斷用戶名是否是「域名\用戶名」的形式(步驟302)。如果是域名\用戶名的形式，則判斷域名是不是本機所在的(或受本機信任的)Windows域名或本機所在NIS域名或本機機器名的中的一個(303步驟)，如果與任何一個名稱都不相同，則添加本機機器名最為用戶名前綴作為域名並添加「@」後綴特定符號標示為進行本地認證，然後進入認證流程(步驟304)，在這種情況下，將把此用戶作為一個本地用戶處理。如果客戶端傳入的用戶名不是域名\用戶名的形式，則判斷用戶名是否存在尾綴特定符號「*」(步驟305)，如果存在尾綴特定符號「*」則在用戶名前添加本機所在的Windows域名作為域名(步驟306)，在這種情況下將此用戶作為Windows域用戶處理，此用戶將只進行Windows域認證而不進行其它認證。如果此用戶不存在特定符號「*」，則判斷此用戶是否存在尾綴特定符號「+」(步驟307)，如果存在尾綴特定符號「+」，則在用戶名前添加本機所在的NIS域名作為域名(步驟308)，在這種情況下，將此用戶作為NIS域用戶處理，此用戶將只進行NIS域認證而不進行其它認證。如果此用戶名既不存在尾綴特定符號「*」也不存在尾綴特定符號「+」，則將此用戶名前添加本機機器名作為用戶名前綴，同時如果不存在「@」後綴則添加「@」後綴(步驟309)，這這種情況下將此用戶作為本地用戶處理。
請參見圖5，該圖為本發明實施例根據用戶認證配置判斷所支持的認證方式的流程圖。系統調用認證配置模塊進行是否支持Windows域用戶認證的判斷(步驟401)，如果支持，則調用Windows域認證流程；否則進行是否支持NIS域用戶認證的判斷(步驟403)，如果支持，則調用NIS域認證流程；否則進行是否支持本地認證的判斷(步驟405)，如果支持，則調用本地認證流程。無論是通過了Windows域驗證(步驟402)還是通過了NIS域驗證(步驟404)或通過了本地用戶驗證(步驟406)，都返回認證成功標誌(步驟408)，否則進行其它認證，如果所有認證都不支持或所有認證都未通過，則返回認證失敗標誌(407)。系統進行是否支持哪種方式的認證通過用戶定義的認證配置判斷的，此認證配置最簡單的情況就是只包含一個配置文件，此配置文件定義了系統需要支持的認證方式。
請參見圖6，圖7以及圖8，分別為進行Windows域認證，NIS域認證和本地用戶認證的流程圖。實際上，這是統一認證系統調用底層認證程序的流程圖。這三種認證首先都進行「域名\用戶名」前的域名是否是本機加入Windows域/NIS域/本機機器名的判斷(步驟501，601，701)，如果相同，則進行本模塊的認證，否則返回認證失敗信息，要求進行下一項支持的認證方式的認證。同樣，如果在本模塊認證失敗，也返回認證失敗信息，如果成功，則返回認證成功信息。當Windows域名及/或NIS域名及/或本機機器名互相相同時，則會對認證流程產生不安全影響，因為認證流程已經無法通過域名進行需要哪種底層模塊進行認證的判斷。為了避免各個域重名時的認證用戶身份衝突的問題，所以需要對用戶名後綴的特定符號「*」或「+」或「@」進行判斷(步驟502，602。702)。當完全確認用戶的身份後，才繼續進行下一步操作，最後分別調用底層認證程序進行Windows域認證、NIS域認證或本地用戶認證(步驟503，603，703)。
上述為本發明的較佳實施例，然其並非用以限定本發明，所以任何本領域的普通技術人員，在不脫離本發明的範圍內，可作一些的更動與修飾。
權利要求
1.一種多用戶類型的統一認證系統，用以向不同類型的網絡資源用戶提供統一認證方式，實現所有服務認證處理的集中控制，其中包括一符號定義模塊，用以設定並存儲所有域對應的特定符號；一輸入接收模塊，其用以接收認證請求，同時接收用戶輸入的具有該特定符號的用戶名及密碼；一類型確定模塊，用以根據該特定符號，確定該用戶所在的域；一域名確定模塊，用以根據該用戶所在域，確定該用戶在該域的相應域名；一域名比對模塊，用以比對該域名與本機所在域的域名，得出比對結果；及一認證模塊，用以根據該比對結果，調用相應的認證程序進行身份認證。
2.如權利要求1所述的多用戶類型的統一認證系統，其中所述的域包括Windows域、NIS域以及本地認證。
3.如權利要求1所述的多用戶類型的統一認證系統，其中所述的認證模塊中，若該比對結果為不同，則進行本機認證。
4.如權利要求1所述的多用戶類型的統一認證系統，其中更包括一認證配置模塊，與該類型判斷模塊相連，用以根據用戶的認證配置，確定該服務所支持的認證方式。
5.如權利要求4所述的多用戶類型的統一認證系統，其中若該認證方式為不支持，則進行本機認證。
6.一種多用戶類型的統一認證方法，用以向不同類型的網絡資源用戶提供統一認證方式，實現所有服務認證處理的集中控制，其中包括如下步驟定義所有域對應的特定符號；接收一認證請求，同時接收具有特定符號的用戶名及密碼；根據該特定符號，確定該用戶所在的域；確定該用戶在該域的相應域名；比對該域名與本機所在域的域名，得出比對結果；及根據該比較結果，調用相應的認證程序進行認證。
7.如權利要求6所述的多用戶類型的統一認證方法，其中所述的域包括Windows域、MS域以及本地認證。
8.如權利要求6所述的多用戶類型的統一認證方法，其中若該比對結果為不同，則進行本地認證。
9.如權利要求6所述的多用戶類型的統一認證方法，其中更包括根據用戶的認證配置，確定該服務所支持的認證方式的步驟。
10.如權利要求9所述的多用戶類型的統一認證方法，其中若該認證方式為不支持，則添加本機對應的特定符號，進行本地認證。
全文摘要
本發明公開了一種多用戶類型的統一認證系統及其方法，首先定義所有域對應的特定符號，接收一認證請求，同時接收具有特定符號的用戶名及密碼後，根據該特定符號，確定該用戶所在的域，同時確定該用戶在該域的相應域名，比對該域名與本機所在域的域名，得出比對結果，根據該比較結果，調用相應的認證程序進行認證，從而實現所有服務認證處理的集中控制。
文檔編號H04L12/24GK1642080SQ200410001259
公開日2005年7月20日 申請日期2004年1月5日 優先權日2004年1月5日
發明者劉文涵, 陳玄同, 劉宏亮 申請人:英業達股份有限公司