域認證和用戶網絡權限控制統一處理的方法及系統的製作方法

2023-05-03 11:49:21

專利名稱：域認證和用戶網絡權限控制統一處理的方法及系統的製作方法
技術領域：
本發明涉及網絡接入認證技術，尤其涉及域認證和用戶網絡權限控制統一處理的方法及系統。
背景技術：
現在企業網和相關的區域網大部分都是使用了域系統，例如很多企業網採用了Microsoft公司的Windows主域控制器。對於企業網的網絡設備來說，可能需要提供一些業務控制，包括用戶輸入不同的用戶名和口令而得到不同的網絡訪問權限，其中用戶的用戶名和口令需要用戶自己輸入。由於企業網中使用了域控制器，當用戶要訪問一些內部的網絡資源時就必須通過域認證，這樣用戶還需要輸入一次相應的用戶名和口令。
很多域伺服器使用了分布式安全協議-Kerberos(WINDOWS2000等作業系統域伺服器採用的一種加密認證算法)，包括它實現的安全服務身份認證，數據的完整性和保密性，以及代理。例如Windows2000實現標準的Kerberos協議。在Windows 2000中，Kerberos是以安全服務提供者(Securiy Service Provider，SSP)的方式通過安全服務提供者接口(Security Service Provider Interface，SSPI)來實現的。應用程式可以直接通過SSPI來獲得Kerberos的服務。實際上，SSL(Secure Sockets Layer)的大多數應用程式都不會直接利用SSPI，不過，有一些應用程式是直接調用SSPI，例如，一個分布式的組件式對象模型(DCOM)或COM+是利用DCOM提供的安全接口(在圖中沒有顯示出來，實際上，DCOM是利用認證過的RPC接口，而該接口是直接調用SSPI)。除此以外，大多數協議是把SSPI的實現細節封裝起來。因此，用戶沒有必要擔心實現分布式安全性的具體實現細節。
Kerberos SSP能夠提供三種安全性服務認證，進行身份驗證；數據完整性，保證數據在傳送過程中不被篡改；數據保密性，保證數據在傳送過程中不被獲取。Kerberos是通過加密來實現這些服務。域伺服器提供公鑰和私鑰加密。在私鑰加密中，加密和解密的密鑰是相同的。Kerberos不需要它的用戶(一個安全實體)用一個特別的加密密鑰，而只要使用一個一般的密碼。在域伺服器中，密碼不會直接用來加密用戶和伺服器之間傳送的數據。事實上，那些基於密碼的密鑰僅在登錄時有用。而其它用來加密在網絡上傳送的數據的密鑰都是動態生成的。準確的說，用戶用來登錄的密鑰是用戶密碼的散列值。由於散列算法是單向的，因此，給定一個密碼的散列值是無法獲得密碼的。在域伺服器裡，每一個用戶都擁有密碼，而訪問伺服器都會要求認證用戶的密碼。域中任何一個擁有密碼的實體稱為一個安全實體。運行在域控制器上的Kerberos伺服器本身稱為密鑰分發中心(KDC)。域控制器擁有訪問這個域內每一個安全實體密碼的散列值的權限(這些信息是放在實體的活動目錄中，也放在域控制器上。通常明文密碼是不放在這個目錄下的，而僅僅是密碼的hash值)。不過，為了保持密碼的同步，一個管理員可以同時在這個目錄下存放用戶的明文密碼及其散列值。
對於網絡接入設備來說，一般使用遠程訪問拔號用戶服務協議(RADIUS)伺服器對所控制的用戶進行認證，一般採用MD5加密的方式來處理用戶的口令。RADIUS伺服器接收到用戶的用戶名和口令後，如果認證通過的話，將把該用戶的權限發給網絡接入設備，由設備端進行控制，從而實現整個網絡的控制。RADIUS協議主要通過用戶的認證、授權和計費功能。具體協議可以參考RFC2865和RFC2866。
現有技術中，用戶無論是採用域認證方式還是採用網絡接入設備認證方式(如MD5方式)，如果用戶想同時訪問內部區域網和Internet網，都必須進行兩次登錄，第一是用戶的域認證，第二次是網絡接入設備的MD5方式，而且用戶名和口令還可能不一樣。這樣給用戶帶來了不便，同時更多的密碼和口令也增加了洩密的危險。

發明內容
本發明的目的在於提供一種域認證和用戶網絡權限控制統一處理的方法及系統，以解決現有的認證過程中需要兩次輸入用戶信息的問題。
為解決上述問題，本發明提供以下技術方案一種域認證和用戶網絡權限控制統一處理的方法，在該方法中用戶通過網絡接入設備連接網絡，由網絡中的域控制器對用戶進行域認證，由網絡中的認證伺服器管理用戶網絡權限；所述方法包括步驟所述域控制器根據上線用戶提交的信息對用戶進行域認證，並至少將通過認證的用戶信息發給認證伺服器；認證伺服器將用戶相應的權限信息發送給網絡接入設備；網絡接入設備按所述權限信息設置用戶使用網絡的權限。
其中在所述域控制器中，由一駐留程序通過安全服務提供者接口(SSPI)來實時地得出上線用戶。
所述域控制器通過SOCKET接口向認證伺服器發送信息。
一種域認證和用戶網絡權限控制統一處理的方法，在該方法中用戶通過網絡接入設備連接網絡，由網絡中的域控制器對用戶進行域認證；所述方法包括步驟所述域控制器根據上線用戶提交的信息對用戶進行域認證，並將通過認證的上線用戶的相應權限信息發給網絡接入設備；網絡接入設備按所述權限信息設置用戶使用網絡的權限。
一種網絡系統，包括將用戶接入網絡的網絡接入設備，對用戶進行域認證的域控制器和管理用戶網絡權限的認證伺服器；其中，所述域控制器與認證伺服器之間具有通信接口，域控制器通過該接口向認證伺服器發送域認證結果信息。
本發明在設備端解決域認證問題，用戶只需輸入一次用戶名和密碼即可完成域認證和網絡權限認證，大大方便用戶操作，可廣泛地應用於企業網和區域網。


圖1、圖2為本發明域認證用戶接入網絡的邏輯示意圖；圖3為圖1所示方案的域認證用戶上線流程圖。
具體實施例方式
一般來說企業網用戶都會有自己的域認證用戶，當用戶開機首先提供用戶名和口令通過域認證，然後用戶(本實施例以WEB認證用戶進行說明，其他用戶類似)打開WEB頁面後自動彈出認證界面，用戶需要再一次輸入用戶名和口令，完成第二次認證後網絡接入設備才打開該用戶的上網權限。
本發明將網絡接入設備的用戶網絡權限同域用戶的域認證進行綁定，統一完成用戶的認證過程，不需用戶第二次輸入口令。即域控制器根據上線用戶提交的信息對用戶進行域認證；然後將通過認證的上線用戶的權限信息主動發送給網絡接入設備；由網絡接入設備按接收的權限信息設置用戶使用網絡的權限。其中主動發送是指不需要網絡接入設備先發起請求，即在網絡接入設備沒有認證請求的情況下直接下發權限信息。
參閱圖1所示，在企業網或區域網中，用戶通過乙太網交換設備LANSWITCH與網絡接入設備連接，域控制器(或稱域伺服器)和認證伺服器與網絡接入設備連接，企業網或區域網內的用戶通過網絡接入設備接入到外部網絡，如網際網路等。域控制器用於對企業網內的域認證用戶進行認證，認證伺服器為RADIUS伺服器，用於管理用戶的上網權限信息。
域伺服器上駐留有一第三方程序，該程序通過SSPI編程實時地得出上線的用戶，並把該用戶的用戶名等相關信息通過SOCKET(TCP/IP協議套接字)編程發送給認證伺服器，認證伺服器通過一協議主動控制網絡接入設備。在認證伺服器端也有相應的通信程序，得到域伺服器上下線的用戶並進行匹配。當認證伺服器認證通過後，把該用戶相應的網絡訪問權限可以直接通過RADIUS協議發送到網絡接入設備。
在RFC2882中已經提出了由RADIUS伺服器主動控制接入設備，可以採用該協議對用戶的域認證結果進行控制。
參閱圖2所示，在伺服器上保存有用戶使用網絡的權限信息，並駐留有一第三方程序，該程序通過SSPI編程實時地得出上線的用戶，並直接通過私有協議向網絡接入設備發送控制信息。當用戶域認證成功後，該用戶的認證結果和相應的權限通過第三方程序發送到網絡接入設備中，由網絡接入設備打開該用戶相應的網絡訪問權限。
在圖1和圖2中，域認證伺服器和認證伺服器從邏輯上是獨立的，在物理上可以相互獨立的伺服器，也可是一臺伺服器。如果是一臺伺服器，則相互之間不需要兩者的私有協議，採用進程間通信。
參閱圖3所示的流程圖，該流程圖為圖1所示方案中的域認證用戶的認證過程，其具體過程如下1、用戶開機發出動態主機配置協議(DHCP)報文，網絡接入設備收到該報文後進行響應，並可以通過內置伺服器或外置伺服器(Windows域伺服器的DHCP服務)完成用戶整個DHCP過程，用戶獲得IP位址。
2、用戶開始通過Kerberos協議同域控制器進行身份認證，認證成功後，域伺服器記錄該用戶在線。
3、域伺服器通過駐留的程序向認證伺服器發送該用戶的認證結果信息，認證Server收到後通過認證協議把該用戶相應的權限發送給網絡接入設備。域認證伺服器和認證伺服器之間採用一個比較簡單的私有協議完成交互。
4、網絡接入設備收到發送來的用戶授權信息後，重新設置該用戶的權限，並給認證伺服器相應的回應。如網絡接入設備賦予該用戶訪問Internet網的權限。
5、網絡接入設備重新設置該用戶的權限後，該用戶即可以訪問相應的網絡。
用戶下線時，首先域伺服器可以檢測到用戶已經關機或斷線，駐留在域伺服器上的第三方掃描程序會發現該用戶狀態已經下線，它將通知認證伺服器該用戶下線，然後認證伺服器通知接入設備端刪除該用戶的所有數據。
圖2中，用戶認證過程如下
A、用戶開機發出動態主機配置協議(DHCP)報文，網絡接入設備收到該報文後進行響應，並可以通過內置伺服器或外置伺服器(Windows域伺服器的DHCP服務)完成用戶整個DHCP過程，用戶獲得IP位址。
B、用戶開始通過Kerberos協議同域控制器進行身份認證，認證成功後，域伺服器記錄該用戶在線。
C、域伺服器通過駐留的程序向網絡接入設備發送該用戶的認證結果信息和該用戶相應的權限。
D、網絡接入設備收到域伺服器發送來的信息後，重新設置該用戶的權限。如網絡接入設備賦予該用戶訪問Internet網的權限。
E、網絡接入設備重新設置該用戶的權限後，該用戶將可以訪問相應的網絡。
用戶下線時，首先域伺服器可以檢測到用戶已經關機或斷線，駐留在域伺服器上的第三方掃描程序會發現該用戶狀態已經下線，直接通知接入設備端刪除該用戶的所有數據。
本發明完成用戶認證基本不需對網絡接入設備進行改動，所有工作量基本都是在伺服器端完成，整個過程主要需要伺服器端的支持。
權利要求
1.一種域認證和用戶網絡權限控制統一處理的方法，在該方法中用戶通過網絡接入設備連接網絡，由網絡中的域控制器對用戶進行域認證；其特徵在於該方法包括步驟A、域控制器根據上線用戶提交的信息對用戶進行域認證；B、至少將通過認證的上線用戶的權限信息主動發送給網絡接入設備；C、網絡接入設備按所述權限信息設置用戶使用網絡的權限。
2.如權利要求1所述的方法，其特徵在於，步驟B包括域控制器將通過認證的上線用戶的用戶信息發送給認證伺服器；由認證伺服器將該用戶的權限信息發送網絡接入設備。
3.如權利要求1所述的方法，其特徵在於，步驟B中，由域控制器將通過認證的上線用戶的權限信息直接發送給網絡接入設備。
4.如權利要求1所述的方法，其特徵在於，在所述域控制器中，由一駐留程序通過安全服務提供者接口(SSPI)來實時地檢測出上線用戶。
5.如權利要求2所述的方法，其特徵在於，所述域控制器通過SOCKET接口向認證伺服器發送信息。
6.如權利要求2或5所述的方法，其特徵在於，所述域控制器和認證伺服器採用相互獨立的設備實現，相互間通過遠程訪問拔號用戶服務(RADIUS)協議或私有協議通信。
7.如權利要求2或5所述的方法，其特徵在於，所述域控制器和認證伺服器採用同一設備實現，相互之間通過進程通信。
8.如權利要求2所述的方法，其特徵在於，當域控制器檢測到用戶已經下線時通知認證伺服器，由認證伺服器通知接入設備刪除該用戶的所有數據。
9.如權利要求3所述的方法，其特徵在於，所述域控制器採用私有協議向網絡接入設備發送用戶權限信息。
10.如權利要求3或9所述的方法其特徵在於，當域伺服器檢測用戶已經下線時直接通知接入設備端刪除該用戶的所有數據。
11.一種網絡系統，包括將用戶接入網絡的網絡接入設備，對用戶進行域認證的域控制器和管理用戶網絡權限的認證伺服器；其特徵在於，所述域控制器與認證伺服器之間具有通信接口，域控制器通過該接口向認證伺服器發送域認證結果信息。
12.如權利要求11所述的網絡系統，其特徵在於，所述域控制器和認證伺服器可為相互獨立的物理設備，採用私有協議通信方式；或者為同一物理設備，採用進程間通信方式。
全文摘要
本發明公開了一種域認證和用戶網絡權限控制統一處理的方法及系統，該方法為域控制器根據上線用戶提交的信息對用戶進行域認證，然後至少將通過認證的上線用戶的權限信息發送給網絡接入設備，由網絡接入設備按所述權限信息設置用戶使用網絡的權限。本發明的系統包括網絡接入設備、域控制器和認證伺服器；其中域控制器與認證伺服器之間具有通信接口，域控制器通過該接口向認證伺服器發送域認證結果信息。
文檔編號H04L12/28GK1595897SQ03159260
公開日2005年3月16日 申請日期2003年9月12日 優先權日2003年9月12日
發明者侯超, 唐海霆, 管紅光 申請人:華為技術有限公司