認證方法、應用客戶端、應用伺服器及認證伺服器的製造方法

2023-08-02 13:28:56

認證方法、應用客戶端、應用伺服器及認證伺服器的製造方法
【專利摘要】本發明實施例提供了認證方法、應用客戶端、應用伺服器及認證伺服器，應用客戶端向Radius認證伺服器發送網絡準入認證請求；接收Radius認證伺服器返回的網絡準入認證結果；當網絡準入認證結果為認證成功時，應用客戶端向應用伺服器發送身份認證請求，其中，身份認證請求用於應用伺服器根據用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據用戶身份信息，確定用戶身份是否合法；接收應用伺服器返回的身份認證結果。解決現有技術中針對兩套系統至少需要兩次認證，認證效率低的問題。本發明涉及網絡通信【技術領域】。
【專利說明】認證方法、應用客戶端、應用伺服器及認證伺服器
【技術領域】
[0001]本發明涉及網絡通信【技術領域】，尤其涉及認證方法、應用客戶端、應用伺服器及認證伺服器。
【背景技術】
[0002]現代企業中為了保證企業網內部的數據安全，企業內部的用戶在使用企業網內部任何網絡資源之前，通常需要首先通過企業內部的網絡準入認證接入企業網，也就是說，企業內部的用戶如果要在企業網中訪問內部伺服器或者網際網路，首先要有一個合法帳號，通過該合法帳號登錄企業網，完成網絡準入認證之後才能訪問所需網絡資源。現有技術中，這種網絡準入認證大都基於國際標準，各個廠商均遵循類似標準開發，使得廠商之間的軟硬體對接十分容易，給企業的數據安全提供有效保障。
[0003]在通過網絡準入認證之後，為了便於企業內部的用戶完成工作，企業內部的用戶通常還有常用的應用軟體，例如:企業級即時通訊軟體(騰訊公司出品的RTX系統、IBM公司的Lotus Sametime、微軟公司的Microsoft Lync、中國移動的企業飛信等)。但是,這些應用軟體通常具有自身的身份認證機制，需要企業內部用戶在通過網絡準入認證之後，再次進行該應用軟體相關的用戶身份認證。
[0004]針對同時存在於同一個企業中的兩套系統(網絡準入認證系統和應用軟體系統)，企業內部的用戶每天至少需要進行兩次認證，一次是完成網絡準入認證，另一次是通過輸入應用軟體系統的用戶名密碼完成應用軟體的身份認證，如果遇到網絡突然中斷或者網絡不穩定等情況，這種多次認證的頻率就會上升。這種情況浪費了企業內部的用戶的時間，降低了辦公效率，網絡管理員針對兩套系統分別進行維護管理時，也不易維護和管理。

【發明內容】

[0005]本發明實施例提供了認證方法、應用客戶端、應用伺服器及認證伺服器，用以解決現有技術中兩套系統至少需要兩次認證，認證效率低的問題。
[0006]基於上述問題，本發明實施例提供的一種認證方法，應用於應用客戶端側，包括:
[0007]應用客戶端向Radius認證伺服器發送網絡準入認證請求；
[0008]接收所述Radius認證伺服器返回的網絡準入認證結果；
[0009]當所述網絡準入認證結果為認證成功時，所述應用客戶端向應用伺服器發送身份認證請求，其中，所述身份認證請求用於所述應用伺服器根據所述用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據所述用戶身份信息，確定所述用戶身份是否合法；
[0010]接收所述應用伺服器返回的身份認證結果。
[0011]本發明實施例提供的一種認證方法，應用於Radius認證伺服器側，包括:
[0012]當Radius認證伺服器接收到應用客戶端發送的網絡準入認證請求時，根據所述網絡準入認證請求中攜帶的用戶認證信息，對所述用戶認證信息對應的用戶進行網絡準入認證；並向所述應用客戶端返回網絡準入認證結果；
[0013]當Radius認證伺服器接收到應用伺服器發送的用戶身份合法性核實請求時，根據所述用戶身份合法性核實請求中攜帶的用戶身份信息，確定所述用戶身份信息對應的用戶身份是否合法；並向所述應用伺服器返回所述用戶身份合法性的核實結果。
[0014]本發明實施例提供的一種認證方法，應用於應用伺服器側，包括:
[0015]應用伺服器接收應用客戶端發送的身份認證請求；
[0016]根據所述身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求；
[0017]接收所述Radius認證伺服器返回的所述用戶身份合法性的核實結果；
[0018]根據所述核實結果，確定所述用戶的身份認證結果並向所述應用客戶端返回所述身份認證結果。
[0019]本發明實施例提供的一種應用客戶端，包括:
[0020]發送模塊，用於向Radius認證伺服器發送網絡準入認證請求；以及當所述網絡準入認證結果為認證成功時，向應用伺服器發送身份認證請求，其中，所述身份認證請求用於所述應用伺服器根據所述用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據所述用戶身份信息，確定所述用戶身份是否合法；
[0021]接收模塊，用於接收所述Radius認證伺服器返回的網絡準入認證結果；以及接收所述應用伺服器返回的身份認證結果。
[0022]本發明實施例提供的一種Radius認證伺服器，包括:
[0023]接收模塊，用於接收應用客戶端發送的網絡準入認證請求；以及接收應用伺服器發送的用戶身份合法性核實請求；
[0024]認證模塊，用於當所述接收模塊接收到應用客戶端發送的網絡準入認證請求時，根據所述網絡準入認證請求中攜帶的用戶認證信息，對所述用戶認證信息對應的用戶進行網絡準入認證；
[0025]核實模塊，用於當所述接收模塊接收到應用伺服器發送的用戶身份合法性核實請求時，根據所述用戶身份合法性核實請求中攜帶的用戶身份信息，確定所述用戶身份信息對應的用戶身份是否合法；
[0026]發送模塊，用於在所述認證模塊對用戶進行網絡準入認證之後，向所述應用客戶端返回網絡準入認證結果；以及在所述核實模塊對用戶進行用戶身份合法性核實之後，向所述應用伺服器返回所述用戶身份合法性的核實結果。
[0027]本發明實施例提供的一種應用伺服器，包括:
[0028]接收模塊，用於應用伺服器接收應用客戶端發送的身份認證請求；以及接收所述Radius認證伺服器返回的所述用戶身份合法性的核實結果；
[0029]發送模塊，用於根據所述身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求；以及根據所述核實結果，確定所述用戶的身份認證結果並向所述應用客戶端返回所述身份認證結果。
[0030]本發明實施例的有益效果包括:[0031]本發明實施例提供的認證方法、應用客戶端、應用伺服器及認證伺服器，應用客戶端向Radius認證伺服器發送網絡準入認證請求；接收Radius認證伺服器返回的網絡準入認證結果；當網絡準入認證結果為認證成功時，應用客戶端向應用伺服器發送身份認證請求，其中，身份認證請求用於應用伺服器根據用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據用戶身份信息，確定用戶身份是否合法；接收應用伺服器返回的身份認證結果。當用戶通過應用客戶端登錄應用伺服器時，由應用客戶端先向Radius認證伺服器發送網絡準入認證請求，並在通過網絡準入認證之後，再由應用客戶端向應用伺服器發送登錄應用伺服器的身份認證請求，兩次認證過程均由應用客戶端完成，用戶只需要登錄一次就能夠通過兩次認證，與現有技術中針對同時存在於同一個企業中的兩套系統至少需要兩次認證相比，提高了認證效率。
【專利附圖】

【附圖說明】
[0032]圖1為本發明實施例提供的一種認證方法應用於應用客戶端側的流程圖；
[0033]圖2為本發明實施例提供的一種認證方法應用於認證伺服器側的流程圖；
[0034]圖3為本發明實施例提供的一種認證方法應用於應用伺服器側的流程圖；
[0035]圖4a-圖4c為現有技術中網絡準入認證方案、應用伺服器認證方案、以及本發明實施例1提供的整合後的網絡準入方案和應用伺服器認證方案示意圖；
[0036]圖5為本發明實施例2提供的一種認證方法應用於應用客戶端側的流程圖；
[0037]圖6為本發明實施例3提供的一種認證方法應用於認證伺服器側的流程圖；
[0038]圖7為本發明實施例4提供的一種認證方法應用於應用伺服器側的流程圖；
[0039]圖8為本發明實施例5提供的一種認證方法的流程圖；
[0040]圖9為本發明實施例提供的一種應用客戶端的結構示意圖；
[0041]圖10為本發明實施例提供的一種Radius認證伺服器的結構示意圖；
[0042]圖11為本發明實施例提供的一種應用伺服器的結構示意圖。
【具體實施方式】
[0043]本發明實施例提供了認證方法、應用客戶端、應用伺服器及認證伺服器，以下結合說明書附圖對本發明的優選實施例進行說明，應當理解，此處所描述的優選實施例僅用於說明和解釋本發明，並不用於限定本發明。並且在不衝突的情況下，本申請中的實施例及實施例中的特徵可以相互組合。
[0044]本發明實施例提供一種認證方法，應用於應用客戶端側，如圖1所示，包括:
[0045]SlOl、應用客戶端向Radius認證伺服器發送網絡準入認證請求。
[0046]S102、接收Radius認證伺服器返回的網絡準入認證結果。
[0047]S103、當S102中返回的網絡準入認證結果為認證成功時，應用客戶端向應用伺服器發送身份認證請求，其中，身份認證請求用於應用伺服器根據用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據用戶身份信息，確定用戶身份是否合法。
[0048]S104、接收應用伺服器返回的身份認證結果。[0049]與上述圖1所示方法相應的，本發明實施例提供一種認證方法，應用於Radius認證伺服器側，如圖2所示，包括:
[0050]S201、當Radius認證伺服器接收到應用客戶端發送的網絡準入認證請求時，根據網絡準入認證請求中攜帶的用戶認證信息，對該用戶認證信息對應的用戶進行網絡準入認證。
[0051]S202、向應用客戶端返回網絡準入認證結果。
[0052]S203、當Radius認證伺服器接收到應用伺服器發送的用戶身份合法性核實請求時，根據用戶身份合法性核實請求中攜帶的用戶身份信息，確定用戶身份信息對應的用戶身份是否合法。
[0053]S204、向應用伺服器返回用戶身份合法性的核實結果。
[0054]與上述圖1、圖2所示方法相應的，本發明實施例提供一種認證方法，應用於應用伺服器側，如圖3所示，包括:
[0055]S301、應用伺服器接收應用客戶端發送的身份認證請求。
[0056]S302、根據S301接收的身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對該用戶身份信息對應的用戶的用戶身份合法性核實請求。
[0057]S303、接收Radius認證伺服器返回的用戶身份合法性的核實結果。
[0058]S304、根據S303返回的核實結果，確定用戶的身份認證結果並向應用客戶端返回該身份認證結果。
[0059]下面結合附圖，用具體實施例對本發明提供的方法及相關設備進行詳細描述。
[0060]實施例1:
[0061]本發明實施例1對本發明實施例提供的認證方案進行總體概述。
[0062]圖4a-圖4c為現有技術中網絡準入認證方案、應用伺服器認證方案、以及本發明實施例提供的整合後的網絡準入方案和應用伺服器認證方案示意圖，如圖4a所示，現有技術中需要專門用於進行網絡準入認證的客戶端，也就是說，用戶需要打開專門用於進行網絡準入認證的客戶端，並輸入用於網絡準入認證的用戶名和密碼，通過網絡準入認證交換機向Radius認證伺服器發送網絡準入認證請求。如圖4b所示，現有技術中應用客戶端用於向應用伺服器發送身份認證請求，並輸入用於進行身份認證請求的用戶名和密碼，使應用伺服器對應用客戶端進行身份認證，並在通過身份認證之後使用該應用。也就是說，現有技術中，進行網絡準入認證和進行身份認證需要通過用戶分別向兩個不同的客戶端輸入對應的用戶名和密碼。
[0063]現有技術中，應用客戶端中不存在網絡準入認證業務，本發明實施例中，可以在應用客戶端軟體的基礎上，開發一個基於國際標準(如:IEEE802.1X標準)的網絡準入認證客戶端模塊，將該模塊通過相應接口接駁到應用客戶端軟體中，使得應用客戶端既具備原有的應用功能，又具備網絡準入認證功能。如圖4c所示,整合了圖4a和圖4b所示的兩個結構:
[0064]針對應用客戶端，將兩套方案的兩個客戶端整合成一個，即應用客戶端既包含網絡準入認證模塊，又包含原有的應用模塊，兩個模塊通過進程間通信模塊進行通信，通過進程間通信協議或者相關的技術(如網絡套接字、命名管道等)使網絡準入認證模塊與應用模塊相關聯，從而雙方可以相互通信或者相互調動，例如，可以由應用模塊調度網絡準入認證模塊進行網絡準入認證，同時網絡準入認證模塊通過進程間通信模塊來給應用模塊反饋準入認證結果等信息，在網絡準入認證模塊完成網絡準入認證之後，可以通知應用模塊進行向應用伺服器的身份認證；
[0065]針對伺服器端，Radius認證伺服器和應用伺服器可以通過各自的伺服器間通信模塊進行通信，具體實施時，Radius認證伺服器的伺服器間通信模塊和應用伺服器的伺服器間通信模塊，可以以客戶端/伺服器模式進行通信，例如，當應用客戶端的應用模塊向應用伺服器發送身份認證請求時，可以通過應用伺服器上的伺服器間通信模塊，向Radius伺服器上的伺服器間通信模塊發送相應的網絡報文(該網絡報文可以採用Web service標準或者自定義交互協議等)。這樣，使Radius認證伺服器和應用伺服器之間可以交互用戶數據，使得應用客戶端在向應用伺服器發送身份認證請求之後，不需要用戶再次提供認證信息，而是由應用伺服器向Radius認證伺服器獲取用戶是否合法的認證結果；那麼，就可以使現有技術中Radius認證伺服器和應用伺服器兩套伺服器的用戶信息統一成一套，可以將兩套用戶的身份信息合併到Radius認證伺服器上，使得用戶數據源唯一；最終實現用戶僅用一個帳號即可登錄企業內網同時登錄即時通訊伺服器，不再需要繁瑣的多次登錄才能完成網絡準入認證和應用伺服器的認證。
[0066]實施例2:
[0067]本發明實施例2中，提供一種認證方法，應用於應用客戶端側，如圖5所示，具體包括如下步驟:
[0068]S501、應用客戶端通過網絡準入認證交換機向Radius認證伺服器發送網絡準入認證請求。
[0069]進一步地，現有技術中，需要專門用於進行網絡準入認證的客戶端執行本步驟。也就是說，用戶需要打開專門用於進行網絡準入認證的客戶端，並輸入用於網絡準入認證的用戶名和密碼，向Radius認證伺服器發送網絡準入認證請求。而本發明實施例1中，本步驟的執行主體為應用客戶端，如圖4c所示，具體實施時，可以在應用客戶端中增加用於進行網絡準入認證的模塊，當用戶需要連接企業網，並在連接企業網之後啟動應用客戶端時，可以不需要通過專門用於進行網絡準入認證的客戶端進行網絡準入認證，再通過應用客戶端進行用戶身份認證，而可以直接打開應用客戶端，由應用客戶端中的用於進行網絡準入認證的模塊進行網絡準入認證，並在網絡準入認證成功之後，由應用客戶端中的用於身份認證的模塊向應用伺服器進行用戶身份認證。用戶只需要直接打開應用客戶端，並輸入一次用戶名和密碼就完成了網絡準入認證和用戶身份認證兩次認證，提高了認證效率。
[0070]進一步地，網絡準入認證交換機用於網絡準入認證及數據交換處理。在用戶未完成網絡準入認證之前，網絡準入認證交換機用於與客戶端交互，將客戶端發送的網絡準入請求轉換成Radius認證伺服器能夠識別的數據包(例如:基於UDP的可路由Radius協議報文)並轉發給Radius認證伺服器，同時也會將Radius認證伺服器發送的響應數據包轉換成客戶端能夠識別的內容並轉發給客戶端。完成網絡準入認證後，網絡準入認證交換機對該用戶開放全部數據傳輸業務，此時網絡準入認證交換機是一臺普通的數據傳輸交換機；而如果未通過認證，則網絡準入認證交換機不放行該用戶除入網認證數據之外的全部數據，禁止該用戶入網。
[0071]進一步地，網絡側可以採用成熟的網絡準入方案，比如IEEE802.1X (基於埠的網絡訪問控制)有線無線一體化準入認證，802.1X協議是基於客戶端/伺服器的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入埠(access port)訪問區域網(LAN, Local Area Network) / 無線區域網(WLAN, Wireless Local Area Network)。在獲得網絡準入認證交換機或LAN提供的各種業務之前，802.1X對連接到網絡準入認證交換機埠上的用戶/設備進行認證。在認證通過之前，802.1X只允許基於區域網的擴展認證協議(EAPoL,Extensible Authentication Protocol)數據通過網絡準入認證交換機埠 ；認證通過以後，正常的數據可以順利地通過乙太網埠。
[0072]S502、通過網絡準入認證交換機接收Radius認證伺服器返回的網絡準入認證結果。
[0073]本步驟中，當準入認證結果為認證成功時,認證結果中還可以攜帶有Radius認證伺服器下發的應用伺服器的地址信息，該應用伺服器的地址信息用於應用客戶端根據該地址信息向應用伺服器發送身份認證請求。
[0074]進一步地，由於應用客戶端中的用於進行網絡準入認證的模塊，與網絡認證交換機的交互是乙太網二層協議(EAPoL協議)，不需要IP協議進行路由，因此應用客戶端不需要預先配置Radius認證伺服器的IP位址，Radius認證伺服器的IP位址配置到網絡認證交換機上即可。而當準入認證結果為認證成功時，將應用伺服器的地址信息攜帶於認證結果中，發送給應用客戶端，也就是說，應用客戶端在通過了網絡準入認證之後才能獲得應用伺服器的地址信息，進而與應用伺服器進行交互。這樣，即使Radius認證伺服器或者應用伺服器的地址信息或者域名信息發生變更，不需要升級應用客戶端，對於企業級軟體的部署也節省了定製地址信息等環節。由於伺服器地址信息可變，模擬應用客戶端的惡意軟體也無法內置應用伺服器的地址信息，提升了系統安全性。
[0075]S503、當S502中返回的網絡準入認證結果為認證成功時，應用客戶端向應用伺服器發送身份認證請求，其中，身份認證請求用於應用伺服器根據用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據用戶身份信息，確定用戶身份是否合法。
[0076]本步驟中，可以利用S502中網絡準入認證結果中攜帶的應用伺服器的地址信息，向應用伺服器發送身份認證請求。如圖4c所示，本步驟由應用客戶端在後臺執行，不需要用戶再次輸入用戶名密碼等身份認證信息。
[0077]本步驟中，由於已經通過了網絡準入認證，應用客戶端對應用伺服器的訪問不需要網絡準入認證交換機的幹預，應用客戶端可以直接訪問應用伺服器，網絡準入認證交換機可以作為普通的交換機進行數據交換。
[0078]S504、接收應用伺服器返回的身份認證結果。
[0079]當步驟S504中返回的身份認證結果為認證成功時,還包括:
[0080]S505、接收應用伺服器發送的用戶被授權使用的應用數據。
[0081]進一步地，當步驟S504中返回的身份認證結果為認證成功時，也可以不包括本步驟，而將用戶被授權使用的應用數據攜帶於S504中返回的身份認證結果中。
[0082]進一步地，當應用軟體為即時通訊軟體時，用戶被授權使用的應用數據可以包括好友列表、離線消息、組織結構變更等用戶相關信息。
[0083]實施例3:[0084]與實施例2提供的認證方法相應的，本發明實施例3中，提供一種認證方法，應用於Radius認證伺服器側，如圖6所示，具體包括如下步驟:
[0085]S601、當Radius認證伺服器接收到應用客戶端發送的網絡準入認證請求時，根據網絡準入認證請求中攜帶的用戶認證信息，對該用戶認證信息對應的用戶進行網絡準入認證。
[0086]S602、向應用客戶端返回網絡準入認證結果。
[0087]S603、當準入認證結果為認證成功時，記錄通過網絡準入認證的用戶對應的用戶認證信息。
[0088]進一步地，本步驟與步驟S602的執行沒有嚴格的先後順序。
[0089]S604、判斷用於對用戶進行網絡準入認證的用戶認證信息與對用戶進行身份認證的用戶身份信息是否為相同的信息；若相同，進入步驟S605，若不相同，進入步驟S606。
[0090]S605、當Radius認證伺服器接收到應用伺服器發送的用戶身份合法性核實請求，且用於對用戶進行網絡準入認證的用戶認證信息與對用戶進行身份認證的用戶身份信息為相同的信息時，從已通過準入認證的用戶對應的用戶認證信息中，確定是否存在用戶身份合法性核實請求中攜帶的用戶身份信息。若存在，進入步驟S607，若不存在，進入步驟S608。
[0091]S606、當Radius認證伺服器接收到應用伺服器發送的用戶身份合法性核實請求，且用於對用戶進行網絡準入認證的用戶認證信息與對用戶進行身份認證的用戶身份信息為不同的信息時，根據預先建立的各用戶的用戶認證信息與用戶身份信息之間的對應關係，從已通過準入認證的用戶對應的用戶認證信息對應的用戶身份信息中，確定是否存在用戶身份合法性核實請求中攜帶的用戶身份信息。若存在，進入步驟S607，若不存在，進入步驟S608。
[0092]進一步地，如圖4c所示，Radius認證伺服器和應用伺服器可以通過各自的伺服器間通信模塊進行通信。
[0093]進一步地，在步驟S605和步驟S606中，用於對用戶進行網絡準入認證的用戶認證信息與對用戶進行身份認證的用戶身份信息可以為相同的信息，例如:用戶名信息等，也可以為不同的信息，例如:第一用戶名和第二用戶名等。在用戶打開應用客戶端輸入用戶名和密碼進行登錄時，應用客戶端中用於進行網絡準入認證的模塊使用該用戶名和密碼向Radius認證伺服器進行網絡準入認證，在網絡準入認證通過之後，應用客戶端又向應用伺服器發送用戶身份認證請求，在發送用戶身份認證請求時，並不需要用戶再次輸入針對身份認證請求的用戶名和密碼，那麼，應用客戶端向應用伺服器發送用戶身份認證請求中攜帶的用戶身份信息，可以與向Radius認證伺服器發送的網絡準入認證信息相同，例如，可以將進行網絡準入認證時使用的用戶名發送給應用伺服器。應用伺服器將該用戶名攜帶於用戶身份合法性核實請求發送給Radius認證伺服器時，Radius認證伺服器可以通過從記錄的已經通過網絡準入認證的用戶認證信息中，是否存在該用戶名，來確定用戶是否已經通過了網絡準入認證。
[0094]進一步地，應用客戶端向應用伺服器發送用戶身份認證請求中攜帶的用戶身份信息，可以與向Radius認證伺服器發送的網絡準入認證信息不同，例如，在用戶打開應用客戶端輸入第一用戶名和密碼進行登錄時，應用客戶端中用於進行網絡準入認證的模塊使用該第一用戶名和密碼向Radius認證伺服器進行網絡準入認證，在網絡準入認證通過之後，將用戶預先設置的用於登錄應用伺服器的第二用戶名攜帶於用戶身份認證請求中，並發送給應用伺服器，應用伺服器將該第二用戶名攜帶於用戶身份合法性核實請求中發送給Radius認證伺服器，Radius認證伺服器可以預先建立同一個用戶對應的用於網絡準入認證的第一用戶名和用於向應用伺服器進行用戶身份認證的第二用戶名之間的對應關係，通過從記錄的已經通過網絡準入認證的第一用戶名對應的第二用戶名中，是否存在該用戶的第二用戶名，來確定該用戶是否已經通過了網絡準入認證。
[0095]S607、若存在，則確定用戶身份信息對應的用戶身份合法。進入步驟S609。
[0096]S608、若不存在，則確定用戶身份信息對應的用戶身份不合法。進入步驟S609。
[0097]S609、向應用伺服器返回用戶身份合法性的核實結果。
[0098]進一步地，當Radius認證伺服器對用戶進行網絡準入認證的認證結果為成功時，Radius認證伺服器向應用客戶端返回網絡準入認證結果中還攜帶有應用伺服器的地址信息，該應用伺服器的地址信息用於應用客戶端根據該地址信息向應用伺服器發送身份認證請求。
[0099]實施例4:
[0100]與實施例2、實施例3提供的認證方法相應的，本發明實施例4中，提供一種認證方法，應用於應用伺服器側，如圖7所示，具體包括如下步驟:
[0101]S701、應用伺服器接收應用客戶端發送的身份認證請求。
[0102]S702、根據S701接收的身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對該用戶身份信息對應的用戶的用戶身份合法性核實請求。
[0103]進一步地，應用伺服器與Radius認證伺服器間通信使用的報文可以採用Webservice標準或者自定義交互協議。
[0104]S703、接收Radius認證伺服器返回的用戶身份合法性的核實結果。
[0105]S704、當S703確定的核實結果為用戶身份合法時，確定用戶的身份認證結果為認證成功。
[0106]本步驟中，當S703確定的核實結果為用戶身份不合法時，確定用戶的身份認證結果為認證失敗，並向應用客戶端返回身份認證失敗的結果。
[0107]S705、向應用客戶端返回認證成功的身份認證結果。
[0108]S706、向應用客戶端發送用戶被授權使用的應用數據。
[0109]進一步地，也可以不包括步驟S706，而將所述用戶被授權使用的應用數據攜帶於S705中返回的身份認證結果中。
[0110]實施例5:
[0111]本發明實施例5中，提供一種認證方法，應用於應用客戶端、Radius認證伺服器、及應用伺服器側，如圖8所示，具體包括如下步驟:
[0112]S801、應用客戶端向網絡準入認證交換機發送網絡準入認證請求。
[0113]S802、網絡準入認證交換機向Radius認證伺服器轉發網絡準入認證請求。
[0114]S803、Radius認證伺服器接收到應用客戶端發送的網絡準入認證請求之後，根據網絡準入認證請求中攜帶的用戶認證信息，對該用戶認證信息對應的用戶進行網絡準入認證。[0115]S804、Radius認證伺服器向網絡準入認證交換機返回的網絡準入認證結果。
[0116]S805、網絡準入認證交換機向應用客戶端轉發網絡準入認證結果。
[0117]S806、當S805中返回的網絡準入認證結果為認證成功時，應用客戶端向應用伺服器發送身份認證請求。
[0118]S807、應用伺服器根據接收的身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對該用戶身份信息對應的用戶的用戶身份合法性核實請求。
[0119]S808、Radius認證伺服器接收到應用伺服器發送的用戶身份合法性核實請求之後，根據用戶身份合法性核實請求中攜帶的用戶身份信息，確定用戶身份信息對應的用戶身份是否合法。
[0120]S809、Radius認證伺服器向應用伺服器返回用戶身份合法性的核實結果。
[0121]S8010、應用伺服器根據Radius認證伺服器返回的核實結果，確定用戶的身份認證結果並向應用客戶端返回該身份認證結果。
[0122]基於同一發明構思，本發明實施例還提供了一種應用客戶端、應用伺服器及認證伺服器，由於這些客戶端和伺服器所解決問題的原理與前述一種認證方法相似，因此該客戶端和伺服器的實施可以參見前述方法的實施，重複之處不再贅述。
[0123]本發明實施例提供了一種應用客戶端，如圖9所示，包括:
[0124]發送模塊901，用於向Radius認證伺服器發送網絡準入認證請求；以及當所述網絡準入認證結果為認證成功時，向應用伺服器發送身份認證請求，其中，所述身份認證請求用於所述應用伺服器根據所述用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據所述用戶身份信息，確定所述用戶身份是否合法；
[0125]接收模塊902，用於接收所述Radius認證伺服器返回的網絡準入認證結果；以及接收所述應用伺服器返回的身份認證結果。
[0126]進一步地，所述發送模塊901，具體用於通過網絡準入認證交換機向Radius認證伺服器發送網絡準入認證請求；
[0127]所述接收模塊902，具體用於通過所述網絡準入認證交換機接收所述Radius認證伺服器返回的網絡準入認證結果。
[0128]進一步地，當所述接收模塊902接收到的所述準入認證結果為認證成功時，所述認證結果中還攜帶有所述Radius認證伺服器下發的所述應用伺服器的地址信息，所述應用伺服器的地址信息用於所述應用客戶端根據所述地址信息向所述應用伺服器發送身份認證請求。
[0129]進一步地，當所述身份認證結果為認證成功時，所述接收模塊902接收的所述身份認證結果中還攜帶有所述用戶被授權使用的應用數據；或者
[0130]所述接收模塊902，還用於當所述身份認證結果為認證成功時，在接收到所述應用伺服器返回的身份認證結果之後，接收所述應用伺服器發送的所述用戶被授權使用的應用數據。
[0131]本發明實施例提供了一種Radius認證伺服器，如圖10所示，包括:
[0132]接收模塊1001，用於接收應用客戶端發送的網絡準入認證請求；以及接收應用伺服器發送的用戶身份合法性核實請求；[0133]認證模塊1002，用於當所述接收模塊1001接收到應用客戶端發送的網絡準入認證請求時，根據所述網絡準入認證請求中攜帶的用戶認證信息，對所述用戶認證信息對應的用戶進行網絡準入認證；
[0134]核實模塊1003，用於當所述接收模塊1001接收到應用伺服器發送的用戶身份合法性核實請求時，根據所述用戶身份合法性核實請求中攜帶的用戶身份信息，確定所述用戶身份信息對應的用戶身份是否合法；
[0135]發送模塊1004，用於在所述認證模塊1002對用戶進行網絡準入認證之後，向所述應用客戶端返回網絡準入認證結果；以及在所述核實模塊1003對用戶進行用戶身份合法性核實之後，向所述應用伺服器返回所述用戶身份合法性的核實結果。
[0136]進一步地，所述核實模塊1003具體用於當用於對用戶進行網絡準入認證的用戶認證信息與對所述用戶進行身份認證的用戶身份信息為相同的信息時，從已通過準入認證的用戶對應的用戶認證信息中，確定是否存在所述用戶身份合法性核實請求中攜帶的用戶身份信息；若存在，則確定所述用戶身份信息對應的用戶身份合法；
[0137]當用於對用戶進行網絡準入認證的用戶認證信息與對所述用戶進行身份認證的用戶身份信息為不同的信息時，根據預先建立的各用戶的用戶認證信息與用戶身份信息之間的對應關係，從已通過準入認證的用戶對應的用戶認證信息對應的用戶身份信息中，確定是否存在所述用戶身份合法性核實請求中攜帶的用戶身份信息；若存在，則確定所述用戶身份信息對應的用戶身份合法。
[0138]進一步地,所述Radius認證伺服器還包括:記錄模塊1005 ；
[0139]所述記錄模塊1005，用於在Radius認證伺服器對用戶進行網絡準入認證，且準入認證結果為成功之後，記錄通過網絡準入認證的用戶對應的用戶認證信息。
[0140]進一步地，當所述認證模塊1002對用戶進行網絡準入認證的認證結果為成功時，所述發送模塊1004向所述應用客戶端返回網絡準入認證結果中還攜帶有所述應用伺服器的地址信息，所述應用伺服器的地址信息用於所述應用客戶端根據所述地址信息向所述應用伺服器發送身份認證請求。
[0141]本發明實施例提供了一種應用伺服器，如圖11所示，包括:
[0142]接收模塊1101，用於應用伺服器接收應用客戶端發送的身份認證請求；以及接收所述Radius認證伺服器返回的所述用戶身份合法性的核實結果；
[0143]發送模塊1102，用於根據所述身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求；以及根據所述核實結果，確定所述用戶的身份認證結果並向所述應用客戶端返回所述身份認證結果。
[0144]進一步地，所述發送模塊1102具體用於當所述核實結果為用戶身份合法時，確定所述用戶的身份認證結果為認證成功；並向所述應用客戶端返回認證成功的身份認證結果。
[0145]進一步地，當確定所述用戶的身份認證結果為認證成功時，所述發送模塊1102向所述應用客戶端返回的認證成功的身份認證結果中還攜帶有所述用戶被授權使用的應用數據；或者
[0146]所述發送模塊1102，還用於在向所述應用客戶端返回認證成功的身份認證結果之後，向所述應用客戶端發送所述用戶被授權使用的應用數據。[0147]上述各單元的功能可對應於圖1至圖3、圖5至圖8所示流程中的相應處理步驟，在此不再贅述。
[0148]本發明實施例提供的認證方法、應用客戶端、應用伺服器及認證伺服器，應用客戶端向Radius認證伺服器發送網絡準入認證請求；接收Radius認證伺服器返回的網絡準入認證結果；當網絡準入認證結果為認證成功時，應用客戶端向應用伺服器發送身份認證請求，其中，身份認證請求用於應用伺服器根據用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據用戶身份信息，確定用戶身份是否合法；接收應用伺服器返回的身份認證結果。當用戶通過應用客戶端登錄應用伺服器時，由應用客戶端先向Radius認證伺服器發送網絡準入認證請求，並在通過網絡準入認證之後，再由應用客戶端向應用伺服器發送登錄應用伺服器的身份認證請求，兩次認證過程均由應用客戶端完成，用戶只需要登錄一次就能夠通過兩次認證，與現有技術中針對同時存在於同一個企業中的兩套系統至少需要兩次認證相比，提高了認證效率。
[0149]通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明實施例可以通過硬體實現，也可以藉助軟體加必要的通用硬體平臺的方式來實現。基於這樣的理解，本發明實施例的技術方案可以以軟體產品的形式體現出來，該軟體產品可以存儲在一個非易失性存儲介質(可以是⑶-ROM，U盤，移動硬碟等)中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述的方法。
[0150]本領域技術人員可以理解附圖只是一個優選實施例的示意圖，附圖中的模塊或流程並不一定是實施本發明所必須的。
[0151]本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布於實施例的裝置中，也可以進行相應變化位於不同於本實施例的一個或多個裝置中。上述實施例的模塊可以合併為一個模塊，也可以進一步拆分成多個子模塊。
[0152]上述本發明實施例序號僅僅為了描述，不代表實施例的優劣。
[0153]顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內，則本發明也意圖包含這些改動和變型在內。
【權利要求】
1.一種認證方法，其特徵在於，包括: 應用客戶端向Radius認證伺服器發送網絡準入認證請求； 接收所述Radius認證伺服器返回的網絡準入認證結果； 當所述網絡準入認證結果為認證成功時，所述應用客戶端向應用伺服器發送身份認證請求，其中，所述身份認證請求用於所述應用伺服器根據所述用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據所述用戶身份信息，確定所述用戶身份是否合法； 接收所述應用伺服器返回的身份認證結果。
2.如權利要求1所述的方法，其特徵在於，應用客戶端向Radius認證伺服器發送網絡準入認證請求,具體包括: 應用客戶端通過網絡準入認證交換機向Radius認證伺服器發送網絡準入認證請求； 接收所述Radius認證伺服器返回的網絡準入認證結果，具體包括: 通過所述網絡準入認證交換機接收所述Radius認證伺服器返回的網絡準入認證結果。
3.—種認證方法，其特徵在於，包括: 當Radius認證伺服器接收到應用客戶端發送的網絡準入認證請求時，根據所述網絡準入認證請求中攜帶的用戶認證信息，對所述用戶認證信息對應的用戶進行網絡準入認證；並向所述應用客戶端返回網絡準入認證結果； 當Radius認證伺服器接收到應用伺服器發送的用戶身份合法性核實請求時，根據所述用戶身份合法性核實請求中攜帶的用戶身份信息，確定所述用戶身份信息對應的用戶身份是否合法；並向所述應用伺服器返回所述用戶身份合法性的核實結果。
4.如權利要求3所述的方法，其特徵在於，根據所述用戶身份合法性核實請求中攜帶的用戶身份信息，確定所述用戶身份信息對應的用戶身份是否合法，具體包括: 當用於對用戶進行網絡準入認證的用戶認證信息與對所述用戶進行身份認證的用戶身份信息為相同的信息時，從已通過準入認證的用戶對應的用戶認證信息中，確定是否存在所述用戶身份合法性核實請求中攜帶的用戶身份信息；若存在，則確定所述用戶身份信息對應的用戶身份合法； 當用於對用戶進行網絡準入認證的用戶認證信息與對所述用戶進行身份認證的用戶身份信息為不同的信息時，根據預先建立的各用戶的用戶認證信息與用戶身份信息之間的對應關係，從已通過準入認證的用戶對應的用戶認證信息對應的用戶身份信息中，確定是否存在所述用戶身份合法性核實請求中攜帶的用戶身份信息；若存在，則確定所述用戶身份信息對應的用戶身份合法； 在Radius認證伺服器對用戶進行網絡準入認證，且準入認證結果為成功之後，還包括: 記錄通過網絡準入認證的用戶對應的用戶認證信息。
5.如權利要求3或4所述的方法，其特徵在於，當Radius認證伺服器對用戶進行網絡準入認證的認證結果為成功時，Radius認證伺服器向所述應用客戶端返回網絡準入認證結果中還攜帶有所述應用伺服器的地址信息，所述應用伺服器的地址信息用於所述應用客戶端根據所述地址信息向所述應用伺服器發送身份認證請求。
6.一種認證方法，其特徵在於，包括: 應用伺服器接收應用客戶端發送的身份認證請求； 根據所述身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求； 接收所述Radius認證伺服器返回的所述用戶身份合法性的核實結果； 根據所述核實結果，確定所述用戶的身份認證結果並向所述應用客戶端返回所述身份認證結果。
7.如權利要求6所述的方法，其特徵在於，當確定所述用戶的身份認證結果為認證成功時，向所述應用客戶端返回的認證成功的身份認證結果中還攜帶有所述用戶被授權使用的應用數據；或者 在向所述應用客戶端返回認證成功的身份認證結果之後，還包括: 向所述應用客戶端發送所述用戶被授權使用的應用數據。
8.一種應用客戶端，其特徵在於，包括: 發送模塊，用於向Radius認證伺服器發送網絡準入認證請求；以及當所述網絡準入認證結果為認證成功時，向應用伺服器發送身份認證請求，其中，所述身份認證請求用於所述應用伺服器根據所述用戶身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求，並由Radius認證伺服器根據所述用戶身份信息，確定所述用戶身份是否合法； 接收模塊，用於接收所述Radius認證伺服器返回的網絡準入認證結果；以及接收所述應用伺服器返回的身份認證結果。
9.如權利要求8所述的應用客戶端，其特徵在於，所述發送模塊，具體用於通過網絡準入認證交換機向Radius認證伺服器發送網絡準入認證請求； 所述接收模塊，具體用於通過所述網絡準入認證交換機接收所述Radius認證伺服器返回的網絡準入認證結果。
10.一種Radius認證伺服器，其特徵在於，包括: 接收模塊，用於接收應用客戶端發送的網絡準入認證請求；以及接收應用伺服器發送的用戶身份合法性核實請求； 認證模塊，用於當所述接收模塊接收到應用客戶端發送的網絡準入認證請求時，根據所述網絡準入認證請求中攜帶的用戶認證信息，對所述用戶認證信息對應的用戶進行網絡準入認證； 核實模塊，用於當所述接收模塊接收到應用伺服器發送的用戶身份合法性核實請求時，根據所述用戶身份合法性核實請求中攜帶的用戶身份信息，確定所述用戶身份信息對應的用戶身份是否合法； 發送模塊，用於在所述認證模塊對用戶進行網絡準入認證之後，向所述應用客戶端返回網絡準入認證結果；以及在所述核實模塊對用戶進行用戶身份合法性核實之後，向所述應用伺服器返回所述用戶身份合法性的核實結果。
11.如權利要求10所述的Radius認證伺服器，其特徵在於，還包括:記錄模塊； 所述核實模塊具體用於當用於對用戶進行網絡準入認證的用戶認證信息與對所述用戶進行身份認證的用戶身份信息為相同的信息時，從已通過準入認證的用戶對應的用戶認證信息中，確定是否存在所述用戶身份合法性核實請求中攜帶的用戶身份信息；若存在，則確定所述用戶身份信息對應的用戶身份合法； 當用於對用戶進行網絡準入認證的用戶認證信息與對所述用戶進行身份認證的用戶身份信息為不同的信息時，根據預先建立的各用戶的用戶認證信息與用戶身份信息之間的對應關係，從已通過準入認證的用戶對應的用戶認證信息對應的用戶身份信息中，確定是否存在所述用戶身份合法性核實請求中攜帶的用戶身份信息；若存在，則確定所述用戶身份信息對應的用戶身份合法； 所述記錄模塊，用於在Radius認證伺服器對用戶進行網絡準入認證，且準入認證結果為成功之後，記錄通過網絡準入認證的用戶對應的用戶認證信息。
12.如權利要求10或11所述的Radius認證伺服器，其特徵在於，當所述認證模塊對用戶進行網絡準入認證的認證結果為成功時，所述發送模塊向所述應用客戶端返回網絡準入認證結果中還攜帶有所述應用伺服器的地址信息，所述應用伺服器的地址信息用於所述應用客戶端根據所述地址信息向所述應用伺服器發送身份認證請求。
13.一種應用伺服器，其特徵在於，包括: 接收模塊，用於應用伺服器接收應用客戶端發送的身份認證請求；以及接收所述Radius認證伺服器返回的所述用戶身份合法性的核實結果； 發送模塊，用於根據所述身份認證請求中攜帶的用戶身份信息，向Radius認證伺服器發送針對所述用戶身份信息對應的用戶的用戶身份合法性核實請求；以及根據所述核實結果，確定所述用戶的身份認證結果並向所述應用客戶端返回所述身份認證結果。
14.如權利要求13所述的應用伺服器，其特徵在於，當確定所述用戶的身份認證結果為認證成功時，所述發`送模塊向所述應用客戶端返回的認證成功的身份認證結果中還攜帶有所述用戶被授權使用的應用數據；或者 所述發送模塊，還用於在向所述應用客戶端返回認證成功的身份認證結果之後，向所述應用客戶端發送所述用戶被授權使用的應用數據。
【文檔編號】H04L9/32GK103634119SQ201310688020
【公開日】2014年3月12日 申請日期:2013年12月13日 優先權日:2013年12月13日
【發明者】周永林 申請人:北京星網銳捷網絡技術有限公司