CN103634119B - 认证方法、应用客户端、应用服务器及认证服务器 - Google Patents
认证方法、应用客户端、应用服务器及认证服务器 Download PDFInfo
- Publication number
- CN103634119B CN103634119B CN201310688020.8A CN201310688020A CN103634119B CN 103634119 B CN103634119 B CN 103634119B CN 201310688020 A CN201310688020 A CN 201310688020A CN 103634119 B CN103634119 B CN 103634119B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- information
- request
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了认证方法、应用客户端、应用服务器及认证服务器,应用客户端向Radius认证服务器发送网络准入认证请求;接收Radius认证服务器返回的网络准入认证结果;当网络准入认证结果为认证成功时,应用客户端向应用服务器发送身份认证请求,其中,身份认证请求用于应用服务器根据用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据用户身份信息,确定用户身份是否合法;接收应用服务器返回的身份认证结果。解决现有技术中针对两套系统至少需要两次认证,认证效率低的问题。本发明涉及网络通信技术领域。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及认证方法、应用客户端、应用服务器及认证服务器。
背景技术
现代企业中为了保证企业网内部的数据安全,企业内部的用户在使用企业网内部任何网络资源之前,通常需要首先通过企业内部的网络准入认证接入企业网,也就是说,企业内部的用户如果要在企业网中访问内部服务器或者互联网,首先要有一个合法账号,通过该合法账号登录企业网,完成网络准入认证之后才能访问所需网络资源。现有技术中,这种网络准入认证大都基于国际标准,各个厂商均遵循类似标准开发,使得厂商之间的软硬件对接十分容易,给企业的数据安全提供有效保障。
在通过网络准入认证之后,为了便于企业内部的用户完成工作,企业内部的用户通常还有常用的应用软件,例如:企业级即时通讯软件(腾讯公司出品的RTX系统、IBM公司的Lotus Sametime、微软公司的Microsoft Lync、中国移动的企业飞信等)。但是,这些应用软件通常具有自身的身份认证机制,需要企业内部用户在通过网络准入认证之后,再次进行该应用软件相关的用户身份认证。
针对同时存在于同一个企业中的两套系统(网络准入认证系统和应用软件系统),企业内部的用户每天至少需要进行两次认证,一次是完成网络准入认证,另一次是通过输入应用软件系统的用户名密码完成应用软件的身份认证,如果遇到网络突然中断或者网络不稳定等情况,这种多次认证的频率就会上升。这种情况浪费了企业内部的用户的时间,降低了办公效率,网络管理员针对两套系统分别进行维护管理时,也不易维护和管理。
发明内容
本发明实施例提供了认证方法、应用客户端、应用服务器及认证服务器,用以解决现有技术中两套系统至少需要两次认证,认证效率低的问题。
基于上述问题,本发明实施例提供的一种认证方法,应用于应用客户端侧,包括:
应用客户端向Radius认证服务器发送网络准入认证请求;
接收所述Radius认证服务器返回的网络准入认证结果;
当所述网络准入认证结果为认证成功时,所述应用客户端向应用服务器发送身份认证请求,其中,所述身份认证请求用于所述应用服务器根据所述用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对所述用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据所述用户身份信息,确定所述用户身份是否合法;
接收所述应用服务器返回的身份认证结果。
本发明实施例提供的一种认证方法,应用于Radius认证服务器侧,包括:
当Radius认证服务器接收到应用客户端发送的网络准入认证请求时,根据所述网络准入认证请求中携带的用户认证信息,对所述用户认证信息对应的用户进行网络准入认证;并向所述应用客户端返回网络准入认证结果;
当Radius认证服务器接收到应用服务器发送的用户身份合法性核实请求时,根据所述用户身份合法性核实请求中携带的用户身份信息,确定所述用户身份信息对应的用户身份是否合法;并向所述应用服务器返回所述用户身份合法性的核实结果。
本发明实施例提供的一种认证方法,应用于应用服务器侧,包括:
应用服务器接收应用客户端发送的身份认证请求;
根据所述身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对所述用户身份信息对应的用户的用户身份合法性核实请求;
接收所述Radius认证服务器返回的所述用户身份合法性的核实结果;
根据所述核实结果,确定所述用户的身份认证结果并向所述应用客户端返回所述身份认证结果。
本发明实施例提供的一种应用客户端,包括:
发送模块,用于向Radius认证服务器发送网络准入认证请求;以及当所述网络准入认证结果为认证成功时,向应用服务器发送身份认证请求,其中,所述身份认证请求用于所述应用服务器根据所述用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对所述用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据所述用户身份信息,确定所述用户身份是否合法;
接收模块,用于接收所述Radius认证服务器返回的网络准入认证结果;以及接收所述应用服务器返回的身份认证结果。
本发明实施例提供的一种Radius认证服务器,包括:
接收模块,用于接收应用客户端发送的网络准入认证请求;以及接收应用服务器发送的用户身份合法性核实请求;
认证模块,用于当所述接收模块接收到应用客户端发送的网络准入认证请求时,根据所述网络准入认证请求中携带的用户认证信息,对所述用户认证信息对应的用户进行网络准入认证;
核实模块,用于当所述接收模块接收到应用服务器发送的用户身份合法性核实请求时,根据所述用户身份合法性核实请求中携带的用户身份信息,确定所述用户身份信息对应的用户身份是否合法;
发送模块,用于在所述认证模块对用户进行网络准入认证之后,向所述应用客户端返回网络准入认证结果;以及在所述核实模块对用户进行用户身份合法性核实之后,向所述应用服务器返回所述用户身份合法性的核实结果。
本发明实施例提供的一种应用服务器,包括:
接收模块,用于应用服务器接收应用客户端发送的身份认证请求;以及接收所述Radius认证服务器返回的所述用户身份合法性的核实结果;
发送模块,用于根据所述身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对所述用户身份信息对应的用户的用户身份合法性核实请求;以及根据所述核实结果,确定所述用户的身份认证结果并向所述应用客户端返回所述身份认证结果。
本发明实施例的有益效果包括:
本发明实施例提供的认证方法、应用客户端、应用服务器及认证服务器,应用客户端向Radius认证服务器发送网络准入认证请求;接收Radius认证服务器返回的网络准入认证结果;当网络准入认证结果为认证成功时,应用客户端向应用服务器发送身份认证请求,其中,身份认证请求用于应用服务器根据用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据用户身份信息,确定用户身份是否合法;接收应用服务器返回的身份认证结果。当用户通过应用客户端登录应用服务器时,由应用客户端先向Radius认证服务器发送网络准入认证请求,并在通过网络准入认证之后,再由应用客户端向应用服务器发送登录应用服务器的身份认证请求,两次认证过程均由应用客户端完成,用户只需要登录一次就能够通过两次认证,与现有技术中针对同时存在于同一个企业中的两套系统至少需要两次认证相比,提高了认证效率。
附图说明
图1为本发明实施例提供的一种认证方法应用于应用客户端侧的流程图;
图2为本发明实施例提供的一种认证方法应用于认证服务器侧的流程图;
图3为本发明实施例提供的一种认证方法应用于应用服务器侧的流程图;
图4a-图4c为现有技术中网络准入认证方案、应用服务器认证方案、以及本发明实施例1提供的整合后的网络准入方案和应用服务器认证方案示意图;
图5为本发明实施例2提供的一种认证方法应用于应用客户端侧的流程图;
图6为本发明实施例3提供的一种认证方法应用于认证服务器侧的流程图;
图7为本发明实施例4提供的一种认证方法应用于应用服务器侧的流程图;
图8为本发明实施例5提供的一种认证方法的流程图;
图9为本发明实施例提供的一种应用客户端的结构示意图;
图10为本发明实施例提供的一种Radius认证服务器的结构示意图;
图11为本发明实施例提供的一种应用服务器的结构示意图。
具体实施方式
本发明实施例提供了认证方法、应用客户端、应用服务器及认证服务器,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明实施例提供一种认证方法,应用于应用客户端侧,如图1所示,包括:
S101、应用客户端向Radius认证服务器发送网络准入认证请求。
S102、接收Radius认证服务器返回的网络准入认证结果。
S103、当S102中返回的网络准入认证结果为认证成功时,应用客户端向应用服务器发送身份认证请求,其中,身份认证请求用于应用服务器根据用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据用户身份信息,确定用户身份是否合法。
S104、接收应用服务器返回的身份认证结果。
与上述图1所示方法相应的,本发明实施例提供一种认证方法,应用于Radius认证服务器侧,如图2所示,包括:
S201、当Radius认证服务器接收到应用客户端发送的网络准入认证请求时,根据网络准入认证请求中携带的用户认证信息,对该用户认证信息对应的用户进行网络准入认证。
S202、向应用客户端返回网络准入认证结果。
S203、当Radius认证服务器接收到应用服务器发送的用户身份合法性核实请求时,根据用户身份合法性核实请求中携带的用户身份信息,确定用户身份信息对应的用户身份是否合法。
S204、向应用服务器返回用户身份合法性的核实结果。
与上述图1、图2所示方法相应的,本发明实施例提供一种认证方法,应用于应用服务器侧,如图3所示,包括:
S301、应用服务器接收应用客户端发送的身份认证请求。
S302、根据S301接收的身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对该用户身份信息对应的用户的用户身份合法性核实请求。
S303、接收Radius认证服务器返回的用户身份合法性的核实结果。
S304、根据S303返回的核实结果,确定用户的身份认证结果并向应用客户端返回该身份认证结果。
下面结合附图,用具体实施例对本发明提供的方法及相关设备进行详细描述。
实施例1:
本发明实施例1对本发明实施例提供的认证方案进行总体概述。
图4a-图4c为现有技术中网络准入认证方案、应用服务器认证方案、以及本发明实施例提供的整合后的网络准入方案和应用服务器认证方案示意图,如图4a所示,现有技术中需要专门用于进行网络准入认证的客户端,也就是说,用户需要打开专门用于进行网络准入认证的客户端,并输入用于网络准入认证的用户名和密码,通过网络准入认证交换机向Radius认证服务器发送网络准入认证请求。如图4b所示,现有技术中应用客户端用于向应用服务器发送身份认证请求,并输入用于进行身份认证请求的用户名和密码,使应用服务器对应用客户端进行身份认证,并在通过身份认证之后使用该应用。也就是说,现有技术中,进行网络准入认证和进行身份认证需要通过用户分别向两个不同的客户端输入对应的用户名和密码。
现有技术中,应用客户端中不存在网络准入认证业务,本发明实施例中,可以在应用客户端软件的基础上,开发一个基于国际标准(如:IEEE802.1X标准)的网络准入认证客户端模块,将该模块通过相应接口接驳到应用客户端软件中,使得应用客户端既具备原有的应用功能,又具备网络准入认证功能。如图4c所示,整合了图4a和图4b所示的两个结构:
针对应用客户端,将两套方案的两个客户端整合成一个,即应用客户端既包含网络准入认证模块,又包含原有的应用模块,两个模块通过进程间通信模块进行通信,通过进程间通信协议或者相关的技术(如网络套接字、命名管道等)使网络准入认证模块与应用模块相关联,从而双方可以相互通信或者相互调动,例如,可以由应用模块调度网络准入认证模块进行网络准入认证,同时网络准入认证模块通过进程间通信模块来给应用模块反馈准入认证结果等信息,在网络准入认证模块完成网络准入认证之后,可以通知应用模块进行向应用服务器的身份认证;
针对服务器端,Radius认证服务器和应用服务器可以通过各自的服务器间通信模块进行通信,具体实施时,Radius认证服务器的服务器间通信模块和应用服务器的服务器间通信模块,可以以客户端/服务器模式进行通信,例如,当应用客户端的应用模块向应用服务器发送身份认证请求时,可以通过应用服务器上的服务器间通信模块,向Radius服务器上的服务器间通信模块发送相应的网络报文(该网络报文可以采用Web service标准或者自定义交互协议等)。这样,使Radius认证服务器和应用服务器之间可以交互用户数据,使得应用客户端在向应用服务器发送身份认证请求之后,不需要用户再次提供认证信息,而是由应用服务器向Radius认证服务器获取用户是否合法的认证结果;那么,就可以使现有技术中Radius认证服务器和应用服务器两套服务器的用户信息统一成一套,可以将两套用户的身份信息合并到Radius认证服务器上,使得用户数据源唯一;最终实现用户仅用一个帐号即可登录企业内网同时登录即时通讯服务器,不再需要繁琐的多次登录才能完成网络准入认证和应用服务器的认证。
实施例2:
本发明实施例2中,提供一种认证方法,应用于应用客户端侧,如图5所示,具体包括如下步骤:
S501、应用客户端通过网络准入认证交换机向Radius认证服务器发送网络准入认证请求。
进一步地,现有技术中,需要专门用于进行网络准入认证的客户端执行本步骤。也就是说,用户需要打开专门用于进行网络准入认证的客户端,并输入用于网络准入认证的用户名和密码,向Radius认证服务器发送网络准入认证请求。而本发明实施例1中,本步骤的执行主体为应用客户端,如图4c所示,具体实施时,可以在应用客户端中增加用于进行网络准入认证的模块,当用户需要连接企业网,并在连接企业网之后启动应用客户端时,可以不需要通过专门用于进行网络准入认证的客户端进行网络准入认证,再通过应用客户端进行用户身份认证,而可以直接打开应用客户端,由应用客户端中的用于进行网络准入认证的模块进行网络准入认证,并在网络准入认证成功之后,由应用客户端中的用于身份认证的模块向应用服务器进行用户身份认证。用户只需要直接打开应用客户端,并输入一次用户名和密码就完成了网络准入认证和用户身份认证两次认证,提高了认证效率。
进一步地,网络准入认证交换机用于网络准入认证及数据交换处理。在用户未完成网络准入认证之前,网络准入认证交换机用于与客户端交互,将客户端发送的网络准入请求转换成Radius认证服务器能够识别的数据包(例如:基于UDP的可路由Radius协议报文)并转发给Radius认证服务器,同时也会将Radius认证服务器发送的响应数据包转换成客户端能够识别的内容并转发给客户端。完成网络准入认证后,网络准入认证交换机对该用户开放全部数据传输业务,此时网络准入认证交换机是一台普通的数据传输交换机;而如果未通过认证,则网络准入认证交换机不放行该用户除入网认证数据之外的全部数据,禁止该用户入网。
进一步地,网络侧可以采用成熟的网络准入方案,比如IEEE802.1X(基于端口的网络访问控制)有线无线一体化准入认证,802.1X协议是基于客户端/服务器的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问局域网(LAN,Local Area Network)/无线局域网(WLAN,Wireless Local Area Network)。在获得网络准入认证交换机或LAN提供的各种业务之前,802.1X对连接到网络准入认证交换机端口上的用户/设备进行认证。在认证通过之前,802.1X只允许基于局域网的扩展认证协议(EAPoL,Extensible Authentication Protocol)数据通过网络准入认证交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
S502、通过网络准入认证交换机接收Radius认证服务器返回的网络准入认证结果。
本步骤中,当准入认证结果为认证成功时,认证结果中还可以携带有Radius认证服务器下发的应用服务器的地址信息,该应用服务器的地址信息用于应用客户端根据该地址信息向应用服务器发送身份认证请求。
进一步地,由于应用客户端中的用于进行网络准入认证的模块,与网络认证交换机的交互是以太网二层协议(EAPoL协议),不需要IP协议进行路由,因此应用客户端不需要预先配置Radius认证服务器的IP地址,Radius认证服务器的IP地址配置到网络认证交换机上即可。而当准入认证结果为认证成功时,将应用服务器的地址信息携带于认证结果中,发送给应用客户端,也就是说,应用客户端在通过了网络准入认证之后才能获得应用服务器的地址信息,进而与应用服务器进行交互。这样,即使Radius认证服务器或者应用服务器的地址信息或者域名信息发生变更,不需要升级应用客户端,对于企业级软件的部署也节省了定制地址信息等环节。由于服务器地址信息可变,模拟应用客户端的恶意软件也无法内置应用服务器的地址信息,提升了系统安全性。
S503、当S502中返回的网络准入认证结果为认证成功时,应用客户端向应用服务器发送身份认证请求,其中,身份认证请求用于应用服务器根据用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据用户身份信息,确定用户身份是否合法。
本步骤中,可以利用S502中网络准入认证结果中携带的应用服务器的地址信息,向应用服务器发送身份认证请求。如图4c所示,本步骤由应用客户端在后台执行,不需要用户再次输入用户名密码等身份认证信息。
本步骤中,由于已经通过了网络准入认证,应用客户端对应用服务器的访问不需要网络准入认证交换机的干预,应用客户端可以直接访问应用服务器,网络准入认证交换机可以作为普通的交换机进行数据交换。
S504、接收应用服务器返回的身份认证结果。
当步骤S504中返回的身份认证结果为认证成功时,还包括:
S505、接收应用服务器发送的用户被授权使用的应用数据。
进一步地,当步骤S504中返回的身份认证结果为认证成功时,也可以不包括本步骤,而将用户被授权使用的应用数据携带于S504中返回的身份认证结果中。
进一步地,当应用软件为即时通讯软件时,用户被授权使用的应用数据可以包括好友列表、离线消息、组织结构变更等用户相关信息。
实施例3:
与实施例2提供的认证方法相应的,本发明实施例3中,提供一种认证方法,应用于Radius认证服务器侧,如图6所示,具体包括如下步骤:
S601、当Radius认证服务器接收到应用客户端发送的网络准入认证请求时,根据网络准入认证请求中携带的用户认证信息,对该用户认证信息对应的用户进行网络准入认证。
S602、向应用客户端返回网络准入认证结果。
S603、当准入认证结果为认证成功时,记录通过网络准入认证的用户对应的用户认证信息。
进一步地,本步骤与步骤S602的执行没有严格的先后顺序。
S604、判断用于对用户进行网络准入认证的用户认证信息与对用户进行身份认证的用户身份信息是否为相同的信息;若相同,进入步骤S605,若不相同,进入步骤S606。
S605、当Radius认证服务器接收到应用服务器发送的用户身份合法性核实请求,且用于对用户进行网络准入认证的用户认证信息与对用户进行身份认证的用户身份信息为相同的信息时,从已通过准入认证的用户对应的用户认证信息中,确定是否存在用户身份合法性核实请求中携带的用户身份信息。若存在,进入步骤S607,若不存在,进入步骤S608。
S606、当Radius认证服务器接收到应用服务器发送的用户身份合法性核实请求,且用于对用户进行网络准入认证的用户认证信息与对用户进行身份认证的用户身份信息为不同的信息时,根据预先建立的各用户的用户认证信息与用户身份信息之间的对应关系,从已通过准入认证的用户对应的用户认证信息对应的用户身份信息中,确定是否存在用户身份合法性核实请求中携带的用户身份信息。若存在,进入步骤S607,若不存在,进入步骤S608。
进一步地,如图4c所示,Radius认证服务器和应用服务器可以通过各自的服务器间通信模块进行通信。
进一步地,在步骤S605和步骤S606中,用于对用户进行网络准入认证的用户认证信息与对用户进行身份认证的用户身份信息可以为相同的信息,例如:用户名信息等,也可以为不同的信息,例如:第一用户名和第二用户名等。在用户打开应用客户端输入用户名和密码进行登录时,应用客户端中用于进行网络准入认证的模块使用该用户名和密码向Radius认证服务器进行网络准入认证,在网络准入认证通过之后,应用客户端又向应用服务器发送用户身份认证请求,在发送用户身份认证请求时,并不需要用户再次输入针对身份认证请求的用户名和密码,那么,应用客户端向应用服务器发送用户身份认证请求中携带的用户身份信息,可以与向Radius认证服务器发送的网络准入认证信息相同,例如,可以将进行网络准入认证时使用的用户名发送给应用服务器。应用服务器将该用户名携带于用户身份合法性核实请求发送给Radius认证服务器时,Radius认证服务器可以通过从记录的已经通过网络准入认证的用户认证信息中,是否存在该用户名,来确定用户是否已经通过了网络准入认证。
进一步地,应用客户端向应用服务器发送用户身份认证请求中携带的用户身份信息,可以与向Radius认证服务器发送的网络准入认证信息不同,例如,在用户打开应用客户端输入第一用户名和密码进行登录时,应用客户端中用于进行网络准入认证的模块使用该第一用户名和密码向Radius认证服务器进行网络准入认证,在网络准入认证通过之后,将用户预先设置的用于登录应用服务器的第二用户名携带于用户身份认证请求中,并发送给应用服务器,应用服务器将该第二用户名携带于用户身份合法性核实请求中发送给Radius认证服务器,Radius认证服务器可以预先建立同一个用户对应的用于网络准入认证的第一用户名和用于向应用服务器进行用户身份认证的第二用户名之间的对应关系,通过从记录的已经通过网络准入认证的第一用户名对应的第二用户名中,是否存在该用户的第二用户名,来确定该用户是否已经通过了网络准入认证。
S607、若存在,则确定用户身份信息对应的用户身份合法。进入步骤S609。
S608、若不存在,则确定用户身份信息对应的用户身份不合法。进入步骤S609。
S609、向应用服务器返回用户身份合法性的核实结果。
进一步地,当Radius认证服务器对用户进行网络准入认证的认证结果为成功时,Radius认证服务器向应用客户端返回网络准入认证结果中还携带有应用服务器的地址信息,该应用服务器的地址信息用于应用客户端根据该地址信息向应用服务器发送身份认证请求。
实施例4:
与实施例2、实施例3提供的认证方法相应的,本发明实施例4中,提供一种认证方法,应用于应用服务器侧,如图7所示,具体包括如下步骤:
S701、应用服务器接收应用客户端发送的身份认证请求。
S702、根据S701接收的身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对该用户身份信息对应的用户的用户身份合法性核实请求。
进一步地,应用服务器与Radius认证服务器间通信使用的报文可以采用Webservice标准或者自定义交互协议。
S703、接收Radius认证服务器返回的用户身份合法性的核实结果。
S704、当S703确定的核实结果为用户身份合法时,确定用户的身份认证结果为认证成功。
本步骤中,当S703确定的核实结果为用户身份不合法时,确定用户的身份认证结果为认证失败,并向应用客户端返回身份认证失败的结果。
S705、向应用客户端返回认证成功的身份认证结果。
S706、向应用客户端发送用户被授权使用的应用数据。
进一步地,也可以不包括步骤S706,而将所述用户被授权使用的应用数据携带于S705中返回的身份认证结果中。
实施例5:
本发明实施例5中,提供一种认证方法,应用于应用客户端、Radius认证服务器、及应用服务器侧,如图8所示,具体包括如下步骤:
S801、应用客户端向网络准入认证交换机发送网络准入认证请求。
S802、网络准入认证交换机向Radius认证服务器转发网络准入认证请求。
S803、Radius认证服务器接收到应用客户端发送的网络准入认证请求之后,根据网络准入认证请求中携带的用户认证信息,对该用户认证信息对应的用户进行网络准入认证。
S804、Radius认证服务器向网络准入认证交换机返回的网络准入认证结果。
S805、网络准入认证交换机向应用客户端转发网络准入认证结果。
S806、当S805中返回的网络准入认证结果为认证成功时,应用客户端向应用服务器发送身份认证请求。
S807、应用服务器根据接收的身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对该用户身份信息对应的用户的用户身份合法性核实请求。
S808、Radius认证服务器接收到应用服务器发送的用户身份合法性核实请求之后,根据用户身份合法性核实请求中携带的用户身份信息,确定用户身份信息对应的用户身份是否合法。
S809、Radius认证服务器向应用服务器返回用户身份合法性的核实结果。
S8010、应用服务器根据Radius认证服务器返回的核实结果,确定用户的身份认证结果并向应用客户端返回该身份认证结果。
基于同一发明构思,本发明实施例还提供了一种应用客户端、应用服务器及认证服务器,由于这些客户端和服务器所解决问题的原理与前述一种认证方法相似,因此该客户端和服务器的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供了一种应用客户端,如图9所示,包括:
发送模块901,用于向Radius认证服务器发送网络准入认证请求;以及当所述网络准入认证结果为认证成功时,向应用服务器发送身份认证请求,其中,所述身份认证请求用于所述应用服务器根据所述用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对所述用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据所述用户身份信息,确定所述用户身份是否合法;
接收模块902,用于接收所述Radius认证服务器返回的网络准入认证结果;以及接收所述应用服务器返回的身份认证结果。
进一步地,所述发送模块901,具体用于通过网络准入认证交换机向Radius认证服务器发送网络准入认证请求;
所述接收模块902,具体用于通过所述网络准入认证交换机接收所述Radius认证服务器返回的网络准入认证结果。
进一步地,当所述接收模块902接收到的所述准入认证结果为认证成功时,所述认证结果中还携带有所述Radius认证服务器下发的所述应用服务器的地址信息,所述应用服务器的地址信息用于所述应用客户端根据所述地址信息向所述应用服务器发送身份认证请求。
进一步地,当所述身份认证结果为认证成功时,所述接收模块902接收的所述身份认证结果中还携带有所述用户被授权使用的应用数据;或者
所述接收模块902,还用于当所述身份认证结果为认证成功时,在接收到所述应用服务器返回的身份认证结果之后,接收所述应用服务器发送的所述用户被授权使用的应用数据。
本发明实施例提供了一种Radius认证服务器,如图10所示,包括:
接收模块1001,用于接收应用客户端发送的网络准入认证请求;以及接收应用服务器发送的用户身份合法性核实请求;
认证模块1002,用于当所述接收模块1001接收到应用客户端发送的网络准入认证请求时,根据所述网络准入认证请求中携带的用户认证信息,对所述用户认证信息对应的用户进行网络准入认证;
核实模块1003,用于当所述接收模块1001接收到应用服务器发送的用户身份合法性核实请求时,根据所述用户身份合法性核实请求中携带的用户身份信息,确定所述用户身份信息对应的用户身份是否合法;
发送模块1004,用于在所述认证模块1002对用户进行网络准入认证之后,向所述应用客户端返回网络准入认证结果;以及在所述核实模块1003对用户进行用户身份合法性核实之后,向所述应用服务器返回所述用户身份合法性的核实结果。
进一步地,所述核实模块1003具体用于当用于对用户进行网络准入认证的用户认证信息与对所述用户进行身份认证的用户身份信息为相同的信息时,从已通过准入认证的用户对应的用户认证信息中,确定是否存在所述用户身份合法性核实请求中携带的用户身份信息;若存在,则确定所述用户身份信息对应的用户身份合法;
当用于对用户进行网络准入认证的用户认证信息与对所述用户进行身份认证的用户身份信息为不同的信息时,根据预先建立的各用户的用户认证信息与用户身份信息之间的对应关系,从已通过准入认证的用户对应的用户认证信息对应的用户身份信息中,确定是否存在所述用户身份合法性核实请求中携带的用户身份信息;若存在,则确定所述用户身份信息对应的用户身份合法。
进一步地,所述Radius认证服务器还包括:记录模块1005;
所述记录模块1005,用于在Radius认证服务器对用户进行网络准入认证,且准入认证结果为成功之后,记录通过网络准入认证的用户对应的用户认证信息。
进一步地,当所述认证模块1002对用户进行网络准入认证的认证结果为成功时,所述发送模块1004向所述应用客户端返回网络准入认证结果中还携带有所述应用服务器的地址信息,所述应用服务器的地址信息用于所述应用客户端根据所述地址信息向所述应用服务器发送身份认证请求。
本发明实施例提供了一种应用服务器,如图11所示,包括:
接收模块1101,用于应用服务器接收应用客户端发送的身份认证请求;以及接收所述Radius认证服务器返回的所述用户身份合法性的核实结果;
发送模块1102,用于根据所述身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对所述用户身份信息对应的用户的用户身份合法性核实请求;以及根据所述核实结果,确定所述用户的身份认证结果并向所述应用客户端返回所述身份认证结果。
进一步地,所述发送模块1102具体用于当所述核实结果为用户身份合法时,确定所述用户的身份认证结果为认证成功;并向所述应用客户端返回认证成功的身份认证结果。
进一步地,当确定所述用户的身份认证结果为认证成功时,所述发送模块1102向所述应用客户端返回的认证成功的身份认证结果中还携带有所述用户被授权使用的应用数据;或者
所述发送模块1102,还用于在向所述应用客户端返回认证成功的身份认证结果之后,向所述应用客户端发送所述用户被授权使用的应用数据。
上述各单元的功能可对应于图1至图3、图5至图8所示流程中的相应处理步骤,在此不再赘述。
本发明实施例提供的认证方法、应用客户端、应用服务器及认证服务器,应用客户端向Radius认证服务器发送网络准入认证请求;接收Radius认证服务器返回的网络准入认证结果;当网络准入认证结果为认证成功时,应用客户端向应用服务器发送身份认证请求,其中,身份认证请求用于应用服务器根据用户身份认证请求中携带的用户身份信息,向Radius认证服务器发送针对用户身份信息对应的用户的用户身份合法性核实请求,并由Radius认证服务器根据用户身份信息,确定用户身份是否合法;接收应用服务器返回的身份认证结果。当用户通过应用客户端登录应用服务器时,由应用客户端先向Radius认证服务器发送网络准入认证请求,并在通过网络准入认证之后,再由应用客户端向应用服务器发送登录应用服务器的身份认证请求,两次认证过程均由应用客户端完成,用户只需要登录一次就能够通过两次认证,与现有技术中针对同时存在于同一个企业中的两套系统至少需要两次认证相比,提高了认证效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (4)
1.一种认证方法,其特征在于,包括:
当Radius认证服务器接收到应用客户端发送的网络准入认证请求时,根据所述网络准入认证请求中携带的用户认证信息,对所述用户认证信息对应的用户进行网络准入认证;并向所述应用客户端返回网络准入认证结果;
当Radius认证服务器接收到应用服务器发送的用户身份合法性核实请求时,根据所述用户身份合法性核实请求中携带的用户身份信息,确定所述用户身份信息对应的用户身份是否合法;并向所述应用服务器返回所述用户身份合法性的核实结果;其中,所述根据所述用户身份合法性核实请求中携带的用户身份信息,确定所述用户身份信息对应的用户身份是否合法,具体包括:
当用于对用户进行网络准入认证的用户认证信息与对所述用户进行身份认证的用户身份信息为相同的信息时,从已通过准入认证的用户对应的用户认证信息中,确定是否存在所述用户身份合法性核实请求中携带的用户身份信息;若存在,则确定所述用户身份信息对应的用户身份合法;
当用于对用户进行网络准入认证的用户认证信息与对所述用户进行身份认证的用户身份信息为不同的信息时,根据预先建立的各用户的用户认证信息与用户身份信息之间的对应关系,从已通过准入认证的用户对应的用户认证信息对应的用户身份信息中,确定是否存在所述用户身份合法性核实请求中携带的用户身份信息;若存在,则确定所述用户身份信息对应的用户身份合法;
在Radius认证服务器对用户进行网络准入认证,且准入认证结果为成功之后,还包括:
记录通过网络准入认证的用户对应的用户认证信息。
2.如权利要求1所述的方法,其特征在于,当Radius认证服务器对用户进行网络准入认证的认证结果为成功时,Radius认证服务器向所述应用客户端返回网络准入认证结果中还携带有所述应用服务器的地址信息,所述应用服务器的地址信息用于所述应用客户端根据所述地址信息向所述应用服务器发送身份认证请求。
3.一种Radius认证服务器,其特征在于,包括:
接收模块,用于接收应用客户端发送的网络准入认证请求;以及接收应用服务器发送的用户身份合法性核实请求;
认证模块,用于当所述接收模块接收到应用客户端发送的网络准入认证请求时,根据所述网络准入认证请求中携带的用户认证信息,对所述用户认证信息对应的用户进行网络准入认证;
核实模块,用于当所述接收模块接收到应用服务器发送的用户身份合法性核实请求时,根据所述用户身份合法性核实请求中携带的用户身份信息,确定所述用户身份信息对应的用户身份是否合法;
发送模块,用于在所述认证模块对用户进行网络准入认证之后,向所述应用客户端返回网络准入认证结果;以及在所述核实模块对用户进行用户身份合法性核实之后,向所述应用服务器返回所述用户身份合法性的核实结果;
记录模块;
所述核实模块具体用于当用于对用户进行网络准入认证的用户认证信息与对所述用户进行身份认证的用户身份信息为相同的信息时,从已通过准入认证的用户对应的用户认证信息中,确定是否存在所述用户身份合法性核实请求中携带的用户身份信息;若存在,则确定所述用户身份信息对应的用户身份合法;
当用于对用户进行网络准入认证的用户认证信息与对所述用户进行身份认证的用户身份信息为不同的信息时,根据预先建立的各用户的用户认证信息与用户身份信息之间的对应关系,从已通过准入认证的用户对应的用户认证信息对应的用户身份信息中,确定是否存在所述用户身份合法性核实请求中携带的用户身份信息;若存在,则确定所述用户身份信息对应的用户身份合法;
所述记录模块,用于在Radius认证服务器对用户进行网络准入认证,且准入认证结果为成功之后,记录通过网络准入认证的用户对应的用户认证信息。
4.如权利要求3所述的Radius认证服务器,其特征在于,当所述认证模块对用户进行网络准入认证的认证结果为成功时,所述发送模块向所述应用客户端返回网络准入认证结果中还携带有所述应用服务器的地址信息,所述应用服务器的地址信息用于所述应用客户端根据所述地址信息向所述应用服务器发送身份认证请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310688020.8A CN103634119B (zh) | 2013-12-13 | 2013-12-13 | 认证方法、应用客户端、应用服务器及认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310688020.8A CN103634119B (zh) | 2013-12-13 | 2013-12-13 | 认证方法、应用客户端、应用服务器及认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103634119A CN103634119A (zh) | 2014-03-12 |
| CN103634119B true CN103634119B (zh) | 2017-02-15 |
Family
ID=50214778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310688020.8A Active CN103634119B (zh) | 2013-12-13 | 2013-12-13 | 认证方法、应用客户端、应用服务器及认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103634119B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104936177B (zh) * | 2014-03-20 | 2019-02-26 | 中国移动通信集团广东有限公司 | 一种接入认证方法及接入认证系统 |
| CN104394151A (zh) * | 2014-11-26 | 2015-03-04 | 北京星网锐捷网络技术有限公司 | 一种校园网接入运营商网络的方法、设备及系统 |
| CN105743859B (zh) * | 2014-12-10 | 2019-03-01 | 深圳云之家网络有限公司 | 一种轻应用认证的方法、装置及系统 |
| CN104639559B (zh) * | 2015-02-27 | 2018-04-03 | 飞天诚信科技股份有限公司 | 一种支持多种认证协议的认证方法、认证服务器及系统 |
| US10108965B2 (en) | 2015-07-14 | 2018-10-23 | Ujet, Inc. | Customer communication system including service pipeline |
| CN105592043B (zh) * | 2015-08-14 | 2018-08-24 | 新华三技术有限公司 | 一种行为管理的方法和装置 |
| US20180374097A1 (en) * | 2015-11-09 | 2018-12-27 | Roger Hanna | A distributed user profile identity verification system for e-commerce transaction security |
| CN106529189B (zh) * | 2016-11-24 | 2018-12-11 | 腾讯科技(深圳)有限公司 | 一种用户分类方法、应用服务器及应用客户端 |
| CN108809969B (zh) * | 2018-05-30 | 2020-11-06 | 新华三技术有限公司 | 一种认证方法、系统及其装置 |
| DE102018219570A1 (de) * | 2018-11-15 | 2020-05-20 | Audi Ag | Authentifizieren eines Nutzers einer Softwareapplikation |
| CN111510915B (zh) * | 2020-03-23 | 2023-12-05 | 三六零数字安全科技集团有限公司 | 一种无线准入环境下通用的扩展认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
| JP2005115743A (ja) * | 2003-10-09 | 2005-04-28 | Ids:Kk | 携帯電話と暗号を利用した情報通信端末の自動認証システム |
| CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
-
2013
- 2013-12-13 CN CN201310688020.8A patent/CN103634119B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
| JP2005115743A (ja) * | 2003-10-09 | 2005-04-28 | Ids:Kk | 携帯電話と暗号を利用した情報通信端末の自動認証システム |
| CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103634119A (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103634119B (zh) | 认证方法、应用客户端、应用服务器及认证服务器 | |
| US9882723B2 (en) | Method and system for authentication | |
| CN1852094B (zh) | 网络业务应用账户的保护方法和系统 | |
| CN107113319A (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| CN102804679A (zh) | 使用客户机信任级别对安全的应用特征的访问控制 | |
| CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
| US10097555B2 (en) | Device-to-device network membership confirmation | |
| CN102957584A (zh) | 家庭网络设备的管理方法、控制设备和家庭网络设备 | |
| CN104753872B (zh) | 认证方法、认证平台、业务平台、网元及系统 | |
| TW201401897A (zh) | 無線網路用戶端認證系統及其無線網路連線方法 | |
| CN102893575A (zh) | 借助于ipsec和ike第1版认证的一次性密码 | |
| CN103905408A (zh) | 一种信息的获取方法和设备 | |
| US11870760B2 (en) | Secure virtual personalized network | |
| CN102761940B (zh) | 一种802.1x认证方法和设备 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| US8676998B2 (en) | Reverse network authentication for nonstandard threat profiles | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN101938428B (zh) | 一种报文的传输方法和设备 | |
| CN110233825A (zh) | 设备初始方法、物联网设备、系统、平台设备及智能设备 | |
| MXPA04001921A (es) | Metodo y sistema para la distribucion retrasada de recursos. | |
| CN114928459A (zh) | 用于私有通讯架构的连接方法与电脑可读取媒体 | |
| CN103297239B (zh) | 一种客户端合法性检测方法及装置 | |
| EP3107322B1 (en) | Network security appliance to imitate a wireless access point of a local area network through coordination of multiple radios | |
| CN102244663B (zh) | 基于构造tcp数据包技术的用户身份识别方法和系统 | |
| CN110380947A (zh) | 一种基于p2p技术的二级网络架构vpn组网方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhou Yonglin Inventor after: Yang Cheng Inventor before: Zhou Yonglin |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: ZHOU YONGLIN TO: ZHOU YONGLIN YANG CHENG |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |