CN105871851B

CN105871851B - 基于SaaS身份认证方法

Info

Publication number: CN105871851B
Application number: CN201610207313.3A
Authority: CN
Inventors: 徐佳; 吴双力; 沈烁; 张正顺
Original assignee: Guangzhou Computer Network Information Center Chinese Academy Of Sciences; Computer Network Information Center of CAS
Current assignee: Guangzhou Computer Network Information Center Chinese Academy Of Sciences; Computer Network Information Center of CAS
Priority date: 2016-03-31
Filing date: 2016-03-31
Publication date: 2018-11-30
Anticipated expiration: 2036-03-31
Also published as: CN105871851A

Abstract

本发明涉及一种基于SaaS身份认证方法，包括如下步骤：对采用标准的Portal协议获取的各个用户访问门户网站时发送的身份认证请求进行解析，得到所述用户的网络参数；根据所述用户的网络参数，获取所述用户终端设备绑定的账户信息；将所述账户信息发送至计费系统，并从计费系统获取所述用户的权限信息；若所述权限信息为有权状态，则判定所述用户的身份认证成功，并返回认证成功的通知信息给用户。通过上述技术方案，本发明实现对来自不同网络认证设备的多个身份认证请求的统一性认证，解决了不同的身份认证系统对不同的网络认证设备不兼容的技术问题，提高了身份认证的效率，降低了身份认证的成本。

Description

基于SaaS身份认证方法

技术领域

本发明涉及网络安全领域，特别是涉及一种基于SaaS身份认证方法。

背景技术

随着移动互联网的爆发式增长，人们越来越离不开手机、Pad等移动终端设备。用户对网络的黏着也愈来愈高，使用时间也越来越长，人们对于无线网络的需求也越来越高。无线网络是采用无线通信技术实现的网络，与有线技术最大的不同是采用无线电技术来代替网线，主流的无线网络分为通过公众移动通信网实现的无线网络(如4G、3G)和无线局域网(WiFi)两种方式。无线网络在一定程度上扔掉了有线网络必须依赖的网线，这样一来，用户可以带着移动终端设备在信号可达范围内随意移动。越来越多的企业、商场、家庭部署无线网络热点，为终端设备接入网络提供信号，其中，大多数的无线网络使用密码认证(wpa2/wpa2-psk)的方式验证终端身份。但是，终端用户的密码很容易外泄，从而导致内部网络被入侵，进而发生信息泄露等灾难性后果。

身份认证系统(AAA)成为用户和企业新的选择，传统的身份认证系统(AAA)，一般由设备厂家自己开发，只支持自家生产的设备型号，对其他厂商设备支持一般做的不好，甚至不支持。对于企业、商家用户来说，选择了硬件设备，也就只能选择厂家提供的认证系统，降低了用户选择设备的自由度；而且，身份认证系统后期的维护管理费用，也是一笔不小的开支，对于一般的中小企业或者家庭用户来说，是没办法承担的。另外，传统的认证系统受其硬件性能和服务架构因素的影响，其并发处理能力有限，无法满足海量认证请求的压力。

综上所述，现有的身份认证系统硬件设备限制多、各个网络认证设备不兼容且成本较高。

发明内容

基于此，有必要针对现有的身份认证系统硬件设备限制多、各个网络认证设备不兼容且成本较高的技术问题，提供一种基于SaaS身份认证方法。

一种基于SaaS身份认证方法，包括如下步骤：

对采用标准的Portal协议获取的各个用户访问门户网站时发送的身份认证请求进行解析，得到所述用户的网络参数；其中，所述网络参数包括用户接入网络控制器的IP地址和用户终端设备接入点的MAC地址；

根据所述用户的网络参数，获取所述用户终端设备绑定的账户信息；

将所述账户信息发送至计费系统，并从计费系统获取所述用户的权限信息；

若所述权限信息为有权状态，则判定所述用户的身份认证成功，并返回认证成功的通知信息给用户。

上述基于SaaS身份认证方法，通过采用Portal协议来获取各个用户访问网站时发送的身份认证请求并进行解析，实现对来自不同网络认证设备的身份认证请求的统一性认证，解决了不同的身份认证系统对不同的网络认证设备不兼容的技术问题，降低了身份认证的成本；通过同时获取各个用户访问网站时发送的身份认证请求并进行解析，实现对多个身份认证请求的同时认证，降低了身份认证的成本，提高了身份认证的效率；根据获取的用户的权限信息，来判定用户认证成功与否，解决了采用密码验证方法的安全问题。

附图说明

图1为本发明的一个实施例的基于SaaS身份认证方法流程图；

图2为本发明的另一个实施例的基于SaaS身份认证方法流程图；

图3为本发明的另一个实施例的基于SaaS身份认证方法流程图；

图4为利用本发明的一个实施例的基于SaaS身份认证方法对海量身份认证请求进行认证的身份认证系统的结构示意图。

具体实施方式

为了更进一步阐述本发明所采取的技术手段及取得的效果，下面结合附图及较佳实施例，对本发明的技术方案，进行清楚和完整的描述。

如图1所示，图1为本发明的一个实施例的基于SaaS身份认证方法流程图，包括如下步骤：

步骤S101：对采用标准的Portal协议获取的各个用户访问门户网站时发送的身份认证请求进行解析，得到所述用户的网络参数；其中，所述网络参数包括用户接入网络控制器的IP地址和用户终端设备接入点的MAC地址；

在本步骤中，通过采用Portal协议获取来获取各个用户访问门户网站时发送的身份认证请求并进行解析，实现了对来自不同网络认证设备的身份认证请求的统一性认证，解决了不同的身份认证系统对不同的网络认证设备不兼容的技术问题，降低了身份认证系统的成本；通过同时获取各个用户访问门户网站时发送的身份认证请求并进行解析，实现对多个身份认证请求的同时认证，提高了身份认证的效率。

步骤S102：根据所述用户的网络参数，获取所述用户终端设备绑定的账户信息；

在本步骤中，根据步骤S101解析得到的用户接入网络控制器的IP地址和用户终端设备接入点的MAC地址，获取所述用户使用的终端设备绑定的账户信息。在采用Portal认证协议时，对用户的身份认证请求解析得到的网络参数对该用户具有唯一性标识的作用，因此，可以根据得到的网络参数，具体到某个特定用户。

步骤S103：将所述账户信息发送至计费系统，并从计费系统获取所述用户的权限信息；

在本步骤中，通过将得到的账户信息发送至计费系统，并根据计费系统里存储的账户信息获取所述用户的权限信息，作为后续步骤的判定认证成功与否的依据。

在具体实施时，也可以从与账户信息关联的其他管理系统中获取相应的权限信息，例如，这里所述的其他管理系统可以是某个企业内部的管理系统，当获取该用户的账户信息后，再从该企业内部的管理系统中获取该用户的权限信息，从而判定该用户的身份认证请求是否成功。

步骤S104：若所述权限信息为有权状态，则判定所述用户的身份认证成功，并返回认证成功的通知信息给用户。

在本步骤中，若获取的该用户的权限信息为有权状态，则可以判定该用户的身份认证成功，也就是说，该用户可以继续访问所述门户网站，并获取相应的资源。

上述基于SaaS身份认证方法，通过采用标准的Portal协议来获取各个用户访问门户网站时发送的身份认证请求并进行解析，实现对来自不同网络认证设备的身份认证请求的统一性认证，解决了不同的身份认证系统对不同的网络认证设备不兼容的问题，降低了身份认证系统的成本；通过同时获取各个用户访问门户网站时发送的身份认证请求并进行解析，实现对多个身份认证请求的同时认证，提高了身份认证的效率；根据获取的用户的权限信息，来判定用户认证成功与否，解决了采用密码验证方法的安全问题。

如图2所示，图2为本发明的另一个实施例的基于SaaS身份认证方法流程图，在所述对采用标准的Portal协议获取的各个用户访问门户网站时发送的身份认证请求进行解析的步骤S101之前，还可以包括：

步骤S105：根据SaaS各个服务器的负载状况，将用户访问门户网站时发送的身份认证请求分发至负载较低的服务器进行解析。

在上述实施例中，为了应对海量的身份认证请求，可以采用云服务器对海量的身份认证请求进行处理，具体地，可以采用负载均衡器根据SaaS各个服务器的负载状况，将用户访问门户网站时发送的身份认证请求分发至负载较低的服务器进行解析。通过上述技术方案，提高了认证服务单进程的负载能力，提高了CPU的使用率和带宽使用率；提高了资源使用率，间接地降低了认证服务的成本。

在其中一个实施例中，本发明的基于SaaS身份认证方法，还可以包括：

采用基于网络传输协议的扩展认证接口获取不支持Portal协议的网络认证设备的身份认证请求。

在本实施例中，对于那些不支持Portal协议的网络认证设备和其他认证服务，本发明的基于SaaS身份认证方法可以提供一个基于网络传输协议的扩展认证接口获取不支持Portal协议的网络认证设备的身份认证请求，并进行身份认证。通过上述技术方案，本发明的基于SaaS身份认证方法，具备了对所有的网络认证设备进行身份认证的能力，实现了对网络认证设备的统一性认证，有效地提高了身份认证的效率和能力，降低了身份认证的成本，便于对网络认证设备的统一管理。

在其中一个实施例中，本发明的基于SaaS身份认证方法，所述计费系统获取所述用户的权限信息的步骤包括：

若所述用户采用的计费模式为免费模式，则所述计费系统获取所述用户的权限信息为有权状态；

若所述用户采用的计费模式为收费模式且账户余额不为零，则所述计费系统获取所述用户的权限信息为有权状态；

若所述用户采用的计费模式为收费模式且账户余额为零，则所述计费系统获取所述用户的权限信息为无权状态。

在本实施例中，只是提供了一种计费系统获取权限信息的界定方法，在具体实施时，可以根据具体情况做相应的改动。

在其中一个实施例中，本发明的基于SaaS身份认证方法，所述将用户访问门户网站时发送的身份认证请求分发至负载较低的服务器进行解析的步骤包括：

采用轮询、基于用户访问IP哈希以及指定权重的方式将用户访问网站时发送的身份认证请求分发至负载较低的服务器进行解析。在实际应用中，可以采用负载均衡器的算法来决定由哪个认证服务来处理用户的身份认证请求。

在其中一个实施例中，本发明的基于SaaS身份认证方法，还可以包括：采用异步非阻塞的网络IO模型和epoll轮询的方式对所述身份认证请求进行处理；以及采用协同程序的方式处理在处理不同的身份认证请求时不同任务之间的切换。

本实施例中，通过采用异步非阻塞的网络IO框架，来处理网络数据的读写；通过使用非阻塞的网络IO，单个进程的认证服务可以同时处理数以千计的认证连接，提高了单点服务的处理能力。

在具体实施时，本发明的基于SaaS身份认证方法可以使用epoll轮询替代传统的select来处理socekt文件句柄，显著提高程序在大并发情况下，服务进程阻塞在网络IO的等待时间，提高CPU使用率。传统的select，其最大的性能缺陷是：一个进程最大只能打开1024个文件描述符，而epoll支持一个进程打开更大数目的socket描述。epoll所能打开的文件描述符，和设备的物理内存相关，一般1G的内存，其支持的数目大概是10万左右。此外epoll的处理性能，不随文件描述符的增加而下降。理论上只要系统资源足够，单个进程服务可以支撑非常高规模的并发请求。

在上述实施例中，本发明的基于SaaS身份认证方法还可以使用协同程序(coroutine)技术处理服务内部的网络IO阻塞，例如数据库操作、内部HTTP请求，Portal认证请求等网络IO操作，把网络IO的读写阻塞时间都交由内核处理，利用epoll轮询处理准备好的网络请求，认证服务用户态只关注具体的认证逻辑处理，提高了对身份认证请求的处理效率。

如图3所示，图3为本发明的另一个实施例的基于SaaS身份认证方法流程图，在所述计费系统获取所述用户的权限信息为无权状态的步骤之后，还可以包括：

步骤S106：判定所述用户的身份认证失败，并返回认证失败的错误信息给用户。

在本实施例中，在判定所述用户的身份认证失败之后，并将例如余额不足之类的错误信息发送给用户，告知用户认证失败的原因。

在其中一个实施例中，本发明的基于SaaS身份认证方法，在所述计费系统获取所述用户的权限信息为无权状态的步骤之后，还可以包括：

加载与所述用户终端设备接入点的MAC地址相匹配的门户页面模板，生成相应的页面文件，并显示给用户。

在其中一个实施例中，本发明的基于SaaS身份认证方法，在所述加载与所述用户终端设备接入点的MAC地址相匹配的门户页面模板的步骤之前，还可以包括：

根据所述用户终端设备接入点的MAC地址，生成相应的配置信息；以及将所述配置信息添加至门户页面，生成与所述用户终端设备接入点的MAC地址相匹配的门户页面模板。

在上述实施例中，当计费系统获取所述用户的权限信息为无权状态时，可以加载与所述用户终端设备接入点的MAC地址相匹配的门户页面模板，生成相应的页面文件，并显示给用户；这里所述的门户页面模板可以是与用户所在的地理位置相关的推荐信息，例如，若用户携带的终端设备处于电影院中，那么该门户页面模板就会以与电影院相关的内容作为主题，向用户推荐与此相关的信息，以便用户选择。通过上述技术方案，实现了对用户的个性化推荐。

存储身份认证成功的用户的终端设备信息，当身份认证成功的用户再次认证时，直接给予认证授权，并直接返回超文本传送协议的跳转指令，控制浏览器返回用户终端设备认证前访问的统一资源定位符地址。

在本实施例中，通过将身份认证成功的用户的终端设备信息进行存储，当再次收到该用户的认证请求时，根据所述终端设备信息自动查找用户账号，直接给予认证通过，并返回超文本传送协议的跳转指令，控制浏览器返回用户终端设备认证前访问的统一资源定位符地址，实现用户无感知上网认证。

上述基于SaaS身份认证方法，通过采用标准的Portal协议来获取各个用户访问门户网站时发送的身份认证请求并进行解析，实现对来自不同网络认证设备的身份认证请求的统一性认证，解决了不同的身份认证系统对不同的网络认证设备不兼容的技术问题，降低了身份认证的成本；通过同时获取各个用户访问门户网站时发送的身份认证请求并进行解析，实现对多个身份认证请求的同时认证，降低了身份认证的成本，提高了身份认证的效率；根据获取的用户的权限信息，来判定用户认证成功与否，解决了采用密码验证方法的安全问题。

在具体实施本发明的基于SaaS身份认证方法时，为了应对海量的用户身份认证请求，可以使用云计算、云服务器等技术来对用户进行身份认证。云计算(Cloud Computing)是虚拟化(Virtualization)、效用计算(Utility Computing)、IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)等概念混合并跃升的结果。它提供一个全新的互联网商业服务模型，即用户可以按需、易扩展的方式租用所需要的基础设施(计算资源、存储资源、带宽资源)。将云计算与业务开放平台相结合，不但可以为业务平台提供给为可用更加扩展弹性的基础平台，还能利用分散在各地各处的硬件资源，提高资源利用率，降低成本。

如图4所示，图4为利用本发明的一个实施例的基于SaaS身份认证方法对海量身份认证请求进行认证的身份认证系统的结构示意图，包括有若干个SaaS认证服务组成的云服务器100，用于处理海量用户身份认证请求；以及提供支持各个服务运行的资源环境，提供可扩展的计算资源，带宽资源以及存储资源；此外，云服务器100还有提供系统的安全备份、监控以及灾备管理；SaaS认证服务负责处理具体的认证逻辑；负载均衡器200，用于根据SaaS服务器的负载状况根据SaaS各个服务器的负载状况，将用户访问门户网站时发送的海量身份认证请求分发至负载较低的服务器进行处理，即，根据分发逻辑，处理接入请求，分发给合适的SaaS认证服务进行处理；数据库存储服务300，用于保存用户的网络参数和账户信息、身份认证成功的用户的终端设备信息以及与用户或者设备相关的其他信息；Radius计费服务400，用于获取用户的计费模式以及用户在收费模式下的账户余额等相关信息。

当用户接入时，查找接入点的配置信息，推送配置的Portal页面给用户，用户输入上网账号或者点击一键上网按钮，自动生成上网账号，发起上网认证流程。对于有些配置收费的网络，认证服务还可搭配Radius计费服务一起使用，计费服务提供了多种计费手段(前向后向、包月、时长等)。终端网络配置数据与用户账号数据都存储在数据库服务中，提供数据持久化、与一致性服务，供认证服务与计费服务使用。企业、商家或家庭用户使用认证服务，其具体的操作步骤如下：

步骤1：选择支持的网络设备；

步骤2：租用SaaS云认证服务，获取管理账号；

步骤3：添加AP，并配置上网策略配置子网AP策略(portal认证页面和收费策略)或认证服务地址；

步骤4：子网组网部署；

步骤5：使用管理账号管理子网的上网账号(创建、编辑、删除、冻结、解冻)；

步骤6：上网终端网络认证确认。

通过以上步骤1至6，用户网络实际上已经加入上述身份认证系统，用户可以使用管理账号对自身的子网、上网账号进行管理。

云计算(Cloud Computing)是虚拟化(Virtualization)、效用计算(UtilityComputing)、IaaS(基础设施即服务)、PaaS(平台及服务)、SaaS(软件即服务)等概念混合并跃升的结果。它提供一个全新的互联网商业服务模型，即用户可以按需、易扩展的方式租用所需要的基础设施(计算资源、存储资源、带宽资源)。将云计算与业务开放平台相结合，不但可以为业务平台提供给为可用更加扩展弹性的基础平台，还能利用分散在各地各处的硬件资源，提高资源利用率，降低成本。

在实际应用时，云服务器的认证服务还可以采用SaaS的软件应用模式，部署于公有云，用户可以根据实际需求，自由扩充规模，提高负载能力。认证服务采用负载均衡集群的方式部署于身份认证系统上。业务服务集群中的各个服务进程各自独立互不相干，任何一个认证服务停机，都不会影响其他服务的正常运行；当用户发送一个认证请求，由负载均衡器的算法决定由哪个认证服务来处理。身份认证系统还可以提供一些自定义配置项，用户可以配置自己的网络是否公开、Portal认证页面与收费策略。

上面所述的身份认证系统支持标准的Portal协议(v1.0&v2.0)，也就支持市场上大部分厂商的网络认证设备；对于不支持Portal协议的设备和其他认证服务，可以通过平台提供的基于HTTP协议的认证接口来支持认证。身份认证系统还可以记录用户接入的终端设备信息；对于成功接入过的终端设备，当该终端设备下次接入网络时，根据设备信息自动查找对应上网账号，实现用户无感知上网认证。

上述身份认证系统通过使用云计算技术，提高了系统的可靠性，高扩展性，能够满足海量用户的访问请求。通过使用云计算技术，认证平台可以以较低的成本对外提供服务。上述身份认证系统对外提供开放、标准、安全的身份认证服务。平台接口完全开放，企业、个人只需采购网络设备，部署网络，简单配置认证服务域即可使用认证平台提供的认证服务。节省了企业搭建或采购认证系统的费用，降低了企业后期维护系统的成本，同时也为企业提供了安全可靠的网络环境。

上述身份认证系统配置灵活，可对单个AP配置管理策略(收费、Portal页面)，用户可以根据需求自行配置Portal推送页面的内容，系统对于商家用户来说，有着本地化商业推广的价值；还可以统一管理上网用户，认证用户可以在接入认证系统的网域内漫游(子网可配置公开或私有)，自动认证上网。

上述身份认证系统还可以搭配终端网络行为管理网关，对用户上网行为进行审计。终端网关记录用户上网日志，并上传日志到服务器供其他系统使用分析用户的上网偏好，既有一定的社会公共安全价值，同时也为用户行为分析提供了原始数据，为大数据分析和挖掘提供了很高的参考价值。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.一种基于SaaS身份认证方法，其特征在于，包括如下步骤：

对采用标准的Portal协议获取的各个用户访问网站时发送的身份认证请求进行解析，得到所述用户的网络参数；其中，所述网络参数包括用户接入网络控制器的IP地址和用户终端设备接入点的MAC地址；

2.根据权利要求1所述的基于SaaS身份认证方法，其特征在于，在所述对采用标准的Portal协议获取的各个用户访问门户网站时发送的身份认证请求进行解析的步骤之前，还包括：

根据SaaS各个服务器的负载状况，将用户访问网站时发送的身份认证请求分发至负载较低的服务器进行解析。

3.根据权利要求1所述的基于SaaS身份认证方法，其特征在于，还包括：

4.根据权利要求1所述的基于SaaS身份认证方法，其特征在于，所述计费系统获取所述用户的权限信息的步骤包括：

5.根据权利要求2所述的基于SaaS身份认证方法，其特征在于，所述将用户访问网站时发送的身份认证请求分发至负载较低的服务器进行解析的步骤包括：

采用轮询、基于用户访问IP哈希以及指定权重的方式将用户访问网站时发送的身份认证请求分发至负载较低的服务器进行解析。

6.根据权利要求5所述的基于SaaS身份认证方法，其特征在于，还包括：

采用异步非阻塞的网络IO模型和epoll轮询的方式对所述身份认证请求进行处理；以及

采用协同程序的方式处理在处理身份认证请求时不同任务之间的切换。

7.根据权利要求4所述的基于SaaS身份认证方法，其特征在于，在所述计费系统获取所述用户的权限信息为无权状态的步骤之后，还包括：

判定所述用户的身份认证失败，并返回认证失败的错误信息给用户。

8.根据权利要求4所述的基于SaaS身份认证方法，其特征在于，在所述计费系统获取所述用户的权限信息为无权状态的步骤之后，还包括：

9.根据权利要求8所述的基于SaaS身份认证方法，其特征在于，在所述加载与所述用户终端设备接入点的MAC地址相匹配的门户页面模板的步骤之前，还包括：

10.根据权利要求1所述的基于SaaS身份认证方法，其特征在于，还包括：

存储身份认证成功的用户的终端设备信息，当身份认证成功的用户再次认证时，直接给予认证授权，并返回超文本传送协议的跳转指令，控制浏览器返回用户终端设备认证前访问的统一资源定位符地址。