CN1265579C - 一种对网络接入用户进行认证的方法 - Google Patents
一种对网络接入用户进行认证的方法 Download PDFInfo
- Publication number
- CN1265579C CN1265579C CN 02131781 CN02131781A CN1265579C CN 1265579 C CN1265579 C CN 1265579C CN 02131781 CN02131781 CN 02131781 CN 02131781 A CN02131781 A CN 02131781A CN 1265579 C CN1265579 C CN 1265579C
- Authority
- CN
- China
- Prior art keywords
- user
- name
- authentication
- network
- authentication mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对网络接入用户进行认证的方法,该方法首先设置包括用户名、域名和认证方式名的用户网络接入名,这样,在用户进行网络接入时,网络接入服务器利用用户提供的网络接入名识别出该用户采用的认证方式,再利用识别出的认证方式确定为该用户服务的网络认证服务器,由该网络认证服务器对用户进行认证;上述方法能够简单有效地动态识别多种用户采用的认证方式,没有多余的协商过程,实现简单,并使网络资源和计算资源的消耗以及用户认证时间大大减少。
Description
技术领域
本发明涉及对网络接人用户进行认证的方法。
背景技术
在计算机网络中通常并存着多种不同的用户认证方式,网络的认证服务器为对采用不同认证方式的用户进行认证,就需要对用户采用的认证方式进行识别。以以太网为例,在以太网中,目前大多采用电气与电子工程师协会推荐的IEEE 802.1x协议对用户进行认证操作。IEEE 802.1x协议为基于端口的访问控制协议(Port based network access controlprotocol),它使用可扩展认证协议(EAP,Extensible AuthenticationProtocol)的认证方式,常用的EAP认证方式有MD5(一种加密方法)、TLS(传输层安全)、OTP(一次性密码)、SIM(用户识别模块)等,只要用户提供用户名、用户密码等认证信息,通过802.1x协议中包含的某种EAP认证方式,就可以到网络的宽带接入服务器(BAS)上进行用户身份合法性的认证。宽带接入服务器(BAS)收到用户的认证信息后,通过类似远程用户拨号认证协议(RADIUS协议)的协议到对应的认证服务器上进行认证。
随着基于以太网技术的802.1x协议的应用,上述802.1x协议中包含的多种EAP认证方式都得到了广泛的应用。从一个用户来看,可能任意选择EAP认证方式中的一种进行认证;从一群用户来看,就是多种EAP认证方式并存。目前,在请求注释协议(RFC协议)标准中,使用互相协商机制来进行协商,从而识别某种EAP的认证方式。例如,假设客户端只支持EAP的MD5认证方式,即EAP-MD5,而认证服务器同时支持EAP-SIM和EAP-MD5认证方式,并且EAP-SIM认证方式优先。这样,对于认证服务器来说,就要在EAP-MD5认证方式和EAP-SIM认证方式并存的条件下,通过协商来识别具体的EAP认证方式。
但是采用协商机制来动态识别某种EAP认证方式,在认证方式确认前可能需要大量的协商报文,比如客户端可能支持EAP-MD5、EAP-SIM、EAP-TLS、EAP-OTP等多种方式,而认证服务器支持EAP-TTLS、EAP-MD5两种方式,那么,客户端和认证服务器可能需要多次发起认证方式的协商,遍历所有的EAP认证方式,最后得到协商的结果认证方式,用该方式对用户进行认证。上述对用户的认证方法必然消耗大量的网络资源和计算资源,耗费的用户认证时间也相当可观,同时实现较为复杂。
由于在实际的组网环境中,往往有多个认证服务器,由于每个认证服务器认证的用户不同,一般只支持有限的几种认证方式。在认证协商过程中,接入服务器在某一次认证协商时,根据用户名中的域名部分找到对应的互联网服务提供商(ISP)提供的多台认证服务器,从中只能选择一个认证服务器。如果选择了错误的认证服务器,那么这个服务器支持的所有的认证方式都不能满足客户端认证方式的需求,那么就只能通知用户认证失败。而真正支持此认证方式的服务器并没有发挥作用。
当用户数量增大到一定程度,就需要多台认证服务器进行集群,在多种EAP认证方式并存的情况下,不能按照业务将用户指定到相应的某个认证子集群进行认证,而是整个集群都要对各个业务进行认证。如果需要对使用某种认证方式的用户进行业务统计时,必须对整个集群认证服务器进行统计,而不能按照真正提供给用户认证服务的认证服务器子集群来统计。
由于EAP提供了一个认证框架,在EAP基础上可以不断地推出新的认证方式。当新增的一种EAP认证方式进入运营后,必须对网上正在运行的认证服务器进行不间断升级,这个难度非常大;如果中断原有认证服务再升级,又会影响在线业务,造成不必要的损失和客户的投诉。
由上述可知,现有的通过协商对用户采用的认证方式进行识别,并用识别出的认证方式对用户进行认证的方法复杂、效率低,并且耗费大量的网络资源。
发明内容
本发明的目的在于提供一种能够简单有效地动态识别用户认证方式的网络接入用户的认证方法,使用该方法能够提高网络资源的使用效率。
为达到上述目的,本发明提供的对网络接入用户进行认证的方法,包括下述步骤:
步骤1:设置包括用户名、域名和认证方式名的用户网络接入名;
步骤2:在用户进行网络接入时,网络接入服务器利用用户提供的网络接入名识别出该用户采用的认证方式;
步骤3:利用步骤2识别出的认证方式确定为该用户服务的网络认证服务器,由该网络认证服务器对用户进行认证。
所述步骤2进一步包括:
步骤21:用户向网络接入服务器发送网络接入请求的报文;
步骤22:网络接入服务器向用户发送请求用户提供网络接入名的报文;
步骤23:用户向网络接入服务器反馈包括网络接入名的响应报文;
步骤24:网络接入服务器从响应报文的网络接入名中提取出用户名、认证方式名和域名,根据该认证方式名确定用户采用的认证方式。
所述步骤3进一步包括:
步骤31:网络接入服务器根据域名获得对应的互联网服务提供商(ISP)的相关认证服务器列表;
步骤32:根据认证方式名决定使用支持这种认证方式的认证服务器或者认证服务器子集群;
步骤33:用确定的认证方式对应的流程,完成用户认证。
由于本发明通过预先设置的包括用户名、域名和认证方式名的用户网络接入名进行网络接入,这可以使网络接入服务器直接利用用户提供的网络接入名识别出该用户采用的认证方式,进而用识别出的认证方式确定为该用户服务的网络认证服务器对用户进行认证;因此,本发明能够简单有效地动态识别多种用户采用的认证方式,没有多余的协商过程,实现简单,并使网络资源和计算资源的消耗以及用户认证时间大大减少;同时,本发明方便按照用户的业务选择对应的认证服务器,可以按照业务划分认证服务器或认证服务器子集群,这样,当新增一种认证方式时,只需要增加新的认证服务器,在设备上进行简单的配合,就可以开展新的认证服务,对原有的认证服务没有任何影响,从而保证运营的不间断性。
附图说明
图1是本发明所述方法的实施例流程图。
具体实施方式
下面以对EAP的多种认证方式识别为例结合附图对本发明作进一步详细的描述。
图1是本发明所述方法的实施例流程图。图1所述的实施例流程采用802.1x协议。按照图1实施本发明,首先要设置包括用户名、域名和认证方式名的用户网络接入名,该网络接入名还可以根据使用需求附加其它的信息,例如计费方式,但本例中仅包括用户名、域名和认证方式。本例中的用户网络接入名的具体格式为:用户名@认证方式名。域名,当然也可以为其它的格式,如:用户名。认证方式名@域名,或,用户名@域名。认证方式名。这样就可以通过用户网络接入名简单有效地识别多种EAP认证方式,例如用户zhangsan在中国电信163网上有一个用户名zhangsan,使用EAP-MD5认证方式,此时用户客户端提供的用户网络接入名是“zhangsan@md5.163.com”(上例的用户网络接入名可以是运营商直接发布给用户的“zhangsan@md5.163.com”,也可以是客户端在“zhangsan@163.com”基础上按照用户认证方式自动生成“zhangsan@md5.163.com”)。
基于上述设置,在用户和接入服务器之间建立好物理连接后,用户客户端在网络接入时,在步骤1向接入服务器发送一个认证开始报文(EAPoL-Start报文),如果用户是动态分配地址的,则发送动态主机配置协议(DHCP)报文,以启动依据802.1x协议进行网络接入的开始。此时,接入服务器在步骤2向客户端发送EAP请求或识别报文(EAP-Request/Identity报文),要求用户客户端将用户的网络接入名送上来,接着用户客户端在步骤3向网络接入服务器回应一个EAP响应或识别报文(EAP-Response/Identity),该报文中包括满足预先设置的用户网络接入名格式的该用户的网络接入名。需要说明的是,这个用户名指的是最终用户的名字,如果是预付费发行的卡,该用户名就是上述卡的卡号;而域名是指提供这个网络服务器的运营商相关的名称,可以直接是运营商名称,也可以是运营商提供的网络相关的名称。比如“zhangsan@163.com”,是用户名为zhangsan的用户在中国电信163网上的用户网络接入名;“A8010@card.cnc.com”,是中国网通发布的预付费卡上的用户网络接入名。当网络接入服务器在步骤4收到用户客户端回应的EAP-Response/Identity报文,从中提取出用户名、认证方式名、域名,根据该认证方式名确定用户采用的认证方式,然后网络接入服务器在步骤5根据域名获得对应的ISP相关的认证服务器列表,根据认证方式名决定使用支持这种认证方式的认证服务器或者认证服务器子集群,最后在步骤6使用确定的认证方式对应的流程完成用户认证。
最后还需说明,当认证服务器或认证服务器子集群支持多种认证方式时,可以允许认证服务器或认证服务器子集群与用户在步骤5协商认证方式,也可以由接入服务器限制只能使用认证方式名对应的认证方式而不允许使用其它认证方式。
Claims (6)
1、一种对网络接入用户进行认证的方法,包括下述步骤:
步骤1:设置包括用户名、域名和认证方式名的用户网络接入名;
步骤2:在用户进行网络接入时,网络接入服务器利用用户提供的网络接入名识别出该用户采用的认证方式;
步骤3:利用步骤2识别出的认证方式确定为该用户服务的网络认证服务器,由该网络认证服务器对用户进行认证。
2、根据权利要求1所述的对网络接入用户进行认证的方法,其特征在于,所述步骤2进一步包括:
步骤21:用户向网络接入服务器发送网络接入请求的报文;
步骤22:网络接入服务器向用户发送请求用户提供网络接入名的报文;
步骤23:用户向网络接入服务器反馈包括网络接入名的响应报文;
步骤24:网络接入服务器从响应报文的网络接入名中提取出用户名、认证方式名和域名,根据该认证方式名确定用户采用的认证方式。
3、根据权利要求2所述的对网络接入用户进行认证的方法,其特征在于,所述步骤3进一步包括:
步骤31:网络接入服务器根据域名获得对应的互联网服务提供商(ISP)的相关认证服务器列表;
步骤32:根据认证方式名决定使用支持这种认证方式的认证服务器或者认证服务器子集群;
步骤33:用确定的认证方式对应的流程,完成用户认证。
4、根据权利要求3所述的对网络接入用户进行认证的方法,其特征在于:当认证服务器或认证服务器子集群支持多种认证方式时,所述步骤32还包括认证服务器或认证服务器子集群与用户协商认证方式的子步骤。
5、根据权利要求3所述的对网络接入用户进行认证的方法,其特征在于:当认证服务器或认证服务器子集群支持多种认证方式时,所述步骤32还包括网络接入服务器确定认证方式的子步骤。
6、根据权利要求1、2、3、4或5所述的对网络接入用户进行认证的方法,其特征在于:所述用户网络接入名的格式为:用户名@认证方式名.域名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02131781 CN1265579C (zh) | 2002-09-23 | 2002-09-23 | 一种对网络接入用户进行认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02131781 CN1265579C (zh) | 2002-09-23 | 2002-09-23 | 一种对网络接入用户进行认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1486013A CN1486013A (zh) | 2004-03-31 |
| CN1265579C true CN1265579C (zh) | 2006-07-19 |
Family
ID=34145032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02131781 Expired - Fee Related CN1265579C (zh) | 2002-09-23 | 2002-09-23 | 一种对网络接入用户进行认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1265579C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100546305C (zh) * | 2006-04-04 | 2009-09-30 | 华为技术有限公司 | 一种点到点协议强制认证方法和装置 |
| CN101051897B (zh) * | 2006-04-07 | 2010-07-28 | 华为技术有限公司 | 生物信息认证方法 |
| CN101399726B (zh) * | 2007-09-29 | 2011-09-07 | 中国电信股份有限公司 | 一种对无线局域网终端认证的方法 |
| CN101677440A (zh) * | 2008-09-18 | 2010-03-24 | 华为技术有限公司 | 一种接入点认证的方法、系统及安全网关 |
| CN101699893B (zh) * | 2009-11-10 | 2012-09-05 | 广州杰赛科技股份有限公司 | 认证服务器集群的鉴别服务实体ase状态的更改方法 |
| CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
| CN104378211A (zh) * | 2014-11-26 | 2015-02-25 | 深圳市银雁金融配套服务有限公司 | 身份认证方法和装置 |
-
2002
- 2002-09-23 CN CN 02131781 patent/CN1265579C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1486013A (zh) | 2004-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8125980B2 (en) | User terminal connection control method and apparatus | |
| US8484695B2 (en) | System and method for providing access control | |
| US8094663B2 (en) | System and method for authentication of SP ethernet aggregation networks | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| US20040268118A1 (en) | System and method for automatic negotiation of a security protocol | |
| JP3697437B2 (ja) | ネットワークシステムおよびネットワークシステムの構築方法 | |
| CN101465856A (zh) | 一种对用户进行访问控制的方法和系统 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN1416241A (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| US20140096207A1 (en) | Layer 7 authentication using layer 2 or layer 3 authentication | |
| CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
| CN101227477A (zh) | 一种用户终端接入认证的实现方法 | |
| CN1266910C (zh) | 一种选择802.1x认证方式的方法 | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| US8954547B2 (en) | Method and system for updating the telecommunication network service access conditions of a telecommunication device | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
| CN1484412A (zh) | 一种基于集群管理的802.1x通信实现方法 | |
| CN1859415A (zh) | 一种点到点协议强制认证方法和装置 | |
| CN1266919C (zh) | 一种802.1x客户端ip地址再获取方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060719 Termination date: 20200923 |