CN1710853A - 用户认证信息的共享方法 - Google Patents
用户认证信息的共享方法 Download PDFInfo
- Publication number
- CN1710853A CN1710853A CN 200410049175 CN200410049175A CN1710853A CN 1710853 A CN1710853 A CN 1710853A CN 200410049175 CN200410049175 CN 200410049175 CN 200410049175 A CN200410049175 A CN 200410049175A CN 1710853 A CN1710853 A CN 1710853A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- server
- password
- mandate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000000052 comparative effect Effects 0.000 claims description 6
- 230000008676 import Effects 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000007726 management method Methods 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 5
- 208000013641 Cerebrofacial arteriovenous metameric syndrome Diseases 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及通信领域,公开了一种用户认证信息的共享方法,使得AAA服务器能自动从LDAP服务器获取用户数据并完成对需采用这两种认证机制的用户的统一认证。从而方便管理和使用,并提高认证效率,节约网络带宽。这种用户认证信息的共享方法将LDAP服务器中的用户数据同步到AAA服务器,且定义了用于统一认证的较为完备的机制,使得原先采用LDAP服务器进行认证的用户可以沿用原来的用户数据在AAA服务器上进行统一认证。
Description
技术领域
本发明涉及通信领域,特别涉及用户认证信息的共享技术。
背景技术
随着Internet(因特网)的迅速发展,网络逐渐渗透到世界的每个角落,这不仅为企业带来了全新的工作方式,更为其孕育了巨大的商机。目前许多企业都在加紧部署和升级自己的企业网。
伴随网络的开放性而来的一个重要问题就是安全性问题。目前普遍采用认证技术对要求接入的用户进行安全性控制。出现较早且应用较为普遍的一种认证技术是目录访问技术。企业许多应用,例如制造资源计划(Manufacturing Resource Planning,简称″MRPII″)、电子邮件(ElectronicMail,简称″E-mail″)、Notes、Proxy等都是基于该技术,它们大多采用的是轻型目录访问协议(Lightweight Directory Access Protocol,简称″LDAP″)。LDAP是一个用来发布目录信息到许多不同资源的协议。资源按目录层次结构组织,从一个根开始,向下分支到各个条目。在最顶层的条目代表较大的单位,其下是代表较小单位的条目。层次结构的最末端通常就是代表某个人或特定资源的条目。由于采用了这种类似树形的存储结构,与关系数据库相比,LDAP查询更为快速有效,但是在其他方面,例如更新,则要逊色一些,且LDAP不支持结构化查询语言(Structured Query Language,简称″SQL″)语言查询。一般情况下LDAP目录都作为一个集中的地址本使用,用于认证时可以在目录中按照一定的层次结构存放用户名和密码。
近年来,出现了一种新的基于认证、授权和计费(Authentication,Authorization and Account,简称″AAA″)服务器的认证技术。AAA是使用相同方式配置三种独立的安全功能的一种结构。除了提供类似于LDAP服务器的认证服务外,AAA服务器还可以提供授权和计费功能。认证提供识别用户的方法,包括注册和口令对话框,询问和响应,消息支持以及根据所选择的安全协议进行加密;授权提供远程访问控制的方法,包括一次性授权或者单项服务的服务授权,每个用户帐户列表和简介,用户包支持和网络协议支持;记费为安全服务器收集、发送信息提供服务,这些信息用来开列帐单、审计和形成报表,例如用户标识、开始时间和停止时间、执行的命令、包的数量以及字节数等。AAA服务器可以支持各种网络接入方式、多种用户类型和业务属性,提供灵活的计费方式,并能与计费中心通讯,实现话单传递;支持用户的跨区域漫游;通过系统管理接口可动态配置服务器,通过用户管理接口可以增加、删除用户、设定用户的业务信息和资费信息;支持简单网络管理协议(Simple Network Management Protocol,简称″SNMP″)以实现网络管理;后台数据库对主服务程序保持透明。
企业可以根据应用侧重点和网络结构任选上述两种认证机制之一对用户的安全性进行认证。但是现有许多企业网在AAA服务器出现之前已经部署了LDAP服务器,为了避免对网络结构作过大调整,存在两种认证机制并存的现象。
对于上述的这种同一企业两种认证机制并存的问题,现有的一种解决方案就是独立地对LDAP服务器和AAA服务器进行维护和管理,针对不同业务类型分别到相应的服务器上进行认证。
在实际应用中,上述方案存在以下问题:即企业需要维护两套用户资料,同时用户也需要记住两套用户可区分名和密码,造成维护和使用的不便,而且认证效率低,耗费网络带宽。
造成这种情况的主要原因在于,LDAP服务器和AAA服务器相互之间完全独立,没有相应的机制同步两者的用户数据,导致无法进行统一认证。
发明内容
有鉴于此,本发明的主要目的在于提供一种用户认证信息的共享方法,使得AAA服务器能自动从LDAP服务器获取用户数据并完成对需采用这两种认证机制的用户的统一认证。从而方便管理和使用,并提高认证效率,节约网络带宽。
为实现上述目的,本发明提供了一种用户认证信息的共享方法,包含以下步骤:
A将LDAP服务器中的用户DN及其密码定期同步到AAA服务器中;
B当用户对所述AAA服务器进行访问时,所述AAA服务器根据来自所述LDAP服务器的用户DN及其密码进行认证。
其中,所述步骤A中的同步是定期进行的。
所述步骤A包含以下子步骤:
A1在所述AAA服务器中配置所述LDAP服务器的访问信息,以及用户过滤条件;
A2根据所述访问信息及过滤条件,将LDAP服务器中的用户DN及其密码导入所述AAA服务器,其中,当无法从所述LDAP服务器获取所述用户密码时,只将该用户DN导入所述AAA服务器,并将密码设置为空;
A3所述AAA服务器定期根据用户DN在所述LDAP服务器中查询并更新对应的密码。
所述步骤A3还包含以下子步骤:
A31当所述AAA服务器无法在所述LDAP服务器中查询到用户DN时,将该用户从所述AAA服务器中删除;
A32当所述AAA服务器发现所述LDAP服务器中有满足所述过滤条件的新增用户时,将该用户DN及其密码导入所述AAA服务器中。
所述LDAP服务器的访问信息包含LDAP的IP地址、管理员用户名及其密码。
所述步骤B包含以下子步骤:
B 1用户发送用户可区分名及密码给AAA服务器;
B2当所发送的密码与所述AAA服务器中与所述用户可区分名对应的密码均为明文时,所述AAA服务器根据密码比较结果,返回认证成功或失败;
B3当所发送的密码为明文,所述AAA服务器中与所述用户可区分名对应的密码为密文时,所述AAA服务器对所发送的密码进行加密后,与所述AAA服务器中的所述密码比较,并根据比较结果返回认证成功或失败;
B4当所发送的密码为明文,所述AAA服务器中与所述用户可区分名对应的密码为空时,所述AAA服务器将所述用户发送的用户可区分名及其密码发送到所述LDAP服务器进行认证,并根据认证结果返回认证成功或失败;
B5当所发送的密码为密文时,判断所述AAA服务器中与所述用户可区分名对应的密码是否为明文,如果是,根据所述密文的算法对所述明文加密,并进行比较,根据比较结果返回认证成功或失败,否则返回认证失败。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,将LDAP服务器中的用户数据同步到AAA服务器,且定义了用于统一认证的较为完备的机制,使得原先采用LDAP服务器进行认证的用户可以沿用原来的用户数据在AAA服务器上进行统一认证。
这种技术方案上的区别,带来了较为明显的有益效果,即首先,在不对原有的LDAP服务器进行任何改动的基础上,网络管理员只需要维护LDAP服务器上的一套用户数据即可实现利用AAA服务器和LDAP服务器对用户进行统一认证,方便了管理;第二,用户只需要记住一套用户可区分名和密码即可同时实现AAA认证和LDAP认证,方便了使用;此外,由于大多数认证过程在AAA服务器本地实现,减少了到LDAP服务器进行认证的次数,提高了认证效率,节约了网络带宽。
附图说明
图1是根据本发明的一个实施例的AAA服务器同步LDAP服务器用户数据的流程图;
图2是根据本发明的一个实施例的AAA服务器进行统一认证的流程图;
图3是根据本发明的一个实施例的AAA服务器同步LDAP服务器用户数据的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
图1示出了AAA服务器同步LDAP服务器用户数据的流程图。为了能够更加清楚地说明本发明的应用环境,在图3中示出了一个能够应用本发明的系统结构示意图。
该系统的主要核心是通过骨干网连接的AAA服务器和LDAP服务器,用户使用的终端(例如PC机)通过交换机接入骨干网。骨干网还与Internet相连接,用户通过AAA服务器的认证以后,可以访问Internet。
该系统的结构本身没有特别的创新,和现有技术中的搭建方法一致。本发明的创新之处在于下面说明的AAA服务器与LDAP服务器共享用户认证信息的方法。
如图1所示,首先在步骤101,为了沿用LDAP服务器上的用户数据,将LDAP服务器上的用户数据同步到AAA服务器上,需要在AAA服务器中配置LDAP服务器的一些信息,如LDAP服务器的的因特网协议(InternetProtocol,简称″IP″)地址、管理员用户名和密码、过滤机制等。其中过滤机制用于只需要同步LDAP服务器部分用户数据时过滤用户数据。需要说明的是,AAA服务器的功能是在综合访问管理服务器(Comprehensive AccessManagement Server,简称″CAMS″)上完成的。步骤101只在架设AAA服务器时进行一次,系统配置完毕以后不再执行。
接着进入步骤102,以管理员身份从LDAP服务器批量导出用户数据到AAA服务器,如果只需要部分数据,可以根据步骤101中所设置过滤条件进行过滤。用户数据包括用户的可区分名(Disinguished Name,简称″DN″)和密码。对于某些配置为只能查询出用户DN而不能得到其密码的LDAP服务器,则只导出DN,密码置为空。
接着进入步骤103,对于每个AAA服务器中存在的用户DN,判断其是否存在于从LDAP服务器导出的用户DN列表中。若不存在,说明该用户在LDAP服务器中已被删除,则进入步骤104,将位于AAA服务器中的该用户数据标记为删除,然后再进入步骤105。否则直接进入步骤105。
在步骤105,对于每个AAA服务器中存在的用户DN,判断能否从LDAP服务器得到其密码。若可以得到密码,则进入步骤106,将用户DN及其密码导入至CAMS服务器;否则进入步骤107,仅将用户DN导入至CAMS服务器,密码置为空。步骤106和步骤107完成后都进入步骤108。
在步骤108,检查导出的用户DN列表中是否有原先AAA服务器中不存在的用户。若有,则说明有新增的用户,进入步骤109,将所有新增的用户数据导入CAMS服务器,流程结束,否则直接结束。
需要说明的是,为了保证AAA服务器和LDAP服务器的用户数据的及时同步,步骤102-步骤109需要周期性执行,为了在操作复杂度和实时性之间取得平衡,通常执行周期设置为一天。这样,当LDAP服务器的用户数据被修改后,AAA服务器的用户数据在下一次同步后也能保持一致。
图2示出了利用AAA服务器对LDAP服务器用户进行统一认证的流程图。
如图2所示,首先在步骤201,用户设备将用户可区分名和密码发送给AAA服务器,发起认证流程。
接着进入步骤202,AAA服务器检查用户设备送来的密码是否为明文。若是明文,则进入步骤210;否则,进入步骤220。
在步骤210,判断AAA服务器中原先同步自LDAP服务器的该用户的密码是否为空。若为空,则说明AAA服务器上不存在该用户DN的密码,进入步骤214,将该用户DN和密码发送至LDAP服务器进行认证,认证结束后进入步骤203,返回认证成功或失败消息。否则,说明AAA服务器中有该用户DN和密码,进入步骤211,直接在AAA服务器本地进行认证。
具体的说,在步骤211,判断AAA服务器中对应该用户DN的密码是否为明文。若为明文,则进入步骤212,直接将用户设备发来的用户密码和原来保存于AAA服务器中的用户密码相比较,比较完成后进入步骤203,返回认证成功或失败消息。若AAA服务器中的用户密码为密文,则进入步骤213,分析AAA服务器中用户密码的加密算法,将用户设备发来的密码明文用同样的加密算法加密,然后比较两者的密文。比较完成后进入步骤203,返回认证成功或失败消息,认证流程结束。
如上所述,在步骤202,当发现用户设备发送来的密码是密文时,则进入步骤220。在步骤220中,首先判断保存于AAA服务器中的从LDAP服务器同步来的用户密码是否为明文。若为密文,此时由于两个密文的加密算法有可能不同,不能直接比较两个密文,同时由于从密文不能反向计算出其明文,故不能进行密码比对,直接进入步骤203,返回认证失败消息。当从LDAP服务器同步来的用户密码为明文时,进入步骤221,先分析用户设备发送来的密码密文的加密算法,然后将AAA服务器中原先保存的密码明文用该算法加密,再比较两个密文。比较完毕后进入步骤203,返回认证成功或失败消息。
需要说明的是,为了尽量减少网络流量,提高认证性能,除了AAA服务器未得到来自LDAP服务器密码并且同时用户设备发送过来的密码为明文的情况需要到LDAP服务器进行认证以外,其它情况都应该在AAA服务器本地认证。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (6)
1.一种用户认证信息的共享方法,其特征在于,包含以下步骤:
A将轻型目录访问协议服务器中的用户可区分名及其密码同步到认证、授权和记帐服务器中;
B当用户对所述认证、授权和记帐服务器进行访问时,所述认证、授权和记帐服务器根据来自所述轻型目录访问协议服务器的用户可区分名及其密码进行认证。
2.根据权利要求1所述的用户认证信息的共享方法,其特征在于,所述步骤A中的同步是定期进行的。
3.根据权利要求2所述的用户认证信息的共享方法,其特征在于,所述步骤A包含以下子步骤:
A1在所述认证、授权和记帐服务器中配置所述轻型目录访问协议服务器的访问信息以及用户过滤条件;
A2根据所述访问信息及用户过滤条件,将所述轻型目录访问协议服务器中的用户可区分名及其密码导入所述认证、授权和记帐服务器,其中,当无法从所述轻型目录访问协议服务器获取所述用户密码时,将该用户可区分名导入所述认证、授权和记帐服务器,并将密码设置为空;
A3所述认证、授权和记帐服务器定期根据用户可区分名,在所述轻型目录访问协议服务器中查询并更新对应的密码。
4.根据权利要求3所述的用户认证信息的共享方法,其特征在于,所述步骤A3还包含以下子步骤:
A31当所述认证、授权和记帐服务器无法在所述轻型目录访问协议服务器中查询到用户可区分名时,将该用户从所述认证、授权和记帐服务器中删除;
A32当所述认证、授权和记帐服务器发现所述轻型目录访问协议服务器中有满足所述过滤条件的新增用户时,将该用户可区分名及其密码导入所述认证、授权和记帐服务器中。
5.根据权利要求3所述的用户认证信息的共享方法,其特征在于,所述轻型目录访问协议服务器的访问信息包含轻型目录访问协议的网间互联协议地址、管理员用户名及其密码。
6.根据权利要求3所述的用户认证信息的共享方法,其特征在于,所述步骤B包含以下子步骤:
B1用户发送用户可区分名及密码给认证、授权和记帐服务器;
B2当所发送的密码与所述认证、授权和记帐服务器中与所述用户可区分名对应的密码均为明文时,所述认证、授权和记帐服务器根据密码比较结果,返回认证成功或失败;
B3当所发送的密码为明文,所述认证、授权和记帐服务器中与所述用户可区分名对应的密码为密文时,所述认证、授权和记帐服务器对所发送的密码进行加密后,与所述认证、授权和记帐服务器中的所述密码比较,并根据比较结果返回认证成功或失败;
B4当所发送的密码为明文,所述认证、授权和记帐服务器中与所述用户可区分名对应的密码为空时,所述认证、授权和记帐服务器将所述用户发送的用户可区分名及其密码发送到所述轻型目录访问协议服务器进行认证,并根据认证结果返回认证成功或失败;
B5当所发送的密码为密文时,判断所述认证、授权和记帐服务器中与所述用户可区分名对应的密码是否为明文,如果是,则根据所述密文的算法对所述明文加密,并进行比较,根据比较结果返回认证成功或失败,否则返回认证失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100491758A CN100536391C (zh) | 2004-06-18 | 2004-06-18 | 用户认证信息的共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100491758A CN100536391C (zh) | 2004-06-18 | 2004-06-18 | 用户认证信息的共享方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1710853A true CN1710853A (zh) | 2005-12-21 |
CN100536391C CN100536391C (zh) | 2009-09-02 |
Family
ID=35707041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100491758A Expired - Lifetime CN100536391C (zh) | 2004-06-18 | 2004-06-18 | 用户认证信息的共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100536391C (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101547092B (zh) * | 2008-03-27 | 2011-06-08 | 天津德智科技有限公司 | 用于统一用户认证的多应用系统数据同步的方法及装置 |
CN102130777A (zh) * | 2010-01-15 | 2011-07-20 | 大唐移动通信设备有限公司 | 一种网管系统及保证与安全管理系统数据一致性的方法 |
CN101431402B (zh) * | 2007-11-05 | 2012-02-08 | 中兴通讯股份有限公司 | Ldap账号源与aaa系统的高效挂接方法 |
CN101707522B (zh) * | 2009-09-29 | 2012-02-22 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
CN105338103B (zh) * | 2015-11-19 | 2018-10-16 | 国云科技股份有限公司 | 一种将ad域的用户同步到云平台的方法 |
CN108875004A (zh) * | 2018-06-15 | 2018-11-23 | 江苏神州信源系统工程有限公司 | 资源访问方法及装置 |
-
2004
- 2004-06-18 CN CNB2004100491758A patent/CN100536391C/zh not_active Expired - Lifetime
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101431402B (zh) * | 2007-11-05 | 2012-02-08 | 中兴通讯股份有限公司 | Ldap账号源与aaa系统的高效挂接方法 |
CN101547092B (zh) * | 2008-03-27 | 2011-06-08 | 天津德智科技有限公司 | 用于统一用户认证的多应用系统数据同步的方法及装置 |
CN101707522B (zh) * | 2009-09-29 | 2012-02-22 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
CN102130777A (zh) * | 2010-01-15 | 2011-07-20 | 大唐移动通信设备有限公司 | 一种网管系统及保证与安全管理系统数据一致性的方法 |
CN102130777B (zh) * | 2010-01-15 | 2013-08-21 | 大唐移动通信设备有限公司 | 一种网管系统及保证与安全管理系统数据一致性的方法 |
CN105338103B (zh) * | 2015-11-19 | 2018-10-16 | 国云科技股份有限公司 | 一种将ad域的用户同步到云平台的方法 |
CN108875004A (zh) * | 2018-06-15 | 2018-11-23 | 江苏神州信源系统工程有限公司 | 资源访问方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN100536391C (zh) | 2009-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9021090B2 (en) | Network access firewall | |
AU2004290093B2 (en) | A directory system | |
US7519596B2 (en) | Globally trusted credentials leveraged for server access control | |
US8347347B2 (en) | Password policy enforcement in a distributed directory when policy information is distributed | |
US8959613B2 (en) | System and method for managing access to a plurality of servers in an organization | |
CN108377200B (zh) | 基于ldap与slurm的云用户管理方法及系统 | |
CN1787513A (zh) | 安全远程访问系统和方法 | |
CN1304109A (zh) | 有效地收集、整理和访问证书吊销表的系统和方法 | |
CN1926801A (zh) | 外联网访问管理装置和方法 | |
CN101442558A (zh) | 一种为p2sp网络提供索引服务的方法和系统 | |
CN1747436A (zh) | 一种虚拟专网客户端的接入方法及系统 | |
US7099475B2 (en) | System and method for password authentication for non-LDAP regions | |
US20030088648A1 (en) | Supporting access control checks in a directory server using a chaining backend method | |
CN1529531A (zh) | 一种移动用户接入安全网关的方法 | |
CN100536391C (zh) | 用户认证信息的共享方法 | |
CN102262751A (zh) | 一种基于面向服务架构获取业务应用的方法及系统 | |
CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
US7519812B2 (en) | Architecture and design for central authentication and authorization in an on-demand utility environment | |
US8528052B2 (en) | Authentication, authorization and accounting services solution | |
CN1266910C (zh) | 一种选择802.1x认证方式的方法 | |
CN100344091C (zh) | 分布式证书验证方法 | |
CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
CN116383241A (zh) | 基于多粒度锁的索引更新与查询处理协同优化系统及方法 | |
CN102368762A (zh) | 一种ldap用户管理方法及其装置 | |
CN1595897A (zh) | 域认证和用户网络权限控制统一处理的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20090902 |