CN101296084B - 一种实现IAS***与Radius***集成的方法 - Google Patents
一种实现IAS***与Radius***集成的方法 Download PDFInfo
- Publication number
- CN101296084B CN101296084B CN2008100680033A CN200810068003A CN101296084B CN 101296084 B CN101296084 B CN 101296084B CN 2008100680033 A CN2008100680033 A CN 2008100680033A CN 200810068003 A CN200810068003 A CN 200810068003A CN 101296084 B CN101296084 B CN 101296084B
- Authority
- CN
- China
- Prior art keywords
- radius
- user
- ias
- radius system
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明所公开的是一种实现IAS***与Radius***集成的方法,其中,在所述IAS***中创建一域用户并配置密码、密码策略与权限;在所述Radius***中创建一与所述域用户同名的用户,所述用户输入任意密码,所述Radius***为所述用户绑定资费策略和认证策略;所述IAS***与所述Radius***对所述域用户进行联合认证。采用本发明的方法将所述IAS***与所述Radius***集成在一起,同步完成了用户登录网络与登录计算机域的认证与记账处理程序,既减少了用户登录的工作量,又实现了用户登录的一步到位,大大提高了安全性,满足了一些企业登录的便捷性与安全性的需求,是现有技术的极大进步。
Description
技术领域
本发明涉及通信领域中远程用户拨号认证的方法,尤其涉及一种实现Radius***与IAS***集成的方法。
背景技术
Radius***的全称是Remote Authentication Dial In User Service,即远程验证拨入用户服务。所述Radius***用来完成对用户的AAA功能,即验证(Authentication)、授权(Authorization)、记账(Accounting)功能,用户通过登录所述Radius***即可完成网络接入功能。
目前,在很多企事业单位中,用户不仅仅需要具有网络接入功能,还需要具有计算机域的访问功能。所以在用户登录网络后,还需要进行域用户的登录。
而在Windows 200x Server操作***中自带一种Radius服务器即IAS(Internet Authentication Service:Internet验证服务***),它的用户存放在AD域(Active Directory:活动目录服务域)管理器中,所以,只要通过了IAS认证,用户也就通过了计算机域的认证,可以具有域用户的访问权限了,但是IAS服务器只具有认证授权功能,不具备计费功能。
由此导致,现有技术已有的认证过程比较繁琐,并且功能比较单一,且无法实现计费的功能。因此,现有技术需要进一步的发展,已满足用户的需求。
发明内容
本发明的目的是提供一种实现IAS***与Radius***集成的方法,在于解决现有技术种的上述缺陷,提高用户登录的便捷性与安全性。
为解决上述问题,本发明方案包括:
一种实现IAS***与Radius***集成的方法,包括以下步骤:
A、在所述IAS***中创建一域用户并配置密码、密码策略与权限;
B、在所述Radius***中创建一与所述域用户同名的用户,所述用户输入任意密码,所述Radius***为所述用户绑定资费策略和认证策略;
C、所述IAS***与所述Radius***对所述域用户进行联合认证,所述Radius***对所述域用户进行计费。
所述的方法,其中,所述步骤B还包括:将所述域用户的域名配置到所述Radius***的后缀名队列中,所述Radius***根据用户名的后缀判断是否为所述域用户。
所述的方法,其中,所述步骤C还包括:
C1、非所述域用户登录时,所述Radius***对所述非域用户进行普通用户认证。
所述的方法,其中,所述步骤C还包括:
C2、所述域用户登录时,NAS设备向所述Radius***发送Radius请求包;
C3、所述Radius***将所述Radius请求包解包,根据解包内容重新生成Radius请求包并将所述Radius请求包转发至所述IAS***进行联合认证。
所述的方法,其中,所述步骤C3还包括:
C31、若所述IAS***认证成功,则所述IAS***向所述Radius***回复接入接受包,所述Radius***进行后续认证并将生成的回复包发送至所述NAS设备;
C32、若所述IAS***认证失败,则所述IAS***向所述Radius***回复接入拒绝包,所述Radius***不进行后继认证;
C33、若所述IAS***向所述Radius***发送接入盘问包,所述Radius***重新生成接入盘问包,并将所述接入盘问包发送至所述NAS设备。
所述的方法,其中,所述步骤C31还包括:
C311、所述NAS设备向所述Radius***发送所述域用户的记账请求包。
所述的方法,其中,所述步骤C311还包括:
C3111、所述Radius***不将所述记账请求包转发至所述IAS***,记账功能由所述Radius***单独完成。
所述的方法,其中,所述步骤C3还包括:
C34、所述域用户的日志记录由所述Radius***完成。
所述的方法,其中,所述日志记录包括所述域用户的上下线信息、失败信息与资费信息。
本发明提供的一种实现IAS***与Radius***集成的方法,将所述IAS***与所述Radius***集成在一起,同步完成了用户登录网络与登录计算机域的认证与记账处理程序,既减少了用户登录的工作量,又实现了用户登录的一步到位,大大提高了安全性,满足了一些企业登录的便捷性与安全性的需求。
附图说明
图1是本发明中创建AD域用户的流程示意图;
图2是本发明中域用户的认证与记账过程中包的转发流程示意图;
图3是本发明中用户认证的流程示意图;
图4是本发明中用户记账与计费的流程示意图。
具体实施方式
以下将结合附图,针对本发明的各较佳实施例进行较为详细的说明。
如图1所示的,本发明方法先在所述IAS***上创建Windows AD域
并同时创建一个AD域用户,通过调用AD域安装向导为所述IAS***创建一AD域,然后通过AD域用户管理器创建一个AD域用户,并为所述AD域用户配置密码策略与所述AD域用户权限,然后在所述Radius***上建立一个用户,所述用户与所述IAS***中的所述AD域用户同名,所述用户输入任意密码就可将所述AD域用户权限与资费策略、认证策略绑定在一起;所述AD域用户需要通过所述IAS***与所述Radius***的联合认证,认证是通过所述AD域用户名的后缀名进行判断的,若所述后缀名对应于AD域名,则该用户即为所述AD域用户需要通过联合认证,因此需将所述AD域用户的域名配置到所述Radius***的后缀名队列中。与现有技术相比,所述AD域用户在登录时大大缩减了登录程序,提高了用户登录的便捷性,并在一定程度上提高了登录用户的安全性。
图2为本发明中所述AD域用户的认证和记账过程中包的转发流程,本发明涉及的***包括客户端、NAS(Network Access Server:网络接入设备)、Radius***、IAS***。所述Radius***是指由各厂家生产的Radius***,具有认证、记账、计费、授权等功能。
认证包的转发流程为:所述客户端向所述NAS设备发出登录请求,所述NAS设备根据所述客户端发送的用户信息生成认证请求包,发送给所述Radius***,所述Radius***再将所述认证请求包转发至所述IAS***进行用户身份的认证;所述IAS***将认证结果发送到所述Radius***中,然后Radius***将所述认证结果转发到所述NAS设备,最后由所述NAS设备将所述认证结果发送到所述客户端。具体的用户认证过程可参见图3。
记账包的转发流程为:记账请求包由所述NAS设备主动发送至所述Radius***,所述记账请求包经过所述Radius***处理后,所述Radius***向所述NAS设备发送记账回复包,以示记账成功。所述记账请求包不转发到所述IAS***,所述记账请求包由所述Radius***单独进行处理。可见,采用本发明的方法实现了对登录的所述AD域用户的计费功能,是现
有技术的极大进步。
用户认证的具体处理流程如图3所示,所述NAS设备向所述Radius***发起认证请求,所述Radius***根据用户名所带的后缀判断用户是否为所述AD域用户:
若所述用户为非所述AD域用户,则所述Radius***走普通用户认证流程;
若所述用户为所述AD域用户,则所述Radius***先将其转发至所述IAS***进行认证,然后根据所述IAS***的认证结果进行处理:
a、所述IAS***没有向所述Radius***返回结果;
b、所述IAS***向所述Radius***返回认证失败;
c、所述IAS***向所述Radius***返回认证成功;
d、所述IAS***向所述Radius***返回接入盘问包。
若出现a或b情况时,所述Radius***不进行后续认证,直接向所述NAS设备返回认证拒绝包;若出现c情况时,则所述Radius***还需进行后续的认证,然后根据认证结果向所述NAS设备返回接收回复包或拒绝回复包;若出现d情况时,则所述Radius***重新生成接入盘问包,并将所述接入盘问包发送至所述NAS设备。
本发明中用户的记账流程如图4所示,用户认证成功后,所述NAS设备向所述Radius***发送记账请求包,所述Radius***根据其用户名后缀判断其是否属于所述AD域用户:
若所述用户为非所述AD域用户,则进入普通用户的记账处理流程;
若所述用户为所述AD域用户,则获取所述AD域用户的资费策略,进入所述AD域用户的记账流程,并向所述NAS设备返回记账回复包,以示记账成功。
综上所述,采用本发明提供的一种实现IAS***与Radius***集成的方法,将所述IAS***与所述Radius***集成在一起,同步完成了用户登
录网络与登录计算机域的认证与记账处理程序,既减少了用户登录的工作量,又实现了用户登录的一步到位,大大提高了安全性,满足了一些企业登录的便捷性与安全性的需求,是现有技术的极大进步。
应当理解的是,以上针对本发明各较佳实施例进行了较为详细的说明,但不应认为是对本发明专利保护范围的限制,本发明的专利保护范围应当以所附权利要求为准,对于本领域普通技术人员无需额外创造性劳动,根据本发明的技术构思进行等同改变或替换都应属于本发明所附权利要求的保护范围。
Claims (9)
1.一种实现IAS***与Radius***集成的方法,包括以下步骤:
A、在所述IAS***中创建一域用户并配置密码、密码策略与权限;
B、在所述Radius***中创建一与所述域用户同名的用户,所述用户输入任意密码,所述Radius***为所述用户绑定资费策略和认证策略;
C、所述IAS***与所述Radius***对所述域用户进行联合认证,所述Radius***对所述域用户进行计费。
2.根据权利要求1所述的方法,其特征在于,所述步骤B还包括:将所述域用户的域名配置到所述Radius***的后缀名队列中,所述Radius***根据用户名的后缀判断是否为所述域用户。
3.根据权利要求2所述的方法,其特征在于,所述步骤C还包括:
C1、非所述域用户登录时,所述Radius***对所述非域用户进行普通用户认证。
4.根据权利要求2所述的方法,其特征在于,所述步骤C还包括:
C2、所述域用户登录时,NAS设备向所述Radius***发送Radius请求包;
C3、所述Radius***将所述Radius请求包解包,根据解包内容重新生成Radius请求包并将所述Radius请求包转发至所述IAS***进行联合认证。
5.根据权利要求4所述的方法,其特征在于,所述步骤C3还包括:
C31、若所述IAS***认证成功,则所述IAS***向所述Radius***回复接入接受包,所述Radius***进行后续认证并将生成的回复包发送至所述NAS设备;
C32、若所述IAS***认证失败,则所述IAS***向所述Radius***回复接入拒绝包,所述Radius***不进行后继认证;
C33、若所述IAS***向所述Radius***发送接入盘问包,所述Radius***重新生成接入盘问包,并将所述接入盘问包发送至所述NAS设备。
6.根据权利要求5所述的方法,其特征在于,所述步骤C31还包括:
C311、所述NAS设备向所述Radius***发送所述域用户的记账请求包。
7.根据权利要求6所述的方法,其特征在于,所述步骤C311还包括:
C3111、所述Radius***不将所述记账请求包转发至所述IAS***,记账功能由所述Radius***单独完成。
8.根据权利要求4所述的方法,其特征在于,所述步骤C3还包括:
C34、所述域用户的日志记录由所述Radius***完成。
9.根据权利要求8所述的方法,其特征在于,所述日志记录包括所述域用户的上下线信息、失败信息与资费信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100680033A CN101296084B (zh) | 2008-06-18 | 2008-06-18 | 一种实现IAS***与Radius***集成的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100680033A CN101296084B (zh) | 2008-06-18 | 2008-06-18 | 一种实现IAS***与Radius***集成的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101296084A CN101296084A (zh) | 2008-10-29 |
| CN101296084B true CN101296084B (zh) | 2012-05-23 |
Family
ID=40066120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100680033A Expired - Fee Related CN101296084B (zh) | 2008-06-18 | 2008-06-18 | 一种实现IAS***与Radius***集成的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101296084B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724087B (zh) * | 2011-03-29 | 2017-03-29 | 中兴通讯股份有限公司 | 网络资源共享的实现方法和*** |
| CN103595537A (zh) * | 2013-11-19 | 2014-02-19 | 宁波致祥网络技术服务有限公司 | 一种双平台同步登录的方法 |
| CN108881103B (zh) * | 2017-05-08 | 2020-10-13 | 腾讯科技(深圳)有限公司 | 一种接入网络的方法及装置 |
| CN112287312B (zh) * | 2020-12-31 | 2021-04-06 | 飞天诚信科技股份有限公司 | 一种登录Windows操作***的方法及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819586A (zh) * | 2005-02-08 | 2006-08-16 | 西门子公司 | 鉴权地建立连接的方法 |
| CN101051910A (zh) * | 2007-05-21 | 2007-10-10 | 中兴通讯股份有限公司 | 认证授权计费服务器识别客户端软件的方法和装置 |
-
2008
- 2008-06-18 CN CN2008100680033A patent/CN101296084B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819586A (zh) * | 2005-02-08 | 2006-08-16 | 西门子公司 | 鉴权地建立连接的方法 |
| CN101051910A (zh) * | 2007-05-21 | 2007-10-10 | 中兴通讯股份有限公司 | 认证授权计费服务器识别客户端软件的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 马素刚,杨树玉,任东陕.路由器安全访问策略设计与实现.西安邮电学院学报.2007,12(5),105-108. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101296084A (zh) | 2008-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101304388B (zh) | 解决ip地址冲突的方法、装置及*** | |
| CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
| CN103179115B (zh) | 一种面向云电视终端跨云应用的云服务访问控制方法 | |
| CN101582762B (zh) | 基于动态口令进行身份认证的方法和*** | |
| CN102420690B (zh) | 一种工业控制***中身份与权限的融合认证方法及*** | |
| CN104158824B (zh) | 网络实名认证方法及*** | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN111163165A (zh) | 一种基于Fabric联盟链的投票共识方法 | |
| US20160086158A1 (en) | Payment verification method, apparatus and system | |
| CN106162574A (zh) | 集群***中应用统一鉴权方法、服务器与终端 | |
| CN106911627B (zh) | 一种基于eID的真实身份安全控制方法及其*** | |
| CN103619020A (zh) | 无线数据专网物理隔离互联网的移动支付安全*** | |
| CN106130971B (zh) | 身份认证方法及认证服务器 | |
| CN111881483B (zh) | 基于区块链的资源账户绑定方法、装置、设备和介质 | |
| CN112492602B (zh) | 5g终端安全接入装置、***及设备 | |
| CN102202306A (zh) | 移动安全认证终端及方法 | |
| CN101296084B (zh) | 一种实现IAS***与Radius***集成的方法 | |
| CN103780711A (zh) | 接入类型智能判定的地址分配方法、***及aaa*** | |
| CN103873449A (zh) | 网络接入方法与*** | |
| CN101309279B (zh) | 终端访问的控制方法、***和设备 | |
| CN106559389A (zh) | 一种服务资源发布、调用方法、装置、***及云服务平台 | |
| CN102868702A (zh) | ***登录装置和***登录方法 | |
| CN101431654B (zh) | 一种实现认证的方法和*** | |
| CN104009850A (zh) | 一种用户身份认证方法及*** | |
| CN104469770B (zh) | 面向第三方应用的wlan认证方法、平台和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20190618 |