CN101540757A - 网络认证方法、***和认证设备 - Google Patents
网络认证方法、***和认证设备 Download PDFInfo
- Publication number
- CN101540757A CN101540757A CN200810102193A CN200810102193A CN101540757A CN 101540757 A CN101540757 A CN 101540757A CN 200810102193 A CN200810102193 A CN 200810102193A CN 200810102193 A CN200810102193 A CN 200810102193A CN 101540757 A CN101540757 A CN 101540757A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- user terminal
- authenticating device
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络认证方法、***和认证设备。当用户终端接入或穿越网络设备时,该方法包括:所述网络设备获取该用户终端传送的IP地址;根据该IP地址从认证设备获取与用户终端用户对应的接入策略;根据该接入策略来决定是否将所述用户终端连接到所访问的应用。通过该方法,使得用户终端在接入或穿越多个网络设备、与网络上的某些应用建立连接时,只需认证一次,而不需要多次认证,这样,实现了单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了网络终端使用多种应用的需求;并且根据用户信息来配置接入策略,因此,可获知实施网络行为的责任人。
Description
技术领域
本发明关于网络认证技术,特别关于一种网络认证方法、***和认证设备。
背景技术
随着网络技术的不断发展,由于互联网具有成本低、使用便利的特点,网络已经应用在金融、证券、教育、医疗、交通以及生活等各个领域。但是,网络技术在推动社会进步的同时,也带来了一系列的问题,例如,利用网络进行种种非法和不当行为、侵入他人***、发布假消息等行为。
在相关技术中,为避免上述问题,在网络基础设施、操作***等各个层面有多种技术可以防止本方的网络被非法入侵,同时还有多种加密技术用来保障在网络上传输的数据的安全,以加大非法获取信息的难度,但其缺陷在于无法查找非法行为的责任人。
在相关的认证方法中,由认证中心提供身份认证服务,认证方式包括帐号/密码机制、加密数据通道、数据签名等。若用户通过网络设备,如防火墙、交换机或路由器与网络上的某项应用建立连接时,需要通过该网络设备向认证中心请求身份认证,认证中心根据预先设置的策略对该用户进行认证,将认证结果通知该网络设备,该网络设备根据认证结果连接和拒绝该用户。
图1为相关技术中认证***结构示意图。如图1所示,该***包括用户终端101、网络设备102、认证服务器104以及至少一个服务器103,认证服务器104可为AAA服务器104。
其中,当网络设备102检测到用户终端101接入时,网络设备102向其发送输入用户名和密码的消息,并在用户终端101显示界面上显示该消息(见步骤1);用户终端101输入用户名和密码,并发送该用户名和密码至网络设备102(见步骤2);然后,该网络设备102将获得的用户名和密码信息发送给网络中的AAA服务器104(见步骤3);AAA服务器104根据收到的用户名和密码对该用户终端101进行认证,根据该用户名和密码查找到该用户终端101对应的接入策略(见步骤4),例如,是否通过、应用的用户信息、应用的端口号以及和服务器103的认证字符串等信息;AAA服务器104将该接入策略下发到网络设备102,这样,该网络设备102根据该接入策略将用户终端101连接到需要访问的服务器104或拒绝该用户终端101连接。
图1所示的认证***是基于连接的认证方式。当用户上网时,在进入不同的网站、甚至进入相同网站而连接提供不同服务的服务器上时,如果要确定每一个网络行为的用户,往往须注册为不同的用户名,需要对每一次连接进行一次认证,下发一次策略。这样,对拥有庞大用户群的网络来说,很难承受这样的流量,并且,采用此方式仍然无法确定实施网络行为的人。
随着用户使用网络的范围增加,注册的用户名越来越多,使用户记住这些用户名较难,因此,更不可能记住对应的网站和服务。这样,限制了用户终端使用多种应用的需求,给用户使用网络带来了极大的不便。
发明内容
本发明的目的在于提供一种网络认证方法,通过该方法,使得用户终端在接入或穿越网络设备,如防火墙、交换机或路由器与网络上的某些应用建立连接时,只需认证一次,而不需要多次认证,这样,实现了单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了网络终端使用多种应用的需求;并且根据用户信息来配置接入策略,因此,可获知实施网络行为的责任人。
本发明的目的在于提供一种网络认证***,通过该***,使得用户终端在接入或穿越网络设备,如防火墙、交换机或路由器与网络上的某些应用建立连接时,用户终端只需认证一次,而不需要多次认证,从而实现了单点登陆,使得网络终端接入灵活,且操作和使用方便,满足了网络终端使用多种应用的需求。并且根据用户信息来配置接入策略,因此,可获知实施网络行为的责任人。本发明的目的在于提供一种认证设备。该认证设备根据储存的用户终端认证情况来判断是否对该用户终端进行认证,若该用户终端已经通过认证,则直接下发接入策略至网络设备,这样,即使用户终端在接入或穿越网络设备,如防火墙、交换机或路由器与网络上的某些应用建立连接时,用户终端只需认证一次,而不需要多次认证。实现了单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了用户终端使用多种应用的需求。并且根据用户信息来配置接入策略,因此,可获知实施网络行为的责任人。
为实现上述目的,本发明提供一种网络认证方法,当用户终端接入或穿越网络设备时,该方法包括:所述网络设备获取该用户终端传送的IP地址;根据该IP地址从认证设备获取与用户终端用户对应的接入策略;根据该接入策略来决定是否将所述用户终端连接到所访问的应用。
为实现上述目的,本发明还提供一种网络认证***,该***包括通过网络相连接的至少一个网络设备和应用服务器,该***还包括认证设备;其中,
网络设备,用于获取用户终端传送的IP地址,并将该IP地址传送至该认证设备;用于接收所述认证设备传送的接入策略,并根据该接入策略来决定是否将所述用户终端连接到所述应用服务器;
认证设备,通过网络与所述网络设备连接,用于接收所述网络设备传送的IP地址,判断该IP地址对应的用户终端用户是否已经通过认证,若判断的结果为是,则将该用户终端用户对应的接入策略下发到所述网络设备;若判断结果为否,则对该用户终端用户进行认证,若认证通过,则该认证设备将该用户终端用户对应的接入策略下发到所述网络设备。
为实现上述目的,本发明还提供一种认证设备,该认证设备包括接收单元、判断单元、策略下发单元和认证单元;其中,
接收单元,用于接收所述网络设备传送的IP地址;
判断单元,与所述接收单元连接,用于判断该IP地址对应的用户终端用户是否已经通过认证,若判断的结果为是,则将该已经通过认证的判断结果传送至所述策略下发单元;若判断结果为否,则将该未通过认证的判断结果传送至所述认证单元;
认证单元,与所述判断单元连接,用于根据该判断单元传送的未通过认证的判断结果对用户终端用户进行认证,若认证通过,则将认证通过结果传送至策略下发单元;
策略下发单元,与所述判断单元和认证单元连接,用于根据判断单元和认证单元传送的信息将该用户终端用户对应的接入策略下发至所述网络设备。
本发明的有益效果在于,使得用户终端在接入或穿越网络设备、与网络上的某些应用建立连接时,只需认证一次,而不需要多次认证,这样,实现了单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了网络终端使用多种应用的需求;并且根据用户信息来配置接入策略,因此,可获知实施网络行为的责任人。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1是相关技术中网络认证***结构示意图;
图2是相关技术中网络认证流程图;
图3是本发明中网络认证***结构示意图;
图4是图3中认证设备的构成示意图;
图5是本发明中网络认证方法流程图;
图6是本发明接入策略更新示意图;
图7至图9是本发明配置接入策略显示界面示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本发明提供一种网络认证方法、***和认证设备。
实施方式一
图3为本发明中网络认证***结构示意图。如图3所示,该***包括通过网络相连的至少一个网络设备302和应用服务器303,其中,该***还包括认证设备304;其中,
网络设备302,用于获取用户终端301传送的IP地址,并将该IP地址传送至该认证设备304;
认证设备304,通过网络与网络设备302连接,用于接收该网络设备302传送的IP地址,判断该IP地址对应的用户终端301用户是否已经通过认证,若判断的结果为是,则将该用户终端301用户对应的接入策略下发到网络设备302;若判断结果为否,则对该用户终端301用户进行认证,若认证通过,则该认证设备304将该用户终端301用户对应的接入策略下发到网络设备302。
这样,网络设备302还用于接收认证设备304传送的接入策略,并根据该接入策略来决定该用户终端301用户的接入,即根据接收到的接入策略将该用户终端301连接到其要访问的应用服务器303或拒绝连接。
由上述可知,通过本发明,使得用户终端在接入或穿越网络设备、与网络上的某些应用建立连接时,只需认证一次,而不需要多次认证,这样,实现了用户单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了网络终端使用多种应用的需求;并且认证设备下发的接入策略是根据用户信息来配置的,因此,可获知实施网络行为的责任人。
图4为本发明中认证设备的构成示意图。如图4所示,该认证设备包括接收单元401、判断单元402、策略下发单元403和认证单元404;其中,
接收单元401,用于接收网络设备302传送的IP地址;
判断单元402,与接收单元401连接,用于判断该IP地址对应的用户终端用户是否已经通过认证,若判断的结果为是,则将该已经通过认证的判断结果传送至策略下发单元403;若判断结果为否,则将该未通过认证的判断结果传送至认证单元404;
认证单元404,与判断单元402连接,用于根据该判断单元402传送的未通过认证的判断结果对用户终端301用户进行认证,若认证通过,则将认证通过结果传送至策略下发单元403;
策略下发单元403,与判断单元402和认证单元404连接,用于根据判断单元402和认证单元493传送的信息将该用户终端301用户对应的接入策略下发至网络设备302。
其中,在本发明的实施方式中,判断单元402判断IP地址对应的用户终端301用户是否已经通过认证,是根据预存的用户信息、IP地址和是否通过认证的对应关系表来进行判断。
此外,认证设备304还包括存储单元405,该存储单元405与判断单元402和策略下发单元403连接,用于储存用户终端用户的接入策略,以及上述对应关系表。
由上述可知,通过该认证***,使得用户终端301在接入或穿越网络设备、与网络上的某些应用建立连接时,只需认证一次,而不需要多次认证,这样,实现了用户单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了用户终端使用多种应用的需求;并且认证设备下发的接入策略是根据用户信息来配置的,因此,可获知实施网络行为的责任人。
实施方式二
以图3所示的认证***为例对本发明的认证方法进行详细说明。
本发明提供一种网络认证方法,其中,当用户终端301接入或穿越网络设备302时,该方法包括:网络设备302获取该用户终端传送的IP地址;根据该IP地址获取与该用户终端301用户对应的接入策略;根据该接入策略来决定用户终端301的接入。
通过该接入方法,使得用户终端301在接入或穿越网络设备、与网络上的某些应用建立连接时,只需认证一次,而不需要多次认证,这样,实现了用户单点登陆,使得用户终端接入灵活,且操作和使用方便,满足了网络终端使用多种应用的需求;并且认证设备下发的接入策略是根据用户信息来配置的,因此,可获知实施网络行为的责任人。
在本发明中,网络设备302根据IP地址获取与该用户终端301用户对应的接入策略,包括:
网络设备302将IP地址传送至认证设备304;该认证设备304判断该IP地址对应的用户终端301用户是否已经通过认证;若判断的结果为是,则该认证设备304就直接将该用户终端301用户对应的策略下发到网络设备302,而不必再进行认证。这样,网络设备302可根据该接入策略将该用户终端301连接到所要访问的应用,如应用服务器303,从而实现了用户单点登陆,给用户使用网络带来了便利。
其中,认证设备304判断该IP地址对应的用户终端用户是否已经通过认证,可采用如下方式:认证设备304接收网络设备302传送的IP地址;在预存用户信息、对应的IP地址、以及是否通过接入认证的对应关系表中进行查找;若在该对应关系表中存在与该IP地址对应的用户已经通过认证的记录,则该用户已经通过认证。
若该认证设备304判断该IP地址对应的用户终端301用户未通过认证,则该认证设备304要求对该用户终端301用户进行认证,本实施方式中可采用如下方式:认证设备304发送认证请求至网络设备302;网络设备302获取该用户终端301的用户信息并将该用户信息传送至认证设备304;其中,该用户信息可为用户名和/或密码;认证设备304根据该用户信息对该用户终端301用户进行认证;若认证通过,则将该用户终端301用户对应的策略下发到网络设备302。此外,还可将该用户终端301用户通过认证的结果记录到用户信息、对应的IP地址、以及是否通过认证的对应关系表中。
在本实施方式中,按照用户信息配置接入策略,并将该接入策略储存到认证设备304的存储单元405中。
以下结合附图3-5以某公司或企业的计算机管理***为例对上述接入方法进行说明。
步骤500,建立用户名(ID)-IP地址-是否通过认证的绑定关系,并储存在认证设备304的存储单元405中。例如以公司或企业的计算机管理***为例进行说明。
本实施例是基于用户标识(ID)信息进行网络管理。在认证设备304中设置ID管理模块(图中未示出),该模块包括用户信息,如甲、乙、丙的ID和分类信息,比如:将每个员工按照其部门和职位分别定义其分组和身份,并赋予其ID,如表1所示:
表1
| ID | 姓名 | 部门 | 职位 |
| Bob | 甲 | 研发部 | 部长 |
| Alex | 乙 | 人事部 | 普通员工 |
| Jennifer | 丙 | 人事部 | 普通员工 |
在该认证设备304中设置映射关系存储模块(图中未示出),该存储模块存储用户分别使用的IP地址或IP段。
在本实施例中,可以依照不同的职位,姓名,部门或其组合为其定义IP段,如依照部门设定IP地址段,如表2所示,按照部门定义IP地址段。
表2
| 部门 | IP地址段 |
| 研发部 | 192.168.1.1-192.168.1.15 |
| 人事部 | 192.168.1.17-192.168.1.24 |
此外,还可以根据用户的部门、职位或者ID个别定义IP地址段或IP地址。这样,当某个员工,如甲通过ID登录某台终端时,认证设备根据甲的ID,即Bob和绑定的表1和表2的对应关系来给甲分配IP地址,给甲分配IP地址可为192.168.1.1-192.168.1.15的其中之一,如分配的IP地址可以为192.168.1.15。但不限于上述方式,若考虑到甲是研发部部长,非普通员工,为保证其拥有更高的权限,也可以为甲单独定义IP范围,如192.168.1.16。
这样,可将分配的IP地址和用户ID记录在IP-ID绑定表中,并且将甲是否通过认证的记录也储存在该绑定表中,这样形成IP-ID-是否通过认证的关系表。如表3所示,若Bob已通过认证,同时还可以记录该用户登录的时间。并且该对应关系表可存入认证设备304的存储单元405中。
表3
| ID | IP | 是否通过认证 | 起始时间 | 结束时间 |
| Bob | 192.168.1.15 | 是 | 2008-1-20 16:30 | 2008-1-20 17:00 |
| Alex | 192.168.1.20 | 否 | 2008-1-20 8:00 | 2008-1-20 17:00 |
| Jennifer | 192.168.1.17 | 否 | 2008-1-20 10:00 | 2008-1-20 12:00 |
步骤501,配置接入策略;
在本发明实施方式中根据用户信息来配置策略,以获取用户信息与接入策略的对应关系。其中,用户信息可包括用户名、职位和/或部门等,可单独使用或组合使用,但不限于上述信息。
在配置接入策略时,策略配置人员可通过策略配置终端配置与用户信息对应的接入策略,并将配置的与用户信息对应的接入策略传送至认证设备304进行储存。
可采用以下方式配置接入策略,但不限于上述方式,还可采用其它方式。
第一种方式,认证设备304中储存有用户信息、网络设备302预先储存对应的接入策略。这样,策略配置终端通过网络设备302从认证设备304获取所述用户信息;根据获取的用户信息从网络设备302获取与该用户信息对应的接入策略;将获取的接入策略通过该网络设备传送至认证设备304进行储存。其中,
策略配置人员可为网管人员,策略配置终端可为网关人员的终端。该网管人员可通过其终端连接网络设备302,这样,在该网管人员终端的界面显示提示信息,该提示信息包括配置用户信息和接入策略的信息。
这样,网管人员根据该界面显示的用户信息从认证设备304获取用户信息。另外,终端界面上显示的配置接入策略的提示信息可为“从网络设备获取接入策略”,这样,通过按动显示界面上的“确定”按钮可从该网络设备302获取与该用户信息对应的接入策略,并将该接入策略传送至认证设备304的存储单元405中,这样在该认证设备304中存在用户信息与接入策略的绑定关系。
如图7所示,以用户信息其中之一来设置接入策略,例如该用户信息为用户名,即ID,但不限于此。例如,用户名1为Bob,其对应的接入策略为策略1,如可为“可以访问源代码服务器”;其用户信息-接入策略绑定关系表如表4所示:
表4
| 用户信息 | 接入策略 |
| 用户名1 | 策略1 |
| 用户名2 | 策略2 |
| ... | ... |
| 用户名n | 策略n |
如图8所示,以用户信息其中之二来设置接入策略,例如该用户信息为用户名和职位,但不限于此。例如,用户名1为Bob,职位1为部长,其对应的接入策略为策略1,如为“可以访问源代码服务器”;其用户信息-接入策略绑定关系表如表5所示:
表5
| 用户信息1 | 用户信息2 | 接入策略 |
| 用户名1 | 职位1 | 策略1 |
| 用户名2 | 职位2 | 策略2 |
| ... | ... | ... |
| 用户名n | 职位n | 策略n |
如图9所示,以用户信息其中之三来设置接入策略,例如该用户信息为用户名、职位和部门,但不限于此。例如,用户名1为Bob,职位1为部长、部门为研发部,其对应的接入策略为策略1,如为“可以访问源代码服务器”。其用户信息-接入策略绑定关系表如表6所示:
表6
| 用户信息1 | 用户信息2 | 用户信息3 | 接入策略 |
| 部门1 | 用户名1 | 职位1 | 策略1 |
| 部门2 | 用户名2 | 职位2 | 策略2 |
| ... | ... | ... | ... |
| 部门n | 用户名3 | 职位n | 策略n |
第二种方式:策略配置人员可利用其策略配置终端直接从认证设备304获取用户信息;根据该用户信息从网络设备302获取与该用户信息对应的接入策略,将获取的与该用户信息对应的接入策略通过该网络设备302传送至认证设备304进行储存。
其中,与第一种方式不在于,该网管人员可通过其终端直接连接认证设备304,而并非连接网络设备302。这样,在该网管人员终端的界面显示提示信息,该提示信息包括配置用户信息和接入策略的信息。
这样,网管人员根据该界面显示的用户信息直接从认证设备304获取用户信息。另外,终端界面上显示的配置接入策略的提示信息可为“从网络设备获取接入策略”,这样,通过按动显示界面上的“确定”按钮可从该网络设备302获取与该用户信息对应的接入策略,并将该接入策略传送至认证设备304的存储单元405中,这样在该认证设备304中存在用户信息与接入策略的绑定关系。配置过程类似第一种方式,此处不再赘述。
第三种方式:策略配置人员可利用其策略配置终端从认证设备304获取用户信息;根据该用户信息从认证设备304获取与该用户信息对应的接入策略,将获取的与该用户信息对应的接入策略传送至认证设备304进行储存。
其中,与第一、二种方式不在于,该网管人员可通过其终端直接连接认证设备304,直接从认证设备获取用户信息和接入策略。这样,在该网管人员终端的界面显示提示信息,该提示信息包括配置用户信息和接入策略的信息。
这样,网管人员根据该界面显示的用户信息直接从认证设备304获取用户信息。另外,终端界面上显示的配置接入策略的提示信息可为“从认证设备获取接入策略”,这样,通过按动显示界面上的“确定”按钮可从该认证设备304获取与该用户信息对应的接入策略,并将该接入策略保存至认证设备304的存储单元405中,这样在该认证设备304中存在用户信息与接入策略的绑定关系。
由上述可知,无论采用哪种配置方式,该认证设备304的存储单元405中均储存有用户信息-接入策略的绑定关系表,这样,该认证设备304就可根据表5、表6或表7的对应关系表,以及表1至表4的对应关系可下发与某一上网用户对应的接入策略。
步骤502,当用户终端301接入或穿越网络设备302访问源代码服务器,如应用服务器303时,其中,该用户终端301将其IP地址,例如192.168.1.15传送至网络设备302;
步骤503,网络设备302接收到该IP地址后,将该IP地址传送至认证设备304;
步骤504,认证设备304根据该IP地址和该网络设备302对应的ID-IP-是否通过认证的对应关系表来确定Bob是否已经通过认证,如表3所示;
步骤505,若在步骤504中,判断结果为该用户Bob已经通过认证,如表3所示,则认证设备304根据表4、5或6的绑定关系直接将与该用户Bob对应的接入策略传送至网络设备302,如该接入策略为“可以访问源代码服务器”;步骤506,网络设备302根据该接入策略就可将该用户终端301连接到应用服务器303上。若该用户对应的接入策略为“不可访问源代码服务器”,则该网络设备302不允许用户终端301访问该应用服务器303。
若在步骤504中,判断结果为Bob未通过认证,则执行步骤507;
步骤507,认证设备304要求对用户终端301用户进行认证;其中,可采用如下方式:认证设备304发送认证请求至网络设备302;
步骤508,网络设备302接收到该请求后,从用户终端301获取用户信息,在本实施方式中,网络设备302向用户终端301请求用户信息,如用户名(ID)和密码,则在该用户终端301的显示界面上显示输入用户名和密码,这样,用户终端301用户可输入用户名和密码,并将该用户名和密码传送至网络设备302;网络设备302获取该用户信息后,将该用户信息传送至认证设备304;认证设备304根据该用户信息进行认证;
步骤509、510,若认证通过,则认证设备304根据表5、6或7将该用户终端301用户对应的接入策略下发至网络设备302。这样,网络设备302可根据该接入策略对该用户终端301的接入进行控制。
另外,若认证通过后,可将该用户Bob已经通过认证的信息记录到ID-IP-是否通过认证的绑定关系表3中。
由上述实施方式可知,网络设备可为接入设备也可为在线设备,如交换机、路由器或防火墙。在该网络中存在多个网络设备,如网络设备302、网络设备302’等的情况下,若Bob第一次通过ID登录该用户终端301,并经过认证后,通过网络设备302连接应用服务器303;当Bob再通过网络设备302’连接应用服务器303’时,当认证设备304根据该IP地址和该网络设备302’对应的ID-IP-是否通过认证的对应关系表来判断该IP地址对应的用户Bob已经通过认证,则该认证设备304直接下发接入策略至网络设备302’,而不需要再次输入用户名和密码进行认证后下发策略。因此,本发明的认证方法只需输入一次用户名和密码进行认证,不需要输入多次进行多次认证,可实现用户单点登陆,简化了用户操作,给用户使用网络带来便利。此外,还可根据表3的开始时间和结束时间来确定实施网络行为的责任人,有利于网络安全。
但是,在现有的相关技术中,当Bob通过网络设备302’连接应用服务器303’时,还需要再次输入用户名和密码进行认证,认证通过后再获得接入策略以连接到应用服务器303’。这样,使得用户终端进行多次认证,操作复杂,给用户带来麻烦。
此外,在本实施方式中,当与用户对应的接入策略发生变化,如网管人员修改了接入策略或间接造成接入策略改动的其它信息,则该方法还包括,如图6所示:
步骤601,更新认证设备304上的接入策略。这样,当用户终端301重新接入网络设备302时,该认证设备304将更新后的接入策略下发到网络设备302中。
步骤602,认证设备304通知网络设备302更新的接入策略;
步骤603,网络设备302从认证设备304获取更新的接入策略;
步骤604,网络设备302根据更新的接入策略更新其原有的接入策略。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种网络认证方法,其特征在于,当用户终端接入或穿越网络设备时,该方法包括:
所述网络设备获取该用户终端传送的IP地址;
根据该IP地址从认证设备获取与用户终端用户对应的接入策略;
根据该接入策略来决定是否将所述用户终端连接到所访问的应用。
2.根据权利要求1所述的方法,其特征在于,所述根据IP地址获取与用户终端用户对应的接入策略,包括:
所述网络设备将所述IP地址传送至认证设备;
该认证设备判断该IP地址对应的用户终端用户是否已经通过认证;
若判断的结果为是,则该认证设备将该用户终端用户对应的策略下发到所述网络设备。
3.根据权利要求2所述的方法,其特征在于,所述认证设备判断该IP地址对应的用户终端用户是否已经通过认证,包括:
所述认证设备接收所述IP地址;
在预存用户信息、对应的IP地址、以及是否通过认证记录的对应关系表中进行查找;
若在该对应关系表中存在与该IP地址对应的用户终端用户已经通过认证的记录,则该用户已经通过认证。
4.根据权利要求3所述的方法,其特征在于,若该认证设备判断该IP地址对应的用户终端用户未通过认证,该方法包括:
所述认证设备发送认证请求至所述网络设备;
所述网络设备获取所述用户终端的用户信息并将该用户信息传送至所述认证设备;
所述认证设备根据该用户信息对该用户终端用户进行认证;
若认证通过,则将该用户终端用户对应的策略下发到所述网络设备。
5.根据权利要求4所述的方法,其特征在于,该方法还包括:将该用户终端用户通过认证的结果记录到用户信息、对应的IP地址、以及是否通过接入认证记录的对应关系表中。
6.根据权利要求2所述的方法,其特征在于,在用户终端接入网络设备之前,该方法还包括:
策略配置人员通过策略配置终端配置与用户信息对应的接入策略;
将获取的与所述用户信息对应的接入策略储存至所述认证设备。
7.根据权利要求6所述的方法,其特征在于,所述配置与用户信息对应的接入策略,包括:
策略配置终端通过所述网络设备从所述认证设备获取所述用户信息;
根据获取的所述用户信息从所述网络设备获取与该用户信息对应的接入策略。
8.根据权利要求6所述的方法,其特征在于,所述配置与用户信息对应的接入策略,包括:
策略配置终端从所述认证设备获取用户信息;
根据所述用户信息从所述网络设备获取与该用户信息对应的接入策略。
9.根据权利要求6所述的方法,其特征在于,所述配置与用户信息对应的接入策略,包括:
策略配置终端从所述认证设备获取用户信息;
根据所述用户信息从所述认证设备获取与该用户信息对应的接入策略。
10.根据权利要求6所述的方法,其特征在于,该方法还包括:更新所述接入策略。
11.根据权利要求10所述的方法,其特征在于,在更新该接入策略后还包括:
所述认证设备通知所述网络设备更新后的接入策略;
所述网络设备下载更新后的所述接入策略;
所述网络设备将原有的接入策略改为更新后的接入策略。
12.一种网络认证***,该***包括通过网络相连接的至少一个网络设备和应用服务器,其特征在于,该***还包括认证设备;其中,
网络设备,用于获取用户终端传送的IP地址,并将该IP地址传送至该认证设备;用于接收所述认证设备传送的接入策略,并根据该接入策略来决定是否将所述用户终端连接到所述应用服务器;
认证设备,通过网络与所述网络设备连接,用于接收所述网络设备传送的IP地址,判断该IP地址对应的用户终端用户是否已经通过认证,若判断的结果为是,则将该用户终端用户对应的接入策略下发到所述网络设备;若判断结果为否,则对该用户终端用户进行认证,若认证通过,则该认证设备将该用户终端用户对应的接入策略下发到所述网络设备。
13.根据权利要求12所述的***,其特征在于,所述认证设备包括接收单元、判断单元、策略下发单元和认证单元;其中,
接收单元,用于接收所述网络设备传送的IP地址;
判断单元,与所述接收单元连接,用于判断该IP地址对应的用户终端用户是否已经通过认证,若判断的结果为是,则将该已经通过认证的判断结果传送至所述策略下发单元;若判断结果为否,则将该未通过认证的判断结果传送至所述认证单元;
认证单元,与所述判断单元连接,用于根据该判断单元传送的未通过认证的判断结果对用户终端用户进行认证,若认证通过,则将认证通过结果传送至策略下发单元;
策略下发单元,与所述判断单元和认证单元连接,用于根据判断单元和认证单元传送的信息将该用户终端用户对应的接入策略下发至所述网络设备。
14.根据权利要求13所述的***,其特征在于,所述判断单元根据预存的用户信息、IP地址和是否通过认证记录的对应关系表来判断该IP地址对应的用户终端用户是否已经通过接入认证。
15.根据权利要求14所述的***,其特征在于,所述认证设备还包括存储单元,该存储单元用于储存用户终端用户信息的接入策略以及所述对应关系表。
16.一种认证设备,其特征在于,该认证设备包括接收单元、判断单元、策略下发单元和认证单元;其中,
接收单元,用于接收所述网络设备传送的IP地址;
判断单元,与所述接收单元连接,用于判断该IP地址对应的用户终端用户是否已经通过认证,若判断的结果为是,则将该已经通过认证的判断结果传送至所述策略下发单元;若判断结果为否,则将该未通过认证的判断结果传送至所述认证单元;
认证单元,与所述判断单元连接,用于根据该判断单元传送的未通过认证的判断结果对用户终端用户进行认证,若认证通过,则将认证通过结果传送至策略下发单元;
策略下发单元,与所述判断单元和认证单元连接,用于根据判断单元和认证单元传送的信息将该用户终端用户对应的接入策略下发至所述网络设备。
17.根据权利要求16所述的认证设备,其特征在于,所述判断单元根据预存的用户信息、IP地址和是否通过认证记录的对应关系表来判断该IP地址对应的用户终端用户是否已经通过认证。
18.根据权利要求17所述的认证设备,其特征在于,所述认证设备还包括存储单元,该存储单元用于储存用户终端用户对应的接入策略以及所述对应关系表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810102193A CN101540757A (zh) | 2008-03-19 | 2008-03-19 | 网络认证方法、***和认证设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810102193A CN101540757A (zh) | 2008-03-19 | 2008-03-19 | 网络认证方法、***和认证设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101540757A true CN101540757A (zh) | 2009-09-23 |
Family
ID=41123746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810102193A Pending CN101540757A (zh) | 2008-03-19 | 2008-03-19 | 网络认证方法、***和认证设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101540757A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438019A (zh) * | 2011-12-22 | 2012-05-02 | 中国电子科技集团公司第十五研究所 | 业务信息***访问权限控制方法及*** |
| CN102546642A (zh) * | 2012-01-16 | 2012-07-04 | 深圳市深信服电子科技有限公司 | 远程登录的方法及装置 |
| CN102724172A (zh) * | 2011-07-28 | 2012-10-10 | 北京天地互连信息技术有限公司 | 支持快速接入认证的***和方法 |
| CN103067348A (zh) * | 2011-10-20 | 2013-04-24 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络有线/无线统一认证漫游方法 |
| CN104468553A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 一种公共账号登录的方法、装置及*** |
| CN105592052A (zh) * | 2015-09-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防火墙规则配置方法及装置 |
| CN106357658A (zh) * | 2016-09-30 | 2017-01-25 | 四川长虹电器股份有限公司 | 用户安全接入方法 |
| CN106559785A (zh) * | 2015-09-30 | 2017-04-05 | 中国电信股份有限公司 | 认证方法、设备和***以及接入设备和终端 |
| CN106603257A (zh) * | 2015-10-15 | 2017-04-26 | 北京艾科网信科技有限公司 | 一种确定工位与交换机端口的关联关系的方法 |
| CN106936804A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
| CN109347840A (zh) * | 2015-11-30 | 2019-02-15 | 北京奇艺世纪科技有限公司 | 一种业务方访问规则的配置的方法和装置 |
| CN114070651A (zh) * | 2022-01-11 | 2022-02-18 | 中国空气动力研究与发展中心计算空气动力研究所 | 一种单点登录***和方法 |
-
2008
- 2008-03-19 CN CN200810102193A patent/CN101540757A/zh active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724172A (zh) * | 2011-07-28 | 2012-10-10 | 北京天地互连信息技术有限公司 | 支持快速接入认证的***和方法 |
| CN103067348A (zh) * | 2011-10-20 | 2013-04-24 | 安美世纪(北京)科技有限公司 | 一种酒店公共网络有线/无线统一认证漫游方法 |
| CN102438019A (zh) * | 2011-12-22 | 2012-05-02 | 中国电子科技集团公司第十五研究所 | 业务信息***访问权限控制方法及*** |
| CN102546642A (zh) * | 2012-01-16 | 2012-07-04 | 深圳市深信服电子科技有限公司 | 远程登录的方法及装置 |
| CN102546642B (zh) * | 2012-01-16 | 2015-08-05 | 深圳市深信服电子科技有限公司 | 远程登录的方法及装置 |
| CN104468553A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 一种公共账号登录的方法、装置及*** |
| CN105592052B (zh) * | 2015-09-10 | 2019-06-07 | 新华三技术有限公司 | 一种防火墙规则配置方法及装置 |
| CN105592052A (zh) * | 2015-09-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防火墙规则配置方法及装置 |
| CN106559785A (zh) * | 2015-09-30 | 2017-04-05 | 中国电信股份有限公司 | 认证方法、设备和***以及接入设备和终端 |
| CN106559785B (zh) * | 2015-09-30 | 2020-02-14 | 中国电信股份有限公司 | 认证方法、设备和***以及接入设备和终端 |
| CN106603257A (zh) * | 2015-10-15 | 2017-04-26 | 北京艾科网信科技有限公司 | 一种确定工位与交换机端口的关联关系的方法 |
| CN109347840A (zh) * | 2015-11-30 | 2019-02-15 | 北京奇艺世纪科技有限公司 | 一种业务方访问规则的配置的方法和装置 |
| CN109347840B (zh) * | 2015-11-30 | 2021-09-24 | 北京奇艺世纪科技有限公司 | 一种业务方访问规则的配置的方法和装置 |
| CN106936804A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
| CN106936804B (zh) * | 2015-12-31 | 2020-04-28 | 华为技术有限公司 | 一种访问控制方法以及认证设备 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及*** |
| CN106357658A (zh) * | 2016-09-30 | 2017-01-25 | 四川长虹电器股份有限公司 | 用户安全接入方法 |
| CN114070651A (zh) * | 2022-01-11 | 2022-02-18 | 中国空气动力研究与发展中心计算空气动力研究所 | 一种单点登录***和方法 |
| CN114070651B (zh) * | 2022-01-11 | 2022-04-12 | 中国空气动力研究与发展中心计算空气动力研究所 | 一种单点登录***和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101540757A (zh) | 网络认证方法、***和认证设备 | |
| CN101647254B (zh) | 用于为终端设备提供服务的方法和*** | |
| CN102143134B (zh) | 分布式身份认证方法、装置与*** | |
| KR101565828B1 (ko) | 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법 | |
| WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| CN103262466A (zh) | 认证***、认证服务器、服务提供服务器、认证方法和计算机可读记录介质 | |
| CN108880822A (zh) | 一种身份认证方法、装置、***及一种智能无线设备 | |
| CN101453328A (zh) | 身份管理***及身份认证*** | |
| CN101506819A (zh) | 网络连接终端认证方法、网络连接终端认证程序及网络连接终端认证装置 | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| JP4607602B2 (ja) | アクセス提供方法 | |
| CN109088890A (zh) | 一种身份认证方法、相关装置及*** | |
| CN101291220B (zh) | 一种身份安全认证的***、装置及方法 | |
| CN104052829A (zh) | 自适应名字解析 | |
| KR101278926B1 (ko) | 본인확인이 가능한 소셜 인증 로그인 시스템 및 그 제공방법 | |
| CN101523366A (zh) | 基于客户机的假名 | |
| CN102083066A (zh) | 统一安全认证的方法和*** | |
| KR102118556B1 (ko) | 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법 | |
| KR101996317B1 (ko) | 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법 | |
| KR102062851B1 (ko) | 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템 | |
| CN103118025A (zh) | 基于入网认证的单点登录方法、装置及认证服务器 | |
| KR102481213B1 (ko) | 로그인 인증 처리를 위한 시스템 및 방법 | |
| KR101627896B1 (ko) | 인증 어플리케이션을 이용한 인증 방법 및 장치 | |
| US8843741B2 (en) | System and method for providing a certificate for network access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20090923 |