CN102857508B - 一种Radius认证的方法 - Google Patents
一种Radius认证的方法 Download PDFInfo
- Publication number
- CN102857508B CN102857508B CN201210335195.6A CN201210335195A CN102857508B CN 102857508 B CN102857508 B CN 102857508B CN 201210335195 A CN201210335195 A CN 201210335195A CN 102857508 B CN102857508 B CN 102857508B
- Authority
- CN
- China
- Prior art keywords
- login
- mode
- certification
- login mode
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种Radius认证的方法。通过将RFC2865中规定的RADIUS协议中用于表示允许用户登录(Login)方式的Login-Service(15)属性由只能在Code=2的认证成功报文(Access-Accept)中出现0~1次改为可以在Code=1的认证请求报文(Access-Request)报文中出现0~1次,或者在Code=2的认证成功报文(Access-Accept)中出现多次。通过本发明,可以实现同一个账号支持多种不同的登录方式认证,极大地方便了网络管理员的账号管理。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种实现同一账号支持多种不同登录方式进行Radius认证的方法。
背景技术
交换机、路由器等网络设备将各种通信终端连接起来组成计算机网络,这些网络设备成为计算机网络中至关重要的环节,为了保证整个计算机网络的安全可靠,当管理员需要登录(Login)到这些网络设备上进行维护和管理时,网管设备需要对登录的管理员进行身份认证和权限控制(AAA)。
目前,在实际的网络应用中,用于AAA的协议主要有RADIUS和TACACS+两种协议,其中TACACS+协议虽然对这种Login用户的AAA支持较为全面,且具有良好的可扩展性,但它仅是一个私有协议标准,并没有形成RFC国际标准。
RFC2865对RADIUS协议支持Login用户的AAA做了详细地说明,可以实现对通过Console、Telnet、SSH等方式登录到网络设备上的用户进行身份认证和权限控制。
根据RFC2865的说明,现有方案中,以用户通过Telnet(远程登录)方式登录(Login)为例,其认证流程如下:
S11,管理员通过Telnet方式登录目标网络设备上,输入登录用户名和密码。
S12,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文(Access-Request),携带属性Service-Type(6)=1,表示为用户登录(Login)认证。
S13,RADIUS服务器对用户身份认证成功后返回Code=2的认证成功报文(Access-Accept),携带属性Login-Service(15)=0,表示该用户允许使用Telnet方式登录设备,并记录管理员登录成功的日志。
S14,网络设备检查授权的Login-Service与实际登录方式一致,管理员成功登录设备。
其中,Login-Service(15)属性用于表示允许用户使用哪种方式来登录,如0表示Telnet,1表示Rlogin……,各厂商也可以根据需要对该属性的值进行扩展,用于支持Console、SSH、FTP等方式的登录。
在本方案中,由于Access-Accept报文中携带的属性Login-Service(15)=0,表示该用户允许使用Telnet方式登录设备,由于授权的Login-Service与实际登录方式一致,管理员成功登录设备。
反之,如果在前述S13步骤中,假设Access-Accept报文中携带的属性Login-Service(15)=1,表示允许该授权用户使用Rlogin方式登录设备,此时,RADIUS服务器返回Code=2的认证成功Access-Accept报文后,由于目标网络设备检查授权的Login-Service(Rlogin登录方式)与实际登录方式(Telnet登录方式)不一致,则目标网络设备拒绝管理员登录。
进一步地,根据RFC2865的规定,属性Login-Service(15)只能出现在Access-Accept报文中,且只能出现0或1次,这样一个管理员账号只能用于一种登录方式,例如:当张三通过Console口直接管理网络设备时使用A账号,当使用Telnet方式远程管理设备时就需要使用B账号,FTP到设备上升级软件版本时又需要使用C账号,这给网络管理员账号的管理带来了不方便。
另外,根据前面的描述,如果Radius服务器允许授权用户使用的登录方式与该授权用户实际登录的方式不一致,则会出现在Radius服务器上记录用户认证成功的日志,但实际上用户登录网络设备失败的情形,不利于管理员事后对问题的回溯和分析。
发明内容
有鉴于此,本发明提供一种Radius认证的方法。通过本发明,可以使网络管理员以同一账号实现多种不同登录方式的认证。
为实现本发明目的,本发明实现方案具体如下:
一种Radius认证的方法,用于实现同一账号支持多种不同登录方式,其中所述方法包括:
S21,网络管理员以某种登录方式登录目标网络设备,输入登录用户名和密码;
S22,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文(Access-Request),携带属性Service-Type(6)=1,表示为Login用户认证,同时携带表示用户登录方式的属性Login-Service(15)相应的参数;
S23,RADIUS服务器对用户身份进行认证,并检查管理员用户实际使用的登录方式是否属于其允许使用的登录方式,如果是,则返回Code=2的认证成功报文(Access-Accept)。
进一步地,RADIUS服务器允许管理员用户使用的登录方式,具体为:根据实际管理需要,事先设置的Console、Telnet、SSH、Rlogin、FTP登录方式中的一种或多种。
进一步地,当RADIUS服务器对用户身份认证失败,或检查到管理员实际使用的登录方式不属于其允许使用的登录方式,则返回Code=3的认证拒绝报文(Access-Reject)。
本发明同时提供一种Radius认证的方法,用于实现同一账号支持多种不同登录方式,其中所述方法包括:
S31,网络管理员以某种登录方式登录目标网络设备,输入登录用户名和密码;
S32,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文(Access-Request),携带属性Service-Type(6)=1,表示为Login用户认证;
S33,RADIUS服务器对用户身份进行认证,如果通过,则返回Code=2的认证成功报文(Access-Accept),并携带RADIUS服务器允许用户登录的所有登录方式对应属性Login-Service(15)参数。
进一步地,RADIUS服务器允许管理员用户使用的登录方式,具体为事先设置的Console、Telnet、SSH、Rlogin、FTP等登录方式中的一种或多种。
进一步地,所述步骤33之后还包括:目标网络设备收到Access-Accept报文后,检查管理员用户登录的方式是否为允许用户登录方式中的一种,如果是,则管理员成功登录目标网络设备,否则,则目标网络设备拒绝管理员登录。
进一步地,在所述步骤33中,如果用户身份认证失败,则返回Code=3的认证失败报文(Access-Accept),目标网络设备收到Access-Reject报文后拒绝管理员用户登录。
与现有的技术方案相比,本发明可以实现一个网络管理员账号用于多种不同的登录方式进行Radius认证,且当实际登录方式与授权的登录方式不一致导致的网络管理员登录失败直接体现为RADIUS服务器的用户认证失败日志,极大地方便了网络管理员的账号管理。
附图说明
图1是本发明实施例1同一账号支持多种不同登录方式认证的方法流程图。
图2是本发明实施例2同一账号支持多种不同登录方式认证的方法流程图。
具体实施方式
为了实现本发明目的,本发明采用的核心思想为:将RFC2865中规定的RADIUS协议中用于表示允许用户登录(Login)方式的Login-Service(15)属性由只能在Code=2的认证成功报文(Access-Accept)中出现0~1次改为可以在Code=1的认证请求报文(Access-Request)报文中出现0~1次,或者在Code=2的认证成功报文(Access-Accept)中出现多次。通过本发明,可以实现一个网络管理员账号用于多种不同的登录方式认证,极大地方便了网络管理员的账号管理。
为使本发明技术方案更加清楚和明白,以下结合本发明具体实施例加以详细说明。
实施例1
如图1所示,一种Radius认证的方法,用于实现同一账号支持多种不同登录方式,所述方法包括:
S21,管理员以某种登录方式登录目标网络设备,输入登录用户名和密码。
具体地,所述登录方式与现有登录方式一致,具体可以为:Console、Telnet、SSH、Rlogin、FTP等登录方式中的一种,在此不赘述。
S22,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文(Access-Request),携带属性Service-Type(6)=1,表示为Login用户认证,同时携带表示用户登录方式的属性Login-Service(15)相应的参数。
与现有的方案相比,本发明将Login-Service(15)属性改在Code=1的认证请求报文(Access-Request)中出现,用来表示当前Login用户的登录方式。假设在本发明实施例中,管理员用户采用telnet的方式登录目标网络设备,则此步骤中,携带的属性Login-Service(15)=0,表示该管理员用户使用Telnet方式登录目标网络设备。
S23,RADIUS服务器对用户身份进行认证,并检查管理员用户实际使用的登录方式是否属于其允许使用的登录方式,如果是,则返回Code=2的认证成功报文(Access-Accept);否则,返回Code=3的认证拒绝报文(Access-Reject),并进入步骤25。
在本步骤中,RADIUS服务器首先需要对用户身份进行认证,如果对用户身份认证成功,则进一步检查用户的登记方式是否属于RADIUS服务器允许其使用的登录方式。其中于RADIUS服务器允许管理员用户使用的登录方式,在具体实现时,可以根据实际管理需要,事先设置为Console、Telnet、SSH、Rlogin、FTP等登录方式中的一种或多种。
当管理员用户实际登录的方式为RADIUS服务器允许其使用的登录方式时,返回Code=2的认证成功报文(Access-Accept),并记录管理员登录成功的日志。
反之,如果用户身份认证失败(包括输入用户名和密码错误两种情形),或者用户实际登录的方式不是RADIUS服务器允许其使用的登录方式时,则返回Code=3的认证拒绝报文(Access-Reject),并记录管理员登录失败的日志(包含失败原因),进入步骤25。
S24,管理员成功登录设备。
在本步骤中,如果管理员用户实际使用的登录方式属于Radius服务器允许使用的登录方式,管理员成功登录设备。假设用户实际通过Telnet方式登录,Radius服务器允许该用户使用Telnet方式登录设备,由于授权的登录方式与用户实际登录方式一致,因此,管理员成功登录设备。
S25,目标网络设备收到Access-Reject报文后拒绝管理员用户登录。
本步骤中,当RADIUS服务器对用户身份认证失败,或者管理员实际使用的登录方式不属于其允许使用的登录方式时,目标网络设备收到Access-Reject报文后拒绝管理员用户登录。
与现有技术方案相比,本发明实施例1通过将Login-Service(15)属性改为可以在Code=1的认证请求报文(Access-Request)中出现,用来表示当前Login用户请求的登录方式。通过该实现方式,不仅可以实现同一个管理员账号用于多种不同的登录方式认证,而且当实际登录方式与授权的登录方式不一致导致的网络管理员登录失败,可以直接体现为RADIUS服务器的用户认证失败日志。
实施例2
如图2所示,一种Radius认证的方法,用于实现同一账号支持多种不同登录方式,所述方法包括如下步骤:
S31,网络管理员以某种登录方式登录目标网络设备,输入登录用户名和密码。
具体地,所述登录方式与现有登录方式一致,具体可以为:Console、Telnet、SSH、Rlogin、FTP等登录方式中的一种,在此不赘述。
S32,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文(Access-Request),携带属性Service-Type(6)=1,表示为Login用户认证。
S33,RADIUS服务器对用户身份进行认证,如果通过,则返回Code=2的认证成功报文(Access-Accept),并携带RADIUS服务器允许用户登录的所有登录方式对应属性Login-Service(15)的参数;否则,返回Code=3的认证失败报文(Access-Reject),并进入步骤35。
在本步骤中,如果Radius服务器对用户身份认证成功,则返回Code=2的认证成功报文(Access-Accept),并携带RADIUS服务器允许用户登录的所有登录方式对应属性Login-Service(15)参数。
其中RADIUS服务器允许管理员用户使用的登录方式,在具体实现时,可以根据实际管理需要,事先设置为Console、Telnet、SSH、Rlogin、FTP等登录方式中的一种或多种。
譬如:在本发明中,RADIUS服务器允许管理员用户使用的登录方式为Telnet、Rlogin,则返回Code=2的认证成功报文(Access-Accept)时,携带Login-Service(15)=0以及Login-Service(15)=1这两个属性,并记录管理员登录成功的日志。
反之,如果RADIUS服务器对用户身份认证失败(包括输入用户名和密码错误两种情形),则返回Code=3的认证失败报文(Access-Reject),并记录管理员登录失败的日志(包含失败原因),进入步骤35。
S34,目标网络设备收到Access-Accept报文后,检查管理员用户登录的方式是否为允许用户登录方式中的一种,如果是,则管理员成功登录目标网络设备,否则,进入步骤35。
具体地,目标网络设备收到Access-Accept报文后,通过解析RADIUS服务器允许用户登录的所有登录方式对应属性Login-Service(15)的参数,得知Radius服务器允许管理员用户登录的所有方式。进一步地,检查管理员实际登录的方式是否为Radius服务器允许管理员用户登录的所有方式的一种。如果是,则允许管理员登录目标网络设备,否则,则进入步骤35。
S35,目标网络设备拒绝管理员用户登录。
具体地,当RADIUS服务器对用户身份认证失败,目标网络设备收到Radius服务器返回Code=3的认证失败报文(Access-Reject),或者目标网络设备收到RADIUS服务器的Access-Accept报文后,检查管理员用户登录的方式非为Radius服务器允许用户的登录方式时,所述目标网络设备则拒绝管理员用户登录。
与现有的技术方案相比,通过将Login-Service(15)属性改为在Code=2的认证成功报文(Access-Accept)中出现多次,用来表示当前Login用户运行使用的多个登录方式,其他认证流程仍与现有流程相同,同样可以实现一个网络管理员账号用于多种不同的登录方式认证。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (7)
1.一种Radius认证的方法,用于实现同一账号支持多种不同登录方式,其特征在于,所述方法包括:
S21,网络管理员以某种登录方式登录目标网络设备,输入登录用户名和密码;
S22,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文Access-Request,携带属性Service-Type(6)=1,表示为Login用户认证,同时携带表示用户登录方式的属性Login-Service(15)相应的参数;
S23,RADIUS服务器对用户身份进行认证,并检查管理员用户实际使用的登录方式是否属于其允许使用的登录方式,如果是,则返回Code=2的认证成功报文Access-Accept。
2.如权利要求1所述的方法,其特征在于,RADIUS服务器允许管理员用户使用的登录方式,具体为:根据实际管理需要,事先设置的Console、Telnet、SSH、Rlogin、FTP登录方式中的一种或多种。
3.如权利要求1所述的方法,其特征在于,在所述步骤S23中,当RADIUS服务器对用户身份认证失败,或检查到管理员实际使用的登录方式不属于其允许使用的登录方式,则返回Code=3的认证拒绝报文Access-Reject。
4.一种Radius认证的方法,用于实现同一账号支持多种不同登录方式,其特征在于,所述方法包括:
S31,网络管理员以某种登录方式登录目标网络设备,输入登录用户名和密码;
S32,目标网络设备根据配置认为需要到RADIUS服务器上认证,发起Code=1的认证请求报文Access-Request,携带属性Service-Type(6)=1,表示为Login用户认证;
S33,RADIUS服务器对用户身份进行认证,如果通过,则返回Code=2的认证成功报文Access-Accept,并携带RADIUS服务器允许用户登录的所有登录方式对应属性Login-Service(15)参数。
5.如权利要求4所述的方法,其特征在于,RADIUS服务器允许管理员用户使用的登录方式,具体为事先设置的Console、Telnet、SSH、Rlogin、FTP登录方式中的一种或多种。
6.如权利要求4所述的方法,其特征在于,所述步骤S33之后还包括:目标网络设备收到Access-Accept报文后,检查管理员用户登录的方式是否为允许用户登录方式中的一种,如果是,则管理员成功登录目标网络设备,否则,则目标网络设备拒绝管理员登录。
7.如权利要求4所述的方法,其特征在于,在所述步骤S33中,如果用户身份认证失败,则返回Code=3的认证失败报文Access-Reject,目标网络设备收到Access-Reject报文后拒绝管理员用户登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210335195.6A CN102857508B (zh) | 2012-09-11 | 2012-09-11 | 一种Radius认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210335195.6A CN102857508B (zh) | 2012-09-11 | 2012-09-11 | 一种Radius认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102857508A CN102857508A (zh) | 2013-01-02 |
| CN102857508B true CN102857508B (zh) | 2016-06-22 |
Family
ID=47403702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210335195.6A Active CN102857508B (zh) | 2012-09-11 | 2012-09-11 | 一种Radius认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102857508B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI778709B (zh) * | 2021-07-14 | 2022-09-21 | 新加坡商鴻運科股份有限公司 | 遠端訪問方法、電子設備及儲存介質 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616128A (zh) * | 2008-06-28 | 2009-12-30 | 华为技术有限公司 | 一种访问控制方法及***以及相关设备 |
| CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | ***通信集团公司 | 无线局域网终端认证方法及*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6151628A (en) * | 1997-07-03 | 2000-11-21 | 3Com Corporation | Network access methods, including direct wireless to internet access |
| US7334038B1 (en) * | 2000-04-04 | 2008-02-19 | Motive, Inc. | Broadband service control network |
-
2012
- 2012-09-11 CN CN201210335195.6A patent/CN102857508B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616128A (zh) * | 2008-06-28 | 2009-12-30 | 华为技术有限公司 | 一种访问控制方法及***以及相关设备 |
| CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | ***通信集团公司 | 无线局域网终端认证方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102857508A (zh) | 2013-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10749858B2 (en) | Secure login information | |
| JP3844762B2 (ja) | Eponにおける認証方法及び認証装置 | |
| CN102905260B (zh) | 移动终端的数据传输的安全与认证*** | |
| CN102196434A (zh) | 无线局域网终端认证方法及*** | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN103685283B (zh) | 一种通信网络管理的认证授权***及方法 | |
| CN103428211A (zh) | 基于交换机的网络认证***及其认证方法 | |
| US20090158409A1 (en) | Remote configuration, provisioning and/or updating in a layer two authentication network | |
| CN104009972B (zh) | 网络安全接入的认证***及其认证方法 | |
| Ranjan et al. | Security analysis of TLS authentication | |
| CN106452763A (zh) | 一种通过远程虚拟usb设备使用密码钥匙方法 | |
| TW201946416A (zh) | 基於目標式移動防護的主機防護系統及其方法 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN107659935A (zh) | 一种认证方法、认证服务器、网管***及认证*** | |
| WO2008025277A1 (en) | Method, system and password management server for managing user password of network device | |
| CN112491896B (zh) | 一种基于虚拟化网络的可信接入认证*** | |
| CN102857508B (zh) | 一种Radius认证的方法 | |
| CN107040508B (zh) | 用于适配终端设备的授权信息的设备和方法 | |
| CN107872421A (zh) | 节点认证方法和***以及相关设备 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| CN101170566A (zh) | 一种多域认证方法及*** | |
| CN102710422B (zh) | 一种避免认证阻塞的节点认证方法 | |
| CN108574657A (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| US10148443B2 (en) | Authentication infrastructure for IP phones of a proprietary TOIP system by an open EAP-TLS system | |
| CN107733931A (zh) | 入口认证方法、装置及入口服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Patentee before: Huasan Communication Technology Co., Ltd. |