專利名稱：一種安全認證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及安全認證方法，更具體地說，本發(fā)明涉及一種在網(wǎng)絡中實現(xiàn)802.1x與Windows域統(tǒng)一認證的方法。
背景技術(shù)：
目前企業(yè)信息化工作不斷的深化，企業(yè)寬帶的部署越來越廣泛，企業(yè)網(wǎng)所提供的網(wǎng)絡資源也越來越多，很多企事業(yè)單位已經(jīng)建立了基于Windows域的管理系統(tǒng)，通過Windows域集中管理所有用戶的權(quán)限。其中用來管理該域的服務器被稱為域控制器(或Windows域控制器)。與通常啟動個人電腦時一樣，所述基于Windows域的信息管理系統(tǒng)中采用用戶名和密碼登錄驗證的方式進行安全認證，即用戶輸入用戶名和密碼登錄到域，再訪問這個“域”所管理的資源時就無須每次輸入密碼了。但上述安全驗證方法對于基于Windows信息管理系統(tǒng)的權(quán)限控制只能作用到應用層，還無法實現(xiàn)對用戶的物理訪問權(quán)限的控制，例如對網(wǎng)絡接入權(quán)限的控制，這給企業(yè)網(wǎng)的網(wǎng)絡和應用安全帶來很多隱患。
為了更加有效地控制和管理網(wǎng)絡資源，提高網(wǎng)絡接入的安全性，業(yè)界在安全認證時還進一步通過802.1x認證實現(xiàn)對接入用戶的身份識別和權(quán)限控制，具體實現(xiàn)方案如下為用戶提供單獨的802.1x客戶端，在上網(wǎng)的時候，用戶必須通過802.1x認證才能訪問網(wǎng)絡，具體實現(xiàn)時，用戶需要先進入Windows桌面，然后開啟802.1x客戶端進行802.1x認證，認證通過后，用戶就可以進行網(wǎng)絡訪問了；當用戶需要訪問Windows域控制器所限制的資源時，必須再次輸入域用戶名、密碼進行Windows域認證。
由上述可知，現(xiàn)有技術(shù)存在如下缺點Windows域與802.1x認證服務器各自擁有專用的用戶身份識別和權(quán)限控制信息，造成用戶接入網(wǎng)絡和登錄Windows域時需要使用兩套用戶名和密碼，用戶的身份不統(tǒng)一，使得用戶必須記憶兩套用戶名密碼，用戶在操作上也比較麻煩。例如，如果讓用戶先進行802.1x認證后才能上網(wǎng)，那么用戶必須先進入Windows桌面，然后才能開啟802.1x客戶端上網(wǎng)，并且當訪問域控制的資源時，還要再次輸入域用戶名和密碼，操作過程十分繁瑣。

發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題是提供一種方便用戶操作的安全認證方法，以統(tǒng)一802.1x和windows域認證流程，并進一步增強windows域的安全性。
為解決上述問題，本發(fā)明的一種安全認證方法，用于在網(wǎng)絡中實現(xiàn)802.1x與Windows域統(tǒng)一認證，所述網(wǎng)絡中包括有用于802.1x接入認證的認證設(shè)備、認證服務器和安裝在Windows域中用戶終端計算機上的802.1x客戶端以及Windows域控制器，該方法包括如下步驟a、用戶終端計算機上的Windows操作系統(tǒng)根據(jù)用戶標識信息發(fā)起Windows域登錄請求；b、802.1x客戶端截取所述登錄請求，獲取用戶標識信息；c、802.1x客戶端根據(jù)所述用戶標識信息通過認證設(shè)備向認證服務器發(fā)起802.1x接入認證；d、在所述802.1x接入認證通過后，認證服務器向用戶終端授予訪問網(wǎng)絡的權(quán)限，然后由所述的802.1x客戶端控制用戶終端進行Windows域認證；e、用戶終端計算機上的Windows操作系統(tǒng)繼續(xù)進行域登錄流程，獲取應用資源訪問權(quán)限。
其中，步驟c包括
c1、802.1x客戶端通過認證設(shè)備向認證服務器發(fā)送包含用戶標識信息的認證請求；c2、認證服務器確定所述用戶是否為合法用戶，若是，執(zhí)行步驟c3，否則，執(zhí)行步驟c4；c3、接入認證通過，認證服務器授權(quán)該用戶可以接入網(wǎng)絡；c4、認證未通過，結(jié)束認證。
其中，步驟c2確定用戶是否為合法用戶包括c21、認證服務器將認證請求轉(zhuǎn)發(fā)給Windows域控制器；c22、Windows域控制器根據(jù)用戶標識信息確定該用戶是否為合法用戶，并將判斷結(jié)果通知認證服務器；c23、根據(jù)該判斷結(jié)果，認證服務器確定用戶是否是合法用戶。
其中，步驟c22中的Windows域控制器預存儲有授權(quán)的所有用戶標識信息數(shù)據(jù)，通過將請求認證的用戶標識信息與預存儲的用戶標識信息進行比較驗證來確定請求登錄的用戶是否為合法用戶。
其中，所述用戶標識信息包括用戶名和密碼。
其中，所述認證服務器為認證、授權(quán)、計費服務器。
另外，本發(fā)明的另一種安全認證方法，用于在網(wǎng)絡中實現(xiàn)802.1x與Windows域統(tǒng)一認證，所述網(wǎng)絡中包括有用于802.1x接入認證的認證服務器和安裝在Windows域中用戶終端計算機上的802.1x客戶端，該方法包括如下步驟a、用戶終端計算機上的Windows操作系統(tǒng)發(fā)起Windows域登錄請求；b、802.1x客戶端截取所述登錄請求，向認證服務器發(fā)起802.1x接入認證；c、在所述802.1x接入認證通過后，認證服務器向用戶終端授予訪問網(wǎng)絡的權(quán)限，然后由所述的802.1x客戶端控制用戶終端進行Windows域認證。
其中，所述網(wǎng)絡中進一步包括有認證設(shè)備，登錄請求包括用戶標識信息，步驟b具體包括b1、802.1x客戶端截取所述登錄請求時，獲取所述的用戶標識信息；b2、802.1x客戶端根據(jù)所述用戶標識信息，通過認證設(shè)備向認證服務器發(fā)起802.1x接入認證。
其中，步驟b2具體包括802.1x客戶端通過認證設(shè)備向認證服務器發(fā)送包含用戶標識信息的認證請求；認證服務器確定所述用戶是否為合法用戶，若是，執(zhí)行步驟c1，否則，執(zhí)行步驟c2；c1、接入認證通過，認證服務器授權(quán)該用戶可以接入網(wǎng)絡；c2、認證未通過，結(jié)束認證。
其中，所述網(wǎng)絡中包括有Windows域控制器，其中該Windows域控制器可以根據(jù)實際的情況與所述認證服備器集成或分開設(shè)置，所述認證服務器確定用戶是否為合法用戶的步驟包括認證服務器將認證請求轉(zhuǎn)發(fā)給Windows域控制器；Windows域控制器根據(jù)用戶標識信息確定該用戶是否為合法用戶，并將判斷結(jié)果通知認證服務器；根據(jù)該判斷結(jié)果，認證服務器確定用戶是否是合法用戶，并授予相應的訪問權(quán)限。
與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果首先，本發(fā)明只需一套用戶名和密碼，一次認證操作即可實現(xiàn)windows域與802.1x的統(tǒng)一認證，方便用戶的使用與操作，減少用戶同時記憶兩套用戶名與密碼的煩瑣，而且透明的統(tǒng)一認證流程，與通常的域認證過程完全一致，無需對用戶進行額外培訓；其次，本發(fā)明中用戶必須先通過802.1x認證才能訪問并登錄到Windows域中，提高了域內(nèi)應用資源的安全性；另外，本發(fā)明中還可通過域控制器實現(xiàn)用戶名和密碼的統(tǒng)一、集中維護，提高了用戶密碼保護的安全性，方便用戶修改密碼。


圖1是現(xiàn)有技術(shù)局域網(wǎng)系統(tǒng)中802.1X認證網(wǎng)絡系統(tǒng)的結(jié)構(gòu)原理圖；圖2是本發(fā)明安全認證方法具體實現(xiàn)的流程圖。
具體實施例方式
參考圖1，該圖是現(xiàn)有技術(shù)局域網(wǎng)系統(tǒng)中802.1X認證網(wǎng)絡系統(tǒng)的結(jié)構(gòu)原理圖；圖中各實體的工作原理如下當客戶端1有認證請求時，首先將自身的ID信息通過網(wǎng)絡3經(jīng)由認證設(shè)備2傳給認證服務器4，認證服務器4對該客戶端的ID信息進行認證操作，如果認證通過，則認證服務器4向認證設(shè)備2返回認證成功報文，認證設(shè)備2接收到認證服務器4的認證成功報文后，允許客戶端1訪問網(wǎng)絡資源；如果認證不通過，則認證服務器4向認證設(shè)備2返回認證失敗報文，認證設(shè)備2接收到認證服務器4的認證失敗報文后，拒絕客戶端1訪問網(wǎng)絡資源。
本發(fā)明中基于Windows域的管理系統(tǒng)中包括域中的各個用戶終端計算機和域控制器，為實現(xiàn)統(tǒng)一802.1X認證和域認證，本發(fā)明中可在域中的用戶終端計算機的Windows2000及以上操作系統(tǒng)上安裝上述的802.1x客戶端軟件以進行802.1x認證。
下面以具體實施例說明本發(fā)明的認證過程。
參考圖2，該圖是本發(fā)明認證方法具體實現(xiàn)的流程圖。
本實施例中客戶端采用上述安裝802.1x客戶端軟件的域用戶終端計算機，作為認證請求者向認證設(shè)備(Authenticator)發(fā)起請求，對其身份的合法性進行檢驗；
認證設(shè)備采用交換機，響應客戶端的認證請求；認證服務器采用認證、授權(quán)、計費服務器(AAA，Authentication、Authorization、Accounting)服務器，通過檢驗客戶端發(fā)送來的身份標識，來判斷該請求者是否有權(quán)使用認證設(shè)備(即交換機)所提供的網(wǎng)絡服務。
詳細的安全認證過程說明如下，具體可分為802.1x認證階段和域認證階段802.1x認證階段在裝有802.1x客戶端的用戶終端開機后進入普通的Windows域登錄界面；在步驟11，用戶終端計算機的Windows操作系統(tǒng)根據(jù)用戶在該界面中輸入的用戶標識信息和域名，發(fā)起Windows登錄請求，本實施例中所述用戶標識信息具體包括用戶名和密碼；在步驟12，所述802.1x客戶端截獲Windows域登錄請求，獲取用戶在Windows域登錄界面中輸入的用戶標識信息(即用戶名、密碼)，在用戶繼續(xù)進行Windows域認證之前，先發(fā)起802.1x認證；在步驟13，802.1x客戶端通過認證設(shè)備(本實施例中即交換機)向認證服務器(本實施例中即AAA服務器)發(fā)起包含用戶標識信息的認證請求；在步驟14、認證服務器確定所述用戶是否為合法用戶，若是，執(zhí)行步驟15；否則，執(zhí)行步驟16，認證未通過，結(jié)束認證；步驟15，接入認證通過，授權(quán)該用戶可以接入網(wǎng)絡。
需要說明的是，認證服務器確定用戶是否為合法用戶時，由域控制器統(tǒng)一維護用戶標識信息數(shù)據(jù)，并通過下述步驟對用戶進行認證首先，AAA服務器將用戶認證請求轉(zhuǎn)發(fā)到Windows域控制器，由其進行用戶名、密碼驗證，這里并不是進行域認證，而是由域控制器來校驗用戶是否是合法用戶；在通過域控制器的身份認證后，域控制器將身份認證結(jié)果返回AAA服務器，如果認證成功，AAA服務器再向該用戶終端授予網(wǎng)絡訪問權(quán)限。這樣，802.1x認證的過程就結(jié)束了，用戶獲得了訪問網(wǎng)絡的權(quán)限；但是認證過程沒有結(jié)束，接下來還要進行域認證；域認證階段在用戶通過了802.1x認證的前提條件下，在步驟17，802.1x客戶端控制用戶終端繼續(xù)進行Windows域認證，由802.1x客戶端所在用戶終端計算機上的Windows操作系統(tǒng)繼續(xù)完成普通的域登錄流程，獲取應用資源訪問權(quán)限，由于域認證過程是本領(lǐng)域的公知技術(shù)，這里不再詳細說明。
這樣，通過以上的統(tǒng)一認證流程，即可同時完成802.1x接入認證和Windows域登錄認證，達到了統(tǒng)一認證和單次登錄的目的。
需要說明的是，以上僅為本發(fā)明的較佳實施方式。具體實施時，本領(lǐng)域技術(shù)人員也可以根據(jù)實際情況對認證服務器和域控制器進行相應的變化，例如，為了降低硬件設(shè)備成本，將所述認證服務器和域控制器集成在一個物理設(shè)備中實現(xiàn)相應的功能，這里不再贅述。
以上所述僅是本發(fā)明的優(yōu)選實施方式，應當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應視為本發(fā)明的保護范圍。
權(quán)利要求
1.一種安全認證方法，用于在網(wǎng)絡中實現(xiàn)802.1x與Windows域統(tǒng)一認證，所述網(wǎng)絡中包括有用于802.1x接入認證的認證設(shè)備、認證服務器和安裝在Windows域中用戶終端計算機上的802.1x客戶端以及Windows域控制器，其特征在于，包括如下步驟a、用戶終端計算機上的Windows操作系統(tǒng)根據(jù)用戶標識信息發(fā)起Windows域登錄請求；b、802.1x客戶端截取所述登錄請求，獲取用戶標識信息；c、802.1x客戶端根據(jù)所述用戶標識信息通過認證設(shè)備向認證服務器發(fā)起802.1x接入認證；d、在所述802.1x接入認證通過后，認證服務器向用戶終端授予訪問網(wǎng)絡的權(quán)限，然后由所述的802.1x客戶端控制用戶終端進行Windows域認證；e、用戶終端計算機上的Windows操作系統(tǒng)繼續(xù)進行域登錄流程，獲取應用資源訪問權(quán)限。
2.根據(jù)權(quán)利要求1所述的安全認證方法，其特征在于，步驟c包括c1、802.1x客戶端通過認證設(shè)備向認證服務器發(fā)送包含用戶標識信息的認證請求；c2、認證服務器確定所述用戶是否為合法用戶，若是，執(zhí)行步驟c3，否則，執(zhí)行步驟c4；c3、接入認證通過，認證服務器授權(quán)該用戶可以接入網(wǎng)絡；c4、認證未通過，結(jié)束認證。
3.根據(jù)權(quán)利要求2所述的安全認證方法，其特征在于，步驟c2確定用戶是否為合法用戶包括c21、認證服務器將認證請求轉(zhuǎn)發(fā)給Windows域控制器；c22、Windows域控制器根據(jù)用戶標識信息確定該用戶是否為合法用戶，并將判斷結(jié)果通知認證服務器；c23、根據(jù)該判斷結(jié)果，認證服務器確定用戶是否是合法用戶。
4.根據(jù)權(quán)利要求3所述的安全認證方法，其特征在于，步驟c22中的Windows域控制器預存儲有授權(quán)的所有用戶標識信息數(shù)據(jù)，通過將請求認證的用戶標識信息與預存儲的用戶標識信息進行比較驗證來確定請求登錄的用戶是否為合法用戶。
5.根據(jù)權(quán)利要求1、2、3或4任一項所述的安全認證方法，其特征在于，所述用戶標識信息包括用戶名和密碼。
6.根據(jù)權(quán)利要求5所述的安全認證方法，其特征在于，所述認證服務器為認證、授權(quán)、計費服務器。
7.一種安全認證方法，用于在網(wǎng)絡中實現(xiàn)802.1x與Windows域統(tǒng)一認證，所述網(wǎng)絡中包括有用于802.1x接入認證的認證服務器和安裝在Windows域中用戶終端計算機上的802.1x客戶端，其特征在于，包括如下步驟a、用戶終端計算機上的Windows操作系統(tǒng)發(fā)起Windows域登錄請求；b、802.1x客戶端截取所述登錄請求，向認證服務器發(fā)起802.1x接入認證；c、在所述802.1x接入認證通過后，認證服務器向用戶終端授予訪問網(wǎng)絡的權(quán)限，然后由所述的802.1x客戶端控制用戶終端進行Windows域認證。
8.根據(jù)權(quán)利要求7所述的安全認證方法，其特征在于，所述網(wǎng)絡中進一步包括有認證設(shè)備，登錄請求包括用戶標識信息，步驟b具體包括b1、802.1x客戶端截取所述登錄請求時，獲取所述的用戶標識信息；b2、802.1x客戶端根據(jù)所述用戶標識信息，通過認證設(shè)備向認證服務器發(fā)起802.1x接入認證。
9.根據(jù)權(quán)利要求8所述的安全認證方法，其特征在于，步驟b2具體包括802.1x客戶端通過認證設(shè)備向認證服務器發(fā)送包含用戶標識信息的認證請求；認證服務器確定所述用戶是否為合法用戶，若是，執(zhí)行步驟c1，否則，執(zhí)行步驟c2；c1、接入認證通過，認證服務器授權(quán)該用戶可以接入網(wǎng)絡；c2、認證未通過，結(jié)束認證。
10.根據(jù)權(quán)利要求9所述的安全認證方法，其特征在于，所述網(wǎng)絡中包括有Windows域控制器，其中該Windows域控制器可以根據(jù)實際的情況與所述認證服備器集成或分開設(shè)置，所述認證服務器確定用戶是否為合法用戶的步驟包括認證服務器將認證請求轉(zhuǎn)發(fā)給Windows域控制器；Windows域控制器根據(jù)用戶標識信息確定該用戶是否為合法用戶，并將判斷結(jié)果通知認證服務器；根據(jù)該判斷結(jié)果，認證服務器確定用戶是否是合法用戶，并授予相應的訪問權(quán)限。
全文摘要
本發(fā)明涉及一種安全認證方法，用于在網(wǎng)絡中實現(xiàn)802.1x與Windows域統(tǒng)一認證，該方法包括下述步驟用戶終端計算機的Windows操作系統(tǒng)根據(jù)用戶標識信息發(fā)起Windows域登錄請求；802.1x客戶端截取所述登錄請求，獲取用戶標識信息；802.1x客戶端根據(jù)所述用戶標識信息通過認證設(shè)備向認證服務器發(fā)起802.1x接入認證；在所述802.1x接入認證通過后，認證服務器向用戶終端授予訪問網(wǎng)絡的權(quán)限，然后，由所述的802.1x客戶端控制用戶終端進行Windows域認證；用戶終端計算機上的Windows操作系統(tǒng)繼續(xù)進行域登錄流程，獲取應用資源訪問權(quán)限。本發(fā)明減少用戶同時記憶兩套用戶名與密碼的煩瑣，方便用戶的使用與操作。
文檔編號G06F1/00GK1725687SQ200510002759
公開日2006年1月25日 申請日期2005年1月26日 優(yōu)先權(quán)日2005年1月26日
發(fā)明者陳有琨, 杜鳳山 申請人:杭州華為三康技術(shù)有限公司