專利名稱：一種多域認證方法及系統(tǒng)的制作方法
技術領域：
本發(fā)明屬于計算機網絡安全認證技術領域，特別涉及一種多域認證方法 及系統(tǒng)。
背景技術：
802.1x的體系結構中，包括三個部分，即客戶端，認證系統(tǒng)(專指交換 機)，認證服務器。由于各個用戶可能使用不同的運營商提供的網絡服務， 所以不同的用戶需要由認證系統(tǒng)將用戶信息發(fā)送到不同的認證服務器進行 認證。而目前的基于802.1x的認證系統(tǒng)， 一般只能為所有用戶指定同一個 認證服務器，而不能根據(jù)用戶名來確定此用戶應該送到某個運營商的認證服 務器進行認證。
在目前的用戶管理中，例如windows系統(tǒng)的用戶管理， 一般都是把相同 類型的用戶劃分到同一個域中，而完全用戶名則由用戶名和i或名組成，比如 username@domain的形式，其中@為分隔用戶名和域名的分隔符。所以在進 行認證的時候，客戶端一般都是將帶有域名的完全用戶名發(fā)到認證系統(tǒng)進行 認證，由此一定程度上浪費了系統(tǒng)的資源。

發(fā)明內容
本發(fā)明所要解決的技術問題是，提供一種基于802.1x的多域認證方法 及系統(tǒng)，從而實現(xiàn)交換才幾#>據(jù)客戶端傳過來的用戶名，確定此用戶應該到其 所屬的認證服務器進^f于認i正。
為了解決上述問題，本發(fā)明公開了一種多域認證方法，如下
在認證系統(tǒng)中，配置各個域以及各個域與認證服務器的對應關系，在認 證過程中，認證系統(tǒng)通過解析完全用戶名，獲得其中的域名后，將該用戶的
i人i正信息發(fā)送至與該域對應的i人^i正服務器進行認證。
上述的方法中，所述認證系統(tǒng)未配置域名分隔符時，在認證過程中，所 述認證系統(tǒng)利用認證系統(tǒng)默認的域名分隔符對完全用戶名進行解析，獲取到 該用戶所在的域名。
所述認證系統(tǒng)配置任意符號為域名分隔符時，在認證過程中，所述認證 系統(tǒng)利用已配置的域名分隔符對完全用戶名進行解析，獲取到該用戶所在的 域名。
進一步地，上述方法在進^f亍所述解析完全用戶名的過^f呈中，如果解析到 用戶沒有攜帶域名，則將用戶認證信息發(fā)送到系統(tǒng)配置的缺省域名下對應的 認證服務器進行認證。
上述方法中，所述用戶iU正信息至少包括用戶名和用戶密碼。
本發(fā)明還公開了 一種多域認證系統(tǒng)，包括完全用戶名解析模塊以及分別 與其相連的域配置模塊、用戶信息發(fā)送模塊，其中
域配置模塊，用于配置一個或者多個域的域名以及與每一個域相對應的 認證服務器，并將配置好的域與端口接入規(guī)則相綁定；
完全用戶名解析模塊，用于接收用戶認證信息，并根據(jù)從域配置模塊中 獲取的配置信息，解析完全用戶名，得到用戶所在的域名，找到與該域對應 的認證服務器名；
用戶信息發(fā)送模塊，從完全用戶名解析模塊獲得用戶所屬的認證服務器 名后，將其認證信息發(fā)送到相應認證服務器。
上述系統(tǒng)中，所述域配置才莫塊，未配置域名分隔符時，所述完全用戶名 解析模塊利用認證系統(tǒng)默認的域名分隔符對完全用戶名進行解析，獲取到該 用戶所在的域名。
所述域配置模塊，配置任意符號為域名分隔符，用于分隔用戶名和域名 時，所述完全用戶名解析才莫塊利用已配置的域名分隔符對完全用戶名進行解 析，獲取到該用戶所在的域名。
進一步地，上述系統(tǒng)中，所述完全用戶名解析;漠塊，在解析完全用戶名
時，如果解析到用戶沒有攜帶域名，則認為用戶所在域的域名為系統(tǒng)配置的
缺省域名；
此時，用戶信息發(fā)送模塊將用戶認證信息發(fā)送到系統(tǒng)配置的缺省域名下 對應的認證服務器進行認證。
上述系統(tǒng)中，所述用戶認^M言息至少包括用戶名和用戶密碼。
本發(fā)明所釆用的技術方案，在交換機上實現(xiàn)根據(jù)客戶端傳過來的用戶 名，來確定此用戶應該送到哪個i人i正月l務器進行認i正，從而大大節(jié)約了系統(tǒng) 資源。


圖1是本發(fā)明中域配置流程圖； 圖2是本發(fā)明中多域認證流程圖3是某交換機采用本發(fā)明:技術方案進行多域認證流程圖。
具體實施例方式
本發(fā)明的主要構思是，通過解析完全用戶名攜帶的域名，然后根據(jù)域名 查找與該域綁定的認證服務器，以實現(xiàn)不同的域的用戶在不同的認證服務器 上進行認證。
下面結合附圖和具體實施方式
，詳細說明本發(fā)明技術方案的具體實現(xiàn)。
一種基于802.lx的多域認證系統(tǒng)，包括域配置模塊、完全用戶名解析 模塊及用戶信息發(fā)送模塊，完全用戶名解析模塊分別與域配置模塊、用戶信 息發(fā)送模塊相連，其中
域配置模塊，用于配置域名分隔符，以及一個或者多個域，及其域名以 及與該域對應的認證服務器，并將配置好的域與端口接入規(guī)則相綁定，其中 一個端口接入規(guī)則下可綁定一個或者多個域；
完全用戶名解析模塊，用于接收用戶認證信息，并利用配置的域名分隔
符對用戶名進行解析，獲取到該用戶所在的域名，找到與該域對應的iU正服 務器名，然后將認證服務器名發(fā)送到用戶信息發(fā)送模塊，當解析到用戶沒有 攜帶域名時，則將系統(tǒng)配置的缺省域名下對應的認證服務器名發(fā)送到用戶信 息發(fā)送模塊；
用戶信息發(fā)送模塊，從完全用戶名解析模塊獲得用戶所屬的認證服務器 名后，將其認證信息發(fā)送到相應認i正力l務器。
上述系統(tǒng)進行多域認證的過程包括以下步驟 步驟一、配置域名分隔符；
該步驟中，由于用戶名和域名的分割符號可能是不同的字符，比如@，.,弁 等等，所以可以指定一個分割符來解析出用戶名和域名，當然也可以缺省配 置域名分隔符，此時，默認域名分隔符為@;
步驟二、域的配置，在域的配置才莫式下，配置內容包括域名以及與該域 綁定的認證服務器；
步驟三、域的配置規(guī)則，需要將配置好的域與端口接入規(guī)則相綁定，其 中一個端口接入^見則下可以綁定一個或者多個域；
上述步驟一至三，可以概括為域的相關配置，其流程如圖1所示。
步驟四、用戶進行認證時，通過解析完全用戶名，得到用戶所在的域名， 通過域名找到該域對應的認證服務器名，然后將用戶信息送到認證服務器進 行認證；
上述多域認證的處理流程如圖2所示，當用戶進行認證時候，認證客戶 端將用戶i人{正信息通過擴展i人i正協(xié)i義EAP ( Extensible Authentication Protocol)報文發(fā)送到交換機，即認證系統(tǒng)，交換機利用配置的域名分隔符 號對用戶名進行解析，獲取到該用戶所在的域名。然后查找認^〖正用戶接入端 口上的規(guī)則，判斷規(guī)則下是否配置了該域，如果配置了，則取該域下配置的 認證服務器名，將用戶的認證信息發(fā)送到該認證服務器進行認證。
如果用戶名中沒有攜帶域名，則將用戶認證信息發(fā)送到缺省域名下配置 的認證服務器進行認證。
下面以一個應用實例進一步說明，某交換機設備，基于8011x體系下， 如何實現(xiàn)才艮據(jù)域名查找認證服務器的過程，如圖3所示
步驟300:配置一個域名分隔符，zxrlO(config)#domain-delimiter@,即 域名分隔符為@;
該步驟中，也可以缺省配置域名分隔符。
步驟301:配置一個域domain 1, zxrlO(config)#domain 1;
在該域的配置模式下，
配置該域的域名，zxrlO(domain-config)#domain-name zte.com.cn，即i玄 域6勺域名為zte.com.cn;
配置與該域綁定的認證服務器，zxr 10(domain-config)#radiusserver radius—chinatel ，即與該域綁定的iU正月l務器為radius—chinatel;
如果步驟300中缺省配置域名分隔符，此時，步驟301中使用系統(tǒng)默認 的域名分隔符。
步驟302 : 將配置好的域與端口接入規(guī)則aaa 1相綁定， zxrlO(config-nas)弁aaa 1 isp zte.com,cn;
步驟303:當用戶進行認證時，認證客戶端將認證信息發(fā)送到交換機， 認證用戶名為zhl@zte.com.cn;
步驟304:認證系統(tǒng)根據(jù)域名分隔符號@解析完全用戶名，獲取該用戶 戶斤A的^的A名為zte.com.cn;
該步驟中，如果解析到用戶沒有攜帶域名時，進入步驟307b;
步驟305:判斷端口接入規(guī)則aaal下是否配置了 zte.com.cn這個域，如 杲是，轉入步驟306，否則轉入步驟307b;
步驟306: 4艮據(jù)zte.com.cn這個域的配置信息，查找到與該域相綁定的 認證服務器為radius_chinatel,進入步驟307a;
步驟307a:將用戶認證信息，發(fā)送到radius—chinatel進行認證，該認證 信息至少包:fe用戶名和用戶密碼；
步驟307b:將用戶認證信息，發(fā)送到缺省域名下配置的認證服務器進 行認證，該認證信息至少包括用戶名和用戶密碼。
從上述實施例可以看出，本發(fā)明所采用的技術方案，在交換機上實現(xiàn)根 據(jù)客戶端傳過來的用戶名，來確定此用戶應該送到哪個認證服務器進行認 證，從而大大節(jié)約了系統(tǒng)資源。
以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本 發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本 發(fā)明的保護范圍之內。
權利要求
1、一種多域認證方法，其特征在于，該方法如下在認證系統(tǒng)中，配置各個域以及各個域與認證服務器的對應關系，在認證過程中，認證系統(tǒng)通過解析完全用戶名，獲得其中的域名后，將該用戶的認證信息發(fā)送至與該域對應的認證服務器進行認證。
2、 如權利要求l所述的方法，其特征在于，所述認iiE系統(tǒng)未配置域名分隔符時，在iU正過程中，所述iU正系統(tǒng)利用 認證系統(tǒng)默認的域名分隔符對完全用戶名進行解析，獲取到該用戶所在的域 名。
3、 如權利要求l所述的方法，其特征在于，所述認證系統(tǒng)配置任意符號為域名分隔符時，在認證過程中，所述認證 系統(tǒng)利用已配置的域名分隔符對完全用戶名進行解析，獲取到該用戶所在的 域名。
4、 如權利要求1至3任一項所述的方法，其特征在于，在進行所述解 析完全用戶名的過程中，如果解析到用戶沒有攜帶域名，則將用戶認證信息 發(fā)送到系統(tǒng)配置的缺省域名下對應的認證服務器進行認證。
5、 如權利要求4所述的方法，其特征在于，所述用戶認證信息至少包 括用戶名和用戶密碼。
6、 一種多域認證系統(tǒng)，其特征在于，該系統(tǒng)包括完全用戶名解析模塊 以及分別與其相連的域配置模塊、用戶信息發(fā)送模塊，其中域配置^f莫塊，用于配置一個或者多個域的域名以及與每一個域相對應的 認證服務器，并將配置好的域與端口接入規(guī)則相綁定；完全用戶名解析模塊，用于接收用戶認證信息，并根據(jù)從域配置模塊中 獲取的配置信息，解析完全用戶名，得到用戶所在的域名，找到與該域對應 的認證服務器名；用戶信息發(fā)送模塊，從完全用戶名解析模塊獲得用戶所屬的認證服務器 名后，將其認證信息發(fā)送到相應認證服務器。
7、 如權利要求6所述的系統(tǒng)，其特征在于，所述域配置模塊，未配置域名分隔符時，所述完全用戶名解析模塊利用 認證系統(tǒng)默認的域名分隔符對完全用戶名進行解析，獲取到該用戶所在的域 名。
8、 如權利要求6所述的系統(tǒng)，其特征在于，所述域配置才莫塊，配置任意符號為域名分隔符，用于分隔用戶名和域名 時，所述完全用戶名解析^t塊利用已配置的域名分隔符對完全用戶名進^f亍解 析，獲取到該用戶所在的域名。
9、 如權利要求6至8任一項所述的系統(tǒng)，其特征在于，所述完全用戶名解析模塊，在解析完全用戶名時，如果解析到用戶沒有 攜帶域名，則認為用戶所在域的域名為系統(tǒng)配置的缺省域名；此時，用戶信息發(fā)送模塊將用戶認證信息發(fā)送到系統(tǒng)配置的缺省域名下 對應的認證服務器進行認證。
10、 如權利要求9所述的系統(tǒng)，其特征在于， 所述用戶認證信息至少包括用戶名和用戶密碼。
全文摘要
本發(fā)明公開了一種多域認證方法及系統(tǒng)，屬于計算機網絡安全認證技術領域。本發(fā)明方法是在認證系統(tǒng)中，配置各個域以及各個域與認證服務器的對應關系，在認證過程中，認證系統(tǒng)通過解析完全用戶名，獲得其中的域名后，將該用戶的認證信息發(fā)送至與該域對應的認證服務器進行認證。本發(fā)明還公開了一種多域認證系統(tǒng)，包括完全用戶名解析模塊以及分別與其相連的域配置模塊、用戶信息發(fā)送模塊。本發(fā)明所采用的技術方案，在交換機上實現(xiàn)根據(jù)客戶端傳過來的用戶名，來確定此用戶應該送到哪個認證服務器進行認證，從而大大節(jié)約了系統(tǒng)資源。
文檔編號H04L29/06GK101170566SQ20071018735
公開日2008年4月30日 申請日期2007年11月20日 優(yōu)先權日2007年11月20日
發(fā)明者曾紅李 申請人:中興通訊股份有限公司