專利名稱：一種用戶認(rèn)證方法及服務(wù)器的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，尤其涉及一種用戶認(rèn)證方法及服務(wù)器。
背景技術(shù)：
為了能夠標(biāo)識(shí)用戶，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備中一般都具有用戶認(rèn)證的功能。隨著企業(yè)網(wǎng)絡(luò)設(shè)備的增多，大多數(shù)網(wǎng)絡(luò)設(shè)備的認(rèn)證源，即存儲(chǔ)有用戶名和密碼數(shù)據(jù)的設(shè)備，都需要和企業(yè)原有的用戶數(shù)據(jù)中心兼容，形成具備多個(gè)認(rèn)證源的認(rèn)證服務(wù)功能。而現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備往往僅依靠單一認(rèn)證源進(jìn)行用戶認(rèn)證，當(dāng)由單個(gè)認(rèn)證源轉(zhuǎn)向多個(gè)認(rèn)證源時(shí)，其認(rèn)證服務(wù)性能低下
發(fā)明內(nèi)容

本發(fā)明的目的是提供一種可支持多個(gè)認(rèn)證源的認(rèn)證方法及服務(wù)器，從而提高用戶認(rèn)證服務(wù)性能。為實(shí)現(xiàn)上述目的，一方面，本發(fā)明提供了一種用戶認(rèn)證方法，該方法包括向多個(gè)認(rèn)證源同時(shí)發(fā)送認(rèn)證請(qǐng)求，并等待返回；在預(yù)定時(shí)間內(nèi)只要接收到所述多個(gè)認(rèn)證源中的其中一個(gè)認(rèn)證源的成功認(rèn)證信息，則用戶認(rèn)證成功；否則，用戶認(rèn)證失敗。另一方面，本發(fā)明提供了一種用戶認(rèn)證服務(wù)器，該服務(wù)器包括發(fā)送模塊，用于向多個(gè)認(rèn)證源同時(shí)發(fā)送認(rèn)證請(qǐng)求；認(rèn)證模塊，用于對(duì)用戶信息進(jìn)行認(rèn)證，在預(yù)定時(shí)間內(nèi)只要接收到所述多個(gè)認(rèn)證源中的其中一個(gè)認(rèn)證源的成功認(rèn)證信息，則用戶認(rèn)證成功；否則，用戶認(rèn)證失敗。接收模塊，用于接收來(lái)自認(rèn)證源的反饋信息。本發(fā)明實(shí)現(xiàn)了具備多個(gè)認(rèn)證源的認(rèn)證服務(wù)功能，從而提高了用戶認(rèn)證服務(wù)的性能。另外，本發(fā)明還可用于策略中的網(wǎng)絡(luò)應(yīng)用控制、身份識(shí)別，并可進(jìn)行網(wǎng)絡(luò)應(yīng)用時(shí)監(jiān)控。


本發(fā)明的示例性實(shí)施例將從下文中給出的詳細(xì)說(shuō)明和本發(fā)明不同實(shí)施例的附圖中被更完全地理解，然而這不應(yīng)該被視為將本發(fā)明限制于具體的實(shí)施例，而應(yīng)該只是為了解釋和理解。圖I為本發(fā)明實(shí)施例提供的一種用戶認(rèn)證方法應(yīng)用場(chǎng)景圖；圖2為本發(fā)明實(shí)施例提供的一種用戶認(rèn)證方法流程圖；圖3為圖2所示用戶認(rèn)證方法流程對(duì)應(yīng)的時(shí)序示意圖；圖4為認(rèn)證服務(wù)器和Radius服務(wù)器的信息交互示意圖；圖5為認(rèn)證服務(wù)器和郵件服務(wù)器信息交互示意圖；圖6為認(rèn)證服務(wù)器和Ldap服務(wù)器信息交互示意圖；圖7為認(rèn)證服務(wù)器和本地?cái)?shù)據(jù)庫(kù)信息交互示意圖8為本發(fā)明實(shí)施例提供的另一種用戶認(rèn)證方法流程圖；圖9為本發(fā)明實(shí)施例提供的一種用戶認(rèn)證服務(wù)器結(jié)構(gòu)示意圖。
具體實(shí)施例方式本領(lǐng)域的普通技術(shù)人員將意識(shí)到，所述示例性實(shí)施例的下述詳細(xì)說(shuō)明僅僅是說(shuō)明性的，并且不是意在以任何方式加以限制。圖I為本發(fā)明實(shí)施例用戶認(rèn)證方法所應(yīng)用的場(chǎng)景圖。在圖I中，用戶認(rèn)證服務(wù)器12用于接收來(lái)自用戶11 (用戶A、用戶B，……，用戶N)的用戶信息，并將攜帶上述用戶信息的認(rèn)證請(qǐng)求同時(shí)發(fā)送給認(rèn)證源13 (認(rèn)證源I、認(rèn)證源2，……認(rèn)證源N)，等待認(rèn)證反饋信息。
圖2為本發(fā)明實(shí)施例提供的一種用戶認(rèn)證方法流程圖，圖3為圖2所示用戶認(rèn)證方法流程對(duì)應(yīng)的時(shí)序示意圖。結(jié)合圖2和圖3所示，用戶認(rèn)證方法包括步驟201-202。在步驟201，向多個(gè)認(rèn)證源同時(shí)發(fā)送認(rèn)證請(qǐng)求，并等待返回。具體地，認(rèn)證服務(wù)器向多個(gè)認(rèn)證數(shù)據(jù)源同時(shí)發(fā)送攜帶有用戶名信息的認(rèn)證請(qǐng)求，并等待返回。上述多個(gè)認(rèn)證源可以是多個(gè)協(xié)議類型的認(rèn)證源，例如，本地?cái)?shù)據(jù)庫(kù)數(shù)據(jù)源、LDAP (Lightweight Directory Access Protocol,輕量目錄訪問(wèn)協(xié)議)認(rèn)證源、AD(ActiveDirectory,動(dòng)態(tài)目錄)數(shù)據(jù)源，RADIUS (Remote Authentication Dial In User Service,遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng))數(shù)據(jù)源、和郵件服務(wù)器數(shù)據(jù)源，也可以是某一個(gè)協(xié)議類型中的多個(gè)認(rèn)證源，例如，LDAP認(rèn)證源I、LDAP認(rèn)證源2、……LDAP認(rèn)證源N。在步驟202，在預(yù)定時(shí)間內(nèi)只要接收到多個(gè)認(rèn)證源中的其中一個(gè)認(rèn)證源的成功認(rèn)證消息，則認(rèn)證成功；否則，認(rèn)證失敗。具體地，認(rèn)證服務(wù)器在預(yù)定時(shí)間內(nèi)等待多個(gè)認(rèn)證源的認(rèn)證返回消息，當(dāng)在預(yù)定時(shí)間內(nèi)只要接收到多個(gè)認(rèn)證源中的其中一個(gè)認(rèn)證源的成功認(rèn)證信息，則認(rèn)證成功，終止認(rèn)證；當(dāng)在預(yù)定時(shí)間內(nèi)，認(rèn)證服務(wù)器在接收到多個(gè)認(rèn)證源中的某一個(gè)認(rèn)證源的失敗認(rèn)證信息時(shí)，則等待其他認(rèn)證源的認(rèn)證信息，當(dāng)所有的認(rèn)證源都返回認(rèn)證失敗消息時(shí)，則用戶認(rèn)證失敗。本發(fā)明實(shí)施例提供的用戶認(rèn)證方法通過(guò)同時(shí)向多個(gè)認(rèn)證源發(fā)送認(rèn)證請(qǐng)求來(lái)對(duì)用戶進(jìn)行認(rèn)證，實(shí)現(xiàn)了具備多個(gè)認(rèn)證源的認(rèn)證服務(wù)功能，從而提高了用戶認(rèn)證服務(wù)的性能。圖4為認(rèn)證服務(wù)器和Radius服務(wù)器的信息交互示意圖。如圖4所示，認(rèn)證服務(wù)器和Radius服務(wù)器的基本消息交互流程如下認(rèn)證服務(wù)器根據(jù)從用戶端獲取的用戶名和密碼，向Radius服務(wù)器發(fā)送認(rèn)證請(qǐng)求包。Radius服務(wù)器將用戶信息與數(shù)據(jù)庫(kù)信息進(jìn)行對(duì)比分析，如果用戶名存在，則向認(rèn)證服務(wù)器發(fā)送隨機(jī)碼；如果用戶名不存在，則拒絕該用戶繼續(xù)訪問(wèn)數(shù)據(jù)。認(rèn)證服務(wù)器將接收到的隨機(jī)碼進(jìn)行加密處理，并向Radius服務(wù)器返回加密后的隨機(jī)碼。Radius服務(wù)器針對(duì)加密后的隨機(jī)碼進(jìn)行合法性檢驗(yàn)，如果檢驗(yàn)成功，向認(rèn)證服務(wù)器返回認(rèn)證成功信息；否則，向認(rèn)證服務(wù)器返回認(rèn)證失敗信息。圖5為認(rèn)證服務(wù)器和郵件服務(wù)器信息交互示意圖。所圖5所示，認(rèn)證服務(wù)器和郵件服務(wù)器的基本消息交互流程如下
認(rèn)證服務(wù)器根據(jù)從用戶端獲取的用戶名信息，向Radius服務(wù)器發(fā)送認(rèn)證請(qǐng)求包。Radius服務(wù)器將用戶名信息與數(shù)據(jù)庫(kù)信息進(jìn)行對(duì)比分析，如果用戶名存在，則向認(rèn)證服務(wù)器發(fā)送確認(rèn)信息；如果用戶名不存在，則向認(rèn)證服務(wù)器發(fā)送錯(cuò)誤信息，認(rèn)證失敗。認(rèn)證服務(wù)器在接收到來(lái)自Radius服務(wù)器的確認(rèn)信息后，繼續(xù)向Radius服務(wù)器發(fā)送從用戶端獲取的密碼信息。Radius服務(wù)器針對(duì)密碼信息進(jìn)行合法性檢驗(yàn)，如果檢驗(yàn)成功，向認(rèn)證服務(wù)器返回認(rèn)證成功信息；否則，向認(rèn)證服務(wù)器返回認(rèn)證失敗信息。圖6為認(rèn)證服務(wù)器和Ldap服務(wù)器信息交互示意圖。如圖6所示，認(rèn)證服務(wù)器和Ldap服務(wù)器的基本消息交互流程如下認(rèn)證服務(wù)器與Ldap服務(wù)器建立連接關(guān)系，并通過(guò)從用戶端獲取的用戶名信息查尋Ldap服務(wù)器數(shù)據(jù)庫(kù)中的唯一辨別名(Distinguished Name, DN),如果用戶名存在,則向 認(rèn)證服務(wù)器發(fā)送DN信息；如果用戶名不存在，則向認(rèn)證服務(wù)器發(fā)送認(rèn)證失敗信息。認(rèn)證服務(wù)器在接收到來(lái)自Ldap服務(wù)器的DN信息后，將從用戶端獲取的用戶名和密碼信息發(fā)送給Radius服務(wù)器。Radius服務(wù)器針對(duì)密碼信息進(jìn)行合法性檢驗(yàn)，如果檢驗(yàn)成功，向認(rèn)證服務(wù)器返回認(rèn)證成功信息；否則，向認(rèn)證服務(wù)器返回認(rèn)證失敗信息。圖7為認(rèn)證服務(wù)器和本地?cái)?shù)據(jù)庫(kù)信息交互示意圖。如圖7所示，認(rèn)證服務(wù)器和本地?cái)?shù)據(jù)庫(kù)的基本消息交互流程如下認(rèn)證服務(wù)器與本地?cái)?shù)據(jù)庫(kù)建立連接關(guān)系，并通過(guò)從用戶端獲取的用戶名和密碼信息查尋本地?cái)?shù)據(jù)庫(kù)，如果用戶名和密碼信息存在，則向認(rèn)證服務(wù)器發(fā)送成功信息；如果用戶名不存在，則向認(rèn)證服務(wù)器發(fā)送失敗信息。圖8為本發(fā)明實(shí)施例提供的另一種用戶認(rèn)證方法流程圖。該方法包括步驟800-步驟 840。在步驟800，用戶認(rèn)證開(kāi)始。在步驟810，用戶認(rèn)證服務(wù)器通過(guò)本地緩存中的數(shù)據(jù)查找從用戶端獲取的用戶名和密碼信息，如果用戶名和密碼信息存在于本地緩存中，則執(zhí)行步驟840，返回認(rèn)證成功信息；否則，返回認(rèn)證失敗信息，并執(zhí)行步驟820。在步驟820，認(rèn)證服務(wù)器通過(guò)多個(gè)認(rèn)證源進(jìn)行用戶認(rèn)證，如果用戶認(rèn)證成功，執(zhí)行步驟821 ;否則，執(zhí)行步驟830，返回用戶認(rèn)證失敗信息。在步驟821，用戶認(rèn)證服務(wù)器將認(rèn)證成功的用戶名、密碼、認(rèn)證源，以及認(rèn)證時(shí)間保存到本地緩存中。需要說(shuō)明的是，在實(shí)際運(yùn)行中，由于用戶認(rèn)證的時(shí)間存在集中性，因此在某個(gè)時(shí)間段內(nèi)可能出現(xiàn)大量的用戶認(rèn)證?；谏鲜銮闆r，可對(duì)本地緩存中的用戶信息進(jìn)行提前驗(yàn)證的優(yōu)化。即在某個(gè)時(shí)間段前的一個(gè)時(shí)間點(diǎn)，例如I小時(shí)前將所有緩存中的用戶信息根據(jù)認(rèn)證源進(jìn)行相應(yīng)的認(rèn)證，并更新緩存數(shù)據(jù)，以提高后續(xù)用戶認(rèn)證的命中率。在步驟840，返回用戶認(rèn)證成功信息。圖9為本發(fā)明實(shí)施例提供的一種用戶認(rèn)證服務(wù)器結(jié)構(gòu)示意圖。如圖9所示，用戶認(rèn)證服務(wù)器包括接收模塊21、認(rèn)證模塊22、發(fā)送模塊23，以及本地?cái)?shù)據(jù)庫(kù)24。接收模塊21用于接收來(lái)自用戶的用戶信息，例如，用戶名和密碼信息。
認(rèn)證模塊22用于根據(jù)接收模塊21接收的用戶信息，并通過(guò)發(fā)送模塊23向多個(gè)認(rèn)證源(包括本地?cái)?shù)據(jù)庫(kù)24)同時(shí)發(fā)送用戶認(rèn)證請(qǐng)求，并等待返回信息。在預(yù)定時(shí)間內(nèi)只要接收到多個(gè)認(rèn)證源中的其中一個(gè)數(shù)據(jù)源的成功認(rèn)證消息，則認(rèn)證成功；否則，認(rèn)證失敗。本發(fā)明實(shí)施例提供的用戶認(rèn)證服務(wù)器通過(guò)同時(shí)向多個(gè)認(rèn)證源發(fā)送認(rèn)證請(qǐng)求，實(shí)現(xiàn)了具備多個(gè)認(rèn)證源的認(rèn)證服務(wù)功能，從而提高了用戶認(rèn)證服務(wù)的性能。盡管已經(jīng)示出并描述了本發(fā)明的特殊實(shí)施例，然而在不背離本發(fā)明的示例性實(shí)施 例及其更寬廣方面的前提下，本領(lǐng)域技術(shù)人員顯然可以基于此處的教學(xué)做出變化和修改。因此，所附的權(quán)利要求意在將所有這類不背離本發(fā)明的示例性實(shí)施例的真實(shí)精神和范圍的變化和更改包含在其范圍之內(nèi)。
權(quán)利要求
1.一種用戶認(rèn)證方法，其特征在于 向多個(gè)認(rèn)證源同時(shí)發(fā)送認(rèn)證請(qǐng)求，并等待返回； 在預(yù)定時(shí)間內(nèi)只要接收到所述多個(gè)認(rèn)證源中的其中一個(gè)數(shù)據(jù)源的成功認(rèn)證消息，則認(rèn)證成功；否則，認(rèn)證失敗。
2.根據(jù)權(quán)利要求I所述的方法，其特征在于所述在預(yù)定時(shí)間內(nèi)接收到成功認(rèn)證信息步驟后還包括 緩存所述認(rèn)證請(qǐng)求中的用戶名、密碼、認(rèn)證源和認(rèn)證時(shí)間信息中的一個(gè)或多個(gè)信息。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于所述向多個(gè)認(rèn)證源同時(shí)發(fā)送認(rèn)證請(qǐng)求步驟前還包括 通過(guò)緩存信息查找待認(rèn)證的用戶信息，如果查找成功，則認(rèn)證成功；否則，認(rèn)證失敗。
4.根據(jù)權(quán)利要求2所述的方法，其特征在于將所述緩存中緩存的信息進(jìn)行提前驗(yàn)證，并更新緩存信息。
5.根據(jù)權(quán)利要求I所述的方法，其特征在于所述認(rèn)證源包括LDAP數(shù)據(jù)源、AD數(shù)據(jù)源、RADIUS數(shù)據(jù)源和郵件服務(wù)器數(shù)據(jù)源中的一種或多種。
6.一種用戶認(rèn)證服務(wù)器，其特征在于包括 發(fā)送模塊，用于向多個(gè)數(shù)據(jù)源發(fā)送認(rèn)證請(qǐng)求； 認(rèn)證模塊，用于對(duì)用戶信息進(jìn)行認(rèn)證，在預(yù)定時(shí)間內(nèi)只要接收到所述多個(gè)認(rèn)證源中的其中一個(gè)認(rèn)證源的成功認(rèn)證信息，則用戶認(rèn)證成功；否則，用戶認(rèn)證失敗。
接收模塊，用于接收來(lái)自認(rèn)證源的反饋信息。
7.根據(jù)權(quán)利要求6所述的服務(wù)器，其特征在于還包括 緩存器，用于緩存認(rèn)證請(qǐng)求中的用戶名、密碼、認(rèn)證源和認(rèn)證時(shí)間信息中的一個(gè)或多個(gè)信息。
全文摘要
本發(fā)明公開(kāi)了一種用戶認(rèn)證方法及服務(wù)器，用戶認(rèn)證方法包括以下步驟向多個(gè)認(rèn)證源同時(shí)發(fā)送認(rèn)證請(qǐng)求，并等待返回；在預(yù)定時(shí)間內(nèi)只要接收到所述多個(gè)認(rèn)證源中的其中一個(gè)數(shù)據(jù)源的成功認(rèn)證消息，則認(rèn)證成功；否則，認(rèn)證失敗。用戶認(rèn)證服務(wù)器包括接收模塊、認(rèn)證模塊和發(fā)送模塊。本發(fā)明通過(guò)同時(shí)向多個(gè)認(rèn)證源發(fā)送認(rèn)證請(qǐng)求，實(shí)現(xiàn)了具備多個(gè)認(rèn)證源的認(rèn)證服務(wù)功能，從而提高了用戶認(rèn)證服務(wù)的性能。
文檔編號(hào)H04L29/06GK102970308SQ20121056287
公開(kāi)日2013年3月13日 申請(qǐng)日期2012年12月21日 優(yōu)先權(quán)日2012年12月21日
發(fā)明者劉衛(wèi), 傅思育 申請(qǐng)人:北京網(wǎng)康科技有限公司