專利名稱:域認(rèn)證和網(wǎng)絡(luò)權(quán)限認(rèn)證的實(shí)現(xiàn)方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信和計(jì)算機(jī)領(lǐng)域中的網(wǎng)絡(luò)接入技術(shù)���,尤其涉及域認(rèn)證和網(wǎng)絡(luò)權(quán)限認(rèn)證的實(shí)現(xiàn)方法及設(shè)備。
背景技術(shù):
現(xiàn)在企業(yè)網(wǎng)和相關(guān)的局域網(wǎng)大部分都是使用了域系統(tǒng)���,例如很多企業(yè)網(wǎng)采用了微軟(Microsoft)公司的Windows主域控制器��。對(duì)于企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備來說��,可能需要提供一些業(yè)務(wù)控制�,包括用戶輸入不同的用戶名和口令而得到不同的網(wǎng)絡(luò)訪問權(quán)限,其中用戶的用戶名和口令需要用戶自己輸入�����。由于企業(yè)網(wǎng)中使用了域控制器��,當(dāng)用戶要訪問一些內(nèi)部的網(wǎng)絡(luò)資源時(shí)就必須通過域認(rèn)證�����,這樣用戶還需要輸入一次相應(yīng)的用戶名和口令�。
為此,Microsoft公司提出了一個(gè)簡單的一次認(rèn)證方案����,在Windows系統(tǒng)中用戶輸入一次用戶名和密碼,計(jì)算機(jī)主動(dòng)以用戶的域身份信息先登錄網(wǎng)絡(luò)后登錄域�,從而使得從用戶角度看,只需輸入一次用戶名和密碼��,就同時(shí)獲得了網(wǎng)絡(luò)和域的合法身份和訪問權(quán)限����,典型的組網(wǎng)模式如圖1所示����,其認(rèn)證流程如圖2所示���,主要過程如下1�、進(jìn)行認(rèn)證前處理��;主要是指認(rèn)證前的各種準(zhǔn)備���,比如獲取IP地址、進(jìn)行鏈路層的協(xié)商等等�����。
2���、認(rèn)證請(qǐng)求者向認(rèn)證控制設(shè)備發(fā)起包含身份信息的認(rèn)證請(qǐng)求���。用戶的身份信息如用戶名和密碼、某種帶有用戶身份的智能卡(如SIM卡)等�。在Microsoft方案中,也可以使用域用戶名和帳號(hào)等域身份信息作為網(wǎng)絡(luò)認(rèn)證的身份信息����。
3�、認(rèn)證控制設(shè)備獲取用戶身份信息后��,向認(rèn)證服務(wù)器發(fā)起認(rèn)證請(qǐng)求�����。(認(rèn)證服務(wù)器是一個(gè)邏輯實(shí)體���,一般認(rèn)證服務(wù)器是獨(dú)立于認(rèn)證控制設(shè)備的��,但也可以作為認(rèn)證控制設(shè)備的一部分�。)
4����、認(rèn)證服務(wù)器直接從域控制器中(或者其對(duì)應(yīng)的存儲(chǔ)系統(tǒng)比如活動(dòng)目錄Active Directory等)獲取保存的用戶身份信息(這是因?yàn)榫W(wǎng)絡(luò)和域使用相同的身份信息)。
5�、認(rèn)證服務(wù)器將認(rèn)證請(qǐng)求中包含的用戶身份信息和保存的用戶身份信息進(jìn)行比較,如果判定用戶身份合法����,則返回認(rèn)證結(jié)果為成功,如果判定用戶身份不合法�����,則返回認(rèn)證結(jié)果為失敗。
6��、認(rèn)證控制設(shè)備將認(rèn)證結(jié)果成功或者失敗的信息返回給認(rèn)證請(qǐng)求者�����。如果認(rèn)證成功����,則表明認(rèn)證請(qǐng)求者獲得合法網(wǎng)絡(luò)訪問的權(quán)限,認(rèn)證控制設(shè)備可以對(duì)用戶進(jìn)行授權(quán)�、計(jì)費(fèi)、訪問控制等等�;如果認(rèn)證失敗�����,則表明用戶沒有獲得合法訪問的權(quán)限����,認(rèn)證控制設(shè)備并不授予用戶對(duì)應(yīng)的合法訪問權(quán)限。
7�����、如果成功,Windows客戶端自動(dòng)再向域控制器發(fā)起域認(rèn)證�。
8、域控制器根據(jù)域認(rèn)證請(qǐng)求中的身份信息和域控制器(或者其對(duì)應(yīng)的存儲(chǔ)系統(tǒng)比如活動(dòng)目錄Active Directory等)存儲(chǔ)的用戶身份信息進(jìn)行比較���,如果判定用戶身份合法����,則返回認(rèn)證結(jié)果為成功��,如果判定用戶身份不合法��,則返回認(rèn)證結(jié)果為失敗�。然后將域認(rèn)證結(jié)果成功或者失敗的信息返回給Windows客戶端。
上述流程為認(rèn)證示意流程����,在實(shí)際協(xié)議中,請(qǐng)求和回應(yīng)可能有多個(gè)步驟�。
在實(shí)際認(rèn)證協(xié)議中,Microsoft提供的方案中��,認(rèn)證協(xié)議認(rèn)證請(qǐng)求者和認(rèn)證控制設(shè)備間可以使用PPPoE和802.1x兩種認(rèn)證方式,在認(rèn)證控制設(shè)備和認(rèn)證服務(wù)器間采用遠(yuǎn)程訪問拔號(hào)用戶服務(wù)協(xié)議(RADIUS協(xié)議)���。
雖然使用上述方案進(jìn)行認(rèn)證只需用戶輸入一次用戶信息����,但必須新增RADIUS認(rèn)證服務(wù)器��,同時(shí)認(rèn)證控制設(shè)備必須提供點(diǎn)到點(diǎn)(PPP)MS-CHAP認(rèn)證或者802.1x認(rèn)證����,而且客戶端必須是Windows 2000以上的操作系統(tǒng)。另外��,目前只能使用Microsoft提供的認(rèn)證服務(wù)器或者極少數(shù)可以訪問活動(dòng)目錄(ActiveDirectory��,AD��。Microsoft公司推出的一種存儲(chǔ)用戶�����、域等信息的數(shù)據(jù)庫)的認(rèn)證服務(wù)器����,網(wǎng)上大量現(xiàn)有認(rèn)證服務(wù)器無法使用���。由于對(duì)客戶端�、網(wǎng)絡(luò)設(shè)備、認(rèn)證服務(wù)器同時(shí)提出了比較苛刻的要求��,在實(shí)際使用中��,受到一定限制����。
發(fā)明內(nèi)容
本發(fā)明提供一種域認(rèn)證和網(wǎng)絡(luò)權(quán)限認(rèn)證的實(shí)現(xiàn)方法及設(shè)備,以解決現(xiàn)有的認(rèn)證方式對(duì)客戶端�、網(wǎng)絡(luò)設(shè)備和認(rèn)證服務(wù)器的要求較高而導(dǎo)致在實(shí)際使用中受到限制的問題。
為解決上述問題�,本發(fā)明提供以下技術(shù)方案一種域認(rèn)證和網(wǎng)絡(luò)權(quán)限認(rèn)證的實(shí)現(xiàn)方法,該方法包括如下步驟A�、用戶終端發(fā)起域認(rèn)證請(qǐng)求;B����、跟蹤控制設(shè)備分析所述域認(rèn)證請(qǐng)求,并轉(zhuǎn)發(fā)給域控制器�;C、域控制器對(duì)用戶進(jìn)行域認(rèn)證�,并向跟蹤控制設(shè)備返回域認(rèn)證結(jié)果;D、跟蹤控制設(shè)備根據(jù)所述域認(rèn)證結(jié)果判斷用戶的域認(rèn)證是否成功�,如果是,則獲取該用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限并授權(quán)���;否則��,拒絕該用戶訪問網(wǎng)絡(luò)����。
其中所述跟蹤控制設(shè)備分析出所述用戶終端的域認(rèn)證請(qǐng)求后���,對(duì)域認(rèn)證過程中該用戶終端與域認(rèn)證控制器之間所有域認(rèn)證報(bào)文進(jìn)行跟蹤和分析����。
所述跟蹤控制設(shè)備直接從本設(shè)備上獲取用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限��;或者,所述跟蹤控制設(shè)備從其他網(wǎng)絡(luò)設(shè)備上獲取用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限����。
跟蹤控制設(shè)備在確定需要對(duì)用戶計(jì)費(fèi)時(shí),在判斷用戶域認(rèn)證成功后通知指定的計(jì)費(fèi)服務(wù)器開始計(jì)費(fèi)��。
一種跟蹤控制設(shè)備��,包括管理設(shè)備中各模塊的設(shè)備管理模塊���,負(fù)責(zé)報(bào)文路由管理的路由管理模塊�,用于管理用戶信息和權(quán)限的用戶管理模塊����,以及用于將設(shè)備入端口的報(bào)文轉(zhuǎn)發(fā)到出端口的報(bào)文轉(zhuǎn)發(fā)模塊;其中�����,該跟蹤控制設(shè)備還包括報(bào)文解析模塊���,該解析模塊解析所述報(bào)文轉(zhuǎn)發(fā)模塊發(fā)送來的域認(rèn)證報(bào)文��,并將用戶信息保存到所述用戶管理模塊��;該用戶管理模塊根據(jù)報(bào)文解析模塊解析出的域認(rèn)證成功消息為用戶配置網(wǎng)絡(luò)訪問權(quán)限�。
本發(fā)明具有以下有益效果1���、用戶一次登錄�,就可以自動(dòng)獲得網(wǎng)絡(luò)權(quán)限和域權(quán)限�����,因而能夠方便用戶使用和大大地提高易用性。
2�����、本發(fā)明對(duì)原有Windows域認(rèn)證方案完全透明�����,不需增加任何額外維護(hù)�。
3、本發(fā)明完全兼容現(xiàn)有Windows客戶端和Windows域控制器��,沒有任何額外要求�����,不要求新增認(rèn)證服務(wù)器�����,也不要求設(shè)備支持PPP CHAP或者802.1x認(rèn)證����,因此�,本發(fā)明的認(rèn)證方法在實(shí)際使用中不受任何限制��。
圖1為現(xiàn)有技術(shù)的Windows系統(tǒng)中網(wǎng)絡(luò)和域認(rèn)證的典型的組網(wǎng)示意圖�;圖2為現(xiàn)有技術(shù)中以用戶的域身份信息先登錄網(wǎng)絡(luò)后登錄域的認(rèn)證流程圖��;圖3為本發(fā)明的實(shí)現(xiàn)認(rèn)證的組網(wǎng)示意圖�����;圖4為本發(fā)明的跟蹤控制設(shè)備的結(jié)構(gòu)示意圖����;圖5為本發(fā)明實(shí)現(xiàn)認(rèn)證的流程圖。
具體實(shí)施例方式
參閱圖3所示��,為了實(shí)現(xiàn)域認(rèn)證和網(wǎng)絡(luò)權(quán)限控制的統(tǒng)一處理�,本發(fā)明將現(xiàn)有技術(shù)中的認(rèn)證控制設(shè)備改為跟蹤控制設(shè)備,由該跟蹤控制設(shè)備全程跟蹤用戶終端的域認(rèn)證過程�,并根據(jù)域認(rèn)證結(jié)果直接獲取并配置用戶的網(wǎng)絡(luò)訪問權(quán)限。
參閱圖4所示���,跟蹤控制設(shè)備主要包括報(bào)文轉(zhuǎn)發(fā)模塊通過交換機(jī)制或者路由轉(zhuǎn)發(fā)機(jī)制����,將報(bào)文從入端口轉(zhuǎn)發(fā)到對(duì)應(yīng)的出端口。對(duì)于域認(rèn)證報(bào)文需要送到報(bào)文解析模塊進(jìn)行解析�。
報(bào)文解析模塊解析域認(rèn)證報(bào)文,并將獲取的用戶信息存入用戶管理模塊����。當(dāng)需要在域認(rèn)證報(bào)文中加入、刪除或者修改部分屬性時(shí)��,報(bào)文解析模塊還要重組報(bào)文�。
用戶管理模塊對(duì)用戶的基本網(wǎng)絡(luò)信息,比如IP�����、MAC�����、VLAN等信息進(jìn)行管理��,同時(shí)記錄用戶所在的域認(rèn)證信息����、域認(rèn)證狀態(tài)。當(dāng)報(bào)文解析模塊解析出用戶域認(rèn)證的消息時(shí)�,獲取用戶的網(wǎng)絡(luò)訪問權(quán)限并進(jìn)行用戶權(quán)限控制�。在需要對(duì)用戶計(jì)費(fèi)時(shí)通知相應(yīng)的計(jì)費(fèi)服務(wù)器進(jìn)行計(jì)費(fèi)處理��。
設(shè)備管理����、路由管理模塊按現(xiàn)有方式負(fù)責(zé)設(shè)備和路由的各種管理。
設(shè)備管理模塊和其余模塊通之間具有管理信息交互接口����,轉(zhuǎn)發(fā)模塊通過路由模塊和用戶管理模塊判定如何轉(zhuǎn)發(fā)報(bào)文��。
對(duì)于用戶的網(wǎng)絡(luò)訪問權(quán)限�����,可以通過手工方式預(yù)先配置在跟蹤控制設(shè)備的用戶管理模塊中��,跟蹤控制設(shè)備可以直接獲取�����。網(wǎng)絡(luò)訪問權(quán)限也可以由網(wǎng)絡(luò)中的其他設(shè)備下發(fā)���,即在其他服務(wù)器上預(yù)先配置用戶網(wǎng)絡(luò)訪問權(quán)限并保存���,需要時(shí)所述跟蹤控制設(shè)備向該服務(wù)器請(qǐng)求����,服務(wù)器通過協(xié)議將網(wǎng)絡(luò)訪問權(quán)限下發(fā)到跟蹤控制設(shè)備���;或者�����,服務(wù)器在收到跟蹤控制設(shè)備的請(qǐng)求后動(dòng)態(tài)地為用戶分配網(wǎng)絡(luò)權(quán)限�,并通過協(xié)議下發(fā)到跟蹤控制設(shè)備�����,這種方式還可以在線修改用戶授權(quán)屬性���。服務(wù)器可以采用的協(xié)議如遠(yuǎn)程訪問拔號(hào)用戶服務(wù)協(xié)議(RADIUS協(xié)議)或公共開放策略業(yè)務(wù)(Common Open Policy Service�,COPS)協(xié)議等����,其權(quán)限下發(fā)全遵循RFC2865/RFC2866/RFC2869等。
參閱圖5所示,具體的認(rèn)證過程如下步驟1��、進(jìn)行認(rèn)證前處理�����。主要是認(rèn)證前的各種準(zhǔn)備���,比如獲取IP地址�、進(jìn)行鏈路協(xié)商等等���。
步驟2���、從客戶端輸入用戶信息進(jìn)行域登錄��,向域認(rèn)證器發(fā)起域認(rèn)證請(qǐng)求��。
步驟3�、跟蹤控制設(shè)備接收到所述域認(rèn)證請(qǐng)求后進(jìn)行分析,然后轉(zhuǎn)發(fā)給域控制器��。
域認(rèn)證請(qǐng)求分析包括對(duì)域認(rèn)證報(bào)文結(jié)構(gòu)����、屬性�、公開部分的內(nèi)容進(jìn)行解析�,對(duì)用戶的IP地址、用戶名��、域認(rèn)證過程和狀態(tài)進(jìn)行查詢和記錄�。
步驟4、域控制器將認(rèn)證請(qǐng)求中包含的用戶身份信息和域控制器(或者其對(duì)應(yīng)的存儲(chǔ)系統(tǒng)比如活動(dòng)目錄Active Directory等)中保存的用戶身份信息進(jìn)行對(duì)比�����,如果判定用戶身份合法�,則返回認(rèn)證結(jié)果為成功,如果判定用戶身份不合法���,則返回認(rèn)證結(jié)果為失敗��。
步驟5��、跟蹤控制設(shè)備根據(jù)認(rèn)證結(jié)果判斷域認(rèn)證是否成功����,如果認(rèn)證成功�,則獲取該用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限并配置相應(yīng)權(quán)限;否則,拒絕該用戶訪問網(wǎng)絡(luò)�。
在確定用戶域認(rèn)證成功后,如果需要對(duì)用戶計(jì)費(fèi)����,跟蹤控制設(shè)備則通知計(jì)費(fèi)服務(wù)器(如,RADIUS服務(wù)器或FTP/TFTP服務(wù)器等)開始計(jì)費(fèi)����。
步驟6、跟蹤控制設(shè)備同時(shí)將該報(bào)文轉(zhuǎn)發(fā)給客戶端��。如果認(rèn)證成功�����,則表明客戶端同時(shí)獲得了域和網(wǎng)絡(luò)的合法訪問的權(quán)限���,如果認(rèn)證失敗,則表明用戶沒有獲得合法訪問的權(quán)限����,跟蹤控制設(shè)備并不授予用戶對(duì)應(yīng)的網(wǎng)絡(luò)合法訪問權(quán)限。
圖5中的流程為認(rèn)證示意流程�����,在實(shí)際協(xié)議中,請(qǐng)求和回應(yīng)可能有多個(gè)步驟�����。跟蹤控制設(shè)備在域認(rèn)證過程中全程跟蹤完域認(rèn)證結(jié)果�,即從用戶域認(rèn)證請(qǐng)求開始,對(duì)請(qǐng)求和請(qǐng)求回應(yīng)等各種域認(rèn)證協(xié)議的所有報(bào)文全面進(jìn)行跟蹤和信息獲取�、分析,并根據(jù)需要做用戶信息�����、狀態(tài)記錄��。
在實(shí)際域認(rèn)證協(xié)議中�����,在Windows NT 4.0中是NTLM(Windows NT LANManager)協(xié)議���,而在Windows 2000系統(tǒng)以后�����,可以是NTLM�����、Kerberos或分布式密碼驗(yàn)證(DPA)協(xié)議��。對(duì)跟蹤控制設(shè)備而言�����,可以跟蹤����、分析所有域認(rèn)證協(xié)議,包括但不限于NTLM�、Kerberos、DPA協(xié)議��。
在跟蹤控制設(shè)備監(jiān)測(cè)到會(huì)話終結(jié)(部分域認(rèn)證協(xié)議會(huì)終結(jié)相應(yīng)的會(huì)話)����,或者域認(rèn)證的時(shí)間限制到期(一些域認(rèn)證具有時(shí)間限制),或者用戶重新發(fā)起新的申請(qǐng)����,或者通過網(wǎng)絡(luò)、應(yīng)用層協(xié)議發(fā)現(xiàn)用戶已經(jīng)下線時(shí)��,通知計(jì)費(fèi)服務(wù)器停止計(jì)費(fèi)�。
下面以Kerberos域認(rèn)證為例,說明跟蹤控制設(shè)備如何監(jiān)測(cè)域認(rèn)證過程�。其中Kerberos域認(rèn)證過程如下第一步一個(gè)用戶初始化登錄到Windows NT(即域控制器)時(shí),客戶端的Kerberos SSP(安全性服務(wù)接口)得到一個(gè)初始的Kerberos許可證(TGT)����,Windows NT把這個(gè)TGT作為用戶登錄環(huán)境的一部分存儲(chǔ)在客戶端的許可證緩存中。
第二步當(dāng)一個(gè)客戶端程序試圖訪問一個(gè)服務(wù)器上的網(wǎng)絡(luò)服務(wù)時(shí)�,客戶端的運(yùn)行時(shí)刻在自己的許可證緩存中檢查有無一個(gè)有效的訪問服務(wù)器的會(huì)話許可證。如果沒有����,客戶端向密鑰分配中心發(fā)出一個(gè)請(qǐng)求,申請(qǐng)一個(gè)訪問服務(wù)器的會(huì)話許可證�,然后把申請(qǐng)到的會(huì)話許可證緩存到本地。
第三步客戶端在與服務(wù)器建立初始化連接時(shí)把會(huì)話許可證遞交給服務(wù)器�。
第四步服務(wù)器對(duì)會(huì)話許可證進(jìn)行驗(yàn)證。由于會(huì)話許可證的一部分是使用服務(wù)器與密鑰分配中心之間共享的密鑰進(jìn)行加密�,而服務(wù)器端的Kerberos運(yùn)行時(shí)刻在緩存中擁有一份共享的密鑰的拷貝,所以服務(wù)器不需要連接到密鑰分配中心上的驗(yàn)證服務(wù)就能夠直接對(duì)客戶端進(jìn)行驗(yàn)證���。當(dāng)客戶端也想驗(yàn)證服務(wù)器的身份時(shí)�,服務(wù)器將收到的時(shí)間戳加1,并用會(huì)話密鑰加密后發(fā)送給用戶����,用戶收到回答后用會(huì)話密鑰解密來確定服務(wù)器的身份。
用戶客戶端和服務(wù)器互相驗(yàn)證了彼此的身份后擁有了只有客戶端和服務(wù)器兩者知道的會(huì)話密鑰���,以后的通信都可以通過會(huì)話密鑰得到保護(hù)�����。
在步驟一中�,跟蹤控制設(shè)備可以獲取到TGT成功獲取的信息(TGT的成功獲得��,就意味這客戶端通過了域控制器的認(rèn)證)�����,此時(shí)可以通過靜態(tài)配置���、動(dòng)態(tài)獲取權(quán)限等方式獲取并控制該用戶對(duì)應(yīng)的權(quán)限��。一般在本步驟獲取用戶的所有權(quán)限���。
在步驟二或者步驟四中���,跟蹤控制設(shè)備可以獲取到客戶端獲得服務(wù)的認(rèn)證結(jié)果并靜態(tài)配置��、動(dòng)態(tài)獲取權(quán)限等方式獲取并控制該用戶對(duì)應(yīng)的權(quán)限�。嚴(yán)格一點(diǎn)應(yīng)該在步驟四獲取用戶認(rèn)證結(jié)果,寬松一點(diǎn)在步驟二獲取用戶認(rèn)證結(jié)果����。一般在本步驟配置用戶對(duì)應(yīng)該服務(wù)的相應(yīng)權(quán)限。
在上述過程中�����,獲取許可證(包括TGT和服務(wù)許可證等)的同時(shí)��,可以開始計(jì)費(fèi)���。在獲取到對(duì)應(yīng)的許可證的同時(shí)�,報(bào)文中還包括了許可證的有效時(shí)間���,因此����,當(dāng)該許可證有效期失效時(shí)間到或發(fā)現(xiàn)用戶已經(jīng)下線時(shí)停止計(jì)費(fèi)。
從上述可知�����,采用本發(fā)明�����,用戶只需進(jìn)行一次域登錄���,在域認(rèn)證通過后就可以自動(dòng)獲得網(wǎng)絡(luò)權(quán)限�����,因而能夠方便用戶使用和大大地提高易用性�。
顯然���,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍��。這樣����,倘若對(duì)本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)���。
權(quán)利要求
1.一種域認(rèn)證和網(wǎng)絡(luò)權(quán)限認(rèn)證的實(shí)現(xiàn)方法���;其特征在于該方法包括如下步驟A�����、用戶終端發(fā)起域認(rèn)證請(qǐng)求�����;B����、跟蹤控制設(shè)備分析所述域認(rèn)證請(qǐng)求,并轉(zhuǎn)發(fā)給域控制器���;C�����、域控制器對(duì)用戶進(jìn)行域認(rèn)證�,并向跟蹤控制設(shè)備返回域認(rèn)證結(jié)果;D��、跟蹤控制設(shè)備根據(jù)所述域認(rèn)證結(jié)果判斷用戶的域認(rèn)證是否成功���,如果是�����,則獲取該用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限并授權(quán)��;否則���,拒絕該用戶訪問網(wǎng)絡(luò)。
2.如權(quán)利要求1所述的方法�,其特征在于,所述跟蹤控制設(shè)備還將認(rèn)證結(jié)果報(bào)文發(fā)送給所述用戶終端����。
3.如權(quán)利要求1或2所述的方法,其特征在于����,所述跟蹤控制設(shè)備分析出所述用戶終端的域認(rèn)證請(qǐng)求后,對(duì)域認(rèn)證過程中該用戶終端與域認(rèn)證控制器之間所有域認(rèn)證報(bào)文進(jìn)行跟蹤和分析���。
4.如權(quán)利要求1所述的方法����,其特征在于,所述跟蹤控制設(shè)備直接從本設(shè)備上獲取用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限�����;或者��,所述跟蹤控制設(shè)備從其他網(wǎng)絡(luò)設(shè)備上獲取用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限����。
5.如權(quán)利要求4所述的方法���,其特征在于��,所述其他網(wǎng)絡(luò)設(shè)備在收到跟蹤控制設(shè)備的請(qǐng)求后���,通過協(xié)議將預(yù)先配置的用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限下發(fā)到跟蹤控制設(shè)備;或者���,所述其他網(wǎng)絡(luò)設(shè)備在收到跟蹤控制設(shè)備的請(qǐng)求后動(dòng)態(tài)地為用戶分配網(wǎng)絡(luò)權(quán)限����,并通過協(xié)議下發(fā)到跟蹤控制設(shè)備。
6.如權(quán)利要求1所述的方法�����,其特征在于��,跟蹤控制設(shè)備在確定需要對(duì)用戶計(jì)費(fèi)時(shí)��,在判斷用戶域認(rèn)證成功后通知指定的計(jì)費(fèi)服務(wù)器開始計(jì)費(fèi)�����。
7.如權(quán)利要求6所述的方法�,其特征在于,當(dāng)跟蹤設(shè)備監(jiān)測(cè)到域認(rèn)證協(xié)議終結(jié)用戶的會(huì)話����,或者用戶域認(rèn)證的時(shí)間限制到期,或者用戶重新發(fā)起新的申請(qǐng)����,或者用戶已經(jīng)下線時(shí)通知所述計(jì)費(fèi)服務(wù)器停止計(jì)費(fèi)。
8.一種跟蹤控制設(shè)備����,包括管理設(shè)備中各模塊的設(shè)備管理模塊�����,負(fù)責(zé)報(bào)文路由管理的路由管理模塊��,用于管理用戶信息和權(quán)限的用戶管理模塊�����,以及用于將設(shè)備入端口的報(bào)文轉(zhuǎn)發(fā)到出端口的報(bào)文轉(zhuǎn)發(fā)模塊�����;其特征在于該跟蹤控制設(shè)備還包括報(bào)文解析模塊,該解析模塊解析所述報(bào)文轉(zhuǎn)發(fā)模塊發(fā)送來的域認(rèn)證報(bào)文���,并將用戶信息保存到所述用戶管理模塊�����;該用戶管理模塊根據(jù)報(bào)文解析模塊解析出的域認(rèn)證成功消息為用戶配置網(wǎng)絡(luò)訪問權(quán)限��。
9.如權(quán)利要求8所述的跟蹤控制設(shè)備�,其特征在于,所述報(bào)文轉(zhuǎn)發(fā)模塊還將已獲取的域認(rèn)證報(bào)文進(jìn)行重組后返回給報(bào)文轉(zhuǎn)發(fā)模塊����。
全文摘要
本發(fā)明公開了一種域認(rèn)證和網(wǎng)絡(luò)權(quán)限認(rèn)證的實(shí)現(xiàn)方法,以解決現(xiàn)有的認(rèn)證方式對(duì)客戶端�����、網(wǎng)絡(luò)設(shè)備和認(rèn)證服務(wù)器的要求較高而導(dǎo)致在實(shí)際使用中受到一定限制的問題�。該方法為用戶終端發(fā)起域認(rèn)證請(qǐng)求;跟蹤控制設(shè)備分析所述域認(rèn)證請(qǐng)求�����,并轉(zhuǎn)發(fā)給域控制器��;域控制器對(duì)用戶進(jìn)行域認(rèn)證�,并向跟蹤控制設(shè)備返回域認(rèn)證結(jié)果;如果域認(rèn)證成功�����,跟蹤控制設(shè)備則獲取該用戶對(duì)應(yīng)的網(wǎng)絡(luò)訪問權(quán)限并授權(quán)����,否則拒絕該用戶訪問網(wǎng)絡(luò)��。
文檔編號(hào)G06F21/10GK1783780SQ20041009778
公開日2006年6月7日 申請(qǐng)日期2004年12月4日 優(yōu)先權(quán)日2004年12月4日
發(fā)明者金濤 申請(qǐng)人:華為技術(shù)有限公司