專(zhuān)利名稱(chēng):一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域中遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證的方法�,尤其涉及一種實(shí)現(xiàn) Radius系統(tǒng)與IAS系統(tǒng)集成的方法。
背景技術(shù):
Radius系統(tǒng)的全稱(chēng)是Remote Authentication Dial In User Service,即遠(yuǎn)程 驗(yàn)證撥入用戶(hù)服務(wù)����。所述Radius系統(tǒng)用來(lái)完成對(duì)用戶(hù)的AAA功能,即驗(yàn) i正(Authentication)����、授4又(Authorization)、記賬(Accounting)功能,用戶(hù)通過(guò) 登錄所述Radius系統(tǒng)即可完成網(wǎng)絡(luò)接入功能�����。
目前����,在很多企事業(yè)單位中�,用戶(hù)不僅僅需要具有網(wǎng)絡(luò)接入功能���,還需 要具有計(jì)算機(jī)域的訪問(wèn)功能����。所以在用戶(hù)登錄網(wǎng)絡(luò)后��,還需要進(jìn)行域用戶(hù) 的登錄���。
而在Windows 200x Server操作系統(tǒng)中自帶一種Radius服務(wù)器即IAS (Internet Authentication Service : Internet驗(yàn)證服務(wù)系統(tǒng))�,它的用戶(hù)存 放在AD域(Active Directory :活動(dòng)目錄服務(wù)域)管理器中����,所以,只要通過(guò) 了 IAS認(rèn)證�����,用戶(hù)也就通過(guò)了計(jì)算機(jī)域的認(rèn)證�,可以具有域用戶(hù)的訪問(wèn)權(quán) 限了,但是IAS服務(wù)器只具有認(rèn)證授權(quán)功能����,不具備計(jì)費(fèi)功能���。
由此導(dǎo)致�����,現(xiàn)有技術(shù)已有的認(rèn)證過(guò)程比較繁瑣�,并且功能比較單一,且 無(wú)法實(shí)現(xiàn)計(jì)費(fèi)的功能�����。因此�,現(xiàn)有技術(shù)需要進(jìn)一步的發(fā)展,已滿足用戶(hù)的 需求
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的方法�,在 于解決現(xiàn)有技術(shù)種的上述缺陷,提高用戶(hù)登錄的便捷性與安全性�����。 為解決上述問(wèn)題����,本發(fā)明方案包括
一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的方法�����,包括以下步驟
A��、 在所述IAS系統(tǒng)中創(chuàng)建一域用戶(hù)并配置密碼���、密碼策略與權(quán)限;
B���、 在所述Radius系統(tǒng)中創(chuàng)建一與所述域用戶(hù)同名的用戶(hù)����,所述用戶(hù)輸 入任意密碼�,所述Radius系統(tǒng)為所述用戶(hù)綁定資費(fèi)策略和認(rèn)證策略;
C�、 所述IAS系統(tǒng)與所述Radius系統(tǒng)對(duì)所述域用戶(hù)進(jìn)行聯(lián)合認(rèn)證。 所述的方法��,其中�,所述步驟B還包括將所述域用戶(hù)的域名配置到
所述Radius系統(tǒng)的后綴名隊(duì)列中,所述Radius系統(tǒng)根據(jù)用戶(hù)名的后綴判斷 是否為所述Ji或用戶(hù)��。
所述的方法,其中�����,所述步驟C還包括
Cl���、非所述域用戶(hù)登錄時(shí)�����,所述Radius系統(tǒng)對(duì)所述非域用戶(hù)進(jìn)行普通 用戶(hù)iU正。
所述的方法�,其中,所述步驟C還包括
C2�����、所述域用戶(hù)登錄時(shí)��,NAS設(shè)備向所述Radius系統(tǒng)發(fā)送Radius請(qǐng)求
包��;
C3����、所述Radius系統(tǒng)將所述Radius請(qǐng)求包解包,根據(jù)解包內(nèi)容重新生 成Radius請(qǐng)求包并將所述Radius請(qǐng)求包轉(zhuǎn)發(fā)至所述IAS系統(tǒng)進(jìn)行聯(lián)合認(rèn) 證�。
所述的方法��,其中���,所述步驟C3還包括
C31、若所述IAS系統(tǒng)認(rèn)證成功�,則所述IAS系統(tǒng)向所述Radius系統(tǒng) 回復(fù)接入接受包,所述Radius系統(tǒng)進(jìn)行后續(xù)認(rèn)證并將生成的回復(fù)包發(fā)送至 所述NAS設(shè)備���;
C32�、若所述IAS系統(tǒng)認(rèn)i正失敗��,則所述IAS系統(tǒng)向所述Radius系統(tǒng) 回復(fù)接入拒絕包,—所述Radius系統(tǒng)不進(jìn)行后繼iU正���;C33�、若所述IAS系統(tǒng)向所述Radius系統(tǒng)發(fā)送接入盤(pán)問(wèn)包�,所述kadius 系統(tǒng)重新生成接入盤(pán)問(wèn)包,并將所述接入盤(pán)問(wèn)包發(fā)送至所述NAS設(shè)備�。 所述的方法,其中�����,所述步驟C31還包括
C311、所述NAS設(shè)備向所述Radius系統(tǒng)發(fā)送所述域用戶(hù)的記賬請(qǐng)求包�����。 所述的方法��,其中���,所述步驟C311還包括
C3111���、所述Radius系統(tǒng)不將所述記賬請(qǐng)求包轉(zhuǎn)發(fā)至所迷IAS系統(tǒng),記
賬功能由所述Radius系統(tǒng)單獨(dú)完成�。
所述的方法�����,其中����,所述步驟C3還包括
C34、所述域用戶(hù)的日志記錄由所述Radius系統(tǒng)完成���。
所述的方法���,其中�,所述日志記錄包括所述域用戶(hù)的上下線信息�����、失敗
信息與資費(fèi)信息�。
本發(fā)明提供的一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的方法,將所述IAS 系統(tǒng)與所述Radius系統(tǒng)集成在一起�����,同步完成了用戶(hù)登錄網(wǎng)絡(luò)與登錄計(jì)算 機(jī)域的認(rèn)證與記賬處理程序���,既減少了用戶(hù)登錄的工作量�,又實(shí)現(xiàn)了用戶(hù) 登錄的一步到位���,大大提高了安全性����,滿足了一些企業(yè)登錄的便捷性與安 全性的需求��。
圖1是本發(fā)明中創(chuàng)建AD域用戶(hù)的流程示意圖2是本發(fā)明中域用戶(hù)的認(rèn)證與記賬過(guò)程中包的轉(zhuǎn)發(fā)流程示意圖3是本發(fā)明中用戶(hù)認(rèn)證的流程示意圖4是本發(fā)明中用戶(hù)記賬與計(jì)費(fèi)的流程示意圖����。
具體實(shí)施例方式
以下將結(jié)合附圖�,針對(duì)本發(fā)明的各較佳實(shí)施例進(jìn)行較為詳細(xì)的說(shuō)明�����。 如圖1所示的���,本發(fā)明方法先在所述IAS系統(tǒng)上創(chuàng)建Windows AD域并同時(shí)創(chuàng)建一個(gè)AD域用戶(hù)����,通過(guò)調(diào)用AD域安裝向?qū)樗鯥AS系統(tǒng)創(chuàng)建 一AD域����,然后通過(guò)AD域用戶(hù)管理器創(chuàng)建一個(gè)AD域用戶(hù),并為所述AD 域用戶(hù)配置密碼策略與所述AD域用戶(hù)權(quán)限��,然后在所述Radius系統(tǒng)上建立 一個(gè)用戶(hù)����,所述用戶(hù)與所述IAS系統(tǒng)中的所述AD域用戶(hù)同名�����,所述用戶(hù) 輸入任意密碼就可將所述AD域用戶(hù)權(quán)巧與資費(fèi)策略、認(rèn)證策略綁定在一 起;所述AD域用戶(hù)需要通過(guò)所述IAS系統(tǒng)與所述Radius系統(tǒng)的聯(lián)合認(rèn)證����, 認(rèn)證是通過(guò)所述AD域用戶(hù)名的后綴名進(jìn)行判斷的,若所述后綴名對(duì)應(yīng)于 AD域名�����,則該用戶(hù)即為所述AD域用戶(hù)需要通過(guò)聯(lián)合認(rèn)證��,因此需將所述 AD域用戶(hù)的域名配置到所述Radius系統(tǒng)的后綴名隊(duì)列中�。與現(xiàn)有技術(shù)相 比,所述AD域用戶(hù)在登錄時(shí)大大縮減了登錄程序�����,提高了用戶(hù)登錄的便 捷性��,并在一定程度上提高了登錄用戶(hù)的安全性���。
圖2為本發(fā)明中所述AD域用戶(hù)的認(rèn)證和記賬過(guò)程中包的轉(zhuǎn)發(fā)流程����,本 發(fā)明涉及的系統(tǒng)包括客戶(hù)端�、NAS(Network Access Server:網(wǎng)絡(luò)接入設(shè)備)�����、 Radius系統(tǒng)���、IAS系統(tǒng)。所述Radius系統(tǒng)是指由各廠家生產(chǎn)的Radius系統(tǒng)�, 具有認(rèn)證、記賬���、計(jì)費(fèi)�����、授權(quán)等功能�����。
認(rèn)證包的轉(zhuǎn)發(fā)流程為所i^戶(hù)端向所述NAS設(shè)備發(fā)出登錄請(qǐng)求�,所 述NAS設(shè)備根據(jù)所述客戶(hù)端發(fā)送的用戶(hù)信息生成認(rèn)證請(qǐng)求包�,發(fā)送給所述 Radius系統(tǒng)���,所述Radius系統(tǒng)再將所述認(rèn)證請(qǐng)求包轉(zhuǎn)發(fā)至所述IAS系統(tǒng)進(jìn) 行用戶(hù)身份的認(rèn)證���;所述IAS系統(tǒng)將認(rèn)證結(jié)果發(fā)送到所述Radius系統(tǒng)中�, 然后Radius系統(tǒng)將所述認(rèn)證結(jié)果轉(zhuǎn)發(fā)到所述NAS設(shè)備���,最后由所述NAS 設(shè)備將所述認(rèn)證結(jié)果發(fā)送到所述客戶(hù)端��。具體的用戶(hù)認(rèn)證過(guò)程可參見(jiàn)圖3���。
記賬包的轉(zhuǎn)發(fā)流程為記賬請(qǐng)求包由所述NAS設(shè)備主動(dòng)發(fā)送至所述 Radius系統(tǒng),所述記賬請(qǐng)求包經(jīng)過(guò)所述Radius系統(tǒng)處理后�,所述Radius系 統(tǒng)向所述NAS設(shè)備發(fā)送記賬回復(fù)包,以示記賬成功��。所述記賬請(qǐng)求包不轉(zhuǎn) 發(fā)到所述IAS系統(tǒng)��,所述記賬請(qǐng)求包由所述Radius系統(tǒng)單獨(dú)進(jìn)行處理����。可 見(jiàn)�,采用本發(fā)明的方法實(shí)現(xiàn)了對(duì)登錄的所述AD域用戶(hù)的計(jì)費(fèi)功能,是現(xiàn)有技術(shù)的極大進(jìn)步�。
用戶(hù)認(rèn)證的具體處理流程如圖3所示,所述NAS設(shè)備向所述Radius系 統(tǒng)發(fā)起認(rèn)證請(qǐng)求���,所述Radius系統(tǒng)根據(jù)用戶(hù)名所帶的后綴判斷用戶(hù)是否為 所述AD域用戶(hù)
若所述用戶(hù)為非所述AD域用戶(hù)��,則所述Radius系統(tǒng)走普通用戶(hù)認(rèn)證 流程�;
若所述用戶(hù)為所述AD域用戶(hù),則所述Radius系統(tǒng)先將其轉(zhuǎn)發(fā)至所述 IAS系統(tǒng)進(jìn)行認(rèn)證��,然后根據(jù)所述IAS系統(tǒng)的認(rèn)證結(jié)果進(jìn)行處理
a����、 所述IAS系統(tǒng)沒(méi)有向所述Radius系統(tǒng)返回結(jié)果;
b�����、 所述IAS系統(tǒng)向所述Radius系統(tǒng)返回i人i正失?�?�;
c��、 所述IAS系統(tǒng)向所述Radius系統(tǒng)返回iU正成功��;
d���、 所述IAS系統(tǒng)向所述Radius系統(tǒng)返回接入盤(pán)問(wèn)包�。 若出現(xiàn)a或b情況時(shí)��,所述Radius系統(tǒng)不進(jìn)行后續(xù)認(rèn)證����,直接向所述
NAS設(shè)備返回認(rèn)證拒絕包;若出現(xiàn)c情況時(shí)��,則所述Radius系統(tǒng)還需進(jìn)行
后續(xù)的認(rèn)證�,然后根據(jù)認(rèn)證結(jié)果向所述NAS設(shè)備返回接收回復(fù)包或拒絕回
復(fù)包;若出現(xiàn)d情況時(shí)�����,則所述Radius系統(tǒng)重新生成接入盤(pán)問(wèn)包���,并將所
述接入盤(pán)問(wèn)包發(fā)送至所述NAS設(shè)備���。
本發(fā)明中用戶(hù)的記賬流程如圖4所示,用戶(hù)認(rèn)i正成功后�,所述NAS設(shè)
備向所述Radius系統(tǒng)發(fā)送記賬請(qǐng)求包,所述Radius系統(tǒng)根據(jù)其用戶(hù)名后綴
判斷其是否屬于所述AD域用戶(hù)
若所述用戶(hù)為非所述AD域用戶(hù)����,則^v普通用戶(hù)的記賬處理流程��; 若所述用戶(hù)為所述AD域用戶(hù)��,則獲取所述AD域用戶(hù)的資費(fèi)策略�����,進(jìn)
入所述AD域用戶(hù)的記賬流程���,并向所述NAS設(shè)備返回記賬回復(fù)包,以示
記賬成功���。
綜上所述�,采用本發(fā)明提供的一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的 方法����,將所述IAS系統(tǒng)與所述Radius系統(tǒng)集成在一起,同步完成了用戶(hù)登錄網(wǎng)絡(luò)與登錄計(jì)算機(jī)域的認(rèn)證與記賬處理程序�,既減少了用戶(hù)登錄的工作 量,又實(shí)現(xiàn)了用戶(hù)登錄的一步到位����,大大提高了安全性,滿足了一些企業(yè) 登錄的便捷性與安全性的需求,是現(xiàn)有技術(shù)的極大進(jìn)步����。
應(yīng)當(dāng)理解的是,以上針對(duì)本發(fā)明各較佳實(shí)施例進(jìn)行了較為詳細(xì)的說(shuō)明��, 但不應(yīng)認(rèn)為是對(duì)本發(fā)明專(zhuān)利保護(hù)范圍的限制�,本發(fā)明的專(zhuān)利保護(hù)范圍應(yīng)當(dāng) 以所附權(quán)利要求為準(zhǔn)�����,對(duì)于本領(lǐng)域普通技術(shù)人員無(wú)需額外創(chuàng)造性勞動(dòng)����,根 據(jù)本發(fā)明的技術(shù)構(gòu)思進(jìn)行等同改變或替換都應(yīng)屬于本發(fā)明所附權(quán)利要求的 保護(hù)范圍。
權(quán)利要求
1���、一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的方法�����,包括以下步驟A�����、在所述IAS系統(tǒng)中創(chuàng)建一域用戶(hù)并配置密碼���、密碼策略與權(quán)限�;B����、在所述Radius系統(tǒng)中創(chuàng)建一與所述域用戶(hù)同名的用戶(hù),所述用戶(hù)輸入任意密碼�����,所述Radius系統(tǒng)為所述用戶(hù)綁定資費(fèi)策略和認(rèn)證策略�����;C��、所述IAS系統(tǒng)與所述Radius系統(tǒng)對(duì)所述域用戶(hù)進(jìn)行聯(lián)合認(rèn)證�。
2、 根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述步驟B還包括將 所述域用戶(hù)的域名配置到所述Radius系統(tǒng)的后綴名隊(duì)列中,所述Radius系 統(tǒng)根據(jù)用戶(hù)名的后綴判斷是否為所述域用戶(hù)�。
3�����、 根據(jù)權(quán)利要求2所述的方法����,其特征在于�,所述步驟C還包括 Cl、非所述域用戶(hù)登錄時(shí)�����,所述Radius系統(tǒng)對(duì)所述非域用戶(hù)進(jìn)行普通用戶(hù)i人證�����。
4�����、 根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述步驟C還包括 C2��、所述域用戶(hù)登錄時(shí),NAS設(shè)備向所述Radius系統(tǒng)發(fā)送Radius請(qǐng)求包����;C3、所述Radius系統(tǒng)將所述Radius請(qǐng)求包解包�����,根據(jù)解包內(nèi)容重新生 成Radius請(qǐng)求包并將所述Radius請(qǐng)求包轉(zhuǎn)發(fā)至所述IAS系統(tǒng)進(jìn)行聯(lián)合認(rèn) 證�����。
5��、 根據(jù)權(quán)利要求4所述的方法���,其棒征在于���,所述步驟C3還包括 C31 、若所述IAS系統(tǒng)認(rèn)證成功����,則所述IAS系統(tǒng)向所述Radius系統(tǒng)回復(fù)接入接受包,所述Radius系統(tǒng)進(jìn)行后續(xù)認(rèn)證并將生成的回復(fù)包發(fā)送至 所述NAS設(shè)備�����;C32、若所述IAS系統(tǒng)認(rèn)證失敗��,則所述IAS系統(tǒng)向所述Radius系統(tǒng)回復(fù)接入拒絕包��,所述Radius系統(tǒng)不進(jìn)行后繼認(rèn)證����;C33、若所述IAS系統(tǒng)向所述Radius系統(tǒng)發(fā)送接入盤(pán)問(wèn)包�����,所述Radius 系統(tǒng)重新生成接入盤(pán)問(wèn)包����,并將所述接入盤(pán)問(wèn)包發(fā)送至所述NAS設(shè)備���。
6�、 根據(jù)權(quán)利要求5所述的方法�,其特征在于,所述步驟C31還包括 C311�����、所述NAS設(shè)備向所述Radius系統(tǒng)發(fā)送所述域用戶(hù)的記賬請(qǐng)求包。
7����、 根據(jù)權(quán)利要求6所述的方法,其特征在于����,所述步驟C311還包括 C3111、所述Radius系統(tǒng)不將所述記賬請(qǐng)求包轉(zhuǎn)發(fā)至所述IAS系統(tǒng)���,記賬功能由所述Radius系統(tǒng)單獨(dú)完成����。
8�����、 根據(jù)權(quán)利要求4所述的方法���,其特征在于���,所述步驟C3還包括 C34��、所述域用戶(hù)的日志記錄由所述Radius系統(tǒng)完成�����。
9�、 根據(jù)權(quán)利要求8所述的方法�,其特征在于,所述日志記錄包括所述 域用戶(hù)的上下線信息���、失敗信息與資費(fèi)信息���。
全文摘要
本發(fā)明所公開(kāi)的是一種實(shí)現(xiàn)IAS系統(tǒng)與Radius系統(tǒng)集成的方法,其中��,在所述IAS系統(tǒng)中創(chuàng)建一域用戶(hù)并配置密碼�、密碼策略與權(quán)限�;在所述Radius系統(tǒng)中創(chuàng)建一與所述域用戶(hù)同名的用戶(hù),所述用戶(hù)輸入任意密碼���,所述Radius系統(tǒng)為所述用戶(hù)綁定資費(fèi)策略和認(rèn)證策略����;所述IAS系統(tǒng)與所述Radius系統(tǒng)對(duì)所述域用戶(hù)進(jìn)行聯(lián)合認(rèn)證。采用本發(fā)明的方法將所述IAS系統(tǒng)與所述Radius系統(tǒng)集成在一起�,同步完成了用戶(hù)登錄網(wǎng)絡(luò)與登錄計(jì)算機(jī)域的認(rèn)證與記賬處理程序,既減少了用戶(hù)登錄的工作量��,又實(shí)現(xiàn)了用戶(hù)登錄的一步到位��,大大提高了安全性�����,滿足了一些企業(yè)登錄的便捷性與安全性的需求���,是現(xiàn)有技術(shù)的極大進(jìn)步���。
文檔編號(hào)H04L12/14GK101296084SQ20081006800
公開(kāi)日2008年10月29日 申請(qǐng)日期2008年6月18日 優(yōu)先權(quán)日2008年6月18日
發(fā)明者吳沛東, 吳榮輝, 潘大乾 申請(qǐng)人:中興通訊股份有限公司