專利名稱:用戶認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)通信接入技術(shù),尤其是一種用戶認(rèn)證的方法�。
背景技術(shù):
在數(shù)據(jù)通信接入時,寬帶接入服務(wù)器BRAS需要對接入用戶進(jìn)行認(rèn)證管 理�����,目前支持的i人證方式主要有radius�����、 tacacs����、 local (本i也i人i正)��、none (不認(rèn)證)這幾種方式����,radius和tacacs兩種認(rèn)證方式都需要和遠(yuǎn)端的服務(wù) 器交互���,如果BRAS和服務(wù)器之間的鏈路出現(xiàn)問題,就無法認(rèn)證��,用戶無法 接入����,影響業(yè)務(wù)的開展;而本地認(rèn)證方式�,如果本地沒有配置用戶,也會使 用戶無法4妄入�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種用戶認(rèn)證方法,以增強(qiáng)系統(tǒng)靈活性��。
為解決上述技術(shù)問題�����,本發(fā)明提供一種用戶認(rèn)證方法�����,為用戶配置兩種 或兩種以上i人證方式以對用戶進(jìn)行iU正,當(dāng)用戶接入時先采用方式一進(jìn)行^人 證���,若方式一認(rèn)證超時或本地認(rèn)證沒有找到相對應(yīng)的用戶�����,則改為方式二進(jìn) 行認(rèn)證����。
進(jìn)一步地�,認(rèn)證方式一為遠(yuǎn)程用戶撥號"i人證,認(rèn)i正方式二為本地認(rèn)i正���。
進(jìn)一步地��,i人證方式一為遠(yuǎn)程用戶撥號iU正����,認(rèn)證方式二為不認(rèn)證方式���。
進(jìn)一步地,認(rèn)證方式一為終端訪問控制器訪問控制系統(tǒng)認(rèn)證�,認(rèn)證方式 二為本地認(rèn)證。
進(jìn)一步地,認(rèn)證方式一為終端訪問控制器訪問控制系統(tǒng)認(rèn)證�,認(rèn)證方式 二為不iU正方式。
進(jìn)一步地����,認(rèn)證方式一為本地iU正,i人證方式二為遠(yuǎn)程用戶撥號認(rèn)i正��。
進(jìn)一步地����,認(rèn)證方式一為本地認(rèn)證,認(rèn)證方式二為終端訪問控制器訪問 4空制系統(tǒng)iU正�。
進(jìn)一步地,用戶接入進(jìn)行認(rèn)證時��,如果方式一認(rèn)證成功或認(rèn)證失敗����,則 不再進(jìn)4于方式二i人i正。
進(jìn)一步地����,認(rèn)證失敗指認(rèn)證服務(wù)器拒絕用戶的認(rèn)證請求或本地認(rèn)證由于 密碼錯誤或物理綁定錯誤被拒絕。
進(jìn)一步地���,認(rèn)證方式通過寬帶接入服務(wù)器根據(jù)用戶所在域進(jìn)行配置��。
相較于現(xiàn)有技術(shù)���,本發(fā)明方法通過不同的認(rèn)證方式之間的結(jié)合�����,實(shí)現(xiàn)用 戶認(rèn)證方式之間的備份���,配置靈活簡單,而且可以避免因為服務(wù)器鏈路問題 或本地沒有配置用戶而影響用戶接入時效�,增強(qiáng)系統(tǒng)的靈活性。
圖1是本發(fā)明用戶認(rèn)證方法流程示意圖��。
圖2是本發(fā)明采用radius-local混合認(rèn)證方式的處理流程圖���。
圖3是本發(fā)明采用local-tacacs混合認(rèn)證方式的處理流程圖���。
具體實(shí)施例方式
本發(fā)明用戶認(rèn)證方法在BRAS設(shè)備上用軟件實(shí)現(xiàn)用戶的混合認(rèn)證, BRAS設(shè)備根據(jù)用戶所在域為用戶配置兩種認(rèn)證方式以對用戶進(jìn)行認(rèn)證�,當(dāng) 用戶接入時如圖l所示,先采用方式一進(jìn)行認(rèn)證��,若方式一認(rèn)證超時或本地 認(rèn)證沒有查找到相對應(yīng)的用戶����,則改為方式二進(jìn)行認(rèn)證。
當(dāng)然除了通過寬帶接入服務(wù)器BRAS進(jìn)行認(rèn)證方式配置外���,也可以通過 其它設(shè)備�,在相應(yīng)設(shè)備上配置����。
現(xiàn)有的認(rèn)證方式有遠(yuǎn)程用戶撥號認(rèn)證radius (Remote Authentication Dial In User Service)、本i也local iU正��、不i人i正none i人i正及終端i方問4空制器^方問
控制系統(tǒng)i人i正tacacs (Terminal Access Controller Access Control System) i人 證���,可以釆用以上幾種認(rèn)證方式進(jìn)行組合以實(shí)現(xiàn)本發(fā)明的混合認(rèn)證方法�,基 于本發(fā)明思想下�����,也可以采用三種或四種認(rèn)證方式的混合認(rèn)證的進(jìn)行用戶接 入認(rèn)證�����,但為便于實(shí)現(xiàn),以下以兩種認(rèn)證方式的混合認(rèn)證為例進(jìn)行詳細(xì)說明�����。
以下給出六種混合i人i正的實(shí)例
實(shí)例1: radius-local混合iU正用戶4妄入先進(jìn)4亍radius iU正�,如果radius 服務(wù)器沒有應(yīng)答,radius認(rèn)證超時��,用戶改為進(jìn)行l(wèi)ocal認(rèn)證�,在這種混合認(rèn) 證方式下,如果是radius服務(wù)器拒絕了用戶的認(rèn)證請求�,那么用戶認(rèn)證失敗, 不會再切換為本地認(rèn)i正����。
實(shí)例2: radius畫none混合iU正用戶接入先進(jìn)4亍radius iU正,如果radius 服務(wù)器沒有應(yīng)答����,radius認(rèn)證超時,用戶改為不認(rèn)證�,直接接入,在這種混 合認(rèn)證方式下��,如果是radius服務(wù)器拒絕了用戶的認(rèn)證請求��,那么用戶認(rèn)證 失敗,不會再切換為不認(rèn)證�。
實(shí)例3: tacacs-local混合認(rèn)證用戶接入先進(jìn)行tacacs認(rèn)證����,如果tacacs 服務(wù)器沒有應(yīng)答,tacacs認(rèn)證超時����,用戶改為進(jìn)行l(wèi)ocal認(rèn)證,在這種混合認(rèn) 證方式下�����,如果是tacacs服務(wù)器拒絕了用戶的認(rèn)證請求�,那么用戶認(rèn)證失敗, 不會再切換為本地認(rèn)證����。
實(shí)例4: tacacs-none混合認(rèn)i正功能用戶才妻入先進(jìn)4亍tacacs i人證,如果 tacacs服務(wù)器沒有應(yīng)答��,tacacs認(rèn)證超時��,用戶改為不認(rèn)證���,直接接入��,在 這種混合認(rèn)證方式下���,如果是tacacs服務(wù)器拒絕了用戶的認(rèn)證請求���,那么用 戶認(rèn)證失敗,不會再切換為不認(rèn)證����。
實(shí)例5: local-radius混合認(rèn)證功能用戶接入先進(jìn)行l(wèi)ocal認(rèn)證,如果本 地認(rèn)證沒有查找到相對應(yīng)的用戶��,則用戶改為radius認(rèn)證方式���,在這種混合 認(rèn)證方式下�����,如果是local認(rèn)證時拒絕了用戶的認(rèn)證請求���,那么用戶認(rèn)證失 敗,不會再切換為radius認(rèn)i正。
實(shí)例6: local-tacacs混合認(rèn)證功能用戶接入先進(jìn)行l(wèi)ocal認(rèn)證����,如果本 地認(rèn)證沒有查找到相對應(yīng)的用戶,則用戶改為tacacs認(rèn)證方式�,在這種混合 認(rèn)證方式下,如果是local認(rèn)證時拒絕了用戶的認(rèn)證請求���,那么用戶認(rèn)證失敗,不會再切換為tacacs i人i正���。
以下結(jié)合附圖分別對采用radius-local和local-tacacs混合iU正方式的應(yīng) 用實(shí)例進(jìn)行詳細(xì)i兌明
如圖2所示����,采用radius-local混合認(rèn)證方式的認(rèn)證處理流程包括以下 步驟
步驟201:用戶向BRAS設(shè)備發(fā)送認(rèn)證請求����;
步驟202: BRAS才艮據(jù)用戶所在的域得到用戶的認(rèn)證方式為radius-local 混合iU正方式;
步驟203: BRAS設(shè)備把用戶的信息發(fā)送給radius服務(wù)器進(jìn)行radius認(rèn)
證���;
步驟204:如果radius服務(wù)器接受用戶的認(rèn)證請求�����,則執(zhí)行步驟207; 如果radius服務(wù)器拒絕用戶的認(rèn)證請求�����,則執(zhí)行步驟208;如果radius服務(wù) 器沒有回應(yīng)�����,那么用戶認(rèn)證超時�,則執(zhí)行步驟205:
步驟205:進(jìn)行本地認(rèn)證;
步驟206:如果本地認(rèn)證成功����,則執(zhí)行步驟207;如果本地認(rèn)證失敗, 則執(zhí)行步驟208;
步驟207:允許用戶接入�����;
步驟208:拒絕用戶接入�����。 應(yīng)用實(shí)例二
如圖3所示����,采用local-tacacs混合認(rèn)證方式的認(rèn)證處理流程包括以下 步驟
步驟301:用戶發(fā)送認(rèn)證請求,
步驟302: BRAS根據(jù)用戶所在的域得到用戶的認(rèn)證方式為local-tacacs 混合認(rèn)證方式;
步驟303: BRAS設(shè)備將用戶進(jìn)行本地認(rèn)證�����,
步驟304:如果本地i人證成功�����,則執(zhí)行步驟307;如果用戶本地iU正由 于密碼錯誤或者物理綁定錯誤被拒絕�,則執(zhí)行步驟308;如果本地認(rèn)證,沒
有查找到此用戶��,則認(rèn)證方式改為tacacs認(rèn)證方式��;
步驟305: BRAS設(shè)備把用戶的信息發(fā)送給tacacs服務(wù)器進(jìn)行tacacs認(rèn)
證����;
步驟306:如果tacacs認(rèn)證成功�,則執(zhí)行步驟307;如果tacacs認(rèn)證失 敗��;則執(zhí)行步驟308;
步驟307:允許用戶接入����;
步驟308:拒絕用戶接入。
以上是利用兩種典型的混合認(rèn)證的方式,說明了混合認(rèn)證的過程�����,其它 幾種混合認(rèn)證方式也和這兩種思路基本相同�����?���;旌险J(rèn)證的時候,如果前面一 種認(rèn)證方式已經(jīng)明確的接受或者拒絕���,就不用再進(jìn)行下面的另一種認(rèn)證方 式�,只有當(dāng)local認(rèn)證用戶不存在���,radius和tacacs認(rèn)證超時��,這幾種情況才 會進(jìn)行混合認(rèn)證的下一種認(rèn)證方式的認(rèn)證��。按照實(shí)際應(yīng)用的要求����,通過對域 下配置不同的認(rèn)證方式,靈活的實(shí)現(xiàn)對用戶接入的認(rèn)i正��。
在BRAS設(shè)備中�����,為了應(yīng)用radius-local的混合認(rèn)證方法的配置方法如
下
步驟001 :新建一個domain,并進(jìn)入domain配置模式��,配置實(shí)例如下
ZXUAS(config)弁
ZXUAS(config)弁bms
ZXUAS(config畫bras)弁domain 1
ZXUAS(config國domain-1 )#
在BRAS設(shè)備上���,用戶基于域來管理�����。
步驟002:配置域的認(rèn)證方式為radius-local混合認(rèn)證方式�����,配置實(shí)例如
下
ZXUAS(config-domain-l)# authentication-type radius-local
所有屬于這個域的用戶的認(rèn)證方式為radius-local。
本發(fā)明用戶認(rèn)證方法通過不同的認(rèn)證方式之間的結(jié)合�,實(shí)現(xiàn)用戶認(rèn)證的 備份,而且配置靈活簡單���,可以避免因為服務(wù)器鏈路問題或本地沒有配置用 戶而影響用戶接入時效�,增強(qiáng)系統(tǒng)的靈活性。
權(quán)利要求
1�、一種用戶認(rèn)證方法,其特征在于為用戶配置兩種或兩種以上認(rèn)證方式以對用戶進(jìn)行認(rèn)證����,當(dāng)用戶接入時先采用方式一進(jìn)行認(rèn)證,若方式一認(rèn)證超時或本地認(rèn)證沒有找到相對應(yīng)的用戶���,則改為方式二進(jìn)行認(rèn)證�。
2����、 如權(quán)利要求l所述的方法,其特征在于認(rèn)證方式一為遠(yuǎn)程用戶撥 號認(rèn)證5認(rèn)證方式二為本地認(rèn)證
3�、 如權(quán)利要求1所述的方法,其特征在于認(rèn)證方式一為遠(yuǎn)程用戶撥 號認(rèn)證���,認(rèn)證方式二為不認(rèn)證方式���。
4、 如權(quán)利要求1所述的方法�����,其特征在于認(rèn)證方式一為終端訪問控 制器訪問控制系統(tǒng)認(rèn)證,認(rèn)證方式二為本地認(rèn)證���。
5�、 如權(quán)利要求1所述的方法���,其特征在于認(rèn)證方式一為終端訪問控 制器訪問控制系統(tǒng)認(rèn)證�����,iU正方式二為不認(rèn)證方式����。
6�、 如權(quán)利要求1所述的方法,其特征在于認(rèn)i正方式一為本地認(rèn)證����, iU正方式二為遠(yuǎn)禾呈用戶撥號iU正。
7��、 如權(quán)利要求1所述的方法����,其特征在于認(rèn)證方式一為本地認(rèn)證, 認(rèn)證方式二為終端訪問控制器訪問控制系統(tǒng)認(rèn)證���。
8����、 如權(quán)利要求l所述的方法����,其特征在于用戶接入進(jìn)行認(rèn)證時,如 杲方式一i人i正成功或i人i正失敗�����,則不再進(jìn)4于方式二i人i正�。
9、 如權(quán)利要求8所述的方法�,其特征在于認(rèn)證失敗指認(rèn)證服務(wù)器拒 絕用戶的認(rèn)證請求或本地認(rèn)證由于密碼錯誤或物理綁定錯誤被拒絕。
10��、 如權(quán)利要求1至9任一項所述的方法���,其特征在于認(rèn)證方式通過 寬帶接入服務(wù)器根據(jù)用戶所在域進(jìn)行配置����。
全文摘要
本發(fā)明提供一種用戶認(rèn)證方法,為用戶配置兩種或兩種以上認(rèn)證方式以對用戶進(jìn)行認(rèn)證�����,當(dāng)用戶接入時先采用方式一進(jìn)行認(rèn)證����,若方式一認(rèn)證超時或本地認(rèn)證沒有找到相對應(yīng)的用戶,則改為方式二進(jìn)行認(rèn)證����。本發(fā)明用戶認(rèn)證方法通過不同的認(rèn)證方式之間的結(jié)合,實(shí)現(xiàn)用戶認(rèn)證的備份�����,而且配置靈活簡單��,可以避免因為服務(wù)器鏈路問題或本地沒有配置用戶而影響用戶接入時效�,增強(qiáng)系統(tǒng)的靈活性。
文檔編號H04L9/32GK101183943SQ20071019591
公開日2008年5月21日 申請日期2007年12月4日 優(yōu)先權(quán)日2007年12月4日
發(fā)明者楊建軍 申請人:中興通訊股份有限公司