CN100512107C - 一种安全认证方法 - Google Patents
一种安全认证方法 Download PDFInfo
- Publication number
- CN100512107C CN100512107C CNB2005100027594A CN200510002759A CN100512107C CN 100512107 C CN100512107 C CN 100512107C CN B2005100027594 A CNB2005100027594 A CN B2005100027594A CN 200510002759 A CN200510002759 A CN 200510002759A CN 100512107 C CN100512107 C CN 100512107C
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- windows
- domain controller
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种安全认证方法,用于在网络中实现802.1x与Windows域统一认证,该方法包括下述步骤:用户终端计算机的Windows操作系统根据用户标识信息发起Windows域登录请求;802.1x客户端截取所述登录请求,获取用户标识信息;802.1x客户端根据所述用户标识信息通过认证设备向认证服务器发起802.1x接入认证;在所述802.1x接入认证通过后,认证服务器向用户终端授予访问网络的权限,然后,由所述的802.1x客户端控制用户终端进行Windows域认证;用户终端计算机上的Windows操作系统继续进行域登录流程,获取应用资源访问权限。本发明减少用户同时记忆两套用户名与密码的烦琐,方便用户的使用与操作。
Description
技术领域
本发明涉及安全认证方法,更具体地说,本发明涉及一种在网络中实现802.1x与Windows域统一认证的方法。
背景技术
目前企业信息化工作不断的深化,企业宽带的部署越来越广泛,企业网所提供的网络资源也越来越多,很多企事业单位已经建立了基于Windows域的管理系统,通过Windows域集中管理所有用户的权限。其中用来管理该域的服务器被称为域控制器(或Windows域控制器)。与通常启动个人电脑时一样,所述基于Windows域的信息管理系统中采用用户名和密码登录验证的方式进行安全认证,即用户输入用户名和密码登录到域,再访问这个“域”所管理的资源时就无须每次输入密码了。但上述安全验证方法对于基于Windows信息管理系统的权限控制只能作用到应用层,还无法实现对用户的物理访问权限的控制,例如对网络接入权限的控制,这给企业网的网络和应用安全带来很多隐患。
为了更加有效地控制和管理网络资源,提高网络接入的安全性,业界在安全认证时还进一步通过802.1x认证实现对接入用户的身份识别和权限控制,具体实现方案如下:
为用户提供单独的802.1x客户端,在上网的时候,用户必须通过802.1x认证才能访问网络,具体实现时,用户需要先进入Windows桌面,然后开启802.1x客户端进行802.1x认证,认证通过后,用户就可以进行网络访问了;当用户需要访问Windows域控制器所限制的资源时,必须再次输入域用户名、密码进行Windows域认证。
由上述可知,现有技术存在如下缺点:
Windows域与802.1x认证服务器各自拥有专用的用户身份识别和权限控制信息,造成用户接入网络和登录Windows域时需要使用两套用户名和密码,用户的身份不统一,使得用户必须记忆两套用户名密码,用户在操作上也比较麻烦。例如,如果让用户先进行802.1x认证后才能上网,那么用户必须先进入Windows桌面,然后才能开启802.1x客户端上网,并且当访问域控制的资源时,还要再次输入域用户名和密码,操作过程十分繁琐。
发明内容
本发明解决的技术问题是提供一种方便用户操作的安全认证方法,以统一802.1x和windows域认证流程,并进一步增强windows域的安全性。
为解决上述问题,本发明的一种安全认证方法,用于在网络中实现802.1x与Windows域统一认证,所述网络中包括有用于802.1x接入认证的认证设备、认证服务器和安装在Windows域中用户终端计算机上的802.1x客户端以及Windows域控制器,该方法包括如下步骤:
a、用户终端计算机上的Windows操作系统根据用户标识信息发起Windows域登录请求;
b、802.1x客户端截取所述登录请求,获取用户标识信息;
c、802.1x客户端通过认证设备向认证服务器发起包含用户标识信息的认证请求,进行802.1x接入认证;
d、认证服务器将用户认证请求转发到Windows域控制器,由域控制器验证用户是否是合法用户,如果是合法用户,则802.1x接入认证通过;
e、在所述802.1x接入认证通过后,认证服务器向用户终端授予访问网络的权限,然后由所述的802.1x客户端控制用户终端进行Windows域认证;
f、用户终端计算机上的Windows操作系统继续进行域登录流程,获取应用资源访问权限。
其中,所述方法还包括:
在所述步骤d中,如果由域控制器验证的用户不是合法用户,则认证未通过,结束认证。
其中,所述由域控制器验证用户是否为合法用户包括:
Windows域控制器根据用户标识信息确定该用户是否为合法用户,并将判断结果通知认证服务器。
其中,所述Windows域控制器根据用户标识信息确定该用户是否为合法用户包括:所述Windows域控制器通过将请求认证的用户标识信息与预存储的授权的所有用户标识信息进行比较验证来确定请求登录的用户是否为合法用户。
其中,所述用户标识信息包括用户名和密码。
其中,所述认证服务器为认证、授权、计费服务器。
另外,本发明的另一种安全认证方法,用于在网络中实现802.1x与Windows域统一认证,所述网络中包括有用于802.1x接入认证的认证服务器和安装在Windows域中用户终端计算机上的802.1x客户端,该方法包括如下步骤:
a、用户终端计算机上的Windows操作系统发起Windows域登录请求;
b、802.1x客户端截取所述登录请求,向认证服务器发起802.1x接入认证;
c、认证服务器通过Windows域控制器进行802.1x接入认证;
d、在所述802.1x接入认证通过后,认证服务器向用户终端授予访问网络的权限,然后由所述的802.1x客户端控制用户终端进行Windows域认证。
其中,所述网络中进一步包括有认证设备,登录请求包括用户标识信息,步骤b具体包括:
b1、802.1x客户端截取所述登录请求时,获取所述的用户标识信息;
b2、802.1x客户端根据所述用户标识信息,通过认证设备向认证服务器发起802.1x接入认证。
其中,步骤b2具体包括:
802.1x客户端通过认证设备向认证服务器发送包含用户标识信息的认证请求。
其中,所述网络中包括有Windows域控制器,其中该Windows域控制器可以根据实际的情况与所述认证服备器集成或分开设置,所述步骤c具体包括:
认证服务器将所述认证请求转发给Windows域控制器;
Windows域控制器根据用户标识信息确定该用户是否为合法用户,并将判断结果通知认证服务器;
根据该判断结果,认证服务器确定用户是否是合法用户,并授予相应的访问权限。
所述Windows域控制器通过将请求认证的用户标识信息与预存储的授权的所有用户标识信息进行比较验证来确定请求登录的用户是否为合法用户。
与现有技术相比,本发明具有以下有益效果:
首先,本发明只需一套用户名和密码,一次认证操作即可实现windows域与802.1x的统一认证,方便用户的使用与操作,减少用户同时记忆两套用户名与密码的烦琐,而且透明的统一认证流程,与通常的域认证过程完全一致,无需对用户进行额外培训;
其次,本发明中用户必须先通过802.1x认证才能访问并登录到Windows域中,提高了域内应用资源的安全性;
另外,本发明中还可通过域控制器实现用户名和密码的统一、集中维护,提高了用户密码保护的安全性,方便用户修改密码。
附图说明
图1是现有技术局域网系统中802.1X认证网络系统的结构原理图;
图2是本发明安全认证方法具体实现的流程图。
具体实施方式
参考图1,该图是现有技术局域网系统中802.1X认证网络系统的结构原理图;图中各实体的工作原理如下:
当客户端1有认证请求时,首先将自身的ID信息通过网络3经由认证设备2传给认证服务器4,认证服务器4对该客户端的ID信息进行认证操作,如果认证通过,则认证服务器4向认证设备2返回认证成功报文,认证设备2接收到认证服务器4的认证成功报文后,允许客户端1访问网络资源;如果认证不通过,则认证服务器4向认证设备2返回认证失败报文,认证设备2接收到认证服务器4的认证失败报文后,拒绝客户端1访问网络资源。
本发明中基于Windows域的管理系统中包括域中的各个用户终端计算机和域控制器,为实现统一802.1X认证和域认证,本发明中可在域中的用户终端计算机的Windows2000及以上操作系统上安装上述的802.1x客户端软件以进行802.1x认证。
下面以具体实施例说明本发明的认证过程。
参考图2,该图是本发明认证方法具体实现的流程图。
本实施例中客户端采用上述安装802.1x客户端软件的域用户终端计算机,作为认证请求者向认证设备(Authenticator)发起请求,对其身份的合法性进行检验;
认证设备采用交换机,响应客户端的认证请求;
认证服务器采用认证、授权、计费服务器(AAA,Authentication、Authorization、Accounting)服务器,通过检验客户端发送来的身份标识,来判断该请求者是否有权使用认证设备(即交换机)所提供的网络服务。
详细的安全认证过程说明如下,具体可分为802.1x认证阶段和域认证阶段:
802.1x认证阶段:
在装有802.1x客户端的用户终端开机后进入普通的Windows域登录界面;
在步骤11,用户终端计算机的Windows操作系统根据用户在该界面中输入的用户标识信息和域名,发起Windows登录请求,本实施例中所述用户标识信息具体包括用户名和密码;
在步骤12,所述802.1x客户端截获Windows域登录请求,获取用户在Windows域登录界面中输入的用户标识信息(即用户名、密码),在用户继续进行Windows域认证之前,先发起802.1x认证;
在步骤13,802.1x客户端通过认证设备(本实施例中即交换机)向认证服务器(本实施例中即AAA服务器)发起包含用户标识信息的认证请求;
在步骤14、认证服务器确定所述用户是否为合法用户,若是,执行步骤15;否则,执行步骤16,认证未通过,结束认证;
步骤15,接入认证通过,授权该用户可以接入网络。
需要说明的是,认证服务器确定用户是否为合法用户时,由域控制器统一维护用户标识信息数据,并通过下述步骤对用户进行认证:
首先,AAA服务器将用户认证请求转发到Windows域控制器,由其进行用户名、密码验证,这里并不是进行域认证,而是由域控制器来校验用户是否是合法用户;
在通过域控制器的身份认证后,域控制器将身份认证结果返回AAA服务器,如果认证成功,AAA服务器再向该用户终端授予网络访问权限。这样,802.1x认证的过程就结束了,用户获得了访问网络的权限;但是认证过程没有结束,接下来还要进行域认证;
域认证阶段:
在用户通过了802.1x认证的前提条件下,在步骤17,802.1x客户端控制用户终端继续进行Windows域认证,由802.1x客户端所在用户终端计算机上的Windows操作系统继续完成普通的域登录流程,获取应用资源访问权限,由于域认证过程是本领域的公知技术,这里不再详细说明。
这样,通过以上的统一认证流程,即可同时完成802.1x接入认证和Windows域登录认证,达到了统一认证和单次登录的目的。
需要说明的是,以上仅为本发明的较佳实施方式。具体实施时,本领域技术人员也可以根据实际情况对认证服务器和域控制器进行相应的变化,例如,为了降低硬件设备成本,将所述认证服务器和域控制器集成在一个物理设备中实现相应的功能,这里不再赘述。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1、一种安全认证方法,用于在网络中实现802.1x与Windows域统一认证,所述网络中包括有用于802.1x接入认证的认证设备、认证服务器和安装在Windows域中用户终端计算机上的802.1x客户端以及Windows域控制器,其特征在于,包括如下步骤:
a、用户终端计算机上的Windows操作系统根据用户标识信息发起Windows域登录请求;
b、802.1x客户端截取所述登录请求,获取用户标识信息;
c、802.1x客户端通过认证设备向认证服务器发起包含用户标识信息的认证请求,进行802.1x接入认证;
d、认证服务器将用户认证请求转发到Windows域控制器,由域控制器验证用户是否是合法用户,如果是合法用户,则802.1x接入认证通过;
e、在所述802.1x接入认证通过后,认证服务器向用户终端授予访问网络的权限,然后由所述的802.1x客户端控制用户终端进行Windows域认证;
f、用户终端计算机上的Windows操作系统继续进行域登录流程,获取应用资源访问权限。
2、根据权利要求1所述的安全认证方法,其特征在于,所述方法还包括:
在所述步骤d中,如果由域控制器验证的用户不是合法用户,则认证未通过,结束认证。
3、根据权利要求1所述的安全认证方法,其特征在于,所述由域控制器验证用户是否为合法用户包括:
Windows域控制器根据用户标识信息确定该用户是否为合法用户,并将判断结果通知认证服务器。
4、根据权利要求3所述的安全认证方法,其特征在于,所述Windows域控制器根据用户标识信息确定该用户是否为合法用户包括:
所述Windows域控制器通过将请求认证的用户标识信息与预存储的授权的所有用户标识信息进行比较验证来确定请求登录的用户是否为合法用户。
5、根据权利要求1、2、3或4任一项所述的安全认证方法,其特征在于,所述用户标识信息包括用户名和密码。
6、根据权利要求5所述的安全认证方法,其特征在于,所述认证服务器为认证、授权、计费服务器。
7、一种安全认证方法,用于在网络中实现802.1x与Windows域统一认证,所述网络中包括有用于802.1x接入认证的认证服务器和安装在Windows域中用户终端计算机上的802.1x客户端,其特征在于,包括如下步骤:
a、用户终端计算机上的Windows操作系统发起Windows域登录请求;
b、802.1x客户端截取所述登录请求,向认证服务器发起802.1x接入认证;
c、认证服务器通过Windows域控制器进行802.1x接入认证;
d、在所述802.1x接入认证通过后,认证服务器向用户终端授予访问网络的权限,然后由所述的802.1x客户端控制用户终端进行Windows域认证。
8、根据权利要求7所述的安全认证方法,其特征在于,所述网络中进一步包括有认证设备,登录请求包括用户标识信息,步骤b具体包括:
b1、802.1x客户端截取所述登录请求时,获取所述的用户标识信息;
b2、802.1x客户端根据所述用户标识信息,通过认证设备向认证服务器发起802.1x接入认证。
9、根据权利要求8所述的安全认证方法,其特征在于,步骤b2具体包括:
802.1x客户端通过认证设备向认证服务器发送包含用户标识信息的认证请求。
10、根据权利要求9所述的安全认证方法,其特征在于,所述网络中包括有Windows域控制器,其中该Windows域控制器可以根据实际的情况与所述认证服务器集成或分开设置,所述步骤c具体包括:
认证服务器将所述认证请求转发给Windows域控制器;
Windows域控制器根据用户标识信息确定该用户是否为合法用户,并将判断结果通知认证服务器;
根据该判断结果,认证服务器确定用户是否是合法用户,并授予相应的访问权限。
11、根据权利要求10所述的安全认证方法,其特征在于,所述Windows域控制器根据用户标识信息确定该用户是否为合法用户包括:
所述Windows域控制器通过将请求认证的用户标识信息与预存储的授权的所有用户标识信息进行比较验证来确定请求登录的用户是否为合法用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100027594A CN100512107C (zh) | 2005-01-26 | 2005-01-26 | 一种安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100027594A CN100512107C (zh) | 2005-01-26 | 2005-01-26 | 一种安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1725687A CN1725687A (zh) | 2006-01-25 |
| CN100512107C true CN100512107C (zh) | 2009-07-08 |
Family
ID=35924941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100027594A Expired - Lifetime CN100512107C (zh) | 2005-01-26 | 2005-01-26 | 一种安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100512107C (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064604B (zh) * | 2006-04-29 | 2012-04-18 | 西门子公司 | 远程访问方法、系统及设备 |
| CN101166173B (zh) * | 2006-10-20 | 2012-03-28 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
| WO2009155812A1 (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 终端接入方法、接入管理方法网络设备以及通信系统 |
| CN103281185A (zh) * | 2013-05-08 | 2013-09-04 | 深圳创维数字技术股份有限公司 | 一种终端资源访问控制方法和系统 |
| CN103259795B (zh) * | 2013-05-14 | 2016-12-28 | 百度在线网络技术(北京)有限公司 | 执行自动注册登录的方法、移动终端以及服务器 |
| US10108965B2 (en) * | 2015-07-14 | 2018-10-23 | Ujet, Inc. | Customer communication system including service pipeline |
| US10063560B2 (en) * | 2016-04-29 | 2018-08-28 | Microsoft Technology Licensing, Llc | Gaze-based authentication |
| CN109558433B (zh) * | 2017-09-27 | 2022-04-12 | 北京京东尚科信息技术有限公司 | 一种请求访问hdfs的方法和装置 |
| CN107623701B (zh) * | 2017-10-31 | 2020-07-14 | 江苏神州信源系统工程有限公司 | 一种基于802.1x的快速安全认证方法与装置 |
| CN109829284A (zh) * | 2018-12-29 | 2019-05-31 | 曙光信息产业(北京)有限公司 | 一种整合Linux与Windows操作系统统一用户认证的方法 |
| CN114676401A (zh) * | 2022-03-18 | 2022-06-28 | 北京计算机技术及应用研究所 | 一种基于操作系统登录的软件认证系统 |
| CN115001808B (zh) * | 2022-05-31 | 2024-05-28 | 中国银行股份有限公司 | 一种域用户登录方法、装置、设备和介质 |
-
2005
- 2005-01-26 CN CNB2005100027594A patent/CN100512107C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1725687A (zh) | 2006-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100920871B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| US10664577B2 (en) | Authentication using delegated identities | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| US8893243B2 (en) | Method and system protecting against identity theft or replication abuse | |
| EP1914658B1 (en) | Identity controlled data center | |
| US20080320566A1 (en) | Device provisioning and domain join emulation over non-secured networks | |
| KR100894555B1 (ko) | 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법 | |
| JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| US8359464B2 (en) | Quarantine method and system | |
| US7581111B2 (en) | System, method and apparatus for transparently granting access to a selected device using an automatically generated credential | |
| US8468359B2 (en) | Credentials for blinded intended audiences | |
| JP6963609B2 (ja) | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 | |
| US20080148046A1 (en) | Real-Time Checking of Online Digital Certificates | |
| US11368449B2 (en) | Asserting a mobile identity to users and devices in an enterprise authentication system | |
| JP2014157480A (ja) | 情報処理装置及びプログラム、制御方法 | |
| CN100512107C (zh) | 一种安全认证方法 | |
| CN113746811A (zh) | 登录方法、装置、设备及可读存储介质 | |
| CN106302475B (zh) | 家庭互联网业务授权方法及服务器 | |
| KR101545897B1 (ko) | 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템 | |
| US20240163117A1 (en) | Transparent short-range wireless device factor in a multi-factor authentication system | |
| CN106856471B (zh) | 802.1x下ad域登录认证方法 | |
| US12182251B2 (en) | Web-based authentication for desktop applications | |
| CN110798456A (zh) | Sslvpn的认证方法及内网资源访问和数据获取方法 | |
| Kadlec et al. | Implementation of an Advanced Authentication Method within Microsoft Active Directory Network Services | |
| US20250070958A1 (en) | Obtaining a session using a device user key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230625 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090708 |
|
| CX01 | Expiry of patent term |