[发明专利]认证方法、服务器及系统

说明书

技术领域

本发明实施例涉及网络技术领域，尤其涉及一种认证方法、服务器及系统。

背景技术

802.1X协议是一种基于端口的网络访问控制协议(Port-BasedNetwork Access Control，简称为PBNAC)。基于端口的网络访问控制是指网络设备的接入级(即以太网交换机或宽带接入设备的端口)控制客户端对网络的访问。客户端接入网络设备的端口默认为阻断用户对网络的所有访问权限，而只处理一种特定的协议报文。连接在此类端口上的客户端设备，如果需要访问网络资源，首先必须经过认证，认证成功的客户端设备才能访问网络资源，如果不经过认证，就不能访问网络资源。

802.1X系统的基本框架示意图可以如图1所示，其中，802.1X系统可以由三部分组成，认证恳求者(Supplicant System)，认证者(AuthenticatorSystem)以及认证服务器(Authentication System)。其中，认证恳求者一般直接称为认证客户端或客户端，它是客户端设备中运行的软件或者独立运行的计算机软件，作用是接收认证必须的信息(通常为用户名和密码)，按照802.1X协议规定的格式，封装成相应报文，发送给认证者，同时处理认证者回应的响应报文，执行客户端的认证流程。认证者有时直接称为认证设备或设备，提供用户接入网络的接口。它是由设备中运行的软件来支持相应功能的，接收认证恳求者发起的认证请求，并将请求进行相应的处理，然后封装成高层协议(IP层之上的协议)转发到认证服务器中进行认证，如果认证服务器认为认证恳求者认证成功，则允许认证客户端访问需要的网络资源，如果认证服务器认为认证恳求者认证失败，则不允许认证客户端访问网络资源。认证服务器可以运行在认证者中，也可以运行在独立的硬件设备中，作用是对认证恳求者进行认证(如果恳求者使用用户名和密码进行认证，那么就校验用户名和密码是否正确)，如果认证恳求者认证成功，则向认证者发送认证成功的消息，如果认证恳求者认证失败，则向认证者发送认证失败的消息。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

标准的802.1X认证过程中，是不允许用户密码为空，如果用户密码为空，则可能出现多种不同的处理方式：其中一种是认证服务器直接拒绝密码为空的用户接入网络；另一种是认证服务器允许密码为空的用户进行Windows AD域的认证，并在Windows AD域认证通过后允许用户直接接入网络。

对于第一种直接拒绝密码为空的用户接入网络的处理方式，现有技术中可以采用将认证设备的802.1X功能关闭，然后等到所有用户都加入Windows AD域后再开启802.1X功能解决上述问题。但是，关闭802.1X功能后，网络的安全无法保障，会带来更加严重的安全隐患。

对于第二种允许密码为空的用户进行Windows AD域认证并在认证通过后允许用户直接接入网络的处理方式，会出现密码为空的用户接入网络不受限的情况，因此现有技术通常不会使用这种处理方式。

发明内容

本发明实施例提供一种认证方法、服务器及系统，用以解决现有技术中802.1X与Windows AD域联动认证时，不允许密码为空的问题，同时保障了网络的安全。

本发明实施例提供一种认证方法，用于实现802.1X与Windows AD域的联动认证，包括：

802.1X认证服务器接收到用户的认证请求，所述认证请求中携带所述用户的用户名和空密码；

所述802.1X认证服务器将所述用户名和空密码发送给Windows AD域服务器，由所述Windows AD域服务器对所述用户名和空密码进行校验；

校验成功后，所述802.1X认证服务器向所述Windows AD域服务器发送查询请求，所述查询请求中携带所述用户名；

所述Windows AD域服务器判断所述用户名是否为授权用户；

当所述用户名为授权用户时，联动认证成功。

本发明实施例又提供一种认证服务器，包括：

接收模块，用于接收用户的认证请求，所述认证请求中携带所述用户的用户名和空密码；

发送模块，用于将所述用户名和空密码发送给Windows AD域服务器，由所述Windows AD域服务器对所述用户名和空密码进行校验；