[发明专利]一种用户身份认证方法及系统

说明书

技术领域

本发明涉及一种信息安全领域，具体地讲，是涉及一种网络设备的用户身份认证方法及系统。

背景技术

随着运营商的建设的网络越来越大，网络设备的数量迅速增加。目前，各种网络设备的用户信息维护都由设备各自维护，当要使用同一个用户的时候登录各个网络设备时候，需要在各个设备上新建相同的用户。在网络迅速增加和市场化迅猛发展的今天，这种管理模式的弊端日益显现，尤其是在新建网络大量使用防火墙，交换机，路由器等等的情况下，这种弊端表现得尤为突出。此外，如果要修改一个用户的访问控制策略，需要在各个设备上去修改策略，造成网络设备用户维护的困难和繁琐，从而加大了生产成本，并且对信息安全构成了严重威胁。

所以，有必要提出一种新的用户身份的认证方法，以解决同一个用户在登录不同设备时候需要输入不同的密码，网络设备管理员需要在各个设备上新建同一个用户的技术问题。

发明内容

本发明的目的在于提供一种用户身份认证方法及系统，可以实现基于安全策略的统一用户管理和认证，在实现对用户身份的多网络设备对用户身份进行统一认证的同时，减轻网络设备管理员维护困难和繁琐，从而降低生产成本和信息安全威胁。

为解决以上技术问题，本发明提供一种用户身份认证的方法，将用户身份的认证参数统一存放记录在统一认证服务器中，在用户登录网络设备时，由统一认证服务器统一认证用户身份的合法性。

进一步地，如认证过程具体包括：

网络设备将用户身份的认证请求参数发送给统一认证服务器；

统一认证服务器将认证请求参数与存储在统一认证服务器中的记录相比较，如果有一条记录与用户输入的一致，则认证成功，否则失败。

进一步地，所述用户身份的认证参数包括用户名和密码。

为解决以上技术问题，本发明提供一种用户身份认证的方法，包括：

步骤1、用户访问网络设备时，网络设备将认证请求参数发送给统一认证服务器；

步骤2、统一认证服务器接收认证请求参数，对用户进行认证，并把认证结果参数发送给网络设备；

步骤3、网络设备根据接收到的认证结果参数，决定是否允许用户访问网络设备。

进一步地，所述步骤1具体包括：

步骤1.1、网络设备接收到访问用户输入的认证请求参数；

步骤1.2、网络设备对认证请求参数进行协议封装和转换；

步骤1.3、协议转换完成后，把认证请求参数发送给统一认证服务器。

进一步地，所述步骤2具体包括：

步骤2.1、统一认证服务器接收到认证请求参数；

步骤2.2、统一认证服务器查询和比较获取的认证请求参数，得到认证结果参数；

步骤2.3、统一认证服务器将认证结果参数发送给网络设备。

进一步地，所述步骤2.2具体包括：统一认证服务器将认证请求参数与存储在统一认证服务器中的记录相比较，如果有一条记录与用户输入的一致，则认证成功，否则失败。

进一步地，所述步骤3具体包括：当认证结果参数显示肯定时，表示用户为合法用户，允许用户访问网络设备；当认证结果参数显示否定时，表示用户为非法用户，拒绝用户访问网络设备。

进一步地，所述用户身份的认证参数包括用户名和密码。

为解决以上技术问题，本发明提供一种用户身份认证系统，包括网络设备和统一认证服务器，

所述网络设备，用于接收用户输入的认证请求参数，并发送给统一认证服务器；

所述统一认证服务器，用于统一存放含有用户身份的认证参数的记录，以及统一认证登录所述网络设备的用户的合法性，并将认证结果参数发送给网络设备。

进一步地，所述网络设备与统一认证服务器使用LDAP或RADIUS协议通信。

与现有技术相比，本发明提供的一种用户身份认证方法及系统，采用统一认证服务器统一存放用户身份账号，实现基于安全策略的统一用户管理和认证，实现对用户身份的多网络设备对用户身份进行统一认证，使得同一个用户在登录不同设备时不需要输入不同的密码，以及使得网络设备管理员不需要在各个设备上新建同一个用户的问题；同时使得网络设备管理员只需要在认证服务器中修改一个用户的访问控制策略而不需要在各个设备上去修改策略，减轻网络设备管理员维护困难和繁琐，从而降低生产成本和信息安全威胁。此外，认证协议包括LDAP和RADIUS的协议，实现对网络的集中管理，增强了多网络设备对市场和需求的变化的灵活性。

附图说明