[发明专利]认证方法、认证服务器和认证系统

说明书

技术领域

本发明涉及网络认证技术，尤其涉及一种认证方法、认证服务器和认证系统。

背景技术

随着局域网技术的迅速发展，大中型企业的网络安全问题日益突出，各企业面临的网络安全威胁之一就是来自内部的非法访问，因此建立企业内部网络接入防御体系势在必行，现在的企业一般都采用通过802.1X协议和Windows活动目录(Windows Active Directory，简称为：Windows AD)域技术相结合的方案，来实现设备接入的合法验证和管理，并且只有通过Windows AD域认证的计算机才能正常进行网络通信。

现有技术中，当有多个Windows AD域时，此时的Windows AD域认证过程为：用户会首先在认证客户端输入用户名和密码，认证客户端将用户名和密码转发至认证服务器，由于认证服务器并不知道此用户名属于哪个Windows AD域，因此认证服务器会轮询各个Windows AD域服务器，具体为：首先认证服务器根据用户名、密码和当前需查询的Windows AD域对应的域名构造轻型目录访问协议(Lightweight Directory Access Protocol，简称为：LDAP)认证请求报文，并且在设置LDAP认证请求报文中的用户主体名称(User Principal Name，简称为：UPN)时，采用固定的方式，即将用户名与当前需查询的Windows AD域对应的域名拼接起来，然后将构造的LDAP认证请求报文发送给当前需查询的Windows AD域服务器，Windows AD域服务器接收到LDAP认证请求报文后，校验用户身份并将结果反馈给认证服务器，认证服务器接收到校验结果后，如果登录失败，则继续轮询其他Windows AD域服务器；如果认证成功，则从Windows AD域服务器中获取用户信息并保存在本地，同时打开用户所属的802.1X交换机的受控口，使得用户的计算机可以正常接入网络通信。

但如果多个Windows AD域服务器的配置环境为Windows AD域森林，由于Windows AD域森林自身的特殊性，Windows AD域服务器上一般将子域的UPN中的域名部分可以配置为父域域名，而利用现有技术中构造UPN的方式，认证服务器会将请求认证的用户名直接与该子域对应的子域自身的域名拼接，从而导致用户名认证失败，用户的计算机无法正常接入网络通信。

发明内容

本发明实施例提供一种认证方法、认证服务器和认证系统，以克服现有技术中无法使得子域用户得到认证的问题。

本发明第一方面提供一种认证方法，包括：

认证服务器获取用户名；

所述认证服务器向网络中的多个Windows活动目录AD域服务器发送查询消息，所述查询消息中携带所述用户名，以使所述Windows AD域服务器确定是否保存有与所述用户名对应的用户主体名称UPN；

若所述认证服务器接收一个目标所述Windows AD域服务器返回的查询响应，所述查询响应中携带所述UPN，则所述认证服务器根据所述UPN构造轻型目录访问协议LDAP认证请求报文，并将所述LDAP认证请求报文发送至所述目标Windows AD域服务器；

所述认证服务器接收所述目标Windows AD域服务器发送的认证结果信息。

在第一方面的第一种可能的实现方式中，所述认证服务器向网络中的多个Windows AD域服务器发送查询消息之前，还包括：

所述认证服务器确定与各个Windows AD域服务器对应的公用查询账号，并将所述公用查询账号携带在所述查询消息中。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述认证服务器向网络中的多个Windows AD域服务器发送查询消息，具体包括：

所述认证服务器采用轮询方式依次向所述多个Windows AD域服务器发送查询消息，直至所述认证服务器接收所述目标Windows AD域服务器发送的所述查询响应。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述认证服务器接收一个目标所述Windows AD域服务器返回的查询响应之后，还包括：

所述认证服务器保存与所述用户名对应的UPN，以便与所述UPN对应的所述目标Windows AD域服务器进行后续的用户名认证。

本发明第二方面提供一种认证服务器，包括：

获取模块，用于获取用户名；