專利名稱:網(wǎng)絡(luò)設(shè)備�、ad 域單點(diǎn)登錄的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全認(rèn)證領(lǐng)域���,尤其涉及一種網(wǎng)絡(luò)設(shè)備����、AD域單點(diǎn)登錄的方法及系統(tǒng)�����。
背景技術(shù):
隨著企業(yè)信息化建設(shè)程度的不斷提高���,企業(yè)中的應(yīng)用系統(tǒng)也越來越多�����。而多個(gè)應(yīng)用系統(tǒng)往往是在不同的時(shí)期開發(fā)完成的���。各應(yīng)用系統(tǒng)由于功能側(cè)重�����、設(shè)計(jì)方法�����、開發(fā)技術(shù)有所不同���,也就形成了各自獨(dú)立的用戶庫和用戶認(rèn)證體系。各系統(tǒng)獨(dú)自維護(hù)自己的安全策略����,這些安全策略典型的包括組織結(jié)構(gòu)定義,安全角色定義���,用戶身份驗(yàn)證����,資源訪問控制等。由于各系統(tǒng)相互獨(dú)立�,用戶在使用這些應(yīng)用系統(tǒng)時(shí),非常不方便����。用戶每次使用系統(tǒng),都必須輸入用戶名稱和用戶密碼�����,進(jìn)行身份驗(yàn)證����;而且��,應(yīng)用系統(tǒng)不同�����,用戶賬號(hào)就不同�,用戶必須同時(shí)牢記多套用戶名稱和用戶密碼。特別是對(duì)于應(yīng)用系統(tǒng)數(shù)目較多����,用戶數(shù)目也很多的企業(yè),這個(gè)問題尤為突出?���;顒?dòng)目錄(AD:Active Directory)域存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息,并且讓管理員和用戶能夠輕松地查找和使用這些信息���,所以AD域已經(jīng)成為了企業(yè)的基礎(chǔ)網(wǎng)絡(luò)設(shè)施���;AD域上的信息已經(jīng)成為企業(yè)各種應(yīng)用系統(tǒng)信息同步的對(duì)象。單點(diǎn)登錄(SSO:Single Sign On)是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一���。SSO的定義是在多個(gè)應(yīng)用系統(tǒng)中�����,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)�。如果新部署的系統(tǒng)沒有單點(diǎn)登錄功能����,該用戶必須多記一組用戶名和密碼,每天必須多輸入一次用戶名和密碼����,系統(tǒng)管理員也得多維護(hù)一套這樣的用戶信息庫�����。所以新部署的系統(tǒng)能否和企業(yè)現(xiàn)有的認(rèn)證系統(tǒng)結(jié)合做單點(diǎn)登錄���,已經(jīng)是新系統(tǒng)能否上架的必要條件。網(wǎng)絡(luò)設(shè)備要實(shí)現(xiàn)和AD域的單點(diǎn)登錄�,傳統(tǒng)的方式有以下幾種:(I)在域控制器上裝控件,偵聽某些事件�����,得到后將相應(yīng)的信息發(fā)到安全認(rèn)證設(shè)備��。這種方式的缺點(diǎn)是:a)要在域控制器上安裝控件���,可能會(huì)對(duì)域控制器成不穩(wěn)定;且可能對(duì)域控制器的性能有一定的影響�;例如,控件中有一個(gè)內(nèi)存漏泄的Bug,則運(yùn)行一定時(shí)間后��,域控制器就會(huì)因?yàn)闆]有內(nèi)存而被迫重啟����;b)在域控制器上安裝控件,需要非常高的管理權(quán)限,但是客戶的域可能會(huì)在多個(gè)不同的地方�����,某個(gè)管理員只對(duì)某個(gè)域有權(quán)限操作�,其它的域沒有權(quán)限管理,這樣就導(dǎo)致有的域無法安裝控件��;c)離線登錄時(shí)服務(wù)器上沒有任何消息��,這樣就導(dǎo)致離線登錄到AD域的用戶無法完成單點(diǎn)登錄�。(2)在服務(wù)器配置組策略,在PC登錄到域時(shí)����,運(yùn)行登錄、注銷腳本�����,獲取IP和登錄名發(fā)到網(wǎng)絡(luò)設(shè)備����。這種方式的缺點(diǎn):a)要在服務(wù)器上配置策略,雖然不會(huì)對(duì)服務(wù)器造成不穩(wěn)定和性能上的問題�����,但是客戶的域可能會(huì)在多個(gè)地方,某個(gè)管理員只對(duì)某個(gè)域有權(quán)限操作�,其它的域沒有權(quán)限管理,這樣就導(dǎo)致有的域無法配置策略了 �;b)Logon, exe腳本很難同時(shí)在windows操作系統(tǒng),Mac OS X操作系統(tǒng)��,Linux操作系統(tǒng)正常運(yùn)行�����,但是現(xiàn)在Mac PC,iPad等智能終端在日常工作共隨處可見���,這導(dǎo)致Mac PC, iPad等智能終端無法實(shí)現(xiàn)單點(diǎn)登錄��;c)離線登錄時(shí)服務(wù)器無法感知有終端設(shè)備在登錄��,所以沒有辦法在登錄時(shí)下發(fā)logon,exe腳本,這將導(dǎo)致單點(diǎn)登錄失敗�����。(3)在內(nèi)網(wǎng)一臺(tái)已經(jīng)加入到域的PC�����,得到相應(yīng)信息后,再發(fā)給安全認(rèn)證設(shè)備�;我們簡(jiǎn)稱這種方式為agent方式。這種方式的缺點(diǎn)是a)客戶必須提供一臺(tái)多余的PC�,且這臺(tái)PC必須是加入域的,才能獲取到登錄域的PC ����;b)如果有一臺(tái)PCl先登錄到域,然后又很快關(guān)機(jī)了�,這時(shí)PCl的IP已經(jīng)在設(shè)備上線了,然后我們把另一臺(tái)PC2的IP修改成PCl的����,這時(shí)PC2就不用認(rèn)證也能上網(wǎng)了 ;c)離線登錄時(shí)服務(wù)器上沒有任何消息����,這樣就導(dǎo)致離線登錄到AD域的用戶無法完成單點(diǎn)登錄。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于針對(duì)現(xiàn)有技術(shù)中為了實(shí)現(xiàn)AD域單點(diǎn)登錄而需要額外配置客戶端的域服務(wù)器的缺陷����,提供一種網(wǎng)絡(luò)設(shè)備、AD域單點(diǎn)登錄的方法及系統(tǒng)�����。本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是依據(jù)本發(fā)明的一方面,提供了一種AD域單點(diǎn)登錄的方法��,包括S100����、網(wǎng)絡(luò)設(shè)備接收終端的訪問認(rèn)證請(qǐng)求,并檢查所述終端是否已經(jīng)通過訪問認(rèn)證���,如果是�����,則所述網(wǎng)絡(luò)設(shè)備允許所述終端訪問網(wǎng)絡(luò)��;如果否����,則要求所述終端提供服務(wù)票據(jù)�;S200、所述終端將從AD域接收的所述服務(wù)票據(jù)發(fā)送至所述網(wǎng)絡(luò)設(shè)備�����;S300���、所述網(wǎng)絡(luò)設(shè)備解析并校驗(yàn)所述服務(wù)票據(jù)�,校驗(yàn)成功后�,允許所述終端訪問網(wǎng)絡(luò);否則��,所述網(wǎng)絡(luò)設(shè)備不允許所述終端訪問網(wǎng)絡(luò)���。在依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法中����,在所述步驟SlOO中�����,執(zhí)行要求所述終端提供服務(wù)票據(jù)包括所述網(wǎng)絡(luò)設(shè)備將所述終端重定向至該網(wǎng)絡(luò)設(shè)備的頁面程序�����;當(dāng)所述終端訪問所述頁面程序時(shí)���,該頁面程序要求所述終端提供服務(wù)票據(jù)����。在依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法中,所述方法在步驟SlOO與步驟S200之間還包括SIOI���、所述終端向AD域發(fā)送獲取所述服務(wù)票據(jù)的申請(qǐng)�;所述AD域反饋所述服務(wù)票據(jù)至所述終端�,并同時(shí)向所述網(wǎng)絡(luò)設(shè)備發(fā)送解析所述服務(wù)票據(jù)的信息。在依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法中����,在所述步驟SlOl中,所述終端向AD域發(fā)送獲取所述服務(wù)票據(jù)的申請(qǐng)包括所述終端向所述AD域申請(qǐng)Kerberos身份認(rèn)證服務(wù)����,以期獲得訪問所述網(wǎng)絡(luò)設(shè)備的服務(wù)票據(jù)。在依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法中�,所述服務(wù)票據(jù)包括所述終端的用戶名。依據(jù)本發(fā)明的另一方面����,還提供了一種用于AD域單點(diǎn)登錄的網(wǎng)絡(luò)設(shè)備,包括接收模塊����,用于接收終端的訪問認(rèn)證請(qǐng)求和服務(wù)票據(jù)����;認(rèn)證檢測(cè)模塊����,用于檢查所述終端是否已經(jīng)通過訪問認(rèn)證���,如果是���,則允許所述終端訪問網(wǎng)絡(luò);如果否��,則要求所述終端提供服務(wù)票據(jù)���;票據(jù)解析模塊����,用于解析并校驗(yàn)所述服務(wù)票據(jù)�����,校驗(yàn)成功后,允許所述終端訪問網(wǎng)絡(luò)����;否則,不允許所述終端訪問網(wǎng)絡(luò)���。在依據(jù)本發(fā)明的AD域單點(diǎn)登錄的網(wǎng)絡(luò)設(shè)備中���,所述網(wǎng)絡(luò)設(shè)備進(jìn)一步包括重定向模塊,用于當(dāng)所述認(rèn)證檢測(cè)模塊檢測(cè)所述終端沒有通過訪問認(rèn)證時(shí)�,將所述終端重定向至該網(wǎng)絡(luò)設(shè)備的頁面程序,以當(dāng)所述終端訪問所述頁面程序時(shí)���,使得所述頁面程序要求所述終端提供服務(wù)票據(jù)���。依據(jù)本發(fā)明的另一方面還提供了一種AD域單點(diǎn)登錄的系統(tǒng),包括終端����、網(wǎng)絡(luò)設(shè)備以及AD域;其中�����,所述網(wǎng)絡(luò)設(shè)備用于接收終端的訪問認(rèn)證請(qǐng)求,并檢查所述終端是否已經(jīng)通過訪問認(rèn)證���,如果是�,則所述網(wǎng)絡(luò)設(shè)備允許所述終端訪問網(wǎng)絡(luò)����;如果否�����,則要求所述終端提供服務(wù)票據(jù)�����;所述終端用于將從所述AD域接收的服務(wù)票據(jù)發(fā)送至所述網(wǎng)絡(luò)設(shè)備��;以及所述網(wǎng)絡(luò)設(shè)備用于解析并校驗(yàn)所述服務(wù)票據(jù)��,校驗(yàn)成功后����,允許所述終端訪問網(wǎng)絡(luò);否則���,不允許所述終端訪問網(wǎng)絡(luò)�����。在依據(jù)本發(fā)明的AD域單點(diǎn)登錄的系統(tǒng)中�,所述網(wǎng)絡(luò)設(shè)備用于在檢測(cè)所述終端沒有通過訪問認(rèn)證時(shí),將所述終端重定向至該網(wǎng)絡(luò)設(shè)備的頁面程序���,從而當(dāng)所述終端訪問所述頁面程序時(shí)����,該頁面程序要求所述終端提供服務(wù)票據(jù)����。在依據(jù)本發(fā)明的AD域單點(diǎn)登錄的系統(tǒng)中,所述終端用于向AD域發(fā)送獲取訪問所述網(wǎng)絡(luò)設(shè)備的服務(wù)票據(jù)的申請(qǐng)�����;所述AD域用于反饋所述服務(wù)票據(jù)至所述終端���,并同時(shí)向所述網(wǎng)絡(luò)設(shè)備發(fā)送解析所述服務(wù)票據(jù)的信息����。本發(fā)明產(chǎn)生的有益效果是:因?yàn)橛葾D域生成安全認(rèn)證需要的服務(wù)票據(jù),并由AD域?qū)⒎?wù)票據(jù)發(fā)送給終端�,將解析該服務(wù)票據(jù)的相關(guān)信息發(fā)送給訪問目的資源(即網(wǎng)絡(luò)設(shè)備),因此不用在客戶端的域服務(wù)器中裝載其它程序��,從而不會(huì)影響域服務(wù)器的運(yùn)行�,確保了域服務(wù)器的穩(wěn)定性。另外�����,也不用在客戶端的域服務(wù)器上另外配置策略����,可以解決域服務(wù)器在不同地區(qū)����、由不同管理員控制的情況。
下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明�,附圖中:圖1示出了依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的系統(tǒng)的結(jié)構(gòu)示意圖;圖2示出了圖1中網(wǎng)絡(luò)設(shè)備200的邏輯框圖���;圖3示出了圖2中網(wǎng)絡(luò)設(shè)備200的優(yōu)選實(shí)施例的邏輯框圖��;圖4示出了圖1中AD域300的邏輯框圖��;圖5示出了依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法的流程圖�����。
具體實(shí)施例方式為了使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明���,并不用于限定本發(fā)明���。圖1示出了依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的系統(tǒng)的結(jié)構(gòu)示意圖��,如圖1所示�����,該AD域單點(diǎn)登錄的系統(tǒng)(以下簡(jiǎn)稱為系統(tǒng))包括終端100、網(wǎng)絡(luò)設(shè)備200以及AD域300��。其中�,網(wǎng)絡(luò)設(shè)備200用于接收來自終端100的訪問認(rèn)證請(qǐng)求,并檢查終端100是否已經(jīng)通過訪問認(rèn)證�����,如果是���,則網(wǎng)絡(luò)設(shè)備200允許終端100訪問網(wǎng)絡(luò)����;如果否��,則要求終端100提供服務(wù)票據(jù)�。終端100用于將從AD域300接收的服務(wù)票據(jù)發(fā)送至網(wǎng)絡(luò)設(shè)備200���。網(wǎng)絡(luò)設(shè)備200在接收到服務(wù)票據(jù)后�����,用于解析并校驗(yàn)服務(wù)票據(jù)��,校驗(yàn)成功后�,允許終端100訪問網(wǎng)絡(luò);否貝U��,不允許終端100訪問網(wǎng)絡(luò)����。具體而言,終端100可以稱為系統(tǒng)中的客戶端�����,包括但不限于個(gè)人電腦(PC:Personal Computer)��、平板電腦�����、智能手機(jī)���。該終端100上可以裝載Windows�、Linux��、Mac OSX等操作系統(tǒng)。該終端100通過網(wǎng)絡(luò)設(shè)備200訪問外部的網(wǎng)絡(luò)��,例如互聯(lián)網(wǎng)�����。網(wǎng)絡(luò)設(shè)備200具有現(xiàn)有技術(shù)中的防火墻或路由器的功能���,可控制和管理終端100對(duì)網(wǎng)絡(luò)的訪問��,例如控制終端100是否可以訪問網(wǎng)絡(luò)���。圖2示出了依據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)設(shè)備200的邏輯框圖,如圖2所示�����,該網(wǎng)絡(luò)設(shè)備200包括接收模塊210�����、認(rèn)證檢測(cè)模塊220�、票據(jù)解析模塊230以及網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240���。其中��,接收模塊210接收終端100的訪問認(rèn)證請(qǐng)求和服務(wù)票據(jù)����;認(rèn)證檢測(cè)模塊220可檢查終端100是否已經(jīng)通過訪問認(rèn)證,如果否�����,則網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240要求終端100提供服務(wù)票據(jù)���;票據(jù)解析模塊230可解析并校驗(yàn)服務(wù)票據(jù)��,校驗(yàn)成功后�����,網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240允許終端100訪問網(wǎng)絡(luò)����。具體而言�,當(dāng)終端100想要訪問網(wǎng)絡(luò)時(shí),向網(wǎng)絡(luò)設(shè)備200發(fā)送訪問認(rèn)證請(qǐng)求�����。該網(wǎng)絡(luò)設(shè)備200的接收模塊210接收到訪問認(rèn)證請(qǐng)求后,告知認(rèn)證檢測(cè)模塊220���。認(rèn)證檢測(cè)模塊220檢測(cè)該終端100是否已經(jīng)通過認(rèn)證�,如果通過認(rèn)證����,則進(jìn)一步檢測(cè)該終端100的IP和媒體訪問控制層(MAC =Medium Access Control)是否已經(jīng)發(fā)生改變,如果沒有發(fā)生改變�����,則直接允許終端100訪問網(wǎng)絡(luò)���,如果IP和MAC已經(jīng)發(fā)生改變�,則認(rèn)為沒有通過認(rèn)證����。不管是何種情況,只要是認(rèn)證檢測(cè)模塊220認(rèn)為終端100沒有通過訪問認(rèn)證����,網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240都要求終端100提供服務(wù)票據(jù)(ST =Service Ticket)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)知曉����,此處可以使用任意適合的票據(jù)類型,只要確保該服務(wù)票據(jù)是唯一的���、不可偽造的���,可對(duì)終端100的身份進(jìn)行核實(shí)。如果此時(shí)終端100無法提供服務(wù)票據(jù)�,則此次訪問認(rèn)證請(qǐng)求失敗,網(wǎng)絡(luò)設(shè)備200不允許終端100訪問網(wǎng)絡(luò)�。如果終端100能夠提供服務(wù)票據(jù),則接收模塊210將從終端100接收的服務(wù)票據(jù)發(fā)送至票據(jù)解析模塊230進(jìn)行解析和校驗(yàn)����。如果解析或校驗(yàn)失敗,則網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240不允許終端100訪問網(wǎng)絡(luò)�。如果解析成功,并通過校驗(yàn)��,則網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240允許終端100訪問網(wǎng)絡(luò)�����,從而完成一次單點(diǎn)登錄。圖3示出了圖2中網(wǎng)絡(luò)設(shè)備200的優(yōu)選實(shí)施例的邏輯框圖��,如圖3所示�,與圖2中的網(wǎng)絡(luò)設(shè)備200相比,圖3中的網(wǎng)絡(luò)設(shè)備200進(jìn)一步包括重定向模塊250���,可當(dāng)認(rèn)證檢測(cè)模塊220檢查終端100沒有通過訪問認(rèn)證時(shí)���,將終端100重定向至該網(wǎng)絡(luò)設(shè)備200的頁面程序,以當(dāng)終端100訪問頁面程序時(shí)�,使得頁面程序要求終端100提供服務(wù)票據(jù)。具體而言�,當(dāng)認(rèn)證檢測(cè)模塊220檢查終端100沒有通過訪問認(rèn)證時(shí),告知網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240�,網(wǎng)絡(luò)設(shè)備側(cè)控制模塊240隨即通知重定向模塊250將終端100定向至網(wǎng)絡(luò)設(shè)備200的頁面程序,例如瀏覽器��,通過該頁面程序要求終端100提供服務(wù)票據(jù)��,隨后可通過該頁面程序完成服務(wù)票據(jù)的交付��。該頁面程序可在后臺(tái)操作�,因此操作該終端100的用戶并不知曉該認(rèn)證過程。此處采用頁面程序要求服務(wù)票據(jù)���,在頁面程序被關(guān)閉后�����,不會(huì)在終端100留下任何驗(yàn)證信息����,提高了安全性�����。另一方面��,因?yàn)橥ㄟ^頁面程序交付服務(wù)票據(jù)����,因此與終端100的操作系統(tǒng)無關(guān),從而可以實(shí)現(xiàn)跨操作系統(tǒng)的單點(diǎn)登錄�����。AD域300也可以稱之為AD域服務(wù)器����,圖4示出了依據(jù)本發(fā)明實(shí)施例的AD域300的邏輯框圖��,如圖4所示�,該AD域300包括接收模塊310���、AD域側(cè)控制模塊320����、存儲(chǔ)模塊330�、服務(wù)票據(jù)生成模塊340以及發(fā)送模塊350。具體而言���,接收模塊310從終端100接收獲取服務(wù)票據(jù)的請(qǐng)求�,并告知AD域側(cè)控制模塊320���。AD域側(cè)控制模塊320從存儲(chǔ)模塊330調(diào)取已經(jīng)存儲(chǔ)的目錄列表�,檢查該終端100的用戶名是否包含在該目錄列表中�����,與此同時(shí)將對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備200作為目的資源地址關(guān)聯(lián)��。如果終端100包含在目錄列表中��,則通知服務(wù)票據(jù)生成模塊340生成網(wǎng)絡(luò)設(shè)備200要求的服務(wù)票據(jù),同時(shí)生成解析該服務(wù)票據(jù)的相關(guān)信息���。隨后����,發(fā)送模塊350將服務(wù)票據(jù)反饋至終端100���,同時(shí)將解析該服務(wù)票據(jù)的信息發(fā)送至網(wǎng)絡(luò)設(shè)備200。服務(wù)票據(jù)中包括終端100的用戶名����,如果網(wǎng)絡(luò)設(shè)備200根據(jù)從AD域300接收的相關(guān)信息從終端100提供的服務(wù)票據(jù)中解析出用戶名,則認(rèn)為校驗(yàn)成功��,允許終端100通過網(wǎng)絡(luò)設(shè)備200訪問網(wǎng)絡(luò)�。否則不允許終端100訪問網(wǎng)絡(luò)。從這里可以看出�����,服務(wù)票據(jù)中的關(guān)鍵信息為終端100的用戶名�����,與終端100當(dāng)前的IP沒有關(guān)系,因此�,無論終端100在哪里,使用哪個(gè)IP地址��,對(duì)于上述認(rèn)證過程都沒有影響�����,只要該終端100的用戶名保存在AD域300的目錄列表中即可�����,從而實(shí)現(xiàn)了百分之百的單點(diǎn)登錄成功率����。在本發(fā)明的優(yōu)選實(shí)施方式中,接收模塊310從終端100接收Kerberos身份認(rèn)證服務(wù)請(qǐng)求�����,以期獲得訪問網(wǎng)絡(luò)設(shè)備200的服務(wù)票據(jù)�。此時(shí),服務(wù)票據(jù)生成模塊340具體為密鑰分發(fā)中心(KDC:Key Distribution Center),生成基于Kerberos協(xié)議的服務(wù)票據(jù)�。圖5示出了依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法的流程圖,下面將按步驟闡述該方法。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)知曉�����,可采用上述的AD域300單點(diǎn)登錄的系統(tǒng)來實(shí)施該方法�����,因此此處部分或全部引用以上關(guān)于AD域300單點(diǎn)登錄的系統(tǒng)的描述�。S100、網(wǎng)絡(luò)設(shè)備200接收終端100的訪問認(rèn)證請(qǐng)求��,并檢查終端100是否已經(jīng)通過訪問認(rèn)證�����,如果已經(jīng)通過訪問認(rèn)證����,則允許該終端100訪問網(wǎng)絡(luò)���,完成單點(diǎn)登錄����;否則,要求終端100提供服務(wù)票據(jù)�。S200、終端100將從AD域300接收的服務(wù)票據(jù)發(fā)送至網(wǎng)絡(luò)設(shè)備200�����。此時(shí)�,如果終端100內(nèi)已經(jīng)保存有以前從AD域300接收的服務(wù)票據(jù),且該服務(wù)票據(jù)還在使用期限內(nèi)�,則終端100可直接將上述服務(wù)票據(jù)發(fā)送給網(wǎng)絡(luò)設(shè)備200。如果終端100內(nèi)已有的服務(wù)票據(jù)超過使用期限�����,或終端100內(nèi)沒有服務(wù)票據(jù)�����,則向AD域300申請(qǐng)?jiān)L問該網(wǎng)絡(luò)設(shè)備200的服務(wù)票據(jù)���。從這里可以看出���,通過使用具有使用期限的服務(wù)票據(jù),可以實(shí)現(xiàn)AD域300的離線登錄�����,即在進(jìn)行安全認(rèn)證時(shí)并不要求AD域300 —定在線上。S300�����、網(wǎng)絡(luò)設(shè)備200解析并校驗(yàn)服務(wù)票據(jù)����,校驗(yàn)成功后,允許終端100訪問網(wǎng)絡(luò)�,否貝U,不允許終端100訪問網(wǎng)絡(luò)設(shè)備200��。從以上可以看出�,在依據(jù)本發(fā)明實(shí)施例的AD域單點(diǎn)登錄的方法和系統(tǒng)中,由AD域生成安全認(rèn)證需要的服務(wù)票據(jù)��,并由AD域?qū)⒎?wù)票據(jù)發(fā)送給終端�,將解析該服務(wù)票據(jù)的相關(guān)信息發(fā)送給訪問目的資源(即網(wǎng)絡(luò)設(shè)備)����,因此不用在客戶端的域服務(wù)器中裝載其它程序,從而不會(huì)影響域服務(wù)器的運(yùn)行�,確保了域服務(wù)器的穩(wěn)定性,讓客戶更安心。同樣�����,也不用在客戶端的域服務(wù)器上另外配置策略�,可以解決域服務(wù)器在不同地區(qū)、由不同管理員控制的情況����。另外,由于AD域沒有提供給第三方網(wǎng)絡(luò)設(shè)備單點(diǎn)登錄接口����,且AD域可以離線登錄,登錄到AD域的終端的IP可以變化�����,從而確保了單點(diǎn)登錄的成功率和識(shí)別正確率都為100%����。應(yīng)當(dāng)理解的是,對(duì)本領(lǐng)域普通技術(shù)人員來說��,可以根據(jù)上述說明加以改進(jìn)或變換�,而所有這些改進(jìn)和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護(hù)范圍��。
權(quán)利要求
1.一種AD域單點(diǎn)登錄的方法��,其特征在于���,包括: 5100、網(wǎng)絡(luò)設(shè)備接收終端的訪問認(rèn)證請(qǐng)求����,并檢查所述終端是否已經(jīng)通過訪問認(rèn)證,如果是��,則所述網(wǎng)絡(luò)設(shè)備允許所述終端訪問網(wǎng)絡(luò)�;如果否,則要求所述終端提供服務(wù)票據(jù)���; S200�����、所述終端將從AD域接收的所述服務(wù)票據(jù)發(fā)送至所述網(wǎng)絡(luò)設(shè)備��; S300、所述網(wǎng)絡(luò)設(shè)備解析并校驗(yàn)所述服務(wù)票據(jù)���,校驗(yàn)成功后���,允許所述終端訪問網(wǎng)絡(luò)���;否則,所述網(wǎng)絡(luò)設(shè)備不允許所述終端訪問網(wǎng)絡(luò)�。
2.根據(jù)權(quán)利要求1所述的AD域單點(diǎn)登錄的方法,其特征在于��,在所述步驟SlOO中��,執(zhí)行要求所述終端提供服務(wù)票據(jù)包括: 所述網(wǎng)絡(luò)設(shè)備將所述終端重定向至該網(wǎng)絡(luò)設(shè)備的頁面程序����; 當(dāng)所述終端訪問所述頁面程序時(shí),該頁面程序要求所述終端提供服務(wù)票據(jù)���。
3.根據(jù)權(quán)利要求1所述的AD域單點(diǎn)登錄的方法����,其特征在于�����,所述方法在步驟SlOO與步驟S200之間還包括: 5101、所述終端向AD域發(fā)送獲取所述服務(wù)票據(jù)的申請(qǐng)�;所述AD域反饋所述服務(wù)票據(jù)至所述終端,并同時(shí)向所述網(wǎng)絡(luò)設(shè)備發(fā)送解析所述服務(wù)票據(jù)的信息��。
4.根據(jù)權(quán)利要求3所述的AD域單點(diǎn)登錄的方法�����,其特征在于���,在所述步驟SlOl中����,所述終端向AD域發(fā)送獲取所述服務(wù)票據(jù)的申請(qǐng)包括: 所述終端向所述AD域申請(qǐng)Kerberos身份認(rèn)證服務(wù)����,以期獲得訪問所述網(wǎng)絡(luò)設(shè)備的服務(wù)票據(jù)。
5.根據(jù)權(quán)利要求1所述的AD域單點(diǎn)登錄的方法�����,其特征在于���,所述服務(wù)票據(jù)包括所述終端的用戶名���。
6.一種用于AD域單點(diǎn)登錄的網(wǎng)絡(luò)設(shè)備,其特征在于��,包括: 接收模塊�����,用于接收終端的訪問認(rèn)證請(qǐng)求和服務(wù)票據(jù)�����; 認(rèn)證檢測(cè)模塊��,用于檢查所述終端是否已經(jīng)通過訪問認(rèn)證���,如果是����,則允許所述終端訪問網(wǎng)絡(luò)�����;如果否����,則要求所述終端提供服務(wù)票據(jù)�����; 票據(jù)解析模塊��,用于解析并校驗(yàn)所述服務(wù)票據(jù)�����,校驗(yàn)成功后���,允許所述終端訪問網(wǎng)絡(luò);否則��,不允許所述終端訪問網(wǎng)絡(luò)�。
7.根據(jù)權(quán)利要求6所述的用于AD域單點(diǎn)登錄的網(wǎng)絡(luò)設(shè)備,其特征在于��,所述網(wǎng)絡(luò)設(shè)備進(jìn)一步包括: 重定向模塊����,用于當(dāng)所述認(rèn)證檢測(cè)模塊檢測(cè)所述終端沒有通過訪問認(rèn)證時(shí),將所述終端重定向至該網(wǎng)絡(luò)設(shè)備的頁面程序,以當(dāng)所述終端訪問所述頁面程序時(shí)��,使得所述頁面程序要求所述終端提供服務(wù)票據(jù)�����。
8.—種AD域單點(diǎn)登錄的系統(tǒng)�,其特征在于��,包括終端����、網(wǎng)絡(luò)設(shè)備以及AD域;其中�����, 所述網(wǎng)絡(luò)設(shè)備用于接收終端的訪問認(rèn)證請(qǐng)求���,并檢查所述終端是否已經(jīng)通過訪問認(rèn)證�����,如果是�����,則所述網(wǎng)絡(luò)設(shè)備允許所述終端訪問網(wǎng)絡(luò)��;如果否�,則要求所述終端提供服務(wù)票據(jù); 所述終端用于將從所述AD域接收的服務(wù)票據(jù)發(fā)送至所述網(wǎng)絡(luò)設(shè)備����; 以及所述網(wǎng)絡(luò)設(shè)備用于解析并校驗(yàn)所述服務(wù)票據(jù),校驗(yàn)成功后�,允許所述終端訪問網(wǎng)絡(luò);否則��,不允許所述終端訪問網(wǎng)絡(luò)����。
9.根據(jù)權(quán)利要求8所述的AD域單點(diǎn)登錄的系統(tǒng),其特征在于���,所述網(wǎng)絡(luò)設(shè)備用于在檢測(cè)所述終端沒有通過訪問認(rèn)證時(shí)�����,將所述終端重定向至該網(wǎng)絡(luò)設(shè)備的頁面程序���,從而當(dāng)所述終端訪問所述頁面程序時(shí)��,該頁面程序要求所述終端提供服務(wù)票據(jù)�����。
10.根據(jù)權(quán)利要求8所述的AD域單點(diǎn)登錄的系統(tǒng)��,其特征在于��,所述終端用于向AD域發(fā)送獲取訪問所述網(wǎng)絡(luò)設(shè)備的服務(wù)票據(jù)的申請(qǐng);所述AD域用于反饋所述服務(wù)票據(jù)至所述終端��,并同時(shí)向 所述網(wǎng)絡(luò) 設(shè) 備發(fā)送解析所述服務(wù)票據(jù)的信息����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)設(shè)備、AD域單點(diǎn)登錄的方法及系統(tǒng)��,該方法包括網(wǎng)絡(luò)設(shè)備接收終端的訪問認(rèn)證請(qǐng)求�����,并檢查終端是否已經(jīng)通過訪問認(rèn)證���,如果是����,則網(wǎng)絡(luò)設(shè)備允許終端訪問網(wǎng)絡(luò);如果否���,則要求終端提供服務(wù)票據(jù)�����;終端將從AD域接收的服務(wù)票據(jù)發(fā)送至網(wǎng)絡(luò)設(shè)備�����;網(wǎng)絡(luò)設(shè)備解析并校驗(yàn)服務(wù)票據(jù)�����,校驗(yàn)成功后����,允許終端訪問網(wǎng)絡(luò)���;否則��,網(wǎng)絡(luò)設(shè)備不允許終端訪問網(wǎng)絡(luò)��。由于認(rèn)證過程中需要的服務(wù)票據(jù)由AD域生成�����,因此不需要在客戶端的域服務(wù)器中裝載其它程序�����,從而不會(huì)影響域服務(wù)器的運(yùn)行�����,確保了域服務(wù)器的穩(wěn)定性�。另外��,也不用在客戶端的域服務(wù)器上另外配置策略�����,可以解決域服務(wù)器在不同地區(qū)����、由不同管理員控制的情況�。
文檔編號(hào)H04L29/06GK103152351SQ20131008274
公開日2013年6月12日 申請(qǐng)日期2013年3月15日 優(yōu)先權(quán)日2013年3月15日
發(fā)明者李飛, 袁義金 申請(qǐng)人:深信服網(wǎng)絡(luò)科技(深圳)有限公司