专利名称:用户认证方法
技术领域:
本发明涉及一种数据通信接入技术,尤其是一种用户认证的方法。
背景技术:
在数据通信接入时,宽带接入服务器BRAS需要对接入用户进行认证管 理,目前支持的i人证方式主要有radius、 tacacs、 local (本i也i人i正)、none (不认证)这几种方式,radius和tacacs两种认证方式都需要和远端的服务 器交互,如果BRAS和服务器之间的链路出现问题,就无法认证,用户无法 接入,影响业务的开展;而本地认证方式,如果本地没有配置用户,也会使 用户无法4妄入。
发明内容
本发明要解决的技术问题是提供一种用户认证方法,以增强系统灵活性。
为解决上述技术问题,本发明提供一种用户认证方法,为用户配置两种 或两种以上i人证方式以对用户进行iU正,当用户接入时先采用方式一进行^人 证,若方式一认证超时或本地认证没有找到相对应的用户,则改为方式二进 行认证。
进一步地,认证方式一为远程用户拨号"i人证,认i正方式二为本地认i正。
进一步地,i人证方式一为远程用户拨号iU正,认证方式二为不认证方式。
进一步地,认证方式一为终端访问控制器访问控制系统认证,认证方式 二为本地认证。
进一步地,认证方式一为终端访问控制器访问控制系统认证,认证方式 二为不iU正方式。
进一步地,认证方式一为本地iU正,i人证方式二为远程用户拨号认i正。
进一步地,认证方式一为本地认证,认证方式二为终端访问控制器访问 4空制系统iU正。
进一步地,用户接入进行认证时,如果方式一认证成功或认证失败,则 不再进4于方式二i人i正。
进一步地,认证失败指认证服务器拒绝用户的认证请求或本地认证由于 密码错误或物理绑定错误被拒绝。
进一步地,认证方式通过宽带接入服务器根据用户所在域进行配置。
相较于现有技术,本发明方法通过不同的认证方式之间的结合,实现用 户认证方式之间的备份,配置灵活简单,而且可以避免因为服务器链路问题 或本地没有配置用户而影响用户接入时效,增强系统的灵活性。
图1是本发明用户认证方法流程示意图。
图2是本发明采用radius-local混合认证方式的处理流程图。
图3是本发明采用local-tacacs混合认证方式的处理流程图。
具体实施例方式
本发明用户认证方法在BRAS设备上用软件实现用户的混合认证, BRAS设备根据用户所在域为用户配置两种认证方式以对用户进行认证,当 用户接入时如图l所示,先采用方式一进行认证,若方式一认证超时或本地 认证没有查找到相对应的用户,则改为方式二进行认证。
当然除了通过宽带接入服务器BRAS进行认证方式配置外,也可以通过 其它设备,在相应设备上配置。
现有的认证方式有远程用户拨号认证radius (Remote Authentication Dial In User Service)、本i也local iU正、不i人i正none i人i正及终端i方问4空制器^方问
控制系统i人i正tacacs (Terminal Access Controller Access Control System) i人 证,可以釆用以上几种认证方式进行组合以实现本发明的混合认证方法,基 于本发明思想下,也可以采用三种或四种认证方式的混合认证的进行用户接 入认证,但为便于实现,以下以两种认证方式的混合认证为例进行详细说明。
以下给出六种混合i人i正的实例
实例1: radius-local混合iU正用户4妄入先进4亍radius iU正,如果radius 服务器没有应答,radius认证超时,用户改为进行local认证,在这种混合认 证方式下,如果是radius服务器拒绝了用户的认证请求,那么用户认证失败, 不会再切换为本地认i正。
实例2: radius画none混合iU正用户接入先进4亍radius iU正,如果radius 服务器没有应答,radius认证超时,用户改为不认证,直接接入,在这种混 合认证方式下,如果是radius服务器拒绝了用户的认证请求,那么用户认证 失败,不会再切换为不认证。
实例3: tacacs-local混合认证用户接入先进行tacacs认证,如果tacacs 服务器没有应答,tacacs认证超时,用户改为进行local认证,在这种混合认 证方式下,如果是tacacs服务器拒绝了用户的认证请求,那么用户认证失败, 不会再切换为本地认证。
实例4: tacacs-none混合认i正功能用户才妻入先进4亍tacacs i人证,如果 tacacs服务器没有应答,tacacs认证超时,用户改为不认证,直接接入,在 这种混合认证方式下,如果是tacacs服务器拒绝了用户的认证请求,那么用 户认证失败,不会再切换为不认证。
实例5: local-radius混合认证功能用户接入先进行local认证,如果本 地认证没有查找到相对应的用户,则用户改为radius认证方式,在这种混合 认证方式下,如果是local认证时拒绝了用户的认证请求,那么用户认证失 败,不会再切换为radius认i正。
实例6: local-tacacs混合认证功能用户接入先进行local认证,如果本 地认证没有查找到相对应的用户,则用户改为tacacs认证方式,在这种混合 认证方式下,如果是local认证时拒绝了用户的认证请求,那么用户认证失败,不会再切换为tacacs i人i正。
以下结合附图分别对采用radius-local和local-tacacs混合iU正方式的应 用实例进行详细i兑明
如图2所示,采用radius-local混合认证方式的认证处理流程包括以下 步骤
步骤201:用户向BRAS设备发送认证请求;
步骤202: BRAS才艮据用户所在的域得到用户的认证方式为radius-local 混合iU正方式;
步骤203: BRAS设备把用户的信息发送给radius服务器进行radius认
证;
步骤204:如果radius服务器接受用户的认证请求,则执行步骤207; 如果radius服务器拒绝用户的认证请求,则执行步骤208;如果radius服务 器没有回应,那么用户认证超时,则执行步骤205:
步骤205:进行本地认证;
步骤206:如果本地认证成功,则执行步骤207;如果本地认证失败, 则执行步骤208;
步骤207:允许用户接入;
步骤208:拒绝用户接入。 应用实例二
如图3所示,采用local-tacacs混合认证方式的认证处理流程包括以下 步骤
步骤301:用户发送认证请求,
步骤302: BRAS根据用户所在的域得到用户的认证方式为local-tacacs 混合认证方式;
步骤303: BRAS设备将用户进行本地认证,
步骤304:如果本地i人证成功,则执行步骤307;如果用户本地iU正由 于密码错误或者物理绑定错误被拒绝,则执行步骤308;如果本地认证,没
有查找到此用户,则认证方式改为tacacs认证方式;
步骤305: BRAS设备把用户的信息发送给tacacs服务器进行tacacs认
证;
步骤306:如果tacacs认证成功,则执行步骤307;如果tacacs认证失 败;则执行步骤308;
步骤307:允许用户接入;
步骤308:拒绝用户接入。
以上是利用两种典型的混合认证的方式,说明了混合认证的过程,其它 几种混合认证方式也和这两种思路基本相同。混合认证的时候,如果前面一 种认证方式已经明确的接受或者拒绝,就不用再进行下面的另一种认证方 式,只有当local认证用户不存在,radius和tacacs认证超时,这几种情况才 会进行混合认证的下一种认证方式的认证。按照实际应用的要求,通过对域 下配置不同的认证方式,灵活的实现对用户接入的认i正。
在BRAS设备中,为了应用radius-local的混合认证方法的配置方法如
下
步骤001 :新建一个domain,并进入domain配置模式,配置实例如下
ZXUAS(config)弁
ZXUAS(config)弁bms
ZXUAS(config画bras)弁domain 1
ZXUAS(config國domain-1 )#
在BRAS设备上,用户基于域来管理。
步骤002:配置域的认证方式为radius-local混合认证方式,配置实例如
下
ZXUAS(config-domain-l)# authentication-type radius-local
所有属于这个域的用户的认证方式为radius-local。
本发明用户认证方法通过不同的认证方式之间的结合,实现用户认证的 备份,而且配置灵活简单,可以避免因为服务器链路问题或本地没有配置用 户而影响用户接入时效,增强系统的灵活性。
权利要求
1、一种用户认证方法,其特征在于为用户配置两种或两种以上认证方式以对用户进行认证,当用户接入时先采用方式一进行认证,若方式一认证超时或本地认证没有找到相对应的用户,则改为方式二进行认证。
2、 如权利要求l所述的方法,其特征在于认证方式一为远程用户拨 号认证5认证方式二为本地认证
3、 如权利要求1所述的方法,其特征在于认证方式一为远程用户拨 号认证,认证方式二为不认证方式。
4、 如权利要求1所述的方法,其特征在于认证方式一为终端访问控 制器访问控制系统认证,认证方式二为本地认证。
5、 如权利要求1所述的方法,其特征在于认证方式一为终端访问控 制器访问控制系统认证,iU正方式二为不认证方式。
6、 如权利要求1所述的方法,其特征在于认i正方式一为本地认证, iU正方式二为远禾呈用户拨号iU正。
7、 如权利要求1所述的方法,其特征在于认证方式一为本地认证, 认证方式二为终端访问控制器访问控制系统认证。
8、 如权利要求l所述的方法,其特征在于用户接入进行认证时,如 杲方式一i人i正成功或i人i正失败,则不再进4于方式二i人i正。
9、 如权利要求8所述的方法,其特征在于认证失败指认证服务器拒 绝用户的认证请求或本地认证由于密码错误或物理绑定错误被拒绝。
10、 如权利要求1至9任一项所述的方法,其特征在于认证方式通过 宽带接入服务器根据用户所在域进行配置。
全文摘要
本发明提供一种用户认证方法,为用户配置两种或两种以上认证方式以对用户进行认证,当用户接入时先采用方式一进行认证,若方式一认证超时或本地认证没有找到相对应的用户,则改为方式二进行认证。本发明用户认证方法通过不同的认证方式之间的结合,实现用户认证的备份,而且配置灵活简单,可以避免因为服务器链路问题或本地没有配置用户而影响用户接入时效,增强系统的灵活性。
文档编号H04L9/32GK101183943SQ20071019591
公开日2008年5月21日 申请日期2007年12月4日 优先权日2007年12月4日
发明者杨建军 申请人:中兴通讯股份有限公司