技术领域
[0001] 本
发明涉及互联网认证领域,具体而言,涉及一种认证协议转换方法以及装置。
背景技术
[0002] 随着技术的进步,网络认证协议在不断改进变化中。企业一旦在内部网络大规模部署了某种身份认证系统后,便很难在现有认证协议的
基础上兼容新系统的认证协议,也难以对多种认证元素进行组合匹配。原有认证系统的改造难度和替换的成本很高,难以
支撑新的业务系统多认证元素的认证需求。
发明内容
[0003] 有鉴于此,本发明
实施例的目的在于提供一种认证协议转换方法以及装置,以缓解企业一旦在内部网络大规模部署了某种身份认证系统后,便很难在现有认证协议的基础上兼容新系统的认证协议,也难以对多种认证元素进行组合存在对应关系的问题。
[0004] 第一方面,本发明实施例提供了一种认证协议转换方法,所述方法包括:客户端获取认证
请求;所述客户端根据所述认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议;若存在,所述客户端获取所述认证请求所包括的认证账号以及认证密码;所述客户端将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功;所述客户端根据判断结果向所述
服务器发送认证结果,所述认证结果表征与所述认证请求对应的用户被所述服务器拒绝
访问或者接受访问。
[0005] 第二方面,本发明实施例提供了一种认证协议转换装置,所述装置包括:获取模
块,用于获取认证请求;查找模块,用于根据所述认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议;所述获取模块,还用于当所述查找模块查找到存在与所述认证标识存在对应关系的目标认证协议时,获取所述认证请求所包括的认证账号以及认证密码;判断模块,用于将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功;执行模块,用于根据判断结果向所述服务器发送认证结果,所述认证结果表征与所述认证请求对应的用户被所述服务器拒绝访问或者接受访问。
[0006] 与
现有技术相比,本发明各实施例提出的一种认证协议转换方法以及装置的有益效果是:客户端通过获取认证请求,根据认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议;若存在,再获取所述认证请求所包括的认证账号以及认证密码;所述客户端将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功;若认证成功,客户端向服务器发送接收用户访问的指令,若认证不成功,客户端向服务器发送拒绝用户访问的指令。通过该方法,客户端可以把来自不同系统的认证请求集中到预先内置有多种认证协议的客户端中进行认证,缓解了企业一旦在内部网络大规模部署了某种身份认证系统后,便很难在现有认证协议的基础上兼容新系统的认证协议,也缓解了难以对多种认证元素进行组合匹配的问题。
[0007] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附
附图,作详细说明如下。
附图说明
[0008] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0009] 图1为本发明实施例提供的用户终端以及认证服务器进行交互的示意图;
[0010] 图2为本发明实施例提供的用户终端的结构
框图;
[0011] 图3为本发明第一实施例提供的一种认证协议转换方法的
流程图;
[0012] 图4为本发明第一实施例提供的另一种认证协议转换方法的流程图;
[0013] 图5为本发明第二实施例提供的一种认证协议转换装置的结构框图;
[0014] 图6为本发明第二实施例提供的另一种认证协议转换装置的结构框图。
具体实施方式
[0015] 下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的
选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0016] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0017] 如图1所示,是本发明实施例提供的用户终端100以及认证服务器300进行交互的示意图。所述用户终端100通过网络与一个或多个认证服务器300进行通信连接,以实现用户终端100与认证服务器300之间的数据通信或交互。所述用户终端100可以直接接到出口网关和进口网关出,其内部运行开源系统,运维管理员直接将使用SSh隧道进行调试和管理认证转化器。
[0018] 如图2所示,是所述用户终端100的方框示意图。所述用户终端100包括:认证协议转换装置、
存储器110、存储
控制器120、处理器130、外设
接口140、输入输出单元150、音频单元160、显示单元170。
[0019] 所述存储器110、存储控制器120、处理器130、外设接口140、输入输出单元150、音频单元160以及显示单元170各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或
信号线实现电性连接。所述认证协议转换装置包括至少一个可以
软件或
固件(firmware)的形式存储于所述存储器110中或
固化在客户端设备的
操作系统(operating system,OS)中的软件功能模块。所述处理器130用于执行存储器110中存储的可执行模块,例如所述认证协议转换装置包括的软件功能模块或
计算机程序。
[0020] 其中,存储器110可以是,但不限于,
随机存取存储器(Random Access Memory,RAM),
只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器110用于存储程序,所述处理器130在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流程定义的用户终端100所执行的方法可以应用于处理器
130中,或者由处理器130实现。
[0021] 处理器130可能是一种集成
电路芯片,具有信号的处理能
力。上述的处理器130可以是通用处理器,包括
中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是
数字信号处理器(DSP)、
专用集成电路(ASIC)、现成可编程
门阵列(FPGA)、ARM处理器,或者其他
可编程逻辑器件、分立门或者晶体管逻辑器件、分立
硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是
微处理器或者该处理器也可以是任何常规的处理器等。
[0022] 所述外设接口140将各种输入/输出装置耦合至处理器130以及存储器110。在一些实施例中,外设接口140,处理器130以及存储控制器120可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
[0023] 输入输出单元150用于提供给用户输入数据实现用户与用户终端100的交互。所述输入输出单元150可以是,但不限于,
鼠标和
键盘等。
[0024] 音频单元160向用户提供音频接口,其可包括一个或多个麦克
风、一个或者多个扬声器以及音频电路。
[0025] 显示单元170在用户终端100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元170可以是
液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或
电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个
位置处同时产生的触控操作,并将该感应到的触控操作交由处理器130进行计算和处理。
[0026] 第一实施例
[0027] 请参照图3,图3是本发明第一实施例提供的一种认证协议转换方法的流程图,所述方法应用于客户端,该客户端可以安装于用户终端内。
[0028] 其中,所述用客户端内预先保存有多种认证协议,例如:Radius、AD、ldap、Kerberos、http over ssl、CA证书等。每种认证协议至少与一种认证标识相存在对应关系。
[0029] 下面将对图3所示的流程进行详细阐述,所述方法包括:
[0030] 步骤S110:客户端获取认证请求。
[0031] 当某一用户需要登录某一系统进行身份认证时,可以向该系统对应的认证服务器发起认证命令。该认证服务器响应于认证命令,可以生成携带有与用户认证账号以及认证密码的认证请求。其中,所述客户端获取到的认证请求可以是由与客户端进行通信连接的认证服务器发送。
[0032] 更进一步的,认证服务器可以预先配置指向IP地址,该指向IP地址表征当认证服务器生成认证请求后,将该认证请求发送到与所述指向IP地址对应的客户端进行认证。
[0033] 因此,不同的认证系统可以将不同的认证请求发送到同一个客户端进行认证处理,避免了各个系统的不兼容带来的弊端。
[0034] 步骤S120:所述客户端根据所述认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议。
[0035] 其中,所述认证请求中还可以包括表征所述认证服务器身份的认证标识,例如A标识表征OA系统的认证服务器,B标识表征CRM系统的认证服务器等。其中,所述认证标识是所述认证服务器的IP地址,当然,所述认证标识还可以是由所述认证服务器预先配置的标志位。
[0036] 步骤S130:若存在,所述客户端获取所述认证请求所包括的认证账号以及认证密码。
[0037] 其中,所述认证密码可以是静态密码,也可以是静态密码+动态密码,还可以是静态密码+个人
生物特征信息(例如指纹信息),此时,规定静态密码与个人生物特征信息的分隔符。
[0038] 当然,若不存在,客户端可以向日志模块推送一条匹配失败告警日志,便于运维人员进行管理。
[0039] 步骤S140:所述客户端将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功。
[0040] 每一种认证协议都包含有对应的认证策略,该认证策略预先保存在客户端中。进一步的,认证策略可以分为三类。
[0041] 若所述认证策略为第一类认证策略,所述客户端可以允许所有进行认证访问用户进行认证。进一步的,客户端从预先保存的静态密码库中提取与所述认证账号对应的静态密码生成第一哈希值,并根据所述认证密码生成第二哈希值,若所述第一哈希值与所述第二哈希值相同,则表明认证成功,否则认证失败。
[0042] 若所述认证策略为第二类认证策略,所述客户端可以允许第二类认证策略所定义的第一部分用户进行认证,拒绝第二部分用户进行认证。进一步的,客户端可以从预先保存的静态密码库以及动态密码库中提取与所述认证账号对应的静态密码以及动态密码生成第一哈希值,并根据所述认证密码生成第二哈希值,若所述第一哈希值与所述第二哈希值相同,则表明认证成功,否则认证失败。
[0043] 若所述认证策略为第三类认证策略,所述客户端可以允许第一部分用户进行认证,拒绝第二部分用户进行认证。进一步的,客户端从预先保存的静态密码库以及指纹库中提取与所述认证账号对应的静态密码以及指纹信息,并根据所述认证密码以及配置的密码分隔符解出静态密码与指纹代码,比对从预先保存的静态密码库以及指纹库中提取与所述认证账号对应的静态密码以及指纹信息与根据所述认证密码以及配置的密码分隔符解出静态密码与指纹代码是否相同,若相同,则表明认证成功。
[0044] 步骤S150:所述客户端根据判断结果向所述服务器发送认证结果,所述认证结果表征与所述认证请求对应的用户被所述服务器拒绝访问或者接受访问。
[0045] 若判断认证成功,则客户端向认证服务器发送认证成功的认证结果,以使认证服务器允许与所述认证请求对应的用户访问,若判断认证失败,则客户端向认证服务器发送认证失败的认证结果,以使认证服务器拒绝与所述认证请求对应的用户访问。
[0046] 此外,请参看图4,所述方法还可以包括:
[0047] 步骤S160:所述客户端根据所述判断结果,记录访问日志。
[0048] 即当判断认证失败时,客户端可以向日志模块推送一条登陆失败的日志,当判断认证成功时,客户端可以向日志模块推送一条登陆成功的日志,便于运维人员进行管理。
[0049] 本发明第一实施例提供的一种认证协议转换方法,客户端通过获取认证请求,根据认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议;若存在,再获取所述认证请求所包括的认证账号以及认证密码;所述客户端将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功;若认证成功,客户端向服务器发送接收用户访问的指令,若认证不成功,客户端向服务器发送拒绝用户访问的指令。通过该方法,客户端可以把来自不同系统的认证请求集中到预先内置有多种认证协议的客户端中进行认证,缓解了企业一旦在内部网络大规模部署了某种身份认证系统后,便很难在现有认证协议的基础上兼容新系统的认证协议,也缓解了难以对多种认证元素进行组合存在对应关系的问题。同时,还可以形成安全日志,便于后期维护人员维护时进行查看。
[0050] 第二实施例
[0051] 请参照图5,图5是本发明第二实施例提供的一种认证协议转换装置400的结构框图。下面将对图5所示的结构框图进行阐述,所示装置包括:
[0052] 获取模块410,用于获取认证请求;
[0053] 查找模块420,用于根据所述认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议;
[0054] 所述获取模块410,还用于当所述查找模块420查找到存在与所述认证标识存在对应关系的目标认证协议时,获取所述认证请求所包括的认证账号以及认证密码;
[0055] 判断模块430,用于将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功;
[0056] 执行模块440,用于根据判断结果向所述服务器发送认证结果,所述认证结果表征与所述认证请求对应的用户被所述服务器拒绝访问或者接受访问。
[0057] 作为一种实施方式,请参看图6,所述装置还可以包括:
[0058] 记录模块450,用于根据所述判断结果,记录访问日志
[0059] 本实施例对认证协议转换装置400的各功能模块实现各自功能的过程,请参见上述图1至图4所示实施例中描述的内容,此处不再赘述。
[0060] 综上所述,本发明实施例提出的一种认证协议转换方法以及装置,客户端通过获取认证请求,根据认证请求所包括的认证标识,查找是否预先保存有与所述认证标识存在对应关系的目标认证协议;若存在,再获取所述认证请求所包括的认证账号以及认证密码;所述客户端将所述认证账号以及认证密码按照所述目标认证协议所定义的认证策略进行认证,判断是否认证成功;若认证成功,客户端向服务器发送接收用户访问的指令,若认证不成功,客户端向服务器发送拒绝用户访问的指令。通过该方法,客户端可以把来自不同系统的认证请求集中到预先内置有多种认证协议的客户端中进行认证,缓解了企业一旦在内部网络大规模部署了某种身份认证系统后,便很难在现有认证协议的基础上兼容新系统的认证协议,也缓解了难以对多种认证元素进行组合匹配的问题。
[0061] 在本
申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0062] 另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0063] 所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动
硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0064] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0065] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以
权利要求的保护范围为准。
