本發(fā)明實施方式涉及網絡通信技術領域，尤其涉及一種在組織單位域中進行認證的方法及認證系統。

背景技術：

隨著網絡通信技術的不斷發(fā)展，人們越來越習慣于利用無線網絡獲取網絡資源。在人口比較密集的區(qū)域，例如商場、公司、學校等，通常需要設置多個無線網絡，以滿足大量人員的需求。目前，通?？梢酝ㄟ^云管理平臺對多個無線網絡進行管理。在云管理平臺中，可以監(jiān)控各個無線網絡的連接數、流量、異常數據等。在一些公司內部，為了保證公司的資源能夠在員工之間共享，同時又要保證公司資源不會被外部人員訪問，可以在云管理平臺中對用戶賬號設置權限。

活動目錄(AD，active directory)通過windows系統上輕量目錄訪問協議(LDAP，Lightweight Directory Access Protocol)實現。AD動態(tài)的建立整個域模式網絡中的對象的數據庫或索引，安裝了AD的服務器稱為域控制器(DC，Domain Controller)，存儲整個域的對象的信息并周期性更新，其中對象分為三大類：資源(如印表機)、服務(如電子郵件)、和人物(即帳戶或用戶，以及組)。AD提供這些對象的信息，組織這些對象、控制訪問并且設置安全等級。每個對象代表一個單個實體，無論是一個用戶、一臺電腦、一臺印表機、或者一個共享數據源及該實體的各種屬性。

LDAP的基本模型是建立在條目(Entry)的基礎上。一個條目是一個或多個屬性的集合，并且具有一個全局唯一的可區(qū)分名稱，一個域具有單一的域名，域中包含的對象可以被編組到成為組織單位(OU，Organizational Unit)的容器中。OU給域提供了一個便于管理的層次，也提供了一個對AD中的公司的邏輯組織結構和實際地理結構的較直觀一些的表示。OU還可以再包含子OU，進而可以包含多層級嵌套的OU。

在實施本發(fā)明的過程中，發(fā)明人發(fā)現現有技術至少存在如下問題：

在當前的云管理平臺中，通常會將用戶賬號設置在根域中，這樣，云管理平臺便可以對根域中的用戶賬號進行控制。但是，為了便于管理，通常可以在根域中劃分多個組織單位?，F有的云管理平臺通常只支持對根域中的用戶賬號進行認證，但不支持對組織單位域中的用戶賬號進行認證。

應該注意，上面對技術背景的介紹只是為了方便對本發(fā)明的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本發(fā)明的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。

技術實現要素：

針對上述問題，本發(fā)明實施方式的目的在于提供一種在組織單位域中進行認證的方法及系統，以提高信息認證的適用性。

為實現上述目的，本發(fā)明實施方式提供一種在組織單位域中進行認證的方法，包括：獲取預先配置于連接式網絡存儲設備中的組織單位信息，所述組織單位信息中包括用戶賬號與組織單位標識之間的關聯關系；接收云網絡管理中心發(fā)來的針對預設服務集標識的用戶認證請求，所述用戶認證請求中包括目標用戶標識；在預先配置的所述組織單位信息中查詢是否存在與所述目標用戶標識相關聯的目標組織單位信息，并根據查詢結果對所述用戶認證請求進行處理。

進一步地，獲取預先配置于連接式網絡存儲設備中的組織單位信息包括：接收連接式網絡存儲設備發(fā)來的通信報文，所述通信報文中包括預設認證字段，所述預設認證字段中的內容用于限定用戶賬號所屬的根域以及所屬的組織單位。

進一步地，所述組織單位信息按照下述方式進行配置：針對各個服務集標識，統計允許連接服務集標識的用戶賬號集，所述用戶賬號集中的各個用戶賬號通過活動目錄進行存儲；將每個所述活動目錄劃分為至少一個組織單位，并將所述用戶賬號集中的用戶賬號分配于各個組織單位中，以形成用戶賬號與組織單位標識之間的關聯關系；通過云網絡管理中心，將所述用戶賬號與組織單位標識之間的關聯關系配置到連接式網絡存儲設備中。

進一步地，在預先配置的所述組織單位信息中查詢是否存在與所述目標用戶標識相關聯的目標組織單位信息包括：通過內置的Jar包，對所述用戶認證請求中的目標用戶標識進行處理，以確定所述目標用戶標識是否存在于組織單位中。

進一步地，根據查詢結果對所述用戶認證請求進行處理包括：當所述目標用戶標識不存在于組織單位中時，返回認證失敗的提示信息。

進一步地，所述方法還包括：當所述目標用戶標識存在于組織單位中時，判斷所述目標用戶標識是否屬于所述預設服務集標識對應的根域中；當所述目標用戶標識屬于所述預設服務集標識對應的根域中時，對所述目標用戶賬號開通連接所述預設服務集標識的權限，所述權限包括限定時長權限或限定流量權限。

為實現上述目的，本發(fā)明實施方式還提供一種在組織單位域中進行認證的系統，包括：組織單位信息獲取單元，用于獲取預先配置于連接式網絡存儲設備中的組織單位信息，所述組織單位信息中包括用戶賬號與組織單位標識之間的關聯關系；用戶認證請求接收單元，用于接收云網絡管理中心發(fā)來的針對預設服務集標識的用戶認證請求，所述用戶認證請求中包括目標用戶標識；認證處理單元，用于在預先配置的所述組織單位信息中查詢是否存在與所述目標用戶標識相關聯的目標組織單位信息，并根據查詢結果對所述用戶認證請求進行處理。

本發(fā)明實施方式提供的一種在組織單位域中進行認證的方法及系統，通過對現有的認證系統進行改進，可以在連接式網絡存儲設備中配置與用戶賬號相關的組織單位信息，這樣，在接收到用戶的認證請求后，可以先在組織單位域中對用戶賬號進行認證。進一步地，認證系統與連接式網絡存儲設備進行通信時，可以基于預設字段進行組織單位信息的傳遞，并可以通過Jar包對組織單位信息進行認證，從而實現在組織單位域中進行用戶認證的過程。

附圖說明

為了更清楚地說明本發(fā)明實施方式或現有技術中的技術方案，下面將對實施方式或現有技術描述中所需要使用的附圖逐一簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施方式，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發(fā)明實施方式中用戶認證的系統框架圖；

圖2為本發(fā)明實施方式提供的一種在組織單位域中進行認證的方法流程圖；

圖3為本發(fā)明實施方式提供的一種在組織單位域中進行認證的系統的模塊圖。

具體實施方式

為使本發(fā)明實施方式的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施方式中的附圖，對本發(fā)明實施方式中的技術方案進行清楚、完整地描述，顯然，所描述的實施方式是本發(fā)明一部分實施方式，而不是全部的實施方式。基于本發(fā)明中的實施方式，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施方式，都屬于本發(fā)明保護的范圍。

本發(fā)明實施方式提供一種在組織單位域中進行認證的方法，所述方法可以應用于用戶認證系統中。請參閱圖1，所述用戶認證系統可以包括客戶端1、云網絡管理中心2、認證源3、認證系統4以及網絡資源服務器5。

在本實施方式中，客戶端1可以向云網絡管理中心2發(fā)送用戶的認證請求，所述認證請求可以是針對預設服務集標識(Service Set Identifier，SSID)發(fā)出的。具體地，用戶通過客戶端，可以搜索到多個SSID，然后用戶可以選擇待連接的SSID，從而可以針對該待連接的SSID向云網絡管理中心2發(fā)出認證請求。在所述認證請求中，可以攜帶該用戶的目標用戶標識。在本實施方式中，所述目標用戶標識可以是用戶在云網絡管理中心內預先注冊的賬號，也可以是所述客戶端的IP地址或者MAC地址。

在本實施方式中，云網絡管理中心2在接收到用戶的認證請求后，可以將該認證請求轉發(fā)給認證系統4。這樣，認證系統4便可以接收云網絡管理中心發(fā)來的針對預設服務集標識的用戶認證請求，并對所述認證請求進行處理。

在本實施方式中，可以對所述認證系統4進行改進。具體地，所述認證系統4中可以包括Radius服務器，該Radius服務器可以基于Freeradius server安裝的。

在本實施方式中，可以預先在連接式網絡存儲(Network Attached Storage，NAS)設備中配置各個SSID對應的組織單位信息。具體地，所述NAS設備可以是單獨的一個設備，也可以是位于所述認證源3中的一個模塊。

在本實施方式中，對于不同的SSID，可以預先確定能夠連接SSID的用戶賬號。這樣，每個SSID便可以對應一個用戶賬號集，只有位于用戶賬號集中的用戶賬號才能正常連接對應的SSID。這樣，在生成各個SSID對應的組織單位信息時，可以針對各個SSID，統計允許連接SSID的用戶賬號集。

在本實施方式中，各個用戶賬號集中的用戶賬號可以分別通過活動目錄(active directory，AD)進行存儲。所述AD可以對用戶賬號進行實時更新，例如可以增加新注冊的用戶賬號、刪除過期的用戶賬號、更改用戶賬號對應的權限等。

在本實施方式中，為了便于對用戶賬號進行管理，可以將每個AD劃分為至少一個OU。其中，劃分的OU中還可以繼續(xù)包含子OU，從而形成多層級嵌套的OU。

在本實施方式中，在將AD劃分為多個OU之后，可以根據用戶賬號對應的權限，將用戶賬號分配于各個OU中。其中，具備相同權限的用戶賬號可以分配于同一個OU中。這樣，通過對不同的OU進行管理，便可以實現對用戶賬號進行分層級管理。

在本實施方式中，在向OU中分配了用戶賬號之后，可以建立用戶賬號與組織單位標識之間的關聯關系。其中，所述組織單位標識可以用于唯一表示組織單位的字符串。這樣，可以通過云網絡管理中心，將所述用戶賬號與組織單位標識之間的關聯關系配置到NAS設備中，從而在NAS設備中配置各個SSID對應的OU信息。

在本實施方式中，NAS設備與認證系統4之間進行數據交互時，可以通過預設認證字段來傳遞OU信息。具體地，所述預設認證字段可以是NAS-Identifier字段，該字段中的內容可以用于限定用戶賬號所屬的根域以及所屬的組織單位。這樣，認證系統可以接收NAS設備發(fā)來的通信報文，所述通信報文中可以包括NAS-Identifier字段，這樣，認證系統從而可以獲取預先配置的OU信息。在本實施方式中，認證系統在獲取配置的OU信息時，可以通過對Radius服務器中sites-enabled的inner-tunnel模塊進行改進來實現。

在本實施方式中，認證系統在接收到用戶認證請求時，可以在預先配置的所述組織單位信息中查詢是否存在與所述目標用戶標識相關聯的目標組織單位信息，并根據查詢結果對所述用戶認證請求進行處理。具體地，可以通過內置的Jar包對所述用戶認證請求中的目標用戶標識進行處理，以確定所述目標用戶標識是否存在于組織單位中。

具體地，當所述目標用戶標識不存在于組織單位中時，表明所述目標用戶標識沒有預先在云網絡管理中心內進行注冊，從而可以返回認證失敗的提示信息。

當所述目標用戶標識存在于組織單位中時，則表明該目標用戶標識已經在云網絡管理中心內進行注冊了。此時，可以進一步判斷該目標用戶標識在哪個根域中，從而可以確定該目標用戶標識應當連接至哪個SSID。具體地，可以判斷所述目標用戶標識是否屬于預設SSID對應的根域中，當所述目標用戶標識屬于所述預設SSID對應的根域中時，則可以對所述目標用戶賬號開通連接所述預設SSID的權限，這樣，用戶則可以通過連接所述預設SSID來訪問網絡資源服務器5中的網絡資源。在本實施方式中，所述權限可以包括限定時長權限或限定流量權限，從而限定用戶訪問資源的時間或者訪問資源的流量。

請參閱圖2，本發(fā)明實施方式提供的在組織單位域中進行認證的方法可以包括以下步驟。

S1：獲取預先配置于連接式網絡存儲設備中的組織單位信息，所述組織單位信息中包括用戶賬號與組織單位標識之間的關聯關系；

S2：接收云網絡管理中心發(fā)來的針對預設服務集標識的用戶認證請求，所述用戶認證請求中包括目標用戶標識；

S3：在預先配置的所述組織單位信息中查詢是否存在與所述目標用戶標識相關聯的目標組織單位信息，并根據查詢結果對所述用戶認證請求進行處理。

請參閱圖3，本發(fā)明實施方式還提供一種在組織單位域中進行認證的系統，包括：

組織單位信息獲取單元100，用于獲取預先配置于連接式網絡存儲設備中的組織單位信息，所述組織單位信息中包括用戶賬號與組織單位標識之間的關聯關系；

用戶認證請求接收單元200，用于接收云網絡管理中心發(fā)來的針對預設服務集標識的用戶認證請求，所述用戶認證請求中包括目標用戶標識；

認證處理單元300，用于在預先配置的所述組織單位信息中查詢是否存在與所述目標用戶標識相關聯的目標組織單位信息，并根據查詢結果對所述用戶認證請求進行處理。

在本發(fā)明實施方式中，所述組織單位信息獲取單元100包括：

用戶賬號集統計模塊，用于針對各個服務集標識，統計允許連接服務集標識的用戶賬號集，所述用戶賬號集中的各個用戶賬號通過活動目錄進行存儲；

組織單位劃分模塊，用于將每個所述活動目錄劃分為至少一個組織單位，并將所述用戶賬號集中的用戶賬號分配于各個組織單位中，以形成用戶賬號與組織單位標識之間的關聯關系；

配置模塊，用于通過云網絡管理中心，將所述用戶賬號與組織單位標識之間的關聯關系配置到連接式網絡存儲設備中。

在本發(fā)明實施方式中，所述認證處理單元300包括：

Jar包處理模塊，用于通過內置的Jar包，對所述用戶認證請求中的目標用戶標識進行處理，以確定所述目標用戶標識是否存在于組織單位中。

在本發(fā)明實施方式中，所述認證處理單元300還包括：

根域判斷模塊，用于當所述目標用戶標識存在于組織單位中時，判斷所述目標用戶標識是否屬于預設服務集標識對應的根域中；

認證通過模塊，用于當所述目標用戶標識屬于所述預設服務集標識對應的根域中時，對所述目標用戶賬號開通連接所述預設服務集標識的權限，所述權限包括限定時長權限或限定流量權限。

本發(fā)明實施方式提供的一種在組織單位域中進行認證的方法及系統，通過對現有的認證系統進行改進，可以在連接式網絡存儲設備中配置與用戶賬號相關的組織單位信息，這樣，在接收到用戶的認證請求后，可以先在組織單位域中對用戶賬號進行認證。進一步地，認證系統與連接式網絡存儲設備進行通信時，可以基于預設字段進行組織單位信息的傳遞，并可以通過Jar包對組織單位信息進行認證，從而實現在組織單位域中進行用戶認證的過程。

本說明書中的各個實施方式均采用遞進的方式描述，各個實施方式之間相同相似的部分互相參見即可，每個實施方式重點說明的都是與其他實施方式的不同之處。

最后應說明的是：上面對本發(fā)明的各種實施方式的描述以描述的目的提供給本領域技術人員。其不旨在是窮舉的、或者不旨在將本發(fā)明限制于單個公開的實施方式。如上所述，本發(fā)明的各種替代和變化對于上述技術所屬領域技術人員而言將是顯而易見的。因此，雖然已經具體討論了一些另選的實施方式，但是其它實施方式將是顯而易見的，或者本領域技術人員相對容易得出。本發(fā)明旨在包括在此已經討論過的本發(fā)明的所有替代、修改、和變化，以及落在上述申請的精神和范圍內的其它實施方式。