基于SaaS身份認(rèn)證方法
【專利摘要】本發(fā)明涉及一種基于SaaS身份認(rèn)證方法�����,包括如下步驟:對采用標(biāo)準(zhǔn)的Portal協(xié)議獲取的各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求進行解析,得到所述用戶的網(wǎng)絡(luò)參數(shù)��;根據(jù)所述用戶的網(wǎng)絡(luò)參數(shù)���,獲取所述用戶終端設(shè)備綁定的賬戶信息��;將所述賬戶信息發(fā)送至計費系統(tǒng)��,并從計費系統(tǒng)獲取所述用戶的權(quán)限信息�;若所述權(quán)限信息為有權(quán)狀態(tài),則判定所述用戶的身份認(rèn)證成功�����,并返回認(rèn)證成功的通知信息給用戶�。通過上述技術(shù)方案,本發(fā)明實現(xiàn)對來自不同網(wǎng)絡(luò)認(rèn)證設(shè)備的多個身份認(rèn)證請求的統(tǒng)一性認(rèn)證��,解決了不同的身份認(rèn)證系統(tǒng)對不同的網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容的技術(shù)問題�,提高了身份認(rèn)證的效率,降低了身份認(rèn)證的成本����。
【專利說明】
基于SaaS身份認(rèn)證方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種基于SaaS身份認(rèn)證方法����。
【背景技術(shù)】
[0002]隨著移動互聯(lián)網(wǎng)的爆發(fā)式增長�,人們越來越離不開手機、Pad等移動終端設(shè)備���。用戶對網(wǎng)絡(luò)的黏著也愈來愈高�,使用時間也越來越長,人們對于無線網(wǎng)絡(luò)的需求也越來越高���。無線網(wǎng)絡(luò)是采用無線通信技術(shù)實現(xiàn)的網(wǎng)絡(luò)����,與有線技術(shù)最大的不同是采用無線電技術(shù)來代替網(wǎng)線����,主流的無線網(wǎng)絡(luò)分為通過公眾移動通信網(wǎng)實現(xiàn)的無線網(wǎng)絡(luò)(如4G、3G)和無線局域網(wǎng)(WiFi)兩種方式�。無線網(wǎng)絡(luò)在一定程度上扔掉了有線網(wǎng)絡(luò)必須依賴的網(wǎng)線,這樣一來����,用戶可以帶著移動終端設(shè)備在信號可達范圍內(nèi)隨意移動。越來越多的企業(yè)����、商場、家庭部署無線網(wǎng)絡(luò)熱點��,為終端設(shè)備接入網(wǎng)絡(luò)提供信號,其中����,大多數(shù)的無線網(wǎng)絡(luò)使用密碼認(rèn)證(wpa2/wpa2-psk)的方式驗證終端身份。但是����,終端用戶的密碼很容易外泄,從而導(dǎo)致內(nèi)部網(wǎng)絡(luò)被入侵���,進而發(fā)生信息泄露等災(zāi)難性后果���。
[0003]身份認(rèn)證系統(tǒng)(AAA)成為用戶和企業(yè)新的選擇,傳統(tǒng)的身份認(rèn)證系統(tǒng)(AAA)��,一般由設(shè)備廠家自己開發(fā)���,只支持自家生產(chǎn)的設(shè)備型號�����,對其他廠商設(shè)備支持一般做的不好��,甚至不支持�。對于企業(yè)��、商家用戶來說��,選擇了硬件設(shè)備�,也就只能選擇廠家提供的認(rèn)證系統(tǒng),降低了用戶選擇設(shè)備的自由度;而且,身份認(rèn)證系統(tǒng)后期的維護管理費用�,也是一筆不小的開支,對于一般的中小企業(yè)或者家庭用戶來說���,是沒辦法承擔(dān)的���。另外���,傳統(tǒng)的認(rèn)證系統(tǒng)受其硬件性能和服務(wù)架構(gòu)因素的影響,其并發(fā)處理能力有限����,無法滿足海量認(rèn)證請求的壓力。
[0004]綜上所述�,現(xiàn)有的身份認(rèn)證系統(tǒng)硬件設(shè)備限制多、各個網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容且成本較高����。
【發(fā)明內(nèi)容】
[0005]基于此,有必要針對現(xiàn)有的身份認(rèn)證系統(tǒng)硬件設(shè)備限制多���、各個網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容且成本較高的技術(shù)問題�,提供一種基于SaaS身份認(rèn)證方法���。
[0006]—種基于SaaS身份認(rèn)證方法��,包括如下步驟:
[0007]對采用標(biāo)準(zhǔn)的Portal協(xié)議獲取的各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求進行解析����,得到所述用戶的網(wǎng)絡(luò)參數(shù);其中,所述網(wǎng)絡(luò)參數(shù)包括用戶接入網(wǎng)絡(luò)控制器的IP地址和用戶終端設(shè)備接入點的MAC地址�����;
[0008]根據(jù)所述用戶的網(wǎng)絡(luò)參數(shù)���,獲取所述用戶終端設(shè)備綁定的賬戶信息;
[0009]將所述賬戶信息發(fā)送至計費系統(tǒng)�,并從計費系統(tǒng)獲取所述用戶的權(quán)限信息;
[0010]若所述權(quán)限信息為有權(quán)狀態(tài)�,則判定所述用戶的身份認(rèn)證成功,并返回認(rèn)證成功的通知信息給用戶�。
[0011]上述基于SaaS身份認(rèn)證方法,通過采用Portal協(xié)議來獲取各個用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析�����,實現(xiàn)對來自不同網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求的統(tǒng)一性認(rèn)證����,解決了不同的身份認(rèn)證系統(tǒng)對不同的網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容的技術(shù)問題,降低了身份認(rèn)證的成本;通過同時獲取各個用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析�����,實現(xiàn)對多個身份認(rèn)證請求的同時認(rèn)證,降低了身份認(rèn)證的成本�����,提高了身份認(rèn)證的效率;根據(jù)獲取的用戶的權(quán)限信息���,來判定用戶認(rèn)證成功與否����,解決了采用密碼驗證方法的安全問題�����。
【附圖說明】
[0012]圖1為本發(fā)明的一個實施例的基于SaaS身份認(rèn)證方法流程圖����;
[0013]圖2為本發(fā)明的另一個實施例的基于SaaS身份認(rèn)證方法流程圖;
[0014]圖3為本發(fā)明的另一個實施例的基于SaaS身份認(rèn)證方法流程圖�;
[0015]圖4為利用本發(fā)明的一個實施例的基于SaaS身份認(rèn)證方法對海量身份認(rèn)證請求進行認(rèn)證的身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0016]為了更進一步闡述本發(fā)明所采取的技術(shù)手段及取得的效果���,下面結(jié)合附圖及較佳實施例��,對本發(fā)明的技術(shù)方案���,進行清楚和完整的描述�。
[0017]如圖1所示�����,圖1為本發(fā)明的一個實施例的基于SaaS身份認(rèn)證方法流程圖���,包括如下步驟:
[0018]步驟SlOl:對采用標(biāo)準(zhǔn)的Portal協(xié)議獲取的各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求進行解析,得到所述用戶的網(wǎng)絡(luò)參數(shù);其中����,所述網(wǎng)絡(luò)參數(shù)包括用戶接入網(wǎng)絡(luò)控制器的IP地址和用戶終端設(shè)備接入點的MAC地址;
[0019]在本步驟中��,通過采用Portal協(xié)議獲取來獲取各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析���,實現(xiàn)了對來自不同網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求的統(tǒng)一性認(rèn)證��,解決了不同的身份認(rèn)證系統(tǒng)對不同的網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容的技術(shù)問題��,降低了身份認(rèn)證系統(tǒng)的成本;通過同時獲取各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析����,實現(xiàn)對多個身份認(rèn)證請求的同時認(rèn)證,提高了身份認(rèn)證的效率�����。
[0020]步驟S102:根據(jù)所述用戶的網(wǎng)絡(luò)參數(shù)���,獲取所述用戶終端設(shè)備綁定的賬戶信息�;
[0021]在本步驟中��,根據(jù)步驟SlOl解析得到的用戶接入網(wǎng)絡(luò)控制器的IP地址和用戶終端設(shè)備接入點的MAC地址����,獲取所述用戶使用的終端設(shè)備綁定的賬戶信息。在采用Portal認(rèn)證協(xié)議時���,對用戶的身份認(rèn)證請求解析得到的網(wǎng)絡(luò)參數(shù)對該用戶具有唯一性標(biāo)識的作用���,因此,可以根據(jù)得到的網(wǎng)絡(luò)參數(shù)����,具體到某個特定用戶�。
[0022]步驟S103:將所述賬戶信息發(fā)送至計費系統(tǒng)��,并從計費系統(tǒng)獲取所述用戶的權(quán)限信息�;
[0023]在本步驟中,通過將得到的賬戶信息發(fā)送至計費系統(tǒng)�����,并根據(jù)計費系統(tǒng)里存儲的賬戶信息獲取所述用戶的權(quán)限信息��,作為后續(xù)步驟的判定認(rèn)證成功與否的依據(jù)�。
[0024]在具體實施時,也可以從與賬戶信息關(guān)聯(lián)的其他管理系統(tǒng)中獲取相應(yīng)的權(quán)限信息�����,例如�����,這里所述的其他管理系統(tǒng)可以是某個企業(yè)內(nèi)部的管理系統(tǒng)����,當(dāng)獲取該用戶的賬戶信息后��,再從該企業(yè)內(nèi)部的管理系統(tǒng)中獲取該用戶的權(quán)限信息,從而判定該用戶的身份認(rèn)證請求是否成功�����。
[0025]步驟S104:若所述權(quán)限信息為有權(quán)狀態(tài)����,則判定所述用戶的身份認(rèn)證成功,并返回認(rèn)證成功的通知信息給用戶�。
[0026]在本步驟中,若獲取的該用戶的權(quán)限信息為有權(quán)狀態(tài)�,則可以判定該用戶的身份認(rèn)證成功,也就是說����,該用戶可以繼續(xù)訪問所述門戶網(wǎng)站,并獲取相應(yīng)的資源��。
[0027]上述基于SaaS身份認(rèn)證方法��,通過采用標(biāo)準(zhǔn)的Portal協(xié)議來獲取各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析�,實現(xiàn)對來自不同網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求的統(tǒng)一性認(rèn)證,解決了不同的身份認(rèn)證系統(tǒng)對不同的網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容的問題�����,降低了身份認(rèn)證系統(tǒng)的成本;通過同時獲取各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析,實現(xiàn)對多個身份認(rèn)證請求的同時認(rèn)證�,提高了身份認(rèn)證的效率;根據(jù)獲取的用戶的權(quán)限信息,來判定用戶認(rèn)證成功與否�����,解決了采用密碼驗證方法的安全問題��。
[0028]如圖2所示�,圖2為本發(fā)明的另一個實施例的基于SaaS身份認(rèn)證方法流程圖,在所述對采用標(biāo)準(zhǔn)的Portal協(xié)議獲取的各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求進行解析的步驟S1I之前�,還可以包括:
[0029]步驟S105:根據(jù)SaaS各個服務(wù)器的負(fù)載狀況,將用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析�。
[0030]在上述實施例中,為了應(yīng)對海量的身份認(rèn)證請求����,可以采用云服務(wù)器對海量的身份認(rèn)證請求進行處理�����,具體地����,可以采用負(fù)載均衡器根據(jù)SaaS各個服務(wù)器的負(fù)載狀況�����,將用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析����。通過上述技術(shù)方案�����,提高了認(rèn)證服務(wù)單進程的負(fù)載能力�����,提高了 CPU的使用率和帶寬使用率;提高了資源使用率��,間接地降低了認(rèn)證服務(wù)的成本�。
[0031]在其中一個實施例中,本發(fā)明的基于SaaS身份認(rèn)證方法���,還可以包括:
[0032]采用基于網(wǎng)絡(luò)傳輸協(xié)議的擴展認(rèn)證接口獲取不支持Portal協(xié)議的網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求�。
[0033]在本實施例中�,對于那些不支持Portal協(xié)議的網(wǎng)絡(luò)認(rèn)證設(shè)備和其他認(rèn)證服務(wù)�,本發(fā)明的基于SaaS身份認(rèn)證方法可以提供一個基于網(wǎng)絡(luò)傳輸協(xié)議的擴展認(rèn)證接口獲取不支持Portal協(xié)議的網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求��,并進行身份認(rèn)證�。通過上述技術(shù)方案,本發(fā)明的基于SaaS身份認(rèn)證方法���,具備了對所有的網(wǎng)絡(luò)認(rèn)證設(shè)備進行身份認(rèn)證的能力����,實現(xiàn)了對網(wǎng)絡(luò)認(rèn)證設(shè)備的統(tǒng)一性認(rèn)證����,有效地提高了身份認(rèn)證的效率和能力,降低了身份認(rèn)證的成本����,便于對網(wǎng)絡(luò)認(rèn)證設(shè)備的統(tǒng)一管理。
[0034]在其中一個實施例中��,本發(fā)明的基于SaaS身份認(rèn)證方法��,所述計費系統(tǒng)獲取所述用戶的權(quán)限信息的步驟包括:
[0035]若所述用戶采用的計費模式為免費模式�,則所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為有權(quán)狀態(tài)�����;
[0036]若所述用戶采用的計費模式為收費模式且賬戶余額不為零,則所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為有權(quán)狀態(tài)�����;
[0037]若所述用戶采用的計費模式為收費模式且賬戶余額為零���,則所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)����。
[0038]在本實施例中�����,只是提供了一種計費系統(tǒng)獲取權(quán)限信息的界定方法�,在具體實施時,可以根據(jù)具體情況做相應(yīng)的改動��。
[0039]在其中一個實施例中�,本發(fā)明的基于SaaS身份認(rèn)證方法,所述將用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析的步驟包括:
[0040]采用輪詢�����、基于用戶訪問IP哈希以及指定權(quán)重的方式將用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析。在實際應(yīng)用中�,可以采用負(fù)載均衡器的算法來決定由哪個認(rèn)證服務(wù)來處理用戶的身份認(rèn)證請求。
[0041 ]在其中一個實施例中��,本發(fā)明的基于SaaS身份認(rèn)證方法�,還可以包括:采用異步非阻塞的網(wǎng)絡(luò)1模型和epoll輪詢的方式對所述身份認(rèn)證請求進行處理;以及采用協(xié)同程序的方式處理在處理不同的身份認(rèn)證請求時不同任務(wù)之間的切換����。
[0042]本實施例中,通過采用異步非阻塞的網(wǎng)絡(luò)1框架�,來處理網(wǎng)絡(luò)數(shù)據(jù)的讀寫;通過使用非阻塞的網(wǎng)絡(luò)10,單個進程的認(rèn)證服務(wù)可以同時處理數(shù)以千計的認(rèn)證連接�,提高了單點服務(wù)的處理能力。
[0043]在具體實施時��,本發(fā)明的基于SaaS身份認(rèn)證方法可以使用epoll輪詢替代傳統(tǒng)的select來處理socekt文件句柄���,顯著提高程序在大并發(fā)情況下�����,服務(wù)進程阻塞在網(wǎng)絡(luò)1的等待時間���,提尚CPU使用率����。傳統(tǒng)的seIect�����,其最大的性能缺陷是:一個進程最大只能打開1024個文件描述符���,而epoll支持一個進程打開更大數(shù)目的socket描述。epoll所能打開的文件描述符��,和設(shè)備的物理內(nèi)存相關(guān)����,一般IG的內(nèi)存,其支持的數(shù)目大概是10萬左右���。此外epoll的處理性能�����,不隨文件描述符的增加而下降���。理論上只要系統(tǒng)資源足夠����,單個進程服務(wù)可以支撐非常高規(guī)模的并發(fā)請求�。
[0044]在上述實施例中,本發(fā)明的基于Sa a S身份認(rèn)證方法還可以使用協(xié)同程序(coroutine)技術(shù)處理服務(wù)內(nèi)部的網(wǎng)絡(luò)10阻塞�����,例如數(shù)據(jù)庫操作���、內(nèi)部HTTP請求�����,Portal認(rèn)證請求等網(wǎng)絡(luò)10操作���,把網(wǎng)絡(luò)10的讀寫阻塞時間都交由內(nèi)核處理,利用epoll輪詢處理準(zhǔn)備好的網(wǎng)絡(luò)請求���,認(rèn)證服務(wù)用戶態(tài)只關(guān)注具體的認(rèn)證邏輯處理�,提高了對身份認(rèn)證請求的處理效率�����。
[0045]如圖3所示,圖3為本發(fā)明的另一個實施例的基于SaaS身份認(rèn)證方法流程圖�,在所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)的步驟之后,還可以包括:
[0046]步驟S106:判定所述用戶的身份認(rèn)證失敗�����,并返回認(rèn)證失敗的錯誤信息給用戶�����。
[0047]在本實施例中��,在判定所述用戶的身份認(rèn)證失敗之后��,并將例如余額不足之類的錯誤信息發(fā)送給用戶��,告知用戶認(rèn)證失敗的原因�����。
[0048]在其中一個實施例中��,本發(fā)明的基于SaaS身份認(rèn)證方法��,在所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)的步驟之后����,還可以包括:
[0049]加載與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板,生成相應(yīng)的頁面文件����,并顯示給用戶。
[0050]在其中一個實施例中���,本發(fā)明的基于SaaS身份認(rèn)證方法�����,在所述加載與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板的步驟之前����,還可以包括:
[0051 ]根據(jù)所述用戶終端設(shè)備接入點的MAC地址��,生成相應(yīng)的配置信息���;以及將所述配置信息添加至門戶頁面�����,生成與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板�����。
[0052]在上述實施例中���,當(dāng)計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)時��,可以加載與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板�,生成相應(yīng)的頁面文件�����,并顯示給用戶;這里所述的門戶頁面模板可以是與用戶所在的地理位置相關(guān)的推薦信息�,例如�,若用戶攜帶的終端設(shè)備處于電影院中,那么該門戶頁面模板就會以與電影院相關(guān)的內(nèi)容作為主題�,向用戶推薦與此相關(guān)的信息,以便用戶選擇��。通過上述技術(shù)方案��,實現(xiàn)了對用戶的個性化推薦���。
[0053]在其中一個實施例中���,本發(fā)明的基于SaaS身份認(rèn)證方法��,還可以包括:
[0054]存儲身份認(rèn)證成功的用戶的終端設(shè)備信息����,當(dāng)身份認(rèn)證成功的用戶再次認(rèn)證時�,直接給予認(rèn)證授權(quán),并直接返回超文本傳送協(xié)議的跳轉(zhuǎn)指令�����,控制瀏覽器返回用戶終端設(shè)備認(rèn)證前訪問的統(tǒng)一資源定位符地址���。
[0055]在本實施例中���,通過將身份認(rèn)證成功的用戶的終端設(shè)備信息進行存儲,當(dāng)再次收到該用戶的認(rèn)證請求時�,根據(jù)所述終端設(shè)備信息自動查找用戶賬號,直接給予認(rèn)證通過���,并返回超文本傳送協(xié)議的跳轉(zhuǎn)指令��,控制瀏覽器返回用戶終端設(shè)備認(rèn)證前訪問的統(tǒng)一資源定位符地址�,實現(xiàn)用戶無感知上網(wǎng)認(rèn)證。
[0056]上述基于SaaS身份認(rèn)證方法�,通過采用標(biāo)準(zhǔn)的Portal協(xié)議來獲取各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析,實現(xiàn)對來自不同網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求的統(tǒng)一性認(rèn)證�,解決了不同的身份認(rèn)證系統(tǒng)對不同的網(wǎng)絡(luò)認(rèn)證設(shè)備不兼容的技術(shù)問題,降低了身份認(rèn)證的成本;通過同時獲取各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求并進行解析��,實現(xiàn)對多個身份認(rèn)證請求的同時認(rèn)證�����,降低了身份認(rèn)證的成本���,提高了身份認(rèn)證的效率;根據(jù)獲取的用戶的權(quán)限信息����,來判定用戶認(rèn)證成功與否��,解決了采用密碼驗證方法的安全問題����。
[0057]在具體實施本發(fā)明的基于SaaS身份認(rèn)證方法時���,為了應(yīng)對海量的用戶身份認(rèn)證請求�,可以使用云計算、云服務(wù)器等技術(shù)來對用戶進行身份認(rèn)證��。云計算(Cloud Computing)是虛擬化(Virtualizat1n)�����、效用計算(Utility Computing)���、IaaS(基礎(chǔ)設(shè)施即服務(wù))�����、PaaS(平臺即服務(wù))��、SaaS(軟件即服務(wù))等概念混合并躍升的結(jié)果���。它提供一個全新的互聯(lián)網(wǎng)商業(yè)服務(wù)模型,即用戶可以按需���、易擴展的方式租用所需要的基礎(chǔ)設(shè)施(計算資源�、存儲資源�����、帶寬資源)。將云計算與業(yè)務(wù)開放平臺相結(jié)合���,不但可以為業(yè)務(wù)平臺提供給為可用更加擴展彈性的基礎(chǔ)平臺��,還能利用分散在各地各處的硬件資源�,提高資源利用率����,降低成本。
[0058]如圖4所示����,圖4為利用本發(fā)明的一個實施例的基于SaaS身份認(rèn)證方法對海量身份認(rèn)證請求進行認(rèn)證的身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖,包括有若干個SaaS認(rèn)證服務(wù)組成的云服務(wù)器100�,用于處理海量用戶身份認(rèn)證請求;以及提供支持各個服務(wù)運行的資源環(huán)境����,提供可擴展的計算資源��,帶寬資源以及存儲資源;此外����,云服務(wù)器100還有提供系統(tǒng)的安全備份��、監(jiān)控以及災(zāi)備管理���;SaaS認(rèn)證服務(wù)負(fù)責(zé)處理具體的認(rèn)證邏輯;負(fù)載均衡器200���,用于根據(jù)SaaS服務(wù)器的負(fù)載狀況根據(jù)SaaS各個服務(wù)器的負(fù)載狀況�����,將用戶訪問門戶網(wǎng)站時發(fā)送的海量身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行處理����,即���,根據(jù)分發(fā)邏輯�,處理接入請求���,分發(fā)給合適的SaaS認(rèn)證服務(wù)進行處理;數(shù)據(jù)庫存儲服務(wù)300����,用于保存用戶的網(wǎng)絡(luò)參數(shù)和賬戶信息、身份認(rèn)證成功的用戶的終端設(shè)備信息以及與用戶或者設(shè)備相關(guān)的其他信息����;Radius計費服務(wù)400,用于獲取用戶的計費模式以及用戶在收費模式下的賬戶余額等相關(guān)信息����。
[0059]當(dāng)用戶接入時,查找接入點的配置信息�����,推送配置的Portal頁面給用戶��,用戶輸入上網(wǎng)賬號或者點擊一鍵上網(wǎng)按鈕����,自動生成上網(wǎng)賬號,發(fā)起上網(wǎng)認(rèn)證流程���。對于有些配置收費的網(wǎng)絡(luò)��,認(rèn)證服務(wù)還可搭配Radius計費服務(wù)一起使用����,計費服務(wù)提供了多種計費手段(前向后向��、包月�����、時長等)���。終端網(wǎng)絡(luò)配置數(shù)據(jù)與用戶賬號數(shù)據(jù)都存儲在數(shù)據(jù)庫服務(wù)中�����,提供數(shù)據(jù)持久化��、與一致性服務(wù)����,供認(rèn)證服務(wù)與計費服務(wù)使用�。企業(yè)、商家或家庭用戶使用認(rèn)證服務(wù)����,其具體的操作步驟如下:
[0060]步驟1:選擇支持的網(wǎng)絡(luò)設(shè)備��;
[0061 ] 步驟2:租用SaaS云認(rèn)證服務(wù),獲取管理賬號�����;
[0062]步驟3:添加AP�,并配置上網(wǎng)策略配置子網(wǎng)AP策略(portal認(rèn)證頁面和收費策略)或認(rèn)證服務(wù)地址����;
[0063]步驟4:子網(wǎng)組網(wǎng)部署;
[0064]步驟5:使用管理賬號管理子網(wǎng)的上網(wǎng)賬號(創(chuàng)建��、編輯���、刪除�����、凍結(jié)���、解凍);
[0065]步驟6:上網(wǎng)終端網(wǎng)絡(luò)認(rèn)證確認(rèn)�。
[0066]通過以上步驟I至6,用戶網(wǎng)絡(luò)實際上已經(jīng)加入上述身份認(rèn)證系統(tǒng)�����,用戶可以使用管理賬號對自身的子網(wǎng)、上網(wǎng)賬號進行管理�����。
[0067]云計算(CloudComputing)是虛擬化(Virtualizat1n)���、效用計算(UtilityComputing)、IaaS(基礎(chǔ)設(shè)施即服務(wù))�����、PaaS(平臺及服務(wù))����、SaaS(軟件即服務(wù))等概念混合并躍升的結(jié)果。它提供一個全新的互聯(lián)網(wǎng)商業(yè)服務(wù)模型����,即用戶可以按需、易擴展的方式租用所需要的基礎(chǔ)設(shè)施(計算資源����、存儲資源���、帶寬資源)。將云計算與業(yè)務(wù)開放平臺相結(jié)合����,不但可以為業(yè)務(wù)平臺提供給為可用更加擴展彈性的基礎(chǔ)平臺,還能利用分散在各地各處的硬件資源����,提高資源利用率,降低成本�����。
[0068]在實際應(yīng)用時�,云服務(wù)器的認(rèn)證服務(wù)還可以采用SaaS的軟件應(yīng)用模式,部署于公有云�,用戶可以根據(jù)實際需求,自由擴充規(guī)模���,提高負(fù)載能力���。認(rèn)證服務(wù)采用負(fù)載均衡集群的方式部署于身份認(rèn)證系統(tǒng)上。業(yè)務(wù)服務(wù)集群中的各個服務(wù)進程各自獨立互不相干���,任何一個認(rèn)證服務(wù)停機�����,都不會影響其他服務(wù)的正常運行���;當(dāng)用戶發(fā)送一個認(rèn)證請求��,由負(fù)載均衡器的算法決定由哪個認(rèn)證服務(wù)來處理。身份認(rèn)證系統(tǒng)還可以提供一些自定義配置項��,用戶可以配置自己的網(wǎng)絡(luò)是否公開�����、Portal認(rèn)證頁面與收費策略���。
[0069]上面所述的身份認(rèn)證系統(tǒng)支持標(biāo)準(zhǔn)的Portal協(xié)議(vl.0&V2.0)����,也就支持市場上大部分廠商的網(wǎng)絡(luò)認(rèn)證設(shè)備�;對于不支持Portal協(xié)議的設(shè)備和其他認(rèn)證服務(wù),可以通過平臺提供的基于HTTP協(xié)議的認(rèn)證接口來支持認(rèn)證����。身份認(rèn)證系統(tǒng)還可以記錄用戶接入的終端設(shè)備信息;對于成功接入過的終端設(shè)備���,當(dāng)該終端設(shè)備下次接入網(wǎng)絡(luò)時,根據(jù)設(shè)備信息自動查找對應(yīng)上網(wǎng)賬號�,實現(xiàn)用戶無感知上網(wǎng)認(rèn)證。
[0070]上述身份認(rèn)證系統(tǒng)通過使用云計算技術(shù)�����,提高了系統(tǒng)的可靠性�,高擴展性,能夠滿足海量用戶的訪問請求����。通過使用云計算技術(shù),認(rèn)證平臺可以以較低的成本對外提供服務(wù)����。上述身份認(rèn)證系統(tǒng)對外提供開放、標(biāo)準(zhǔn)�、安全的身份認(rèn)證服務(wù)。平臺接口完全開放�����,企業(yè)、個人只需采購網(wǎng)絡(luò)設(shè)備�����,部署網(wǎng)絡(luò)����,簡單配置認(rèn)證服務(wù)域即可使用認(rèn)證平臺提供的認(rèn)證服務(wù)。節(jié)省了企業(yè)搭建或采購認(rèn)證系統(tǒng)的費用�����,降低了企業(yè)后期維護系統(tǒng)的成本���,同時也為企業(yè)提供了安全可靠的網(wǎng)絡(luò)環(huán)境。
[0071]上述身份認(rèn)證系統(tǒng)配置靈活�����,可對單個AP配置管理策略(收費���、Portal頁面)�����,用戶可以根據(jù)需求自行配置Portal推送頁面的內(nèi)容���,系統(tǒng)對于商家用戶來說�����,有著本地化商業(yè)推廣的價值;還可以統(tǒng)一管理上網(wǎng)用戶�,認(rèn)證用戶可以在接入認(rèn)證系統(tǒng)的網(wǎng)域內(nèi)漫游(子網(wǎng)可配置公開或私有)����,自動認(rèn)證上網(wǎng)。
[0072]上述身份認(rèn)證系統(tǒng)還可以搭配終端網(wǎng)絡(luò)行為管理網(wǎng)關(guān)�����,對用戶上網(wǎng)行為進行審計���。終端網(wǎng)關(guān)記錄用戶上網(wǎng)日志���,并上傳日志到服務(wù)器供其他系統(tǒng)使用分析用戶的上網(wǎng)偏好,既有一定的社會公共安全價值����,同時也為用戶行為分析提供了原始數(shù)據(jù)�,為大數(shù)據(jù)分析和挖掘提供了很高的參考價值�����。
[0073]以上所述實施例的各技術(shù)特征可以進行任意的組合�,為使描述簡潔,未對上述實施例中的各個技術(shù)特征所有可能的組合都進行描述�,然而,只要這些技術(shù)特征的組合不存在矛盾��,都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍�����。
[0074]以上所述實施例僅表達了本發(fā)明的幾種實施方式��,其描述較為具體和詳細��,但并不能因此而理解為對發(fā)明專利范圍的限制�����。應(yīng)當(dāng)指出的是�,對于本領(lǐng)域的普通技術(shù)人員來說����,在不脫離本發(fā)明構(gòu)思的前提下����,還可以做出若干變形和改進�,這些都屬于本發(fā)明的保護范圍。因此�����,本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準(zhǔn)����。
【主權(quán)項】
1.一種基于SaaS身份認(rèn)證方法,其特征在于���,包括如下步驟: 對采用標(biāo)準(zhǔn)的Portal協(xié)議獲取的各個用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求進行解析���,得到所述用戶的網(wǎng)絡(luò)參數(shù);其中,所述網(wǎng)絡(luò)參數(shù)包括用戶接入網(wǎng)絡(luò)控制器的IP地址和用戶終端設(shè)備接入點的MAC地址��; 根據(jù)所述用戶的網(wǎng)絡(luò)參數(shù)�����,獲取所述用戶終端設(shè)備綁定的賬戶信息; 將所述賬戶信息發(fā)送至計費系統(tǒng)�,并從計費系統(tǒng)獲取所述用戶的權(quán)限信息; 若所述權(quán)限信息為有權(quán)狀態(tài)����,則判定所述用戶的身份認(rèn)證成功,并返回認(rèn)證成功的通知信息給用戶�。2.根據(jù)權(quán)利要求1所述的基于SaaS身份認(rèn)證方法,其特征在于����,在所述對采用標(biāo)準(zhǔn)的Portal協(xié)議獲取的各個用戶訪問門戶網(wǎng)站時發(fā)送的身份認(rèn)證請求進行解析的步驟之前,還包括: 根據(jù)SaaS各個服務(wù)器的負(fù)載狀況�,將用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析。3.根據(jù)權(quán)利要求1所述的基于SaaS身份認(rèn)證方法����,其特征在于,還包括: 采用基于網(wǎng)絡(luò)傳輸協(xié)議的擴展認(rèn)證接口獲取不支持Portal協(xié)議的網(wǎng)絡(luò)認(rèn)證設(shè)備的身份認(rèn)證請求���。4.根據(jù)權(quán)利要求1所述的基于SaaS身份認(rèn)證方法,其特征在于�,所述計費系統(tǒng)獲取所述用戶的權(quán)限信息的步驟包括: 若所述用戶采用的計費模式為免費模式,則所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為有權(quán)狀態(tài); 若所述用戶采用的計費模式為收費模式且賬戶余額不為零��,則所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為有權(quán)狀態(tài)�; 若所述用戶采用的計費模式為收費模式且賬戶余額為零,則所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)�。5.根據(jù)權(quán)利要求2所述的基于SaaS身份認(rèn)證方法,其特征在于����,所述將用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析的步驟包括: 采用輪詢、基于用戶訪問IP哈希以及指定權(quán)重的方式將用戶訪問網(wǎng)站時發(fā)送的身份認(rèn)證請求分發(fā)至負(fù)載較低的服務(wù)器進行解析����。6.根據(jù)權(quán)利要求5所述的基于SaaS身份認(rèn)證方法,其特征在于��,還包括: 采用異步非阻塞的網(wǎng)絡(luò)1模型和epoll輪詢的方式對所述身份認(rèn)證請求進行處理����;以及 采用協(xié)同程序的方式處理在處理身份認(rèn)證請求時不同任務(wù)之間的切換。7.根據(jù)權(quán)利要求4所述的基于SaaS身份認(rèn)證方法�,其特征在于,在所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)的步驟之后���,還包括: 判定所述用戶的身份認(rèn)證失敗�,并返回認(rèn)證失敗的錯誤信息給用戶。8.根據(jù)權(quán)利要求4所述的基于SaaS身份認(rèn)證方法���,其特征在于�����,在所述計費系統(tǒng)獲取所述用戶的權(quán)限信息為無權(quán)狀態(tài)的步驟之后���,還包括: 加載與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板,生成相應(yīng)的頁面文件����,并顯示給用戶。9.根據(jù)權(quán)利要求7所述的基于SaaS身份認(rèn)證方法�����,其特征在于��,在所述加載與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板的步驟之前����,還包括: 根據(jù)所述用戶終端設(shè)備接入點的MAC地址,生成相應(yīng)的配置信息����;以及將所述配置信息添加至門戶頁面,生成與所述用戶終端設(shè)備接入點的MAC地址相匹配的門戶頁面模板����。10.根據(jù)權(quán)利要求1所述的基于SaaS身份認(rèn)證方法,其特征在于�,還包括: 存儲身份認(rèn)證成功的用戶的終端設(shè)備信息,當(dāng)身份認(rèn)證成功的用戶再次認(rèn)證時���,直接給予認(rèn)證授權(quán)��,并返回超文本傳送協(xié)議的跳轉(zhuǎn)指令�,控制瀏覽器返回用戶終端設(shè)備認(rèn)證前訪問的統(tǒng)一資源定位符地址����。
【文檔編號】H04L29/08GK105871851SQ201610207313
【公開日】2016年8月17日
【申請日】2016年3月31日
【發(fā)明人】徐佳
【申請人】廣州中國科學(xué)院計算機網(wǎng)絡(luò)信息中心, 中國科學(xué)院計算機網(wǎng)絡(luò)信息中心