在组织单位域中进行认证的方法及系统

摘要

本发明实施方式提供一种在组织单位域中进行认证的方法及认证系统，其中，所述方法包括：获取预先配置于连接式网络存储设备中的组织单位信息，所述组织单位信息中包括用户账号与组织单位标识之间的关联关系；接收云网络管理中心发来的针对预设服务集标识的用户认证请求，所述用户认证请求中包括目标用户标识；在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息，并根据查询结果对所述用户认证请求进行处理。本发明实施方式提供的一种能够在组织单位域中进行认证的方法及认证系统，能够提高信息认证的适用性。

说明书

技术领域

本发明实施方式涉及网络通信技术领域，尤其涉及一种在组织单位域中进行认证的方法及认证系统。

背景技术

随着网络通信技术的不断发展，人们越来越习惯于利用无线网络获取网络资源。在人口比较密集的区域，例如商场、公司、学校等，通常需要设置多个无线网络，以满足大量人员的需求。目前，通常可以通过云管理平台对多个无线网络进行管理。在云管理平台中，可以监控各个无线网络的连接数、流量、异常数据等。在一些公司内部，为了保证公司的资源能够在员工之间共享，同时又要保证公司资源不会被外部人员访问，可以在云管理平台中对用户账号设置权限。

活动目录(AD，active directory)通过windows系统上轻量目录访问协议(LDAP，Lightweight Directory Access Protocol)实现。AD动态的建立整个域模式网络中的对象的数据库或索引，安装了AD的服务器称为域控制器(DC，Domain Controller)，存储整个域的对象的信息并周期性更新，其中对象分为三大类：资源(如印表机)、服务(如电子邮件)、和人物(即帐户或用户，以及组)。AD提供这些对象的信息，组织这些对象、控制访问并且设置安全等级。每个对象代表一个单个实体，无论是一个用户、一台电脑、一台印表机、或者一个共享数据源及该实体的各种属性。

LDAP的基本模型是建立在条目(Entry)的基础上。一个条目是一个或多个属性的集合，并且具有一个全局唯一的可区分名称，一个域具有单一的域名，域中包含的对象可以被编组到成为组织单位(OU，Organizational Unit)的容器中。OU给域提供了一个便于管理的层次，也提供了一个对AD中的公司的逻辑组织结构和实际地理结构的较直观一些的表示。OU还可以再包含子OU，进而可以包含多层级嵌套的OU。

在实施本发明的过程中，发明人发现现有技术至少存在如下问题：

在当前的云管理平台中，通常会将用户账号设置在根域中，这样，云管理平台便可以对根域中的用户账号进行控制。但是，为了便于管理，通常可以在根域中划分多个组织单位。现有的云管理平台通常只支持对根域中的用户账号进行认证，但不支持对组织单位域中的用户账号进行认证。

应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

针对上述问题，本发明实施方式的目的在于提供一种在组织单位域中进行认证的方法及系统，以提高信息认证的适用性。

为实现上述目的，本发明实施方式提供一种在组织单位域中进行认证的方法，包括：获取预先配置于连接式网络存储设备中的组织单位信息，所述组织单位信息中包括用户账号与组织单位标识之间的关联关系；接收云网络管理中心发来的针对预设服务集标识的用户认证请求，所述用户认证请求中包括目标用户标识；在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息，并根据查询结果对所述用户认证请求进行处理。

进一步地，获取预先配置于连接式网络存储设备中的组织单位信息包括：接收连接式网络存储设备发来的通信报文，所述通信报文中包括预设认证字段，所述预设认证字段中的内容用于限定用户账号所属的根域以及所属的组织单位。

进一步地，所述组织单位信息按照下述方式进行配置：针对各个服务集标识，统计允许连接服务集标识的用户账号集，所述用户账号集中的各个用户账号通过活动目录进行存储；将每个所述活动目录划分为至少一个组织单位，并将所述用户账号集中的用户账号分配于各个组织单位中，以形成用户账号与组织单位标识之间的关联关系；通过云网络管理中心，将所述用户账号与组织单位标识之间的关联关系配置到连接式网络存储设备中。

进一步地，在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息包括：通过内置的Jar包，对所述用户认证请求中的目标用户标识进行处理，以确定所述目标用户标识是否存在于组织单位中。

进一步地，根据查询结果对所述用户认证请求进行处理包括：当所述目标用户标识不存在于组织单位中时，返回认证失败的提示信息。

进一步地，所述方法还包括：当所述目标用户标识存在于组织单位中时，判断所述目标用户标识是否属于所述预设服务集标识对应的根域中；当所述目标用户标识属于所述预设服务集标识对应的根域中时，对所述目标用户账号开通连接所述预设服务集标识的权限，所述权限包括限定时长权限或限定流量权限。

为实现上述目的，本发明实施方式还提供一种在组织单位域中进行认证的系统，包括：组织单位信息获取单元，用于获取预先配置于连接式网络存储设备中的组织单位信息，所述组织单位信息中包括用户账号与组织单位标识之间的关联关系；用户认证请求接收单元，用于接收云网络管理中心发来的针对预设服务集标识的用户认证请求，所述用户认证请求中包括目标用户标识；认证处理单元，用于在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息，并根据查询结果对所述用户认证请求进行处理。

本发明实施方式提供的一种在组织单位域中进行认证的方法及系统，通过对现有的认证系统进行改进，可以在连接式网络存储设备中配置与用户账号相关的组织单位信息，这样，在接收到用户的认证请求后，可以先在组织单位域中对用户账号进行认证。进一步地，认证系统与连接式网络存储设备进行通信时，可以基于预设字段进行组织单位信息的传递，并可以通过Jar包对组织单位信息进行认证，从而实现在组织单位域中进行用户认证的过程。

附图说明

为了更清楚地说明本发明实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图逐一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施方式中用户认证的系统框架图；

图2为本发明实施方式提供的一种在组织单位域中进行认证的方法流程图；

图3为本发明实施方式提供的一种在组织单位域中进行认证的系统的模块图。

具体实施方式

为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

本发明实施方式提供一种在组织单位域中进行认证的方法，所述方法可以应用于用户认证系统中。请参阅图1，所述用户认证系统可以包括客户端1、云网络管理中心2、认证源3、认证系统4以及网络资源服务器5。

在本实施方式中，客户端1可以向云网络管理中心2发送用户的认证请求，所述认证请求可以是针对预设服务集标识(Service Set Identifier，SSID)发出的。具体地，用户通过客户端，可以搜索到多个SSID，然后用户可以选择待连接的SSID，从而可以针对该待连接的SSID向云网络管理中心2发出认证请求。在所述认证请求中，可以携带该用户的目标用户标识。在本实施方式中，所述目标用户标识可以是用户在云网络管理中心内预先注册的账号，也可以是所述客户端的IP地址或者MAC地址。

在本实施方式中，云网络管理中心2在接收到用户的认证请求后，可以将该认证请求转发给认证系统4。这样，认证系统4便可以接收云网络管理中心发来的针对预设服务集标识的用户认证请求，并对所述认证请求进行处理。

在本实施方式中，可以对所述认证系统4进行改进。具体地，所述认证系统4中可以包括Radius服务器，该Radius服务器可以基于Freeradius server安装的。

在本实施方式中，可以预先在连接式网络存储(Network Attached Storage，NAS)设备中配置各个SSID对应的组织单位信息。具体地，所述NAS设备可以是单独的一个设备，也可以是位于所述认证源3中的一个模块。

在本实施方式中，对于不同的SSID，可以预先确定能够连接SSID的用户账号。这样，每个SSID便可以对应一个用户账号集，只有位于用户账号集中的用户账号才能正常连接对应的SSID。这样，在生成各个SSID对应的组织单位信息时，可以针对各个SSID，统计允许连接SSID的用户账号集。

在本实施方式中，各个用户账号集中的用户账号可以分别通过活动目录(activedirectory，AD)进行存储。所述AD可以对用户账号进行实时更新，例如可以增加新注册的用户账号、删除过期的用户账号、更改用户账号对应的权限等。

在本实施方式中，为了便于对用户账号进行管理，可以将每个AD划分为至少一个OU。其中，划分的OU中还可以继续包含子OU，从而形成多层级嵌套的OU。

在本实施方式中，在将AD划分为多个OU之后，可以根据用户账号对应的权限，将用户账号分配于各个OU中。其中，具备相同权限的用户账号可以分配于同一个OU中。这样，通过对不同的OU进行管理，便可以实现对用户账号进行分层级管理。

在本实施方式中，在向OU中分配了用户账号之后，可以建立用户账号与组织单位标识之间的关联关系。其中，所述组织单位标识可以用于唯一表示组织单位的字符串。这样，可以通过云网络管理中心，将所述用户账号与组织单位标识之间的关联关系配置到NAS设备中，从而在NAS设备中配置各个SSID对应的OU信息。

在本实施方式中，NAS设备与认证系统4之间进行数据交互时，可以通过预设认证字段来传递OU信息。具体地，所述预设认证字段可以是NAS-Identifier字段，该字段中的内容可以用于限定用户账号所属的根域以及所属的组织单位。这样，认证系统可以接收NAS设备发来的通信报文，所述通信报文中可以包括NAS-Identifier字段，这样，认证系统从而可以获取预先配置的OU信息。在本实施方式中，认证系统在获取配置的OU信息时，可以通过对Radius服务器中sites-enabled的inner-tunnel模块进行改进来实现。

在本实施方式中，认证系统在接收到用户认证请求时，可以在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息，并根据查询结果对所述用户认证请求进行处理。具体地，可以通过内置的Jar包对所述用户认证请求中的目标用户标识进行处理，以确定所述目标用户标识是否存在于组织单位中。

具体地，当所述目标用户标识不存在于组织单位中时，表明所述目标用户标识没有预先在云网络管理中心内进行注册，从而可以返回认证失败的提示信息。

当所述目标用户标识存在于组织单位中时，则表明该目标用户标识已经在云网络管理中心内进行注册了。此时，可以进一步判断该目标用户标识在哪个根域中，从而可以确定该目标用户标识应当连接至哪个SSID。具体地，可以判断所述目标用户标识是否属于预设SSID对应的根域中，当所述目标用户标识属于所述预设SSID对应的根域中时，则可以对所述目标用户账号开通连接所述预设SSID的权限，这样，用户则可以通过连接所述预设SSID来访问网络资源服务器5中的网络资源。在本实施方式中，所述权限可以包括限定时长权限或限定流量权限，从而限定用户访问资源的时间或者访问资源的流量。

请参阅图2，本发明实施方式提供的在组织单位域中进行认证的方法可以包括以下步骤。

S1：获取预先配置于连接式网络存储设备中的组织单位信息，所述组织单位信息中包括用户账号与组织单位标识之间的关联关系；

S2：接收云网络管理中心发来的针对预设服务集标识的用户认证请求，所述用户认证请求中包括目标用户标识；

S3：在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息，并根据查询结果对所述用户认证请求进行处理。

请参阅图3，本发明实施方式还提供一种在组织单位域中进行认证的系统，包括：

组织单位信息获取单元100，用于获取预先配置于连接式网络存储设备中的组织单位信息，所述组织单位信息中包括用户账号与组织单位标识之间的关联关系；

用户认证请求接收单元200，用于接收云网络管理中心发来的针对预设服务集标识的用户认证请求，所述用户认证请求中包括目标用户标识；

认证处理单元300，用于在预先配置的所述组织单位信息中查询是否存在与所述目标用户标识相关联的目标组织单位信息，并根据查询结果对所述用户认证请求进行处理。

在本发明实施方式中，所述组织单位信息获取单元100包括：

用户账号集统计模块，用于针对各个服务集标识，统计允许连接服务集标识的用户账号集，所述用户账号集中的各个用户账号通过活动目录进行存储；

组织单位划分模块，用于将每个所述活动目录划分为至少一个组织单位，并将所述用户账号集中的用户账号分配于各个组织单位中，以形成用户账号与组织单位标识之间的关联关系；

配置模块，用于通过云网络管理中心，将所述用户账号与组织单位标识之间的关联关系配置到连接式网络存储设备中。

在本发明实施方式中，所述认证处理单元300包括：

Jar包处理模块，用于通过内置的Jar包，对所述用户认证请求中的目标用户标识进行处理，以确定所述目标用户标识是否存在于组织单位中。

在本发明实施方式中，所述认证处理单元300还包括：

根域判断模块，用于当所述目标用户标识存在于组织单位中时，判断所述目标用户标识是否属于预设服务集标识对应的根域中；

认证通过模块，用于当所述目标用户标识属于所述预设服务集标识对应的根域中时，对所述目标用户账号开通连接所述预设服务集标识的权限，所述权限包括限定时长权限或限定流量权限。

本发明实施方式提供的一种在组织单位域中进行认证的方法及系统，通过对现有的认证系统进行改进，可以在连接式网络存储设备中配置与用户账号相关的组织单位信息，这样，在接收到用户的认证请求后，可以先在组织单位域中对用户账号进行认证。进一步地，认证系统与连接式网络存储设备进行通信时，可以基于预设字段进行组织单位信息的传递，并可以通过Jar包对组织单位信息进行认证，从而实现在组织单位域中进行用户认证的过程。

本说明书中的各个实施方式均采用递进的方式描述，各个实施方式之间相同相似的部分互相参见即可，每个实施方式重点说明的都是与其他实施方式的不同之处。

最后应说明的是：上面对本发明的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述，本发明的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此，虽然已经具体讨论了一些另选的实施方式，但是其它实施方式将是显而易见的，或者本领域技术人员相对容易得出。本发明旨在包括在此已经讨论过的本发明的所有替代、修改、和变化，以及落在上述申请的精神和范围内的其它实施方式。