本技术涉及通信,尤其涉及一种aaa认证方法、认证服务器、设备及存储介质。
背景技术:
1、aaa是指认证(authentication)、授权(authorization)和计费(accounting),通过radius协议对网络用户进行身份验证、权限控制和活动审计的技术。
2、随着网络技术,尤其是通信技术的不断发展,网络攻击手段也越来越复杂,传统的aaa认仅需要终端提供匹配的用户名和密码,即可通过认证并进行上网,非法终端窃取了匹配的用户名和密码后,即可通过认证并上网。
3、因此,传统的aaa认证存在安全性较差的问题。
技术实现思路
1、本技术提供一种aaa认证方法、认证服务器、设备及存储介质,该方法能够提高aaa认证的安全性。
2、为达到上述目的,本技术采用如下技术方案:
3、第一方面,本技术提供了一种aaa认证方法,该方法应用于认证服务器,所述认证服务器包括freeradius模块和jradius模块,所述方法包括:
4、所述freeradius模块接收接入控制器发送的接入请求报文,所述接入请求报文携带有目标用户终端发送的目标用户名和目标密码;
5、所述freeradius模块将所述接入请求报文转发给所述jradius模块;
6、所述jradius模块判断所述目标用户名是否属于参考用户名集合,如果所述目标用户名属于参考用户名集合,则判断所述目标用户名对应的用户是否处于生效状态,如果所述目标用户名对应的用户处于生效状态,则验证所述目标用户名与所述目标密码是否匹配,如果所述目标用户名与所述目标密码匹配,则判断所述目标用户名对应的登录数量是否超过第一阈值,如果所述目标用户名对应的登录数量没有超过第一阈值,则判断当前时刻是否在所述目标用户名对应的上网时段内,如果所述当前时刻在所述目标用户名对应的上网时段内,判断所述目标用户名所属于的目标用户组是否有使用所接入的无线网络的权限,如果所述目标用户名所属于的目标用户组有使用所接入的无线网络的权限,则向所述freeradius模块发送认证通过的认证结果;
7、所述freeradius模块根据所述认证结果向所述接入控制器返回接入响应报文。
8、在一些可能的实现方式中,所述接入请求报文还包括所接入的无线网络的目标网络标识;所述判断所述目标用户名所属于的目标用户组是否有使用所接入的无线网络的权限,包括:
9、根据预先配置的用户名和用户组的第一对应关系以及所述目标用户名,获取所述目标用户名所属于的目标用户组;
10、获取与所述目标用户组所关联的网络标识表;
11、如果所述目标网络标识在所述网络标识表中命中,则得到所述目标用户名所属于的目标用户组有使用所接入的无线网络的权限;
12、如果所述目标网络标识在所述网络标识表中命中,则得到所述目标用户名所属于的目标用户组没有使用所接入的无线网络的权限。
13、在一些可能的实现方式中,所述验证所述目标用户名与所述目标密码是否匹配,包括:
14、获取所述用户终端的物理地址、与所述目标用户名对应的第一加密算法以及第一密码;
15、根据所述第一加密算法对所述第一密码和所述物理地址进行处理,得到第二密码;
16、如果所述第二密码与所述目标密码一致,则确定所述目标用户名与所述目标密码匹配;
17、如果所述第二密码与所述目标密码不一致,则确定所述目标用户名与所述目标密码不匹配。
18、在一些可能的实现方式中,在所述jradius模块确定所述目标用户终端认证通过后,所述方法还包括:
19、所述jradius模块获取所述目标用户名对应的目标权限等级,根据所述目标权限等级,确定给所述目标用户终端分配的目标网络带宽;
20、所述jradius模块向所述freeradius模块发送所述目标网络带宽;
21、所述freeradius模块向所述接入控制器发送所述目标网络带宽;
22、所述接入控制器按照所述目标网络带宽,控制所述目标用户终端上线。
23、在一些可能的实现方式中,所述方法还包括:
24、所述freeradius模块接收所述接入控制器发送的计费请求报文;
25、所述freeradius模块将所述计费请求报文转发给所述jradius模块;
26、所述jradius模块根据所述计费请求报文,对所述目标用户名进行计费处理;
27、所述freeradius模块向所述接入控制器发送计费响应报文。
28、在一些可能的实现方式中,所述方法还包括:
29、所述jradius模块判断所述目标用户名对的使用费用是否超过第二阈值,如果所述使用费用是否超过第二阈值,则向所述freeradius模块发送提示信息;
30、所述freeradius模块向所述接入控制器发送所述提示信息;
31、所述接入控制器根据所述提示信息,控制所述目标用户终端下线。
32、在一些可能的实现方式中,所述方法还包括:
33、如果所述目标用户名不属于参考用户名集合,或者,如果所述目标用户名对应的用户不处于生效状态,或者,如果所述目标用户名与所述目标密码不匹配,或者,如果所述目标用户名对应的登录数量超过第一阈值,或者,如果所述当前时刻不在所述目标用户名对应的上网时段内,或者,如果所述目标用户名所属于的目标用户组没有使用所接入的无线网络的权限,则向所述freeradius模块发送认证不通过的认证结果。
34、第二方面,本技术提供了一种认证服务器,包括:freeradius模块和jradius模块;
35、所述freeradius模块,用于接收接入控制器发送的接入请求报文,所述接入请求报文携带有目标用户终端发送的目标用户名和目标密码,将所述接入请求报文转发给所述jradius模块;
36、所述jradius模块,用于判断所述目标用户名是否属于参考用户名集合,如果所述目标用户名属于参考用户名集合,则判断所述目标用户名对应的用户是否处于生效状态,如果所述目标用户名对应的用户处于生效状态,则验证所述目标用户名与所述目标密码是否匹配,如果所述目标用户名与所述目标密码匹配,则判断所述目标用户名对应的登录数量是否超过第一阈值,如果所述目标用户名对应的登录数量没有超过第一阈值,则判断当前时刻是否在所述目标用户名对应的上网时段内,如果所述当前时刻在所述目标用户名对应的上网时段内,判断所述目标用户名所属于的目标用户组是否有使用所接入的无线网络的权限,如果所述目标用户名所属于的目标用户组有使用所接入的无线网络的权限,则向所述freeradius模块发送认证通过的认证结果;
37、所述freeradius模块,用于根据所述认证结果向所述接入控制器返回接入响应报文。
38、第三方面,本技术提供了一种计算设备,包括存储器和处理器;
39、其中,在所述存储器中存储有一个或多个计算机程序,所述一个或多个计算机程序包括指令;当所述指令被所述处理器执行时,使得所述计算设备执行如第一方面中任一项所述的方法。
40、第四方面,本技术提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行如第一方面中任一项所述的方法。
41、由上述技术方案可知,本技术至少具有如下有益效果:
42、在本技术中,认证服务器包括freeradius模块和jradius模块,freeradius模块接收到接入控制器发送的接入请求报文后,将该接入请求报文发送给jradius模块,然后jradius模块对该接入请求报文进行解析,得到用户终端发送的目标用户名和密码,接着对该用户终端进行认证。jradius模块先判断目标用户名是否属于参考用户名集合,如果属于,继续判断目标用户名对应的用户是否处于生效状态,如果处于,则验证目标用户名与密码是否匹配,如果匹配,则判断目标用户名对应的登录数据是否超过第一阈值,如果没超过,则判断当前时刻是否在目标用户名对应的上网时段内,如果在,则判断目标用户名所述的目标用户组是否有使用所接入的无线网网络的权限,如果有权限,则向freeradius模块发送认证通过的认证结果,如果其中一项不满足条件,则退出认证过程。在该认证方法中,不仅仅是依赖于目标用户名和密码,还会对其他的条件进行判断,只有在所有条件都满足的情况下,才会生成认证通过的认证结果,因此,该认证方法能够提高aaa认证的安全性。
43、应当理解的是,本技术中对技术特征、技术方案、有益效果或类似语言的描述并不是暗示在任意的单个实施例中可以实现所有的特点和优点。相反,可以理解的是对于特征或有益效果的描述意味着在至少一个实施例中包括特定的技术特征、技术方案或有益效果。因此,本说明书中对于技术特征、技术方案或有益效果的描述并不一定是指相同的实施例。进而,还可以任何适当的方式组合本实施例中所描述的技术特征、技术方案和有益效果。本领域技术人员将会理解,无需特定实施例的一个或多个特定的技术特征、技术方案或有益效果即可实现实施例。在其他实施例中,还可在没有体现所有实施例的特定实施例中识别出额外的技术特征和有益效果。
1.一种aaa认证方法,其特征在于,应用于认证服务器,所述认证服务器包括freeradius模块和jradius模块,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述接入请求报文还包括所接入的无线网络的目标网络标识;所述判断所述目标用户名所属于的目标用户组是否有使用所接入的无线网络的权限,包括:
3.根据权利要求1所述的方法,其特征在于,所述验证所述目标用户名与所述目标密码是否匹配,包括:
4.根据权利要求1所述的方法,其特征在于,在所述jradius模块确定所述目标用户终端认证通过后,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
8.一种认证服务器,其特征在于,包括:freeradius模块和jradius模块;
9.一种计算设备,其特征在于,包括存储器和处理器;
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行如权利要求1至7任一项所述的方法。
