[发明专利]一种透明场景下实现用户认证的方法

权利要求书

1.一种透明场景下实现用户认证的方法，其特征在于，包括以下步骤：

步骤S1：用户发起资源请求并发送用户流量，在安全设备的策略匹配模块中根据预先创建的匹配策略信息对用户流量中的特征信息进行匹配，匹配成功后将特征信息上报至用户认证处理模块，所述特征信息包括但不限于七元组信息，所述七元组信息包括SMAC信息、DMAC信息、SIP信息、DIP信息、服务信息、源端口号信息和目的端口号信息；

步骤S2：安全设备的认证处理模块接收到用户流量的特征信息后对用户进行认证处理，认证处理模块构造认证报文时提取用户流量的特征信息中的DIP信息作为认证报文的SIP，将认证报文发送给用户，同时认证处理模块计算出用户响应的认证报文的特性信息，并将该特性信息下发到策略匹配模块，策略匹配成功后将报文上报到认证处理模块，当用户响应的认证报文返回到安全设备时，认证处理模块会收到这些报文，并提取报文的认证信息，对比认证信息库判断用户是否认证通过；

步骤S3：用户返回的认证报文中的认证信息比对成功后认为用户认证通过，认证处理模块会将用户流量特性信息对应在策略匹配模块中的策略设置为放行，用户发起资源请求，只要匹配用户流量特性信息的数据流均认为是认证通过的流量，用户可以正常的对资源进行访问；如果用户返回的认证报文比对失败会认为认证不通过，认证处理模块会将用户流量特性信息对应的策略在策略匹配模块的行为设置为丢弃，此时用户将无法访问资源。

2.根据权利要求1所述的一种透明场景下实现用户认证的方法，其特征在于，所述步骤S1包括： 在策略匹配模块上创建匹配策略信息识别需要完成用户认证的用户流量，所述匹配策略信息包括MAC信息、IP信息、服务类型信息、TCP的端口号信息和UDP的端口号信息；当用户流量进入策略匹配模块时，使用用户认证报文中的用户认证信息去匹配配置认证策略信息，匹配后提取用户流量中的特征信息； 策略匹配模块将匹配上认证策略的流量的特征信息上报给用户认证处理模块。

3.根据权利要求2所述的一种透明场景下实现用户认证的方法，其特征在于，所述步骤S2包括： 认证处理模块构造认证报文，不需要使用接口IP也不需要在安全设备上创建虚拟IP，直接使用用户流量中的DIP作为认证报文的SIP； 认证处理模块在发送认证报文后，根据认证报文的特征计算用户响应的认证报文的特征，将该特征下发一条匹配信息到策略匹配模块，使得匹配特性的认证报文能上报到认证处理模块。

4.根据权利要求3所述的一种透明场景下实现用户认证的方法，其特征在于，包括： 被认证设备收到认证处理模块提供的认证报文时，被认证设备向认证处理模块发送认证的响应报文，并携带关键的认证信息，所述认证信息包括用户名信息、密码信息和SN信息； 认证处理模块收到被认证设备的响应报文时，所述响应报文的特征信息会匹配上被认证设备上配置的策略，所述策略将用户流量转向认证处理模块。

5.根据权利要求1所述的一种透明场景下实现用户认证的方法，其特征在于，步骤S3包括： 认证处理模块接收到认证报文时，提取认证报文中的认证信息，根据认证信息对比本地资源或者服务器资源，对比通过后认为认证通过，将特征信息对应的策略配置为直接转发； 如果认证处理模块对比认证信息失败后再次与被认证设备进行确认认证信息，多次尝试认证失败后将该被认证设备静默一段时候后重新进行认证。