一种AAA认证方法和装置与流程

一种aaa认证方法和装置
技术领域
1.本发明涉及网络通信技术领域，尤其是一种aaa认证方法和装置。


背景技术：

2.aaa指的是authentication鉴别，authorization授权， accounting记账。自网络诞生以来，认证、授权以及计费体制aaa 就成为其运营的基础。网络中各类资源的使用，需要由认证、授权和计费进行管理。而aaa的发展与变迁自始至终都吸引着营运商的目光。
3.对于一个商业系统来说，鉴别是至关重要的，只有确认了用户的身份，才能知道所提供的服务应该向谁收费，同时也能防止非法用户对网络进行破坏。在确认用户身份后，根据用户开户时所申请的服务类别，系统可以授予客户相应的权限。最后，在用户使用系统资源时，需要有相应的设备来统计用户所对资源的占用情况，据此向客户收取相应的费用。
4.运营商网络是一个由路由交换设备组成的业务承载网，因此网络设备的安全对网络的安全至关重要。aaa管理即是对网络设备的认证、授权和记帐管理，保障对网络设备的安全访问。
5.这就需要一种方法，完成aaa智能认证。以满足网络系统对用户鉴别、授权、记账的要求。
6.aaa认证涉及tacacs即terminal access controlleraccess
‑
control system plus，终端访问控制器访问控制系统，tacacs 在rfc 1492中定义，默认使用tcp或udp协议的49端口。
7.tacacs+基于tacacs，但是，尽管名字如此，它是一个全新的协议，与之前的tacacs并不兼容，在最近构建或更新的网络中，tacacs+ 已经广泛地取代了早先的协议。


技术实现要素：

8.为解决目前存在的上述问题，本发明提供一种aaa认证方法和装置，利用tacacs+协议，满足运营商用户的aaa智能认证需求。
9.为实现上述目的，本发明采用下述技术方案：
10.在本发明一实施例中，提出了一种aaa认证方法，该方法包括：
11.s01、对aaa服务器的配置文件的管理，通过操作界面上设置，增加在aaa上的用户，以此实现aaa上面的用户的统一管理；
12.s02、对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。
13.进一步地，s01中操作界面上设置流程，包括：
14.s011、配置tacacs系统管理员，tacacs系统管理员是具有特殊权限的用户，它对tacacs所有的设备组和用户组都有配置权限；
15.s012、启动aaa进程，进行各种角色或设备组或用户组的配置；
16.s013、配置角色，对顶级节点管理权限的系统帐号配置角色；
17.s014、配置设备组，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；
18.s015、配置用户组，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；
19.s016、配置用户，组管理员指定用户为本组tacacs用户，实现通过该用户登录、维护路由器设备；
20.s017、用户组角色管理，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。
21.进一步地，s013中角色包括权限级别、允许或禁止的命令。
22.进一步地，s014配置设备组时，设备组增加设备，指定设备的 ip地址。
23.进一步地，s02中的对网络设备的日志进行管理包括：
24.s021、设备日志查询，对采集到系统中的tacacs+登录日志信息进行组合条件查询；
25.s022、设备日志统计，统计任意日期段日志组合。
26.进一步地，s021中的组合条件包括但不限于登录用户名、登录到的路由器地址、登录源地址。
27.进一步地，s022中的日志组合，组合条件包括：统计周期、目标地址、登录用户名、源地址和操作命令字符串。
28.在本发明一实施例中，还提出了一种aaa认证装置，该装置包括：
29.aaa管理模块，对aaa服务器的配置文件的管理，通过操作界面上设置，增加在aaa上的用户，以此实现aaa上面的用户的统一管理；
30.设备日志管理模块，对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。
31.进一步地，aaa管理模块包括：
32.配置管理员模块，配置tacacs系统管理员，tacacs系统管理员是具有特殊权限的用户，它对tacacs所有的设备组和用户组都有配置权限；
33.启动aaa进程模块，进行各种角色或设备组或用户组的配置；
34.配置角色模块，对顶级节点管理权限的系统帐号配置角色；
35.配置设备组模块，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；
36.配置用户组模块，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；
37.配置用户模块，组管理员指定用户为本组tacacs用户，实现通过该用户登录、维护路由器设备；
38.用户组角色管理模块，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。
39.进一步地，设备日志管理模块包括：
40.设备日志查询模块，对采集到系统中的tacacs+登录日志信息进行组合条件查询；
41.设备日志统计模块，统计任意日期段日志组合。
42.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述aaa认证方法。
43.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行aaa认证方法的计算机程序。
44.有益效果：
45.本发明利用tacacs+协议，满足运营商用户的aaa智能认证需求。
46.1、认证方面
47.采用“用户(用户组)+设备组＝>角色”模型，具有如下特性：
48.支持灵活的角色定义，可以在角色中配置权限级别、指定可以执行或拒绝的命令集(支持正则表达式)、配置默认的允许/拒绝开关。支持思科、华为、中兴、烽火、阿朗等主流厂商设备，支持自定义加权级别。
49.支持灵活的设备组定义，用户可将需要有相同管理特性的设备放在一组中，并可为组指定认证密钥和使能口令等属性。设备组管理支持设备组的嵌套定义和设备的批量添加。
50.支持灵活的用户、用户组定义，用户组在不同的设备组上可具有不同的角色，不同的访问权限。用户属于用户组，并通过用户组获取对不同设备的不同访问权限。用户不能访问用户组中指定的设备组范围之外的设备。
51.2、授权方面
52.支持用户权限的逐级授权机制，用户能够将其拥有的全部或部分设备访问权限授予其下级用户。
53.支持设备访问用户统一管理，即用户使用相同的帐号、密码访问网络设备。
54.3、记帐方面
55.本发明能够收集用户在网络设备的操作信息，并导入到存储模块中。这样可以对操作信息进行查询、统计和订阅，实现对用户操作的审核跟踪。
附图说明
56.图1是本发明一实施例的aaa认证方法流程示意图；
57.图2是图1中s01的流程示意图；
58.图3是图1中s02的流程示意图；
59.图4是本发明一实施例的aaa认证装置结构示意图；
60.图5是图4中aaa管理模块的示意图；
61.图6是图4中设备日志管理模块的示意图；
62.图7是配置管理员模块的操作界面示意图；
63.图8是配置角色模块的操作界面示意图；
64.图9是配置设备组模块的操作界面示意图；
65.图10是配置用户组模块的操作界面示意图；
66.图11是配置用户模块的操作界面示意图；
67.图12是用户组角色管理模块的操作界面示意图；
68.图13是设备日志查询模块的操作界面示意图；
69.图14是设备日志统计模块的操作界面示意图；
70.图15是本发明一实施例的计算机设备结构示意图。
具体实施方式
71.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
72.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
73.根据本发明的实施方式，提出了一种aaa认证方法和装置，满足网络系统对用户鉴别、授权、记账的要求。
74.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
75.图1是本发明一实施例的aaa认证方法流程示意图。如图1所示，该方法包括：
76.s01、对aaa服务器的配置文件的管理，通过操作界面上设置，增加在aaa上的用户，以此实现aaa上面的用户的统一管理；
77.s02、对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。
78.如图2所示，s01中操作界面上设置流程，包括：
79.s011、配置tacacs系统管理员，tacacs系统管理员是具有特殊权限的用户，它对tacacs所有的设备组和用户组都有配置权限；
80.s012、启动aaa进程，进行各种角色或设备组或用户组的配置；
81.s013、配置角色，只有对顶级节点管理权限的系统帐号才可以配置角色。角色是权限级别和一组允许、禁止的命令集合；
82.s014、配置设备组，设备组可以嵌套定义，比如各地市配置好设备组后，省的设备组可以直接由相应的地市设备组组成。设备组的 tacacs key要与设备上实际配置的tacacs key一致。在为设备组增加设备时，要求指定设备的ip地址；
83.s015、配置用户组，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；
84.s016、配置用户，组管理员指定用户为本组tacacs用户，实现通过该用户登录、维护路由器设备；
85.s017、用户组角色管理，为用户组分配在不同设备组上的角色，省用户组对本省设备有配置权限，对其他省设备有查看权限。即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。
86.s013中角色包括权限级别、允许或禁止的命令；s013提及的节点是树状结构的，顶
级节点是树状的顶级根节点，节点的最高权限。
87.为了对上述s01进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
88.cisco路由器为例：
89.主要配置如下内容：
90.aaa authentication login default local group tacacs+// 登陆认证
91.aaa authentication enable default group tacacs+ //enable认证
92.aaa authorization exec default local group tacacs+// 执行命令权限认证
93.aaa authorization commands 15default local group tacacs+
94.aaa accounting exec default start
‑
stop group tacacs+// 配置记账日志记录启动的shell程序日志
95.aaa accounting commands 15default start
‑
stop group tacacs+//记账日志记录的命令等级
96.aaa session
‑
id common
97.tacacs
‑
server host 192.168.6.21key key123
98.如图3所示，s02中的对网络设备的日志进行管理包括：
99.s021、设备日志查询，对采集到系统中的tacacs+登录日志信息进行组合条件查询；可按登录用户名、登录到的路由器地址、登录源地址等等进行分组；可以设置复杂的过滤条件，以过滤各种不关心的命令；
100.s022、设备日志统计，统计任意日期段日志组合，统计可以按周、月或任意日期段进行，组合条件包括：统计周期、目标地址、登录用户名、源地址和操作命令字符串。
101.s021中的组合条件包括但不限于登录用户名、登录到的路由器地址、登录源地址。
102.s022中的日志组合，组合条件包括：统计周期、目标地址、登录用户名、源地址和操作命令字符串。
103.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
104.上述涉及到的名称解释如下：
105.aaa指的是authentication鉴别，authorization授权， accounting记账。
106.tacacs key：认证码，认证码是自定义的。
107.enable：使能。
108.基于同一发明构思，本发明还提出一种aaa认证装置。该装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
109.图4是本发明一实施例的aaa认证装置结构示意图。如图4所示，该装置包括：
110.超aaa管理模块110，对aaa服务器的配置文件的管理1，通过操作界面上设置，增加在aaa上的用户，以此实现aaa上面的用户的统一管理；
111.设备日志管理模块120，对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。
112.如图5所示，aaa管理模块110包括：
113.配置管理员模块111，配置tacacs系统管理员，tacacs系统管理员是具有特殊权限的用户，它对tacacs所有的设备组和用户组都有配置权限；图7是配置管理员模块111的操作界面示意图。
114.启动aaa进程模块112，进行各种角色或设备组或用户组的配置。
115.配置角色模块113，对顶级节点管理权限的系统帐号配置角色；图8是配置角色模块113的操作界面示意图。
116.配置设备组模块114，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；图9是配置设备组模块114的操作界面示意图。
117.配置用户组模块115，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；图10是配置用户组模块115的操作界面示意图。
118.配置用户模块116，组管理员指定用户为本组tacacs用户，实现通过该用户登录、维护路由器设备；图11是配置用户模块116的操作界面示意图。
119.用户组角色管理模块117，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。图12是用户组角色管理模块117 的操作界面示意图。
120.如图6所示，设备日志管理模块120包括：
121.设备日志查询模块121，对采集到系统中的tacacs+登录日志信息进行组合条件查询；图13是设备日志查询模块121的操作界面示意图。
122.设备日志统计模块122，统计任意日期段日志组合。图14是设备日志统计模块122的操作界面示意图。
123.应当注意，尽管在上文详细描述中提及了aaa认证装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
124.基于前述发明构思，如图15所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230 时实现前述aaa认证方法。
125.基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述aaa认证方法的计算机程序。
126.本发明提出的aaa认证方法及装置，通过云化部署，运用原子能力封装，批量接收超宽带开通工单，批量快速配置超宽带开通业务，降低能耗，提高开通效率，提高开通成功率。
127.虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和
范围内所包含的各种修改和等同布置。
128.对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。