专利名称:一种单点登录系统、装置及方法
技术领域:
本发明涉及通信网络技术领域,尤其涉及一种单点登录系统及方法。 冊狄电信运营业务需要大量的网络设备硬件和软件来支撑,这些设备硬件和软 件通常分别由多个不同的生产厂家提供,分布在不同的地理位置,登录方式各 异,每个设备都有自身的用户和权限管理功能,大量的登录用户名和口令分布 存储在这些设备之中。随着电信运营商的用户数量和业务种类的不断增多,网络恥漢不断扩大, 设备种类和数量也越来越多。由于网络设备数量爆炸式膨胀,但维护人员的数量有限,维护人员需要同 时维护多台设备,在日常工作中需要登录不同的设备进行配置、测试和相关操 作,维护人员就需要记住大量设备的口令,给维护工作增加了额外的难度。并且,由于厂商的维护人员和运营商不同部门的维护人员,都同时具备对 网络设备的操作权限,设备操作口令繁多,可是当前却缺乏系统的、有效的口令管理,最终导致设备口令丢失、窃取时有发生,口令安全隐患突出;另外, 在用户访问设备的过程中,如果缺乏有效的设备访问日志记录,造成系统无法 追踪用户对设备的操作,导致系统无法察觉用户的非法操作,从而使系统陷入 了不可预计的危险中。传统的设备访问,如图l所示,针对每一台设备,用户都要进行登录、身 份验证、建立连接这样的过程,这就要求用户必须记住每台设备的登录名称和 口令,在电信运营企业,特别是存在大量网络设备需要管理的环境中,如果都 采用这样的登录方式,不仅繁瑣费时,而且需要用户记录下大量的设备口令,
必然存在安全方面的隐患, 一旦口令丟失,或者造成信息泄漏,或者无法正常 登录系统,都会影响到正常的管理工作。基于RADIUS的设备访问,如图2所示,RADIUS是一种分布的客户/服 务器系统,可以实现安全网络,拒绝未经验证的访问。当一个用户试图登录并验证到一个使用了 RADIUS的访问服务器时,会产 生以下步骤输入用户名和密码;用户名和加密的密码经过要访问的设备发送到网络中的RADIUS服务器, 该服务器对该用户进行认证;该用户通过了认证(ACCEPT),或者,该用户没有被认证(REJECT), 允许重新输入用户名和密码,或者,拒绝访问相应设备。连接参数,包括主机、IP地址、访问列表和用户超时。RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩 展性好,所以得到广泛应用。但是由于协议本身的缺陷,比如基于UDP的传 输、简单的丢包机制、没有关于重传的规定和集中式计费服务,都使得它不太 适应当前网络的发展,需要进一步改进。传统意义的单点登录(SSO, Single Sign On),常用于企业、政府内部应 用系统的访问控制,如果企业中有很多应用系统,每个系统都有相应的登录认 证方式,用户进入相应的系统都要输入相应系统的登录信息,非常繁瑣不便。同时,在传统的单点登录系统中,部署Web应用也面临双重的安全挑战。 首先,必须保证只有合法的用户才能访问相应的Web应用资源。其次,实施安 全保护措施时应尽量避免增加用户的负担。随着业务系统的增加,每个用户需 要记住多个口令,访问不同的Web应用系统采用不同的口令。这虽然能够保证 用户对Web资源的合法访问,但增加了用户的负担。 一方面,为了方便记忆, 用户会采用简单的口令或将口令记录下来,这大大降低了应用系统的安全性; 另一方面,用户每访问一个Web应用资源都需要登录一次,这又大大降低了工 作效率。传统的单点登录技术是面向应用而生,不论是普通的系统应用还是Web 应用,传统的单点登录设计都难以实现直接面向设备的单点登录。但是,在电信网管系统中,设备作为最基本的网元之一,很多最重要和最 基本的系统信息都是来自于设备,因此发明建立一个面向设备的单点登录系统 与装置(SASS, Single Access & Security Service),对于设备访问需要实现单 点、接入和安全三个功能就显得格外关键。发明内容本发明提供一种单点登录系统、装置及方法,用以解决现有技术在用户访 问设备时,难以实现直接面向设备的单点登录的问题。本发明系统包括至少一个用户终端、单点登录装置以及至少一个向用户 终端提供服务的网络设备,其中,用户终端,用于向单点登录装置发送访问请求,其中含有要访问的网络设 备标识以及虚拟用户身份信息;单点登录装置,用于保存每个虛拟用户可以访问的网络设备的信息,当收 到访问请求时,如果确定允许该虚拟用户访问所请求的网络设备,则与该用户 终端可以访问的网络设备建立连接;网络设备,用于与所述单点登录装置建立连接。所述的虚拟用户为可以访问单点登录装置的用户,所述虛拟用户身份信息 包括虚拟用户标识和口令,每个虚拟用户可以访问网络设备的信息包括虚拟用户标识与该虛拟用户可以访问的网络设备标识之间的映射关系、虚 拟用户标识和虚拟用户口令的对应关系以及网络设备标识与网络设备口令之 间的对应关系;则所述单点登录装置包括单点登录认证单元,用于保存所述虚拟用户标识与该虛拟用户可以访问的
网络设备标识之间的映射关系;收到访问请求后,从口令管理单元中获取访问 请求虚拟用户标识对应的虚拟用户口令,如果确定访问请求中的虛拟用户口令 与获得的虛拟用户口令一致,以及4艮据所述映射关系确定该用户终端所请求的 是允许访问的设备,则从所述口令管理单元中获取该虛拟用户可以访问的网络 设备标识对应的口令,通过该口令与所述网络设备建立连接;口令管理单元,用于存储所述虛拟用户口令及网络设备口令。所述单点登录认证单元还包括日志管理单元,用于记录所述用户终端的登录信息,和/或外部访问网络设 备的会话,和/或命令,和/或命令执行结果的日志信息。 所述单点登录装置还包括第一协议适配单元,用于接收到所述用户终端的访问请求后,将用户终端 提交的访问信息发送给所述单点登录认证单元,所述的访问信息包括用户终端 要访问的网络设m和所述虚拟用户信息;第二协议适配单元,用于在单点登录认证单元通过对所述用户终端的认证 后,接收单点登录认证单元的请求,从所述设备资源管理单元获取相应的网络 设备信息,并根据该信息与所述网络设备建立连接,并返回通信连接的标识信 息给单点登录认证单元;所述的单点登录认证单元,根据所述通信连接的标识信息建立第二协议适 配单元和第一协议适配单元的数据通信信道,并返回访问请求成功响应消息给 所述用户终端;所述用户终端通过所述数据通信信道与所述网络设备进行数据交互。 所述单点登录装置还包括设备访问多样性处理单元,用于根据不同的网络设备类型,定义不同的模 板,根据网络设备类型信息,通过模板引擎解释相应的模板,得到所述网络设 备的访问格式控制信息,并将该信息发送给所述第二协议适配单元;所述第二协议适配单元根据所述网络设备的访问格式控制信息,发起对所
述网络设备的访问请求。所述单点登录装置还包括外部接口单元,用于向第三方应用系统提供接口;所述的第三方应用系统通过所述外部接口单元与所述设备资源管理单元 和/或所述口令管理单元进行数据共享。 本发明方法包括以下步骤A、 在单点登录装置中建立虚拟用户标识与该虛拟用户可以访问的网络设 备标识之间的映射关系;B、 当单点登录装置收到用户终端的访问请求后,根据所述映射关系,判 断用户终端是否具有访问相关网络设备的权限,如果具有,则建立所述用户终 端可以与要访问的网络设备进行数据交互的数据通信信道。步骤B所述的用户终端访问所述网络设备的过程中,该步骤进一步包括 单点登录装置记录所述用户终端的登录信息,所述登录信息包括所述用户终端的登录请求信息及对相应网络设备的操作信息。 在执行步骤B之后,该方法进一步包括 所述用户终端通过所述单点登录装置与所述网络设备进行通信; 在通信过程中,所述单点登录装置对所述用户终端和所述网络设备的协议进行协议适配。该方法进一步包括预先根据不同的网络设备类型,定义不同的模板,并设置模板引擎; 所述用户终端通过所述单点登录装置与所述网络设备进行通信的步骤包括所述模板引擎是根据网络设备类型信息,解释相应的模板,获得网络设备 的访问格式控制信息,并利用访问格式控制信息访问访问相应的网络设备。本发明方案通过建立虛拟用户标识与该虛拟用户可以访问的网络设备标 识之间的映射关系,用户终端只要发起一个网络设备的连接请求,之后的复杂
连接步骤皆由系统自动地控制和完成,而不用再次手动的输入网络设备的口令,从而起到单点登录及口令保密的作用;本发明装置部署在用户终端和网络设备之间,通过协议适配,可以将用户 终端和网络设备完全隔离,以保证网络设备的访问安全性;本发明装置通过日志统计管理可详细地记录用户终端每次登录网络设备 的活动资料,使维护人员及系统管理员取得各种日志档案以作a和检查;本发明装置通过针对不同的网络设备类型定义不同的模板,通过模板引擎 解释执行相应的模板,获取网络设备的访问格式控制信息,屏蔽网络设备访问 的多样性,为用户终端提供统一的设备访问方式;本发明装置还提供了第三方接口 ,使第三方系统可以通过该接口与本发明 装置进行数据共享。
图1为现有技术中传统的设备访问方式示意图;图2为现有技术中基于RADIUS的设备访问方式示意困;图3为实现本发明系统的结构示意图;图4为实现本发明方法的流程示意图。
具体实施方式
本发明方案的核心思想为通过建立虛拟用户标识与该虚拟用户可以访问 的网络设备标识之间的映射关系,使用户终端只要通过一次登录认证,就可以 登录相关网络设备,从而避免了在登录其他网络设备时进行再次登录的麻烦; 通过协议适配,使外部任意位置的用户对网络设备的访问请求从协议层上终结 在单点登录装置,对网络设备的访问从单点登录装置发起,起到了协议层隔离 的作用。另外,通过实行虚拟用户口令和该虚拟用户可以访问的网络设备口令 的统一管理,以及对口令的加密处理也可以提高设备访问的安全性;对不同的
网络设备定义不同的模板,在访问网络设备时,通过设备类型信息,利用专有 的模板引擎读^目应的模板,并解释执行该模板,实现设备访问多样性的自动 化。所述的虚拟用户为用户终端访问单点登录装置时设置的用户,即该虚拟用户是该单点登录装置的用户;而所述的虚拟用户可以访问的网络设备标识为能够访问网络设备的用户 标识,即该虚拟用户可以访问的网络设备标识是所述网络设备的用户标识;所述的虛拟用户标识与该虚拟用户可以访问的网络设备标识是一对多的 关系,即一个单点登录装置的虚拟用户标识可以对应多个虚拟用户可以访问的 网络设备标识,也就是说一个具有访问所述单点登录装置权限的用户终端可以 通过所述单点登录装置访问不同的网络设备。参照图3,实现本发明所述的单点登录系统包括用户终端31、单点登录 装置32、网络设备33和第三方应用系统34。用户终端31,用于向单点登录装置32发送访问请求,其中含有要访问的 网络设备34的标识以及虛拟用户身份信息;在收到单点登录装置32的登录通 知后,访问自身对应的网络设备33;所述的虚拟用户为可以访问单点登录装置32的用户;所述虚拟用户身份信息包括虛拟用户标识和口令;单点登录装置32,用于保存用户终端31可以访问的网络设备33的信息, 当收到所述用户终端31发送的访问请求时,判断是否允许该用户终端31访问 所请求的网络设备33,如果允许,与该用户终端31可以访问的网络设备33 建立连接,并向该用户终端31发送登录通知;网络设备33,与所述单点登录装置32建立连接,所述用户终端31通过所 述单点登录装置32所建立的数据通道与所述网络设备33进行数据的交互。所述的用户终端31可以访问的网络设备33的信息包括虛拟用户标识与 该虚拟用户可以访问的网络^殳备标识之间的映射关系、虛拟用户标识和虚拟用
户口令的对应关系以及网络设备标识与设备口令之间的对应关系。总体来讲,所述的用户终端31向所述单点登录装置32发起登录请求,单 点登录装置32才艮据虛拟用户标识和虚拟用户口令的对应关系对用户终端31提 供的虚拟用户身份信息进行鉴权,鉴权成功意味着该用户终端31具有访问该 单点登录装置32的权限,则单点登录装置32根据自身存储的虚拟用户标识和 该虚拟用户可以访问的网络设备标识之间的映射关系,在用户终端31请求访 问网络设备33时,判断用户终端31是否有请求访问的网络设备33的权限, 是则所述单点登录装置32根据自身存储的网络设备33的访问信息,包括网络 设备的名称、IP地址和网络设备类型等信息,和网络设备33的用户信息,包 括网络设备33的用户标识和口令之间的对应关系,登录到网络设备33,其中 的口令是经过加密处理的,那么用户终端31就可以通过单点登录装置32访问 网络设备33,在整个用户终端31请求访问网络设备33的过程中,单点登录装 置32记录下用户终端31的登录信息,包括请求登录信息和相关操作信息。进一步,所述的单点登录装置32包括第一协议适配单元321、单点登录 认证单元322、 口令管理单元323、第二协议适配单元324、设备访问多样性处 理单元325及外部接口单元326;所述单点登录认证单元322包括设备资源管理单元3221、用户权限管理 单元3222和日志管理单元3223;所述的设备访问多样性处理单元325包括模板引擎单元3251和模板单 元3252。所述的第一协议适配单元321接收所述用户终端31的访问请求,并进行 协议适配,提取用户终端31的访问信息,包括网络设备33的标识,访问单点 登录装置32的用户和密码信息,并将该信息提交给单点登录认证单元322进 行用户认证和权限控制;其中所述的单点登录装置32的用户为虛拟用户,所 述单点登录认证单元322,保存有所述虛拟用户标识与该虛拟用户可以访问的 网络设备标识之间的映射关系,在用户提出访问本系统的请求时,从口令管理
单元323中获取访问请求虚拟用户标识对应的虚拟用户口令,并判断访问请求 中的虚拟用户口令与获得的虛拟用户口令是否一致,如果不一致,则返回认证 失败响应结果通过第一协议适配单元321返回给用户终端31;如果一致,则说 明该用户终端31具有访问所述单点登录装置32的权限,根据所述映射关系, 继续根据单点登录装置的权限管理规则对用户终端31和要访问的网络设备33 以及网络设备33的用户的关系进行权限鉴别,鉴权失败,则返回鉴权失敗响 应结果通过第一协议适配单元321返回给用户终端31;如果鉴权成功,则从所 述口令管理单元323中获取该虛拟用户可以访问的网络设备33的标识对应的 口令信息,并从设备资源管理单元3221中获得网络设备访问信息,包括网络 设备的名称、IP地址和网络设备类型等信息,并向第二协议适配单元324发送 访问网络设备33的请求,并将所述网络设备访问信息和用户信息发送给第二 协议适配单元324。其中,在各单元的处理过程中,日志管理单元3223进行曰 志记录;第二协议适配单元324,将网络设备类型信息发送给设备访问多样性处理 单元325,设备访问多样性处理单元325接收网络设备类型信息,根据该信息 从模板单元3252中查询获取相应的模板,然后由模板引擎单元3251对所述相 应的模板配置进行解释,获得网络设备访问的格式控制信息,并将该信息返回 给第二协议适配单元324;第二协议适配单元324在获取到所述网络设备访问的格式控制信息后,发 起对网络设备33的访问请求,在建立与网络设备33的通信连接后,返回通信 连接的标识信息给单点登录认证单元322;单点登录认证单元322在接收到第二协议适配单元324的访问请求成功响 应后,建立第二协议适配单元324和第一协议适配单元321的访问连接数据通 信信道,同时返回访问请求成功响应给用户终端31;用户终端31通过建立的访问连接数据通信信道直接与网络设备33进行命 令操作和数据交互,在交互过程中,通过日志管理单元3223记录会话和操作
过程日志信息。用户终端31访问结束后,拆除访问连接数据通信信道。 另外,单点登录装置32维护一套网络设备资源信息,和网络设备访问的 用户及口令信息,在电信运营支撑管理体系中,存在第三方的网络资源管理系 统或第三方的访问设备,即本实施例中所述第三方应用系统34,因此网络设备 资源信息和/或网络设备用户及口令信息需要共享,单点登录装置32通过外部 接口单元326使设备资源管理单元3221和/或口令管理单元323与第三方应用 系统34进行数据共享。其中,所述的映射关系是通过在数据库里建立二维表,将所述虚拟用户标 识和该虚拟用户可以访问的网络设备标识进行映射,减少用户记录太多的账户 和密码,同时又可以使得虛拟用户的口令和网络设备的口令实现统一的维护和管理;所述的登录信息包括用户终端的登录请求信息以及对网络设备进行的操 作信息。所述设备资源管理单元3221 ,用于存储所述系统的网络设备标识以及可以 访问该网络设备的用户标识,包括所述单点登录装置32管理的所有网络设备 以及访问这些网络设备的信息,即所述单点登录装置32都管理了哪些网络设 备,都有哪些用户可以登录这些设备。所述用户权限管理单元3222,在用户终端31提出登录所述单点登录装置 32的请求时,该请求包括虚拟用户的标识和口令,从所述口令管理单元323 中获取访问请求虚拟用户标识对应的虚拟用户口令,并判断访问请求中的虛拟 用户口令与所述用户终端31提出请求时提供的虚拟用户口令是否一致,如果 一致,所述用户终端31具有登录单点登录装置32的权限,则本单元再根据所 述用户终端31提出的网络设备33的访问请求,该请求中包括网络设备33的访问该网络i殳备33的用户标识对应的所述虛拟用户标识,以及该虚拟用户可 以访问的网络设备标识之间的映射关系,判断该用户终端31所请求的是否是 允许访问的网络设备33,如果是,从所述口令管理单元323中获取该虚拟用户 可以访问的网络设备33的标识对应的口令,通过该口令与所述网络设备33建 立连接;其中,所述用户4又限管理单元3222对所述用户^5L限的管理方法可以为将所述系统中的网络设备进行分类,定义不同类型网络设备的登录权限;定义可以访问所述不同类型网络设备的不同角色,即每个角色定义为可对 不同类型设备设备进行登录的权限;定制不同用户的角色,即同一个用户可以同时拥有多个角色,而该用户的 权限等于该多个角色所拥有的权限之和。例如运营商目前拥有五台i殳备分别是1、 2、 3、 4、 5,分属两个部门甲、 乙,甲部门管理设备l、 2和3,乙部门管理设备4和5。甲部门的人员是张三、 乙部门的人员是李四,两个部门都由同一个经理管理。那么根据上面的分析, 要定义两个角色,即甲和乙。角色曱拥有对设备l、 2和3的访问权限,角色 乙拥有对设4和5的访问权限。而用户只能通过归属到角色才能拥有权限,因 此用户张三拥有角色曱的权限,李四拥有角色乙的权限,假设部门来了新员工, 只要把对应的角色分配给他就可以了。对于经理而言,他可以同时拥有两个角 色甲和乙的权限。这样定义的好处在于,无论是新添加用户还是新添加设备, 都不用分别设置用户和设备的对应关系,降低了工作量和出错的几率。那么用户终端通过虚拟用户访问所述单点登录装置32时,根据与用户信 息的对应关系,可以具有不同角色的权限,即可以访问不同类型的网络i殳备。曰志管理单元3223,用于记录所述用户终端31的登录信息,该登录信息 包括用户终端31的登录请求信息及对网络设备33的操作信息;即日志管理单元3223详细地记录用户终端31每次的登录活动资料,如登 录的时间、用户名称,同时也记录用户终端31与网络i殳备33连线和互动的活 动信息,如登录网络设备33的时间、虚拟用户标识、网络设备标识和曾使用
的操作指令。此外,日志管理单元3223还提供介面给维护人员及系统管理员 取得各种日志档案以作备份和检查,使系统管理员可通过浏览器追踪用户终端 31的登录和与网络设备33进行连接的活动。口令管理单元323,用于存储所述虚拟用户口令及所述虚拟用户可以访问 的网络设备33的标识对应的口令,并对所迷口令进行加密处理;该口令管理单元323可以单独设置在一台服务器上,而且只具有与单点登 录认证单元特定的接口,不支持其他访问接口,因此安全性高。电信运维人员处于Internet网络范围内,网络设备位于单独的业务网络中, 为了网络设备的安全,在网络规划和部署中,是禁止Internet网络中的请求直 接访问业务网络中的网络设备的。实际的运維过程中,运维人员直接对设备进行操作,管理和维护是不可避 免的,协议适配单元对网络访问协议进行适配和转换,把来自于Internet的访 问请求在数据内容上不变,在协议处理上进行适配;网络通信和数据交换中, 单点登录装置对于Internet网络的请求是服务器,为Internet的访问请求提供服 务,对于网络设备是客户端,发起对网络设备的访问请求,发送操作命令并获 取执行结果和数据。Internet网对网络设备的访问请求由单点登录装置中的协 议适配单元实现内部的转换和适g己,通过面向网络设备的业务网服务的客户端 应用转发请求到网络设备业务网,从而实现公网用户请求对业务网设备的操 作、管理和维护。单点登录装置中,在面向Internet侧的服务器应用和面向业务网的客户端 应用之间通过内部数据通信管道建立数据信道,数据信道的建立、监视和维护 由单点登录装置根据业务需求和控制策略进行管理,因此在单点登录装置通过 协议适配解决实际需求的同时,还实现了对数据内容的过滤、监视和日志记录, 并可以提供安全机制对信道建立进行控制。单点登录装置支持的协议适配不仅包括对等协议的适配,还支持非对等访 问协议的适配。例如>^网到单点登录装置和单点登录装置到业务网之间都是telnet;或者公网到单点登录装置之间是telnet,单点登录装置到业务网之间是 SSH。外部接口单元326,向第三方系统提供软件接口,实现与第三方资源系统 或者安全管理系统的数据共享。即外部接口单元326是给第三方系统提供的软件接口 ,可以使其他厂家的 网络资源管理系统或者安全口令管理系统34与单点登录装置32进行网络设备 资源数据或者网络设备安全口令数据的共享。如果用户并无第三方的软件,可 以不安装这个单元。设备访问多样性处理单元325,对不同的网络设备定义不同的模板,在访 问网络设备时,所述的模板引擎单元3251从设备资源管理单元3221获取要访 问的网络设备的类型信息,并根据该信息找到相应的模板,并解释执行该模板, 实现设备访问多样性的自动化;其中所述的模板单元3252存储了根据各种设 备类型定义的各种模板。设备访问的多样性发生在单点登录装置和业务网之间的访问过程中,由于 网络设备以及业务系统的供应厂商的不同,虽然在设备和业务系统访问的协议 标准和规范方面是相同的,但是由于实现方式、手段、技术和习惯的不同,造 成了设备访问上的多样性,比如两个不同厂商生产的路由器都提供telnet的访 问,1旦是在数据格式上却不相同,对于运维人员,就必须面对这种差异,操作 不同的路由器的时候就要按照不同厂商提供的访问方式进行操作。单点登录装置的设备访问多样性处理单元解决设备访问多样性的技术方 案是通过模板,不同设备的访问方式是不同的,但是对于同一类型的设备或者 业务系统,访问的方式一定是相同的,并且访问的操作控制格式是固定的,可 以模板化的。对于不同的设备类型,按照模板规则定义不同的模板对象。设备访问多样性处理单元通过模板定义工具,对不同的设备类型定义访问 模板。在单点登录装置访问业务网的时候,专有的模板引擎模块读取对应的模 板,并解释执行该模板,自动化解决设备访问差异化问题。 那么综M来说明本发明系统的工作过程为用户终端31在通过单点登录装置32访问网络设备33时,首先通过第一 协议适配单元321将网络设备33的设备信息和虛拟用户信息发送给单点登录 认证单元322,单点登录认证单元322对用户访问该单点登录装置32的权限进 行判断,所述单点登录认证单元322中的用户权限管理单元3222,根据口令管 理单元323中存储的虛拟用户口令信息判断该用户是否具有登录单点登录装置 32的权限,如果不具有权限,则通过第一协议适配单元321返回失败响应消息 给用户终端31,如果具有权限,则根据所述用户权限管理单元3222中的虛拟 用户标识与该虛拟用户可以访问的网络设备标识之间的映射关系判断所述用 户终端31是否具有访问所述网络设备33的权限,如果不具有权限,则通过第 一协议适配单元321返回失败响应消息给用户终端31 ,如果具有这样的权限, 则从设备资源管理单元3221中获取网络设备33的相关棺息,其中包括网络设 备33的设备类型信息,以及口令管理单元323的所述虚拟用户口令及所述虚 拟用户可以访问的网络设备33的标识对应的口令信息,将该信息发送给第二 协议适配单元324,第二协议适配单元324将网络设备33的设备类型信息发送 给设备访问多样性处理单元325,设备访问多样性处理单元325根据所述设备 类型信息查找相应的模板,模板引擎单元3251对该模板进行解释执行,获取 网络设备33的访问格式控制信息,并将该信息发送给第二协议适配单元324, 第二协议适配单元324根据该信息以及网络设备33的相关信息和网络设备33 的用户信息与所述网络设备33建立连接,并返回通信连接的标识信息给单点 登录认证单元322,单点登录认证单元322建立第一协议适配单元321和第二 协议适配单元324的访问连接通信信道,并返回访问请求成功响应消息给用户 终端31,那么所述用户终端31就可以通过单点登录装置32所建立的访问连接 通信信道与网络设备33进行数据交互。在数据传输过程中,经过协议适配单元的协议适配,使公网任意位置的用 户终端31对网络设备33的访问请求从协议层上终结在单点登录装置32,从单 点登录装置32发起对网络设备33的访问请求,保证了网络设备33的访问安 全性,与此同时,日志管理单元3223记录所述用户终端31的登录信息,和/ 或外部访问网络设备33的会话,和/或命令,和/或命令执行结果的日志信息; 另外,当有第三方应用系统34请求与单点登录装置32进行数据共享时,该系 统可以是外部的资源系统,也可以是外部的安全系统,可以通过外部接口单元 326与单点登录装置32相连接,通过所述的设备资源管理单元3221和/或口令 管理单元323与所述的第三方应用系统34进行数据的共享。参照图4,与本发明所述系统相对应的一种单点登录方法包括以下步骤5401、 用户终端向单点登陆装置提出访问网络设备的请求; 用户终端在发起访问请求时,提供的信息包括需要访问的网络设备的标识信息,访问单点登录装置的用户标识及密码信息,所述的单点登录装置的用 户相对于网络设备的用户来说为虚拟用户,即所述提交的信息包括虚拟用户标 识和密码。5402、 判断用户终端是否具有访问单点登陆装置的权限; 在所述单点登录装置收到用户终端的访问请求后,根据访问请求虛拟用户标识对应的虛拟用户口令,并判断访问请求中的虛拟用户口令与所述用户终端 提供的虛拟用户口令是否一致,如果一致,则进行步骤S403,否则拒绝用户终 端的访问请求,结束。5403、 判断用户终端是否具有访问网络设备的权限; 单点登录装置根据虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系,判断用户终端是否具有访问所述网络设备的权限,是则进行 步骤S404,否则进行步骤S409,拒绝用户终端的访问请求。5404、 获取网络设备访问信息和网络设备用户信息; 根据所述映射关系获取网络设备访问信息和网络设备用户信息; 其中所述的网络设备访问信息包括网络设备的名称、IP地址和网络设备类型等信息。 S405 、根据网络设备访问信息中的网络设备类型信息获取网络设备的访问 格式控制信息;通过预先对不同的网络设备定义不同的解析模板,并设置了专有的模板引擎;通过网络设备类型,查找相应的模板,并通过模板引擎读取对应的模板, 并解释执行,获取网络设备的访问格式控制信息。5406、 根据所述网络设备的访问格式控制信息、网络设备访问信息和网络 设备用户信息单点登录装置与网络设备建立连接;5407、 单点登录装置建立访问连接通信信道;单点登录装置与所述的网络设备建立连接后,在单点登录装置内部建立一条访问连接通信信道,该信道建立后,并向用户终端返回访问请求成功响应消 命S408 、用户终端通过所述访问连接通信信道与所述网络设备进行数据交互;所述的数据交互包括命令的操作等;其中,单点登录装置通过协议适配,使外部任意位置的用户对网络设备的 访问请求从协议层上终结在单点登录装置,对网络设备的访问从单点登录装置 发起,起到了协议层隔离的作用;在整个用户终端请求访问网络设备的过程中,单点登录装置记录下用户终 端的登录信息,包括请求登录网络设备的信息以及对所述网络设备的操作信 息,另外,单点登录装置还可以提供介面给维护人员及系统管理员,使他们可 以取得各种日志档案,以作备份和检查,系统管理员还可通过浏览器追踪用户 终端的登录和连接网络设备的活动。S409、结束。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及
其等同技术的范围之内,则本发明也意图包舍这些改动和变型在内
权利要求
1、一种单点登录系统,其特征在于,该系统包括至少一个用户终端、单点登录装置以及至少一个向用户终端提供服务的网络设备,其中,用户终端,用于向单点登录装置发送访问请求,其中含有要访问的网络设备标识以及虚拟用户身份信息;单点登录装置,用于保存每个虚拟用户可以访问的网络设备的信息,当收到访问请求时,如果确定允许该虚拟用户访问所请求的网络设备,则与该用户终端可以访问的网络设备建立连接;网络设备,用于与所述单点登录装置建立连接。
2、 根据权利要求1所述的系统,其特征在于,所述的虛拟用户为可以访 问单点登录装置的用户,所述虛拟用户身份信息包括虚拟用户标识和口令,每 个虛拟用户可以访问网络设备的信息包括虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系、虚 拟用户标识和虛拟用户口令的对应关系以及网络设备标识与网络设备口令之 间的对应关系;则所述单点登录装置包括单点登录认证单元,用于保存所述虚拟用户标识与该虚拟用户可以访问的 网络设备标识之间的映射关系;收到访问请求后,从口令管理单元中获取访问 请求虚拟用户标识对应的虚拟用户口令,如果确定访问请求中的虛拟用户口令 与获得的虛拟用户口令一致,以及根据所述映射关系确定该用户终端所请求的 是允许访问的设备,则从所述口令管理单元中获取该虛拟用户可以访问的网络 设备标识对应的口令,通过该口令与所述网络设备建立连接;口令管理单元,用于存储所述虛拟用户口令及网络设备口令。
3、 如权利要求2所述的系统,其特征在于,所述单点登录认证单元还包括日志管理单元,用于记录所述用户终端的登录信息,和/或外部访问网络设备的会话,和/或命令,和/或命令执行结果的日志信息。
4、 如权利要求1至3任意一项所述的系统,其特征在于,所述单点登录 装置还包括第一协i义适配单元,用于接收到所述用户终端的访问请求后,将用户终端 提交的访问信息发送给所述单点登录认证单元,所述的访问信息包括用户终端 要访问的网络设备f言息和所述虛拟用户信息;第二协议适配单元,用于在单点登录认证单元通过对所述用户终端的认证 后,接收单点登录认证单元的请求,从所述设备资源管理单元获取相应的网络 设备信息,并根据该信息与所述网络设备建立连接,并返回通信连接的标识信 息给单点登录认证单元;所迷的单点登录认证单元,根据所述通信连接的标识信息建立第二协议适 配单元和第一协议适配单元的数据通信信道,并返回访问请求成功响应消息给 所述用户终端;所述用户终端通过所述数据通信信道与所述网络设备进行数据交互。
5、 如权利要求4所述的系统,其特征在于,所述单点登录装置还包括 设备访问多样性处理单元,用于根据不同的网络设备类型,定义不同的模板,根据网络设备类型信息,通过模板引擎解释相应的模板,得到所述网络设 备的访问格式控制信息,并将该信息发送给所述第二协议适配单元;所述第二协议适配单元根据所述网络设备的访问格式控制信息,;发起对所诉网络设备的访问请求。
6、 如权利要求5所述的系统,其特征在于,所述单点登录装置还包括 外部接口单元,用于向第三方应用系统提供接口;所述的第三方应用系统通过所述外部接口单元与所述设备资源管理单元 和/或所述口令管理单元进行数据共享。
7、 一种单点登录的方法,其特征在于,该方法包括以下步骤A、在单点登录装置中建立虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系;B、当单点登录装置收到用户终端的访问请求后,根据所述映射关系,判断用户终端是否具有访问相关网络设备的权限,如果具有,则建立所述用户终 端可以与要访问的网络设备进行数据交互的数据通信信道。
8、 如权利要求7所述的方法,其特征在于,步骤B所迷的用户终端访问所述网络设备的过程中,该步骤进一步包括单点登录装置记录所述用户终端的登录信息,所述登录信息包括所述用户终端的登录请求信息及对相应网络设备的操作信息。
9、 如权利要求7所述的方法,其特征在于,在执行步骤B之后,该方法进一步包括所述用户终端通过所述单点登录装置与所述网络设备进行通信; 在通信过程中,所述单点登录装置对所述用户终端和所述网络设备的协议进行协议适配。
10、 如权利要求9所述的方法,其特征在于,该方法进一步包括 预先根据不同的网络设备类型,定义不同的模板,并设置模板引擎; 所述用户终端通过所述单点登录装置与所述网络设备进行通信的步骤包括所述模板引擎是根据网络设备类型信息,解释相应的模板,获得网络设备的访问格式控制信息,并利用访问格式控制信息访问访问相应的网络设备。
全文摘要
本发明公开了一种单点登录系统及方法,用于解决现有技术在用户终端访问网络设备时,难以实现直接面向设备的单点登录的问题。本发明所述系统包括用户终端,用于向单点登录装置发送访问请求,其中含有要访问的网络设备标识以及虚拟用户身份信息;单点登录装置,用于保存每个虚拟用户可以访问的网络设备的信息,当收到访问请求时,如果确定允许该虚拟用户访问所请求的网络设备,则与该用户终端可以访问的网络设备建立连接;网络设备,用于与所述单点登录装置建立连接。本发明还提供了一种单点登录方法。本发明方案用于实现用户终端在访问网络设备时的单点登录,提高工作效率及网络设备访问的安全性。
文档编号H04L29/00GK101166173SQ20061011393
公开日2008年4月23日 申请日期2006年10月20日 优先权日2006年10月20日
发明者杨朝令, 隽 袁, 郭卫增, 金建林 申请人:北京直真节点技术开发有限公司