专利名称:一种通信系统及其管理通信设备的方法
技术领域:
本发明涉及通信设备管理领域,尤其涉及一种对通信设备的访问进行管 理的技术。
背景技术:
在电信行业中,各种通信设备,例如HLR (Home Location Register,归 属位置寄存器)、MSC (Mobile Switch Center,移动交换中心)、BSC (Base Station Controller,基站控制器)等,以及支撑系统,例如话务网管系统、 电子运营维护系统等设备的安全性要求非常重要,如果设备出现故障,可能 会导致几十万甚至上百万用户无法正常通信。
但是现有对这些通信设备以及支撑系统的操作,都是以用户直接登录主 机系统的方式进行,每一个主机系统上都为同一个用户分配了相应的帐号, 还存在众多临时使用的帐号。这种分散的帐号管理方式增加了系统管理员的 管理难度,对通信设备的分散操作访问也使得用户对这些通信设备以及支撑 系统的操作得不到有效的监控和管理,给通信设备带来较大的风险,降低了 通信系统的安全性。
发明内容
本发明实施例提供了 一种通信系统,用以集中的管理用户对通信设备的 访问,从而提高通信设备运行的安全性。
本发明实施例提供了 一种认证管理服务器,用以集中的管理用户对通信 设备的访问,从而提高通信设备运行的安全性。
本发明实施例提供了 一种管理通信设备的方法,用以集中的管理用户对通信设备的访问,从而提高通信设备运行的安全性。
一种通信系统,包括
通信设备和认证管理模块,所述认证管理模块通过通信网络与通信设备
相连;
所述认证管理模块用于接收用户在登录认证管理模块后发出的通信设备 访问请求,确认用户登录所述认证管理模块时的用户认证管理模块账号和用 户请求访问通信设备的用户通信设备账号符合预先配置的对应关系时,允许 用户经由所述认证管理^^莫块访问该通信设备。
所述认证管理模块包括
登录控制子模块,用于控制用户登录认证管理模块并接收登录信息中的 认证管理模块账号;
授权控制子模块,用于获得用户发出的通信设备访问请求,确认用户登 录所述认证管理模块时的认证管理模块账号和用户请求访问通信设备的通信 设备账号符合预先配置的对应关系;
访问控制子模块,用于在所述认证管理模块时的认证管理模块账号和用 户请求访问通信设备的通信设备账号符合预先配置的对应关系时,允许用户 经由所述认证管理才莫块访问该通信设备。
上述通信系统还包括
日志监测模块,通过通信网络与所述认证管理模块、通信设备相连;所 述日志监测模块用于获得所述认证管理模块以及各通信设备的日志文件,并 根据各日志文件中的用户登录信息确定出用户对通信设备的非法访问;所述 用户对通信设备的非法访问为用户未经由所述认证管理模块对通信设备进行 的访问;
集中控制模块,通过通信网络与所述通信设备相连;所述集中控制模块 用于在所述日志监测模块确定出所述非法访问后,控制被非法访问的通信设 备禁止该非法访问。一种认证管理服务器,包括
登录控制子模块,用于控制用户登录所述认证管理服务器并接收登录信
息中的认证管理服务器账号;
授权控制子模块,用于获得用户发出的通信设备访问请求,确认用户登
备的用户通信设备账号符合预先配置的对应关系;
访问控制子模块,用于在所述认证管理服务器时的用户认证管理服务器 账号和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系 时,允许用户经由所述认证管理服务器访问该通信设备。
一种管理通信设备的方法,包括如下具体步骤
接收用户在登录认证管理模块后发出的通信设备访问请求;所述认证管 理模块通过通信网络与至少 一个通信设备相连;
确认用户登录所述认证管理模块时的用户认证管理it块账号和用户请求 访问通信设备的用户通信设备账号符合预先配置的对应关系时,允许用户经 由所述认证管理斗莫块访问该通信设备。
上述管理通信设备的方法,还包括
获得所述认证管理模块以及各通信设备的日志文件;
根据各日志文件中的用户登录信息确定出用户对通信设备的非法访问; 所述用户对通信设备的非法访问为用户未经由所述认证管理模块而对通信设 备进行访问;
在确定出所述非法访问后,控制被非法访问的通信设备禁止该非法访问。 本发明实施例使用认证管理模块作为用户访问通信设备的门户接口 ,用 户在经过认证管理模块的认证与授权后访问相应的通信设备,从而实现了对 通信设备的集中、有效的管理,为通信设备提供了安全保护。
本发明实施例还通过日志监测模块对认证管理模块以及通信设备的日,
士
进行实时监控与分析,从而监测用户的登录信息,在发现用户没有经过认证管理模块而直接登录访问通信设备时,通过集中控制模块控制该通信设备禁 止该用户的操作,并控制防火墙断开该用户对通信设备的访问。
图la为本发明实施例的管理通信i殳备的系统示意图; 图lb为本发明实施例的认证管理模块结构框图; 图lc为本发明实施例的日志监测模块结构框图; 图Id为本发明实施例的另 一种管理通信设备的系统示意图; 图2为本发明实施例的管理通信设备的方法流程图; 图3为本发明实施例的监测用户登录行为,防止用户非法访问通信设备 的方法流程图。
具体实施例方式
本发明实施例通过认证管理模块作为用户访问通信设备的门户接口 ,用 户必须通过认证管理模块才能访问通信设备,认证管理模块统一管理用户登 录认证管理模块时使用的认证管理模块帐号和用户访问通信设备时使用的通 信设备帐号之间的对应关系,通信设备帐号为用户通过认证管理模块帐号登 录认证管理模块后,访问有访问权的通信设备时使用的帐号。用户通过登录 认证管理模块访问某个通信设备时,管理模块可以根据该对应关系对用户进 行鉴权,当用户的认证管理模块帐号和通信设备帐号符合对应关系时允许用 户访问通信设备。其中用户的认证管理模块帐号可以对应多个通信设备帐号, 一个用户也可以使用多个认证管理模块帐号,每一个对应的不同的用户通信 设备帐号。用户在经过认证管理模块的认证与授权后,通过该认证管理模块 访问通信设备,从而实现了对通信设备的集中、有效的管理,为通信设备提 供了安全保护。本发明实施例还通过日志监测模块对认证管理模块以及通信 设备的日志进行实时监控与分析,从而监测用户的登录信息,在发现用户没有经过认证管理模块而直接登录访问通信设备时,通过集中控制模块控制该 通信设备禁止该用户的操作,并控制防火墙断开该用户对通信设备的访问。
本发明实施例提供了一种通信系统,如图la所示,包括认证管理模块 101以及多个通信设备。
其中,认证管理模块101通过通信网络与多个需要被保护的通信设备相 连。认证管理模块101可以是单独的服务器,如PORTAL服务器。
认证管理模块101作为用户登录访问被保护的通信设备的接口门户。用 户通过登录、访问认证管理模块101,在经过认证管理模块101的认证、授权 后,用户在认证管理模块101的授权范围内经由认证管理模块101访问通信 设备。
在认证管理模块101中可以有多个账号,不同的账号对应于对各通信设 备的不同的操作权限。在认证管理模块101保存有认证管理模块101的账号 与各通信设备账号的对应关系。
具体的,认证管理模块101用于接收用户在登录认证管理模块后发出的 通信设备访问请求,确认用户登录所述认证管理模块时的认证管理模块账号 和用户请求访问通信设备的通信设备账号符合预先配置的对应关系时,允许 用户经由所述认证管理才莫块访问该通信设备。
认证管理模块101的一种具体结构,如图lb所示,包括登录控制子模 块lll、授权控制子模块112、访问控制子模块113。
登录控制子模块111,用于控制用户登录认证管理模块101并接收登录信 息中的认证管理模块账号。
授权控制子模块112,用于获得用户发出的通信设备访问请求,并根据用 户登录认证管理模块101的账号,以及认证管理模块101的账号与通信设备 账号的对应关系,确认用户登录所述认证管理模块时的认证管理模块账号和 用户请求访问通信设备的通信设备账号符合预先配置的对应关系。
认证管理模块101可以有多个用户账号,根据认证管理模块101的用户账号与各通信设备用户账号的对应关系,不同用户认证管理模块账号对应了 对不同通信设备的访问权限。所以,当用户使用不同的用户认证管理模块账 号时,其可以具有访问不同通信设备的权限。例如,当用户使用认证管理模
块101的用户账号"AA"时,根据认证管理模块101的用户账号与各通信设备 用户账号的对应关系,其对应了通信设备A的用户账号"QQ",还对应了通信设 备B的用户账号"GG"。那么,使用账号"AA"的用户就具有使用通信设备A "QQ"账号和通信设备B "GG"账号的权限,但是不具有使用通信设备C的用 户帐号的权限。授权控制子模块112获得用户对通信设备的访问请求。如果 用户要访问的通信设备在权限之内,比如用户要访问的是通信设备A,那么 授权控制子模块112授权用户的访问请求,并确定了用户要访问的通信设备 账号为"QQ";如果用户要访问的通信设备不在权限范围内,比如用户要访问 的是通信设备C,那么就不能授权用户的访问请求。
根据用户登录所述认证管理模块时的用户认证管理模块账号以及用户认 证管理模块账号与各用户通信设备账号的对应关系可以确定出用户有权使用 的通信设备的帐号。如果用户请求访问的通信设备在用户有权使用用户通信 设备帐号所对应的通信设备内,则确认用户登录所述认证管理模块时的用户 认证管理模块账号和用户请求访问通信设备的用户通信设备账号符合预先配 置的对应关系,并确定出用户请求访问的用户通信设备帐号;如果用户请求 访问的通信设备不在用户有权使用用户通信设备帐号所对应的通信设备内, 则确认用户登录所述认证管理模块时的用户认证管理才莫块账号和用户请求访 问通信设备的用户通信-没备账号不符合预先配置的对应关系。
当然,对于本领域技术人员,可以采用多种方式来获得用户对通信设备 的访问请求。比如,可以根据对应关系,列出对应的所有用户通信设备账号, 让用户选择要访问的用户通信设备的帐号,或者列出对应的所有通信设备标 识名称,用户选择要访问的通信设备标识名称,根据用户选择的通信设备标 识名称,确定用户要访问的通信设备的用户账号。这样授权控制子模块112就可以获知用户要访问的通信设备以及通信设备的用户账号。当然,还可以 让用户直接输入要访问的通信设备名称或者帐号。
用户的认证管理模块帐号与用户通信设备帐号的对应关系由安全管理员 负责分配、管理,安全管理员根据用户的责任、权限、级别等信息为用户创 建认证管理模块的帐号,并对应到相应的用户通信设备帐号。
访问控制子模块113,用于在所述认证管理模块时的用户认证管理模块账 号和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系 时,允许用户经由所述认证管理模块访问该通信设备。具体的,根据用户要 访问的通信设备的账号,登录该通信设备,并允许用户访问该通信设备。
进一步,为了防止用户绕开认证管理模块101,而直接登录、访问通信设
备的非法访问,系统还可以监测用户的登录行为,从而及时阻断用户对通信
设备的非法访问。如图la所示,系统还可以包括日志监测模块102、集中 控制模块103。
日志监测模块102与认证管理模块101以及各通信设备相连,用于实时 收集认证管理模块101以及各通信设备的日志文件,并进行分析,获得各日 志文件的用户登录信息,并根据各日志文件的用户登录信息确定用户对通信 设备的非法访问。所述用户对通信设备的非法访问为用户未经由所述认证管 理模块而对通信设备进行的访问。具体的,如果发现通信设备日志文件中有 用户通过该通信设备的用户通信设备账号进行登录的信息,而认证管理模块 日志文件中没有使用该用户通信设备账号登录该通信设备的登录信息,则认 为该用户通过该通信设备账号对该通信设备的访问为非法访问。
例如,某个用户没有通过认证管理模块101去登录访问通信设备A,而 是使用通信设备A的账号直接登录到通信设备A上,对其进行登录和访问。 那么,日志监测模块102就会监测到在通信设备A的日志文件中有用户使用 通信设备A的账号进行登录的信息,而认证管理模块101的日志文件中却没 有对通信设备A的登录信息。那么,此时日志监测模块102就会确定该用户使用该通信设备A的账号进行的访问为非法访问。
集中控制模块103,用于在日志监测模块102确定出非法访问后,控制被
非法访问的通信设备禁止该非法访问的操作。
日志监测模块102的一种具体结构,如图lc所示,包括
日志获得子模块121,用于获得认证管理模块101以及各通信设备的日志文件。
日志分析子模块122,用于分析认证管理模块101以及各通信设备的日志 文件,并根据日志文件中用户的登录信息确定出用户的非法访问。
为了更进一步保障系统的安全,系统中还可以增加防火墙,如图ld所示
防火墙104,连接在认证管理模块101与各通信设备之间,用户在登录认 证管理模块101后经由防火墙104访问各通信设备。
集中控制模块103通过通信网络与各通信设备相连;集中控制模块103 还用于在日志监测模块102确定出非法访问后,控制防火墙104断开该非法 访问通过对应的账号对通信设备的访问。因为用户有可能不经过认证管理模 块101,但是经过防火墙104访问通信设备,此时,通过控制防火墙104断开 该用户的非法访问,可以更进一步保证通信设备的安全。
防火墙104可以是单级的,也可以是多级的。
上述的日志监测模块102可以是单独的服务器,也可以是和认证管理模 块101或者集中控制模块103位于同一个服务器中。
同样,上述的集中控制模块103可以是单独的服务器,也可以是和认证 管理模块101或者日志监测模块102位于同一个服务器中。
本发明实施例提供了一种管理通信设备的方法,如图2所示,包括如下 具体步骤
步骤S201:获得用户登录认证管理模块时登录信息中的用户认证管理模 块帐号。
认证管理模块与多个需要被保护的通信设备通过网络相连。用户通过认证管理模块访问通信设备。
获得用户登录认证管理模块的登录信息中的用户认证管理模块帐号。
步骤S202:接收用户登录后发出的通信设备访问请求。
步骤S203:确认用户登录所述认证管理模块时的用户认证管理模块账号 和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系。
在接收用户登录后发出的通信设备访问请求后,根据用户登录所述认证 管理模块时的用户认证管理模块账号以及用户认证管理模块账号与各用户通 信设备账号的对应关系可以确定出用户有权使用的用户通信设备帐号。如果 用户请求访问的通信设备在用户有权使用用户通信设备帐号所对应的通信设 备内,则确认用户登录所述认证管理模块时的用户认证管理模块账号和用户 请求访问通信设备的用户通信设备账号符合预先配置的对应关系,并确定出 用户请求访问的用户通信设备帐号;如果用户请求访问的通信设备不在用户 有权使用通信设备帐号所对应的通信设备内,则确认用户登录所述认证管理 模块时的用户认证管理模块账号和用户请求访问通信设备的用户通信设备账 号不符合预先配置的对应关系。
步骤S204:在确定符合对应关系后,使用用户请求访问通信设备的用户 通信设备账号登录到对应的通信设备,并允许用户通过该账号对该通信设备 进行访问。
进一步,为了防止用户绕开认证管理模块,而直接登录、访问通信设备 的非法访问,系统还可以监测用户的登录行为,从而及时阻断用户对通信设 备的非法访问。
监测用户登录行为,及时阻止用户的非法访问方法流程,如图3所示, 包括如下具体步骤
步骤S301:获得认证管理模块以及各通信设备的日志文件。
实时采集、监测认证管理模块以及各通信设备的日志文件。
步骤S302:根据各日志文件的用户登录信息确定用户对通信设备的非法访问。
将通信设备日志文件中的用户登录信息与认证管理模块日志文件的用户 登录信息进行比对,如果发现通信设备日志文件中有用户通过该通信设备的 用户通信设备账号进行登录的信息,而认证管理模块日志文件中没有使用该 用户通信设备账号登录该通信设备的登录信息,则认为该用户通过该通信设 备账号对该通信设备的访问为非法访问。
步骤S303:在确定出用户对通信设备的非法访问后,控制被非法访问的 通信设备禁止该非法访问。
在确定出用户对通信设备的非法访问后,控制被非法访问的通信设备禁止 该非法访问,还可以控制防火墙阻断该非法访问使用的账号对通信设备的访问。
本发明实施例由于通过认证管理模块作为用户访问通信设备的门户接 口 ,用户在经过认证管理模块的认证与授权后访问通信设备,从而实现了对 通信设备的集中、有效的管理,为通信设备提供了安全保护。
本发明实施例由于还通过日志监测模块对认证管理模块以及通信设备的 曰志进行实时监控与分析,从而监测用户的登录信息,在发现用户没有经过 认证管理模块而直接登录访问通信设备时,通过集中控制模块控制该通信设 备禁止该用户的操作,并控制防火墙断开该用户对通信设备的访问。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读 取存储介质中,如ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普 通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润 饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1、一种通信系统,其特征在于,包括通信设备和认证管理模块,所述认证管理模块通过通信网络与通信设备相连;所述认证管理模块用于接收用户在登录认证管理模块后发出的通信设备访问请求,确认用户登录所述认证管理模块时的用户认证管理模块账号和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系时,允许用户经由所述认证管理模块访问该通信设备。
2、 如权利要求l所述的系统,其特征在于,所述认证管理模块包括 登录控制子模块,用于控制用户登录认证管理模块并接收登录信息中的用户认证管理才莫块账号;授权控制子模块,用于获得用户发出的通信设备访问请求,确认用户登 录所述认证管理模块时的用户认证管理模块账号和用户请求访问通信设备的 用户通信设备账号符合预先配置的对应关系;访问控制子模块,用于在所述认证管理模块时的用户认证管理模块账号 和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系时, 允许用户经由所述认证管理模块访问该通信设备。
3、 如权利要求1或2所述的系统,其特征在于,还包括 日志监测模块,通过通信网络与所述认证管理模块、通信设备相连;所述日志监测模块用于获得所述认证管理模块以及各通信设备的日志文件,并 根据各日志文件中的用户登录信息确定出用户对通信设备的非法访问;所述 用户对通信设备的非法访问为用户未经由所述认证管理模块对通信设备进行 的i方问;集中控制模块,通过通信网络与所述通信设备相连,用于在所述日志监 测模块确定出所述非法访问后,控制被非法访问的通信设备禁止该非法访问。
4、 如权利要求3所述的系统,其特征在于,所述日志监测模块包括曰志获得子模块,用于获得所述认证管理模块以及各通信设备的日志文件;日志分析子模块,用于根据各日志文件中的用户登录信息确定出用户对 通信设备的非法访问。
5、 如权利要求3所述的系统,其特征在于,还包括防火墙;所述防火 墙连接于认证管理模块与各通信设备之间;以及所述集中控制模块还用于在所述日志监测模块确定出用户的非法访问 后,控制防火墙断开对所述通信设备的非法访问。
6、 一种认证管理服务器,其特征在于,包括登录控制子模块,用于控制用户登录所述认证管理服务器并接收登录信 息中的认证管理服务器账号;授权控制子模块,用于获得用户发出的通信设备访问请求,确认用户登 录所述认证管理服务器时的用户认证管理服务器账号和用户请求访问通信设 备的用户通信设备账号符合预先配置的对应关系;访问控制子模块,用于在所述认证管理服务器时的用户认证管理服务器 账号和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系 时,允许用户经由所述认证管理服务器访问该通信设备。
7、 一种管理通信设备的方法,其特征在于,包括如下具体步骤 接收用户在登录认证管理模块后发出的通信设备访问请求;所述认证管理模块通过通信网络与至少 一个通信设备相连;确认用户登录所述认证管理^t块时的用户认证管理;漠块账号和用户请求 访问通信设备的用户通信设备账号符合预先配置的对应关系时,允许用户经 由所述认证管理模块访问该通信设备。
8、 如权利要求7所述的方法,其特征在于,还包括 获得所述认证管理模块以及各通信设备的日志文件;根据各日志文件中的用户登录信息确定出用户对通信设备的非法访问;所述用户对通信设备的非法访问为用户未经由所述认证管理模块而对通信设备进行访问;在确定出所述非法访问后,控制被非法访问的通信i殳备禁止该非法访问。
9、 如权利要求8所述的方法,其特征在于,所述根据各日志文件中的用 户登录信息确定出用户对通信设备的非法访问方法,包括在通信设备的日志文件中有用户使用该通信设备的用户通信设备账号登 录该通信设备的登录信息,而在所述认证管理^t块的日志文件中没有使用该 用户通信设备账号登录该通信设备的登录信息时,确定出用户使用该用户通 信设备账号访问该通信设备为非法访问。
10、 如权利要求8所述的方法,其特征在于,还包括在确定出所述非法访问后,控制该非法访问经由的防火墙断开对所述通 信设备的非法访问。
全文摘要
本发明涉及通信设备管理领域,尤其涉及一种对通信设备的访问进行管理的技术。一种通信系统,包括通信设备和认证管理模块,认证管理模块通过通信网络与通信设备相连;认证管理模块用于接收用户在登录认证管理模块后发出的通信设备访问请求,确认用户登录认证管理模块时的用户认证管理模块账号和用户请求访问通信设备的用户通信设备账号符合预先配置的对应关系时,允许用户经由认证管理模块访问该通信设备。本发明还提供了一种认证管理服务器、日志监控服务器以及一种管理通信设备的方法。由于使用认证管理模块作为用户访问通信设备的门户接口,用户在经过授权后访问相应的通信设备,从而实现了对通信设备有效的管理,为通信设备提供了安全保护。
文档编号H04L9/32GK101471774SQ20071030475
公开日2009年7月1日 申请日期2007年12月29日 优先权日2007年12月29日
发明者晖 余, 阳 刘, 吴卫新, 黔 张, 张宏森, 刚 曾, 曾荣华, 军 杨, 杨腾海, 昊 林, 汪蕾蕾, 骋 沈, 翟德怀, 袁向阳, 陈海涛 申请人:中国移动通信集团公司;中国移动通信集团贵州有限公司