专利名称:一种帐号同步方法、装置及系统的制作方法
技术领域:
本发明涉及网络通信技木,尤其涉及ー种帐号同步方法、装置及系统。
背景技术:
随着无线通信网络运营的不断成熟,各运营商不断的提出对所辖网络的集中管理需求,4A系统(安全管控平台)就是为了便于运营商集中管理下级网管帐号库而部署的。但是安全管控平台和网管帐号库间要实现帐号同步的话,存在着物理和实现上的各种问题,帐号同步的效率和成功率一向都是个难题,经常出现两种系统间帐号不同步的现象。
目前,安全管控平台与网管帐号库的帐号同步方式中,常用方式有以下2种(I)网管帐号库开放数据库网管帐号库中设计有帐号的存储表,接入安全管控平台后,安全管控平台要求下级网管帐号库侧开放网管帐号库,涉及的过程包括I、安全管控平台要求下级网管帐号库侧开放网管帐号库供其访问;2、网管帐号库侧开放网管帐号库,并提供确定的访问方式;3、安全管控平台中对帐号进行增删改查等操作,并将帐号信息写入下级网管帐号库;4、下级网管帐号库侧同步变化了的数据。数据库开放和访问的过程是极其不安全的,下级网管帐号库侧是网络运维的中心,数据开放后直接将帐号等数据暴露到外部,对系统的安全造成了较大的威胁。(2) webservice (在线应用服务)方式webservice简单说来就是远程信息访问,一种基于可扩展标示语言(ExtensiveMakeup Language, XML)和简单对象访问协议(Simple Object Access Protocol, SOAP)的运行平台,通过消息方式实现不同系统间的软件对话和相互调用。网络通信中,消息丢失比较常见,容易造成帐号的丢失。而且webservice的实现需要在两种系统间进行大量的开发工作,实现难度较大。综上可知,目前所采用的安全管控平台和网管帐号库的同步方法,需要开放数据库或者通过网络通信实现数据传输,数据的安全性较低。
发明内容
本发明实施例提供ー种帐号同步方法、装置及系统,以提高安全管控平台与网管帐号库的帐号同步的安全性。ー种帐号同步方法,包括帐号同步服务器确定虚拟目录库出现增量变化,所述虚拟目录库出现增量变化具体为,所述虚拟目录库接收到安全管控平台发送的帐号变化信息;帐号同步服务器根据所述增量变化,更新网管帐号库中的帐号信息。ー种帐号同步装置,包括
第一确定单元,用于确定虚拟目录库出现增量变化,所述虚拟目录库出现增量变化具体为,所述虚拟目录库接收到安全管控平台发送的帐号变化信息;第一更新単元,用于根据所述增量变化,更新网管帐号库中的帐号信息。一种帐号同步系统,包括安全管控平台、网管帐号库,还包括帐号同步服务器,用于确定虚拟目录库出现增量变化,所述虚拟目录库出现增量变化具体为,所述虚拟目录库接收到安全管控平台发送帐号变化信息;根据所述增量变化,更新网管帐号库中的帐号信息。本发明实施例提供ー种帐号同步方法、装置及系统,在安全管控平台和网管帐号库之间架设帐号同步服务器,实现安全管控平台与网管帐号库的帐号同步管理,具体为由帐号同步服务器确定虚拟目录库出现增量变化;帐号同步服务器根据所述增量变化,更新网管帐号库中的帐号信息。双方系统通过同一个中间数据库即虚拟目录库进行信息的交换,避免了消息丢失等带来的数据失传,也避免了开放网管帐号库的情况,提高了安全管控 平台与网管帐号库的帐号同步的安全性。
图Ia为本发明实施例提供的帐号同步方法流程图之ー;图Ib为本发明实施例提供的更新新增帐号信息或ロ令修改信息到网管帐号库的流程图;图Ic为本发明实施例提供的更新帐号删除信息到网管帐号库的流程图;图2a为本发明实施例提供的帐号同步方法流程图之ニ ;图2b为本发明实施例提供的帐号同步服务器更新安全管控平台侧数据库的流程图;图3a为本发明实施例提供的一种较佳的帐号同步系统结构示意图;图3b为本发明实施例提供的网管帐号库中帐号存储结构示意图;图4a为本发明实施例提供的帐号同步装置结构示意图之ー;图4b为本发明实施例提供的帐号同步装置结构示意图之ニ ;图5为本发明实施例提供的帐号同步系统结构示意图。
具体实施例方式本发明实施例提供ー种帐号同步方法、装置及系统,在安全管控平台和网管帐号库之间架设帐号同步服务器,实现安全管控平台与网管帐号库的帐号同步管理,具体为由帐号同步服务器确定虚拟目录库出现增量变化;帐号同步服务器根据增量变化,更新网管帐号库中的帐号信息。双方系统通过同一个中间数据库即虚拟目录库进行信息的交換,避免了消息丢失等带来的数据失传,也避免了开放网管帐号库的情况,提高了安全管控平台与网管帐号库的帐号管理的安全性。如图Ia所示,本发明实施例提供ー种帐号同步方法,包括步骤S101、帐号同步服务器确定虚拟目录库出现增量变化,虚拟目录库出现增量变化具体为,虚拟目录库接收到安全管控平台发送的帐号变化信息;步骤S102、帐号同步服务器根据增量变化,更新网管帐号库中的帐号信息。
其中帐号变化信息至少包括如下之一或组合新增帐号信息、帐号删除信息和ロ令修改信息。其中,帐号信息可以包括帐号标识信息和帐号ロ令信息,为便于网管帐号库侧进行帐号的权限管理,帐号信息中可以进一歩包括帐号角色信息,用于标识帐号的权限级别。当修改某一帐号角色的权限时,与该帐号角色相应的帐号的权限即相应发生改变。由于集中管理的需要,对帐号的创建、删除或修改密码通常需要在安全管控平台中操作,其他信息例如调整帐号角色信息包含的权限级别可通过操作网管帐号库完成。此时,新增帐号信息包括新增帐号标识信息、新增帐号ロ令信息和新增帐号角色信息,其中新增帐号角色信息用于标识新增帐号的权限级别。
为了保证网管帐号ロ令信息的机密性,本发明实施例中,在安全管控平台侧存储帐号ロ令信息时需要对其进行加密,一种加密方法采用的是3DES算法进行加密,帐号同步服务器从虚拟目录库获取的ロ令信息也是加密后的ロ令信息,在帐号同步服务器向网管帐号库同步帐号信息时要先用3DES算法对ロ令信息进行解密再进行存储。在实施网管接入工作时,安全管控平台的厂商向网管帐号库侧的厂商提供帐号ロ令信息的加密密钥。此时,当虚拟目录库出现的增量变化为虚拟目录库接收到安全管控平台发送的新增帐号信息或ロ令修改信息时,步骤S102中,帐号同步服务器将新增帐号信息或ロ令修改信息更新到网管帐号库,具体包括帐号同步服务器对被安全管控平台加密过的新增帐号ロ令信息或ロ令修改信息进行解密,其中,被安全管控平台加密过的新增帐号ロ令信息或ロ令修改信息具体为,安全管控平台对其进行过加密的新增帐号ロ令信息或ロ令修改信息;帐号同步服务器将帐号信息更新到网管帐号库.具体的,如图Ib所示,帐号同步服务器将新增帐号信息或ロ令修改信息更新到网管帐号库的流程具体包括步骤SI 11、安全管控平台将新增帐号信息或ロ令修改信息发送到虚拟目录库;步骤S112、帐号同步服务器确定虚拟目录库接收到安全管控平台发送的新增帐号信息或ロ令修改信息;步骤S113、帐号同步服务器对被安全管控平台加密过的新增帐号ロ令信息或ロ令修改信息进行解密,被安全管控平台加密过的新增帐号ロ令信息或ロ令修改信息具体为安全管控平台对其进行过加密的新增帐号ロ令信息或ロ令修改信息;步骤S114、帐号同步服务器将解密后的新增帐号信息或ロ令修改信息更新到网管帐号库。当安全管控平台侧进行帐号删除时,所发送的帐号删除信息可以包括所删除帐号的所有信息,即包括所删除帐号的标识信息、所删除帐号的ロ令信息以及所删除帐号的角色信息,为了进一步便于操作,同时减少数据的传输量,安全管控平台侧发送的帐号的删除信息可以仅包括所删除帐号的标识信息。此时,当虚拟目录库出现的增量变化为虚拟目录库接收到安全管控平台发送的帐号的删除信息时,步骤S 102中,帐号同步服务器根据帐号的删除信息,更新网管帐号库中的帐号信息,具体为帐号同步服务器根据所删除帐号的标识信息,将网管帐号库中所删除帐号的标识信息、所删除帐号的ロ令信息及所删除帐号的角色信息删除,其中,所删除帐号的角色信息用于标识所删除帐号的权限级别。具体的,如图Ic所示,帐号同步服务器根据帐号的删除信息,更新网管帐号库中的帐号信息的具体流程包括步骤S121、安全管控平台将帐号删除信息发送到虚拟目录库;步骤S122、帐号同步服务器确定虚拟目录库接收到安全管控平台发送的帐号删除信息;步骤S123、帐号同步服务器根据所删除帐号的标识信息,将网管帐号库中所删除帐号的标识信息、所删除帐号的ロ令信息及所删除帐号的角色信息删除,所删除帐号的角色信息用于标识所删除帐号的的权限级别。当网管帐号库出现相对虚拟目录库的増量变化时,为了实现及时将网管帐号库的增量变化同步给安全管控平台侧,如图2a所示,本发明实施例的帐号同步方法还包括步骤S201、帐号同步服务器确定网管帐号库出现增量变化,网管帐号库出现的增 量变化具体为网管帐号库相对虚拟目录库变化的帐号信息,其中帐号信息具体为帐号的帐号标识信息、帐号角色信息,帐号角色信息用于标识帐号的权限级别。步骤S202、帐号同步服务器根据网管帐号库出现的增量变化更新安全管控平台侧数据库的帐号信息。为了增加帐号同步过程的安全性,在将网管帐号库的增量变化同步给安全管控平台侧数据库时,帐号ロ令信息可以不被同歩,此时,安全管控平台侧数据库记录的帐号ロ令
信息为空。在步骤S202中,帐号同步服务器根据网管帐号库出现的增量变化更新安全管控平台侧数据库的帐号信息,具体包括帐号同步服务器将网管帐号库出现的增量变化写入虚拟目录库中;安全管控平台确定更新安全管控平台侧数据库时,获取虚拟目录库中的所有帐号信息;安全管控平台将获取的帐号信息更新到安全管控平台侧数据库中。具体的,如图2b所示,帐号同步服务器根据网管帐号库出现的增量变化更新安全管控平台侧数据库的帐号信息的流程具体包括步骤S211、帐号同步服务器确定网管帐号库出现增量变化;步骤S212、帐号同步服务器将网管帐号库出现的增量变化写入虚拟目录库中;步骤S213、安全管控平台确定更新安全管控平台侧数据库时,获取虚拟目录库中的所有帐号信息;步骤S214、安全管控平台将获取的帐号信息更新到安全管控平台侧数据库中。通常,安全管控平台确定更新安全管控平台侧数据库时,具体包括安全管控平台进行安全管控平台侧数据库初始化时;或者安全管控平台确定达到设定的安全管控平台侧数据库的更新周期吋;或者安全管控平台确定安全管控平台侧数据库紊乱需要更新吋。在安全管控平台侧数据缺失或者紊乱时利用虚拟目录库将网管帐号库的帐号信息更新到安全管控平台侧的数据库中,可以保证安全管控平台侧数据库的完整性,也避免网管帐号库中历史帐号的丢失。当然,本领域技术人员可以根据实际情况灵活设置安全管控平台确定更新安全管控平台侧数据库的时机,在此不再详细叙述。本发明实施例中的安全管控平台侧数据库,可以为允许安全管控平台直接访问的轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)数据库,也可以为其他允许安全管控平台直接访问的数据库。具体的,本发明实施例提供ー种安全管控平台侧数据库的较佳设置方式,如图3a所示。安全管控平台操作安全管控平台侧的LDAP数据库。当需要进行帐号创建、删除或修改密码吋,安全管控平台先将帐号创建、删除或修改密码信息更新到LDAP数据库,再向虚拟目录库发送増量信息。当然,本领域技术人员也可以采用其他允许安全管控平台直接访问的数据库,例如,可以在安全管控平台所在装置中直接设置数据库。网管帐号信息在网管帐号库和虚拟目录库中的一种存储方式如图3b所示,其中帐号标识信息存储在ou=Account节点下,帐号角色信息存储在Ciu=Role节点下。网管帐号信息设置如表I所示
权利要求
1.一种帐号同步方法,其特征在于,包括 帐号同步服务器确定虚拟目录库出现增量变化,所述虚拟目录库出现增量变化具体为,所述虚拟目录库接收到安全管控平台发送的帐号变化信息; 帐号同步服务器根据所述增量变化,更新网管帐号库中的帐号信息。
2.如权利要求I所述的方法,其特征在于,所述帐号变化信息至少包括如下之一或组合 新增帐号信息、帐号删除信息和口令修改信息。
3.如权利要求2所述的方法,其特征在于,所述新增帐号信息包括新增帐号标识信息、新增帐号口令信息和新增帐号角色信息,所述新增帐号角色信息用于标识所述新增帐号的权限级别。
4.如权利要求3所述的方法,其特征在于,当所述虚拟目录库出现增量变化为所述虚拟目录库接收到安全管控平台发送的新增帐号信息或口令修改信息时,所述帐号同步服务器将所述新增帐号信息或口令修改信息更新到网管帐号库,具体包括 帐号同步服务器对被安全管控平台加密过的新增帐号口令信息或口令修改信息进行解密; 帐号同步服务器将解密后的新增帐号信息或口令修改信息更新到所述网管帐号库。
5.如权利要求2所述的方法,其特征在于,所述帐号的删除信息包括所删除帐号的标识息; 当所述虚拟目录库出现增量变化为所述虚拟目录库接收到安全管控平台发送的帐号的删除信息时,所述帐号同步服务器根据所述帐号的删除信息,更新网管帐号库中的帐号信息,具体为 帐号同步服务器根据所述所删除帐号的标识信息,将网管帐号库中所述所删除帐号的标识信息、所删除帐号的口令信息及所删除帐号的角色信息删除,所述所删除帐号的角色信息用于标识所述所删除帐号的权限级别。
6.如权利要求2所述的方法,其特征在于,还包括 帐号同步服务器确定网管帐号库出现增量变化,所述网管帐号库出现增量变化具体为,所述网管帐号库相对虚拟目录库变化的帐号信息,所述帐号信息具体为帐号的帐号标识信息、帐号角色信息,所述帐号角色信息用于标识所述帐号的权限级别; 帐号同步服务器根据所述网管帐号库出现的增量变化更新安全管控平台侧数据库的帐号信息。
7.如权利要求6所述的方法,其特征在于,所述帐号同步服务器根据所述网管帐号库出现的增量变化更新安全管控平台侧数据库的帐号信息,具体包括 帐号同步服务器将所述网管帐号库出现的增量变化写入虚拟目录库中; 安全管控平台确定更新安全管控平台侧数据库时,获取所述虚拟目录库中的所有帐号信息; 安全管控平台将获取的帐号信息更新到安全管控平台侧数据库中。
8.如权利要求7所述的方法,其特征在于,所述安全管控平台确定更新安全管控平台侧数据库时,具体包括 所述安全管控平台进行安全管控平台侧数据库初始化时;或者所述安全管控平台确定达到设定的安全管控平台侧数据库更新周期时;或者 所述安全管控平台确定安全管控平台侧数据库紊乱需要更新时。
9.如权利要求6-8任一所述的方法,其特征在于,所述安全管控平台侧数据库,具体为允许所述安全管控平台直接访问的轻量目录访问协议LDAP数据库。
10.一种帐号同步装置,其特征在于,包括 第一确定单元,用于确定虚拟目录库出现增量变化,所述虚拟目录库出现增量变化具体为,所述虚拟目录库接收到安全管控平台发送的帐号变化信息; 第一更新单元,用于根据所述增量变化,更新网管帐号库中的帐号信息。
11.如权利要求10所述的装置,其特征在于,所述帐号变化信息至少包括如下之一或组合 新增帐号信息、帐号删除信息和口令修改信息。
12.如权利要求11所述的装置,其特征在于,所述新增帐号信息包括新增帐号标识信息、新增帐号口令信息和新增帐号角色信息,所述新增帐号角色信息用于标识所述新增帐号的权限级别。
13.如权利要求11所述的装置,其特征在于,所述第一更新单元具体用于 在所述虚拟目录库出现增量变化为所述虚拟目录库接收到安全管控平台发送的新增帐号信息或口令修改信息时,对被安全管控平台加密过的新增帐号口令信息或口令修改信息进行解密,所述被安全管控平台加密过的新增帐号口令信息或口令修改信息具体为,安全管控平台对其进行过加密的新增帐号口令信息或口令修改信息; 将解密后的新增帐号信息或口令修改信息更新到所述网管帐号库。
14.如权利要求11所述的装置,其特征在于,所述帐号的删除信息包括所删除帐号的标识信息; 所述第一更新单元具体用于在所述虚拟目录库出现增量变化为所述虚拟目录库接收到安全管控平台发送的帐号的删除信息时,根据所述所删除帐号的标识信息,将网管帐号库中所述所删除帐号的标识信息、所删除帐号的口令信息及所删除帐号的角色信息删除,所述所删除帐号的角色信息用于标识所述所删除帐号的权限级别。
15.如权利要求11所述的装置,其特征在于,还包括 第二确定单元,用于确定网管帐号库出现增量变化,所述网管帐号库出现增量变化具体为,所述网管帐号库相对虚拟目录库变化的帐号信息,所述帐号信息具体为帐号的帐号标识信息、帐号角色信息,所述帐号角色信息用于标识所述帐号的权限级别; 第二更新单元,用于根据所述网管帐号库出现的增量变化更新安全管控平台侧数据库的帐号信息。
16.一种帐号同步系统,包括安全管控平台、网管帐号库,其特征在于,还包括 帐号同步服务器,用于确定虚拟目录库出现增量变化,所述虚拟目录库出现增量变化具体为,所述虚拟目录库接收到安全管控平台发送帐号变化信息; 根据所述增量变化,更新网管帐号库中的帐号信息。
全文摘要
本发明实施例提供一种帐号同步方法、装置及系统,涉及通信技术,在安全管控平台和网管帐号库之间架设帐号同步服务器,实现安全管控平台与网管帐号库的帐号同步管理,具体为由帐号同步服务器确定虚拟目录库出现增量变化;帐号同步服务器根据增量变化,更新网管帐号库中的帐号信息。双方系统通过同一个中间数据库即虚拟目录库进行信息的交换,避免了消息丢失等带来的数据失传,也避免了开放网管帐号库的情况,提高了安全管控平台与网管帐号库的帐号同步的安全性。
文档编号H04L29/06GK102769622SQ201210254678
公开日2012年11月7日 申请日期2012年7月20日 优先权日2012年7月20日
发明者张继坤, 薛林 申请人:大唐移动通信设备有限公司