专利名称:一种处理跟踪tacacs+会话的方法及装置的制作方法
技术领域:
本发明涉及通信领域,具体涉及一种处理跟踪终端访问控制器访问控制系统TACACS+会话的方法和装置。
背景技术:
TACACS+ (Terminal Access Controller Access Control System,终端访问控制器访问控制系统)是一种 AAA (Authentication、Authorization、Accounting,认证、授权和计费)类型的网络应用协议,TACACS+支持独立的认证、授权和计费功能,允许不同的TACACS+安全服务器分别作为认证、授权和记账服务器,用于认证、授权和计费等功能。接入控制与认证、授权等功能分别在TACACS+服务器和TACACS+用户端设备上实现(见图1),当用户登录或其他需要认证、授权的行为失败时,需要确定失败原因,这时需要跟踪TACACS+会话的报文以协助问题的定位。但是,在实际的商用环境中,同时有大量的认证、授权、记账等TACACS+报文交互,跟踪所有TACACS+报文会影响系统的处理效率,以人工筛选出所需要的报文将耗费大量的时间和精力,且不利于问题的快速定位。当用户需要分析特定TACACS+会话时,若采用通过解析TACACS+报文内容来筛选需要的报文,所存在的问题是TACACS+报文的响应报文中通常不包含所需要的信息(如用户账号、IP地址、端口、用户权限级别等信息),因而无法对响应报文进行跟踪,导致对TACACS+会话跟踪结果不可靠。
发明内容
为了解决现有技术中无法针对特定TACACS+会话进行TACACS+报文跟踪的问题,本发明提供了一种处理跟踪TACACS+会话的方法及装置。一方面,本发明的处理跟踪TACACS+会话的方法包括登记要跟踪的TACACS+会话的TACACS+报文的属性值;当TACACS+客户端接收到一 TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Sessionjd值;以及当所述TACACS+客户端接收到一 TACACS+响应报文后,比较该TACACS+响应报文中的Sessionjd值与所保存的Sessionjd值,当两者相同时,设置对应的TACACS+会话的状态为成功。其中,所述属性值包括用户账号信息、IP地址信息或端口信息。进一步地,如果所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Sessionjd值不同,设置对应的TACACS+会话的状态为失败。进一步地,如果该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。进一步地,当对应的TACACS+会话结束后,删除所保存的Sessionjd值。另一方面,本发明的处理跟踪TACACS+会话的装置包括报文属性值登记模块,用于登记要跟踪的TACACS+会话的TACACS+报文的属性值;请求报文解析处理模块,用于当TACACS+客户端接收到一 TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性
3值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的SeSSion_id值;以及响应报文比较处理模块,用于当所述TACACS+客户端接收到一 TACACS+响应报文后,比较该TACACS+响应报文中的Sessionjd值与所保存的Sessionjd值,当两者相同时,设置对应的TACACS+会话的状态为成功。有益效果本发明在TACACS+客户端侧登记需要跟踪的特定用户的信息,当TACACS+请求报文内容符合登记的特定用户信息时,保存其Session_id值,当接收到具有相同Session_id值的TACACS+响应报文时,表明TACACS+会话成功,由此对TACACS+响应报文进行跟踪,实现了对于符合特定条件的整个TACACS+会话的跟踪功能。
图I为本发明的处理跟踪TACACS+会话的方法流程图。图2为本发明实施例的组网示意图。图3为本发明的处理跟踪TACACS+会话的装置结构示意图。
具体实施例方式以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。图I为本发明的处理跟踪TACACS+会话的方法流程图,包括SlOl,登记要跟踪的TACACS+会话的TACACS+报文的属性值;S102,当TACACS+客户端接收到一 TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的 Session_id 值;S103,当所述TACACS+客户端接收到一 TACACS+响应报文后,比较该TACACS+响应报文中的Sessionjd值与所保存的Sessionjd值,当两者相同时,设置对应的TACACS+会话的状态为成功。采用上述步骤处理,在TACACS+客户端侧登记需要跟踪的特定用户的信息,即TACACS+报文的某个属性值(可以是用户账号、端口、IP地址等信息),当TACACS+请求报文内容符合登记的属性值时,将该报文内容保存下来,且由于在同一个TACACS+会话中,TACACS+报文头部的Session_id值是相同的,因此将符合要求的请求报文的Session_id值保存下来,当接收到TACACS+响应报文时,将该响应报文的SeSSion_id值与事先保存的Sessionjd值进行比较,如果相同则是想要跟踪的报文,表明该TACACS+会话成功。利用本方法,成功地对TACACS+响应报文实施了跟踪,实现了对于符合特定条件的整个TACACS+会话的跟踪功能。图2为本发明实施例的组网示意图,TACACS+客户端设备和TACACS+服务器运行在IP网络上,两者之间进行TACACS+报文交互,由客户端设备发送TACACS+请求到TACACS+服务器上,TACACS+服务器对TACACS+请求进行响应。以下为本发明实施例中的处理跟踪特定TACACS+会话的具体流程,过程如下S201,首先在TACACS+客户端设备登记需要跟踪的TACACS+会话的用户账号(也可以是端口、IP地址等信息)。S202, TACACS+客户端设备接收TACACS+报文,判断是否为请求报文。S203,如果是请求报文,对该TACACS+请求报文解析,判断请求报文中用户账号是否与之前登记的用户账号相同;如果相同,保存报文中的SeSSion_id值,记录报文信息;如果不同,直接丢弃该TACACS+请求报文。S204,对于TACACS+客户端设备接收到的TACACS+响应报文,以响应报文中的Session_id值与事先保存的Session_id值对比,判断是否存在相同的Session_id值;如果存在,记录TACACS+响应报文信息,设置该TACACS+会话状态为成功,当TACACS+会话结束后,删除所保存的Sessionjd值;如果不存在,直接丢弃该TACACS+响应报文。S205,如果一直没有收到Sessionjd值与保存的Sessionjd值相同的TACACS+响应报文,设置该TACACS+会话状态为失败,删除所保存的Sessionjd值,返回到S202,进行再一次跟踪过程。以上实施例以客户端用户账号为TACACS+报文的属性值,通过TACACS+请求报文和TACACS+响应报文的相关处理,实现了对TACACS+会话的跟踪,可精确地保存TACACS+会话的报文。另一方面,为了解决现有技术中无法针对特定TACACS+会话进行TACACS+报文跟踪的问题,本发明还提供了一种处理跟踪TACACS+会话的装置,如图3所示,包括报文属性值登记模块301,用于登记要跟踪的TACACS+会话的TACACS+报文的属性值;请求报文解析处理模块302,用于当TACACS+客户端接收到一 TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Sessionjd值;以及响应报文比较处理模块303,用于当所述TACACS+客户端接收到一 TACACS+响应报文后,比较该TACACS+响应报文中的Sessionjd值与所保存的Sessionjd值,当两者相同时,设置对应的TACACS+会话的状态为成功。其中,所述响应报文比较处理模块303获知所述TACACS+客户端接收到的全部TACACS+响应报文的Sessionjd值均与所保存的Sessionjd值不同,设置对应的TACACS+会话的状态为失败。进一步地,所述请求报文解析处理模块302获知该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。进一步地,当对应的TACACS+会话结束后,所述响应报文比较处理模块303删除所保存的Session_id值。尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
权利要求
1.一种处理跟踪终端访问控制器访问控制系统TACACS+会话的方法,其特征在于,包括 登记要跟踪的TACACS+会话的TACACS+报文的属性值; 当TACACS+客户端接收到一 TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id 值; 当所述TACACS+客户端接收到一 TACACS+响应报文后,比较该TACACS+响应报文中的Sessionjd值与所保存的Sessionjd值,当两者相同时,设置对应的TACACS+会话的状态为成功。
2.如权利要求I所述的处理跟踪TACACS+会话的方法,其特征在于,所述属性值包括用户账号信息、IP地址信息或端口信息。
3.如权利要求I所述的处理跟踪TACACS+会话的方法,其特征在于,如果所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Session_id值不同,设置对应的TACACS+会话的状态为失败。
4.如权利要求I所述的处理跟踪TACACS+会话的方法,其特征在于,如果该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。
5.如权利要求I所述的处理跟踪TACACS+会话的方法,其特征在于,当对应的TACACS+会话结束后,删除所保存的SeSSion_id值。
6.一种处理跟踪终端访问控制器访问控制系统TACACS+会话的装置,其特征在于,包括 报文属性值登记模块,用于登记要跟踪的TACACS+会话的TACACS+报文的属性值;请求报文解析处理模块,用于当TACACS+客户端接收到一 TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值; 响应报文比较处理模块,用于当所述TACACS+客户端接收到一 TACACS+响应报文后,比较该TACACS+响应报文中的Sessionjd值与所保存的Sessionjd值,当两者相同时,设置对应的TACACS+会话的状态为成功。
7.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,所述属性值包括用户账号信息、IP地址信息或端口信息。
8.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,所述响应报文比较处理模块获知所述TACACS+客户端接收到的全部TACACS+响应报文的Sessionjd值均与所保存的Sessionjd值不同,设置对应的TACACS+会话的状态为失败。
9.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,所述请求报文解析处理模块获知该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。
10.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,当对应的TACACS+会话结束后,所述响应报文比较处理模块删除所保存的Sessionjd值。
全文摘要
本发明公开了一种处理跟踪TACACS+会话的方法及装置,登记要跟踪的TACACS+会话的TACACS+报文的属性值;当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。本发明对TACACS+响应报文进行了跟踪,实现了对于符合特定条件的整个TACACS+会话的跟踪功能。
文档编号H04L29/06GK102932245SQ20121037946
公开日2013年2月13日 申请日期2012年10月9日 优先权日2012年10月9日
发明者徐德, 陈建业 申请人:中兴通讯股份有限公司