一种实现自定义配置aaa框架的方法及系统的制作方法

一种实现自定义配置aaa框架的方法及系统的制作方法
【专利摘要】本发明是一种实现自定义配置AAA框架的方法，主要步骤包括：将存储用户信息服务器的通信接口设置为服务器层，对所述服务器层的通信接口进行统一封装，并将所述的通信接口注册到一个接口列表中；根据系统环境需求选择n（n≥1）组不同的服务器，对应设置n个认证授权方案；将所述的n个认证授权方案进行组合，形成方案组合层，以满足复杂认证授权的需求。本发明还包括按上述方法建立的系统。采用本发明方法及系统的AAA认证授权具有配置灵活、可靠性及安全性提高等优势，且便于系统管理员的管理。
【专利说明】—种实现自定义配置AAA框架的方法及系统

【技术领域】
[0001]本发明涉及网络安全认证领域，特别涉及一种实现自定义AAA框架的方法及系统。

【背景技术】
[0002]AAA 框架是指由认证(Authenticat1n)、授权(Authorizat1n)、计帐(Accounting)构成的网络安全框架。其中认证是指:验证用户的身份与可使用的网络服务，认证动作包含核对用户名、密码、证书等；授权是指:依据认证结果开放网络服务给用户，授权表现为下发用户权限、访问目录、用户级别等；计帐是指:记录用户对各种网络服务的用量，并提供给计费系统，表现为记录用户上网流量、时长等。AAA框架与其它安全技术配合使用，提升网络和设备的安全性。
[0003]图1所示为现有技术中安装AAA框架的系统结构示意。客户端通信接口用于接收用户的登录请求，AAA框架在收到客户端的登录请求后根据配置直接调用相应服务器的通信接口，进行相应处理。现有技术的AAA框架通过对服务器的配置，可对多种服务提供安全保证，但是现有技术的AAA框架只支持用户登录时使用的单一的AAA协议，或者受限于简单固定的几个协议的组合。如果客户的认证授权方式组合较为新颖或复杂则无法支持。
[0004]在网络应用广泛而迅猛发展的今天，充分满足网络用户出于对系统安全等问题考虑的更复杂、更细致的认证授权要求，且方便网络管理员灵活地配置出所要求的认证授权方案成为一个亟待解决的难题。


【发明内容】

[0005]为解决现有技术中存在的难题，本发明的目的是提供一种实现自定义配置AAA框架的方法及系统，使得网络管理员能根据系统环境需要配置支持用户各种不同类型身份认证和授权组合的方案。
[0006]本发明是一种实现自定义配置AAA框架的方法，包括以下步骤:
[0007]步骤一，先将系统内存储用户信息服务器的通信接口设置为服务器层，然后对所述服务器层的通信接口进行统一封装，并将所述的通信接口注册到一个接口列表中；
[0008]步骤二，根据系统环境需求选择η (η > I)组不同的服务器，对应设置η个认证授权方案；
[0009]步骤三，将所述的η个认证授权方案进行组合，形成方案组合层，以满足复杂认证授权的需求。
[0010]所述的认证授权方案包括选择在认证授权过程中要使用的服务器，并对这些服务器的顺序进行排列的步骤。
[0011 ] 所述的认证授权方案还包括在所述服务器层中任意选择要使用的服务器，并自由排列它们的顺序的步骤。
[0012]在上述发明方法的基础上，本发明是一种实现自定义配置AAA框架的系统，它至少包括客户端通信接口、系统内存储用户信息服务器及其对应的通信接口，其特征是，在客户端通信接口与存储用户信息服务器之间连接有服务器层模块、自定义认证授权方案模块及方案组合模块。
[0013]所述的服务器层模块是由系统内存储用户信息服务器的通信接口连接构成，用以对所述通信接口进行统一封装，并注册到接口列表中，以保证各个通信接口的格式和参数额一致，使得自定义认证授权配置方案模块可以方便地在所述列表中找到需要的通信接□。
[0014]所述的自定义认证授权方案模块用以选择系统需使用的服务器、并对选择后的服务器进行排序。
[0015]本发明将AAA框架分成三个层次:服务器层、认证授权方案处理模块以及方案组合层，网络管理员可以根据环境需要自定义配置多种类型的认证、授权和计费方式，然后通过三个层次的逻辑运算，实现系统的AAA认证授权。采用本发明方法及系统的AAA认证授权具有配置灵活、可靠性及安全性提高等优势，且便于系统管理员的管理。

【专利附图】

【附图说明】
[0016]图1是现有技术的AAA框架系统框图；
[0017]图2是本发明方法示意图；
[0018]图3是本发明系统的一种实施例示意图；
[0019]图4是运用本发明方法的一种实施例工作流程图。

【具体实施方式】
[0020]在以下的叙述中，为了使读者更好地理解本申请而提出了许多技术细节。但是，本领域的普通技术人员可以理解，即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也是本申请各个权利要求所要求保护的技术方案。
[0021]为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施方式作进一步地详细描述。
[0022]本发明是将AAA框架分成三个逻辑层次:“服务器”、“认证授权方案处理”及“方案组合”。所述的这一框架体现在系统管理员对AAA框架的自定义配置的方法及系统上、以及经自定义配置后的AAA框架处理用户登录请求的方法上。
[0023]如图2所示，本发明是一种实现自定义配置AAA框架的方法，它包括以下步骤:
[0024]步骤一，先将系统内存储用户信息服务器的通信接口设置为服务器层100，所述的存储用户信息服务器可以是LDAP服务器、RADISU服务器或者数据库等等，所述的存储用户信息服务器中安装有存储用户信息服务器的相关配置，例如IP地址、端口等，这些配置用于和客户端服务器进行AAA认证授权及其通信；然后对所述服务器层的通信接口进行统一封装，并将所述的通信接口注册到一个接口列表中；
[0025]步骤二，根据系统环境需求设置η (η > I)个认证授权方案层200:选择在认证授权过程中要使用的服务器，并对这些服务器的顺序进行排列；可以在所述服务器层中任意选择需要使用的服务器，并自由排列它们的顺序，这个顺序也就是在认证授权过程中这些服务器被使用的顺序；根据环境需求可选择η组不同的服务器，并自定义设置η个“认证授权方案”;
[0026]步骤三，将所述的η个认证授权方案进行组合，形成方案组合层300，以满足复杂的认证授权需求。
[0027]上述三层的设置可以使AAA框架的配置十分的灵活，管理员可以方便的配置出满足自己认证授权需要的配置。
[0028]在上述发明方法的基础上，本发明是一种实现自定义配置AAA框架的系统，如图3所示，它至少包括客户端通信接口 400、系统内存储用户信息服务器及其对应的服务器通信接口，所述的存储用户信息服务器及其对应的通信接口可以是LDAP服务器及其通信接口、RADIUS服务器及其通信接口、数据库服务器及其通信接口、证书服务器及其解析接口等，其中，所述的系统内所有存储用户信息服务器的通信接口设置为服务器层模块101，根据系统环境需要可以设置η (η> I)个不同的服务器层模块102、103...，在客户端通信接口与所述服务器层模块101之间安装有自定义认证授权方案模块201及方案组合模块300，根据系统环境需要也可以自定义η (η彡I)个不同的认证授权方案配置模块202、203等。
[0029]所述的服务器层模块用以对所述存储用户信息服务器通信接口进行统一封装，并注册到接口列表中，以保证各个通信接口的格式和参数额一致，使得自定义认证授权配置方案模块可以方便地在这个列表中找到需要的通信接口。
[0030]所述的认证授权方案处理模块用以选择系统需使用的服务器、并对选择后的服务器进行排序。
[0031]关于客户端的登录请求，最终要在存储用户信息的服务器上对客户端户的登录信息进行比对查询。按照上述自定义配置AAA框架的方法及其系统，处理客户端登录请求时，认证授权过程是与上述自定义配置AAA框架的工作过程相反，即根据方案组合层和认证授权方案层的配置，调用服务器层相应的通信接口与认证授权服务器进行通信，完成认证授权过程。如图4所示，经自定义配置AAA框架认证授权过程的工作过程:
[0032]——客户端请求首先进入方案组合层模块，如果启用了其中的方案组合，则会依次尝试方案组合中的各个方案，若有一个方案通过，则登录成功，若所有方案都没有通过则登录失败；
[0033]—在尝试上述某一个方案的时候便进入了认证授权方案处理模块，在该模块中，将按序使用认证授权方案中的服务器进行认证，只有所有的服务器都认证成功，该认证授权方案才算通过；
[0034]—在使用一个服务器进行认证时便进入了服务器层模块，该模块将根据服务器的配置，使用相应的协议将用户的登录信息发往认证服务器，然后根据服务器返回的信息判读认证是否成功。
[0035]实施例一，某公司使用一个LDAP服务器和一个RADIUS服务器进行双重认证，自定义配置AAA框架的方法及系统如下:
[0036]在“服务器”层配置一个LDAP服务器，取名“服务器I ”，并配置上该服务器的相应参数；
[0037]另在“服务器”层配置一个RADIUS服务器，取名“服务器2”，并配置上该服务器的相应参数；在“认证授权方案”层配置一方案，该方案选择使用“服务器I”和“服务器2”进行认证；
[0038]由于只有一个认证授权方案，“方案组合”层可以不开启方案组合功能。
[0039]实施二、某公司员工使用一个LDAP服务器进行认证，同时公司为合作伙伴创建了一些临时账户，以供合作伙伴登录，临时账户的信息存在数据库中，配置如下:
[0040]在“服务器”层配置一个LDAP服务器，取名“服务器I ”，配置上该服务器的相应参数；
[0041]在“服务器”层配置一个数据库服务器，取名“服务器2”，配置上该服务器的相应参数；在“认证授权方案”层配置一方案，取名“方案1”，该方案选择使用“服务器I”进行认证；
[0042]另在“认证授权方案”层配置一方案，取名“方案2”，该方案选择使用“服务器2”进行认证
[0043]在“方案组合”层，开启方案组合功能，将“方案I”和“方案2”进行组合。
[0044]本发明的核心是:通过“服务器层”、“认证授权方案层”、“方案组合层”的设置，使用户可以将不同类型的认证授权服务器进行自定义组合配置，形成多套认证授权的方案，从而满足各种环境的需要。
[0045]需要说明的是，本发明各设备实施方式中提到的各单元都是逻辑单元，在物理上，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现，这些逻辑单元本身的物理实现方式并不是最重要的，这些逻辑单元所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外，为了突出本发明的创新部分，本发明没有引入上述各设备实施方式以及与解决本发明所提出的技术问题关系不太密切的单元，但这并不表明不存在上述设备实施方式以及其它有关实施单元。
[0046]虽然通过参照本发明的某些优选实施方式，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。
【权利要求】
1.一种实现自定义配置AAA框架的方法，其特征是包括以下步骤: 步骤一，先将系统内存储用户信息服务器的通信接口设置为服务器层，然后对所述服务器层的通信接口进行统一封装，并将所述的通信接口注册到一个接口列表中； 步骤二，根据系统环境需求选择η (η > I)组不同的服务器，对应设置η个认证授权方案； 步骤三，将所述的η个认证授权方案进行组合，形成方案组合层，以满足复杂认证授权的需求。
2.根据权利要求1所述的一种实现自定义配置AAA框架的方法，其特征是，所述的认证授权方案包括选择在认证授权过程中要使用的服务器，并对这些服务器的顺序进行排列的步骤。
3.根据权利要求1所述的一种实现自定义配置AAA框架的方法，其特征是，所述的认证授权方案还包括在所述服务器层中任意选择要使用的服务器，并自由排列它们的顺序的步骤。
4.一种实现自定义配置AAA框架的系统，它至少包括客户端通信接口、系统内存储用户信息服务器及其对应的通信接口，其特征是，在客户端通信接口与存储用户信息服务器之间连接有服务器层模块、自定义认证授权方案模块及方案组合模块。
5.根据权利要求4所述的一种实现自定义配置AAA框架的系统，其特征是，所述的服务器层模块是由系统内存储用户信息服务器的通信接口连接构成，用以对所述通信接口进行统一封装，并注册到接口列表中，以保证各个通信接口的格式和参数额一致，使得自定义认证授权配置方案模块可以方便地在所述列表中找到需要的通信接口。
6.根据权利要求4所述的一种实现自定义配置AAA框架的系统，其特征是，所述的自定义认证授权方案模块用以选择系统需使用的服务器、并对选择后的服务器进行排序。
【文档编号】H04L9/32GK104348790SQ201310325282
【公开日】2015年2月11日 申请日期:2013年7月30日 优先权日:2013年7月30日
【发明者】田锴, 杨兆民 申请人:华耀(中国)科技有限公司