CN101166173B - 一种单点登录系统、装置及方法 - Google Patents

一种单点登录系统、装置及方法 Download PDF

Info

Publication number
CN101166173B
CN101166173B CN2006101139375A CN200610113937A CN101166173B CN 101166173 B CN101166173 B CN 101166173B CN 2006101139375 A CN2006101139375 A CN 2006101139375A CN 200610113937 A CN200610113937 A CN 200610113937A CN 101166173 B CN101166173 B CN 101166173B
Authority
CN
China
Prior art keywords
network equipment
sign
unit
user terminal
visit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2006101139375A
Other languages
English (en)
Other versions
CN101166173A (zh
Inventor
金建林
袁隽
郭卫增
杨朝令
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Science and Technology Beijing USTB
Original Assignee
ZZNODE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZZNODE Corp filed Critical ZZNODE Corp
Priority to CN2006101139375A priority Critical patent/CN101166173B/zh
Publication of CN101166173A publication Critical patent/CN101166173A/zh
Application granted granted Critical
Publication of CN101166173B publication Critical patent/CN101166173B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种单点登录系统及方法,用于解决现有技术在用户终端访问网络设备时,难以实现直接面向设备的单点登录的问题。本发明所述系统包括:用户终端,用于向单点登录装置发送访问请求,其中含有要访问的网络设备标识以及虚拟用户身份信息;单点登录装置,用于保存每个虚拟用户可以访问的网络设备的信息,当收到访问请求时,如果确定允许该虚拟用户访问所请求的网络设备,则与该用户终端可以访问的网络设备建立连接;网络设备,用于与所述单点登录装置建立连接。本发明还提供了一种单点登录方法。本发明方案用于实现用户终端在访问网络设备时的单点登录,提高工作效率及网络设备访问的安全性。

Description

一种单点登录系统、装置及方法
技术领域
本发明涉及通信网络技术领域,尤其涉及一种单点登录系统及方法。
背景技术
电信运营业务需要大量的网络设备硬件和软件来支撑,这些设备硬件和软件通常分别由多个不同的生产厂家提供,分布在不同的地理位置,登录方式各异,每个设备都有自身的用户和权限管理功能,大量的登录用户名和口令分布存储在这些设备之中。
随着电信运营商的用户数量和业务种类的不断增多,网络规模不断扩大,设备种类和数量也越来越多。
由于网络设备数量爆炸式膨胀,但维护人员的数量有限,维护人员需要同时维护多台设备,在日常工作中需要登录不同的设备进行配置、测试和相关操作,维护人员就需要记住大量设备的口令,给维护工作增加了额外的难度。
并且,由于厂商的维护人员和运营商不同部门的维护人员,都同时具备对网络设备的操作权限,设备操作口令繁多,可是当前却缺乏系统的、有效的口令管理,最终导致设备口令丢失、窃取时有发生,口令安全隐患突出;另外,在用户访问设备的过程中,如果缺乏有效的设备访问日志记录,造成系统无法追踪用户对设备的操作,导致系统无法察觉用户的非法操作,从而使系统陷入了不可预计的危险中。
传统的设备访问,如图1所示,针对每一台设备,用户都要进行登录、身份验证、建立连接这样的过程,这就要求用户必须记住每台设备的登录名称和口令,在电信运营企业,特别是存在大量网络设备需要管理的环境中,如果都采用这样的登录方式,不仅繁琐费时,而且需要用户记录下大量的设备口令,必然存在安全方面的隐患,一旦口令丢失,或者造成信息泄漏,或者无法正常登录系统,都会影响到正常的管理工作。
基于RADIUS的设备访问,如图2所示,RADIUS是一种分布的客户/服务器系统,可以实现安全网络,拒绝未经验证的访问。
当一个用户试图登录并验证到一个使用了RADIUS的访问服务器时,会产生以下步骤:
输入用户名和密码;
用户名和加密的密码经过要访问的设备发送到网络中的RADIUS服务器,该服务器对该用户进行认证;
该用户通过了认证(ACCEPT),或者,该用户没有被认证(REJECT),允许重新输入用户名和密码,或者,拒绝访问相应设备。
连接参数,包括主机、IP地址、访问列表和用户超时。
RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。但是由于协议本身的缺陷,比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务,都使得它不太适应当前网络的发展,需要进一步改进。
传统意义的单点登录(SSO,Single Sign On),常用于企业、政府内部应用系统的访问控制,如果企业中有很多应用系统,每个系统都有相应的登录认证方式,用户进入相应的系统都要输入相应系统的登录信息,非常繁琐不便。
同时,在传统的单点登录系统中,部署Web应用也面临双重的安全挑战。首先,必须保证只有合法的用户才能访问相应的Web应用资源。其次,实施安全保护措施时应尽量避免增加用户的负担。随着业务系统的增加,每个用户需要记住多个口令,访问不同的Web应用系统采用不同的口令。这虽然能够保证用户对Web资源的合法访问,但增加了用户的负担。一方面,为了方便记忆,用户会采用简单的口令或将口令记录下来,这大大降低了应用系统的安全性;另一方面,用户每访问一个Web应用资源都需要登录一次,这又大大降低了工作效率。
传统的单点登录技术是面向应用而生,不论是普通的系统应用还是Web应用,传统的单点登录设计都难以实现直接面向设备的单点登录。
但是,在电信网管系统中,设备作为最基本的网元之一,很多最重要和最基本的系统信息都是来自于设备,因此发明建立一个面向设备的单点登录系统与装置(SASS,Single Access & Security Service),对于设备访问需要实现单点、接入和安全三个功能就显得格外关键。
发明内容
本发明提供一种直接面向设备的单点登录系统、装置及方法,用以解决现有技术在用户访问设备时,难以实现直接面向设备的单点登录的问题。
本发明系统包括:至少一个用户终端、单点登录装置以及至少一个向用户终端提供服务的网络设备,其中,
用户终端,处于Internet网络范围内,用于向单点登录装置发送访问请求,其中含有要访问的网络设备标识以及虚拟用户身份信息;
单点登录装置,用于保存每个虚拟用户可以访问的网络设备的信息,当收到访问请求时,如果确定允许该虚拟用户访问所请求的网络设备,则与该用户终端可以访问的网络设备建立连接;
所述单点登录装置包括第一协议适配单元、单点登录认证单元和第二协议适配单元,所述第一协议适配单元接收所述用户终端的访问请求,并进行协议适配;所述第二协议适配单元在获取到所述网络设备访问的格式控制信息后,发起对网络设备的访问请求,在建立与网络设备的通信连接后,返回通信连接的标识信息给单点登录认证单元;单点登录认证单元在接收到第二协议适配单元的访问请求成功响应后,建立第二协议适配单元和第一协议适配单元的访问连接数据通信信道,同时返回访问请求成功响应给用户终端;
网络设备,位于单独的业务网中,用于与所述单点登录装置建立连接。
所述的虚拟用户为可以访问单点登录装置的用户,所述虚拟用户身份信息包括虚拟用户标识和口令,每个虚拟用户可以访问网络设备的信息包括:
虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系、虚拟用户标识和虚拟用户口令的对应关系以及网络设备标识与网络设备口令之间的对应关系;
则所述单点登录装置包括:
口令管理单元,用于存储所述虚拟用户口令及网络设备口令;
所述单点登录认证单元,用于保存所述虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系;收到访问请求后,从口令管理单元中获取访问请求虚拟用户标识对应的虚拟用户口令,如果确定访问请求中的虚拟用户口令与获得的虚拟用户口令一致,以及根据所述映射关系确定该用户终端所请求的是允许访问的设备,则从所述口令管理单元中获取该虚拟用户可以访问的网络设备标识对应的口令,通过该口令与所述网络设备建立连接。
所述单点登录认证单元还包括:
日志管理单元,用于记录所述用户终端的登录信息,和/或外部访问网络设备的会话,和/或命令,和/或命令执行结果的日志信息。
所述的第一协议适配单元,用于接收到所述用户终端的访问请求后,将用户终端提交的访问信息发送给所述单点登录认证单元,所述的访问信息包括用户终端要访问的网络设备标识以及虚拟用户身份信息;
所述的第二协议适配单元,用于在单点登录认证单元通过对所述用户终端的认证后,接收单点登录认证单元的请求,从所述单点登录认证单元中的设备资源管理单元获取相应的网络设备信息,并根据该信息与所述网络设备建立连接,并返回通信连接的标识信息给单点登录认证单元;
所述的单点登录认证单元,根据所述通信连接的标识信息建立第二协议适配单元和第一协议适配单元的数据通信信道,并返回访问请求成功响应消息给所述用户终端;
所述用户终端通过所述数据通信信道与所述网络设备进行数据交互。
所述单点登录装置还包括:
设备访问多样性处理单元,用于根据不同的网络设备类型,定义不同的模板,根据网络设备类型信息,通过模板引擎解释相应的模板,得到所述网络设备的访问格式控制信息,并将该信息发送给所述第二协议适配单元;
所述第二协议适配单元根据所述网络设备的访问格式控制信息,发起对所述网络设备的访问请求。
所述单点登录装置还包括:
外部接口单元,用于向第三方应用系统提供接口;
所述的第三方应用系统通过所述外部接口单元与所述设备资源管理单元和/或所述口令管理单元进行数据共享。
本发明方法包括以下步骤:
A、在单点登录装置中建立虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系;
B、当单点登录装置收到用户终端的访问请求后,根据所述映射关系,判断用户终端是否具有访问相关网络设备的权限,如果具有,建立所述用户终端可以与要访问的网络设备进行数据交互的数据通信信道;所述用户终端处于Internet网络范围内,所述网络设备位于单独的业务网中;
所述单点登录装置包括第一协议适配单元、单点登录认证单元和第二协议适配单元,所述第一协议适配单元用于接收所述用户终端的访问请求,并进行协议适配,所述第二协议适配单元在获取到所述网络设备访问的格式控制信息后,发起对网络设备的访问请求,在建立与网络设备的通信连接后,返回通信连接的标识信息给单点登录认证单元;单点登录认证单元在接收到第二协议适配单元的访问请求成功响应后,建立第二协议适配单元和第一协议适配单元的访问连接数据通信信道,同时返回访问请求成功响应给用户终端。
步骤B所述的用户终端访问所述网络设备的过程中,该步骤进一步包括:
单点登录装置记录所述用户终端的登录信息,所述登录信息包括所述用户终端的登录请求信息及对相应网络设备的操作信息。
在执行步骤B之后,该方法进一步包括:所述用户终端通过所述单点登录装置与所述网络设备进行通信;在通信过程中,所述单点登录装置对所述用户终端和所述网络设备的协议进行协议适配。
该方法进一步包括:
预先根据不同的网络设备类型,定义不同的模板,并设置模板引擎;
所述用户终端通过所述单点登录装置与所述网络设备进行通信的步骤包括:所述模板引擎是根据网络设备类型信息,解释相应的模板,获得网络设备的访问格式控制信息;并利用访问格式控制信息访问相应的网络设备。
本发明方案通过建立虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系,用户终端只要发起一个网络设备的连接请求,之后的复杂连接步骤皆由系统自动地控制和完成,而不用再次手动的输入网络设备的口令,从而起到单点登录及口令保密的作用;
本发明装置部署在用户终端和网络设备之间,通过协议适配,可以将用户终端和网络设备完全隔离,以保证网络设备的访问安全性;
本发明装置通过日志统计管理可详细地记录用户终端每次登录网络设备的活动资料,使维护人员及系统管理员取得各种日志档案以作备份和检查;
本发明装置通过针对不同的网络设备类型定义不同的模板,通过模板引擎解释执行相应的模板,获取网络设备的访问格式控制信息,屏蔽网络设备访问的多样性,为用户终端提供统一的设备访问方式;
本发明装置还提供了第三方接口,使第三方系统可以通过该接口与本发明装置进行数据共享。
附图说明
图1为现有技术中传统的设备访问方式示意图;
图2为现有技术中基于RADIUS的设备访问方式示意图;
图3为实现本发明系统的结构示意图;
图4为实现本发明方法的流程示意图。
具体实施方式
本发明方案的核心思想为:通过建立虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系,使用户终端只要通过一次登录认证,就可以登录相关网络设备,从而避免了在登录其他网络设备时进行再次登录的麻烦;通过协议适配,使外部任意位置的用户对网络设备的访问请求从协议层上终结在单点登录装置,对网络设备的访问从单点登录装置发起,起到了协议层隔离的作用。另外,通过实行虚拟用户口令和该虚拟用户可以访问的网络设备口令的统一管理,以及对口令的加密处理也可以提高设备访问的安全性;对不同的网络设备定义不同的模板,在访问网络设备时,通过设备类型信息,利用专有的模板引擎读取相应的模板,并解释执行该模板,实现设备访问多样性的自动化。
所述的虚拟用户为用户终端访问单点登录装置时设置的用户,即该虚拟用户是该单点登录装置的用户;
而所述的虚拟用户可以访问的网络设备标识为能够访问网络设备的用户标识,即该虚拟用户可以访问的网络设备标识是所述网络设备的用户标识;
所述的虚拟用户标识与该虚拟用户可以访问的网络设备标识是一对多的关系,即一个单点登录装置的虚拟用户标识可以对应多个虚拟用户可以访问的网络设备标识,也就是说一个具有访问所述单点登录装置权限的用户终端可以通过所述单点登录装置访问不同的网络设备。
参照图3,实现本发明所述的单点登录系统包括:用户终端31、单点登录装置32、网络设备33和第三方应用系统34。
用户终端31,用于向单点登录装置32发送访问请求,其中含有要访问的网络设备34的标识以及虚拟用户身份信息;在收到单点登录装置32的登录通知后,访问自身对应的网络设备33;
所述的虚拟用户为可以访问单点登录装置32的用户;
所述虚拟用户身份信息包括虚拟用户标识和口令;
单点登录装置32,用于保存用户终端31可以访问的网络设备33的信息,当收到所述用户终端31发送的访问请求时,判断是否允许该用户终端31访问所请求的网络设备33,如果允许,与该用户终端31可以访问的网络设备33建立连接,并向该用户终端31发送登录通知;
网络设备33,与所述单点登录装置32建立连接,所述用户终端31通过所述单点登录装置32所建立的数据通道与所述网络设备33进行数据的交互。
所述的用户终端31可以访问的网络设备33的信息包括:虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系、虚拟用户标识和虚拟用户口令的对应关系以及网络设备标识与设备口令之间的对应关系。
总体来讲,所述的用户终端31向所述单点登录装置32发起登录请求,单点登录装置32根据虚拟用户标识和虚拟用户口令的对应关系对用户终端31提供的虚拟用户身份信息进行鉴权,鉴权成功意味着该用户终端31具有访问该单点登录装置32的权限,则单点登录装置32根据自身存储的虚拟用户标识和该虚拟用户可以访问的网络设备标识之间的映射关系,在用户终端31请求访问网络设备33时,判断用户终端31是否有请求访问的网络设备33的权限,是则所述单点登录装置32根据自身存储的网络设备33的访问信息,包括网络设备的名称、IP地址和网络设备类型等信息,和网络设备33的用户信息,包括网络设备33的用户标识和口令之间的对应关系,登录到网络设备33,其中的口令是经过加密处理的,那么用户终端31就可以通过单点登录装置32访问网络设备33,在整个用户终端31请求访问网络设备33的过程中,单点登录装置32记录下用户终端31的登录信息,包括请求登录信息和相关操作信息。
进一步,所述的单点登录装置32包括:第一协议适配单元321、单点登录认证单元322、口令管理单元323、第二协议适配单元324、设备访问多样性处理单元325及外部接口单元326;
所述单点登录认证单元322包括:设备资源管理单元3221、用户权限管理单元3222和日志管理单元3223;
所述的设备访问多样性处理单元325包括:模板引擎单元3251和模板单元3252。
所述的第一协议适配单元321接收所述用户终端31的访问请求,并进行协议适配,提取用户终端31的访问信息,包括网络设备33的标识,访问单点登录装置32的用户和密码信息,并将该信息提交给单点登录认证单元322进行用户认证和权限控制;其中所述的单点登录装置32的用户为虚拟用户,所述单点登录认证单元322,保存有所述虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系,在用户提出访问本系统的请求时,从口令管理单元323中获取访问请求虚拟用户标识对应的虚拟用户口令,并判断访问请求中的虚拟用户口令与获得的虚拟用户口令是否一致,如果不一致,则返回认证失败响应结果通过第一协议适配单元321返回给用户终端31;如果一致,则说明该用户终端31具有访问所述单点登录装置32的权限,根据所述映射关系,继续根据单点登录装置的权限管理规则对用户终端31和要访问的网络设备33以及网络设备33的用户的关系进行权限鉴别,鉴权失败,则返回鉴权失败响应结果通过第一协议适配单元321返回给用户终端31;如果鉴权成功,则从所述口令管理单元323中获取该虚拟用户可以访问的网络设备33的标识对应的口令信息,并从设备资源管理单元3221中获得网络设备访问信息,包括网络设备的名称、IP地址和网络设备类型等信息,并向第二协议适配单元324发送访问网络设备33的请求,并将所述网络设备访问信息和用户信息发送给第二协议适配单元324。其中,在各单元的处理过程中,日志管理单元3223进行日志记录;
第二协议适配单元324,将网络设备类型信息发送给设备访问多样性处理单元325,设备访问多样性处理单元325接收网络设备类型信息,根据该信息从模板单元3252中查询获取相应的模板,然后由模板引擎单元3251对所述相应的模板配置进行解释,获得网络设备访问的格式控制信息,并将该信息返回给第二协议适配单元324;
第二协议适配单元324在获取到所述网络设备访问的格式控制信息后,发起对网络设备33的访问请求,在建立与网络设备33的通信连接后,返回通信连接的标识信息给单点登录认证单元322;
单点登录认证单元322在接收到第二协议适配单元324的访问请求成功响应后,建立第二协议适配单元324和第一协议适配单元321的访问连接数据通信信道,同时返回访问请求成功响应给用户终端31;
用户终端31通过建立的访问连接数据通信信道直接与网络设备33进行命令操作和数据交互,在交互过程中,通过日志管理单元3223记录会话和操作过程日志信息。
用户终端31访问结束后,拆除访问连接数据通信信道。
另外,单点登录装置32维护一套网络设备资源信息,和网络设备访问的用户及口令信息,在电信运营支撑管理体系中,存在第三方的网络资源管理系统或第三方的访问设备,即本实施例中所述第三方应用系统34,因此网络设备资源信息和/或网络设备用户及口令信息需要共享,单点登录装置32通过外部接口单元326使设备资源管理单元3221和/或口令管理单元323与第三方应用系统34进行数据共享。
其中,所述的映射关系是通过在数据库里建立二维表,将所述虚拟用户标识和该虚拟用户可以访问的网络设备标识进行映射,减少用户记录太多的账户和密码,同时又可以使得虚拟用户的口令和网络设备的口令实现统一的维护和管理;
所述的登录信息包括用户终端的登录请求信息以及对网络设备进行的操作信息。
所述设备资源管理单元3221,用于存储所述系统的网络设备标识以及可以访问该网络设备的用户标识,包括所述单点登录装置32管理的所有网络设备以及访问这些网络设备的信息,即所述单点登录装置32都管理了哪些网络设备,都有哪些用户可以登录这些设备。
所述用户权限管理单元3222,在用户终端31提出登录所述单点登录装置32的请求时,该请求包括虚拟用户的标识和口令,从所述口令管理单元323中获取访问请求虚拟用户标识对应的虚拟用户口令,并判断访问请求中的虚拟用户口令与所述用户终端31提出请求时提供的虚拟用户口令是否一致,如果一致,所述用户终端31具有登录单点登录装置32的权限,则本单元再根据所述用户终端31提出的网络设备33的访问请求,该请求中包括网络设备33的标识,本单元再根据所述设备资源管理单元3221的网络设备33的标识和可以访问该网络设备33的用户标识对应的所述虚拟用户标识,以及该虚拟用户可以访问的网络设备标识之间的映射关系,判断该用户终端31所请求的是否是允许访问的网络设备33,如果是,从所述口令管理单元323中获取该虚拟用户可以访问的网络设备33的标识对应的口令,通过该口令与所述网络设备33建立连接;
其中,所述用户权限管理单元3222对所述用户权限的管理方法可以为:
将所述系统中的网络设备进行分类,定义不同类型网络设备的登录权限;
定义可以访问所述不同类型网络设备的不同角色,即每个角色定义为可对不同类型设备设备进行登录的权限;
定制不同用户的角色,即同一个用户可以同时拥有多个角色,而该用户的权限等于该多个角色所拥有的权限之和。
例如运营商目前拥有五台设备分别是1、2、3、4、5,分属两个部门甲、乙,甲部门管理设备1、2和3,乙部门管理设备4和5。甲部门的人员是张三、乙部门的人员是李四,两个部门都由同一个经理管理。那么根据上面的分析,要定义两个角色,即甲和乙。角色甲拥有对设备1、2和3的访问权限,角色乙拥有对设4和5的访问权限。而用户只能通过归属到角色才能拥有权限,因此用户张三拥有角色甲的权限,李四拥有角色乙的权限,假设部门来了新员工,只要把对应的角色分配给他就可以了。对于经理而言,他可以同时拥有两个角色甲和乙的权限。这样定义的好处在于,无论是新添加用户还是新添加设备,都不用分别设置用户和设备的对应关系,降低了工作量和出错的几率。
那么用户终端通过虚拟用户访问所述单点登录装置32时,根据与用户信息的对应关系,可以具有不同角色的权限,即可以访问不同类型的网络设备。
日志管理单元3223,用于记录所述用户终端31的登录信息,该登录信息包括用户终端31的登录请求信息及对网络设备33的操作信息;
即日志管理单元3223详细地记录用户终端31每次的登录活动资料,如登录的时间、用户名称,同时也记录用户终端31与网络设备33连线和互动的活动信息,如登录网络设备33的时间、虚拟用户标识、网络设备标识和曾使用的操作指令。此外,日志管理单元3223还提供介面给维护人员及系统管理员取得各种日志档案以作备份和检查,使系统管理员可通过浏览器追踪用户终端31的登录和与网络设备33进行连接的活动。
口令管理单元323,用于存储所述虚拟用户口令及所述虚拟用户可以访问的网络设备33的标识对应的口令,并对所述口令进行加密处理;
该口令管理单元323可以单独设置在一台服务器上,而且只具有与单点登录认证单元特定的接口,不支持其他访问接口,因此安全性高。
电信运维人员处于Internet网络范围内,网络设备位于单独的业务网络中,为了网络设备的安全,在网络规划和部署中,是禁止Internet网络中的请求直接访问业务网络中的网络设备的。
实际的运维过程中,运维人员直接对设备进行操作,管理和维护是不可避免的,协议适配单元对网络访问协议进行适配和转换,把来自于Internet的访问请求在数据内容上不变,在协议处理上进行适配;网络通信和数据交换中,单点登录装置对于Internet网络的请求是服务器,为Internet的访问请求提供服务,对于网络设备是客户端,发起对网络设备的访问请求,发送操作命令并获取执行结果和数据。Internet网对网络设备的访问请求由单点登录装置中的协议适配单元实现内部的转换和适配,通过面向网络设备的业务网服务的客户端应用转发请求到网络设备业务网,从而实现公网用户请求对业务网设备的操作、管理和维护。
单点登录装置中,在面向Internet侧的服务器应用和面向业务网的客户端应用之间通过内部数据通信管道建立数据信道,数据信道的建立、监视和维护由单点登录装置根据业务需求和控制策略进行管理,因此在单点登录装置通过协议适配解决实际需求的同时,还实现了对数据内容的过滤、监视和日志记录,并可以提供安全机制对信道建立进行控制。
单点登录装置支持的协议适配不仅包括对等协议的适配,还支持非对等访问协议的适配。例如公网到单点登录装置和单点登录装置到业务网之间都是telnet;或者公网到单点登录装置之间是telnet,单点登录装置到业务网之间是SSH。
外部接口单元326,向第三方系统提供软件接口,实现与第三方资源系统或者安全管理系统的数据共享。
即外部接口单元326是给第三方系统提供的软件接口,可以使其他厂家的网络资源管理系统或者安全口令管理系统34与单点登录装置32进行网络设备资源数据或者网络设备安全口令数据的共享。如果用户并无第三方的软件,可以不安装这个单元。
设备访问多样性处理单元325,对不同的网络设备定义不同的模板,在访问网络设备时,所述的模板引擎单元3251从设备资源管理单元3221获取要访问的网络设备的类型信息,并根据该信息找到相应的模板,并解释执行该模板,实现设备访问多样性的自动化;其中所述的模板单元3252存储了根据各种设备类型定义的各种模板。
设备访问的多样性发生在单点登录装置和业务网之间的访问过程中,由于网络设备以及业务系统的供应厂商的不同,虽然在设备和业务系统访问的协议标准和规范方面是相同的,但是由于实现方式、手段、技术和习惯的不同,造成了设备访问上的多样性,比如两个不同厂商生产的路由器都提供telnet的访问,但是在数据格式上却不相同,对于运维人员,就必须面对这种差异,操作不同的路由器的时候就要按照不同厂商提供的访问方式进行操作。
单点登录装置的设备访问多样性处理单元解决设备访问多样性的技术方案是通过模板,不同设备的访问方式是不同的,但是对于同一类型的设备或者业务系统,访问的方式一定是相同的,并且访问的操作控制格式是固定的,可以模板化的。对于不同的设备类型,按照模板规则定义不同的模板对象。
设备访问多样性处理单元通过模板定义工具,对不同的设备类型定义访问模板。在单点登录装置访问业务网的时候,专有的模板引擎模块读取对应的模板,并解释执行该模板,自动化解决设备访问差异化问题。
那么综合起来说明本发明系统的工作过程为:
用户终端31在通过单点登录装置32访问网络设备33时,首先通过第一协议适配单元321将网络设备33的设备信息和虚拟用户信息发送给单点登录认证单元322,单点登录认证单元322对用户访问该单点登录装置32的权限进行判断,所述单点登录认证单元322中的用户权限管理单元3222,根据口令管理单元323中存储的虚拟用户口令信息判断该用户是否具有登录单点登录装置32的权限,如果不具有权限,则通过第一协议适配单元321返回失败响应消息给用户终端31,如果具有权限,则根据所述用户权限管理单元3222中的虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系判断所述用户终端31是否具有访问所述网络设备33的权限,如果不具有权限,则通过第一协议适配单元321返回失败响应消息给用户终端31,如果具有这样的权限,则从设备资源管理单元3221中获取网络设备33的相关信息,其中包括网络设备33的设备类型信息,以及口令管理单元323的所述虚拟用户口令及所述虚拟用户可以访问的网络设备33的标识对应的口令信息,将该信息发送给第二协议适配单元324,第二协议适配单元324将网络设备33的设备类型信息发送给设备访问多样性处理单元325,设备访问多样性处理单元325根据所述设备类型信息查找相应的模板,模板引擎单元3251对该模板进行解释执行,获取网络设备33的访问格式控制信息,并将该信息发送给第二协议适配单元324,第二协议适配单元324根据该信息以及网络设备33的相关信息和网络设备33的用户信息与所述网络设备33建立连接,并返回通信连接的标识信息给单点登录认证单元322,单点登录认证单元322建立第一协议适配单元321和第二协议适配单元324的访问连接通信信道,并返回访问请求成功响应消息给用户终端31,那么所述用户终端31就可以通过单点登录装置32所建立的访问连接通信信道与网络设备33进行数据交互。
在数据传输过程中,经过协议适配单元的协议适配,使公网任意位置的用户终端31对网络设备33的访问请求从协议层上终结在单点登录装置32,从单点登录装置32发起对网络设备33的访问请求,保证了网络设备33的访问安全性,与此同时,日志管理单元3223记录所述用户终端31的登录信息,和/或外部访问网络设备33的会话,和/或命令,和/或命令执行结果的日志信息;另外,当有第三方应用系统34请求与单点登录装置32进行数据共享时,该系统可以是外部的资源系统,也可以是外部的安全系统,可以通过外部接口单元326与单点登录装置32相连接,通过所述的设备资源管理单元3221和/或口令管理单元323与所述的第三方应用系统34进行数据的共享。
参照图4,与本发明所述系统相对应的一种单点登录方法包括以下步骤:
S401、用户终端向单点登陆装置提出访问网络设备的请求;
用户终端在发起访问请求时,提供的信息包括:需要访问的网络设备的标识信息,访问单点登录装置的用户标识及密码信息,所述的单点登录装置的用户相对于网络设备的用户来说为虚拟用户,即所述提交的信息包括虚拟用户标识和密码。
S402、判断用户终端是否具有访问单点登陆装置的权限;
在所述单点登录装置收到用户终端的访问请求后,根据访问请求虚拟用户标识对应的虚拟用户口令,并判断访问请求中的虚拟用户口令与所述用户终端提供的虚拟用户口令是否一致,如果一致,则进行步骤S403,否则拒绝用户终端的访问请求,结束。
S403、判断用户终端是否具有访问网络设备的权限;
单点登录装置根据虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系,判断用户终端是否具有访问所述网络设备的权限,是则进行步骤S404,否则进行步骤S409,拒绝用户终端的访问请求。
S404、获取网络设备访问信息和网络设备用户信息;
根据所述映射关系获取网络设备访问信息和网络设备用户信息;
其中所述的网络设备访问信息包括网络设备的名称、IP地址和网络设备类型等信息。
S405、根据网络设备访问信息中的网络设备类型信息获取网络设备的访问格式控制信息;
通过预先对不同的网络设备定义不同的解析模板,并设置了专有的模板引擎;
通过网络设备类型,查找相应的模板,并通过模板引擎读取对应的模板,并解释执行,获取网络设备的访问格式控制信息。
S406、根据所述网络设备的访问格式控制信息、网络设备访问信息和网络设备用户信息单点登录装置与网络设备建立连接;
S407、单点登录装置建立访问连接通信信道;
单点登录装置与所述的网络设备建立连接后,在单点登录装置内部建立一条访问连接通信信道,该信道建立后,并向用户终端返回访问请求成功响应消息。
S408、用户终端通过所述访问连接通信信道与所述网络设备进行数据交互;
所述的数据交互包括命令的操作等;
其中,单点登录装置通过协议适配,使外部任意位置的用户对网络设备的访问请求从协议层上终结在单点登录装置,对网络设备的访问从单点登录装置发起,起到了协议层隔离的作用;
在整个用户终端请求访问网络设备的过程中,单点登录装置记录下用户终端的登录信息,包括请求登录网络设备的信息以及对所述网络设备的操作信息,另外,单点登录装置还可以提供介面给维护人员及系统管理员,使他们可以取得各种日志档案,以作备份和检查,系统管理员还可通过浏览器追踪用户终端的登录和连接网络设备的活动。
S409、结束。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种直接面向设备的单点登录系统,其特征在于,该系统包括:至少一个用户终端、单点登录装置以及至少一个向用户终端提供服务的网络设备,其中,
用户终端,处于Internet网络范围内,用于向单点登录装置发送访问请求,其中含有要访问的网络设备标识以及虚拟用户身份信息;
单点登录装置,用于保存每个虚拟用户可以访问的网络设备的信息,当收到访问请求时,如果确定允许该虚拟用户访问所请求的网络设备,则与该用户终端可以访问的网络设备建立连接;
所述单点登录装置包括第一协议适配单元、单点登录认证单元和第二协议适配单元,所述第一协议适配单元接收所述用户终端的访问请求,并进行协议适配;所述第二协议适配单元在获取到所述网络设备访问的格式控制信息后,发起对网络设备的访问请求,在建立与网络设备的通信连接后,返回通信连接的标识信息给单点登录认证单元;单点登录认证单元在接收到第二协议适配单元的访问请求成功响应后,建立第二协议适配单元和第一协议适配单元的访问连接数据通信信道,同时返回访问请求成功响应给用户终端;
网络设备,位于单独的业务网中,用于与所述单点登录装置建立连接。
2.根据权利要求1所述的系统,其特征在于,所述的虚拟用户为可以访问单点登录装置的用户,所述虚拟用户身份信息包括虚拟用户标识和口令,每个虚拟用户可以访问网络设备的信息包括:
虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系、虚拟用户标识和虚拟用户口令的对应关系以及网络设备标识与网络设备口令之间的对应关系;
则所述单点登录装置包括:
口令管理单元,用于存储所述虚拟用户口令及网络设备口令;
所述单点登录认证单元,用于保存所述虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系;收到访问请求后,从口令管理单元中获取访问请求虚拟用户标识对应的虚拟用户口令,如果确定访问请求中的虚拟用户口令与获得的虚拟用户口令一致,以及根据所述映射关系确定该用户终端所请求的是允许访问的设备,则从所述口令管理单元中获取该虚拟用户可以访问的网络设备标识对应的口令,通过该口令与所述网络设备建立连接。
3.如权利要求2所述的系统,其特征在于,所述单点登录认证单元还包括:日志管理单元,用于记录所述用户终端的登录信息,和/或外部访问网络设备的会话,和/或命令,和/或命令执行结果的日志信息。
4.如权利要求1至3任意一项所述的系统,其特征在于,
所述的第一协议适配单元,用于接收到所述用户终端的访问请求后,将用户终端提交的访问信息发送给所述单点登录认证单元,所述的访问信息包括用户终端要访问的网络设备标识以及虚拟用户身份信息;
所述的第二协议适配单元,用于在单点登录认证单元通过对所述用户终端的认证后,接收单点登录认证单元的请求,从所述单点登录认证单元中的设备资源管理单元获取相应的网络设备信息,并根据该信息与所述网络设备建立连接,并返回通信连接的标识信息给单点登录认证单元;
所述的单点登录认证单元,根据所述通信连接的标识信息建立第二协议适配单元和第一协议适配单元的数据通信信道,并返回访问请求成功响应消息给所述用户终端;
所述用户终端通过所述数据通信信道与所述网络设备进行数据交互。
5.如权利要求4所述的系统,其特征在于,所述单点登录装置还包括:
设备访问多样性处理单元,用于根据不同的网络设备类型,定义不同的模板,根据网络设备类型信息,通过模板引擎解释相应的模板,得到所述网络设备的访问格式控制信息,并将该信息发送给所述第二协议适配单元;
所述第二协议适配单元根据所述网络设备的访问格式控制信息,发起对所述网络设备的访问请求。
6.如权利要求5所述的系统,其特征在于,所述单点登录装置还包括:
外部接口单元,用于向第三方应用系统提供接口;
所述的第三方应用系统通过所述外部接口单元与所述设备资源管理单元和/或所述口令管理单元进行数据共享。
7.一种直接面向设备的单点登录的方法,其特征在于,该方法包括以下步骤:
A、在单点登录装置中建立虚拟用户标识与该虚拟用户可以访问的网络设备标识之间的映射关系;
B、当单点登录装置收到用户终端的访问请求后,根据所述映射关系,判断用户终端是否具有访问相关网络设备的权限,如果具有,建立所述用户终端可以与要访问的网络设备进行数据交互的数据通信信道;所述用户终端处于Internet网络范围内,所述网络设备位于单独的业务网中;
所述单点登录装置包括第一协议适配单元、单点登录认证单元和第二协议适配单元,所述第一协议适配单元用于接收所述用户终端的访问请求,并进行协议适配,所述第二协议适配单元在获取到所述网络设备访问的格式控制信息后,发起对网络设备的访问请求,在建立与网络设备的通信连接后,返回通信连接的标识信息给单点登录认证单元;单点登录认证单元在接收到第二协议适配单元的访问请求成功响应后,建立第二协议适配单元和第一协议适配单元的访问连接数据通信信道,同时返回访问请求成功响应给用户终端。
8.如权利要求7所述的方法,其特征在于,步骤B所述的用户终端访问所述网络设备的过程中,该步骤进一步包括:
单点登录装置记录所述用户终端的登录信息,所述登录信息包括所述用户终端的登录请求信息及对相应网络设备的操作信息。
9.如权利要求7所述的方法,其特征在于,在执行步骤B之后,该方法进一步包括:所述用户终端通过所述单点登录装置与所述网络设备进行通信;在通信过程中,所述单点登录装置对所述用户终端和所述网络设备的协议进行协议适配。
10.如权利要求9所述的方法,其特征在于,该方法进一步包括:
预先根据不同的网络设备类型,定义不同的模板,并设置模板引擎;
所述用户终端通过所述单点登录装置与所述网络设备进行通信的步骤包括:所述模板引擎是根据网络设备类型信息,解释相应的模板,获得网络设备的访问格式控制信息,并利用访问格式控制信息访问相应的网络设备。
CN2006101139375A 2006-10-20 2006-10-20 一种单点登录系统、装置及方法 Active CN101166173B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2006101139375A CN101166173B (zh) 2006-10-20 2006-10-20 一种单点登录系统、装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2006101139375A CN101166173B (zh) 2006-10-20 2006-10-20 一种单点登录系统、装置及方法

Publications (2)

Publication Number Publication Date
CN101166173A CN101166173A (zh) 2008-04-23
CN101166173B true CN101166173B (zh) 2012-03-28

Family

ID=39334646

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006101139375A Active CN101166173B (zh) 2006-10-20 2006-10-20 一种单点登录系统、装置及方法

Country Status (1)

Country Link
CN (1) CN101166173B (zh)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599831B (zh) * 2008-06-06 2011-09-21 中兴通讯股份有限公司 一种通信网络安全管理方法及系统
CN101478485B (zh) * 2009-01-19 2012-04-04 成都市华为赛门铁克科技有限公司 局域网访问控制的方法以及网关设备
US9178766B2 (en) 2010-06-28 2015-11-03 Amazon Technologies, Inc. Provisioning multiple network resources
CN102739708B (zh) * 2011-04-07 2015-02-04 腾讯科技(深圳)有限公司 一种基于云平台访问第三方应用的系统及方法
CN102739427B (zh) * 2011-04-15 2015-07-01 北京百度网讯科技有限公司 网络百科用户管理系统及其制作方法、应用的访问方法
CN102413125B (zh) * 2011-11-02 2014-09-03 深圳中兴力维技术有限公司 一种单点登录方法及系统
CN103139182B (zh) * 2011-12-01 2016-04-06 北大方正集团有限公司 一种允许用户访问的方法、客户端、服务器以及系统
CN102420836A (zh) * 2012-01-12 2012-04-18 中国电子科技集团公司第十五研究所 业务信息系统的登录方法以及登录管理系统
CN102664756B (zh) * 2012-04-24 2015-07-22 北京星网锐捷网络技术有限公司 设备访问方法、装置及系统
CN102984169A (zh) * 2012-12-11 2013-03-20 中广核工程有限公司 单点登录方法、设备及系统
KR101541591B1 (ko) * 2013-05-16 2015-08-03 삼성에스디에스 주식회사 Vdi 환경에서의 싱글 사인온 시스템 및 방법
CN105472015A (zh) * 2015-12-22 2016-04-06 广州华多网络科技有限公司 云平台接入第三方应用的方法和装置
CN107465633A (zh) * 2016-06-06 2017-12-12 中兴通讯股份有限公司 基于软件定义网络的资源管理方法及装置
CN106156563A (zh) * 2016-06-29 2016-11-23 宇龙计算机通信科技(深圳)有限公司 一种数据保护方法及终端设备
US10484382B2 (en) 2016-08-31 2019-11-19 Oracle International Corporation Data management for a multi-tenant identity cloud service
JP6960450B2 (ja) * 2016-09-14 2021-11-05 オラクル・インターナショナル・コーポレイション マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのシングルサインオンおよびシングルログアウト機能
US10594684B2 (en) 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
US10445395B2 (en) 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
CN106790272A (zh) * 2017-02-16 2017-05-31 济南浪潮高新科技投资发展有限公司 一种单点登录的系统及方法、一种应用服务器
US10831789B2 (en) 2017-09-27 2020-11-10 Oracle International Corporation Reference attribute query processing for a multi-tenant cloud service
US10715564B2 (en) 2018-01-29 2020-07-14 Oracle International Corporation Dynamic client registration for an identity cloud service
US11792226B2 (en) 2019-02-25 2023-10-17 Oracle International Corporation Automatic api document generation from scim metadata
US11423111B2 (en) 2019-02-25 2022-08-23 Oracle International Corporation Client API for rest based endpoints for a multi-tenant identify cloud service
US11870770B2 (en) 2019-09-13 2024-01-09 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration
US11687378B2 (en) 2019-09-13 2023-06-27 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability
CN111259355A (zh) * 2020-02-12 2020-06-09 深信服科技股份有限公司 单点登录方法、门户系统、服务平台
CN111859324B (zh) * 2020-07-16 2024-03-15 北京百度网讯科技有限公司 授权的方法、装置、设备以及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
CN1725687A (zh) * 2005-01-26 2006-01-25 杭州华为三康技术有限公司 一种安全认证方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
CN1725687A (zh) * 2005-01-26 2006-01-25 杭州华为三康技术有限公司 一种安全认证方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
李宏涛等.目录服务与统一身份认证的设计与实现.甘肃科技21 12.2005,21(12),65,42.
李宏涛等.目录服务与统一身份认证的设计与实现.甘肃科技21 12.2005,21(12),65,42. *
杜娟等.多系统用户单点登陆系统解决方案.科技资讯 25.2006,(25),201-202.
杜娟等.多系统用户单点登陆系统解决方案.科技资讯 25.2006,(25),201-202. *
杨帆等.企业级单点登陆系统模型的设计与实现.微电子学与计算机22 6.2005,22(6),217-220.
杨帆等.企业级单点登陆系统模型的设计与实现.微电子学与计算机22 6.2005,22(6),217-220. *

Also Published As

Publication number Publication date
CN101166173A (zh) 2008-04-23

Similar Documents

Publication Publication Date Title
CN101166173B (zh) 一种单点登录系统、装置及方法
US8627417B2 (en) Login administration method and server
CN106411857B (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
CN101741817B (zh) 一种多网络融合系统、装置及方法
JP3415456B2 (ja) ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体
US20090094682A1 (en) Methods and systems for user authorization
EP1830512B1 (en) A method and system for realizing the domain authentication and network authority authentication
CN107277049A (zh) 一种应用系统的访问方法及装置
CN105516171B (zh) 基于认证服务集群的Portal保活系统及方法、认证系统及方法
CN104159225A (zh) 一种基于无线网络的实名制管理方法及系统
CN112788031A (zh) 基于Envoy架构的微服务接口认证系统、方法及装置
KR20150137518A (ko) 하이브리드 클라우드기반 ict서비스시스템 및 그 방법
WO2013046336A1 (ja) グループ定義管理システム
CN111447180A (zh) 一种电力物联网边缘接入管理系统安全访问控制策略
CN102820999A (zh) 云端虚拟桌面应用的网络服务等级与功能的管控系统与方法
CN108243164B (zh) 一种电子政务云计算跨域访问控制方法和系统
JP6840505B2 (ja) システム、サービス提供装置、システムの制御方法およびプログラム
US20190253891A1 (en) Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration
CN109905402B (zh) 基于ssl vpn的sso登录方法和装置
CN117195177A (zh) 一种面向大数据平台的统一用户管理系统及方法
CN114466038B (zh) 一种电力物联网的通信防护系统
US20230315830A1 (en) Web-based authentication for desktop applications
KR100273776B1 (ko) 인터넷 접속 및 서비스 사용 인증을 위한 통합인증 시스팀 및그 처리 방법
CN103001928A (zh) 不同网络间终端互联的通信方法
JPH0779243A (ja) ネットワーク接続装置およびネットワーク接続方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Assignee: Beijing Science and Technology Co., Ltd.

Assignor: ZZNode Corporation

Contract record no.: 2012110000061

Denomination of invention: A single-node login system, device and method

Granted publication date: 20120328

License type: Exclusive License

Open date: 20080423

Record date: 20120417

EC01 Cancellation of recordation of patent licensing contract

Assignee: Beijing Science and Technology Co., Ltd.

Assignor: ZZNode Corporation

Contract record no.: 2012110000061

Date of cancellation: 20130620

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
ASS Succession or assignment of patent right

Owner name: BEIJING ZZNODE TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: ZZNODE CORPORATION

Effective date: 20130801

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100080 HAIDIAN, BEIJING TO: 100190 HAIDIAN, BEIJING

TR01 Transfer of patent right

Effective date of registration: 20130801

Address after: 100190 Beijing city Haidian District North Fourth Ring Road No. 9 Yingu building room 1506

Patentee after: Beijing Science and Technology Co., Ltd.

Address before: 100080 Beijing city Haidian District North Fourth Ring Road No. 9 Yingu building room 1506

Patentee before: ZZNode Corporation