CN101431402B - Ldap账号源与aaa系统的高效挂接方法 - Google Patents
Ldap账号源与aaa系统的高效挂接方法 Download PDFInfo
- Publication number
- CN101431402B CN101431402B CN2007101242760A CN200710124276A CN101431402B CN 101431402 B CN101431402 B CN 101431402B CN 2007101242760 A CN2007101242760 A CN 2007101242760A CN 200710124276 A CN200710124276 A CN 200710124276A CN 101431402 B CN101431402 B CN 101431402B
- Authority
- CN
- China
- Prior art keywords
- account
- ldap
- aaa
- template
- radius
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000008878 coupling Effects 0.000 claims description 14
- 238000010168 coupling process Methods 0.000 claims description 14
- 238000005859 coupling reaction Methods 0.000 claims description 14
- 238000013461 design Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 2
- 230000013011 mating Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种LDAP账号源与AAA系统的高效挂接方法,在管理系统中设计至少一个账号分组模板,每个模板由至少三个元素组成;账号通过RADIUS服务系统认证时,RADIUS服务系统借助LDAP系统认证该账号,并获取该账号的LDAP关键属性;认证通过后,RADIUS或者RADIUS可访问的软件模块分析账号分组模板,根据匹配模式和优先级匹配出最优的模板;根据模板中的最后一个元素AAA账号组,确定账号所属的AAA分组;根据AAA分组结果,查询对应的接入控制逻辑,为账号提供接入控制服务。本发明使得AAA系统挂接LDAP账号源十分便捷,使得用户账号登录即能获得最新的对应的接入控制逻辑;使得定义账号的接入控制逻辑灵活,能够提供AAA系统的差异化服务。
Description
技术领域
本发明涉及通信领域,AAA系统以LDAP账号数据库为账号源为电信提供IP接入控制业务。
背景技术
RADIUS(Remote Authentication Dial In User Service,即:远程用户拨号认证系统,是由RFC2865,RFC2866定义的,是目前应用最广泛的AAA协议)服务为核心内容的AAA(AAA的含义是,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。)系统中,需要提供对请求账号的接入控制逻辑。AAA系统可以具有自身的账号管理系统,但在某些应用场景的目标客户(Customer,下面简称为C),如一个企业或者大学,它们可能在部署AAA系统之前已经具有了较为完善的LDAP((LDAP的英文全称是Lightweight Directory Access Protocol,中文译文是轻量级目录访问协议;)账号数据库。C在整个内部的管理中引入了单点认证机制,即所有内部应用系统的账号登录请求都通过转发给LDAP账号系统来完成。
此时,AAA系统的传统做法是,在部署完成AAA系统,初始化AAA系统业务数据时,将LDAP账号数据库内的账号或与账号紧密关联的LDAP区分名及附属信息通过程序统一拷贝入AAA系统的账号系统,并通过人工方式指定拷贝后的每个账号在AAA系统内的接入控制逻辑。在LDAP账号系统更新账号信息后,AAA系统也无法及时获取更新内容,需要靠人工刷新或者事先设计的定时刷新程序去刷新。
这种做法缺陷是:首先本质上它破坏了C内部的单点认证机制,不是真正意义上的统一认证机制,因为事实上C内部具有了两套帐号系统,增加了账号管理和登录管理的复杂度;其次,它无法及时跟随更新账号变更信息,使AAA用户服务滞后;第三,如需要统一变更某一类具有分组意义(如某个部门、某个宿舍楼)的账号的接入控制逻辑,十分困难;第四,人工刷新需要提供额外的人力,而定时刷新则由于LDAP账号系统的规模,给系统带来了额外的负荷。并且刷新后新增的账号还需要人工指定(虽然也可以指定默认值,但缺乏灵活性)对应的AAA接入控制逻辑。
发明内容
本发明所要解决的技术问题是:通过AAA系统高效挂接LDAP账号数据源,使得能维持应用场景的单点认证机制,能对LDAP账号进行恰当的自动化的分组并提供及时的差异化的AAA服务。
为解决上述问题,本发明公开了一种AAA系统高效挂接LDAP账号数据源的方法,具体步骤如下:
步骤一,在管理系统中设计至少一个账号分组模板,每个模板由至少三个元素组成,即LDAP账号匹配模式、匹配优先级、AAA账号组;
步骤二,账号通过RADIUS服务系统认证时,RADIUS服务系统借助LDAP系统认证该账号,并获取该账号的LDAP关键属性,即:LDAP账号匹配模式直接使用的属性;AAA系统中不保存,或不同步任何LDAP系统的账号信息;
步骤三,在步骤二认证通过后,RADIUS或者RADIUS可访问的软件模块分析步骤一中的账号分组模板,根据匹配模式和优先级匹配出最优的模板;根据模板中的最后一个元素AAA账号组,确定步骤二中账号所属的AAA帐号组;
步骤四,根据步骤三的AAA账号组结果,查询对应的接入控制逻辑,为账号提供接入控制服务。
步骤一中,事先设计LDAP账号数据库中账号的分组模板,根据模板决定某个LDAP账号应该使用何种AAA接入控制逻辑;
步骤二中,RADIUS直接借助于LDAP账号数据库对请求账号进行认证,维持应用场景单点认证的特性;
所述的RADIUS服务系统借助LDAP系统认证账号是通过账号和密码配合认证的;
通过账号和密码配合认证账号的具体过程是:首先是搜索账号,账号未搜索到则认证失败;搜索到后,进行密码比较,密码不一致则认证失败,反之认证成功;
步骤三中,由RADIUS或者其可访问的程序模块分析分组模板,并决定请求账号的AAA分组;因分组模板的匹配模式中含有LDAP账号及关键附属属性,从而当该LDAP账号及关键附属属性信息变更时,RADIUS或者其可访问的程序模块的分析结果也会随之变更,从而第一时间变更对应的接入控制逻辑;
步骤三所述的根据匹配模式和优先级匹配出最优的模板,具体过程是当用户账号对应的LDAP属性在所有分组模板中匹配上了大于等于1个时,根据模板内的优先级决定采用哪个分组模板;
步骤四中,RADIUS根据最后根据LDAP账号在AAA系统中的分组结果,为请求LDAP账号提供接入控制逻辑。分组结果并不是存储在AAA数据库中相对固定不变的,用户每次接入请求时,用户帐号对应的AAA账号组(包含了接入控制逻辑)都是通过账号分组模板中描述的规则即时计算匹配得出的,而不是存储在数据库内相对固定不变的,而是即时分析的结果。
本发明所提供的方法通过事先定义LDAP账号分组模板,账号认证时根据账号在LDAP服务器内的属性在账号分组模板中即时匹配AAA账号组,使得AAA系统挂接LDAP账号源十分便捷,仅需定义至少一个LDAP账号分组模板;由于没有复制任何账号信息,维持目标客户范围内唯一的账号源,使得加入AAA系统后,保持真正意义上的单点认证,避免多点情况下,给客户带来登录管理和账号管理的困难;
另外,本发明由于帐号认证时,采用了即时匹配AAA账号组的方法,使得用户账号登录即能获得最新的对应的接入控制逻辑;
本发明由于采用了根据LDAP内的账号的各种属性进行AAA账号组(内含接入控制逻辑)划分,使得定义账号的接入控制逻辑灵活,能够提供AAA系统的差异化服务。
附图说明
图1为本方法的总体流程示意图。
具体实施方式
下面结合附图对本发明作进一步的说明:
首先,预先配置具体内容如下:
定义几个概念。匹配约束项:一个LDAP属性的值与一个正则表达式或通配表达式的匹配,称为一个匹配约束项。V与M匹配,则书写为V=M;V与M不匹配,则书写为V◇M的形式。一个匹配约束项是一个布尔”等于”或”不等于”的表达式;匹配表达式:若干个匹配约束项按照布尔关系的组合,称为匹配表达式,匹配表达式是布尔表达式。匹配表达式也称为匹配模式。
一个分组模板至少由LDAP账号匹配模式、匹配优先级、AAA账号组三项组成。
在设计匹配模式时,一般选取包括但不限于部门编号、学号、工号等具有实际划分意义的属性的值用作V值。M则是根据AAA系统规划的接入服务分组情况,对选取的属性按照其内部规律设计正则表达式或者通配表达式。M决定了如何区别不同(包括但不限于)部门、学号、工号所对应的AAA接入控制逻辑。
分组模板可以有1个或者多个,一般情况下,所有需要使用AAA系统提供服务的账号都必须匹配至少1条分组模板。为在技术上防止所有分布模板都匹配失败,有必要设计一条能匹配所有账号但优先级最低的分组模板;在其他情况下,包括但不限于需要过滤某些LDAP账号,则无需设计缺省分组模板。
分组模板中的匹配模式决定了一个账号的LDAP附属属性通过代入属性值计算匹配表达式是否为真。如账号在若干个分组模板中匹配的结果都为真,则按优先级排序,取优先级最高的那个分组模板。
其次,当有请求方对RADIUS发起服务接入或者使用请求时。按照如下的流程工作:
RADIUS首先借助LDAP数据库对该请求的账号进行帐号密码认证。认证成功后,RADIUS从LDAP数据库获取账号的额外关键属性信息(匹配时需要匹配的信息)。如果该LDAP数据库支持密码取回,该步骤也可简化为:RADIUS直接获取LDAP数据库内包括用户密码在内的所有关键属性信息并进行认证。
RADIUS或RADIUS能访问的程序模块处理这些关键属性信息,并与内存中的多个分组模板逐个代入属性值到每个匹配表达式计算结果。在所有计算结果为真的候选模板中选取优先级最高的那个模板,并取出其中的AAA账号组。
根据取出的AAA账号组,获取其对应的服务接入或使用控制逻辑。进行RADIUS的下一步处理工作。
Claims (6)
1.一种AAA系统高效挂接LDAP账号数据源的方法,包括如下步骤:
步骤一,在管理系统中设计至少一个账号分组模板,每个模板由至少三个元素组成,即LDAP账号匹配模式、匹配优先级、AAA账号组;
步骤二,账号通过RADIUS服务系统认证时,RADIUS服务系统借助LDAP系统认证该账号,并获取该账号的LDAP关键属性,即:LDAP账号匹配模式直接使用的属性;AAA系统中不保存,或不同步任何LDAP系统的账号信息;
步骤三,在步骤二认证通过后,RADIUS或者RADIUS可访问的软件模块分析步骤一中的账号分组模板,根据匹配模式和优先级匹配出最优的模板;根据模板中的最后一个元素AAA账号组,确定步骤二中账号所属的AAA账号组;
步骤四,根据步骤三的AAA账号组结果,查询对应的接入控制逻辑,为账号提供接入控制服务。
2.如权利要求1所述的AAA系统高效挂接LDAP账号数据源的方法,其特征在于:步骤一中,事先设计LDAP账号数据库中账号的分组模板,根据模板决定某个LDAP账号应该使用何种AAA接入控制逻辑。
3.如权利要求1或2所述的AAA系统高效挂接LDAP账号数据源的方法,其特征在于:步骤二中,RADIUS直接借助于LDAP账号数据库对请求账号进行认证,维持应用场景单点认证的特性。
4.如权利要求1或2所述的AAA系统高效挂接LDAP账号数据源的方法,其特征在于:步骤二中,所述的RADIUS服务系统借助LDAP系统认证账号是通过账号和密码配合认证的。
5.如权利要求4所述的AAA系统高效挂接LDAP账号数据源的方法,其特征在于:通过账号和密码配合认证账号的具体过程是:首先是搜索账号,账号未搜索到则认证失败;搜索到后,进行密码比较,密码不一致则认证失败,反之认证成功。
6.如权利要求1或2所述的AAA系统高效挂接LDAP账号数据源的方法,其特征在于:步骤三所述的根据匹配模式和优先级匹配出最优的模板,具体过程是当用户账号对应的LDAP属性在所有分组模板中匹配上了大于等于1个时,根据模板内的优先级决定采用哪个分组模板。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101242760A CN101431402B (zh) | 2007-11-05 | 2007-11-05 | Ldap账号源与aaa系统的高效挂接方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101242760A CN101431402B (zh) | 2007-11-05 | 2007-11-05 | Ldap账号源与aaa系统的高效挂接方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101431402A CN101431402A (zh) | 2009-05-13 |
| CN101431402B true CN101431402B (zh) | 2012-02-08 |
Family
ID=40646584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101242760A Expired - Fee Related CN101431402B (zh) | 2007-11-05 | 2007-11-05 | Ldap账号源与aaa系统的高效挂接方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101431402B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055725A (zh) * | 2009-10-27 | 2011-05-11 | 中兴通讯股份有限公司 | 一种轻量级目录访问协议服务器的数据通知方法及系统 |
| CN103870460B (zh) * | 2012-12-10 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种靓号检索方法及系统 |
| CN107193727B (zh) * | 2016-03-15 | 2020-07-17 | 阿里巴巴集团控股有限公司 | 一种生成账号的方法和系统 |
| CN110753044A (zh) * | 2019-10-12 | 2020-02-04 | 山东英信计算机技术有限公司 | 一种身份认证方法、系统、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1451109A (zh) * | 1999-11-22 | 2003-10-22 | 耐兹凯卜通信股份有限公司 | 简化的ldap访问控制语言系统 |
| CN1710853A (zh) * | 2004-06-18 | 2005-12-21 | 华为技术有限公司 | 用户认证信息的共享方法 |
-
2007
- 2007-11-05 CN CN2007101242760A patent/CN101431402B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1451109A (zh) * | 1999-11-22 | 2003-10-22 | 耐兹凯卜通信股份有限公司 | 简化的ldap访问控制语言系统 |
| CN1710853A (zh) * | 2004-06-18 | 2005-12-21 | 华为技术有限公司 | 用户认证信息的共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101431402A (zh) | 2009-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11876910B2 (en) | Systems, methods, and apparatuses for implementing a multi tenant blockchain platform for managing Einstein platform decisions using distributed ledger technology (DLT) | |
| US11875400B2 (en) | Systems, methods, and apparatuses for dynamically assigning nodes to a group within blockchains based on transaction type and node intelligence using distributed ledger technology (DLT) | |
| US11451530B2 (en) | Systems, methods, and apparatuses for implementing super community and community sidechains with consent management for distributed ledger technologies in a cloud based computing environment | |
| CN108701145B (zh) | 用于分布式网络节点内的数字身份管理和许可控制的系统和方法 | |
| US7562102B1 (en) | Extensible handling of new or modified data within an independent distributed database system | |
| US7200806B2 (en) | System and method for generating pre-populated forms | |
| US20190236562A1 (en) | Systems, methods, and apparatuses for implementing document interface and collaboration using quipchain in a cloud based computing environment | |
| CN100385398C (zh) | 应用程序生成器 | |
| US20030154413A1 (en) | Information processing device, information processing system, authentication method, storage medium and program | |
| US7540416B2 (en) | Smart card authentication system with multiple card and server support | |
| CN109784922A (zh) | 电子合同签署方法、装置、计算机设备和存储介质 | |
| CN110851127B (zh) | 一种基于区块链的通用存证方法 | |
| US10958420B2 (en) | Method and system for blockchain-implemented project management | |
| CN107393046B (zh) | 一种蓝牙签到系统和蓝牙签到方法 | |
| US11316706B2 (en) | Method and system for using dynamic private keys to secure data file retrieval | |
| CN101431402B (zh) | Ldap账号源与aaa系统的高效挂接方法 | |
| KR102166690B1 (ko) | 전자문서를 위한 전자서명 관리서버 및 관리방법 | |
| US20230069247A1 (en) | Data sharing solution | |
| CN110225039A (zh) | 权限模型获取、鉴权方法、网关、服务器以及存储介质 | |
| CN109919449A (zh) | 资产盘点方法以及计算机可读存储介质 | |
| CN109101232A (zh) | 一种产品开发的方法、装置、计算机设备及存储介质 | |
| CN110162560A (zh) | 金融数据接口对接方法、装置、计算机设备及存储介质 | |
| CN110955699B (zh) | 一种去中心化的电子学历证书查验方法及系统 | |
| Angiulli et al. | Achieving service accountability through blockchain and digital identity | |
| CN109598130A (zh) | 知识产权数据查询系统、方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120208 |