CN102932245A - 一种处理跟踪tacacs+会话的方法及装置 - Google Patents
一种处理跟踪tacacs+会话的方法及装置 Download PDFInfo
- Publication number
- CN102932245A CN102932245A CN2012103794615A CN201210379461A CN102932245A CN 102932245 A CN102932245 A CN 102932245A CN 2012103794615 A CN2012103794615 A CN 2012103794615A CN 201210379461 A CN201210379461 A CN 201210379461A CN 102932245 A CN102932245 A CN 102932245A
- Authority
- CN
- China
- Prior art keywords
- tacacs
- session
- value
- message
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Abstract
本发明公开了一种处理跟踪TACACS+会话的方法及装置,登记要跟踪的TACACS+会话的TACACS+报文的属性值;当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。本发明对TACACS+响应报文进行了跟踪,实现了对于符合特定条件的整个TACACS+会话的跟踪功能。
Description
技术领域
本发明涉及通信领域,具体涉及一种处理跟踪终端访问控制器访问控制系统TACACS+会话的方法和装置。
背景技术
TACACS+(Terminal Access Controller Access Control System,终端访问控制器访问控制系统)是一种AAA(Authentication、Authorization、Accounting,认证、授权和计费)类型的网络应用协议,TACACS+支持独立的认证、授权和计费功能,允许不同的TACACS+安全服务器分别作为认证、授权和记账服务器,用于认证、授权和计费等功能。
接入控制与认证、授权等功能分别在TACACS+服务器和TACACS+用户端设备上实现(见图1),当用户登录或其他需要认证、授权的行为失败时,需要确定失败原因,这时需要跟踪TACACS+会话的报文以协助问题的定位。但是,在实际的商用环境中,同时有大量的认证、授权、记账等TACACS+报文交互,跟踪所有TACACS+报文会影响系统的处理效率,以人工筛选出所需要的报文将耗费大量的时间和精力,且不利于问题的快速定位。当用户需要分析特定TACACS+会话时,若采用通过解析TACACS+报文内容来筛选需要的报文,所存在的问题是TACACS+报文的响应报文中通常不包含所需要的信息(如用户账号、IP地址、端口、用户权限级别等信息),因而无法对响应报文进行跟踪,导致对TACACS+会话跟踪结果不可靠。
发明内容
为了解决现有技术中无法针对特定TACACS+会话进行TACACS+报文跟踪的问题,本发明提供了一种处理跟踪TACACS+会话的方法及装置。
一方面,本发明的处理跟踪TACACS+会话的方法包括:登记要跟踪的TACACS+会话的TACACS+报文的属性值;当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;以及当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。
其中,所述属性值包括用户账号信息、IP地址信息或端口信息。
进一步地,如果所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Session_id值不同,设置对应的TACACS+会话的状态为失败。
进一步地,如果该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。
进一步地,当对应的TACACS+会话结束后,删除所保存的Session_id值。
另一方面,本发明的处理跟踪TACACS+会话的装置包括:报文属性值登记模块,用于登记要跟踪的TACACS+会话的TACACS+报文的属性值;请求报文解析处理模块,用于当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;以及响应报文比较处理模块,用于当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。
有益效果:
本发明在TACACS+客户端侧登记需要跟踪的特定用户的信息,当TACACS+请求报文内容符合登记的特定用户信息时,保存其Session_id值,当接收到具有相同Session_id值的TACACS+响应报文时,表明TACACS+会话成功,由此对TACACS+响应报文进行跟踪,实现了对于符合特定条件的整个TACACS+会话的跟踪功能。
附图说明
图1为本发明的处理跟踪TACACS+会话的方法流程图。
图2为本发明实施例的组网示意图。
图3为本发明的处理跟踪TACACS+会话的装置结构示意图。
具体实施方式
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
图1为本发明的处理跟踪TACACS+会话的方法流程图,包括:
S101,登记要跟踪的TACACS+会话的TACACS+报文的属性值;
S102,当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;
S103,当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。
采用上述步骤处理,在TACACS+客户端侧登记需要跟踪的特定用户的信息,即TACACS+报文的某个属性值(可以是用户账号、端口、IP地址等信息),当TACACS+请求报文内容符合登记的属性值时,将该报文内容保存下来,且由于在同一个TACACS+会话中,TACACS+报文头部的Session_id值是相同的,因此将符合要求的请求报文的Session_id值保存下来,当接收到TACACS+响应报文时,将该响应报文的Session_id值与事先保存的Session_id值进行比较,如果相同则是想要跟踪的报文,表明该TACACS+会话成功。利用本方法,成功地对TACACS+响应报文实施了跟踪,实现了对于符合特定条件的整个TACACS+会话的跟踪功能。
图2为本发明实施例的组网示意图,TACACS+客户端设备和TACACS+服务器运行在IP网络上,两者之间进行TACACS+报文交互,由客户端设备发送TACACS+请求到TACACS+服务器上,TACACS+服务器对TACACS+请求进行响应。
以下为本发明实施例中的处理跟踪特定TACACS+会话的具体流程,过程如下:
S201,首先在TACACS+客户端设备登记需要跟踪的TACACS+会话的用户账号(也可以是端口、IP地址等信息)。
S202,TACACS+客户端设备接收TACACS+报文,判断是否为请求报文。
S203,如果是请求报文,对该TACACS+请求报文解析,判断请求报文中用户账号是否与之前登记的用户账号相同;如果相同,保存报文中的Session_id值,记录报文信息;如果不同,直接丢弃该TACACS+请求报文。
S204,对于TACACS+客户端设备接收到的TACACS+响应报文,以响应报文中的Session_id值与事先保存的Session_id值对比,判断是否存在相同的Session_id值;如果存在,记录TACACS+响应报文信息,设置该TACACS+会话状态为成功,当TACACS+会话结束后,删除所保存的Session_id值;如果不存在,直接丢弃该TACACS+响应报文。
S205,如果一直没有收到Session_id值与保存的Session_id值相同的TACACS+响应报文,设置该TACACS+会话状态为失败,删除所保存的Session_id值,返回到S202,进行再一次跟踪过程。
以上实施例以客户端用户账号为TACACS+报文的属性值,通过TACACS+请求报文和TACACS+响应报文的相关处理,实现了对TACACS+会话的跟踪,可精确地保存TACACS+会话的报文。
另一方面,为了解决现有技术中无法针对特定TACACS+会话进行TACACS+报文跟踪的问题,本发明还提供了一种处理跟踪TACACS+会话的装置,如图3所示,包括:报文属性值登记模块301,用于登记要跟踪的TACACS+会话的TACACS+报文的属性值;请求报文解析处理模块302,用于当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;以及响应报文比较处理模块303,用于当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。
其中,所述响应报文比较处理模块303获知所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Session_id值不同,设置对应的TACACS+会话的状态为失败。
进一步地,所述请求报文解析处理模块302获知该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。
进一步地,当对应的TACACS+会话结束后,所述响应报文比较处理模块303删除所保存的Session_id值。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (10)
1.一种处理跟踪终端访问控制器访问控制系统TACACS+会话的方法,其特征在于,包括:
登记要跟踪的TACACS+会话的TACACS+报文的属性值;
当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;
当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。
2.如权利要求1所述的处理跟踪TACACS+会话的方法,其特征在于,所述属性值包括用户账号信息、IP地址信息或端口信息。
3.如权利要求1所述的处理跟踪TACACS+会话的方法,其特征在于,如果所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Session_id值不同,设置对应的TACACS+会话的状态为失败。
4.如权利要求1所述的处理跟踪TACACS+会话的方法,其特征在于,如果该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。
5.如权利要求1所述的处理跟踪TACACS+会话的方法,其特征在于,当对应的TACACS+会话结束后,删除所保存的Session_id值。
6.一种处理跟踪终端访问控制器访问控制系统TACACS+会话的装置,其特征在于,包括:
报文属性值登记模块,用于登记要跟踪的TACACS+会话的TACACS+报文的属性值;
请求报文解析处理模块,用于当TACACS+客户端接收到一TACACS+请求报文后,解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同,当相同时,保存该TACACS+请求报文中的Session_id值;
响应报文比较处理模块,用于当所述TACACS+客户端接收到一TACACS+响应报文后,比较该TACACS+响应报文中的Session_id值与所保存的Session_id值,当两者相同时,设置对应的TACACS+会话的状态为成功。
7.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,所述属性值包括用户账号信息、IP地址信息或端口信息。
8.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,所述响应报文比较处理模块获知所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Session_id值不同,设置对应的TACACS+会话的状态为失败。
9.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,所述请求报文解析处理模块获知该TACACS+请求报文中的属性值与所登记的属性值不同,丢弃该TACACS+请求报文。
10.如权利要求6所述的处理跟踪TACACS+会话的装置,其特征在于,当对应的TACACS+会话结束后,所述响应报文比较处理模块删除所保存的Session_id值。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103794615A CN102932245A (zh) | 2012-10-09 | 2012-10-09 | 一种处理跟踪tacacs+会话的方法及装置 |
| EP13846126.4A EP2892187A4 (en) | 2012-10-09 | 2013-08-30 | METHOD AND DEVICE FOR PROCESSING AND MONITORING A TACACS + SESSION |
| US14/433,890 US9258310B2 (en) | 2012-10-09 | 2013-08-30 | Method and device for processing and tracking TACACS+ session |
| PCT/CN2013/082662 WO2014056365A1 (zh) | 2012-10-09 | 2013-08-30 | 一种处理跟踪tacacs+会话的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103794615A CN102932245A (zh) | 2012-10-09 | 2012-10-09 | 一种处理跟踪tacacs+会话的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102932245A true CN102932245A (zh) | 2013-02-13 |
Family
ID=47646952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103794615A Pending CN102932245A (zh) | 2012-10-09 | 2012-10-09 | 一种处理跟踪tacacs+会话的方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9258310B2 (zh) |
| EP (1) | EP2892187A4 (zh) |
| CN (1) | CN102932245A (zh) |
| WO (1) | WO2014056365A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014056365A1 (zh) * | 2012-10-09 | 2014-04-17 | 中兴通讯股份有限公司 | 一种处理跟踪tacacs+会话的方法及装置 |
| CN107026789A (zh) * | 2017-03-31 | 2017-08-08 | 新浪网技术(中国)有限公司 | 一种会话用户追踪的方法和装置 |
| CN107968720A (zh) * | 2016-10-20 | 2018-04-27 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及云系统、组件 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113868631A (zh) * | 2021-09-13 | 2021-12-31 | 中盈优创资讯科技有限公司 | 一种aaa认证方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123147A (zh) * | 2011-03-01 | 2011-07-13 | 中兴通讯股份有限公司 | 一种网络设备差异化授权的方法及系统 |
| CN102594821A (zh) * | 2011-11-28 | 2012-07-18 | 中兴通讯股份有限公司 | 一种处理diameter协议报文的方法及装置 |
| CN102638463A (zh) * | 2012-03-28 | 2012-08-15 | 中兴通讯股份有限公司 | 跟踪特定radius会话的方法和装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7293096B1 (en) * | 2001-09-28 | 2007-11-06 | Cisco Technology, Inc. | Maintaining a common AAA session id for a call over a network |
| US7895311B1 (en) * | 2006-11-17 | 2011-02-22 | Arthur W. Juenger | Content distribution systems |
| US9054882B2 (en) * | 2007-10-30 | 2015-06-09 | Cisco Technology, Inc. | System and method for associating an end user for billing in a network environment |
| US8539544B2 (en) * | 2008-05-30 | 2013-09-17 | Motorola Mobility Llc | Method of optimizing policy conformance check for a device with a large set of posture attribute combinations |
| US9009293B2 (en) * | 2009-11-18 | 2015-04-14 | Cisco Technology, Inc. | System and method for reporting packet characteristics in a network environment |
| US9319433B2 (en) * | 2010-06-29 | 2016-04-19 | At&T Intellectual Property I, L.P. | Prioritization of protocol messages at a server |
| CN102932245A (zh) * | 2012-10-09 | 2013-02-13 | 中兴通讯股份有限公司 | 一种处理跟踪tacacs+会话的方法及装置 |
-
2012
- 2012-10-09 CN CN2012103794615A patent/CN102932245A/zh active Pending
-
2013
- 2013-08-30 EP EP13846126.4A patent/EP2892187A4/en not_active Withdrawn
- 2013-08-30 WO PCT/CN2013/082662 patent/WO2014056365A1/zh active Application Filing
- 2013-08-30 US US14/433,890 patent/US9258310B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123147A (zh) * | 2011-03-01 | 2011-07-13 | 中兴通讯股份有限公司 | 一种网络设备差异化授权的方法及系统 |
| CN102594821A (zh) * | 2011-11-28 | 2012-07-18 | 中兴通讯股份有限公司 | 一种处理diameter协议报文的方法及装置 |
| CN102638463A (zh) * | 2012-03-28 | 2012-08-15 | 中兴通讯股份有限公司 | 跟踪特定radius会话的方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014056365A1 (zh) * | 2012-10-09 | 2014-04-17 | 中兴通讯股份有限公司 | 一种处理跟踪tacacs+会话的方法及装置 |
| US9258310B2 (en) | 2012-10-09 | 2016-02-09 | Zte Corporation | Method and device for processing and tracking TACACS+ session |
| CN107968720A (zh) * | 2016-10-20 | 2018-04-27 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及云系统、组件 |
| CN107968720B (zh) * | 2016-10-20 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及云系统、组件 |
| CN107026789A (zh) * | 2017-03-31 | 2017-08-08 | 新浪网技术(中国)有限公司 | 一种会话用户追踪的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2892187A1 (en) | 2015-07-08 |
| WO2014056365A1 (zh) | 2014-04-17 |
| EP2892187A4 (en) | 2015-10-28 |
| US20150256547A1 (en) | 2015-09-10 |
| US9258310B2 (en) | 2016-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8826381B2 (en) | Node device and method to prevent overflow of pending interest table in name based network system | |
| CN100586169C (zh) | 一种互动电视业务中认证方法 | |
| CN106302308B (zh) | 一种信任登录方法和装置 | |
| CN107508822B (zh) | 访问控制方法及装置 | |
| CN104519018A (zh) | 一种防止针对服务器的恶意请求的方法、装置和系统 | |
| CN104349208A (zh) | 消息处理方法、装置、网关、机顶盒及网络电视系统 | |
| CN106506515B (zh) | 一种认证方法和装置 | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN110012322B (zh) | 一种视联网业务发起的方法和系统 | |
| CN101656712B (zh) | 一种恢复ip会话的方法、网络系统和网络边缘设备 | |
| CN102932245A (zh) | 一种处理跟踪tacacs+会话的方法及装置 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN102387083B (zh) | 网络访问控制方法和系统 | |
| CN104283681A (zh) | 一种对用户的合法性进行验证的方法、装置及系统 | |
| CN110636063B (zh) | 设备的安全交互控制方法、装置、电子设备及存储介质 | |
| CN105812413B (zh) | 通信方法及设备 | |
| CN102769629A (zh) | 客户端密码存储方法及服务系统 | |
| US10680930B2 (en) | Method and apparatus for communication in virtual network | |
| CN102984261A (zh) | 基于手机终端的网络业务登录方法、设备和系统 | |
| CN104023001A (zh) | 一种ac设备转发未认证报文信息的方法 | |
| CN111478788B (zh) | 一种异常下线恢复方法、装置、设备及机器可读存储介质 | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| CN108924149B (zh) | 一种基于Token令牌的身份合法性验证方法及系统 | |
| CN105812138A (zh) | 登录的处理方法、装置、用户终端及登录系统 | |
| CN105282270B (zh) | 一种防止ip地址冒用的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130213 |