CN104348790A - 一种实现自定义配置aaa框架的方法及系统 - Google Patents
一种实现自定义配置aaa框架的方法及系统 Download PDFInfo
- Publication number
- CN104348790A CN104348790A CN201310325282.8A CN201310325282A CN104348790A CN 104348790 A CN104348790 A CN 104348790A CN 201310325282 A CN201310325282 A CN 201310325282A CN 104348790 A CN104348790 A CN 104348790A
- Authority
- CN
- China
- Prior art keywords
- server
- communication interface
- certificate authority
- scheme
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明是一种实现自定义配置AAA框架的方法,主要步骤包括:将存储用户信息服务器的通信接口设置为服务器层,对所述服务器层的通信接口进行统一封装,并将所述的通信接口注册到一个接口列表中;根据系统环境需求选择n(n≥1)组不同的服务器,对应设置n个认证授权方案;将所述的n个认证授权方案进行组合,形成方案组合层,以满足复杂认证授权的需求。本发明还包括按上述方法建立的系统。采用本发明方法及系统的AAA认证授权具有配置灵活、可靠性及安全性提高等优势,且便于系统管理员的管理。
Description
技术领域
本发明涉及网络安全认证领域,特别涉及一种实现自定义AAA框架的方法及系统。
背景技术
AAA框架是指由认证(Authentication)、授权(Authorization)、计帐(Accounting)构成的网络安全框架。其中认证是指:验证用户的身份与可使用的网络服务,认证动作包含核对用户名、密码、证书等;授权是指:依据认证结果开放网络服务给用户,授权表现为下发用户权限、访问目录、用户级别等;计帐是指:记录用户对各种网络服务的用量,并提供给计费系统,表现为记录用户上网流量、时长等。AAA框架与其它安全技术配合使用,提升网络和设备的安全性。
图1所示为现有技术中安装AAA框架的系统结构示意。客户端通信接口用于接收用户的登录请求,AAA框架在收到客户端的登录请求后根据配置直接调用相应服务器的通信接口,进行相应处理。现有技术的AAA框架通过对服务器的配置,可对多种服务提供安全保证,但是现有技术的AAA框架只支持用户登录时使用的单一的AAA协议,或者受限于简单固定的几个协议的组合。如果客户的认证授权方式组合较为新颖或复杂则无法支持。
在网络应用广泛而迅猛发展的今天,充分满足网络用户出于对系统安全等问题考虑的更复杂、更细致的认证授权要求,且方便网络管理员灵活地配置出所要求的认证授权方案成为一个亟待解决的难题。
发明内容
为解决现有技术中存在的难题,本发明的目的是提供一种实现自定义配置AAA框架的方法及系统,使得网络管理员能根据系统环境需要配置支持用户各种不同类型身份认证和授权组合的方案。
本发明是一种实现自定义配置AAA框架的方法,包括以下步骤:
步骤一,先将系统内存储用户信息服务器的通信接口设置为服务器层,然后对所述服务器层的通信接口进行统一封装,并将所述的通信接口注册到一个接口列表中;
步骤二,根据系统环境需求选择n(n≥1)组不同的服务器,对应设置n个认证授权方案;
步骤三,将所述的n个认证授权方案进行组合,形成方案组合层,以满足复杂认证授权的需求。
所述的认证授权方案包括选择在认证授权过程中要使用的服务器,并对这些服务器的顺序进行排列的步骤。
所述的认证授权方案还包括在所述服务器层中任意选择要使用的服务器,并自由排列它们的顺序的步骤。
在上述发明方法的基础上,本发明是一种实现自定义配置AAA框架的系统,它至少包括客户端通信接口、系统内存储用户信息服务器及其对应的通信接口,其特征是,在客户端通信接口与存储用户信息服务器之间连接有服务器层模块、自定义认证授权方案模块及方案组合模块。
所述的服务器层模块是由系统内存储用户信息服务器的通信接口连接构成,用以对所述通信接口进行统一封装,并注册到接口列表中,以保证各个通信接口的格式和参数额一致,使得自定义认证授权配置方案模块可以方便地在所述列表中找到需要的通信接口。
所述的自定义认证授权方案模块用以选择系统需使用的服务器、并对选择后的服务器进行排序。
本发明将AAA框架分成三个层次:服务器层、认证授权方案处理模块以及方案组合层,网络管理员可以根据环境需要自定义配置多种类型的认证、授权和计费方式,然后通过三个层次的逻辑运算,实现系统的AAA认证授权。采用本发明方法及系统的AAA认证授权具有配置灵活、可靠性及安全性提高等优势,且便于系统管理员的管理。
附图说明
图1是现有技术的AAA框架系统框图;
图2是本发明方法示意图;
图3是本发明系统的一种实施例示意图;
图4是运用本发明方法的一种实施例工作流程图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也是本申请各个权利要求所要求保护的技术方案。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明是将AAA框架分成三个逻辑层次:“服务器”、“认证授权方案处理”及“方案组合”。所述的这一框架体现在系统管理员对AAA框架的自定义配置的方法及系统上、以及经自定义配置后的AAA框架处理用户登录请求的方法上。
如图2所示,本发明是一种实现自定义配置AAA框架的方法,它包括以下步骤:
步骤一,先将系统内存储用户信息服务器的通信接口设置为服务器层100,所述的存储用户信息服务器可以是LDAP服务器、RADISU服务器或者数据库等等,所述的存储用户信息服务器中安装有存储用户信息服务器的相关配置,例如IP地址、端口等,这些配置用于和客户端服务器进行AAA认证授权及其通信;然后对所述服务器层的通信接口进行统一封装,并将所述的通信接口注册到一个接口列表中;
步骤二,根据系统环境需求设置n(n≥1)个认证授权方案层200:选择在认证授权过程中要使用的服务器,并对这些服务器的顺序进行排列;可以在所述服务器层中任意选择需要使用的服务器,并自由排列它们的顺序,这个顺序也就是在认证授权过程中这些服务器被使用的顺序;根据环境需求可选择n组不同的服务器,并自定义设置n个“认证授权方案”;
步骤三,将所述的n个认证授权方案进行组合,形成方案组合层300,以满足复杂的认证授权需求。
上述三层的设置可以使AAA框架的配置十分的灵活,管理员可以方便的配置出满足自己认证授权需要的配置。
在上述发明方法的基础上,本发明是一种实现自定义配置AAA框架的系统,如图3所示,它至少包括客户端通信接口400、系统内存储用户信息服务器及其对应的服务器通信接口,所述的存储用户信息服务器及其对应的通信接口可以是LDAP服务器及其通信接口、RADIUS服务器及其通信接口、数据库服务器及其通信接口、证书服务器及其解析接口等,其中,所述的系统内所有存储用户信息服务器的通信接口设置为服务器层模块101,根据系统环境需要可以设置n(n≥1)个不同的服务器层模块102、103…,在客户端通信接口与所述服务器层模块101之间安装有自定义认证授权方案模块201及方案组合模块300,根据系统环境需要也可以自定义n(n≥1)个不同的认证授权方案配置模块202、203等。
所述的服务器层模块用以对所述存储用户信息服务器通信接口进行统一封装,并注册到接口列表中,以保证各个通信接口的格式和参数额一致,使得自定义认证授权配置方案模块可以方便地在这个列表中找到需要的通信接口。
所述的认证授权方案处理模块用以选择系统需使用的服务器、并对选择后的服务器进行排序。
关于客户端的登录请求,最终要在存储用户信息的服务器上对客户端户的登录信息进行比对查询。按照上述自定义配置AAA框架的方法及其系统,处理客户端登录请求时,认证授权过程是与上述自定义配置AAA框架的工作过程相反,即根据方案组合层和认证授权方案层的配置,调用服务器层相应的通信接口与认证授权服务器进行通信,完成认证授权过程。如图4所示,经自定义配置AAA框架认证授权过程的工作过程:
——客户端请求首先进入方案组合层模块,如果启用了其中的方案组合,则会依次尝试方案组合中的各个方案,若有一个方案通过,则登录成功,若所有方案都没有通过则登录失败;
——在尝试上述某一个方案的时候便进入了认证授权方案处理模块,在该模块中,将按序使用认证授权方案中的服务器进行认证,只有所有的服务器都认证成功,该认证授权方案才算通过;
——在使用一个服务器进行认证时便进入了服务器层模块,该模块将根据服务器的配置,使用相应的协议将用户的登录信息发往认证服务器,然后根据服务器返回的信息判读认证是否成功。
实施例一,某公司使用一个LDAP服务器和一个RADIUS服务器进行双重认证,自定义配置AAA框架的方法及系统如下:
在“服务器”层配置一个LDAP服务器,取名“服务器1”,并配置上该服务器的相应参数;
另在“服务器”层配置一个RADIUS服务器,取名“服务器2”,并配置上该服务器的相应参数;在“认证授权方案”层配置一方案,该方案选择使用“服务器1”和“服务器2”进行认证;
由于只有一个认证授权方案,“方案组合”层可以不开启方案组合功能。
实施二、某公司员工使用一个LDAP服务器进行认证,同时公司为合作伙伴创建了一些临时账户,以供合作伙伴登录,临时账户的信息存在数据库中,配置如下:
在“服务器”层配置一个LDAP服务器,取名“服务器1”,配置上该服务器的相应参数;
在“服务器”层配置一个数据库服务器,取名“服务器2”,配置上该服务器的相应参数;在“认证授权方案”层配置一方案,取名“方案1”,该方案选择使用“服务器1”进行认证;
另在“认证授权方案”层配置一方案,取名“方案2”,该方案选择使用“服务器2”进行认证
在“方案组合”层,开启方案组合功能,将“方案1”和“方案2”进行组合。
本发明的核心是:通过“服务器层”、“认证授权方案层”、“方案组合层”的设置,使用户可以将不同类型的认证授权服务器进行自定义组合配置,形成多套认证授权的方案,从而满足各种环境的需要。
需要说明的是,本发明各设备实施方式中提到的各单元都是逻辑单元,在物理上,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现,这些逻辑单元本身的物理实现方式并不是最重要的,这些逻辑单元所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外,为了突出本发明的创新部分,本发明没有引入上述各设备实施方式以及与解决本发明所提出的技术问题关系不太密切的单元,但这并不表明不存在上述设备实施方式以及其它有关实施单元。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (6)
1.一种实现自定义配置AAA框架的方法,其特征是包括以下步骤:
步骤一,先将系统内存储用户信息服务器的通信接口设置为服务器层,然后对所述服务器层的通信接口进行统一封装,并将所述的通信接口注册到一个接口列表中;
步骤二,根据系统环境需求选择n(n≥1)组不同的服务器,对应设置n个认证授权方案;
步骤三,将所述的n个认证授权方案进行组合,形成方案组合层,以满足复杂认证授权的需求。
2.根据权利要求1所述的一种实现自定义配置AAA框架的方法,其特征是,所述的认证授权方案包括选择在认证授权过程中要使用的服务器,并对这些服务器的顺序进行排列的步骤。
3.根据权利要求1所述的一种实现自定义配置AAA框架的方法,其特征是,所述的认证授权方案还包括在所述服务器层中任意选择要使用的服务器,并自由排列它们的顺序的步骤。
4.一种实现自定义配置AAA框架的系统,它至少包括客户端通信接口、系统内存储用户信息服务器及其对应的通信接口,其特征是,在客户端通信接口与存储用户信息服务器之间连接有服务器层模块、自定义认证授权方案模块及方案组合模块。
5.根据权利要求4所述的一种实现自定义配置AAA框架的系统,其特征是,所述的服务器层模块是由系统内存储用户信息服务器的通信接口连接构成,用以对所述通信接口进行统一封装,并注册到接口列表中,以保证各个通信接口的格式和参数额一致,使得自定义认证授权配置方案模块可以方便地在所述列表中找到需要的通信接口。
6.根据权利要求4所述的一种实现自定义配置AAA框架的系统,其特征是,所述的自定义认证授权方案模块用以选择系统需使用的服务器、并对选择后的服务器进行排序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310325282.8A CN104348790A (zh) | 2013-07-30 | 2013-07-30 | 一种实现自定义配置aaa框架的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310325282.8A CN104348790A (zh) | 2013-07-30 | 2013-07-30 | 一种实现自定义配置aaa框架的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104348790A true CN104348790A (zh) | 2015-02-11 |
Family
ID=52503604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310325282.8A Pending CN104348790A (zh) | 2013-07-30 | 2013-07-30 | 一种实现自定义配置aaa框架的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104348790A (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
| CN101013941A (zh) * | 2007-02-09 | 2007-08-08 | 上海林果科技有限公司 | 数字证书认证/管理系统及认证/管理方法 |
| CN101072129A (zh) * | 2007-06-25 | 2007-11-14 | 北京邮电大学 | 基于jmx的网络业务管理方法及其应用系统 |
| CN101183943A (zh) * | 2007-12-04 | 2008-05-21 | 中兴通讯股份有限公司 | 用户认证方法 |
| CN101707522A (zh) * | 2009-09-29 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
| CN101742497A (zh) * | 2009-12-24 | 2010-06-16 | 中兴通讯股份有限公司 | 接入认证的实现方法和客户端 |
| EP2250598A2 (de) * | 2008-02-26 | 2010-11-17 | ABB Research Ltd. | Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system |
| CN102299924A (zh) * | 2011-08-22 | 2011-12-28 | 神州数码网络(北京)有限公司 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
| CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
| CN102307114A (zh) * | 2011-09-21 | 2012-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络的管理方法 |
| CN102469078A (zh) * | 2010-11-08 | 2012-05-23 | 中国移动通信集团公司 | 一种校园网接入外部网络的实现方法、系统及装置 |
-
2013
- 2013-07-30 CN CN201310325282.8A patent/CN104348790A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
| CN101013941A (zh) * | 2007-02-09 | 2007-08-08 | 上海林果科技有限公司 | 数字证书认证/管理系统及认证/管理方法 |
| CN101072129A (zh) * | 2007-06-25 | 2007-11-14 | 北京邮电大学 | 基于jmx的网络业务管理方法及其应用系统 |
| CN101183943A (zh) * | 2007-12-04 | 2008-05-21 | 中兴通讯股份有限公司 | 用户认证方法 |
| EP2250598A2 (de) * | 2008-02-26 | 2010-11-17 | ABB Research Ltd. | Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system |
| CN101707522A (zh) * | 2009-09-29 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
| CN101742497A (zh) * | 2009-12-24 | 2010-06-16 | 中兴通讯股份有限公司 | 接入认证的实现方法和客户端 |
| CN102469078A (zh) * | 2010-11-08 | 2012-05-23 | 中国移动通信集团公司 | 一种校园网接入外部网络的实现方法、系统及装置 |
| CN102299924A (zh) * | 2011-08-22 | 2011-12-28 | 神州数码网络(北京)有限公司 | RADIUS服务器与802.1x客户端信息交互、认证方法及系统 |
| CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
| CN102307114A (zh) * | 2011-09-21 | 2012-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络的管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220124081A1 (en) | System for Managing Remote Software Applications | |
| CN101931613B (zh) | 集中认证方法和集中认证系统 | |
| CN104270386B (zh) | 跨应用系统用户信息整合方法及身份信息管理服务器 | |
| US20020112186A1 (en) | Authentication and authorization for access to remote production devices | |
| AU2020202168B2 (en) | Method and system related to authentication of users for accessing data networks | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
| CN101729541B (zh) | 多业务平台的资源访问方法及系统 | |
| CN103685305A (zh) | 通过单点登录多个业务应用系统的方法和系统 | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| CN103188249A (zh) | 集中权限管理系统及其授权方法和鉴权方法 | |
| CN112910904A (zh) | 多业务系统的登录方法及装置 | |
| CN108920919A (zh) | 交互智能设备的控制方法、装置和系统 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN108111518A (zh) | 一种基于安全密码代理服务器的单点登录方法及系统 | |
| CN104753854A (zh) | 设置多种类型认证/授权服务器统一Web接口的方法 | |
| CN107645474A (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
| CN106936760A (zh) | 一种登录Openstack云系统虚拟机的装置和方法 | |
| US11647017B2 (en) | Subscriber identity management | |
| CN115412294A (zh) | 基于平台服务的访问方法及装置、存储介质、电子设备 | |
| CN104348790A (zh) | 一种实现自定义配置aaa框架的方法及系统 | |
| CN109598114A (zh) | 跨平台统一用户账户管理方法及系统 | |
| CN115102717B (zh) | 一种基于用户体系的互联互通数据传递方法及系统 | |
| CN101753314A (zh) | 采用电话限制服务器内的帐户操作的另路保安系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150211 |
|
| RJ01 | Rejection of invention patent application after publication |