CN104660570A - 一种可扩展的aaa通信系统及方法 - Google Patents
一种可扩展的aaa通信系统及方法 Download PDFInfo
- Publication number
- CN104660570A CN104660570A CN201310598240.1A CN201310598240A CN104660570A CN 104660570 A CN104660570 A CN 104660570A CN 201310598240 A CN201310598240 A CN 201310598240A CN 104660570 A CN104660570 A CN 104660570A
- Authority
- CN
- China
- Prior art keywords
- aaa
- communications protocol
- interface
- server communications
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Communication Control (AREA)
Abstract
本发明一种可扩展的AAA通信系统是由用户端、可扩展AAA模块、服务器通信协议接口库组及AAA服务器构成,其中可扩展AAA模块是由统一设置的用户交互接口、内部处理模块及统一封装的服务器通信调用接口顺序连接构成。本发明方法及系统,通过对整个认证过程中的流程进行统一设置和封装,以及对传统配置文件的扩展,减少了用户的开发量,同时方便系统部署,大大提高了效率。
Description
技术领域
本发明涉及网络信息安全传输领域,特别涉及一种可扩展的AAA通信系统及方法。
背景技术
随着信息安全和个人隐私越来越受到人们重视,各种各样的认证方式开始不断的涌现,众多的通用认证协议及私有认证协议开始被使用在各种场景之中。由于很多用户使用的是私有的或者自己定制的认证协议,一款网络系统如果想支持这些用户必须是要进行针对性地定制开发。
在已有技术中,当网络系统中AAA(Authentication Authorization andAccounting,认证、授权、审计)模块遇到上述需要定制开发的情况时,如图1所示,AAA模块与用户的交互、与认证服务器的交互以及自己内部的逻辑都需要进行开发,开发工作量较大,周期较长,特别是其中的配置文件只是用于设置某个配置的值是什么,所有的逻辑在配置文件内部都是固定的,无法满足可扩展的通信机制的需求。因此,如何能简洁快速的完成定制开发工作是当前该技术领域面临的一个亟待解决的问题。
发明内容
为克服已有技术中存在的问题,本发明的目的是提供一种可扩展AAA通信系统及方法,使得在不需要重启系统或者升级系统的状态下可以支持更加灵活的配置和简洁快速的AAA通信定制与开发。
一种可扩展的AAA通信系统是由用户端、可扩展AAA模块、服务器通信协议接口库组及AAA服务器构成,其特征是可扩展AAA模块是由统一设置的用户交互接口、内部处理模块及统一封装的服务器通信调用接口顺序连接构成。
所述的服务器通信协议接口库组可由一组服务器通信协议接口库组成,用于存放可扩展AAA模块中所述的服务器通信调用接口;每个服务器通信协议接口库是由调用接口、可扩展配置处理模块以及通信接口组成。
所述的服务器通信协议接口库组还包括新增服务器通信协议接口库,用于系统需要支持一种新的安全认证协议时,开发该安全协议的服务器通信协议接口,并上传到系统后在可扩展AAA模块加载这个新增服务器通信协议接口库。
一种可扩展的AAA通信方法,其特征是有以下实现步骤:
步骤一,将传统的AAA模块内部进行模块化:设置用户交互接口模块、内部处理模块及服务器通信调用接口模块,并对其中用户交互接口和服务器通信调用接口分别进行统一设置及封装,用以支持不同的认证协议以及形成可扩展AAA模块;
步骤二,对所述的服务器通信调用接口分别匹配设置服务器通信协议接口库,并存放所述的服务器通信调用接口;
步骤三,当系统采用某种认证协议进行工作时,在可扩展AAA模块加载所述匹配设置的服务器通信协议接口库,所述的可扩展AAA模块可以相同的方式分别加载和调用存放不同认证协议的服务器通信协议接口库;
步骤四,当系统新增认证协议时,按照上述步骤二的方法匹配设置新增服务器通信协议接口库,并在可扩展AAA模块中加载该新增服务器通信协议接口库。
所述的匹配设置服务器通信协议接口库步骤,包括设置调用接口、配置处理和实现通信接口的分步骤。
服务器通信协议接口库中所述的调用接口是统一设置的,具有相同的传入参数和返回结果。
服务器通信协议接口库中所述的配置处理包括将支持各认证协议不同逻辑流程和参数的逻辑处理置入配置文件中的分步骤。
服务器通信协议接口库中所述的通信接口是严格按照认证协议标准来实现的。
所述的服务器通信协议接口库为动态链接库,当需要某种认证协议的接口时,所述的可扩展AAA模块动态链接经匹配的服务器通信协议接口库。
所述的可扩展AAA模块动态链接某个服务器通信协议接口库时,其内部的配置文件被解析成一个可执行函数,用户输入的认证信息被当做参数调用该可执行函数,并按照配置文件的逻辑进行数据处理。
本发明方法及系统,通过对整个认证过程中的流程进行统一设置和封装,以及对传统配置文件的扩展,减少了用户的开发量,仅需开发该协议的通信库;同时方便系统部署,已经启动设备不需要系统升级或重启,只需动态链接相应的服务器通信协议接口库就可以了,大大提高了效率。
附图说明
图1是已有技术的系统结构示意图;
图2是本发明系统结构示意图;
图3是本发明中服务器通信协议接口库的结构示意图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也是本申请各权利要求所要求保护的技术方案。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
如图2所示,本发明一种可扩展的AAA通信系统是由用户端10、可扩展AAA模块20、服务器通信协议接口库组30及AAA服务器40构成,其特征是可扩展AAA模块20是由统一的用户交互接口21、内部处理模块22及统一的服务器通信调用接口23顺序连接构成,服务器通信协议接口库组可由服务器通信协议接口库A、服务器通信协议接口库B以及新增服务器通信协议接口库等一组服务器通信协议接口库组成,如图3所示,每个服务器通信协议接口库是由调用接口311、可扩展配置处理模块312以及通信接口313组成。
所述的用户交互接口——用于接收用户输入的认证信息,并对这些认证信息进行解析;当接收用户输入的认证信息为无法预先定义的变量名,则预定义若干个通用名称,用户交互接口接受这个变量名的值并向后面的模块传递这个值。
所述的内部处理模块——用于可扩展AAA模块处理流程。
所述的服务器通信调用接口——用于将服务器通信调用接口进行统一的封装。
所述的服务器通信协议接口库——用于存放服务器各种安全通信协议接口,即将上述经过统一封装的服务器通信调用接口放在一个按照规范格式编写的服务器通信协议接口库中。
所述的新增服务器通信协议接口库——用于系统需要支持一种新的安全认证协议时,开发该安全协议的服务器通信协议接口,并上传到系统后在可扩展AAA模块加载这个新增服务器通信协议接口库。
一种可扩展的AAA通信方法,有以下实现步骤:
步骤一,将传统的AAA模块内部进行模块化:设置用户交互接口模块、内部处理模块及服务器通信调用接口模块,并对其中用户交互接口和服务器通信调用接口分别进行统一设置及封装,包括统一设置及封装待认证信息的用户名、密码,以及若干个可供用户自定义的扩展字段的分步骤,用以支持不同的认证协议以及形成可扩展AAA模块。
步骤二,对所述的服务器通信调用接口分别匹配设置服务器通信协议接口库,并存放所述的服务器通信调用接口。
用户输入的信息是通过HTTP POST传递到用户交互接口的,认证信息的格式通常是:<变量名1>=<变量值1>&<变量名2>=<变量值2>…。统一设置用户交互接口就是对这些信息进行简单的解析,例如传递的信息是:”username”=”test”&”pwd”=”123456”,当发现<变量名>是”username”时,相应的”test”就是用户登录时的name,当<变量名>是”pwd”时,对应的”123456”就是用户输入的密码;用户名和密码是通用的认证字段,所以我们可以用预先定义好名称来指明<变量值>的意义。但是如果认证时需要额外的字段,比如指纹,我们可能无法预先定义名称来指明<变量值>的意义,因为不同的认证方式可能使用不同的字段,此时,可预定义几个通用的名称“entend1”…“entend5”,当需要传递例如指纹这样的扩展字段时,HTTPPOST的信息可以是这样:“username”=“test”或者“pwd”=“123456”或者“entend1”=“xxx指纹内容xxx”。统一设置的用户交互接口在解析这段信息的时候并不知道“entend1”的值是什么意义,它只负责接受这个值并向后面的模块传递这个值,一直到达服务器通信协议接口库。服务器通信协议接口库会根据其中的代码逻辑以及配置参数把这个值当作指纹来使用。
步骤三,当系统采用某种认证协议进行工作时,在可扩展AAA模块加载所述匹配设置的服务器通信协议接口库;所述的可扩展AAA模块可以相同的方式分别加载和调用存放不同认证协议的服务器通信协议接口库。
所述的匹配设置服务器通信协议接口库步骤,包括设置调用接口、配置处理和实现通信接口的分步骤;
所述的调用接口是统一设置的,具有相同的传入参数和返回结果;
所述的配置处理包括将支持各认证协议不同逻辑流程和参数的逻辑处理置入配置文件中的分步骤,即将一部分简单的逻辑处理从系统程序中分离出来,写到配置文件中,使得配置文件中包含逻辑处理;
所述的通信接口是严格按照认证协议标准来实现的。
所述的服务器通信协议接口库为动态链接库,当需要某种认证协议的接口时,所述的可扩展AAA模块动态链接经匹配的服务器通信协议接口库。
每一个服务器通信协议接口库都是一个动态链接库。动态链接库并不在程序的可执行文件中,而是当可执行文件启动或者在运行中需要执行动态链接库中的函数时,动态的链接加载这个库文件,然后调用库中的函数。
所述的可扩展AAA模块动态链接某个服务器通信协议接口库时,其内部的配置文件被解析成一个可执行函数,用户输入的认证信息被当做参数调用该可执行函数,并按照配置文件的逻辑进行数据处理。所述的配置文件格式可以是TCL(Tool Command Language,工具指令语言)语言的格式,也可以使用任意的语言或者自己定义语法规范来定义所述的配置文件格式。TCL语言是一门脚本语言,具有灵活和可扩展的特点,使用TCL语言的格式,所述的配置文件就等同于一个TCL脚本,其中可以包含条件判断、流程控制、字符串处理等各种内容。在系统动态链接配置文件时,整个配置文件会被解析成一个可执行函数,在服务器通信协议接口库中的配置处理模块把用户输入的认证信息当做参数来调用这个函数,这样我们就能按照配置文件中的逻辑来处理数据了。
步骤四,当系统新增认证协议时,按照上述步骤二的方法匹配设置新增服务器通信协议接口库,并在可扩展AAA模块中加载该新增服务器通信协议接口库。由于可扩展AAA模块的接口统一,当需要支持一种新增认证协议时,只需要开发这个认证协议的服务器通信协议接口库,上传到系统后由可扩展AAA模块动态链接这个库就可以使用这种认证协议进行认证了。动态链接库的加载可以在系统运行中完成,不需要重启系统或者升级系统,这样也方便了产品测试和用户部署。
需要说明的是,本发明各系统实施方式中提到的各单元都是逻辑单元,在物理上,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现,这些逻辑单元本身的物理实现方式并不是最重要的,这些逻辑单元所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外,为了突出本发明的创新部分,本发明没有引入上述各系统实施方式以及与解决本发明所提出的技术问题关系不太密切的单元,但这并不表明不存在上述系统实施方式以及其它有关实施单元。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种可扩展的AAA通信系统是由用户端、可扩展AAA模块、服务器通信协议接口库组及AAA服务器构成,其特征是可扩展AAA模块是由统一设置的用户交互接口、内部处理模块及统一封装的服务器通信调用接口顺序连接构成。
2.根据权利要求1所述的一种可扩展的AAA通信系统,其特征是所述的服务器通信协议接口库组可由一组服务器通信协议接口库组成,用于存放可扩展AAA模块中所述的服务器通信调用接口;每个服务器通信协议接口库是由调用接口、可扩展配置处理模块以及通信接口组成。
3.根据权利要求1所述的一种可扩展的AAA通信系统,其特征是所述的服务器通信协议接口库组还包括新增服务器通信协议接口库,用于系统需要支持一种新的安全认证协议时,开发该安全协议的服务器通信协议接口,并上传到系统后在可扩展AAA模块加载这个新增服务器通信协议接口库。
4.一种可扩展的AAA通信方法,其特征是有以下实现步骤:
步骤一,将传统的AAA模块内部进行模块化:设置用户交互接口模块、内部处理模块及服务器通信调用接口模块,并对其中用户交互接口和服务器通信调用接口分别进行统一设置及封装,用以支持不同的认证协议以及形成可扩展AAA模块;
步骤二,对所述的服务器通信调用接口分别匹配设置服务器通信协议接口库,并存放所述的服务器通信调用接口;
步骤三,当系统采用某种认证协议进行工作时,在可扩展AAA模块加载所述匹配设置的服务器通信协议接口库,所述的可扩展AAA模块可以相同的方式分别加载和调用存放不同认证协议的服务器通信协议接口库;
步骤四,当系统新增认证协议时,按照上述步骤二的方法匹配设置新增服务器通信协议接口库,并在可扩展AAA模块中加载该新增服务器通信协议接口库。
5.根据权利要求4所述的一种可扩展的AAA通信方法,其特征是所述的匹配设置服务器通信协议接口库步骤,包括设置调用接口、配置处理和实现通信接口的分步骤。
6.根据权利要求5所述的一种可扩展的AAA通信方法,其特征是服务器通信协议接口库中所述的调用接口是统一设置的,具有相同的传入参数和返回结果。
7.根据权利要求5所述的一种可扩展的AAA通信方法,其特征是服务器通信协议接口库中所述的配置处理包括将支持各认证协议不同逻辑流程和参数的逻辑处理置入配置文件中的分步骤。
8.根据权利要求5所述的一种可扩展的AAA通信方法,其特征是服务器通信协议接口库中所述的通信接口是严格按照认证协议标准来实现的。
9.根据权利要求4所述的一种可扩展的AAA通信方法,其特征是所述的服务器通信协议接口库为动态链接库,当需要某种认证协议的接口时,所述的可扩展AAA模块动态链接经匹配的服务器通信协议接口库。
10.根据权利要求4所述的一种可扩展的AAA通信方法,其特征是所述的可扩展AAA模块动态链接某个服务器通信协议接口库时,其内部的配置文件被解析成一个可执行函数,用户输入的认证信息被当做参数调用该可执行函数,并按照配置文件的逻辑进行数据处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310598240.1A CN104660570A (zh) | 2013-11-22 | 2013-11-22 | 一种可扩展的aaa通信系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310598240.1A CN104660570A (zh) | 2013-11-22 | 2013-11-22 | 一种可扩展的aaa通信系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104660570A true CN104660570A (zh) | 2015-05-27 |
Family
ID=53251274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310598240.1A Pending CN104660570A (zh) | 2013-11-22 | 2013-11-22 | 一种可扩展的aaa通信系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104660570A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105391583A (zh) * | 2015-11-30 | 2016-03-09 | 上海斐讯数据通信技术有限公司 | 远程用户拨号认证服务器的配置方法、系统及电子装置 |
CN107241402A (zh) * | 2017-05-27 | 2017-10-10 | 郑州云海信息技术有限公司 | 一种自适应通信方法及系统 |
CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040100903A1 (en) * | 2002-11-25 | 2004-05-27 | Seung-Jae Han | Quality of service mechanisms for mobility access device |
CN1556641A (zh) * | 2004-01-01 | 2004-12-22 | 浙江大学 | 通信协议的构件化实现方法 |
CN1567898A (zh) * | 2003-07-10 | 2005-01-19 | 华为技术有限公司 | 一种实现授权验证的方法及其授权验证处理模块 |
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
US7328268B1 (en) * | 2001-09-28 | 2008-02-05 | Cisco Technology, Inc. | Maintaining a common AAA session ID for a call over a network |
CN101908967A (zh) * | 2009-06-02 | 2010-12-08 | 百度在线网络技术(北京)有限公司 | Linux虚拟服务器配置方法和系统 |
CN202475768U (zh) * | 2012-02-20 | 2012-10-03 | 马勇 | 无线宽带基站扇区区域识别控制装置 |
CN103118034A (zh) * | 2013-03-07 | 2013-05-22 | 西安电子科技大学 | 自适应异构网络认证方法 |
-
2013
- 2013-11-22 CN CN201310598240.1A patent/CN104660570A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7328268B1 (en) * | 2001-09-28 | 2008-02-05 | Cisco Technology, Inc. | Maintaining a common AAA session ID for a call over a network |
US20040100903A1 (en) * | 2002-11-25 | 2004-05-27 | Seung-Jae Han | Quality of service mechanisms for mobility access device |
CN1567898A (zh) * | 2003-07-10 | 2005-01-19 | 华为技术有限公司 | 一种实现授权验证的方法及其授权验证处理模块 |
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
CN1556641A (zh) * | 2004-01-01 | 2004-12-22 | 浙江大学 | 通信协议的构件化实现方法 |
CN101908967A (zh) * | 2009-06-02 | 2010-12-08 | 百度在线网络技术(北京)有限公司 | Linux虚拟服务器配置方法和系统 |
CN202475768U (zh) * | 2012-02-20 | 2012-10-03 | 马勇 | 无线宽带基站扇区区域识别控制装置 |
CN103118034A (zh) * | 2013-03-07 | 2013-05-22 | 西安电子科技大学 | 自适应异构网络认证方法 |
Non-Patent Citations (2)
Title |
---|
王鑫磊: "统一安全认证平台的设计与实现", 《中国优秀硕士学位论文全文数据库,信息科技辑》 * |
黄岩: "基于diameter协议的AAA系统设计与实现", 《中国硕士学位论文全文数据库,信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105391583A (zh) * | 2015-11-30 | 2016-03-09 | 上海斐讯数据通信技术有限公司 | 远程用户拨号认证服务器的配置方法、系统及电子装置 |
CN107241402A (zh) * | 2017-05-27 | 2017-10-10 | 郑州云海信息技术有限公司 | 一种自适应通信方法及系统 |
CN107241402B (zh) * | 2017-05-27 | 2020-07-24 | 苏州浪潮智能科技有限公司 | 一种自适应通信方法及系统 |
CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
CN111131276B (zh) * | 2019-12-27 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10095495B2 (en) | Method and apparatus for automatic software development for a group of controller-based devices | |
EP3178198B1 (en) | Secure cloud based multi-tier provisioning | |
EP3394743B1 (en) | Method and apparatus for creating and managing controller based remote solutions | |
CN105656890B (zh) | 一种基于tee和无线确认的fido认证器及系统及方法 | |
CN104486343A (zh) | 一种双因子双向认证的方法及系统 | |
CN103248525A (zh) | 配置网络资源的方法及装置 | |
CN110602252B (zh) | 一种区块链增强的开放物联网接入架构 | |
CN104580235A (zh) | 用于设备连接的认证方法和认证系统 | |
CN104660570A (zh) | 一种可扩展的aaa通信系统及方法 | |
CN109033803A (zh) | 一种基于门户app的移动微应用登录管理方法 | |
US10764734B2 (en) | Service operation management using near-field communications | |
US20220078180A1 (en) | Multi-customer electronic access control system and method | |
CN105208554A (zh) | 一种实现zigbee终端设备入网的方法、系统和设备 | |
CN101527646B (zh) | 一种web网络管理系统和方法 | |
US10939532B2 (en) | Secure commissioning of wireless enabled lighting devices | |
CN107547217B (zh) | 路由器业务配置方法及路由器 | |
CN104113418A (zh) | 一种erp系统中基于规则配置的复合身份验证方法 | |
CN111461718A (zh) | 区块链节点的接入方法、装置及系统 | |
CN111193699A (zh) | 用于检测ZigBee设备安全漏洞的方法和装置 | |
US20220215707A1 (en) | Multi-device electronic access control application, system and method | |
KR101437430B1 (ko) | IoT POS 서비스 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 기록매체 | |
CN106778193B (zh) | 一种客户端和ui交互方法 | |
CN113132333B (zh) | 组网登录方法、家电设备、家电系统及存储介质 | |
Mahadewa | Security analysis of smart home implementations | |
CN105471594B (zh) | 管理资源的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150527 |