一种AAA认证方法和装置制造方法及图纸

本发明专利技术公开一种AAA认证方法和装置，该方法包括：对AAA服务器的配置文件的管理，通过操作界面上设置，增加在AAA上的用户，以此实现AAA上面的用户的统一管理；对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。该方法利用TACACS+协议，满足运营商用户的AAA智能认证需求。智能认证需求。智能认证需求。

【技术实现步骤摘要】
一种AAA认证方法和装置


[0001]本专利技术涉及网络通信
，尤其是一种AAA认证方法和装置。

技术介绍

[0002]AAA指的是Authentication鉴别，Authorization授权， Accounting记账。自网络诞生以来，认证、授权以及计费体制AAA 就成为其运营的基础。网络中各类资源的使用，需要由认证、授权和计费进行管理。而AAA的发展与变迁自始至终都吸引着营运商的目光。
[0003]对于一个商业系统来说，鉴别是至关重要的，只有确认了用户的身份，才能知道所提供的服务应该向谁收费，同时也能防止非法用户对网络进行破坏。在确认用户身份后，根据用户开户时所申请的服务类别，系统可以授予客户相应的权限。最后，在用户使用系统资源时，需要有相应的设备来统计用户所对资源的占用情况，据此向客户收取相应的费用。
[0004]运营商网络是一个由路由交换设备组成的业务承载网，因此网络设备的安全对网络的安全至关重要。AAA管理即是对网络设备的认证、授权和记帐管理，保障对网络设备的安全访问。
[0005]这就需要一种方法，完成AAA智能认证。以满足网络系统对用户鉴别、授权、记账的要求。
[0006]AAA认证涉及TACACS即Terminal Access ControllerAccess
‑
Control System Plus，终端访问控制器访问控制系统，TACACS 在RFC 1492中定义，默认使用TCP或UDP协议的49端口。
[0007]TACACS+基于TACACS，但是，尽管名字如此，它是一个全新的协议，与之前的TACACS并不兼容，在最近构建或更新的网络中，TACACS+ 已经广泛地取代了早先的协议。

技术实现思路

[0008]为解决目前存在的上述问题，本专利技术提供一种AAA认证方法和装置，利用TACACS+协议，满足运营商用户的AAA智能认证需求。
[0009]为实现上述目的，本专利技术采用下述技术方案：
[0010]在本专利技术一实施例中，提出了一种AAA认证方法，该方法包括：
[0011]S01、对AAA服务器的配置文件的管理，通过操作界面上设置，增加在AAA上的用户，以此实现AAA上面的用户的统一管理；
[0012]S02、对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。
[0013]进一步地，S01中操作界面上设置流程，包括：
[0014]S011、配置Tacacs系统管理员，Tacacs系统管理员是具有特殊权限的用户，它对Tacacs所有的设备组和用户组都有配置权限；
[0015]S012、启动AAA进程，进行各种角色或设备组或用户组的配置；
[0016]S013、配置角色，对顶级节点管理权限的系统帐号配置角色；
[0017]S014、配置设备组，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；
[0018]S015、配置用户组，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；
[0019]S016、配置用户，组管理员指定用户为本组Tacacs用户，实现通过该用户登录、维护路由器设备；
[0020]S017、用户组角色管理，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。
[0021]进一步地，S013中角色包括权限级别、允许或禁止的命令。
[0022]进一步地，S014配置设备组时，设备组增加设备，指定设备的 IP地址。
[0023]进一步地，S02中的对网络设备的日志进行管理包括：
[0024]S021、设备日志查询，对采集到系统中的TACACS+登录日志信息进行组合条件查询；
[0025]S022、设备日志统计，统计任意日期段日志组合。
[0026]进一步地，S021中的组合条件包括但不限于登录用户名、登录到的路由器地址、登录源地址。
[0027]进一步地，S022中的日志组合，组合条件包括：统计周期、目标地址、登录用户名、源地址和操作命令字符串。
[0028]在本专利技术一实施例中，还提出了一种AAA认证装置，该装置包括：
[0029]AAA管理模块，对AAA服务器的配置文件的管理，通过操作界面上设置，增加在AAA上的用户，以此实现AAA上面的用户的统一管理；
[0030]设备日志管理模块，对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。
[0031]进一步地，AAA管理模块包括：
[0032]配置管理员模块，配置Tacacs系统管理员，Tacacs系统管理员是具有特殊权限的用户，它对Tacacs所有的设备组和用户组都有配置权限；
[0033]启动AAA进程模块，进行各种角色或设备组或用户组的配置；
[0034]配置角色模块，对顶级节点管理权限的系统帐号配置角色；
[0035]配置设备组模块，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；
[0036]配置用户组模块，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；
[0037]配置用户模块，组管理员指定用户为本组Tacacs用户，实现通过该用户登录、维护路由器设备；
[0038]用户组角色管理模块，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。
[0039]进一步地，设备日志管理模块包括：
[0040]设备日志查询模块，对采集到系统中的TACACS+登录日志信息进行组合条件查询；
[0041]设备日志统计模块，统计任意日期段日志组合。
[0042]在本专利技术一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述AAA认证方法。
[0043]在本专利技术一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行AAA认证方法的计算机程序。
[0044]有益效果：
[0045]本专利技术利用TACACS+协议，满足运营商用户的AAA智能认证需求。
[0046]1、认证方面
[0047]采用“用户(用户组)+设备组＝>角色”模型，具有如下特性：
[0048]支持灵活的角色定义，可以在角色中配置权限级别、指定可以执行或拒绝的命令集(支持正则表达式)、配置默认的允许/拒绝开关。支持思科、华为、中兴、烽火、阿本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种AAA认证方法，其特征在于，该方法包括：S01、对AAA服务器的配置文件的管理，通过操作界面上设置，增加在AAA上的用户，以此实现AAA上面的用户的统一管理；S02、对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。2.根据权利要求1所述的AAA认证方法，其特征在于，所述S01中操作界面上设置流程，包括：S011、配置Tacacs系统管理员，Tacacs系统管理员是具有特殊权限的用户，它对Tacacs所有的设备组和用户组都有配置权限；S012、启动AAA进程，进行各种角色或设备组或用户组的配置；S013、配置角色，对顶级节点管理权限的系统帐号配置角色；S014、配置设备组，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；S015、配置用户组，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；S016、配置用户，组管理员指定用户为本组Tacacs用户，实现通过该用户登录、维护路由器设备；S017、用户组角色管理，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。3.根据权利要求2所述的AAA认证方法，其特征在于，所述S013中角色包括权限级别、允许或禁止的命令。4.根据权利要求2所述的AAA认证方法，其特征在于，所述S014配置设备组时，设备组增加设备，指定设备的IP地址。5.根据权利要求1所述的AAA认证方法，其特征在于，所述S02中的对网络设备的日志进行管理包括：S021、设备日志查询，对采集到系统中的TACACS+登录日志信息进行组合条件查询；S022、设备日志统计，统计任意日期段日志组合。6.根据权利要求6所述的AAA认证方法，其特征在于，所述S021中的组合条件包括但不限于登录用户名、登录到的路由器地址、登录源地址。7.根据权利要求6所述的AAA认证方法，其特征在于，所述...

【专利技术属性】
技术研发人员：薛竹，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：