專利名稱:一種單點(diǎn)登錄系統(tǒng)、裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種單點(diǎn)登錄系統(tǒng)及方法。 冊(cè)狄電信運(yùn)營(yíng)業(yè)務(wù)需要大量的網(wǎng)絡(luò)設(shè)備硬件和軟件來(lái)支撐,這些設(shè)備硬件和軟 件通常分別由多個(gè)不同的生產(chǎn)廠家提供,分布在不同的地理位置,登錄方式各 異,每個(gè)設(shè)備都有自身的用戶和權(quán)限管理功能,大量的登錄用戶名和口令分布 存儲(chǔ)在這些設(shè)備之中。隨著電信運(yùn)營(yíng)商的用戶數(shù)量和業(yè)務(wù)種類的不斷增多,網(wǎng)絡(luò)恥漢不斷擴(kuò)大, 設(shè)備種類和數(shù)量也越來(lái)越多。由于網(wǎng)絡(luò)設(shè)備數(shù)量爆炸式膨脹,但維護(hù)人員的數(shù)量有限,維護(hù)人員需要同 時(shí)維護(hù)多臺(tái)設(shè)備,在日常工作中需要登錄不同的設(shè)備進(jìn)行配置、測(cè)試和相關(guān)操 作,維護(hù)人員就需要記住大量設(shè)備的口令,給維護(hù)工作增加了額外的難度。并且,由于廠商的維護(hù)人員和運(yùn)營(yíng)商不同部門(mén)的維護(hù)人員,都同時(shí)具備對(duì) 網(wǎng)絡(luò)設(shè)備的操作權(quán)限,設(shè)備操作口令繁多,可是當(dāng)前卻缺乏系統(tǒng)的、有效的口令管理,最終導(dǎo)致設(shè)備口令丟失、竊取時(shí)有發(fā)生,口令安全隱患突出;另外, 在用戶訪問(wèn)設(shè)備的過(guò)程中,如果缺乏有效的設(shè)備訪問(wèn)日志記錄,造成系統(tǒng)無(wú)法 追蹤用戶對(duì)設(shè)備的操作,導(dǎo)致系統(tǒng)無(wú)法察覺(jué)用戶的非法操作,從而使系統(tǒng)陷入 了不可預(yù)計(jì)的危險(xiǎn)中。傳統(tǒng)的設(shè)備訪問(wèn),如圖l所示,針對(duì)每一臺(tái)設(shè)備,用戶都要進(jìn)行登錄、身 份驗(yàn)證、建立連接這樣的過(guò)程,這就要求用戶必須記住每臺(tái)設(shè)備的登錄名稱和 口令,在電信運(yùn)營(yíng)企業(yè),特別是存在大量網(wǎng)絡(luò)設(shè)備需要管理的環(huán)境中,如果都 采用這樣的登錄方式,不僅繁瑣費(fèi)時(shí),而且需要用戶記錄下大量的設(shè)備口令,
必然存在安全方面的隱患, 一旦口令丟失,或者造成信息泄漏,或者無(wú)法正常 登錄系統(tǒng),都會(huì)影響到正常的管理工作?;赗ADIUS的設(shè)備訪問(wèn),如圖2所示,RADIUS是一種分布的客戶/服 務(wù)器系統(tǒng),可以實(shí)現(xiàn)安全網(wǎng)絡(luò),拒絕未經(jīng)驗(yàn)證的訪問(wèn)。當(dāng)一個(gè)用戶試圖登錄并驗(yàn)證到一個(gè)使用了 RADIUS的訪問(wèn)服務(wù)器時(shí),會(huì)產(chǎn) 生以下步驟輸入用戶名和密碼;用戶名和加密的密碼經(jīng)過(guò)要訪問(wèn)的設(shè)備發(fā)送到網(wǎng)絡(luò)中的RADIUS服務(wù)器, 該服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證;該用戶通過(guò)了認(rèn)證(ACCEPT),或者,該用戶沒(méi)有被認(rèn)證(REJECT), 允許重新輸入用戶名和密碼,或者,拒絕訪問(wèn)相應(yīng)設(shè)備。連接參數(shù),包括主機(jī)、IP地址、訪問(wèn)列表和用戶超時(shí)。RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一,它簡(jiǎn)單安全,易于管理,擴(kuò) 展性好,所以得到廣泛應(yīng)用。但是由于協(xié)議本身的缺陷,比如基于UDP的傳 輸、簡(jiǎn)單的丟包機(jī)制、沒(méi)有關(guān)于重傳的規(guī)定和集中式計(jì)費(fèi)服務(wù),都使得它不太 適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展,需要進(jìn)一步改進(jìn)。傳統(tǒng)意義的單點(diǎn)登錄(SSO, Single Sign On),常用于企業(yè)、政府內(nèi)部應(yīng) 用系統(tǒng)的訪問(wèn)控制,如果企業(yè)中有很多應(yīng)用系統(tǒng),每個(gè)系統(tǒng)都有相應(yīng)的登錄認(rèn) 證方式,用戶進(jìn)入相應(yīng)的系統(tǒng)都要輸入相應(yīng)系統(tǒng)的登錄信息,非常繁瑣不便。同時(shí),在傳統(tǒng)的單點(diǎn)登錄系統(tǒng)中,部署Web應(yīng)用也面臨雙重的安全挑戰(zhàn)。 首先,必須保證只有合法的用戶才能訪問(wèn)相應(yīng)的Web應(yīng)用資源。其次,實(shí)施安 全保護(hù)措施時(shí)應(yīng)盡量避免增加用戶的負(fù)擔(dān)。隨著業(yè)務(wù)系統(tǒng)的增加,每個(gè)用戶需 要記住多個(gè)口令,訪問(wèn)不同的Web應(yīng)用系統(tǒng)采用不同的口令。這雖然能夠保證 用戶對(duì)Web資源的合法訪問(wèn),但增加了用戶的負(fù)擔(dān)。 一方面,為了方便記憶, 用戶會(huì)采用簡(jiǎn)單的口令或?qū)⒖诹钣涗浵聛?lái),這大大降低了應(yīng)用系統(tǒng)的安全性; 另一方面,用戶每訪問(wèn)一個(gè)Web應(yīng)用資源都需要登錄一次,這又大大降低了工 作效率。傳統(tǒng)的單點(diǎn)登錄技術(shù)是面向應(yīng)用而生,不論是普通的系統(tǒng)應(yīng)用還是Web 應(yīng)用,傳統(tǒng)的單點(diǎn)登錄設(shè)計(jì)都難以實(shí)現(xiàn)直接面向設(shè)備的單點(diǎn)登錄。但是,在電信網(wǎng)管系統(tǒng)中,設(shè)備作為最基本的網(wǎng)元之一,很多最重要和最 基本的系統(tǒng)信息都是來(lái)自于設(shè)備,因此發(fā)明建立一個(gè)面向設(shè)備的單點(diǎn)登錄系統(tǒng) 與裝置(SASS, Single Access & Security Service),對(duì)于設(shè)備訪問(wèn)需要實(shí)現(xiàn)單 點(diǎn)、接入和安全三個(gè)功能就顯得格外關(guān)鍵。發(fā)明內(nèi)容本發(fā)明提供一種單點(diǎn)登錄系統(tǒng)、裝置及方法,用以解決現(xiàn)有技術(shù)在用戶訪 問(wèn)設(shè)備時(shí),難以實(shí)現(xiàn)直接面向設(shè)備的單點(diǎn)登錄的問(wèn)題。本發(fā)明系統(tǒng)包括至少一個(gè)用戶終端、單點(diǎn)登錄裝置以及至少一個(gè)向用戶 終端提供服務(wù)的網(wǎng)絡(luò)設(shè)備,其中,用戶終端,用于向單點(diǎn)登錄裝置發(fā)送訪問(wèn)請(qǐng)求,其中含有要訪問(wèn)的網(wǎng)絡(luò)設(shè) 備標(biāo)識(shí)以及虛擬用戶身份信息;單點(diǎn)登錄裝置,用于保存每個(gè)虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備的信息,當(dāng)收 到訪問(wèn)請(qǐng)求時(shí),如果確定允許該虛擬用戶訪問(wèn)所請(qǐng)求的網(wǎng)絡(luò)設(shè)備,則與該用戶 終端可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備建立連接;網(wǎng)絡(luò)設(shè)備,用于與所述單點(diǎn)登錄裝置建立連接。所述的虛擬用戶為可以訪問(wèn)單點(diǎn)登錄裝置的用戶,所述虛擬用戶身份信息 包括虛擬用戶標(biāo)識(shí)和口令,每個(gè)虛擬用戶可以訪問(wèn)網(wǎng)絡(luò)設(shè)備的信息包括虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系、虛 擬用戶標(biāo)識(shí)和虛擬用戶口令的對(duì)應(yīng)關(guān)系以及網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)與網(wǎng)絡(luò)設(shè)備口令之 間的對(duì)應(yīng)關(guān)系;則所述單點(diǎn)登錄裝置包括單點(diǎn)登錄認(rèn)證單元,用于保存所述虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的
網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系;收到訪問(wèn)請(qǐng)求后,從口令管理單元中獲取訪問(wèn) 請(qǐng)求虛擬用戶標(biāo)識(shí)對(duì)應(yīng)的虛擬用戶口令,如果確定訪問(wèn)請(qǐng)求中的虛擬用戶口令 與獲得的虛擬用戶口令一致,以及4艮據(jù)所述映射關(guān)系確定該用戶終端所請(qǐng)求的 是允許訪問(wèn)的設(shè)備,則從所述口令管理單元中獲取該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò) 設(shè)備標(biāo)識(shí)對(duì)應(yīng)的口令,通過(guò)該口令與所述網(wǎng)絡(luò)設(shè)備建立連接;口令管理單元,用于存儲(chǔ)所述虛擬用戶口令及網(wǎng)絡(luò)設(shè)備口令。所述單點(diǎn)登錄認(rèn)證單元還包括日志管理單元,用于記錄所述用戶終端的登錄信息,和/或外部訪問(wèn)網(wǎng)絡(luò)設(shè) 備的會(huì)話,和/或命令,和/或命令執(zhí)行結(jié)果的日志信息。 所述單點(diǎn)登錄裝置還包括第一協(xié)議適配單元,用于接收到所述用戶終端的訪問(wèn)請(qǐng)求后,將用戶終端 提交的訪問(wèn)信息發(fā)送給所述單點(diǎn)登錄認(rèn)證單元,所述的訪問(wèn)信息包括用戶終端 要訪問(wèn)的網(wǎng)絡(luò)設(shè)m和所述虛擬用戶信息;第二協(xié)議適配單元,用于在單點(diǎn)登錄認(rèn)證單元通過(guò)對(duì)所述用戶終端的認(rèn)證 后,接收單點(diǎn)登錄認(rèn)證單元的請(qǐng)求,從所述設(shè)備資源管理單元獲取相應(yīng)的網(wǎng)絡(luò) 設(shè)備信息,并根據(jù)該信息與所述網(wǎng)絡(luò)設(shè)備建立連接,并返回通信連接的標(biāo)識(shí)信 息給單點(diǎn)登錄認(rèn)證單元;所述的單點(diǎn)登錄認(rèn)證單元,根據(jù)所述通信連接的標(biāo)識(shí)信息建立第二協(xié)議適 配單元和第一協(xié)議適配單元的數(shù)據(jù)通信信道,并返回訪問(wèn)請(qǐng)求成功響應(yīng)消息給 所述用戶終端;所述用戶終端通過(guò)所述數(shù)據(jù)通信信道與所述網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互。 所述單點(diǎn)登錄裝置還包括設(shè)備訪問(wèn)多樣性處理單元,用于根據(jù)不同的網(wǎng)絡(luò)設(shè)備類型,定義不同的模 板,根據(jù)網(wǎng)絡(luò)設(shè)備類型信息,通過(guò)模板引擎解釋相應(yīng)的模板,得到所述網(wǎng)絡(luò)設(shè) 備的訪問(wèn)格式控制信息,并將該信息發(fā)送給所述第二協(xié)議適配單元;所述第二協(xié)議適配單元根據(jù)所述網(wǎng)絡(luò)設(shè)備的訪問(wèn)格式控制信息,發(fā)起對(duì)所
述網(wǎng)絡(luò)設(shè)備的訪問(wèn)請(qǐng)求。所述單點(diǎn)登錄裝置還包括外部接口單元,用于向第三方應(yīng)用系統(tǒng)提供接口;所述的第三方應(yīng)用系統(tǒng)通過(guò)所述外部接口單元與所述設(shè)備資源管理單元 和/或所述口令管理單元進(jìn)行數(shù)據(jù)共享。 本發(fā)明方法包括以下步驟A、 在單點(diǎn)登錄裝置中建立虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè) 備標(biāo)識(shí)之間的映射關(guān)系;B、 當(dāng)單點(diǎn)登錄裝置收到用戶終端的訪問(wèn)請(qǐng)求后,根據(jù)所述映射關(guān)系,判 斷用戶終端是否具有訪問(wèn)相關(guān)網(wǎng)絡(luò)設(shè)備的權(quán)限,如果具有,則建立所述用戶終 端可以與要訪問(wèn)的網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互的數(shù)據(jù)通信信道。步驟B所述的用戶終端訪問(wèn)所述網(wǎng)絡(luò)設(shè)備的過(guò)程中,該步驟進(jìn)一步包括 單點(diǎn)登錄裝置記錄所述用戶終端的登錄信息,所述登錄信息包括所述用戶終端的登錄請(qǐng)求信息及對(duì)相應(yīng)網(wǎng)絡(luò)設(shè)備的操作信息。 在執(zhí)行步驟B之后,該方法進(jìn)一步包括 所述用戶終端通過(guò)所述單點(diǎn)登錄裝置與所述網(wǎng)絡(luò)設(shè)備進(jìn)行通信; 在通信過(guò)程中,所述單點(diǎn)登錄裝置對(duì)所述用戶終端和所述網(wǎng)絡(luò)設(shè)備的協(xié)議進(jìn)行協(xié)議適配。該方法進(jìn)一步包括預(yù)先根據(jù)不同的網(wǎng)絡(luò)設(shè)備類型,定義不同的模板,并設(shè)置模板引擎; 所述用戶終端通過(guò)所述單點(diǎn)登錄裝置與所述網(wǎng)絡(luò)設(shè)備進(jìn)行通信的步驟包括所述模板引擎是根據(jù)網(wǎng)絡(luò)設(shè)備類型信息,解釋相應(yīng)的模板,獲得網(wǎng)絡(luò)設(shè)備 的訪問(wèn)格式控制信息,并利用訪問(wèn)格式控制信息訪問(wèn)訪問(wèn)相應(yīng)的網(wǎng)絡(luò)設(shè)備。本發(fā)明方案通過(guò)建立虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo) 識(shí)之間的映射關(guān)系,用戶終端只要發(fā)起一個(gè)網(wǎng)絡(luò)設(shè)備的連接請(qǐng)求,之后的復(fù)雜
連接步驟皆由系統(tǒng)自動(dòng)地控制和完成,而不用再次手動(dòng)的輸入網(wǎng)絡(luò)設(shè)備的口令,從而起到單點(diǎn)登錄及口令保密的作用;本發(fā)明裝置部署在用戶終端和網(wǎng)絡(luò)設(shè)備之間,通過(guò)協(xié)議適配,可以將用戶 終端和網(wǎng)絡(luò)設(shè)備完全隔離,以保證網(wǎng)絡(luò)設(shè)備的訪問(wèn)安全性;本發(fā)明裝置通過(guò)日志統(tǒng)計(jì)管理可詳細(xì)地記錄用戶終端每次登錄網(wǎng)絡(luò)設(shè)備 的活動(dòng)資料,使維護(hù)人員及系統(tǒng)管理員取得各種日志檔案以作a和檢查;本發(fā)明裝置通過(guò)針對(duì)不同的網(wǎng)絡(luò)設(shè)備類型定義不同的模板,通過(guò)模板引擎 解釋執(zhí)行相應(yīng)的模板,獲取網(wǎng)絡(luò)設(shè)備的訪問(wèn)格式控制信息,屏蔽網(wǎng)絡(luò)設(shè)備訪問(wèn) 的多樣性,為用戶終端提供統(tǒng)一的設(shè)備訪問(wèn)方式;本發(fā)明裝置還提供了第三方接口 ,使第三方系統(tǒng)可以通過(guò)該接口與本發(fā)明 裝置進(jìn)行數(shù)據(jù)共享。
圖1為現(xiàn)有技術(shù)中傳統(tǒng)的設(shè)備訪問(wèn)方式示意圖;圖2為現(xiàn)有技術(shù)中基于RADIUS的設(shè)備訪問(wèn)方式示意困;圖3為實(shí)現(xiàn)本發(fā)明系統(tǒng)的結(jié)構(gòu)示意圖;圖4為實(shí)現(xiàn)本發(fā)明方法的流程示意圖。
具體實(shí)施方式
本發(fā)明方案的核心思想為通過(guò)建立虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn) 的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系,使用戶終端只要通過(guò)一次登錄認(rèn)證,就可以 登錄相關(guān)網(wǎng)絡(luò)設(shè)備,從而避免了在登錄其他網(wǎng)絡(luò)設(shè)備時(shí)進(jìn)行再次登錄的麻煩; 通過(guò)協(xié)議適配,使外部任意位置的用戶對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)請(qǐng)求從協(xié)議層上終結(jié) 在單點(diǎn)登錄裝置,對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)從單點(diǎn)登錄裝置發(fā)起,起到了協(xié)議層隔離 的作用。另外,通過(guò)實(shí)行虛擬用戶口令和該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備口令 的統(tǒng)一管理,以及對(duì)口令的加密處理也可以提高設(shè)備訪問(wèn)的安全性;對(duì)不同的
網(wǎng)絡(luò)設(shè)備定義不同的模板,在訪問(wèn)網(wǎng)絡(luò)設(shè)備時(shí),通過(guò)設(shè)備類型信息,利用專有 的模板引擎讀^目應(yīng)的模板,并解釋執(zhí)行該模板,實(shí)現(xiàn)設(shè)備訪問(wèn)多樣性的自動(dòng) 化。所述的虛擬用戶為用戶終端訪問(wèn)單點(diǎn)登錄裝置時(shí)設(shè)置的用戶,即該虛擬用戶是該單點(diǎn)登錄裝置的用戶;而所述的虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)為能夠訪問(wèn)網(wǎng)絡(luò)設(shè)備的用戶 標(biāo)識(shí),即該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)是所述網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識(shí);所述的虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)是一對(duì)多的 關(guān)系,即一個(gè)單點(diǎn)登錄裝置的虛擬用戶標(biāo)識(shí)可以對(duì)應(yīng)多個(gè)虛擬用戶可以訪問(wèn)的 網(wǎng)絡(luò)設(shè)備標(biāo)識(shí),也就是說(shuō)一個(gè)具有訪問(wèn)所述單點(diǎn)登錄裝置權(quán)限的用戶終端可以 通過(guò)所述單點(diǎn)登錄裝置訪問(wèn)不同的網(wǎng)絡(luò)設(shè)備。參照?qǐng)D3,實(shí)現(xiàn)本發(fā)明所述的單點(diǎn)登錄系統(tǒng)包括用戶終端31、單點(diǎn)登錄 裝置32、網(wǎng)絡(luò)設(shè)備33和第三方應(yīng)用系統(tǒng)34。用戶終端31,用于向單點(diǎn)登錄裝置32發(fā)送訪問(wèn)請(qǐng)求,其中含有要訪問(wèn)的 網(wǎng)絡(luò)設(shè)備34的標(biāo)識(shí)以及虛擬用戶身份信息;在收到單點(diǎn)登錄裝置32的登錄通 知后,訪問(wèn)自身對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備33;所述的虛擬用戶為可以訪問(wèn)單點(diǎn)登錄裝置32的用戶;所述虛擬用戶身份信息包括虛擬用戶標(biāo)識(shí)和口令;單點(diǎn)登錄裝置32,用于保存用戶終端31可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備33的信息, 當(dāng)收到所述用戶終端31發(fā)送的訪問(wèn)請(qǐng)求時(shí),判斷是否允許該用戶終端31訪問(wèn) 所請(qǐng)求的網(wǎng)絡(luò)設(shè)備33,如果允許,與該用戶終端31可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備33 建立連接,并向該用戶終端31發(fā)送登錄通知;網(wǎng)絡(luò)設(shè)備33,與所述單點(diǎn)登錄裝置32建立連接,所述用戶終端31通過(guò)所 述單點(diǎn)登錄裝置32所建立的數(shù)據(jù)通道與所述網(wǎng)絡(luò)設(shè)備33進(jìn)行數(shù)據(jù)的交互。所述的用戶終端31可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備33的信息包括虛擬用戶標(biāo)識(shí)與 該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)^殳備標(biāo)識(shí)之間的映射關(guān)系、虛擬用戶標(biāo)識(shí)和虛擬用
戶口令的對(duì)應(yīng)關(guān)系以及網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)與設(shè)備口令之間的對(duì)應(yīng)關(guān)系??傮w來(lái)講,所述的用戶終端31向所述單點(diǎn)登錄裝置32發(fā)起登錄請(qǐng)求,單 點(diǎn)登錄裝置32才艮據(jù)虛擬用戶標(biāo)識(shí)和虛擬用戶口令的對(duì)應(yīng)關(guān)系對(duì)用戶終端31提 供的虛擬用戶身份信息進(jìn)行鑒權(quán),鑒權(quán)成功意味著該用戶終端31具有訪問(wèn)該 單點(diǎn)登錄裝置32的權(quán)限,則單點(diǎn)登錄裝置32根據(jù)自身存儲(chǔ)的虛擬用戶標(biāo)識(shí)和 該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系,在用戶終端31請(qǐng)求訪 問(wèn)網(wǎng)絡(luò)設(shè)備33時(shí),判斷用戶終端31是否有請(qǐng)求訪問(wèn)的網(wǎng)絡(luò)設(shè)備33的權(quán)限, 是則所述單點(diǎn)登錄裝置32根據(jù)自身存儲(chǔ)的網(wǎng)絡(luò)設(shè)備33的訪問(wèn)信息,包括網(wǎng)絡(luò) 設(shè)備的名稱、IP地址和網(wǎng)絡(luò)設(shè)備類型等信息,和網(wǎng)絡(luò)設(shè)備33的用戶信息,包 括網(wǎng)絡(luò)設(shè)備33的用戶標(biāo)識(shí)和口令之間的對(duì)應(yīng)關(guān)系,登錄到網(wǎng)絡(luò)設(shè)備33,其中 的口令是經(jīng)過(guò)加密處理的,那么用戶終端31就可以通過(guò)單點(diǎn)登錄裝置32訪問(wèn) 網(wǎng)絡(luò)設(shè)備33,在整個(gè)用戶終端31請(qǐng)求訪問(wèn)網(wǎng)絡(luò)設(shè)備33的過(guò)程中,單點(diǎn)登錄裝 置32記錄下用戶終端31的登錄信息,包括請(qǐng)求登錄信息和相關(guān)操作信息。進(jìn)一步,所述的單點(diǎn)登錄裝置32包括第一協(xié)議適配單元321、單點(diǎn)登錄 認(rèn)證單元322、 口令管理單元323、第二協(xié)議適配單元324、設(shè)備訪問(wèn)多樣性處 理單元325及外部接口單元326;所述單點(diǎn)登錄認(rèn)證單元322包括設(shè)備資源管理單元3221、用戶權(quán)限管理 單元3222和日志管理單元3223;所述的設(shè)備訪問(wèn)多樣性處理單元325包括模板引擎單元3251和模板單 元3252。所述的第一協(xié)議適配單元321接收所述用戶終端31的訪問(wèn)請(qǐng)求,并進(jìn)行 協(xié)議適配,提取用戶終端31的訪問(wèn)信息,包括網(wǎng)絡(luò)設(shè)備33的標(biāo)識(shí),訪問(wèn)單點(diǎn) 登錄裝置32的用戶和密碼信息,并將該信息提交給單點(diǎn)登錄認(rèn)證單元322進(jìn) 行用戶認(rèn)證和權(quán)限控制;其中所述的單點(diǎn)登錄裝置32的用戶為虛擬用戶,所 述單點(diǎn)登錄認(rèn)證單元322,保存有所述虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的 網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系,在用戶提出訪問(wèn)本系統(tǒng)的請(qǐng)求時(shí),從口令管理
單元323中獲取訪問(wèn)請(qǐng)求虛擬用戶標(biāo)識(shí)對(duì)應(yīng)的虛擬用戶口令,并判斷訪問(wèn)請(qǐng)求 中的虛擬用戶口令與獲得的虛擬用戶口令是否一致,如果不一致,則返回認(rèn)證 失敗響應(yīng)結(jié)果通過(guò)第一協(xié)議適配單元321返回給用戶終端31;如果一致,則說(shuō) 明該用戶終端31具有訪問(wèn)所述單點(diǎn)登錄裝置32的權(quán)限,根據(jù)所述映射關(guān)系, 繼續(xù)根據(jù)單點(diǎn)登錄裝置的權(quán)限管理規(guī)則對(duì)用戶終端31和要訪問(wèn)的網(wǎng)絡(luò)設(shè)備33 以及網(wǎng)絡(luò)設(shè)備33的用戶的關(guān)系進(jìn)行權(quán)限鑒別,鑒權(quán)失敗,則返回鑒權(quán)失敗響 應(yīng)結(jié)果通過(guò)第一協(xié)議適配單元321返回給用戶終端31;如果鑒權(quán)成功,則從所 述口令管理單元323中獲取該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備33的標(biāo)識(shí)對(duì)應(yīng)的 口令信息,并從設(shè)備資源管理單元3221中獲得網(wǎng)絡(luò)設(shè)備訪問(wèn)信息,包括網(wǎng)絡(luò) 設(shè)備的名稱、IP地址和網(wǎng)絡(luò)設(shè)備類型等信息,并向第二協(xié)議適配單元324發(fā)送 訪問(wèn)網(wǎng)絡(luò)設(shè)備33的請(qǐng)求,并將所述網(wǎng)絡(luò)設(shè)備訪問(wèn)信息和用戶信息發(fā)送給第二 協(xié)議適配單元324。其中,在各單元的處理過(guò)程中,日志管理單元3223進(jìn)行曰 志記錄;第二協(xié)議適配單元324,將網(wǎng)絡(luò)設(shè)備類型信息發(fā)送給設(shè)備訪問(wèn)多樣性處理 單元325,設(shè)備訪問(wèn)多樣性處理單元325接收網(wǎng)絡(luò)設(shè)備類型信息,根據(jù)該信息 從模板單元3252中查詢獲取相應(yīng)的模板,然后由模板引擎單元3251對(duì)所述相 應(yīng)的模板配置進(jìn)行解釋,獲得網(wǎng)絡(luò)設(shè)備訪問(wèn)的格式控制信息,并將該信息返回 給第二協(xié)議適配單元324;第二協(xié)議適配單元324在獲取到所述網(wǎng)絡(luò)設(shè)備訪問(wèn)的格式控制信息后,發(fā) 起對(duì)網(wǎng)絡(luò)設(shè)備33的訪問(wèn)請(qǐng)求,在建立與網(wǎng)絡(luò)設(shè)備33的通信連接后,返回通信 連接的標(biāo)識(shí)信息給單點(diǎn)登錄認(rèn)證單元322;單點(diǎn)登錄認(rèn)證單元322在接收到第二協(xié)議適配單元324的訪問(wèn)請(qǐng)求成功響 應(yīng)后,建立第二協(xié)議適配單元324和第一協(xié)議適配單元321的訪問(wèn)連接數(shù)據(jù)通 信信道,同時(shí)返回訪問(wèn)請(qǐng)求成功響應(yīng)給用戶終端31;用戶終端31通過(guò)建立的訪問(wèn)連接數(shù)據(jù)通信信道直接與網(wǎng)絡(luò)設(shè)備33進(jìn)行命 令操作和數(shù)據(jù)交互,在交互過(guò)程中,通過(guò)日志管理單元3223記錄會(huì)話和操作
過(guò)程日志信息。用戶終端31訪問(wèn)結(jié)束后,拆除訪問(wèn)連接數(shù)據(jù)通信信道。 另外,單點(diǎn)登錄裝置32維護(hù)一套網(wǎng)絡(luò)設(shè)備資源信息,和網(wǎng)絡(luò)設(shè)備訪問(wèn)的 用戶及口令信息,在電信運(yùn)營(yíng)支撐管理體系中,存在第三方的網(wǎng)絡(luò)資源管理系 統(tǒng)或第三方的訪問(wèn)設(shè)備,即本實(shí)施例中所述第三方應(yīng)用系統(tǒng)34,因此網(wǎng)絡(luò)設(shè)備 資源信息和/或網(wǎng)絡(luò)設(shè)備用戶及口令信息需要共享,單點(diǎn)登錄裝置32通過(guò)外部 接口單元326使設(shè)備資源管理單元3221和/或口令管理單元323與第三方應(yīng)用 系統(tǒng)34進(jìn)行數(shù)據(jù)共享。其中,所述的映射關(guān)系是通過(guò)在數(shù)據(jù)庫(kù)里建立二維表,將所述虛擬用戶標(biāo) 識(shí)和該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)進(jìn)行映射,減少用戶記錄太多的賬戶 和密碼,同時(shí)又可以使得虛擬用戶的口令和網(wǎng)絡(luò)設(shè)備的口令實(shí)現(xiàn)統(tǒng)一的維護(hù)和管理;所述的登錄信息包括用戶終端的登錄請(qǐng)求信息以及對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行的操 作信息。所述設(shè)備資源管理單元3221 ,用于存儲(chǔ)所述系統(tǒng)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)以及可以 訪問(wèn)該網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識(shí),包括所述單點(diǎn)登錄裝置32管理的所有網(wǎng)絡(luò)設(shè)備 以及訪問(wèn)這些網(wǎng)絡(luò)設(shè)備的信息,即所述單點(diǎn)登錄裝置32都管理了哪些網(wǎng)絡(luò)設(shè) 備,都有哪些用戶可以登錄這些設(shè)備。所述用戶權(quán)限管理單元3222,在用戶終端31提出登錄所述單點(diǎn)登錄裝置 32的請(qǐng)求時(shí),該請(qǐng)求包括虛擬用戶的標(biāo)識(shí)和口令,從所述口令管理單元323 中獲取訪問(wèn)請(qǐng)求虛擬用戶標(biāo)識(shí)對(duì)應(yīng)的虛擬用戶口令,并判斷訪問(wèn)請(qǐng)求中的虛擬 用戶口令與所述用戶終端31提出請(qǐng)求時(shí)提供的虛擬用戶口令是否一致,如果 一致,所述用戶終端31具有登錄單點(diǎn)登錄裝置32的權(quán)限,則本單元再根據(jù)所 述用戶終端31提出的網(wǎng)絡(luò)設(shè)備33的訪問(wèn)請(qǐng)求,該請(qǐng)求中包括網(wǎng)絡(luò)設(shè)備33的訪問(wèn)該網(wǎng)絡(luò)i殳備33的用戶標(biāo)識(shí)對(duì)應(yīng)的所述虛擬用戶標(biāo)識(shí),以及該虛擬用戶可 以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系,判斷該用戶終端31所請(qǐng)求的是否是 允許訪問(wèn)的網(wǎng)絡(luò)設(shè)備33,如果是,從所述口令管理單元323中獲取該虛擬用戶 可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備33的標(biāo)識(shí)對(duì)應(yīng)的口令,通過(guò)該口令與所述網(wǎng)絡(luò)設(shè)備33建 立連接;其中,所述用戶4又限管理單元3222對(duì)所述用戶^5L限的管理方法可以為將所述系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)行分類,定義不同類型網(wǎng)絡(luò)設(shè)備的登錄權(quán)限;定義可以訪問(wèn)所述不同類型網(wǎng)絡(luò)設(shè)備的不同角色,即每個(gè)角色定義為可對(duì) 不同類型設(shè)備設(shè)備進(jìn)行登錄的權(quán)限;定制不同用戶的角色,即同一個(gè)用戶可以同時(shí)擁有多個(gè)角色,而該用戶的 權(quán)限等于該多個(gè)角色所擁有的權(quán)限之和。例如運(yùn)營(yíng)商目前擁有五臺(tái)i殳備分別是1、 2、 3、 4、 5,分屬兩個(gè)部門(mén)甲、 乙,甲部門(mén)管理設(shè)備l、 2和3,乙部門(mén)管理設(shè)備4和5。甲部門(mén)的人員是張三、 乙部門(mén)的人員是李四,兩個(gè)部門(mén)都由同一個(gè)經(jīng)理管理。那么根據(jù)上面的分析, 要定義兩個(gè)角色,即甲和乙。角色曱擁有對(duì)設(shè)備l、 2和3的訪問(wèn)權(quán)限,角色 乙擁有對(duì)設(shè)4和5的訪問(wèn)權(quán)限。而用戶只能通過(guò)歸屬到角色才能擁有權(quán)限,因 此用戶張三擁有角色曱的權(quán)限,李四擁有角色乙的權(quán)限,假設(shè)部門(mén)來(lái)了新員工, 只要把對(duì)應(yīng)的角色分配給他就可以了。對(duì)于經(jīng)理而言,他可以同時(shí)擁有兩個(gè)角 色甲和乙的權(quán)限。這樣定義的好處在于,無(wú)論是新添加用戶還是新添加設(shè)備, 都不用分別設(shè)置用戶和設(shè)備的對(duì)應(yīng)關(guān)系,降低了工作量和出錯(cuò)的幾率。那么用戶終端通過(guò)虛擬用戶訪問(wèn)所述單點(diǎn)登錄裝置32時(shí),根據(jù)與用戶信 息的對(duì)應(yīng)關(guān)系,可以具有不同角色的權(quán)限,即可以訪問(wèn)不同類型的網(wǎng)絡(luò)i殳備。曰志管理單元3223,用于記錄所述用戶終端31的登錄信息,該登錄信息 包括用戶終端31的登錄請(qǐng)求信息及對(duì)網(wǎng)絡(luò)設(shè)備33的操作信息;即日志管理單元3223詳細(xì)地記錄用戶終端31每次的登錄活動(dòng)資料,如登 錄的時(shí)間、用戶名稱,同時(shí)也記錄用戶終端31與網(wǎng)絡(luò)i殳備33連線和互動(dòng)的活 動(dòng)信息,如登錄網(wǎng)絡(luò)設(shè)備33的時(shí)間、虛擬用戶標(biāo)識(shí)、網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)和曾使用
的操作指令。此外,日志管理單元3223還提供介面給維護(hù)人員及系統(tǒng)管理員 取得各種日志檔案以作備份和檢查,使系統(tǒng)管理員可通過(guò)瀏覽器追蹤用戶終端 31的登錄和與網(wǎng)絡(luò)設(shè)備33進(jìn)行連接的活動(dòng)??诹罟芾韱卧?23,用于存儲(chǔ)所述虛擬用戶口令及所述虛擬用戶可以訪問(wèn) 的網(wǎng)絡(luò)設(shè)備33的標(biāo)識(shí)對(duì)應(yīng)的口令,并對(duì)所迷口令進(jìn)行加密處理;該口令管理單元323可以單獨(dú)設(shè)置在一臺(tái)服務(wù)器上,而且只具有與單點(diǎn)登 錄認(rèn)證單元特定的接口,不支持其他訪問(wèn)接口,因此安全性高。電信運(yùn)維人員處于Internet網(wǎng)絡(luò)范圍內(nèi),網(wǎng)絡(luò)設(shè)備位于單獨(dú)的業(yè)務(wù)網(wǎng)絡(luò)中, 為了網(wǎng)絡(luò)設(shè)備的安全,在網(wǎng)絡(luò)規(guī)劃和部署中,是禁止Internet網(wǎng)絡(luò)中的請(qǐng)求直 接訪問(wèn)業(yè)務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的。實(shí)際的運(yùn)維過(guò)程中,運(yùn)維人員直接對(duì)設(shè)備進(jìn)行操作,管理和維護(hù)是不可避 免的,協(xié)議適配單元對(duì)網(wǎng)絡(luò)訪問(wèn)協(xié)議進(jìn)行適配和轉(zhuǎn)換,把來(lái)自于Internet的訪 問(wèn)請(qǐng)求在數(shù)據(jù)內(nèi)容上不變,在協(xié)議處理上進(jìn)行適配;網(wǎng)絡(luò)通信和數(shù)據(jù)交換中, 單點(diǎn)登錄裝置對(duì)于Internet網(wǎng)絡(luò)的請(qǐng)求是服務(wù)器,為Internet的訪問(wèn)請(qǐng)求提供服 務(wù),對(duì)于網(wǎng)絡(luò)設(shè)備是客戶端,發(fā)起對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)請(qǐng)求,發(fā)送操作命令并獲 取執(zhí)行結(jié)果和數(shù)據(jù)。Internet網(wǎng)對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)請(qǐng)求由單點(diǎn)登錄裝置中的協(xié) 議適配單元實(shí)現(xiàn)內(nèi)部的轉(zhuǎn)換和適g己,通過(guò)面向網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)網(wǎng)服務(wù)的客戶端 應(yīng)用轉(zhuǎn)發(fā)請(qǐng)求到網(wǎng)絡(luò)設(shè)備業(yè)務(wù)網(wǎng),從而實(shí)現(xiàn)公網(wǎng)用戶請(qǐng)求對(duì)業(yè)務(wù)網(wǎng)設(shè)備的操 作、管理和維護(hù)。單點(diǎn)登錄裝置中,在面向Internet側(cè)的服務(wù)器應(yīng)用和面向業(yè)務(wù)網(wǎng)的客戶端 應(yīng)用之間通過(guò)內(nèi)部數(shù)據(jù)通信管道建立數(shù)據(jù)信道,數(shù)據(jù)信道的建立、監(jiān)視和維護(hù) 由單點(diǎn)登錄裝置根據(jù)業(yè)務(wù)需求和控制策略進(jìn)行管理,因此在單點(diǎn)登錄裝置通過(guò) 協(xié)議適配解決實(shí)際需求的同時(shí),還實(shí)現(xiàn)了對(duì)數(shù)據(jù)內(nèi)容的過(guò)濾、監(jiān)視和日志記錄, 并可以提供安全機(jī)制對(duì)信道建立進(jìn)行控制。單點(diǎn)登錄裝置支持的協(xié)議適配不僅包括對(duì)等協(xié)議的適配,還支持非對(duì)等訪 問(wèn)協(xié)議的適配。例如>^網(wǎng)到單點(diǎn)登錄裝置和單點(diǎn)登錄裝置到業(yè)務(wù)網(wǎng)之間都是telnet;或者公網(wǎng)到單點(diǎn)登錄裝置之間是telnet,單點(diǎn)登錄裝置到業(yè)務(wù)網(wǎng)之間是 SSH。外部接口單元326,向第三方系統(tǒng)提供軟件接口,實(shí)現(xiàn)與第三方資源系統(tǒng) 或者安全管理系統(tǒng)的數(shù)據(jù)共享。即外部接口單元326是給第三方系統(tǒng)提供的軟件接口 ,可以使其他廠家的 網(wǎng)絡(luò)資源管理系統(tǒng)或者安全口令管理系統(tǒng)34與單點(diǎn)登錄裝置32進(jìn)行網(wǎng)絡(luò)設(shè)備 資源數(shù)據(jù)或者網(wǎng)絡(luò)設(shè)備安全口令數(shù)據(jù)的共享。如果用戶并無(wú)第三方的軟件,可 以不安裝這個(gè)單元。設(shè)備訪問(wèn)多樣性處理單元325,對(duì)不同的網(wǎng)絡(luò)設(shè)備定義不同的模板,在訪 問(wèn)網(wǎng)絡(luò)設(shè)備時(shí),所述的模板引擎單元3251從設(shè)備資源管理單元3221獲取要訪 問(wèn)的網(wǎng)絡(luò)設(shè)備的類型信息,并根據(jù)該信息找到相應(yīng)的模板,并解釋執(zhí)行該模板, 實(shí)現(xiàn)設(shè)備訪問(wèn)多樣性的自動(dòng)化;其中所述的模板單元3252存儲(chǔ)了根據(jù)各種設(shè) 備類型定義的各種模板。設(shè)備訪問(wèn)的多樣性發(fā)生在單點(diǎn)登錄裝置和業(yè)務(wù)網(wǎng)之間的訪問(wèn)過(guò)程中,由于 網(wǎng)絡(luò)設(shè)備以及業(yè)務(wù)系統(tǒng)的供應(yīng)廠商的不同,雖然在設(shè)備和業(yè)務(wù)系統(tǒng)訪問(wèn)的協(xié)議 標(biāo)準(zhǔn)和規(guī)范方面是相同的,但是由于實(shí)現(xiàn)方式、手段、技術(shù)和習(xí)慣的不同,造 成了設(shè)備訪問(wèn)上的多樣性,比如兩個(gè)不同廠商生產(chǎn)的路由器都提供telnet的訪 問(wèn),1旦是在數(shù)據(jù)格式上卻不相同,對(duì)于運(yùn)維人員,就必須面對(duì)這種差異,操作 不同的路由器的時(shí)候就要按照不同廠商提供的訪問(wèn)方式進(jìn)行操作。單點(diǎn)登錄裝置的設(shè)備訪問(wèn)多樣性處理單元解決設(shè)備訪問(wèn)多樣性的技術(shù)方 案是通過(guò)模板,不同設(shè)備的訪問(wèn)方式是不同的,但是對(duì)于同一類型的設(shè)備或者 業(yè)務(wù)系統(tǒng),訪問(wèn)的方式一定是相同的,并且訪問(wèn)的操作控制格式是固定的,可 以模板化的。對(duì)于不同的設(shè)備類型,按照模板規(guī)則定義不同的模板對(duì)象。設(shè)備訪問(wèn)多樣性處理單元通過(guò)模板定義工具,對(duì)不同的設(shè)備類型定義訪問(wèn) 模板。在單點(diǎn)登錄裝置訪問(wèn)業(yè)務(wù)網(wǎng)的時(shí)候,專有的模板引擎模塊讀取對(duì)應(yīng)的模 板,并解釋執(zhí)行該模板,自動(dòng)化解決設(shè)備訪問(wèn)差異化問(wèn)題。 那么綜M來(lái)說(shuō)明本發(fā)明系統(tǒng)的工作過(guò)程為用戶終端31在通過(guò)單點(diǎn)登錄裝置32訪問(wèn)網(wǎng)絡(luò)設(shè)備33時(shí),首先通過(guò)第一 協(xié)議適配單元321將網(wǎng)絡(luò)設(shè)備33的設(shè)備信息和虛擬用戶信息發(fā)送給單點(diǎn)登錄 認(rèn)證單元322,單點(diǎn)登錄認(rèn)證單元322對(duì)用戶訪問(wèn)該單點(diǎn)登錄裝置32的權(quán)限進(jìn) 行判斷,所述單點(diǎn)登錄認(rèn)證單元322中的用戶權(quán)限管理單元3222,根據(jù)口令管 理單元323中存儲(chǔ)的虛擬用戶口令信息判斷該用戶是否具有登錄單點(diǎn)登錄裝置 32的權(quán)限,如果不具有權(quán)限,則通過(guò)第一協(xié)議適配單元321返回失敗響應(yīng)消息 給用戶終端31,如果具有權(quán)限,則根據(jù)所述用戶權(quán)限管理單元3222中的虛擬 用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系判斷所述用 戶終端31是否具有訪問(wèn)所述網(wǎng)絡(luò)設(shè)備33的權(quán)限,如果不具有權(quán)限,則通過(guò)第 一協(xié)議適配單元321返回失敗響應(yīng)消息給用戶終端31 ,如果具有這樣的權(quán)限, 則從設(shè)備資源管理單元3221中獲取網(wǎng)絡(luò)設(shè)備33的相關(guān)棺息,其中包括網(wǎng)絡(luò)設(shè) 備33的設(shè)備類型信息,以及口令管理單元323的所述虛擬用戶口令及所述虛 擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備33的標(biāo)識(shí)對(duì)應(yīng)的口令信息,將該信息發(fā)送給第二 協(xié)議適配單元324,第二協(xié)議適配單元324將網(wǎng)絡(luò)設(shè)備33的設(shè)備類型信息發(fā)送 給設(shè)備訪問(wèn)多樣性處理單元325,設(shè)備訪問(wèn)多樣性處理單元325根據(jù)所述設(shè)備 類型信息查找相應(yīng)的模板,模板引擎單元3251對(duì)該模板進(jìn)行解釋執(zhí)行,獲取 網(wǎng)絡(luò)設(shè)備33的訪問(wèn)格式控制信息,并將該信息發(fā)送給第二協(xié)議適配單元324, 第二協(xié)議適配單元324根據(jù)該信息以及網(wǎng)絡(luò)設(shè)備33的相關(guān)信息和網(wǎng)絡(luò)設(shè)備33 的用戶信息與所述網(wǎng)絡(luò)設(shè)備33建立連接,并返回通信連接的標(biāo)識(shí)信息給單點(diǎn) 登錄認(rèn)證單元322,單點(diǎn)登錄認(rèn)證單元322建立第一協(xié)議適配單元321和第二 協(xié)議適配單元324的訪問(wèn)連接通信信道,并返回訪問(wèn)請(qǐng)求成功響應(yīng)消息給用戶 終端31,那么所述用戶終端31就可以通過(guò)單點(diǎn)登錄裝置32所建立的訪問(wèn)連接 通信信道與網(wǎng)絡(luò)設(shè)備33進(jìn)行數(shù)據(jù)交互。在數(shù)據(jù)傳輸過(guò)程中,經(jīng)過(guò)協(xié)議適配單元的協(xié)議適配,使公網(wǎng)任意位置的用 戶終端31對(duì)網(wǎng)絡(luò)設(shè)備33的訪問(wèn)請(qǐng)求從協(xié)議層上終結(jié)在單點(diǎn)登錄裝置32,從單 點(diǎn)登錄裝置32發(fā)起對(duì)網(wǎng)絡(luò)設(shè)備33的訪問(wèn)請(qǐng)求,保證了網(wǎng)絡(luò)設(shè)備33的訪問(wèn)安 全性,與此同時(shí),日志管理單元3223記錄所述用戶終端31的登錄信息,和/ 或外部訪問(wèn)網(wǎng)絡(luò)設(shè)備33的會(huì)話,和/或命令,和/或命令執(zhí)行結(jié)果的日志信息; 另外,當(dāng)有第三方應(yīng)用系統(tǒng)34請(qǐng)求與單點(diǎn)登錄裝置32進(jìn)行數(shù)據(jù)共享時(shí),該系 統(tǒng)可以是外部的資源系統(tǒng),也可以是外部的安全系統(tǒng),可以通過(guò)外部接口單元 326與單點(diǎn)登錄裝置32相連接,通過(guò)所述的設(shè)備資源管理單元3221和/或口令 管理單元323與所述的第三方應(yīng)用系統(tǒng)34進(jìn)行數(shù)據(jù)的共享。參照?qǐng)D4,與本發(fā)明所述系統(tǒng)相對(duì)應(yīng)的一種單點(diǎn)登錄方法包括以下步驟5401、 用戶終端向單點(diǎn)登陸裝置提出訪問(wèn)網(wǎng)絡(luò)設(shè)備的請(qǐng)求; 用戶終端在發(fā)起訪問(wèn)請(qǐng)求時(shí),提供的信息包括需要訪問(wèn)的網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)信息,訪問(wèn)單點(diǎn)登錄裝置的用戶標(biāo)識(shí)及密碼信息,所述的單點(diǎn)登錄裝置的用 戶相對(duì)于網(wǎng)絡(luò)設(shè)備的用戶來(lái)說(shuō)為虛擬用戶,即所述提交的信息包括虛擬用戶標(biāo) 識(shí)和密碼。5402、 判斷用戶終端是否具有訪問(wèn)單點(diǎn)登陸裝置的權(quán)限; 在所述單點(diǎn)登錄裝置收到用戶終端的訪問(wèn)請(qǐng)求后,根據(jù)訪問(wèn)請(qǐng)求虛擬用戶標(biāo)識(shí)對(duì)應(yīng)的虛擬用戶口令,并判斷訪問(wèn)請(qǐng)求中的虛擬用戶口令與所述用戶終端 提供的虛擬用戶口令是否一致,如果一致,則進(jìn)行步驟S403,否則拒絕用戶終 端的訪問(wèn)請(qǐng)求,結(jié)束。5403、 判斷用戶終端是否具有訪問(wèn)網(wǎng)絡(luò)設(shè)備的權(quán)限; 單點(diǎn)登錄裝置根據(jù)虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系,判斷用戶終端是否具有訪問(wèn)所述網(wǎng)絡(luò)設(shè)備的權(quán)限,是則進(jìn)行 步驟S404,否則進(jìn)行步驟S409,拒絕用戶終端的訪問(wèn)請(qǐng)求。5404、 獲取網(wǎng)絡(luò)設(shè)備訪問(wèn)信息和網(wǎng)絡(luò)設(shè)備用戶信息; 根據(jù)所述映射關(guān)系獲取網(wǎng)絡(luò)設(shè)備訪問(wèn)信息和網(wǎng)絡(luò)設(shè)備用戶信息; 其中所述的網(wǎng)絡(luò)設(shè)備訪問(wèn)信息包括網(wǎng)絡(luò)設(shè)備的名稱、IP地址和網(wǎng)絡(luò)設(shè)備類型等信息。 S405 、根據(jù)網(wǎng)絡(luò)設(shè)備訪問(wèn)信息中的網(wǎng)絡(luò)設(shè)備類型信息獲取網(wǎng)絡(luò)設(shè)備的訪問(wèn) 格式控制信息;通過(guò)預(yù)先對(duì)不同的網(wǎng)絡(luò)設(shè)備定義不同的解析模板,并設(shè)置了專有的模板引擎;通過(guò)網(wǎng)絡(luò)設(shè)備類型,查找相應(yīng)的模板,并通過(guò)模板引擎讀取對(duì)應(yīng)的模板, 并解釋執(zhí)行,獲取網(wǎng)絡(luò)設(shè)備的訪問(wèn)格式控制信息。5406、 根據(jù)所述網(wǎng)絡(luò)設(shè)備的訪問(wèn)格式控制信息、網(wǎng)絡(luò)設(shè)備訪問(wèn)信息和網(wǎng)絡(luò) 設(shè)備用戶信息單點(diǎn)登錄裝置與網(wǎng)絡(luò)設(shè)備建立連接;5407、 單點(diǎn)登錄裝置建立訪問(wèn)連接通信信道;單點(diǎn)登錄裝置與所述的網(wǎng)絡(luò)設(shè)備建立連接后,在單點(diǎn)登錄裝置內(nèi)部建立一條訪問(wèn)連接通信信道,該信道建立后,并向用戶終端返回訪問(wèn)請(qǐng)求成功響應(yīng)消 命S408 、用戶終端通過(guò)所述訪問(wèn)連接通信信道與所述網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互;所述的數(shù)據(jù)交互包括命令的操作等;其中,單點(diǎn)登錄裝置通過(guò)協(xié)議適配,使外部任意位置的用戶對(duì)網(wǎng)絡(luò)設(shè)備的 訪問(wèn)請(qǐng)求從協(xié)議層上終結(jié)在單點(diǎn)登錄裝置,對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)從單點(diǎn)登錄裝置 發(fā)起,起到了協(xié)議層隔離的作用;在整個(gè)用戶終端請(qǐng)求訪問(wèn)網(wǎng)絡(luò)設(shè)備的過(guò)程中,單點(diǎn)登錄裝置記錄下用戶終 端的登錄信息,包括請(qǐng)求登錄網(wǎng)絡(luò)設(shè)備的信息以及對(duì)所述網(wǎng)絡(luò)設(shè)備的操作信 息,另外,單點(diǎn)登錄裝置還可以提供介面給維護(hù)人員及系統(tǒng)管理員,使他們可 以取得各種日志檔案,以作備份和檢查,系統(tǒng)管理員還可通過(guò)瀏覽器追蹤用戶 終端的登錄和連接網(wǎng)絡(luò)設(shè)備的活動(dòng)。S409、結(jié)束。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā) 明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及
其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包舍這些改動(dòng)和變型在內(nèi)
權(quán)利要求
1、一種單點(diǎn)登錄系統(tǒng),其特征在于,該系統(tǒng)包括至少一個(gè)用戶終端、單點(diǎn)登錄裝置以及至少一個(gè)向用戶終端提供服務(wù)的網(wǎng)絡(luò)設(shè)備,其中,用戶終端,用于向單點(diǎn)登錄裝置發(fā)送訪問(wèn)請(qǐng)求,其中含有要訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)以及虛擬用戶身份信息;單點(diǎn)登錄裝置,用于保存每個(gè)虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備的信息,當(dāng)收到訪問(wèn)請(qǐng)求時(shí),如果確定允許該虛擬用戶訪問(wèn)所請(qǐng)求的網(wǎng)絡(luò)設(shè)備,則與該用戶終端可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備建立連接;網(wǎng)絡(luò)設(shè)備,用于與所述單點(diǎn)登錄裝置建立連接。
2、 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述的虛擬用戶為可以訪 問(wèn)單點(diǎn)登錄裝置的用戶,所述虛擬用戶身份信息包括虛擬用戶標(biāo)識(shí)和口令,每 個(gè)虛擬用戶可以訪問(wèn)網(wǎng)絡(luò)設(shè)備的信息包括虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系、虛 擬用戶標(biāo)識(shí)和虛擬用戶口令的對(duì)應(yīng)關(guān)系以及網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)與網(wǎng)絡(luò)設(shè)備口令之 間的對(duì)應(yīng)關(guān)系;則所述單點(diǎn)登錄裝置包括單點(diǎn)登錄認(rèn)證單元,用于保存所述虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的 網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系;收到訪問(wèn)請(qǐng)求后,從口令管理單元中獲取訪問(wèn) 請(qǐng)求虛擬用戶標(biāo)識(shí)對(duì)應(yīng)的虛擬用戶口令,如果確定訪問(wèn)請(qǐng)求中的虛擬用戶口令 與獲得的虛擬用戶口令一致,以及根據(jù)所述映射關(guān)系確定該用戶終端所請(qǐng)求的 是允許訪問(wèn)的設(shè)備,則從所述口令管理單元中獲取該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò) 設(shè)備標(biāo)識(shí)對(duì)應(yīng)的口令,通過(guò)該口令與所述網(wǎng)絡(luò)設(shè)備建立連接;口令管理單元,用于存儲(chǔ)所述虛擬用戶口令及網(wǎng)絡(luò)設(shè)備口令。
3、 如權(quán)利要求2所述的系統(tǒng),其特征在于,所述單點(diǎn)登錄認(rèn)證單元還包括日志管理單元,用于記錄所述用戶終端的登錄信息,和/或外部訪問(wèn)網(wǎng)絡(luò)設(shè)備的會(huì)話,和/或命令,和/或命令執(zhí)行結(jié)果的日志信息。
4、 如權(quán)利要求1至3任意一項(xiàng)所述的系統(tǒng),其特征在于,所述單點(diǎn)登錄 裝置還包括第一協(xié)i義適配單元,用于接收到所述用戶終端的訪問(wèn)請(qǐng)求后,將用戶終端 提交的訪問(wèn)信息發(fā)送給所述單點(diǎn)登錄認(rèn)證單元,所述的訪問(wèn)信息包括用戶終端 要訪問(wèn)的網(wǎng)絡(luò)設(shè)備f言息和所述虛擬用戶信息;第二協(xié)議適配單元,用于在單點(diǎn)登錄認(rèn)證單元通過(guò)對(duì)所述用戶終端的認(rèn)證 后,接收單點(diǎn)登錄認(rèn)證單元的請(qǐng)求,從所述設(shè)備資源管理單元獲取相應(yīng)的網(wǎng)絡(luò) 設(shè)備信息,并根據(jù)該信息與所述網(wǎng)絡(luò)設(shè)備建立連接,并返回通信連接的標(biāo)識(shí)信 息給單點(diǎn)登錄認(rèn)證單元;所迷的單點(diǎn)登錄認(rèn)證單元,根據(jù)所述通信連接的標(biāo)識(shí)信息建立第二協(xié)議適 配單元和第一協(xié)議適配單元的數(shù)據(jù)通信信道,并返回訪問(wèn)請(qǐng)求成功響應(yīng)消息給 所述用戶終端;所述用戶終端通過(guò)所述數(shù)據(jù)通信信道與所述網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互。
5、 如權(quán)利要求4所述的系統(tǒng),其特征在于,所述單點(diǎn)登錄裝置還包括 設(shè)備訪問(wèn)多樣性處理單元,用于根據(jù)不同的網(wǎng)絡(luò)設(shè)備類型,定義不同的模板,根據(jù)網(wǎng)絡(luò)設(shè)備類型信息,通過(guò)模板引擎解釋相應(yīng)的模板,得到所述網(wǎng)絡(luò)設(shè) 備的訪問(wèn)格式控制信息,并將該信息發(fā)送給所述第二協(xié)議適配單元;所述第二協(xié)議適配單元根據(jù)所述網(wǎng)絡(luò)設(shè)備的訪問(wèn)格式控制信息,;發(fā)起對(duì)所訴網(wǎng)絡(luò)設(shè)備的訪問(wèn)請(qǐng)求。
6、 如權(quán)利要求5所述的系統(tǒng),其特征在于,所述單點(diǎn)登錄裝置還包括 外部接口單元,用于向第三方應(yīng)用系統(tǒng)提供接口;所述的第三方應(yīng)用系統(tǒng)通過(guò)所述外部接口單元與所述設(shè)備資源管理單元 和/或所述口令管理單元進(jìn)行數(shù)據(jù)共享。
7、 一種單點(diǎn)登錄的方法,其特征在于,該方法包括以下步驟A、在單點(diǎn)登錄裝置中建立虛擬用戶標(biāo)識(shí)與該虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)之間的映射關(guān)系;B、當(dāng)單點(diǎn)登錄裝置收到用戶終端的訪問(wèn)請(qǐng)求后,根據(jù)所述映射關(guān)系,判斷用戶終端是否具有訪問(wèn)相關(guān)網(wǎng)絡(luò)設(shè)備的權(quán)限,如果具有,則建立所述用戶終 端可以與要訪問(wèn)的網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互的數(shù)據(jù)通信信道。
8、 如權(quán)利要求7所述的方法,其特征在于,步驟B所迷的用戶終端訪問(wèn)所述網(wǎng)絡(luò)設(shè)備的過(guò)程中,該步驟進(jìn)一步包括單點(diǎn)登錄裝置記錄所述用戶終端的登錄信息,所述登錄信息包括所述用戶終端的登錄請(qǐng)求信息及對(duì)相應(yīng)網(wǎng)絡(luò)設(shè)備的操作信息。
9、 如權(quán)利要求7所述的方法,其特征在于,在執(zhí)行步驟B之后,該方法進(jìn)一步包括所述用戶終端通過(guò)所述單點(diǎn)登錄裝置與所述網(wǎng)絡(luò)設(shè)備進(jìn)行通信; 在通信過(guò)程中,所述單點(diǎn)登錄裝置對(duì)所述用戶終端和所述網(wǎng)絡(luò)設(shè)備的協(xié)議進(jìn)行協(xié)議適配。
10、 如權(quán)利要求9所述的方法,其特征在于,該方法進(jìn)一步包括 預(yù)先根據(jù)不同的網(wǎng)絡(luò)設(shè)備類型,定義不同的模板,并設(shè)置模板引擎; 所述用戶終端通過(guò)所述單點(diǎn)登錄裝置與所述網(wǎng)絡(luò)設(shè)備進(jìn)行通信的步驟包括所述模板引擎是根據(jù)網(wǎng)絡(luò)設(shè)備類型信息,解釋相應(yīng)的模板,獲得網(wǎng)絡(luò)設(shè)備的訪問(wèn)格式控制信息,并利用訪問(wèn)格式控制信息訪問(wèn)訪問(wèn)相應(yīng)的網(wǎng)絡(luò)設(shè)備。
全文摘要
本發(fā)明公開(kāi)了一種單點(diǎn)登錄系統(tǒng)及方法,用于解決現(xiàn)有技術(shù)在用戶終端訪問(wèn)網(wǎng)絡(luò)設(shè)備時(shí),難以實(shí)現(xiàn)直接面向設(shè)備的單點(diǎn)登錄的問(wèn)題。本發(fā)明所述系統(tǒng)包括用戶終端,用于向單點(diǎn)登錄裝置發(fā)送訪問(wèn)請(qǐng)求,其中含有要訪問(wèn)的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)以及虛擬用戶身份信息;單點(diǎn)登錄裝置,用于保存每個(gè)虛擬用戶可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備的信息,當(dāng)收到訪問(wèn)請(qǐng)求時(shí),如果確定允許該虛擬用戶訪問(wèn)所請(qǐng)求的網(wǎng)絡(luò)設(shè)備,則與該用戶終端可以訪問(wèn)的網(wǎng)絡(luò)設(shè)備建立連接;網(wǎng)絡(luò)設(shè)備,用于與所述單點(diǎn)登錄裝置建立連接。本發(fā)明還提供了一種單點(diǎn)登錄方法。本發(fā)明方案用于實(shí)現(xiàn)用戶終端在訪問(wèn)網(wǎng)絡(luò)設(shè)備時(shí)的單點(diǎn)登錄,提高工作效率及網(wǎng)絡(luò)設(shè)備訪問(wèn)的安全性。
文檔編號(hào)H04L29/00GK101166173SQ20061011393
公開(kāi)日2008年4月23日 申請(qǐng)日期2006年10月20日 優(yōu)先權(quán)日2006年10月20日
發(fā)明者楊朝令, 雋 袁, 郭衛(wèi)增, 金建林 申請(qǐng)人:北京直真節(jié)點(diǎn)技術(shù)開(kāi)發(fā)有限公司