專利名稱:一種通信系統(tǒng)及其管理通信設(shè)備的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信設(shè)備管理領(lǐng)域�����,尤其涉及一種對(duì)通信設(shè)備的訪問進(jìn)行管 理的技術(shù)�。
背景技術(shù):
在電信行業(yè)中�,各種通信設(shè)備,例如HLR (Home Location Register,歸 屬位置寄存器)��、MSC (Mobile Switch Center,移動(dòng)交換中心)���、BSC (Base Station Controller,基站控制器)等�,以及支撐系統(tǒng),例如話務(wù)網(wǎng)管系統(tǒng)����、 電子運(yùn)營維護(hù)系統(tǒng)等設(shè)備的安全性要求非常重要,如果設(shè)備出現(xiàn)故障��,可能 會(huì)導(dǎo)致幾十萬甚至上百萬用戶無法正常通信��。
但是現(xiàn)有對(duì)這些通信設(shè)備以及支撐系統(tǒng)的操作���,都是以用戶直接登錄主 機(jī)系統(tǒng)的方式進(jìn)行��,每一個(gè)主機(jī)系統(tǒng)上都為同一個(gè)用戶分配了相應(yīng)的帳號(hào)���, 還存在眾多臨時(shí)使用的帳號(hào)。這種分散的帳號(hào)管理方式增加了系統(tǒng)管理員的 管理難度�,對(duì)通信設(shè)備的分散操作訪問也使得用戶對(duì)這些通信設(shè)備以及支撐 系統(tǒng)的操作得不到有效的監(jiān)控和管理,給通信設(shè)備帶來較大的風(fēng)險(xiǎn)����,降低了 通信系統(tǒng)的安全性。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了 一種通信系統(tǒng)���,用以集中的管理用戶對(duì)通信設(shè)備的 訪問�����,從而提高通信設(shè)備運(yùn)行的安全性����。
本發(fā)明實(shí)施例提供了 一種認(rèn)證管理服務(wù)器,用以集中的管理用戶對(duì)通信 設(shè)備的訪問��,從而提高通信設(shè)備運(yùn)行的安全性���。
本發(fā)明實(shí)施例提供了 一種管理通信設(shè)備的方法��,用以集中的管理用戶對(duì)通信設(shè)備的訪問,從而提高通信設(shè)備運(yùn)行的安全性����。
一種通信系統(tǒng),包括
通信設(shè)備和認(rèn)證管理模塊�����,所述認(rèn)證管理模塊通過通信網(wǎng)絡(luò)與通信設(shè)備
相連���;
所述認(rèn)證管理模塊用于接收用戶在登錄認(rèn)證管理模塊后發(fā)出的通信設(shè)備 訪問請(qǐng)求��,確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)和用 戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)���,允許 用戶經(jīng)由所述認(rèn)證管理^^莫塊訪問該通信設(shè)備�����。
所述認(rèn)證管理模塊包括
登錄控制子模塊�,用于控制用戶登錄認(rèn)證管理模塊并接收登錄信息中的 認(rèn)證管理模塊賬號(hào)�;
授權(quán)控制子模塊,用于獲得用戶發(fā)出的通信設(shè)備訪問請(qǐng)求��,確認(rèn)用戶登 錄所述認(rèn)證管理模塊時(shí)的認(rèn)證管理模塊賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的通信 設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系��;
訪問控制子模塊�����,用于在所述認(rèn)證管理模塊時(shí)的認(rèn)證管理模塊賬號(hào)和用 戶請(qǐng)求訪問通信設(shè)備的通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)�,允許用戶 經(jīng)由所述認(rèn)證管理才莫塊訪問該通信設(shè)備。
上述通信系統(tǒng)還包括
日志監(jiān)測(cè)模塊���,通過通信網(wǎng)絡(luò)與所述認(rèn)證管理模塊�����、通信設(shè)備相連�;所 述日志監(jiān)測(cè)模塊用于獲得所述認(rèn)證管理模塊以及各通信設(shè)備的日志文件,并 根據(jù)各日志文件中的用戶登錄信息確定出用戶對(duì)通信設(shè)備的非法訪問�����;所述 用戶對(duì)通信設(shè)備的非法訪問為用戶未經(jīng)由所述認(rèn)證管理模塊對(duì)通信設(shè)備進(jìn)行 的訪問����;
集中控制模塊,通過通信網(wǎng)絡(luò)與所述通信設(shè)備相連�;所述集中控制模塊 用于在所述日志監(jiān)測(cè)模塊確定出所述非法訪問后,控制被非法訪問的通信設(shè) 備禁止該非法訪問���。一種認(rèn)證管理服務(wù)器�,包括
登錄控制子模塊��,用于控制用戶登錄所述認(rèn)證管理服務(wù)器并接收登錄信
息中的認(rèn)證管理服務(wù)器賬號(hào)�����;
授權(quán)控制子模塊����,用于獲得用戶發(fā)出的通信設(shè)備訪問請(qǐng)求,確認(rèn)用戶登
備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系�;
訪問控制子模塊��,用于在所述認(rèn)證管理服務(wù)器時(shí)的用戶認(rèn)證管理服務(wù)器 賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系 時(shí)����,允許用戶經(jīng)由所述認(rèn)證管理服務(wù)器訪問該通信設(shè)備。
一種管理通信設(shè)備的方法����,包括如下具體步驟
接收用戶在登錄認(rèn)證管理模塊后發(fā)出的通信設(shè)備訪問請(qǐng)求;所述認(rèn)證管 理模塊通過通信網(wǎng)絡(luò)與至少 一個(gè)通信設(shè)備相連�����;
確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理it塊賬號(hào)和用戶請(qǐng)求 訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)�,允許用戶經(jīng) 由所述認(rèn)證管理斗莫塊訪問該通信設(shè)備。
上述管理通信設(shè)備的方法��,還包括
獲得所述認(rèn)證管理模塊以及各通信設(shè)備的日志文件�����;
根據(jù)各日志文件中的用戶登錄信息確定出用戶對(duì)通信設(shè)備的非法訪問; 所述用戶對(duì)通信設(shè)備的非法訪問為用戶未經(jīng)由所述認(rèn)證管理模塊而對(duì)通信設(shè) 備進(jìn)行訪問����;
在確定出所述非法訪問后,控制被非法訪問的通信設(shè)備禁止該非法訪問�。 本發(fā)明實(shí)施例使用認(rèn)證管理模塊作為用戶訪問通信設(shè)備的門戶接口 ,用 戶在經(jīng)過認(rèn)證管理模塊的認(rèn)證與授權(quán)后訪問相應(yīng)的通信設(shè)備���,從而實(shí)現(xiàn)了對(duì) 通信設(shè)備的集中�����、有效的管理�,為通信設(shè)備提供了安全保護(hù)�����。
本發(fā)明實(shí)施例還通過日志監(jiān)測(cè)模塊對(duì)認(rèn)證管理模塊以及通信設(shè)備的日,
士
進(jìn)行實(shí)時(shí)監(jiān)控與分析�,從而監(jiān)測(cè)用戶的登錄信息,在發(fā)現(xiàn)用戶沒有經(jīng)過認(rèn)證管理模塊而直接登錄訪問通信設(shè)備時(shí)��,通過集中控制模塊控制該通信設(shè)備禁 止該用戶的操作���,并控制防火墻斷開該用戶對(duì)通信設(shè)備的訪問�。
圖la為本發(fā)明實(shí)施例的管理通信i殳備的系統(tǒng)示意圖���; 圖lb為本發(fā)明實(shí)施例的認(rèn)證管理模塊結(jié)構(gòu)框圖��; 圖lc為本發(fā)明實(shí)施例的日志監(jiān)測(cè)模塊結(jié)構(gòu)框圖��; 圖Id為本發(fā)明實(shí)施例的另 一種管理通信設(shè)備的系統(tǒng)示意圖��; 圖2為本發(fā)明實(shí)施例的管理通信設(shè)備的方法流程圖����; 圖3為本發(fā)明實(shí)施例的監(jiān)測(cè)用戶登錄行為���,防止用戶非法訪問通信設(shè)備 的方法流程圖�����。
具體實(shí)施例方式
本發(fā)明實(shí)施例通過認(rèn)證管理模塊作為用戶訪問通信設(shè)備的門戶接口 ��,用 戶必須通過認(rèn)證管理模塊才能訪問通信設(shè)備��,認(rèn)證管理模塊統(tǒng)一管理用戶登 錄認(rèn)證管理模塊時(shí)使用的認(rèn)證管理模塊帳號(hào)和用戶訪問通信設(shè)備時(shí)使用的通 信設(shè)備帳號(hào)之間的對(duì)應(yīng)關(guān)系�,通信設(shè)備帳號(hào)為用戶通過認(rèn)證管理模塊帳號(hào)登 錄認(rèn)證管理模塊后��,訪問有訪問權(quán)的通信設(shè)備時(shí)使用的帳號(hào)。用戶通過登錄 認(rèn)證管理模塊訪問某個(gè)通信設(shè)備時(shí)���,管理模塊可以根據(jù)該對(duì)應(yīng)關(guān)系對(duì)用戶進(jìn) 行鑒權(quán)���,當(dāng)用戶的認(rèn)證管理模塊帳號(hào)和通信設(shè)備帳號(hào)符合對(duì)應(yīng)關(guān)系時(shí)允許用 戶訪問通信設(shè)備。其中用戶的認(rèn)證管理模塊帳號(hào)可以對(duì)應(yīng)多個(gè)通信設(shè)備帳號(hào)���, 一個(gè)用戶也可以使用多個(gè)認(rèn)證管理模塊帳號(hào)�,每一個(gè)對(duì)應(yīng)的不同的用戶通信 設(shè)備帳號(hào)�����。用戶在經(jīng)過認(rèn)證管理模塊的認(rèn)證與授權(quán)后���,通過該認(rèn)證管理模塊 訪問通信設(shè)備�����,從而實(shí)現(xiàn)了對(duì)通信設(shè)備的集中���、有效的管理,為通信設(shè)備提 供了安全保護(hù)。本發(fā)明實(shí)施例還通過日志監(jiān)測(cè)模塊對(duì)認(rèn)證管理模塊以及通信 設(shè)備的日志進(jìn)行實(shí)時(shí)監(jiān)控與分析��,從而監(jiān)測(cè)用戶的登錄信息����,在發(fā)現(xiàn)用戶沒有經(jīng)過認(rèn)證管理模塊而直接登錄訪問通信設(shè)備時(shí)����,通過集中控制模塊控制該 通信設(shè)備禁止該用戶的操作,并控制防火墻斷開該用戶對(duì)通信設(shè)備的訪問��。
本發(fā)明實(shí)施例提供了一種通信系統(tǒng)�����,如圖la所示����,包括認(rèn)證管理模塊 101以及多個(gè)通信設(shè)備。
其中�,認(rèn)證管理模塊101通過通信網(wǎng)絡(luò)與多個(gè)需要被保護(hù)的通信設(shè)備相 連。認(rèn)證管理模塊101可以是單獨(dú)的服務(wù)器����,如PORTAL服務(wù)器。
認(rèn)證管理模塊101作為用戶登錄訪問被保護(hù)的通信設(shè)備的接口門戶。用 戶通過登錄�����、訪問認(rèn)證管理模塊101,在經(jīng)過認(rèn)證管理模塊101的認(rèn)證��、授權(quán) 后��,用戶在認(rèn)證管理模塊101的授權(quán)范圍內(nèi)經(jīng)由認(rèn)證管理模塊101訪問通信 設(shè)備����。
在認(rèn)證管理模塊101中可以有多個(gè)賬號(hào),不同的賬號(hào)對(duì)應(yīng)于對(duì)各通信設(shè) 備的不同的操作權(quán)限�。在認(rèn)證管理模塊101保存有認(rèn)證管理模塊101的賬號(hào) 與各通信設(shè)備賬號(hào)的對(duì)應(yīng)關(guān)系。
具體的���,認(rèn)證管理模塊101用于接收用戶在登錄認(rèn)證管理模塊后發(fā)出的 通信設(shè)備訪問請(qǐng)求����,確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的認(rèn)證管理模塊賬號(hào) 和用戶請(qǐng)求訪問通信設(shè)備的通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)�����,允許 用戶經(jīng)由所述認(rèn)證管理才莫塊訪問該通信設(shè)備�。
認(rèn)證管理模塊101的一種具體結(jié)構(gòu)�,如圖lb所示�,包括登錄控制子模 塊lll、授權(quán)控制子模塊112��、訪問控制子模塊113���。
登錄控制子模塊111,用于控制用戶登錄認(rèn)證管理模塊101并接收登錄信 息中的認(rèn)證管理模塊賬號(hào)��。
授權(quán)控制子模塊112�����,用于獲得用戶發(fā)出的通信設(shè)備訪問請(qǐng)求�,并根據(jù)用 戶登錄認(rèn)證管理模塊101的賬號(hào),以及認(rèn)證管理模塊101的賬號(hào)與通信設(shè)備 賬號(hào)的對(duì)應(yīng)關(guān)系����,確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的認(rèn)證管理模塊賬號(hào)和 用戶請(qǐng)求訪問通信設(shè)備的通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系。
認(rèn)證管理模塊101可以有多個(gè)用戶賬號(hào)�,根據(jù)認(rèn)證管理模塊101的用戶賬號(hào)與各通信設(shè)備用戶賬號(hào)的對(duì)應(yīng)關(guān)系,不同用戶認(rèn)證管理模塊賬號(hào)對(duì)應(yīng)了 對(duì)不同通信設(shè)備的訪問權(quán)限��。所以�,當(dāng)用戶使用不同的用戶認(rèn)證管理模塊賬 號(hào)時(shí)��,其可以具有訪問不同通信設(shè)備的權(quán)限���。例如,當(dāng)用戶使用認(rèn)證管理模
塊101的用戶賬號(hào)"AA"時(shí)��,根據(jù)認(rèn)證管理模塊101的用戶賬號(hào)與各通信設(shè)備 用戶賬號(hào)的對(duì)應(yīng)關(guān)系��,其對(duì)應(yīng)了通信設(shè)備A的用戶賬號(hào)"QQ",還對(duì)應(yīng)了通信設(shè) 備B的用戶賬號(hào)"GG"�����。那么��,使用賬號(hào)"AA"的用戶就具有使用通信設(shè)備A "QQ"賬號(hào)和通信設(shè)備B "GG"賬號(hào)的權(quán)限��,但是不具有使用通信設(shè)備C的用 戶帳號(hào)的權(quán)限����。授權(quán)控制子模塊112獲得用戶對(duì)通信設(shè)備的訪問請(qǐng)求。如果 用戶要訪問的通信設(shè)備在權(quán)限之內(nèi)����,比如用戶要訪問的是通信設(shè)備A,那么 授權(quán)控制子模塊112授權(quán)用戶的訪問請(qǐng)求,并確定了用戶要訪問的通信設(shè)備 賬號(hào)為"QQ";如果用戶要訪問的通信設(shè)備不在權(quán)限范圍內(nèi)����,比如用戶要訪問 的是通信設(shè)備C,那么就不能授權(quán)用戶的訪問請(qǐng)求�。
根據(jù)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)以及用戶認(rèn) 證管理模塊賬號(hào)與各用戶通信設(shè)備賬號(hào)的對(duì)應(yīng)關(guān)系可以確定出用戶有權(quán)使用 的通信設(shè)備的帳號(hào)���。如果用戶請(qǐng)求訪問的通信設(shè)備在用戶有權(quán)使用用戶通信 設(shè)備帳號(hào)所對(duì)應(yīng)的通信設(shè)備內(nèi)�����,則確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶 認(rèn)證管理模塊賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配 置的對(duì)應(yīng)關(guān)系�����,并確定出用戶請(qǐng)求訪問的用戶通信設(shè)備帳號(hào);如果用戶請(qǐng)求 訪問的通信設(shè)備不在用戶有權(quán)使用用戶通信設(shè)備帳號(hào)所對(duì)應(yīng)的通信設(shè)備內(nèi)�����, 則確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理才莫塊賬號(hào)和用戶請(qǐng)求訪 問通信設(shè)備的用戶通信-沒備賬號(hào)不符合預(yù)先配置的對(duì)應(yīng)關(guān)系���。
當(dāng)然����,對(duì)于本領(lǐng)域技術(shù)人員���,可以采用多種方式來獲得用戶對(duì)通信設(shè)備 的訪問請(qǐng)求�����。比如�,可以根據(jù)對(duì)應(yīng)關(guān)系,列出對(duì)應(yīng)的所有用戶通信設(shè)備賬號(hào)�����, 讓用戶選擇要訪問的用戶通信設(shè)備的帳號(hào)�����,或者列出對(duì)應(yīng)的所有通信設(shè)備標(biāo) 識(shí)名稱�����,用戶選擇要訪問的通信設(shè)備標(biāo)識(shí)名稱����,根據(jù)用戶選擇的通信設(shè)備標(biāo) 識(shí)名稱,確定用戶要訪問的通信設(shè)備的用戶賬號(hào)�����。這樣授權(quán)控制子模塊112就可以獲知用戶要訪問的通信設(shè)備以及通信設(shè)備的用戶賬號(hào)。當(dāng)然�,還可以 讓用戶直接輸入要訪問的通信設(shè)備名稱或者帳號(hào)。
用戶的認(rèn)證管理模塊帳號(hào)與用戶通信設(shè)備帳號(hào)的對(duì)應(yīng)關(guān)系由安全管理員 負(fù)責(zé)分配�����、管理��,安全管理員根據(jù)用戶的責(zé)任���、權(quán)限�����、級(jí)別等信息為用戶創(chuàng) 建認(rèn)證管理模塊的帳號(hào),并對(duì)應(yīng)到相應(yīng)的用戶通信設(shè)備帳號(hào)�。
訪問控制子模塊113,用于在所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬 號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系 時(shí),允許用戶經(jīng)由所述認(rèn)證管理模塊訪問該通信設(shè)備��。具體的����,根據(jù)用戶要 訪問的通信設(shè)備的賬號(hào),登錄該通信設(shè)備�����,并允許用戶訪問該通信設(shè)備。
進(jìn)一步����,為了防止用戶繞開認(rèn)證管理模塊101,而直接登錄、訪問通信設(shè)
備的非法訪問�����,系統(tǒng)還可以監(jiān)測(cè)用戶的登錄行為���,從而及時(shí)阻斷用戶對(duì)通信
設(shè)備的非法訪問����。如圖la所示��,系統(tǒng)還可以包括日志監(jiān)測(cè)模塊102�����、集中 控制模塊103���。
日志監(jiān)測(cè)模塊102與認(rèn)證管理模塊101以及各通信設(shè)備相連����,用于實(shí)時(shí) 收集認(rèn)證管理模塊101以及各通信設(shè)備的日志文件,并進(jìn)行分析��,獲得各日 志文件的用戶登錄信息����,并根據(jù)各日志文件的用戶登錄信息確定用戶對(duì)通信 設(shè)備的非法訪問。所述用戶對(duì)通信設(shè)備的非法訪問為用戶未經(jīng)由所述認(rèn)證管 理模塊而對(duì)通信設(shè)備進(jìn)行的訪問���。具體的���,如果發(fā)現(xiàn)通信設(shè)備日志文件中有 用戶通過該通信設(shè)備的用戶通信設(shè)備賬號(hào)進(jìn)行登錄的信息,而認(rèn)證管理模塊 日志文件中沒有使用該用戶通信設(shè)備賬號(hào)登錄該通信設(shè)備的登錄信息����,則認(rèn) 為該用戶通過該通信設(shè)備賬號(hào)對(duì)該通信設(shè)備的訪問為非法訪問。
例如��,某個(gè)用戶沒有通過認(rèn)證管理模塊101去登錄訪問通信設(shè)備A,而 是使用通信設(shè)備A的賬號(hào)直接登錄到通信設(shè)備A上�,對(duì)其進(jìn)行登錄和訪問��。 那么,日志監(jiān)測(cè)模塊102就會(huì)監(jiān)測(cè)到在通信設(shè)備A的日志文件中有用戶使用 通信設(shè)備A的賬號(hào)進(jìn)行登錄的信息���,而認(rèn)證管理模塊101的日志文件中卻沒 有對(duì)通信設(shè)備A的登錄信息���。那么,此時(shí)日志監(jiān)測(cè)模塊102就會(huì)確定該用戶使用該通信設(shè)備A的賬號(hào)進(jìn)行的訪問為非法訪問����。
集中控制模塊103,用于在日志監(jiān)測(cè)模塊102確定出非法訪問后,控制被
非法訪問的通信設(shè)備禁止該非法訪問的操作���。
日志監(jiān)測(cè)模塊102的一種具體結(jié)構(gòu)�����,如圖lc所示��,包括
日志獲得子模塊121,用于獲得認(rèn)證管理模塊101以及各通信設(shè)備的日志文件���。
日志分析子模塊122,用于分析認(rèn)證管理模塊101以及各通信設(shè)備的日志 文件���,并根據(jù)日志文件中用戶的登錄信息確定出用戶的非法訪問���。
為了更進(jìn)一步保障系統(tǒng)的安全���,系統(tǒng)中還可以增加防火墻,如圖ld所示
防火墻104��,連接在認(rèn)證管理模塊101與各通信設(shè)備之間���,用戶在登錄認(rèn) 證管理模塊101后經(jīng)由防火墻104訪問各通信設(shè)備�����。
集中控制模塊103通過通信網(wǎng)絡(luò)與各通信設(shè)備相連�;集中控制模塊103 還用于在日志監(jiān)測(cè)模塊102確定出非法訪問后��,控制防火墻104斷開該非法 訪問通過對(duì)應(yīng)的賬號(hào)對(duì)通信設(shè)備的訪問����。因?yàn)橛脩粲锌赡懿唤?jīng)過認(rèn)證管理模 塊101,但是經(jīng)過防火墻104訪問通信設(shè)備����,此時(shí),通過控制防火墻104斷開 該用戶的非法訪問�,可以更進(jìn)一步保證通信設(shè)備的安全。
防火墻104可以是單級(jí)的�����,也可以是多級(jí)的�����。
上述的日志監(jiān)測(cè)模塊102可以是單獨(dú)的服務(wù)器���,也可以是和認(rèn)證管理模 塊101或者集中控制模塊103位于同一個(gè)服務(wù)器中����。
同樣�����,上述的集中控制模塊103可以是單獨(dú)的服務(wù)器���,也可以是和認(rèn)證 管理模塊101或者日志監(jiān)測(cè)模塊102位于同一個(gè)服務(wù)器中�����。
本發(fā)明實(shí)施例提供了一種管理通信設(shè)備的方法�,如圖2所示,包括如下 具體步驟
步驟S201:獲得用戶登錄認(rèn)證管理模塊時(shí)登錄信息中的用戶認(rèn)證管理模 塊帳號(hào)�����。
認(rèn)證管理模塊與多個(gè)需要被保護(hù)的通信設(shè)備通過網(wǎng)絡(luò)相連���。用戶通過認(rèn)證管理模塊訪問通信設(shè)備�����。
獲得用戶登錄認(rèn)證管理模塊的登錄信息中的用戶認(rèn)證管理模塊帳號(hào)�����。
步驟S202:接收用戶登錄后發(fā)出的通信設(shè)備訪問請(qǐng)求����。
步驟S203:確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào) 和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系��。
在接收用戶登錄后發(fā)出的通信設(shè)備訪問請(qǐng)求后����,根據(jù)用戶登錄所述認(rèn)證 管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)以及用戶認(rèn)證管理模塊賬號(hào)與各用戶通 信設(shè)備賬號(hào)的對(duì)應(yīng)關(guān)系可以確定出用戶有權(quán)使用的用戶通信設(shè)備帳號(hào)。如果 用戶請(qǐng)求訪問的通信設(shè)備在用戶有權(quán)使用用戶通信設(shè)備帳號(hào)所對(duì)應(yīng)的通信設(shè) 備內(nèi)����,則確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)和用戶 請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系�,并確定出 用戶請(qǐng)求訪問的用戶通信設(shè)備帳號(hào)��;如果用戶請(qǐng)求訪問的通信設(shè)備不在用戶 有權(quán)使用通信設(shè)備帳號(hào)所對(duì)應(yīng)的通信設(shè)備內(nèi)�����,則確認(rèn)用戶登錄所述認(rèn)證管理 模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬 號(hào)不符合預(yù)先配置的對(duì)應(yīng)關(guān)系��。
步驟S204:在確定符合對(duì)應(yīng)關(guān)系后���,使用用戶請(qǐng)求訪問通信設(shè)備的用戶 通信設(shè)備賬號(hào)登錄到對(duì)應(yīng)的通信設(shè)備,并允許用戶通過該賬號(hào)對(duì)該通信設(shè)備 進(jìn)行訪問�����。
進(jìn)一步�,為了防止用戶繞開認(rèn)證管理模塊,而直接登錄�、訪問通信設(shè)備 的非法訪問,系統(tǒng)還可以監(jiān)測(cè)用戶的登錄行為�����,從而及時(shí)阻斷用戶對(duì)通信設(shè) 備的非法訪問。
監(jiān)測(cè)用戶登錄行為��,及時(shí)阻止用戶的非法訪問方法流程�,如圖3所示, 包括如下具體步驟
步驟S301:獲得認(rèn)證管理模塊以及各通信設(shè)備的日志文件�。
實(shí)時(shí)采集、監(jiān)測(cè)認(rèn)證管理模塊以及各通信設(shè)備的日志文件�。
步驟S302:根據(jù)各日志文件的用戶登錄信息確定用戶對(duì)通信設(shè)備的非法訪問。
將通信設(shè)備日志文件中的用戶登錄信息與認(rèn)證管理模塊日志文件的用戶 登錄信息進(jìn)行比對(duì)��,如果發(fā)現(xiàn)通信設(shè)備日志文件中有用戶通過該通信設(shè)備的 用戶通信設(shè)備賬號(hào)進(jìn)行登錄的信息���,而認(rèn)證管理模塊日志文件中沒有使用該 用戶通信設(shè)備賬號(hào)登錄該通信設(shè)備的登錄信息�,則認(rèn)為該用戶通過該通信設(shè) 備賬號(hào)對(duì)該通信設(shè)備的訪問為非法訪問�����。
步驟S303:在確定出用戶對(duì)通信設(shè)備的非法訪問后���,控制被非法訪問的 通信設(shè)備禁止該非法訪問����。
在確定出用戶對(duì)通信設(shè)備的非法訪問后���,控制被非法訪問的通信設(shè)備禁止 該非法訪問���,還可以控制防火墻阻斷該非法訪問使用的賬號(hào)對(duì)通信設(shè)備的訪問�����。
本發(fā)明實(shí)施例由于通過認(rèn)證管理模塊作為用戶訪問通信設(shè)備的門戶接 口 ,用戶在經(jīng)過認(rèn)證管理模塊的認(rèn)證與授權(quán)后訪問通信設(shè)備��,從而實(shí)現(xiàn)了對(duì) 通信設(shè)備的集中��、有效的管理����,為通信設(shè)備提供了安全保護(hù)。
本發(fā)明實(shí)施例由于還通過日志監(jiān)測(cè)模塊對(duì)認(rèn)證管理模塊以及通信設(shè)備的 曰志進(jìn)行實(shí)時(shí)監(jiān)控與分析����,從而監(jiān)測(cè)用戶的登錄信息,在發(fā)現(xiàn)用戶沒有經(jīng)過 認(rèn)證管理模塊而直接登錄訪問通信設(shè)備時(shí)����,通過集中控制模塊控制該通信設(shè) 備禁止該用戶的操作,并控制防火墻斷開該用戶對(duì)通信設(shè)備的訪問�����。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟 是可以通過程序來指令相關(guān)的硬件來完成,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀 取存儲(chǔ)介質(zhì)中�����,如ROM/RAM��、磁碟�����、光盤等�。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出���,對(duì)于本技術(shù)領(lǐng)域的普 通技術(shù)人員來說�����,在不脫離本發(fā)明原理的前提下�,還可以作出若干改進(jìn)和潤 飾�����,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1�����、一種通信系統(tǒng)��,其特征在于��,包括通信設(shè)備和認(rèn)證管理模塊���,所述認(rèn)證管理模塊通過通信網(wǎng)絡(luò)與通信設(shè)備相連;所述認(rèn)證管理模塊用于接收用戶在登錄認(rèn)證管理模塊后發(fā)出的通信設(shè)備訪問請(qǐng)求����,確認(rèn)用戶登錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí),允許用戶經(jīng)由所述認(rèn)證管理模塊訪問該通信設(shè)備�。
2、 如權(quán)利要求l所述的系統(tǒng)��,其特征在于�,所述認(rèn)證管理模塊包括 登錄控制子模塊,用于控制用戶登錄認(rèn)證管理模塊并接收登錄信息中的用戶認(rèn)證管理才莫塊賬號(hào)�;授權(quán)控制子模塊,用于獲得用戶發(fā)出的通信設(shè)備訪問請(qǐng)求,確認(rèn)用戶登 錄所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的 用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系�;訪問控制子模塊,用于在所述認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào) 和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)�����, 允許用戶經(jīng)由所述認(rèn)證管理模塊訪問該通信設(shè)備�����。
3����、 如權(quán)利要求1或2所述的系統(tǒng),其特征在于��,還包括 日志監(jiān)測(cè)模塊����,通過通信網(wǎng)絡(luò)與所述認(rèn)證管理模塊、通信設(shè)備相連�;所述日志監(jiān)測(cè)模塊用于獲得所述認(rèn)證管理模塊以及各通信設(shè)備的日志文件,并 根據(jù)各日志文件中的用戶登錄信息確定出用戶對(duì)通信設(shè)備的非法訪問�����;所述 用戶對(duì)通信設(shè)備的非法訪問為用戶未經(jīng)由所述認(rèn)證管理模塊對(duì)通信設(shè)備進(jìn)行 的i方問;集中控制模塊�,通過通信網(wǎng)絡(luò)與所述通信設(shè)備相連,用于在所述日志監(jiān) 測(cè)模塊確定出所述非法訪問后�,控制被非法訪問的通信設(shè)備禁止該非法訪問。
4����、 如權(quán)利要求3所述的系統(tǒng),其特征在于��,所述日志監(jiān)測(cè)模塊包括曰志獲得子模塊����,用于獲得所述認(rèn)證管理模塊以及各通信設(shè)備的日志文件;日志分析子模塊��,用于根據(jù)各日志文件中的用戶登錄信息確定出用戶對(duì) 通信設(shè)備的非法訪問����。
5����、 如權(quán)利要求3所述的系統(tǒng),其特征在于�,還包括防火墻;所述防火 墻連接于認(rèn)證管理模塊與各通信設(shè)備之間;以及所述集中控制模塊還用于在所述日志監(jiān)測(cè)模塊確定出用戶的非法訪問 后�,控制防火墻斷開對(duì)所述通信設(shè)備的非法訪問。
6���、 一種認(rèn)證管理服務(wù)器����,其特征在于���,包括登錄控制子模塊�����,用于控制用戶登錄所述認(rèn)證管理服務(wù)器并接收登錄信 息中的認(rèn)證管理服務(wù)器賬號(hào)���;授權(quán)控制子模塊,用于獲得用戶發(fā)出的通信設(shè)備訪問請(qǐng)求����,確認(rèn)用戶登 錄所述認(rèn)證管理服務(wù)器時(shí)的用戶認(rèn)證管理服務(wù)器賬號(hào)和用戶請(qǐng)求訪問通信設(shè) 備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系;訪問控制子模塊����,用于在所述認(rèn)證管理服務(wù)器時(shí)的用戶認(rèn)證管理服務(wù)器 賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系 時(shí)�����,允許用戶經(jīng)由所述認(rèn)證管理服務(wù)器訪問該通信設(shè)備�。
7��、 一種管理通信設(shè)備的方法��,其特征在于�,包括如下具體步驟 接收用戶在登錄認(rèn)證管理模塊后發(fā)出的通信設(shè)備訪問請(qǐng)求;所述認(rèn)證管理模塊通過通信網(wǎng)絡(luò)與至少 一個(gè)通信設(shè)備相連��;確認(rèn)用戶登錄所述認(rèn)證管理^t塊時(shí)的用戶認(rèn)證管理;漠塊賬號(hào)和用戶請(qǐng)求 訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)��,允許用戶經(jīng) 由所述認(rèn)證管理模塊訪問該通信設(shè)備��。
8�、 如權(quán)利要求7所述的方法,其特征在于�,還包括 獲得所述認(rèn)證管理模塊以及各通信設(shè)備的日志文件;根據(jù)各日志文件中的用戶登錄信息確定出用戶對(duì)通信設(shè)備的非法訪問���;所述用戶對(duì)通信設(shè)備的非法訪問為用戶未經(jīng)由所述認(rèn)證管理模塊而對(duì)通信設(shè)備進(jìn)行訪問;在確定出所述非法訪問后���,控制被非法訪問的通信i殳備禁止該非法訪問��。
9����、 如權(quán)利要求8所述的方法,其特征在于���,所述根據(jù)各日志文件中的用 戶登錄信息確定出用戶對(duì)通信設(shè)備的非法訪問方法�����,包括在通信設(shè)備的日志文件中有用戶使用該通信設(shè)備的用戶通信設(shè)備賬號(hào)登 錄該通信設(shè)備的登錄信息��,而在所述認(rèn)證管理^t塊的日志文件中沒有使用該 用戶通信設(shè)備賬號(hào)登錄該通信設(shè)備的登錄信息時(shí)�����,確定出用戶使用該用戶通 信設(shè)備賬號(hào)訪問該通信設(shè)備為非法訪問�。
10���、 如權(quán)利要求8所述的方法����,其特征在于,還包括在確定出所述非法訪問后���,控制該非法訪問經(jīng)由的防火墻斷開對(duì)所述通 信設(shè)備的非法訪問�。
全文摘要
本發(fā)明涉及通信設(shè)備管理領(lǐng)域��,尤其涉及一種對(duì)通信設(shè)備的訪問進(jìn)行管理的技術(shù)���。一種通信系統(tǒng)���,包括通信設(shè)備和認(rèn)證管理模塊,認(rèn)證管理模塊通過通信網(wǎng)絡(luò)與通信設(shè)備相連����;認(rèn)證管理模塊用于接收用戶在登錄認(rèn)證管理模塊后發(fā)出的通信設(shè)備訪問請(qǐng)求,確認(rèn)用戶登錄認(rèn)證管理模塊時(shí)的用戶認(rèn)證管理模塊賬號(hào)和用戶請(qǐng)求訪問通信設(shè)備的用戶通信設(shè)備賬號(hào)符合預(yù)先配置的對(duì)應(yīng)關(guān)系時(shí)�����,允許用戶經(jīng)由認(rèn)證管理模塊訪問該通信設(shè)備�。本發(fā)明還提供了一種認(rèn)證管理服務(wù)器、日志監(jiān)控服務(wù)器以及一種管理通信設(shè)備的方法���。由于使用認(rèn)證管理模塊作為用戶訪問通信設(shè)備的門戶接口����,用戶在經(jīng)過授權(quán)后訪問相應(yīng)的通信設(shè)備����,從而實(shí)現(xiàn)了對(duì)通信設(shè)備有效的管理,為通信設(shè)備提供了安全保護(hù)�。
文檔編號(hào)H04L9/32GK101471774SQ20071030475
公開日2009年7月1日 申請(qǐng)日期2007年12月29日 優(yōu)先權(quán)日2007年12月29日
發(fā)明者暉 余, 陽 劉, 吳衛(wèi)新, 黔 張, 張宏森, 剛 曾, 曾榮華, 軍 楊, 楊騰海, 昊 林, 汪蕾蕾, 騁 沈, 翟德懷, 袁向陽, 陳海濤 申請(qǐng)人:中國移動(dòng)通信集團(tuán)公司;中國移動(dòng)通信集團(tuán)貴州有限公司