集中认证方法和集中认证系统

摘要

本发明提出了一种集中认证方法和集中认证系统。其中，集中认证方法包括以下步骤：客户端接收用户所输入的登录认证信息，并将登录认证信息发送给集中认证服务器模块；集中认证服务器模块对登录认证信息进行认证；如果认证成功，则将预先存储在集中认证服务器模块内部的与登录认证信息相对应的权限ID发送给专业网网管服务器认证模块；从预先存储在专业网网管服务器认证模块内部的多个专业网管角色信息中查找与权限ID相对应的专业网管角色信息，如果查找到与权限ID相对应的专业网管角色信息，则通知客户端认证成功；以及客户端根据专业网管角色信息启动相关界面。通过本发明，容易实施和部署的进行电信网管系统用户密码和用户权限集中认证。

说明书

技术领域

本发明涉及通信领域，具体地，涉及一种集中认证方法和集中认证系统。

背景技术

按照TMN的规范，电信网络管理系统主要由配置管理、故障管理、性能管理、拓扑管理和安全管理这五个功能模块组成，安全管理是其中的一个重要的部分，安全管理包括用户角色的配置管理，用户登录认证管理等子模块组成。随着被管理设备的业务和组网负责度的增加，电信网管系统的安全管理的复杂度也变得很高，目前电信运营商要求大部分的电信设备的网管系统都应该具备分权分域的管理功能，既用户的权限是操作权限树和资源树进行权限分配，将操作树的操作和资源树上的资源赋予用户，则该用户对资源树上选中的网元拥有了操作树上赋予的权限权，分权的粒度可以细化到各个功能管理模块的各个设置和查询操作，以告警模块为例，告警的权限可以细分为确认告警，清除告警，注释告警，前转告警，同步告警等权限，这些权限可以单独分配给不同的用户；分域的粒度可以细化到区域、分组和网元。

为了加强电信网络管理的安全，越来越多的运营商要求电信网管部署了网管系统的集中用户安全认证，运营商针对专业网各个不同的网管系统提供集中安全认证服务器，电信网络中的各个专业网网管使用集中的安全认证服务器统一进行安全认证。

考虑到各个设备提供商的专业网网管各自都会有一套复杂的权限管理模型，运营商的集中认证服务器几乎无法建立一套通用的适应各个专业网网管的复杂的分权分域的权限管理模型，所以目前的集中认证仅仅实现的是简单的认证，一般只是将网管用户的密码集中进行认证，用户的权限还是有各个专业网网管来控制。

在用户密码集中认证过程中，用户的安全信息(除了用户密码)和权限信息均保存在专业网网管系统的数据库中，网管操作人员使用网管客户端登录网管服务器，服务器收到客户端的登录命令后发送消息到集中认证服务器进行统一密码认证，认证通过后网管操作人员就可以成功登录网管服务器。

随着电信网络的不断发展，电信设备的运营方式从粗放型向精细化转换，原来简单的用户密码集中安全认证已经无法满足要求，越来越多的高端电信运营商要求能进行用户权限的集中安全认证。

发明内容

鉴于以上所述的一个或多个问题，本发明提出了一种容易实施和部署的进行电信网管系统用户密码和用户权限集中认证的集中认证方法和集中认证系统。

根据本发明的一个方面，提出了一种集中认证方法。该集中认证方法包括以下步骤：客户端接收用户所输入的登录认证信息，并将登录认证信息发送给集中认证服务器模块；集中认证服务器模块对登录认证信息进行认证；如果认证成功，则将预先存储在集中认证服务器模块内部的与登录认证信息相对应的权限ID发送给专业网网管服务器认证模块；从预先存储在专业网网管服务器认证模块内部的多个专业网管角色信息中查找与权限ID相对应的专业网管角色信息，如果查找到与权限ID相对应的专业网管角色信息，通知客户端认证成功；以及客户端根据专业网管角色信息启动相关界面。

其中，在集中认证服务器模块对登录认证信息进行认证之后，还可以包括以下步骤：集中认证服务器模块将认证结果发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块根据认证结果来判断是否认证成功。

在专业网网管服务器认证模块根据认证结果来判断是否认证成功之后，还可以包括以下步骤：如果判断出认证不成功，则专业网网管服务器认证模块通知客户端认证失败和用户无法登录。

该集中认证方法还可以包括以下步骤：如果专业网网管服务器认证模块查找不到与权限ID相对应的专业网管角色信息，则专业网网管服务器认证模块通知客户端认证失败。

其中，将登录认证信息发送给集中认证服务器模块可以包括以下步骤：客户端将登录认证信息发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块将登录认证信息发送给集中认证服务器模块。

其中，登录认证信息可以包括用户名和密码。

专业网管角色信息可以包括操作权限信息和/或管理网元范围。

根据本发明的另一方面，提出了一种集中认证系统。该集中认证系统包括：客户端，用于接收用户所输入的登录认证信息，将登录认证信息发送给集中认证服务器模块，并根据与权限ID相对应的专业网管角色信息启动相关界面；集中认证服务器模块，用于对登录认证信息进行认证，如果认证成功，则集中认证服务器模块将与登录认证信息相对应的预先存储在其内部的权限ID发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块，用于在预先存储在其内部的多个专业网管角色信息中查找与权限ID相对应的专业网管角色信息，如果查找到与权限ID相对应的专业网管角色信息，则通知客户端认证成功。

其中，集中认证服务器模块还用于将认证结果发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块还用于根据认证结果来判断是否认证成功。

此外，如果专业网网管服务器认证模块根据认证结果判断出认证不成功，则专业网网管服务器认证模块还用于通知客户端认证失败和用户无法登录。

此外，如果专业网网管服务器认证模块查找不到与权限ID相对应的专业网管角色信息，则专业网网管服务器认证模块通知客户端认证失败。

其中，登录认证信息可以包括用户名和密码。专业网管角色信息可以包括操作权限信息和/或管理网元范围。

综上，本发明克服了用户权限集中认证中需要进行专业网网管系统权限模型和集中认证服务器中的权限模型需要进行匹配的问题；本发明提供的认证方案是可以基于用户网络中现有的认证协议(比如LDAP协议或者Radius协议)实现，因此不管是电信运营商还是设备服务提供商都只要在原来系统的认证模块的基础上进行少量的开发就能实施和部署集中用户认证。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明一个实施例的集中认证方法的流程图；

图2是根据本发明一个实施例的各个模块之间交互关系图；以及

图3是根据本发明又一个实施例的集中认证方法的流程图。

具体实施方式

下面参考附图，详细说明本发明的具体实施方式。

图1是根据本发明一个实施例的集中认证方法的流程图。如图1所示，根据本发明实施例的集中认证方法包括以下步骤：

步骤S102，客户端接收用户所输入的登录认证信息，并将登录认证信息发送给集中认证服务器模块；

步骤S104，集中认证服务器模块对登录认证信息进行认证；

步骤S106，如果认证成功，则将预先存储在集中认证服务器模块内部的与登录认证信息相对应的权限ID发送给专业网网管服务器认证模块；

步骤S108，从预先存储在专业网网管服务器认证模块内部的多个专业网管角色信息中查找与权限ID相对应的专业网管角色信息，如果查找到与所述权限ID相对应的专业网管角色信息，则通知客户端认证成功；以及

步骤S110，客户端根据专业网管角色信息启动相关界面。

其中，在集中认证服务器模块对登录认证信息进行认证之后，还可以包括以下步骤：集中认证服务器模块将认证结果发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块根据认证结果来判断是否认证成功。

在专业网网管服务器认证模块根据认证结果来判断是否认证成功之后，还可以包括以下步骤：如果判断出认证不成功，则专业网网管服务器认证模块通知客户端认证失败和用户无法登录。

该集中认证方法还可以包括以下步骤：如果专业网网管服务器认证模块查找不到与权限ID相对应的专业网管角色信息，则专业网网管服务器认证模块通知客户端认证失败。

其中，将登录认证信息发送给集中认证服务器模块可以包括以下步骤：客户端将登录认证信息发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块将登录认证信息发送给集中认证服务器模块。

其中，登录认证信息可以包括用户名和密码。专业网管角色信息可以包括操作权限信息和/或管理网元范围。

在根据本发明的一个实施例中，在专业网网管系统上配置和保存权限角色信息，专业网网管上为每个权限角色(或者角色集)分配一个角色ID，专业网网管角色信息中可以包含各种操作权限和管理网元的范围信息，被分配了某个角色(或者角色集)的用户具有该角色(或者角色集)定义的对指定网元的操作权限，专业网网管上无需保存用户信息；集中认证服务器上保存用户信息，集中认证服务器上每个用户有一个权限ID属性，这里的权限ID和各个专业网网管上的角色ID一一对应，集中认证服务器是系统中唯一保存用户权限信息的地方，集中认证服务器无需创建复杂权限数据，它通过使用权限ID和各个专业网网管的角色ID对应；专业网网管进行权限认证的时候网管服务器根据从集中认证服务器获取的权限ID找到网管上对应的角色ID，从而实现认证。这里集中认证服务器上的权限也可以理解为集中认证服务器上的用户的分组(Group)信息，每个一个分组有一个分组ID，分组ID和网管服务器上的角色ID一一对应。

图2是根据本发明一个实施例的集中认证系统的各个模块之间交互关系图。如图2所示，本发明所述的集中认证的方法包括以下具体模块：

专业网客户端认证模块202：提供登录界面，接收网管操作人员输入的用户名称和密码信息；发送请求认证消息给服务器，待认证通过后打开专业网网管界面。

专业网网管服务器认证模块204：存放角色信息；服务器接收到客户端的认证请求消息后，首先发送用户名称密码到集中认证服务器进行认证，认证通过后在根据用户名称到集中认证服务器获取用户对应的权限ID，之后根据权限ID找到专业网本身的角色ID，将用户信息和用户对应的角色信息放在服务器内存中；操作人员进行业务操作的时候网管服务器根据消息中提供的用户名称进行权限认证，认证通过后才能进行操作，否则返回用户没有权限。

集中认证服务器模块206：唯一存放用户安全信息，接收专业网网管的用户密码认证和返回给专业网用户权限信息。

具体地，根据该实施例的集中认证系统包括：客户端202，用于接收用户所输入的登录认证信息，将登录认证信息发送给集中认证服务器模块，并根据与权限ID相对应的专业网管角色信息启动相关界面；集中认证服务器模块206，用于对登录认证信息进行认证，如果认证成功，则集中认证服务器模块将与登录认证信息相对应的预先存储在其内部的权限ID发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块204，用于在预先存储在其内部的多个专业网管角色信息中查找与权限ID相对应的专业网管角色信息，如果查找到与权限ID相对应的专业网管角色信息，则并通知客户端认证成功。

其中，集中认证服务器模块还用于将认证结果发送给专业网网管服务器认证模块；以及专业网网管服务器认证模块还用于根据认证结果来判断是否认证成功。

此外，如果专业网网管服务器认证模块根据认证结果判断出认证不成功，则专业网网管服务器认证模块还用于通知客户端认证失败和用户无法登录。

此外，如果专业网网管服务器认证模块查找不到与权限ID相对应的专业网管角色信息，则专业网网管服务器认证模块通知客户端认证失败。

其中，登录认证信息可以包括用户名和密码。专业网管角色信息可以包括操作权限信息和/或管理网元范围。

图3是根据本发明又一个实施例的集中认证方法的流程图。根据本发明实施例的集中认证方法的具体用户认证步骤描述如下：

步骤S302，操作人员启动客户端应用程序，弹出登录界面，操作人员输入用户名和密码后执行登录命令，客户端发送登录请求给服务器；

步骤S304，服务器接收到客户端登录请求后首先将用户名和密码送到集中认证服务器对密码进行集中认证；

步骤S306，集中认证服务器收到用户密码认证命令否对用户密码进行认证，返回认证结果；

步骤S306-S312，服务器收到用户密码认证结果后判断是否认证成功，如果失败返回客户端，客户端提示密码错误，否则发送命令到集中认证服务器获取用户的权限ID；

步骤S314，集中认证服务器收到消息后返回指定用户的权限ID给专业网网管服务器；

步骤S316-S320，专业网网管服务器收到返回消息后根据权限ID判断服务器上存在对应的角色(或者角色集)ID，如果存在则将用户信息和对应的角色信息存放放在网管服务器的内存中，并且返回客户端认证成功，否则返回认证失败；

步骤S322，客户端根据网管服务器返回的消息进行处理，如果返回认证成功则启动网管业务界面，否则提示操作人员认证失败；

接下来，客户端登录成功，操作人员进行相关业务操作，操作命令发给服务器；网管服务器收到业务操作命令后根据命令消息中的用户信息，具体命令码，操作的对象进行具体权限认证，如果认证通过则服务器进行下面的处理，否则返回客户端用户无权限。

优选实施例是基于LDAP协议现实的电信网管集中权限认证。整个认证过程由操作人员发起，通过网管系统到LDAP服务器(e_Directory)进行权限认证。具体实施步骤如下：

步骤1，网管操作人员打开网管客户端登录界面，输入用户名称和密码；

步骤2，网管客户端发送登录命令到网管服务器进行认证；

步骤3，网管服务器发送BindRequest包给LDAP服务器进行Base DN绑定；

步骤4，LDAP服务器发送BindResponse包给网管服务器返回Base DN绑定结果，如果绑定成功进行步骤6，否则进行步骤5；

步骤5，网管服务器返回LDAP服务器绑定BaseDN失败；

步骤6，网管服务器发送SearchRequest包给LDAP服务器查找认证用户是否存在；

步骤7，LDAP服务器发送SearchResponse包给网管服务器返回认证用户在LDAP服务器上是否存在，如果存在进行下面的操作，否则进行步骤8；

步骤8，网管服务器返回客户用户不存在；

步骤9，网管服务器发送BindReqest包给LADP服务器进行用户名密码认证；

步骤10，LDAP服务器发送BindResponse包给网管服务器返回用户密码认证结果，如果认证成功进行下面的操作，否则进行步骤11；

步骤11，网管服务器返回客户端密码错误；

步骤12，网管服务器发送SearchResuest包给LDAP服务器查找用户所属的角色；

步骤13，LDAP服务器SearchResponse包给网管服务器返回搜索结果，如果搜索成功，网管服务器就可以得到用户所属的角色ID，从而可以对应到网管服务器上配置的角色和角色对应的操作权限和操作对象；如果搜索失败进行步骤14；

步骤14，网管服务器返回客户端LDAP服务上用户没有分配权限；

步骤15，网管服务器发送unBindRequest包给LDAP服务器解绑定；

步骤16，网管服务器通过内部消息返回认证结果给网管客户端；

步骤17，客户端认证成功打开客户端操作界面。

在本发明的实施例中，克服了用户权限集中认证中需要进行专业网网管系统权限模型和集中认证服务器中的权限模型需要进行匹配的问题；本发明提供的认证方案是可以基于用户网络中现有的认证协议(比如LDAP协议或者Radius协议)实现，因此不管是电信运营商还是设备服务提供商都只要在原来系统的认证模块的基础上进行少量的开发就能实施和部署集中用户认证。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。