[发明专利]LDAP账号源与AAA系统的高效挂接方法

说明书

技术领域

本发明涉及通信领域，AAA系统以LDAP账号数据库为账号源为电信提供IP 接入控制业务。

背景技术

RADIUS(Remote Authentication Dial In User Service，即：远程用户拨号认证系 统，是由RFC2865，RFC2866定义的，是目前应用最广泛的AAA协议)服务为核 心内容的AAA(AAA的含义是，认证(Authentication)：验证用户的身份与可使用的 网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐 (Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。)系统中，需 要提供对请求账号的接入控制逻辑。AAA系统可以具有自身的账号管理系统，但 在某些应用场景的目标客户(Customer，下面简称为C)，如一个企业或者大学，它们 可能在部署AAA系统之前已经具有了较为完善的LDAP((LDAP的英文全称是 Lightweight Directory Access Protocol，中文译文是轻量级目录访问协议；)账号数据 库。C在整个内部的管理中引入了单点认证机制，即所有内部应用系统的账号登录请 求都通过转发给LDAP账号系统来完成。

此时，AAA系统的传统做法是，在部署完成AAA系统，初始化AAA系统业 务数据时，将LDAP账号数据库内的账号或与账号紧密关联的LDAP区分名及附属 信息通过程序统一拷贝入AAA系统的账号系统，并通过人工方式指定拷贝后的每 个账号在AAA系统内的接入控制逻辑。在LDAP账号系统更新账号信息后，AAA 系统也无法及时获取更新内容，需要靠人工刷新或者事先设计的定时刷新程序去刷 新。

这种做法缺陷是：首先本质上它破坏了C内部的单点认证机制，不是真正意义 上的统一认证机制，因为事实上C内部具有了两套帐号系统，增加了账号管理和登 录管理的复杂度；其次，它无法及时跟随更新账号变更信息，使AAA用户服务滞 后；第三，如需要统一变更某一类具有分组意义(如某个部门、某个宿舍楼)的账号 的接入控制逻辑，十分困难；第四，人工刷新需要提供额外的人力，而定时刷新则 由于LDAP账号系统的规模，给系统带来了额外的负荷。并且刷新后新增的账号还 需要人工指定(虽然也可以指定默认值，但缺乏灵活性)对应的AAA接入控制逻辑。

发明内容

本发明所要解决的技术问题是：通过AAA系统高效挂接LDAP账号数据源，使得 能维持应用场景的单点认证机制，能对LDAP账号进行恰当的自动化的分组并提供 及时的差异化的AAA服务。

为解决上述问题，本发明公开了一种AAA系统高效挂接LDAP账号数据源的 方法，具体步骤如下：

步骤一，在管理系统中设计至少一个账号分组模板，每个模板由至少三个元素 组成，即LDAP账号匹配模式、匹配优先级、AAA账号组；

步骤二，账号通过RADIUS服务系统认证时，RADIUS服务系统借助LDAP系 统认证该账号，并获取该账号的LDAP关键属性，即：LDAP账号匹配模式直接使 用的属性；AAA系统中不保存，或不同步任何LDAP系统的账号信息；

步骤三，在步骤二认证通过后，RADIUS或者RADIUS可访问的软件模块分析 步骤一中的账号分组模板，根据匹配模式和优先级匹配出最优的模板；根据模板中的 最后一个元素AAA账号组，确定步骤二中账号所属的AAA帐号组；

步骤四，根据步骤三的AAA账号组结果，查询对应的接入控制逻辑，为账号 提供接入控制服务。

步骤一中，事先设计LDAP账号数据库中账号的分组模板，根据模板决定某个 LDAP账号应该使用何种AAA接入控制逻辑；

步骤二中，RADIUS直接借助于LDAP账号数据库对请求账号进行认证，维持 应用场景单点认证的特性；

所述的RADIUS服务系统借助LDAP系统认证账号是通过账号和密码配合认证 的；

通过账号和密码配合认证账号的具体过程是：首先是搜索账号，账号未搜索到 则认证失败；搜索到后，进行密码比较，密码不一致则认证失败，反之认证成功；