[发明专利]一种处理跟踪TACACS+会话的方法及装置

说明书

技术领域

本发明涉及通信领域，具体涉及一种处理跟踪终端访问控制器访问控制系统TACACS+会话的方法和装置。

背景技术

TACACS+（Terminal Access Controller Access Control System，终端访问控制器访问控制系统）是一种AAA（Authentication、Authorization、Accounting，认证、授权和计费）类型的网络应用协议，TACACS+支持独立的认证、授权和计费功能，允许不同的TACACS+安全服务器分别作为认证、授权和记账服务器，用于认证、授权和计费等功能。

接入控制与认证、授权等功能分别在TACACS+服务器和TACACS+用户端设备上实现（见图1），当用户登录或其他需要认证、授权的行为失败时，需要确定失败原因，这时需要跟踪TACACS+会话的报文以协助问题的定位。但是，在实际的商用环境中，同时有大量的认证、授权、记账等TACACS+报文交互，跟踪所有TACACS+报文会影响系统的处理效率，以人工筛选出所需要的报文将耗费大量的时间和精力，且不利于问题的快速定位。当用户需要分析特定TACACS+会话时，若采用通过解析TACACS+报文内容来筛选需要的报文，所存在的问题是TACACS+报文的响应报文中通常不包含所需要的信息（如用户账号、IP地址、端口、用户权限级别等信息），因而无法对响应报文进行跟踪，导致对TACACS+会话跟踪结果不可靠。

发明内容

为了解决现有技术中无法针对特定TACACS+会话进行TACACS+报文跟踪的问题，本发明提供了一种处理跟踪TACACS+会话的方法及装置。

一方面，本发明的处理跟踪TACACS+会话的方法包括：登记要跟踪的TACACS+会话的TACACS+报文的属性值；当TACACS+客户端接收到一TACACS+请求报文后，解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同，当相同时，保存该TACACS+请求报文中的Session_id值；以及当所述TACACS+客户端接收到一TACACS+响应报文后，比较该TACACS+响应报文中的Session_id值与所保存的Session_id值，当两者相同时，设置对应的TACACS+会话的状态为成功。

其中，所述属性值包括用户账号信息、IP地址信息或端口信息。

进一步地，如果所述TACACS+客户端接收到的全部TACACS+响应报文的Session_id值均与所保存的Session_id值不同，设置对应的TACACS+会话的状态为失败。

进一步地，如果该TACACS+请求报文中的属性值与所登记的属性值不同，丢弃该TACACS+请求报文。

进一步地，当对应的TACACS+会话结束后，删除所保存的Session_id值。

另一方面，本发明的处理跟踪TACACS+会话的装置包括：报文属性值登记模块，用于登记要跟踪的TACACS+会话的TACACS+报文的属性值；请求报文解析处理模块，用于当TACACS+客户端接收到一TACACS+请求报文后，解析该TACACS+请求报文以判断其中的属性值与所登记的属性值是否相同，当相同时，保存该TACACS+请求报文中的Session_id值；以及响应报文比较处理模块，用于当所述TACACS+客户端接收到一TACACS+响应报文后，比较该TACACS+响应报文中的Session_id值与所保存的Session_id值，当两者相同时，设置对应的TACACS+会话的状态为成功。

有益效果：

本发明在TACACS+客户端侧登记需要跟踪的特定用户的信息，当TACACS+请求报文内容符合登记的特定用户信息时，保存其Session_id值，当接收到具有相同Session_id值的TACACS+响应报文时，表明TACACS+会话成功，由此对TACACS+响应报文进行跟踪，实现了对于符合特定条件的整个TACACS+会话的跟踪功能。

附图说明

图1为本发明的处理跟踪TACACS+会话的方法流程图。

图2为本发明实施例的组网示意图。

图3为本发明的处理跟踪TACACS+会话的装置结构示意图。

具体实施方式

以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

图1为本发明的处理跟踪TACACS+会话的方法流程图，包括：