[发明专利]一种AAA服务实现方法及系统

说明书

本发明提供了一种AAA服务实现方法及系统，利用AAA集群实现所述的AAA服务，所述的方法包括：所述AAA集群根据接收到的用户请求和从redis集群中读取的用户配置信息进行配置认证；将AAA集群生成的记账信息转存到存储集群。本申请的AAA服务实现，不使用fork模型占用大量系统资源，当接收到设备发送的认证、授权、记账包时，AAA处理服务器从从redis集群获取配置信息，保证所有AAA集群都是从一个数据源获取数据，用户在前端修改用户、设备、角色信息可以立即生效。

技术领域

本发明涉及通信技术，具体的讲是一种AAA服务实现方法及系统。

背景技术

AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。

现有的AAA服务主要是思科开源的TACACS+，但是TACACS+使用的是fork模型，此模型对在设备集中认证时会产生众多进程占用系统开销。一般服务器只能承载几百台设备的同时认证。而且设备越多配置文件越大，主备服务器之间配置文件需要同步，重启需要装载并不能做到及时修改及时生效。

由于电信集团一体化网管需求，城域网的网元需管理上收，网管管理的网元从千级猛增至10W级别。现有的TACACS+模型已不能负载如此大的网络规模，目前在使用中已经出现了在集中认证时期个别网元登陆失败、命令授权失败。在主应用服务器上修改配置文件再下发到AAA服务器上，然后重启需要将近1分钟的时间，而用户在使用过程中会经常添加、修改用户、修改权限和设备。这样导致用户体验很差。

现有技术中，新的TACACS+服务需要做到单台承载5000+级别网元的同时认证，记账信息可以做到及时查询。而且配置的信息修改要做到及时生效。用户排障时可以灵活定义某个IP的的流程返回。

现有技术中，Github上有一种方案是基于TACACS+实现的，但是使用的poll模型(事件驱动模型)，性能上并不能满足5000+的认证需求。并且配置文件的装载和同步方式并没有修改。改造成epoll(改进的事件驱动模型epoll)的成本过高，维护不方便。而且记账信息还是写到同一个文件中，每次操作需要先锁住文件，这样会进一步降低服务性能。排障时如果打开debug模式需要打印所有请求的日志影响请求效率，不支持单台设备或账号的排障功能。

发明内容

为了实现AAA服务的高效性、及时生效以及日志的快速查询，本发明实施例提供了一种AAA服务实现方法，利用AAA集群实现所述的AAA服务，方法包括：

所述AAA集群根据接收到的用户AAA服务请求和从redis集群中读取的用户配置信息进行配置认证；

将AAA集群生成的记账信息转存到存储集群。

本发明实施例中，该方法还包括：

用负载均衡服务器对用户的AAA服务请求进行负载均衡。

本发明实施例中，AAA集群根据接收到的用户AAA服务请求和从redis集群中读取的用户配置信息进行配置认证包括：

所述AAA集群由go语言的协程对用户AAA服务请求进行处理；

根据处理后的用户请求和从redis集群中读取的用户配置信息进行配置认证。

本发明实施例中，该用户配置信息包括：用户登录账号、用户组以及设备组。

本发明实施例中，该将AAA集群生成的记账信息转存到存储集群包括：

将AAA集群生成的记账信息通过消息队列的方式转存到存储集群。