技術(shù)領(lǐng)域

本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種單點(diǎn)登錄系統(tǒng)及方法。

背景技術(shù)

電信運(yùn)營業(yè)務(wù)需要大量的網(wǎng)絡(luò)設(shè)備硬件和軟件來支撐，這些設(shè)備硬件和軟件通常分別由多個(gè)不同的生產(chǎn)廠家提供，分布在不同的地理位置，登錄方式各異，每個(gè)設(shè)備都有自身的用戶和權(quán)限管理功能，大量的登錄用戶名和口令分布存儲(chǔ)在這些設(shè)備之中。

隨著電信運(yùn)營商的用戶數(shù)量和業(yè)務(wù)種類的不斷增多，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，設(shè)備種類和數(shù)量也越來越多。

由于網(wǎng)絡(luò)設(shè)備數(shù)量爆炸式膨脹，但維護(hù)人員的數(shù)量有限，維護(hù)人員需要同時(shí)維護(hù)多臺(tái)設(shè)備，在日常工作中需要登錄不同的設(shè)備進(jìn)行配置、測(cè)試和相關(guān)操作，維護(hù)人員就需要記住大量設(shè)備的口令，給維護(hù)工作增加了額外的難度。

并且，由于廠商的維護(hù)人員和運(yùn)營商不同部門的維護(hù)人員，都同時(shí)具備對(duì)網(wǎng)絡(luò)設(shè)備的操作權(quán)限，設(shè)備操作口令繁多，可是當(dāng)前卻缺乏系統(tǒng)的、有效的口令管理，最終導(dǎo)致設(shè)備口令丟失、竊取時(shí)有發(fā)生，口令安全隱患突出；另外，在用戶訪問設(shè)備的過程中，如果缺乏有效的設(shè)備訪問日志記錄，造成系統(tǒng)無法追蹤用戶對(duì)設(shè)備的操作，導(dǎo)致系統(tǒng)無法察覺用戶的非法操作，從而使系統(tǒng)陷入了不可預(yù)計(jì)的危險(xiǎn)中。

傳統(tǒng)的設(shè)備訪問，如圖1所示，針對(duì)每一臺(tái)設(shè)備，用戶都要進(jìn)行登錄、身份驗(yàn)證、建立連接這樣的過程，這就要求用戶必須記住每臺(tái)設(shè)備的登錄名稱和口令，在電信運(yùn)營企業(yè)，特別是存在大量網(wǎng)絡(luò)設(shè)備需要管理的環(huán)境中，如果都采用這樣的登錄方式，不僅繁瑣費(fèi)時(shí)，而且需要用戶記錄下大量的設(shè)備口令，必然存在安全方面的隱患，一旦口令丟失，或者造成信息泄漏，或者無法正常登錄系統(tǒng)，都會(huì)影響到正常的管理工作。

基于RADIUS的設(shè)備訪問，如圖2所示，RADIUS是一種分布的客戶/服務(wù)器系統(tǒng)，可以實(shí)現(xiàn)安全網(wǎng)絡(luò)，拒絕未經(jīng)驗(yàn)證的訪問。

當(dāng)一個(gè)用戶試圖登錄并驗(yàn)證到一個(gè)使用了RADIUS的訪問服務(wù)器時(shí)，會(huì)產(chǎn)生以下步驟：

輸入用戶名和密碼；

用戶名和加密的密碼經(jīng)過要訪問的設(shè)備發(fā)送到網(wǎng)絡(luò)中的RADIUS服務(wù)器，該服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證；

該用戶通過了認(rèn)證(ACCEPT)，或者，該用戶沒有被認(rèn)證(REJECT)，允許重新輸入用戶名和密碼，或者，拒絕訪問相應(yīng)設(shè)備。

連接參數(shù)，包括主機(jī)、IP地址、訪問列表和用戶超時(shí)。

RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一，它簡單安全，易于管理，擴(kuò)展性好，所以得到廣泛應(yīng)用。但是由于協(xié)議本身的缺陷，比如基于UDP的傳輸、簡單的丟包機(jī)制、沒有關(guān)于重傳的規(guī)定和集中式計(jì)費(fèi)服務(wù)，都使得它不太適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展，需要進(jìn)一步改進(jìn)。

傳統(tǒng)意義的單點(diǎn)登錄(SSO，Single?Sign?On)，常用于企業(yè)、政府內(nèi)部應(yīng)用系統(tǒng)的訪問控制，如果企業(yè)中有很多應(yīng)用系統(tǒng)，每個(gè)系統(tǒng)都有相應(yīng)的登錄認(rèn)證方式，用戶進(jìn)入相應(yīng)的系統(tǒng)都要輸入相應(yīng)系統(tǒng)的登錄信息，非常繁瑣不便。

同時(shí)，在傳統(tǒng)的單點(diǎn)登錄系統(tǒng)中，部署Web應(yīng)用也面臨雙重的安全挑戰(zhàn)。首先，必須保證只有合法的用戶才能訪問相應(yīng)的Web應(yīng)用資源。其次，實(shí)施安全保護(hù)措施時(shí)應(yīng)盡量避免增加用戶的負(fù)擔(dān)。隨著業(yè)務(wù)系統(tǒng)的增加，每個(gè)用戶需要記住多個(gè)口令，訪問不同的Web應(yīng)用系統(tǒng)采用不同的口令。這雖然能夠保證用戶對(duì)Web資源的合法訪問，但增加了用戶的負(fù)擔(dān)。一方面，為了方便記憶，用戶會(huì)采用簡單的口令或?qū)⒖诹钣涗浵聛恚@大大降低了應(yīng)用系統(tǒng)的安全性；另一方面，用戶每訪問一個(gè)Web應(yīng)用資源都需要登錄一次，這又大大降低了工作效率。

傳統(tǒng)的單點(diǎn)登錄技術(shù)是面向應(yīng)用而生，不論是普通的系統(tǒng)應(yīng)用還是Web應(yīng)用，傳統(tǒng)的單點(diǎn)登錄設(shè)計(jì)都難以實(shí)現(xiàn)直接面向設(shè)備的單點(diǎn)登錄。

但是，在電信網(wǎng)管系統(tǒng)中，設(shè)備作為最基本的網(wǎng)元之一，很多最重要和最基本的系統(tǒng)信息都是來自于設(shè)備，因此發(fā)明建立一個(gè)面向設(shè)備的單點(diǎn)登錄系統(tǒng)與裝置(SASS，Single?Access?&?Security?Service)，對(duì)于設(shè)備訪問需要實(shí)現(xiàn)單點(diǎn)、接入和安全三個(gè)功能就顯得格外關(guān)鍵。

發(fā)明內(nèi)容

本發(fā)明提供一種單點(diǎn)登錄系統(tǒng)、裝置及方法，用以解決現(xiàn)有技術(shù)在用戶訪問設(shè)備時(shí)，難以實(shí)現(xiàn)直接面向設(shè)備的單點(diǎn)登錄的問題。

本發(fā)明系統(tǒng)包括：至少一個(gè)用戶終端、單點(diǎn)登錄裝置以及至少一個(gè)向用戶終端提供服務(wù)的網(wǎng)絡(luò)設(shè)備，其中，

用戶終端，用于向單點(diǎn)登錄裝置發(fā)送訪問請(qǐng)求，其中含有要訪問的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)以及虛擬用戶身份信息；