[发明专利]一种AAA认证方法和装置

权利要求书

1.一种AAA认证方法，其特征在于，该方法包括：

S01、对AAA服务器的配置文件的管理，通过操作界面上设置，增加在AAA上的用户，以此实现AAA上面的用户的统一管理；

S02、对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。

2.根据权利要求1所述的AAA认证方法，其特征在于，所述S01中操作界面上设置流程，包括：

S011、配置Tacacs系统管理员，Tacacs系统管理员是具有特殊权限的用户，它对Tacacs所有的设备组和用户组都有配置权限；

S012、启动AAA进程，进行各种角色或设备组或用户组的配置；

S013、配置角色，对顶级节点管理权限的系统帐号配置角色；

S014、配置设备组，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；

S015、配置用户组，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；

S016、配置用户，组管理员指定用户为本组Tacacs用户，实现通过该用户登录、维护路由器设备；

S017、用户组角色管理，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。

3.根据权利要求2所述的AAA认证方法，其特征在于，所述S013中角色包括权限级别、允许或禁止的命令。

4.根据权利要求2所述的AAA认证方法，其特征在于，所述S014配置设备组时，设备组增加设备，指定设备的IP地址。

5.根据权利要求1所述的AAA认证方法，其特征在于，所述S02中的对网络设备的日志进行管理包括：

S021、设备日志查询，对采集到系统中的TACACS+登录日志信息进行组合条件查询；

S022、设备日志统计，统计任意日期段日志组合。

6.根据权利要求6所述的AAA认证方法，其特征在于，所述S021中的组合条件包括但不限于登录用户名、登录到的路由器地址、登录源地址。

7.根据权利要求6所述的AAA认证方法，其特征在于，所述S022中的日志组合，组合条件包括：统计周期、目标地址、登录用户名、源地址和操作命令字符串。

8.一种AAA认证装置，其特征在于，该装置包括：

AAA管理模块，对AAA服务器的配置文件的管理，通过操作界面上设置，增加在AAA上的用户，以此实现AAA上面的用户的统一管理；

设备日志管理模块，对网络设备的日志进行管理，通过在设备上启用记账功能，收集记帐信息，来实现对用户在网络设备上重要操作的跟踪和统计分析，定时对tacacs+产生的操作日志文件进行统计分析处理，供用户查询和统计。

9.根据权利要求8所述的AAA认证装置，其特征在于，所述AAA管理模块包括：

配置管理员模块，配置Tacacs系统管理员，Tacacs系统管理员是具有特殊权限的用户，它对Tacacs所有的设备组和用户组都有配置权限；

启动AAA进程模块，进行各种角色或设备组或用户组的配置；

配置角色模块，对顶级节点管理权限的系统帐号配置角色；

配置设备组模块，设备组嵌套定义，设备组的认证码与设备上的实际认证码一致；

配置用户组模块，为用户组指定组管理员，组管理员负责维护本组内的用户和组enable口令等；

配置用户模块，组管理员指定用户为本组Tacacs用户，实现通过该用户登录、维护路由器设备；

用户组角色管理模块，为用户组分配在不同设备组上的角色，即将配置好的角色对应于用户组和设备组，这样就制定了该用户组的所管理的设备和在该设备上的权限。