[发明专利]一种堆叠系统中AAA的实现方法及系统

说明书

本发明公开了一种堆叠系统中AAA的实现方法，应用于包含主设备和至少两台从设备的堆叠系统中，所述方法具体包括：主设备将所有从设备进行分组，形成多个成员设备组；所述成员设备组至少包含一台从设备，每个成员设备组与一个AAA服务器相连。本发明还提供了一种应用所述方法的系统。在本发明中，主设备和从设备可以单独区别进行验证，主设备采用多重验证机制，从设备实现了AAA服务器进行验证，且本发明在多服务器环境中充分利用服务器资源来提高系统安全性和可靠性。

技术领域

本发明属于数据通信领域，尤其涉及一种堆叠系统中AAA的实现方法及系统。

背景技术

目前AAA技术的应用基本为认证对象与认证服务器之间一对一或者认证对象与认证服务器多对一的模型，即使有一个认证对象对应多个服务器的情况，多个服务器也不能同时工作而只起到备份的作用，其本质还是只有一个服务器在工作。认证对象之间各自独立，服务器控制能力处于分散状态，这样的应用安全性比较薄弱，并且也不利于系统的集中管理。

堆叠系统中包含一个主设备和多个从设备，统称堆叠成员设备。现有的堆叠系统中，主设备通过服务器进行认证，而从设备只能进行本地认证；堆叠分裂时，主设备的服务器认证自动切换为本地认证，但本地认证的安全性远低于服务器认证，且堆叠成员设备之间的认证结果不能形成制约关系。且在堆叠系统中相当于堆叠成员设备不是一个整体，每个堆叠成员设备被当作一个独立的个体进行处理。统计信息需要手动登录服务器进行备份或服务器自动备份，其链路实际上并未做到备份，且不能进行实时备份；多个管理员在进行单套设备管理时，不同用户在同一服务器上进行不同授权，没有完全隔离，有很大的安全隐患。

发明内容

为解决堆叠系统中，AAA服务器认证、授权及统计的安全问题，本发明主要目的在于提供一种堆叠系统中AAA的实现方法，应用于包含主设备和至少两台从设备的堆叠系统中，所述方法具体包括：

主设备将所有从设备进行分组，形成多个成员设备组，所述成员设备组至少包含一台从设备；每个成员设备组对应连接一个AAA服务器。

进一步地，所述方法还包括：

主设备上创建一个AAA管理任务和多个AAA子任务，一个AAA子任务对应管理一个成员设备组；

每个AAA服务器上配置一个或多个相同的账户，包括对主设备的认证和授权信息；

每个AAA服务器上配置不同账户，包括对从设备的认证和授权信息。

进一步地，所述方法还包括：

当有用户或管理员需要登录主设备时，AAA管理任务要求所述用户或管理员输入超级管理账户；

所述AAA管理任务将所述用户或管理员输入的超级管理账户信息下发给各个AAA子任务；

各个AAA子任务根据所述AAA管理任务下发的超级管理账户信息向各自对应的AAA服务器发起认证和授权，并将其认证结果反馈给所述AAA管理任务；

如果所有的AAA子任务均认证通过，则允许用户或管理员登录所述主设备，并根据授权情况进行相应的操作。

进一步地，所述方法还包括：

当有用户或管理员需要登录某一从设备时，AAA管理任务要求所述用户或管理员输入普通管理账户；

所述AAA管理任务将所述用户或管理员输入的普通管理账户信息下发给所述普通管理账户信息中包含的所述从设备所在成员设备组对应的AAA子任务；

所述从设备所在成员设备组对应的AAA子任务根据所述AAA管理任务下发的所述普通管理账户信息向自己对应的AAA服务器发起认证和授权，并将其认证结果反馈给所述AAA管理任务；