专利名称:一种网络设备差异化授权的方法及系统的制作方法
技术领域:
本发明涉及网络权限设置领域,特别是指一种网络设备差异化授权的方法及系 统。
背景技术:
随着hternet的高速发展,越来越多的应用得以通过网络实现,拨号用户、专线 用户以及各种商用业务的发展使^ternet面临许多挑战。如何安全、有效、可靠的保证计 算机网络信息资源的存取、用户如何以合法身份登录网络设备、怎样授予用户相应的权限, 以及怎样记录用户的操作记录成为网络服务需要考虑和解决的问题。正是基于此,认证授 tXif Ι (AAA, Authentication Authorization Accounting) 1^ . ! ^] , ) 网络设备解决上述问题的标准。终端访问控制器访问控制系统(TACACS+)是基于客户端-服务器模式的AAA 协议,是一种为路由器、网络访问服务器和其他互联的计算设备通过一个或多个集中 的服务器提供访问控制的协议;TACACS+提供了独立的认证、授权和记账服务,将认证 (authentication)、授权(authorization)和计费(accounting)相分离,并且将网络设备 和安全服务器之间的数据传输加密。但是,针对网络设备的差异化授权,TACACS+需要在所有网络设备上,针对每个用 户分别设置授权关系;其中,所述差异化授权是指不同用户在网络设备有不同的授权。这种 方式不但操作繁琐,而且在后期网络设备扩容时,需要在新添加的网络设备上为所有用户 设置授权关系,维护开销巨大。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络设备差异化授权的方法及系统, 简化差异化设置的过程,有利于网络维护。为达到上述目的,本发明的技术方案是这样实现的本发明提供了一种网络设备差异化授权的方法,该方法包括确定认证通过后,网络设备通过终端访问控制器访问控制系统TACACS服务器对 用户进行授权,并根据授权结果为用户开放相应权限。上述方案中,所述确定认证通过包括=TACACS服务器读取网络设备发送的认证请 求中的用户信息,与本地保存的用户信息比较,确定两者相同时,再根据认证请求中的设备 地址,查询本地预存的所述用户信息对应的用户权限,确定设备地址不属于用户权限中的 拒绝Refuse权限,则确定认证通过。上述方案中,所述通过TACACS服务器对用户进行授权包括网络设备确定认证 通过,向TACACS服务器发送包含用户信息以及设备地址的授权请求;或者,用户在网络设 备上执行命令,网络设备向TACACS服务器发送包含用户信息、设备地址以及命令的授权请 求。
上述方案中,所述TACACS服务器对用户进行授权包括=TACACS服务器根据网络设 备发送的授权请求中的设备地址及用户信息,查询用户信息对应的用户权限中,设备地址 所在的设备组,获取所述设备组对应的权限列表中的权限命令集,发送给网络设备;或者, TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息,查询用户信息对应 的用户权限中,设备地址所在的设备组,确定授权请求中的命令,与所述设备组对应的权限 列表中的权限命令集中任意一个权限命令相符,则授权通过。本发明还提供了一种网络设备差异化授权的系统,该系统包括信息输入模块、认 证授权模块;信息输入模块,用于根据用户输入的用户信息,通过认证授权模块确定认证通过, 并通过认证授权模块对用户进行授权;认证授权模块,用于确定认证通过,返回认证响应给网络设备;对用户进行授权, 将授权结果返回给网络设备。上述方案中,该系统进一步包括配置模块;配置模块,用于配置用户权限;相应的,认证授权模块,具体用于读取信息输入模块发送的认证请求中的用户信 息,与配置模块中的用户信息比较,确定两者相符时,再根据认证请求中的设备地址,查询 配置模块中所述用户信息对应的用户权限,确定设备地址不属于用户权限中的Refuse权 限,则确定认证通过。上述方案中,信息输入模块,具体用于接收认证授权模块返的认证响应,向认证授 权模块发送包含用户信息及设备地址的授权请求;或者,用户执行命令,向认证授权模块发 送包含用户信息、设备地址以及命令的授权请求。上述方案中,认证授权模块,具体用于根据授权请求中的设备地址及用户信息,查 询用户信息对应的用户权限中,设备地址所在的设备组,获取所述设备组对应的权限列表 中的权限命令集,发送给网络设备;或者,根据授权请求中的设备地址及用户信息,查询用 户信息对应的用户权限中,设备地址所在的设备组,若授权请求中的命令与所述设备组对 应的权限列表中的权限命令集中任意一个权限命令相符,则将授权通过响应发送给网络设 备。由此可见,采用本发明所述的方法及系统,通过在TACACS服务器上配置与用户信 息对应的用户权限,网络扩容时,根据用户的不同权限级别,只需在用户权限对应的设备组 中增加扩容的设备地址即可,简化了差异化设置过程,有利于网络维护。
图1为本发明实现网络设备差异化授权的方法流程示意图;
图2为缺省权限列表示例图;图3a、b为特权设备组及相应的特殊权限列表示例图;图4为本发明实现网络设备差异化授权的系统组成示意图。
具体实施例方式本发明的基本思想是确定用户认证通过后,网络设备通过TACACS服务器对用户 进行授权,根据授权结果为用户开放相应权限。
下面通过具体实施例与附图来对本发明进行详细说明。本发明提供的网络设备差异化授权的方法,如图1所示,具体步骤如下步骤101、网络设备通过TACACS服务器确定用户认证通过;本步骤中,用户在网络设备上输入用户信息,登录网络设备,网络设备向TACACS 服务器发送认证请求;这里,所述认证请求中包括用户信息、设备地址;所述用户信息包括 用户名、密码。TACACS服务器接收认证请求,获取用户信息,与本地保存的用户信息比较,确定两 者相同,则用户输入的用户信息正确,否则,用户输入的用户信息错误,认证不通过;TACACS 服务器确定用户输入的用户信息正确后,再根据用户信息中的设备地址,查询本地预存的 所述用户信息对应用户权限,确定设备地址不属于用户权限中的拒绝(Refuse)权限,则认 证通过;否则,认证不通过。这里,所述用户权限与用户信息对应,包括设备组及对应的权限列表,所述设备组 包括缺省设备组与特权设备组,其中,所述缺省设备组包含设备地址,与缺省权限列表相对 应,所述特权设备组包含设备地址与特殊权限列表相对应,所述缺省权限列表包括缺省权 限级别,以及相应的缺省权限命令集,缺省权限命令集中包含预置的缺省权限命令。以图2所示的缺省权限列表为例,其中的权限级别Privilege),即缺省权限级 别为LevelO,权限命令集(Shell Command Authorization Set),即缺省权限命令集为 Command Set-Default, Command Set-Default中可以包含预先定义的缺省权限命令;所述 特殊权限列表包括特殊权限级别,以及相应的特殊权限命令集,所述特殊权限命令集中包 含预置的特殊权限命令,以图3所示的特权设备组(Device Group)及对应的特殊权限列 表为例,如图3a所示,特权设备组分别为设备组A(DeviCe Group Α)以及设备组B (Device Group B),其中,Device Group A中的设备地址(Device IP)为 192. 168. 0. 2,Device Group B中的设备地址为192. 168.0. 11至192. 168.0. 133之间的地址,如图3b所示,Device Group A对应的特殊权限级别为Level 15,特殊权限命令集为Command Set A, Command Set A 中预先定义了特殊权限命令,也就是说,用户在设备地址为192. 168. 0.2上的权限级别为 Level 15,具有特殊权限命令集Command Set A中的命令权限;同样的,Device Group B中 对应的权限级别为Refuse,特殊权限命令集为Command Set B,也就是说,用户在设备地址 为192. 168. 0. 11至192. 168. 0. 133的网络设备上被拒绝使用。根据需求,每个用户信息可以对应一到多个特权设备组及相应的特殊权限列表, 每个特殊权限列表可以对应不同的特殊权限命令集,所述缺省权限命令集以及特殊权限命 令集可根据需要自行定义其中的权限命令。其中,若特殊权限列表对应的特殊权限级别为 Refuse,则是拒绝用户在该设备登录。这样,若网络设备扩容时,增加网络设备,只需根据用 户在网络设备上的权限,在缺省设备或特权设备组中增加设备地址即可,不需要在网络设 备上针对每个用户设置相应的权限。TACACS服务器确定认证通过,向网络设备回复包含用户认证通过消息的认证响 应;确定认证不通过,向网络设备回复包含用户认证不通过消息的认证响应。步骤102、网络设备通过TACACS服务器进行授权;本步骤中,网络设备收到TACACS服务器回复的包含用户认证通过消息的认证响 应,向TACACS服务器发送授权请求,所述授权请求中包含用户信息、设备地址;TACACS服务器根据设备地址,查询用户信息对应的用户权限,获取设备地址所在的设备组,读取设备组 对应的权限列表中的权限命令集,也就是说,若设备地址属于缺省设备组,则用户在该设备 上有缺省权限,若设备地址属于特权设备组,则用户在该设备上有特殊权限,TACACS服务器 将获取的缺省权限列表中的缺省权限命令集或者特殊权限列表中的特殊权限命令集,通过 授权响应发送给网络设备。或者,用户在网络设备上执行命令,即用户在网络设备输入命令,网络设备将包含 命令、用户信息以及设备地址的授权请求,发送给TACACS服务器;TACACS服务器根据设备 地址及用户信息,获取用户权限对应的设备组中,设备地址所在的设备组,若用户输入的命 令与所述设备组对应的权限列表中的权限命令集中任意一个权限命令相符;也就是说,用 户输入的命令与缺省设备组对应的缺省权限列表中的缺省权限命令集中的任意一个权限 命令相符,或者与特权设备组对应的特殊权限列表中的特殊权限命令集中的任意一个权限 命令相符,则所述命令属于所述设备组对应的权限列表中的权限命令集,用户有执行该命 令的权限,TACACS服务器向网络设备回复授权通过响应,否则,所述命令不属于所述设备组 对应的权限列表中的权限命令集,用户没有执行该命令的权限,TACACS服务器向网络设备 回复授权不通过响应。步骤103、网络设备根据授权结果,开放相应权限给用户。网络设备根据TACACS服务器回复的包含缺省权限命令集或特殊权限命令集的授 权响应,开放相应权限给用户,即允许用户执行缺省权限命令集或特殊权限命令集中的命 令;或者,网络设备根据TACACS服务器回复的包含授权通过响应,允许用户在网络设备执 行命令;根据TACACS服务器回复的包含授权不通过响应,拒绝用户在网络设备执行命令。基于上述方法,本发明还提供了一种网络设备差异化授权的系统,如图4所示,该 系统包括信息输入模块401、认证授权模块402 ;其中,所述信息输入模块401位于网络设 备,认证授权模块402位于TACACS服务器;信息输入模块401,用于接收用户输入的用户信息,通过认证授权模块402确定认 证通过;通过认证授权模块402进行授权;所述用户信息包含用户名及密码;认证授权模块402,用于确定用户在网络设备上认证通过,通过认证响应将认证结 果返回给网络设备;对用户进行授权,将授权结果返回给网络设备,由网络设备根据授权结 果开放相应权限给用户。该系统进一步包括配置模块403,用于配置用户权限。这里,所述用户权限与用户信息对应,包含设备组及对应的权限列表,所述设备组 包括缺省设备组与特权设备组;其中,所述缺省设备组包含设备地址,与缺省权限列表对 应,所述特权设备组包含设备地址,与特殊权限列表对应;所述缺省权限列表包括缺省权限 级别,以及相应的缺省权限命令集,缺省权限命令集中包含预置的缺省权限命令;所述特殊 权限列表包括特殊权限级别,以及相应的特殊权限命令集,所述特殊权限命令集中包含预 置的特殊权限命令。所述认证授权模块402具体用于,根据信息输入模块发送的认证请求中的用户信 息,将用户信息与本地保存的用户信息比较,确定两者是否相同;进一步的,根据认证请求 中的设备地址查询本地预存的所述用户信息对应的用户权限,确定所述设备地址不属于用户权限中,特权设备组对应的Refuse权限,则认证通过。信息输入模块401进一步用于,根据认证授权模块回复的包含认证通过消息的认 证响应,向认证授权模块402发送包含用户信息、设备地址的授权请求;或者,用户执行命令,向认证授权模块402发送包含用户信息、设备地址以及命令的授 权请求。认证授权模块402具体用于,根据授权请求中的用户信息,查询配置模块中用户 信息对应的用户权限,然后根据设备地址,获取设备地址所在设备组对应的权限列表中的 权限命令集,即若设备地址属于缺省设备组,将缺省设备组对应的缺省权限列表中的缺省 权限命令集发送给网络设备,若设备地址属于特权设备组,将设备地址所在的特权设备组 对应的特殊权限列表中的特殊权限命令集发送给网络设备;或者,根据授权请求中的用户信息,查询用户信息对应的用户权限,根据设备地址获取 所述设备地址所在的设备组对应的权限列表中的权限命令集,然后获取授权请求中的命 令,确定所述命令与所述权限命令集中任意一个权限命令相符,向网络设备回复授权通过 响应;否则,向网络设备回复授权不通过响应。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种网络设备差异化授权的方法,其特征在于,该方法包括确定认证通过后,网络设备通过终端访问控制器访问控制系统TACACS服务器对用户 进行授权,并根据授权结果为用户开放相应权限。
2.根据权利要求1所述的方法,其特征在于,所述确定认证通过包括TACACS服务器读取网络设备发送的认证请求中的用户信息,与本地保存的用户信息比 较,确定两者相同时,再根据认证请求中的设备地址,查询本地预存的所述用户信息对应的 用户权限,确定设备地址不属于用户权限中的拒绝Refuse权限,则确定认证通过。
3.根据权利要求1或2所述的方法,其特征在于,所述通过TACACS服务器对用户进行 授权包括网络设备确定认证通过,向TACACS服务器发送包含用户信息以及设备地址的授权请求;或者,用户在网络设备上执行命令,网络设备向TACACS服务器发送包含用户信息、设 备地址以及命令的授权请求。
4.根据权利要求3所述的方法,其特征在于,所述TACACS服务器对用户进行授权包括TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息,查询用户信息 对应的用户权限中,设备地址所在的设备组,获取所述设备组对应的权限列表中的权限命 令集,发送给网络设备;或者,TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息,查询用 户信息对应的用户权限中,设备地址所在的设备组,确定授权请求中的命令,与所述设备组 对应的权限列表中的权限命令集中任意一个权限命令相符,则授权通过。
5.一种网络设备差异化授权的系统,其特征在于,该系统包括信息输入模块、认证授 权模块;信息输入模块,用于根据用户输入的用户信息,通过认证授权模块确定认证通过,并通 过认证授权模块对用户进行授权;认证授权模块,用于确定认证通过,返回认证响应给网络设备;对用户进行授权,将授 权结果返回给网络设备。
6.根据权利要求5所述的系统,其特征在于,该系统进一步包括配置模块; 配置模块,用于配置用户权限;相应的,认证授权模块,具体用于读取信息输入模块发送的认证请求中的用户信息,与 配置模块中的用户信息比较,确定两者相符时,再根据认证请求中的设备地址,查询配置模 块中所述用户信息对应的用户权限,确定设备地址不属于用户权限中的Refuse权限,则确 定认证通过。
7.根据权利要求5或6所述的系统,其特征在于,信息输入模块,具体用于接收认证授权模块返的认证响应,向认证授权模块发送包含 用户信息及设备地址的授权请求;或者,用户执行命令,向认证授权模块发送包含用户信 息、设备地址以及命令的授权请求。
8.根据权利要求7所述的系统,其特征在于,认证授权模块,具体用于根据授权请求中的设备地址及用户信息,查询用户信息对应的用户权限中,设备地址所在的设备组,获取所述设备组对应的权限列表中的权限命令集, 发送给网络设备;或者,根据授权请求中的设备地址及用户信息,查询用户信息对应的用户权限中,设备 地址所在的设备组,若授权请求中的命令与所述设备组对应的权限列表中的权限命令集中 任意一个权限命令相符,则将授权通过响应发送给网络设备。
全文摘要
本发明公开一种网络设备差异化授权的方法,包括确定认证通过后;网络设备通过TACACS服务器对用户进行授权,并根据授权结果为用户开放相应权限。本发明还公开了一种网络设备差异化授权的系统,采用本发明所述的方法及系统,简化差异化设置的过程,有利于网络维护。
文档编号H04L29/06GK102123147SQ20111004959
公开日2011年7月13日 申请日期2011年3月1日 优先权日2011年3月1日
发明者朱起辉 申请人:中兴通讯股份有限公司