一种网元设备访问控制方法及设备与流程

1.本申请涉及通信网络技术领域，尤其涉及一种网元设备访问控制方法及设备。


背景技术：

2.随着通信网络技术的飞速发展，网元设备访问控制的手段也日趋多样化。目前网元设备支持的访问控制方式包括telnet协议访问控制、安全外壳(secure shell，ssh)协议访问控制、简单网络管理协议(simple network management protocol，snmp)访问控制、超文本传送协议(hypertext transfer protocol，http)访问控制、文件传输协议(file transfer protocol，ftp)访问控制、简单文件传输协议(trivial file transfer protocol，tftp)访问控制，以及承载在telnet、ssh、snmp、http、ftp、tftp这些基础协议上的其他访问控制方式。例如，基于snmp、telnet和ssh协议的图形化访问控制。
3.在目前的复杂网络环境中，通过这些访问控制方式进行访问时，网元设备经常会受到各种网络攻击。针对上述传统的网元设备访问控制方式，网络攻击者会伪造含有其他实体身份信息的源ip地址、协议号或者源端口，假扮成其他实体。绕过网元设备软件的访问控制列表的接入合法性检查，或者利用网络监听、暴力破解等方式获取网元设备的用户名和用户密码，从而得到网元设备访问控制权限，使网络处于极度危险的境地，给网络使用者带来了极大的风险。


技术实现要素：

4.本申请实施例提供一种网元设备访问控制方法及设备，用以解决现有的访问控制方式容易被破解，使网络处于极度危险的境地，给网络使用者带来了极大风险的问题。
5.本申请实施例提供的一种网元设备访问控制方法，包括：网元设备接收用户的访问请求；根据所述访问请求中的五元组信息，获取与网元设备相连的usb key预先配置的访问控制列表；基于所述访问控制列表，对所述五元组信息进行认证；确定认证通过后，获取用户输入的pin码，根据预先获取的usb key的pin码，对所述用户输入的pin码进行验证；基于验证结果请求账号信息，并根据所述账号信息确定对应的用户访问成功。
6.在一个示例中，网元设备接收用户的访问请求之前，所述方法还包括：确定usb key接入网元设备，配置所述usb key和所述网元设备的绑定命令；获取用户输入的pin码，基于预先获取的usb key的pin码对用户输入的pin码进行验证；验证成功后，将所述网元设备的mac地址写入所述usb key，并将访问控制列表配置到所述usb key加密存储。
7.在一个示例中，在一个示例中，将所述网元设备的mac地址写入所述usb key，并将访问控制列表配置到所述usb key加密存储，具体包括：读取所述usb key绑定的mac地址；若所述usb key不存在绑定的mac地址，则将所述网元设备的mac地址加密写入所述usb key中，与所述usb key绑定，并将访问控制列表配置到usb key加密存储；若所述usb key存在绑定的mac地址，则判断所述绑定的mac地址是否为所述网元设备的mac地址；若所述绑定的mac地址是所述网元设备的mac地址，将访问控制列表配置到所述usb key加密存储；若所述
绑定的mac地址不是所述网元设备的mac地址，结束配置过程。
8.在一个示例中，网元设备接收用户的访问请求，具体包括：网元设备的服务守护进程监测到访问请求时，确定所述访问请求对应的套接字；当所述访问请求对应的套接字可读时，通过所述套接字，获取所述访问请求的五元组信息。
9.在一个示例中，根据所述访问请求中的五元组信息，获取与网元设备相连的usb key预先配置的访问控制列表，具体包括：根据所述访问请求中的五元组信息，调用与网元设备相连的usb key对应的接口；通过所述接口获取预先配置在所述usb key中的访问控制列表。
10.在一个示例中，基于所述访问控制列表，对所述五元组信息进行认证，具体包括：判断所述五元组信息是否符合所述访问控制列表的规则；若所述五元组信息符合所述访问控制列表的规则，则确定认证成功；若所述五元组信息不符合所述访问控制列表的规则，则拒绝所述用户的访问。
11.在一个示例中，确定认证通过后，获取用户输入的pin码，具体包括：根据所述访问请求对应的套接字的类型，创建相应的子进程，并启动所述子进程；通过所述子进程请求用户输入pin码；获取用户输入的pin码。
12.在一个示例中，基于验证结果请求账号信息，并根据所述账号信息确定对应的用户访问成功，具体包括：基于成功的验证结果，获取本地用户的账号信息；在本地用户的账号信息认证成功后，确定对应的用户访问成功。
13.在一个示例中，基于验证结果请求账号信息，并根据所述账号信息确定对应的用户访问成功，具体包括：基于成功的验证结果，以及远程认证请求，获取远程服务器的账号信息；在远程服务器的账号信息认证成功后，确定对应的用户访问成功。
14.本申请实施例提供的一种网元设备访问控制设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：接收用户的访问请求；根据所述访问请求中的五元组信息，获取与网元设备相连的usb key预先配置的访问控制列表；基于所述访问控制列表，对所述五元组信息进行认证；确定认证通过后，获取用户输入的pin码，根据预先获取的usb key的pin码，对所述用户输入的pin码进行验证；基于验证结果请求账号信息，并根据所述账号信息确定对应的用户访问成功。
15.本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：
16.通过将usb key应用到网元设备上，对不同访问控制方式进行统一的接入管理。利用usb key存储数据加密，将接入访问控制列表写入usb key中保证访问控制列表的保密性，使用户接入访问时必须符合usb key中的访问控制列表过滤特性才能正常访问，利用usb key中pin码来进行认证，pin码验证通过后，再进行网元设备用户名和用户密码的认证，只有同时拥有usb key、pin码和网元设备的用户名和用户密码才能进行访问控制，增加密码认证阶段的安全性和可靠性，极大的增加的网元设备的访问控制安全性，减少了网络使用者的风险。
附图说明
17.此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申
请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
18.图1为本申请实施例提供的一种网元设备访问控制方法流程图；
19.图2为本申请实施例提供的一种usb key与网元设备绑定的流程图；
20.图3为本申请实施例提供的另一种网元设备访问控制方法流程图；
21.图4为本申请实施例提供的一种具体的网元设备访问控制方法示意图；
22.图5为本申请实施例提供的一种网元设备访问控制设备结构图。
具体实施方式
23.为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
24.在目前的复杂网络环境中，网元设备访问服务器时，经常会受到各种网络攻击。针对传统的网元设备访问控制方式，网络攻击者会伪造含有其他实体身份信息的源ip地址、协议号或者源端口，假扮成其他实体。绕过网元设备软件的访问控制列表的接入合法性检查，或者利用网络监听、暴力破解等方式获取网元设备的用户名和用户密码，从而得到网元设备访问控制权限，使网络处于极度危险的境地，给网络使用者带来了极大的风险。
25.本申请实施例提供了一种网元设备访问控制方法及设备，通过将usb key应用到网元设备上，对不同访问控制方式进行统一的接入管理。利用usb key存储数据加密，将接入访问控制列表写入usb key中保证访问控制列表的保密性，使用户接入访问时必须符合usb key中的访问控制列表过滤特性才能正常访问，利用usb key中pin码来进行认证，pin码验证通过后，再进行网元设备用户名和用户密码的认证，只有同时拥有usb key、pin码和网元设备的用户名和用户密码才能进行访问控制，增加密码认证阶段的安全性和可靠性，极大的增加的网元设备的访问控制安全性，减少了网络使用者的风险。
26.下面通过附图对本申请实施例提出的技术方案进行详细的说明。
27.图1为本申请实施例提供的一种网元设备访问控制方法流程图，具体包括以下步骤：
28.s101：网元设备接收用户的访问请求。
29.网元设备的服务守护进程监测到来自用户的访问请求时，接收用户的访问请求。
30.在本申请实施例中，网元设备针对所有外部的访问请求创建一个服务守护进程，该服务守护进程根据网元设备支持的访问方式，创建对应类型的套接字。当某个类型的套接字可读时，表示存在与该套接字对应的访问请求。本申请实施例通过创建服务守护进程，使单个进程就能监测所有外来的访问请求，以此取代每个服务就需要一个进程的做法，减少了系统中的进程总数，并能够对各个访问方式进行统一过滤和控制。
31.其中，访问方式包括但不限于telnet协议访问控制、ssh协议访问控制、snmp协议访问控制、http协议访问控制、ftp协议访问控制、tftp协议访问控制。
32.网元设备的服务守护进程监测到用户的访问请求时，确定访问请求对应的套接字，当访问请求对应的套接字可读时，表示和套接字对应的访问请求接入。于是，网元设备通过可读的套接字，获取用户的访问请求中的五元组信息。其中，五元组信息通常是指源ip
地址，源端口，目的ip地址，目的端口和传输层协议。
33.在进行网元设备访问控制前，需要预先将usb key与网元设备进行绑定。本申请实施例提供了一种具体的usb key与网元设备绑定的流程，如图2所示，绑定过程包括以下步骤：
34.步骤一、配置usb key和网元设备的绑定命令。
35.用户将usb key插入到网元设备的usb接口，由于usb key无需驱动，所以网元设备能够正确识别usb key。网元设备的服务器确定usb key接入，根据用户的指令，配置usb key和网元设备的绑定命令。
36.其中，usb key是一种低成本、无需驱动、便携的硬件计算机设备，具有内置cpu、存储器、芯片操作系统，可以储存用户的密钥或数字证书，可以通过usb接口与终端连接，直接运行在windows，mac os及linux操作系统。
37.usb key在网络体系中使用时，将网络终端功能弱化为一个数据传输的媒介，所有有关安全性的操作都在usb key内部完成，极好的保护了安全数据，同时usb key具有数据加密和数据存储两大功能，并提供了多种硬件加密方式，即插即用不占用终端硬件资源，作为终端设备的硬件扩展单元通过usb接口直接接入到终端设备，不需要终止程序或者操作系统的的运行。
38.本申请实施例基于usb key的应用特点和现有的网元设备访问控制方式，将两者有机的结合起来形成一种软硬件结合的网元设备访问控制方法，极大的提高了网元设备的访问控制的安全性，减少了网络使用者的风险。
39.步骤二、进行pin码验证。
40.每个usb key都有一个硬件pin码，pin码为使用usb key所需的密码，只有知道pin码的用户才有权使用usb key，所以只有用户同时拥有usb key和pin码，才能通过身份认证。
41.网元设备在对usb key进行绑定之前，需要预先获取usb key的pin码，并在绑定时提示用户输入该usb key的pin码。然后，网元设备根据预先获取的usb key的pin码，验证用户输入的pin码是否正确，当验证成功时，确定用户输入的pin码正确，可对该usb key进行绑定。
42.步骤三、将usb key绑定的mac地址设置为网元设备的mac地址。
43.在本申请实施例中，网元设备需要读取usb key的地址绑定字段，来确定该usb key绑定的mac地址。若usb key的地址绑定字段为空，表示该usb key未绑定过其他网元设备，则将网元设备的mac地址加密写入usb key中。
44.若usb key的地址绑定字段不为空，可确定该usb key绑定的mac地址，若usb key绑定的mac地址不是该网元设备的mac地址，表示该usb key已经绑定过其他网元设备，则结束usb key和网元设备的绑定过程。
45.步骤四、将访问控制列表配置到usb key。
46.在本申请实施例中，将网元设备的mac地址加密写入usb key后，或者确定usb key绑定的mac地址为网元设备的mac地址之后，网元设备将访问控制列表配置到usb key中加密存储。
47.其中，访问控制列表中包括对数据传输访问的限制，用于对访问请求中的五元组
信息进行验证，确定是否接收该访问请求中的数据。
48.在本申请实施例中，网元设备将网元设备的mac地址存在usb key的一个地址段，并将访问控制列表配置到usb key的另一块地址段，进行分区读取，使写入usb key中的信息不会相互影响。
49.s102：根据访问请求中的五元组信息，获取与网元设备相连的usb key预先配置的访问控制列表。
50.网元设备根据访问请求中的五元组信息，获取在绑定过程配置在usb key中的访问控制列表。
51.在本申请实施例中，网元设备中预先集成有usb key的函数接口库。于是，当用户以不同访问方式访问网元设备时，网元设备可根据访问请求中的五元组信息，调用预先设置的usb key函数，通过usb key函数调用与网元设备相连的usb key对应的接口，通过usb key接口获取预先配置在usb key中的访问控制列表。
52.s103：基于访问控制列表，对五元组信息进行认证。
53.网元设备根据获取的访问控制列表，对usb key访问请求中的五元组信息进行认证。
54.在本申请实施例中，网元设备通过访问控制列表对访问请求中的五元组信息进行认证。如果认证成功，则允许该访问请求进行访问，网元设备会接收此usb key的访问请求。
55.具体的，网元设备判断用户的访问请求中的五元组信息是否符合访问控制列表的规则；若用户的访问请求中的五元组信息符合访问控制列表的规则，表示允许该访问请求进行访问，则确定认证成功。若用户的访问请求中的五元组信息不符合访问控制列表的规则，表示拒绝用户的访问，则网元设备拒绝接收此用户的访问请求。
56.本申请实施例通过插入到网元设备usb接口的usb key固件进行网元设备访问控制认证，相对于对传统的纯软件进行访问控制过滤和认证相比有效地提高了认证的安全性、可靠性，并和多种访问控制方式进行关联和整合，提供访问控制和登录密码的统一管理，有效解决多种访问控制方式场景下的潜在安全防护问题。
57.s104：确定认证通过后，获取用户输入的pin码，根据预先获取的usb key的pin码，对用户输入的pin码进行验证。
58.网元设备确定五元组信息认证通过后，请求用户输入pin码，并根据绑定时获取的usb key的pin码，对用户输入的pin码进行验证。
59.在本申请实施例中，网元设备会根据套接字的类型，创建相应的子进程，以服务不同的访问方式。于是，网元设备根据用户的访问请求对应的套接字，确定套接字的类型，然后，网元设备根据套接字的类型创建相应的子进程，并启动子进程；最后，网元设备通过子进程请求用户输入pin码，获取用户输入的pin码，并将用户输入的pin码与预先获取的usb key的pin码进行验证。
60.本申请实施例通过usb key固件进行网元设备访问控制过滤和认证，只有用户同时拥有usb key和pin码，才能通过身份认证，相对于对传统的纯软件进行访问控制过滤和认证，更加有效地提高了用户身份认证过程的安全性、可靠性。
61.s105：基于验证结果请求账号信息，并根据账号信息确定对应的用户访问成功。
62.网元设备根据用户输入的pin码与预先获取的usb key的pin码的验证结果，确定
用户输入了正确的usb key的pin码，则请求用户的账号信息。网元设备判断用户输入的账号名和账号密码正确后，确定账号信息对应的用户访问成功。
63.在本申请实施例中，用户可以使用本地账号登录，也可以使用远程账号登录。
64.在本地账号登录时，网元设备确定用户输入的pin码验证成功后，请求用户输入账号信息，用户选择本地用户的账号信息并输入，网元设备对用户输入的本地用户的账号信息进行认证成功后，确定对应的用户访问成功。
65.在远程账号登录时，网元设备确定用户输入的pin码验证成功后，配置本机远程认证并请求用户输入账号信息，用户选择远程服务器的账号信息并输入，网元设备对用户输入的远程服务器的账号信息进行认证成功后，确定对应的用户访问成功。
66.本申请实施例通过usb key认证和用户的账号信息认证双重认证方式，极大的增加了认证阶段的安全性和可靠性。
67.本申请实施例还提供了另一种网元设备访问控制方法流程图，如图3所示，用户请求访问，网元设备的服务守护进程接收用户的访问请求中的五元组信息，并获取与网元设备相连的usb key预先配置的访问控制列表；通过访问控制列表，对五元组信息进行认证；确定认证通过后，网元设备获取用户输入的pin码，并对用户输入的pin码进行验证，验证成功后，提示用户输入账号信息，并根据账号信息确定对应的用户访问成功。
68.需要说明的是，图3所示的方法与图1所示的方法本质相同，图3中未详述的部分，具体可参照图1的相关描述，本申请对此不再赘述。
69.本申请实施例还提供了一种具体的网元设备访问控制方法示意图，如图4所示：
70.usb key 22经过网元设备20的usb接口21接入到网元设备，网元设备20通过调用usb key22的接口来访问usb key的访问控制列表。当用户以不同访问方式访问网元设备20时，网元设备20的服务守护进程监测到用户的访问请求时，会调用usb key接口函数读取usb key 22里面存储的访问控制列表，同时将用户的访问请求中的五元组信息和访问控制列表进行匹配，如访问控制列表允许该连接访问，则网元设备的各协议服务器会接收此次访问的连接，并提示用户输入usb key22的pin码进行pin码验证，在pin码验证成功后请求用户输入本地或者远程账号信息，进行账号信息的认证。
71.其中，访问方式具体为conlose口访问控制，telnet协议访问控制、ssh协议访问控制、http协议访问控制、ftp协议访问控制、tftp协议访问控制。
72.需要说明的是，访问方式中的conlose口访问方式由于直接运行在网元设备的串口设备上，因此，conlose口访问方式不会经过访问控制列表过滤安全访问阶段，而直接进入到密码认证阶段。
73.以上为本申请实施例提供的一种网元设备访问控制方法，基于同样的发明思路，本申请实施例还提供了相应的网元设备访问控制设备，如图5所示。
74.图5为本申请实施例提供的设备结构示意图，具体包括：
75.至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够：接收用户的访问请求；根据访问请求中的五元组信息，获取与网元设备相连的usb key预先配置的访问控制列表；基于访问控制列表，对五元组信息进行认证；确定认证通过后，获取用户输入的pin码，根据预先获取的usb key的pin码，对用户输入的pin码进行验证；基
于验证结果请求账号信息，并根据账号信息确定对应的用户访问成功。
76.本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
77.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
78.以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。