CN101237443B - 管理协议中对用户进行认证的方法和系统 - Google Patents

Abstract

本发明实施例提供了一种管理协议中对用户进行认证的方法和系统，该方法主要包括：管理站将认证协议消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；被管设备根据接收到的所述用户认证信息，通过所述认证协议或验证服务器对用户进行认证，将携带认证结果的认证协议消息封装于管理协议中并返回给管理站。该系统主要包括：管理站和被管设备；或者，管理站、被管设备和后端验证服务器。利用本发明，从而提供了一种扩展性好的、适用范围比较广泛的管理协议中用户认证的方法和系统。

Description

管理协议中对用户进行认证的方法和系统

技术领域

本发明涉及网络通信领域，尤其涉及一种管理协议中对用户进行认证的方法和系统。

背景技术

SNMP(Simple Network Management Protocol，简单网络管理协议)的网络管理模型由管理站、被管设备、管理信息库和管理协议四部分组成。SNMP的网络管理包含两个基本过程：

1、管理站通过管理协议对被管设备中的管理信息库进行读、写操作；

2、被管设备通过管理协议将其管理信息库中的状态信息反馈给管理站。

管理站在通过管理协议对被管设备进行读写操作时，需要对发起操作的用户进行身份认证和访问控制授权，以确保用户操作的合法性。

现有技术中一种管理协议中对用户进行身份认证的方法为：管理协议SNMPv3自身提供用户认证技术。SNMPv3的USM(User-based SecurityModel，基于用户的安全模型)提供身份认证、报文加密和时戳检查，SNMPv3报文头携带用户名、认证信息等USM所需的参数。发送端用户在发送报文时，通过SNMPv3内置的认证算法计算报文的认证信息，并将获得的认证信息填充到报文头部。接收端用户接收到所述报文后，使用相同的认证算法计算报文的认证信息，并与报文中携带的原始认证信息进行比较，如果比较结果为相同，则说明对上述发送端用户的认证通过。

上述现有技术的方法的缺点为：

1、该方法是一个SNMPv3专用的验证机制，该机制不能很好地同目前已经存在的协议和设施进行互操作，不符合当前的技术发展趋势。

2、该方法采用管理协议内置的认证方式，该认证方式是固定的，可扩展性不好，不能方便地支持新的认证方法。

现有技术中另一种管理协议中对用户进行身份认证的方法为：在Netconf(Network Configuration Protocol，基于XML的网络配置协议)的SSH(Secure Shell，安全外壳)承载中，直接使用了SSH的用户验证方式，SSH协议分为三个部分。Netconf/SSH客户端首先使用SSH传输协议建立SSH传输连接，然后运行SSH用户验证协议，验证Netconf协议的用户，然后客户端启动SSH连接服务，后续的Netconf报文都承载在SSH连接服务中。

上述现有技术的方法的缺点为：该方法借用SSH协议内置的用户验证机制来验证Netconf用户，而SSH用户和Netconf用户可能存在不匹配的情况，比如：当一个SSH连接上承载有多个用户的数据，采用该方法对用户进行验证就很不合适，除非对NETCONF协议做较大修改。因此，该方法的适用范围不广泛。

发明内容

本发明实施例提供一种管理协议中对用户进行认证的方法和系统。从而可以解决现有管理协议中对用户进行认证的方法可扩展性不好、适用范围不广泛的缺点。

本发明实施例是通过以下技术方案实现的：

一种管理协议中对用户进行认证的方法，包括：

管理站将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；

被管设备根据接收到的所述用户认证信息，通过所述认证协议或验证服务器对用户进行认证，将携带认证结果的认证协议应答消息封装于管理协议中并返回给管理站。

一种管理协议中对用户进行认证的系统，包括：

管理站：用于将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；接收被管设备返回的封装于管理协议中的认证协议应答消息；

被管设备：用于根据所述管理站发送的所述用户认证信息，通过所述认证协议对用户进行认证，将认证协议应答消息封装于管理协议中并返回给管理站。

一种管理协议中对用户进行认证的系统，包括：

管理站：用于将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；接收被管设备返回的封装于管理协议中的认证协议应答消息；

被管设备：用于将所述管理站发送过来的用户认证信息封装于认证授权计费AAA协议中，并发送给后端验证服务器；将后端验证服务器返回的认证结果转换为认证协议应答消息，并封装于管理协议中返回给管理站；

后端验证服务器：用于接受所述被管设备发送的用户认证信息，根据该用户认证信息对用户进行认证，向被管设备返回认证结果。

由上述本发明实施例提供的技术方案可以看出，本发明实施例通过将认证协议消息封装到管理协议中，通过认证协议或验证服务器对用户进行认证。由于认证协议可以方便地扩展新的认证方法，从而提供了一种扩展性好的管理协议中用户认证的方法和系统，扩展丰富了管理协议的认证方法。

附图说明

图1为本发明实施例1所述方法的处理流程图；

图2为本发明实施例2所述方法的处理流程图；

图3为本发明实施例1所述系统的结构示意图；

图4为本发明实施例2所述系统的结构示意图。

具体实施方式

本发明实施例提供了一种对用户进行认证的方法和系统。本发明实施例对应的软件可以存储在一个计算机可读取存储介质中。

本发明实施例将认证协议消息封装到管理协议中，并在管理协议中携带对用户进行认证所需要的各种信息，被管设备通过认证协议或后端验证服务器提供的认证方法，对用户进行认证。

上述管理协议指SNMP、Netconf等网络管理协议，上述认证协议包括：EAP等认证协议。

在管理协议中封装EAP(Extensible Authentication Protocol，可扩展认证协议)认证消息的方法与具体的管理协议相关，下面以Netconf和SNMP协议为例加以说明。

管理协议以Netconf协议为例，在Netconf中封装EAP认证消息的具体处理过程为：

首先在Netconf中增加一种新的操作identify，该操作identify用于用户身份认证，其基本格式如下：

<rpc message-id＝″101″

    xmlns＝″urn:ietf:params:xml:ns:netconf:base:1.0″>

<identify>

        <！--parameters...-->

    </identify>

</rpc>

上述操作identify的基本格式中的parameters指该一个或多个参数，这些参数通过XML(Extensible mark-up language，可扩展标记语言)标记来表示，本发明实施例用上述XML标记来封装EAP认证消息，其格式定义如下：

<eap>

    <！--EAP Packet-->//将EAP认证消息封装在XML标记“eap”中

</eap>

在上述操作identify中封装EAP认证消息的消息格式如下：

<rpc message-id＝″101″

    xmlns＝″urn:ietf:params:xml:ns:netcont:base:1.0″>

    <identify>

        <eap>

          <！--EAP Packet-->

        </eap>

        <！-other parameters-->//其他参数，将来扩展用

    </identify>

</rpc>

对上述操作identify的应答消息格式如下：

<rpc-reply message-id＝″101″

    xmlns＝″urn:ietf:params:xml:ns:netconf:base:1.0″>

    <eap>

        <！--EAP Response Packet-->//EAP应答消息

    </eap>

    <！-other parameters-->//其他参数，将来扩展用

</rpc-reply>

对于身份认证通过的用户，在进行后续的管理操作时，需要在管理操作中携带用户身份信息，目前，而Netconf尚没有相关定义。本发明定义一种新的XML标记identity，用于在Netconf操作中携带用户或用户组标记，XML标记identity的格式如下：

<identity>

<！-用户或用户组ID-->//用户或用户组标识

<！-other contents-->//与用户或用户组相关的其他信息

</identity>

在Netconf删除操作中使用上述XML标记identity的示例如下：

<rpc message-id＝″101″

    xmlns＝″urn:ietf:params:xml:ns:netconf:base:1.0″>

  <delete-config>

    <identity>

      <！-用户或用户组ID-->//用户或用户组标识

      <！-other contents-->//与用户或用户组相关的其他信息

      </identity>

    <target>

      <startup/>

    </target>

  </delete-config>

</rpc>

管理协议以SNMP协议为例，在SNMP中封装EAP认证消息的具体处理过程为：

首先在SNMP中增加一种用于用户身份认证的报文类型Identify-PDU，下面以SNMPv3为例说明这种新的报文类型Identify-PDU的格式，该报文类型Identify-PDU的格式如下述表1所示。

表1：

SNMPv3报文头

PDU类型

max-bindings

EAP封装消息

在上述表1所示的格式中，SNMPv3文头的具体格式由SNMPv3协议定义；PDU(Protocol Data Unit，协议数据单元)类型中新增一种类型Identify-PDU；max-bindings在SNMPv3中的原意是指报文中的绑定数量，这里用来指示EAP封装消息的长度，EAP封装消息用来表示具体的EAP认证消息，其具体格式由EAP协议定义。

上述SNMPv3报文头中可以包含用户或用户组标识信息，用于身份认证通过的用户进行后续的管理操作时使用。

在实际应用中，可以使用SNMP现有的某种报文，比如GetRequest-PDU(获取请求报文)来进行用户身份认证，并在变量绑定列表中封装EAP认证消息，即用SNMP协议类型为OCTET STRING(八位字节串)的变量绑定来封装EAP认证消息，由于OCTET STRING变量类型的最大长度是65535，而EAP认证消息的长度可能超过该限制，因此封装时需要一个或多个变量绑定。该方案的优点是沿用SNMP标准中定义的报文格式。

还可以采用AVP(Attribute Value Pairs-属性值对)的方式来将EAP认证消息封装在管理协议中，每个AVP包括类型、长度和数据三个字段，其中类型用于标识后面的数据是EAP认证协议信息，长度字段标识数据字段的长度，数据字段用于封装EAP认证消息，根据EAP认证消息的内容大小，可以将EAP认证消息封装于一个或多个AVP中，然后在管理协议上承载AVP。

以EAP为例，本发明实施例1所述方法的处理流程如图1所示，具体包括如下步骤：

步骤11、管理站向被管设备发送针对某个用户的认证启动请求NM EAP-Start消息，该NM EAP-Start消息被封装到NM(Management Protocol，管理协议)中，在图1所示的处理流程中，管理站和被管设备之间通信时互相传递的EAP认证消息被封装到NM中。

步骤12、被管设备接收到上述NM EAP-Start消息后，向管理站发送获取身份标识请求NM EAP-Request/Identity消息。

步骤13、管理站向被管设备返回携带MyID(用户身份标识)的获取身份标识响应NM EAP-Response/Identity(MyID)消息。

步骤14、被管设备向管理站发送认证质询EAP-Request/OTP ChallengeEAP消息，这里以OTP(一次性密码)认证方式为例，在实际应用中也可以采用EAP支持的其他认证方式。

步骤15、管理站向被管设备返回携带质询口令OTPpw的NM EAP-Response/OTP认证响应消息。

步骤16、被管设备进行用户身份认证。被管设备根据获得的MyI D和OTPpw进行用户身份认证，在认证成功后，被管设备向管理站返回接受访问应答NM EAP-Success EAP认证消息，之后，被认证通过的用户即可执行后续管理操作。当上述认证失败，则执行步骤16’。

步骤16’、被管设备进行用户身份认证失败，被管设备向管理站返回拒绝访问应答NM EAP-Failure EAP认证消息，上述用户将无权执行后续管理操作。

以EAP为例，本发明实施例2所述方法的处理流程如图2所示，包括如下步骤：

步骤21、管理站向被管设备发送认证启动请求NM EAP-Start消息，该NM EAP-Start消息被封装到NM(Management Protocol，管理协议)中，NM指SNMP、NETCONF等网络管理协议。在图2所示的处理流程中，管理站和被管设备之间通信时互相传递的EAP认证消息被封装到NM中。

步骤22、被管设备接收到上述NM EAP-Start消息后，向管理站发送获取身份标识请求NM EAP-Request/ldentity消息。

步骤23、管理站向被管设备返回携带MyID(用户身份标识)的获取身份标识响应NM EAP-Response/Identity(MyID)消息。

步骤24、被管设备将MyID用AAA协议的EAP-Message属性封装，并向后端验证服务器发送携带封装后的MyID的访问请求RADIUS Access-Request/EAP-Message/EAP-Response/(MyID)EAP认证消息。后端验证服务器指Diameter、Radius等AAA(Authentication Authorization andAccounting，认证授权计费协议)服务器。

在图2所示的处理流程中，被管设备和后端验证服务器通信时互相传递的EAP认证消息中携带的信息由AAA协议的EAP-Message属性封装。具体封装方法由AAA协议定义。现有的AAA协议中已经定义了封装EAP认证消息的方法。

步骤25、后端验证服务器接收到上述Access-Request EAP消息后，将认证方式封装在AAA协议的EAP-Message属性中，然后向被管设备发送认证质询RADIUS Access-Challenge/EAP-Message/EAP-Request/OTP ChallengeEAP消息。在图2所示的处理流程中，以OTP认证方式为例，在实际应用中也可以采用EAP或后端验证服务器支持的其他认证方式。

步骤26、被管设备向管理站发送认证质询NM EAP-Request/OTPChallenge  EAP消息，这里仍然以OTP认证方式为例，在实际应用中可以采用EAP或后端验证服务器支持的其他认证方式。

步骤27、管理站向被管设备返回携带质询口令OTPpw的NM EAP-Response/OTP认证响应消息。

步骤28、被管设备将OTPpw封装到AAA协议的EAP-Message属性中，并向后端验证服务器发送携带封装后的OTPpw的RADIUS Access-Request/EAP-Message/EAP-Response/OTP访问请求EAP消息。

步骤29、后端验证服务器接收到上述携带封装后的OTPpw的访问请求EAP认证消息后，根据获得的MyID和OTPpw进行用户身份认证，在认证成功后，向被管设备返回接受访问应答RADIUS Access-Acceot/EAP-Message/EAP-Success EAP消息，被管设备向管理站返回接受访问应答NMEAP-Success EAP认证消息，之后，被认证通过的用户即可执行后续管理操作。当上述认证失败，则执行步骤29’。

步骤29，、后端验证服务器进行用户身份认证失败，后端验证服务器向被管设备返回拒绝访问应答RADIUS Access-Reject/EAP-Message/EAP-FailureEAP消息，被管设备向管理站返回拒绝访问应答NM EAP-Failure EAP消息。上述用户将无权执行后续管理操作。

对应上述实施例1所述的处理流程，本发明实施例1所述系统的结构如图3所示，包括：管理站、被管设备。

管理站：管理站将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户身份标识、认证方式等用户认证信息；接收被管设备返回的封装于管理协议中的认证协议应答消息；

被管设备：根据管理站发送的所述用户认证信息，通过所述认证协议对用户进行认证，将认证协议应答消息封装于管理协议中并返回给管理站。

对应上述实施例2所述的处理流程，本发明实施例2所述系统的结构如图4所示，包括：管理站、被管设备和后端验证服务器。

管理站：将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户身份标识、认证方式等用户认证信息；接收被管设备返回的封装于管理协议中的认证协议应答消息；

被管设备：将管理站发送过来的用户认证信息封装于认证授权计费AAA协议中，并发送给后端验证服务器；将后端验证服务器返回的认证结果转换为认证协议应答消息，并封装于管理协议中返回给管理站；

后端验证服务器：接受被管设备发送的用户认证信息，根据该用户认证信息对用户进行认证，向被管设备返回认证结果。

综上所述，本发明实施例将EAP协议与管理协议结合起来，由于EAP协议可以扩展新的认证方法，从而可以方便地扩展管理协议的认证方法。本发明实施例所述方法和系统可以与AAA系统有机地结合在一起，适用范围比较广泛。本发明实施例提供了一种扩展性好的、使用范围比较广泛的用户认证的方法和系统。扩展丰富了管理协议的认证方法。

以上所述，仅为本发明实施例较佳的具体实施方式，但本发明实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明实施例的保护范围之内。因此，本发明实施例的保护范围应该以权利要求的保护范围为准。

Claims (6)

1.一种管理协议中对用户进行认证的方法，其特征在于，包括：

管理站将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；

被管设备根据接收到的所述用户认证信息，通过所述认证协议或验证服务器对用户进行认证，将携带认证结果的认证协议应答消息封装于管理协议中并返回给管理站；

所述管理协议包括：基于可扩展标记语言XML的网络配置协议Netconf或简单网络管理协议SNMP；所述认证协议包括：可扩展认证协议EAP；

当所述管理协议为基于可扩展标记语言XML的网络配置协议Netconf时，所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：

在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息的XML标记，将EAP认证消息封装于所述封装EAP认证消息的XML标记中，将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类型的操作中；

或者，

当所述管理协议为简单网络管理协议SNMP时，所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：

在SNMP中增加用于用户身份认证的报文类型，将EAP认证消息封装于所述用于用户身份认证的报文类型的报文中；

将EAP认证消息封装于SNMP报文的变量绑定列表中。

2.根据权利要求1所述的管理协议中对用户进行认证的方法，其特征在于，将所述的认证协议请求消息或认证协议应答消息封装于管理协议中还包括：

设置携带用户或用户组标识的XML标记，将用户或用户组标识设置于所述携带用户或用户组标识的XML标记中，将所述携带用户或用户组标识的XML标记设置于Netconf操作中。

3.根据权利要求1所述的管理协议中对用户进行认证的方法，其特征在于，将所述的认证协议请求消息或认证协议应答消息封装于管理协议中还包括：

在所述用于用户身份认证的报文类型的报文的头部设置用户或用户组标识信息。

4.根据权利要求1所述的管理协议中对用户进行认证的方法，其特征在于，将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：使用属性值对AVP的方式将EAP认证消息封装于所述管理协议中。

5.一种管理协议中对用户进行认证的系统，其特征在于，包括：

管理站：用于将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；接收被管设备返回的封装于管理协议中的认证协议应答消息；所述管理协议包括：基于可扩展标记语言XML的网络配置协议Netconf或简单网络管理协议SNMP；所述认证协议包括：可扩展认证协议EAP；

当所述管理协议为基于可扩展标记语言XML的网络配置协议Netconf时，所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：

在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息的XML标记，将EAP认证消息封装于所述封装EAP认证消息的XML标记中，将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类型的操作中；

或者，

当所述管理协议为简单网络管理协议SNMP时，所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：

在SNMP中增加用于用户身份认证的报文类型，将EAP认证消息封装于所述用于用户身份认证的报文类型的报文中；

将EAP认证消息封装于SNMP报文的变量绑定列表中；

被管设备：用于根据所述管理站发送的所述用户认证信息，通过所述认证协议对用户进行认证，将认证协议应答消息封装于管理协议中并返回给管理站。

6.一种管理协议中对用户进行认证的系统，其特征在于，包括：

管理站：用于将认证协议请求消息封装于管理协议中并发送给被管设备，向被管设备发送用户认证信息；接收被管设备返回的封装于管理协议中的认证协议应答消息；所述管理协议包括：基于可扩展标记语言XML的网络配置协议Netconf或简单网络管理协议SNMP；所述认证协议包括：可扩展认证协议EAP；

当所述管理协议为基于可扩展标记语言XML的网络配置协议Netconf时，所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：

在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息的XML标记，将EAP认证消息封装于所述封装EAP认证消息的XML标记中，将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类型的操作中；

或者，

当所述管理协议为简单网络管理协议SNMP时，所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括：

在SNMP中增加用于用户身份认证的报文类型，将EAP认证消息封装于所述用于用户身份认证的报文类型的报文中；

将EAP认证消息封装于SNMP报文的变量绑定列表中；

被管设备：用于将所述管理站发送过来的用户认证信息封装于认证授权计费AAA协议中，并发送给后端验证服务器；将后端验证服务器返回的认证结果转换为认证协议应答消息，并封装于管理协议中返回给管理站；

后端验证服务器：用于接受所述被管设备发送的用户认证信息，根据该用户认证信息对用户进行认证，向被管设备返回认证结果。

Images