CN101237443B - 管理协议中对用户进行认证的方法和系统 - Google Patents
管理协议中对用户进行认证的方法和系统 Download PDFInfo
- Publication number
- CN101237443B CN101237443B CN200710002829.5A CN200710002829A CN101237443B CN 101237443 B CN101237443 B CN 101237443B CN 200710002829 A CN200710002829 A CN 200710002829A CN 101237443 B CN101237443 B CN 101237443B
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- user
- management
- packaged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
本发明实施例提供了一种管理协议中对用户进行认证的方法和系统,该方法主要包括:管理站将认证协议消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;被管设备根据接收到的所述用户认证信息,通过所述认证协议或验证服务器对用户进行认证,将携带认证结果的认证协议消息封装于管理协议中并返回给管理站。该系统主要包括:管理站和被管设备;或者,管理站、被管设备和后端验证服务器。利用本发明,从而提供了一种扩展性好的、适用范围比较广泛的管理协议中用户认证的方法和系统。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种管理协议中对用户进行认证的方法和系统。
背景技术
SNMP(Simple Network Management Protocol,简单网络管理协议)的网络管理模型由管理站、被管设备、管理信息库和管理协议四部分组成。SNMP的网络管理包含两个基本过程:
1、管理站通过管理协议对被管设备中的管理信息库进行读、写操作;
2、被管设备通过管理协议将其管理信息库中的状态信息反馈给管理站。
管理站在通过管理协议对被管设备进行读写操作时,需要对发起操作的用户进行身份认证和访问控制授权,以确保用户操作的合法性。
现有技术中一种管理协议中对用户进行身份认证的方法为:管理协议SNMPv3自身提供用户认证技术。SNMPv3的USM(User-based SecurityModel,基于用户的安全模型)提供身份认证、报文加密和时戳检查,SNMPv3报文头携带用户名、认证信息等USM所需的参数。发送端用户在发送报文时,通过SNMPv3内置的认证算法计算报文的认证信息,并将获得的认证信息填充到报文头部。接收端用户接收到所述报文后,使用相同的认证算法计算报文的认证信息,并与报文中携带的原始认证信息进行比较,如果比较结果为相同,则说明对上述发送端用户的认证通过。
上述现有技术的方法的缺点为:
1、该方法是一个SNMPv3专用的验证机制,该机制不能很好地同目前已经存在的协议和设施进行互操作,不符合当前的技术发展趋势。
2、该方法采用管理协议内置的认证方式,该认证方式是固定的,可扩展性不好,不能方便地支持新的认证方法。
现有技术中另一种管理协议中对用户进行身份认证的方法为:在Netconf(Network Configuration Protocol,基于XML的网络配置协议)的SSH(Secure Shell,安全外壳)承载中,直接使用了SSH的用户验证方式,SSH协议分为三个部分。Netconf/SSH客户端首先使用SSH传输协议建立SSH传输连接,然后运行SSH用户验证协议,验证Netconf协议的用户,然后客户端启动SSH连接服务,后续的Netconf报文都承载在SSH连接服务中。
上述现有技术的方法的缺点为:该方法借用SSH协议内置的用户验证机制来验证Netconf用户,而SSH用户和Netconf用户可能存在不匹配的情况,比如:当一个SSH连接上承载有多个用户的数据,采用该方法对用户进行验证就很不合适,除非对NETCONF协议做较大修改。因此,该方法的适用范围不广泛。
发明内容
本发明实施例提供一种管理协议中对用户进行认证的方法和系统。从而可以解决现有管理协议中对用户进行认证的方法可扩展性不好、适用范围不广泛的缺点。
本发明实施例是通过以下技术方案实现的:
一种管理协议中对用户进行认证的方法,包括:
管理站将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;
被管设备根据接收到的所述用户认证信息,通过所述认证协议或验证服务器对用户进行认证,将携带认证结果的认证协议应答消息封装于管理协议中并返回给管理站。
一种管理协议中对用户进行认证的系统,包括:
管理站:用于将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中的认证协议应答消息;
被管设备:用于根据所述管理站发送的所述用户认证信息,通过所述认证协议对用户进行认证,将认证协议应答消息封装于管理协议中并返回给管理站。
一种管理协议中对用户进行认证的系统,包括:
管理站:用于将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中的认证协议应答消息;
被管设备:用于将所述管理站发送过来的用户认证信息封装于认证授权计费AAA协议中,并发送给后端验证服务器;将后端验证服务器返回的认证结果转换为认证协议应答消息,并封装于管理协议中返回给管理站;
后端验证服务器:用于接受所述被管设备发送的用户认证信息,根据该用户认证信息对用户进行认证,向被管设备返回认证结果。
由上述本发明实施例提供的技术方案可以看出,本发明实施例通过将认证协议消息封装到管理协议中,通过认证协议或验证服务器对用户进行认证。由于认证协议可以方便地扩展新的认证方法,从而提供了一种扩展性好的管理协议中用户认证的方法和系统,扩展丰富了管理协议的认证方法。
附图说明
图1为本发明实施例1所述方法的处理流程图;
图2为本发明实施例2所述方法的处理流程图;
图3为本发明实施例1所述系统的结构示意图;
图4为本发明实施例2所述系统的结构示意图。
具体实施方式
本发明实施例提供了一种对用户进行认证的方法和系统。本发明实施例对应的软件可以存储在一个计算机可读取存储介质中。
本发明实施例将认证协议消息封装到管理协议中,并在管理协议中携带对用户进行认证所需要的各种信息,被管设备通过认证协议或后端验证服务器提供的认证方法,对用户进行认证。
上述管理协议指SNMP、Netconf等网络管理协议,上述认证协议包括:EAP等认证协议。
在管理协议中封装EAP(Extensible Authentication Protocol,可扩展认证协议)认证消息的方法与具体的管理协议相关,下面以Netconf和SNMP协议为例加以说明。
管理协议以Netconf协议为例,在Netconf中封装EAP认证消息的具体处理过程为:
首先在Netconf中增加一种新的操作identify,该操作identify用于用户身份认证,其基本格式如下:
<rpc message-id=″101″
xmlns=″urn:ietf:params:xml:ns:netconf:base:1.0″>
<identify>
<!--parameters...-->
</identify>
</rpc>
上述操作identify的基本格式中的parameters指该一个或多个参数,这些参数通过XML(Extensible mark-up language,可扩展标记语言)标记来表示,本发明实施例用上述XML标记来封装EAP认证消息,其格式定义如下:
<eap>
<!--EAP Packet-->//将EAP认证消息封装在XML标记“eap”中
</eap>
在上述操作identify中封装EAP认证消息的消息格式如下:
<rpc message-id=″101″
xmlns=″urn:ietf:params:xml:ns:netcont:base:1.0″>
<identify>
<eap>
<!--EAP Packet-->
</eap>
<!-other parameters-->//其他参数,将来扩展用
</identify>
</rpc>
对上述操作identify的应答消息格式如下:
<rpc-reply message-id=″101″
xmlns=″urn:ietf:params:xml:ns:netconf:base:1.0″>
<eap>
<!--EAP Response Packet-->//EAP应答消息
</eap>
<!-other parameters-->//其他参数,将来扩展用
</rpc-reply>
对于身份认证通过的用户,在进行后续的管理操作时,需要在管理操作中携带用户身份信息,目前,而Netconf尚没有相关定义。本发明定义一种新的XML标记identity,用于在Netconf操作中携带用户或用户组标记,XML标记identity的格式如下:
<identity>
<!-用户或用户组ID-->//用户或用户组标识
<!-other contents-->//与用户或用户组相关的其他信息
</identity>
在Netconf删除操作中使用上述XML标记identity的示例如下:
<rpc message-id=″101″
xmlns=″urn:ietf:params:xml:ns:netconf:base:1.0″>
<delete-config>
<identity>
<!-用户或用户组ID-->//用户或用户组标识
<!-other contents-->//与用户或用户组相关的其他信息
</identity>
<target>
<startup/>
</target>
</delete-config>
</rpc>
管理协议以SNMP协议为例,在SNMP中封装EAP认证消息的具体处理过程为:
首先在SNMP中增加一种用于用户身份认证的报文类型Identify-PDU,下面以SNMPv3为例说明这种新的报文类型Identify-PDU的格式,该报文类型Identify-PDU的格式如下述表1所示。
表1:
SNMPv3报文头 | PDU类型 | max-bindings | EAP封装消息 |
在上述表1所示的格式中,SNMPv3文头的具体格式由SNMPv3协议定义;PDU(Protocol Data Unit,协议数据单元)类型中新增一种类型Identify-PDU;max-bindings在SNMPv3中的原意是指报文中的绑定数量,这里用来指示EAP封装消息的长度,EAP封装消息用来表示具体的EAP认证消息,其具体格式由EAP协议定义。
上述SNMPv3报文头中可以包含用户或用户组标识信息,用于身份认证通过的用户进行后续的管理操作时使用。
在实际应用中,可以使用SNMP现有的某种报文,比如GetRequest-PDU(获取请求报文)来进行用户身份认证,并在变量绑定列表中封装EAP认证消息,即用SNMP协议类型为OCTET STRING(八位字节串)的变量绑定来封装EAP认证消息,由于OCTET STRING变量类型的最大长度是65535,而EAP认证消息的长度可能超过该限制,因此封装时需要一个或多个变量绑定。该方案的优点是沿用SNMP标准中定义的报文格式。
还可以采用AVP(Attribute Value Pairs-属性值对)的方式来将EAP认证消息封装在管理协议中,每个AVP包括类型、长度和数据三个字段,其中类型用于标识后面的数据是EAP认证协议信息,长度字段标识数据字段的长度,数据字段用于封装EAP认证消息,根据EAP认证消息的内容大小,可以将EAP认证消息封装于一个或多个AVP中,然后在管理协议上承载AVP。
以EAP为例,本发明实施例1所述方法的处理流程如图1所示,具体包括如下步骤:
步骤11、管理站向被管设备发送针对某个用户的认证启动请求NM EAP-Start消息,该NM EAP-Start消息被封装到NM(Management Protocol,管理协议)中,在图1所示的处理流程中,管理站和被管设备之间通信时互相传递的EAP认证消息被封装到NM中。
步骤12、被管设备接收到上述NM EAP-Start消息后,向管理站发送获取身份标识请求NM EAP-Request/Identity消息。
步骤13、管理站向被管设备返回携带MyID(用户身份标识)的获取身份标识响应NM EAP-Response/Identity(MyID)消息。
步骤14、被管设备向管理站发送认证质询EAP-Request/OTP ChallengeEAP消息,这里以OTP(一次性密码)认证方式为例,在实际应用中也可以采用EAP支持的其他认证方式。
步骤15、管理站向被管设备返回携带质询口令OTPpw的NM EAP-Response/OTP认证响应消息。
步骤16、被管设备进行用户身份认证。被管设备根据获得的MyI D和OTPpw进行用户身份认证,在认证成功后,被管设备向管理站返回接受访问应答NM EAP-Success EAP认证消息,之后,被认证通过的用户即可执行后续管理操作。当上述认证失败,则执行步骤16’。
步骤16’、被管设备进行用户身份认证失败,被管设备向管理站返回拒绝访问应答NM EAP-Failure EAP认证消息,上述用户将无权执行后续管理操作。
以EAP为例,本发明实施例2所述方法的处理流程如图2所示,包括如下步骤:
步骤21、管理站向被管设备发送认证启动请求NM EAP-Start消息,该NM EAP-Start消息被封装到NM(Management Protocol,管理协议)中,NM指SNMP、NETCONF等网络管理协议。在图2所示的处理流程中,管理站和被管设备之间通信时互相传递的EAP认证消息被封装到NM中。
步骤22、被管设备接收到上述NM EAP-Start消息后,向管理站发送获取身份标识请求NM EAP-Request/ldentity消息。
步骤23、管理站向被管设备返回携带MyID(用户身份标识)的获取身份标识响应NM EAP-Response/Identity(MyID)消息。
步骤24、被管设备将MyID用AAA协议的EAP-Message属性封装,并向后端验证服务器发送携带封装后的MyID的访问请求RADIUS Access-Request/EAP-Message/EAP-Response/(MyID)EAP认证消息。后端验证服务器指Diameter、Radius等AAA(Authentication Authorization andAccounting,认证授权计费协议)服务器。
在图2所示的处理流程中,被管设备和后端验证服务器通信时互相传递的EAP认证消息中携带的信息由AAA协议的EAP-Message属性封装。具体封装方法由AAA协议定义。现有的AAA协议中已经定义了封装EAP认证消息的方法。
步骤25、后端验证服务器接收到上述Access-Request EAP消息后,将认证方式封装在AAA协议的EAP-Message属性中,然后向被管设备发送认证质询RADIUS Access-Challenge/EAP-Message/EAP-Request/OTP ChallengeEAP消息。在图2所示的处理流程中,以OTP认证方式为例,在实际应用中也可以采用EAP或后端验证服务器支持的其他认证方式。
步骤26、被管设备向管理站发送认证质询NM EAP-Request/OTPChallenge EAP消息,这里仍然以OTP认证方式为例,在实际应用中可以采用EAP或后端验证服务器支持的其他认证方式。
步骤27、管理站向被管设备返回携带质询口令OTPpw的NM EAP-Response/OTP认证响应消息。
步骤28、被管设备将OTPpw封装到AAA协议的EAP-Message属性中,并向后端验证服务器发送携带封装后的OTPpw的RADIUS Access-Request/EAP-Message/EAP-Response/OTP访问请求EAP消息。
步骤29、后端验证服务器接收到上述携带封装后的OTPpw的访问请求EAP认证消息后,根据获得的MyID和OTPpw进行用户身份认证,在认证成功后,向被管设备返回接受访问应答RADIUS Access-Acceot/EAP-Message/EAP-Success EAP消息,被管设备向管理站返回接受访问应答NMEAP-Success EAP认证消息,之后,被认证通过的用户即可执行后续管理操作。当上述认证失败,则执行步骤29’。
步骤29,、后端验证服务器进行用户身份认证失败,后端验证服务器向被管设备返回拒绝访问应答RADIUS Access-Reject/EAP-Message/EAP-FailureEAP消息,被管设备向管理站返回拒绝访问应答NM EAP-Failure EAP消息。上述用户将无权执行后续管理操作。
对应上述实施例1所述的处理流程,本发明实施例1所述系统的结构如图3所示,包括:管理站、被管设备。
管理站:管理站将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户身份标识、认证方式等用户认证信息;接收被管设备返回的封装于管理协议中的认证协议应答消息;
被管设备:根据管理站发送的所述用户认证信息,通过所述认证协议对用户进行认证,将认证协议应答消息封装于管理协议中并返回给管理站。
对应上述实施例2所述的处理流程,本发明实施例2所述系统的结构如图4所示,包括:管理站、被管设备和后端验证服务器。
管理站:将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户身份标识、认证方式等用户认证信息;接收被管设备返回的封装于管理协议中的认证协议应答消息;
被管设备:将管理站发送过来的用户认证信息封装于认证授权计费AAA协议中,并发送给后端验证服务器;将后端验证服务器返回的认证结果转换为认证协议应答消息,并封装于管理协议中返回给管理站;
后端验证服务器:接受被管设备发送的用户认证信息,根据该用户认证信息对用户进行认证,向被管设备返回认证结果。
综上所述,本发明实施例将EAP协议与管理协议结合起来,由于EAP协议可以扩展新的认证方法,从而可以方便地扩展管理协议的认证方法。本发明实施例所述方法和系统可以与AAA系统有机地结合在一起,适用范围比较广泛。本发明实施例提供了一种扩展性好的、使用范围比较广泛的用户认证的方法和系统。扩展丰富了管理协议的认证方法。
以上所述,仅为本发明实施例较佳的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明实施例的保护范围之内。因此,本发明实施例的保护范围应该以权利要求的保护范围为准。
Claims (6)
1.一种管理协议中对用户进行认证的方法,其特征在于,包括:
管理站将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;
被管设备根据接收到的所述用户认证信息,通过所述认证协议或验证服务器对用户进行认证,将携带认证结果的认证协议应答消息封装于管理协议中并返回给管理站;
所述管理协议包括:基于可扩展标记语言XML的网络配置协议Netconf或简单网络管理协议SNMP;所述认证协议包括:可扩展认证协议EAP;
当所述管理协议为基于可扩展标记语言XML的网络配置协议Netconf时,所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:
在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息的XML标记,将EAP认证消息封装于所述封装EAP认证消息的XML标记中,将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类型的操作中;
或者,
当所述管理协议为简单网络管理协议SNMP时,所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:
在SNMP中增加用于用户身份认证的报文类型,将EAP认证消息封装于所述用于用户身份认证的报文类型的报文中;
将EAP认证消息封装于SNMP报文的变量绑定列表中。
2.根据权利要求1所述的管理协议中对用户进行认证的方法,其特征在于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中还包括:
设置携带用户或用户组标识的XML标记,将用户或用户组标识设置于所述携带用户或用户组标识的XML标记中,将所述携带用户或用户组标识的XML标记设置于Netconf操作中。
3.根据权利要求1所述的管理协议中对用户进行认证的方法,其特征在于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中还包括:
在所述用于用户身份认证的报文类型的报文的头部设置用户或用户组标识信息。
4.根据权利要求1所述的管理协议中对用户进行认证的方法,其特征在于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:使用属性值对AVP的方式将EAP认证消息封装于所述管理协议中。
5.一种管理协议中对用户进行认证的系统,其特征在于,包括:
管理站:用于将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中的认证协议应答消息;所述管理协议包括:基于可扩展标记语言XML的网络配置协议Netconf或简单网络管理协议SNMP;所述认证协议包括:可扩展认证协议EAP;
当所述管理协议为基于可扩展标记语言XML的网络配置协议Netconf时,所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:
在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息的XML标记,将EAP认证消息封装于所述封装EAP认证消息的XML标记中,将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类型的操作中;
或者,
当所述管理协议为简单网络管理协议SNMP时,所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:
在SNMP中增加用于用户身份认证的报文类型,将EAP认证消息封装于所述用于用户身份认证的报文类型的报文中;
将EAP认证消息封装于SNMP报文的变量绑定列表中;
被管设备:用于根据所述管理站发送的所述用户认证信息,通过所述认证协议对用户进行认证,将认证协议应答消息封装于管理协议中并返回给管理站。
6.一种管理协议中对用户进行认证的系统,其特征在于,包括:
管理站:用于将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中的认证协议应答消息;所述管理协议包括:基于可扩展标记语言XML的网络配置协议Netconf或简单网络管理协议SNMP;所述认证协议包括:可扩展认证协议EAP;
当所述管理协议为基于可扩展标记语言XML的网络配置协议Netconf时,所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:
在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息的XML标记,将EAP认证消息封装于所述封装EAP认证消息的XML标记中,将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类型的操作中;
或者,
当所述管理协议为简单网络管理协议SNMP时,所述将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体包括:
在SNMP中增加用于用户身份认证的报文类型,将EAP认证消息封装于所述用于用户身份认证的报文类型的报文中;
将EAP认证消息封装于SNMP报文的变量绑定列表中;
被管设备:用于将所述管理站发送过来的用户认证信息封装于认证授权计费AAA协议中,并发送给后端验证服务器;将后端验证服务器返回的认证结果转换为认证协议应答消息,并封装于管理协议中返回给管理站;
后端验证服务器:用于接受所述被管设备发送的用户认证信息,根据该用户认证信息对用户进行认证,向被管设备返回认证结果。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710002829.5A CN101237443B (zh) | 2007-02-01 | 2007-02-01 | 管理协议中对用户进行认证的方法和系统 |
EP08706605.6A EP2106089B1 (en) | 2007-02-01 | 2008-01-31 | A method and system for authenticating users |
PCT/CN2008/070228 WO2008095444A1 (fr) | 2007-02-01 | 2008-01-31 | Procédé et système d'authentification d'utilisateur |
US12/511,807 US8276194B2 (en) | 2007-02-01 | 2009-07-29 | Methods and systems for user authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710002829.5A CN101237443B (zh) | 2007-02-01 | 2007-02-01 | 管理协议中对用户进行认证的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101237443A CN101237443A (zh) | 2008-08-06 |
CN101237443B true CN101237443B (zh) | 2012-08-22 |
Family
ID=39681285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710002829.5A Active CN101237443B (zh) | 2007-02-01 | 2007-02-01 | 管理协议中对用户进行认证的方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8276194B2 (zh) |
EP (1) | EP2106089B1 (zh) |
CN (1) | CN101237443B (zh) |
WO (1) | WO2008095444A1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8584214B2 (en) * | 2008-09-18 | 2013-11-12 | Motorola Mobility Llc | Secure server certificate trust list update for client devices |
CN102223291A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 实现设备访问方法和设备及通信系统 |
CN102148698A (zh) * | 2010-12-29 | 2011-08-10 | 华为技术有限公司 | 基于网络配置协议的网络配置管理方法、设备和系统 |
CN104243198B (zh) * | 2013-06-21 | 2019-07-26 | 中兴通讯股份有限公司 | 一种基于网络配置协议的网络管理方法和系统 |
JP6228421B2 (ja) * | 2013-10-11 | 2017-11-08 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
CN105812337A (zh) * | 2014-12-31 | 2016-07-27 | 中兴通讯股份有限公司 | 一种Radius和Diameter相结合认证授权的方法及装置 |
US10223549B2 (en) * | 2015-01-21 | 2019-03-05 | Onion ID Inc. | Techniques for facilitating secure, credential-free user access to resources |
US10701060B2 (en) * | 2016-05-20 | 2020-06-30 | Avaya Inc. | Public key infrastructure exchange using netconf for Openflow enabled switches |
US10275261B1 (en) * | 2016-11-29 | 2019-04-30 | Cavium, Llc | Methods and systems for message logging and retrieval in computer systems |
CN109428714B (zh) * | 2017-09-01 | 2022-07-08 | 迈普通信技术股份有限公司 | SNMPv3协议中密钥的生成方法 |
US20200389458A1 (en) * | 2017-12-04 | 2020-12-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Network Management Device and Centralized Authorization Server for NETCONF |
CN112119652A (zh) * | 2018-05-18 | 2020-12-22 | 康维达无线有限责任公司 | IoT设备的身份层 |
CN111355601B (zh) * | 2018-12-21 | 2022-05-10 | 华为技术有限公司 | 信息传输方法和装置 |
CN111511041B (zh) * | 2019-01-31 | 2022-03-29 | 大唐移动通信设备有限公司 | 一种远程连接方法及装置 |
CN112105021B (zh) * | 2019-06-17 | 2022-05-10 | 华为技术有限公司 | 一种认证方法、装置及系统 |
CN111240867B (zh) * | 2020-01-21 | 2023-11-03 | 中移(杭州)信息技术有限公司 | 一种信息通讯系统及方法 |
EP3907956A1 (en) * | 2020-05-05 | 2021-11-10 | Deutsche Telekom AG | Method for an improved authentication, authorization and accounting functionality within an access network of a telecommunications network and/or an improved access network architecture, telecommunications network, access orchestrator entity, program and computer program product |
CN113454969B (zh) * | 2020-12-31 | 2023-09-19 | 商汤国际私人有限公司 | 信息交互方法和装置、设备、系统及存储介质 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6219790B1 (en) * | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
US7047292B1 (en) * | 1999-05-24 | 2006-05-16 | Cisco Technology, Inc. | Prioritizing network management traffic |
EP1514394B1 (en) * | 2002-06-20 | 2007-08-15 | Nokia Corporation | Method, system and devices for transferring accounting information |
KR100453826B1 (ko) * | 2002-12-18 | 2004-10-20 | 주식회사 케이티 | EAP를 이용한 이동 ad hoc 망에서의 사용자 노드인증방법 |
CN100456689C (zh) | 2003-08-06 | 2009-01-28 | 华为技术有限公司 | 一种网络管理安全认证的方法 |
CN1716953B (zh) * | 2004-06-28 | 2010-09-15 | 华为技术有限公司 | 会话初始协议认证的方法 |
KR100645512B1 (ko) * | 2004-09-30 | 2006-11-15 | 삼성전자주식회사 | 통신 시스템에서 네트워크 접속에 대한 사용자 인증 장치및 그 방법 |
CN1889562A (zh) * | 2005-06-28 | 2007-01-03 | 华为技术有限公司 | 对接收初始会话协议请求消息的设备进行认证的方法 |
US8583923B2 (en) * | 2006-12-08 | 2013-11-12 | Toshiba America Research, Inc. | EAP method for EAP extension (EAP-EXT) |
CN101110822B (zh) * | 2007-07-06 | 2011-11-02 | 华为技术有限公司 | 基于网络配置协议的事件通知发送方法、系统及设备 |
US20090154374A1 (en) * | 2007-12-13 | 2009-06-18 | Elektrobit Wireless Communications Oy | Communication of configuration management notifications in a packet-switched network |
-
2007
- 2007-02-01 CN CN200710002829.5A patent/CN101237443B/zh active Active
-
2008
- 2008-01-31 EP EP08706605.6A patent/EP2106089B1/en active Active
- 2008-01-31 WO PCT/CN2008/070228 patent/WO2008095444A1/zh active Application Filing
-
2009
- 2009-07-29 US US12/511,807 patent/US8276194B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN101237443A (zh) | 2008-08-06 |
EP2106089A4 (en) | 2013-07-17 |
EP2106089B1 (en) | 2017-05-10 |
EP2106089A1 (en) | 2009-09-30 |
WO2008095444A1 (fr) | 2008-08-14 |
US8276194B2 (en) | 2012-09-25 |
US20090300743A1 (en) | 2009-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101237443B (zh) | 管理协议中对用户进行认证的方法和系统 | |
CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
US8607045B2 (en) | Tokencode exchanges for peripheral authentication | |
CN106657130A (zh) | 一种基于mqtt的访问认证的方法及设备 | |
CN101414907B (zh) | 一种基于用户身份授权访问网络的方法和系统 | |
CN102271133B (zh) | 认证方法、装置和系统 | |
DE60221907T2 (de) | Verfahren, system und einrichtungen zum transferieren von abrechnungsinformationen | |
CN101645775A (zh) | 基于空中下载的动态口令身份认证系统 | |
CN101667928B (zh) | 客户端以及用于信令跟踪的服务器、装置和方法 | |
KR20130026423A (ko) | 리더에 의해 rfid 태그를 식별 및 인증하기 위한 방법 | |
CN103746969A (zh) | 车载终端认证的方法及认证服务器 | |
WO2011147183A1 (zh) | 一种rfid系统、读写器及数据传输方法 | |
CN101202737B (zh) | 一种实现第三方邮件账户管理的方法及系统 | |
CN106878280B (zh) | 用户认证的方法和装置、获取用户号码信息的方法和装置 | |
CN107749854A (zh) | 基于客户端的单点登录方法及系统 | |
CN101453460A (zh) | 一种访问控制方法及通讯系统以及相关设备 | |
WO2021143028A1 (zh) | 物联网设备认证方法、电子装置及存储介质 | |
CN101388796B (zh) | 信息发送处理方法、通信设备与通信系统 | |
CN114301912A (zh) | 基于区块链的信息交互方法和装置 | |
CN105025000B (zh) | 一种面向虚拟桌面的数据访问内审方法及信息安全装置 | |
CN102480475A (zh) | Web服务安全访问控制方法、装置及系统 | |
CN101312395B (zh) | 一种应用业务的安全鉴权和换卡处理方法及系统 | |
TWI434529B (zh) | 提供近場通訊裝置安全連線的系統及其方法 | |
CN101369885A (zh) | 一种证书文件安全传递的方法及其系统 | |
CN101656661A (zh) | 实现可信信息传递的方法、系统和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |