CN104717176A - 一种权限控制方法、系统及服务器 - Google Patents

一种权限控制方法、系统及服务器 Download PDF

Info

Publication number
CN104717176A
CN104717176A CN201310676061.5A CN201310676061A CN104717176A CN 104717176 A CN104717176 A CN 104717176A CN 201310676061 A CN201310676061 A CN 201310676061A CN 104717176 A CN104717176 A CN 104717176A
Authority
CN
China
Prior art keywords
information
destination object
targeted customer
server
rank
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310676061.5A
Other languages
English (en)
Other versions
CN104717176B (zh
Inventor
孙斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310676061.5A priority Critical patent/CN104717176B/zh
Publication of CN104717176A publication Critical patent/CN104717176A/zh
Application granted granted Critical
Publication of CN104717176B publication Critical patent/CN104717176B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种权限控制方法,包括:服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。本发明还公开了一种服务器及一种权限控制系统。

Description

一种权限控制方法、系统及服务器
技术领域
本发明涉及通信技术领域,尤其涉及一种权限控制方法、系统及服务器。
背景技术
简单网络管理协议(simple network management protocol,简称SNMP)是目前传输控制协议/网际协议(transmission control protocol/internetprotocol,简称TCP/IP)网络中应用最为广泛的网络管理协议,其主要用于对网络中支持SNMP协议的网络设备进行管理,通过网络,管理员可以管理位于不同物理空间的设备,从而大大提高网络管理的效率。
对于SNMP网络架构,有一个为管理员提供的管理平台,又称管理站(network management station,简称NMS),在每个被监管的网络设备上运行了一个SNMP代理,所述管理站与所述SNMP代理间通过SNMP报文进行通信。网络设备中一个被管理资源表示成一个对象,称为被管理对象,管理信息库(management information base,简称MIB)是被管理对象的集合,每个网络设备上的SNMP代理都有保存各自的MIB,MIB也可以看作是管理站和SNMP代理之间的一个接口,通过这个接口,管理站可以对SNMP代理中的每个被管理对象进行读/写操作,从而达到管理和监控网络设备的目的。
随着SNMP的迅猛发展,先后发布了SNMPv1、SNMPv2和SNMPv3三个版本。SNMPv3可以将用户组与MIB视图(MIB视图是MIB的子集合)进行绑定,以便不同的用户组可以访问与其绑定的MIB视图,从而实现控制用户管理权限的目的。但是,目前非法用户成功登陆一个网络设备的服务器,便具有了访问某MIB视图的权限,该非法用户可通过下发SNMP信息对MIB视图中的每个被管理对象进行读/写操作,以达到恶意篡改或获取重要信息的目的。这种仅仅将用户组与MIB视图进行绑定来实现权限管理的方式,会使MIB视图中所有被管理对象特别是一些重要的被管理对象存在较大的安全风险。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种权限控制方法、系统及服务器,以实现进一步降低网络设备中被管理对象的安全风险的目的。
为了解决以上技术问题,本发明采取的技术方案是:
第一方面,本发明提供了一种权限控制方法,包括:
服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。
在第一方面的第一种可能的实现方式中,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:
获取为所述目标对象预设的节点级别信息;
若所述节点级别信息中包含访问权限级别,则获取与所述目标对象对应的为所述目标用户预设的用户权限级别;
若所述用户权限级别大于或等于所述目标对象的访问权限级别,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
结合第一方面或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:
获取为所述目标对象预设的节点级别信息;
若所述节点级别信息中包含预设值,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
结合第一方面的第一种可能的实现方式,在第三种可能的实现方式中,在所述接收客户端发送的SNMP信息之前,还包括:
服务器接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;
当认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;
所述获取与所述目标对象对应的为所述目标用户预设的用户权限级别,具体包括:
从所述用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
第二方面,本发明提供了一种服务器,包括:
信息接收模块,用于接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
对象处理模块,用于当确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。
在第二方面的第一种可能的实现方式中,所述对象处理模块,具体包括:
第一信息获取单元,用于获取为所述目标对象预设的节点级别信息;
权限级别获取单元,用于当所述第一信息获取单元获取的节点级别信息中包含访问权限级别时,获取与所述目标对象对应的为所述目标用户预设的用户权限级别;
第一对象处理单元,用于当所述权限级别获取单元获取的用户权限级别大于或等于所述目标对象的访问权限级别时,根据所述操作内容处理所述目标对象。
结合第二方面或者第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述对象处理模块,具体包括:
第二信息获取单元,用于获取为所述目标对象预设的节点级别信息;
第二对象处理单元,用于当所述第二信息获取单元获取的节点级别信息中包含预设值时,根据所述操作内容处理所述目标对象。
结合第二方面的第一种可能的实现方式,在第三种可能的实现方式中,所述服务器还包括:
身份认证模块,用于在所述信息接收模块接收客户端发送的SNMP信息之前,接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;
权限信息获取模块,用于当所述身份认证模块对所述目标用户的身份认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;
所述权限级别获取单元,具体用于从所述权限信息获取模块获取的用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
第三方面,本发明提供了一种权限控制系统,包括:客户端和上述第二方面所述的服务器;
所述客户端,用于向所述服务器发送简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象为所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
所述服务器,用于在确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。
本发明实施例提供的权限控制方法、系统及服务器,当服务器接收到客户端发送的SNMP信息时,其中,所述SNMP信息包括目标用户对目标对象进行操作的操作内容,服务器会验证目标用户对目标对象的操作权限,只有在所述目标用户的权限满足对所述目标对象进行管理操作的预设操作权限时,服务器才会进一步根据所述操作内容处理所述目标对象,即对所述目标对象进行读/写操作。可见,本发明实施例在现有的通过绑定用户组与MIB视图的方式实现访问权限控制的基础上,进一步对MIB视图中的每个被管理对象进行权限限制,从而进一步降低了每个被管理对象的安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的SNMP网络架构示意图;
图2为本发明实施例提供的一种权限控制方法的流程示意图;
图3为本发明实施例提供的另一种权限控制方法的流程示意图;
图4为本发明实施例提供的MIB树示意图;
图5为本发明实施例提供的服务器结构框图;
图6为本发明实施例提供的权限控制系统结构框图;
图7为本发明实施例提供的服务器结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的权限控制方法、系统及服务器,适用于图1所示的由管理站(Network Management Station,简称NMS)、SNMP代理和管理信息库(Management Information Base,简称MIB)组成的SNMP网络架构。
NMS是利用SNMP协议对网络设备进行管理和监视的系统。NMS既可以指一台专门用来进行网络管理的设备,也可以指设备中执行网络管理功能的应用程序。NMS和网络设备之间通过SNMP通信,网络管理员登录NMS,可以使用SNMP功能查询网络设备信息、修改网络设备的参数值、监控网络设备状态、自动发现网络故障、生成报告等。
SNMP代理是网络设备中的一个应用模块,用于维护网络设备的信息数据并响应NMS的请求,SNMP代理接收到NMS的请求后,完成对MIB中被管理对象的查询或修改等操作,并把操作结果返回给NMS。此外,当网络设备发生故障或者其他事件时,SNMP代理会主动发送信息给NMS,用以通知网络设备当前的状态变化。
MIB是网络设备上被管理对象的集合,网络设备中任何一个被管理的资源都是一个被管理对象,通过MIB,NMS可以对SNMP代理中的每一个被管理对象进行读/写操作,从而达到管理和监控网络设备的目的。
其中,NMS侧有客户端,SNMP代理是用于与所述客户端进行通信的服务器,利用所述客户端与所述服务器实现NMS与网络设备之间的信息交互。
基于上述网络架构,本发明对MIB视图中每个被管理对象进行访问权限控制,以进一步提高信息安全性。下面具体介绍本发明的各个实施例。
参见图2,图2为本发明实施例提供的权限控制方法的流程示意图,具体包括:
步骤201:服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定。
在步骤201中,所述服务器(即SNMP agent)是网络设备上的服务器,所述客户端在NMS上,二者之间利用SNMP协议进行通信,所述SNMP信息中可以包括目标用户信息、目标对象的名字及对目标对象的操作内容(读/写操作),还可以包括目标对象的类型等。当目标用户通过客户端管理MIB中的目标对象时,可以以网页形式去管理目标对象,网页中承载的是可扩展标记语言(extensible markup language,简称XML)信息,客户端可以向服务器发送所述XML信息,XML信息承载的是基于XML格式保存的SNMP信息,当服务器接收客户端发送的承载SNMP信息的XML信息后,通过解析所述XML信息以获取所述SNMP信息。
网络设备中的每个被管理资源是一个被管理对象,MIB就是这些被管理对象的集合,而每个用户只能对与其绑定的MIB视图中的被管理对象进行管理。当用户对某个被管理对象进行管理时,对该被管理对象进行管理操作的方式可以包括以下三种:获取(get)操作、获取下一个(GetNext)操作和设置(Set)操作。基于此,用户可利用NMS侧的客户端向服务器发送SNMP信息,以利用所述SNMP信息向服务器请求对被管理对象的管理(读/写操作),具体表现为以下形式:使用get操作获取被管理对象的参数值,使用GetNext操作获取被管理对象参数的下一个参数值,使用Set操作设置被管理对象的参数值。
步骤202:若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。
在本实施例中,网络设备侧会预先为MIB中每个被管理对象设置一个操作权限,只有在用户具有管理某个被管理对象的权限时,服务器才会响应客户端发送的SNMP请求,即根据获取的SNMP信息对MIB中的目标对象执行get操作或GetNext操作或Set操作。
参见图3,图3为本发明实施例提供的另一权限控制方法的流程示意图,具体包括:
步骤301:服务器接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,当认证成功后,向所述客户端反馈认证通过消息。
其中,所述身份认证信息包括所述目标用户的用户名及密码,
步骤302:服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定。
具体地,所述服务器可以按照下述方式实现步骤302:
接收客户端发送的承载SNMP信息的可扩展标记语言XML信息;
解析所述XML信息以获取所述SNMP信息。
步骤303:服务器从MIB中获取为所述目标对象预设的节点级别信息。
步骤304:若所述节点级别信息中包含访问权限级别,则执行步骤305,若所述节点级别信息中包含预设值,则执行步骤307。
在MIB中,包括需要设置访问权限的被管理对象(只有具有访问权限的用户才能访问这些被管理对象),还包括不需要设置访问权限的被管理对象(任何用户均可访问这些被管理对象)。基于此,在实现本发明实施例前,首先需要为MIB中有访问权限限制的被管理对象设置包含访问权限级别的节点级别信息,并为MIB中不具有访问权限限制的被管理对象设置包含预设值的节点级别信息。下面结合具体实例介绍节点信息的设置方式:
通常,MIB是以树状结构进行存储的,例如图4所示,MIB中包括以下各个被管理对象:
system,提供运行代理的网络设备的全部信息;
interfaces,包含关于网络设备中操作网络接口的信息;
at,包含网际协议(Internet protocol,简称IP)地址到数据链路地址的地址转换表;
ip,包含关于该网络设备的网际协议(IP)的统计信息;
icmp,包含关于该网络设备的网间控制报文协议(Internet controlmessage protocol,简称ICMP)的统计信息;
tcp,包含关于该网络设备的传输控制协议(transmission controlprotocol,简称TCP)的统计信息;
udp,包含该网络设备的用户数据包协议(user datagram protocol,简称UDP)的统计信息。
通常,用从根开始的一条路径唯一地识别每个被管理对象,这条路径就称为对象标识符(object identifier,简称OID)。参见图4所示,例如:被管理对象system可以用一串数字{1.3.6.1.2.1.1}唯一标识,这串数字就是被管理对象system的OID。
在本发明实施例中,对于有访问权限限制的被管理对象,可以不修改OID信息,可以为该被管理对象增设节点级别信息,例如,为该被管理对象预设一个包含访问权限级别为2的节点级别信息,这表示用户权限级别大于或等于2的用户可以访问该被管理对象。对于不具有访问权限限制的被管理对象,可以增设包含任意预设值(例如,所述预设值为0XFFFF或者是其它值)的节点级别信息,也可以不为该被管理对象增设节点级别信息。
在建立MIB树时,首先要获取MIB文件,所述MIB文件为用于记录每个被管理对象的节点信息的文件,然后将MIB文件中每个节点信息(所述节点信息表示MIB中一个被管理对象的相关信息)转换成代码格式,并在代码中添加被管理对象的节点级别信息,例如,被管理对象“entLogicalTable”(假设对应的OID为1.3.6.1.2.1.47.1.2.1)的节点信息代码格式如下:
hmibNode entitymib_tree_node_entLogicalTable={“entLogicalTable”,
H_TABLE,/*entLogicalTable的节点类型,此处H_TABLE表示节点类型是表格形式*/
0,/*entLogicalTable的数据类型,比如:32位整数类型等,此处0表示不限制数据类型*/
&entitymib_tree_node_entityLogical,/*entLogicalTable的上一级父节点指针*/
&entitymib_tree_node_entLogicalEntry,/*entLogicalTable的访问入口*/
&entitymib_tree_node_entLogicalIndex,/*entLogicalTable中被管理信息的索引*/
0,/*entLogicalTable的用户访问标识,用于限制用户对entLogicalTable的操作方式,比如:只读、或只写等,此处0表示不对用户操作作任何限制*/
“1.3.6.1.2.1.47.1.2.1”,
….,
H_STATUS_CURRENT,/*entLogicalTable的状态,此处H_STATUS_CURRENT表示entLogicalTable状态正常,entLogicalTable可以被管理操作*/
H_ACCESS_ACCESSIBLE,/*entLogicalTable的访问类型,用于定义entLogicalTable的可被访问方式,比如:只读、或只写、或读写均可*/
(在此插入节点级别信息)
0,
0,
0,
0,
0,
NULL,
0,
0};
步骤305:服务器获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
在本发明实施例中,网络设备侧的服务器上还存在一个的设备数据库,该设备数据库中存储了可以管理MIB中对象的每个用户的用户信息,所述用户信息可以为用户身份认证信息中的用户名,每个用户的用户名与一个用户权限信息相互绑定,所述用户权限信息中包括用户对每个被管理对象(与该用户绑定的MIB视图中的被管理对象)的访问权限,所述访问权限通过用户权限级别表示。为便于理解,下面举例说明:
例1:假设用户1与MIB视图1相互绑定,且MIB视图1中包括被管理对象A、B和C,设备数据库中存储了为MIB视图1中每个被管理对象预设的用户1的用户权限级别,譬如对于被管理对象A,用户1的用户权限级别可以预设为级别1,对于被管理对象B,用户1的用户权限级别可以预设为级别2,对于被管理对象C,用户1的用户权限级别可以预设为级别3,当然,还可以采用其它的级别定义方式,在此不再赘述。
当设备服务器对目标用户的身份认证信息认证成功后,服务器可以首先从设备数据库中获取与所述目标用户的用户名绑定的用户权限信息,其中,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别。基于此,在步骤305中,设备服务器可以采用下述方式获取与所述目标对象对应的为所述目标用户预设的用户权限级别,即是从所述用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
步骤306:服务器判断所述用户权限级别是否大于或等于所述目标对象的访问权限级别,如果是,则执行步骤307,如果否,则执行步骤308。
在本发明实施例中,对于一个被管理对象,只有用户权限级别大于或等于其访问权限级别的用户才能访问该被管理对象,所以,被管理对象的访问权限级别越高,则能够访问该被管理对象的用户数越少,进而限制了访问该被管理对象的用户数量,从而实现了对用户的权限管理,反之亦然。
例2:基于例1,假设用户1为目标用户,对象A为目标对象,假设为所述对象A设置的访问权限级别为级别2,获取的与所述对象A对应的为用户1预设的用户权限级别为级别1,由于级别1小于级别2,所以确定所述目标用户的操作权限不满足对所述目标对象进行操作的预设操作权限。
例3:基于例1,假设用户1为目标用户,对象C为目标对象,假设为所述对象C设置的访问权限级别为级别2,获取的与所述对象C对应的为用户1预设的用户权限级别为级别3,由于级别3大于级别2,所以确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
步骤307:服务器确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,执行步骤309。
步骤308:服务器确定所述目标用户的操作权限不满足对所述目标对象进行操作的预设操作权限,执行步骤310。
步骤309:服务器根据所述操作内容处理所述目标对象,并向客户端返回处理结果信息。
在目标用户具有管理所述目标对象的权限后,设备服务器会响应客户端发送的SNMP请求,即根据获取的SNMP信息对MIB中的目标对象执行get操作或GetNext操作或Set操作。进一步,在执行get操作或GetNext操作后将获取的数据返回至客户端,或在成功执行Set操作后向客户端反馈设置成功消息。
步骤310:服务器断开与所述客户端的连接。
当确定所述目标用户的操作权限不满足对所述目标对象进行操作的预设操作权限时,说明当前访问操作为非法访问,此时设备服务器会与客户端断开连接。
需要说明的是,在上述实施例中,所述客户端可为HTTP应用客户端,或是SSH应用客户端,或是其它网络软件,或者是其它任何私用应用。
本发明实施例提供的权限控制方法,当服务器接收到客户端发送的SNMP信息时,其中,所述SNMP信息包括目标用户对目标对象进行操作的操作内容,服务器会验证目标用户对目标对象的操作权限,只有在所述目标用户的权限满足对所述目标对象进行管理操作的预设操作权限时,服务器才会进一步根据所述操作内容处理所述目标对象,即对所述目标对象进行读/写操作。可见,本发明实施例在现有的通过绑定用户组与MIB视图的方式实现访问权限控制的基础上,进一步对MIB视图中的每个被管理对象进行权限限制,从而进一步降低了每个被管理对象的安全风险。
参见图5,为本发明实施例提供的服务器结构框图,所述服务器500包括:
信息接收模块501,用于接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
对象处理模块502,用于当确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。
其中,所述对象处理模块502,具体可以包括:
第一信息获取单元,用于获取为所述目标对象预设的节点级别信息;
权限级别获取单元,用于当所述第一信息获取单元获取的节点级别信息中包含访问权限级别时,获取与所述目标对象对应的为所述目标用户预设的用户权限级别;
第一对象处理单元,用于当所述权限级别获取单元获取的用户权限级别大于或等于所述目标对象的访问权限级别时,根据所述操作内容处理所述目标对象。
可选地,所述对象处理模块502,具体还包括:
第二信息获取单元,用于获取为所述目标对象预设的节点级别信息;
第二对象处理单元,用于当所述第二信息获取单元获取的节点级别信息中包含预设值时,根据所述操作内容处理所述目标对象。
进一步地,所述服务器500还包括:
身份认证模块503,用于在所述信息接收模块501接收客户端发送的SNMP信息之前,接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;
权限信息获取模块504,用于当所述身份认证模块503对所述目标用户的身份认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;
所述权限级别获取单元,具体用于从所述权限信息获取模块获取的用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
参见图6,为本发明实施例提供的权限控制系统的结构框图,所述权限控制系统600包括:客户端601和服务器602;所述服务器602的结构可以如图5所示。其中,
所述客户端601,用于向所述服务器602发送简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象为所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
所述服务器602,用于在确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。
本发明实施例提供的权限控制系统及服务器,当服务器接收到客户端发送的SNMP信息时,其中,所述SNMP信息包括目标用户对目标对象进行操作的操作内容,服务器会验证目标用户对目标对象的操作权限,只有在所述目标用户的权限满足对所述目标对象进行管理操作的预设操作权限时,服务器才会进一步根据所述操作内容处理所述目标对象,即对所述目标对象进行读/写操作。可见,本发明实施例在现有的通过绑定用户组与MIB视图的方式实现访问权限控制的基础上,进一步对MIB视图中的每个被管理对象进行权限限制,从而进一步降低了每个被管理对象的安全风险。
参见图7,为本发明实施例提供的服务器700包括:
处理器701、存储器702、通信接口703。其中,服务器700中的处理器701的数量可以一个或多个,图7中以一个处理器701为例。所述处理器701、存储器702和通信接口703可通过总线或其它方式连接,其中,图7中以通过总线704连接为例。
所述通信接口703用于与客户端通信。
所述存储器702,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器702可能包含高速随机存取存储器(random access memory,简称RAM)存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
处理器701执行存储器702所存放的程序,用于实现本发明实施例提供的权限控制方法,包括:
服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。
其中,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:
获取为所述目标对象预设的节点级别信息;
若所述节点级别信息中包含访问权限级别,则获取与所述目标对象对应的为所述目标用户预设的用户权限级别;
若所述用户权限级别大于或等于所述目标对象的访问权限级别,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
其中,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:
获取为所述目标对象预设的节点级别信息;
若所述节点级别信息中包含预设值,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
可选地,在所述接收客户端发送的SNMP信息之前,还包括:
服务器接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;
当认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;
所述获取与所述目标对象对应的为所述目标用户预设的用户权限级别,具体包括:
从所述用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
本发明实施例中,当服务器接收到客户端发送的SNMP信息时,其中,所述SNMP信息包括目标用户对目标对象进行操作的操作内容,服务器会验证目标用户对目标对象的操作权限,只有在所述目标用户的权限满足对所述目标对象进行管理操作的预设操作权限时,服务器才会进一步根据所述操作内容处理所述目标对象,即对所述目标对象进行读/写操作。可见,本发明实施例在现有的通过绑定用户组与MIB视图的方式实现访问权限控制的基础上,进一步对MIB视图中的每个被管理对象进行权限限制,从而进一步降低了每个被管理对象的安全风险。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置(服务器)和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (9)

1.一种权限控制方法,其特征在于,包括:
服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。
2.根据权利要求1所述的方法,其特征在于,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:
获取为所述目标对象预设的节点级别信息;
若所述节点级别信息中包含访问权限级别,则获取与所述目标对象对应的为所述目标用户预设的用户权限级别;
若所述用户权限级别大于或等于所述目标对象的访问权限级别,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
3.根据权利要求1或2所述的方法,其特征在于,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:
获取为所述目标对象预设的节点级别信息;
若所述节点级别信息中包含预设值,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。
4.根据权利要求2所述的方法,其特征在于,在所述接收客户端发送的SNMP信息之前,还包括:
服务器接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;
当认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;
所述获取与所述目标对象对应的为所述目标用户预设的用户权限级别,具体包括:
从所述用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
5.一种服务器,其特征在于,包括:
信息接收模块,用于接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
对象处理模块,用于当确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。
6.根据权利要求5所述的服务器,其特征在于,所述对象处理模块,具体包括:
第一信息获取单元,用于获取为所述目标对象预设的节点级别信息;
权限级别获取单元,用于当所述第一信息获取单元获取的节点级别信息中包含访问权限级别时,获取与所述目标对象对应的为所述目标用户预设的用户权限级别;
第一对象处理单元,用于当所述权限级别获取单元获取的用户权限级别大于或等于所述目标对象的访问权限级别时,根据所述操作内容处理所述目标对象。
7.根据权利要求5或6所述的服务器,其特征在于,所述对象处理模块,具体包括:
第二信息获取单元,用于获取为所述目标对象预设的节点级别信息;
第二对象处理单元,用于当所述第二信息获取单元获取的节点级别信息中包含预设值时,根据所述操作内容处理所述目标对象。
8.根据权利要求6所述的服务器,其特征在于,所述服务器还包括:
身份认证模块,用于在所述信息接收模块接收客户端发送的SNMP信息之前,接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;
权限信息获取模块,用于当所述身份认证模块对所述目标用户的身份认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述MIB视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;
所述权限级别获取单元,具体用于从所述权限信息获取模块获取的用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。
9.一种权限控制系统,其特征在于,包括:客户端和如权利要求5至8任一项所述的服务器;
所述客户端,用于向所述服务器发送简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象为所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;
所述服务器,用于在确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。
CN201310676061.5A 2013-12-11 2013-12-11 一种权限控制方法、系统及服务器 Active CN104717176B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310676061.5A CN104717176B (zh) 2013-12-11 2013-12-11 一种权限控制方法、系统及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310676061.5A CN104717176B (zh) 2013-12-11 2013-12-11 一种权限控制方法、系统及服务器

Publications (2)

Publication Number Publication Date
CN104717176A true CN104717176A (zh) 2015-06-17
CN104717176B CN104717176B (zh) 2018-05-18

Family

ID=53416150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310676061.5A Active CN104717176B (zh) 2013-12-11 2013-12-11 一种权限控制方法、系统及服务器

Country Status (1)

Country Link
CN (1) CN104717176B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878084A (zh) * 2017-02-28 2017-06-20 新华三技术有限公司 一种权限控制方法和装置
CN110034949A (zh) * 2019-02-21 2019-07-19 国电南瑞科技股份有限公司 一种基于snmp协议的写保护方法
CN111310145A (zh) * 2020-03-06 2020-06-19 北京字节跳动网络技术有限公司 用户权限验证方法、装置以及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110231900A1 (en) * 2010-03-18 2011-09-22 Fujitsu Limited Apparatus, method, and computer-readable medium for distributing access control information
CN102201935A (zh) * 2011-05-13 2011-09-28 大唐移动通信设备有限公司 一种基于view的访问控制方法及其装置
US20120144466A1 (en) * 2008-05-15 2012-06-07 International Business Machines Corporation Managing passwords used when detecting information on configuration items disposed on a network
CN102983986A (zh) * 2011-09-06 2013-03-20 中兴通讯股份有限公司 一种网元设备鉴权管理的方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120144466A1 (en) * 2008-05-15 2012-06-07 International Business Machines Corporation Managing passwords used when detecting information on configuration items disposed on a network
US20110231900A1 (en) * 2010-03-18 2011-09-22 Fujitsu Limited Apparatus, method, and computer-readable medium for distributing access control information
CN102201935A (zh) * 2011-05-13 2011-09-28 大唐移动通信设备有限公司 一种基于view的访问控制方法及其装置
CN102983986A (zh) * 2011-09-06 2013-03-20 中兴通讯股份有限公司 一种网元设备鉴权管理的方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878084A (zh) * 2017-02-28 2017-06-20 新华三技术有限公司 一种权限控制方法和装置
CN106878084B (zh) * 2017-02-28 2020-03-06 新华三技术有限公司 一种权限控制方法和装置
CN110034949A (zh) * 2019-02-21 2019-07-19 国电南瑞科技股份有限公司 一种基于snmp协议的写保护方法
CN111310145A (zh) * 2020-03-06 2020-06-19 北京字节跳动网络技术有限公司 用户权限验证方法、装置以及电子设备
CN111310145B (zh) * 2020-03-06 2023-02-21 抖音视界有限公司 用户权限验证方法、装置以及电子设备

Also Published As

Publication number Publication date
CN104717176B (zh) 2018-05-18

Similar Documents

Publication Publication Date Title
EP3526994B1 (en) Network management interface
JP6704472B2 (ja) ネットワーク構成プロトコルに基づくデバイス構成方法および装置
US9069979B2 (en) LDAP-based multi-tenant in-cloud identity management system
US20030074436A1 (en) Management information base object model
CN105228121B (zh) 使用rest式接口的订户管理
CN112217656B (zh) Sd-wan系统中的网络设备的配置信息同步方法和装置
US20060230060A1 (en) Extendable discovery of network device information
US20090182880A1 (en) System and Method to Synthesize Custom Metric Attributes from Available MBean Attributes on an Application Server
CN106453576B (zh) 一种基于混合云平台的交互方法、系统及调度中心
CN103795530B (zh) 一种跨域控制器认证的方法、装置及主机
US7904588B2 (en) Method and system for creating an overlay structure for management information bases
US9087322B1 (en) Adapting service provider products for multi-tenancy using tenant-specific service composition functions
CN106169963A (zh) 服务页面的访问方法及系统、代理服务器
DE112012003778T5 (de) Computernetzwerk-Management-Tools
CN101035133B (zh) 网络管理的方法、系统及设备
CN110798341B (zh) 业务开通方法、装置及系统
CN101548263A (zh) 模拟用户和/或拥有者的不透明管理数据选项的方法和系统
CN101572621A (zh) 一种出错原因返回方法和一种实现网络管理的系统
CN104717176A (zh) 一种权限控制方法、系统及服务器
CN108365988A (zh) 基于云平台的工业控制系统仿真方法
Kundu et al. Cacti 0.8 network monitoring
Abeck Network Management know it all
CN115529268A (zh) 处理配置网络设备的指令
Cisco Simple Network Management Protocol (SNMP)
CN113810415A (zh) 一种通过堡垒机免托管主机账户运维的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant