CN111434083B - 用于netconf的网络管理设备和集中式授权服务器 - Google Patents
用于netconf的网络管理设备和集中式授权服务器 Download PDFInfo
- Publication number
- CN111434083B CN111434083B CN201780097377.5A CN201780097377A CN111434083B CN 111434083 B CN111434083 B CN 111434083B CN 201780097377 A CN201780097377 A CN 201780097377A CN 111434083 B CN111434083 B CN 111434083B
- Authority
- CN
- China
- Prior art keywords
- authorization
- user operation
- operation request
- protocol
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/06—Answer-back mechanisms or circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了一种用于网络配置(NETCONF)协议的网络管理设备和集中式授权服务器。所述网络管理设备包括管理服务器组件和授权客户端组件。管理服务器组件被配置有NETCONF协议以至少基于来自授权客户端组件的授权信息来处理来自管理代理的用户操作请求。授权客户端组件被配置有远程授权协议以针对用户操作请求从集中式授权服务器获得授权信息。
Description
技术领域
本公开的实施例一般涉及网络通信,并且更具体地涉及用于网络配置(NETCONF)协议的网络管理设备和集中式授权服务器。
背景技术
本部分介绍可以促进本公开的更好理解的方面。因此,本部分的陈述应从该意义上阅读,并且不应被理解为承认什么是现有技术或什么不是现有技术。
随着云计算技术的发展,已经提出了软件定义网络(SDN)以促进网络管理并实现在编程上高效的网络配置。在演进的云/SDN基础设施中,主要的北向接口是网络配置(NETCONF)协议,其是由互联网工程任务组(IETF)开发和标准化的网络管理协议。基础NETCONF协议的第一版在2006年12月作为征求意见文档(RFC)4741被发布。在随后的几年中发布了一些扩展。这些扩展之一是2012年3月发布的RFC 6536。它提出了一种被称为NETCONF访问控制模型(NACM)的授权解决方案,以将特定用户的NETCONF协议访问限制为所有可用的NETCONF协议操作和内容的预先配置的子集。
对于上述现有的授权解决方案,仍存在一些改进空间。
发明内容
本概要被提供以便以简化的形式介绍下面在详细描述中进一步描述的概念的选集。本概要并非旨在确定所要求保护的主题的关键特征或必要特征,也并非旨在用于限制所要求保护的主题的范围。
本公开的目的之一是提供一种用于NETCONF协议的改进的授权解决方案。
根据本公开的一个方面,提供了一种网络管理设备。该网络管理设备包括管理服务器组件和授权客户端组件。管理服务器组件被配置有NETCONF协议以至少基于来自授权客户端组件的授权信息来处理来自管理代理的用户操作请求。授权客户端组件被配置有远程授权协议以针对用户操作请求从集中式授权服务器获得授权信息。
在本公开的实施例中,远程授权协议是终端访问控制器访问控制系统加(TACACS+)协议、或远程认证拨入用户服务(RADIUS)协议。
在本公开的实施例中,管理服务器组件被配置成将用户操作请求转换为操作标识和Xpath。Xpath表示将要对其执行操作的对象。授权客户端组件包括第一发送模块、第一接收模块、以及确定模块。第一发送模块被配置成向集中式授权服务器发送包括操作标识和Xpath的授权请求。第一接收模块被配置成从集中式授权服务器接收授权响应。确定模块被配置成基于授权响应来确定授权信息。
在本公开的实施例中,在用户操作请求中指示有多个操作。第一发送模块和第一接收模块针对多个操作中的每一个迭代地工作。确定模块被配置成在针对任何操作的授权响应指示失败时将授权信息确定为失败,以及在针对多个操作的授权响应指示成功时将授权信息确定为成功。
在本公开的实施例中,管理服务器组件被配置成在授权信息指示失败时将失败消息返回给管理代理,以及在授权信息指示成功时根据用户操作请求来执行操作并将操作结果返回给管理代理。
在本公开的实施例中,网络管理设备在云环境、软件定义网络(SDN)环境、以及物联网(IoT)中的一者中使用。
根据本公开的另一方面,提供了一种被配置有远程授权协议的集中式授权服务器。该集中式授权服务器包括第二接收模块、访问控制数据库、授权模块、以及第二发送模块。第二接收模块被配置成从被配置有NETCONF协议并位于不同位置处的多个网络管理设备中的至少一个网络管理设备接收用户授权请求。访问控制数据库被配置成存储关于多个用户的标识和访问权限的信息。授权模块被配置成基于访问控制数据库生成针对用户授权请求的授权响应。第二发送模块被配置成向多个网络管理设备中的至少一个网络管理设备发送授权响应。
在本公开的实施例中,关于用户的访问权限的信息包括:操作标识;表示将要对其执行操作的对象的Xpath;以及用于确定是否允许用户执行操作的访问控制信息。
根据本公开的另一方面,提供了一种在网络管理设备处的方法。该方法包括通过NETCONF协议来处理来自管理代理的用户操作请求。所述方法还包括针对用户操作请求,通过远程授权协议从集中式授权服务器获得授权信息。处理用户操作请求是至少基于授权信息的。
在本公开的实施例中,处理用户操作请求包括将用户操作请求转换为操作标识和Xpath。Xpath表示将要对其执行操作的对象。获得授权信息包括向集中式授权服务器发送包括操作标识和Xpath的授权请求。获得授权信息还包括从集中式授权服务器接收授权响应。获得授权信息还包括基于授权响应来确定授权信息。
在本公开的实施例中,在用户操作请求中指示有多个操作。针对多个操作中的每一个,迭代地执行授权请求的发送和授权响应的接收。确定授权信息包括当针对任何操作的授权响应指示失败时,将授权信息确定为失败。确定授权信息还包括当针对多个操作的授权响应指示成功时,将授权信息确定为成功。
在本公开的实施例中,处理用户操作请求包括当授权信息指示失败时,将失败消息返回给管理代理。处理用户操作请求还包括当授权信息指示成功时,根据用户操作请求来执行操作。处理用户操作请求还包括将操作结果返回给管理代理。
根据本公开的另一方面,提供了一种在被配置有远程授权协议的集中式授权服务器处的方法。该方法包括从被配置有NETCONF协议并位于不同位置处的多个网络管理设备中的至少一个网络管理设备接收用户授权请求。所述方法还包括基于访问控制数据库生成针对用户授权请求的授权响应。访问控制数据库被配置成存储关于多个用户的标识和访问权限的信息。所述方法还包括向多个网络管理设备中的至少一个网络管理设备发送授权响应。
根据本公开的另一方面,提供了一种在通信系统中的终端设备处的方法。通信系统还包括网络管理设备和集中式授权服务器。该方法包括通过NETCONF协议向网络管理设备发送用户操作请求。所述方法还包括从网络管理设备接收操作结果或失败消息。网络管理设备被配置成通过NETCONF协议来处理用户操作请求,以及针对用户操作请求,通过远程授权协议从集中式授权服务器获得授权信息。处理用户操作请求是至少基于授权信息的,以使得操作结果或失败消息被生成。
根据本公开的另一方面,提供了一种网络管理设备。该网络管理设备包括处理器和存储器。存储器包含可由处理器执行的指令,由此网络管理设备可操作以通过NETCONF协议来处理来自管理代理的用户操作请求。网络管理设备还可操作以针对用户操作请求,通过远程授权协议从集中式授权服务器获得授权信息。处理用户操作请求是至少基于授权信息的。
根据本公开的另一方面,提供了一种网络设备,其包括根据上述方面的网络管理设备。
根据本公开的另一方面,提供了一种被配置有远程授权协议的集中式授权服务器。该集中式授权服务器包括处理器和存储器。存储器包含可由处理器执行的指令,由此集中式授权服务器可操作以从被配置有NETCONF协议并位于不同位置处的多个网络管理设备中的至少一个网络管理设备接收用户授权请求。集中式授权服务器还可操作以基于访问控制数据库生成针对用户授权请求的授权响应。访问控制数据库被配置成存储关于多个用户的标识和访问权限的信息。集中式授权服务器还可操作以向多个网络管理设备中的至少一个网络管理设备发送授权响应。
根据本公开的另一方面,提供了一种在通信系统中使用的终端设备。通信系统还包括网络管理设备和集中式授权服务器。终端设备包括处理器和存储器。存储器包含可由处理器执行的指令,由此终端设备可操作以通过NETCONF协议向网络管理设备发送用户操作请求。终端设备还可操作以从网络管理设备接收操作结果或失败消息。网络管理设备被配置成通过NETCONF协议来处理用户操作请求,以及针对用户操作请求,通过远程授权协议从集中式授权服务器获得授权信息。处理用户操作请求是至少基于授权信息的,以使得操作结果或失败消息被生成。
根据本公开的另一方面,提供了一种计算机程序产品。该计算机程序产品包括指令,所述指令在由至少一个处理器执行时使至少一个处理器执行根据上述方面的方法。
根据本公开的另一方面,提供了一种计算机可读存储介质。该计算机可读存储介质包括指令,所述指令在由至少一个处理器执行时使至少一个处理器执行根据上述方面的方法。
根据将结合附图阅读的本公开的说明性实施例的下面的详细描述,本公开的这些和其它目的、特征和优点将变得明显。
附图说明
图1是示出根据本公开的实施例的通信系统的框图;
图2是示出根据本公开的实施例的过程的流程图;
图3是示出根据本公开的实施例的在网络管理设备处的方法的流程图;
图4是用于解释图3所示的方法的流程图;
图5是示出根据本公开的实施例的在集中式授权服务器处的方法的流程图;
图6是示出根据本公开的实施例的在终端设备处的方法的流程图;
图7是示出适合于在实践本公开的一些实施例中使用的装置的框图;以及
图8是示出适合于在实践本公开的一些实施例中使用的通信系统的框图。
具体实施方式
为了解释的目的,在下面的描述中阐述了一些细节以便提供所公开的实施例的彻底理解。然而,对于本领域技术人员来说明显的是,可以在没有这些具体细节的情况下或者利用等效配置来实现所述实施例。
如本文中所使用的,术语“无线通信网络”是指遵循任何适合的通信标准(诸如高级LTE(LTE-A)、LTE、宽带码分多址(WCDMA)、高速分组接入(HSPA)等)的网络。此外,可以根据任何适合的代(generation)的通信协议来执行无线通信网络中的终端设备和网络设备之间的通信,所述通信协议包括但不限于第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、未来的第五代(5G)通信协议、和/或当前已知或将来开发的任何其它协议。
术语“网络设备”是指无线通信网络中的设备,经由该设备,终端设备访问网络并从网络接收服务。网络设备是指基站(BS)、接入点(AP)、移动管理实体(MME)、多小区/多播协调实体(MCE)、网关、服务器、控制器、或无线通信网络中的任何其它适合的设备。BS可以是例如节点B(NodeB或NB)、演进NodeB(eNodeB或eNB)、gNB、远程无线电单元(RRU)、无线电头(RH)、远程无线电头(RRH)、中继、低功率节点(诸如飞基站(femto)、皮基站(pico))、等等。
网络设备的另外一些示例包括多标准无线电(MSR)无线电设备(诸如MSR BS),网络控制器(诸如无线电网络控制器(RNC)或基站控制器(BSC)),基站收发信台(BTS),传输点,传输节点,多小区/多播协调实体(MCE),核心网节点(例如,MSC、MME),O&M节点,OSS节点,SON节点,定位节点(例如,E-SMLC),和/或MDT。然而,更一般地,网络设备可以表示任何适合的设备(或设备组),其能够、被配置成、被安排成、和/或可操作以实现/提供终端设备对无线通信网络的访问,或者向已经访问无线通信网络的终端设备提供某种服务。
术语“终端设备”是指能够访问无线通信网络并从其接收服务的任何终端设备。作为示例而非限制,终端设备是指移动终端、UE或其它适合的设备。UE可以是例如用户站(SS)、便携式用户站、移动站(MS)或接入终端(AT)。终端设备可以包括但不限于便携式计算机、图像捕获终端设备(诸如数字相机)、游戏终端设备、音乐存储和播放器、移动电话、蜂窝电话、智能电话、平板电脑、可穿戴设备、个人数字助理(PDA)、车辆等。
终端设备可以例如通过实现用于侧链路通信的3GPP标准来支持设备到设备(D2D)通信,并且在这种情况下可以被称为D2D通信设备。
作为又一特定示例,在物联网(IOT)场景中,终端设备可以表示执行监测和/或测量、并将这样的监测和/或测量的结果传送给另一终端设备和/或网络设备的机器或其它设备。在该情况下,终端设备可以是机器到机器(M2M)设备,在3GPP上下文中,其可以被称为机器类型通信(MTC)设备。作为一个特定示例,终端设备可以是实现3GPP窄带物联网(NB-IoT)标准的UE。这样的机器或设备的特定示例是传感器、计量设备(诸如功率计)、工业机械、或者家用或个人电器(例如,冰箱、电视)、个人可穿戴设备(诸如手表)、等等。在其它情况下,终端设备可以表示能够对其操作状态或与其操作相关联的其它功能进行监测和/或报告的车辆或其它设备。
在如RFC 6536中定义的上述现有的授权解决方案中,仅定义了本地授权,这意味着无法执行NETCONF的集中式授权。结果,在诸如物联网(IoT)的云/SDN环境中,如果未在每个网络接入点中配置每个用户的授权信息,则在从不同的网络接入点登录时,移动用户无法具有集成的授权配置。这可能会显著减慢网络供应(network provisioning)性能,尤其是在具有大量各自独立的授权配置的大量设备的供应情况下。
本公开提出了一种用于NETCONF的集中式授权解决方案。在下文中,将参考图1-8详细描述该解决方案。
图1是示出根据本公开的实施例的通信系统的框图。该通信系统可以是诸如物联网(IoT)的云/SDN环境的一部分。如图所示,该通信系统包括网络管理设备12、管理代理14、以及集中式授权服务器16。网络管理设备12包括管理服务器组件122和授权客户端组件124。管理服务器组件122被配置有NETCONF协议以至少基于来自授权客户端组件124的授权信息来处理来自管理代理14的用户操作请求。相应地,管理代理14被配置有NETCONF协议以向管理服务器组件122发送用户操作请求以及从该管理服务器组件122接收操作结果。
授权客户端组件124被配置有远程授权协议以针对用户操作请求,从集中式授权服务器16获得授权信息。相应地,集中式授权服务器16被配置有相同的远程授权协议以生成针对授权客户端组件124的授权响应。作为示例,远程授权协议可以是终端访问控制器访问控制系统加(TACACS+)协议,该协议可以提供执行授权的可扩展架构。可替代地,可以采用任何其它适合的远程授权协议,诸如远程认证拨入用户服务(RADIUS)协议。
以该方式,上述解决方案可以提供一种用于执行NETCONF集中式授权的方式。继而,在该解决方案的控制内,它可以提供对一组网络管理设备执行集中式访问权限控制的可能性。作为示例性示例,在IoT情况下,网络管理设备12可以是用于接入家庭网络的网关。管理代理14可以嵌入终端设备中,或者可以是终端设备自身,诸如移动电话、平板计算机、膝上型计算机、台式计算机、或者具有有线和/或无线通信能力的任何其它设备(例如,车辆)。集中式授权服务器16可以是服务位于不同位置处的多个网关的远程服务器。这可以容易地提供集成授权信息,而不需要不同位置处的网关具有相同的授权配置。作为另一示例性示例,网络管理设备12可以是用于接入车联网(IoV)的网关。管理代理14可以嵌入车辆中或者可以是车辆自身。集中式授权服务器16可以是服务位于不同位置处的多个网关的远程服务器。在这种情况下,可以根据车辆的位置为车辆生成授权响应。
如图所示,授权客户端组件124可以包括第一发送模块1242、第一接收模块1244、以及确定模块1246。集中式授权服务器16可以包括第二接收模块162、访问控制数据库164、授权模块166、以及第二发送模块168。将参考图2详细描述通信系统的上述构成部分的实现细节。
图2是示出根据本公开的实施例的过程的流程图。尽管在IoT的上下文中描述该过程,但本领域技术人员将理解的是,本公开的原理也可以应用于针对NETCONF需要集中式授权的任何其它场景。
在框202,用户经由管理代理14开始会话。如上所述,管理代理14是可嵌入终端设备中的NETCONF代理。用户可以操作终端设备以触发会话的开始。该会话可以是安全外壳(SSH)会话。可以通过从管理代理14向管理服务器组件122发送初始传输控制协议(TCP)连接请求来开始该会话。
在框204,在管理代理14和管理服务器组件122之间建立会话。具体地,响应于初始TCP连接请求,管理服务器组件122可以与管理代理14协商SSH协议版本并交换用于消息完整性和加密的密钥。然后,管理代理14可以向管理服务器组件122发送认证请求。可以使用各种认证协议(诸如RADIUS协议)来对用户进行认证。一旦用户已经被成功认证,管理代理14就可以向管理服务器组件122发送会话请求使得SSH会话得到建立。
在框206,用户经由管理代理14向管理服务器组件122发送操作请求。可以经由远程过程调用(RPC)发送操作请求。该操作请求以可扩展标记语言(XML)表示,并且可以指示一个或多个操作。
响应于操作请求,开始事务处理。具体地,在框208,管理服务器组件122将操作请求转换为操作标识和Xpath。这可以通过从XML到Xpath的转换来实现。操作标识可以是用于执行操作的执行程序的名称,诸如NETCONF中定义的“get-config”、“edit-config”等。Xpath可以表示将要对其执行操作的对象。由于在操作请求中可能指示一个或多个操作,因此可以获得一对或多对操作标识和Xpath。
在框210,管理服务器组件122将一对或多对操作标识和Xpath传递给授权客户端组件124。在框212,授权客户端组件124(具体地,第一发送模块1242)向集中式授权服务器16(具体地,第二接收模块162)发送授权请求,该授权请求包括一对或多对操作标识和Xpath。授权请求还包括可在框204执行的认证期间确定的用户的标识,诸如用户名、组名等。例如,在使用TACACS+协议的情况下,每对操作标识和Xpath可以被设置为Authorization_REQUEST消息中的两个自变量(argument)。
响应于授权请求,在框214,集中式授权服务器16(具体地,授权模块166与访问控制数据库164一起)生成一个或多个授权响应。访问控制数据库164被配置成存储关于多个用户的标识和访问权限的信息。关于用户的访问权限的信息可以包括:操作标识;Xpath,其表示将要对其执行操作的对象;以及访问控制信息,其用于确定是否允许用户执行该操作。访问控制信息可以包括用于指定用户名或组名是否具有针对一个或多个特定操作的访问权限的访问控制规则。
作为示例性示例,访问控制数据库164的模型可以被表示如下:
在IoT情况(诸如家庭电器访问控制场景)下,上述模型可以被具体表示如下:
授权模块166被配置成基于访问控制数据库164生成针对授权请求的授权响应。例如,可以根据用户标识从访问控制数据库164中定位一个或多个相应的访问控制规则,并且对其进行处理以确定授权响应。在上面的家庭电器访问控制的实例中,如果用户名是“child”并且所请求的操作是“read”+“/home/appliance/”,则可以定位和处理规则“user-rule-2”使得授权响应被确定为成功。
应注意的是,本公开不限于上述示例。可以在访问控制数据库164和授权模块166中采用如NETCONF协议(诸如RFC6536)中定义的与访问控制相关的任何特征。以该方式,包含例如NETCONF Xpath和相应的访问权限的新授权属性被引入到授权客户端组件124和集中式授权服务器16之间的远程授权协议中。
在框216,集中式授权服务器16(具体地,第二发送模块168)将所生成的授权响应发送给授权客户端组件124(具体地,第一接收模块1244)。例如,在使用TACACS+协议的情况下,可以将授权响应设置到Authorization_RESPONSE消息的状态字段中。应注意的是,在操作请求中指示了多个操作的情况下,可以针对多个操作中的每一个迭代地执行框212、214和216。
在框218,授权客户端组件124(具体地,确定模块1246)基于一个或多个授权响应来确定授权信息。例如,在操作请求中指示了多个操作的情况下,如果针对任何操作的授权响应指示失败,则可以将授权信息确定为失败,并且如果针对所有操作的授权响应指示成功,则可以将授权信息确定为成功。在框220,授权客户端组件124(具体地,确定模块1246)将授权信息传递给管理服务器组件122。
在框222,管理服务器组件122根据授权信息生成操作结果。如果授权信息指示失败,则可以生成结果以指示失败。另一方面,如果授权信息指示成功,则可以通过YANG基础数据库来运行一个或多个执行程序以执行一个或多个操作。在框224,将结果从管理服务器组件122返回给管理代理14。
图3是示出根据本公开的实施例的在网络管理设备处的方法的流程图。在框302,网络管理设备通过NETCONF协议来处理来自管理代理的用户操作请求。在框304,网络管理设备针对用户操作请求,通过远程授权协议从集中式授权服务器获得授权信息。在框302处的用户操作请求的处理是至少基于授权信息的。
图4是用于解释图3所示的方法的流程图。例如,框302可以被实现为图4所示的框406和412-418。框304可以被实现为图4所示的框408和410。在框406,将用户操作请求转换为操作标识和Xpath。Xpath表示将要对其执行操作的对象。框406可以对应于图2所示的框208。
在框408,向集中式授权服务器发送包括操作标识和Xpath的授权请求。框408可以对应于图2所示的框212。在框410,从集中式授权服务器接收授权响应。框410可以对应于图2所示的框216。
在框412,基于授权响应来确定授权信息。框412可以对应于图2所示的框218。在框414,当授权信息指示失败时,将失败消息返回给管理代理。另一方面,在框416,当授权信息指示成功时,根据用户操作请求来执行一个或多个操作。在框418,将操作结果返回给管理代理。框414-418可以对应于图2所示的框222和224。
图5是示出根据本公开的实施例的在集中式授权服务器处的方法的流程图。集中式授权服务器被配置有远程授权协议。在框502,从被配置有NETCONF协议并位于不同位置处的多个网络管理设备中的至少一个网络管理设备接收用户授权请求。框502可以对应于图2所示的框212。
在框504,基于访问控制数据库针对用户授权请求生成授权响应。访问控制数据库被配置成存储关于多个用户的标识和访问权限的信息。框504可以对应于图2所示的框214。在框506,向多个网络管理设备中的至少一个网络管理设备发送授权响应。框506可以对应于图2所示的框216。应注意的是,取决于所涉及的功能,连续示出的两个步骤实际上可以基本上同时执行,或者这些步骤有时可能以相反的顺序执行。
图6是示出根据本公开的实施例的在通信系统中的终端设备处的方法的流程图。通信系统还包括网络管理设备和集中式授权服务器,如图2所示。在框602,通过NETCONF协议向网络管理设备发送用户操作请求。框602可以对应于图2所示的框206。如上所述,网络管理设备被配置成通过NETCONF协议来处理用户操作请求,并且针对用户操作请求,通过远程授权协议从集中式授权服务器获得授权信息。处理用户操作请求是至少基于授权信息的,以使得操作结果或失败消息被生成。在框604,从网络管理设备接收操作结果或失败消息。框604可以对应于图2所示的框224。
图7是示出适合于在实践本公开的一些实施例中使用的装置的框图。例如,终端设备(嵌入有管理代理14)、网络管理设备12、以及集中式授权服务器16中的任何一个可以通过装置700实现。如图所示,装置700可以包括处理器710,存储程序的存储器720,以及用于通过有线和/或无线通信与其它外部设备通信数据的通信接口730。
程序被假定包括程序指令,其在被处理器710执行时使得装置700能够根据本公开的实施例进行操作,如上面所讨论的。也就是说,本公开的实施例可以至少部分地通过可由处理器710执行的计算机软件、或者通过硬件、或者通过软件和硬件的组合来实现。
存储器720可以是适合于本地技术环境的任何类型,并且可以使用任何适合的数据存储技术来实现,诸如基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。处理器710可以是适合于本地技术环境的任何类型,并且作为非限制性示例可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器中的一个或多个。
图8是示出适合于在实践本公开的一些实施例中使用的通信系统的框图。在该示例中,终端设备被实现为用户设备(UE),其可以至少经由蜂窝基站与被实现为主机的网络管理设备进行通信。类似于网络管理设备,集中式授权服务器也可以被实现为主机。应注意的是,为简洁起见,在图8的通信系统800中省略了集中式授权服务器。
换句话说,本公开提供了一种通信系统,其包括UE、基站、第一主机和第二主机。第一主机包括被配置成充当网络管理设备的第一处理电路和第一通信接口。第二主机包括被配置成充当集中式授权服务器的第二处理电路和第二通信接口。第一通信接口被配置成与蜂窝网络通信。蜂窝网络包括具有无线电接口和第三处理电路的基站。第三处理电路被配置成将用户操作请求从UE传递给第一主机,并将操作结果或失败消息从第一主机传递给UE。
具体地,在通信系统800中,主机810包括硬件815,该硬件815包括通信接口816,其被配置成与通信系统800的不同通信设备的接口建立和维护有线或无线连接。主机810还包括可具有存储和/或处理能力的处理电路818。具体地,处理电路818可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列、或适于执行指令的这些的组合(未示出)。主机810还包括软件811,其被存储在主机810中或可由该主机810访问,并且可由处理电路818执行。软件811包括主机应用812。主机应用812可操作以向远程用户(诸如经由终止于UE830和主机810的连接850连接的UE 830)提供服务。在向远程用户提供服务时,主机应用812可提供使用连接850来传送的用户数据。
通信系统800还包括基站820,该基站820设置在电信系统中并且包括使得其能够与主机810和UE 830通信的硬件825。硬件825可以包括:用于与通信系统800的不同通信设备的接口建立和维护有线或无线连接的通信接口826,以及用于与位于由基站820服务的覆盖区域(图8中未示出)中的UE 830建立和维护至少无线连接870的无线电接口827。通信接口826可以被配置成促进与主机810的连接860。连接860可以是直接的,或者它可以穿过电信系统的核心网(图8中未示出)和/或穿过电信系统外部的一个或多个中间网络。在所示的实施例中,基站820的硬件825还包括处理电路828,该处理电路828可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列、或适于执行指令的这些的组合(未示出)。基站820还具有存储在内部或可经由外部连接访问的软件821。
通信系统800还包括已经提到的UE 830。其硬件835可以包括无线电接口837,该无线电接口837被配置成与服务UE 830当前所位于的覆盖区域的基站建立和维护无线连接870。UE 830的硬件835还包括处理电路838,其可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列、或适于执行指令的这些的组合(未示出)。UE 830还包括软件831,该软件831被存储在UE 830中或可由该UE 830访问,并且可由处理电路838执行。软件831包括客户端应用832。在主机810的支持下,客户端应用832可操作以经由UE 830向人类或非人类用户提供服务。在主机810中,执行的主机应用812可以经由终止于UE 830和主机810的连接850与执行的客户端应用832进行通信。在向用户提供服务时,客户端应用832可以从主机应用812接收请求数据,并且响应于请求数据而提供用户数据。连接850可以传递请求数据和用户数据。客户端应用832可以与用户交互以生成其提供的用户数据。
在图8中,已经抽象地绘出连接850以示出经由基站820在主机810和UE 830之间的通信,而没有明确参考任何中间设备和经由这些设备对消息的精确路由。网络基础设施可以确定路由,网络基础设施可以配置成对UE 830隐藏路由、或者对操作主机810的服务提供商隐藏路由、或者对两者隐藏路由。当连接850是活动的时,网络基础设施还可以作出决定,通过所述决定,网络基础设施动态地改变路由(例如,基于负载平衡考虑或者网络的重新配置)。
一般来说,各种示例性实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以在硬件中实现,而其它方面可以在可由控制器、微处理器或其它计算设备执行的固件或软件中实现,尽管本公开并不限于此。尽管本公开的示例性实施例的各个方面可以被示出和描述为框图、流程图,或者使用一些其它图形表示,但是应当很好理解的是,作为非限制性示例,可以在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器、或其它计算设备、或其一些组合中实现本文中描述的这些框、装置、系统、技术或方法。
如此,应当理解的是,本公开的示例性实施例的至少一些方面可以在各种组件诸如集成电路芯片和模块中实践。因此,应当理解的是,本公开的示例性实施例可以在体现为集成电路的装置中实现,其中集成电路可以包括用于体现可配置成根据本公开的示例性实施例进行操作的数据处理器、数字信号处理器、基带电路和射频电路中的至少一个或多个的电路(以及可能地,固件)。
应当理解的是,本公开的示例性实施例中的至少一些方面可以被体现在由一个或多个计算机或其它设备执行的计算机可执行指令中,诸如体现在一个或多个程序模块中。一般地,程序模块包括例程、程序、对象、组件、数据结构等,其在被计算机或其它设备中的处理器执行时执行特定任务或实现特定抽象数据类型。计算机可执行指令可以被存储在计算机可读介质上,诸如硬盘、光盘、可移动存储介质、固态存储器、RAM等。本领域技术人员将理解的是,在各种实施例中程序模块的功能可以根据需要被组合或分布。另外,所述功能可以整体地或部分地体现在固件或硬件等价物(诸如集成电路、现场可编程门阵列(FPGA)等)中。
本公开中对“一个实施例”、“一实施例”等的提及表示所描述的实施例可以包括特定特征、结构或特性,但是并非每个实施例都必须包括该特定特征、结构或特性。而且,这样的短语不一定指代同一个实施例。另外,当结合一实施例描述特定特征、结构或特性时,结合其它实施例实现这样的特征、结构或特性是在本领域技术人员的知识内,无论是否被明确描述。
应理解的是,尽管术语“第一”、“第二”等可以在本文中使用以描述各种元素,但是这些元素不应受这些术语的限制。这些术语仅用于将一个元素与另一元素区别开。例如,第一元素可以被称作第二元素,并且类似地,第二元素可以被称作第一元素,而不脱离本公开的范围。如本文中使用的,术语“和/或”包括相关联的所列术语中的一个或多个的任一个和所有组合。
本文中使用的术语仅用于描述特定实施例的目的,并且并非旨在限制本公开。如本文中使用的,单数形式的“一个/一种(a、an)”和“所述(the)”旨在也包括复数形式,除非上下文另有清楚指示。还将理解的是,术语“包括”、“具有”、和/或“包含”在本文中使用时,指的是所陈述的特征、元素和/或组件的存在,而并不排除一个或多个其它特征、元素、组件和/或其组合的存在或附加。本文中使用的术语“连接”覆盖两个元素之间的直接和/或间接连接。
本公开包括本文中明确地或者以其任何一般化形式公开的任何新颖特征或特征组合。当结合附图阅读时,鉴于上述描述,对本公开的上述示例性实施例的各种修改和适配对于相关领域中的技术人员来说会变得明显。然而,任何和所有修改仍将落入本公开的非限制性和示例性实施例的范围内。
Claims (11)
1.一种网络管理设备(12),包括:
管理服务器组件(122),其被配置有网络配置(NETCONF)协议以至少基于来自授权客户端组件(124)的授权信息来处理来自管理代理(14)的用户操作请求,其中在所述用户操作请求中指示有多个操作;所述管理服务器组件(122)进一步被配置成将所述用户操作请求转换为操作标识和Xpath,其中所述Xpath表示将要对其执行操作的对象;
其中所述授权客户端组件(124)进一步包括:
第一发送模块(1242),其被配置成向集中式授权服务器(16)发送包括所述操作标识和所述Xpath的授权请求;
第一接收模块(1244),其被配置成从所述集中式授权服务器(16)接收授权响应;
确定模块(1246),其被配置成基于所述授权响应来确定所述授权信息;
以及
所述授权客户端组件(124),其被配置有远程授权协议以针对所述用户操作请求从集中式授权服务器(16)获得所述授权信息。
2.根据权利要求1所述的网络管理设备(12),其中所述远程授权协议是终端访问控制器访问控制系统加(TACACS+)协议、或远程认证拨入用户服务(RADIUS)协议。
3.根据权利要求2所述的网络管理设备(12),
其中所述第一发送模块(1242)和所述第一接收模块(1244)针对所述多个操作中的每一个迭代地工作;以及
其中所述确定模块(1246)被配置成在针对任何操作的所述授权响应指示失败时将所述授权信息确定为失败,以及在针对所述多个操作的所述授权响应指示成功时将所述授权信息确定为成功。
4.根据权利要求1至3中任一项所述的网络管理设备(12),其中所述管理服务器组件(122)被配置成在所述授权信息指示失败时将失败消息返回给所述管理代理(14),以及在所述授权信息指示成功时根据所述用户操作请求来执行操作并将操作结果返回给所述管理代理(14)。
5.根据权利要求1至3中任一项所述的网络管理设备(12),其中所述网络管理设备(12)在云环境、软件定义网络(SDN)环境、以及物联网(IoT)中的一者中使用。
6.一种在网络管理设备处的方法,所述方法包括:
通过网络配置(NETCONF)协议来处理(302)来自管理代理的用户操作请求,其中在所述用户操作请求中指示有多个操作;其中处理(302)所述用户操作请求是至少基于授权信息的;其中处理(302)所述用户操作请求包括将所述用户操作请求转换(406)为操作标识和Xpath,其中所述Xpath表示将要对其执行操作的对象;以及
其中获得(304)所述授权信息包括:
向集中式授权服务器发送(408)包括所述操作标识和所述Xpath的授权请求;
从所述集中式授权服务器接收(410)授权响应;
基于所述授权响应来确定(412)所述授权信息;
以及
针对所述用户操作请求,通过远程授权协议从集中式授权服务器获得(304)授权信息。
7.根据权利要求6所述的方法,其中针对所述多个操作中的每一个,迭代地执行所述授权请求的发送(408)和所述授权响应的接收(410);以及
其中确定(412)所述授权信息包括:
当针对任何操作的所述授权响应指示失败时,将所述授权信息确定为失败;以及
当针对所述多个操作的所述授权响应指示成功时,将所述授权信息确定为成功。
8.根据权利要求6至7中任一项所述的方法,其中处理(302)所述用户操作请求包括:
当所述授权信息指示失败时,将失败消息返回(414)给所述管理代理;
当所述授权信息指示成功时,根据所述用户操作请求来执行(416)操作;以及
将操作结果返回(418)给所述管理代理。
9.一种网络管理设备(700),包括:
处理器(710);以及
存储器(720),所述存储器(720)包含可由所述处理器(710)执行的指令,由此所述网络管理设备(700)可操作以:
通过网络配置(NETCONF)协议来处理(302)来自管理代理的用户操作请求,其中在所述用户操作请求中指示有多个操作;其中处理(302)所述用户操作请求是至少基于授权信息的;其中处理(302)所述用户操作请求包括将所述用户操作请求转换(406)为操作标识和Xpath,其中所述Xpath表示将要对其执行操作的对象;以及
其中获得(304)所述授权信息包括:
向集中式授权服务器发送(408)包括所述操作标识和所述Xpath的授权请求;
从所述集中式授权服务器接收(410)授权响应;
基于所述授权响应来确定(412)所述授权信息;
以及
针对所述用户操作请求,通过远程授权协议从集中式授权服务器获得(304)授权信息。
10.根据权利要求9所述的网络管理设备(700),其中所述网络管理设备(700)可操作以执行权利要求7至8中任一项所述的方法。
11.一种计算机可读存储介质,所述计算机可读存储介质包括指令,所述指令在由至少一个处理器执行时使所述至少一个处理器执行根据权利要求6至8中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2017/114458 WO2019109210A1 (en) | 2017-12-04 | 2017-12-04 | Network management device and centralized authorization server for netconf |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111434083A CN111434083A (zh) | 2020-07-17 |
| CN111434083B true CN111434083B (zh) | 2022-11-22 |
Family
ID=66750704
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780097377.5A Active CN111434083B (zh) | 2017-12-04 | 2017-12-04 | 用于netconf的网络管理设备和集中式授权服务器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200389458A1 (zh) |
| EP (1) | EP3721596B1 (zh) |
| CN (1) | CN111434083B (zh) |
| WO (1) | WO2019109210A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112307486A (zh) * | 2019-07-29 | 2021-02-02 | 华为技术有限公司 | 一种权限获取方法、设备和系统 |
| CN112235124B (zh) * | 2020-08-14 | 2023-03-24 | 浙江三维利普维网络有限公司 | 一种皮基站配置方法、装置、存储介质和电子装置 |
| CN113472802B (zh) * | 2021-07-13 | 2022-05-31 | 安徽睿极智能科技有限公司 | 一种分布式远程授权方法及系统 |
| CN114244712B (zh) * | 2021-12-08 | 2023-12-05 | 中盈优创资讯科技有限公司 | 一种sdn控制器协议状态管理方法及装置 |
| WO2024065705A1 (zh) * | 2022-09-30 | 2024-04-04 | 北京小米移动软件有限公司 | 应用功能授权方法及装置 |
| CN116661784B (zh) * | 2023-06-01 | 2024-05-07 | 北京首都在线科技股份有限公司 | 页面配置方法和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110822A (zh) * | 2007-07-06 | 2008-01-23 | 华为技术有限公司 | 基于网络配置协议的事件通知发送方法、系统及设备 |
| CN102368716A (zh) * | 2011-11-29 | 2012-03-07 | 迈普通信技术股份有限公司 | 一种网络配置协议的数据获取方法及网络配置服务器 |
| CN105337852A (zh) * | 2014-07-03 | 2016-02-17 | 华为技术有限公司 | 更新业务流报文的处理方式的方法及装置 |
| CN106161077A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 接入汇聚装置和认证注册方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7882538B1 (en) * | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
| JP4714111B2 (ja) * | 2006-08-29 | 2011-06-29 | 株式会社日立製作所 | 管理計算機、計算機システム及びスイッチ |
| CN101237443B (zh) * | 2007-02-01 | 2012-08-22 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
| JP5051238B2 (ja) * | 2007-11-13 | 2012-10-17 | 富士通株式会社 | 制御代理装置 |
| US8296671B2 (en) * | 2008-05-01 | 2012-10-23 | Microsoft Corporation | Enabling access to rich data by intercepting paste operations |
| US8676999B2 (en) * | 2008-10-10 | 2014-03-18 | Futurewei Technologies, Inc. | System and method for remote authentication dial in user service (RADIUS) prefix authorization application |
| US8248958B1 (en) * | 2009-12-09 | 2012-08-21 | Juniper Networks, Inc. | Remote validation of network device configuration using a device management protocol for remote packet injection |
| KR101288233B1 (ko) * | 2011-11-07 | 2013-07-26 | 엘에스산전 주식회사 | 스카다 시스템에 있어서의 접근제어 장치 및 접근제어 방법 |
| CN102427409A (zh) * | 2012-01-31 | 2012-04-25 | 迈普通信技术股份有限公司 | 基于网络配置协议的配置数据提交方法及服务器 |
| US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
| US11388082B2 (en) * | 2013-11-27 | 2022-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality |
| KR102578553B1 (ko) * | 2015-12-10 | 2023-09-13 | 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 | 전기통신 애플리케이션의 데이터 기반 자동화 프로비저닝 |
| CN106454823A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 网络安全接入的认证方法及其实现该方法的认证系统 |
| US11190510B2 (en) * | 2017-11-15 | 2021-11-30 | Parallel Wireless, Inc. | Two-factor authentication in a cellular radio access network |
| WO2020163729A1 (en) * | 2019-02-08 | 2020-08-13 | Affirmed Networks, Inc. | Model-driven service rollback mechanism for data integrity |
-
2017
- 2017-12-04 CN CN201780097377.5A patent/CN111434083B/zh active Active
- 2017-12-04 US US16/764,054 patent/US20200389458A1/en not_active Abandoned
- 2017-12-04 WO PCT/CN2017/114458 patent/WO2019109210A1/en unknown
- 2017-12-04 EP EP17933965.0A patent/EP3721596B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110822A (zh) * | 2007-07-06 | 2008-01-23 | 华为技术有限公司 | 基于网络配置协议的事件通知发送方法、系统及设备 |
| CN102368716A (zh) * | 2011-11-29 | 2012-03-07 | 迈普通信技术股份有限公司 | 一种网络配置协议的数据获取方法及网络配置服务器 |
| CN105337852A (zh) * | 2014-07-03 | 2016-02-17 | 华为技术有限公司 | 更新业务流报文的处理方式的方法及装置 |
| CN106161077A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 接入汇聚装置和认证注册方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3721596A1 (en) | 2020-10-14 |
| EP3721596B1 (en) | 2022-11-02 |
| WO2019109210A1 (en) | 2019-06-13 |
| EP3721596A4 (en) | 2021-04-14 |
| CN111434083A (zh) | 2020-07-17 |
| US20200389458A1 (en) | 2020-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111434083B (zh) | 用于netconf的网络管理设备和集中式授权服务器 | |
| WO2019220172A1 (en) | Token-based debugging for a service-based architecture | |
| EP3713372A1 (en) | Method and device for creating user group | |
| US20220159446A1 (en) | Event Report Sending Method, Apparatus, and System | |
| US20230099786A1 (en) | Methods and Apparatus for Provisioning Private Network Devices During Onboarding | |
| US10034173B2 (en) | MTC service management using NFV | |
| EP3860176B1 (en) | Method, apparatus, and system for obtaining capability information of terminal | |
| US20230232356A1 (en) | Storage of network slice authorization status | |
| WO2022002244A1 (zh) | 在线签约方法、装置及系统 | |
| JP2022522280A (ja) | 固定ネットワーク住宅用ゲートウェイの認証決定 | |
| TWI775009B (zh) | 用於行動通訊系統之基地台及其資料傳輸方法 | |
| US20230137034A1 (en) | Method for token-based authorization for indirect communication between network functions | |
| US20240064510A1 (en) | User equipment (ue) identifier request | |
| US20240080664A1 (en) | Routing indicator retrival for akma | |
| WO2023070340A1 (en) | Network repository function policy control for different public land mobile networks | |
| US20240163672A1 (en) | Method and System for Data Access Authorization Via a Data Collection Coordination Function | |
| US20240137765A1 (en) | Authentication and Authorization of Servers and Clients in Edge Computing | |
| US20220225444A1 (en) | Method and Apparatus for Network Function Managing NIDD Session | |
| WO2024027630A1 (en) | Method and apparatus for authorization alignment | |
| US20240107288A1 (en) | Roaming for UE of a NPN | |
| EP4295535A1 (en) | Authentication and authorization of servers and clients in edge computing | |
| CN116567593A (zh) | 通知方法、第一网络功能及第二网络功能 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |