WO2009105950A1 - 用户管理方法和装置 - Google Patents

Description

用户管理方法和装置

技术领域

本发明实施例涉及通信领域， 尤其涉及一种用户管理方法和装 置。 背景技术

目前， SR ( Service Router, 业务路由器） 的用户侧通常会接入 大量的网吧用户、 企业用户， 但是从同一端口接入的多个网吧用户， 容易出现 ARP ( Address Resolution Protocol, 地址解析协议报文） 冲 突和恶意仿冒， 导致正常用户无法上网。 而企业的二层网络在接入到 业务路由器时，需要经常调整 ACL( access control list,访问控制列表）， 来限制企业内用户的访问权限； 或需要调整某些用户的带宽和优先 级， 使得关键业务得到服务保证。 这些工作， 都需要网吧管理员、 企 业网管理员等向运营商提出申请，然后经过大量流程审核才可能得到 实施。 实际运维过程中， 这种情况的处理时间较长， 这导致了较低的 效率和较高的成本。

现在技术中提出了 VR ( Vertual Router, 虚拟路由器） 的概念， 即在真实的路由器上划分一部分资源， 形成一个虚拟的路由器， 租赁 给最终用户。 最终用户拥有这个虚拟路由器的管理权限， 进行配置或 组网， 来满足实际业务开展的需要。

在实现本发明的过程中， 发明人发现现有技术至少存在以下问 题：

现有技术中釆用了 VR的概念，在真实的路由器上划分一部分资 源， 形成一个虚拟的路由器， 租赁给最终用户， 这种做法比较复杂， 实际的应用场景也受到局限。 发明内容 本发明实施例提供一种用户管理方法和装置，以实现降低网络运 维成本， 提高效率。

本发明实现上述目的的一个实施方式是： 提供一种用户管理方 法， 包括以下步骤： 对用户进行身份认证； 在所述用户的身份认证为 合法后， 对所述用户的管理权限进行认证； 在所述用户的管理权限认 证通过后 ,允许所述用户根据所述用户的管理权限对业务进行配置管 理。

本发明实现上述目的的另一个实施方式是：提供一种用户管理装 置， 包括管理权限认证模块， 用于在用户的身份合法性认证通过后认 证用户的管理权限； 在用户的管理权限认证通过后， 允许用户在所述 管理权限范围内进行管理配置操作。

优选地， 所述管理权限认证模块包括： ACL配置权限判定模块、 ARP配置权限判定模块和 QoS ( Quality of Service, 服务质量）配置权 限判定模块中的一个或多个， 其中， 所述 ACL配置权限判定模块用于 确定用户是否有足够的 ACL配置权限，所述 ARP配置权限判定模块用 于确定用户是否有足够的 ARP配置权限， 所述 QoS配置权限判定模块 用于确定用户是否有足够的 QoS配置权限。

与现有技术相比， 本发明实施例具有以下优点：

釆用本发明实施方式提供的方法和装置 ,通过适当的授权给下级 用户， 可以降低运维成本， 提高效率并且使问题及时解决， 提升客户 满意度。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面 将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而 易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域 普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这 些附图获得其他的附图。

图 1为本发明实施例的用户管理方法流程图； 图 2为本发明实施例的用户管理方法举例流程图； 图 3为本发明实施例的用户管理装置的结构框图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方 案进行清楚、 完整地描述， 显然， 所描述的实施例仅是本发明一部分 实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通 技术人员在没有作出创造性劳动前提下所获得的所有其他实施例 ,都 属于本发明保护的范围。

现有技术的低效率、 高成本， 虽然有管理制度的因素， 但根本原 因还是由于现有的业务路由器没有提供一个行之有效的授权用户实 行自我管理的功能。

在业务路由器 SR上实现资源、 特性的授权管理： 运营商或上级 资源供应商在业务路由器 SR上将各种 IP( Internet Protocol,网际协议 ) 资源、 接口、 带宽资源等进行分类配置， 并进行权限配置， 之后运营 商把 IP资源、 接口、 带宽资源租售给网吧用户和企业用户的同时， 向 网吧管理员、企业网管理员分配受限用户名和密码， 每个受限用户名 被分配一定的管理权限， 该管理权限预先设置， 可以通过签约或者协 议确定， 比如为某个公司分配特定的 IP地址段、 接口、 带宽资源， 该 公司可以在该分配的资源范围内进行管理设置，超出分配范围的部分 则没有权限进行配置和管理设置。

管理员使用受限用户名和密码登陆 SR后， 经过鉴权， 该管理员 可以对所属的 IP、接口、 带宽做设置，如配置静态 ARP防止 ARP仿冒； 配置与所属 IP相关的 ACL来控制用户的访问权限； 配置所属 IP中某些 IP对应的优先级和带宽， 来保证服务质量。 本发明实施例提供一种用 户管理方法， 如图 1所示， 该方法包括：

Sl、对用户进行身份合法性认证， 可以通过用户输入的用户名和 密码来进行身份认证， 确定该用户是否有权进行以后的管理配置操 作。 该认证可以在业务路由器 SR上实现， 也可以在专门的认证服务 器,比^口 AAA月良务器( Authentication, Authorization, Accounting Server, 认证、 鉴权和计费服务器）或 RADIUS服务器（ Remote Authentication Dial In User Service , 远程用户拨号认证系统）上实现。 认证通过后， 允许其进入 S2的认证过程。认证方式也可以不釆用用户名和密码的形 式， 而釆用其他形式， 比如通过有管理权限的用户的 IP地址认证， 或 通过有管理权限的用户的 MAC地址认证确认登录者的身份， 或通过 在网段内设定某网址属于合法的有管理权限的用户的地址认证等。

52、 对用户的 ARP配置权限、 ACL配置权限和 QoS配置权限等管 理权限进行认证。

S2的认证， 进一步确定有配置权限的用户是否有 ARP配置权限、 ACL配置权限和 QoS配置权限中的一个或多个权限， 以及确定有配置 ARP配置权限、 ACL配置权限和 QoS配置权限的阔值， 这些阔值由运 营商或上级网络资源提供商预先设置。

53、前述 S2的认证通过后，允许所述用户根据所述用户的管理权 限对业务进行配置管理，即用户可根据其预先从运营商或上级网络资 源提供商处获取的相应权限， 在该权限范围内进行 ARP、 ACL和 QoS 配置中的一种或多种进行配置。

由于静态 ARP、 ACL属于整台业务路由器 SR的资源，所以对于不 同的管理员， 应该有配置数目上的限制。

举例： 用户从运营商租赁了一个 100M的接口 （ Ethernet 0/1 )和 255个 IP地址（211.10.10.0/24 ) , 运营商给用户分配了一个受限用户 名和密码（用户名： abc 密码： 123 ) , 可以登陆到 SR配置静态 ARP 100个， ACL规则 50个， QoS策略 10个， 具体管理过程如图 2所示。

用户登录业务路由器的界面， 输入受限用户名 abc和对应的密码 123 , 以寻求认证授权；

业务路由器 SR根据用户输入的受限用户名和密码， 进行管理权 限授权认证； 如果认证失败， 则向用户返回错误提示信息， 表明用户 名或密码不正确或无效； 如果认证成功， 则该用户可以继续进行其他 认证， 包括 ARP、 ACL、 QoS等的配置权限认证。

( 1 ) ARP配置权限认证

判断用户配置的静态 ARP的 IP地址是否属于预先分配给该用户 的网址所在的 211.10.10.0/24网段， 如果该用户的配置的静态 ARP的 IP 地址不属于预先分配给该用户的网址所在的 211.10.10.0/24网段，则意 味着执行失败， 返回错误提示信息 a; 如果该用户的配置的静态 ARP 的 IP地址属于预先分配给该用户的网址所在的 211.10.10.0/24网段， 则 继续判断用户配置静态 ARP的数目是否小于等于 100, 也就是运营商 给该用户提供的 ARP配置权限阔值，如果该用户配置静态 ARP的数目 已经大于 100, 则拒绝其继续配置增加新的静态 ARP, 增加新的静态 ARP执行失败， 返回错误提示信息 d, 但是， 此时， 用户仍然可以在 该阔值权限范围内配置改变原有的静态 ARP配置， 比如删除或修改原 先配置的静态 ARP; 如果该用户配置静态 ARP的数目小于等于 100 , 则增加静态 ARP配置执行成功， 配置新增的静态 ARP生效。

( 2 ) ACL配置权限认证

判断用户配置的 ACL的源 IP地址或目的 IP地址是否属于预先分 配给该用户的网址所在的 211.10.10.0/24网段，如果该用户配置的 ACL 的源 IP地址或目的 IP地址不属于预先分配给该用户的网址所在的 211.10.10.0/24网段， 则意味着配置 ACL执行失败，返回错误提示信息 b; 如果该用户配置的 ACL的源 IP地址或目的 IP地址属于预先分配给 该用户的网址所在的 211.10.10.0 /24网段， 则继续判断用户配置 AC L 规则的数目是否小于等于 50,也就是运营商给该用户提供的 ACL规则 配置权限阔值， 如果该用户配置 ACL规则的数目已经大于 50, 则拒绝 其继续配置增加新的 ACL规则， 配置增加新的 ACL规则执行失败， 返 回错误提示信息 e, 但是， 此时用户仍然可以在其阔值权限范围内， 配置改变原有的 ACL规则， 比如修改或删除某些原有的 ACL规则； 如 果该用户配置 ACL规则的数目小于等于 50,则新增 ACL规则配置执行 成功， 配置的新增 ACL规则生效。

( 3 ) QoS配置权限认证 判断用户配置的 QoS带宽保证的总带宽是否小于等于 100M,如果 用户配置的 QoS带宽保证的总带宽大于 100M,则意味着用户配置 QoS 带宽执行失败， 返回错误提示信息 c; 如果用户配置的 QoS带宽保证 的总带宽小于等于 100M,则继续判断用户配置 QoS策略的数目是否小 于等于 10 , 也就是运营商给该用户提供的 QoS策略配置数目阔值， 如 果该用户配置 QoS策略的数目已经大于 10, 则拒绝其继续新增 QoS策 略配置， 用户的新增 QoS策略配置执行失败， 返回错误提示信息 f, 但 是， 此时， 此时用户仍然可以在其阔值权限范围内， 配置改变原有的 QoS策略，比如修改或删除某些原有的 QoS策略；如果该用户配置 QoS 策略的数目小于等于 10 , 则 QoS策略配置执行成功， 配置新增的 QoS 策略生效。

以上 ARP、 ACL、 QoS等的配置权限认证均在用户授权认证之后 进行， 但是三者可以同时进行， 也可以先后完成； 或者根据需要只完 成部分认证， 比如， 仅仅需要 ACL配置权限认证， 以确定该用户是否 有权限配置或修改现有的某些 ACL表项。

进一步地， 在某项配置的阔值已满的情况下， 在有相应管理权限 的用户登入后，可以设置直接向该用户提示不可进行某项或某些业务 的新增配置， 以便有管理权限的用户登录后， 可以直接在自己的操作 权限范围内进行操作。

如果有优先级比较高的任务需完成，但是相应的管理权限的阔值 已满， 可以删除部分已设置的对象， 从而满足该优先级较高的任务； 也就是， 有管理权限的用户可以对已配置的内容的管理。

本发明实施方式的用户管理方法， 通过适当的授权给下级用户， 可以降低运维成本， 提高效率和问题的及时解决， 提升客户满意度。

本发明的另一实施方式还提供一种用户管理装置，该装置包括管 理权限认证模块， 用于在用户的身份合法性认证通过后， 认证用户的 管理权限； 在用户通过管理权限认证后， 允许用户在其管理权限范围 内执行管理配置或修改或删除的操作。所述管理权限认证模块具体可 以包括 ACL配置权限判定模块、 ARP配置权限判定模块和 QoS配置权 限判定模块中的一个或多个。

如图 3所示， 所述用户管理装置的管理权限认证模块具体可以包 括 ACL配置权限判定模块 301、 ARP配置权限判定模块 302和 QoS配置 权限判定模块 303; 其中， ACL配置权限判定模块 301用于确定用户是 否有足够的 ACL配置权限、 ARP配置权限判定模块 302用于确定用户 是否有足够的 ARP配置权限， QoS配置权限判定模块 303用于确定用 户是否有足够的 QoS配置权限， 当上述三个 个配置权限判定模块 301 , 302, 303对用户的相应配置权限认证通过后才能允许用户进行 相应的管理配置操作。 比如， 用户要进行新增静态 ARP的配置， 必须 在该新增静态 ARP的配置完成后， 不超出其阔值权限， 比如， 如果该 用户的权限是只能配置 100条静态 ARP,则一旦其已经配置了 100条静 态 ARP, 就不能再配置增加新的静态 ARP, 但是该用户可以对原先配 置的静态 ARP执行修改或删除的配置。 类似地， 对 QoS策略和 ACL规 则的配置也是如此。

ACL配置权限判定模块 301、 ARP配置权限判定模块 302和 QoS配 置权限判定模块 303的判定过程， 可以同时进行， 也可以先后以任何 顺序完成， 或者根据需要只完成部分认证， 比如， 仅仅需要 ACL配置 权限认证， 以确定该用户是否有权限配置或修改或删除现有的某些 ACL表项。

为了确保用户管理权限的安全性，该用户管理装置还可以包括鉴 权模块 304, 用于根据用户输入的用户名和密码， 确定该用户是否有 权进行以后的管理配置操作。 当然， 该认证也可以在其他设备， 比如 AAA服务器或 RADIUS上完成。鉴权模块 304可以位于业务路由器上， 也可以位于其他网络设备上。

本发明实施方式的用户管理装置， 通过适当的授权给下级用户， 可以降低运维成本， 提高效率和问题的及时解决， 提升客户满意度。

本发明实施方式的用户管理方法和装置，可以用存储在机器可读 介质上的软件程序来实现。即本发明实施方式还提供一种机器可读存 方法包括以下步骤： 对用户进行身份认证； 在所述用户的身份认证为 合法后， 对所述用户的管理权限进行认证； 在所述用户的管理权限认 证通过后 ,允许所述用户根据所述用户的管理权限对业务进行配置管 理。

所述对用户进行身份认证方式包括：通过用户输入的用户名和密 码进行身份认证、 或通过有管理权限的用户的 IP地址认证、 或通过有 管理权限的用户的 MAC地址认证确认登录者的身份， 或通过在网段 内设定某网址属于合法的有管理权限的用户的地址认证。 体业务种类的管理权限认证。

所述用户管理的具体业务种类包括 ARP配置、 ACL配置和 QoS配 置中的一种或多种；所述对所述用户管理的具体业务种类的管理权限 认证对应包括对 ARP配置权限的认证、 对 ACL配置权限的认证和对 QoS配置权限的认证中的一种或多种。

所述对 ARP配置权限的认证包括： 确定用户配置的静态 ARP的 IP 地址是否属于预先分配给该用户的网址所在的网段， 如果是， 则为合 法。 在确定用户配置的静态 ARP的 IP地址属于预先分配给该用户的网 址所在的网段后，进一步确定该用户配置静态 ARP的数目是否超过上 级供应商预先提供给该用户的 ARP配置权限阔值， 如果没有超过， 则 该用户有权继续配置新增静态 ARP。

所述对 ACL配置权限的认证包括： 确定用户配置的 ACL的源 IP地 址或目的 IP地址是否属于预先分配给该用户的网址所在的网段，如果 是， 则为合法。 在确定用户配置的 ACL的源 IP地址或目的 IP地址属于 预先分配给该用户的网址所在的网段后 ,进一步确定该用户配置 ACL 表项的数目是否超过上级供应商预先提供给该用户的 ACL表项配置 权限阔值， 如果没有超过， 则该用户有权继续配置新增 ACL表项。

所述对 QoS配置权限的认证包括： 确定用户配置的 QoS带宽保证 的总带宽是否超过上级供应商预先提供给该用户的 QoS总带宽， 如果 没有超过， 则为合法。 在确定用户配置的 QoS带宽保证的总带宽没有 超过上级供应商预先提供给该用户的 QoS总带宽后， 进一步确定该用 户配置 QoS策略的数目是否超过上级供应商预先提供给该用户的 QoS 策略配置权限阔值， 如果没有超过， 则该用户有权继续配置新增 QoS 策略。

所述 ARP配置权限认证、 ACL配置权限认证和 QoS配置权限认证 中的一种或多种权限认证同时进行或以任何顺序完成。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解 到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台 的方式来实现。基于这样的理解， 本发明的技术方案可以以软件产品 的形式体现出来， 该软件产品可以存储在一个非易失性存储介质（可 以是 CD-ROM, U盘， 移动硬盘等） 中， 包括若干指令用以使得一 台计算机设备（可以是个人计算机， 服务器， 或者网络设备等）执行 本发明各个实施例所述的方法。

总之， 以上所述仅为本发明的较佳实施例而已， 并非用于限定本 发明的保护范围。 凡在本发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权利要求

1、 一种用户管理方法， 其特征在于， 包括：

对用户进行身份认证；

在所述用户的身份认证为合法后，对所述用户的管理权限进行认 证；

在所述用户的管理权限认证通过后，允许所述用户根据所述用户 的管理权限对业务进行配置管理。

2、 如权利要求 1所述的方法， 其特征在于， 所述对用户进行身份 认证方式包括： 通过用户输入的用户名和密码进行身份认证、 或通过 有管理权限的用户的 IP地址认证、 或通过有管理权限的用户的 MAC 地址认证确认登录者的身份，或通过在网段内设定某网址属于合法的 有管理权限的用户的地址认证。

3、 如权利要求 1所述的方法， 其特征在于， 所述对所述用户的管 理权限进行认证包括对所述用户管理的具体业务种类的管理权限认 证。

4、 如权利要求 3所述的方法， 其特征在于， 所述用户管理的具体 业务种类包括 ARP配置、 ACL配置和 QoS配置中的一种或多种； 所述 对所述用户管理的具体业务种类的管理权限认证对应包括对 ARP配 置权限的认证、 对 ACL配置权限的认证和对 QoS配置权限的认证中的 一种或多种。

5、 如权利要求 4所述的方法， 其特征在于， 所述对 ARP配置权限 的认证包括： 确定用户配置的静态 ARP的 IP地址是否属于预先分配给 该用户的网址所在的网段， 如果是， 则为合法。

6、 如权利要求 5所述的方法， 其特征在于， 所述对 ARP配置权限 的认证还包括： 在确定用户配置的静态 ARP的 IP地址属于预先分配给 该用户的网址所在的网段后，进一步确定该用户配置静态 ARP的数目 是否超过上级供应商预先提供给该用户的 ARP配置权限阔值，如果没 有超过， 则该用户有权继续配置新增静态 ARP。

7、 如权利要求 4所述的方法， 其特征在于， 所述对 ACL配置权限 的认证包括： 确定用户配置的 ACL的源 IP地址或目的 IP地址是否属于 预先分配给该用户的网址所在的网段， 如果是， 则为合法。

8、 如权利要求 7所述的方法， 其特征在于， 所述对 ACL配置权限 的认证还包括： 在确定用户配置的 ACL的源 IP地址或目的 IP地址属于 预先分配给该用户的网址所在的网段后 ,进一步确定该用户配置 ACL 表项的数目是否超过上级供应商预先提供给该用户的 ACL表项配置 权限阔值， 如果没有超过， 则该用户有权继续配置新增 ACL表项。

9、 如权利要求 4所述的方法， 其特征在于， 所述对 QoS配置权限 的认证包括： 确定用户配置的 QoS带宽保证的总带宽是否超过上级供 应商预先提供给该用户的 QoS总带宽， 如果没有超过， 则为合法。

10、 如权利要求 9所述的方法， 其特征在于， 所述对 QoS配置权 限的认证还包括： 在确定用户配置的 QoS带宽保证的总带宽没有超过 上级供应商预先提供给该用户的 QoS总带宽后， 进一步确定该用户配 置 QoS策略的数目是否超过上级供应商预先提供给该用户的 QoS策略 配置权限阔值，如果没有超过，则该用户有权继续配置新增 QoS策略。

11、 如权利要求 4所述的方法， 其特征在于， 所述 ARP配置权限 认证、 ACL配置权限认证和 QoS配置权限认证中的一种或多种权限认 证同时进行或以任何顺序完成。

12、 一种用户管理装置， 其特征在于， 包括管理权限认证模块，

管理权限认证通过后 ,允许用户在所述管理权限范围内进行管理配置 操作。

13、 如权利要求 12所述的装置， 其特征在于， 所述管理权限认证 模块包括： ACL配置权限判定模块、 ARP配置权限判定模块和 QoS配 置权限判定模块中的一个或多个， 其中， 所述 ACL配置权限判定模块用于确定用户是否有足够的 ACL配 置权限， 所述 ARP配置权限判定模块用于确定用户是否有足够的 ARP 配置权限， 所述 QoS配置权限判定模块用于确定用户是否有足够的 QoS配置权限。

14、 如权利要求 12所述的装置， 其特征在于， 还包括鉴权模块， 所述鉴权模块用于对用户进行身份认证。