WO2009105950A1 - 用户管理方法和装置 - Google Patents

用户管理方法和装置 Download PDF

Info

Publication number
WO2009105950A1
WO2009105950A1 PCT/CN2008/072612 CN2008072612W WO2009105950A1 WO 2009105950 A1 WO2009105950 A1 WO 2009105950A1 CN 2008072612 W CN2008072612 W CN 2008072612W WO 2009105950 A1 WO2009105950 A1 WO 2009105950A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
authority
configuration
authentication
qos
Prior art date
Application number
PCT/CN2008/072612
Other languages
English (en)
French (fr)
Inventor
孙建平
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to EP08872929.8A priority Critical patent/EP2239887B1/en
Publication of WO2009105950A1 publication Critical patent/WO2009105950A1/zh
Priority to US12/869,753 priority patent/US8516604B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the embodiments of the present invention relate to the field of communications, and in particular, to a user management method and apparatus. Background technique
  • the user side of the SR Service Router
  • ARP Address Resolution Protocol
  • conflicts and malicious phishing resulting in normal users not being able to access the Internet.
  • An enterprise's Layer 2 network accesses the service router, it needs to adjust the ACL (access control list) to limit the access rights of users in the enterprise. Or adjust the bandwidth and priority of some users. Key business is guaranteed by service. All of these tasks require Internet cafe administrators, enterprise network administrators, etc. to apply to the operator and then go through a lot of process review before they can be implemented. In the actual operation and maintenance process, this case takes a long time to process, which leads to lower efficiency and higher cost.
  • VR Virtual Router
  • the embodiment of the invention provides a user management method and device, so as to reduce network operation and maintenance cost and improve efficiency.
  • An embodiment of the present invention is to provide a user management method, including the following steps: performing identity authentication on a user; and authenticating the management authority of the user after the identity authentication of the user is legal; After the user's management authority is authenticated, the user is allowed to perform configuration management on the service according to the management authority of the user.
  • Another embodiment of the present invention is to provide a user management apparatus, including a management authority authentication module, for authenticating a user's management authority after the user's identity legality authentication is passed; after the user's management authority is authenticated, Allows the user to perform management configuration operations within the scope of the administrative authority.
  • a management authority authentication module for authenticating a user's management authority after the user's identity legality authentication is passed; after the user's management authority is authenticated, Allows the user to perform management configuration operations within the scope of the administrative authority.
  • the management authority authentication module includes: one or more of an ACL configuration authority determination module, an ARP configuration authority determination module, and a QoS (Quality of Service) configuration authority determination module, where the ACL configuration authority
  • the determining module is configured to determine whether the user has sufficient ACL configuration authority
  • the ARP configuration authority determining module is configured to determine whether the user has sufficient ARP configuration authority
  • the QoS configuration authority determining module is configured to determine whether the user has sufficient QoS configuration. Permissions.
  • the embodiment of the invention has the following advantages:
  • the appropriate authorization can be applied to the lower-level users, which can reduce operation and maintenance costs, improve efficiency, solve problems in time, and improve customer satisfaction.
  • FIG. 1 is a flowchart of a user management method according to an embodiment of the present invention
  • 2 is a flowchart of an example of a user management method according to an embodiment of the present invention
  • FIG. 3 is a structural block diagram of a user management apparatus according to an embodiment of the present invention. detailed description
  • Authorization management of resources and features on the service router SR The carrier or the superior resource provider classifies and configures various IP (Internet Protocol) resources, interfaces, bandwidth resources, etc. on the service router SR, and performs rights. After the operator leases and sells the IP resources, interfaces, and bandwidth resources to the Internet cafe users and enterprise users, the Internet cafe administrator and the enterprise network administrator are assigned a limited user name and password. Each limited user name is assigned a certain number. Management authority, the management authority is preset, and can be determined by signing or agreement, for example, assigning a specific IP address segment, interface, and bandwidth resource to a company. The company can manage settings within the allocated resource range, beyond the allocation scope. The section does not have permission to configure and manage settings.
  • IP Internet Protocol
  • An embodiment of the present invention provides a user management method. As shown in FIG. 1, the method includes:
  • Sl Perform identity authentication on the user.
  • the user name and password entered by the user can be used for identity authentication to determine whether the user has the right to perform subsequent management configuration operations. Work.
  • the authentication can be implemented on the service router SR, or in a dedicated authentication server, or the AAA server (Authentication, Authorization, Accounting Server, Authentication, Authentication, and Accounting Server) or RADIUS server (Remote Authentication Dial) Implemented on In User Service, Remote User Dial-Up Authentication System).
  • the certification is passed, it is allowed to enter the S2 certification process.
  • the authentication method can also use the user name and password form, and use other forms, such as the IP address authentication of the user with administrative rights, or the identity of the registrant through the MAC address authentication of the user with administrative rights, or through Set the address authentication of a user whose website is legal and has administrative rights in the network segment.
  • S2 authentication further determines whether a user with configuration rights has one or more rights in ARP configuration rights, ACL configuration rights, and QoS configuration rights, and determines a threshold for configuring ARP configuration rights, ACL configuration rights, and QoS configuration rights. These thresholds are preset by the carrier or the superior network resource provider.
  • the user After the authentication of the foregoing S2 is passed, the user is allowed to perform configuration management according to the management authority of the user, that is, the user may obtain the corresponding authority according to the pre-requisition obtained from the operator or the superior network resource provider. Configure one or more of ARP, ACL, and QoS configurations in scope.
  • the operator assigns the user a limited username and password (username: abc password: 123), you can log in to the SR to configure 100 static ARPs, 50 ACL rules, and 10 QoS policies.
  • the specific management process is shown in Figure 2.
  • the user logs in to the service router interface, and enters the limited user name abc and the corresponding password 123 to seek authentication and authorization;
  • the service router SR performs management authority authorization authentication according to the limited user name and password input by the user. If the authentication fails, the user returns an error message indicating that the user name or password is incorrect or invalid. If the authentication succeeds, the user can continue. Carry out other Authentication, including configuration authority authentication for ARP, ACL, QoS, etc.
  • IP address of the static ARP configured by the user belongs to the 211.10.10.0/24 network segment where the URL is pre-assigned to the user. If the IP address of the static ARP configured by the user does not belong to the URL that is pre-assigned to the user. On the 211.10.10.0/24 network segment, the execution fails, and the error message a is returned. If the IP address of the static ARP configured by the user belongs to the 211.10.10.0/24 network segment where the URL is pre-assigned to the user, Continue to determine whether the number of static ARPs configured by the user is less than or equal to 100, that is, the ARP configuration permission provided by the operator to the user.
  • the configuration is rejected. If the new static ARP fails to be executed, the error message d is returned. However, the user can still change the original static ARP configuration, such as deleting or modifying the static ARP configuration. If the number of static ARP configurations is less than or equal to 100, the configuration of the static ARP configuration is successful. Increased static ARP entry into force.
  • the source IP address or the destination IP address of the ACL is not pre-assigned, the source IP address or the destination IP address of the ACL is not pre-assigned. If the URL of the user is located on the 211.10.10.0/24 network segment, the ACL fails to be configured and the error message b is returned. If the source IP address or destination IP address of the ACL is pre-assigned to the user. On the 211.10.10.0 /24 network segment where the URL is located, the number of AC L rules configured by the user is determined to be less than or equal to 50. That is, the number of ACL rules configured by the operator for the user is configured. If it is greater than 50, it refuses to continue to configure to add a new ACL rule.
  • the new ACL rule fails to be executed, and the error message e is returned.
  • the user can still change the original configuration within the scope of its wide value.
  • ACL rules such as modifying or deleting some original ACL rules; if the number of ACL rules configured by the user is less than 50, the new ACL rule is successful, the new ACL rule takes effect.
  • the user can still change the original QoS within the scope of the wide value authority.
  • the policy such as modifying or deleting some original QoS policies; if the number of QoS policies configured by the user is less than or equal to 10, the QoS policy configuration is successfully executed, and the newly added QoS policy takes effect.
  • the user management method of the embodiment of the present invention can reduce the operation and maintenance cost, improve the efficiency and solve the problem in time, and improve the customer satisfaction by appropriately authorizing the lower-level user.
  • the management authority authentication module of the user management apparatus may specifically include an ACL configuration authority determination module 301, an ARP configuration authority determination module 302, and a QoS configuration authority determination module 303. Determining whether the user has sufficient ACL configuration authority, the ARP configuration authority determining module 302 is configured to determine whether the user has sufficient ARP configuration authority, and the QoS configuration authority determining module 303 is configured to determine whether the user has sufficient QoS configuration rights, when the above three After the configuration authority determination modules 301, 302, and 303 authenticate the corresponding configuration rights of the user, the user can be allowed to perform corresponding management configuration operations. For example, if you want to add a static ARP configuration, you must not exceed the threshold value after the configuration of the static ARP is complete.
  • the determination process of the ACL configuration authority determination module 301, the ARP configuration authority determination module 302, and the QoS configuration authority determination module 303 may be performed simultaneously, or may be completed in any order, or only partially authenticated as needed, for example, only ACL configuration is required.
  • Authorization authentication to determine whether the user has the right to configure or modify or delete some existing ACL entries.
  • the user management apparatus may further include an authentication module 304, configured to determine, according to the user name and password input by the user, whether the user has the right to perform a later management configuration operation.
  • the authentication can also be done on other devices, such as AAA server or RADIUS.
  • the authentication module 304 can be located on the service router or on other network devices.
  • the user management device of the embodiment of the present invention can reduce the operation and maintenance cost, improve the efficiency and solve the problem in time, and improve the customer satisfaction by appropriately authorizing the lower-level user.
  • the user management method and apparatus of the embodiments of the present invention can be implemented by a software program stored on a machine readable medium. That is, the embodiment of the present invention further provides a machine readable storage
  • the method includes the following steps: performing identity authentication on the user; after the identity authentication of the user is legal, authenticating the management authority of the user; after the management authority authentication of the user passes, allowing the user to perform the The user's administrative rights configure and manage the business.
  • the method for authenticating the user includes: performing identity authentication by using a user name and password input by the user, or authenticating the IP address of the user with the administrative authority, or confirming the identity of the login by the MAC address authentication of the user with the administrative authority. Or by setting the address authentication of a user with legal rights to a legitimate website in the network segment. Management authority authentication for the type of business.
  • the specific service type of the user management includes one or more of an ARP configuration, an ACL configuration, and a QoS configuration; and the management authority authentication corresponding to the specific service type managed by the user includes the authentication of the ARP configuration authority, One or more of ACL configuration authority authentication and QoS configuration authority authentication.
  • the authentication of the ARP configuration authority includes: determining whether the IP address of the static ARP configured by the user belongs to the network segment where the URL is pre-assigned to the user, and if so, the method is legal. After determining that the IP address of the static ARP configured by the user belongs to the network segment where the URL is pre-assigned to the user, it is further determined whether the number of static ARPs configured by the user exceeds the ARP configuration permission threshold provided by the upper-level provider to the user. If not exceeded, the user has the right to continue to configure new static ARP.
  • the authentication of the ACL configuration authority includes: determining whether the source IP address or the destination IP address of the ACL configured by the user belongs to the network segment where the URL is pre-assigned to the user, and if so, it is legal. After determining that the source IP address or the destination IP address of the ACL configured by the user belongs to the network segment where the URL is pre-assigned to the user, it is further determined whether the number of ACL entries configured by the user exceeds the ACL pre-provided by the upper-level provider to the user. The value of the ACL is configured. If the value is not exceeded, the user has the right to continue to configure the ACL.
  • the authentication of the QoS configuration authority includes: determining whether the total bandwidth of the QoS bandwidth guarantee configured by the user exceeds the total QoS bandwidth provided by the upper-level provider to the user in advance, and if not, is legal. In determining the total bandwidth of the user-configured QoS bandwidth guarantee After the total QoS bandwidth provided by the upper-level provider to the user is exceeded, it is further determined whether the number of QoS policies configured by the user exceeds the threshold of the QoS policy configured by the superior provider in advance, and if not exceeded, the user has The right to continue to configure new QoS policies.
  • One or more of the ARP configuration authority authentication, the ACL configuration authority authentication, and the QoS configuration authority authentication are performed simultaneously or in any order.
  • the present invention can be implemented by hardware or by software plus necessary general hardware platform.
  • the technical solution of the present invention may be embodied in the form of a software product, which may be stored in a non-volatile storage medium (which may be a CD-ROM, a USB flash drive, a mobile hard disk, etc.), including several The instructions are for causing a computer device (which may be a personal computer, server, or network device, etc.) to perform the methods described in various embodiments of the present invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

用户管理方法和装置
技术领域
本发明实施例涉及通信领域, 尤其涉及一种用户管理方法和装 置。 背景技术
目前, SR ( Service Router, 业务路由器) 的用户侧通常会接入 大量的网吧用户、 企业用户, 但是从同一端口接入的多个网吧用户, 容易出现 ARP ( Address Resolution Protocol, 地址解析协议报文) 冲 突和恶意仿冒, 导致正常用户无法上网。 而企业的二层网络在接入到 业务路由器时,需要经常调整 ACL( access control list,访问控制列表), 来限制企业内用户的访问权限; 或需要调整某些用户的带宽和优先 级, 使得关键业务得到服务保证。 这些工作, 都需要网吧管理员、 企 业网管理员等向运营商提出申请,然后经过大量流程审核才可能得到 实施。 实际运维过程中, 这种情况的处理时间较长, 这导致了较低的 效率和较高的成本。
现在技术中提出了 VR ( Vertual Router, 虚拟路由器) 的概念, 即在真实的路由器上划分一部分资源, 形成一个虚拟的路由器, 租赁 给最终用户。 最终用户拥有这个虚拟路由器的管理权限, 进行配置或 组网, 来满足实际业务开展的需要。
在实现本发明的过程中, 发明人发现现有技术至少存在以下问 题:
现有技术中釆用了 VR的概念,在真实的路由器上划分一部分资 源, 形成一个虚拟的路由器, 租赁给最终用户, 这种做法比较复杂, 实际的应用场景也受到局限。 发明内容 本发明实施例提供一种用户管理方法和装置,以实现降低网络运 维成本, 提高效率。
本发明实现上述目的的一个实施方式是: 提供一种用户管理方 法, 包括以下步骤: 对用户进行身份认证; 在所述用户的身份认证为 合法后, 对所述用户的管理权限进行认证; 在所述用户的管理权限认 证通过后 ,允许所述用户根据所述用户的管理权限对业务进行配置管 理。
本发明实现上述目的的另一个实施方式是:提供一种用户管理装 置, 包括管理权限认证模块, 用于在用户的身份合法性认证通过后认 证用户的管理权限; 在用户的管理权限认证通过后, 允许用户在所述 管理权限范围内进行管理配置操作。
优选地, 所述管理权限认证模块包括: ACL配置权限判定模块、 ARP配置权限判定模块和 QoS ( Quality of Service, 服务质量)配置权 限判定模块中的一个或多个, 其中, 所述 ACL配置权限判定模块用于 确定用户是否有足够的 ACL配置权限,所述 ARP配置权限判定模块用 于确定用户是否有足够的 ARP配置权限, 所述 QoS配置权限判定模块 用于确定用户是否有足够的 QoS配置权限。
与现有技术相比, 本发明实施例具有以下优点:
釆用本发明实施方式提供的方法和装置 ,通过适当的授权给下级 用户, 可以降低运维成本, 提高效率并且使问题及时解决, 提升客户 满意度。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面 将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而 易见地, 下面描述中的附图仅仅是本发明的一些实施例, 对于本领域 普通技术人员来讲, 在不付出创造性劳动性的前提下, 还可以根据这 些附图获得其他的附图。
图 1为本发明实施例的用户管理方法流程图; 图 2为本发明实施例的用户管理方法举例流程图; 图 3为本发明实施例的用户管理装置的结构框图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方 案进行清楚、 完整地描述, 显然, 所描述的实施例仅是本发明一部分 实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普通 技术人员在没有作出创造性劳动前提下所获得的所有其他实施例 ,都 属于本发明保护的范围。
现有技术的低效率、 高成本, 虽然有管理制度的因素, 但根本原 因还是由于现有的业务路由器没有提供一个行之有效的授权用户实 行自我管理的功能。
在业务路由器 SR上实现资源、 特性的授权管理: 运营商或上级 资源供应商在业务路由器 SR上将各种 IP( Internet Protocol,网际协议 ) 资源、 接口、 带宽资源等进行分类配置, 并进行权限配置, 之后运营 商把 IP资源、 接口、 带宽资源租售给网吧用户和企业用户的同时, 向 网吧管理员、企业网管理员分配受限用户名和密码, 每个受限用户名 被分配一定的管理权限, 该管理权限预先设置, 可以通过签约或者协 议确定, 比如为某个公司分配特定的 IP地址段、 接口、 带宽资源, 该 公司可以在该分配的资源范围内进行管理设置,超出分配范围的部分 则没有权限进行配置和管理设置。
管理员使用受限用户名和密码登陆 SR后, 经过鉴权, 该管理员 可以对所属的 IP、接口、 带宽做设置,如配置静态 ARP防止 ARP仿冒; 配置与所属 IP相关的 ACL来控制用户的访问权限; 配置所属 IP中某些 IP对应的优先级和带宽, 来保证服务质量。 本发明实施例提供一种用 户管理方法, 如图 1所示, 该方法包括:
Sl、对用户进行身份合法性认证, 可以通过用户输入的用户名和 密码来进行身份认证, 确定该用户是否有权进行以后的管理配置操 作。 该认证可以在业务路由器 SR上实现, 也可以在专门的认证服务 器,比^口 AAA月良务器( Authentication, Authorization, Accounting Server, 认证、 鉴权和计费服务器)或 RADIUS服务器( Remote Authentication Dial In User Service , 远程用户拨号认证系统)上实现。 认证通过后, 允许其进入 S2的认证过程。认证方式也可以不釆用用户名和密码的形 式, 而釆用其他形式, 比如通过有管理权限的用户的 IP地址认证, 或 通过有管理权限的用户的 MAC地址认证确认登录者的身份, 或通过 在网段内设定某网址属于合法的有管理权限的用户的地址认证等。
52、 对用户的 ARP配置权限、 ACL配置权限和 QoS配置权限等管 理权限进行认证。
S2的认证, 进一步确定有配置权限的用户是否有 ARP配置权限、 ACL配置权限和 QoS配置权限中的一个或多个权限, 以及确定有配置 ARP配置权限、 ACL配置权限和 QoS配置权限的阔值, 这些阔值由运 营商或上级网络资源提供商预先设置。
53、前述 S2的认证通过后,允许所述用户根据所述用户的管理权 限对业务进行配置管理,即用户可根据其预先从运营商或上级网络资 源提供商处获取的相应权限, 在该权限范围内进行 ARP、 ACL和 QoS 配置中的一种或多种进行配置。
由于静态 ARP、 ACL属于整台业务路由器 SR的资源,所以对于不 同的管理员, 应该有配置数目上的限制。
举例: 用户从运营商租赁了一个 100M的接口 ( Ethernet 0/1 )和 255个 IP地址(211.10.10.0/24 ) , 运营商给用户分配了一个受限用户 名和密码(用户名: abc 密码: 123 ) , 可以登陆到 SR配置静态 ARP 100个, ACL规则 50个, QoS策略 10个, 具体管理过程如图 2所示。
用户登录业务路由器的界面, 输入受限用户名 abc和对应的密码 123 , 以寻求认证授权;
业务路由器 SR根据用户输入的受限用户名和密码, 进行管理权 限授权认证; 如果认证失败, 则向用户返回错误提示信息, 表明用户 名或密码不正确或无效; 如果认证成功, 则该用户可以继续进行其他 认证, 包括 ARP、 ACL、 QoS等的配置权限认证。
( 1 ) ARP配置权限认证
判断用户配置的静态 ARP的 IP地址是否属于预先分配给该用户 的网址所在的 211.10.10.0/24网段, 如果该用户的配置的静态 ARP的 IP 地址不属于预先分配给该用户的网址所在的 211.10.10.0/24网段,则意 味着执行失败, 返回错误提示信息 a; 如果该用户的配置的静态 ARP 的 IP地址属于预先分配给该用户的网址所在的 211.10.10.0/24网段, 则 继续判断用户配置静态 ARP的数目是否小于等于 100, 也就是运营商 给该用户提供的 ARP配置权限阔值,如果该用户配置静态 ARP的数目 已经大于 100, 则拒绝其继续配置增加新的静态 ARP, 增加新的静态 ARP执行失败, 返回错误提示信息 d, 但是, 此时, 用户仍然可以在 该阔值权限范围内配置改变原有的静态 ARP配置, 比如删除或修改原 先配置的静态 ARP; 如果该用户配置静态 ARP的数目小于等于 100 , 则增加静态 ARP配置执行成功, 配置新增的静态 ARP生效。
( 2 ) ACL配置权限认证
判断用户配置的 ACL的源 IP地址或目的 IP地址是否属于预先分 配给该用户的网址所在的 211.10.10.0/24网段,如果该用户配置的 ACL 的源 IP地址或目的 IP地址不属于预先分配给该用户的网址所在的 211.10.10.0/24网段, 则意味着配置 ACL执行失败,返回错误提示信息 b; 如果该用户配置的 ACL的源 IP地址或目的 IP地址属于预先分配给 该用户的网址所在的 211.10.10.0 /24网段, 则继续判断用户配置 AC L 规则的数目是否小于等于 50,也就是运营商给该用户提供的 ACL规则 配置权限阔值, 如果该用户配置 ACL规则的数目已经大于 50, 则拒绝 其继续配置增加新的 ACL规则, 配置增加新的 ACL规则执行失败, 返 回错误提示信息 e, 但是, 此时用户仍然可以在其阔值权限范围内, 配置改变原有的 ACL规则, 比如修改或删除某些原有的 ACL规则; 如 果该用户配置 ACL规则的数目小于等于 50,则新增 ACL规则配置执行 成功, 配置的新增 ACL规则生效。
( 3 ) QoS配置权限认证 判断用户配置的 QoS带宽保证的总带宽是否小于等于 100M,如果 用户配置的 QoS带宽保证的总带宽大于 100M,则意味着用户配置 QoS 带宽执行失败, 返回错误提示信息 c; 如果用户配置的 QoS带宽保证 的总带宽小于等于 100M,则继续判断用户配置 QoS策略的数目是否小 于等于 10 , 也就是运营商给该用户提供的 QoS策略配置数目阔值, 如 果该用户配置 QoS策略的数目已经大于 10, 则拒绝其继续新增 QoS策 略配置, 用户的新增 QoS策略配置执行失败, 返回错误提示信息 f, 但 是, 此时, 此时用户仍然可以在其阔值权限范围内, 配置改变原有的 QoS策略,比如修改或删除某些原有的 QoS策略;如果该用户配置 QoS 策略的数目小于等于 10 , 则 QoS策略配置执行成功, 配置新增的 QoS 策略生效。
以上 ARP、 ACL、 QoS等的配置权限认证均在用户授权认证之后 进行, 但是三者可以同时进行, 也可以先后完成; 或者根据需要只完 成部分认证, 比如, 仅仅需要 ACL配置权限认证, 以确定该用户是否 有权限配置或修改现有的某些 ACL表项。
进一步地, 在某项配置的阔值已满的情况下, 在有相应管理权限 的用户登入后,可以设置直接向该用户提示不可进行某项或某些业务 的新增配置, 以便有管理权限的用户登录后, 可以直接在自己的操作 权限范围内进行操作。
如果有优先级比较高的任务需完成,但是相应的管理权限的阔值 已满, 可以删除部分已设置的对象, 从而满足该优先级较高的任务; 也就是, 有管理权限的用户可以对已配置的内容的管理。
本发明实施方式的用户管理方法, 通过适当的授权给下级用户, 可以降低运维成本, 提高效率和问题的及时解决, 提升客户满意度。
本发明的另一实施方式还提供一种用户管理装置,该装置包括管 理权限认证模块, 用于在用户的身份合法性认证通过后, 认证用户的 管理权限; 在用户通过管理权限认证后, 允许用户在其管理权限范围 内执行管理配置或修改或删除的操作。所述管理权限认证模块具体可 以包括 ACL配置权限判定模块、 ARP配置权限判定模块和 QoS配置权 限判定模块中的一个或多个。
如图 3所示, 所述用户管理装置的管理权限认证模块具体可以包 括 ACL配置权限判定模块 301、 ARP配置权限判定模块 302和 QoS配置 权限判定模块 303; 其中, ACL配置权限判定模块 301用于确定用户是 否有足够的 ACL配置权限、 ARP配置权限判定模块 302用于确定用户 是否有足够的 ARP配置权限, QoS配置权限判定模块 303用于确定用 户是否有足够的 QoS配置权限, 当上述三个 个配置权限判定模块 301 , 302, 303对用户的相应配置权限认证通过后才能允许用户进行 相应的管理配置操作。 比如, 用户要进行新增静态 ARP的配置, 必须 在该新增静态 ARP的配置完成后, 不超出其阔值权限, 比如, 如果该 用户的权限是只能配置 100条静态 ARP,则一旦其已经配置了 100条静 态 ARP, 就不能再配置增加新的静态 ARP, 但是该用户可以对原先配 置的静态 ARP执行修改或删除的配置。 类似地, 对 QoS策略和 ACL规 则的配置也是如此。
ACL配置权限判定模块 301、 ARP配置权限判定模块 302和 QoS配 置权限判定模块 303的判定过程, 可以同时进行, 也可以先后以任何 顺序完成, 或者根据需要只完成部分认证, 比如, 仅仅需要 ACL配置 权限认证, 以确定该用户是否有权限配置或修改或删除现有的某些 ACL表项。
为了确保用户管理权限的安全性,该用户管理装置还可以包括鉴 权模块 304, 用于根据用户输入的用户名和密码, 确定该用户是否有 权进行以后的管理配置操作。 当然, 该认证也可以在其他设备, 比如 AAA服务器或 RADIUS上完成。鉴权模块 304可以位于业务路由器上, 也可以位于其他网络设备上。
本发明实施方式的用户管理装置, 通过适当的授权给下级用户, 可以降低运维成本, 提高效率和问题的及时解决, 提升客户满意度。
本发明实施方式的用户管理方法和装置,可以用存储在机器可读 介质上的软件程序来实现。即本发明实施方式还提供一种机器可读存 方法包括以下步骤: 对用户进行身份认证; 在所述用户的身份认证为 合法后, 对所述用户的管理权限进行认证; 在所述用户的管理权限认 证通过后 ,允许所述用户根据所述用户的管理权限对业务进行配置管 理。
所述对用户进行身份认证方式包括:通过用户输入的用户名和密 码进行身份认证、 或通过有管理权限的用户的 IP地址认证、 或通过有 管理权限的用户的 MAC地址认证确认登录者的身份, 或通过在网段 内设定某网址属于合法的有管理权限的用户的地址认证。 体业务种类的管理权限认证。
所述用户管理的具体业务种类包括 ARP配置、 ACL配置和 QoS配 置中的一种或多种;所述对所述用户管理的具体业务种类的管理权限 认证对应包括对 ARP配置权限的认证、 对 ACL配置权限的认证和对 QoS配置权限的认证中的一种或多种。
所述对 ARP配置权限的认证包括: 确定用户配置的静态 ARP的 IP 地址是否属于预先分配给该用户的网址所在的网段, 如果是, 则为合 法。 在确定用户配置的静态 ARP的 IP地址属于预先分配给该用户的网 址所在的网段后,进一步确定该用户配置静态 ARP的数目是否超过上 级供应商预先提供给该用户的 ARP配置权限阔值, 如果没有超过, 则 该用户有权继续配置新增静态 ARP。
所述对 ACL配置权限的认证包括: 确定用户配置的 ACL的源 IP地 址或目的 IP地址是否属于预先分配给该用户的网址所在的网段,如果 是, 则为合法。 在确定用户配置的 ACL的源 IP地址或目的 IP地址属于 预先分配给该用户的网址所在的网段后 ,进一步确定该用户配置 ACL 表项的数目是否超过上级供应商预先提供给该用户的 ACL表项配置 权限阔值, 如果没有超过, 则该用户有权继续配置新增 ACL表项。
所述对 QoS配置权限的认证包括: 确定用户配置的 QoS带宽保证 的总带宽是否超过上级供应商预先提供给该用户的 QoS总带宽, 如果 没有超过, 则为合法。 在确定用户配置的 QoS带宽保证的总带宽没有 超过上级供应商预先提供给该用户的 QoS总带宽后, 进一步确定该用 户配置 QoS策略的数目是否超过上级供应商预先提供给该用户的 QoS 策略配置权限阔值, 如果没有超过, 则该用户有权继续配置新增 QoS 策略。
所述 ARP配置权限认证、 ACL配置权限认证和 QoS配置权限认证 中的一种或多种权限认证同时进行或以任何顺序完成。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解 到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台 的方式来实现。基于这样的理解, 本发明的技术方案可以以软件产品 的形式体现出来, 该软件产品可以存储在一个非易失性存储介质(可 以是 CD-ROM, U盘, 移动硬盘等) 中, 包括若干指令用以使得一 台计算机设备(可以是个人计算机, 服务器, 或者网络设备等)执行 本发明各个实施例所述的方法。
总之, 以上所述仅为本发明的较佳实施例而已, 并非用于限定本 发明的保护范围。 凡在本发明的精神和原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。

Claims

权利要求
1、 一种用户管理方法, 其特征在于, 包括:
对用户进行身份认证;
在所述用户的身份认证为合法后,对所述用户的管理权限进行认 证;
在所述用户的管理权限认证通过后,允许所述用户根据所述用户 的管理权限对业务进行配置管理。
2、 如权利要求 1所述的方法, 其特征在于, 所述对用户进行身份 认证方式包括: 通过用户输入的用户名和密码进行身份认证、 或通过 有管理权限的用户的 IP地址认证、 或通过有管理权限的用户的 MAC 地址认证确认登录者的身份,或通过在网段内设定某网址属于合法的 有管理权限的用户的地址认证。
3、 如权利要求 1所述的方法, 其特征在于, 所述对所述用户的管 理权限进行认证包括对所述用户管理的具体业务种类的管理权限认 证。
4、 如权利要求 3所述的方法, 其特征在于, 所述用户管理的具体 业务种类包括 ARP配置、 ACL配置和 QoS配置中的一种或多种; 所述 对所述用户管理的具体业务种类的管理权限认证对应包括对 ARP配 置权限的认证、 对 ACL配置权限的认证和对 QoS配置权限的认证中的 一种或多种。
5、 如权利要求 4所述的方法, 其特征在于, 所述对 ARP配置权限 的认证包括: 确定用户配置的静态 ARP的 IP地址是否属于预先分配给 该用户的网址所在的网段, 如果是, 则为合法。
6、 如权利要求 5所述的方法, 其特征在于, 所述对 ARP配置权限 的认证还包括: 在确定用户配置的静态 ARP的 IP地址属于预先分配给 该用户的网址所在的网段后,进一步确定该用户配置静态 ARP的数目 是否超过上级供应商预先提供给该用户的 ARP配置权限阔值,如果没 有超过, 则该用户有权继续配置新增静态 ARP。
7、 如权利要求 4所述的方法, 其特征在于, 所述对 ACL配置权限 的认证包括: 确定用户配置的 ACL的源 IP地址或目的 IP地址是否属于 预先分配给该用户的网址所在的网段, 如果是, 则为合法。
8、 如权利要求 7所述的方法, 其特征在于, 所述对 ACL配置权限 的认证还包括: 在确定用户配置的 ACL的源 IP地址或目的 IP地址属于 预先分配给该用户的网址所在的网段后 ,进一步确定该用户配置 ACL 表项的数目是否超过上级供应商预先提供给该用户的 ACL表项配置 权限阔值, 如果没有超过, 则该用户有权继续配置新增 ACL表项。
9、 如权利要求 4所述的方法, 其特征在于, 所述对 QoS配置权限 的认证包括: 确定用户配置的 QoS带宽保证的总带宽是否超过上级供 应商预先提供给该用户的 QoS总带宽, 如果没有超过, 则为合法。
10、 如权利要求 9所述的方法, 其特征在于, 所述对 QoS配置权 限的认证还包括: 在确定用户配置的 QoS带宽保证的总带宽没有超过 上级供应商预先提供给该用户的 QoS总带宽后, 进一步确定该用户配 置 QoS策略的数目是否超过上级供应商预先提供给该用户的 QoS策略 配置权限阔值,如果没有超过,则该用户有权继续配置新增 QoS策略。
11、 如权利要求 4所述的方法, 其特征在于, 所述 ARP配置权限 认证、 ACL配置权限认证和 QoS配置权限认证中的一种或多种权限认 证同时进行或以任何顺序完成。
12、 一种用户管理装置, 其特征在于, 包括管理权限认证模块,
管理权限认证通过后 ,允许用户在所述管理权限范围内进行管理配置 操作。
13、 如权利要求 12所述的装置, 其特征在于, 所述管理权限认证 模块包括: ACL配置权限判定模块、 ARP配置权限判定模块和 QoS配 置权限判定模块中的一个或多个, 其中, 所述 ACL配置权限判定模块用于确定用户是否有足够的 ACL配 置权限, 所述 ARP配置权限判定模块用于确定用户是否有足够的 ARP 配置权限, 所述 QoS配置权限判定模块用于确定用户是否有足够的 QoS配置权限。
14、 如权利要求 12所述的装置, 其特征在于, 还包括鉴权模块, 所述鉴权模块用于对用户进行身份认证。
PCT/CN2008/072612 2008-02-28 2008-10-07 用户管理方法和装置 WO2009105950A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP08872929.8A EP2239887B1 (en) 2008-02-28 2008-10-07 User managing method and apparatus
US12/869,753 US8516604B2 (en) 2008-02-28 2010-08-27 Method and apparatus for managing a user

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CNA2008100657319A CN101267339A (zh) 2008-02-28 2008-02-28 用户管理方法和装置
CN200810065731.9 2008-02-28

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US12/869,753 Continuation US8516604B2 (en) 2008-02-28 2010-08-27 Method and apparatus for managing a user

Publications (1)

Publication Number Publication Date
WO2009105950A1 true WO2009105950A1 (zh) 2009-09-03

Family

ID=39989488

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2008/072612 WO2009105950A1 (zh) 2008-02-28 2008-10-07 用户管理方法和装置

Country Status (4)

Country Link
US (1) US8516604B2 (zh)
EP (1) EP2239887B1 (zh)
CN (1) CN101267339A (zh)
WO (1) WO2009105950A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3886934B2 (ja) * 2003-06-09 2007-02-28 株式会社東芝 無線通信装置、通信制御プログラム及び通信制御方法
CN101267339A (zh) * 2008-02-28 2008-09-17 华为技术有限公司 用户管理方法和装置
CN101931971A (zh) * 2009-06-18 2010-12-29 中兴通讯股份有限公司 基站配置的管理方法及装置
JP5623271B2 (ja) * 2010-12-27 2014-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、権限管理方法、プログラムおよび記録媒体
CN103582185A (zh) * 2012-07-26 2014-02-12 深圳市乙辰科技发展有限公司 一种无线路由器
CN103873434B (zh) * 2012-12-10 2017-12-12 台众计算机股份有限公司 用以认定网点的发生事件的方法
US9596182B2 (en) * 2013-02-12 2017-03-14 Adara Networks, Inc. Controlling non-congestion controlled flows
US9928380B2 (en) * 2013-05-07 2018-03-27 International Business Machines Corporation Managing file usage
CN103906062B (zh) * 2014-04-22 2017-09-01 陈勇 一种无线路由器的机主认证方法、装置及系统
CN105141537A (zh) * 2015-10-16 2015-12-09 上海斐讯数据通信技术有限公司 对终端登录路由器请求进行处理的方法和装置
CN107395571A (zh) * 2017-06-28 2017-11-24 上海斐讯数据通信技术有限公司 一种基于mac地址的路由器登录管理方法及系统
CN108055254B (zh) * 2017-12-07 2021-01-15 锐捷网络股份有限公司 一种无感知认证的方法和装置
CN108696540A (zh) * 2018-07-18 2018-10-23 安徽云图信息技术有限公司 一种授权安全系统及其授权方法
CN109347822A (zh) * 2018-10-16 2019-02-15 杭州迪普科技股份有限公司 一种用户访问未授权资源的提示方法及装置
CN111191254B (zh) * 2019-08-01 2024-02-27 腾讯科技(深圳)有限公司 访问校验方法、装置、计算机设备及存储介质
CN112491813B (zh) * 2020-11-10 2022-09-06 深圳市中博科创信息技术有限公司 指令的传输控制方法、装置及计算机可读存储介质
CN113961907A (zh) * 2021-10-29 2022-01-21 北京金山云网络技术有限公司 内存缓存服务的管理方法、装置及服务器

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0977399A2 (en) * 1998-07-28 2000-02-02 Sun Microsystems, Inc. Authentication and access control in a management console program for managing services in a computer network
CN1379873A (zh) * 1999-10-15 2002-11-13 汤姆森特许公司 双向通信系统的用户接口
WO2003107133A2 (en) * 2002-06-01 2003-12-24 Engedi Technologies, Inc. Secure remote management appliance
CN101267339A (zh) * 2008-02-28 2008-09-17 华为技术有限公司 用户管理方法和装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
CN1286022C (zh) 2002-06-10 2006-11-22 联想(北京)有限公司 用户身份确认和授予操作权限的方法
US20040117376A1 (en) * 2002-07-12 2004-06-17 Optimalhome, Inc. Method for distributed acquisition of data from computer-based network data sources
EP1469633A1 (en) 2003-04-18 2004-10-20 Alcatel Method, devices, and computer program for negotiating QoS and cost of a network connection during setup
US7493081B2 (en) * 2003-12-18 2009-02-17 Vt Idirect, Inc. Virtual network operator system, method and apparatus
US7565416B1 (en) * 2004-04-14 2009-07-21 Juniper Networks, Inc. Automatic application of implementation-specific configuration policies
US7610610B2 (en) * 2005-01-10 2009-10-27 Mcafee, Inc. Integrated firewall, IPS, and virus scanner system and method
US7822027B2 (en) * 2006-10-05 2010-10-26 Cisco Technology, Inc. Network routing to the socket

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0977399A2 (en) * 1998-07-28 2000-02-02 Sun Microsystems, Inc. Authentication and access control in a management console program for managing services in a computer network
CN1379873A (zh) * 1999-10-15 2002-11-13 汤姆森特许公司 双向通信系统的用户接口
WO2003107133A2 (en) * 2002-06-01 2003-12-24 Engedi Technologies, Inc. Secure remote management appliance
CN101267339A (zh) * 2008-02-28 2008-09-17 华为技术有限公司 用户管理方法和装置

Also Published As

Publication number Publication date
US8516604B2 (en) 2013-08-20
EP2239887B1 (en) 2014-03-26
US20100325701A1 (en) 2010-12-23
EP2239887A1 (en) 2010-10-13
CN101267339A (zh) 2008-09-17
EP2239887A4 (en) 2011-12-21

Similar Documents

Publication Publication Date Title
WO2009105950A1 (zh) 用户管理方法和装置
US11695757B2 (en) Fast smart card login
US11848962B2 (en) Device authentication based upon tunnel client network requests
US20190342283A1 (en) Device authentication based upon tunnel client network requests
KR100894555B1 (ko) 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법
JP5548228B2 (ja) ネットワークを管理するシステムおよび方法
US8887296B2 (en) Method and system for object-based multi-level security in a service oriented architecture
US10425419B2 (en) Systems and methods for providing software defined network based dynamic access control in a cloud
US11405378B2 (en) Post-connection client certificate authentication
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US8190755B1 (en) Method and apparatus for host authentication in a network implementing network access control
US11533320B2 (en) Optimize compliance evaluation of endpoints
US20110252237A1 (en) Authorizing Remote Access Points
US20200382509A1 (en) Controlling access to common devices using smart contract deployed on a distributed ledger network
US10375055B2 (en) Device authentication based upon tunnel client network requests
WO2023134557A1 (zh) 一种基于工业互联网标识的处理方法及装置
US9147172B2 (en) Source configuration based on connection profile
US20230412613A1 (en) System and Method for Providing Secure Network Access to Network-Enabled Devices
Piens Mastering Palo Alto Networks: Deploy and manage industry-leading PAN-OS 10. x solutions to secure your users and infrastructure

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08872929

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2008872929

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 3334/KOLNP/2010

Country of ref document: IN