WO2012116519A1 - 一种网络设备差异化授权的方法及系统 - Google Patents

Abstract

本发明公开一种网络设备差异化授权的方法，包括：确定认证通过后；网络设备通过TACACS服务器对用户进行授权，并根据授权结果为用户开放相应权限。本发明还公开了一种网络设备差异化授权的系统，采用本发明所述的方法及系统，简化差异化设置的过程，有利于网络维护。

Description

一种网络设备差异化授权的方法及系统 技术领域

本发明涉及网络权限设置领域， 特别是指一种网络设备差异化授权的 方法及系统。 背景技术

随着 Internet的高速发展， 越来越多的应用得以通过网络实现， 拨号用 户、专线用户以及各种商用业务的发展使 Internet面临许多挑战。如何安全、 有效、 可靠的保证计算机网络信息资源的存取、 用户如何以合法身份登录 网络设备、 怎样授予用户相应的权限， 以及怎样记录用户的操作记录成为 网络服务需要考虑和解决的问题。 正是基于此， 认证授权计费 （AAA, Authentication Authorization Accounting )协议逐渐发展完善起来 , 成为网络 设备解决上述问题的标准。

终端访问控制器访问控制系统 ( TACACS+ )是基于客户端 -服务器模式 的 AAA协议， 是一种为路由器、 网络访问服务器和其他互联的计算设备通 过一个或多个集中的服务器提供访问控制的协议； TACACS+提供了独立的 认证、 4受权和 "i己贝长月良务, 将认证 ( authentication )、 4受权 ( authorization ) 和计费 （accounting )相分离， 并且将网络设备和安全服务器之间的数据传 输加密。

但是，针对网络设备的差异化授权， TACACS+需要在所有网络设备上， 针对每个用户分别设置授权关系； 其中， 所述差异化授权是指不同用户在 网络设备有不同的授权。 这种方式不但操作繁瑣， 而且在后期网络设备扩 容时， 需要在新添加的网络设备上为所有用户设置授权关系， 维护开销巨 大。 发明内容

有鉴于此， 本发明的主要目的在于提供一种网络设备差异化授权的方 法及系统， 简化差异化设置的过程， 有利于网络维护。

为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种网络设备差异化授权的方法， 该方法包括： 确定认证通过后， 网络设备通过终端访问控制器访问控制系统

TACACS服务器对用户进行授权， 并根据授权结果为用户开放相应权限。

上述方案中， 所述确定认证通过包括： TACACS服务器读取网络设备 发送的认证请求中的用户信息， 与本地保存的用户信息比较， 确定两者相 同时， 再根据认证请求中的设备地址， 查询本地预存的所述用户信息对应 的用户权限， 确定设备地址不属于用户权限中的拒绝 Refuse权限， 则确定 认证通过。

上述方案中， 所述通过 TACACS服务器对用户进行授权包括： 网络设 备确定认证通过， 向 TACACS服务器发送包含用户信息以及设备地址的授 权请求； 或者， 用户在网络设备上执行命令， 网络设备向 TACACS服务器 发送包含用户信息、 设备地址以及命令的授权请求。

上述方案中， 所述 TACACS服务器对用户进行授权包括： TACACS月良 务器根据网络设备发送的授权请求中的设备地址及用户信息， 查询用户信 息对应的用户权限中， 设备地址所在的设备组， 获取所述设备组对应的权 限列表中的权限命令集， 发送给网络设备； 或者， TACACS服务器根据网 络设备发送的授权请求中的设备地址及用户信息， 查询用户信息对应的用 户权限中， 设备地址所在的设备组， 确定授权请求中的命令， 与所述设备 组对应的权限列表中的权限命令集中任意一个权限命令相符， 则授权通过。

本发明还提供了一种网络设备差异化授权的系统， 该系统包括： 信息 输入模块、 认证授权模块； 信息输入模块， 用于接收用户输入的用户信息， 并将用户信息发送给 认证授权模块进行认证；

认证授权模块， 用于根据用户信息对用户进行认证， 在确定认证通过 时， 对用户进行授权， 由网络设备根据授权结果为用户开放相应权限。

上述方案中， 该系统进一步包括配置模块； 配置模块， 用于配置用户 权限；

相应的， 认证授权模块， 具体用于读取信息输入模块发送的认证请求 中的用户信息， 与配置模块中的用户信息比较， 确定两者相符时， 再根据 认证请求中的设备地址， 查询配置模块中所述用户信息对应的用户权限， 确定设备地址不属于用户权限中的 Refuse权限， 则确定认证通过。

上述方案中， 信息输入模块， 还用于接收认证授权模块返回的认证响 应， 向认证授权模块发送包含用户信息及设备地址的授权请求； 或者， 用 户执行命令， 向认证授权模块发送包含用户信息、 设备地址以及命令的授 权请求。

上述方案中， 认证授权模块， 还用于根据授权请求中的设备地址及用 户信息， 查询用户信息对应的用户权限中， 设备地址所在的设备组， 获取 所述设备组对应的权限列表中的权限命令集， 发送给网络设备； 或者， 根 据授权请求中的设备地址及用户信息， 查询用户信息对应的用户权限中， 设备地址所在的设备组， 若授权请求中的命令与所述设备组对应的权限列 表中的权限命令集中任意一个权限命令相符， 则将授权通过响应发送给网 络设备。

由此可见， 釆用本发明所述的方法及系统， 通过在 TACACS服务器上 配置与用户信息对应的用户权限， 网络扩容时， 根据用户的不同权限级别， 只需在用户权限对应的设备组中增加扩容的设备地址即可， 简化了差异化 设置过程， 有利于网络维护。 附图说明

图 1为本发明实现网络设备差异化授权的方法流程示意图；

图 2为缺省权限列表示例图；

图 3a、 b为特权设备组及相应的特殊权限列表示例图；

图 4为本发明实现网络设备差异化授权的系统组成示意图。 具体实施方式

本发明的基本思想是： 确定用户认证通过后， 网络设备通过 TACACS 服务器对用户进行授权， 根据授权结果为用户开放相应权限。

下面通过具体实施例与附图来对本发明进行详细说明。

本发明提供的网络设备差异化授权的方法， 如图 1 所示， 具体步骤如 下：

步骤 101、 网络设备通过 TACACS服务器确定用户认证通过； 本步骤中， 用户在网络设备上输入用户信息， 登录网络设备， 网络设 备向 TACACS服务器发送认证请求； 这里，所述认证请求中包括用户信息、 设备地址； 所述用户信息包括用户名、 密码。

TACACS服务器接收认证请求， 获取用户信息， 与本地保存的用户信 息比较， 确定两者相同， 则用户输入的用户信息正确， 否则， 用户输入的 用户信息错误， 认证不通过； TACACS 服务器确定用户输入的用户信息正 确后， 再根据认证请求中的设备地址， 查询本地预存的所述用户信息对应 用户权限， 确定设备地址不属于用户权限中的拒绝（Refuse )权限， 则认证 通过； 否则， 认证不通过。

这里， 所述用户权限与用户信息对应， 包括设备组及对应的权限列表， 所述设备组包括缺省设备组与特权设备组， 其中， 所述缺省设备组包含设 备地址， 与缺省权限列表相对应， 所述特权设备组包含设备地址与特殊权 限列表相对应， 所述缺省权限列表包括缺省权限级别， 以及相应的缺省权 限命令集， 缺省权限命令集中包含预置的缺省权限命令。

以图 2所示的缺省权限列表为例， 其中的权限级别 （Privilege ), 即缺 省权限级别为 Level 0, 权限命令集（ Shell Command Authorization Set ), 即 缺省权限命令集为 Command Set-Default, Command Set-Default中可以包含 预先定义的缺省权限命令； 所述特殊权限列表包括特殊权限级别， 以及相 应的特殊权限命令集， 所述特殊权限命令集中包含预置的特殊权限命令， 图 3a所示， 特权设备组分别为设备组 A ( Device Group A ) 以及设备组 B ( Device Group B ), 其中， Device Group A中的设备地址 ( Device IP )为 192.168.0.2, Device Group B中的设备地址为 192.168.0.11至 192.168.0.133 之间的地址，如图 3b所示， Device Group A对应的特殊权限级别为 Level 15 , 特殊权限命令集为 Command Set A, Command Set A中预先定义了特殊权限 命令， 也就是说， 用户在设备地址为 192.168.0.2上的权限级别为 Level 15 , 具有特殊权限命令集 Command Set A中的命令权限； 同样的， Device Group B中对应的权限级别为 Refuse,特殊权限命令集为 Command Set B,也就是 说， 用户在设备地址为 192.168.0.11至 192.168.0.133的网络设备上被拒绝 使用。

根据需求， 每个用户信息可以对应一到多个特权设备组及相应的特殊 权限列表， 每个特殊权限列表可以对应不同的特殊权限命令集， 所述缺省 权限命令集以及特殊权限命令集可根据需要自行定义其中的权限命令。 其 中， 若特殊权限列表对应的特殊权限级别为 Refuse, 则是拒绝用户在该设 备登录。 这样， 若网络设备扩容时， 增加网络设备， 只需根据用户在网络 设备上的权限， 在缺省设备或特权设备组中增加设备地址即可， 不需要在 网络设备上针对每个用户设置相应的权限。

TACACS服务器确定认证通过， 向网络设备回复包含用户认证通过消 息的认证响应； 确定认证不通过， 向网络设备回复包含用户认证不通过消 息的认证响应。

步骤 102、 网络设备通过 TACACS服务器进行授权；

本步骤中， 网络设备收到 TACACS服务器回复的包含用户认证通过消 息的认证响应， 向 TACACS服务器发送授权请求， 所述授权请求中包含用 户信息、 设备地址； TACACS 服务器根据设备地址， 查询用户信息对应的 用户权限， 获取设备地址所在的设备组， 读取设备组对应的权限列表中的 权限命令集， 也就是说， 若设备地址属于缺省设备组， 则用户在该设备上 有缺省权限， 若设备地址属于特权设备组， 则用户在该设备上有特殊权限， TACACS服务器将获取的缺省权限列表中的缺省权限命令集或者特殊权限 列表中的特殊权限命令集， 通过授权响应发送给网络设备。

或者， 用户在网络设备上执行命令， 即用户在网络设备输入命令， 网 络设备将包含命令、 用户信息以及设备地址的授权请求， 发送给 TACACS 服务器； TACACS 服务器根据设备地址及用户信息， 获取用户权限对应的 设备组中， 设备地址所在的设备组， 若用户输入的命令与所述设备组对应 的权限列表中的权限命令集中任意一个权限命令相符； 也就是说， 用户输 入的命令与缺省设备组对应的缺省权限列表中的缺省权限命令集中的任意

命令集中的任意一个权限命令相符， 则所述命令属于所述设备组对应的权 限列表中的权限命令集， 用户有执行该命令的权限， TACACS服务器向网 络设备回复授权通过响应， 否则， 所述命令不属于所述设备组对应的权限 列表中的权限命令集， 用户没有执行该命令的权限， TACACS服务器向网 络设备回复授权不通过响应。

步骤 103、 网络设备根据授权结果， 开放相应权限给用户。

网络设备根据 TACACS服务器回复的包含缺省权限命令集或特殊权限 命令集的授权响应， 开放相应权限给用户， 即允许用户执行缺省权限命令 集或特殊权限命令集中的命令； 或者，

网络设备根据 TACACS服务器回复的包含授权通过响应， 允许用户在 网络设备执行命令； 根据 TACACS服务器回复的包含授权不通过响应， 拒 绝用户在网络设备执行命令。

基于上述方法， 本发明还提供了一种网络设备差异化授权的系统， 如 图 4所示， 该系统包括： 信息输入模块 401、 认证授权模块 402; 其中， 所 述信息输入模块 401位于网络设备， 认证授权模块 402位于 TACACS服务 器；

信息输入模块 401 , 用于接收用户输入的用户信息， 并将用户信息发送 给认证授权模块 402进行认证； 所述用户信息包含用户名及密码；

认证授权模块 402, 用于根据用户信息对用户进行认证， 在确定用户在 网络设备上认证通过时， 通过认证响应将认证结果返回给网络设备； 对用 户进行授权， 将授权结果返回给网络设备， 由网络设备根据授权结果开放 相应权限给用户。

该系统进一步包括： 配置模块 403 , 用于配置用户权限。

这里， 所述用户权限与用户信息对应， 包含设备组及对应的权限列表， 所述设备组包括缺省设备组与特权设备组； 其中， 所述缺省设备组包含设 备地址， 与缺省权限列表对应， 所述特权设备组包含设备地址， 与特殊权 限列表对应； 所述缺省权限列表包括缺省权限级别， 以及相应的缺省权限 命令集， 缺省权限命令集中包含预置的缺省权限命令； 所述特殊权限列表 包括特殊权限级别， 以及相应的特殊权限命令集， 所述特殊权限命令集中 包含预置的特殊权限命令。

所述认证授权模块 402具体用于， 根据信息输入模块发送的认证请求 中的用户信息， 将用户信息与本地保存的用户信息比较， 确定两者相同； 进一步的， 根据认证请求中的设备地址查询本地预存的所述用户信息对应 的用户权限， 确定所述设备地址不属于用户权限中， 特权设备组对应的

Refuse权限， 则认证通过。

信息输入模块 401 进一步用于， 根据认证授权模块回复的包含认证通 过消息的认证响应， 向认证授权模块 402发送包含用户信息、 设备地址的 授权请求； 或者，

用户执行命令， 向认证授权模块 402发送包含用户信息、 设备地址以 及命令的授权请求。

认证授权模块 402具体用于， 根据授权请求中的用户信息， 查询配置 模块中用户信息对应的用户权限， 然后根据设备地址， 获取设备地址所在 设备组对应的权限列表中的权限命令集， 即若设备地址属于缺省设备组， 将缺省设备组对应的缺省权限列表中的缺省权限命令集发送给网络设备， 若设备地址属于特权设备组， 将设备地址所在的特权设备组对应的特殊权 限列表中的特殊权限命令集发送给网络设备； 或者，

根据授权请求中的用户信息， 查询用户信息对应的用户权限， 根据设 设备地址所在的

然后获取授权请求中的命令， 确定所述命令与所述权限命令集中任意一个 权限命令相符， 向网络设备回复授权通过响应； 否则， 向网络设备回复授 权不通过口向应。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种网络设备差异化授权的方法， 其特征在于， 该方法包括： 确定认证通过后， 网络设备通过终端访问控制器访问控制系统

TACACS服务器对用户进行授权， 并根据授权结果为用户开放相应权限。

2、根据权利要求 1所述的方法， 其特征在于， 所述确定认证通过包括： TACACS服务器读取网络设备发送的认证请求中的用户信息， 与本地 保存的用户信息比较， 确定两者相同时， 再根据认证请求中的设备地址， 查询本地预存的所述用户信息对应的用户权限， 确定设备地址不属于用户 权限中的拒绝 Refuse权限， 则确定认证通过。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述通过 TACACS 服务器对用户进行授权包括：

网络设备确定认证通过， 向 TACACS服务器发送包含用户信息以及设 备地址的授权请求；

或者， 用户在网络设备上执行命令， 网络设备向 TACACS服务器发送 包含用户信息、 设备地址以及命令的授权请求。

4、根据权利要求 3所述的方法， 其特征在于， 所述 TACACS服务器对 用户进行授权包括：

TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信 息， 查询用户信息对应的用户权限中， 设备地址所在的设备组， 获取所述 设备组对应的权限列表中的权限命令集， 发送给网络设备；

或者， TACACS服务器根据网络设备发送的授权请求中的设备地址及 用户信息， 查询用户信息对应的用户权限中， 设备地址所在的设备组， 确 定授权请求中的命令， 与所述设备组对应的权限列表中的权限命令集中任 意一个权限命令相符， 则授权通过。

5、 一种网络设备差异化授权的系统， 其特征在于， 该系统包括： 信息 输入模块、 认证授权模块；

信息输入模块， 用于接收用户输入的用户信息， 并将用户信息发送给 认证授权模块进行认证；

认证授权模块， 用于根据用户信息对用户进行认证， 在确定认证通过 时， 对用户进行授权， 由网络设备根据授权结果为用户开放相应权限。

6、 根据权利要求 5所述的系统， 其特征在于， 该系统进一步包括配置 模块；

配置模块， 用于配置用户权限；

相应的， 认证授权模块， 具体用于读取信息输入模块发送的认证请求 中的用户信息， 与配置模块中的用户信息比较， 确定两者相符时， 再根据 认证请求中的设备地址， 查询配置模块中所述用户信息对应的用户权限， 确定设备地址不属于用户权限中的 Refuse权限， 则确定认证通过。

7、 根据权利要求 5或 6所述的系统， 其特征在于，

信息输入模块， 还用于接收认证授权模块返回的认证响应， 向认证授 权模块发送包含用户信息及设备地址的授权请求； 或者， 用户执行命令， 向认证授权模块发送包含用户信息、 设备地址以及命令的授权请求。

8、 根据权利要求 7所述的系统， 其特征在于，

认证授权模块， 还用于根据授权请求中的设备地址及用户信息， 查询 用户信息对应的用户权限中， 设备地址所在的设备组， 获取所述设备组对 应的权限列表中的权限命令集， 发送给网络设备；

或者， 根据授权请求中的设备地址及用户信息， 查询用户信息对应的 用户权限中， 设备地址所在的设备组， 若授权请求中的命令与所述设备组 对应的权限列表中的权限命令集中任意一个权限命令相符， 则将授权通过 响应发送给网络设备。