一种网络设备差异化授权的方法及系统

摘要

本发明公开一种网络设备差异化授权的方法，包括：确定认证通过后；网络设备通过TACACS服务器对用户进行授权，并根据授权结果为用户开放相应权限。本发明还公开了一种网络设备差异化授权的系统，采用本发明所述的方法及系统，简化差异化设置的过程，有利于网络维护。

说明书

技术领域

本发明涉及网络权限设置领域，特别是指一种网络设备差异化授权的方法及系统。

背景技术

随着Internet的高速发展，越来越多的应用得以通过网络实现，拨号用户、专线用户以及各种商用业务的发展使Internet面临许多挑战。如何安全、有效、可靠的保证计算机网络信息资源的存取、用户如何以合法身份登录网络设备、怎样授予用户相应的权限，以及怎样记录用户的操作记录成为网络服务需要考虑和解决的问题。正是基于此，认证授权计费(AAA，Authentication Authorization Accounting)协议逐渐发展完善起来，成为网络设备解决上述问题的标准。

终端访问控制器访问控制系统(TACACS+)是基于客户端-服务器模式的AAA协议，是一种为路由器、网络访问服务器和其他互联的计算设备通过一个或多个集中的服务器提供访问控制的协议；TACACS+提供了独立的认证、授权和记账服务，将认证(authentication)、授权(authorization)和计费(accounting)相分离，并且将网络设备和安全服务器之间的数据传输加密。

但是，针对网络设备的差异化授权，TACACS+需要在所有网络设备上，针对每个用户分别设置授权关系；其中，所述差异化授权是指不同用户在网络设备有不同的授权。这种方式不但操作繁琐，而且在后期网络设备扩容时，需要在新添加的网络设备上为所有用户设置授权关系，维护开销巨大。

发明内容

有鉴于此，本发明的主要目的在于提供一种网络设备差异化授权的方法及系统，简化差异化设置的过程，有利于网络维护。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种网络设备差异化授权的方法，该方法包括：

确定认证通过后，网络设备通过终端访问控制器访问控制系统TACACS服务器对用户进行授权，并根据授权结果为用户开放相应权限。

上述方案中，所述确定认证通过包括：TACACS服务器读取网络设备发送的认证请求中的用户信息，与本地保存的用户信息比较，确定两者相同时，再根据认证请求中的设备地址，查询本地预存的所述用户信息对应的用户权限，确定设备地址不属于用户权限中的拒绝Refuse权限，则确定认证通过。

上述方案中，所述通过TACACS服务器对用户进行授权包括：网络设备确定认证通过，向TACACS服务器发送包含用户信息以及设备地址的授权请求；或者，用户在网络设备上执行命令，网络设备向TACACS服务器发送包含用户信息、设备地址以及命令的授权请求。

上述方案中，所述TACACS服务器对用户进行授权包括：TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，获取所述设备组对应的权限列表中的权限命令集，发送给网络设备；或者，TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，确定授权请求中的命令，与所述设备组对应的权限列表中的权限命令集中任意一个权限命令相符，则授权通过。

本发明还提供了一种网络设备差异化授权的系统，该系统包括：信息输入模块、认证授权模块；

信息输入模块，用于根据用户输入的用户信息，通过认证授权模块确定认证通过，并通过认证授权模块对用户进行授权；

认证授权模块，用于确定认证通过，返回认证响应给网络设备；对用户进行授权，将授权结果返回给网络设备。

上述方案中，该系统进一步包括配置模块；配置模块，用于配置用户权限；

相应的，认证授权模块，具体用于读取信息输入模块发送的认证请求中的用户信息，与配置模块中的用户信息比较，确定两者相符时，再根据认证请求中的设备地址，查询配置模块中所述用户信息对应的用户权限，确定设备地址不属于用户权限中的Refuse权限，则确定认证通过。

上述方案中，信息输入模块，具体用于接收认证授权模块返的认证响应，向认证授权模块发送包含用户信息及设备地址的授权请求；或者，用户执行命令，向认证授权模块发送包含用户信息、设备地址以及命令的授权请求。

上述方案中，认证授权模块，具体用于根据授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，获取所述设备组对应的权限列表中的权限命令集，发送给网络设备；或者，根据授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，若授权请求中的命令与所述设备组对应的权限列表中的权限命令集中任意一个权限命令相符，则将授权通过响应发送给网络设备。

由此可见，采用本发明所述的方法及系统，通过在TACACS服务器上配置与用户信息对应的用户权限，网络扩容时，根据用户的不同权限级别，只需在用户权限对应的设备组中增加扩容的设备地址即可，简化了差异化设置过程，有利于网络维护。

附图说明

图1为本发明实现网络设备差异化授权的方法流程示意图；

图2为缺省权限列表示例图；

图3a、b为特权设备组及相应的特殊权限列表示例图；

图4为本发明实现网络设备差异化授权的系统组成示意图。

具体实施方式

本发明的基本思想是：确定用户认证通过后，网络设备通过TACACS服务器对用户进行授权，根据授权结果为用户开放相应权限。

下面通过具体实施例与附图来对本发明进行详细说明。

本发明提供的网络设备差异化授权的方法，如图1所示，具体步骤如下：

步骤101、网络设备通过TACACS服务器确定用户认证通过；

本步骤中，用户在网络设备上输入用户信息，登录网络设备，网络设备向TACACS服务器发送认证请求；这里，所述认证请求中包括用户信息、设备地址；所述用户信息包括用户名、密码。

TACACS服务器接收认证请求，获取用户信息，与本地保存的用户信息比较，确定两者相同，则用户输入的用户信息正确，否则，用户输入的用户信息错误，认证不通过；TACACS服务器确定用户输入的用户信息正确后，再根据用户信息中的设备地址，查询本地预存的所述用户信息对应用户权限，确定设备地址不属于用户权限中的拒绝(Refuse)权限，则认证通过；否则，认证不通过。

这里，所述用户权限与用户信息对应，包括设备组及对应的权限列表，所述设备组包括缺省设备组与特权设备组，其中，所述缺省设备组包含设备地址，与缺省权限列表相对应，所述特权设备组包含设备地址与特殊权限列表相对应，所述缺省权限列表包括缺省权限级别，以及相应的缺省权限命令集，缺省权限命令集中包含预置的缺省权限命令。

以图2所示的缺省权限列表为例，其中的权限级别(Privilege)，即缺省权限级别为Level0，权限命令集(Shell Command Authorization Set)，即缺省权限命令集为Command Set-Default，Command Set-Default中可以包含预先定义的缺省权限命令；所述特殊权限列表包括特殊权限级别，以及相应的特殊权限命令集，所述特殊权限命令集中包含预置的特殊权限命令，以图3所示的特权设备组(Device Group)及对应的特殊权限列表为例，如图3a所示，特权设备组分别为设备组A(Device Group A)以及设备组B(Device Group B)，其中，Device Group A中的设备地址(Device IP)为192.168.0.2，Device Group B中的设备地址为192.168.0.11至192.168.0.133之间的地址，如图3b所示，Device Group A对应的特殊权限级别为Level 15，特殊权限命令集为Command Set A，Command Set A中预先定义了特殊权限命令，也就是说，用户在设备地址为192.168.0.2上的权限级别为Level 15，具有特殊权限命令集Command Set A中的命令权限；同样的，Device Group B中对应的权限级别为Refuse，特殊权限命令集为Command Set B，也就是说，用户在设备地址为192.168.0.11至192.168.0.133的网络设备上被拒绝使用。

根据需求，每个用户信息可以对应一到多个特权设备组及相应的特殊权限列表，每个特殊权限列表可以对应不同的特殊权限命令集，所述缺省权限命令集以及特殊权限命令集可根据需要自行定义其中的权限命令。其中，若特殊权限列表对应的特殊权限级别为Refuse，则是拒绝用户在该设备登录。这样，若网络设备扩容时，增加网络设备，只需根据用户在网络设备上的权限，在缺省设备或特权设备组中增加设备地址即可，不需要在网络设备上针对每个用户设置相应的权限。

TACACS服务器确定认证通过，向网络设备回复包含用户认证通过消息的认证响应；确定认证不通过，向网络设备回复包含用户认证不通过消息的认证响应。

步骤102、网络设备通过TACACS服务器进行授权；

本步骤中，网络设备收到TACACS服务器回复的包含用户认证通过消息的认证响应，向TACACS服务器发送授权请求，所述授权请求中包含用户信息、设备地址；TACACS服务器根据设备地址，查询用户信息对应的用户权限，获取设备地址所在的设备组，读取设备组对应的权限列表中的权限命令集，也就是说，若设备地址属于缺省设备组，则用户在该设备上有缺省权限，若设备地址属于特权设备组，则用户在该设备上有特殊权限，TACACS服务器将获取的缺省权限列表中的缺省权限命令集或者特殊权限列表中的特殊权限命令集，通过授权响应发送给网络设备。

或者，用户在网络设备上执行命令，即用户在网络设备输入命令，网络设备将包含命令、用户信息以及设备地址的授权请求，发送给TACACS服务器；TACACS服务器根据设备地址及用户信息，获取用户权限对应的设备组中，设备地址所在的设备组，若用户输入的命令与所述设备组对应的权限列表中的权限命令集中任意一个权限命令相符；也就是说，用户输入的命令与缺省设备组对应的缺省权限列表中的缺省权限命令集中的任意一个权限命令相符，或者与特权设备组对应的特殊权限列表中的特殊权限命令集中的任意一个权限命令相符，则所述命令属于所述设备组对应的权限列表中的权限命令集，用户有执行该命令的权限，TACACS服务器向网络设备回复授权通过响应，否则，所述命令不属于所述设备组对应的权限列表中的权限命令集，用户没有执行该命令的权限，TACACS服务器向网络设备回复授权不通过响应。

步骤103、网络设备根据授权结果，开放相应权限给用户。

网络设备根据TACACS服务器回复的包含缺省权限命令集或特殊权限命令集的授权响应，开放相应权限给用户，即允许用户执行缺省权限命令集或特殊权限命令集中的命令；或者，

网络设备根据TACACS服务器回复的包含授权通过响应，允许用户在网络设备执行命令；根据TACACS服务器回复的包含授权不通过响应，拒绝用户在网络设备执行命令。

基于上述方法，本发明还提供了一种网络设备差异化授权的系统，如图4所示，该系统包括：信息输入模块401、认证授权模块402；其中，所述信息输入模块401位于网络设备，认证授权模块402位于TACACS服务器；

信息输入模块401，用于接收用户输入的用户信息，通过认证授权模块402确定认证通过；通过认证授权模块402进行授权；所述用户信息包含用户名及密码；

认证授权模块402，用于确定用户在网络设备上认证通过，通过认证响应将认证结果返回给网络设备；对用户进行授权，将授权结果返回给网络设备，由网络设备根据授权结果开放相应权限给用户。

该系统进一步包括：配置模块403，用于配置用户权限。

这里，所述用户权限与用户信息对应，包含设备组及对应的权限列表，所述设备组包括缺省设备组与特权设备组；其中，所述缺省设备组包含设备地址，与缺省权限列表对应，所述特权设备组包含设备地址，与特殊权限列表对应；所述缺省权限列表包括缺省权限级别，以及相应的缺省权限命令集，缺省权限命令集中包含预置的缺省权限命令；所述特殊权限列表包括特殊权限级别，以及相应的特殊权限命令集，所述特殊权限命令集中包含预置的特殊权限命令。

所述认证授权模块402具体用于，根据信息输入模块发送的认证请求中的用户信息，将用户信息与本地保存的用户信息比较，确定两者是否相同；进一步的，根据认证请求中的设备地址查询本地预存的所述用户信息对应的用户权限，确定所述设备地址不属于用户权限中，特权设备组对应的Refuse权限，则认证通过。

信息输入模块401进一步用于，根据认证授权模块回复的包含认证通过消息的认证响应，向认证授权模块402发送包含用户信息、设备地址的授权请求；或者，

用户执行命令，向认证授权模块402发送包含用户信息、设备地址以及命令的授权请求。

认证授权模块402具体用于，根据授权请求中的用户信息，查询配置模块中用户信息对应的用户权限，然后根据设备地址，获取设备地址所在设备组对应的权限列表中的权限命令集，即若设备地址属于缺省设备组，将缺省设备组对应的缺省权限列表中的缺省权限命令集发送给网络设备，若设备地址属于特权设备组，将设备地址所在的特权设备组对应的特殊权限列表中的特殊权限命令集发送给网络设备；或者，

根据授权请求中的用户信息，查询用户信息对应的用户权限，根据设备地址获取所述设备地址所在的设备组对应的权限列表中的权限命令集，然后获取授权请求中的命令，确定所述命令与所述权限命令集中任意一个权限命令相符，向网络设备回复授权通过响应；否则，向网络设备回复授权不通过响应。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。