管理FTP用户的方法、FTP用户登录的方法及装置

摘要

本发明提供一种管理FTP用户的方法、FTP用户登录的方法及AAA服务器、FTP服务器及数据设备，该方法包括：AAA服务器接收数据设备发送的FTP用户的认证信息；根据预设的FTP用户账号对所述认证信息进行认证和授权，通过本发明可以集中管理FTP用户。

说明书

技术领域

本发明涉及接入控制技术领域，特别是涉及一种管理FTP用户的方法、FTP用户登录的方法及AAA(Authentication、Authorization、Accounting，验证、授权和记账)服务器、FTP(File Transfer Protocol，文件传输协议)服务器及数据设备。

背景技术

IP(Internet Protocol，因特网互联协议)网络中的数据设备一般都支持作为FTP服务器使用，用于远程上传、下载设备映像、配置文件、日志文件等。登录FTP服务器涉及到用户认证、访问的目录和目录权限设置，当用户通过认证后，进入设置的FTP目录，并将其操作约束在设定的权限之内。

目前，登录设备的管理账号一般都采用远程AAA服务器(RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系统)服务器或TACACS+(Terminal Access Controller Access Control System，终端访问控制器访问控制系统)服务器)实现集中安全，但FTP服务器登录账号和目录权限却在设备上设置，不利于统一集中安全管理部署。

发明内容

本发明要解决的技术问题是提供一种管理FTP用户的方法、FTP用户登录的方法及AAA服务器、FTP服务器及数据设备，以集中管理FTP用户。

为了解决上述技术问题，本发明提供了一种管理文件传输协议(FTP)用户的方法，包括：

AAA服务器接收数据设备发送的FTP用户的认证信息；

根据预设的FTP用户账号对所述认证信息进行认证和授权。

进一步地，上述方法还具有下面特点：还包括：

若认证和授权都通过，则所述AAA服务器向所述数据设备发送授权结果，所述授权结果携带预设的与所述FTP用户账号对应的授权属性。

为了解决上述问题，本发明还提供了一种AAA服务器，包括：

配置模块，用于配置文件传输协议(FTP)用户账号；

认证和授权模块，用于接收到数据设备发送的FTP用户的认证信息后，根据所述配置模块配置的FTP用户账号对所述认证信息进行认证和授权。

进一步地，上述AAA服务器还具有下面特点：

所述配置模块，还用于配置与所述FTP用户账号对应的授权属性；

所述认证和授权模块，还用于在认证和授权都通过的情况下，向所述数据设备发送授权结果，所述授权结果携带与所述FTP用户账号对应的授权属性。

进一步地，上述AAA服务器还具有下面特点：

所述AAA服务器包括：远程用户拨号认证系统服务器，或终端访问控制器访问控制系统服务器。

为了解决上述问题，本发明还提供了一种文件传输协议(FTP)用户登录的方法，包括：

接收到FTP用户的认证信息后，将所述认证信息发送给AAA服务器进行认证和授权；

接收到授权成功的报文后，获取与所述FTP用户对应的授权属性；

根据所述授权属性建立访问控制表，进行FTP用户登录。

进一步地，上述方法还具有下面特点：

所述报文携带与所述FTP用户对应的授权属性，则所述FTP用户对应的授权属性是从所述报文中获取的。

进一步地，上述方法还具有下面特点：若所述报文未携带所述FTP用户对应的授权属性，则所述获取所述FTP用户对应的授权属性包括：

从本地备份的授权属性中获取与所述FTP用户对应的授权属性。

为了解决上述问题，本发明还提供了一种文件传输协议(FTP)服务器，包括：

信息发送模块，用于接收到FTP用户的认证信息后，将所述认证信息发送给AAA服务器进行认证和授权；

获取模块，用于接收到所述AAA服务器返回的授权成功的报文后，获取所述FTP用户对应的授权属性；

登录模块，用于根据所述授权属性建立访问控制表，进行FTP用户登录。

进一步地，上述FTP服务器还具有下面特点：

所述获取模块，是从所述报文中获取所述FTP用户对应的授权属性的。

进一步地，上述FTP服务器还具有下面特点：

所述获取模块，若判断所述报文未携带所述FTP用户对应的授权属性，则从本地备份的授权属性中获取与所述FTP用户对应的授权属性。

为了解决上述问题，本发明还提供了一种数据设备，包括，上述FTP服务器。

其中，所述数据设备为路由器、交换机或分组传送网设备。

综上，本发明提供的一种管理FTP用户的方法、FTP用户登录的方法及AAA服务器、FTP服务器及数据设备，可以集中管理FTP用户。

附图说明

图1为本发明实施例的AAA服务器的示意图。

图2为本发明实施例的FTP服务器的示意图。

图3是本发明实施例的AAA服务器管理FTP用户的方法的流程图。

图4是本发明实施例的FTP用户登录的方法的流程图。

图5是本发明应用示例一的流程图。

图6是本发明应用示例二的流程图。

图7是本发明应用示例三的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

为了更好地理解本发明，下面结合附图和具体实施例对本发明作进一步地描述。

图1为本发明实施例的AAA服务器的示意图，如图1所示，本实施例的AAA服务器包括：

配置模块，用于配置FTP用户账号；

认证和授权模块，用于接收到数据设备发送的FTP用户的认证信息后，根据所述配置模块配置的FTP用户账号进行认证和授权。

其中，所述配置模块，还用于配置与所述FTP用户账号对应的授权属性；

所述认证和授权模块，还用于在认证和授权都通过的情况下，向所述数据设备发送授权结果，所述授权结果携带与所述FTP用户账号对应的授权属性。

本实施例中，AAA服务器是用来做用户认证、授权的服务器，一般是RADIUS服务器或TACACS+服务器，这里统称为AAA服务器。在AAA服务器上扩展支持授权属性FTP-directory，用于定义FTP用户登录后的FTP根目录和访问权限。

图2为本发明实施例的FTP服务器的示意图，如图2所示，本实施例的FTP服务器包括：

信息发送模块，用于接收到FTP用户的认证信息后，将所述认证信息发送给AAA服务器进行认证和授权；

获取模块，用于接收到所述AAA服务器返回的授权成功的报文后，获取所述FTP用户对应的授权属性；

登录模块，用于根据所述授权属性建立访问控制表，进行FTP用户登录。

在一优选实施例中，所述获取模块是从所述报文中获取所述FTP用户对应的授权属性的。

在一优选实施例中，所述获取模块若判断所述报文未携带所述FTP用户对应的授权属性，则从本地备份的授权属性中获取与所述FTP用户对应的授权属性。

本发明实施例还提供一种数据设备，包括上述的FTP服务器。

其中，所述数据设备可以是路由器、交换机或分组传送网设备等。

本发明实施例中，为RADIUS服务器或TACACS+服务器增加新的授权属性FTP-directory(FTP根目录)，用于给用户账号指定FTP根目录及其权限，当采用远程集中安全管理时，FTP用户通过RADIUS服务器或TACACS+服务器认证/授权后获得FTP根目录和权限，从而将FTP权限也纳入远程集中管理。

图3是本发明实施例的AAA服务器管理FTP用户的方法的流程图，如图3所示，本实施例的方法包括下面步骤：

S11、AAA服务器接收数据设备发送的FTP用户的认证信息；

S12、根据预设的FTP用户账号对所述认证信息进行认证和授权。

图4是本发明实施例的FTP用户登录的方法的流程图，如图4所示，本实施例的方法包括下面步骤：

S21、FTP服务器接收到FTP用户的认证信息后，将所述认证信息发送给AAA服务器进行认证和授权；

S22、接收到认证和授权成功的报文后，获取与所述FTP用户对应的授权属性；

S23、根据所述授权属性建立访问控制表，进行FTP用户登录。

这样，可以通过AAA服务器对FTP用户进行集中的管理，可以增强系统灵活性。

本发明实施例提供的方法是在AAA服务器上设置FTP用户登录账号，可以给该用户账号定义FTP-directory属性，形式可以为：

FTP-directory＝“rw:/datadisk0/log/”

其中，“r”、“w”分别表示读、写权限，权限可扩展，不限于这两种；“/datadisk0/log/”表示登录后的根目录。

在数据设备上，设置FTP用户采用远程认证方式。当FTP用户登录时，数据设备将FTP用户认证信息发送到AAA服务器，AAA服务器认证成功后携带授权属性给设备侧，授权属性中携带FTP-directory，设备收到AAA服务器的认证结果和授权属性后，为该用户创建访问控制表，FTP登录成功。之后，用户的操作权限将被限制在FTP-directory定义的范围之内。

下面以几个应用示例对本发明实施例的方法进行详细的说明。

应用示例一，采用RADIUS服务器进行FTP登录认证，如图5所示，包括以下步骤：

步骤101：在RADIUS服务器上配置FTP用户账号，并为该账号设置授权属性(FTP-directory)；

步骤102：数据设备开启FTP服务器，并配置使用远程RADIUS服务器认证；

步骤103：访问FTP服务器；

步骤104：FTP服务器接收到FTP用户认证信息后，发给RADIUS服务器认证；

步骤105：RADIUS服务器收到FTP用户认证信息进行认证及授权，若授权成功，则向FTP服务器回复的应答报文携带授权属性，转向步骤106，若授权失败，则转向步骤107；

步骤106：FTP服务器接收到应答报文后解析授权属性，为FTP用户建立访问控制表，进行FTP用户登录；

步骤107：禁止FTP用户登录。

应用示例二，采用TACACS+服务器进行FTP登录认证，如图6所示，包括以下步骤：

步骤201：在TACACS+服务器上设置FTP用户账号，并为该FTP用户账号设置授权属性(FTP-directory)；

步骤202：数据设备侧使能FTP服务器，设置FTP用户登录采用TACACS+服务器认证、授权；

步骤203：访问FTP服务器；

步骤204：FTP服务器接收到FTP用户认证信息后，将认证信息发给TACACS+服务器认证；

步骤205：TACACS+服务器接收到认证信息后，进行验证，向FTP服务器返回认证应答报文；

步骤206：FTP服务器接收到认证应答报文，若认证失败，则转向步骤207；若认证成功，则转向步骤208；

步骤207：FTP服务器禁止FTP用户登录，结束；

步骤208：FTP服务器接收到认证成功的认证应答报文，则发起TACACS+授权请求；

步骤209：TACACS+服务器进行授权，并返回给FTP服务器授权应答报文；

步骤210：FTP服务器若接收到授权失败的授权应答报文，则转向步骤207；

步骤211：FTP服务器若接收到授权成功的授权应答报文，则解析授权应答报文携带的授权属性，为FTP用户建立访问控制表，进行FTP用户登录。

因为，FTP-directory不是标准属性，当AAA服务器不支持设置私有属性时，FTP用户认证、授权可以走AAA服务器，而目录权限设置可以仍配置在设备上并作为后备方式进行授权，当服务器上授权成功但不携带FTP-directory属性时，就使用设备侧对应账号的FTP-directory设置，以增强集中安全的灵活性。

应用示例三，如图7所示，包括以下步骤：

步骤301：在AAA服务器上设置FTP用户账号和相关属性；

步骤302：设备侧使能FTP服务器，设置FTP用户登录采用AAA认证/授权；

步骤303：设备侧配置相同的FTP用户账号，为该FTP用户账号设置授权属性，例如FTP根目录和访问权限，并设置此授权属性为standby(备用)；

步骤304：访问FTP服务器；

步骤305：FTP服务器将FTP用户认证信息发给AAA服务器进行认证、授权；

步骤306：AAA服务器接收到认证信息后，进行认证及授权，将授权结果返回给FTP服务器；

步骤307：FTP服务器若接收到授权失败的授权结果，则禁止FTP用户登录，结束；

步骤308：FTP服务器若接收到授权成功的授权结果，则判断该授权结果是否携带授权属性FTP-directory，若不携带，则转向步骤309，若携带，则转向步骤310；

步骤309：获取本地设备侧为该FTP用户账号设置的备用的FTP-directory授权属性，为该FTP用户建立访问控制表，进行FTP用户登录；

步骤310：根据授权结果携带的FTP-directory授权属性为该FTP用户建立访问控制表，进行FTP用户登录。

对于TACACS+服务器，设备侧发出授权请求后，TACACS+服务器端应答授权报文时将携带FTP-directory属性及其值，设备侧的TACACS+客户端解析此FTP-directory属性并为其建立访问控制表。具体的TACACS+服务器实现各异，不局限于此。

对于RADIUS服务器，一般都支持厂商自定义的授权属性，把FTP-directory属性自定义到RADIUS服务器中即可，这里不再说明。

其次，在设备侧RADIUS客户端和TACACS+客户端都必须能够解析FTP-directory属性。FTP用户接入时，认证和授权请求由FTP服务器发起，AAA服务器将认证/授权结果以及授权属性值对返回给FTP服务器，FTP服务器根据授权属性给FTP用户建立访问控制表，FTP的任何操作都要到FTP服务器授权，通过授权的操作才被允许。

本地FTP备份授权由FTP服务器实现，若AAA服务器返回授权成功，但未带有属性FTP-directory，配置又指定了本地属性作为备份，则FTP服务器通过用户名获取本地设置的FTP-directory建立访问控制表。本地备份授权的FTP设置如下示：

Router(config)#username ftp

Router(config-user-ftp)#ftp-directory/datadisk0/log/rw standby

Router(config-user-ftp)#

其中standby表示进行备份。

本发明提供的技术方案把FTP用户认证和授权也纳入了集中安全管理的范围，至此实现了数据设备所有管理账号的集中认证授权，为权限管理带来了很大便利。因为，FTP-directory属性为私有扩展属性，可能受制于现有AAA服务器的特性无法扩展，所以也提供了设备侧配置FTP目录的备份机制，增加了部署灵活性。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上仅为本发明的优选实施例，当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。