專利名稱：一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)權(quán)限設(shè)置領(lǐng)域，特別是指一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法及系 統(tǒng)。
背景技術(shù)：
隨著hternet的高速發(fā)展，越來(lái)越多的應(yīng)用得以通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，撥號(hào)用戶、專線 用戶以及各種商用業(yè)務(wù)的發(fā)展使^ternet面臨許多挑戰(zhàn)。如何安全、有效、可靠的保證計(jì) 算機(jī)網(wǎng)絡(luò)信息資源的存取、用戶如何以合法身份登錄網(wǎng)絡(luò)設(shè)備、怎樣授予用戶相應(yīng)的權(quán)限， 以及怎樣記錄用戶的操作記錄成為網(wǎng)絡(luò)服務(wù)需要考慮和解決的問(wèn)題。正是基于此，認(rèn)證授 tXif Ι (AAA, Authentication Authorization Accounting) 1^ . ! ^] , ) 網(wǎng)絡(luò)設(shè)備解決上述問(wèn)題的標(biāo)準(zhǔn)。終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)是基于客戶端-服務(wù)器模式的AAA 協(xié)議，是一種為路由器、網(wǎng)絡(luò)訪問(wèn)服務(wù)器和其他互聯(lián)的計(jì)算設(shè)備通過(guò)一個(gè)或多個(gè)集中 的服務(wù)器提供訪問(wèn)控制的協(xié)議；TACACS+提供了獨(dú)立的認(rèn)證、授權(quán)和記賬服務(wù)，將認(rèn)證 (authentication)、授權(quán)(authorization)和計(jì)費(fèi)(accounting)相分離，并且將網(wǎng)絡(luò)設(shè)備 和安全服務(wù)器之間的數(shù)據(jù)傳輸加密。但是，針對(duì)網(wǎng)絡(luò)設(shè)備的差異化授權(quán)，TACACS+需要在所有網(wǎng)絡(luò)設(shè)備上，針對(duì)每個(gè)用 戶分別設(shè)置授權(quán)關(guān)系；其中，所述差異化授權(quán)是指不同用戶在網(wǎng)絡(luò)設(shè)備有不同的授權(quán)。這種 方式不但操作繁瑣，而且在后期網(wǎng)絡(luò)設(shè)備擴(kuò)容時(shí)，需要在新添加的網(wǎng)絡(luò)設(shè)備上為所有用戶 設(shè)置授權(quán)關(guān)系，維護(hù)開(kāi)銷巨大。

發(fā)明內(nèi)容
有鑒于此，本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法及系統(tǒng)， 簡(jiǎn)化差異化設(shè)置的過(guò)程，有利于網(wǎng)絡(luò)維護(hù)。為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法，該方法包括確定認(rèn)證通過(guò)后，網(wǎng)絡(luò)設(shè)備通過(guò)終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)TACACS服務(wù)器對(duì) 用戶進(jìn)行授權(quán)，并根據(jù)授權(quán)結(jié)果為用戶開(kāi)放相應(yīng)權(quán)限。上述方案中，所述確定認(rèn)證通過(guò)包括=TACACS服務(wù)器讀取網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng) 求中的用戶信息，與本地保存的用戶信息比較，確定兩者相同時(shí)，再根據(jù)認(rèn)證請(qǐng)求中的設(shè)備 地址，查詢本地預(yù)存的所述用戶信息對(duì)應(yīng)的用戶權(quán)限，確定設(shè)備地址不屬于用戶權(quán)限中的 拒絕Refuse權(quán)限，則確定認(rèn)證通過(guò)。上述方案中，所述通過(guò)TACACS服務(wù)器對(duì)用戶進(jìn)行授權(quán)包括網(wǎng)絡(luò)設(shè)備確定認(rèn)證 通過(guò)，向TACACS服務(wù)器發(fā)送包含用戶信息以及設(shè)備地址的授權(quán)請(qǐng)求；或者，用戶在網(wǎng)絡(luò)設(shè) 備上執(zhí)行命令，網(wǎng)絡(luò)設(shè)備向TACACS服務(wù)器發(fā)送包含用戶信息、設(shè)備地址以及命令的授權(quán)請(qǐng) 求。
上述方案中，所述TACACS服務(wù)器對(duì)用戶進(jìn)行授權(quán)包括=TACACS服務(wù)器根據(jù)網(wǎng)絡(luò)設(shè) 備發(fā)送的授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用戶信息對(duì)應(yīng)的用戶權(quán)限中，設(shè)備地址 所在的設(shè)備組，獲取所述設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集，發(fā)送給網(wǎng)絡(luò)設(shè)備；或者， TACACS服務(wù)器根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用戶信息對(duì)應(yīng) 的用戶權(quán)限中，設(shè)備地址所在的設(shè)備組，確定授權(quán)請(qǐng)求中的命令，與所述設(shè)備組對(duì)應(yīng)的權(quán)限 列表中的權(quán)限命令集中任意一個(gè)權(quán)限命令相符，則授權(quán)通過(guò)。本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的系統(tǒng)，該系統(tǒng)包括信息輸入模塊、認(rèn) 證授權(quán)模塊；信息輸入模塊，用于根據(jù)用戶輸入的用戶信息，通過(guò)認(rèn)證授權(quán)模塊確定認(rèn)證通過(guò)， 并通過(guò)認(rèn)證授權(quán)模塊對(duì)用戶進(jìn)行授權(quán)；認(rèn)證授權(quán)模塊，用于確定認(rèn)證通過(guò)，返回認(rèn)證響應(yīng)給網(wǎng)絡(luò)設(shè)備；對(duì)用戶進(jìn)行授權(quán)， 將授權(quán)結(jié)果返回給網(wǎng)絡(luò)設(shè)備。上述方案中，該系統(tǒng)進(jìn)一步包括配置模塊；配置模塊，用于配置用戶權(quán)限；相應(yīng)的，認(rèn)證授權(quán)模塊，具體用于讀取信息輸入模塊發(fā)送的認(rèn)證請(qǐng)求中的用戶信 息，與配置模塊中的用戶信息比較，確定兩者相符時(shí)，再根據(jù)認(rèn)證請(qǐng)求中的設(shè)備地址，查詢 配置模塊中所述用戶信息對(duì)應(yīng)的用戶權(quán)限，確定設(shè)備地址不屬于用戶權(quán)限中的Refuse權(quán) 限，則確定認(rèn)證通過(guò)。上述方案中，信息輸入模塊，具體用于接收認(rèn)證授權(quán)模塊返的認(rèn)證響應(yīng)，向認(rèn)證授 權(quán)模塊發(fā)送包含用戶信息及設(shè)備地址的授權(quán)請(qǐng)求；或者，用戶執(zhí)行命令，向認(rèn)證授權(quán)模塊發(fā) 送包含用戶信息、設(shè)備地址以及命令的授權(quán)請(qǐng)求。上述方案中，認(rèn)證授權(quán)模塊，具體用于根據(jù)授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查 詢用戶信息對(duì)應(yīng)的用戶權(quán)限中，設(shè)備地址所在的設(shè)備組，獲取所述設(shè)備組對(duì)應(yīng)的權(quán)限列表 中的權(quán)限命令集，發(fā)送給網(wǎng)絡(luò)設(shè)備；或者，根據(jù)授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用 戶信息對(duì)應(yīng)的用戶權(quán)限中，設(shè)備地址所在的設(shè)備組，若授權(quán)請(qǐng)求中的命令與所述設(shè)備組對(duì) 應(yīng)的權(quán)限列表中的權(quán)限命令集中任意一個(gè)權(quán)限命令相符，則將授權(quán)通過(guò)響應(yīng)發(fā)送給網(wǎng)絡(luò)設(shè) 備。由此可見(jiàn)，采用本發(fā)明所述的方法及系統(tǒng)，通過(guò)在TACACS服務(wù)器上配置與用戶信 息對(duì)應(yīng)的用戶權(quán)限，網(wǎng)絡(luò)擴(kuò)容時(shí)，根據(jù)用戶的不同權(quán)限級(jí)別，只需在用戶權(quán)限對(duì)應(yīng)的設(shè)備組 中增加擴(kuò)容的設(shè)備地址即可，簡(jiǎn)化了差異化設(shè)置過(guò)程，有利于網(wǎng)絡(luò)維護(hù)。


圖1為本發(fā)明實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法流程示意圖；
圖2為缺省權(quán)限列表示例圖；圖3a、b為特權(quán)設(shè)備組及相應(yīng)的特殊權(quán)限列表示例圖；圖4為本發(fā)明實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備差異化授權(quán)的系統(tǒng)組成示意圖。
具體實(shí)施例方式本發(fā)明的基本思想是確定用戶認(rèn)證通過(guò)后，網(wǎng)絡(luò)設(shè)備通過(guò)TACACS服務(wù)器對(duì)用戶 進(jìn)行授權(quán)，根據(jù)授權(quán)結(jié)果為用戶開(kāi)放相應(yīng)權(quán)限。
下面通過(guò)具體實(shí)施例與附圖來(lái)對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。本發(fā)明提供的網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法，如圖1所示，具體步驟如下步驟101、網(wǎng)絡(luò)設(shè)備通過(guò)TACACS服務(wù)器確定用戶認(rèn)證通過(guò)；本步驟中，用戶在網(wǎng)絡(luò)設(shè)備上輸入用戶信息，登錄網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備向TACACS 服務(wù)器發(fā)送認(rèn)證請(qǐng)求；這里，所述認(rèn)證請(qǐng)求中包括用戶信息、設(shè)備地址；所述用戶信息包括 用戶名、密碼。TACACS服務(wù)器接收認(rèn)證請(qǐng)求，獲取用戶信息，與本地保存的用戶信息比較，確定兩 者相同，則用戶輸入的用戶信息正確，否則，用戶輸入的用戶信息錯(cuò)誤，認(rèn)證不通過(guò)；TACACS 服務(wù)器確定用戶輸入的用戶信息正確后，再根據(jù)用戶信息中的設(shè)備地址，查詢本地預(yù)存的 所述用戶信息對(duì)應(yīng)用戶權(quán)限，確定設(shè)備地址不屬于用戶權(quán)限中的拒絕(Refuse)權(quán)限，則認(rèn) 證通過(guò)；否則，認(rèn)證不通過(guò)。這里，所述用戶權(quán)限與用戶信息對(duì)應(yīng)，包括設(shè)備組及對(duì)應(yīng)的權(quán)限列表，所述設(shè)備組 包括缺省設(shè)備組與特權(quán)設(shè)備組，其中，所述缺省設(shè)備組包含設(shè)備地址，與缺省權(quán)限列表相對(duì) 應(yīng)，所述特權(quán)設(shè)備組包含設(shè)備地址與特殊權(quán)限列表相對(duì)應(yīng)，所述缺省權(quán)限列表包括缺省權(quán) 限級(jí)別，以及相應(yīng)的缺省權(quán)限命令集，缺省權(quán)限命令集中包含預(yù)置的缺省權(quán)限命令。以圖2所示的缺省權(quán)限列表為例，其中的權(quán)限級(jí)別Privilege)，即缺省權(quán)限級(jí) 別為L(zhǎng)evelO，權(quán)限命令集(Shell Command Authorization Set)，即缺省權(quán)限命令集為 Command Set-Default, Command Set-Default中可以包含預(yù)先定義的缺省權(quán)限命令；所述 特殊權(quán)限列表包括特殊權(quán)限級(jí)別，以及相應(yīng)的特殊權(quán)限命令集，所述特殊權(quán)限命令集中包 含預(yù)置的特殊權(quán)限命令，以圖3所示的特權(quán)設(shè)備組(Device Group)及對(duì)應(yīng)的特殊權(quán)限列 表為例，如圖3a所示，特權(quán)設(shè)備組分別為設(shè)備組A(DeviCe Group Α)以及設(shè)備組B (Device Group B)，其中，Device Group A中的設(shè)備地址(Device IP)為 192. 168. 0. 2，Device Group B中的設(shè)備地址為192. 168.0. 11至192. 168.0. 133之間的地址，如圖3b所示，Device Group A對(duì)應(yīng)的特殊權(quán)限級(jí)別為L(zhǎng)evel 15，特殊權(quán)限命令集為Command Set A, Command Set A 中預(yù)先定義了特殊權(quán)限命令，也就是說(shuō)，用戶在設(shè)備地址為192. 168. 0.2上的權(quán)限級(jí)別為 Level 15，具有特殊權(quán)限命令集Command Set A中的命令權(quán)限；同樣的，Device Group B中 對(duì)應(yīng)的權(quán)限級(jí)別為Refuse，特殊權(quán)限命令集為Command Set B，也就是說(shuō)，用戶在設(shè)備地址 為192. 168. 0. 11至192. 168. 0. 133的網(wǎng)絡(luò)設(shè)備上被拒絕使用。根據(jù)需求，每個(gè)用戶信息可以對(duì)應(yīng)一到多個(gè)特權(quán)設(shè)備組及相應(yīng)的特殊權(quán)限列表， 每個(gè)特殊權(quán)限列表可以對(duì)應(yīng)不同的特殊權(quán)限命令集，所述缺省權(quán)限命令集以及特殊權(quán)限命 令集可根據(jù)需要自行定義其中的權(quán)限命令。其中，若特殊權(quán)限列表對(duì)應(yīng)的特殊權(quán)限級(jí)別為 Refuse，則是拒絕用戶在該設(shè)備登錄。這樣，若網(wǎng)絡(luò)設(shè)備擴(kuò)容時(shí)，增加網(wǎng)絡(luò)設(shè)備，只需根據(jù)用 戶在網(wǎng)絡(luò)設(shè)備上的權(quán)限，在缺省設(shè)備或特權(quán)設(shè)備組中增加設(shè)備地址即可，不需要在網(wǎng)絡(luò)設(shè) 備上針對(duì)每個(gè)用戶設(shè)置相應(yīng)的權(quán)限。TACACS服務(wù)器確定認(rèn)證通過(guò)，向網(wǎng)絡(luò)設(shè)備回復(fù)包含用戶認(rèn)證通過(guò)消息的認(rèn)證響 應(yīng)；確定認(rèn)證不通過(guò)，向網(wǎng)絡(luò)設(shè)備回復(fù)包含用戶認(rèn)證不通過(guò)消息的認(rèn)證響應(yīng)。步驟102、網(wǎng)絡(luò)設(shè)備通過(guò)TACACS服務(wù)器進(jìn)行授權(quán)；本步驟中，網(wǎng)絡(luò)設(shè)備收到TACACS服務(wù)器回復(fù)的包含用戶認(rèn)證通過(guò)消息的認(rèn)證響 應(yīng)，向TACACS服務(wù)器發(fā)送授權(quán)請(qǐng)求，所述授權(quán)請(qǐng)求中包含用戶信息、設(shè)備地址；TACACS服務(wù)器根據(jù)設(shè)備地址，查詢用戶信息對(duì)應(yīng)的用戶權(quán)限，獲取設(shè)備地址所在的設(shè)備組，讀取設(shè)備組 對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集，也就是說(shuō)，若設(shè)備地址屬于缺省設(shè)備組，則用戶在該設(shè)備 上有缺省權(quán)限，若設(shè)備地址屬于特權(quán)設(shè)備組，則用戶在該設(shè)備上有特殊權(quán)限，TACACS服務(wù)器 將獲取的缺省權(quán)限列表中的缺省權(quán)限命令集或者特殊權(quán)限列表中的特殊權(quán)限命令集，通過(guò) 授權(quán)響應(yīng)發(fā)送給網(wǎng)絡(luò)設(shè)備。或者，用戶在網(wǎng)絡(luò)設(shè)備上執(zhí)行命令，即用戶在網(wǎng)絡(luò)設(shè)備輸入命令，網(wǎng)絡(luò)設(shè)備將包含 命令、用戶信息以及設(shè)備地址的授權(quán)請(qǐng)求，發(fā)送給TACACS服務(wù)器；TACACS服務(wù)器根據(jù)設(shè)備 地址及用戶信息，獲取用戶權(quán)限對(duì)應(yīng)的設(shè)備組中，設(shè)備地址所在的設(shè)備組，若用戶輸入的命 令與所述設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集中任意一個(gè)權(quán)限命令相符；也就是說(shuō)，用 戶輸入的命令與缺省設(shè)備組對(duì)應(yīng)的缺省權(quán)限列表中的缺省權(quán)限命令集中的任意一個(gè)權(quán)限 命令相符，或者與特權(quán)設(shè)備組對(duì)應(yīng)的特殊權(quán)限列表中的特殊權(quán)限命令集中的任意一個(gè)權(quán)限 命令相符，則所述命令屬于所述設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集，用戶有執(zhí)行該命 令的權(quán)限，TACACS服務(wù)器向網(wǎng)絡(luò)設(shè)備回復(fù)授權(quán)通過(guò)響應(yīng)，否則，所述命令不屬于所述設(shè)備組 對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集，用戶沒(méi)有執(zhí)行該命令的權(quán)限，TACACS服務(wù)器向網(wǎng)絡(luò)設(shè)備 回復(fù)授權(quán)不通過(guò)響應(yīng)。步驟103、網(wǎng)絡(luò)設(shè)備根據(jù)授權(quán)結(jié)果，開(kāi)放相應(yīng)權(quán)限給用戶。網(wǎng)絡(luò)設(shè)備根據(jù)TACACS服務(wù)器回復(fù)的包含缺省權(quán)限命令集或特殊權(quán)限命令集的授 權(quán)響應(yīng)，開(kāi)放相應(yīng)權(quán)限給用戶，即允許用戶執(zhí)行缺省權(quán)限命令集或特殊權(quán)限命令集中的命 令；或者，網(wǎng)絡(luò)設(shè)備根據(jù)TACACS服務(wù)器回復(fù)的包含授權(quán)通過(guò)響應(yīng)，允許用戶在網(wǎng)絡(luò)設(shè)備執(zhí) 行命令；根據(jù)TACACS服務(wù)器回復(fù)的包含授權(quán)不通過(guò)響應(yīng)，拒絕用戶在網(wǎng)絡(luò)設(shè)備執(zhí)行命令?；谏鲜龇椒ǎ景l(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的系統(tǒng)，如圖4所示，該 系統(tǒng)包括信息輸入模塊401、認(rèn)證授權(quán)模塊402 ；其中，所述信息輸入模塊401位于網(wǎng)絡(luò)設(shè) 備，認(rèn)證授權(quán)模塊402位于TACACS服務(wù)器；信息輸入模塊401，用于接收用戶輸入的用戶信息，通過(guò)認(rèn)證授權(quán)模塊402確定認(rèn) 證通過(guò)；通過(guò)認(rèn)證授權(quán)模塊402進(jìn)行授權(quán)；所述用戶信息包含用戶名及密碼；認(rèn)證授權(quán)模塊402，用于確定用戶在網(wǎng)絡(luò)設(shè)備上認(rèn)證通過(guò)，通過(guò)認(rèn)證響應(yīng)將認(rèn)證結(jié) 果返回給網(wǎng)絡(luò)設(shè)備；對(duì)用戶進(jìn)行授權(quán)，將授權(quán)結(jié)果返回給網(wǎng)絡(luò)設(shè)備，由網(wǎng)絡(luò)設(shè)備根據(jù)授權(quán)結(jié) 果開(kāi)放相應(yīng)權(quán)限給用戶。該系統(tǒng)進(jìn)一步包括配置模塊403，用于配置用戶權(quán)限。這里，所述用戶權(quán)限與用戶信息對(duì)應(yīng)，包含設(shè)備組及對(duì)應(yīng)的權(quán)限列表，所述設(shè)備組 包括缺省設(shè)備組與特權(quán)設(shè)備組；其中，所述缺省設(shè)備組包含設(shè)備地址，與缺省權(quán)限列表對(duì) 應(yīng)，所述特權(quán)設(shè)備組包含設(shè)備地址，與特殊權(quán)限列表對(duì)應(yīng)；所述缺省權(quán)限列表包括缺省權(quán)限 級(jí)別，以及相應(yīng)的缺省權(quán)限命令集，缺省權(quán)限命令集中包含預(yù)置的缺省權(quán)限命令；所述特殊 權(quán)限列表包括特殊權(quán)限級(jí)別，以及相應(yīng)的特殊權(quán)限命令集，所述特殊權(quán)限命令集中包含預(yù) 置的特殊權(quán)限命令。所述認(rèn)證授權(quán)模塊402具體用于，根據(jù)信息輸入模塊發(fā)送的認(rèn)證請(qǐng)求中的用戶信 息，將用戶信息與本地保存的用戶信息比較，確定兩者是否相同；進(jìn)一步的，根據(jù)認(rèn)證請(qǐng)求 中的設(shè)備地址查詢本地預(yù)存的所述用戶信息對(duì)應(yīng)的用戶權(quán)限，確定所述設(shè)備地址不屬于用戶權(quán)限中，特權(quán)設(shè)備組對(duì)應(yīng)的Refuse權(quán)限，則認(rèn)證通過(guò)。信息輸入模塊401進(jìn)一步用于，根據(jù)認(rèn)證授權(quán)模塊回復(fù)的包含認(rèn)證通過(guò)消息的認(rèn) 證響應(yīng)，向認(rèn)證授權(quán)模塊402發(fā)送包含用戶信息、設(shè)備地址的授權(quán)請(qǐng)求；或者，用戶執(zhí)行命令，向認(rèn)證授權(quán)模塊402發(fā)送包含用戶信息、設(shè)備地址以及命令的授 權(quán)請(qǐng)求。認(rèn)證授權(quán)模塊402具體用于，根據(jù)授權(quán)請(qǐng)求中的用戶信息，查詢配置模塊中用戶 信息對(duì)應(yīng)的用戶權(quán)限，然后根據(jù)設(shè)備地址，獲取設(shè)備地址所在設(shè)備組對(duì)應(yīng)的權(quán)限列表中的 權(quán)限命令集，即若設(shè)備地址屬于缺省設(shè)備組，將缺省設(shè)備組對(duì)應(yīng)的缺省權(quán)限列表中的缺省 權(quán)限命令集發(fā)送給網(wǎng)絡(luò)設(shè)備，若設(shè)備地址屬于特權(quán)設(shè)備組，將設(shè)備地址所在的特權(quán)設(shè)備組 對(duì)應(yīng)的特殊權(quán)限列表中的特殊權(quán)限命令集發(fā)送給網(wǎng)絡(luò)設(shè)備；或者，根據(jù)授權(quán)請(qǐng)求中的用戶信息，查詢用戶信息對(duì)應(yīng)的用戶權(quán)限，根據(jù)設(shè)備地址獲取 所述設(shè)備地址所在的設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集，然后獲取授權(quán)請(qǐng)求中的命 令，確定所述命令與所述權(quán)限命令集中任意一個(gè)權(quán)限命令相符，向網(wǎng)絡(luò)設(shè)備回復(fù)授權(quán)通過(guò) 響應(yīng)；否則，向網(wǎng)絡(luò)設(shè)備回復(fù)授權(quán)不通過(guò)響應(yīng)。以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法，其特征在于，該方法包括確定認(rèn)證通過(guò)后，網(wǎng)絡(luò)設(shè)備通過(guò)終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)TACACS服務(wù)器對(duì)用戶 進(jìn)行授權(quán)，并根據(jù)授權(quán)結(jié)果為用戶開(kāi)放相應(yīng)權(quán)限。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述確定認(rèn)證通過(guò)包括TACACS服務(wù)器讀取網(wǎng)絡(luò)設(shè)備發(fā)送的認(rèn)證請(qǐng)求中的用戶信息，與本地保存的用戶信息比 較，確定兩者相同時(shí)，再根據(jù)認(rèn)證請(qǐng)求中的設(shè)備地址，查詢本地預(yù)存的所述用戶信息對(duì)應(yīng)的 用戶權(quán)限，確定設(shè)備地址不屬于用戶權(quán)限中的拒絕Refuse權(quán)限，則確定認(rèn)證通過(guò)。
3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，所述通過(guò)TACACS服務(wù)器對(duì)用戶進(jìn)行 授權(quán)包括網(wǎng)絡(luò)設(shè)備確定認(rèn)證通過(guò)，向TACACS服務(wù)器發(fā)送包含用戶信息以及設(shè)備地址的授權(quán)請(qǐng)求；或者，用戶在網(wǎng)絡(luò)設(shè)備上執(zhí)行命令，網(wǎng)絡(luò)設(shè)備向TACACS服務(wù)器發(fā)送包含用戶信息、設(shè) 備地址以及命令的授權(quán)請(qǐng)求。
4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述TACACS服務(wù)器對(duì)用戶進(jìn)行授權(quán)包括TACACS服務(wù)器根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用戶信息 對(duì)應(yīng)的用戶權(quán)限中，設(shè)備地址所在的設(shè)備組，獲取所述設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命 令集，發(fā)送給網(wǎng)絡(luò)設(shè)備；或者，TACACS服務(wù)器根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用 戶信息對(duì)應(yīng)的用戶權(quán)限中，設(shè)備地址所在的設(shè)備組，確定授權(quán)請(qǐng)求中的命令，與所述設(shè)備組 對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集中任意一個(gè)權(quán)限命令相符，則授權(quán)通過(guò)。
5.一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的系統(tǒng)，其特征在于，該系統(tǒng)包括信息輸入模塊、認(rèn)證授 權(quán)模塊；信息輸入模塊，用于根據(jù)用戶輸入的用戶信息，通過(guò)認(rèn)證授權(quán)模塊確定認(rèn)證通過(guò)，并通 過(guò)認(rèn)證授權(quán)模塊對(duì)用戶進(jìn)行授權(quán)；認(rèn)證授權(quán)模塊，用于確定認(rèn)證通過(guò)，返回認(rèn)證響應(yīng)給網(wǎng)絡(luò)設(shè)備；對(duì)用戶進(jìn)行授權(quán)，將授 權(quán)結(jié)果返回給網(wǎng)絡(luò)設(shè)備。
6.根據(jù)權(quán)利要求5所述的系統(tǒng)，其特征在于，該系統(tǒng)進(jìn)一步包括配置模塊； 配置模塊，用于配置用戶權(quán)限；相應(yīng)的，認(rèn)證授權(quán)模塊，具體用于讀取信息輸入模塊發(fā)送的認(rèn)證請(qǐng)求中的用戶信息，與 配置模塊中的用戶信息比較，確定兩者相符時(shí)，再根據(jù)認(rèn)證請(qǐng)求中的設(shè)備地址，查詢配置模 塊中所述用戶信息對(duì)應(yīng)的用戶權(quán)限，確定設(shè)備地址不屬于用戶權(quán)限中的Refuse權(quán)限，則確 定認(rèn)證通過(guò)。
7.根據(jù)權(quán)利要求5或6所述的系統(tǒng)，其特征在于，信息輸入模塊，具體用于接收認(rèn)證授權(quán)模塊返的認(rèn)證響應(yīng)，向認(rèn)證授權(quán)模塊發(fā)送包含 用戶信息及設(shè)備地址的授權(quán)請(qǐng)求；或者，用戶執(zhí)行命令，向認(rèn)證授權(quán)模塊發(fā)送包含用戶信 息、設(shè)備地址以及命令的授權(quán)請(qǐng)求。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)，其特征在于，認(rèn)證授權(quán)模塊，具體用于根據(jù)授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用戶信息對(duì)應(yīng)的用戶權(quán)限中，設(shè)備地址所在的設(shè)備組，獲取所述設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集， 發(fā)送給網(wǎng)絡(luò)設(shè)備；或者，根據(jù)授權(quán)請(qǐng)求中的設(shè)備地址及用戶信息，查詢用戶信息對(duì)應(yīng)的用戶權(quán)限中，設(shè)備 地址所在的設(shè)備組，若授權(quán)請(qǐng)求中的命令與所述設(shè)備組對(duì)應(yīng)的權(quán)限列表中的權(quán)限命令集中 任意一個(gè)權(quán)限命令相符，則將授權(quán)通過(guò)響應(yīng)發(fā)送給網(wǎng)絡(luò)設(shè)備。
全文摘要
本發(fā)明公開(kāi)一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的方法，包括確定認(rèn)證通過(guò)后；網(wǎng)絡(luò)設(shè)備通過(guò)TACACS服務(wù)器對(duì)用戶進(jìn)行授權(quán)，并根據(jù)授權(quán)結(jié)果為用戶開(kāi)放相應(yīng)權(quán)限。本發(fā)明還公開(kāi)了一種網(wǎng)絡(luò)設(shè)備差異化授權(quán)的系統(tǒng)，采用本發(fā)明所述的方法及系統(tǒng)，簡(jiǎn)化差異化設(shè)置的過(guò)程，有利于網(wǎng)絡(luò)維護(hù)。
文檔編號(hào)H04L29/06GK102123147SQ20111004959
公開(kāi)日2011年7月13日 申請(qǐng)日期2011年3月1日 優(yōu)先權(quán)日2011年3月1日
發(fā)明者朱起輝 申請(qǐng)人:中興通訊股份有限公司