本發(fā)明涉及安全認證領(lǐng)域，特別是涉及一種路由器集中認證系統(tǒng)和方法。

背景技術(shù)：

路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，其會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳的路徑按前后順序發(fā)送信號。路由器作為互聯(lián)網(wǎng)絡(luò)的樞紐，應經(jīng)被廣泛應用在各行各業(yè)，不同檔次的路由器產(chǎn)品已成為實現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。

RADIUS(Remote Authentication Dial In User Service)遠程用戶撥號認證系統(tǒng)由RFC2865、RFC2866定義，是目前應用最廣泛的AAA協(xié)議。AAA是一種管理框架，因此，它可以用多種協(xié)議來實現(xiàn)。在實踐中，人們最常使用遠程訪問撥號用戶服務(wù)(Remote Authentication Dial In User Service，RADIUS)來實現(xiàn)AAA。RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS(Net Access Server)服務(wù)器，任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協(xié)議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。

由于大型企業(yè)等設(shè)備非常多，導致相應的路由器設(shè)備也非常多，如果采用原始的單機設(shè)置，會導致企業(yè)中多位管理員都知道設(shè)備主賬戶及密碼，如果有人員離職等情況會存在安全隱患。如果設(shè)置多個賬戶并分配權(quán)限，這樣不能做到統(tǒng)一管理，相對的管理成本就非常大。

因此，如何既能減少安全隱患，又能有效控制管理成本，是本領(lǐng)域技術(shù)人員目前需要解決的技術(shù)問題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是提供一種路由器集中認證系統(tǒng)和方法，既能減少安全隱患，又能有效控制管理成本。

為解決上述技術(shù)問題，本發(fā)明提供了如下技術(shù)方案：

一種路由器集中認證系統(tǒng)，包括：

認證信息接收模塊，用于與預設(shè)的路由器連接，接收各所述路由器發(fā)出的認證信息；

解析模塊，用于解析所述認證信息，分離出對應的用戶賬號、密碼和挑戰(zhàn)碼；

認證模塊，用于對所述用戶賬號和密碼進行驗證；

權(quán)限管理模塊，用于在所述認證模塊判定所述用戶賬號和密碼均有效并正確時，獲取當前用戶在各所述路由器上預先設(shè)置的權(quán)限規(guī)則；

認證發(fā)送模塊，用于向各所述路由器返回認證結(jié)果信息。

優(yōu)選地，所述解析模塊包括：

協(xié)議解析單元，用于對所述認證信息中的Radius協(xié)議進行解析；

信息分離單元，用于從所述協(xié)議解析單元解析出的信息中分離出當前用戶的用戶賬號、密碼和挑戰(zhàn)碼。

優(yōu)選地，所述認證模塊包括：

第一判斷單元，用于判斷所述用戶賬號是否有效；

第二判斷單元，用于在所述第一判斷單元判定所述用戶賬號有效時，判斷所述密碼是否正確；

鎖定單元，用于在所述第二判斷單元判定所述密碼錯誤時，對該用戶賬號進行鎖定。

優(yōu)選地，所述認證發(fā)送模塊包括：

第一認證發(fā)送單元，用于向?qū)穆酚善靼l(fā)送認證失敗原因信息或者認證成功信息；

第二認證發(fā)送單元，用于在認證成功時，向各所述路由器返回所述用戶在該路由器上的權(quán)限信息。

優(yōu)選地，還包括：

數(shù)據(jù)庫模塊，用于存儲各用戶賬號和對應的密碼數(shù)據(jù)信息，以及各用戶在各所述路由器上預先設(shè)置的權(quán)限規(guī)則信息。

一種路由器集中認證方法，包括：

獲取當前用戶進行路由操作所對應的權(quán)限認證的認證信息；

解析所述認證信息，分離出所述當前用戶的用戶賬號、密碼和挑戰(zhàn)碼；

判斷所述用戶賬號和密碼是否符合預設(shè)的認證規(guī)則；

若是，則獲取所述當前用戶在對應路由器上的權(quán)限，輸出認證成功信息；

若否，則輸出認證失敗信息。

優(yōu)選地，所述解析所述認證信息，為：

對所述認證信息的Radius協(xié)議進行解析。

優(yōu)選地，所述判斷所述用戶賬號和密碼是否符合預設(shè)的認證規(guī)則，包括：

判斷所述用戶賬號是否有效；

若判定所述用戶賬號無效，則輸出認證失敗信息；

若判定所述用戶賬號有效，則判斷所述密碼是否正確；

若判定所述密碼正確，則獲取所述當前用戶在對應路由器上的權(quán)限，輸出認證成功信息；

若判定所述密碼錯誤，則輸出認證失敗信息。

優(yōu)選地，在所述判定所述密碼錯誤之后，還包括：

對所述用戶賬號進行鎖定。

與現(xiàn)有技術(shù)相比，上述技術(shù)方案具有以下優(yōu)點：

本發(fā)明所提供的一種路由器集中認證系統(tǒng)，包括：認證信息接收模塊，用于與預設(shè)的路由器連接，接收各路由器發(fā)出的認證信息；解析模塊，用于解析認證信息，分離出對應的用戶賬號、密碼和挑戰(zhàn)碼；認證模塊，用于對用戶賬號和密碼進行驗證；權(quán)限管理模塊，用于在認證模塊判定用戶賬號和密碼均有效并正確時，獲取當前用戶在各路由器上預先設(shè)置的權(quán)限規(guī)則；認證發(fā)送模塊，用于向各路由器返回認證結(jié)果信息。當用戶通過客戶端連接路由器輸入用戶賬號和密碼后，路由器能夠根據(jù)自身的認證設(shè)置，將生成的認證信息發(fā)送給認證信息接收模塊，由認證模塊對當前用戶進行權(quán)限認證，權(quán)限管理模塊在該用戶通過認證后，獲取該用戶在對應路由器上的權(quán)限規(guī)則，并由認證發(fā)送模塊返回認證結(jié)果信息。該系統(tǒng)采用了集中式認證管理，所有的受控路由器都發(fā)送認證信息至該系統(tǒng)進行統(tǒng)一認證，大大降低了管理成本，當某一用戶離職時，只需設(shè)定該用戶的賬號無效即可禁止該用戶登錄路由，降低了安全隱患。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種具體實施方式所提供的路由器集中認證系統(tǒng)結(jié)構(gòu)示意圖；

圖2為本發(fā)明一種具體實施方式所提供的路由器集中認證方法流程圖。

具體實施方式

本發(fā)明的核心是提供一種路由器集中認證系統(tǒng)和方法，既能減少安全隱患，又能有效控制管理成本。

為了使本發(fā)明的上述目的、特征和優(yōu)點能夠更為明顯易懂，下面結(jié)合附圖對本發(fā)明的具體實施方式做詳細的說明。

在以下描述中闡述了具體細節(jié)以便于充分理解本發(fā)明。但是本發(fā)明能夠以多種不同于在此描述的其它方式來實施，本領(lǐng)域技術(shù)人員可以在不違背本發(fā)明內(nèi)涵的情況下做類似推廣。因此本發(fā)明不受下面公開的具體實施的限制。

請參考圖1，圖1為本發(fā)明一種具體實施方式所提供的路由器集中認證系統(tǒng)結(jié)構(gòu)示意圖。

本發(fā)明的一種具體實施方式提供了一種路由器集中認證系統(tǒng)，包括：

認證信息接收模塊1，用于與預設(shè)的路由器連接，接收各路由器發(fā)出的認證信息；

解析模塊2，用于解析認證信息，分離出對應的用戶賬號、密碼和挑戰(zhàn)碼；

認證模塊3，用于對用戶賬號和密碼進行驗證；

權(quán)限管理模塊4，用于在認證模塊判定用戶賬號和密碼均有效并正確時，獲取當前用戶在各路由器上預先設(shè)置的權(quán)限規(guī)則；

認證發(fā)送模塊5，用于向各路由器返回認證結(jié)果信息。

當用戶通過客戶端連接路由器輸入用戶賬號和密碼后，路由器能夠根據(jù)自身的認證設(shè)置，將生成的認證信息發(fā)送給認證信息接收模塊，由認證模塊對當前用戶進行權(quán)限認證，權(quán)限管理模塊在該用戶通過認證后，獲取該用戶在對應路由器上的權(quán)限規(guī)則，并由認證發(fā)送模塊返回認證結(jié)果信息。其中，通常情況下，用戶時通過telnet客戶端工具連接路由器，并在登錄界面輸入用戶賬號和密碼，登錄信息會通過telnet協(xié)議發(fā)送到對應的路由器，路由器查詢自身的認證設(shè)置，由于路由器自身能夠進行外部的Radius協(xié)議認證，因此，在本實施方式中，優(yōu)選各路由器采用Radius協(xié)議認證，因而優(yōu)選路由器通過Radius協(xié)議將認證信息發(fā)送給本實施方式的認證系統(tǒng)。該系統(tǒng)采用了集中式認證管理，所有的受控路由器都發(fā)送認證信息至該系統(tǒng)進行統(tǒng)一認證，在認證通過后，該系統(tǒng)返回認證成功結(jié)果信息，用戶才能通過客戶端控制路由器。采用統(tǒng)一的認證管理，大大降低了管理成本，當某一用戶離職時，只需設(shè)定該用戶的賬號無效即可禁止該用戶登錄路由，降低了安全隱患。

由上述內(nèi)容可知，路由器自身能夠進行外部的Radius協(xié)議認證，因而，優(yōu)選解析模塊包括：協(xié)議解析單元，用于對認證信息中的Radius協(xié)議進行解析；信息分離單元，用于從協(xié)議解析單元解析出的信息中分離出當前用戶的用戶賬號、密碼和挑戰(zhàn)碼。

進一步地，認證模塊包括：第一判斷單元，用于判斷用戶賬號是否有效，當判定用戶賬號無效時，則說明該用戶認證失??；第二判斷單元，用于在第一判斷單元判定用戶賬號有效時，判斷密碼是否正確，當密碼判定錯誤時也說明該用戶認證失敗；鎖定單元，用于在第二判斷單元判定密碼錯誤時，對該用戶賬號進行鎖定，以防止進行暴力認證。

更進一步地，認證發(fā)送模塊包括：

第一認證發(fā)送單元，用于向?qū)穆酚善靼l(fā)送認證失敗原因信息或者認證成功信息；第二認證發(fā)送單元，用于在認證成功時，向各所述路由器返回所述用戶在該路由器上的權(quán)限信息，此時，該當前用戶才最終通過認證，可以通過客戶端對該路由器進行控制。

在上述任一實施方式的基礎(chǔ)上，本發(fā)明一種實施方式中，該系統(tǒng)還包括：

數(shù)據(jù)庫模塊，用于存儲各用戶賬號和對應的密碼數(shù)據(jù)信息，以及各用戶在各路由器上預先設(shè)置的權(quán)限規(guī)則信息。當認證模塊進行認證時即可由該數(shù)據(jù)庫模塊中調(diào)取對應的用戶賬號和密碼以對當前用戶的用戶賬號和密碼進行驗證。而當認證模塊判定當前用戶的用戶賬號和密碼有效并正確時，權(quán)限管理模塊可以由該數(shù)據(jù)庫模塊中調(diào)取預先設(shè)置的該用戶在該路由器上的權(quán)限規(guī)則。

請參考圖2，圖2為本發(fā)明一種具體實施方式所提供的路由器集中認證方法流程圖。

相應地，本發(fā)明一種實施方式還提供了一種路由器集中認證方法，包括：

S11：獲取當前用戶進行路由操作所對應的權(quán)限認證的認證信息。

當當前用戶登錄路由器時，需要輸入對應的用戶賬號和密碼，此時該路由器就會根據(jù)預設(shè)的認證設(shè)置，發(fā)出認證信息。

S12：解析認證信息，分離出當前用戶的用戶賬號、密碼和挑戰(zhàn)碼。其中，解析認證信息，為：對認證信息的Radius協(xié)議進行解析。

由于路由器自身能夠進行外部的Radius協(xié)議認證，因此，在本實施方式中，優(yōu)選路由器通過Radius協(xié)議進行認證，因此對認證信息進行Radius協(xié)議解析。

S13：判斷用戶賬號和密碼是否符合預設(shè)的認證規(guī)則。

S14：若是，則獲取當前用戶在對應路由器上的權(quán)限，輸出認證成功信息，同時還可以返回當前用戶在該路由器上的權(quán)限信息，以使的當前用戶可以對該路由器進行控制；

S15：若否，則輸出認證失敗信息。

具體地，判斷用戶賬號和密碼是否符合預設(shè)的認證規(guī)則，包括：

判斷用戶賬號是否有效；

若判定用戶賬號無效，則輸出認證失敗信息；

若判定用戶賬號有效，則判斷密碼是否正確；

若判定密碼正確，則獲取當前用戶在對應路由器上的權(quán)限，輸出認證成功信息；

若判定密碼錯誤，則輸出認證失敗信息。

進一步地，在判定密碼錯誤之后，還包括：對用戶賬號進行鎖定，以防止用戶進行暴力認證。

本發(fā)明實施方式所提供的認證方法，采用了集中式認證管理，獲取所有的受控路由器的認證信息以進行統(tǒng)一認證，在認證通過后，返回認證成功結(jié)果信息，用戶才能通過客戶端控制路由器。采用統(tǒng)一的認證管理，大大降低了管理成本，當某一用戶離職時，只需設(shè)定該用戶的賬號無效即可禁止該用戶登錄路由，降低了安全隱患。

綜上所述，本發(fā)明所提供的路由器集中認證系統(tǒng)和方法，采用了集中式認證管理，對所有的受控路由器的認證信息進行統(tǒng)一認證，在認證通過后，返回認證成功結(jié)果信息，用戶才能通過客戶端控制路由器。采用統(tǒng)一的認證管理，大大降低了管理成本，當某一用戶離職時，只需設(shè)定該用戶的賬號無效即可禁止該用戶登錄路由，降低了安全隱患。

以上對本發(fā)明所提供的一種路由器集中認證系統(tǒng)和方法進行了詳細介紹。本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想。應當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以對本發(fā)明進行若干改進和修飾，這些改進和修飾也落入本發(fā)明權(quán)利要求的保護范圍內(nèi)。