專利名稱:一種對(duì)設(shè)備管理用戶進(jìn)行控制的方法及服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種對(duì)設(shè)備管理用戶進(jìn)行控制的方法及服務(wù)器。
背景技術(shù):
現(xiàn)有的AAA協(xié)議,無論是RADIUS協(xié)議還是TACACS+協(xié)議,在應(yīng)用于設(shè)備管理用戶的場(chǎng)景下時(shí),只是被動(dòng)的接收設(shè)備的請(qǐng)求報(bào)文,然后根據(jù)預(yù)先配置的策略進(jìn)行響應(yīng);一旦設(shè)備管理用戶登錄成功,就無法再對(duì)設(shè)備管理用戶進(jìn)行控制了。也就是說,如果預(yù)先配置的策略存在漏洞,比如給一個(gè)低級(jí)別的用戶授予了最高的設(shè)備控制權(quán)限,那么,這個(gè)低級(jí)別的用戶可以使用這個(gè)最高的設(shè)備控制權(quán)限對(duì)設(shè)備進(jìn)行任意的配置改動(dòng),直至該用戶主動(dòng)下線。在此期間,即使發(fā)現(xiàn)了這個(gè)漏洞,也沒有機(jī)制可以封堵這個(gè)漏洞,以使其對(duì)網(wǎng)絡(luò)的影響降至最低。設(shè)備管理用戶是指通過某種方式(例如 telnet、ftp、console等)登錄到設(shè)備,對(duì)設(shè)備進(jìn)行配置、管理的用戶。
發(fā)明內(nèi)容
本發(fā)明提供了一種對(duì)設(shè)備管理用戶進(jìn)行控制的方法及服務(wù)器,以增強(qiáng)網(wǎng)絡(luò)的實(shí)時(shí)安全性。本發(fā)明提供的一種對(duì)設(shè)備管理用戶進(jìn)行控制的方法,包括服務(wù)器向設(shè)備管理用戶所登錄的接入設(shè)備發(fā)送設(shè)備管理用戶控制報(bào)文;所述報(bào)文中包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的個(gè)人電腦(PC)或設(shè)備的因特網(wǎng)協(xié)議(IP)地址、設(shè)備管理用戶的權(quán)限級(jí)另Ij、允許執(zhí)行的命令列表和不允許執(zhí)行的命令列表。較佳地,服務(wù)器可以在任意發(fā)現(xiàn)設(shè)備管理用戶存在未授權(quán)的操作的時(shí)刻發(fā)出所述設(shè)備管理用戶控制報(bào)文,或者在預(yù)防設(shè)備管理用戶進(jìn)行未授權(quán)的操作時(shí)發(fā)出所述設(shè)備管理用戶控制報(bào)文。較佳地,定義表示強(qiáng)制設(shè)備管理用戶退出的權(quán)限級(jí)別,當(dāng)將權(quán)限級(jí)別設(shè)置為表示強(qiáng)制設(shè)備管理用戶退出的權(quán)限級(jí)別時(shí),表示強(qiáng)制設(shè)備管理用戶退出。進(jìn)一步地,該方法可以包括所述服務(wù)器從接入設(shè)備接收設(shè)備管理用戶的登錄信息,并記錄所述登錄信息,形成在線記錄;在線記錄的內(nèi)容包括設(shè)備管理用戶的用戶名、 設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的PC或設(shè)備的 IP地址、所登錄的接入設(shè)備的IP地址以及登錄時(shí)間。本發(fā)明提供的一種服務(wù)器,包括第一模塊,用于生成設(shè)備管理用戶控制報(bào)文,在所述報(bào)文中攜帶設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的個(gè)人電腦(PC)或設(shè)備的因特網(wǎng)協(xié)議(IP)地址、設(shè)備管理用戶的權(quán)限級(jí)別、允許執(zhí)行的命令列表和不允許執(zhí)行的命令列表;
第二模塊,用于將所述設(shè)備管理用戶控制報(bào)文發(fā)送給所述設(shè)備管理用戶所登錄的接入設(shè)備。較佳地,在任意發(fā)現(xiàn)設(shè)備管理用戶存在未授權(quán)的操作的時(shí)刻,所述第一模塊生成所述設(shè)備管理用戶控制報(bào)文,所述第二模塊發(fā)出所述設(shè)備管理用戶控制報(bào)文。較佳地,在預(yù)防設(shè)備管理用戶進(jìn)行未授權(quán)的操作時(shí),所述第一模塊生成所述設(shè)備管理用戶控制報(bào)文,所述第二模塊發(fā)出所述設(shè)備管理用戶控制報(bào)文。較佳地,所述第一模塊將設(shè)備管理用戶 的權(quán)限級(jí)別的取值設(shè)置為表示強(qiáng)制設(shè)備管理用戶退出的權(quán)限級(jí)別時(shí),表示強(qiáng)制所述設(shè)備管理用戶退出。所述第二模塊,還可以用于從接入設(shè)備接收設(shè)備管理用戶的登錄信息;所述服務(wù)器中可以進(jìn)一步包括第三模塊,用于記錄所述登錄信息,形成在線記錄;在線記錄的內(nèi)容包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的PC或設(shè)備的IP地址、所登錄的接入設(shè)備的IP地址以及登錄時(shí)間。由上述技術(shù)方案可見,本發(fā)明通過AAA服務(wù)器主動(dòng)向設(shè)備發(fā)送設(shè)備管理用戶控制報(bào)文,可以細(xì)粒度地控制設(shè)備管理用戶登錄設(shè)備之后的操作,使得AAA服務(wù)器具備了主動(dòng)控制設(shè)備管理用戶的能力,不需要設(shè)備發(fā)起授權(quán)請(qǐng)求報(bào)文即可以主動(dòng)地隨時(shí)地控制設(shè)備管理用戶,增強(qiáng)了網(wǎng)絡(luò)的實(shí)時(shí)安全性。
圖1為本發(fā)明一較佳實(shí)施例中服務(wù)器控制設(shè)備管理用戶的情景示意圖;圖2為本發(fā)明一較佳實(shí)施例中服務(wù)器的組成結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。現(xiàn)有TACACS+協(xié)議通過下發(fā)設(shè)備管理用戶登錄時(shí)的權(quán)限級(jí)別,以及設(shè)備管理用戶在線時(shí)進(jìn)行命令行授權(quán),來達(dá)到控制設(shè)備管理用戶的目的。下發(fā)權(quán)限級(jí)別是在登錄授權(quán)回應(yīng)(login authorize r印ly)報(bào)文中實(shí)現(xiàn)的,即設(shè)備發(fā)起登錄授權(quán)請(qǐng)求(login authorize request),服務(wù)器根據(jù)預(yù)先配置的策略給予回應(yīng)。而命令行授權(quán)是指設(shè)備管理用戶在進(jìn)行命令操作時(shí),所執(zhí)行的每個(gè)命令都由設(shè)備封裝在一個(gè)命令授權(quán)請(qǐng)求(command authorize request)報(bào)文中發(fā)送到服務(wù)器上,由服務(wù)器根據(jù)預(yù)先配置的策略決定是否允許執(zhí)行此命令,并將結(jié)果放在命令授權(quán)回應(yīng)(command authorize reply)報(bào)文中回應(yīng)到設(shè)備上。上述兩種方式均是在接收到設(shè)備的請(qǐng)求報(bào)文時(shí),被動(dòng)地進(jìn)行回應(yīng),無法主動(dòng)對(duì)設(shè)備管理用戶進(jìn)行控制。本發(fā)明通過定義一個(gè)由服務(wù)器向設(shè)備發(fā)送的設(shè)備管理用戶控制報(bào)文,由服務(wù)器在任意需要的時(shí)刻向設(shè)備下發(fā)控制報(bào)文的方法,來控制已經(jīng)登錄的設(shè)備管理用戶的行為,隨時(shí)保證網(wǎng)絡(luò)遠(yuǎn)離威脅。下面通過一個(gè)實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說明
圖1為本發(fā)明一較佳實(shí)施例中服務(wù)器控制設(shè)備管理用戶的情景示意圖。設(shè)備管理用戶登錄到接入設(shè)備。接入設(shè)備將設(shè)備管理用戶的登錄信息通過AAA協(xié)議傳送到AAA服務(wù)器上,AAA服務(wù)器記錄這些信息,形成一個(gè)在線記錄。在線記錄的內(nèi)容包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)(即設(shè)備管理用戶從哪個(gè)端口登錄到接入設(shè)備)、設(shè)備管理用戶用于登錄接入設(shè)備的PC或設(shè)備的IP地址、所登錄的接入設(shè)備的IP地址以及登錄時(shí)間。網(wǎng)絡(luò)管理員在任意時(shí)刻發(fā)現(xiàn)設(shè)備管理用戶存在未授權(quán)的操作時(shí),或者為預(yù)防設(shè)備管理用戶進(jìn)行未授權(quán)的操作時(shí),從AAA服務(wù)器上下發(fā)設(shè)備管理用戶控制報(bào)文到接入設(shè)備上。該控制報(bào)文的內(nèi)容包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的PC或設(shè)備的IP地址、設(shè)備管理用戶的權(quán)限級(jí)別、允許執(zhí)行的命令列表和不允許執(zhí)行的命令列表。控制報(bào)文的格式示例如下所示
權(quán)利要求
1.一種對(duì)設(shè)備管理用戶進(jìn)行控制的方法,其特征在于,包括服務(wù)器向設(shè)備管理用戶所登錄的接入設(shè)備發(fā)送設(shè)備管理用戶控制報(bào)文;所述報(bào)文中包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的個(gè)人電腦(PC)或設(shè)備的因特網(wǎng)協(xié)議(IP)地址、設(shè)備管理用戶的權(quán)限級(jí)別、允許執(zhí)行的命令列表和不允許執(zhí)行的命令列表。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于服務(wù)器在任意發(fā)現(xiàn)設(shè)備管理用戶存在未授權(quán)的操作的時(shí)刻發(fā)出所述設(shè)備管理用戶控制報(bào)文,或者在預(yù)防設(shè)備管理用戶進(jìn)行未授權(quán)的操作時(shí)發(fā)出所述設(shè)備管理用戶控制報(bào)文。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于定義表示強(qiáng)制設(shè)備管理用戶退出的權(quán)限級(jí)別,當(dāng)將權(quán)限級(jí)別設(shè)置為表示強(qiáng)制設(shè)備管理用戶退出的權(quán)限級(jí)別時(shí),表示強(qiáng)制設(shè)備管理用戶退出。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的方法,其特征在于,該方法進(jìn)一步包括所述服務(wù)器從接入設(shè)備接收設(shè)備管理用戶的登錄信息,并記錄所述登錄信息,形成在線記錄;在線記錄的內(nèi)容包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的PC或設(shè)備的IP地址、所登錄的接入設(shè)備的IP 地址以及登錄時(shí)間。
5.一種服務(wù)器,其特征在于,包括第一模塊,用于生成設(shè)備管理用戶控制報(bào)文,在所述報(bào)文中攜帶設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的個(gè)人電腦 (PC)或設(shè)備的因特網(wǎng)協(xié)議(IP)地址、設(shè)備管理用戶的權(quán)限級(jí)別、允許執(zhí)行的命令列表和不允許執(zhí)行的命令列表;第二模塊,用于將所述設(shè)備管理用戶控制報(bào)文發(fā)送給所述設(shè)備管理用戶所登錄的接入設(shè)備。
6.根據(jù)權(quán)利要求5所述的服務(wù)器,其特征在于在任意發(fā)現(xiàn)設(shè)備管理用戶存在未授權(quán)的操作的時(shí)刻,所述第一模塊生成所述設(shè)備管理用戶控制報(bào)文,所述第二模塊發(fā)出所述設(shè)備管理用戶控制報(bào)文。
7.根據(jù)權(quán)利要求5所述的服務(wù)器,其特征在于在預(yù)防設(shè)備管理用戶進(jìn)行未授權(quán)的操作時(shí),所述第一模塊生成所述設(shè)備管理用戶控制報(bào)文,所述第二模塊發(fā)出所述設(shè)備管理用戶控制報(bào)文。
8.根據(jù)權(quán)利要求5至7任一項(xiàng)所述的服務(wù)器,其特征在于所述第一模塊將設(shè)備管理用戶的權(quán)限級(jí)別的取值設(shè)置為表示強(qiáng)制設(shè)備管理用戶退出的權(quán)限級(jí)別時(shí),表示強(qiáng)制所述設(shè)備管理用戶退出。
9.根據(jù)權(quán)利要求5至7任一項(xiàng)所述的服務(wù)器,其特征在于,服務(wù)器中進(jìn)一步包括第三模塊;所述第二模塊,還用于從接入設(shè)備接收設(shè)備管理用戶的登錄信息;所述第三模塊,用于記錄所述登錄信息,形成在線記錄;在線記錄的內(nèi)容包括設(shè)備管理用戶的用戶名、設(shè)備管理用戶登錄到接入設(shè)備的端口號(hào)、設(shè)備管理用戶用于登錄接入設(shè)備的PC或設(shè)備的IP地址、所登錄的接入設(shè)備的IP地址以及登錄時(shí)間。
全文摘要
本發(fā)明提供了一種對(duì)設(shè)備管理用戶進(jìn)行控制的方法和服務(wù)器,通過服務(wù)器主動(dòng)向設(shè)備發(fā)送設(shè)備管理用戶控制報(bào)文,使得服務(wù)器具備了主動(dòng)控制設(shè)備管理用戶的能力,增強(qiáng)了網(wǎng)絡(luò)的實(shí)時(shí)安全性。
文檔編號(hào)H04L12/56GK102361472SQ20111035660
公開日2012年2月22日 申請(qǐng)日期2011年11月11日 優(yōu)先權(quán)日2011年11月11日
發(fā)明者鐘桂榮 申請(qǐng)人:杭州華三通信技術(shù)有限公司