本發(fā)明涉及安全認(rèn)證領(lǐng)域，特別是涉及一種路由器安全認(rèn)證的方法、裝置及系統(tǒng)。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展進(jìn)步，一些大型企業(yè)的網(wǎng)絡(luò)設(shè)備越來越多，路由器設(shè)備也相應(yīng)地增加。

路由器數(shù)量的增加，對(duì)路由器的管理提出了新的挑戰(zhàn)。在對(duì)路由器進(jìn)行管理以及操作時(shí)，一般都要先進(jìn)行安全認(rèn)證。路由器安全認(rèn)證可以是為了確認(rèn)訪問路由器的用戶身份的認(rèn)證過程，進(jìn)而可以獲取用戶在不同路由器上所具有的操作權(quán)限，并授予用戶相應(yīng)的權(quán)限。

現(xiàn)有的路由器認(rèn)證與權(quán)限管理一般是分散的，即路由器的用戶登錄名、密碼以及權(quán)限等相關(guān)信息不是統(tǒng)一管理的。例如，路由器的權(quán)限管理可以由路由器本身進(jìn)行管理，而路由器的用戶名以及密碼的認(rèn)證過程可以由認(rèn)證服務(wù)器完成。用戶登錄名、密碼以及權(quán)限等信息的分散管理，會(huì)使得路由器的管理成本十分巨大，如何降低路由器的認(rèn)證管理成本是本領(lǐng)域技術(shù)人員亟待解決的問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種路由器安全認(rèn)證的方法、裝置以及系統(tǒng)，目的在于解決現(xiàn)有路由器的認(rèn)證管理成本較高的問題。

為解決上述技術(shù)問題，本發(fā)明提供一種路由器安全認(rèn)證的方法，該方法包括：

獲取路由器發(fā)送的用戶信息以及密碼；

將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

當(dāng)判斷出所述用戶信息與所述預(yù)存儲(chǔ)用戶信息，以及所述密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

將所述權(quán)限信息以及所述認(rèn)證成功信息返回給客戶端。

可選地，在所述獲取路由器發(fā)送的用戶信息以及密碼之前還包括：

接收所述路由器發(fā)送的安全認(rèn)證數(shù)據(jù)包；

從所述安全認(rèn)證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。

可選地，在所述將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致之后還包括：

當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息不一致，生成賬號(hào)無效信息，將所述賬號(hào)無效信息返回給所述客戶端；

當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息一致時(shí)，將所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，生成密碼錯(cuò)誤信息，將所述密碼錯(cuò)誤信息返回給所述客戶端。

可選地，所述當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，生成密碼錯(cuò)誤信息，將所述密碼錯(cuò)誤信息返回給所述客戶端包括：

當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，提示用戶重新輸入密碼；

當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)次數(shù)時(shí)，對(duì)所述用戶信息對(duì)應(yīng)的賬號(hào)進(jìn)行鎖定，返回密碼錯(cuò)誤信息給所述客戶端。

可選地，所述路由器為支持Radius協(xié)議認(rèn)證和/或TACACS+協(xié)議認(rèn)證的路由器。

此外，本發(fā)明還提供了一種路由器安全認(rèn)證的裝置，該裝置包括：

獲取模塊，用于獲取路由器發(fā)送的用戶信息以及密碼；

判斷模塊，用于將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

權(quán)限獲取模塊，用于當(dāng)判斷出所述用戶信息與所述預(yù)存儲(chǔ)用戶信息，以及所述密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

認(rèn)證成功發(fā)送模塊，用于將所述權(quán)限信息以及所述認(rèn)證成功信息返回給客戶端。

可選地，還包括：

接收模塊，用于接收所述路由器發(fā)送的安全認(rèn)證數(shù)據(jù)包；

解析模塊，用于從所述安全認(rèn)證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。

可選地，還包括：

無效信息生成模塊，用于當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息不一致，生成賬號(hào)無效信息，將所述賬號(hào)無效信息返回給所述客戶端；

比對(duì)模塊，用于當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息一致時(shí)，將所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

錯(cuò)誤信息生成模塊，用于當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，生成密碼錯(cuò)誤信息，將所述密碼錯(cuò)誤信息返回給所述客戶端。

可選地，所述錯(cuò)誤信息生成模塊包括：

提示單元，用于當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，提示用戶重新輸入密碼；

鎖定單元，用于當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)次數(shù)時(shí)，對(duì)所述用戶信息對(duì)應(yīng)的賬號(hào)進(jìn)行鎖定，返回密碼錯(cuò)誤信息給所述客戶端。

此外，本發(fā)明還提供了一種路由器安全認(rèn)證的系統(tǒng)，該系統(tǒng)包括：

客戶端，用于獲取用戶信息以及密碼，將所述用戶信息以及所述密碼發(fā)送至路由器；

所述路由器，用于獲取所述用戶信息以及所述密碼；根據(jù)預(yù)先設(shè)置，將所述用戶信息以及所述密碼轉(zhuǎn)發(fā)至相應(yīng)的認(rèn)證服務(wù)器；

所述認(rèn)證服務(wù)器，用于獲取所述路由器發(fā)送的所述用戶信息以及所述密碼；將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；當(dāng)判斷出所述用戶信息與所述預(yù)存儲(chǔ)用戶信息，以及所述密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將所述權(quán)限信息以及所述認(rèn)證成功信息返回給客戶端。

本發(fā)明所提供的一種路由器安全認(rèn)證的方法、裝置及系統(tǒng)，獲取路由器發(fā)送的用戶信息以及密碼；將用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；當(dāng)判斷出用戶信息與預(yù)存儲(chǔ)用戶信息，以及密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將權(quán)限信息以及認(rèn)證成功信息返回給客戶端。首先對(duì)路由器發(fā)送的用戶信息以及密碼進(jìn)行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認(rèn)證信息與權(quán)限信息進(jìn)行統(tǒng)一管理。可見，本申請(qǐng)將用戶信息、密碼以及權(quán)限信息進(jìn)行統(tǒng)一管理，有利于降低路由器認(rèn)證管理的成本。

附圖說明

為了更清楚的說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單的介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證方法的一種具體實(shí)施方式的流程示意圖；

圖2為本發(fā)明實(shí)施例提供的路由器安全認(rèn)證裝置的結(jié)構(gòu)示意框圖；

圖3為本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證系統(tǒng)的結(jié)構(gòu)示意框圖；

圖4為本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證系統(tǒng)的一種具體實(shí)施方式的示意圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說明。顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

請(qǐng)參見圖1，圖1為本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證方法的一種具體實(shí)施方式的流程示意圖，該方法包括：

步驟101：獲取路由器發(fā)送的用戶信息以及密碼；

需要說明的是，上述用戶信息以及密碼為路由器的安全認(rèn)證信息，即用戶登錄路由器的用戶信息以及密碼。上述用戶信息可以為用戶的登錄名，登錄名可以為由中文組成，例如，張三；也可以單獨(dú)由多位數(shù)字組成，其數(shù)字位數(shù)可以為任意數(shù)值，例如，登錄名可以由任意的6位數(shù)字組成；也可以由英文字母和數(shù)字組成，即登錄名由若干個(gè)英文字母以及若干個(gè)數(shù)字組成，其英文字母可以為大寫字母，或者是小寫字母，亦或者是大寫字母以及小寫字母混合組成，而英文字母與數(shù)字的比例可以為任意，即英文字母的個(gè)數(shù)以及數(shù)字的個(gè)數(shù)可以為任意。顯而易見地，登錄名的組成并不限于上述所提及的。當(dāng)然，上述用戶信息還可以包括登錄名以外的信息。

上述密碼與上述用戶信息為一一對(duì)應(yīng)的，其可以由中文組成；也可以單獨(dú)由多位數(shù)字組成，其數(shù)字位數(shù)可以為任意數(shù)值，例如，由任意的6位數(shù)字組成；也可以由英文字母和數(shù)字組成。當(dāng)然，上述密碼組成還可以為其它，在此不一一列舉。

可以理解的是，上述用戶信息以及密碼為路由器發(fā)送來的，即路由器可以將所接收到的用戶信息以及密碼進(jìn)行發(fā)送。例如，用戶在路由器登錄界面的用戶名為張三，密碼為zhangsan，將用戶信息以及密碼發(fā)送至路由器，然后路由器再將用戶信息以及密碼進(jìn)行發(fā)送。

顯而易見地，上述路由器為經(jīng)過預(yù)先設(shè)置地，即將路由器的認(rèn)證設(shè)置設(shè)為服務(wù)器認(rèn)證，當(dāng)路由器接收到認(rèn)證信息后，將認(rèn)證信息發(fā)送至認(rèn)證服務(wù)器進(jìn)行認(rèn)證，而不是在路由器本身進(jìn)行認(rèn)證。

需要說明的是，路由器由于自身所支持的認(rèn)證協(xié)議不同，發(fā)送的數(shù)據(jù)包的編碼格式也會(huì)有相應(yīng)的不同。在獲取上述用戶信息以及密碼之前，需要從路由器發(fā)送的安全認(rèn)證數(shù)據(jù)包解析出所需的安全認(rèn)證信息，故在本發(fā)明的一些實(shí)施例中，其過程可以具體為：接收所述路由器發(fā)送的安全認(rèn)證數(shù)據(jù)包；從所述安全認(rèn)證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。根據(jù)路由器所支持的認(rèn)證協(xié)議，對(duì)接收到的協(xié)議數(shù)據(jù)包進(jìn)行解析，以分離出所需的用戶信息即用戶賬號(hào)以及密碼。

為了傳輸?shù)挠脩粽鎸?shí)密碼的安全性，可以對(duì)利用挑戰(zhàn)碼為用戶信密碼進(jìn)行加密，故還可以從路由器發(fā)送的安全認(rèn)證數(shù)據(jù)包中解析出挑戰(zhàn)碼，即可以解析出用戶信息、密碼以及挑戰(zhàn)碼。需要說明的是，挑戰(zhàn)碼技術(shù)為本領(lǐng)域技術(shù)人所熟知的技術(shù)，在此不再贅述。

上述路由器可以為支持Radius協(xié)議認(rèn)證和/或TACACS+協(xié)議認(rèn)證的路由器，即上述路由器可以支持Radius協(xié)議認(rèn)證，也可以支持TACACS+協(xié)議認(rèn)證，還可以同時(shí)支持Radius協(xié)議認(rèn)證以及TACACS+協(xié)議認(rèn)證。當(dāng)然，上述路由器還可以為支持其它協(xié)議認(rèn)證的路由器，并不限于上述所提及的。

需要說明的是，上述路由器為當(dāng)前用戶所想登錄的路由器，即用戶選擇需要登錄的路由器，輸入相應(yīng)的用戶登錄名以及密碼，所需登錄的路由器將用戶登錄名以及密碼等認(rèn)證信息發(fā)送至認(rèn)證服務(wù)器。例如，有6臺(tái)路由器，分別為路由器1、路由器2、路由器3、路由器4、路由器5以及路由器6，當(dāng)前用戶選擇登錄路由器2，路由器2將用戶輸入的登錄名以及密碼等認(rèn)證信息發(fā)送至認(rèn)證服務(wù)器。

步驟102：將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

需要說明的是，上述預(yù)存儲(chǔ)用戶信息以及預(yù)存儲(chǔ)密碼可以是預(yù)先存儲(chǔ)的，即將大量用戶的用戶名以及相應(yīng)的密碼存儲(chǔ)至指定存儲(chǔ)位置，例如為數(shù)據(jù)庫。當(dāng)需要比對(duì)時(shí)，可以從指定存儲(chǔ)位置例如數(shù)據(jù)庫中讀取相應(yīng)的預(yù)存儲(chǔ)信息，將預(yù)存儲(chǔ)用戶信息和密碼與路由器發(fā)送的用戶信息和密碼進(jìn)行比對(duì)，判斷是否一致。

可以先將用戶信息與預(yù)存儲(chǔ)用戶信息進(jìn)行比對(duì)，當(dāng)用戶信息比對(duì)一致時(shí)，即確認(rèn)用戶登錄名是否有效后，才將密碼與預(yù)存儲(chǔ)密碼進(jìn)行比對(duì)。這樣可以避免用戶信息即用戶登錄名無效或者是錯(cuò)誤時(shí)，仍然進(jìn)行密碼的比對(duì)的情況發(fā)生。

故在本發(fā)明的一些實(shí)施例中，可以先對(duì)用戶信息進(jìn)行比對(duì)，再對(duì)密碼進(jìn)行比對(duì)，其過程可以具體為：當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息不一致，生成賬號(hào)無效信息，將所述賬號(hào)無效信息返回給所述客戶端；當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息一致時(shí)，將所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，生成密碼錯(cuò)誤信息，將所述密碼錯(cuò)誤信息返回給所述客戶端。

需要說明的是，當(dāng)用戶信息比對(duì)不一致時(shí)，生成賬號(hào)無效信息，并將賬號(hào)無效信息發(fā)送至客戶端，以提示當(dāng)前用戶所輸入的用戶登錄名為無效的用戶名，使得用戶可以根據(jù)賬號(hào)無效信息，重新輸入用戶登錄名。而當(dāng)用戶信息比對(duì)一致時(shí)，可以接著對(duì)密碼進(jìn)行比對(duì)，即將密碼與預(yù)存儲(chǔ)密碼進(jìn)行比對(duì)，判斷是否一致。當(dāng)密碼比對(duì)不一致時(shí)，則生成密碼錯(cuò)誤信息，將密碼錯(cuò)誤信息發(fā)送至客戶端，以提示當(dāng)前用戶所輸入的密碼錯(cuò)誤，使得用戶可以重新輸入登錄密碼。

為了防止暴力認(rèn)證發(fā)生，可以對(duì)密碼錯(cuò)誤的次數(shù)設(shè)置一個(gè)預(yù)設(shè)的閾值，當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)的閾值時(shí)，可以對(duì)用戶的賬號(hào)進(jìn)行鎖定，以防止暴力認(rèn)證的發(fā)生。閾值可以為2，即密碼錯(cuò)誤次數(shù)為2次時(shí)，則對(duì)用戶賬號(hào)進(jìn)行鎖定；也可以為3，即密碼錯(cuò)誤次數(shù)為3次時(shí)，則對(duì)用戶賬號(hào)進(jìn)行鎖定。當(dāng)然，上述閾值的數(shù)值還可以為其它，在此不作限定。

顯而易見地，對(duì)用戶賬號(hào)進(jìn)行鎖定可以具體表現(xiàn)為用戶不能繼續(xù)對(duì)利用該用戶登錄名以及密碼登錄路由器，鎖定的時(shí)間可以是人為任意設(shè)定的。

在對(duì)用戶賬號(hào)鎖定后，還可以解鎖已鎖定的用戶賬號(hào)，即用戶可以通過一定的解鎖操作，使鎖定的用戶賬號(hào)重新處于激活狀態(tài)，使得用戶可以繼續(xù)使用用戶賬號(hào)登錄路由器。其解鎖操作可以是由后臺(tái)管理員完成，也可以是用戶賬號(hào)的所有者來完成。

故在本發(fā)明的一些實(shí)施例中，其過程可以具體為：當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，提示用戶重新輸入密碼；當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)次數(shù)時(shí)，對(duì)所述用戶信息對(duì)應(yīng)的賬號(hào)進(jìn)行鎖定，返回密碼錯(cuò)誤信息給所述客戶端。當(dāng)?shù)谝淮蚊艽a比對(duì)不一致時(shí)，即當(dāng)前用戶輸入的密碼不正確，可以通過客戶端提示當(dāng)前用戶密碼錯(cuò)誤，請(qǐng)重新輸入密碼；然后繼續(xù)接收用戶輸入的密碼，繼續(xù)進(jìn)行密碼比對(duì)，當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)次數(shù)時(shí)，對(duì)用戶信息對(duì)應(yīng)的用戶賬號(hào)進(jìn)行鎖定。上述預(yù)設(shè)次數(shù)為上文中的預(yù)設(shè)的閾值，其所能取的數(shù)值可以為任意，其可以人為任意地設(shè)定，在此不再贅述。

步驟103：當(dāng)判斷出所述用戶信息與所述預(yù)存儲(chǔ)用戶信息，以及所述密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

需要說明的是，當(dāng)用戶信息以及密碼都比對(duì)一致，即預(yù)存儲(chǔ)有相應(yīng)的用戶信息以及密碼，則表明當(dāng)前用戶為合法用戶，可以登錄到路由器上，以對(duì)路由器進(jìn)行相應(yīng)的操作。由于不同的用戶所擁有的權(quán)限是不一樣的，即不同用戶在不同的路由器上的權(quán)限是不一樣的。故在比對(duì)都一致后，可以獲取當(dāng)前用戶在當(dāng)前路由器上所具有的權(quán)限信息。權(quán)限信息可以存儲(chǔ)在預(yù)設(shè)存儲(chǔ)位置，例如數(shù)據(jù)庫。數(shù)據(jù)庫內(nèi)還可以包括預(yù)存儲(chǔ)的用戶信息以及密碼，即用戶的權(quán)限信息、用戶信息以及密碼同時(shí)存儲(chǔ)于同一數(shù)據(jù)庫，當(dāng)然，用戶的權(quán)限信息、用戶信息以及密碼也可以存儲(chǔ)在不同的數(shù)據(jù)庫，在此不作限定。

可以理解的是，上述權(quán)限信息可以是指用戶操作路由器的權(quán)限。例如，用戶在當(dāng)前路由器的權(quán)限為管理員。當(dāng)然，也可以將權(quán)限劃分等級(jí)，不同權(quán)限等級(jí)所能對(duì)路由器的操作也會(huì)相應(yīng)不同，例如，將權(quán)限等級(jí)劃分為1到10級(jí)，當(dāng)前用戶的權(quán)限等級(jí)為6。設(shè)定用戶的權(quán)限等級(jí)，也可以對(duì)用戶所使用的資源的多少進(jìn)行限定，例如，設(shè)定管理員可以對(duì)服務(wù)器中的文件進(jìn)行訪問和打印操作。當(dāng)然，也可以設(shè)置當(dāng)用戶的權(quán)限為管理員時(shí)，其可以在登錄到路由器之后，對(duì)其它不是管理員的用戶的權(quán)限進(jìn)行設(shè)置。

顯而易見地，當(dāng)且僅當(dāng)用戶信息以及密碼都比對(duì)一致時(shí)，即用戶的登錄名以及密碼都比對(duì)一致時(shí)，才會(huì)對(duì)當(dāng)前用戶進(jìn)行授權(quán)，以使當(dāng)前用戶可以登錄到相應(yīng)的路由器，對(duì)路由器進(jìn)行相應(yīng)操作。當(dāng)用戶信息比對(duì)一致，而密碼比對(duì)不一致時(shí)，不會(huì)對(duì)當(dāng)前用戶進(jìn)行授權(quán)；當(dāng)用戶信息比對(duì)不一致，而密碼比對(duì)不一致時(shí)，不會(huì)對(duì)當(dāng)前用戶進(jìn)行授權(quán)；當(dāng)用戶信息比對(duì)不一致，而密碼比對(duì)一致時(shí)，不會(huì)對(duì)當(dāng)前用戶進(jìn)行授權(quán)。

步驟104：將所述權(quán)限信息以及所述認(rèn)證成功信息返回給客戶端。

需要說明的是，當(dāng)且僅當(dāng)用戶信息以及密碼都比對(duì)一致時(shí)，生成認(rèn)證成功信息，并將當(dāng)前用戶的權(quán)限信息以及認(rèn)證成功信息通過路由器返回給客戶端，以使當(dāng)前用戶登錄成功，即登錄到相應(yīng)的路由器，對(duì)路由器進(jìn)行相應(yīng)操作。

上述客戶端可以為PC端的客戶端工具，即用戶通過PC的客戶端工具的登錄界面，輸入相應(yīng)的用戶登錄名以及密碼，以登錄到相應(yīng)的路由器。當(dāng)然，上述客戶端也可以具體表現(xiàn)為其它終端，在此不作限定。

本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證的方法，獲取路由器發(fā)送的用戶信息以及密碼；將用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；當(dāng)判斷出用戶信息與預(yù)存儲(chǔ)用戶信息，以及密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將權(quán)限信息以及認(rèn)證成功信息返回給客戶端。首先對(duì)路由器發(fā)送的用戶信息以及密碼進(jìn)行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認(rèn)證信息與權(quán)限信息進(jìn)行統(tǒng)一管理，有利于降低路由器認(rèn)證管理的成本。

下面對(duì)本發(fā)明實(shí)施例提供的路由器安全認(rèn)證裝置進(jìn)行介紹，下文描述的路由器安全認(rèn)證裝置與上文描述的路由器安全認(rèn)證方法可相互對(duì)應(yīng)參照。

圖2為本發(fā)明實(shí)施例提供的路由器安全認(rèn)證裝置的結(jié)構(gòu)示意框圖，參照?qǐng)D2路由器安全認(rèn)證裝置可以包括：

獲取模塊201，用于獲取路由器發(fā)送的用戶信息以及密碼；

判斷模塊202，用于將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

權(quán)限獲取模塊203，用于當(dāng)判斷出所述用戶信息與所述預(yù)存儲(chǔ)用戶信息，以及所述密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

認(rèn)證成功發(fā)送模塊204，用于將所述權(quán)限信息以及所述認(rèn)證成功信息返回給客戶端。

需要說明的是，上述裝置可以具體表現(xiàn)為認(rèn)證服務(wù)器，用于對(duì)路由器的登錄認(rèn)證以及用戶權(quán)限進(jìn)行統(tǒng)一管理。認(rèn)證服務(wù)器的類型可以由路由器所支持的認(rèn)證協(xié)議決定，例如，當(dāng)所述路由器支持TACACS+協(xié)議認(rèn)證時(shí)，認(rèn)證服務(wù)器為TACACS+服務(wù)器。

可選地，還包括：

接收模塊，用于接收所述路由器發(fā)送的安全認(rèn)證數(shù)據(jù)包；

解析模塊，用于從所述安全認(rèn)證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。

可選地，還包括：

無效信息生成模塊，用于當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息不一致，生成賬號(hào)無效信息，將所述賬號(hào)無效信息返回給所述客戶端；

比對(duì)模塊，用于當(dāng)所述用戶信息與所述預(yù)存儲(chǔ)用戶信息一致時(shí)，將所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；

錯(cuò)誤信息生成模塊，用于當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，生成密碼錯(cuò)誤信息，將所述密碼錯(cuò)誤信息返回給所述客戶端。

可選地，所述錯(cuò)誤信息生成模塊包括：

提示單元，用于當(dāng)所述密碼與所述預(yù)存儲(chǔ)密碼不一致時(shí)，提示用戶重新輸入密碼；

鎖定單元，用于當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)次數(shù)時(shí)，對(duì)所述用戶信息對(duì)應(yīng)的賬號(hào)進(jìn)行鎖定，返回密碼錯(cuò)誤信息給所述客戶端。

本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證的裝置，該裝置對(duì)路由器發(fā)送的用戶信息以及密碼進(jìn)行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認(rèn)證信息與權(quán)限信息進(jìn)行統(tǒng)一管理，有利于降低路由器認(rèn)證管理的成本。

請(qǐng)參見圖3，圖3為本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證系統(tǒng)的結(jié)構(gòu)示意框圖，該系統(tǒng)包括：

客戶端31，用于獲取用戶信息以及密碼，將所述用戶信息以及所述密碼發(fā)送至路由器；

所述路由器32，用于獲取所述用戶信息以及所述密碼；根據(jù)預(yù)先設(shè)置，將所述用戶信息以及所述密碼轉(zhuǎn)發(fā)至相應(yīng)的認(rèn)證服務(wù)器；

所述認(rèn)證服務(wù)器33，用于獲取所述路由器發(fā)送的所述用戶信息以及所述密碼；將所述用戶信息與預(yù)存儲(chǔ)用戶信息相比對(duì)，所述密碼與預(yù)存儲(chǔ)密碼相比對(duì)，判斷是否一致；當(dāng)判斷出所述用戶信息與所述預(yù)存儲(chǔ)用戶信息，以及所述密碼與預(yù)存儲(chǔ)密碼都一致時(shí)，生成認(rèn)證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將所述權(quán)限信息以及所述認(rèn)證成功信息返回給客戶端。

本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證的系統(tǒng)，認(rèn)證服務(wù)器對(duì)路由器發(fā)送的用戶信息以及密碼進(jìn)行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認(rèn)證信息與權(quán)限信息進(jìn)行統(tǒng)一管理，有利于降低路由器認(rèn)證管理的成本。

由于TACACS+協(xié)議相較于其它的安全協(xié)議來說，其有更好的安全性，可以解決用戶傳輸安全問題，故下面將包括支持TACACS+協(xié)議認(rèn)證的路由器以及TACACS+服務(wù)器的安全認(rèn)證系統(tǒng)進(jìn)行介紹。

請(qǐng)參見圖4，圖4為本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證系統(tǒng)的一種具體實(shí)施方式的示意圖，該系統(tǒng)包括：

客戶端41，用于獲取用戶輸入的用戶信息以及密碼，將用戶信息以及密碼發(fā)送到相應(yīng)的路由器；

需要說明的是，客戶端具體可以具體表現(xiàn)為PC端的客戶端工具，PC端上的客戶端工具通過telnet協(xié)議，使用戶可以連接上要登錄的路由器，用戶可以在路由器登錄界面輸入用戶賬號(hào)以及密碼。當(dāng)然，上述客戶端還可以為其它終端，在此不作限定。

路由器42，支持TACACS+協(xié)議認(rèn)證，用于根據(jù)預(yù)先的認(rèn)證設(shè)置，將接收到的用戶信息以及密碼，通過TACACS+協(xié)議發(fā)送TACACS協(xié)議包至TACACS+服務(wù)器；

可以理解的是，在發(fā)送TACACS+協(xié)議時(shí)，可以利用挑戰(zhàn)口令對(duì)密碼進(jìn)行加密。

TACACS+服務(wù)器43，用于對(duì)接收到的TACACS+協(xié)議包，并對(duì)TACACS+協(xié)議進(jìn)行解析，得到用戶賬號(hào)以及密碼；將用戶賬號(hào)以及密碼，與存儲(chǔ)在數(shù)據(jù)庫內(nèi)的預(yù)存儲(chǔ)用戶賬號(hào)以及預(yù)存儲(chǔ)密碼進(jìn)行分別比對(duì)，判斷是否正確，得出認(rèn)證結(jié)果；從數(shù)據(jù)庫中讀取權(quán)限信息，并將認(rèn)證結(jié)果以及權(quán)限信息返回給客戶端。

需要說明的是，TACACS+服務(wù)器可以先驗(yàn)證賬號(hào)是否有效，即用戶登錄名是否存在，再對(duì)密碼的正確與否進(jìn)行判斷，當(dāng)賬號(hào)以及密碼都正確時(shí)，可以獲取當(dāng)前用戶賬號(hào)在該路由器上對(duì)應(yīng)的權(quán)限，將權(quán)限信息以及認(rèn)證成功信息返回給客戶端，以使用戶可以登錄到路由器上，通過客戶端工具對(duì)路由器進(jìn)行操作。

為了防止暴力認(rèn)證，可以設(shè)置當(dāng)密碼錯(cuò)誤達(dá)到預(yù)設(shè)次數(shù)時(shí)，則對(duì)當(dāng)前用戶賬號(hào)進(jìn)行鎖定、凍結(jié)，即用戶不能繼續(xù)使用當(dāng)前用戶賬號(hào)登錄到路由器。當(dāng)然，其預(yù)設(shè)次數(shù)的可以人為地設(shè)定，例如，設(shè)為3次。

在對(duì)用戶賬號(hào)進(jìn)行鎖定后，還可以設(shè)置解鎖功能，即用戶可以通過一定的解鎖操作，使鎖定的用戶賬號(hào)重新處于激活狀態(tài)，使得用戶可以繼續(xù)使用用戶賬號(hào)登錄路由器。其解鎖操作可以是由后臺(tái)管理員完成，也可以是用戶賬號(hào)的所有者來完成。

而為了更好地使用戶輸入正確的認(rèn)證信息，即用戶登錄名以及密碼，可以在認(rèn)證失敗時(shí)返回認(rèn)證失敗原因，以使用戶可以及時(shí)進(jìn)行調(diào)整。例如，當(dāng)用戶的賬號(hào)無效時(shí)，可以提示用戶當(dāng)前賬號(hào)無效，請(qǐng)輸入正確的賬號(hào)；當(dāng)用戶輸入的密碼錯(cuò)誤時(shí)，可以提示用戶當(dāng)前密碼錯(cuò)誤，請(qǐng)輸入正確的密碼。

本發(fā)明實(shí)施例所提供的路由器安全認(rèn)證的系統(tǒng)，TACACS+認(rèn)證服務(wù)器對(duì)路由器發(fā)送的用戶信息以及密碼進(jìn)行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認(rèn)證信息與權(quán)限信息進(jìn)行統(tǒng)一管理，有利于降低路由器認(rèn)證管理的成本。同時(shí)，TACACS+協(xié)議認(rèn)證的安全性較好，能給傳輸數(shù)據(jù)提供較好的安全性支持。

本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其它實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同或相似部分互相參見即可。對(duì)于實(shí)施例公開的裝置而言，由于其與實(shí)施例公開的方法相對(duì)應(yīng)，所以描述的比較簡單，相關(guān)之處參見方法部分說明即可。

專業(yè)人員還可以進(jìn)一步意識(shí)到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí)行的軟件模塊，或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)、內(nèi)存、只讀存儲(chǔ)器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動(dòng)磁盤、CD-ROM、或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中。

以上對(duì)本發(fā)明所提供的路由器安全認(rèn)證的方法、裝置及系統(tǒng)進(jìn)行了詳細(xì)介紹。本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想。應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以對(duì)本發(fā)明進(jìn)行若干改進(jìn)和修飾，這些改進(jìn)和修飾也落入本發(fā)明權(quán)利要求的保護(hù)范圍內(nèi)。