一種權(quán)限控制方法�、系統(tǒng)及服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種權(quán)限控制方法�����、系統(tǒng)及服務(wù)器�����。
【背景技術(shù)】
[0002]簡單網(wǎng)絡(luò)管理協(xié)議(simplenetwork management pr o t o c ο I ,簡稱S N M P )是目前傳輸控制協(xié)議/網(wǎng)際協(xié)議(t r a n s m i s s ion control protocol/internet protocol,簡稱TCP/IP)網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議,其主要用于對網(wǎng)絡(luò)中支持S NMP協(xié)議的網(wǎng)絡(luò)設(shè)備進(jìn)行管理�����,通過網(wǎng)絡(luò)����,管理員可以管理位于不同物理空間的設(shè)備���,從而大大提聞網(wǎng)絡(luò)管理的效率。
[0003]對于S NM P網(wǎng)絡(luò)架構(gòu)��,有一個(gè)為管理員提供的管理平臺���,又稱管理站(n e t w
or k management stat1n ,簡稱N M S ),在每個(gè)被監(jiān)管的網(wǎng)絡(luò)設(shè)備上運(yùn)行了一個(gè)SNMP代理��,所述管理站與所述SNMP代理間通過SNMP報(bào)文進(jìn)行通信����。網(wǎng)絡(luò)設(shè)備中一個(gè)被管理資源表示成一個(gè)對象���,稱為被管理對象��,管理信息庫(m a n agement informat 1n base ,簡稱M IB)是被管理對象的集合�����,每個(gè)網(wǎng)絡(luò)設(shè)備上的SNMP代理都有保存各自的M I B�����,M I B也可以看作是管理站和S NM P代理之間的一個(gè)接口�,通過這個(gè)接口,管理站可以對SNMP代理中的每個(gè)被管理對象進(jìn)行讀/寫操作��,從而達(dá)到管理和監(jiān)控網(wǎng)絡(luò)設(shè)備的目的�����。
[0004]隨著S NM P的迅猛發(fā)展�,先后發(fā)布了 SNMPv USNMPv 2和SNMPv3三個(gè)版本。SNMPv 3可以將用戶組與M I B視圖(M I B視圖是M I B的子集合)進(jìn)行綁定��,以便不同的用戶組可以訪問與其綁定的M I B視圖���,從而實(shí)現(xiàn)控制用戶管理權(quán)限的目的�����。但是�����,目前非法用戶成功登陸一個(gè)網(wǎng)絡(luò)設(shè)備的服務(wù)器,便具有了訪問某M I B視圖的權(quán)限����,該非法用戶可通過下發(fā)SNMP信息對M I B視圖中的每個(gè)被管理對象進(jìn)行讀/寫操作�����,以達(dá)到惡意篡改或獲取重要信息的目的����。這種僅僅將用戶組與M I B視圖進(jìn)行綁定來實(shí)現(xiàn)權(quán)限管理的方式�,會使M I B視圖中所有被管理對象特別是一些重要的被管理對象存在較大的安全風(fēng)險(xiǎn)。
【發(fā)明內(nèi)容】
[0005]有鑒于此����,本發(fā)明實(shí)施例的主要目的在于提供一種權(quán)限控制方法、系統(tǒng)及服務(wù)器��,以實(shí)現(xiàn)進(jìn)一步降低網(wǎng)絡(luò)設(shè)備中被管理對象的安全風(fēng)險(xiǎn)的目的����。
[0006]為了解決以上技術(shù)問題,本發(fā)明采取的技術(shù)方案是:
[0007]第一方面���,本發(fā)明提供了一種權(quán)限控制方法�����,包括:
[0008]服務(wù)器接收客戶端發(fā)送的簡單網(wǎng)絡(luò)管理協(xié)議SNMP信息����,所述SNMP信息中包括目標(biāo)用戶對目標(biāo)對象的操作內(nèi)容,所述目標(biāo)對象是所述服務(wù)器上管理信息庫M I B視圖中的被管理對象����,所述M I B視圖與所述目標(biāo)用戶相互綁定;
[0009]若確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限�,則根據(jù)所述操作內(nèi)容處理所述目標(biāo)對象。
[0010]在第一方面的第一種可能的實(shí)現(xiàn)方式中��,所述確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限�,具體包括:
[0011]獲取為所述目標(biāo)對象預(yù)設(shè)的節(jié)點(diǎn)級別信息;
[0012]若所述節(jié)點(diǎn)級別信息中包含訪問權(quán)限級別���,則獲取與所述目標(biāo)對象對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別���;
[0013]若所述用戶權(quán)限級別大于或等于所述目標(biāo)對象的訪問權(quán)限級別,則確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限����。
[0014]結(jié)合第一方面或者第一方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中���,所述確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限��,具體包括:
[0015]獲取為所述目標(biāo)對象預(yù)設(shè)的節(jié)點(diǎn)級別信息��;
[0016]若所述節(jié)點(diǎn)級別信息中包含預(yù)設(shè)值�,則確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限��。
[0017]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式��,在第三種可能的實(shí)現(xiàn)方式中�,在所述接收客戶端發(fā)送的SNMP信息之前,還包括:
[0018]服務(wù)器接收所述客戶端發(fā)送的身份認(rèn)證信息�,根據(jù)所述身份認(rèn)證信息對所述目標(biāo)用戶的身份進(jìn)行認(rèn)證,所述身份認(rèn)證信息包括所述目標(biāo)用戶的用戶名及密碼�;
[0019]當(dāng)認(rèn)證成功后,向所述客戶端反饋認(rèn)證通過消息�����,并從所述服務(wù)器上的設(shè)備數(shù)據(jù)庫中獲取與所述用戶名綁定的用戶權(quán)限信息�����,所述用戶權(quán)限信息中包含了與所述M I B視圖中每個(gè)被管理對象分別對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別����;
[0020]所述獲取與所述目標(biāo)對象對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別���,具體包括:
[0021]從所述用戶權(quán)限信息中獲取與所述目標(biāo)對象對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別。
[0022]第二方面���,本發(fā)明提供了一種服務(wù)器���,包括:
[0023]信息接收模塊,用于接收客戶端發(fā)送的簡單網(wǎng)絡(luò)管理協(xié)議SNMP信息��,所述SNMP信息中包括目標(biāo)用戶對目標(biāo)對象的操作內(nèi)容�,所述目標(biāo)對象是所述服務(wù)器上管理信息庫M I B視圖中的被管理對象,所述M I B視圖與所述目標(biāo)用戶相互綁定�����;
[0024]對象處理模塊�����,用于當(dāng)確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限時(shí)���,根據(jù)所述操作內(nèi)容處理所述目標(biāo)對象�����。
[0025]在第二方面的第一種可能的實(shí)現(xiàn)方式中�����,所述對象處理模塊�����,具體包括:
[0026]第一信息獲取單元�����,用于獲取為所述目標(biāo)對象預(yù)設(shè)的節(jié)點(diǎn)級別信息���;
[0027]權(quán)限級別獲取單元,用于當(dāng)所述第一信息獲取單元獲取的節(jié)點(diǎn)級別信息中包含訪問權(quán)限級別時(shí)�����,獲取與所述目標(biāo)對象對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別����;
[0028]第一對象處理單元,用于當(dāng)所述權(quán)限級別獲取單元獲取的用戶權(quán)限級別大于或等于所述目標(biāo)對象的訪問權(quán)限級別時(shí),根據(jù)所述操作內(nèi)容處理所述目標(biāo)對象��。
[0029]結(jié)合第二方面或者第二方面的第一種可能的實(shí)現(xiàn)方式���,在第二種可能的實(shí)現(xiàn)方式中�,所述對象處理模塊��,具體包括:
[0030]第二信息獲取單元��,用于獲取為所述目標(biāo)對象預(yù)設(shè)的節(jié)點(diǎn)級別信息�;
[0031]第二對象處理單元,用于當(dāng)所述第二信息獲取單元獲取的節(jié)點(diǎn)級別信息中包含預(yù)設(shè)值時(shí)��,根據(jù)所述操作內(nèi)容處理所述目標(biāo)對象��。
[0032]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式�,在第三種可能的實(shí)現(xiàn)方式中,所述服務(wù)器還包括:
[0033]身份認(rèn)證模塊����,用于在所述信息接收模塊接收客戶端發(fā)送的SNMP信息之前,接收所述客戶端發(fā)送的身份認(rèn)證信息�,根據(jù)所述身份認(rèn)證信息對所述目標(biāo)用戶的身份進(jìn)行認(rèn)證,所述身份認(rèn)證信息包括所述目標(biāo)用戶的用戶名及密碼�����;
[0034]權(quán)限信息獲取模塊,用于當(dāng)所述身份認(rèn)證模塊對所述目標(biāo)用戶的身份認(rèn)證成功后��,向所述客戶端反饋認(rèn)證通過消息��,并從所述服務(wù)器上的設(shè)備數(shù)據(jù)庫中獲取與所述用戶名綁定的用戶權(quán)限信息��,所述用戶權(quán)限信息中包含了與所述M I B視圖中每個(gè)被管理對象分別對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別�;
[0035]所述權(quán)限級別獲取單元��,具體用于從所述權(quán)限信息獲取模塊獲取的用戶權(quán)限信息中獲取與所述目標(biāo)對象對應(yīng)的為所述目標(biāo)用戶預(yù)設(shè)的用戶權(quán)限級別�����。
[0036]第三方面�,本發(fā)明提供了一種權(quán)限控制系統(tǒng),包括:客戶端和上述第二方面所述的服務(wù)器����;
[0037]所述客戶端,用于向所述服務(wù)器發(fā)送簡單網(wǎng)絡(luò)管理協(xié)議SNMP信息�����,所述S NM P信息中包括目標(biāo)用戶對目標(biāo)對象的操作內(nèi)容,所述目標(biāo)對象為所述服務(wù)器上管理信息庫M I B視圖中的被管理對象���,所述M I B視圖與所述目標(biāo)用戶相互綁定�;
[0038]所述服務(wù)器�����,用于在確定所述目標(biāo)用戶的操作權(quán)限滿足對所述目標(biāo)對象進(jìn)行操作的預(yù)設(shè)操作權(quán)限時(shí)�����,根據(jù)所述操作內(nèi)容處理所述目標(biāo)對象�。
[0039]本發(fā)明實(shí)施例提供的權(quán)限控制方法、系統(tǒng)及服務(wù)器���,當(dāng)服務(wù)器接收到客戶端發(fā)送的S N M P信息時(shí)����,其中�����,所述S N M P信息包括目標(biāo)用戶對目標(biāo)對象進(jìn)行操作的操作內(nèi)容�����,服務(wù)器會驗(yàn)證目標(biāo)用戶對目標(biāo)對象的操作權(quán)限,只有在所述目標(biāo)用戶的權(quán)限滿足對所述目標(biāo)對象進(jìn)行管理操作的預(yù)設(shè)操作權(quán)限時(shí)�����,服務(wù)器才會進(jìn)一步根據(jù)所述操作內(nèi)容處理所述目標(biāo)對象�,即對所述目標(biāo)對象進(jìn)行讀/寫操作??梢姡景l(fā)明實(shí)施例在現(xiàn)有的通過綁定用戶組與M I B視圖的方式實(shí)現(xiàn)訪問權(quán)限控制的基礎(chǔ)上�����,進(jìn)一步對M I B視圖中的每個(gè)被管理對象進(jìn)行權(quán)限限制���,從而進(jìn)一步降低了每個(gè)被管理對象的安全風(fēng)險(xiǎn)。
【附圖說明】
[0040]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地��,下面描述中的附圖是本發(fā)明的一些實(shí)施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0041]圖1為本發(fā)明實(shí)施例提供的SNMP網(wǎng)絡(luò)架構(gòu)示意圖�;
[0042]圖2為本發(fā)明實(shí)施例提供的一種權(quán)限控制方法的流程示意圖;
[0043]圖3為本發(fā)明實(shí)施例提供的另一種權(quán)限控制方法的流程示意圖���;
[0044]圖4為本發(fā)明實(shí)施例提供的M I B樹示意圖�;
[0045]圖5為本發(fā)明實(shí)施例提供的服務(wù)器結(jié)構(gòu)框圖��;
[0046]圖6為本發(fā)明實(shí)施例提供的權(quán)限控制系統(tǒng)結(jié)構(gòu)框圖��;
[0047]圖7為本發(fā)明實(shí)施例提供的服務(wù)器結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0048]為使本發(fā)明實(shí)施例的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述����,顯然��,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例���?��;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。
[0049]本發(fā)明實(shí)施例提供的權(quán)限控制方法����、系統(tǒng)及服務(wù)器,適用于圖1所示的由管理站(Network Management Stat1n,簡稱 N MS)��、SNMP 代理和管理信息庫(M anagement Informat1n Base ,簡稱 M IB)組成的S