CN102361472A - 一种对设备管理用户进行控制的方法及服务器 - Google Patents
一种对设备管理用户进行控制的方法及服务器 Download PDFInfo
- Publication number
- CN102361472A CN102361472A CN201110356607XA CN201110356607A CN102361472A CN 102361472 A CN102361472 A CN 102361472A CN 201110356607X A CN201110356607X A CN 201110356607XA CN 201110356607 A CN201110356607 A CN 201110356607A CN 102361472 A CN102361472 A CN 102361472A
- Authority
- CN
- China
- Prior art keywords
- equipment control
- control user
- equipment
- message
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种对设备管理用户进行控制的方法和服务器,通过服务器主动向设备发送设备管理用户控制报文,使得服务器具备了主动控制设备管理用户的能力,增强了网络的实时安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种对设备管理用户进行控制的方法及服务器。
背景技术
现有的AAA协议,无论是RADIUS协议还是TACACS+协议,在应用于设备管理用户的场景下时,只是被动的接收设备的请求报文,然后根据预先配置的策略进行响应;一旦设备管理用户登录成功,就无法再对设备管理用户进行控制了。
也就是说,如果预先配置的策略存在漏洞,比如:给一个低级别的用户授予了最高的设备控制权限,那么,这个低级别的用户可以使用这个最高的设备控制权限对设备进行任意的配置改动,直至该用户主动下线。在此期间,即使发现了这个漏洞,也没有机制可以封堵这个漏洞,以使其对网络的影响降至最低。设备管理用户是指:通过某种方式(例如:telnet、ftp、console等)登录到设备,对设备进行配置、管理的用户。
发明内容
本发明提供了一种对设备管理用户进行控制的方法及服务器,以增强网络的实时安全性。
本发明提供的一种对设备管理用户进行控制的方法,包括:
服务器向设备管理用户所登录的接入设备发送设备管理用户控制报文;所述报文中包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的个人电脑(PC)或设备的因特网协议(IP)地址、设备管理用户的权限级别、允许执行的命令列表和不允许执行的命令列表。
较佳地,服务器可以在任意发现设备管理用户存在未授权的操作的时刻发出所述设备管理用户控制报文,或者在预防设备管理用户进行未授权的操作时发出所述设备管理用户控制报文。
较佳地,定义表示强制设备管理用户退出的权限级别,当将权限级别设置为表示强制设备管理用户退出的权限级别时,表示强制设备管理用户退出。
进一步地,该方法可以包括:所述服务器从接入设备接收设备管理用户的登录信息,并记录所述登录信息,形成在线记录;在线记录的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的PC或设备的IP地址、所登录的接入设备的IP地址以及登录时间。
本发明提供的一种服务器,包括:
第一模块,用于生成设备管理用户控制报文,在所述报文中携带设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的个人电脑(PC)或设备的因特网协议(IP)地址、设备管理用户的权限级别、允许执行的命令列表和不允许执行的命令列表;
第二模块,用于将所述设备管理用户控制报文发送给所述设备管理用户所登录的接入设备。
较佳地,在任意发现设备管理用户存在未授权的操作的时刻,所述第一模块生成所述设备管理用户控制报文,所述第二模块发出所述设备管理用户控制报文。
较佳地,在预防设备管理用户进行未授权的操作时,所述第一模块生成所述设备管理用户控制报文,所述第二模块发出所述设备管理用户控制报文。
较佳地,所述第一模块将设备管理用户的权限级别的取值设置为表示强制设备管理用户退出的权限级别时,表示强制所述设备管理用户退出。
所述第二模块,还可以用于从接入设备接收设备管理用户的登录信息;
所述服务器中可以进一步包括:第三模块,用于记录所述登录信息,形成在线记录;在线记录的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的PC或设备的IP地址、所登录的接入设备的IP地址以及登录时间。
由上述技术方案可见,本发明通过AAA服务器主动向设备发送设备管理用户控制报文,可以细粒度地控制设备管理用户登录设备之后的操作,使得AAA服务器具备了主动控制设备管理用户的能力,不需要设备发起授权请求报文即可以主动地随时地控制设备管理用户,增强了网络的实时安全性。
附图说明
图1为本发明一较佳实施例中服务器控制设备管理用户的情景示意图;
图2为本发明一较佳实施例中服务器的组成结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
现有TACACS+协议通过下发设备管理用户登录时的权限级别,以及设备管理用户在线时进行命令行授权,来达到控制设备管理用户的目的。
下发权限级别是在登录授权回应(login authorize reply)报文中实现的,即设备发起登录授权请求(login authorize request),服务器根据预先配置的策略给予回应。
而命令行授权是指设备管理用户在进行命令操作时,所执行的每个命令都由设备封装在一个命令授权请求(command authorize request)报文中发送到服务器上,由服务器根据预先配置的策略决定是否允许执行此命令,并将结果放在命令授权回应(command authorize reply)报文中回应到设备上。
上述两种方式均是在接收到设备的请求报文时,被动地进行回应,无法主动对设备管理用户进行控制。
本发明通过定义一个由服务器向设备发送的设备管理用户控制报文,由服务器在任意需要的时刻向设备下发控制报文的方法,来控制已经登录的设备管理用户的行为,随时保证网络远离威胁。
下面通过一个实施例对本发明进行详细说明:
图1为本发明一较佳实施例中服务器控制设备管理用户的情景示意图。
设备管理用户登录到接入设备。接入设备将设备管理用户的登录信息通过AAA协议传送到AAA服务器上,AAA服务器记录这些信息,形成一个在线记录。在线记录的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号(即:设备管理用户从哪个端口登录到接入设备)、设备管理用户用于登录接入设备的PC或设备的IP地址、所登录的接入设备的IP地址以及登录时间。
网络管理员在任意时刻发现设备管理用户存在未授权的操作时,或者为预防设备管理用户进行未授权的操作时,从AAA服务器上下发设备管理用户控制报文到接入设备上。该控制报文的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的PC或设备的IP地址、设备管理用户的权限级别、允许执行的命令列表和不允许执行的命令列表。控制报文的格式示例如下所示:
上述格式示例中:
分别用8比特给出以下信息:设备管理用户的用户名长度(user len)、设备管理用户登录到接入设备的端口号长度(port len)、设备管理用户用于登录接入设备的PC或设备的IP地址的长度(ip len)、设备管理用户的权限级别(priv_lvl)、允许执行的命令的个数(permit arg cnt)、不允许执行的命令的个数(deny arg cnt)、各个允许执行的命令的长度(permit arg1 len~permit argN len)和各个不允许执行的命令的长度(deny arg1 len~deny argNlen);
user为设备管理用户的用户名;
port为设备管理用户登录到接入设备的端口号;
ip为设备管理用户用于登录接入设备的PC或设备的IP地址;
priv_lvl为用户的权限级别,现有技术用整数0~15对权限级别进行了定义,权限级别的取值越大,权限越大;本发明在此基础上,定义一个新的级别,该级别表示强制用户退出,可以用16至255之间的任意一个整数表示该权限级别;
permit arg1~permit argN为允许执行的命令列表;
deny arg1~deny argN为不允许执行的命令列表。
接入设备收到设备管理用户控制报文后,使报文中的内容生效,通过服务器和设备的配合完成对设备管理用户的控制。
根据现有技术,不同的权限级别分别对应着其权限范围内允许执行的命令和不允许执行的命令。本发明使报文内容生效的具体方法是:
第一步:根据用户的权限级别确定该设备管理用户允许执行的命令和不允许执行的命令;
第二步:在第一步基础上,根据该报文中所携带的允许执行的命令列表和不允许执行的命令列表对第一步中允许执行的命令和不允许执行的命令进行二次筛选,确定该设备管理用户允许执行的命令和不允许执行的命令。
上述控制报文可以通过软件方式下发。
图2为本发明一较佳实施例中服务器的组成结构示意图。参见图2,该服务器中包括:
第一模块210,用于生成设备管理用户控制报文,在所述报文中携带设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的个人电脑(PC)或设备的因特网协议(IP)地址、设备管理用户的权限级别、允许执行的命令列表和不允许执行的命令列表;
第二模块220,用于将所述设备管理用户控制报文发送给所述设备管理用户所登录的接入设备。
第一模块210所生成的控制报文的格式示例如前所述,在此不再赘述。第一模块可以通过软件方式下发控制报文。接入设备收到设备管理用户控制报文后,使报文中的内容生效,通过服务器和设备的配合完成对设备管理用户的控制。
在任意发现设备管理用户存在未授权的操作的时刻,第一模块210可以生成所述设备管理用户控制报文,并由第二模块220将该设备管理用户控制报文发出。
在预防设备管理用户进行未授权的操作时,第一模块210可以生成所述设备管理用户控制报文,并由第二模块220将该设备管理用户控制报文发出。
较佳地,第一模块210可以将设备管理用户的权限级别的取值设置为表示强制设备管理用户退出的权限级别,表示强制该设备管理用户退出。当将设备管理用户的权限级别的取值设置为0~15的整数值时,表示赋予所述设备管理用户相应的权限级别,级别越高,权限越大。
图2所示服务器中的第二模块220,还可以用于从接入设备接收设备管理用户的登录信息;
此时,服务器中可以进一步包括:第三模块230,用于记录所述登录信息,形成在线记录;在线记录的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的PC或设备的IP地址、所登录的接入设备的IP地址以及登录时间。
由上述实施例可见,本发明通过AAA服务器主动向设备发送设备管理用户控制报文,可以细粒度地控制设备管理用户登录设备之后的操作,使得AAA服务器具备了主动控制设备管理用户的能力,不需要设备发起授权请求报文即可以主动地随时地控制设备管理用户,增强了网络的实时安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种对设备管理用户进行控制的方法,其特征在于,包括:
服务器向设备管理用户所登录的接入设备发送设备管理用户控制报文;所述报文中包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的个人电脑(PC)或设备的因特网协议(IP)地址、设备管理用户的权限级别、允许执行的命令列表和不允许执行的命令列表。
2.根据权利要求1所述的方法,其特征在于:
服务器在任意发现设备管理用户存在未授权的操作的时刻发出所述设备管理用户控制报文,或者在预防设备管理用户进行未授权的操作时发出所述设备管理用户控制报文。
3.根据权利要求1或2所述的方法,其特征在于:
定义表示强制设备管理用户退出的权限级别,当将权限级别设置为表示强制设备管理用户退出的权限级别时,表示强制设备管理用户退出。
4.根据权利要求1至3任一项所述的方法,其特征在于,该方法进一步包括:
所述服务器从接入设备接收设备管理用户的登录信息,并记录所述登录信息,形成在线记录;在线记录的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的PC或设备的IP地址、所登录的接入设备的IP地址以及登录时间。
5.一种服务器,其特征在于,包括:
第一模块,用于生成设备管理用户控制报文,在所述报文中携带设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的个人电脑(PC)或设备的因特网协议(IP)地址、设备管理用户的权限级别、允许执行的命令列表和不允许执行的命令列表;
第二模块,用于将所述设备管理用户控制报文发送给所述设备管理用户所登录的接入设备。
6.根据权利要求5所述的服务器,其特征在于:
在任意发现设备管理用户存在未授权的操作的时刻,所述第一模块生成所述设备管理用户控制报文,所述第二模块发出所述设备管理用户控制报文。
7.根据权利要求5所述的服务器,其特征在于:
在预防设备管理用户进行未授权的操作时,所述第一模块生成所述设备管理用户控制报文,所述第二模块发出所述设备管理用户控制报文。
8.根据权利要求5至7任一项所述的服务器,其特征在于:
所述第一模块将设备管理用户的权限级别的取值设置为表示强制设备管理用户退出的权限级别时,表示强制所述设备管理用户退出。
9.根据权利要求5至7任一项所述的服务器,其特征在于,服务器中进一步包括:第三模块;
所述第二模块,还用于从接入设备接收设备管理用户的登录信息;
所述第三模块,用于记录所述登录信息,形成在线记录;在线记录的内容包括:设备管理用户的用户名、设备管理用户登录到接入设备的端口号、设备管理用户用于登录接入设备的PC或设备的IP地址、所登录的接入设备的IP地址以及登录时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110356607XA CN102361472A (zh) | 2011-11-11 | 2011-11-11 | 一种对设备管理用户进行控制的方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110356607XA CN102361472A (zh) | 2011-11-11 | 2011-11-11 | 一种对设备管理用户进行控制的方法及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102361472A true CN102361472A (zh) | 2012-02-22 |
Family
ID=45586727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110356607XA Pending CN102361472A (zh) | 2011-11-11 | 2011-11-11 | 一种对设备管理用户进行控制的方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102361472A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954327A (zh) * | 2014-03-27 | 2015-09-30 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和*** |
| CN106534129A (zh) * | 2016-11-18 | 2017-03-22 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
| CN109995768A (zh) * | 2019-03-18 | 2019-07-09 | 网宿科技股份有限公司 | 一种服务器权限管理的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929397A (zh) * | 2005-09-09 | 2007-03-14 | 广东省电信有限公司研究院 | 一种对软交换网实现分权分域管理的网管***和方法 |
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制*** |
-
2011
- 2011-11-11 CN CN201110356607XA patent/CN102361472A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929397A (zh) * | 2005-09-09 | 2007-03-14 | 广东省电信有限公司研究院 | 一种对软交换网实现分权分域管理的网管***和方法 |
| CN101068183A (zh) * | 2007-06-28 | 2007-11-07 | 杭州华三通信技术有限公司 | 网络准入控制方法及网络准入控制*** |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954327A (zh) * | 2014-03-27 | 2015-09-30 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和*** |
| CN104954327B (zh) * | 2014-03-27 | 2019-02-22 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和*** |
| CN106534129A (zh) * | 2016-11-18 | 2017-03-22 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
| CN106534129B (zh) * | 2016-11-18 | 2019-10-11 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN109995768A (zh) * | 2019-03-18 | 2019-07-09 | 网宿科技股份有限公司 | 一种服务器权限管理的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107690793B (zh) | 用于移动平台的隧穿的方法、设备和计算机可读存储媒体 | |
| CN103166783A (zh) | 资源的控制方法及装置 | |
| CN105391744A (zh) | 一种管理监控设备的方法及*** | |
| US9936027B2 (en) | Methods, systems, and computer readable media for application session sharing | |
| CN103404103A (zh) | 将访问控制***与业务管理***相结合的***和方法 | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及*** | |
| CN110740121B (zh) | 资源订阅***及方法 | |
| CN107493331A (zh) | 一种客户端访问方法、服务器及*** | |
| JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
| CN110166577A (zh) | 分布式应用群组会话处理***及方法 | |
| CN101309279B (zh) | 终端访问的控制方法、***和设备 | |
| US11870760B2 (en) | Secure virtual personalized network | |
| US10129074B2 (en) | Techniques for accessing logical networks via a virtualized gateway | |
| CN103179104A (zh) | 一种远程服务的访问方法、***及其设备 | |
| CN103997479A (zh) | 一种非对称服务ip代理方法和设备 | |
| CN105187312B (zh) | 批量终端设备进行网络通信方法、装置及路由器 | |
| CN102361472A (zh) | 一种对设备管理用户进行控制的方法及服务器 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN102891851A (zh) | 虚拟桌面访问控制方法、设备及*** | |
| WO2016155266A1 (zh) | 虚拟桌面的数据共享方法和装置 | |
| CN110662218B (zh) | 数据摆渡装置及其方法 | |
| CN103546426A (zh) | 信息共享方法、管理服务器 | |
| CN110753063B (zh) | 认证方法、装置、设备及介质 | |
| CN107948682A (zh) | 业务域名的配置方法、业务服务器及终端设备 | |
| CN110178353A (zh) | 业务处理方法、云服务器和终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120222 |