專利名稱:一種網(wǎng)絡設備的命令行接口權(quán)限分級方法
技術領域:
本發(fā)明涉及一種權(quán)限分級方法���,尤其是一種網(wǎng)絡設備的命令行接口權(quán)限分級方法����。
背景技術:
隨著IP(Internet Protocol��,因特網(wǎng)協(xié)議)網(wǎng)絡數(shù)據(jù)產(chǎn)品���,如路由器、以太網(wǎng)交換機等的廣泛應用�,人們對網(wǎng)絡設備管理的安全性要求越來越高,特別是采用CLI(Command Line Interface�����,命令行接口)管理方式的網(wǎng)絡設備�����,其安全性問題日益凸現(xiàn)��。如果初級維護人員由于誤操作破壞設備的配置信息�����,或者非法入侵者通過設備的物理接口惡意接入觀察設備的配置信息,甚至重新配置設備并獲得對它的控制���,都會對網(wǎng)絡設備的安全運行造成危害��。因此�,在目前IP網(wǎng)絡的數(shù)據(jù)產(chǎn)品中���,不可避免地涉及到針對合法配置管理員的可操作命令進行權(quán)限等級控制的問題�����。
在登錄數(shù)據(jù)設備進行命令操作時���,為實現(xiàn)上述的權(quán)限等級控制要求,通常采用的控制方法是簡單的兩級權(quán)限控制���。即所有接入設備的用戶����,在登錄認證通過后����,都使用一個基本命令集�。在該命令集中��,可以進行一些基本的命令操作��,普通用戶只能執(zhí)行該命令集中的命令���,而對于擁有更高權(quán)限的設備維護員或系統(tǒng)管理員����,需要再次輸入權(quán)限等級密碼進行認證����,一旦通過����,即跳轉(zhuǎn)進入完整的命令集,從而完全獲得對設備的訪問控制權(quán)�����。顯然��,上述權(quán)限控制方法的控制方式過于粗糙,其實質(zhì)為簡單的兩級權(quán)限控制�,而且登錄認證通過后的初始用戶權(quán)限都一樣,不能直接體現(xiàn)登錄用戶的級別����。由于權(quán)限固定,不允許在線配置����,無法滿足多級權(quán)限管理及靈活配置的要求。
作為對上述簡單二級權(quán)限控制方法的改進�����,另一種權(quán)限分級方法將登錄用戶區(qū)分為不同的角色���,每種角色預先固定分配其對應的可執(zhí)行命令操作���。用戶成功登錄后,只能執(zhí)行該角色許可的相應命令��,從而實現(xiàn)用戶的分級管理���。由于這種基于角色的權(quán)限管理方法控制精度有了較大提高�����,同時具備易理解����、易實現(xiàn)等特性,目前在很多系統(tǒng)或設備中都得到了廣泛應用��。但由于角色個數(shù)一般有限���,并且每種角色所允許的命令操作相對固定���,同時考慮到網(wǎng)絡數(shù)據(jù)產(chǎn)品完全基于CLI命令行的操作、配置方式���,一般來說命令集巨大,命令數(shù)量很多���,因而該種基于角色的權(quán)限控制方法仍然不夠靈活����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術問題是提供一種控制精度高、配置管理靈活的實現(xiàn)多級別的登錄用戶權(quán)限控制和操作終端權(quán)限控制的網(wǎng)絡設備的命令行接口權(quán)限分級方法�����。
本發(fā)明解決其技術問題所采用的技術方案是一種網(wǎng)絡設備的命令行接口權(quán)限分級方法��,包括以下步驟1.1用戶登陸所述網(wǎng)絡設備的系統(tǒng)并獲取所述用戶的權(quán)限等級����;1.2讀取命令行接口命令集中一命令關鍵字;1.3確定所述命令關鍵字的權(quán)限等級��;1.4將所述用戶的權(quán)限等級與所述命令關鍵字的權(quán)限等級進行比較�����,若所述用戶的權(quán)限等級大于或等于所述命令關鍵字的權(quán)限等級��,則所述命令關鍵字對應的命令為所述用戶的可操作命令�����,否則所述命令關鍵字對應的命令為所述用戶的非可操作命令�����;1.5判斷所述命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在����,則讀取一未被讀取過的命令關鍵字并回到步驟1.3,否則結(jié)束流程��。
上述方案中����,步驟1.3確定命令關鍵字的權(quán)限等級包括以下步驟2.1獲取所述命令關鍵字的默認權(quán)限等級;2.2根據(jù)所述命令關鍵字的配置權(quán)限等級判斷所述命令關鍵字的權(quán)限等級是否發(fā)生變更����,若未變更,則將所述默認權(quán)限等級作為所述命令關鍵字的權(quán)限等級�����,否則���,將所述配置權(quán)限等級作為所述命令關鍵字的權(quán)限等級��。
上述方案中,所述命令行接口命令集包含所述命令行接口支持的全部命令���,所述各命令對應的命令關鍵字分別與所述默認權(quán)限等級及配置權(quán)限等級一一對應����,所述命令關鍵字的默認權(quán)限等級為設定的初始權(quán)限等級,若所述命令關鍵字的權(quán)限等級發(fā)生變更�����,則所述命令關鍵字的配置權(quán)限等級進行相應的更新�。
上述方案中,步驟1.1中所述用戶登陸所述網(wǎng)絡設備的系統(tǒng)后���,通過所述系統(tǒng)進行認證�,若認證成功則獲取所述用戶的權(quán)限等級�,否則退出登陸并結(jié)束流程。
上述方案中��,所述認證的方式包括本地模塊認證��、遠程撥號認證用戶業(yè)務服務器認證��、終端接入控制器接入控制系統(tǒng)服務器認證����。
本發(fā)明的有益效果主要表現(xiàn)在本發(fā)明提供的技術方案提供了較高的控制精度和靈活性���,解決了現(xiàn)有CLI命令行權(quán)限管理方法中權(quán)限等級不夠細和配置不夠靈活的問題,滿足了IP網(wǎng)絡設備對接入安全性的應用需求��,從而防止了未經(jīng)授權(quán)的用戶查看或更改超過其權(quán)限范圍的設備配置信息���,保證了設備的安全和正常運行�。
圖1為本發(fā)明網(wǎng)絡設備的CLI權(quán)限分級方法的流程圖�����;圖2為本發(fā)明用戶登陸網(wǎng)絡設備系統(tǒng)的流程圖�����。
具體實施例方式
下面結(jié)合附圖對本發(fā)明作進一步的描述���。
參照圖1�,一種網(wǎng)絡設備的CLI權(quán)限分級方法���,包括以下步驟步驟一用戶登陸網(wǎng)絡設備的系統(tǒng)并獲取用戶的權(quán)限等級����。
如圖2所示,本步驟的實現(xiàn)過程中���,用戶登錄網(wǎng)絡設備系統(tǒng),進行接入認證��;輸入用戶名和密碼后���,等待返回認證結(jié)果�?��?刹捎玫恼J證方式包括本地模塊認證��、RADIUS(Remote Authentication Dial-InUser Service����,遠程撥號認證用戶業(yè)務)服務器認證���、TACACS(TerminalAccess Controller Access Control System�,終端接入控制器接入控制系統(tǒng))服務器認證等����。如果認證失敗����,退出登錄����,結(jié)束流程;如果認證成功�����,確認該用戶為合法的登錄用戶��,返回該用戶的權(quán)限級別�。用戶的權(quán)限級別即為當前操作終端的權(quán)限級別。這樣���,當重新登錄后用戶發(fā)生變化或需要在線動態(tài)變更權(quán)限等級時��,當前操作終端的權(quán)限級別也能夠相應地發(fā)生變化����。
步驟二讀取CLI命令集中一命令關鍵字�����。
所謂命令關鍵字,就是一條CLI命令開始的一個或幾個單詞����,即除去命令參數(shù)和語法提示字符之外的命令部分,也可以稱之為命令節(jié)點��。將用戶通過CLI命令操作和控制的網(wǎng)絡設備的權(quán)限劃分為不同的等級���,其中,具體等級數(shù)量沒有限制��,可以在實現(xiàn)本發(fā)明時自行設置���,如16級或256級����。CLI命令集包含CLI支持的全部命令���,各命令對應的命令關鍵字分別與默認權(quán)限等級及配置權(quán)限等級一一對應���,命令關鍵字的默認權(quán)限等級為設定的初始權(quán)限等級,若命令關鍵字的權(quán)限等級發(fā)生變更�����,如管理員手動配置了命令關鍵字的權(quán)限等級,則該命令關鍵字的配置權(quán)限等級進行相應的更新���。
步驟三確定命令關鍵字的權(quán)限等級���,實現(xiàn)時包括以下幾部分1、獲取命令關鍵字的默認權(quán)限等級�����;2�、根據(jù)命令關鍵字的配置權(quán)限等級判斷命令關鍵字的權(quán)限等級是否發(fā)生變更,若未變更����,則將默認權(quán)限等級作為命令關鍵字的權(quán)限等級,否則�,將配置權(quán)限等級作為命令關鍵字的權(quán)限等級。
這樣��,命令關鍵字的權(quán)限等級始終能反映最新的權(quán)限配置情況���,實現(xiàn)了權(quán)限分級功能的完善�����。
步驟四將用戶的權(quán)限等級與命令關鍵字的權(quán)限等級進行比較�����,若用戶的權(quán)限等級大于或等于命令關鍵字的權(quán)限等級����,則命令關鍵字對應的命令允許該用戶查看����、執(zhí)行,即該命令為該用戶的可操作命令����,否則命令關鍵字對應的命令禁止該用戶查看、執(zhí)行��,即該命令為該用戶的非可操作命令����;步驟五判斷命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在,則讀取一未被讀取過的命令關鍵字并回到步驟三���,否則結(jié)束流程����。
采用本發(fā)明的權(quán)限分級方法��,可以對用戶的命令操作范圍進行必要的控制��,且控制精度達到了用戶級的控制要求��,產(chǎn)生了協(xié)作與隔離并存的效果�。
權(quán)利要求
1.一種網(wǎng)絡設備的命令行接口權(quán)限分級方法,其特征在于����,包括以下步驟1.1用戶登陸所述網(wǎng)絡設備的系統(tǒng)并獲取所述用戶的權(quán)限等級;1.2讀取命令行接口命令集中一命令關鍵字���;1.3確定所述命令關鍵字的權(quán)限等級��;1.4將所述用戶的權(quán)限等級與所述命令關鍵字的權(quán)限等級進行比較��,若所述用戶的權(quán)限等級大于或等于所述命令關鍵字的權(quán)限等級���,則所述命令關鍵字對應的命令為所述用戶的可操作命令����,否則所述命令關鍵字對應的命令為所述用戶的非可操作命令�;1.5判斷所述命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在�����,則讀取一未被讀取過的命令關鍵字并回到步驟1.3���,否則結(jié)束流程��。
2.如權(quán)利要求1所述的網(wǎng)絡設備的命令行接口權(quán)限分級方法����,其特征在于步驟1.3確定命令關鍵字的權(quán)限等級包括以下步驟2.1獲取所述命令關鍵字的默認權(quán)限等級�;2.2根據(jù)所述命令關鍵字的配置權(quán)限等級判斷所述命令關鍵字的權(quán)限等級是否發(fā)生變更���,若未變更���,則將所述默認權(quán)限等級作為所述命令關鍵字的權(quán)限等級,否則,將所述配置權(quán)限等級作為所述命令關鍵字的權(quán)限等級�����。
3.如權(quán)利要求2所述的網(wǎng)絡設備的命令行接口權(quán)限分級方法�����,其特征在于所述命令行接口命令集包含所述命令行接口支持的全部命令�,所述各命令對應的命令關鍵字分別與所述默認權(quán)限等級及配置權(quán)限等級一一對應,所述命令關鍵字的默認權(quán)限等級為設定的初始權(quán)限等級���,若所述命令關鍵字的權(quán)限等級發(fā)生變更�,則所述命令關鍵字的配置權(quán)限等級進行相應的更新�。
4.如權(quán)利要求1至3其中之一所述的網(wǎng)絡設備的命令行接口權(quán)限分級方法,其特征在于步驟1.1中所述用戶登陸所述網(wǎng)絡設備的系統(tǒng)后����,通過所述系統(tǒng)進行認證,若認證成功則獲取所述用戶的權(quán)限等級�����,否則退出登陸并結(jié)束流程�����。
5.如權(quán)利要求4所述的網(wǎng)絡設備的命令行接口權(quán)限分級方法,其特征在于所述認證的方式包括本地模塊認證�����、遠程撥號認證用戶業(yè)務服務器認證�����、終端接入控制器接入控制系統(tǒng)服務器認證�。
全文摘要
本發(fā)明公開了一種網(wǎng)絡設備的命令行接口權(quán)限分級方法,包括1.用戶登陸網(wǎng)絡設備的系統(tǒng)并獲取權(quán)限等級�����;2.讀取命令行接口命令集中一命令關鍵字��;3.確定命令關鍵字的權(quán)限等級�����;4.將用戶的權(quán)限等級與命令關鍵字的權(quán)限等級進行比較�,若用戶的權(quán)限等級大于或等于命令關鍵字的權(quán)限等級�,則命令關鍵字對應的命令為用戶的可操作命令����,否則命令關鍵字對應的命令為用戶的非可操作命令�;5.判斷命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在��,則讀取一未被讀取過的命令關鍵字并回到步驟3��,否則結(jié)束流程���。本發(fā)明所述技術方案解決了現(xiàn)有CLI命令行權(quán)限管理方法中權(quán)限等級不夠細和配置不夠靈活的問題����。
文檔編號G06F21/00GK101090336SQ200710075878
公開日2007年12月19日 申請日期2007年7月12日 優(yōu)先權(quán)日2007年7月12日
發(fā)明者劉大宇, 陳維, 陶文強 申請人:中興通訊股份有限公司