本發(fā)明涉及安全認證領(lǐng)域，特別是涉及一種路由器安全認證的方法、裝置及系統(tǒng)。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展進步，一些大型企業(yè)的網(wǎng)絡(luò)設(shè)備越來越多，路由器設(shè)備也相應(yīng)地增加。

路由器數(shù)量的增加，對路由器的管理提出了新的挑戰(zhàn)。在對路由器進行管理以及操作時，一般都要先進行安全認證。路由器安全認證可以是為了確認訪問路由器的用戶身份的認證過程，進而可以獲取用戶在不同路由器上所具有的操作權(quán)限，并授予用戶相應(yīng)的權(quán)限。

現(xiàn)有的路由器認證與權(quán)限管理一般是分散的，即路由器的用戶登錄名、密碼以及權(quán)限等相關(guān)信息不是統(tǒng)一管理的。例如，路由器的權(quán)限管理可以由路由器本身進行管理，而路由器的用戶名以及密碼的認證過程可以由認證服務(wù)器完成。用戶登錄名、密碼以及權(quán)限等信息的分散管理，會使得路由器的管理成本十分巨大，如何降低路由器的認證管理成本是本領(lǐng)域技術(shù)人員亟待解決的問題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是提供一種路由器安全認證的方法、裝置以及系統(tǒng)，目的在于解決現(xiàn)有路由器的認證管理成本較高的問題。

為解決上述技術(shù)問題，本發(fā)明提供一種路由器安全認證的方法，該方法包括：

獲取路由器發(fā)送的用戶信息以及密碼；

將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

當判斷出所述用戶信息與所述預(yù)存儲用戶信息，以及所述密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

將所述權(quán)限信息以及所述認證成功信息返回給客戶端。

可選地，在所述獲取路由器發(fā)送的用戶信息以及密碼之前還包括：

接收所述路由器發(fā)送的安全認證數(shù)據(jù)包；

從所述安全認證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。

可選地，在所述將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致之后還包括：

當所述用戶信息與所述預(yù)存儲用戶信息不一致，生成賬號無效信息，將所述賬號無效信息返回給所述客戶端；

當所述用戶信息與所述預(yù)存儲用戶信息一致時，將所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

當所述密碼與所述預(yù)存儲密碼不一致時，生成密碼錯誤信息，將所述密碼錯誤信息返回給所述客戶端。

可選地，所述當所述密碼與所述預(yù)存儲密碼不一致時，生成密碼錯誤信息，將所述密碼錯誤信息返回給所述客戶端包括：

當所述密碼與所述預(yù)存儲密碼不一致時，提示用戶重新輸入密碼；

當密碼錯誤次數(shù)達到預(yù)設(shè)次數(shù)時，對所述用戶信息對應(yīng)的賬號進行鎖定，返回密碼錯誤信息給所述客戶端。

可選地，所述路由器為支持Radius協(xié)議認證和/或TACACS+協(xié)議認證的路由器。

此外，本發(fā)明還提供了一種路由器安全認證的裝置，該裝置包括：

獲取模塊，用于獲取路由器發(fā)送的用戶信息以及密碼；

判斷模塊，用于將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

權(quán)限獲取模塊，用于當判斷出所述用戶信息與所述預(yù)存儲用戶信息，以及所述密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

認證成功發(fā)送模塊，用于將所述權(quán)限信息以及所述認證成功信息返回給客戶端。

可選地，還包括：

接收模塊，用于接收所述路由器發(fā)送的安全認證數(shù)據(jù)包；

解析模塊，用于從所述安全認證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。

可選地，還包括：

無效信息生成模塊，用于當所述用戶信息與所述預(yù)存儲用戶信息不一致，生成賬號無效信息，將所述賬號無效信息返回給所述客戶端；

比對模塊，用于當所述用戶信息與所述預(yù)存儲用戶信息一致時，將所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

錯誤信息生成模塊，用于當所述密碼與所述預(yù)存儲密碼不一致時，生成密碼錯誤信息，將所述密碼錯誤信息返回給所述客戶端。

可選地，所述錯誤信息生成模塊包括：

提示單元，用于當所述密碼與所述預(yù)存儲密碼不一致時，提示用戶重新輸入密碼；

鎖定單元，用于當密碼錯誤次數(shù)達到預(yù)設(shè)次數(shù)時，對所述用戶信息對應(yīng)的賬號進行鎖定，返回密碼錯誤信息給所述客戶端。

此外，本發(fā)明還提供了一種路由器安全認證的系統(tǒng)，該系統(tǒng)包括：

客戶端，用于獲取用戶信息以及密碼，將所述用戶信息以及所述密碼發(fā)送至路由器；

所述路由器，用于獲取所述用戶信息以及所述密碼；根據(jù)預(yù)先設(shè)置，將所述用戶信息以及所述密碼轉(zhuǎn)發(fā)至相應(yīng)的認證服務(wù)器；

所述認證服務(wù)器，用于獲取所述路由器發(fā)送的所述用戶信息以及所述密碼；將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致；當判斷出所述用戶信息與所述預(yù)存儲用戶信息，以及所述密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將所述權(quán)限信息以及所述認證成功信息返回給客戶端。

本發(fā)明所提供的一種路由器安全認證的方法、裝置及系統(tǒng)，獲取路由器發(fā)送的用戶信息以及密碼；將用戶信息與預(yù)存儲用戶信息相比對，密碼與預(yù)存儲密碼相比對，判斷是否一致；當判斷出用戶信息與預(yù)存儲用戶信息，以及密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將權(quán)限信息以及認證成功信息返回給客戶端。首先對路由器發(fā)送的用戶信息以及密碼進行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認證信息與權(quán)限信息進行統(tǒng)一管理?？梢?，本申請將用戶信息、密碼以及權(quán)限信息進行統(tǒng)一管理，有利于降低路由器認證管理的成本。

附圖說明

為了更清楚的說明本發(fā)明實施例或現(xiàn)有技術(shù)的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單的介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例所提供的路由器安全認證方法的一種具體實施方式的流程示意圖；

圖2為本發(fā)明實施例提供的路由器安全認證裝置的結(jié)構(gòu)示意框圖；

圖3為本發(fā)明實施例所提供的路由器安全認證系統(tǒng)的結(jié)構(gòu)示意框圖；

圖4為本發(fā)明實施例所提供的路由器安全認證系統(tǒng)的一種具體實施方式的示意圖。

具體實施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面結(jié)合附圖和具體實施方式對本發(fā)明作進一步的詳細說明。顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

請參見圖1，圖1為本發(fā)明實施例所提供的路由器安全認證方法的一種具體實施方式的流程示意圖，該方法包括：

步驟101：獲取路由器發(fā)送的用戶信息以及密碼；

需要說明的是，上述用戶信息以及密碼為路由器的安全認證信息，即用戶登錄路由器的用戶信息以及密碼。上述用戶信息可以為用戶的登錄名，登錄名可以為由中文組成，例如，張三；也可以單獨由多位數(shù)字組成，其數(shù)字位數(shù)可以為任意數(shù)值，例如，登錄名可以由任意的6位數(shù)字組成；也可以由英文字母和數(shù)字組成，即登錄名由若干個英文字母以及若干個數(shù)字組成，其英文字母可以為大寫字母，或者是小寫字母，亦或者是大寫字母以及小寫字母混合組成，而英文字母與數(shù)字的比例可以為任意，即英文字母的個數(shù)以及數(shù)字的個數(shù)可以為任意。顯而易見地，登錄名的組成并不限于上述所提及的。當然，上述用戶信息還可以包括登錄名以外的信息。

上述密碼與上述用戶信息為一一對應(yīng)的，其可以由中文組成；也可以單獨由多位數(shù)字組成，其數(shù)字位數(shù)可以為任意數(shù)值，例如，由任意的6位數(shù)字組成；也可以由英文字母和數(shù)字組成。當然，上述密碼組成還可以為其它，在此不一一列舉。

可以理解的是，上述用戶信息以及密碼為路由器發(fā)送來的，即路由器可以將所接收到的用戶信息以及密碼進行發(fā)送。例如，用戶在路由器登錄界面的用戶名為張三，密碼為zhangsan，將用戶信息以及密碼發(fā)送至路由器，然后路由器再將用戶信息以及密碼進行發(fā)送。

顯而易見地，上述路由器為經(jīng)過預(yù)先設(shè)置地，即將路由器的認證設(shè)置設(shè)為服務(wù)器認證，當路由器接收到認證信息后，將認證信息發(fā)送至認證服務(wù)器進行認證，而不是在路由器本身進行認證。

需要說明的是，路由器由于自身所支持的認證協(xié)議不同，發(fā)送的數(shù)據(jù)包的編碼格式也會有相應(yīng)的不同。在獲取上述用戶信息以及密碼之前，需要從路由器發(fā)送的安全認證數(shù)據(jù)包解析出所需的安全認證信息，故在本發(fā)明的一些實施例中，其過程可以具體為：接收所述路由器發(fā)送的安全認證數(shù)據(jù)包；從所述安全認證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。根據(jù)路由器所支持的認證協(xié)議，對接收到的協(xié)議數(shù)據(jù)包進行解析，以分離出所需的用戶信息即用戶賬號以及密碼。

為了傳輸?shù)挠脩粽鎸嵜艽a的安全性，可以對利用挑戰(zhàn)碼為用戶信密碼進行加密，故還可以從路由器發(fā)送的安全認證數(shù)據(jù)包中解析出挑戰(zhàn)碼，即可以解析出用戶信息、密碼以及挑戰(zhàn)碼。需要說明的是，挑戰(zhàn)碼技術(shù)為本領(lǐng)域技術(shù)人所熟知的技術(shù)，在此不再贅述。

上述路由器可以為支持Radius協(xié)議認證和/或TACACS+協(xié)議認證的路由器，即上述路由器可以支持Radius協(xié)議認證，也可以支持TACACS+協(xié)議認證，還可以同時支持Radius協(xié)議認證以及TACACS+協(xié)議認證。當然，上述路由器還可以為支持其它協(xié)議認證的路由器，并不限于上述所提及的。

需要說明的是，上述路由器為當前用戶所想登錄的路由器，即用戶選擇需要登錄的路由器，輸入相應(yīng)的用戶登錄名以及密碼，所需登錄的路由器將用戶登錄名以及密碼等認證信息發(fā)送至認證服務(wù)器。例如，有6臺路由器，分別為路由器1、路由器2、路由器3、路由器4、路由器5以及路由器6，當前用戶選擇登錄路由器2，路由器2將用戶輸入的登錄名以及密碼等認證信息發(fā)送至認證服務(wù)器。

步驟102：將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

需要說明的是，上述預(yù)存儲用戶信息以及預(yù)存儲密碼可以是預(yù)先存儲的，即將大量用戶的用戶名以及相應(yīng)的密碼存儲至指定存儲位置，例如為數(shù)據(jù)庫。當需要比對時，可以從指定存儲位置例如數(shù)據(jù)庫中讀取相應(yīng)的預(yù)存儲信息，將預(yù)存儲用戶信息和密碼與路由器發(fā)送的用戶信息和密碼進行比對，判斷是否一致。

可以先將用戶信息與預(yù)存儲用戶信息進行比對，當用戶信息比對一致時，即確認用戶登錄名是否有效后，才將密碼與預(yù)存儲密碼進行比對。這樣可以避免用戶信息即用戶登錄名無效或者是錯誤時，仍然進行密碼的比對的情況發(fā)生。

故在本發(fā)明的一些實施例中，可以先對用戶信息進行比對，再對密碼進行比對，其過程可以具體為：當所述用戶信息與所述預(yù)存儲用戶信息不一致，生成賬號無效信息，將所述賬號無效信息返回給所述客戶端；當所述用戶信息與所述預(yù)存儲用戶信息一致時，將所述密碼與預(yù)存儲密碼相比對，判斷是否一致；當所述密碼與所述預(yù)存儲密碼不一致時，生成密碼錯誤信息，將所述密碼錯誤信息返回給所述客戶端。

需要說明的是，當用戶信息比對不一致時，生成賬號無效信息，并將賬號無效信息發(fā)送至客戶端，以提示當前用戶所輸入的用戶登錄名為無效的用戶名，使得用戶可以根據(jù)賬號無效信息，重新輸入用戶登錄名。而當用戶信息比對一致時，可以接著對密碼進行比對，即將密碼與預(yù)存儲密碼進行比對，判斷是否一致。當密碼比對不一致時，則生成密碼錯誤信息，將密碼錯誤信息發(fā)送至客戶端，以提示當前用戶所輸入的密碼錯誤，使得用戶可以重新輸入登錄密碼。

為了防止暴力認證發(fā)生，可以對密碼錯誤的次數(shù)設(shè)置一個預(yù)設(shè)的閾值，當密碼錯誤次數(shù)達到預(yù)設(shè)的閾值時，可以對用戶的賬號進行鎖定，以防止暴力認證的發(fā)生。閾值可以為2，即密碼錯誤次數(shù)為2次時，則對用戶賬號進行鎖定；也可以為3，即密碼錯誤次數(shù)為3次時，則對用戶賬號進行鎖定。當然，上述閾值的數(shù)值還可以為其它，在此不作限定。

顯而易見地，對用戶賬號進行鎖定可以具體表現(xiàn)為用戶不能繼續(xù)對利用該用戶登錄名以及密碼登錄路由器，鎖定的時間可以是人為任意設(shè)定的。

在對用戶賬號鎖定后，還可以解鎖已鎖定的用戶賬號，即用戶可以通過一定的解鎖操作，使鎖定的用戶賬號重新處于激活狀態(tài)，使得用戶可以繼續(xù)使用用戶賬號登錄路由器。其解鎖操作可以是由后臺管理員完成，也可以是用戶賬號的所有者來完成。

故在本發(fā)明的一些實施例中，其過程可以具體為：當所述密碼與所述預(yù)存儲密碼不一致時，提示用戶重新輸入密碼；當密碼錯誤次數(shù)達到預(yù)設(shè)次數(shù)時，對所述用戶信息對應(yīng)的賬號進行鎖定，返回密碼錯誤信息給所述客戶端。當?shù)谝淮蚊艽a比對不一致時，即當前用戶輸入的密碼不正確，可以通過客戶端提示當前用戶密碼錯誤，請重新輸入密碼；然后繼續(xù)接收用戶輸入的密碼，繼續(xù)進行密碼比對，當密碼錯誤次數(shù)達到預(yù)設(shè)次數(shù)時，對用戶信息對應(yīng)的用戶賬號進行鎖定。上述預(yù)設(shè)次數(shù)為上文中的預(yù)設(shè)的閾值，其所能取的數(shù)值可以為任意，其可以人為任意地設(shè)定，在此不再贅述。

步驟103：當判斷出所述用戶信息與所述預(yù)存儲用戶信息，以及所述密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

需要說明的是，當用戶信息以及密碼都比對一致，即預(yù)存儲有相應(yīng)的用戶信息以及密碼，則表明當前用戶為合法用戶，可以登錄到路由器上，以對路由器進行相應(yīng)的操作。由于不同的用戶所擁有的權(quán)限是不一樣的，即不同用戶在不同的路由器上的權(quán)限是不一樣的。故在比對都一致后，可以獲取當前用戶在當前路由器上所具有的權(quán)限信息。權(quán)限信息可以存儲在預(yù)設(shè)存儲位置，例如數(shù)據(jù)庫。數(shù)據(jù)庫內(nèi)還可以包括預(yù)存儲的用戶信息以及密碼，即用戶的權(quán)限信息、用戶信息以及密碼同時存儲于同一數(shù)據(jù)庫，當然，用戶的權(quán)限信息、用戶信息以及密碼也可以存儲在不同的數(shù)據(jù)庫，在此不作限定。

可以理解的是，上述權(quán)限信息可以是指用戶操作路由器的權(quán)限。例如，用戶在當前路由器的權(quán)限為管理員。當然，也可以將權(quán)限劃分等級，不同權(quán)限等級所能對路由器的操作也會相應(yīng)不同，例如，將權(quán)限等級劃分為1到10級，當前用戶的權(quán)限等級為6。設(shè)定用戶的權(quán)限等級，也可以對用戶所使用的資源的多少進行限定，例如，設(shè)定管理員可以對服務(wù)器中的文件進行訪問和打印操作。當然，也可以設(shè)置當用戶的權(quán)限為管理員時，其可以在登錄到路由器之后，對其它不是管理員的用戶的權(quán)限進行設(shè)置。

顯而易見地，當且僅當用戶信息以及密碼都比對一致時，即用戶的登錄名以及密碼都比對一致時，才會對當前用戶進行授權(quán)，以使當前用戶可以登錄到相應(yīng)的路由器，對路由器進行相應(yīng)操作。當用戶信息比對一致，而密碼比對不一致時，不會對當前用戶進行授權(quán)；當用戶信息比對不一致，而密碼比對不一致時，不會對當前用戶進行授權(quán)；當用戶信息比對不一致，而密碼比對一致時，不會對當前用戶進行授權(quán)。

步驟104：將所述權(quán)限信息以及所述認證成功信息返回給客戶端。

需要說明的是，當且僅當用戶信息以及密碼都比對一致時，生成認證成功信息，并將當前用戶的權(quán)限信息以及認證成功信息通過路由器返回給客戶端，以使當前用戶登錄成功，即登錄到相應(yīng)的路由器，對路由器進行相應(yīng)操作。

上述客戶端可以為PC端的客戶端工具，即用戶通過PC的客戶端工具的登錄界面，輸入相應(yīng)的用戶登錄名以及密碼，以登錄到相應(yīng)的路由器。當然，上述客戶端也可以具體表現(xiàn)為其它終端，在此不作限定。

本發(fā)明實施例所提供的路由器安全認證的方法，獲取路由器發(fā)送的用戶信息以及密碼；將用戶信息與預(yù)存儲用戶信息相比對，密碼與預(yù)存儲密碼相比對，判斷是否一致；當判斷出用戶信息與預(yù)存儲用戶信息，以及密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將權(quán)限信息以及認證成功信息返回給客戶端。首先對路由器發(fā)送的用戶信息以及密碼進行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認證信息與權(quán)限信息進行統(tǒng)一管理，有利于降低路由器認證管理的成本。

下面對本發(fā)明實施例提供的路由器安全認證裝置進行介紹，下文描述的路由器安全認證裝置與上文描述的路由器安全認證方法可相互對應(yīng)參照。

圖2為本發(fā)明實施例提供的路由器安全認證裝置的結(jié)構(gòu)示意框圖，參照圖2路由器安全認證裝置可以包括：

獲取模塊201，用于獲取路由器發(fā)送的用戶信息以及密碼；

判斷模塊202，用于將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

權(quán)限獲取模塊203，用于當判斷出所述用戶信息與所述預(yù)存儲用戶信息，以及所述密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；

認證成功發(fā)送模塊204，用于將所述權(quán)限信息以及所述認證成功信息返回給客戶端。

需要說明的是，上述裝置可以具體表現(xiàn)為認證服務(wù)器，用于對路由器的登錄認證以及用戶權(quán)限進行統(tǒng)一管理。認證服務(wù)器的類型可以由路由器所支持的認證協(xié)議決定，例如，當所述路由器支持TACACS+協(xié)議認證時，認證服務(wù)器為TACACS+服務(wù)器。

可選地，還包括：

接收模塊，用于接收所述路由器發(fā)送的安全認證數(shù)據(jù)包；

解析模塊，用于從所述安全認證數(shù)據(jù)包中解析出所述用戶信息以及所述密碼。

可選地，還包括：

無效信息生成模塊，用于當所述用戶信息與所述預(yù)存儲用戶信息不一致，生成賬號無效信息，將所述賬號無效信息返回給所述客戶端；

比對模塊，用于當所述用戶信息與所述預(yù)存儲用戶信息一致時，將所述密碼與預(yù)存儲密碼相比對，判斷是否一致；

錯誤信息生成模塊，用于當所述密碼與所述預(yù)存儲密碼不一致時，生成密碼錯誤信息，將所述密碼錯誤信息返回給所述客戶端。

可選地，所述錯誤信息生成模塊包括：

提示單元，用于當所述密碼與所述預(yù)存儲密碼不一致時，提示用戶重新輸入密碼；

鎖定單元，用于當密碼錯誤次數(shù)達到預(yù)設(shè)次數(shù)時，對所述用戶信息對應(yīng)的賬號進行鎖定，返回密碼錯誤信息給所述客戶端。

本發(fā)明實施例所提供的路由器安全認證的裝置，該裝置對路由器發(fā)送的用戶信息以及密碼進行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認證信息與權(quán)限信息進行統(tǒng)一管理，有利于降低路由器認證管理的成本。

請參見圖3，圖3為本發(fā)明實施例所提供的路由器安全認證系統(tǒng)的結(jié)構(gòu)示意框圖，該系統(tǒng)包括：

客戶端31，用于獲取用戶信息以及密碼，將所述用戶信息以及所述密碼發(fā)送至路由器；

所述路由器32，用于獲取所述用戶信息以及所述密碼；根據(jù)預(yù)先設(shè)置，將所述用戶信息以及所述密碼轉(zhuǎn)發(fā)至相應(yīng)的認證服務(wù)器；

所述認證服務(wù)器33，用于獲取所述路由器發(fā)送的所述用戶信息以及所述密碼；將所述用戶信息與預(yù)存儲用戶信息相比對，所述密碼與預(yù)存儲密碼相比對，判斷是否一致；當判斷出所述用戶信息與所述預(yù)存儲用戶信息，以及所述密碼與預(yù)存儲密碼都一致時，生成認證成功信息，獲取用戶具有的操作所述路由器的權(quán)限信息；將所述權(quán)限信息以及所述認證成功信息返回給客戶端。

本發(fā)明實施例所提供的路由器安全認證的系統(tǒng)，認證服務(wù)器對路由器發(fā)送的用戶信息以及密碼進行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認證信息與權(quán)限信息進行統(tǒng)一管理，有利于降低路由器認證管理的成本。

由于TACACS+協(xié)議相較于其它的安全協(xié)議來說，其有更好的安全性，可以解決用戶傳輸安全問題，故下面將包括支持TACACS+協(xié)議認證的路由器以及TACACS+服務(wù)器的安全認證系統(tǒng)進行介紹。

請參見圖4，圖4為本發(fā)明實施例所提供的路由器安全認證系統(tǒng)的一種具體實施方式的示意圖，該系統(tǒng)包括：

客戶端41，用于獲取用戶輸入的用戶信息以及密碼，將用戶信息以及密碼發(fā)送到相應(yīng)的路由器；

需要說明的是，客戶端具體可以具體表現(xiàn)為PC端的客戶端工具，PC端上的客戶端工具通過telnet協(xié)議，使用戶可以連接上要登錄的路由器，用戶可以在路由器登錄界面輸入用戶賬號以及密碼。當然，上述客戶端還可以為其它終端，在此不作限定。

路由器42，支持TACACS+協(xié)議認證，用于根據(jù)預(yù)先的認證設(shè)置，將接收到的用戶信息以及密碼，通過TACACS+協(xié)議發(fā)送TACACS協(xié)議包至TACACS+服務(wù)器；

可以理解的是，在發(fā)送TACACS+協(xié)議時，可以利用挑戰(zhàn)口令對密碼進行加密。

TACACS+服務(wù)器43，用于對接收到的TACACS+協(xié)議包，并對TACACS+協(xié)議進行解析，得到用戶賬號以及密碼；將用戶賬號以及密碼，與存儲在數(shù)據(jù)庫內(nèi)的預(yù)存儲用戶賬號以及預(yù)存儲密碼進行分別比對，判斷是否正確，得出認證結(jié)果；從數(shù)據(jù)庫中讀取權(quán)限信息，并將認證結(jié)果以及權(quán)限信息返回給客戶端。

需要說明的是，TACACS+服務(wù)器可以先驗證賬號是否有效，即用戶登錄名是否存在，再對密碼的正確與否進行判斷，當賬號以及密碼都正確時，可以獲取當前用戶賬號在該路由器上對應(yīng)的權(quán)限，將權(quán)限信息以及認證成功信息返回給客戶端，以使用戶可以登錄到路由器上，通過客戶端工具對路由器進行操作。

為了防止暴力認證，可以設(shè)置當密碼錯誤達到預(yù)設(shè)次數(shù)時，則對當前用戶賬號進行鎖定、凍結(jié)，即用戶不能繼續(xù)使用當前用戶賬號登錄到路由器。當然，其預(yù)設(shè)次數(shù)的可以人為地設(shè)定，例如，設(shè)為3次。

在對用戶賬號進行鎖定后，還可以設(shè)置解鎖功能，即用戶可以通過一定的解鎖操作，使鎖定的用戶賬號重新處于激活狀態(tài)，使得用戶可以繼續(xù)使用用戶賬號登錄路由器。其解鎖操作可以是由后臺管理員完成，也可以是用戶賬號的所有者來完成。

而為了更好地使用戶輸入正確的認證信息，即用戶登錄名以及密碼，可以在認證失敗時返回認證失敗原因，以使用戶可以及時進行調(diào)整。例如，當用戶的賬號無效時，可以提示用戶當前賬號無效，請輸入正確的賬號；當用戶輸入的密碼錯誤時，可以提示用戶當前密碼錯誤，請輸入正確的密碼。

本發(fā)明實施例所提供的路由器安全認證的系統(tǒng)，TACACS+認證服務(wù)器對路由器發(fā)送的用戶信息以及密碼進行正確性判斷，然后獲取用戶的權(quán)限信息，并將權(quán)限信息返回給客戶端，即將認證信息與權(quán)限信息進行統(tǒng)一管理，有利于降低路由器認證管理的成本。同時，TACACS+協(xié)議認證的安全性較好，能給傳輸數(shù)據(jù)提供較好的安全性支持。

本說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其它實施例的不同之處，各個實施例之間相同或相似部分互相參見即可。對于實施例公開的裝置而言，由于其與實施例公開的方法相對應(yīng)，所以描述的比較簡單，相關(guān)之處參見方法部分說明即可。

專業(yè)人員還可以進一步意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應(yīng)認為超出本發(fā)明的范圍。

結(jié)合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí)行的軟件模塊，或者二者的結(jié)合來實施。軟件模塊可以置于隨機存儲器(RAM)、內(nèi)存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲介質(zhì)中。

以上對本發(fā)明所提供的路由器安全認證的方法、裝置及系統(tǒng)進行了詳細介紹。本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想。應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以對本發(fā)明進行若干改進和修飾，這些改進和修飾也落入本發(fā)明權(quán)利要求的保護范圍內(nèi)。