一種網絡設備的命令行接口權限分級方法
2023-05-02 16:34:56 1
專利名稱:一種網絡設備的命令行接口權限分級方法
技術領域:
本發明涉及一種權限分級方法,尤其是一種網絡設備的命令行接口權限分級方法。
背景技術:
隨著IP(Internet Protocol,網際網路協議)網絡數據產品,如路由器、乙太網交換機等的廣泛應用,人們對網絡設備管理的安全性要求越來越高,特別是採用CLI(Command Line Interface,命令行接口)管理方式的網絡設備,其安全性問題日益凸現。如果初級維護人員由於誤操作破壞設備的配置信息,或者非法入侵者通過設備的物理接口惡意接入觀察設備的配置信息,甚至重新配置設備並獲得對它的控制,都會對網絡設備的安全運行造成危害。因此,在目前IP網絡的數據產品中,不可避免地涉及到針對合法配置管理員的可操作命令進行權限等級控制的問題。
在登錄數據設備進行命令操作時,為實現上述的權限等級控制要求,通常採用的控制方法是簡單的兩級權限控制。即所有接入設備的用戶,在登錄認證通過後,都使用一個基本命令集。在該命令集中,可以進行一些基本的命令操作,普通用戶只能執行該命令集中的命令,而對於擁有更高權限的設備維護員或系統管理員,需要再次輸入權限等級密碼進行認證,一旦通過,即跳轉進入完整的命令集,從而完全獲得對設備的訪問控制權。顯然,上述權限控制方法的控制方式過於粗糙,其實質為簡單的兩級權限控制,而且登錄認證通過後的初始用戶權限都一樣,不能直接體現登錄用戶的級別。由於權限固定,不允許在線配置,無法滿足多級權限管理及靈活配置的要求。
作為對上述簡單二級權限控制方法的改進,另一種權限分級方法將登錄用戶區分為不同的角色,每種角色預先固定分配其對應的可執行命令操作。用戶成功登錄後,只能執行該角色許可的相應命令,從而實現用戶的分級管理。由於這種基於角色的權限管理方法控制精度有了較大提高,同時具備易理解、易實現等特性,目前在很多系統或設備中都得到了廣泛應用。但由於角色個數一般有限,並且每種角色所允許的命令操作相對固定,同時考慮到網絡數據產品完全基於CLI命令行的操作、配置方式,一般來說命令集巨大,命令數量很多,因而該種基於角色的權限控制方法仍然不夠靈活。
發明內容
本發明要解決的技術問題是提供一種控制精度高、配置管理靈活的實現多級別的登錄用戶權限控制和操作終端權限控制的網絡設備的命令行接口權限分級方法。
本發明解決其技術問題所採用的技術方案是一種網絡設備的命令行接口權限分級方法,包括以下步驟1.1用戶登陸所述網絡設備的系統並獲取所述用戶的權限等級;1.2讀取命令行接口命令集中一命令關鍵字;1.3確定所述命令關鍵字的權限等級;1.4將所述用戶的權限等級與所述命令關鍵字的權限等級進行比較,若所述用戶的權限等級大於或等於所述命令關鍵字的權限等級,則所述命令關鍵字對應的命令為所述用戶的可操作命令,否則所述命令關鍵字對應的命令為所述用戶的非可操作命令;1.5判斷所述命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在,則讀取一未被讀取過的命令關鍵字並回到步驟1.3,否則結束流程。
上述方案中,步驟1.3確定命令關鍵字的權限等級包括以下步驟2.1獲取所述命令關鍵字的默認權限等級;2.2根據所述命令關鍵字的配置權限等級判斷所述命令關鍵字的權限等級是否發生變更,若未變更,則將所述默認權限等級作為所述命令關鍵字的權限等級,否則,將所述配置權限等級作為所述命令關鍵字的權限等級。
上述方案中,所述命令行接口命令集包含所述命令行接口支持的全部命令,所述各命令對應的命令關鍵字分別與所述默認權限等級及配置權限等級一一對應,所述命令關鍵字的默認權限等級為設定的初始權限等級,若所述命令關鍵字的權限等級發生變更,則所述命令關鍵字的配置權限等級進行相應的更新。
上述方案中,步驟1.1中所述用戶登陸所述網絡設備的系統後,通過所述系統進行認證,若認證成功則獲取所述用戶的權限等級,否則退出登陸並結束流程。
上述方案中,所述認證的方式包括本地模塊認證、遠程撥號認證用戶業務伺服器認證、終端接入控制器接入控制系統伺服器認證。
本發明的有益效果主要表現在本發明提供的技術方案提供了較高的控制精度和靈活性,解決了現有CLI命令行權限管理方法中權限等級不夠細和配置不夠靈活的問題,滿足了IP網絡設備對接入安全性的應用需求,從而防止了未經授權的用戶查看或更改超過其權限範圍的設備配置信息,保證了設備的安全和正常運行。
圖1為本發明網絡設備的CLI權限分級方法的流程圖;圖2為本發明用戶登陸網絡設備系統的流程圖。
具體實施例方式
下面結合附圖對本發明作進一步的描述。
參照圖1,一種網絡設備的CLI權限分級方法,包括以下步驟步驟一用戶登陸網絡設備的系統並獲取用戶的權限等級。
如圖2所示,本步驟的實現過程中,用戶登錄網絡設備系統,進行接入認證;輸入用戶名和密碼後,等待返回認證結果。可採用的認證方式包括本地模塊認證、RADIUS(Remote Authentication Dial-InUser Service,遠程撥號認證用戶業務)伺服器認證、TACACS(TerminalAccess Controller Access Control System,終端接入控制器接入控制系統)伺服器認證等。如果認證失敗,退出登錄,結束流程;如果認證成功,確認該用戶為合法的登錄用戶,返回該用戶的權限級別。用戶的權限級別即為當前操作終端的權限級別。這樣,當重新登錄後用戶發生變化或需要在線動態變更權限等級時,當前操作終端的權限級別也能夠相應地發生變化。
步驟二讀取CLI命令集中一命令關鍵字。
所謂命令關鍵字,就是一條CLI命令開始的一個或幾個單詞,即除去命令參數和語法提示字符之外的命令部分,也可以稱之為命令節點。將用戶通過CLI命令操作和控制的網絡設備的權限劃分為不同的等級,其中,具體等級數量沒有限制,可以在實現本發明時自行設置,如16級或256級。CLI命令集包含CLI支持的全部命令,各命令對應的命令關鍵字分別與默認權限等級及配置權限等級一一對應,命令關鍵字的默認權限等級為設定的初始權限等級,若命令關鍵字的權限等級發生變更,如管理員手動配置了命令關鍵字的權限等級,則該命令關鍵字的配置權限等級進行相應的更新。
步驟三確定命令關鍵字的權限等級,實現時包括以下幾部分1、獲取命令關鍵字的默認權限等級;2、根據命令關鍵字的配置權限等級判斷命令關鍵字的權限等級是否發生變更,若未變更,則將默認權限等級作為命令關鍵字的權限等級,否則,將配置權限等級作為命令關鍵字的權限等級。
這樣,命令關鍵字的權限等級始終能反映最新的權限配置情況,實現了權限分級功能的完善。
步驟四將用戶的權限等級與命令關鍵字的權限等級進行比較,若用戶的權限等級大於或等於命令關鍵字的權限等級,則命令關鍵字對應的命令允許該用戶查看、執行,即該命令為該用戶的可操作命令,否則命令關鍵字對應的命令禁止該用戶查看、執行,即該命令為該用戶的非可操作命令;步驟五判斷命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在,則讀取一未被讀取過的命令關鍵字並回到步驟三,否則結束流程。
採用本發明的權限分級方法,可以對用戶的命令操作範圍進行必要的控制,且控制精度達到了用戶級的控制要求,產生了協作與隔離並存的效果。
權利要求
1.一種網絡設備的命令行接口權限分級方法,其特徵在於,包括以下步驟1.1用戶登陸所述網絡設備的系統並獲取所述用戶的權限等級;1.2讀取命令行接口命令集中一命令關鍵字;1.3確定所述命令關鍵字的權限等級;1.4將所述用戶的權限等級與所述命令關鍵字的權限等級進行比較,若所述用戶的權限等級大於或等於所述命令關鍵字的權限等級,則所述命令關鍵字對應的命令為所述用戶的可操作命令,否則所述命令關鍵字對應的命令為所述用戶的非可操作命令;1.5判斷所述命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在,則讀取一未被讀取過的命令關鍵字並回到步驟1.3,否則結束流程。
2.如權利要求1所述的網絡設備的命令行接口權限分級方法,其特徵在於步驟1.3確定命令關鍵字的權限等級包括以下步驟2.1獲取所述命令關鍵字的默認權限等級;2.2根據所述命令關鍵字的配置權限等級判斷所述命令關鍵字的權限等級是否發生變更,若未變更,則將所述默認權限等級作為所述命令關鍵字的權限等級,否則,將所述配置權限等級作為所述命令關鍵字的權限等級。
3.如權利要求2所述的網絡設備的命令行接口權限分級方法,其特徵在於所述命令行接口命令集包含所述命令行接口支持的全部命令,所述各命令對應的命令關鍵字分別與所述默認權限等級及配置權限等級一一對應,所述命令關鍵字的默認權限等級為設定的初始權限等級,若所述命令關鍵字的權限等級發生變更,則所述命令關鍵字的配置權限等級進行相應的更新。
4.如權利要求1至3其中之一所述的網絡設備的命令行接口權限分級方法,其特徵在於步驟1.1中所述用戶登陸所述網絡設備的系統後,通過所述系統進行認證,若認證成功則獲取所述用戶的權限等級,否則退出登陸並結束流程。
5.如權利要求4所述的網絡設備的命令行接口權限分級方法,其特徵在於所述認證的方式包括本地模塊認證、遠程撥號認證用戶業務伺服器認證、終端接入控制器接入控制系統伺服器認證。
全文摘要
本發明公開了一種網絡設備的命令行接口權限分級方法,包括1.用戶登陸網絡設備的系統並獲取權限等級;2.讀取命令行接口命令集中一命令關鍵字;3.確定命令關鍵字的權限等級;4.將用戶的權限等級與命令關鍵字的權限等級進行比較,若用戶的權限等級大於或等於命令關鍵字的權限等級,則命令關鍵字對應的命令為用戶的可操作命令,否則命令關鍵字對應的命令為用戶的非可操作命令;5.判斷命令行接口命令集中是否還存在未被讀取過的命令關鍵字,若存在,則讀取一未被讀取過的命令關鍵字並回到步驟3,否則結束流程。本發明所述技術方案解決了現有CLI命令行權限管理方法中權限等級不夠細和配置不夠靈活的問題。
文檔編號G06F21/00GK101090336SQ200710075878
公開日2007年12月19日 申請日期2007年7月12日 優先權日2007年7月12日
發明者劉大宇, 陳維, 陶文強 申請人:中興通訊股份有限公司