专利名称:管理协议中对用户进行认证的方法和系统的利记博彩app
技术领域:
本发明涉及网络通信领域,尤其涉及一种管理协议中对用户进行认证的 方法和系纟充。
背景技术:
SNMP (Simple Network Management Protocol,简单网络管理协议) 的网络管理模型由管理站、被管设备、管理信息库和管理协议四部分组成。 SNMP的网络管理包含两个基本过程1、 管理站通过管理协议对被管设备中的管理信息库进行读、写操作;2、 被管设备通过管理协议将其管理信息库中的状态信息反馈给管理站。 管理站在通过管理协议对被管设备进行读写操作时,需要对发起操作的用户进行身份认证和访问控制授权,以确保用户操作的合法性。现有技术中 一种管理协议中对用户进行身份认证的方法为管理协议 SNMPv3自身提供用户认证技术。SNMPv3的USM ( User-based Security Model,基于用户的安全模型)提供身份认证、报文加密和时戳检查, SNMPv3报文头携带用户名、认证信息等USM所需的参数。发送端用户在发 送报文时,通过SNMPv3内置的认证算法计算报文的认证信息,并将获得的 认证信息填充到报文头部。接收端用户接收到所述报文后,使用相同的认证 算法计算报文的认证信息,并与报文中携带的原始认证信息进行比较,如果 比较结果为相同,则说明对上述发送端用户的认证通过。 上述现有技术的方法的缺点为1、 该方法是一个SNMPv3专用的验证机制,该机制不能很好地同目前已 经存在的协议和设施进行互操作,不符合当前的技术发展趋势。2、 该方法采用管理协议内置的认证方式,该认证方式是固定的,可扩展 性不好,不能方便地支持新的认证方法。现有技术中另 一种管理协议中对用户进行身份认证的方法为在Netconf (Network Configuration Protocol,基于XML的网纟备配置协、i义)的SSH (Secure Shell,安全外壳)承栽中,直接使用了SSH的用户验证方式,SSH 协议分为三个部分。Netconf/SSH客户端首先使用SSH传输协议建立SSH传 输连接,然后运行SSH用户验证协议,验证Netconf协议的用户,然后客户端 启动SSH连接服务,后续的Netconf报文都承载在SSH连接服务中。上述现有技术的方法的缺点为该方法借用SSH协议内置的用户验证机 制来验证Netconf用户,而SSH用户和Netconf用户可能存在不匹配的情况, 比如当一个SSH连接上承载有多个用户的数据,采用该方法对用户进行验 证就很不合适,除非对NETCONF协议做较大修改。因此,该方法的适用范围 不广泛。发明内容本发明实施例提供一种管理协议中对用户进行认证的方法和系统。从而 可以解决现有管理协议中对用户进行认证的方法可扩展性不好、适用范围不 广泛的缺点。本发明实施例是通过以下技术方案实现的一种管理协议中对用户进行认证的方法,包括管理站将认证协议请求消息封装于管理协议中并发送给被管设备,向被 管设备发送用户认证信息;被管设备根据接收到的所述用户认证信息,通过所述认证协议或验证服务器对用户进行认证,将携带认证结果的认证协议应答消息封装于管理协议 中并返回给管理站。一种管理协议中对用卢进行认证的系统,包括管理站用于将认证协议请求消息封装于管理协议中并发送给被管设 备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中 的认证协议应答消息;被管设备用于根据所述管理站发送的所述用户认证信息,通过所述认 证协议对用户进行认证,将认证协议应答消息封装于管理协议中并返回给管 理站。一种管理协议中对用户进行认证的系统,包括管理站用于将认证协议请求消息封装于管理协议中并发送给被管设 备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中 的认证协议应答消息;被管设备用于将所述管理站发送过来的用户认证信息封装于认证授权 计费AAA协议中,并发送给后端验证服务器;将后端验证服务器返回的认证 结果转换为认证协议应答消息,并封装于管理协议中返回给管理站;后端验证服务器用于接受所述被管设备发送的用户认证信息,根据该 用户认i正信息对用户进行iU正,向被管设备返回认i正结果。由上述本发明实施例提供的技术方案可以看出,本发明实施例通过将认 证协议消息封装到管理协议中,通过认证协议或验证服务器对用户进行认 证。由于认证协议可以方便地扩展新的认证方法,从而提供了 一种扩展性好 的管理协议中用户认证的方法和系统,扩展丰富了管理协议的认证方法。
图1为本发明实施例1所述方法的处理流程图; 图2为本发明实施例2所述方法的处理流程图; 图3为本发明实施例1所述系统的结构示意图; 图4为本发明实施例2所述系统的结构示意图。
具体实施方式
本发明实施例提供了 一种对用户进行认证的方法和系统。本发明实施例 对应的软件可以存储在一个计算机可读取存储介质中。本发明实施例将认证协议消息封装到管理协议中,并在管理协议中携带 对用户进行认证所需要的各种信息,被管设备通过认证协议或后端验证服务 器提供的认证方法,对用户进行认证。上述管理协议指SNMP、 Netconf等网络管理协议,上述认证协议包括 EAP等认证协议。在管理协议中封装EAP (Extensible Authentication Protocol,可扩展认证协议)认证消息的方法与具体的管理协议相关,下面以Netconf和SNMP协 议为例加以i兌明。管理协议以Netconf协议为例,在Netconf中封装EAP认证消息的具体处理过程为首先在Netconf中增加一种新的操作identify,该操作identify用于用户身份 认证,其基本格式如下<rpc message-id="101"xmlns="um:ietf:params:xml:ns:netconf:base:1.0"><identify><! -- parameters ...—> </identify> </rpc>上述操作identify的基本格式中的parameters指该一个或多个参数,这些 参数通过XML (Extensible mark-up language,可扩展标记语言)标记来表 示,本发明实施例用上述XML标记来封装EAP认证消息,其格式定义如下<eap><! — EAP Packet —> 〃将EAP认证消息封装在XML标记"eap"中 </eap>在上述操作identify中封装EAP认证消息的消息格式如下<rpc message-id="101"xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"> <identify> <e3p> <! — EAP Packet —></63p><! —other parameters--> 〃其他参数,将来扩展用</identify> </rpc>对上述操作identify的应答消息格式如下 <rpc-reply message-id="101"xmlns="urn:ietf:params:xml:ns:netconf:base: 1.0"> <eap><! -- EAP Response Packet —>〃EAP应答消息 </63p><! 一 other parameters—> 〃其他参数,将来扩展用</rpc-reply>对于身份认证通过的用户,在进行后续的管理操作时,需要在管理操作 中携带用户身份信息,目前,而Netconf尚没有相关定义。本发明定义一种新 的XML标记identity,用于在Netconf操作中携带用户或用户组标记,XML标记 identity的格式如下<identity><!-用户或用户组ID--> 〃用户或用户组标识 <! - other contents —>〃与用户或用户组相关的其他信息 </identity>在Netconf删除操作中使用上述XML标记identity的示例如下<rpc message-id="101"xmlns urn:ietf:params:xml:ns:netconf:base:1 ()"> <delete-config> <identity><!—用户或用户组ID—> 〃用户或用户组标识<! 一 other contents —> 〃与用户或用户组相关的其他信息</identity> <target><startup/> </target> </delete-config> </rpc>管理协议以SNMP协议为例,在SNMP中封装EAP认证消息的具体处理过程为首先在SNMP中增加一种用于用户身份认证的报文类型ldentify-PDU,下 面以SNMPv3为例说明这种新的报文类型ldentify-PDU的格式,该报文类型 Identify-PDU的格式如下述表1所示。表1:SNMPv3报文头PDU类型max-bindingsEAP封装消总在上述表1所示的格式中,SNMPv3文头的具体格式由SNMPv3协议定 义;PDU ( Protocol Data Unit,协议数据单元)类型中新增一种类型ldentify-PDU; max-bindings在SNMPv3中的原意是指报文中的绑定数量,这里用来 指示EAP封装消息的长度,EAP封装消息用来表示具体的EAP认证消息,其 具体格式由EAP协议定义。上述SNMPv3报文头中可以包含用户或用户组标识信息,用于身份认证 通过的用户进行后续的管理操作时使用。在实际应用中,可以使用SNMP现有的某种报文,比如GetRequest-PDU (获取请求报文)来进行用户身份认证,并在变量绑定列表中封装EAP认证消息,即用SNMP协议类型为OCTET STRING (八位字节串)的变量绑定来 封装EAP认证消息,由于OCTET STRING变量类型的最大长度是65535,而 EAP认证消息的长度可能超过该限制,因此封装时需要一个或多个变量绑 定。该方案的优点是沿用SNMP标准中定义的报文格式。还可以采用AVP (Attribute Value Pairs -属性值对)的方式来将EAP认 证消息封装在管理协议中,每个AVP包括类型、长度和数据三个字段,其中 类型用于标识后面的数据是EAP认证协议信息,长度字段标识数据字段的长 度,数据字段用于封装EAP认证消息,根据EAP认证消息的内容大小,可以 将EAP认证消息封装于一个或多个AVP中,然后在管理协议上承载AVP。以EAP为例,本发明实施例1所述方法的处理流程如图1所示,具体包括 如下步骤步骤11、管理站向被管设备发送针对某个用户的认证启动请求NM EAP-Start消息,该NM EAP-Start消息被封装到NM ( Management Protocol,管理协议)中,在图1所示的处理流程中,管理站和被管设备之间通信时互相传递 的EAP认证消息被封装到NM中。步骤12、被管设备接收到上述NM EAP-Start消息后,向管理站发送获取 身份标识请求NM EAP-Request/ldentity消息。步骤13、管理站向被管设备返回携带MylD (用户身份标识)的获取身份 标识响应NM EAP-Response/ldentity (MylD)消息。步骤14、被管设备向管理站发送认证质询EAP-Request/OTP Challenge EAP消息,这里以OTP ( —次性密码)认证方式为例,在实际应用中也可以 采用EAP支持的其他认证方式。步骤15、管理站向被管设备返回携带质询口令OTPpw的NM EAP-Response/OTP认证响应消息。步骤16、被管设备进行用户身份认证。被管设备根据获得的MylD和 OTPpw进行用户身份认证,在认证成功后,被管设备向管理站返回接受访问 应答NM EAP-Success EAP认证消息,之后,被认证通过的用户即可执行后 续管理搡作。当上述认证失败,则执行步骤16'。步骤16'、被管设备进行用户身份认证失败,被管设备向管理站返回拒绝 访问应答NM EAP-Failure EAP认证消息,上述用户将无权执行后续管理搡 作。以EAP为例,本发明实施例2所述方法的处理流程如图2所示,包括如下 步骤步骤21、管理站向被管设备发送认证启动请求NM EAP-Start消息,该 NM EAP-Start消息被封装到NM (Management Protocol,管理协议)中, NM指SNMP、 NETCONF等网络管理协议。在图2所示的处理流程中,管理站 和被管设备之间通信时互相传递的EAP认证消息被封装到NM中。步骤22、被管设备接收到上述NM EAP-Start消息后,向管理站发送荻取 身份标识请求NM EAP-Request/ldentity消息。步骤23、管理站向被管设备返回携带MylD (用户身份标识)的获取身份 标识响应NM EAP-Response/ldentity (MylD)消息。步骤24、被管设备将MylD用AAA协议的EAP-Message属性封装,并向 后端验证服务器发送携带封装后的MylD的访问请求RADIUS Access-Request/EAP-Message/EAP-Response/(MylD) EAP认证消息。后端验证服 务器指Diameter 、 Radius等AAA ( Authentication Authorization and Accounting,认证授权计费协议)服务器。在图2所示的处理流程中,被管设备和后端验证服务器通信时互相传递的EAP认证消息中携带的信息由AAA协议的EAP-Message属性封装。具体封装 方法由AAA协议定义。现有的AAA协议中已经定义了封装EAP认证消息的方法。步骤25、后端验证服务器接收到上述Access-Request EAP消息后,将认 证方式封装在AAA协议的EAP-Message属性中,然后向被管设备发送认证质 询RADIUS Access-Challenge/EAP-Message/EAP-Request/OTP ChallengeEAP消息。在图2所示的处理流程中,以OTP认证方式为例,在实际应用中也 可以采用EAP或后端验证服务器支持的其他认证方式。步骤26、被管设备向管理站发送认证质询NM EAP-Request/OTP Challenge EAP消息,这里仍然以OTP认证方式为例,在实际应用中可以采 用EAP或后端验证服务器支持的其他认证方式。步骤27、管理站向被管设备返回携带质询口令OTPpw的NM EAP-Response/OTP认证响应消息。步骤28、被管设备将OTPpw封装到AAA协议的EAP-Message属性中, 并向后端验证服务器发送携带封装后的OTPpw的RADIUS Access-Request/EAP-Message/EAP-Response/OTP访问请求EAP消息。步骤29、后端验证服务器接收到上述携带封装后的OTPpw的访问请求 EAP认证消息后,根据获得的MylD和OTPpw进行用户身份认证,在认证成功 后,向被管设备返回接受访问应答RADIUS Access-Acc印t/EAP-Message/EAP-Success EAP消息,被管设备向管理站返回接受访问应答NM EAP-Success EAPiU正消息,之后,被认证通过的用户即可^l行后续管理搡 作。当上述认证失败,则执行步骤29'。步骤29'、后端验证服务器进行用户身份认证失败,后端验证服务器向被 管设备返回拒绝访问应答RADIUS Access-Reject/EAP-Message/EAP-FailureEAP消息,被管设备向管理站返回拒绝访问应答NM EAP-Failure EAP消息。 上述用户将无权执行后续管理操作。对应上述实施例1所述的处理流程,本发明实施例1所述系统的结构如图3 所示,包括管理站、被管设备。管理站管理站将认证协议请求消息封装于管理协议中并发送给被管设 备,向被管设备发送用户身份标识、认证方式等用户认证信息;接收被管设 备返回的封装于管理协议中的认证协议应答消息;被管设备根据管理站发送的所述用户认证信息,通过所述认证协议对 用户进行认证,将认证协议应答消息封装于管理协议中并返回给管理站。对应上述实施例2所述的处理流程,本发明实施例2所述系统的结构如图4 所示,包括管理站、被管设备和后端验证服务器。管理站将认证协议请求消息封装于管理协议中并发送给被管设备,向 被管设备发送用户身份标识、认证方式等用户认证信息;接收被管设备返回 的封装于管理协议中的认证协议应答消息;被管设备将管理站发送过来的用户认证信息封装于认证授权计费AAA 协议中,并发送给后端验证服务器;将后端验证服务器返回的认证结果转换 为认证协议应答消息,并封装于管理协议中返回给管理站;后端验证服务器接受被管设备发送的用户认证信息,根据该用户认证 信息对用户进行认证,向被管设备返回认证结果。综上所述,本发明实施例将EAP协议与管理协议结合起来,由于EAP协 议可以扩展新的i人证方法,从而可以方便地扩展管理协议的认证方法。本发明实施例所述方法和系统可以与AAA系乡充有扭J也结合在一起,适用范围比较 广泛。本发明实施例提供了一种扩展性好的、使用范围比较广泛的用户认证 的方法和系统。扩展丰富了管理协议的认证方法。以上所述,仅为本发明实施例较佳的具体实施方式
,但本发明实施例的 保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭 露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明实施例的保 护范围之内。因此,本发明实施例的保护范围应该以权利要求的保护范围为 准。
权利要求
1. 一种管理协议中对用户进行认证的方法,其特征在于,包括管理站将认证协议请求消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;被管设备根据接收到的所述用户认证信息,通过所述认证协议或验证服务器对用户进行认证,将携带认证结果的认证协议应答消息封装于管理协议中并返回给管理站。
2、 根据权利要求1所述的管理协议中对用户进行认证的方法,其特征在 于,所述管理协议包括基于可扩展标记语言XML的网络配置协议Netconf或 简单网络管理协议SNMP;所述认证协议包括可扩展认证协议EAP。
3、 根据权利要求2所述的管理协议中对用户进行认证的方法,其特征在 于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体 包括在Netconf中增加用于用户身份认证的操作类型和用于封装EAP认证消息 的XML标记,将EAP认证消息封装于所述封装EAP认证消息的XML标记中, 将所述封装EAP认证消息的XML标记设置于所述用于用户身份认证的操作类 型的操作中。
4、 根据权利要求3所述的管理协议中对用户进行认证的方法,其特征在 于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中还包 括设置携带用户或用户组标识的XML标记,将用户或用户组标识设置于所 述携带用户或用户组标识的XML标记中,将所述携带用户或用户组标识的 XML标记设置于Netcon付乘作中。
5、 根据权利要求2所述的管理协议中对用户进行认证的方法,其特征在于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体 包括在SNMP中增加用于用户身份认证的报文类型,将EAP认证消息封装于 所述用于用户身份认证的报文类型的报文中。
6、 根据权利要求5所述的管理协议中对用户进行认证的方法,其特征在 于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中还包 括在所述用于用户身份认证的报文类型的报文的头部设置用户或用户组标识信息。
7、 根据权利要求2所述的管理协议中对用户进行认证的方法,其特征在 于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体 包括将EAP认证消息封装于SNMP报文的变量绑定列表中。
8、 根据权利要求2所述的管理协议中对用户进行认证的方法,其特征在 于,将所述的认证协议请求消息或认证协议应答消息封装于管理协议中具体 包括使用属性值对AVP的方式将EAP认证消息封装于所述管理协议中。
9、 一种管理协议中对用户进行认证的系统,其特征在于,包括管理站用于将认证协议请求消息封装于管理协议中并发送给被管设 备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中 的认证协议应答消息;被管设备用于根据所述管理站发送的所述用户认证信息,通过所述认 证协议对用户进行认证,将认证协议应答消息封装于管理协议中并返回给管理站。
10、 一种管理协议中对用户进行认证的系统,其特征在于,包括管理站用于将认证协议请求消息封装于管理协议中并发送给被管设 备,向被管设备发送用户认证信息;接收被管设备返回的封装于管理协议中 的认证协议应答消 息^被管设备用于将所述管理站发送过来的用户iU正信息封装于认证授权 计费AAA协议中,并发送给后端验证服务器;将后端验证服务器返回的认证 结果转换为认证协议应答消息,并封装于管理协议中返回给管理站;后端验证服务器用于接受所述被管设备发送的用户认证信息,根据该 用户认证信息对用户进行认证,向被管设备返回认证结果。
全文摘要
本发明实施例提供了一种管理协议中对用户进行认证的方法和系统,该方法主要包括管理站将认证协议消息封装于管理协议中并发送给被管设备,向被管设备发送用户认证信息;被管设备根据接收到的所述用户认证信息,通过所述认证协议或验证服务器对用户进行认证,将携带认证结果的认证协议消息封装于管理协议中并返回给管理站。该系统主要包括管理站和被管设备;或者,管理站、被管设备和后端验证服务器。利用本发明,从而提供了一种扩展性好的、适用范围比较广泛的管理协议中用户认证的方法和系统。
文档编号H04L9/32GK101237443SQ200710002829
公开日2008年8月6日 申请日期2007年2月1日 优先权日2007年2月1日
发明者苗福友, 马宇智 申请人:华为技术有限公司