本发明专利技术公开了一种权限控制方法,包括:服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。本发明专利技术还公开了一种服务器及一种权限控制系统。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种权限控制方法、系统及服务器。
技术介绍
简单网络管理协议(simplenetwork management pr o t o c ο I ,简称S N M P )是目前传输控制协议/网际协议(t r a n s m i s s ion control protocol/internet protocol,简称TCP/IP)网络中应用最为广泛的网络管理协议,其主要用于对网络中支持S NMP协议的网络设备进行管理,通过网络,管理员可以管理位于不同物理空间的设备,从而大大提闻网络管理的效率。对于S NM P网络架构,有一个为管理员提供的管理平台,又称管理站(n e t wor k management stat1n ,简称N M S ),在每个被监管的网络设备上运行了一个SNMP代理,所述管理站与所述SNMP代理间通过SNMP报文进行通信。网络设备中一个被管理资源表示成一个对象,称为被管理对象,管理信息库(m a n agement informat 1n base ,简称M IB)是被管理对象的集合,每个网络设备上的SNMP代理都有保存各自的M I B,M I B也可以看作是管理站和S NM P代理之间的一个接口,通过这个接口,管理站可以对SNMP代理中的每个被管理对象进行读/写操作,从而达到管理和监控网络设备的目的。随着S NM P的迅猛发展,先后发布了 SNMPv USNMPv 2和SNMPv3三个版本。SNMPv 3可以将用户组与M I B视图(M I B视图是M I B的子集合)进行绑定,以便不同的用户组可以访问与其绑定的M I B视图,从而实现控制用户管理权限的目的。但是,目前非法用户成功登陆一个网络设备的服务器,便具有了访问某M I B视图的权限,该非法用户可通过下发SNMP信息对M I B视图中的每个被管理对象进行读/写操作,以达到恶意篡改或获取重要信息的目的。这种仅仅将用户组与M I B视图进行绑定来实现权限管理的方式,会使M I B视图中所有被管理对象特别是一些重要的被管理对象存在较大的安全风险。
技术实现思路
有鉴于此,本专利技术实施例的主要目的在于提供一种权限控制方法、系统及服务器,以实现进一步降低网络设备中被管理对象的安全风险的目的。为了解决以上技术问题,本专利技术采取的技术方案是:第一方面,本专利技术提供了一种权限控制方法,包括:服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库M I B视图中的被管理对象,所述M I B视图与所述目标用户相互绑定;若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。在第一方面的第一种可能的实现方式中,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:获取为所述目标对象预设的节点级别信息;若所述节点级别信息中包含访问权限级别,则获取与所述目标对象对应的为所述目标用户预设的用户权限级别;若所述用户权限级别大于或等于所述目标对象的访问权限级别,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。结合第一方面或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,具体包括:获取为所述目标对象预设的节点级别信息;若所述节点级别信息中包含预设值,则确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限。结合第一方面的第一种可能的实现方式,在第三种可能的实现方式中,在所述接收客户端发送的SNMP信息之前,还包括:服务器接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;当认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述M I B视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;所述获取与所述目标对象对应的为所述目标用户预设的用户权限级别,具体包括:从所述用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。第二方面,本专利技术提供了一种服务器,包括:信息接收模块,用于接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库M I B视图中的被管理对象,所述M I B视图与所述目标用户相互绑定;对象处理模块,用于当确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。在第二方面的第一种可能的实现方式中,所述对象处理模块,具体包括:第一信息获取单元,用于获取为所述目标对象预设的节点级别信息;权限级别获取单元,用于当所述第一信息获取单元获取的节点级别信息中包含访问权限级别时,获取与所述目标对象对应的为所述目标用户预设的用户权限级别;第一对象处理单元,用于当所述权限级别获取单元获取的用户权限级别大于或等于所述目标对象的访问权限级别时,根据所述操作内容处理所述目标对象。结合第二方面或者第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述对象处理模块,具体包括:第二信息获取单元,用于获取为所述目标对象预设的节点级别信息;第二对象处理单元,用于当所述第二信息获取单元获取的节点级别信息中包含预设值时,根据所述操作内容处理所述目标对象。结合第二方面的第一种可能的实现方式,在第三种可能的实现方式中,所述服务器还包括:身份认证模块,用于在所述信息接收模块接收客户端发送的SNMP信息之前,接收所述客户端发送的身份认证信息,根据所述身份认证信息对所述目标用户的身份进行认证,所述身份认证信息包括所述目标用户的用户名及密码;权限信息获取模块,用于当所述身份认证模块对所述目标用户的身份认证成功后,向所述客户端反馈认证通过消息,并从所述服务器上的设备数据库中获取与所述用户名绑定的用户权限信息,所述用户权限信息中包含了与所述M I B视图中每个被管理对象分别对应的为所述目标用户预设的用户权限级别;所述权限级别获取单元,具体用于从所述权限信息获取模块获取的用户权限信息中获取与所述目标对象对应的为所述目标用户预设的用户权限级别。第三方面,本专利技术提供了一种权限控制系统,包括:客户端和上述第二方面所述的服务器;所述客户端,用于向所述服务器发送简单网络管理协议SNMP信息,所述S NM P信息中包括目标用户对目标对象的操作内容,所述目标对象为所述服务器上管理信息库M I B视图中的被管理对象,所述M I B视图与所述目标用户相互绑定;所述服务器,用于在确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限时,根据所述操作内容处理所述目标对象。本专利技术实施例提供的权限控制方法、系统及服务器,当服务器接收到客户端发送的S N M P信息时,其中,所述S N M P信息包括目标用户对目标对象进行操作的操作内容,服务器会验证目标用户对目标对象的操本文档来自技高网...
【技术保护点】
一种权限控制方法,其特征在于,包括:服务器接收客户端发送的简单网络管理协议SNMP信息,所述SNMP信息中包括目标用户对目标对象的操作内容,所述目标对象是所述服务器上管理信息库MIB视图中的被管理对象,所述MIB视图与所述目标用户相互绑定;若确定所述目标用户的操作权限满足对所述目标对象进行操作的预设操作权限,则根据所述操作内容处理所述目标对象。
【技术特征摘要】
【专利技术属性】
技术研发人员:孙斌,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。