用于NETCONF的网络管理设备和集中式授权服务器制造技术

公开了一种用于网络配置(NETCONF)协议的网络管理设备和集中式授权服务器。所述网络管理设备包括管理服务器组件和授权客户端组件。管理服务器组件被配置有NETCONF协议以至少基于来自授权客户端组件的授权信息来处理来自管理代理的用户操作请求。授权客户端组件被配置有远程授权协议以针对用户操作请求从集中式授权服务器获得授权信息。

【技术实现步骤摘要】
【国外来华专利技术】用于NETCONF的网络管理设备和集中式授权服务器
本公开的实施例一般涉及网络通信，并且更具体地涉及用于网络配置(NETCONF)协议的网络管理设备和集中式授权服务器。
技术介绍
本部分介绍可以促进本公开的更好理解的方面。因此，本部分的陈述应从该意义上阅读，并且不应被理解为承认什么是现有技术或什么不是现有技术。随着云计算技术的发展，已经提出了软件定义网络(SDN)以促进网络管理并实现在编程上高效的网络配置。在演进的云/SDN基础设施中，主要的北向接口是网络配置(NETCONF)协议，其是由互联网工程任务组(IETF)开发和标准化的网络管理协议。基础NETCONF协议的第一版在2006年12月作为征求意见文档(RFC)4741被发布。在随后的几年中发布了一些扩展。这些扩展之一是2012年3月发布的RFC6536。它提出了一种被称为NETCONF访问控制模型(NACM)的授权解决方案，以将特定用户的NETCONF协议访问限制为所有可用的NETCONF协议操作和内容的预先配置的子集。对于上述现有的授权解决方案，仍存在一些改进空间。...

【技术保护点】
1.一种网络管理设备(12)，包括：/n管理服务器组件(122)，其被配置有网络配置(NETCONF)协议以至少基于来自授权客户端组件(124)的授权信息来处理来自管理代理(14)的用户操作请求；以及/n所述授权客户端组件(124)，其被配置有远程授权协议以针对所述用户操作请求从集中式授权服务器(16)获得所述授权信息。/n

【技术特征摘要】
【国外来华专利技术】1.一种网络管理设备(12)，包括：
管理服务器组件(122)，其被配置有网络配置(NETCONF)协议以至少基于来自授权客户端组件(124)的授权信息来处理来自管理代理(14)的用户操作请求；以及
所述授权客户端组件(124)，其被配置有远程授权协议以针对所述用户操作请求从集中式授权服务器(16)获得所述授权信息。


2.根据权利要求1所述的网络管理设备(12)，其中所述远程授权协议是终端访问控制器访问控制系统加(TACACS+)协议、或远程认证拨入用户服务(RADIUS)协议。


3.根据权利要求1或2所述的网络管理设备(12)，其中所述管理服务器组件(122)被配置成将所述用户操作请求转换为操作标识和Xpath，其中所述Xpath表示将要对其执行操作的对象；以及
其中所述授权客户端组件(124)包括：
第一发送模块(1242)，其被配置成向所述集中式授权服务器(16)发送包括所述操作标识和所述Xpath的授权请求；
第一接收模块(1244)，其被配置成从所述集中式授权服务器(16)接收授权响应；以及
确定模块(1246)，其被配置成基于所述授权响应来确定所述授权信息。


4.根据权利要求3所述的网络管理设备(12)，其中在所述用户操作请求中指示有多个操作；
其中所述第一发送模块(1242)和所述第一接收模块(1244)针对所述多个操作中的每一个迭代地工作；以及
其中所述确定模块(1246)被配置成在针对任何操作的所述授权响应指示失败时将所述授权信息确定为失败，以及在针对所述多个操作的所述授权响应指示成功时将所述授权信息确定为成功。


5.根据权利要求1至4中任一项所述的网络管理设备(12)，其中所述管理服务器组件(122)被配置成在所述授权信息指示失败时将失败消息返回给所述管理代理(14)，以及在所述授权信息指示成功时根据所述用户操作请求来执行操作并将操作结果返回给所述管理代理(14)。


6.根据权利要求1至5中任一项所述的网络管理设备(12)，其中所述网络管理设备(12)在云环境、软件定义网络(SDN)环境、以及物联网(IoT)中的一者中使用。


7.一种被配置有远程授权协议的集中式授权服务器(16)，所述集中式授权服务器(16)包括：
第二接收模块(162)，其被配置成从被配置有网络配置(NETCONF)协议并位于不同位置处的多个网络管理设备中的至少一个网络管理设备(12)接收用户授权请求；
访问控制数据库(164)，其被配置成存储关于多个用户的标识和访问权限的信息；
授权模块(166)，其被配置成基于所述访问控制数据库(164)生成针对所述用户授权请求的授权响应；以及
第二发送模块(168)，其被配置成向所述多个网络管理设备中的所述至少一个网络管理设备(12)发送所述授权响应。


8.根据权利要求7所述的集中式授权服务器(16)，其中所述远程授权协议是终端访问控制器访问控制系统加(TACACS+)协议、或远程认证拨入用户服务(RADIUS)协议。


9.根据权利要求7或8所述的集中式授权服务器(16)，其中关于用户的访问权限的所述信息包括：
操作标识；
表示将要对其执行操作的对象的Xpath；以及
用于确定是否允许所述用户执行所述操作的访问控制信息。


10.一种在网络管理设备处的方法，所述方法包括：
通过网络配置(NETCONF)协议来处理(302)来自管理代理的用户操作请求；以及
针对所述用户操作请求，通过远程授权协议从集中式授权服务器获得(304)授权信息；
其中处理(302)所述用户操作请求是至少基于所述授权信息的。


11.根据权利要求10所述的方法，其中处理(302)所述用户操作请求包括将所述用户操作请求转换(406)为操作标识和Xpath，其中所述Xpath表示将要对其执行操作的对象；以及
其中获得(304)所述授权信息包括：
向所述集中式授权服务器发送(408)包括所述操作标识和所述Xpath的授权请求；
从所述集中式授权服务器接收(410)授权响应；以及
基于所述授权响应来确定(412)所述授权信息。


12.根据权利要求11所述的方法，其中在所述用户操作请求中指示有多个操作；
其中针对所述多个操作中的每一个，迭代地执行所述授权请求的发送(408)和所述授权响应的接收(410)；以及
其中确定(412)所述授权信息包括：
当针对任何操作的所述授权响应指示失败时，将所述授权信息确定为失败；以及
当针对所述多个操作的所述授权响应指示成功时，将所述授权信息确定为成功。


13.根据权利要求10至12中...

【专利技术属性】
技术研发人员：黄洋，陈实，刘文昭，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE