管理网络设备的用户口令的方法、系统及口令管理服务器技术方案

本发明专利技术公开一种管理网络设备的用户口令的方法，包括如下步骤：（ａ）口令管理服务器根据用户的输入信息生成用于申请网络设备的用户口令信息的口令申请单；（ｂ）口令管理服务器根据其所存储权限信息对所述口令申请单进行申请权限认证；（ｃ）在所述口令申请单通过申请权限认证后，口令管理服务器输出其所存储的与该口令申请单所申请的用户口令。本发明专利技术还公开了一种管理网络设备的用户口令的系统及口令管理服务器。本发明专利技术可以集中管理用户口令，并兼容管理不同类型和不同设备提供商提供的网络设备的用户口令，能从根本上有效防止用户口令的非正当扩散。

【技术实现步骤摘要】

本专利技术涉及网管
，尤其是涉及一种管理网络设备的用户口令的方法、系统及口令管理服务器。
技术介绍
随着通信网络技术的飞速发展，通信网络规模也日益庞大，随之使用于通信网络中的网络设备数量、类型等也与日俱增。相应地，网络设备的维护人员也日渐复杂，包括网络设备提供商的用服人员、网络运营商的维护人员以及第三方的网络设备维护人员。然而，考虑到使用于通信网络中的网络设备由不同的网络设备提供商提供，各种网络设备的差异较大，且网络设备的维护人员也相对比较复杂，因此，如何有效的管理众多网络设备中维护人员登录网络设备的用户口令(包括用户名和对应的密码)，成为一个非常棘手的问题。现有技术提供了两种集中管理网络设备中用户口令的方法。一种是采用网络设备管理系统实现网络设备中用户口令的集中管理。一般来说，网络设备管理系统能够提供网络设备的用户口令管理功能，利用此功能能够实现网络设备的登录用户名的增加、删除以及密码修改等。但是，当网络设备管理系统不能解决网络设备问题或网络设备管理系统与网络设备之间通讯中断时，维护人员需要登录至网络设备中进行维护工作。然而，由于登录至网络设备的用户名和密码由个别的维护人员或安全管理人员保存，因此维护人员需要获取网络设备的用户口令后，才能登录至网络设备进行维护工作。当网络设备维护工作完成后，需要直接在网络设备上修改用户口令或通过网络设备管理系统修改用户口令，以防止用户口令非正常化扩散。该方法虽然可以在一定程度上有效实现对网络设备中用户口令的集中管理，但是，其存在如下缺陷1.由于网络运营商使用不同的网络设备，且网络设备由不同的网络设备提供商提供，而网络设备管理系统一般是网络设备提供商基于自己的网络设备设计开发，因此其使用对象局限于某一种网络设备类型和/或某一个网络设备提供商所提供的网络设备，故一套网络设备管理系统无法有效实现对不同提供商提供的网络设备或同一个提供商提供的不同类型的网络设备的用户口令的集中管理；2.维护人员知道了网络设备的用户口令后，存在用户口令非正常化扩散的可能，因此较难通过一套规范流程实现用户口令的安全授予和审计。另外一种方法是利用认证服务器实现用户口令的集中认证的管理方法。该方法是通信网络中建立一个认证服务器，通信网络中所有网络设备的用户口令均保存在该认证服务器上；维护人员从网络设备输入用户口令，输入的用户口令通过RADIUS、LDAP、TACACS+等协议传输至认证服务器进行认证，仅当输入的用户口令通过认证，才允许维护人员登录至网络设备中进行维护工作。相对于第一种方法，该方法具有如下优点1.方便安全管理人员。由于登录至网络设备的用户口令均需要通过认证服务器认证，所有用户口令信息都集中保存于认证服务器种，因此，本方法能够实现对用户口令的有效集中管理，尤其是方便安全管理人员对用户口令的管理；2.由于维护人员仅需要知道一个用户口令，即可登录认证服务器集中管理下的任何网络设备，因此，本方法减轻了维护人员记忆不同网络设备用户口令的负担，方便网络设备的维护人员。然而，该方法也存在如下缺陷 1.由于各种网络设备支持的协议不一致，且不是所有网络设备都支持通过RADIUS、LDAP、TACACS+等协议与认证服务器进行认证例如光网络的网络设备管理信息传输协议不是IP协议，就不能够直接利用Radius等协议进行登录认证；有些网络设备的管理信息传输通过SNMP协议，这也不支持Radius等协议进行登录认证；因此，采用认证服务器实现用户口令的集中管理存在认证受限于网络设备的管理信息传输协议类型的问题，兼容性有待改善；2.部分网络设备原来不支持集中登录认证服务器进行认证，而只能支持本地登录认证，若需使之支持集中登录认证，则需要修改网络设备接口等，修改成本比较高；3.若网络设备和认证服务器之间网络中断，或者需要中断网络设备的网络连接时，则无法登录认证服务器进行登录认证；如果网络设备也支持本地用户的认证，则将存在第一种方法的缺点，因此，本方法还将受限于网络设备和认证服务器之间的网络连接状况。
技术实现思路
本专利技术解决的技术问题是提出一种管理网络设备的用户口令的方法、系统及口令管理服务器，可集中管理用户口令。为解决上述问题，本专利技术提供一种管理网络设备的用户口令的方法，包括如下步骤(a)口令管理服务器根据用户的输入信息生成用于申请网络设备的用户口令信息的口令申请单；(b)口令管理服务器根据其所存储权限信息对所述口令申请单进行申请权限认证；(c)在所述口令申请单通过申请权限认证后，口令管理服务器输出其所存储的该口令申请单所申请的用户口令。优选的，在所述步骤(c)之前，进一步包括口令管理服务器查询其所连接的网管，获得所述网管管理的每一网络设备的用户口令并保存。优选的，所述步骤(b)具体包括(b1)口令管理服务器从所述口令申请单中获取维护人员的权限信息；(b2)口令管理服务器将所述口令申请单中的权限信息与其所存储的权限信息相比较，若所述口令申请单中的权限信息与其所存储的其中一权限信息一致，则通过申请权限认证，转至步骤(c)；否则，口令管理服务器提示该口令申请单申请权限认证失败。优选的，在所述步骤(c)之后，进一步包括(d)在口令申请单有效期期满或满足预定条件时，所述口令管理服务器请求重置网络设备所对应的用户口令。优选的，所述步骤(d)具体包括(d1)口令管理服务器向所述用户口令对应网络设备发出重置用户口令的请求；(d2)所述网络设备根据所述请求修改所述用户口令；(d3)所述网络设备将修改后的用户口令发送给口令管理服务器；(d4)口令管理服务器更新其所存储的用户口令。优选的，所述口令申请单中包括如下信息申请人信息、待维护网络设备标识、维护网络设备的有效期限以及维护网络设备的权限。优选的，在步骤(c)之后进一步包括(e)利用步骤(c)中口令管理服务器所输出的用户口令登录待维护网络设备，该待维护网络设备对所述用户口令进行认证。相应地，本专利技术还提供一种口令管理服务器，包括数据模块及口令管理模块；其中，所述数据模块存储有网络设备中的用户口令信息及维护人员的权限信息；所述口令管理模块用于根据用户的输入信息生成用于申请网络设备的用户口令信息的口令申请单，并根据所述数据模块中的权限信息对所述口令申请单进行申请权限认证，在所述申请权限认证通过后，输出所述数据模块中该口令申请单所申请的用户口令。优选的，所述口令管理模块包括口令申请子模块、判断子模块以及控制子模块，其中所述口令申请子模块用于根据用户的输入信息生成所述口令申请单并显示申请结果；所述判断子模块用于将所述口令申请单中的维护人员的权限信息与所述数据模块中的权限信息进行比较；所述控制子模块用于在所述判断子模块的比较结果为二者相同时，控制从所述数据模块中获取该口令申请单对应的一个用户口令并输出至所述口令申请子模块。优选的，所述口令管理模块进一步包括重置口令子模块，用于在口令申请单有效期期满或满足预定条件时，请求重置网络设备的用户口令。优选的，所述口令申请单中包括如下信息申请人信息、待维护网络设备标识、维护网络设备的有效期限以及维护网络设备的权限。相应地，本专利技术还提供一种管理网络设备的用户口令的系统，包括至少一个网管，每一网管管理多个网络设备，进一步包括与所述至少一个网本文档来自技高网...

【技术保护点】
一种管理网络设备的用户口令的方法，其特征在于，包括如下步骤：　　　　（ａ）口令管理服务器根据用户的输入信息生成用于申请网络设备的用户口令信息的口令申请单；　　　　（ｂ）口令管理服务器根据其所存储权限信息对所述口令申请单进行申请权限认证；　　　　（ｃ）在所述口令申请单通过申请权限认证后，口令管理服务器输出其所存储的该口令申请单所申请的用户口令。

【技术特征摘要】

【专利技术属性】
技术研发人员：蓝智能，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]