[发明专利]一种鉴权方法、装置及设备

说明书

本申请实施例公开了一种鉴权方法、装置及设备，旨在针对操作对用户的权限做了更细致的划分，提升网络的安全性。其中，所述鉴权方法包括：网络设备生成第一消息，所述第一消息包括操作信息和用户标识，所述操作信息用于指示网管设备请求所述网络设备执行的操作，所述用户标识为通过所述网管设备登录到所述网络设备的用户的标识；所述网络设备向服务器发送所述第一消息，所述第一消息用于所述服务器根据所述用户标识对所述操作信息进行鉴权；所述网络设备接收来自所述服务器的鉴权结果。

技术领域

本申请涉及通信技术领域，尤其涉及一种鉴权方法、装置及设备。

背景技术

网络配置协议(Network Configuration Protocol，NETCONF)是一种基于下一代建模语言(Yet Another Next Generation，YANG)的网络管理协议，提供了一种网管设备和网络设备之间通信的机制，用户可以利用这套机制在网管设备触发增加、修改、删除网络设备上的配置数据的指令，以及获取网络设备的配置数据和状态信息。

如果用户想要对网络设备执行某操作，可以通过网管设备生成远程过程调用(Remote Procedure Call，RPC)消息，并向网络设备发送RPC消息。其中，RPC消息中包括用于请求网络设备执行操作的相关信息。这样，在接收到RPC消息之后，网络设备可以根据RPC消息的请求执行相应的操作，以实现用户的需求。出于网络安全方面的考虑，网络设备可以对当前使用网管设备的用户进行身份认证(Authentication)。具体地，在网络设备进行管理之前，用户可以先通过网管设备登录到网络设备。网络设备可以判断用户是否具有管理网络设备的权限。在用户不具有管理网络设备的权限的情况下，网络设备可以拒绝用户通过网管设备登录到网络设备。

但是，传统的NETCONF技术只能对用户进行身份认证，仍然存在安全方面的问题。

发明内容

本申请实施例提供了一种鉴权方法、装置及设备，旨在针对操作对用户的权限做了更细致的划分，提升网络的安全性。

第一方面，本申请实施例提供了一种鉴权方法，该方法可以应用于网络系统中的网络设备，用于在网络设备执行操作之前对操作进行鉴权。具体地，网络设备可以先生成第一消息，该第一消息可以包括操作信息和用户标识，操作信息能够体现网管设备请求网络设备所执行的操作。用户标识为网管设备登录到网络设备的用户的标识。在生成第一消息之后，网络设备可以向服务器发送第一消息，以使服务器根据用户标识对操作信息进行鉴权。在服务器完成鉴权之后，网络设备可以接收来自服务器的鉴权结果，并根据鉴权结果执行相应的操作。该鉴权结果可以体现用户标识对应的用户是否具有根据操作信息执行操作所需的权限。这样，网络设备不但可以对登录到网络设备的用户进行鉴权，还可以对用户是否具有操作所需的权限进行鉴权。如此，针对操作对用户的权限做了更细致的划分，可以实现基于操作粒度的鉴权，提升了网络的安全性。

在一些可能的实现方式中，第一消息的生成可以是网络设备接收的RPC消息触发的。具体地，在生成第一消息之前，网络设备可以先接收网管设备发送的RPC消息。该RPC消息指示操作信息，即RPC消息用于请求网络设备执行相应的操作。在生成第一消息时，网络设备可以根据网管设备发送的RPC消息生成第一消息。

在一些可能的实现方式中，所述操作信息包括所述操作的操作指令，那么服务器在鉴权的过程中，可以判断当前登录到网络设备的用户能否执行操作指令对应的操作。相应地，所述鉴权结果能够体现所述用户是否在所述网络设备上具有执行所述操作的权限。

在一些可能的实现方式中，所述操作包括以下其中一种或多种：获取get操作、配置编辑edit-config操作、获取配置get-config操作以及订阅创建create-subscription操作。