[发明专利]一种网络设备的命令行接口权限分级方法

说明书

技术领域

本发明涉及一种权限分级方法，尤其是一种网络设备的命令行接口权限分级方法。

背景技术

随着IP(Internet Protocol，因特网协议)网络数据产品，如路由器、以太网交换机等的广泛应用，人们对网络设备管理的安全性要求越来越高，特别是采用CLI(Command Line Interface，命令行接口)管理方式的网络设备，其安全性问题日益凸现。如果初级维护人员由于误操作破坏设备的配置信息，或者非法入侵者通过设备的物理接口恶意接入观察设备的配置信息，甚至重新配置设备并获得对它的控制，都会对网络设备的安全运行造成危害。因此，在目前IP网络的数据产品中，不可避免地涉及到针对合法配置管理员的可操作命令进行权限等级控制的问题。

在登录数据设备进行命令操作时，为实现上述的权限等级控制要求，通常采用的控制方法是简单的两级权限控制。即所有接入设备的用户，在登录认证通过后，都使用一个基本命令集。在该命令集中，可以进行一些基本的命令操作，普通用户只能执行该命令集中的命令，而对于拥有更高权限的设备维护员或系统管理员，需要再次输入权限等级密码进行认证，一旦通过，即跳转进入完整的命令集，从而完全获得对设备的访问控制权。显然，上述权限控制方法的控制方式过于粗糙，其实质为简单的两级权限控制，而且登录认证通过后的初始用户权限都一样，不能直接体现登录用户的级别。由于权限固定，不允许在线配置，无法满足多级权限管理及灵活配置的要求。

作为对上述简单二级权限控制方法的改进，另一种权限分级方法将登录用户区分为不同的角色，每种角色预先固定分配其对应的可执行命令操作。用户成功登录后，只能执行该角色许可的相应命令，从而实现用户的分级管理。由于这种基于角色的权限管理方法控制精度有了较大提高，同时具备易理解、易实现等特性，目前在很多系统或设备中都得到了广泛应用。但由于角色个数一般有限，并且每种角色所允许的命令操作相对固定，同时考虑到网络数据产品完全基于CLI命令行的操作、配置方式，一般来说命令集巨大，命令数量很多，因而该种基于角色的权限控制方法仍然不够灵活。

发明内容

本发明要解决的技术问题是提供一种控制精度高、配置管理灵活的实现多级别的登录用户权限控制和操作终端权限控制的网络设备的命令行接口权限分级方法。

本发明解决其技术问题所采用的技术方案是：

一种网络设备的命令行接口权限分级方法，包括以下步骤：

1.1用户登陆所述网络设备的系统并获取所述用户的权限等级；

1.2读取命令行接口命令集中一命令关键字；

1.3确定所述命令关键字的权限等级；

1.4将所述用户的权限等级与所述命令关键字的权限等级进行比较，若所述用户的权限等级大于或等于所述命令关键字的权限等级，则所述命令关键字对应的命令为所述用户的可操作命令，否则所述命令关键字对应的命令为所述用户的非可操作命令；

1.5判断所述命令行接口命令集中是否还存在未被读取过的命令关键字，若存在，则读取一未被读取过的命令关键字并回到步骤1.3，否则结束流程。

上述方案中，步骤1.3确定命令关键字的权限等级包括以下步骤：

2.1获取所述命令关键字的默认权限等级；

2.2根据所述命令关键字的配置权限等级判断所述命令关键字的权限等级是否发生变更，若未变更，则将所述默认权限等级作为所述命令关键字的权限等级，否则，将所述配置权限等级作为所述命令关键字的权限等级。

上述方案中，所述命令行接口命令集包含所述命令行接口支持的全部命令，所述各命令对应的命令关键字分别与所述默认权限等级及配置权限等级一一对应，所述命令关键字的默认权限等级为设定的初始权限等级，若所述命令关键字的权限等级发生变更，则所述命令关键字的配置权限等级进行相应的更新。

上述方案中，步骤1.1中所述用户登陆所述网络设备的系统后，通过所述系统进行认证，若认证成功则获取所述用户的权限等级，否则退出登陆并结束流程。

上述方案中，所述认证的方式包括本地模块认证、远程拨号认证用户业务服务器认证、终端接入控制器接入控制系统服务器认证。