Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR MANAGING FTP USERS, AND FTP USER LOGON METHOD AND DEVICE
Document Type and Number:
WIPO Patent Application WO/2013/010426
Kind Code:
A1
Abstract:
A method for managing FTP users, and an FTP user logon method and device.The method for managing FTP users includes: an AAA server receiving authentication information about FTP users sent from a data device; and authenticating and authorizing the authentication information according to pre-set FTP user accounts.The method can manage the FTP users in a centralized way.

Inventors:
MENG JIAN (CN)
Application Number:
PCT/CN2012/077368
Publication Date:
January 24, 2013
Filing Date:
June 21, 2012
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
ZTE CORP (CN)
MENG JIAN (CN)
International Classes:
H04L29/08; H04L29/06
Foreign References:
CN102325164A2012-01-18
CN1627683A2005-06-15
CN102065131A2011-05-18
CN1440155A2003-09-03
Attorney, Agent or Firm:
AFD CHINA INTELLECTUAL PROPERTY LAW OFFICE (CN)
北京安信方达知识产权代理有限公司 (CN)
Download PDF:
Claims:
权 利 要 求 书

1、 一种管理文件传输协议(FTP )用户的方法, 包括:

验证、 授权和记账( AAA )服务器接收数据设备发送的 FTP用户的认证 信息; 以及

根据预设的 FTP用户账号对所述认证信息进行认证和授权。

2、 如权利要求 1所述的方法, 其还包括:

若认证和授权都通过, 则所述 AAA服务器向所述数据设备发送授权结 果, 所述授权结果携带预设的与所述 FTP用户账号对应的授权属性。

3、 一种验证、 授权和记账(AAA )服务器, 包括:

配置模块, 其设置为: 配置文件传输协议(FTP )用户账号; 以及 认证和授权模块, 其设置为: 接收到数据设备发送的 FTP用户的认证信 息后, 根据所述配置模块配置的 FTP用户账号对所述认证信息进行认证和授 权。

4、 如权利要求 3所述的 AAA服务器, 其中:

所述配置模块还设置为配置与所述 FTP用户账号对应的授权属性; 所述认证和授权模块还设置为: 在认证和授权都通过的情况下, 向所述 数据设备发送授权结果, 所述授权结果携带与所述 FTP用户账号对应的授权 属性。

5、 如权利要求 3或 4所述的 AAA服务器, 其中:

所述 AAA服务器包括: 远程用户拨号认证系统服务器,或终端访问控制 器访问控制系统服务器。

6、 一种文件传输协议(FTP )用户登录的方法, 包括:

接收到 FTP用户的认证信息后, 将所述认证信息发送给验证、 授权和记 账(AAA )服务器进行认证和授权;

接收到授权成功的报文后, 获取与所述 FTP用户对应的授权属性; 以及 根据所述授权属性建立访问控制表, 进行 FTP用户登录。 7、 如权利要求 6所述的方法, 其中:

所述报文携带与所述 FTP用户对应的授权属性, 则所述 FTP用户对应的 授权属性是从所述报文中获取的。

8、如权利要求 6所述的方法, 其中: 若所述报文未携带所述 FTP用户对 应的授权属性, 则所述获取所述 FTP用户对应的授权属性包括:

从本地备份的授权属性中获取与所述 FTP用户对应的授权属性。

9、 一种文件传输协议(FTP )服务器, 包括:

信息发送模块, 其设置为: 接收到 FTP用户的认证信息后, 将所述认证 信息发送给 AAA服务器进行认证和授权;

获取模块, 其设置为: 接收到所述验证、 授权和记账(AAA )服务器返 回的授权成功的^艮文后, 获取所述 FTP用户对应的授权属性; 以及

登录模块, 其设置为: 根据所述授权属性建立访问控制表, 进行 FTP用 户登录。

10、 如权利要求 9所述的 FTP服务器, 其中:

所述获取模块是设置为从所述报文中获取所述 FTP用户对应的授权属性 的。

11、 如权利要求 9所述的 FTP服务器, 其中:

所述获取模块是设置为: 若判断所述报文未携带所述 FTP用户对应的授 权属性, 则从本地备份的授权属性中获取与所述 FTP用户对应的授权属性。

12、 一种数据设备, 包括, 如权利要求 9-11任一项所述的 FTP服务器。

13、 如权利要求 12所述的数据设备, 其中:

所述数据设备为路由器、 交换机或分组传送网设备。

Description:
管理 FTP用户的方法、 FTP用户登录的方法及装置

技术领域

本发明涉及接入控制技术领域, 特别是涉及一种管理 FTP用户的方法、 FTP用户登录的方法及 AAA ( Authentication、 Authorization、 Accounting, 验 证、 授权和记账)服务器、 FTP ( File Transfer Protocol, 文件传输协议)服务 器及数据设备。

背景技术

IP ( Internet Protocol, 因特网互联协议)网络中的数据设备一般都支 持作 为 FTP服务器使用, 用于远程上传、 下载设备映像、 配置文件、 日志文件等。 登录 FTP服务器涉及到用户认证、 访问的目录和目录权限设置, 当用户通过 认证后, 进入设置的 FTP目录, 并将其操作约束在设定的权限之内。

目前, 登录设备的管理账号一般都釆用远程 AAA服务器 (RADIUS ( Remote Authentication Dial In User Service ,远程用户拨号认证系统)服务器 或 TACACS+ ( Terminal Access Controller Access Control System, 终端访问控 制器访问控制系统)服务器) 实现集中安全, 但 FTP服务器登录账号和目录 权限却在设备上设置, 不利于统一集中安全管理部署。 发明内容

本发明实施例要解决的技术问题是提供一种管 理 FTP用户的方法、 FTP 用户登录的方法及 AAA服务器、 FTP服务器及数据设备, 以集中管理 FTP 用户。

为了解决上述技术问题, 本发明实施例提供了一种管理文件传输协议 ( FTP )用户的方法, 包括:

AAA服务器接收数据设备发送的 FTP用户的认证信息;

根据预设的 FTP用户账号对所述认证信息进行认证和授权。

上述方法还可包括: 若认证和授权都通过, 则所述 AAA服务器向所述数据设备发送授权结 果, 所述授权结果携带预设的与所述 FTP用户账号对应的授权属性。

为了解决上述问题, 本发明实施例还提供了一种 AAA服务器, 包括: 配置模块, 其设置为配置文件传输协议(FTP )用户账号;

认证和授权模块, 其设置为接收到数据设备发送的 FTP用户的认证信息 后,根据所述配置模块配置的 FTP用户账号对所述认证信息进行认证和授权。

上述 AAA服务器还可具有下面特点:

所述配置模块, 还设置为配置与所述 FTP用户账号对应的授权属性; 所述认证和授权模块, 还设置为在认证和授权都通过的情况下, 向所述 数据设备发送授权结果, 所述授权结果携带与所述 FTP用户账号对应的授权 属性。

上述 AAA服务器还可具有下面特点:

所述 AAA服务器包括: 远程用户拨号认证系统服务器,或终端访问控 制 器访问控制系统服务器。

为了解决上述问题, 本发明实施例还提供了一种文件传输协议(FTP ) 用户登录的方法, 包括:

接收到 FTP用户的认证信息后, 将所述认证信息发送给 AAA服务器进 行认证和授权; 接收到授权成功的报文后, 获取与所述 FTP用户对应的授权属性; 根据所述授权属性建立访问控制表, 进行 FTP用户登录。

上述方法还可具有下面特点:

所述报文携带与所述 FTP用户对应的授权属性, 则所述 FTP用户对应的 授权属性是从所述报文中获取的。

上述方法还可具有下面特点: 若所述报文未携带所述 FTP用户对应的授 权属性, 则获取所述 FTP用户对应的授权属性包括:

从本地备份的授权属性中获取与所述 FTP用户对应的授权属性。

为了解决上述问题, 本发明实施例还提供了一种文件传输协议(FTP ) 服务器, 包括:

信息发送模块, 其设置为接收到 FTP用户的认证信息后, 将所述认证信 息发送给 AAA服务器进行认证和授权;

获取模块, 其设置为接收到所述 AAA服务器返回的授权成功的报文后, 获取所述 FTP用户对应的授权属性;

登录模块, 其设置为根据所述授权属性建立访问控制表, 进行 FTP用户 登录。

上述 FTP服务器还可具有下面特点:

所述获取模块, 是设置为从所述报文中获取所述 FTP用户对应的授权属 性的。

上述 FTP服务器还具有下面特点:

所述获取模块是设置为: 若判断所述报文未携带所述 FTP用户对应的授 权属性, 则从本地备份的授权属性中获取与所述 FTP用户对应的授权属性。

为了解决上述问题,本发明实施例还提供了一 种数据设备,包括上述 FTP 服务器。

其中, 所述数据设备为路由器、 交换机或分组传送网设备。

综上, 本发明实施例提供的一种管理 FTP用户的方法、 FTP用户登录的 方法及 AAA服务器、 FTP服务器及数据设备, 可以集中管理 FTP用户。 附图概述

图 1为本发明实施例的 AAA服务器的示意图。

图 2为本发明实施例的 FTP服务器的示意图。

图 3是本发明实施例的 AAA服务器管理 FTP用户的方法的流程图。 图 4是本发明实施例的 FTP用户登录的方法的流程图。

图 5是本发明应用示例一的流程图。

图 6是本发明应用示例二的流程图。 图 7是本发明应用示例三的流程图。 本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细 说明。 需要说明的是, 在 不冲突的情况下, 本申请中的实施例及实施例中的特征可以相互 任意组合。

为了更好地理解本发明, 下面结合附图和具体实施例对本发明的实施例 作进一步地描述。

图 1为本发明实施例的 AAA服务器的示意图,如图 1所示, 本实施例的 AAA服务器包括:

配置模块, 用于配置 FTP用户账号;

认证和授权模块, 用于接收到数据设备发送的 FTP用户的认证信息后, 根据所述配置模块配置的 FTP用户账号进行认证和授权。

其中,所述配置模块,还用于配置与所述 FTP用户账号对应的授权属性; 所述认证和授权模块, 还用于在认证和授权都通过的情况下, 向所述数 据设备发送授权结果, 所述授权结果携带与所述 FTP用户账号对应的授权属 性。

本实施例中, AAA服务器是用来做用户认证、 授权的服务器, 一般是 RADIUS服务器或 TACACS+服务器, 这里统称为 AAA服务器。 在 AAA服 务器上扩展支持授权属性 FTP-directory, 用于定义 FTP用户登录后的 FTP根 目录和访问权限。

图 2为本发明实施例的 FTP服务器的示意图, 如图 2所示, 本实施例的 FTP服务器包括:

信息发送模块, 用于接收到 FTP用户的认证信息后, 将所述认证信息发 送给 AAA服务器进行认证和授权;

获取模块,用于接收到所述 AAA服务器返回的授权成功的报文后,获取 所述 FTP用户对应的授权属性;

登录模块,用于根据所述授权属性建立访问控 制表,进行 FTP用户登录。 在一优选实施例中, 所述获取模块是从所述报文中获取所述 FTP用户对 应的授权属性的。

在一优选实施例中, 所述获取模块若判断所述报文未携带所述 FTP用户 对应的授权属性, 则从本地备份的授权属性中获取与所述 FTP用户对应的授 权属性。

本发明实施例还提供一种数据设备, 包括上述的 FTP服务器。

其中, 所述数据设备可以是路由器、 交换机或分组传送网设备等。

本发明实施例中, 为 RADIUS服务器或 TACACS+服务器增加新的授权 属性 FTP-directory ( FTP根目录) , 用于给用户账号指定 FTP根目录及其权 限,当釆用远程集中安全管理时, FTP用户通过 RADIUS服务器或 TACACS+ 服务器认证 /授权后获得 FTP根目录和权限,从而将 FTP权限也纳入远程集中 管理。

图 3是本发明实施例的 AAA服务器管理 FTP用户的方法的流程图, 如 图 3所示, 本实施例的方法包括下面步骤:

Sl l、 AAA服务器接收数据设备发送的 FTP用户的认证信息;

S12、 根据预设的 FTP用户账号对所述认证信息进行认证和授权。

图 4是本发明实施例的 FTP用户登录的方法的流程图, 如图 4所示, 本 实施例的方法包括下面步骤:

S21、 FTP服务器接收到 FTP用户的认证信息后,将所述认证信息发送给 AAA服务器进行认证和授权;

522、 接收到认证和授权成功的报文后, 获取与所述 FTP用户对应的授 权属性;

523、 根据所述授权属性建立访问控制表, 进行 FTP用户登录。

这样, 可以通过 AAA服务器对 FTP用户进行集中的管理, 可以增强系 统灵活性。

本发明实施例提供的方法是在 AAA服务器上设置 FTP用户登录账号, 可以给该用户账号定义 FTP-directory属性, 形式可以为: FTP-directory= "rw: /datadiskO/log/"

其中, "r" 、 "w" 分别表示读、 写权限, 权限可扩展, 不限于这两种; "/datadiskO/log/" 表示登录后的根目录。

在数据设备上, 设置 FTP用户釆用远程认证方式。 当 FTP用户登录时, 数据设备将 FTP用户认证信息发送到 AAA服务器, AAA服务器认证成功后 携带授权属性给设备侧, 授权属性中携带 FTP-directory, 设备收到 AAA服务 器的认证结果和授权属性后, 为该用户创建访问控制表, FTP登录成功。 之 后, 用户的操作权限将被限制在 FTP-directory定义的范围之内。

下面以几个应用示例对本发明实施例的方法进 行详细的说明。

应用示例一, 釆用 RADIUS服务器进行 FTP登录认证, 如图 5所示, 包 括以下步骤:

步骤 101 : 在 RADIUS服务器上配置 FTP用户账号, 并为该账号设置授 权属性(FTP-directory ) ;

步骤 102: 数据设备开启 FTP服务器, 并配置使用远程 RADIUS服务器 认证;

步骤 103: 访问 FTP服务器;

步骤 104: FTP服务器接收到 FTP用户认证信息后, 发给 RADIUS服务 器认证;

步骤 105: RADIUS服务器收到 FTP用户认证信息进行认证及授权, 若 授权成功, 则向 FTP服务器回复的应答报文携带授权属性, 转向步骤 106, 若授权失败, 则转向步骤 107;

步骤 106: FTP服务器接收到应答报文后解析授权属性, 为 FTP用户建 立访问控制表, 进行 FTP用户登录;

步骤 107: 禁止 FTP用户登录。

应用示例二, 釆用 TACACS+服务器进行 FTP登录认证, 如图 6所示, 包括以下步骤: 步骤 201 : 在 TACACS+服务器上设置 FTP用户账号, 并为该 FTP用户 账号设置授权属性( FTP-directory ) ;

步骤 202:数据设备侧使能 FTP服务器,设置 FTP用户登录釆用 TACACS+ 服务器认证、 授权;

步骤 203: 访问 FTP服务器;

步骤 204: FTP服务器接收到 FTP用户认证信息后, 将认证信息发给 TACACS+服务器认证;

步骤 205: TACACS+服务器接收到认证信息后, 进行验证, 向 FTP服务 器返回认证应答报文;

步骤 206: FTP服务器接收到认证应答报文, 若认证失败, 则转向步骤

207; 若认证成功, 则转向步骤 208;

步骤 207: FTP服务器禁止 FTP用户登录, 结束;

步骤 208: FTP服务器接收到认证成功的认证应答报文,则 发起 TACACS+ 授权请求;

步骤 209: TACACS+服务器进行授权, 并返回给 FTP服务器授权应答报 文;

步骤 210: FTP服务器若接收到授权失败的授权应答报文, 则转向步骤

207;

步骤 211 : FTP服务器若接收到授权成功的授权应答报文, 则解析授权应 答报文携带的授权属性, 为 FTP用户建立访问控制表, 进行 FTP用户登录。

因为, FTP-directory不是标准属性, 当 AAA服务器不支持设置私有属性 时, FTP用户认证、 授权可以走 AAA服务器, 而目录权限设置可以仍配置 在设备上并作为后备方式进行授权, 当服务器上授权成功但不携带 FTP-directory属性时 , 就使用设备侧对应账号的 FTP-directory设置, 以增强 集中安全的灵活性。

应用示例三, 如图 7所示, 包括以下步骤:

步骤 301 : 在 AAA服务器上设置 FTP用户账号和相关属性; 步骤 302: 设备侧使能 FTP服务器, 设置 FTP用户登录釆用 AAA认证 / 授权;

步骤 303: 设备侧配置相同的 FTP用户账号, 为该 FTP用户账号设置授 权属性,例如 FTP根目录和访问权限, 并设置此授权属性为 standby (备用 ); 步骤 304: 访问 FTP服务器;

步骤 305: FTP服务器将 FTP用户认证信息发给 AAA服务器进行认证、 授权;

步骤 306: AAA服务器接收到认证信息后, 进行认证及授权, 将授权结 果返回给 FTP服务器;

步骤 307: FTP服务器若接收到授权失败的授权结果, 则禁止 FTP用户 登录, 结束;

步骤 308: FTP服务器若接收到授权成功的授权结果,则判 断该授权结果 是否携带授权属性 FTP-directory, 若不携带, 则转向步骤 309, 若携带, 则转 向步骤 310;

步骤 309:获取本地设备侧为该 FTP用户账号设置的备用的 FTP-directory 授权属性, 为该 FTP用户建立访问控制表, 进行 FTP用户登录;

步骤 310: 根据授权结果携带的 FTP-directory授权属性为该 FTP用户建 立访问控制表, 进行 FTP用户登录。

对于 TACACS+服务器, 设备侧发出授权请求后, TACACS+服务器端应 答授权报文时将携带 FTP-directory属性及其值, 设备侧的 TACACS+客户端 解析此 FTP-directory属性。 具体的 TACACS+服务器实现各异, 不局限于此。

对于 RADIUS 服务器, 一般都支持厂商自定义的授权属性, 把 FTP-directory属性自定义到 RADIUS服务器中即可, 这里不再说明。

其次, 在设备侧 RADIUS 客户端和 TACACS+客户端都必须能够解析

FTP-directory属性。 FTP用户接入时, 认证和授权请求由 FTP服务器发起, AAA服务器将认证 /授权结果以及授权属性值对返回给 FTP服务器, FTP服 务器根据授权属性给 FTP用户建立访问控制表, FTP的任何操作都要到 FTP 服务器授权, 通过授权的操作才被允许。

本地 FTP备份授权由 FTP服务器实现, 若 AAA服务器返回授权成功, 但未带有属性 FTP-directory, 配置又指定了本地属性作为备份, 则 FTP服务 器通过用户名获取本地设置的 FTP-directory建立访问控制表。 本地备份授权 的 FTP设置如下示:

Router(config)#username ftp

Router (config-user-ftp)#ftp-directory /datadiskO/log/ rw standby

Router (config-user-ftp)#

其中 standby表示进行备份。

本发明实施例提供的技术方案把 FTP用户认证和授权也纳入了集中安全 管理的范围, 至此实现了数据设备所有管理账号的集中认证 授权, 为权限管 理带来了很大便利。 因为, FTP-directory属性为私有扩展属性, 可能受制于 现有 AAA服务器的特性无法扩展, 所以也提供了设备侧配置 FTP 目录的备 份机制, 增加了部署灵活性。

本领域普通技术人员可以理解上述方法中的 全部或部分步骤可通过程序 指令及相关硬件完成, 所述程序可以存储于计算机可读存储介质中, 如只读 存储器、 磁盘或光盘等。 可选地, 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地, 上述实施例中的各模块 /单元可以釆用 硬件的形式实现, 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。

以上仅为本发明的优选实施例, 当然, 本发明还可有其他多种实施例, 在不背离本发明精神及其实质的情况下, 熟悉本领域的技术人员当可根据本 发明作出各种相应的改变和变形, 但这些相应的改变和变形都应属于本发明 所附的权利要求的保护范围。

工业实用性 本发明实施例提供的一种管理 FTP用户的方法、 FTP用户登录的方法及 AAA服务器、 FTP服务器及数据设备, 可以集中管理 FTP用户。