网络设备管理方法、装置及计算机可读存储介质与流程

1.本发明是有关于通信技术领域，尤其涉及一种网络设备管理方法、装置及计算机可读存储介质。


背景技术：

2.目前的通信系统中，对于网络设备的管理方法通常有两种。
3.一种为管理人员使用各个网络设备的账号、密码，直接登录相应的网络设备，并执行管理操作。然而此种管理方法的账号及密码容易泄露、风险较高，且一旦泄露，影响范围大。若有多个管理人员，由于多个管理人员皆使用相同的账号及密码，会造成无法有效控制和区别每一个管理人员是否能够分别管理各自的不同网络设备。且不同网络设备在进行审计时，无法制定统一的访问审计策略，难以及时发现违规的操作行为，并对其进行追查取证。
4.另一种为管理人员使用堡垒机的账号及密码先登录堡垒机，再经由堡垒机登录到欲管理的网络设备。免密登录网络设备是堡垒机的一个非常重要的功能，管理人员可以通过堡垒机预设密码，实现免密登录到网络设备。然而此种管理方法会使得堡垒机存储有所有网络设备的账号及密码，一旦受到黑客攻击，则网络设备密码的泄露风险很大。若将堡垒机对网络设备的静态分配授权给对应的管理人员，一旦堡垒机的密码遭泄露或被窃取，则堡垒机所连接的网络设备将有被攻破的安全隐患。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种网络设备管理方法、装置及计算机可读存储介质，透过验证及授权流程改变，限制用户账号需经过二次授权才具有管理网络设备的功能，提高网络设备管理的安全性。
6.本发明一实施例提供一种网络设备管理方法，所述方法应用于网络设备管理装置，所述网络设备管理装置存储有与所述网络设备管理装置通信连接的所有网络设备的网络设备列表，所述网络设备管理装置还存储有用户账号列表，所述方法包括：接收来自客户端的登录请求，所述登录请求包括登录信息，其中，所述登录信息包括用户账号及客户端信息；判断所述用户账号是否存在于所述用户账号列表中；若判断所述用户账号不存在于所述用户账号列表中，拒绝所述客户端的登录请求；若判断所述用户账号存在于所述用户账号列表中，判断所述客户端是否为可信任的客户端；若判断所述客户端非为可信任的客户端，则对所述客户端进行信任验证，并判断所述客户端是否通过信任验证；若判断所述客户端通过信任验证，传送随机产生的唯一验证字符串至所述客户端，存储所述唯一验证字符串与所述客户端信息至所述用户账号列表作为所述用户账号的绑定信息，以及致能所述客户端对有权限管理的网络设备的管理功能；若判断所述客户端未通过信任验证，标示所述登录请求为异常登录并进行异常登录处理；若判断所述客户端为可信任的客户端，根据预设的自动登录验证方对所述客户端进行自动登录验证；若判断所述客户端未通过自动登录
验证，标示所述登录请求为异常登录并进行异常登录处理；以及若判断所述客户端通过自动登录验证，致能所述客户端对有权限管理的网络设备的管理功能。
7.本发明一实施例还提供了一种网络设备管理装置，其特征在于，所述网络设备管理装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述存储器还存储有用户账号列表，以及与所述网络设备管理装置通信连接的所有网络设备的网络设备列表，所述计算机程序被所述处理器执行时实现上述网络设备管理方法的步骤。
8.本发明一实施例还提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述网络设备管理方法的步骤。
附图说明
9.图1为根据本发明一实施例的网络设备管理装置的应用环境示意图。
10.图2为根据本发明一实施例的网络设备管理方法的流程图。
11.图3为根据本发明另一实施例的网络设备管理方法的流程图。
12.图4为根据本发明另一实施例的网络设备管理方法的流程图。
13.图5为根据本发明一实施例的网络设备管理装置的方块图。
14.主要元件符号说明
[0015][0016]
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
[0017]
为了便于本发明技术领域的技术人员理解和实施本发明，下面结合附图与实施例对本发明进一步的详细描述，应当理解，本发明提供许多可供应用的发明概念，其可以多种特定型式实施。本发明技术领域的技术人员可利用这些实施例或其他实施例所描述的细节及其他可以利用的结构，逻辑和电性变化，在没有离开本发明的精神与范围之下以实施发明。
[0018]
本发明说明书提供不同的实施例来说明本发明不同实施方式的技术特征。其中，实施例中的各组件的配置是为说明之用，并非用以限制本发明。且实施例中图式标号的部
分重复，是为了简化说明，并非意指不同实施例之间的关联性。其中，图示和说明书中使用的相同的组件编号表示相同或类似的组件。本说明书的图示为简化的形式且并未以精确比例绘制。
[0019]
再者，在说明本发明一些实施例中，说明书以特定步骤顺序说明本发明的方法以及(或)程序。然而，由于方法以及程序并未必然根据所述的特定步骤顺序实施，因此并未受限于所述的特定步骤顺序。本发明技术领域的技术人员可知其他顺序也为可能的实施方式。因此，于说明书所述的特定步骤顺序并未用来限定申请专利范围。再者，本发明针对方法以及(或)程序的申请专利范围并未受限于其撰写的执行步骤顺序，且本发明技术领域的技术人员可了解调整执行步骤顺序并未跳脱本发明的精神以及范围。
[0020]
除非另有定义，本文所使用的所有的技术和科学术语与属于本发明技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。下面结合附图，对本发明的一些实施方式作详细说明。
[0021]
请参阅图1，所示为本发明一实施例的网络设备管理装置100的应用环境示意图。如图1所示，所述网络设备管理装置100与至少一个网络设备110通信连接，用户通过客户端120建立与所述网络设备管理装置100的通信连接，由该网络设备管理装置100审核该客户端120是否具有管理所述网络设备110的权限，并在该客户端120具有权限时，允许该客户端120经由所述网络设备管理装置100管理所述网络设备110。根据本发明实施例，所述网络设备管理装置100可以是跳板机、堡垒机或其它可连接并管理网络设备110的计算机装置。所述客户端120可以是个人计算机、平板计算机、智能型手机等计算机装置。所述网络设备管理装置100的装置管理员可以是运维人员、开发人员、系统管理员等。
[0022]
在一实施例中，所述网络设备管理装置100上运行有后台管理系统，装置管理员可以经由后台管理系统预先设置授权规则。具体地，装置管理员可以经由后台管理系统预先创建角色配置文件，每一个角色可以配置一个或多个不同权限。装置管理员还可以经由后台管理系统预先创建用户账号列表以及网络设备列表。在本实施例中，用户账号是装置管理员为每一个用户配置的个人账号，当添加用户账号至用户账号列表时，根据该用户的工作职责和所属项目对该用户账号添加标签，并根据该用户的实际需要为该用户账号分配角色配置文件中的某一角色。当添加所述网络设备110至网络设备列表时，根据所述网络设备110的用途和所属项目对所述网络设备添加标签。在本实施例中，所述标签为项目标签，但在不同实施例中，所述标签也可以是其它可用于将用户和网络设备进行分群管理或权限管理的标示。在实际应用中，所述网络设备管理装置100根据该用户账号的角色及角色配置文件中角色对应的权限对该用户账号进行权限授权，当装置管理员欲更改授权规则时，可直接更改角色配置文件中角色对应的权限，以调整该用户账号的授权结果。
[0023]
在一实施例中，当添加网络设备110时，装置管理员首先为所述网络设备管理装置100与所述网络设备110建立有线或无线的实体连接，并添加所述网络设备110至网络设备列表。此时，所述网络设备管理装置100与所述网络设备110间的连接称为影子连接，装置管理员经由所述网络设备管理装置100并不能对所述网络设备110进行管理，仅能对所述网络设备110进行心跳检测。在本实施例中，装置管理员可经由后台管理系统对所述网络设备110进行心跳检测，所述网络设备管理装置100发送心跳包至所述网络设备110，并通过是否
能接收到所述网络设备110发送的心跳应答以判断所述网络设备是否可用，其中，所述心跳包及心跳应答均为预先定义格式的数据包。在不同的实施例中，所述网络设备管理装置100也可以定时对已建立影子连接的网络设备110进行心跳检测。
[0024]
在一实施例中，所述网络设备管理装置100根据标签匹配用户账号和网络设备，并根据预设的授权规则，亦即角色配置文件，进行用户权限授权。该授权为一次授权，又称为影子授权，对用户而言为不可见授权，在此阶段，用户并无管理匹配的网络设备的权限。
[0025]
在一实施例中，用户在所述客户端120输入用户账号进行登录，所述网络设备管理装置100接收来自所述客户端120的用户账号，判断接收到的用户账号是否存在于用户账号列表。若判断接收到的用户账号不存在于用户账号列表，则拒绝所述客户端120的登录请求。若判断接收到的用户账号存在于用户账号列表，则接受所述客户端120的登录请求，并进一步根据用户账号列表中该用户账号的标签及网络设备列表中的各网络设备的标签，匹配用户账号与网络设备，确定该用户账号可管理的一个或多个网络设备。所述网络设备管理装置100还根据用户账号列表中该用户账号的角色及角色配置文件中该角色对应的一个或多个权限，为所述客户端120进行自动授权。此授权为一次授权，又称为影子授权，对用户而言为不可见授权，此时用户并无管理匹配的网络设备的实际权限。在不同实施例中，所述用户进行登录操作时，可同时采用短信验证、多重要素验证(multi-factor authentication，称为mfa)或oauth登录等方式进行身分验证。
[0026]
在一实施例中，所述网络设备管理装置100接着对登录后的客户端120进行信任验证。具体地，信任验证方式可以是预设的验证方式，或是经由装置管理员验证，或其它策略方式验证。例如，预设的验证方式可以是经由第三方验证机构对该用户进行验证。所述网络装置管理员100对通过信任验证的客户端120，下发随机产生且与用户账号绑定的唯一验证字符串，并且记录所述客户端120的ip地址、地理位置、浏览器信息或其它可用以识别客户端的客户端信息，与用户账号进行绑定，作为用户后续登录的自动验证方式。在一实施例中，用户可经由客户端120设定日后登录时输入所述唯一验证字符串进行验证、或使用客户端信息自动比对验证、或以唯一验证字符串以及客户端信息进行组合验证，其中，所述唯一验证字符串可定期更新下发客户端或是经由装置管理员不定期配置更新下发客户端。
[0027]
未通过信任验证的客户端120仅取得一次授权，亦即影子授权，用户无权实际管理网络设备110。
[0028]
所述网络设备管理装置100对通过信任验证的客户端120进行二次授权，又称为临时授权，触发客户端120与所述网络设备100的连接，此时，用户才拥有权限实际管理匹配的一个或多个网络设备110。当用户在所述网络设备管理装置100登出，所述网络设备管理装置100断开与所述客户端120间的连接，并断开为所述客户端120建立的与所述网络设备110间的连接，仅为该用户账号保留一次授权(影子授权)。
[0029]
在一实施例中，所述网络设备管理装置100对已连接的所有网络设备110的设备信息，例如ip地址、账号密码等，均进行加密处理。
[0030]
在一实施例中，为了保证所述网络设备管理装置100的高可用性，客户端120可以在受管理的网络设备110上添加访问白名单，仅允许包含所述网络设备管理装置100在内的少数可信服务器与所述管理设备110进行通信连接，以提高安全性。
[0031]
请参阅图2，所示为本发明一实施例的网络设备管理方法的流程图，所述方法应用
在所述网络设备管理装置100中，具体流程和步骤如下:
[0032]
步骤s202，接收到来自客户端的登录请求，所述登录请求包括登录信息，其中，所述登录信息包括用户账号、客户端信息。其中，所述客户端信息包括ip地址、地理位置及浏览器信息。
[0033]
步骤s204，判断接收到的用户账号是否存在于已存储的用户账号列表。若判断接收到的用户账号不存在于已存储的用户账号列表，执行步骤s205；若判断接收到的用户账号存在于已存储的用户账号列表，执行步骤s206。
[0034]
步骤s205，因接收到的用户账号不存在于已存储的用户账号列表，因此，拒绝该客户端登录。
[0035]
步骤s206，判断该客户端是否为可信任的客户端。在一实施例中，若该客户端曾经通过信任验证，判断该客户端为可信任的客户端；若该客户端未曾通过信任验证，判断该客户端非为可信任的客户端。在一实施例中，若该客户端曾经通过信任验证，则在所述用户账号列表中，将对应的用户账号标示为可信任。若该客户端非为可信任的客户端，执行步骤s208；若该客户端为可信任的客户端，执行步骤s214。
[0036]
步骤s208，为该客户端进行信任验证，并判断该客户端是否通过信任验证。在一实施例中，信任验证方式可以是预设的验证方式，或是经由装置管理员验证，或其它策略方式验证。例如，预设的验证方式可以是经由第三方验证机构对该用户进行验证。若判断该客户端通过信任验证，执行步骤s210。若该客户端未通过信任验证，执行步骤s212。
[0037]
步骤s210，因为该客户端已通过信任验证，为可信任的客户端，因此，开始为该可信任的客户端，设置日后登录的自动登录验证方式。在本实施例中，所述网络设备管理装置100下发随机产生且与用户账号绑定的唯一验证字符串至所述客户端，并且存储所述客户端的登录信息中的客户端信息，其中，所述客户端信息包括所述客户端的ip地址、地理位置、浏览器信息或其它可用以识别客户端的客户端信息。所述客户端接收到所述唯一验证字符串后，可通知用户选择自动验证方法，并回传用户所选择的自动验证方法至所述网络设备管理装置100，以完成自动登录验证的设置。在一实施例中，所述网络设备管理装置100可以将该用户账号绑定的唯一验证字符串、该用户账号对应的客户端信息、该用户账号回传的自动登录验证方式存储至用户账号列表中。在一实施例中，自动登录验证方式包括比对客户端输入的字符串是否与该用户账号绑定的唯一验证字符串相匹配、比对客户端信息是否与该用户账号绑定的客户端信息相匹配、以及唯一验证字符串及客户端信息皆进行比对。
[0038]
步骤s212，该客户端发送的用户账号确实存在，但却未曾通过信任验证，进行信任验证后也未通过，因此，所述网络设备管理装置100标示该客户端的该次登录为异常登录，并进行异常登录处理。在一实施例中，异常登录处理可以包含通知装置管理员及/或输出报警信息。
[0039]
步骤s214，该客户端为可信任的客户端，因此，所述网络设备管理装置100根据该用户账号的自动登录验证方式进行自动登录验证。若未通过自动登录验证，代表该客户端为可信任的客户端，但所发送的验证字符串却与唯一的验证字符串不匹配及/或客户端信息与已存储的客户端信息不匹配，存在异常情形，因此，所述网络设备管理装置100将客户端此次登录标示为异常登录，并执行步骤s212。若通过自动登录验证，则继续执行步骤
s216。
[0040]
步骤s216，用户登录成功，对该用户账号进行二次授权，致能该用户账号的网络设备管理功能。
[0041]
请参阅图3，所示为本发明另一实施例的网络设备管理方法的流程图，所述方法应用在所述网络设备管理装置100。在本实施例中，图3所示的方法步骤可以执行在图2所示的方法步骤之前，图3所示的具体流程和步骤如下:
[0042]
步骤s302，添加新的网络设备至网络设备列表，并根据该网络设备的用途和所属项目为该网络设备添加标签。
[0043]
步骤s304，为新的用户添加对应的用户账号至用户账号列表，并根据该用户的工作职责和所属项目为该用户账号添加标签。
[0044]
步骤s306，基于标签匹配，判断该用户账号的标签是否与至少一个网络设备的标签匹配。若该用户账号的标签与至少一个网络设备的标签匹配，执行步骤s308；若该用户账号的标签与网络设备列表中的所有网络设备的标签皆不匹配，执行步骤s310。
[0045]
步骤s308，根据预设的授权规则，为该用户账号进行一次授权，建立该用户账号与至少一个网络设备的权限关联关系，同时禁能该用户账号的网络设备管理功能。在一实施例中，预设的授权规则可以是预设的角色配置文件，角色配置文件中每一个角色皆配置有一个或多个不同权限。当添加用户账号至所述用户账号列表时，同时为该用户账号分配角色，以经由角色权限、标签匹配等对应关系设置该用户账号的相应权限。
[0046]
步骤s310，该用户账号并无匹配的网络设备，代表该用户账号没有可管理的网络设备，通知装置管理员，使装置管理员可以进行后续处理。
[0047]
请参阅图4，所示为本发明另一实施例的网络设备管理方法的流程图，所述方法应用在所述网络设备管理装置100。在本实施例中，图4所示的方法步骤可以执行在所示的方法步骤之后，图4所示的具体流程和步骤如下:
[0048]
步骤s402，接收到客户端发出的用户账号登出操作。
[0049]
步骤s404，为该用户账号维持一次授权状态，亦即，保持该用户账号与至少一个网络设备的权限关联关系，同时禁能该用户账号的网络设备管理功能。
[0050]
步骤s406，断开与该客户端间的连接。
[0051]
请参阅图5，所示为本发明一实施例的网络设备管理装置100的方块图。所述网络设备管理装置100包含处理器102及存储器104。存储器104上存储有可在处理器102上运行的计算机程序，该计算机程序在被处理器102执行时可实现如上述实施例所描述的各步骤。
[0052]
在一实施例中，所述处理器102可以是中央处理器(central processing unit,cpu)、控制器、微控制器、微处理器或其他数据处理芯片，用于运行存储器120中存储的程序代码或处理数据，例如计算机程序等。
[0053]
所述存储器104至少包括一种类型的计算机可读存储介质，计算机可读存储介质包括闪存、硬盘、卡型存储器(例如，sd或dx存储器等)、磁性存储器、磁盘、光盘等。在一实施例中，所述存储器104可以是所述网络设备管理装置100的内部存储单元，例如所述网络设备管理装置100的硬盘。在另一实施例中，所述存储器104也可以是所述网络设备管理装置100的外部存储设备，例如所述网络设备管理装置上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。
[0054]
进一步地，所述存储器104还可以同时由内部存储单元和外部存储设备同时组成。进一步地，所述存储器104不仅可以用于存储运行于所述网络设备管理装置100中的各种应用软件和各类数据包括角色配置文件、用户账号列表以及网络设备列表，还可以用于暂时地存储已经输出或者将要输出的数据。
[0055]
在一实施例中，还可以使用一种计算机可读存储介质，用于存储计算机程序，所述程序被例如处理器102执行时可以实现上述任意一个实施例中所述方法的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行所述方法部分中描述的根据本发明各种示例性实施方式的步骤。
[0056]
总结来说，本发明的网络设备管理方法、装置及计算机可读存储介质可以依据配置的标签自动匹配用户账号和网络设备，并依据预设的授权规则进行一次授权，减少装置管理员手动配置步骤。针对一次授权的客户端，进行信任验证及二次授权，仅对二次授权后的客户端进行连接，致能网络设备管理功能，增强了网络设备管理的安全性。
[0057]
值得注意的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。