[发明专利]一种网络设备差异化授权的方法及系统

权利要求书

1.一种网络设备差异化授权的方法，其特征在于，该方法包括：

确定认证通过后，网络设备通过终端访问控制器访问控制系统TACACS服务器对用户进行授权，并根据授权结果为用户开放相应权限。

2.根据权利要求1所述的方法，其特征在于，所述确定认证通过包括：

TACACS服务器读取网络设备发送的认证请求中的用户信息，与本地保存的用户信息比较，确定两者相同时，再根据认证请求中的设备地址，查询本地预存的所述用户信息对应的用户权限，确定设备地址不属于用户权限中的拒绝Refuse权限，则确定认证通过。

3.根据权利要求1或2所述的方法，其特征在于，所述通过TACACS服务器对用户进行授权包括：

网络设备确定认证通过，向TACACS服务器发送包含用户信息以及设备地址的授权请求；

或者，用户在网络设备上执行命令，网络设备向TACACS服务器发送包含用户信息、设备地址以及命令的授权请求。

4.根据权利要求3所述的方法，其特征在于，所述TACACS服务器对用户进行授权包括：

TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，获取所述设备组对应的权限列表中的权限命令集，发送给网络设备；

或者，TACACS服务器根据网络设备发送的授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，确定授权请求中的命令，与所述设备组对应的权限列表中的权限命令集中任意一个权限命令相符，则授权通过。

5.一种网络设备差异化授权的系统，其特征在于，该系统包括：信息输入模块、认证授权模块；

信息输入模块，用于根据用户输入的用户信息，通过认证授权模块确定认证通过，并通过认证授权模块对用户进行授权；

认证授权模块，用于确定认证通过，返回认证响应给网络设备；对用户进行授权，将授权结果返回给网络设备。

6.根据权利要求5所述的系统，其特征在于，该系统进一步包括配置模块；

配置模块，用于配置用户权限；

相应的，认证授权模块，具体用于读取信息输入模块发送的认证请求中的用户信息，与配置模块中的用户信息比较，确定两者相符时，再根据认证请求中的设备地址，查询配置模块中所述用户信息对应的用户权限，确定设备地址不属于用户权限中的Refuse权限，则确定认证通过。

7.根据权利要求5或6所述的系统，其特征在于，

信息输入模块，具体用于接收认证授权模块返的认证响应，向认证授权模块发送包含用户信息及设备地址的授权请求；或者，用户执行命令，向认证授权模块发送包含用户信息、设备地址以及命令的授权请求。

8.根据权利要求7所述的系统，其特征在于，

认证授权模块，具体用于根据授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，获取所述设备组对应的权限列表中的权限命令集，发送给网络设备；

或者，根据授权请求中的设备地址及用户信息，查询用户信息对应的用户权限中，设备地址所在的设备组，若授权请求中的命令与所述设备组对应的权限列表中的权限命令集中任意一个权限命令相符，则将授权通过响应发送给网络设备。