CN113660283A - 一种合法性认证方法以及装置 - Google Patents
一种合法性认证方法以及装置 Download PDFInfo
- Publication number
- CN113660283A CN113660283A CN202110983607.6A CN202110983607A CN113660283A CN 113660283 A CN113660283 A CN 113660283A CN 202110983607 A CN202110983607 A CN 202110983607A CN 113660283 A CN113660283 A CN 113660283A
- Authority
- CN
- China
- Prior art keywords
- authentication
- information
- authenticated
- configuration
- bmc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012545 processing Methods 0.000 claims description 9
- 241001290266 Sciaenops ocellatus Species 0.000 claims description 8
- 230000014759 maintenance of location Effects 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims 1
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种合法性认证方法以及装置,涉及通信技术领域。一种合法性认证方法,应用于服务器中的BMC,包括:接收客户端所发送的指令报文,其中,指令报文包括待认证信息和操作指令,待认证信息包括客户端的地址信息以及用户信息;将待认证信息发送至认证服务器,以使认证服务器根据所记录的认证配置对待认证信息进行合法性认证;若确认通过认证,则执行指令报文中的操作指令;若确定未通过认证,则丢弃指令报文。通过上述方法,能够提升服务器进行运维的效率。
Description
技术领域
本说明书涉及通信技术领域,尤其涉及一种合法性认证方法以及装置。
背景技术
随着网络的普及,用于承载服务的运行和数据存储的服务器应用也愈加广泛。为了实现对于服务器的监测和管理,在服务器中设置有BMC(基板管理控制器,BaseboardManagement Controller),对服务器中的各类器件以及服务器中所安装的系统进行监控。
为了提升针对服务器进行管理的安全性,需要在BMC中预先配置用户信息,以实现针对用户访问BMC的合法性认证。这样一来,需要用户逐一地对每一台服务器中的BMC进行配置,从而降低了对服务器进行运维的效率。
发明内容
为克服相关技术中存在的问题,本说明书提供了一种合法性认证方法以及装置。
结合本说明书实施方式的第一方面,本申请提供了一种合法性认证方法,应用于服务器中的BMC,包括:
接收客户端所发送的指令报文,其中,指令报文包括待认证信息和操作指令,待认证信息包括客户端的地址信息以及用户信息;
将待认证信息发送至认证服务器,以使认证服务器根据所记录的认证配置对待认证信息进行合法性认证;
若确认通过认证,则执行指令报文中的操作指令;
若确定未通过认证,则丢弃指令报文。
可选的,认证配置中包含有用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
将待认证信息发送至认证服务器,包括:
判断待认证信息是否命中本地配置,其中,本地配置中记录有已通过认证的、用户信息和客户端的地址信息之间的第三对应关系以及已通过认证的用户信息和操作权限之间的第四对应关系;
若未命中本地配置,则将待认证信息发送至认证服务器;
若命中本地配置,则执行指令报文中的操作指令;
在若确认通过认证之后,还包括:
在本地配置中根据待认证信息和对应的操作权限更新第三对应关系和/或第四对应关系。
可选的,第三对应关系和/或第四对应关系中还记录有保持时间;
该方法,还包括:
若所计时超出保持时间,则从第三对应关系和/或第四对应关系中清除超时的对应项。
可选的,接收指令报文的接口为Redfish接口或IPMI接口。
结合本说明书实施方式的第二方面,本申请提供了一种合法性认证方法,应用于认证服务器,包括:
接收服务器的BMC所发送的待认证信息,其中,待认证信息包括客户端的地址信息以及用户信息;
判断待认证信息是否命中所记录的认证配置;
若命中所记录的认证配置,则告知BMC通过认证,以使BMC执行指令报文中所携带的操作指令;
若未命中所记录的认证配置,则告知BMC未通过认证,以使BMC丢弃指令报文。
可选的,认证配置中包含有用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
判断待认证信息是否命中所记录的认证配置,包括:
判断待认证信息中所携带的、客户端的地址信息与用户信息是否命中认证配置中的第一对应关系;
判断待认证信息中所携带的用户信息和操作指令是否命中认证配置中的第二对应关系;
其中,命中所记录的认证配置为基于待认证信息和操作指令分别命中第一对应关系和第二对应关系,未命中所记录的认证配置为基于待认证信息和操作指令未命中第一对应关系和/或第二对应关系。
结合本说明书实施方式的第三方面,本申请提供了一种合法性认证装置,应用于服务器中的BMC,包括:
接收单元,用于接收客户端所发送的指令报文,其中,指令报文包括待认证信息和操作指令,待认证信息包括客户端的地址信息以及用户信息;
发送单元,用于将待认证信息发送至认证服务器,以使认证服务器根据所记录的认证配置对待认证信息进行合法性认证;
处理单元,用于若确认通过认证,则执行指令报文中的操作指令;若确定未通过认证,则丢弃指令报文。
可选的,认证配置中包含有用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
发送单元,包括:
判断模块,用于判断待认证信息是否命中本地配置,其中,本地配置中包含有已通过认证的、用户信息和客户端的地址信息之间的第三对应关系以及已通过认证的用户信息和操作权限之间的第四对应关系;若未命中本地配置,则将待认证信息发送至认证服务器;若命中本地配置,则执行指令报文中的操作指令;
该装置,还包括:
记录单元,用于在本地配置中根据待认证信息和对应的操作权限更新第三对应关系和/或第四对应关系。
进一步的,第三对应关系和/或中还记录有保持时间;
该装置,还包括:
清除单元,用于若所计时超出保持时间,则从第三对应关系和/或第四对应关系中清除超时的对应项。
可选的,接收指令报文的接口为Redfish接口或IPMI接口。
结合本说明书实施方式的第四方面,本申请提供了一种合法性认证装置,应用于认证服务器,包括:
接收单元,用于接收服务器的BMC所发送的待认证信息,其中,待认证信息包括客户端的地址信息以及用户信息;
判断单元,用于判断待认证信息是否命中所记录的认证配置;
通告单元,用于若命中所记录的认证配置,则告知BMC通过认证,以使BMC执行指令报文中所携带的操作指令;若未命中所记录的认证配置,则告知BMC未通过认证,以使BMC丢弃指令报文。
可选的,认证配置中包含有用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
判断单元,包括:
用户判断模块,用于判断待认证信息中所携带的、客户端的地址信息与用户信息是否命中认证配置中的第一对应关系;
权限判断模块,用于判断待认证信息中所携带的用户信息和操作指令是否命中认证配置中的第二对应关系;
其中,命中所记录的认证配置为基于待认证信息和操作指令分别命中第一对应关系和第二对应关系,未命中所记录的认证配置为基于待认证信息和操作指令未命中第一对应关系和/或第二对应关系。
本说明书的实施方式提供的技术方案可以包括以下有益效果:
本说明书实施方式中,获取指令报文中携带客户端的地址信息以及用户信息,BMC向认证服务器发送携带有二者的待认证信息进行认证,使得认证服务器对所配置的服务器进行远程集中认证,提升了对服务器进行运维的效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施方式,并与说明书一起用于解释本说明书的原理。
图1是本申请所涉及的一种合法性认证方法的流程图,适用于服务器的BMC;
图2是本申请的实施方式所涉及的一种合法性认证方法的组网示意图;
图3是本申请所涉及的一种合法性认证方法的流程图,适用于认证服务器;
图4是本申请所涉及的一种合法性认证装置的结构示意图,适用于服务器的BMC;
图5是本申请所涉及的一种合法性认证装置的结构示意图-,适用于认证服务器。
具体实施方式
这里将详细地对示例性实施方式进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施方式中所描述的实施方式并不代表与本说明书相一致的所有实施方式。
本申请提供了一种合法性认证方法,应用于服务器中的BMC,如图1所示,包括:
S100、接收客户端所发送的指令报文。
在如图2所示的组网中,包括服务器、认证服务器和客户端,用户可以通过客户端对服务器进行访问,以实现对服务器的监控。在服务器中设置有主板,在主板上设置有BMC,在该BMC的存储空间中存储有用于实现服务器监控的各类界面,比如,用于认证访问合法性的登录界面以及对服务器进行管理的操作界面。该BMC被配置有管理IP(互联网协议,Internet Protocol)地址,用户可以通过在客户端上输入该管理IP地址进行访问,比如在客户端上所开启的浏览器中输入,即可以生成访问请求并发送至服务器的BMC。BMC接收到访问请求时,可以从自身的存储空间中读出登录界面,并将该登录界面等相关的信息发送至客户端,以使该登录界面在客户端的浏览器上进行展示。
在登录界面上,用户可以输入用户信息,该用户信息包括用户名和密码。此时,客户端可以基于用户信息生成一种指令报文,该种指令报文可以称为访问报文,用于实现用户对BMC的访问。但指令报文的类型不限于此,还可以是用户在登录到BMC后,基于用户在操作界面上所输入的操作指令所生成的操作报文。比如,该操作指令可以是对器件参数的配置,对器件的状态进行配置等,对此不做限制。
生成的指令报文可以通过客户端与服务器的BMC之间相互连通的接口等进行传输,接收指令报文的接口为Redfish接口或IPMI(智能平台管理接口,IntelligentPlatform Management Interface)接口。
通过Redfish接口传输指令报文时,以HTTP协议(超文本传输协议,Hyper TextTransfer Protocol)或HTTPS协议(超文本传输安全协议,Hyper Text Transfer Protocolover Secure Socket Layer)的形式进行传输。
通过IPMI接口传输指令报文时,以代码的形式携带在指令报文中进行传输。
无论是采用Redfish接口,还是通过IPMI接口,在指令报文中都可以携带用户信息、地址信息以及操作指令,其中,用户信息和地址信息可以被称为待认证信息。该用户信息可以包含有用户名和密码,该地址信息可以包含有IP地址或者IP地址和MAC(媒体访问控制,Media Access Control)地址,该操作指令可以包含有操作对象以及操作内容等。如果客户端和服务器的BMC处于不同的网段,则地址信息中可以不包含MAC地址。
在BMC接收到指令报文后,可以从中获取到该待认证信息和操作指令。
S101、将待认证信息发送至认证服务器,以使认证服务器根据所记录的认证配置对待认证信息进行合法性认证。
在获取到待认证信息后,由于在服务器的本地,即BMC中未设置认证配置,因此,需要通过认证服务器对该待认证信息进行合法性认证。此时,BMC可以从指令报文中提取出待认证信息(即用户信息和地址信息),并提供构建认证报文携带该待认证信息发送至认证服务器进行合法性认证。
这样一来,认证服务器就可以基于接收到的待认证信息以及在认证服务器上统一配置的认证配置来确认用户的合法性。认证配置可以被设置为表的形式,在认证配置中可以记录有用户信息和客户端的地址信息的第一对应关系,通过该第一对应关系,可以实现用户信息和用户所操作的客户端之间的绑定,用户需要通过授权的客户端实现对于服务器的监控。在客户端以及用户通过认证后,可以向BMC反馈认证结果,告知BMC上一次的指令报文是否通过认证。
S102、若确认通过认证,则执行指令报文中的操作指令。
S103、若确定未通过认证,则丢弃指令报文。
在通过认证的情况下,BMC执行指令报文中所携带的操作指令,对服务器进行相应的配置或者获取状态信息等,在BMC中可以实现的操作都可以通过这样的方式实现,对此不做限制。
本说明书实施方式中,获取指令报文中携带客户端的地址信息以及用户信息,BMC向认证服务器发送携带有二者的待认证信息进行认证,使得认证服务器对所配置的服务器进行远程集中认证,提升了对服务器进行运维的效率。
除了对于用户在客户端上的登录操作进行认证之外,针对不同的用户还可以配置有不同的操作权限,比如针对用户A可以配置拥有获取服务器中器件的状态信息的权限,针对用户B可以配置拥有修改服务器的BIOS(基础输入输出系统,Basic Input OutputSystem)参数的权限。
为了能够区分不同用户所拥有的权限,除了认证配置中所包含的第一对应关系外,还包括用户信息与操作权限之间的第二对应关系。可以理解为,通过第一对应关系,可以确定用户是否能够访问BMC,通过第二对应关系可以确定用户可以对服务器所执行的操作。
并且,由于用户在访问BMC的过程中,可能通过BMC对服务器进行多次配置,此时,如果需要重复的向认证服务器请求认证,则可能会消耗大量的时间。因此,为了进一步提升对服务器进行监测和管理的效率,可选的,步骤S101、将待认证信息发送至认证服务器,包括:
S101A、判断待认证信息是否命中本地配置;
S101B、若未命中本地配置,则将待认证信息发送至认证服务器;
S101C、若命中本地配置,则执行指令报文中的操作指令。
在向认证服务器发送待认证信息前,BMC可以基于自身存储的本地配置进行判断。BMC的本地配置可以是来自于用户的手工配置,也可以是在通过认证服务器实现合法性认证之后,基于认证服务器反馈的通知报文确定本次发送至认证服务器的待认证信息已通过认证时记录到本地配置中的,对此不做限制。
在BMC接收到指令报文,并从中提取出待认证信息,此时,如果用户是一段时间内第一次访问BMC,则在本地配置中可能并未记录待认证信息中所携带的用户信息和地址信息之间的对应关系,即第三对应关系。那么,BMC可以确定需要将待认证信息发送至认证服务器进行合法性认证。
在认证服务器基于待认证信息实现认证后,向服务器的BMC反馈通知报文,该通知报文可以包含两种认证结果,即通过认证或未通过认证。
若BMC根据通知报文确定待认证信息通过认证,则可以将操作界面反馈给客户端,以使可以客户端从登录界面跳转至操作界面,从而能够基于操作界面对服务器进行监测和管理。如果在指令报文中还包含有对于功能模块的操作指令,则执行相应的操作。
若BMC根据通知报文确定待认证信息未通过认证,则可以直接丢弃指令报文,并向客户端反馈未通过认证等告警。
在步骤S102、若确认通过认证之后,还包括:
S104、在本地配置中根据待认证信息和对应的操作权限更新第三对应关系和/或第四对应关系。
在认证服务器的认证配置中,还可以设置有针对用户的操作权限,即操作权限与用户信息之间的第二对应关系,在认证服务器确定待认证信息通过认证后,可以将待认证信息和操作权限携带在通知报文中发送给BMC。在BMC根据通知报文获取到待认证信息和操作权限时,可以分别在本地配置的第三对应关系中生成包含用户信息、客户端地址信息的对应项,在第四对应关系中生成包含用户信息和操作权限的对应项,从而完成第三对应关系和第四对应关系的更新。
这样一来,BMC可以在通过认证服务器认证的基础上,通过报文的交互告知BMC认证结果,以使得BMC能够将通过认证的用户信息、客户端的地址信息以及操作权限等内容记录到本地配置中。后续在BMC接收到命中本地配置时,则无需再次通过认证服务器进行认证,直接根据操作指令完成合法性认证即可,提升了服务器进行监测和管理的效率。
由于BMC的存储空间有限,在服务器长期运行中,存储的对应项逐步增加,有可能导致BMC存储空间不足的问题。可选的,第三对应关系和/或第四对应关系中还记录有保持时间,比如,在可以设定第三对应关系和第四对应关系中分别包含有保持时间,每一项的保持时间为五分钟,即可以理解为在一次认证通过后,五分钟之内无需基于相同的待认证信息或待认证信息与操作权限向认证服务器申请认证。在保持时间内,BMC可以根据本地配置对待认证信息进行匹配,存在命中的对应项则直接执行指令报文中的操作指令。
该方法,还包括:
S105、若所计时超出保持时间,则从第三对应关系和/或第四对应关系中清除超时的对应项。
在BMC接收到认证服务器发送的通知报文,并更新了本地配置中的第三对应关系和第四对应关系后,BMC可以针对本次更新的对应项启动计时,并在超出计时时间的情况下,从第三对应关系和/或第四对应关系中清除超时的对应项,以释放部分存储空间用于存储新的对应项,避免当前不进行服务器管理的用户或暂时不使用的操作权限,过多地占用BMC的存储空间。
相对应的,本申请提供了一种合法性认证方法,应用于认证服务器,如图3所示,包括:
S200、接收服务器的BMC所发送的待认证信息。
S201、判断待认证信息是否命中所记录的认证配置。
在BMC接收到用户通过客户端发送的指令报文后,从中获取待认证信息,并将该待认证信息发送至认证服务器进行认证。其中,待认证信息包括客户端的地址信息以及用户信息。
另外,除了待认证信息外,BMC还可以将指令报文中的操作指令一并发送至认证服务器。认证服务器在接收到之后,可以对该用户的操作权限进行认证,仅允许具有操作权限的用户在BMC上执行相应的操作。
S202、若命中所记录的认证配置,则告知BMC通过认证,以使BMC执行指令报文中所携带的操作指令。
S203、若未命中所记录的认证配置,则告知BMC未通过认证,以使BMC丢弃指令报文。
在认证服务器对待认证信息进行合法性认证的过程中,还可以分别认证用户的合法性以及用户的操作权限,因此,除了认证配置中包含有用户信息和客户端的地址信息的第一对应关系之外,还可以包括操作权限和用户信息的第二对应关系。
相对应的,在认证服务器进行认证的过程中,需要进行两次判断,即判断用户是否满足合法性,并且具有对应的操作权限,而针对两次判断,需要在分别满足时认证服务器才能够通过认证。
步骤S201、判断待认证信息是否命中所记录的认证配置,包括:
S201A、判断待认证信息中所携带的、客户端的地址信息与用户信息是否命中认证配置中的第一对应关系。
S201B、判断待认证信息中所携带的用户信息和操作指令是否命中认证配置中的第二对应关系。
命中所记录的认证配置为基于待认证信息和操作指令分别命中第一对应关系和第二对应关系,未命中所记录的认证配置为基于待认证信息和操作指令未命中第一对应关系和/或第二对应关系。
也就是说,在认证服务器进行认证时,分别需要基于用户信息以及客户端的地址信息确认用户的合法性,基于用户信息和操作权限确定用户所执行的操作是否被允许。第一对应关系和第二对应关系可以是分别记录在两个表中,也可以记录在一个表中,对此不做限制。
在认证服务器进行认证的过程中,如果仅能匹配到其中一种对应关系,则认为没有命中认证配置,如果能够分别匹配到两种对应关系,则认为命中认证配置,待认证信息,或待认证信息和操作权限通过认证。反之,则可以认为待认证信息,或待认证信息和操作权限未通过认证。
相对应的,本申请提供了一种合法性认证装置,应用于服务器中的BMC,如图4所示,包括:
接收单元,用于接收客户端所发送的指令报文,其中,指令报文待认证信息和操作指令,待认证信息包括客户端的地址信息以及用户信息;
发送单元,用于将待认证信息发送至认证服务器,以使认证服务器根据所记录的认证配置对待认证信息进行合法性认证;
处理单元,用于若确认通过认证,则执行指令报文中的操作指令;若确定未通过认证,则丢弃指令报文。
可选的,认证配置中包含有用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
发送单元,包括:
判断模块,用于判断待认证信息是否命中本地配置,其中,本地配置中记录有已通过认证的、用户信息和客户端的地址信息之间的第三对应关系以及已通过认证的用户信息和操作权限之间的第四对应关系;若未命中本地配置,则将待认证信息发送至认证服务器;若命中本地配置,则执行指令报文中的操作指令;
该装置,还包括:
记录单元,用于在本地配置中根据待认证信息和对应的操作权限更新第三对应关系和/或第四对应关系。
进一步的,第三对应关系和/或第四对应关系中还记录有保持时间;
该装置,还包括:
清除单元,用于若所计时超出保持时间,则从第三对应关系和/或第四对应关系中清除超时的对应项。
可选的,接收指令报文的接口为Redfish接口或IPMI接口。
相对应的,本申请提供了一种合法性认证装置,应用于认证服务器,如图5所示,包括:
接收单元,用于接收服务器的BMC所发送的待认证信息,其中,待认证信息包括客户端的地址信息以及用户信息;
判断单元,用于判断待认证信息是否命中所记录的认证配置;
通告单元,用于若命中所记录的认证配置,则告知BMC通过认证,以使BMC执行指令报文中所携带的操作指令;若未命中所记录的认证配置,则告知BMC未通过认证,以使BMC丢弃指令报文。
可选的,认证配置中包含有用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
判断单元,包括:
用户判断模块,用于判断待认证信息中所携带的、客户端的地址信息与用户信息是否命中认证配置中的第一对应关系;
权限判断模块,用于判断待认证信息中所携带的用户信息和操作指令是否命中认证配置中的第二对应关系;
其中,命中所记录的认证配置为基于待认证信息和操作指令分别命中第一对应关系和第二对应关系,未命中所记录的认证配置为基于待认证信息和操作指令未命中第一对应关系和/或第二对应关系。
本说明书的实施方式提供的技术方案可以包括以下有益效果:
本说明书实施方式中,获取指令报文中携带客户端的地址信息以及用户信息,BMC向认证服务器发送携带有二者的待认证信息进行认证,使得认证服务器对所配置的服务器进行远程集中认证,提升了对服务器进行运维的效率。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。
以上所述仅为本说明书的较佳实施方式而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (12)
1.一种合法性认证方法,其特征在于,应用于服务器中的基板管理控制器BMC,包括:
接收客户端所发送的指令报文,其中,所述指令报文包括待认证信息和操作指令,所述待认证信息包括客户端的地址信息以及用户信息;
将所述待认证信息发送至认证服务器,以使所述认证服务器根据所记录的认证配置对所述待认证信息进行合法性认证;
若确认通过认证,则执行所述指令报文中的操作指令;
若确定未通过认证,则丢弃所述指令报文。
2.根据权利要求1所述的方法,其特征在于,所述认证配置中包含有所述用户信息和客户端的地址信息的第一对应关系以及操作权限和用户信息的第二对应关系;
将所述待认证信息发送至认证服务器,包括:
判断所述待认证信息是否命中本地配置,其中,所述本地配置中包含有已通过认证的、用户信息和客户端的地址信息之间的第三对应关系以及已通过认证的用户信息和所述操作权限之间的第四对应关系;
若未命中所述本地配置,则将所述待认证信息发送至认证服务器;
若命中所述本地配置,则执行所述指令报文中的操作指令;
在所述若确认通过认证之后,还包括:
在本地配置中根据所述待认证信息和对应的操作权限更新所述第三对应关系和/或所述第四对应关系。
3.根据权利要求2所述的方法,其特征在于,所述第三对应关系和/或所述第四对应关系中还记录有保持时间;
所述方法,还包括:
若所计时超出所述保持时间,则从所述第三对应关系和/或所述第四对应关系中清除超时的对应项。
4.根据权利要求1所述的方法,其特征在于,接收所述指令报文的接口为Redfish接口或智能平台管理接口IPMI。
5.一种合法性认证方法,其特征在于,应用于认证服务器,包括:
接收服务器的BMC所发送的待认证信息,其中,所述待认证信息包括客户端的地址信息以及用户信息;
判断所述待认证信息是否命中所记录的认证配置;
若命中所记录的认证配置,则告知所述BMC通过认证,以使所述BMC执行指令报文中所携带的操作指令;
若未命中所记录的认证配置,则告知所述BMC未通过认证,以使所述BMC丢弃所述指令报文。
6.根据权利要求5所述的方法,其特征在于,所述认证配置中包含有所述用户信息和客户端的地址信息的第一对应关系以及操作权限和所述用户信息的第二对应关系;
判断所述待认证信息是否命中所记录的认证配置,包括:
判断所述待认证信息中所携带的、客户端的地址信息与所述用户信息是否命中所述认证配置中的第一对应关系;
判断所述待认证信息中所携带的所述用户信息和所述操作指令是否命中所述认证配置中的第二对应关系;
其中,所述命中所记录的认证配置为基于所述待认证信息和所述操作指令分别命中所述第一对应关系和所述第二对应关系,所述未命中所记录的认证配置为基于所述待认证信息和所述操作指令未命中所述第一对应关系和/或所述第二对应关系。
7.一种合法性认证装置,其特征在于,应用于服务器中的BMC,包括:
接收单元,用于接收客户端所发送的指令报文,其中,所述指令报文包括待认证信息和操作指令,所述待认证信息包括客户端的地址信息以及用户信息;
发送单元,用于将所述待认证信息发送至认证服务器,以使所述认证服务器根据所记录的认证配置对所述待认证信息进行合法性认证;
处理单元,用于若确认通过认证,则执行所述指令报文中的操作指令;若确定未通过认证,则丢弃所述指令报文。
8.根据权利要求7所述的装置,其特征在于,所述认证配置中包含有所述用户信息和客户端的地址信息的第一对应关系以及操作权限和所述用户信息的第二对应关系;
所述发送单元,包括:
判断模块,用于判断所述待认证信息是否命中本地配置,其中,所述本地配置中记录有已通过认证的、用户信息和客户端的地址信息之间的第三对应关系以及已通过认证的用户信息和所述操作权限之间的第四对应关系;若未命中所述本地配置,则将所述待认证信息发送至认证服务器;若命中所述本地配置,则执行所述指令报文中的操作指令;
所述装置,还包括:
记录单元,用于在本地配置中根据所述待认证信息和对应的操作权限更新所述第三对应关系和/或所述第四对应关系。
9.根据权利要求8所述的装置,其特征在于,所述第三对应关系和/或第四对应关系中还记录有保持时间;
所述装置,还包括:
清除单元,用于若所计时超出所述保持时间,则从所述第三对应关系和/或所述第四对应关系清除超时的对应项。
10.根据权利要求7所述的装置,其特征在于,接收所述指令报文的接口为Redfish接口或IPMI接口。
11.一种合法性认证装置,其特征在于,应用于认证服务器,包括:
接收单元,用于接收服务器的BMC所发送的待认证信息,其中,所述待认证信息包括客户端的地址信息以及用户信息;
判断单元,用于判断所述待认证信息是否命中所记录的认证配置;
通告单元,用于若命中所记录的认证配置,则告知所述BMC通过认证,以使所述BMC执行指令报文中所携带的操作指令;若未命中所记录的认证配置,则告知所述BMC未通过认证,以使所述BMC丢弃所述指令报文。
12.根据权利要求11所述的装置,其特征在于,所述认证配置中包含有所述用户信息和客户端的地址信息的第一对应关系以及操作权限和所述用户信息的第二对应关系;
所述判断单元,包括:
用户判断模块,用于判断所述待认证信息中所携带的、客户端的地址信息与所述用户信息是否命中所述认证配置中的第一对应关系;
权限判断模块,用于判断所述待认证信息中所携带的所述用户信息和所述操作指令是否命中所述认证配置中的第二对应关系;
其中,所述命中所记录的认证配置为基于所述待认证信息和所述操作指令分别命中所述第一对应关系和所述第二对应关系,所述未命中所记录的认证配置为基于所述待认证信息和所述操作指令未命中所述第一对应关系和/或所述第二对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110983607.6A CN113660283A (zh) | 2021-08-25 | 2021-08-25 | 一种合法性认证方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110983607.6A CN113660283A (zh) | 2021-08-25 | 2021-08-25 | 一种合法性认证方法以及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113660283A true CN113660283A (zh) | 2021-11-16 |
Family
ID=78482027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110983607.6A Pending CN113660283A (zh) | 2021-08-25 | 2021-08-25 | 一种合法性认证方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660283A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134148A (zh) * | 2022-06-29 | 2022-09-30 | 新华三信息技术有限公司 | 一种bmc管理方法、装置、设备及机器可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410636A (zh) * | 2014-12-01 | 2015-03-11 | 浪潮集团有限公司 | 一种云计算系统中增强bmc/smc安全性的方法 |
| CN108846267A (zh) * | 2018-05-28 | 2018-11-20 | 郑州云海信息技术有限公司 | 一种认证方法和服务器 |
| CN109358888A (zh) * | 2018-12-18 | 2019-02-19 | 郑州云海信息技术有限公司 | 服务器固件升级方法、装置、系统及计算机可读存储介质 |
| CN109862043A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端认证的方法及装置 |
| CN110413487A (zh) * | 2018-04-28 | 2019-11-05 | 中国长城科技集团股份有限公司 | 一种服务器的指示灯管理方法、系统及基板管理控制器 |
| CN110781465A (zh) * | 2019-10-18 | 2020-02-11 | 中电科技(北京)有限公司 | 基于可信计算的bmc远程身份验证方法及系统 |
| EP3687140A2 (en) * | 2020-04-07 | 2020-07-29 | CyberArk Software Ltd. | On-demand and proactive detection of application misconfiguration security threats |
| CN112100027A (zh) * | 2020-08-31 | 2020-12-18 | 新华三信息技术有限公司 | 一种服务器维护方法、装置、设备及机器可读存储介质 |
-
2021
- 2021-08-25 CN CN202110983607.6A patent/CN113660283A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410636A (zh) * | 2014-12-01 | 2015-03-11 | 浪潮集团有限公司 | 一种云计算系统中增强bmc/smc安全性的方法 |
| CN110413487A (zh) * | 2018-04-28 | 2019-11-05 | 中国长城科技集团股份有限公司 | 一种服务器的指示灯管理方法、系统及基板管理控制器 |
| CN108846267A (zh) * | 2018-05-28 | 2018-11-20 | 郑州云海信息技术有限公司 | 一种认证方法和服务器 |
| CN109358888A (zh) * | 2018-12-18 | 2019-02-19 | 郑州云海信息技术有限公司 | 服务器固件升级方法、装置、系统及计算机可读存储介质 |
| CN109862043A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端认证的方法及装置 |
| CN110781465A (zh) * | 2019-10-18 | 2020-02-11 | 中电科技(北京)有限公司 | 基于可信计算的bmc远程身份验证方法及系统 |
| EP3687140A2 (en) * | 2020-04-07 | 2020-07-29 | CyberArk Software Ltd. | On-demand and proactive detection of application misconfiguration security threats |
| CN112100027A (zh) * | 2020-08-31 | 2020-12-18 | 新华三信息技术有限公司 | 一种服务器维护方法、装置、设备及机器可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 丛林: "统一身份验证在微软云环境中的应用", 《微型电脑应用》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134148A (zh) * | 2022-06-29 | 2022-09-30 | 新华三信息技术有限公司 | 一种bmc管理方法、装置、设备及机器可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8560645B2 (en) | Location-aware configuration | |
| JP5099139B2 (ja) | 公開鍵証明書状態の取得および確認方法 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CA2592702C (en) | Use of configurations in device with multiple configurations | |
| JP4728258B2 (ja) | ユーザーがipネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム | |
| US8131850B2 (en) | Apparatus and methods for managing network resources | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CN100492991C (zh) | 网元管理的方法、系统及网元 | |
| CN101335626A (zh) | 多级认证方法和多级认证系统 | |
| WO2006076382A2 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
| CN111783068A (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| US20110107410A1 (en) | Methods, systems, and computer program products for controlling server access using an authentication server | |
| WO2007115488A1 (fr) | Procédé, système et dispositif de configuration de paramètres de dispositif dans un réseau d'accès de ligne d'abonné numérique | |
| CN103023856A (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| JP5043953B2 (ja) | リソース伝送方法及び情報提供方法 | |
| WO2014038820A1 (ko) | 무선 통신 시스템에서 서버의 단말의 리소스에 대한 접근 권한을 관리하기 위한 방법 및 이를 위한 장치 | |
| CN114513326B (zh) | 基于动态代理实现通信审计的方法及系统 | |
| US8112535B2 (en) | Securing a server in a dynamic addressing environment | |
| CN113660283A (zh) | 一种合法性认证方法以及装置 | |
| CN112395586A (zh) | 文件访问的控制方法及装置、系统、存储介质、电子装置 | |
| CN107436789A (zh) | 云存储系统中服务器的管理方法和装置 | |
| CN114024693B (zh) | 一种认证方法、装置、会话管理功能实体、服务器及终端 | |
| CN119052002B (zh) | 一种安全网关及终端网络流量控制方法 | |
| KR100913976B1 (ko) | 다중 구성들을 구비한 장치에서 구성들의 사용 | |
| CN119227051B (zh) | 一种设备访问方法、产品、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211116 |
|
| RJ01 | Rejection of invention patent application after publication |