专利名称:利用转换连接来管理无源网络设备的系统和方法
技术领域:
本发明涉及数据网络安全性领域,更具体地说,涉及用于从远程位置隐蔽地管理无源网络设备的系统和方法。
相关技术的描述因特网商务的出现迫使大的机构将其内部网连接到公共网,所导致的风险增加是不可避免的。安全性行业逐渐地提供程序、工具以及对策来应对这种增加的风险。安全性解决方案可以大致分成主动的或被动的。
若要求网络设备建立功能基础结构,则网络设备是有源的,并且可包括接入控制(防火墙)、内容过滤(反病毒)以及强大的鉴权(界限)等功能。相反,不需要建立功能基础结构的网络设备是无源的,通常用来建立第二条防线。无源设备包括例如入侵检测和网络扫描。
一些机构为获得网络安全性常用的两种工具包括作为有源部件的防火墙以及作为无源部件的入侵检测。
防火墙是有源部件,因为它对每个入境或出境分组肯定地判定是接受还是丢弃该分组。防火墙位于网络的关键点,即该处可控制所有进出公共网的业务的点。但是,虽然防火墙是网络安全性的重要部分,但是它由于至少三个原因而仍然脆弱。首先,防火墙无法避免隐藏在合法分组中的网络攻击;从协议流中产生的半开放连接攻击或者包分割是两个更为熟知的例子。其次,防火墙象其它软件实现一样无法避免软件错误。第三,防火墙由安全管理员来管理,而安全管理员可能出错或者可能未经过足够的训练以履行其职责。
至少由于这些原因,防火墙本身需要受保护。象任何其它保护设备一样,如果在规定的时间周期内未触发警告,则防火墙不能无限期地抵抗攻击,因而是脆弱的。因此,采用入侵检测系统来提供这种警告。
入侵检测系统可以是基于主机的或者基于网络的。基于主机的入侵检测系统安装在服务器上,并监测重要的系统资源(如文件)、进程和系统活动。基于网络的入侵检测系统连接到网络的关键点并监测进出公共网的业务。
为了保护它们本身以防范潜在的入侵者,一些无源网络设备需要保持为隐藏状态。这意味着,虽然它们在物理上连接到网络并能够分接任何网络业务,但是它们不对任何类型的请求作出应答。基于网络的入侵检测系统常常是不可见的,这意味着它们在其上捕获网络业务的网络接口卡(NIC)使其通信栈禁用。禁用通信栈是确保免于来自网络的攻击的绝对保护,应当是对必须保持不暴露的无源设备的要求。
当需要从远程位置管理隐藏的无源网络设备时,就出现问题。大多数基于网络的设备需要从管理中心进行管理或者需要与管理中心进行通信。为了完成这些,设备采用被推到本地网上的伪造分组或者连接到内部网的附加NIC,采用标准基于IP的业务来与管理服务器进行通信。这两种方法摧毁了无源设备所提供的保护保证;在第一种情况下,管理中心可能被暴露,在该情况下所产生的后果是不可预测的,而在第二种情况下,内部网是理想的后门。
因此,需要允许从远程位置隐蔽地管理无源网络设备的方法。
发明概述鉴于上述问题,本发明的一个目的是通过使用无源网络设备的伙伴设备来克服从远程位置管理无源网络设备的困难,而不会暴露管理中心。
本发明的另一个目的是建立两个或两个以上伙伴设备之间的标准基于IP的会话作为第一通信信道,第一通信信道可供无源网络设备用来建立允许这种设备进行通信的第二通信信道。
本发明的另一个目的是建立一种系统,其中无源网络设备收听要发往另一接收者的网络业务,并从这种业务中提取需要的管理信息。
本发明的另一个目的是使无源网络设备能够产生模仿从合作节点发出的那些的协议数据单元(PDU),以便实现管理业务的反向。
本发明的另一个目的是提供一种系统和方法,其中,管理中心和无源网络设备在网络上都不直接可寻址,而是需要第三方以便相互通信。
本发明的另一个目的是利用在两个第三方之间建立的标准通信信道在管理中心与无源网络设备之间建立隐蔽管理信道。
根据这个和其它目的,本发明针对一种用于从本地或远程管理中心隐蔽地管理无源网络设备的系统和方法。在两个或两个以上伙伴设备之间的数据网络上建立的标准基于IP的会话在第一通信信道中进行。无源网络设备收听在与它们相连的数据网络上传递的网络业务。虽然这些业务不是发往无源网络设备的,而是在伙伴设备和合作设备之间传递,但是无源网络设备能够从这个业务中提取它们的管理信息,通过产生模仿预期节点发送的那些数据单元的协议数据单元(PDU),实现管理业务的反向。利用在第三方之间建立的通信信道以实现通信,管理中心和无源网络设备在网络上都不直接可寻址,而是对网络“透明”。业务交换被签字和加密,以便提供标准鉴权、保密性和完整性。
随后将变得清楚的这些连同其它目的和优点在于下文将更充分地描述和申明的结构和操作的细节中,对附图的引用构成其中一部分,各图中类似的标号指的是类似的部件。
附图简介
图1说明根据先有技术的典型网络拓扑;图2说明根据本发明的两个不同的通信信道;图3是图2的第二通信信道的协议栈的更具体实施例;图4描绘图3的第二通信信道的服务接口的最小原语集;图5提供图4的服务原语的时间图;图6说明根据本发明的在第二通信信道的通信栈内的APDU分层和封装;图7a提供根据本发明的第二通信信道的通信栈内的传输与主机层(发出)之间的耦合;以及图7b说明根据本发明的第二通信信道的通信栈内的传输与主机层(接收)之间的耦合。
具体实施例方式
在描述图中所示的本发明的优选实施例时,为清楚起见,借助于具体术语。但是,本发明并不是要限定于所选的具体项目,应当理解,各个具体项目包括所有以类似方式工作以达到类似目的的技术等效物。
图1中描绘了根据先有技术的典型网络拓扑。在隐蔽管理方法中涉及的设备都通过局域网(LAN)110、111连接在不安全网络13上。如这里所用的,“设备”用来指运行操作系统(OS)和一组应用程序的标准计算机硬件配置,其中包含网络连接所需的网络接口卡(NIC)。不安全网络13可以是因特网,入侵者12可以通过它进入LAN 110、111。
如图所示,设备可包括伙伴10、管理中心11、受管理单元15以及合作系统16。要由管理中心11远程管理的受管理单元15包括无源网络设备。伙伴10和合作系统16表示在其间传递信息的网络上的通信节点。这两个设备建立相互之间的基于IP的通信。根据为此特定通信选择的传送和应用对,不同情况是可能的。例如,伙伴10可向合作系统16发送无状态(UDP、ICMP)分组;伙伴10可建立到合作系统16的状态(TCP)连接;合作系统16可向伙伴10发送无状态(UDP、ICMP)分组;或者合作系统16可建立到伙伴10的状态(TCP)连接。
管理中心11和受管理单元15是不可见的,以便保护它们本身不受可能由潜在的入侵者12执行的外部攻击。这意味着,分别连接到LAN 110和LAN 111的管理中心11和受管理单元15具有它们的混杂模式的网络接口卡(NIC)集,以便捕获在它们相应的网络上传播的任何业务。但是,它们的数据、网络和传输层以这样的方式配置,使得它们不能给出可能揭示它们的存在的任何信息,例如ARP响应、广播等。这就是说,事前没有办法使管理中心11与受管理单元15可以互相交流管理信息。
为了解决这个问题,根据图2中所示的本发明的优选实施例,利用在伙伴100与合作系统106之间建立的标准通信信道或第一通信信道225,在管理中心101与受管理单元105之间建立隐蔽管理信道或第二通信信道325。如上所述,要由管理中心11远程管理的受管理单元15包括无源网络设备。伙伴100和合作系统106表示在其间传递信息的网络上的通信节点。这两个设备利用标准通信信道建立相互之间的基于IP的通信。
标准通信信道表示第一通信信道225,它是标准IP对等通信。伙伴100和合作系统106通过一组中间系统进行通信。图2中说明两种类型的中间系统,即中间系统200和中间系统201。
伙伴100和合作系统106运行编号从0到3的整个通信栈。通常在TCP/IP模型中,这些层可映射到0网络接口卡(NIC)层300和设备驱动程序;1网络层301(IP);2传输层302(TCP、UDP或其它类似于ICMP);以及3应用层(HTTP、FTP)303。
中间系统200运行整个层中一直到传输层302的子集,通常包括连网设备,如路由器。中间系统201运行通信栈的更小子集,包括NIC层300,而且可包括骨干设备。
根据本发明,管理中心101和受管理单元105所利用的第二通信信道325与第一通信信道225结合在一起。虽然管理中心101和受管理单元105不具有相互直接通信的任何可能性,也不能直接寻址,但是它们能够通过“偷听”伙伴100与管理中心101之间在第一通信信道225上的合法会话,接收和发送它们需要交换的管理信息。
一个例子将说明根据本发明的双通信信道的操作。假设伙伴100是网络运行中心(NOC)的一部分。伙伴100的目标是监测一组万维网服务器(其中之一是合作系统106)的状态。伙伴100向合作系统106发出请求、如SNMP请求,以便获得信息。管理中心101和受管理单元105知道这个合法请求。因为它们连接在诸如LAN 110和LAN111之类的局域网上,具有它们的混杂模式的NIC集,可以“看到”该请求。因此,管理中心101和受管理单元105知道来自合作系统106的应答是预期的。
与伙伴100所发送的请求无关,管理中心101可伪造请求(“伪造”请求),其源IP地址是伙伴100,而其目标地址是合作系统106,可以将此“伪造”请求推到网络上。这种“伪造”请求如此命名是为了将它与伙伴100已发送的合法请求区分开,它包括指明与管理中心101的关系的标记(MK)。作为合法分组,管理中心101的“伪造”请求被路由到合作系统106。在网络上偷听的受管理单元105检测管理中心101的标记(MK),并且通过截获该分组获得该请求。
在另一方向上,与合作系统106提供的应答无关,受管理单元105可伪造应答(“伪造”应答),其源IP地址是合作系统106,而其目标地址是伙伴100,可以将此“伪造”应答推送到网络上。这种“伪造”应答如此命名是为了将它与合作系统106发送的合法应答区分开,它包括指明与受管理单元105的关系的标记(MK)。作为合法分组,受管理单元105的“伪造”应答被路由回到伙伴100。在网络上偷听的管理中心识别受管理单元105的标记(MK),并且通过截获该分组获得它需要的信息。
标记(MK)是允许管理中心101和受管理单元105从第一通信信道225的合法业务中过滤出将用来传送第二通信信道325的隐蔽管理信息的若干网络分组的装置。作为举例说明,伙伴100可通过NTP协议使合作系统106同步。在这种情况下,管理中心101和受管理单元105将配置成使用这种合法会话来建立隐蔽管理信道,而标记(MK)将是检索所有NTP网络业务的模式(UDP端口123、TCP端口123)。若业务属于第一通信信道225,则它是合法的,若业务属于第二通信信道325,则它是伪造的。由于第一通信信道225的网络业务的量可能潜在地很大,标记(MK)必须以这样的方式调整,使得它向管理中心101和受管理单元105传送少量但恒定的业务。
因为管理中心101和受管理单元105未启用其网络层和传输层,所以管理中心101和受管理单元105的应用层需要模仿发送和接收网络分组的通信栈。关于分组接收,可以通过Berkeley分组过滤器(BPF)来实现这种实施例。在这最后一种情况下,为在受管理单元105的目标处过滤出网络分组而定义的标记(MK)可以是BPF所支持的任何过滤器IP地址、目标端口以及用于网络分组净荷中的定义模式。标记(MK)在安装时被初始化。
两个通信信道都具有它们的独立通信栈,如图2所示。伙伴100和合作系统106所用的第一通信信道225是基于标准TCP/IP模型,使用了网络、传输和应用层和功能。第二通信信道325具有其独立通信栈,由五个不同的通信层来命名0、A、B、C和D,而且依靠第一通信信道网络层301,并且最终依靠传输层302来传送它需要交流的信息。
本来,本发明是用来在管理中心101与受管理单元105之间以无连接数据报类型的通信来传送小的协议数据单元(PDU)。实际上,当第二通信信道依靠第一通信信道用作在对等实体之间移动PDU的运输工具时,这只能通过单个或有限数量的数据报分组来完成。由于通过第二通信信道来实现的本发明的主要目的是以保密方式隐蔽地管理一组无源网络设备,而不会通过通信栈的激活损害它们的完整性,隐蔽信道最初是用来支持控制命令。基础硬件和网络类型定义包括所有首标在内的分组的最大大小,称为最大传输单位(MTU)。通常,几百字节的分组大小足以实现本发明。
本发明的进一步建议是采用常用的因特网协议、如NTP或HTTP来处理隐蔽管理业务。这样,隐蔽管理业务被稀释在常规业务中,其好处在于,无源设备不被检测到、进而不被损害的可能性很高。
图3中表示根据本发明用于第二通信信道的协议栈的实施例。此协议栈或通信模型在概念上称为服务提供者400,包括多个通信层,其中包括主机层A、传输层B、验证层C以及管理服务层D。虽然不同层的数量和性质可改变,但是建议坚持某些设计原则。例如,为了简单,层数应当尽可能少一些。各层应当具有其自己的功能,类似的助能应当放在同一层内;备层之间具体功能不应当重叠。各层应当仅与相邻层之间有一组接口,应当有可能重新设计某一层而不影响相邻层。最后,相同层规范的实现可根据所用的硬件、设备驱动程序以及操作系统而改变。
遵守刚才总结的设计原则,图3中所示的不同通信层的功能可定义如下。
管理服务层D的功能是通过维护序列号来维护在管理中心101与受管理单元105之间的隐蔽管理通用环境。管理服务层D还提供管理服务首标信息,如版本、源和目标地址。
验证层C的功能是提供鉴权、完整性和保密性。根据标准算法,验证层C计算消息鉴权码(MAC)和分组密钥(PK),并且对从相邻的上/下层接收的净荷进行加密/解密。
传输层B的功能是提供将加密净荷从二进制转换成ASCII以及反向转换的功能,以及提供建立需要发送到对等主机的分组的类函数。传输层B还可分成两个相邻子层,即传输子层和传送子层。如果对等实体之间要传送的数据量很大或者如果要保证服务质量,则可能需要传送层规范。
主机层A的功能是提供与本地主机设备驱动程序和硬件的接口,以便发送和接收网络分组。在大多数实现中,主机层A运行在内核空间中,而其它通信层运行在用户空间中。主机层可利用BerkeleyUNIX BPF过滤器来实现。
图4中说明本发明的最小实现。为了管理中心101与受管理单元105进行通信,管理中心101运行称为管理应用410的应用进程,而受管理单元105运行称为管理代理420的应用进程。管理应用410和管理代理420所用的服务接口定义六种原语,即,“命令发送”411、“响应接收”412、“俘获接收”413、“命令接收”421、“响应发送”422和“俘获发送”423。
就象在任一种通信模型中一样,通信栈的对等层之间有逻辑传输,但是物理通信发生在通信栈的最低层或者在主机层A的服务提供者400。
图5的时序图按照发生的事件在垂直时间线上的相对位置提供了这些事件的序列。管理应用410通过服务接口向服务提供者400发送“命令发送请求”411。服务提供者400将“命令发送请求”411传送到管理代理420,管理代理420依次准备“响应发送”422并通过服务接口将它提交给服务提供者400。管理应用410从服务提供者400接收“响应接收”412。如果管理代理420希望将一些主动提供的信息传递给管理应用410,则该代理420向服务提供者400发出“俘获发送”423,管理应用410将通过“俘获接收”413原语来接收它。
图6给出各通信层如何转换应用协议数据单元(APDU)、各通信层何时履行其功能的详图。
管理服务层D接收APDU并且把管理首标与APDU相连。管理首标包括时标(TS)、管理服务层的版本(VER)、源地址(SRC)和目标地址(DST)以及序列号(SEQ)。
时标是管理无源网络设备必不可少的,因为至少需要它与事件相关;它还可用来计算分组密钥。因此,管理中心101与受管理单元105之间的任何通信都加了时标。
需要管理服务层的版本来确保向上兼容。最好是用一字节来提供版本。前四位专用于主要版本号,后四位专用于次要版本号。
各无源网络设备,无论是管理中心101还是受管理单元105的一部分,都接收唯一地址。更具体地说,从IP地址是第一通信信道225的唯一特征来类推,所述地址是具体设备的管理服务层的唯一特征。两种通信信道的地址是独立分配的。
向第一通信信道225的设备(即伙伴100和合作系统106)分配IP地址是第二通信信道325的先决条件。这种分配遵照标准因特网连接性实际做法,也就是说,两个设备能够通过无论什么防火墙、路由器等在所需端口上建立标准TCP/IP会话,暗示了重新配置。
向第二通信信道325的无源设备的地址分配无法在本发明中完全定义,因为它取决于无源设备的管理模型。一般地,唯一地址可以按照两种方式之一来初始化。如果受管理单元105是完全预安装并且由单个厂商配置的设备,则控制整个地址范围的厂商将预配置所述唯一地址。在一些情况下,厂商还能够预配置管理中心101的唯一地址。但是,如果受管理单元105是通过若干厂商交付的设备,唯一地址通常在配置时就被初始化,并由控制全部地址范围的权威机构来交付。无源设备的初始化必须将这两种情况考虑在内。
序列号是管理中心101和受管理单元105的管理服务层所维护的全局计数器。如前文所述,本发明的主要目的是传递小的控制命令/响应。因此,序列号主要用来跟踪和检测命令、响应或俘获是否已丢失。
本发明提出一种通信模型,其中命令、响应和俘获将不可避免地丢失,因为无法保证服务质量(QoS),这是第一通信信道的一个特征。因此,管理服务层负责重复命令,一直到它收到确认为止。“命令发送”411的确认由“响应接收”412构成。“俘获发送” 423的确认无法在本发明中充分指定,因为它取决于无源设备的性质。它可包括“命令发送”411、有源设备的重新配置、或者无源设备上的操作者的人工干预,这些的效果要重置“俘获发送”423条件。管理服务层D将管理首标和APDU传递到验证层C。
验证层C提供互补功能,取决于它是发送还是接收分组。如果它发送分组,则它添加消息鉴权码(MAC),计算分组密钥并对分组加密。如果它接收分组,则它计算分组密钥,用MAC对消息解密,以及检查合法性。
无源网络设备的供应商负责定义这些设备支持的加密方案。由于第二通信信道的特点,手工IPSEC是基本要求。
验证层C将二进制格式的加密缓冲内容传递到传输层B。象验证层C那样,传输层B提供互补功能,取决于它是发送还是接收分组。如果在发送分组,则传输层B首先把二进制缓冲内容转换成与机器无关的ASCII格式。然后它构建包含ASCII缓冲内容并且格式适用于主机层A的网络分组;这种转换在图7a中详细说明。把该网络分组传给主机层A。如果传输层B从主机层A接收网络分组,则传输层首先从网络分组中提取ASCII净荷,将ASCII缓冲内容转换成二进制缓冲内容,并将它传送到验证层,这在图7b中详细说明。主机层不执行任何数据转换。通过配置发送器20和接收器30,主机层A提供服务提供者400的其它通信层与本地设备驱动程序和硬件之间的接口。
图7a更详细地说明传输层和主机层如何结合以发送PDU到无源网络设备。将采用实例来说明。如果传输层接收要传递的分组,则传输层将二进制缓冲内容转换成ASCII,并将此PDU复制到发送队列中,在这里PDU等候传输。
图7b更详细地说明传输层和主机层如何结合以接收来自无源网络设备的PDU。主机层A的接收器(30)不断地监测网络50并过滤出与定义标记(MK)的一组预定义模式匹配的分组;这些模式可存储在模式文件35中。当主机层的接收器30过滤出分组时,它将分组发送到传输层B的PDU工厂40。PDU工厂40判定该分组是发送信号还是接收的PDU。在第一种情况下,如果发送队列不是空的,则PDU工厂40构建网络分组,并将它发送到主机层A的发送器20。在第二种情况下,接收PDU被传递到ASCII-二进制类函数,转换成BIN,并插入接收队列,然后在这里将它传递到验证层C。
前面的描述和附图应当视为仅仅是对本发明原理的说明。本发明可以配置成各种形状和规模,不受优选实施例的范围的限制。本领域的技术人员容易想到本发明的大量应用。因此,不希望把本发明限制在所公开的特定示例或所说明和描述的确切结构和操作。而是所有适当的修改和等效物可以归结为处于本发明的范围之内。
权利要求
1.一种用于在分布式计算机网络上从远程位置管理无源网络设备的系统,包括伙伴设备,在数据网上利用第一通信信道与合作设备进行通信;受管理单元,连接到所述数据网并收听所述数据网上的数据业务,所述受管理单元对于所述数据网是透明的;管理中心,连接到所述数据网并收听所述数据网上的数据业务,所述管理中心对于所述数据网是透明的;所述受管理单元和所述管理中心仅间接地在与所述第一通信信道结合的第二通信信道上相互交换数据单元,所述数据单元通过寻址到所述伙伴设备和所述合作设备其中至少一个的所述第一通信信道发送,以及由所述受管理单元和所述管理中心其中至少一个通过所述第二通信信道俘获。
2.如权利要求1所述的系统,其特征在于,所述伙伴设备与所述合作设备通过多个中间系统进行通信。
3.如权利要求2所述的系统,其特征在于,所述伙伴设备与所述合作设备运行整个通信栈,以及所述多个中间系统中每一个运行所述整个通信栈的子集。
4.如权利要求3所述的系统,其特征在于,所述整个通信栈包括网络接口卡、网络层、传送层和应用层。
5.如权利要求4所述的系统,其特征在于,所述中间系统的所述子集包括网络接口卡和网络层。
6.如权利要求4所述的系统,其特征在于,所述中间系统的所述子集包括网络接口卡、网络层和传送层。
7.如权利要求3所述的系统,其特征在于,所述受管理单元和所述管理中心各包括服务提供者,服务提供者具有主机层、传输层、验证层和管理服务层。
8.如权利要求7所述的系统,其特征在于,所述管理服务层将管理首标与接收的数据单元相连,所述首标包括时标、源地址和目标地址其中至少一个。
9.如权利要求7所述的系统,其特征在于,所述受管理单元和所述管理中心所运行的相应的应用进程通过定义多个原语的服务接口相互通信。
10.如权利要求9所述的系统,其特征在于,响应从所述管理中心截收命令发送原语,所述受管理单元以所述管理中心所俘获的响应发送原语来应答。
11.如权利要求9所述的系统,其特征在于,所述受管理单元通过使用所述管理中心利用俘获接收原语截收的俘获发送原语传送要寻址到所述伙伴设备和所述合作设备其中之一的数据,可将主动提供的信息传递给所述管理中心。
12.如权利要求1所述的系统,其特征在于,所述受管理单元是无源网络设备。
13.一种用于在分布式计算机网络上从远程位置管理无源网络设备的方法,包括以下步骤在数据网上在伙伴设备与合作设备之间建立第一通信信道;将受管理单元连接到所述数据网,使得所述受管理单元可收听所述数据网上的数据业务,所述受管理单元对于所述数据网是透明的;将管理中心连接到所述数据网,使得所述管理中心能够收听所述数据网上的数据业务,所述管理中心对于所述数据网是透明的;在所述受管理单元与所述管理中心之间建立第二通信信道,所述第二通信信道与所述第一通信信道结合;从所述伙伴发起请求,并通过所述第一通信信道将所述请求引向所述合作设备;所述管理中心和所述受管理单元检测所述请求;所述受管理单元伪造对所述请求的应答,所述应答被寻址到所述伙伴并且具有所述受管理单元的源地址;将所述应答推送到所述网络上;以及由所述管理中心截收所述应答。
14.如权利要求13所述的方法,其特征在于还包括以下步骤所述受管理单元截收来自所述管理中心的命令发送原语;以及所述受管理单元利用所述管理中心俘获的响应发送原语将响应推送到所述网络上。
15.如权利要求13所述的方法,其特征在于还包括以下步骤所述受管理单元通过使用俘获发送原语传送要寻址到所述伙伴设备和所述合作设备其中之一的数据,将主动提供的信息传送给所述管理中心;以及所述管理中心通过俘获接收原语来截收所述信息。
16.如权利要求13所述的方法,其特征在于,所述管理中心和所述受管理单元各包括主机层、传输层、验证层和管理服务层,所述方法在发送分组时还包括以下步骤所述管理服务层将首标与数据单元相连,所述首标包括时标、目标地址和源地址其中至少一个;将所述首标和数据单元转发给所述验证层;向所述分组添加鉴权码并且对所述分组加密;将所述加密的分组以二进制格式传递给所述传输层;将所述二进制格式转换成ASCII并且构建适合于所述主机层的网络分组;将所述网络分组传递给所述主机层;以及将所述网络分组插入发送队列。
17.如权利要求13所述的方法,其特征在于,所述受管理单元和所述管理中心各包括主机层、传输层、验证层和管理服务层,所述方法在发送分组时还包括以下步骤所述主机层监测所述网络以寻找与预定义模式匹配的分组;过滤出适合的分组;将所述分组转发到所述传输层;对确定所述分组是数据单元作出响应,将所述数据单元插入接收队列;将所述数据单元转换成二进制格式;将所述二进制数据单元转发到所述验证层;以及所述验证层计算分组密钥并且对所述数据单元解密。
全文摘要
一种用于从本地或远程管理中心隐蔽地管理无源网络设备的系统和方法。在两个或两个以上伙伴设备之间在数据网上建立的标准基于IP的会话在第一通信信道中进行。透明的无源网络设备收听它们所连接的数据网上传递的网络业务,并从此业务中提取它们的管理信息。通过产生模仿预期节点所发送的那些数据单元的协议数据单元(PDU),可以实现管理业务的反向。
文档编号H04L29/06GK1640094SQ03805659
公开日2005年7月13日 申请日期2003年1月21日 优先权日2002年1月18日
发明者P·埃夫拉德, O·纳沃, S·纳斯德罗维斯基, O·迪布瓦 申请人:伊普-塔普英国公司