专利名称:一种网络管理系统和方法
技术领域:
本发明涉及一种网络通信技术,尤其涉及一种网络管理系统和方法。
背景技术:
随着IT技术(信息技术)的发展,网络中各种数据存储量也越来越大,这样,就要求诸如数据中心所包括的服务器越来越多,为了更好地利用网络服务器的各种数据及程序的有效运行,人们需要通过用户终端对服务器中的数据及程序进行管理和维护。为描述方便,上述的服务器称作被管理端,上述的用户终端称作管理端。
如图1所示,在现有技术中,管理端利用管理协议通过中间链路对被管理端直接进行管理,所述的管理端采用用户接口通过管理协议与被管理端进行通信,以实现对被管理端的管理,所述的用户接口可采用WEB(网络)页面方式、GUI(图形用户接口)方式、CLI(命令行)方式。所述的管理协议可采用HTTP协议(超级文本传送协议)或SNMP协议(简单网络管理协议),所述的被管理端采用代理程序以接受用户接口的指令或响应用户接口的请求,所述的代理程序包括服务器程序、SNMP代理程序、其它代理程序。按照管理协议来分,可将现有技术的管理方法分为基于HTTP协议的管理方法和基于SNMP协议的管理方法,下面对上述管理方法进行分别描述。
基于HTTP协议的管理方法,是指通过Internet(互联网)服务器(比如Win平台下的IIS(Internet信息服务器),Linux平台下的Apache)实现基本的管理内容,并通过脚本或其他编程方式将管理内容反映到页面中,而用户终端可通过浏览器进行管理被管理端,浏览器和Internet服务器之间可以传输HTTP协议数据。
基于SNMP协议的管理方法,是指通过存在于被管理端的SNMP代理实现需要管理的内容,并通过SNMP协议将管理内容传到管理端,用户在管理端对被管理端进行管理操作。
在上述的现有技术中,由于管理端利用管理协议通过中间链路对被管理端直接进行管理,尽管被管理端通常有安全认证,仍然会对被管理端带来很大的风险,使得被管理端的安全性没有保障。另外,这种管理方式还会造成被管理端性能方面的降低,尤其是多个管理端同时管理被管理端时,对被管理端的影响会更加严重,甚至导致被管理端的崩溃。
发明内容
本发明的目的是提供一种网络管理系统和方法,能够提高被管理端的安全性。
本发明公开了一种网络管理系统,包括管理端,用于发送管理请求消息;交换服务器,用于接收所述管理端的管理请求消息,并对该管理请求消息进行验证,若通过验证,则生成管理请求命令;被管理端,接收来自所述交换服务器的管理请求命令,并执行该管理请求命令。
所述的交换服务器包括解析模块,用于接收管理端的管理请求消息,并对管理请求消息进行解析,以确定该消息的具体内容;验证模块,用于根据可用命令表对解析模块确定的消息内容进行验证,若验证结果正确,则启动消息转发模块,所述的可用命令表包括命令标识、命令参数、命令格式、用户名、被管理端标识;消息转发模块,用于将待发送消息的目的地址设为被管理端的地址;生成模块,用于将待转发的消息按照管理协议生成协议管理单元,并将协议管理单元组织成管理请求消息,然后按目的地址发出。
所述的解析模块具体包括消息解析模块,用于将管理端的管理请求解析为具体的管理请求消息;协议解析模块,用于将消息解析模块解析的管理请求消息进行解析,以确定该消息的具体内容;所述的生成模块具体包括协议管理单元生成模块,用于对待转发的消息按照管理协议生成协议管理单元;消息生成模块,用于对管理协议生成模块生成的协议管理单元组织成消息,并按目的地址发出。
所述的交换服务器还包括可用命令维护模块,用于维护可用命令表。
本发明还公开了一种网络管理方法,包括A、管理端向交换服务器发送管理请求消息;B、交换服务器对管理端的管理请求消息进行验证,若通过验证,则生成管理请求命令,并将管理请求命令发给被管理端;C、被管理端执行管理请求命令。
所述的交换服务器设置有可用命令表;所述的管理请求消息包括命令标识、命令参数和命令格式,或者命令标识、命令参数和命令格式与用户名和被管理端标识的任意组合。
所述的交换服务器对管理端的管理请求消息进行验证具体包括交换服务器根据可用命令表对管理请求消息验证管理命令正确性、验证用户权限和/或验证被管理端支持性。
所述的可用命令表包括管理命令表,其包括命令标识、命令参数和命令格式,用于确定命令的正确性;用户命令表,其包括用户名和命令标识,用于确定用户可用的命令;被管理端命令表,其包括被管理端标识和可用命令标识,用于确定被管理端可识别的命令。
所述的验证管理命令正确性具体包括交换服务器的验证模块确定管理请求消息中的命令标识、命令参数、命令格式是否与管理命令表中的内容相对应;所述的验证用户权限具体包括交换服务器的验证模块确定该命令是否在用户命令表中;所述的验证被管理端支持性具体包括交换服务器的验证模块确定该命令是否存在于被管理端命令表中。
在执行所述的步骤B之前还执行交换服务器的验证模块验证用户名和用户密码是否相符。
所述的方法还包括可用命令维护模块需对可用命令表进行维护。
根据本发明,通过在管理端和被管理端之间增加交换服务器,相当于在管理端和被管理端之间加了一道防火墙,可以过滤掉非法的管理请求,增加了被管理端的安全性。此外,通过在交换服务器的验证工作,被管理端可以专注于对正常请求的处理,减少了被管理端的负担,提高了被管理端的工作效率。
图1示出了现有技术的网络管理系统的示意图;图2示出了本发明实施例的网络管理系统的示意图;图3示出了本发明实施例的Socket交换服务器的功能结构示意图;图4示出了本发明的网络管理方法的流程图。
具体实施例方式
为了便于本领域一般技术人员理解和实现本发明,现结合附图描绘本发明的实施例。
本发明的基本思想是,在管理端和被管理端之间增加一个交换服务器,所述的交换服务器用于接收管理端的管理请求消息,并对该管理请求消息进行验证,若通过验证,则将管理请求消息发给被管理端。这样,就会增加被管理端的安全性,另一方面,也会减少被管理端的安全验证工作。下面以Socket交换服务器为例来说明本发明。
如图2所示,本发明提供了一种网络管理系统,所述的网络管理系统包括管理端、Socket交换服务器和被管理端。
所述的管理端用于向Socket交换服务器发送管理请求消息,所述的管理请求消息包括管理命令、用户名、用户密码、被管理端标识;所述的管理命令包括命令标识、命令参数、命令格式。利用管理请求消息的不同管理内容,可实现用户的各种管理操作,比如增加新的对象,列出对象列表等命令。所述的管理端采用用户接口的方式通过管理协议与被管理端进行通信,以实现对被管理端的管理,所述的用户接口可采用WEB页面方式、GUI方式、CLI方式。所述的管理协议可采用HTTP协议或SNMP协议。在管理端向Socket交换服务器发送管理请求消息之前,管理端需对管理请求消息打成数据包,然后以数据包的形成发给Socket交换服务器。
所述的Socket交换服务器用于接收管理端的数据包,并对数据包进行处理,以确定管理请求消息的合法性。
如图3所示,所述的Socket交换服务器包括解析模块,用于对管理端数据包的管理请求消息进行解析,以确定管理请求消息的具体内容,所述的解析模块具体包括消息解析模块和管理协议解析模块,所述的消息解析模块用于将管理端的数据包解析为具有具体含义的管理请求消息,所述的管理协议解析模块用于将消息解析模块解析的管理请求消息进行解析,以确定管理请求消息的具体内容;验证模块,用于根据可用命令表对解析模块解析的消息内容进行验证,以过滤掉非法的管理请求消息;可用命令维护模块,用于维护可用命令表的内容,如提供合法的命令标识、格式,或者对可用命令表中的内容进行删除或修改;消息转发模块,用于根据验证模块的结果对管理请求消息进行转发,若管理请求消息是合法的,则将管理请求消息的目的地址设为被管理端的地址,否则,向管理端返回错误消息,将错误消息的目的地址设为管理端的地址;生成模块,用于将待转发的消息按照管理协议生成协议管理单元,并将协议管理单元组织成待发送的消息,以便可通过如TCP/IP协议按目的地址发出,所述的生成模块包括协议管理单元生成模块和消息生成模块,所述的协议管理单元生成模块用于对待转发的消息按照管理协议生成协议管理单元,所述的消息生成模块用于对管理协议生成模块生成的协议管理单元组织成待发送消息,然后可通过如TCP/IP协议按目的地址发出。
由于Socket交换服务器将管理端和被管理端分隔开来,并对管理请求消息进行了验证,所以可以对被管理端有保护作用,减少被管理端的负荷。
所述的被管理端采用代理程序以接受用户接口的管理请求,所述的管理请求包括用户接口的指令或用户接口的请求,所述的代理程序包括服务器程序、SNMP代理程序、其它代理程序。
本发明还提供了一种网络管理方法,如图4所示,下面详细描述本发明的网络管理方法。
步骤1、管理端首先将管理请求消息组织成数据包,然后将数据包通过管理协议传送到Socket交换服务器。所述的管理请求消息包括管理命令、用户名、用户密码、被管理端标识,所述的管理命令包括命令标识、命令参数、命令格式。
步骤2、Socket交换服务器的消息解析模块对接收到的数据包进行消息解析,获取数据包中包含的管理请求消息。
步骤3、管理协议解析模块对消息解析模块确定的管理请求消息作进一步的处理,获取管理请求消息中的内容,如获得管理请求消息中的命令标识、命令参数、命令格式、用户名、用户密码、被管理端标识。
步骤4、验证模块对管理协议解析模块获得的消息内容根据可用命令表的内容进行判断,以确定管理请求消息是否正确,若正确,执行步骤5,否则,将该管理请求消息丢弃,并生成错误消息,执行步骤5。
可用命令表包括命令标识、命令参数、命令格式、用户名、被管理端标识。为简化可用命令表,可将命令表分为三个表管理命令表,其包括命令标识、命令参数和命令格式,用于确定管理命令的正确性;用户命令表,其包括用户名和命令标识,用于确定用户的权限;被管理端命令表,其包括被管理端标识和可用命令,用于确定被管理端可识别的命令,即被管理端对该命令的支持性。
为了保证可用命令表的正确性,可用命令维护模块需对可用命令表进行维护,如对可用命令表中的命令进行添加、删除、修改等操作。对可用命令表的维护可以是系统管理员手工维护,也可以由被管理端的代理程序进行维护,例如,被管理端的代理程序向Socket交换服务器上报被管理端的命令,Socket交换服务器根据接收到被管理端的命令更新可用命令表。
为了确定管理请求消息内容的正确性,可将管理请求消息内容与可用命令表的内容进行匹配,若可用命令表中包含管理请求消息内容,则表明所接收的管理请求消息正确,否则,所接收的消息错误。
例如,可首先验证用户名和用户密码是否相符,若不相符,则对该管理请求进行错误处理,如将该管理求丢弃,或者向管理端发送提示消息,若相符,则进一步确定管理请求中的命令标识、命令参数、命令格式是否与管理命令表中的内容相对应,若不对应,则对该管理请求进行错误处理,如将该管理求丢弃,或者向管理端发送提示消息,若对应,则进一步确定该管理命令是否在用户命令表中,若不是,则表示不允许该用户使用该管理命令,若是,允许该用户使用该管理命令,并进一确定该管理命令是否存在于被管理端命令表中,若是,则表示该管理命令正确,执行步骤5,否则对该管理请求进行错误处理,如将该管理求丢弃,或者向管理端发送提示消息。
在上述验证过程中,描述了交换服务器根据可用命令表对管理请求消息进行验证管理命令正确性、验证用户权限和验证被管理端支持性的过程。事实上,在交换服务器上,也可以仅执行部分验证操作,而将另一部分验证操作由被管理端执行,即,交换服务器执行验证管理命令正确性、验证用户权限和验证被管理端支持性三个步骤中任意一个步骤或两个步骤,而将另外的验证步骤放在被管理端上。
步骤5、对正确的管理请求消息,将其目的地址设为被管理端的地址;对错误消息,根据管理请求消息的源地址设置目的地址,如将管理请求消息的源地址设为错误消息的目的地址,以通知管理端管理请求消息有错误。
步骤6、对待转发的消息按照管理协议生成协议管理单元。
步骤7、对管理协议生成模块生成的协议管理单元组织成待发送消息。
步骤8、通过如TCP/IP协议将待转发的消息传送到目的地址标识的设备上,以实现管理端对被管理端的管理,或者通知管理端管理请求消息是否存在错误。
对于从被管理端的代理程序过来的命令响应,Socket交换服务器对其处理流程类似于上面步骤2-8,但可以没有步骤4即验证过程,该命令响应消息通过如TCP/IP传送到对应管理端上的用户接口。
对于从代理程序主动发来的事件,Socket交换服务器处理流程也基本类似。
根据本发明,Socket交换服务器对消息的转发,不局限于单播,还可以采用多播或广播方式。所述的消息包括来自于管理端的管理请求消息、来自于代理程序的响应消息、代理程序主动发向Socket交换服务器的事件消息。
另外,Socket交换服务器可以是单独的设备,还可以模块形式集成在其他设备中。
根据本发明,通过在管理端和被管理端之间增加Socket交换服务器,相当于在管理端和被管理端之间加了一道防火墙,可以过滤掉非法的管理请求消息,增加了被管理端的安全性。此外,通过在Socket交换服务器的验证工作,被管理端可以专注于对正常请求消息的处理,减少了被管理端的负担,提高了被管理端的工作效率。
虽然通过实施例描绘了本发明,但本领域普通技术人员知道,在不脱离本发明的精神和实质的情况下,就可使本发明有许多变形和变化,本发明的范围由所附的权利要求来限定。
权利要求
1.一种网络管理系统,其特征在于,包括管理端,用于发送管理请求消息,所述的管理请求消息包括管理命令;交换服务器,用于接收所述管理端的管理请求消息,并对该管理请求消息进行验证,若通过验证,则将所述管理请求消息转发给被管理端;被管理端,接收来自所述交换服务器的管理请求消息,并执行该管理请求消息的管理命令。
2.根据权利要求1所述的网络管理系统,其特征在于,所述的交换服务器包括解析模块,用于接收管理端的管理请求消息,并对管理请求消息进行解析,以确定该消息的具体内容;验证模块,用于根据可用命令表对解析模块确定的消息内容进行验证,若验证结果正确,则启动消息转发模块,所述的可用命令表包括命令标识、命令参数、命令格式、用户名、被管理端标识;消息转发模块,用于将待发送消息的目的地址设为被管理端的地址;生成模块,用于将待转发的消息按照管理协议生成协议管理单元,并将协议管理单元组织成管理请求消息,然后按目的地址发出。
3.根据权利要求2所述的网络管理系统,其特征在于,所述的解析模块具体包括消息解析模块,用于将管理端的管理请求消息解析为具体的管理请求消息;协议解析模块,用于将消息解析模块解析的管理请求消息进行解析,以确定该消息的具体内容;
4.根据权利要求2所述的网络管理系统,其特征在于,所述的生成模块具体包括协议管理单元生成模块,用于对待转发的消息按照管理协议生成协议管理单元;消息生成模块,用于对管理协议生成模块生成的协议管理单元组织成消息,并按目的地址发出。
5.根据权利要求2所述的网络管理系统,其特征在于,所述的交换服务器还包括可用命令维护模块,用于维护可用命令表。
6.一种网络管理方法,其特征在于,包括A、管理端向交换服务器发送管理请求消息,所述的管理请求消息包括管理命令;B、交换服务器对管理端的管理请求消息进行验证,若通过验证,则将管理请求消息转发给被管理端;C、被管理端执行管理请求消息的管理命令。
7.根据权利要求6所述的网络管理方法,其特征在于,所述的交换服务器设置有可用命令表;所述的管理请求消息包括管理命令,或者管理命令与用户名和被管理端标识的任意组合;所述的管理命令包括命令标识、命令参数和命令格式。
8.根据权利要求7所述的网络管理方法,其特征在于,所述的交换服务器对管理端的管理请求消息进行验证具体包括交换服务器根据可用命令表对管理请求消息验证管理命令正确性、验证用户权限和/或验证被管理端支持性。
9.根据权利要求8所述的网络管理方法,其特征在于,所述的可用命令表包括管理命令表,其包括命令标识、命令参数和命令格式,用于确定命令的正确性;用户命令表,其包括用户名和命令标识,用于确定用户可用的命令;被管理端命令表,其包括被管理端标识和可用命令标识,用于确定被管理端可识别的命令。
10.根据权利要求9所述的网络管理方法,其特征在于,所述的验证管理命令正确性具体包括交换服务器的验证模块确定管理请求消息中的命令标识、命令参数、命令格式是否与管理命令表中的内容相对应;所述的验证用户权限具体包括交换服务器的验证模块确定该命令是否在用户命令表中;所述的验证被管理端支持性具体包括交换服务器的验证模块确定该命令是否存在于被管理端命令表中。
11.根据权利要求6所述的网络管理方法,其特征在于,在执行所述的步骤B之前还执行交换服务器的验证模块验证用户名和用户密码是否相符。
12.根据权利要求7至11其中之一所述的网络管理方法,其特征在于,所述的方法还包括可用命令维护模块需对可用命令表进行维护。
全文摘要
本发明公开了一种网络管理设备,包括管理端,用于向Socket交换服务器发送管理请求消息;Socket交换服务器,用于对管理端的管理请求消息进行验证,若通过验证,则生成管理请求命令,并将管理请求命令发给被管理端;被管理端,用于执行管理请求命令。本发明还公开了种网络管理方法。根据本发明,通过在管理端和被管理端之间增加Socket交换服务器,相当于在管理端和被管理端之间加了一道防火墙,可以过滤掉非法的管理请求消息,增加了被管理端的安全性。此外,通过在Socket交换服务器的验证工作,被管理端可以专注于对正常请求的处理,减少了被管理端的负担,提高了被管理端的工作效率。
文档编号H04L29/06GK1909476SQ20061011180
公开日2007年2月7日 申请日期2006年8月23日 优先权日2006年8月23日
发明者张少林, 张华 , 李正杰 申请人:华为技术有限公司