专利名称:一种传输网管系统中安全管理设备的方法和装置的制作方法
技术领域:
本发明涉及通讯安全领域,尤其涉及一种传输网管系统中管理设备的方法。
背景技术:
一般的设备管理系统对设备进行运营管理维护,和设备的关系一般为多对 一,即多个设备管理系统可以同时接入一个设备,同时进行管理。为了安全的管 理设备,通常采用某种限制接入的方式,即只有具有某种权限的设备管理系统才 能接入设备进行管理。目前的限制接入的方式主要有以下两种 一是釆用管理者 管理的方式,即赋以某一设备管理系统管理某个设备的权限,这种方法将接入控 制和管理权限绑定依赖,登陆管理系统后,就具有了管理设备的权限,但这种方 法依赖过于紧密,不能将权限和登陆管理系统的用户区分;二是采用类似于操作 系统登陆用户的模型,在设备级别建立若干用户,给予这些用户进行管理设备的 一些权限,在设备级别对这些用户进行鉴权,通过的给予管理权限,这种方法实 现了设备管理系统和设备管理用户的区分,具有安全性良好的优点,但是由于设 备往往采用嵌入式系统实现,其资源内存都较少,这种登陆用户的模型实现需要 占用较多的资源进行存储,逻辑判断复杂。并且,目前的系统,为了判断出是哪 个管理系统在管理设备, 一般都会采用第一种方式,为了加强设备的安全管理, 会同时采用第二种方法,这两种方法交替使用,增加了资源浪费,使得安全管理 复杂度增加、易用性降低。
发明内容
本发明提供了一种传输网管系统中安全管理设备的方法和装置,解决了现 有技术中管理设备复杂、不够灵活、占用资源多的技术问题。 为解决上述技术问题,本发明采用的技术方案是
一种传输网管系统中安全管理设备的方法,其特征在于,包括如下步骤 步骤S100:由设备管理系统向所述设备发送请求管理的报文,报文里包括 请求密码和所述设备管理系统的ID;
步骤S101:由所述设备接收所述报文,解析出所述设备管理系统的ID,根据该ID确定该ID所属范围,获知所述范围内用户所具有的权限和鉴权密码; 步骤S103:由所述设备根据所述权限比较所述鉴权密码与请求密码,如果
一致,则允许所述设备管理系统管理设备。
优选的,所述用户包括传输网管系统中的设备管理系统和本地维护终端。 优选的,在步骤S101中,由所述设备根据管理目标ID范围来判断,如果
在0xC000 0xCFFF中为本地维护终端用户,否则是设备管理系统用户。
本发明还提供了一种传输网管系统中安全管理设备的装置,其特征在于,包
括
接收单元,用于接收由设备管理系统向所述设备发送请求管理的报文,报文
里包括请求密码和所述设备管理系统的ID;
解析单元,用于解析出接收的所述设备管理系统的ID,根据该ID确定该ID 所属范围,获知所述范围内用户所具有的权限和鉴权密码;
比较单元,用于根据获知的所述权限比较所述鉴权密码与请求密码,如果一 致,则允许所述设备管理系统管理所述设备。
优选的,所述解析单元用于解析出接收的管理目标的ID,根据该管理目标 的ID确定该管理目标的ID所属范围,获知所述范围内本地维护终端用户或设 备管理系统用户所具有的权限和鉴权密码。
优选的,所述装置还包括判断用户单元,用于由所述设备根据所述管理目 标ID范围来判断,如果在0xC000 0xCFFF中为本地维护终端用户,否则是设备 管理系统用户。
本发明的有益效果在于,由于采取了设备级别的安全管理、设备管理系统 ID与用户管理系统有机结合等技术措施,达到了协议复杂性降低,设备安全性能 增强的效果,降低了复杂度,增加了易用性,节省了数据处理时间和数据存储空 间。
图l是本发明提供的设备接入时候安全控制的流程; 图2是本发明提供的一个实施例中网管系统结构层次。
具体实施例方式
下面结合附图和具体实施例对本发明做进一步说明。如图1所示,本发明提供的传输网管系统中安全管理设备的方法包括如下步 骤由设备管理系统向所述设备发送请求管理的报文,报文里包括请求密码和所 述设备管理系统的ID;然后由所述设备接收所述报文,解析出所述设备管理系 统的ID,根据该ID确定该ID所属范围,获知所述范围内用户所具有的权限和 鉴权密码;再由所述设备根据所述权限比较所述鉴权密码与请求密码,如果一致, 则允许所述设备管理系统管理设备。
本发明提供的一个实施例是在传输网管中实现的网元安全管理功能,如图2 所示的网管系统架构,文中所有接口采用Asn.l文法描述。
1、 设备管理系统的ID在传输网管系统中被定义为唯一确定一个网管的OID (object id,目标id),在网管系统manager目录下的cfg配置文件中定义如下配置
项确定父Manager可以取最后一位作为ID; 〃parent OID 〃pmg's OID
parentMgrOid=l :3:6:1:4:1:99:1:8
2、 约定固定两个用户,EMS (网元管理系统)用户和LCT (本地维护终端) 用户,根据Manager OID范围来判断,如果在0xC000 — 0xCFFF中为LCT用户,否则 认为是EMS用户,系统管理员用户可以配置EMS用户和LCT用户可以使用的密 码,并使用命令0x5035 F口报文发送给Manager,由ManagerQx口报文0x500D下 发给NCP, NCP根据命令报文,存储EMS用户的密码和LCT用户的密码,约定EMS 和LCT这两个密码初始为空值;
F口配置网元的登陆用户列表(0x5035), NESecurityList ::= SEQUENCE OF NESecurity NESecurity::= SEQUENCE {
neld INTEGER
,attrNVSListList-T
Qx口配置网元的登陆用户列表命令(0x500D), typedef struct {
ULong 1MgrOID[16];〃 ManagerOID
UChar cUserName[8];〃用户名(8)
UChar cPassword[8];〃密码(8)UChar cReserved[8];〃保留
}SetNeSecurity—Qx;
3、 在需要管理网元时,传输网管的子Manager会向NCP发送登陆报文,报文
为Qx口描述,接口报文如下
/*-------------------------------------------
SMCC登录NCP命令(0x5001)
-------...................------------------*/
#define LOGIN—NE—CMD 0x5001 typedef struct {
ULong 1Mgr OID [ 16]; 〃 manager oid
UChar cPassword[8]; 〃 password } LoginNeCmd;
4、 NCP收到网管系统的登陆0x5001报文中,解析出网管的9位OID,如果OID 最后一位在0xC000—OxCFFF中为LCT用户,从步骤2中存储的LCT密码和报文中 的密码进行校验,如果符合允许网管接入,否则拒绝,进而提示用户密码不正确 LCT网管无法管理网元;如果OID最后一位不在0xC000—OxCFFF中认为是EMS 用户,从步骤2中存储的EMS密码和报文中的密码进行校验,如果符合允许网管 接入,否则拒绝,进而提示用户密码不正确EMS网管无法管理网元。
本发明提供的一种传输网管系统中安全管理设备的装置,包括
接收单元,用于接收由设备管理系统向所述设备发送请求管理的报文,报文
里包括请求密码和所述设备管理系统的ID;
解析单元,用于解析出接收的所述设备管理系统的ID,根据该ID确定该ID 所属范围,获知所述范围内用户所具有的权限和鉴权密码;
比较单元,用于根据获知的所述权限比较所述鉴权密码与请求密码,如果一 致,则允许所述设备管理系统管理所述设备。
所述解析单元用于解析出接收的管理目标的ID,根据该管理目标的ID确定 该管理目标的ID所属范围,获知所述范围内本地维护终端用户或设备管理系统 用户所具有的权限和鉴权密码。
所述装置还包括判断用户单元,用于由所述设备根据所述管理目标ID范围来 判断,如果在OxCOOO OxCFFF中为本地维护终端用户,否则是设备管理系统用户。
权利要求
1、一种传输网管系统中安全管理设备的方法,其特征在于,包括如下步骤步骤S100由设备管理系统向所述设备发送请求管理的报文,报文里包括请求密码和所述设备管理系统的ID;步骤S101由所述设备接收所述报文,解析出所述设备管理系统的ID,根据该ID确定该ID所属范围,获知所述范围内用户所具有的权限和鉴权密码;步骤S103由所述设备根据所述权限比较所述鉴权密码与请求密码,如果一致,则允许所述设备管理系统管理设备。
2、 如权利要求1所述的传输网管系统中安全管理设备的方法,其特征在于, 所述用户包括传输网管系统中的设备管理系统和本地维护终端。
3、 如权利要求2所述的传输网管系统中安全管理设备的方法,其特征在于, 在步骤S101中,由所述设备根据管理目标ID范围来判断,如果在 0xC000 0xCFFF中为本地维护终端用户,否则是设备管理系统用户。
4、 一种传输网管系统中安全管理设备的装置,其特征在于,包括-. 接收单元,用于接收由设备管理系统向所述设备发送请求管理的报文,报文里包括请求密码和所述设备管理系统的ID;解析单元,用于解析出接收的所述设备管理系统的ID,根据该ID确定该ID 所属范围,获知所述范围内用户所具有的权限和鉴权密码;比较单元,用于根据获知的所述权限比较所述鉴权密码与请求密码,如果一 致,则允许所述设备管理系统管理所述设备。
5、 如权利要求4所述的传输网管系统中安全管理设备的装置,其特征在于, 所述解析单元用于解析出接收的管理目标的ID,根据该管理目标的ID确定该管 理目标的ID所属范围,获知所述范围内本地维护终端用户或设备管理系统用户 所具有的权限和鉴权密码。
6、 如权利要求5所述的传输网管系统中安全管理设备的装置,其特征在于, 所述装置还包括判断用户单元,用于由所述设备根据所述管理目标ID范围来判 断,如果在0xC000 0xCFFF中为本地维护终瑞用户,否则是设备管理系统用户。
全文摘要
本发明涉及通讯安全领域,尤其涉及一种传输网管系统中管理设备的方法。本发明提供的技术方案为一种传输网管系统中安全管理设备的方法,其特征在于,包括如下步骤步骤S100由设备管理系统向所述设备发送请求管理的报文,报文里包括请求密码和所述设备管理系统的ID;步骤S101由所述设备接收所述报文,解析出所述设备管理系统的ID,根据该ID确定该ID所属范围,获知所述范围内用户所具有的权限和鉴权密码;步骤S103由所述设备根据所述权限比较所述鉴权密码与请求密码,如果一致,则允许所述设备管理系统管理设备。本发明达到了协议复杂性降低,设备安全性能增强的效果,降低了复杂度,增加了易用性,节省了数据处理时间和数据存储空间。
文档编号H04L12/56GK101321091SQ20081014164
公开日2008年12月10日 申请日期2008年7月18日 优先权日2008年7月18日
发明者旻 万 申请人:中兴通讯股份有限公司