专利名称:一种通过远程拨号接入进行系统设备配置的方法
技术领域:
本发明涉及网络安全技术,具体涉及一种通过远程拨号接入进行系统设备配置的方法。
背景技术:
网络安全是系统安全的一个有机组成部分,网络安全主要包括物理线路、网络设备的安全性(物理层、链路层的安全)、TCP(传输控制协议)/IP(互联网络协议)的安全性(网络层、传输层的安全)等方面。在网络设备方面存在的隐患较大,首先是物理设备本身的安全性,这可以通过各种管理手段来进行控制;其次是网络服务的安全性,例如非法用户可以通过远程登录到路由器/交换机上进行系统配置或IOS(因特网操作系统)软件的破坏,致使物理设备完好无损,但是不能进行路由/局域网交换的功能,因此需要对系统的配置进行管理,它包括获得当前网络配置的信息,提供远程修改配置的手段,储存维护最新的设备清单并产生报告。
以路由器为例,一般来说可以有五种方式来配置路由器1.通过Console(控制台)口接终端或运行终端仿真软件的微机对路由器进行本地配置。
2.AUX口(辅助口)接MODEM(调制解调器),通过电话线与远方的终端或运行终端仿真软件的微机相连,如附图1所示,通过远程拨号,PC机登陆到路由器,就象PC机直接通过串口在本地对路由器进行配置一样。
3.通过Ethernet(以太网)上的TFTP(小文件传输协议)服务器。
4.通过Ethernet上SNMP(简单网络管理协议)网管工作站。
5.通过Ethernet上Telnet(远程登陆)程序。
图2是一个通过其中远程拨号对路由器的配置过程示意图。通过远程拨号与路由器的AUX口连接,可以远程管理路由器,另外,也可以与路由器的异步串口连接,达到远程管理路由器的目的。
例如,华为路由器的命令状态有以下几种情况1.<Quidway>表示路由器处于用户视图状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能更改路由器的设置内容。
2.[Quidway]在<Quidway>提示符下键入system,出现提示符[Quidway],此时路由器处于系统视图,这时可以设置路由器的全局参数。
3.[Quidway-If];[Quidway-ui]表示路由器处于接口视图下,这时可以设置路由器某个局部的参数。
4.>路由器处于RXBOOT状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。
通过远程拨号接入对路由器进行配置时,当拨号协商通过以后,路由器创建命令行并把命令行提示符发送到对端,此时命令行处于用户视图状态,用户可以在这个模式下进行一些简单的查询和配置命令,如果用户拥有系统视图密码,则可以输入密码进入系统视图状态,进入系统视图状态后,用户就拥有对路由器完全的配置管理权力。由此可见,远程拨号登录用户即使没有系统视图密码,也能够直接进入用户视图状态,对路由器系统造成安全隐患;另外,如果该用户一旦非法获得系统视图密码,将对系统安全构成严重威胁。
发明内容
本发明的目的是克服现有技术的上述缺点,提供一种通过远程拨号接入进行系统设备配置的方法,所述方法包括步骤配置MODEM(调制解调器)允许通过远程拨号接入进行系统设备配置的电话号码;用户通过远程拨号请求接入系统;获取所述用户的电话号码;判断所述用户的电话号码是否与已配置的所述允许通过远程拨号接入进行系统设备配置的电话号码相同,如果相同,则允许所述用户接入并对系统设备进行配置;如果不相同,则中断所述用户接入。
可选地,所述配置MODEM允许通过远程拨号接入进行系统设备配置的电话号码的步骤进一步包括通过命令配置MODEM允许通过远程拨号接入进行系统设备配置的电话号码。
优选地,所述获取所述用户的电话号码的步骤进一步包括配置所述MODEM的等待来电号码时间;振铃提示进入等待来电号码状态;判断等待时间是否超过所述预置的所述MODEM的等待来电号码时间;如果等待时间超过所述预置的所述MODEM的等待来电号码时间,则中断所述用户接入,否则,则获取所述用户的电话号码。
优选地,所述获取所述用户的电话号码的步骤进一步包括配置所述MODEM获取来电号码的命令;用所述命令获取所述用户的电话号码。
优选地,所述允许用户接入并对系统设备进行配置的步骤进一步包括
通知所述MODEM摘机;进行参数协商;协商通过,则所述用户接入并对系统设备进行配置,协商未通过,则中断所述用户接入。
可选地,所述通知所述MODEM摘机的步骤进一步包括通过向所述MODEM发送命令通知该MODEM摘机。
优选地,所述协商通过,则所述用户接入并对系统设备进行配置的步骤进一步包括创建命令行并发送到系统配置端;所述系统配置端反馈配置消息;配置完毕挂机断开所述用户的连接。
可选地,所述配置完毕挂机断开所述用户连接的步骤进一步包括通过向所述MODEM发送命令以挂机断开所述用户连接。
利用本发明,通过识别接入用户的来电号码决定是否接通该线路,可以有效地避免非法用户进入系统设备的用户系统,对系统设备进行非法设置,造成对系统的破坏。
图1是远程拨号配置常用组网图;图2是现有技术中通过远程拨号接入进行系统设备配置过程图;图3是现有技术中数据通信设备处理呼入流程时状态迁移示意图;图4是本发明通过远程拨号接入进行系统设备配置的方法中数据通信设备处理呼入流程时的状态迁移示意图;图5是本发明的优选实施例通过远程拨号接入进行系统设备配置的方法的步骤的流程图;
图6是现有技术中通过远程拨号接入进行系统设备配置的方法的步骤的流程图。
具体实施例方式
下面结合附图和实施方式对本发明作进一步的详细说明首先参照图1,图1描述了远程拨号配置常用组网图。图中,PC机和Router(路由器)分别通过Modem11和Modem12与PSTN(公众电话网)相连,通过远程拨号,PC机通过Modem11调制,PSTN传输,Modem12解调登陆到路由器,对路由器进行配置,如同PC机直接通过串口在本地对路由器进行配置一样。
在PC机与路由器通过Modem11和Modem12进行通信之前,需要分别在PC侧对Modem11,在路由器侧对Modem12的一些工作参数进行配。一般来说,连接MODEM的方法和有关内容可参阅用户指南或路由器安装向导。通常在路由器中配置MODEM有两种方法使用路由器自动寻踪和配置常见的MODEM初始化字符串(自动配置)、手工配置MODEM。配置MODEM分为三个步骤连接MODEM、配置线路、设置参数。有些路由器已经内置集成MODEM,无需外接MODEM。配置线路需要进入线路配置模式,指定所要配置的线路号并允许拨号登录。线路配置完后,就可以设置连接在路由器上的MODEM的字符串了。配置路由器外接MODEM包括MODEM通信连接、自动配置MODEM、手工配置MODEM、测试拨号连接等步骤,具体操作可参考MODEM的配置或用户手册。
本发明就是基于上面所述的这种组网方式,提供一种通过远程拨号接入进行系统设备配置的方法,在该方法中,需要通过来电识别管理远程拨号配置,所以配置侧所用MODEM应该支持来电显示功能。由于该来电显示功能属于电信增值服务项目,可预先在电信局登记开通此项业务。
下面参照图5对本发明作进一步的详细介绍。
参照图5,图5描述了本发明的优选实施例通过远程拨号接入进行系统设备配置的方法的步骤的流程首先在步骤50配置允许通过远程拨号管理路由器的电话号码,如通过“modem access telephone-number interger”命令进行配置,由于不同的MODEM设备厂商设置Modem提示来电号码的命令不同,在路由器配置MODEM时,需要配置获取来电号码的AT命令,如“modem incoming-telepnumber-commandAT-command-string”,否则默认采用“AT#CID”命令获取来电号码。MODEM的AT命令CID和VCID是设置是不是来电显示的命令,具体使用什么AT命令,需要参考MODEM的配置或用户手册;然后,进到步骤51,设置MODEM的等待来电号码时间;进到步骤52,用户通过远程拨号请求接入;此时,进到步骤53,路由器端的MODEM振铃,进入等待来电号码状态;进到步骤54,根据已配置的MODEM的等待来电号码时间,判断等待是否超时,如果超时,还未收到来电号码,则进到步骤58,通过向MODEM发送AT命令“ATD!”挂机,中断用户接入;然后,返回到步骤52,等待用户请求接入;如果未超时,则进到步骤55,利用已配置的获取来电号码的AT命令,如“modem incoming-telepnumber-command AT-command-string”或者默认的“AT#CID”命令获取请求接入用户的来电号码;然后,进到步骤56,判断获取的来电号码是否与已配置的允许通过远程拨号管理路由器的电话号码是否相同,以决定是否接通来电;
如果不相同,则进到步骤58,通过向MODEM发送AT命令“ATD!”挂机,中断用户接入;然后,返回到步骤52,等待用户请求接入;如果相同,则进到步骤57,允许用户接入并对系统设备进行配置。
此后,用户接入并对系统设备进行配置的过程同图6所描述的现有技术中从通知MODEM摘机到配置完毕断开连接的过程相同。
参照图6,图6描述了现有技术中通过远程拨号接入进行系统设备配置的方法的步骤的流程首先,在步骤61,用户请求接入;然后,进到步骤62,振铃提示、通知MODEM摘机;进到步骤63,配置侧的MODEM与用户侧的MODEM进行通信速率等参数的协商;进到步骤64,判断协商是否超过MODEM已配置的参数协商时间;如果协商超时,则进到步骤67,断开用户接入;如果协商未超时,则进到步骤65,判断协商是否通过;如果协商未通过,则进到步骤67,中断用户接入;如果协商通过,则进到步骤66,路由器创建命令行提示符发送到对端;然后,进到步骤68,用户即可对路由器进行配置。
上面所述当参数协商通过以后,路由器创建命令行并把命令行提示符发送到对端后,此时命令行处于用户视图,用户可以在这个模式下进行一些简单的查询和配置命令,如果用户拥有系统视图密码,则可以输入此密码进入系统视图状态,进入系统视图状态后,用户就拥有对路由器完全的配置管理权力。
为了更详细地说明本发明,图4描述了本发明通过远程拨号接入进行系统设备配置的方法中数据通信设备处理呼入流程时的状态迁移示意图参照图4,在此过程中,路由器的MODEM经历了四种状态变化,分别是路由器MODEM闲置状态41;路由器MODEM来电等待状态42;路由器MODEM准连接状态43;路由器MODEM连接状态44。
在闲置状态41时,接到请求接入用户的振铃提示后,即进入来电等待状态42。
在来电等待状态42时,如果等待超时,则通过向MODEM发送挂机的AT命令“ATD!”挂断来电,返回到闲置状态41;否则接收来电号码,判断来电号码是否为允许接入的来电号码;如果是,则通过向MODEM发送摘机的AT命令“ATA”通知路由器MODEM摘机,进入准连接状态43;如果不是,则通过向MODEM发送挂机的AT命令“ATD!”挂断来电,返回闲置状态41;在准连接状态43时,路由器侧的MODEM与用户侧的MODEM进行通信速率等参数的协商,如果协商未通过或超时,则通过向MODEM发送挂机的AT命令“ATD!”挂断来电,返回闲置状态41;如果协商通过,则进入连接状态44。
在连接状态44时,路由器创建命令行并把命令行提示符发送到对端,此时命令行处于用户视图,用户可以在这个模式下进行一些简单的查询和配置命令,当用户输入“system”命令后,路由器提示输入password(密码),如果用户拥有系统视图密码,则可以输入密码进入系统视图,进入系统视图后,用户就拥有对路由器完全的配置管理权力。对路由器配置完毕,通过向MODEM发送挂机的AT命令“ATD!”断开连接,路由器MODEM返回闲置状态41。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种通过远程拨号接入进行系统设备配置的方法,其特征在于,所述方法包括步骤配置MODEM(调制解调器)允许通过远程拨号接入进行系统设备配置的电话号码;用户进行远程拨号,请求接入所述系统;获取所述用户的电话号码;判断所述用户的电话号码是否与已配置的所述允许通过远程拨号接入进行系统设备配置的电话号码相同,如果相同,则允许所述用户接入并对系统设备进行配置;如果不相同,则中断所述用户接入。
2.如权利要求1所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述配置MODEM允许通过远程拨号接入进行系统设备配置的电话号码的步骤进一步包括通过命令配置MODEM允许通过远程拨号接入进行系统设备配置的电话号码。
3.如权利要求1所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述获取所述用户的电话号码的步骤进一步包括配置所述MODEM的等待来电号码时间;振铃提示进入等待来电号码状态;判断等待时间是否超过所述预置的所述MODEM的等待来电号码时间;如果等待时间超过所述预置的所述MODEM的等待来电号码时间,则中断所述用户接入,否则,则获取所述用户的电话号码。
4.如权利要求3所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述获取所述用户的电话号码的步骤进一步包括配置所述MODEM获取来电号码的命令;用所述命令获取所述用户的电话号码。
5.如权利要求1所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述允许用户接入并对系统设备进行配置的步骤进一步包括通知所述MODEM摘机;进行参数协商;协商通过,则所述用户接入并对系统设备进行配置,协商未通过,则中断所述用户接入。
6.如权利要求5所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述通知所述MODEM摘机的步骤进一步包括通过向所述MODEM发送命令通知该MODEM摘机。
7.如权利要求5所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述协商通过,则所述用户接入并对系统设备进行配置的步骤进一步包括创建命令行并发送到系统配置端;所述系统配置端反馈配置消息;配置完毕挂机断开所述用户的连接。
8.如权利要求7所述的通过远程拨号接入进行系统设备配置的方法,其特征在于,所述配置完毕挂机断开所述用户连接的步骤进一步包括通过向所述MODEM发送命令以挂机断开所述用户连接。
全文摘要
本发明提供了一种通过远程拨号接入进行系统设备配置的方法,所述方法包括步骤配置MODEM(调制解调器)允许通过远程拨号接入进行系统设备配置的电话号码;用户远程拨号请求接入;获取所述用户的电话号码;判断所述用户的电话号码是否与已配置的所述允许通过远程拨号接入进行系统设备配置的电话号码相同,如果相同,则允许所述用户接入并对系统设备进行配置;如果不相同,则中断所述用户接入。利用本发明,可通过识别接入用户的来电号码决定是否接通该线路,可以有效地避免非法用户进入系统设备的用户系统,对系统设备进行非法设置,造成对系统的破坏。
文档编号H04M11/06GK1585448SQ03155240
公开日2005年2月23日 申请日期2003年8月23日 优先权日2003年8月23日
发明者付艳, 张瑞 申请人:华为技术有限公司