专利名称:基于简单网络管理协议的认证方法
技术领域:
本发明涉及通信网络管理技术领域,特别涉及一种应用在网络管理技术中的认证方法。
背景技术:
目前,通信网络系统中应用最为广泛的网络管理协议是由互联网工程任务组(IETF,Internet Engineering Task Force)提出的简单网络管理协议(SNMP,Simple Network Management Protocol),SNMP提出的主要目标是保证网络管理信息能够在网络系统中任意两节点之间传送,便于网络管理人员在网络的任意节点之间检索信息,进行参数修改,寻找节点设备故障,完成故障诊断,容量规划和报告生成,因此SNMP已经成为被用户广泛接受并投入使用的工作标准。
参照图1,该图是现有技术中SNMP系统的主要组成结构和各个组成部分之间的工作过程图。如图,对整个通信网络进行管理的SNMP系统主要包括网管工作站(NMS,Network Management Station)10、管理代理(Agent)20和管理信息库(MIB,Management Information Base),上述各个功能实体的作用如下网管工作站10在通信网络系统中通常是一个独立的设备,用作网络管理人员进行网络管理的用户接口,具备向各个管理代理20发送请求信息的能力,同时能够支持将各个管理代理20发来的响应信息显示给网络管理人员,以进行结果数据分析;管理代理20是指具体安装到通信网络中被管理设备上的软件或固件,以用来跟踪被管理设备的工作状态,并和网管工作站10进行各种管理信息的通信,而SNMP就是用来规定网管工作站10和各个管理代理20之间如何传递管理信息的应用层协议;管理信息库包括所有被管理设备列表,每个被管理设备列表内存储有该被管理设备的所有工作状态参数,管理代理20会根据接收的网管工作站10发来的请求信息对管理信息库进行参数查询操作或参数设置操作,并生成相应的响应信息反馈给网管工作站10。
上述网管工作站10和管理代理20之间传递的管理信息都封装成标准的SNMP数据包格式进行传输,参照图2,该图是现有技术中SNMP的标准数据包格式示意图。该数据包主要包括版本标识符(Version Identifier)、团体名(Community Name)和协议数据单元(PDU,Protocol Date Unit)三个部分,其中版本标识符用来确保网管工作站10和管理代理20之间使用相同的SNMP协议(SNMP有三个版本V1,V2和V3),每个管理代理20通过识别该版本标识符来抛弃网管工作站10发来的与自己协议版本不同的管理信息数据包。
团体名用于管理代理20对网管工作站10进行认证,当网管工作站10使用SNMP对被管理设备进行管理时,要把针对获取该被管理设备访问权的团体名封装在管理信息数据包中,发送给相应被管理设备中的管理代理20,该管理代理20接收到网管工作站10发来的管理信息数据包后,解析出该数据包中包头信息中的团体名,并将该解析出的团体名和自己所在被管理设备上预先配置的团体名进行比较,如果一致,该管理代理20就允许网管工作站10访问该对应被管理设备,进行各种管理信息的查询或设置操作;如果不一致,该管理代理20就把网管工作站10发来的管理信息丢弃掉。
而协议数据单元用于封装具体的管理信息内容。
综上,利用SNMP数据包中的团体名来实现管理代理20对网管工作站10的认证,需要在SNMP系统中将相应的团体名预先配置在网管工作站10和每个被管理设备中(其中在团体名的配置过程中,每个被管理设备都要配置自己的团体名,为每个被管理设备配置的团体名可以相同,也可以不同,当网管工作站10对特定被管理设备进行管理操作时,要使用特定的团体名获取该被管理设备的访问权限)。因此采用上述这种基于SNMP的认证方法,需要为每个被管理设备配置相应的团体名,导致了很大的配置工作量,也为修改所有配置的团体名带来不便;同时由于每个被管理设备上都配置有自己的团体名,所以容易泄漏所配置的团体名给外界,从而使网络管理过程在安全机制方面存在着弊端。
发明内容
本发明要解决的技术问题是提出一种基于简单网络管理协议的认证方法,以简化团体名的配置过程,并提高网络管理过程的安全机制。
为解决上述问题,本发明提出了一种基于简单网络管理协议的认证方法,用于通信网络系统管理操作进程中基于简单网络管理协议的认证处理,所述通信网络系统包括网管工作站,认证服务器和被管理设备,所述被管理设备中设置有管理代理,包括如下步骤(1)将被管理设备的团体名分别配置在网管工作站和认证服务器中;(2)当网管工作站要对一个被管理设备进行管理操作时,将封装有该被管理设备团体名的管理信息数据包发送到该被管理设备,再由该被管理设备中设置的管理代理将接收的管理信息数据包转发给认证服务器;(3)认证服务器解析出管理信息数据包中封装的该被管理设备的团体名,并和自身配置的该被管理设备的团体名进行比对认证处理,如果认证通过,认证服务器发送认证成功报文给该被管理设备;如果认证不通过,则认证服务器发送认证失败报文给该被管理设备;(4)该被管理设备接收到认证成功报文时,指示自身设置的管理代理响应网管工作站发来的管理信息数据包;而该被管理设备接收到认证失败报文时,指示自身设置的管理代理丢弃网管工作站发来的管理信息数据包。
其中步骤(1)进一步包括(11)建立每个被管理设备的标识和每个被管理设备的团体名之间的映射关系;(12)将所建立的映射关系分别配置在网管工作站和认证服务器中。
其中步骤(2)中所述管理信息数据包中还封装有该被管理设备的标识。
所述步骤(3)中认证服务器在进行团体名认证处理之前还包括认证服务器解析出管理信息数据包中封装的该被管理设备的标识;并根据解析出的该标识到自身配置的映射关系中索引相应的团体名。
本发明能够达到如下的有益效果由于本发明基于简单网络管理协议的认证方法不采用现有技术中将每个被管理设备上的团体名配置在相应的被管理设备上,而是将每个被管理设备的团体名集中配置在通信网络系统中的认证服务器中,所以减少了分散为每个被管理设备配置相应团体名的配置工作量,也减轻了被管理设备的配置复杂度,同时便于集中修改被管理设备变化的团体名。
更进一步,由于本发明基于简单网络管理协议的认证方法避免了传统技术中将团体名分别配置在每个被管理设备中,容易泄漏所配置的团体名给外界的弊端,而是集中将所有被管理设备的团体名统一设置在认证服务器上,降低了泄漏的可能性,从而提高了网络管理过程中的安全机制。
图1是现有技术中SNMP系统的主要组成结构和各个组成部分之间的工作过程图;图2是现有技术中SNMP的标准数据包格式示意图;图3是本发明基于SNMP的认证方法的具体实现流程图;
图4是本发明基于SNMP的认证方法中被管理设备标识和被管理设备团体名之间的映射关系表示意图;图5是本发明基于SNMP的认证方法中被管理设备的标识采用被管理设备的IP地址所形成被管理设备标识和被管理设备团体名之间的映射关系表示意图;图6是本发明基于SNMP的认证方法中一实施例具体处理过程流程图。
具体实施例方式
本发明基于简单网络管理协议SNMP的认证方法的设计宗旨是在通信网络系统中,将传统技术中分散在每个被管理设备中分别配置自身的团体名,以用于对网管工作站NMS发来的管理信息数据包进行认证,更改为将每个被管理设备的团体名集中配置在网络系统中的认证服务器中,由认证服务器集中对NMS发送到每个被管理设备的管理信息数据包进行集中认证,所以为被管理设备团体名的配置和修改带来了方便,同时配置给被管理设备的团体名不会具体出现在被管理设备上,从而不易泄漏给外界,提高了网络管理的安全机制。
参照图3,该图是本发明基于SNMP的认证方法的具体实现流程图,其中本发明的认证方法用于使用SNMP对通信网络系统进行管理过程中的认证,所述的通信网络系统中包括网管工作站NMS、认证服务器和各个被管理设备,其中被管理设备中设置有和NMS进行管理信息通信的管理代理,所述的被管理设备就是通信网络系统中的网络设备,如主机、网桥、路由器和集线器等。其认证处理的具体过程如下步骤S1中,将针对通信网络系统中每个被管理设备的团体名分别配置在网管工作站和认证服务器中;其具体实现可以采用如下方式建立通信网络系统中每个被管理设备的标识和被管理设备的团体名之间的映射关系,如图4所示,该图是本发明基于SNMP的认证方法中被管理设备标识和被管理设备团体名之间的映射关系表示意图。图中假设通信网络系统中被管理设备主机的标识为“1”,而该被管理设备主机的团体名为“A”,则针对被管理设备主机而言,就建立了标识“1”和团体名“A”之间的映射关系;同理,对于被管理设备网桥、路由器和集线器而言,相应也建立了其标识和团体名之间的不同映射关系,从而建立的这些映射关系形成了这个通信网络系统的被管理设备标识和被管理设备团体名之间的映射关系表。
再将所建立的各个映射关系分别配置在NMS中和认证服务器中,从而就实现了将每个被管理设备的团体名分别相应配置在NMS中和认证服务器中的目的。
为方便起见,其中上述所述的被管理设备的标识可以采用被管理设备的IP地址进行说明,因为针对每一被管理设备而言,如路由器、网桥等,每个被管理设备在网络系统中都会被分配到一个IP地址,而由NMS向相应被管理设备发送管理信息时,会将该被管理设备的IP地址封装到传输的数据包中,因为网管工作站和被管理设备之间采用用户数据报协议(UDP,User DatagramProtocol)传输管理信息数据包;而被管理设备和认证服务器之间采用用户数据报协议(UDP,User Datagram Protocol)或传输控制协议(TCP,TransmissionControl Protocol)传输管理信息数据包,所以本发明这里所述的被管理设备的标识其实就是由NMS向被管理设备发送的用户数据报协议报文中封装的目的IP地址,以用于使用户数据报协议报文中的管理信息数据包能够到达相应的目的被管理设备中。如图5所述,该图是本发明基于SNMP的认证方法中被管理设备的标识采用被管理设备的IP地址所形成被管理设备标识和被管理设备团体名之间的映射关系表示意图;图中当被管理设备主机的IP地址为10.10.0.1时,则使用该IP地址10.10.0.1作为该被管理设备主机的标识,和为该主机配置的团体名Private1形成该主机的标识和该主机团体名之间的映射关系,同理对于被管理设备网桥、路由器和集线器也可以形成相应的IP地址标识和团体名之间的映射关系。然后把上述形成的所有被管理设备的标识和被管理设备的团体名之间的映射关系分别配置到NMS和认证服务器中,以备后续查询并进行相应认证使用。
步骤S2中,当NMS要对某个被管理设备进行管理操作时(其中所述NMS对被管理设备所进行的管理操作包括对被管理设备进行运行状态查询操作,和对被管理设备的运行状态进行设置操作),NMS就会将封装有该被管理设备团体名的管理信息数据包发送给该被管理设备;然后该被管理设备中设置的管理代理Agent就会将该接收到的管理信息数据包转发给认证服务器,进行该管理信息数据包合法性认证操作;步骤S3中,认证服务器在被管理设备中Agent发来的管理信息数据包中解析出该被管理设备的IP地址和针对该被管理设备的团体名;然后根据该被管理设备的IP地址,索引对应该被管理设备的团体名,并将索引出的团体名和从被管理设备中Agent发来的管理信息数据包中包含的团体名进行比对认证处理;步骤S4中,认证服务器判断步骤S3的认证处理过程是否能够通过,这里可以以索引出的团体名和从被管理设备中Agent发来的管理信息数据包中包含的团体名一致时,作为认证通过的条件进行判断;如果认证通过,执行步骤S5;如果认证不通过,则执行步骤S7。
步骤S5中,认证服务器发送认证成功报文(Success)给该被管理设备;步骤S6中,该被管理设备接收到认证服务器发来的认证成功报文后,指示自身设置的管理代理Agent响应NMS发来的管理信息数据包,以使Agent根据NMS发来的管理信息,在该被管理设备中进行相应的查询操作或设置操作后,形成相应的响应信息数据包,反馈给NMS。
上述当被管理设备中的Agent接收到NMS发来的管理信息数据包后,还可以进一步解析出该数据包中封装的NMS使用的SNMP版本标识符(上述现有技术中已经解释过符合SNMP标准的管理信息数据包中包头会封装NMS使用的SNMP版本标识号,以使只有和NMS使用相同SNMP版本标识符的被管理设备才能响应该NMS发来的管理信息数据包),并和自身使用的SNMP版本标识符进行比较,只有比较结果相同的情况下,才继续响应并处理该管理信息数据包;如果比较结果不同时,被管理设备会指示Agent丢弃该管理信息数据包。
步骤S7,认证服务器发送认证失败报文(Failure)给被管理设备;步骤S8,被管理设备接收到认证服务器发来的认证失败报文后,会指示自身设置的Agent丢弃NMS发来的管理信息数据包。
从而通过上述的处理过程,可以实现将所有被管理设备的团体名集中配置在认证服务器中,由认证服务器对NMS发往每一被管理设备的管理信息数据包进行认证,从而达到了集中配置和管理被管理设备上团体名的目的,使团体名的配置和管理过程更为方便,也避免了分别在每个被管理设备上直接配置团体名,容易泄漏的弊端,提高了网络管理的安全机制。
其中上述通信网络系统中的认证服务器可以是认证、授权和计费服务器(AAA服务器),远程认证拨号用户服务器(RADIUS服务器)或终端访问控制访问控制系统服务器(TACACS服务器)。
为了更加详细说明本发明基于SNMP的认证方法的处理过程,下面以一个具体的实施例来详细说明其整个处理过程。参照图6,该图是本发明基于SNMP的认证方法中一实施例具体处理过程流程图;这里以图5所示的映射关系为基础,说明由NMS对网络系统中的路由器进行管理为例,进行详细说明本发明的认证过程。由于针对该被管理设备路由器而言,其标识为网络系统中分配给该路由器的IP地址10.10.0.3,而分配给该路由器的团体名为Private1,所以预先要将10.10.0.3和Private1之间的映射关系分别存储在NMS中和认证服务器中。其后续管理过程中的认证处理过程具体如下
步骤S100,当NMS要对该路由器进行管理操作时,将封装有针对该路由器的团体名Private1的管理信息数据包通过UDP标准报文发送到路由器中,其中管理信息数据包中一定封装有该路由器的IP地址10.10.0.3,以保证数据包的可达性,同时管理信息数据包中还封装有NMS使用的SNMP版本标识符,然后路由器中设置的Agent再将接收到的管理信息数据包转发给认证服务器(目前,SNMP提出了三个版本,所以有三个版本标识符,分别为V1、V2和V3,所述版本V1成为正式的Internet标准);步骤S110,认证服务器解析出路由器中Agent发来的管理信息数据包中路由器的IP地址10.10.0.3和为其配置的团体名Private1;步骤S120,认证服务器根据解析出的IP地址10.10.0.3在预先配置的映射关系中索引出该路由器的团体名Private1;步骤S130,认证服务器通过比对解析出的团体名Private1和索引出的团体名Private1,来对NMS发往该路由器的管理信息数据包进行认证;步骤S140,判断认证是否通过,因为可以看出步骤S130中解析出的团体名Private1和索引出的团体名Private1是一致的,所以可以断定认证通过,所以继续执行步骤S150;而如果步骤S130中解析出的团体名和索引出的团体名不一致时,可以断定认证未通过,则执行步骤S210;步骤S150,认证服务器生成认证成功报文并发送给该路由器;步骤S160,路由器接收到认证服务器发来的认证成功报文后,指示设置在自身中的管理代理Agent接收NMS发来的管理信息数据包,并由Agent在该管理信息数据包中解析出NMS使用的SNMP版本标识符,这里假设NMS使用的SNMP版本标识符为V1;步骤S170,路由器中的Agent将解析出的NMS使用的SNMP版本标识符为V1和自身使用的SNMP版本标识符进行比对处理;步骤S180,路由器中的Agent判断NMS使用的SNMP版本标识符和自身使用的SNMP版本标识符是否相同,如上所述,只有当Agent自身使用的SNMP版本标识符也为V1时,才能保证比对结果相同。如果比对结果是相同的,执行步骤S190;如果比对结果不同,则执行步骤S200;步骤S190,路由器指示自身中设置的Agent继续处理该管理信息数据包;步骤S200,路由器指示自身中设置的Agent丢弃该管理信息数据包;步骤S210,认证服务器生成认证失败报文并发送给该路由器;步骤S220,该路由器接收到认证服务器发来的认证失败报文后,指示设置在自身中的Agent丢弃该管理信息数据包。
上述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种基于简单网络管理协议的认证方法,用于通信网络系统管理操作进程中基于简单网络管理协议的认证处理,所述通信网络系统包括网管工作站,认证服务器和被管理设备,所述被管理设备中设置有管理代理,其特征在于,包括如下步骤(1)将被管理设备的团体名分别配置在网管工作站和认证服务器中;(2)当网管工作站要对一个被管理设备进行管理操作时,将封装有该被管理设备团体名的管理信息数据包发送到该被管理设备,再由该被管理设备中设置的管理代理将接收的管理信息数据包转发给认证服务器;(3)认证服务器解析出管理信息数据包中封装的该被管理设备的团体名,并和自身配置的该被管理设备的团体名进行比对认证处理,如果认证通过,认证服务器发送认证成功报文给该被管理设备;如果认证不通过,则认证服务器发送认证失败报文给该被管理设备;(4)该被管理设备接收到认证成功报文时,指示自身设置的管理代理响应网管工作站发来的管理信息数据包;而该被管理设备接收到认证失败报文时,指示自身设置的管理代理丢弃网管工作站发来的管理信息数据包。
2.如权利要求1所述的基于简单网络管理协议的认证方法,其特征在于,所述步骤(1)进一步包括(11)建立每个被管理设备的标识和每个被管理设备的团体名之间的映射关系;(12)将所建立的映射关系分别配置在网管工作站和认证服务器中。
3.如权利要求2所述的基于简单网络管理协议的认证方法,其特征在于,步骤(2)中所述管理信息数据包中还封装有该被管理设备的标识。
4.如权利要求3所述的基于简单网络管理协议的认证方法,其特征在于,所述步骤(3)中认证服务器在进行团体名认证处理之前还包括认证服务器解析出管理信息数据包中封装的该被管理设备的标识;并根据解析出的该标识到自身配置的映射关系中索引相应的团体名。
5.如权利要求4所述的基于简单网络管理协议的认证方法,其特征在于,所述被管理设备的标识为被管理设备的IP地址。
6.如权利要求1所述的基于简单网络管理协议的认证方法,其特征在于,步骤(2)中所述管理信息数据包中还封装有网管工作站使用的简单网络管理协议版本标识符。
7.如权利要求6所述的基于简单网络管理协议的认证方法,其特征在于,在被管理设备中的管理代理响应网管工作站发来的管理信息数据包之后进一步包括被管理设备指示自身设置的管理代理解析出管理信息数据包中封装的网管工作站使用的简单网络管理协议版本标识符;并将解析出的简单网络管理协议版本标识符和自身设置的管理代理所使用的简单网络管理协议版本标识符进行比对处理;如果比对结果相同,被管理设备指示自身设置的管理代理继续处理该管理信息数据包;如果比对结果不同,则被管理设备指示自身设置的管理代理丢弃该管理信息数据包。
8.如权利要求5或7所述的基于简单网络管理协议的认证方法,其特征在于,所述网管工作站和被管理设备之间采用用户数据报协议传输管理信息数据包;被管理设备和认证服务器之间采用用户数据报协议或传输控制协议传输管理信息数据包。
9.如权利要求8所述的基于简单网络管理协议的认证方法,其特征在于,所述认证服务器为通信网络系统中的认证、授权和计费服务器,远程认证拨号用户服务器或终端访问控制访问控制系统服务器。
全文摘要
本发明公开了一种基于简单网络管理协议的认证方法,包括将团体名配置在网管工作站和认证服务器;网管工作站对被管理设备进行管理时,将封装有被管理设备团体名的管理信息通过被管理设备中设置的管理代理发给认证服务器;认证服务器解析管理信息中被管理设备的团体名,并和自身配置的该被管理设备的团体名进行比对认证,认证通过,发送认证成功报文给被管理设备;否则发送认证失败报文给该被管理设备;该被管理设备接收到认证成功报文,指示管理代理响应网管工作站发来的管理信息;而接收到认证失败报文,则指示管理代理丢弃网管工作站发来的管理信息。本发明可以简化团体名的配置过程,并提高网络管理过程的安全机制。
文档编号H04L12/56GK1662005SQ20041000607
公开日2005年8月31日 申请日期2004年2月27日 优先权日2004年2月27日
发明者兰保青 申请人:华为技术有限公司