专利名称:用于控制对至少一个通信装置的访问的方法、通信设置和通信装置的制作方法
用于控制对至少一顿信装置的访问 的方法、通信设置和通信装置背景駄当前的通信网络大多由多个通信装置组成。这些通信装置或者网络装置通常分成网络管理装置(或网络管理站NMS)和普通的网络元件(NE)。在此 方面,网络管理装置可以对单个网络元件进行读出和大多也可以写入的访问, 以便例如读出其状态或者将网络元件配置为特定^M。网络管理装置与网络元件之间的通信在此方面借助适当的协议进行。从而 在LAN ("Local Area Network",局域网)以及WAN ("Wide Area Network", 广域网)范围内,为进行这种访问大多使用所谓的SNMPvl协议("Simple Network Management Protocol Version 1 ",简单网络管理协议版本1)。SNMP协议允许对大量的网络元件或网络部件进行中央网络管理。SNMP 的主要目标是减少管理功能的复杂性、协议的可扩展性和与特定网络部件的独 立性。SNMP协议在此方面支持网络的监测、控制和管理。按照SNMP的体系结构模型,通信网络如上所述分为网络管理装置和网 络元件。网络管理装置在此方面执行监测和控制网络元件的应用。SNMP通信 以此为基础,即在一个网络元件和一个所属的网络管理装置上管理同一管理数 据。这些魏定义在一个所谓"Management Information Base"(管理信息基础) (MIB)的配置表中并在网络管理装置与网络元件之间利用SNMP进行交换。在这样一个隨表中, 一方面可以存在网络管理装置只能读出的娜,另一方面也可以存在由网络管理^a读出并还可以改变的数据。配置表中的这种改变,也就是对MB的写入访问,大多数膚况下意( 改变一个或者多个网络装置的配置或设置。在此方面, 一个新配置过程例如也 可以由一系列单个的、依次的写入访问组成。此外在许多数据传输网络上,必 须保证多个网络管理装置可以对一个待定的网络元件进行读写访问。因此存在的危险是,在通信网络的这种结构中,多个网络管理装置几乎同 时对唯一的网络元件进行访问。例如可能出现的情况是,第二网络管理装置改 写第一网络管理装置新写入的ifig数据,而第一网络管理装置的配置过程尚未 结束。在这种情况下会导致网络元件的误配置。 发明内容本发明的目的在于,特别是在一个通信网络中设置多个网络管理装置的情 况下,改进在网络管理框架内对通信^i:进行的访问。该目的借助依据权利要求l、 11和12所述特征的一种方法、 一种通信设置和一种通信装置得以实现。依据本发明的方法涉及在通信网络中控串侄少一^ht信錢对至少一个其feil信装置的访问。在此方面,在对至少一个通信體进fri方问时,获取代表 至少一个其M信装置的信息。其他访问依据本发明借助代表至少一个其M信装置的信肩进行控制。本发明的一个主要优点在于,避免多4Si信装置对相同的至少一个通信装置同时进fiH方问,由此防止例如在至少一,信装置上的误配置。财卜,控制依据本发明这样构成,对至少一个通信装置的访问在可预先规定的时间段中仅i!31由所获取的信息4樣的、至少一个其M信體进行 - 权 禾腰求2。由此确保由多个单个访问组成的访问过程也能无干扰 行。具有优点的是,对至少一个通信装置的访问为写入或者读出访问-权利 要求3。由此特别是消除在依据协议的SSS过程中的错误。此外,依据本发明对至少一个通信装置的访问仅访问储存在至少一个通信 装置中的信息的可预先规定的部分-权利要求4。此外可以针对通信^g个体 地预先规定该信息部分。所储存的信息的一部分在这种情况下例如应当理解为 至少一个通信装置中的特定数据或者存储段。由此具有优点地可以例如防止非 法访问这蝶息。本发明的另一优点在于,对至少一个通信装置的访问仅通过至少一个其他 可予!5fe规定的通信装置进行-权利要求5。这种至少一个其他可预先规定的通 信,依据本发明通过代表该至少一个其他可预先规定的通信装置的信息确定 -权利要求6。具有优点的是,例如只允许得至U识别的特定通信,进行按照 这种方式的访问。本发明的方法的其他具有优点的构成以及用于控制对通信,进行访问的 通信设置和通信装置参阅其他权利要求。
下面借助附图对本发明进疗说明。
具体实施方式
图1以方框图示出^g在一个通信网络(未示出)中用于实施依据本发明 方法的应用情景,其中,为一个OT在例如依据互联网协议构成的通信网络中的网络元件NE分配两个网络管理^g NMS1和NMS2。为^h这些单元分配 一个该通信网络中唯一的地址,借助该地址可以唯一地识别各单元。这些地址 例如可以是IP地址。在网络管理g的框架内,第一网络管理装置NMS1尝试对网络元件NE 进行i方问。在本实施例中,例如il31网络管理^gNMSl改变网络元件NE的 隨。在网络管理装置NMS1的访问尝试中,网络管理^fi NMS1向网络元件 NE传1H樣该网络管理驢画S1的信息。这離息储存在网络元件NE上, 而且该访问尝试利用网络元件NE的确认来应答。此后才启动真正的写入31f呈。但因为配置改变常常由多个依次的写入访问序列组成,所以现在依据本发 明确保写入访问的齡序歹何以无错误中WkiS行。为此在由网络管理體画S1进行第一次访问时,在网络元件NE中如 上所述储存代表网络管理^g NMS1的信息。在这种情况下是网络管理装置 NMS1的IP地址(这里为IP一X)。同时在网络元件NE中启动定时继电器,由 该定时继电皿预先规定的时间间隔发出提示信号。依据本发明网络元件NE这样构成,使得在通过定时继电翻懂的时间间 隔期间,只允许IP地址(这里为IP—X)储雜网络元件NE中的网络管理装 置对该网络元件NE进行访问。只有在该定时继电器运行结束后,所有网络管 理装置(NMS1、 NMS2)才重新不受限制地访问网络元件NE ,也就是清除 网络元件NE中所储存的IP地址IP_X。如果在定时继电器运行结束前对网络元件NE进4亍其他访问尝试,那么在 网络元件NE中如前面那样检验所传输的IP地址(如H^Y)。只有在该地址与 所储存的IP地址(IP—X) —致的情况下,才可以进fiH方问。例如,如果在定时继电器运行结束前M;其他网络管理^g NMS2对网 络元件NE进行访问,也就是在己经排他地为第一网络管理装置NMS1保留 对网络元件NE进^H方问的时刻启动第二网络管理體NMS2的访问尝试,那
么该访问尝试由网络元件NE舒否定答复并拒绝。依据本发明方法的一种具有优点的进一步构成,排他地保留单个网络管理 装置(NMS1、 NMS2)对网络元件NE进行访问的时间间隔可以预先自由规定。 在这里重要的是与相关的写入访问序列协调的时间。据此该时间间隔应当大于 单个访问的持续时间加上该相关写入访问序列内两个前后相连的访问之间经过 的时间。Sii^样预先规定的时间间隔,保证任意的网络管理錢(画S1、画S2) 可以不中Mka行多个相关访问的序列。按照依据本发明的方法,网络元件NE 对其他网络管理装置(NMS2)持续关闭,直至第一网络管理装置(NMS1) 结束访问(该访问也可以由多个相关的单个访问组成)为止。定时继电器的时间间隔长度以及其他设置可以直接通^il信网络确定。这 样,所需的值例如直接借助SNMP协议储存在网络元件的战配置表(MB) 内。也可以设想其他保护或者管理储存在网络元件内的数据或配置设置的可能性,。ilii^i旬进纟亍访问的网络管理装置的IP地址(或者其他4,进行访问的 网络管理装置的信息),例如可以借助依据本发明的方法确定,特定的网络管 理装置对M网络元件仅具有准确定义的权利。换句话说,在各个网络元件的 配置表中例如可以确定,仅允许具有IP地址IP一X的网络管理装置NMS1对所 储存的信息或者織完封寺定的、可予舰规定的部分进行写入访问。依据本发明方法的这种实施方式提高了所M信网络内部的安全性。在借助snmp协ijuafim信时,例如仅存顿未经授权访问的最低限度保护在这里一个SNMP分组的来源仅借助一个所谓的"community-string"(共用串)检 验。 一个"community-string"(共用串)在此是一个事先在网络管理装置与网 络元件之间约定的符号序列。只有在该专用符号序列出现在SNMP数据分组的 标题内盼瞎况下,该数据分组才被相应的网络元件所接受。如果该"community-string"(共用串)现在例如公开了,那么可以由任何 任意的网络管理装置对相应的网络元件进〗亍访问。但因为依据本发明要查询进 《亍访问的装置的IP地址,所以禾,依据本发明的方法可以实现附加的安^ 别从而可以确定,只允许具有特定IP地址的网络管理装置对该网络元件进 行访问。财卜,例如可以附加地同时记录来自想要未经许可就对该网络元件进 行访问的那些网络管理装置的IP ^t荆诸存在网络元件内。
权利要求
1.一种用于在通信网络中控制至少一个通信装置(NE)由至少一个其他通信装置(NMS1、NMS2)访问的方法,其中,在对至少一个通信装置(NE)进行访问时,获取代表所述至少一个其他通信装置(NMS1、NMS2)的信息(IP_X、IP_Y),和借助所述代表至少一个其他通信装置(NMS1、NMS2)的信息来控制对至少一个通信装置(NE)的其他访问。
2. 按权利要求1所述的方法,其特征在于,所述对至少一^1信^S (NE)的访问在可预先规定的时间段内仅通过由所获取的信息代表的至少一个其鲷信體(NMS1)进行。
3. 按权利要求1或2所述的方法,其特征在于,所舰至少一^il信 装置(NE)的访问为写入或者读出访问。
4. 按权利要求1、 2或3所述的方法,其特征在于,所,至少一个 通信装置(NE)的访问仅访问储存在至少一个通信装置(NE)中的信息的可 预先规定的部分。
5. 按前述权利要求之一所述的方法,其特征在于,所述对至少一个通 信装置(NE)的访问仅通过至少一个其他可预先规定的通信装置(NMS1、 画S2)进行o
6. 按权利要求5所述的方法,其特征在于,所述至少一个其他可预先 规定的通信装置(NMS1、 NMS2)通过代表该至少一个其他可预先规定的通 信装置(NMS1、 NMS2)的信息确定。
7. 按前述权利要求之一所述的方法,其特征在于,所述通信网络依据 互联网协议构成。
8. 按前述权利要求之一所述的方法,其特征在于,所述代表至少一个 其他通信装置(NMS1、 NMS2)的信息作为IP地址构成。
9. 按前述权利要求之一所述的方法,其特征在于,所述代表至少一个 其他可预先规定的通信装置(NMS1、 NMS2)的信息作为IP地址构成。
10. 按前述权利要求之一所述的方法,其特征在于,所述访问在简单网 络管理协议SNMP的框架内进行。
11. 一种通信设置,由至少一个设置在通信网络中的通信装置(NE)以 及至少一个其他设置在该通信网络中并对至少一个通信装置(NE)进行访问 的通信装置(NMS1、 NMS2)组成,其中,所述至少一个通信装置(NE)包 括用于获取f^至少一个其flkil信^S (NMS1、 NMS2)的信息(IP—X、 IP—Y) 的装置,以朋于根据所获取的、4様至少一个其M信錢(画S1、丽S2) 信息雜制对至少一个通信錢(NE)的其他访问的錢。
12. —种用于按权利要求11所^il信设置的通信装置(NE),具有用于 获取信息(IP—X、 IP—Y)的装置,所述信息代表至少一个对该通信装置(NE) 进行访问的其M信装置(NMS1、 NMS2),以及具有用于根据所获取的、代 表至少一个其ftyt信装置(NMS1、 NMS2)的信息来控制对该通信装置(NE)的其他访问的^a。
全文摘要
本发明涉及一种用于在通信网络中控制至少一个通信装置(NE)由至少一个其他通信装置(NMS1、NMS2)访问的方法。在此方面,在对至少一个通信装置(NE)进行访问时,获取代表至少一个其他通信装置(NMS1、NMS2)的信息(例如IP地址)。随后借助该信息控制其他访问。依据本发明,例如只有可预先规定的、特定的可进行访问的通信装置(NMS1、NMS2)仅在专门的时间段期间只对储存在至少一个通信装置(NE)上的一部分信息进行访问。
文档编号H04L12/24GK101156361SQ200680010163
公开日2008年4月2日 申请日期2006年3月15日 优先权日2005年3月31日
发明者H·穆恩, T·维特, T·谢勒 申请人:诺基亚西门子通信有限责任两合公司