专利名称:一种网元设备鉴权管理的方法及系统的制作方法
技术领域:
本发明涉及电信网管领域,特别地涉及一种网元设备鉴权管理的方法及系统。
背景技术:
SNMP (Simple Network Management Protocol,简单网络管理协议)是目前 TCP/IP网络中应用最为广泛的网络管理协议,该协议是由Internet工程任务组织(InternetEngineering Task Force, IETF)的研究小组为了解决Internet上的路由器管理问题而提出的;利用SNMP协议,一个管理工作站可以远程管理所有支持这种协议的网络设备,可以监视网络状态、修改网络设备配置、接收网络事件警告等;由于该协议标准简单,在运营商网络中应用非常广泛;如图I所示,是典型的SNMP管理系统图,该SNMP管理系统是由管理·器(Manager)和运行在被管网元设备上的网元代理(Agent)组成,代理和管理器之间通过标准的SNMP协议进行通讯,MIB (Management Information Base,管理信息库)作为设在代理处的管理器访问点的集合,管理器通过读取MIB中对象的值来进行网络监控。由于使用标准的SNMP协议,所以任何一个管理器都可以管理支持SNMP协议的网元设备,尤其在电信网络中,一个网元设备同时可能由几个管理器来管理;由于SNMP协议简单,不支持复杂的鉴权控制功能;网元代理上只有预定义的角色,而预定义的角色通过共同体来进行鉴权。这种鉴权管理方式存在以下的缺点一个网元设备同时对应几个管理器,几个管理器对同一个网元设备的MIB (Management Information Base,管理信息库)的权限通过共同体来控制,配置信息增力口,配置容易出错,配置数据不易管理,处理效率低。
发明内容
本发明解决的技术问题在于提供了一种网元设备鉴权管理的方法及系统,使不同的管理器具有不同的权限来访问网元设备,简化配置数据,提高网元设备的安全管理效率,而且降低网元设备对鉴权的处理消耗,从而提高网元设备对业务的处理效率。本发明提供了一种网元设备鉴权管理的方法,包括,网元代理设置视图与对象识别符0ID、端口号的对应关系,并配置需要的共同体;网元代理接收到简单网络管理协议SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。上述的方法,其中,所述网元代理设置视图与0ID、端口号的对应关系具体为,网元代理设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。上述的方法,其中,网元代理接收到SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为,
网元代理接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。进一步地,所述方法还包括,所述网元设备收到SNMP报文后进行处理,将处理结果返回给网元代理,网元代理向管理器返回SNMP响应报文。进一步地,所述方法还包括,在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。本发明还提供了一种网元设备鉴权管理的系统,包括, 网元代理,用于设置视图与0ID、端口号的对应关系,并配置需要的共同体;以及还用于接收到SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。上述的系统中,其中,所述网元代理用于设置视图与0ID、端口号的对应关系具体为,网元代理用于设置视图以及该视图访问OID的范围,以及设置视图与端口号的对
应关系。上述的系统中,其中,网元代理用于接收到SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为,网元代理用于在接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。进一步地,所述系统还包括,网元设备,用于在收到SNMP报文后进行处理,将处理结果返回给网元代理;网元代理,还用于接收到所述网元设备的处理结果后,向管理器返SNMP响应报文。上述系统中,其中,所述网元代理还用于在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。采用本发明的技术方案,网元设备的代理可以对不同的管理器设定不同的权限,简化鉴权配置,提高鉴权效率,对无权限访问的节点在代理上就可以返回,提高重要管理器对网元设备的管理效率,保证网元设备的业务性能。
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I是典型的SNMP管理系统图;图2是本发明第一实施例流程图;图3是本发明第二实施例结构图。
具体实施例方式为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。如图2所示,是本发明第一实施例流程图,提供了一种网元设备鉴权管理的方法,包括,步骤S201,网元代理设置视图(例如DefaultView, AllView等视图)及该视图可访问的OID(Object Identifier,对象识别符)范围,设置端口号或者端口号段和视图的对应关系,并配置共同体;具体地,在本实施例中,网元代理的视图名称有DefaultView, NamelView,AllView ;该网元代理共有OID标识9个分别为1,2,3,4,5,6,7,8,9,;DefaultView可访 问 OID 标识1,2,3 ;NamelView 可访问 OID 范围6,7,8 ;AllView 可访问 OID 范围1,2,3,4,5,6,7,8,9 ;在实施本发明之前,如果3个SNMP管理器需要访问DefaultView, ViewNamel,AllView三个不同权限视图,那么网元代理需要配置=DefaultView视图配置读共同体publicl,写共同体privatel ;NamelView视图配置读共同体public2,写共同体private2 ;AllView视图配置读共同体public,写共同体private ;需要配置三个不同的读写共同体,配置繁琐,而且不易记忆,容易出错;增加多个SNMP管理器进行管理,更为不方便。在本实施例中,将DefaultView视图绑定端口 100,ViewNamel视图绑定端口 101,AllView视图绑定端口 102,只需要配置一个读共同体public,写共同体private,那么通过100端口接收到的SNMP报文包,只能访问I,2,3节点,通过101端口接收到的SNMP报文可以访问6,7,8节点,通过102端口接收到的SNMP报文可以访问1,2,3,4,5,6,7,8,9,节点,配置方便,容易记忆,而且端口配置修改简单方便,可以定义端口号,也可以定义一个端口范围和不同的视图绑定;增加多个SNMP管理器比较方便,容易管理。步骤S202,网元代理接收到SNMP报文包,代理分析接收到的SNMP报文包中包含的端口号、SNMP报文及报文中携带OID标识,根据端口号和视图对应关系以及视图对应的OID范围关系,即可判断该端口的SNMP报文及报文中OID是否是合法访问报文;具体地,若该SNMP报文是合法访问报文,代理对SNMP报文进行处理,转发给网元设备进行相应处理,网元设备返回相应结果,网元代理组织SNMP响应报文;若该报文不是合法访问报文,代理组织SNMP响应报文,代理把SNMP响应报文根据源地址、端口发送给管理器。如图3所示,是本发明第二实施例结构图,提供了一种网元设备鉴权管理的系统,包括,网元代理,设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系,并配置需要的共同体;以及还用于在接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
网元设备,用于在收到SNMP报文后进行处理,将处理结果返回给网元代理;网元代理,还用于接收到所述网元设备的处理结果后,向管理器返SNMP响应报文。所述网元代理还用于在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、 修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
权利要求
1.一种网元设备鉴权管理的方法,其特征在于,包括, 网元代理设置视图与对象识别符OID、端口号的对应关系,并配置需要的共同体; 网元代理接收到简单网络管理协议SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
2.根据权利要求I所述的方法,其特征在于,所述网元代理设置视图与OID、端口号的对应关系具体为, 网元代理设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。
3.根据权利要求2所述的方法,其特征在于,网元代理接收到SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为, 网元代理接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。
4.根据权利要求I至3任一所述的方法,其特征在于,所述方法还包括, 所述网元设备收到SNMP报文后进行处理,将处理结果返回给网元代理,网元代理向管理器返回SNMP响应报文。
5.根据权利要求I至3任一所述的方法,其特征在于,所述方法还包括, 在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
6.一种网元设备鉴权管理的系统,其特征在于,包括, 网元代理,用于设置视图与0ID、端口号的对应关系,并配置需要的共同体;以及 还用于接收到SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
7.根据权利要求6所述的系统,其特征在于,所述网元代理用于设置视图与0ID、端口号的对应关系具体为, 网元代理用于设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。
8.根据权利要求7所述的系统,其特征在于,网元代理用于接收到SNMP报文包后,根据所述视图与0ID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为, 网元代理用于在接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。
9.根据权利要求6至8任一所述的系统,其特征在于,还包括, 网元设备,用于在收到SNMP报文后进行处理,将处理结果返回给网元代理; 网元代理,还用于接收到所述网元设备的处理结果后,向管理器返SNMP响应报文。
10.根据权利要求6至8任一所述的系统,其特征在于,所述网元代理还用于在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
全文摘要
本发明涉及一种网元设备鉴权管理的方法,包括,网元代理设置视图与对象识别符OID、端口号的对应关系,并配置需要的共同体;网元代理接收到简单网络管理协议SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。本发明还提供了一种网元设备鉴权管理的系统。采用本发明的技术方案,网元设备的代理可以对不同的管理器设定不同的权限,简化鉴权配置,提高鉴权效率,对无权限访问的节点在代理上就可以返回,提高重要管理器对网元设备的管理效率,保证网元设备的业务性能。
文档编号H04L12/24GK102983986SQ201110262730
公开日2013年3月20日 申请日期2011年9月6日 优先权日2011年9月6日
发明者张龙刚, 鲁胜虎, 黄丰, 何谦 申请人:中兴通讯股份有限公司