本发明涉及网络设备管理技术,尤其涉及一种网络设备数字证书的管理方法。
背景技术:
::数字证书由于其安全性的优势,应用越来越多,在银行、互联网等领域应用非常广泛,例如在各种网络设备,如:Router,DSL,Switch等,由于一些安全性的需要,很多功能也基于数字证书来实现,各种网络管理协议如TR069等对网络设备的交互,都会应用到数字证书。目前比较通用的做法是,网络设备在生产时,各运行商会把默认的数字证书交给设备厂商,由设备厂商预制于设备内部,后续只能通过本地的相应配置方式更改。但是如果设备放在用户家里,运营商无法更换设备中的数字证书,实际使用时运营商是很可能需要更设备中的数字证书的,例如,当数字证书即将要到期、需要更换某个证书的加密算法、需要更新某个证书的签发机构、需要更换秘钥等。现有的实现方法基本都是将数字证书预先放置在设备中,无法实现运营商对设备的数字证书进行远程更新。在运营商需要更换数字证书的时候,除非上门服务,否则无法更新数字证书,这样的做法存在一定的风险,也会带来很大的问题。技术实现要素:针对上述存在的问题,本发明的目的是提供一种网络设备数字证书的管理方法,以实现运营商远程更换数字证书,弥补了运营商无法及时更新证书的不足,提高系统安全性。本发明的目的是通过下述技术方案实现的:一种网络设备数字证书的管理方法,应用于网络设备和网管服务器之间,其中,包括添加数字证书流程、更新数字证书流程和删除数字证书流程;S1.所述添加数字证书流程包括:S11.网管服务器通过SNMP协议调用GetRequest的方式获取网络设备的数字证书;网络设备通过GetResponse返回其所能设置的证书管理信息;S12.网管服务器通过SNMP协议调用SetRequest设置数字证书实例信息,来添加该证书内容;网络设备通过SetReponse返回证书设置是否有误;S13.网管服务器通过SNMP协议调用SetRequest设置数字证书实例类型;网络设备通过SetResponse返回证书设置是否有误;S14.网管服务器通过SNMP协议调用SetRequest设置数字证书生效;数字证书生效后,网络设备通过SetResponse返回证书生效是否有误;S2.所述更新数字证书流程包括:S21.网管服务器通过SNMP协议调用GetRequest的方式获取网络设备的数字证书;网络设备反馈其所能设置的证书管理信息,来确定所要更新的证书实例;S22.网管服务器通过SNMP协议调用SetRequest设置需要更新的数字证书的相应信息;S3.所述删除数字证书流程包括:S31.网管服务器通过SNMP协议调用GetRequest的方式获取网络设备的数字证书,网络设备反馈其所能设置的证书管理信息,来确定所要更新的证书实例;S32.网管服务器通过SNMP协议调用SetRequest设置需要删除的数字证书的实例,将其的启用开关节点信息置零,网络设备会执行相应的删除此证书的操作。上述网络设备数字证书的管理方法,其中,所述方法还包括:所述网管服务器在确定所要请求和更新的数字证书对应的实例时,对该数字证书的内容进行正确性验证。上述网络设备数字证书的管理方法,其中,所述证书管理信息包括数字证书个数以及已配置数字证书实例及其参数,所述证书管理信息的格式按照SNMP的MIB格式和规则进行定义。上述网络设备数字证书的管理方法,其中,所述数字证书实例及其参数包括启用开关、内容、证书类型、生效时间、到期时间、数字证书颁发者信息、数字证书使用者信息中的一种或者任意组合,所述证书类型为根证书或签发证书。上述网络设备数字证书的管理方法,其中,所述网管服务器具有一证书管理模块,所述网络设备具有一证书解析和执行模块,所述管理方法通过所述证书管理模块和所述证书解析和执行模块之间的交互实现。与已有技术相比,本发明的有益效果在于:本发明提供了远程配置网络设备的数字证书的实现方法,可以对网络设备的数字证书进行添加、更新、删除操作,使得运行商能够对大批的网络设备进行集中远程管理,弥补了运营商无法及时更新证书的不足,相较于采用TR069下发数字证书的方式,本发明基于SNMP,能支持的设备更多,具有更加强大的实用性,于是运营商可以比较方便地更换数字证书。附图说明图1是本发明网络设备数字证书的管理方法的流程示意图;图2是本发明网络设备数字证书的管理方法所运用的现有SNMP协议中的节点架构示意图。具体实施方式下面结合原理图和具体操作实施例对本发明作进一步说明。本发明网络设备数字证书的管理方法,应用于网络设备和网管服务器之间,包括添加数字证书流程、更新数字证书流程和删除数字证书流程。网管服务器具有一证书管理模块,网络设备具有一证书解析和执行模块,本发明管理方法通过证书管理模块和证书解析和执行模块之间的交互实现。参照图1,添加数字证书流程S1包括:S11.网管服务器通过SNMP协议调用GetRequest的方式获取网络设备的数字证书;网络设备通过GetResponse返回其所能设置的证书管理信息;S12.网管服务器通过SNMP协议调用SetRequest设置数字证书实例信息,来添加该证书内容;网络设备通过SetReponse返回证书设置是否有误;S13.网管服务器通过SNMP协议调用SetRequest设置数字证书实例类型;网络设备通过SetResponse返回证书设置是否有误;S14.网管服务器通过SNMP协议调用SetRequest设置数字证书生效;数字证书生效后,网络设备通过SetResponse返回证书生效是否有误。更新数字证书流程S2包括:S21.网管服务器通过SNMP协议调用GetRequest的方式获取网络设备的数字证书;网络设备反馈其所能设置的证书管理信息,来确定所要更新的证书实例;S22.网管服务器通过SNMP协议调用SetRequest设置需要更新的数字证书的相应信息;删除数字证书流程S3包括:S31.网管服务器通过SNMP协议调用GetRequest的方式获取网络设备的数字证书,网络设备反馈其所能设置的证书管理信息,来确定所要更新的证书实例;S32.网管服务器通过SNMP协议调用SetRequest设置需要删除的数字证书的实例,将其的启用开关节点信息置零,网络设备会执行相应的删除此证书的操作。由于网络设备可能存在多个数字证书,被不同的功能模块所使用。网络设备的数字证书管理要涉及以下信息:网络设备中的数字证书个数,即网络设备有多少个数字证书;每个数字证书的基本信息,即数字证书的具体信息;数字证书内容,如颁发者信息、生效日期、失效日期、使用者信息等,这些信息可以直接从数字证书的文件中提取;数字证书类型,目前证书包括签发证书、根证书两类;数字证书的用途说明,例如该证书用于TR069的CPE端认证ACS的合法性、无线加密连接使用等。根据以上管理需求,为了实现网络设备的数字证书的远程更新,本发明实施中,对SNMP要进行自定义MIB(管理信息库)的节点定义。MIB被划分成若干个组,如图2所示,system、ip、tcp和snmp组等,每个组又由若干变量和表格(table)构成,而每个变量或是对象都由对象标识唯一确定。自定义节点要接在图2中所示的Enterprises(企业)节点下,和其他节点无关,定义包括:数字证书管理实例1.3.6.1.4.1.1000。数字证书参数描述如表1所示:表1名称类型可读可写描述CertTableOBJECT是否数字证书管理对象cert_entryINTEGER是否设备端数字证书个数enableINTEGER是是此实例数字证书是否生效IssuerOCTETSTRING是是数字证书颁发者信息UserOCTETSTRING是是数字证书使用者信息StartTimeOCTETSTRING是是生效日期EndTimeOCTETSTRING是是失效日期/到期日期cert_typeOCTETSTRING是是证书类型contentOCTETSTRING是是证书其他信息,包含公钥、签名等信息参见表1,数字证书管理实例主要包含下列参数:数字证书颁发者参数Issuer;数字证书使用者参数User;生效日期StartTime;失效日期EndTime;证书类型参数Type;证书内容参数Content;除实例个数和生效参数采用INTEGER外,其他参数数据类型采用OCTETSTRING。证书类型可以是以下两种:“SignCertificate”签发证书或者“RootCertificate”根证书,上述两种类型证书为数字证书最主要使用类型。本发明提供了远程配置网络设备的数字证书的实现方法,可以对网络设备的数字证书进行添加、更新、删除操作,使得运行商能够对大批的网络设备进行集中远程管理,弥补了运营商无法及时更新证书的不足,相较于采用TR069下发数字证书的方式,本发明基于SNMP,能支持的设备更多,具有更加强大的实用性,于是运营商可以比较方便地更换数字证书。以上对本发明的具体实施例进行了详细描述,但本发明并不限制于以上描述的具体实施例,其只是作为范例。对于本领域技术人员而言,任何等同修改和替代也都在本发明的范畴之中。因此,在不脱离本发明的精神和范围下所作出的均等变换和修改,都应涵盖在本发明的范围内。当前第1页1 2 3 当前第1页1 2 3