一种传输设备的管理方法及系统与流程

本发明涉及通信
技术领域：
：，具体是涉及一种传输设备的管理方法及系统。
背景技术：
：：传统传输设备的告警、性能、配置数据量都很大，各厂家的采集对象定义也不标准。目前，在网元级层面，传统传输设备的管理基本上是各厂家采用各自私有协议实现的；在网络级，统一网管大部分采用北向接口以及通过osi模型完成，实现复杂，多应用于大型网络。但是，国内外有部分客户或专网用户使用不同厂家的传输设备组网，传统传输设备虽然具备网管功能，但未实现统一管理，而且部分军网还要求设备级安全和管理功能。技术实现要素：针对现有技术中存在的缺陷，本发明的目的在于提供一种传输设备的管理方法及系统，可以高效地处理传输设备的大量告警数据、性能数据和配置数据，实现对不同类型传输设备的统一管理。本发明提供一种传输设备的管理方法，其包括：接收网管或向其发送简单网络管理协议snmp消息，并对snmp消息的收发和处理进行调度控制；snmp应用层通过底层业务接口下发对所述传输设备的管理信息库mib的管理命令，以及接收所述传输设备上报的告警信息和所述管理命令的响应结果；其中，所述snmp消息的处理包括：对不同类型的所述snmp消息进行同步处理或者异步多线程处理，从网管下发的所述snmp消息中得到所述管理命令，以及将所述响应结果和/或告警信息封装为所述snmp消息。在上述技术方案的基础上，通过套接字通信接口收发所述snmp消息；根据所述snmp消息的版本类型，使用对应的消息处理模型对所述snmp消息的协议头和净荷进行封装或者解封装处理；将所述净荷中协议数据单元pdu的mib命令转换为所述管理命令，以及将所述响应结果和/或告警信息进行转换后存入pdu，其中，所述mib命令用于对所述传输设备的mib进行操作，所述管理命令是与所述mib命令一一映射的回调函数。在上述技术方案的基础上，所述封装或者解封装处理还包括对所述协议头进行验证或者基于安全模型的安全校验，安全模型包括基于用户的安全模型usm；确定所述管理命令之前，根据所述snmp消息的版本类型，对所述pdu进行绑定变量合法性验证或者基于视图的访问控制模型vacm的访问控制。在上述技术方案的基础上，所述snmp应用层对所述响应结果、告警信息以及管理命令分别进行转发处理。本发明还提供一种传输设备的管理系统，其包括：总控调度模块，其用于与网管之间通过多协议接口收发snmp消息，并对snmp消息的收发和处理进行调度控制；snmp应用层，其用于通过底层业务接口下发对所述传输设备的管理信息库mib的管理命令，以及接收所述传输设备上报的告警信息和所述管理命令的响应结果；处理模块，其用于对不同类型的所述snmp消息进行同步处理或者异步多线程处理，从而从网管下发的所述snmp消息中解析得到所述管理命令，以及将所述响应结果和/或告警信息封装为所述snmp消息。在上述技术方案的基础上，所述处理模块包括：信息处理单元，其与所述总控调度模块之间通过套接字通信接口收发所述snmp消息；用于根据所述snmp消息的版本类型，使用对应的消息处理模型对所述snmp消息的协议头和净荷进行封装或者解封装处理；本地处理单元，其用于将所述净荷中协议数据单元pdu中的mib命令转换为所述管理命令，以及将所述响应结果和/或告警信息进行转换后存入pdu，其中，所述mib命令用于对所述传输设备的mib进行操作，所述管理命令是与所述mib命令一一映射的回调函数。在上述技术方案的基础上，所述系统还包括基于安全模型的用户安全模块，以及基于视图的访问控制模型vacm的访问控制模块，所述安全模型包括基于用户的安全模型usm；所述信息处理单元还用于验证所述协议头或者调用所述用户安全模块进行基于所述安全模型的安全校验；所述本地处理单元还用于对所述pdu进行绑定变量合法性验证或者调用所述访问控制模块进行vacm访问控制处理。在上述技术方案的基础上，所述系统还包括配置数据模块，用于存储所述用户安全模块和访问控制模块的配置数据。在上述技术方案的基础上，所述snmp应用层包括命令应答器和多个mib实现模块；多个mib实现模块包括usmmib实现模块、vacmmib实现模块和v1/v2cmib实现模块，分别用于对相应的所述管理命令及其响应结果进行转发处理；命令应答器通过内部接口接收所述本地处理单元下发的所述管理命令，并将所述管理命令转发给相应的所述mib实现模块；还用于上传经过所述mib实现模块转发的所述响应结果。在上述技术方案的基础上，所述snmp应用层还包括通知生成器，通知生成器用于通过所述底层业务接口接收所述告警信息，并转发给所述本地处理模块。与现有技术相比，本发明实施例的传输设备的管理方法，与网管之间收发简单网络管理协议(simplenetworkmanagementprotocol，snmp)消息，并对snmp消息的收发和处理进行调度控制；snmp应用层通过底层业务接口下发对传输设备的管理信息库(managementinformationbase，mib)的管理命令，以及接收传输设备上报的告警信息和管理命令的响应结果；其中，snmp消息的处理包括：对不同版本的snmp消息进行同步处理或者异步多线程处理，从而从网管下发的snmp消息中解析得到管理命令，以及将响应结果或者告警信息封装为snmp消息。一方面，通过串行化同步处理机制或者异步多线程处理机制，可以高效地处理传输设备的大量告警数据、性能数据和配置数据；另一方面，提供高度封装、模块化的snmp核心协议栈以及网络管理标准接口，实现对不同类型传输设备的统一管理。附图说明图1是本发明实施例传输设备的管理方法流程图；图2是步骤s120的具体流程图；图3是步骤s124的具体流程图；图4是步骤s130的具体流程图；图5是步骤s134的具体流程图；图6是本发明另一实施例传输设备的管理方法流程图；图7是本发明实施例传输设备的管理系统示意图。具体实施方式下面结合附图及具体实施例对本发明作进一步的详细描述。本发明实施例提供一种传输设备的管理方法，用于传输设备管理，传输设备可以是光传送网(opticaltransportnetwork，otn)设备或者分组传送网(packettransportnetwork，ptn)设备，管理类型包括配置管理、性能管理和告警管理，管理方法包括：接收网管或向其发送简单网络管理协议snmp消息，并对snmp消息的收发和处理进行调度控制。网管下发的snmp消息可以是对传输设备的管理信息库mib进行配置的配置命令，也可以是获取mib中的性能数据的获取命令。现有的snmp系统基本上都兼容snmpv1、snmpv2c和snmpv3三个版本，snmp消息可以是snmpv1、snmpv2c或者snmpv3版本。snmpv1和snmpv2c消息由目的地址、版本号、团体名以及协议数据单元(protocoldataunit，pdu)四个部分构成；snmpv3消息由目的地址、版本号、安全用户名、安全模型、引擎engineid、引擎重启的次数engineboots、最近一次引擎重启的时刻距离当前时刻的时长enginetime以及scopepdu构成，其中，pdu一般由pdu类型type、请求requestid和绑定变量variablebindings构成，variablebindings由多组对象标识符(objectidentifier，oid)和值value构成。scopepdu＝contextengineid+contextname+pdu。snmp应用层通过底层业务接口下发对传输设备的管理信息库mib的管理命令，以及接收传输设备上报的告警信息和管理命令的响应结果。底层业务接口可以是应用程序编程接口(applicationprogramminginterface，api)。其中，snmp消息的处理包括：对不同类型的snmp消息进行同步处理或者异步多线程处理，从网管下发的snmp消息中得到管理命令，以及将响应结果和告警信息分别封装为不同的snmp消息，或者，将响应结果和告警信息封装为一个snmp消息。snmp协议基本上都应用在接入类型设备上，其涉及的标准数据量较小，可以实现多厂家接入设备的统一管理。由于传统传输设备的告警、性能和配置数据量都很大，基于snmp协议的接入类型设备的管理方法难以满足传输设备的管理需要。本发明实施例传输设备的管理方法，基于包括snmp引擎和snmp应用层的snmp核心协议栈，其中，snmp引擎接收网管或向其发送snmp消息，对snmp消息进行处理，并对snmp消息的收发和处理进行调度控制；snmp应用层通过底层业务接口对传输设备的告警信息、管理命令及其响应结果进行转发。一方面，通过串行化同步处理机制或者异步多线程处理机制，可以高效地处理传输设备的大量告警数据、性能数据和配置数据；另一方面，提供高度封装、模块化的snmp核心协议栈以及网络管理标准接口，实现对不同类型传输设备的统一管理。优选的，snmp消息的处理包括：通过套接字通信接口收发snmp消息。根据snmp消息的版本类型，使用对应的消息处理模型对snmp消息的协议头和净荷进行封装或者解封装处理，对协议头进行验证或者基于安全模型的安全校验，安全模型包括基于用户的安全模型(user-basedsecuritymodel，usm)。消息处理模型包括snmpv1消息处理模型、snmpv2c消息处理模型和snmpv3消息处理模型。对协议头进行验证或者基于安全模型的安全校验通过之后，根据snmp消息的版本类型，对协议数据单元(protocoldataunit，pdu)进行绑定变量合法性验证或者基于视图的访问控制模型(view-basedaccesscontrolmodel，vacm)的访问控制，将净荷中协议数据单元pdu的mib命令转换为管理命令，以及将响应结果和/或告警信息进行转换后存入pdu，其中，mib命令用于对传输设备的mib表进行操作，管理命令是与mib命令一一映射的回调函数。网管下发的snmp消息携带有对传输设备的管理信息库mib进行操作的mib命令，mib命令包括配置命令和性能数据的获取命令。当mib命令是配置命令时，对传输设备的管理信息库mib进行配置，当mib命令是性能数据获取命令时，获取mib中的性能数据。mib命令包括snmp协议的get、getnext、getbulk和set命令。通过预先定义的映射关系，将mib命令转换为相应的管理命令，其中，mib命令中携带有传输设备的mib的具体oid信息，管理命令为相应的回调函数，回调函数携带与该具体oid信息相对应的参数，因此，管理命令通过snmp应用层下发给传输设备后，传输设备根据上述预先定义的映射关系，执行管理命令并返回响应结果。因此，可以进一步简化snmp应用层的底层业务接口以及与上层snmp引擎的内部接口，提供高度封装、模块化的snmp核心协议栈以及网络管理标准接口，实现对不同类型传输设备的统一管理。优选的，snmp应用层对响应结果、告警信息以及经过安全控制处理的管理命令分别进行转发处理，其中，安全控制处理包括协议头验证、基于安全模型的安全校验、绑定变量合法性验证和vacm访问控制。以下对传输设备的配置管理、性能管理和告警管理分别具体说明，参见图1所示，配置管理和性能管理的管理方法基本相同，包括以下步骤：s110通过多协议接口接收网管下发的snmp消息。具体的，多协议接口包括私有/标准snmp协议、超文本传输协议(hypertexttransferprotocol，http)和命令行协议等。s120对不同类型的snmp消息进行解封装处理。优选的，可以预先创建适配层，并在适配层中使用套接字socket收发函数创建套接字通信接口。通过套接字通信接口收发snmp消息以封装屏蔽不同的开发平台，例如vxworks平台和linux平台。另外，对于snmpv1、snmpv2c和snmpv3版本类型，预先创建snmpv1消息处理模型、snmpv2c消息处理模型和snmpv3消息处理模型。分别使用对应的消息处理模型对snmp消息进行解封装处理，分别得到snmp消息的协议头和净荷。通过套接字通信接口和多个消息处理模型，对snmp消息的收发和处理的调度策略优选采用串行化同步处理机制，与异步多线程方式相比，任务优先级较低，因此，对系统性能没有太大影响，不会额外增加中央处理器(centralprocessingunit，cpu)的负荷。在其他的实施方式中，为了实现对snmp消息的安全管理，对snmp消息进行验证，如果通过验证，则接受该snmp消息，否则拒绝该snmp消息，结束流程。参见图2所示，步骤s120具体包括：s121读取snmp消息。s122检查snmp消息的版本类型，如果该snmp消息具有非法版本号，则流程结束；如果该snmp消息是snmpv1消息或者snmpv2c消息，进入步骤s123；如果该snmp消息是snmpv3消息，进入步骤s124。s123对snmpv1消息或者snmpv2c消息的协议头进行验证，若验证通过，则进入步骤s130；若验证未通过，则流程结束。s124进行usm安全验证，若验证通过，则进入步骤s130；若验证未通过，则流程结束。与snmpv1和snmpv2c相比，snmpv3增加了三个新的安全机制：身份验证、数据加密和访问控制。其中，身份验证是指代理(管理站)接到snmp消息时首先必须确认snmp消息是否来自有权的管理站(代理)，并且信息在传输过程中未被改变的过程。实现这个功能要求管理站和代理必须共享同一密钥。管理站使用密钥计算验证码(snmp消息的函数)，然后将其加入snmp消息中，而代理则使用同一密钥从接收的snmp消息中提取出验证码，从而得到snmp消息。数据加密的过程与身份验证类似，也需要管理站和代理共享同一密钥来实现信息的加密和解密。snmpv3采用usm的安全模型，除了usm，还可以采用其他的安全模型。安全模型用于处理它所防范的威胁、服务的目标和为提供安全服务所采用的安全协议，如认证协议和隐私协议。安全协议指出为提供安全服务所采用的机制、过程和mib对象，通过传统观念的用户(通过用户名标识)来关联安全信息，例如将hmac-md5-96和hmac-sha-96作为认证协议，密文分组链接-数据加密标准(cipherblockchaining-dataencryptionstandard，cbc-des)作为私密化协议。安全协议分为三个子功能，每个子功能都有特定的职责，共同完成安全服务。定义如下：1)用户认证：保证数据完整性，并进行用户信息的初始认证，属于国际标准规范组件，具体执行步骤由rfc2574规定；2)时间窗验证：预防消息延时或重复带来网络攻击，属于国际标准规范组件，具体执行步骤由rfc2574规定；3)私密验证：保证私密消息的正确性和完整性，属于国际标准规范组件，具体执行步骤由rfc2574规定。在上述协议之外，还可以采用其他的安全协议。参见图3所示，步骤s124具体包括：s1241判断用户认证是否通过，若是，进入步骤s1242；若否，返回失败信息，流程结束。s1242判断时间窗验证是否通过，若是，进入步骤s1243；若否，返回失败信息，流程结束。s1243判断私密验证是否通过，若是，进入步骤s130；若否，返回失败信息，流程结束。s130解析snmp消息的净荷中的pdu，得到对传输设备的管理信息库mib的管理命令。为了实现snmp协议的安全管理，需要对snmp消息进行访问控制。参见图4所示，步骤s130具体包括：s131获取pdu。s132检查并判断snmp消息的版本类型，如果该snmp消息具有非法版本号，则流程结束；如果该snmp消息是snmpv1消息或者snmpv2c消息，进入步骤s133；如果该snmp消息是snmpv3消息，进入步骤s134。s133进行绑定变量合法性验证，如果通过，则进入步骤s135；如果没有通过，则流程结束。具体的，pdu中的绑定变量variablebindings由多组oid和值value构成，即在收到的snmp消息的pdu中，绑定变量variablebindings中的oid属于预先注册的mib树结构，该预先注册的mib树结构是在初始化配置时注册生效的传输设备的mib。s134进行基于视图的访问控制模型vacm的访问控制，如果通过，则进入步骤s135；如果没有通过，则流程结束。基于视图的访问控制模型vacm是snmpv3中定义的特定的访问控制子系统模型，包括如下重要参数：1)组组定义了snmp管理对象的访问方式，由(<安全模型，安全名字>)组成，或是空值。组里包含了基于securityname的相关权限。securitymodel和securityname的组合构成了组的概念，组有唯一的标识groupname。在访问控制模型中，securityname可以作为认证过的元素使用，不需要额外的认证。基于视图的访问控制模型将securitymodel和securityname作为输入，进行验证。访问控制模型决定了groupname是securitymodel和securityname的参量。2)安全级别(securitylevel)组中的成员将被赋予不同的访问权限，也就是设定安全等级，包括noauthnopriv，authnopriv和authpriv。安全级别将被应用在检测访问控制权限过程中。基于视图的访问控制在检测访问权限时，需要将securitylevel作为访问控制模块的输入。3)上下文(contexts)snmp的上下文是指在一个snmp实体中存储的管理信息。一条管理信息可以存储在多个snmp上下文中。一个snmp实体可以拥有多个上下文。基于视图的访问控制定义了vacmcontexttable，其中列出了与contextname相关的本地的上下文。4)mib视图和视图组基于安全因素的考虑，在管理层的实施中，只授予部分组的非全部的访问权限。为了实现这一功能，可以通过"mibview"察看一个snmp上下文,"mibview"制定了管理对象(有可能是实例化后对象)的类型。例如，在一个上下文中，通常有一个mibview,它提供了访问控制的管理信息.此外，还有其他的"mibview"，它们只包含这些管理信息的一部分.因此，授予组的访问权限可以通过设定其组的"mibview"实现其需要的上下文。由于管理对象(及其实例)的类型是通过iso'sobjectidentifiers[rfc2578]的树型命名结构描述的，所以能够非常方便地用子视图组成视图。因此，一个简单的mib视图(例如所有的internetnetworkmanagementframework管理对象)可以定义成为一个视图子树.而多个视图子树可以组成复杂的视图。5)访问机制基于视图的访问控制模型决定了视图组的访问权限，通过设定读视图，写视图和通报视图，securitymodel和securitylevel，组(groupname表示组名)被授予不同的访问权限。读视图给出了允许组进行读的对象实例。读的对象的运行发生在读的过程中(当读的报文被处理时)。写视图给出了允许组进行写的对象实例。写的对象的运行发生在写的过程中(当写的报文被处理时)。通报视图给出了允许组进行通报的对象实例。通报视图发生在通报的过程中(当通报报文被处理时)。图5所示为针对snmpv3消息的视图访问控制的处理流程，根据给定的上下文、安全模型、安全级别、视图类型和oid检查snmp访问是否有效。步骤s134具体包括：s1341上下文信息验证：检查上下文信息是否存在以及是否合法，如果通过，则进入步骤s1342；如果没有通过，则流程结束。s1342检查用户信息是否合法，若是，则进入步骤s1343；若否，则流程结束。s1343检查安全级别是否正确，若是，则进入步骤s1344；若否，则流程结束。s1344读写视图认证：检查视图中的视图名和oid是否正确，若是，则进入步骤s136；若否，则流程结束。s135将净荷中协议数据单元pdu的mib命令转换为管理命令，其中，mib命令用于对传输设备的mib表进行操作，管理命令是与mib命令一一映射的回调函数。s136下发管理命令到snmp应用层。s140snmp应用层对收到的管理命令进行转发处理。具体的，对于经过安全控制处理的管理命令，则分别进行转发处理，安全控制处理包括安全校验、变量绑定合法性验证和vacm的访问控制。例如，在snmp应用层设置usmmib实现模块、vacmmib实现模块和v1/v2cmib实现模块等多个mib实现模块，实现对不同管理命令的并行转发处理，其中，usmmib实现模块和vacmmib实现模块用于转发snmpv3消息对应的管理命令，v1/v2cmib实现模块用于转发snmpv1消息和snmpv2c消息对应的管理命令，进一步提高内部处理效率，解决了由于主从通信不畅、内部处理逻辑异常等原因导致snmp协议栈任务的处理性能低下等性能瓶颈。s150snmp应用层通过底层业务接口下发对传输设备的管理信息库mib表的管理命令。传输设备执行配置命令后，返回配置成功或失败信息。传输设备执行管理命令中的性能数据获取命令后，返回性能数据。传输设备上报的响应结果包括配置成功、失败信息、以及性能数据。具体的，传输设备通过前述的回调函数上报响应结果。管理方法还包括：s210snmp应用层通过底层业务接口接收传输设备上报的响应结果。s220snmp应用层对响应结果进行转发处理。具体的，usmmib实现模块和vacmmib实现模块用于转发snmpv3消息对应的管理命令的响应结果，v1/v2cmib实现模块用于转发snmpv1消息和snmpv2c消息对应的管理命令的响应结果，对不同版本类型的管理命令的响应结果进行并行转发处理，进一步提高内部处理效率，解决了由于主从通信不畅、内部处理逻辑异常等原因导致snmp协议栈任务的处理性能低下等性能瓶颈。s230将响应结果封装为snmp消息。具体的，根据管理命令与mib命令的映射关系，将响应结果进行转换后存入pdu，根据snmp消息的版本类型，对snmp消息进行相应的访问控制，并使用对应的消息处理模型对snmp消息的协议头和净荷进行封装处理，净荷中的pdu携带有返回的配置成功信息、失败信息或者处理后的性能数据，协议头中携带有安全验证信息，该安全验证信息与前述解封装中的安全验证信息相同，不再赘述。s240通过多协议接口向网管上报snmp消息。在其他的实施例中，告警管理的管理方法包括：s310snmp应用层接收传输设备上报的告警信息。告警信息包括trap消息。与对前述配置命令和获取命令定义回调函数类似地，对告警信息预先定义回调函数，建立映射关系，传输设备可以通过该回调函数上报告警信息。s320snmp应用层上传告警信息。s330将告警信息封装为snmp消息。具体的，从回调函数中提取告警信息，根据snmp消息的版本类型，对告警信息进行相应的访问控制，并使用对应的消息处理模型对snmp消息的协议头和净荷进行封装处理，净荷中的pdu携带有告警信息，协议头中携带有安全验证信息，该安全验证信息与前述解封装中的安全验证信息相同，不再赘述。s340通过多协议接口向网管上报snmp消息。本发明另一实施例提供一种传输设备的管理方法，在前述分别实现配置管理、性能管理和告警管理的实施例的基础上，管理方法包括：s401初始化snmp管理参数。具体的，snmp管理参数包括全局数据，全局数据用于构造向网管上报的snmp消息，初始化全局数据以支持ipv4和ipv6协议，在接收、处理和发送snmp消息过程中实现对ipv4和ipv6数据的处理，实现vxworks平台上支持ipv4和ipv6协议的管理。s402创建定时器任务。具体的，用于定时检测传输设备是否有trap消息需要发送给网管。s403初始化trap消息接收管道。snmp应用层通过该trap消息接收管道上报trap消息。s404时间窗同步。超过该时间窗设定的固定时间区间还未处理的trap消息，会被丢弃。s405判断是否定义snmp发送接口，若是，进入步骤s407；若否，进入步骤s406。具体的，snmp发送接口一般在初始化配置时定义，没有定义时，则使用默认的发送接口函数。s406绑定套接字socket，配置snmp发送接口。snmp发送接口包括与网管之间的多协议接口，以及进行snmp消息处理的套接字通信接口。s407接收snmp消息。具体的，通过多协议接口接收网管下发的snmp消息，和/或，通过套接字通信接口接收从传输设备返回的snmp消息，其中，从传输设备返回的snmp消息携带配置成功信息、配置失败信息、处理后的性能数据或者告警信息，告警信息包括trap消息。s408判断snmp消息是否是trap消息，若是，进入步骤s409；若否，进入步骤s410。s409处理trap消息。s410根据snmp消息的版本类型和管理类型，对snmp消息进行处理。具体的，对snmp消息进行处理包括前述实施例配置管理、性能管理和告警管理方法，这里不再赘述。另外，一个传输设备的响应结果和告警信息可以分别封装为不同的snmp消息，或者，响应结果和告警信息封装为一个snmp消息，不作限定。s411通过snmp发送接口发送snmp消息，返回步骤s407。在本实施例中，步骤s401至s406完成初始化，步骤s407至s411接收、处理和发送snmp消息。由于传统传输设备的告警数据、性能数据和配置数据量都很大，并且需要同时处理告警管理、性能管理和配置管理，本实施例可以高效地实现大量snmp消息的收发和处理，对各种传输设备进行管理。参见图7所示，本发明实施例还提供一种传输设备的管理系统，用于实现前述各实施例传输设备的管理方法，管理系统包括总控调度模块、处理模块和snmp应用层。总控调度模块用于与网管之间通过多协议接口收发snmp消息，并对snmp消息的收发和处理进行调度控制。snmp应用层用于通过底层业务接口下发对传输设备的管理信息库mib表的管理命令，以及接收传输设备上报的告警信息和管理命令的响应结果。处理模块用于对不同类型的snmp消息进行同步处理或者异步多线程处理，从而从网管下发的snmp消息中解析得到管理命令，以及将响应结果和/或告警信息封装为snmp消息。snmp核心协议栈分为位于上层的snmp引擎以及位于下层的snmp应用层，snmp引擎包括总控调度模块和处理模块。优选的，处理模块包括信息处理单元和本地处理单元。信息处理单元与总控调度模块之间通过套接字通信接口收发snmp消息；用于根据snmp消息的版本类型，使用对应的消息处理模型对snmp消息的协议头和净荷进行封装或者解封装处理。具体的，信息处理单元包括snmpv1消息处理模型、snmpv2c消息处理模型和snmpv3消息处理模型。本地处理单元用于将净荷中协议数据单元pdu中的mib命令转换为管理命令，以及将响应结果和/或告警信息进行转换后存入pdu，其中，mib命令用于对传输设备的mib进行操作，管理命令是与mib命令一一映射的回调函数。进一步的，管理系统还包括基于安全模型的用户安全模块，以及基于视图的访问控制模型vacm的访问控制模块，安全模型包括基于用户的安全模型usm，还可以同时包括其他安全模型。信息处理单元还用于调用用户安全模块对协议头进行验证或者基于安全模型的安全校验，以及通知本地处理模块安全校验通过结果。本地处理单元还用于对pdu进行绑定变量合法性验证或者调用访问控制模块进行vacm访问控制处理。具体的，本地处理单元用于解析snmp消息的净荷中的pdu，检查snmp消息的版本类型，根据snmp消息的版本信息，调用用户安全子系统和视图访问控制子系统，验证mib访问的合法性，以及通过注册的mib树结构确定管理命令，向snmp应用层下发管理命令，以及将响应结果和告警信息进行转换后存入pdu。管理系统还包括配置数据模块，用于存储用户安全模块和访问控制模块的配置数据。信息处理单元在rfc2272中定义，用于snmp消息的产生和分析，并判断snmp消息在传输过程中是否要经过代理服务器等。在snmp消息产生过程中，信息处理单元接收来自本地处理单元的pdu，然后由用户安全模块在snmp消息的协议头中加入安全参数。在分析接收的snmp消息时，先由用户安全模块处理snmp消息的协议头中的安全参数，然后将解包后的pdu送给本地处理单元进行解析处理。本地处理单元的功能主要是对snmp消息进行访问控制，处理打包的数据和中断。访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限，在pdu解析这一级完成。常用的控制策略有两种：限定管理站可以向代理发出的命令或确定管理站可以访问代理的mib的具体部分。访问控制的策略必须预先设定。snmpv3通过使用带有不同参数的原语使用来灵活地确定访问控制方式。进一步的，总控调度模块调度控制snmp消息收发与处理之前进行初始化。进一步的，多个mib实现模块包括usmmib实现模块、vacmmib实现模块和v1/v2cmib实现模块，分别用于对相应的管理命令及其响应结果进行转发处理。命令应答器通过内部接口接收本地处理单元下发的所述管理命令，并将管理命令转发给相应的mib实现模块；还用于上传经过mib实现模块转发的所述响应结果。snmp应用层还包括通知生成器；通知生成器用于通过底层业务接口接收告警信息，并转发给本地处理模块。snmp应用层的usmmib实现模块、vacmmib实现模块和通知生成器均可从配置数据模块获取相应的配置数据。具体的，接收本地处理单元和命令应答器之间的内部接口可以使用现有的开发框架结构，例如信息数据库(informationdatabaseplus，idb+)框架结构，进一步提高管理系统的通用性。本发明实施例传输设备的管理系统支持snmpv1、snmpv2c和snmpv3版本的snmp消息的处理；提供snmp消息在网络传输中的安全保护机制，支持snmpv3消息的usm；提供snmp消息在代理平台内部处理时的安全访问控制，支持snmpv3消息的vacm；支持在ipv4和ipv6环境下运行；支持usm和vacm的远程配置功能；支持snmpv3安全trap消息上报功能；提高snmp功能模块的可维护性和可扩展性；满足snmp核心协议栈的高度封装、模块化的要求；提高传输设备管理的安全性和稳定性；使用idb+框架结构，统一设备的多协议网管接口(私有/标准snmp协议、http协议、命令行协议等)；支持多种平台，例如vxworks和linux。本发明不局限于上述实施方式，对于本
技术领域：
：的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。当前第1页12当前第1页12