一種基於snmp的網絡管理方法
2023-09-20 18:32:55
專利名稱:一種基於snmp的網絡管理方法
技術領域:
本發明涉及通信網絡的安全管理,特別地涉及在通信網絡管理中基於SNMP(Simple Network Management Protocol簡單網絡管理協議)的網絡管理的方法。
背景技術:
圖1是表示網絡管理結構的示意圖。在圖1中,在NMS和被管理網絡(網元)之間基於SNMP進行網絡管理,其中,NMS(Network Management System,網絡管理系統)包含NMS應用層和NMS通訊層。又,SNMP是一種電信網絡管理領域中廣泛使用的管理協議,它提供了一種從網絡設備中收集網絡管理信息以及控制/配置網絡設置的方法,同時,SNMP也為設備向NMS報告問題和錯誤提供了一種方法。
一般地,在NMS和被管理網絡(網元)之間根據SNMP進行電信網絡管理的過程如下NMS應用層發送查詢或者控制/配置請求給NMS通訊層,NMS通訊層將這些請求轉換成SNMP Get/Set請求並與被管理的電信設備進行交互,同時如果被管理的電信網絡發生故障或異常,電信設備也會向NMS發送SNMP trap。
當前許多電信設備直接部署在Internet上,如何安全地對其進行管理、如何保證這些設備不會通過SNMP請求特別是SNMP Set請求被攻擊是至關重要的。如果黑客知道被管理電信設備的MIB定義,就可以非常容易地通過模擬或篡改SNMP Set請求來控制和/或重新配置電信設備,從而達到攻擊的目的,這些控制/配置操作可能是(1)軟硬體重啟或復位;(2)硬體下電或停止運行;(3)系統手工切換;(4)修改交叉連接;(5)重新配置與業務有關的參數。所有這些操作都可能影響或者中斷電信業務,從而帶給電信網絡巨大的災難。
目前解決這個問題的主要方式是使用SNMP V3,利用SNMP V3所支持的安全機制來保護被管理的電信設備免受攻擊,但使用SNMP V3存在以下問題(1)SNMP V3過於複雜,它已經不再是一個「簡單」的網絡管理協議,因而加大了實現的難度;(2)目前許多電信設備以及SNMP開發工具不支持SNMP V3。
發明內容
本發明鑑於上述問題,其目的在於,提供一種安全性高的基於SNMP的網絡管理方法。
在本發明中,基於SNMP在NMS與多個網元之間進行網絡管理,其特徵在於,包含下述步驟(a)NMS啟動並進行初始化;(b)NMS檢測網元的通訊狀態以及密鑰狀態以確定是否需要與網元進行密鑰同步;(c)NMS生成用於查詢網元當前信息的SNMP Get請求並發送至網元,網元返回包含查詢到的網元當前信息的SNMP響應;(d)NMS生成用於控制/配置網元的SNMP Set請求,並將生成的SNMP Set請求加密後發送至網元,網元返回包含控制/配置結果的SNMP響應。
其中,上述步驟(a)包括(a1)NMS啟動的步驟;(a2)NMS從密鑰文件中讀取密鑰並將該密鑰賦值給用於記錄NMS中的最新密鑰的latestKey。
其中,上述步驟(b)中包含通訊狀態檢測步驟和密鑰狀態檢測步驟,其中,設網元的密鑰狀態為withoutKey、keyMatched、或keyMismatched中的任意一種,其中,在所述密鑰狀態檢測步驟中,若檢測到該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若檢測到該網元的密鑰狀態為withoutKey,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;若檢測到該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,利用加密後SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey。
其中,上述步驟(c)中包含下述步驟(c1)NMS判斷網元是否在線;(c2)如果網元在線,NMS生成SNMP Get請求;(c3)NMS將生成的SNMP Get請求發送給網元;(c4)NMS接收網元發送來的SNMP響應。
其中,上述步驟(d)中包含下述步驟(d1)NMS判斷網元是否在線;
(d2)如果該網元在線,NMS檢查該網元的密鑰狀態;(d3)NMS按照控制/配置請求生成SNMP Set請求;(d4)NMS利用該網元當前使用的密鑰加密SNMP Set請求,並且將加密的SNMP Set請求發送給網元;(d5)NMS從該網元獲得包含控制/配置結果的SNMP響應。
其中,在上述步驟(d2)中,若該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若該網元的密鑰狀態為withoutKey,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;如果該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密的SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey。
其中,若在網元發生故障的情況下,包含下述步驟(I)網元發送SNMP trap給NMS;(II)NMS判斷該trap的類型;(III)若該trap為NERestart,則NMS檢查該網元的密鑰狀態,並在需要的情況下進行密鑰同步若該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若該網元的密鑰狀態為withoutKey,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;如果該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密的SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey。
(IV)若該trap為NERequestKeyInfo,則NMS通過SFTP方式將密鑰文件傳遞給網元,並且NMS將該網元的密鑰狀態從withoutKey修改成keyMatched,同時將該網元當前使用的密鑰設置為latestKey。
又,在NMS上創建一個新網元的情況下,包含下述步驟NMS將該網元的密鑰狀態修改為withoutKey;NMS檢測該網元是否在線,若該網元在線,NMS將通過SFTP方式將密鑰文件傳遞給該網元,並且將該網元的密鑰狀態從withoutKey修改為keyMatched,同時將該網元當前使用的密鑰設置為latestKey。
又,若從NMS側修改網元側密鑰的情況下,包含下述步驟(I)NMS生成新的密鑰並將它賦值給latestKey;(II)NMS根據新生成的密鑰生成新的密鑰文件;(III)NMS與網元進行通訊,更新網元側的密鑰文件和密鑰。
其中,上述步驟(III)中,如果該網元在線,NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密後的SNMP Set請求通知該網元更新密鑰,同時,將該網元的密鑰狀態修改給keyMatched,並且將該網元當前使用的密鑰設置為latestKey;如果該網元處於離線狀態且其密鑰狀態為keyMatched,NMS則將其密鑰狀態修改為keyMismatched。
其中,利用網元中的舊密鑰對所述SNMP Set請求進行加密。
如上所述,本發明是通過對SNMP Set請求進行加密,以保護被管理的網絡不會經由SNMP Set請求而受到攻擊,從而確保足夠的安全性。
進一步,如上所述,在本發明中,密鑰是通過SFTP(Secured FTP,安全FTP)方式傳遞到網元側,SFTP是基於SSH(Secure Shell)的,它通過使用SSH而對所有傳輸的數據進行加密,這樣「中間人」這種攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。再一優點在於,SSH中傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。由此可見,在本發明中,通過SFTP方式傳遞密鑰,能夠提高傳遞密鑰過程中的安全性。
進一步,如上所述,在本發明中,為了保證安全性,操作員可以定期修改密鑰,從而也進一步保證了SNMP Set請求不被輕易模擬或篡改。
圖1是表示網絡管理結構的示意圖。
圖2是表示網元側密鑰狀態的狀態圖。
圖3是表示NMS中SNMP Get請求以及SNMP響應的處理流程圖。
圖4是表示NMS中SNMP Set請求的處理流程圖。
圖5是表示NMS中的SNMP Trap的處理流程圖。
圖6是表示NMS中創建新網元的處理流程圖。
圖7是表示NMS中修改密鑰的處理流程圖。
具體實施例方式
以下,參照圖2~圖7對於本發明的基於SNMP的網絡管理方法進行說明。
在本發明的基於SNMP的網絡管理方法中,基於SNMP在NMS與網元之間進行網絡管理。該方法的主要流程包括NMS啟動並進行初始化;NMS檢測網元的通訊狀態以及密鑰狀態以確定是否需要與網元進行密鑰同步;NMS生成用於查詢網元當前信息的SNMP Get請求並發送至網元,網元返回包含查詢到的網元當前信息的SNMP響應;NMS生成用於控制/配置網元的SNMP Set請求,並將生成的SNMP Set加密後發送至網元,網元返回包含控制/配置結果的SNMP響應。
其中,關於網元的密鑰狀態,如圖2所示,我們定義了三個狀態withoutKey、keyMatched、以及keyMismatched。withoutKey表示該網元處於初始狀態(沒有密鑰),自從操作員在NMS上創建它後就一直處於離線狀態(例如,網元沒有上電或因為網絡原因而無法與NMS進行通訊),因此NMS無法將密鑰傳遞(或同步)給它;keyMismatched表示該網元密鑰與NMS不匹配;keyMatched表示密鑰已經成功傳遞(或同步)到網元側並且與NMS匹配。
為了管理每個網元的密鑰狀態和當前使用的密鑰,我們可以定義如下的數據結構structure{int keyState;網元的密鑰狀態,其取值為withoutKey、keyMatched或keyMismatchedstring currentKey;記錄網元當前使用的密鑰
}同時,這裡還引入一個全局變量latestKey,它用於記錄NMS中的最新密鑰。
在上述步驟(a)的NMS啟動並進行初始化的過程中,具體包含(a1)NMS啟動的步驟;(a2)NMS從密鑰文件中讀取密鑰並將該密鑰賦值給上述latestKey。(a3)NMS發送SNMP請求給網元並處理從網元返回的SNMP響應;或者接收並處理網元發送來的trap(關於trap將在下文描述);或者為用戶提供操作界面。
關於初始化,一般在NMS初始包中包含一個預設密鑰文件。如果操作員在NMS部署後沒有修改密鑰,NMS將使用該預設密鑰與所有被管網元進行通訊,這種情況下NMS初始化時賦值給latestKey的就是這個預設密鑰;反之,如果操作員在NMS部署後修改了密鑰,在NMS初始化時賦值給latestKey的就是修改過的密鑰。
另外,上述的「密鑰文件」存儲於任何NMS可以訪問的位置,其內容就是單純的密鑰信息(KEY)。
又,在上述步驟(b)中,包括NMS檢測網元的通訊狀態以及密鑰狀態這兩個過程。
首先,為了便於NMS將密鑰傳遞(或同步)給網元,NMS需要檢測每個網元的通信狀態是否恢復。在本發明中可以採用下述兩種方法進行檢測(一)NMS定期輪詢每個網元來檢測它們是否在線;(二)網元啟動或重啟成功後發送trapNERestart(關於trap NERestart將在下文描述)給NMS,用於通知NMS該網元已經在線。
其次,當NMS檢測到網元恢復通信或者是NMS需要向某個網元發送SNMPSet請求時,NMS需要檢查該網元的密鑰狀態,並且在需要的情況下與網元進行「密鑰同步」,其處理流程包括(1)NMS檢查該網元的密鑰狀態,用以確定密鑰是否已經被傳遞給該網元或者密鑰是否被修改,(2)若該網元的密鑰狀態為KeyMatched,則表示密鑰匹配;若該網元的密鑰狀態為withoutKey,則NMS將通過SFTP(secured FTP安全文件傳輸協議)方式將密鑰文件傳遞給該網元並且將該網元的密鑰狀態修改為KeyMatched並將當前使用的密鑰設置為latestKey;如果該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,並通過SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為KeyMatched、將網元當前使用的密鑰設置為latestKey。
圖3是表示NMS中SNMP Get請求以及SNMP響應的處理流程圖。NMS利用SNMP Get請求與網元通訊以獲取網元的當前信息,其處理SNMP Get請求以及SNMP的響應的流程如圖3所示(1)NMS應用層發送查詢請求給NMS通信層;(2)NMS通訊層檢查要通訊的網元是否在線,如果該網元處於離線狀態,NMS通訊層將返回「失敗」給NMS應用層;(3)如果該網元在線,NMS通訊層根據從NMS應用層發送來的查詢請求生成SNMP Get請求,NMS通訊層將生成的SNMPGet發送給網元,NMS通訊層接收網元發送來的SNMP響應,NMS通訊層將從網元查詢到的結果返回NMS應用層。如此,通過從NMS側向網元發送SNMP Get請求,以與網元進行通訊,由此,在NMS側能夠獲取網元的當前信息。
圖4是表示NMS中SNMP Set請求的處理流程圖。SNMP Set請求是用於完成對網元的控制/配置操作的請求。在本發明中為了提高網絡管理的安全性,對SNMP Set請求進行加密。處理SNMP Set請求的具體流程如圖4所示(1)NMS應用層根據發送網元控制/配置請求給NMS通訊層;(2)NMS通訊層檢查要通訊的網元是否在線;(3)如果該網元處於離線狀態,NMS通訊層將返回「失敗」給NMS應用層;如果該網元在線,其處理流程如下(a)NMS通訊層檢查該網元的密鑰狀態;如果其密鑰狀態為withoutKey或keyMismatched,NMS需要與網元進行「密鑰同步」(該「密鑰同步」流程請參見上文的描述);(b)NMS通訊層根據從NMS應用層來的控制/配置請求生成SNMP Set請求;(c)NMS通訊層使用該網元當前使用的密鑰加密對SNMP Set請求進行加密;(d)NMS通訊層將加密後的SNMP Set請求發送給網元;(e)NMS通訊層接收網元發送來的SNMP響應;(f)NMS通訊層將網元返回的控制/配置結果返回給NMS應用層;
其中,作為對SNMP Set請求進行加密的方法,不限定於某種特定的加密算法,可以使用任意一種加密算法對其進行加密,例如AES(Advanced EncryptionStandard,高級加密標準)、DES(Data Encryption Standard,數據加密標準)、RSA(Rivest Shamir Adelman)等等。
如果被管網元發生故障或異常的情況下,該網元會發送SNMP trap給NMS。圖5是表示NMS中的SNMP Trap的處理流程圖。如圖5所示,SNMP Trap的處理流程如下其中,若在網元發生故障的情況下,包含下述步驟(1)網元發送SNMP trap給NMS;(2)NMS判斷該trap的類型;(3)若該trap為NERestart,則NMS檢查該網元的密鑰狀態,並在需要的情況下進行密鑰同步,即若該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若該網元的密鑰狀態為withoutKey,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;如果該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密的SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey。
(4)若該trap為NERequestKeylnfo,則NMS通過SFTP方式將密鑰文件傳遞給網元,並且NMS將該網元的密鑰狀態從withoutKey修改成keyMatched,同時將該網元當前使用的密鑰設置為latestKey。
其他類型的trap的處理與現有技術相同。
當操作員創建新網元時,需要將密鑰文件從NMS傳遞到新傳創建的網元。圖6是表示NMS中創建新網元的處理流程圖。如圖6所示,NMS中創建新網元的處理流程如下(1)用戶在NMS上創建一個新網元;(2)NMS將該網元的密鑰狀態修改為withoutKey;(3)NMS檢測該網元是否在線;(4)如果該網元在線,NMS通過SFTP方式將密鑰文件傳遞給網元,並且將該網元的密鑰狀態從withoutKey修改成keyMatched、將該網元的當前使用的密鑰設置為latestKey。
為了進一步保證該網絡系統的安全性,操作員可以定期修改密鑰,從而可靠地保證SNMP Set請求不被篡改或模擬。
圖7是表示在NMS中修改密鑰的處理流程圖。如圖7所示,修改密鑰的處理流程如下(1)操作員使用NMS客戶端觸發NMS修改密鑰;(2)NMS生成新的密鑰並將它賦值給latestKey;(3)NMS根據新生成的密鑰生成新的密鑰文件;(4)NMS嘗試與每個被管網元進行通訊,更新網元側的密鑰文件和密鑰。
對於每個網元,其更新密鑰文件和密鑰的流程如下(a)如果該網元在線,NMS通過SFTP方式將密鑰文件傳遞給該網元,並通過SNMP Set請求通知該網元更新密鑰,該SNMP Set請求將用記錄在該網元currentKey中的舊的密鑰進行加密,並將該網元的密鑰狀態修改給keyMatched,同時將該網元當前使用的密鑰設置為latestKey;(b)如果該網元處於離線狀態且其密鑰狀態為keyMatched,NMS則將其密鑰狀態修改為keyMismatched,否則NMS不做任何處理。
由於加密和解密是對應存在的,因此,在如上所述加入了加密機制之後,網元代理(NMS Agent)處理流程需要做相應的修改,修改後的流程如下(1)網元代理啟動並進行相應的初始化;(2)網元代理髮送trap NERestart給NMS;(3)網元代理將自己的狀態標識為「沒有密鑰」;(4)網元代理進入如下循環(a)如果網元代理的狀態為「沒有密鑰」,它將定期檢查NMS是否將密鑰文件傳遞過來;如果本地已有密鑰文件,它將從密鑰文件中讀取密鑰,並將自己的狀態標識為「已有密鑰」;(b)如果網元側的代理方的狀態為「沒有密鑰」,它將定期發送trap NERequestKeyInfo向NMS請求密鑰;(c)接收並處理從NMS來的SNMP請求(c1)如果該PDU(Protocol Data Unit,協議數據單元)為SNMP Get請求,由於SNMP Get請求和SNMP響應都不加密,其處理與未引入加密方案的現有技術相同;(c2)如果該PDU為加密的SNMP Set請求,且網元代理的狀態為「已有密鑰」,它將解密接收到的SNMP PDU,同時檢查該SNMP Set請求是否是NMS觸發其修改密鑰的請求,如果是觸發其修改密鑰的請求情況下,網元代理將從NMS傳遞過來的密鑰文件中讀取最新的密鑰;否則該SNMP Set請求的處理與沒有引入加密方案的現有技術相同;如果網元代理的狀態為「沒有密鑰」,它將丟棄接收到的SNMP Set請求而不做任何處理,因為它沒有密鑰來解密該SNMP PDU;(d)網元代理管理所有的本地被管資源,如果出現故障或異常,它將發送SNMP trap給NMS,其處理與沒有引入加密方案的如上所述,通過對SNMP Set請求進行加密,能夠保護被管理的網絡不會通過SNMP Set請求而受到攻擊,從而有效確保安全性。
又,如上所述,密鑰是通過SFTP方式傳遞到網元側,由此,能夠確保傳遞密鑰的過程中的安全性。
又,如上所述,在本發明中,操作員可以通過定期修改密鑰從而進一步保證SNMP Set請求不被輕易模擬或篡改,由此,能夠進一步提高安全性。
以上,參照附圖對本發明的具體實施方式
作了具體描述,然而,本領域中的普通技術人員應當理解,在不偏離本發明的精神和由權利要求書所限定的保護範圍的情況下,本領域中的普通技術人員還可以對具體實施方式
中所給出的情況作各種修改。因此,參照上述附圖對本發明所作的具體實施方式
描述不應當被看作是對本發明的限定。
權利要求
1.一種基於SNMP的網絡管理方法,基於SNMP在NMS與多個網元之間進行網絡管理,其特徵在於,包含下述步驟(a)NMS啟動並進行初始化;(b)NMS檢測網元的通訊狀態以及密鑰狀態以確定是否需要與網元進行密鑰同步;(c)NMS生成用於查詢網元當前信息的SNMP Get請求並發送至網元,網元返回包含查詢到的網元當前信息的SNMP響應;(d)NMS生成用於控制/配置網元的SNMP Set請求,並將生成的SNMP Set請求加密後發送至網元,網元返回包含控制/配置結果的SNMP響應。
2.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,上述步驟(a)包括(a1)NMS啟動的步驟;(a2)NMS從密鑰文件中讀取密鑰並將該密鑰賦值給用於記錄NMS中的最新密鑰的latestKey。
3.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,上述步驟(b)中包含通訊狀態檢測步驟和密鑰狀態檢測步驟,其中,定義網元的密鑰狀態為withoutKey、或keyMatched、或keyMismatched中的任意之一,在所述密鑰狀態檢測步驟中,若檢測到該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若檢測到該網元的密鑰狀態為withoutKey,則NMS通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;若檢測到該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,利用加密後SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey。
4.如權利要求3所述的基於SNMP的網絡管理方法,其特徵在於,其中,利用網元中的舊密鑰對所述SNMP Set請求進行加密。
5.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,上述步驟(c)中包含下述步驟(c1)NMS判斷網元是否在線;(c2)如果網元在線,NMS生成SNMP Get請求;(c3)NMS將生成的SNMP Get請求發送給網元;(c4)NMS接收網元發送來的SNMP響應。
6.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,上述步驟(d)中包含下述步驟(d1)NMS判斷網元是否在線;(d2)如果該網元在線,NMS檢查該網元的密鑰狀態;(d3)NMS按照控制/配置請求生成SNMP Set請求;(d4)NMS利用該網元當前使用的密鑰加密SNMP Set請求,並且將加密後的SNMP Set請求發送給網元;(d5)NMS從該網元獲得包含控制/配置結果的SNMP響應;
7.如權利要求6所述的基於SNMP的網絡管理方法,其特徵在於,在上述步驟(d2)中,若該當該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若該網元的密鑰狀態為withoutKey,則NMS通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;如果該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密的SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey。
8.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,若在網元發生故障的情況下,包含下述步驟(I)網元發送SNMP trap給NMS;(II)NMS判斷該trap的類型;(III)若該trap為NERestart,則NMS檢查該網元的密鑰狀態,並在需要的情況下進行密鑰同步若該網元的密鑰狀態為keyMatched,則表示網元密鑰與NMS匹配;若該網元的密鑰狀態為withoutKey,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,將網元的密鑰狀態修改為keyMatched並且將當前使用的密鑰設置為latestKey;如果該網元的密鑰狀態為keyMismatched,則NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密的SNMP Set請求通知該網元更新密鑰,同時將網元的密鑰狀態修改為keyMatched並且將網元當前使用的密鑰設置為latestKey;(IV)若該trap為NERequestKeyInfo,則NMS通過SFTP方式將密鑰文件傳遞給網元,並且NMS將該網元的密鑰狀態從withoutKey修改成keyMatched,同時將該網元當前使用的密鑰設置為latestKey。
9.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,在NMS上創建一個新網元的情況下,包含下述步驟NMS將該網元的密鑰狀態修改為withoutKey;NMS檢測該網元是否在線,若該網元在線,NMS將通過SFTP方式將密鑰文件傳遞給該網元,並且將該網元的密鑰狀態從withoutKey修改為keyMatched,同時將該網元當前使用的密鑰設置為latestKey。
10.如權利要求1所述的基於SNMP的網絡管理方法,其特徵在於,若從NMS側修改網元側密鑰的情況下,包含下述步驟(I)NMS生成新的密鑰並將它賦值給latestKey;(II)NMS根據新生成的密鑰生成新的密鑰文件;(III)NMS與網元進行通訊,更新網元側的密鑰文件和密鑰。
11.如權利要求10所述的基於SNMP的網絡管理方法,其特徵在於,上述步驟(III)中,如果該網元在線,NMS將通過SFTP方式將密鑰文件傳遞給該網元,並利用加密後的SNMP Set請求通知該網元更新密鑰,同時,將該網元的密鑰狀態修改給keyMatched,並且將該網元當前使用的密鑰設置為latestKey;如果該網元處於離線狀態且其密鑰狀態為keyMatched,NMS則將其密鑰狀態修改為keyMismatched。
12.如權利要求11所述的基於SNMP的網絡管理方法,其特徵在於,其中,利用網元中的舊密鑰對所述SNMP Set請求進行加密。
全文摘要
本發明的目的在於,提出一種高度安全性的基於SNMP的網絡管理方法。該方法包含下述步驟(a)NMS啟動並進行初始化;(b)NMS檢測網元的通訊狀態及密鑰狀態以確定是否需要與網元進行密鑰同步;(c)NMS生成用於查詢網元當前信息的SNMP Get請求並發送至網元,網元返回包含查詢到的網元當前信息的SNMP響應;(d)NMS生成用於控制/配置網元的SNMP Set請求,並將生成的SNMP Set請求加密後發送至網元,網元返回包含控制/配置結果的SNMP響應。由此,通過對SNMP Set請求進行加密,能夠保護被管理的網絡不會經由SNMP Set請求而受到攻擊,從而確保了足夠的安全性。
文檔編號H04L12/24GK1901478SQ20061010790
公開日2007年1月24日 申請日期2006年7月24日 優先權日2006年7月24日
發明者李冬, 李德勝, 李宏敏 申請人:Ut斯達康通訊有限公司