用於監視和配置的方法

2023-05-09 22:04:36 1

專利名稱：用於監視和配置的方法
技術領域：
本發明涉及監視、配置和管理防火牆後面的IP終端以及NAT遍 歷結點。
背景技術：
傳統的會議系統包括若干用於在諸如WAN、 LAN和線路交換網 絡的不同網絡之上或之間實時傳送視頻、音頻和/或數據流的端點 (end-point)。
駐於不同場點的若干會議系統可參與相同的會議，常常是通過一 個或多個MCU (多點控制單元)來執行切換功能，使得影音終端可適 當地相互通信。
視頻會議涉及不同範圍和不同能力的各種資源和設備的同時互操 作，因此需要管理涉及計劃會議和即興會議的資源。
因此會議系統常常提供管理工具。管理工具例如可包括資源調度 器、監視模塊和路由模塊。
早期的會議設備是基於ISDN的，而現在開始向基於IP的終端和 基礎設施遷移。基於IP的設備常常連接至受防火牆和NAT (網絡地址 轉換)設施保護的區域網(LAN)。這樣，在管理系統與相關聯的結 點和設備之間進行連接時就引起新的問題。管理系統可能是在LAN之 外操作的，也就是說，發往被管理結點和端點的通信必須強制通過防 火牆和NAT。這就出現了問題，因允許什麼內容可通過防火牆常常有 嚴格的政策。傳統上，通過防火牆的所有通信會話必須是從內部發出。
這意味著，所有從管理系統發出的、對於LAN內部的設備的請求都將
被防火牆拒絕。另外，管理系統也不知道設備的最終IP位址，因NAT
設施隱藏這些設備的IP位址。
這樣，如果配置防火牆允許向外發出報告，這些設備或許可以把 報告向外發給管理工具，但管理員很難進行配置或通過其他方法來管 理這些設備，因不允許請求防火牆後面的設備。
允許報告發出防火牆還可能引起不期望的其他信息洩露。
許多現有技術的IP設備使用SNMP (簡單網絡管理協議)用於監 視。當發生某種事情時，設備使用至特定埠的UDP/IP分組向管理系 統發送陷阱(trap)。管理系統然後可使用另外的埠檢查該設備。為 了能通過防火牆，必須打開SNMP埠。這引起很高的安全風險，因 幾乎所有的IP設備都有SNMP，因此整個網絡暴露給外部。而且SNMP 的安全機制很弱，惡意攻擊方會攔截消息並冒充管理系統，如管理系 統那樣發出相同的管理命令，並改變設備配置。
另外的問題是，SNMP使用管理系統的專用埠來訪問這些設備， 因此，如果管理系統在防火牆之外並且NAT處於在用(in use)狀態， 則只能訪問防火牆之內的一個設備，因防火牆只能把一個埠映射到 防火牆之內的一個地址。解決該問題的一個辦法是實現穿過防火牆的 隧道和防火牆內的專用實用程序(代理)把連接重定向至該設備。但 這需要對管理系統做某些特殊的擴展並需要相當多的配置工作。

發明內容
本發明的一個目的是提供一種方法來避免上述的問題。
獨立權利要求1中定義的特徵公開了本發明的方法。本發明公開 了一種方法，用於從防火牆/NAT保護的網絡之外的管理系統來管理和
監視由防火牆/NAT保護的網絡中的通信裝置，包括下述步驟周期性 地並按預定義的事件打開http連接並且從相應各通信裝置穿過保護該
網絡的防火牆/NAT設施發送請求至所述管理系統，以及當在該管理系 統接收所述請求時，從該管理系統通過所述http連接用http響應向所
述各通信裝置發送指令和數據。


為了使本發明更易於理解，下面的說明將結合附圖進行。 圖1是示出根據本發明一個實施例的在端點和管理系統之間的數 據流的方框圖。
具體實施例方式
下面，通過描述優選實施例來討論本發明，並通過附圖來支持這 些討論。但是，本領域技術人員在所公開的獨立權利要求所定義的本 發明的範圍之內可實現其他的應用和修改。
如在背景技術部分已經提到的，防火牆允許建立從受保護的區域 內部發起的通信會話，但不允許建立反方向的通信會話，如從公共因 特網至受保護的區域。特別，大多數防火牆具有從防火牆內部向外部
開放的HTTP (埠 80)禾卩HTTPS (埠 443)。當從內部向外部的 驗證區域(伺服器、結點、終端等)建立TCP連接時，該驗證區域可 把信息傳送回至該發起通信會話的系統。在本發明中使用這種可能性 來管理與管理系統相關的在防火牆/NAT設施後面的IP設備。
根據本發明，內部的設備周期性地利用所啟動的請求來發送數據， 使得管理系統可利用響應來發送配置或其他管理命令。通過選擇適當 的啟動請求間隔和/或定義適當的啟動事件，在不損害安全性的前提下， 可從防火牆外部來配置、監視和管理防火牆內部的系統。優選地，使 用安全協議HTTP/S作為傳輸機制。HTTP/S是經IETF標準化的用於 通過網際網路安全發送個別消息的協議。當部署新設備時，所要求的唯
一配置工作是設置該設備上的管理工具IP位址。但是，通過使用DHCP (動態主機配置協議)的擴展，可以在DHCP中一次性配置管理工具 地址，然後所有設備當其連接至網絡時，被自動地配置。
在本發明的優選實施例中，事件模式定義了何時防火牆後面的設 備發送請求，通告事件和特定消息(根據情況有不同類型)，或簡單 地重複請求，然後管理系統將在響應中發出配置或其他類型的管理設 備的命令。所述請求優選是SOAP (簡單對象訪問協議)請求，這種請 求根據兼容http的簡單對象訪問協議來進行請求，用於在網際網路環境 中交換信息。
對於待激活的事件模式，該設備需要獲得管理系統的地址。優選 自動提供該地址，因配置該設備使用DHCP來獲得其IP位址配置。當 設備啟動，向DHCP伺服器發送査詢。DHCP伺服器利用保護IP配置 和其他可選設置的分組來響應。通過使用自由選項來擴充該DHCP分 組，該設備可接收管理系統的IP位址。
進而，當該設備連接到網絡，它首先檢查它是否從DHCP接收到 管理系統的IP位址。如果接收到該地址，使用該地址結合所存儲的服 務路徑(可配置的，如"/public/extemalmanager.asmx")形成URL， 然後試圖建立至管理系統的HTTP或HTTPS連接。
可替換地，如果沒有從DHCP接收到管理系統地址，或者DHCP 不處於在用狀態，則使用(預配置的)存儲的管理系統的地址。
在創建URL並且建立HTTP/S (TCP連接)之後，生成SOAP請 求。通過使用SOAP，可在管理系統中容易地實現服務機制(SOAP + WSDL^二web月艮務)，因它是現有的標準。
從設備發送至管理工具的第一 SOAP請求定義了 "boot"事件。
這是特別登記的事件，用於向管理工具發信號，指示該設備剛剛連接 至該網絡(或已完成引導)。
在SOAP請求頂部的結合有"boot"事件的標題是標識元素，包 括有關設備的信息，用於管理系統來唯一識別該設備。
在響應該"Boot"事件SOAP請求時，管理系統發送該設備要使 用的一組參數，用在隨後與管理系統的通信中，如定義請求間隔和事
件模式。下面列舉一些參數的例子
HeartBeatinterval:定義heartbeat事件的頻率的數，如周期性SOAP 請求，以秒為單位。
FilesToDownload:包含SoftwareUpgrade參數的組參數，用於通 知設備下載新軟體。該參數包含地址和授權密鑰。另外， 一組 FileToDownload參數把網絡地址文件簡單映射至本地文件路徑，該設 備要把軟體下載到該本地文件路徑。
Management:該參速元素是管理的關鍵。所有的事件響應都具有 該參數。 一組子元素用於分隔不同類型的管理命令。這些命令的例子 是在用的Command、 Configuration禾口 Directory。
Expressions:保持幾個表達式定義的組元素，如用於定義不同的 事件。
每當根據前面的事件響應定義了 heartbeat頻率，利用規定的每個 "heartbeat"之間的秒數來開始計時器。當期滿，作為"beat"事件類 型的事件被發送至管理系統。
來自管理系統的響應包含與Boot事件相同的參數。
每當在前面的事件響應中返回Expressions元素，每個Expressions 元素登記在改變的機器中。當系統中的改變滿足所登記的表達式之一， 向管理系統發送Expressions事件類型的事件。在該事件請求中，觸發 該事件的表達式被作為參數傳遞給管理系統。來自管理系統的響應與 boot事件有相同的參數。但是，任何HeartBeat或Expressions元素將 重載(override)前面定義的事件。
通過參考附圖1來討論防火牆後面的視頻會議終端與管理系統之 間的數據流的例子。
終端發送DHCP請求用於獲取其自己的IP位址配置(1) 。 DHCP 伺服器返回信息，帶有擴展以提供管理系統IP位址(2)。
從DHCP伺服器接收信息之後，終端使用所獲取的或在前面的步 驟預先配置的IP位址向管理系統發送BOOT事件(3)。該事件通過 HTTP連接來發送，並且由此，實現了穿過防火牆的虛擬隧道，使得可 建立與管理系統的雙向通信。
然後，管理系統通過該隧道發送(HTTP)響應(4)，其中它可 以指示該設備在將來發出新的事件(定時的事件，或發生改變時的匹 配表達式)。連同這些指令，管理系統還可以發出其他的管理命令， 如配置或控制命令。
如果管理系統請求heartbeat事件，在該設備建立和規定定時器
(5) 。
當heartbeat定時器期滿，該設備向管理系統發送新事件(BEAT)
(6) 。再次打開新的HTTP連接並建立新的通信隧道。
最後，管理系統利用可能的新指令來響應(7)。
在部署大量的需要初始配置的設備時，使用本發明特別有益。可 以把這種機製作為解決方案的一部分來實現，從而簡化部署過程。通 過讓配置伺服器存儲用於設備的初始配置，該伺服器可返回配置數據 並指示設備下載文件或升級固件，即使該設備在NAT防火牆/路由器的 後面。這使得管理員可在無需事先配置設備的情況下來部署新設備。 所需要的步驟只是把該設備登記到配置伺服器(如果它還沒有被配置)
以向連接到它的任何系統給出配置數據。該設備典型地使用DHCP來
定位配置伺服器。
另外的可能性是對管理員進行主動通知的更靈活機制。通過在配 置伺服器上實現一種機制，可根據事件從設備發送電子郵件，管理員 可配置反饋表達式，可將其自己的選擇通知提供給他。配置伺服器還
可以在沒有收到heartbeat事件時發送電子郵件來告知某個單元已經離 線。
另外，通過按動態方式來使用heartbeat頻率，使得配置伺服器可 在未來任何時候當接收下一個請求時調度與設備的聯繫。例如，如果 標準的heartbeat間隔是5分鐘，並且配置伺服器要按13分鐘對設備發 出命令，該配置伺服器可在該請求中將其設置在該命令應該執行之前 的3分鐘。在該設備上要執行該命令的時候，該設備利用heartbeat請 求來聯繫配置伺服器，在響應中獲得該命令，並且將heartbeat間隔設 置回5分鐘。
使用事件模式發出管理命令的缺點是管理系統不能在任何時候發 送這種命令，而是要等待下一個事件。通過仔細選擇表達式和heartbeat 間隔，該缺點在實踐中不是大的問題。通過保持隧道開放(實際上， 這是HTTP 1.1的默認行為)並且擴展HTTP協議，就可以從雙方發出 請求(如同RTSP，實時流協議)。管理系統可發送新格式的請求，用 於發出管理命令。
有一個問題是，如果連接在一定時間段內是非活動的，設備、防 火牆或管理員伺服器都可以在任何時間關閉隧道。因此，該方法不能 保證對管理系統的更多控制。
事件模型在需要時總能重新連接隧道，因此可保證按所定義的運行。
本發明的一個優點是不需要配置防火牆。而且，通過使用DHCP 擴展，只需要一次性在DHCP伺服器設置管理系統的IP位址。然後所 有新的設備可自動連接。在DHCP擴展非在用的情況下，所有新設備 必須利用這個用於管理工具的IP位址來配置。對於其他的特殊管理協 議，必須配置防火牆以允許該新協議通過。
另外，通過使用HTTP協議，實現了雙向的安全連接，因此不會 發生竊聽或惡意命令的插入。
另一個優點是設備不需要新的軟體來生成新事件，如使用SNMP 那樣的情況。在SNMP中，如果需要新的報告，必須建立新的陷阱管 理器。利用使用表達式的事件模式，管理系統可方便地把事件定義成 特殊的或一般的。所需要的只是該設備上的XML文檔規範和Xpath查 詢機，該査詢機可觸發該設備上的變化。
由於使用HTTP和HTTPS的模型是廣泛使用的眾所周知的協議， 因此可支持所有的防火牆。而且，通常對它們預先配置，使得允許透 過防火牆的HTTP通信流量，因此可在不影響防火牆的情況下實現設 備的部署和管理工具。
權利要求
1.一種從防火牆/NAT所保護網絡之外的管理系統來管理和監視由防火牆/NAT保護的該網絡中的通信裝置的方法，其特徵在於包括下述步驟周期性地並按預定義的事件打開http連接並且從相應各通信裝置穿過保護該網絡的防火牆/NAT設施發送請求至所述管理系統，當在該管理系統接收所述請求時，從該管理系統通過所述http連接用http響應向所述各通信裝置發送指令和數據。
2. 根據權利要求1所述的方法，其特徵在於當所述通信裝置之一 第一次連接到該網絡時打開初始http連接並從所述通信裝置穿過所述防火牆/NAT設施 發送BOOT請求，當在該管理系統接收到所述BOOT請求，從該管理系統向所述通 信裝置發送配置數據和參數，至少定義了周期性的各請求之間的時間 間隔以及用於觸發待從所述裝置發送的事件請求的事件。
3. 如權利要求2所述的方法，其特徵在於在所述打開初始http連 接的步驟之前的下述步驟從所述通信裝置向DHCP伺服器發送DHCP請求， 從該DHCP伺服器向該通信裝置發送DHCP響應，至少包括該管 理系統的IP位址。
4. 如前述權利要求中任何一項所述的方法，其特徵在於所述請求 是根據簡單對象訪問協議定義的。
5. 如前述權利要求中任何一項所述的方法，其特徵在於該http連 接是一種http/s連接。
6. 如前述權利要求中任何一項所述的方法，其特徵在於所述指令 和數據至少包括下述之一周期性的各請求之間的新的時間間隔，所述各請求待從相應各裝 置向該管理系統傳送，用於重載任何已有請求，新事件的定義，所述新事件啟動待從相應各裝置向該管理系統發 送的事件請求，用於啟動從該管理系統向相應各裝置下載新軟體的命令，用於指示相應各通信裝置向該管理系統傳送狀態信息的命令。
7. 如前述權利要求中任何一項所述的方法，其特徵在於所述通信 裝置是基於IP的會議端點和/或設備。
全文摘要
本發明公開了一種方法，用於從受防火牆/NAT保護的網絡之外的管理系統來管理和監視由防火牆/NAT保護的網絡中的通信裝置，包括下述步驟周期性地並按預定義的事件打開http連接並且從相應各通信裝置穿過保護該網絡的防火牆/NAT設施發送請求至所述管理系統，以及當在該管理系統接收到所述請求時，從該管理系統通過所述http連接利用http響應向所述各通信裝置發送指令和數據。
文檔編號H04L12/18GK101116337SQ200680004124
公開日2008年1月30日 申請日期2006年1月27日 優先權日2005年2月4日
發明者亞爾·奧韋·斯陶爾納斯, 尼克萊·焦杜姆 申請人:坦德伯格電信公司