專利名稱:一種網絡綜合接入設備的安全管理方法
技術領域:
本發明涉及一種網絡設備的安全管理方法。
背景技術:
在NGN(下一代網絡)中,存在很多的綜合接入設備(IAD),這些設備分布在企業或用戶家中,具有面廣、量大、基于動態IP的特點。由于IAD設備數目眾多,無法用網管站直接對IAD的統一管理,只能通過IAD管理系統(IADMS)進行間接管理。將現有的設備納入管理通常采用兩種方法,一種是手工納入方式,一種是簡單網絡管理協議(SNMP)自動發現方式。手工納入方式,即是通過手工輸入設備IP的方式把設備納入網管系統中,這種方式的耗費的管理時間長、工作量大、需要跟隨不斷變化的IP,因此管理維護成本高。采用SNMP自動發現方式,網管系統通過在某個IP地址段內主動發送SNMP包以及利用返回的應答的方式來發現IAD設備并把其納入管理,這種方式發現設備的時間長、效率低。
由于上述原因,導致目前的IAD的安全管理方面存在系統管理的安全性無法得到保證,容易造成非法以及偽造設備被納入管理;當非法以及偽造設備被較多的納入管理時,會將合法的設備淹沒掉,甚至會造成系統的癱瘓。
發明內容
本發明的目的在于提供一種管理效率高、安全性好的網絡綜合接入設備的安全管理方法。
為達到上述目的,本發明提供的網絡綜合接入設備的安全管理方法,包括步驟1在綜合接入設備(IAD)開戶時,將IAD的設備識別碼、鑒權密鑰和IAD管理系統(IADMS)的IP地址或域名配置到IAD上,同時將該鑒權密鑰設置在網絡軟交換設備上;步驟2IAD向IADMS發送包括自己的設備識別碼和IP地址的管理注冊信息,由IADMS根據設備識別碼判斷該IAD是否為合法的IAD,如果不是,禁止注冊,否則接受其管理注冊。
在步驟2中IAD向IADMS發送管理注冊信息前,IAD向IADMS發送握手信息(coldStar TRAP)。
在步驟2后還包括如果IAD判斷必須加載配置文件,則IAD向網絡發出加載配置文件請求,由網絡向IAD提供初始化配置文件。
采用上述方案,使本發明具有管理認證方面的優點,減少了將IAD納入管理的人工干預,使IAD設備納入管理的時間短,管理維護成本低,同時具有管理安全性好,能夠防止非法和偽造設備接入網絡,提高了管理效率。
圖1是本發明所述方法實施例采用的管理注冊流程圖;
具體實施例方式
下面結合附圖對本發明作進一步詳細的描述。
在目前的網絡結構中,IAD的管理是由IADMS實現的,SoftSwitch完成IAD的安全認證和業務控制。IAD必須分別向IADMS完成管理注冊以及向SoftSwitch完成業務注冊后才能實現對IAD的管理。
本發明提供的一個具體的IAD安全管理方法的實例中包括以下過程1、開戶過程在使用IAD前,用戶必須在運營商處開戶,并在IAD內寫入設備標識碼等必要信息,作為實現安全管理的基礎;2、管理注冊過程IAD在上電后首先向IADMS進行管理注冊,并接受IADMS的一些基本配置,如IP地址分配等。
通過上述過程,就可以實現對IAD的安全管理,防止IAD的假冒和盜用。
上述過程所述的實施例采用MGCP/H.248協議。
所述開戶過程,是在IAD開戶時,由局方運營人員將以下參數配置或者說存儲到IAD終端設備上。所述參數包括IAD的設備識別碼、IAD設備的鑒權密鑰和IADMS的IP地址或域名。在配置的參數中,最主要的是IAD的設備識別碼。IAD的設備識別碼是唯一的,在實際使用中,該設備識別碼等同于MGCP協議中的域名或H248協議中的消息標識(MessageID)。
鑒權密鑰在開戶時也在SoftSwitch設置。
另外,在配置參數時,如果IADMS或存儲IAD配置數據或文件的遵循簡單文件傳輸協議或文件傳輸協議的服務器(TFTP/FTP服務器)不存在,或者發生異常,為使IAD的啟動和運行不受影響,除了在IAD中配置上述設備識別碼、鑒權密鑰、以及IADMS的IP地址或者域名以外,還必須將下述參數配置到IAD中SoftSwitch的IP地址或域名,TFTP/FTP服務器的IP地址或域名,程序或配置數據的文件名等所有的能使IAD正常運行的數據。這樣,如果IAD檢測自身的程序或配置數據不可用,就可以主動向TFTP/FTP服務器發出請求,獲取配置文件。因此,本例中的IAD支持IADMS通過SNMP接口查詢硬件、邏輯和軟件版本號;并支持IADMS對軟件參數(TFTP服務器地址、軟件路徑信息)的設置和加載控制。
所述管理注冊過程參考圖1。首先在IAD上電后,判斷是否需要啟用動態主機配置協議(DHCP)獲取IP地址,如果IAD不采用固定的IP地址,則需要此過程,因此在步驟1向外發出DHCP發現(Discovery)廣播報文;否則略過獲取IP地址的過程,直接進行步驟5;網絡中的DHCP服務器(Server)接收到DHCP客戶端,即IAD的請求報文后,在步驟2向發出請求的IAD作出分配IP地址的響應,IAD接收到IP地址分配報文后,如果接受分配的IP地址,則IAD在步驟3向DHCP Server發送IP地址請求報文,DHCP Server在步驟4向IAD返回分配給它的IP地址、子網掩碼、網關地址、DNS服務器等地址信息。在步驟5,IAD發送握手信息coldStarTRAP(冷啟動陷阱報文,TRAP為簡單網絡管理協議(SNMP)的一種命令,coldstar(冷啟動)是一種TRAP類型,用于向SNMP網管站上報IAD啟動事件)。到IADMS;該TRAP(陷阱)按順序包含TRAP的時間和TRAP的OID(Object ID)(這個兩個參數是標準的coldstar TRAP中規定的)。接著在步驟6 IAD根據設置的IADMS地址信息,向IADMS發送IadNotifyTrap(IAD通知陷阱報文)類型的管理注冊TRAP數據包;該Trap按如下順序包含TRAP的時間、TRAP的OID、IAD設備標識碼、和IAD自身的IP地址。(其中TRAP的時間被作為IAD啟動的時間,TRAP的OID標識這個TRAP、IAD設備標識碼和IAD自身的IP地址為管理注冊所使用。)。當IADMS在步驟7接收到IAD的管理注冊TRAP數據包后,在IAD的管理信息庫(MIB)中查找相應的設備識別碼,如果找到,則保存TRAP數據包中的IP地址和端口號,設置IAD MIB的配置文件信息項包括TFTP服務器名和配置文件名,同時設置IAD的MIB注冊狀態為“注冊成功”,否則認為該IAD為非法IAD,直接設置IAD的MIB注冊狀態為“注冊失敗”。在步驟8,IAD判斷是否需要加載配置文件,該判斷是通過判斷自己存儲的程序或配置數據是否可用實現的,如果可用,則不必加載,直接進入業務注冊流程,否則就需要加載。因此如果IAD判斷必須加載配置文件,則IAD向TFTP服務器發出取配置文件請求,TFTP服務器響應請求,在步驟9向IAD提供初始化配置文件,由IAD根據接收到的配置文件進行配置,完成配置過程。
在圖1所示的過程中,步驟1到步驟4,在本例中遵從標準的DHCP過程,如果通過DHCP無法獲得IP地址,則使用前次保存的IP地址或者缺省值。當IADMS設置了IAD在MIB的注冊狀態以后,IAID認為已經和IADMS握手,不再發送IadNotifyTrap類型TRAP,執行步驟8。如果IADMS因為任務繁忙或網絡流量太大而丟失啟動的TRAP,則IAD按如下方法保證握手在設定的時間間隔向IADMS發送IadNotifyTrap類型的TRAP。例如在coldStar(冷啟動)發送第一個IadNotifyTrap后1秒內IADMS未響應,發送第二個IadNotifyTrap,之后如果在3秒內IADMS未響應,則發送第三個IadNotifyTrap,之后如果10秒內IADMS未響應,則設置IAD在MIB的注冊狀態為“超時”,然后執行步驟8。本例中,步驟8和步驟9的消息交互以及重發機制遵從標準的TFTP/FTP過程的差錯控制方法;如果IAD請求加載配置文件,TFTP server返回錯誤,或者在數據傳遞過程中出現不可恢復錯誤,導致加載過程不能進行,則略過此加載過程。如果IAD本身保存有可用的配置數據,則進入業務注冊流程,否則復位系統,重新向IADMS發出注冊請求;如果IAD啟動完成以后,IAD在MIB的注冊狀態為“超時”則IAD每隔固定的時間,如10分鐘向IADMS發送IadNotifyTrap直到IAD在MIB的注冊狀態被改變。本例中,是否開啟此功能和時間間隔可以通過MIB來進行設置。
需要說明的是,本發明所述的IAD也包括目前網絡中的智能終端設備和網關設備,如網絡電話(EPHONE)、多媒體終端等。所述的SoftSwitch也指目前網絡中的媒體網關控制器(MGC)。
權利要求
1.一種網絡綜合接入設備的安全管理方法,包括步驟1在綜合接入設備(IAD)開戶時,將IAD的設備識別碼、鑒權密鑰和IAD管理系統(IADMS)的IP地址或域名配置到IAD上,同時將該鑒權密鑰設置在網絡軟交換設備上;步驟2IAD向IADMS發送包括自己的設備識別碼和IP地址的管理注冊信息,由IADMS根據設備識別碼判斷該IAD是否為合法的IAD,如果不是,禁止注冊,否則接受其管理注冊。
2.根據權利要求1所述的網絡綜合接入設備的安全管理方法,其特征在于在步驟2中當注冊成功后,更新IAD的管理信息庫中的配置文件信息和管理注冊信息。
3.根據權利要求1所述的網絡綜合接入設備的安全管理方法,其特征在于在步驟2中IAD向IADMS發送發送管理注冊信息前,IAD向IADMS發送握手信息coldStar TRAP。
4.根據權利要求3所述的網絡綜合接入設備的安全管理方法,其特征在于,在步驟2后還包括如果IAD判斷必須加載配置文件,則IAD向網絡發出加載配置文件請求,由網絡向IAD提供初始化配置文件。
5.根據權利要求1、2、3或4所述的網絡綜合接入設備的安全管理方法,其特征在于,步驟2中,在IAD向IADMS發送發送管理注冊信息前包括IAD上電后,判斷是否需要從網絡獲取動態IP地址,如果需要,啟動從網絡獲取IP地址的過程。
6.根據權利要求5所述的網絡綜合接入設備的安全管理方法,其特征在于,在步驟1中還包括向IAD配置下述信息軟交換設備的IP地址或域名,存儲IAD配置數據的服務器的IP地址或域名,配置數據的文件名。
全文摘要
本發明公開了一種網絡綜合接入設備(IAD)的安全管理方法,該方法可以基于SNMP協議實現在IAD與IADMS之間的管理認證。在IAD開戶時,將IAD的設備識別碼、鑒權密鑰和IADMS的IP地址或域名配置到IAD上,同時將該鑒權密鑰設置在網絡軟交換設備上,在管理注冊時IAD向IADMS發送包括自己的設備識別碼和IP地址的管理注冊信息,當IADMS判斷該IAD為合法IAD時,接受其管理注冊;采用上述方案能夠防止非法和偽造設備接入網絡,提高管理效率。
文檔編號H04L9/32GK1494259SQ0214747
公開日2004年5月5日 申請日期2002年11月1日 優先權日2002年11月1日
發明者羅兵, 張忠, 唐建剛, 馬劍飛, 魏強, 羅 兵 申請人:華為技術有限公司