专利名称:一种基于snmp的网络管理方法
技术领域:
本发明涉及通信网络的安全管理,特别地涉及在通信网络管理中基于SNMP(Simple Network Management Protocol简单网络管理协议)的网络管理的方法。
背景技术:
图1是表示网络管理结构的示意图。在图1中,在NMS和被管理网络(网元)之间基于SNMP进行网络管理,其中,NMS(Network Management System,网络管理系统)包含NMS应用层和NMS通讯层。又,SNMP是一种电信网络管理领域中广泛使用的管理协议,它提供了一种从网络设备中收集网络管理信息以及控制/配置网络设置的方法,同时,SNMP也为设备向NMS报告问题和错误提供了一种方法。
一般地,在NMS和被管理网络(网元)之间根据SNMP进行电信网络管理的过程如下NMS应用层发送查询或者控制/配置请求给NMS通讯层,NMS通讯层将这些请求转换成SNMP Get/Set请求并与被管理的电信设备进行交互,同时如果被管理的电信网络发生故障或异常,电信设备也会向NMS发送SNMP trap。
当前许多电信设备直接部署在Internet上,如何安全地对其进行管理、如何保证这些设备不会通过SNMP请求特别是SNMP Set请求被攻击是至关重要的。如果黑客知道被管理电信设备的MIB定义,就可以非常容易地通过模拟或篡改SNMP Set请求来控制和/或重新配置电信设备,从而达到攻击的目的,这些控制/配置操作可能是(1)软硬件重启或复位;(2)硬件下电或停止运行;(3)系统手工切换;(4)修改交叉连接;(5)重新配置与业务有关的参数。所有这些操作都可能影响或者中断电信业务,从而带给电信网络巨大的灾难。
目前解决这个问题的主要方式是使用SNMP V3,利用SNMP V3所支持的安全机制来保护被管理的电信设备免受攻击,但使用SNMP V3存在以下问题(1)SNMP V3过于复杂,它已经不再是一个“简单”的网络管理协议,因而加大了实现的难度;(2)目前许多电信设备以及SNMP开发工具不支持SNMP V3。
发明内容
本发明鉴于上述问题,其目的在于,提供一种安全性高的基于SNMP的网络管理方法。
在本发明中,基于SNMP在NMS与多个网元之间进行网络管理,其特征在于,包含下述步骤(a)NMS启动并进行初始化;(b)NMS检测网元的通讯状态以及密钥状态以确定是否需要与网元进行密钥同步;(c)NMS生成用于查询网元当前信息的SNMP Get请求并发送至网元,网元返回包含查询到的网元当前信息的SNMP响应;(d)NMS生成用于控制/配置网元的SNMP Set请求,并将生成的SNMP Set请求加密后发送至网元,网元返回包含控制/配置结果的SNMP响应。
其中,上述步骤(a)包括(a1)NMS启动的步骤;(a2)NMS从密钥文件中读取密钥并将该密钥赋值给用于记录NMS中的最新密钥的latestKey。
其中,上述步骤(b)中包含通讯状态检测步骤和密钥状态检测步骤,其中,设网元的密钥状态为withoutKey、keyMatched、或keyMismatched中的任意一种,其中,在所述密钥状态检测步骤中,若检测到该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若检测到该网元的密钥状态为withoutKey,则NMS将通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;若检测到该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,利用加密后SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey。
其中,上述步骤(c)中包含下述步骤(c1)NMS判断网元是否在线;(c2)如果网元在线,NMS生成SNMP Get请求;(c3)NMS将生成的SNMP Get请求发送给网元;(c4)NMS接收网元发送来的SNMP响应。
其中,上述步骤(d)中包含下述步骤(d1)NMS判断网元是否在线;
(d2)如果该网元在线,NMS检查该网元的密钥状态;(d3)NMS按照控制/配置请求生成SNMP Set请求;(d4)NMS利用该网元当前使用的密钥加密SNMP Set请求,并且将加密的SNMP Set请求发送给网元;(d5)NMS从该网元获得包含控制/配置结果的SNMP响应。
其中,在上述步骤(d2)中,若该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若该网元的密钥状态为withoutKey,则NMS将通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;如果该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密的SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey。
其中,若在网元发生故障的情况下,包含下述步骤(I)网元发送SNMP trap给NMS;(II)NMS判断该trap的类型;(III)若该trap为NERestart,则NMS检查该网元的密钥状态,并在需要的情况下进行密钥同步若该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若该网元的密钥状态为withoutKey,则NMS将通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;如果该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密的SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey。
(IV)若该trap为NERequestKeyInfo,则NMS通过SFTP方式将密钥文件传递给网元,并且NMS将该网元的密钥状态从withoutKey修改成keyMatched,同时将该网元当前使用的密钥设置为latestKey。
又,在NMS上创建一个新网元的情况下,包含下述步骤NMS将该网元的密钥状态修改为withoutKey;NMS检测该网元是否在线,若该网元在线,NMS将通过SFTP方式将密钥文件传递给该网元,并且将该网元的密钥状态从withoutKey修改为keyMatched,同时将该网元当前使用的密钥设置为latestKey。
又,若从NMS侧修改网元侧密钥的情况下,包含下述步骤(I)NMS生成新的密钥并将它赋值给latestKey;(II)NMS根据新生成的密钥生成新的密钥文件;(III)NMS与网元进行通讯,更新网元侧的密钥文件和密钥。
其中,上述步骤(III)中,如果该网元在线,NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密后的SNMP Set请求通知该网元更新密钥,同时,将该网元的密钥状态修改给keyMatched,并且将该网元当前使用的密钥设置为latestKey;如果该网元处于离线状态且其密钥状态为keyMatched,NMS则将其密钥状态修改为keyMismatched。
其中,利用网元中的旧密钥对所述SNMP Set请求进行加密。
如上所述,本发明是通过对SNMP Set请求进行加密,以保护被管理的网络不会经由SNMP Set请求而受到攻击,从而确保足够的安全性。
进一步,如上所述,在本发明中,密钥是通过SFTP(Secured FTP,安全FTP)方式传递到网元侧,SFTP是基于SSH(Secure Shell)的,它通过使用SSH而对所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。再一优点在于,SSH中传输的数据是经过压缩的,所以可以加快传输的速度。由此可见,在本发明中,通过SFTP方式传递密钥,能够提高传递密钥过程中的安全性。
进一步,如上所述,在本发明中,为了保证安全性,操作员可以定期修改密钥,从而也进一步保证了SNMP Set请求不被轻易模拟或篡改。
图1是表示网络管理结构的示意图。
图2是表示网元侧密钥状态的状态图。
图3是表示NMS中SNMP Get请求以及SNMP响应的处理流程图。
图4是表示NMS中SNMP Set请求的处理流程图。
图5是表示NMS中的SNMP Trap的处理流程图。
图6是表示NMS中创建新网元的处理流程图。
图7是表示NMS中修改密钥的处理流程图。
具体实施例方式
以下,参照图2~图7对于本发明的基于SNMP的网络管理方法进行说明。
在本发明的基于SNMP的网络管理方法中,基于SNMP在NMS与网元之间进行网络管理。该方法的主要流程包括NMS启动并进行初始化;NMS检测网元的通讯状态以及密钥状态以确定是否需要与网元进行密钥同步;NMS生成用于查询网元当前信息的SNMP Get请求并发送至网元,网元返回包含查询到的网元当前信息的SNMP响应;NMS生成用于控制/配置网元的SNMP Set请求,并将生成的SNMP Set加密后发送至网元,网元返回包含控制/配置结果的SNMP响应。
其中,关于网元的密钥状态,如图2所示,我们定义了三个状态withoutKey、keyMatched、以及keyMismatched。withoutKey表示该网元处于初始状态(没有密钥),自从操作员在NMS上创建它后就一直处于离线状态(例如,网元没有上电或因为网络原因而无法与NMS进行通讯),因此NMS无法将密钥传递(或同步)给它;keyMismatched表示该网元密钥与NMS不匹配;keyMatched表示密钥已经成功传递(或同步)到网元侧并且与NMS匹配。
为了管理每个网元的密钥状态和当前使用的密钥,我们可以定义如下的数据结构structure{int keyState;网元的密钥状态,其取值为withoutKey、keyMatched或keyMismatchedstring currentKey;记录网元当前使用的密钥
}同时,这里还引入一个全局变量latestKey,它用于记录NMS中的最新密钥。
在上述步骤(a)的NMS启动并进行初始化的过程中,具体包含(a1)NMS启动的步骤;(a2)NMS从密钥文件中读取密钥并将该密钥赋值给上述latestKey。(a3)NMS发送SNMP请求给网元并处理从网元返回的SNMP响应;或者接收并处理网元发送来的trap(关于trap将在下文描述);或者为用户提供操作界面。
关于初始化,一般在NMS初始包中包含一个缺省密钥文件。如果操作员在NMS部署后没有修改密钥,NMS将使用该缺省密钥与所有被管网元进行通讯,这种情况下NMS初始化时赋值给latestKey的就是这个缺省密钥;反之,如果操作员在NMS部署后修改了密钥,在NMS初始化时赋值给latestKey的就是修改过的密钥。
另外,上述的“密钥文件”存储于任何NMS可以访问的位置,其内容就是单纯的密钥信息(KEY)。
又,在上述步骤(b)中,包括NMS检测网元的通讯状态以及密钥状态这两个过程。
首先,为了便于NMS将密钥传递(或同步)给网元,NMS需要检测每个网元的通信状态是否恢复。在本发明中可以采用下述两种方法进行检测(一)NMS定期轮询每个网元来检测它们是否在线;(二)网元启动或重启成功后发送trapNERestart(关于trap NERestart将在下文描述)给NMS,用于通知NMS该网元已经在线。
其次,当NMS检测到网元恢复通信或者是NMS需要向某个网元发送SNMPSet请求时,NMS需要检查该网元的密钥状态,并且在需要的情况下与网元进行“密钥同步”,其处理流程包括(1)NMS检查该网元的密钥状态,用以确定密钥是否已经被传递给该网元或者密钥是否被修改,(2)若该网元的密钥状态为KeyMatched,则表示密钥匹配;若该网元的密钥状态为withoutKey,则NMS将通过SFTP(secured FTP安全文件传输协议)方式将密钥文件传递给该网元并且将该网元的密钥状态修改为KeyMatched并将当前使用的密钥设置为latestKey;如果该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,并通过SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为KeyMatched、将网元当前使用的密钥设置为latestKey。
图3是表示NMS中SNMP Get请求以及SNMP响应的处理流程图。NMS利用SNMP Get请求与网元通讯以获取网元的当前信息,其处理SNMP Get请求以及SNMP的响应的流程如图3所示(1)NMS应用层发送查询请求给NMS通信层;(2)NMS通讯层检查要通讯的网元是否在线,如果该网元处于离线状态,NMS通讯层将返回“失败”给NMS应用层;(3)如果该网元在线,NMS通讯层根据从NMS应用层发送来的查询请求生成SNMP Get请求,NMS通讯层将生成的SNMPGet发送给网元,NMS通讯层接收网元发送来的SNMP响应,NMS通讯层将从网元查询到的结果返回NMS应用层。如此,通过从NMS侧向网元发送SNMP Get请求,以与网元进行通讯,由此,在NMS侧能够获取网元的当前信息。
图4是表示NMS中SNMP Set请求的处理流程图。SNMP Set请求是用于完成对网元的控制/配置操作的请求。在本发明中为了提高网络管理的安全性,对SNMP Set请求进行加密。处理SNMP Set请求的具体流程如图4所示(1)NMS应用层根据发送网元控制/配置请求给NMS通讯层;(2)NMS通讯层检查要通讯的网元是否在线;(3)如果该网元处于离线状态,NMS通讯层将返回“失败”给NMS应用层;如果该网元在线,其处理流程如下(a)NMS通讯层检查该网元的密钥状态;如果其密钥状态为withoutKey或keyMismatched,NMS需要与网元进行“密钥同步”(该“密钥同步”流程请参见上文的描述);(b)NMS通讯层根据从NMS应用层来的控制/配置请求生成SNMP Set请求;(c)NMS通讯层使用该网元当前使用的密钥加密对SNMP Set请求进行加密;(d)NMS通讯层将加密后的SNMP Set请求发送给网元;(e)NMS通讯层接收网元发送来的SNMP响应;(f)NMS通讯层将网元返回的控制/配置结果返回给NMS应用层;
其中,作为对SNMP Set请求进行加密的方法,不限定于某种特定的加密算法,可以使用任意一种加密算法对其进行加密,例如AES(Advanced EncryptionStandard,高级加密标准)、DES(Data Encryption Standard,数据加密标准)、RSA(Rivest Shamir Adelman)等等。
如果被管网元发生故障或异常的情况下,该网元会发送SNMP trap给NMS。图5是表示NMS中的SNMP Trap的处理流程图。如图5所示,SNMP Trap的处理流程如下其中,若在网元发生故障的情况下,包含下述步骤(1)网元发送SNMP trap给NMS;(2)NMS判断该trap的类型;(3)若该trap为NERestart,则NMS检查该网元的密钥状态,并在需要的情况下进行密钥同步,即若该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若该网元的密钥状态为withoutKey,则NMS将通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;如果该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密的SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey。
(4)若该trap为NERequestKeylnfo,则NMS通过SFTP方式将密钥文件传递给网元,并且NMS将该网元的密钥状态从withoutKey修改成keyMatched,同时将该网元当前使用的密钥设置为latestKey。
其他类型的trap的处理与现有技术相同。
当操作员创建新网元时,需要将密钥文件从NMS传递到新传创建的网元。图6是表示NMS中创建新网元的处理流程图。如图6所示,NMS中创建新网元的处理流程如下(1)用户在NMS上创建一个新网元;(2)NMS将该网元的密钥状态修改为withoutKey;(3)NMS检测该网元是否在线;(4)如果该网元在线,NMS通过SFTP方式将密钥文件传递给网元,并且将该网元的密钥状态从withoutKey修改成keyMatched、将该网元的当前使用的密钥设置为latestKey。
为了进一步保证该网络系统的安全性,操作员可以定期修改密钥,从而可靠地保证SNMP Set请求不被篡改或模拟。
图7是表示在NMS中修改密钥的处理流程图。如图7所示,修改密钥的处理流程如下(1)操作员使用NMS客户端触发NMS修改密钥;(2)NMS生成新的密钥并将它赋值给latestKey;(3)NMS根据新生成的密钥生成新的密钥文件;(4)NMS尝试与每个被管网元进行通讯,更新网元侧的密钥文件和密钥。
对于每个网元,其更新密钥文件和密钥的流程如下(a)如果该网元在线,NMS通过SFTP方式将密钥文件传递给该网元,并通过SNMP Set请求通知该网元更新密钥,该SNMP Set请求将用记录在该网元currentKey中的旧的密钥进行加密,并将该网元的密钥状态修改给keyMatched,同时将该网元当前使用的密钥设置为latestKey;(b)如果该网元处于离线状态且其密钥状态为keyMatched,NMS则将其密钥状态修改为keyMismatched,否则NMS不做任何处理。
由于加密和解密是对应存在的,因此,在如上所述加入了加密机制之后,网元代理(NMS Agent)处理流程需要做相应的修改,修改后的流程如下(1)网元代理启动并进行相应的初始化;(2)网元代理发送trap NERestart给NMS;(3)网元代理将自己的状态标识为“没有密钥”;(4)网元代理进入如下循环(a)如果网元代理的状态为“没有密钥”,它将定期检查NMS是否将密钥文件传递过来;如果本地已有密钥文件,它将从密钥文件中读取密钥,并将自己的状态标识为“已有密钥”;(b)如果网元侧的代理方的状态为“没有密钥”,它将定期发送trap NERequestKeyInfo向NMS请求密钥;(c)接收并处理从NMS来的SNMP请求(c1)如果该PDU(Protocol Data Unit,协议数据单元)为SNMP Get请求,由于SNMP Get请求和SNMP响应都不加密,其处理与未引入加密方案的现有技术相同;(c2)如果该PDU为加密的SNMP Set请求,且网元代理的状态为“已有密钥”,它将解密接收到的SNMP PDU,同时检查该SNMP Set请求是否是NMS触发其修改密钥的请求,如果是触发其修改密钥的请求情况下,网元代理将从NMS传递过来的密钥文件中读取最新的密钥;否则该SNMP Set请求的处理与没有引入加密方案的现有技术相同;如果网元代理的状态为“没有密钥”,它将丢弃接收到的SNMP Set请求而不做任何处理,因为它没有密钥来解密该SNMP PDU;(d)网元代理管理所有的本地被管资源,如果出现故障或异常,它将发送SNMP trap给NMS,其处理与没有引入加密方案的如上所述,通过对SNMP Set请求进行加密,能够保护被管理的网络不会通过SNMP Set请求而受到攻击,从而有效确保安全性。
又,如上所述,密钥是通过SFTP方式传递到网元侧,由此,能够确保传递密钥的过程中的安全性。
又,如上所述,在本发明中,操作员可以通过定期修改密钥从而进一步保证SNMP Set请求不被轻易模拟或篡改,由此,能够进一步提高安全性。
以上,参照附图对本发明的具体实施方式
作了具体描述,然而,本领域中的普通技术人员应当理解,在不偏离本发明的精神和由权利要求书所限定的保护范围的情况下,本领域中的普通技术人员还可以对具体实施方式
中所给出的情况作各种修改。因此,参照上述附图对本发明所作的具体实施方式
描述不应当被看作是对本发明的限定。
权利要求
1.一种基于SNMP的网络管理方法,基于SNMP在NMS与多个网元之间进行网络管理,其特征在于,包含下述步骤(a)NMS启动并进行初始化;(b)NMS检测网元的通讯状态以及密钥状态以确定是否需要与网元进行密钥同步;(c)NMS生成用于查询网元当前信息的SNMP Get请求并发送至网元,网元返回包含查询到的网元当前信息的SNMP响应;(d)NMS生成用于控制/配置网元的SNMP Set请求,并将生成的SNMP Set请求加密后发送至网元,网元返回包含控制/配置结果的SNMP响应。
2.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,上述步骤(a)包括(a1)NMS启动的步骤;(a2)NMS从密钥文件中读取密钥并将该密钥赋值给用于记录NMS中的最新密钥的latestKey。
3.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,上述步骤(b)中包含通讯状态检测步骤和密钥状态检测步骤,其中,定义网元的密钥状态为withoutKey、或keyMatched、或keyMismatched中的任意之一,在所述密钥状态检测步骤中,若检测到该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若检测到该网元的密钥状态为withoutKey,则NMS通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;若检测到该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,利用加密后SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey。
4.如权利要求3所述的基于SNMP的网络管理方法,其特征在于,其中,利用网元中的旧密钥对所述SNMP Set请求进行加密。
5.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,上述步骤(c)中包含下述步骤(c1)NMS判断网元是否在线;(c2)如果网元在线,NMS生成SNMP Get请求;(c3)NMS将生成的SNMP Get请求发送给网元;(c4)NMS接收网元发送来的SNMP响应。
6.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,上述步骤(d)中包含下述步骤(d1)NMS判断网元是否在线;(d2)如果该网元在线,NMS检查该网元的密钥状态;(d3)NMS按照控制/配置请求生成SNMP Set请求;(d4)NMS利用该网元当前使用的密钥加密SNMP Set请求,并且将加密后的SNMP Set请求发送给网元;(d5)NMS从该网元获得包含控制/配置结果的SNMP响应;
7.如权利要求6所述的基于SNMP的网络管理方法,其特征在于,在上述步骤(d2)中,若该当该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若该网元的密钥状态为withoutKey,则NMS通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;如果该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密的SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey。
8.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,若在网元发生故障的情况下,包含下述步骤(I)网元发送SNMP trap给NMS;(II)NMS判断该trap的类型;(III)若该trap为NERestart,则NMS检查该网元的密钥状态,并在需要的情况下进行密钥同步若该网元的密钥状态为keyMatched,则表示网元密钥与NMS匹配;若该网元的密钥状态为withoutKey,则NMS将通过SFTP方式将密钥文件传递给该网元,将网元的密钥状态修改为keyMatched并且将当前使用的密钥设置为latestKey;如果该网元的密钥状态为keyMismatched,则NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密的SNMP Set请求通知该网元更新密钥,同时将网元的密钥状态修改为keyMatched并且将网元当前使用的密钥设置为latestKey;(IV)若该trap为NERequestKeyInfo,则NMS通过SFTP方式将密钥文件传递给网元,并且NMS将该网元的密钥状态从withoutKey修改成keyMatched,同时将该网元当前使用的密钥设置为latestKey。
9.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,在NMS上创建一个新网元的情况下,包含下述步骤NMS将该网元的密钥状态修改为withoutKey;NMS检测该网元是否在线,若该网元在线,NMS将通过SFTP方式将密钥文件传递给该网元,并且将该网元的密钥状态从withoutKey修改为keyMatched,同时将该网元当前使用的密钥设置为latestKey。
10.如权利要求1所述的基于SNMP的网络管理方法,其特征在于,若从NMS侧修改网元侧密钥的情况下,包含下述步骤(I)NMS生成新的密钥并将它赋值给latestKey;(II)NMS根据新生成的密钥生成新的密钥文件;(III)NMS与网元进行通讯,更新网元侧的密钥文件和密钥。
11.如权利要求10所述的基于SNMP的网络管理方法,其特征在于,上述步骤(III)中,如果该网元在线,NMS将通过SFTP方式将密钥文件传递给该网元,并利用加密后的SNMP Set请求通知该网元更新密钥,同时,将该网元的密钥状态修改给keyMatched,并且将该网元当前使用的密钥设置为latestKey;如果该网元处于离线状态且其密钥状态为keyMatched,NMS则将其密钥状态修改为keyMismatched。
12.如权利要求11所述的基于SNMP的网络管理方法,其特征在于,其中,利用网元中的旧密钥对所述SNMP Set请求进行加密。
全文摘要
本发明的目的在于,提出一种高度安全性的基于SNMP的网络管理方法。该方法包含下述步骤(a)NMS启动并进行初始化;(b)NMS检测网元的通讯状态及密钥状态以确定是否需要与网元进行密钥同步;(c)NMS生成用于查询网元当前信息的SNMP Get请求并发送至网元,网元返回包含查询到的网元当前信息的SNMP响应;(d)NMS生成用于控制/配置网元的SNMP Set请求,并将生成的SNMP Set请求加密后发送至网元,网元返回包含控制/配置结果的SNMP响应。由此,通过对SNMP Set请求进行加密,能够保护被管理的网络不会经由SNMP Set请求而受到攻击,从而确保了足够的安全性。
文档编号H04L12/24GK1901478SQ20061010790
公开日2007年1月24日 申请日期2006年7月24日 优先权日2006年7月24日
发明者李冬, 李德胜, 李宏敏 申请人:Ut斯达康通讯有限公司