CN101160775A - 通用网管安全管理系统、设备及方法 - Google Patents
通用网管安全管理系统、设备及方法 Download PDFInfo
- Publication number
- CN101160775A CN101160775A CNA2006800124031A CN200680012403A CN101160775A CN 101160775 A CN101160775 A CN 101160775A CN A2006800124031 A CNA2006800124031 A CN A2006800124031A CN 200680012403 A CN200680012403 A CN 200680012403A CN 101160775 A CN101160775 A CN 101160775A
- Authority
- CN
- China
- Prior art keywords
- management
- security
- user
- functional entity
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信系统的网管技术,公开了一种通用网管安全管理系统、设备及方法,使得在包含不同厂商提供的网络设备的通信网络中实现集中的、通用的网管安全管理。本发明中,将不同设备厂商提供的网络设备即功能实体划分到不同安全域,在每个安全域内设至少一个安全管理网关,用于将该安全域内的安全管理接口适配到通用安全管理接口,而通过通用安全管理接口即可实现由安全管理中心对全网功能实体的集中安全管理,另外还对安全管理员提供安全管理操作接口;通过用户管理、用户授权、用户认证和用户鉴权四个工作流程实现通用安全管理系统运作;上述安全管理网关和功能实体都是逻辑实体。
Description
通用网管安全管理系统、 设备及方法
技术领域
本发明涉及通信系统的网管技术, 特别涉及通信设备的网管安全管理 系统、 设备及方法。
背景技术 随着信息时代的到来, 国民经济的迅速发展, 通信网络尤其是移动通 信网络建设速度惊人, 移动用户呈现爆炸式增长。 网絡规模的扩大, 新技 术的不断推陈出新,不同厂商的网元设备增多,造成网络管理的难度增大, 对网管系统的要求也越来越高。 为科学管理现代化通信网络, 发挥网络的 规模效益, 实现集中管理, 统一调度, 各家运营商都建立了自己运营网络 的网管系统 ( Network Management System, 简称 "NMS" )。
网管系统主要是针对网络设备进行监测、 配置和故障诊断。 主要功能 有自动拓朴发现、 远程配置、 性能参数监测、 故障诊断。 网管系统主要由 两类企业开发, 一类是通用网管软件供应商, 另一类是各个网络设备供应 商提供针对自身产品的网管解决方案。
各个设备厂商为自己产品设计的专用 NMS系统对自己的产品监测、 配置功能非常全面, 可监测一些通用网管系统无法监测的重要性能指标, 还有一些独特配置功能。 但是对其它厂商生产的网络设备就无能为力了。
安全管理是网管系统的一个重要部分, 主要实现对网络管理员的帐户 信息、 权限等管理, 保障合法的网管用户对网络设备的安全访问和操作, 防止越权操作。 包括授权功能、 用户认证、 访问控制和安全日志记录等功 能。 一个可靠的安全管理机制对整个网管系统乃至整个网络的安全性和可 靠性都有着至关重要的作用。
在一个大型通信网絡系统中, 特别是运营商的网络中, 由于网络发展 和业务多样化的原因, 通常都不可避免的存在着各种各样的由多个设备厂 商提供的设备或者系统。 为了保证安全运行, 这些设备或者系统都提供了 自己独立的网管系统, 当然也包括了安全管理系统。 然而如前所述, 由于 不同设备厂商的设备或系统之间的网管系统或安全管理系统不兼容、 不协
作, 因此无法实现对于整个网络范围内集中的用户管理、 权限管理和身份 认证机制。
但是, 大型网絡的运营商却迫切需要能够有一个全网集中的对各设备 厂商的设备都通用的安全管理系统 , 这样能够对整个网络中的所有设备或 者系统的网管进行集中的用户管理、 权限管理和身份认证, 从而降低运营 的难度, 提高网络的安全性。
目前业界还没有出现相关的技术方案, 能够实现包含不同厂商生产的 设备的全网集中的通信网络网管安全管理。 这种状况对于通信网络发展、 通信业务廣量提高、 网络安全性能提高都是严重的阻碍。
发明内容
本发明提供一种通用网管安全管理系统、 设备及方法, 使得可以在包 含不同厂商提供的网络设备的通信网络中实现全网集中的、通用的网管安 全管理。
根据本发明的一个方面, 提供一种通用网管安全管理系统, 包含安全 管理中心、 至少一个功能实体及至少一个安全管理网关,
其中, 全网划分为至少一个安全域, 每个安全域中包含至少一个所述 功能实体, 并且,
每个所述安全域对应至少一个所述安全管理网关, 用于将该安全域内 功能实体的安全管理接口适配成所述安全管理中心提供的通用安全管理 接口。
其中, 还包含安全管理操作接口, 用于基于所述安全管理中心向管理 员提供安全管理操作界面。
此外在所述系统中, 所述安全管理中心用于管理全网的用户信息、 授 权信息和身份认证信息、
通过各安全域的所述安全管理网关与全网功能实体交互、 以及 通过所述安全管理操作接口与管理员交互。
此外在所述系统中, 所述功能实体用于转发用户认证请求给其所在安 全域的所述安全管理网关、通过所述安全管理网关向所述安全管理中心下
载当前登录用户的权限信息并緩存、根据所述权限信息对用户操作进行鉴 权、 以及在用户退出时或根据预先设置的策略清除所述权限信息的緩存。
此外在所述系统中, 所述安全管理网关通过其所在安全域的安全管理 接口与本安全域内所有功能实体交互、通过所述通用安全管理接口与所述 安全管理中心交互、 用于转发所述功能实体传来的所述用户认证请求给所 述安全管理中心、 以及转发所述安全管理中心传来的所述权限信息给所述 功能实体。
本发明还提供一种通用网管安全管理系统, 包括安全管理中心、 至少 一个功能实体及至少一个安全管理网关;
其中, 所述功能实体用于处理用户业务;
所述安全管理中心用于实行全网的安全管理;
每个所述安全管理网关对应于至少一个功能实体, 用于实现安全管理 中心和与其对应的功能实体之间的数据交互。
其中, 所述安全管理网关通过功能实体的安全管理接口与所述对应的 功能实体交互, 通过所述安全管理中心提供的通用安全管理接口与所述安 全管理中心交互。
本发明还提供一种网管安全管理网关, 对应于至少一个功能实体, 实 现所述功能实体和网管系统安全管理中心的交互; 包括:
功能实体交互单元, 用于实现与功能实体的数据交互;
安全管理中心交互单元, 用于实现与安全管理中心的数据交互; 处理单元, 用于实现所述功能交互单元和安全管理中心交互单元传输 的数据的适配。
其中, 所述功能实体交互单元通过功能实体的安全管理接口与所述对 应的功能实体交互; 所述安全管理中心交互单元通过所述安全管理中心提 供的通用安全管理接口与所述安全管理中心交互。
其中, 所述处理单元包括:
认证请求处理单元, 用于将功能实体交互单元接收的所述功能实体传 来的用户认证请求转换后由安全管理中心交互单元发送至所述安全管理
中心;
权限信息处理单元, 用于将安全管理中心交互单元接收的来自所述安 全管理中心的用户认证请求转换后由功能实体交互单元发送至所述功能 实体。
本发明还提供一种安全管理中心, 包括通用安全管理接口; 还包括: 功能实体交互单元, 用于实现与功能实体的数据交互;
适配单元, 用于实现所述通用安全管理接口和功能实体交互单元之间 传输的数据的适配。
本发明还提供一种网管安全管理系统的功能实体, 包括安全管理接 口; 还包括:
安全管理中心交互单元, 用于实现与安全管理中心的数据交互; 适配单元, 用于实现所述安全管理接口和安全管理中心之间传输的数 据的适配。
根据本发明的另一方面, 还提供一种通用网管安全管理系统的用户管 理方法, 包含以下步骤,
所述安全管理操作接口接收所述管理员的用户管理操作请求, 并发送 给所述安全管理中心;
所述安全管理中心处理所述用户管理操作请求, 并返回处理结果给所 述安全管理操作接口;
所述安全管理操作接口将处理结果显示在用户界面上。
本发明还提供了一种通用网管安全管理系统的用户授权方法, 包含以 下步骤,
所述安全管理操作接口接收所述管理员的用户授权操作请求, 并发送 给所述安全管理中心;
所述安全管理中心从所述安全管理网关获取可授权操作类型和可授 权操作对象信息, 并返回给所述安全管理操作接口;
所述安全管理操作接口将所述可授权操作类型和可授权操作对象信 息显示在管理员界面上, 作为所述管理员进行授权操作的参考;
在所述管理员完成授权操作之后, 所述安全管理操作接口将授权操作 请求发送给所述安全管理中心;
所述安全管理中心处理授权操作、 保存用户授权信息, 并返回处理结 果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在管理员界面上。
本发明还提供了一种通用网管安全管理系统的用户授权方法, 包含以 下步骤,
所述安全管理中心在每次启动时从所述安全管理网关获取所述可授 权操作类型和可授权操作对象信息并在本地保存;
所述安全管理网关在每次更新改动后发起对所述安全管理中心的同 步过程, 使得所述可授权操作类型和可授权操作对象信息保持同步; 所述管理员根据所述安全管理中心所提供的可授权操作类型和可授 权操作对象信息进行授权操作;
在所述授权操作之后 , 所述安全管理操作接口将授权操作请求发送给 所述安全管理中心;
所述安全管理中心处理授权操作、 保存用户授权信息, 并返回处理结 果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在管理员界面上。
本发明还提供了一种通用网管安全管理系统的用户认证方法, 包含以 下步骤,
所述功能实体接收用户认证请求并发送给其所在安全域的所述安全 管理网关, 由其转发给所述安全管理中心; 限信息给所述安全管理网关, 由其转发给所述功能实体;
所述功能实体在本地緩存所述用户权限信息直至用户退出或超时。 其中, 所述功能实体在收到用户认证请求时还可以根据预置的本地策 略判断是否要转发; 所述功能实体在本地緩存所述用户权限信息前也可以 增加根据预置的本地策略判断是否要緩存的步驟。
本发明还提供了一种通用网管安全管理系统的用户鉴权方法, 包含以 下步骤,
所述功能实体根据本地緩存的所述用户权限信息对用户操作进行鉴 权, 在鉴权通过后执行该操作;
所述功能实体在用户退出、超时情况下按预先设置的策略清除本地緩 存的所述用户权限信息。
通过比较可以发现, 本发明的技术方案与现有技术的主要区别在于, 将不同设备厂商提供的网络设备即功能实体划分到不同安全域,在每个安 全域内设至少一个安全管理网关, 用于将该安全域内的安全管理接口适配 到通用安全管理接口, 而通过通用安全管理接口即可实现由安全管理中心 对全网功能实体的集中安全管理, 另外还对安全管理员提供安全管理操作 接口;
通过用户管理、 用户 4受权、 用户认证和用户鉴权四个工作流程实现通 用安全管理系统运作;
通过安全管理网关实现不同功能实体和安全管理中心之间交互; 通过对功能实体的改进实现用户认证请求转发、 用户权限信息下载緩 存。
这种技术方案上的区别, 带来了较为明显的有益效果, 即安全管理中 心和通用安全管理接口的提供实现了集中安全管理的基础, 安全域的划分 和安全管理网关的接口适配实现了安全管理中心对全网不同功能实体的 通用管理, 在不对现有设备进行大规模修改的前提下, 用一种统一的方式 实现集中的用户管理、 权限管理和用户认证机制, 简化了网络管理, 避免 了不同安全管理接口不一致带来的管理混乱, 提高了网絡的安全性和可靠 性。
附图说明 图 1是根据本发明的实施例的通用网管安全管理系统框图; 图 2是才艮据本发明的实施例的通用网管安全管理系统用户管理工作流 程图;
图 3是根据本发明的实施例的通用网管安全管理系统用户授权工作流 程图;
图 4是根据本发明的实施例的通用网管安全管理系统用户认证工作流 程图;
图 5是根据本发明的实施例的通用网管安全管理系统用户鉴权工作流 程图;
图 6是根据本发明的实施例的网管安全管理网关的框图。
具体实施方式 为使本发明的目的、 技术方案和优点更加清楚, 下面将结合附图对本 发明做进一步的详细描述。
为了在一个由多个制造商提供的设备构成的网络中实现集中的网管 安全管理, 包括网管用户的授权、 认证、 鉴权等功能。 本发明的基本思路 是: 将全网设备即功能实体按照其厂商或者所支持的安全管理接口的不同 而划分成不同的安全域,每个安全域中包含多个功能实体和至少一个安全 管理网关; 这个安全管理网关就是用于将安全域内功能实体的安全管理接 口适配成给安全管理中心提供的标准接口; 而所谓的安全管理中心就是集 中进行全网的用户管理、 权限管理和身份认证的部分; 安全管理中心还通 过安全管理操作接口为系统管理员提供用户界面。
在本发明的方案中, 系统管理员即管理员是负责对整个网管系统各个 操作员或者网管用户的权限等进行管理的人, 而网管用户即用户则是通过 对功能实体的操作而对整个网络进行网络管理的操作员。 管理员通过安全 管理操作接口在安全管理中心上对用户及其权限信息进行管理, 安全管理 中心则通过各安全域的安全管理网关实现与不同功能实体的交互。
网管安全管理系统的运行包含四个流程: 用户管理, 即管理员直接在 安全管理中心上操作用户的数据库对用户信息进行管理; 用户授权, 即管 理员在安全管理中心对用户进行授权, 其中包括安全管理中心向各安全管 理网关咨询可授权操作信息并提供给管理员参考; 用户认证, 即用户进行 网管操作前登录到功能实体时由功能实体上报认证请求给安全管理中心 ,
安全管理中心对用户进行认证, 并返回认证结果, 如果认证成功, 安全管 理中心返回的认证结果同时包含用户权限信息, 功能实体对用户的权限信 息进行緩存; 用户鉴权, 即功能实体根据本地緩存的用户权限信息对用户 每次操作进行鉴权判断。
下面按照本发明的实施例对通用网管安全管理系统的技术细节进行 详细阐述。 如图 1 所示, 该安全管理系统的基本构造包含安全管理中心 ( Security Management Center, 简称 "SMC" ) 110、 安全管理操作接口 ( Security Management User Interface, 简称 "SMUI" ) 120、 多个不同厂商 制造的功能实体(Function Entity, 简称 "FE" ) 130及用于适配的安全管 理网关 (Security Management Gateway, 简称 "SMG" ) 140。 在本发明的 实施例中, 这些组成部分的相互连接关系如图 1所示; >
全网所有功能实体 130按其生产厂商不同划分为不同安全域( Security Domain, 简称 "S-Domain" ) 200, 每个安全域 200对应包含一个安全管 理网关 140, 用于将该安全域内功能实体的安全管理接口 210适配成安全 管理中心提供的通用安全管理接口 150。 可见安全域是一个从安全管理角 度来划分整个运营商网络的概念。 一个安全域包含了某个设备制造商提供 的设备。 域与外部的交互全部通过安全管理网关 140进行。
这里的功能实体 130就是泛指网络中提供一定的网络服务的物理或者 逻辑实体。 这些功能实体 130均在网管系统的管理之下, 接收用户的操作 实现网络管理。 在访问任何一个功能实体 130之前, 都需要进行用户身份 认证, 用户身份认证通过之后, 每次访问都需要结合用户身份进行访问鉴 权。
而安全管理中心 110则用于实行全网的用户管理、 权限管理和身份认 证, 这是一个集中管理全网用户的模块。 而安全管理操作接口 120基于安 全管理中心向管理员提供用户界面, 比如图像用户界面 (Graphic User Interface, 筒称 "GUI" )、 命令行界面、 WEB Portal等。
从图 1 中看到, 整个网络被划分为多个安全域 200, 每个安全域 200 通常只包含同一制造商提供的功能实体 130。 在每个安全域 200内, 设置 一个安全管理网关 140, 该安全管理网关 140主要负责将制造商特有的安
全管理接口 210适配到运营商的集中安全管理中心提供的通用接口 150。 安全管理网关 140是每个安全域 200与安全管理中心 110的适配模块, 安 全域内的功能实体 130需要通过安全管理网关 140转发用户身份认证请 求、 下载用户权限信息。 在全网范围内设置统一的安全管理中心 110, 提 供通用安全管理接口 150, 实现全网集中的用户管理、 权限管理和身份认 证,负责与各安全域 200的安全管理网关 140交互,处理安全管理网关 140 转发的身份认证请求、 并下发用户权限信息。 同时也接收管理员通过安全 管理操作接口 120对用户数据进行的管理操作。
下面进一步介绍每个组成部分所要实现的必须功能。
功能实体 130首先要接收用户的操作, 用户登录时需要转发用户认证 请求给其所在安全域的安全管理网关 140, 由安全管理网关 140上 4艮安全 管理中心 110; 同时也通过安全管理网关 140从安全管理中心 110下载当 前登录用户的权限信息并在本地緩存; 这样在用户每次操作时可以根据緩 存的权限信息对用户操作进行鉴权; 而在每次用户退出或超过有效期时限 情况下都将按照预先设置的策略清除权限信息的緩存, 这样可以保证下次 登录时用户权限信息重新从安全管理中心 110下载更新。
安全管理网关 140 的主要功能就是从安全域内的特有安全管理接口 210适配到安全域外的通用安全管理接口 150。 在里侧通过其所在安全域 的安全管理接口 210与本安全域内所有功能实体 130交互,在外侧通过通 用安全管理接口 150与安全管理中心 110交互。 这样就能够负责转发功能 实体 130上报的请求信息、 也转发安全管理中心 110下发的用户信息, 包 括功能实体 130传给安全管理中心 110的用户认证请求、安全管理中心 110 传给功能实体 130的权限信息。这个安全管理网关 140是实现通用管理的 关键。
安全管理中心 110是全网集中统一管理的载体, 用于管理全网的用户 信息、 授权信息和身份认证信息。 上面保存有全网的用户信息数据库, 管 理员只需在其数据库上面操作即实现对全网不同安全域的用户的操作。 而 所有功能实体 130都需要从安全管理中心 110下载更新用户信息来进行认 证、 鉴权。 一侧通过各安全域的安全管理网关 140与全网功能实体 130交
互, 另一侧通过安全管理操作接口 120与管理员交互。
下面按照通用安全管理系统四个基本工作流程介绍各组成部分的功 能如何实施、 相互间如何协作。 这四个基本工作流程就是用户管理、 用户 授权、 用户认证和用户鉴权, 其中用户管理和用户授权是管理员这一侧对 用户的上对下的管理操作, 而用户认证和用户鉴权是用户这一侧在登录操 作时由下对上请求认证并鉴权的过程。
用户管理就是指管理员在安全管理中心上直接对用户数据库的操作, 包括增加用户、 删除用户、 修改用户信息等操作。
在本发明的实施例中, 这些用户管理操作所涉及的模块及其工作流程 如图 2所示。 首先, 管理员发起的操作请求是在安全管理操作接口的用户 界面上接收到的, 然后发送给安全管理中心; 安全管理中心对该请求进行 处理, 也即进行用户管理操作, 并返回处理结果给安全管理操作接口; 最 后, 安全管理操作接口将处理结果显示在用户界面上。
用户授权是指管理员给用户增加权限、 修改权限等操作。 用户的权限 限定用户在功能实体上所做的操作类型和操作对象。 比如用户对于功能实 体上的文件访问权限应该描述为: 对哪些文件具有什么样的操作权限, 如 增加、 删除、 修改等。 因此用户的权限信息应当至少包含 "操作类型" 和 "操作对象" 两部分信息。
虽然从管理员的角度来看, 用户授权与用户管理类似, 都是通过安全 管理操作接口下发操作请求, 在安全管理中心处理以后, 接收操作结果。 但是在系统内部的处理过程来看, 用户授权比用户管理要多一个流程, 即 安全管理中心需要从安全管理管理网关咨询可授权的操作类型和操作对 象信息, 并在授权用户界面上为管理员提供参考, 这样管理员并可完成用 户授权。当然安全管理网关还可能需要进一步向功能实体咨询 "操作类型" 和 "操作对象" 信息, 这一点在本实施例说明中省略。
在本发明的实施例中, 用户授权操作所涉及的模块及其工作流程如图 3所示。 首先, 管理员在用户界面上操作, 由安全管理操作接口接收管理 员的用户授权操作请求, 并发送给安全管理中心; 然后, 安全管理中心从 安全管理网关获取可授权操作类型和可授权操作对象信息, 并返回给安全
管理操作接口; 接着, 安全管理操作接口将可授权操作类型和可授权操作 对象信息显示在管理员界面上, 以供管理员参考。 这样前半个流程就结束 了, 管理员此时可以通过提供的可授权信息选择如何对用户进行授权, 在 授权操作之后 , 安全管理操作接口再将授权操作请求发送给安全管理中 心; 然后安全管理中心处理授权操作、 保存用户授权信息, 并返回处理结 果给安全管理操作接口; 最后, 安全管理操作接口将处理结果显示在管理 员界面上。
注意到上述流程中, 每次进行用户授权时安全管理中心都要咨询各个 安全管理网关, 这在本发明的另一个实施例中, 通过在安全管理中心保存 可授权信息并建立与安全管理网关之间的同步机制来简化流程。在用户授 权工作流程中, 安全管理中心在每次启动时从安全管理网关获取可授权操 作类型和可授权操作对象信息并在本地保存; 而之后, 安全管理网关在每 次更新改动后发起对安全管理中心的同步过程,使得可授权操作类型和可 授权操作对象信息保持同步。这样就避免了每次授权操作就进行咨询的麻 烦, 节省了操作时间。
用户认证和用户鉴权是指用户在进行网絡管理操作时登录到某个功 能实体后, 功能实体需要从全网统一的用户数据库 安全管理中心获取用 户信息进行认证,之后在每次用户进行操作时都 据用户信息进行鉴权判 断的操作过程。 这样很明显的一个机制就是全网的功能实体都从安全管理 中心进行用户认证和下载用户权限信息, 而这一机制中功能实体与安全管 理中心间的交互是通过安全管理网关适配的。 另外这一机制中功能实体还 需要对用户信息进行緩存, 緩存不但是为了加快鉴权速度, 也是保证用户 权限信息的及时更新, 因此功能实体要保证用户信息在登录时重新下载而 在退出时清除。
图 4和图 5分别示出了根据本发明的实施例的用户认证和用户鉴权工 作流程。
首先, 用户登录到某个功能实体, 此时用户提供身份标识如用户名和 认证信息如密码、 数字证书以确认其身份; 功能实体接收用户认证请求并 转发给其所在安全域的安全管理网关, 由安全管理网关将用户认证请求转
发给安全管理中心; 然后在安全管理中心处理用户认证请求, 即进行用户 认证, 并返回用户权限信息给安全管理网关, 由安全管理网关进一步转发 给功能实体; 此后, 功能实体即获得用户认证结果及用户权限信息 , 在本 地緩存用户权限信息直至用户退出或超时。
上述交互过程中, 关键点在于功能实体能够根据本地配置的策略转发 认证请求, 保存从安全管理网关返回的用户权限信息。 只有功能实体实现 了对认证请求的转发和在本地緩存安全网关返回的用户权限信息, 才可能 实现集中的安全管理机制。 在一个操作会话结束的时候, 功能实体清除其 保存的用户权限信息, 在下次登录时重新下载以保证其权限更新。
在完成用户认证之后, 用户的每次操作都要被鉴权, 用户鉴权是指功 能实体根据本地緩存的用户权限信息, 对用户的操作进行鉴权, 看是否允 许用户进行某项操作。 鉴权的内容包含 "操作类型" 和 "操作对象,,, 必 须全部有权限才认为某个操作是有权限的。 如图 5所示, 功能实体根据本 地緩存的用户权限信息对用户操作进行鉴权, 在鉴权通过后执行该操作; 而在用户退出、超时情况下按预先设置的策略清除本地緩存的所述用户权 限信息。
至此, 四个工作流程在经过各个组成部分的功能体系和相互协作后得 以实现, 不但给出了管理员对全网用户的信息管理, 也给出了用户对全网 各功能实体操作时所必须的认证和鉴权机制。
需要指出的是, 为了简化说明, 以上的实施例中每个安全域只有一个 安全管理网关, 但可以不限于这种情况, 即每个安全域可以有多个安全管 理网关。 本领域的普通技术人 可以理解, 多个安全管理网关的实现和一 个安全管理网关的实现没有本质性的区别, 所以这里不再重复说明了。
另外需要指出的是, 本发明中所述的安全管理中心、 安全管理网关、 功能实体等设备或实体均是指逻辑实体, 在具体实现时每个逻辑实体既可 以单独成为一个物理设备, 也可以将多个逻辑实体組合在同一个物理设备 中实现。
通过划分安全域, 在每个域中增加安全管理网关, 运营商可以在不对 现有设备进行大规模修改的前提下,通过本发明用一种统一的方式实现集
中的用户管理、 权限管理和用户认证机制, 简化了对网络的管理, 避免了 多个系统权限信息不一致带来的管理混乱, 提高了网絡的安全性和可靠 性。
本发明的安全管理网关对应于至少一个功能实体, 实现所述功能实体 和网管系统安全管理中心的交互。 请参阅图 6, 本发明的实施例中, 安全 管理网关包括:
功能实体交互单元 610, 用于实现与功能实体的数据交互; 安全管理中心交互单元 620, 用于实现与安全管理中心的数据交互; 处理单元 630, 用于实现所述功能交互单元和安全管理中心交互单元 传输的数据的适配。
其中, 所述功能实体交互单元 610通过功能实体的安全管理接口 (图 未示)与所述对应的功能实体交互; 所述安全管理中心交互单元 630通过 所述安全管理中心提供的通用安全管理接口 (图未示)与所述安全管理中 心交互。
本发明的具体实施例中, 所述处理单元 630包括:
认证请求处理单元 631, 用于将功能实体交互单元 610接收的所述功 能实体传来的用户认证请求转换后由安全管理中心交互单元 620发送至所 述安全管理中心;
权限信息处理单元 632, 用于将安全管理中心交互单元 620接收的来 自所述安全管理中心的用户认证请求转换后由功能实体交互单元 610发送 至所述功能实体。
此外, 本发明的安全管理网关可以设置在安全管理中心, 也可以设置 在功能实体内。
当安全管理网关设置在安全管理中心时, 安全管理中心的一个实施例 包括: 通用安全管理接口、 用于实现与功能实体的数据交互的功能实体交 互单元和用于实现所述通用安全管理接口和功能实体交互单元之间传输 的数据的适配的适配单元。
当安全管理网关设置在功能实体时, 功能实体的一个实施例包括: 安
全管理接口、用于实现与安全管理中心的数据交互的安全管理中心交互单 元和用于实现所述安全管理接口和安全管理中心之间传输的数据的适配 的适配单元。
虽然通过参照本发明的某些优选实施例, 已经对本发明进行了图示和 描述, 但本领域的普通技术人员应该明白, 可以在形式上和细节上对其作 各种改变, 而不偏离本发明的精神和范围。
Claims (18)
- 权 利 要 求1. 一种通用网管安全管理系统, 其特征在于, 包含安全管理中心、 至少一个功能实体及至少一个安全管理网关;其中, 全网划分为至少一个安全域, 每个安全域中包含至少一个所述 功能实体;每个所述安全域对应至少一个所述安全管理网关, 用于将该安全域内 功能实体的安全管理接口适配成所述安全管理中心提供的通用安全管理 接口。。
- 2. 根据权利要求 1 所述的通用网管安全管理系统, 其特征在于, 还 包含安全管理操作接口, 用于基于所述安全管理中心向管理员提供安全管 理操作界面。
- 3. 根据权利要求 2所述的通用网管安全管理系统, 其特征在于, 所 述安全管理中心用于管理全网的用户信息、 授权信息和身份认证信息、 通 过各安全域的所述安全管理网关与全网功能实体交互、 以及通过所述安全 管理操作接口与管理员交互。
- 4. 根据权利要求 1至 3中任一项所述的通用网管安全管理系统, 其 特征在于, 所述功能实体用于转发用户认证请求给其所在安全域的所述安 全管理网关、通过所述安全管理网关向所述安全管理中心下载当前登录用 户的权限信息并緩存、 根据所述权限信息对用户操作进行鉴权、 以及 在用户退出时或根据预先设置的策略清除所述权限信息的緩存。
- 5. 根据权利要求 1至 3中任一项所述的通用网管安全管理系统, 其 特征在于, 所述安全管理网关通过其所在安全域的安全管理接口与本安全 域内所有功能实体交互、通过所述通用安全管理接口与所述安全管理中心 交互、用于转发所述功能实体传来的所述用户认证请求给所述安全管理中 心、 以及转发所述安全管理中心传来的所述权限信息给所述功能实体。
- 6. 一种通用网管安全管理系统, 其特征在于, 包括安全管理中心、 至少一个功能实体及至少一个安全管理网关;其中, 所述功能实体用于处理用户业务; 所述安全管理中心用于实行全网的安全管理;每个所述安全管理网关对应于至少一个功能实体, 用于实现安全管理 中心和与其对应的功能实体之间的数据交互。
- 7、 根据权利要求 6所述的通用网管安全管理系统, 其特征在于, 所 述安全管理网关通过功能实体的安全管理接口与所述对应的功能实体交 互, 通过所述安全管理中心提供的通用安全管理接口与所述安全管理中心 交互。
- 8、 一种网管安全管理网关, 其特征在于, 对应于至少一个功能实体, 实现所述功能实体和网管系统安全管理中心的交互; 包括:功能实体交互单元, 用于实现与功能实体的数据交互;安全管理中心交互单元, 用于实现与安全管理中心的数据交互; 处理单元, 用于实现所述功能交互单元和安全管理中心交互单元传输 的数据的适配。
- 9、 如权利要求 8所述的网管安全管理网关, 其特征在于, 所述功能 实体交互单元通过功能实体的安全管理接口与所述对应的功能实体交互; 所述安全管理中心交互单元通过所述安全管理中心提供的通用安全管理 接口与所述安全管理中心交互。
- 10、 如权利要求 8或 9所述的网管安全管理网关, 其特征在于, 所述 处理单元包括:认证请求处理单元, 用于将功能实体交互单元接收的所述功能实体传 来的用户认证请求转换后由安全管理中心交互单元发送至所述安全管理 中心;权限信息处理单元, 用于将安全管理中心交互单元接收的来自所述安 全管理中心的用户认证请求转换后由功能实体交互单元发送至所述功能 实体。
- 11、 一种安全管理中心, 包括通用安全管理接口; 其特征在于、 还包 括:功能实体交互单元, 用于实现与功能实体的数据交互; 适配单元, 用于实现所述通用安全管理接口和功能实体交互单元之间 传输的数据的适配。
- 12、 一种网管安全管理系统的功能实体, 包括安全管理接口; 其特征 在于, 还包括:安全管理中心交互单元, 用于实现与安全管理中心的数据交互; 适配单元, 用于实现所述安全管理接口和安全管理中心之间传输的数 据的适配。
- 13. 一种通用网管安全管理系统的用户管理方法, 其特征在于, 包含 以下步骤,所述安全管理操作接口接收所述管理员的用户管理操作请求, 并发送 给所述安全管理中心;所述安全管理中心处理所述用户管理操作请求, 并返回处理结果给所 述安全管理操作接口;所述安全管理操作接口将处理结果显示在用户界面上。
- 14. 一种通用网管安全管理系统的用户授权方法, 其特征在于, 包含 以下步骤,所述安全管理操作接口接收所述管理员的用户授权操作请求, 并发送 给所述安全管理中心;所述安全管理中心从所述安全管理网关获取可授权操作类型和可授 权操作对象信息, 并返回给所述安全管理操作接口;所述安全管理操作接口将所述可授权操作类型和可授权操作对象信 息显示在管理员界面上, 作为所述管理员进行授权操作的参考;在所述管理员完成授权操作之后, 所述安全管理操作接口将授权操作 请求发送给所述安全管理中心;所述安全管理中心处理授权操作、 保存用户授权信息, 并返回处理结 果给所述安全管理操作接口;所述安全管理操作接口将处理结果显示在管理员界面上。
- 15. 一种通用网管安全管理系统的用户授权方法, 其特征在于, 包含 以下步骤,所述安全管理中心在每次启动时从所述安全管理网关获取所述可授 权操作类型和可授权操作对象信息并在本地保存;所述安全管理网关在每次更新改动后发起对所述安全管理中心的同 步过程, 使得所述可授权操作类型和可授权操作对象信息保持同步; 所述管理员根据所述安全管理中心所提供的可授权操作类型和可授 权操作对象信息进行授权操作;在所述授权操作之后, 所述安全管理操作接口将授权操作请求发送给 所述安全管理中心;所述安全管理中心处理授权操作、 保存用户授权信息, 并返回处理结 果给所述安全管理操作接口;所述安全管理操作接口将处理结果显示在管理员界面上。
- 16. —种通用网管安全管理系统的用户认证方法, 其特征在于, 包含 以下步骤,所述功能管理网关, 由其转发给所述安全管理中心;所述安全管理中限信息给所述安全管理网关, 由其转发给所述功能实体;所述功能实体在本地缓存所述用户权限信息直至用户退出或超时。 17. 根据权利要求 16所述的通用网管安全管理系统的用户认证方法, 其特征在于, 所述功能实体收到用户认证请求时, 还包含以下子步骤: 根据预置的本地策略决定是否转发 , 如果是则将该用户认证请求转发 给所述安全管理网关, 否则直接在本地处理。
- 18. 根据权利要求 16所述的通用网管安全管理系统的用户认证方法, 其特征在于, 所述功能实体在本地緩存所述用户权限信息前, 还包含根据 预置的本地策略判断是否緩存的子步骤。
- 19. 一种通用网管安全管理系统的用户鉴权方法, 其特征在于, 包含 以下步骤, 所述功能实体根据本地緩存的所述用户权限信息对用户操作进行鉴 权, 在鉴权通过后执行该操作;所述功能实体在用户退出、超时情况下按预先设置的策略清除本地緩 存的所述用户权限信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100361231A CN100461690C (zh) | 2005-07-21 | 2005-07-21 | 通用网管安全管理系统及其方法 |
| CN200510036123.1 | 2005-07-21 | ||
| PCT/CN2006/001623 WO2007009350A1 (fr) | 2005-07-21 | 2006-07-10 | Système universel de gestion de la sécurité réseau et équipement et méthode pour celui-ci |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101160775A true CN101160775A (zh) | 2008-04-09 |
Family
ID=37103148
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100361231A Expired - Fee Related CN100461690C (zh) | 2005-07-21 | 2005-07-21 | 通用网管安全管理系统及其方法 |
| CNA2006800124031A Pending CN101160775A (zh) | 2005-07-21 | 2006-07-10 | 通用网管安全管理系统、设备及方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100361231A Expired - Fee Related CN100461690C (zh) | 2005-07-21 | 2005-07-21 | 通用网管安全管理系统及其方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20070022470A1 (zh) |
| EP (1) | EP1746764A3 (zh) |
| CN (2) | CN100461690C (zh) |
| WO (1) | WO2007009350A1 (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9654200B2 (en) | 2005-07-18 | 2017-05-16 | Mutualink, Inc. | System and method for dynamic wireless aerial mesh network |
| CN101442425B (zh) * | 2007-11-22 | 2012-03-21 | 华为技术有限公司 | 网关的管理方法及装置、系统 |
| CN101197711B (zh) * | 2007-12-06 | 2012-04-04 | 华为技术有限公司 | 一种实现统一鉴权管理的方法、装置及系统 |
| CN101599831B (zh) * | 2008-06-06 | 2011-09-21 | 中兴通讯股份有限公司 | 一种通信网络安全管理方法及系统 |
| US8850561B2 (en) * | 2008-08-25 | 2014-09-30 | International Business Machines Corporation | Associating operating system native authorizations with console roles |
| WO2010086028A1 (en) * | 2009-02-02 | 2010-08-05 | Nokia Siemens Networks Oy | Communicating a network event |
| US8504837B2 (en) | 2010-10-15 | 2013-08-06 | Rockwell Automation Technologies, Inc. | Security model for industrial devices |
| CN102455894A (zh) * | 2010-10-26 | 2012-05-16 | 镇江精英软件科技有限公司 | 一种快速构建信息系统软件的构架 |
| CN102457560B (zh) * | 2010-10-29 | 2016-03-30 | 中兴通讯股份有限公司 | 一种云计算的安全管理方法和系统 |
| CN102025725B (zh) * | 2010-11-22 | 2016-12-07 | 北京百卓网络技术有限公司 | 电信业务环境安全系统及其实现方法 |
| CN102158529A (zh) * | 2011-01-27 | 2011-08-17 | 浪潮电子信息产业股份有限公司 | 基于php环境实现网络存储高效管理的方法 |
| CN102104607B (zh) * | 2011-03-10 | 2013-11-06 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
| CN102148687B (zh) * | 2011-05-09 | 2014-02-05 | 北京数码大方科技股份有限公司 | 信息管理系统中的签名方法及装置 |
| CN102843387B (zh) * | 2011-06-20 | 2017-02-01 | 北京太能沃可网络科技股份有限公司 | 一种基于安全分级的云计算安全控制平台 |
| US8839349B2 (en) * | 2011-10-18 | 2014-09-16 | Mcafee, Inc. | Integrating security policy and event management |
| CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN103634138B (zh) * | 2012-08-27 | 2016-12-28 | 阿里巴巴集团控股有限公司 | 分布式调度的远程管理与运维方法及其系统 |
| CN102932184B (zh) * | 2012-11-06 | 2016-06-08 | 华为技术有限公司 | 一种网络管理的方法、装置及系统 |
| US9419953B2 (en) | 2012-12-23 | 2016-08-16 | Mcafee, Inc. | Trusted container |
| US9088543B2 (en) | 2013-06-03 | 2015-07-21 | International Business Machines Corporation | Coordinated network security management |
| CN104463510A (zh) * | 2014-12-31 | 2015-03-25 | 天津云之峰科技有限公司 | 一种财务管理系统 |
| CN106506238A (zh) * | 2015-08-24 | 2017-03-15 | 中兴通讯股份有限公司 | 一种网元管理方法及系统 |
| CN108243059B (zh) * | 2016-12-27 | 2020-05-15 | 大唐移动通信设备有限公司 | 一种网管集中管理方法和服务端 |
| CN106878084B (zh) * | 2017-02-28 | 2020-03-06 | 新华三技术有限公司 | 一种权限控制方法和装置 |
| CN107995203A (zh) * | 2017-12-08 | 2018-05-04 | 中盈优创资讯科技有限公司 | 网络设备安全管理系统、方法及计算机可读存储介质 |
| US11200763B2 (en) * | 2017-12-15 | 2021-12-14 | Assa Abloy Ab | Providing credential set when network connection is unavailable |
| WO2021142849A1 (zh) * | 2020-01-19 | 2021-07-22 | Oppo广东移动通信有限公司 | 安全域的配置、发现和加入方法及装置、电子设备 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6070244A (en) * | 1997-11-10 | 2000-05-30 | The Chase Manhattan Bank | Computer network security management system |
| US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| US6678835B1 (en) * | 1999-06-10 | 2004-01-13 | Alcatel | State transition protocol for high availability units |
| US7693976B2 (en) * | 2000-07-11 | 2010-04-06 | Ciena Corporation | Granular management of network resources |
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| EP1461927B1 (en) * | 2001-10-25 | 2006-04-12 | General Dynamics Government Systems Corporation | A method and system for modelling, analysis, and display of network security events |
| CN1313950C (zh) * | 2001-11-29 | 2007-05-02 | 上海复旦光华信息科技股份有限公司 | 域用户集中授权管理系统及其方法 |
| DE10206009A1 (de) * | 2002-02-14 | 2003-08-28 | Alcatel Sa | Dienstleistungs-Server |
| US7149740B2 (en) * | 2002-03-26 | 2006-12-12 | Symmetricom, Inc. | Using a common link field key |
| US7003527B1 (en) * | 2002-06-27 | 2006-02-21 | Emc Corporation | Methods and apparatus for managing devices within storage area networks |
| GB0227049D0 (en) * | 2002-11-20 | 2002-12-24 | Bae Sys Defence Sys Ltd | Management of network security domains |
| CN1309208C (zh) * | 2003-05-23 | 2007-04-04 | 联想(北京)有限公司 | 一种计算机网络的网络安全系统及其控制方法 |
| JP2004357234A (ja) * | 2003-05-30 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。 |
| US20050102510A1 (en) * | 2003-10-10 | 2005-05-12 | Bea Systems, Inc. | Delegation in a distributed security system |
-
2005
- 2005-07-21 CN CNB2005100361231A patent/CN100461690C/zh not_active Expired - Fee Related
-
2006
- 2006-07-10 CN CNA2006800124031A patent/CN101160775A/zh active Pending
- 2006-07-10 WO PCT/CN2006/001623 patent/WO2007009350A1/zh active Application Filing
- 2006-07-20 US US11/489,932 patent/US20070022470A1/en not_active Abandoned
- 2006-07-21 EP EP06015237A patent/EP1746764A3/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| EP1746764A2 (en) | 2007-01-24 |
| EP1746764A3 (en) | 2007-02-07 |
| WO2007009350A1 (fr) | 2007-01-25 |
| CN1889452A (zh) | 2007-01-03 |
| US20070022470A1 (en) | 2007-01-25 |
| CN100461690C (zh) | 2009-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160775A (zh) | 通用网管安全管理系统、设备及方法 | |
| US6678826B1 (en) | Management system for distributed out-of-band security databases | |
| EP2036305B1 (en) | Communication network application activity monitoring and control | |
| KR20110040691A (ko) | 네트워크 자원들을 관리하는 장치 및 방법 | |
| US7793343B2 (en) | Method and system for identity management integration | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| CN101931613B (zh) | 集中认证方法和集中认证系统 | |
| US20010019559A1 (en) | System, method, and computer program product for end-user self-authentication | |
| CN107277049A (zh) | 一种应用系统的访问方法及装置 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN104754582A (zh) | 维护byod安全的客户端及方法 | |
| CN107404485A (zh) | 一种自验证云连接方法及其系统 | |
| EP1830512A1 (en) | A method and system for realizing the domain authentication and network authority authentication | |
| JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
| US20090013176A1 (en) | Application level integration in support of a distributed network management and service provisioning solution | |
| CN107832602A (zh) | 一种基于标识的统一电子印章系统 | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| CN115189958B (zh) | 一种实现多级架构之间认证漫游和鉴权的方法 | |
| CN110138779A (zh) | 一种基于多协议反向代理的Hadoop平台安全管控方法 | |
| CN101291220B (zh) | 一种身份安全认证的系统、装置及方法 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| US20050204160A1 (en) | Method for establishing directed circuits between parties with limited mutual trust | |
| JPH1028144A (ja) | アクセス制御機能付きネットワーク構成方式 | |
| CN114466038B (zh) | 一种电力物联网的通信防护系统 | |
| JP3737594B2 (ja) | ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20080409 |