CN101379762B - 处理用于简单网络管理协议的认证和权限的系统和方法 - Google Patents
处理用于简单网络管理协议的认证和权限的系统和方法 Download PDFInfo
- Publication number
- CN101379762B CN101379762B CN2007800042411A CN200780004241A CN101379762B CN 101379762 B CN101379762 B CN 101379762B CN 2007800042411 A CN2007800042411 A CN 2007800042411A CN 200780004241 A CN200780004241 A CN 200780004241A CN 101379762 B CN101379762 B CN 101379762B
- Authority
- CN
- China
- Prior art keywords
- snmp
- user
- data field
- log
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
提供一种系统,该系统包括执行简单网络管理协议(SNMP)的管理器的管理器设备。所述系统还包括被耦接到所述管理器设备的代理设备。所述代理设备执行选择地提供对被管理数据的访问的SNMP代理。所述SNMP管理器使用户能够发出登录命令。所述SNMP代理处理所述登录命令及如果所述用户是被认证的,允许所述用户使用会话标识符访问所述被管理的数据。
Description
技术领域
本发明涉及一种处理用于简单网络管理协议(SNMP)的认证和权限的系统和方法。
背景技术
简单网络管理协议(SNMP)是促使网络设备间管理信息的交换的应用层协议。SNMP使网络管理员能够管理网络性能、发现及解决网络问题并为网络增长作计划。在SNMP版本1(SNMPv1)和SNMP版本2c(SNMPv2c)中,考虑来自被认证团体的请求。每一个团体(Community)是与一个团体简档(Profile)相关联的。该团体简档指示团体对被管理的数据具有如只读(RO)访问权利还是读写(RW)访问权利。被管理的数据依照管理信息库(MIB)来构建。在一些情况下,被管理的数据可以被称作MIB数据。
因为SNMP访问权利是与全部团体相关联的,因此仅知道团体的名字就可以提供入侵者到被管理数据的访问。进一步,粗略地定义SNMP访问权利(如RO或者RW)用于全部团体并且统一地应用到MIB域(view)的所有对象。
发明内容
因此,本发明提供一种系统和方法,用于处理与简单网络管理协议(SNMP)兼容的认证和权限。该系统和方法防止只知道团体名称的入侵者的访问。
另外,本发明提供一种系统和方法,用于处理与简单网络管理协议(SNMP)兼容的认证和权限。该系统和方法限制来自入侵者的潜在骚扰。
在一个实施例中,包括一个系统。该系统包括执行简单网络管理协议(SNMP)的管理器的管理器设备,也包含被耦接到管理器设备的代理设备。代理设备执行选择地提供对被管理数据的访问的SNMP代理。SNMP管理器使用户发出登录命令。SNMP代理处理该登录命令,如果用户是被认证的,则允许该用户使用会话标识符访问被管理的数据。
在另一个实施例中,提供一个存储SNMP数据分组的数据存储媒体。SNMP数据分组包括团体名称数据字段和登录命令数据字段。SNMP数据分组进一步包含用户标识符数据字段和口令数据字段。包括在登录命令数据字段中的登录命令使得SNMP代理忽视团体名称数据字段内的值而处理用于认证的在用户标识符数据字段及口令数据字段内的值。
在其他实施例中,提供一种包括使用简单网络管理协议(SNMP)数据分组发出命令的方法。该方法进一步包括忽视SNMP团体名称及对与命令相关联的用户进行认证。
附图说明
为了更全面地理解本公开的内容及优点,作出对下面的简要说明的参考,该参考与附图和细节说明相关联。其中类似的参考数字指代类似的部分。
图1说明依照本公开实施例的系统;
图2说明依照本公开实施例的消息分组;
图3说明依照本公开实施例的管理信息库(MIB)登录表;
图4A说明依照本公开实施例的成功的认证过程;
图4B说明依照本公开实施例的失败的认证过程;
图5说明依照本公开实施例的方法;以及
图6说明依照本公开实施例的适合于实现SNMP管理器、SNMP代理和/或认证服务器的计算机系统的方框图。
具体实施方式
在下面的说明及权利要求中通篇使用的特定术语涉及具体的系统组件。作为本领域技术人员将意识到,计算机公司可能用不同的名称谈及组件。本文不试图区分名称不同但功能相同的组件。下面的讨论及权利要求中,术语“包括”和“包含”以开放方式(open-ended)使用,因此,应该被认为是表示“包括,但不限于......”,同样,术语“耦接”或者“耦接(第三人称单数)”试图来表示或者间接地、直接地、光学地、无线地、机械地等等连接或通信。因此,如果第一个设备耦接到第二个设备,连接可以是,如,通过直接的电的连接、经由其他设备和连接的通过间接的电连接、通过光电连接或通过无线的电连接。
在一开始,应该理解,尽管下面说明本公开的一个实施例的示范性实现,但是本系统可以使用无论目前已知的或存在的许多技术来实现。本公开决不被限制到下面说明的示范性实现、附图和技术,包括其中说明和描述的示范性设计及实现。在所附权利要求的范围随同它们的等价物的完整地范围内,可以对本公开进行修改。
简单网络管理协议(SNMP)提供基于处理(transaction-based)的机制来访问或更新被管理的数据。应当理解SNMP不是基于会话的协议。依照一些实施例,SNMP管理器、SNMP代理和认证服务器被配置以提供虚拟的会话来访问或更新被管理的数据。为了实现虚拟会话,本公开的实施例提供与简单网络管理协议兼容的登录方案。该登录方案使能够认证单独的用户而不是全部团体。本公开实施例也使不同的权限级与每一个单独的用户和/或每一个虚拟会话相关联。不同的权限级是基于本地的安全策略(即,许多不同的权限级能够基于实现SNMP的实体的需要而被设计)。在至少一些实施例中,权限级使用户接收对可利用的被管理数据的非全局访问权利(即,用户可以被准予对一些被管理的数据的RO访问权利和对其他被管理的数据的RW访问权利)。这里使用的“非全局”访问权利是指仅应用到一些被管理的数据的访问权利,而不是其他被管理的数据的访问权利。另外或或者,权限级可以使用户能够使用一些SNMP命令(如“get”命令),但不可以使用其他命令(如,“set”或“trap”命令)。在实施例中,一些被管理的数据可以按照管理信息库(MIB)表来构建。
图1说明依照本公开的实施例的系统100。如图1所示,系统100包含耦接到多个代理设备104A-104N的管理设备102(如,计算机)。在至少一些实施例中,管理设备102通过执行,如SNMP管理器程序112,行使职责作为网络管理系统(NMS)。SNMP管理器程序112使用户能够提交SNMP命令(如,“Get”命令、“GetNext”命令、“Set”命令、“Trap”命令或其他SNMP命令)到代理设备104A-104N。
代理设备104A-104N中的每一个执行一个SNMP代理程序114A-114N(如,代理设备104A执行SNMP代理程序114A,代理设备104B执行SNMP代理程序114B以及等等)。SNMP代理程序114A-114N使管理设备102能够访问被管理的数据106A-106N,其中一些数据可以概念地以MIB表来构建。如所示,代理设备104A是与被管理的数据106A相关联的,代理设备104B是与被管理的数据106B相关联的,等等。管理设备102和代理设备104A-104N可以是,如将要在下面在更多细节中描述的通用计算机系统。
认证服务器108认证用户,作为用户访问和改变被管理的数据104A-106N的先决条件。如,在一些实施例中,执行认证指令110使得认证服务器108认证通过登录命令提供的用户标示符(ID)和口令。在对用户ID和口令进行认证中,认证指令110将用户与权限级相关联。如之前提到的,不同权限级是基于本地的安全策略的。如,一个公司可以选择权限级的第一集(set)用于它的用户,而其他公司选择权限级的第二集用于它的用户。权限级的例子包括(但不被仅限于此)对可利用的被管理的数据的全局RO访问权利、对可利用的被管理的数据的全局RW访问权利、对可利用的被管理数据的非全局RO访问权利、对可利用的被管理数据的非全局RW访问权利、对所有SNMP命令的访问或对一些SNMP命令的访问,但不是其他命令。权限级可以用任何期望的方式来组合。如,对于一些用户,可以增加只写(WO)权限级,这对于允许无特权的用户在只写存储器上设置加密口令而不能读出它是非常有用的,可以防止其他用户试图推断使用中的加密算法的细节。
如前所述,至少一些实施例实现与一个或更多SNMP版本(比如SNMP版本1和SNMP版本2c)兼容的登录方案。为了实现登录方案,SNMP消息分组从管理设备102被发送到代理设备104A-104N中的其中之一。如,SNMP管理器程序112可以提供适当的应用窗口,使用户能够输入用于登录的数据也能够在成功登录后察看或改变被管理的数据。
图2说明依照本公开的实施例的消息分组200。如图2所示,消息分组200具有消息头部202和协议数据单元(PDU)204。消息头部202包括含有SNMP版本值(如,SNMP版本1或者SNMP版本2c)的版本数据字段206和含有团体名称值的团体名称数据字段208。注意到可以省略SNMP消息的一些传统部分,如,省略来自消息头部202的请求类型。
PDU 204包括用户ID数据字段210、口令数据字段212、登录/登出命令数据字段214及用户会话(user session)ID数据字段216。字段210、212、214及216中的每一个可以如由对象标识符(OID)及OID值来组成。用户ID数据字段210包含与用户相关联的用户ID值(如,用户名称、用户号或其他标识符)。口令数据字段212包含与用户相关联的口令。登录/登出命令数据字段214包含由代理设备104A-104N识别的作为登录命令或登出命令的值。用户会话ID数据字段216包含用户会话标示符,在用户成功登录后,该用户会话标识符与所有用户命令相关联。
尽管登录和登出命令能够被提交给代理设备104A-104N中的任何一个,在进行接收登录命令中代理设备104A的功能是作为例子来说明的。如果用户发出登录命令,代理设备104A的SNMP代理114A忽略通过消息分组200提供的团体名称值并转送通过登录命令提供的用户ID值和口令值到认证服务器108而用于认证。代理设备104A的SNMP代理114A也在它的被管理的数据106A中定义和管理登录表。因此,当代理设备104A接收登录命令时,SNMP代理程序114A在被管理的数据106A中产生或更新MIB登录表格。另外或或者,MIB登录表可以基于用户认证的结果来更新。
图3说明依照本公开的实施例的MIB登录表300。如图3所示,登录表300存储用户ID 314A-314N的列表312和相应的口令324A-324N的列表322(即,用户ID 314A相应于口令324A、用户ID 314B相应于口令324B及等等)。表300使用用户会话标识符304A-304N的列表302来索引。如,用户ID“用户_1”314A和他的相关联的口令“口令_1”324A通过用户会话标识符“会话ID_1”304A来索引。在至少一些实施例中,登录表300支持动态的行的创建及删除,如,SNMP代理程序114A可以实现“创建并等待”或者“创建并进行”技术来改变登录表300的行。SNMP中动态的行的创建及删除是众所周知的并且为本领域技术人员所理解。在实施例中,登录和会话创建涉及在MIB登录表中行的创建。相似地,在实施例中,登出和会话终止涉及从MIB登录表中行的删除。
当登录表300的行被激活时,SNMP代理程序114A转送相应的用户ID和口令到认证服务器108,认证服务器108可位于相对于代理设备104A的本地或远程。如果用户被成功地认证,认证服务器108向代理设备104A提供用户权限级。基于权限级,用户因而能向代理设备104A发出SNMP会话请求。在至少一些实施例中,来自用户的后来的请求包含在团体名称字段(如,团体名称数据字段208)中的会话标识符。通过SNMP代理程序114A拒绝执行任何没有授权的命令的尝试(经由“已登录”用户)。
SNMP代理程序114A连续承兑(honor)来自被认证的团体(即,会话ID)的所有请求直到登出发生。登出可以由用户命令来发起或者可以在被预定的非激活时段(例如,15分钟)之后被激活。这可以通过定义全局中止时段来完成或可以通过添加另一MIB变量(如登录会话应该过期之后的时间段)来完成。这种技术允许系统在不同的时间间隔中止不同的用户,而代替持有非激活的全局预定的时段。SNMP代理程序114A从登录表300删除相应于登出命令的会话ID,而不管期满的情况。拒绝所有使用该会话ID作为团体名称的后续请求,直到成功的重新登录被完成。
如果团体名称不在清晰的文本中被发送,可以增加SNMP版本1(SNMPv1)和SNMP版本2c(SNMPv2c)的认证的安全性。因此,在一些实施例中,团体名称字符串使用公钥来加密。如,公钥可以从在SNMP消息分组PDU(如PDU 204)中提供的对象标识符(OID)来导出。在这种方式中,入侵者也许可以回复有效发出的SNMP命令,但不能通过在团体名称字段简单地放置正确值而发出任何任意的或恶意的命令。
当计算用于加密团体名称字段的内容的公钥时,也能够考虑时间。如,自从“出现时间”(1970年1月1日)以来所流逝的15分钟间隔的数目,能够用来产生用于加密(在SNMP PDU中,除OID之外的)团体名称字段的公钥。在这种情况下,被加密的团体字符串将仅在15分钟间隔内有效,而相应地限制经由入侵者潜在的麻烦。
图4A说明依照本公开的实施例的成功的认证过程400。过程400通过方框箭头1A-7A来说明,并示出SNMP管理器402、SNMP代理404和认证服务器406之间的交互作用。首先,SNMP管理器402发出登录命令(箭头1A)。SNMP代理404处理登录命令(箭头2A)。在一些实施例中,登录命令使得SNMP代理404忽视在SNMP分组(如,分组200)的团体名称数据字段中的值。SNMP代理404转送通过登录命令提供的用户ID和口令信息到认证服务器406(箭头3A)。认证服务器406认证用户ID和口令(箭头4A),在成功的认证后,认证服务器406提供用于用户的权限级到SNMP代理404(箭头5A),SNMP代理404更新登录用户表并保持对每个用户的权限级的跟踪(箭头6A),例如,可以创建和更新MIB登录表来跟踪已登录用户和权限级。最后SNMP代理404发送成功的响应到SNMP管理器402(箭头7A)。
图4B说明依照本公开的实施例的失败的认证过程450。过程450通过方框箭头1B-6B来说明,并示出SNMP管理器402、SNMP代理404和认证服务器406之间的交互作用。首先,SNMP管理器402发出登录命令(箭头1B)。SNMP代理404处理登录命令(箭头2B)。在一些实施例中,登录命令使得SNMP代理404忽视在SNMP分组(如,分组200)的团体名称数据字段中的值。SNMP代理404通过登录命令提供的用户ID和口令信息到认证服务器406(箭头3B)。认证服务器406试图认证用户ID和口令,但失败(箭头4B)。认证服务器406指示认证失败或用户不具有提交后续请求的认证到SNMP代理404(箭头5B)。最后,SNMP代理404发送失败的响应到SNMP管理器402(箭头6B)。
图5说明依照本公开的实施例的方法500。如图5所示,该方法开始于方框502。方法500接着判定是否登录命令已经被接收(判定方框504)。如果登录命令已经被接收(判定方框504),则通过登录命令提供的用户ID和口令被转送到认证服务器(方框520)。方法500然后判定是否响应接收自认证服务器(判定方框522),如果响应不是接收自认证服务器,则发送失败的响应到SNMP管理器(518)。
如果响应接收自认证服务器(判定方框522),则方法500判定是否认证服务器成功地认证用户(判定方框524)。如果认证服务器没有成功地认证用户(判定方框524),则发送失败的响应到SNMP管理器(方框518)。如果认证服务器成功地认证用户(判定方框524),则新的已登录用户的条目被添加到已登录用户列表(方框526)。条目包含会话ID值,会话ID值是SNMP请求中团体名称字段的值。由认证服务器提供的权限级也被记录在已登录用户的列表中(方框526)(即,该列表跟踪已登录用户中的每一个及他或她相应的权限级)。接着发送成功的响应到SNMP管理器(方框528)。
返回到方框504,如果登录命令没有被接收(判定方框504),则从SNMP请求中提取在团体名称数据字段内的值(方框506)。在一些实施例中,如果登录命令没有被接收,则SNMP命令或请求被接收。方法500然后判定是否团体名称与已登录用户的会话ID相匹配(判定方框508)。如果团体名称与登录用户的会话ID不相匹配,则发送失败的响应到SNMP管理器(方框518)。如果团体名称与已登录用户的会话ID相匹配(判定方框508),则方法500查询(look up)已登录用户的权限级(方框510)。方法500然后判定是否已登录用户被授权发出被接收到的命令(判定方框512)。如果已登录用户没有被授权发出接收到的命令,则发送失败的响应到SNMP管理器(方框518)。如果已登录用户被授权发出所接收到的命令(判定方框512),则命令被转送到适当的应用(如,SNMP代理处理请求来访问MIB)(方框514)。方法500然后判定是否处理命令应用成功地响应(判定方框516)。如果处理命令的应用没有成功地响应,发送失败的响应到SNMP管理器(方框518)。在一些实施例中,因为上面理由的任何之一,而发送到SNMP管理器的失败的响应可以包括指示失败的原因的指示器。可选地,如果处理命令的应用成功地响应(判定方框516),则发送成功的响应到SNMP管理器(方框528)。
上面描述的SNMP登录系统或登录系统的一部分和方法可以在具有足够的处理能力、存储器资源及网路吞吐量能力的来处理其上必要的工作量的通用计算机上实现。图6说明依照本公开的实施例的适于实现SNMP管理器、SNMP代理或认证服务器的计算机系统600的方框图。计算机系统600包括与含有辅助存储器604的存储器设备通信的处理器602(可以被称作中央处理器单元或CPU)、只读存储器(ROM)606、随机存取存储器(RAM)608(在一些实施例中可以是非易失性RAM或NVRAM)、输入/输出(I/O)设备610和网络连接设备612。处理器可以以一个或多个CPU芯片来实现。
辅助存储器604典型地由一个或多个磁盘驱动器或磁带驱动器组成,而用于数据的非易失性存储及当RAM 608不足够大来保存所有工作的数据时,作为溢出数据存储元件。辅助存储器604可以用于存储当被选择执行时被加载到RAM中的程序。一些SNMP代理可以被安装到不包括辅助存储器604的计算机系统600中。ROM 606用于存储在程序执行期间读出的指令和可能的数据。在一些实施例中,ROM 606是代表性地具有相对于辅助存储器的大的存储能力的小的存储能力的非易失性存储器。RAM 608用于存储易失性数据及可能用于存储指令。对ROM 606和RAM 608的访问代表性地快于对辅助存储器604的访问。
I/O设备610可以包括打印机、视频监视器、液晶显示器(LCD)、触摸屏显示器、键盘、小键区、交换机、拨号盘(dials)、鼠标、轨迹球、语音识别器、读卡器、纸带阅读器或其他众所周知的输入设备。网关连接设备612可以采取方式为调制解调器、调制解调器排(modem bank)、以太网网卡、通用串行总线(USB)接口网卡、串行接口、红外(IR)接口、令牌环网网卡、光纤分布数据接口(FDDI:fiber distributed data interface)网卡、无线局域网(WLAN)网卡、无线收发器网卡如码分多路访问(CDMA)及/或全球移动通信系统(GSM)无线收发器和其他众所周知的网络设备。这些网络连接612设备可以使处理器602能够与因特网或一个或多个企业内部互联网通信。用这样的网络连接,可以预期在执行上述的方法的步骤期间,管理器602可以从网络接收信息,或可以输出信息到网络。这样的信息(常代表为使用处理器602来执行的指令序列)可以从网络接收和输出到网络,如,以嵌入在载波中的计算机数据信号的形式。
这样的信息(如可以包括使用处理器602来执行的数据或指令),可以从网络接收和输出到网络,如,以计算机数据基带信号或嵌入在载波中的信号的形式。经由网络连接612设备产生的基带信号或嵌入在载波中的信号可以在电导体的表面中或上、在同轴电缆中、在波导中、在光学媒体(如光纤)中、或在空气或自由空间中传播。包含在基带信号或嵌入在载波中的信号中的信息可以依照不同的序列来定制,如可以期望要么处理或产生信息要么发送或接收信息。基带信号或嵌入在载波中的信号、或正在使用或今后开发的其他类型的信号(这里被称作为传输媒体)可以依据本领域技术人员所熟知的一些方法来产生。
处理器602执行指令、代码、计算机程序和其从硬盘、软盘、光盘(这些多种的基于系统的盘可被认为是辅助存储器604)、ROM 604、RAM 608或网络连接设备612访问的脚本。
SNMP版本3提供实质的安全能力。然而,对于一些设备,SNMP版本3可能需要额外的处理。上述实施例通过在标准SNMP版本1和SNMP版本2c协议通信的框架中提供结合多种访问级别的新颖的认证能力来提供实质的效用。
尽管在本公开中,已经提供了一些实施例,然而,应该理解,在不脱离本公开的精神或范围下,所揭示的系统和发明可以嵌入在许多其他特定的形式中。本示例被看作为说明而不是限定,及本发明没有被限制到这里所给的细节,但是在不脱离所附权利要求的范围连同其等价体的完整的范围下,可以被修改。如,多样的元件或组件可以在另一系统中组合或集成,或省略或不实现特定的特征。
同样,不脱离本公开的范围下,在多样实施例中以分离地或单独地方式所描述和说明的技术、系统、子系统及方法可以同其他系统、模块、技术或方法组合或集成。其他所示或所讨论的术语,像直接被耦接或与其他的每一个通信可以经由一些接口或设备被耦接,因此上述不再被认为是直接被耦接到其他的每一个,而仍然是间接被耦接及同另一个无论电地、机械地或其他方式地进行通信。经由本领域技术人员,其他改变、替代者和更改体的例子是可探知的及在不偏离这里的精神和范围下,可做出其他的改变、代替者和更改体的例子。
Claims (17)
1.一种处理与简单网络管理协议SNMP相兼容的认证和权限的系统,包括:
可操作地执行简单网络管理协议SNMP管理器的管理设备;以及
可操作地执行SNMP代理的代理设备,所述SNMP代理与所述SNMP管理器通信及选择地提供访问,包括向所述SNMP管理器提供对被管理数据的访问;
其中SNMP管理器是可操作地发出登录命令到SNMP代理,其中SNMP代理处理登录命令及如果登录命令是被认证的,则允许对被管理数据进行访问,
其中所述SNMP代理基于包含在SNMP消息中的经由所述SNMP管理器发送的会话标识符对所述被管理数据进行访问,及其中所述SNMP代理忽略通过所述登录命令提供的团体名称。
2.根据权利要求1所述的系统,还包括认证服务器,其中所述SNMP代理转送通过登录命令提供的用户标识符和口令到所述认证服务器及其中所述认证服务器试图基于所述用户标识符和口令认证用户。
3.根据权利要求2所述的系统,其中所述SNMP代理产生包含至少一个用户标识符和被关联的口令的表,每一个用户标识符和被关联的口令经由单独的会话标识符来索引。
4.根据权利要求2所述的系统,其中如果用户是被认证的,则所述认证服务器提供用于所述用户的权限级到所述SNMP代理。
5.根据权利要求4所述的系统,其中所述SNMP代理更新一已登录用户列表并跟踪每个用户的权限级。
6.根据权利要求4所述的系统,其中所述权限级提供对被管理数据的非全局只读RO访问权利。
7.根据权利要求4所述的系统,其中所述权限级提供对被管理数据的非全局读写RW访问权利。
8.根据权利要求4所述的系统,其中所述权限级限定预定的SNMP命令的使用。
9.根据权利要求1所述的系统,其中在登录后,后续请求通过在该请求 的团体名称数据字段内放置所述会话标识符而被准许。
10.一种用于处理与简单网络管理协议SNMP相兼容的认证和权限的方法,该方法包括:
使用简单网络管理协议SNMP数据分组发出命令;其中,所述SNMP数据分组包括:团体名称数据字段;登录命令数据字段;用户标识符数据字段;及口令数据字段,其中包含在所述登录命令数据字段中的登录命令使得SNMP代理忽略在团体名称数据字段内的值并处理在所述用户标识符数据字段及所述口令数据字段内的值而用于认证;
忽略SNMP团体名称;及
认证与所述命令相关联的用户,
其中,所述SNMP数据分组还包括会话标识符数据字段,
其中,如果在用户标识符数据字段及口令数据字段内的值是被认证的,则有效的会话请求经由在团体名称数据字段内放置所述会话标识符数据字段的值而被识别。
11.根据权利要求10所述的方法,其中认证所述用户包括认证通过所述命令提供的用户标识符和被关联的口令。
12.根据权利要求10所述的方法,还包括,如果用户是被认证的,则为所述用户提供权限级。
13.根据权利要求12所述的方法,其中提供用户的权限级包括提供对被管理数据的非全局访问权利。
14.根据权利要求12所述的方法,其中提供用户的权限级包括限制用户的至少一个SNMP命令。
15.根据权利要求10所述的方法,还包括更新已登录用户列表和跟踪与每一个已登录用户相关联的权限级。
16.根据权利要求10所述的方法,还包括,在成功登录后,通过在所述请求的团体名称数据字段中放置会话标识符而发出后续SNMP请求。
17.根据权利要求16所述的方法,还包括使用来自由消息分组协议数据单元PDU中提供的对象标识符得到的公钥,对在团体名称数据字段内的值进行加密。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/345,547 US7877469B2 (en) | 2006-02-01 | 2006-02-01 | Authentication and authorization for simple network management protocol (SNMP) |
US11/345,547 | 2006-02-01 | ||
PCT/KR2007/000497 WO2007089091A1 (en) | 2006-02-01 | 2007-01-29 | System and method for processing authentication and authorization for simple network management protocol (snmp) |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101379762A CN101379762A (zh) | 2009-03-04 |
CN101379762B true CN101379762B (zh) | 2012-05-02 |
Family
ID=38323420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800042411A Expired - Fee Related CN101379762B (zh) | 2006-02-01 | 2007-01-29 | 处理用于简单网络管理协议的认证和权限的系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7877469B2 (zh) |
JP (1) | JP4851540B2 (zh) |
KR (1) | KR100866219B1 (zh) |
CN (1) | CN101379762B (zh) |
WO (1) | WO2007089091A1 (zh) |
Families Citing this family (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8055746B2 (en) * | 2005-06-15 | 2011-11-08 | Alcatel Lucent | Method and system for improved management of a communication network by extending the simple network management protocol |
US9094257B2 (en) | 2006-06-30 | 2015-07-28 | Centurylink Intellectual Property Llc | System and method for selecting a content delivery network |
US8488447B2 (en) | 2006-06-30 | 2013-07-16 | Centurylink Intellectual Property Llc | System and method for adjusting code speed in a transmission path during call set-up due to reduced transmission performance |
US8289965B2 (en) | 2006-10-19 | 2012-10-16 | Embarq Holdings Company, Llc | System and method for establishing a communications session with an end-user based on the state of a network connection |
US8477614B2 (en) | 2006-06-30 | 2013-07-02 | Centurylink Intellectual Property Llc | System and method for routing calls if potential call paths are impaired or congested |
US8717911B2 (en) | 2006-06-30 | 2014-05-06 | Centurylink Intellectual Property Llc | System and method for collecting network performance information |
US8223655B2 (en) | 2006-08-22 | 2012-07-17 | Embarq Holdings Company, Llc | System and method for provisioning resources of a packet network based on collected network performance information |
US8228791B2 (en) | 2006-08-22 | 2012-07-24 | Embarq Holdings Company, Llc | System and method for routing communications between packet networks based on intercarrier agreements |
US8576722B2 (en) | 2006-08-22 | 2013-11-05 | Centurylink Intellectual Property Llc | System and method for modifying connectivity fault management packets |
US8750158B2 (en) | 2006-08-22 | 2014-06-10 | Centurylink Intellectual Property Llc | System and method for differentiated billing |
US8224255B2 (en) | 2006-08-22 | 2012-07-17 | Embarq Holdings Company, Llc | System and method for managing radio frequency windows |
US7843831B2 (en) | 2006-08-22 | 2010-11-30 | Embarq Holdings Company Llc | System and method for routing data on a packet network |
US8619600B2 (en) | 2006-08-22 | 2013-12-31 | Centurylink Intellectual Property Llc | System and method for establishing calls over a call path having best path metrics |
US8199653B2 (en) | 2006-08-22 | 2012-06-12 | Embarq Holdings Company, Llc | System and method for communicating network performance information over a packet network |
US8238253B2 (en) | 2006-08-22 | 2012-08-07 | Embarq Holdings Company, Llc | System and method for monitoring interlayer devices and optimizing network performance |
US8130793B2 (en) | 2006-08-22 | 2012-03-06 | Embarq Holdings Company, Llc | System and method for enabling reciprocal billing for different types of communications over a packet network |
US8189468B2 (en) * | 2006-10-25 | 2012-05-29 | Embarq Holdings, Company, LLC | System and method for regulating messages between networks |
US8743703B2 (en) | 2006-08-22 | 2014-06-03 | Centurylink Intellectual Property Llc | System and method for tracking application resource usage |
US8064391B2 (en) | 2006-08-22 | 2011-11-22 | Embarq Holdings Company, Llc | System and method for monitoring and optimizing network performance to a wireless device |
US8307065B2 (en) | 2006-08-22 | 2012-11-06 | Centurylink Intellectual Property Llc | System and method for remotely controlling network operators |
US8531954B2 (en) | 2006-08-22 | 2013-09-10 | Centurylink Intellectual Property Llc | System and method for handling reservation requests with a connection admission control engine |
US8274905B2 (en) | 2006-08-22 | 2012-09-25 | Embarq Holdings Company, Llc | System and method for displaying a graph representative of network performance over a time period |
US9479341B2 (en) | 2006-08-22 | 2016-10-25 | Centurylink Intellectual Property Llc | System and method for initiating diagnostics on a packet network node |
US8549405B2 (en) | 2006-08-22 | 2013-10-01 | Centurylink Intellectual Property Llc | System and method for displaying a graphical representation of a network to identify nodes and node segments on the network that are not operating normally |
US7684332B2 (en) | 2006-08-22 | 2010-03-23 | Embarq Holdings Company, Llc | System and method for adjusting the window size of a TCP packet through network elements |
US8537695B2 (en) | 2006-08-22 | 2013-09-17 | Centurylink Intellectual Property Llc | System and method for establishing a call being received by a trunk on a packet network |
US8407765B2 (en) | 2006-08-22 | 2013-03-26 | Centurylink Intellectual Property Llc | System and method for restricting access to network performance information tables |
US8015294B2 (en) | 2006-08-22 | 2011-09-06 | Embarq Holdings Company, LP | Pin-hole firewall for communicating data packets on a packet network |
US8144587B2 (en) | 2006-08-22 | 2012-03-27 | Embarq Holdings Company, Llc | System and method for load balancing network resources using a connection admission control engine |
US8452015B2 (en) * | 2007-05-10 | 2013-05-28 | Computer Associates Think, Inc. | Propagating keys from servers to clients |
JP4748174B2 (ja) * | 2008-03-25 | 2011-08-17 | ブラザー工業株式会社 | ネットワーク内デバイスの管理装置およびネットワーク内デバイス管理プログラム |
US8068425B2 (en) | 2008-04-09 | 2011-11-29 | Embarq Holdings Company, Llc | System and method for using network performance information to determine improved measures of path states |
US20100235900A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Efficient two-factor authentication |
US8332498B2 (en) * | 2009-03-13 | 2012-12-11 | Assa Abloy Ab | Synchronized relay messaging and coordinated network processing using SNMP |
US9032058B2 (en) | 2009-03-13 | 2015-05-12 | Assa Abloy Ab | Use of SNMP for management of small footprint devices |
EP2406718A4 (en) * | 2009-03-13 | 2012-08-15 | Assa Abloy Ab | SECURE CARD ACCESS MODULE FOR INTEGRATED CIRCUIT BOARD APPLICATIONS |
EP2228746A1 (en) * | 2009-03-13 | 2010-09-15 | Assa Abloy Ab | Realization of access control conditions as boolean expressions in credential authentications |
EP2406749B1 (en) * | 2009-03-13 | 2018-06-13 | Assa Abloy Ab | Transfer device for sensitive material such as a cryptographic key |
JP5716390B2 (ja) | 2010-12-27 | 2015-05-13 | セイコーエプソン株式会社 | ネットワーク通信方法、ネットワーク通信システム、ネットワーク通信装置、及びそのプログラム |
EP2693357A4 (en) * | 2011-03-31 | 2015-07-08 | Fujitsu Ltd | ADMINISTRATIVE APPROACH, ADMINISTRATIVE PROGRAM AND ADMINISTRATIVE PROCEDURE |
CN102227115B (zh) * | 2011-06-13 | 2014-04-02 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
US9106707B2 (en) * | 2012-08-16 | 2015-08-11 | Dell Products L.P. | DHCP communications configuration system |
US10019519B2 (en) * | 2013-10-30 | 2018-07-10 | Gordon E. Seay | Methods and systems for utilizing global entities in software applications |
CN105262625A (zh) * | 2015-10-30 | 2016-01-20 | 浪潮(北京)电子信息产业有限公司 | 服务器虚拟化系统及管理方法、管理工作站及网络系统 |
KR102404916B1 (ko) * | 2017-08-11 | 2022-06-07 | 삼성전자 주식회사 | 수동 로밍 및 데이터 이용권 |
US11003662B2 (en) * | 2017-10-30 | 2021-05-11 | Salesforce.Com, Inc. | Trigger-free asynchronous maintenance of custom indexes and skinny performance meta-structures |
JP7256638B2 (ja) | 2018-12-21 | 2023-04-12 | キヤノン株式会社 | 通信方法、情報処理装置、およびプログラム |
US12041033B2 (en) | 2022-05-19 | 2024-07-16 | Cisco Technology, Inc. | Authorization and audit control in a multi-protocol IoT domain |
CN116933324B (zh) * | 2023-09-19 | 2023-12-05 | 智联信通科技股份有限公司 | 工业互联网标识数据安全访问方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6044468A (en) * | 1997-08-25 | 2000-03-28 | Emc Corporation | Secure transmission using an ordinarily insecure network communication protocol such as SNMP |
US6286040B1 (en) * | 1998-05-01 | 2001-09-04 | Cisco Technology, Inc. | User-friendly interface for setting expressions on an SNMP agent |
US6795862B1 (en) * | 2000-05-31 | 2004-09-21 | International Business Machines Corporation | System for converting a version of SNMP entered by user into another version used by device and providing default values for attributes not being specified |
CN1581795A (zh) * | 2003-08-06 | 2005-02-16 | 华为技术有限公司 | 一种网络管理安全认证的方法 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3463399B2 (ja) * | 1995-03-13 | 2003-11-05 | 富士通株式会社 | 通信システムおよびアクセス応答装置およびアクセス要求装置 |
JP3505058B2 (ja) * | 1997-03-28 | 2004-03-08 | 株式会社日立製作所 | ネットワークシステムのセキュリティ管理方法 |
US6360258B1 (en) * | 1998-08-31 | 2002-03-19 | 3Com Corporation | Network management software library allowing a sending and retrieval of multiple SNMP objects |
JP3425871B2 (ja) * | 1998-10-28 | 2003-07-14 | エヌイーシーアクセステクニカ株式会社 | ネットワーク管理システム及びその管理方法 |
CN1213582C (zh) | 1999-09-28 | 2005-08-03 | 汤姆森特许公司 | 初始化简单网络管理协议代理的系统和方法 |
US6820124B1 (en) * | 1999-12-21 | 2004-11-16 | Hewlett-Packard Development Company, L.P. | Cryptographic authentication using a network management protocol |
JP2001229098A (ja) * | 2000-02-17 | 2001-08-24 | Nec Eng Ltd | ネットワーク監視方式 |
HK1023695A2 (en) | 2000-02-19 | 2000-08-11 | Nice Talent Ltd | Service sign on |
US7024556B1 (en) * | 2000-06-02 | 2006-04-04 | 3Com Corporation | Distributed system authentication |
US6985921B2 (en) * | 2001-02-06 | 2006-01-10 | Hewlett-Packard Development Company, L.P. | Reliability and performance of SNMP status through protocol with reliability limitations |
JP3854852B2 (ja) * | 2001-11-09 | 2006-12-06 | パナソニック コミュニケーションズ株式会社 | 管理情報送信装置、機器管理装置および機器管理システム |
JP2003186871A (ja) * | 2001-12-14 | 2003-07-04 | Toshiba Corp | 新聞制作システムおよびその方法 |
KR20030060598A (ko) | 2002-01-10 | 2003-07-16 | 엘지전자 주식회사 | 상이한 프로토콜로 동작하는 네트워크의 관리방법 및 장치 |
JP2003216456A (ja) * | 2002-01-18 | 2003-07-31 | Hitachi Ltd | エージェントシステム及びメッセージ宛先設定方法 |
AU2003208222A1 (en) * | 2002-03-06 | 2003-09-16 | Peregrine Systems, Inc. | Method and system for a network management console |
JP2003271476A (ja) * | 2002-03-15 | 2003-09-26 | Matsushita Electric Ind Co Ltd | Snmpネットワーク管理システム |
FI113924B (fi) * | 2002-09-06 | 2004-06-30 | Tellabs Oy | Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi |
KR100487125B1 (ko) | 2002-11-28 | 2005-05-03 | 삼성전자주식회사 | 운용자 정보를 통합관리하기 위한 네트워크 시스템 및 그방법 |
JP2004266568A (ja) * | 2003-02-28 | 2004-09-24 | Nec Corp | 名前解決サーバおよびパケット転送装置 |
KR100601045B1 (ko) | 2003-12-23 | 2006-07-14 | 한국전자통신연구원 | Ipc를 이용한 인증 서버 시스템 및 인증 서버 관리 방법 |
KR100626659B1 (ko) | 2004-12-09 | 2006-09-25 | 한국전자통신연구원 | 이동형 광대역 양방향 위성접속 시스템에서의 망관리 장치 |
KR20060084045A (ko) | 2005-01-17 | 2006-07-21 | 삼성전자주식회사 | 네트워크 시스템에서 에스엔엠피 처리 장치 및 방법 |
US8166404B2 (en) * | 2005-10-04 | 2012-04-24 | Disney Enterprises, Inc. | System and/or method for authentication and/or authorization |
-
2006
- 2006-02-01 US US11/345,547 patent/US7877469B2/en not_active Expired - Fee Related
-
2007
- 2007-01-16 KR KR1020070004899A patent/KR100866219B1/ko not_active IP Right Cessation
- 2007-01-29 CN CN2007800042411A patent/CN101379762B/zh not_active Expired - Fee Related
- 2007-01-29 WO PCT/KR2007/000497 patent/WO2007089091A1/en active Application Filing
- 2007-01-29 JP JP2008550251A patent/JP4851540B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6044468A (en) * | 1997-08-25 | 2000-03-28 | Emc Corporation | Secure transmission using an ordinarily insecure network communication protocol such as SNMP |
US6286040B1 (en) * | 1998-05-01 | 2001-09-04 | Cisco Technology, Inc. | User-friendly interface for setting expressions on an SNMP agent |
US6795862B1 (en) * | 2000-05-31 | 2004-09-21 | International Business Machines Corporation | System for converting a version of SNMP entered by user into another version used by device and providing default values for attributes not being specified |
CN1581795A (zh) * | 2003-08-06 | 2005-02-16 | 华为技术有限公司 | 一种网络管理安全认证的方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4851540B2 (ja) | 2012-01-11 |
WO2007089091A1 (en) | 2007-08-09 |
KR100866219B1 (ko) | 2008-10-30 |
CN101379762A (zh) | 2009-03-04 |
US20070180086A1 (en) | 2007-08-02 |
KR20070079298A (ko) | 2007-08-06 |
JP2009522702A (ja) | 2009-06-11 |
US7877469B2 (en) | 2011-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101379762B (zh) | 处理用于简单网络管理协议的认证和权限的系统和方法 | |
CN103067399B (zh) | 无线发射/接收单元 | |
CN102422593B (zh) | 基于http的认证 | |
EP2442204B1 (en) | System and method for privilege delegation and control | |
RU2297037C2 (ru) | Управление защищенной линией связи в динамических сетях | |
EP2283669B1 (en) | Trusted device-specific authentication | |
US8971537B2 (en) | Access control protocol for embedded devices | |
US20090052675A1 (en) | Secure remote support automation process | |
US7787661B2 (en) | Method, system, personal security device and computer program product for cryptographically secured biometric authentication | |
US20120204245A1 (en) | Secure authentication using one-time passwords | |
US20070061566A1 (en) | Tokencode Exchanges for Peripheral Authentication | |
CN104320389B (zh) | 一种基于云计算的融合身份保护系统及方法 | |
US20090300168A1 (en) | Device-specific identity | |
WO2016178088A2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
Namasudra et al. | A new table based protocol for data accessing in cloud computing. | |
CN110535851A (zh) | 一种基于oauth2协议的用户认证系统 | |
JP2015517261A (ja) | マルチパーティシステムにおける安全な認証 | |
KR20110066215A (ko) | 네트워크를 운영하기 위한 방법, 시스템 관리 디바이스, 네트워크 및 이를 위한 컴퓨터 프로그램 | |
CN1901452A (zh) | 用于网络单元认证的多层次和多因素安全证书管理 | |
KR20230018417A (ko) | 하드웨어 기반 인증을 사용하는 산업 제어 시스템에 대한 보안 원격 액세스 | |
EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
KR20030042789A (ko) | 로밍 사용자 인증을 위한 트러스트 모델 | |
Fleischer et al. | Information Assurance for Global Information Grid (GIG) Net-Centric Enterprise Services | |
Tiwari et al. | Securing any business service using authorization delegation based on advanced cryptographic techniques | |
KR20040096079A (ko) | 단순 망 관리 프로토콜(snmp)을 이용하는 네트워크관리 시스템 및 그 네트워크 관리 시스템에서의 정보 교환방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120502 Termination date: 20200129 |
|
CF01 | Termination of patent right due to non-payment of annual fee |