CN101501663A - 一种安全地部署网络设备的方法 - Google Patents
一种安全地部署网络设备的方法 Download PDFInfo
- Publication number
- CN101501663A CN101501663A CNA2006800067363A CN200680006736A CN101501663A CN 101501663 A CN101501663 A CN 101501663A CN A2006800067363 A CNA2006800067363 A CN A2006800067363A CN 200680006736 A CN200680006736 A CN 200680006736A CN 101501663 A CN101501663 A CN 101501663A
- Authority
- CN
- China
- Prior art keywords
- data
- secure
- network equipment
- management
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
根据一种用于安全部署和配置网络设备的方法,在部署的网络设备与注册机之间建立安全引入连接。所述安全引入连接可以遵循诸如HTTPS之类的安全通信协议。所述注册机通过所述安全引入连接向所述网络设备提供引导配置数据。所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接。所述安全管理连接可以遵循安全通信协议,例如IPsec或HTTPS。所述安全管理网关通过所述安全管理连接向所述网络设备提供用户特定的配置数据和安全策略数据。所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立诸如动态多点虚拟网(DMVPN)连接之类的安全数据连接。
Description
技术领域
本发明一般地涉及网络互联,更具体地,本发明涉及一种安全地部署网络设备的方法。
背景技术
在本节中描述的方法可实现的方法,但并不一定是此前构思出的或者实现过的方法。因此,除非另有说明,在本节中描述的方法对于本申请中的权利要求而言可能并不是现有技术,而且,并不因为包含在本节中而承认是现有技术。
部署网络设备的一个问题是,尽管在物理上安装网络设备是相当直接的,可是,所安装的网络设备必须经过配置,而这可能是困难的,而且要求相当高程度的用户知识和参与。例如,配置带诸如虚拟专用网(VPN)之类的安全网络连接的路由器,这对缺乏此类任务经验的最终用户而言,要进行排错可能是相当乏味和困难的。在公司环境下,对部署专业人员而言,在将网络设备安装到其目的地前对其进行手动配置是常见的。尽管这减少了最终用户的负担,但是并没有解决所有问题。在一些情形中,需要尽可能快速并且低成本地布署大量的网络设备。因为手动配置大量网络设备所需要的人力资源,所以使用传统方法进行配置是相当困难的。在手动配置过程中会产生错误,而这需要重新配置某些网络设备。此外,驱策网络设备配置的公司政策往往不是静态的,而且可能会难于期望地变化。因此,公司政策最后一分钟的变化同样要求对已经按照先前公司政策配置的网络设备进行重新配置,这增加了成本,而且导致部署延迟。
基于上述说明,需要一种部署网络设备的方法,其不会受到此前方法的限制。
附图说明
在以下附图中,同样的附图标号指代类似元素。
图1是显示根据本发明实施例而安全部署网络设备的设置的方框图。
图2是显示根据本发明实施例而安全部署路由器的方法的方框图。
图3是可以在其上实现本发明的实施例的计算机系统的方框图。
具体实施方式
在以下说明中,出于说明解释的目的描述了各个特定细节,以便提供对本发明的完整理解。然而,对本领域技术人员而言明显的是,没有这些特定细节也可以实现本发明。在其他情况下,以框图形式示出了公知的结构和设备,以免不必要地模糊了本发明。下面按照以下各节对本发明的各个方面进行描述:
I.概述
II.体系结构
III.安全部署
IV.更新网络设备配置
V.实现机制
I.概述
本发明提供了用于安全地部署和配置网络设备的方法。在被部署的网络设备与注册机之间建立安全引入连接。所述安全引入连接遵循安全通信协议,例如HTTPS。所述注册机通过所述安全引入连接,为所述网络设备提供引导配置数据。所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接。所述安全管理连接可以遵循安全通信协议,例如IPsec或HTTPS。所述安全管理网关通过所述安全管理连接,为所述网络设备提供用户特定的配置数据和安全策略数据。所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。所述安全数据连接可以是动态多点虚拟专用网(DMVPN)连接,其允许在所述网络设备与安全数据网关之间安全地交换诸如语音数据之类的数据。所述方法为诸如路由器之类的网络设备提供安全部署,用户不必了解如何配置所述网络设备的任何细节。此外,安全管理连接的使用允许以受控和安全的方式执行安全性策略。
II.体系结构
图1是显示根据本发明实施例而安全部署网络设备的设置100的方框图。设置100包括路由器102、安全数据网关104、安全管理网关106以及注册机108。路由器102通过通信链路110、112、114分别通信耦合到安全数据网关104、安全管理网关106以及注册机108。通信链路110、112、114可以通过任何机制或介质来实现,其提供路由器102与安全数据网关104、安全管理网关106及注册机108之间的数据交换。具体实例包括但不限于各类网络,诸如局域网(LAN)、广域网(WAN)、以太网或互联网,或者一个或多个陆地、卫星或无线链路。基于特定应用,在图1中各元素之间可以提供其他通信链路和方法。出于解释的目的,此后,对本发明的实施例的描述在部署单个路由器102的上下文中进行。但是,本方法并不限于该上下文,而是可以部署任意类型和数量的网络设备。
路由器102配置有通用Web浏览器116和网络服务(NS)代理118,诸如Cisco NS代理(CNS)。安全数据网关104可以实现为公司路由器,其提供对诸如语音通信服务之类的各类数据服务的访问。安全管理网关106可以由任何机制或处理实现,例如管理路由器,其控制对服务120和安全性策略122的访问。服务120包括诸如Cisco NS(CNS)之类的NS引擎,诸如Cisco IP解决方案中心(ISC)引擎之类的配置和策略引擎,管理(MGMT)服务器,认证、授权和计费(AAA)服务,诸如Cisco IOS之类的网际互联操作系统(IOS),以及诸如服务质量(QOS)之类的IP服务,网络时间协议(NTP)服务和网络地址转换(NAT)服务。安全性策略122包括DMVPN,安全层,公钥基础设施(PKI),防火墙,以及诸如802.x之类的通信协议。图1所示的特定服务120和安全性策略122只作为示例。本发明并不限于这些特定的服务和安全性策略,而是基于特定的应用可以采用其他服务和安全性策略。注册机108是这样的机制或处理,其配置为建立与路由器102的安全引入连接,并为路由器102提供引导配置,以便允许路由器102与安全管理网关106、安全数据网关104这两者之间的通信。此外,注册机具有对服务120和安全性策略122访问。以下对图1所示各元件的操作作详细描述。
III.安全部署
参照图2,在部署路由器102的上下文下,对安全部署网络设备的方法进行说明。假设在所述处理开始前,路由器102已经定购而且正确地安装。在步骤202,路由器102配置有互联网服务供应商(ISP)连接。
在步骤204,在路由器102与注册机108之间建立安全引入连接。基于特定实现方式的需求,可以采用多种技术以便在路由器102与注册机108之间建立所述安全引入连接。例如,可以使用利用所谓“带外(out ofband)”方法的方法,来交换关键资料。也可以使用几乎不要求用户互动的方法。使用受信中介的方法在于2003年4月10日提交的共同未决美国专利申请No.10/411,964(代理卷号No.50325-0746)有具体说明,该申请标题为“Method And Apparatus For Securely Exchanging CryptographicIdentities Through A Mutually Trusted Intermediary(通过互信中介安全地交换密码实体的方法和装置)”,其完整内容在此以参考的方式引入本申请。
根据本发明一个实施例,用户将注册机108的ULR输入Web浏览器116,Web浏览器116发出简单证书注册协议(SCEP)请求到注册机108。注册机108以用户认证请求作为答复。根据本发明一个实施例,注册机108提供Web页面给路由器102,其要求用户输入用户名及密码。用户输入用户名及密码,其通过Web浏览器116被发送到注册机108。
在步骤206,路由器102的用户得到认证,路由器102被注册机108授权。例如,注册机108可以访问AAA服务120以便基于由用户提供的用户名和密码对用户进行认证。
在步骤208,创建引导配置数据,并提供给路由器102。根据本发明一个实施例,注册机108发出公共网关接口(CGI)请求到在服务120内的管理服务器上执行的Java小服务程序。所述Java小服务程序基于所述CGI请求,生成对路由器102特定的所述引导配置数据,并且实例化包含在所述引导配置数据中的一个或多个变量。例如,所述Java小服务程序可以按照公司政策惯例,实例化路由器102的主机名,以及路由器102的子网及管理IP地址。所述Java小服务程序为注册机108提供所述引导配置数据。注册机108也可以实例化包含在所述引导配置数据中的一个或多个变量。例如,注册机108可以实例化密钥(key)的大小、信任点(trustpoint)标签以及加密Web用户接口(WUI)引擎标签。注册机108然后通过所述安全引入连接,为路所述由器102提供引导配置数据。
在步骤210,基于所述引导配置数据,在路由器102与安全管理网关106之间建立安全管理连接。所述安全管理连接可以遵循安全通信协议,例如IPsec或HTTPS。以太网加密模式,传输或隧道(tunneling),可以与IPsec一同使用。所述安全管理连接提供了传统上路由器102与注册机108之间的所述安全引入连接不支持的功能。例如,所述安全管理连接允许以受控和安全的方式将安全性策略122推入路由器102。根据本发明一个实施例,在路由器102上激活NS代理118,其引起“连接”事件以便指明所述安全管理连接112已被建立。所述“连接”事件被服务120内的所述NS引擎服务处理。
在步骤212,创建用户特定的配置数据,并通过所述安全管理连接,将其与安全性策略由安全管理网关106提供到路由器102。所述用户特定配置数据和安全策略包括路由器102用于创建到所述安全数据网关104的所述安全数据连接所需要的数据。例如,这可以包括关于隧道、封装、安全层、PKI、防火墙或诸如802.X之类的通信协议的信息。
在步骤214,基于所述用户特定的配置数据和安全策略,在路由器102与安全数据网关104之间建立安全数据连接。所述安全数据连接允许在路由器102与安全数据网关104之间安全地交换数据。根据本发明一个实施例,所述安全数据连接是DMVPN连接。在这种情况下,通过所述安全管理连接提供到路由器102的所述用户特定的配置数据和安全策略包括允许路由器102建立到安全数据网关104的DMVPN连接的信息。在所述安全数据连接是DMVPN连接的上下文中,安全管理网关106是管理集线器,安全数据网关104是数据集线器。
IV.更新网络设备配置
这里所述安全部署网络设备的方法也允许所部署的网络设备的配置能随时间被动态地更新。分离的安全管理连接及安全数据连接的使用允许使用所述安全管理连接的对网络设备的配置进行变动、而不会妨碍所述安全数据连接。例如,假设路由器102已经按照这里所述被部署。进一步假设对一个或多个安全性策略122进行变动以便改变当前加密。所述ISC引擎服务可以通过所述安全管理连接将所更新的策略推入路由器102,而不会妨碍所述安全数据连接。如果在所述ISC引擎服务试图将所更新的策略推入路由器102的时候路由器102并不可用,则所述ISC引擎服务可以在另一时间将所更新的策略推入路由器102,例如通过重新调度。
分离的安全管理连接及安全数据连接的使用,还允许多个网络设备的集中管理。例如,安全管理网关106可以是具有到多个网络设备的安全管理连接的集中管理中心。在这个例子中,所述集中管理中心可以远程地管理位于用户附件的任意数目的网络设备。所述安全管理连接也可以提供分离及安全的方式,来以对客户最少的干扰,进入客户设施(premises)。
可以基于多个因素,确定何时更新网络设备的配置。例如,所述NS引擎服务可以调度路由器102的配置更新。也可以作为对NS代理118在路由器102引发的某事件的响应,执行所述更新。例如,NS代理118可以触发由所述NS引擎服务处理的更新请求事件。
V.实现机制
这里所述的用于安全部署网络设备的方法提供了以下优点:用户不必了解诸如特定配置参数或政策之类的配置网络设备的任何细节。此外,用户不必安排网络设备的配置,因为所述方法允许由服务120自动地执行该任务。分离的安全管理连接及安全数据连接的使用在对所述安全数据连接最小干扰的情况下管理任意数目的网络设备方面提供了极大的灵活性。
可以以任何类型计算平台上的硬件、计算机软件、或硬件和计算机软件的任何结合来实现这里所述的方法。图3是显示可以在其上实现本发明的实施例的示例计算机系统300的方框图。计算机系统300包括总线302或用于传输信息的其他通信机制,以及与所述总线302耦合、用于处理信息的处理器304。计算机系统300还包括诸如随机访问存储器(RAM)或其他动态存储设备之类的主存储器306,其耦合到总线302、用于保存信息和要由处理器304执行的指令。主存储器306还可以用于在对要由处理器304执行的指令的执行期间,保存临时变量或其他中间信息。计算机系统300还包括只读存储器(ROM)308或者其他静态存储设备,用于存储用于处理器304的静态信息和指令。提供诸如磁盘或光盘之类的存储设备310,耦合到总线302,用于保存信息和指令。
计算机系统300可以经由总线302被耦合到诸如阴极射线管(CRT)之类的显示器312,用于将信息显示给计算机用户。包含字母数字和其他键的输入设备314被耦合到总线302,用于将信息和命令选择传输到处理器304。另一类型的用户输入设备是光标控制设备316,诸如鼠标、轨迹球、或光标方向键,其用于将方向信息和命令选择传输到处理器304,以及控制显示器312上的光标移动。这类输入设备通常具有两个轴(第一轴(例如,x)和第二轴(例如,y))上的两个自由度,其允许该设备确定平面内的位置。
本发明涉及对用于实现这里所述技术的计算机系统300的使用。根据本发明一个实施例,这些技术由计算机系统300响应于处理器304执行包含在主存储器306内的一条或多条指令的一个或多个序列而执行。这些指令可以由诸如存储设备310之类的其他机器可读介质读入主存储器306。对包含在主存储器306内的指令的序列的执行使得处理器304执行这里所述的处理步骤。在可选实施例中,硬连线电路可以用于代替软件指令或者与软件指令组合使用,以便实现本发明。因此,本发明的各实施例并不限于硬件电路和软件的任何特定组合。
这里所使用的术语“机器可读介质”指任何下述介质,所述介质参与提供导致机器以特定方式执行操作的数据。例如,在使用计算机系统300实现的实施例中,各类机器可读介质参与例如提供指令到处理器304用于执行。这样的介质可以采取任何形式,包括但不限于非易失性介质、易失性介质以及传输介质。非易失性介质包括例如光盘或磁盘,诸如存储设备310。易失性介质包括动态存储器,诸如主存储器306。传输介质包括同轴电缆、铜线以及光纤,包括组成总线302的线路。传输介质还可以采用声波或光波的形式,诸如在无线电波和红外数据通信中产生的各类波。
机器可读介质的常见形式包括例如软盘、柔性盘、硬盘、磁带、或其他磁介质,CD-ROM、任何其他光介质,穿孔卡、纸带、任何其他带孔状图案的物理介质,RAM、PROM、EPROM、FLASH-EPROM、任何其他存储器芯片或者卡带,以下描述的载波,、或计算机可读的任何其他介质。
机器可读介质的各种形式可以参与将一条或多条指令的一个或多个序列传输到处理器304用于执行。例如,这些这里可以最先载于远端计算机的磁盘。所述远端计算机可以将这些这里加载到自己的动态存储器,并使用调制解调器通过电话线发送这些指令。计算机系统300本地的调制解调器可以接收电话线上的数据,并使用红外发射机将该数据转为红外信号。红外探测器可以接收在所述红外信号里承载的数据,并且合适的电路可以将该数据置于总线302上。总线302将所述数据传输到主存储器306,处理器304从主存储器306获取并执行这些指令。主存储器306接收的这些指令可以可选地在处理器304执行之前或之后被保存在存储设备310。
计算机系统300还包括耦合到总线302的通信接口318。通信接口318提供耦合到网络连接320的双向数据通信,网络连接320连接到本地网322。例如,通信接口318可以是综合业务数字网(ISDN)卡或调制解调器,以便提供到相应类型电话线的数据通信连接。作为另一例子,通信接口318可以是局域网(LAN)卡,以便提供到兼容的LAN的数据通信连接。也可以实现无线链路。在任何这样的实现方式中,通信接口318发送并接收电子、电磁或光信号,这些信号其承载代表各类信息的数字数据流。
网络连接320通常提供通过一个或多个网络到其他数据设备的数据通信。例如,网络连接320可以提供通过本地网322到主机324或到由互联网服务提供商(ISP)326运营的数据设备的连接。ISP326随之通过现在称为“互联网”的全球分组数据通信网络提供数据通信服务。本地网322和互联网328都使用承载数字数据流的电、电磁或光信号。这些通过各类网络的信号,以及在网络连接320上、通过通信接口318的信号都承载去往和来自计算机系统300的数字数据,这些信号都是传输信息的各类载波的示例。
计算机系统300可以通过(一个或多个)网络、网络连接320和通信接口318发送消息并接收数据,所述数据包括程序代码。在互联网的例子中,服务器330可以通过互联网328、ISP 326、本地网322和通信接口318发送所请求的应用程序代码。所接收的代码可以在被处理器304接收时执行,和/或保存在存储设备310或其他非易失性存储中,用于以后执行。通过这种方式,计算机系统300可以以载波的形式获得应用程序代码。
在前述说明书中,参考随实现方式而变的大量特定细节,对本发明的各实施例进行了说明。因此,本发明的(并且也是申请人所期望的)唯一并排他的指示是提交本申请时提交的处于权利要求书的特定形式的权利要求集合,并且包括任何后续修改。由此,未在权利要求中明确引用的限定、元素、属性、特征、优点或特性不应当以任何方式限制该权利要求的范围。相应地,说明书和附图应当被认为是说明性的而非限制性的。
Claims (36)
1.一种用于部署网络设备的计算机实现的方法,所述计算机实现的方法包括:
在所述网络设备与注册机之间建立安全引入连接;
所述注册机通过所述安全引入连接,向所述网络设备提供引导配置数据,其中,所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接;以及
所述安全管理网关通过所述安全管理连接,向所述网络设备提供用户特定的配置数据和安全策略数据;其中,所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。
2.如权利要求1所述的计算机实现的方法,其中,所述安全引入连接遵循HTTPS通信协议。
3.如权利要求1所述的计算机实现的方法,其中,所述安全管理连接遵循IPsec通信协议和HTTPS通信协议中两者之一。
4.如权利要求1所述的计算机实现的方法,其中,所述安全数据连接是动态多点VPN(DMVPN)连接。
5.如权利要求1所述的计算机实现的方法,其中,所述安全管理连接遵循IPsec通信协议,而且,所述安全数据连接是动态多点VPN(DMVPN)连接。
6.如权利要求1所述的计算机实现的方法,还包括:所述注册机从在所述网络设备上执行的Web浏览器接收简单证书注册协议(SCEP)请求,所述请求遵循HTTPS通信协议。
7.如权利要求1所述的计算机实现的方法,还包括:使网络互联服务代理在所述网络设备上实例化;
所述安全管理网关从在所述网络设备上实例化的所述网络互联服务代理接收指明所述安全管理连接已经建立的数据;以及
所述安全管理网关向网络互联服务引擎提供数据以进行处理。
8.如权利要求1所述的计算机实现的方法,还包括:所述安全管理网关通过所述安全管理连接向所述网络设备提供更新后的用户特定配置数据和安全策略数据,其中,所述更新后的用户特定配置数据和安全策略数据使所述安全管理连接能够被更新。
9.如权利要求1所述的计算机实现的方法,其中,所述网络设备是路由器,所述安全管理网关是管理路由器,以及,所述安全数据网关是公司路由器。
10.一种用于部署网络设备的计算机可读介质,所述计算机可读介质承载有指令,当一个或多个处理器执行所述指令时,使得:
在所述网络设备与注册机之间建立安全引入连接;
所述注册机通过所述安全引入连接向所述网络设备提供引导配置数据,其中,所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接;以及
所述安全管理网关通过所述安全管理连接向所述网络设备提供用户特定的配置数据和安全策略数据;其中,所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。
11.如权利要求10所述的计算机可读介质,其中,所述安全引入连接遵循HTTPS通信协议。
12.如权利要求10所述的计算机可读介质,其中,所述安全管理连接遵循IPsec通信协议和HTTPS通信协议中两者之一。
13.如权利要求10所述的计算机可读介质,其中,所述安全数据连接是动态多点VPN(DMVPN)连接。
14.如权利要求10所述的计算机可读介质,其中,所述安全管理连接遵循IPsec通信协议,而且,所述安全数据连接是动态多点VPN(DMVPN)连接。
15.如权利要求10所述的计算机可读介质,还包括额外的指令,当一个或多个处理器执行所述额外的指令时,使得所述注册机从在所述网络设备上执行的Web浏览器接收简单证书注册协议(SCEP)请求,所述请求遵循HTTPS通信协议。
16.如权利要求10所述的计算机可读介质,还包括额外的指令,当一个或多个处理器执行所述额外的指令时,使得:
使网络互联服务代理在所述网络设备上实例化;
所述安全管理网关从在所述网络设备上实例化的所述网络互联服务代理接收指明所述安全管理连接已经建立的数据;以及
所述安全管理网关向网络互联服务引擎提供数据以进行处理。
17.如权利要求10所述的计算机可读介质,还包括额外的指令,当一个或多个处理器执行所述额外的指令时,使得所述安全管理网关通过所述安全管理连接向所述网络设备提供更新后的用户特定配置数据和安全策略数据,其中,所述更新后的用户特定配置数据和安全策略数据使所述安全管理连接能够被更新。
18.如权利要求10所述的计算机可读介质,其中,所述网络设备是路由器,所述安全管理网关是管理路由器,以及,所述安全数据网关是公司路由器。
19.一种用于部署网络设备的装置,所述装置包括存储有指令的存储器,当一个或多个处理器执行所述指令时,使得:
在所述网络设备与注册机之间建立安全引入连接;
所述注册机通过所述安全引入连接向所述网络设备提供引导配置数据,其中,所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接;以及
所述安全管理网关通过所述安全管理连接向所述网络设备提供用户特定的配置数据和安全策略数据;其中,所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。
20.如权利要求19所述的装置,其中,所述安全引入连接遵循HTTPS通信协议。
21.如权利要求19所述的装置,其中,所述安全管理连接遵循IPsec通信协议和HTTPS通信协议中两者之一。
22.如权利要求19所述的装置,其中,所述安全数据连接是动态多点VPN(DMVPN)连接。
23.如权利要求19所述的装置,其中,所述安全管理连接遵循IPsec通信协议,而且,所述安全数据连接是动态多点VPN(DMVPN)连接。
24.如权利要求19所述的装置,其中,所述存储器还存储额外的指令,当一个或多个处理器执行所述额外指令时,使得所述注册机从在所述网络设备上执行的Web浏览器接收简单证书注册协议(SCEP)请求,所述请求遵循HTTPS通信协议。
25.如权利要求19所述的装置,其中,所述存储器还存储额外的指令,当一个或多个处理器执行所述额外的指令时,使得:
使网络互联服务代理在所述网络设备上实例化;
所述安全管理网关从在所述网络设备上实例化的所述网络互联服务代理接收指明所述安全管理连接已经建立的数据;以及
所述安全管理网关从网络互联服务引擎提供数据以进行处理。
26.如权利要求19所述的装置,其中,所述存储器还存储额外的指令,当一个或多个处理器执行所述额外的指令时,使得所述安全管理网关通过所述安全管理连接向所述网络设备提供更新后的用户特定配置数据和安全策略数据,其中,所述更新后的用户特定配置数据和安全策略数据使所述安全管理连接得以更新。
27.如权利要求19所述的装置,其中,所述网络设备是路由器,所述安全管理网关是管理路由器,以及,所述安全数据网关是公司路由器。
28.一种用于部署网络设备的装置,所述装置包括:
用于在所述网络设备与注册机之间建立安全引入连接的装置;
用于所述注册机通过所述安全引入连接向所述网络设备提供引导配置数据的装置,其中,所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接;以及
用于所述安全管理网关通过所述安全管理连接向所述网络设备提供用户特定的配置数据和安全策略数据的装置;其中,所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。
29.如权利要求28所述的装置,其中,所述安全引入连接遵循HTTPS通信协议。
30.如权利要求28所述的装置,其中,所述安全管理连接遵循IPsec通信协议和HTTPS通信协议中两者之一。
31.如权利要求28所述的装置,其中,所述安全数据连接是动态多点VPN(DMVPN)连接。
32.如权利要求28所述的装置,其中,所述安全管理连接遵循IPsec通信协议,而且,所述安全数据连接是动态多点VPN(DMVPN)连接。
33.如权利要求28所述的装置,还包括使得所述注册机从在所述网络设备上执行的Web浏览器接收简单证书注册协议(SCEP)请求的装置,所述请求遵循HTTPS通信协议。
34.如权利要求28所述的装置,还包括用于以下过程的装置:
使网络互联服务代理在所述网络设备上实例化;
所述安全管理网关从在所述网络设备上实例化的所述网络互联服务代理接收指明所述安全管理连接已经建立的数据;以及
所述安全管理网关向网络互联服务引擎提供数据以进行处理。
35.如权利要求28所述的装置,还包括用于使得所述安全管理网关通过所述安全管理连接向所述网络设备提供更新后的用户特定配置数据和安全策略数据的装置,其中,所述更新后的用户特定配置数据和安全策略数据使所述安全管理连接得以更新。
36.如权利要求28所述的装置,其中,所述网络设备是路由器,所述安全管理网关是管理路由器,以及,所述安全数据网关是公司路由器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/112,948 | 2005-04-22 | ||
| US11/112,948 US7748035B2 (en) | 2005-04-22 | 2005-04-22 | Approach for securely deploying network devices |
| PCT/US2006/011386 WO2006115677A2 (en) | 2005-04-22 | 2006-03-28 | Approach for securely deploying network devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101501663A true CN101501663A (zh) | 2009-08-05 |
| CN101501663B CN101501663B (zh) | 2011-05-18 |
Family
ID=37188643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680006736.3A Active CN101501663B (zh) | 2005-04-22 | 2006-03-28 | 一种安全地部署网络设备的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7748035B2 (zh) |
| EP (1) | EP1872244A4 (zh) |
| CN (1) | CN101501663B (zh) |
| WO (1) | WO2006115677A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102467632A (zh) * | 2010-11-19 | 2012-05-23 | 奇智软件(北京)有限公司 | 一种浏览器隔离使用的方法 |
| CN103297461A (zh) * | 2012-02-28 | 2013-09-11 | 中国移动通信集团公司 | Nat会话保活时长设置方法以及客户端和服务器 |
| WO2015035935A1 (en) * | 2013-09-12 | 2015-03-19 | Huawei Technologies Co., Ltd. | System and method for virtual user-specific service gateways |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| CN110838931A (zh) * | 2018-08-17 | 2020-02-25 | 上海诺基亚贝尔股份有限公司 | 用于通信系统中自动配置的方法、设备及计算机可读介质 |
| CN113678406A (zh) * | 2019-04-30 | 2021-11-19 | 思科技术公司 | 多结构部署和管理平台 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8326951B1 (en) | 2004-06-05 | 2012-12-04 | Sonos, Inc. | Establishing a secure wireless network with minimum human intervention |
| US8275115B1 (en) * | 2004-10-12 | 2012-09-25 | Live Ops, Inc. | System and method for securing data exchanged during a telephone call |
| US8214880B1 (en) * | 2006-06-22 | 2012-07-03 | Verizon Patent And Licensing Inc. | Methods and systems for securely configuring a network device |
| JP5318111B2 (ja) * | 2007-10-24 | 2013-10-16 | ラントロニクス・インコーポレイテツド | リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置 |
| EP2239659A1 (en) * | 2009-04-09 | 2010-10-13 | Siemens Aktiengesellschaft | A network device and a system thereof |
| US8341250B2 (en) * | 2009-05-30 | 2012-12-25 | Cisco Technology, Inc. | Networking device provisioning |
| WO2011023228A1 (en) * | 2009-08-27 | 2011-03-03 | Nokia Siemens Networks Oy | Identity management system |
| US8683547B2 (en) * | 2009-10-28 | 2014-03-25 | Liveops, Inc. | System and method for implementing adaptive security zones |
| JP2013523043A (ja) | 2010-03-22 | 2013-06-13 | エルアールディシー システムズ、エルエルシー | ソースデータセットの完全性を識別及び保護する方法 |
| US9667483B2 (en) * | 2010-12-23 | 2017-05-30 | Koninklijke Kpn N.V. | Method, gateway device and network system for configuring a device in a local area network |
| DE102011082489A1 (de) * | 2011-09-12 | 2013-03-14 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur gesicherten Veränderung einer Konfigurationseinstellung eines Netzwerkgerätes |
| US8606933B1 (en) | 2011-09-14 | 2013-12-10 | Google Inc. | Selective pairing of devices using short-range wireless communication |
| US8763094B1 (en) * | 2011-09-14 | 2014-06-24 | Google Inc. | Network configuration and authorization |
| EP2587715B1 (en) | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Assisted certificate enrollment |
| US8745378B1 (en) * | 2012-03-12 | 2014-06-03 | Certified Security Solutions, Inc. | System and method for validating SCEP certificate enrollment requests |
| US9258295B1 (en) | 2012-08-31 | 2016-02-09 | Cisco Technology, Inc. | Secure over-the-air provisioning for handheld and desktop devices and services |
| US8843741B2 (en) | 2012-10-26 | 2014-09-23 | Cloudpath Networks, Inc. | System and method for providing a certificate for network access |
| US10303422B1 (en) | 2016-01-05 | 2019-05-28 | Sonos, Inc. | Multiple-device setup |
| US10552615B2 (en) | 2016-02-18 | 2020-02-04 | Swimlane Llc | Threat response systems and methods |
| US10848524B2 (en) | 2018-02-23 | 2020-11-24 | Cisco Technology, Inc. | On-demand security association management |
| CN110324159B (zh) * | 2018-03-28 | 2020-11-03 | 华为技术有限公司 | 链路配置方法、控制器和存储介质 |
| US11233647B1 (en) * | 2018-04-13 | 2022-01-25 | Hushmesh Inc. | Digital identity authentication system |
| EP3557837A1 (de) * | 2018-04-17 | 2019-10-23 | Siemens Aktiengesellschaft | Bereitstellung von sicherheitskonfigurationsdaten einer zugangsverbindung |
| US11290491B2 (en) * | 2019-03-14 | 2022-03-29 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6115752A (en) * | 1998-05-21 | 2000-09-05 | Sun Microsystems, Inc. | System and method for server selection for mirrored sites |
| EP1143665B1 (en) * | 1999-06-10 | 2007-01-03 | Alcatel Internetworking, Inc. | Unified policy management system and method with integrated policy enforcer |
| US8271336B2 (en) | 1999-11-22 | 2012-09-18 | Accenture Global Services Gmbh | Increased visibility during order management in a network-based supply chain environment |
| US6836888B1 (en) * | 2000-03-17 | 2004-12-28 | Lucent Technologies Inc. | System for reverse sandboxing |
| AU2002234258A1 (en) * | 2001-01-22 | 2002-07-30 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| FI20010596A0 (fi) | 2001-03-22 | 2001-03-22 | Ssh Comm Security Oyj | Turvallisuusjärjestelmä tietoliikenneverkkoa varten |
| US7313819B2 (en) | 2001-07-20 | 2007-12-25 | Intel Corporation | Automated establishment of addressability of a network device for a target network environment |
| US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
| US7451305B1 (en) | 2003-04-10 | 2008-11-11 | Cisco Technology, Inc. | Method and apparatus for securely exchanging cryptographic identities through a mutually trusted intermediary |
| US7673021B2 (en) * | 2004-02-12 | 2010-03-02 | Cisco Technology, Inc. | Automated provisioning of phones in packet voice networks |
| US7577130B2 (en) * | 2005-02-18 | 2009-08-18 | Microsoft Corporation | SyncML based OMA connectivity object to provision VPN connections |
| US7724732B2 (en) * | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
-
2005
- 2005-04-22 US US11/112,948 patent/US7748035B2/en active Active
-
2006
- 2006-03-28 CN CN200680006736.3A patent/CN101501663B/zh active Active
- 2006-03-28 EP EP06739890A patent/EP1872244A4/en not_active Withdrawn
- 2006-03-28 WO PCT/US2006/011386 patent/WO2006115677A2/en active Application Filing
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102467632A (zh) * | 2010-11-19 | 2012-05-23 | 奇智软件(北京)有限公司 | 一种浏览器隔离使用的方法 |
| CN103297461A (zh) * | 2012-02-28 | 2013-09-11 | 中国移动通信集团公司 | Nat会话保活时长设置方法以及客户端和服务器 |
| CN103297461B (zh) * | 2012-02-28 | 2016-05-25 | 中国移动通信集团公司 | Nat会话保活时长设置方法以及客户端和服务器 |
| WO2015035935A1 (en) * | 2013-09-12 | 2015-03-19 | Huawei Technologies Co., Ltd. | System and method for virtual user-specific service gateways |
| US9924455B2 (en) | 2013-09-12 | 2018-03-20 | Huawei Technologies Co., Ltd. | System and method for virtual user-specific service gateways |
| US10257777B2 (en) | 2013-09-12 | 2019-04-09 | Huawei Technologies Co., Ltd. | System and method for virtual user-specific service gateways |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| CN110838931A (zh) * | 2018-08-17 | 2020-02-25 | 上海诺基亚贝尔股份有限公司 | 用于通信系统中自动配置的方法、设备及计算机可读介质 |
| CN110838931B (zh) * | 2018-08-17 | 2022-12-06 | 上海诺基亚贝尔股份有限公司 | 用于通信系统中自动配置的方法、设备及计算机可读介质 |
| CN113678406A (zh) * | 2019-04-30 | 2021-11-19 | 思科技术公司 | 多结构部署和管理平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7748035B2 (en) | 2010-06-29 |
| EP1872244A2 (en) | 2008-01-02 |
| US20060242695A1 (en) | 2006-10-26 |
| WO2006115677A3 (en) | 2009-04-16 |
| WO2006115677A2 (en) | 2006-11-02 |
| CN101501663B (zh) | 2011-05-18 |
| EP1872244A4 (en) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101501663B (zh) | 一种安全地部署网络设备的方法 | |
| US9473496B2 (en) | Dynamically mapping network trust relationships | |
| US10015046B2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
| US7219223B1 (en) | Method and apparatus for providing data from a service to a client based on encryption capabilities of the client | |
| US7849495B1 (en) | Method and apparatus for passing security configuration information between a client and a security policy server | |
| US7302487B2 (en) | Security system for a data communications network | |
| CN100499506C (zh) | 用于配置管理通道的计算机化的系统与方法 | |
| JP4648148B2 (ja) | 接続支援装置 | |
| US7848335B1 (en) | Automatic connected virtual private network | |
| CN102257788B (zh) | 用于向应用和服务提供网络通信关联信息的方法和装置 | |
| US20070271453A1 (en) | Identity based flow control of IP traffic | |
| US20070094273A1 (en) | System topology for secure end-to-end communications between wireless device and application data source | |
| US20050135269A1 (en) | Automatic configuration of a virtual private network | |
| US20240089203A1 (en) | System and method for automatic appliance configuration and operability | |
| CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| JP2006229265A (ja) | ゲートウェイシステム | |
| US11856117B1 (en) | Autonomous distributed wide area network having control plane and order management on a blockchain | |
| JP4932187B2 (ja) | ネットワークおよびその管理方法 | |
| JP2002281093A (ja) | ネットワークに適用するプロファイル配信方法及びネットワークシステム | |
| JP2012034259A (ja) | トンネル終端システム、トンネル終端方法、トンネル終端制御装置、トンネル終端制御方法およびそのプログラム | |
| WO2010004354A1 (en) | Key management in an access network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |