CN101599831B - 一种通信网络安全管理方法及系统 - Google Patents
一种通信网络安全管理方法及系统 Download PDFInfo
- Publication number
- CN101599831B CN101599831B CN2008101106328A CN200810110632A CN101599831B CN 101599831 B CN101599831 B CN 101599831B CN 2008101106328 A CN2008101106328 A CN 2008101106328A CN 200810110632 A CN200810110632 A CN 200810110632A CN 101599831 B CN101599831 B CN 101599831B
- Authority
- CN
- China
- Prior art keywords
- function group
- management
- communication network
- network security
- management function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种通信网络安全管理系统及方法,该系统中的管理者接口功能组,用于接收管理者发送的登录请求,将其通过通信接口功能组的通信接口发送到管理者帐户管理功能组请求进行身份认证,并接收返回的身份认证结果和管理者的访问权限;将经过身份认证的管理者有权限发送的管理命令通过上述通信接口调用发送到该管理命令对应的管理实体或安全管理功能组;管理者帐户管理功能组对接收到的登录请求所对应的管理者进行身份认证,并向配置管理功能组发送查询管理者的访问权限的请求,将身份认证结果以及访问权限查询结果发送给管理者接口功能组;配置管理功能组在接收到查询访问权限的请求后查询管理者的访问权限,并将查询结果返回给管理者帐户管理功能组。
Description
技术领域
本发明涉及一种通信网络安全管理方法及系统。
背景技术
NGN(Next Generation Network,下一代网络)是一种基于数据包的网络,提供基于高带宽、QoS(Quality of Service,服务质量)保证传送技术的通信服务,其业务相关的功能与传送技术是相互独立的。
随着NGN的应用和发展,需要一种基于NGN基本架构的安全管理方法及系统,这种方法及系统必须独立于具体实现技术(即独立于被管理的对象的具体体系结构)。
现有的通信网络安全管理方法及系统,有的不能将安全管理方法和功能单元与实现技术分离,其实现受具体的实现技术限制;有的局限于某一应用平面,即用户平面(User Plane),信令和控制平面(Signalling and ControlPlane),管理平面(Management Plane)之一,不能在所有应用平面应用。这些安全管理方法都不适合在NGN网络中应用。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种可同时应用于NGN的用户平面、信令和控制平面、和管理平面的通信网络安全管理方法及系统。
为了解决上述问题,本发明提供一种通信网络安全管理系统,用于对通信网络中的管理实体进行管理,该通信网络安全管理系统包含多个安全管理功能组:管理者接口功能组(101),通信接口功能组(102),管理者帐户管理功能组(103),配置管理功能组(104);其中:
所述管理者接口功能组(101),用于接收管理者发送的登录请求,将该登录请求通过所述通信接口功能组(102)的通信接口发送到所述管理者帐户管理功能组(103)请求进行身份认证,并接收所述管理者帐户管理功能组(103)返回的身份认证结果和所述管理者的访问权限;将经过身份认证的管理者有权限发送的管理命令通过所述通信接口功能组(102)的通信接口调用发送到该管理命令的目标资源编号对应的管理实体或安全管理功能组;
所述管理者帐户管理功能组(103),用于对接收到的所述登录请求所对应的管理者进行身份认证,并向所述配置管理功能组(104)发送查询所述管理者的访问权限的请求,将身份认证结果以及所述配置管理功能组(104)返回的访问权限查询结果发送给所述管理者接口功能组(101);
所述配置管理功能组(104),用于在接收到所述查询访问权限的请求后查询所述管理者的访问权限,并将查询结果返回给所述管理者帐户管理功能组(103);
所述配置管理功能组(104)还用于为所述通信网络安全管理系统的各安全管理功能组和所述管理实体分配资源编号。
此外,所述通信网络安全管理系统还包含:安全管理信息库(105),用于存储:管理者的帐户信息、管理者对各安全管理功能组的访问权限信息、管理者对各管理实体的访问权限信息;
所述管理者帐户管理功能组(103)通过在所述安全管理信息库(105)中查询是否包含所述管理者的帐户信息来进行所述身份认证;
所述配置管理功能组(104)从所述安全管理信息库(105)中查询所述管理者的访问权限。
此外,所述安全管理信息库(105)是采用美国国家标准化协会-结构化查询语言,和/或轻量级目录访问协议访问的数据库。
此外,所述通信网络安全管理系统还包含:安全信息管理功能组(106),用于提供对所述安全管理信息库(105)进行存取操作的接口;
所述管理者帐户管理功能组(103)和配置管理功能组(104)通过所述安全信息管理功能组(106)对所述安全管理信息库(105)进行所述查询操作。
此外,所述通信接口功能组(102)提供了符合国际电信联合会电信标准化分会M.3016.1所定义通信架构或协议的通信接口;
所述管理者接口功能组(101)与所述管理者帐户管理功能组(103)和所述管理实体之间、采用所述通信接口功能组(102)提供的所述通信接口进行交互。
此外,所述管理者接口功能组(101)的功能与所述通信网络安全管理系统中的其它功能组采用符合国际电信联合会电信标准化分会M.3016.1所定义的通信架构或协议进行通信;
所述管理者帐户管理功能组(103)与所述通信网络安全管理系统中的其它功能组采用符合国际电信联合会电信标准化分会M.3016.1所定义的通信架构或协议进行通信;
所述配置管理功能组(104)与所述通信网络安全管理系统中的其它功能组采用符合国际电信联合会电信标准化分会M.3016.1所定义的通信架构或协议进行通信。
此外,所述配置管理功能组(104)在系统初始化时,按照电信管理论坛定义的共享信息数据方式为所述通信网络安全管理系统的各安全管理功能组和所述管理实体分配所述资源编号。
此外,所述管理者经过所述身份认证后,通过所述管理者接口功能组(101)调用所述通信网络安全管理系统内该管理者有权限调用的其它功能。
本发明还提供一种通信网络安全管理方法,应用与对管理实体进行管理的通信网络安全管理系统中,该方法包括:
管理者成功登录到所述通信网络安全管理系统后,通过所述通信网络安全管理系统的管理者接口功能组(101)发送管理命令;所述管理命令中包含该命令的接收方的资源编号;
所述管理者接口功能组(101)将所述管理者有权限发送的管理命令发送到所述通信网络安全管理系统的通信接口功能组(102);
所述通信接口功能组(102)根据所述资源编号将所述管理命令发送至对应的接收方;
所述接收方包括:所述管理实体,对所述管理实体进行管理的所述通信网络安全管理系统的功能组;
所述资源编号为所述通信网络安全管理系统初始化时为所述接收方分配的标识符。
此外,所述管理者按照如下方法登录到所述通信网络安全管理系统:
A:所述管理者通过所述管理者接口功能组(101)发送登录请求;
B:所述管理者接口功能组(101)通过所述通信接口功能组(102)的通信接口,将所述登录请求发送至所述通信网络安全管理系统的管理者帐户管理功能组(103);
C:所述管理者帐户管理功能组(103)提取所述登录请求中包含的帐户信息,并通过在安全管理信息库(105)中查询是否存在该帐户信息对其进行身份认证;
D:所述管理者帐户管理功能组(103)将身份认证的结果包含在登录应答中,通过所述通信接口功能组(102)的通信接口发送给所述所述管理者接口功能组(101)。
此外,步骤C和D之间还包括如下步骤:
C1:所述身份认证通过后,所述管理者帐户管理功能组(103)将所述帐户信息发送给所述通信网络安全管理系统的配置管理功能组(104);
C2:所述配置管理功能组(104)从所述通信网络安全管理系统的安全管理信息库(105)中获取与所述帐户信息对应的访问权限信息,并将其发送给所述管理者帐户管理功能组(103);
步骤D中,所述管理者帐户管理功能组(103)将所述访问权限信息包含在所述登录应答中发送给所述管理者接口功能组(101);
所述管理者接口功能组(101)根据所述访问权限信息判断所述管理者是否有权限发送所述管理命令。
此外,所述通信接口功能组(102)提供了符合国际电信联合会电信标准化分会M.3016.1所定义通信架构或协议的通信接口;
所述管理者接口功能组(101)与所述接收方之间采用所述通信接口功能组(102)提供的所述通信接口进行交互。
此外,所述资源编号为所述通信网络安全管理系统初始化时,按照电信管理论坛定义的共享信息数据方式为所述接收方分配的标识符。
由上可知,本发明提供的通信网络安全管理系统的系统构架以及各安全管理功能组独立于具体的实现技术,通过在该管理系统内部的各安全管理功能组之间、管理系统和外部管理实体的交互使用标准的通信方式(符合ITU-TM.3016.1),对管理系统内部的安全管理功能组和所管理的管理实体采用标准的资源共享方法(如TMF SID)进行统一标识,使得本系统的各安全管理功能组可以分布式部署,并应用到通信网络的各种安全管理场合,解决了原有系统不能同时应用于多种应用平面的问题。
附图说明
图1是本发明实施例通信网络安全管理系统的结构示意图;
图2是本发明实施例通信网络安全管理系统的各安全管理功能组之间的逻辑和数据连接关系示意图;
图3为本发明实施例通信网络安全管理系统的应用场景示意图;
图4为本发明实施例通信网络安全管理方法流程图。
具体实施方式
下面将结合附图和实施例对本发明进行详细描述。
图1是本发明实施例通信网络安全管理系统的结构示意图;该系统用于对管理实体(Managed Entity)107进行管理。如图1所示,该系统包含:管理者接口功能组(Administrator Interface FG)101,通信接口功能组(Communications Interface FG)102,管理者帐户管理功能组(AdministratorAccount Management FG)103,配置管理功能组(Configuration Management FG)104,安全信息管理功能组(Security Information Management FG)106,安全管理信息库(Security Management Information Base,简称SMIB)105。
管理实体(Managed Entity)107,是本发明的通信网络安全管理系统(Security Management System,简称SMS)所管理的实体对象,可以是设备、系统、功能模块、文件等。SMS通过通信接口功能组102对管理实体107进行管理;SMS内部的各安全管理功能组之间也可以通过通信接口功能组102进行通信;此外,SMS内部的各安全管理功能组通过安全信息管理功能组106对安全管理信息库105进行数据的存取操作。
图2是本发明实施例通信网络安全管理系统的各安全管理功能组之间的逻辑和数据连接关系示意图。其中:
管理者接口功能组101,用于为管理者提供与SMS内部的其它安全管理功能组(或安全管理功能组包含的功能)以及SMS外部的管理实体间进行交互的接口。
本发明中的管理者包括(但不限于):系统管理员、处理过程以及设备。
管理者接口功能组101向管理者提供:本地、远程的图形或命令行接口,管理者通过本安全管理功能组输入登录请求和管理命令。
管理者接口功能组101将接收到的管理命令进行解析后,根据管理命令的具体内容,将其传送到对应的其它安全管理功能组或管理实体。
管理者接口功能组101将管理者输入的登录请求转发到管理者帐户管理功能组103,并将管理者帐户管理功能组103返回用户登录结果(登录成功或失败)反馈给管理者。
如果管理者登录成功,管理者接口功能组101将该管理者的帐户信息以及管理者帐户管理功能组103返回的访问权限信息缓存在本安全管理功能组中,以便在接收到该管理者输入的管理命令时可以根据上述访问权限信息对该管理命令的合法性进行校验;如果校验成功(即该管理者有权发送相应的管理命令),本安全管理功能组根据该管理命令中包含的管理实体或安全管理功能组的资源编号通过通信接口功能组102发送到对应的管理实体或其它安全管理功能组。
上述访问权限信息为管理者有权进行操作的管理实体和安全管理功能组的资源编号以及对应的操作权限。
具体地说,管理者接口功能组101包含以下功能:
本地命令行管理者接口功能,用于为安全管理系统功能组命令提供命令行接口。
远程命令行管理者接口功能,为发送到并在管理实体执行的命令提供命令行接口。
本地图形管理者接口功能,用于为安全管理系统功能组命令提供图形用户接口(GUI)。
远程图形管理者接口功能,为发送到并在管理实体执行的命令提供图形用户接口(GUI)。
管理者帐户管理功能组103,用于为管理者提供帐户信息的管理功能,并提供对管理者的帐户信息进行身份认证、以及访问权限的查询功能。
管理者帐户管理功能组103提供的帐户信息管理功能包括:对帐户信息的查询和设置,即通过安全信息管理功能组106对存储在安全管理信息库105中的帐户信息进行查询和设置。
帐户信息的身份认证是通过查询安全管理信息库105,对管理者接口功能组101发送的帐户信息进行身份认证,判断该帐户信息对应的管理者是否为可以登录SMS的合法用户。
如果帐户信息的身份认证的结果表明该管理者是合法用户,则管理者帐户管理功能组103还需要对其进行相应的权限查询操作。
权限查询功能是指向配置管理功能组104发送权限查询请求,以查询帐户信息所对应的访问权限信息,并将查询到的访问权限信息返回给管理者接口功能组101。
配置管理功能组104,用于提供对管理实体的安全属性和参数的管理功能。
配置管理功能组104接收来自管理者帐户管理功能组103的帐户或帐户组的变化信息,以及来自外部应用系统的管理实体的变化信息,根据上述变化信息对管理实体的安全属性和参数进行修改,并将修改结果通过安全信息管理功能组保存到安全管理信息库105中,保持本安全管理系统与外部应用系统的数据同步。
上述安全属性和参数包括:可对该管理实体进行操作的管理者的帐户信息,以及对应的访问权限等。
上述帐户或帐户组的变化信息包括:帐户或帐户组的增加、修改和删除信息。
上述管理实体的变化信息包括:管理实体的增加、修改和删除信息。
增加帐户或帐户组,或增加管理实体时,本安全管理功能组设置帐户或帐户组与对应的管理实体的访问权限;
修改帐户或帐户组,或修改管理实体时,本安全管理功能组修改帐户或帐户组与对应的管理实体的访问权限;
删除帐户或帐户组,或删除管理实体时,本安全管理功能组解除帐户或帐户组与对应的管理实体之间的对应关系及相应的访问权限设置。
此外,配置管理功能组104还用于查询帐户或帐户组的访问权限设置,并将查询结果返回给管理者帐户管理功能组103。
配置管理功能组104接收到管理者帐户管理功能组103发送的帐户信息后,通过安全信息管理功能组106查询该帐户有权限进行操作的所有管理实体的访问权限信息,并将查询结果返回给管理者帐户管理功能组103。
此外,配置管理功能组104还用于在系统初始化连接到各管理实体时,为外部系统的各管理实体以及管理系统的各安全管理功能组设置在本管理系统所在的整个通信网络内按照标准的资源共享方法,如TMF SID(电信管理论坛定义的共享信息数据)设置唯一的资源编号,以便通过本安全管理功能组提供的适配功能对已有的外部应用系统进行统一标识。
需要注意的是,由于管理实体的安全属性和参数存储在一个或多个安全管理信息库(分布式数据库)中,因此对管理实体分配唯一的资源编号、对其进行统一标识是形成安全管理系统内部和外部共享的信息数据,最终实现多个管理平面共享安全管理系统功能的前提条件。
安全信息管理功能组106,用于提供对安全管理信息库105中的安全信息进行管理的功能。
上述安全信息包括:管理者帐户信息,管理者对各安全管理功能组、管理实体或管理实体组的访问权限信息,管理实体或管理实体组的安全策略等。
安全信息管理功能组106提供存储和检索安全信息的系统应用接口,如ANSI-SQL(American National Standards Institute-Structured Query Language,美国国家标准化协会-结构化查询语言)、LADP(Lightweight Directory AccessProtocol,轻量级目录访问协议)访问接口;这些接口用于和其它安全管理功能组或非安全管理功能组(如外部系统、管理实体)进行交互。SMS中的其它安全管理功能组(如管理者帐户管理功能组103、配置管理功能组104)与安全管理信息库的交互都要通过本安全管理功能组进行。
此外,SMS中的安全管理功能组采用符合ITU-T M.3016.1所定义的通信架构或协议(如CORBA,HTTPS/XML)与其它安全管理功能组或外部系统通信,以满足分布式部署的要求。
通信接口功能组102,用于提供各管理实体与SMS、SMS中的各安全管理功能组之间,以及多个管理实体之间进行通信的接口。
通信接口功能组102提供了符合ITU-T(International TelecommunicationUnion Telecommunication Standardization Sector,国际电信联合会电信标准化分会)M.3016.1所定义通信架构或协议(如CORBA(公用对象请求代理体系结构),HTTPS/XML(安全超文本传输协议/可扩展标记语言))的通信接口。
需要注意的是,由于SMS中的各安全管理功能组可以分布部署在不同的网络中(例如,管理者接口功能组101可以设置在管理实体所在网络中),因此SMS中的各安全管理功能组之间也需要通过通信接口功能组102提供的接口进行通信。
通信接口功能组102根据管理命令中携带的资源编号识别该命令的接收方(安全管理功能组或管理实体),即根据资源编号将该命令路由正确的接收方。
图3为本发明实施例通信网络安全管理系统的应用场景示意图。如图3所示,由于使用了基于ITU-T M.3016.1的通信方式,本发明的安全管理系统可以在多个管理平面下同时应用,多个管理平面可以共享安全管理系统功能。例如,对于ASON(Automatic Switch Optical Network,自动交换光网络),在信令和控制平面需要对用户接入进行接入鉴权,传统的做法是在管理平面提供单独的功能将鉴权信息配置到UNI(用户网络接口),如果使用本发明所述的安全管理系统,则只需在UNI端口侧设置管理者接口功能组101,由管理者接口功能组101直接与安全管理系统的其它安全管理功能组通信,处理安全鉴权功能,不必再单独提供鉴权相关的管理功能。
也就是说,由于管理者接口功能组101与SMS中的其它功能组采用基于ITU-T M.3016.1的通信方式,使得管理者接口功能组101可以部署在本管理系统所管辖的网络的任意位置。对于同一个管理实体,也可以配置多个管理者接口功能组101,在系统初始化时根据配置使能其中的一个,为其分配有效的资源编号。
图4为本发明实施例通信网络安全管理方法流程图。为了简化描述,本流程图中省略了通信接口功能组102和安全信息管理功能组106,以及上述两个安全管理功能组对消息的转发步骤。如图4所示,该方法包括如下步骤:
401:管理者向管理者接口功能组101发送登录请求,以登录本发明的通信网络安全管理系统;
402:管理者接口功能组101将登录请求转发至管理者帐户管理功能组103;
403:管理者帐户管理功能组103提取上述登录请求中包含的帐户信息,并将其包含在帐户信息查询请求中发送至安全管理信息库105,以进行身份认证,即查询该帐户是否存在(是否为合法帐户);
404:安全管理信息库105向管理者帐户管理功能组103返回帐户信息查询应答,该应答中包含对应帐户是否存在或是否合法的查询结果(身份认证结果);
需要注意的是,管理者帐户管理功能组103与安全管理信息库105之间的消息以安全信息管理功能组106为接口进行转发,本流程中省略了相应的步骤。安全信息管理功能组106向管理者帐户管理功能组103提供的数据库接口为ANSI-SQL或LADP访问接口。安全信息管理功能组106向管理者帐户管理功能组103及安全管理信息库105提供的通信接口符合ITU-TM.3016.1所定义的通信架构或协议。
405:接收到上述帐户信息查询应答后,若该帐户存在且为合法帐户,则管理者帐户管理功能组103向配置管理功能组104发送权限查询请求,以获取该帐户的所有访问权限信息(即该帐户可以对哪些安全管理功能组及管理节点进行操作,以及相应的操作权限);
上述权限查询请求中包含对应的帐户信息。
406:配置管理功能组104将上述权限查询请求发送至安全管理信息库105;
407:安全管理信息库105将对应帐户的访问权限信息包含在权限查询应答中返回给配置管理功能组104;
同样,配置管理功能组104与安全管理信息库105之间的消息以安全信息管理功能组106为接口进行转发,本流程中省略了相应的步骤。
408:配置管理功能组104将上述权限查询应答发送给管理者帐户管理功能组103;
409:管理者帐户管理功能组103将上述权限查询应答中携带的访问权限信息包含在登录应答中发送给管理者接口功能组101;
410:管理者接口功能组101缓存上述帐户信息及对应的访问权限信息;
411:管理者接口功能组101向管理者发送(在界面上显示)登录应答,以告知登录结果;
412:登录成功后,管理者向管理者接口功能组101发送管理命令;
管理命令中包含目标资源编号,即接收该管理命令的管理实体或安全管理功能组的资源编号。
413:管理者接口功能组101根据该该管理命令的目标资源编号及本地缓存的访问权限信息对该管理命令进行合法性校验,如果校验结果为该管理命令合法(即允许该管理者对目标资源编号对应的安全管理功能组或管理实体进行对应操作)则执行下一步,否则向管理者反馈错误信息,本方法结束。
414:管理者接口功能组101将管理命令转发至目标资源编号对应的安全管理功能组或管理实体;例如:
414a:管理者接口功能组101将管理命令转发至管理者帐户管理功能组103,执行帐户管理操作;
414b:管理者接口功能组101将管理命令转发至配置管理功能组104,执行配置管理操作;
414c:管理者接口功能组101将管理命令转发至目标资源编号对应的管理实体,对其进行相应的操作。
根据本发明的基本原理,上述实施例还有多种变换方式,例如:
安全管理信息库105可以设置在管理实体中,相应地,各安全管理功能组通过安全信息管理功能组106以及通信接口功能组102对安全管理信息库105进行数据存取操作。
Claims (13)
1.一种通信网络安全管理系统,用于对通信网络中的管理实体进行管理,其特征在于,该通信网络安全管理系统包含多个安全管理功能组:管理者接口功能组(101),通信接口功能组(102),管理者帐户管理功能组(103),配置管理功能组(104);其中:
所述管理者接口功能组(101),用于接收管理者发送的登录请求,将该登录请求通过所述通信接口功能组(102)的通信接口发送到所述管理者帐户管理功能组(103)请求进行身份认证,并接收所述管理者帐户管理功能组(103)返回的身份认证结果和所述管理者的访问权限;将经过身份认证的管理者有权限发送的管理命令通过所述通信接口功能组(102)的通信接口调用发送到该管理命令的目标资源编号对应的管理实体或安全管理功能组;
所述管理者帐户管理功能组(103),用于对接收到的所述登录请求所对应的管理者进行身份认证,并向所述配置管理功能组(104)发送查询所述管理者的访问权限的请求,将身份认证结果以及所述配置管理功能组(104)返回的访问权限查询结果发送给所述管理者接口功能组(101);
所述配置管理功能组(104),用于在接收到所述查询访问权限的请求后查询所述管理者的访问权限,并将查询结果返回给所述管理者帐户管理功能组(103);
所述配置管理功能组(104)还用于为所述通信网络安全管理系统的各安全管理功能组和所述管理实体分配资源编号。
2.如权利要求1所述的通信网络安全管理系统,其特征在于,
所述通信网络安全管理系统还包含:安全管理信息库(105),用于存储:管理者的帐户信息、管理者对各安全管理功能组的访问权限信息、管理者对各管理实体的访问权限信息;
所述管理者帐户管理功能组(103)通过在所述安全管理信息库(105)中查询是否包含所述管理者的帐户信息来进行所述身份认证;
所述配置管理功能组(104)从所述安全管理信息库(105)中查询所述管理者的访问权限。
3.如权利要求2所述的通信网络安全管理系统,其特征在于,
所述安全管理信息库(105)是采用美国国家标准化协会-结构化查询语言,和/或轻量级目录访问协议访问的数据库。
4.如权利要求2所述的通信网络安全管理系统,其特征在于,
所述通信网络安全管理系统还包含:安全信息管理功能组(106),用于提供对所述安全管理信息库(105)进行存取操作的接口;
所述管理者帐户管理功能组(103)和配置管理功能组(104)通过所述安全信息管理功能组(106)对所述安全管理信息库(105)进行所述查询操作。
5.如权利要求1所述的通信网络安全管理系统,其特征在于,
所述通信接口功能组(102)提供了符合国际电信联合会电信标准化分会M.3016.1所定义通信架构或协议的通信接口;
所述管理者接口功能组(101)与所述管理者帐户管理功能组(103)和所述管理实体之间、采用所述通信接口功能组(102)提供的所述符合国际电信联合会电信标准化分会M.3016.1所定义通信架构或协议的通信接口进行交互。
6.如权利要求1所述的通信网络安全管理系统,其特征在于,
所述管理者接口功能组(101)与所述通信网络安全管理系统中的其它功能组采用符合国际电信联合会电信标准化分会M.3016.1所定义的通信架构或协议进行通信;
所述管理者帐户管理功能组(103)与所述通信网络安全管理系统中的其它功能组采用符合国际电信联合会电信标准化分会M.3016.1所定义的通信架构或协议进行通信;
所述配置管理功能组(104)与所述通信网络安全管理系统中的其它功 能组采用符合国际电信联合会电信标准化分会M.3016.1所定义的通信架构或协议进行通信。
7.如权利要求1所述的通信网络安全管理系统,其特征在于,
所述配置管理功能组(104)在系统初始化时,按照电信管理论坛定义的共享信息数据方式为所述通信网络安全管理系统的各安全管理功能组和所述管理实体分配所述资源编号。
8.如权利要求1所述的通信网络安全管理系统,其特征在于,
所述管理者经过所述身份认证后,通过所述管理者接口功能组(101)调用所述通信网络安全管理系统内该管理者有权限调用的其它功能。
9.一种通信网络安全管理方法,应用于对管理实体进行管理的通信网络安全管理系统中,其特征在于,该方法包括:
管理者成功登录到所述通信网络安全管理系统后,通过所述通信网络安全管理系统的管理者接口功能组(101)发送管理命令;所述管理命令中包含该命令的接收方的资源编号;
所述管理者接口功能组(101)将所述管理者有权限发送的管理命令发送到所述通信网络安全管理系统的通信接口功能组(102);
所述通信接口功能组(102)根据所述资源编号将所述管理命令发送至对应的接收方;
所述接收方包括:所述管理实体,对所述管理实体进行管理的所述通信网络安全管理系统的功能组;
所述资源编号为所述通信网络安全管理系统初始化时为所述接收方分配的标识符。
10.如权利要求9所述的方法,其特征在于,
所述管理者按照如下方法登录到所述通信网络安全管理系统:
A:所述管理者通过所述管理者接口功能组(101)发送登录请求;
B:所述管理者接口功能组(101)通过所述通信接口功能组(102)的 通信接口,将所述登录请求发送至所述通信网络安全管理系统的管理者帐户管理功能组(103);
C:所述管理者帐户管理功能组(103)提取所述登录请求中包含的帐户信息,并通过在安全管理信息库(105)中查询是否存在该帐户信息对其进行身份认证;
D:所述管理者帐户管理功能组(103)将身份认证的结果包含在登录应答中,通过所述通信接口功能组(102)的通信接口发送给所述管理者接口功能组(101)。
11.如权利要求10所述的方法,其特征在于,
步骤C和D之间还包括如下步骤:
C1:所述身份认证通过后,所述管理者帐户管理功能组(103)将所述帐户信息发送给所述通信网络安全管理系统的配置管理功能组(104);
C2:所述配置管理功能组(104)从所述通信网络安全管理系统的安全管理信息库(105)中获取与所述帐户信息对应的访问权限信息,并将其发送给所述管理者帐户管理功能组(103);
步骤D中,所述管理者帐户管理功能组(103)将所述访问权限信息包含在所述登录应答中发送给所述管理者接口功能组(101);
所述管理者接口功能组(101)根据所述访问权限信息判断所述管理者是否有权限发送所述管理命令。
12.如权利要求9所述的方法,其特征在于,
所述通信接口功能组(102)提供了符合国际电信联合会电信标准化分会M.3016.1所定义通信架构或协议的通信接口;
所述管理者接口功能组(101)与所述接收方之间采用所述通信接口功能组(102)提供的所述符合国际电信联合会电信标准化分会M.3016.1所定义通信架构或协议的通信接口进行交互。
13.如权利要求9所述的方法,其特征在于,
所述资源编号为所述通信网络安全管理系统初始化时,按照电信管理论坛定义的共享信息数据方式为所述接收方分配的标识符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101106328A CN101599831B (zh) | 2008-06-06 | 2008-06-06 | 一种通信网络安全管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101106328A CN101599831B (zh) | 2008-06-06 | 2008-06-06 | 一种通信网络安全管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599831A CN101599831A (zh) | 2009-12-09 |
| CN101599831B true CN101599831B (zh) | 2011-09-21 |
Family
ID=41421098
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101106328A Expired - Fee Related CN101599831B (zh) | 2008-06-06 | 2008-06-06 | 一种通信网络安全管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599831B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103646210A (zh) * | 2013-12-27 | 2014-03-19 | 税友软件集团股份有限公司 | 一种系统功能调用的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889452A (zh) * | 2005-07-21 | 2007-01-03 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| CN101051896A (zh) * | 2006-04-07 | 2007-10-10 | 华为技术有限公司 | 一种认证方法和系统 |
| CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
| CN101166173A (zh) * | 2006-10-20 | 2008-04-23 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
-
2008
- 2008-06-06 CN CN2008101106328A patent/CN101599831B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889452A (zh) * | 2005-07-21 | 2007-01-03 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| CN101051896A (zh) * | 2006-04-07 | 2007-10-10 | 华为技术有限公司 | 一种认证方法和系统 |
| CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
| CN101166173A (zh) * | 2006-10-20 | 2008-04-23 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599831A (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101313534B (zh) | 一种实现vpn配置服务的方法、装置和系统 | |
| US6829232B1 (en) | Communication method for terminals connected to IP networks to receive services provided by intelligent networks | |
| CN112449315B (zh) | 一种网络切片的管理方法及相关装置 | |
| CN104662839B (zh) | 多个域的链接标识 | |
| CN101127598B (zh) | 一种在无源光网络中实现802.1x认证的方法和系统 | |
| WO2011076001A1 (zh) | M2m网络管理系统及实现终端业务聚合和虚拟专用网的方法 | |
| CN110677383A (zh) | 防火墙开墙方法、装置、存储介质及计算机设备 | |
| CN106161361A (zh) | 一种跨域资源的访问方法及装置 | |
| JP7299541B2 (ja) | サービス開始方法及び通信システム | |
| US20050144289A1 (en) | Connection control system, connection control equipment and connection management equipment | |
| US20160323260A1 (en) | Obtaining data for connection to a device via a network | |
| CN106506239B (zh) | 在组织单位域中进行认证的方法及系统 | |
| CN113938771B (zh) | 一种无源光网络的业务发放方法 | |
| CN106656566B (zh) | 一种基于ldap协议的第三方数据源认证上网管理方法 | |
| US20230370465A1 (en) | Borrower privacy enhancement for shared-line solutions | |
| CN101599831B (zh) | 一种通信网络安全管理方法及系统 | |
| CN112335215B (zh) | 用于将终端设备联接到可联网的计算机基础设施中的方法 | |
| US20210314775A1 (en) | Setting up access authorization to access a subnetwork of a mobile radio network | |
| CN101090515B (zh) | 一种宽带增值业务运营系统 | |
| CN113742701B (zh) | 开通ar/vr业务的系统及方法、网关设备、ar/vr设备和存储介质 | |
| US20050277430A1 (en) | Intelligent mobile messaging and communication traffic Hub (iHub) | |
| KR20080058409A (ko) | 양 종점 간의 투명한 독립 통신 설계 시스템 및 방법 | |
| US9100267B2 (en) | Network management method, a system and a device | |
| CN103856932B (zh) | 一种获取用户欠费状态的方法及系统 | |
| CN100362804C (zh) | 一种在下一代网络中进行区域管理的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180703 Address after: California, USA Patentee after: Global innovation polymerization LLC Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110921 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |