CN103763131B - 一种实现网关设备中安全控制台备份的方法 - Google Patents
一种实现网关设备中安全控制台备份的方法 Download PDFInfo
- Publication number
- CN103763131B CN103763131B CN201310756273.4A CN201310756273A CN103763131B CN 103763131 B CN103763131 B CN 103763131B CN 201310756273 A CN201310756273 A CN 201310756273A CN 103763131 B CN103763131 B CN 103763131B
- Authority
- CN
- China
- Prior art keywords
- gateway
- equipment
- control console
- security control
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种实现网关设备中安全控制台备份的方法,主要包括步骤:将两个网关设备均实现安全控制台服务虚拟网关;将步骤中的两个网关设备的标识符设置成一样;将步骤的两个网关设备均运行VRRP,共同构成一台实现了安全控制台服务的虚拟网关;网络中的用户将其设备的所有权授予步骤虚拟网关。本发明的有益效果为:提高网关安全控制台的可靠性,同时将UPNP网络中对安全敏感设备的管理集中到网关上,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。
Description
技术领域
本发明涉及信息安全与管理技术领域,具体涉及一种利用虚拟路由器冗余协议实现网关设备中安全控制台备份的方法。
背景技术
在UPNP安全网络中,安全控制台是一个用户应用,既是设备,也是控制点。它的功能是为用户管理自己的安全敏感设备提供一个界面。作为其功能的一部分,安全控制台维持了一个保护所有设备、控制点及其它安全控制台的列表,这些部件构成了用户自己的安全域,用户可以手动的编辑这些列表。另外,安全控制台可以通过所有权和访问控制列表(ACL)编辑动作,对设备的访问权限进行授权,也可以通过发布、更新、撤销证书实现这些授权。
安全控制台是个自拥有的部件,如果SC中有任何需要进行访问控制的动作,则这些访问控制由用户管理,而不是其它安全控制台。因此,如果用户的SC一旦出现故障,用户就不能对其所拥有的安全敏感设备进行权限控制了。然而,用户可以选择其它的SC,将设备的所有权授予给它们。这样,其它的SC也可以对用户所拥有的设备的访问权限进行授权。
控制点对设备访问权限的安全数据一部分以访问控制列表(ACL)的形式存储在设备上;一部分以控制点的授权证书暂存在用户SC上。当用户SC将其权限转移到其它SC时,这些授权证书也要转移过去,以免其它SC重新签发控制点的授权证书。
在UPNP网络,特别是在家庭网络中,不能希望用户对计算机和网络知识有太多的了解。由用户来对设备的访问控制和授权管理是不太现实的,加重了用户的负担,对用户的要求太高。因此,可以把网络中所有的安全敏感设备的权限管理转移到网关,由网关的SC统一管理。
同时,如果将设备的所有权都授予网关设备,则可由网关的SC来集中管理设备,编辑设备ACL,生成和发布授权证书,完成对所有设备的访问权限的管理。这样,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。
随着人们对数据通讯可靠性要求的不断提高,数据通讯设备的备份功能也越来越受到重视,因此,对网关设备的备份自然而然需要考虑。虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。
如果网关设备实现了安全控制台服务,则网关设备的备份要保证安全控制台服务的连续性。因此,本发明提出了一种利用虚拟路由器冗余协议实现网关设备中安全控制台备份的方法。
发明内容
本发明目的在于提出一种实现网关设备中安全控制台备份的方法,提高了网关安全控制台的可靠性,同时将UPNP网络中对安全敏感设备的管理集中到网关上,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。
一种实现网关设备中安全控制台备份的方法,其特征在于:主要包括如下步骤:
(1)将两个网关设备均实现安全控制台服务虚拟网关;
(2)将步骤(1)中的两个网关设备的标识符设置成一样;
(3)将步骤(2)的两个网关设备均运行VRRP,共同构成一台实现了安全控制台服务的虚拟网关;
(4)网络中的用户将其设备的所有权授予步骤(3)虚拟网关。
作为优选方式,上述步骤(4)所述授权过程,其主要包括如下步骤:
(1)用户运行SC,利用安全设备发现自己所拥有的安全敏感设备,然后调用设备的TakeOwnership函数取得设备的所有权;
(2)SC通过设备发现协议SSDP识别出网关设备及其嵌入的SC设备的存在,然后调用用户设备的GrantOwnership函数,将设备的所有权授予网关;
(3)网络中的SC将其所拥有的设备的所有权授予实现了安全控制台服务的虚拟网关,由网关对网络中的安全敏感设备集中管理。所述的网络中的SC将其所拥有的设备的所有权授予实现了安全控制台服务的虚拟网关的过程,其在SC提供的服务中增加一个获得某一SC所暂存的授权证书的动作;网关SC通过该动作获得某一SC所暂存的所有授权证书。
作为优选方式,所述的授权与授予等传输过程采取数字信封的方式,保证传输的安全性。
数字信封传输过程包括数字信封打包和数字信封拆解;其中,数字信封打包:用户SC使用网关SC的公钥将所自己所缓存的授权证书数据加密并传输;数字信封拆解:网关SC用自己的私钥解密,还原出授权证书。
本发明的有益效果为:提高网关安全控制台的可靠性,同时将UPNP网络中对安全敏感设备的管理集中到网关上,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。
附图说明
图1为带有安全控制台的组网图;
图2为网关的发现以及被授权的流程图。
具体实施方式
本发明提出的利用虚拟路由器冗余协议实现安全控制台备份的方法,其组网图如图1所示,网关设备B和C都实现了安全控制台服务,B和C的安全控制台标识符都设为SC A。网关设备B和C都运行VRRP,共同构成一台虚拟网关。该虚拟网关对外表现为一个具有唯一固定IP地址(202.115.26.1)和MAC地址的逻辑网关。当由于某种原因主控网关发生故障时,备份网关能在几秒钟的时延后升级为主控网关。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。对UPNP网络中的设备A、B和C只看到一个IP地址为202.115.26.1,安全控制台标识符为SC A的网关设备。由VRRP协议,根据优先级,自动决定网关设备B和C谁是主控网关谁是备份网关。
用户将设备的所有权授予实现了SC服务的虚拟网关的过程如图2所示:用户运行SC,利用设备发现规约发现用户自己的安全敏感设备,然后调用设备的TakeOwnership函数取得设备的所有权;SC通过SSDP识别出网关设备以及嵌入的安全控制台设备的存在,然后调用设备的GrantOwnership函数将设备的所有权授予网关设备;网络中的SC都将设备的所有权授予实现了SC服务的虚拟网关,网关对网络中的安全敏感设备进行集中管理。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (1)
1.一种实现网关设备中安全控制台备份的方法,其特征在于:主要包括如下步骤:
(1)将两个网关设备均实现安全控制台服务虚拟网关;
(2)将步骤(1)中的两个网关设备的标识符设置成一样;
(3)将步骤(2)的两个网关设备均运行VRRP,共同构成一台实现了安全控制台服务的虚拟网关;
(4)网络中的用户将其设备的所有权授予步骤(3)虚拟网关;
步骤(4)包括如下步骤:
①用户设备运行安全控制台SC,利用设备发现协议发现自己所拥有的安全敏感设备,然后调用用户设备的TakeOwnership函数取得安全敏感设备的所有权;
②用户设备SC通过设备发现协议SSDP识别出网关设备及网关设备中嵌入的SC设备的存在,然后调用用户设备的GrantOwnership函数,将安全敏感设备的所有权授予网关设备;
③网络中的SC将其所拥有的安全敏感设备的所有权授予实现了安全控制台服务的虚拟网关,由虚拟网关对网络中的安全敏感设备集中管理;
所述的网络中的SC将其所拥有的安全敏感设备的所有权授予实现了安全控制台服务的虚拟网关的过程,其在网络中SC提供的服务中增加一个获得某一SC所暂存的授权证书的动作;网关SC通过该动作获得某一SC所暂存的所有授权证书;
所述授予的传输过程采取数字信封的方式,数字信封传输过程包括数字信封打包和数字信封拆解。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310756273.4A CN103763131B (zh) | 2013-12-28 | 2013-12-28 | 一种实现网关设备中安全控制台备份的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310756273.4A CN103763131B (zh) | 2013-12-28 | 2013-12-28 | 一种实现网关设备中安全控制台备份的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103763131A CN103763131A (zh) | 2014-04-30 |
CN103763131B true CN103763131B (zh) | 2017-07-04 |
Family
ID=50530294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310756273.4A Expired - Fee Related CN103763131B (zh) | 2013-12-28 | 2013-12-28 | 一种实现网关设备中安全控制台备份的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103763131B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105450540A (zh) * | 2015-12-14 | 2016-03-30 | 福建星网锐捷网络有限公司 | 一种负载均衡方法、装置及dhcp服务器 |
CN106790697A (zh) * | 2017-02-20 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 安全存储实现方法及装置 |
CN112437454A (zh) * | 2020-11-23 | 2021-03-02 | 青岛海尔科技有限公司 | 数据传输方法及装置、存储介质、电子装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859378A (zh) * | 2005-11-19 | 2006-11-08 | 华为技术有限公司 | 一种实现安全备份的数字家庭网络系统及方法 |
CN101006701A (zh) * | 2004-08-16 | 2007-07-25 | 皇家飞利浦电子股份有限公司 | 用于在无线通用即插即用(UPnP)网络中建立安全环境的方法和系统 |
CN101014035A (zh) * | 2007-02-05 | 2007-08-08 | 华为技术有限公司 | 城域以太网提供多业务组网下的可靠性处理方法及系统 |
CN101064628A (zh) * | 2006-04-28 | 2007-10-31 | 华为技术有限公司 | 家庭网络设备安全管理系统及方法 |
-
2013
- 2013-12-28 CN CN201310756273.4A patent/CN103763131B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101006701A (zh) * | 2004-08-16 | 2007-07-25 | 皇家飞利浦电子股份有限公司 | 用于在无线通用即插即用(UPnP)网络中建立安全环境的方法和系统 |
CN1859378A (zh) * | 2005-11-19 | 2006-11-08 | 华为技术有限公司 | 一种实现安全备份的数字家庭网络系统及方法 |
CN101064628A (zh) * | 2006-04-28 | 2007-10-31 | 华为技术有限公司 | 家庭网络设备安全管理系统及方法 |
CN101014035A (zh) * | 2007-02-05 | 2007-08-08 | 华为技术有限公司 | 城域以太网提供多业务组网下的可靠性处理方法及系统 |
EP2391071B1 (en) * | 2007-02-05 | 2015-12-16 | Huawei Technologies Co., Ltd. | Reliability processing methods and systems in the networking of metro ethernet network providing multi-service |
Non-Patent Citations (1)
Title |
---|
"安全设备趋向集成化";李丽娜;《互联网周刊》;20021216;第57页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103763131A (zh) | 2014-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2022550356A (ja) | マルチテナントソフトウェア定義ワイドエリアネットワーク(sd-wan)ノードを提供するための方法、システム、およびコンピュータ読取可能媒体 | |
CN105308914B (zh) | 用于在通信故障时支持分布式中继控制协议(drcp)操作的方法和系统 | |
JP7296993B2 (ja) | 通信方法及び通信装置 | |
JP2016067054A (ja) | ワイヤレス・ネットワークにおいてデジタル証明書を管理するためのフレキシブルなシステムおよび方法 | |
BR112013015239B1 (pt) | Roteador de conteúdo para o gerenciamento de conteúdo para grupos privados virtuais usados em uma rede orientada para conteúdo e sistema de rede orientada para conteúdo (con) | |
US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
CN101820344A (zh) | Aaa服务器、家庭网络接入方法和系统 | |
CN104852891B (zh) | 一种密钥生成的方法、设备及系统 | |
JP5603526B2 (ja) | セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク | |
CN102611597A (zh) | 一种在不同家庭环境中免输入账号和密码的宽带上网方法 | |
WO2023197942A1 (zh) | 一种公共云的扩展方法、设备、系统及存储介质 | |
CN102083023A (zh) | 一种远程控制设备重启的方法、系统和设备 | |
CN109450905A (zh) | 传输数据的方法和装置及系统 | |
CN109698791A (zh) | 一种基于动态路径的匿名接入方法 | |
CN103763131B (zh) | 一种实现网关设备中安全控制台备份的方法 | |
CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
CN105516397B (zh) | 多操作系统终端接入网络的方法及多操作系统终端 | |
US9118588B2 (en) | Virtual console-port management | |
CN114205815A (zh) | 一种5g专网认证控制的方法和系统 | |
JP2016531464A (ja) | 通信ネットワークにおけるセキュアサービス管理 | |
JP2008271015A (ja) | ネットワークシステム、管理計算機及び利用者端末 | |
CN103441877A (zh) | 服务器网络集群的管理系统和方法 | |
KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
KR20210025421A (ko) | 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170704 Termination date: 20171228 |
|
CF01 | Termination of patent right due to non-payment of annual fee |