发明内容
本发明实施例提供一种接入设备的安全控制方法、设备及系统,能够在纵向虚拟化网络系统故障时,通过设置的登录密码直接对接入设备进行操控,从而降低了网络运维难度,提高接入设备的安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种接入设备的安全控制方法,应用于纵向虚拟化网络,包括:
控制设备根据接入设备的设备信息和本地随机码生成登录密码;
控制设备在本地保存所述登录密码和所述接入设备的对应关系,以使得维护人员可以根据所述登录密码通过配置Console口登录所述接入设备,以对所述接入设备进行运维管理;
控制设备将所述登录密码加密后发送给所述接入设备。
接入设备接收控制设备发送的加密后的登录密码,并对所述加密后的登录密码进行解密;
接入设备将解密后的登录密码设置为接入设备自身的登录密码并保存;
接入设备在对采用配置Console口登录的维护人员输入的登录密码进行验证后,接受所述维护人员的运维管理。
第二方面,提供一种控制设备,包括:
密码生成单元,用于根据接入设备的设备信息和本地随机码生成登录密码,并在本地保存所述登录密码和所述接入设备的对应关系,以使得维护人员可以根据所述登录密码通过配置Console口登录所述接入设备,以对所述接入设备进行运维管理;
发送单元,用于将所述密码生成单元生成的登录密码加密后发送给所述接入设备。
第三方面,提供一种接入设备,包括:
接收单元,用于接收控制设备发送的加密后的登录密码;
处理单元,用于对所述接收单元接收到的加密后的登录密码进行解密,将解密后的登录密码设置为接入设备自身的登录密码并保存;
身份验证单元,用于在对采用配置Console口登录的维护人员输入的登录密码进行验证后,接受所述维护人员的运维管理。
第四方面,提供一种系统,包括上述第二方面所述的控制设备和上述第三方面所述的接入设备。
本发明实施例提供一种接入设备的安全控制方法、设备及系统,应用于纵向虚拟化网络中,控制设备根据接入设备的设备信息和本地随机码随机生成登录密码,由于本地随机码具有随机性,因而非法用户很难破译控制设备根据本地随机码生成的登录密码,从而提高了登录密码的安全性;而后控制设备将加密后的登录密码发送给接入设备,提高了登录密码传输过程中的安全性;并在本地保存登录密码和接入设备的对应关系。接入设备将解密后的登录密码设置为自身的登录密码并保存。从而,在在系统出现故障无法通过控制设备对接入设备进行操控时,维护人员可以获取控制设备中保存的登录密码,并在接入设备对登录密码验证通过后,通过配置Console口直接操控接入设备,从而对接入设备进行运维管理,因而能够降低网络运维的难度,提高网络的安全性。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
纵向虚拟网络可以是部署了纵向虚拟化技术的核心层和接入层形成的二层网络(例如二层局域网),其基本架构可以参见图1。控制设备可以是部署了纵向虚拟化技术的核心层中的设备,可以用于管理和控制接入层中的设备,例如可以是框式交换机。接入设备可以是部署了纵向虚拟化技术的接入层中的设备,例如可以是盒式交换机。在纵向虚拟网络中,控制设备与接入设备之间的纵向Fabric口是一个逻辑概念,可以是一个物理端口或者多个物理端口组成的聚合口。控制设备与接入设备之间可以使用专用线缆或光纤进行连接。接入设备根据组网需要可以连到一台或多台控制设备设备上。从模型上说,接入设备相当于控制设备的一块远程接口板。从功能上看,控制设备与接入设备之间的纵向Fabric连接相当于框式设备的“背板”。从管理上看,所有控制设备和接入设备对外作为一台设备,是一个管理点。
为了提高纵向虚拟化网络的安全性,现有技术中通过禁用接入设备的配置Console口来禁止直接操控接入设备,但当网络系统出现故障使得不能通过控制设备操控接入设备时,将无法对接入设备进行运维管理,从而无法恢复网络系统。
本发明以下实施例提供的一种应用于纵向虚拟化网络中的接入设备的安全控制方法中,控制设备可以根据接入设备的设备信息以及生成的具有随机性的本地随机码生成接入设备的登录密码,将登录密码加密后发送给接入设备以提高传输过程的安全性,并在本地保存登录密码和接入设备的对应关系,从而在网络系统出现故障无法通过控制设备对接入设备进行操控时,接入设备的维护人员可以根据控制设备中保存的与接入设备对应的登录密码,安全便捷地通过配置Console口直接操控接入设备,从而对接入设备进行运维管理。
参见图2,本发明实施例提供一种接入设备的安全控制方法,可以应用于纵向虚拟化网络,包括:
101、控制设备根据接入设备的设备信息和本地随机码生成登录密码。
其中,控制设备可以根据纵向虚拟网络中接入设备的设备信息和本地随机码,随机计算出与接入设备对应的登录密码。其中,设备信息用于描述接入设备的相关信息,具体可以从接入设备中获取,控制设备根据接入设备的设备信息生成的登录密码可以与接入设备相对应。可选地,接入设备的设备信息可以包括接入设备的硬件地址和/或版本信息和/或编译时间。
控制设备根据本地随机码生成的登录密码具有随机特性,从而难以被非法用户破解。可选地,本地随机码可以与控制设备的运行时间相关联,控制设备可以根据运行时间生成本地随机码。其中,由于控制设备的运行时间是随着时间的推移而实时变化的,因而控制设备根据该实时变化的参数生成本地随机码,并根据生成的本地随机码生成登录密码可以使得登录密码的安全性更高。当然,本地随机码也可以与运行时间之外的其它动态参数相关,这里不作具体限定。并且,现有技术中根据相关参数生成本地随机码的算法有多种,这里将不作详细描述。
102、控制设备在本地保存登录密码和接入设备的对应关系,以使得维护人员可以根据登录密码通过配置Console口登录接入设备,以对接入设备进行运维管理。
控制设备在生成登录密码之后,可以保存登录密码与接入设备的对应关系。由于控制设备可以管理和控制多个接入设备,并生成与多个接入设备中每个接入设备分别对应的登录密码,因而在控制设备中,多个接入设备对应的登录密码可以形成一张登录密码表。由于控制设备通常是由专门的维护人员进行维护的,其安全性可以保证,因而控制设备中的登录密码表可以为明文形式,以方便维护人员获取登录密码。
具体的,控制设备可以对请求获取接入设备登录密码的维护人员进行身份验证,在验证通过后,向维护人员返回登录密码表中保存的与接入设备对应的登录密码。
当网络系统出现故障使得无法通过控制设备对接入设备进行操控时,维护人员可以在获取到登录密码表中与接入设备对应的登录密码后,通过该登录密码登录配置Console口,从而直接对接入设备进行操控,以恢复网络系统。
103、控制设备将登录密码加密后发送给接入设备。
在上述步骤101中生成登录密码之后,控制设备可以将登录密码表中与接入设备对应的登录密码进行加密,并将加密后的登录密码封装成报文发送给接入设备。其中,由于加密算法可以有许多种,控制设备将登录密码加密后再发送给接入设备的过程中,即便非法用户在传输过程中捕获到加密后的登录密码,也难以破解登录密码加密时所采用的加密算法,从而可以提高登录密码在传输过程中的安全性。
其中,上述步骤103与步骤102没有明确的先后关系,步骤102可以在步骤103之前,或者步骤102也可以在步骤103之后,这里不做具体限定。
在本发明实施例提供的接入设备的安全控制方法中,纵向虚拟化网络中的控制设备可以根据接入设备的设备信息和本地随机码随机生成登录密码,由于本地随机码具有随机性,因而非法用户很难破译控制设备根据本地随机码生成的登录密码,从而提高了登录密码的安全性;而后控制设备将加密后的登录密码发送给接入设备,提高了登录密码传输过程中的安全性;并在本地保存登录密码和接入设备的对应关系的登录密码表,从而在系统出现故障无法通过控制设备对接入设备进行操控时,接入设备的维护人员可以根据登录密码表中与接入设备对应的登录密码安全便捷地通过配置Console口直接操控接入设备,从而对接入设备进行运维管理,因而能够降低网络运维的难度,提高网络的安全性。
参见图3,本发明另一实施例提供一种接入设备的安全控制方法,在上述实施例1描述的步骤之后,还可以包括:
104、接入设备接收控制设备发送的加密后的登录密码,并对加密后的登录密码进行解密。
接入设备接收控制设备发送的封装有加密后的登录密码的报文后,可以从中提取加密后的登录密码,并根据与控制设备约定的解密算法对加密后的登录密码进行解密。
105、接入设备将解密后的登录密码设置为自身的登录密码并保存。
接入设备获得解密后的登录密码后,可以将解密后的登录密码保存在本地,以便于在维护人员通过输入登录密码请求通过配置Console口登录接入设备时,对维护人员输入的登录密码进行验证。具体的,为了提高登录密码的安全性,防止登录密码被非法用户轻易获取接入设备可以根据一定的加密算法将解密后的登录密码加密为密文形式。示例性的,解码后的登录密码可以为abc123,密文形式的登录密码可能为一系列难以识别的字符,例如可以是*#¥2&%*:#。
106、接入设备在对采用配置Console口登录的维护人员的登录密码进行验证后,接受维护人员的运维管理。
在维护人员通过输入登录密码请求通过配置Console口登录接入设备时,接入设备可以根据保存的登录密码对维护人员输入的登录密码进行验证,并在验证通过后,允许维护人员通过Console直接对接入设备进行操控,从而接受维护人员的运维管理,以恢复网络系统。
在本发明实施例提供的接入设备的安全控制方法中,纵向虚拟化网络中的接入设备无法通过控制设备进行操控时,接入设备可以接收控制设备发送的加密后的登录密码并解密,将解密后的登录密码设置为本接入设备的登录密码并保存,从而当网络系统出现故障使得无法通过控制设备对接入设备进行操控时,接入设备可以根据保存的登录密码对维护人员输入的登录密码进行验证,并在验证通过后允许维护人员通过Console直接对接入设备进行操控,从而接受维护人员的运维管理,因而可以在降低网络运维的难度的同时提高网络的安全性。
参见图4,在上述步骤101-106之后,该方法还可以包括:
107、接入设备向控制设备发送密码确认消息,以通知控制设备登录密码设置成功。
108、控制设备接收接入设备发送的密码确认消息。
控制设备在接收到接入设备发送的密码确认消息后,确认接入设备登录密码设置生效。
进一步地,参见图5,在上述步骤101-108之后,本发明实施例提供的方法还可以包括:
109、若接入设备重新加入纵向虚拟化网络,则根据接入设备的设备信息和本地随机码重新生成登录密码。
当接入设备由于系统升级或故障维修等原因重新加入纵向虚拟化网络时,控制设备可以根据接入设备的设备信息和本地随机码重新生成登录密码。其中,由于设备信息中的部分内容可能发生了变化(例如版本号和编译时间等)且本地随机码肯定发生了变化,因而重新生成的登录密码与上次生成的登录密码不同,即便非法用户获取了上次的登录密码,也很难获取当前的登录密码,从而提高了登录密码的安全性。并且,根据变化后的设备信息重新生成登录密码,可以使得动态变化的登录密码与接入设备的设备状态保持对应。
在重新生成登录密码后,当接入设备的维护人员需要直接操控接入设备时,需要重新向控制设备获取登录密码,并使用新的登录密码通过Console进行安全登录。
此外,参见图6,在上述步骤101之前,本发明实施例提供的方法还可以包括:
110、控制设备向接入设备发送请求加入消息,请求加入消息用于请求接入设备加入纵向虚拟化网络。
在控制设备和接入设备上均部署纵向虚拟技术后,控制设备可以通过纵向Fabric口发送探测报文以主动发现接入设备,并向接入设备发送请求加入消息,请求接入设备作为远程接口板加入纵向虚拟网络。
111、接入设备接收控制设备发送的请求加入消息,并向控制设备发送加入确认消息。
112、控制设备接收用户发送的加入确认消息,并将接入设备加入纵向虚拟化网络。
具体的,通过步骤110-112,控制设备可以为接入设备分配扩展板编号(Slot-ID)的分配,完成接入设备的软件加载,从而将接入设备加入纵向虚拟化网络,进而可以通过上述步骤101-109对接入设备进行安全控制。
参见图7,本发明另一实施例提供一种纵向虚拟化网络中的控制设备200,该控制设备200可以包括:
密码生成单元201,可以用于根据接入设备的设备信息和本地随机码生成登录密码,并在本地保存登录密码和接入设备的对应关系,以使得维护人员可以根据登录密码通过配置Console口登录接入设备,以对接入设备进行运维管理。
其中,控制设备可以对请求获取接入设备登录密码的维护人员进行身份验证,在验证通过后,向维护人员返回保存的与接入设备对应的登录密码。
发送单元202,可以用于将密码生成单元201生成的登录密码加密后发送给接入设备。
这里的纵向虚拟网络可以是部署了纵向虚拟化技术的核心层和接入层形成的二层网络,例如二层局域网。控制设备200可以是部署了纵向虚拟化技术的核心层中的设备,可以用于管理和控制接入层中的设备,例如可以是框式交换机。
其中,接入设备的设备信息可以包括接入设备的硬件地址和/或版本信息和/或编译时间;本地随机码与控制设备200的运行时间相关联。
进一步地,密码生成单元201还可以用于:
若接入设备重新加入纵向虚拟化网络,则根据接入设备的设备信息和本地随机码重新生成登录密码。
本发明实施例提供一种纵向虚拟化网络中的控制设备,可以根据接入设备的设备信息和本地随机码随机生成登录密码,由于本地随机码具有随机性,因而非法用户很难破译控制设备根据本地随机码生成的登录密码,从而提高了登录密码的安全性;而后控制设备将加密后的登录密码发送给接入设备,提高了登录密码传输过程中的安全性;并在本地保存登录密码和接入设备的对应关系的登录密码表,从而在系统出现故障无法通过控制设备对接入设备进行操控时,接入设备的维护人员可以根据登录密码表中与接入设备对应的登录密码安全便捷地通过配置Console口直接操控接入设备,从而对接入设备进行运维管理,因而能够降低网络运维的难度,提高网络的安全性。
参见图8,本发明另一实施例提供一种接入设备300,该接入设备300可以包括:
接收单元301,可以用于接收控制设备发送的加密后的登录密码;
处理单元302,可以用于对接收单元301接收到的加密后的登录密码进行解密,将解密后的登录密码设置为接入设备300自身的登录密码并保存。
这里的纵向虚拟网络可以是部署了纵向虚拟化技术的核心层和接入层形成的二层网络,例如二层局域网。接入设备300可以是部署了纵向虚拟化技术的接入层中的设备,例如可以是盒式交换机。
身份验证单元303,可以用于在对采用配置Console口登录的维护人员输入的登录密码进行验证后,接受维护人员的运维管理。
进一步地,参见图9,该接入设备300还可以包括:
发送单元304,可以用于向控制设备发送密码确认消息,以通知控制设备登录密码设置成功。
本发明实施例提供一种纵向虚拟化网络中的接入设备,通过接收控制设备发送的加密后的登录密码并解密,将解密后的登录密码设置为本接入设备的登录密码并保存,从而当网络系统出现故障使得无法通过控制设备对接入设备进行操控时,接入设备可以根据保存的登录密码对维护人员输入的登录密码进行验证,并在验证通过后允许维护人员通过Console直接对接入设备进行操控,从而接受维护人员的运维管理,因而可以在降低网络运维的难度的同时提高网络的安全性。
此外,本发明另一实施例还提供一种纵向虚拟化网络系统,可以包括上述图7所示的控制设备和上述图8或9所示的接入设备,该系统的基本架构示意图可以参见上述图1,系统中的控制设备和接入设备可以用于执行上述方法实施例提供的接入设备的安全控制方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,简称ROM)、随机存取存储器RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。