CN107547251B - 一种设备管理方法、装置及系统 - Google Patents
一种设备管理方法、装置及系统 Download PDFInfo
- Publication number
- CN107547251B CN107547251B CN201710507459.4A CN201710507459A CN107547251B CN 107547251 B CN107547251 B CN 107547251B CN 201710507459 A CN201710507459 A CN 201710507459A CN 107547251 B CN107547251 B CN 107547251B
- Authority
- CN
- China
- Prior art keywords
- network
- primitive
- management
- network manager
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种设备管理方法、装置及系统,应用于非安全区的第一网管,该方法包括:当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;将所述指定格式的操作原语发送给安全区的第二网管,以使所述第二网管根据所述操作原语对所述网络设备进行管理。通过本申请的技术方案,在保证网络安全的情况下,使得非安全区的网管能够管理安全区的网络设备,因此,当运维人员使用非安全区的网管进行工作时,则运维人员也可以对安全区的网络设备进行管理。
Description
技术领域
本申请涉及网络管理技术领域,尤其涉及一种设备管理方法、装置及系统。
背景技术
为了保证安全性,可以将网络划分为信任网络和非信任网络,信任网络为安全区,非信任网络为非安全区,安全区和非安全区之间通过网闸(即安全隔离网闸)隔离。如图1所示,非安全区的网络设备无法与安全区的网络设备建立TCP(Transmission ControlProtocol,传输控制协议)连接,只能通过网闸向安全区的网络设备发送文本文件。安全区的网络设备可以与非安全区的网络设备建立TCP连接,并通过该TCP连接向非安全区的网络设备发送TCP数据。
基于网闸的通信模式,可以切断非安全区对安全区的TCP连接,使得各种病毒无法从非安全区到达安全区,并保证非安全区与安全区的基本通信需求。
但是,由于非安全区的网络设备无法与安全区的网络设备建立TCP连接,因此,各种网管协议(如SNMP(Simple Network Management Protocol,简单网络管理协议)等)均无法穿透网闸,这样,当运维人员使用非安全区的网管进行工作时,则运维人员无法通过网管协议对安全区的网络设备进行管理。
发明内容
本申请提供一种设备管理方法,应用于非安全区的第一网管,包括:
当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;将所述指定格式的操作原语发送给安全区的第二网管,以使所述第二网管根据所述操作原语对所述网络设备进行管理。
本申请提供一种设备管理方法,应用于安全区的第二网管,包括:
接收非安全区的第一网管发送的指定格式的操作原语;其中,所述操作原语是第一网管接收到用于对安全区的网络设备进行管理操作的命令时,根据与所述管理操作对应的操作信息生成的能够通过网闸传输至安全区的操作原语;
根据所述操作原语对所述网络设备进行管理。
本申请提供一种设备管理装置,应用于非安全区的第一网管,包括:
确定模块,用于当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;生成模块,用于根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;
发送模块,用于将所述指定格式的操作原语发送给安全区的第二网管,以使所述第二网管根据所述操作原语对所述网络设备进行管理。
本申请提供一种设备管理装置,应用于安全区的第二网管,包括:
接收模块,用于接收非安全区的第一网管发送的指定格式的操作原语;所述操作原语是所述第一网管接收到用于对安全区的网络设备进行管理操作的命令时,根据与所述管理操作对应的操作信息生成的能够通过网闸传输至安全区的操作原语;管理模块,用于根据所述操作原语对所述网络设备进行管理。
本申请提供一种设备管理系统,所述设备管理系统包括:非安全区的第一网管、安全区的第二网管,其中:所述第一网管,用于当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;将所述指定格式的操作原语发送给安全区的第二网管;
所述第二网管,用于接收非安全区的第一网管发送的指定格式的操作原语;根据所述操作原语对所述网络设备进行管理。
基于上述技术方案,本申请实施例中,在保证网络安全的情况下,使得非安全区的网管能够管理安全区的网络设备,因此,当运维人员使用非安全区的网管进行工作时,则运维人员也可以对安全区的网络设备进行管理。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中所记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是安全区和非安全区之间通过网闸进行隔离的示意图;
图2是本申请一种实施方式中的应用场景示意图;
图3是本申请一种实施方式中的设备管理方法的流程图;
图4是本申请一种实施方式中的设备管理装置的结构图;
图5是本申请一种实施方式中的第一网管的硬件结构图;
图6是本申请另一种实施方式中的设备管理装置的结构图;
图7是本申请一种实施方式中的第二网管的硬件结构图。
具体实施方式
在本申请使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请实施例和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种设备管理方法,该方法可以应用于包括第一网管和第二网管的系统,第一网管是部署在非安全区的网管,第二网管是部署在安全区的网管,且非安全区的第一网管通过网闸与安全区的第二网管进行通信。
参见图2所示,为本申请实施例的应用场景示意图,在非安全区部署有第一网管,且第一网管用于对非安全区的数据库(后续将非安全区的数据库称为第一数据库)进行管理。在安全区部署有第二网管,且第二网管用于对安全区的数据库(后续将安全区的数据库称为第二数据库)进行管理。此外,第一网管所管理的第一数据库还可以用于存储第二网管所管理的第二数据库中的网管数据。而且,第一数据库中的网管数据与第二数据库中的网管数据相同。
其中,网管数据可以包括但不限于以下之一或者任意组合:设备IP地址、设备标识、接口状态(如接口UP或DOWN)、设备状态(如在线或离线)等,对此网管数据不做限制,所有与网络设备有关的数据均在本申请保护范围之内。
其中,上述的第一网管和第二网管均可以指:用于对网络设备进行管理的设备,也称为网管设备,后续简称为网管。运维人员可以在浏览器上输入网管的IP地址和端口,从而可以登录到网管,并通过网管对网络设备进行管理。
在一个例子中,第二网管能够对安全区的所有网络设备(如网络设备A和网络设备B)进行管理,获取到网络设备的网管数据,并在第二数据库中记录网络设备的网管数据,如网络设备的IP地址、设备标识、接口状态、设备状态等。
例如,第二网管通过网管协议(SNMP,HTTP(Hyper Text Transfer Protocol,超文本传输协议),NETCONF(Network Configuration Protocol,网络配置协议),TELNET(远程登录),SSH(Secure Shell,安全外壳协议),ICMP(Internet Control Message Protocol,Internet控制报文协议)等)与网络设备进行通信,从而获取到网络设备的网管数据,并在第二数据库中记录该网络设备的网管数据。
其中,第一网管与第二网管配合实现对于安全区的网络设备进行管理。
为了减少管理员的管理成本,一种可选的实施方式为:位于非安全区的网管,可以同时对安全区的网络设备和非安全区的网络设备进行管理。为了实现上述目的,还可以在非安全区部署第三网管,第三网管通过网管协议与非安全区的网络设备进行通信,获取到非安全区的网络设备的网管数据,并对非安全区的网络设备进行管理,同时,第三网管可以与第一网管建立通信连接,使得第一网管成为第三网管的下级网管,当然,在具体实现时,位于非安全区的第三网管与第一网管可以位于同一设备中,那么,第三网管管理的非安全区的网管数据与第一网管管理的安全区的网管数据,在存储时需要相对隔离,例如可以存储至不同的数据库中。第三网管可以通过表述性状态传递REST接口(RepresentationalState Transfer,简称REST)访问第一网管管理的网管数据。
以下对第一网管与第二网管配合,实现对安全区的网络设备进行管理的过程进行说明。在第一网管与第二网管配合,实现对安全区的网络设备进行管理的过程中,第一网管可以先维护一个空白数据库,即初始状态是空白。
进一步的,第二网管可以从安全区的第二数据库中获取增量网管数据,并向第一网管发送所述增量网管数据。然后,第一网管可以接收第二网管发送的增量网管数据,并将所述增量网管数据存储到第一数据库中,以使第一数据库中的网管数据与第二网管管理的安全区的第二数据库中的网管数据相同。
其中,由于安全区的设备可以与非安全区的设备建立TCP连接(对此TCP连接的建立方式不做限制),因此,安全区的第二网管可以通过TCP消息,将第二数据库中的增量网管数据发送给第一网管,对此发送方式不做限制。
其中,当第二数据库中的网管数据发生变化时,则第二网管可以向第一网管发送增量网管数据。或者,第二网管还可以根据预设周期定时向第一网管发送增量网管数据,如第二网管每分钟向第一网管发送一次增量网管数据。
其中,上述增量网管数据可以是第二数据库中的所有网管数据,也可以是第二数据库中的发生变化的网管数据,对此增量网管数据的类型不做限制。
例如,假设第二网管已经将数据A和数据B发送给第一网管,且第二数据库中增加了数据C,则发生变化的网管数据就是增加数据C。
又例如,假设第二网管已经将数据A和数据B发送给第一网管,且第二数据库中减少了数据A,则发生变化的网管数据就是减少数据A。
在上述应用场景下,参见图3所示,为设备管理方法的流程示意图。
步骤301,当接收到用于对安全区的网络设备进行管理操作的命令(如管理员下发或者其他设备下发的命令)时,确定与该管理操作对应的操作信息。
随着网络设备功能的增多,管理操作的类型也越来越多,如修改网络设备的IP地址,发现网络设备的邻居关系,升级网络设备的版本,删除已有的网络设备,增加新的网络设备等,对于管理操作的类型不做限制,所有用于对网络设备进行管理操作的类型,均在本申请实施例的保护范围之内,在此不再赘述。
在一个例子中,当接收到用于对安全区的网络设备进行管理操作的命令时,该命令中可以携带操作信息,因此第一网管可以从该命令中解析出与该管理操作对应的操作信息,且该操作信息可以包括但不限于:操作名称和操作参数。
其中,每个管理操作对应有唯一的操作名称,第一网管可以从接收到的命令中解析出与该管理操作对应的操作名称。例如,当管理操作是增加新的网络设备时,则操作名称可以是addev(add device的简称);当管理操作是删除已有的网络设备时,则操作名称可以是deldev(delete device的简称);当管理操作是修改网络设备的IP地址时,则操作名称可以是moddevIP(modify device IP的简称);当管理操作是发现网络设备的邻居关系时,则操作名称可以是autodiscovry。以此类推,对于其它管理操作的操作名称不再详加赘述。
其中,每个管理操作对应有操作参数,且第一网管还可以从接收到的命令中解析出与该管理操作对应的操作参数。例如,当管理操作是修改网络设备A的IP地址时,则第一网管可以获取到修改后的IP地址,这个修改后的IP地址就是操作参数。又例如,当管理操作是发现网络设备A的邻居关系时,则第一网管可以获取到IP网段(如10.153.1.0-10.153.1.255),这个IP网段就是操作参数,表示从该IP网段发现网络设备的邻居网络设备。又例如,当管理操作是升级网络设备A的版本时,则第一网管可以获取到升级后的版本信息,这个版本信息就是操作参数。以此类推,对于其它管理操作的操作参数,在此不再赘述。
步骤302,第一网管根据操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语。其中,指定格式可以包括但不限于文本格式。常用的文本格式可以包括但不限于ASCll、MIME、TXT等。
其中,本实施例中的指定格式可选为TXT格式。
在另一个例子中,若确定需要获取网络设备的网管数据,则第一网管还可以从非安全区的第一数据库中获取与网络设备对应的网管数据,并根据获取的网管数据和操作信息生成能够通过网闸传输至安全区的指定格式的操作原语。
在实际应用中,对于某些管理操作来说,如自动发现这个管理操作,不需要使用网络设备的网管数据,就可以完成对网络设备的管理。例如,第一网管接收到管理员输入的自动发现指令,自动发现指令中包括IP网段信息,即该自动发现指令用于指示自动发现处于上述网段中网络设备,第一网管设备无需获取非安全区的数据库中的网管数据,直接根据自动发现指令中的操作名称(自动发现)和操作对象(IP地址)、操作参数(上述网段中的IP地址)生成操作原语。
而对于另一些管理操作来说,如增加新的网络设备、删除已有的网络设备、修改网络设备的IP地址、升级网络设备的版本等,需要使用网络设备的网管数据,才可以完成对网络设备的管理。基于此,第一网管可以根据网管数据和操作信息生成指定格式的操作原语。
其中,针对“第一网管从非安全区的第一数据库中获取与网络设备对应的网管数据”的过程,例如,当需要对安全区的网络设备A进行管理操作(如修改网络设备A的IP地址、发现网络设备A的邻居关系、升级网络设备A的版本等)时,则第一网管可以从第一数据库中获取到网络设备A对应的网管数据,并从这些网管数据中获得网络设备A的IP地址、网络设备A的设备标识等内容,这些内容也就是操作对象,即可以根据操作对象确定待管理的网络设备。
在一个例子中,针对“生成指定格式的操作原语”的过程,可以包括:从操作原语表中查询到数据结构,并根据该数据结构生成指定格式的操作原语。其中,在根据操作信息生成指定格式的操作原语时,操作原语包括基于操作信息确定的操作名称和操作参数。在根据操作信息和网管数据生成指定格式的操作原语时,操作原语包括操作对象、基于操作信息确定的操作名称和操作参数。
在一个例子中,操作原语是用于执行某种操作的原语,如针对修改网络设备的IP地址这个管理操作的原语,针对发现网络设备的邻居关系这个管理操作的原语等。进一步的,原语是由若干个指令构成,完成某种特定功能的一个过程,具有不可分割性,即原语的执行是连续的,执行过程中不允许被中断。
在一个例子中,操作原语表用于记录操作名称、操作对象和操作参数的数据结构,或者,操作原语表用于记录操作名称、操作参数的数据结构。为了方便描述,以操作原语表用于记录操作名称、操作对象和操作参数的数据结构为例,如数据结构可以是[a][b][c],中间以空格分隔;或者,数据结构可以是{a}{b}{c},中间以空格分隔;或者,数据结构可以是[a],[b],[c],中间以逗号分隔;数据结构可以是[b][c][a],中间以空格分隔;以此类推,对此数据结构不做限制,只要在数据结构中包含操作名称、操作对象和操作参数等三个信息即可。而且,上述a为操作名称,上述b为操作对象,上述c为操作参数。
第一网管在从操作原语表中查询到上述数据结构后,就可以将之前得到的操作名称、操作对象和操作参数(或者操作名称、操作参数)代入数据结构的相应位置,从而生成指定格式的操作原语。例如,当数据结构是[a][b][c]时,则第一网管可以将基于操作信息确定的操作名称写入到“a”的位置,将基于网管数据确定的操作对象写入到“b”的位置,将基于操作信息确定的操作参数写入到“c”的位置,然后可以生成文本格式的操作原语,即一个包括操作原语的文本文件。
在一个例子中,第一网管可以将一个操作原语写入到文本文件,也可以将多个操作原语写入到文本文件,该文本文件的每行就相是一个操作原语。
步骤303,第一网管将指定格式的操作原语发送给安全区的第二网管。
在一个例子中,由于非安全区的设备无法与安全区的设备建立TCP连接,只能通过网闸向安全区的设备发送文本文件,因此,本申请实施例中,第一网管是生成文本格式的操作原语,并通过网闸将文本格式的操作原语发送给第二网管,对于将文本格式的操作原语发送给第二网管的方式,对此不做限制。
步骤304,第二网管接收非安全区的第一网管发送的指定格式的操作原语。
步骤305,第二网管根据该操作原语对网络设备进行管理。
在一个例子中,针对“第二网管根据该操作原语对网络设备进行管理”的过程,可以包括:第二网管从操作原语表中查询到数据结构,并根据该数据结构对操作原语进行解析,得到该操作原语中包括的操作名称、操作对象和操作参数,然后,第二网管可以根据操作名称、操作对象和操作参数对网络设备进行管理。
或者,第二网管还可以从操作原语表中查询到数据结构,并根据该数据结构对操作原语进行解析,得到该操作原语中包括的操作名称和操作参数,然后,第二网管可以根据操作名称和操作参数对网络设备进行管理。为了方便描述,后续以操作原语中包括操作名称、操作对象和操作参数为例进行说明。
在一个例子中,操作原语表用于记录操作名称、操作对象和操作参数的数据结构,如数据结构可以是[a][b][c],中间以空格分隔;或者,数据结构可以是{a}{b}{c},中间以空格分隔;或者,数据结构可以是[a],[b],[c],中间以逗号分隔;数据结构可以是[b][c][a],中间以空格分隔;以此类推,对此数据结构不做限制,只要在数据结构中包含操作名称、操作对象和操作参数等三个信息即可。而且,上述a为操作名称,上述b为操作对象,上述c为操作参数。
在一个例子中,第二网管存储的操作原语表与第一网管存储的操作原语表相同,例如,第二网管存储的操作原语表中的数据结构是[a][b][c],中间以空格分隔,第一网管存储的操作原语表中的数据结构也是[a][b][c],中间以空格分隔。其中,为了使第二网管存储的操作原语表与第一网管存储的操作原语表相同,可以在第一网管预先配置操作原语表,并在第二网管配置相同的操作原语表。
进一步的,由于操作原语中包括操作名称、操作对象和操作参数,且该操作原语是第一网管根据操作原语表中的数据结构生成的,且第二网管存储的操作原语表中的数据结构与第一网管存储的操作原语表中的数据结构相同,因此,第二网管从操作原语表中查询到数据结构后,可以根据该数据结构对操作原语进行解析,从而得到该操作原语中包括的操作名称、操作对象和操作参数。
例如,当数据结构是[a][b][c],第一网管将操作名称写入到“a”的位置,将操作对象写入到“b”的位置,将操作参数写入到“c”的位置时,则第二网管在对操作原语进行解析时,可以将“a”的位置的信息确定为操作名称,并将“b”的位置的信息确定为操作对象,并将“c”的位置的信息确定为操作参数。综上所述,第二网管可以得到该操作原语中包括的操作名称、操作对象和操作参数等内容。
在一个例子中,针对“根据操作名称、操作对象和操作参数对网络设备进行管理”的过程,由于每个管理操作对应有唯一的操作名称,因此在获得操作名称后,就可以确定出与该操作名称对应的管理操作。例如,当操作名称是addev时,管理操作是增加新的网络设备;当操作名称是deldev时,管理操作是删除已有的网络设备;当操作名称是moddevIP时,管理操作是修改网络设备的IP地址;当操作名称是autodiscovry时,管理操作是发现网络设备的邻居关系。
此外,由于该操作对象可以是网络设备的IP地址、网络设备的设备标识等内容,因此,可以通过此操作对象,就可以找到对应的网络设备。进一步的,该操作参数是与该管理操作对应的操作参数,例如,当管理操作是修改网络设备的IP地址时,则操作参数是修改后的IP地址;当管理操作是发现网络设备的邻居关系时,则操作参数是IP网段(如10.153.1.0-10.153.1.255);当管理操作是升级网络设备的版本时,则操作参数是升级后的版本信息;以此类推。
综上所述,针对与该操作对象对应的网络设备,第二网管可以采用上述操作参数,对该网络设备执行该管理操作。例如,当管理操作是修改网络设备的IP地址,操作对象是网络设备A的设备标识,操作参数是修改后的IP地址X时,则第二网管可以将网络设备A的IP地址修改为IP地址X。又例如,当管理操作是升级网络设备的版本,操作对象是网络设备A的设备标识,操作参数是升级后的版本信息Z时,则第二网管可以利用版本信息Z对网络设备A的版本进行升级,对此升级过程不再赘述。当然,上述过程只是给出了第二网管对网络设备执行管理操作的几个示例,对此管理操作的过程不再详加赘述。
在一个例子中,为了保证数据传输的安全性,第一网管将指定格式的操作原语发送给第二网管之前,还可以根据第一密钥对指定格式的操作原语进行加密;这样,发送给第二网管的操作原语是经过加密的。第二网管在根据操作原语对网络设备进行管理之前,还可以根据第二密钥对接收到的操作原语进行解密,得到解密后的操作原语,并使用解密后的操作原语对网络设备进行管理。其中,第二密钥为与第一密钥相对应的解密密钥,用于对采用第一密钥加密的报文进行解密。
可选的,第一网管使用的第一密钥与第二网管使用的第二密钥相同,且第一网管存储的加解密算法与第二网管存储的加解密算法相同。例如,第一网管存储AES(AdvancedEncryption Standard,高级加密标准)算法,并存储密钥Y,第二网管也存储AES算法,并存储密钥Y。这样,基于AES算法,第一网管可以利用密钥Y对操作原语进行加密,具体加密过程不再赘述;基于AES算法,第二网管可以利用密钥Y对接收到的操作原语进行解密,得到解密后的操作原语,具体解密过程不再赘述。当然,上述AES算法只是加解密算法的一个示例,还可以是DES(Data Encryption Standard,数据加密标准)、DSA(Digital SignatureAlgorithm,数字签名算法)、散列算法等其它加解密算法,对此算法不做限制。
为了使第一网管存储的第一密钥与第二网管存储的第二密钥相同,第一网管存储的加解密算法与第二网管存储的加解密算法相同,可以在第一网管预先配置第一密钥和加解密算法,并在第二网管配置相同的第二密钥和加解密算法。
其中,由于第二网管位于安全区,非安全区的设备只能向安全区的设备发送文本格式的报文,不便于动态的密钥协商。可选的,第一密钥和第二密钥由管理员预先约定,并输入至两个网管设备中,即第一网管预先存储第一密钥,第二网管预先存储第二密钥。当然,也可以采用操作原语的方式,对密钥进行动态协商。
第一网管不对外公布第一密钥和加解密算法,第二网管也不对外公布第二密钥和加解密算法,这样,即使攻击者冒充第一网管向第二网管发送操作原语,由于攻击者无法获取到第一密钥和加解密算法,因此,该操作原语不合法,第二网管不会根据该操作原语对网络设备进行管理,从而防止攻击,保证安全性。
基于上述技术方案,本申请实施例中,在保证网络安全的情况下,使得非安全区的网管能够管理安全区的网络设备,因此,当运维人员使用非安全区的网管进行工作时,则运维人员也可以对安全区的网络设备进行管理。
基于与上述方法同样的申请构思,本申请实施例中还提出一种设备管理装置,应用于非安全区的第一网管,如图4所示,为所述装置的结构图。
确定模块401,用于当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;
生成模块402,用于根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;
发送模块403,用于将所述指定格式的操作原语发送给安全区的第二网管,以使所述第二网管根据所述操作原语对所述网络设备进行管理。
在一个例子中,所述设备管理装置还包括(在图中未体现):
接收模块,用于接收所述第二网管发送的增量网管数据,并将所述增量网管数据存储到所述第一网管管理的非安全区的数据库中,以使所述非安全区的数据库中的网管数据与第二网管管理的安全区的数据库中的网管数据相同。
所述生成模块402,还用于在确定需要获取所述网络设备的网管数据时,从非安全区的数据库中获取与所述网络设备对应的网管数据,根据获取的网管数据和所述操作信息生成能够通过网闸传输至安全区的指定格式的操作原语。
在生成指定格式的操作原语的过程中,所述生成模块402,具体用于从操作原语表中查询到数据结构,根据所述数据结构生成指定格式的操作原语;其中,所述操作原语包括操作对象、基于所述操作信息确定的操作名称和操作参数;所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
可选的,为了防止攻击,保证安全性,在上述实施例的基础上,第一网管还可以包括:加密模块(图中未示出),用于根据第一密钥对所述指定格式的操作原语进行加密。
本申请实施例提供的第一网管,从硬件层面而言,硬件架构示意图具体可以参见图5所示。包括:机器可读存储介质和处理器,其中:
机器可读存储介质:存储指令代码。
处理器:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的所述指令代码,实现本申请上述示例公开的设备管理操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
基于与上述方法同样的申请构思,本申请实施例中还提出一种设备管理装置,应用于安全区的第二网管,如图6所示,为所述装置的结构图。
接收模块601,用于接收非安全区的第一网管发送的指定格式的操作原语;其中,所述操作原语是所述第一网管接收到用于对安全区的网络设备进行管理操作的命令时,根据与所述管理操作对应的操作信息生成的能够通过网闸传输至安全区的操作原语;
管理模块602,用于根据所述操作原语对所述网络设备进行管理。
在一个例子中,所述设备管理装置还包括(在图中未体现):
发送模块,用于从所述第二网管管理的安全区的数据库中获取增量网管数据,并向所述第一网管发送所述增量网管数据,以使所述第一网管将所述增量网管数据存储到所述第一网管管理的非安全区的数据库中,并使所述非安全区的数据库中的网管数据与所述安全区的数据库中的网管数据相同。
所述管理模块602,具体用于在根据所述操作原语对所述网络设备进行管理的过程中,从操作原语表中查询到数据结构,并根据所述数据结构对所述操作原语进行解析,得到所述操作原语中包括的操作名称、操作对象和操作参数,并根据所述操作名称、所述操作对象和所述操作参数对所述网络设备进行管理;其中,所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
解密模块(图中未示出),用于根据第二密钥,对指定格式的操作原语进行解密。第二密钥为与第一密钥相对应的解密密钥。
本申请实施例提供的第二网管,从硬件层面而言,硬件架构示意图具体可以参见图7所示。包括:机器可读存储介质和处理器,其中:
机器可读存储介质:存储指令代码。
处理器:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的所述指令代码,实现本申请上述示例公开的设备管理操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
基于与上述方法同样的申请构思,本申请实施例中还提出一种设备管理系统,所述设备管理系统包括:非安全区的第一网管、安全区的第二网管,其中:
所述第一网管,用于当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;将所述指定格式的操作原语发送给安全区的第二网管。所述第二网管,用于接收非安全区的第一网管发送的指定格式的操作原语;根据所述操作原语对所述网络设备进行管理。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种设备管理方法,其特征在于,应用于非安全区的第一网管,包括:
当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;
根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;
将所述指定格式的操作原语发送给安全区的第二网管,以使所述第二网管根据所述操作原语对所述网络设备进行管理;
其中,所述生成指定格式的操作原语的过程,具体包括:
从操作原语表中查询到数据结构,根据所述数据结构生成指定格式的操作原语;所述操作原语包括操作对象、基于所述操作信息确定的操作名称和操作参数;所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述第二网管发送的增量网管数据,并将所述增量网管数据存储到所述第一网管管理的非安全区的数据库中,以使所述非安全区的数据库中的网管数据与所述第二网管管理的安全区的数据库中的网管数据相同。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若确定需要获取所述网络设备的网管数据,则从所述非安全区的数据库中获取与所述网络设备对应的网管数据,并根据获取的网管数据和所述操作信息生成能够通过网闸传输至安全区的指定格式的操作原语。
4.根据权利要求1所述的方法,其特征在于,所述将所述指定格式的操作原语发送给安全区的第二网管之前,所述方法还包括:
根据第一密钥,对所述指定格式的操作原语进行加密。
5.一种设备管理方法,其特征在于,应用于安全区的第二网管,包括:
接收非安全区的第一网管发送的指定格式的操作原语;其中,所述操作原语是第一网管接收到用于对安全区的网络设备进行管理操作的命令时,根据与所述管理操作对应的操作信息生成的能够通过网闸传输至安全区的操作原语;
根据所述操作原语对所述网络设备进行管理;
其中,所述根据所述操作原语对所述网络设备进行管理的过程,具体包括:
从操作原语表中查询到数据结构,并根据所述数据结构对所述操作原语进行解析,得到所述操作原语中包括的操作名称、操作对象和操作参数,并根据所述操作名称、所述操作对象和所述操作参数对所述网络设备进行管理;其中,所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
从所述第二网管管理的安全区的数据库中获取增量网管数据;
向所述第一网管发送所述增量网管数据,以使所述第一网管将所述增量网管数据存储到所述第一网管管理的非安全区的数据库中,并使所述非安全区的数据库中的网管数据与所述安全区的数据库中的网管数据相同。
7.一种设备管理装置,其特征在于,应用于非安全区的第一网管,包括:
确定模块,用于当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;
生成模块,用于根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;
发送模块,用于将所述指定格式的操作原语发送给安全区的第二网管,以使所述第二网管根据所述操作原语对所述网络设备进行管理;
其中,在生成指定格式的操作原语的过程中,所述生成模块,具体用于从操作原语表中查询到数据结构,根据所述数据结构生成指定格式的操作原语;其中,所述操作原语包括操作对象、基于所述操作信息确定的操作名称和操作参数;所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述第二网管发送的增量网管数据,并将所述增量网管数据存储到所述第一网管管理的非安全区的数据库中,以使所述非安全区的数据库中的网管数据与第二网管管理的安全区的数据库中的网管数据相同。
9.根据权利要求8所述的装置,其特征在于,所述生成模块,还用于在确定需要获取所述网络设备的网管数据时,则从所述非安全区的数据库中获取与所述网络设备对应的网管数据,并根据获取的网管数据和所述操作信息生成能够通过网闸传输至安全区的指定格式的操作原语。
10.一种设备管理装置,其特征在于,应用于安全区的第二网管,包括:
接收模块,用于接收非安全区的第一网管发送的指定格式的操作原语;其中,所述操作原语是所述第一网管接收到用于对安全区的网络设备进行管理操作的命令时,根据与所述管理操作对应的操作信息生成的能够通过网闸传输至安全区的操作原语;
管理模块,用于根据所述操作原语对所述网络设备进行管理;其中,所述管理模块,具体用于在根据所述操作原语对所述网络设备进行管理的过程中,从操作原语表中查询到数据结构,并根据所述数据结构对所述操作原语进行解析,得到所述操作原语中包括的操作名称、操作对象和操作参数,并根据所述操作名称、所述操作对象和所述操作参数对所述网络设备进行管理;其中,所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
发送模块,用于从所述第二网管管理的安全区的数据库中获取增量网管数据,并向所述第一网管发送所述增量网管数据,以使所述第一网管将所述增量网管数据存储到所述第一网管管理的非安全区的数据库中,并使所述非安全区的数据库中的网管数据与所述安全区的数据库中的网管数据相同。
12.一种设备管理系统,其特征在于,所述设备管理系统包括:非安全区的第一网管、安全区的第二网管,其中:
所述第一网管,用于当接收到用于对安全区的网络设备进行管理操作的命令时,确定与所述管理操作对应的操作信息;根据所述操作信息,生成能够通过网闸传输至安全区的指定格式的操作原语;将所述指定格式的操作原语发送给安全区的第二网管;其中,所述生成指定格式的操作原语的过程,具体包括:从操作原语表中查询到数据结构,根据所述数据结构生成指定格式的操作原语;所述操作原语包括操作对象、基于所述操作信息确定的操作名称和操作参数;所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构;
所述第二网管,用于接收非安全区的第一网管发送的指定格式的操作原语;根据所述操作原语对所述网络设备进行管理;其中,所述根据所述操作原语对所述网络设备进行管理的过程,具体包括:从操作原语表中查询到数据结构,并根据所述数据结构对所述操作原语进行解析,得到所述操作原语中包括的操作名称、操作对象和操作参数,并根据所述操作名称、所述操作对象和所述操作参数对所述网络设备进行管理;其中,所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710507459.4A CN107547251B (zh) | 2017-06-28 | 2017-06-28 | 一种设备管理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710507459.4A CN107547251B (zh) | 2017-06-28 | 2017-06-28 | 一种设备管理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547251A CN107547251A (zh) | 2018-01-05 |
| CN107547251B true CN107547251B (zh) | 2021-04-27 |
Family
ID=60970343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710507459.4A Active CN107547251B (zh) | 2017-06-28 | 2017-06-28 | 一种设备管理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547251B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019183459A1 (en) * | 2018-03-23 | 2019-09-26 | Micron Technology, Inc. | Storage device authenticated modification |
| CN112446037B (zh) * | 2020-10-20 | 2021-10-08 | 湖南红普创新科技发展有限公司 | 基于数据库网关端的数据交互方法、装置及相关设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438125A (zh) * | 2011-08-22 | 2012-05-02 | 广东电网公司电力科学研究院 | 一种视频反向隔离传输的方法 |
| CN103259703B (zh) * | 2013-03-15 | 2016-08-03 | 山西省电力公司大同供电分公司 | 适用于电力行业的实时总线跨安全区通信方法 |
| TWI497415B (zh) * | 2013-06-21 | 2015-08-21 | Wistron Neweb Corp | 韌體升級方法與使用此方法的裝置 |
| CN103309997A (zh) * | 2013-06-25 | 2013-09-18 | 上海航天测控通信研究所 | 一种数据库合并的内外网并行运行系统及其数据库合并方法 |
| CN103491072B (zh) * | 2013-09-06 | 2017-03-15 | 中国航天系统科学与工程研究院 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN205385645U (zh) * | 2016-01-20 | 2016-07-13 | 浙江万邦智能工程有限公司 | 智能路灯照明控制系统 |
| CN106230806A (zh) * | 2016-07-26 | 2016-12-14 | 中国南方电网有限责任公司信息中心 | 混合数据在内外网隔离环境下的定制协议通讯系统和方法 |
-
2017
- 2017-06-28 CN CN201710507459.4A patent/CN107547251B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547251A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230043229A1 (en) | Enhanced monitoring and protection of enterprise data | |
| CN113656806B (zh) | 区块链一体机的可信启动方法及装置 | |
| EP3937045B1 (en) | Hash updating methods and apparatuses of blockchain integrated station | |
| US9240882B2 (en) | Key generating device and key generating method | |
| CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| KR20150141362A (ko) | 네트워크 노드 및 네트워크 노드의 동작 방법 | |
| CN113329030A (zh) | 区块链一体机及其密码加速卡、密钥管理方法和装置 | |
| CN111131282B (zh) | 请求加密方法、装置、电子设备及存储介质 | |
| CN110661748A (zh) | 一种日志的加密方法、解密方法及装置 | |
| US9762388B2 (en) | Symmetric secret key protection | |
| Echeverria et al. | Authentication and authorization for IoT devices in disadvantaged environments | |
| CN107547251B (zh) | 一种设备管理方法、装置及系统 | |
| CN114499836B (zh) | 一种密钥管理方法、装置、计算机设备及可读存储介质 | |
| US20240272809A1 (en) | Sharing data in an organized storage system | |
| CN112580056A (zh) | 一种终端设备、数据加密方法、解密方法、及电子设备 | |
| CN105518696A (zh) | 对数据存储器执行操作 | |
| CN106972928B (zh) | 一种堡垒机私钥管理方法、装置及系统 | |
| KR20190139742A (ko) | 블록체인에서 정보 조회 시간의 기록을 위한 분산 원장 장치 | |
| CN108259229B (zh) | 一种设备管理方法、装置及系统 | |
| CN111797417A (zh) | 文件的上传方法和装置、存储介质及电子装置 | |
| KR20190139744A (ko) | Uuid를 이용한 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치 | |
| US11831756B2 (en) | Sharing access to data externally | |
| US11575507B1 (en) | Sharing access to data | |
| US20230239138A1 (en) | Enhanced secure cryptographic communication system | |
| CN108632223B (zh) | 一种信息处理方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |