CN113839969A - 一种双向认证的网络管理协议方法和系统 - Google Patents

一种双向认证的网络管理协议方法和系统 Download PDF

Info

Publication number
CN113839969A
CN113839969A CN202111427310.8A CN202111427310A CN113839969A CN 113839969 A CN113839969 A CN 113839969A CN 202111427310 A CN202111427310 A CN 202111427310A CN 113839969 A CN113839969 A CN 113839969A
Authority
CN
China
Prior art keywords
network management
authentication
equipment
management agent
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111427310.8A
Other languages
English (en)
Other versions
CN113839969B (zh
Inventor
杨林
马琳茹
王雯
张紫萱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Original Assignee
Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences filed Critical Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Priority to CN202111427310.8A priority Critical patent/CN113839969B/zh
Publication of CN113839969A publication Critical patent/CN113839969A/zh
Application granted granted Critical
Publication of CN113839969B publication Critical patent/CN113839969B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种双向认证的网络管理协议方法和系统。步骤S1、设备接入双向认证;步骤S2、控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用步骤S1中的协商的密钥进行加密传输;步骤S3、测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用步骤S1中的协商的密钥进行加密传输;步骤S4、查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文,采用步骤S1协商的密钥进行加密传输;步骤S5、主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用步骤S1协商的密钥进行加密传输。

Description

一种双向认证的网络管理协议方法和系统
技术领域
本发明属于通网络协议领域,尤其涉及一种双向认证的网络管理协议方法和系统。
背景技术
网络管理系统中最重要的部分就是网络管理协议,它定义了网络管理者与网络代理间的通信方法,是维护网络正常运行的基础。近年来,随着计算机技术和网络的快速发展,网络管理也越来越受到人们的重视。一般来讲,网络管理包括对硬件、软件和人力的使用、综合与协调,通过这些对网络资源进行监视、测试、配置、分析、评价和控制,这样有利于以合理的价格满足网络的一些需求,如实时运行性能、服务质量等。其目的是实现资源利用的最大化,对网络的正常运行进行维护。
目前最常用的网络管理协议是由互联网工程任务组(IETF:InternetEngineering Task Force)定义的简单网络管理协议(SNMP:Simple Network ManagementProtocol)。SNMP环境中的认证服务主要是保证接收的报文来自它所声称的源。它提供的只是最简单的单向认证方案:从管理站发送到代理的报文(Get, Set等)都有一个团体名,通过团体名验证的报文才是最有效的。SNMP在具有简单、易实现、操作经验丰富等优点的同时,也存在着一定缺陷,主要表现在SNMP的单向认证无法提供较高的安全性保证,不能防止偷听、中间人攻击等问题。
发明内容
针对上述技术问题,本发明提出了一种双向认证的网络管理协议方案。该方案基于网管系统和被管理设备之间的安全自定义网络管理协议SCNMP(Security CustomNetwork Management Protocol)来实现,包括网络管理系统(以下简称网管系统)与安全核心路由器的通信协议、网管系统与安全接入路由器之间的管理消息、网管系统节点间管理协议等内容。具体的,一是网管设备与安全路由器间通过双向认证完成安全接入,根据准入策略和对端设备节点信息来决策是否完成认证;二是密钥协商与接入认证紧密耦合,完成密钥协商是接入认证的必要条件;三是认证成功后续的网管报文(包括控制、测试、查询、主报等)在链路层加密传输和合法性鉴别,实现配置管理、故障管理、性能管理等功能,保证了网管设备、安全路由器以及网管信息三者的安全可信。
本发明第一方面公开了一种双向认证的网络管理协议方法。所述方法包括:
步骤S1、将需要认证的设备接入双向认证:通过双向认证软件触发各自设备上的加密模块,所述加密模块之间通过传输密钥协商信息进行密钥协商,所述双向认证软件决策是否完成认证,并向所述加密模块通知认证完成结果,认证成功后,后续的报文使用上述协商的密钥进行加密传输;
步骤S2、控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用步骤S1中的协商的密钥进行加密传输;
步骤S3、测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用步骤S1中的协商的密钥进行加密传输;
步骤S4、查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文,采用步骤S1协商的密钥进行加密传输;
步骤S5、主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用步骤S1协商的密钥进行加密传输。
根据本发明第一方面的方法,在所述步骤S1中,具体包括:
步骤S11、通过双向认证软件触发各自设备上的加密模块进行密钥协商来完成安全鉴别;
步骤S12、所述加密模块之间传输密钥协商信息进行密钥协商,并将密钥协商结果通知给所述双向认证软件;
步骤S13 、所述双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证,并向加密模块通知认证完成结果,认证成功后,后续的报文使用协商的密钥进行加密传输。
根据本发明第一方面的方法,在所述步骤S2中,具体包括:
步骤S21、所述设备网管将控制命令和相应的数据按照协议要求打包为数据包,将所述数据包发送到网管代理;
步骤S22、所述网管代理收到数据包后,根据设备网管的类型及地址,将收到的数据包按照网管代理与被管理设备的通信协议进行协议格式转换后发送给所述被管理设备;
步骤S23、所述被管理设备收到协议格式转换后的数据包,根据所述数据包中的控制命令进行相关处理,并将处理结果按照网管代理与被管理设备的通信协议格式即控制应答发送给所述网管代理;
步骤S24、所述网管代理收到控制应答后,按照设备网管与网管代理的通信协议格式即控制应答发送给所述设备网管;
步骤S25、所述设备网管在收到返回的控制应答的消息后,检查是否有后续的控制命令发送,如果有,重复步骤S21~S24,继续发送后续的控制命令;
步骤S26、所述网管代理和被管理设备在执行完控制命令后,以控制应答结束的命令格式返回,所述网管设备在收到控制应答结束命令后,结束整个流程。
根据本发明第一方面的方法,在所述步骤S3中,具体包括:
步骤S31、所述设备网管发送测试命令到所述网管代理;
步骤S32、所述网管代理根据设备类型及设备地址,将测试命令按照网管代理与被管理设备之间通信协议格式转发到对应的被管理设备;
步骤S33、所述被管理设备收到测试命令后,进行环回测试,并按照网管代理与被管理设备之间通信协议格式将测试结果返回网管代理;
步骤S34、所述网管代理按照设备网管与网管代理之间的协议格式将测试结果发送给设备网管;
步骤S35、所述设备网管收到返回的测试结果即测试应答结束消息后,结束本次测试。
根据本发明第一方面的方法,在所述步骤S4中,包括:状态查询操作和配置、性能数据查询操作;具体如下:
步骤S41、状态查询操作;
步骤S411、所述设备网管向网管代理发送查询设备状态命令即查询操作的数据包;
步骤S412、所述网管设备对收到的数据包即应答包进行处理、判断;所述收到的数据包如果不是查询应答结束包,则网管设备继续发送后续查询操作的数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话;
步骤S42、配置、性能数据查询操作;
步骤S421、所述设备网管向网管代理发送配置或性能数据查询命令即查询操作数据包;
步骤S422、所述网管代理根据被管理设备类型和设备地址,将查询命令转换成网管代理与被管理设备之间的通信协议格式后发往被管理设备;被管理设备收到网管查询命令后,返回查询结果给网管代理,并由网管代理将所述查询结果发送给所述设备网管;
步骤S423、所述网管设备对收到的查询结果即应答包进行处理、判断;所述收到的应答包如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话。
根据本发明第一方面的方法,在所述步骤S5中,具体包括:
步骤51、所述被管理设备向网管代理发送主报消息;
步骤52、所述网管代理将所述主报消息转换成设备网管与网管代理之间通信协议格式后发送给设备网管;
步骤53、所述设备网管收到所述主报消息后,判定是否需要应答,如果需要应答,则发送应答消息给所述网管代理,所述网管代理将所述应答消息转换成网管代理与被管理设备之间通信协议消息格式后发送给所述被管理设备,本次操作结束。
根据本发明第一方面的方法,所述需要认证的设备包括设备网管和安全路由器;所述控制操作的双向认证、测试操作的双向认证、查询操作的双向认证和主报操作的双向认证的报文均在链路层采用步骤S1协商的密钥进行加密传输。
本发明第二方面公开了一种用于双向认证的网络管理协议系统。所述系统包括:
第一处理单元,被配置为,将需要认证的设备接入双向认证:通过双向认证软件触发各自设备上的加密模块,所述加密模块之间通过传输密钥协商信息进行密钥协商,所述双向认证软件决策是否完成认证,并向所述加密模块通知认证完成结果,认证成功后,后续的报文使用上述协商的密钥进行加密传输;
第二处理单元,被配置为,控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用协商的密钥进行加密传输;
第三处理单元,被配置为,测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用协商的密钥进行加密传输;
第四处理单元,被配置为,查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文采用协商的密钥进行加密传输;
第五处理单元,被配置为,主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用协商的密钥进行加密传输。
根据本发明第二方面的系统,所述第一处理单元具体被配置为执行:
步骤S11、通过双向认证软件触发各自设备上的加密模块进行密钥协商来完成安全鉴别;
步骤S12、所述加密模块之间传输密钥协商信息进行密钥协商,并将密钥协商结果通知给所述双向认证软件;
步骤S13、所述双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证,并向加密模块通知认证完成结果,认证成功后,后续的报文使用协商的密钥进行加密传输。
根据本发明第二方面的系统,所述第二处理单元具体被配置为执行:
步骤S21、所述设备网管将控制命令和相应的数据按照协议要求打包为数据包,将所述数据包发送到网管代理;
步骤S22、所述网管代理收到数据包后,根据设备网管的类型及地址,将收到的数据包按照网管代理与被管理设备的通信协议进行协议格式转换后发送给所述被管理设备;
步骤S23、所述被管理设备收到协议格式转换后的数据包,根据所述数据包中的控制命令进行相关处理,并将处理结果按照网管代理与被管理设备的通信协议格式即控制应答发送给所述网管代理;
步骤S24、所述网管代理收到控制应答后,按照设备网管与网管代理的通信协议格式即控制应答发送给所述设备网管;
步骤S25、所述设备网管在收到返回的控制应答的消息后,检查是否有后续的控制命令发送,如果有,重复步骤S21~S24,继续发送后续的控制命令;
步骤S26、所述网管代理和被管理设备在执行完控制命令后,以控制应答结束的命令格式返回,所述网管设备在收到控制应答结束命令后,结束整个流程。
根据本发明第二方面的系统,所述第三处理单元具体被配置为执行:
步骤S31、所述设备网管发送测试命令到所述网管代理;
步骤S32、所述网管代理根据设备类型及设备地址,将测试命令按照网管代理与被管理设备之间通信协议格式转发到对应的被管理设备;
步骤S33、所述被管理设备收到测试命令后,进行环回测试,并按照网管代理与被管理设备之间通信协议格式将测试结果返回网管代理;
步骤S34、所述网管代理按照设备网管与网管代理之间的协议格式将测试结果发送给设备网管;
步骤S35、所述设备网管收到返回的测试结果即测试应答结束消息后,结束本次测试。
根据本发明第二方面的系统,所述第四处理单元具体被配置为执行:
步骤S41、状态查询操作;
步骤S411、所述设备网管向网管代理发送查询设备状态命令即查询操作的数据包;
步骤S412、所述网管设备对收到的数据包即应答包进行处理、判断;所述收到的数据包如果不是查询应答结束包,则网管设备继续发送后续查询操作的数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话;
步骤S42、配置、性能数据查询操作;
步骤S421、所述设备网管向网管代理发送配置或性能数据查询命令即查询操作数据包;
步骤S422、所述网管代理根据被管理设备类型和设备地址,将查询命令转换成网管代理与被管理设备之间的通信协议格式后发往被管理设备;被管理设备收到网管查询命令后,返回查询结果给网管代理,并由网管代理将所述查询结果发送给所述设备网管;
步骤S423、所述网管设备对收到的查询结果即应答包进行处理、判断;所述收到的应答包如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话。
根据本发明第二方面的系统,所述第五处理单元具体被配置为执行:
步骤51、所述被管理设备向网管代理发送主报消息;
步骤52、所述网管代理将所述主报消息转换成设备网管与网管代理之间通信协议格式后发送给设备网管;
步骤53、所述设备网管收到所述主报消息后,判定是否需要应答,如果需要应答,则发送应答消息给所述网管代理,所述网管代理将所述应答消息转换成网管代理与被管理设备之间通信协议消息格式后发送给所述被管理设备,本次操作结束。
根据本发明第二方面的系统,所述需要认证的设备包括设备网管和安全路由器;所述控制操作的双向认证、测试操作的双向认证、查询操作的双向认证和主报操作的双向认证的报文均在链路层采用步骤S1协商的密钥进行加密传输。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种用于双向认证的网络管理协议方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种用于双向认证的网络管理协议方法中的步骤。
综上,本发明提出的的技术方案:(1)通过双向认证软件触发加密模块进行密钥协商,实现了网管设备和安全路由器之间的双向互信;(2)网管设备与安全路由器完成双向认证的设备接入后,后续的网管报文在链路层通过协商的密钥进行加密传输,使网络管理信息更加安全可靠;(3)规定了协议中控制、测试、查询、主报等操作的具体流程,能够帮助管理人员更方便地了解网络性能,发现并解决网络问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种双向认证的网络管理协议方法的流程图;
图2为根据本发明实施例的设备接入双向认证的流程示意图;
图3为根据本发明实施例的控制操作的流程示意图;
图4为根据本发明实施例的测试操作的流程示意图;
图5为根据本发明实施例的状态查询操作的流程示意图;
图6为根据本发明实施例的配置性能数据查询操作的流程示意图;
图7为根据本发明实施例的主要协议的流程示意图;
图8为根据本发明实施例的一种双向认证的网络管理协议系统的结构图;
图9为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种双向认证的网络管理协议方法。图1为根据本发明实施例的一种双向认证的网络管理协议方法的流程图;如图1所示,
所述方法包括:
步骤S1、将需要认证的设备接入双向认证:通过双向认证软件触发各自设备上的加密模块,所述加密模块之间通过传输密钥协商信息进行密钥协商,所述双向认证软件决策是否完成认证,并向所述加密模块通知认证完成结果,认证成功后,后续的报文使用上述协商的密钥进行加密传输;
步骤S2、控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用步骤S1中的协商的密钥进行加密传输;
步骤S3、测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用步骤S1中的协商的密钥进行加密传输;
步骤S4、查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文,采用步骤S1协商的密钥进行加密传输;
步骤S5、主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用步骤S1协商的密钥进行加密传输。
在一些实施例中,在所述步骤S1中,具体包括:
步骤S11、通过双向认证软件触发各自设备上的加密模块进行密钥协商来完成安全鉴别;
步骤S12、所述加密模块之间传输密钥协商信息进行密钥协商,并将密钥协商结果通知给所述双向认证软件;
步骤S13 、所述双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证,并向加密模块通知认证完成结果,认证成功后,后续的报文使用协商的密钥进行加密传输。
图2为根据本发明实施例的设备接入双向认证的流程示意图;如图2所示,双向认证软件触发加密模块进行密钥协商来完成安全鉴别。加密模块之间传输密钥协商信息进行密钥协商,并将密钥协商结果通知给双向认证软件。双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证,并向加密模块通知认证完成结果,认证成功后续的网管报文使用协商的密钥进行加密传输。
在一些实施例中,在所述步骤S2中,具体包括:
步骤S21、所述设备网管将控制命令和相应的数据按照协议要求打包为数据包,将所述数据包发送到网管代理;
步骤S22、所述网管代理收到数据包后,根据设备网管的类型及地址,将收到的数据包按照网管代理与被管理设备的通信协议进行协议格式转换后发送给所述被管理设备;
步骤S23、所述被管理设备收到协议格式转换后的数据包,根据所述数据包中的控制命令进行相关处理,并将处理结果按照网管代理与被管理设备的通信协议格式即控制应答发送给所述网管代理;
步骤S24、所述网管代理收到控制应答后,按照设备网管与网管代理的通信协议格式即控制应答发送给所述设备网管;
步骤S25、所述设备网管在收到返回的控制应答的消息后,检查是否有后续的控制命令发送,如果有,重复步骤S21~S24,继续发送后续的控制命令;
步骤S26、所述网管代理和被管理设备在执行完控制命令后,以控制应答结束的命令格式返回,所述网管设备在收到控制应答结束命令后,结束整个流程。
图3为根据本发明实施例的控制操作的流程示意图;如图3所示,控制操作报文在链路层利用步骤1协商的密钥进行加密传输。控制操作由网管系统发起。网管系统将控制命令和相应的数据按照协议要求打包,发送到网管代理。此数据包的会话序列号由网管设备产生,包序列号为1。网管代理收到数据包后,根据设备的类型及设备地址,将收到的数据按照网管代理与被管理设备的通信协议进行协议格式转换后发送给被管理设备。被管理设备收到控制消息后,进行相关处理,并将处理结果按照网管代理与被管理设备的通信协议(控制应答)发送给网管代理。网管代理收到控制操作应答后,按照网管系统与网管代理的通信协议格式(控制应答)发送给网管系统。网管系统在收到返回的应答消息后,检查是否有后续的控制命令发送。如果有后续数据,重复以上步骤,继续发送后续的控制命令。后续的控制操作数据包的会话序列号保持不变,包序列号依次加1。网管代理和被管理设备在执行完控制操作后,以控制应答结束的命令格式返回。网管设备在收到控制应答结束包后,结束整个流程。
在一些实施例中,在所述步骤S3中,具体包括:
步骤S31、所述设备网管发送测试命令到所述网管代理;
步骤S32、所述网管代理根据设备类型及设备地址,将测试命令按照网管代理与被管理设备之间通信协议格式转发到对应的被管理设备;
步骤S33、所述被管理设备收到测试命令后,进行环回测试,并按照网管代理与被管理设备之间通信协议格式将测试结果返回网管代理;
步骤S34、所述网管代理按照设备网管与网管代理之间的协议格式将测试结果发送给设备网管;
步骤S35、所述设备网管收到返回的测试结果即测试应答结束消息后,结束本次测试。
图4为根据本发明实施例的测试操作的流程示意图;如图4所示,测试操作报文在链路层利用步骤1协商的密钥进行加密传输。测试操作由网管系统发起,发送测试命令到网管代理。网管代理根据设备类型及设备地址,将网管命令按照网管代理与被管理设备之间通信协议格式转发到对应的被管理设备。被管理设备收到网管测试命令后,进行环回测试,并按照网管代理与被管理设备之间通信协议格式将测试结果返回网管代理。管代理按照网管系统与网管代理之间的协议格式将测试结果发送给网管系统。返回的数据包是测试应答结束包格式。网管系统收到返回的测试应答结束消息后,结束本次测试。
在一些实施例中,在所述步骤S4中,包括:状态查询操作和配置、性能数据查询操作;具体如下:
步骤S41、状态查询操作;
步骤S411、所述设备网管向网管代理发送查询设备状态命令即查询操作的数据包;
步骤S412、所述网管设备对收到的数据包即应答包进行处理、判断;所述收到的数据包如果不是查询应答结束包,则网管设备继续发送后续查询操作的数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话;
步骤S42、配置、性能数据查询操作;
步骤S421、所述设备网管向网管代理发送配置或性能数据查询命令即查询操作数据包;
步骤S422、所述网管代理根据被管理设备类型和设备地址,将查询命令转换成网管代理与被管理设备之间的通信协议格式后发往被管理设备;被管理设备收到网管查询命令后,返回查询结果给网管代理,并由网管代理将所述查询结果发送给所述设备网管;
步骤S423、所述网管设备对收到的查询结果即应答包进行处理、判断;所述收到的应答包如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话。
查询操作指网管系统从被管理设备获取状态、配置、性能数据。对于设备的相关状态的值,直接从网管代理查询获取,对于配置、性能数据,由网管代理转发给对应设备,由设备应答相关数据。查询操作分状态查询操作和配置、性能数据查询操作。查询操作报文在链路层利用协商的密钥进行加密传输。
图5为根据本发明实施例的状态查询操作的流程示意图;如图5所示,状态查询操作流程如下:网管系统向网管代理发送查询设备状态命令。此数据包的会话序列号由网管设备产生,包序列号为1。网管设备对收到的应答包进行处理、判断。如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,重复以上步骤。如果是查询应答结束包,结束本次会话。
图6为根据本发明实施例的配置性能数据查询操作的流程示意图;如图6所示,配置、性能数据查询操作流程如下:网管系统向网管代理发送配置或性能数据查询命令。此数据包的会话序列号由网管设备产生,包序列号为1。网管代理根据被管理设备类型和设备地址,将查询命令转换成网管代理与被管理设备之间的通信协议格式后发往被管理设备;被管理设备收到网管查询命令后,返回查询结果给网管代理,由网管代理发送给网管系统。网管设备对收到的应答包进行处理、判断。如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,重复以上步骤。如果是查询应答结束包,结束本次会话。
在一些实施例中,在所述步骤S5中,具体包括:
步骤51、所述被管理设备向网管代理发送主报消息;
步骤52、所述网管代理将所述主报消息转换成设备网管与网管代理之间通信协议格式后发送给设备网管;
步骤53、所述设备网管收到所述主报消息后,判定是否需要应答,如果需要应答,则发送应答消息给所述网管代理,所述网管代理将所述应答消息转换成网管代理与被管理设备之间通信协议消息格式后发送给所述被管理设备,本次操作结束。
图7为根据本发明实施例的主要协议的流程示意图;如图7所示,被管理设备主动向网管系统上报事件或消息。主报操作由被管理设备发起,当被管理设备出现故障或状态改变时,主动将消息上报网管系统,默认情况下网管系统不返回应答消息。根据需要,网管系统可以返回应答。具体操作流程如下。主报操作报文在链路层利用步骤1协商的密钥进行加密传输。
被管理设备向网管代理发送主报消息。网管代理将主报消息转换成网管系统与网管代理之间通信协议格式后发送给网管系统。网管系统收到主报消息后,判定是否需要应答,如果需要应答,发送应答消息给网管代理,网管代理将应答消息转换成网管代理与被管理设备之间通信协议消息格式后发送给被管理设备。本次操作结束。
在一些实施例中,所述需要认证的设备包括设备网管和安全路由器;所述控制操作的双向认证、测试操作的双向认证、查询操作的双向认证和主报操作的双向认证的报文均在链路层采用步骤S1协商的密钥进行加密传输。
本发明第二方面公开了一种用于双向认证的网络管理协议系统。图8为根据本发明实施例的一种双向认证的网络管理协议系统的结构图;如图8所示,所述系统800包括:
第一处理单元801,被配置为,将需要认证的设备接入双向认证:通过双向认证软件触发各自设备上的加密模块,所述加密模块之间通过传输密钥协商信息进行密钥协商,所述双向认证软件决策是否完成认证,并向所述加密模块通知认证完成结果,认证成功后,后续的报文使用上述协商的密钥进行加密传输;
第二处理单元802,被配置为,控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用协商的密钥进行加密传输;
第三处理单元803,被配置为,测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用协商的密钥进行加密传输;
第四处理单元804,被配置为,查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文采用协商的密钥进行加密传输;
第五处理单元805,被配置为,主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用协商的密钥进行加密传输。
根据本发明第二方面的系统,所述第一处理单元801具体被配置为执行:
步骤S11、通过双向认证软件触发各自设备上的加密模块进行密钥协商来完成安全鉴别;
步骤S12、所述加密模块之间传输密钥协商信息进行密钥协商,并将密钥协商结果通知给所述双向认证软件;
步骤S13 、所述双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证,并向加密模块通知认证完成结果,认证成功后,后续的报文使用协商的密钥进行加密传输。
根据本发明第二方面的系统,所述第二处理单元802具体被配置为执行:
步骤S21、所述设备网管将控制命令和相应的数据按照协议要求打包为数据包,将所述数据包发送到网管代理;
步骤S22、所述网管代理收到数据包后,根据设备网管的类型及地址,将收到的数据包按照网管代理与被管理设备的通信协议进行协议格式转换后发送给所述被管理设备;
步骤S23、所述被管理设备收到协议格式转换后的数据包,根据所述数据包中的控制命令进行相关处理,并将处理结果按照网管代理与被管理设备的通信协议格式即控制应答发送给所述网管代理;
步骤S24、所述网管代理收到控制应答后,按照设备网管与网管代理的通信协议格式即控制应答发送给所述设备网管;
步骤S25、所述设备网管在收到返回的控制应答的消息后,检查是否有后续的控制命令发送,如果有,重复步骤S21~S24,继续发送后续的控制命令;
步骤S26、所述网管代理和被管理设备在执行完控制命令后,以控制应答结束的命令格式返回,所述网管设备在收到控制应答结束命令后,结束整个流程。
根据本发明第二方面的系统,所述第三处理单元803具体被配置为执行:
步骤S31、所述设备网管发送测试命令到所述网管代理;
步骤S32、所述网管代理根据设备类型及设备地址,将测试命令按照网管代理与被管理设备之间通信协议格式转发到对应的被管理设备;
步骤S33、所述被管理设备收到测试命令后,进行环回测试,并按照网管代理与被管理设备之间通信协议格式将测试结果返回网管代理;
步骤S34、所述网管代理按照设备网管与网管代理之间的协议格式将测试结果发送给设备网管;
步骤S35、所述设备网管收到返回的测试结果即测试应答结束消息后,结束本次测试。
根据本发明第二方面的系统,所述第四处理单元804具体被配置为执行:
步骤S41、状态查询操作;
步骤S411、所述设备网管向网管代理发送查询设备状态命令即查询操作的数据包;
步骤S412、所述网管设备对收到的数据包即应答包进行处理、判断;所述收到的数据包如果不是查询应答结束包,则网管设备继续发送后续查询操作的数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话;
步骤S42、配置、性能数据查询操作;
步骤S421、所述设备网管向网管代理发送配置或性能数据查询命令即查询操作数据包;
步骤S422、所述网管代理根据被管理设备类型和设备地址,将查询命令转换成网管代理与被管理设备之间的通信协议格式后发往被管理设备;被管理设备收到网管查询命令后,返回查询结果给网管代理,并由网管代理将所述查询结果发送给所述设备网管;
步骤S423、所述网管设备对收到的查询结果即应答包进行处理、判断;所述收到的应答包如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,重复步骤,如果所述收到的数据包是查询应答结束包,则结束本次会话。
根据本发明第二方面的系统,所述第五处理单元805具体被配置为执行:
步骤51、所述被管理设备向网管代理发送主报消息;
步骤52、所述网管代理将所述主报消息转换成设备网管与网管代理之间通信协议格式后发送给设备网管;
步骤53、所述设备网管收到所述主报消息后,判定是否需要应答,如果需要应答,则发送应答消息给所述网管代理,所述网管代理将所述应答消息转换成网管代理与被管理设备之间通信协议消息格式后发送给所述被管理设备,本次操作结束。
根据本发明第二方面的系统,所述需要认证的设备包括设备网管和安全路由器;所述控制操作的双向认证、测试操作的双向认证、查询操作的双向认证和主报操作的双向认证的报文均在链路层采用步骤S1协商的密钥进行加密传输。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种用于双向认证的网络管理协议方法中的步骤。
图9为根据本发明实施例的一种电子设备的结构图,如图9所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种用于双向认证的网络管理协议方法中的步骤。
综上,本发明提出的的技术方案:(1)通过双向认证软件触发加密模块进行密钥协商,实现了网管设备和安全路由器之间的双向互信;(2)网管设备与安全路由器完成双向认证的设备接入后,后续的网管报文在链路层通过协商的密钥进行加密传输,使网络管理信息更加安全可靠;(3)规定了协议中控制、测试、查询、主报等操作的具体流程,能够帮助管理人员更方便地了解网络性能,发现并解决网络问题。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种双向认证的网络管理协议方法,其特征在于,所述方法包括:
步骤S1、将需要认证的设备接入双向认证:通过双向认证软件触发各自设备上的加密模块,所述加密模块之间通过传输密钥协商信息进行密钥协商,所述双向认证软件决策是否完成认证,并向所述加密模块通知认证完成结果,认证成功后,后续的报文使用上述协商的密钥进行加密传输;
步骤S2、控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用步骤S1中协商的密钥进行加密传输;
步骤S3、测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用步骤S1中的协商的密钥进行加密传输;
步骤S4、查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文,采用步骤S1协商的密钥进行加密传输;
步骤S5、主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用步骤S1协商的密钥进行加密传输。
2.根据权利要求1所述的一种双向认证的网络管理协议方法,其特征在于,在所述步骤S1中,具体包括:
步骤S11、通过双向认证软件触发各自设备上的加密模块进行密钥协商来完成安全鉴别;
步骤S12、所述加密模块之间传输密钥协商信息进行密钥协商,并将密钥协商结果通知给所述双向认证软件;
步骤S13 、所述双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证,并向加密模块通知认证完成结果,认证成功后,后续的报文使用协商的密钥进行加密传输。
3.根据权利要求2所述的一种双向认证的网络管理协议方法,其特征在于,在所述步骤S2中,具体包括:
步骤S21、所述设备网管将控制命令和相应的数据按照协议要求打包为数据包,将所述数据包发送到网管代理;
步骤S22、所述网管代理收到数据包后,根据设备网管的类型及地址,将收到的数据包按照网管代理与被管理设备的通信协议进行协议格式转换后发送给所述被管理设备;
步骤S23、所述被管理设备收到协议格式转换后的数据包,根据所述数据包中的控制命令进行相关处理,并将处理结果按照网管代理与被管理设备的通信协议格式即控制应答发送给所述网管代理;
步骤S24、所述网管代理收到控制应答后,按照设备网管与网管代理的通信协议格式即控制应答发送给所述设备网管;
步骤S25、所述设备网管在收到返回的控制应答的消息后,检查是否有后续的控制命令发送,如果有,重复步骤S21~S24,继续发送后续的控制命令;
步骤S26、所述网管代理和被管理设备在执行完控制命令后,以控制应答结束的命令格式返回,所述网管设备在收到控制应答结束命令后,结束整个流程。
4.根据权利要求3所述的一种双向认证的网络管理协议方法,其特征在于,在所述步骤S3中,具体包括:
步骤S31、所述设备网管发送测试命令到所述网管代理;
步骤S32、所述网管代理根据设备类型及设备地址,将测试命令按照网管代理与被管理设备之间通信协议格式转发到对应的被管理设备;
步骤S33、所述被管理设备收到测试命令后,进行环回测试,并按照网管代理与被管理设备之间通信协议格式将测试结果返回网管代理;
步骤S34、所述网管代理按照设备网管与网管代理之间的协议格式将测试结果发送给设备网管;
步骤S35、所述设备网管收到返回的测试结果即测试应答结束消息后,结束本次测试。
5.根据权利要求4所述的一种双向认证的网络管理协议方法,其特征在于,在所述步骤S4中,包括:状态查询操作和配置、性能数据查询操作;具体如下:
步骤S41、状态查询操作;
步骤S411、所述设备网管向网管代理发送查询设备状态命令即查询操作的数据包;
步骤S412、所述网管设备对收到的数据包即应答包进行处理、判断;所述收到的数据包如果不是查询应答结束包,则网管设备继续发送后续查询操作的数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话;
步骤S42、配置、性能数据查询操作;
步骤S421、所述设备网管向网管代理发送配置或性能数据查询命令即查询操作数据包;
步骤S422、所述网管代理根据被管理设备类型和设备地址,将查询命令转换成网管代理与被管理设备之间的通信协议格式后发往被管理设备;被管理设备收到网管查询命令后,返回查询结果给网管代理,并由网管代理将所述查询结果发送给所述设备网管;
步骤S423、所述网管设备对收到的查询结果即应答包进行处理、判断;所述收到的应答包如果不是查询应答结束包,则网管设备继续发送后续查询操作数据包,如果所述收到的数据包是查询应答结束包,则结束本次会话。
6.根据权利要求4所述的一种双向认证的网络管理协议方法,其特征在于,在所述步骤S5中,具体包括:
步骤51、所述被管理设备向网管代理发送主报消息;
步骤52、所述网管代理将所述主报消息转换成设备网管与网管代理之间通信协议格式后发送给设备网管;
步骤53、所述设备网管收到所述主报消息后,判定是否需要应答,如果需要应答,则发送应答消息给所述网管代理,所述网管代理将所述应答消息转换成网管代理与被管理设备之间通信协议消息格式后发送给所述被管理设备,本次操作结束。
7.根据权利要求1-6任一项所述的一种双向认证的网络管理协议方法,其特征在于,所述需要认证的设备包括设备网管和安全路由器;所述控制操作的双向认证、测试操作的双向认证、查询操作的双向认证和主报操作的双向认证的报文均在链路层采用步骤S1协商的密钥进行加密传输。
8.一种用于双向认证的网络管理协议系统,其特征在于,所述系统包括:
第一处理单元,被配置为,将需要认证的设备接入双向认证:通过双向认证软件触发各自设备上的加密模块,所述加密模块之间通过传输密钥协商信息进行密钥协商,所述双向认证软件决策是否完成认证,并向所述加密模块通知认证完成结果,认证成功后,后续的报文使用上述协商的密钥进行加密传输;
第二处理单元,被配置为,控制操作的双向认证:设备网管向被管理设备下发配置数据、启用/关闭端口、终端的报文采用协商的密钥进行加密传输;
第三处理单元,被配置为,测试操作的双向认证:设备网管向被管理设备发送测试命令或者是被管理设备向网管系统返回的测试结果的报文,采用协商的密钥进行加密传输;
第四处理单元,被配置为,查询操作的双向认证:设备网管从被管理设备获取状态、配置、性能数据的报文采用协商的密钥进行加密传输;
第五处理单元,被配置为,主报操作的双向认证:被管理设备主动向设备网管上报事件或消息的报文,采用协商的密钥进行加密传输。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至7中任一项所述的一种双向认证的网络管理协议方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至7中任一项所述的一种双向认证的网络管理协议方法中的步骤。
CN202111427310.8A 2021-11-29 2021-11-29 一种双向认证的网络管理协议方法和系统 Active CN113839969B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111427310.8A CN113839969B (zh) 2021-11-29 2021-11-29 一种双向认证的网络管理协议方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111427310.8A CN113839969B (zh) 2021-11-29 2021-11-29 一种双向认证的网络管理协议方法和系统

Publications (2)

Publication Number Publication Date
CN113839969A true CN113839969A (zh) 2021-12-24
CN113839969B CN113839969B (zh) 2022-03-15

Family

ID=78971791

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111427310.8A Active CN113839969B (zh) 2021-11-29 2021-11-29 一种双向认证的网络管理协议方法和系统

Country Status (1)

Country Link
CN (1) CN113839969B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242297A (zh) * 2007-09-14 2008-08-13 西安西电捷通无线网络通信有限公司 一种实现可信网络管理的方法
KR20130019804A (ko) * 2011-08-18 2013-02-27 건국대학교 산학협력단 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법
CN111903244B (zh) * 2010-12-16 2014-06-11 中国电子科技集团公司第五十四研究所 一种在高度机动性骨干通信系统中分布式位置管理方法
CN109218825A (zh) * 2018-11-09 2019-01-15 北京京航计算通讯研究所 一种视频加密系统
CN111541715A (zh) * 2020-05-11 2020-08-14 青岛海信网络科技股份有限公司 一种交通信号控制机与上位机之间通信的改进方法及装置
CN112565230A (zh) * 2020-11-30 2021-03-26 国网山东省电力公司电力科学研究院 软件定义物联网网络拓扑数据传输安全管理方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242297A (zh) * 2007-09-14 2008-08-13 西安西电捷通无线网络通信有限公司 一种实现可信网络管理的方法
CN111903244B (zh) * 2010-12-16 2014-06-11 中国电子科技集团公司第五十四研究所 一种在高度机动性骨干通信系统中分布式位置管理方法
KR20130019804A (ko) * 2011-08-18 2013-02-27 건국대학교 산학협력단 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법
CN109218825A (zh) * 2018-11-09 2019-01-15 北京京航计算通讯研究所 一种视频加密系统
CN111541715A (zh) * 2020-05-11 2020-08-14 青岛海信网络科技股份有限公司 一种交通信号控制机与上位机之间通信的改进方法及装置
CN112565230A (zh) * 2020-11-30 2021-03-26 国网山东省电力公司电力科学研究院 软件定义物联网网络拓扑数据传输安全管理方法及系统

Also Published As

Publication number Publication date
CN113839969B (zh) 2022-03-15

Similar Documents

Publication Publication Date Title
AU2017423732B2 (en) Network security management method, and apparatus
EP3585095B1 (en) Method and device for controlling qos, smf, upf, ue, pcf and an
KR101438243B1 (ko) Sim 기반 인증방법
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
CN104967595A (zh) 将设备在物联网平台进行注册的方法和装置
CN110191052B (zh) 一种跨协议网络传输方法及系统
CN111988323B (zh) IPSec隧道建立方法、装置、网络系统及电子设备
US20230269579A1 (en) Communication method, related apparatus, and system
CN104917605A (zh) 一种终端设备切换时密钥协商的方法和设备
WO2018113113A1 (zh) 一种双系统终端wifi共享的方法和装置
US20230156468A1 (en) Secure Communication Method, Related Apparatus, and System
CN109936515B (zh) 接入配置方法、信息提供方法及装置
CN113726795A (zh) 报文转发方法、装置、电子设备及可读存储介质
CN113992427B (zh) 基于相邻节点的数据加密发送方法及装置
CN114499990A (zh) 车辆控制方法、装置、设备及存储介质
CN112153599B (zh) 一种消息的传输方法、装置、车联网设备及管理节点
CN113839969B (zh) 一种双向认证的网络管理协议方法和系统
US20170201506A1 (en) Communication Method, Apparatus, and System
CN103442450B (zh) 无线通信方法和无线通信设备
CN113765900B (zh) 协议交互信息输出传输方法、适配器装置及存储介质
CN113839778B (zh) 一种用于接入路由器的安全虚连接协议方法和系统
CN113839777B (zh) 一种用于路由器设备的安全互连协议方法和系统
CN114024664B (zh) 安全通信方法、相关装置及系统
CN113839776B (zh) 一种用于网管和路由器间的安全互连协议方法和系统
CN113141327B (zh) 一种信息处理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant