CN1523851A - 网络管理系统的操作员存取控制的安全方法 - Google Patents
网络管理系统的操作员存取控制的安全方法 Download PDFInfo
- Publication number
- CN1523851A CN1523851A CNA2004100058047A CN200410005804A CN1523851A CN 1523851 A CN1523851 A CN 1523851A CN A2004100058047 A CNA2004100058047 A CN A2004100058047A CN 200410005804 A CN200410005804 A CN 200410005804A CN 1523851 A CN1523851 A CN 1523851A
- Authority
- CN
- China
- Prior art keywords
- internet protocol
- address
- row
- protocol
- network management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
为了不改变当前使用的系统应用协议的版本执行存取控制,操作员输入操作员的ID和口令以获得用户确认,和,如果用户确认成功,那么操作员接入利用TCP/IP或UDP/IP管理的系统的应用层。应用层适合于利用一个安全模块存取,以确认操作员使用的终端的IP地址是否是一个预设的IP地址。在一个操作没有装备安全功能的网络管理接口的版本的网络中,通过不用实施版本更新处理地简单地加入安全模块,就可以改进系统的安全。
Description
本申请要求2003年2月19日和2003年5月29日提交的韩国专利申请No.2003-10509和2003-34534的权益,这两个专利申请的说明全部结合在此作为参考。
技术领域
本发明涉及能够不用改变系统应用协议而实施存取控制的网络管理系统的操作员存取控制的安全方法。
背景技术
当前,大多数与包括互联网在内的网络相关的网络设备使用基于简单网络管理协议(SNMP)的网络管理协议管理网络和监视网络设备的操作。SNMP是最普遍使用的网络管理协议,并且已经更新到大大改进了功能的版本,SNMPv1,SNMPv2,SNMPv3。大多数网络适用于为基于使用这种SNMP的图形用户界面(GUI)和经过外部终端直接接收和处理命令的命令行界面(CLI)的单元管理系统(EMS)提供服务。
当在上述配置的网络管理系统中使用SNMP时,以SNMPv1,SNMPv2和SNMPv3的顺序引入它们。SNMPv1和SNMPv2都是主要使用检查“只读(read-only)”/“读写(read-write)”组(community)的存取约束方法,而在SNMPv3的情况下,在协议中提供一个安全模块。
组意味着管理者与代理之间定义的一个口令系统的说明。
例如,在“只读”情况下,用SNMPv1和SNMPv2每一个中的一个典型组作为“公共(public)”组,在“读写”情况下用作“专用(private)”组。此外,在某些系统中,这些组是硬编码(hard coded)的,这使得难于修改组。当由于组口令泄漏,未经授权的用户可以存取网络管理系统时,这些系统可能产生安全问题。
发明内容
因此,本发明是考虑到上述问题作出的,本发明的目的是要提供一种无需改变当前使用的系统应用程序协议的版本而实施存取控制的方法。
根据本发明,提供了一种用于网络管理系统的操作员存取控制的安全方法,该方法包括执行IP(网际协议)过滤,以使外部操作员能够确定操作员的IP地址是否是利用TCP/IP(传输控制协议/网际协议)或UDP/IP(用户数据报协议/网际协议)中的一个预设的IP地址;和,当确定操作员的IP地址是一个预设IP地址时,通过输入ID/口令或通过设定组将外部操作员连接到通信系统。
附图说明
通过结合附图考虑以下的详细说明,可以对本发明更为完整的评价以及许多附加优点具有更清楚的理解,在附图中相同的参考号代表相同或类似的元件,其中:
图1是利用一种应用到本发明的简单网络管理协议(SNMP)和CLI(TLI)的网络管理系统的方框图;
图2是结合不利的OSI参考模型说明网络管理系统的示意图;
图3是说明结合本发明本发明的实施例的OSI参考模型的网络管理系统的示意图;
图4是显示利用根据本发明的一个实施例定义的MIB组织的过滤表的示例的示意图;和
图5是在根据本发明一个实施例的网络管理系统中的操作员存取约束的安全处理过程的流程图。
具体实施方式
图1是利用一种应用到本发明的一个实施例的简单网络管理协议(SNMP)和CLI(TL1)的网络管理系统的方框图,图2是结合一个不利的OSI参考模型说明网络管理系统的示意图。
参考图1,系统100提供的网络管理界面包括一个“TL1/CLI(事项处理语言1/命令行界面)110”和一个“SNMP代理120”。系统将经过这种管理信道管理系统的配置、报警、性能、等等。
在TL1 110的情况下,TL1可以凭借串行端口通过直接连接到外部控制台200管理系统100,或者也可以利用一个远程通信网终端400经过公共网300远程管理系统。
与此同时,SNMP代理120利用UDP(用户数据报协议)/IP经过公共网300连接到EMS(单元管理系统)服务器500,并使用EMS(单元管理系统)服务器500。作为选择,可以使用OSI(开放式系统互联)CLNP(无连接网络协议)。
TL1 110和SNMP代理120分别经过IPC(进程间通讯)从OAMP(操作管理维护供应(Operations Administration Maintenance Provisioning))取出或修改希望的数据。
参考图2,远程通信网终端400或EMS服务器500经过物理层连接到数据链路层,以便用TCP/IP方式或UDP/IP方式接入到应用层(SNMP/telnet/TFTP:普通文件传输协议)。
以下参考附图说明本发明的一个实施例。在以下的说明中,因为不必要的详细说明已知的功能或构造将淡化本发明,因此不对它们进行详细的说明。
应用到本发明的、利用简单网络管理协议(即,SNMP)和CLI(即,TL1)的网络管理系统的配置与上面讨论的相同。因此,为了简明,省略了对配置的进一步说明。
图3是说明与根据本发明的一个实施例的OSI参考模型结合的网络管理系统的示意图。
参考图1和3,在利用TL1 100执行网络管理操作的情况下,操作员首先输入操作员的ID和口令,以进行用户鉴别。如果用户鉴别成功,那么操作员接入到经由TCP/IP或UDP/IP管理的系统的应用层。此时,网络管理系统适合于经过一个安全模块接入到应用层,以确认操作员使用的终端的IP地址是否是一个预设IP地址。
也就是说,作为一个经过IP网(例如,图1的公共网)的远程管理信道的远程登录终端(400)具有一种过滤功能,在这种过滤功能中,除了使用ID/口令安全设备之外还使用远程通信网协议的操作终端的IP地址可以起到安全密钥的作用。
在这里,该模块是由一个与实现了“TL1”功能的“CLI(命令行界面)”任务完全分离的任务实现的。
SNMPv1和SNMPv2中的基本安全是通过组实现的,并且组包括不允许经常做任何修改的“只读”组和“读写”组。
在本发明的这个实施例中,为了这些组的安全,仅允许通过“TL1”命令修改每个组。也就是说,不能利用“SNMP”读出或修改组,因此,为了与EMS服务器500通信,操作员必须知道“TL1”命令。当要修改组时,也需要与管理EMS服务器500达成妥协。
此外,当SNMPv1和SNMPv2使用UDP/IP或TCP/IP时,如同“TL1”中一样,安全是经过利用操作员的IP地址作为密钥的、表1至17中的MIB代表的IP过滤实施的。
表1指示了用于过滤进入数据包的系统的策略ID(policy ID)。这个对象的值就是“entFilterPolicyTable”中的“entFilterPolicyId”的值。
此外,“DEFVAL”接受所有进入数据包。
<表1>
EntIngressFilterPolicyId语法 整数(0...255)最大存取 读写状态 当前正使用的说明“指出用于过滤进入数据包的系统策略id。这个对象的值是entFilterPolicyTable中的entFilterPolicyId的值。‘DEFVAL’:接受所有进入数据包。“DEFVAL{0}∷={entConfig 13} |
此外,表2指示用于过滤外出数据包系统策略ID。这个对象的值是“entFilterPolicyTable”中的“entFilterPolicyId”的值。另外,‘DEFVAL’不放弃所有进入数据包。
<表2>
EntEgressFilterPolicyId对象类型语法 整数(0...255)最大存取 读写状态 当前正使用的说明“指出用于过滤进入数据包的系统策略id。这个对象的值是entFilterPolicyTable中的entFilterPolicyId的值‘DEFVAL’:不放弃所有进入数据包“DEFVAL{0}∷={entConfig 14} |
表3包含有关进入/外出数据包的系统的过滤策略。这个表中的一行指向诸如“entFilterIpTable”之类的协议表中的一行。
为了建立这个表中的一行,首先建立对象指向的行。
此外,为了破坏这个表中的一行,首先破坏“entFilterPolicyPointer”对象指向的行。
<表3>
entFilterPolicyTable对象类型语法 EntFilterPolicyEntry的序列最大存取 不能存取状态 当前正使用的说明“本表包含有关进入/外出数据包的系统的过滤策略。这个表中的一行指向诸如“entFilterIpTable”之类的协议表中的一行。为了建立这个表中的一行,首先建立entFilterPolicyPointer对象指向的行。为了破坏这个表中的一行,首先破坏“entFilterPolicyPointer”对象指向的行。“∷={entConfig 15} |
此外,在表4中,每一项是由一个代表有关系统的过滤策略的参数列表组成的。
<表4>
EntFilterPolicyEntry对象类型语法 EntFilterPolicyEntry最大存取 不可存取状态 当前正使用的说明“每一项是由一个代表有关系统的过滤策略的参数列表组成的。 |
“INDEX{entFilterPolicyIndex}∷={entFilterPolicyTable 1} |
表5代表了进入“entFilterPolicyTable”的索引。
<表5>
EntFilterPolicyIndex对象类型语法 整数(1...9)最大存取 只读状态 当前正使用的说明进入entFilterPolicyTable的索引。“∷={entFilterPolicyEntry 1} |
表6指示进入或外出策略的标识符。在本表中,同一策略ID可以属于许多行。
<表6>
EntFilterPolicyId对象类型语法 整数(1...255)最大存取 只读状态 当前正使用的说明“指出了进入或外出策略的标识符。在本表中,同一策略ID可以属于多个行。“∷={entFilterPolicyEntry 2} |
表7代表指向诸如“entFilterIpTable”之类的协议表中的一行的指针。该值是协议表中第一栏对象的示例的名称。
例如,作为第一对象的示例的值“entFilterIpIndex.3”指向“entFilterIp”表中的第三行。
<表7>
EntFilterPolicyPointer对象类型语法 行指针最大存取 读出-建立状态 当前正使用的说明“代表指向诸如entFilterIp表之类的协议表中的一行的指针。该值是协议表中第一栏对象的示例的名称。例如,这个对象的示例的值entFilterIpIndex.3指向entFilterIp表中的第三行。“∷={entFilterPolicyEntry 3} |
此外,表8中的一个对象用于建立一个新行,或修改或删除这个表中的现有行。
如果没有建立诸如“entFilterIp”表之类的协议表的相关行,那么就不能建立本表中的一行。
<表8>
EntFilterPolicyRow状态对象类型语法 行状态最大存取 读出-建立状态 当前正使用的说明“这个对象用于建立一个新行,或修改或删除这个表中的一个现有行。如果没有建立诸如entFilterIp表之类的协议表的相关行,那么就不能建立本表中的一行。应当在破坏本表中的一行之前首先破坏协议表中的相关行。“∷={entFilterPolicyEntry 4} |
表9包含整个IP协议上的一个过滤策略的详细说明。
<表9>
EntFilterIpTable对象类型语法 EntFilterIpEntry的序列最大存取 不可存取状态 当前正使用的说明“本表包含整个IP协议上的过滤策略的详细说明。“∷={entConfig 16} |
表10中每一项是由代表整个IP协议上的一个过滤策略的参数的列表组成的。
<表10>
EntFilterIpTable对象类型语法 EntFilterIpEntry的序列最大存取 不可存取状态 当前正使用的说明“每个项是由代表整个IP协议上的一个过滤策略参数的列表组成的。“INDEX{entFilterIpIndex}∷={entFilterIpTable 1}EntFilterIpEntry∷SEQUENCE{entFilterIpIndex 整数,entFilterIp Ip地址,entFilterIpMask Ip地址,entFilterIpPortNum 整数,entFilterIpProtocol 整数,entFilterIpControl 整数,entFilterIpRowStatus 行状态} |
表11指示进入到“entFilterIpTable”的索引。
<表11>
EntFilterIpIndex对象类型语法 整数(1...9)最大存取 只读状态 当前正使用的说明“进入到entFilterIpTable的索引。“∷={entFilterIpEntry 1} |
表12指示应用到过滤策略的IP地址。
<表12>
EntFilterIp对象类型语法 Ip地址最大存取 读出-建立状态 当前正使用的说明“指示应用到过滤策略的ip地址。“DEFVAL{‘00000000’h}∷={entFilterIpEntry 2} |
表13指示了IP地址的掩码。当“entFilterIpProtocol”是一个远程网络协议时,系统总是将’DEFVAL’应用到这个对象的示例。
<表13>
EntFilterIpMask对象类型语法 Ip地址最大存取 读出-建立状态 当前正使用的说明“指出了IP地址的掩码。当entFilterIpProtocol是一个远程网络协议时,系统总是将’DEFVAL’应用到这个对象的示例。“DEFVAL{‘ffffffff’h}∷={entFilterIpEntry 3} |
表14指示了应用到过滤策略的端口号。
<表14>
EntFilterIpPortNum对象类型语法 整数最大存取 读出-建立状态 当前正使用的说明“指示应用到过滤策略的端口号。“∷={entFilterIpEntry 4} |
表15指示了一个可以用于过滤策略的协议。
<表15>
EntFilterIpProtocol对象类型语法 整数{snmp(1),telnet(2),tftp(3)}最大存取 读出-建立状态 当前正使用的说明“指示整个IP协议上可以用于过滤策略的协议。“∷={entFilterIpEntry 5} |
在表16中,确定放弃还是接受数据包。
<表16>
EntFilterIpControl对象类型语法 整数{discard(1),accept(2)}最大存取 读出-建立状态 当前正使用的说明“确定放弃还是接受数据包。“∷={entFilterIpEntry 6} |
表17中的这个对象用于建立一个新行,或修改或删除这个表中的一个现有行。
<表17>
EntFilterIpRowStatus对象类型语法 行状态最大存取 读出-建立状态 当前正使用的说明“这个对象用于建立一个新行或修改或删除这个表中的一个现有行。“∷={entFilterIpEntry 7} |
现在凭借表1至17中表示的MIB对象,说明过滤操作。首先,设置“entFilterIpTable”中的对象的过滤范围,然后建立一个行。与此同时,可以把“entFilterIpProtocol”的意义定义为“整个IP范围内的协议”。
在这里,要过滤的协议可以是SNMP,Telnet,TFTP(普通文件传输协议),等等。在“entFilterIpControl”中,存在着一个值,可以设置这个值以指示是放弃还是接收数据包。
当把相关行用作进入策略时,接受对SNMP数据包的请求,而不发送响应数据包。当然,也可以应用到一个陷阱,并且,因此也不将陷阱数据包传送到寄存的EMS服务器500。另一方面,当把相关行用作外出策略时,执行逆操作。一旦建立了“entFilterIpTable”的行,因此必须建立“entFilterPolicyTable”的行。实现这个表以提供将数个行包含在一个策略中这样的灵活性。
此外,“entFilterPolicyPointer”指向如上组织的“entFilterIpTable”的行。在这里,在一种允许数个“行”具有相同值的结构中实现“entFilterPolicyId”。此外,设置“entIngressFilterPolicyId”和“entEgressFilterPolicyId”的值。这些值影响在系统和其它设备之间通信的所有数据包。
现在,作为一个实际示例说明表1至17中代表的对象。
图4示出了利用本发明中定义的MIB构成的一个过滤表的示例。
参考图4,过滤表包括由一个操作员选择的PolicyID(PID)号的字段,一个具有对应于各个PolicyID的指针值的指针字段,和一个指示相关“行”的状态的行状态字段构成的FilterPolicy表T1;和由一个将FilterPolicy表T1的指针值作为索引号的索引号字段,一个代表每个相关行的IP地址的IP字段,一个使得能够通过掩码IP地址设置一个集合的掩码字段,一个端口号字段,一个协议字段,一个控制字段,和一个行状态字段构成的FilterIp表T2。
FilterPolicy表T1中的PolicyID字段,指针字段,和行状态字段中的每一个都是整数类型的。但是,PolicyID字段和指针字段中的每一个整数代表图形本身,而行状态字段的整数具有它的图形代表的意义。
例如,将状态字段的整数1,2,3,4,5和6分别定义为指示“行”的状态为使用中(active),不在使用中(notInService),未就绪(notReady),建立并运行(createAndGo),建立并等待(createAndWait),和破坏(destroy)。
同时,在FilterIp表T2的情况下,索引号字段,端口号字段,协议字段,控制字段,和行状态字段中的每一个都是整数类型的,而IP地址字段和IP地址掩码字段中的每一个都是IP地址类型的(xxx.xx.xxx.xxx)。但是,协议字段,控制字段,和行状态字段中的每一个具有由每个图形代表的意义。
例如,将协议字段的值“1”,“2”和“3”分别定义为指示协议类型是SNMP,Telnet,和TFTP。
此外,将控制字段的值“1”和“2”分别定义为指示“放弃”和“接受”。
行状态字段的图形也是以与FilterPolicy表T1的行状态字段相同的方式定义的。
以下讨论操作员利用上述表实际执行存取允许/拒绝的处理过程。
图5是根据本发明的一个实施例的网络管理系统中的操作员存取约束的安全处理过程的流程图。
参考图5,首先,确定如何处理数据包的策略,并且确定用于该确定的策略的Policy Id(PId)(S10)。
在表1中发现具有对应于在S10确定的PId值的值的行(S20)。
读取在S20发现的行的指针值(S30),并且将指针值作为索引号在FilterIp表T2中发现一个相关行,以便根据相关行中设置的条件(IP地址,掩码,端口号,协议和IP控制方法)处理数据包(S40)。
例如,如果确定PolicyId(PId)是100,那么它指示对应于FilterPolicy表T1的索引号1的“行”。由于对应于索引号1的行的指针值是“1”,所以要执行对应于那个对应于FilterIp表2的索引号1的行的条件。
因此,在PolicyId被确定为100的情况下,如果操作员试图从一个与FilterIP表的第一行中设置的IP地址不同的IP地址的终端存取,那么存取将失败。此外,尽管IP地址相同,如果向和从一个与预设端口号161不同的端口号发送和接收数据包,那么操作员的存取也将失败。
结果,表18中提供了一个通过执行有关SNMPv1和SNMPv2的组修改和查询的“TL1”命令获得的结果的示例。
<表18>
SU-WON>rtrv-community;IP C01240<SU-WON 2002-02-02 01:56:40M C01240 COMPLD“RD=SamsungAcemap,WR=K_SAMSUNg_Acemap2000_set,TR=SS_Acemap Trap”/*RTRV-COMMUNITY;[C01240]*/; |
其中,“RD”,“WR”,和“TR””分别表示“只读”组,“读写”组,和“陷阱”组。只有通过“TL1”命令才可以修改和查询它们。就是在EMS服务器500中也必须修改组,以便在修改时管理EMS服务器500。
如果如上所述修改每个组口令,则导致与正常口令不同的组口令。因此,不容易将组口令暴露给其他人。
尽管以上说明了本发明的实施例,但是,熟悉本领域的人员应当理解,可以对本发明进行各种修改和替代,而不脱离所附权利要求中定义的本发明的范围和精神。因此,本发明的技术包括本发明的其它实施例。
根据如上所述的本发明,在具有一种正在操作与EMS的版本相同版本的网络管理协议的系统中,当连接到一个网络管理接口时,通过增加一个不用将SNMPv1和SNMPv2更新到提供了一种安全功能的SNMPv3而执行IP过滤的安全模块,能够简单地维护安全。
Claims (12)
1.一种用于网络管理系统的操作员存取控制的安全方法,该方法包括:
利用传输控制协议/网际协议(TCP/IP)或用户数据报协议/网际协议(UDP/IP)中的一个,执行网际协议(IP)过滤以确定外部操作员的输入网际协议地址是否是一个预设的网际协议地址;和
当确定外部操作员的网际协议地址是预设的网际协议地址时,通过输入标识符/口令或通过设置组,将外部操作员连接到通信系统。
2.根据权利要求1所述的安全方法,其中执行网际协议(IP)过滤包括:
a)在设置了通过管理信息库(MIB)实现的对象的过滤范围之后,建立行;
b)选择是放弃还是接受要输入或输出的简单网络管理协议(SNMP)数据包;
c)如果将该行用作进入策略,那么有选择地接受简单网络管理协议(SNMP)数据包的请求,而不输出响应数据包;和
d)如果将该行用作外出策略,那么有选择地输出简单网络管理协议(SNMP)数据包的响应数据包,而不允许接受简单网络管理协议(SNMP)数据包的请求。
3.根据权利要求2所述的安全方法,其中在设置通过管理信息库(MIB)实现的对象的过滤范围之后建立行的步骤包括:
e)确定PolicyId(PId)是否采用一种特定数据包处理方法;
f)在FilterPolicy表中发现一个行,该行具有基于确定的PolicyId值的相关值;
g)读出在FilterPolicy表中发现的行的指针值;和
h)利用前面读出的指针值作为索引号在FilterIp表中发现一个相关行,然后根据网际协议(IP)地址和相关行中设定的端口号的条件确定是否允许操作员存取以处理数据包。
4.根据权利要求3所述的安全方法,其中记录着确定是否允许操作员存取的条件的项的FilterIp表包括:
一个使用对应于policyId的指针值作为索引的索引号字段,一个网际协议(IP)地址字段,一个网际协议(IP)地址掩码字段,一个端口号字段,一个协议字段,一个控制字段,和一个行状态字段。
5.根据权利要求4所述的安全方法,其中索引号字段,端口号字段,协议字段,控制字段,和行状态字段中的每一个的语法都是整数类型的,和
网际协议(IP)地址字段和网际协议(IP)地址掩码字段中的每一个的语法都是网际协议(IP)地址类型的。
6.根据权利要求1所述的安全方法,其中外部操作员包括远程登录终端或单元管理系统(EMS)服务器之一。
7.一种程序存储设备,有形地具体体现了一个机器可读的、可以由机器执行的指令的程序,以便执行一种网络管理系统的操作员存取控制的安全方法,该方法包括:
利用传输控制协议/网际协议(TCP/IP)或用户数据报协议/网际协议(UDP/IP)中的一个,执行网际协议(IP)过滤,以便确定外部操作员的输入网际协议地址是否是预设的网际协议地址;和
当确定外部操作员的网际协议地址是预设的网际协议地址时,通过输入标识符/口令或通过设置组将外部操作员连接到通信系统。
8.根据权利要求7所述的程序存储设备,其中执行网际协议(IP)过滤包括:
a)在设置了通过管理信息库(MIB)实现的对象的过滤范围之后,建立行;
b)选择是放弃还是接受要输入或输出的简单网络管理协议(SNMP)数据包;
c)如果将该行用作进入策略,则有选择地接受简单网络管理协议(SNMP)数据包的请求,而不输出响应数据包;和
d)如果将该行用作外出策略,则有选择地输出简单网络管理协议(SNMP)数据包的响应数据包,而不允许接受简单网络管理协议(SNMP)数据包的请求。
9.根据权利要求8所述的程序存储设备,其中在设置通过管理信息库(MIB)实现的对象的过滤范围之后建立行的步骤包括:
e)确定PolicyId(PId)是否采用一种特定数据包处理方法;
f)在FilterPolicy表中发现一个行,该行具有基于确定的PolicyId值的相关值;
g)读出在FilterPolicy表中发现的行的指针值;和
h)利用前面读出的指针值作为索引号在FilterIp表中发现一个相关行,然后根据网际协议(IP)地址和相关行中设定的端口号的条件确定是否允许操作员存取以处理数据包。
10.根据权利要求9所述的程序存储设备,其中记录着确定是否允许操作员存取的条件的项的FilterIp表包括:
一个使用对应于policyId的指针值作为索引的索引号字段,一个网际协议(IP)地址字段,一个网际协议(IP)地址掩码字段,一个端口号字段,一个协议字段,一个控制字段,和一个行状态字段。
11.根据权利要求10所述的程序存储设备,其中索引号字段,端口号字段,协议字段,控制字段,和行状态字段中的每一个的语法都是整数类型的,和
网际协议(IP)地址字段和网际协议(IP)地址掩码字段中的每一个的语法都是网际协议(IP)地址类型的。
12.根据权利要求7所述的程序存储设备,其中外部操作员包括远程登录终端或单元管理系统(EMS)服务器之一。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20030010509 | 2003-02-19 | ||
KR200310509 | 2003-02-19 | ||
KR200334534 | 2003-05-29 | ||
KR1020030034534A KR100542344B1 (ko) | 2003-02-19 | 2003-05-29 | 망관리 시스템의 운용자 접근 제어에 대한 보안 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1523851A true CN1523851A (zh) | 2004-08-25 |
Family
ID=32871287
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2004100058047A Pending CN1523851A (zh) | 2003-02-19 | 2004-02-19 | 网络管理系统的操作员存取控制的安全方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20040168089A1 (zh) |
CN (1) | CN1523851A (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9332005B2 (en) * | 2011-07-11 | 2016-05-03 | Oracle International Corporation | System and method for providing switch based subnet management packet (SMP) traffic protection in a middleware machine environment |
US9215083B2 (en) | 2011-07-11 | 2015-12-15 | Oracle International Corporation | System and method for supporting direct packet forwarding in a middleware machine environment |
US9594818B2 (en) | 2012-05-10 | 2017-03-14 | Oracle International Corporation | System and method for supporting dry-run mode in a network environment |
US9038136B2 (en) * | 2013-05-22 | 2015-05-19 | Unisys Corporation | Control of simple network management protocol activity |
CN105763346B (zh) * | 2014-12-15 | 2020-09-25 | 中兴通讯股份有限公司 | 一种适配子系统及其实现网管数据上报的方法 |
CN105591791B (zh) * | 2015-04-10 | 2019-06-18 | 中国银联股份有限公司 | 用于安全性信息交互的设备 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5889470A (en) * | 1996-12-24 | 1999-03-30 | Paradyne Corporation | Digital subscriber line access device management information base |
US6182228B1 (en) * | 1998-08-17 | 2001-01-30 | International Business Machines Corporation | System and method for very fast IP packet filtering |
US6654388B1 (en) * | 1999-05-26 | 2003-11-25 | Larscom Incorporated | Method and apparatus for automatically determining allocation of voice and data channels on T1/E1 line |
US6529515B1 (en) * | 1999-09-30 | 2003-03-04 | Lucent Technologies, Inc. | Method and apparatus for efficient network management using an active network mechanism |
US20020057018A1 (en) * | 2000-05-20 | 2002-05-16 | Equipe Communications Corporation | Network device power distribution scheme |
US20020001307A1 (en) * | 2000-05-20 | 2002-01-03 | Equipe Communications Corporation | VPI/VCI availability index |
US20020116485A1 (en) * | 2001-02-21 | 2002-08-22 | Equipe Communications Corporation | Out-of-band network management channels |
US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US20020116638A1 (en) * | 2001-02-16 | 2002-08-22 | Gemini Networks, Inc. | System, method, and computer program product for supporting multiple service providers with an integrated operations support system |
US20020165962A1 (en) * | 2001-02-28 | 2002-11-07 | Alvarez Mario F. | Embedded controller architecture for a modular optical network, and methods and apparatus therefor |
US7263597B2 (en) * | 2001-04-19 | 2007-08-28 | Ciena Corporation | Network device including dedicated resources control plane |
US20030115316A1 (en) * | 2001-12-07 | 2003-06-19 | Siew-Hong Yang-Huffman | System and method for network usage metering |
US20030172264A1 (en) * | 2002-01-28 | 2003-09-11 | Hughes Electronics | Method and system for providing security in performance enhanced network |
FR2844415B1 (fr) * | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
-
2004
- 2004-02-13 US US10/777,602 patent/US20040168089A1/en not_active Abandoned
- 2004-02-19 CN CNA2004100058047A patent/CN1523851A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US20040168089A1 (en) | 2004-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7411915B1 (en) | Automatically configuring switch ports with appropriate features | |
CA2226814C (en) | System and method for providing peer level access control on a network | |
US9210193B2 (en) | System and method for flexible network access control policies in a network environment | |
US7404205B2 (en) | System for controlling client-server connection requests | |
US8161155B2 (en) | Filtering unwanted data traffic via a per-customer blacklist | |
CN1574764B (zh) | 用于管理基于网络过滤器的策略的方法 | |
US7581249B2 (en) | Distributed intrusion response system | |
CN1213567C (zh) | 一种网络设备的集群管理方法 | |
CN1905555A (zh) | 基于ngn业务的防火墙控制系统及方法 | |
WO2014085952A1 (zh) | 一种策略处理的方法及网络设备 | |
CN1864390A (zh) | 用于利用安全性标记提供网络安全性的方法和装置 | |
CA2497950A1 (en) | Method and apparatus for network security based on device security status | |
CN1640090A (zh) | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 | |
CN101056306A (zh) | 网络设备及其访问控制方法 | |
US20060230060A1 (en) | Extendable discovery of network device information | |
CN1874218A (zh) | 一种许可证管理方法、系统及装置 | |
CN1859216A (zh) | Snmp通信系统和方法 | |
CN100346601C (zh) | 具有通信统计信息收集功能的接入服务器 | |
CN101076028A (zh) | 采用snmp协议的通信系统和消息交互方法 | |
CN1523851A (zh) | 网络管理系统的操作员存取控制的安全方法 | |
CN1581795A (zh) | 一种网络管理安全认证的方法 | |
CN1309208C (zh) | 一种计算机网络的网络安全系统及其控制方法 | |
CN1901478A (zh) | 一种基于snmp的网络管理方法 | |
JP2005193590A (ja) | 印刷装置 | |
CN1791021A (zh) | 一种入侵检测系统与网络设备联动的系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |