CN1538669A - 用于异构网络上的分隔的多操作者网络单元的标记网关 - Google Patents
用于异构网络上的分隔的多操作者网络单元的标记网关 Download PDFInfo
- Publication number
- CN1538669A CN1538669A CNA2004100430364A CN200410043036A CN1538669A CN 1538669 A CN1538669 A CN 1538669A CN A2004100430364 A CNA2004100430364 A CN A2004100430364A CN 200410043036 A CN200410043036 A CN 200410043036A CN 1538669 A CN1538669 A CN 1538669A
- Authority
- CN
- China
- Prior art keywords
- management
- introducing
- network
- connection
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0226—Mapping or translating multiple network management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/022—Multivendor or multi-standard integration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明在用于异构网络单元的网络管理系统中提供了足够的服务虚拟和分隔以提供交互操作性。本发明引入了能够加到每个不提供与网络管理系统所用的网络分隔模型兼容的网络分隔模型的网络单元的通用协调层。该协调层充当网络管理系统的反向代理,以给操作者提供到适当的管理服务的透明访问。本发明在提供这样的混合网络的高的安全级别中也是有帮助的。
Description
技术领域
本发明涉及网络管理领域,更具体地说,涉及通过分隔和虚拟技术为异构网络单元的网络提供高度安全的网络管理系统。
背景技术
早期的系统和方法介绍了使用强制访问控制来加强网络管理系统操作者间的强的分隔。它们也建议了通过网络承载关于分隔的信息,以此允许扩展一组主机的分隔的机制。
这样的机制与网络管理系统高度相关,因为它们可以用来透明地扩展至整个网络,为网络管理系统的操作者定义分隔。这种扩展使得在操作者间的强信息流控制得以实现,通过服务虚拟,向每个操作者提供特定的网络视图。
公开于2002年1月15日提交的共同未决的美国申请10/045,048中的发明,描述了使用分隔的操作系统来提高网络管理基础结构的安全,特别是当它要应付多操作者环境时。
存在几个标准以和业务一起承载有关分隔的信息。例如CIPSO(商业互联网协议安全可选方案)在不同的安全域内和不同的安全域之间进行安全信息通信。它提供多个应用单一的软件环境的安全域。这些标准的另一个例子是FIPS188,它也支持大量的分隔。此外,还有些声明遵循这些标准的操作系统(例如SELinux和Trusted Solaris)。
尽管标准存在,也保证不了声明具有这些标准的实现方案的不同系统间的交互操作性。结果,网络上的分隔通常要求利用相同的操作系统。
这样的约束在网络管理系统范围内是不能被接受的。通常网络由大量不同的异构网络单元(例如不同的制造商)构成。期望这些网络单元建立在一套实现兼容的网络分隔机制的操作系统上也是不合情理的。例如有些网络单元可能建立在提供非交互操作的网络分隔机制的操作系统上:分隔技术可能因系统不同而异。其它网络单元可能构建在不提供分隔特性的标准操作系统上。此外,甚至执行分隔的系统不总是支持服务虚拟,该虚拟是给每个操作者提供按照操作者的分隔的特定网络视图所需要的。
包括在通信中的两个主机之一的分隔的缺乏、在这两个主机上不同网络分隔技术的执行、以及配置有不一致的分隔定义的相同网络分隔技术的执行,都是不兼容的主要因素。因此,通过被管理网络的服务虚拟和分隔由于这种网络的异构性质变得难以实现,这导致交互操作性的问题。
这些局限性使允许不同网络分隔技术集成于网络中,同时提供在该网络的各种单元之间的交互操作性的网络规划成为必要。
发明内容
为了克服上述现有技术中的局限性,以及为了克服在阅读和理解本说明书时将会清楚的其他局限性,因此本发明实施了分隔和虚拟技术。
本发明提供了允许在网络内集成不同网络分隔技术,同时提供该网络内各种单元间的交互操作性的优点。
本发明使得能够在本身并不实现此概念的系统上进行服务虚拟。通过引入可加到每个网络单元的通用协调层而实现这一点,该每个网络单元不提供与网络管理系统所用的网络分隔模型兼容的网络分隔模型。协调层充当反向代理以为操作者提供对合适的管理服务的透明访问。
本发明通过分隔允许提供混合网络所需要的高安全级别:由异构的网络单元构成的、以及支持不同的网络分隔技术的网络需要足够的安全性。
附图说明
为了本发明能得到更加清楚的理解,现在将参照附图描述现有技术的设备和根据本发明的设备,其中:
图1示出表示现有技术系统的实例;
图2是描绘本公开的发明的功能的框图;以及
图3模仿图1那样来强调本公开的发明与现有技术的主要区别。
具体实施方式
给出下面的描述以使本领域技术人员能够利用本发明,并且下面的描述是在特定的应用和它的要求的背景下提供的。公开的实施例的各种修改对本领域技术人员来说是显而易见的,并且在不背离本发明的精神和范围的情况下这里定义的一般原理可以适用于其他实施例和应用。因此,本发明并旨在不限制于所示的实施例中,而是按照与这里公开的原理和特征相一致的最宽的范围。
如图1所示,现有系统要求同构的分隔技术。仅应用了两个分隔来说明该例子的目的,即分隔A101和分隔B102。网络100包括网络管理系统103,网络单元104和在两者间的通信信道105。为了有效地管理网络100,网络100通常被分隔,每个分隔包括与上面所述的相同的单元:分隔A101拥有其自己的分隔管理系统106,其自己的分隔单元107和其自己的通信信道108。分隔B102为同样的情况。
分隔A101的管理系统106只能管理该分隔的单元107。从分隔A101的管理系统106的管理连接穿过该分隔的信道108以管理同一分隔的单元107。对于从分隔A101的、管理分隔B102的单元110的管理连接,分隔A101的单元107和分隔B102的单元110之间的呼叫建立在一组执行兼容网络分隔机制的操作系统之上。
本申请的发明提供了基于标记转换网关(以下称为LCG)的对前述交互操作性的问题的解决方案。LCG解决兼容性问题,在用于异构网络单元的网络管理系统中,现在的网络管理系统无法通过提供足够的服务虚拟和分隔以提供交互操作性来充分地解决该兼容性问题。在该混合网络中提供高安全级别也是有帮助的。
所述LCG是通用的协调层,它可以加到每个不提供与网络管理系统所用的网络分隔模型兼容的网络分隔模型的网络单元。该LCG充当网络管理系统的反向代理以为操作者提供对适当的管理服务的透明访问。
如图2所示,在网络200中,LCG203集成到网络单元201中,且其将所有从网络管理系统202的引入的管理连接偏转到该网络单元201。在接收到管理连接后,LCG203将其映射到适当的管理服务206。随后该LCG203中继该管理连接到管理服务206,从而给操作者207提供到网络单元201的管理访问。
为了更充分地执行本发明,需要管理服务206仅通过LCG203访问。实现这一点的一种方式是将管理服务捆绑到一环回接口,该接口不能从远程系统直接访问。环回接口和它的替代被认为是本领域人员公知的内容。
网络本身就容易被网络协议和基础结构单元中的安全漏洞的开发所攻击。通过约束所有通过LCG203访问其管理服务206的引入的管理连接,本发明提供网络安全级别:在提供到管理服务206的访问前,该LCG203监视和授权(例如通过使用标记信息)所有管理连接。
在引入的连接和适当的管理服务206之间的映射由标记转换策略204(以下称为LCP)定义,它存储在网络单元201的数据库205上。根据下面的任一项映射引入的连接:IP源地址,IP目的地地址,使用的传输协议(TCP、UDP或两者),TCP或UDP目的地端口,或IP选项包含的标记信息。
匹配LCP204的项的连接根据LCP204由LCG203中继到适当的管理服务206。所述LCP204可规定引入连接中的下列信息的变化:IP目的地地址,TCP或UDP目的地端口,以及IP选项中包含的标记信息。不匹配标记转换策略的项的连接保持不变。
为了进一步说明本发明,图3与图1结合给出以描述现有技术和公开的本发明的主要区别。为了也反映出图1的说明,仅有两个分隔应用在此例中:分隔A301和分隔B302。
从分隔A301的管理系统303的管理连接穿过该分隔的到达LCG203的信道304,LCG203集成到网络单元201中。随后根据LCP204映射引入的管理连接,LCP204也存储在网络单元201中,所述管理连接可中继到任何管理服务206。
上面描述的方案可以在生产过程中置入网络单元中,或加到现有的本身不实现此概念的网络单元之中。
Claims (14)
1.一种用于在混合网络中通过分隔向操作者提供到网络单元的管理访问的方法,包括以下步骤:
(a)根据策略映射到所述网络单元的引入的管理连接到管理服务;以及
(b)在步骤(a)后,中继所述引入的管理连接到所述管理服务。
2.权利要求1所述的方法,其中步骤(a)进一步包括根据以下任一项或其任意组合映射所述引入的管理连接:
(a)所述引入的管理连接的源IP地址;
(b)所述引入的管理连接的目的地IP地址;
(c)所述引入的管理连接的传输协议;
(d)所述引入的管理连接的TCP目的地端口;
(e)所述引入的管理连接的UDP目的地端口;或者
(f)IP选项中包含的标记信息。
3.权利要求1所述的方法,其中步骤(b)进一步包括所述网络单元上的协调层中继所述引入的管理连接到所述管理服务。
4.权利要求3所述的方法,其中所述协调层中继所述引入的管理连接,该管理连接如果需要对以下任一项或其任意组合进行变化:
(a)所述引入的管理连接的目的地IP地址;
(b)所述引入的管理连接的TCP目的地端口;
(c)所述引入的管理连接的UDP目的地端口;或者
(d)IP选项中包含的标记信息。
5.权利要求4所述的方法,其中所述协调层中继所述引入的管理连接所要求的所述变化在所述策略中规定。
6.权利要求3所述的方法,其中所述的管理服务仅可通过所述协调层访问。
7.权利要求1所述的方法,其中所述策略存储在所述网络单元中。
8.一种用于在混合网络中向操作者提供到网络单元的管理访问的系统,包括:
(a)根据策略映射到所述网络单元的引入的管理连接到管理服务的装置;以及
(b)在步骤(a)后,中继所述引入的管理连接到所述管理服务的装置。
9.权利要求8所述的系统,其中所述用于映射所述引入的管理连接的装置进一步包括根据以下任一项或其任意组合映射所述引入的管理连接的装置:
(a)所述引入的管理连接的源IP地址;
(b)所述引入的管理连接的目的地IP地址;
(c)所述引入的管理连接的传输协议;
(d)所述引入的管理连接的TCP目的地端口;
(e)所述引入的管理连接的UDP目的地端口;或者
(f)IP选项中包含的标记信息。
10.权利要求8所述的系统,进一步包括协调层,该协调层在所述网络单元上,用来中继所述的引入的管理连接到所述的管理服务。
11.权利要求10所述的系统,其中所述协调层包括如果需要对以下任一项或其任意组合进行变化的装置:
(a)所述引入的管理连接的目的地IP地址;
(b)所述引入的管理连接的TCP目的地端口;
(c)所述引入的管理连接的UDP目的地端口;或者
(d)IP选项中包含的标记信息。
12.权利要求11所述的系统,包括证实所述变化在所述策略中规定的装置。
13.权利要求10所述的系统,进一步包括拒绝到所述管理服务的访问,除非所述访问通过所述协调层的装置。
14.权利要求8所述的系统,其中所述网络单元包括存储所述策略的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/417,117 | 2003-04-17 | ||
| US10/417,117 US7536716B2 (en) | 2003-04-17 | 2003-04-17 | Labeling gateway for compartmented multi-operator network elements over a heterogeneous network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1538669A true CN1538669A (zh) | 2004-10-20 |
Family
ID=33158842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100430364A Pending CN1538669A (zh) | 2003-04-17 | 2004-04-16 | 用于异构网络上的分隔的多操作者网络单元的标记网关 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7536716B2 (zh) |
| EP (1) | EP1487151B1 (zh) |
| CN (1) | CN1538669A (zh) |
| DE (1) | DE602004021747D1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101926190B (zh) * | 2008-02-01 | 2013-11-06 | 高通股份有限公司 | 异构网络中的虚拟调度 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI330025B (en) | 2006-11-17 | 2010-09-01 | Ind Tech Res Inst | Multi-service method over heterogeneous network |
| CN101374096B (zh) * | 2008-10-22 | 2011-05-18 | 清华大学 | 一种虚拟并存的互联网体系结构 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI106418B (fi) * | 1992-03-10 | 2001-01-31 | Nokia Networks Oy | Verkonhallintajärjestelmä |
| US6311265B1 (en) * | 1996-03-25 | 2001-10-30 | Torrent Systems, Inc. | Apparatuses and methods for programming parallel computers |
| US5903732A (en) * | 1996-07-03 | 1999-05-11 | Hewlett-Packard Company | Trusted gateway agent for web server programs |
| JPH1173398A (ja) * | 1997-06-03 | 1999-03-16 | Toshiba Corp | 分散ネットワークコンピューティングシステム、同システムに用いられる情報交換装置、同システムに用いられるセキュリティ機能を有する情報交換方法、この方法を格納したコンピュータ読取り可能な記憶媒体 |
| US6272537B1 (en) * | 1997-11-17 | 2001-08-07 | Fujitsu Limited | Method for building element manager for a computer network element using a visual element manager builder process |
| US5999179A (en) * | 1997-11-17 | 1999-12-07 | Fujitsu Limited | Platform independent computer network management client |
| DE19822553A1 (de) | 1998-05-20 | 1999-11-25 | Alcatel Sa | Netzelement mit einer Steuerungseinrichtung und Steuerungsverfahren |
| EP1119813A1 (en) * | 1998-09-28 | 2001-08-01 | Argus Systems Group, Inc. | Trusted compartmentalized computer operating system |
| US6546425B1 (en) * | 1998-10-09 | 2003-04-08 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
| JP3403971B2 (ja) * | 1999-06-02 | 2003-05-06 | 富士通株式会社 | パケット転送装置 |
| US6847609B1 (en) * | 1999-06-29 | 2005-01-25 | Adc Telecommunications, Inc. | Shared management of a network entity |
| US6681243B1 (en) | 1999-07-27 | 2004-01-20 | Intel Corporation | Network environment supporting mobile agents with permissioned access to resources |
| US7752024B2 (en) * | 2000-05-05 | 2010-07-06 | Computer Associates Think, Inc. | Systems and methods for constructing multi-layer topological models of computer networks |
| US6658458B1 (en) * | 2000-06-22 | 2003-12-02 | Cisco Technology, Inc. | Cascading associative memory arrangement |
| US6871193B1 (en) * | 2000-11-29 | 2005-03-22 | Verizon Corporate Services Group | Method and system for partitioned service-enablement gateway with utility and consumer services |
| US20030135738A1 (en) | 2002-01-15 | 2003-07-17 | Bertrand Marquet | Compartmented multi operator network management |
-
2003
- 2003-04-17 US US10/417,117 patent/US7536716B2/en active Active
-
2004
- 2004-04-14 DE DE602004021747T patent/DE602004021747D1/de not_active Expired - Lifetime
- 2004-04-14 EP EP04300206A patent/EP1487151B1/en not_active Expired - Fee Related
- 2004-04-16 CN CNA2004100430364A patent/CN1538669A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101926190B (zh) * | 2008-02-01 | 2013-11-06 | 高通股份有限公司 | 异构网络中的虚拟调度 |
| US9622192B2 (en) | 2008-02-01 | 2017-04-11 | Qualcomm Incorporated | Virtual scheduling in heterogeneous networks |
| US9820240B2 (en) | 2008-02-01 | 2017-11-14 | Qualcomm Incorporated | Virtual scheduling in heterogeneous networks |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1487151A3 (en) | 2005-02-02 |
| US7536716B2 (en) | 2009-05-19 |
| DE602004021747D1 (de) | 2009-08-13 |
| US20040210768A1 (en) | 2004-10-21 |
| EP1487151B1 (en) | 2009-07-01 |
| EP1487151A2 (en) | 2004-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20140156850A1 (en) | Systems and methods for protecting an identity in network communications | |
| KR970700969A (ko) | 상호 연결된 컴퓨터 네트워크를 위한 보안 시스템(security system for interconnected computer networks) | |
| CA2651864C (en) | Method and system for establishing hierarchical network with provider backbone bridges | |
| CN101277434A (zh) | 利用综合的sip视频监控系统平台操控前端设备的方法 | |
| CN1832458B (zh) | 用于实现应用服务器功能性的方法和接入节点 | |
| CN100420224C (zh) | 网络设备及其实现业务分担的方法 | |
| CN1668030B (zh) | 用于通信网络中的多协议应用的处理字段帧的系统与方法以及网络设备 | |
| CN101150566A (zh) | 异构网络系统中实现网络地址转换协议转换的装置及方法 | |
| CN112187674B (zh) | 支持IPv4和IPv6双栈混合的网络结构和组网方法 | |
| US20140301407A1 (en) | Method for performing protocol translation in a network switch | |
| SE517217C2 (sv) | Metod och system för kommunikation mellan olika nätverk | |
| CN101227361B (zh) | 将客户端接入下一代网络的方法及系统 | |
| JPH0779367B2 (ja) | 連結モードネットワークと非連結モードネットワークとの間のosiトランスポートリレーシステム | |
| CN1538669A (zh) | 用于异构网络上的分隔的多操作者网络单元的标记网关 | |
| CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
| GB2344963A (en) | Object-oriented network management system | |
| JP4564433B2 (ja) | 伝送装置およびフレーム転送方法 | |
| CN101621528B (zh) | 基于以太交换机集群管理的会话系统及会话通道实现方法 | |
| JP2002077275A (ja) | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム | |
| CN1426169A (zh) | 提高接入服务器路由转发可靠性的方法 | |
| Cherukuri et al. | Frame relay: protocols and private network applications | |
| CN1571396A (zh) | 一种实现园区网接入IPv6网的方法 | |
| CN111934971B (zh) | 一种跨越三层网络映射业务到多vlan多ip进行本地网络访问的方法和装置 | |
| Hata | A MAC Address Routing VPN Architecture for Connecting Non-IP Wireless Sensor Networks to Data Centers | |
| Barrett et al. | LAN interconnect using X. 25 network services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |