TW200818834A

TW200818834A - Secured communication channel between it administrators using network management software as the basis to manage networks

Info

Publication number: TW200818834A
Application number: TW096118781A
Authority: TW
Inventors: Alan Yang
Original assignee: O2Micro Inc
Priority date: 2006-05-26
Filing date: 2007-05-25
Publication date: 2008-04-16
Also published as: CN101079738B; US7917947B2; US20070277236A1; TWI350684B; CN101079738A

Description

200818834 九、發明說明：【發明所屬之技術領域】本發明係關於一種網路管理系統，具體而言，係為一種被開發來於企業或者網際網路服務供應商（Internet service provider，ISP)等級下管理一客戶網路的一網路管理系統。【先前技術】

Ptttlfiaw (Information Technology, ιΤ) , t =傳輸量已經急劇地增長。據此，商業界對於其自有資訊的完整性和可靠性也投注了更多關注。於㈣^際鹏麟供麵提供的“轉、企業網路或各戶麟日寸，資管人員（1丁 administrator)需要進 ^通訊。由於可能涉及企_絲訊息，安丁^ f要達到安全要求，習知方法係透過電話或其備提供一條獨立的通訊線路來實。叹亦昂貴。然而刖逑方法既不方便且【發明内容】本發明的目的之—在於提供—種用於通訊的設備以及方法。一用戶鳊間女全至少:用 =以’本發明提供-種網路管理系統，用於伺服器，該網路管包管=系統包括-網路管理伺服器耦接至用戶端，用二理;:::軟體。該網路管理由^亥網路㈣值器所建立的至少二安全通訊 200818834 頻道，分別介於朗路管理伺服器使該等用戶端彼此_全地通訊（咖【實施方式】以下將對本制的實施例進行詳細綱。雖然對本發明的描述是結合其實施解、請專利範圍狀，本發明涵蓋和發明範圍由後附的申和等同物。盍此一耗圍内的所有替代物、變體而盲下枯文Γί體實施模式中給出了眾多的具體細節。然樣可m將可理解’沒有這麵體細節，本發明同製程、元件和祕未對於縣所知的方法、之主匕 "、要的洋細描述，以便於凸顯本發明凊茶考圖1所示，為佑储士政戶端安全通訊_路管理;二實^的―_於管理用網路管理系統UK) ⑽的—物理層架構方塊圖。該戶迪P 網路管理伺服器110以及複數用戶柒，為間明起見，此處僅示出舉例說明。 m r-用戶Μ 140和142,以權作統1GG具有—網路管理軟體，該網路管理f蜞咖透過一網路，例如一網際網路以及142,以操作為一冲/寺用戶^ 140 和⑷的安全通訊。^用飼冷服山器從而管理用於該等用戶端140 (user· te . 1、 Λ 鳊140以及142得為使用者終端 (对ter_1S) ’例如個人電腦⑽和工作站等。於本^ 200818834 月的只知例中’當作為一資訊產生用戶端（message producer client)的該用戶端140發出一登錄請求（1〇gin request)至網路官理伺服器110時，舉例來說，該用戶端140得透過遠端遙控指令（Remote Method Invocation, RMI)發出該登錄請求。該網路管理軟體提供該等用戶端140包括登錄類型（login type)、帳號（acc〇urrt)、密碼（passw〇rd)、用戶端網際網路協議位址（client IP address)等之登錄帳號訊息（1〇gin account informatior〇。馨依據本發明的一實施例，JavaRMI是-種允許提取（inv〇ke) 位於另一位址空間的一物件（object)中一方法的機制。被提取的該位址空間可以位於同一機器中，亦可位於不同機器中。該腿1機制基本上是一種物件導向（〇bject—〇riented)的遠端程序呼叫（remote procedure call，RPC)機制，該機制係一通汛機制，允許一 Unix程序（process)與另一 Unix程序通訊。請再參考圖1，該網路管理伺服器11〇對該用戶端14〇而言為一遠端物件（remote object)。該用戶端14〇得產生一登錄請求 ⑩至戎網路官理伺服器，並透過Java RMI裝置提取該網路管理伺服器110上的方法。 '' 5 依據本發明的一實施例，該網路管理伺服器11〇被耦接至一外部認證伺服器（external authentication server) 112，今認證伺服器112可提供輕型目錄存取協議（Ughtweight Directory Access Protocol，LDAP)、主動式目錄（active directory)或者遠端用戶撥號認証系統（RAmus)。透過結合 (associating)該認證伺服器112，該網路管理伺服器u〇H 認證該用戶端140。舉例來說，LDAP提供一種基於χ· 5⑽標= 200818834 ρ 的替代方案。Χ· 500標準定義了如何構造一全球型的人員參考目錄（global reference directories of pe〇pie)。X· 5〇〇的目錄都構建在一共同的根目錄（root directory)下，該根目錄具有一樹狀結構（tree hierarchy)，對每一類別的資訊都具有不同的級別，例如國籍、省份、市、單位、部門和個人。LDAp 隶初是用作微軟的主動式目錄服務和N〇veH公司的N〇veii目錄服務產品的骨幹（backbone)，能夠實現更為簡單而功能強大的X· 500標準。 _ LDAP具有能夠與其它的登錄程式互動的能力，例如前述的遠端用戶撥號認証系統等，許多ISP的網路設備都使用RADIUS來管理撥號網際網路的存取。當一使用者登錄進入該網路設備 ’ fee後有一用戶名/密碼組合被傳送至一 radius伺服器。該 RADIUS伺服器則查詢該LDAP伺服器以查看該用戶名是否有效。如果該用戶名有效，該RADIUS伺服器則回應該網路設備其所需的登錄權限（login privileges)。請再參見圖1，當該網路管理伺服器11〇接收來自該用戶端 • I40的該登錄請求時，該網路管理伺服器110詢問該認証伺服器 112以認證（authenticate)該用戶端140透過RMI的java延伸官理（Java Management Extensions，JMX)登錄是否合法 (legitimacy)。JMX技術所提供的工具可用於建立基於網路的分散式解決方案（distributed Web-based)、模組化解決方案、動態解決方案，以用於管理以及監控裝置、應用 (application )以及服務驅動網路（service如 networks)。認証資料係事先儲存以及配置於該認證伺服器中。該網路管理伺服器透過將資料與該認證伺服器112中 200818834 的認證資料相比較，例如比較用戶名以及密碼，來確定該用戶端140是否能登錄。如果該用戶端丨4〇能登錄，該網路管理伺服态110便將登錄結果，例如用於追縱的序列碼（serial ID)、用於權限管理的允許清單（permissi〇n list)以及登錄時間標吕己（login timestamp)傳回給該用戶端140。對該用戶端142 而言，其登錄步驟與該用戶端14〇類似。為簡明起見，於此不再對該用戶端142的登錄步驟進行描述。

用戶端可能存在許多需要進行安全通訊的原因。舉例來說，當該網路管理伺服器110操作為一拓撲飼服器（t〇p〇i°〇gy server) k ’其支援（subseribes) 一資料庫服務以接收一網路το件雙更通知（netw〇rk element change祕⑴咖⑽），該資料庫服務係由該網路管理飼服器11〇或者其它的飼服器（圖 1中未不出）來操作。由於該網路管理舰器m具有 Ϊ接撲架構發生任何變化時’該網路管理伺服器110都 ^妾收到_路元件變更通知以及一拓撲變更通知（切如卿 change message)。當該用戶端14〇使用該 ==戶端或飼服器通訊時，該樹狀拓撲“ 140所支援。3皮山載入（Μ"0 ’且該變更通知為該用戶端知後，7用^山端140接收到表明該拓撲架構已被改變的通例點—便隨之改變。舉得以與該二:::、=員所使用時，該用戶端14° 端142,使得二3 通訊或者安全地傳輸訊息給該用戶拓撲芊構的^ 3 得知有_拓撲架構的變化，而這個拓撲木構的交化疋組織的内部或是機密資訊。於本發明的—實施例中，該用戶端⑽作為訊息產生者，得 200818834 傳送關於該拓撲架構變更的一訊息至一訊息消費者，即該用戶端142。§亥息可指明訊息類型、訊息產生者、訊息消費者、内谷、檔案名稱、時間標記等，該訊息係透過二安全通訊頻道16〇和162來傳輸。該等安全通訊頻道16〇以及162符合一加密協議（encryption protocol )，例如一安全套接層（SSL)協議或者一 IP安全（IPsec)協議。該SSL協議可透過該網際網路12〇於二通訊應用（application)之間提供加密通訊（privacy c⑽munication)，於本發明的一實施例中，上述二通訊應用即馨為該用戶端140以及該網路管理伺服器ho。該SSL協議係由二層組成。一低層包括於可靠的傳輸協議上建立的SSL記錄協議，例如一傳輸控制協議（TCP)。該Tcp協議負責驗註（verify)資料是否正確地由一用戶端傳輸到一祠服裔上。該SSL記錄協議係被用於包裝（encapSUiafi〇n)各種高層協議，例如SSL交握協議、SSL加密規則變更協議（change

cipher spec protocol)以及SSL警告協議。舉例來說，SSL 父握協5義允终该飼服裔以及該用戶端間互相認證，並於應用協 # 議傳輸或接收該資料的第一個位元組之前，協商一加密算法以及密输（cryptographic keys)。於本發明的一實施例中，登錄的該用戶端140可傳送一用戶端問候訊息（server hello message)來回應該伺服器11〇透過tcp連結所傳送的一伺服器問候訊息（server hello message)。該等問候訊息為該伺服器no以及該用戶端ι4〇建立起連接屬性（connection attributes)，該等連接屬性可包括協議版本（protocol version)、一會議辨識元（sessi〇n identifier)、一密碼組（cipher suit)、一壓縮方法和隨機值 200818834 ; (random values)。於交換該等問候消息後，該飼服器ιι〇合傳送其驗證（certificate)，_戶端14()亦會傳送其驗證。隨後該伺服器110指示（instructs)該用戶端⑽開始使用加密，並於資料傳輸可被實行時結束初始交握（initlal handshake)。如此-來’於_戶端⑽以及該網路管理祠服 Ϊ 建立起該安全_親⑽。於傳輸過程 =了=透過該網際網路⑽傳輪時被遺失，TCP可檢測到錯 7或，失的資料’並觸發（W麟）一再傳輸 (Γ^__η) ’朗請正確而且完魏㈣的—實施例中，該用戶端_及該_管理何服益11G可駐於（reside)同 ^ 悉該項技術者顯然得理解，於唁實 u ne )中。熟不存在，該通訊頻道⑽ 及該網路管理伺服器110的一硬體。 β 鸲140以透過建立該通訊頻道16〇，該網用戶端⑽送出的該訊息，該訊自遷:110獲传由该資訊。與該安全通訊頻道⑽的二^了^消費者142的服器110以及該用戶端149、乂驟類似’該網路管理伺心該網路ΐ::^^ 轉送（如wam)至該用戶端142王通訊頻道162 當該網路管理飼服器m以及_=王^1頻道⑽類似，時’該安全通訊頻道162亦可為一硬體。2處於同一子網路例中，當該用戶(訊息咖^ -11 - 200818834 路管理伺服器110轉送的來自該用戶端140(訊息產生者）的气息時，透過提取該網路管理伺服器Π0的該圖形使用者界面，表明收到一新訊息以及該訊息内容的資訊便可於該網路管理伺服器110的一顯示器上被顯示。

該等用戶端140和142之間得以透過該網路管理伺服器11〇傳輸的消息類型包括本文（text)、圖片以及語音等等。當該等用戶端140和142間係透過該等安全通訊頻道16〇和162傳輪的汛息係語音類型時，其傳輸係採用一網際網路語音傳輸協議 (Voice over Internet Protocol，VoIP)。使用 V〇ip，來自該用戶端140的音頻信號可被轉換為數位信號，數位信號則透過該網古際網路12G傳輸到該用戶端142之後再轉換回音頻信號。 A習該項技術者難轉，本發明的實施例巾使用的安全通訊頻主道比習知方法中租用專用的通訊線路要更加經濟和方便。請參考圖2，為依據本發明—實施_ —種於至少二用 ^間進行安全通訊的流程圖_。於步驟202中，該等用戶端之登錄請求給—網路管糊服器，舉例來說，該登錄二r戶端縣翻路管理飼服 k 彡網料理舰透過一網路 ==)::=二管; 該等用戶端透4中_路官糊服器詢問-認證舰器以認證具:JMX登錄是否合法。通蝴用於建立基於網路的分散式解決方案、模組化解決方案、 -12- 200818834 動網路。、該f城:::官理以及監控裝置、應用以及伺服器驅結合該酿^ &耦接至朗路管糊服11，—於認證證飼服器確定料 ^料，例如輯用戶名和密瑪，該認了認證，則該網^4,是否通過認證。如果該等用戶端通過列碼、用仲,s 51服11將登錄結果，例如躲追縱的序用戶端〈官理的允許清單以及登錄時間標記傳回給該等於牛\絲料化切賴證，該紐終止。舰11㈣縣制彳端之後提門八f ' 於"亥網路官理伺服器以及該等用戶端之 S2立安全通訊頻道。該等用戶端之間傳輸的資料可包括、Λ息產生者、訊息消費者、内容、職名稱以及時 UL二，該訊息係透過—加雜議（encrypti〇n prGt〇c〇1)，二:安全套接層（SSL)傳輸。該SSL協議可透過一網路於二用之間提供加密通訊’舉例來說，上述二個通訊應用即局该等用戶端以及該網路管理伺服器。 ‘安全通訊頻道於本發明的-實施例中，登錄的該用戶端傳送—用戶端問候二回應該飼服器透過Tcp連接所傳送的一伺服器問候訊心。該等問候消息為該祠服器以及該等用戶端建立起連接屬性=等連制性可包減議版本、該會議賴元、該密碼組、规縮方法和隨機值。於該等醜訊息被交換後，該伺服器以 ^亥用戶端間會互相交換其驗證。隨後，該祠服器指示該用戶端=使用加密，並於資料傳輸可被實行時結束初始交握。如於該用戶端和該網路管理伺服器之間便成功地建立起 -13- 200818834 於步驟208 + ’當登錄的該用戶端傳送 :::Γ實施例中，該™ 過已經建立的安全通訊頻道來之間透料被遺純錯誤罐權中’如資 (retransmiss1〇n un.t)， ==接收。如此-來，資料便得以於該二用戶端之間 >用於器提供-圖形使用者界面，服哭;樣器轉送的訊息時’透過提取該網路管理伺 =:=用者界面’就可顯示接收-新訊息的資此離ίίΓΖ具體實麵式僅為本發_㈣實施例，在不 ==精神和後附的權利要求書所界定的發明範圍 >術者可以理觫1可以有各種增補、修改和替代。熟習該項技在具體實射係根據具體環境和工作要 ;=!明範圍的前提下可以在形式、架構、安排、比 #用於％明Γτ1 且件等等方面有所變化。因此，上述實施例之描述。、°月心圍及其合法均等物來界定，而不限於此前 -14- 200818834 【圖式簡單說明】以下附圖中，類似部分用類似數字表示，結合與附圖相關的詳細描述，本發明實施例之特性和優點顯而易見。圖1為依據本發明一實施例的一種用於管理用戶端安全通訊的網路管理系統的一物理層架構方塊圖圖2為依據本發明一實施例的一種於至少二用戶端之間進行安全通訊的流程圖。【元件符號說明】 100 :網路管理系統 110 : —網路管理伺服器 112 :外部認證伺服器 120 :網際網路 140、142 :用戶端 160、162 :安全通訊頻道

-15-

Claims

200818834 十申明專利範園： 1 一種用於至少二山括：尸鸲間安全通訊的網路管理系統，包 -網路管理伺服器器耦接至該等用戶、、周路官理軟體，該網路管理伺服 Φ 至少二安全通訊頻道^該等用戶端間的通訊；以及服器以及每-該#由_路管理伺服ϋ於該網路管理飼安全地通訊。間分別建立，使該等用戶端彼此間得 2·如申請專利範圍第網路管理軟體_於管^所述之該網路管理系統，其中該邊荨用戶端間的通訊。 3·如申請專利範圍第… 等安全通訊頻道係由該^斤路管理系統，其中該立。 g理伺服态上的該網路管理軟體建其中該其中該網二範圍第4項所述之該網路管理系統，等 -16- 200818834 7·如申請專利範圍第2項所述之該網路管理系統，其中爷網路管理軟體包括一圖形使用者界面（GUI)，用於顯示該網路管理伺服器以及該等用戶端間的通訊資訊。 1 戶端。 8·如申請專利範圍第1項所述之該網路管理系統，更包括· 耦接至該網路管理伺服器的一認證伺服器，用於認證兮等用 9·如申請專利範圍第1項所述之該網路管理等安全通訊頻道符合SSL協議。 ”"中该其中該〜·如申請專利範圍第丨項所述之該網路管理系統，等文全通訊頻道得用於傳輸音頻信號。，、、項所述之該網路管理系統，其中 11 ·如申請專利範圍第1() ^ 该等安全通訊頻道符合網際網路語音傳輸協議包括下列步 .12種用於至少二用戶端間安全通訊的方法，用戶Γπ:管理飼服器於該網路管理細以Μ 用戶=間分別建立至少二安全通訊頻道；以及端間#g科Ί服11以及該等安全通訊頻道於該等用戶 13 ·如申請專利範圍第 12項所述之該安全通信方法，其中 17 200818834 該建立安全通訊頻道之步驟更包括：於一認証伺服器上儲存認證資料；以及透過配置於該認証伺服器上的該認証資料認證該等用戶端是否合法。 14 ·如申請專利範圍第12項所述之該安全通信方法，其中該網路管理伺服器透過一網路耦接至該等用戶端。 ⑩ 15 ·如申請專利範圍第14項所述之該安全通信方法，其中該網路為網際網路。 16 ·如申請專利範圍第12項所述之該安全通信方法，其中該建立安全通訊頻道的步驟更包括：提供加密和解密方法。 Π ·如申請專利範圍第16項所述之該安全通信方法，其中春該等加密和解密方法符合SSL協議。 18 ·如申請專利範圍第12項所述之該安全通信方法，其中該傳輸訊息步驟更包括：於該等用戶端間透過該等安全通訊頻道以及該網路管理伺服器傳輸音頻信號。 19 ·如申請專利範圍第18項所述之該安全通信方法，其中該傳輸訊息步驟更包括： -18- 200818834 使用網際網路語音傳輸協議（VoIP)技術透過該等安全通訊頻道傳輸該等音頻信號。 20 ·如申請專利範圍第12項所述之該安全通信方法，更包括：顯示該等用戶端間的通信資訊。

-19-