CN100456689C - 一种网络管理安全认证的方法 - Google Patents
一种网络管理安全认证的方法 Download PDFInfo
- Publication number
- CN100456689C CN100456689C CNB031437915A CN03143791A CN100456689C CN 100456689 C CN100456689 C CN 100456689C CN B031437915 A CNB031437915 A CN B031437915A CN 03143791 A CN03143791 A CN 03143791A CN 100456689 C CN100456689 C CN 100456689C
- Authority
- CN
- China
- Prior art keywords
- webmaster
- snmp
- network management
- request message
- snmp request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络管理安全认证的方法,所述方法包括步骤:配置网管参数表;网管发送SNMP(简单网络管理协议)请求报文;接收网管发送的SNMP请求报文;判断SNMP请求报文中表示网管身份的属性参数是否存在于网管参数表中,如果不存在,则返回错误消息,并中止SNMP请求,如果存在,则处理SNMP请求报文,并将处理结果返回给网管。利用本发明,可以在不修改SNMP V1/V2协议栈以及不增加额外开发工作量的情况下,增加一种简单的网管用户认证机制,增加访问代理前的用户鉴权认证功能,以提高SNMP V1/V2协议的安全性。
Description
技术领域
本发明涉及网络安全技术,具体涉及一种网络管理安全认证的方法,特别地,涉及基于SNMP V1/V2的网络管理安全认证的方法。
背景技术
网络安全是系统安全的一个有机组成部分,网络安全主要包括物理线路、网络设备的安全性(物理层、链路层的安全)、TCP(传输控制协议)/IP(互联网络协议)的安全性(网络层、传输层的安全)等方面。在网络设备方面存在的隐患较大,首先是物理设备本身的安全性,这可以通过各种管理手段来进行控制;其次是网络服务的安全性,例如:非法用户可以通过远程登录到路由器/交换机上进行系统配置或IOS软件的破坏,致使物理设备完好无损,但是不能进行路由/局域网交换的功能。因此,要对网络进行监视和控制,即网络管理。按照国际标准化组织(ISO)的定义,网络管理有五大范畴:
(1)故障管理:对网络中的问题或故障进行定位的过程,它包括发现问题、分离问题、找出原因、修复问题。
(2)配置管理:发现和设置网络设备的过程,它包括获得当前网络配置的信息,提供远程修改配置的手段,储存维护最新的设备清单并产生报告。
(3)计费管理:跟踪每个个人和团体对网络资源的使用情况,对其收取合理的费用;并且增加了网络管理员对用户使用网络资源的认识。
(4)安全管理:控制对网络中的信息访问的过程。
(5)性能管理:测量网络中硬件及软件的性能,对于具有一定规模的小区接入网络来讲,要使整个网络能够保持良好的运行状态,完善的网络管理是必不可少的。同时,良好的网络管理还应该能够提供网络运行状况的各种分析,从而为网络扩展的规划提供可靠的依据。
为了完成上述的管理功能,一个网络管理系统有四大组成部分:
(1)多个被管代理;
(2)至少一个管理者;
(3)通用的网络管理协议(如SNMP);
(4)管理信息库(MIB)。
一般情况下,网管工作站为管理者,其他网上的机器为代理。管理者和代理也可是一台机器,如网管工作站。
管理者利用SNMP(简单网络管理协议)请求代理进行信息的收集和设置。代理根据管理者的SNMP请求访问MIB管理信息库获取MIB信息,并对管理者作以应答或根据其改变请求改变MIB中的内容。代理在有紧急情况时也可通过自陷(Trap)向管理者主动发数据。
SNMP是被广泛接受并投入使用的工业标准协议,它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,提供最基本的功能集。
SNMP的基本操作包括GET/GET-NEXT/SET/TRAP等,网管站(NMS)对网络设备Agent(管理代理)发送各种查询报文,并接收来自被管设备Agent的响应及陷阱(trap)报文,将结果显示出来。代理(agent)是驻留在被管设备上的一个进程,负责接受、处理来自网管站的请求报文,然后从设备上其他协议模块中取得管理变量的数值,形成响应报文,发送给NMS。在一些紧急情况下,如接口状态发生改变,呼叫成功等时候,主动通知NMS(发送陷阱TRAP报文),其通信过程如图1所示。
目前SNMP V1/V2广泛用于网络管理应用中,它通过团体名验证来实现简单的安全性保证。一般情况,一个SNMP Agent有两个CommunityName(团体名),一个只具有读权限,另一个具有读写权限。当NMS发送一个SNMP请求报文时,被管理设备的Agent程序根据网管发过来的Community Name判别该SNMP请求所具有的读/写权限,如果团体名认证成功则允许网管读/写相应的MIB变量,否则将返回团体名认证失败的错误。SNMP V1/V2协议处理过程如图2所示。由于V1/V2协议固有的缺乏安全机制,仅仅依靠明文传送的Community Name来识别用户身份存在很大的安全隐患,在网络传送过程中很容易被其它人用抓包工具获取其Community Name,使黑客伪装网管对被管理设备进行数据更改配置;另外V1/V2协议对网管用户的身份只凭借一个团体名的字符串比较进行认证也缺乏足够的安全性。
基于SNMP V1/V2协议的安全缺陷,SNMP V3协议增加了基于用户的安全管理和基于视图的安全管理,且报文加密,安全性有了很大提高,但SNMP V3实现起来较困难,且目前大多数设备只支持SNMP V1/V2协议。
发明内容
本发明的目的是克服现有技术的上述缺点,提供一种网络管理安全认证的方法,所述方法包括步骤:
配置网管参数表,所述网管参数表用于辨别网管的身份;
网管发送简单网络管理协议(SNMP)请求报文;
接收所述网管发送的SNMP请求报文;
判断所述SNMP请求报文中表示所述网管身份的属性参数是否存在于所述网管参数表中,进一步包括:对所述网管的IP地址和/或网管名称进行合法认证;对所述网管的团体名进行合法认证;
如果不存在,则返回非法网管错误信息,并中止SNMP请求,
如果存在,则处理所述SNMP请求报文,并将处理结果返回给网管。
可选地,所述网管参数表包括项目:网管名称,网管IP地址,网管维护方式,团体名,端口号。
优选地,所述网管维护方式包括:带内管理和带外管理,所述带内管理表示通过业务通道进行管理的方式,所述带外管理表示通过以太网口进行管理的方式。
可选地,所述对所述网管的IP地址和/或网管名称进行合法认证的步骤包括步骤:
根据接收的所述SNMP请求报文中的PDU(协议数据单元),判断所述网管的IP地址和/或网管名称是否存在于所述网管参数表中,
如果存在,则继续处理所述SNMP请求,
如果不存在,则中止所述SNMP请求,并返回所述网管不存在的错误消息。
可选地,所述对所述网管的团体名进行合法认证的步骤包括步骤:
解码接收的所述SNMP请求报文;
判断所述团体名是否存在于所述网管参数表中与所述网管的IP地址和/或网管名称对应项中,
如果存在,则继续处理所述SNMP请求,
如果不存在,则中止所述SNMP请求,并返回所述网管团体名认证失败错误消息。
利用本发明,可以在不修改SNMP V1/V2协议栈以及不增加额外开发工作量的情况下,增加一种简单的网管用户认证机制,增加访问Agent前的用户鉴权认证功能,辨别是否真正的网管用户以确定是否允许访问被管理设备的MIB库,以提高SNMP V1/V2协议的安全性。
附图说明
图1是NMS(网管工作站)与Agent(管理代理)通信过程示意图;
图2是目前SNMP V1/V2协议处理过程流程图;
图3是本发明的优选实施例中所述网管参数表的结构示意图;
图4是本发明的优选实施例网络管理安全认证的方法的步骤的流程图。
具体实施方式
下面结合附图和实施方式对本发明作进一步的详细说明:
首先参照图1,图1描述了一个典型的网络管理系统中的NMS(网管工作站)与Agent(管理代理)通信过程的示意图:
简单网络管理系统包括两部分:网管工作站(NMS)和SNMP代理(AGENT)。代理是实际网络设备中用来实现SNMP功能的部分。代理在UDP(用户数据报协议)的161端口接收NMS的读写请求消息,NMS在UDP的162端口接收代理的事件通告消息。一旦获取设备的访问权限,就可以访问设备信息、改写和配置设备参数。
一般地,网络管理系统包括四个要素:管理员、管理代理、管理信息数据库、代理服务设备。其中,前三个要素是必需的,第四个只是可选项。
SNMP是一种无连接协议,通过使用请求报文和返回响应的方式,SNMP在管理代理和管理员之间传送信息。SNMP协议定义了数据包的格式及网络管理员和管理代理之间的信息交换,它还控制着管理代理的MIB数据对象。因此,可用于处理管理代理定义的各种任务。它对外提供了三种用于控制MIB对象的基本操作命令。它们是:Set、Get和Trap:
Set:是一个特权命令,通过它可以改动设备的配置或控制设备的运转状态;
Get:是从网络设备中获得管理信息的基本方式。
Trap:它的功能就是在网络管理系统没有明确要求的前提下,由管理代理通知网络管理系统有一些特别的情况或问题发生了。
SNMPv1的PDU(协议数据单元)有五种类型,它们包括:GetRequest、GetNextRequest、SetRequest、GetResponse、Trap。SNMPv2又增加了两种PDU:GetBulkRequest和InformRequest。
SNMP管理员使用GetRequest从拥有SNMP代理的网络设备中检索信息,SNMP代理以GetResponse消息响应GetRequest。可以交换的信息很多,如系统的名字,系统自启动后正常运行的时间,系统中的网络接口数等等。GetRequest和GetNextRequest结合起来使用可以获得一个表中的对象。GetRequest取回一个特定对象;而使用GetNextRequest则是请求表中的下一个对象。使用SetRequest可以对一个设备中的参数进行远程配置。Set-Request可以设置设备的名字,关掉一个端口或清除一个地址解析表中的项。Trap即SNMP陷阱,是SNMP代理发送给管理站的非请求消息。这些消息告知管理站本设备发生了一个特定事件,如端口失败,掉电重起等,管理站可相应的作出处理。
本发明就是基于图1所示的这种典型的网络管理系统,在SNMP V1/V2协议的基础上提供一种网络管理安全认证的方法。
参照图4,图4描述了本发明的优选实施例网络管理安全认证的方法的步骤的流程:
首先在步骤41,配置网管参数表,所述网管参数表用于辨别网管的身份,它的结构及项目如图3所示;
然后,进到步骤42,网管发送SNMP请求报文,一条SNMP报文由三个部分组成:版本域(version field),团体域(community field)和SNMP协议数据单元域(SNMP PDU field),数据包的长度不是固定的;
进到步骤43,由SNMP代理接收网管发送的SNMP清求报文;
进到步骤44,对SNMP请求报文进行解码;
进到步骤45,根据接收的SNMP请求报文中的协议数据单元(PDU)中的源IP地址和/或网管名称,对网管用户的身份进行合法认证,即判断PDU中的源IP地址和/或网管名称是否存在于上述已配置的网管参数表中;
如果不存在,则进到步骤46,返回非法网管错误消息,
然后,返回步骤43,由SNMP代理接收网管发送的SNMP请求报文;
如果存在,则表明网管身份合法,进到步骤47,对网管用户的团体名进行认证,即判断解码后的SNMP包中的团体名,是否存在于上述已配置的网管参数表中且与上述源IP地址对应的表项中;
如果不存在,则进到步骤48,返回团体名认证失败错误消息,
然后,返回步骤43,由SNMP代理接收网管发送的SNMP请求报文;如果存在,则表明网管为真正的合法身份,进到步骤49,处理SNMP请求报文;
然后,进到步骤410,将处理结果返回给网管;
返回步骤43,由SNMP代理接收网管发送的SNMP请求报文。
前面已经提到图3描述了本发明的优选实施例中所述网管参数表的结构示意图,下面参照图3对所述网管参数表作一详细说明:
网管参数表中包括:网管名称、网管IP地址、网管维护方式、团体名、端口号。其中,网管维护方式包括带内维护方式和带外维护方式,所述带内管理表示通过业务通道进行的一种管理方式,所述带外管理表示通过以太网口进行的一种管理方式。
另外,还可以根据系统实际需要增加其它项目。它的结构可以灵活设置,不只拘于图3所示的结构方式。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (5)
1.一种网络管理安全认证的方法,其特征在于,所述方法包括步骤:
配置网管参数表,所述网管参数表用于辨别网管的身份;
网管发送简单网络管理协议(SNMP)请求报文;
接收所述网管发送的SNMP请求报文;
判断所述SNMP请求报文中表示所述网管身份的属性参数是否存在于所述网管参数表中,进一步包括:对所述网管的IP地址和/或网管名称进行合法认证;对所述网管的团体名进行合法认证;
如果不存在,则返回非法网管错误信息,并中止SNMP请求,
如果存在,则处理所述SNMP请求报文,并将处理结果返回给网管。
2.如权利要求1所述的网络管理安全认证的方法,其特征在于,所述网管参数表包括项目:网管名称,网管IP地址,网管维护方式,团体名,端口号。
3.如权利要求2所述的网络管理安全认证的方法,其特征在于,所述网管维护方式包括:带内管理和带外管理,所述带内管理表示通过业务通道进行管理的方式,所述带外管理表示通过以太网口进行管理的方式。
4.如权利要求1所述的网络管理安全认证的方法,其特征在于,所述对所述网管的IP地址和/或网管名称进行合法认证的步骤包括步骤:
根据接收的所述SNMP请求报文中的PDU(协议数据单元),判断所述网管的IP地址和/或网管名称是否存在于所述网管参数表中,
如果存在,则继续处理所述SNMP请求,
如果不存在,则中止所述SNMP请求,并返回所述网管不存在的错误消息。
5.如权利要求1所述的网络管理安全认证的方法,其特征在于,所述对所述网管的团体名进行合法认证的步骤包括步骤:
解码接收的所述SNMP请求报文;
判断所述团体名是否存在于所述网管参数表中与所述网管的IP地址和/或网管名称对应项中,
如果存在,则继续处理所述SNMP请求,
如果不存在,则中止所述SNMP请求,并返回所述网管团体名认证失败错误消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031437915A CN100456689C (zh) | 2003-08-06 | 2003-08-06 | 一种网络管理安全认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031437915A CN100456689C (zh) | 2003-08-06 | 2003-08-06 | 一种网络管理安全认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1581795A CN1581795A (zh) | 2005-02-16 |
| CN100456689C true CN100456689C (zh) | 2009-01-28 |
Family
ID=34579523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031437915A Expired - Lifetime CN100456689C (zh) | 2003-08-06 | 2003-08-06 | 一种网络管理安全认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100456689C (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100484027C (zh) * | 2005-09-14 | 2009-04-29 | 华为技术有限公司 | 一种应用简单网络管理协议的网络管理系统和方法 |
| CN100563246C (zh) * | 2005-11-30 | 2009-11-25 | 华为技术有限公司 | 一种基于ip的语音通信边界安全控制系统及方法 |
| US7877469B2 (en) * | 2006-02-01 | 2011-01-25 | Samsung Electronics Co., Ltd. | Authentication and authorization for simple network management protocol (SNMP) |
| CN100420206C (zh) * | 2006-04-05 | 2008-09-17 | 华为技术有限公司 | Snmp通信系统和方法 |
| CN101237443B (zh) | 2007-02-01 | 2012-08-22 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
| CN102006178B (zh) * | 2009-09-03 | 2013-11-20 | 电信科学技术研究院 | 一种snmp网络管理方法和系统 |
| CN101714926B (zh) * | 2009-11-02 | 2013-01-30 | 福建星网锐捷网络有限公司 | 网络设备管理方法、装置及系统 |
| CN102006296B (zh) * | 2010-11-26 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种安全认证的方法和设备 |
| CN102158363A (zh) * | 2011-04-26 | 2011-08-17 | 中兴通讯股份有限公司 | 简单网络管理协议的安全保护方法及装置 |
| CN102983986B (zh) * | 2011-09-06 | 2017-11-28 | 中兴通讯股份有限公司 | 一种网元设备鉴权管理的方法及系统 |
| CN111049674B (zh) * | 2019-11-25 | 2021-03-23 | 三维通信股份有限公司 | 网管参数配置方法、装置、设备和计算机可读存储介质 |
| CN113839776B (zh) * | 2021-11-29 | 2022-02-15 | 军事科学院系统工程研究院网络信息研究所 | 一种用于网管和路由器间的安全互连协议方法和系统 |
| CN114844664A (zh) * | 2022-03-11 | 2022-08-02 | 江苏天创科技有限公司 | 用于数据安全管理的监测系统及监测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001229098A (ja) * | 2000-02-17 | 2001-08-24 | Nec Eng Ltd | ネットワーク監視方式 |
| CN1384642A (zh) * | 2001-04-29 | 2002-12-11 | 华为技术有限公司 | 在简单网络管理协议上增加用户安全验证的方法 |
-
2003
- 2003-08-06 CN CNB031437915A patent/CN100456689C/zh not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001229098A (ja) * | 2000-02-17 | 2001-08-24 | Nec Eng Ltd | ネットワーク監視方式 |
| CN1384642A (zh) * | 2001-04-29 | 2002-12-11 | 华为技术有限公司 | 在简单网络管理协议上增加用户安全验证的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1581795A (zh) | 2005-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6404743B1 (en) | Enhanced simple network management protocol (SNMP) for network and systems management | |
| Stallings | SNMP and SNMPv2: the infrastructure for network management | |
| US6430613B1 (en) | Process and system for network and system management | |
| CN100456689C (zh) | 一种网络管理安全认证的方法 | |
| US20040205689A1 (en) | System and method for managing a component-based system | |
| CN101197715B (zh) | 一种移动数据业务状态的安全集中采集方法 | |
| US20050091371A1 (en) | Ingress points localization of a flow in a network | |
| CN103516543B (zh) | 设备管理协议查询中的过滤 | |
| CN101110698A (zh) | 陷阱解析与预处理系统及方法 | |
| EP1079566A2 (en) | System management in a communications network comprising SNMP and CMIP agents | |
| CN103248505A (zh) | 基于视图的网络监控方法及装置 | |
| Cisco | Chapter 8, Network Management | |
| Tyata et al. | Network management protocols: Analytical study and future research directions | |
| Cisco | Traps and Events | |
| Cisco | Cisco 10000 ESR MIB Overview | |
| Cisco | Cisco 10000 ESR MIB Overview | |
| Cisco | Cisco 10000 ESR MIB Overview | |
| Cisco | Chapter 7, Network Management | |
| Cisco | Configuring SNMP Support | |
| US20040168089A1 (en) | Security method for operator access control of network management system | |
| Tian et al. | Network Management Architecture | |
| Genkov | Implementing port security feature using snmp protocol | |
| KR100250118B1 (ko) | 이종 프로토콜의 시스템간의 경보 게이트웨이 장치 및 경보 메시지 변환 방법 | |
| Piliouras | Network Management Tools | |
| Romascanu et al. | Switch monitoring—The new generation of monitoring for local area networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090128 |
|
| CX01 | Expiry of patent term |