CN100461690C - 通用网管安全管理系统及其方法 - Google Patents
通用网管安全管理系统及其方法 Download PDFInfo
- Publication number
- CN100461690C CN100461690C CNB2005100361231A CN200510036123A CN100461690C CN 100461690 C CN100461690 C CN 100461690C CN B2005100361231 A CNB2005100361231 A CN B2005100361231A CN 200510036123 A CN200510036123 A CN 200510036123A CN 100461690 C CN100461690 C CN 100461690C
- Authority
- CN
- China
- Prior art keywords
- management
- user
- safety
- interface
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000013475 authorization Methods 0.000 claims abstract description 22
- 238000007726 management method Methods 0.000 claims description 244
- 230000008569 process Effects 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 14
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 9
- 238000004519 manufacturing process Methods 0.000 abstract description 4
- 230000007246 mechanism Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 3
- 239000012141 concentrate Substances 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000009333 weeding Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信系统的网管技术,公开了一种通用网管安全管理系统及其方法,使得在包含不同厂商提供的网络设备的通信网络中实现集中的、通用的网管安全管理。本发明中,将不同设备厂商提供的网络设备即功能实体划分到不同安全域,在每个安全域内设至少一个安全管理网关,用于将该安全域内的安全管理接口适配到通用安全管理接口,而通过通用安全管理接口即可实现由安全管理中心对全网功能实体的集中安全管理,另外还对安全管理员提供安全管理操作接口;通过用户管理、用户授权、用户认证和用户鉴权四个工作流程实现通用安全管理系统运作;上述安全管理网关和功能实体都是逻辑实体。
Description
技术领域
本发明涉及通信系统的网管技术,特别涉及可以统一管理具有不同安全管理接口的通信设备的网管技术。
背景技术
随着信息时代的到来,国民经济的迅速发展,网络通信尤其是移动通信网络建设速度惊人,移动用户呈现爆炸式增长。网络规模的扩大,新技术的不断推陈出新,不同厂商的网元设备增多,造成网络管理的难度增大,对网管系统的要求也越来越高。为科学管理现代化通信网络,发挥网络的规模效益,实现集中管理,统一调度,各家运营商都建立了自己运营网络的网管系统。
随着网络应用和规模的不断增加,网络管理工作也越来越繁重,网络故障频频出现:不了解网络运行状况,系统出现瓶颈;当系统出现故障后,不能及时发现、诊断;网络设备众多,配置管理非常复杂;网络安全受到威胁;互联网服务供应商(Internet Service Provider,简称“ISP”)需要控制访问,通过流量和时间对用户计费。不管是对于大的网络运营商还是小的企业内部网络,都要建立必须的网管系统(Network Management System,简称“NMS”)来加强网络管理,以优化现有网络性能。
网管系统主要是针对网络设备进行监测、配置和故障诊断。主要功能有自动拓扑发现、远程配置、性能参数监测、故障诊断。网管系统主要由两类企业开发,一类是通用网管软件供应商,另一类是各个网络设备供应商提供针对自身产品的网管解决方案。
各个设备厂商为自己产品设计的专用NMS系统对自己的产品监测、配置功能非常全面,可监测一些通用网管系统无法监测的重要性能指标,还有一些独特配置功能。但是对其它厂商生产的网络设备就无能为力了。
安全管理是网管系统的一个重要部分,主要实现对网络管理员用户的信息、权限等管理,保障合法的网管用户对网络设备的安全访问和操作,防止越权操作。它包括授权功能、访问控制、用户认证和安全日志记录等功能。一个可靠的安全管理机制对整个网管系统乃至整个网络的安全性和可靠性都有着至关重要的作用。
在一个大型通信网络系统中,特别是运营商的网络中,由于网络发展和业务多样化的原因,通常都不可避免的存在着各种各样的由多个设备厂商提供的设备或者系统。为了保证安全运行,这些设备或者系统都提供了自己独立的网管系统,当然也包括了安全管理系统。然而如前所述,由于不同设备厂商的设备或系统之间的网管系统或安全管理系统不兼容、不协作,因此无法实现对于整个网络范围内集中的用户管理、权限管理和身份认证机制。
但是,大型网络的运营商却迫切需要能够有一个全网集中的对各设备厂商的设备都通用的安全管理系统,这样能够对整个网络中的所有设备或者系统的网管进行集中的用户管理、权限管理和身份认证,从而降低运营的难度,提高网络的安全性。
目前业界还没有出现相关的技术方案,能够解决包含不同厂商生产的设备的通信网络的网管安全管理。这种状况对于通信网络发展、通信业务质量提高、网络安全性能提高都是严重的阻碍。
发明内容
有鉴于此,本发明的主要目的在于提供一种通用网管安全管理系统及其方法,使得在包含不同厂商提供的网络设备的通信网络中实现集中的、通用的网管安全管理。
为实现上述目的,本发明提供了一种通用网管安全管理系统,包含安全管理中心、至少一个逻辑的功能实体及至少一个安全管理网关,
其中,全网划分为至少一个安全域,每个安全域中包含至少一个所述功能实体,并且,
每个所述安全域对应包含至少一个所述安全管理网关,用于将该安全域内功能实体的安全管理接口适配成所述安全管理中心提供的通用安全管理接口;
所述功能实体用于处理用户业务;
所述安全管理中心用于实行全网的用户管理、权限管理和身份认证。
其中,还包含
安全管理操作接口,用于基于所述安全管理中心向管理员提供安全管理操作界面。
此外在所述系统中,所述安全管理中心还用于管理全网的用户信息、授权信息和身份认证信息、
通过各安全域的所述安全管理网关与全网功能实体交互、以及
通过所述安全管理操作接口与管理员交互。
此外在所述系统中,所述功能实体还用于转发用户认证请求给其所在安全域的所述安全管理网关、
通过所述安全管理网关向所述安全管理中心下载当前登录用户的权限信息并缓存、
根据所述权限信息对用户操作进行鉴权、以及
在用户退出时或根据预先设置的策略清除所述权限信息的缓存。
此外在所述系统中,所述安全管理网关还用于通过其所在安全域的安全管理接口与本安全域内所有功能实体交互、
通过所述通用安全管理接口与所述安全管理中心交互、
转发所述功能实体传来的用户认证请求给所述安全管理中心、以及
转发所述安全管理中心传来的权限信息给所述功能实体。
本发明还提供了一种上文所述通用网管安全管理系统的用户管理方法,包含以下步骤,
所述安全管理操作接口接收所述管理员的用户管理操作请求,并发送给所述安全管理中心;
所述安全管理中心处理所述用户管理操作请求,并返回处理结果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在用户界面上。
本发明还提供了一种上文所述通用网管安全管理系统的用户授权方法,包含以下步骤,
所述安全管理操作接口接收所述管理员的用户授权操作请求,并发送给所述安全管理中心;
所述安全管理中心从所述安全管理网关获取可授权操作类型和可授权操作对象信息,并返回给所述安全管理操作接口;
所述安全管理操作接口将所述可授权操作类型和可授权操作对象信息显示在管理员界面上,作为所述管理员进行授权操作的参考;
在所述管理员完成授权操作之后,所述安全管理操作接口将授权操作请求发送给所述安全管理中心;
所述安全管理中心处理授权操作、保存用户授权信息,并返回处理结果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在管理员界面上。
本发明还提供了一种上文所述通用网管安全管理系统的用户授权方法,包含以下步骤,
所述安全管理中心在每次启动时从所述安全管理网关获取所述可授权操作类型和可授权操作对象信息并在本地保存;
所述安全管理网关在每次更新改动后发起对所述安全管理中心的同步过程,使得所述可授权操作类型和可授权操作对象信息保持同步;
所述管理员根据所述安全管理中心所提供的可授权操作类型和可授权操作对象信息进行授权操作;
在所述授权操作之后,所述安全管理操作接口将授权操作请求发送给所述安全管理中心;
所述安全管理中心处理授权操作、保存用户授权信息,并返回处理结果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在管理员界面上。
本发明还提供了一种上文所述通用网管安全管理系统的用户认证方法,包含以下步骤,
所述功能实体接收用户认证请求并发送给其所在安全域的所述安全管理网关,由其转发给所述安全管理中心;
所述安全管理中心处理所述用户认证请求后返回认证结果和用户权限信息给所述安全管理网关,由其转发给所述功能实体;
所述功能实体在本地缓存所述用户权限信息直至用户退出或超时。
其中,所述功能实体在收到用户认证请求时还可以根据预置的本地策略判断是否要转发;所述功能实体在本地缓存所述用户权限信息前也可以增加根据预置的本地策略判断是否要缓存的步骤。
本发明还提供了一种上文所述通用网管安全管理系统的用户鉴权方法,包含以下步骤,
所述功能实体根据本地缓存的所述用户权限信息对用户操作进行鉴权,在鉴权通过后执行该操作;
所述功能实体在用户退出、超时情况下按预先设置的策略清除本地缓存的所述用户权限信息。
通过比较可以发现,本发明的技术方案与现有技术的主要区别在于,将不同设备厂商提供的网络设备即功能实体划分到不同安全域,在每个安全域内设至少一个安全管理网关,用于将该安全域内的安全管理接口适配到通用安全管理接口,而通过通用安全管理接口即可实现由安全管理中心对全网功能实体的集中安全管理,另外还对安全管理员提供安全管理操作接口;
通过用户管理、用户授权、用户认证和用户鉴权四个工作流程实现通用安全管理系统运作;
通过安全管理网关实现不同功能实体和安全管理中心之间交互;
通过对功能实体的改进实现用户认证请求转发、用户权限信息下载缓存。
这种技术方案上的区别,带来了较为明显的有益效果,即安全管理中心和通用安全管理接口的提供实现了集中安全管理的基础,安全域的划分和安全管理网关的接口适配实现了安全管理中心对全网不同功能实体的通用管理,在不对现有设备进行大规模修改的前提下,用一种统一的方式实现集中的用户管理、权限管理和用户认证机制,简化了网络管理,避免了不同安全管理接口不一致带来的管理混乱,提高了网络的安全性和可靠性。
附图说明
图1是根据本发明的实施例的通用网管安全管理系统框图;
图2是根据本发明的实施例的通用网管安全管理系统用户管理工作流程图;
图3是根据本发明的实施例的通用网管安全管理系统用户授权工作流程图;
图4是根据本发明的实施例的通用网管安全管理系统用户认证工作流程图;
图5是根据本发明的实施例的通用网管安全管理系统用户鉴权工作流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
为了在一个由多个制造商提供的设备构成的网络中实现集中的网管安全管理,包括网管用户的授权、认证、鉴权等功能。本发明的基本思路是:将全网设备即功能实体按照其厂商或者所支持的安全管理接口的不同而划分成不同的安全域,每个安全域中包含多个功能实体和至少一个安全管理网关;这个安全管理网关就是用于将安全域内功能实体的安全管理接口适配成给安全管理中心提供的标准接口;而所谓的安全管理中心就是集中进行全网的用户管理、权限管理和身份认证的部分;安全管理中心还通过安全管理操作接口为系统管理员提供用户界面。
在本发明的方案中,系统管理员即管理员是负责对整个网管系统各个操作员或者网管用户的权限等进行管理的人,而网管用户即用户则是通过对功能实体的操作而对整个网络进行网络管理的操作员。管理员通过安全管理操作接口在安全管理中心上对用户及其权限信息进行管理,安全管理中心则通过各安全域的网关实现与不同功能实体的交互。
这个网管安全管理系统的运行包含四个流程:用户管理,即管理员直接在安全管理中心上操作用户的数据库对用户信息进行管理;用户授权,即管理员在安全管理中心对用户进行授权,其中包括安全管理中心向各安全管理网关咨询可授权操作信息并提供给管理员参考;用户认证,即用户进行网管操作前登录到功能实体时由功能实体上报认证请求给安全管理中心,安全管理中心对用户进行认证,并返回认证结果,如果认证成功,安全管理中心返回的认证结果同时包含了用户权限信息,功能实体对用户的权限信息进行缓存;用户鉴权,即功能实体根据本地缓存用户权限信息对用户每次操作进行鉴权判断。
下面按照本发明的实施例对通用网管安全管理系统的技术细节进行详细阐述。如前所述,该安全管理系统的基本构造包含安全管理中心(SecurityManagement Center,简称“SMC”)、安全管理操作接口(Security ManagementUser Interface,简称“SMUI”)、多个不同厂商制造的功能实体(Function Entity,简称“FE”)及用于适配的安全管理网关(Security Management Gateway,简称“SMG”)。在本发明的实施例中,这些组成部分的相互连接关系如图1所示。
全网所有功能实体按其生产厂商不同划分为不同安全域(SecurityDomain,简称“S-Domain”),每个安全域对应包含一个安全管理网关,用于将该安全域内功能实体的安全管理接口适配成安全管理中心提供的通用安全管理接口。可见安全域是一个从安全管理角度来划分整个运营商网络的概念。一个安全域包含了某个设备制造商提供的设备。域与外部的交互全部通过安全管理网关进行。
这里的功能实体就是泛指网络中提供一定的网络服务的物理或者逻辑实体。这些功能实体均在网管系统的管理之下,接收用户的操作实现网络管理。在访问任何一个功能实体之前,都需要进行用户身份认证,用户身份认证通过之后,每次访问都需要结合用户身份进行访问鉴权。
而安全管理中心则是用于实行全网的用户管理、权限管理和身份认证,这是一个集中管理全网用户的模块。而安全管理操作接口基于安全管理中心向管理员提供用户界面的系统,比如图像用户界面(Graphic User Interface,简称“GUI”)、命令行界面、WEB Protal等。
从图1中看到,整个网络被划分为多个安全域,每个安全域通常只包含同一制造商提供的功能实体。在每个安全域内,设置一个安全管理网关,该网关主要负责将制造商特有的安全管理接口适配到运营商的集中安全管理中心提供的通用接口。安全管理网关是每个安全域与安全管理中心的适配模块,安全域内的功能实体需要通过安全管理网关转发用户身份认证请求、下载用户权限信息。在全网范围内设置统一的安全管理中心,提供通用安全管理接口,实现全网集中的用户管理、权限管理和身份认证,负责与各安全域的安全管理网关交互,处理网关转发的身份认证请求、并下发用户权限信息。同时它也接收管理员通过安全管理操作接口对用户数据进行的管理操作。
下面进一步介绍每个组成部分所要实现的必须功能。
功能实体首先要接收用户的操作,用户登录时需要转发用户认证请求给其所在安全域的安全管理网关,由安全管理网关上报安全管理中心;同时也通过安全管理网关从安全管理中心下载当前登录用户的权限信息并在本地缓存;这样在用户每次操作时可以根据缓存的权限信息对用户操作进行鉴权;而在每次用户退出或超过有效期时限情况下都将按照预先设置的策略清除权限信息的缓存,这样可以保证下次登录时用户权限信息重新从安全管理中心下载更新。
安全管理网关的主要功能就是从安全域内的特有安全管理接口适配到安全域外的通用安全管理接口。它在里侧通过其所在安全域的安全管理接口与本安全域内所有功能实体交互,在外侧通过通用安全管理接口与安全管理中心交互。这样它就能够负责转发功能实体上报的请求信息、也转发安全管理中心下发的用户信息,包括功能实体传给安全管理中心的用户认证请求、安全管理中心传给功能实体的权限信息。这个安全管理网关是实现通用管理的关键。
安全管理中心是全网集中统一管理的载体,用于管理全网的用户信息、授权信息和身份认证信息。它上面保存由全网的用户信息数据库,管理员只需在其数据库上面操作即实现对全网不同安全域的用户的操作。而所有功能实体都需要从安全管理中心下载更新用户信息来进行认证、鉴权。它一侧通过各安全域的安全管理网关与全网功能实体交互,另一侧通过安全管理操作接口与管理员交互。
下面按照通用安全管理系统四个基本工作流程介绍各组成部分的功能如何实施、相互间如何协作。这四个基本工作流程就是用户管理、用户授权、用户认证和用户鉴权,其中用户管理和用户授权是管理员这一侧对用户的上对下的管理操作,而用户认证和用户鉴权是用户这一侧在登录操作时由下对上请求认证并鉴权的过程。
用户管理就是指管理员在安全管理中心上直接对用户数据库的操作,包括增加用户、删除用户、修改用户信息等操作。
在本发明的实施例中,这些用户管理操作所涉及的模块及其工作流程如图2所示。首先,管理员发起操作请求是在安全管理操作接口的用户界面上接收到的,然后发送给安全管理中心;安全管理中心对该请求进行处理,也即进行用户管理操作,并返回处理结果给安全管理操作接口;最后,安全管理操作接口用于将处理结果显示在用户界面上。
用户授权是指管理员给用户增加权限、修改权限等操作。用户的权限限定了用户在功能实体上所做的操作类型和操作对象。比如用户对于功能功能实体上的文件访问权限应该描述为:对哪些文件具有什么样的操作权限,如增加、删除、修改等。因此用户的权限信息应当包含“操作类型”和“操作对象”两部分信息。
虽然从管理员的角度来看,用户授权与用户管理类似,都是通过安全管理操作接口下发操作请求,在安全管理中心处理以后,接收操作结果。但是在系统内部的处理过程来看,用户授权比用户管理要多一个流程,即安全管理中心需要从安全管理管理网关咨询可授权的操作类型和操作对象信息,并在授权用户界面上为管理员提供参考,这样管理员并可完成用户授权。当然安全管理网关还可能需要进一步向功能实体咨询“操作类型”和“操作对象”信息,这一点在本实施例说明中省略。
在本发明的实施例中,用户授权操作所涉及的模块及其工作流程如图3所示。首先,管理员在用户界面上操作,由安全管理操作接口接收管理员的用户授权操作请求,并发送给安全管理中心;然后,安全管理中心从安全管理网关获取可授权操作类型和可授权操作对象信息,并返回给安全管理操作接口;接着,安全管理操作接口将可授权操作类型和可授权操作对象信息显示在管理员界面上,以供管理员参考。这样前半个流程就结束了,管理员此时可以通过提供的可授权信息选择如何对用户进行授权,在授权操作之后,安全管理操作接口再将授权操作请求发送给安全管理中心;然后安全管理中心处理授权操作、保存用户授权信息,并返回处理结果给安全管理操作接口;最后,安全管理操作接口将处理结果显示在管理员界面上。
注意到上述流程中,每次进行用户授权时安全管理中心都要咨询各个安全管理网关,这在本发明的另一个实施例中,通过在安全管理中心保存可授权信息并建立与安全管理网关之间的同步机制来简化流程。在用户授权工作流程中,安全管理中心在每次启动时从安全管理网关获取可授权操作类型和可授权操作对象信息并在本地保存;而之后,安全管理网关在每次更新改动后发起对安全管理中心的同步过程,使得可授权操作类型和可授权操作对象信息保持同步。这样就避免了每次授权操作就进行咨询的麻烦,节省了操作时间。
用户认证和用户鉴权是指用户在进行网络管理操作时登录到某个功能实体后,功能实体需要从全网统一的用户数据库--安全管理中心获取用户信息进行认证,之后在每次用户进行操作时都根据用户信息进行鉴权判断的操作过程。这样很明显的一个机制就是全网的功能实体都从安全管理中心进行用户认证和下载用户权限信息,而这一机制中功能实体与安全管理中心间的交互是通过安全管理网关适配的。另外这一机制中功能实体还需要对用户信息进行缓存,缓存不但是为了加快鉴权速度,也是保证用户权限信息的及时更新,因此功能实体要保证用户信息在登录时重新下载而在退出时清除。
图4和图5分别示出了根据本发明的实施例的用户认证和用户鉴权工作流程。
首先,用户登录到某个功能实体,此时用户提供身份标识如用户名和认证信息如密码、数字证书以确认其身份;功能实体接收用户认证请求并转发给其所在安全域的安全管理网关,由安全管理网关用于将用户认证请求转发给安全管理中心;然后在安全管理中心处理用户认证请求,即进行用户认证,并返回用户权限信息给安全管理网关,由安全管理网关进一步转发给功能实体;此后,功能实体即获得用户认证结果及用户权限信息,于是它需要在本地缓存用户权限信息直至用户退出或超时。
上述交互过程中,关键点在于功能实体能够根据本地配置的策略转发认证请求,保存从安全管理网关返回的用户权限信息。只有功能实体实现了对认证请求的转发和在本地缓存安全网关返回的用户权限信息,才可能实现集中的安全管理机制。在一个操作会话结束的时候,功能实体清除其保存的用户权限信息,在下次登录时重新下载以保证其权限更新。
在完成用户认证之后,用户的每次操作都要被鉴权,用户鉴权是指功能实体根据本地缓存的用户权限信息,对用户的操作进行鉴权,看是否允许用户进行某项操作。鉴权的内容包含“操作类型”和“操作对象”,必须全部有权限才认为某个操作是有权限的。如图5所示,功能实体根据本地缓存的用户权限信息对用户操作进行鉴权,在鉴权通过后执行该操作;而在用户退出、超时情况下按预先设置的策略清除本地缓存的所述用户权限信息。
至此,四个工作流程在经过各个组成部分的功能体系和相互协作后得以实现,不但给出了管理员对全网用户的信息管理,也给出了用户对全网各功能实体操作时所必须的认证和鉴权机制。
需要指出的是,为了简化说明,以上的实施例中每个安全域只有一个安全管理网关,但可以不限于这种情况,即每个安全域可以有多个安全管理网关。本领域的普通技术人员可以理解,多个安全管理网关的实现和一个安全管理网关的实现没有本质性的区别,所以这里不再重复说明了。
另外需要指出的是,本发明中所有的设备或实体均是指逻辑实体,在具体实现时每个逻辑实体既可以单独成为一个物理设备,也可以将多个逻辑实体组合在同一个物理设备中实现。
通过划分安全域,在每个域中增加安全管理网关,运营商可以在不对现有设备进行大规模修改的前提下,通过本发明用一种统一的方式实现集中的用户管理、权限管理和用户认证机制,简化了对网络的管理,避免了多个系统权限信息不一致带来的管理混乱,提高了网络的安全性和可靠性。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (12)
1.一种通用网管安全管理系统,其特征在于,包含安全管理中心、至少一个逻辑的功能实体及至少一个安全管理网关,
其中,全网划分为至少一个安全域,每个安全域中包含至少一个所述功能实体,并且,
每个所述安全域对应包含至少一个所述安全管理网关,用于将该安全域内功能实体的安全管理接口适配成所述安全管理中心提供的通用安全管理接口;
所述功能实体用于处理用户业务;
所述安全管理中心用于实行全网的用户管理、权限管理和身份认证。
2.根据权利要求1所述的通用网管安全管理系统,其特征在于,还包含
安全管理操作接口,用于基于所述安全管理中心向管理员提供安全管理操作界面。
3.根据权利要求2所述的通用网管安全管理系统,其特征在于,所述安全管理中心还用于管理全网的用户信息、授权信息和身份认证信息、
通过各安全域的所述安全管理网关与全网功能实体交互、以及
通过所述安全管理操作接口与管理员交互。
4.根据权利要求1至3中任一项所述的通用网管安全管理系统,其特征在于,所述功能实体还用于转发用户认证请求给其所在安全域的所述安全管理网关、
通过所述安全管理网关向所述安全管理中心下载当前登录用户的权限信息并缓存、
根据所述权限信息对用户操作进行鉴权、以及
在用户退出时或根据预先设置的策略清除所述权限信息的缓存。
5.根据权利要求1至3中任一项所述的通用网管安全管理系统,其特征在于,所述安全管理网关还用于通过其所在安全域的安全管理接口与本安全域内所有功能实体交互、
通过所述通用安全管理接口与所述安全管理中心交互、
转发所述功能实体传来的用户认证请求给所述安全管理中心、以及
转发所述安全管理中心传来的权限信息给所述功能实体。
6.一种权利要求2所述通用网管安全管理系统的用户管理方法,其特征在于,包含以下步骤,
所述安全管理操作接口接收所述管理员的用户管理操作请求,并发送给所述安全管理中心;
所述安全管理中心处理所述用户管理操作请求,并返回处理结果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在用户界面上。
7.一种权利要求2所述通用网管安全管理系统的用户授权方法,其特征在于,包含以下步骤,
所述安全管理操作接口接收所述管理员的用户授权操作请求,并发送给所述安全管理中心;
所述安全管理中心从所述安全管理网关获取可授权操作类型和可授权操作对象信息,并返回给所述安全管理操作接口;
所述安全管理操作接口将所述可授权操作类型和可授权操作对象信息显示在管理员界面上,作为所述管理员进行授权操作的参考;
在所述管理员完成授权操作之后,所述安全管理操作接口将授权操作请求发送给所述安全管理中心;
所述安全管理中心处理授权操作、保存用户授权信息,并返回处理结果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在管理员界面上。
8.一种权利要求2所述通用网管安全管理系统的用户授权方法,其特征在于,包含以下步骤,
所述安全管理中心在每次启动时从所述安全管理网关获取所述可授权操作类型和可授权操作对象信息并在本地保存;
所述安全管理网关在每次更新改动后发起对所述安全管理中心的同步过程,使得所述可授权操作类型和可授权操作对象信息保持同步;
所述管理员根据所述安全管理中心所提供的可授权操作类型和可授权操作对象信息进行授权操作;
在所述授权操作之后,所述安全管理操作接口将授权操作请求发送给所述安全管理中心;
所述安全管理中心处理授权操作、保存用户授权信息,并返回处理结果给所述安全管理操作接口;
所述安全管理操作接口将处理结果显示在管理员界面上。
9.一种权利要求1所述通用网管安全管理系统的用户认证方法,其特征在于,包含以下步骤,
所述功能实体接收用户认证请求并发送给其所在安全域的所述安全管理网关,由其转发给所述安全管理中心;
所述安全管理中心处理所述用户认证请求后返回认证结果和用户权限信息给所述安全管理网关,由其转发给所述功能实体;
所述功能实体在本地缓存所述用户权限信息直至用户退出或超时。
10.根据权利要求9所述的权利要求1所述通用网管安全管理系统的用户认证方法,其特征在于,所述功能实体收到用户认证请求时,还包含以下子步骤:
根据预置的本地策略决定是否转发,如果是则将该用户认证请求转发给所述安全管理网关,否则直接在本地处理。
11.根据权利要求9所述的权利要求1所述通用网管安全管理系统的用户认证方法,其特征在于,所述功能实体在本地缓存所述用户权限信息前,还包含根据预置的本地策略判断是否缓存的子步骤。
12.一种权利要求1所述通用网管安全管理系统的用户鉴权方法,其特征在于,包含以下步骤,
所述功能实体根据本地缓存的所述用户权限信息对用户操作进行鉴权,在鉴权通过后执行该操作;
所述功能实体在用户退出、超时情况下按预先设置的策略清除本地缓存的所述用户权限信息。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100361231A CN100461690C (zh) | 2005-07-21 | 2005-07-21 | 通用网管安全管理系统及其方法 |
| CNA2006800124031A CN101160775A (zh) | 2005-07-21 | 2006-07-10 | 通用网管安全管理系统、设备及方法 |
| PCT/CN2006/001623 WO2007009350A1 (fr) | 2005-07-21 | 2006-07-10 | Système universel de gestion de la sécurité réseau et équipement et méthode pour celui-ci |
| US11/489,932 US20070022470A1 (en) | 2005-07-21 | 2006-07-20 | Universal security management system, device and method for network management |
| EP06015237A EP1746764A3 (en) | 2005-07-21 | 2006-07-21 | Universal security management system, device and method for network management |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100361231A CN100461690C (zh) | 2005-07-21 | 2005-07-21 | 通用网管安全管理系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1889452A CN1889452A (zh) | 2007-01-03 |
| CN100461690C true CN100461690C (zh) | 2009-02-11 |
Family
ID=37103148
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100361231A Expired - Fee Related CN100461690C (zh) | 2005-07-21 | 2005-07-21 | 通用网管安全管理系统及其方法 |
| CNA2006800124031A Pending CN101160775A (zh) | 2005-07-21 | 2006-07-10 | 通用网管安全管理系统、设备及方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800124031A Pending CN101160775A (zh) | 2005-07-21 | 2006-07-10 | 通用网管安全管理系统、设备及方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20070022470A1 (zh) |
| EP (1) | EP1746764A3 (zh) |
| CN (2) | CN100461690C (zh) |
| WO (1) | WO2007009350A1 (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9654200B2 (en) | 2005-07-18 | 2017-05-16 | Mutualink, Inc. | System and method for dynamic wireless aerial mesh network |
| CN101442425B (zh) * | 2007-11-22 | 2012-03-21 | 华为技术有限公司 | 网关的管理方法及装置、系统 |
| CN101197711B (zh) * | 2007-12-06 | 2012-04-04 | 华为技术有限公司 | 一种实现统一鉴权管理的方法、装置及系统 |
| CN101599831B (zh) * | 2008-06-06 | 2011-09-21 | 中兴通讯股份有限公司 | 一种通信网络安全管理方法及系统 |
| US8850561B2 (en) * | 2008-08-25 | 2014-09-30 | International Business Machines Corporation | Associating operating system native authorizations with console roles |
| PL2392099T3 (pl) * | 2009-02-02 | 2018-02-28 | Nokia Solutions And Networks Oy | Komunikowanie zdarzenia w sieci |
| US8504837B2 (en) | 2010-10-15 | 2013-08-06 | Rockwell Automation Technologies, Inc. | Security model for industrial devices |
| CN102455894A (zh) * | 2010-10-26 | 2012-05-16 | 镇江精英软件科技有限公司 | 一种快速构建信息系统软件的构架 |
| CN102457560B (zh) * | 2010-10-29 | 2016-03-30 | 中兴通讯股份有限公司 | 一种云计算的安全管理方法和系统 |
| CN102025725B (zh) * | 2010-11-22 | 2016-12-07 | 北京百卓网络技术有限公司 | 电信业务环境安全系统及其实现方法 |
| CN102158529A (zh) * | 2011-01-27 | 2011-08-17 | 浪潮电子信息产业股份有限公司 | 基于php环境实现网络存储高效管理的方法 |
| CN102104607B (zh) * | 2011-03-10 | 2013-11-06 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
| CN102148687B (zh) * | 2011-05-09 | 2014-02-05 | 北京数码大方科技股份有限公司 | 信息管理系统中的签名方法及装置 |
| CN102843387B (zh) * | 2011-06-20 | 2017-02-01 | 北京太能沃可网络科技股份有限公司 | 一种基于安全分级的云计算安全控制平台 |
| US8839349B2 (en) * | 2011-10-18 | 2014-09-16 | Mcafee, Inc. | Integrating security policy and event management |
| CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN103634138B (zh) * | 2012-08-27 | 2016-12-28 | 阿里巴巴集团控股有限公司 | 分布式调度的远程管理与运维方法及其系统 |
| CN102932184B (zh) * | 2012-11-06 | 2016-06-08 | 华为技术有限公司 | 一种网络管理的方法、装置及系统 |
| US9419953B2 (en) * | 2012-12-23 | 2016-08-16 | Mcafee, Inc. | Trusted container |
| US9088543B2 (en) | 2013-06-03 | 2015-07-21 | International Business Machines Corporation | Coordinated network security management |
| CN104463510A (zh) * | 2014-12-31 | 2015-03-25 | 天津云之峰科技有限公司 | 一种财务管理系统 |
| CN106506238A (zh) * | 2015-08-24 | 2017-03-15 | 中兴通讯股份有限公司 | 一种网元管理方法及系统 |
| CN108243059B (zh) * | 2016-12-27 | 2020-05-15 | 大唐移动通信设备有限公司 | 一种网管集中管理方法和服务端 |
| CN106878084B (zh) * | 2017-02-28 | 2020-03-06 | 新华三技术有限公司 | 一种权限控制方法和装置 |
| CN107995203A (zh) * | 2017-12-08 | 2018-05-04 | 中盈优创资讯科技有限公司 | 网络设备安全管理系统、方法及计算机可读存储介质 |
| CN111480185B (zh) * | 2017-12-15 | 2022-12-27 | 亚萨合莱有限公司 | 当网络连接不可用时提供凭证集合 |
| WO2021142849A1 (zh) * | 2020-01-19 | 2021-07-22 | Oppo广东移动通信有限公司 | 安全域的配置、发现和加入方法及装置、电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1352429A (zh) * | 2001-11-29 | 2002-06-05 | 上海复旦光华信息科技股份有限公司 | 域用户集中授权和管理系统 |
| WO2004047402A1 (en) * | 2002-11-20 | 2004-06-03 | Bae Systems (Defence Systems) Limited | Management of network security domains |
| CN1549493A (zh) * | 2003-05-23 | 2004-11-24 | 联想(北京)有限公司 | 一种计算机网络的网络安全系统及其控制方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6070244A (en) * | 1997-11-10 | 2000-05-30 | The Chase Manhattan Bank | Computer network security management system |
| US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| ATE350829T1 (de) * | 1999-06-10 | 2007-01-15 | Alcatel Internetworking Inc | System und verfahren zur einheitlichen regelverwaltung mit integriertem regelumsetzer |
| US7693976B2 (en) * | 2000-07-11 | 2010-04-06 | Ciena Corporation | Granular management of network resources |
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| AU2002348415B2 (en) * | 2001-10-25 | 2007-05-24 | General Dynamics C4 Systems, Inc | A method and system for modeling, analysis and display of network security events |
| DE10206009A1 (de) * | 2002-02-14 | 2003-08-28 | Alcatel Sa | Dienstleistungs-Server |
| US7149740B2 (en) * | 2002-03-26 | 2006-12-12 | Symmetricom, Inc. | Using a common link field key |
| US7003527B1 (en) * | 2002-06-27 | 2006-02-21 | Emc Corporation | Methods and apparatus for managing devices within storage area networks |
| JP2004357234A (ja) * | 2003-05-30 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。 |
| US20050081055A1 (en) * | 2003-10-10 | 2005-04-14 | Bea Systems, Inc. | Dynamically configurable distributed security system |
-
2005
- 2005-07-21 CN CNB2005100361231A patent/CN100461690C/zh not_active Expired - Fee Related
-
2006
- 2006-07-10 WO PCT/CN2006/001623 patent/WO2007009350A1/zh active Application Filing
- 2006-07-10 CN CNA2006800124031A patent/CN101160775A/zh active Pending
- 2006-07-20 US US11/489,932 patent/US20070022470A1/en not_active Abandoned
- 2006-07-21 EP EP06015237A patent/EP1746764A3/en not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1352429A (zh) * | 2001-11-29 | 2002-06-05 | 上海复旦光华信息科技股份有限公司 | 域用户集中授权和管理系统 |
| WO2004047402A1 (en) * | 2002-11-20 | 2004-06-03 | Bae Systems (Defence Systems) Limited | Management of network security domains |
| CN1549493A (zh) * | 2003-05-23 | 2004-11-24 | 联想(北京)有限公司 | 一种计算机网络的网络安全系统及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007009350A1 (fr) | 2007-01-25 |
| EP1746764A2 (en) | 2007-01-24 |
| CN1889452A (zh) | 2007-01-03 |
| US20070022470A1 (en) | 2007-01-25 |
| CN101160775A (zh) | 2008-04-09 |
| EP1746764A3 (en) | 2007-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100461690C (zh) | 通用网管安全管理系统及其方法 | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| US7793343B2 (en) | Method and system for identity management integration | |
| CN100492991C (zh) | 网元管理的方法、系统及网元 | |
| KR20110040691A (ko) | 네트워크 자원들을 관리하는 장치 및 방법 | |
| US20190297491A1 (en) | Network device selective synchronization | |
| EP1389752A2 (en) | System and method for privilege delegation and control | |
| US20130019300A1 (en) | System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium | |
| JP5422753B1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
| US20090228962A1 (en) | Access control and access tracking for remote front panel | |
| CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
| DE102004045147A1 (de) | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm | |
| CN101166173A (zh) | 一种单点登录系统、装置及方法 | |
| JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
| JP5342020B2 (ja) | グループ定義管理システム | |
| CN101404643B (zh) | 基于ipsec技术实现无线单点登录系统及其运行方法 | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| CN107832602A (zh) | 一种基于标识的统一电子印章系统 | |
| CN101355557A (zh) | 在mpls/vpn网络中实现网络接入控制的方法及系统 | |
| CN110138779A (zh) | 一种基于多协议反向代理的Hadoop平台安全管控方法 | |
| EP2207303B1 (en) | Method, system and entity for bill authentication in network serving | |
| CN111161454A (zh) | 一种智能锁安全联网与控制的方法 | |
| US20200112563A1 (en) | System and method for secure onboarding of network devices | |
| DE102017121648B3 (de) | Verfahren zum anmelden eines benutzers an einem endgerät |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090211 Termination date: 20170721 |