基于简单网络管理协议的认证方法技术

本发明专利技术公开了一种基于简单网络管理协议的认证方法，包括将团体名配置在网管工作站和认证服务器；网管工作站对被管理设备进行管理时，将封装有被管理设备团体名的管理信息通过被管理设备中设置的管理代理发给认证服务器；认证服务器解析管理信息中被管理设备的团体名，并和自身配置的该被管理设备的团体名进行比对认证，认证通过，发送认证成功报文给被管理设备；否则发送认证失败报文给该被管理设备；该被管理设备接收到认证成功报文，指示管理代理响应网管工作站发来的管理信息；而接收到认证失败报文，则指示管理代理丢弃网管工作站发来的管理信息。本发明专利技术可以简化团体名的配置过程，并提高网络管理过程的安全机制。

【技术实现步骤摘要】
基于简单网络管理协议的认证方法
本专利技术涉及通信网络管理
，特别涉及一种应用在网络管理技术中的认证方法。
技术介绍
目前，通信网络系统中应用最为广泛的网络管理协议是由互联网工程任务组(IETF，Internet Engineering Task Force)提出的简单网络管理协议(SNMP，Simple Network Management Protocol)，SNMP提出的主要目标是保证网络管理信息能够在网络系统中任意两节点之间传送，便于网络管理人员在网络的任意节点之间检索信息，进行参数修改，寻找节点设备故障，完成故障诊断，容量规划和报告生成，因此SNMP已经成为被用户广泛接受并投入使用的工作标准。参照图1，该图是现有技术中SNMP系统的主要组成结构和各个组成部分之间的工作过程图。如图，对整个通信网络进行管理的SNMP系统主要包括网管工作站(NMS，Network Management Station)10、管理代理(Agent)20和管理信息库(MIB，Management Information Base)，上述各个功能实体的作用如下：网管工作站10在通信网络系统中通常是一个独立的设备，用作网络管理人员进行网络管理的用户接口，具备向各个管理代理20发送请求信息的能力，同时能够支持将各个管理代理20发来的响应信息显示给网络管理人员，以进行结果数据分析；管理代理20是指具体安装到通信网络中被管理设备上的软件或固件，以用来跟踪被管理设备的工作状态，并和网管工作站10进行各种管理信息的通信，而SNMP就是用来规定网管工作站10和各个管理代理20之间如何传递-->管理信息的应用层协议；管理信息库包括所有被管理设备列表，每个被管理设备列表内存储有该被管理设备的所有工作状态参数，管理代理20会根据接收的网管工作站10发来的请求信息对管理信息库进行参数查询操作或参数设置操作，并生成相应的响应信息反馈给网管工作站10。上述网管工作站10和管理代理20之间传递的管理信息都封装成标准的SNMP数据包格式进行传输，参照图2，该图是现有技术中SNMP的标准数据包格式示意图。该数据包主要包括版本标识符(Version Identifier)、团体名(Community Name)和协议数据单元(PDU，Protocol Date Unit)三个部分，其中：版本标识符用来确保网管工作站10和管理代理20之间使用相同的SNMP协议(SNMP有三个版本V1，V2和V3)，每个管理代理20通过识别该版本标识符来抛弃网管工作站10发来的与自己协议版本不同的管理信息数据包。团体名用于管理代理20对网管工作站10进行认证，当网管工作站10使用SNMP对被管理设备进行管理时，要把针对获取该被管理设备访问权的团体名封装在管理信息数据包中，发送给相应被管理设备中的管理代理20，该管理代理20接收到网管工作站10发来的管理信息数据包后，解析出该数据包中包头信息中的团体名，并将该解析出的团体名和自己所在被管理设备上预先配置的团体名进行比较，如果一致，该管理代理20就允许网管工作站10访问该对应被管理设备，进行各种管理信息的查询或设置操作；如果不一致，该管理代理20就把网管工作站10发来的管理信息丢弃掉。而协议数据单元用于封装具体的管理信息内容。综上，利用SNMP数据包中的团体名来实现管理代理20对网管工作站10的认证，需要在SNMP系统中将相应的团体名预先配置在网管工作站10和每个被管理设备中(其中在团体名的配置过程中，每个被管理设备都要配-->置自己的团体名，为每个被管理设备配置的团体名可以相同，也可以不同，当网管工作站10对特定被管理设备进行管理操作时，要使用特定的团体名获取该被管理设备的访问权限)。因此采用上述这种基于SNMP的认证方法，需要为每个被管理设备配置相应的团体名，导致了很大的配置工作量，也为修改所有配置的团体名带来不便；同时由于每个被管理设备上都配置有自己的团体名，所以容易泄漏所配置的团体名给外界，从而使网络管理过程在安全机制方面存在着弊端。
技术实现思路
本专利技术要解决的技术问题是提出一种基于简单网络管理协议的认证方法，以简化团体名的配置过程，并提高网络管理过程的安全机制。为解决上述问题，本专利技术提出了一种基于简单网络管理协议的认证方法，用于通信网络系统管理操作进程中基于简单网络管理协议的认证处理，所述通信网络系统包括网管工作站，认证服务器和被管理设备，所述被管理设备中设置有管理代理，包括如下步骤：(1)将被管理设备的团体名分别配置在网管工作站和认证服务器中；(2)当网管工作站要对一个被管理设备进行管理操作时，将封装有该被管理设备团体名的管理信息数据包发送到该被管理设备，再由该被管理设备中设置的管理代理将接收的管理信息数据包转发给认证服务器；(3)认证服务器解析出管理信息数据包中封装的该被管理设备的团体名，并和自身配置的该被管理设备的团体名进行比对认证处理，如果认证通过，认证服务器发送认证成功报文给该被管理设备；如果认证不通过，则认证服务器发送认证失败报文给该被管理设备；(4)该被管理设备接收到认证成功报文时，指示自身设置的管理代理响应网管工作站发来的管理信息数据包；而该被管理设备接收到认证失败报文时，指示自身设置的管理代理丢弃-->网管工作站发来的管理信息数据包。其中步骤(1)进一步包括：(11)建立每个被管理设备的标识和每个被管理设备的团体名之间的映射关系；(12)将所建立的映射关系分别配置在网管工作站和认证服务器中。其中步骤(2)中所述管理信息数据包中还封装有该被管理设备的标识。所述步骤(3)中认证服务器在进行团体名认证处理之前还包括：认证服务器解析出管理信息数据包中封装的该被管理设备的标识；并根据解析出的该标识到自身配置的映射关系中索引相应的团体名。本专利技术能够达到如下的有益效果：由于本专利技术基于简单网络管理协议的认证方法不采用现有技术中将每个被管理设备上的团体名配置在相应的被管理设备上，而是将每个被管理设备的团体名集中配置在通信网络系统中的认证服务器中，所以减少了分散为每个被管理设备配置相应团体名的配置工作量，也减轻了被管理设备的配置复杂度，同时便于集中修改被管理设备变化的团体名。更进一步，由于本专利技术基于简单网络管理协议的认证方法避免了传统技术中将团体名分别配置在每个被管理设备中，容易泄漏所配置的团体名给外界的弊端，而是集中将所有被管理设备的团体名统一设置在认证服务器上，降低了泄漏的可能性，从而提高了网络管理过程中的安全机制。附图说明图1是现有技术中SNMP系统的主要组成结构和各个组成部分之间的工作过程图；图2是现有技术中SNMP的标准数据包格式示意图；图3是本专利技术基于SNMP的认证方法的具体实现流程图；-->图4是本专利技术基于SNMP的认证方法中被管理设备标识和被管理设备团体名之间的映射关系表示意图；图5是本专利技术基于SNMP的认证方法中被管理设备的标识采用被管理设备的IP地址所形成被管理设备标识和被管理设备团体名之间的映射关系表示意图；图6是本专利技术基于SNMP的认证方法中一实施例具体处理过程流程图。具体实施方式本专利技术基于简单网络管理协议SNMP的认证方法的设计宗旨是：在通信网络系统中，将传统技术中分散在每个被本文档来自技高网...

【技术保护点】
一种基于简单网络管理协议的认证方法，用于通信网络系统管理操作进程中基于简单网络管理协议的认证处理，所述通信网络系统包括网管工作站，认证服务器和被管理设备，所述被管理设备中设置有管理代理，其特征在于，包括如下步骤：（１）将被管理设备的 团体名分别配置在网管工作站和认证服务器中；（２）当网管工作站要对一个被管理设备进行管理操作时，将封装有该被管理设备团体名的管理信息数据包发送到该被管理设备，再由该被管理设备中设置的管理代理将接收的管理信息数据包转发给认证服务器； （３）认证服务器解析出管理信息数据包中封装的该被管理设备的团体名，并和自身配置的该被管理设备的团体名进行比对认证处理，如果认证通过，认证服务器发送认证成功报文给该被管理设备；如果认证不通过，则认证服务器发送认证失败报文给该被管理设备；　 　（４）该被管理设备接收到认证成功报文时，指示自身设置的管理代理响应网管工作站发来的管理信息数据包；而该被管理设备接收到认证失败报文时，指示自身设置的管理代理丢弃网管工作站发来的管理信息数据包。

【技术特征摘要】
1、一种基于简单网络管理协议的认证方法，用于通信网络系统管理操作进程中基于简单网络管理协议的认证处理，所述通信网络系统包括网管工作站，认证服务器和被管理设备，所述被管理设备中设置有管理代理，其特征在于，包括如下步骤：(1)将被管理设备的团体名分别配置在网管工作站和认证服务器中；(2)当网管工作站要对一个被管理设备进行管理操作时，将封装有该被管理设备团体名的管理信息数据包发送到该被管理设备，再由该被管理设备中设置的管理代理将接收的管理信息数据包转发给认证服务器；(3)认证服务器解析出管理信息数据包中封装的该被管理设备的团体名，并和自身配置的该被管理设备的团体名进行比对认证处理，如果认证通过，认证服务器发送认证成功报文给该被管理设备；如果认证不通过，则认证服务器发送认证失败报文给该被管理设备；(4)该被管理设备接收到认证成功报文时，指示自身设置的管理代理响应网管工作站发来的管理信息数据包；而该被管理设备接收到认证失败报文时，指示自身设置的管理代理丢弃网管工作站发来的管理信息数据包。2、如权利要求1所述的基于简单网络管理协议的认证方法，其特征在于，所述步骤(1)进一步包括：(11)建立每个被管理设备的标识和每个被管理设备的团体名之间的映射关系；(12)将所建立的映射关系分别配置在网管工作站和认证服务器中。3、如权利要求2所述的基于简单网络管理协议的认证方法，其特征在于，步骤(2)中所述管理信息数据包中还封装有该被管理设备的标识。4、如权利要求3所述的基于简单网络管理协议的认证方法，其特征在于，所述步骤(...

【专利技术属性】
技术研发人员：兰保青，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]