專利名稱:一種網(wǎng)絡(luò)管理系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)通信技術(shù),尤其涉及一種網(wǎng)絡(luò)管理系統(tǒng)和方法。
背景技術(shù):
隨著IT技術(shù)(信息技術(shù))的發(fā)展,網(wǎng)絡(luò)中各種數(shù)據(jù)存儲量也越來越大,這樣,就要求諸如數(shù)據(jù)中心所包括的服務(wù)器越來越多,為了更好地利用網(wǎng)絡(luò)服務(wù)器的各種數(shù)據(jù)及程序的有效運行,人們需要通過用戶終端對服務(wù)器中的數(shù)據(jù)及程序進行管理和維護。為描述方便,上述的服務(wù)器稱作被管理端,上述的用戶終端稱作管理端。
如圖1所示,在現(xiàn)有技術(shù)中,管理端利用管理協(xié)議通過中間鏈路對被管理端直接進行管理,所述的管理端采用用戶接口通過管理協(xié)議與被管理端進行通信,以實現(xiàn)對被管理端的管理,所述的用戶接口可采用WEB(網(wǎng)絡(luò))頁面方式、GUI(圖形用戶接口)方式、CLI(命令行)方式。所述的管理協(xié)議可采用HTTP協(xié)議(超級文本傳送協(xié)議)或SNMP協(xié)議(簡單網(wǎng)絡(luò)管理協(xié)議),所述的被管理端采用代理程序以接受用戶接口的指令或響應(yīng)用戶接口的請求,所述的代理程序包括服務(wù)器程序、SNMP代理程序、其它代理程序。按照管理協(xié)議來分,可將現(xiàn)有技術(shù)的管理方法分為基于HTTP協(xié)議的管理方法和基于SNMP協(xié)議的管理方法,下面對上述管理方法進行分別描述。
基于HTTP協(xié)議的管理方法,是指通過Internet(互聯(lián)網(wǎng))服務(wù)器(比如Win平臺下的IIS(Internet信息服務(wù)器),Linux平臺下的Apache)實現(xiàn)基本的管理內(nèi)容,并通過腳本或其他編程方式將管理內(nèi)容反映到頁面中,而用戶終端可通過瀏覽器進行管理被管理端,瀏覽器和Internet服務(wù)器之間可以傳輸HTTP協(xié)議數(shù)據(jù)。
基于SNMP協(xié)議的管理方法,是指通過存在于被管理端的SNMP代理實現(xiàn)需要管理的內(nèi)容,并通過SNMP協(xié)議將管理內(nèi)容傳到管理端,用戶在管理端對被管理端進行管理操作。
在上述的現(xiàn)有技術(shù)中,由于管理端利用管理協(xié)議通過中間鏈路對被管理端直接進行管理,盡管被管理端通常有安全認證,仍然會對被管理端帶來很大的風(fēng)險,使得被管理端的安全性沒有保障。另外,這種管理方式還會造成被管理端性能方面的降低,尤其是多個管理端同時管理被管理端時,對被管理端的影響會更加嚴重,甚至導(dǎo)致被管理端的崩潰。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種網(wǎng)絡(luò)管理系統(tǒng)和方法,能夠提高被管理端的安全性。
本發(fā)明公開了一種網(wǎng)絡(luò)管理系統(tǒng),包括管理端,用于發(fā)送管理請求消息;交換服務(wù)器,用于接收所述管理端的管理請求消息,并對該管理請求消息進行驗證,若通過驗證,則生成管理請求命令;被管理端,接收來自所述交換服務(wù)器的管理請求命令,并執(zhí)行該管理請求命令。
所述的交換服務(wù)器包括解析模塊,用于接收管理端的管理請求消息,并對管理請求消息進行解析,以確定該消息的具體內(nèi)容;驗證模塊,用于根據(jù)可用命令表對解析模塊確定的消息內(nèi)容進行驗證,若驗證結(jié)果正確,則啟動消息轉(zhuǎn)發(fā)模塊,所述的可用命令表包括命令標識、命令參數(shù)、命令格式、用戶名、被管理端標識;消息轉(zhuǎn)發(fā)模塊,用于將待發(fā)送消息的目的地址設(shè)為被管理端的地址;生成模塊,用于將待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元,并將協(xié)議管理單元組織成管理請求消息,然后按目的地址發(fā)出。
所述的解析模塊具體包括消息解析模塊,用于將管理端的管理請求解析為具體的管理請求消息;協(xié)議解析模塊,用于將消息解析模塊解析的管理請求消息進行解析,以確定該消息的具體內(nèi)容;所述的生成模塊具體包括協(xié)議管理單元生成模塊,用于對待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元;消息生成模塊,用于對管理協(xié)議生成模塊生成的協(xié)議管理單元組織成消息,并按目的地址發(fā)出。
所述的交換服務(wù)器還包括可用命令維護模塊,用于維護可用命令表。
本發(fā)明還公開了一種網(wǎng)絡(luò)管理方法,包括A、管理端向交換服務(wù)器發(fā)送管理請求消息;B、交換服務(wù)器對管理端的管理請求消息進行驗證,若通過驗證,則生成管理請求命令,并將管理請求命令發(fā)給被管理端;C、被管理端執(zhí)行管理請求命令。
所述的交換服務(wù)器設(shè)置有可用命令表;所述的管理請求消息包括命令標識、命令參數(shù)和命令格式,或者命令標識、命令參數(shù)和命令格式與用戶名和被管理端標識的任意組合。
所述的交換服務(wù)器對管理端的管理請求消息進行驗證具體包括交換服務(wù)器根據(jù)可用命令表對管理請求消息驗證管理命令正確性、驗證用戶權(quán)限和/或驗證被管理端支持性。
所述的可用命令表包括管理命令表,其包括命令標識、命令參數(shù)和命令格式,用于確定命令的正確性;用戶命令表,其包括用戶名和命令標識,用于確定用戶可用的命令;被管理端命令表,其包括被管理端標識和可用命令標識,用于確定被管理端可識別的命令。
所述的驗證管理命令正確性具體包括交換服務(wù)器的驗證模塊確定管理請求消息中的命令標識、命令參數(shù)、命令格式是否與管理命令表中的內(nèi)容相對應(yīng);所述的驗證用戶權(quán)限具體包括交換服務(wù)器的驗證模塊確定該命令是否在用戶命令表中;所述的驗證被管理端支持性具體包括交換服務(wù)器的驗證模塊確定該命令是否存在于被管理端命令表中。
在執(zhí)行所述的步驟B之前還執(zhí)行交換服務(wù)器的驗證模塊驗證用戶名和用戶密碼是否相符。
所述的方法還包括可用命令維護模塊需對可用命令表進行維護。
根據(jù)本發(fā)明,通過在管理端和被管理端之間增加交換服務(wù)器,相當(dāng)于在管理端和被管理端之間加了一道防火墻,可以過濾掉非法的管理請求,增加了被管理端的安全性。此外,通過在交換服務(wù)器的驗證工作,被管理端可以專注于對正常請求的處理,減少了被管理端的負擔(dān),提高了被管理端的工作效率。
圖1示出了現(xiàn)有技術(shù)的網(wǎng)絡(luò)管理系統(tǒng)的示意圖;圖2示出了本發(fā)明實施例的網(wǎng)絡(luò)管理系統(tǒng)的示意圖;圖3示出了本發(fā)明實施例的Socket交換服務(wù)器的功能結(jié)構(gòu)示意圖;圖4示出了本發(fā)明的網(wǎng)絡(luò)管理方法的流程圖。
具體實施例方式
為了便于本領(lǐng)域一般技術(shù)人員理解和實現(xiàn)本發(fā)明,現(xiàn)結(jié)合附圖描繪本發(fā)明的實施例。
本發(fā)明的基本思想是,在管理端和被管理端之間增加一個交換服務(wù)器,所述的交換服務(wù)器用于接收管理端的管理請求消息,并對該管理請求消息進行驗證,若通過驗證,則將管理請求消息發(fā)給被管理端。這樣,就會增加被管理端的安全性,另一方面,也會減少被管理端的安全驗證工作。下面以Socket交換服務(wù)器為例來說明本發(fā)明。
如圖2所示,本發(fā)明提供了一種網(wǎng)絡(luò)管理系統(tǒng),所述的網(wǎng)絡(luò)管理系統(tǒng)包括管理端、Socket交換服務(wù)器和被管理端。
所述的管理端用于向Socket交換服務(wù)器發(fā)送管理請求消息,所述的管理請求消息包括管理命令、用戶名、用戶密碼、被管理端標識;所述的管理命令包括命令標識、命令參數(shù)、命令格式。利用管理請求消息的不同管理內(nèi)容,可實現(xiàn)用戶的各種管理操作,比如增加新的對象,列出對象列表等命令。所述的管理端采用用戶接口的方式通過管理協(xié)議與被管理端進行通信,以實現(xiàn)對被管理端的管理,所述的用戶接口可采用WEB頁面方式、GUI方式、CLI方式。所述的管理協(xié)議可采用HTTP協(xié)議或SNMP協(xié)議。在管理端向Socket交換服務(wù)器發(fā)送管理請求消息之前,管理端需對管理請求消息打成數(shù)據(jù)包,然后以數(shù)據(jù)包的形成發(fā)給Socket交換服務(wù)器。
所述的Socket交換服務(wù)器用于接收管理端的數(shù)據(jù)包,并對數(shù)據(jù)包進行處理,以確定管理請求消息的合法性。
如圖3所示,所述的Socket交換服務(wù)器包括解析模塊,用于對管理端數(shù)據(jù)包的管理請求消息進行解析,以確定管理請求消息的具體內(nèi)容,所述的解析模塊具體包括消息解析模塊和管理協(xié)議解析模塊,所述的消息解析模塊用于將管理端的數(shù)據(jù)包解析為具有具體含義的管理請求消息,所述的管理協(xié)議解析模塊用于將消息解析模塊解析的管理請求消息進行解析,以確定管理請求消息的具體內(nèi)容;驗證模塊,用于根據(jù)可用命令表對解析模塊解析的消息內(nèi)容進行驗證,以過濾掉非法的管理請求消息;可用命令維護模塊,用于維護可用命令表的內(nèi)容,如提供合法的命令標識、格式,或者對可用命令表中的內(nèi)容進行刪除或修改;消息轉(zhuǎn)發(fā)模塊,用于根據(jù)驗證模塊的結(jié)果對管理請求消息進行轉(zhuǎn)發(fā),若管理請求消息是合法的,則將管理請求消息的目的地址設(shè)為被管理端的地址,否則,向管理端返回錯誤消息,將錯誤消息的目的地址設(shè)為管理端的地址;生成模塊,用于將待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元,并將協(xié)議管理單元組織成待發(fā)送的消息,以便可通過如TCP/IP協(xié)議按目的地址發(fā)出,所述的生成模塊包括協(xié)議管理單元生成模塊和消息生成模塊,所述的協(xié)議管理單元生成模塊用于對待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元,所述的消息生成模塊用于對管理協(xié)議生成模塊生成的協(xié)議管理單元組織成待發(fā)送消息,然后可通過如TCP/IP協(xié)議按目的地址發(fā)出。
由于Socket交換服務(wù)器將管理端和被管理端分隔開來,并對管理請求消息進行了驗證,所以可以對被管理端有保護作用,減少被管理端的負荷。
所述的被管理端采用代理程序以接受用戶接口的管理請求,所述的管理請求包括用戶接口的指令或用戶接口的請求,所述的代理程序包括服務(wù)器程序、SNMP代理程序、其它代理程序。
本發(fā)明還提供了一種網(wǎng)絡(luò)管理方法,如圖4所示,下面詳細描述本發(fā)明的網(wǎng)絡(luò)管理方法。
步驟1、管理端首先將管理請求消息組織成數(shù)據(jù)包,然后將數(shù)據(jù)包通過管理協(xié)議傳送到Socket交換服務(wù)器。所述的管理請求消息包括管理命令、用戶名、用戶密碼、被管理端標識,所述的管理命令包括命令標識、命令參數(shù)、命令格式。
步驟2、Socket交換服務(wù)器的消息解析模塊對接收到的數(shù)據(jù)包進行消息解析,獲取數(shù)據(jù)包中包含的管理請求消息。
步驟3、管理協(xié)議解析模塊對消息解析模塊確定的管理請求消息作進一步的處理,獲取管理請求消息中的內(nèi)容,如獲得管理請求消息中的命令標識、命令參數(shù)、命令格式、用戶名、用戶密碼、被管理端標識。
步驟4、驗證模塊對管理協(xié)議解析模塊獲得的消息內(nèi)容根據(jù)可用命令表的內(nèi)容進行判斷,以確定管理請求消息是否正確,若正確,執(zhí)行步驟5,否則,將該管理請求消息丟棄,并生成錯誤消息,執(zhí)行步驟5。
可用命令表包括命令標識、命令參數(shù)、命令格式、用戶名、被管理端標識。為簡化可用命令表,可將命令表分為三個表管理命令表,其包括命令標識、命令參數(shù)和命令格式,用于確定管理命令的正確性;用戶命令表,其包括用戶名和命令標識,用于確定用戶的權(quán)限;被管理端命令表,其包括被管理端標識和可用命令,用于確定被管理端可識別的命令,即被管理端對該命令的支持性。
為了保證可用命令表的正確性,可用命令維護模塊需對可用命令表進行維護,如對可用命令表中的命令進行添加、刪除、修改等操作。對可用命令表的維護可以是系統(tǒng)管理員手工維護,也可以由被管理端的代理程序進行維護,例如,被管理端的代理程序向Socket交換服務(wù)器上報被管理端的命令,Socket交換服務(wù)器根據(jù)接收到被管理端的命令更新可用命令表。
為了確定管理請求消息內(nèi)容的正確性,可將管理請求消息內(nèi)容與可用命令表的內(nèi)容進行匹配,若可用命令表中包含管理請求消息內(nèi)容,則表明所接收的管理請求消息正確,否則,所接收的消息錯誤。
例如,可首先驗證用戶名和用戶密碼是否相符,若不相符,則對該管理請求進行錯誤處理,如將該管理求丟棄,或者向管理端發(fā)送提示消息,若相符,則進一步確定管理請求中的命令標識、命令參數(shù)、命令格式是否與管理命令表中的內(nèi)容相對應(yīng),若不對應(yīng),則對該管理請求進行錯誤處理,如將該管理求丟棄,或者向管理端發(fā)送提示消息,若對應(yīng),則進一步確定該管理命令是否在用戶命令表中,若不是,則表示不允許該用戶使用該管理命令,若是,允許該用戶使用該管理命令,并進一確定該管理命令是否存在于被管理端命令表中,若是,則表示該管理命令正確,執(zhí)行步驟5,否則對該管理請求進行錯誤處理,如將該管理求丟棄,或者向管理端發(fā)送提示消息。
在上述驗證過程中,描述了交換服務(wù)器根據(jù)可用命令表對管理請求消息進行驗證管理命令正確性、驗證用戶權(quán)限和驗證被管理端支持性的過程。事實上,在交換服務(wù)器上,也可以僅執(zhí)行部分驗證操作,而將另一部分驗證操作由被管理端執(zhí)行,即,交換服務(wù)器執(zhí)行驗證管理命令正確性、驗證用戶權(quán)限和驗證被管理端支持性三個步驟中任意一個步驟或兩個步驟,而將另外的驗證步驟放在被管理端上。
步驟5、對正確的管理請求消息,將其目的地址設(shè)為被管理端的地址;對錯誤消息,根據(jù)管理請求消息的源地址設(shè)置目的地址,如將管理請求消息的源地址設(shè)為錯誤消息的目的地址,以通知管理端管理請求消息有錯誤。
步驟6、對待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元。
步驟7、對管理協(xié)議生成模塊生成的協(xié)議管理單元組織成待發(fā)送消息。
步驟8、通過如TCP/IP協(xié)議將待轉(zhuǎn)發(fā)的消息傳送到目的地址標識的設(shè)備上,以實現(xiàn)管理端對被管理端的管理,或者通知管理端管理請求消息是否存在錯誤。
對于從被管理端的代理程序過來的命令響應(yīng),Socket交換服務(wù)器對其處理流程類似于上面步驟2-8,但可以沒有步驟4即驗證過程,該命令響應(yīng)消息通過如TCP/IP傳送到對應(yīng)管理端上的用戶接口。
對于從代理程序主動發(fā)來的事件,Socket交換服務(wù)器處理流程也基本類似。
根據(jù)本發(fā)明,Socket交換服務(wù)器對消息的轉(zhuǎn)發(fā),不局限于單播,還可以采用多播或廣播方式。所述的消息包括來自于管理端的管理請求消息、來自于代理程序的響應(yīng)消息、代理程序主動發(fā)向Socket交換服務(wù)器的事件消息。
另外,Socket交換服務(wù)器可以是單獨的設(shè)備,還可以模塊形式集成在其他設(shè)備中。
根據(jù)本發(fā)明,通過在管理端和被管理端之間增加Socket交換服務(wù)器,相當(dāng)于在管理端和被管理端之間加了一道防火墻,可以過濾掉非法的管理請求消息,增加了被管理端的安全性。此外,通過在Socket交換服務(wù)器的驗證工作,被管理端可以專注于對正常請求消息的處理,減少了被管理端的負擔(dān),提高了被管理端的工作效率。
雖然通過實施例描繪了本發(fā)明,但本領(lǐng)域普通技術(shù)人員知道,在不脫離本發(fā)明的精神和實質(zhì)的情況下,就可使本發(fā)明有許多變形和變化,本發(fā)明的范圍由所附的權(quán)利要求來限定。
權(quán)利要求
1.一種網(wǎng)絡(luò)管理系統(tǒng),其特征在于,包括管理端,用于發(fā)送管理請求消息,所述的管理請求消息包括管理命令;交換服務(wù)器,用于接收所述管理端的管理請求消息,并對該管理請求消息進行驗證,若通過驗證,則將所述管理請求消息轉(zhuǎn)發(fā)給被管理端;被管理端,接收來自所述交換服務(wù)器的管理請求消息,并執(zhí)行該管理請求消息的管理命令。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)管理系統(tǒng),其特征在于,所述的交換服務(wù)器包括解析模塊,用于接收管理端的管理請求消息,并對管理請求消息進行解析,以確定該消息的具體內(nèi)容;驗證模塊,用于根據(jù)可用命令表對解析模塊確定的消息內(nèi)容進行驗證,若驗證結(jié)果正確,則啟動消息轉(zhuǎn)發(fā)模塊,所述的可用命令表包括命令標識、命令參數(shù)、命令格式、用戶名、被管理端標識;消息轉(zhuǎn)發(fā)模塊,用于將待發(fā)送消息的目的地址設(shè)為被管理端的地址;生成模塊,用于將待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元,并將協(xié)議管理單元組織成管理請求消息,然后按目的地址發(fā)出。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)管理系統(tǒng),其特征在于,所述的解析模塊具體包括消息解析模塊,用于將管理端的管理請求消息解析為具體的管理請求消息;協(xié)議解析模塊,用于將消息解析模塊解析的管理請求消息進行解析,以確定該消息的具體內(nèi)容;
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)管理系統(tǒng),其特征在于,所述的生成模塊具體包括協(xié)議管理單元生成模塊,用于對待轉(zhuǎn)發(fā)的消息按照管理協(xié)議生成協(xié)議管理單元;消息生成模塊,用于對管理協(xié)議生成模塊生成的協(xié)議管理單元組織成消息,并按目的地址發(fā)出。
5.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)管理系統(tǒng),其特征在于,所述的交換服務(wù)器還包括可用命令維護模塊,用于維護可用命令表。
6.一種網(wǎng)絡(luò)管理方法,其特征在于,包括A、管理端向交換服務(wù)器發(fā)送管理請求消息,所述的管理請求消息包括管理命令;B、交換服務(wù)器對管理端的管理請求消息進行驗證,若通過驗證,則將管理請求消息轉(zhuǎn)發(fā)給被管理端;C、被管理端執(zhí)行管理請求消息的管理命令。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)管理方法,其特征在于,所述的交換服務(wù)器設(shè)置有可用命令表;所述的管理請求消息包括管理命令,或者管理命令與用戶名和被管理端標識的任意組合;所述的管理命令包括命令標識、命令參數(shù)和命令格式。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)管理方法,其特征在于,所述的交換服務(wù)器對管理端的管理請求消息進行驗證具體包括交換服務(wù)器根據(jù)可用命令表對管理請求消息驗證管理命令正確性、驗證用戶權(quán)限和/或驗證被管理端支持性。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)管理方法,其特征在于,所述的可用命令表包括管理命令表,其包括命令標識、命令參數(shù)和命令格式,用于確定命令的正確性;用戶命令表,其包括用戶名和命令標識,用于確定用戶可用的命令;被管理端命令表,其包括被管理端標識和可用命令標識,用于確定被管理端可識別的命令。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)管理方法,其特征在于,所述的驗證管理命令正確性具體包括交換服務(wù)器的驗證模塊確定管理請求消息中的命令標識、命令參數(shù)、命令格式是否與管理命令表中的內(nèi)容相對應(yīng);所述的驗證用戶權(quán)限具體包括交換服務(wù)器的驗證模塊確定該命令是否在用戶命令表中;所述的驗證被管理端支持性具體包括交換服務(wù)器的驗證模塊確定該命令是否存在于被管理端命令表中。
11.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)管理方法,其特征在于,在執(zhí)行所述的步驟B之前還執(zhí)行交換服務(wù)器的驗證模塊驗證用戶名和用戶密碼是否相符。
12.根據(jù)權(quán)利要求7至11其中之一所述的網(wǎng)絡(luò)管理方法,其特征在于,所述的方法還包括可用命令維護模塊需對可用命令表進行維護。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)管理設(shè)備,包括管理端,用于向Socket交換服務(wù)器發(fā)送管理請求消息;Socket交換服務(wù)器,用于對管理端的管理請求消息進行驗證,若通過驗證,則生成管理請求命令,并將管理請求命令發(fā)給被管理端;被管理端,用于執(zhí)行管理請求命令。本發(fā)明還公開了種網(wǎng)絡(luò)管理方法。根據(jù)本發(fā)明,通過在管理端和被管理端之間增加Socket交換服務(wù)器,相當(dāng)于在管理端和被管理端之間加了一道防火墻,可以過濾掉非法的管理請求消息,增加了被管理端的安全性。此外,通過在Socket交換服務(wù)器的驗證工作,被管理端可以專注于對正常請求的處理,減少了被管理端的負擔(dān),提高了被管理端的工作效率。
文檔編號H04L29/06GK1909476SQ20061011180
公開日2007年2月7日 申請日期2006年8月23日 優(yōu)先權(quán)日2006年8月23日
發(fā)明者張少林, 張華 , 李正杰 申請人:華為技術(shù)有限公司