用于配置管理通道的计算机化的系统与方法技术方案

本发明专利技术提供了一种用于简化管理设备与被管理设备之间管理通道配置的构架。通道由管理设备或者被管理设备发起。当信道首次建立时，将校验各个设备的信任状。因此，设备需要预先设定唯一标识符，以及由证书权威机构分配的证书和相关的私有密钥。通道初始建立时，管理设备的身份由管理员提供。另一个选择是，设备由制造商通过预先配置加入一个信任网络，每个设备都能够接受来自其他成员设备的管理服务器身份推荐。最后，提供了管理设备定位服务器以简化配置。

【技术实现步骤摘要】

本专利技术涉及计算机网络，尤其涉及在网络设备之间建立管理通道。
技术介绍
当一个可以连网的设备(管理设备)远程管理其他网络设备(被管理设备)时，必须在二者之间建立一条通信信道(本文中也叫做“通道”)以防止可能的恶意干扰。通过建立通信信道这种方法，可以在没有拦截或者篡改的情况下从一个设备到另一个设备进行数据传输。因此，在很多情况下，都会对信道进行加密以防止恶意干扰。下面所述步骤的目的是在被管理设备和与其相关的管理设备之间建立一条通信信道。为了建立通信信道，两个设备中的每一个都必须获得另一个的授权。换句话说，必须采用认证或者授权机制以保证通道的完整性。这种授权典型地是通过使用公知的公共密钥交换协议之一实现的，这种协议与通过信任证书机构(CA)分配到各个设备的证书连接使用。这种协议的示例包括但不限于，SSL、IPsec以及类似协议。其他可用的认证选项包括，比如，使用基于IP地址或者其他唯一标识符(ID)的接入控制列表(ACLs)。设备之间通信的内容可以使用各个设备的公共密钥或者使用现有加密算法之一进行加密以保证传输内容的私密性。但是，现有网络管理系统需要与向参与的网络设备分配各种证书和密钥相关的大范围的手动配置，从而启动通信信道功能，并且需要使用参与设备的IP地址和用户名。因此，需要一种能够简化网络设备之间管理信道的有效配置的系统。
技术实现思路
本专利技术方法的目的在于提供一种方法和系统，能够充分消除与建立用于管理可以连网设备的通信信道的传统技术相关的一个或者更多上述和其他问题。-->本专利技术的一个方面提供了一种方法、计算机程序产品以及一种计算机化系统，用于在管理设备与被管理设备之间建立通信信道。根据本专利技术方法，被管理设备获得管理设备的地址。被管理设备使用地址信息建立与管理设备的连接。地址信息的示例包括该设备的IP地址或者FQDN地址。被管理设备存储有显示管理设备已经认证可以连接到该被管理设备的信息；而管理设备存储有与该管理设备相关的被管理设备的信息。根据存储的这些信息建立通信信道。按照本专利技术的特征，连接是网络连接。根据本专利技术的其他特征，被管理设备接收指明管理设备身份的信息。该信息包括管理设备的唯一标识符。被管理设备可以校验所连接的管理设备的唯一标识符。可以在连接建立后校验管理设备的唯一标识符。根据本专利技术的另一特征，管理设备的唯一标识符包括管理设备的序列号。根据本专利技术的又一特征，管理设备可以具有证书，证书的摘要可以用作该设备的唯一标识符。根据本专利技术的再一特征，被管理设备存储有授权的管理设备的唯一标识符。根据本专利技术的又一特征，可以升级被管理设备中存储的管理设备的唯一标识符。根据本专利技术的再一特征，管理设备向与该管理设备相关的设备列表中添加被管理设备条目。根据本专利技术的又一特征，从管理员处接收管理设备地址。另一个选择是，从其他被管理设备接收管理设备地址。再一个选择是，从管理设备定位服务器接收管理设备地址。根据本专利技术的其他特征，可以使用各个设备的公共密钥任意加密和认证所建立连接中的通信。各个设备预先配置有对应的私有密钥。根据本专利技术的另一其他特征，在连接建立后，被管理设备和管理设备校验彼此的信任状。使用基于各个设备唯一标识符(ID)的证书或者接入控制列表(ACL)校验各个设备的信任状。证书可以包括各个设备的唯一标识符和各个设备的公共密钥。证书和/或唯一标识符由制造商分配到各个设备。根据本专利技术的又一其他特征，一旦建立管理设备与被管理设备之间的通信信道，管理设备和被管理设备使用非公共密钥协议进行后续通信。-->本专利技术的另一方面提供了一种方法、计算机程序产品和一种计算机化系统，用于建立管理设备与被管理设备之间的通信信道。根据本专利技术方法，管理设备获得被管理设备的地址。管理设备使用地址信息建立与被管理设备的连接。被管理设备存储有显示管理设备已经认证可以连接到该被管理设备的信息；而管理设备存储有与该管理设备相关的被管理设备的信息。根据存储的这些信息建立通信信道。进一步改进包括第二被管理设备，该第二被管理设备通过配置向被管理设备提供管理设备地址的信息。另一进一步改进包括管理设备定位服务器，该服务器通过配置向被管理设备提供管理设备地址的信息。有关本专利技术的其他方面将在下面进行介绍，并且将明显地来自本专利技术的描述，或者可以通过本专利技术的应用获得。本专利技术的各个方面可以通过独立元件和各种元件组合的方式以及下面具体描述和附加的权利要求中具体指出的方面了解和获得。应该理解，本文前后文中的描述仅仅用于示例和解释，并不作为对本专利技术权利要求或者本专利技术各种应用方式的限制。附图说明附图作为并构成本专利技术实施例具体说明的一部分，结合说明一起解释和说明本专利技术技术的原理。具体地：图1是根据本专利技术网络系统的具体实施例的网络系统拓扑结构框图；图2是根据本专利技术方法的具体实施例的通信信道建立流程框图；图3是根据本专利技术方法的另一具体实施例的通信信道建立流程框图；图4是实现本专利技术网络系统的计算机平台的实施例示意图。具体实施方式下面将参照附图进行说明，附图中相同功能元件使用相同的编号。上述附图用于解释本专利技术，并不用于限制本专利技术，具体实施例和应用与本专利技术的原理一致。本专利技术的应用描述的足够详细以使本领域内的技术人员能够实现本专利技术，并且应该理解，在不脱离本专利技术精神和范围内，可以做其他应用以及对各-->种元件做结构修改和/或替换。因此，下面的描述并不用于限制本专利技术。另外，所述本专利技术的各种实施例可以在运行于通用计算机中的软件形式，专门的硬件或者软硬件组合的形式实现。专利技术人认同提供一种以简单而有效的方式配置网络设备之间的通信通道的机制将更加有益。规定的步骤包括信息的交换，进而建立两个设备之间的信任关系和网络地址关系。在建立适当关系后，两个设备可以互相通信。根据本专利技术的各个方面，通信信道建立步骤是通过很多不同的机制实现的。首先，根据本专利技术方法的实施例，参与的被管理设备和管理设备都通过预先配置(在工厂或者由分销商)加入了一个信任网络。很多情况下，这由制造商控制的集中证书机构(CA)进行控制，但是也可以通过经常使用公共密钥加密的其他递阶或者非递阶系统实现。在一个典型的示例中，在制造过程中预先给设备配置了唯一的证书/私有密钥对。该证书是制造商使用私有CA(或者甚至公共的CA)签发的。另外，每个设备也预先配置了唯一标识符。这可以是设备的序列号，或者甚至是来自证书的公共密钥指纹(或摘要)。为了用作认证信任，唯一识别符必须通过证书进行认证。当唯一识别符是序列号时，该序列号应该包含在证书数据中。图1所示为根据本专利技术网络系统的具体实施例的网络系统拓扑结构框图。具体而言，所示网络拓扑具体地包括4个主要实体：被管理设备(101、102和103)，管理设备(104)，管理员的计算机(105)和管理设备定位服务器(106)。在本专利技术的实施例中，被管理设备是防火墙系统，比如FortiGate防火墙。在另一个实施例中，管理设备可以是具有连网管理接口的任何网络设备。管理接口可以通过各种公知技术实现，包括但不限于，HTML基于web的图形用户界面(GUI)、Java、SSH、telnet以及其他适当的编程语言和各种具体应用程序的管理协议。在本专利技术的实施例中，管理设备是嵌入式设备，该嵌入式设备是执行诸如日志记录或者网络本文档来自技高网...

【技术保护点】
一种用于在管理设备和被管理设备之间建立通信信道的计算机实现方法，所述方法包括：ａ．在所述被管理设备接收第一信息，所述第一信息显示所述管理设备的地址；ｂ．使用接收的所述第一信息在所述被管理设备和所述管理设备之间建立连接；　 　ｃ．在所述被管理设备中存储第二信息，所述第二信息显示所述管理设备是经过认证连接到所述被管理设备的；ｄ．在所述管理设备中存储第三信息，所述第三信息显示所述被管理设备与所述管理设备关联；ｅ．根据存储的所述第二和第三信息建立所述 通信信道。

【技术特征摘要】
US 2006-3-15 11/375,2511、一种用于在管理设备和被管理设备之间建立通信信道的计算机实现方法，所述方法包括：a.在所述被管理设备接收第一信息，所述第一信息显示所述管理设备的地址；b.使用接收的所述第一信息在所述被管理设备和所述管理设备之间建立连接；c.在所述被管理设备中存储第二信息，所述第二信息显示所述管理设备是经过认证连接到所述被管理设备的；d.在所述管理设备中存储第三信息，所述第三信息显示所述被管理设备与所述管理设备关联；e.根据存储的所述第二和第三信息建立所述通信信道。2、根据权利要求1所述的计算机实现方法，进一步包括在所述被管理设备接收显示所述管理设备身份的第四信息。3、根据权利要求2所述的计算机实现方法，其特征在于，所述第四信息包括所述管理设备的唯一识别符。4、根据权利要求3所述的计算机实现方法，进一步包括校验所述管理设备的所述唯一识别符。5、根据权利要求4所述的计算机实现方法，其特征在于，在所述连接建立后校验所述管理设备的所述唯一识别符。6、根据权利要求3所述的计算机实现方法，其特征在于，所述管理设备的所述唯一识别符包括所述管理设备的序列号。7、根据权利要求3所述的计算机实现方法，其特征在于，所述管理设备具有证书，以及所述唯一识别符包含所述证书的摘要。8、根据权利要求1所述的计算机实现方法，其特征在于，所述第二信息包括所述管理设备的唯一识别符。9、根据权利要求3所述的计算机实现方法，进一步包括更新存储在所述被管理设备中的所述管理设备的所述唯一识别符。10、根据权利要求1所述的计算机实现方法，其特征在于，所述第三信息的存储包括向与所述管理设备相关的设备列表中添加所述被管理设备条目。11、根据权利要求1所述的计算机实现方法，其特征在于，所述第一信息是来自管理员的。12、根据权利要求1所述的计算机实现方法，其特征在于，所述第一信息是回应来自所述被管理设备的请求，从同级被管理设备接收的。13、根据权利要求1所述的计算机实现方法，其特征在于，所述第一信息是回应所述被管理设备的请求，从管理设备定位服务器接收的。14、根据权利要求1所述的计算机实现方法，其特征在于，使用至少一种加密密钥加密所述已建立连接上的通信。15、根据权利要求1所述的计算机实现方法，其特征在于，在所述连接建立后，所述被管理设备和所述管理设备校验彼此的信任状。16、根据权利要求15所述的计算机实现方法，其特征在于，使用证书校验各个设备的所述信任状。17、根据权利要求16所述的计算机实现方法，其特征在于，所述证书包括所述各个设备的唯一识别符和所述各个设备的公共密钥。18、根据权利要求15所述的计算机实现方法，其特征在于，所述信任状包括由制造商分配给所述各个设备的唯一识别符。19、根据权利要求15所述的计算机实现方法，其特征在于，使用包括各个设备的唯一识别符的至少一个接入控制列表校验所述各个设备的所述信任状。20、根据权利要求1所述的计算机实现方法，其特征在于，在所述管理设备和所述被管理设备之间的所述通信信道建立后，所述管理设备和被管理设备使用至少一种非公共密钥进行后续通信。21、根据权利要求1所述的计算机实现方法，其特征在于，在所述管理设备和所述被管理设备之间的所述通信信道建立后，所述管理设备和被管理设备使用由IPsec协议、SSL协议和SSH协议组成的组中至...

【专利技术属性】
技术研发人员：安德鲁克瑞安扭克，
申请(专利权)人：飞塔信息科技北京有限公司，
类型：发明
国别省市：11[中国|北京]