本发明专利技术涉及一种实现网关设备中安全控制台备份的方法,主要包括步骤:将两个网关设备均实现安全控制台服务虚拟网关;将步骤中的两个网关设备的标识符设置成一样;将步骤的两个网关设备均运行VRRP,共同构成一台实现了安全控制台服务的虚拟网关;网络中的用户将其设备的所有权授予步骤虚拟网关。本发明专利技术的有益效果为:提高网关安全控制台的可靠性,同时将UPNP网络中对安全敏感设备的管理集中到网关上,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。
【技术实现步骤摘要】
一种实现网关设备中安全控制台备份的方法
本专利技术涉及信息安全与管理
,具体涉及一种利用虚拟路由器冗余协议实现网关设备中安全控制台备份的方法。
技术介绍
在UPNP安全网络中,安全控制台是一个用户应用,既是设备,也是控制点。它的功能是为用户管理自己的安全敏感设备提供一个界面。作为其功能的一部分,安全控制台维持了一个保护所有设备、控制点及其它安全控制台的列表,这些部件构成了用户自己的安全域,用户可以手动的编辑这些列表。另外,安全控制台可以通过所有权和访问控制列表(ACL)编辑动作,对设备的访问权限进行授权,也可以通过发布、更新、撤销证书实现这些授权。安全控制台是个自拥有的部件,如果SC中有任何需要进行访问控制的动作,则这些访问控制由用户管理,而不是其它安全控制台。因此,如果用户的SC一旦出现故障,用户就不能对其所拥有的安全敏感设备进行权限控制了。然而,用户可以选择其它的SC,将设备的所有权授予给它们。这样,其它的SC也可以对用户所拥有的设备的访问权限进行授权。控制点对设备访问权限的安全数据一部分以访问控制列表(ACL)的形式存储在设备上;一部分以控制点的授权证书暂存在用户SC上。当用户SC将其权限转移到其它SC时,这些授权证书也要转移过去,以免其它SC重新签发控制点的授权证书。在UPNP网络,特别是在家庭网络中,不能希望用户对计算机和网络知识有太多的了解。由用户来对设备的访问控制和授权管理是不太现实的,加重了用户的负担,对用户的要求太高。因此,可以把网络中所有的安全敏感设备的权限管理转移到网关,由网关的SC统一管理。同时,如果将设备的所有权都授予网关设备,则可由网关的SC来集中管理设备,编辑设备ACL,生成和发布授权证书,完成对所有设备的访问权限的管理。这样,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。随着人们对数据通讯可靠性要求的不断提高,数据通讯设备的备份功能也越来越受到重视,因此,对网关设备的备份自然而然需要考虑。虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(DefaultGateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。如果网关设备实现了安全控制台服务,则网关设备的备份要保证安全控制台服务的连续性。因此,本专利技术提出了一种利用虚拟路由器冗余协议实现网关设备中安全控制台备份的方法。
技术实现思路
本专利技术目的在于提出一种实现网关设备中安全控制台备份的方法,提高了网关安全控制台的可靠性,同时将UPNP网络中对安全敏感设备的管理集中到网关上,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。一种实现网关设备中安全控制台备份的方法,其特征在于:主要包括如下步骤:(1)将两个网关设备均实现安全控制台服务虚拟网关;(2)将步骤(1)中的两个网关设备的标识符设置成一样;(3)将步骤(2)的两个网关设备均运行VRRP,共同构成一台实现了安全控制台服务的虚拟网关;(4)网络中的用户将其设备的所有权授予步骤(3)虚拟网关。作为优选方式,上述步骤(4)所述授权过程,其主要包括如下步骤:(1)用户运行SC,利用安全设备发现自己所拥有的安全敏感设备,然后调用设备的TakeOwnership函数取得设备的所有权;(2)SC通过设备发现协议SSDP识别出网关设备及其嵌入的SC设备的存在,然后调用用户设备的GrantOwnership函数,将设备的所有权授予网关;(3)网络中的SC将其所拥有的设备的所有权授予实现了安全控制台服务的虚拟网关,由网关对网络中的安全敏感设备集中管理。所述的网络中的SC将其所拥有的设备的所有权授予实现了安全控制台服务的虚拟网关的过程,其在SC提供的服务中增加一个获得某一SC所暂存的授权证书的动作;网关SC通过该动作获得某一SC所暂存的所有授权证书。作为优选方式,所述的授权与授予等传输过程采取数字信封的方式,保证传输的安全性。数字信封传输过程包括数字信封打包和数字信封拆解;其中,数字信封打包:用户SC使用网关SC的公钥将所自己所缓存的授权证书数据加密并传输;数字信封拆解:网关SC用自己的私钥解密,还原出授权证书。本专利技术的有益效果为:提高网关安全控制台的可靠性,同时将UPNP网络中对安全敏感设备的管理集中到网关上,避免了每个SC重复的做相同的工作,节省了资源、提高了效率。附图说明图1为带有安全控制台的组网图;图2为网关的发现以及被授权的流程图。具体实施方式本专利技术提出的利用虚拟路由器冗余协议实现安全控制台备份的方法,其组网图如图1所示,网关设备B和C都实现了安全控制台服务,B和C的安全控制台标识符都设为SCA。网关设备B和C都运行VRRP,共同构成一台虚拟网关。该虚拟网关对外表现为一个具有唯一固定IP地址(202.115.26.1)和MAC地址的逻辑网关。当由于某种原因主控网关发生故障时,备份网关能在几秒钟的时延后升级为主控网关。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。对UPNP网络中的设备A、B和C只看到一个IP地址为202.115.26.1,安全控制台标识符为SCA的网关设备。由VRRP协议,根据优先级,自动决定网关设备B和C谁是主控网关谁是备份网关。用户将设备的所有权授予实现了SC服务的虚拟网关的过程如图2所示:用户运行SC,利用设备发现规约发现用户自己的安全敏感设备,然后调用设备的TakeOwnership函数取得设备的所有权;SC通过SSDP识别出网关设备以及嵌入的安全控制台设备的存在,然后调用设备的GrantOwnership函数将设备的所有权授予网关设备;网络中的SC都将设备的所有权授予实现了SC服务的虚拟网关,网关对网络中的安全敏感设备进行集中管理。以上显示和描述了本专利技术的基本原理和主要特征和本专利技术的优点。本行业的技术人员应该了解,本专利技术不受上述实施例的限制,上述实施例和说明书中描述的只是说明本专利技术的原理,在不脱离本专利技术精神和范围的前提下,本专利技术还会有各种变化和改进,这些变化和改进都落入要求保护的本专利技术范围内。本专利技术要求保护范围由所附的权利要求书及其等效物界定。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现网关设备中安全控制台备份的方法,其特征在于:主要包括如下步骤:(1)将两个网关设备均实现安全控制台服务虚拟网关;(2)将步骤(1)中的两个网关设备的标识符设置成一样;(3)将步骤(2)的两个网关设备均运行VRRP,共同构成一台实现了安全控制台服务的虚拟网关;(4)网络中的用户将其设备的所有权授予步骤(3)虚拟网关;步骤(4)包括如下步骤:①用户设备运行安全控制台SC,利用设备发现协议发现自己所拥有的安全敏感设备,然后调用用户设备的TakeOwnership函数取得安全敏感设备的所有权;②用户设备SC通过设备发现协议SSDP识别出网关...
【专利技术属性】
技术研发人员:朱涛,
申请(专利权)人:陕西理工学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。