WO2008000177A1

WO2008000177A1 - Cadre de gestion de sécurité réseau et son procédé de traitement d'informations

Info

Publication number: WO2008000177A1
Application number: PCT/CN2007/070134
Authority: WO
Inventors: Yuzhi Ma; Fuyou Miao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-06-19
Filing date: 2007-06-19
Publication date: 2008-01-03
Also published as: US20090100259A1; EP2031793A1; CN101094226B; EP2031793A4; CN101094226A

Description

说明书管理网络安全框架及其信息处理方法

[I] 技术领域

[2] 本发明涉及网络通讯领域，尤其涉及一种管理网络安全框架及其信息处理方法 [3] 发明背景

[4] 随着互联网的飞速发展以及新技术、新应用的不断涌现，互联网已经成为人们学***台。但网络安全问题也日益凸显，每年由各类安全事件造成的损失数以亿计。网络安全问题已经严重影响到当前经济以及社会稳定，也严重影响了人民群众正常的工作、学习和生活，网络安全问题已经成为当前互联网中亟需解决的重大问题。

[5] 网络安全问题主要包括如下三类：

[6] 1 、信息篡改，报文在传输的过程中被中间的恶意网络节点非法篡改；

[7] 2 、信息泄露，报文在传输过程中被非法拦截，并加以非法利用；

[8] 3 、身份仿冒，一个恶意节点仿冒一个合法节点参与到协议通信中。

[9] 传统的管理网络安全建立在管理协议自身的安全机制的基础上，即管理协议自身提供协议数据的机密性和完整性保证，以及用户认证和访问控制授权等安全机制，例如， SNMP (Simple Network Management

Protocol, 简单网络管理协议）版本 3通过协议自己的 USM (User-based Security Model, 基于用户的安全模型）和 VACM (View-based Access Control Model, 基于视图的访问控制模型）模型提供相关安全特性。

[10] 传统的管理网络安全框架可分为共享式和独占式两种模式，其示意图如图 1所示。在图 1所示的共享模式中，一个管理站被多个用户所使用，这些用户共享一个管理通道。为了给每个用户提供安全保证，管理协议中需要携带报文机密性、报文完整性、用户认证和访问控制等相关的安全参数，被管设备除保证管理报文的机密性和完整性外，还要对每个用户进行认证和授权。

[II] 在图 1所示的独占模式中，一个管理站由一个用户所使用，管理通道被该用户所独享，管理通道和用户之间存在确定的一对一绑定关系。如果管理通道本身能够提供身份认证，管理协议中无需携带用户信息，被管设备仅对管理站进行认证和授权即可。

[12] 现有技术中一种管理网络安全的解决方案为：在图 1所示的共享模式的基础上，引入 SSH ( Secure Shell

，安全外壳），通过 SSH来保证管理报文的机密性和完整性。该技术方案的基本处理过程包括如下步骤：

[13] 步骤一、建立 SSH会话通道。

[14] 当一个 SNMP用户要访问某个设备，需要通过 SNMP引擎发起 SNMP请求时，该 SNMP 用户首先使用 SSH传输协议为该 SNMP用户建立安全传输连接，该安全传输连接提供数据机密性和完整性保证；然后通过 SSH用户认证协议对该 SNMP用户进行认证；如果用户认证成功，则由 SSH连接协议在 SNMP引擎之间建立通信信道，并将 SN MP用户与建立的通信信道进行关联。于是， SSH会话通道建立完成。

[15] 步骤二、启动 SSH子***。

[16] SSH会话通道建立完成后， SNMP作为 SSH的一个子***被 SNMP引擎启动。

[17] 步骤三、管理信息交互。

[18] 在 SSH会话通道建立完成并且启动了 SSH子***后，管理站和被管设备之间就可以按照 SSH协议的规定方式交互各种管理信息。

[19] 步骤四、新增加用户。

[20] 当另外一个使用相同的管理站引擎的 S匪 P用户需要访问上述同一个设备的时候

，该新增加 SNMP用户重复执行上述步骤一到步骤三，该 SNMP用户需要再建立一个独立的 SSH会话通道和 SSH子***。

[21] 在实现本发明的过程中，发明人发现上述现有技术的解决方案中，一个通道信道与一个 S匪 P用户相关联，管理站和同一个被管设备之间的通信信道随用户数增加而增加， ***开销较大。

[22] 发明内容

[23] 本发明实施例的目的是提供一种管理网络安全框架及其信息处理方法，从而可以在管理站和被管设备之间建立一个安全传输通道，利用所述安全传输通道和被管设备之间进行信息交互。

[24] 本发明实施例的目的是通过以下技术方案实现的：

[25] 一种管理网络安全框架，包括：管理站和被管设备，

[26] 所述管理站，用于和所述被管设备之间建立安全传输通道，利用所述安全传输通道和被管设备之间进行信息交互；

[27] 所述被管设备，用于和所述管理站之间建立安全传输通道；对所述管理站进行认证；利用所述安全传输通道和所述管理站之间进行信息交互。

[28] 一种管理网络安全框架的信息处理方法，包括：

[29] 管理站和被管设备之间建立安全传输通道，并对所述管理站进行认证；

[30] 所述管理站和所述被管设备之间利用所述安全传输通道进行信息交互。

[31] 由上述本发明实施例提供的技术方案可以看出，本发明实施例通过在管理站和被管设备之前建立一个安全传输通道，被管设备对管理站进行认证；利用所述安全传输通道和管理站之间进行信息交互。从而可以在管理站和同一个被管设备之间只需要建立一个通信信道，节约***开销。

[32] 附图简要说明

[33] 图 1为现有技术的管理安全框架的结构示意图；

[34] 图 2为本方法实施例所述管理网络安全框架的实施例的结构示意图；

[35] 图 3为本发明实施例所述管理网络安全框架的信息处理方法的实施例的处理流程示意图；

[36] 图 4为本发明实施例所述在低层安全协议传输通道中建立管理信道的示意图。

[37] 实施本发明的方式

[38] 本发明实施例提供了一种管理网络安全框架及其信息处理方法，本发明实施例将高层管理协议和低层安全协议进行分层，将 AAA (Authentication

Authorization

Accounting, 验证、授权、计费）***引入到安全框架，在低层安全协议层面对管理站进行认证，在高层管理协议层面对用户进行认证和授权，从而提供一种分层式管理网络安全框架。

[39] 下面结合附图来详细描述本发明实施例，本发明实施例所述管理网络安全框架的实施例的结构如图 2所示，包括管理站、 MA服务器和被管设备。每个单元的功能介绍如下：

[40] 管理站：对应一个或多个被管设备。在管理站中的低层安全协议客户端和被管设备中的低层安全协议服务端之间进行安全参数协商，协商过程中携带用于认证管理站的认证信息。建立和被管设备之间的低层安全协议传输通道，在低层安全协议传输通道中建立和被管设备之间的管理通道。在高层管理协议层面对用户进行认证和授权。包括：低层安全协议客户端、高层管理协议客户端和 MA 客户端。

[41] 其中，低层安全协议客户端：和被管设备中的低层安全协议服务端之间进行安全参数协商，协商过程中携带用于认证管理站的认证信息，并建立和被管设备之间的低层安全协议传输通道；

[42] 其中，高层管理协议客户端：通过低层安全协议传输通道向被管设备中的高层管理协议服务端发送携带认证信息、授权信息中的至少一项的报文；在对用户进行用户信息认证和访问控制授权后，通过用户发起和被管设备之间利用低层安全协议传输通道进行信息交互。高层管理协议客户端中包括：管理信道处理模块。

[43] 上述管理信道处理模块：用于在上述低层安全协议传输通道中建立和维护管理信道，一条安全传输通道可承载一条或多条管理信道。该管理信道包括两种模式：主机一用户模式和主机一主机模式。主机一用户模式的管理信道用于传输与用户相关的管理信息；主机一主机模式的管理信道用于传输与用户无关的告警或日志信息等管理信息。

[44] 其中， MA客户端：向 MA服务器发送携带认证信息、授权信息中的至少一项的报文，发起对用户的认证请求、授权请求中的至少一项。

[45] 被管设备：通过低层安全协议服务端和管理站中的低层安全协议客户端之间进行安全参数协商后，向 AAA服务器发起管理站的认证请求，并建立和管理站之间的低层安全协议传输通道。包括高层管理协议服务端、 MA客户端和低层安全协议服务端。

[46] 其中，高层管理协议服务端：接收管理站中的高层管理协议客户端发送的携带认证信息、授权信息中的至少一项的报文，将该认证报文、授权报文中的至少一项发送给 MA客户端；在对用户进行用户信息认证和访问控制授权后，通过用户发起和管理站之间利用低层安全协议传输通道进行信息交互。

[47] 其中，低层安全协议服务端：和管理站中的低层安全协议客户端之间进行安全参数协商，向 MA客户端发起管理站的认证请求，并建立和管理站之间的低层安全协议传输通道。

[48] 其中， AAA客户端：将低层安全协议服务端发送的认证请求传递给 AAA服务器，将高层管理协议服务端发送的携带认证信息、授权信息中的至少一项的报文传递给 MA服务器，向 MA服务器发起对用户的认证请求、授权请求中的至少一项

[49] AAA

服务器：根据接收到的认证请求对管理站进行认证；根据接收到的携带认证信息或授权信息的报文，对用户进行用户信息认证或访问控制授权。

[50] 上述的被管设备中还可以包括： MA服务器，用于根据

低层安全协议服务端发送的认证请求

对所述管理站进行认证，根据高层管理协议服务端发送的携带认证信息、授权信息中的至少一项的报文，对用户进行相应的用户信息认证、访问控制授权中的至少一项。

[51] 上述高层管理协议指 SNMP、 NETCONF (NET

CONFIG, 网络配置协议）等，以及将来新产生的高层管理协议等管理协议。低层安全协议指 TLS (Transport Layer

Security, 传输层安全协议）、 SSH以及将来新产生的低层安全管理协议等安全协议， AAA服务器指 Diameter Radius等，以及将来新发展起来的认证服务器等认证授权服务器。 AAA客户端指 Diameter、 Radius等客户端。

[52] 本发明实施例所述管理网络安全框架的信息处理方法的实施例的处理流程如图

3所示，包括如下步骤：

[53] 步骤 3-1、管理站和被管设备之间通过低层安全协议进行安全参数协商。

[54] 在高层管理协议开始工作前，首先由管理站中的低层安全协议客户端和被管设备中的低层安全协议服务端之间进行安全参数协商，协商确定保证数据机密性和完整性所需的安全参数，该安全参数包括密钥、加密算法等。上述协商过程同时确定用于认证管理站的管理引擎标识等认证信息。

[55] 步骤 3-2、 AAA服务器对管理站进行认证。

[56] 在管理站和被管设备之间通过低层安全协议进行了上述安全参数协商后，被管设备中的低层安全协议服务端获取所述管理站认证信息，向 MA服务器发起管理站的认证请求，如果认证失败，则低层安全协议服务端向低层安全协议客户端通告认证失败原因，并终止后续操作；如果认证成功，则管理站中的低层安全协议客户端和被管设备中的低层安全协议服务端之间建立低层安全协议传输通道，该低层安全协议传输通道可以供高层管理协议使用。

[57] 步骤 3-3、 MA服务器对用户进行用户信息认证。

[58] 在上述低层安全协议传输通道建立完成后，管理站需要对用户进行用户信息认证，以保证用户身份对管理站的合法性，认证方式有如下两种：

[59] 方式一：对应图 2中标记 3和标记 4。管理站中的高层管理协议客户端通过低层安全协议传输通道向被管设备中的高层管理协议服务端发送携带认证信息的报文，该认证信息包括用户组标识、用户标识中的至少一项。上述高层管理协议服务端接收到所述认证报文后，将该认证报文传递给被管设备中的 AAA客户端，通过 MA客户端向 MA服务器发起对用户的认证请求。

[60] 方式二：对应图 2中的标记 3 ' 。管理站中的 MA客户端直接向 MA服务器发送携带认证信息的报文，发起对用户的认证请求，该认证信息包括用户组标识、用户标识中的至少一项。

[61] 如果上述对用户的认证请求失败，则高层管理协议终止本次对用户的认证涉及的管理操作；否则，执行步骤 3-4。

[62] 步骤 3-4、 MA服务器对用户进行访问控制授权。

[63] 在上述低层安全管理通道建立完成，并且对用户信息进行认证后， AAA服务器需要通过高层管理协议检査用户访问控制权限，检査方式有如下两种：

[64] 方式一：对应图 2中标记 3和标记 4。管理站中的高层管理协议客户端通过低层安全协议传输通道向被管设备中的高层管理协议服务端发送携带授权信息的报文，该授权信息包括：用户组标识、用户标识中的至少一项，以及访问控制信息。高层管理协议服务端接收到所述授权报文后，将该授权报文传递给被管设备中的 MA客户端，通过 MA客户端向 MA服务器发起对用户的授权请求。

[65] 方式二：对应图 2中的标记 3' 。 MA客户端直接向 MA服务器发送携带授权信息的报文，发起对用户的授权请求。该授权信息包括：用户组标识、用户标识中的至少一项，以及访问控制信息。

[66] 如果上述对用户的授权请求失败，则高层管理协议终止本次授权涉及的管理操作，如果请求成功，则执行步骤 3-5。

[67] 步骤 3-5、管理站在低层安全协议传输通道中建立管理信道，管理站和被管设备之间进行管理信息交互。

[68] 在上述低层安全协议传输通道建立完成，并且对用户信息进行认证和授权通过后，通过用户的发起，利用该低层安全协议传输通道管理站和被管设备之间按照协议规定方式进行各种管理信息交互。

[69] 上述低层安全协议传输通道可以被同一个管理站下的多个用户所共用，对于访问控制权限不同的同一个管理站下的用户，需要重复执行上述步骤 3-3和步骤 3-

4。

[70] 在实际应用中，本发明所述 MA服务器和 MA客户端可以不作为物理实体存在，而仅作为逻辑功能存在，此时认证和授权相关的工作由被管设备完成。

[71] 管理站可以在上述低层安全协议传输通道中建立管理信道，一条安全传输通道可承载多条管理信道，该管理信道由管理协议进行建立和维护。本发明实施例将管理信道划分为两种模式，即主机一用户模式（模式 1 )和主机一主机模式（模式 2) 。本发明实施例所述在低层安全协议传输通道中建立管理信道的示意图如图 4所示。图 4中管理协议指 SNMP、 NETC0NF、 SYSL0G和 IPFIX等管理协议，安全协议指 TLS、 DTLS和 SSH等安全协议，传输协议指 TCP和 UDP等。

[72] 主机一用户模式的管理信道用于传输与用户相关的管理信息，该管理信息包括 SNMP读操作、 SNMP写操作、 NETC0NF读命令、 NETC0NF编辑命令等配置操作。如，一个 S匪 P读操作是由一个用户发起的，被管设备必须检査该用户的真实性以及该用户是否有发起该操作的权限，因此该类型操作同用户相关的。上述用户身份检査同管理站和被管设备无关。因为每个用户的身份认证是独立的，因此，该用户身份检査不能同低层安全协议传输通道绑定，只能同每个管理信道绑定。

[73] 主机一主机模式的管理信道用于传输与用户无关的告警或日志信息等管理信息。该管理信息包括 SNMP告警信息、 NETC0NF告警信息和 SYSL0G日志信息等。此类管理信道同用户没有直接关系，但是，主机（管理站和被管设备）之间必须存在信任关系，因此，此类管理信道需采用主机到主机的验证方式。并且，两端的实体之间的验证不仅同该管理信道绑定，同时也同低层安全协议传输通道绑定，如直接采用 TLS的主机验证，验证后的身份不仅同低层安全协议传输通道绑定，也同主机到主机的管理信道绑定。

[74] 一个低层安全协议传输通道内可以同时包含多个主机一主机模式和主机一用户模式的管理通道。即一个低层安全协议传输通道可以同时承载多个用户的管理数据和主机到主机模式的管理数据。

[75] 综上所述，本发明实施例通过在管理站和被管设备之前建立安全传输通道，被管设备对管理站进行认证；利用所述安全传输通道和管理站之间进行信息交互。从而可以在管理站和同一个被管设备之间只需要建立一个通信信道，节约系统开销。

[76] 本发明实施例将高层管理协议和低层安全协议进行分层，以及将 MA***引入，从而将三者有机地结合起来。为各种管理协议提供了基本的安全模型，使得将来新产生的管理协议，都可以方便地融入该安全框架。

[77] 本发明实施例提出在管理站和被管设备之间建立管理信道，并将告警和配置信息的管理信道相分离，降低了告警管理信道建立和认证的复杂度。

[78] 以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求书

[1] 1、一种管理网络安全框架，其特征在于，包括：管理站和被管设备，所述管理站，用于和所述被管设备之间建立安全传输通道，利用所述安全传输通道和被管设备之间进行信息交互；

所述被管设备，用于和所述管理站之间建立安全传输通道；对所述管理站进行认证；利用所述安全传输通道和所述管理站之间进行信息交互。

[2] 2、根据权利要求 1所述的管理网络安全框架，其特征在于，还包括：

验证、授权、计费 AAA服务器，用于根据接收到的认证请求对所述管理站进行认证；根据接收到的携带认证信息、授权信息中的至少一项的报文，对用户进行相应的用户信息认证、访问控制授权中的至少一项。

[3] 3、根据权利要求 1所述的管理网络安全框架，其特征在于，所述的管理站具体包括：

低层安全协议客户端，用于和所述被管设备中的低层安全协议服务端之间进行安全参数协商，协商过程中携带用于认证所述管理站的认证信息，并建立和所述被管设备之间的低层安全协议传输通道；

高层管理协议客户端，用于利用所述低层安全协议传输通道通过高层协议向所述被管设备中的高层管理协议服务端发送携带认证信息、授权信息中的至少一项的报文；利用所述低层安全协议传输通道和所述被管设备之间进行信息交互。

[4] 4、根据权利要求 3所述的管理网络安全框架，其特征在于，所述高层管理协议客户端还包括：

管理信道处理模块，用于在所述低层安全协议传输通道中通过高层管理协议建立和维护与所述被管设备之间的管理信道，通过所述管理信道分层次传输与用户相关的管理信息和与用户无关的管理信息。

[5] 5、根据权利要求 3所述的管理网络安全框架，其特征在于，所述的管理站还包括：

AAA

客户端，用于向所述 MA服务器发送携带认证信息、授权信息中的至少一项的报文，发起对用户的相应的认证请求、授权请求中的至少一项。

[6] 6、根据权利要求 1至 5任一项所述的管理网络安全框架，其特征在于，所述的被管设备具体包括：

低层安全协议服务端，用于和所述

管理站中的低层安全协议客户端之间进行安全参数协商，向 MA客户端发起所述管理站的认证请求，并建立和所述管理站之间的低层安全协议传输通道；

高层管理协议服务端，用于接收所述管理站中的高层管理协议客户端发送的携带认证信息、授权信息中的至少一项的报文，将接收到的所述报文发送给 MA客户端；利用低层安全协议传输通道和所述被管设备之间进行信息交互；

AAA

客户端，用于将低层安全协议服务端发送的认证请求传递给所述 AAA服务器，将高层管理协议服务端发送的携带认证信息、授权信息中的至少一项的报文传递给所述 MA服务器，向所述 MA服务器发起对用户的相应的认证请求、授权请求中的至少一项。

[7] 7、根据权利要求 1至 5任一项所述的管理网络安全框架，其特征在于，所述的被管设备具体包括：

低层安全协议服务端，用于和所述管理站中的低层安全协议客户端之间进行安全参数协商，向所述 AAA服务器发起所述管理站的认证请求，并建立和所述管理站之间的低层安全协议传输通道；

高层管理协议服务端，用于接收所述管理站中的高层管理协议客户端发送的携带认证信息、授权信息中的至少一项的报文，将接收到的所述报文发送给所述 AAA服务器；利用低层安全协议传输通道和所述被管设备之间进行信息交互；

AAA服务器，用于根据低层安全协议服务端发送的认证请求对所述管理站进行认证，根据高层管理协议服务端发送的携带认证信息、授权信息中的至少一项的报文，对用户进行相应的用户信息认证、访问控制授权中的至少一项。

[8] 8、一种管理网络安全框架的信息处理方法，其特征在于，包括：

管理站和被管设备之间建立安全传输通道，并对所述管理站进行认证；所述管理站和所述被管设备之间利用所述安全传输通道进行信息交互。

[9] 9、根据权利要求 8所述的方法，其特征在于，所述的管理站和被管设备之间建立安全传输通道，并对所述管理站进行认证的过程，具体包括：所述管理站和所述被管设备之间利用低层安全协议建立安全通信通道，通过 MA服务器对所述管理站进行认证。

[10] 10、根据权利要求 9所述的方法，其特征在于，所述的管理站和被管设备之间利用低层安全协议建立安全通信通道，通过 AAA服务器对所述管理站进行认证的过程，具体包括：

所述管理站中的低层安全协议客户端和所述被管设备中的低层安全协议服务端之间进行安全参数协商，协商确定保证数据机密性和完整性所需的安全参数；协商过程中同时携带用于认证所述管理站的认证信息；所述被管设备中的低层安全协议服务端获取所述认证信息，向 MA服务器发起所述管理站的认证请求，如果认证失败，则低层安全协议服务端向低层安全协议客户端通告认证失败原因，并终止后续操作；否则，所述管理站和所述被管设备之间建立低层安全协议传输通道。

[11] 11、根据权利要求 8、 9或 10所述的方法，其特征在于，所述的管理站和被管设备之间利用所述安全传输通道进行信息交互的过程，具体包括- 所述管理站利用所述安全传输通道通过被管设备向所述 MA服务器发起用户认证、授权请求中的至少一项，在认证和授权请求通过后，利用所述安全传输通道和所述被管设备之间进行信息交互。

[12] 12、根据权利要求 11所述的方法，其特征在于，所述的方法具体包括：所述管理站中的高层管理协议客户端通过所述低层安全协议传输通道向所述被管设备中的高层管理协议服务端发送携带认证信息的报文，所述高层管理协议服务端向所述 AAA服务器发起对用户的认证请求；

在所述认证请求通过后，所述高层管理协议客户端通过所述低层安全协议传输通道向所述高层管理协议服务端发送携带授权信息的报文，所述高层管理协议服务端向 MA服务器发起对用户的授权请求；

在所述授权请求通过后，所述管理站和所述被管设备之间利用所述低层安全协议传输通道进行信息交互。

[13] 13、根据权利要求 8、 9或 10所述的方法，其特征在于，所述的管理站和被管设备之间利用所述安全传输通道进行信息交互的过程，还包括- 所述管理站中的 MA客户端直接向 MA服务器发送携带认证信息、授权信息中的至少一项的报文，发起对用户的相应的认证请求、授权请求中的至少一项。

[14] 14、根据权利要求 8、 9或 10所述的方法，其特征在于，所述的管理站和被管设备之间利用所述安全传输通道进行信息交互的过程，还包括- 所述管理站通过高层管理协议在上述低层安全协议传输通道中建立和维护管理信道，利用该管理通道和所述被管设备之间传输管理信息。

[15] 15、根据权利要求 14所述的方法，其特征在于，所述的管理通道包括：主机到用户模式的管理通道和主机到主机模式的管理通道；主机到用户模式的管理通道用于传输与用户相关的管理信息，主机到主机模式的管理通道用于传输与与用户无关的管理信息。

[16] 16、根据权利要求 15所述的方法，其特征在于，所述的主机到用户模式的管理通道通过高层管理协议进行用户身份验证，所述的主机到主机模式的管理通道通过安全协议进行主机验证。