專利名稱:使用usb密鑰來管理網(wǎng)絡(luò)組件的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)管理。更具體地說,涉及在計(jì)算機(jī)網(wǎng)絡(luò)中使用通用串行總 線(USB)存儲(chǔ)器設(shè)備來配置和管理計(jì)算機(jī)網(wǎng)絡(luò)中的組件,使組件能夠連接到網(wǎng)絡(luò)技術(shù)人員 設(shè)備。
背景技術(shù):
對(duì)于許多組織來說管理計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為越來越復(fù)雜和昂貴的嘗試。網(wǎng)絡(luò)往往 是由在廣泛的地理區(qū)域分布的數(shù)百甚至數(shù)千網(wǎng)絡(luò)組件和設(shè)備組成。這導(dǎo)致在企業(yè)環(huán)境中擁 有網(wǎng)絡(luò)組件的總成本顯著增加。最初,網(wǎng)絡(luò)是有組織,有序和易于管理的,例如,給設(shè)備分配 了邏輯地址,并以可理解的方式對(duì)它們進(jìn)行分類。然而,隨著時(shí)間的推移,例如,組件遷移到 路由器的不同端口 ,或者最初定義良好的用來配置網(wǎng)絡(luò)組件的軟件可能不再適用或有效。
其中許多問題源于一個(gè)事實(shí),即網(wǎng)絡(luò)組件不容易識(shí)別,而網(wǎng)絡(luò)技術(shù)人員要連接到 組件,他或她必須能夠識(shí)別設(shè)備。識(shí)別設(shè)備的問題隨著Ipv6的出現(xiàn)而被放大,Ipv6使用16 個(gè)八位字節(jié)作為地址,需要技術(shù)人員記住或跟蹤更長(zhǎng)的IP地址。 為了說明這一點(diǎn),假設(shè)網(wǎng)絡(luò)具有數(shù)千個(gè)交換機(jī)。每個(gè)交換機(jī)通常需要單獨(dú)配置, 繼而有可能需要從技術(shù)人員的筆記本計(jì)算機(jī)到交換機(jī)連接電纜,也可能包括物理上移動(dòng)機(jī) 箱,同時(shí)技術(shù)人員要輸入數(shù)據(jù),比如交換機(jī)的IP地址和與組件相關(guān)的其它數(shù)據(jù),然后將機(jī) 箱放回其自己的位置,該位置往往在一個(gè)擁擠的網(wǎng)絡(luò)組件柜中。需要物理上連接到組件還 妨礙了常常沒有連接到網(wǎng)絡(luò)組件的必要接口 (例如RS232)的手持移動(dòng)設(shè)備的有效使用。
因此,最好能減少管理網(wǎng)絡(luò)組件時(shí)所出現(xiàn)的復(fù)雜性和低效,并縮短技術(shù)人員與組 件交互的時(shí)間,從而降低網(wǎng)絡(luò)的整體維護(hù)成本。還需要一種便攜設(shè)備,以方便管理和配置網(wǎng) 絡(luò)設(shè)備。
發(fā)明內(nèi)容
本發(fā)明一方面是一個(gè)網(wǎng)絡(luò)管理設(shè)備,在一個(gè)具體實(shí)施例中包括兩個(gè)USB存儲(chǔ)設(shè)備 或"密鑰"。 一個(gè)USB密鑰包含特定的配置數(shù)據(jù),比如與網(wǎng)絡(luò)相關(guān)的公共密鑰數(shù)據(jù),包括根證 書管理機(jī)構(gòu)數(shù)據(jù)和各個(gè)IP地址。將配置數(shù)據(jù)從網(wǎng)絡(luò)管理計(jì)算機(jī)或者這個(gè)網(wǎng)絡(luò)上適當(dāng)?shù)钠?它設(shè)備上傳到配置USB密鑰中。將這個(gè)密鑰插入網(wǎng)絡(luò)組件(通信網(wǎng)絡(luò)中具有USB端口的任 意類型的設(shè)備),通過提供公共密鑰數(shù)據(jù)、證書管理機(jī)構(gòu)數(shù)據(jù)等來準(zhǔn)備組件。 一旦使用第一 USB密鑰配置好網(wǎng)絡(luò)設(shè)備,就能夠開始管理階段。在這個(gè)階段,將第二管理USB密鑰插入組 件。通過使用來自配置密鑰的安全數(shù)據(jù),組件能夠鑒別和驗(yàn)證管理USB密鑰和其中包含的 全部具有簽名的數(shù)據(jù)。例如,可以將公共密鑰數(shù)據(jù)用于檢查簽名和解密數(shù)據(jù)。這樣做是為 了確保網(wǎng)絡(luò)組件能夠信任第二 USB密鑰中的數(shù)據(jù),這一點(diǎn)是非常重要的,因?yàn)樗鼤?huì)被用于 對(duì)組件的管理過程進(jìn)行初始化。 管理USB密鑰中的一種數(shù)據(jù)是回?fù)軘?shù)據(jù)(callback data)。組件使用這種數(shù)據(jù)發(fā) 起到網(wǎng)絡(luò)管理員的設(shè)備的連接,這種設(shè)備有比如手持設(shè)備、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)或者CN 101730987 A
說明書
2/6頁 臺(tái)式網(wǎng)絡(luò)工作站(統(tǒng)稱為"管理員設(shè)備")?;?fù)軘?shù)據(jù)可以包括管理員設(shè)備的IP地址,那些 設(shè)備的撥入數(shù)據(jù),IP語音(VoIP)數(shù)據(jù)、即時(shí)消息傳遞(IM)數(shù)據(jù)、電子郵件地址等等。網(wǎng)絡(luò) 組件使用最適合的回?fù)軘?shù)據(jù)來建立與管理員設(shè)備的連接。 一建立起連接,網(wǎng)絡(luò)管理員即可 開始管理組件。該連接可以是無線連接(例如與膝上型計(jì)算機(jī)或PDA)或者經(jīng)由網(wǎng)絡(luò)到臺(tái) 式工作站計(jì)算機(jī)的有線連接,對(duì)于廣域網(wǎng)絡(luò),后者可能位于不同的地理位置。在這種情況 下,網(wǎng)絡(luò)管理員不需要在連接到網(wǎng)絡(luò)組件上花費(fèi)時(shí)間和精力。不得不為網(wǎng)絡(luò)組件找到正確 的"聯(lián)系信息"往往是一個(gè)耗時(shí)和乏味的工作,尤其是在隨著時(shí)間的推移網(wǎng)絡(luò)有大幅增長(zhǎng), 并且組件已經(jīng)被重新配置的情況下。通過使得網(wǎng)絡(luò)組件與管理員設(shè)備自動(dòng)連接,管理員可 以開始集中于對(duì)組件的實(shí)際管理,而不是為了在其它方向上進(jìn)行連接所必需的事先準(zhǔn)備。
下面參考附圖,它們構(gòu)成了說明書的一部分,其中以圖形方式說明本發(fā)明的具體 實(shí)施例。 圖1A是簡(jiǎn)化的網(wǎng)絡(luò)圖,它說明本發(fā)明兩種可能的結(jié)構(gòu)。 圖1B是流程圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例,使用USB密鑰在網(wǎng)絡(luò)組件和技 術(shù)人員設(shè)備之間建立安全連接的一個(gè)示例性過程。 圖2是一個(gè)框圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例,在USB密鑰中存儲(chǔ)的用于管理 網(wǎng)絡(luò)組件的數(shù)據(jù)。 圖3是一個(gè)數(shù)據(jù)結(jié)構(gòu)圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例,能夠由網(wǎng)絡(luò)組件使用 的技術(shù)人員設(shè)備"回?fù)?數(shù)據(jù)。 圖4是一個(gè)框圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例,在USB密鑰中存儲(chǔ)的用于配置 和管理網(wǎng)絡(luò)中組件的各種類型的數(shù)據(jù)。 圖5是一個(gè)流程圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例,配置USB密鑰和使用USB密 鑰在技術(shù)人員設(shè)備和網(wǎng)絡(luò)組件之間建立連接的過程。 圖6是一個(gè)流程圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例,在安全憑證到位后使用USB 密鑰管理網(wǎng)絡(luò)組件的過程。 描述了一種網(wǎng)絡(luò)的實(shí)施例,該網(wǎng)絡(luò)根據(jù)本發(fā)明,使用了新型的網(wǎng)絡(luò)組件管理及配 置過程和系統(tǒng)。提供這些示例和具體實(shí)施方式
的目的僅僅是增加環(huán)境和幫助理解本發(fā)明。 因此,對(duì)于本領(lǐng)域技術(shù)人員來說,顯然能夠在沒有此處的部分或全部細(xì)節(jié)的情況下來實(shí)現(xiàn) 本發(fā)明。在其它情況下,為了避免不必要地模糊本發(fā)明,對(duì)公知的概念和聯(lián)網(wǎng)組件及技術(shù)沒 有進(jìn)行詳細(xì)說明。還可能有其它應(yīng)用和例子,比如下述的示例、插圖和內(nèi)容不應(yīng)被視為在范 圍或設(shè)置上的定義或限定。雖然對(duì)這些實(shí)施例進(jìn)行了充分詳細(xì)的描述以便本領(lǐng)域技術(shù)人員 能夠?qū)崿F(xiàn)本發(fā)明,但本發(fā)明并不限于這些示例、插圖和內(nèi)容,而是可以使用其它實(shí)施方式, 可在沒有超出本發(fā)明的精神和范圍的情況下進(jìn)行變化。 在多張附圖中描述了使用USB存儲(chǔ)器密鑰來主動(dòng)管理和配置計(jì)算機(jī)網(wǎng)絡(luò)中組件 的方法和系統(tǒng),這里的USB存儲(chǔ)器密鑰也被稱為記憶"棒"或類似的設(shè)備。USB密鑰或其它 類似裝置被用來方便網(wǎng)絡(luò)組件與網(wǎng)絡(luò)技術(shù)人員的計(jì)算機(jī)設(shè)備之間的連接。通過這種方式, 能夠減少技術(shù)人員和設(shè)備間的交互。雖然利用USB密鑰來說明所描述的實(shí)施例,但是任何 其它適合的便攜式存儲(chǔ)器設(shè)備,如易于從網(wǎng)絡(luò)組件拔插的電可擦除只讀存儲(chǔ)器(EEPR0M),
5U3密鑰或網(wǎng)卡,都可以用在替代實(shí)施例中。 圖1A是簡(jiǎn)化的網(wǎng)絡(luò)圖,它說明本發(fā)明兩種可能的配置。網(wǎng)絡(luò)組件102通過網(wǎng)絡(luò)連 接106與工作站計(jì)算機(jī)104連接。這些組件是沒有畫出來的更大網(wǎng)絡(luò)的一部分。作為本發(fā) 明的一部分加以描述的過程和設(shè)備可以用于包含需要管理和配置的網(wǎng)絡(luò)組件的任何類型 的數(shù)據(jù)通信網(wǎng)絡(luò)。這種網(wǎng)絡(luò)可能相對(duì)較小,如家庭網(wǎng)絡(luò),或者是跨越許多地理區(qū)域的非常寬 廣區(qū)域的網(wǎng)絡(luò)。網(wǎng)絡(luò)組件102在位置A,這與工作站104在位置B不同。為了讓下面的描述 清楚,"技術(shù)人員"(如人員112)被定義為網(wǎng)絡(luò)管理員或操作員,或組織中負(fù)責(zé)管理和配置 該實(shí)體或組織的數(shù)據(jù)通信網(wǎng)絡(luò)中的組件的任何人。在這里用"技術(shù)人員設(shè)備"來描述像工 作站104這樣的網(wǎng)絡(luò)工作站計(jì)算機(jī),通常是臺(tái)式計(jì)算機(jī),或者也可能是能夠被技術(shù)人員攜 帶到各個(gè)位置加以使用并對(duì)網(wǎng)絡(luò)中的組件進(jìn)行管理和配置的便攜式的設(shè)置好IP或支持IP 的計(jì)算機(jī)設(shè)備110,比如手持式PDA、膝上型計(jì)算機(jī)或筆記本計(jì)算機(jī)、平板式計(jì)算機(jī)、手持設(shè) 備等等。這些技術(shù)人員設(shè)備,特別是網(wǎng)絡(luò)工作站計(jì)算機(jī),具有特殊的網(wǎng)絡(luò)特權(quán)并且能夠安全 地存儲(chǔ)網(wǎng)絡(luò)及相關(guān)的管理數(shù)據(jù)。如同下文描述中所使用的一樣并且為了清楚起見,網(wǎng)絡(luò)包 括數(shù)不清類型的"組件",比如終端用戶計(jì)算機(jī)、打印機(jī)、各種類型的服務(wù)器、交換機(jī)、網(wǎng)關(guān)、 路由器、存儲(chǔ)網(wǎng)絡(luò)組件、網(wǎng)絡(luò)緩存、防火墻、"多用途"機(jī)箱(其中包含有兩個(gè)或更多的網(wǎng)絡(luò) 組件)等等。這些組件通常位于難于接近的區(qū)域,比如在網(wǎng)絡(luò)柜或組件機(jī)架中。這些網(wǎng)絡(luò) 組件在本領(lǐng)域是公知的,并且可以包含多種其它的組件。在最廣泛的意義上,應(yīng)該指出,技 術(shù)人員設(shè)備本身就是網(wǎng)絡(luò)中的組件并且能夠使用本發(fā)明的方法和設(shè)備進(jìn)行管理和配置。此 外,還可以將本發(fā)明用于各種數(shù)據(jù)通信網(wǎng)絡(luò)、拓?fù)浣Y(jié)構(gòu)和方法中。 圖1A還畫出了可插入網(wǎng)絡(luò)組件102的USB密鑰108。許多網(wǎng)絡(luò)組件具有USB端口 或者能夠與其它類型的便攜式存儲(chǔ)器設(shè)備進(jìn)行操作的其它類型的端口。一插入并建立起安
全憑證,組件102就可以通過如圖所示的無線連接或有線連接與技術(shù)人員112操作的移動(dòng) 技術(shù)人員設(shè)備IIO進(jìn)行通信,就像與工作站104通信那樣。值得再次注意的是圖1A是一個(gè) 簡(jiǎn)化圖,在具有數(shù)百或數(shù)千個(gè)組件需要進(jìn)行管理的網(wǎng)絡(luò)中以及在網(wǎng)絡(luò)組件102與許多其它 組件在同一個(gè)網(wǎng)絡(luò)柜的機(jī)架上時(shí),本申請(qǐng)的優(yōu)勢(shì)表現(xiàn)得更為明顯。在另外一個(gè)例子中,組件 102與工作站104可以位于不同的地理位置。 圖1B是根據(jù)本發(fā)明的一個(gè)實(shí)施例,使用USB密鑰在網(wǎng)絡(luò)組件和技術(shù)人員設(shè)備間建 立安全連接的示例性過程的流程圖。在步驟102,將數(shù)據(jù)從網(wǎng)絡(luò)工作站(比如工作站104) 下載到USB密鑰上。也可從便攜式技術(shù)人員設(shè)備110,比如膝上型計(jì)算機(jī),下載數(shù)據(jù)。下面 對(duì)下載的數(shù)據(jù)進(jìn)行更詳細(xì)的描述,下載的數(shù)據(jù)包括安全憑證數(shù)據(jù)和網(wǎng)絡(luò)組件的屬性數(shù)據(jù)。 在步驟104,將USB密鑰插入網(wǎng)絡(luò)組件。如果組件不支持USB,可以使用其它類型的便攜式 存儲(chǔ)設(shè)備,比如火線(IEEE 1394)設(shè)備、U3密鑰等等。在步驟106,在網(wǎng)絡(luò)組件和網(wǎng)絡(luò)工作 站或移動(dòng)技術(shù)人員設(shè)備間建立安全連接。在圖5中描述建立這一安全連接的一個(gè)程序。在 步驟108,網(wǎng)絡(luò)技術(shù)人員開始管理網(wǎng)絡(luò)組件。 在所描述的具體實(shí)施例中,USB密鑰用于主動(dòng)管理網(wǎng)絡(luò)中的部分或全部組件。圖 2是一個(gè)框圖,它說明根據(jù)本發(fā)明的一個(gè)實(shí)施例存儲(chǔ)于USB密鑰中用于管理網(wǎng)絡(luò)組件的數(shù) 據(jù)。在存儲(chǔ)器區(qū)域200中可以存儲(chǔ)多種類型的數(shù)據(jù)。在所描述的具體實(shí)施例中,基于每個(gè)單 獨(dú)的網(wǎng)絡(luò)組件來組織數(shù)據(jù)。對(duì)于每個(gè)組件都存儲(chǔ)有制造商或供應(yīng)商的名字202,例如,北電、 思科等。還存儲(chǔ)網(wǎng)絡(luò)組件類型204,比如上面提到的類型(服務(wù)器、路由器、交換機(jī)、網(wǎng)絡(luò)緩存等)。還存儲(chǔ)與組件相關(guān)的各種其它數(shù)據(jù)型號(hào)信息206 (例如,思科路由器的7200VXR)、 序列號(hào)或通用的默認(rèn)序列號(hào)208和組件網(wǎng)絡(luò)IP地址210。這些數(shù)據(jù)項(xiàng)目用于標(biāo)識(shí)特定的網(wǎng) 絡(luò)組件??赡馨钠渌鼣?shù)據(jù)為描述組件操作的多種網(wǎng)絡(luò)協(xié)議或單個(gè)協(xié)議的組件協(xié)議數(shù)據(jù) 212。在另一個(gè)實(shí)施例中,還有用于禁用或關(guān)閉網(wǎng)絡(luò)組件和技術(shù)人員設(shè)備間連接的連接關(guān)閉 數(shù)據(jù)214。在所描述的實(shí)施例中,每個(gè)網(wǎng)絡(luò)組件都具有簽名216。在存儲(chǔ)器區(qū)域200中的數(shù) 據(jù)組是為網(wǎng)絡(luò)中的每個(gè)網(wǎng)絡(luò)組件或組件的子集提供的,這個(gè)子集對(duì)應(yīng)于可以用USB密鑰進(jìn) 行配置和管理的組件。例如,USB密鑰可能僅能管理網(wǎng)絡(luò)中位于特殊位置處的網(wǎng)絡(luò)組件并 且因此僅具有那些組件的數(shù)據(jù)組200。當(dāng)然,數(shù)據(jù)的順序可以是不同的,不需要按照描述的 或圖2所示的順序。如圖4所示,還可以包括額外的數(shù)據(jù)。在其它實(shí)施例中,可以存儲(chǔ)比圖 2所示更少的數(shù)據(jù),而不妨礙使用本發(fā)明的方法和系統(tǒng)。 在所描述的實(shí)施例中,網(wǎng)絡(luò)技術(shù)人員使用USB密鑰108下載或傳輸足夠的數(shù)據(jù)到 網(wǎng)絡(luò)組件102,以便組件能夠與網(wǎng)絡(luò)工作站104或便攜式支持IP的技術(shù)人員設(shè)備110聯(lián) 系。網(wǎng)絡(luò)組件發(fā)起到技術(shù)人員設(shè)備的連接,而不是技術(shù)人員一定要連接到網(wǎng)絡(luò)組件。這使 得管理網(wǎng)絡(luò)更加靈活和容易。關(guān)鍵因素之一是在這種方式下,技術(shù)人員與組件僅是建立連 接(在任何管理和配置工作開始之前)的交互減少了。例如,技術(shù)人員不需要為了連接到 組件而查找、記憶、呼叫其它技術(shù)人員并最終輸入組件的IP地址或者其它組件專用數(shù)據(jù)。
網(wǎng)絡(luò)中的所有組件具有物理存在。例如,組件具有特定的地理位置并且物理存在 于一個(gè)已知的位置。然而,每個(gè)組件還具有"網(wǎng)絡(luò)"存在,可以將它稱為虛擬位置,因?yàn)樗?不被綁定或限制到一個(gè)物理位置,而是能夠位于網(wǎng)絡(luò)拓?fù)渲腥魏蔚胤?。在所描述的?shí)施例 中,通過讓組件與技術(shù)人員設(shè)備建立連接,從一方面來說網(wǎng)絡(luò)組件的物理存在轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò) 存在。 在所描述的實(shí)施例中,除了圖2中描述的數(shù)據(jù),USB密鑰中的另一種數(shù)據(jù)是網(wǎng)絡(luò) 組件用來建立到技術(shù)人員設(shè)備的安全連接的數(shù)據(jù),不管技術(shù)人員設(shè)備是工作站還是移動(dòng)設(shè) 備。圖3是根據(jù)本發(fā)明的一個(gè)實(shí)施例,由網(wǎng)絡(luò)組件使用的技術(shù)人員設(shè)備"回?fù)?數(shù)據(jù)的數(shù)據(jù) 結(jié)構(gòu)圖。在圖3所示的例子中包含兩個(gè)網(wǎng)絡(luò)工作站和兩個(gè)移動(dòng)設(shè)備,它們構(gòu)成技術(shù)人員設(shè) 備組。在其它例子中可能包含更少或更多這樣的技術(shù)人員設(shè)備(例如VWAN可以包含很多 便攜式技術(shù)人員設(shè)備),每個(gè)設(shè)備可能具有圖中所示的部分或所有數(shù)據(jù)302,包括IP地址和 電子郵件地址304,網(wǎng)絡(luò)工作站或移動(dòng)設(shè)備的撥入數(shù)據(jù)和電話號(hào)碼306。在其它實(shí)施例中可 包含其它類型的啟動(dòng)連接或回?fù)軘?shù)據(jù),比如網(wǎng)絡(luò)組件連接到技術(shù)人員設(shè)備所需要的數(shù)據(jù), 包括向設(shè)備發(fā)出IP語音(VoIP)呼叫的數(shù)據(jù)310和即時(shí)消息傳遞(IM)數(shù)據(jù)312。其它的例 子包括有關(guān)建立安全網(wǎng)頁或命令窗口會(huì)話的信息。技術(shù)人員能夠選擇網(wǎng)絡(luò)組件應(yīng)該連接到 哪臺(tái)工作站或移動(dòng)設(shè)備,例如通過使用組件上可用的用戶接口和回?fù)芊椒?。在另一個(gè)實(shí)施 例中,默認(rèn)了一個(gè)特定的預(yù)先選定的技術(shù)人員設(shè)備和回?fù)艹绦颉T诹硪粋€(gè)實(shí)施例中,USB密 鑰可能僅僅存儲(chǔ)一個(gè)工作站或一個(gè)移動(dòng)設(shè)備的回?fù)苄畔?,該信息被自?dòng)使用。如果想要限 制USB密鑰在網(wǎng)絡(luò)中的使用(例如,基于地理邊界),這樣做可能是有益的。在一個(gè)實(shí)施例 中,技術(shù)人員可以選擇組件需要連接到哪臺(tái)工作站或改進(jìn)的設(shè)備。 在所描述的具體實(shí)施例中,如圖3所示,在網(wǎng)絡(luò)組件和技術(shù)人員設(shè)備之間使用存 儲(chǔ)于USB密鑰的證書/管理機(jī)構(gòu)數(shù)據(jù)308進(jìn)行自動(dòng)鑒定和鑒別。在另一個(gè)具體實(shí)施例中, 將USB密鑰插入組件并且組件檢測(cè)到存在USB密鑰(或新的硬件設(shè)備)時(shí),還自動(dòng)登錄網(wǎng)
7絡(luò)組件。為了網(wǎng)絡(luò)組件的安全,在組件讀取數(shù)據(jù)或?qū)SB密鑰中的數(shù)據(jù)執(zhí)行操作之前,它利 用密鑰中的數(shù)據(jù)308采用合適的加密方案對(duì)密鑰進(jìn)行鑒別。首次使用USB密鑰時(shí),在網(wǎng)絡(luò) 組件和密鑰間交換數(shù)據(jù)之前,需要更高的安全級(jí)別。進(jìn)行鑒別時(shí),將數(shù)據(jù)從USB密鑰傳輸?shù)?組件的本地存儲(chǔ)器。 在所描述的具體實(shí)施例中,在使用管理密鑰對(duì)組件進(jìn)行故障診斷、狀態(tài)檢測(cè)或進(jìn) 行其它診斷之前,將分開的一個(gè)安全憑證USB密鑰插入網(wǎng)絡(luò)組件。網(wǎng)絡(luò)組件具有與私有密 鑰相對(duì)應(yīng)的公共密鑰,私有密鑰用于對(duì)安全USB密鑰中的證書進(jìn)行簽名。在一個(gè)具體實(shí)施 例中,還將信任列表提供給組件,這個(gè)信任列表表明,例如,可以信任以某種方式簽名的信 息。在多個(gè)具體實(shí)施例中,可以使用RSA或DSS加密方式。 當(dāng)從網(wǎng)絡(luò)設(shè)備上將USB密鑰拔出時(shí),將技術(shù)人員從網(wǎng)絡(luò)組件登出。這可以使用與 從網(wǎng)絡(luò)組件拔出任何其它USB密鑰相同的方式來操作。 在所描述的具體實(shí)施例中,按照安全方式提供和配置USB存儲(chǔ)器設(shè)備,其中包含 許多類型的數(shù)據(jù),比如圖2和3中所描述的數(shù)據(jù)。圖4是一個(gè)框圖,它說明根據(jù)本發(fā)明的一 個(gè)實(shí)施例,存儲(chǔ)于USB密鑰中用于配置和管理網(wǎng)絡(luò)中組件的各種類型的數(shù)據(jù)。這些數(shù)據(jù)包 括網(wǎng)絡(luò)屬性402,比如網(wǎng)絡(luò)組件和技術(shù)人員設(shè)備的IP地址404,DNS服務(wù)器名稱和地址406、 郵件服務(wù)器數(shù)據(jù)408、網(wǎng)關(guān)數(shù)據(jù)410、根證書信息412和依賴于組件的信息414,比如組件標(biāo) 識(shí)符。它還可能包括獲取額外配置信息416的信源,比如從動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù) 器。在下述內(nèi)容中還描述了其它類型的數(shù)據(jù),包括網(wǎng)絡(luò)接入信息418、固件信息420、安全證 書/憑證422和腳本424。安全憑證422可以包括提供受信任列表的根證書,該列表基本上 給出了USB密鑰能夠信任的證書管理機(jī)構(gòu)列表。根證書還可以提供公共密鑰。如同在本領(lǐng) 域中已知的一樣,實(shí)體可以通過發(fā)布在實(shí)體內(nèi)使用的根證書而成為自己的證書管理機(jī)構(gòu)。 例如,一個(gè)大的實(shí)體(比如跨國(guó)公司),可能已經(jīng)擁有用于各種安全角色(例如ID標(biāo)記)的 根證書,可以將它用于實(shí)現(xiàn)本發(fā)明的USB密鑰配置系統(tǒng)。系統(tǒng)還可以包括備份根證書。在 一個(gè)實(shí)施例中,將共享的秘密(通常是比特流的形式)用于對(duì)信息加密。共享的秘密與根 證書的功能類似,但是通常不包含根證書的所有資源。 圖5是一個(gè)流程圖,它說明根據(jù)本發(fā)明的一個(gè)具體實(shí)施例,配置USB密鑰以及使用 USB密鑰在技術(shù)人員設(shè)備和網(wǎng)絡(luò)組件間建立連接的過程。這里展示和描述的方法的步驟并 不需要按照給出的順序執(zhí)行(在某些實(shí)現(xiàn)中沒有被執(zhí)行)。該方法的一些執(zhí)行方式可以包 括比描述的更多或更少的步驟。在步驟502,從網(wǎng)絡(luò)工作站或其它信源將網(wǎng)絡(luò)安全屬性存 儲(chǔ)到安全USB密鑰。在步驟504,將安全USB密鑰插入技術(shù)人員想要管理,進(jìn)行故障檢修等 的網(wǎng)絡(luò)組件上。在確定對(duì)USB密鑰的數(shù)據(jù)(鑒別和驗(yàn)證密鑰)進(jìn)行訪問是安全的后,在步 驟506,網(wǎng)絡(luò)組件獲取USB密鑰中的安全憑證數(shù)據(jù),并將這些數(shù)據(jù)存儲(chǔ)在組件的本地存儲(chǔ)器 中。例如,安全憑證可以包括證書,并且在所描述的具體實(shí)施方式
中,該證書最初被加密或 散列。在步驟508,組件可以使用例如公共密鑰對(duì)安全憑證進(jìn)行解密。 圖6是一個(gè)流程圖,它說明根據(jù)本發(fā)明的一個(gè)具體實(shí)施例,在安全憑證準(zhǔn)備就緒 后使用USB密鑰管理網(wǎng)絡(luò)組件的過程。在步驟602,網(wǎng)絡(luò)組件檢測(cè)到USB密鑰已經(jīng)插入網(wǎng)絡(luò) 組件的一個(gè)USB接口。在一個(gè)具體實(shí)施例中,在步驟604,組件從USB密鑰下載圖3中所示 的回?fù)軘?shù)據(jù)。在步驟606,組件使用回?fù)軘?shù)據(jù)304和306連接到技術(shù)人員設(shè)備。如上所述, 可使用設(shè)備的IP地址、電子郵件地址或多種已知技術(shù)中的任意一種來實(shí)現(xiàn)該步驟。在步驟608,技術(shù)人員設(shè)備從其存儲(chǔ)區(qū)域中檢索如圖2所示的組件相關(guān)數(shù)據(jù)。在步驟610,技術(shù)人員 能夠繼續(xù)下去對(duì)網(wǎng)絡(luò)組件進(jìn)行管理。 在本發(fā)明的另一個(gè)具體實(shí)施例中,可以將保存于USB密鑰的腳本程序用于識(shí)別網(wǎng)
絡(luò)組件并配置組件。對(duì)于不同的網(wǎng)絡(luò)環(huán)境以各種格式對(duì)這些腳本編碼。在另一具體實(shí)施例
中,將鑒別服務(wù)器用于外部驗(yàn)證和鑒別。在該實(shí)施例中,具有鑒別的外部管理。 雖然這里展示和描述了本發(fā)明的例證性的實(shí)施例和應(yīng)用,但在本申請(qǐng)的概念、范
圍和精神內(nèi)可以有許多變化和修改,并且這些變化對(duì)于那些熟讀本發(fā)明的本領(lǐng)域普通技術(shù)
人員來說是清楚的。因此,所描述的具體實(shí)施例應(yīng)認(rèn)為是示例性的而不是限制性的,本發(fā)明
并不限于這里描述的細(xì)節(jié),其可在所附的權(quán)利要求的范圍和等效中進(jìn)行修改。
權(quán)利要求
一種網(wǎng)絡(luò)管理設(shè)備,包括第一存儲(chǔ)設(shè)備,包括與網(wǎng)絡(luò)相關(guān)的公共密鑰數(shù)據(jù),該數(shù)據(jù)包括根證書管理機(jī)構(gòu)數(shù)據(jù)和多個(gè)IP地址;以及第二存儲(chǔ)設(shè)備,包括網(wǎng)絡(luò)數(shù)據(jù)和指令腳本,當(dāng)所述第二存儲(chǔ)設(shè)備被插入網(wǎng)絡(luò)組件時(shí),所述指令腳本用于引導(dǎo)所述網(wǎng)絡(luò)組件的某些操作,其中使用所述第一存儲(chǔ)設(shè)備中存儲(chǔ)的所述公共密鑰對(duì)所述第二存儲(chǔ)設(shè)備中的所述網(wǎng)絡(luò)數(shù)據(jù)和所述指令腳本進(jìn)行簽名。
2. 如權(quán)利要求1所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第一存儲(chǔ)設(shè)備進(jìn)一步包括網(wǎng)絡(luò)屬性數(shù)據(jù)。
3. 如權(quán)利要求1和2所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第一存儲(chǔ)設(shè)備進(jìn)一步包含安全證 書數(shù)據(jù)。
4. 如權(quán)利要求1、2和3所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第一存儲(chǔ)設(shè)備進(jìn)一步包含DNS 服務(wù)器名稱和地址。
5. 如權(quán)利要求1、2、3和4所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第一存儲(chǔ)設(shè)備進(jìn)一步包含網(wǎng) 關(guān)數(shù)據(jù)。
6. 如權(quán)利要求1、2、3、4和5所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第二存儲(chǔ)設(shè)備進(jìn)一步包含 回?fù)軘?shù)據(jù)。
7. 如權(quán)利要求6所述的網(wǎng)絡(luò)管理設(shè)備,其中所述回?fù)軘?shù)據(jù)包括網(wǎng)絡(luò)管理計(jì)算設(shè)備的IP 地址,以使得所述計(jì)算設(shè)備和所述網(wǎng)絡(luò)組件之間能夠建立IP連接。
8. 如權(quán)利要求6所述的網(wǎng)絡(luò)管理設(shè)備,其中所述回?fù)軘?shù)據(jù)包括IP語音數(shù)據(jù),以使得從 所述網(wǎng)絡(luò)組件到所述管理計(jì)算設(shè)備的IP語音呼叫成為可能。
9. 如權(quán)利要求1、2、3、4、5和6所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第二存儲(chǔ)設(shè)備進(jìn)一步包 括網(wǎng)絡(luò)組件數(shù)據(jù),所述網(wǎng)絡(luò)組件數(shù)據(jù)包括組件制造數(shù)據(jù)、組件類型和型號(hào)數(shù)據(jù)。
10. 如權(quán)利要求9所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第二存儲(chǔ)設(shè)備進(jìn)一步包括網(wǎng)絡(luò)組件 IP地址和協(xié)議。
11. 如權(quán)利要求9和IO所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第二存儲(chǔ)設(shè)備進(jìn)一步包含關(guān)閉 數(shù)據(jù)。
12. 如權(quán)利要求1、2、3、4、5、6和9所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第一和第二存儲(chǔ)設(shè)備 為USB密鑰。
13. 如權(quán)利要求1、2、3、4、5、6、9和12所述的網(wǎng)絡(luò)管理設(shè)備,其中所述第一和第二存儲(chǔ) 設(shè)備為U3密鑰。
14. 一種管理網(wǎng)絡(luò)的方法,包括將與網(wǎng)絡(luò)相關(guān)的公共密鑰信息存儲(chǔ)于第一便攜式存儲(chǔ)設(shè)備; 將網(wǎng)絡(luò)數(shù)據(jù)和腳本存儲(chǔ)于第二便攜式存儲(chǔ)設(shè)備; 使用所述第一存儲(chǔ)設(shè)備配置網(wǎng)絡(luò)組件;使用所述第二存儲(chǔ)設(shè)備和管理組件來管理所述網(wǎng)絡(luò)組件,其中所述網(wǎng)絡(luò)組件發(fā)起并建 立與所述管理組件的連接;以及通過停止使用所述第二存儲(chǔ)設(shè)備來斷開與所述管理組件的連接。
15. 如權(quán)利要求14所述的方法,其中存儲(chǔ)公共密鑰信息包括 存儲(chǔ)根證書管理機(jī)構(gòu)數(shù)據(jù)、IP地址、網(wǎng)關(guān)數(shù)據(jù)和網(wǎng)絡(luò)接入信息中的一個(gè)或更多。
16. 如權(quán)利要求14和15所述的方法,進(jìn)一步包括 從網(wǎng)絡(luò)管理工作站檢索所述公共密鑰信息。
17. 如權(quán)利要求14、 15和16所述的方法,其中存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)和腳本進(jìn)一步包括 在所述第二存儲(chǔ)設(shè)備中存儲(chǔ)回?fù)軘?shù)據(jù),其中所述回?fù)軘?shù)據(jù)包括網(wǎng)絡(luò)管理設(shè)備IP地址、IP語音數(shù)據(jù)、即時(shí)消息傳遞數(shù)據(jù)和撥入數(shù)據(jù)。
18. 如權(quán)利要求14、 15、 16和17所述的方法,進(jìn)一步包括 對(duì)所述第二便攜式存儲(chǔ)設(shè)備中存儲(chǔ)的數(shù)據(jù)應(yīng)用數(shù)字簽名。
19. 如權(quán)利要求14、 15、 16、 17和18所述的方法,其中配置網(wǎng)絡(luò)組件進(jìn)一步包括 在所述網(wǎng)絡(luò)組件處讀取所述第一便攜式存儲(chǔ)設(shè)備中的數(shù)據(jù),并在所述網(wǎng)絡(luò)組件上執(zhí)行所述數(shù)據(jù),其中所述網(wǎng)絡(luò)組件被配置為安全地接收所述第二存儲(chǔ)設(shè)備中存儲(chǔ)的數(shù)據(jù)。
20. 如權(quán)利要求14、 15、 16、 17、 18和19所述的方法,其中配置網(wǎng)絡(luò)組件進(jìn)一步包括 為所述網(wǎng)絡(luò)組件提供與所述網(wǎng)絡(luò)相關(guān)的公共密鑰信息。
21. 如權(quán)利要求14、15、16、17、18、19和20所述的方法,其中使用所述第二存儲(chǔ)設(shè)備管 理所述網(wǎng)絡(luò)組件進(jìn)一步包括為所述網(wǎng)絡(luò)組件提供允許所述組件與所述管理組件進(jìn)行連接的回?fù)軘?shù)據(jù)。
22. 如權(quán)利要求14、15、16、17、18、19、20和21所述的方法進(jìn)一步包括 在所述網(wǎng)絡(luò)組件執(zhí)行或讀取所述數(shù)據(jù)和腳本之前,驗(yàn)證所述第二存儲(chǔ)設(shè)備中的所述網(wǎng)絡(luò)數(shù)據(jù)和腳本的簽名。
23. 如權(quán)利要求14、15、16、17、18、19、20、21和22所述的方法,其中斷開進(jìn)一步包括: 將所述第二存儲(chǔ)設(shè)備從所述網(wǎng)絡(luò)組件去除。
24. 如權(quán)利要求14、 15、 16、 17、 18、 19、20、21、22和23所述的方法,其中所述第一和第二 存儲(chǔ)設(shè)備為USB密鑰。
25. —種對(duì)網(wǎng)絡(luò)中的組件進(jìn)行管理的方法,包括將第一 USB密鑰插入網(wǎng)絡(luò)組件,以將技術(shù)人員設(shè)備鑒別到所述網(wǎng)絡(luò)組件; 使用所述第一 USB密鑰建立所述組件和所述設(shè)備間的連接,其中所述網(wǎng)絡(luò)組件發(fā)起與 所述設(shè)備間的連接;將第二 USB密鑰插入所述網(wǎng)絡(luò)組件; 為了對(duì)所述網(wǎng)絡(luò)組件進(jìn)行管理,檢索網(wǎng)絡(luò)組件數(shù)據(jù);以及 使用所述第二 USB密鑰來管理所述網(wǎng)絡(luò)組件。
全文摘要
管理通信網(wǎng)絡(luò)的設(shè)備和方法,包括通過使網(wǎng)絡(luò)組件(102)建立到諸如膝上型計(jì)算機(jī)、PDA或臺(tái)式工作站這種網(wǎng)絡(luò)管理員設(shè)備(104、110)的連接,使用USB密鑰來配置和管理網(wǎng)絡(luò)中的組件。第一USB密鑰(108)用于配置網(wǎng)絡(luò)組件,以使其具有必要的安全信息來與第二USB密鑰(108)進(jìn)行交互,第二USB密鑰用于啟動(dòng)對(duì)組件的實(shí)際管理。組件就獲得安全信息,就插入第二USB密鑰,使得某些回?fù)?callback)數(shù)據(jù)對(duì)于組件而言是可用的。使用該數(shù)據(jù)進(jìn)行“呼叫”或連接到管理員的設(shè)備?;?fù)軘?shù)據(jù)可以是設(shè)備的IP地址,電子郵件地址,基于IP的語音(VoIP)數(shù)據(jù),即時(shí)消息數(shù)據(jù),撥號(hào)數(shù)據(jù),等等。一旦網(wǎng)絡(luò)組件發(fā)起并建立連接,管理員便能夠開始對(duì)組件進(jìn)行管理。
文檔編號(hào)H04L29/06GK101730987SQ200880014945
公開日2010年6月9日 申請(qǐng)日期2008年5月7日 優(yōu)先權(quán)日2007年5月7日
發(fā)明者J·布萊斯德爾 申請(qǐng)人:莫克納公司