使用USB密钥来管理网络组件 【技术领域】
本发明涉及计算机网络管理。更具体地说,涉及在计算机网络中使用通用串行总线(USB)存储器设备来配置和管理计算机网络中的组件,使组件能够连接到网络技术人员设备。
背景技术
对于许多组织来说管理计算机网络已经成为越来越复杂和昂贵的尝试。网络往往是由在广泛的地理区域分布的数百甚至数千网络组件和设备组成。这导致在企业环境中拥有网络组件的总成本显著增加。最初,网络是有组织,有序和易于管理的,例如,给设备分配了逻辑地址,并以可理解的方式对它们进行分类。然而,随着时间的推移,例如,组件迁移到路由器的不同端口,或者最初定义良好的用来配置网络组件的软件可能不再适用或有效。
其中许多问题源于一个事实,即网络组件不容易识别,而网络技术人员要连接到组件,他或她必须能够识别设备。识别设备的问题随着Ipv6的出现而被放大,Ipv6使用16个八位字节作为地址,需要技术人员记住或跟踪更长的IP地址。
为了说明这一点,假设网络具有数千个交换机。每个交换机通常需要单独配置,继而有可能需要从技术人员的笔记本计算机到交换机连接电缆,也可能包括物理上移动机箱,同时技术人员要输入数据,比如交换机的IP地址和与组件相关的其它数据,然后将机箱放回其自己的位置,该位置往往在一个拥挤的网络组件柜中。需要物理上连接到组件还妨碍了常常没有连接到网络组件的必要接口(例如RS232)的手持移动设备的有效使用。
因此,最好能减少管理网络组件时所出现的复杂性和低效,并缩短技术人员与组件交互的时间,从而降低网络的整体维护成本。还需要一种便携设备,以方便管理和配置网络设备。
【发明内容】
本发明一方面是一个网络管理设备,在一个具体实施例中包括两个USB存储设备或“密钥”。一个USB密钥包含特定的配置数据,比如与网络相关的公共密钥数据,包括根证书管理机构数据和各个IP地址。将配置数据从网络管理计算机或者这个网络上适当的其它设备上传到配置USB密钥中。将这个密钥插入网络组件(通信网络中具有USB端口的任意类型的设备),通过提供公共密钥数据、证书管理机构数据等来准备组件。一旦使用第一USB密钥配置好网络设备,就能够开始管理阶段。在这个阶段,将第二管理USB密钥插入组件。通过使用来自配置密钥的安全数据,组件能够鉴别和验证管理USB密钥和其中包含的全部具有签名的数据。例如,可以将公共密钥数据用于检查签名和解密数据。这样做是为了确保网络组件能够信任第二USB密钥中的数据,这一点是非常重要的,因为它会被用于对组件的管理过程进行初始化。
管理USB密钥中的一种数据是回拨数据(callback data)。组件使用这种数据发起到网络管理员的设备的连接,这种设备有比如手持设备、膝上型计算机、平板计算机或者台式网络工作站(统称为“管理员设备”)。回拨数据可以包括管理员设备的IP地址,那些设备的拨入数据,IP语音(VoIP)数据、即时消息传递(IM)数据、电子邮件地址等等。网络组件使用最适合的回拨数据来建立与管理员设备的连接。一建立起连接,网络管理员即可开始管理组件。该连接可以是无线连接(例如与膝上型计算机或PDA)或者经由网络到台式工作站计算机的有线连接,对于广域网络,后者可能位于不同的地理位置。在这种情况下,网络管理员不需要在连接到网络组件上花费时间和精力。不得不为网络组件找到正确的“联系信息”往往是一个耗时和乏味的工作,尤其是在随着时间的推移网络有大幅增长,并且组件已经被重新配置的情况下。通过使得网络组件与管理员设备自动连接,管理员可以开始集中于对组件的实际管理,而不是为了在其它方向上进行连接所必需的事先准备。
【附图说明】
下面参考附图,它们构成了说明书的一部分,其中以图形方式说明本发明的具体实施例。
图1A是简化的网络图,它说明本发明两种可能的结构。
图1B是流程图,它说明根据本发明的一个实施例,使用USB密钥在网络组件和技术人员设备之间建立安全连接的一个示例性过程。
图2是一个框图,它说明根据本发明的一个实施例,在USB密钥中存储的用于管理网络组件地数据。
图3是一个数据结构图,它说明根据本发明的一个实施例,能够由网络组件使用的技术人员设备“回拨”数据。
图4是一个框图,它说明根据本发明的一个实施例,在USB密钥中存储的用于配置和管理网络中组件的各种类型的数据。
图5是一个流程图,它说明根据本发明的一个实施例,配置USB密钥和使用USB密钥在技术人员设备和网络组件之间建立连接的过程。
图6是一个流程图,它说明根据本发明的一个实施例,在安全凭证到位后使用USB密钥管理网络组件的过程。
描述了一种网络的实施例,该网络根据本发明,使用了新型的网络组件管理及配置过程和系统。提供这些示例和具体实施方式的目的仅仅是增加环境和帮助理解本发明。因此,对于本领域技术人员来说,显然能够在没有此处的部分或全部细节的情况下来实现本发明。在其它情况下,为了避免不必要地模糊本发明,对公知的概念和联网组件及技术没有进行详细说明。还可能有其它应用和例子,比如下述的示例、插图和内容不应被视为在范围或设置上的定义或限定。虽然对这些实施例进行了充分详细的描述以便本领域技术人员能够实现本发明,但本发明并不限于这些示例、插图和内容,而是可以使用其它实施方式,可在没有超出本发明的精神和范围的情况下进行变化。
在多张附图中描述了使用USB存储器密钥来主动管理和配置计算机网络中组件的方法和系统,这里的USB存储器密钥也被称为记忆“棒”或类似的设备。USB密钥或其它类似装置被用来方便网络组件与网络技术人员的计算机设备之间的连接。通过这种方式,能够减少技术人员和设备间的交互。虽然利用USB密钥来说明所描述的实施例,但是任何其它适合的便携式存储器设备,如易于从网络组件拔插的电可擦除只读存储器(EEPROM),U3密钥或网卡,都可以用在替代实施例中。
图1A是简化的网络图,它说明本发明两种可能的配置。网络组件102通过网络连接106与工作站计算机104连接。这些组件是没有画出来的更大网络的一部分。作为本发明的一部分加以描述的过程和设备可以用于包含需要管理和配置的网络组件的任何类型的数据通信网络。这种网络可能相对较小,如家庭网络,或者是跨越许多地理区域的非常宽广区域的网络。网络组件102在位置A,这与工作站104在位置B不同。为了让下面的描述清楚,“技术人员”(如人员112)被定义为网络管理员或操作员,或组织中负责管理和配置该实体或组织的数据通信网络中的组件的任何人。在这里用“技术人员设备”来描述像工作站104这样的网络工作站计算机,通常是台式计算机,或者也可能是能够被技术人员携带到各个位置加以使用并对网络中的组件进行管理和配置的便携式的设置好IP或支持IP的计算机设备110,比如手持式PDA、膝上型计算机或笔记本计算机、平板式计算机、手持设备等等。这些技术人员设备,特别是网络工作站计算机,具有特殊的网络特权并且能够安全地存储网络及相关的管理数据。如同下文描述中所使用的一样并且为了清楚起见,网络包括数不清类型的“组件”,比如终端用户计算机、打印机、各种类型的服务器、交换机、网关、路由器、存储网络组件、网络缓存、防火墙、“多用途”机箱(其中包含有两个或更多的网络组件)等等。这些组件通常位于难于接近的区域,比如在网络柜或组件机架中。这些网络组件在本领域是公知的,并且可以包含多种其它的组件。在最广泛的意义上,应该指出,技术人员设备本身就是网络中的组件并且能够使用本发明的方法和设备进行管理和配置。此外,还可以将本发明用于各种数据通信网络、拓扑结构和方法中。
图1A还画出了可插入网络组件102的USB密钥108。许多网络组件具有USB端口或者能够与其它类型的便携式存储器设备进行操作的其它类型的端口。一插入并建立起安全凭证,组件102就可以通过如图所示的无线连接或有线连接与技术人员112操作的移动技术人员设备110进行通信,就像与工作站104通信那样。值得再次注意的是图1A是一个简化图,在具有数百或数千个组件需要进行管理的网络中以及在网络组件102与许多其它组件在同一个网络柜的机架上时,本申请的优势表现得更为明显。在另外一个例子中,组件102与工作站104可以位于不同的地理位置。
图1B是根据本发明的一个实施例,使用USB密钥在网络组件和技术人员设备间建立安全连接的示例性过程的流程图。在步骤102,将数据从网络工作站(比如工作站104)下载到USB密钥上。也可从便携式技术人员设备110,比如膝上型计算机,下载数据。下面对下载的数据进行更详细的描述,下载的数据包括安全凭证数据和网络组件的属性数据。在步骤104,将USB密钥插入网络组件。如果组件不支持USB,可以使用其它类型的便携式存储设备,比如火线(IEEE 1394)设备、U3密钥等等。在步骤106,在网络组件和网络工作站或移动技术人员设备间建立安全连接。在图5中描述建立这一安全连接的一个程序。在步骤108,网络技术人员开始管理网络组件。
在所描述的具体实施例中,USB密钥用于主动管理网络中的部分或全部组件。图2是一个框图,它说明根据本发明的一个实施例存储于USB密钥中用于管理网络组件的数据。在存储器区域200中可以存储多种类型的数据。在所描述的具体实施例中,基于每个单独的网络组件来组织数据。对于每个组件都存储有制造商或供应商的名字202,例如,北电、思科等。还存储网络组件类型204,比如上面提到的类型(服务器、路由器、交换机、网络缓存等)。还存储与组件相关的各种其它数据:型号信息206(例如,思科路由器的7200VXR)、序列号或通用的默认序列号208和组件网络IP地址210。这些数据项目用于标识特定的网络组件。可能包含的其它数据为描述组件操作的多种网络协议或单个协议的组件协议数据212。在另一个实施例中,还有用于禁用或关闭网络组件和技术人员设备间连接的连接关闭数据214。在所描述的实施例中,每个网络组件都具有签名216。在存储器区域200中的数据组是为网络中的每个网络组件或组件的子集提供的,这个子集对应于可以用USB密钥进行配置和管理的组件。例如,USB密钥可能仅能管理网络中位于特殊位置处的网络组件并且因此仅具有那些组件的数据组200。当然,数据的顺序可以是不同的,不需要按照描述的或图2所示的顺序。如图4所示,还可以包括额外的数据。在其它实施例中,可以存储比图2所示更少的数据,而不妨碍使用本发明的方法和系统。
在所描述的实施例中,网络技术人员使用USB密钥108下载或传输足够的数据到网络组件102,以便组件能够与网络工作站104或便携式支持IP的技术人员设备110联系。网络组件发起到技术人员设备的连接,而不是技术人员一定要连接到网络组件。这使得管理网络更加灵活和容易。关键因素之一是在这种方式下,技术人员与组件仅是建立连接(在任何管理和配置工作开始之前)的交互减少了。例如,技术人员不需要为了连接到组件而查找、记忆、呼叫其它技术人员并最终输入组件的IP地址或者其它组件专用数据。
网络中的所有组件具有物理存在。例如,组件具有特定的地理位置并且物理存在于一个已知的位置。然而,每个组件还具有“网络”存在,可以将它称为虚拟位置,因为它不被绑定或限制到一个物理位置,而是能够位于网络拓扑中任何地方。在所描述的实施例中,通过让组件与技术人员设备建立连接,从一方面来说网络组件的物理存在转变为网络存在。
在所描述的实施例中,除了图2中描述的数据,USB密钥中的另一种数据是网络组件用来建立到技术人员设备的安全连接的数据,不管技术人员设备是工作站还是移动设备。图3是根据本发明的一个实施例,由网络组件使用的技术人员设备“回拨”数据的数据结构图。在图3所示的例子中包含两个网络工作站和两个移动设备,它们构成技术人员设备组。在其它例子中可能包含更少或更多这样的技术人员设备(例如VWAN可以包含很多便携式技术人员设备),每个设备可能具有图中所示的部分或所有数据302,包括IP地址和电子邮件地址304,网络工作站或移动设备的拨入数据和电话号码306。在其它实施例中可包含其它类型的启动连接或回拨数据,比如网络组件连接到技术人员设备所需要的数据,包括向设备发出IP语音(VoIP)呼叫的数据310和即时消息传递(IM)数据312。其它的例子包括有关建立安全网页或命令窗口会话的信息。技术人员能够选择网络组件应该连接到哪台工作站或移动设备,例如通过使用组件上可用的用户接口和回拨方法。在另一个实施例中,默认了一个特定的预先选定的技术人员设备和回拨程序。在另一个实施例中,USB密钥可能仅仅存储一个工作站或一个移动设备的回拨信息,该信息被自动使用。如果想要限制USB密钥在网络中的使用(例如,基于地理边界),这样做可能是有益的。在一个实施例中,技术人员可以选择组件需要连接到哪台工作站或改进的设备。
在所描述的具体实施例中,如图3所示,在网络组件和技术人员设备之间使用存储于USB密钥的证书/管理机构数据308进行自动鉴定和鉴别。在另一个具体实施例中,将USB密钥插入组件并且组件检测到存在USB密钥(或新的硬件设备)时,还自动登录网络组件。为了网络组件的安全,在组件读取数据或对USB密钥中的数据执行操作之前,它利用密钥中的数据308采用合适的加密方案对密钥进行鉴别。首次使用USB密钥时,在网络组件和密钥间交换数据之前,需要更高的安全级别。进行鉴别时,将数据从USB密钥传输到组件的本地存储器。
在所描述的具体实施例中,在使用管理密钥对组件进行故障诊断、状态检测或进行其它诊断之前,将分开的一个安全凭证USB密钥插入网络组件。网络组件具有与私有密钥相对应的公共密钥,私有密钥用于对安全USB密钥中的证书进行签名。在一个具体实施例中,还将信任列表提供给组件,这个信任列表表明,例如,可以信任以某种方式签名的信息。在多个具体实施例中,可以使用RSA或DSS加密方式。
当从网络设备上将USB密钥拔出时,将技术人员从网络组件登出。这可以使用与从网络组件拔出任何其它USB密钥相同的方式来操作。
在所描述的具体实施例中,按照安全方式提供和配置USB存储器设备,其中包含许多类型的数据,比如图2和3中所描述的数据。图4是一个框图,它说明根据本发明的一个实施例,存储于USB密钥中用于配置和管理网络中组件的各种类型的数据。这些数据包括网络属性402,比如网络组件和技术人员设备的IP地址404,DNS服务器名称和地址406、邮件服务器数据408、网关数据410、根证书信息412和依赖于组件的信息414,比如组件标识符。它还可能包括获取额外配置信息416的信源,比如从动态主机配置协议(DHCP)服务器。在下述内容中还描述了其它类型的数据,包括网络接入信息418、固件信息420、安全证书/凭证422和脚本424。安全凭证422可以包括提供受信任列表的根证书,该列表基本上给出了USB密钥能够信任的证书管理机构列表。根证书还可以提供公共密钥。如同在本领域中已知的一样,实体可以通过发布在实体内使用的根证书而成为自己的证书管理机构。例如,一个大的实体(比如跨国公司),可能已经拥有用于各种安全角色(例如ID标记)的根证书,可以将它用于实现本发明的USB密钥配置系统。系统还可以包括备份根证书。在一个实施例中,将共享的秘密(通常是比特流的形式)用于对信息加密。共享的秘密与根证书的功能类似,但是通常不包含根证书的所有资源。
图5是一个流程图,它说明根据本发明的一个具体实施例,配置USB密钥以及使用USB密钥在技术人员设备和网络组件间建立连接的过程。这里展示和描述的方法的步骤并不需要按照给出的顺序执行(在某些实现中没有被执行)。该方法的一些执行方式可以包括比描述的更多或更少的步骤。在步骤502,从网络工作站或其它信源将网络安全属性存储到安全USB密钥。在步骤504,将安全USB密钥插入技术人员想要管理,进行故障检修等的网络组件上。在确定对USB密钥的数据(鉴别和验证密钥)进行访问是安全的后,在步骤506,网络组件获取USB密钥中的安全凭证数据,并将这些数据存储在组件的本地存储器中。例如,安全凭证可以包括证书,并且在所描述的具体实施方式中,该证书最初被加密或散列。在步骤508,组件可以使用例如公共密钥对安全凭证进行解密。
图6是一个流程图,它说明根据本发明的一个具体实施例,在安全凭证准备就绪后使用USB密钥管理网络组件的过程。在步骤602,网络组件检测到USB密钥已经插入网络组件的一个USB接口。在一个具体实施例中,在步骤604,组件从USB密钥下载图3中所示的回拨数据。在步骤606,组件使用回拨数据304和306连接到技术人员设备。如上所述,可使用设备的IP地址、电子邮件地址或多种已知技术中的任意一种来实现该步骤。在步骤608,技术人员设备从其存储区域中检索如图2所示的组件相关数据。在步骤610,技术人员能够继续下去对网络组件进行管理。
在本发明的另一个具体实施例中,可以将保存于USB密钥的脚本程序用于识别网络组件并配置组件。对于不同的网络环境以各种格式对这些脚本编码。在另一具体实施例中,将鉴别服务器用于外部验证和鉴别。在该实施例中,具有鉴别的外部管理。
虽然这里展示和描述了本发明的例证性的实施例和应用,但在本申请的概念、范围和精神内可以有许多变化和修改,并且这些变化对于那些熟读本发明的本领域普通技术人员来说是清楚的。因此,所描述的具体实施例应认为是示例性的而不是限制性的,本发明并不限于这里描述的细节,其可在所附的权利要求的范围和等效中进行修改。