用于异构网络上的分隔的多操 作者网络单元的标记网关 【技术领域】
本发明涉及网络管理领域,更具体地说,涉及通过分隔和虚拟技术为异构网络单元的网络提供高度安全的网络管理系统。
背景技术
早期的系统和方法介绍了使用强制访问控制来加强网络管理系统操作者间的强的分隔。它们也建议了通过网络承载关于分隔的信息,以此允许扩展一组主机的分隔地机制。
这样的机制与网络管理系统高度相关,因为它们可以用来透明地扩展至整个网络,为网络管理系统的操作者定义分隔。这种扩展使得在操作者间的强信息流控制得以实现,通过服务虚拟,向每个操作者提供特定的网络视图。
公开于2002年1月15日提交的共同未决的美国申请10/045,048中的发明,描述了使用分隔的操作系统来提高网络管理基础结构的安全,特别是当它要应付多操作者环境时。
存在几个标准以和业务一起承载有关分隔的信息。例如CIPSO(商业互联网协议安全可选方案)在不同的安全域内和不同的安全域之间进行安全信息通信。它提供多个应用单一的软件环境的安全域。这些标准的另一个例子是FIPS188,它也支持大量的分隔。此外,还有些声明遵循这些标准的操作系统(例如SELinux和Trusted Solaris)。
尽管标准存在,也保证不了声明具有这些标准的实现方案的不同系统间的交互操作性。结果,网络上的分隔通常要求利用相同的操作系统。
这样的约束在网络管理系统范围内是不能被接受的。通常网络由大量不同的异构网络单元(例如不同的制造商)构成。期望这些网络单元建立在一套实现兼容的网络分隔机制的操作系统上也是不合情理的。例如有些网络单元可能建立在提供非交互操作的网络分隔机制的操作系统上:分隔技术可能因系统不同而异。其它网络单元可能构建在不提供分隔特性的标准操作系统上。此外,甚至执行分隔的系统不总是支持服务虚拟,该虚拟是给每个操作者提供按照操作者的分隔的特定网络视图所需要的。
包括在通信中的两个主机之一的分隔的缺乏、在这两个主机上不同网络分隔技术的执行、以及配置有不一致的分隔定义的相同网络分隔技术的执行,都是不兼容的主要因素。因此,通过被管理网络的服务虚拟和分隔由于这种网络的异构性质变得难以实现,这导致交互操作性的问题。
这些局限性使允许不同网络分隔技术集成于网络中,同时提供在该网络的各种单元之间的交互操作性的网络规划成为必要。
【发明内容】
为了克服上述现有技术中的局限性,以及为了克服在阅读和理解本说明书时将会清楚的其他局限性,因此本发明实施了分隔和虚拟技术。
本发明提供了允许在网络内集成不同网络分隔技术,同时提供该网络内各种单元间的交互操作性的优点。
本发明使得能够在本身并不实现此概念的系统上进行服务虚拟。通过引入可加到每个网络单元的通用协调层而实现这一点,该每个网络单元不提供与网络管理系统所用的网络分隔模型兼容的网络分隔模型。协调层充当反向代理以为操作者提供对合适的管理服务的透明访问。
本发明通过分隔允许提供混合网络所需要的高安全级别:由异构的网络单元构成的、以及支持不同的网络分隔技术的网络需要足够的安全性。
【附图说明】
为了本发明能得到更加清楚的理解,现在将参照附图描述现有技术的设备和根据本发明的设备,其中:
图1示出表示现有技术系统的实例;
图2是描绘本公开的发明的功能的框图;以及
图3模仿图1那样来强调本公开的发明与现有技术的主要区别。
【具体实施方式】
给出下面的描述以使本领域技术人员能够利用本发明,并且下面的描述是在特定的应用和它的要求的背景下提供的。公开的实施例的各种修改对本领域技术人员来说是显而易见的,并且在不背离本发明的精神和范围的情况下这里定义的一般原理可以适用于其他实施例和应用。因此,本发明并旨在不限制于所示的实施例中,而是按照与这里公开的原理和特征相一致的最宽的范围。
如图1所示,现有系统要求同构的分隔技术。仅应用了两个分隔来说明该例子的目的,即分隔A101和分隔B102。网络100包括网络管理系统103,网络单元104和在两者间的通信信道105。为了有效地管理网络100,网络100通常被分隔,每个分隔包括与上面所述的相同的单元:分隔A101拥有其自己的分隔管理系统106,其自己的分隔单元107和其自己的通信信道108。分隔B102为同样的情况。
分隔A101的管理系统106只能管理该分隔的单元107。从分隔A101的管理系统106的管理连接穿过该分隔的信道108以管理同一分隔的单元107。对于从分隔A101的、管理分隔B102的单元110的管理连接,分隔A101的单元107和分隔B102的单元110之间的呼叫建立在一组执行兼容网络分隔机制的操作系统之上。
本申请的发明提供了基于标记转换网关(以下称为LCG)的对前述交互操作性的问题的解决方案。LCG解决兼容性问题,在用于异构网络单元的网络管理系统中,现在的网络管理系统无法通过提供足够的服务虚拟和分隔以提供交互操作性来充分地解决该兼容性问题。在该混合网络中提供高安全级别也是有帮助的。
所述LCG是通用的协调层,它可以加到每个不提供与网络管理系统所用的网络分隔模型兼容的网络分隔模型的网络单元。该LCG充当网络管理系统的反向代理以为操作者提供对适当的管理服务的透明访问。
如图2所示,在网络200中,LCG203集成到网络单元201中,且其将所有从网络管理系统202的引入的管理连接偏转到该网络单元201。在接收到管理连接后,LCG203将其映射到适当的管理服务206。随后该LCG203中继该管理连接到管理服务206,从而给操作者207提供到网络单元201的管理访问。
为了更充分地执行本发明,需要管理服务206仅通过LCG203访问。实现这一点的一种方式是将管理服务捆绑到一环回接口,该接口不能从远程系统直接访问。环回接口和它的替代被认为是本领域人员公知的内容。
网络本身就容易被网络协议和基础结构单元中的安全漏洞的开发所攻击。通过约束所有通过LCG203访问其管理服务206的引入的管理连接,本发明提供网络安全级别:在提供到管理服务206的访问前,该LCG203监视和授权(例如通过使用标记信息)所有管理连接。
在引入的连接和适当的管理服务206之间的映射由标记转换策略204(以下称为LCP)定义,它存储在网络单元201的数据库205上。根据下面的任一项映射引入的连接:IP源地址,IP目的地地址,使用的传输协议(TCP、UDP或两者),TCP或UDP目的地端口,或IP选项包含的标记信息。
匹配LCP204的项的连接根据LCP204由LCG203中继到适当的管理服务206。所述LCP204可规定引入连接中的下列信息的变化:IP目的地地址,TCP或UDP目的地端口,以及IP选项中包含的标记信息。不匹配标记转换策略的项的连接保持不变。
为了进一步说明本发明,图3与图1结合给出以描述现有技术和公开的本发明的主要区别。为了也反映出图1的说明,仅有两个分隔应用在此例中:分隔A301和分隔B302。
从分隔A301的管理系统303的管理连接穿过该分隔的到达LCG203的信道304,LCG203集成到网络单元201中。随后根据LCP204映射引入的管理连接,LCP204也存储在网络单元201中,所述管理连接可中继到任何管理服务206。
上面描述的方案可以在生产过程中置入网络单元中,或加到现有的本身不实现此概念的网络单元之中。