网络管理系统中双加密通道协作的安全管理方法

摘要

本发明涉及网络管理系统中双加密通道协作的安全管理方法，把传输的数据分为两类，一类为控制信令数据，另一类为文件数据；在客户端与服务器之间建立两个加密通道，一个为加密信令传输通道，另一个为加密数据传输通道，两个加密通道采用不同的加密方式和传输模式；所述的控制信令数据由加密信令传输通道传输，所述的文件数据由加密数据传输通道传输；加密信令传输通道与加密数据传输通道相互独立、互不干扰，相互协作共同完成网络管理系统数据的传输。双加密通道采用不同的加密方法和传输模式有利于系统安全，独立的加密高效数据传输通道有利于提高数据传输效率，数据传输中不受外界干扰；双加密通道分离实现对设备的同时接入，更有效利用资源。

说明书

技术领域

本发明涉及网络管理系统中数据安全传输管理的方法，尤其涉及一种双加密通道协作的安全管理方法。

背景技术

随着Internet的高速发展，网络应用越来越广，然而由于Internet的开放性给Internet上服务的安全构成了严重的威胁。为了保证健康有序的发展，必须在网络安全上提供强有力的保证。

由于传统的网络传输口令和数据采用明文方式，黑客可以非常容易的截获这些口令和数据，并且传统的服务程序的验证方式也有其弱点，很容易受到中间人攻击，中间人冒充真正的服务器接收数据，并冒充程序把数据传给真正的服务器，传递的数据经过中间人转手之后，就会出现严重的问题。

加密通道技术就是通过将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源端和目的端的用户对通道中的嵌套信息能够进行解释和处理，而对于其他用户而言只是无意义的信息。网络安全传输通道要提供以下功能和特性：①保密性：通过对信息加密保证只有预期的接收者才能读出数据；②完整性：保护信息在传输过程中免遭未经授权的修改，从而保证接收到的信息与发送的信息完全相同；③对数据源的身份验证：通过保证每个计算机的真实身份来检查信息的来源以及完整性。④反重发攻击：通过保证每个数据包的唯一性来确保攻击者捕获的数据包不能重发或重用。

在因特网上普遍采用的是TCP/IP协议，TCP/IP协议体系结构包括：应用层、传输层、网络层及主机到网络层，而OSI体系结构包括：应用层、表示层、会话层、传输层、网络层、链路层及物理层，TCP/IP协议的体系结构相对于OSI/ISO体系结构的七层模型相比不仅简单而且实用。

加密通道安全传输技术，通常在链路层、网络层、传输层或应用层实现，在不同层采用不同的技术。常见的技术有基于IPSec规范、SSL协议、SSH等。

网络管理系统属于网络通信应用程序，需要在内网或Internet上进行数据传输，传输的数据可能涉及到企业内部的用户信息、商业机密，需要对传输的数据进行加密，并在传输过程中建立独立的加密通道，使得传输过程不受其他的干扰，保证数据信息的安全性，但传统的网络管理系统采用单通道进行数据传输，由于传输的数据格式各不相同，控制信令和文件数据在单一的传输方式传输，效率较低下，未能发挥最大的传输效率。

发明内容

本发明的目的是克服现有技术存在的不足，针对网络管理系统数据传输的特点，提供一种更高效更安全的双加密通道协作的安全管理方法。

本发明的目的通过以下技术方案来实现：

网络管理系统中双加密通道协作的安全管理方法，涉及加密算法和安全验证机制，其特征在于：将传输的数据分为两类，一类为控制信令数据，另一类为文件数据；在客户端与服务器之间建立两个加密通道，一个为加密信令传输通道，另一个为加密数据传输通道，加密信令传输通道和加密数据传输通道采用不同的加密方式和传输模式；所述的控制信令数据由加密信令传输通道传输，所述的文件数据由加密数据传输通道传输；加密信令传输通道与加密数据传输通道相互独立、互不干扰，相互协作共同完成网络管理系统数据的传输。

进一步地，上述的网络管理系统中双加密通道协作的安全管理方法，所述的控制信令数据是指控制命令、系统状态信息、系统验证信息、自定义协议数据；所述的文件数据是指各种以文件形式存在的数据或者以其它方式存储但在传输前以临时文件形式存储的数据。

更进一步地，上述的网络管理系统中双加密通道协作的安全管理方法，所述的加密算法采用对称式或非对称式算法；所述的安全验证机制采用基于口令的安全验证或基于密钥的安全验证机制。

更进一步地，上述的网络管理系统中双加密通道协作的安全管理方法，所述的加密信令传输通道在客户端启动时建立，通道由选择的加密算法进行加密；加密信令传输通道在客户端结束时关闭。

再进一步地，上述的网络管理系统中双加密通道协作的安全管理方法，所述的加密数据传输通道在客户端需要传输文件数据时建立，加密数据传输通道采用SSH进行加密，由选择的安全验证机制方式进行认证；加密数据传输通道在客户端传输文件数据结束时关闭。

再进一步地，上述的网络管理系统中双加密通道协作的安全管理方法，所述的加密信令传输通道和加密数据传输通道交替传输数据，相互协作共同完成整个数据传输。

本发明技术方案突出的实质性特点和显著的进步主要体现在：

本发明网络管理系统中双加密通道协作的安全管理方法，采用双加密通道根据数据类型特点将数据进行分类，使用加密信令传输通道和加密数据传输通道分别传输，独立的加密高效数据传输通道可大大提高数据传输效率，在数据传输中不受外界的干扰；同时双加密通道采用不同的加密模式和加密方法，更有利于系统的安全。双加密通道为两个独立的通道，可以将两个通道应用到不同的模块中，由控制模块进行双通道的协调，从而实现对多客户端的同时接入传输，更有效的利用系统资源，具有极好的实际应用意义和价值。

附图说明

下面结合附图对本发明技术方案作进一步说明：

图1：网络管理系统双加密通道的架构示意图；

图2：OfficeTen网络管理系统总体架构示意图；

图3：OfficeTen网络管理系统内部各模块架构示意图。

图中各附图标记的含义见下表：

    附图    标记    含义    附图    标记    含义    附图    标记    含义    1    服务器    2    客户端    3    加密信令传输    通道    31    高级别管理系统与    低级别管理系统的    加密信令传输通道    32    低级别管理系统与    OfficeTen客户端设    备的加密信令传输    通道    4    加密数据传输    通道    41    OfficeTen客户端设    备与低级别管理系    统的加密数据传输    通道    42     OfficeTen客户端设    备与高级别管理系    统的加密数据传输    通道    5    高级别管理系    统    51    高级别管理系统的    加密信令传输通道    连接管理器    52    高级别管理系统的    加密数据传输通道    连接管理器    6    低级别管理系    统    61    低级别管理系统的    加密信令传输通道    连接管理器    62    低级别管理系统的    加密数据传输通道    连接管理器    7     OfficeTen客户    端设备    71     OfficeTen通道管理    模块

具体实施方式

一种网络管理系统中双加密通道协作的安全管理方法，采用加密通道技术，将传输数据分为两类，并根据不同的数据类型建立两类不同的加密通道，对数据采用不同的加密方式和传输方式，同时两个通道相互协作，完成整个数据传输的要求。数据被分为控制信令数据和文件数据两类，建立加密信令传输通道用于传输控制信令数据，建立加密数据传输通道用于传输文件数据，两个通道的具体执行流程由控制模块负责，从而实现双加密通道互相协作安全地传输数据。

网络管理系统双加密通道的架构如图1所示，在客户端2与服务器1之间建立两个加密通道，其中一个为加密信令传输通道3，另一个为加密数据传输通道4，加密信令传输通道3和加密数据传输通道4采用不同的加密方式和传输模式。把传输的数据分为两类：一类为控制信令数据，是指控制命令、系统状态信息、系统验证信息、自定义协议数据；另一类为文件数据，是指各种以文件形式存在的数据或者以其它方式存储但在传输前以临时文件形式存储的数据；两类数据采用独立的加密通道进行传输，控制信令数据由加密信令传输通道3传输，文件数据由加密数据传输通道4传输；加密信令传输通道3与加密数据传输通道4相互独立、互不干扰，相互协作共同完成网络管理系统数据的传输。涉及加密算法和安全验证机制，加密算法采用对称式或非对称式算法；安全验证机制采用基于口令的安全验证或基于密钥的安全验证机制。其中，加密信令传输通道3在客户端启动时建立，通道由选择的加密算法进行加密；加密信令传输通道在客户端结束时关闭。加密数据传输通道3在客户端2需要传输文件数据时建立，加密数据传输通道3采用SSH进行加密，由选择的安全验证机制方式进行认证；加密数据传输通道3在客户端2传输文件数据结束时关闭。加密信令传输通道3和加密数据传输通道4由其它模块控制，交替传输数据，相互协作共同完成整个数据传输的要求。

双加密通道协作的实现方式，在客户端2启动时，首先与服务器1建立连接，进行登录注册，此时先建立第一个加密通道，即加密信令传输通道3，加密算法采用常见的对称式或非对称式算法加密，负责控制命令、设备状态、系统验证等信息的传送，除了文件数据以外的数据都归纳为这一类数据，通过加密信令传输通道3进行传输，当系统中需要传输文件时则建立第二个加密通道，即加密数据传输通道4，该通道采用SSH对数据进行加密保护，并利用SSH提供的安全验证机制实现认证，简单的验证方式是采用口令验证方式，客户端2使用帐户和口令与服务器1建立连接；另一种更安全的验证机制是采用基于密钥的安全验证，客户端生成密钥对，并将公用密钥上传给服务器1，从而与服务器1建立连接通道，实现文件数据的安全传输。双加密通道采用不同的加密方法和传输模式更有利于系统的安全；独立的加密高效数据传输通道有利于系统提高数据传输效率，并在数据传输中不受外界的干扰；双加密通道分离，可以将两个通道应用于不同的模块，从而实现对设备的同时接入，更有效利用资源。

基于本发明方法开发的OfficeTen(OfficeTen是业界首款融合了以语音、数据、安全、应用的企业融合通信系统)设备管理系统，如图2，本管理系统可进行多级管理，高级别管理系统5通过低级别管理系统6对OfficeTen客户端设备7进行管理，在高级别管理系统5与低级别管理系统6之间建立加密信令传输通道31，用于传输控制信令给低级别管理系统6，低级别管理系统6与OfficeTen客户端设备7也建立一个加密信令传输通道32，用于将高级别管理系统5发送的信令转发给OfficeTen客户端设备7，同时，低级别管理系统6接收OfficeTen客户端设备7返回的信令，并通过与高级别管理系统间的加密信令传输通道31向高级别管理系统5传回OfficeTen客户端设备7的返回信令；另外低级别管理系统6也可以直接对OfficeTen客户端设备7进行管理，直接通过加密信令传输通道32向OfficeTen客户端设备7发送控制信令，并接收OfficeTen设备7的返回信令；高级别管理系统与低级别管理系统的加密信令传输通道31和低级别管理系统与OfficeTen客户端设备的加密信令传输通道32采用3DES加密算法进行传输数据的加密，高质量的保证数据的安全性。管理系统在传输控制信令过程中，需要传输文件数据，由OfficeTen客户端设备7与高级别管理系统5建立加密数据传输通道41或与低级别管理系统6建立加密数据传输通道42，使用加密数据传输通道进行文件数据的传输。

如图3所示的OfficeTen设备管理系统，OfficeTen通道管理模块7 1与低级别管理系统6中加密信令传输通道连接管理器61建立加密信令传输通道32，用于传输控制信令数据；同时OfficeTen通道管理模块71与低级别管理系统6中加密数据传输通道连接管理器62建立加密数据传输通道42，用于传输文件数据；两个通道之间协作由OfficeTen通道管理模块71负责，当需要传输信令数据时则通过加密信令传输通道32发送，当需要传输文件数据时则通过加密数据传输通道42传输。在与高级别管理系统5通信时，低级别管理系统的加密信令传输通道连接管理器61将与高级别管理系统的加密信令传输通道连接管理器51建立加密信令传输通道31，低级别管理系统的加密信令传输通道连接管理器61转发OfficeTen通道管理模块71发送出的控制信令数据给高级别管理系统的加密信令传输通道连接管理器51，或转发高级别管理系统的加密信令传输通道连接管理器51发送出的控制信令数据给OfficeTen通道管理模块71，从而达到OfficeTen通道管理模块71与高级管理系统5中加密信令传输通道连接管理器51控制信令数据的接收和发送。OfficeTen通道管理模块71与高级别管理系统的加密数据传输通道连接管理器52直接建立加密数据传输通道41，传输文件数据。从而实现管理系统中双加密通道相互协作的数据传输管理。

综上所述，双加密通道协作的安全管理方法，采用双加密通道根据数据类型特点将数据进行分类，使用加密信令传输通道和加密数据传输通道分别传输，独立的加密高效数据传输通道可大大提高数据传输效率，在数据传输中不受外界的干扰；同时双加密通道采用不同的加密方法和传输模式，更有利于系统的安全。双加密通道为两个独立的通道，可以将两个通道应用到不同的模块中，由控制模块进行双通道的协调，从而实现对多客户端的同时接入传输，更有效的利用系统资源，经济效益和社会效应显著。

以上仅是本发明的具体应用范例，对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案，均落在本发明权利保护范围之内。