技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，具體而言，涉及一種簡單網(wǎng)絡(luò)管理協(xié)議的安全保護(hù)方法及裝置。

背景技術(shù)

現(xiàn)在網(wǎng)絡(luò)的發(fā)展已經(jīng)滲透到生活、生產(chǎn)的方方面面，基于網(wǎng)絡(luò)之間的互聯(lián)協(xié)議(Internet?Protocol，簡稱為IP)的設(shè)備也越來越多，因此如何便捷安全地管理這些網(wǎng)絡(luò)設(shè)備也是令人關(guān)注的一個問題。簡單網(wǎng)絡(luò)管理協(xié)議(Simple?Network?Management?Protocol，簡稱為SNMP)就是由互聯(lián)網(wǎng)工程任務(wù)組(The?Internet?Engineering?Task?Force，簡稱為IETF)定義的基于簡單網(wǎng)關(guān)監(jiān)控協(xié)議(Simple?Gateway?Monitor?Protocol，簡稱為SGMP)的一套網(wǎng)絡(luò)管理協(xié)議。而現(xiàn)實中SNMP也以它的簡單性和實用性成為了應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。SNMP的模型示意圖可以見參見圖1。

目前有SNMPv1，SNMPv2，SNMPv3三種版本。其中v1和v2都只是利用共同體字段來對管理者的合法性進(jìn)行簡單的匹配驗證，v3版本強(qiáng)化了安全方面的驗證，但是整個處理過程相比v1，v2復(fù)雜很多，背離了SNMP協(xié)議的簡單特性，由于這種新增的復(fù)雜性的驗證，SNMPv3在報文處理效率上也大大折扣，在實際中使用最為廣泛的還是SNMPv2。但這三個版本都存在以下缺點：缺少主動的自我保護(hù)，SNMPv1，SNMPv2驗證方式簡單，被暴力破解的可能較大，SNMPv3雖然在安全性方面大大加強(qiáng)，但和前兩者一樣，在處理密集非法報文攻擊時會代理站缺乏自我保護(hù)能力，其運行效率會大大降低。針對相關(guān)技術(shù)中的上述問題，目前尚無有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種簡單網(wǎng)絡(luò)管理協(xié)議的安全保護(hù)方法及裝置，以至少解決上述問題。

根據(jù)本發(fā)明的一個方面，提供了一種簡單網(wǎng)絡(luò)管理協(xié)議的安全保護(hù)方法，包括：代理站監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件；在監(jiān)控到發(fā)生預(yù)定的事件的情況下，代理站執(zhí)行鎖定操作。

代理站執(zhí)行鎖定操作之后，還包括：代理站將執(zhí)行鎖定操作后的鎖定狀態(tài)信息上報給管理站。

代理站監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件之前，包括：代理站接收來自于管理站的監(jiān)控條件信息；

代理站根據(jù)監(jiān)控條件信息監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件。

代理站監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件包括：代理站監(jiān)控管理站最近一次對代理站的操作時間距離當(dāng)前時間的時間間隔是否到達(dá)預(yù)設(shè)的鎖定時間閾值；

當(dāng)上述時間間隔到達(dá)所述鎖定時間閾值時，代理站執(zhí)行鎖定操作。上述代理站執(zhí)行鎖定操作，包括：代理站啟用新的共同體，以執(zhí)行鎖定操作。

代理站監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件包括：代理站監(jiān)控共同體驗證錯誤的次數(shù)是否到達(dá)預(yù)設(shè)的錯誤次數(shù)閾值；

當(dāng)共同體驗證錯誤的次數(shù)到達(dá)錯誤次數(shù)閾值時，代理站執(zhí)行鎖定操作。上述代理站執(zhí)行鎖定操作，包括：代理站鎖定共同體被驗證錯誤方的IP地址，不響應(yīng)共同體被驗證錯誤方對代理站的操作。

代理站監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件包括：代理站監(jiān)控接收到的非法報文的數(shù)量是否到達(dá)預(yù)設(shè)的非法報文閾值；

當(dāng)非法報文的數(shù)量到達(dá)非法報文閾值時，代理站執(zhí)行鎖定操作。上述代理站執(zhí)行鎖定操作，包括：代理站對要接收的報文執(zhí)行拒絕接收的操作。

根據(jù)本發(fā)明的另一方面，提供了一種簡單網(wǎng)絡(luò)管理協(xié)議的安全保護(hù)裝置，包括：監(jiān)控模塊，用于監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件；執(zhí)行模塊，用于在監(jiān)控到發(fā)生預(yù)定的事件的情況下，對代理站執(zhí)行鎖定操作。

上述裝置還包括：上報模塊，用于將執(zhí)行所述鎖定操作后的鎖定狀態(tài)信息上報給管理站。

上述裝置還包括：接收模塊，用于接收來自于管理站的監(jiān)控條件信息；

上述監(jiān)控模塊，用于根據(jù)所述監(jiān)控條件信息監(jiān)控當(dāng)前是否發(fā)生預(yù)定的事件。

通過本發(fā)明，采用對代理站的事件進(jìn)行監(jiān)控，當(dāng)監(jiān)控到預(yù)定的事件發(fā)生時，代理站執(zhí)行鎖定操作的技術(shù)手段，解決了相關(guān)技術(shù)中，由于代理站缺少主動的自我保護(hù)，SNMP安全性較差等問題，進(jìn)而達(dá)到了提高系統(tǒng)的安全性的效果，同時也提高了代理站的運行效率。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中：

圖1為根據(jù)相關(guān)技術(shù)的SNMP中管理站和代理站之間的交互過程示意圖；

圖2為根據(jù)本發(fā)明實施例的簡單網(wǎng)絡(luò)管理協(xié)議的安全保護(hù)方法流程圖；

圖3為根據(jù)本發(fā)明實例1的SNMP管理站和代理站之間的消息交互過程示意圖；

圖4為基于圖3的SNMP管理站和代理站交互流程具體示意圖；