[发明专利]用于联网设备的安全远程管理的通过安全壳的串行端口转发

说明书

相关申请

本申请是2010年8月26日提交美国申请号12/869,508号的继续申请，其要求对2009年8月28日提交的美国临时申请号61/237,765的优先权。通过引用将上述申请的全部教导合并于此。

技术领域

本公开一般地涉及管理包括本地和远程设备两者的通信网络，并且更具体地涉及使用集中控制位置或者设施的远程和本地系统和方法两者对这些网络的各种设备和连接的非集中安全管理。

背景技术

常规地从中央管理位置管理实施通信网络（诸如企业级网络）的资源。中央管理位置可以例如是企业（诸如具有多个地理上远离的分公司（branch office）的公司）的总公司（main office）。各种软件和硬件已经在中央位置运用于监管和支持这些网络的操作。为了实现这一点，各种数据库和网络信息、控制以及其他设施由网络监管者人员操作和访问。这些中央管理系统和设施执行广泛多种企业级功能（例如包括设备和网络配置、数据保持（retention）和存储、数据库操作、控制、使能、授权和准许）以及否则将网络作为整体对待。

尽管通常已经集中监管和管理这些企业级网络功能，但是用于这些网络的各种远程设备和本地网络连接无论它们位于何处它们本身也都必须被监管、管理和否则支持。这些本地网络连接和设备例如包括在每个分公司的以太网局域网（LAN）。用于这些本地网络连接和设备的监管、管理和相似支持经常需要每个单独分支位置或者网络段本地的专用设施、系统和人员。

这些集中机制依赖于使用可操作网络来管理如下设备，这些设备潜在负责该网络的一部分的存在。但是使用协议（诸如简单网络管理协议（SNMP））的自动化“带内（in-band）”管理技术要求网络本身起作用。如果网络的部件失效，则自动化管理基础设施没有用于提供与远程设备连接的机制、更不用说管理这样的设备。针对这些不足的减轻已经包括：使用与远程网络和设备并置的人力资源；使用复制和附加的网络通信路径以在失效情况下提供替代路径；使用远程控制台服务器功能，这些功能使本地设备控制台和命令行接口可用于在与远程位置分离的位置处的人力资源。也可能需要对在每个远程场所的设备和网络连接的附加监管、管理和支持。通信基础设施、人员和设施可能由于常规企业系统的远程支持要求而昂贵、人力密集和加倍。

发明内容

因此将在领域和技术（art and technology）中有新的和重大改进以提供用于通信网络的非集中监管和管理的系统和方法，这些系统和方法消除对常规企业网络中的集中监管和管理中固有的某些人员、装备和操作限制的需要。该方式应当允许以尽可能安全和无缝的方式远程控制、解决、管理和监管远程和相异网元（诸如分公司LAN、WAN和设备）的方面。

在一个实施例中，本发明是一种用于安全和管理远程局域网的一个或者多个通信连接的设备的系统。该系统包括管理设备，该管理设备连接到控制台连接（串行端口）并且可选地连接到一个或者多个受管理网络设备的以太网接口。管理设备位于与受管理网络设备相同的场所中。源自远程位置的数据仅以特定方式通过安全连接转发到中央监管工作站以保证在分支位置的信息安全性。

在一个方面中，管理设备可以实施向监管工作站上的虚拟串行端口的通过安全连接的串行端口转发。这允许远程监管用户即使仅有与遥远网络设备的远程连接仍然以如同监管工作站直接并且物理连接到受管理设备那样的确切相同的方式安全地操作元件管理软件。

更具体而言，在本发明的第一方面中，安全远程管理器（SRM）装置实施对可以源自集中定位的监管用户的请求的本地处理。通常位于用于企业的网络操作中心（NOC）上的这些监管用户经由安全壳（SSH）连接来访问SRM装置。在一个优选实施例中在因特网协议（TCP/IP）网络连接上通过传输控制协议携带（carry over）SSH连接。网络管理装置也可以通过SSH连接经由图形用户接口（GUI）（诸如XWindows）向监管用户工作站转发来自远程位置的数据。

在该实施的一个优选实施例中，从SRM装置到监管工作站的网络连接是通过专用物理层连接来产生的并且并非共享网络连接。以这一方式可以提供最大安全性。

即使有这些通信架构限制，SRM装置仍然可以继续完全在安全企业环境内管理准许（诸如用户认证和登录）。因而，对于NOC处的元件无需实施AAA（认证、授权和记账）或者相似功能。例如，SRM装置可访问的Radius/TACACS服务器可以完全在远程位置的安全环境内操纵监管用户登录和准许控制。