專利名稱:一種安全地部署網(wǎng)絡設備的方法
技術領域:
本發(fā)明一般地涉及網(wǎng)絡互聯(lián)��,更具體地�,本發(fā)明涉及一種安全地部 署網(wǎng)絡設備的方法。
背景技術:
在本節(jié)中描述的方法可實現(xiàn)的方法���,但并不一定是此前構思出的或 者實現(xiàn)過的方法���。因此,除非另有說明�,在本節(jié)中描述的方法對于本申請 中的權利要求而言可能并不是現(xiàn)有技術,而且�����,并不因為包含在本節(jié)中而 承認是現(xiàn)有技術����。
部署網(wǎng)絡設備的一個問題是,盡管在物理上安裝網(wǎng)絡設備是相當直 接的����,可是,所安裝的網(wǎng)絡設備必須經(jīng)過配置�,而這可能是困難的,而且 要求相當高程度的用戶知識和參與。例如���,配置帶諸如虛擬專用網(wǎng)
(VPN)之類的安全網(wǎng)絡連接的路由器,這對缺乏此類任務經(jīng)驗的最終用 戶而言���,要進行排錯可能是相當乏味和困難的�。在公司環(huán)境下����,對部署專 業(yè)人員而言,在將網(wǎng)絡設備安裝到其目的地前對其進行手動配置是常見 的�����。盡管這減少了最終用戶的負擔���,但是并沒有解決所有問題�。在一些情 形中����,需要盡可能快速并且低成本地布署大量的網(wǎng)絡設備。因為手動配置 大量網(wǎng)絡設備所需要的人力資源��,所以使用傳統(tǒng)方法進行配置是相當困難 的。在手動配置過程中會產(chǎn)生錯誤�,而這需要重新配置某些網(wǎng)絡設備。此 外�,驅(qū)策網(wǎng)絡設備配置的公司政策往往不是靜態(tài)的,而且可能會難于期望 地變化���。因此�����,公司政策最后一分鐘的變化同樣要求對已經(jīng)按照先前公司 政策配置的網(wǎng)絡設備進行重新配置��,這增加了成本�,而且導致部署延遲����。 基于上述說明,需要一種部署網(wǎng)絡設備的方法�,其不會受到此前方 法的限制。
在以下附圖中���,同樣的附圖標號指代類似元素�。
圖1是顯示根據(jù)本發(fā)明實施例而安全部署網(wǎng)絡設備的設置的方框圖��。
圖2是顯示根據(jù)本發(fā)明實施例而安全部署路由器的方法的方框圖。
圖3是可以在其上實現(xiàn)本發(fā)明的實施例的計算機系統(tǒng)的方框圖��。
具體實施例方式
在以下說明中��,出于說明解釋的目的描述了各個特定細節(jié)��,以便提 供對本發(fā)明的完整理解�����。然而�,對本領域技術人員而言明顯的是�����,沒有這 些特定細節(jié)也可以實現(xiàn)本發(fā)明����。在其他情況下,以框圖形式示出了公知的 結構和設備�,以免不必要地模糊了本發(fā)明。下面按照以下各節(jié)對本發(fā)明的
各個方面進行描述
I. 概述
II. 體系結構
III. 安全部署
IV. 更新網(wǎng)絡設備配置
V. 實現(xiàn)機制
I. 概述
本發(fā)明提供了用于安全地部署和配置網(wǎng)絡設備的方法���。在被部署的 網(wǎng)絡設備與注冊機之間建立安全引入連接��。所述安全引入連接遵循安全通
信協(xié)議�,例如HTTPS。所述注冊機通過所述安全引入連接�,為所述網(wǎng)絡設 備提供引導配置數(shù)據(jù)。所述引導配置數(shù)據(jù)用于在所述網(wǎng)絡設備與安全管理 網(wǎng)關之間建立安全管理連接��。所述安全管理連接可以遵循安全通信協(xié)議�����, 例如IPsec或HTTPS��。所述安全管理網(wǎng)關通過所述安全管理連接�,為所述 網(wǎng)絡設備提供用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)。所述用戶特定的配置 數(shù)據(jù)和安全策略數(shù)據(jù)用于在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間建立安全數(shù) 據(jù)連接����。所述安全數(shù)據(jù)連接可以是動態(tài)多點虛擬專用網(wǎng)(DMVPN)連
8接,其允許在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間安全地交換諸如語音數(shù)據(jù) 之類的數(shù)據(jù)�����。所述方法為諸如路由器之類的網(wǎng)絡設備提供安全部署���,用戶 不必了解如何配置所述網(wǎng)絡設備的任何細節(jié)���。此外��,安全管理連接的使用 允許以受控和安全的方式執(zhí)行安全性策略�����。
II. 體系結構
圖1是顯示根據(jù)本發(fā)明實施例而安全部署網(wǎng)絡設備的設置100的方
框圖��。設置100包括路由器102�����、安全數(shù)據(jù)網(wǎng)關104、安全管理網(wǎng)關106 以及注冊機108����。路由器102通過通信鏈路110、 112�、 114分別通信耦合 到安全數(shù)據(jù)網(wǎng)關104、安全管理網(wǎng)關106以及注冊機108�。通信鏈路110、 112�����、 114可以通過任何機制或介質(zhì)來實現(xiàn),其提供路由器102與安全數(shù)據(jù) 網(wǎng)關104��、安全管理網(wǎng)關106及注冊機108之間的數(shù)據(jù)交換�。具體實例包 括但不限于各類網(wǎng)絡,諸如局域網(wǎng)(LAN)��、廣域網(wǎng)(WAN)�����、以太網(wǎng) 或互聯(lián)網(wǎng)�����,或者一個或多個陸地����、衛(wèi)星或無線鏈路?��;谔囟☉?,在圖 1中各元素之間可以提供其他通信鏈路和方法��。出于解釋的目的�����,此后, 對本發(fā)明的實施例的描述在部署單個路由器102的上下文中進行�。但是, 本方法并不限于該上下文���,而是可以部署任意類型和數(shù)量的網(wǎng)絡設備���。 路由器102配置有通用Web瀏覽器116和網(wǎng)絡服務(NS)代理 118,諸如Cisco NS代理(CNS)�����。安全數(shù)據(jù)網(wǎng)關104可以實現(xiàn)為公司路 由器��,其提供對諸如語音通信服務之類的各類數(shù)據(jù)服務的訪問���。安全管理 網(wǎng)關106可以由任何機制或處理實現(xiàn),例如管理路由器�,其控制對服務 120和安全性策略122的訪問。服務120包括諸如Cisco NS (CNS)之類 的NS引擎�,諸如Cisco IP解決方案中心(ISC)引擎之類的配置和策略引 擎,管理(MGMT)服務器���,認證��、授權和計費(AAA)服務���,諸如 Cisco IOS之類的網(wǎng)際互聯(lián)操作系統(tǒng)(IOS)����,以及諸如服務質(zhì)量(QOS) 之類的IP服務��,網(wǎng)絡時間協(xié)議(NTP)服務和網(wǎng)絡地址轉換(NAT)服 務���。安全性策略122包括DMVPN�����,安全層�����,公鑰基礎設施(PKI)��,防 火墻�,以及諸如802.x之類的通信協(xié)議。圖1所示的特定服務120和安全 性策略122只作為示例����。本發(fā)明并不限于這些特定的服務和安全性策略,
9而是基于特定的應用可以采用其他服務和安全性策略�。注冊機108是這樣
的機制或處理,其配置為建立與路由器102的安全引入連接���,并為路由器 102提供引導配置��,以便允許路由器102與安全管理網(wǎng)關106����、安全數(shù)據(jù) 網(wǎng)關104這兩者之間的通信�。此外,注冊機具有對服務120和安全性策略 122訪問����。以下對圖l所示各元件的操作作詳細描述�。
III. 安全部署
參照圖2,在部署路由器102的上下文下���,對安全部署網(wǎng)絡設備的方 法進行說明����。假設在所述處理開始前,路由器102已經(jīng)定購而且正確地安 裝���。在步驟202��,路由器102配置有互聯(lián)網(wǎng)服務供應商(ISP)連接�。
在步驟204����,在路由器102與注冊機108之間建立安全引入連接?;?于特定實現(xiàn)方式的需求,可以采用多種技術以便在路由器102與注冊機 108之間建立所述安全引入連接����。例如,可以使用利用所謂"帶外(out of band)"方法的方法�,來交換關鍵資料。也可以使用幾乎不要求用戶互動 的方法�����。使用受信中介的方法在于2003年4月10日提交的共同未決美國 專利申請No. 10/411,964 (代理巻號No.50325-0746)有具體說明����,i亥申i青 標題為 "Method And Apparatus For Securely Exchanging Cryptographic Identities Through A Mutually Trusted Intermediary (通過互信中介安全地交 換密碼實體的方法和裝置)"����,其完整內(nèi)容在此以參考的方式引入本申 請��。
根據(jù)本發(fā)明一個實施例�����,用戶將注冊機108的ULR輸入Web瀏覽 器116�����, Web瀏覽器116發(fā)出簡單證書注冊協(xié)議(SCEP)請求到注冊機 108�����。注冊機108以用戶認證請求作為答復��。根據(jù)本發(fā)明一個實施例����,注 冊機108提供Web頁面給路由器102,其要求用戶輸入用戶名及密碼��。用 戶輸入用戶名及密碼����,其通過Web瀏覽器116被發(fā)送到注冊機108。
在步驟206�,路由器102的用戶得到認證,路由器102被注冊機108 授權����。例如,注冊機108可以訪問AAA服務120以便基于由用戶提供的 用戶名和密碼對用戶進行認證����。
在步驟208,創(chuàng)建引導配置數(shù)據(jù)���,并提供給路由器102���。根據(jù)本發(fā)明一個實施例,注冊機108發(fā)出公共網(wǎng)關接口 (CGI)請求到在服務120內(nèi) 的管理服務器上執(zhí)行的Java小服務程序����。所述Java小服務程序基于所述 CGI請求,生成對路由器102特定的所述引導配置數(shù)據(jù)�����,并且實例化包含 在所述引導配置數(shù)據(jù)中的一個或多個變量。例如�����,所述Java小服務程序可 以按照公司政策慣例�,實例化路由器102的主機名,以及路由器102的子 網(wǎng)及管理IP地址�����。所述Java小服務程序為注冊機108提供所述引導配置 數(shù)據(jù)���。注冊機108也可以實例化包含在所述引導配置數(shù)據(jù)中的一個或多個 變量�����。例如���,注冊機108可以實例化密鑰(key)的大小、信任點 (trustpoint)標簽以及加密Web用戶接口 (WUI)引擎標簽����。注冊機108 然后通過所述安全引入連接���,為路所述由器102提供引導配置數(shù)據(jù)��。
在步驟210��,基于所述引導配置數(shù)據(jù)���,在路由器102與安全管理網(wǎng)關 106之間建立安全管理連接��。所述安全管理連接可以遵循安全通信協(xié)議����, 例如IPsec或HTTPS��。以太網(wǎng)加密模式�����,傳輸或隧道(tunneling)����,可以 與IPsec —同使用。所述安全管理連接提供了傳統(tǒng)上路由器102與注冊機 108之間的所述安全引入連接不支持的功能�。例如�,所述安全管理連接允 許以受控和安全的方式將安全性策略122推入路由器102����。根據(jù)本發(fā)明一 個實施例,在路由器102上激活NS代理118�����,其引起"連接"事件以便 指明所述安全管理連接112已被建立��。所述"連接"事件被服務120內(nèi)的 所述NS引擎服務處理�。
在步驟212,創(chuàng)建用戶特定的配置數(shù)據(jù)���,并通過所述安全管理連接��, 將其與安全性策略由安全管理網(wǎng)關106提供到路由器102�����。所述用戶特定 配置數(shù)據(jù)和安全策略包括路由器102用于創(chuàng)建到所述安全數(shù)據(jù)網(wǎng)關104的 所述安全數(shù)據(jù)連接所需要的數(shù)據(jù)�����。例如�,這可以包括關于隧道、封裝�����、安 全層����、PKI���、防火墻或諸如802.X之類的通信協(xié)議的信息�����。
在步驟214�,基于所述用戶特定的配置數(shù)據(jù)和安全策略�����,在路由器 102與安全數(shù)據(jù)網(wǎng)關104之間建立安全數(shù)據(jù)連接����。所述安全數(shù)據(jù)連接允許 在路由器102與安全數(shù)據(jù)網(wǎng)關104之間安全地交換數(shù)據(jù)。根據(jù)本發(fā)明一個 實施例��,所述安全數(shù)據(jù)連接是DMVPN連接。在這種情況下�����,通過所述安 全管理連接提供到路由器102的所述用戶特定的配置數(shù)據(jù)和安全策略包括允許路由器102建立到安全數(shù)據(jù)網(wǎng)關104的DMVPN連接的信息���。在所述 安全數(shù)據(jù)連接是DMVPN連接的上下文中��,安全管理網(wǎng)關106是管理集線 器�,安全數(shù)據(jù)網(wǎng)關104是數(shù)據(jù)集線器�����。
IV. 更新網(wǎng)絡設備配置 這里所述安全部署網(wǎng)絡設備的方法也允許所部署的網(wǎng)絡設備的配置
能隨時間被動態(tài)地更新��。分離的安全管理連接及安全數(shù)據(jù)連接的使用允許 使用所述安全管理連接的對網(wǎng)絡設備的配置進行變動����、而不會妨礙所述安 全數(shù)據(jù)連接。例如�����,假設路由器102已經(jīng)按照這里所述被部署。進一步假 設對一個或多個安全性策略122進行變動以便改變當前加密����。所述ISC引 擎服務可以通過所述安全管理連接將所更新的策略推入路由器102,而不 會妨礙所述安全數(shù)據(jù)連接��。如果在所述ISC引擎服務試圖將所更新的策略 推入路由器102的時候路由器102并不可用���,則所述ISC引擎服務可以在 另一時間將所更新的策略推入路由器102�����,例如通過重新調(diào)度。
分離的安全管理連接及安全數(shù)據(jù)連接的使用���,還允許多個網(wǎng)絡設備 的集中管理�。例如���,安全管理網(wǎng)關106可以是具有到多個網(wǎng)絡設備的安全 管理連接的集中管理中心��。在這個例子中�����,所述集中管理中心可以遠程地 管理位于用戶附件的任意數(shù)目的網(wǎng)絡設備��。所述安全管理連接也可以提供 分離及安全的方式��,來以對客戶最少的干擾����,進入客戶設施 (premises)。
可以基于多個因素�����,確定何時更新網(wǎng)絡設備的配置�����。例如�����,所述NS 引擎服務可以調(diào)度路由器102的配置更新��。也可以作為對NS代理118在 路由器102引發(fā)的某事件的響應�,執(zhí)行所述更新。例如����,NS代理118可以 觸發(fā)由所述NS引擎服務處理的更新請求事件���。
V. 實現(xiàn)機制
這里所述的用于安全部署網(wǎng)絡設備的方法提供了以下優(yōu)點用戶不 必了解諸如特定配置參數(shù)或政策之類的配置網(wǎng)絡設備的任何細節(jié)。此外��, 用戶不必安排網(wǎng)絡設備的配置����,因為所述方法允許由服務120自動地執(zhí)行
12該任務。分離的安全管理連接及安全數(shù)據(jù)連接的使用在對所述安全數(shù)據(jù)連 接最小干擾的情況下管理任意數(shù)目的網(wǎng)絡設備方面提供了極大的靈活性��。
可以以任何類型計算平臺上的硬件��、計算機軟件����、或硬件和計算機 軟件的任何結合來實現(xiàn)這里所述的方法����。圖3是顯示可以在其上實現(xiàn)本發(fā)
明的實施例的示例計算機系統(tǒng)300的方框圖。計算機系統(tǒng)300包括總線 302或用于傳輸信息的其他通信機制���,以及與所述總線302耦合�����、用于處 理信息的處理器304��。計算機系統(tǒng)300還包括諸如隨機訪問存儲器
(RAM)或其他動態(tài)存儲設備之類的主存儲器306����,其耦合到總線302、 用于保存信息和要由處理器304執(zhí)行的指令�。主存儲器306還可以用于在 對要由處理器304執(zhí)行的指令的執(zhí)行期間,保存臨時變量或其他中間信 息��。計算機系統(tǒng)300還包括只讀存儲器(ROM) 308或者其他靜態(tài)存儲設 備�,用于存儲用于處理器304的靜態(tài)信息和指令。提供諸如磁盤或光盤之 類的存儲設備310��,耦合到總線302����,用于保存信息和指令。
計算機系統(tǒng)300可以經(jīng)由總線302被耦合到諸如陰極射線管
(CRT)之類的顯示器312�����,用于將信息顯示給計算機用戶����。包含字母數(shù) 字和其他鍵的輸入設備314被耦合到總線302����,用于將信息和命令選擇傳 輸?shù)教幚砥?04���。另一類型的用戶輸入設備是光標控制設備316�����,諸如鼠 標���、軌跡球、或光標方向鍵����,其用于將方向信息和命令選擇傳輸?shù)教幚砥?304,以及控制顯示器312上的光標移動��。這類輸入設備通常具有兩個軸
(第一軸(例如����,x)和第二軸(例如�����,y))上的兩個自由度,其允許該 設備確定平面內(nèi)的位置���。
本發(fā)明涉及對用于實現(xiàn)這里所述技術的計算機系統(tǒng)300的使用��。根 據(jù)本發(fā)明一個實施例�����,這些技術由計算機系統(tǒng)300響應于處理器304執(zhí)行 包含在主存儲器306內(nèi)的一條或多條指令的一個或多個序列而執(zhí)行��。這些 指令可以由諸如存儲設備310之類的其他機器可讀介質(zhì)讀入主存儲器 306��。對包含在主存儲器306內(nèi)的指令的序列的執(zhí)行使得處理器304執(zhí)行 這里所述的處理步驟�。在可選實施例中��,硬連線電路可以用于代替軟件指 令或者與軟件指令組合使用�����,以便實現(xiàn)本發(fā)明��。因此����,本發(fā)明的各實施例 并不限于硬件電路和軟件的任何特定組合���。
13這里所使用的術語"機器可讀介質(zhì)"指任何下述介質(zhì),所述介質(zhì)參 與提供導致機器以特定方式執(zhí)行操作的數(shù)據(jù)�����。例如����,在使用計算機系統(tǒng)
300實現(xiàn)的實施例中,各類機器可讀介質(zhì)參與例如提供指令到處理器304
用于執(zhí)行����。這樣的介質(zhì)可以采取任何形式,包括但不限于非易失性介質(zhì)�����、 易失性介質(zhì)以及傳輸介質(zhì)���。非易失性介質(zhì)包括例如光盤或磁盤���,諸如存儲
設備310。易失性介質(zhì)包括動態(tài)存儲器�,諸如主存儲器306。傳輸介質(zhì)包 括同軸電纜��、銅線以及光纖�����,包括組成總線302的線路�。傳輸介質(zhì)還可以 采用聲波或光波的形式,諸如在無線電波和紅外數(shù)據(jù)通信中產(chǎn)生的各類 波�。
機器可讀介質(zhì)的常見形式包括例如軟盤、柔性盤�、硬盤、磁帶�����、或 其他磁介質(zhì)���,CD-ROM���、任何其他光介質(zhì),穿孔卡���、紙帶��、任何其他帶孔 狀圖案的物理介質(zhì)���,RAM��、 PROM����、 EPROM�、 FLASH-EPROM、任何其
他存儲器芯片或者卡帶�����,以下描述的載波�����,�、或計算機可讀的任何其他介 質(zhì)。
機器可讀介質(zhì)的各種形式可以參與將一條或多條指令的一個或多個 序列傳輸?shù)教幚砥?04用于執(zhí)行��。例如,這些這里可以最先載于遠端計算 機的磁盤����。所述遠端計算機可以將這些這里加載到自己的動態(tài)存儲器,并 使用調(diào)制解調(diào)器通過電話線發(fā)送這些指令���。計算機系統(tǒng)300本地的調(diào)制解 調(diào)器可以接收電話線上的數(shù)據(jù),并使用紅外發(fā)射機將該數(shù)據(jù)轉為紅外信 號�。紅外探測器可以接收在所述紅外信號里承載的數(shù)據(jù),并且合適的電路 可以將該數(shù)據(jù)置于總線302上�����?���?偩€302將所述數(shù)據(jù)傳輸?shù)街鞔鎯ζ?306,處理器304從主存儲器306獲取并執(zhí)行這些指令���。主存儲器306接收 的這些指令可以可選地在處理器304執(zhí)行之前或之后被保存在存儲設備 310����。
計算機系統(tǒng)300還包括耦合到總線302的通信接口 318��。通信接口 318提供耦合到網(wǎng)絡連接320的雙向數(shù)據(jù)通信,網(wǎng)絡連接320連接到本地 網(wǎng)322�����。例如��,通信接口 318可以是綜合業(yè)務數(shù)字網(wǎng)(ISDN)卡或調(diào)制解 調(diào)器�,以便提供到相應類型電話線的數(shù)據(jù)通信連接。作為另一例子�,通信 接口 318可以是局域網(wǎng)(LAN)卡,以便提供到兼容的LAN的數(shù)據(jù)通信
14連接����。也可以實現(xiàn)無線鏈路。在任何這樣的實現(xiàn)方式中����,通信接口 318發(fā) 送并接收電子、電磁或光信號�����,這些信號其承載代表各類信息的數(shù)字數(shù)據(jù) 流����。
網(wǎng)絡連接320通常提供通過一個或多個網(wǎng)絡到其他數(shù)據(jù)設備的數(shù)據(jù) 通信����。例如�,網(wǎng)絡連接320可以提供通過本地網(wǎng)322到主機324或到由互 聯(lián)網(wǎng)服務提供商(ISP) 326運營的數(shù)據(jù)設備的連接。ISP 326隨之通過現(xiàn) 在稱為"互聯(lián)網(wǎng)"的全球分組數(shù)據(jù)通信網(wǎng)絡提供數(shù)據(jù)通信服務���。本地網(wǎng) 322和互聯(lián)網(wǎng)328都使用承載數(shù)字數(shù)據(jù)流的電�、電磁或光信號���。這些通過 各類網(wǎng)絡的信號,以及在網(wǎng)絡連接320上���、通過通信接口 318的信號都承 載去往和來自計算機系統(tǒng)300的數(shù)字數(shù)據(jù)���,這些信號都是傳輸信息的各類 載波的示例。
計算機系統(tǒng)300可以通過(一個或多個)網(wǎng)絡��、網(wǎng)絡連接320和通 信接口 318發(fā)送消息并接收數(shù)據(jù)�����,所述數(shù)據(jù)包括程序代碼��。在互聯(lián)網(wǎng)的例 子中,服務器330可以通過互聯(lián)網(wǎng)328�、 ISP 326、本地網(wǎng)322和通信接口 318發(fā)送所請求的應用程序代碼�。所接收的代碼可以在被處理器304接收 時執(zhí)行,和/或保存在存儲設備310或其他非易失性存儲中��,用于以后執(zhí) 行���。通過這種方式����,計算機系統(tǒng)300可以以載波的形式獲得應用程序代 碼��。
在前述說明書中�,參考隨實現(xiàn)方式而變的大量特定細節(jié),對本發(fā)明 的各實施例進行了說明���。因此,本發(fā)明的(并且也是申請人所期望的)唯 一并排他的指示是提交本申請時提交的處于權利要求書的特定形式的權利 要求集合�����,并且包括任何后續(xù)修改���。由此�����,未在權利要求中明確引用的限 定���、元素�、屬性���、特征�、優(yōu)點或特性不應當以任何方式限制該權利要求的 范圍��。相應地����,說明書和附圖應當被認為是說明性的而非限制性的����。
權利要求
1. 一種用于部署網(wǎng)絡設備的計算機實現(xiàn)的方法,所述計算機實現(xiàn)的方法包括在所述網(wǎng)絡設備與注冊機之間建立安全引入連接�;所述注冊機通過所述安全引入連接,向所述網(wǎng)絡設備提供引導配置數(shù)據(jù)�,其中��,所述引導配置數(shù)據(jù)用于在所述網(wǎng)絡設備與安全管理網(wǎng)關之間建立安全管理連接����;以及所述安全管理網(wǎng)關通過所述安全管理連接���,向所述網(wǎng)絡設備提供用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)�;其中��,所述用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)用于在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間建立安全數(shù)據(jù)連接��。
2. 如權利要求1所述的計算機實現(xiàn)的方法�����,其中�,所述安全引入連接遵循HTTPS通信協(xié)議。
3. 如權利要求1所述的計算機實現(xiàn)的方法�����,其中���,所述安全管理連接遵循IPsec通信協(xié)議和HTTPS通信協(xié)議中兩者之一�。
4. 如權利要求1所述的計算機實現(xiàn)的方法,其中�����,所述安全數(shù)據(jù)連接是動態(tài)多點VPN (DMVPN)連接���。
5. 如權利要求1所述的計算機實現(xiàn)的方法�����,其中����,所述安全管理連接遵循IPsec通信協(xié)議��,而且�,所述安全數(shù)據(jù)連接是動態(tài)多點VPN(DMVPN)連接�����。
6. 如權利要求1所述的計算機實現(xiàn)的方法����,還包括所述注冊機從在所述網(wǎng)絡設備上執(zhí)行的Web瀏覽器接收簡單證書注冊協(xié)議(SCEP)請求�����,所述請求遵循HTTPS通信協(xié)議���。
7. 如權利要求1所述的計算機實現(xiàn)的方法,還包括使網(wǎng)絡互聯(lián)服務代理在所述網(wǎng)絡設備上實例化�;所述安全管理網(wǎng)關從在所述網(wǎng)絡設備上實例化的所述網(wǎng)絡互聯(lián)服務代理接收指明所述安全管理連接已經(jīng)建立的數(shù)據(jù);以及所述安全管理網(wǎng)關向網(wǎng)絡互聯(lián)服務引擎提供數(shù)據(jù)以進行處理�����。
8. 如權利要求1所述的計算機實現(xiàn)的方法��,還包括所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)���,其中�,所述更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)使所述安全管理連接能夠被更新����。
9. 如權利要求1所述的計算機實現(xiàn)的方法,其中�����,所述網(wǎng)絡設備是路由器,所述安全管理網(wǎng)關是管理路由器���,以及�����,所述安全數(shù)據(jù)網(wǎng)關是公司路由器�����。
10. —種用于部署網(wǎng)絡設備的計算機可讀介質(zhì)����,所述計算機可讀介質(zhì)承載有指令���,當一個或多個處理器執(zhí)行所述指令時����,使得在所述網(wǎng)絡設備與注冊機之間建立安全引入連接�;所述注冊機通過所述安全引入連接向所述網(wǎng)絡設備提供引導配置數(shù)據(jù)����,其中���,所述引導配置數(shù)據(jù)用于在所述網(wǎng)絡設備與安全管理網(wǎng)關之間建立安全管理連接;以及所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)���;其中�,所述用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)用于在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間建立安全數(shù)據(jù)連接��。
11. 如權利要求10所述的計算機可讀介質(zhì)����,其中,所述安全引入連接遵循HTTPS通信協(xié)議��。
12. 如權利要求IO所述的計算機可讀介質(zhì)�����,其中��,所述安全管理連接遵循IPsec通信協(xié)議和HTTPS通信協(xié)議中兩者之一���。
13. 如權利要求10所述的計算機可讀介質(zhì)���,其中���,所述安全數(shù)據(jù)連接是動態(tài)多點VPN (DMVPN)連接。
14. 如權利要求10所述的計算機可讀介質(zhì)�,其中,所述安全管理連接遵循IPsec通信協(xié)議��,而且���,所述安全數(shù)據(jù)連接是動態(tài)多點VPN(DMVPN)連接�。
15. 如權利要求10所述的計算機可讀介質(zhì)�,還包括額外的指令,當一個或多個處理器執(zhí)行所述額外的指令時��,使得所述注冊機從在所述網(wǎng)絡設備上執(zhí)行的Web瀏覽器接收簡單證書注冊協(xié)議(SCEP)請求���,所述請求遵循HTTPS通信協(xié)議����。
16. 如權利要求10所述的計算機可讀介質(zhì)�����,還包括額外的指令,當一個或多個處理器執(zhí)行所述額外的指令時����,使得使網(wǎng)絡互聯(lián)服務代理在所述網(wǎng)絡設備上實例化���;所述安全管理網(wǎng)關從在所述網(wǎng)絡設備上實例化的所述網(wǎng)絡互聯(lián)服務代理接收指明所述安全管理連接已經(jīng)建立的數(shù)據(jù)��;以及所述安全管理網(wǎng)關向網(wǎng)絡互聯(lián)服務引擎提供數(shù)據(jù)以進行處理�。
17. 如權利要求IO所述的計算機可讀介質(zhì)���,還包括額外的指令���,當一個或多個處理器執(zhí)行所述額外的指令時,使得所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)�,其中,所述更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)使所述安全管理連接能夠被更新��。
18. 如權利要求10所述的計算機可讀介質(zhì)�,其中,所述網(wǎng)絡設備是路由器�����,所述安全管理網(wǎng)關是管理路由器,以及�����,所述安全數(shù)據(jù)網(wǎng)關是公司路由器�。
19. 一種用于部署網(wǎng)絡設備的裝置,所述裝置包括存儲有指令的存儲器��,當一個或多個處理器執(zhí)行所述指令時����,使得在所述網(wǎng)絡設備與注冊機之間建立安全引入連接;所述注冊機通過所述安全引入連接向所述網(wǎng)絡設備提供引導配置數(shù)據(jù)����,其中,所述引導配置數(shù)據(jù)用于在所述網(wǎng)絡設備與安全管理網(wǎng)關之間建立安全管理連接�����;以及所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)���;其中���,所述用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)用于在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間建立安全數(shù)據(jù)連接���。
20. 如權利要求19所述的裝置,其中��,所述安全引入連接遵循HTTPS通信協(xié)議���。
21. 如權利要求19所述的裝置,其中���,所述安全管理連接遵循IPsec通信協(xié)議和HTTPS通信協(xié)議中兩者之一���。
22. 如權利要求19所述的裝置,其中�,所述安全數(shù)據(jù)連接是動態(tài)多點VPN (DMVPN)連接。
23. 如權利要求19所述的裝置���,其中�����,所述安全管理連接遵循IPsec通信協(xié)議�,而且�,所述安全數(shù)據(jù)連接是動態(tài)多點VPN (DMVPN)連接�����。
24. 如權利要求19所述的裝置����,其中�����,所述存儲器還存儲額外的指令���,當一個或多個處理器執(zhí)行所述額外指令時�����,使得所述注冊機從在所述網(wǎng)絡設備上執(zhí)行的Web瀏覽器接收簡單證書注冊協(xié)議(SCEP)請求�,所述請求遵循HTTPS通信協(xié)議�����。
25. 如權利要求19所述的裝置�,其中,所述存儲器還存儲額外的指令�,當一個或多個處理器執(zhí)行所述額外的指令時����,使得使網(wǎng)絡互聯(lián)服務代理在所述網(wǎng)絡設備上實例化�;所述安全管理網(wǎng)關從在所述網(wǎng)絡設備上實例化的所述網(wǎng)絡互聯(lián)服務代理接收指明所述安全管理連接已經(jīng)建立的數(shù)據(jù);以及所述安全管理網(wǎng)關從網(wǎng)絡互聯(lián)服務引擎提供數(shù)據(jù)以進行處理����。
26. 如權利要求19所述的裝置,其中�,所述存儲器還存儲額外的指令����,當一個或多個處理器執(zhí)行所述額外的指令時,使得所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)����,其中,所述更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)使所述安全管理連接得以更新���。
27. 如權利要求19所述的裝置�����,其中�,所述網(wǎng)絡設備是路由器,所述安全管理網(wǎng)關是管理路由器��,以及�����,所述安全數(shù)據(jù)網(wǎng)關是公司路由器����。
28. —種用于部署網(wǎng)絡設備的裝置,所述裝置包括用于在所述網(wǎng)絡設備與注冊機之間建立安全引入連接的裝置����;用于所述注冊機通過所述安全引入連接向所述網(wǎng)絡設備提供引導配置數(shù)據(jù)的裝置,其中����,所述引導配置數(shù)據(jù)用于在所述網(wǎng)絡設備與安全管理網(wǎng)關之間建立安全管理連接;以及用于所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)的裝置�;其中,所述用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)用于在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間建立安全數(shù)據(jù)連接�����。
29. 如權利要求28所述的裝置,其中��,所述安全引入連接遵循HTTPS通信協(xié)議���。
30. 如權利要求28所述的裝置�,其中�,所述安全管理連接遵循IPsec通信協(xié)議和HTTPS通信協(xié)議中兩者之一。
31. 如權利要求28所述的裝置���,其中��,所述安全數(shù)據(jù)連接是動態(tài)多點VPN (DMVPN)連接�。
32. 如權利要求28所述的裝置���,其中,所述安全管理連接遵循IPsec通信協(xié)議��,而且��,所述安全數(shù)據(jù)連接是動態(tài)多點VPN (DMVPN)連接���。
33. 如權利要求28所述的裝置����,還包括使得所述注冊機從在所述網(wǎng)絡設備上執(zhí)行的Web瀏覽器接收簡單證書注冊協(xié)議(SCEP)請求的裝置,所述請求遵循HTTPS通信協(xié)議��。
34. 如權利要求28所述的裝置�����,還包括用于以下過程的裝置使網(wǎng)絡互聯(lián)服務代理在所述網(wǎng)絡設備上實例化��;所述安全管理網(wǎng)關從在所述網(wǎng)絡設備上實例化的所述網(wǎng)絡互聯(lián)服務代理接收指明所述安全管理連接已經(jīng)建立的數(shù)據(jù)����;以及所述安全管理網(wǎng)關向網(wǎng)絡互聯(lián)服務引擎提供數(shù)據(jù)以進行處理。
35. 如權利要求28所述的裝置�����,還包括用于使得所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)的裝置���,其中����,所述更新后的用戶特定配置數(shù)據(jù)和安全策略數(shù)據(jù)使所述安全管理連接得以更新���。
36. 如權利要求28所述的裝置�����,其中�,所述網(wǎng)絡設備是路由器,所述安全管理網(wǎng)關是管理路由器��,以及�����,所述安全數(shù)據(jù)網(wǎng)關是公司路由器�。
全文摘要
根據(jù)一種用于安全部署和配置網(wǎng)絡設備的方法,在部署的網(wǎng)絡設備與注冊機之間建立安全引入連接���。所述安全引入連接可以遵循諸如HTTPS之類的安全通信協(xié)議����。所述注冊機通過所述安全引入連接向所述網(wǎng)絡設備提供引導配置數(shù)據(jù)��。所述引導配置數(shù)據(jù)用于在所述網(wǎng)絡設備與安全管理網(wǎng)關之間建立安全管理連接�。所述安全管理連接可以遵循安全通信協(xié)議�,例如IPsec或HTTPS。所述安全管理網(wǎng)關通過所述安全管理連接向所述網(wǎng)絡設備提供用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)。所述用戶特定的配置數(shù)據(jù)和安全策略數(shù)據(jù)用于在所述網(wǎng)絡設備與安全數(shù)據(jù)網(wǎng)關之間建立諸如動態(tài)多點虛擬網(wǎng)(DMVPN)連接之類的安全數(shù)據(jù)連接���。
文檔編號G06F15/16GK101501663SQ200680006736
公開日2009年8月5日 申請日期2006年3月28日 優(yōu)先權日2005年4月22日
發(fā)明者佩德羅·J·萊昂納多, 大衛(wèi)·亞科巴奇, 普拉門·內(nèi)德爾切威, 馬克斯·普林蒂肯, 高塔姆·阿加爾沃 申請人:思科技術公司