專利名稱:復位安全機制的制作方法
在ITU-T的國際標準M.3010(02/2000)中說明了監(jiān)測和控制電信應用網絡的一種電信管理網絡(TMN)的參照結構���,其中著眼于,由所述TMN控制的網絡包含不同的網絡裝置類型����,通常借助于不同的通信機制(就是說,協議��、通知���、管理信息-也稱為目標模決)控制所述網絡裝置����。
該TMN包含以下的功能-操作系統(tǒng)功能(Operations System FunctionOSF)�����,所述操作系統(tǒng)功能實現“本來的”電信網絡管理�����。
-工作站功能(WFS)�����,所述工作站功能用于人為應用TMN的顯示控制過程和網絡狀態(tài)的顯示���。
-網絡裝置功能(NEF)�����,所述網絡裝置功能產生控制所述網絡裝置的電信功能的界面�。所述界面確定相應的網絡裝置的特定的通信機制�����,所述特定的通信機制在有的情況下不是標準化的��。所述NE的所有管理信息之和被稱為NE的管理信息基(MIB)�����。該和在下文中也稱為NE-MIB�����。
-變換功能(TF)����,所述變換功能用于在所述TMN上連接有不同的通信機制的部件并且尤其用于連接沒有標準化NEF的網絡裝置����。該功能在M.3010(05/96)中也稱為協調功能或者稱為Q適配功能��。
此外對應于FCAPS模式的功能��,只要有可能���,就歸類于以下的組F=錯誤C=配置A=結算P=性能S=安全性這些功能通過具體的產品產生�,所述具體產品例如可以構成為網絡裝置(NE)�、操作系統(tǒng)(OS)、應用軟件����、終端、路由器��、交換機���、數據庫服務器或者計算機程序產品,但是當然不限于這些產品����。
功能NEF通常配屬于一個NE����,而功能OSF和WSF大多配屬于一個OS��。通常��,許多NE配屬一個OS�,其中所述OS多數是中央化的,而所述NE在所述網絡中分散地分布在許多駐留位置上����。
在NE和OS之間可以設置一個用于傳輸信息的數據通信網絡(DCN)。所述傳輸遵循傳輸業(yè)務的原則����,如在國際標準X.200中所說明的,它在ISO/OSI參考模式的下層�����。
一個OS可以包含也稱為應用程序或者軟件的多個程序�����。這些程序例如可以構成為管理應用程序,用于控制一個通信網絡的不同的網絡技術�,由這些網絡技術中分別模擬、可視化和控制一個所述網絡資源的��、對相應受控制的技術相干的應用特定的子集��。
這些程序由設置在所述裝置中的硬件(例如處理器���、i/o組件)執(zhí)行�����。這種執(zhí)行受支持軟件(例如多任務或者說多流操作系統(tǒng)�、數據庫系統(tǒng)����、Windows系統(tǒng))支持。
在所述產品中���,安全性功能例如通過安全機制實現��,其中通過入口授權(例如通過用戶識別碼(userID和口令(password)和/或通過展示一種安全性證書)實現受保護的該產品獲準進入��。
在當前行的系統(tǒng)中��,OS和NE中的現有的安全機制通常有一種基本狀態(tài)���。例如在首次進入所述產品,例如在工廠中或者由用戶投入運行時����,它們沒有被啟動或者具有一種“缺省的userID”和一種“缺省的password”在首次入口以后可以由所述產品的對應的有特權的用戶(也稱為安全性管理者)設置有所述的口令的其它userID。此外在這方面大多更改缺省的口令�。
從以上的說明中可以看出,由于系統(tǒng)的分散性和眾多不同的系統(tǒng)部件和系統(tǒng)要求����,把所說明的結構轉變成具體的方案產生高度復雜的技術問題。
本發(fā)明的技術問題是至少認識到現有問題之一并且通過給出至少一個技術處理方案加以解決�。
本發(fā)明基于以下的認識-在失去一個入口授權的情況下其(曾經的)主人不再能夠進入如此受保護的系統(tǒng)。在丟失所有的入口授權時就完全不再能夠入口所述系統(tǒng)了�����。在此情況下多數借助于一種專門過程重新產生對系統(tǒng)的入口�����。在丟失了所述安全性管理者的入口授權的情況下也有同樣的要求。如果譬如所述安全性管理者丟失的是特別重要的口令字(例如在Unix的情況下所謂的“根”識別碼)就是這種情況�,因為不再能夠有意義地管理所述NE了。同樣地如果安全性管理者的許可證過期并且NE不再接受它����。這樣丟失的結果是首先不再能夠完全管理所涉及的NE。這會逐漸地導致完全不再能夠控制所述網絡裝置����,因為,例如由于長期不使用操作者識別碼從而自動地禁止對所述網絡裝置的控制�����,并且必須由所述安全性管理者解禁���,但是安全性管理者也不再能夠使用��。這在網絡運營商處造成費用并且在一定的情況下給制造商造成費用�。因此必須提出一種受控制的方法��,所述方法使得重新能夠控制所述網絡裝置�����。
-電信運營商在借助于安全性機制對網絡裝置的入口控制方面的要求的在增長,所述入口控制要求一個用戶識別碼和一個口令字或者一個用戶許可證�。同時對于一名用戶不應當有可能避開這些安全性機制的要求也在增長。
對此��,相互矛盾地出現在丟失某一入口授權或者所有的入口授權時必須能夠復位所述安全性機制的要求��。
-公知的復位安全性機制的技術有不利的副作用�,并且與用戶不應當有可能避開所述安全性機制的要求存在特別強烈的沖突一種技術提出���,對于例如丟失安全性管理者的口令����,通過由一個含有一個已知的口令字的備份替代所述網絡裝置的內部數據庫的內容���,重新使得能夠進入��。在由一個備份替代數據庫的內容的情況下�,大多還把包含在所述備份中的���、陳舊的配置數據加載到所述NE上���,并且所述NE重新用陳舊的數據運行�。在此還有由于陳舊的數據而拒絕通信的風險���。
另一種技術提出�,通過拉出和插入所謂的數據庫卡和通過拉出和插入主控制電路板刪除NE內部的數據庫�����。通過拉出和插入所述數據庫卡接著達到如同在首次安裝時的狀態(tài)�。所有至此設定的配置數據也同樣地被刪除,因為其放在入口授權的同一數據庫中���。必須重新費力地配置所述NE����;現有的通信被中斷����。
對本發(fā)明所識別的問題情況一個解決方案和該解決方案的有利的實施方式在權利要求書中說明。
下面借助于附圖中所示的實施例說明本發(fā)明�。應當強調,所說明的本發(fā)明實施方式��,盡管部分地非常詳細地說明了卻只有示例的性質并且不能夠理解為限制性的����。在附圖中
圖1示出一個示例的布置�,包含一個中央操作系統(tǒng)OS����,所述操作系統(tǒng)有用于控制一個通信系統(tǒng)KN的分散的裝置NE的應用程序A。
作為所要求的安全機制的不可回避性與所述要求的安全機制的可復位性之間的矛盾的解決方案�����,本發(fā)明提出盡可能少地損害對所述安全機制的不可回避的要求�����。這可以通過至少部分地滿足以下標準達到1.所述安全機制只應當局域地(有對NE的物理接觸地)在停止運行時進行����。
2.所述安全機制的停止運行要求在時間上就是說至少短時間地更改硬件配置(例如拉出和插入組件)�。
附加地應當滿足另一個條件,所述條件是在復位后使未授權的侵入難于利用的3.刪除NE的主電路板的數據庫�。
為了把對運營商的損害保持到很小,還應當滿足下面的條件4.保持這些動作不應當出現NE方面的通信損失�����。
為了至少部分地滿足這些標準,把配屬給安全機制的配置數據與其它數據分開存儲���,使得在使配屬給安全機制的數據復位時���,非配屬給安全機制的配置數據和測量數據保持不變。
如果這涉及不應當從所述NE讀取的口令字時這也是必須的�。如果經久不變地存儲口令字并且可以上載NE內部數據,這種讀禁止也成立�����。在這種情況下��,經久不變地保持安全性機制的配置數據和其它數據的存儲器區(qū)域在應當在數據的備份的范疇內不是可上載的���。
因此���,在實施其中物理上分開地存儲的數據存儲在同一組件中的本發(fā)明的情況下,非配屬給安全性機制的配置數據和測量數據回寫進NE內部經久不變的數據庫中��,而不需更對存儲的安全性機制的有所改變�。在此,如果定期地保護非配屬給安全性機制的配置數據和測量數據�����,那么在復位所述安全性機制以后,把當前的數據回寫進NE中���,并且NE的控制單元可以接受其業(yè)務而沒有出現電信交流的間斷�。
一種實施方式具有特別良好的優(yōu)點�,其中經久不變物理分開地把配屬給安全性機制的配置數據例如存儲在一個特定的組件中,并且該組件可以由在基礎狀態(tài)下含有所述安全性機制的配置數據的另一個組件替代�����。在此情況下取消配屬給安全性機制的配置數據和測量數據的上載��。在此情況下只須重新配置安全性模式���,電信交流保持不受其影響。因為通常用密鑰和鎖保護對一個網絡裝置的入口并且從而保護對所述組件的入口����,從而還照顧了充分的安全性。
在進行停止運轉和重新運轉以后所述NE在安全性機制方面處于與首次投入運行對應的狀態(tài)�。視安全性機制的基礎狀態(tài)而異,不啟動它們或者為安全性管理者提供一種“缺省的userID”和“缺省的口令”�。
其余的非配屬給安全性機制的配置數據和測量數據根據該措施不加改變地予以重新提供使用���。避免了電信交流的間斷。
下面還借助于圖1所示布置來說明本發(fā)明的實施方式��,所述布置包含分散地布置的具體產品E�����。所述產品E例如構成為一個通信網絡KN的分散布置的網絡裝置NEA���、NEB或者構成為中心的操作系統(tǒng)OS���,所述操作系統(tǒng)具有用于控制通信網絡KN的分散的裝置NE的應用程序A。所述產品具有安全性機制SM���,用于防止未經授權地利用所述產品�,因為這些產品不允許毫無限制地由任意的人員控制�。例如應用程序A構成為備份和恢復網絡裝置NE的非配屬給安全性機制SM的配置數據和測量數據DCM。此外在網絡裝置NE中存儲配屬給安全性機制SM的配置數據DSM�����,所述配屬給安全性機制SM的配置數據例如構成為userId/口令對或者構成為安全性證書。數據DSM對于應用程序B/R不可訪問并且不能夠傳輸進操作系統(tǒng)OS中�。
產品E包含硬件(尤其是處理器裝置和存儲器裝置)借助于所述硬件執(zhí)行構成為計算機程序產品P或者說構成為程序P的那些產品。所述硬件還可以直接對應例如作為應用特定的集成電路(ASIC)一個等效的具體產品E的產品E�����。
可以給構成為應用程序A的產品配屬TMN功能組操作系統(tǒng)功能(OSM)和工作站功能(WSF)����,給構成為網絡裝置NE的產品配屬TMN網絡裝置功能(NEF)。
操作系統(tǒng)OS和網絡裝置NE通過一種在所屬領域內稱為數據通信網絡(DCN)的數據網絡連接���,通過所述數據網絡在備份/恢復的情況下通過應用程序B/R傳輸數據DCM����。
網絡裝置NE各自包含至少一個組件BG��,在這兩個網絡裝置NE中相互分隔地存儲數據DSM和DCM�。此外��,在網絡裝置NEB中這些數據在物理上經久不變地分隔存儲����。
在網絡裝置NEA中,數據DSM和DCM存放在同一組件BGA2中并且甚至于放在同一數據庫DBA中��,然而在數據庫中分開地存儲在不同的存儲器區(qū)域中,使得只有數據DCM而不是DSM有對外的入口�����,并且例如通過可以通過DCN向操作系統(tǒng)OS傳輸并且反之亦然��。
在復位網絡裝置NEA的安全機制CM的情況下�,優(yōu)選地首先由應用程序B/R把數據DCM加載到操作系統(tǒng)OS中。然后拉出組件BGA2直到刪除數據庫DBA并且因此刪除了網絡裝置NEA中的數據DSM和DCM為止����。在刪除了數據DSM以后網絡裝置NEA的安全機制重新處于其基礎狀態(tài),并且要么失活要么重新具有原始的缺省的userId和安全性管理者的缺省的口令���。接著借助于應用程序B/A把數據DCM重新存儲進網絡裝置NEA中���,使得該網絡裝置重新能夠完全運行,并且可以重新配置其安全性設定��。
在網絡裝置NEB中�,數據DSM和DCM在物理上經久不變地被分開存儲在不同的組件BGB中。數據DSM在組件BGB1中存入在數據庫DBB1中��。數據DCM存放在分布在組件BGB2-4上的數據庫DBB2中。如此地配置網絡裝置NEB��,使得只有數據DCM而不是DSM有對外的入口����,并且例如通過可以通過DCN向操作系統(tǒng)OS傳輸并且反之亦然。
在復位網絡裝置NEB的安全機制SM情況下��,并不要求由應用程序B/R在操作系統(tǒng)OS中保護數據DCM����。由于在物理上分開存儲,可以拉出組件BGB1持續(xù)時間長達直到刪除數據庫DBB1并且因此刪除了網絡裝置NEA中的數據DSM為止����。在刪除了數據DSM以后網絡裝置NEB的安全機制重新處于其基礎狀態(tài),并且要么失活要么重新擁有原始缺省的userId和安全性管理者的缺省的口令�。在該復位的過程中DCM完全保持包含在網絡裝置NEB中,從而即使在復位安全性機制SM的過程中所述網絡裝置也經久不變地保持完全能夠運行�����。
本發(fā)明與許多優(yōu)點相關聯-由于從產品內部介入��,所以有效地防止從外部侵入所述產品并且尤其是從外部的未經授權的安全性機制操作���,尤其是從操作系統(tǒng)OS或者通過數據通信網絡的侵入�����,后者還可以主要包含因特網���。
-由于物理上分開,在復位安全性機制時其余的配置數據和測量數據保持不改變��。
對NE沒有物理入口的用戶不能夠避開出于激活狀態(tài)的安全性機制���。
-可以以非常簡單的方式通過密鑰和鎖把對網絡裝置的入口限制于選取的人群�,于是這些人能夠進行安全機制的復位����。
-把由于一個NE錯誤操作可能性造成的代價降低到最小。由于降低OPEX(操作耗費)對于網絡運營商來說有經濟優(yōu)勢���。
-轉用本發(fā)明不要求至今的現有技術的原則上的改變�����,而基本上只是事后添加組件����,尤其是只添加修改的或者附加的計算機程序產品。
-實現的時間與實現其它功能的時間無關����。
-利用本發(fā)明可以確保只在很低程度上對整個系統(tǒng)的單個部件施加負荷并且因而提高了整個系統(tǒng)的穩(wěn)定性。
最后應當指出����,對于所述系統(tǒng)的與本發(fā)明相關的部件的說明原則上不應當理解為一定的物理實現或者配屬方面的限制。對于所屬領域技術人員尤其明確的是��,本發(fā)明可以部分地或者完全地用軟件實現或者分布在多個物理的產品/計算機程序產品上來實現�����。
權利要求
1.方法��,用于復位被配屬給一產品(E)�����,尤其是配屬給一個操作系統(tǒng)(OS)的構成為計算機程序(P)的應用程序(A)或者配屬給一個通信網絡(KN)的網絡裝置(NE)的安全性機制�����,具有-配屬給該安全性機制的第一數據(DSM),-配屬給作為安全性機制其它功能的第二數據(DCM)����,-其中只有第二數據可以從所述產品外部進入�����,所述方法具有以下的步驟-通過從所述產品內部介入刪除所述第一數據����,-由于刪除所述第一數據從而復位所述安全性機制。
2.如權利要求1所述的方法�����,其中�,所述介入被構成為局部地拉出所述產品的組件(BG)。
3.如以上權利要求之一所述的方法�����,其中���,在拉出以后��,向所述產品中重新插入或者所拉出的組件或者一個包含一個復位的安全機制的替代的組件�。
4.如以上權利要求之一所述的方法,其中���,經久不變地把所述兩種數據在物理上相互分開存儲�,尤其是存儲在不同的組件中�。
5.如以上權利要求之一所述的方法,其中��,單獨保護其中存儲有該第一數據的組件�����,尤其是機械地對抗未經授權地拉出��。
6.如以上權利要求之一所述的方法����,其中,在外部介入所述產品以前��,緩存所述第二數據��,并且在介入以后重新存儲回所述產品中����。
7.如以上權利要求之一所述的方法����,其中�,所述安全性機制在復位以后重新處于原始的基礎狀態(tài)�����。
8.產品���,其包含用于執(zhí)行如以上權利要求之一所述方法的所有步驟���。
9.產品,其包含用于執(zhí)行如以上權利要求之一所述方法中的由所述產品引起的步驟的裝置����,所述裝置被配置成通過與至少另一個這樣的產品共同起作用來執(zhí)行所述方法的所有步驟,所述另一個這樣產品的裝置被配置成用于執(zhí)行所述方法的剩余步驟�。
10.如權利要求8或者9所述的產品,其中該產品被構成為計算機產品(P)�,實施所述計算機產品的程序的代碼以由至少一個處理器執(zhí)行所述方法。
全文摘要
按照以下方式實現一產品(E)的安全性機制(SM)使得配屬給它的數據(D
文檔編號H04L12/24GK1989755SQ200580024962
公開日2007年6月27日 申請日期2005年7月18日 優(yōu)先權日2004年7月23日
發(fā)明者H·哈特拉格 申請人:西門子公司