背景技术:
对通信网络的网络部件进行监视出于不同的原因可以是必要或者适宜的。因此,例如德国标准dinen50159描述了对铁路应用领域中的传输系统中的安全相关的通信的要求。在这里预先给定的架构的范围内存在如下需要:安全相关的应用和/或安全相关的传输功能对相应的安全相关的应用所基于的、本身不以安全相关的装置的形式实现的这些功能或部件进行监视。
技术实现要素:
本发明要解决的技术问题是,提供一种功能特别强大、同时能够以相对简单的方式实现的用于监视网络部件的方法。
根据本发明,上述技术问题通过用于监视网络部件的方法来解决,其中,在网络部件侧在使用特定于网络部件的状态的数据的条件下执行检查网络部件是否正确工作的计算,从网络部件向监视装置传输计算结果,并且监视装置根据所传输的计算结果检查网络部件的状态以及相同的网络部件是否正确工作。
按照根据本发明的用于监视网络部件的方法的第一步骤,在网络部件侧在使用特定于网络部件的状态的数据的条件下执行检查网络部件是否正确工作的计算。检查网络部件是否正确工作的计算在此原则上可以是对应的任意类型的计算。优选地,计算在此被设计为,通过计算检查网络部件的安全相关的功能性中的至少一部分,使得错误功能关于相关功能性产生错误的计算结果。
在根据本发明的方法的范围内,在使用特定于网络部件的状态的数据的条件下进行检查网络部件是否正确工作的计算。这意味着,计算以如下方式进行:关于特定于网络部件的状态的数据的差异以近乎必然的或至少对于相应的应用情况足够的概率影响计算结果。
按照根据本发明的方法的第二步骤,从网络部件向监视装置传输计算结果。在此,计算结果的传输可以以任意已知的方式进行。这特别地包括计算结果从网络部件向监视装置的有线或者无线、例如基于无线电的传输。
按照根据本发明的方法的第三步骤,然后,监视装置根据所传输的计算结果检查网络部件的状态以及相同的网络部件是否正确工作。这意味着,监视装置知道计算结果的预期值,或者监视装置本身能够执行由网络部件执行的计算,由此能够检查计算结果。为此,需要监视装置也知道在进行计算时使用的特定于网络部件的状态的数据,或者监视装置知道特定于网络部件的状态的数据应当具有哪个值。根据所传输的计算结果,监视装置由此不仅能够检查网络部件的状态,而且能够检查网络部件是否正确工作。因此,仅当网络部件正确地执行了检查其是否正确工作的计算时,由网络部件确定的计算结果与由监视装置计算或预期的计算结果一致。为此,进一步需要特定于网络部件的状态的数据也是正确的,使得其对应于由监视装置预期的数据。
其结果是,根据本发明的方法由此使得能够以相对简单的方式检查所监视的网络部件的状态以及相同的网络部件是否正确工作。
根据一个特别优选的实施方式,根据本发明的方法扩展为,从监视装置向网络部件传输具有至少一个特定于相应的请求消息的参数的请求消息,并且在网络部件侧在执行检查网络部件的工作的计算时,为了保证计算的时效性,使用至少一个特定于相应的请求消息的参数。这提供如下的优点:在监视装置侧确保由网络部件传输的计算结果是实际上最新地由网络部件计算的。由此能够在监视装置侧例如识别如下错误:网络部件的功能性存在紊乱或者故障,然而该紊乱或该故障由于网络部件回溯在早前的时刻确定的计算结果并且将其传输到监视装置而被掩盖。通过从监视装置向网络部件传输具有至少一个特定于相应的请求消息的参数的请求消息,并且在网络部件侧在执行检查网络部件的工作的计算时,使用该至少一个参数,由此保证计算结果的计算的时效性。在此,在网络部件侧,与特定于网络部件的状态的数据类似,在计算中又使用至少一个特定于相应的请求消息的参数,使得不同的参数以足够高的概率产生不同的计算结果。
优选地,根据本发明的方法还可以设计为,在网络部件侧,检查网络部件的工作的计算以对特定于网络部件的状态的数据进行加密的形式执行,作为计算结果从网络部件向监视装置传输加密的数据,并且监视装置根据所传输的计算结果检查网络部件的状态以及在网络部件侧进行的加密。特别是对于在通信网络中负责进行加密的这些网络部件,存在在安全相关的应用或部件侧对网络部件的功能进行监视的需要。所提及的根据本发明的方法的优选扩展使得能够在这种情境下不仅以加密的形式对计算本身进行检查,而且根据特定于网络部件的状态的数据对网络部件的状态进行检查。由此例如还能够揭露如下错误情况:网络部件虽然原则上能够正确地对消息进行加密,但是相关功能性按照配置完全或者与情况有关地例如对于特定发送器和/或接收器停止。
此外,根据本发明的方法优选还可以进一步扩展为,从监视装置向网络部件传输具有特定于相应的请求消息的测试密钥的请求消息,并且在网络部件侧,为了保证计算的时效性,借助测试密钥对特定于网络部件的状态的数据进行加密。与前面描述的关于具有至少一个特定于相应的请求消息的参数的请求消息的传输的优选扩展类似,通过从监视装置向网络部件传输具有特定于相应的请求消息的测试密钥的请求消息,有利地使得能够确保由网络部件最新地以加密的形式进行计算,并且监视装置可靠地识别可以想到的在早前的时刻确定的计算结果的传输。
按照根据本发明的方法的另一个特别优选的实施方式,使用网络部件的配置数据,作为特定于网络部件的状态的数据。这是有利的,因为配置数据通常特别适合于详细说明网络部件的状态。由此,因此使得监视装置能够根据由网络部件传输的计算结果识别网络部件的配置数据中的可能的错误。
作为前面描述的实施方式的替换或者附加,根据本发明的方法还可以有利地实施为,使用网络部件的状态信息,作为特定于网络部件的状态的数据。在此,网络部件的状态信息可以是任意类型的状态信息。这一方面包括类型“活动”或者“不活动”的相对简单的状态信息;另一方面状态信息也可以明显更详细并且更全面。在此,前提条件仅仅是,在监视装置侧知道相关状态信息或这些状态信息的预期值。
作为前面提及的两个优选扩展的替换或者附加,根据本发明的方法还可以有利地实施为,使用特定于网络部件的软件的数据,作为特定于网络部件的状态的数据。特定于网络部件的软件的数据在此可以是网络部件的一部分软件或者也可以是完整的软件。可以经由对应的数据以本身已知的方式例如计算唯一地表示网络部件的软件或软件状态的哈希值。由此,因此使得能够在监视装置侧基于所传输的计算结果识别网络部件的软件与在监视装置侧设置或预期的软件的可能的偏差。
优选地,根据本发明的方法还可以扩展为,监视装置和网络部件相互进行认证。这是有利的,因为由此相对于相应的其它部件保证网络部件以及监视装置的身份。由此,避免了否则对于监视装置和/或网络部件或者这两个部件之间的通信的可以想到的安全性问题或攻击可能性。
按照根据本发明的方法的另一个特别优选的实施方式,从网络部件向监视装置与计算结果一起传输网络部件的至少一个参数。对应的参数例如可以是不成功的登录尝试或者未经认证的消息的频度或频率。通过向监视装置附加地传输网络部件的至少一个参数,在相同的监视装置侧有利地存在如下可能性:除了网络部件的状态以及相同的网络部件是否正确工作之外,还获得关于监视装置先前不知道的参数的信息并且在监视网络部件的过程中考虑这些信息。
优选地,根据本发明的方法还可以设计为,由监视装置告知从网络部件要向监视装置传输的网络部件的至少一个参数。这提供如下优点:监视装置本身可以相对于网络部件详细说明从网络部件向监视装置与计算结果一起应当传输哪个参数或哪些参数。
优选地,根据本发明的方法在此可以设计为,至少一个参数包括关于由网络部件登记的错误情况的描述。这是有利的,因为监视装置被置于能够在监视网络部件的过程中考虑由网络部件登记的错误情况的数量、类型和/或频度。
本发明还涉及一种具有网络部件以及监视装置的设备。
关于所述设备,本发明要解决的技术问题在于,提供一种设备,其支持功能特别强大、同时能够以相对简单的方式实现的用于监视网络部件的方法。
根据本发明,上述技术问题通过具有网络部件以及监视装置的设备来解决,网络部件用于在使用特定于网络部件的状态的数据的条件下执行检查网络部件是否正确工作的计算,并且用于向监视装置传输计算结果,监视装置用于根据所传输的计算结果,检查网络部件的状态以及相同的网络部件是否正确工作。
根据本发明的设备的优点基本上对应于根据本发明的方法的优点,因此对此参考前面对应的说明。在下面提及的根据本发明的设备的优选扩展方面同样适用根据本发明的方法的对应的优选扩展,因此对此也参考前面对应的描述。
优选地,根据本发明的设备可以构造为,监视装置被构造为用于向网络部件传输具有至少一个特定于相应的请求消息的参数的请求消息,并且网络部件被构造为,在执行检查网络部件的工作的计算时,为了保证计算的时效性,使用至少一个特定于相应的请求消息的参数。
按照根据本发明的设备的一个特别优选的扩展,所述设备被实施为,网络部件被构造为,以对特定于网络部件的状态的数据进行加密的形式,执行检查网络部件的工作的计算,并且作为计算结果向监视装置传输加密的数据,并且监视装置被构造为,根据所传输的计算结果检查网络部件的状态以及在网络部件侧进行的加密。
按照根据本发明的设备的另一个特别优选的实施方式,网络部件和监视装置被构造为用于执行根据权利要求4至11中任一项所述的方法。
附图说明
下面,根据实施例详细说明本发明。为此,
附图以示意图示出了根据本发明的设备的实施例,用于说明根据本发明的方法的实施例。
具体实施方式
在附图中可以看到网络部件10,其具有控制装置11、存储装置12以及连接其的内部通信连接13。此外,示出了监视装置20,其包括控制装置21。监视装置20的控制装置21经由通信连接30与网络部件10的控制装置11连接。对应的控制装置11和21在此例如可以是已知的处理器或计算单元。
在所描述的实施例的范围内,假设监视装置20是例如可以按照标准dinen50159的与此相关的要求实现的安全相关的装置。关于网络部件10,假设其提供安全相关的加密技术,即例如对在监视装置20侧提供的消息进行加密。然而,在此网络部件10本身不作为安全相关的装置来实施或实现,从而原则上不能排除网络部件10的错误功能。由于该原因,需要通过监视装置20对网络部件10的功能进行监视。
应当指出,网络部件10以及监视装置20通常不仅包括硬件技术装置、而且包括软件技术装置。依据相应的情况,在此还存在如下可能性:网络部件10以及监视装置20整体上或者至少部分使用相同的硬件,由此基本上其特征主要在于对应的软件部件。关于从dinen50159中已知的架构,这例如可以以如下方式来实现:在安全相关的传输功能和安全相关的加密技术之间或者也在安全相关的应用和安全相关的传输功能之间插入以附加模块或者附加软件层形式的监视装置。
现在,为了能够在监视装置20侧以特别可靠、同时相对简单的方式对网络部件10的工作进行检查,可以在监视装置20侧,在第一方法步骤或第一消息s1中,向网络部件10传输具有至少一个特定于相应的请求消息的参数的请求消息。在此,请求消息的功能对应于类型“safetyping”,因为通过其开始对网络部件10的正确工作的检查。
在所描述的实施例的范围内,假设请求消息包含特定于相应的请求消息的测试密钥,作为特定于相应的请求消息的参数。
现在,在网络部件10侧在使用特定于网络部件10的状态的数据的条件下执行检查网络部件的正确工作的计算。这在附图中通过与控制装置11相关联的方法步骤s2以及包括存储装置的方法步骤s2a和s2b示出。作为特定于网络部件10的状态的数据,在此可以在控制装置11侧从存储装置12中询问或读出网络部件10的配置数据、网络部件10的状态信息和/或特定于网络部件10的软件的数据。
现在,在网络部件10或其控制装置11侧,以对特定于网络部件的状态的数据进行加密的形式,执行检查网络部件10的工作的计算。在此,优选选择计算,使得通过其能够实现至少对检查网络部件10的安全相关的功能的至少大范围的检查,即能够实现尽可能大范围的功能覆盖。如果借助计算不能实现全面的或对于相应的应用情况来说足够的功能覆盖,则在此可以结合不同的计算的结果。
如果借助检查网络部件的正确工作的计算仅对网络部件的部分功能性进行了检查,则可以在预先给定或可预先给定的错误披露时间内以对应的方式执行其它计算,以在结果中整体上实现至少对网络部件10的安全相关的功能或功能性的尽可能全面的覆盖。
在方法步骤s3中,作为计算结果从网络部件10向监视装置20传输加密的数据。现在,该或其控制装置21根据传输的计算结果检查网络部件10的状态以及在网络部件10侧进行的加密。这意味着,监视装置20能够根据接收到的计算结果并且在考虑监视装置20例如本身可能已经计算的针对该计算结果的预期值的条件下,实现对网络部件10的功能性的大范围的检查。这不仅涉及借助测试密钥的加密的正确执行,而且涉及特定于网络部件的状态的数据的值。对应的检查在附图中与控制装置21相关联并且用附图标记s4标出。
通过监视装置20在方法步骤s1中向网络部件10传输具有特定于相关请求消息的测试密钥的请求消息,有利地保证网络部件10实际上最新地计算了计算结果,而不可能追溯早前的计算结果。此外,为了提高安全性,监视装置20和网络部件10优选相互进行认证,其在附图中为了清楚起见未示出。
可以在方法步骤s3的范围内有利地与计算结果一起从网络部件10向监视装置20传输网络部件10的至少一个参数。通过直接向监视装置20传输相关的至少一个参数,使得其能够获得关于网络部件10的广泛的信息。对应的参数例如可以是例如以不成功的登录尝试的频率或者未经过认证的消息的频率形式的、关于由网络部件10登记的错误情况的描述。如果对此得到消极的趋势或者超过一定的阈值,则可以在监视装置侧采取适当的措施,例如使得向应用输出通知。优选地,例如由监视装置20可以在方法步骤s1的范围内通知网络部件10,从网络部件10应当将哪个参数或哪些参数与计算结果一起传输到监视装置20。
应当指出,网络部件10附加地或者替换地也可以提供任意其它功能性。这意味着,网络部件10可以是通信网络中的任意参与方。对于这种参与方,前面描述的方法也使得能够对参与方或对应的网络部件10的功能性进行大范围的检查。为此,网络部件10优选执行尽可能复杂的功能作为计算。其例如可以在于,计算哈希函数,哈希函数的起始值与最新形成的关于软件和特定于网络部件10的状态的数据的代码有关。
前面根据实施例描述的方法以及相关联的设备使得能够有利地通过监视装置20对网络部件10进行可靠的监视。这特别是在网络部件10提供安全相关的功能,然而本身不作为例如根据标准dinen50159的对应的安全相关的装置实现的情况下意义重大。由此,通过对应的、优选借助监视装置20循环进行的监视,有利地使得这些网络部件10也能够用于例如铁路领域中的安全相关的应用。