专利名称:复位安全机制的制作方法
在ITU-T的国际标准M.3010(02/2000)中说明了监测和控制电信应用网络的一种电信管理网络(TMN)的参照结构,其中着眼于,由所述TMN控制的网络包含不同的网络装置类型,通常借助于不同的通信机制(就是说,协议、通知、管理信息-也称为目标模决)控制所述网络装置。
该TMN包含以下的功能-操作系统功能(Operations System FunctionOSF),所述操作系统功能实现“本来的”电信网络管理。
-工作站功能(WFS),所述工作站功能用于人为应用TMN的显示控制过程和网络状态的显示。
-网络装置功能(NEF),所述网络装置功能产生控制所述网络装置的电信功能的界面。所述界面确定相应的网络装置的特定的通信机制,所述特定的通信机制在有的情况下不是标准化的。所述NE的所有管理信息之和被称为NE的管理信息基(MIB)。该和在下文中也称为NE-MIB。
-变换功能(TF),所述变换功能用于在所述TMN上连接有不同的通信机制的部件并且尤其用于连接没有标准化NEF的网络装置。该功能在M.3010(05/96)中也称为协调功能或者称为Q适配功能。
此外对应于FCAPS模式的功能,只要有可能,就归类于以下的组F=错误C=配置A=结算P=性能S=安全性这些功能通过具体的产品产生,所述具体产品例如可以构成为网络装置(NE)、操作系统(OS)、应用软件、终端、路由器、交换机、数据库服务器或者计算机程序产品,但是当然不限于这些产品。
功能NEF通常配属于一个NE,而功能OSF和WSF大多配属于一个OS。通常,许多NE配属一个OS,其中所述OS多数是中央化的,而所述NE在所述网络中分散地分布在许多驻留位置上。
在NE和OS之间可以设置一个用于传输信息的数据通信网络(DCN)。所述传输遵循传输业务的原则,如在国际标准X.200中所说明的,它在ISO/OSI参考模式的下层。
一个OS可以包含也称为应用程序或者软件的多个程序。这些程序例如可以构成为管理应用程序,用于控制一个通信网络的不同的网络技术,由这些网络技术中分别模拟、可视化和控制一个所述网络资源的、对相应受控制的技术相干的应用特定的子集。
这些程序由设置在所述装置中的硬件(例如处理器、i/o组件)执行。这种执行受支持软件(例如多任务或者说多流操作系统、数据库系统、Windows系统)支持。
在所述产品中,安全性功能例如通过安全机制实现,其中通过入口授权(例如通过用户识别码(userID和口令(password)和/或通过展示一种安全性证书)实现受保护的该产品获准进入。
在当前行的系统中,OS和NE中的现有的安全机制通常有一种基本状态。例如在首次进入所述产品,例如在工厂中或者由用户投入运行时,它们没有被启动或者具有一种“缺省的userID”和一种“缺省的password”在首次入口以后可以由所述产品的对应的有特权的用户(也称为安全性管理者)设置有所述的口令的其它userID。此外在这方面大多更改缺省的口令。
从以上的说明中可以看出,由于系统的分散性和众多不同的系统部件和系统要求,把所说明的结构转变成具体的方案产生高度复杂的技术问题。
本发明的技术问题是至少认识到现有问题之一并且通过给出至少一个技术处理方案加以解决。
本发明基于以下的认识-在失去一个入口授权的情况下其(曾经的)主人不再能够进入如此受保护的系统。在丢失所有的入口授权时就完全不再能够入口所述系统了。在此情况下多数借助于一种专门过程重新产生对系统的入口。在丢失了所述安全性管理者的入口授权的情况下也有同样的要求。如果譬如所述安全性管理者丢失的是特别重要的口令字(例如在Unix的情况下所谓的“根”识别码)就是这种情况,因为不再能够有意义地管理所述NE了。同样地如果安全性管理者的许可证过期并且NE不再接受它。这样丢失的结果是首先不再能够完全管理所涉及的NE。这会逐渐地导致完全不再能够控制所述网络装置,因为,例如由于长期不使用操作者识别码从而自动地禁止对所述网络装置的控制,并且必须由所述安全性管理者解禁,但是安全性管理者也不再能够使用。这在网络运营商处造成费用并且在一定的情况下给制造商造成费用。因此必须提出一种受控制的方法,所述方法使得重新能够控制所述网络装置。
-电信运营商在借助于安全性机制对网络装置的入口控制方面的要求的在增长,所述入口控制要求一个用户识别码和一个口令字或者一个用户许可证。同时对于一名用户不应当有可能避开这些安全性机制的要求也在增长。
对此,相互矛盾地出现在丢失某一入口授权或者所有的入口授权时必须能够复位所述安全性机制的要求。
-公知的复位安全性机制的技术有不利的副作用,并且与用户不应当有可能避开所述安全性机制的要求存在特别强烈的冲突一种技术提出,对于例如丢失安全性管理者的口令,通过由一个含有一个已知的口令字的备份替代所述网络装置的内部数据库的内容,重新使得能够进入。在由一个备份替代数据库的内容的情况下,大多还把包含在所述备份中的、陈旧的配置数据加载到所述NE上,并且所述NE重新用陈旧的数据运行。在此还有由于陈旧的数据而拒绝通信的风险。
另一种技术提出,通过拉出和插入所谓的数据库卡和通过拉出和插入主控制电路板删除NE内部的数据库。通过拉出和插入所述数据库卡接着达到如同在首次安装时的状态。所有至此设定的配置数据也同样地被删除,因为其放在入口授权的同一数据库中。必须重新费力地配置所述NE;现有的通信被中断。
对本发明所识别的问题情况一个解决方案和该解决方案的有利的实施方式在权利要求书中说明。
下面借助于附图中所示的实施例说明本发明。应当强调,所说明的本发明实施方式,尽管部分地非常详细地说明了却只有示例的性质并且不能够理解为限制性的。在附图中
图1示出一个示例的布置,包含一个中央操作系统OS,所述操作系统有用于控制一个通信系统KN的分散的装置NE的应用程序A。
作为所要求的安全机制的不可回避性与所述要求的安全机制的可复位性之间的矛盾的解决方案,本发明提出尽可能少地损害对所述安全机制的不可回避的要求。这可以通过至少部分地满足以下标准达到1.所述安全机制只应当局域地(有对NE的物理接触地)在停止运行时进行。
2.所述安全机制的停止运行要求在时间上就是说至少短时间地更改硬件配置(例如拉出和插入组件)。
附加地应当满足另一个条件,所述条件是在复位后使未授权的侵入难于利用的3.删除NE的主电路板的数据库。
为了把对运营商的损害保持到很小,还应当满足下面的条件4.保持这些动作不应当出现NE方面的通信损失。
为了至少部分地满足这些标准,把配属给安全机制的配置数据与其它数据分开存储,使得在使配属给安全机制的数据复位时,非配属给安全机制的配置数据和测量数据保持不变。
如果这涉及不应当从所述NE读取的口令字时这也是必须的。如果经久不变地存储口令字并且可以上载NE内部数据,这种读禁止也成立。在这种情况下,经久不变地保持安全性机制的配置数据和其它数据的存储器区域在应当在数据的备份的范畴内不是可上载的。
因此,在实施其中物理上分开地存储的数据存储在同一组件中的本发明的情况下,非配属给安全性机制的配置数据和测量数据回写进NE内部经久不变的数据库中,而不需更对存储的安全性机制的有所改变。在此,如果定期地保护非配属给安全性机制的配置数据和测量数据,那么在复位所述安全性机制以后,把当前的数据回写进NE中,并且NE的控制单元可以接受其业务而没有出现电信交流的间断。
一种实施方式具有特别良好的优点,其中经久不变物理分开地把配属给安全性机制的配置数据例如存储在一个特定的组件中,并且该组件可以由在基础状态下含有所述安全性机制的配置数据的另一个组件替代。在此情况下取消配属给安全性机制的配置数据和测量数据的上载。在此情况下只须重新配置安全性模式,电信交流保持不受其影响。因为通常用密钥和锁保护对一个网络装置的入口并且从而保护对所述组件的入口,从而还照顾了充分的安全性。
在进行停止运转和重新运转以后所述NE在安全性机制方面处于与首次投入运行对应的状态。视安全性机制的基础状态而异,不启动它们或者为安全性管理者提供一种“缺省的userID”和“缺省的口令”。
其余的非配属给安全性机制的配置数据和测量数据根据该措施不加改变地予以重新提供使用。避免了电信交流的间断。
下面还借助于图1所示布置来说明本发明的实施方式,所述布置包含分散地布置的具体产品E。所述产品E例如构成为一个通信网络KN的分散布置的网络装置NEA、NEB或者构成为中心的操作系统OS,所述操作系统具有用于控制通信网络KN的分散的装置NE的应用程序A。所述产品具有安全性机制SM,用于防止未经授权地利用所述产品,因为这些产品不允许毫无限制地由任意的人员控制。例如应用程序A构成为备份和恢复网络装置NE的非配属给安全性机制SM的配置数据和测量数据DCM。此外在网络装置NE中存储配属给安全性机制SM的配置数据DSM,所述配属给安全性机制SM的配置数据例如构成为userId/口令对或者构成为安全性证书。数据DSM对于应用程序B/R不可访问并且不能够传输进操作系统OS中。
产品E包含硬件(尤其是处理器装置和存储器装置)借助于所述硬件执行构成为计算机程序产品P或者说构成为程序P的那些产品。所述硬件还可以直接对应例如作为应用特定的集成电路(ASIC)一个等效的具体产品E的产品E。
可以给构成为应用程序A的产品配属TMN功能组操作系统功能(OSM)和工作站功能(WSF),给构成为网络装置NE的产品配属TMN网络装置功能(NEF)。
操作系统OS和网络装置NE通过一种在所属领域内称为数据通信网络(DCN)的数据网络连接,通过所述数据网络在备份/恢复的情况下通过应用程序B/R传输数据DCM。
网络装置NE各自包含至少一个组件BG,在这两个网络装置NE中相互分隔地存储数据DSM和DCM。此外,在网络装置NEB中这些数据在物理上经久不变地分隔存储。
在网络装置NEA中,数据DSM和DCM存放在同一组件BGA2中并且甚至于放在同一数据库DBA中,然而在数据库中分开地存储在不同的存储器区域中,使得只有数据DCM而不是DSM有对外的入口,并且例如通过可以通过DCN向操作系统OS传输并且反之亦然。
在复位网络装置NEA的安全机制CM的情况下,优选地首先由应用程序B/R把数据DCM加载到操作系统OS中。然后拉出组件BGA2直到删除数据库DBA并且因此删除了网络装置NEA中的数据DSM和DCM为止。在删除了数据DSM以后网络装置NEA的安全机制重新处于其基础状态,并且要么失活要么重新具有原始的缺省的userId和安全性管理者的缺省的口令。接着借助于应用程序B/A把数据DCM重新存储进网络装置NEA中,使得该网络装置重新能够完全运行,并且可以重新配置其安全性设定。
在网络装置NEB中,数据DSM和DCM在物理上经久不变地被分开存储在不同的组件BGB中。数据DSM在组件BGB1中存入在数据库DBB1中。数据DCM存放在分布在组件BGB2-4上的数据库DBB2中。如此地配置网络装置NEB,使得只有数据DCM而不是DSM有对外的入口,并且例如通过可以通过DCN向操作系统OS传输并且反之亦然。
在复位网络装置NEB的安全机制SM情况下,并不要求由应用程序B/R在操作系统OS中保护数据DCM。由于在物理上分开存储,可以拉出组件BGB1持续时间长达直到删除数据库DBB1并且因此删除了网络装置NEA中的数据DSM为止。在删除了数据DSM以后网络装置NEB的安全机制重新处于其基础状态,并且要么失活要么重新拥有原始缺省的userId和安全性管理者的缺省的口令。在该复位的过程中DCM完全保持包含在网络装置NEB中,从而即使在复位安全性机制SM的过程中所述网络装置也经久不变地保持完全能够运行。
本发明与许多优点相关联-由于从产品内部介入,所以有效地防止从外部侵入所述产品并且尤其是从外部的未经授权的安全性机制操作,尤其是从操作系统OS或者通过数据通信网络的侵入,后者还可以主要包含因特网。
-由于物理上分开,在复位安全性机制时其余的配置数据和测量数据保持不改变。
对NE没有物理入口的用户不能够避开出于激活状态的安全性机制。
-可以以非常简单的方式通过密钥和锁把对网络装置的入口限制于选取的人群,于是这些人能够进行安全机制的复位。
-把由于一个NE错误操作可能性造成的代价降低到最小。由于降低OPEX(操作耗费)对于网络运营商来说有经济优势。
-转用本发明不要求至今的现有技术的原则上的改变,而基本上只是事后添加组件,尤其是只添加修改的或者附加的计算机程序产品。
-实现的时间与实现其它功能的时间无关。
-利用本发明可以确保只在很低程度上对整个系统的单个部件施加负荷并且因而提高了整个系统的稳定性。
最后应当指出,对于所述系统的与本发明相关的部件的说明原则上不应当理解为一定的物理实现或者配属方面的限制。对于所属领域技术人员尤其明确的是,本发明可以部分地或者完全地用软件实现或者分布在多个物理的产品/计算机程序产品上来实现。
权利要求
1.方法,用于复位被配属给一产品(E),尤其是配属给一个操作系统(OS)的构成为计算机程序(P)的应用程序(A)或者配属给一个通信网络(KN)的网络装置(NE)的安全性机制,具有-配属给该安全性机制的第一数据(DSM),-配属给作为安全性机制其它功能的第二数据(DCM),-其中只有第二数据可以从所述产品外部进入,所述方法具有以下的步骤-通过从所述产品内部介入删除所述第一数据,-由于删除所述第一数据从而复位所述安全性机制。
2.如权利要求1所述的方法,其中,所述介入被构成为局部地拉出所述产品的组件(BG)。
3.如以上权利要求之一所述的方法,其中,在拉出以后,向所述产品中重新插入或者所拉出的组件或者一个包含一个复位的安全机制的替代的组件。
4.如以上权利要求之一所述的方法,其中,经久不变地把所述两种数据在物理上相互分开存储,尤其是存储在不同的组件中。
5.如以上权利要求之一所述的方法,其中,单独保护其中存储有该第一数据的组件,尤其是机械地对抗未经授权地拉出。
6.如以上权利要求之一所述的方法,其中,在外部介入所述产品以前,缓存所述第二数据,并且在介入以后重新存储回所述产品中。
7.如以上权利要求之一所述的方法,其中,所述安全性机制在复位以后重新处于原始的基础状态。
8.产品,其包含用于执行如以上权利要求之一所述方法的所有步骤。
9.产品,其包含用于执行如以上权利要求之一所述方法中的由所述产品引起的步骤的装置,所述装置被配置成通过与至少另一个这样的产品共同起作用来执行所述方法的所有步骤,所述另一个这样产品的装置被配置成用于执行所述方法的剩余步骤。
10.如权利要求8或者9所述的产品,其中该产品被构成为计算机产品(P),实施所述计算机产品的程序的代码以由至少一个处理器执行所述方法。
全文摘要
按照以下方式实现一产品(E)的安全性机制(SM)使得配属给它的数据(D
文档编号H04L12/24GK1989755SQ200580024962
公开日2007年6月27日 申请日期2005年7月18日 优先权日2004年7月23日
发明者H·哈特拉格 申请人:西门子公司