专利名称:用于消息编码的方法和计算机系统的制作方法
背景技术:
在计算机网络的管理范围内各种网络协议是公知的。计算机网络的管理任务由于计算机的高度普及以及计算机的越来越广泛的联网而变得越来越困难,而为此必需的网络管理系统也变得越来越强大。在计算机网络管理的范畴内网络管理的安全性问题永远取得越来越重大意义。网络管理的安全性与在系统内所用的安全性技术有极大关系。
从文献(M.Rose,The simple Book,PTR Prentice Hall,2.版,ISBN 0-13-177254-6,第59-91页,1994)可以获悉用于网络管理的各种网络协议,例如在1型(SNMPv1和2型(SNMPv2)的简单-网络-管理-协议(SNMP)或公共-管理-互联网-协议(CMIP)。
对于或经本地计算机网络局域网(LAN)或在全球网络(宽域网,WAN)来监控和控制网络元件,迄今具有最广泛的传播。
SNMPv1在OSI-通信多层系统的范畴内安排在互联网协议用户-数据报协议(UDP)和互联网-协议(IP)之上。不仅UDP而且IP在安全性范围内具有很大的缺陷,因为在其协议内的安全性机构只有少许集成、直至完全没有集成。
无论SNMP或CMIP在以下都称作网络协议。
网络协议用于在包含一位所谓管理者的一台第1计数机单元和包含一位所谓中介的至少一台第2计数机单元之间的计算机网络-管理-信息的传输。在复杂的计算机网络内的一般至少一台管理站和任意数目的由管理者操作所监控和控制的计算机经网络协议受到监控和控制。
可是具有多个体系的网络管理结构格式同样是众知的,例如各受一个管理者监控的多台计算机以及各包含一个管理者操作的多个计算机,该管理者操作又由包含上一级管理者操作的另一台计算机监控或控制。
一台包含各网络协议的管理者操作的计算机以下称作第1计算机单元。
执行中介的每一台计算机单元以下称作第2计算机单元。
计算机无论安排成管理者或安排成中介都是可能的,相应地功能性包含在计算机2里。
各网络协议在计算机内可以或用硬件或用软件实现。
以下从简单的体系出发,即只描述第1计算机作为管理者监控和控制任意数目的第2计算机,中介,的情况。可是这只是较简单的描述。也在具有任意数目体系层次面的结构格式里应用本发明立刻是可能的。
在网络协议中,无论是从第1计算机单元到第2计算机单元传输信息或查询传输用于控制或监控第2计算机单元的控制值。
从第2计算机单元在网络协议范围内应用的信息以具有体系的数据库结构的所谓管理-信息-库(MIB)的形式储存,这在每个第2计算机单元里,在公知的网络协议中是通常的。
网络协议的管理信息的总结构在所谓的全球记录树,例如在全球SNMP记录树内储存。中介的MIB,即第2计算机单元是各网络协议的记录树的一部分。
为了在第1计算机单元和第2计算机单元之间传输信息,应用数字消息,例如SNMPv1消息。
SNMPv1消息包含版本,所谓的公用-字符串和SNMPv1-协议-数据-单元(PDU)。
用版本规定所用的网络协议的型。版本在执行各网络协议时被确定。
在SNMPv1公用-字符串作为口令用于对第2计算机单元的MIB的存取。在SNMPv1公用-字符串未编码地发送到中介。在中介处第2计算机单元将检验与SNMPv1一起被接收的公用-字符串是否有权对第2计算机单元存取。因为在SNMPv1口令是未编码传输的,所以滥用公用-字符串是轻易可能的,例如为了屏蔽潜在的侵害和为了不适当地对第2计算机单元存取,因为这对监听公用-字符串连同允准的用户的IP-发送器地址的潜在侵害者是极简单的。
因此SNMPv1汇集了实际上完全无效的安全性机构,尤其是汇集了完全无效的SNMPv1-管理者的确证并作为缺少的确证结果从中介方面而言汇集了完全不可靠的存取控制。此外SNMPv1完全不包含实施数据完整性或数据机密性的安全性机构的可能性。因此对于潜在的侵害者监听传输的SNMP-PDU或滥用管理者和中介之间传输的信息立刻是可能的。
在(M.Rose,The Simple Book,PTR Prentice Hall,2 AuflageISBN 0-13-177254-6,P59-91,1994)内详细描述了网络协议的编码规则。
虽然在SNMP的第2版本内安排了各种安全性机构,但尤其是管理密码的密钥是这样昂贵,以致于其艰巨性导致SNMPv2尽管与SNMPv1相比有极大的可能性管理计算机网络,但是跟SNMPv1相比不能在市场上实现。因此,最初的SNMPv2标准取消并且被可能在没有安全性情况下汇集的修改的标准取代。
根据与SNMPv1和SNMPv2比较根本上有更多的复杂性,CMIP不能考虑生产也不能在市场上获得成功。
此外同样在文献(M.Rose,The Simple Book,PTR Prentice Hall,2版ISBN 0-13-177254-6,第315页,1994)内描述了所谓中介的概念。
发明简述因此本发明的任务是提供一种数字消息编码、传输和解码的方法以及计算机系统,其中安排密码的安全性机构,该机构与公知的方法和设备相比是较简单的。
在根据权利1的方法中,应当从第1计算机单元传输到第2计算机单元的数字消息,在应用网络协议的编码格式的情况下编码成编码消息。编码的消息至少接受一次密码处理,并且经密码处理的编码的消息在应用网络协议的编码格式情况下重新编码。
在根据权利要求2的方法,消息根据网络协议的编码格式解码。此外,解码的密码处理的消息接受与至少一次密码处理相反的一次密码处理并且相反的密码处理的消息根据网络协议的编码格式进行解码。
在根据权利要求3的方法,应当从第1计算机单元传输到第2计算机单元的数字消息,在应用网络协议的编码格式情况下,编码成编码消息。编码的消息接受至少一次密码处理并且密码处理的编码消息在应用网络协议的编码格式情况下重新编码。在实现的编码之后全部消息从第1计算机单元到传输第2计算机单元。接收的消息在第2计算机单元内根据网络协议的编码格式解码。最终解码的消息接受与应用的密码处理相反的密码处理。在最后一个步骤相反的密码处理的消息根据网络协议的编码格式解码。
通过用各自的网络协议“双重的”编码或解码提出一种极简单的、符合标准的解法密码地保障网络协议的消息传输。
此外,本方法借助一台计算机简单的可实现性,因而快速的可执行性方面具有很大优点。
把网络协议可以保持不变,并且不必定义新的网络协议可看作另一优点。因此型转换或甚至网络协议的新定义是无须开销的。各网络协议的密码的安全性可以大为提高而无须更多的开销。
根据权利要求12的计算机系统具有至少一台计算机单元,该计算机单元是这样安排的,以致于本发明方法可根据权利要求1~11实现。
用于数字消息的、根据权利要求13的计算机系统在应用网络协议的编码格式情况下包含至少以下部件-在应用网络协议的编码格式的情况下,用于把数字消息编码成编码消息的第1装置,-用于已编码消息的密码处理的第2装置,-在应用网络协议的编码格式的情况下,用于对密码处理的消息编码的第3装置,用于数字消息解码的、根据权利要求14计算机系统,该系统处于网络协议的编码格式内,包含至少以下部件--用于接收第1计算机单元已编码文处理消息的第5装置,--用于根据网络协议的编码格式对已接收的消息解码的第6装置,--用于与已解码的密码处理的消息相反的密码处理的第7装置,--用于根据网络协议的编码格式对相反的密码处理的消息解码的第8装置。
根据权利要求15用于数字消息编码的和从第1计算机单元到第2计算机单元传输消息以及消息解码的计算机系统,它包含至少以下部件-第1计算机单元,至少包含以下部件--在应用网络协议编码格式的情况下,用于把数字消息编码成编码消息的第1装置,--用于已编码消息的密码处理的第2装置,--在应用网络协议的编码格式的情况下,对密码处理的消息编码的第3装置,--用于从第1计算机单元到第2计算机单元发送已编码的密码处理的消息的第4装置,
--第2计算机单元,至少包含以下部件--用于接收第1计算机单元已编码的密码处理的消息的第5装置,--用于根据网络协议的编码格式对已接收的消息解码的第6装置,--用于与已解码的密码处理消息相反的密码处理的第7装置。
--用于根据网络协议的编码格式对已解码的密码处理的消息解码的第8装置。
因此该计算机系统也具有上面结合本发明方法所述的优点。
本发明有益的扩展由有关的权利要求给出。
特别有利的是与SNMPv1有关的本方法作为网络协议是可应用的,因为对SNMPv1而言迄今实际上尚不存在密码的安全性。
然而甚至在其它网络协议情况下也可以应用这个方法以及用于实施本方法的相应的装置,因为在那里也大大降低了各网络协议的总体复杂性。
此外在计算机系统用于编码消息的密码处理的第2装置,用于在应用网络协议的编码格式情况下对密码处理的消息进行编码的第3装置以及用于把已编码的密码处理的消息发送到第2计算机单元的第4装置安排成所谓的代理-中介是有益的,该代理-中介通过认为可靠的通信连接在应用网络协议的情况下连接到对数字消息编码的第1装置。第1代理-中介和第1计算机单元可以共同在一个计算机单元内也可以在两个不同的计算机单元内实现。
按照这种方式在应用代理技术的情况下,该代理技术可以从文献(M.Rose,The simple Book,RTR Prentice Hall,2.版,ISBN 0-13-177254-6,第315页,1994)获悉,达到实现用于网络协议的编码格式的消息的密码-安全传输的计算机系统。
当用于接收编码的密码处理的消息的第5装置,和用于根据网络协议的编码格式对接收的消息进行编码的第6装置以及用于与已解码的密码处理的消息相反的密码处理的第6装置共同在第2代理-中介内实现时同样也给出这个优点,上述中介通过认为可靠的通信连接在应用网络协议情况下与第2计算机单元的中介相连接。
附图简述在附图中描述下面将详细说明的本发明的实施例。即图1示出流程图,在流程图中描述了带有获取-请求实施细节的本发明的方法;图2示出流程图,在流程图中用带有设置-请求实施细节的其方法步骤描绘了本方法;图3示出流程图,在流程图中以概念化方式描述了本方法;图4示出密码处理的SNMPv1-消息可能建立的略图,其中实现了用于确证原始数据安全性机构;图5示出密码处理的SNMPv1-消息可能的建立,用该消息实现安全性业务的完整以及传输的SNMPv1-消息的机密;图6示出密码处理的SNMPv1-消息可能的建立,其中实现SNMPv1-消息的机密的安全性业务。
获取-请求图1象征性地描绘了第1计算机单元C1和第2计算机单元C2。第1计算机单元C1具有SNMPv1的管理操作MA以及第1代理-中介PA1。
第2计算机单元C2具有SNMPv1中介AQ以及第2计算机单元C2方面的第2代理-中介PA2。
在第1步骤101,在第1计算机单元C1内形成获取-请求。形成获取-请求应理解为在应用SNMPv1-网络协议的编码格式的情况下把已编码的数字消息编码成已编码的消息。这在应用网络协议编码格式情况下在用于数字消息编码的第1计算机单元C1的第1装置101内进行。
在第2步骤C2,获取-请求,即已编码的消息CN从第1装置N1发送到第1计算机C1方面的第1代理-中介PA1。
在第3步骤103在第1代理-中介PA1内接收已编码的消息CN。
在第4步骤104在第1代理-中介内已编码的消息CN至少接受一次密码方法。在第4步骤104内为了对已编码消息进行密码处理投入使用第2装置104。
对于密码方法应当理解为例如用于确证,用于保障数据完整或甚至用于数字数据的译码的每一种任意的密码方法。这时例如RSA-方法或甚至称为DES-方法的数据-加密-标准也可以有了用处。
作为结果人们获得密码处理的信息KBN,其格式在图3到图6内描绘并详细说明如下。
在第5步骤105在应用SNMP-网络协议的编码格式的情况下对密码处理消息KBN重新编码。关于这个方法步骤应当理解为密码处理的获取-请求首先在设置-请求内编码即封装。此外提供了在应用网络协议的编码格式情况下用于对密码处理消息进行编码的第3装置105。
正如以下所了解的那样,应当从第1计算机单元C1到第2计算机C2传输的每一种信息在第5步骤105内作为设置-请求编码是有好处的。这是有益的,因为用于获取-请求的SNMPv1的语法除了应传输的网络数据之外只许可目标-标识符。在SNMPv1情况下不可能在SNMP-获取-请求内捆扎密码处理的信息。
在第6步骤106,设置-请求作为已编码的密码处理的信息CKN从第1计算机单元C1传输到第2计算机单元C2,即从第1代理-中介PA1传输到第2代理-中介PA2。
在第7步骤107,由第2计算机单元C2的第2代理-中介接收已编码的密码处理的消息。为此提供了用于接收已编码的密码处理的消息CKN的第5装置107。
在第8步骤108从第2代理-中介PA2符合标准地作为对设置-请求的应答把获取-响应发送到第1计算机单元C1。获取-响应作为确证包含各自的故障状态。
在第9步骤109在应用网络协议的编码格式情况下对接收的编码的密码处理的消息CKN去封装,即解码。根据SNMPv1-协议的编码格式提供了用于已接收消息解码的第6装置109。
在第10步骤110与分别提供的密码方法相反的例如用于传输数据的确证、译码或保障其完整性的密码处理方法由第2代理-中介PA2用到已解码的密码处理的消息DKN。为此提供了用于与已解码的密码处理消息DKN相反的密码处理的第6装置110。
此外,相反的密码处理消息IKN,即原始获取-请求从第2代理-中介PA2发送到第2计算机单元C2的中介操作AG。
在第11步骤111获取-请求被中介AG接收。为此提供了接收获取-请求的第8装置。
在下一步骤112根据SNMPv1-协议与数字消息的编码格式相反的密码处理的消息进行解码。即估算。这意味着对获取-请求的特殊情况,读出对获取-请求所要求的、储存在中介AG的MIB内的关于所谓管理目的(MO)重要性的信息。实际上要求哪一种信息的说明是作为目的-标识符包含在开始的获取-请求内的。
因此在第12步骤112内执行所要求的动作,即在这种情况下读出所要求的信息,有关管理目的重要性的信息。为此提供了用于实施所要求动作的新装置112。
正如在SNMPv1所规定的那样,由第2计算机单元内的中介AG作为对获取-请求的应答形成了获取-响应,并且在第13步骤113内发送到第2代理-中介PA2。获取-响应包含动作的结果,该动作是在获取-请求内第1计算机单元C1所要求的。
获取-响应以下称为应答消息AN。应答消息AN既可以直接传输到第1计算机单元C1或者为了提高密码的安全性,根据网络协议的编码格式再一次编码。在第2计算机单元C2内提供第10装置113用于发送动作结果到第1计算机单元C1。
此外提供第11装置113用于形成应答消息AN,该应答消息AN包含动作结果并用于根据SNMPv1-协议的编码格式对应答消息AN进行编码。
在第14方法步骤114由代理-中介PA2接收应答消息AN。为此提供了第12装置用于接收应答消息AN。
在第15步骤115已编码的应答消息AN至少接受一种密码方法。为此提供了第13装置115用于通过至少有一种密码方法处理应答消息AN。该方法步骤的结果是在安全性范畴内封装的获取-响应。
密码处理的应答消息KBAN储存在第2代理-中介PA2内的安全性-MIB内(步骤116)。安全性-MIB的建立详细说明如下。
为了获得密码处理的应答消息KBAN,由第1计算机单元C1的第1代理-中介PA1形成获取-请求,即呼叫消息ABN。为此提供了第14装置117用于根据SNMPv1-协议的编码格式形成和编码呼叫消息ABN,第2计算机单元C2要求密码处理的应答消息KBAN连同呼叫消息。此外,已编码的呼叫消息ABN从第1计算机单元C1发送到第2计算机单元C2。
在第18步骤118,在第2代理-中介PA2内接收呼叫消息,即在这种情况下接收获取-请求并且在这种情况下包含密码处理的应答消息KBAN符合标准地发送到第1代理-中介PA1。为此在第2计算机单元C2内提供第15装置118用于接收呼叫消息ABN以及用于根据SNMPv1-协议的编码格式,对呼叫消息ABN内所要求的密码处理的应答消息KBAN进行编码,即用于对所要求的获取-响应进行编码。
已编码的密码处理的应答消息从第2代理-中介PA2传输到第1代理-中介PA1。
在下一步骤119,在第1代理-中介PA1内接收包含在符合标准的获取-响应内的已编码的密码处理的应答消息。为此提供了第16装置119用于在第1计算机单元C1内接收获取-响应。
在下一步骤120,对获取-请求解码,即去封装并且把原来由第2计算机C2的中介AG形成的获取-响应发送到第1计算机单元C1的管理操作MA。为此提供了第17装置120用于对获取-响应进行解码并用于原来包含在获取-响应内所要求信息的获取-响应发送到管理操作MA。
在最后的步骤121,获取-响应被管理操作MA接收并对所要求的数值进行估算和储存。为此提供了第18装置用于在管理操作MA接收和估算管理信息。
按照这种方式不必改变大的额外开销和SNMPv1的方法,通信的密码的保护是可能的。
获取-下一个-请求对于同样在SNMPv1-协议的范畴内提供的获取-下一个-请求,按照对获取-请求描述的同一方式实现,只是对各管理目标所要求的数值应用一个改变了的、相当匹配的目标-标识符。
设置-请求在图2作为编码数字消息CN描绘了设置-请求的一种方法。为了简化说明在下面描述本方法,相应地安排了装置,以便可以用计算机单元C1,C2执行各个方法步骤。
在第1步骤201对设置-请求,即对数字消息进行编码。
以第2步骤202把设置-请求即已编码的消息CN从第计算机单元的管理者MA发送到第1代理-中介PA1。
在第3步骤203,已编码的消息CN被1代理-中介PA1接收。
在第4步骤204,把密码方法用于已编码的消息CN。密码处理结果是一个密码处理消息KBN。
在第5步骤205,密码处理的消息KBN加上已编码的密码处理的消息CKN在应用SNMPv1-协议的编码格式情况下重新编码,为此重新应用获取-请求。
把设置-请求从第1代理-中介PA1发送到第2代理-中介PA2(步骤206)。
在第7步骤207设置-请求被第2代理-中介PA2接收。
作为对设置-请求的接收的反应,第2代理-中介PA2符合标准地发送获取-响应,该获取-响应作为确证包含应急状态(步骤208)。
在下一个步骤209对已编码的密码处理的消息解码即“去封装”。结果是已解码的密码处理消息DKN。
在第10步骤210分别与所用的密码方法相反的密码方法用于密码处理的消息DKN。此外相反的密码处理的消息IKN,即原始设置-请求从第2代理-中介PA2发送到第2计算机单元C2的中介AG。
在第11步骤211由中介AG接收已解码的密码处理的消息以及在下一步骤212执行在设置-请求中规定的动作。
作为反应第2计算机单元C2的中介AG符合标准地发送以获取-请求的形式的应答消息AN到第2代理-中介PA2(步骤213)。
在第14步骤214第2代理-中介PA2接收应答消息AN。
在第15步骤215至少一种预定的密码处理方法用于应答消息AN。
以下一些方法步骤216,217,218,219,220以及221相当于与获取-请求有关的上述方法,即方法步骤116,117,118,120以及121。
安全性-MIB包含记录,该记录在其结构方面应用了普通的语法用于描述管理目的。把单意的目标-标识符分配给在安全性-MIB内的记录,该目标-标识符用于单意识别在安全性-MIB内的记录。目标-标识符寄存在全球的SNMP-MIB内。因此可以实现各管理的-目标的目的和语法是公知的。在安全性-MIB内可以记录上述机构的任意组合并因此在方法的范畴内加以考虑。
这种安全性-MIB的ASN.1(抽象语法表示法1)内可能的例子-语法描绘如下。
可能的、封装的管理的目标的语法是OCTET STRING(八位字符串)。这样一种封装的管理目标的建立如下
<pre listing-type="program-listing"><![CDATA[SecureMO= SEQUENCE { plainHeader, EncapsulatedData }plainHeader= SEQUENCE { SecurityAssociationID, UsedAlgorithms, AlgorithmParameters }EncapsulatedData= OCTET STRING -- signed,encrypted,or integrity protected --ASN.1-encoded dataSecurityAssociation and″encrypted″AlgorithmParameters= --necessary parameters for the particular --algorithms in use]]></pre>
应用的算法的参量值按照下述图表形成。它可以表示为长3位的位一字符串,其中最低的有效位的位表示数字签名的应用,带有次最低的有效位例如表示是否提供保障数字完整性的机构,而最高的有效位则表示数据是否加密。
因此消息的每次加密的处理可以表示为带有长3的一个位-字符串。密码处理的消息作为OC□E□ STRING编码。如果它并非由八个可分的位数构成,则它仍能够通过应用所谓的填充,即通过填充位而非语义的意义扩展到OC□E□ S□RING。
这种状况示范地描绘在图3的流程图内。
SNMPv1-请求SR根据在ASN.1各网络协议的(编码规则,语法定义,ER)进行编码301。在第2步骤中对各密码方法已编码的SNMP-请求CSR,即已编码的消息CN这时例如密码的密钥、参量用于所用算法的数据资料以及附加的信息、公共的密码信息VI用于实现各密码方法。
在步骤303中产生的位-字符串BS例如通过填充位的填充例如在应用加字符PA的情况下转换成OCTET S□RINGOS。相应地反而实现了对相反的密码处理的抽象的优先方式。
把现行的功能在可能的地方用于在SNMPv1的范畴内保障通信是有益的,并且在必须的地方用其它的密码方法加强这种安全性的功能。
所以把SNMPv1内的公用-字符串的概念也用于这方法的范畴内是有益的。在公用概念的范畴内定义群并且把对群的各成员的存取权分配给单个的群。公用以及分配给公用的存取权是SNMPv1-中介的一个配置部分。各公用与专用的安全性机构联系是有益的。所以在密码方法范畴内分别应用的各种密码算法,密码密钥以及相应的参量、公用成员分配给公用是有益的。
符合标准的目标-标识符主要用作应在密码方法内应用的项目。
在安全性配置的情况下,应用以下称作密钥-标识符的、存储的密码密钥的目标-标识符主要取代密码密钥。通过这种优先方式更好保障了密钥材料。
此外各密钥材料通过例如其内包含密码密钥的数据被编码提供专用的硬件单元用于密码密钥例如芯片卡而受到强烈保护。
各应该使用的实施细节由安全性政策产生,说安全性政策根据应用可以强烈变化的。
数据群的以确证为了能够实现原始数据确证的安全性业务在密码处理的消息内提供例如以下信息(参照图4)。
SNMPv1-请求,即编码的消息CN通过带有以下标题信息或随附信息的密码处理来封装,由此产生密码处理消息KBN。
确证-标题AH包含一个密钥-标识符KID,用密钥-标识符经目标-标识符规定各应使用的密码的密钥,并包含一个算法-标识符AID,用算法-标识符规定用于确证的各应使用的密码算法,以及包含算法参量,用算法参量规定在确证范畴内使用哪一个参量,还包含一个时标TS以及一个随机数RN。
此外提供一个数字文字地址作为随附信息TI。可以指定例如非对称RSA-方法作为确证算法。
对管理信息的随机控制SNMPv1-随机控制建立在两个机构上的。
第1,具有以下三个值中一个的随机控制位分配给MIB内的每个管理-目标。
-Read-Only(只读),-Read-Write(读-写),-Write-Only(只写),-Not-accessable(非存取的)第2,一个所谓的MIB-视图与各存取权利一起分配给在SNMPv1-中介配置内的每个共同体,MIB-视图包含一个预定数的目标-标识符,该目标-标识符标明SNMP-记录一树的各种树杈或所谓的树叶。
各存取权具有下述值之一。
-Read-Only(只读),-Write-Only(只写),-Read-Write(读-写),-None(无)。
SNMP-请求的数据完整性保障为了保护数据完整性使用数据完整性的密码保障的机构。为此形成有关的SNMPv1-请求或其一部分的数据完整性检验总数。这可以例如借助所谓密码-块-链接-模式(CBC-模块)内的DES实现。对这专用的机构必须应用64位长的初始化值,该初始化法值对各安全性群每一参加者必须是已知的。初始化值是部分算法参量AP,这些参量在密码处理文消息KBN的标题-信息HI内应用(参照图5)此外标标题-信息HI具有密钥-标识符KID以及算法-标识符AID,其功能性是与在确证情况下相同的。
此外在随附-信息TI内提供一个完整性检验值ICV。
SNMPv1-请求的编码。
传输的SNMPv1-数据的兼容性能以与保障数据完整性的类似方式实现。为了编码,可以例如重新应用在CBC-模式中的DES方法。在这种情况下作为算法参量AP的初始化值以及密码处理消息KBN的标题-信息再度是必要的(参照图6)在标题-信息HI内再度提供密钥-标识符KID以及具有上述功能性的算法-标识符AID。
此外可提供通信协议化用的机构以及再度在发现入侵企图时报警用机构。
在方案的范畴内可以极有利地应用本方法和计算机系统,其中通信网络的供方可提供给业务方支配通信网络的带宽,可供第3者支配额外的业务,这种支配并不提供像这样的通信网络。在这方面本方法以及计算机系统可以有益地例如用于控制或也可以用于结算由全部通信网络的供方支配的资源。在这种情况下在全部通信网络的供方的计算机里实现管理程序,并且分别在附加业务的供方实现中介代理。
在上述实施例的一个方案中规定应答消息直接编码而不等待呼叫消息,并且发送给第1计算机单元。因此在第2计算机单元内下述步骤是不必要的。
-在第1计算机单元内根据网络协议的编码格式对呼叫消息编码,由于这编码第2计算机单元要求密码处理的应答消息,-呼叫消息从第1计算机单元传输到第2计算机单元,以及-接收呼叫消息。
相应地适合于计算机系统显而易见,本方法可以这样描绘,为了符合标准的网络协议,例如为了SNMPPv1协议,一种密码方法用于各SNMP-请求或也用于CMIP-请求,以此达到SNMP-请求的密码保障或CMIP-请求的密码保障。可是为了应用符合标准的SNMP-方法,密码处理的消息,用网络协议各自的编码格式重新编码。这相当于网络协议“双重”应用于编码的消息。
权利要求
1.在应用网络协议的编码格式情况下对数字消息编码的方法,-其中,在应用网络协议的编码格式情况下把消息编码成编码的消息,-其中,编码的消息接受至少一次密码处理方法,以及-其中,在应用网络协议的编码格式情况下对密码处理的消息进行编码。
2.对处于网络协议编码格式的数字消息的解码方法,-其中,消息根据网络协议的编码格式进行解码,-其中,已解码的密码处理的消息接受与至少一种密码处理方法相反的密码处理方法,以及-其中,根据网络协议的编码格式对相反的密码处理的消息进行解码。
3.用于数字消息编码,用于从第1计算机单元到第2计算机单元传输消息以及用于消息解码的方法,-其中,在第1计算机单元实现以下步骤--在应用网络协议的编码格式的情况下消息编码成编码消息,--编码消息至少接受一次密码处理方法,--密码处理的消息在应用网络协议的编码格式的情况下进行编码,--其中,已编码的密码处理的消息从第1计算机单元传输到第2计算机单元,-其中,在第2计算机单元实现以下步骤--接收的信号根据网络协议的编码格式进行解码,-已解码的密码处理的消息消接受一次与至少一次密码处理方法相反的密码处理方法,以及-相反的密码处理的消息根据网络协议的编码格式解码成数字消息。
4.根据权利要求3的方法,-其中,数字消息包含对执行一个预定的动作的请求,-其中,在第2计算机单元里执行所要求的动作,-其中,在第2计算机单元里把动作结果以应答消息的方式发送到第1计算机单元。
5.根据权利要求3的方法,-其中,数字消息包含对执行一个预定的动作的请求,-其中,在第2计算机单元执行所要求的动作,-其中,在第2计算机单元里形成应答消息,该应答消息包含动作结果,-其中,在第2计算机单元里根据网络协议的编码格式对应答消息进行编码,-其中,在第2计算机单元里应答消息接受至少一次密码处理方法,-其中,在第2计算机单元里储存密码处理的应答消息,-其中,在第1计算机里根据网络协议的编码格式对呼叫消息进行编码,用此消息由第2计算机单元要求密码处理的应答消息,-其中,呼叫消息从第1计算机单元传输到第2计算机单元,-其中,呼叫消息被第2计算机单元接收,-其中,密码处理过的应答消息根据网络协议的编码格式进行编码,以及-其中,编码的密码处理的应答消息从第2计算机单元传输到第1计算机单元。
6.根据权利要求3的方法,-其中,数字消息包含对执行一个预定动作的请求,-其中,在第2计算机单元里执行所要求的动作,-其中,在第2计算机单元里形成应答消息,该应答消息包含动作结果,-其中,在第2计算机单元里根据网络协议的编码格式对应答消息编码,-其中,在第2计算机单元里应答消息至少接受一次密码处理方法,-其中,根据网络协议的编码格式对密码处理的应答消息进行编码,和-其中,编码的密码处理的应答消息从第2计算机单元传输到第1计算机单元。
7.根据权利要求2到6之一的方法,其中,在第2计算机单元里密码处理的应答消息储存在管理信息库(MIB)里。
8.根据权利要求1到4之一的方法,其中,简单的网络管理协议版本1(SNMPv1)作为网络协议使用。
9.根据权利要求8的方法,-其中,在第1计算机单元里在对密码处理的消息编码时形成设置请求,以及-其中设置请求从第1计算机单元传输到第2计算机单元。
10.根据权利要求8和9的方法,-其中,获取-请求作为呼叫消息用,-其中,在对所要求的密码处理的应答消息编码时形成获取-响应。
11.根据权利要求4到10之一的方法,其中,作为动作,传输第2计算机单元的信息询问和/或信息数据。
12.具有至少一台计算机单元的装置,该装置是这样建立的,以至根据权利要求1到11之一的方法是可执行的。
13.在应用网络协议的编码格式情况下对数字消息进行编码的装置,该协议至少包含以下部分;-在应用网络协议的编码格式情况下用于把数字消息编码成编码消息的第1装置,-用于编码消息的密码处理的第2装置,-在应用网络协议的编码格式情况下,用于对密码处理的消息进行编码的第3装置,
14.对以网络协议的编码格式存在的数字消息进行解码的装置,该协议至少包含以下部分;--用于接收来自第1计算机单元的编码的密码处理的消息的第5装置,--用于根据网络协议的编码格式对已接收的消息解码的第6装置,--用于与已解码的密码处理的消息相反的密码处理的第7装置,--用于根据网络协议的编码格式对相反的密码处理的消息解码的第8装置,
15.用于数字消息编码和用于消息从第1计算机单元传输到第2计算机单元以及用于消息解码的装置,-其中提供第1计算机单元,它至少包含以下部件--在应用网络协议的编码格式的情况下用于把数字消息编码成编码消息的第1装置,--用于编码消息密码处理的第2装置,--在应用网络协议的编码格式的情况下用于密码处理的消息的编码第3装置,--用于将编码的密码处理的消息从第1计算机单元发送到第2计算机单元的第4装置,-其中提供第2计算机单元,它至少包含以下部件--用于接收来自第1计算机单元的编码的密码处理消息的第5装置,--用于根据网络协议的编码格式对接收的消息解码的第6装置,--用于与已解码的密码处理的消息相反的密码处理的第7装置,--用于根据网络协议的编码格式对相反的密码处理的消息解码的第8装置。
16.根据权利要求13或15的装置,其中,提供第1装置作为第3装置。
17.根据权利要求14或15的装置,其中,提供第6装置作为第8装置。
18.根据权利要求15到17之一的装置,-其中,数字消息包含对执行一个预定动作的请求,-其中,在第2计算机单元里提供用于实现所要求动作的第9装置,和-其中,在第2计算机单元里提供用于把动作结果发送到第1计算机单元的第10装置。
19.根据权利要求15到18之一的装置,-其中,数字消息包含对执行一个预定动作的请求,-其中,在第2计算机单元里提供用于实现所要求的动作的第9装置,-其中,在第2计算机单元里提供用于形成应答消息的第11装置,该消息包含动作结果,-其中,在第2计算机单元里根据网络协议的编码格式提供用于对应答消息进行编码的第12装置,-其中,在第2计算机单元里提供用至少一个密码处理方法处理应答消息的第13装置,-其中,在第2计算机单元里提供用于对密码处理的应答消息储存的第14装置,-其中,在第1计算机单元里提供根据网络协议的编码格式形成和编码呼叫消息的第15装置,用此,由第2计算机所要求密码处理的应答消息,-其中,在第1计算机单元里提供用于把呼叫消息从第1计算机单元发送到第2计算机单元的第16装置,-其中,在第2计算机单元提供用于接收呼叫消息的第17装置,-其中,在第2计算机单元提供根据网络协议的编码格式对在呼叫消息里所要求的密码处理的应答消息编码的第18装置,以及-其中,在第2计算机单元里提供把编码的密码处理的应答消息从第2计算机单元发送到第1计算机单元的第19装置。
20.根据权利要求15到18之一的装置,-其中,数字消息包含对执行一个预定的动作的请求,-其中,在第2计算机单元里提供用于实现所要求动作的第9装置,-其中,在第2计算机单元里提供用于形成应答消息的第11装置,该应答消息包含动作结果,-其中,在第2计算机单元里提供根据网络协议的编码格式对应答消息编码的第12装置,-其中,在第2计算机单元里提供用至少一个密码处理方法处理应答消息的第13装置,-其中,在第2计算机单元里提供根据网络协议的编码格式对密码处理的应答消息编码的第18装置,-其中,在第2计算机单元里提供把编码的密码处理的应答消息从第2计算机单元发送到第1计算机单元的第19装置。
21.根据权利要求19或20的装置,其中,第14装置是这样安排的,以致于密码处理的应答消息存储在管理信息库(MIB)内。
22.根据权利要求13到21之一的装置,它是这样设计的,以致于简单的网络管理协议版本1(SNMPv1)作为网络协议使用。
23.根据权利要求13或15的装置,-它是这样设计的,以致于简单的网络管理协议版本1(SNMPv1)作为网络协议使用,以及-其中,用于对密码处理的消息的第3装置是这样设计的,以致于在对密码处理的消息进行编码时形成设置请求。
24.根据权利要求22的装置,-其中,用于形成和编码呼叫消息的第15装置是这样设计的,以致于形成获取-请求,-其中,用于对在呼叫消息里要求的密码处理的应答消息进行编码的第18装置是这样设计的,以致于形成获取-响应。
25.根据权利要求15到24之一的装置,其中,提供第2计算机单元的信息询问和/或信息数据作为动作。
26.根据权利要求12到25之一的装置,其中,第2装置,第3装置和第4装置一起设计成为第1代理中介和/或其中,第5装置,第6装置和第7装置一起设计成为第2代理中介。
27.应用通信网络的通信系统包括通信网络的管理者和通信网络的中间管理者在内以及大大超越由通信网络提供的业务的其它业务,用按照权利要求13到26的计算机系统提供给用户。
全文摘要
本发明介绍了一种用于网络协议例如用于SNMPv1的方法,根据本方法在第1计算机单元(C1)内,在应用网络协议的编码格式的情况下把消息编码(101)成编码的消息(CN)。已编码的消息(CN)受到密码处理(104)。由此形成的密码处理过的消息(KBN)在应用网络协议的编码格式的情况下重新编码(105)。按此方式编码的密码处理过的消息(CKN)从第1计算机单元(C1)传输到第2计算机单元(C2)。在第2计算机单元(C2)内接收的消息随后根据网络协议的编码格式解码(109),并且已解码的消息(DKN)受到相反的密码处理(110)。随后相反的密码处理过的消息(IKN)根据网络协议的编码格式重新解码。
文档编号H04L12/24GK1261492SQ98806609
公开日2000年7月26日 申请日期1998年6月19日 优先权日1997年6月26日
发明者C·卡佩拉洛, G·霍夫曼, K·卢卡斯, M·蒙策尔特 申请人:西门子公司