專利名稱:用于在可區(qū)分的網(wǎng)絡(luò)之間安全交換數(shù)據(jù)的方法和轉(zhuǎn)換接口的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在可區(qū)分的網(wǎng)絡(luò)之間,尤其是一個外部網(wǎng)和一個內(nèi)部網(wǎng)之間�,例如互聯(lián)網(wǎng)和一個企業(yè)內(nèi)部網(wǎng),安全交換數(shù)據(jù)的方法和轉(zhuǎn)換接口�。
這種在具有可區(qū)分的加密標(biāo)準(zhǔn)的網(wǎng)絡(luò)之間安全交換的方法和裝置屬于現(xiàn)有技術(shù)。
按照現(xiàn)有技術(shù)���,一個內(nèi)部的數(shù)據(jù)網(wǎng)通過一個所謂的接口與外部網(wǎng)分開�。安全接口在最佳的情況下包括一個外部的和一個內(nèi)部的服務(wù)器���,它們通過一個防火墻相互連接���?��?赡馨l(fā)生的由外部服務(wù)器收到的用戶查詢在外部服務(wù)器中被處理,并且在經(jīng)過不同的安全檢查后通過防火墻給到內(nèi)部服務(wù)器����,它接著讀取在被保護(hù)的內(nèi)部網(wǎng)中存儲的數(shù)據(jù)���。
內(nèi)部和外部服務(wù)器之間的防火墻應(yīng)該阻止從外部��,尤其是濫用或改變內(nèi)部網(wǎng)的受保護(hù)數(shù)據(jù)��。
防火墻阻止了無相應(yīng)權(quán)利的外部用戶與內(nèi)部網(wǎng)建立數(shù)據(jù)連接���,以及在建立了數(shù)據(jù)連接時不安全的數(shù)據(jù),例如病毒程序��,通過防火墻進(jìn)入內(nèi)部網(wǎng)���。這樣例如在缺少授權(quán)時也阻礙了容許的用戶所要的對內(nèi)部數(shù)據(jù)業(yè)務(wù)的查詢���。
為此通常的解決方案是開放一個附加的專用的用戶-網(wǎng)關(guān)�,它容許相應(yīng)的讀取�。這也有缺點通過這個雖說特別安全的網(wǎng)關(guān)仍可能讀取內(nèi)部網(wǎng)數(shù)據(jù)。
另一個解決方案保留所有可能發(fā)生的用戶查詢在外部服務(wù)器上�,并且從而避免了可能發(fā)生的,不希望的�����,有危險的�,直接向外的數(shù)據(jù)連接。然而這種方案的缺點在于����,可能發(fā)生的秘密的用戶數(shù)據(jù)被中間存儲在不受保護(hù)的外部服務(wù)器上。由于這個原因���,數(shù)據(jù)通常通過映射被均衡�����。由于由此而增加的數(shù)據(jù)量����,這導(dǎo)致要求提高處理器能力或?qū)е虏畹臅r間性能。此外在此解決方案中實時讀取內(nèi)部網(wǎng)的受保護(hù)數(shù)據(jù)幾乎是不可能的��。
WO97/19611公開了一種解決此問題的方案�����,稱為“加密-網(wǎng)關(guān)-接口”(SGI)�,它試圖這樣解決上述問題,首先基于用戶請求進(jìn)行用戶授權(quán)�����,并且在用戶具有相應(yīng)權(quán)利的情況下接著由外部服務(wù)器按照用戶查詢產(chǎn)生一個自己容許的查詢�。這樣得到由用戶傳送的數(shù)據(jù)和最終用于進(jìn)一步處理的數(shù)據(jù)之間的真正分離���。由外部服務(wù)器產(chǎn)生的請求接著通過進(jìn)一步的安全程序處理����,經(jīng)過防火墻繼續(xù)傳送給內(nèi)部服務(wù)器����,并且接著在內(nèi)部網(wǎng)中被處理,一個回答經(jīng)過外部服務(wù)器被傳送給用戶���。這個系統(tǒng)保證了內(nèi)部和外部網(wǎng)絡(luò)的完全無關(guān)聯(lián)���。然而仍然沒有解決下述問題對于從外部對外部服務(wù)器的讀取���,容許利用的數(shù)據(jù)仍然沒有受到保護(hù)。如果外部不受保護(hù)的服務(wù)器上的一個濫用讀取成功了���,不容許的查詢可以通過相應(yīng)發(fā)送的操作來產(chǎn)生����。這是特別可能的���,因為有效查詢的授權(quán)肯定在外部服務(wù)器上進(jìn)行����,從而在系統(tǒng)的廣泛的不安全的范圍中被授權(quán)�����。
本發(fā)明的目的在于給出在可區(qū)分的網(wǎng)絡(luò)間安全交換數(shù)據(jù)的一種方法和一種裝置��,保證兩個網(wǎng)絡(luò)間的完全無關(guān)聯(lián)�,并克服現(xiàn)有技術(shù)的上述缺點。
此任務(wù)中用于安全交換數(shù)據(jù)的方法由權(quán)利要求1所述方案解決,一個轉(zhuǎn)換接口如權(quán)利要求15所述��。
這樣��,不同于現(xiàn)有技術(shù)���,所有外部用戶查詢被一個接口服務(wù)器處理����,并以規(guī)定的形式中間存儲在一個接口存儲器中�����,包括用戶授權(quán)在內(nèi)的查詢的整個處理卻是在安全的內(nèi)部網(wǎng)中進(jìn)行��,絕不可能從外部讀取內(nèi)部網(wǎng)的涉及安全的數(shù)據(jù)領(lǐng)域��。
本發(fā)明的其它優(yōu)化方案由權(quán)利要求2至14給出��。
如權(quán)利要求2所述�,存儲在接口存儲器中的等候隊伍只被內(nèi)部服務(wù)器以規(guī)定的頻率查詢���,從而不可能由一個外部網(wǎng)主動地起動內(nèi)部網(wǎng)中的任何數(shù)據(jù)業(yè)務(wù)�,因為整個起動工作從內(nèi)部網(wǎng)的安全范圍出發(fā),并且也由此開始并接著在這里進(jìn)行���。尤其是用戶的授權(quán)也算作起動工作����。
本方法的安全性可通過應(yīng)用中立區(qū)與連接的外部網(wǎng)之間的外部防火墻而進(jìn)一步提高���。此外這樣對存儲在中立區(qū)中的數(shù)據(jù)的胡亂讀取是困難的��,即使當(dāng)這些數(shù)據(jù)不涉及安全問題時也如此���。
在此意義上安全性的進(jìn)一步提高通過中立區(qū)和內(nèi)部網(wǎng)之間的另一個內(nèi)部防火墻實現(xiàn)。內(nèi)部防火墻也保證了反間諜活動的有效性���,即防止從內(nèi)部網(wǎng)讀取中立區(qū)所存儲的用戶數(shù)據(jù)��。
內(nèi)部防火墻迫使一個唯一的非間接的通信���。其中原則上僅有來自內(nèi)部網(wǎng)范圍的調(diào)用是可接受的。由中立區(qū)在受保護(hù)的內(nèi)部網(wǎng)范圍中的調(diào)用是不可能的����。
用戶查詢可以不同的數(shù)據(jù)格式輸入����,為此這可能是有意義的在中立區(qū)設(shè)置一個專用的外部服務(wù)器���,它主管某個選出的數(shù)據(jù)格式并在繼續(xù)傳送在此輸入的用戶查詢到自己的接口服務(wù)器去之前首先變換它���,并且必要時傳送一個輸入證實到用戶。
由于在接口存儲器的等待隊伍中被接受的查詢直至其完全被處理一直被中間存儲���,在一個完整的系統(tǒng)故障之后�,處理本身可基本上無數(shù)據(jù)丟失地仍被記錄��。在最壞的情況下��,查詢的處理必須被重復(fù)�。因此本發(fā)明方法是在最大程度上對故障安全的,這不僅是提高數(shù)據(jù)安全性的措施��,而且也是提高管理友好性的措施��。
本發(fā)明方法的另一個有用特征在于�����,處理速度可以適配于相應(yīng)的負(fù)荷����。這一方面可如權(quán)利要求7所述那樣通過對接口存儲器的查詢的取決于負(fù)荷的頻率控制實現(xiàn)。
然而這也可以有優(yōu)點地通過激活接口位置服務(wù)器和/或內(nèi)部服務(wù)器內(nèi)的并行過程實現(xiàn)�。其中負(fù)荷控制由系統(tǒng)的外部服務(wù)器或借助于防火墻的一個負(fù)荷控制模塊實現(xiàn)。這有一定的意義�����,因為負(fù)荷控制被設(shè)置于在讀取方向上位于接口服務(wù)器和/或內(nèi)部服務(wù)器前面的位置上�,從而要求的過程容量可在其被需要之前準(zhǔn)備好。因此同樣提高了系統(tǒng)的應(yīng)用友好性���。
除了軟件方式的接通和激活外����,如權(quán)利要求10所述其它的處理器活動性也可通過相應(yīng)的負(fù)荷控制被激活或被封鎖�����。
在接口位置存儲器中存儲的用戶查詢被加密是有優(yōu)點的�����。查詢的加密使得從外部,而且從內(nèi)部讀取可能的秘密用戶查詢變得困難了��。從而不僅從外部的�,而且從內(nèi)部的間諜活動被預(yù)防了。
一個有優(yōu)點的加密方法如權(quán)利要求12所述其中特別好的安全性由所用密鑰的單獨可規(guī)定的壽命獲得����。這意味著,甚至于在一個濫用的讀取可能成功地破譯所用密鑰的情況下�����,也不能保證此密鑰能完成所要求的濫用或完全的一個數(shù)據(jù)轉(zhuǎn)換����,這是因為由密鑰壽命確定的時間通道如此之短,密鑰的一個濫用的二次應(yīng)用由于其有限的壽命已很好地被排除����。
本發(fā)明的另一個主要的安全特征在于,各個用戶的授權(quán)由各自的處理分開實現(xiàn)���。
如權(quán)利要求14所述����,這是有決定性作用的不僅用戶的授權(quán)完全在內(nèi)部網(wǎng)的安全范圍內(nèi)進(jìn)行��,而且相應(yīng)指配給用戶的口令不能從中立區(qū)傳送到內(nèi)部網(wǎng)或以相反的方向傳送��。
本發(fā)明有優(yōu)點地由一個如獨立的權(quán)利要求15所述的轉(zhuǎn)換接口實現(xiàn)����。
本發(fā)明裝置的其它有優(yōu)點的結(jié)構(gòu)如權(quán)利要求16至29所述。
本發(fā)明裝置的安全性可如權(quán)利要求16或17所述���,通過應(yīng)用一個內(nèi)部和/或外部的防火墻提高���。
轉(zhuǎn)換接口的應(yīng)用友好性和應(yīng)用范圍可通過一個附加的設(shè)置在中立區(qū)中的外部服務(wù)器而提高。
轉(zhuǎn)換接口的動態(tài)結(jié)構(gòu)通過固定的���,最好是周期性地和首先自發(fā)的從內(nèi)部網(wǎng)的安全范圍越過而取得進(jìn)一步的安全性�,因為可能的來自外部網(wǎng)絡(luò)的無權(quán)讀取進(jìn)行的濫用結(jié)構(gòu)操縱肯定由于短的時間期而被排除����,并從而排除了一個“潛行的”滲入。業(yè)已證實����,慢的搖擺的干預(yù)比立即和堅實的干預(yù)——它們可以迅速被察覺和制止——有明顯更大的危險性����。
在發(fā)明的轉(zhuǎn)換接口中���,可通過相應(yīng)的標(biāo)定實現(xiàn)更好的負(fù)荷適配����,以及接口位置存儲器對相應(yīng)負(fù)荷的匹配�。
必要時在中立區(qū)內(nèi)指配多個網(wǎng)絡(luò)計算機用于更好的負(fù)荷控制。
由于同樣原因�����,在內(nèi)部網(wǎng)中也可指配多個網(wǎng)絡(luò)計算機��。
如果本發(fā)明轉(zhuǎn)換接口設(shè)有一個CORBA—接口�����,在內(nèi)部網(wǎng)范圍內(nèi)不同的操作系統(tǒng)可以一起工作�����,并且通過本發(fā)明轉(zhuǎn)換接口被保護(hù)。
在一個特別有優(yōu)點的實施形式中���,整個轉(zhuǎn)換接口具有一個連續(xù)的CORBA—總線—結(jié)構(gòu)�。
轉(zhuǎn)換接口內(nèi)部的通信進(jìn)行加密是有好處的�,最好是DES加密��。
如權(quán)利要求25所述��,在處理相應(yīng)的用戶查詢之前可以傳送一個證實請求到用戶��,這樣轉(zhuǎn)換接口能用于互聯(lián)網(wǎng)中的正確的締約��。這樣獲得的用戶查詢或合同的再次證實保證了在電子商務(wù)范圍中的無懈可擊的締約�����。
轉(zhuǎn)換接口的全部工作借助于一個所謂聯(lián)機-協(xié)議中的一個相應(yīng)的聯(lián)機-模塊進(jìn)行��。在此聯(lián)機-協(xié)議中全部轉(zhuǎn)換和信息——如相應(yīng)用戶查詢在等待隊伍中的停留時間期�����,用戶的ID等——被記錄���。
這樣管理者可以監(jiān)視運行情況�����,即時發(fā)現(xiàn)可能的錯誤�,特別是揭示可能的濫用嘗試。
下面借助于一個或多個簡要示于附圖中的實施例詳細(xì)說明本發(fā)明��。
附圖中
圖1是轉(zhuǎn)換接口的結(jié)構(gòu)方框圖��,圖2是轉(zhuǎn)換接口的詳細(xì)方框圖��,圖3是安全交換數(shù)據(jù)的方法的流程圖�����,以及圖4是方法過程的方框圖���。
圖1示出一個外部網(wǎng)1和一個內(nèi)部網(wǎng)2��,它們可通過一個轉(zhuǎn)換接口3建立相互間數(shù)據(jù)連接��。
外部網(wǎng)1大多數(shù)是互聯(lián)網(wǎng)����,而且內(nèi)部網(wǎng)2是一個企業(yè)的內(nèi)部網(wǎng),通常是一個LAN—網(wǎng)絡(luò)����。轉(zhuǎn)換接口3不嚴(yán)格被認(rèn)為在兩個網(wǎng)絡(luò)之間被設(shè)置。
原則上安全的數(shù)據(jù)交換在外部網(wǎng)1中開始����,并最后作為結(jié)果送至內(nèi)部網(wǎng)2中的轉(zhuǎn)換,它借助于圖1中的虛線示出��。
此外轉(zhuǎn)換接口3具有一個外部防火墻4��,它用于隔離中立區(qū)5和外部網(wǎng)2�����。
中立區(qū)5還通過另一個內(nèi)部防火墻6與內(nèi)部網(wǎng)2隔離�。圖1中的箭頭僅表示相互分界的范圍間的交換作用��,而不表示數(shù)據(jù)流方向�。
如圖2詳細(xì)所示,中立區(qū)5包括一個接口服務(wù)器7及一個外部服務(wù)器10�。在外部服務(wù)器10在大多數(shù)情況下是一個通常的Web—服務(wù)器。此外在中立區(qū)中有一個接口存儲器11�����,它最好作為接口服務(wù)器7的一部分。接口服務(wù)器7通過內(nèi)部防火墻6與已經(jīng)設(shè)置在內(nèi)部網(wǎng)2的安全范圍內(nèi)的一個內(nèi)部服務(wù)器12數(shù)據(jù)連接�。內(nèi)部服務(wù)器12通過CORBA接口13與一個或多個網(wǎng)絡(luò)服務(wù)器14連接或者通過CORBA-總線連接分配數(shù)據(jù)庫15。CORBA—總線16是一個開放的總線系統(tǒng)�����,它實現(xiàn)了不同的系統(tǒng)��,以及不同的操作系統(tǒng)也可通過CORBA-總線16相互通信�。
因此,例如Unix-或Windows-操作系統(tǒng)�,高樓控制系統(tǒng)(Gebudesteuerungssysteme)或Sun-工作站可通過同一個CORBA-總線16通信。
所謂CORBA-總線-結(jié)構(gòu)以有優(yōu)點的設(shè)計用于轉(zhuǎn)換接口3內(nèi)的整個數(shù)據(jù)交換�����。
下面借助圖3和圖4說明基于來自外部網(wǎng)1的一個用戶查詢���,一個所謂的請求的安全交換數(shù)據(jù)的方法的詳細(xì)流程�����。
一個外部使用者17可通過互聯(lián)網(wǎng)的HTP-協(xié)議�,例如一個HTML-格式取得與內(nèi)部網(wǎng)2的數(shù)據(jù)交換。他有機會在此HTML-格式中格式化其請求����。HTML-格式的應(yīng)用是必要的,因為在此所述安全交換數(shù)據(jù)的方法中只有規(guī)定的容許的數(shù)據(jù)轉(zhuǎn)換是可能的����。通過應(yīng)用HTML-格式也保證了僅有這些來自外使用者17的規(guī)定的查詢被格式化。HTML-格式通過一個客戶-接口20�,例如一個Java-控制臺,加密后通過互聯(lián)網(wǎng)��,并且倘若外部使用者17提供了相應(yīng)權(quán)利或口令�,通過外部防火墻4抵達(dá)中立區(qū)5中的外部服務(wù)器10����。外部服務(wù)器10在此情況下是一個Web-服務(wù)器。轉(zhuǎn)換接口3在本發(fā)明中也可用另外的數(shù)據(jù)格式�,如RMI,建立數(shù)據(jù)連接���。交換也可借助于原來的瀏覽器-形式或用互聯(lián)網(wǎng)中其它網(wǎng)絡(luò)格式進(jìn)行���。
此查詢?nèi)缓蟛辉谕獠糠?wù)器10上進(jìn)行����,而是直接抵達(dá)接口服務(wù)器7�����。
Web服務(wù)器10完全可以是接口服務(wù)器7的一個自己的處理器單元或一個模塊�����。這里它不一定是一個端接的計算單元�。在圖4所示實施例中,中立區(qū)5主要由接口位置服務(wù)器7構(gòu)成����,它具有一系列模塊。
圖4中虛線箭頭線表示一個調(diào)用��,它觸發(fā)被調(diào)用位置的動作�,并且實箭頭線表示在箭頭方向上的數(shù)據(jù)流。
在輸入Web服務(wù)器10后�,由互聯(lián)網(wǎng)2收到的查詢首先被解密讀出,并接著傳送給接口服務(wù)器7���。接口服務(wù)器7具有一個歡迎模塊21�����,它用于主動證實輸入或歡迎使用者17�。此外,輸入證實或歡迎外部使用者17通過Web-服務(wù)器17和外部防火墻4返回給用戶17�����。
這時根據(jù)查詢確定并通知使用者17���,是否完成輸入查詢的一個同步或異步處理��。在同步處理時外部網(wǎng)得到在同一網(wǎng)中的其查詢結(jié)果的在線-支持���。
不同的是在異步處理時,結(jié)果首先在下次在線-支持或在一個特殊過程傳送給外部用戶����。是否完成了一個同步或異步處理的判決遵循從外部使用者17接收到的查詢的強度和重要性�����。
現(xiàn)在接口服務(wù)器7開始拆開接收查詢?yōu)榉桥R界的數(shù)據(jù)包��,并且放入一個等待隊伍中22或22'中,它們被安排在一個接口存儲器11或11'中��,而存儲器被設(shè)置在中立區(qū)5內(nèi)�。
至少在此實施例中用于使用者授權(quán)的等待隊伍22與本來意義上的查詢用的等候隊伍22'是有區(qū)別的,一般是同一個等候隊伍��,然而不同的存儲區(qū)��。
一個常規(guī)的用戶查詢還包括用戶ID����,和一個口令,用戶ID利用由使用者17在其查詢中傳送的口令加密��,存儲到等候隊伍22中����。
為了給使用者17授權(quán),內(nèi)部服務(wù)器12的查詢上的相應(yīng)使用者ID通過戰(zhàn)勝內(nèi)部防火墻6�����,不加密地給到內(nèi)部網(wǎng)2范圍中一個授權(quán)模塊23上�。
在授權(quán)模塊23中利用在內(nèi)部網(wǎng)2范圍中對相應(yīng)使用者ID存儲的口令對使用者ID加密,并且通過內(nèi)部防火墻6加密地返回到中立區(qū)5。
在中立區(qū)5中然后借助于一個設(shè)置在中立區(qū)中的接口服務(wù)器7的授權(quán)服務(wù)器24�����,利用由用戶17輸入的口令解密相應(yīng)的使用者-ID����,并且得到的使用者-ID與中間存儲的使用者-ID比較。
對于兩個ID相符的情況�,處理被繼續(xù)或釋放,并且完成一個對外部使用者17的相應(yīng)的通知�。
在從外部使用者17收到的查詢以相應(yīng)處理格式進(jìn)入等候隊伍22'之前,完成查詢的確認(rèn)���。僅僅語法正確的數(shù)據(jù)組才被輸入到等候隊伍中�。并且處理被中斷��,一個相應(yīng)的消息通過Web服務(wù)器10給到外部使用者17��。
此外��,在中立區(qū)5中一個處理協(xié)議25被引到實時進(jìn)行的處理���。
在接口存儲器11中的等候隊伍22'以規(guī)則的間隔由內(nèi)部服務(wù)器12檢查可能存在并且被處理的查詢。
這保證了外部使用者17決不會觸發(fā)安全的內(nèi)部網(wǎng)2內(nèi)的任何活動��,而對輸入到等候隊伍22'中的查詢的讀取由內(nèi)部服務(wù)器12一方自動完成。這是避免可能的濫用操縱的一個重要方面���。
如果由內(nèi)部服務(wù)器12引起的等候隊伍22'的查詢上在等待隊伍22′內(nèi)還有待處理的用戶查詢����,則它被內(nèi)部服務(wù)器12請求���。在傳送查詢到內(nèi)部服務(wù)器12之前首先完成查詢的加密�����。在此加密按照DES方法用56比特的密鑰長度進(jìn)行��,當(dāng)然也可用其它的加密方法和密鑰長度�。所用密鑰在一個密鑰管理中被監(jiān)視和不斷地改變��。
加密借助于一個在系統(tǒng)結(jié)構(gòu)中建立的基本密鑰完成�,它作用于一個異步SSL-加密。此外利用此基本密鑰完成一個同步DES-加密�。
尤其是所用密鑰只具有一個單獨可結(jié)構(gòu)的壽命。這意味著對密鑰配置只開放一個窄的時間通道進(jìn)行安全的數(shù)據(jù)交換�。在壽命期過去后密鑰不再被使用,這時一個無權(quán)進(jìn)入的人可能對此密鑰已破譯。這樣幾乎排除了濫用密鑰的可能性�。
在傳送到內(nèi)部服務(wù)器12之前查詢的重新加密一方面用于避免從內(nèi)部雇用,即避免了在安全的內(nèi)部網(wǎng)2中容許的用戶查詢的竊聽���。
這樣所述安全的數(shù)據(jù)交換方法還預(yù)防了內(nèi)部間諜活動��。這樣加密的查詢被根據(jù)結(jié)構(gòu)�����,內(nèi)容和區(qū)域內(nèi)容重新檢查����。
對于當(dāng)時產(chǎn)生的查詢被證實是不容許的情況��,在此位置上中斷后續(xù)處理��,并傳送相應(yīng)的通知給外部使用者17�。
如果查詢是容許的,即對應(yīng)規(guī)定的數(shù)據(jù)查詢或轉(zhuǎn)換��,涉及的查詢通過轉(zhuǎn)換接口3的內(nèi)部防火墻6被傳送給內(nèi)部服務(wù)器12��。數(shù)據(jù)庫查詢可以根據(jù)安全性重要性和強度�����,通過吸收一個或多個數(shù)據(jù)庫15在一個或多個服務(wù)器12��、12'或12″上處理��。從而所有與安全性有關(guān)的過程在內(nèi)部網(wǎng)2的安全范圍內(nèi)進(jìn)行����。
為此,首先在處理前對抵達(dá)內(nèi)部服務(wù)器12的查詢解密����。
在查詢被處理后實現(xiàn)一個結(jié)果輸出,它通過內(nèi)部防火墻6返回到接口位置服務(wù)器7�����。接口位置服務(wù)器7然后實現(xiàn)所謂的“適配-控制”��,即檢查在內(nèi)部網(wǎng)2范圍內(nèi)產(chǎn)生的結(jié)果是否與用戶查詢一致�����。如果不一致�,傳送一個錯誤消息給外部用戶17�����。
如果一致���,結(jié)果被傳送到Web-服務(wù)器10,轉(zhuǎn)換為一個合適的格式�,并接著經(jīng)過外部防火墻4傳輸?shù)交ヂ?lián)網(wǎng)1給外部使用者17。從而通過利用本發(fā)明的轉(zhuǎn)換接口3實現(xiàn)了完全的數(shù)據(jù)轉(zhuǎn)換���。
轉(zhuǎn)換接口3還具有一個動態(tài)負(fù)荷控制����,它使得轉(zhuǎn)換接口3對相應(yīng)“業(yè)務(wù)量”的適配成為可能�����。此外如圖4所示�,根據(jù)業(yè)務(wù)量完成一個與負(fù)荷有關(guān)的接口存儲器11'的定標(biāo)。在圖4中這表示為可能的多個重復(fù)的參考符號11'表示的范圍��。
這意味著���,接口服務(wù)器7按照所加的負(fù)荷將相應(yīng)進(jìn)入的查詢排到等候隊伍11或11'中�����,并且按需要起動后面的過程����,即激活并行的等候隊伍11'��,使它們并行地工作���。為此在中立區(qū)5中可有多個接口服務(wù)器7���,7'或服務(wù)器范圍,它們根據(jù)負(fù)荷被激活�����。其中或者是Web-服務(wù)器10�����,或者是外部防火墻4的一個模塊�,或者是接口服務(wù)器7的負(fù)荷控制模塊26承擔(dān)負(fù)荷控制工作。
上述負(fù)荷管理最好如圖4那樣也支持內(nèi)部網(wǎng)2范圍中的相應(yīng)負(fù)荷控制���。
這樣可以根據(jù)所加負(fù)荷激活或關(guān)閉多個內(nèi)部服務(wù)器12����,12′,并且激活附加的數(shù)據(jù)庫15��,以處理在內(nèi)部網(wǎng)2范圍內(nèi)的輸入查詢����。
這里這是有幫助的整個轉(zhuǎn)換接口3具有一個通行的CORBA-總線-結(jié)構(gòu),從而每個查詢可以對應(yīng)一個或多個服務(wù)過程��。
在內(nèi)部網(wǎng)2一側(cè)活動的內(nèi)部服務(wù)器12為此具有一個CORBA-接口13����。
系統(tǒng)中所用的內(nèi)部和外部防火墻4和6可以是完全傳統(tǒng)的軟件產(chǎn)品。
CORBA-總線還使得在內(nèi)部網(wǎng)-側(cè)連接不同的操作系統(tǒng)����,如Windows,NT或Unix�。
上述轉(zhuǎn)換接口3的專門結(jié)構(gòu)可以滿足與有效締約有關(guān)的,在電子商務(wù)范圍所要求的最低需要��。一個經(jīng)過Web-服務(wù)器10傳送到接口服務(wù)器7的查詢首先被檢查是否這是一個簽約的查詢���。如果它是這種查詢�����,一個所述的設(shè)置在接口服務(wù)器7上的簽約模塊在進(jìn)一步處理之前首先安排一個證實查詢到外部使用者�,并且僅在這個證實通過Web-服務(wù)器10到達(dá)的情況下,如上述的后續(xù)處理才進(jìn)行���。
接口服務(wù)器7還有一個聯(lián)機-模塊�����,它協(xié)調(diào)轉(zhuǎn)換接口3的整個轉(zhuǎn)換過程。這樣整個過程可被一個管理人員不斷地監(jiān)視���,并且必要時立即發(fā)現(xiàn)錯誤或濫用企圖����。
管理人員僅坐在內(nèi)部網(wǎng)2的范圍內(nèi)��。轉(zhuǎn)換接口的構(gòu)成可只在這里完成�����。
如此給出了用于在兩個不同的網(wǎng)絡(luò)1,2之間安全交換數(shù)據(jù)的方法和轉(zhuǎn)換接口3��,它在網(wǎng)絡(luò)1和2完全沒有關(guān)聯(lián)的情況下以高性能工作����,并且不可能出現(xiàn)從外部以及內(nèi)部的濫用。
符號表1外部網(wǎng) 2內(nèi)部網(wǎng) 3轉(zhuǎn)換接口 4外部防火墻 5中立區(qū) 6內(nèi)部防火墻 7接口服務(wù)器 10外部服務(wù)器 11接口存儲器 12����,12',12″內(nèi)部服務(wù)器 13CORBA-接口 14網(wǎng)絡(luò)服務(wù)器 15數(shù)據(jù)庫 17外部使用者20顧客-接口 21歡迎模塊 22�,22'等候隊伍 23授權(quán)模塊 24授權(quán)服務(wù)器 25會議協(xié)議 26負(fù)荷控制模塊
權(quán)利要求
1.通過一個轉(zhuǎn)換接口(3)實現(xiàn)一個外部網(wǎng)和一個內(nèi)部網(wǎng)(1和2)之間安全交換數(shù)據(jù)的方法,其中一個外部使用者規(guī)定的數(shù)據(jù)轉(zhuǎn)換可在內(nèi)部網(wǎng)(2)內(nèi)部進(jìn)行���,轉(zhuǎn)換接口(3)包括——在外部網(wǎng)(1)中的一個入口�,——一個在讀取方向上后面的中立區(qū)(5)�,它至少配置有——一個接口服務(wù)器(7)和——一個接口存儲器(11),以及——一個內(nèi)部服務(wù)器(12)�����,它已被設(shè)置在內(nèi)部網(wǎng)(2)中����,其特征在于�����,——外部使用者(17)的查詢�����,它們在內(nèi)部網(wǎng)(2)中由接口服務(wù)器(7)處理一個數(shù)據(jù)轉(zhuǎn)換�,并且以規(guī)定格式中間存儲在接口存儲器(11)中�,并且——包括用戶授權(quán)在內(nèi)的整個處理在內(nèi)部網(wǎng)(2)中完成。
2.如權(quán)利要求1所述的方法���,其特征在于��,以下步驟被執(zhí)行——可能經(jīng)過入口輸入的用戶查詢被設(shè)置在中立區(qū)(5)中的接口服務(wù)器(7)讀出,并且必要時被應(yīng)答����,——其中可能的應(yīng)答被傳送給使用者,——接口服務(wù)器(7)通過與大量規(guī)定的容許查詢的比較檢查此查詢的容許性及其語法正確性�����,并且在錯誤的情況下拒絕此查詢,否則進(jìn)行如下的進(jìn)一步處理���,——在進(jìn)一步處理的情況下�,接口服務(wù)器(7)放此查詢到一個等候隊伍(22�、22′)中,此隊伍置于接口存儲器(11)中�����,——此等候隊伍(22�,22′)以規(guī)定的頻率被內(nèi)部服務(wù)器(12)查詢,——其中在此查詢上傳送被處理的請求到內(nèi)部網(wǎng)(2)中�,——然后在內(nèi)部網(wǎng)(2)中進(jìn)行包括使用者(17)的授權(quán)在內(nèi)的整個處理,——結(jié)果被返送回接口服務(wù)器(7)����,并且——檢查結(jié)果和查詢是否相符,——在肯定的情況下給使用者(17)一個答復(fù)�����。
3.如權(quán)利要求1或2所述的方法����,其特征在于,從外部網(wǎng)(1)來的用戶查詢在應(yīng)用一個外部防火墻(4)的條件下給到中立區(qū)(5)。
4.如以上權(quán)利要求中任一項所述的方法���,其特征在于��,中立區(qū)(5)和內(nèi)部網(wǎng)(2)之間的數(shù)據(jù)交換在穿過防火墻(6)的條件下進(jìn)行�。
5.如以上權(quán)利要求中任一項所述的方法�����,其特征在于����,在中立區(qū)(5)中附加配置一個外部服務(wù)器(10),最好是一個Web-服務(wù)器��,其中至少用戶查詢的一部分通過這個外部服務(wù)器(10)被傳送給接口服務(wù)器(7)����。
6.如權(quán)利要求5所述的方法���,其特征在于��,在接口存儲器(11)的等候隊伍(22�,22′)中接收的查詢直至完全處理或直至一個規(guī)定的時間行程之前一直被存儲著。
7.如權(quán)利要求6所述的方法���,其特征在于���,等候隊伍-查詢的頻率根據(jù)用戶查詢的數(shù)量和/或重要性借助于一個相應(yīng)的頻率控制來改變。
8.如以上權(quán)利要求中任一項所述的方法�,其特征在于,根據(jù)用戶查詢的數(shù)量和/或重要性����,起動或關(guān)閉接口服務(wù)器(7)和/或內(nèi)部服務(wù)器(12)中的并行過程。
9.如權(quán)利要求8所述的方法����,其特征在于,在中立區(qū)(5)中配置多個接口服務(wù)器(7)��,它們按照用戶查詢的數(shù)量和/或重要性被激活或關(guān)閉��,并且這里所要求的負(fù)荷控制借助于外部服務(wù)器(10)和/或借助于外部防火墻(4)的一個負(fù)荷控制模塊實現(xiàn)��。
10.如權(quán)利要求8或9所述的方法�����,其特征在于,在內(nèi)部網(wǎng)(2)中設(shè)置多個內(nèi)部服務(wù)器(12)����,它們根據(jù)用戶查詢的數(shù)量和/或重要性被激活或關(guān)閉,并且這里要求的負(fù)荷控制借助于內(nèi)部防火墻(6)的一個負(fù)荷控制模塊實現(xiàn)����。
11.如以上權(quán)利要求中任一項所述的方法,其特征在于��,用戶查詢在其被傳送到內(nèi)部網(wǎng)(2)之前在中立區(qū)(5)中被加密�。
12.如權(quán)利要求11所述的方法,其特征在于�����,為加密所使用的各密鑰具有可單獨規(guī)定的壽命���。
13.如以上權(quán)利要求中任一項所述的方法���,其特征在于,用戶(17)的授權(quán)獨立于用于查詢的其它處理完成�����。
14.如權(quán)利要求13所述的方法��,其特征在于��,為用戶(17)的授權(quán)����,下面的步驟被執(zhí)行-在中立區(qū)(5)內(nèi)從用戶查詢中分選出一個用戶-ID和一個用戶口令,-在內(nèi)部網(wǎng)(2)的查詢上傳送用戶-ID到內(nèi)部網(wǎng)(2)中�����,-在應(yīng)用內(nèi)部網(wǎng)(2)中對此用戶-ID存儲的口令的條件下在內(nèi)部網(wǎng)(2)中加密用戶-ID�,-并且返送這種加密的用戶-ID給中立區(qū)(5),-在應(yīng)用用戶(17)所輸入的�����,并且中間存儲在中立區(qū)(5)中的口令的條件下解密此從內(nèi)部網(wǎng)(2)返送回來的用戶-ID�����,-將解密的用戶-ID與用戶輸入的用戶-ID進(jìn)行比較��,在相符的情況下進(jìn)行授權(quán)��,在不相符的情況下不予授權(quán),并且根據(jù)比較結(jié)果繼續(xù)處理或者不繼續(xù)處理此用戶查詢����。
15.用于在一個外部網(wǎng)和一個內(nèi)部網(wǎng)(1和2)之間安全交換數(shù)據(jù)的轉(zhuǎn)換接口,其中由外部使用者(17)規(guī)定的數(shù)據(jù)轉(zhuǎn)換可在內(nèi)部網(wǎng)(2)中觸發(fā)�����,并且轉(zhuǎn)換接口(3)包括-一個中間區(qū)(5)�����,它設(shè)置在讀取方向上外部網(wǎng)(1)中一個入口的后面�,它具有至少一個接口服務(wù)器(7)以及-具有至少一個接口存儲器(11),-至少一個內(nèi)部服務(wù)器(12)�����,它被配置在內(nèi)部網(wǎng)(2)中���,其特征在于��,-在接口存儲器(11)中設(shè)置一個等候隊伍(22�����,22′)�����,用于中間存儲用戶查詢�����,-這可以規(guī)定的頻率由內(nèi)部服務(wù)器(12)查詢����,并且-在傳送相應(yīng)的已處理查詢到內(nèi)部網(wǎng)(2)之后�����,包括用戶授權(quán)在內(nèi)的整個查詢的處理在內(nèi)部網(wǎng)(2)中進(jìn)行��。
16.如權(quán)利要求15所述的轉(zhuǎn)換接口�����,其特征在于�����,中立區(qū)(5)相對于外部網(wǎng)(1)借助于一個外部防火墻(4)隔離。
17.如權(quán)利要求15或16所述的轉(zhuǎn)換接口�,其特征在于,內(nèi)部網(wǎng)(2)相對于中立區(qū)(5)借助于一個內(nèi)部防火墻(6)隔離�。
18.如權(quán)利要求15至17中任一項所述的轉(zhuǎn)換接口,其特征在于�,在中立區(qū)(5)中還附加配置一個外部服務(wù)器(10),它可由外部網(wǎng)(1)直接開啟或通過接口服務(wù)器(7)間接開啟��,用于處理用戶查詢��。
19.如權(quán)利要求15至18中任一項所述的轉(zhuǎn)換接口����,其特征在于,轉(zhuǎn)換接口(3)的結(jié)構(gòu)在可規(guī)定的時間間隔中由內(nèi)部網(wǎng)(2)自動改變�����。
20.如權(quán)利要求15至19中任一項所述的轉(zhuǎn)換接口��,其特征在于�����,在中立區(qū)(5)存儲的數(shù)據(jù)在可規(guī)定的時間間隔內(nèi)由內(nèi)部網(wǎng)(2)自動過戶。
21.如權(quán)利要求15至20中任一項所述的轉(zhuǎn)換接口�����,其特征在于�����,接口存儲器(11)可如此定標(biāo)由外部網(wǎng)(1)輸入的用戶查詢根據(jù)容量和緊迫性相應(yīng)歸入接口服務(wù)器(7)的等候隊伍(22����,22′)中����,并且必要時可激活附加的過程。
22.如權(quán)利要求21所述的轉(zhuǎn)換接口��,其特征在于��,在中立區(qū)(5)內(nèi)設(shè)置多個網(wǎng)絡(luò)計算機�����,其上分別設(shè)置一個接口服務(wù)器(7)��,并且可以根據(jù)用戶查詢的數(shù)量和/或重要性激活或關(guān)閉附加的服務(wù)器(7),其中負(fù)荷控制由外服務(wù)器(10)和/或外部防火墻(4)實現(xiàn)��。
23.如權(quán)利要求20或21所述的轉(zhuǎn)換接口�,其特征在于,在內(nèi)部網(wǎng)(2)的范圍內(nèi)設(shè)置多個網(wǎng)絡(luò)計算機�����,它們分別具有一個內(nèi)部服務(wù)器(12)�����,它們可根據(jù)用戶查詢的數(shù)量和重要性而被激活或關(guān)閉��,其中負(fù)荷控制由內(nèi)部防火墻(6)或一個或多個接口服務(wù)器(7)實現(xiàn)��。
24.如權(quán)利要求15至23中任一項所述的轉(zhuǎn)換接口�����,其特征在于����,內(nèi)部服務(wù)器(12)通過CORBA-總線與內(nèi)部網(wǎng)(2)通信。
25.如權(quán)利要求22所述的轉(zhuǎn)換接口�����,其特征在于,整個轉(zhuǎn)換接口(3)通過穿過的CORBA-總線-系統(tǒng)進(jìn)行數(shù)據(jù)連接���。
26.如權(quán)利要求15至23中任一項所述的轉(zhuǎn)換接口��,其特征在于�,全部內(nèi)部接口通信進(jìn)行SSL-加密�����,最好是DES-加密��。
27.如權(quán)利要求15至24中任一項所述的轉(zhuǎn)換接口���,其特征在于,接口服務(wù)器(7)在放入某個用戶查詢之前�,傳輸一個證實查詢給使用者(17),并且在輸入了證實之后才進(jìn)行后續(xù)處理����。
28.如權(quán)利要求15至25中任一項所述的轉(zhuǎn)換接口,其特征在于�,借助于一個聯(lián)機-模塊存儲一個聯(lián)機-協(xié)議,它描繪全部在轉(zhuǎn)換接口(3)上進(jìn)行的轉(zhuǎn)換。
29.如權(quán)利要求15至26中任一項所述的轉(zhuǎn)換接口���,其特征在于���,接口服務(wù)器(7)的結(jié)構(gòu)只能由內(nèi)部網(wǎng)(2)實施。
全文摘要
本發(fā)明涉及在一個內(nèi)部網(wǎng)和一個外部網(wǎng)之間安全交換數(shù)據(jù)的方法和轉(zhuǎn)換接口�,所說的網(wǎng)絡(luò)相互間完全無關(guān)聯(lián)。此任務(wù)由一個轉(zhuǎn)換接口(3)完成��,它在中立區(qū)(5)內(nèi)設(shè)置一個被處理查詢的等候隊伍��,其中此查詢的處理在安全的內(nèi)部網(wǎng)(2)范圍內(nèi)并由其主動完成����,其中等候隊伍的范圍不僅對外部,而且對內(nèi)部通過相應(yīng)的加密和附加通過一個內(nèi)部的和/或一個外部的防火墻(4�����,6)而被保護(hù)����。
文檔編號H04L12/66GK1535527SQ00819737
公開日2004年10月6日 申請日期2000年10月26日 優(yōu)先權(quán)日1999年10月30日
發(fā)明者沃爾夫?qū)な嫠固? 沃爾夫?qū)?舒斯特 申請人:Sap股份公司