Beschreibungdescription
Administrationsschutz von Gruppen innerhalb öffentlicher VermittlungssystemeAdministration protection of groups within public switching systems
Die vorliegende Erfindung betrifft eine Vermittlungsstelle zum Anschluß von Fernsprechobjekten an ein Fernsprechnetz, in der mittels Eingabe von Kommandos über ein Terminal durch berechtigte Operatoren Betriebsfunktionen administriert wer- den, wie es im Oberbegriff des beigefügten Anspruches 1 beschrieben ist, und ein in dieser Vermittlungsstelle angewendetes Verfahren zum Administrieren von Betriebsfunk- tionen, wie es im Oberbegriff des beigefügten Anspruches 9 beschrieben ist.The present invention relates to a switching center for connecting telephone objects to a telephone network, in which operating functions are administered by entering commands via a terminal by authorized operators, as described in the preamble of appended claim 1, and a method used in this switching center for the administration of operating functions, as described in the preamble of the appended claim 9.
In eine Vermittlungsstelle in einem Fernsprechnetz können mehrere Fernsprechobjekte, z. B. an dieser Vermittlungsstelle angeschlossene Telefonendgeräte oder Telefonnebenstellenanlagen von Endgeräten, zu Gruppen zusammengefaßt werden. Diese Gruppenbildung ist z. B. im CENTREX-Dienst (Centralised Office Exchange Service) sinnvoll.In a switching center in a telephone network, several telephone objects, e.g. B. connected to this switching center telephone terminals or private branch exchanges of terminals, into groups. This group formation is e.g. B. useful in the CENTREX service (Centralized Office Exchange Service).
CENTREX ist ein spezieller Dienst in einem Netzknoten, d. h. in einer Vermittlungsstelle, der einem Teil der angeschlosse- nen Endgeräte von Teilnehmern die Funktionalität ähnlich einer Nebenstellenanlage zur Verfügung stellt.CENTREX is a special service in a network node, i. H. in a switching center, which makes the functionality of a subscriber terminal available to some of the connected terminals.
Vermittlungsstellen können von berechtigten Operatoren bzw. Personen durch Eingabe von Kommandos (z. B. in Man-Machine Language, MML) über ein Terminal administriert werden, d. h. es können Betriebsfunktionen wie z. B. das Einrichten von Endgeräten oder das Zuweisen bestimmter Berechtigungen für Endgeräte bzw. Teilnehmer z.B. hinsichtlich von Leistungsmerkmalen ausgeführt werden.Switching centers can be administered by authorized operators or persons by entering commands (e.g. in man-machine language, MML) via a terminal. H. operating functions such as B. setting up end devices or assigning specific authorizations for end devices or participants e.g. with regard to performance features.
Beim Stand der Technik ist eine Schutzfunktion der Vermittlungsstelle vor unberechtigten Zugriffen pro einzelnem (MML-)
Kommando lokal pro Vermittlungsstelle implementiert. D.h. ein Operator, der berechtigt ist, Betriebsfunktionen der Vermittlungsstelle zu administrieren, hat Zugriff auf die gesamte Vermittlungsstelle im Rahmen seiner Berechtigungen für diese Vermittlungsstelle (für bestimmte MML-Kommandos) bzw. alle daran angeschlossenen Fernsprechobjekte. Einzelne MML-Kommandos können in der Regel von mehreren Operatoren durchgeführt werden. So können z. B. nicht aufeinander abgestimmte Zugriffe auf einzelne Gruppen von Fernsprechobjekten durchgeführt werden.In the state of the art, the switching center has a protective function against unauthorized access per individual (MML) Command implemented locally per exchange. This means that an operator who is authorized to administer operational functions of the exchange has access to the entire exchange within the scope of his authorizations for this exchange (for certain MML commands) or all telephone objects connected to it. Individual MML commands can usually be carried out by several operators. So z. B. not coordinated accesses to individual groups of telephone objects can be performed.
Das hat den Nachteil, daß eine betriebssichere Administration bzw. Verwaltung z.B. einzelner Gruppen von Fernsprechobjekten nicht möglich ist.This has the disadvantage that reliable administration or administration, e.g. individual groups of telephone objects is not possible.
Die Aufgabe der vorliegenden Erfindung ist somit, eine Vermittlungsstelle zum Anschluß von Fernsprechobjekten an ein Fernsprechnetz gemäß dem Oberbegriff des beigefügten Anspruches 1 und ein in dieser Vermittlungsstelle angewendetes Ver- fahren, zum Administrieren von Betriebsfunktionen gemäß dem Oberbegriff des beigefügten Anspruches 9 bereitzustellen, bei denen eine höhere Betriebssicherheit bei der Administrierung von Betriebsfunktionen ermöglicht ist.The object of the present invention is thus to provide a switching center for connecting telephone objects to a telephone network according to the preamble of appended claim 1 and a method used in this switching center for the administration of operating functions according to the preamble of appended claim 9, in which one higher operational security in the administration of operational functions is made possible.
Diese Aufgabe wird durch eine Vermittlungsstelle gemäß dem beigefügten Anspruch 1 und ein in dieser Vermittlungsstelle angewendetes Verfahren zum Administrieren von Betriebsfunktionen gemäß dem beigefügten Anspruch 9 gelöst.This object is achieved by a switching center in accordance with the appended claim 1 and a method used in this switching center for the administration of operating functions in accordance with the appended claim 9.
Durch die erfindungsgemäße Prüfung, ob ein bestimmter Operator zur Administration einer bestimmten Gruppe berechtigt ist, ergeben sich die nachfolgenden Vorteile:The following advantages result from the check according to the invention as to whether a particular operator is authorized to administer a particular group:
Es erfolgt eine Absicherung gegen unbefugte bzw. versehentli- ehe Administration von nichtautorisierten Operatoren. Weiterhin ergibt sich bei den Telekommunikationsgesellschaften ein Einsparpotential, da durch die Schutzmaßnahme weniger quali-
fiziertes Personal zur Administration eingesetzt werden kann . Außerdem werden Kunden der Telekommunikationsgesellschaften, die in solchen Gruppen organisiert sind, nicht mehr durch unautorisierte oder versehentliche Administration ihrer Tele- kommunikationseinrichtungen behindert bzw . gestört . Der Schutz ist außerdem sowohl lokal ( in einer Vermittlungsstelle) als auch netzweit über das Fernsprechnetz ( in mehreren) Vermittlungsstellen möglich .There is protection against unauthorized or accidental administration of unauthorized operators. There is also potential for savings in the telecommunications companies, since the protective measure means less dedicated personnel can be used for administration. In addition, customers of the telecommunications companies that are organized in such groups are no longer hindered by unauthorized or inadvertent administration of their telecommunications equipment or. disturbed. Protection is also possible both locally (in a switching center) and network-wide over the telephone network (in several) switching centers.
Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind in den j eweiligen Unteransprüchen wiedergegeben .Advantageous embodiments of the present invention are given in the respective subclaims.
Gemäß der vorliegenden Erfindung können in einer Vermittlungsstelle mehrere Gruppen organisiert sein, die j eweils un- terschiedliche Zugriffsberechtigungen aufweisen .According to the present invention, several groups can be organized in a switching center, each of which has different access authorizations.
Die einzelnen Gruppen werden mit unterschiedlichen Gruppen- Identifizierungen ( ID ' s ) gekennzeichnet, somit können auf die j eweiligen Gruppen nur diej enigen Operatoren zugreifen, die zur Administration dieser Gruppe berechtigt sind . Dazu wird eine Assoziation der Kennung des Operators mit der Gruppen-ID geschaffen. Die Prüfung der Zugriffsberechtigung erfolgt dann, indem die in einem Verwaltungskommando enthaltene Kennung (User-Identifizierung, User-ID) daraufhin überprüft wird, ob sie mit der Gruppen-ID verknüpft und somit derThe individual groups are identified with different group identifications (IDs), so that only the operators who are authorized to administer this group can access the respective groups. For this purpose, an association of the operator's identifier with the group ID is created. The access authorization is then checked by checking the identifier contained in an administration command (user identification, user ID) to determine whether it is linked to the group ID and thus the
Verwaltungsbefehl (mit der j eweiligen User-ID) durch den entsprechenden Operator ausgeführt werden darf .Administrative command (with the respective user ID) may be executed by the corresponding operator.
Die einzelnen Gruppen müssen gemäß der vorliegenden Erfindung nicht auf eine Vermittlungsstelle beschränkt sein . EineAccording to the present invention, the individual groups need not be limited to one switching center. A
Gruppe ( z . B . Endgeräte von einer Firma) kann sich auch über mehrere Vermittlungsstellen ( z . B . Filialen einer Firma) erstrecken .Group (e.g. end devices from one company) can also span several switching centers (e.g. branches of a company).
Die Administration einer Gruppe in einer Vermittlungsstelle kann sowohl lokal für eine Vermittlungsstelle als auch zent-
ral für alle Vermittlungsstellen, in der die Gruppe präsent ist, erfolgen.The administration of a group in a switching center can be done locally for a switching center as well as centrally ral for all exchanges in which the group is present.
Die vorliegende Erfindung wird nachfolgend anhand bevorzugter Ausführungsbeispiele unter Bezug auf die beigefügten Zeichnungen näher erläutert, in denen zeigen:The present invention is explained in more detail below on the basis of preferred exemplary embodiments with reference to the accompanying drawings, in which:
Fig. 1 eine schematische Darstellung der erfindungsgemäßenFig. 1 is a schematic representation of the invention
Vermittlungsstelle; Fig. 2 die schematische Darstellung derExchange; Fig. 2 shows the schematic representation of the
Autorisierungsprüfung in der Vermittlungsstelle; Fig. 3 ein Beispiel für die netzweite Gruppe bei lokalerAuthorization check in the exchange; Fig. 3 shows an example of the network-wide group with local
Administration; Fig. 4 ein Beispiel für eine netzweite Gruppe bei zentralisierter netzweiter Administration; undAdministration; 4 shows an example of a network-wide group with centralized network-wide administration; and
Fig. 5 ein Beispiel für die Schutzwirkung in einerFig. 5 shows an example of the protective effect in a
Vermittlungsstelle .Switching center.
Anhand von Fig. 1 wird nachfolgend der schematische Aufbau der erfindungsgemäßen Vermittlungsstelle 1 erläutert.The schematic structure of the switching center 1 according to the invention is explained below with reference to FIG. 1.
An der Vermittlungsstelle 1 sind die Teilnehmer mit ihren Endgeräten (Fernsprechobjekte) 2a ... 2n angeschlossen. Die Vermittlungsstelle beinhaltet die Vermittlungseinrichtungen 7 zur Vermittlung und Verbindung der Teilnehmer mit dem Fernsprechnetz, wie z. B. die Anschlußeinheiten (Line Cards) zum Anschluß der Endgeräte 2a ... 2n an die Vermittlungsstelle und das Koppelnetz zur Vermittlung der Verbindung. Diese Vermittlungseinrichtungen 7 können durch eine Steuereinrichtung 3 in ihren Betriebsfunktionen gesteuert bzw. administriert werden, wie z. B. das Einrichten neuer Teilnehmer.At the exchange 1, the participants are connected with their terminals (telephone objects) 2a ... 2n. The switching center includes the switching devices 7 for switching and connecting the subscriber to the telephone network, such as. B. the connection units (line cards) for connecting the terminals 2a ... 2n to the switching center and the switching network for switching the connection. This switching devices 7 can be controlled or administered in their operating functions by a control device 3, such as. B. setting up new participants.
Wie bereits eingangs beschrieben, können mehrere Fernsprechobjekte (wie z. B. Endgeräte 2a, 2b oder Nebenstellenanlagen) in einer Gruppe 5 z. B. im CENTREX-Dienst organisiert sein. Dabei wird beispielsweise einer Firma durch die Vermittlungsstelle 1 die Funktionalität einer Nebenstellenanlage zur Ver-
fügung gestellt, ohne daß eine Nebenstellenanlage durch die Firma angeschafft werden muß. Die Anzahl der Fernsprechobjekte, die zu einer Gruppe 5 gehören, ist nicht beschränkt und kann von der Telekommunikationsgesellschaft festgelegt werden. Eine Gruppe kann sich auch netzweit über mehrere Vermittlungsstellen erstrecken, wobei die Fernsprechobjekte dann z. B. zu den Zweigstellen einer Firma gehören.As already described at the beginning, a plurality of telephone objects (such as terminal devices 2a, 2b or private branch exchanges) can be grouped together in a group 5, e.g. B. be organized in the CENTREX service. In this case, for example, a company is switched by the switching center 1 to the functionality of a private branch exchange provided without having to purchase a private branch exchange from the company. The number of telephony objects belonging to a group 5 is not limited and can be determined by the telecommunications company. A group can also extend network-wide over several exchanges, the telephone objects then e.g. B. belong to the branches of a company.
Die Administration der Betriebsfunktionen erfolgt durch Ein- gäbe von Kommandos (z. B. in der Man-Machine Language, MML) von einem Terminal 6. Die Prüfung, ob ein entsprechend auf die Vermittlungsstelle zugreifender Operator zum Administrieren von Betriebsfunktionen berechtigt ist, erfolgt dabei bei Eingabe eines Kommandos durch den Operator mittels der Prüfungseinrichtung 4. Vorteilhafterweise ist diese Prüfungseinrichtung 4 als Software in der Steuereinrichtung 3 implementiert.The administration of the operating functions is carried out by entering commands (eg in the Man-Machine Language, MML) from a terminal 6. The check as to whether an operator who accesses the switching center is authorized to administer operating functions when the operator enters a command by means of the test device 4. This test device 4 is advantageously implemented as software in the control device 3.
Gemäß der vorliegenden Erfindung wird sicher gestellt, daß lediglich ausgewählte Operatoren von der Telelkommunikations- gesellschaft zugelassen sind, einzelne Gruppen und die darin enthaltenen Fernsprechobjekte zu administrieren. Dadurch wird eine höhere Sicherheit bei der Administration der einzelnen Gruppe gewährleistet, um z. B. nicht aufeinander abgestimmte oder unauthorisierte Zugriffe zu vermeiden.According to the present invention, it is ensured that only selected operators are permitted by the telecommunications company to administer individual groups and the telephone objects contained therein. This ensures a higher level of security in the administration of the individual group. B. to avoid uncoordinated or unauthorized access.
Dazu wird erfindungsgemäß jeder Gruppe in jeder Vermittlungsstelle, in der die jeweilige Gruppe repräsentiert ist, eine Gruppen-ID zugeordnet.For this purpose, according to the invention, a group ID is assigned to each group in each switching center in which the respective group is represented.
Aus Fig. 2 geht hervor, daß die Prüfungseinrichtung 4 zur Prüfung einer Zugriffsberechtigung eine Zuordnung eines Operators (im Beispiel mit der User-ID X) und einer Gruppen-ID (im Beispiel mit der Gruppen-ID 99) vornimmt . Eingehende Kommandos enthalten dabei die Kennung (User-ID und/oder Kennwort) des zugreifenden Operators . Die Prüfungseinrichtung prüft anhand gespeicherter Kennungen, ob der j eweilige Opera-
tor berechtigt ist, dieses Kommando an der Gruppe, auf die dieses Kommando ausgerichtet ist, auszuführen.2 that the checking device 4 assigns an operator (in the example with the user ID X) and a group ID (in the example with the group ID 99) to check an access authorization. Incoming commands contain the identifier (user ID and / or password) of the accessing operator. The testing facility uses stored identifiers to check whether the respective operational tor is authorized to execute this command on the group to which this command is directed.
Bei der Autorisierungsprüfung prüft die Prüfungseinrichtung anhand gespeicherter Kennungen, ob der Operator, von dem die Eingabe stammt, berechtigt ist, dieses Kommando an der Gruppe, auf die dieses Kommando ausgerichtet ist, und somit die darin enthaltenen Fernsprechobjekte zu administrieren. Wenn das der Fall ist, so wird das Kommando akzeptiert, andernfalls abgelehnt. Die Anzahl der verschiedenen Fernsprechobjekte pro Gruppe und somit die Anzahl der verschiedenen (MML-) Kommandos ist gruppenindividuell von der Telekommunikationsgesellschaft einstellbar .During the authorization check, the checking device uses stored identifiers to check whether the operator from whom the input originates is authorized to administer this command to the group to which this command is directed and thus to administer the telephone objects contained therein. If this is the case, the command is accepted, otherwise it is rejected. The number of different telephony objects per group and thus the number of different (MML) commands can be set individually for each group by the telecommunications company.
Die Gruppen-ID wird einheitlich für alle Mitglieder einer Gruppe in den einzelnen Vermittlungsstellen vergeben, in denen die Gruppe präsent ist, und somit eine netzweite Gruppe gebildet (z. B. aus allen im Fernsprechnetz vorhandenen Zweigstellen einer Firma) . Dies geschieht durch entsprechende (MML-) Kommandos, die für jedes Mitglied der Gruppe in der entsprechenden Vermittlungsstelle abgesetzt werden.The group ID is assigned uniformly to all members of a group in the individual exchanges in which the group is present, and thus a network-wide group is formed (e.g. from all branches of a company available in the telephone network). This is done using appropriate (MML) commands that are issued for each member of the group in the relevant exchange.
Weiterhin wird definiert, welche Fernsprechobjekte (z. B. Endgeräte, Nebenstellenanlagen) der Gruppe zugehörig sein sollen und somit die (MML-) Kommandos festgelegt, die zur Administration der Gruppe und der darin enthaltenen Fernsprechobjekte nötig sind.It also defines which telephone objects (e.g. end devices, private branch exchanges) should belong to the group and thus defines the (MML) commands that are necessary for the administration of the group and the telephone objects contained therein.
Der Netzadministrator, der die Kennzeichnungen (IDs) vergibt, hat selber Zugriff auf alle administrativ gestützten Vermittlungsstellen und Gruppen.The network administrator who assigns the identifiers (IDs) himself has access to all administratively supported switching centers and groups.
Am Beispiel von Fig. 3 wird deutlich, wie der Administrationsschutz für eine netzweite Gruppe bei lokaler Administra- tion funktioniert.
Die netzweite Gruppe (d. h. die einzelnen Mitglieder einer Gruppe) ist in drei Vermittlungsstellen la, lb, lc vertreten. In jeder Vermittlungsstelle la, lb, lc sind die Mitglieder einer Gruppe jeweils mit derselben Gruppen-ID (im Beispiel 99) versehen und dem jeweiligen Operator mit der User-ID X zugeordnet. Somit ist der Zugriff auf die Gruppe mit der Gruppen-ID = 99 und der darin enthaltenen Fernsprechobjekte nicht vom Operator Y möglich, obwohl dieser prinzipiell die Berechtigung hat, Betriebsfunktionen der Vermittlungsstelle zu administrieren.The example of FIG. 3 shows how administration protection works for a network-wide group with local administration. The network-wide group (ie the individual members of a group) is represented in three switching centers la, lb, lc. In each exchange la, lb, lc, the members of a group are each provided with the same group ID (in the example 99) and assigned to the respective operator with the user ID X. Access to the group with group ID = 99 and the telephone objects contained therein is therefore not possible for operator Y, although in principle the operator Y has the authorization to administer operational functions of the exchange.
In einem weiteren Beispiel in Fig. 4 wird der Administrationsschutz für eine netzweite Gruppe bei einer zentralisierten netzweiten Administration erläutert.In a further example in FIG. 4, the administration protection for a network-wide group in a centralized network-wide administration is explained.
Die netzweite Gruppe ist in den drei Vermittlungsstellen la, lb, lc vertreten. In jeder Vermittlungsstelle la, lb, lc sind die Mitglieder der Gruppe mit derselben Gruppen-ID versehen und dem Operator X zugeordnet. Somit ist der Zugriff auf die Gruppe und der Fernsprechobjekte der Gruppe von dem zentralen Operator Y und den direkt an die jeweilige Vermittlungsstelle angeschlossenen Operatoren Yl, Y2, Y3 nicht möglich, obwohl diese Operatoren grundsätzlich die Berechtigung hätten, diese Vermittlungsstellen la, lb, lc zu administrieren. Hier zeigt sich die Abgrenzungsmöglichkeit gegenüber anderen Administrationsstellen der Telekommunikationsgesellschaft bei netzweiter zentraler Administration: außer Operator X hat niemand, auch die durch Operator Y repräsentierte andere netzweite oder die durch die Operatoren Yl, Y2, Y3 repräsentierten lokalen Administrationsstellen nicht, Zugriff auf die Gruppe, obwohl der Operator Y prinzipiell auf die Vermittlungsstellen la, lb, lc bzw. die Operatoren Yl, Y2, Y3 auf die jeweilige Vermittlungsstelle la, lb, lc zugreifen kann.The network-wide group is represented in the three switching centers la, lb, lc. In each switching center la, lb, lc, the members of the group are provided with the same group ID and assigned to the operator X. Access to the group and the telephone objects of the group by the central operator Y and the operators Y1, Y2, Y3 connected directly to the respective switching center is thus not possible, although these operators would have the basic authorization to close these switching centers la, lb, lc administer. This shows the possibility of differentiation from other administration centers of the telecommunications company with network-wide central administration: apart from operator X, nobody, even the other network-wide represented by operator Y or the local administration centers represented by operators Yl, Y2, Y3, have access to the group, although the operator Y can in principle access the switching centers la, lb, lc or the operators Yl, Y2, Y3 on the respective switching center la, lb, lc.
Somit ist eine totale Abgrenzung bezüglich der Bedienung gegenüber anderen Administrationsstellen der Telekommunikationsgesellschaft möglich, z. B. kann die Grundeinrichtung
von Teilnehmern (Endgeräte) von der weiteren Administration entkoppelt werden.Thus, a total demarcation with regard to the operation compared to other administration centers of the telecommunications company is possible, e.g. B. can be the basic device are decoupled from further administration by participants (end devices).
Anhand von Fig. 5 wird nachfolgend erläutert, wie die Schutz- Wirkung innerhalb einer Vermittlungsstelle funktioniert. Aus dieser Figur wird deutlich, daß der Schutz nicht pro Vermittlungsstelle, sondern innerhalb einer Vermittlungsstelle gruppenindividuell wirksam ist. Operator X kann auf ein Fernsprechobjekt der geschützten Gruppe mit der Gruppen-ID = 99 zugreifen (z. B. auf ein Endgerät eines Teilnehmers), sowie auch auf andere (ungeschützte) Fernsprechobjekte (andere Teilnehmer) . Operator Y kann ebenfalls Teilnehmer administrieren, jedoch nicht diejenigen aus der geschützten Gruppemit der Gruppen-ID = 99.
5 explains how the protective effect works within a switching center. From this figure it is clear that the protection is effective for each group and not within a switching center. Operator X can access a telephone object of the protected group with the group ID = 99 (e.g. on a subscriber's end device) as well as other (unprotected) telephone objects (other subscribers). Operator Y can also administer participants, but not those from the protected group with group ID = 99.