-
Fachgebiet der Erfindung
-
Die
Erfindung betrifft ein Verfahren für Zugangskontrolle und Steuerung
zum Internet und Vorrichtungen zur Durchführung des Verfahrens.
-
Stand der Technik
-
Der
Zugang zum Internet, vor allem im Heimbereich, aber auch im Firmenumfeld,
geschehen unter anderem über
sogenannte Einwähl-(Dialup-)Verbindungen.
Diese basieren entweder auf der in urbanen Gegenden inzwischen weit
verbreiteten DSL-Technologie, oder über existierende PSTN/ISDN
Verbindungen. Weitere technische Möglichkeiten sind bekannt, beispielsweise über Satellitenverbindung,
letzteres hauptsächlich
im Downlink, wenn geeignete breitbandige Zugangstechnologien fehlen.
-
Die
bereits bekannten technischen Umsetzungen zeigen im Wesentlichen
die folgenden zwei Problembereiche.
-
Kosten:
-
Es
existieren zwei Geschäftsbeziehungen zwischen
einem Teilnehmer und einem Diensteanbieter:
Entweder hat der
Teilnehmer eine permanente Subskription, also eine feste vertragliche
Beziehung, der Internet-Zugang wird also immer über denselben Diensteanbieter
in Anspruch genommen. Es stehen dem Dienstanbieter Zeit- und/oder
Volumen-basierte Abrechnungsverfahren zur Verfügung gegenüber einer Pauschalvergebührung (Flatrate),
bei der die Nutzung durch monatliche, fixe Gebühren abgegolten wird.
Die
andere Möglichkeit
sind Call-by-call Dienste; es besteht dann keine vertragliche Beziehung
zwischen Teilnehmer und Dienstanbieter, die Kosten werden jeweils
einzeln nur für
die Dauer einer Dienstenutzung verrechnet.
-
Es
lässt sich
feststellen, dass der überwiegende
Teil der Internetzugänge
entweder wegen der zu Grunde liegenden Technologie (ISDN, PSTN) oder
wegen des existierenden Vetragsverhältnisses (zeitbasiert, by call)
Vorkehrungen treffen muss, um nicht unnötige Kosten zu erzeugen.
-
Die
Gründe
für zu
hohe Kosten können
vielfältig
sein:
Eine Verbindung bleibt beispielsweise bestehen, obwohl
gar kein Dienst genutzt wird.
Zunehmend finden auch drahtlose
Verbindungen im Heimbereich Einsatz (WLAN-Router). Die mit der darunterliegenden
Technik häufig überforderten
Nutzer verwenden diese ohne den Verschlüsselungsdienst in Anspruch
zu nehmen, somit sind derzeit viele der privaten Netze „offen" für Nutzung
durch unberechtigte Dritte.
Viele Anwendungsprogamme (z. B.
Drucker-Service Programme, Bildbearbeitungsprogramme) starten ungefragt
vor dem Teilnehmer verborgene Internet-Requests, z. B. um Aktualisierungen
(Updates) herunter zu laden. Diese „verborgenen" Funktionen sind
von einem Teilnehmer nur schwer zu erkennen bzw. abzustellen.
Schließlich gibt
es Viren, Würmer
und Trojaner sowie die gefürchteten
Einwahlprogramme, genannt „Dialer", die zu einer Kostenfalle
werden können.
-
Einfache Nutzung oder Multi-User Access:
-
Die
ersten Internet-Anwender zu Hause hatten in der Regel nur einen
PC. Somit waren oftmals viele verbindungsspezifische Protokoll-Lager
und Kontrollfunktionen im PC realisiert, und sind es aus historischen
Gründen
vielfach leider heute noch. Der Anschluß eines zweiten PC führte – aus Einfachheitsgründen – oftmals
dazu, dass dieser wiederum diskret über einen eigenen Netzzugang
verfügte,
also z. B. ein eigenes Modem.
-
Mit
der weiten Verbreitung der LAN-Technologie, also einer Computer-vernetzenden
Technologie, auch im Heimbereich, sind in vielen Anwendungsbereichen
Rechner direkt untereinander vernetzt. Verbindungssteuerungen zur
Herstellung von Inter netverbindungen auf jedem einzelnen Rechner sind
damit unerwünscht
bzw. äußerst umständlich realisierbar.
Deshalb finden nun Geräte
Einsatz, die alle netzzugangs-spezifischen Funktionen in einer separaten
Einheit realisieren und somit die Zugangseigenheiten vor jedem einzelnen
Rechner verbergen. Als Beispiel sei hier ein DSL-Router genannt,
der als eigener „Rechner" im Netz einen Verbindungsaufbau zum
DSL Netz erstellt, sobald ein teilnehmender Rechner einen Internetzugang
anreizt und diese Verbindung nach Regeln wieder unterbrechen kann.
Alle Besonderheiten, wie z. B. die Terminierung des PPPoE (PPP over
Ethernet) Protokolls, werden in dieser einen „Box" abgehandelt.
-
Die
bereits genannten Probleme wie unerlaubte Verbindungen, versehentliches
Aufrechterhalten einer Verbindung etc., treten natürlich auch
in Multi-User/Multi-Access Szenarien auf.
-
Heute
existiert bereits eine Vielzahl an Ansätzen, einzelne der beschriebenen
Probleme zu lösen:
Modems
bzw. Access Router (DSL, ISDN, PSTN) können beispielsweise so konfiguriert
werden, dass nach einer einstellbaren Zeit der Inaktivität der Abbruch
einer Verbindung automatisch erfolgt. Ist diese Latenzzeit zu lange
(Standard-Einstellung, Default 20 Minuten), so schafft dies nur
wenig Abhilfe. Ist sie hingegen zu kurz, so kann schon die Dauer
des Lesens einer Information zum ungewollten Verbindungsabbruch
führen.
-
Die
Verwendung von Schutzkomponenten, sogenannter Firewalls, verhindert
ungewollte Kommunikation, die z. B. dadurch entsteht dass eine Applikation
im Hintergrund (z. B. Suche nach Updates) einen ungewollten Verbindungsaufbau
anreizt. Um unterscheiden zu können,
welche Kommunikation ungewollt ist, muss der Anwender zunächst wissen, welche
Dienste auf welche Weise kommunizieren.
-
Der
generelle Ausschluss eines Kommunikationsverhaltens per Firewall
kann auch eigentlich gewollte Kommunikationen unterdrücken. Für eine sinnvolle
Verwendung einer Firewall ist viel Fachkenntnis notwendig, durchschnittliche
Anwender sind damit häufig überfordert.
Daher bleibt meist ein schlechtes Gefühl: "Wurde an alles gedacht?"
-
Anbieter
von Zugangseinrichtungen (z. B. DSL-Router) bieten sogenannte Zugangs-Proxy(s) an,
mit deren Hilfe mehrere Teilnehmer gleichzeitig Internet-Zugang
erhalten können.
Ist noch keine Verbindung aufgebaut, wählt sich z. B. ein Modem ein, sobald
ein Computer IP-Pakete an eine Adresse sendet, deren Adressbereich
außerhalb
des LAN Netzes liegt. Sobald ein weiterer Computer eine Internetverbindung
aufbaut, besteht bereits die Verbindung (ins WAN), es bedarf keines
weiteren Verbindungsaufbaus. Beendet ein Computer eine LAN-Verbindung, bleibt
die Verbindung zum WAN erhalten, bis auch der letzte Computer, der
am lokalen Netz angeschlossen ist, keine Internetverbindung mehr
hat; aber auch hier bestehen die beschriebenen Probleme.
-
Was
ist das Kriterium für
den Verbindungsabbau? Viele solcher Proxys senden in regelmäßigen Abständen Zustandsnachrichten
an übergeordnete Einheiten
im WAN und verzögern
dadurch den Verbindungsabbau. Betriebssysteme senden (als broadcast)
in regelmäßigen Abständen Informationen über das
lokale Netz. Parasitäre
Nutzer halten eine WAN-Verbindung aufrecht.
-
Folgendes
Szenario gibt eine beispielhafte Beschreibung typischer auftretender
Probleme:
Sechs Rechner sind über LAN vernetzt, sie werden von
vier Teilnehmern genutzt, wobei jeder Teilnehmer von jedem Rechner
Internetzugang haben soll.
-
In
diesem Netz befinden sich Drahtlos-Zugangspunkte (WLAN Access Points),
um auch eine Ankopplung über
Funk zu ermöglichen.
-
Die
Verbindung zum WAN besteht in eine Richtung (Uplink) aus einem Zugang über Modem (Access),
in der anderen Richtung (Downlink) aus einer Satelliten-Verbindung
(beispielsweise da kein DSL verfügbar
ist).
-
Für das WAN
gibt es einen Access Router, der gegebenenfalls Verbindungen zum
Internet (über Modem
und/oder über
Satellit) in Abhängigkeit
von Internet-Verbindungswünschen
auf- und abbaut.
-
Ein
Teilnehmer startet den Browser (es sei der erste und einzige zu
diesem Zeitpunkt), sofort wird ein http-Request an die voreingestellte
Startseite gesendet. Da der Verbindungsaufbau jedoch einige Zeit
in Anspruch nimmt, erfolgt eine Zeitüberschreitung (Timeout: „Page not
found"). Der Teilnehmer
resigniert und wechselt zu einer anderen Tätigkeit – die Verbindung bleibt bestehen,
da der Browser noch aktiv ist, Kosten laufen an.
-
Ein
zweiter Teilnehmer startet seinen Browser, bekommt Zugang zu den
gewünschten
Internet-Seiten und beendet seine „Session" – die
WAN Verbindung bleibt trotzdem bestehen (der erste Teilnehmer hat
den Browser immer noch nicht beendet).
-
Mittlerweile
hat ein eigentlich unberechtigter Dritter, beispielsweise ein Nachbar – wissentlich
oder unwissentlich – eine
Association mit einem zu diesem LAN gehörenden Access Point und kann über dieses im
Internet surfen, wobei er im Falle, dass er dies gar nicht bemerkt
hat, durchaus im Glauben ist, er nutze sein eigenes Netz. Der erste
Teilnehmer hat inzwischen seinen Browser beendet. Eigentlich müsste der
Access Router jetzt die WAN-Verbindung auslösen – was er aber nicht kann, denn
da surft immer noch der Nachbar.
-
Nachdem
die aufgelaufenen hohen Kosten aufgefallen sind wird das System
nach Ursachen durchforscht, und es werden in einer Verbesserung des
Systems entsprechende Gegenmaßnahmen
ergriffen. Das Modem soll nach spätestens 20 Minuten Inaktivität auslösen und
der WLAN-Zugang wird verschlüsselt,
beispielsweise mit einem Standard-Verschlüsselungsalgorithmus für WLAN,
WEP (Wired Equivalent Privacy).
-
Nach
einer Weile wird in das Netz ein Drucker eingefügt, der von allen Teilnehmern
genutzt werden kann. Hierzu wird auf einigen der Rechner ein kostenlos
mitgeliefertes Bildbearbeitungsprogramm installiert. Dieses startet
in regelmäßigen Abständen einen
Browser um nach geeigneten Updates zu suchen. Natürlich kann
dieses Verhalten per Administration abgestellt werden, nach der
Erstinstallation jedoch wurde als Default die Aktivierung dieses Features
eingestellt bzw. versehentlich mit installiert. Dadurch entstehen
regelmäßige (tägliche)
Einwahlverbindungen (diese dauern jeweils 20 Minuten, wie es im
Access Router eingestellt ist) mit entsprechenden Kosten.
-
Ein
Nutzer entschließt
sich, eine Peer-to-Peer Anwendung auf einem Rechner zu starten.
Hierzu bedient er sich eines Verfahrens, bei dem der eigene Rechner
gleichzeitig als Server für
externe Nutzer dient. Nach erfolgtem Zugriff seinerseits wird der
Internetzugang zunächst
beendet, jedoch erfolgt unbemerkt ein reger Datenaustausch zwischen
dem Rechner und dem WAN – andere
Nutzer im Internet wollen auch auf den Peer-to-Peer Server im LAN zugreifen. Aufgrund
dessen wird nun eine Firewall installiert, in der alle nicht offensichtlich
gebrauchten Portnummern geblockt werden.
-
Seitdem
funktionieren einige andere Netzanwendungen allerdings auch nicht
mehr.
-
Es
existieren Produkte, die den Netzzugang autonom herstellen können, teilweise
mit konfigurierbarer Firewall, jedoch die Überwachung der Legitimität der Verbindungsanforderungen
bzw. die Sicherstellung des Verbindungsabbaus bleiben den Anwendern überlassen.
-
1 zeigt
einen typischen, modembasierten Zugang, MODEM, eines Teilnehmers,
Host, in das Internet. Der Teilnehmer möchte Dienste eines Servers
(AppSrv) im Internet nutzen. Hierzu baut er eine Verbindung mittels
seines Browsers unter Verwendung des „http"-Protokoll ist ein Ende-zu-Ende Proto koll
zwischen dem Browser und einem http-Server, AppSrv, im Netz. Es
benutzt als Socket TCP, eine verbindungsorientierte Sicherungsschicht
oberhalb von IP, dem Protokoll zum Transport der Nutzdaten, mittels
dem im Internet Hop für
Hop paketorientiert vermittelt wird. In typischen Modemverbindungen über ein
Telekommunikationsnetz, ISDN/PSTN aber auch DSL, sorgt eine weitere
Sicherungsschicht Ende-zu-Ende zwischen dem netzseitigen Teilnehmerleitungsabschluss
GRAS, (Broadband Access Server) und dem Teilnehmerendgerät Host im
wesentlichen für
Authentisierung des Teilnehmers, Sicherung der Verbindung (im Falle
einer Leitungsstörung
wird der Teilnehmer nicht weiter vergebührt) und der Zuweisung einer
temporären
IP-Adresse unter welcher das Teilnehmerendgerät für die Dauer der Verbindung
aus dem Internet heraus adressiert werden kann.
-
Als
Transport zwischen Host und PC kommen typischerweise serielle Protokolle
(wie HDLC) zum Einsatz, zwischen Modem und GRAS typische Telekommunikationsverbindungen
wie ISDN, PSTN oder DSL.
-
Die
in einer PPP Verbindung mitgelieferten Teilnehmer-Kenndaten (z.
B. Name, Passwort) werden im netzseitigen Teilnehmerleitungsabschluss GRAS über einen
angeschlossenen eigenen AAA Server oder dem AAA Server eines angeschlossenen
ISP verifiziert. Der AAA Server hat die folgenden Aufgaben: Authentifizierung
(engl. authentication), Autorisierung (engl. authorization) und
Abrechnung (engl. accounting) des Netzwerkzugangs von Teilnehmern.
Hierzu wird eine Verbindung mittels RADIUS Protokoll hergestellt
(diese basiert ebenfalls auf IP, aus Gründen der Übersichtlichkeit allerdings
nicht eingezeichnet). Nach erfolgreicher Authentisierung erfolgt
eine Freischaltung für
das Internet.
-
Diese
Verfahren haben auch in heutigen Systemen Gültigkeit, insbesondere in DSL
basierten Zugängen.
Allerdings wird hier häufig
der Tatsache Rechnung getragen, dass Teilnehmer zunehmend innerhalb
ihres Heim-/Arbeitsbereiches vernetzt sind, siehe 2.
Der Zugriff innerhalb des lokalen Netzes, LAN, erfolgt in der Regel über Ethernet
mit physikalischem Zugriffsmedium (Draht, CSMA/CD oder Funk, CSMA/CA)
gemäß IEEE Standard
802.3 bzw. 802.11 sowie Ethernet Link Layer und Framing (802.2,
802.1). Diese Art des Zugriffs darf zu Recht als sehr generisch
betrachtet werden, da außerhalb dieses
Layer 1-2 Zugriffs keine weiteren übergeordneten Protokollschichten
involviert sein müssen.
-
Diese
einfache Plug&Plag
Vernetzung führte dazu,
dass weltweit fast ausschließlich
diese Art der Vernetzung verwendet wird. Um die Einfachheit des Plug&Plag Charakters
nicht zu unterlaufen wurden alle WAN-verbindungsspezifischen Protokollschichten
in einer separaten Box realisiert, oft werden diese als z. B. DSL-Router
oder Access Router bezeichnet. Somit tritt nun diese Box als zu
identifizierender Teilnehmer gegenüber dem WAN Netz-Zugangsbetreiber
auf – das
dahinter liegende lokale Netz LAN bleibt diesem verborgen. Nicht
zuletzt deshalb ist es verständlich,
dass der Zugangsbetreiber wenig Motivation besitzt, Sorge für korrekte
Verbindungs- Auf-
und Abbau Mechanismen zu tragen, wenn die Ursache evtl. Fehlverbindungen
in einem ihm verborgenen Teil des Netzes liegt.
-
3 zeigt
nun den gleichen Aufbau etwas generalisierter, so können verschiedene
Verbindungen für
Uplink und Downlink verwendet werden. Der Access Router besteht
aus Netzwerkzugangseinrichtungen zu den WAN-Netzen (z. B. einem
Modem MOD für
ein PSTN-Netz und einer Satellitenreceiverkarte SAT für Satellitenempfang)
sowie einem Steuerungsteil, Access Manager, der, sobald IP-Pakete
zu einer im WAN befindlichen Adresse zu ihm gesendet werden entsprechende
Verbindungen (Modem, Satellit, etc.) aufbaut und diese ggf. wieder
abbaut. Alle Rechner Host sowie der Access Router sind über eine
LAN-Karte am lokalen
LAN Netz angeschlossen. Zusätzlich
zeigt das Bild einen Rechner Host, der über eine WLAN-Karte CL über einen
WLAN-Access Point AP, welcher topologisch als Layer2 Bridge ausgestaltet
ist, Zugang zum lokalen Netz erhält.
Vereinfacht gesagt ist dieser Teilnehmer auch über Ethernet angeschlossen,
da im Prinzip nur die unteren Layer 802.11 vs. 802.3 ausgetauscht
wurden (siehe 2).
-
Aufgabe
der Erfindung ist es, ein Verfahren anzugeben, daß die oben
genannten Nachteile beseitigt.
-
Es
soll ermöglicht
werden, mit einfachen Mitteln, aufbauend auf beliebigen existierenden
Zugangsmitteln (ISDN, PSTN, DSL, Satellit, ...) sowie üblichen
Computern bzw. Betriebssystemen, eine kontrollierte, zuverlässige Internet
zugangssteuerung bereitzustellen, die die genannten Defizite zuverlässig ausschließt und dabei
auch in den beschriebenen, gängigen
Einsatzszenarien genutzt werden kann.
-
Darstellung der Erfindung
-
Diese
Aufgabe wird gelöst
durch ein Verfahren gemäß Anspruch
1 und durch Vorrichtungen der Ansprüche 9 und gelöst.
-
Vorteilhafte
Ausgestaltungen und Weiterbildungen sind in den Unteransprüchen angegeben.
-
Mit
der vorgeschlagenen Methode und den entsprechenden Vorrichtungen
können
die Defizite heutiger Internetanschlüsse im Office/Home Umfeld abgestellt
werden. Es können/kann
- – parasitäre Verbindungen
zuverlässig
ausgeschlossen werden, auch ohne dass pauschal Funktionalitäten in der
Firewall geblockt werden müssen
- – Teilnehmer-individuell
unterschiedliche WAN-Verbindungen aufgebaut werden
- – WAN-Verbindungen
zuverlässig
aufgebaut und ausgelöst
werden und zwar ohne Latenzzeiten
- – jedem
Teilnehmer zu jederzeit einen Überblick über den
WAN-Verbindungszustand
geboten werden
- – jedem
Teilnehmer (unabhängig
vom genutzten Zugangsrechner) das gleich Internetprofil geboten
werden
- – „hängende" Verbindungen ausgeschlossen
werden Grundprinzip ist, in allen beteiligten Systemkomponenten
eine Funktionalität
zur Verfügung zu
stellen, die
- – es
ermöglicht,
jederzeit jedem Teilnehmer über jedes
benutzte Gerät
eine klare Indikation über den
Verbindungszustand des Gesamtsystems zu geben
- – (WAN)
Verbindungen verlässlich
nur von zugelassenen bzw. berechtigten Teilnehmern/Geräten zu erlauben
- – jeglich
unberechtigte Fremdnutzung verlässlich unterbindet
- – (WAN)
Verbindungen verlässlich
und sofort abbaut, wenn sie nicht mehr benötigt werden, wobei
dies
durch eine einzige Programmeinheit geleistet wird, die sich dadurch
auszeichnet, dass sie auf einem hohen Layer (Applikationsschicht)
arbeitet ohne spezifische Erweiterungen/Änderungen an existierender
Hardware bzw. Betriebssystemen (Treiber) zu benötigen – und damit auf allen gängigen Computerplattformen,
Betriebssystemen und (LAN) Netz-Gestaltungen eingesetzt werden kann.
-
Kurzbeschreibung der Zeichnungen
-
Im
folgenden wird die Erfindung anhand von Ausführungsbeispielen erläutert. Dabei
zeigen
-
1 einen
typischen, modembasierten Internetzugang,
-
2a und 2b einen
Zugang aus einem in ein LAN integrierten Rechner,
-
3 den
gleichen Aufbau noch etwas generalisierter,
-
4a und 4b das
Funktionsprinzip eines Verfahrens sowie von Vorrichtungen,
-
5 einen
möglichen
Meldungsablauf zwischen den beteiligten HW/SW Einheiten auf den Hosts/Access
Router,
-
6a–6d den
prinzipiellen Programmablauf im Server, SCS,
-
7a–7d den prinzipiellen Programmablauf im
Client, SCC.
-
Beschreibung der bevorzugten
Ausgestaltungsformen
-
4 beschreibt das Funktionsprinzip von Vorrichtungen,
sowie eines Verfahrens mittels welcher die genannten Probleme für typische
Systeme gelöst
werden können.
-
Der
prinzipielle, modulare Aufbau eines Access Routers (DSL-Router, SAT-Box,
etc) aus 4b besteht aus Komponenten für Netzzugänge, einem
Betriebssystem sowie zumindest einer IP sensitiven Access Management
Software, i.a. Proxy, in der Figur Verbindungsproxy genannt.
-
Netzzugang
-
Hier
befinden sich Vorrichtungen zum einen zum Anschluß an das
lokale Netz mittels Ethernet ETH, sowie Vorrichtungen zum Anschluß an ein
oder mehrere WAN, z. B. um Uplink/Downlink zu trennen oder um mehrere
WAN Zugänge
realisieren zu können.
-
Betriebssystem
-
Die
gesamte Plattform ist in der Regel basierend entweder auf Router
bzw. embedded PC Hardware, auf welchem ein Betriebssystem für elementare
Grundfunktionen installiert ist (z.B. Cisco IOS für Router,
Linux oder Windows für
embedded PC).
-
Verbindungs-Proxy
-
Diese
Funktion regelt den Auf- und Abbau von WAN Verbindungen in der Regel
durch die Analyse der Zieladresse von vom lokalen Netz gesendeter
IP Paketen. Die Verbindungs-Proxy können realisiert sein als Applikation
oder auch als Bestandteil eines Betriebssystems. Meistens wird diese
Funktion vom jeweiligen WAN Diensteanbieter zur Verfügung gestellt,
bzw. sie ist im Internet als Download frei verfügbar.
-
4a zeigt
den für
diese Erfindung notwendigen architektonischen Entsprechungen eines Hosts:
der Netzzugang kann auf Ethernet ETH beschränkt bleiben. Alle anderen Zugänge werden dann
vom Access Router abgehandelt. Eine wichtige Funktion für den Internetzugang
bildet der Browser, der, je nach Betriebssystem, Bestandteil desselben mit
Applikationserweiterungen (z. B. Windows), oder eine reine Applikation
sein kann (Linux). Im Access Router findet sich keine Entsprechung
dieser Funktion, da diese in Form eines http-Servers im Internet verfügbar ist.
-
Die
neue, zusätzliche
Einheit besteht nun aus einem Client-Anteil im Host (SCC, Smart Connection
Client) und einem entsprechenden Gegenstück im Access Router (SCS, Smart
Connection Server). Die Einbettung dieser Funktionen geschieht auf
Applikationsebene (Windows-Programm), in jedem Falle auf einer Schicht
oberhalb IP, z. B. als eine Applikation aufsetzend auf einem TCP
oder UDP Port.
-
Die
hauptsächlichen
Funktionen des Server-Anteils (SCS) beinhalten das Halten mindestens einer
Liste aller angeschlossenen Personen, sowie einer Liste über deren
Zugriffsrechte, sowie einer Liste über die erlaubten Arbeitsstationen,
sowie einer oder mehrerer Listen über zusätzlich nutzbare Dienste. Vorteilhafterweise
bietet er auch die Möglichkeit, Zustände der
WAN-Verbindungen angeschlossenen Teilnehmern/Rechnern zu signalisieren.
Durch einstellbare Regeln für
zeitliche Abläufe/örtliche
Zusammenhänge
die verwaltet werden können,
können Auf-
und Abbauten von Verbindungen Teilnehmer/Rechner individuell realisiert
werden.
-
In
einer weiteren Ausführungsform
ist die Fähigkeit
enthalten, anhand der gespeicherten Teilnehmer/Rechner spezifischen
Zugriffsrechte unterschiedliche WAN Verbindungen herzustellen.
-
Funktionen
zum dynamischen, temporären logischen
Anschluß von
Teilnehmern (Login) sind ebenso vorteilhaft wie Funktionen zum Erkennen
und Archivieren von Systemzuständen
(LogFile). Das Bereitstellen von Mechanismen zum Remote/Remote administrieren
ist ebenfalls eine vorteilhafte Ausgestaltung z. B. soll über einen
angeschlossenen Rechner die Verbindung eines weiteren angeschlossenen Rechners
ausgelöst
werden können.
Weiterhin gehören
Mechanismen zum Erkennen des Anschlußverhaltens angeschlossener
SCCs („Keep
Alive") und Funktionen zum
Administrieren von Teilnehmerparametern und von Systemparametern
des SCS zu den vorteilhaften Ausgestaltungen.
-
Die
Hauptfunktionen des Client-Anteils (SCC) bestehen in einer Login-Funktion,
Mechanismen zum Erkennen des Anschlussverhaltens des angeschlossenen
SCS („Keep
Alive"), Mechanismen zur
Teilnehmer-Selbstadministration (z. B. Startseite), und Mechanismen
zur Remote/Remote Administration.
-
Diese
Funktionen nutzen das vom Betriebssystem bereitgestellte API Server-seitig
(SCS), um zu erkennen, ob eine WAN-Verbindung besteht und auch um WAN Verbindungen
auf- und abbauen zu können,
wobei sie eventuell das Verhalten des dort befindlichen Verbindungsproxys
negieren kann. Baut z. B. der Verbindungsproxy eine Verbindung auf,
so kann dieser Aufbau durch den SCS verhindert werden, wenn es notwendig
erscheint. Weiterhin ist es möglich,
einen IP-basierten Kontrolldialog mit dem oder den angeschlossenen
SCC zu führen
-
Host-seitig
(SCC) werden die Funktionen genutzt, um Browser-Verbindungen selbstständig auf- und
abbauen zu können.
Es ist möglich,
zu erkennen, ob eine Browser-Verbindung durch andere Applikationen
aufgebaut wurde. Durch andere Applikationen aufgebaute Browser-Verbindungen
abzubauen ist eine Aufgabe ebenso wie einen IP-basierten Dialog mit
dem angeschlossenen SCS zu führen.
-
Der
SCC ist eine Anwendung, die permanent im Hintergrund laufen kann,
oder auch Verbindungsspezifisch aufgerufen wird.
-
Die
Funktionsweise des SCC und SCS läßt sich
wie folgt beschreiben. Die SCC kann dabei entweder als Hintergrund-Task
oder auch als eigenständige
Task ausgeführt
werden.
-
SCC als Hintergrund-Task:
-
Wenn
der Teilnehmer einen Browser startet, wird dieser Aufruf vom SSC
sofort unterdrückt.
Anstelle dessen wird dem Teilnehmer ein Login-Fenster angezeigt.
Nach erfolgreichem Login wird der Browser vom SSC gestartet, wobei
vorteilhafterweise vom Teilnehmer per Selbstadministration hinterlegte Browser-Einstellungen verwendet
werden (z. B. eine Startseite). Somit kann zum Beispiel immer eine
teilnehmer-spezifische Startseite aufgerufen werden, unabhängig vom
Rechner von dem sich ein Teilnehmer einloggt. Der SCS wird nun,
falls noch keine WAN-Verbindung besteht, z. B. eine Wählverbindung starten.
Um dem SCC eine entsprechende Teilnehmer-Signalisierung zu ermöglichen,
sendet der SCS jeweils eine Nachricht an den SCC, sobald sich der Verbindungszustand ändert. Solange
die Wählverbindung
noch abläuft,
z. B. den Zustand „Connecting", sobald diese besteht „Connected".
-
Dem
Teilnehmer kann der Zustand seiner Internetverbindung z. B. als
Symbol in einer Taskleiste angezeigt werden. Dabei ist es besonders
vorteilhaft, wenn der Start des Browsers so lange verzögert wird, wie
der Verbindungsaufbau des SCS dauert, um z. B. Page-Timeouts zu
vermeiden. Anstelle dessen bekommt der Teilnehmer (z. B in der Startleiste
als Symbol, und/oder als Meldung) angezeigt, dass gerade eine Verbindung
aufgebaut wird.
-
SCC
und SCS senden sich regelmäßig gegenseitig
sog. „Keep
Alive" Meldungen
(z. B. einmal pro Sekunde), die jeweils von der Gegenseite quittiert werden
müssen.
Hierbei kann z. B. eingestellt werden, dass noch eine bestimmte
Anzahl ausstehender Quittungen tolerierbar sind. Ist dieser Toleranzwert auf
der Seite des SCC oder des SCS überschritten, wird
ein erzwungener Abbau (Force-Logout) angestoßen: reagiert aus Sicht des
SCC der SCS nicht mehr, wird der Browser geschlossen (dem Teilnehmer
kann dies vorher signalisiert werden), der SCC geht in den Zustand
offline, es werden keine Meldungen mehr mit dem SCS ausgetauscht.
Damit reagiert automatisch auch der SCC aus Sicht des SCS nicht mehr,
der Teilnehmer wird ausgeloggt, falls es der einzig eingeloggte
Teilnehmer war, wird die WAN-Verbindung abgebrochen.
-
Besonders
vorteilhaft ist es, wenn die Zustands- und Administrationsmeldungen
in den Keep-Alive Quittungsmeldungen („Huckepack") geschickt werden: somit kann z. B.
allen ange schlossenen Hosts der Verbindungszustand mitgeteilt werden,
ohne dedizierte Meldungen schicken zu müssen.
-
Während der
ganzen Betriebes prüft
der SCS regelmäßig (z.
B. alle 100ms), ob überhaupt Teilnehmer
eingeloggt sind und ob, wenn kein Teilnehmer eingeloggt ist, eine
WAN-Verbindung besteht, bzw. ein Einwahlversuch gestartet wird.
Dies kann insbesondere dann passieren, wenn z. B. ein parasitärer Internetzugang
besteht (Beispiel: Nachbar surft auf der WLAN-Verbindung mit), oder wenn eine unerwünschte Applikation
versteckt Verbindungen anreizt (Update) oder eine Applikation bestehende
Internetverbindungen nutzt, um unbemerkt Daten auszutauschen (E-Donkey,
aber auch MS-Windows). In diesem Falle löst der SCS die WAN Verbindung aus,
bzw. verhindert den Aufbau.
-
Alle „Events" werden, versehen
mit Datum/Uhrzeit, Teilnehmer und Hostparametern in einem Logfile
abgelegt, wahlweise versehen mit den jeweils aktiven URLs (Spoof-Mode,
d. h. Methoden gegen das Untergraben von Authentifizierungs- und Identifikationsverfahren,
die auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen
beruhen).
-
Am
SCS können
pro Teilnehmer Datensätze hinterlegt
sein wie:
- – Browser
Einstellungen (Startseite, Ansicht, etc.),
- – Art
der zu verwendenden WAN-Verbindung (Gold-User bekommen DSL flat
mit 2 Mbps, Silver eine DSL-by-call-Verbindung mit 512 kbps),
- – max.
Sessiondauer, nach der die Session abgebrochen, also ausgelöst, wird,
- – Administrationsrechte,
- – Art
der zu loggenden Daten (z. B. soll jede angewählte URL geloggt werden).
-
Alternative: SCC als eigenständige Task:
-
Das
Verhalten ist das exakt gleiche, mit dem Unterschied, dass der Teilnehmer
anstelle des Browsers die SCC Applikation startet; das Starten des Browsers
würde ins „Leere" führen, da
der SCS jede diesbezügliche
WAN-Verbindung unterbrechen würde.
-
5 zeigt
einen möglichen
Meldungsablauf zwischen den beteiligten HW/SW Einheiten auf den Hosts/Access
Router. Gezeigt wird, wie ein Teilnehmer einen Browser startet,
ohne sich beim SCS autorisiert zu haben. Die SCC Funktion stoppt
diesen umgehend, der Teilnehmer wird gezwungen, sich zu authentisieren.
Hierzu übermittelt
der SCC die Logindaten an den SCS.
-
Der
Login-Dialog, sowie alle Administrationsdialoge erfolgen über eine
dedizierte Client-Server Verbindung, z. B. über eine UDP-Verbindung. Hierbei sendet
der SCC eine (protokoll-technisch
oberhalb UDP angesiedelte) Meldung mit einer Broadcast IP-Zieladresse
an einen vordefinierten Port. Der SCS antwortet (nach Auswertung
der Gültigkeit
der Teilnehmerdaten) mit einer (oberhalb UDP angesiedelten) Accept
Meldung login accept, wobei er z. B. dem anfragenden Host einen
Sende- und/oder Empfangsport zuweisen kann, der für folgende
Meldungen zu verwenden ist. Die hierbei als Quell (SRC)-IP Adresse
verwendete IP Adresse wird zukünftig
vom SCC als Zieladresse (anstelle des Broadcast) verwendet.
-
Der
SCS übermittelt,
wenn er die Teilnehmerdaten positiv auf Gültigkeit geprüft hat,
eine Accept Meldung und teilt dem SCC den Verbindungszustand mit
(„Verbindungsaufbau", wenn die WAN-Verbindung
noch hergestellt werden muss oder „Verbunden", wenn diese bereits besteht). Die Übermittlung aller
Zustands- und Administrationsmeldungen
kann diskret (wie in 5 gezeigt) oder als Anhang zyklisch
stattfindender „Keep
Alive" Meldungen/Quittungen
erfolgen.
-
Als
Anhang an die Zustandsmeldung <Connect> können günstiger Weise auch die individuellen Browsereinstellungen
des Teilnehmers übermittelt werden.
-
Erst
nach Empfang der <Connect>-Meldung (eine WAN-Verbindung
ist aufgebaut) startet der SCC den Browser, entweder mit der übermittelten Startadresse,
oder mit einer teilnehmerseitig gewünschten Adresse (z. B. der
Browseraufruf erfolgte durch Klicken auf einen Link). Hierzu, sowie
zum vorangegangenen Abbau der Browser-Verbindung bedient sich der
SCS entsprechender Funktionen des darunterliegenden Betriebssystems.
-
Während der
ganzen Dauer einer Internet-Verbindung werden zwischen SCC und SCS „Keep Alive" Meldungen empfangen
und quittiert. Meldet sich ein Teilnehmer ab – explizit oder implizit durch
Schließen
des Browsers – so
wird der zugehörige,
temporäre
Teilnehmerkontext im SCS geschlossen und die WAN-Verbindung ggf.
abgebaut („onhook"). Geschieht dies
unabsichtlich (Rechner- oder Programmabsturz), geschieht dies automatisch durch
Erkennen ausstehender „Keep
Alive" Meldungen
(Quittungen). Geschieht dies gewollt, so wird der SCC eine explizite <disconnect> Meldung senden.
-
6 zeigt den prinzipiellen Programmablauf
im SCS (Server), 7 den Ablauf für SCC (Client).
-
Im
SCS sind 4 Regelschleifen implementiert, die unabhängig voneinander
entweder zeitgesteuert (Ablauf eines Zeitglieds), Event-gesteuert
(ein Ereignis tritt ein), oder als Endlosschleife ablaufen, 6a–6d.
-
Während der
gesamten Laufzeit der SCS Applikation überprüft eine Verbindungsüberwachungs-Endlosschleife,
ob überhaupt
Teilnehmer aktiv (eingeloggt) sind. Wenn dies nicht der Fall ist, muss
jede bestehene WAN-Verbindung abgebrochen bzw. jeder WAN-Aufbau
verhindert werden. Ohne SCS kann dies z. B. durch den vorhandenen Verbindungsproxy
geschehen.
-
Des
Weiteren gibt es eine Login-Routine, die immer dann aufgerufen wird,
wenn ein Login-Request empfangen wurde. Hier werden die Gültigkeit der
Login-Daten geprüft,
im Positiv-Falle
wird ein temporärer
Teilnehmerdatensatz erstellt, alle Zähler auf Null gesetzt, insbesondere
ein Toleranzzähler, der
die Anzahl ausstehender Keep Alive-Meldungen/Quittungen beinhaltet,
schließlich
wird eine Accept-Meldung and den anfordernden SCC gesendet (Reject
im Fehlerfalle).
-
Sobald
Teilnehmer eingeloggt sind, wird für alle diese Teilnehmer überwacht,
ob der zugehörige SCC
eine Keep Alive Meldung sendet. Hierzu wird zyklisch, nach einer
Toleranzzeit, z. B. jede Sekunde, eine Teilnehmer-Überwachungsroutine
auf rufen und der Toleranzzähler
für jeden
Teilnehmer inkrementiert (es ist ja in der erwarteten Zeit keine „Keep Alive" Meldung eingetroffen). Überschreitet
dieser Teilnehmer-spezifische Zähler
einen Schwellwert, wird der Teilnehmer ausgeloggt, der temporäre, zugehörige Datensatz
gelöscht.
Die Verbindungsüberwachungsschleife
würde dann,
wenn es der einzige/letzte eingeloggte Teilnehmer war, die WAN-Verbindung
auslösen.
-
Wird
ein Keep Alive Frame empfangen, so wird eine Keep Alive Routine
aufgerufen, welche den Toleranzzähler
für den
zugehörigen
Teilnehmer rücksetzt
und das Senden einer Quittungsmeldung an diesen Teilnehmer veranlasst.
Der sendende Host bzw. sendende Teilnehmer kann identifiziert werden durch
die SRC-IP Adresse,
den zugewiesenen Port, die Host-ID sowie durch sonstige, vom SCS
zugewiesener temporärer
Identifikationsmerkmale (lfd. Nr., etc). Somit können mehrere Teilnehmer über einen Host
verbunden sein bzw. ein Teilnehmer gleichzeitig über mehrere Hosts.
-
Im
SCC (7a–7d) läuft
eine Endlosschleife, die Zustände überwacht
und ggf. Aktionen einleitet. So wird (z. B. jede Sekunde) überprüft, ob der Teilnehmer
eingeloggt ist. Ist der Teilnehmer nicht eingeloggt, so darf keine
Browser-Verbindung
aktiv sein, nötigenfalls
wird diese zwangsweise geschlossen, und anschließend die Login-Routine aufgerufen. Ist
der Teilnehmer eingeloggt und noch kein Browser aktiv, wird der
Teilnehmer ausgeloggt (er hat das Browserfenster ja geschlossen).
Ist der Teilnehmer eingeloggt und ein Browserfenster aktiv, so wird
eine Keep Alive-Meldung an den SCS gesendet. Gleichzeitig wird der
Toleranzzähler
(für ausstehende
Keep Alive Quittungen) um 1 erhöht
und anschließend
abgeprüft,
ob dieser Zähler
einen maximalen Toleranzwert überschreitet.
Ist das so, wird der Teilnehmer ausgeloggt. Wurde die Login-Routine
aufgerufen, entweder weil der SCC als Hintergrund-Task läuft, oder
beim Programmstart des SSC, so werden per Eingabe-Aufforderung die
Teilnehmerdaten erfragt (Username, Passwort) und sodann eine Login-Meldung
an den SCS-gesendet. Gleichzeitig wird ein Zeitüberwachungsglied gestartet,
das die ausstehende SCS-Antwort überwacht.
Läuft dieses
Zeitglied ab, so wird die Login-Überwachungsroutine
aufgerufen und das Programm beendet (SCC als aufgerufene Applikation)
bzw. in den Logoff-Zustand gewechselt (SCC als Hintergund-Task).
-
Empfängt der
SCC eine Login Response (Accept, Reject), bevor das Überwachungszeitglied abgelaufen
ist, so wird die Login-Response-Routine aufgerufen.
Hier wird das Überwachungszeitglied
gestoppt und im Falle eines Login-Accept in den Zustand Login gewechselt.
Hierbei werden alle relevanten Session-Parameter rückgesetzt (Toleranzzähler).
-
Abkürzungsverzeichnis
-
- AAA
- (triele A) Authentication,
Authorization, Accounting
- API
- Application Programming
Interface, Programmschnittstelle
- GRAS
- Broadband Access Server
- DSL
- Digital Subscriber
Line, Digitale Teilnehmeranschlussleitung
- DVB-S
- Digital Video Broadcast – Satellite,
Digitaler Video-Rundfunk per Satellit
- ETH
- Ethernet
- HDLC
- High-Level Data Link
Control
- http
- Hypertext Transfer
Protocol
- HW/SW
- Hardware/Software
- IP
- Internet Protocol
- ISDN
- Integrated Services
Digital Network
- LAN
- Local Area Network
- PPP
- Point-to-Point Protocol
(RFC 1661)
- PSTN
- Public Switched Telephone
Network, Telefonnetz
- SCC
- Smart Connection Client
- SCS
- Smart Connection Server
- SRC
- Source
- TCP
- Transmission Control
Protocol (RFC 793)
- UDP
- User Datagram Protocol
(RFC 768)
- URL
- Uniform Resource Locator
(RFC 1738)
- WAN
- Wide Area Network
- WEP
- Wired Equivalent Privacy
(Verschlüsselungsverfahren)
- WLAN
- Wireless LAN