-
Die Erfindung bezieht sich auf ein Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk, das über mindestens zwei voneinander verschiedene Netzwerkknoten mit dem Rechner verbunden ist, die wiederum als Eingangs-Gateway dienen.
-
Als Ausgangssituation wird eine Standard TCP/IP Infrastruktur angenommen wie sie in jedem Einzelplatz-Rechner mit handelsüblichem Betriebssystem verwendet wird. Es wird eine beliebige Anzahl an Netzwerkknoten (im folgenden Netzwerk-Interfaces genannt) vorausgesetzt, die jeweils Internet-Zugang anbieten. Der Übersichtlichkeit halber werden davon nur zwei Netzwerk-Interfaces betrachtet. Alle Netzwerk-Interfaces sind sozusagen am gleichen Ziel-Netz angeschlossen. Weiter sind zwei Rechner-Anwendungen A und B vorhanden, die Internet-Zugang benötigen.
-
Standardmäßig ist ein einziges Netzwerk-Interface als Default Ausgangs-Gateway vorgesehen. Die Daten der Anwendungen A und B werden an dieses „Default” Ausgangs-Gateway geleitet und verlassen den Rechner über dieses. Die weiteren Netzwerk-Interfaces werden nicht als Ausgangs-Gateway genutzt, sondern dienen lediglich als Eingangs-Gateway. Daraus ergibt sich die erste Einschränkung dieser Standard-Konfiguration: ein gleichzeitiger Betrieb beider Anwendungen ist nur dann möglich, wenn es erlaubt ist, dass beide Anwendungen ihre Daten über das „Default Ausgangs-Gateway” versenden. Wenn dies nicht erlaubt ist, ist ein gleichzeitiger Betrieb nicht möglich.
-
Die Standard-Konfiguration ermöglicht es auch nicht, die Daten der Anwendungen A und B nutzerabhängig an unterschiedliche Ausgangs-Gateways zu leiten. Die eigentlich dafür bestehende Notwendigkeit ergibt sich aus nachfolgendem Beispiel:
Es wird wiederum ein Rechner betrachtet mit zwei Netzwerk-Interfaces:
- • P-SIM (Prefit-SIM): Dieses Netzwerk-Interface bietet Internet-Zugang und die Datenübertragung wird von einem Dritten, beispielsweise einem Service-Anbieter bezahlt.
- • K-SIM (Kunden-SIM); Dieses Netzwerk-Interface bietet Internet-Zugang und die Datenübertragung wird vom Nutzer selbst bezahlt.
-
Es werden zwei Anwendungen betrachtet:
- • Anwendung BIN: Der Nutzer trägt die Internet-Verbindungskosten vom Rechner zum Empfänger selbst
- • Anwendung BON: Ein Dritter trägt die Verbindungskosten
-
Daraus ergibt sich folgende Netzwerk-Interface Nutzung als erforderlich:
- • BIN wird zu K-SIM als Netzwerk-Interface geleitet
- • BON wird zu P-SIM als Netzwerk-Interface geleitet.
-
Ein weiterer Nachteil der Standard-Konfiguration ergibt sich, wenn es erforderlich wird, die Zuordnung der Anwendungen BIN und BON an die Netzwerk-Interfaces K-SIM und P-SIM zu ändern, beispielsweise dann, wenn der Dritte auch die Internet-Verbindungskosten vom Rechner zum Empfänger für die Anwendung BIN übernimmt. Dafür müssten die Ausgangsdaten der Anwendung BIN zum Netzwerk-Interface P-SIM geleitet werden.
-
Zusammengefasst besitzt die Standard-Konfiguration mit einem Default-Ausgangs-Netzwerk mehrere Nachteile:
Eine gleichzeitige Nutzung beider Anwendungen ist bei unterschiedlicher Zuordnung der beiden Anwendungen an unterschiedliche Ausgangs-Gateways nicht möglich. Ferner ist eine Änderung der Zuordnung einer Anwendung zu einem Ausgangs-Gateway nicht möglich.
-
Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren der eingangs genannten Art zu schaffen, mit dem die genannten Nachteile mit geringem Aufwand beseitigt sind.
-
Die Erfindung löst diese Aufgabe mit den im Patentanspruch 1 angegebenen Mitteln.
-
Der Zuordnungs-Speicher erkennt eine laufende Anwendung und ordnet ihr einen der Netzwerkknoten als Ausgangs-Gateway zu. Das so bestimmte Ausgangs-Gateway leitet den Datenstrom der Anwendung aus dem Rechner aus.
-
Vorteilhafterweise enthalten die Gateways mehrere adressierbare parallele Kanäle. Die Zuordnung des Ausgangs-Gateways zur Anwendung erfolgt in der Weise, dass der Zuordnungsspeicher der Anwendung die entsprechenden Kanalnummern zuweist.
-
Ein Ausführungsbeispiel der Erfindung ist anhand der 1 bis 4 dargestellt und im Folgenden näher erläutert.
-
Ein in 1 gezeigter Rechner 1 besitzt zwei Anwendungen BIN und BON sowie als Zuordnungs-Speicher einen Access Control Manager ACM. Die Anwendungen BIN und BON stehen für eine Internet-Verbindung bzw. einen Online-Anschluss des Rechners. Der ACM ist die zentrale Verwaltungsstelle für den Netzwerkzugriff. Der ACM enthält eine Datenbank (Access Control List – ACL), in der für jede Anwendung der mögliche Netzwerkzugriff über Ausgangs-Kanäle 3 hinterlegt ist.
-
Der ACM konfiguriert den IP Stack anhand der aktiven Anwendungen und den Daten aus der ACL. Durch diese Konfiguration wird festgelegt, wie die von den Anwendungen BIN und BON über die Kanäle 2 eingehenden Daten weitergeleitet werden.
-
Jeder IP Stack hat Eingangs-Kanäle 2 für den Daten-Eingang und Ausgangs-Kanäle 3 für den Daten-Ausgang. Kanäle werden anhand einer eindeutigen Nummer (Port) identifiziert. Zur Erkennung der verschiedenen Anwendungen BIN und BON wird jeder Anwendung dynamisch ein Kanalnummernbereich vom ACM zugeordnet. Anwendungen dürfen nur Eingangs-Kanäle 2 aus dem ihnen zugeordneten Nummernbereich benutzen, um Daten an den IP Stack zu schicken. Diese Kanal-Zuordnung wird durch den ACM vergeben.
-
Dafür meldet sich eine Anwendung als Netzwerknutzer beim ACM an.
-
Jeder Eingangskanal, der an eine Anwendung vergeben wird (aktiver Kanal), wird zuvor im IP Stack fest mit einem Ausgangs Netzwerk-Interface (Kanäle 3) verbunden. Dies geschieht über ein von vornherein festgelegtes Regel Update-Werk im IP Stack. Nur aktive Kanäle werden mit Ausgangs-Netzwerk-Interfaces verbunden. Inaktive Kanäle sind mit dem „Default” Papierkorb-Interface ethNull verbunden. Das Regel-Update des IP Stack wird durch den ACM durchgeführt. Die Zuordnung von Kanälen 3 zu Anwendungen erlaubt es dem IP Stack zu erkennen, zu welchen Ausgangs Netzwerk-Interfaces die durch die Kanäle 2 eintretenden Daten weitergeleitet werden.
-
Als Ausgangssituation sind in 1 beide Anwendungen BIN und BON nicht aktiv. Damit keine Kosten für eine Netzwerk-Nutzung entstehen, werden alle Daten auf ein „Papierkorb” Interface ethNull geleitet und können so den Rechner 1 nicht verlassen.
-
In 2 wird die Anwendung BIN gestartet. Diese meldet sich vor einem Netzwerkzugriff beim ACM an. Der ACM ermittelt aus der zugehörigen Datenbank ACL das der Anwendung zugeordnete Netzwerk-Interface 3, prüft ob das Netzwerk-Interface verfügbar ist und konfiguriert den IP Stack anhand der in der Datenbank ACL für die Anwendung hinterlegten Kanalnummer und Portnummern. Der IP Stack leitet alle Daten, die über den Kanal 2 mit Ports 100–110 eingehen über das Ausgangs-Netzwerk-Interface K-SIM weiter.
-
Die durch den ACM ermittelten Port Nummer werden an die Anwendung BIN zurück gegeben. Die Anwendung BIN kann durch Nutzung der zugewiesenen Por tNummer über das Netzwerk-Interface K-SIM mit dem Internet kommunizieren.
-
Die Anwendung BON kann weiterhin nicht mit dem Internet kommunizieren, da der zugeordnete Kanal 2 und alle anderen Port-Nummer an das „Papierkorb” Netzwerk-Interface ethNull geleitet werden.
-
In wird zusätzlich während der aktiven Anwendung BIN die Anwendung BON gestartet. Der Ablauf entspricht dem in 2 dargestellten.
-
Der Anwendung BON wird ein anderer Kanalbereich (Ports 200–210) zugewiesen und dieser Kanalbereich wird in dem IP Stack mit dem P-SIM Netzwerk-Interface über den Kanal 3 verbunden.
-
Beide Anwendungen sind somit in der Lage, gleichzeitig mit dem Internet zu kommunizieren. Es wird dabei für jede Anwendung nur das Ausgangs-Netzwerk-Interface 3 verwendet, das für die jeweilige Anwendung erlaubt ist.
-
In 4 ist die Situation gezeigt, während die Anwendung BON beendet wird. Ab diesem Zeitpunkt benötigt die Anwendung BON keinen Netzwerkzugriff mehr und meldet sich beim ACM als Netzwerknutzer ab. Der ACM entfernt daraufhin die Verbindung der Ports 200–210 mit dem P-SIM Interface.
-
Nach erfolgter Abmeldung kann die Anwendung BON nicht mehr Daten an das Internet senden. Alle Daten werden wieder an das „Papierkorb” Netzwerk-Interface ethNull geleitet. Die Anwendung BIN kann weiterhin Daten über das K-SIM Interface an das Internet schicken.
-
Erweist es sich als notwendig, die Ausgangsdaten der Anwendung BIN stattdessen zum Netzwerk-Interface P-SIM zu leiten, ist dies ohne weiteres möglich. ACM ordnet in diesem Fall der Anwendung BIN bei ihrer Anmeldung einen anderen Kanal 3 zu Die Anwendungen BIN und BON können dabei auch gleichzeitig mit dem Netzwerk kommunizieren.