DE102009051729A1 - Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk - Google Patents

Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk Download PDF

Info

Publication number
DE102009051729A1
DE102009051729A1 DE102009051729A DE102009051729A DE102009051729A1 DE 102009051729 A1 DE102009051729 A1 DE 102009051729A1 DE 102009051729 A DE102009051729 A DE 102009051729A DE 102009051729 A DE102009051729 A DE 102009051729A DE 102009051729 A1 DE102009051729 A1 DE 102009051729A1
Authority
DE
Germany
Prior art keywords
network
output
applications
computer
network nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009051729A
Other languages
English (en)
Inventor
Sven Kurzeder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102009051729A priority Critical patent/DE102009051729A1/de
Publication of DE102009051729A1 publication Critical patent/DE102009051729A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung beschreibt ein Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk, das über mindestens zwei voneinander verschiedene Netzwerkknoten mit dem Rechner verbunden ist, die wiederum als Eingangs-Gateway für Daten des Netzwerks dienen, die zum Rechner gelangen. Ebenso dienen die Netzwerkknoten auch als Ausgangs-Gateways. Der Rechner enthält einen Zuordnungs-Speicher für die beiden Netzwerkknoten. Die Anwendungen erhalten für den Ausgang zum Netzwerk eine Zuordnung für einen definierten Netzwerkknoten.

Description

  • Die Erfindung bezieht sich auf ein Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk, das über mindestens zwei voneinander verschiedene Netzwerkknoten mit dem Rechner verbunden ist, die wiederum als Eingangs-Gateway dienen.
  • Als Ausgangssituation wird eine Standard TCP/IP Infrastruktur angenommen wie sie in jedem Einzelplatz-Rechner mit handelsüblichem Betriebssystem verwendet wird. Es wird eine beliebige Anzahl an Netzwerkknoten (im folgenden Netzwerk-Interfaces genannt) vorausgesetzt, die jeweils Internet-Zugang anbieten. Der Übersichtlichkeit halber werden davon nur zwei Netzwerk-Interfaces betrachtet. Alle Netzwerk-Interfaces sind sozusagen am gleichen Ziel-Netz angeschlossen. Weiter sind zwei Rechner-Anwendungen A und B vorhanden, die Internet-Zugang benötigen.
  • Standardmäßig ist ein einziges Netzwerk-Interface als Default Ausgangs-Gateway vorgesehen. Die Daten der Anwendungen A und B werden an dieses „Default” Ausgangs-Gateway geleitet und verlassen den Rechner über dieses. Die weiteren Netzwerk-Interfaces werden nicht als Ausgangs-Gateway genutzt, sondern dienen lediglich als Eingangs-Gateway. Daraus ergibt sich die erste Einschränkung dieser Standard-Konfiguration: ein gleichzeitiger Betrieb beider Anwendungen ist nur dann möglich, wenn es erlaubt ist, dass beide Anwendungen ihre Daten über das „Default Ausgangs-Gateway” versenden. Wenn dies nicht erlaubt ist, ist ein gleichzeitiger Betrieb nicht möglich.
  • Die Standard-Konfiguration ermöglicht es auch nicht, die Daten der Anwendungen A und B nutzerabhängig an unterschiedliche Ausgangs-Gateways zu leiten. Die eigentlich dafür bestehende Notwendigkeit ergibt sich aus nachfolgendem Beispiel:
    Es wird wiederum ein Rechner betrachtet mit zwei Netzwerk-Interfaces:
    • • P-SIM (Prefit-SIM): Dieses Netzwerk-Interface bietet Internet-Zugang und die Datenübertragung wird von einem Dritten, beispielsweise einem Service-Anbieter bezahlt.
    • • K-SIM (Kunden-SIM); Dieses Netzwerk-Interface bietet Internet-Zugang und die Datenübertragung wird vom Nutzer selbst bezahlt.
  • Es werden zwei Anwendungen betrachtet:
    • • Anwendung BIN: Der Nutzer trägt die Internet-Verbindungskosten vom Rechner zum Empfänger selbst
    • • Anwendung BON: Ein Dritter trägt die Verbindungskosten
  • Daraus ergibt sich folgende Netzwerk-Interface Nutzung als erforderlich:
    • • BIN wird zu K-SIM als Netzwerk-Interface geleitet
    • • BON wird zu P-SIM als Netzwerk-Interface geleitet.
  • Ein weiterer Nachteil der Standard-Konfiguration ergibt sich, wenn es erforderlich wird, die Zuordnung der Anwendungen BIN und BON an die Netzwerk-Interfaces K-SIM und P-SIM zu ändern, beispielsweise dann, wenn der Dritte auch die Internet-Verbindungskosten vom Rechner zum Empfänger für die Anwendung BIN übernimmt. Dafür müssten die Ausgangsdaten der Anwendung BIN zum Netzwerk-Interface P-SIM geleitet werden.
  • Zusammengefasst besitzt die Standard-Konfiguration mit einem Default-Ausgangs-Netzwerk mehrere Nachteile:
    Eine gleichzeitige Nutzung beider Anwendungen ist bei unterschiedlicher Zuordnung der beiden Anwendungen an unterschiedliche Ausgangs-Gateways nicht möglich. Ferner ist eine Änderung der Zuordnung einer Anwendung zu einem Ausgangs-Gateway nicht möglich.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren der eingangs genannten Art zu schaffen, mit dem die genannten Nachteile mit geringem Aufwand beseitigt sind.
  • Die Erfindung löst diese Aufgabe mit den im Patentanspruch 1 angegebenen Mitteln.
  • Der Zuordnungs-Speicher erkennt eine laufende Anwendung und ordnet ihr einen der Netzwerkknoten als Ausgangs-Gateway zu. Das so bestimmte Ausgangs-Gateway leitet den Datenstrom der Anwendung aus dem Rechner aus.
  • Vorteilhafterweise enthalten die Gateways mehrere adressierbare parallele Kanäle. Die Zuordnung des Ausgangs-Gateways zur Anwendung erfolgt in der Weise, dass der Zuordnungsspeicher der Anwendung die entsprechenden Kanalnummern zuweist.
  • Ein Ausführungsbeispiel der Erfindung ist anhand der 1 bis 4 dargestellt und im Folgenden näher erläutert.
  • Ein in 1 gezeigter Rechner 1 besitzt zwei Anwendungen BIN und BON sowie als Zuordnungs-Speicher einen Access Control Manager ACM. Die Anwendungen BIN und BON stehen für eine Internet-Verbindung bzw. einen Online-Anschluss des Rechners. Der ACM ist die zentrale Verwaltungsstelle für den Netzwerkzugriff. Der ACM enthält eine Datenbank (Access Control List – ACL), in der für jede Anwendung der mögliche Netzwerkzugriff über Ausgangs-Kanäle 3 hinterlegt ist.
  • Der ACM konfiguriert den IP Stack anhand der aktiven Anwendungen und den Daten aus der ACL. Durch diese Konfiguration wird festgelegt, wie die von den Anwendungen BIN und BON über die Kanäle 2 eingehenden Daten weitergeleitet werden.
  • Jeder IP Stack hat Eingangs-Kanäle 2 für den Daten-Eingang und Ausgangs-Kanäle 3 für den Daten-Ausgang. Kanäle werden anhand einer eindeutigen Nummer (Port) identifiziert. Zur Erkennung der verschiedenen Anwendungen BIN und BON wird jeder Anwendung dynamisch ein Kanalnummernbereich vom ACM zugeordnet. Anwendungen dürfen nur Eingangs-Kanäle 2 aus dem ihnen zugeordneten Nummernbereich benutzen, um Daten an den IP Stack zu schicken. Diese Kanal-Zuordnung wird durch den ACM vergeben.
  • Dafür meldet sich eine Anwendung als Netzwerknutzer beim ACM an.
  • Jeder Eingangskanal, der an eine Anwendung vergeben wird (aktiver Kanal), wird zuvor im IP Stack fest mit einem Ausgangs Netzwerk-Interface (Kanäle 3) verbunden. Dies geschieht über ein von vornherein festgelegtes Regel Update-Werk im IP Stack. Nur aktive Kanäle werden mit Ausgangs-Netzwerk-Interfaces verbunden. Inaktive Kanäle sind mit dem „Default” Papierkorb-Interface ethNull verbunden. Das Regel-Update des IP Stack wird durch den ACM durchgeführt. Die Zuordnung von Kanälen 3 zu Anwendungen erlaubt es dem IP Stack zu erkennen, zu welchen Ausgangs Netzwerk-Interfaces die durch die Kanäle 2 eintretenden Daten weitergeleitet werden.
  • Als Ausgangssituation sind in 1 beide Anwendungen BIN und BON nicht aktiv. Damit keine Kosten für eine Netzwerk-Nutzung entstehen, werden alle Daten auf ein „Papierkorb” Interface ethNull geleitet und können so den Rechner 1 nicht verlassen.
  • In 2 wird die Anwendung BIN gestartet. Diese meldet sich vor einem Netzwerkzugriff beim ACM an. Der ACM ermittelt aus der zugehörigen Datenbank ACL das der Anwendung zugeordnete Netzwerk-Interface 3, prüft ob das Netzwerk-Interface verfügbar ist und konfiguriert den IP Stack anhand der in der Datenbank ACL für die Anwendung hinterlegten Kanalnummer und Portnummern. Der IP Stack leitet alle Daten, die über den Kanal 2 mit Ports 100–110 eingehen über das Ausgangs-Netzwerk-Interface K-SIM weiter.
  • Die durch den ACM ermittelten Port Nummer werden an die Anwendung BIN zurück gegeben. Die Anwendung BIN kann durch Nutzung der zugewiesenen Por tNummer über das Netzwerk-Interface K-SIM mit dem Internet kommunizieren.
  • Die Anwendung BON kann weiterhin nicht mit dem Internet kommunizieren, da der zugeordnete Kanal 2 und alle anderen Port-Nummer an das „Papierkorb” Netzwerk-Interface ethNull geleitet werden.
  • In wird zusätzlich während der aktiven Anwendung BIN die Anwendung BON gestartet. Der Ablauf entspricht dem in 2 dargestellten.
  • Der Anwendung BON wird ein anderer Kanalbereich (Ports 200–210) zugewiesen und dieser Kanalbereich wird in dem IP Stack mit dem P-SIM Netzwerk-Interface über den Kanal 3 verbunden.
  • Beide Anwendungen sind somit in der Lage, gleichzeitig mit dem Internet zu kommunizieren. Es wird dabei für jede Anwendung nur das Ausgangs-Netzwerk-Interface 3 verwendet, das für die jeweilige Anwendung erlaubt ist.
  • In 4 ist die Situation gezeigt, während die Anwendung BON beendet wird. Ab diesem Zeitpunkt benötigt die Anwendung BON keinen Netzwerkzugriff mehr und meldet sich beim ACM als Netzwerknutzer ab. Der ACM entfernt daraufhin die Verbindung der Ports 200–210 mit dem P-SIM Interface.
  • Nach erfolgter Abmeldung kann die Anwendung BON nicht mehr Daten an das Internet senden. Alle Daten werden wieder an das „Papierkorb” Netzwerk-Interface ethNull geleitet. Die Anwendung BIN kann weiterhin Daten über das K-SIM Interface an das Internet schicken.
  • Erweist es sich als notwendig, die Ausgangsdaten der Anwendung BIN stattdessen zum Netzwerk-Interface P-SIM zu leiten, ist dies ohne weiteres möglich. ACM ordnet in diesem Fall der Anwendung BIN bei ihrer Anmeldung einen anderen Kanal 3 zu Die Anwendungen BIN und BON können dabei auch gleichzeitig mit dem Netzwerk kommunizieren.

Claims (2)

  1. Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk, das über mindestens zwei voneinander verschiedene Netzwerkknoten mit dem Rechner verbunden ist, die wiederum als Eingangs-Gateway für Daten des Netzwerks dienen, die zum Rechner gelangen, dadurch gekennzeichnet, dass die Netzwerkknoten auch als Ausgangs-Gateways dienen, dass der Rechner einen Zuordnungs-Speicher für die beiden Netzwerkknoten enthält und dass die Anwendungen für den Ausgang zum Netzwerk eine Zuordnung für einen definierten Netzwerkknoten erhalten.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Gateways mehrere adressierbare parallele Kanäle enthalten und der Zuordnungsspeicher der Anwendung Kanalnummern zuweist.
DE102009051729A 2009-11-03 2009-11-03 Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk Withdrawn DE102009051729A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009051729A DE102009051729A1 (de) 2009-11-03 2009-11-03 Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009051729A DE102009051729A1 (de) 2009-11-03 2009-11-03 Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk

Publications (1)

Publication Number Publication Date
DE102009051729A1 true DE102009051729A1 (de) 2011-05-05

Family

ID=43828854

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009051729A Withdrawn DE102009051729A1 (de) 2009-11-03 2009-11-03 Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk

Country Status (1)

Country Link
DE (1) DE102009051729A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040009751A1 (en) * 2002-07-11 2004-01-15 Oliver Michaelis Interface selection in a wireless communication network
US20050083899A1 (en) * 2003-10-17 2005-04-21 Uppinder Babbar System selection for wireless data services

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040009751A1 (en) * 2002-07-11 2004-01-15 Oliver Michaelis Interface selection in a wireless communication network
US20050083899A1 (en) * 2003-10-17 2005-04-21 Uppinder Babbar System selection for wireless data services

Similar Documents

Publication Publication Date Title
DE102006012614B4 (de) Verfahren und Vorrichtung für den Durchlauf von Paketen durch eine Einrichtung zur Netzwerkadressenübersetzung
DE102014018873A1 (de) Telekommunikationsanordnung und Verfahren zum Herstellen einer RTC-Verbindung zwischen einem ersten Endpunkt und einem zweiten Endpunkt
DE112012004957T5 (de) Flexibles und skalierbares Enhanced-Transmission-Selection-Verfahren für Netzwerkstrukturen
EP3501140A1 (de) Verfahren zum betrieb eines mehrere kommunikationsgeräten umfassenden kommunikationsnetzes eines industriellen automatisierungssystems und steuerungseinheit
EP1722534A1 (de) Eigenschaften-basierte Zuweisung von Ressourcen zu Sicherheitsdomänen
EP3753205B1 (de) Datenübertragung in zeitsensitiven datennetzen
DE102009051729A1 (de) Verfahren zur Zugriffssteuerung mehrerer Rechner-Anwendungen eines Rechners auf ein Netzwerk
EP1768322A1 (de) Verfahren zur Reservierung von Bandbreite in einer Netzresource in einem Kommunikationsnetzwerk
EP2695364A1 (de) Verfahren zur adressierung von nachrichten in einem computernetzwerk
DE10330596A1 (de) Zuordnung von Stationsadressen zu Kommunikationsteilnehmern in einem Bussystem
WO2007009884A2 (de) Verfahren zur dynamischen dienstekonfiguration eines technischen systems
EP2110725A1 (de) System und Verfahren zur Zuordnung eines Gerätenamens
EP1194844B1 (de) Chipkarte mit mehreren anwendungsprogrammen
LU101163B1 (de) Verfahren und Vorrichtungen für eine Lastzuweisung und Überwachung für eine zuzuweisende versorgungssicherheitskritische Ressource in einem Netzwerk
DE10339051B3 (de) Verfahren zum Zuordnen von über mehrere Subnetze verteilten Clients zu einen Server und Client zur Ankopplung an einen Server
DE2752557C2 (de)
DE102005019105A1 (de) Kommunikationssystem
DE102014221975A1 (de) Verfahren und Vorrichtung zum Regeln einer Dienstgüte zwischen einem lokalen Netzwerk und einem Weitverkehrsnetz
DE102020100870A1 (de) Redundante Speicherung der Konfiguration von Netzwerkgeräten unter Einbeziehung von Nachbarschaftsbeziehungen
DE10212374B4 (de) Lastverteilung auf periphere Einrichtungen eines paketbasierten Vermittlungssystems
EP2434694B1 (de) Verfahren zum Ansprechen von Teilnehmern eines Gebäudeinstallationssystems
EP1537719A1 (de) Aktualisiering von auf einem rechner eines datenkommunikationssystems gespeicherter software
DE102019203352A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kommunikationssystems
DE102013013981A1 (de) Verfahren zur Organisation von Kommunikation
EP3035614A1 (de) Verfahren zum Konfigurieren von Routen in einem industriellen Automatisierungsnetzwerk

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed
R120 Application withdrawn or ip right abandoned
R012 Request for examination validly filed

Effective date: 20140823

R120 Application withdrawn or ip right abandoned

Effective date: 20140930