-
Diese
Erfindung betrifft ein Verfahren zum Zuteilen von IP-Adressen gemäß dem Oberbegriff des
beigefügten
Anspruchs 1. Die Erfindung betrifft auch ein System gemäß dem Oberbegriff
des beigefügten
Anspruchs 8.
-
Eine
Datenstrecke kann beispielsweise durch ein optionales Kommunikationsnetz
von Datenverarbeitungseinrichtungen zu Diensteinrichtungen (Servern)
verschiedener Dienstanbieter hergestellt werden. Die Datenverarbeitungseinrichtungen umfassen
dabei Mittel zum Verbinden mit einem Kommunikationsnetz wie einem
Modem oder dergleichen. Der Benutzer kann beispielsweise die Homepages
des Dienstanbieters auf dem Internet durchsuchen, Produkte elektronisch
bestellen, Rechnungen bezahlen, usw. Des Weiteren kann ein optionales Kommunikationsnetz
zum Herstellen einer Fernverbindung mit einem Datennetz eines Unternehmens verwendet
werden. Das Datennetz kann ein virtuelles privates Netz (VPN) sein,
das durch Einsetzen eines öffentlichen
Datennetzes, wie beispielsweise des Internets, gebildet wurde. Die
Büros des
Unternehmens werden hier durch ein öffentliches Kommunikationsnetz
miteinander verbunden und Personen, bei denen es sich nicht um die
Mitarbeiter des Unternehmens handelt, werden vorzugsweise vom Verbinden mit
dem Netz abgehalten.
-
Einem
Benutzer, der über
ein optionales Kommunikationsnetz eine Verbindung hergestellt hat,
wird eine individuelle Adresse zugeteilt, die für die Dauer der Verbindung
gültig
ist, oder er hat diese. Die Adresse identifiziert die Datenverarbeitungseinrichtung
auf dem Datennetz eindeutig. Unter Verwendung dieser Adresse können die
für den
Benutzer vorgesehenen Pakete zur richtigen Datenverarbeitungseinrichtung
geleitet werden. Bei der Adresse handelt es sich für gewöhnlich um
eine IP-Adresse (IP = Internetprotokoll), die eine einem bestimmten Benutzer
zugewiesene statische Adresse sein kann. Für gewöhnlich ist die Adresse jedoch dynamisch, wodurch
einer Verbindung vom Adressraum des Internetbetreibers beispielsweise
eine verbindungsspezifische Adresse zugewiesen wird. Die Adresse wird
dem Benutzer somit für
gewöhnlich
ziemlich willkürlich
aus den freien IP-Adressen zugeteilt oder die erste freie Adresse
wird zugeteilt. In diesem Fall können
dem Benutzer keine personalisierten IP-Adressen bereitgestellt werden,
da nicht bekannt ist, wohin der Kunde geleitet werden wird. Weiterhin
könnten die
Benutzer die Diensteinrichtungen sehr uneinheitlich laden, da es
möglich
ist, dass die meisten Benutzer zu ein und derselben Diensteinrichtung
geleitet werden.
-
US-Patentschrift
5,812,819 offenbart ein Verfahren zum Zuteilen dynamischer IP-Adressen (IP
= Internetprotokoll). In der US-Anmeldung wird einem Benutzer an
einem entfernten Computer durch eine an das betroffene Netz gekoppelte
Fernzugriffseinrichtung Zugriff auf ein Kommunikationsnetz bereitgestellt.
Die Fernzugriffseinrichtung empfängt vom
entfernten Computer einen Benutzernamen, der den Benutzer auf dem
Netz eindeutig identifiziert. Die Fernzugriffseinrichtung erhält dann
von einem Server auf dem Netz eine IP-Adresse. Der Server teilt die IP-Adresse
auf Grundlage des Benutzernamens dynamisch zu. Die IP-Adresse identifiziert
den Netzbenutzer eindeutig und sie wird benötigt, um dem entfernten Computer
zu ermöglichen,
auf dem Netz zu kommunizieren. Wenn der Benutzer die Verbindung schließt oder
die Verbindung zum Netz aus einem anderen Grund getrennt wird und
wenn der Benutzer dann später
versucht, wieder Zugriff auf das Netz zu erlangen, indem er denselben
Benutzernamen zu einer beliebigen Fernzugriffseinrichtung sendet,
teilt der Server dem Benutzer dieselbe IP-Adresse wie beim vorherigen
Mal zu. Dies bedeutet schlimmstenfalls, dass für jeden potenziellen Benutzernamen eine
IP-Adresse reserviert ist, wodurch mindestens so viele IP-Adressen
benötigt
werden, wie die entfernten Benutzer Benutzernamen auf dem Netz haben.
Wahrscheinlich sind nicht alle entfern ten Benutzer, für die eine
IP-Adresse reserviert worden ist, gleichzeitig mit dem Netz verbunden,
so dass die Anzahl an IP-Adressen, die reserviert worden sind, aber nicht
im Gebrauch sind, sehr groß ist.
Dies ist nicht sinnvoll, da die Anzahl an verfügbaren IP-Adressen beschränkt ist
(IPv4, Internetprotokoll Version 4). Darüber hinaus sagt die US-Anmeldung
nichts über ein
Aufteilen der Belastung aus.
-
Im
Stand der Technik ist eine Belastung beispielsweise mittels Level-4-Switches
des OSI-Modells (OSI = Open Systems Interconnection, Kommunikation
offener Systeme) aufgeteilt worden, die Aufteilung ist jedoch nicht
kontrolliert, und so ist nicht bekannt, welche Einrichtung welchen
Benutzer versorgt, und es ist sogar nicht unbedingt bekannt, ob ein
Benutzer die gesamte Sitzung lang von ein und derselben Einrichtung
versorgt wird: Traditionell sind in der ISP-Welt (ISP = Internet
Service Provider, Internetdienstanbieter) eine Mehrzahl Instanzen
aus der Reihe von den Dienst ausführenden Einrichtungen repliziert
worden. Ein Replizieren des gesamten Systems mit dem Ziel des Skalierens
des Systems ist jedoch ziemlich teuer und ineffizient.
-
Eine
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren und ein
System zum Ausstatten mobiler Benutzer und anderer dynamischer Internetbenutzer
mit personalisierten Diensten bereitzustellen. Die Erfindung ermöglicht außerdem eine
effiziente Aufteilung der Belastung von verschiedenen Diensteinrichtungen.
In diesem Dokument bezieht sich personalisierter Dienst auf für die IP-Verbindung
des Benutzers bereitgestellte Mehrwertdienste wie eine Firewall,
ein virtuelles privates Netz (VPN), Dienstklassen (Classes of Service,
CoS), URL-Blöcke
(URL = Uniform Resource Locator, einheitliche Ortsangabe für Ressourcen),
usw. Wenn der Dienst eine große Anzahl
Benutzer aufweist, können
Dienste auf den die Dienste ausführenden
Einrichtungen nicht statisch konfiguriert werden. Weiterhin können die Dienste nicht
nur in einer einzigen Instanz auf der den Dienst ausführenden
Einrichtung ausgeführt werden,
wenn der Dienst eine große
Anzahl gleichzeitiger Benutzer aufweist. Die Erfindung ermöglicht das
Bereitstellen von personalisierten Diensten für eine große Anzahl Benutzer. Spezifischer
ausgedrückt
ist das Verfahren gemäß der vorliegenden
Erfindung ist hauptsächlich
dadurch gekennzeichnet, was im kennzeichnenden Teil des beigefügten Anspruchs
1 offenbart ist. Das Datenübertragungssystem
der vorliegenden Erfindung ist hauptsächlich dadurch gekennzeichnet,
was im kennzeichnenden Teil des beigefügten Anspruchs 8 offenbart
ist.
-
Mit
der vorliegenden Erfindung werden große Vorteile gegenüber den
Verfahren und Systemen des Stands der Technik erzielt. Das Verwaltungssystem
umfasst mehrere IP-Adressdatenbasen, die jeweils für eine einen
spezifizierten Dienst ausführenden
Einrichtung reserviert sind. Das System teilt geöffneten Verbindungen vorzugsweise
abwechselnd aus jeder Datenbasis Adressen zu. Die Belastung wird
dadurch gleichmäßig zwischen
den Diensteinrichtungen aufgeteilt. Die Erfindung ermöglicht das Bereitstellen
von personalisierten Diensten einer großen Anzahl Benutzer, weil das
Verwaltungssystem weiß,
durch welche Einrichtungen die IP-Pakete des Benutzers laufen und
welche IP-Adresse sie benutzen, da das System die IP-Adressen den
Datenverarbeitungseinrichtungen zuteilt. Weiterhin können, da die
Adressen auf kontrollierte Weise zugeteilt werden, falls erforderlich,
Konfigurationen an Einrichtungen vorgenommen werden, die sich auf
dem Leitweg der IP-Pakete befinden, und sie können auch von dort entfernt
werden, wenn die Sitzung endet. Eine Konfiguration muss nur auf
einer einzigen Diensteinrichtung vorgenommen werden, da bekannt
ist, durch welche Einrichtung das IP-Paket laufen wird.
-
Die
Erfindung wird im Folgenden ausführlicher
mit Bezug auf die beigefügte
Zeichnung beschrieben. Es zeigen:
-
1 ein
vereinfachtes Blockschema eines Systems gemäß einer bevorzugten Ausführungsform der
Erfindung,
-
2 ein
vereinfachtes Blockschema eines Systems gemäß einer zweiten bevorzugten
Ausführungsform
der Erfindung und
-
3 ein
vereinfachtes Ablaufdiagramm eines Verfahrens gemäß einer
bevorzugten Ausführungsform
der Erfindung.
-
1 zeigt
ein Datenübermittlungssystem 1 gemäß einer
bevorzugten Ausführungsform
der Erfindung, wobei der Benutzer durch eine Datenverarbeitungseinrichtung 2 eine
dynamische Datenstrecke zu einem Endserver 3 herstellt
(101 in 3). Die Datenverarbeitungseinrichtung 2 ist
beispielsweise ein Personalcomputer (PC), der ein Modem oder dergleichen
umfasst, durch das der Benutzer eine Verbindung zu einem optionalen
Kommunikationsnetz 4 herstellen kann. Die Datenverarbeitungseinrichtung kann
auch eine drahtlose Kommunikationseinrichtung mit Datenverarbeitungsfunktionen
sein. Das Modem wiederum kann eine Funkkarte oder ein entsprechendes
drahtloses Modem sein. Das Kommunikationsnetz kann ein verdrahtetes
Kommunikationsnetz (Public Switched Telephone Network bzw. PSTN, öffentliches
Telefonwählnetz)
oder ein drahtloses Kommunikationsnetz sein. Das Kommunikationsnetz 4 bildet
einen Datenkanal (Tunnel) zwischen der Datenverarbeitungseinrichtung 2 und
dem Endserver 3. Wenn ein drahtloses Kommunikationsnetz wie
GPRS (General Packet Radio Service, allgemeiner Datenpaket-Funkdienst) beteiligt
ist, wird der Datenkanal ein GPRS-Tunnelprotokoll (GTP) genannt und die
Datenverarbeitungseinrichtung ist eine GPRS-Endeinrichtung. Der
Endserver 3 ist beispielsweise eine Servereinrichtung eines
Internetdienstanbieters. In diesem Fall hat der Benutzer mit dem
Betreiber eine Vereinbarung abgeschlossen und ihm ist vorzugsweise
ein Benutzername gegeben worden, zusätzlich zu dem der Benutzer
dennoch möglicherweise
ein Kennwort benötigt,
um eine Verbindung einrichten zu können. Beim Be ginnen einer Verbindung
wird der Datenverarbeitungseinrichtung des Benutzers für gewöhnlich eine
dynamische Adresse aus einer bestimmten Gruppe von Adressen zugeteilt.
Die Adresse wird bei der Datenübertragung
zwischen der Datenverarbeitungseinrichtung 2 und dem Datennetz 4 auf
an sich bekannte Weise verwendet.
-
Der
Endserver 3 wird zum Kommunizieren mit beispielsweise einem
Verwaltungsserver 5 angeordnet. Wenn eine Verbindung hergestellt
wird, werden der Benutzername des Benutzers und das Kennwort an
den Endserver 3 weitergeleitet, so dass der Benutzer identifiziert
und Missbrauch verhindert werden kann (102 in 3).
Der Endserver 3 ruft dann die Identifikationsdaten durch
den Verwaltungsserver 5 ab. Der Endserver 3 sendet
vorzugsweise eine Verbindungseinrichtungsnachricht gemäß einem
Identifikationsprotokoll wie Radius zum Verwaltungsserver 5 (103 in 3).
Die Verbindungseinrichtungsnachricht enthält beispielsweise den Benutzernamen
des Benutzers und das Kennwort, am meisten bevorzugt mit einem Schlüssel verschlüsselt. Der
Verwaltungsserver 5 umfasst eine Identifikationsdatenbank 6,
wobei das System versucht, den Benutzer basierend auf dem Benutzernamen
des Benutzers, dem Kennwort und eventueller anderer Kennungen zu
identifizieren (104 in 3). Wenn
der Benutzer identifiziert wird (105 in 3),
werden die personalisierten Benutzereinstellungen des Benutzers
abgerufen (106 in 3), und
der Verwaltungsserver sendet eine IP-Adresse an die Datenverarbeitungseinrichtung des
Benutzers (108 in 3).
-
Der
Verwaltungsserver 5 kann auch nur als ein Radius-Proxyserver
fungieren, wodurch das System auch einen Datenbankserver 11 umfasst (2).
Der Verwaltungsserver 5 leitet hier die vom Endserver 3 empfangenen
Nachrichten an den Datenbankserver weiter und der Datenbankserver 11 ruft
die Identifikationsdaten von der Identifikationsdatenbank 6 basierend
auf dem Benutzernamen des Benutzers und dem Kennwort ab. Wenn der
Benutzer identifiziert worden ist und das Recht des Benutzers auf
Zugreifen auf die Dienste, auf die er oder sie zugreifen will, verifiziert
worden ist, sendet der Verwaltungsserver eine IP-Adresse an die
Datenverarbeitungseinrichtung 2 des Benutzers. Es ist natürlich auch
möglich,
dass die Identifikationsdaten des Benutzers und die personalisierten
Einstellungen in verschiedenen Datenbanken gefunden werden. Es können beispielsweise
mindestens zwei Radius-Datenbanken für Benutzer und eine separate
Datenbank für
personalisierte Daten vorliegen. In dieser Schrift bezieht sich
die Identifikationsdatenbank 6 auf alle Datenbanken, in
denen die Identifikationsdaten des Benutzers und die personalisierten
Einstellungen gefunden werden können.
-
Der
Verwaltungsserver 5 und der Endserver 3 kommunizieren
beispielsweise gemäß dem oben genannten
Radius-Protokoll, das insbesondere für Identifikations- und Gebührenerfassungsanwendungen
ausgelegt ist. Der Verwaltungsserver 5 und der eventuelle
Datenbankserver 11 verwenden auch vorzugsweise das Radius-Protokoll
bei gegenseitiger Kommunikation. Natürlich können auch andere Protokolle
verwendet werden.
-
Weiterhin
sind mindestens zwei Diensteinrichtungen 8a, 8b, 8c mit
dem System verbunden, wobei jede Diensteinrichtung mindestens eine Adressdatenbasis 10a, 10b, 10c aufweist.
Im Beispiel von 1 umfasst die Datenbasis 10a der
ersten Diensteinrichtung 8a Adressen 10.0.1.0 bis 10.0.1.255,
die Datenbasis 10b der zweiten Diensteinrichtung 8b umfasst
die Adressen 10.0.2.0 bis 10.0.2.255, usw. Die Diensteinrichtungen
sind direkt oder indirekt mit einem Datennetz verbunden, wie dem
Internet oder dem eigenen lokalen Netz (LAN) des Unternehmens.
-
Wenn
das System 1 nur zum Aufteilen der Belastung verwendet
wird, bieten vorzugsweise alle Diensteinrichtungen denselben Dienst
oder die dieselben Dienste. Der Verwaltungsser ver 5 wählt hier eine
IP-Adresse vorzugsweise abwechselnd aus einer Datenbasis jeder Diensteinrichtung
aus. Der Verwaltungsserver kann auch eine Adresse aus der Adressdatenbasis
auswählen,
die die geringste Anzahl reservierter IP-Adressen aufweist. Die
Belastung wird dadurch so gleichmäßig wie möglich zwischen den Diensteinrichtungen
aufgeteilt. Wenn beispielsweise dem Benutzer die Adresse 10.0.1.3
zugeteilt wird, wird der Verkehr von der betroffenen Adresse stets
zur ersten Diensteinrichtung 8a, zur Adressdatenbasis 10a,
der die Adresse zugehört,
geleitet. Da das Verwaltungssystem die IP-Adressen den Datenverarbeitungseinrichtungen 2 zuteilt,
weiß das
System auch, durch welche Einrichtungen die IP-Pakete des Benutzers
laufen und welche IP-Adresse sie benutzen. Auf Grundlage dieser
Informationen können
die dem Benutzer zur Verfügung stehenden
Dienste personalisiert werden. Bevor eine IP-Adresse an die Datenverarbeitungseinrichtung 2 gesendet
wird (108 in 3), werden personalisierte Benutzereinstellungen
am meisten bevorzugt auf allen Datenkommunikationseinrichtungen 7, 8a, 8b, 8c auf
dem Leitweg des Pakets konfiguriert (107 in 3).
Der Zweck dieses Schritts ist es, eine Datenstrecke zwischen dem
Endserver 3 und einer oder mehreren Diensteinrichtungen 8a, 8b, 8c zur
Verwendung mindestens eines Diensts bereitzustellen. Die Kommunikation
zwischen dem Verwaltungsserver 5 und der Diensteinrichtung 8a, 8b, 8c wird
beispielsweise durch SNMP (Simple Network Management Protocol, einfaches
Netzwerkverwaltungsprotokoll) umgesetzt; natürlich können aber auch andere Protokolle
verwendet werden.
-
Wenn
der Benutzer die Verbindung so lange verwendet hat, wie er oder
sie wünscht
(109 in 3), und die Verbindung schließt oder
die Verbindung aus einem anderen Grund getrennt wird (110 in 3),
teilt der Endserver 3 dem Verwaltungsserver 5 mit,
dass die Sitzung beendet ist (111 in 3).
Der Verwaltungsserver entfernt dadurch vorzugsweise die personalisierten
Benutzereinstellungen von jenen Datenkommunikationseinrichtungen
auf dem Leitweg des IP-Pakets, die den Benutzer versorgt haben (112 in 3).
Da Adressen auf kontrollierte Weise zugeteilt werden, können auf
den Datenkommunikationseinrichtungen 7, 8a, 8b, 8c,
falls erforderlich, Konfigurationen vorgenommen und von ihnen entfernt
werden, wenn die Sitzung endet. Am meisten bevorzugt wird nur eine
den Dienst ausführende
Einrichtung 8a, 8b, 8c konfiguriert,
da bekannt ist, durch welche Einrichtung das IP-Paket laufen wird.
-
Das
System 1 der Erfindung kann auch derart verwendet werden,
dass die Diensteinrichtungen 8a, 8b, 8c den
Benutzern verschiedene Dienste anbieten, wodurch jede Diensteinrichtung
mindestens eine Adressdatenbasis 10a, 10b, 10c aufweist.
Der Verwaltungsserver 5 teilt hier dem Benutzer eine IP-Adresse
aus der Adressdatenbasis jener Diensteinrichtung zu, die den Dienst
anbietet, den der Benutzer verlangt. Wenn mehrere Diensteinrichtungen denselben
Dienst anbieten, wird der Datenverarbeitungseinrichtung 2 eine
IP-Adresse vorzugsweise aus jener Adressdatenbasis einer den Dienst
anbietenden Diensteinrichtung zugeteilt, die die geringste Anzahl
reservierter IP-Adressen aufweist. Selbst in diesem Fall werden,
bevor eine IP-Adresse an die Datenverarbeitungseinrichtung 2 gesendet
wird, personalisierte Benutzereinstellungen auf allen Datenkommunikationseinrichtungen 7, 8a, 8b, 8c auf
dem Leitweg des Pakets konfiguriert.
-
Weiterhin
kann ein und dieselbe Diensteinrichtung 8a, 8b, 8c auch
mehrere Dienste oder verschiedene Profile eines einzigen Diensts
anbieten, wodurch mindestens eine Adressdatenbasis 10a, 10b, 10c für jeden
Dienst oder jedes Dienstprofil vorliegt. Wenn die Diensteinrichtung
für jedes
Dienstprofil eine andere Adressdatenbasis aufweist, müssen die
Datenkommunikationseinrichtungen 7, 8a, 8b, 8c auf
dem Leitweg des IP-Pakets nicht separat für jede Verbindung konfiguriert
werden. Die IP-Adresse kann hier nur aus der dem richtigen Profil
entsprechenden Adressdatenbasis ausgewählt werden, da die den Profilen
entsprechenden Einstellungen am meisten bevorzugt auf allen Einrichtungen
auf dem Leitweg des Pakets dauerhaft eingestellt worden sind.
-
Weiterhin
können
mehrere Diensteinrichtungen 8a, 8b, 8c hintereinander
vorliegen, wodurch eine IP-Adresse vorzugsweise dem Benutzer basierend
auf der ersten verwendeten Diensteinrichtung zugeteilt wird. Natürlich können auch
andere Wege zum Auswählen
einer IP-Adresse eingesetzt werden.
-
Durch
die Datenverarbeitungseinrichtung 2 kann der Benutzer beispielsweise
Informationen auf dem Datennetz 9 finden und beispielsweise
Informationen durch das Datennetz zu einer anderen Datenverarbeitungseinrichtung
(nicht gezeigt) senden. Die zu sendenden Informationen werden in
der Datenverarbeitungseinrichtung 2 in eine Form umgewandelt,
die es ermöglicht,
sie in das Datenübermittlungssystem
zu übermitteln;
und dementsprechend wird, wenn Informationen vom Datenübermittlungssystem 1 empfangen
werden, die notwendige Umwandlung ausgeführt, so dass die Informationen
von der Anwendung, wie beispielsweise einem Browserprogramm, verwendet
werden können.
-
Die
obigen bevorzugten Ausführungsformen der
Erfindung sind nicht darauf beschränkt, nur auf die genannten
Kommunikationsnetze wie das PSTN- oder GPRS-Netz Anwendung zu finden:
Der Gedanke der Erfindung kann auch als solcher auf alle anderen
Kommunikationsnetze angewendet werden, in denen IP-Adressen oder
dergleichen verwendet werden, um Benutzer und Endeinrichtungen zu
identifizieren. Darüber
hinaus wird es einem Fachmann offensichtlich sein, dass die Erfindung
innerhalb des Schutzumfangs der beigefügten Ansprüche modifiziert werden kann.
-
(57) ZUSAMMENFASSUNG
-
Die
Erfindung betrifft ein Verfahren zum Zuteilen von IP-Adressen auf kontrollierte
Weise in einem Datenübermittlungssystem
(1), das mindestens ein Datennetz (9), mindestens
einen Endserver (3), den der Benutzer kontaktiert, und
mindestens eine Identifikationsdatenbank (6), die Daten
zum Identifizieren von Benutzern enthält, umfasst. In dem Verfahren
wird in der Identifikationsdatenbank (6) eine Benutzeridentifizierung
ausgeführt
und, wenn der Benutzer identifiziert wird, mindestens eine dynamische
Datenstrecke zum Übermitteln
von Daten zwischen einer Datenverarbeitungseinrichtung (2)
und dem Datennetz (9) hergestellt und dann der Datenverarbeitungseinrichtung
(2) des Benutzers für
die Dauer der Verbindung eine IP-Adresse zugeteilt. In dem Verfahren
werden mindestens ein Verwaltungsserver (5) und mindestens
zwei Diensteinrichtungen (8a, 8b, 8c),
die jeweils mit mindestens einer Adressdatenbasis (10a, 10b, 10c)
ausgestattet sind, im Datenübermittlungssystem
(1) angeordnet. Der basierend auf der Identifikationsdatenbank
identifizierten Datenverarbeitungseinrichtung des Benutzers (2) wird
aus der Adressdatenbasis (10a, 10b, 10c)
der Diensteinrichtung (8a, 8b, 8c), zu
der der Benutzer zur Verwendung mindestens eines von der Diensteinrichtung
(8a, 8b, 8c) bereitgestellten Diensts
geleitet wird, eine IP-Adresse
zugeteilt.
-
1