DE60214993T2 - Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen - Google Patents

Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen Download PDF

Info

Publication number
DE60214993T2
DE60214993T2 DE60214993T DE60214993T DE60214993T2 DE 60214993 T2 DE60214993 T2 DE 60214993T2 DE 60214993 T DE60214993 T DE 60214993T DE 60214993 T DE60214993 T DE 60214993T DE 60214993 T2 DE60214993 T2 DE 60214993T2
Authority
DE
Germany
Prior art keywords
portal
resources
internet resources
access
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60214993T
Other languages
English (en)
Other versions
DE60214993D1 (de
Inventor
Koen Daenen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel CIT SA
Alcatel SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel CIT SA, Alcatel SA filed Critical Alcatel CIT SA
Publication of DE60214993D1 publication Critical patent/DE60214993D1/de
Application granted granted Critical
Publication of DE60214993T2 publication Critical patent/DE60214993T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Feld der Erfindung
  • Die vorliegende Erfindung betrifft ein Verfahren und ein Portalsystem zur personalisierten dynamischen zeitrichtigen Gewährung von Zugang auf Internetressourcen und zur Verweigerung des Zugangs für nicht genehmigte Internetressourcen.
  • Darüber hinaus betrifft die vorliegende Erfindung einen personalisierten Zugangsstrategie-Server (Access Policy Server), einen Portal-Server, eine Firewall und Computer-Software-Produkte zur dynamischen Gewährung und Verweigerung des Zugangs auf Netzwerkressourcen.
  • Hintergrund
  • In derzeitigen Umgebungen sind Firewalls und HTTP-Proxy-Server in der Lage, feste Sätze von Ressourcen zu blockieren, die z.B. durch Uniform Resource Identifier (URI) festgelegt sind. Der Satz von URIs, der für einen anfordernden Benutzer blockiert wird, kann von den Genehmigungen des Benutzers oder von einem Benutzerprofil, sowie von Sicherheitsanforderungen abhängen.
  • Wie oben erwähnt, ist heute dieser Satz zugänglicher Ressourcen statisch konfiguriert. Statische Firewall-Konfigurationen lösen eine Menge von Problemen. Ein gut bekanntes Beispiel ist der Internetzugang in einer Firmenumgebung. Die Angestellten können ohne Identifizierung auf alle URIs des Intranet und einige URIs des externen Netzes zugreifen. Nach einer Authentifizierung beim Proxy-Server können die Angestellten das gesamte Internet erreichen.
  • Die ursprüngliche Funktion einer Firewall ist es, Barrieren zu schaffen, um einen unberechtigten Zugang zu einem Netzwerk zu verhindern. Stellt man sich das Internet als eine Reihe von Gängen vor, sind Firewalls die Sicherheitstüren, durch die einige Leute (d.h. Daten) hindurch dürfen und andere nicht. Somit ist eine Firewall ein fast statisch konfigurierbarer Filter.
  • Vom technischen Standpunkt ist eine Firewall ein Satz von zugehörigen Programmen, die sich in einem Netzwerk-Gateway-Server befinden, der die Ressourcen eines privaten Netzwerks vor Benutzern aus anderen Netzwerken schützt. Der Begriff beinhaltet auch die Sicherheits-Strategie, die in den Programmen benutzt wird. Ein Unternehmen mit einem Intranet, das seinen Angestellten den Zugang zu dem weiten Internet erlaubt, installiert eine Firewall, um zu verhindern, dass Außenstehende auf seine eigenen privaten Daten-Ressourcen zugreifen und um zu kontrollieren, zu welchen außen befindlichen Ressourcen seine eigenen Benutzer Zugang haben.
  • Im Wesentlichen untersucht eine Firewall, die eng mit einem Router-Programm zusammenarbeitet, jedes Netzwerk-Paket, um festzustellen, ob sie es zu seinem Ziel weiterleitet. Eine Firewall enthält auch oder arbeitet auch mit einem Proxy-Server, der Netzwerk-Anforderungen im Namen von Workstation-Benutzern macht. Eine Firewall wird oft in einem speziell konstruierten Computer installiert, der vom Rest des Netzwerks getrennt ist, so dass keine eintreffende Anforderung direkt Zugriff auf private Netzwerk-Ressourcen hat.
  • Es gibt eine Vielzahl von Abschirmungs-Verfahren für Firewalls. Ein einfaches ist es, die Anforderungen zu überprüfen, um sicherzustellen, dass sie von akzeptierbaren, vorher festgelegten Domain-Namen und Internet-Protokoll-Adressen kommen.
  • In der europäischen Patentanmeldung EP-A-O 762 707 zum Beispiel wird daher eine Vorrichtung für den Netzwerk-Zugang über ein Telekommunikationsnetz über ferngesteuerte Filter beschrieben, die von einem Zugangs-Steuerungs-Server gesteuert werden, der z.B. die Berechtigung eines Benutzer prüft.
  • Etliche Firmen stellen Firewall-Produkte her. Die Eigenschaften umfassen eine Protokollierung und Berichterstattung, automatische Alarme bei gegebenen Angriffs-Schwellwerten und eine grafische Benutzeroberfläche zur Steuerung der Firewall.
  • In der oben angegebenen Beschreibung befindet sich der Anfragende in einem privaten Netzwerk, das Verbindungsmöglichkeiten zum Internet hat. Der Besitzer des privaten Netzwerks möchte jedoch die Anforderungen an das Internet kontrollieren und/oder begrenzen. Für diesen Zweck passt die existierende Lösung.
  • Im Geschäftsvorschlag eines Internet Dienstanbieters (ISP) und einer Telefongesellschaft (Telco) ist eine dynamischere Firewall vorteilhaft. Wenn ein Telekommunikations-Anbieter einem Endanwender ein Portal zur Dienstauswahl anbietet, muss der Endanwender in einem ersten Schritt nur auf das Portal der Telefongesellschaft zugreifen. Die Verbindung zum Netz der Telefongesellschaft wird z.B. durch eine digitale Teilnehmerleitung (DSL) aufgebaut. Später erhält der Endbenutzer durch Auswahl eines Dienstes auf dem Portal über einen ISP Zugang zu einem Firmennetzwerk oder zum Internet. Der dynamische Zugang kann durch die virtuellen Routing-Algorithmen und/oder IP-Filter eines Zugangs-Servers oder durch ähnliche Lösungen realisiert werden. Man beachte, dass die Rolle der Bereitstellung eines solchen Dienstauswal-Portals, die in diesem Dokument als von der Telekommunikationsgesellschaft ausgeführt beschrieben wird, auch von einem ISP ausgeführt werden kann. Weitere ISPs im Netzwerk werden in solchen Fällen typischerweise als "Unter-ISP" bezeichnet.
  • Das Portal der Telekommunikationsgesellschaft scheint der ideale Platz für Werbung zu sein, da dieses erzwungene Portal der Eintrittspunkt für alle weiteren Zugriffe der Endanwender auf alle anderen Dienste im Netzwerk ist. Um die Werbung wertvoll zu machen, ist es erforderlich, dass die Firmen-Sites, auf die sich die Werbung bezieht, für den Endanwender von Beginn an ohne eine aufgebaute Internet-Verbindung erreichbar sind, d.h. ohne ISP.
  • Die Firmen-Werbungs-Sites befinden sich typischerweise im öffentlichen Internet. Die Telefongesellschaft kann dem Endanwender jedoch direkt über ihr Netzwerk keinen kompletten Internet-Zugang geben, da sie hierdurch zum Wettbewerber ihres eigenen Kunden, des ISP, würde.
  • Beginnend mit einem Verfahren zur Bereitstellung eines gesponsorten Internet-Zugangs, das in der US-Patentanmeldung US-A-5,774,869 offen gelegt wird, ermöglicht es dieses Verfahren einem Zugangsanbieter, einen gesponsorten bezahlten Internetzugang zu gewähren, nachdem eine obligatorische geführte Tour auf der Internet-Homepage des Sponsors durchlaufen wurde, wobei das verbleibende technische Problem ist, dass eine URI-Blockierungs-Funktion (einer Firewall) erforderlich ist, mit der die Telekommunikationsgesellschaft den Internetzugang beschränken und Mehrwertdienste dem ISP lassen kann. Um die gesamte Werbungs-Site zugänglich zu machen, kann die Beschränkung auf Werbungs-Seiten jedoch zu restriktiv sein.
  • KURZBESCHREIBUNG DER ERFINDUNG
  • Die Lösung dieses Problems ist ein verbesserter dynamischer konfigurierbarer Firewall-Filter.
  • Das Problem wird durch einen personalisierten Zugangs-Strategie-Server(personalized Access Policy Server, pAPS) gelöst. Der personalisierte Zugangs-Strategie-Server ruft dynamisch erlaubte Adressen ab, die für einen speziellen Endanwender verfügbar sein sollen und sendet entsprechende Konfigurations-Informationen an eine Firewall, die sich zwischen dem Terminal-Client und dem zeitrichtig individuell konfigurierten Internet befindet.
  • Die Erfindung umfasst ein Verfahren zur Bereitstellung eines dynamisch definierten begrenzten Internetzugangs für einen Terminal-Client eines Benutzers, worin
    • – ein Portal-Server eine Portal-Web-Site mit Portal-Information versorgt, welche den Satz von zugänglichen Ressourcen festlegt,
    • – der Terminal-Client Zugang zur Portal-Web-Site hat
    • – von der Portal-Web-Site ein Satz genehmigter Ressourcen dynamisch mit Bezug auf Genehmigungen des Benutzers und mit Bezug auf bereits von einem personalisierten Zugangs-Strategie-Server zugegriffene Ressourcen abgeleitet wird,
  • Auf Internet-Ressourcen wird über eine Firewall zugegriffen, die sich zwischen dem Terminal-Client und dem Internet befindet, und
    • – die Firewall wird individuell zeitrichtig für den Benutzer konfiguriert, so dass nur die gewährten Ressourcen (B3) genehmigt werden
  • Die Gewährung oder Ablehnung kann zeitabhängig sein und/oder von folgendem abhängen:
    • – Bereits zugegriffene Ressourcen
    • – Ressourcen-Kennung
    • – Ressourcen-Meta-Information
    • – Portal-Site-Information.
  • Eine Ausführung der aktuellen Erfindung ist ein Portal-System zur Bereitstellung eines dynamisch definierten begrenzten Internetzugangs für den Terminal-Client eines Benutzers, das folgendes umfasst:
    • – einen Portal-Server, der eine Portal-Web-Site mit Portal-Informationen bereitstellt, die den Satz von Ressourcen festlegen, die zugänglich zu sein haben,
    • – den Terminal-Client, der Zugang zur Portal-Web-Site hat,
    • – einen personalisierten Zugangs-Strategie-Server, der dynamisch gewährte Ressourcen mit Bezug auf Benutzer-Genehmigungen und mit Bezug auf bereits zugegriffene Ressourcen ableitet, und
    • – eine Firewall, die sich zwischen dem Terminal-Client und dem Internet befindet, die individuell zeitrichtig für den Benutzer konfiguriert wird, so dass nur die gewährten Ressourcen genehmigt werden.
  • Der Portal-Server stellt eine Portal-Web-Site mit Portal-Information bereit. Er enthält Mittel zur Kennzeichnung des Satzes von Ressourcen, die zugänglich sein müssen, und kann durch einen gewöhnlichen Web-Server realisiert werden, der durch eine Schnittstelle zum personalisierten Zugangs-Strategie-Server erweitert ist.
  • Es gehört zur Erfindung, dass ein personalisierter Zugangs-Strategie-Server dynamisch gewährte Ressourcen mit Bezug auf Benutzer-Genehmigungen und mit Bezug auf bereits zugegriffene Ressourcen ableitet. Er umfasst:
    • – Authentifizierungs-Mittel zur Authentifizierung und Autorisierung eines Benutzers,
    • – Abrechnungs-Mittel zur Erkennung bereits zugegriffener Ressourcen und zum Ableiten eines Satzes von dem Benutzer dynamisch gewährten Ressourcen, und
    • – Gewährungs-Mittel zur Unterrichtung einer Firewall bezüglich des Satzes von dynamisch gewährten Ressourcen.
  • Die Firewall bietet einen dynamisch definierten begrenzten Internetzugang für einen Terminal-Client (A1) eines Benutzers und umfasst folgendes:
    • – Konfigurations-Mittel zur dynamischen Konfiguration eines aktuellen Satzes gewährter Ressourcen für einen Terminal-Client und/oder einen Benutzer, und
    • – Gewährungs-Mittel zur individuellen zeitrichtigen Genehmigung des Zugangs nur für den Satz von gewährten Ressourcen für den Terminal-Client und/oder den Benutzer.
  • Eine weitere Ausführung der vorliegenden Erfindung sind Computer-Software-Produkte, die dynamisch gewährte Ressourcen mit Bezug auf Genehmigungen des Benutzers und mit Bezug auf bereits zugegriffene Ressourcen ableiten, die eine Zugangs-Strategie durch folgendes implementieren:
    • – Authentifizierung und Autorisierung eines Benutzers,
    • – Erkennung bereits zugegriffener Ressourcen,
    • – Ableitung eines Satzes von dem Benutzer dynamisch gewährten Ressourcen, und
    • – Unterrichtung einer Firewall bezüglich des Satzes von dynamisch gewährten Ressourcen, sowie Computer-Software-Produkte, die eine Portal-Web-Site mit Portal-Information versorgen, indem sie den Satz von Ressourcen erkennen, auf die zugegriffen werden können muss, und Computer-Software-Produkte, die einen dynamisch definierten begrenzten Internetzugang für einen Terminal-Client eines Benutzers wie folgt bereitstellen:
    • – Dynamische Konfiguration eines aktuellen Satzes von gewährten Ressourcen für einen Terminal-Client und/oder einen Benutzer, und
    • – Individuelle zeitrichtige Genehmigung des Zugangs nur für den Satz gewährter Ressourcen für den Terminal-Client und/oder den Benutzer.
  • GEGENSTAND UND VORTEILE DER ERFINDUNG
  • Demgemäß ist es Gegenstand und ein Vorteil der vorliegenden Erfindung, ein Portal-System und ein Verfahren für einen begrenzten Internetzugang für einen Terminal-Client eines Benutzers bereitzustellen, abhängig von bereits zugegriffenen Ressourcen, Authentifizierung und Autorisierung des Benutzers und von Portal-Site-Informationen über den Satz von Ressourcen, auf die zugegriffen werden können muss.
  • Ein weiterer Vorteil der vorliegenden Erfindung ist, dass sie einen sehr flexiblen Internetzugang und eine sehr flexible Internet-Beschränkung für alle Arten von Internet-Ressourcen auf der Basis variabler Zugangs-Strategien, und abhängig vom Benutzer und vom Benutzerverhalten ermöglicht.
  • Noch ein weiterer Vorteil der vorliegenden Erfindung ist, dass die dynamische Internet-Begrenzung eine selektive Zusammenfassung von Sites erlaubt, was die Bereitstellung von Sites und Diensten vereinfacht und verschiedene Geschäftsangelegenheiten ermöglicht.
  • Diese und viele andere Aufgaben und Vorteile der vorliegenden Erfindung werden für einen Fachmann aus einer Betrachtung der Zeichnungen und der folgenden Beschreibung deutlich.
  • KURZBESCHREIBUNG DER FIGUREN
  • 1 ist eine schematische Darstellung eines Zugangsnetzwerks nach dem bisherigen Stand der Technik, wobei ein Terminal-Client über einen Netzwerk-Zugangs-Server mit dem Internet verbunden werden kann.
  • 2 ist eine schematische Darstellung des bisherigen Standes der Technik, wobei eine Firewall ein privates Netzwerk vom Internet trennt.
  • 3 ist eine schematische Darstellung eines Netzwerk-Zugangs, der von einem personalisierten Zugangs-Strategie-Server gemäß der Erfindung verwaltet wird.
  • 4 ist eine schematische Darstellung eines Netzwerk-Portal-Systems, das eine Firewall, einen personalisierten Zugangs-Strategie-Server und einen Portal-Server gemäß der Erfindung enthält.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Ein Fachmann wird erkennen, dass die folgende Beschreibung der vorliegenden Erfindung nur als Beispiel dient und in keiner Weise als Einschränkung gedacht ist. Andere Ausführungen der Erfindungen werden einem Fachmann bei der Untersuchung der hier offen gelegten Erfindung sofort einfallen.
  • 1 zeigt einen Terminal-Client (A1), Netzwerk-Zugangs-Server (NAS) A2, die über die Verbindung A3 mit dem Terminal Client A1 verbunden sind. Die Figur zeigt weiterhin das Internet A4 und eine Internet-Ressource A5.
  • Die Figur zeigt ein Zugangsnetzwerk nach dem bisherigen Stand der Technik, wobei ein Benutzer unter Verwendung eines Terminal-Client A1 auf mehrere Netzwerk-Zugangs-Server des Dienstanbieters zugreifen kann, wozu er die Verbindung A3 einer Telekommunikationsgesellschaft benutzt, z.B. DSL. Das versetzt den Benutzer in die Lage, auf beliebige Internet-Ressourcen A5 im Internet A5 zuzugreifen.
  • 2 zeigt einen Terminal-Client A1 in einem privaten Netzwerk B1. Eine Firewall B2 trennt das private Netzwerk B1 vom Internet A4. Das Internet enthält eine nicht zulässige Ressource B4 und eine zulässige Ressource B3.
  • Die Figur zeigt ein Firewall-Szenarium nach dem bisherigen Stand der Technik. Sie zeigt, dass der Terminal-Client A1 über das private Netzwerk B1, die Firewall und das Internet die zulässige Internet-Ressource B3 abfragt. Es wird auch gezeigt, dass die Firewall den Zugang zur Internet-Ressource B4 verweigert.
  • 3 zeigt einen Terminal-Client A1, einen Netzwerk-Zugangs-Server A2, einen Portal-Server C2, einen personalisierten Zugangs-Strategie-Server (pAPS) C1, eine Firewall B2, sowie eine (nicht zulässige) Internet-Ressource B4, eine (zulässige) Internet-Ressource B3 und eine Werbungs-Ressource A5 im Internet A4.
  • Die Figur zeigt, wie die Firewall B2, der personalisierte Zugangs-Strategie-Server (pAPS) C1 und der Portal-Server C2 im Zusammenhang mit einem Zugangsnetzwerk arbeiten. Der Netzwerk-Zugangs-Server A2 bietet einem Terminal-Client A1 einen beschränkten Zugang zum Internet A4. Der Portal-Server C2 bietet eine Web-Site als Eingang. Die Abrechnungs-Information des Benutzers vom Netzwerk-Zugangs-Server und die Portal-Site-Information werden vom personalisierten Zugangs-Strategie-Server dazu benutzt, eine Firewall-Konfiguration abzuleiten. Diese Firewall-Konfiguration ist vom Benutzer, vom Benutzerverhalten, von der Abrechnungs-Information des Benutzers und von der Portal-Zugangs-Information dynamisch abhängig. Somit führt der personalisierte Zugangs-Strategie-Server zeitrichtig eine Rekonfiguration der Firewall B2 durch. Die Firewall B2 gewährt den Zugang zu einem Satz von zulässigen Internet-Ressourcen, wie zur Werbungs-Ressource A5 und einer anderen Ressource B3, und verweigert den Zugang zu allen anderen Ressourcen, wie zur Ressource B4.
  • Betrachten wir zum Beispiel den oben gezeigten Benutzer-Fall. Wenn ein Benutzer eine Netzwerkverbindung auslöst, indem er z.B. DSL-Verbindungseinrichtungen einer Telefongesellschaft benutzt, wird eine Werbungs-Web-Seite angezeigt, die vom Portal-Server C2 mit einer Portal-Web-Site mit Werbungs-URIs, die gewählt werden können, um Verbindungen zu entsprechenden Ressourcen im Internet aufzubauen, zur Verfügung gestellt wird.
  • Die URIs der Portal-Web-Site werden vom personalisierten Zugangs-Strategie-Server (pAPS) C1 abgerufen. Entsprechende Konfigurations-Information wird zur Firewall B2 gesendet, die sich zwischen dem Terminal-Client A1 des Endbenutzers und den Internet-Ressourcen B3, B4, A5 befindet, um dem Endbenutzer nur Zugang zu den Ankündigungs-Web-Sites A5 und B3 zu geben.
  • Der Firewall-Server wird individuell für den Endbenutzer-Client auf eine Weise konfiguriert, dass z.B. nur URI-Anforderungen auf der sichtbaren Portal-Web-Site erlaubt sind.
  • Somit ist in dem Szenarium der Endbenutzer mit einem Portal-Server der Telefongesellschaft verbunden. Die Werbung auf der Portal-Web-Site wird auf Werbungs-Web-Sites verteilt, die sich auf Web-Servern im Internet befinden. Der personalisierte Zugangs-Strategie-Server (pAPS) C1 der im Portal-Server C2 enthalten sein kann, analysiert die Werbungs-Information, z.B. die Hyperlinks der Portal-Web-Site, oder dynamischer die URI-Referenzen auf einer aufgerufenen Seite, und konfiguriert die Firewall entsprechend, um dem Endbenutzer-Client, der gerade eine Portal-Seite geöffnet hat, Zugang zu den Ressourcen und ihrer transitiven Hülle zu geben, die mit Werbung verbunden sind. Der Portal-Server C2 kann ein gewöhnlicher Web-Server sein, der um eine Schnittstelle zum personalisierten Zugangs-Strategie-Server erweitert wurde. Das zwischen dem personalisierten Zugangs-Strategie-Server und der Firewall benutzte Konfigurations-Protokoll muss ein Echtzeit-Konfigurations-Protokoll sein. Dies kann ein firmeneigenes oder ein standardisiertes Protokoll sein, wie z.B. COPS.
  • In diesem Szenarium ist jeder Benutzer nur in der Lage, auf die Werbung zuzugreifen, die auf seiner personalisierten Portal-Seite gezeigt wird. Der Endanwender ist nur in der Lage, das gesamte Internet zu erreichen, wenn er unter Verwendung von Zugangs-Einrichtungen des ISP explizit den Zugang für diesen Dienst anfordert, eine Zugangs-Anforderung, die für ihn einem Authentifizierungs-, Autorisierungs- und Abrechnungs-Szenarium unterworfen sein kann.
  • Auf der Grundlage desselben Prinzips kann ein Internet-Dienstanbieter für kostenlosen DSL-Zugang implementiert werden. Nehmen wir an, das Portal des Dienstanbieters enthält mehrere Dienste, auf die der Endanwender zugreifen muss, bevor er Zugang zu einigen Ressourcen bekommt, z.B. alle von einer Firma gesponsorten Sites. Nachdem die Werbung dieser Firma aufgerufen wurde, erhält der Endbenutzer eine Gutschrift, um schrittweise Zugang zum kompletten Internet zu bekommen.
  • 4 zeigt ein allgemeines Netzwerk-Portalsystem, das eine Firewall B2, einen personalisierten Zugangs-Strategie-Server (pAPS) C1 und einen Portal-Server C2 enthält. Ein Terminal-Client A1 ist über die Firewall B2 an das Netzwerk angeschlossen. Das Netzwerk liefert Ressourcen an den Terminal-Client A1 über die Firewall B2, wo einige Ressourcen, die nicht zugänglichen Ressourcen B4, verweigert und einige Ressourcen, die zugänglichen Ressourcen B3, erlaubt werden. Die Firewall kann nicht entscheiden, welche der Ressourcen erlaubt und welche verweigert werden sollte. Daher liefert der personalisierte Zugangs-Strategie-Server (pAPS) C1 diese Information an die Firewall B2. Der personalisierte Zugangs-Strategie-Server (pAPS) C1 sammelt diese Information, d.h. den Satz zugänglicher Ressourcen B3 über die Benutzer-Authentifizierungs-Autorisierungs-und-Abrechnungs-Information und indem er Ressourcen, auf die bereits zugegriffen wurde und den Satz von zu gewährenden Ressourcen B3 erkennt.
  • Der Satz zu gewährender Ressourcen B3 kann aus dem Portal-Server C2 abgeleitet werden, der dem Benutzer einen Eintrittspunkt, sowie dem personalisierten Zugangs-Strategie-Server (pAPS) C1 einen Satz von zu gewährenden Ressourcen B3 bereitstellt. Dieser Satz kann dynamisch wachsen, indem man dafür sorgt, dass die Ressourcen, auf die Bezug genommen wird, die z.B. durch die enthalten Hyperlink-Referenzen spezifiziert werden, es dem Benutzer erlauben allen programmierten Links zu folgen. In diesem Fall gewährt der personalisierte Zugangs-Strategie-Server Zugang zur transitiven Hülle der Portal-Web-Site.
  • Eine andere Zugangs-Strategie kann die kooperative Gewährung zugehöriger Web-Sites oder eine Verweigerung konkurrierender Web-Sites sein, sowie z.B. ein zeitbegrenzter Zugang zum gesamten Internet, der über erzielte Guthaben verwaltet wird.
  • Keine Geschäftsanwendung, aber eine sehr einfache illustrative Anwendung dieses Portal-Systems ist es, Eltern ein Werkzeug zur Begrenzung des Internetzugangs (auf dynamische Weise) bereitzustellen. Es kann sein, dass ein Kind auf eine bestimmte Web-Site zugreifen möchte, und die Eltern können das Portal konfigurieren, dass es nur erlaubt ist, den Referenz-Links dieser Web-Site zu folgen (kann auf 10 Referenzen begrenzt werden). Hierdurch wird es dem Kind verboten, über einen Seiteneingang auf eine beliebige URI zuzugreifen, z.B. indem es die URI in das entsprechende Browser-Formular eingibt.
  • Zum Beispiel kann die Erfindung neben dem bekannten Internet mit jedem Typ von Zugangsnetz verwendet werden. Es ist daher nicht beabsichtigt, dass die Erfindung eingeschränkt ist, nur im Sinn der beigefügten Ansprüche.
  • Eine weitere offensichtliche Anwendung der Erfindung kann ein Szenarium mit mehreren Portalen sein, in dem mehrere Portal-Sites mit einer oder mehreren kooperativ arbeitenden personalisierten Zugangs-Strategie-Servern verbunden sind. Dies erlaubt es den Besitzern der Portale, Teile des Internets bereitzustellen, indem sie einen Besucher zulassen, der z.B. auf verwandten Sites surft.
  • Alternativ kann eine kooperative oder gleichzeitige Umgebung von personalisierten (durch Benutzergruppen virtueller privater Netzwerke) Zugangs-Strategien zwischen virtuellen privaten Netzen, die durch das beschriebene Portal-System verwaltet werden, eine weitere, kompliziertere Anwendung sein. Hier kann die dynamische Konfiguration der Firewall von dem Informationsfluss oder der Last zwischen den privaten Netzwerken abhängen.
  • Noch eine weitere Alternative ist, dass die Zugangs-Strategie selbst dynamisch, zeitabhängig oder vom Benutzerverhalten abhängig ist.
  • Fig. 1 Bisheriger Stand der Technik
    Figure 00150001
  • Fig. 2 Bisheriger Stand der Technik
    Figure 00150002
  • Fig. 3
    Figure 00150003
  • Fig. 4
    Figure 00150004

Claims (10)

  1. Ein Verfahren zur Bereitstellung eines dynamisch definierten begrenzten Zugangs zu Internet-Ressourcen für den Terminal-Client (A1) eines Benutzers, wobei das Verfahren folgende Schritte umfasst: – Zugriff auf einen Netzwerk-Zugangs-Server (A2) von dem Client-Terminal (A1), und – Bereitstellung von gewährten Internet-Ressourcen (A5, B3) über den Netzwerk-Zugangs-Server (A2) an das Client-Terminal, wobei die gewährten Internet-Ressourcen (A5, B3) abhängig von der Benutzer-Autorisierung personalisiert sind, dadurch gekennzeichnet, dass vor der Bereitstellung der gewährten Internet-Ressourcen (A5, B3) – eine Portal-Web-Site mit Portal-Information versorgt wird, die anfangs zugängliche Internet-Ressourcen kennzeichnet, – die zugänglichen Internet-Ressourcen (B3) durch einen personalisierten Zugangs-Strategie-Server (C1) unter Verwendung der Benutzer-Autorisierung und der Portal-Site-Information dynamisch abgeleitet werden, und – eine Firewall (B2) zeitrichtig dynamisch konfiguriert wird, so dass nur zugängliche Internet-Ressourcen erlaubt sind.
  2. Das Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die zugänglichen Internet-Ressourcen (A5, B3) zeitabhängig sind.
  3. Das Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die zugänglichen Internet-Ressourcen (A5, B3) von Ressourcen abhängig sind, auf die bereits zugegriffen wurde.
  4. Das Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die zugänglichen Internet-Ressourcen (A5, B3) vom Inhalt der angeforderten Ressource abhängig sind.
  5. Das Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die zugänglichen Internet-Ressourcen (A5, B3) von der Ressourcen-Kennung abhängig sind.
  6. Das Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die zugänglichen Internet-Ressourcen (A5, B3) von Ressourcen-Meta-Information abhängig sind.
  7. Das Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die zugänglichen Internet-Ressourcen (A5, B3) von Portal-Site-Information abhängig sind.
  8. Ein Portal-System zur Bereitstellung eines dynamisch definierten begrenzten Zugangs zu Internet-Ressourcen für den Terminal-Client (A1) eines Benutzers, dadurch gekennzeichnet, dass es folgendes umfasst: – einen Portal-Server (C2), der so angepasst ist, dass er eine Portal-Web-Site mit Portal-Information versorgt, wobei die Portal-Information anfangs zugängliche Internet-Ressourcen kennzeichnet, – den Terminal-Client (A1), der Zugang zu der Portal-Web-Site hat, – einen personalisierten Zugangs-Strategie-Server (pAPS) (C1), der so angepasst ist, dass er zugängliche Internet-Ressourcen unter Verwendung der Benutzer-Autorisierung und der Portal-Site-Information dynamisch ableitet, und – eine Firewall (B2), die sich zwischen dem Terminal-Client (A1) und dem Internet befindet, und die so angepasst ist, dass sie durch den personalisierten Zugangs-Strategie-Server (pAPS) zeitrichtig dynamisch konfiguriert wird, so dass nur der Satz zugänglicher Internet-Ressourcen erlaubt ist.
  9. Ein personalisierter Zugangs-Strategie-Server (pAPS) (C1), der Authentifizierungs-Mittel zur Authentifizierung eines Benutzers und zur Autorisierung von Internet-Ressourcen und Abrechnungs-Mittel zur Messung und zur Meldung der Mengen verbrauchter Internet-Ressourcen enthält, dadurch gekennzeichnet, dass der personalisierte Zugangs-Strategie-Server (pAPS) (C1) angepasst ist, zugängliche Internet-Ressourcen (A5, B3) unter Verwendung einer Benutzer-Autorisierung und einer Portal-Site-Information dynamisch abzuleiten, und dass der personalisierte Zugangs-Strategie-Server (pAPS) Gewährungs-Mittel enthält, um eine Firewall (B2) über die dynamisch gewährten Ressourcen zu unterrichten, so dass nur der Satz gewährter Ressourcen erlaubt ist.
  10. Ein computerlesbares Medium zur Speicherung eines Computerprogramms, das Instruktionen enthält, die wenn sie von einem Computer ausgeführt werden, bewirken, dass der Computer jeden der Schritte des Verfahrens aus Anspruch 1 ausführt.
DE60214993T 2002-07-12 2002-07-12 Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen Expired - Lifetime DE60214993T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP02360208A EP1381199B1 (de) 2002-07-12 2002-07-12 Firewall zur dynamishen Zugangsgewährung und -verweigerung auf Netzwerkressourcen

Publications (2)

Publication Number Publication Date
DE60214993D1 DE60214993D1 (de) 2006-11-09
DE60214993T2 true DE60214993T2 (de) 2007-04-05

Family

ID=29724585

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60214993T Expired - Lifetime DE60214993T2 (de) 2002-07-12 2002-07-12 Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen

Country Status (4)

Country Link
US (1) US7448078B2 (de)
EP (1) EP1381199B1 (de)
AT (1) ATE341144T1 (de)
DE (1) DE60214993T2 (de)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115292A1 (en) * 2001-10-24 2003-06-19 Griffin Philip B. System and method for delegated administration
US6917975B2 (en) * 2003-02-14 2005-07-12 Bea Systems, Inc. Method for role and resource policy management
US7591000B2 (en) * 2003-02-14 2009-09-15 Oracle International Corporation System and method for hierarchical role-based entitlements
US7653930B2 (en) * 2003-02-14 2010-01-26 Bea Systems, Inc. Method for role and resource policy management optimization
US8831966B2 (en) * 2003-02-14 2014-09-09 Oracle International Corporation Method for delegated administration
US20040230679A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for portal and web server administration
EP1634175B1 (de) * 2003-05-28 2015-06-24 Citrix Systems, Inc. Mehrschichtiges zugriffssteuer-sicherheitssystem
US7523484B2 (en) * 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
US20050251851A1 (en) * 2003-10-10 2005-11-10 Bea Systems, Inc. Configuration of a distributed security system
US7603547B2 (en) * 2003-10-10 2009-10-13 Bea Systems, Inc. Security control module
US7774601B2 (en) 2004-04-06 2010-08-10 Bea Systems, Inc. Method for delegated administration
US20050256906A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Interface for portal and webserver administration-efficient updates
US20050256899A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. System and method for representing hierarchical data structures
US7614039B2 (en) * 2004-05-21 2009-11-03 Bea Systems, Inc. Backing files for portal element controls
US20050262358A1 (en) * 2004-05-21 2005-11-24 Bea Systems, Inc. Backing context for portal element controls
GB0425113D0 (en) 2004-11-13 2004-12-15 Ibm A method of determining access rights to IT resources
US7783670B2 (en) * 2004-11-18 2010-08-24 Bea Systems, Inc. Client server conversion for representing hierarchical data structures
US20060224628A1 (en) * 2005-03-29 2006-10-05 Bea Systems, Inc. Modeling for data services
US8086615B2 (en) * 2005-03-28 2011-12-27 Oracle International Corporation Security data redaction
US7748027B2 (en) * 2005-05-11 2010-06-29 Bea Systems, Inc. System and method for dynamic data redaction
US7590733B2 (en) * 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
US7953734B2 (en) 2005-09-26 2011-05-31 Oracle International Corporation System and method for providing SPI extensions for content management system
US7752205B2 (en) 2005-09-26 2010-07-06 Bea Systems, Inc. Method and system for interacting with a virtual content repository
US7917537B2 (en) 2005-09-26 2011-03-29 Oracle International Corporation System and method for providing link property types for content management
US20070073638A1 (en) * 2005-09-26 2007-03-29 Bea Systems, Inc. System and method for using soft links to managed content
US20070073674A1 (en) * 2005-09-26 2007-03-29 Bea Systems, Inc. System and method for providing federated events for content management systems
US7483893B2 (en) * 2005-09-26 2009-01-27 Bae Systems, Inc. System and method for lightweight loading for managing content
US20070073673A1 (en) * 2005-09-26 2007-03-29 Bea Systems, Inc. System and method for content management security
US7818344B2 (en) 2005-09-26 2010-10-19 Bea Systems, Inc. System and method for providing nested types for content management
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070192858A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US8463852B2 (en) * 2006-10-06 2013-06-11 Oracle International Corporation Groupware portlets for integrating a portal with groupware systems
GB0625641D0 (en) * 2006-12-21 2007-01-31 Symbian Software Ltd Dynamic filtering for partially trusted servers
US7979896B2 (en) * 2007-04-20 2011-07-12 Microsoft Corporation Authorization for access to web service resources
US8977969B2 (en) * 2009-11-02 2015-03-10 International Business Machines Corporation Dynamic web portal page
US9152807B2 (en) * 2012-03-08 2015-10-06 Marvell World Trade Ltd. Method and apparatus for providing audio or video capture functionality according to a security policy
CN102868758B (zh) * 2012-09-29 2016-12-21 华为技术有限公司 门户推送的方法和网络设备
US20150006419A1 (en) * 2013-06-28 2015-01-01 LiveCareer Limited Concepts for replenishing supplies and demand driven advertising
US10924481B2 (en) 2018-11-06 2021-02-16 Bank Of America Corporation Processing system for providing console access to a cyber range virtual environment
US10958670B2 (en) 2018-11-06 2021-03-23 Bank Of America Corporation Processing system for providing console access to a cyber range virtual environment

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2197219A1 (en) * 1994-08-09 1996-02-22 Shiva Corporation Apparatus and method for restricting access to a local computer network
US5774869A (en) * 1995-06-06 1998-06-30 Interactive Media Works, Llc Method for providing sponsor paid internet access and simultaneous sponsor promotion
SE504546C2 (sv) * 1995-08-21 1997-03-03 Telia Ab Arrangemang för nätaccess via telenätet genom fjärrstyrt filter
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6584505B1 (en) * 1999-07-08 2003-06-24 Microsoft Corporation Authenticating access to a network server without communicating login information through the network server
ES2243319T3 (es) * 1999-10-22 2005-12-01 Nomadix, Inc. Sistema y procedimiento para redireccionar a usuarios que intentan acceder a un destino de red.
GB0122276D0 (en) * 2001-09-14 2001-11-07 Edvantage Group As Managed access to data over data networks
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection

Also Published As

Publication number Publication date
EP1381199A1 (de) 2004-01-14
US7448078B2 (en) 2008-11-04
ATE341144T1 (de) 2006-10-15
DE60214993D1 (de) 2006-11-09
EP1381199B1 (de) 2006-09-27
US20040010719A1 (en) 2004-01-15

Similar Documents

Publication Publication Date Title
DE60214993T2 (de) Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen
DE69932003T2 (de) System und Verfahren zur Kontrolle einer Netzwerkverbindung
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE69832786T2 (de) Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen
DE69838262T2 (de) Allgemeine benutzer-authentifizierung für netz-rechner
DE69633564T2 (de) Zugangskontrolle und überwachungssystem für internetserver
DE69902620T2 (de) Anonyme Web-Site Benutzer Information Kommunikationsverfahren
DE69936384T2 (de) System und verfahren für die sicherheit eines kodes
DE60222871T2 (de) Anordnung und Verfahren zum Schutz von Endbenutzerdaten
EP1435148B1 (de) Verfahren zur ausgabe von personalisierten informationen auf einer website
DE69934451T2 (de) Internetteilnehmerprofil
EP1178409A1 (de) Cookiemanager zur Kontrolle des Cookietransfers in Internet-Client-Server Computersystem
DE69636945T2 (de) Anordnung für einen Netzzugang über das Telekommunikationsnetzwerk durch einen ferngesteuerten Filter
DE60311146T2 (de) Verfahren zur vertrauenswürdigen Kommunikation zwischen zwei Einheiten
DE60114067T2 (de) Verfahren und System zur Privilegienverleihung von einem Zugriffsverwalter in einem Kommunikationsnetzwerk
WO2004028107A2 (de) Überwachung von datenübertragungen
DE60310872T2 (de) Verfahren zur Verwaltung einer Einstellung eines Gateways von einem Benutzer des Gateways
DE102012102399B4 (de) Verfahren und Telekommunikationsanordnung zur Bereitstellung von Daten an einem Client-Computer
DE102009060904B4 (de) Verfahren zum Steuern eines Verbindungsaufbaus sowie Netzwerksystem
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
DE10001417A1 (de) Verfahren, Vermittlungsstelle, Diensterechner, Programm-Modul und Schnittstelleneinrichtung zur Übermittlung von Telekommunikationsdienst-Daten zwischen einer Vermittlungsstelle und einem Diensterechner
DE60211332T2 (de) Verfahren und Chipkarte zur Verwaltung von Cookie-Dateien
DE19958638C2 (de) Vorrichtung und Verfahren zum individuellen Filtern von über ein Netzwerk übertragener Informationen
DE60222992T2 (de) Verfahren zur beschallung einer durch ein kommunikationsnetz abfragbaren datenseite durch ein telefonnetz
DE69915827T2 (de) Datennetzwerkzugang

Legal Events

Date Code Title Description
8327 Change in the person/name/address of the patent owner

Owner name: ALCATEL LUCENT, PARIS, FR

8364 No opposition during term of opposition