FI108184B - Palvelun pääsynvalvonta - Google Patents

Palvelun pääsynvalvonta Download PDF

Info

Publication number
FI108184B
FI108184B FI992196A FI19992196A FI108184B FI 108184 B FI108184 B FI 108184B FI 992196 A FI992196 A FI 992196A FI 19992196 A FI19992196 A FI 19992196A FI 108184 B FI108184 B FI 108184B
Authority
FI
Finland
Prior art keywords
server
user
service
terminal
network
Prior art date
Application number
FI992196A
Other languages
English (en)
Swedish (sv)
Other versions
FI19992196A (fi
Inventor
Ismo Heikkonen
Kimmo Pitkaenen
Original Assignee
Sonera Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sonera Oyj filed Critical Sonera Oyj
Priority to FI992196A priority Critical patent/FI108184B/fi
Priority to EP00967941A priority patent/EP1248971A2/en
Priority to AU77930/00A priority patent/AU7793000A/en
Priority to PCT/FI2000/000875 priority patent/WO2001027709A2/en
Publication of FI19992196A publication Critical patent/FI19992196A/fi
Application granted granted Critical
Publication of FI108184B publication Critical patent/FI108184B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

1 108184
PALVELUN PÄÄSYNVALVONTA KEKSINNÖN ALA
Keksintö kohdistuu tietoliikennejärjestelmiin. Erityisesti keksinnön kohteena on menetelmä ja 5 järjestelmä verkkopalvelun pääsynvalvontaan tietoliikennejärjestelmässä, joka käsittää tietoliikenneverkon, ensimmäisen palvelimen, johon on järjestetty palvelu, ja joka on yhdistetty tietoliikenneverkkoon, päätelaitteen, jolla käyttäjä on yhdistetty tietolii-10 kenneverkkoon, hakemiston, joka on yhdistetty tietoliikenneverkkoon ja joka käsittää tietoa käyttäjän oikeuksista tietoliikenneverkossa ja valvontakomponen-tin, joka on järjestetty ensimmäiselle palvelimelle. Menetelmässä muodostetaan yhteys päätelaitteen ja pal-15 velimen välille ja todennetaan käyttäjän identiteetti sertifikaatilla päätelaitteen muodostaessa yhteyttä ensimmäiselle palvelimelle.
TEKNIIKAN TASO
20 Virtuaalinen erillisverkko (VPN, Virtual Pri vate Network) on yleistymässä verkkoratkaisuissa, joissa tarvitaan edullisesti toteutettua ulkopuolisil-ta suojattua verkkoa. Tällöin voidaan käyttää esimer-' , kiksi internetiä tiedonvälitykseen ja mahdollistetaan
Il 25 organisaation käyttämän suojatun intranetin etäkäyttö *· " eli ekstranet. Ekstranetillä tarkoitetaan internetiä • · * V : tiedonsiirtovälineenä käyttävää organisaatioiden vä- • t · v · listä tietoverkkoa, jolla voidaan yhdistää mukana ole vien organisaatioiden intranetit.
30 Ekstranet-verkoissa muodostuu pääsynvalvonta erityiseksi ongelmaksi. Verkon käyttöoikeus on usein '· rajattava tarkoin ennalta määrätylle joukolle. Maksul- v * lisissä verkkopalveluissa tulee huolehtia siitä, että 'maksuliikenne on turvallista sekä vältytään väärinkäy-: 35 töksiltä ja epäselvyyksiltä lopullisessa veloitusti- lanteessa. Luottamuksellista tietoa käsittävissä ver- 108184 2 koissa kaikkien verkon käyttäjien on luotettava sen turvamekanismeihin, jotta tiedot eivät ajautuisi vääriin käsiin.
Entuudestaan tunnetaan ratkaisu, jossa kaksi 5 konetta voidaan yhdistää turvallisesti käyttämällä virtuaalista erillisverkoa ja IPSec-standardin (IPSec, Internet Protocol Security) mukaista suojausta. IPSec-standardissa määritellään suojausmenettelyltä IP-pohjaisessa (IP, Internet Protocol) tiedonvälitykses-10 sä. IPSec mahdollistaa pääsynvalvonnan, tiedon koskemattomuuden, autentikoinnin ja luotettavuuden. Kaikki palvelut ovat saatavilla iP-tasolla, jolloin suoja on tarjolla IP- ja/tai ylemmän tason protokollille.
Tietoturvan varmistamiseksi IPSec-standardin 15 mukaisten virtuaalisten erillisverkkojen, jäljempänä IPSec-verkkojen hallinta on tavallisesti ollut keskitettyä. Tällöin hajautettu hallinta operaattorin ja esimerkiksi ekstranet-verkon tarjoajan välillä on ollut hankalaa. Lisäksi käyttäjän informoiminen tarjolla 20 olevista palveluista ja niiden ominaisuuksista on ollut vaikeaa. Käyttäjän on ensin täytynyt muodostaa yhteys palveluun ja vasta pääsynvalvonnan jälkeen käyt-; täjälle on voitu esittää palveluvalikot. Myöskään ekstranet-palvelujen aikaan tai volyymiin perustuva ' ; 25 käytön seuranta ei ole onnistunut tunnetun tekniikan . . mukaisissa ratkaisuissa.
Esillä olevan keksinnön tarkoituksena on *·* * poistaa tai ainakin merkittävästi vähentää edellä esi- ·.* ’ tettyjä ongelmia. Edelleen keksinnön tarkoituksena on 30 tuoda esiin uudenlainen menetelmä ja järjestelmä, joilla verkkojen pääsynvalvonta on toteutettavissa luotettavasti. Lisäksi keksintö mahdollistaa hajautetun pääsynvalvonnan.
35 KEKSINNÖN YHTEENVETO
'· ': Keksinnössä käytetään verkkojen pääsynvalvon- " · taan uudenlaista valvontakomponenttia, jolla voidaan 108184 3 yhdistää esimerkiksi IPSec-verkon ja hakemiston käyttö.
Keksinnön kohteena on menetelmä edellä kuvatun kaltaisessa tietoliikennejärjestelmässä, jossa 5 tietoliikenneverkko on edullisesti IP-pohjainen verkko. Menetelmässä muodostetaan yhteys päätelaitteen ja palvelimen välille. Käyttäjän identiteetti todennetaan sertifikaatilla eli digitaalisella identiteetillä päätelaitteen muodostaessa yhteyttä ensimmäiselle palve-10 limelle. Keksinnön mukaisesti todentamisessa käytetty sertifikaatti välitetään valvontakomponentille. Vas-teellisesti mainitulle sertifikaatille muodostetaan käyttäjän oikeuksista palveluun hakemistokysely ja yhdistetään päätelaite palveluun, jos käyttäjän oikeudet 15 ovat oikein. Hakemisto on edullisesti LDAP-protokollan (LDAP, Lightweight Directory Access Protocol), esimerkiksi RFC2251:n, mukainen.
Eräässä sovelluksessa pääsynvalvonta hajautetaan siten, että päätelaitteelta muodostetaan yhteys 20 ensin tietoliikenneverkkoon yhdistettyyn toiseen pal velimeen, josta käyttäjä valitsee ensimmäisellä palvelimella käytettävän palvelun. Toinen palvelin on edul-, lisesti WWW-palvelin (WWW, World Wide Web). Päätelait- teen ja ensimmäisen tai toisen palvelimen välinen yh-25 teys voidaan muodostaa VPN-yhteytenä, jolloin käyttäjä . , todennetaan IPSec-standardin mukaisesti.
*· *· Eräässä sovelluksessa tieto valvontakomponen- • · · * tin tapahtumista tallennetaan lokitiedostoon. Myös ·.· * valvontakomponentin hallussa oleva tieto yhteyden uu- 30 delleenneuvottelusta voidaan tallentaa lokitiedostoon.
Eräässä sovelluksessa lokitiedosto muodostetaan ennalta määrättynä ajanhetkenä, esimerkiksi aina valvontakompo- « nenttia käynnistettäessä.
'···' Lisäksi keksinnön kohteena on järjestelmä ' ‘ 35 verkkopalvelun pääsynvalvontaan edellä kuvatun kaltai- sessa tietoliikennejärjestelmässä. Järjestelmä käsit-tää välineet todentamisessa käytetyn sertifikaatin vä- 108184 4 littämiseksi valvontakomponentille ja välineet hake-mistokyselyn muodostamiseksi käyttäjän oikeuksista palveluun vasteellisesti mainitulle sertifikaatille. Lisäksi järjestelmä käsittää välineet päätelaitteen 5 yhdistämiseksi palveluun, mikäli käyttäjän oikeudet riittävät.
Keksinnön etuina tunnettuun tekniikkaan verrattuna on, että verkossa olevan koneen ja sen tarjoaman palvelun pääsynvalvonta voidaan erottaa toisis-10 taan. Koska palvelun pääsynhallintaan käytetään hakemistoa, myös hallinta on hajautettavissa. Lisäksi käyttäjälle voidaan antaa mainitun hakemiston kautta tarvittavaa informaatiota tarjolla oleviin muihin palveluihin kytkeytymiseksi. Edelleen keksintö mahdollis-15 taa palvelujen käytön seurannan ja entistä kehittyneemmät laskutustoimenpiteet.
KUVALUETTELO
Seuraavassa keksintöä selostetaan oheisten 20 suoritusesimerkkien avulla viittaamalla oheiseen piirustukseen, jossa kuva 1 esittää kaaviomaisesti erästä keksin- . nön mukaista järjestelmää; kuva 2 esittää kaaviomaisesti erästä sovel- ; 25 lusta keksinnön mukaisesta menetelmästä.
· kuva 3 esittää kaaviomaisesti erästä esimerk- • · · • · kiä hakemistojärjestelmästä; ♦ ♦ · ··. kuvat 4a - 4f esittävät esimerkinomaisesti • * « • · 4 järjestelmän toiminteita tilanteessa, jossa käyttäjä 30 haluaa nähdä listan sallituista palveluista; ja I · r *·’ ' kuvat 5a - 5d esittävät esimerkinomaisesti * * * : järjestelmän toiminteita tilanteessa, jossa käyttäjä .*·*. valitsee palvelun.
35 KEKSINNÖN YKSITYISKOHTAINEN SELOSTUS
Kuvassa 1 on esitetty eräs keksinnön mukainen järjestelmä. Päätelaite TE on yhdistetty ensimmäiseen 108184 5 palvelimeen 1 VPN-yhteydellä, jossa käytetään IPSec-varmistusta. IPSec-moduuli on järjestetty kahden pisteen välisen VPN-yhteyden molempiin päihin. Sekä päätelaite TE että ensimmäinen palvelin 1 on yhdistetty 5 tietoliikenneverkkoon, joka toteuttaa IP-pohjaista tiedonsiirtoa. Tietoliikenneverkko käsittää lisäksi toisen palvelimen 2, joka on WWW-palvelin. Toiseen palvelimeen 2 kuuluu graafinen käyttöliittymä 4, jolla päätelaitteen TE käyttäjälle muodostetaan tapahtumista 10 ja toiminnoista visuaalinen palaute. Palaute välite tään päätelaitteelle esimerkiksi HTML-muodossa erityisellä selaimella luettavaksi. Edelleen tietoliikenneverkko käsittää hakemiston 3, joka on esimerkkitapauksessa LDAP-hakemisto. Ensimmäiseen palvelimeen 1 on 15 yhdistetty myös lokipalvelin 7, jonka lokitiedostoon 6 voidaan tallentaa tieto käyttäjän aiheuttamista toimenpiteistä esimerkiksi laskutuksen tai seurannan tarpeisiin. Koska tietoliikenneverkko toteuttaa esimerkiksi IP-pohjaista tiedonsiirtoa, voivat komponentit 20 sijaita fyysisesti toisistaan riippumattomissa pai koissa .
Ensimmäiselle palvelimelle 1 on järjestetty , esimerkiksi organisaation ekstranet-järjestelmä. Vas- taavasti ensimmäisellä palvelimella 1 voi olla jokin 25 kaupallinen palvelu tai luottamuksellinen toiminto, , , johon pääsy halutaan suojata luvattomilta käyttäjiltä.
» » » *♦ *· Kuvassa 2 on esitetty vuokaaviona eräs sovel- • » · ' lus keksinnön mukaisesta menetelmästä. Kohdassa 2 0 • * · V · muodostetaan yhteys päätelaitteelta TE ensimmäiselle 30 palvelimelle 1. Yhteyttä muodostettaessa todennetaan käyttäjä IPSec:n mukaisesti, kohta 21. Mikäli todenta- * minen onnistuu, siirrytään kohtaan 22, jossa todenta- * misessa käytetty sertifikaatti välitetään valvontakom-'ponentille 5.
' ' 35 Eräässä toisessa, sovelluksessa päätelaite TE
muodostaa yhteyden ensiksi toiseen palvelimeen 2, esi-• merkiksi HTTP-osoitteen perusteella. Tällöin käyttä- 108184 6 jälle tarjotaan nähtäväksi lista sallituista palveluista. Edellä kuvattua vahvaa IPSec-todentamista voidaan käyttää hyväksi myös tässä tapauksessa. Käyttäjä autentikoidaan ja sertifikaatti välitetään vastaavasti 5 valvontakomponentille 5.
Kohdassa 23 tarkistetaan, onko käyttäjällä oikeus palveluun, joka esimerkkitapauksessa on S2. Valvontakomponentin 5 hallussa olevan sertifikaatin perusteella käyttäjälle saadaan yksikäsitteinen nimi. 10 Nimen avulla muodostetaan hakemistokysely valvontakom-ponentilta 5 LDAP-hakemistolle 3, johon on tallennettu profiili käyttäjän oikeuksista. Valvontakomponentti 5 palauttaa tiedon palvelimella olevalle VPN-ohjelmistolle, joka joko sallii tai estää pääsyn ha-15 luttuun palveluun S2. Mikäli käyttäjällä ei ole oikeutta kyseiseen palveluun, voidaan päätelaitteelle TE palauttaa ilmoitus asiasta. Mikäli palvelu S2 on käyttäjälle sallittu, yhdistetään päätelaite TE palveluun S2, kohta 24.
20 Eräässä keksinnön sovelluksessa pääsynvalvon- taan on yhdistetty käytönseuranta esimerkiksi laskutusta tai tilastointia varten. Kohdassa 25 tarkistetaan, kirjataanko tapahtumasta tieto lokitiedostoon 6. Valvontaelementti 5 siirtää kohdassa 26 tiedon tapah-25 tumista lokitiedostoon 6. Lokitiedosto 6 voi olla osana ensimmäistä palvelinta 1 tai se voi kuulua erillä- * * » *· *· seen lokipalvelimeen 7.
• · · *.’ * Kuvassa 3 on esitetty kaaviomaisesti eräs * · · V · esimerkki esillä olevan keksinnön yhteydessä käytettä- 30 västä hakemistorakenteesta. Laatikoissa on esitetty :*·*, esimerkinomaisesti yksityiskohtaisia määritelmiä, jot- ka vastaavat hakemistossa esiintyviä yksikköjä CN=Org2, CN=S2 ja CN=0rg3 .
I r '···' Kuvissa 4a - 4f on esitetty keksinnön mukai- ' ' 35 sen järjestelmän käyttämiä toiminnallisuuksia tilan- ;·.· teessä, jossa käyttäjä haluaa nähdä listan sallituista palveluista. Käyttäjä valitsee omalla päätelaitteel- 7 108184 laan TE verkko-osoitteen, joka on internetissä olevan tiedoston tai hakemiston sekä näiden käyttöön tarvittavan yhteyskäytännön yksilöivä tunnus, esimerkiksi http://www.sonera.fi/loota. Käyttäjä autentikoidaan ja 5 sertitikaattitieto välitetään valvontakomponentille 5, joka tarkistaa sallitaanko käyttäjälle pääsy palveluun. Mikäli päätelaitteen TE sallitaan käyttää WWW-palvelinta 2, suorittaa WWW-palvelin 2 kuvan 4a mukaisen LDAP-haun. Tällöin WS1 on päätelaitteen TE yksilö löllinen nimi. Esimerkkijärjestelmässä haku palauttaa vastineen "Response: C=FI, 0=0rgl, CN=WS1".
Käyttämällä löydettyä verkkotunnusta voidaan käyttää kuvan 4b mukaisia LDAP-hakuoperaatioita sallittujen palvelujen löytämiseksi. Mikäli verkko-15 osoitteessa löytyy useampia rinnakkaisia tasoja, voidaan jokaiselle tasolle suorittaa LDAP-haku jotta löydetään yhteiset palvelut koko verkko-osoitteen alihakemiston osalta. Määreen userServicesList attribuutit voidaan jäljittää hakujen palautteista. Mahdolliset 20 kaksinkertaiset userServicesList-arvot ovat tämän jälkeen poistettavissa.
Määreen userServicesList sisällön perusteella käynnistetään kolme LDAP-hakua, jotta läydetään yksityiskohtaiset kuvaukset päätelaitteelle WS1 sallituis-' 25 ta palveluista. Mainitut haut on esitetty kuvissa 4c - 4e. On huomattava, että voidaan valita myös laajempi ·. *: luettelo palvelumääreistä. Hakupalautteesta poimitaan • · · V: valittujen määreiden arvot. Kuvassa 4f on esitetty ; WWW-palveiimen 2 graafisen käyttöliittymän 4 käyttä- 30 jälle muodostama palaute, joka käsittää verkko-osoitteen ja palvelumääreet.
Kuvissa 5a - 5f on esitetty esimerkinomaises- * · * ti keksinnön mukaisen järjestelmän käyttämiä toiminto- • · · ja tilanteessa, jossa käyttäjä haluaa käyttää palvelua 35 S2. Käyttäjä valitsee palvelun WWW-palvelimelta 2 verkko-osoitteella http://www,org2.fi/S2. Käyttäjä autentikoidaan ja sertifikaatti välitetään käyttäjän 8 108184 päätelaitteelta TE valvontakomponentille 5, joka puolestaan noutaa päätelaitteen yksilöllisen nimen WS1 sertifikaatista. Tämän jälkeen valvontakomponentti 5 suorittaa sidontaoperaatiot yksinkertaisilla valtuu-5 tukeilla hakemistoon 3. Valvontakomponentti 5 suorittaa myös kuvissa 5a - 5b esitettyjen kaltaiset LDAP-hakuoperaatiot löytääkseen päätelaitteelle WS1 sallitut palvelut.
Hakupalautteesta saadaan muodostettua määre 10 userServicesList. Määreen userServicesList arvoa C=FI, 0=0rg3, CN=S3 ei muodosteta, sillä pääsynvalvonta ei salli sitä. Määreen userServicesList sisältöä käyttämällä käynnistetään LDAP-vertailuoperaatioita, joilla tarkistetaan onko kyseisen valvontakomponentin 5 kaut-15 ta saavutettava palvelu sallittu mainitulle pääte laitteelle WS1. Ensimmäinen LDAP-vertailuoperaatio on esitetty kuvassa 5c. Mikäli haku palauttaa arvon com-pareTrue, ei uutta LDAP-operaatiota tarvita. Tällöin valvontakomponentti palauttaa positiivisen vastauksen, 20 jonka jälkeen päätelaite TE yhdistetään haluttuun palveluun http://www.org2,fi/S2. Mikäli haku palauttaa arvon compareFalse, suoritetaan kuvan 5d mukainen LDAP-vertailuoperaatio, jolloin tarkistetaan oikeuksien riittävyys palveluun S2.
25 Edellä kuvatun kaltaista silmukkaa toistetaan kunnes palautteena saadaan arvo compareTrue tai kaikki *· *: arvot sAllowedService on tarkistettu. Valvontakompo- * * » » Φ · *.* * nentti 5 palauttaa negatiivisen vastauksen, mikäli ar- • · t V * voa compareTrue ei saada ja kaikki arvot sAllowedSer- 30 vices on tarkistettu.
·*·*; Valvontakomponentti 5 saa oman tunnuksensa .·:*♦ SEId käynnistyksen yhteydessä käyttötietokannalta (MIB, Management Information Base) . Mikäli jokin val-vontakomponenttiin 5 liitetyistä palveluista on sal-'· ' 35 littu päätelaitteelle TE, sallitaan myös muut valvon- takomponenttiin 5 liitetyt palvelut.
108184 9
Keksintöä ei rajata pelkästään edellä esitettyjä sovellusesimerkkejä koskevaksi, vaan monet muunnokset ovat mahdollisia pysyttäessä patenttivaatimusten määrittelemän keksinnöllisen ajatuksen puitteissa. 5
I I I
ft ft 4 • tl • · * «t • · $ m · · • • · · • « · • « i « · · • « « « · > · · • tl ··· f » I i > i 1 I I 1
t (if • ( I
« ·

Claims (18)

1β 108184
1. Menetelmä verkkopalvelun (S2) pääsynval-vontaan tietoliikennejärjestelmässä, joka käsittää: tietoliikenneve rkon; 5 ensimmäisen palvelimen (1) , johon on järjestetty palvelu (S2), ja joka on yhdistetty tietoliikenneverkkoon ; päätelaitteen (TE), jolla käyttäjä on yhdistetty tietoliikenneverkkoon; 10 hakemiston (3) , joka on yhdistetty tietoliikenne verkkoon ja joka käsittää tietoa käyttäjän oikeuksista tietoliikenneverkossa; ja valvontakomponentin (5) , joka on järjestetty ensimmäiselle palvelimelle (1); jossa menetelmässä: 15 muodostetaan yhteys päätelaitteen (TE) ja ensim mäisen palvelimen (1) välille; ja todennetaan käyttäjän identiteetti sertifikaatilla päätelaitteen (TE) muodostaessa yhteyttä ensimmäiselle palvelimelle (1) ; 20 tunnettu siitä, että menetelmä käsittää seu- raavat vaiheet: välitetään todentamisessa käytetty sertifikaatti valvontakomponentille (5); ';1; muodostetaan vasteellisesti mainitulle sertifikaa- 25 tille hakemistokysely käyttäjän oikeuksista palveluun (S2) ; ja • · yhdistetään päätelaite (TE) palveluun (S2), mikäli : käyttäjän oikeudet riittävät.
2. Patenttivaatimuksen 1 mukainen menetelmä, 30 tunnettu siitä, että hajautetaan pääsynvalvonta siten, että muodostetaan päätelaitteella (TE) yhteys ensin tietoliikenneverkkoon yhdistettyyn toiseen pal- • · · *. velimeen (2), josta käyttäjä valitsee ensimmäisellä palvelimella (1) käytettävän palvelun (S2) .
3. Patenttivaatimuksen 1 tai 2 mukainen mene- .* telmä, tunnettu siitä, että muodostetaan yhteys ( päätelaitteen (TE) ja palvelimen (1, 2) välille VPN- H 108184 yhteytenä, jolloin käyttäjä todennetaan IPSec-standardin mukaisesti.
4. Patenttivaatimuksen 1, 2 tai 3 mukainen menetelmä, tunnettu siitä, että tallennetaan tie- 5 to valvontakomponentin (5) tapahtumista lokitiedostoon (6), joka on yhdistetty tietoliikenneverkkoon.
5. Patenttivaatimuksen 1, 2, 3 tai 4 mukainen menetelmä, tunnettu siitä, että tallennetaan valvontakomponentin (5) tieto yhteyden uudelleenneuvotte- 10 lusta lokitiedostoon (6) .
6. Patenttivaatimuksen 1, 2, 3, 4 tai 5 mukainen menetelmä, tunnettu siitä, että muodostetaan lokitiedosto (6) ennalta määrättynä ajanhetkenä.
7. Patenttivaatimuksen 1, 2, 3, 4, 5 tai 6 15 mukainen menetelmä, tunnettu siitä, että toinen palvelin (2) on WWW-palvelin.
8. Patenttivaatimuksen 1, 2, 3, 4, 5, 6 tai 7 mukainen menetelmä, tunnettu siitä, että tietoliikenneverkko on IP-pohjainen verkko. 2 0
9. Patenttivaatimuksen 1, 2, 3, 4, 5, 6, 7 tai 8 mukainen menetelmä, tunnettu siitä, että hakemisto (3) on LDAP-protokollan mukainen.
10. Järjestelmä verkkopalvelun pääsynvalvon-taan tietoliikennejärjestelmässä, joka käsittää: 25 tietoliikenneverkon; ensimmäisen palvelimen (1) , johon on järjestetty .·. : palvelu (S2) , ja joka on yhdistetty tietoliikenneverk- φ * * koon; « · * • · ° päätelaitteen (TE) , jolla käyttäjä on yhdistetty *♦* ' 30 tietoliikenneverkkoon; hakemiston (3) , joka on yhdistetty tietoliikenne- • · e · verkkoon ja joka käsittää tietoa käyttäjän oikeuksista • · · '.l I tietoliikenneverkossa; ja valvontakomponentin (5), joka on järjestetty en-35 simmäiselle palvelimelle (1); jolloin: . päätelaitteen (TE) ja ensimmäisen palvelimen (1) /· välille on muodostettavissa yhteys; ja 108184 12 käyttäjän identiteetti on todennettavissa sertifikaatilla päätelaitteen (TE) muodostaessa yhteyttä ensimmäiselle palvelimelle (1) ; tunnettu siitä, että järjestelmä käsittää: 5 välineet todentamisessa käytetyn sertifikaatin vä littämiseksi valvontakomponentille (5); välineet hakemistokyselyn muodostamiseksi käyttäjän oikeuksista palveluun vasteellisesti mainitulle sertifikaatille; ja 10 välineet päätelaitteen yhdistämiseksi palveluun, mikäli käyttäjän oikeudet riittävät.
11. Patenttivaatimuksen 10 mukainen järjestelmä, tunnettu siitä, että tietoliikenneverkkoon on yhdistetty toinen palvelin (2), johon yhteys ensin 15 muodostetaan ja josta ensimmäisen palvelimen (1) palvelu (S2) on valittavissa.
12. Patenttivaatimuksen 10 tai 11 mukainen järjestelmä, tunnettu siitä, että päätelaite (TE) ja palvelin (1, 2) on yhdistetty VPN-yhteydellä, jol- 20 loin käyttäjä on todennettavissa IPSec-standardin mukaisesti .
13. Patenttivaatimuksen 10, 11 tai 12 mukai nen järjestelmä, tunnettu siitä, että järjestelmään kuuluu välineet valvontakomponentin (5) tapahtu- : 25 matietojen tallentamiseksi lokitiedostoon (6), joka on yhdistetty tietoliikenneverkkoon.
.*· ' 14. Patenttivaatimuksen 10, 11, 12 tai 13 mu- • * · ' ' • · kainen järjestelmä, tunnettu siitä, että järjes- • · · telmään kuuluu välineet valvontakomponentin (5) tie- 30 donsiirtoyhteyden uudelleenneuvottelusta tallentamiseksi lokitiedostoon (6). • # I
*·* ’ 15. Patenttivaatimuksen 10, 11, 12, 13 tai 14 ··· V * mukainen järjestelmä, tunnettu siitä, että jär- jestelmään kuuluu välineet lokitiedoston (6) tallenta- 3. miseksi ennalta määrättynä ajanhetkenä. 108184 13
16. Patenttivaatimuksen 10, 11, 12, 13, 14 tai 15 mukainen järjestelmä, tunnettu siitä, että toinen palvelin (2) on WWW-palvelin.
17. Patenttivaatimuksen 10, 11, 12, 13, 14, 5 15 tai 16 mukainen järjestelmä, tunnettu siitä, että tietoliikenneverkko on IP-pohjainen verkko.
18. Patenttivaatimuksen 10, 11, 12, 13, 14, 15, 16 tai 17 mukainen järjestelmä, tunnettu siitä, että hakemisto (3) on LDAP-protokollan mukainen. 10 108184 14
FI992196A 1999-10-12 1999-10-12 Palvelun pääsynvalvonta FI108184B (fi)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FI992196A FI108184B (fi) 1999-10-12 1999-10-12 Palvelun pääsynvalvonta
EP00967941A EP1248971A2 (en) 1999-10-12 2000-10-11 Access control of a service
AU77930/00A AU7793000A (en) 1999-10-12 2000-10-11 Access control of a service
PCT/FI2000/000875 WO2001027709A2 (en) 1999-10-12 2000-10-11 Access control of a service

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992196A FI108184B (fi) 1999-10-12 1999-10-12 Palvelun pääsynvalvonta
FI992196 1999-10-12

Publications (2)

Publication Number Publication Date
FI19992196A FI19992196A (fi) 2001-04-13
FI108184B true FI108184B (fi) 2001-11-30

Family

ID=8555436

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992196A FI108184B (fi) 1999-10-12 1999-10-12 Palvelun pääsynvalvonta

Country Status (4)

Country Link
EP (1) EP1248971A2 (fi)
AU (1) AU7793000A (fi)
FI (1) FI108184B (fi)
WO (1) WO2001027709A2 (fi)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2400268B (en) * 2001-04-18 2005-03-23 Emc Corp Integrated procedure for partitioning network data services among multiple subscribers
US7277953B2 (en) 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
NL1018494C2 (nl) * 2001-07-09 2003-01-10 Koninkl Kpn Nv Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.
CN100454921C (zh) 2006-03-29 2009-01-21 华为技术有限公司 一种数字版权保护方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3937475B2 (ja) * 1996-06-14 2007-06-27 キヤノン株式会社 アクセス制御システムおよびその方法
US5922074A (en) * 1997-02-28 1999-07-13 Xcert Software, Inc. Method of and apparatus for providing secure distributed directory services and public key infrastructure
US6134591A (en) * 1997-06-18 2000-10-17 Client/Server Technologies, Inc. Network security and integration method and system

Also Published As

Publication number Publication date
WO2001027709A3 (en) 2002-08-01
WO2001027709A2 (en) 2001-04-19
AU7793000A (en) 2001-04-23
WO2001027709A8 (en) 2004-04-22
EP1248971A2 (en) 2002-10-16
FI19992196A (fi) 2001-04-13

Similar Documents

Publication Publication Date Title
US7921289B2 (en) Secure compartmented mode knowledge management portal
US7269847B2 (en) Firewall providing enhanced network security and user transparency
US6609198B1 (en) Log-on service providing credential level change without loss of session continuity
US6640302B1 (en) Secure intranet access
CA2226814C (en) System and method for providing peer level access control on a network
US6892307B1 (en) Single sign-on framework with trust-level mapping to authentication requirements
US6691232B1 (en) Security architecture with environment sensitive credential sufficiency evaluation
US6088451A (en) Security system and method for network element access
US8683565B2 (en) Authentication
CN108259432A (zh) 一种api调用的管理方法、设备及系统
US20100031317A1 (en) Secure access
FI108184B (fi) Palvelun pääsynvalvonta
CN111711690A (zh) 一种基于跨链技术的服务处理方法及装置
Cisco Distributed System Settings
Cisco Configuring Network Security
JP2006101346A (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム