FI120614B - Etähallintayhteyden muodostus hallittavaan päätelaitteeseen - Google Patents

Etähallintayhteyden muodostus hallittavaan päätelaitteeseen Download PDF

Info

Publication number
FI120614B
FI120614B FI20060050A FI20060050A FI120614B FI 120614 B FI120614 B FI 120614B FI 20060050 A FI20060050 A FI 20060050A FI 20060050 A FI20060050 A FI 20060050A FI 120614 B FI120614 B FI 120614B
Authority
FI
Finland
Prior art keywords
connection
terminal
remote
message
remote access
Prior art date
Application number
FI20060050A
Other languages
English (en)
Swedish (sv)
Other versions
FI20060050A0 (fi
FI20060050A (fi
Inventor
Martti Hakulinen
Original Assignee
Telcont Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telcont Oy filed Critical Telcont Oy
Priority to FI20060050A priority Critical patent/FI120614B/fi
Publication of FI20060050A0 publication Critical patent/FI20060050A0/fi
Priority to EP07704789A priority patent/EP1982496A1/en
Priority to PCT/FI2007/000015 priority patent/WO2007082989A1/en
Publication of FI20060050A publication Critical patent/FI20060050A/fi
Application granted granted Critical
Publication of FI120614B publication Critical patent/FI120614B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B25/00Alarm systems in which the location of the alarm condition is signalled to a central station, e.g. fire or police telegraphic systems
    • G08B25/01Alarm systems in which the location of the alarm condition is signalled to a central station, e.g. fire or police telegraphic systems characterised by the transmission medium
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Emergency Management (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

ETÄHALLINTAYHTEYDEN MUODOSTUS HALLITTAVAAN PÄÄTELAITTEESEEN
KEKSINNÖN ALA
Esillä oleva keksintö liittyy tietoliikenne-5 tekniikkaan. Esillä olevan keksinnön kohteena on menetelmä, tietokoneohjelma ja laite etähallintayhteyden muodostamiseksi ja vastaanottamiseksi etäyhteyslait-teeseen.
10 KEKSINNÖN TAUSTA
Erilaisia kohteita, esimerkiksi kiinteistöjä voidaan monin tavoin valvoa esimerkiksi murtojen ja tulipalojen varalta. Eräs valvontatapa on ns. etäval-vonta, jossa kohteessa, esimerkiksi kiinteistössä, on 15 automaattinen valvontajärjestelmä, joka murron tai tulipalon sattuessa välittää hälytystietoa eteenpäin.
Hälytyksiä välitetään esimerkiksi ilmoituksensiirtojärjestelmässä (ISJ), joka on perinteisesti perustunut lankaverkkoon (tilaajakaapeli). Hälytyksen 20 siirtotienä voidaan käyttää myös muita julkisia tie donsiirtoverkkoja, esimerkiksi Internetiä.
Internet-verkko käsittää maailmanlaajuisen tiedonsiirto- ja palveluverkon. Siihen liittyy mitä erilaisimpia kuljetuskerroksen (Layer 4) yläpuolisia 25 toimintoja, kuten esimerkiksi nimipalvelu, sähköposti, verkonhallintaprotokollat, VoIP (Voice over IP) ja lukematon määrä erilaisia sovelluksia ja protokollia. Kaikissa edellä mainituissa tapauksissa itse siirtoverkko, joka reitittää ja kytkee kerroksilla Li, L2 ja 30 L3, ei ota kantaa kuljetettaviin sovelluksiin. Sovel lukset käyttävät tiedon välittämiseen erilaisia kuvauskieliä ja protokollia.
Internetin eräs ongelma on tietoturva. Sovellustasolla välitettävään tietoon on mahdollista päästä 35 käsiksi tietyillä tavoilla. Yleisesti ottaen olemassa on erilaisista lähtökohdista toimivia tahoja, jotka 2 haluavat päästä käsiksi toisten osapuolien hallitsemaan tai lähettämään tietoon. Erästä tällaista tahoa kutsutaan "hakkereiksi". Heidän pääasiallinen tarkoituksensa on aiheuttaa tuhoa ja ongelmia tietomurron 5 kohteeseen. Erääseen toiseen tahoon kuuluvat esimer kiksi teollisuusvakoojat; he yrittävät saada verkosta haluamaansa tietoa.
Toisena osatekijänä tietoturvaongelmassa on käytössä olevien käyttöjärjestelmien ja sovellusten 10 heikkoudet. Käyttöjärjestelmissä ja sovellusten toi minnassa voi olla tietoturva-aukkoja, jotka mahdollistavat ulkopuolisten tahojen päästä käsiksi tietoon, joka ei alun perin ole tarkoitettu heille.
Tietoturvan parantamiseksi on olemassa sekä 15 siirtoverkkoon kohdistuvia suojausmenetelmiä, kuten esimerkiksi VPN-yhteydet (VPN, Virtual Private Network) , MPLS-tekniikat (MPLS, Multiprotocol Label Switching) , intranet, tunnelointi, private access point -tekniikat että laitteisiin liittyviä menetelmiä, kuten 20 esimerkiksi palomuuritekniikat, pääsylistat, virusten torjunta jne. Yhteistä kaikille edellä mainituille menetelmille on se, että haitallinen toiminta kohdistuu pääsääntöisesti kerrokseen L4 ja sen yläpuolelle varsinkin, jos kerroksen L4 (kuljetuskerros) protokollana 25 on yhteydellinen TCP (Transmission Control Protocol).
Valvontalaitteet, jotka valvovat erilaisia kohteita ja jotka hälytystilanteissa välittävät tietoa valvontakeskukseen, ovat toiminnallisesti verraten yksinkertaisia laitteita. Laitteiden käyttö tulee kui-30 tenkin olla ehdottoman turvallista. Toisin sanoen, ul kopuolinen luvaton taho ei saa missään tilanteessa päästä käsiksi laitteen ohjaukseen esimerkiksi tietoverkon välityksellä. Edellä mainitusta turvallisuustekijästä johtuen suuri osa valvontalaitteista toimii 35 puhelinverkon välityksellä. Puhelinverkossa lähettä jällä ja vastaanottajalla on yksikäsitteiset tunnisteet, joiden väärentäminen on käytännössä mahdotonta.
3
Toisaalta valvontalaitteista voidaan rakentaa monimutkaisempia ja tietoturvallisempia julkiseen tietoverkkoon (esimerkiksi Internet) liittämiseksi. Tällaisessa laitteessa on tyypillisesti käyttöjärjestelmä 5 ja joukko sovelluksia, jotka mahdollistavat tietoturvan iseinman tavan lähettää tietoa ja vastaanottaa ohjaustietoa julkisesta tietoverkosta. Mutta kuten aiemmin esitettiin, käyttöjärjestelmissä ja sovelluksissa on lähes poikkeuksetta joitain tietoturvaan liittyviä 10 ongelmakohtia. Lisäksi käyttöjärjestelmiä ja sovelluksia pitää käytännössä päivittää jatkuvasti, jotta tie-toturvataso pysyy riittävän korkeana.
Eräs toinen valvontalaitteissa käytettyihin erilaisiin käyttöjärjestelmiin ja tarvittaviin sovel-15 luksiin liittyvä ongelma on se, että ne ovat"raskastekoisia" ja tuovat tullessaan lisäkustannuksia ja ylläpito-ongelmia valvontalaitteeseen, jonka toiminta itsessään on verraten yksinkertainen.
Toisaalta, usein on tarve päästä käyttöliit-20 tymällä suoraan laitteeseen, suorittamalla esimerkiksi käyttöönotto, huolto, testaus, koekäyttö, väliaikainen prosessinäyttö tai muu vastaava. Yleinen menettelytapa on, että käytetään esimerkiksi sarjaporttia, jonka kautta, pääsääntöisesti tekstieditoripohjaisesti, suo-25 ritetaan toiminnot. Tiedonsiirto-ohjelmina yleisesti käytettyjä ovat HyperTerm, Telix, Procomm ja muut vastaavat esimerkiksi sarjaliikennettä tukevat liikennöintiprotokollat. Fyysinen liitäntä on yleisimmin sarjaliitäntä RS-232 tai muu sarjaliikennettä tukeva 30 langallinen tai langaton yhteys, esimerkiksi USB, Ir-
Da, Bluetooth, ZigBee tai muu vastaava. Ongelmana edellä esitetyssä ratkaisussa on kuitenkin se, että hallittavaan laitteeseen kytkettävä laite, esimerkiksi tietokone, voi päästä hallittavan laitteen kautta yri-35 tyksen verkkoon. Toisaalta kytkettävä laite voi aiheuttaa tietoturvariskin yrityksen verkkoon, jossa hallittava laite on kiinni.
4
Erilaisia hälytys- ja/tai valvontalaitteita on mahdollista hallita tai etähallita käyttäen hyväksi edellä esitettyjä tietoturvallisia menetelmiä. Esitetyt menetelmät ovat kuitenkin monimutkaisia ja tyypil-5 lisesti vaativat toimiakseen käyttöjärjestelmän, esi merkiksi Microsoft Windowsin™ tai Linuxin.
KEKSINNÖN TARKOITUS
Keksinnön tarkoituksena on poistaa edellä 10 mainitut epäkohdat tai ainakin merkittävästi lieventää niitä. Erityisesti keksinnön tarkoituksena on mahdollistaa IP-osoitteen omaavan laitteen, esimerkiksi hä-lytysvälittimen, etähallinta selainta käyttäen niin, että vältytään yleisten, normaalisti käytössä tarvit-15 tavien, tietoturvaohjelmistojen- ja laitteiden käytöl tä sekä niiden ylläpidolta ja päivitykseltä.
KEKSINNÖN YHTEENVETO
Esillä oleva keksintö koskee menetelmiä ja 20 päätelaitteita etähallintayhteyden muodostamiseksi etäyhteyslaitteeseen.
Keksinnön ensimmäisen näkökohdan mukaisesti esitetään menetelmä etähallintayhteyden muodostamiseksi etäyhteyslaitteeseen. Keksinnölle on tunnusomaista, 25 että välityslaitteella vastaanotetaan ensimmäiseltä päätelaitteelta elektroninen viesti, joka sisältää viitteen laitteeseen, johon etähallintayhteys halutaan muodostaa. Välityslaite lähettää ensimmäiselle päätelaitteelle vastausviestin, joka sisältää kirjautumis-30 salasanan etäyhteyslaitteeseen. Välityslaite edelleen lähettää etäyhteyslaitteelle ohjausviestin, joka sisältää viitteen ainakin yhteen avattavaan sovellu-sporttiin etäyhteyslaitteessa ja mainitun kirjautumis-salasana.
35 Kun välityslaite vastaanottaa elektronisen viestin, se voi määrittää siitä lähettäjän tunniste- 5 tiedon. Jos välityslaitteeseen ei ole ennalta tallennettu elektronisen viestin lähettäjän tunnistetietoa, voidaan vastausviestin lähettäminen ensimmäiselle päätelaitteelle estää. Elektronisen viestin lähettäjän 5 tunnistetieto on esimerkiksi matkaviestinverkon lyhytsanoman lähettäjätunniste.
Mainittu elektroninen viesti voi lisäksi käsittää tiedon avattavasta ainakin yhdestä etäyhteys-laitteen sovellusportista. Toisin sanoen, elektronisen 10 viestin lähettäjä voi pyytää avattavaksi etäyhteys- laitteesta yhtä tai useampaa haluamaansa sovellusport-tia. Edelleen, mainittu vastausviesti voi käsittää viitteen ainakin yhteen etäyhteyslaitteessa avattavaan sovellusporttiin ja/tai etäyhteyslaitteen osoitteen. 15 Mikäli vastausviesti ei sisällä viitettä etäyhteys- laitteessa avattavaan sovellusporttiin, voidaan esimerkiksi olettaa, että käyttäjä tulee käyttämään yleisesti käytössä olevia sovellusportteja, esimerkiksi TCP-portteja 80 tai 443.
20 Välityslaitteen lähettämä vastausviesti ja/tai ohjausviesti voi lisäksi käsittää ainakin yhden muutossalasanan. Välityslaitteeseen on ennalta voitu tallentaa eri käyttötasoja etäyhteyslaitteisiin eri käyttäjille. Yhdellä käyttäjällä voi esimerkiksi olla 25 ainoastaan kirjautumisoikeus tiettyyn etäyhteyslait- teeseen. Toisella käyttäjällä voi taas olla myös muu-tosoikeus esimerkiksi etäyhteyslaitteen asetuksiin tai tietoihin. Käyttämällä useita muutossalasanoja käyttäjille voidaan esimerkiksi määritellä useita eri muu-30 tosoikeustasoja.
Keksinnön kohteena on myös tietokoneohjelma, etähallintayhteyden muodostamiseksi etäyhteyslaittee-seen, joka on järjestetty suorittamaan edellä esitetyt menetelmävaiheet.
35 Keksinnön toisen näkökohdan mukaisesti esite tään menetelmä etähallintayhteyden muodostamiseksi etäyhteyslaitteeseen. Menetelmälle on tunnusomaista, 6 että välityslaitteelta vastaanotetaan ohjausviesti, joka sisältää viitteen ainakin yhteen avattavaan so-vellusporttiin ja kirjautumissalasanan. Etäyhteyslaite avaa mainitun ainakin yhden sovellusportin ennalta 5 määrätyksi ajanjaksoksi. Etäyhteyslaite edelleen vastaanottaa toiselta päätelaitteelta yhteydenmuodostuksen mainitun ennalta määrätyn ajanjakson aikana mainittuun ainakin yhteen sovellusporttiin ja pyytää kir-jautumissalasanaa. Yhteydenmuodostus hyväksytään, mi-10 käli toiselta päätelaitteelta saatu kirjautumissalasa- na vastaa välityslaitteelta ohjausviestissä saatua kirj autumissalasanaa.
Mainittu sovellusportti voidaan sulkea, mikäli mainittu ennalta määrätty ajanjakso umpeutuu ja 15 toinen päätelaite ei ole muodostanut yhteyttä etäyh- teyslaitteeseen. Sovellusportti voidaan sulkea myös, mikäli toisen päätelaitteen antama kirjautumissalasana on virheellinen.
Välityslaitteen lähettämä ohjausviesti voi 20 lisäksi käsittää ainakin yhden muutossalasanan. Yhdel lä käyttäjällä voi esimerkiksi olla ainoastaan kirjau-tumisoikeus tiettyyn etäyhteyslaitteeseen. Toisella käyttäjällä voi taas olla myös muutosoikeus etäyhteys-laitteen asetuksiin tai tietoihin. Käyttämällä useita 25 muutossalasanoja käyttäjille voidaan esimerkiksi mää ritellä useita eri muutosoikeustasoja.
Kun toinen päätelaite on kirjautunut etäyhteyslaitteeseen ja antanut muodostetun etähallintayh-teyden kautta etähallintakomentoja, toiselta pääte-30 laitteelta voidaan pyytää muutossalasanaa annettujen etähallintakomentojen toimeenpanemiseksi. Etähallinta-komennot suoritetaan lopullisesti vasta, kun on vastaanotettu toiselta päätelaitteelta muutossalasana, joka vastaa etäyhteyslaitteen aiemmin välityslaitteel-35 ta vastaanottamaa muutossalasanaa.
Keksinnön kohteena on myös tietokoneohjelma, etähallintayhteyden muodostamiseksi etäyhteyslaittee- 7 seen, joka on järjestetty suorittamaan edellä esitetyt menetelmävaiheet.
Keksinnön kolmannen näkökohdan mukaisesti esitetään menetelmä hallintayhteyden muodostamiseksi 5 hallittavaan laitteeseen paikallisesti. Menetelmälle on tunnusomaista, että muodostetaan paikallinen yhteys ensimmäisestä päätelaitteesta hallittavaan laitteeseen. Yhteys päätelaitteiden välillä voi olla langaton tai langallinen. Ensimmäinen päätelaite pyytää hallit-10 tavalta laitteelta yhteysparametreja IP-liikennettä varten ja vasteena tehdylle pyynnölle vastaanottaa hallittavalta päätelaitteelta yhteysparametreja. Toisin sanoen, ensimmäinen päätelaite muodostaa hallittavaan laitteeseen esimerkiksi PPP-yhteyden (Point to 15 Point). Ensimmäinen päätelaite luulee, että hallittava päätelaite on verkkopalvelin, jolta se pyytää yhteysparametreja IP-liikennettä varten. Hallittava päätelaite toimii edullisesti DHCP-palvelimen (Dynamic Host Configuration Protocol) tavoin ja ensimmäinen pääte-20 laite kuvittelee kirjautuvansa verkkoon. Ensimmäinen päätelaite hyväksyy yhteydenmuodostuksen laitteiden välille ja muodostaa selainyhteyden hallittavaan laitteeseen valitsemalla ennalta määrätyn verkko-osoitteen .
25 Keksinnön kohteena on myös tietokoneohjelma, etähallintayhteyden muodostamiseksi etäyhteyslaittee-seen, joka on järjestetty suorittamaan edellä esitetyt menetelmävaiheet.
Keksinnön neljännen näkökohdan mukaisesti 30 esitetään menetelmä hallintayhteyden muodostamiseksi hallittavaan laitteeseen paikallisesti. Menetelmälle on tunnusomaista, että hallittava päätelaite vastaanottaa yhteydenmuodostuspyynnön ensimmäiseltä päätelaitteelta. Hallittava päätelaite edelleen vastaanot-35 taa ensimmäiseltä päätelaitteelta yhteysparametripyyn- nön IP-liikennettä varten ja vasteena vastaanotetulle pyynnölle lähettää yhteysparametreja ensimmäiselle 8 päätelaitteelle. Hallittava päätelaite hyväksyy yhteydenmuodostuksen laitteiden välille ja vastaanottaa ensimmäiseltä päätelaitteelta selainyhteyden muodostus-pyynnön ennalta määrättyyn verkko-osoitteeseen.
5 Keksinnön kohteena on myös tietokoneohjelma, etähallintayhteyden muodostamiseksi etäyhteyslaittee-seen, joka on järjestetty suorittamaan edellä esitetyt menetelmävaiheet.
Keksinnön kohteena on myös päätelaitteet 10 edellä esitettyjen menetelmien toteuttamiseksi. Päätelaitteiden tunnusomaiset piirteet on määritelty patenttivaatimuksissa .
Esillä olevan keksinnön ansiosta etäyhteys-laitetta tai hallittavaa laitetta voidaan hallita tai 15 etähallita niin, ettei tietoturva vaarannu hallittavan laitteen päässä ja hallitsevan laitteen päässä. Edelleen, esillä olevan keksinnön ansiosta hallintaa suorittavaa tietokonetta ei tarvitse kytkeä missään vaiheessa yritysverkkoon tai johonkin muuhun sellaiseen 20 verkkoon, johon sitä ei haluttaisi päästää.
Lisäksi keksinnössä esitetty ratkaisu on helppo ja yksinkertainen toteuttaa.
KUVALUETTELO
25 Seuraavassa keksintöä selostetaan yksityis kohtaisesti sovellusesimerkkien avulla, jossa: kuva 1 esittää erään sovelluksen keksinnön mukaisen menetelmän toiminnasta, kuva 2 esittää erään toisen sovelluksen kek-30 sinnön mukaisen menetelmän toiminnasta, kuva 3a esittää erään sovelluksen keksinnön mukaisista päätelaitteista, ja kuva 3b esittää erään toisen sovelluksen keksinnön mukaisista päätelaitteista.
35 9
KEKSINNÖN YKSITYISKOHTAINEN SELOSTUS
Kuva 1 esittää erään sovelluksen keksinnön mukaisen menetelmän toiminnasta. Kuva 1 esittää kolme varsinaista valvontalaitetta (laitteet 1 (100), 3 5 (104) ja 4 (106) ), jotka valvovat erilaisia kohteita, esimerkiksi kiinteistöä, sisäänkäyntejä jne. Laite 2 toimii valvontatietoa vastaanottavana laitteena. Toisin sanoen, esimerkiksi hälytystilanteessa hälytystie-to laitteilta 1, 3 ja 4 lähetetään laitteelle 2. Edel-10 lä mainitut laitteet voivat olla yhdistetty julkiseen tietoliikenneverkkoon 116, esimerkiksi Internetiin, suoraan tai esimerkiksi yritysverkon 114 kautta.
Tässä esimerkiksi halutaan konfiguroida laitetta 1 (100). Etähallittavalle laitteelle täytyy olla 15 määritettynä staattinen IP-osoite. Näin laite voidaan osoittaa yksikäsitteisesti mistä tahansa muusta Internetiin liitetystä toisesta laitteesta. Keksinnön edullisessa sovelluksessa laitetta 1 (100) etähallitaan selainkäyttöliittymän kautta. Etähallintaa varten lai-20 te kykenee toimimaan selainpalvelimena. Toisin sanoen siinä on tarvittava protokollapino tai protokollapinot (esimerkiksi http tai https), joka käyttää tiettyä so-vellusporttia tai sovellusportteja. Http-protokollan tapauksessa sovellusportti on tyypillisesti TCP-portti 25 80 tai https-protokollan tapauksessa tyypillisesti TCP-portti 443. On ilmeistä, että edellä mainittujen porttien lisäksi tai sijasta voidaan käyttää mitä tahansa muita porttinumerolta.
Ennen varsinaista etähallintayhteyden muodos-30 tamista laitteeseen 1 (100) huoltomies 112 lähettää päätelaitteella 110 sanoman, esimerkiksi matkaviestinverkon lyhytsanoman, vastaanottokeskukseen 112. Sanoman muoto on edullisesti ennalta sovittu. Sanoma sisältää viitteen siihen laitteeseen, johon selainyhteys 35 halutaan muodostaa. Mikäli sanomana käytetään matkaviestinverkon lyhytsanomaa, vastaanottokeskukseen 102 on etukäteen määritelty käyttäjien puhelinnumerot.
10 Tässä esimerkissä käytetään matkaviestinverkon luotettavaa A-tilaajan tunnistetta.
Laite 2 (102) lähettää huoltomiehen 112 pää telaitteeseen 110 takaisin sanoman, joka sisältää ai-5 nakin kirjautumissalasanan etäyhteyslaitteeseen. Sanoma voi sisältää lisäksi etäyhteyslaitteen osoitteen ja/tai yhden tai useamman muutossalasanan. Salasanat voivat olla kertakäyttöisiä ollen näin joka kerta vaihtuvia. Laite 2 (102) lähettää samansisältöisen oh- 10 jausviestin myös laitteelle 1 (100). Laitteelle 1 (100) lähetettävässä viestissä määritellään avattava portti, edullisesti TCP-portti (portti 80 vai 443) sekä sisäänkirjautumissalasana. Viesti voi sisältää myös yhden tai useamman muutossalasanan. Viestissä voidaan 15 lisäksi määrittää aika, kuinka kauan laite 1 (100) pitää mainittua porttia avoinna viestin vastaanottamisen j älkeen.
Laitteiden 1 (100) ja 2 (102) välinen sano- manvaihto toteutetaan edullisesti käyttämällä patent-20 tihakemuksessa FI20051148 esitettyä ratkaisua. Patenttihakemuksessa FI20051148 esitetylle menetelmälle on tunnusomaista, että päätelaitteelle on määritetty IP-osoite. Lisäksi päätelaitteesta avataan tietoliikenneverkkoon päin ainakin yksi ennalta määrätty sovellu-25 sportti. Tähän porttiin voi kuka tahansa lähettää sanomia. Sanomia ei esimerkiksi tarvitse suodattaa erityisen palomuurin avulla. Päätelaite vastaanottaa so-vellusporttiin ensimmäisen sanoman. Vastaanotettu ensimmäinen sanoma sisältää lähettäjätunnisteen, joka on 30 erillinen tunniste sanoman lähettäjän IP-osoitteesta. Vastaanottava päätelaite poimii lähettäjätunnisteen sanomasta ja vertaa poimittua lähettäjätunnistetta päätelaitteeseen ennalta tallennettuihin tunnisteisiin. Jos poimittu lähettäjätunniste vastaa päätelait-35 teeseen ennalta tallennettua tunnistetta, poimitun lähettäj ätunnisteen perusteella lähetetään vasteena en- 11 simmäiselle sanomalle kuittaussanoma, joka käsittää päätelaitteen oman liittyvän lähettäjätunnisteen.
Edelleen patenttihakemuksessa FI20051148 esitettyä ratkaisua voidaan käyttää laitteiden välisen 5 sanomanvaihdon salaamisessa. Sanoma tai osa siitä voidaan salata salausavaimella, joka muodostetaan esimerkiksi käyttäen hyväksi laitteen aikalaskurin lähetys-hetken arvoa. Laitteet on mahdollista tahdistaa samaan aikakantaan erityisen menettelyn avulla. Vastaavasti 10 salattu sanoma voidaan purkaa käyttäen hyväksi esimerkiksi laitteen aikalaskurin vastaanottohetken arvoa.
Laite 1 (100) pitää porttia auki esimerkiksi ennalta määrätyn ajan (esimerkiksi 30 sekuntia) tai laitteelta 2 (102) vastaanotetun viestin osoittaman 15 ajan. Huoltomies 112 ottaa tietokoneellaan 108 se-lainyhteyden osoitteeseen http://193.3.66.9/ tai suojatun yhteyden osoitteeseen https://193.3.66.9/, johon laite 1 (100) vastaa pyytäen yhteyttä ottavalta lait teelta etähallintayhteyden avaussalasanaa. Kun yhtey-20 den avaus on suoritettu onnistuneesti, toiminta jatkuu normaalisti eli laitetta 1 (100) voidaan etähallita muodostetun yhteyden kautta.
Kun etähallintaistunto päättyy, laite 1 (100) sulkee sovellusporttinsa. Vastaavasti, jos kirjautu-25 mistä ei tapahdu aikavalvonnan sisällä tai salasana on väärä, portti voidaan sulkea.
Edellä esitetyllä tavalla saadaan selainkäyttö mahdolliseksi, vaikka itse sovellusportti (tai portit) olisivatkin normaalisti kiinni. Lisäksi esitetty 30 menettely saa alkunsa eri median (esimerkiksi matka-viestinveron viestinvälityksen kautta), joten itse hallintatapahtuman jäljille on mahdoton päästä.
Jos toimenpide suoritetaan esimerkiksi yritysverkosta, on täysin mahdollista, että joku pystyy 35 "kaappaamaan" yhteyden ja näin ollen operoimaan käyttöliittymää ja tekemään muutoksia. Tällöin alkuperäinen kirjautuja ei enää hallitse tilannetta. Tämän 12 vuoksi menetelmässä käytetään erillistä muutossalasa-naa eli komentoa, jolla etähallintayhteyden aikana tehdyt muutokset astuvat voimaan. Näin kaappari ei käytännössä pysty muuttamaan mitään etähallintayhtey-5 den aikana, koska hänellä ei ole tiedossaan tarvittavaa muutossalasanaa. Toisin sanoen, käyttöliittymässä voidaan muuttaa parametreja ja muita asetuksia, mutta ne astuvat voimaan vasta muutossalasanan annon jälkeen. Eräässä kuvan 1 sovelluksessa voi olla käytössä 10 useampia salasanoja, joilla varmistetaan muutostasoil-ta toisille siirtyminen.
Kuva 2 esittää erään toisen sovelluksen keksinnön mukaisen menetelmän toiminnasta. Kuvan 1 sovelluksessa hallittavaan laitteeseen muodostettiin etä-15 hallintayhteys. Kuvan 2 sovelluksessa hallittavaan laitteeseen muodostetaan suoraan paikallinen hallintayhteys .
Kuvan 2 esittämän menetelmän avulla myös sar-jaliikenteen avulla voidaan toimia selainpohjaisesti 20 joko tavallisen http-yhteyden tai suojatun https- yhteyden kautta. Tässä sovelluksessa hallittava laite näkyy yhteyttä ottavalle tietokoneelle 'verkkona', vaikka laitteet kommunikoivat vain ja ainoastaan keskenään .
25 Huoltomiehen 210 tietokoneeseen 208 asenne taan ohjelma, joka muodostaa esimerkiksi yhteyden, esimerkiksi PPP-yhteyden (Point to Point Protocol) laitteeseen 206. Tietokone 208 kuvittelee, että laite 206 on verkkopalvelin, jolta se pyytää parametreja IP-30 liikennettä varten. Toisin sanon, laite 206 toimii esimerkiksi DHCP-palvelimen (Dynamic Host Configuration Protocol) tavoin ja tietokone 208 kuvittelee kir-jautuvansa verkkoon. Kun kirjautuminen on suoritettu, siitä ilmoitetaan käyttäjälle, jolloin hän voi käyn-35 nistää selaimen ja valita etukäteen sovitun verkko- osoitteen (IP-osoitteen) . Käyttäjä käynnistää proseduurin normaalilla http/https-menettelyllä tiettyjä 13 porttinumerolta (esimerkiksi TCP-portti 80 tai 443) käyttäen. Tällä tavalla menetelleen laitteen 206 ja tietokoneen 208 välillä on normaali selainliikenne. Kun hallintatoimet on suoritettu, yhteys puretaan.
5 Vaikka laite 206 näkyy palvelimena, se ei kuitenkaan osaa reitittää. Näin taataan se, ettei tietokone 208 pääse yrityksen verkkoon 212 eikä yritysverkosta 212 pääse mitään tietokoneeseen 208. Edellä esitetään ratkaisu, jossa selainkäyttöisyys saadaan 10 aikaan niin, ettei tietokone 208 ole fyysisesti eikä loogisesti siinä verkossa, jossa itse hallittava laite 206 on.
Esillä olevan keksinnön ansiosta tarvitaan vain yksi käyttöliittymätyökalu, jolla voidaan hallita 15 tai etähallita laitetta. Hallittavaan laitteeseen tai verkon johonkin muuhun osaan ei tarvitse järjestää erillistä fyysisen tason verkkoliityntää (esimerkiksi RJ45-liitäntä). Keksinnön olennaisena etuna on se, että tietokonetta, jolla hallintaa tehdään, ei tarvitse 20 kytkeä asiakkaan yritysverkkoon. Edelleen, julkisen verkon ratkaisussa (kuva 1, laite 1 (100) ja tietokone 108) ei niinikään tarvita mitään verkkotason liitäntää (esimerkiksi RJ45), ja mikä tärkeintä, hallintaoperaatioita tekevää tietokonetta ei tarvitse suojata mil-25 lään tavoin, vaikka itse hallittava laite 100 on yhdistettynä julkiseen tietoliikenneverkkoon.
Sarjaliikenteen käyttö edellä esitetyssä kuvan 2 mukaisessa ratkaisussa on lisäksi edullista, sillä laitteessa on yleensä sarjaportti (tai 30 portteja) ja vastaavasti tietokoneessa on joko COM- portti tai USB-portti, joka voidaan helposti muuntaa kaapelilla RS-232-tasoiseksi. Toisaalta voidaan käyttää langattomia menetelmiä, esimerkiksi IrDa, Bluetooth, ZigBee jne. Vaikka esimerkiksi Bluetooth ja 35 ZigBee ovat 802.xxx- standardin mukaisia, tällä ei ole merkitystä, koska kyseistä yhteyttä käytetään ainoas- 14 taan selaimen ja laitteen välisessä liikenteessä "vir-tuaalikaapelina".
Kuva 3a esittää erään sovelluksen, jossa esitetään välityslaitteen 302 ja etäyhteyslaitteen 304 5 tarkempaa rakennetta. Välityslaite 302 on yhteydessä Internetiin 300 (yhteys 316) ja matkaviestinverkkoon 308 (yhteys 319) yhteysrajapinnan 310 kautta. Yhteys-rajapinnan 310 kautta välityslaite 302 on järjestetty vastaanottamaan matkaviestinverkosta 308 elektronisen 10 viestin, joka sisältää viitteen laitteeseen, johon etähallintayhteys halutaan muodostaa. Elektroninen viesti voi lisäksi sisältää yhden tai useamman etäyh-teyslaitteesta avattavan sovellusporttitiedon. Toisin sanoen, käyttäjä voi pyytää avattavaksi tiettyä port-15 tia tai tiettyjä portteja. Elektroninen viesti viittaa edullisesti matkaviestinverkon 308 lyhytsanomaan. Se voi kuitenkin olla mikä tahansa muu tietoliikenneverkon viesti, jonka perusteella käyttäjä voidaan tunnistaa luotettavaksi.
20 Yhteysrajapinta 310 on järjestetty lähettä mään elektronisen viestin lähettäjälle vastausviesti, joka sisältää kirjautumissalasanan etäyhteyslaittee-seen 304.Välityslaitteen 302 muistiin on voitu ennalta järjestää joukko lähettäjätunnisteita, joita verrataan 25 elektronisen viestin lähettäjätunnisteeseen. Mikäli viestin lähettäjää ei löydy muistista, vastausviestin lähettäminen estetään. Eräässä sovelluksessa vastausviesti sisältää lisäksi viitteen ainakin yhteen etäyh-teyslaitteessa avattavaan sovellusporttiin ja etäyh-30 teyslaitteen 304 osoitteen (esimerkiksi etäyhteyslaitteen IP-osoite). Avattava sovellusportti voi olla sama kuin mitä elektronisessa viestissä pyydettiin. Mikäli elektronisessa viestissä ei yksilöidä sovellusporttia, välityslaite 302 voi määrittää avattavan portin tai 35 avattavat portit.
Elektronisten viestien lähettäjille on voitu ennalta määrittää erilaisia käyttöoikeuksia eri etäyh- 15 teyslaitteisiin. Tietyllä käyttäjällä voi olla yhteen etäyhteyslaitteeseen ainoastaan kirjautumisoikeus eikä lainkaan muutostenteko-oikeutta. Toisella käyttäjällä voi olla samaiseen etäyhteyslaitteeseen sekä kirjautu-5 misoikeus että muutostenteko-oikeus. Tästä syystä eräässä sovelluksessa vastausviesti edelleen sisältää yhden tai useamman muutossalasanan. Jos käytetään useampia muutossalasanoja, voidaan määritellä useampia tasoja muutostenteko-oikeuksiin. Toisin sanoen, pro-10 sessointivälineet 306 on järjestetty muodostamaan vastausviestin sisältö ensimmäiselle päätelaitteelle 110 vasteena mainitun elektronisen viestin lähettäjän tunnistamiselle .
Yhteysrajapinta 310 on edelleen järjestetty 15 lähettämään etäyhteyslaitteelle 304 ohjausviestin, joka sisältää viitteen ainakin yhteen avattavaan sovel-lusporttiin etäyhteyslaitteessa 304 ja mainitun kir-jautumissalasanan. Avattava sovellusportti on edullisesti TCP-portti (TCP, Transmission Control p Proto-20 col) . Eräässä sovelluksessa ohjausviesti edelleen sisältää yhden tai useamman muutossalasanan, joihin liittyvää toiminnallisuutta selostettiin edellä.
Etäyhteyslaite 304 on yhdistetty tässä esimerkiksi ainoastaan Internetiin 300 (yhteys 318). 25 Etäyhteyslaite 304 käsittää yhteysrajapinnan 312, joka on järjestetty vastaanottamaan välityslaitteelta 302 ohjausviestin, joka sisältää viitteen ainakin yhteen avattavaan sovellusporttiin ja kirjautumissalasanan. Prosessointivälineet 314 on järjestetty avaamaan mai-30 nittu ainakin yksi sovellusportti ennalta määrätyksi ajanjaksoksi. Prosessointivälineet 314 on järjestetty sulkemaan mainitun sovellusportin, mikäli mainittu ennalta määrätty ajanjakso umpeutuu eikä sovellusporttiin ole vastaanotettu sanomaa.
35 Yhteysrajapinta 312 on edelleen järjestetty vastaanottamaan toiselta päätelaitteelta yhteydenmuodostus mainitun ennalta määrätyn ajanjakson aikana 16 mainittuun ainakin yhteen sovellusporttiin. Toisella päätelaitteella viitataan esimerkiksi huoltomiehen käyttämään tietokoneeseen, joka on yhdistetty Internetiin. Prosessointivälineet 314 on järjestetty pyytä-5 mään toiselta päätelaitteelta kirjautumissalasanaa ja hyväksymään yhteydenmuodostus, mikäli toiselta päätelaitteelta saatu kirjautumissalasana vastaa välitys-laitteelta 302 ohjausviestissä saatua kirjautumissalasanaa. Eräässä sovelluksessa prosessointivälineet 10 314 on edelleen järjestetty sulkemaan mainitun sovel- lusportin, mikäli toisen päätelaitteen antama kirjau-tumissalasana on virheellinen.
Välityslaitteen 302 lähettämä ohjausviesti voi sisältää myös ainakin yhden muutossalasanan. Kir-15 jautumissalasanalla saadaan oikeudet tarkistaa olemas sa olevia tietoja, mutta vasta muutossalasanalla voidaan saattaa voimaan tehtyjä muutoksia. Tästä syystä yhteysrajapinta 312 on järjestetty vastaanottamaan toiselta päätelaitteelta muodostetun etähallintayhtey-20 den kautta etähallintakomentoja, prosessointivälineet 314 on järjestetty pyytämään toiselta päätelaitteelta muutossalasanaa annettujen etähallintakomentojen toimeenpanemiseksi ja suorittamaan etähallintakomennot lopullisesti vasta, kun on vastaanotettu toiselta pää-25 telaitteelta muutossalasana, joka vastaa etäyhteys- laitteen 304 aiemmin välityslaitteelta 302 vastaanottamaa muutossalasanaa. Kuten aiemmin todettiin, tietyllä käyttäjällä voi olla yhteen etäyhteyslaitteeseen ainoastaan kirjautumisoikeus eikä lainkaan muutosten-30 teko-oikeutta. Toisella käyttäjällä voi olla samaiseen etäyhteyslaitteeseen sekä kirjautumisoikeus että muu-tostenteko-oikeus. Jos käytetään useampia muutossala-sanoja, voidaan määritellä useampia tasoja muutosten-teko-oikeuksiin.
35 Kuva 3b esittää erään sovelluksen, jossa esi tetään päätelaitteen 320 ja etäyhteyslaitteen 322 tarkempaa rakennetta. Kuvan 3b esittämässä sovelluksessa 17 yhteys 330 päätelaitteen 320 ja etäyhteyslaitteen 322 välillä on paikallinen yhteys.
Päätelaite 320 käsittää prosessointivälineet 324, jotka on järjestetty muodostamaan paikallinen yh-5 teys etäyhteyslaitteeseen 322. Fyysinen rajapinta laitteiden välillä voi olla langallinen tai langaton. Prosessointivälineet 324 on edelleen järjestetty pyytämään yhteysparametreja IP-liikennettä varten etäyh-teyslaitteelta 322, ja yhteysrajapinta 328 vastaanot-10 taa etäyhteyslaitteelta 322 yhteysparametreja vasteena tehdylle pyynnölle. Jos päätelaite 320 on huoltomiehen kannettava tietokone, siihen on asennettu ohjelma, joka muodostaa esimerkiksi PPP-yhteyden (PPP, Point to Point) etäyhteyslaitteeseen. Kannettava tietokone luu-15 lee, että etäyhteyslaite on verkkopalvelin, jolta se pyytää yhteysparametreja IP-liikennettä varten. Prosessointivälineet 324 on järjestetty hyväksymään yhteydenmuodostus päätelaitteen 320 ja etäyhteyslaitteen 322 välille ja muodostamaan selainyhteys etäyhteys-20 laitteeseen 322 valitsemalla ennalta määrätty verkko-osoite.
Vaikka etäyhteyslaite 322 näkyy päätelaitteelle 320 palvelimena, etäyhteyslaite 322 ei kuitenkaan osaa reitittää IP-paketteja. Tämän vuoksi pääte-25 laite 320 ei pääse kytkeytymään paikallisverkkoon, jossa etäyhteyslaite 322 on mahdollisesti kiinni.
Etäyhteyslaite 322 käsittää yhteysrajapinnan 332, joka on järjestetty vastaanottamaan yhteydenmuo-dostuspyynnön ja yhteysparametripyynnön IP-liikennettä 30 varten päätelaitteelta 320. Yhteysrajapinta 332 on edelleen järjestetty lähettämään yhteysparametreja päätelaitteelle 320 vasteena vastaanotetulle pyynnölle. Prosessointivälineet 336 on järjestetty hyväksymään yhteydenmuodostus etäyhteyslaitteen 322 ja pääte-35 laitteen välille 320, ja yhteysrajapinta 332 on jär jestetty vastaanottamaan päätelaitteelta 320 selainyh- 18 teyden muodostuspyynnön ennalta määrättyyn verkko-osoitteeseen .
Prosessointivälineet 306, 314, 324, 336 kä sittävät esimerkiksi prosessorin ja siihen liitetyn 5 muistin. Muisti voi viitata yksittäiseen muistiin tai muistialueeseen tai muisteihin tai muistialueisiin, jotka voivat sisältää RAM-muistia (Random Access Memory), ROM-muistia (Read-Only Memory) jne. Muisti voi lisäksi käsittää muita sovelluksia tai ohjelmistokom-10 ponentteja, joita ei tässä kuvata tarkemmin. Muisti voi lisäksi sisältää tietokoneohjelman (tai sen osan), joka suoritettuna prosessorissa suorittaa ainakin osan keksinnössä esitetyistä menetelmävaiheista. Prosessori voi lisäksi sisältää muistin, joka voi sisältää tieto-15 koneohjelman (tai sen osan), joka suoritettuna prosessorissa suorittaa ainakin osan keksinnössä esitetyistä menetelmävaiheista.
Keksintöä ei rajata pelkästään edellä esitettyjä sovellusesimerkkejä koskevaksi, vaan monet muun-20 nokset ovat mahdollisia pysyttäessä patenttivaatimusten määrittelemän keksinnöllisen ajatuksen puitteissa.

Claims (38)

19
1. Menetelmä etähallintayhteyden muodostamiseksi etäyhteyslaitteeseen, tunnettu siitä, että menetelmä edelleen 5 käsittää vaiheet: vastaanotetaan välityslaitteella ensimmäiseltä päätelaitteelta elektroninen viesti, joka sisältää viitteen laitteeseen, johon etähallintayhteys halutaan muodostaa; 10 lähetetään välityslaitteelta ensimmäiselle pääte laitteelle vastausviesti, joka sisältää kirjautumissa-lasanan etäyhteyslaitteeseen; ja lähetetään välityslaitteella etäyhteyslaitteelle ohjausviesti, joka sisältää viitteen ainakin yhteen 15 avattavaan sovellusporttiin etäyhteyslaitteessa ja mainitun kirjautumissalasanan.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheet: 20 määritetään elektronisesta viestistä viestin lä hettäjän tunnistetieto; ja estetään vastausviestin lähettäminen ensimmäiselle päätelaitteelle, jos välityslaitteeseen ei ole ennalta tallennettu elektronisen viestin lähettäjän tunniste-25 tietoa.
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu siitä, että elektronisen viestin lähettäjän tunnistetieto on matkaviestinverkon lyhytsanoman lähettäjätunniste.
4. Jonkin aikaisemman patenttivaatimuksen 1 - 3 mukainen menetelmä, tunnettu siitä, että mainittu elektroninen viesti käsittää tiedon avattavasta ainakin yhdestä sovellusportista.
5. Jonkin aikaisemman patenttivaatimuksen 1 -35 4 mukainen menetelmä, tunnettu siitä, että mai nittu vastausviesti käsittää viitteen ainakin yhteen 20 avattavaan sovellusporttiin ja/tai etäyhteyslaitteen osoitteen.
6. Jonkin aikaisemman patenttivaatimuksen 1 - 5 mukainen menetelmä, tunnettu siitä, että mai-5 nittu vastausviesti ja/tai ohjausviesti käsittää ainakin yhden muutossalasanan.
7. Jonkin aikaisemman patenttivaatimuksen 1 - 6 mukainen menetelmä, tunnettu siitä, että mainittu avattava sovellusportti on ennalta määrätty TCP- 10 portti.
8. Jonkin aikaisemman patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää vaiheet: määritetään mainitusta elektronisesta viestistä 15 viestin lähettäjän tunnistetieto; ja muodostetaan vastausviestin sisältö ensimmäiselle päätelaitteelle vasteena mainitun elektronisen viestin lähettäjän tunnistamiselle.
9. Tietokoneohjelma etähallintayhteyden muo-20 dostamiseksi etäyhteyslaitteeseen, tunnettu siitä, että tietokoneohjelma on järjestetty suorittamaan patenttivaatimuksissa 1-8 esitetty menetelmä.
10. Menetelmä etähallintayhteyden muodostamiseksi etäyhteyslaitteeseen, 25 tunnettu siitä, että menetelmä edelleen kä sittää vaiheet: vastaanotetaan välityslaitteelta ohjausviesti, joka sisältää viitteen ainakin yhteen avattavaan sovellusporttiin ja kirjautumissalasanan; 30 avataan mainittu ainakin yksi sovellusportti en nalta määrätyksi ajanjaksoksi; vastaanotetaan toiselta päätelaitteelta yhteydenmuodostus mainitun ennalta määrätyn ajanjakson aikana mainittuun ainakin yhteen sovellusporttiin; 35 pyydetään toiselta päätelaitteelta kirjautumissa- lasanaa; ja 21 hyväksytään yhteydenmuodostus, mikäli toiselta päätelaitteelta saatu kirjautumissalasana vastaa väli-tyslaitteelta ohjausviestissä saatua kirjautumissa-lasanaa.
11. Patenttivaatimuksen 10 mukainen menetel mä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: suljetaan mainittu sovellusportti, mikäli mainittu ennalta määrätty ajanjakso umpeutuu.
12. Patenttivaatimuksen 10 mukainen menetel mä, tunnettu siitä, että menetelmä edelleen käsittää vaiheen: suljetaan mainittu sovellusportti, mikäli toisen päätelaitteen antama kirjautumissalasana on virheelli- 15 nen.
13. Jonkin aikaisemman patenttivaatimuksen 10 12 mukainen menetelmä, tunnettu siitä, että mainittu ohjausviesti käsittää ainakin yhden muutossa-lasanan.
14. Patenttivaatimuksen 13 mukainen menetel mä, tunnettu siitä, että menetelmä edelleen käsittää vaiheet: vastaanotetaan toiselta päätelaitteelta muodostetun etähallintayhteyden kautta etähallintakomentoja; 25 pyydetään toiselta päätelaitteelta muutossalasanaa annettujen etähallintakomentojen toimeenpanemiseksi; ja suoritetaan etähallintakomennot lopullisesti vasta, kun on vastaanotettu toiselta päätelaitteelta muu- 30 tossalasana, joka vastaa etäyhteyslaitteen aiemmin vä-lityslaitteelta vastaanottamaa muutossalasanaa.
15. Tietokoneohjelma etähallintayhteyden muodostamiseksi etäyhteyslaitteeseen, tunnettu siitä, että tietokoneohjelma on järjestetty suorittamaan 35 patenttivaatimuksissa 10 - 14 esitetty menetelmä.
16. Menetelmä hallintayhteyden muodostamiseksi hallittavaan laitteeseen, 22 tunnettu siitä, että menetelmä edelleen käsittää vaiheet: muodostetaan paikallinen sarjaliikenneyhteys ensimmäisestä päätelaitteesta hallittavaan laitteeseen; 5 pyydetään sarjaliikenneyhteydellä ensimmäisellä päätelaitteella yhteysparametreja IP-liikennettä varten hallittavalta laitteelta samalla tavalla kuin tapauksessa, jossa hallittava laite toimisi verkkopalvelimena; 10 vastaanotetaan sarjaliikenneyhteydellä ensimmäi sellä päätelaitteella hallittavalta päätelaitteelta yhteysparametreja vasteena tehdylle pyynnölle; hyväksytään yhteydenmuodostus ensimmäisen päätelaitteen ja hallittavan päätelaitteen välille; ja 15 muodostetaan selainyhteys ensimmäisestä päätelait teesta hallittavaan laitteeseen valitsemalla ennalta määrätty verkko-osoite.
17. Tietokoneohjelma hallintayhteyden muodostamiseksi hallittavaan laitteeseen, tunnettu sii- 20 tä, että tietokoneohjelma on järjestetty suorittamaan patenttivaatimuksessa 16 esitetty menetelmä.
18. Menetelmä hallintayhteyden muodostamiseksi hallittavaan laitteeseen, tunnettu siitä, että menetelmä edelleen 25 käsittää vaiheet: vastaanotetaan paikallisella sarjaliikenneyhteydellä yhteydenmuodostuspyyntö hallittavaan laitteeseen ensimmäiseltä päätelaitteelta; vastaanotetaan sarjaliikenneyhteydellä hallitta-30 valla päätelaitteella ensimmäiseltä päätelaitteelta yhteysparametripyyntö IP-liikennettä varten samalla tavalla kuin tapauksessa, jossa hallittava laite toimisi verkkopalvelimena; lähetetään hallittavalta päätelaitteelta yhteyspa-35 rametreja sarjaliikenneyhteydellä ensimmäiselle pääte laitteelle vasteena vastaanotetulle pyynnölle; 23 hyväksytään yhteydenmuodostus ensimmäisen päätelaitteen ja hallittavan päätelaitteen välille; ja vastaanotetaan hallittavalla päätelaitteella ensimmäiseltä päätelaitteelta selainyhteyden muodostus-5 pyyntö ennalta määrättyyn verkko-osoitteeseen.
19. Tietokoneohjelma hallintayhteyden muodostamiseksi hallittavaan laitteeseen, tunnettu siitä, että tietokoneohjelma on järjestetty suorittamaan patenttivaatimuksessa 18 esitetty menetelmä. 10 20. Välityslaite etähallintayhteyden muodos tamiseksi etäyhteyslaitteeseen (304), tunnettu siitä, että välityslaite (302) käsittää: vastaanottovälineet (310), jotka on järjestetty 15 vastaanottamaan ensimmäiseltä päätelaitteelta (110) elektronisen viestin, joka sisältää viitteen laitteeseen (304), johon etähallintayhteys halutaan muodostaa; lähetysvälineet (310), jotka on järjestetty lähet-20 tämään ensimmäiselle päätelaitteelle (110) vastaus viestin, joka sisältää kirjautumissalasanan etäyhteys-laitteeseen (304); ja lähetysvälineet (310), jotka on järjestetty lähettämään etäyhteyslaitteelle (304) ohjausviestin, joka 25 sisältää viitteen ainakin yhteen avattavaan sovellu- sporttiin etäyhteyslaitteessa (304) ja mainitun kir-j autumissalasanan.
21. Patenttivaatimuksen 20 mukainen välitys-laite, tunnettu siitä, että välityslaite (302) 30 edelleen käsittää: prosessointivälineet (306), jotka on järjestetty määrittämään elektronisesta viestistä viestin lähettäjän tunnistetieto; ja prosessointivälineet (306), jotka on järjestetty 35 estämään vastausviestin lähettäminen ensimmäiselle päätelaitteelle (110), jos välityslaitteeseen (302) ei 24 ole ennalta tallennettu elektronisen viestin lähettäjän tunnistetietoa.
22. Patenttivaatimuksen 20 tai 21 mukainen välityslaite, tunnettu siitä, että elektronisen 5 viestin lähettäjän tunnistetieto on matkaviestinverkon lyhytsanoman lähettäjätunniste.
23. Jonkin aikaisemman patenttivaatimuksen 20 - 22 mukainen välityslaite, tunnettu siitä, että mainittu elektroninen viesti käsittää tiedon avatta- 10 vasta ainakin yhdestä sovellusportista ja/tai etäyh-teyslaitteen (304) osoitteen.
24. Jonkin aikaisemman patenttivaatimuksen 20 - 23 mukainen välityslaite, tunnettu siitä, että mainittu vastausviesti käsittää viitteen ainakin yh- 15 teen avattavaan sovellusporttiin.
25. Jonkin aikaisemman patenttivaatimuksen 20 - 24 mukainen välityslaite, tunnettu siitä, että mainittu vastausviesti ja/tai ohjausviesti käsittää ainakin yhden muutossalasanan.
26. Jonkin aikaisemman patenttivaatimuksen 20 - 25 mukainen välityslaite, tunnettu siitä, että ohjausviestin viittaama avattava portti on ennalta määrätty TCP-portti.
27. Jonkin aikaisemman patenttivaatimuksen 20 25 - 26 mukainen välityslaite, tunnettu siitä, että välityslaite (302) käsittää: prosessointivälineet (306), jotka on järjestetty määrittämään mainitusta elektronisesta viestistä viestin lähettäjän tunnistetieto; ja 30 prosessointivälineet (306), jotka on järjestetty muodostamaan vastausviestin sisältö ensimmäiselle päätelaitteelle (110) vasteena mainitun elektronisen viestin lähettäjän tunnistamiselle.
28. Etäyhteyslaite etäyhteydenmuodostuksen 35 vastaanottamiseksi, tunnettu siitä, että etäyhteyslaite (304) käsittää : 25 vastaanottovälineet (312), jotka on järjestetty vastaanottamaan välityslaitteelta (302) ohjausviestin, joka sisältää viitteen ainakin yhteen avattavaan so-vellusporttiin ja kirjautumissalasanan; 5 prosessointivälineet (314), jotka on järjestetty avaamaan mainittu ainakin yksi sovellusportti ennalta määrätyksi ajanjaksoksi; vastaanottovälineet (312), jotka on järjestetty vastaanottamaan toiselta päätelaitteelta (110) yhtey- 10 denmuodostus mainitun ennalta määrätyn ajanjakson aikana mainittuun ainakin yhteen sovellusporttiin; prosessointivälineet (314), jotka on järjestetty pyytämään toiselta päätelaitteelta (110) kirjautumis-salasanaa; ja 15 prosessointivälineet (314), jotka on järjestetty hyväksymään yhteydenmuodostus, mikäli toiselta päätelaitteelta (110) saatu kirjautumissalasana vastaa välityslaitteelta (302) ohjausviestissä saatua kirjautu-missalasanaa.
29. Patenttivaatimuksen 28 mukainen etäyh- teyslaite, tunnettu siitä, että prosessointivälineet (314) on järjestetty sulkemaan mainitun sovellu-sportin, mikäli mainittu ennalta määrätty ajanjakso umpeutuu.
30. Patenttivaatimuksen 28 mukainen etäyh- teyslaite, tunnettu siitä, että prosessointivälineet (314) on järjestetty sulkemaan mainitun sovellu-sportin, mikäli toisen päätelaitteen (110) antama kir-jautumissalasana on virheellinen.
31. Jonkin aikaisemman patenttivaatimuksen 28 - 30 mukainen etäyhteyslaite, tunnettu siitä, että mainittu ohjausviesti käsittää ainakin yhden muu-tossalasanan.
32. Patenttivaatimuksen 31 mukainen etäyh- 35 teyslaite, tunnettu siitä, että etäyhteyslaite (304) käsittää: 26 vastaanottovälineet (312), jotka on järjestetty vastaanottamaan toiselta päätelaitteelta (110) muodostetun etähallintayhteyden kautta etähallintakomentoja; prosessointivälineet (314), jotka on järjestetty 5 pyytämään toiselta päätelaitteelta (110) muutossalasa-naa annettujen etähallintakomentojen toimeenpanemiseksi; ja prosessointivälineet (314), jotka on järjestetty suorittamaan etähallintakomennot lopullisesti vasta, 10 kun on vastaanotettu toiselta päätelaitteelta (110) muutossalasana, joka vastaa etäyhteyslaitteen (304) aiemmin välityslaitteelta (302) vastaanottamaa muutos-salasanaa .
33. Päätelaite etähallintayhteyden muodosta- 15 miseksi etäyhteyslaitteeseen (322), tunnettu siitä, että päätelaite (320) käsittää: prosessointivälineet (324), jotka on järjestetty muodostamaan paikallinen sarjaliikenneyhteys etäyh-20 teyslaitteeseen (322); prosessointivälineet (324), jotka on järjestetty sarjaliikenneyhteydellä pyytämään yhteysparametreja IP-liikennettä varten etäyhteyslaitteelta (322); vastaanottovälineet (328), jotka on järjestetty 25 vastaanottamaan sarjaliikenneyhteydellä etäyhteyslait teelta (322) yhteysparametreja vasteena tehdylle pyynnölle; prosessointivälineet (324), jotka on järjestetty hyväksymään yhteydenmuodostus päätelaitteen (320) ja 30 etäyhteyslaitteen (322) välille; ja prosessointivälineet (324), jotka on järjestetty muodostamaan selainyhteys etäyhteyslaitteeseen (322) valitsemalla ennalta määrätty verkko-osoite.
34. Patenttivaatimuksen 33 mukainen päätelai- 35 te, tunnettu siitä, että prosessointivälineet (324) on järjestetty muodostamaan paikallinen yhteys 27 etäyhteyslaitteeseen (322) langattoman yhteysrajapin-nan kautta.
35. Patenttivaatimuksen 33 mukainen päätelaite, tunnettu siitä, että prosessointivälineet 5 (324) on järjestetty muodostamaan paikallinen yhteys etäyhteyslaitteeseen (322) langallisen yhteysrajapin-nan kautta.
36. Etäyhteyslaite etähallintayhteyden vastaanottamiseksi, 10 tunnettu siitä, että etäyhteyslaite (322) käsittää: vastaanottovälineet (332), jotka on järjestetty vastaanottamaan paikallisella sarjaliikenneyhteydellä yhteydenmuodostuspyynnön päätelaitteelta (320); 15 vastaanottovälineet (332), jotka on järjestetty vastaanottamaan sarjaliikenneyhteydellä päätelaitteelta (320) yhteysparametripyyntö IP-liikennettä varten; lähetysvälineet (332), jotka on järjestetty lähettämään sarjaliikenneyhteydellä yhteysparametreja pää- 20 telaitteelle (320) vasteena vastaanotetulle pyynnölle; prosessointivälineet (336), jotka on järjestetty hyväksymään yhteydenmuodostus etäyhteyslaitteen (322) ja päätelaitteen välille (320); ja vastaanottovälineet (332), jotka on järjestetty 25 vastaanottamaan päätelaitteelta (320) selainyhteyden muodostuspyyntö ennalta määrättyyn verkko- osoitteeseen .
37. Patenttivaatimuksen 36 mukainen etäyhteyslaite, tunnettu siitä, että prosessointiväli- 30 neet (336) on järjestetty muodostamaan paikallinen yh teys etäyhteyslaitteeseen (322) langattoman yhteysra-japinnan kautta.
38. Patenttivaatimuksen 36 mukainen etäyhteyslaite, tunnettu siitä, että prosessointiväli- 35 neet (336) on järjestetty muodostamaan paikallinen yh teys etäyhteyslaitteeseen (322) langallisen yhteysra-japinnan kautta. 28
FI20060050A 2006-01-19 2006-01-19 Etähallintayhteyden muodostus hallittavaan päätelaitteeseen FI120614B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI20060050A FI120614B (fi) 2006-01-19 2006-01-19 Etähallintayhteyden muodostus hallittavaan päätelaitteeseen
EP07704789A EP1982496A1 (en) 2006-01-19 2007-01-15 Set-up of a remote-control connection to a terminal device to be controlled
PCT/FI2007/000015 WO2007082989A1 (en) 2006-01-19 2007-01-15 Set-up of a remote-control connection to a terminal device to be controlled

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20060050 2006-01-19
FI20060050A FI120614B (fi) 2006-01-19 2006-01-19 Etähallintayhteyden muodostus hallittavaan päätelaitteeseen

Publications (3)

Publication Number Publication Date
FI20060050A0 FI20060050A0 (fi) 2006-01-19
FI20060050A FI20060050A (fi) 2007-07-20
FI120614B true FI120614B (fi) 2009-12-15

Family

ID=35883861

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20060050A FI120614B (fi) 2006-01-19 2006-01-19 Etähallintayhteyden muodostus hallittavaan päätelaitteeseen

Country Status (3)

Country Link
EP (1) EP1982496A1 (fi)
FI (1) FI120614B (fi)
WO (1) WO2007082989A1 (fi)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI120479B (fi) * 2007-12-05 2009-10-30 Telcont Oy Menetelmä ja päätelaite yhteyden muodostamiseksi laitteeseen
CN111625806A (zh) * 2020-05-12 2020-09-04 中国工商银行股份有限公司 一种实现远程安全键盘的系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100402094B1 (ko) * 2002-11-22 2003-10-17 알서포트 주식회사 웹과 아이콘을 이용한 원격제어 시스템
US20050021839A1 (en) * 2003-06-23 2005-01-27 Russell Thomas C. Method and apparatus for providing a selectively isolated equipment area network for machine elements with data communication therebetween and with remote sites
SE529901C2 (sv) * 2004-01-30 2007-12-27 Multicom Security Ab Anläggningssystem för övervakning

Also Published As

Publication number Publication date
EP1982496A1 (en) 2008-10-22
FI20060050A0 (fi) 2006-01-19
FI20060050A (fi) 2007-07-20
WO2007082989A1 (en) 2007-07-26

Similar Documents

Publication Publication Date Title
US7730527B2 (en) Procedure for controlling access to a source terminal network using a block mode tunnel and computer programs for its implementation
JP4829554B2 (ja) 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法
US20030051155A1 (en) State machine for accessing a stealth firewall
KR20180048711A (ko) 인터넷 가능 디바이스들과의 보안 통신
US20050277434A1 (en) Access controller
EP1632862A1 (en) Address conversion method, access control method, and device using these methods
US20060262916A1 (en) Proxy server for internet telephony
Oniga et al. Analysis, design and implementation of secure LoRaWAN sensor networks
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
EP3008935A1 (en) Mobile device authentication in heterogeneous communication networks scenario
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
Pfrang et al. Detecting and preventing replay attacks in industrial automation networks operated with profinet IO
EP1402350B1 (en) Method and system for acces in open service architecture
FI120614B (fi) Etähallintayhteyden muodostus hallittavaan päätelaitteeseen
CN111416824B (zh) 一种网络接入认证控制系统
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
US8122492B2 (en) Integration of social network information and network firewalls
CN110892695A (zh) 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品
EP3264710B1 (en) Securely transferring the authorization of connected objects
FI120226B (fi) Menetelmä päätelaitteen tunnistamiseksi ja päätelaite
KR102132490B1 (ko) 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치
JP2006352710A (ja) パケット中継装置及びプログラム
Rudraraju et al. Dynamic design and implementation of security intelligence for industry
EP2529329B1 (en) Secure procedure for accessing a network and network thus protected
Stelma Securing the Home Network

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 120614

Country of ref document: FI

MM Patent lapsed