FI125972B - Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi - Google Patents

Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi Download PDF

Info

Publication number
FI125972B
FI125972B FI20125022A FI20125022A FI125972B FI 125972 B FI125972 B FI 125972B FI 20125022 A FI20125022 A FI 20125022A FI 20125022 A FI20125022 A FI 20125022A FI 125972 B FI125972 B FI 125972B
Authority
FI
Finland
Prior art keywords
remote management
network
remote
virtual
key device
Prior art date
Application number
FI20125022A
Other languages
English (en)
Swedish (sv)
Other versions
FI20125022A (fi
Inventor
Veikko Ylimartimo
Original Assignee
Tosibox Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FI20125022A priority Critical patent/FI125972B/fi
Application filed by Tosibox Oy filed Critical Tosibox Oy
Priority to AU2013208840A priority patent/AU2013208840B2/en
Priority to MX2014008449A priority patent/MX338045B/es
Priority to PCT/FI2013/050011 priority patent/WO2013104823A2/en
Priority to KR1020147022279A priority patent/KR101519520B1/ko
Priority to EP13735938.6A priority patent/EP2803177B1/en
Priority to CN201380012759.5A priority patent/CN104160677B/zh
Priority to PL13735938T priority patent/PL2803177T3/pl
Priority to CA2860680A priority patent/CA2860680C/en
Priority to ES13735938.6T priority patent/ES2618953T3/es
Priority to DK13735938.6T priority patent/DK2803177T3/en
Priority to US14/370,872 priority patent/US9900178B2/en
Priority to RU2014131719/08A priority patent/RU2584752C2/ru
Priority to JP2014550741A priority patent/JP5763849B2/ja
Priority to BR112014016909A priority patent/BR112014016909A8/pt
Publication of FI20125022A publication Critical patent/FI20125022A/fi
Application granted granted Critical
Publication of FI125972B publication Critical patent/FI125972B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2567NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi
Keksinnön kohteena on menetelmä kiinteistön etähallittavien toimilaitteiden vaatiman tiedonsiirtoverkon aikaansaamiseksi.
Kiinteistöihin ja koteihin on enenevässä määrin asennettu etäohjattavia laitteita ja järjestelmiä. Järjestelmien tarkoituksena on varmentaa ja/tai ylläpitää kiinteistöissä sellaiset olosuhteet, että niissä asuminen on sekä turvallista että mukavaa. Etäohjattavien tai etäseurattavien laitteiden kirjo on laaja. Samassa kiinteistössä voi olla lukuisien toimittajien laitteita. Usein nämä laitteet eivät suoraan kykene kommunikoimaan keskenään. Tavanomaista on myös se, että jokaisella järjestelmällä on toimintalogiikkansa, jonka etäohjaus vaatii tietynlaisen tietoliikenneratkaisun käyttämistä.
Talotekniikan toimittajat ovat viime aikoina alkaneet ratkaista ongelmaa hyvin yleisesti tilaamalla operaattorilta asiakaskohteeseen oman, erikseen maksavan ja tietyt kohdekohtaiset sovitut ominaisuudet sisältävän, erikseen ylläpidettävän lisä-liittymän joko puhelinverkon tai laajakaistaverkon kautta, joka laajakaistaverkko voi olla kiinteä tai langaton 2G/3G-verkon laajakaistaliittymä. Tämän ovat useimmat toimijat todenneet itselleen tällä hetkellä helpoimmaksi toimintatavaksi, vaikka siihen sisältyy useita ongelmakohtia.
Jos kohteeseen hankitaan uusi lisäliittymä, niin usein tietoliikenneasioista on sovittava erikseen paikallisen sisäverkon ylläpitäjän (engl. Administrator) kanssa. Sisäverkon ylläpitäjä joutuu todennäköisesti tekemään yhteydelle lisäverkkomääri-tyksiä, jotta etäyhteyden muodostaminen onnistuisi.
Kohteen etäkäyttö voidaan yrittää ratkaista myös sovelluskohtaisella ratkaisulla. Tällöin laitetoimittaja voi ostaa operaattorilta oman radioverkon ja muodostaa siihen yksityisen yhteyspisteen nimen (APN; Access Point Name), joka määrittää GPRS- (General Packet Radio Service) ja HSDPA- (High Speed Downlink Packet Access) /HSUPA- (High Speed Uplink Packet Access) verkoissa dataliikennease-tukset. APN-asetuksia käyttäen tarjotaan Internet-liittymä langattoman 2G/3G/4G-verkon kautta kohteessa oleviin laitteisiin. Tällaisissa tapauksissa käyttäjä joutuu maksamaan erikseen liittymästä ja sen etäkäytön mahdollistavista liityntämodee-meista ja ohjelmista. Useinkaan tällaista lisäliittymää ei voi tai saa käyttää kuin vain yhteen käyttötarkoitukseen, esimerkiksi talotekniikan toimittajan toimittamien laitteiden etäkäyttöön. Lisäksi tällaisissa liittymissä operaattorit nykyään pääsään töisesti rajoittavat datasiirron maksimimäärää, joka ylittyessään voi aiheuttaa liittymän omistajalle isojakin lisälaskuja.
Taloyhtiömuotoisissa kohteissa, joissa on useita kiinteistöjä, voidaan kiinteistöt liittää vain kiinteistöjen keskenään muodostaman sisäverkon sisällä tapahtuvaan ”etäkäyttöön”. Tällaisiin kohteisiin ei saa oikeaa etäyhteyttä, jos etäyhteyden käyttäjä on fyysisesti muualla kuin jossakin kyseisistä sisäverkon kiinteistöistä.
Patenttihakemusjulkaisussa US 2010014529 on esitetty eräs tiedonsiirtojärjestelmä VPN-yhteyden muodostamiseksi kahden mielivaltaisen päätelaitteen välillä. Julkaisun US 2010014529 mukaisessa tiedonsiirtojärjestelmässä voidaan VPN-tunnelin muodostus aina aloittaa yhden verkkopäätelaitteen verkkopäätelaitteiden osoitetietoja hallinnoivalle palvelimelle esittämän yhteydenmuodostuspyynnön jälkeen. Tämä mahdollista verkkopäätelaitteille mahdollisuuden pyytää VPN-tunnelin muodostusta mielivaltaisen (arbitrary) toisen verkkopäätelaitteen kanssa.
Patenttihakemusjulkaisussa US 7590074 on esitetty toinen menetelmä ja tiedon-siirtojärjestely, joita hyödyntäen saadaan muodostettua VPN-tunneli kahden palvelimen tai verkkoyhdys-käytävän välille. Myös julkaisun US 7590074 mukaisessa menetelmässä ja tiedonsiirtojärjestelmässä voidaan VPN-tunneli muodostaa vain yhden palvelimen kuvattua järjestelmää hallinnoivalle palvelimelle esittämän yhteydenmuodostuspyynnön jälkeen.
Keksinnön tarkoituksena on tuoda esiin uusi kiinteistössä olevien teknisten laitteiden etähallintajärjestelyn vaatima salattu tiedonsiirtojärjestely, jossa kiinteistöjen ja kotien jo olemassa olevaa Internet-liittymää hyödynnetään sellaisenaan talotekniikan ja -valvonnan etäkäytössä. Keksinnön mukaisella tietoliikenneyhteyden luontimenetelmällä kiinteistössä oleva kohdeliittymä muutetaan etäkäyttöön sellaisenaan sopivaksi. Kohteessa olevan tietoverkkoliittymän ja kohteessa olevan sisäverkon jo olemassa olevia toimintoja ei muuteta.
Keksinnön tavoitteet saavutetaan tiedonsiirtoyhteyden luontimenettelyllä, jossa kiinteistössä oleva kiinteästi asennettu etähallintalaite ja kiinteistön seurantaa toteuttavalla henkilöllä oleva etähallinta-avainlaite muodostavat Internetin yli suojatun kaksisuuntaisen yhteyden keksinnön mukaiselta etähallintapalvelimelta saamiensa yhteystietojen perusteella. Kiinteistössä oleva etähallintalaite, johon on kytketty kiinteistössä olevat etäohjattavat tai -seurattavat laitteet, kytketään kiinteistössä olevaan tietoverkkoliittymälaitteeseen/verkkopäätteeseen, esimerkiksi modeemiin.
Keksintöön liittyvässä etähallintapalvelimessa pidetään yllä etähallintalaitteen ja etähallinta-avainlaitteen ajantasaisia IP-osoitteita, joita käytetään hyväksi yhteyden muodostamiseksi mainittujen laitteiden välille. Keksinnön mukaisten yhtey-denmuodostusmenetelmien ansiosta kumpikin mainituista laiteista voi olla kytkettynä johonkin yksityiseen (privaattiin), ei-julkiseen verkkoon, ja ne voivat silti muodostaa keskenään salatun tiedonsiirtoyhteyden Internetin yli. Edullisesti mobiilin etähallinta-avainlaitteen ja kiinteästi asennetun etähallintalaitteen välisen tiedonsiirtoyhteyden Internetin yli muodostumiseen riittää se, että mainitut laitteet saavat muodostettavan yhteyden jossain vaiheessa myös julkisen IP-osoitteen, vaikka samanaikaisesti etähallintalaiteella ja etähallinta-avainlaiteella olisi käytössään vain ei-julkiset IP-osoitteet. Eräässä keksinnön edullisessa suoritusmuodossa etähallintapalvelin ei osallistu varsinaisen tiedonsiirtoyhteyden luontiin sen jälkeen, kun se on lähettänyt laitteiden IP-osoitteet laitteiden käytettäviksi.
Keksinnön mukaisessa kiinteistön etähallintajärjestelmässä hyödynnettävän tiedonsiirtoyhteyden luontimenetelmän etuna on, että molemmat etähallintalaiteparin laiteet osaavat tutkia reitityksensä sijoituspaikastaan kiinteistön Internetiin kytkevän laitteen IP-osoitteeseen ja tallentaa tutkimansa reitin erilliselle Internetissä olevalle laiteparien tunnistus-ja IP-osoitteen etähallintapalvelimelle.
Lisäksi keksinnön etuna on, että jokainen keksinnön mukainen etähallintalaitepari muodostaa omatoimisesti keskenään ennalta määrätyn uniikin laiteparin tai laite-ryhmän, jotka tunnistavat luotavassa tietoliikenneverkossa toisensa. Tunnistusmenetelmän ansiosta käyttäjän mukana kulkeva etähallinta-avainlaite tai johonkin tiedonkäsittelylaitteeseen asennettu, etähallinta-avainlaitteen toiminnot toteuttava tietokoneohjelma avaa verkkoyhteyden vain ja ainoastaan oman, uniikin etähallintalaiteparin kanssa, ja millään toisella verkkolaitteella ei yhteyttä saa muodostettua.
Lisäksi keksinnön etuna on, että keksinnön mukainen etähallintajärjestelmän lai-tepari kykenee omatoimisesti muodostamaan etähallintapalvelimen osoitetietojen avulla keskenään suoran kaksisuuntaisen suojatun OSI-mallin (Open Systems Interconnection Reference Model) mukaisen siirtokerrostasoisen (engl. Layer 2) tai myös verkkokerrostasoisen (engl. Layer 3) tiedonsiirtoyhteyden palvelevien paikallisverkkojen laitteiden ja Internetin läpi virtuaalisen erillisverkon (VPN; Virtual Private Network).
Lisäksi keksinnön etuna on, että etähallintalaitepari voi muodostaa keskenään salatun tiedonsiirtoyhteyden myös sellaisten palomuurien läpi, jotka muuttavat satunnaisesti joko lähde- tai kohdeporttejaan.
Keksinnön mukaiselle virtuaalisen erillisverkon luontimenetelmälle kahden etähal-lintajärjestelmän verkkopäätteen välille on tunnusomaista, että - sekä ensimmäinen verkkopääte että toinen verkkopääte, jotka muodostavat ennalta määritetyn verkkopääteparin, jonka kummankin osapuolen muistiin on tallennettu verkkopääteparin toisen osapuolen laitetunnistuskoodi, joilla laitetunnis-tuskoodeilla osapuolet on rajattu liikennöimään vain keskenään, lähettävät aika ajoin etähallintapalvelimelle kiertokyselyn, jossa kysytään, onko laitepariin kuuluva toinen laite kytkeytynyt tiedonsiirtoverkkoon, ja jos on, niin silloin - sekä ensimmäinen verkkopääte että toinen verkkopääte ottavat yhteyden etä-hallintapalvelimeen virtuaalisen erillisverkon luomiseksi ja pyytävät etähallintapal-velimelta reititystiedot päästä-päähän-tiedonsiirtoyhteyden muodostamiseksi mainittujen verkkopäätteiden välille - etähallintapalvelin lähettää sekä ensimmäiselle verkkopäätteelle että toiselle verkkopäätteelle pyydetyt reititystiedot tarkistettuaan, että verkkopäätteet ovat ennalta määritetty verkkopäätepari, ja että -sekä ensimmäinen verkkopääte että toinen verkkopääte käynnistävät useilla tuntemillaan virtuaalisen erillisverkon muodostusmenetelmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon aikaansaamiseksi.
Keksinnön mukaiselle virtuaaliseen erillisverkkoon liitettävälle etähallinta-avainlaitteelle on tunnusomaista, että siihen voi kuulua prosessori, muisti ja siihen tallennettu tietokoneohjelmakoodi, jotka on järjestetty - lähettämään aika ajoin etähallintapalvelimelle kiertokyselyn, jossa kysytään, onko etähallinta-avainlaiteen verkkopäätepariksi ennalta määritetty etähallintalaite, jonka laitetunnistekoodi on tallennettu etähallinta-avainlaitteen muistiin, jolla laite-tunnistuskoodilla etähallinta-avainlaite on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallintalaitteeseen, kytkeytynyt tiedonsiirtoverkkoon, ja jos on, niin silloin -ottamaan yhteyden etähallintapalvelimeen ja pyytämään etähallintapalvelimelta etähallintalaitteen reititystiedot virtuaalisen erillisverkon luomiseksi etähallintalait-teeseen -vastaanottamaan etähallintapalvelimelta etähallintalaitteen reititystiedot ja -käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muodostusmene-telmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon aikaansaamiseksi etähallintalaitteen kanssa.
Keksinnön mukaiselle kiinteistössä olevalle ja virtuaaliseen erillisverkkoon liitettävälle etähallintalaitteelle on tunnusomaista, että sen prosessori, muisti ja siihen tallennettu tietokoneohjelmakoodi on järjestetty - lähettämään aika ajoin etähallintapalvelimelle kiertokyselyn, jossa kysytään, onko etähallintalaitteen verkkopäätepariksi ennalta määritetty etähallinta-avainlaite, jonka laitetunnistuskoodi on tallennettu etähallintalaitteen muistiin, jolla laitetun-nistuskoodilla etähallintalaite on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallinta-avainlaitteeseen, kytkeytynyt tiedonsiirtoverkkoon, ja jos on, -ottamaan yhteyden etähallintapalvelimeen ja pyytämään etähallintapalvelimelta etähallinta-avainlaitteen reititystiedot virtuaalisen erillisverkon luomiseksi etähallinta-avainlaitteeseen -vastaanottamaan etähallintapalvelimelta etähallinta-avainlaitteen reititystiedot ja -käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muodostusmene-telmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon aikaansaamiseksi etähallinta-avainlaitteen kanssa.
Keksinnön mukaiselle etähallintapalvelimelle on tunnusomaista, että sen prosessori, muisti ja siihen tallennettu tietokoneohjelmakoodi on järjestetty -tarkastamaan verkkopääteparin laitetunnistustiedoista, mikä on reititystieto-kyselyn tehneen ensimmäisen verkkopäätteen ennalta määritettynä verkkopääte-parina toimiva toinen verkkopääte, jonka kanssa ensimmäiselle verkkopäätteelle liikennöinti on ainoastaan sallittua - lähettämään verkkopääteparin reititystiedot tarkistuksen jälkeen sekä ensimmäiselle verkkopäätteelle että toiselle verkkopäätteelle, jos molemmat ovat kytkeytyneenä tiedonsiirtoverkkoon -vastaanottamaan verkkopääteparin yhteydessä käytössä olevat verkkoavaruus-tiedot ja lähettämään sallitun verkkoavaruustiedon etähallintalaitteelle sekä - katkaisemaan tiedonsiirtoyhteys verkkopäätepariin, kun ainakin yksi suora virtuaalinen erillisverkko verkkopäätelaiteparin välille on saatu luotua.
Keksinnön mukaiselle etähallinta-avainlaitteessa hyödynnettävälle tietokoneohjelmalle on tunnusomaista, että se käsittää - koodivälineet lähettämään aika ajoin etähallintapalvelimelle kiertokyselyn, jossa kysytään, onko etähallintalaite, jonka laitetunnistuskoodi on tallennettu etähallin-ta-avainlaitteen muistiin, jolla laitetunnistuskoodilla etähallinta-avainlaite on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallintalaitteeseen, jonka kanssa etähallinta-avainlaite täten muodostaa ennalta määritetyn verkkopääteparin, kytkeytynyt tiedonsiirtoverkkoon, ja jos on, niin silloin - koodivälineet ottamaan yhteyden etähallintapalvelimeen ja pyytämään etähallin-tapalvelimelta etähallintalaitteen reititystiedot virtuaalisen erillisverkon luomiseksi etähallintalaitteeseen -koodivälineet vastaanottamaan etähallintapalvelimelta etähallintalaitteen reititystiedot ja - koodivälineet käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muo-dostusmenetelmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon aikaansaamiseksi etähallintalaitteen kanssa.
Keksinnön mukaiselle etähallintalaitteessa hyödynnettävälle tietokoneohjelmalle on tunnusomaista, että se käsittää -koodivälineet lähettämään aika ajoin etähallintapalvelimelle kiertokyselyn, jossa kysytään, onko etähallinta-avainlaite, jonka laitetunnistuskoodi on tallennettu etähallintalaitteen muistiin, jolla laitetunnistuskoodilla etähallintalaite on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallinta-avainlaitteeseen, jonka kanssa etähallintalaite täten muodostaa ennalta määritetyn verkkopääteparin, kytkeytynyt tiedonsiirtoverkkoon, ja jos on, - koodivälineet ottamaan yhteyden etähallintapalvelimeen ja pyytämään etähallintapalvelimelta etähallinta-avainlaitteen reititystiedot virtuaalisen erillisverkon luomiseksi etähallinta-avainlaitteeseen - koodivälineet vastaanottamaan etähallintapalvelimelta etähallinta-avainlaitteen reititystiedot ja - koodivälineet käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muo-dostusmenetelmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon aikaansaamiseksi etähallinta-avainlaitteen kanssa.
Keksinnön eräitä edullisia suoritusmuotoja on esitetty epäitsenäisissä patenttivaatimuksissa.
Keksinnön perusajatus on seuraava: Etähallinnan toteuttamiseksi jossakin kiinteistössä on valmistettu laitepari, etähallintalaite ja etähallinta-avain(laite), jossa ainakin yksi etähallintalaite ja ainakin yksi etähallinta-avain(laite) voivat muodostaa salatun tiedonsiirtoyhteyden ainoastaan toistensa kanssa. Mainittu etähallinta-avain(laite) voi olla joko erillinen tätä tarkoitusta varten valmistettu elektroninen laite tai myös jokin tiedonkäsittelylaite, johon on asennettu etähallinta-avainlaitetoiminnot toteuttava keksinnön mukainen tietokoneohjelma.
Etähallittavassa kiinteistössä oleva etähallintalaite asennetaan hallittavan kiinteistön olemassa olevaan intranet-verkkoon tai Internet-verkkoon. Se muodostaa intranet- tai Internet-verkkoon yhden aliverkon, kontrolli-intranet-verkon, johon kiinteistössä hallinnoitavat erilaiset toimilaitteet kytketään joko langallisella tai langattomalla tiedonsiirtoyhteydellä.
Eräässä edullisessa keksinnön suoritusmuodossa yksittäinen tai useampi etähal-linta-avainlaite voi toimia kahden tai useamman eri kiinteistöissä olevan etähallin-talaitteen laiteparina. Etähallintalaitteen ja etähallinta-avainlaitteen tunnistuskoo-dit tallennetaan mainittuihin laitteisiin niiden valmistuksen yhteydessä, tai mainitut laitteet vaihtavat tunnistuskoodejaan, kun ne kytketään yhteen ensimmäistä kertaa esimerkiksi USB-porteistaan. Tunnistuskoodeja käyttäen muodostavat etähallintalaite ja etähallinta-avainlaite kaksisuuntaisen suojatun tiedonsiirtoyhteyden välilleen.
Käyttöönoton yhteydessä molemmat laitteet selvittävät yhteydenmuodostamisessa tarvittavat laitteiden reititystiedot sijaintiverkostaan aina Internetiin kytkettyyn verkkopäätteeseen asti. Nämä reititystiedot tallennetaan Internetiin yhteydessä olevaan keksinnön mukaiseen etähallintapalvelimeen. Kun etähallinta-avain(laite) haluaa muodostaa Internetin välityksellä tiedonsiirtoyhteyden jossain kiinteistössä olevaan laitepariinsa, niin se hakee parinaan toimivan etähallintalaitteen reititys tiedot etähallintapalvelimesta. Saamaansa reititystietoa hyödyntämällä etähallinta-avainlaite käynnistää suoran päästä-päähän-tiedonsiirtoyhteyden muodostuspro-sessin. Tässä tiedonsiirtoyhteyden muodostuksessa käytetään tarpeen mukaan soveliaita tiedonsiirtoprotokollia.
Päästä-päähän-tiedonsiirtoyhteyden muodostusta voidaan yrittää edullisesti ensimmäiseksi TCP-pohjaisena tiedonsiirtoyhteytenä tai UDP-pohjaisena tiedonsiirtoyhteytenä, mikäli laitteiden välissä olevat tiedonsiirtoverkon komponentit sen sallivat.
Jos muodostettavalla tiedonsiirtoyhteydellä on verkkokomponentteja (esim. palomuureja), jotka muuttavat lähde- ja/tai kohdeporttejaan satunnaisesti verkkohyök-käysten torjumiseksi, niin silloin päästä-päähän-tiedonsiirtoyhteyden luomista yritetään edullisesti edellisten lisäksi myös UDP-porttiskannausta käyttäen. UDP-porttiskannauksen rinnalla voidaan yrittää kaksisuuntaisten päästä-päähän-tiedonsiirtoyhteyden muodostusta myös ICMP-protokollaa käyttäen.
Mikäli suoraa päästä-päähän-tiedonsiirtoyhteyttä ei saada syystä tai toisesta luotua edellä kuvatuilla protokollilla, muodostetaan TCP-protokollapohjainen salattu tunneli keksintöön liittyvän etähallintapalvelimen kautta. Tässä suoritusmuodossa etähallintapalvelin ei avaa vastaanottamiaan salattuja viestejä vaan välittää ne suoraan vastaanottavalle laitteelle sellaisenaan. Jos tämän aikaansaadun TCP-releointiyhteyden aikana todetaan, että VPN-tiedonsiirtoyhteys olisikin muodostettavissa, niin silloin tiedonsiirto edullisesti vaihdetaan tälle toiselle kaksisuuntaiselle päästä-päähän-tiedonsiirtoyhteydelle.
Kun joko suora päästä-päähän-tiedonsiirtoyhteys tai etähallintapalvelimen kautta releoitu tiedonsiirtoyhteys on saatu luotua, on etähallinta-avainlaitteen ja kiinteistössä olevan etähallintalaitteen välille muodostettu VPN-tiedonsiirtoyhteys.
Etähallittavan kiinteistön sisäiseen tiedonsiirtoverkkoon asennetaan keksinnön mukainen etähallintalaite olemassa olevan sisäisen, kiinteistön ohjaukseen ja hallintaan liittyvän tiedonsiirtoverkon ja kiinteistöstä Internetiin liikennettä välittävän verkkopäätteen väliin. Kaikki kiinteistönhallintaan liittyvät laitteet kytketään etähallintalaitteen tuloihin ja etähallintalaitteen lähtö kytketään Internet-liikennettä välittävän verkkopäätteen sisäverkkolaitteelle tarkoitettuun tuloon.
Eräässä keksinnön mukaisessa etähallintajärjestelmässä etähallinta-avainlaite on jonkin verkkopäätteen ja soveliaan tiedonkäsittelylaitteen joko langattomasti tai kaapeliyhteyden avulla kytkettävä laite.
Eräässä toisessa keksinnön mukaisessa suoritusmuodossa etähallinta-avainlaite voidaan kytkeä johonkin tiedonkäsittelylaitteeseen, joka on kytketty Internetiin. Mahdollisia tiedonkäsittelylaitteita ovat esimerkiksi PC, tablettitietokone tai älypu-helin. Tässä suoritusmuodossa etähallinta-avainlaitteen kytkentä tiedonkäsittely-laitteeseen voidaan tehdä esimerkiksi LAN-liitännän (Local Area Network), WLAN-liitännän (Wireless LAN), WAN-liitännän (Wide Area Network), USB-liitännän (Universal Serial Bus) tai antenniliitännän avulla.
Eräässä keksinnön edullisessa suoritusmuodossa etähallinta-avainlaitteen toiminnot toteuttava tietokoneohjelma on tallennettu siirrettävälle tiedontallennusvä-lineelle, esimerkiksi USB-tikulle, josta tietokoneohjelma on installoitavissa soveliaaseen tiedonkäsittelylaitteeseen. Tiedonkäsittelylaitteeseen asennettu ohjelma simuloi kaikkia etähallinta-avainlaitteen toimintoja.
Seuraavassa keksintöä selostetaan yksityiskohtaisesti. Selostuksessa viitataan oheisiin piirustuksiin, joissa kuva 1a esittää esimerkinomaisesti, miten keksinnön mukainen kaksisuuntainen tiedonsiirtoyhteys saadaan muodostettua etähallintaa hoitavan asiakaslaitteen ja yksittäisen kiinteistön ohjaus- tai hallintalaitteen välille, kuva 1b esittää toisen keksinnön mukaisen esimerkin, jossa kaksisuuntainen tiedonsiirtoyhteys saadaan muodostettua etähallintaa hoitavan asiakaslaitteen ja yksittäisen kiinteistön ohjaus- tai hallintalaitteen välille, kuva 2 esittää esimerkinomaisena vuokaaviona, miten asiakaslaitteen ja kiinteistössä olevan laitteen välinen tiedonsiirtoyhteys luodaan, kuva 3a esittää esimerkinomaisesti kuvan 2 vaiheeseen 201 sisältyviä osavaiheita, kuva 3b esittää esimerkinomaisesti kuvan 2 vaiheeseen 206 sisältyviä tiedonsiirtoyhteyden luontivaihetta, kuva 4 esittää esimerkinomaisesti erästä keksinnön mukaista etähallinta- laitetta, kuva 5a esittää esimerkinomaisesti erästä keksinnön mukaista etähallinta- avainlaitetta, kuva 5b esittää esimerkinomaisesti erästä toista keksinnön mukaista etähallin-ta-avainlaitetta kuva 6 esittää esimerkinomaisesti erästä keksinnön mukaista etähallintapalve-linta ja kuva 7 esittää etähallintajärjestelmässä hyödynnettäviä keksinnön mukaisia yhteyskerroksia.
Seuraavassa selityksessä olevat suoritusmuodot ovat vain esimerkinomaisia, ja alan ammattilainen voi toteuttaa keksinnön perusajatuksen myös jollain muulla kuin selityksessä kuvatulla tavalla. Vaikka selityksessä voidaan viitata erääseen suoritusmuotoon tai suoritusmuotoihin useissa paikoissa, niin tämä ei merkitse sitä, että viittaus kohdistuisi vain yhteen kuvattuun suoritusmuotoon tai että kuvattu piirre olisi käyttökelpoinen vain yhdessä kuvatussa suoritusmuodossa. Kahden tai useamman suoritusmuodon yksittäiset piirteet voidaan yhdistää ja näin aikaansaada uusia keksinnön suoritusmuotoja.
Kuvat 1a ja 1b esittävät kaksi keksinnön mukaista etähallintajärjestelmän edullista suoritusmuotoa 1A ja 1B. Kuvien 1a ja 1b esimerkeissä yhdellä etähallinta-avainlaitteella 42, 42b tai ohjelmallisesti etähallinta-avainlaitteeksi muunnetulla tiedonkäsittelylaiteella 41c luodaan tiedonsiirtoyhteys yhteen jossain kiinteistössä sijaitsevaan etähallintalaitteeseen 61. Keksinnön mukainen etähallinta-avainlaite 42, 42b tai etähallinta-avainlaitteeksi muunnettu tiedonkäsittelylaite 41c voi edullisesti kuitenkin toimia myös kahdessa tai useammassa kiinteistössä olevien erillisten etähallintalaitteiden kanssa.
Molemmissa kuvien 1a ja 1b suoritusmuodoissa tiedonsiirtoverkko on perusverk-kostruktuuriItään pääosiltaan samanlainen. Molemmissa kuvissa Internet on esitetty viitteellä 2. Internetiin 2 on kytketty myös jokin julkinen verkko tai intranet, viite 3. Verkko 3 voi olla kiinteä tai langaton tiedonsiirtoverkko. Kuvassa 1a verkkoon 3 liittyy ensimmäinen tiedonsiirtoverkko 4, kiinteistön etähallintaverkko, johon on kytkettävissä etähallintaa suorittava asiakaslaite, viite 41a. Kuvassa 1b etähallinta-avainlaite 42b on kytketty tiedonkäsittelylaitteeseen 41c, joka puolestaan on kytketty julkiseen verkkoon/intranet-verkkoon 3.
Kun etähallintalaite 61 tai etähallinta-avainlaite 42, 42b on kytketty omaan paikalliseen tiedonsiirtoverkkoonsa, niin se aika ajoin lähettää kiertokyselyn (ns. polla-us) etähallintajärjestelmään kuuluvalle etähallintapalvelimelle 21, jotta se saisi selville sen, onko oma vastinlaitepari kytkettynä verkkoon vai ei. Jos etähallinta- palvelimen 21 lähettämästä vastauksesta ilmenee, että vastinlaitepari on kytkeytyneenä omaan tiedonsiirtoverkkoonsa, niin molemmat laiteparin osapuolet käynnistävät VPN-tiedonsiirtoyhteyden luomisen jäljempänä kuvatuilla menettelyillä.
Etähallittavassa kiinteistössä olevaa koti-intranetiä on kuvissa 1a ja 1b merkitty viitteellä 5. Koti-intranet-verkkoon 5 on kytketty toinen tiedonsiirtoverkko 6, koti-kontrolli-intranet. Kiinteistössä olevat etähallittavat toimilaitteet 62-65 on kytketty kotikontrolli-intranetiin.
Alan ammattilaiselle on ilmeistä, että keksinnön mukaisen etähallintalaitteen 61 ja/tai etähallinta-avainlaitteen 42, 42b tai 41c ja Internetin 2 välillä voi olla myös useampia aliverkkoja kuin mitä kuvissa 1a ja 1b on esitetty.
Kuvien 1a ja 1b esimerkeissä keksinnön mukainen toinen verkkopääte, etähallin-talaite 61 (HCND; Home Control Network Device), on liitetty koti-intranet-verkkoon 10.0. 0.0.24, viite 5. Koti-intranet-verkko 5 on yhdistetty Internetiin 2 verkkopäätteellä 51. Verkkopääte 51 voi olla reititin, modeemi tai palomuuri, joka voi sisältää myös verkko-osoitteen muuntimen NAT (Network Address Translator). Kuvien 1a ja 1b esimerkeissä koti-intranet 5 on NAT-toiminnon sisältävän palomuurin FW1 (FireWall), viite 51, takana. Palomuurin FW1 julkinen IP-osoite on kuvien 1a ja 1b esimerkeissä 240.1.1.2. Koti-intranetissä 5 palomuurin FW1 sisäinen IP-osoite on 10.0. 0.1. Koti-intranet-verkkoon 5 on kytketty myös kaksi esimerkinomaista muuta tiedonkäsittelylaitetta, joiden IP-osoitteet koti-intranet-verkoissa ovat 10.0.0.3 ja 10.0. 0.4.
Kotikontrolli-intranet-verkko 172.17.0.0/24 (HCI; House Control Intranet), viite 6, on kytketty koti-intranet-verkkoon 5 etähallintalaitteen 61 kautta. Etähallintalaitteen 61 IP-osoite on kotikontrolli-intranet-verkossa 172.17.0.1 ja koti-intranet-verkossa 10.0.0.2. Kuvien 1a ja 1b esimerkeissä kotikontrolli-intranetiin 6 on liitetty neljä esimerkinomaista laitetta/palvelintä 62, 63, 64 ja 65. Laitteet/palvelimet voidaan kytkeä kotikontrolli-intranetiin 6 joko kiinteällä yhteydellä tai langattomalla tiedonsiirtoyhteydellä.
Viitteellä 62 on esitetty valaistuksenohjauspalvelinta, jonka IP-osoite on kotikont-rolli-intranet-verkossa 172.17.0.5. Etäkäyttäjälle valaistuksenohjauspalvelin 62 näkyy laitteena HCND4.
Viitteellä 63 on esitetty lämmityksenohjauspalvelinta, jonka IP-osoite on kotikont-rolli-intranet-verkossa 172.17.0.4. Etäkäyttäjälle lämmityksenohjauspalvelin 63 näkyy laitteena HCND1.
Viitteellä 64 on esitetty valvontakamerapalvelinta, jonka IP-osoite on kotikontrolli-intranet-verkossa 172.17.0.3. Etäkäyttäjälle valvontakamerapalvelin 62 näkyy laitteena HCND2.
Viitteellä 65 on esitetty ilmastointipalvelintä, jonka IP-osoite on kotikontrolli-intranet-verkossa 172.17.0.2. Etäkäyttäjälle ilmastointipalvelin 65 näkyy laitteena HCND3.
Kuvan 1a esimerkissä keksinnön mukainen ensimmäinen verkkopääte, etähallin-ta-avainlaite 42 (HCNK; Home Control Network Key), on liitetty kodin etähallinta-verkkoon 172.17.0.0/24, viite 4. Kodin etähallintaverkko 4 on intranetin 3 palomuurin FW1 takana, viite 31. NAT-palomuurin 31 julkinen IP-osoite on tässä esimerkissä 240.2.1.2 ja NAT-palomuurin sisäinen IP-osoite on 10.0.1.1.
Kodin etähallintaverkko 172.17.0.0/24 (HCRN; House Control Remote Network), viite 4, on kytketty tiedonsiirtoverkkoon 3 keksinnön mukaisen etähallinta-avain-laitteen 42 kautta. Etähallinta-avainlaitteen 42 IP-osoite intranet-verkossa on 10.0.1.2. ja kodin etähallintaverkossa 172.17.0.6. Kuvien 1a ja 1b esimerkeissä kodin etähallintaverkkoon 4 on liitetty esimerkinomainen tiedonkäsittelylaite 41a, jonka IP-osoite kodin etähallintaverkossa 4 on 172.17.0.7. Tätä tiedonkäsittelylai-tetta 41a käytetään, kun halutaan etätoimintona ohjata kotikontrolli-intranet-verkkoon 6 kytkettyjä laitteita/palvelimia 62, 63, 64 tai 65.
Keksinnön mukaiset etähallinta-avainlaite 42 ja etähallintalaite 61 tarvitsevat toistensa reititystiedot, jotta ne kykenevät luomaan välilleen joko siirtokerrokseen tai verkkokerrokseen pohjautuvan, kuvien 1a ja 1b esimerkissä VPN-tiedonsiirtoyh-teyden 55 (VPN-erillisverkon). Selvittämänsä reititystiedot sekä keksinnön mukainen etähallinta-avainlaite 42 että etähallintalaite 61 tallentaa Internetissä olevaan etähallintapalvelimeen 21 (HCNS; Home Control Network Server).
Kuvan 1a esimerkissä NAT-palomuurit eivät rajoita kokonaan ulos menevää UDP-liikennettä. Ne ovat "muistillisia", ns. tilallisia NAT-palomuureja, jotka eivät myöskään vaihda UDP-yhteyksien (User Datagram Protocol) lähdeporttinumeroita ennakoimattomasti, ellei ole pakko. Kuvan 1a esimerkissä on tarkoitus luoda siirto-kerroksessa Ethernet-tason yhteys etähallinta-avainlaitteen 42 ja etähallintalait-teen 61 välille.
Kun kuvan 1a mukaisessa etähallintajärjestelmässä 1A halutaan luoda virtuaaliseen erillisverkkoon (VPN) kuuluva tiedonsiirtoyhteys 55 laitteiden välille, niin silloin molemmat laitteet 42 ja 61 noutavat etähallintapalvelimesta 21 vastapuolen laitteen sinne tallentamat reititystiedot. Etähallintapalvelin 21 tarkistaa ennen reititystietojen luovuttamista, että kyseessä on todella sallittu etähallinta-avainlaite-etähallintalaitepari. Noutamiensa reititystietojen avulla etähallinta-avainlaite 42 ja etähallintalaite 61 luovat edullisesti suoran VPN-yhteyden välilleen. Kun VPN-yhteys 55 on valmis, voi kodin etähallintaverkossa 4 oleva tiedonkäsittelylaite 41a ottaa yhteyden kotikontrolliverkossa 6 olevaan laitteeseen 62, 63, 64 tai 65.
Jotta tiedonsiirtoyhteyden muodostus on mahdollista, pitää etähallinta-avainlait-teen 42 ja etähallintalaitteen 61 määrittää verkkopolkunsa omasta verkostaan ainakin Internetiin 2 saakka. Tämä verkkopolunmääritys voidaan tehdä esimerkiksi seuraavilla tavoilla, joita etähallinta-avainlaite 42 ja etähallintalaite 61 edullisesti hyödyntävät.
Kuvan 1a esimerkissä verkkopolkujensa määritykset tekevät etähallinta-avainlaite 42 sekä etähallintalaite 61. Nämä laitteet tallentavat selville saamansa verkkopolut etähallintapalvelimelle 21, joka tallentaa ne muistiinsa.
Keksinnön mukaiset etähallinta-avainlaite 42, 42b ja etähallintalaite 61 omaavat edullisesti myös kyvyn vapaan verkkoavaruuden määritykseen. Mainitut laitteet on järjestetty määrittämään itselleen käytössä olevan verkkoavaruuden automaattisesti käyttäen hyväkseen etähallintapalvelimella 21 olevaa verkkopolkutietoa. Mainitut laitteet pyytävät etähallintapalvelinta 21 antamaan jonkin vapaana olevan verkkoavaruuden osan. Etähallintapalvelin 21 käy vastaanottamansa verkkopolut läpi ja palauttaa jonkin verkkoblokin, jonka yksikään osoite ei ole minkään sen tiedossa olevan laitteen verkkopolussa mainittuna.
Etähallintalaite 61 tarjoaa myös omissa aliverkoissaan 4 ja 6 niihin kytketyille laitteille edullisesti DHCP-ja DNS-palvelut. Lisäksi etähallinta-avainlaite 42 ja etähallintalaite 61 toimivat oletusyhdyskäytävänä aliverkkoon kytketyille laitteille.
Kuvassa 1b on esitetty toinen keksinnön mukainen etähallintajärjestelmä 1B. Kuvassa 1b käyttäjän hyödyntämä tiedonkäsittelylaite 41c on kytketty viitenumerolla 3 kuvattuun tiedonsiirtoverkkoon. Kuvan 1b suoritusmuoto poikkeaa kuvan 1a suoritusmuodosta siinä, että kuvan 1a etähallinta-avainlaiteen 42 toiminnot on korvattu asiakkaan käyttämään tiedonkäsittelylaitteeseen 41c liitettävissä olevalla USB-liitännän 42e omaavalla etähallinta-avainlaitteella 42b. Tässä suoritusmuodossa tiedonkäsittelylaite 41c ja laite 42b toimivat yhdessä etähallinta-avain-laitteena.
Eräässä toisessa keksinnön edullisessa suoritusmuodossa keksinnön mukaisen etähallinta-avainlaitteen toiminnot suorittava tietokoneohjelma asennetaan tie-donkäsittelylaitteeseen 41c. Tietokoneohjelma on edullisesti tallennettavissa tie-donkäsittelylaitteeseen 41c esimerkiksi USB-muistitikusta liittämällä USB-muistitikku tiedonkäsittelylaitteen 41c USB-porttiin. Alan ammattilaiselle on ilmeistä, että tietokoneohjelman tallennusvälineenä voidaan käyttää myös jotakin toista tekniikan tason mukaista tiedontallennusvälinettä. Tässä suoritusmuodossa tie-donkäsittelylaite 41c simuloi siihen asennetulla tietokoneohjelmalla keksinnön mukaista etähallinta-avainlaitetta.
Kuvan 1b esimerkissä kuvan 1a etähallinta-avainlaitetta 42 simuloidaan kokonaisuudessaan tai osittain käyttäjän tiedonkäsittelylaitteessa 41c. Käyttäjä ottaa tie-donkäsittelylaitteensa 41c selaimella yhteyden tähän simulointiohjelmistoon, tai vaihtoehtoisesti simulointiohjelmisto käynnistää tiedonkäsittelylaitteen 41c se-lainikkunan. Simulointi käynnistetään avaamalla tiedonkäsittelylaitteessa 41c keksinnön mukainen simulointiohjelma, joka toteuttaa fyysisen etähallinta-avainlaitteen 42 kaikki toiminnot ohjelmallisesti.
Tässä suoritusmuodossa kuvan 1a etähallinta-avainlaitteen 42 kaikki toiminnallisuudet, kommunikointi, käynnistys ja yhteydenmuodostus toteutetaan käyttäjän tiedonkäsittelylaitetta 41c hyödyntäen, jolloin yhteydenmuodostuksessa kiinteistössä olevaan laitepariin 61 ei tarvita kuvan 1a mukaista fyysisesti erillistä etähallinta-avainlaitetta 42.
Jos syystä tai toisesta edellä kuvatun suoran VPN-tunnelin luonti ei onnistu kuvissa 1a ja 1b esitettyjen etähallinta-avainlaitteen 42, 42b tai 41c ja etähallintalait-teen 61 välillä tai onnistuu satunnaisesti (esimerkiksi, jos verkon komponentit vaihtelevat satunnaisesti lähde- ja/tai kohdeportteja), voidaan etähallintajärjeste-lyissä hyödyntää kuvan 3b yhteydessä kuvattuja muita yhteydenmuodostusproto-kollia. Tässäkin tapauksessa asiakaslaitteen käyttäjän kannalta etähallintajärjes-telmä toimii samalla tavalla kuin kuvissa 1a tai 1b esitetyissä etähallintajärjestel-missä.
Seuraavaksi esimerkki keksinnön mukaisen etähallintajärjestelmän 1A toiminnasta kuvan 1a esimerkissä.
Etähallintalaite 61:
Etähallintalaite 61 liitetään 10.0.0.0/24-verkkoon (koti-intranet 5) esimerkiksi kiinnittämällä kaapeli etähallintalaitteen 61 WAN-porttiin. Etähallintalaite 61 hakee IP-asetuksensa DHCP-menettelyllä automaattisesti. DHCP-palvelimena toimii edullisesti koti-intranet-verkossa 5 oleva palomuuri FW1, joka antaa etähallintalai-teelle 61 IP-osoitteeksi 10.0.0.2 24-bittisellä verkkomaskilla (255.255.255.0). DHCP-palvelin antaa myös oletusreitittimen osoitteen 10.0.0.1 ja DNS-palvelimen osoitteen 10.0.0.1.
Etähallintalaite 61 aloittaa liikennöinnin selvittämällä DNS-palvelimen avulla etä-hallintapalvelimen 21 IP-osoitteen (HCNS, DNS-osoite etahallinta.fi). DNS-palvelin 10.0.0.1 antaa etähallintapalvelimen 21 IP-osoitteeksi 240.1.1.1.
Etähallintalaite 61 ottaa yhteyden 240.1.1.1 etähallintapalvelimeen 21 Internetin yli TCP- tai UDP-protokollalla. Etähallintalaite 61 määrittää keskinäiset toimintaoi-keudet etähallintapalvelimen 21 kanssa (engl. authenticate) valmistuksen yhteydessä määritellyillä sertifikaateilla ja/tai salasanoilla. Tämä tiedonsiirtoyhteys on edullisesti salattu esimerkiksi SSL/TLS-salauksella. Etähallintapalvelin 21 näkee sisään tulleesta yhteydestä etähallintalaiteen 61 julkisen IP-osoitteen, joka kuvan 1a esimerkissä on 240.1.1.2. Etähallintalaite 61 ilmoittaa etähallintapalvelimelle 21 oman osoitteensa ja verkkomaskinsa (10.0.0.2/24). Etähallintapalvelin 21 taltioi nämä tiedot Tosibox-tietokantaansa.
Etähallintalaite 61 suorittaa edullisesti myös traceroute-toiminnon etähallintapalvelimeen 21 päin ja ilmoittaa selville saamansa verkkopolun etähallintapalvelimelle 21. Etähallintapalvelin 21 tallentaa vastaanottamansa etähallintalaitteen 61 verkkopolun Tosibox-tietokantaansa.
Seuraavaksi etähallintalaite 61 suorittaa edullisesti myös ICMP Record Route -toiminnon ja ilmoittaa selville saamansa reitin etähallintapalvelimelle 21. Etähallintapalvelin 21 tallentaa etähallintalaitteelta 61 vastaanottamansa reitin Tosibox-tietokantaansa.
Tämän jälkeen etähallintalaite 61 suorittaa vapaan verkkoavaruuden automaattisen määrityksen lähettämällä kyselyn etähallintapalvelimelle 21. Etähallintapalvelin 21 palauttaa etähallintalaitteelle 61 kuvien 1 ja 2 esimerkeissä verkkoavaruuden 172.17.0.0/24.
Etähallintalaite 61 ottaa verkkoavaruuden käyttöön sisäverkolleen 6, ja omaksi IP-osoitteekseen etähallintalaite 61 ottaa 172.17.0.1. Etähallintalaite 61 ilmoittaa käyttöönotosta etähallintapalvelimelle 21, joka taltioi tiedon Tosibox-tietokantaansa.
Kuvissa 1a ja 1b etähallintalaite 61 on esitetty omana erillisenä laitteenaan, joka muodostaa oman aliverkkonsa kiinteistön laitteiden hallinnointiin. Alan ammattilaiselle on ilmeistä, että etähallintalaitteen 61 toiminnot voidaan integroida osaksi sellaista tietoteknistä tai taloteknistä laitetta, jossa on riittävä prosessori- ja muistikapasiteetti sekä liitäntävälineet erilaisten teknisten välineiden liittämiseksi siihen joko langallisella tiedonsiirtoyhteydellä tai langattomalla tiedonsiirtoyhteydellä.
Etähallinta-avainlaite 42:
Kuvan 1a esimerkissä etähallinta-avainlaitteen 42 WAN-portti liitetään 10.0.1.0/24 verkkoon (tiedonsiirtoverkko 3). Etähallinta-avainlaite 42 hakee IP-osoitetiedot DHCP-palvelimelta, jona toimii palomuuri FW2, viite 31. Etähallinta-avainlaite saa IP-osoitteekseen 10.0.1.2. Etähallinta-avainlaiteen 42 oletusreitittimen 31 osoite on 10.0.1.1 ja DNS-palvelimen 31 osoite on 10.0.1.1, jotka saadaan DHCP-palvelimelta.
Etähallinta-avainlaite 42 aloittaa liikennöinnin selvittämällä DNS-palvelimen avulla etähallintapalvelimen 21 (HCNS, DNS-osoite hcns.fi) IP-osoitteen. Kuvien 1 ja 2 esimerkeissä DNS-palvelin 10.0.1.1 antaa etähallintapalvelimen 21 IP-osoitteeksi 240.1.1.1.
Tämän jälkeen etähallinta-avainlaite 42 ottaa yhteyden etähallintapalvelimeen 21 osoitteeseen 240.1.1.1 Internetin yli ensisijaisesti UDP-protokollalla, toissijaisesti TCP-protokollalla. Etähallinta-avainlaite 42 määrittää keskinäiset toimintaoikeudet etähallintapalvelimen 21 kanssa ennalta jaetuilla sertifikaateilla ja/tai salasanoilla. Tiedonsiirtoyhteys on edullisesti salattu esimerkiksi SSL/TLS-salauksella. Etähal-lintapalvelin 21 näkee sisään tulleesta yhteydestä etähallinta-avainlaitteen 42 julkisen IP-osoitteen 240.2.1.2. Etähallinta-avainlaite 42 ilmoittaa lisäksi etähallinta-palvelimelle 21 oman osoitteensa ja verkkomaskinsa 10.0.1.2/24. Etähallintapal-velin 21 taltioi nämä tiedot Tosibox-tietokantaansa.
Seuraavaksi etähallinta-avainlaite 42 suorittaa traceroute-toiminnon ja raportoi selville saamansa verkkopolun etähallintapalvelimelle 21, joka taltioi tiedot Tosibox-tietokantaansa.
Edullisesti etähallinta-avainlaite 42 suorittaa myös ICMP Record Route -toiminnon ja raportoi selville saamansa verkkopolun etähallintapalvelimelle 21, joka taltioi tiedot Tosibox-tietokantaansa.
Etähallintapalvelin 21 tarkistaa saamansa reittitiedot, ja mikäli päällekkäisyyksiä ilmenee, etähallintapalvelin 21 ilmoittaa niistä etähallinta-avainlaitteelle 42, joka tarvittaessa suorittaa uudelleen vapaan verkkoavaruuden automaattisen määrityksen.
Tiedonkäsittelylaite 41c etähallinta-avainlaitteena:
Kuvan 1b mukaisessa suoritusmuodossa 1B etähallinta-avainlaite 42 on korvattavissa joko etähallinta-avainlaitteella 42b tai käyttäjän tiedonkäsittelylaitteella 41c, johon etähallinta-avainlaitteen toiminnot käsittävä tietokoneohjelma on tallennettu jostain soveliaasta tiedontallennusvälineestä esimerkiksi USB-muistitikusta. Mainittu etähallinta-avainlaite 42b voi olla edullisesti ns. USB-liitännän omaava elektroninen laite. Kuvan 1b suoritusmuodossa edellä kuvatut etähallinta-avainlaitteen 42 toiminnot suorittaa käyttäjän tiedonkäsittelylaitteeseen 41c USB-muistitikusta asennettu tietokoneohjelma.
Kuvan 1b mukaisessa suoritusmuodossa etähallinta-avainlaitteen 42b ja etähallin-talaitteen 61 paritus voidaan määrittää joko valmistuksen yhteydessä tai lopullisessa käyttökohteessa. Jos parinmääritys tehdään vasta lopullisessa käyttökohteessa, niin kuvan 1b mukaisessa suoritusmuodossa etähallinta-avainlaite 42b kytketään hetkeksi kiinni etähallintalaitteeseen 61. Liitäntä toteutetaan edullisesti joko laitteiden USB-porttien avulla tai langattoman radioverkon välityksellä.
Kytkennän kautta etähallinta-avainlaitteen 42b ja etähallintalaitteen 61 on mahdollista vastaanottaa laiteparinsa tunnistekoodi ja lähettää laiteparilleen oma tunnis-tekoodinsa. Tämän jälkeen nämä kaksi laitetta voivat muodostaa tiedonsiirtoyhteyden ainoastaan toistensa kanssa.
Etähallinta-avainlaitetietokoneohjelman siirto käyttäjän käyttöpäätteeseen 41c toteutetaan edullisesti seuraavasti.
Kun etähallinta-avainlaitetta 42b käytetään liitännästään kiinni tiedonkäsittelylait-teessa 41c, niin tällöin etähallinta-avainlaitteen 42b sisältämä tietokoneohjelma yksilöllisine tunnistekoodeineen asentuu käyttäjän tiedonkäsittelylaitteeseen 41c, viite 42e. Asennuksen yhteydessä tiedonkäsittelylaitteen 41c käyttäjältä kysytään, halutaanko laitteen ja/tai ohjelman suojaustoiminto ottaa käyttöön. Jos suojaus-toiminto halutaan aktivoida, niin tässä tapauksessa etähallinta-avainlaitteen asennusohjelma pyytää käyttäjää antamaan salasanan joko pelkästään käyttäjän tiedonkäsittelylaitteelle 41c tai asennetulle ohjelmalle tai halutessa molemmille.
Etähallinta-avainlaite ohjelmineen, yksilöllisine tunnistekoodeineen sekä salasanoineen voidaan haluttaessa tallentaa myös esimerkiksi hyvin suojatulle sisäverkon palvelimelle, josta se voidaan tarvittaessa siirtää takaisin uuteen avainlait-teeseen (esim. alkuperäisen avainlaitteen rikkoutuminen tai häviäminen).
Eräässä keksinnön edullisessa suoritusmuodossa etähallinta-avainlaitteen 42b sisältämä ohjelma tunnistekoodeineen voidaan tallentaa useammallekin tiedonkä-sittelylaitteelle 41c, jotka voivat näin toimia rinnan ensimmäisen tiedonkäsittelylait-teen kanssa.
Eräässä keksinnön edullisessa suoritusmuodossa etähallinta-avainlaitteen 42b sisältämä tietokoneohjelma voi sijaita myös esimerkiksi Internetissä olevalla palvelimella, josta se voidaan hakea. Tässä edullisessa suoritusmuodossa itse fyysinen etähallinta-avainlaite 42b voi käsittää vain laiteparin tunnistuksessa tarvittavan tunnistekoodin.
Kuvassa 2 on esitetty esimerkinomaisena vuokaaviona keksinnön mukaisen etä-hallintamenetelmän päävaiheita sen jälkeen, kun etähallinta-avainlaite 42 tai 42b ja etähallintalaite 61 on paritettu keskenään.
Kun etähallintalaite 61 tai etähallinta-avainlaite 42, 42b on kytketty omaan paikalliseen tiedonsiirtoverkkoonsa, niin se/ne aika ajoin lähettää kiertokyselyn (ns. pol-laus) etähallintajärjestelmään kuuluvalle etähallintapalvelimelle 21, jotta se saisi selville sen, onko oma vastinlaitepari kytkettynä verkkoon vai ei. Jos etähallinta-palvelimen 21 lähettämästä vastauksesta ilmenee, että vastinlaitepari on kytkeytyneenä omaan tiedonsiirtoverkkoonsa, niin molemmat laiteparin osapuolet käynnistävät VPN-tiedonsiirtoyhteyden luomisen jäljempänä kuvatuilla menettelyillä.
Vaiheessa 200 etähallintalaite 61 kytketään koti-intranet-verkkoon 5 ja edullisesti myös etähallinta-avainlaite 42 tai etähallinta-avainlaitetta 4ab tukeva tai simuloiva tiedonkäsittelylaite 41c intranet-verkkoon 3. Etähallintalaitteeseen 61 kytketään kaikki kiinteistössä etähallinnan kohteena olevat laitteet joko kiinteällä yhteydellä tai langattomalla yhteydellä.
Vaiheessa 201 etähallintalaite 61 ja etähallinta-avainlaite 42, 42b tai etähallinta-avainlaitetta simuloiva tiedonkäsittelylaite 41c määrittävät oman verkkopolkunsa etähallintapalvelimelle 21, jos niiden nykyiset verkkopolkutiedot eivät ole ajantasaisia. Vaiheessa 201 käytetty menettely on esitetty tarkemmin kuvassa 3a.
Vaiheessa 202 etähallintalaite ja/tai että etähallinta-avainlaite 42, 4a tai etähallin-ta-avainlaitetta simuloiva tiedonkäsittelylaite 41c tallentaa määrittämänsä verkko-polun etähallintapalvelimeen 21, jos kyseisen laitteen ajantasainen verkkopolku-tieto on saatu määritettyä.
Vaiheessa 203 keksinnön mukaiset etähallinnassa hyödynnettävät laitteet 42, 42a tai 41c ja 61 saavat tiedon laiteparinsa etähallintapalvelimelle 21 ilmoittautumisesta tai ilmoittautumisen puuttumisesta. Jos toiseen laitepariin kuuluvan keksinnön mukaisen laitteen 42, 42b, 41c tai 61 ajantasainen verkkopolkutieto puuttuu, niin silloin etähallintajärjestelmässä 1Atai 1B siirrytään määritellyn viiveen 212 kautta etähallintapalvelinyhteyden kuuntelu-ja tarkistusvaiheeseen 213.
Yhteydenmuodostuksen aluksi sekä etähallinta-avainlaite 42/42b että etähallintalaite 61 pyytävät vaiheessa 204 vastapuolen ajantasaisen verkkopolkutiedon etä-hallintapalvelimelta 21. Etähallintapalvelin 21 tarkistaa, että kyseessä on sallittu laitepari, ja tarkistuksen jälkeen se lähettää verkkopolkutiedot molemmille laitteille vaiheessa 205. Tämän jälkeen etähallintapalvelin 21 katkaisee edullisesti yhteyden molempiin laitteisiin 42/42b ja 61 ja näin ollen se ei enää toimi osana muodostettavaa VPN-tunnelia 55.
Vaiheessa 206 etähallinta-avainlaite 42/42b/41c ja etähallintalaite 61 muodostavat välilleen VPN-tunnelin 55. Vaiheeseen 206 sisältyviä osavaiheita on esitetty tarkemmin kuvassa 3b.
Vaiheessa 207 sekä käyttäjän asiakaslaite 41a tai 41c että kiinteistössä oleva kohdelaite 62-65 liitetään muodostettuun VPN-verkkoon. Kuvan 1a suoritusmuodossa käyttäjän asiakaslaitteen 41a kytkee VPN-verkkoon etähallinta-avainlaite 42. Kuvan 1b suoritusmuodossa käyttäjän tiedonkäsittelylaiteeseen 41c kytketty etähallinta-avainlaite 42b on VPN-verkon toinen päätepiste. Kohteessa olevan etähallittavan laitteen 62-65 kytkee VPN-verkkoon etähallintalaite 61.
Vaiheessa 208 käyttäjän asiakaslaite 41a tai 41c ja kiinteistössä oleva hallinnoitava laite 62-65 ovat osa samaa VPN-verkkoa, jolloin ne voivat vaihtaa tietoja keskenään. Etähallintajärjestelmään määritellyn viiveen jälkeen vaiheessa 209 tarkistetaan, onko tiedonsiirtoyhteys asiakaslaitteen 41a tai 41c ja kohdelaitteen 62-65 välillä edelleen aktiivinen. Jos tiedonsiirtoyhteys on aktiivinen, niin prosessi palaa vaiheeseen 208 ja tiedonsiirron sallitaan jatkua.
Mikäli vaiheessa 209 todetaan, että VPN-yhteys ei ole enää aktiivinen, niin vaiheessa 210 tehdään päätös mahdollisesta uudesta yhteydenmuodostusyritykses-tä.
Jos päätös vaiheessa 210 on se, että uusi yhteydenmuodostusyritys tehdään, niin prosessi haarautuu vaiheeseen 214. Vaiheessa 214 tarkistetaan, onko osapuolilla tiedossaan vastapuolen ajantasaiset verkkopolkutiedot. Mikäli verkkopolkutiedot ovat ajan tasalla, niin prosessi haarautuu vaiheeseen 205, jossa etähallintapalve-lin lähettää ajantasaiset vastapuolen verkkopolkutiedot keksinnön mukaisille laitteille VPN-tunnelin muodostusta varten.
Jos vaiheessa 214 todetaan, että jompikumpi verkkopolkutieto puuttuu tai ei ole ajan tasalla, niin prosessi palaa vaiheeseen 201, jossa uudistetaan jommankumman tai molempien keksinnön mukaisten laitteiden verkkopolkutietojen määritys.
Tässä vaihtoehdossa prosessi pitää edullisesti sisällään myös tarpeelliset VPN-yhteydenpurkutoimet, jotta itse keksinnön mukainen yhteydenmuodostusprosessi voidaan uusia onnistuneesti. Yhteydenmuodostusta yritetään ennalta sovitun lukumäärän mukaisesti.
Jos vaiheessa 210 päätetään, ettei uutta VPN-yhteyttä yritetä enää muodostaa, koska yhteydenmuodostusyrityksiä on tehty ennalta määritelty lukumäärä tai muusta syystä VPN-yhteyttä ei haluta muodostaa, niin silloin siirrytään vaiheeseen 211. Vaiheessa 211 puretaan käytetty VPN-tiedonsiirtoverkko. Tilanne on tämä esimerkiksi silloin, kun etähallinta-avainlaite suljetaan.
VPN-tiedonsiirtoverkon purun jälkeen seuraa etähallintajärjestelmässä 1A tai 1B hyödynnetyssä prosessissa ennalta määritetty viive 212. Viiveen 212 jälkeen siirrytään etähallintapalvelimen kuuntelutoimintoon 213. Siinä ainakin virrallinen etä-hallintalaite 61 lähettää aika ajoin etähallintapalvelimelle 21 yhteydenmuodostus-pyyntöjä.
Etähallintalaite 61 lähettää edullisesti yhteydenmuodostuspyyntöjä niin kauan, että etähallintapalvelin 21 lähettää sille etähallinta-avainlaitteen ajantasaiset verkkopolkutiedot. Kun verkkopolkutiedot on saatu, niin VPN-yhteyden muodostuspro-sessi käynnistyy vaiheessa 201.
Vaiheeseen 212 voidaan haarautua myös vaiheesta 203. Tämä tapahtuu silloin, kun jommankumman tai molempien verkkopolkutietoja ei ole saatu määriteltyä ja tallennettua etähallintapalvelimeen. Myös tämä prosessihaara palaa vaiheiden 231 ja 214 kautta takaisin vaiheeseen 201, jossa ainakin toinen etähallintaan osallistuvista laitteista yrittää määrittää verkkopolkutietonsa ja tallentaa ne etähal-lintapalvelimeen 21.
Vaiheessa 201 käytettyjä verkkopolkutietojen etsintämenettelyitä on tarkemmin kuvattu kuvassa 3a.
Vaiheessa 2011 hyödynnetään DHCP-protokollalla (Dynamic Host Configuration Protocol) voidaan hakea IP-asetukset tiedonkäsittelylaitteen verkkoliitynnälle. DHCP-menettelyllä saatavia asetuksia ovat ainakin tiedonkäsittelylaitteen IP-osoite, verkkomaski, oletusreititin (default gateway) sekä DNS-palvelin (Domain Name System), joka muuttaa verkkotunnukset IP-osoitteiksi.
Vaiheessa 2012 hyödynnettävä Traceroute-menettely on TCP/IP-protokollaa käyttävä työkalu, joka selvittää, mitä reittiä tai verkkopolkua paketit siirtyvät määrättyyn koneeseen. Traceroute-menettelyssä verkkoon kytketty tiedonsiirtolaite selvittää verkkopolun lisäämällä lähettämiensä pakettien Time to Live -arvoa (TTL) yksi kerrallaan, aloittaen nollasta.
Verkkopolun selvitys tapahtuu tyypillisesti seuraavalla tavalla. Tiedonkäsittelylaite lähettää oletusyhdyskäytävälle jollain ulkoverkossa olevalla kohdeosoitteella IP-paketin käyttäen TTL-arvoa ”0”. Oletusyhdyskäytävä vastaa tähän TTL expired -viestillä. Tästä viestistä selviää esimerkiksi oletusyhdyskäytävän IP-osoite, viive jne.
Tämän jälkeen tiedonkäsittelylaite lähettää oletusyhdyskäytävälle IP-paketin jollain ulkoverkossa olevalla kohdeosoitteella käyttäen TTL-arvoa 1. Taas oletusyh-dyskäytävästä seuraava reititin vastaa viestillä "TTL expired", josta selviää tämän seuraavan (toisen) reitittimen IP-osoite. Tätä lähetys-vastausprosessia jatketaan TTL-arvoa kasvattamalla niin kauan, että saavutetaan haluttu määränpää. Internetin ollessa kyseessä tyypillisesti lopullinen määränpää saavutetaan TTL:n arvolla 6-15. Lopputuloksena tiedonkäsittelylaite tietää verkkopolun ulkomaailmaan, esimerkiksi Internetiin.
ICMP-protokollaa (Internet Control Message Protocol) voidaan hyödyntää ulko-osoitteiden selvittämisessä. ICMP-menettelyssä käytetään ICMP-paketin Record Route -lippua, joka pyytää verkkopolulla olevien laitteiden käyttöjärjestelmiä kirjaamaan ICMP-paketin otsikkoon lähettävän reitittimen IP-osoitteen.
Kuvassa 3b on esitetty eräitä kuvan 2 vaiheessa 206 hyödynnettyjä VPN-tunnelin luomisen mahdollistavia yhteydenmuodostusmenettelyitä 2060-2064. Kuvassa 3b vaihtoehtoiset yhteydenmuodostusmenettelyt on esitetty rinnakkaisina prosesseina, joita hyödynnetään samanaikaisesti. Keksintö ei kuitenkaan rajoitu tähän suoritusmuotoon, vaan yhteydenmuodostusprosesseja voidaan toteuttaa myös käyttökohteesta riippuen soveliaalla tavalla perättäisinä yhteydenmuodostusproses-seina. Tässä suoritusmuodossa yhdenkin VPN-tunnelin yhteydenmuodostuksen jälkeen muita yhteydenmuodostusmenetelmiä ei välttämättä yritetä hyödyntää.
Kuvan 3b esimerkissä on esitetty viisi mahdollista VPN-tunnelin luontimenetel-mää. Viitteellä 2060 esitetään VPN-tunnelin luonti TCP-protokollaa käyttäen. Jos etähallintalaitteen ja etähallinta-avainlaitteen välillä olevat tietoliikenneverkon elementit sallivat yhteydenmuodostuksen, niin se todetaan vaiheessa 2060a. Ellei yhteydenmuodostus onnistu, yritetään yhteydenmuodostusta edullisesti uudelleen.
Viitteellä 2061 esitetään VPN-tunnelin luonti UDP-protokollaa käyttäen. Jos etähallintalaitteen ja etähallinta-avainlaitteen välillä olevat tietoliikenneverkon elementit sallivat yhteydenmuodostuksen, niin se todetaan vaiheessa 2061a. Ellei yhteydenmuodostus onnistu, yritetään yhteydenmuodostusta edullisesti uudelleen.
Viitteellä 2062 esitetään VPN-tunnelin luonti jäljempänä kuvattua UDP-portti-skannausta käyttäen. Jos etähallintalaitteen ja etähallinta-avainlaitteen välillä olevat tietoliikenneverkon elementit sallivat yhteydenmuodostuksen, niin se todetaan vaiheessa 2062a. Ellei yhteydenmuodostus onnistu, yritetään yhteydenmuodostusta edullisesti uudelleen.
Viitteellä 2063 esitetään VPN-tunnelin luonti jäljempänä kuvattua ICMP-menet-telyä käyttäen. Jos etähallintalaitteen ja etähallinta-avainlaitteen välillä olevat tietoliikenneverkon elementit sallivat yhteydenmuodostuksen, niin se todetaan vaiheessa 2063a. Ellei yhteydenmuodostus onnistu, yritetään yhteydenmuodostusta edullisesti uudelleen.
Viitteellä 2064 esitetään VPN-tunnelin luonti jäljempänä kuvattua TCP relay -menettelyä käyttäen. Tätä menettelyä hyödynnetään edullisesti silloin, kun etähallintalaitteen ja etähallinta-avainlaitteen välillä olevat tietoliikenneverkon elementit eivät salli suoran päästä päähän VPN-tunnelin luontia. Myös tässä menettelyssä vaiheessa 2062a todetaan, onko salattu tiedonsiirtoyhteys saatu luotua etähallintalaitteen ja etähallinta-avainlaitteen välille. Ellei yhteydenmuodostus onnistu, yritetään yhteydenmuodostusta edullisesti uudelleen.
Jokainen yhteydenmuodostusmenettely 2060-2064 voi tuottaa VPN-tiedonsiirto-yhteyden etähallintalaitteen 61 ja etähallinta-avainlaitteen 42 tai 42b välille, vaiheessa 2069 valitaan se VPN-tunneli tai VPN-tunnelit, jota/joita käytetään tiedonsiirtoyhteytenä.
Kaikki kuvissa 2, 3a ja 3b kuvatut prosessivaiheet toteutetaan ohjelmakäskyillä, jotka suoritetaan soveliaassa yleiskäyttöisessä tai erikoisprosessorissa. Ohjelma-käskyt ovat tallennettuina etähallintalaitteen 61 ja etähallinta-avainlaitteen 42 hyödyntämälle tallennusmedialle, kuten muisteille, joista prosessori voi noutaa ja suorittaa ne. Viittaukset tietokoneella luettavissa olevaan mediaan voivat sisältää esimerkiksi myös erikoiskomponentteja, kuten ohjelmoitavat USB Flash -muistit, logiikkaverkot (FPLA), asiakaskohtaiset integroidut piirit (ASIC) ja signaaliprosessorit (DSP).
Esimerkki VPN-tunnelin luonnista UDP-protokollaa käyttäen, viite 2061, kuvan 1a järjestelmässä:
Etähallinta-avainlaite 42 aloittaa pariutumisprosessin. Se ilmoittaa etähallintapal-velimelle 21 haluavansa muodostaa tiedonsiirtoyhteyden etähallintalaitteeseen 61 edullisesti UDP-protokollaa käyttäen. Etähallintapalvelin 21 päättää, että pyydetty tiedonsiirtoyhteys tulisi muodostaa seuraavilla porttinumeroilla: -etähallinta-avain: UDP-lähdeportti 10500, UDP-kohdeportti 10501, kohde IP-osoite 240.1.1.2 - etähallintalaite: UDP-lähdeportti 10501, UDP-kohdeportti 10500, kohde IP-osoite 240.2.1.2
Etähallintapalvelin 21 ilmoittaa nämä tiedot etähallinta-avainlaitteelle 42 ja etähal-lintalaiteelle 61.
Tämän jälkeen etähallinta-avainlaite 42 lähettää UDP-paketin osoitteeseen 240.1.1.2 lähdeportilla 10500 kohdeporttiin 10501. Lähetetty paketti pääsee läpi palomuurista FW2, joka sisältää NAT-toiminnon, koska ulosmenevää liikennettä ei ole vahvasti rajoitettu. FW2-palomuuri 31 muistaa UDP-paketin yhteytenä seu-raavat X sekuntia yhteystiedoilla 10.0.0.2, 240.1.1.2, 10500 ja 10501.
UDP-paketti saapuu etähallintalaitteen 61 edessä olevalle FW1-palomuurille 51, joka ei salli sisään tulevaa liikennettä, ja se pudottaa paketin. Paketti ei pääse perille osoitteeseen 10.0.0.2.
Etähallintalaite 61 lähettää UDP-paketin osoitteeseen 240.2.1.2 lähdeportilla 10501 kohdeporttiin 10500. Lähetetty UDP-paketti pääsee läpi FW1 NAT-palomuurista 51, koska ulosmenevää liikennettä ei ole rajoitettu. FW1-palomuuri 51 muistaa UDP-paketin yhteytenä seuraavat X sekuntia yhteystiedoilla 10.0.0.2, 240.2.1.2, 10501 ja 10500.
UDP-paketti saapuu etähallinta-avainlaitteen edessä olevalle FW2-palomuurille 31. FW2-palomuuri 31 muistaa, että IP-osoite 10.0.1.2 oli aloittanut UDP-yhteyden osoitteeseen 240.1.1.2 lähdeportilla 10500 ja kohdeportilla 10501. Koska UDP-paketti tulee mainitusta lähdeosoitteesta 240.2.1.2, lähdeportilla 10501 ja kohdeporttiin 10500, FW2-palomuuri 31 tulkitsee paketin paluuliikenteeksi laitteen 10.0.1.2 aloittamaan yhteyteen liittyen. Palomuuri FW2 suorittaa tämän jälkeen osoitteenmuunnostoiminnon. Se vaihtaa UDP-paketin kohdeosoitteeksi 10.0.1.2. Tämän jälkeen FW2-palomuuri 31 reitittää UDP-paketin osoitteeseen 10.0.1.2. Nyt etähallinta-avainlaite 42 saa viestin etähallintalaiteelta 61. Yksisuuntainen tiedonsiirtoyhteys etähallintalaiteelta 61 etähallinta-avainlaitteelle 42 on nyt olemassa.
Seuraavaksi etähallinta-avainlaite 42 lähettää UDP-paketin osoitteeseen 240.1.1.2 lähdeportilla 10500 kohdeporttiin 10501. UDP-paketti saapuu FW1-palomuurille 51. FW1-palomuuri 51 muistaa, että osoite 10.0.0.2 oli aloittanut UDP-yhteyden osoitteeseen 240.2.1.2 lähdeportilla 10501 ja kohdeportilla 10500. Koska paketti tulee lähdeosoitteesta 240.2.1.2 lähdeportilla 10500 ja kohdeporttiin 10501, niin FW2-palomuuri 51 tulkitsee vastaanottamansa UDP-paketin paluuliikenteeksi laitteen 10.0.0.2 aloittamaan yhteyteen. FW1-palomuuri 51 suorittaa osoitteenmuunnoksen eli vaihtaa paketin kohdeosoitteeksi 10.0.0.2. Tämän jälkeen FW1-palomuuri 51 reitittää paketin osoitteeseen 10.0.0.2.
Nyt on olemassa kaksisuuntainen UDP-yhteys etähallinta-avainlaitteen 42 ja etähallintalaitteen 61 välillä. Nämä laitteet voivat kommunikoida kaksisuuntaisesti toistensa kanssa. Edullisesti etähallintalaite 61 ja etähallinta-avainlaite 42 muodostavat siirtokerrostason VPN-tunnelin välilleen käyttäen esimerkiksi OpenVPN-ohjelmistoa.
Etähallintalaite 61 edullisesti siltaa luodun VPN-tunnelin 55 hallinnoimansa kodin etähallintaverkon 172.17.0.0/24, viite 6, kanssa. Samoin etähallinta-avainlaite 42 siltaa luodun VPN-tunnelin 55 LAN-porttinsa kanssa, joten se kykenee tarjoamaan sisäverkkoliitäntöjä verkossa 172.17.0.0/24 siirtokerrostasolla. Näiden toimintojen jälkeen kodin etähallintaverkko 4 ja kotikontrolli-intranet 6 muodostavat yksityisen VPN-verkon Internetin 2 yli.
Esimerkki VPN-tunnelin luonnista UDP-porttiskannausta käyttäen, viite 2062, kuvan 1a järjestelmässä: UDP-porttiskannausta voidaan hyödyntää, jos yksi tiedonsiirtoverkossa oleva elementti vaihtaa joko lähde- tai kohdeportteja satunnaisesti. Riippuen siitä, onko lähde- tai kohdeportteja satunnaisesti muuttava elementti lähettävän vai vastaanottavan osapuolen edessä, seuraavassa kuvattavan menetelmän vaiheet poikkeavat hieman tosistaan.
1. Lähdeporteilla skannaus:
Etähallintalaitteen 61 edessä oleva palomuuri 51 vaihtaa lähetetyistä paketeista ainoastaan lähdeosoitteen, lähdeporttia ei muuteta.
Etähallintalaite 61 aloittaa UDP-pakettien lähetyksen seuraavilla tiedoilla: lähde-portti 5000, lähdelP 10.0.0.2, kohdelP 5.5.5.5, kohdeportit esimerkiksi väliltä 1024 -> 1054 (30 eri lähdeporttia). Jokaisen UDP-paketin data (payload) sisältää valitun kohdeportin, esimerkiksi 1024. Tämän avulla tiedetään vastaanottavassa päässä, mihin porttiin lähetetty paketti meni palomuurista 31 läpi.
UDP-pakettien lähetystiheys on edullisesti 200 millisekuntia. Ensin lähetetään esimerkiksi UDP-paketti lähdeportilla 1024, 200 ms päästä toinen UDP-paketti lähdeportilla 1025, jne. Kun viimeisellä lähdeportilla 1054 oleva UDP-paketti on lähetetty (noin 6 sekunnin päästä), etähallintalaite 61 lähettää UDP-paketteja uudelleen samassa järjestyksessä alkaen lähdeportista 1024.
Tämän jälkeen myös etähallinta-avain laite 42 aloittaa UDP-pakettien lähetyksen seuraavilla tiedoilla: lähdelP 10.0.1.2, kohdelP 6.6.6.6, kohdeportti 5000, lähde-portit esimerkiksi väliltä 1024 -> 65535 (64511 eri lähdeporttia). UDP-pakettien lähetystiheys edullisesti 50 millisekuntia. Eli ensin lähetetään UDP-paketti lähde-portilla 1024, 50 ms päästä toinen UDP-paketti lähdeportilla 1025, jne. Jokaisen UDP-paketin hyötykuorma (payload) sisältää kulloinkin käytetyn lähdeportin, esim. 1024. Tätä tietoa voidaan käyttää tunnistamaan, mikä käytetty lähdeportti vaihtuu miksi lähdeportiksi NAT-palomuurin 51 läpi mennessään.
Tavoitteena on, että tämän vaiheen aikana etähallintalaitteen 61 palomuurista 51 tulee etähallinta-avainlaitteen 42 lähettämä UDP-paketti läpi, tai etähallinta-avainlaitteen 42 palomuurista 31 tulee etähallintalaitteen 61 lähettämä UDP-paketti läpi. Kun jompikumpi laitteista näkee läpitulevan UDP-paketin, siihen UDP-pakettiin vastataan samaan lähdeporttiin kuin mistä UDP-paketti on merkitty tulevan. Tämän jälkeen VPN-yhteyden muodostus voidaan aloittaa.
Pakettien lähetys jatkuu niin kauan, kunnes yhteys on saatu toimimaan tai yhteydenmuodostus on peruutettu.
2. Kohdeporteilla skannaus:
Etähallinta-avainlaitteen 42 edessä oleva NAT-palomuuri 31 vaihtaa lähetetyistä datapaketeista lähdeosoitteen ja lähdeportin. Lähdeportti vaihtuu tyypillisesti satunnaisesti, esimerkiksi lähdeportti 1024 voi vaihtua vaikka lähdeportiksi 16431.
Etähallinta-avainlaite 42 aloittaa UDP-pakettien lähetyksen seuraavilla tiedoilla: kohdeportti 5000, lähdelP 10.0.1.2, kohdelP 6.6.6.6, lähdeportit esimerkiksi väliltä 1024 -> 1054 (30 eri lähdeporttia). Jokaisen UDP-paketin data (payload) sisältää lähdeportin, esimerkiksi 1024. Tämän avulla tiedetään vastaanottavassa päässä, mistä lähdeportista lähetetty UDP-paketti meni palomuurista 31 läpi.
UDP-pakettien lähetystiheys on edullisesti 200 millisekuntia. Ensin lähetetään UDP-paketti lähdeportilla 1024, 200 ms päästä UDP-paketti lähdeportilla 1025, jne. Kun viimeisellä lähdeportilla 1054 oleva UDP-paketti on lähetetty (noin 6 sekunnin päästä), etähallinta-avainlaite 42 lähettää UDP-paketteja uudelleen samassa järjestyksessä alkaen lähdeportista 1024.
Tämän jälkeen etähallintalaite 61 aloittaa UDP-pakettien lähetyksen seuraavilla tiedoilla: lähdelP 10.0.0.2, kohdelP 5.5.5.5, lähdeportti 5000, kohdeportit esimerkiksi väliltä 1024 -> 65535 (64511 eri kohdeporttia). Pakettien lähetystiheys edullisesti 50 millisekuntia. Ensin lähetetään UDP-paketti kohdeportilla 1024, 50 ms päästä 1025 kohdeportilla, jne. Jokaisen UDP-paketin hyötykuorma (payload) sisältää paketin käyttämän kohdeportin, esimerkiksi 1024. Tätä tietoa voidaan käyttää tunnistamaan, mikä käytetty kohdeportti vaihtuu miksi kohdeportiksi NAT-palomuurin 31 läpi mennessään.
Tavoitteena on, että tämän vaiheen aikana etähallintalaitteen 61 edessä olevasta palomuurista 51 tulee etähallinta-avainlaitteen 42 lähettämä UDP-paketti läpi, tai etähallinta-avainlaitteen 42 edessä olevasta palomuurista 31 tulee etähallintalaitteen 61 lähettämä UDP-paketti läpi. Kun jompikumpi laite näkee läpi tulevan UDP-paketin, siihen pakettiin vastataan samaan lähdeporttiin, mistä paketti näkyy tulevan.
UDP-pakettien lähetys jatkuu niin kauan, kunnes yhteys on saatu toimimaan tai yhteydenmuodostus on peruutettu.
Molemmissa ylläkuvatuissa tapauksissa VPN-yhteyden muodostus voidaan aloittaa seuraavasti: VPN-yhteydellä käytettävä porttikolmikko: -etähallintalaitteen 61 käyttämä lähdeportti (host1_real_source_port).
-etähallintalaitteen NAT-palomuurin 51 muuntama lähdeportti, joka on sama kuin etähallinta-avainlaitteen 42 käyttämä kohdeportti (host1_translated_source_port) - etähallinta-avainlaitteen 42 käyttämä lähdeportti (host2_real_source_port). Etähallintalaite 61 avaa VPN-yhteyden: -kohde-IP 6.6.6.6 - lähdeportti host1_real_source_port - kohdeportti host2_real_source_port Etähallinta-avainlaite 42 avaa VPN-yhteyden: -kohde-IP 5.5.5.5 - lähdeportti host2_real_source_port - kohdeportti host1_translated_source_port
Kumpikin NAT-palomuuri 31 ja 51 luulee yhteyden alkaneen omasta sisäverkostaan, jolloin UDP-yhteys reitittyy läpi NAT-palomuureista 31 ja 51.
Esimerkkejä VPN-tunnelin luonnista ICMP-protokollaa käyttäen, viite 2063, kuvan 1a järjestelmässä: IP-protokollan kontrolliprotokollaa ICMP voidaan hyödyntää, jos tiedonsiirtoverkossa oleva verkkoelementti sallii liikenteen ICMP ECHO ja ICMP ECHO REPLY -tyyppisille paketeille.
ICMP-menetelmä 1: Pysyvä ICMP ECHO ID: Tämä suoritusmuoto on mahdollinen silloin, kun tiedonsiirtoverkossa oleva(t) palomuuri(t) ei reagoi TTL expired -viesteihin.
Etähallinta-avainlaite 42 lähettää IP-paketin reitittimen 10.0.1.1 kautta seuraavilla tiedoilla: kohde-IP 6.6.6.6, lähde-IP 10.0.1.2, TTL 1, tyyppi ICMP, ICMP-tyyppi ECHO REQUEST, ID 1234, sequence 1 ja paketin hyötykuorma (payload) on tyhjä.
Lähetetty paketti menee NAT-palomuuri 31 läpi, jolloin paketin lähdelP vaihtuu -> 5.5.5.5, paketin TTL vaihtuu 1 -> 0. NAT-palomuuri 31 muistaa, että ID-numerolla 1234 lähde-IP:stä 10.0.1.2 on tullut 1 echo request.
Internetissä 2 oleva reititin (ei esitetty kuvassa 1a), jonka esimerkinomainen IP-osoite on 3.1.1.1 saa IP-paketin, jonka TTL on 0. Tämä reititin vastaa ICMP TTL time to live expired -viestillä palomuurille 31.
Palomuuri 31 saa ICMP TTL time to live expired -viestin, mutta ei kuitenkaan reagoi siihen.
Etähallintalaite 61 lähettää IP-paketin reitittimen 10.0.0.1 kautta seuraavilla tiedoilla: kohde-IP 5.5.5.5, lähde-IP 10.0.0.2, TTL 255, tyyppi ICMP, ICMP-tyyppi ECHO REPLY, ID 1234, Sequence 1 ja paketin hyötykuorma sisältää VPN-liikennettä edullisesti 30-1400 tavua.
Lähetetty ICMP ECHO -paketti menee palomuurin 51 läpi, jolloin paketin lähde-IP vaihtuu -> 6.6.6.6. ICMP-paketti saavuttaa palomuurin 31. Palomuuri 31 muistaa, että ICMP ECHO ID numerolla 1234 oli lähetetty pyyntö aiemmin. Palomuuri 31 muistaa, että pyynnön lähettäjä oli laite 10.0.1.2. Palomuuri 51 reitittää paketin edelleen osoitteeseen 10.0.1.2. Paketin kohde-IP vaihtuu 5.5.5.5-> 10.0.1.2.
Etähallinta-avainlaite 42 vastaanottaa ICMP ECHO -paketin ja näin ollen etähallintalaite 61 on onnistuneesti lähettänyt paketin vapaamuotoista dataa etähallinta-avainlaiteelle 42.
Etähallinta-avainlaite 42 jatkaa ICMP ECHO REQUEST -pakettien lähettämistä, ja etähallintalaite 61 jatkaa ICMP ECHO REPLY -viestien lähettämistä vastaavasti. Etähallinta-avainlaite 42 ja etähallintalaite 61 ovat muodostaneet toistensa välille yksisuuntaisen tiedonsiirtoyhteyden.
Seuraavaksi etähallinta-avainlaite 42 ja etähallintalaite 61 muodostavat myös toisen, vastakkaissuuntaisen ICMP-yhteyden. Yhteydenmuodostus tapahtuu kuten edellä on kuvattu. Vain yhteyden muodostussuunta vaihtuu. Yhteydenmuodostus-prosessin lopuksi etähallintalaite 61 vastaanottaa etähallinta-avainlaitteen 42 lähettämän ICMP-paketin, jonka hyötykuorma sisältää VPN-liikennettä edullisesti 30-1400 tavua.
Etähallinta-avainlaite 42 ja etähallintalaite 61 jatkavat edellä kuvatulla tavalla pyyntöjen lähettämistä toisilleen. Näin ollen etähallinta-avainlaitteella 42 ja etähallintalaitteella 61 on nyt välillään kaksisuuntainen yhteys. ECHO REPLY-viestit pitävät sisällään VPN-yhteyden TLS-salattua liikennettä, joten suora NAT-palomuurit 31 ja 51 läpäisevä VPN-yhteys on saatu muodostettua etähallinta-avainlaitteen 42 ja etähallintalaitteen 61 välille.
ICMP-menetelmä 2: Vaihtuva ICMP ECHO ID:
Tiedonsiirtoyhteydellä voi olla verkkoelementti, esimerkiksi palomuuri, joka käsittelee TTL-viestit (Time to Live expired) siten, että uusi ICMP ECHO REQUEST on tarpeellinen, jotta ICMP ECHO REPLY menisi läpi. Tällöin jokainen TTL expired -viesti "syö" yhden ICMP ECHO REPLY -vastauspaketin paikan. Kun tällainen verkkoelementti näkee TTL expired -viestin, se ei enää reititä ICMP ECHO REPLY -viestiä perille.
Tämän menetelmän ero verrattuna kiinteän ICMP ECHO ID:n tapaukseen on se, että ICMP ECHO ID on erilainen jokaisessa ICMP ECHO REQUEST ja ICMP ECHO REPLY -pakettiparissa. ICMP ECHO REQUEST ja ICMP ECHO REPLY -pakettiparin lähetys tapahtuu synkronoidusti kellonajan perusteella niin, että ICMP ECHO REQUEST ja ICMP ECHO REPLY lähetetään oleellisesti yhtäaikaa. Tällöin ICMP ECHO REQUEST ehtii ulos lähettävän osapuolen NAT-palomuurista ennen kuin toisen laitteen lähettämä ICMP ECHO REPLY tulee samalle palomuurille.
TTL-arvona käytetään edullisesti isoa arvoa, jotta ICMP ECHO REQUEST -paketti olisi matkalla mahdollisimman pitkään, ennen kuin palomuuri saa joko TTL expired tai "väärän" ICMP ECHO REPLY -vastauksen toisen pään palomuurilta.
Seuraavassa esimerkki tästä IMPC ECHO -menetelmästä kuvan 1a tapauksessa:
Etähallinta-avainlaite 42 lähettää IP-paketin reitittimen 10.0.0.1 kautta seuraavilla tiedoilla: kohde-IP 6.6.6.6, lähde-IP 10.0.1.2, TTL 255, tyyppi ICMP, ICMP-tyyppi ECHO REQUEST, ID 1000, Sequence 1 ja paketin hyötykuorma (payload) on tyhjä.
Samanaikaisesti etähallintalaite 61 lähettää IP-paketin seuraavilla tiedoilla: kohde-IP 5.5.5.5, lähde-IP 10.0.0.2, TTL 255, tyyppi ICMP, ICMP-tyyppi ECHO REPLY, ID 1000, Sequence 1. Paketin payload sisältää sen aluksi luvun "2000", minkä jälkeen sitä seuraa pyydetty ICMP ECHO REQUESTn lähetystiheys (esim. 500 ms) ja tämän jälkeen vapaamuotoista VPN-liikennettä, edullisesti 30-1400 tavua.
Etähallinta-avainlaitteen 42 lähettämä ICMP ECHO REQUEST -paketti menee NAT-palomuurin 31 läpi. Tällöin paketin lähde-IP vaihtuu -> 5.5.5.5. NAT-palomuuri 31 muistaa, että ID-numerolla 1000 lähde-IP:stä 10.0.0.2 on tullut yksi ICMP ECHO REQUEST.
Samanaikaisesti etähallintalaitteen 61 lähettämä ICMP ECHO REQUEST -paketti menee NAT-palomuurin 51 läpi. Tällöin paketin lähde-IP vaihtuu -> 6.6.6.6. NAT-palomuuri muistaa 51, että ID-numerolla 1000 lähde-IP:stä 10.0.0.2 on tullut ICMP ECHO REQUEST.
Lähetetyt ICMP ECHO REQUEST -paketit "ohittavat" Internetissä 2 toisensa, eli kumpikin paketti on matkalla operaattorin verkossa samaan aikaan.
ICMP ECHO REQUEST -paketti saapuu palomuurille 51, ja palomuuri 51 vastaa siihen. Vastauksen kohtalolla ei ole merkitystä, koska etähallintalaitteen 61 lähettämä ICMP ECHO REPLY on lähetetty ennen palomuurin 51 lähettämää ICMP ECHO REPLY -pakettia. Sillä ei myöskään ole väliä vaikka palomuuri 51 ei vastaisikaan ICMP ECHO REQUEST -pakettiin.
Etähallintalaitteen 61 lähettämä ICMP ECHO REPLY -paketti saavuttaa palomuurin 31. Palomuuri 31 muistaa, että ICMP ECHO-paketti ID-numerolla 1000 oli lähetetty aiemmin. Palomuuri 31 muistaa, että pyynnön lähettäjä oli laite 10.0.1.2. Palomuuri 31 reitittää paketin edelleen osoitteeseen 10.0.1.2 vaihtamalla paketin kohdelP:n 5.5.5.5 -> 10.0.1.2.
Etähallinta-avainlaite 42 vastaanottaa ICMP-paketin, ja näin ollen etähallintalaite 61 on onnistuneesti lähettänyt ICMP-paketin vapaamuotoista dataa etähallinta-avainlaitteelle 42.
Seuraavaksi etähallinta-avainlaite 42 ja etähallintalaite 61 muodostavat myös toisen, vastakkaissuuntaisen ICMP-yhteyden. Yhteydenmuodostus tapahtuu kuten edellä on kuvattu. Vain yhteyden muodostussuunta vaihtuu. Yhteydenmuodos-tusprosessin lopuksi etähallinta-avainlaite 42 vastaanottaa paketin, jonka hyötykuorma sisältää VPN-liikennettä edullisesti 30-1400 tavua.
Etähallintalaite 61 ja etähallinta-avainlaite 42 jatkavat ICMP ECHO REQUEST ja ICMP ECHO REPLY -pakettipahen lähettämistä toisilleen samanaikaisesti niin, että jokaisessa ICMP-pakettiparissa on eri ECHO ID. Näin palomuurien 31 ja 51 lähettämät ICMP ECHO REPLY tai TTL time to live exceeded -viestit eivät haittaa kommunikaatiota.
Etähallintalaite 61 ja etähallinta-avainlaite 42 sopivat keskenään ECHO ID -numeroista ja lähetystiheydestä edullisesti ensin erillisen etähallintapalvelimen 21 avulla ja VPN-tiedonsiirtoyhteyden muodostuessa sitten suoraan toisilleen ICMP ECHO REPLY -pakettien hyötykuorman alussa. ICMP REPLY -pakettien alussa ilmoitetaan joka paketissa edellinen ECHO REQUEST ID, jonka kyseinen laite on lähettänyt, ja laitteen pyytämä lähetystiheys ECHO REQUEST -paketeille. Näin kumpikin laite tietää, mikä ECHO ID pitää lähettää seuraavassa ECHO REQUEST -paketissa ja milloin seuraava ECHO REQUEST pitää lähettää. Jos esim. ECHO REPLY -paketissa pyydetty lähetystiheys on 500 ms, lähettää laite ECHO REQUEST -pakettinsa aina, kun aika yhteyden aloitushetkestä millisekunteina on jaollinen 500:Ma.
Esimerkkejä VPN-tunnelin luonnista TCP relay -palvelintoimintoa käyttäen, viite 2064, kuvan 1a järjestelmässä:
Avustettu TCP relay -yhteys toimii tietoturvamielessä vastaavasti kuin mikä tahansa muukin yhteys, esim. normaali suora kahden laitteen välinen UDP-yhteys. VPN-yhteyttä ei avata käytetyllä TCP-relepalvelimella vaan kryptaus tapahtuu yhteyden muodostavissa päätelaitteissa. TCP-relepalvelimeen murtautumalla ei pysty murtamaan aikaansaatua VPN-yhteyttä, eikä keksinnön mukaista etähallinta-avainlaitetta voi huijata yhdistämään väärään laitteeseen.
Esimerkki TCP relay -yhteydenmuodostuksesta:
Etähallinta-avainlaiteen 42 julkinen IP-osoite on 5.5.5.5, etähallintalaitteen 61 julkinen IP-osoite on 6.6.6.6 ja TCP-relepalvelimen (etähallintapalvelin 21) julkinen IP-osoite on 7.7.7.7.
Etähallinta-avainlaite 42 ottaa TCP-yhteyden osoitteeseen 7.7.7.7 ja sen porttiin 443. TCP-relepalvelin näkee pyydetyn yhteyden ja hyväksyy sen. TCP-kättely tapahtuu ja TCP-kanava aukeaa. Etähallinta-avainlaite 42 lähettää TCP-kanavaa pitkin uniikin tiedon yhteydestä (esim. yhteysnumero, Connection ID) TCP-relepalvelimelle.
TCP-relepalvelin vastaanottaa tiedon ja tämän avulla osaa myöhemmin yhdistää vastaanotetun yhteyden oikeaan etähallintalaiteeseen 61.
Etähallintalaite 61 ottaa TCP-yhteyden osoitteeseen 7.7.7.7 porttiin 443. TCP-relepalvelin näkee pyydetyn yhteyden ja hyväksyy sen. TCP-kättely tapahtuu ja TCP-kanava aukeaa. Etähallintalaite 61 lähettää TCP-kanavaa pitkin uniikin tiedon yhteydestä (esim. yhteysnumero, Connection ID) TCP-relepalvelimelle.
TCP-relepalvelin vastaanottaa tiedon ja tämän avulla TCP-relepalvelin tietää, mihin etähallinta-avainlaitteeseen 42 etähallintalaite 61 yhdistetään.
TCP-relepalvelin käynnistää viestien välityksen etähallinta-avainlaitteen 42 ja etähallintalaitteen 61 välillä TCP-yhteyksien välillä. TCP-relepalvelin lukee dataa etähallinta-avainlaitteelta 42 tulevalta TCP-yhteydeltä ja välittää datan sellaisenaan etähallintalaitteen 61 TCP-yhteydelle. Vastaavasti TCP-relepalvelin lukee dataa etähallintalaitteen 61 yhteydeltä ja välittää luetun datan sellaisenaan etähallinta-avainlaitteen 42 TCP-yhteydelle. Datan välitystä jatketaan kaksisuuntaisena, kunnes toinen TCP-yhteys katkeaa. Kun toinen TCP-yhteys katkeaa, katkaistaan toinenkin TCP-yhteys TCP-relepalvelimen toimesta.
Kuvassa 4 on esitetty keksinnön mukaisen etähallintalaitteen 61 toiminnallisia pääosia. Etähallintalaitteessa 61 on teholähde 621. Se voi olla akku tai verkkovirtaan perustuva teholähde. Kaikki etähallintalaitteen sähköiset komponentit saavat käyttöjännitteensä teholähteestä 621.
Etähallintalaitteessa 61 on yksi tai useampia prosessoreja 622. Prosessori tai prosessorivälineet voivat käsittää aritmeettisen logiikkayksikön, joukon erilaisia rekistereitä ja ohjauspiirejä. Prosessorivälineisiin on liitetty tiedontallennusjärjeste-ly 623, kuten muistiyksikkö tai muistivälineet, johon tietokoneella luettavaa tietoa tai ohjelmia tai käyttäjätietoa voidaan tallentaa. Muistivälineet 623 sisältävät tyypillisesti muistiyksiköitä, jotka sallivat sekä luku- että kirjoitustoiminnot (Random Access Memory, RAM), ja haihtumatonta muistia sisältäviä muistiyksiköitä, joista tietoa voidaan vain lukea (Read Only Memory, ROM). Muistivälineisiin on tallennettu edullisesti laiterekisteri, VPN-yhteyden muodostuksessa hyödynnettävät sertifikaatit, sen hetkinen verkkopolkutieto ja kaikki etähallintalaitteen 61 toiminnassa tarvittavat ohjelmat.
Eräitä esimerkkejä etähallintalaitteen 61 muistiin tallennetuista ohjelmista ovat käyttöjärjestelmä (esim. Linux), TCP/IP-ohjelmat, VPN-ohjelma (esim. OpenVPN), DHCP-asiakaslaite-/palvelinohjelma (esim. ISC DHCP), DNS-palvelinohjelma (esim. dnsmasq), tietokantaohjelma (esim. SQLite), etähallintaohjelma (esim. OpenSSH), sertifikaattien hallinta-/varmennusohjelma (esim. GPG) sekä käyttöliit-tymäkirjasto (esim. LuCI).
Etähallintalaite 61 käsittää myös rajapintaelementtejä, joka käsittävät tulon/lähdön tai tulo-/lähtövälineet 624, 625, 626, 627 ja 628 tiedon vastaanottamiseksi tai lähettämiseksi. Tulovälineillä vastaanotettu tieto siirretään etähallintalaitteen 61 prosessorivälineiden 622 käsiteltäväksi. Etähallintalaitteen rajapintaelementeillä siirretään tietoa joko tiedonsiirtoverkkoon tai ulkoisiin tiedonkäsittelylaitteisiin. Etähallintalaitteen 61 rajapintaelementtejä ovat edullisesti WAN-portti 624, yksi tai useampia LAN-portteja 625, antenniportti 626, USB-portti 627 ja hallintaportti 628. Etähallintalaitteen 61 ja etähallinta-avainlaitteen 42 tai 41c paritus voidaan edullisesti suorittaa esimerkiksi USB-portin 627 kautta.
Alan ammattilaiselle on ilmeistä, että etähallintalaitteen 61 toiminnot voidaan integroida osaksi sellaista tietoteknistä tai taloteknistä laitetta, jossa on riittävä prosessori- ja muistikapasiteetti sekä liitäntävälineet erilaisten teknisten välineiden liittämiseksi siihen joko langallisella tiedonsiirtoyhteydellä tai langattomalla tiedonsiirtoyhteydellä. Tämä tietotekninen laite, johon etähallintalaitteen toiminnot on integroitu, on kytketty johonkin tiedonsiirtoverkkoon 5, josta on pääsy julkiseen Internetiin.
Kuvassa 5a on esitetty keksinnön mukaisen etähallinta-avainlaitteen 42 toiminnallisia pääosia. Etähallintalaitteessa 42 on teholähde 421. Se voi olla akku tai verkkovirtaan perustuva teholähde. Kaikki etähallintalaitteen sähköiset komponentit saavat käyttöjännitteensä teholähteestä 421.
Etähallinta-avainlaite 42 voi käsittää yhden tai useampia prosessoreja 422. Prosessori tai prosessorivälineet voivat käsittää aritmeettisen logiikkayksikön, joukon erilaisia rekistereitä ja ohjauspiirejä. Prosessorivälineisiin on liitetty tiedontallen-nusjärjestely 423, kuten muistiyksikkö tai muistivälineet, johon tietokoneella luet tavaa tietoa tai ohjelmia tai käyttäjätietoa voidaan tallentaa. Muistivälineet 423 sisältävät tyypillisesti muistiyksiköitä, jotka sallivat sekä luku- että kirjoitustoiminnot (Random Access Memory, RAM), ja haihtumatonta muistia sisältäviä muistiyksiköitä, joista tietoa voidaan vain lukea (Read Only Memory, ROM). Muistivälineisiin on tallennettu edullisesti VPN-yhteyden muodostuksessa hyödynnettävät sertifikaatit, senhetkinen verkkopolkutieto ja kaikki etähallinta-avainlaitteen 42 toiminnassa tarvittavat ohjelmat.
Eräitä esimerkkejä etähallinta-avainlaitteen 42 muistiin tallennetuista ohjelmista ovat käyttöjärjestelmä (esim. Linux), TCP/IP-ohjelmat, VPN-ohjelma (esim. OpenVPN), DHCP-palvelin-/asiakaslaiteohjelma (esim. ISC DHCP), DNS-palvelinohjelma (esim. dnsmasq), tietokantaohjelma (esim. SQLite), etähallintaoh-jelma (esim. OpenSSH), sertifikaattien hallinta-/varmennusohjelma (esim. GPG) sekä käyttöliittymäkirjasto (esim. LuCI).
Etähallinta-avainlaite 42 käsittää myös rajapintaelementtejä, jotka käsittävät tu-lon/lähdön tai tulo-/lähtövälineet 424, 425, 426, 427 ja 428 tiedon vastaanottamiseksi tai lähettämiseksi. Tulovälineillä vastaanotettu tieto siirretään etähallinta-avainlaitteen 42 prosessorivälineiden 422 käsiteltäväksi. Etähallintalaitteen raja-pintaelementeillä siirretään tietoa joko tiedonsiirtoverkkoon tai ulkoisiin tiedonkä-sittelylaitteisiin. Etähallintalaitteen 42 rajapintaelementtejä ovat edullisesti WAN-portti 424, LAN-porttit 425, antenniportti 426, USB-portti 427 ja hallintaportti 428.
Kuvassa 5b on esitetty keksinnön toisen suoritusmuodon mukainen etähallinta-avainlaitteen 42b toiminnallisia pääosia. Tämän suoritusmuodon mukainen etähallinta-avainlaite 42b voi käsittää yhden tai useampia kryptoprosessoreja 422b. Prosessori tai prosessorivälineet voivat käsittää aritmeettisen logiikkayksikön, joukon erilaisia rekistereitä ja ohjauspiirejä. Kryptoprosessori 422b käsittää edullisesti sisäisen muistiyksikön, johon on tallennettu oma yksityinen salausavain.
Prosessorivälineisiin on liitetty tiedontallennusjärjestely 423b, kuten Flash-muistiyksikkö tai muistivälineet, johon tietokoneella luettavaa tietoa tai ohjelmia tai käyttäjätietoa voidaan tallentaa. Muistivälineet 423b sisältävät tyypillisesti muistiyksiköitä, jotka sallivat sekä luku- että kirjoitustoiminnot (Random Access Memory, RAM), ja haihtumatonta muistia sisältäviä muistiyksiköitä, joista tietoa voidaan vain lukea (Read Only Memory, ROM). Muistivälineisiin on tallennettu edullisesti VPN-yhteyden muodostuksessa hyödynnettävät sertifikaatit, senhetkinen verkkopolkutieto, sen laitepareina toimivan etähallintalaitteen 61 tunnistetiedot ja kaikki etähallinta-avainlaitteen 42b toiminnassaan tarvitsemat ohjelmat.
Eräitä esimerkkejä etähallinta-avainlaitteen 42b muistiin tallennetuista ohjelmista ovat käyttöjärjestelmä (esim. Linux), TCP/IP-ohjelmat, VPN-ohjelma (esim. OpenVPN), DHCP-asiakaslaiteohjelma (esim. ISC DHCP), tietokantaohjelma (esim. SQLite), sertifikaattien hallinta-/varmennusohjelma (esim. GPG) sekä käyt-töliittymäkirjasto (esim. LuCI).
Etähallinta-avainlaite 42b käsittää myös rajapintaelementtejä, jotka käsittävät tu-lon/lähdön tai tulo/lähtövälineet 426b tiedon vastaanottamiseksi tai lähettämiseksi. Tulovälineillä vastaanotettu tieto siirretään etähallinta-avainlaitteen 42b prosesso-rivälineiden 422b käsiteltäväksi. Etähallintalaitteen rajapintaelementeillä siirretään edullisesti tietoa etähallinta-avainlaitteen muistista 423b joko ulkoiseen tiedonkä-sittelylaitteeseen 41c tai etähallintalaitteeseen 61. Vastaavasti rajapintaelementti-en kautta voidaan vastaanottaa tietoa tai käskyjä esimerkiksi siitä tiedonkäsittely-laitteesta, johon etähallinta-avainlaite 42b on kytketty.
Edellä kuvattuja etähallinta-avainlaitteita 42 tai 42b on käyttöoikeustasoltaan ainakin kahden tasoisia, esimerkiksi ylläpitäjän ja peruskäyttäjän tasoisia avainlait-teita. Korkeamman käyttöoikeustason avainlaitteen käyttäjällä/omistajalla (esim. ylläpitäjällä) on hallintaoikeus kaikkiin itseään alempitasoisempien etähallinta-avainlaitteiden omistajien (kuten peruskäyttäjien) hallintakohteisiin. Alempitasoisen avainlaitteen käyttöoikeustason omistajalla ei sen sijaan ole pääsyä omia kohteitaan lukuun ottamatta mihinkään muuhun ylemmän käyttöoikeustason hallintakohteeseen.
Kuvassa 6 on esitetty etähallintapalvelimen 21 toiminnalliset pääosat. Etähallinta-palvelin 21 toimii edullisesti myös TCP-relepalvelimena. Etähallintapalvelin 21 käsittää teholähteen 611. Se voi olla akku tai verkkovirtaan perustuva teholähde. Kaikki etähallintapalvelimen 21 sähköiset komponentit saavat käyttöjännitteensä teholähteestä 611.
Etähallintapalvelimessa 21 on yksi tai useampia prosessoreja 612. Prosessori tai prosessorivälineet voivat käsittää aritmeettisen logiikkayksikön, joukon erilaisia rekistereitä ja ohjauspiirejä. Prosessorivälineisiin on liitetty tiedontallennusjärjeste-ly 613, kuten muistiyksikkö tai muistivälineet, johon tietokoneella luettavaa tietoa tai ohjelmia tai käyttäjätietoa voidaan tallentaa. Muistivälineet 613 sisältävät tyypillisesti muistiyksiköitä, jotka sallivat sekä luku- että kirjoitustoiminnot (Random Access Memory, RAM), ja haihtumatonta muistia sisältäviä muistiyksiköitä, joista tietoa voidaan vain lukea (Read Only Memory, ROM). Muistivälineisiin on tallennettu edullisesti etähallintajärjestelmän laiteparien tunnistetiedot (Tosibox- rekisteri), kunkin laiteparin senhetkiset verkkopolkutiedot, kaikki laiteparien välille luotavan VPN-tiedonsiirtoyhteyden luomisessa tarvittavat ohjelmat sekä Tosibox-tietokanta.
Eräitä esimerkkejä etähallintapalvelimen 21 muistiin tallennetuista ohjelmista ovat käyttöjärjestelmä (esim. Linux), TCP/IP-ohjelmat, DHCP-palvelin-/asiakaslaiteoh-jelma (esim. ISC DHCP), DNS-palvelinohjelma (esim. bind), tietokantaohjelma (esim. SQLite), sertifikaattien hallinta-/varmennusohjelma (esim. GPG) sekä käyt-töliittymäkirjasto (esim. LuCI).
Etähallintapalvelin 21 käsittää myös rajapintaelementtejä, jotka käsittävät tu-lon/lähdön tai tulo-/lähtövälineet 614 tiedon vastaanottamiseksi tai lähettämiseksi. Tulovälineillä vastaanotettu tieto siirretään etähallintapalvelimen 21 prosessorivä-lineiden 612 käsiteltäväksi. Etähallintapalvelimen 21 rajapintaelementeillä siirretään tietoa joko tiedonsiirtoverkkoon tai ulkoisiin tiedonkäsittelylaitteisiin. Etähallintapalvelimen 21 rajapintaelementti on edullisesti VVAN-portti 614.
Etähallintapalvelin 21 käsittää edullisesti myös käyttäjärajapinnan tai käyttöliittymän (ei esitetty kuvassa 6), joka käsittää välineet tiedon vastaanottamiseksi palvelimen 21 käyttäjältä. Käyttöliittymä voi käsittää näppäimistön, kosketusnäytön, mikrofonin ja kaiuttimen.
Kuvassa 7 on esitetty etähallintalaitteen 61, etähallinta-avainlaitteen 42, 42b ja etähallintapalvelimen 21 välisessä tiedonsiirrossa hyödynnetyt tiedonsiirtokerrok-set (Tosibox-kerrokset).
Fyysinen Tosibox-kerros käsittää vaihtoehtoja fyysisen tiedonsiirtoyhteyden luomiseksi kahden etähallintaan osallistuvan laitteen välille. Tiedonsiirtoyhteys voidaan muodostaa esimerkiksi kytkemällä laitteet Ethernet-portistaan paikalliseen Ethernet-verkkoon, josta on yhteys Internetiin. Vaihtoehtoisesti tiedonsiirtoyhteys voidaan luoda paikalliseen VVLAN-verkkoon, josta on yhteys Internetiin. Kolmas vaihtoehto on muodostaa 2G- tai 3G-tiedonsiirtoyhteys. Tässä suoritusmuodossa etähallintalaitteen ja/tai etähallinta-avainlaitteen USB-porttiin kytketään 2G- tai 3G-yhteyden muodostava päätelaite.
Tosibox -siirtokerros käsittää pakettikytkentäisessä VPN-tiedonsiirtoyhteydellä hyödynnettävissä olevia yhteydenmuodostusmenettelyjä. Vaihtoehtoisia tai rinnakkaisia yhteydenmuodostusmenettelyitä ovat suora TCP-tiedonsiirtoyhteys osapuolten välillä, suora UDP-tiedonsiirtoyhteys osapuolten välillä, porttiskanna-usta käyttämällä luotu tiedonsiirtoyhteys osapuolten välillä, ICMP ECHO - viesteihin perustuva tiedonsiirtoyhteys osapuolten välillä tai etähallintapalvelimen (TCP-relepalvelin) kautta luotu releoitu tiedonsiirtoyhteys.
VPN-salauskerros käsittää etähallintalaitteen 61 tuntemat salausmenettelyt (oma yksityinen salausavain ja etähallinta-avainlaitteen julkinen salausavain) ja etähal-linta-avainlaitteen 42, 42b tuntemat salausmenettelyt (oma yksityinen salausavain ja etähallintalaitteen julkinen salausavain). Näillä salausmenettelyillä etähallinta-laite 61 ja etähallinta-avainlaite 42, 42b kykenevät luomaan keskenään PKI-salausmenettelyä (Public Key Infrastructure) käyttäen salatun VPN-tiedonsiirtoyhteyden.
Edellä on kuvattu eräitä keksinnön mukaisen etähallintajärjestelmän VPN-tiedonsiirtoyhteyden luomisessa hyödynnettyjä menettelyjä. Lisäksi on kuvattu nämä menettelyt etähallintajärjestelmässä toteuttavien komponenttien edullisia suoritusmuotoja. Keksintö ei rajoitu juuri kuvattuihin ratkaisuihin, vaan keksinnöllistä ajatusta voidaan soveltaa lukuisilla tavoilla patenttivaatimusten asettamissa rajoissa.

Claims (16)

1. Menetelmä virtuaalisen erillisverkon (55, VPN) luomiseksi kiinteistön toimilaitteiden etähallintajärjestelmän (1A, 1B) ensimmäisen verkkopäätteen (42, 42b) ja toisen verkkopäätteen (61) välille, tunnettu siitä, että -sekä ensimmäinen verkkopääte (42, 42b) että toinen verkkopääte (61), jotka muodostavat ennalta määritetyn verkkopääteparin, jonka kummankin osapuolen muistiin on tallennettu verkkopääteparin toisen osapuolen laitetunnistuskoodi, joilla laitetunnistuskoodeilla osapuolet on rajattu liikennöimään vain keskenään, lähettävät aika ajoin etähallintapalvelimelle (21) kiertokyselyn, jossa kysytään, onko laitepariin kuuluva toinen laite kytkeytynyt tiedonsiirtoverkkoon, ja jos on, niin silloin -sekä ensimmäinen verkkopääte (42, 42b) että toinen verkkopääte (61) ottavat yhteyden (201) etähallintapalvelimeen (21) virtuaalisen erillisverkon luomiseksi ja pyytävät (204) etähallintapalvelimelta (21) reititystiedot päästä-päähän-tiedon-siirtoyhteyden muodostamiseksi mainittujen verkkopäätteiden välille - etähallintapalvelin (21) lähettää (205) sekä ensimmäiselle verkkopäätteelle (42, 42b) että toiselle verkkopäätteelle (61) pyydetyt reititystiedot (205) tarkistettuaan, että verkkopäätteet (42, 42b, 61) ovat ennalta määritetty verkkopäätepari, ja että -sekä ensimmäinen verkkopääte (42, 42b) että toinen verkkopääte (61) käynnistävät useilla tuntemillaan virtuaalisen erillisverkon muodostusmenetelmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon (55) aikaansaamiseksi.
2. Patenttivaatimuksen 1 mukainen etähallintamenetelmä, tunnettu siitä, että virtuaalinen erillisverkko luodaan suorana TCP-tiedonsiirtoyhteytenä verkkopäätteiden välille (2060, 2060a), suorana UDP-tiedonsiirtoyhteytenä verkkopäätteiden välille (2061, 2061a), käyttämällä UDP-porttiskannausta verkkopäätteiden välillä (2062, 2062a), IP-kontrolliprotokollan ICMP ECHO-viestejä hyödyntäen (2063, 2063a) tai etähallintapalvelimen (21) kautta releoidulla TCP-tiedonsiirtoyhteydellä (2064, 2064a).
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että ainakin releoitu virtuaalinen TCP-erillisverkko puretaan, jos virtuaalinen erillisverkko (55) on luotu myös jollain toisella virtuaalisen erillisverkon luontimenetelmällä.
4. Kiinteistön toimilaitteiden etähallinta-avainlaite (42, 42b), joka käsittää - verkkoliitäntärajapintaelementtejä, jotka käsittävät tulo/lähtövälineet (424, 425, 426, 426b, 427, 428) verkkoliitännöille (3, 4) - prosessorin (422, 422b) sekä - muistin (423, 423b), joka sisältää tietokoneohjelmakoodia, tunnettu siitä, että prosessori, muisti ja siihen tallennettu tietokoneohjelmakoodi on järjestetty -lähettämään aika ajoin etähallintapalvelimelle (21) kiertokyselyn, jossa kysytään, onko etähallinta-avainlaiteen (42, 42b) verkkopäätepariksi ennalta määritetty etähallintalaite (61), jonka laitetunnistekoodi on tallennettu etähallinta-avainlaitteen (42, 4ab) muistiin (423, 423b), jolla laitetunnistuskoodilla etähallinta-avainlaite (42, 42b) on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallinta-laitteeseen (61), kytkeytynyt tiedonsiirtoverkkoon, ja jos on, niin silloin - ottamaan yhteyden (201) etähallintapalvelimeen (21) ja pyytämään (204) etähal-lintapalvelimelta (21) etähallintalaitteen (61) reititystiedot virtuaalisen erillisverkon luomiseksi etähallintalaitteeseen (61) -vastaanottamaan etähallintapalvelimelta (21) etähallintalaitteen (61) reititystiedot ja -käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muodostusmene-telmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon (55) aikaansaamiseksi etähallintalaitteen (61) kanssa.
5. Patenttivaatimuksen 4 mukainen etähallinta-avainlaite, tunnettu siitä, että se on järjestetty luomaan virtuaalinen erillisverkko suorana TCP- tiedonsiirtoyhteytenä (2060, 2060a) etähallintalaitteeseen (61), suorana UDP-tiedonsiirtoyhteytenä (2061, 2061a) etähallintalaitteeseen (61), käyttämällä UDP-porttiskannausta (2062, 2062a) etähallintalaitteen (61) kanssa, hyödyntämällä IP-kontrolliprotokollan ICMP ECHO-viestejä (2063, 2063a) etähallintalaitteen (61) kanssa tai luomaan etähallintapalvelimen (21) kautta releoitu TCP- tiedonsiirtoyhteys (2064, 2064a) etähallintalaitteeseen (61).
6. Patenttivaatimuksen 5 mukainen etähallinta-avainlaite, tunnettu siitä, että se on järjestetty purkamaan ainakin releoitu virtuaalinen TCP-erillisverkko, jos vir tuaalinen erillisverkko (55) on luotu myös jollain toisella virtuaalisen erillisverkon luontimenetelmällä.
7. Kiinteistön toimilaitteiden etähallintalaite (61), joka käsittää - verkkoliitäntärajapintaelementtejä, jotka käsittävät tulo/lähtövälineet (624, 625, 626, 627, 628) verkkoliitännälle (5) - prosessorin (622) sekä - muistin (623), joka sisältää tietokoneohjelmakoodia, tunnettu siitä, että prosessori, muisti ja siihen tallennettu tietokoneohjelmakoodi on järjestetty -lähettämään aika ajoin etähallintapalvelimelle (21) kiertokyselyn, jossa kysytään, onko etähallintalaitteen (61) verkkopäätepariksi ennalta määritetty etähallin-ta-avainlaite (42, 42b), jonka laitetunnistuskoodi on tallennettu etähallintalaitteen (61) muistiin (623), jolla laitetunnistuskoodilla etähallintalaite (61) on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallinta-avainlaitteeseen (42, 42b), kytkeytynyt tiedonsiirtoverkkoon, ja jos on, - ottamaan yhteyden (201) etähallintapalvelimeen (21) ja pyytämään (204) etähal-lintapalvelimelta (21) etähallinta-avainlaitteen (42, 42b) reititystiedot virtuaalisen erillisverkon luomiseksi etähallinta-avainlaitteeseen (42, 42b) -vastaanottamaan etähallintapalvelimelta (21) etähallinta-avainlaitteen (42, 42b) reititystiedot ja -käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muodostusmene-telmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon (55) aikaansaamiseksi etähallinta-avainlaitteen (42, 42b) kanssa.
8. Patenttivaatimuksen 7 mukainen etähallintalaite, tunnettu siitä, että se on järjestetty luomaan virtuaalinen erillisverkko suorana TCP-tiedonsiirtoyhteytenä (2060, 2060a) etähallinta-avainlaitteeseen (42, 42b), suorana UDP-tiedonsiirtoyh-teytenä (2061, 2061a) etähallinta-avainlaitteeseen (42, 42b), käyttämällä UDP-porttiskannausta (2062, 2062a) etähallinta-avainlaitteen (42, 42b) kanssa, hyödyntämällä IP-kontrolliprotokollan ICMP ECHO -viestejä (2063, 2063a) etähallin- ta-avainlaitteen (42, 42b) kanssa tai luomaan etähallintapalvelimen (21) kautta releoitu TCP-tiedonsiirtoyhteys (2064, 2064a) etähallinta-avainlaitteeseen (42, 42b).
9. Patenttivaatimuksen 8 mukainen etähallintalaite, tunnettu siitä, että se on järjestetty purkamaan ainakin releoitu virtuaalinen TCP-erillisverkko, jos virtuaalinen erillisverkko (55) on luotu myös jollain toisella virtuaalisen erillisverkon luon-timenetelmällä.
10. Etähallintapalvelin (21), joka käsittää - verkkoliitäntärajapintaelementtejä, jotka käsittävät tulo/lähtövälineet (614) - prosessorin (612) sekä - muistin (613), joka sisältää tietokoneohjelmakoodia, jotka prosessori, muisti ja siihen tallennetut tietokoneohjelmakoodi on järjestetty -tallentamaan etähallintapalvelimen muistiin kiinteistön etähallintaan käytetyn kahden verkkopäätteen muodostaman verkkopääteparin (42, 42b, 61) laitetunnis-tustiedot -vastaanottamaan verkkopääteparilta (42, 42b, 61) niiden määrittämät reititystiedot ja -vastaanottamaan sekä ensimmäiseltä verkkopäätteeltä (42, 42a) että toiselta verkkopäätteeltä (61) verkkopääteparin toisen osapuolen reititystietokyselyn, tunnettu siitä, että prosessori, muisti ja siihen tallennetut tietokoneohjelmakoodi on lisäksi järjestetty -tarkastamaan verkkopääteparin laitetunnistustiedoista, mikä on reititystieto-kyselyn tehneen ensimmäisen verkkopäätteen (42, 42a) ennalta määritettynä verkkopääteparina toimiva toinen verkkopääte (61), jonka kanssa ensimmäiselle verkkopäätteelle (42, 42a) liikennöinti on ainoastaan sallittua - lähettämään verkkopääteparin reititystiedot tarkistuksen jälkeen sekä ensimmäiselle verkkopäätteelle (42, 42a) että toiselle verkkopäätteelle (61), jos molemmat ovat kytkeytyneenä tiedonsiirtoverkkoon -vastaanottamaan verkkopääteparin (42, 42b, 61) yhteydessä käytössä olevat verkkoavaruustiedot ja lähettämään sallitun verkkoavaruustiedon etähallintalait-teelle (61) sekä -katkaisemaan tiedonsiirtoyhteys verkkopäätepariin (42, 42a, 61), kun ainakin yksi suora virtuaalinen erillisverkko (55) verkkopäätelaiteparin (42, 42a, 61) välille on saatu luotua.
11. Tietokoneohjelma käsittäen tietokoneella luettavissa olevalle tallennusvälineelle tallennetut tietokoneohjelmakoodivälineet etähallinta-avainlaitetoimintojen aikaansaamiseksi, joka käsittää koodivälineet reititystiedon määrittämiseksi etä-hallinta-avainlaitteesta (42, 42b) Internetiin (2), tunnettu siitä, että tietokoneohjelma käsittää lisäksi: -koodivälineet lähettämään aika ajoin etähallintapalvelimelle (21) kiertokyselyn, jossa kysytään, onko etähallintalaite (61), jonka laitetunnistuskoodi on tallennettu etähallinta-avainlaitteen (42, 4ab) muistiin (423, 423b), jolla laitetunnistuskoodilla etähallinta-avainlaite (42, 42b) on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallintalaitteeseen (61), jonka kanssa etähallinta-avainlaite (42, 42a) täten muodostaa ennalta määritetyn verkkopääteparin, kytkeytynyt tiedonsiirtoverkkoon, ja jos on, niin silloin -koodivälineet ottamaan yhteyden (201) etähallintapalvelimeen (21) ja pyytämään (204) etähallintapalvelimelta (21) etähallintalaitteen (61) reititystiedot virtuaalisen erillisverkon luomiseksi etähallintalaitteeseen (61) -koodivälineet vastaanottamaan etähallintapalvelimelta (21) etähallintalaitteen (61) reititystiedot ja - koodivälineet käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muo-dostusmenetelmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon (55) aikaansaamiseksi etähallintalaitteen (61) kanssa.
12. Patenttivaatimuksen 11 mukainen tietokoneohjelma, tunnettu siitä, että se käsittää lisäksi koodivälineet, jotka on järjestetty luomaan virtuaalinen erillisverkko suorana TCP-tiedonsiirtoyhteytenä (2060, 2060a) etähallintalaitteeseen (61), suorana UDP-tiedonsiirtoyhteytenä (2061, 2061a) etähallintalaitteeseen (61), käyttämällä UDP-porttiskannausta (2062, 2062a) etähallintalaitteen (61) kanssa, hyödyntämällä IP-kontrolliprotokollan ICMP ECHO -viestejä (2063, 2063a) etähallin- talaitteen (61) kanssa tai luomaan etähallintapalvelimen (21) kautta releoitu TCP-tiedonsiirtoyhteys (2064, 2064a) etähallintalaitteeseen (61).
13. Patenttivaatimuksen 12 mukainen tietokoneohjelma, tunnettu siitä, että se käsittää myös koodivälineet, jotka on järjestetty purkamaan ainakin releoitu virtuaalinen TCP-erillisverkko, jos virtuaalinen erillisverkko (55) on luotu myös jollain toisella virtuaalisen erillisverkon luontimenetelmällä.
14. Tietokoneohjelma käsittäen tietokoneella luettavissa olevalle tallennusvälineelle tallennetut tietokoneohjelmakoodivälineet etähallintalaitteen toimintojen aikaansaamiseksi, joka käsittää koodivälineet reititystiedon määrittämiseksi etähal-lintalaitteesta (61) Internetiin (2), tunnettu siitä, että tietokoneohjelma käsittää lisäksi: -koodivälineet lähettämään aika ajoin etähallintapalvelimelle (21) kiertokyselyn, jossa kysytään, onko etähallinta-avainlaite (42, 42b), jonka laitetunnistuskoodi on tallennettu etähallintalaitteen (61) muistiin (623), jolla laitetunnistuskoodilla etä-hallintalaite (61) on rajattu luomaan tiedonsiirtoyhteys ainoastaan etähallinta-avainlaitteeseen (42, 42b), jonka kanssa etähallintalaite (61) täten muodostaa ennalta määritetyn verkkopääteparin, kytkeytynyt tiedonsiirtoverkkoon, ja jos on, -koodivälineet ottamaan yhteyden (201) etähallintapalvelimeen (21) ja pyytämään (204) etähallintapalvelimelta (21) etähallinta-avainlaitteen (42, 42b) reititystiedot virtuaalisen erillisverkon luomiseksi etähallinta-avainlaitteeseen (42, 42b) -koodivälineet vastaanottamaan etähallintapalvelimelta (21) etähallinta-avainlaitteen (42, 42b) reititystiedot ja - koodivälineet käynnistämään useilla tuntemillaan virtuaalisen erillisverkon muo-dostusmenetelmillä päästä-päähän-tiedonsiirtoyhteyden luomisprosessin ainakin yhden virtuaalisen erillisverkon (55) aikaansaamiseksi etähallinta-avainlaitteen (42, 42b) kanssa.
15. Patenttivaatimuksen 14 mukainen tietokoneohjelma, tunnettu siitä, että se käsittää lisäksi koodivälineet, jotka on järjestetty luomaan virtuaalinen erillisverkko suorana TCP-tiedonsiirtoyhteytenä (2060, 2060a) etähallinta-avainlaitteeseen (42, 42b), suorana UDP-tiedonsiirtoyhteytenä (2061, 2061a) etähallinta- avainlaitteeseen (42, 42b), käyttämällä UDP-porttiskannausta (2062, 2062a) etähallinta-avainlaitteen (42, 42b) kanssa, hyödyntämällä IP-kontrolliprotokollan ICMP ECHO -viestejä (2063, 2063a) etähallinta-avainlaitteen (42, 42b) kanssa tai luomaan etähallintapalvelimen (21) kautta releoitu TCP-tiedonsiirtoyhteys (2064, 2064a) etähallinta-avainlaitteeseen (42, 42b).
16. Patenttivaatimuksen 15 mukainen tietokoneohjelma, tunnettu siitä, että se käsittää myös koodivälineet, jotka on järjestetty purkamaan ainakin releoitu virtuaalinen TCP-erillisverkko, jos virtuaalinen erillisverkko (55) on luotu myös jollain toisella virtuaalisen erillisverkon luontimenetelmällä.
FI20125022A 2012-01-09 2012-01-09 Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi FI125972B (fi)

Priority Applications (15)

Application Number Priority Date Filing Date Title
FI20125022A FI125972B (fi) 2012-01-09 2012-01-09 Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi
DK13735938.6T DK2803177T3 (en) 2012-01-09 2013-01-07 DEVICE AND METHOD FOR IMPLEMENTING A DATA TRANSMISSION NETWORK USED IN REMOTE MANAGEMENT
PCT/FI2013/050011 WO2013104823A2 (en) 2012-01-09 2013-01-07 Device arrangement and method for implementing a data transfer network used in remote control of properties
KR1020147022279A KR101519520B1 (ko) 2012-01-09 2013-01-07 건물들의 원격 제어에 사용되는 데이터 전달 네트워크를 구현하기 위한 디바이스 어레인지먼트 및 방법
EP13735938.6A EP2803177B1 (en) 2012-01-09 2013-01-07 Device arrangement and method for implementing a data transfer network used in remote control of properties
CN201380012759.5A CN104160677B (zh) 2012-01-09 2013-01-07 用于实现在资产的远程控制中使用的数据传输网络的设备布置和方法
AU2013208840A AU2013208840B2 (en) 2012-01-09 2013-01-07 Device arrangement and method for implementing a data transfer network used in remote control of properties
CA2860680A CA2860680C (en) 2012-01-09 2013-01-07 Device arrangement and method for implementing a data transfer network used in remote control of properties
ES13735938.6T ES2618953T3 (es) 2012-01-09 2013-01-07 Disposición de dispositivo y método para implementar una red de transferencia de datos utilizada en el control remoto de propiedades
MX2014008449A MX338045B (es) 2012-01-09 2013-01-07 Configuracion de dispositivo y método para implementar una red de transferencia de datos utilizada en control remoto de propiedades.
US14/370,872 US9900178B2 (en) 2012-01-09 2013-01-07 Device arrangement and method for implementing a data transfer network used in remote control of properties
RU2014131719/08A RU2584752C2 (ru) 2012-01-09 2013-01-07 Устройство и способ реализации сети передачи данных, используемой для удаленного управления жилищем
JP2014550741A JP5763849B2 (ja) 2012-01-09 2013-01-07 プロパティの遠隔制御で使用されるデータ転送ネットワークを実現するためのデバイス構成および方法
BR112014016909A BR112014016909A8 (pt) 2012-01-09 2013-01-07 arranjo de dispositivo e método para implementação de uma rede de transferência de dados utilizada em controle remoto de propriedades
PL13735938T PL2803177T3 (pl) 2012-01-09 2013-01-07 Układ urządzenia i sposób do implementowania sieci transmisji danych wykorzystywanej w zdalnym sterowaniu nieruchomością

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FI20125022A FI125972B (fi) 2012-01-09 2012-01-09 Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi

Publications (2)

Publication Number Publication Date
FI20125022A FI20125022A (fi) 2013-07-10
FI125972B true FI125972B (fi) 2016-05-13

Family

ID=48782006

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20125022A FI125972B (fi) 2012-01-09 2012-01-09 Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi

Country Status (15)

Country Link
US (1) US9900178B2 (fi)
EP (1) EP2803177B1 (fi)
JP (1) JP5763849B2 (fi)
KR (1) KR101519520B1 (fi)
CN (1) CN104160677B (fi)
AU (1) AU2013208840B2 (fi)
BR (1) BR112014016909A8 (fi)
CA (1) CA2860680C (fi)
DK (1) DK2803177T3 (fi)
ES (1) ES2618953T3 (fi)
FI (1) FI125972B (fi)
MX (1) MX338045B (fi)
PL (1) PL2803177T3 (fi)
RU (1) RU2584752C2 (fi)
WO (1) WO2013104823A2 (fi)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2954656A1 (en) * 2013-02-07 2015-12-16 Koninklijke Philips N.V. Configuring interaction control in multi-controller network
DE102013106119A1 (de) * 2013-06-12 2014-12-18 Deutsche Telekom Ag Hierarchisches Authentifizierungs- und Autorisierungssystem
EP2887589A1 (en) * 2013-12-20 2015-06-24 Rovio Entertainment Ltd Stateless message routing
US9871717B2 (en) * 2014-04-25 2018-01-16 Metaswitch Networks Ltd Data processing
SE539192C2 (en) * 2014-08-08 2017-05-09 Identitrade Ab Method and a system for authenticating a user
CN104796341A (zh) * 2015-03-13 2015-07-22 王金浪 便携式网络发送转换装置及其网络分配系统
US10015162B2 (en) * 2015-05-11 2018-07-03 Huawei Technologies Co., Ltd. Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests
RU2674309C9 (ru) * 2017-03-10 2019-02-15 Ашот Эрнстович Кочарян Устройство, способ, программа и интерфейс для системы терминалов с управлением посредством сенсорного экрана
JP7157146B2 (ja) 2017-09-27 2022-10-19 ユービキティ インコーポレイテッド ローカルネットワークへの自動保全されたリモートアクセスのためのシステム
US20200084264A1 (en) * 2018-09-11 2020-03-12 Owl Cyber Defense Solutions, Llc System and method for secure cross-domain file transfer
US11611536B2 (en) * 2020-06-10 2023-03-21 360 It, Uab Enhanced privacy-preserving access to a VPN service
US11671375B2 (en) * 2021-07-15 2023-06-06 Verizon Patent And Licensing Inc. Systems and methods for software defined hybrid private and public networking

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL144100A (en) 2000-07-06 2006-08-01 Samsung Electronics Co Ltd A method based on MAC address in communication restriction
US6941356B2 (en) 2001-06-29 2005-09-06 International Business Machines Corporation Automated configuration enabled via interrogation over network
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
US20050120204A1 (en) 2003-12-01 2005-06-02 Gary Kiwimagi Secure network connection
JP2005217584A (ja) * 2004-01-28 2005-08-11 Nec Corp 制御局、無線通信システム及び無線通信方法
US7590074B1 (en) 2004-12-02 2009-09-15 Nortel Networks Limited Method and apparatus for obtaining routing information on demand in a virtual private network
JP4909277B2 (ja) 2005-10-04 2012-04-04 パナソニック株式会社 ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器
US8572721B2 (en) * 2006-08-03 2013-10-29 Citrix Systems, Inc. Methods and systems for routing packets in a VPN-client-to-VPN-client connection via an SSL/VPN network appliance
KR101463404B1 (ko) * 2006-10-13 2014-11-19 쿼파 홀딩스 리미티드 사설 네트워크 시스템 및 그를 구현하는 방법
WO2009115132A1 (en) * 2008-03-20 2009-09-24 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for use in a communications network
JP5357619B2 (ja) * 2009-04-28 2013-12-04 セコム株式会社 通信障害検出システム
US20100325719A1 (en) * 2009-06-19 2010-12-23 Craig Stephen Etchegoyen System and Method for Redundancy in a Communication Network
US8478821B2 (en) * 2010-03-05 2013-07-02 Veetle, Inc. Network membership management for peer-to-peer networking
CN101969435B (zh) 2010-09-30 2013-02-20 北京新媒传信科技有限公司 基于sip-c协议的交互方法及系统
FI123551B (fi) 2011-02-22 2013-07-15 Tosibox Oy Menetelmä ja laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi
FI124341B (fi) 2011-05-24 2014-07-15 Tosibox Oy Laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법

Also Published As

Publication number Publication date
CA2860680A1 (en) 2013-07-18
PL2803177T3 (pl) 2017-07-31
MX2014008449A (es) 2015-02-24
RU2584752C2 (ru) 2016-05-20
EP2803177B1 (en) 2016-12-14
US9900178B2 (en) 2018-02-20
US20150146567A1 (en) 2015-05-28
KR20140110078A (ko) 2014-09-16
AU2013208840B2 (en) 2015-01-22
WO2013104823A2 (en) 2013-07-18
CN104160677A (zh) 2014-11-19
BR112014016909A8 (pt) 2017-07-04
FI20125022A (fi) 2013-07-10
KR101519520B1 (ko) 2015-05-12
AU2013208840A1 (en) 2014-08-21
WO2013104823A3 (en) 2013-09-06
JP5763849B2 (ja) 2015-08-12
EP2803177A2 (en) 2014-11-19
JP2015503871A (ja) 2015-02-02
EP2803177A4 (en) 2015-09-23
CA2860680C (en) 2017-01-17
MX338045B (es) 2016-03-31
DK2803177T3 (en) 2017-03-27
RU2014131719A (ru) 2016-03-10
CN104160677B (zh) 2016-02-10
BR112014016909A2 (pt) 2017-06-13
ES2618953T3 (es) 2017-06-22

Similar Documents

Publication Publication Date Title
FI125972B (fi) Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi
US8117292B2 (en) Server for routing connections between the server and a client machine
KR101392356B1 (ko) 소유지들의 원격 제어를 구현하기 위한 방법 및 디바이스 어레인지먼트
FI124341B (fi) Laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 125972

Country of ref document: FI

Kind code of ref document: B