SE524173C2 - Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform - Google Patents

Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform

Info

Publication number
SE524173C2
SE524173C2 SE0201362A SE0201362A SE524173C2 SE 524173 C2 SE524173 C2 SE 524173C2 SE 0201362 A SE0201362 A SE 0201362A SE 0201362 A SE0201362 A SE 0201362A SE 524173 C2 SE524173 C2 SE 524173C2
Authority
SE
Sweden
Prior art keywords
communication system
service platform
directing
units
wired communication
Prior art date
Application number
SE0201362A
Other languages
English (en)
Other versions
SE0201362L (sv
SE0201362D0 (sv
Inventor
Nils-Goeran Magnusson
Niclas Klack
Stefan Johansson
Urban Modig
Original Assignee
Telia Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telia Ab filed Critical Telia Ab
Priority to SE0201362A priority Critical patent/SE524173C2/sv
Publication of SE0201362D0 publication Critical patent/SE0201362D0/sv
Priority to EP03723586A priority patent/EP1504568A1/en
Priority to PCT/SE2003/000716 priority patent/WO2003094441A1/en
Priority to AU2003230515A priority patent/AU2003230515A1/en
Publication of SE0201362L publication Critical patent/SE0201362L/sv
Publication of SE524173C2 publication Critical patent/SE524173C2/sv
Priority to NO20044376A priority patent/NO20044376L/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

o canon 10 15 20 25 » - > . .- 524 173 2 identifiera källan, t.ex. MAC-adress, användarnamn, användar-ID, lösenord, VLAN- tag eller plats. Om användare identifieras som källa, kan flera användare ha olika behörighet, trots att de använder samma dator. Om datorn identifierats som källa ges behörighet som är kopplad till MAC-adressen. Autenticering och behörighets- kontroll av källan görs med hjälp av ”källprofiler” som finns lagrade i en databas i en gateway. Källprofilen innehåller även information om konto. Då en källa passerat au- tenticering och behörighetskontroll, kan en omdírigering till en särskild portalsida gö- FHS.
Dokumentet WO-A2-O1/31886 är besläktat med dokumentet WO-A2- O1/31843 och beskriver omdírigering till en speciell portalsida baserat pà ett flertal attribut. Anslutningsförfarandet med autenticering och behörighetskontroll och omdi- rigering hanteras av en gateway.
Dokumentet WO-A2-01/33808 är besläktat med de ovan beskrivna doku- menten och visar identifiering baserat på läge eller MAC-adress.
Dokumentet WO-A1-01/76294 visar ett förfarande och ett system för att skapa individuella tjänsteplattformar. En tjänsteplattform skapas för varje s.k. klient- struktur har minst en användare. En användare kan vara kopplad till flera klientstrukturer. Användaren kan ge andra användare varierande behörighet till sin egen klientstruktur. En lokal gateway känner av då en lokal nod installeras och meddelar accessleverantören som presenterar olika tjänster för den nya noden.
Lokala noder kan exempelvis kommunicera med LonWorks.
Dokumentet US-6,075,776 beskriver ett styrsystem för VLAN:s. En "VLAN management server” och en "remote access server” är kopplade till ett VLAN. Båda har en tabell som indikerar läget för terminaler. Tabellen gör det möjligt för termina- lerna att ansluta sig till hemnätet i vilket nät de än befinner sig i. Terminalerna identi- fieras med MAC-adress.
Ingen av de ovan visade lösningarna visar en flexibel lösning på problemet att verifiera plattformsaccess på ett säkert sätt. 10 15 20 25 Q n » a s» 524 173 3 Sammanfattning av uppfinningen Det är ett ändamål med den föreliggande uppfinningen att lösa de ovan nämnda problemen.
Enligt föreliggande uppfinning àstadkommes enlig en första aspekt en an- ordning vid ett trådbundet kommunikationssystem för att dirigera geografiskt spridda enheter till en korrekt resurs på en tjänsteplattform. Anordningen innefattar en gruppserver, en till gruppservern ansluten lP-accessnod vilken via kommunikations- systemet är ansluten till nämnda enheter. IP-accessnoden innefattar information om nämnda enheter, vilken information regelbundet hämtas av gruppservern. Grupp- servern dirigerar enheten till en korrekt, på nämnda gruppserver anordnad tjänste- plattform utifrån en erhållen resursbegäran från enheten och baserat på nämnda in- formation. Med denna anordning erhålles en mycket flexibel lösning på problemet att verifiera plattforrnsaccess på ett säkert sätt.
Enligt en annan utföringsform av den föreliggande uppfinningen åstadkom- mes en anordning vid ett trådbundet kommunikationssystem för att dirigera geogra- fiskt spridda enheter till en korrekt resurs på en tjänsteplattform. Anordningen inne- fattar en IP-accessnod vilken via kommunikationssystemet är ansluten till nämnda enheter och en i IP-accessnoden ingående gruppserver. IP-accessnoden innefattar information om nämnda enheter, vilken information regelbundet hämtas av grupp- servern. Gruppservern dirigerar enheten till en korrekt, på nämnda gruppserver an- ordnad tjänsteplattform utifrån en erhàllen resursbegäran från enheten och baserat på nämnda information. Med denna anordning erhålles en mycket flexibel lösning pà problemet att verifiera plattformsaccess på ett säkert sätt.
En fördel i detta sammanhang erhålles om gruppservern innefattar en ser- ver innefattande nämnda tjänsteplattformar, samt ett till servern anslutet organ vilket hanterar från enheterna erhållna resursbegäranden. l detta sammanhang erhålles en fördel om anordningen dessutom innefattar ett minnesorgan vari nämnda information lagras i form av tabeller. :coca oense 10 15 20 25 > - - » .- . . - . - - - ; . .- 524 173 4 En fördel i detta sammanhang erhålles om tabellerna innefattar information om vilken kombination av VLAN/IP-nummer, MAC-adress/IP-nummer och använ- darkonto/IP-nummer som har access till vilken plattform. l detta sammanhang erhålles en fördel om enheterna utgöres av terminaler, användare eller apparater eller en kombination av dessa.
En fördel i detta sammanhang erhålles om nämnda information regelbundet synkroniseras mellan gruppservern och IP-accessnoden.
I detta sammanhang erhålles en fördel om IP-accessnoden innefattar ett auktoriseringssystem för att besluta om en enhet är auktoriserad, och en till auktori- seringssystemet ansluten router.
En fördel i detta sammanhang erhålles om auktoriseringssystemet innefattar en AAA-server ansluten till nämnda router och en till AAA-servern ansluten databas innefattande enheternas identitet. l detta sammanhang erhålles en fördel om IP-accessnoden dessutom inne- fattar en till databasen och nämnda router ansluten policyserver vilken konfigurerar nämnda routeri överensstämmelse med policy för angivet konto.
Enligt den föreliggande uppfinningen åstadkommes enlige en andra aspekt ett förfarande vid ett trådbundet kommunikationssystem för att medelst en anord- ning dirigera geografiskt spridda enheter till en korrekt resurs på en tjänstplattform.
Förfarandet innefattar stegen: - att när en enhet tillkopplas mottager den en IP-tokenadress; - att presentera ett konto och ett lösenord avseende enheten; - att bestämma om enheten är auktoriserad; - att en gruppserver ingående i anordningen regelbundet hämtar information om en- heterna från en IP-accessnod vilken via kommunikationssystemet är ansluten till nämnda enheter; - att gruppservern erhåller en resursbegäran från enheten; och - att gruppservern utifrån resursbegäran och baserat på nämnda information dirige- rar enheten till en korrekt, på gruppservern anordnad tjänsteplattform. vunna onan- 10 15 20 25 ~ . ~ . . . . . . .. 524 173 5 Med detta förfarande erhålles en mycket flexibel lösning på problemet att verifiera plattformsaccess på ett säkert sätt.
En fördel i detta sammanhang erhålles om steget att presentera ett konto och ett lösenord avseende enheten utföres genom att IP-accessnoden automatiskt identifierar och auktoriserar enheten när den tillkopplas genom att enheternas identiteter är registrerade i en databas ingående i IP-accessnoden.
Enligt en annan utföringsform erhålles en fördel om steget att presentera ett konto och ett lösenord avseende enheten utföres genom att en användare av enhe- ten inmatar nämnda konto och nämnda lösenord. l detta sammanhang erhålles en fördel om nämnda information lagras i form av tabelleri ett minnesorgan ingående i anordningen.
En fördel i detta sammanhang erhålles om tabellerna innefattar information om vilken kombination av VLAN/IP-nummer, MAC-adress/IP-nummer och använ- darkonto/IP-nummer som har access till vilken plattform.
I detta sammanhang erhålles en fördel om förfarandet dessutom innefattar steget: - att enheten mottager en användbar IP-adress.
En fördel i detta sammanhang erhålles om enheterna utgöres av terminaler, användare eller apparater eller en kombination av dessa.
I detta sammanhang erhålles en fördel om förfarandet dessutom innefattar steget: - att regelbundet synkronisera nämnda information mellan gruppservern och IP- accessnoden.
En fördel i detta sammanhang erhålles om IP-accessnoden innefattar en router och en till nämnda router ansluten policyserver, varvid förfarandet dessutom innefattar steget: - att policyservern konfigurerar nämnda routeri överensstämmelse med policy för angivet konto. one-o ooooo 10 15 20 o n a - u. 524 17š Enligt den föreliggande uppfinningen åstadkommes enligt en tredje aspekt åtminstone en datorprogramprodukt direkt laddningsbar i det interna minnet hos åt- minstone en digital dator. Datorprogramprodukten/produkterna innefattar program- varukodpartier för att utföra stegen enligt förfarandet när nämnda åtminstone ena produkt köres på nämnda åtminstone ena dator. Med denna åtminstone ena dator- programprodukt erhålles en mycket flexibel lösning på problemet att verifiera platt- formsaccess på ett säkert sätt.
Det skall påpekas att när termen "innefattar/innefattande” används i denna ansökan skall den anses ange närvaron av angivna egenskaper, steg eller kompo- nenter, men utesluter inte närvaron av en eller flera andra egenskaper, delar, steg, komponenter eller grupper därav.
Utföringsformer av uppfinningen kommer nu att beskrivas med hänvisning till de bifogade riktningarna där: Kortfattad beskrivning av ritningarna Figur 1 är ett blockschema som visar en första utföringsforma av anord- ningen enligt den föreliggande uppfinningen; Figur 2 visar en logisk beskrivning av arkitekturen innefattande den i Fig. 1 visade anordningen; Figur 3 visar en mer detaljera bild av den i Fig. 2 visade nätarkitekturen; Figur 4 visar ett flödesschema på ett förfarande vid ett trådbundet kommu- nikationssystem för att medelst en anordning dirigera geografiskt spridda enheter till en korrekt resurs på en tjänsteplattform enligt den föreliggande uppfinningen; och Figur 5 visar en schematísk bild på några datorprogramprodukter enligt den föreliggande uppfinningen.
Detaljerad beskrivning av utföringsformer l Fig. 1 visas ett blockschema på en första utföringsform av en anordning (10) enligt den föreliggande uppfinningen. Såsom framgår av Fig. 1 är anordningen (10) via ett trådbundet kommunikationssystem (12) ansluten till n st. geografiskt øa-uø 10 15 20 25 n u o ~ n. . - . - u. e .. .'- 524 173 7 spridda enheter (141, 14,1). Det trådbundna kommunikationssystemet (12) visas endast schematiskt i Fig. 1. Anordningen (10) innefattar en gruppserver (16) och en till gruppservern (16) ansluten IP-accessnod (18) vilken via kommunikationssyste- met (12) är ansluten till nämnda enheter (141, 14,1). De olika enheterna (141, 14.1) kan exempelvis vara placerade i olika lägenheter med olika hushåll. IP- accessnoden (18) innefattar information om nämnda enheter (141, 14,1), vilken information regelbundet hämtas av gruppservern (16). När gruppservern (16) erhål- ler en resursbegäran från en enhet 14x, där 15x5n, dirigerar den enheten 14x till en korrekt, på nämnda gruppserver (16) anordnad tjänsteplattform utifrån resursbegä- ran och baserat på nämnda information i en annan ej visad utföringsform av anord- ningen (10) ingår gruppservern (16) i IP-accessnoden (18). l övrigt fungerar denna anordning (10) på likadant sätt som den i Fig. 1 visade anordningen (10). Såsom dessutom framgår av Fig. 1 innefattar gruppservern ( 16) en server (22) innefattande nämnda tjänsteplattformar, samt ett till servern (22) anslutet organ (20) vilket hante- rar från enheterna (141, 14,1) erhållna resursbegäranden.
Det i Fig. 1 visade blockschemat avser snarast den logiska arkitekturen.
Hushàllet är exempelvis inte ansluten till IP-accessnoden (18) med separat kabel, i den fysiska arkitekturen. Men Fig. 1 visar hur hushållet kommer att uppfatta situa- tionen. Detta gäller också de tre olika kablarna som ansluter IP-accessnoden (18) till gruppservern (16). Från ett hushàllsperspektiv, är det tre olika kablar, men det är endast en i den fysiska arkitekturen.
IP-accessnoden ( 18) består av ett auktoriseringssystem och en router (jäm- för exempelvis Fig. 2). All information om hushållen (VLAN), användare (KONTO), enheter (MAC-adress) och IP-adresserna finns här.
Tabell 1 ger ett exempel pà informationen som finns i IP-accessnoden (18).
I denna tabell finns det fyra olika konton, vart och ett an annorlunda IP-adress, MAC-adress och en VLAN-teckensträng. vanan 10 15 u» a.. 524 17š Konto VLAN IP-adress MAC-adress Stefan@mandeln 1 131 .131 .131 .10 00-A0-C9-E8-5F-64 Nic|as@mande|n 2 131.131.131.20 00-A0-C9-E8-5F-65 Uurban@mande|n 2 131.131 .131 .21 OO-A0-C9-E8-5F-66 Nisse@mandeln 3 131.131.131.30 OO-AO-C9-E8-5F-67 Tabell 1 Tabell 1 visar exempelvis att en användare från VLAN 1 (enhet 141) har loggat in pà kontot Stefan@mandeln. Enheten som användare har loggat in med (troligen hans/hennes PC), har MAC-adress: OO-A0-C9-E8-5F-64, och gavs följande IP-adress:131.131.131.10.
När användare önskar access till någon av plattformarna kan han/hon välja att identifieras med konto/IP-adress, MAC-adress/IP-adress eller med VLAN/lP- adress. Genom att välja en av dessa tre URLs (Uniform Resource Locator), åstad- kommes detta. www.myhome.telia.com <--> 192.168.30.31 (Konto/IP-adress) www.myportal.telia.com <--> 192.168.30.32 (MAC-adress/IP-adress) wvvw.mydevice.telia.com +--> 192.168.30.33 (VLAN/IP-adress) Om användaren skriver” www.myhome.telia.com" i sin webbläsare, kom- mer denna begäran sedan att sändas till IP-adressen 192.168.30.31. Detta innebär att denna begäran kommer att identifieras mot tabellen Konto/IP-adress. Servern (22) i gruppservern (16) kommer att identifiera alla inkommande begäranden på IP- adressen 192.168.30.31 med tabellen Konto/lP-adress. 10 15 - . - . - > Q » a .a 524 17% Om användaren väljer 192.168.30.32 mappas denna begäran mot tabellen MAC-adress/IP-adress. Det sista valet ” wvvw.mydevice.telia.com" kommer att utfö- ras mot tabellen VLAN/IP-adress.
Den i Fig. 1 visade arkitekturen är inte uteslutande för lägenheter, utan även ett hus eller en affär är möjligt. Varje lägenhet har tilldelats ett unikt VLAN-nummer.
Detta nummer använda för att verifiera från vilken av lägenheterna som trafiken ge- nereras. Det använda också för att märka trafik som kommer att sändas till ett specifikt hushåll.
Alla konton kommer att mottaga deras IP-adress från samma delnät, som i Fig. 1 är 131.131.131.10-200.
De olika dirigeringstabellerna beskrivs nedan.
Konto/IP-adress Denna tabell kommer att användas om begäran äsnda till IP-nummer 192.168.30.31. De olika ”Användarkonto” och "Dirigerad till plattform-IP” kommer att vara statiskt konfigurerade. Det är endast IP-adressen för detta konto som kommer att vara dynamiskt, eftersom användare inte kommer att erhålla samma IP-adress när de loggar in.
Anv. konto IP-adress Dirigerad till platt- Ägare form Statisk Dynamisk Statisk Stefan@mandeln 131 .131.131 .10 192.168.10.1 Stefan Niclas@mandeIn 131.131.131.2O 192.168.10.2 Niclas Uurban@mandeln 131.131.131.21 192.168.10.3 Urban Nísse@mandeln 131.131.131.3O 192.168.10.4 Nisse Tabell 2 sanna :coca 10 15 ~ ~ . . .- e . u ~ o . . ~ - . a n. 524 173% Tabell 2 visar ett exempel på tabellen konto/IP-adress. l detta fall kommer användarkontot Stefan@mandeln med IP-adress 131 .131.131 .10 att dirigeras till plattformen 192.168.10.1.
Enhet/IP-adress Denna tabell kommer att användas om begäran sänds till IP-nummer 192.168.30.32. De olika "MAC-adress" och ”Dirigerad till plattform-IP" kommer att vara statiska. Det är endast ”IP-adress” som kommer att vara dynamisk, eftersom användare inte alltid kommer att erhålla samma IP-adress när de loggar in.
MAC-adress IP-adress Dirigerad till Ägare plattform Statisk Dynamisk Statisk 00-A0-C9-E8-5F-64 131.131.131.10 192.168.11.1 00-A0-C9-E8-5F-64 (stefan) 00-A0-C9-E8-5F-65 131.131.131.20 192.168.1 1.2 OO-A0-C9-E8-5F-65 (niclas) OO-AO-C9-E8-5F-66 131.131.131.21 192.168.11.3 OO-A0-C9-E8-5F-66 (urban) 00-A0-C9-E8-5F-67 131.131.131.3O 192.168.11.4 00-AO-C9-E8-5F-67 (nisse) Tabe/I3 Tabell 3 visar att MAC-adressen 00-AO-C9-E8-5F-64 och IP-adressen 131.131.131.1O kommer att dirigeras till lägenhetens 1 (enhetens 141) plattform.
Hushålls/IP-adress Denna tabell kommer att användas om begäran sänds till IP-nummer 192.168.30.33. Allting kommer att vara statiskt konfigurerat i denna tabell, eftersom annan nun-c 10 15 det är förutbestämt vilken plattform ett hushåll med sitt delnät tillåts accessa. Så länge såsom begäran kommer med den korrekta VLAN-teckensträngen och käll-IP 524 173 11 . - a . - . . - n a. är inom detta VLANs delnät är dirigering av denna begäran möjlig.
VLAN IP-adress Dirigerad till Ägare plattform Statisk Dynamisk Statisk 1 (stefan) 131.131.131.10 192.168.11.1 Lägenhet1 2 (niclas) 131.131.131.20 192.168.11.2 Lägenhet 2 2 (urban) 131.131.131.21 192.168.11.3 Lägenhet2 3 (nisse) 131.131.131.3O 192.168.11.4 Lägenhet3 Tabell 4 Tabell 4 visar att endast VLAN1 kommer att dirigeras till plattformen för lägnehet 1.
Gruppservern (16) är installerad med flera plattformar. Var och en av dessa plattformar har endast en ägare. I detta exempel finns det tre hushåll, och ett av dessa hushåll har två konton. Det två andra hushållen har endast ett konto vartdera.
De följande plattformarna har konfigurerats pà gruppservern (16), jämför ta- bell 5. - . . > .- 52 4 173 12 Plattform - IP Plattform - Ägare 192.168.10.1 Stefan 192.168.10.2 Niclas 192.168.10.3 Urban 192.168.10.4 Nisse 192.168.1 1.1 00-A0-C9-E8-5F-64 192.168.1 1.2 00-AO-C9-E8-5F-65 192.168.1 1.3 00-AO-C9-E8-5F-66 192.168.1 1.4 OO-A0-C9-E8-5F-67 192.168.12.1 Plattform för lägenhet 1 192.168.12.2 Plattform för lägenhet 2 192.168.12.3 Plattform för lägenhet 3 Tabell 5 l IP-accessnoden (18) (jämför Fig. 2) finns det en domännamnsserver (DNS) som kommer att översätta ett namn till ett IP-nummer och vice versa. Detta 'fw 5 kommer att göra det möjligt för användare att använda namn istället för IP-nummer när de väljer identifieringen av deras begäran. www.myhome.telia.com <--> 192.168.30.31 wvvw.myporta|.te|ia.com <--> 192.168.30.32 www.mydevice.te|ia.com <--+ 192.168.30.33 oroas 10 15 20 25 - - - Q .- . - - . . . . . ø n; 5 2 4 1 7 3 13 Nedan följer några belysande exempel: Lägenhet 1. Användare: Stefan Konto: Stefan@mandeln MAC-adressen för PC: 00-A0-C9-E8-5F-64 VLANI 1 IP-adress:131.131.131.1O I Användare: Niclas Konto: Nic|as@mande|n MAC-adressen för PC: OO-AO-C9-E8-5F-65 VLAN: 2 IP-adress:131.131.131.2O Lägenhet 2.
De installerade plattformarna visas i tabell 5. Varje användare har access till sitt eget hem, sin personliga area och den gemensamma arean.
Exempel 1: PC-inlogggning från det egna hemmet.
Användare Stefan loggar in på kontot Stefan@mandeln och hans PC mottager IP- adressen131.131.131.10.
Han önskar erhålla access till sin Iägenhetsplattform och använder därför URL:http://myhome.telía.com, i sin webbläsare. Routern i IP-accessnoden (18) kommer att sända denna begäran till servern (22) i gruppservern (16), där denna begäran kommer att kontrolleras mot tabellen ”VLAN/lP-adress”. Denna tabell (ta- bell 4) kommer att dirigera denna begäran till lägenhetens 1 plattform, eftersom denna begäran är märkt med VLAN id 1 och har IP-adressen 131 .131.131.10.
Exempel 2: PC-inloggning från det egna hemmet.
Användare Stefan loggar in på Stefan@mandeln och hans PC mottager IP- adressen131.131.131.10.
Han önskar erhålla access till sin enhetsplattform och använder därför URL:http://mydevice.telia.com, i sin webbläsare. Routern i IP-accessnoden (18) kommer att sända hans begäran till servern (22) i gruppservern (16), där hans begä- ran kommer att kontrolleras mot tabellen ”Enhet/lP-adress". Denna tabell (tabell 3) annan øoooo 10 15 20 25 524 173 14 . . - . . . . . . ., kommer att dirigera denna begäran till O0-A0-C9-E8-5F-64's plattform, eftersom denna begäran har denna MAC-adress och IP-adressen 131 .131.131 _10.
Exempel 3: PC-inloggning från det egna hemmet.
Användare Nclas loggar in på kontot Niclas@mande|n och hans PC mottager IP- adressen 131.131.131.20.
Han önskar erhålla access till sitt kontos plattform och använder därför URL:http://myportal.telia.com, i sin webbläsare. Routern i IP-accessnoden (18) kommer att sända denna begäran till servern (22) i gruppservern (16), där denna begäran kommer att kontrolleras mot tabellen ”Konto/lP-adress”. Denna tabell (ta- bell 2) kommer att dirigera denna begäran till Niclas plattform, eftersom denna be- gäran har IP-numret 131.131.131.20.
Den föreliggande uppfinningen använder informationen som finns i lP- accessnoden (18). Exempel på sådan information anges i tabell1. Denna informa- tion används för att skapa tabeller, varvid dessa tabeller kommer att vara grunden för att dirigera plattformsbegäranden till korrekt plattform. Uppfinningen gör de föl- jande sakerna möjliga. o Ett sätt för hushållen att erhålla access till de olika plattformarna. o Ett sätt för operatören att säkerställa att endast auktoriserade begäranden kommer att dirigeras till en viss plattform.
I Fig. 2 visas en logisk beskrivning av arkitekturen innefattande dne i Fig. 1 visade anordningen (10). Likadana komponenteri Fig. 1 och Fig. 2 har erhållit samma hänvisningsbeteckningar. l Fig. 2 framgår att IP-accessnoden (18) innefattar ett auktoriseringssystem för att besluta om en enhet 141, ...,14n är auktoriserad, och en till auktoriseringssystemet ansluten router (24). Auktoriseringssystemet inne- fattar en AAA-server (26) (Authentication, Authorization and Accounting services.
Detta är ett system för en tjänsteleverantör för att hantera dessa kundrelaterade funktioner.) ansluten till nämnda router (24) och en till AAA-servern (26) ansluten databas (28) innefattande enheternas 141,...,14n identitet. IP-accessnoden (18) in- nefattar dessutom en till databasen (28) och nämnda router (24) ansluten policyser- 30 ver (30) vilken konfigurerar nämnda router (24) i överensstämmelse med policy för annan con»- 10 15 20 25 30 . . . . .- 524 173 15 u. n. angivet konto. En viktig sak värd att påpeka här är att VLAN används för att förhind- ra oauktoriserad kommunikation mellan hushåll. l Fig. 2 är det ett lokalt nät, LAN, (Ethernet) till ett flerfamiljshus och två hus anslutna med ADSL.
I Fig. 3 visas en mer detaljerad bild av den i Fig. 2 visade nätarkitekturen.
Denna figur har försetts med motsvarande hänvisningsbeteckningar som i Fig. 2 för likadana komponenter. I övrigt hänvisas till beskrivningen av Fig. 1 och Fig. 2 då funktionen är densamma. l Fig. 4 visas ett flödesschema på ett förfarande vid ett trådbundet kommu- nikationssystem för att medelst en anordning (jämför exempelvis Fig. 1) dirigera geografiskt spridda enheter till en korrekt resurs på en tjänsteplattform enligt den fö- religgande uppfinningen. Förfarandet startar vid blocket (70). Förfarandet fortsätter sedan vid blocket (72) med steget: att när en enhet 14x, där 15x5n, tillkpplas motta- er den en IP-tokenadress. Därefter fortsätter förfarandet, vid blocket (74) med ste- get: att presentera ett konto och ett lösenord avseende enheten 14x. Förfarandet fortsätter sedan vid blocket (76) med att ställa frågan om enheten 14x är auktorise- rad? Om svaret på denna frága är nekande nekas enheten 14x access till plattfor- men och stegen enligt blocken (72)-(76) får återupprepas vid ett nytt försök. Om svaret däremot ärjakande fortsätter förfarandet, vid blocket (78) med steget: att en gruppserver (16) ingående i anordningen (10) regelbundet hämtar information om enheterna 141, ...,14n från en IP-accessnod (18), vilken vi kommunikationssystemet (12) är ansluten till enheterna 141, ...,14n. Därefter fortsätter förfarandet, vid blocket (80), med steget: att gruppservern (16) erhåller en resursbegäran från en enhet 14x.
Förfarandet fortsätter sedan, vid blocket (82), med steget: att gruppservern (16) ut- ifrån resursbegäran och baserat på nämnda information dirigerar enheten 14x till en korrekt, på gruppservern (16) anordnad tjänsteplattform. Förfarandet avslutas sedan vid blocket (84).
Enligt en utföringsform utföres steget att presentera ett lösenord avseende enheten 14x genom att I P-accessnoden (18) automatiskt identifierar och auktorise- rar enheten 14x när den tillkopplas genom att enheternas 141, ...,14n identiteter är registrerade i en databas (28) ingående i IP-accessnoden (18). Detta är användbart när ingen person finns i närheten och enheten, t.ex. en IP-telefonadapter, inte själv kan åstadkomma auktoriseringsprocessen. 10 15 20 . - » - .- 524 173 16 .- i...
Om en person finns tillgänglig sker denna process genom att en användare av enheten 14x inmatar nämnda konto och nämnda lösenord.
Enligt en föredragen utföringsform innefattar förfarandet dessutom steget: att enheten 14x mottager en användbar lP-adress.
Enligt en föredragen utföringsform innefattar förfarandet dessutom steget: att regelbundet synkronisera informationen mellan gruppservern (16) och IP- accessnoden (18).
Enligt en föredragen utföringsform innefattar IP-accessnoden (18) en router (24) och en till nämnda router (24) ansluten policyserver (30), varvid förfarandet dessutom innefattar steget: att policyservern (30) konfigurerar nämnda router (24) i överensstämmelse med policy för angivet konto.
I Fig. 5 visas en schematisk bild på några datorprogramprodukter enligt föreliggande uppfinning. l Fig. 7 visas n olika digitala datorer 1001,...,100,. och n olika datorprogramprodukter 1021,. . .,102n, direkt laddningsbara i det interna minnet hos nämnda datorer 1001,...,1O0,.. Varje 1021,...,1O2,, innefattar programvarukod- partier för att utföra en del eller alla stegen enligt Fig. 4 när produkten/produkterna 1021,...,102,, köres på datorn/datorerna 1001,...,100,,. Datorprogramprodukterna 1021,. ..,102,. kan exempelvis vara i form av disketter, RAM-skivor, magnetiska band, optomagnetiska skivor eller några andra lämpliga produkter.
Uppfinningen är inte begränsad till de ovan beskrivna utföringsformerna.
Det kommer att vara uppenbart att många olika modifieringar är möjliga inom om- fattningen av de bifogade patentkraven.

Claims (20)

:soon aan;- 10 15 20 25 30 . c - - n» 1524 173 .. s.. 17 PATENTKRAV
1. En anordning (10) vid ett tràdbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs pä en tjänste- plattform, kännetecknad av att anordningen (10) innefattar en gruppserver (16), en till gruppservern (16) ansluten IP-accessnod (18) vilken via kommunikationssyste- met (12) är ansluten till nämnda enheter (141, 14,1), varvid lP-accessnoden (18) innefattar information om nämnda enheter (141, 14,1), vilken information regel- bundet hämtas av gruppservern (16) utifrån en erhållen resursbegäran från en en- het (141,) och baserat på nämnda information dirigerar enheten (141,) till en korrekt, på nämnda gruppserver (16) anordnad tjänsteplattform.
2. En anordning (10) vid ett tràdbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1), till en korrekt resurs på en tjänste- plattform, kännetecknad av att anordningen (10) innefattar in IP-accessnod (18) vilken via kommunikationssystemet (12) är ansluten till nämnda enheter (141, 14,1) och en i IP-accessnoden (18) ingående gruppserver (16), varvid lP-access- noden (18) innefattar information om nämnda enheter (141, 14,1), vilken informa- tion regelbundet hämtas av gruppservern (16), varvid gruppservern ( 16) utifrån en erhållen resursbegäran från en enhet (141,) och baserat på nämnda information diri- gerar enheten (141,) till en korrekt, på nämnda gruppserver (16) anordnad tjänsteplattform.
3. En anordning (10) vid ett tràdbundet kommunikationssystem ( 12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt patentkravet 1 eller patentkravet 2, kännetecknad av att gruppser- vern ( 16) innefattar en server (22) innefattande nämnda tjänsteplattformar samt ett till servern (22) anslutet organ (20) vilket hanterar från enheterna (141, 14,1) er- hållna resursbegäranden.
4. En anordning (10) vid ett tràdbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt något av patentkraven 1 - 3, kännetecknad av att anordningen (10) 10 15 20 25 30 524 173 '''' " n » ~ . .- 18 dessutom innefattar ett minnesorgan vari nämnda information lagras i form av tabel- ler.
5. En anordning (10) vid ett trådbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt patentkravet 4, kännetecknad av att tabellerna innefattar informa- tion om vilken kombination av VLAN/IP-nummer, MAC-adress/IP-nummer som har access till vilken plattform.
6. En anordning (10) vid ett trådbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt något av patentkraven 1 - 5, kännetecknad av att enheterna ( 141, 14,1) utgöres av terminaler, användare eller apparater eller en kombination av dessa.
7. En anordning (10) vid ett trådbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt något av patentkraven 1 - 6, kännetecknad av att nämnda informa- tion regelbundet synkroniseras mellan gruppservern (16) och IP-accessnoden (18).
8. En anordning (10) vid ett trådbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt något av patentkraven 1 - 7, kännetecknad av att IP-accessnoden (18) innefattar ett auktoriseringssystem för att besluta om en enhet (141, 1411) är auktoriserad, och en till auktoriseringssystemet ansluten router (24).
9. En anordning (10) vid ett trådbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänste- plattform enligt patentkravet 8, kännetecknad av att auktoriseringssystemet innefat- tar en AAA-server (26) ansluten till nämnda router (24) och en till AAA-servern (26) ansluten databas (28) innefattande enheternas (141, 14,1) identitet.
10. En anordning (10) vid ett trådbundet kommunikationssystem (12) för att diri- gera geografiskt spridda enheter (141, 1411) till en korrekt resurs på en tjänste- ooonø annan 10 15 20 25 30 524 173 . . . ; .- 19 plattform enligt patentkravet 9, kännetecknad av att IP-accessnoden (18) dessutom innefattar en till databasen (28) och nämnda router (24) ansluten pollcyserver (30) vilken konfigurerar nämnda router (24) i överensstämmelse med policy för angivet konto.
11. Ett förfarande vid ett trådbundet kommunikationssystem (12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform, vilket förfarande innefattar stegen: - att när en enhet (141,), där 1 s x s n, tillkopplas mottager den en IP-tokenadress; - att presentera ett konto och ett lösenord avseende enheten (14,,); - att bestämma om enheten (141,) är auktoriserad; - att en gruppserver (16) ingående i anordningen (10) regelbundet hämtar informa- tion om enheterna (141, 14,1) från en IP-accessnod (18) vilken via kommunika- tionssystemet (12) är ansluten till nämnda enheter (141, 1411); - att gruppservern (16) erhåller en resursbegärand från enheten (141,); och - att gruppservern ( 16) utifrån resursbegäran och baserat på nämnda information di- rigerar enheten (141,) till en korrekt, på gruppservern (16) anordnad tjänsteplatt- form.
12. Ett förfarande vid ett trådbundet kommunikationssystem (12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt patentkravet 11, kännetecknat av att steget att presentera ett kont och ett lösenord avseende enheten (141,) utföres genom att IP- accessnoden (18) automatiskt identifierar och auktoriserar enheten (141,) när den tillkopplas genom att enheternas (141, 14,1) identiteter är registrerade i en data- bas (28) ingående i IP-accessnoden (18).
13. Ett förfarande vid ett trådbundet kommunikationssystem ( 12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt patentkravet 11, kännetecknat av att steget att presentera ett konto och ett lösenord avseende enheten (141,) utföres genom att en användare av enheten (141,) inmatar nämnda konto och nämnda lösenord. nosa- una-n 10 15 20 25 30 524 173 20
14. Ett förfarande vid ett trådbundet kommunikationssystem (12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt något av patentkraven 11 - 13, kännetecknat av att nämnda information lagras i form av tabeller i ett minnesorgan ingående i an- ordningen (10).
15. Ett förfarande vid ett trådbundet kommunikationssystem ( 12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt patentkravet 14, kännetecknat av att tabellerna innefattar information om vilken kombination av VLAN /IP-nummer, MAC-adress/IP- nummer som har access till vilken plattform.
16. Ett förfarande vid ett trådbundet kommunikationssystem (12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt något av patentkraven 11 - 15, kännetecknat av att förfarande dessutom innefattar steget: - att enheten (141,) mottager en användbar IP-adress.
17. Ett förfarande vid ett trådbundet kommunikationssystem (12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt något av patentkraven 11 - 16, kännetecknat av att enheterna ( 141, 14,1) utgöres av terminaler, användare eller apparater eller en kombination av dessa.
18. Ett förfarande vid ett trådbundet kommunikationssystem ( 12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt något av patentkraven 11 - 17, kännetecknat av att förfarandet dessutom innefattar steget: - att regelbundet synkronisera nämnda information mellan gruppservern (16) och lP- accessnoden (18).
19. Ett förfarande vid ett trådbundet kommunikationssystem (12) för att medelst en anordning (10) dirigera geografiskt spridda enheter (141, 14,1) till en korrekt resurs på en tjänsteplattform enligt något av patentkraven 11 - 18, kännetecknat 10 524 173 . - - . .a 21 av att IP-accessnoden 818) innefattar en router (24) och en till nämnda router (24) ansluten policyserver (30), varvid förfarandet dessutom innefattar steget: - att policyservern (30) konfigurerar nämnda router (24) i överensstämmelse med policy för angivet konto.
20. Åtminstone en datorprogramprodukt (1021, 102,1) direkt Iaddningsbari det interna minnet hos åtminstone en digital dator (1001, 100m), innefattande programvarukodpartier för att utföra stegen enligt patentkravet 11 när nämnda åt- minstone ena produkt (1021, 102m) köres på nämnda åtminstone ena dator (1001, ...,
SE0201362A 2002-05-06 2002-05-06 Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform SE524173C2 (sv)

Priority Applications (5)

Application Number Priority Date Filing Date Title
SE0201362A SE524173C2 (sv) 2002-05-06 2002-05-06 Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform
EP03723586A EP1504568A1 (en) 2002-05-06 2003-05-02 An arrangement and a method for directing geographically dispersed units
PCT/SE2003/000716 WO2003094441A1 (en) 2002-05-06 2003-05-02 An arrangement and a method for directing geographically dispersed units
AU2003230515A AU2003230515A1 (en) 2002-05-06 2003-05-02 An arrangement and a method for directing geographically dispersed units
NO20044376A NO20044376L (no) 2002-05-06 2004-10-15 Anordning og fremgangsmate til styring av geografisk fordelte enheter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0201362A SE524173C2 (sv) 2002-05-06 2002-05-06 Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform

Publications (3)

Publication Number Publication Date
SE0201362D0 SE0201362D0 (sv) 2002-05-06
SE0201362L SE0201362L (sv) 2003-11-07
SE524173C2 true SE524173C2 (sv) 2004-07-06

Family

ID=20287778

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0201362A SE524173C2 (sv) 2002-05-06 2002-05-06 Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform

Country Status (5)

Country Link
EP (1) EP1504568A1 (sv)
AU (1) AU2003230515A1 (sv)
NO (1) NO20044376L (sv)
SE (1) SE524173C2 (sv)
WO (1) WO2003094441A1 (sv)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2388623C (en) * 1999-10-22 2010-06-22 Nomadix,Inc. Systems and methods for redirecting users attempting to access a network site
WO2001075560A1 (en) * 2000-04-03 2001-10-11 Targian Ab User information retrieving system
SE0001868D0 (sv) * 2000-05-19 2000-05-19 Telia Ab Tjänstehantering i hemmiljö

Also Published As

Publication number Publication date
SE0201362L (sv) 2003-11-07
EP1504568A1 (en) 2005-02-09
NO20044376L (no) 2005-01-13
SE0201362D0 (sv) 2002-05-06
AU2003230515A1 (en) 2003-11-17
WO2003094441A1 (en) 2003-11-13

Similar Documents

Publication Publication Date Title
EP2338262B1 (en) Service provider access
CA2875255C (en) Policy service authorization and authentication
US8356336B2 (en) System and method for double-capture/double-redirect to a different location
JP5567011B2 (ja) インターネットサービスを提供するための方法およびサービス統合プラットフォームシステム
US7542468B1 (en) Dynamic host configuration protocol with security
CN105721420B (zh) 访问权限控制方法和反向代理服务器
CN1774907A (zh) 在企业热点为来宾和本地用户两方提供无缝访问的技术
WO2010045249A1 (en) Systems and methods for identifying a network
CN101656609A (zh) 一种单点登录方法、系统及装置
CN1538706A (zh) 一种用于web认证的http重定向方法
JP2004062417A (ja) 認証サーバ装置、サーバ装置、およびゲートウェイ装置
JP4567173B2 (ja) 集線・接続システム、集線・接続方法及び集線・接続装置
JP2007041632A (ja) コンテンツアクセス方法および振分装置
JP4835569B2 (ja) 仮想ネットワークシステム及び仮想ネットワーク接続装置
CN1231031C (zh) 一种基于多网络服务提供商的地址分配及服务的方法
KR20120044381A (ko) 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치
SE524173C2 (sv) Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform
Cisco Configuring the Cisco SSD
Cisco MPLS VPN ID
WO2013150543A2 (en) Precomputed high-performance rule engine for very fast processing from complex access rules
Cisco Configuring the Cisco SSD
Cisco Configuring Support for NASI Clients to Access Network Resources
Cisco ACL Default Direction
Cisco Common Configurations
Cisco Distinguished Name Based Crypto Maps

Legal Events

Date Code Title Description
NUG Patent has lapsed