-
Verwandte Anmeldung
-
Die
vorliegende Anmeldung steht im Zusammenhang mit der
US-Patentanmeldung 11/294,961 , eingereicht
am 06. Dezember 2005 im Namen der Erfinder
A.R. Raphael
und R.R. Seibel mit dem Titel "Secure
Gateway with Alarm Manager and Support for Inbound Federated Identity", welche
gemeinsam mit der vorliegenden übertragen
ist und hier durch Bezugnahme einbezogen wird.
-
Gebiet der Erfindung
-
Die
Erfindung betrifft allgemein das Gebiet von Kommunikationssystemen
und betrifft spezieller Verfahren, die genutzt werden, um den Zugriff
auf interne Ressourcen von Unternehmensnetzen von externen Servern
und anderen Einrichtungen aus zu kontrollieren.
-
Hintergrund der Erfindung
-
Herkömmliche
Verfahren zur Kontrolle des Zugriffs auf interne Ressourcen von
Unternehmensnetzen von externen Servern und anderen Geräten aus
können
beispielsweise die Nutzung von Secure Sockets Layer (SSL) Virtual
Private Network (VPN) Gateways oder anderen Typen von sicheren Gateways
beinhalten.
-
Ein
typisches herkömmliches SSL-VPN-Gateway
ist derart konfiguriert, dass es auf Browser-Basis Zugriff auf die
internen Ressourcen eines Unternehmensnetzes bereitstellt. Solche
internen Ressourcen können
Server, Computer oder andere Verarbeitungseinrichtungen von vielen
verschiedenen Anbietern umfassen, und auf diesen kann eine breite Vielfalt
unterschiedlicher Protokolle ausgeführt werden. Eingehende Transaktionen,
die an das Gateway gerichtet sind, werden im Allgemeinen mit Hilfe
von Standardprotokollen wie etwa dem Hypertext Transfer Protocol
(HTTP) oder HTTP Secure Sockets (HTTPS) initiiert. Bei einer typischen Konfiguration
kann es sein, dass ein SSL-VPN-Gateway selbst keine Firewall darstellt,
sondern stattdessen innerhalb des Unternehmens hinter der Firewall lokalisiert
sein kann.
-
Beispiele
für herkömmliche
SSL-VPN-Gateways sind die Produkte SA 700, SA 2000, SA 4000, SA
6000 und SA 6000 SP, die kommerziell bei der Juniger Networks, Inc.,
Sunnyvale, Kalifornien, USA erhältlich
sind, die Produkte EX-2500, EX-1500 und EX-750, die kommerziell
bei der Aventail Corp., Seattle, Washington, USA erhältlich sind,
und das Produkt Permeo Base5, das kommerziell bei der Permeo Technologies
Inc., Austin, Texas, USA erhältlich
ist.
-
Ein
wesentlicher Nachteil, der mit herkömmlichen VPN-Gateways der vorstehend
aufgelisteten Art verbunden ist, besteht darin, dass es schwierig sein
kann, Alarmsignale zu behandeln, die von internen Ressourcen des
Unternehmens generiert werden. Solche Ressourcen umfassen oft Produkte
von mehreren Anbietern. Jeder Anbieter hat möglicherweise einen externen
Dienstleistungsanbieter, welcher Kundensupport für die Produkte dieses Anbieters
bietet. Ein gegebener Dienstleistungsanbieter kann beispielsweise
Techniker und Expertensysteme umfassen, welche die Alarmsignale
bearbeiten können,
um die Probleme zu lösen,
die welcher Art auch immer möglicherweise
in den Produkten des entsprechenden Anbieters bestehen. Beispielhafte
Expertensysteme, die genutzt werden können, um Alarmsignale zu bearbeiten,
sind in der am 13. September 2004 im Namen der Erfinder S. Ganesh
et al. eingereichten
US-Patentanmeldung
10/939,694 beschrieben, mit dem Titel "Distributed Expert System for Automatic
Problem Resolution in a Communication System", welche gemeinsam mit der vorliegenden übertragen
worden ist und hier durch Bezugnahme einbezogen wird.
-
Generell
sind die herkömmlichen SSL-VPN-Gateways
nicht dafür
konfiguriert, Alarmsignale von auch als herstellerneutral bezeichneten Multi-Vendor-Produkten,
die Teil eines Unternehmensnetzes hinter der Firewall sind, an die
diesen zugeordneten externen Dienstleistungsanbieter außerhalb
der Firewall auszuliefern oder den Dienstleistungsanbietern Zugriff
auf die Produkte, welche die Alarmsignale erzeugt haben, zu gestatten.
In vielen Fällen
muss ein Kunde möglicherweise
den Dienstleistungsanbieter anrufen, um ihn von einem Problem in
Kenntnis zu setzen, das zu einem Alarm geführt hat. Der Kunde müsste dann
eine explizite Autorisierung bereitstellen, um einem Techniker oder einem
Expertensystem des Dienstleistungsanbieters zu gestatten, Zugriff
auf das Produkt zu erlangen, um das Problem zu lösen.
-
Außerdem sind
herkömmliche SSL-VPN-Gateways
typischerweise dafür
ausgelegt, einzelne Nutzer zu authentifizieren. Es ist unpraktikabel,
hunderte oder gar tausende von Technikern zu authentifizieren, die
möglicherweise
den Dienstleistungsanbietern zuzuordnen sind, welche den Support
für die
verschiedenen Multi-Vendor-Produkte in einem gegebenen Unternehmen
bieten. Die Techniker von Dienstleistungsanbietern müssen möglicherweise
Hardware-Tokens
oder andere ähnliche
Mechanismen nutzen, um Zugriff auf ein Unternehmensnetz zu erlangen,
und jeder Techniker eines Dienstleistungsanbieters müsste unterschiedliche
Sätze von
Hardware-Tokens für
jeden Kunden nutzen, was unpraktisch und teuer ist. Darüber hinaus
kann eine Authentifizierung großer
Gruppen von Technikern von herstellerneutralen Dienstleistungsanbietern eine übermäßige Last
für den
AAA(Administration, Autorisierung und Authentifizierung)-Server
eines gegebenen Unternehmens bedeuten, was eindeutig unerwünscht ist.
-
Die
vorstehend zitierte
US-Patentanmeldung 11/294,961 offenbart
ein verbessertes SSL-VPN-Gateway oder ein sicheres Gateway anderer
Art, das eine effizientere Behandlung von Alarmsignalen von Multi-Vendor-Produkten,
die Teil der internen Ressourcen eines Unternehmensnetzes sind, ermöglichen
kann.
-
In
einer beispielhaften Ausführungsform
umfasst ein SSL-VPN-Gateway einen Alarmmanager und bietet Unterstützung für eine eingehende,
auch als "Federated
Identity" bezeichnete
föderierte
Kennung. Der Alarmmanager empfängt
einen Alarm von einem Produkt eines Anbieters, welches Teil eines Satzes
interner Ressourcen des Unternehmensnetzes ist, und leitet den Alarm
an einen externen Dienstleistungsanbieter zur Bearbeitung. Das Gateway
empfängt
von dem Dienstleistungsanbieter in Reaktion auf den Alarm eine föderierte
Kennung, welche eine Mehrzahl von Technikern, Expertensystemen oder
anderen dienstleistenden Elementen des Dienstleistungsanbieters
einschließt.
Das Gateway kann einem oder mehreren speziellen dienstleistenden
Elementen des Dienstleistungsanbieters Zugriff auf das den Alarm
erzeugende Anbieterprodukt auf Basis der föderierten Kennung gewähren.
-
Trotz
der beträchtlichen
Vorteile, die durch die sicheren Gateways bereitgestellt werden,
welche in der vorstehend zitierten Patentanmeldung offenbart sind,
bleibt ein Bedarf an weiteren Verbesserungen, insbesondere im Hinblick
auf die Kontrolle des Zugriffs in Reaktion auf Alarmsignale, die
von Produkten erzeugt werden, die Teil der internen Ressourcen eines
Unternehmensnetzes sind. Beispielsweise können herkömmliche Anordnungen zum Bereitstellen
eines solchen Zugriffs ohne Zusammenhang mit einem sicheren Gateway
das Nutzen eines Netzmanagementsystems beinhalten, um einen Router
unter Ansprechen auf einen empfangenen Alarm umzuprogrammieren.
Solche Anordnungen sind jedoch übermäßig komplex
und somit ist deren Implementierung in realen Unternehmensnetzen sehr
teuer.
-
Zusammenfassung der Erfindung
-
Gemäß der vorliegenden
Erfindung werden in einer beispielhaften Ausführungsform die vorstehend erwähnten Nachteile
des Standes der Technik überwunden,
indem ein Ansatz mit alarmgesteuerter Zugriffskontrolle bereitgestellt
wird. Im Allgemeinen dient eine Alarmzugriffssteuerung dazu, den
Zugriff auf ein Unternehmensnetz eines Kommunikationssystems unter
Ansprechen auf Alarmsignale, die von Produkten erzeugt werden, welche
Teil eines Satzes von internen Ressourcen des Unternehmensnetzes sind,
zu kontrollieren.
-
Gemäß einem
Aspekt der Erfindung wird die Alarmzugriffsteuerung durch einen
Server oder ein anderes Verarbeitungselement implementiert, das
einen Prozessor gekoppelt mit einem Speicher umfasst. Die Alarmzugriffssteuerung
ist derart konfiguriert, dass sie einen Alarm von einem der Produkte empfängt, einen
externen Dienstleistungsanbieter zur Behandlung des Alarms identifiziert
und dem Dienstleistungsanbieter temporär authentifizierten Zugriff
auf das Produkt bereitstellt.
-
In
einer beispielhaften Ausführungsform
umfasst die Alarmzugriffsteuerung ferner beispielshalber einen Alarmschwereanalysator
(alarm severity analyser), einen Meldungsgenerator, einen Störungspassgenerator
(trouble ticket generator), einen Authentifizierer sowie einen dienstleistungsbezogenen
Speicher. Der Alarmschwereanalysator dient dazu, den Alarm zu bearbeiten,
um dessen Schwere festzustellen. Eine oder mehrere Bedingungen für den temporär authentifizierten
Zugriff für
den Dienstleistungsanbieter auf das Produkt können basierend zumindest teilweise
auf der Schwere des Alarms festgelegt werden. Der Meldungsgenerator
dient dazu, ein Alarmmeldungssignal zur Auslieferung an den identifizierten
Dienstleistungsanbieter zu generieren. Der Störungspassgenerator dient dazu,
eine eindeutige Kennung für
den Alarm zu generieren. Die Alarmzugriffsteuerung kann die eindeutige
Kennung des Alarms im Zusammenhang mit einer Alarmmeldung an den
identifizierten Dienstleistungsanbieter senden. Der Authentifizierer
kann dann den identifizierten Dienstleistungsanbieter unter Ansprechen
auf eine Zugriffsanforderung von diesem basierend zumindest teilweise
auf der eindeutigen Kennung des Alarms authentifizieren.
-
Der
dienstleistungsbezogene Speicher dient dazu, dienstleistungsbezogene
Informationen für
jeweilige Produkte einer Mehrzahl von Produkten, die Teil des Satzes
von internen Ressourcen des Unternehmensnetzes sind, zu speichern.
Die dienstleistungsbezogenen Informationen können für jedes der Produkte eine oder
mehrere gestattete Zugriffszeiten zur Alarmbehebung für dieses
Produkt wie auch Informationen, die einen oder mehrere entsprechende Dienstleistungsanbieter
identifizieren, welche die von den jeweiligen Produkten erzeugten
Alarmsignale behandeln sollten, umfassen. Die Zugriffszeiten für ein gegebenes
der Produkte können
entsprechend der Alarmschwere indiziert sein, sodass basierend auf
der Alarmschwere unterschiedliche Zugriffszeiten bestimmt sein können.
-
Die
dienstleistungsbezogenen Informationen können ferner für zumindest
ein gegebenes Produkt der Produkte ferner Informationen umfassen,
die zumindest ein zusätzliches
Produkt identifizieren, für welches
dem identifizierten Dienstleistungsanbieter Zugriff in Verbindung
mit einer Gewährung
eines Zugriffs auf das gegebene Produkt gewährt wird. Als weiteres Beispiel
können
die dienstleistungsbezogenen Informationen für zumindest ein gegebenes Produkt
der Produkte Informationen umfassen, die einen oder mehrere Zugriffskontrollverwalter
identifizieren, deren Autorisierung erforderlich ist, um irgendeine Änderung
bei einer oder mehreren spezifizierten Bedingungen für den temporär authentifizierten
Zugriff für
den Dienstleistungsanbieter auf das Produkt zu erreichen. Wenn kein
von dem Produkt erzeugter Alarm vorliegt, ist es dem Dienstleistungsanbieter
generell nicht gestattet, ohne Genehmigung eines oder mehrerer dem
Produkt zugeordneter Zugriffskontrollverwalter auf das Produkt zuzugreifen.
-
Mit
der beispielhaften Ausführungsform
der Erfindung werden in vorteilhafter Weise die zuvor erwähnten Probleme
des Standes der Technik überwunden.
Beispielsweise wird durch Einschränken des Zugriffs für einen
Dienstleistungsanbieter auf ein alarmerzeugendes Produkt entsprechend
spezifizierten Zeitspannen oder anderen Bedingungen, die zumindest
teilweise basierend auf dem Alarm selbst festgelegt werden, die
Sicherheit des Systems beträchtlich
verbessert und die Zugriffskontrolle wird flexibler und effizienter
gestaltet.
-
Diese
und andere Merkmale und Vorteile der vorliegenden Erfindung werden
anhand der folgenden Zeichnungen und der detaillierten Beschreibung einfacher
verständlich
werden.
-
Kurze Beschreibung der Zeichnungen
-
1 zeigt
ein beispielhaftes Kommunikationssystem, das eine Alarmzugriffssteuerung
entsprechend einer beispielhaften Ausführungsform der Erfindung umfasst.
-
2 stellt
ein vereinfachtes Blockdiagramm dar, das eine mögliche Implementierung eines
gegebenen Verarbeitungselements des Systems aus 1 zeigt.
-
3 stellt
ein vereinfachtes Blockdiagramm dar, das eine Reihe von Elementen
der Alarmzugriffssteuerung des Systems aus 1 in der
beispielhaften Ausführungsform
der Erfindung zeigt.
-
Detaillierte Beschreibung der Erfindung
-
Die
Erfindung wird nachstehend in Verbindung mit einem beispielhaften
Kommunikationssystem beschrieben, das ein Unternehmensnetz mit einer
Mehrzahl von Servern, Computern oder anderen Verarbeitungselementen
umfasst. Es sollte jedoch verstanden werden, dass die Erfindung
nicht auf den Einsatz mit einer bestimmten Art von Kommunikationssystem
oder irgendeiner speziellen Konfiguration von Servern, Computern
oder anderen Verarbeitungselementen des Systems beschränkt ist.
Fachleute auf dem Gebiet werden erkennen, dass die offenbarten Verfahren
in jeder Kommunikationssystemanwendung genutzt werden können, bei
welcher es wünschenswert
ist, einen verbesserten Zugriff unter Ansprechen auf interne Alarmsignale
zur Verfügung zu
stellen.
-
1 zeigt
ein Beispiel für
ein Kommunikationssystem 100 entsprechend einer beispielhaften Ausführungsform
der Erfindung. Das System 100 umfasst einen Kundenstandort 102,
welcher an ein externes Netz 104 angebunden ist. Der Kundenstandort 102 umfasst
ein Unternehmensnetz, das durch eine Firewall 106 von dem
Netz 104 getrennt ist. Das Unternehmensnetz umfasst bei
der vorliegenden Ausführungsform
Netzsegmente 108 und 110, welche LAN(lokales Netz)-Segmente, WAN(Weitverkehrsnetz)-Segmente
oder andere Netzsegmente oder Teile derselben in einer beliebigen
Kombination umfassen können.
Die Netzsegmente 108, 110 sind mit einem Router 120 gekoppelt.
-
Der
Router
120 kann beispielsweise ein SSL-VPN-Gateway oder
ein anderes sicheres Gateway der Art, wie es in der zuvor zitierten
US-Patentanmeldung 11/294,961 beschrieben
ist, oder einen herkömmlichen
Router umfassen.
-
Der
Router 120 ist außerdem
mit einem oder mehreren Kundensupport-Servern 122 gekoppelt, welche
beispielshalber einen NMS (Network Managementsystem)-Server, einen
AAA-Server, einen Syslog(System
Log)-Server usw. umfassen können. Diese
verschiedenen Server können
in einem einzigen Computer oder einem anderen Verarbeitungselement
implementiert sein, oder jeder kann ein separates, selbständiges Verarbeitungselement
oder einen Satz solcher Elemente umfassen.
-
Das
Unternehmensnetz umfasst bei dieser Ausführungsform ferner einen oder
mehrere Server oder andere verarbeitende Elemente 126, 126A und 128.
Die Elemente 126 stellen Computer, Server oder andere Verarbeitungselemente
dar, welche Produkte eines als Anbieter A bezeichneten speziellen
Anbieters sind. Analog stellen die Elemente 128 Computer, Server
oder andere Verarbeitungselemente dar, welche Produkte eines als
Anbieter B bezeichneten speziellen Anbieters sind. Die Elemente 126A stellen Computer,
Server oder andere Verarbeitungselemente dar, die Hilfsprodukte
des Anbieters A sind. Solche Produkte können beispielsweise Produkte umfassen,
die nicht von dem Anbieter A hergestellt werden oder anderweitig
geliefert werden, für
die möglicherweise
dieser Anbieter aber Support bietet.
-
Der
Begriff "Produkt", wie er vorliegend
genutzt wird, ist dahingehend breit auszulegen, dass er beispielsweise
Computer, Server oder andere Verarbeitungselemente wie zuvor erwähnt umfasst.
Solche anderen Verarbeitungselemente können beispielsweise Vermittlungseinrichtungen,
Gateways, Router, Firewalls usw. umfassen. Ein gegebenes Verarbeitungselement
kann beispielsweise ein unabhängiges
Ausrüstungsteil,
eine Komponente eines solchen Ausrüstungsteils oder eine Kombination mehrerer
solcher Ausrüstungsteile
darstellen und kann Software, Hardware und/oder Firmware in einer beliebigen
Kombination umfassen.
-
Obgleich
im vorliegenden Beispiel nicht explizit gezeigt, können weitere
Produkte, die Produkte des Kunden selbst oder zahlreicher weiterer
Anbieter sind, ebenfalls Teil des Unternehmensnetzes sein. Als weiteres
Beispiel können
sämtliche
oder im Wesentlichen alle Produkte innerhalb eines gegebenen Unternehmensnetzes
Produkte nur eines einzigen Anbieters sein. Viele andere Anordnungen
von Produkten in einem Unternehmensnetz sind in einer gegebenen
Ausführungsform
der Erfindung möglich.
-
Das
Unternehmensnetz, das in der vorliegenden Erfindung dem Kundenstandort 102 zugeordnet
ist, weist also interne Ressourcen auf, welche die Multi-Vendor-Produkte 126 und 128 umfassen, wie
auch zusätzliche
interne Ressourcen, welche die Produkte 126A umfassen,
die Hilfsprodukte des Anbieters A sind. Die Produkte 126, 126A und 128 sind wie
gezeigt mit dem Unternehmensnetzsegment 110 gekoppelt.
-
Die
Hilfsprodukte 126A des Anbieters A können optional einen oder mehrere
Modem-Ports umfassen, die über
eine Netzschnittstelleneinheit (NIU) 129 mit dem Segment 110 des
Unternehmensnetzes gekoppelt sind. Solche Verbindungen können genutzt
werden, um Modem-Alarmsignale, die von Hilfsprodukten des Anbieters
A erzeugt werden, zu behandeln. Die Modem-Alarmsignale werden über die
NIU in Alarmsignale auf Basis des Internetprotokolls (IP) konvertiert,
welche von dem Router 120 zu einer Alarmzugriffssteuerung 130 geleitet
werden können.
Die NIU verbindet beispielsweise den Modem-Anschluss eines Servers
oder eines anderen Verarbeitungselements und übersetzt den Modem-Alarm in
einen IP-basierten Alarm. Die NIU stellt kein Erfordernis für die Erfindung
dar, sondern bietet bei der beispielhaften Ausführungsform eine vollständigere
Lösung,
indem Modem-Alarmsignalen Rechnung getragen wird.
-
Es
sei erwähnt,
dass der Begriff "Kunde", wie er im Zusammenhang
mit der beispielhaften Ausführungsform
genutzt wird, ein Unternehmen bezeichnet, welches die Produkte 126 und 128 von
jeweiligen Anbietern A und B erwirbt oder anderweitig erhält, und
das außerdem
eines oder mehrere seiner eigenen Produkte sowie Produkte von anderen
Anbietern nutzt. Die als Kunde bezeichnete Entität stellt bei dieser Ausführungsform
also einen Kunden von zumindest den Anbietern A und B dar. Es sollte
erkannt werden, dass für
die Erfindung keine solche Kundengliederung erforderlich ist, sondern
dass diese allgemein auf jedes Geschäft, jede Organisation oder
jedes andere Unternehmen anwendbar ist, das interne Ressourcen besitzt,
für welche
eine externer Zugriff unter Ansprechen auf generierte Alarmsignale wie
vorliegend beschrieben gesteuert wird.
-
Es
sollte außerdem
erkannt werden, dass ein gegebenes verarbeitendes Element des Systems 100 selbst
Multi-Vendor-Produkte
umfassen kann. Somit kann das Produkt eines gegebenen Anbieters in
dem Sinne, wie der Begriff vorliegend verwendet wird, beispielsweise
einen speziellen Teil eines gegebenen verarbeitenden Elements umfassen,
beispielsweise ein Softwareprogramm, das auf diesem Element ausgeführt wird,
eine Hardwarekomponente dieses Elements, usw.
-
Der
Kundenstandort 102 umfasst bei dieser Ausführungsform
ferner die Alarmzugriffssteuerung 130, die mit dem Segment 108 des
Unternehmensnetzes gekoppelt ist. Der Alarmzugriffssteuerung sind
ein erster und ein zweiter Alarmverwalter 132 und 134 zugeordnet,
die beide ebenfalls an das Segment 108 angekoppelt sind
und dazu dienen, mit der Alarmzugriffssteuerung zu kommunizieren.
Die Alarmzugriffssteuerung wird nachstehend detaillierter mit Bezug
auf 3 beschrieben. Die Alarmverwalter 132 und 134 können Computer
oder andere Arten von Client-Geräten
oder allgemein andere Arten von Verarbeitungselementen des Kundenstandorts
umfassen.
-
Bei
anderen Ausführungsformen
kann der Kundenstandort 102 außerdem, wiederum beispielshalber,
ein SSL-Clientgerät 130 für einen
lokalen Kundentechniker umfassen. Dies ist ein Techniker; der sich
lokal am Kundenstandort 102 befindet, hinter der Firewall 106 des
Unternehmensnetzes, und der Support für etwaige Produkte des Kunden
am Kundenstandort bietet. Ein SSL-Clientgerät eines lokalen Kundentechnikers
dieser Art kann beispielsweise mit dem Segment 108 des
Unternehmensnetzes gekoppelt sein.
-
Die
verschiedenen Geräte
des Kundenstandorts 102 brauchen sich nicht alle am gleichen physischen
Einrichtungsstandort zu befinden. Beispielsweise kann der Standort
ein verteilter Standort sein, bei dem bestimmte Geräte an unterschiedlichen physischen
Einrichtungen lokalisiert sind.
-
Das
externe Netz 104 stellt bei der vorliegenden Ausführungsform
ein Netz dar, welches das Internet- und das Frame Relay-Protokoll
unterstützt, obgleich
natürlich
auch andere Protokolle bei der Implementierung der Erfindung genutzt
werden können. Ein
gegebenes externes oder Unternehmensnetz kann bei einer Ausführungsform
der Erfindung beispielshalber ein globales Kommunikationsnetz wie etwa
das Internet, ein Intranet, ein Extranet, ein LAN, ein WAN, ein
Stadtnetz (MAN – Metropoliten
Area Network), ein zellulares Funknetz oder ein Satellitennetz wie
auch Teile oder Kombinationen dieser oder anderer drahtgebundener
oder drahtloser Kommunikationsnetze umfassen. Für die Implementierung der vorliegenden
Erfindung ist also keine spezielle Art von Netz oder kein spezieller
Satz von Netzen erforderlich.
-
Das
externe Netz 104 ist mit einem Dienstleistungsanbieter 150 gekoppelt,
der dem Anbieter A zugeordnet ist. Der Dienstleistungsanbieter 150 kann vorliegend
auch als drittseitiger Dienstleistungsanbieter bezeichnet werden,
da er Entitäten
darstellen kann, die separat von dem Kunden oder den Produktanbietern
bestehen. Für
die Erfindung ist jedoch keine spezielle Beziehung zwischen dem
Kunden, den Dienstleistungsanbietern und den Anbietern erforderlich,
und die vorliegend beschriebenen Verfahren können in einfach zu übersehender
Weise für
eine Anwendung auf andere Arten von Funktionseinheiten angepasst
werden.
-
Der
Dienstleistungsanbieter
150 umfasst Techniker und Expertensysteme
152 für den Anbieter A,
für die
angenommen wird, dass sie an einem gemeinsamen Standort angeordnet
sind, sowie einen oder mehrere abgesetzte Techniker
155 für den Anbieter
A. Der Dienstleistungsanbieter kann auch andere Elemente umfassen,
beispielsweise eine Authentifizierungsdatenbank, wenngleich solche
zusätzlichen
Elemente in der Figur der deutlicheren Darstellung halber weggelassen
sind. Die Techniker und Expertensysteme
152,
155 können ein
oder mehrere Expertensysteme umfassen, beispielsweise etwa Systeme
der Art, wie sie in der zuvor zitierten
US-Patentanmeldung 10/939,694 beschrieben
sind, sowie ein oder mehrere Technikergeräte wie etwa Computer, mobile
Kommunikationsgeräte
usw., die genutzt werden können,
um den Technikern zu ermöglichen,
mit dem Kundenstandort
102 zu kommunizieren. Wie später detaillierter
beschrieben wird, ist der Dienstleistungsanbieter
150 derart
konfiguriert, dass er auf Alarmsignale anspricht, die von den jeweiligen
Produkten
126 des Anbieters A und Hilfsprodukten
126A des
Anbieters A erzeugt werden, indem er auf diese Produkte über den
Router
120 unter Kontrolle der Alarmzugriffssteuerung
130 zugreift.
-
Obgleich
nicht in der Figur gezeigt, kann eine analoge Dienstleistungsanbieter-Konfiguration
für den
Anbieter B bereitgestellt werden, welche Techniker und Expertensysteme
für den
Anbieter B umfasst. Die Techniker für den Anbieter B können Techniker umfassen,
die sich an dem gleichen Standort wie die Expertensysteme befinden,
sowie einen oder mehrere Techniker entfernt von diesem Standort.
-
Diesen
Dienstleistungsanbietern kann jeweils eine entsprechende föderierte
Kennung zugeordnet sein, wie sie in der zuvor zitierten
US-Patentanmeldung 11/294,961 beschrieben
ist. Die föderierten
Kennungen dieser jeweiligen Systemelemente können entsprechend den Standards
des Liberty Alliance Projekts, www.projectliberty.org, eingerichtet werden,
wie sie beispielsweise in Liberty ID-FF Architecture Overview, Version 1.2
beschrieben sind, welche hier durch Bezugnahme einbezogen werden. Generell
fasst eine föderierte
Kennung die Authentifizierungsinformationen zusammen, die typischerweise
erforderlich sind, um auf mehrere Netzentitäten auf individualer Basis
zuzugreifen, und zwar in einer Weise, die es einem Benutzer ermöglicht,
auf alle diese Entitäten über eine
einzige Anmeldung mit Hilfe seiner föderierten Kennung zuzugreifen.
Die mehreren Netzentitäten
sind also verbündet
oder föderiert insofern,
als sie miteinander in einem gemeinsamen "Vertrauenskreis" verknüpft sind, der über die
einzige Anmeldung (Single Sign-On – SSO) zugänglich ist. Die Kennung, die
dieser einzigen Anmeldung zugeordnet ist, wird als eine föderierte
Kennung bezeichnet. Durch Nutzung der föderierten Kennung kann das
Ansprechen auf einen Alarm durch die Dienstleistungsanbieter erleichtert
werden. Es sollte jedoch erkannt werden, dass die föderierte
Kennung kein Erfordernis für
die Erfindung darstellt und bei einer gegebenen Ausführungsform
nicht genutzt zu werden braucht.
-
Außerdem sind
an das externe Netz 104 in dem System 100 aus 1 SSL-Clientgeräte 160 und 170 eines
abgesetzten Kundentechnikers bzw. abgesetzten Kundenlösungsanbieters
angebunden. Diese Techniker und Kundenlösungsanbieter befinden sich
entfernt von dem Kundenstandort 102, außerhalb der Firewall des Unternehmensnetzes,
und stellen in diesem Beispiel Support für die Produkte des Kunden oder
andere Produkte dieses Standorts bereit. Die SSL-Clientgeräte 160 und 170 sind über jeweilige
SSL VPNs mit dem externen Netz 104 gekoppelt.
-
Die
Einrichtungen 120, 122, 126, 128, 130, 150, 160 und 170 des
Systems 100 stellen Beispiele für Elemente dar, die vorliegend
allgemeiner als "Verarbeitungselemente" bezeichnet werden.
-
Der
Router 120 kann in der beispielhaften Ausführungsform
beispielshalber derart konfiguriert sein, dass er bestimmte Art
von abgehendem Verkehr von den Elementen 126, 126A, 128 und 129 ablehnt
oder anderweitig sperrt. Als spezielleres Beispiel kann abgehender
Telnet-, FTP- (File Transfer Protocol) und/oder SSH-(Secure Shell)
Verkehr von diesen Elementen abgelehnt werden, während abgehende Alarmsignale
zur Auslieferung an die Alarmzugriffssteuerung 130 gestattet
werden. In ähnlicher Weise
kann der Router 120 dafür
konfiguriert sein, bestimmte Typen von eingehendem Verkehr, wie etwa
Telnet, FTP, SSH, HTTP, HTTPS usw. zu verweigern oder anderweitig
zu blockieren, wenn dieser Verkehr nicht von der Alarmzugriffssteuerung 130 stammt.
Diese spezielle Anordnung ist für
die Implementierung der Erfindung nicht erforderlich, und es können zahlreiche
alternative Routerkonfigurationen und Verkehrskontrollanordnungen
genutzt werden.
-
2 zeigt
ein vereinfachtes Blockdiagramm für eine mögliche Implementierung eines
gegebenen Verarbeitungselements 200 des Systems aus 1.
Das Verarbeitungselement 200 kann beispielsweise dem Router 120,
dem/den Kundensupport-Server(n) 122, einem der Produkte 126, 126A oder 128,
der Alarmzugriffssteuerung 130, einem Element des Dienstleistungsanbieters 150 oder
den SSL-Geräten 160 oder 170 entsprechen.
Generell umfasst jedes dieser Verarbeitungselemente einen Prozessor 202,
der mit einem Speicher 204 und einer oder mehreren Netzschnittstellen 206 gekoppelt
ist. Die Verfahren gemäß der vorliegenden
Erfindung können
zumindest teilweise in Form von Software implementiert sein, die
in dem Speicher 204 gespeichert werden kann und von dem
Prozessor 202 ausgeführt
werden kann. Der Speicher 204 kann einen Direktzugriffsspeicher
(RAM), Nur-Lese-Speicher (ROM), einen Speicher auf Basis einer optischen oder
magnetischen Platte oder andere Speicherelemente wie auch Teile
oder Kombinationen selbiger darstellen.
-
Fachleute
auf dem Gebiet werden erkennen, dass die einzelnen Komponenten aus 2,
wie sie der Veranschaulichung halber gezeigt sind, in einer oder
mehreren Verarbeitungseinrichtungen kombiniert sein können oder
auf diese verteilt sein können, z.
B. einen Mikroprozessor, eine anwendungsspezifische integrierte
Schaltung (ASIC), einen Computer oder (eine) andere Einrichtung(en).
-
Außerdem kann
das Verarbeitungselement 200 in Abhängigkeit davon, welche der
Systemeinrichtungen es implementiert, ferner zusätzliche Komponenten umfassen,
die nicht in der Figur gezeigt sind, aber typischerweise mit einer
solchen Einrichtung verknüpft
sind. Beispielsweise kann ein gegebenes Verarbeitungselement 200,
das eine oder mehrere der Einrichtungen 120, 122, 126 oder 128 implementiert,
zusätzliche
Komponenten umfassen, die üblicherweise
einem ansonsten herkömmlichen Computer,
einem Server, einer Gruppe von Servern usw. zugeordnet sind. Als
weiteres Beispiel kann ein gegebenes Verarbeitungselement 200,
welches eines oder mehrere SSL-Clientgeräte 160 oder 170 implementiert,
zusätzliche
Komponenten umfassen, die üblicherweise
einem ansonsten herkömmlichen
Mobilkommunikationsgerät
wie etwa einem Mobiltelefon, einem persönlichen digitalen Assistenten
(PDA) oder einem tragbaren Computer zugeordnet sind, oder einer
anderweitigen herkömmlichen,
nicht mobilen Kommunikationseinrichtung wie etwa einem Arbeitsplatzrechner,
einem Server oder einer Gruppe von Servern, oder allgemeiner jeder
anderen Art von prozessorbasierter Einrichtung oder Gruppe von Einrichtungen,
die für
eine Kommunikation mit anderen Einrichtungen des Systems 100 geeignet
konfiguriert sind. Die herkömmlichen
Aspekte dieser und anderer Einrichtungen, die in dem System 100 genutzt
werden können,
sind im Fachgebiet allgemein bekannt und werden vorliegend daher
nicht detaillierter beschrieben.
-
Das
System 100 kann zusätzliche
Elemente umfassen, die in der Figur nicht explizit gezeigt sind, beispielsweise
zusätzliche
Server, Router, Gateways oder andere Netzelemente. Das System kann
außerdem
oder alternativ eine oder mehrere Kommunikationssystem-Vermittlungseinrichtungen
wie etwa eine Kommunikationssystem-Vermittlungseinrichtung DEFINITY® für Unternehmenskommunikationsdienst (ECS – Enterprise
Communication Service) umfassen, die bei der Avaya Inc., Basking
Ridge, New Jersey, USA erhältlich
ist. Als weiteres Beispiel kann eine gegebene Kommunikationsvermittlungseinrichtung,
die in Zusammenhang mit der vorliegenden Erfindung genutzt werden
kann, die Kommunikationssystem-Software MultiVantageTM umfassen,
die ebenfalls bei der Avaya Inc. erhältlich ist. Der Begriff "Verarbeitungselement", wie er vorliegend
genutzt wird, soll solche Vermittlungseinrichtungen wie auch Server,
Router, Gateways oder andere Netzelemente umfassen.
-
Es
sollte daher erkannt werden, dass die vorliegende Erfindung nicht
die speziellen Anordnungen erfordert, die in 1 gezeigt
sind, und zahlreiche alternative Konfigurationen, die zum Bereitstellen
der vorliegend beschriebenen alarmgesteuerten Zugriffskontrolle
und der weiteren Funktionalität
geeignet sind, werden für
Fachleute auf dem Gebiet in einfacher Weise offensichtlich sein.
-
Die
Alarmzugriffssteuerung 130 ist in der beispielhaften Ausführungsform
dafür konfiguriert,
eine verbesserte Bearbeitung von Alarmsignalen, die von dem System 100 erzeugt
werden, zu bieten. Wie bereits erwähnt, sind herkömmliche
Anordnungen, welche die Nutzung von Netzmanagementsystemen zur Umprogrammierung
von Routern unter Ansprechen auf empfangene Alarmsignale einbeziehen, übermäßig komplex
und teuer. Die vorliegende Erfindung löst dieses Problem des Standes
der Technik, indem eine automatisierte alarmaktivierte Zugriffskontrolle
bereitgestellt wird.
-
Generell
ist die Alarmzugriffssteuerung 130 dafür konfiguriert, den Zugriff
für externe
Dienstleistungsanbieter wie beispielsweise 150, 160 und 170 auf
die Produkte 126, 126A und 128 des Unternehmensnetzes
des Systems 100 unter Ansprechen auf Alarmsignale, die
von diesen Produkten erzeugt werden, zu kontrollieren. Für einen
solchen gegebenen Alarm, der von einem der Produkte oder anderen
internen Ressourcen des Unternehmensnetzes erzeugt wird, identifiziert
die Alarmzugriffssteuerung einen externen Dienstleistungsanbieter
zur Behandlung des Alarms und stellt dem Dienstleistungsanbieter
temporär
einen authentifizierten Zugriff auf das Produkt bereit. Abgesehen
von speziellen Situationen wird dem Dienstleistungsanbieter der
Zugriff nur in Reaktion auf Alarmsignale von Produkten bereitgestellt,
wodurch die Sicherheit des Systems verbessert wird und die Zugriffskontrolle
beträchtlich
erleichtert wird.
-
3 zeigt
eine Reihe von Elementen der Alarmzugriffssteuerung 130 in
der beispielhaften Ausführungsform.
Bei dieser Ausführungsform
umfasst die Alarmzugriffssteuerung einen Alarmprozessor 300,
der einen Alarmschwereanalysator 302, einen Meldungsgenerator 304 sowie
einen Störungspassgenerator 306 umfasst.
Die Alarmzugriffssteuerung umfasst fernen einen dienstleistungsbezogenen Speicher 308,
der dienstleistungsbezogene Informationen 310-1 bis 310-N für jeweilige
Produkte enthält, die
als Produkt 1 bis Produkt N bezeichnet sind, sowie einen
Authentifizierer 312, welcher ein Authentifizierungselement
für eine
föderierte
Kennung umfassen kann, aber nicht braucht. Die dienstleistungsbezogenen
Informationen 310-1 bis 310-N können dienstleistungsbezogene
Informationen umfassen, die einem der Produkte 126, 126A oder 128 zugeordnet
sind, die zuvor in Verbindung mit dem System 100 aus 1 beschrieben
worden sind, oder anderen Produkten, die interne Ressourcen des
Unternehmensnetzes darstellen.
-
Der
Alarmprozessor 300 sowie weitere Elemente der Alarmzugriffssteuerung 130 können zumindest
teilweise unter Nutzung eines Prozessors und Speichers eines Verarbeitungselements
des Systems implementiert sein, wie sie in der vorstehenden Beschreibung
der 2 angegeben worden sind. Außerdem können, obgleich die Elemente 308 und 312 in
der beispielhaften Ausführungsform
getrennt von dem Alarmprozessor 300 gezeigt sind, diese
und weitere Elemente der Steuerung bei alternativen Ausführungsformen
gänzlich
oder teilweise in den Alarmprozessor 300 integriert sein.
-
Der
Alarmschwereanalysator 302 dient dazu, einen gegebenen
Alarm zu verarbeiten, um dessen Schwere festzustellen, und die resultierende Schwerebestimmung
kann genutzt werden, um beispielsweise den speziellen Dienstleistungsanbieter zu
beeinflussen, dem der Alarm gemeldet wird, die Zeitspanne, für welche
diesem Dienstleistungsanbieter temporär Zugriff auf das den Alarm
erzeugende Produkt gestattet wird oder andere Eigenschaften des
temporären
Zugriffs, der dem Dienstleistungsanbieter von der Alarmzugriffssteuerung
gewährt
wird.
-
Der
Meldungsgenerator 304 erzeugt ein entsprechendes Alarmmeldungssignal
zur Auslieferung an den speziellen Dienstleistungsanbieter, der
zur Behandlung eines gegebenen Alarms ausgewählt wird.
-
Der
Störungspassgenerator 306 erzeugt
für einen
gegebenen Alarm einen Pass oder eine andere Art von Datensatz, welcher
genutzt wird, um Informationen zu identifizieren, die den gegebenen
Alarm betreffen, den Dienstleistungsanbieter, der zur Behandlung
des Alarms ausgewählt
wird, die Art und das Ausmaß des
temporären
Zugriffs, der diesem Dienstleistungsanbieter gewährt wird, usw. Dieser Pass oder
andere Datensatz umfasst vorzugsweise eine eindeutige, einmalige
Nummer. Sie kann für
die Autorisierung eines Zugriffs in Reaktion auf eingehende Zugriffsanforderungen,
die von einem Dienstleistungsanbieter empfangen werden, der zur
Behandlung eines gegebenen Alarms ausgewählt ist, genutzt werden.
-
Der
dienstleistungsbezogene Speicher 308 kann für jedes
der N Produkte einen Satz von gestatteten Zugriffszeiten zur Alarmbehebung
für dieses Produkt
umfassen, die möglicherweise
entsprechend der Alarmschwere indiziert sind, sowie Informationen,
die einem oder mehreren entsprechenden Dienstleistungsanbietern
zugeordnet sind, die den Alarm/die Alarmsignale behandeln sollten.
Die Daten bezüglich
der Dienstleistungsanbieter, die in dem dienstleistungsbezogenen
Speicher 308 für
ein gegebenes Produkt der N Produkte gespeichert sind, können beispielsweise
eine Kennung (ID) des Technikers, E-Mail-Adresse, Telefonnummer, Funkruf, Instant
Message(IM)-Adresse
oder andere Kontaktinformationen umfassen, oder ein automatisiertes Werkzeug
oder eine andere Expertensystem-ID und eine entsprechende zweckgebundene
automatische Antwort. Andere Arten von dienstleistungsbezogenen
Informationen 310-1 bis 310-N können Protokolle
umfassen, die erforderlich sind, um auf bestimmte Produkte zuzugreifen,
eine Identifikation für
Produkte, die mit einem den gegebenen Alarm erzeugenden Produkt
in Zusammenhang stehen und auf die ein Dienstleistungsanbieter,
der auf einen von dem gegebenen Produkt erzeugten Alarm reagiert,
ebenfalls zugreifen kann, usw.
-
Die
dienstleistungsbezogenen Informationen 310-1 bis 310-N können einen
oder mehrere Zugriffskontrollverwalter wie beispielsweise die Zugriffskontrollverwalter 132 und 134 des
Systems 100 identifizieren, die autorisiert sind, Zugriffsgenehmigungen für Alarmsignale,
die von einem bestimmten Produkt oder unter anderen Bedingungen
erzeugt werden, in Echtzeit bereitzustellen. Generell wird, wenn
kein Alarm vorliegt, den externen Dienstleistungsanbietern der Zugriff
auf das entsprechende Produkt verweigert, es sei denn, ein Zugriffsverwalter
gewährt eine
Zugriffsgenehmigung in Echtzeit. Diese Art von "manueller Umgehung" der standardmäßigen alarmgesteuerten Zugriffskontrolle
kann unter bestimmten Umständen
geeignet sein, beispielsweise wenn ein für ein gegebenes Produkt bezeichneter
Dienstleistungsanbieter nicht verfügbar ist. Eine E-Mail-Adresse,
Telefonnummer, Funkruf, IM-Adresse oder andere Kontaktinformationen
können
für jeden
identifizierten Zugriffskontrollverwalter gespeichert sein. Die Alarmzugriffsteuerung
kann von einem Systemadministrator dahingehend vorprogrammiert werden,
dass sie anzeigt, ob Zugriff durch einen einzigen Zugriffskontrollverwalter
oder durch mehrere Zugriffskontrollverwalter gewährt werden kann. Wenn die Genehmigung
von mehreren Zugriffskontrollverwaltern erforderlich ist, stellt
die Steuerung sicher, dass beide den Zugriff genehmigt haben, bevor
der Zugriff gewährt wird.
-
Ein
Beispiel für
die Bearbeitung eines gegebenen Alarms in dem System 100 soll
nun detaillierter mit Bezugnahme auf die 1 und 3 beschrieben
werden. Es sollte jedoch verstanden werden, dass bei anderen Ausführungsformen
andere Arten der Alarmbearbeitung genutzt werden können.
-
Der
gegebene Alarm wird von einem der Produkte 126, 126A oder 128 über den
Router 120 und die Netzsegmente 108, 110 an
die Alarmzugriffssteuerung 130 gesendet. Der Alarm kann
beispielsweise ein IP-basierter Alarm sein, d. h. ein direkt von
einem der Produkte erzeugter Alarm, oder ein Modem-Alarm, der durch
die zuvor beschriebene NIU 129 in einen IP-basierten Alarm
umgewandelt wird. Natürlich
können
mit Hilfe der vorstehend offenbarten Verfahren zahlreiche andere
Arten von Alarmsignalen bearbeitet werden.
-
Wenn
der Alarm von der Alarmzugriffssteuerung 130 empfangen
wird, stellt der Alarmschwereanalysator 302 die Schwere
des Alarms fest. Mit Hilfe der festgestellten Alarmschwere in Kombination
mit der dienstleistungsbezogenen Information 310-i für das entsprechende
Produkt identifiziert die Alarmzugriffssteuerung einen externen
Techniker, ein externes Expertensystem oder einen anderen Dienstleistungsanbieter
zur Behandlung des Alarms und stellt eine oder mehrere Bedingungen
zur Gewährung
eines temporären
Zugriffs für
diesen Dienstleistungsanbieter fest. Solche Bedingungen können beispielsweise
eine einzige Zeitspanne umfassen, für welche der Zugriff gewährt wird,
oder mehrere Zeitspannen, für
welche der Zugriff genehmigt wird. Die Alarmzugriffssteuerung kann
außerdem
etwaige weitere in Zusammenhang stehende Produkte feststellen, die durch
den Alarm beeinträchtigt
werden, sowie ob dem ausgewählten
Dienstleistungsanbieter oder anderen Dienstleistungsanbietern Zugriff
auf diese Produkte im Zusammenhang mit der Dienstleistung bezüglich des
Alarms Zugriff gewährt
werden sollte oder nicht.
-
Der
Meldungsgenerator 304 erzeugt eine Meldung, die von der
Alarmzugriffssteuerung an den ausgewählten externen Techniker, das
Expertensystem oder den anderen Dienst leistungsanbieter gesendet
wird, in welcher der Alarm sowie die Zeitspanne(n) oder andere Bedingungen,
für welche
der Zugriff gewährt
wird, spezifiziert sind. Die Meldung kann beispielsweise eine Alarmbeschreibung,
die festgestellte Schwere des Alarms, verfügbare Diagnoseinformationen
oder irgendwelche anderen Informationen, welche die Behandlung des
Alarms durch den ausgewählten
Dienstleistungsanbieter erleichtern könnten, umfassen.
-
Der
Störungspassgenerator 306 erzeugt eine
einmalige Störungspassnummer,
die als Teil der Alarmmeldung oder als separate Mitteilung an den ausgewählten externen
Dienstleistungsanbieter gesendet werden kann. Der Authentifizierer 312 nutzt diese
Störungspassnummer
bei der Authentifizierung eingehender Zugriffsanforderungen von
dem Dienstleistungsanbieter.
-
Der
ausgewählte
Dienstleistungsanbieter kann der Alarmzugriffssteuerung mit einer
Nachricht antworten, welche bestätigt,
dass der Zugriff zu der/den spezifizierten Zeit(en) den spezifizierten
und entsprechend etwaiger weiterer spezifizierter Bedingungen erfolgen
wird.
-
Zur
festgelegten Zeit legt der ausgewählte Dienstleistungsanbieter
der Alarmzugriffssteuerung 130 eine Zugriffsanforderung
vor. Die Zugriffsanforderung des Dienstleistungsanbieters umfasst
Authentifizierungsdaten, beispielsweise eine föderierte Kennung des Dienstleistungsanbieters,
sowie die vorstehend erwähnte
einmalige Störungspassnummer.
-
Sobald
er authentifiziert ist, wird dem Dienstleistungsanbieter Zugriff
auf das den Alarm erzeugende Produkt und etwaige relevante in Zusammenhang
stehende Produkte für
die spezifizierte Zeitspanne gewährt.
Nachdem die Zeitspanne abgelaufen ist, wird der Zugriff beendet.
Als eine mögliche
Alternative könnte
dem Dienstleistungsanbieter unbegrenzter Zugriff gewährt werden,
bis das Problem, das zu dem Alarm geführt hat, gelöst ist und
der entsprechende Störungspass
aufgehoben wird.
-
Der
Dienstleistungsanbieter oder ein zugehöriger Techniker, ein zugehöriges Expertensystem oder
ein anderes dienstleistendes Element kann einen ansonsten herkömmlichen
Webbrowser oder eine andere Zugriffseinrichtung oder einen anderen Zugriffsmechanismus
nutzen, um Zugriff auf das den Alarm erzeugende Produkt über die
Alarmzugriffssteuerung 130 zu erlangen.
-
Wenn
der Dienstleistungsanbieter einen größeren Zeitbedarf zur Behandlung
eines gegebenen Bedarfs anzeigt, erzeugt die Alarmzugriffssteuerung eine
entsprechende Echtzeit-Zugriffsanforderung und sendet diese Anforderung
an den/die entsprechende(n) Zugriffskontrollverwalter. Basierend
auf der Antwort von dem/den Zugriffskontrollverwalter(n) sowie dienstleistungsbezogenen
Informationen für das
entsprechende Produkt kann die Zugriffsanforderung genehmigt oder
abgewiesen werden. Wenn die Zugriffsanforderung genehmigt wird,
wird dem Dienstleistungsanbieter Zugriff auf das strittige Produkt
bereitgestellt.
-
Die
Alarmzugriffssteuerung kann dazu dienen, sämtliche Alarmsignale, Zugriffsanforderungen, Zugriffsgenehmigungen,
Kennungen von Dienstleistungsanbietern, Störungspassnummern und etwaige andere
relevante Informationen zur Nutzung für Prüf- und andere Zwecke zu protokollieren.
-
Die
beispielhafte Ausführungsform
bietet eine Reihe beträchtlicher
Vorteile im Vergleich zur herkömmlichen
Praxis. Beispielsweise wird durch Gestatten eines Zugriffs für Dienstleistungsanbieter während begrenzter
Zeitspannen in Reaktion auf bestimmte Produktalarme die Systemsicherheit
beträchtlich
verbessert. Für
einen Alarm, der von einem Server oder einem anderen Produkt erzeugt
wird, wird automatisch festgestellt, welchem Dienstleistungsanbieter
Zugriff auf dieses Produkt gestattet ist, für welche Zeitspanne, und auf
welche anderen damit in Verbindung stehenden Server oder anderen
Produkte ebenfalls zugegriffen werden kann. Wenn ein Produkt keinen
Alarm erzeugt hat, wird ein Zugriff für einen externen Dienstleistungsanbieter
auf dieses Produkt nicht gestattet, außer für bestimmte Ausnahmebedingungen
wie beispielsweise eine angemessen autorisierte Echtzeit-Zugriffsanforderung.
-
Mit
der beispielhaften Ausführungsform
wird außerdem
die Behandlung von Alarmsignalen, die von Multi-Vendor-Produkten stammen,
die Teil der internen Ressourcen eines Unternehmensnetzes sind, erleichtert,
indem eine einzige Stelle für
die eingehende und ausgehende Zugriffskontrolle für sämtliche
Dienstleistungsanbieter bereitgestellt wird. Außerdem ermöglicht die beispielhafte Ausführungsform
eine Kompatibilität
mit Sicherheitsrichtlinien von Kunden, z. B. Richtlinien, die mit
dem Zugriff, der Überwachung,
Kontrolle, Protokollierung usw. in Zusammenhang stehen. Mit Hilfe
der erfindungsgemäßen Verfahren
brauchen Kunden nicht mehr einen externen Dienstleistungsanbieter
anzurufen, um diesen über
ein Problem zu unterrichten, das zu einem Alarm geführt hat,
oder um eine explizite Autorisierung bereitzustellen, um einem bestimmten
Techniker oder Expertensystem des Dienstleistungsanbieters zu ermöglichen,
Zugriff auf das Produkt zu erhalten, um das Problem zu lösen.
-
Bei
alternativen Ausführungsformen
kann die Alarmzugriffssteuerung 130 in ein oder mehrere andere
Systemelemente integriert sein. Beispielsweise könnte die Alarmzugriffssteuerung
in den Router 120 oder die Firewall 106 integriert
sein. Als weitere Alternative könnte
die Alarmzugriffssteuerung in ein SSL VPN Gateway oder eine andere
Art von sicherem Gateway integriert sein.
-
Außerdem kann
die spezielle Positionierung der Alarmzugriffssteuerung in dem System
verändert werden.
-
Beispielsweise könnte ein
unabhängiges
-
Verarbeitungselement,
welches die Alarmzugriffssteuerung implementiert, mit dem Router 120 gekoppelt
sein, mit den Kundensupport-Servern 122, oder könnte mit
dem Netzsegment 110 anstatt dem Netzsegment 108,
wie in 1 gezeigt, gekoppelt sein.
-
Die
Alarmzugriffssteuerung 130 kann in der beispielhaften Ausführungsform
derart konfiguriert sein, dass sie Alarmsignale behandelt, die von
Produkten erzeugt werden, welche unterschiedliche Protokolle nutzen.
Obgleich nicht explizit gezeigt, kann ein Protokollkonverter genutzt
werden, um Kommunikation gemäß verschiedener
unterstützter
Protokolle abzuwickeln. Beispielsweise kann die Alarmzugriffssteuerung
einen gegebenen Alarm in SNMP (Simple Network Management Protocol)
konvertieren, und zwar zur lokalen Verteilung an den Kundensupport-Server 122.
Als weiteres Beispiel kann die Alarmzugriffssteuerung einen gegebenen
Alarm in SSL-kodiertes SNPM konvertieren, um diesen an einen der
externen drittseitigen Dienstleistungsanbieter 150, 160 oder 170 zu
senden. Die Erfindung erfordert kein spezielles Alarmprotokoll oder Übertragungsprotokoll,
und zahlreiche geeignete Anordnungen werden für Fachleute auf dem Gebiet
in einfacher Weise offensichtlich sein.
-
Wie
bereits erwähnt,
kann die Authentifizierung eines gegebenen Dienstleistungsanbieters
die Nutzung einer föderierten
Kennung beinhalten. Beispielsweise kann der Dienstleistungsanbieter 150, 160 oder 170 eine
föderierte
Kennung nutzen, um Zugang auf das den Alarm erzeugende Produkt über die
Alarmzugriffssteuerung 130 zu erhalten. Bei einer solchen
Anordnung ist der Authentifizierer 312 dafür konfiguriert,
die angebotene föderierte
Kennung zu authentifizieren. Die föderierte Kennung kann bei einer
solchen Anordnung sämtliche
Techniker und Expertensysteme einschließen, die dem Dienstleistungsanbieter
zugeordnet sind. Solche Techniker und Expertensysteme sind Beispiele
dafür,
was vorliegend allgemeiner als "dienstleistende
Elemente" des Dienstleistungsanbieters
bezeichnet wird. Somit braucht die Alarmzugriffssteuerung bei einer
solchen Anordnung lediglich den Dienstleistungsanbieter anstatt
jeden Techniker oder jedes Expertensystem auf einzelner Basis zu
authentifizieren.
-
Die
eingehende föderierte
Kennung eines gegebenen Dienstleistungsanbieters 150, 160 oder 170 kann
unter Nutzung von SAML (Security Assertion Markup Language) von
OASIS, www.oasis-open.org, bereitgestellt werden, wie beispielsweise
in SAML Version 1.0, SAML Version 1.1 und SAML Version 2.0 beschrieben
ist, die hier alle durch Bezugnahme einbezogen werden. Andere Protokolle können ebenfalls
oder alternativ genutzt werden, beispielsweise XML (Extensible Markup
Language), SOAP (Simple Object Access Protocol) usw.
-
Eine
oder mehrere der Verarbeitungsfunktionen, die vorstehend in Verbindung
mit den beispielhaften Ausführungsformen
der Erfindung beschrieben worden sind, können insgesamt oder teilweise als
Software implementiert werden, und zwar unter Nutzung des Prozessors 202 und
des Speichers 204, die einem oder mehreren Verarbeitungselementen des
Systems zugeordnet sind. Es können
auch andere geeignete Anordnungen aus Hardware, Firmware oder Software
genutzt werden, um die erfindungsgemäßen Verfahren zu implementieren.
Es sei erneut betont, dass die vorstehend beschriebenen Anordnungen
lediglich der Veranschaulichung dienen. Es sollte also erkannt werden,
dass die speziellen Elemente, Verarbeitungsvorgänge, Kommunikationsprotokolle
und andere Merkmale, die in den Figuren gezeigt sind, lediglich
beispielshalber angegeben sind und nicht als Anforderungen der Erfindung
betrachtet werden sollten. Beispielsweise können in alternativen Ausführungsformen
andere Konfigurationen der Verarbeitungselemente, andere Verarbeitungsvorgänge und
andere Kommunikationsprotokolle als die aus den beispielhaften Ausführungsformen
genutzt werden. Diese und zahlreiche andere alternative Ausführungsformen,
die in den Schutzumfang der folgenden Ansprüche fallen, werden für Fachleute
auf dem Gebiet offensichtlich sein.