PatentDe  


Dokumentenidentifikation DE102007025162A1 03.01.2008
Titel Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
Anmelder Avaya Technology LLC, Basking Ridge, N.J., US
Erfinder Chu, Christopher, Lakewood, Col., US;
Rozensky, Ronald S., Bradenton, Fla., US;
Seibel, Robert Rhea, Waretown, N.J., US;
Sundararajan, Makund, Sayrevill, N.J., US
Vertreter Blumbach Zinngrebe, 65187 Wiesbaden
DE-Anmeldedatum 29.05.2007
DE-Aktenzeichen 102007025162
Offenlegungstag 03.01.2008
Veröffentlichungstag im Patentblatt 03.01.2008
IPC-Hauptklasse H04L 12/26(2006.01)A, F, I, 20070910, B, H, DE
IPC-Nebenklasse H04L 9/32(2006.01)A, L, I, 20070910, B, H, DE   H04L 29/08(2006.01)A, L, I, 20070910, B, H, DE   
Zusammenfassung Eine Alarmzugriffssteuerung dient dazu, den Zugriff auf ein Unternehmensnetz eines Kommunikationssystems unter Ansprechen auf Alarmsignale, die von Produkten erzeugt werden, welche Teil eines Satzes von internen Ressourcen des Unternehmensnetzes sind, zu kontrollieren. Gemäß einem Aspekt wird die Alarmzugriffssteuerung durch einen Server oder ein anderes Verarbeitungselement implementiert, das einen Prozessor gekoppelt mit einem Speicher umfasst. Die Alarmzugriffssteuerung ist dafür konfiguriert, einen Alarm von einem der Produkte zu empfangen, einen externen Dienstleistungsanbieter zur Behandlung des Alarms zu identifizieren und dem Dienstleistungsanbieter temporär authentifizierten Zugriff auf das Produkt bereitzustellen. Durch Einschränken des Zugriffs für einen Dienstleistungsanbieter auf ein alarmerzeugendes Produkt entsprechend spezifizierten Zeitspannen oder anderen Bedingungen, die zumindest teilweise basierend auf dem Alarm selbst festgelegt werden, wird die Sicherheit des Systems beträchtlich verbessert und die Zugriffskontrolle wird flexibler und effizienter gestaltet.

Beschreibung[de]
Verwandte Anmeldung

Die vorliegende Anmeldung steht im Zusammenhang mit der US-Patentanmeldung 11/294,961, eingereicht am 06. Dezember 2005 im Namen der Erfinder A.R. Raphael und R.R. Seibel mit dem Titel "Secure Gateway with Alarm Manager and Support for Inbound Federated Identity", welche gemeinsam mit der vorliegenden übertragen ist und hier durch Bezugnahme einbezogen wird.

Gebiet der Erfindung

Die Erfindung betrifft allgemein das Gebiet von Kommunikationssystemen und betrifft spezieller Verfahren, die genutzt werden, um den Zugriff auf interne Ressourcen von Unternehmensnetzen von externen Servern und anderen Einrichtungen aus zu kontrollieren.

Hintergrund der Erfindung

Herkömmliche Verfahren zur Kontrolle des Zugriffs auf interne Ressourcen von Unternehmensnetzen von externen Servern und anderen Geräten aus können beispielsweise die Nutzung von Secure Sockets Layer (SSL) Virtual Private Network (VPN) Gateways oder anderen Typen von sicheren Gateways beinhalten.

Ein typisches herkömmliches SSL-VPN-Gateway ist derart konfiguriert, dass es auf Browser-Basis Zugriff auf die internen Ressourcen eines Unternehmensnetzes bereitstellt. Solche internen Ressourcen können Server, Computer oder andere Verarbeitungseinrichtungen von vielen verschiedenen Anbietern umfassen, und auf diesen kann eine breite Vielfalt unterschiedlicher Protokolle ausgeführt werden. Eingehende Transaktionen, die an das Gateway gerichtet sind, werden im Allgemeinen mit Hilfe von Standardprotokollen wie etwa dem Hypertext Transfer Protocol (HTTP) oder HTTP Secure Sockets (HTTPS) initiiert. Bei einer typischen Konfiguration kann es sein, dass ein SSL-VPN-Gateway selbst keine Firewall darstellt, sondern stattdessen innerhalb des Unternehmens hinter der Firewall lokalisiert sein kann.

Beispiele für herkömmliche SSL-VPN-Gateways sind die Produkte SA 700, SA 2000, SA 4000, SA 6000 und SA 6000 SP, die kommerziell bei der Juniger Networks, Inc., Sunnyvale, Kalifornien, USA erhältlich sind, die Produkte EX-2500, EX-1500 und EX-750, die kommerziell bei der Aventail Corp., Seattle, Washington, USA erhältlich sind, und das Produkt Permeo Base5, das kommerziell bei der Permeo Technologies Inc., Austin, Texas, USA erhältlich ist.

Ein wesentlicher Nachteil, der mit herkömmlichen VPN-Gateways der vorstehend aufgelisteten Art verbunden ist, besteht darin, dass es schwierig sein kann, Alarmsignale zu behandeln, die von internen Ressourcen des Unternehmens generiert werden. Solche Ressourcen umfassen oft Produkte von mehreren Anbietern. Jeder Anbieter hat möglicherweise einen externen Dienstleistungsanbieter, welcher Kundensupport für die Produkte dieses Anbieters bietet. Ein gegebener Dienstleistungsanbieter kann beispielsweise Techniker und Expertensysteme umfassen, welche die Alarmsignale bearbeiten können, um die Probleme zu lösen, die welcher Art auch immer möglicherweise in den Produkten des entsprechenden Anbieters bestehen. Beispielhafte Expertensysteme, die genutzt werden können, um Alarmsignale zu bearbeiten, sind in der am 13. September 2004 im Namen der Erfinder S. Ganesh et al. eingereichten US-Patentanmeldung 10/939,694 beschrieben, mit dem Titel "Distributed Expert System for Automatic Problem Resolution in a Communication System", welche gemeinsam mit der vorliegenden übertragen worden ist und hier durch Bezugnahme einbezogen wird.

Generell sind die herkömmlichen SSL-VPN-Gateways nicht dafür konfiguriert, Alarmsignale von auch als herstellerneutral bezeichneten Multi-Vendor-Produkten, die Teil eines Unternehmensnetzes hinter der Firewall sind, an die diesen zugeordneten externen Dienstleistungsanbieter außerhalb der Firewall auszuliefern oder den Dienstleistungsanbietern Zugriff auf die Produkte, welche die Alarmsignale erzeugt haben, zu gestatten. In vielen Fällen muss ein Kunde möglicherweise den Dienstleistungsanbieter anrufen, um ihn von einem Problem in Kenntnis zu setzen, das zu einem Alarm geführt hat. Der Kunde müsste dann eine explizite Autorisierung bereitstellen, um einem Techniker oder einem Expertensystem des Dienstleistungsanbieters zu gestatten, Zugriff auf das Produkt zu erlangen, um das Problem zu lösen.

Außerdem sind herkömmliche SSL-VPN-Gateways typischerweise dafür ausgelegt, einzelne Nutzer zu authentifizieren. Es ist unpraktikabel, hunderte oder gar tausende von Technikern zu authentifizieren, die möglicherweise den Dienstleistungsanbietern zuzuordnen sind, welche den Support für die verschiedenen Multi-Vendor-Produkte in einem gegebenen Unternehmen bieten. Die Techniker von Dienstleistungsanbietern müssen möglicherweise Hardware-Tokens oder andere ähnliche Mechanismen nutzen, um Zugriff auf ein Unternehmensnetz zu erlangen, und jeder Techniker eines Dienstleistungsanbieters müsste unterschiedliche Sätze von Hardware-Tokens für jeden Kunden nutzen, was unpraktisch und teuer ist. Darüber hinaus kann eine Authentifizierung großer Gruppen von Technikern von herstellerneutralen Dienstleistungsanbietern eine übermäßige Last für den AAA(Administration, Autorisierung und Authentifizierung)-Server eines gegebenen Unternehmens bedeuten, was eindeutig unerwünscht ist.

Die vorstehend zitierte US-Patentanmeldung 11/294,961 offenbart ein verbessertes SSL-VPN-Gateway oder ein sicheres Gateway anderer Art, das eine effizientere Behandlung von Alarmsignalen von Multi-Vendor-Produkten, die Teil der internen Ressourcen eines Unternehmensnetzes sind, ermöglichen kann.

In einer beispielhaften Ausführungsform umfasst ein SSL-VPN-Gateway einen Alarmmanager und bietet Unterstützung für eine eingehende, auch als "Federated Identity" bezeichnete föderierte Kennung. Der Alarmmanager empfängt einen Alarm von einem Produkt eines Anbieters, welches Teil eines Satzes interner Ressourcen des Unternehmensnetzes ist, und leitet den Alarm an einen externen Dienstleistungsanbieter zur Bearbeitung. Das Gateway empfängt von dem Dienstleistungsanbieter in Reaktion auf den Alarm eine föderierte Kennung, welche eine Mehrzahl von Technikern, Expertensystemen oder anderen dienstleistenden Elementen des Dienstleistungsanbieters einschließt. Das Gateway kann einem oder mehreren speziellen dienstleistenden Elementen des Dienstleistungsanbieters Zugriff auf das den Alarm erzeugende Anbieterprodukt auf Basis der föderierten Kennung gewähren.

Trotz der beträchtlichen Vorteile, die durch die sicheren Gateways bereitgestellt werden, welche in der vorstehend zitierten Patentanmeldung offenbart sind, bleibt ein Bedarf an weiteren Verbesserungen, insbesondere im Hinblick auf die Kontrolle des Zugriffs in Reaktion auf Alarmsignale, die von Produkten erzeugt werden, die Teil der internen Ressourcen eines Unternehmensnetzes sind. Beispielsweise können herkömmliche Anordnungen zum Bereitstellen eines solchen Zugriffs ohne Zusammenhang mit einem sicheren Gateway das Nutzen eines Netzmanagementsystems beinhalten, um einen Router unter Ansprechen auf einen empfangenen Alarm umzuprogrammieren. Solche Anordnungen sind jedoch übermäßig komplex und somit ist deren Implementierung in realen Unternehmensnetzen sehr teuer.

Zusammenfassung der Erfindung

Gemäß der vorliegenden Erfindung werden in einer beispielhaften Ausführungsform die vorstehend erwähnten Nachteile des Standes der Technik überwunden, indem ein Ansatz mit alarmgesteuerter Zugriffskontrolle bereitgestellt wird. Im Allgemeinen dient eine Alarmzugriffssteuerung dazu, den Zugriff auf ein Unternehmensnetz eines Kommunikationssystems unter Ansprechen auf Alarmsignale, die von Produkten erzeugt werden, welche Teil eines Satzes von internen Ressourcen des Unternehmensnetzes sind, zu kontrollieren.

Gemäß einem Aspekt der Erfindung wird die Alarmzugriffsteuerung durch einen Server oder ein anderes Verarbeitungselement implementiert, das einen Prozessor gekoppelt mit einem Speicher umfasst. Die Alarmzugriffssteuerung ist derart konfiguriert, dass sie einen Alarm von einem der Produkte empfängt, einen externen Dienstleistungsanbieter zur Behandlung des Alarms identifiziert und dem Dienstleistungsanbieter temporär authentifizierten Zugriff auf das Produkt bereitstellt.

In einer beispielhaften Ausführungsform umfasst die Alarmzugriffsteuerung ferner beispielshalber einen Alarmschwereanalysator (alarm severity analyser), einen Meldungsgenerator, einen Störungspassgenerator (trouble ticket generator), einen Authentifizierer sowie einen dienstleistungsbezogenen Speicher. Der Alarmschwereanalysator dient dazu, den Alarm zu bearbeiten, um dessen Schwere festzustellen. Eine oder mehrere Bedingungen für den temporär authentifizierten Zugriff für den Dienstleistungsanbieter auf das Produkt können basierend zumindest teilweise auf der Schwere des Alarms festgelegt werden. Der Meldungsgenerator dient dazu, ein Alarmmeldungssignal zur Auslieferung an den identifizierten Dienstleistungsanbieter zu generieren. Der Störungspassgenerator dient dazu, eine eindeutige Kennung für den Alarm zu generieren. Die Alarmzugriffsteuerung kann die eindeutige Kennung des Alarms im Zusammenhang mit einer Alarmmeldung an den identifizierten Dienstleistungsanbieter senden. Der Authentifizierer kann dann den identifizierten Dienstleistungsanbieter unter Ansprechen auf eine Zugriffsanforderung von diesem basierend zumindest teilweise auf der eindeutigen Kennung des Alarms authentifizieren.

Der dienstleistungsbezogene Speicher dient dazu, dienstleistungsbezogene Informationen für jeweilige Produkte einer Mehrzahl von Produkten, die Teil des Satzes von internen Ressourcen des Unternehmensnetzes sind, zu speichern. Die dienstleistungsbezogenen Informationen können für jedes der Produkte eine oder mehrere gestattete Zugriffszeiten zur Alarmbehebung für dieses Produkt wie auch Informationen, die einen oder mehrere entsprechende Dienstleistungsanbieter identifizieren, welche die von den jeweiligen Produkten erzeugten Alarmsignale behandeln sollten, umfassen. Die Zugriffszeiten für ein gegebenes der Produkte können entsprechend der Alarmschwere indiziert sein, sodass basierend auf der Alarmschwere unterschiedliche Zugriffszeiten bestimmt sein können.

Die dienstleistungsbezogenen Informationen können ferner für zumindest ein gegebenes Produkt der Produkte ferner Informationen umfassen, die zumindest ein zusätzliches Produkt identifizieren, für welches dem identifizierten Dienstleistungsanbieter Zugriff in Verbindung mit einer Gewährung eines Zugriffs auf das gegebene Produkt gewährt wird. Als weiteres Beispiel können die dienstleistungsbezogenen Informationen für zumindest ein gegebenes Produkt der Produkte Informationen umfassen, die einen oder mehrere Zugriffskontrollverwalter identifizieren, deren Autorisierung erforderlich ist, um irgendeine Änderung bei einer oder mehreren spezifizierten Bedingungen für den temporär authentifizierten Zugriff für den Dienstleistungsanbieter auf das Produkt zu erreichen. Wenn kein von dem Produkt erzeugter Alarm vorliegt, ist es dem Dienstleistungsanbieter generell nicht gestattet, ohne Genehmigung eines oder mehrerer dem Produkt zugeordneter Zugriffskontrollverwalter auf das Produkt zuzugreifen.

Mit der beispielhaften Ausführungsform der Erfindung werden in vorteilhafter Weise die zuvor erwähnten Probleme des Standes der Technik überwunden. Beispielsweise wird durch Einschränken des Zugriffs für einen Dienstleistungsanbieter auf ein alarmerzeugendes Produkt entsprechend spezifizierten Zeitspannen oder anderen Bedingungen, die zumindest teilweise basierend auf dem Alarm selbst festgelegt werden, die Sicherheit des Systems beträchtlich verbessert und die Zugriffskontrolle wird flexibler und effizienter gestaltet.

Diese und andere Merkmale und Vorteile der vorliegenden Erfindung werden anhand der folgenden Zeichnungen und der detaillierten Beschreibung einfacher verständlich werden.

Kurze Beschreibung der Zeichnungen

1 zeigt ein beispielhaftes Kommunikationssystem, das eine Alarmzugriffssteuerung entsprechend einer beispielhaften Ausführungsform der Erfindung umfasst.

2 stellt ein vereinfachtes Blockdiagramm dar, das eine mögliche Implementierung eines gegebenen Verarbeitungselements des Systems aus 1 zeigt.

3 stellt ein vereinfachtes Blockdiagramm dar, das eine Reihe von Elementen der Alarmzugriffssteuerung des Systems aus 1 in der beispielhaften Ausführungsform der Erfindung zeigt.

Detaillierte Beschreibung der Erfindung

Die Erfindung wird nachstehend in Verbindung mit einem beispielhaften Kommunikationssystem beschrieben, das ein Unternehmensnetz mit einer Mehrzahl von Servern, Computern oder anderen Verarbeitungselementen umfasst. Es sollte jedoch verstanden werden, dass die Erfindung nicht auf den Einsatz mit einer bestimmten Art von Kommunikationssystem oder irgendeiner speziellen Konfiguration von Servern, Computern oder anderen Verarbeitungselementen des Systems beschränkt ist. Fachleute auf dem Gebiet werden erkennen, dass die offenbarten Verfahren in jeder Kommunikationssystemanwendung genutzt werden können, bei welcher es wünschenswert ist, einen verbesserten Zugriff unter Ansprechen auf interne Alarmsignale zur Verfügung zu stellen.

1 zeigt ein Beispiel für ein Kommunikationssystem 100 entsprechend einer beispielhaften Ausführungsform der Erfindung. Das System 100 umfasst einen Kundenstandort 102, welcher an ein externes Netz 104 angebunden ist. Der Kundenstandort 102 umfasst ein Unternehmensnetz, das durch eine Firewall 106 von dem Netz 104 getrennt ist. Das Unternehmensnetz umfasst bei der vorliegenden Ausführungsform Netzsegmente 108 und 110, welche LAN(lokales Netz)-Segmente, WAN(Weitverkehrsnetz)-Segmente oder andere Netzsegmente oder Teile derselben in einer beliebigen Kombination umfassen können. Die Netzsegmente 108, 110 sind mit einem Router 120 gekoppelt.

Der Router 120 kann beispielsweise ein SSL-VPN-Gateway oder ein anderes sicheres Gateway der Art, wie es in der zuvor zitierten US-Patentanmeldung 11/294,961 beschrieben ist, oder einen herkömmlichen Router umfassen.

Der Router 120 ist außerdem mit einem oder mehreren Kundensupport-Servern 122 gekoppelt, welche beispielshalber einen NMS (Network Managementsystem)-Server, einen AAA-Server, einen Syslog(System Log)-Server usw. umfassen können. Diese verschiedenen Server können in einem einzigen Computer oder einem anderen Verarbeitungselement implementiert sein, oder jeder kann ein separates, selbständiges Verarbeitungselement oder einen Satz solcher Elemente umfassen.

Das Unternehmensnetz umfasst bei dieser Ausführungsform ferner einen oder mehrere Server oder andere verarbeitende Elemente 126, 126A und 128. Die Elemente 126 stellen Computer, Server oder andere Verarbeitungselemente dar, welche Produkte eines als Anbieter A bezeichneten speziellen Anbieters sind. Analog stellen die Elemente 128 Computer, Server oder andere Verarbeitungselemente dar, welche Produkte eines als Anbieter B bezeichneten speziellen Anbieters sind. Die Elemente 126A stellen Computer, Server oder andere Verarbeitungselemente dar, die Hilfsprodukte des Anbieters A sind. Solche Produkte können beispielsweise Produkte umfassen, die nicht von dem Anbieter A hergestellt werden oder anderweitig geliefert werden, für die möglicherweise dieser Anbieter aber Support bietet.

Der Begriff "Produkt", wie er vorliegend genutzt wird, ist dahingehend breit auszulegen, dass er beispielsweise Computer, Server oder andere Verarbeitungselemente wie zuvor erwähnt umfasst. Solche anderen Verarbeitungselemente können beispielsweise Vermittlungseinrichtungen, Gateways, Router, Firewalls usw. umfassen. Ein gegebenes Verarbeitungselement kann beispielsweise ein unabhängiges Ausrüstungsteil, eine Komponente eines solchen Ausrüstungsteils oder eine Kombination mehrerer solcher Ausrüstungsteile darstellen und kann Software, Hardware und/oder Firmware in einer beliebigen Kombination umfassen.

Obgleich im vorliegenden Beispiel nicht explizit gezeigt, können weitere Produkte, die Produkte des Kunden selbst oder zahlreicher weiterer Anbieter sind, ebenfalls Teil des Unternehmensnetzes sein. Als weiteres Beispiel können sämtliche oder im Wesentlichen alle Produkte innerhalb eines gegebenen Unternehmensnetzes Produkte nur eines einzigen Anbieters sein. Viele andere Anordnungen von Produkten in einem Unternehmensnetz sind in einer gegebenen Ausführungsform der Erfindung möglich.

Das Unternehmensnetz, das in der vorliegenden Erfindung dem Kundenstandort 102 zugeordnet ist, weist also interne Ressourcen auf, welche die Multi-Vendor-Produkte 126 und 128 umfassen, wie auch zusätzliche interne Ressourcen, welche die Produkte 126A umfassen, die Hilfsprodukte des Anbieters A sind. Die Produkte 126, 126A und 128 sind wie gezeigt mit dem Unternehmensnetzsegment 110 gekoppelt.

Die Hilfsprodukte 126A des Anbieters A können optional einen oder mehrere Modem-Ports umfassen, die über eine Netzschnittstelleneinheit (NIU) 129 mit dem Segment 110 des Unternehmensnetzes gekoppelt sind. Solche Verbindungen können genutzt werden, um Modem-Alarmsignale, die von Hilfsprodukten des Anbieters A erzeugt werden, zu behandeln. Die Modem-Alarmsignale werden über die NIU in Alarmsignale auf Basis des Internetprotokolls (IP) konvertiert, welche von dem Router 120 zu einer Alarmzugriffssteuerung 130 geleitet werden können. Die NIU verbindet beispielsweise den Modem-Anschluss eines Servers oder eines anderen Verarbeitungselements und übersetzt den Modem-Alarm in einen IP-basierten Alarm. Die NIU stellt kein Erfordernis für die Erfindung dar, sondern bietet bei der beispielhaften Ausführungsform eine vollständigere Lösung, indem Modem-Alarmsignalen Rechnung getragen wird.

Es sei erwähnt, dass der Begriff "Kunde", wie er im Zusammenhang mit der beispielhaften Ausführungsform genutzt wird, ein Unternehmen bezeichnet, welches die Produkte 126 und 128 von jeweiligen Anbietern A und B erwirbt oder anderweitig erhält, und das außerdem eines oder mehrere seiner eigenen Produkte sowie Produkte von anderen Anbietern nutzt. Die als Kunde bezeichnete Entität stellt bei dieser Ausführungsform also einen Kunden von zumindest den Anbietern A und B dar. Es sollte erkannt werden, dass für die Erfindung keine solche Kundengliederung erforderlich ist, sondern dass diese allgemein auf jedes Geschäft, jede Organisation oder jedes andere Unternehmen anwendbar ist, das interne Ressourcen besitzt, für welche eine externer Zugriff unter Ansprechen auf generierte Alarmsignale wie vorliegend beschrieben gesteuert wird.

Es sollte außerdem erkannt werden, dass ein gegebenes verarbeitendes Element des Systems 100 selbst Multi-Vendor-Produkte umfassen kann. Somit kann das Produkt eines gegebenen Anbieters in dem Sinne, wie der Begriff vorliegend verwendet wird, beispielsweise einen speziellen Teil eines gegebenen verarbeitenden Elements umfassen, beispielsweise ein Softwareprogramm, das auf diesem Element ausgeführt wird, eine Hardwarekomponente dieses Elements, usw.

Der Kundenstandort 102 umfasst bei dieser Ausführungsform ferner die Alarmzugriffssteuerung 130, die mit dem Segment 108 des Unternehmensnetzes gekoppelt ist. Der Alarmzugriffssteuerung sind ein erster und ein zweiter Alarmverwalter 132 und 134 zugeordnet, die beide ebenfalls an das Segment 108 angekoppelt sind und dazu dienen, mit der Alarmzugriffssteuerung zu kommunizieren. Die Alarmzugriffssteuerung wird nachstehend detaillierter mit Bezug auf 3 beschrieben. Die Alarmverwalter 132 und 134 können Computer oder andere Arten von Client-Geräten oder allgemein andere Arten von Verarbeitungselementen des Kundenstandorts umfassen.

Bei anderen Ausführungsformen kann der Kundenstandort 102 außerdem, wiederum beispielshalber, ein SSL-Clientgerät 130 für einen lokalen Kundentechniker umfassen. Dies ist ein Techniker; der sich lokal am Kundenstandort 102 befindet, hinter der Firewall 106 des Unternehmensnetzes, und der Support für etwaige Produkte des Kunden am Kundenstandort bietet. Ein SSL-Clientgerät eines lokalen Kundentechnikers dieser Art kann beispielsweise mit dem Segment 108 des Unternehmensnetzes gekoppelt sein.

Die verschiedenen Geräte des Kundenstandorts 102 brauchen sich nicht alle am gleichen physischen Einrichtungsstandort zu befinden. Beispielsweise kann der Standort ein verteilter Standort sein, bei dem bestimmte Geräte an unterschiedlichen physischen Einrichtungen lokalisiert sind.

Das externe Netz 104 stellt bei der vorliegenden Ausführungsform ein Netz dar, welches das Internet- und das Frame Relay-Protokoll unterstützt, obgleich natürlich auch andere Protokolle bei der Implementierung der Erfindung genutzt werden können. Ein gegebenes externes oder Unternehmensnetz kann bei einer Ausführungsform der Erfindung beispielshalber ein globales Kommunikationsnetz wie etwa das Internet, ein Intranet, ein Extranet, ein LAN, ein WAN, ein Stadtnetz (MAN – Metropoliten Area Network), ein zellulares Funknetz oder ein Satellitennetz wie auch Teile oder Kombinationen dieser oder anderer drahtgebundener oder drahtloser Kommunikationsnetze umfassen. Für die Implementierung der vorliegenden Erfindung ist also keine spezielle Art von Netz oder kein spezieller Satz von Netzen erforderlich.

Das externe Netz 104 ist mit einem Dienstleistungsanbieter 150 gekoppelt, der dem Anbieter A zugeordnet ist. Der Dienstleistungsanbieter 150 kann vorliegend auch als drittseitiger Dienstleistungsanbieter bezeichnet werden, da er Entitäten darstellen kann, die separat von dem Kunden oder den Produktanbietern bestehen. Für die Erfindung ist jedoch keine spezielle Beziehung zwischen dem Kunden, den Dienstleistungsanbietern und den Anbietern erforderlich, und die vorliegend beschriebenen Verfahren können in einfach zu übersehender Weise für eine Anwendung auf andere Arten von Funktionseinheiten angepasst werden.

Der Dienstleistungsanbieter 150 umfasst Techniker und Expertensysteme 152 für den Anbieter A, für die angenommen wird, dass sie an einem gemeinsamen Standort angeordnet sind, sowie einen oder mehrere abgesetzte Techniker 155 für den Anbieter A. Der Dienstleistungsanbieter kann auch andere Elemente umfassen, beispielsweise eine Authentifizierungsdatenbank, wenngleich solche zusätzlichen Elemente in der Figur der deutlicheren Darstellung halber weggelassen sind. Die Techniker und Expertensysteme 152, 155 können ein oder mehrere Expertensysteme umfassen, beispielsweise etwa Systeme der Art, wie sie in der zuvor zitierten US-Patentanmeldung 10/939,694 beschrieben sind, sowie ein oder mehrere Technikergeräte wie etwa Computer, mobile Kommunikationsgeräte usw., die genutzt werden können, um den Technikern zu ermöglichen, mit dem Kundenstandort 102 zu kommunizieren. Wie später detaillierter beschrieben wird, ist der Dienstleistungsanbieter 150 derart konfiguriert, dass er auf Alarmsignale anspricht, die von den jeweiligen Produkten 126 des Anbieters A und Hilfsprodukten 126A des Anbieters A erzeugt werden, indem er auf diese Produkte über den Router 120 unter Kontrolle der Alarmzugriffssteuerung 130 zugreift.

Obgleich nicht in der Figur gezeigt, kann eine analoge Dienstleistungsanbieter-Konfiguration für den Anbieter B bereitgestellt werden, welche Techniker und Expertensysteme für den Anbieter B umfasst. Die Techniker für den Anbieter B können Techniker umfassen, die sich an dem gleichen Standort wie die Expertensysteme befinden, sowie einen oder mehrere Techniker entfernt von diesem Standort.

Diesen Dienstleistungsanbietern kann jeweils eine entsprechende föderierte Kennung zugeordnet sein, wie sie in der zuvor zitierten US-Patentanmeldung 11/294,961 beschrieben ist. Die föderierten Kennungen dieser jeweiligen Systemelemente können entsprechend den Standards des Liberty Alliance Projekts, www.projectliberty.org, eingerichtet werden, wie sie beispielsweise in Liberty ID-FF Architecture Overview, Version 1.2 beschrieben sind, welche hier durch Bezugnahme einbezogen werden. Generell fasst eine föderierte Kennung die Authentifizierungsinformationen zusammen, die typischerweise erforderlich sind, um auf mehrere Netzentitäten auf individualer Basis zuzugreifen, und zwar in einer Weise, die es einem Benutzer ermöglicht, auf alle diese Entitäten über eine einzige Anmeldung mit Hilfe seiner föderierten Kennung zuzugreifen. Die mehreren Netzentitäten sind also verbündet oder föderiert insofern, als sie miteinander in einem gemeinsamen "Vertrauenskreis" verknüpft sind, der über die einzige Anmeldung (Single Sign-On – SSO) zugänglich ist. Die Kennung, die dieser einzigen Anmeldung zugeordnet ist, wird als eine föderierte Kennung bezeichnet. Durch Nutzung der föderierten Kennung kann das Ansprechen auf einen Alarm durch die Dienstleistungsanbieter erleichtert werden. Es sollte jedoch erkannt werden, dass die föderierte Kennung kein Erfordernis für die Erfindung darstellt und bei einer gegebenen Ausführungsform nicht genutzt zu werden braucht.

Außerdem sind an das externe Netz 104 in dem System 100 aus 1 SSL-Clientgeräte 160 und 170 eines abgesetzten Kundentechnikers bzw. abgesetzten Kundenlösungsanbieters angebunden. Diese Techniker und Kundenlösungsanbieter befinden sich entfernt von dem Kundenstandort 102, außerhalb der Firewall des Unternehmensnetzes, und stellen in diesem Beispiel Support für die Produkte des Kunden oder andere Produkte dieses Standorts bereit. Die SSL-Clientgeräte 160 und 170 sind über jeweilige SSL VPNs mit dem externen Netz 104 gekoppelt.

Die Einrichtungen 120, 122, 126, 128, 130, 150, 160 und 170 des Systems 100 stellen Beispiele für Elemente dar, die vorliegend allgemeiner als "Verarbeitungselemente" bezeichnet werden.

Der Router 120 kann in der beispielhaften Ausführungsform beispielshalber derart konfiguriert sein, dass er bestimmte Art von abgehendem Verkehr von den Elementen 126, 126A, 128 und 129 ablehnt oder anderweitig sperrt. Als spezielleres Beispiel kann abgehender Telnet-, FTP- (File Transfer Protocol) und/oder SSH-(Secure Shell) Verkehr von diesen Elementen abgelehnt werden, während abgehende Alarmsignale zur Auslieferung an die Alarmzugriffssteuerung 130 gestattet werden. In ähnlicher Weise kann der Router 120 dafür konfiguriert sein, bestimmte Typen von eingehendem Verkehr, wie etwa Telnet, FTP, SSH, HTTP, HTTPS usw. zu verweigern oder anderweitig zu blockieren, wenn dieser Verkehr nicht von der Alarmzugriffssteuerung 130 stammt. Diese spezielle Anordnung ist für die Implementierung der Erfindung nicht erforderlich, und es können zahlreiche alternative Routerkonfigurationen und Verkehrskontrollanordnungen genutzt werden.

2 zeigt ein vereinfachtes Blockdiagramm für eine mögliche Implementierung eines gegebenen Verarbeitungselements 200 des Systems aus 1. Das Verarbeitungselement 200 kann beispielsweise dem Router 120, dem/den Kundensupport-Server(n) 122, einem der Produkte 126, 126A oder 128, der Alarmzugriffssteuerung 130, einem Element des Dienstleistungsanbieters 150 oder den SSL-Geräten 160 oder 170 entsprechen. Generell umfasst jedes dieser Verarbeitungselemente einen Prozessor 202, der mit einem Speicher 204 und einer oder mehreren Netzschnittstellen 206 gekoppelt ist. Die Verfahren gemäß der vorliegenden Erfindung können zumindest teilweise in Form von Software implementiert sein, die in dem Speicher 204 gespeichert werden kann und von dem Prozessor 202 ausgeführt werden kann. Der Speicher 204 kann einen Direktzugriffsspeicher (RAM), Nur-Lese-Speicher (ROM), einen Speicher auf Basis einer optischen oder magnetischen Platte oder andere Speicherelemente wie auch Teile oder Kombinationen selbiger darstellen.

Fachleute auf dem Gebiet werden erkennen, dass die einzelnen Komponenten aus 2, wie sie der Veranschaulichung halber gezeigt sind, in einer oder mehreren Verarbeitungseinrichtungen kombiniert sein können oder auf diese verteilt sein können, z. B. einen Mikroprozessor, eine anwendungsspezifische integrierte Schaltung (ASIC), einen Computer oder (eine) andere Einrichtung(en).

Außerdem kann das Verarbeitungselement 200 in Abhängigkeit davon, welche der Systemeinrichtungen es implementiert, ferner zusätzliche Komponenten umfassen, die nicht in der Figur gezeigt sind, aber typischerweise mit einer solchen Einrichtung verknüpft sind. Beispielsweise kann ein gegebenes Verarbeitungselement 200, das eine oder mehrere der Einrichtungen 120, 122, 126 oder 128 implementiert, zusätzliche Komponenten umfassen, die üblicherweise einem ansonsten herkömmlichen Computer, einem Server, einer Gruppe von Servern usw. zugeordnet sind. Als weiteres Beispiel kann ein gegebenes Verarbeitungselement 200, welches eines oder mehrere SSL-Clientgeräte 160 oder 170 implementiert, zusätzliche Komponenten umfassen, die üblicherweise einem ansonsten herkömmlichen Mobilkommunikationsgerät wie etwa einem Mobiltelefon, einem persönlichen digitalen Assistenten (PDA) oder einem tragbaren Computer zugeordnet sind, oder einer anderweitigen herkömmlichen, nicht mobilen Kommunikationseinrichtung wie etwa einem Arbeitsplatzrechner, einem Server oder einer Gruppe von Servern, oder allgemeiner jeder anderen Art von prozessorbasierter Einrichtung oder Gruppe von Einrichtungen, die für eine Kommunikation mit anderen Einrichtungen des Systems 100 geeignet konfiguriert sind. Die herkömmlichen Aspekte dieser und anderer Einrichtungen, die in dem System 100 genutzt werden können, sind im Fachgebiet allgemein bekannt und werden vorliegend daher nicht detaillierter beschrieben.

Das System 100 kann zusätzliche Elemente umfassen, die in der Figur nicht explizit gezeigt sind, beispielsweise zusätzliche Server, Router, Gateways oder andere Netzelemente. Das System kann außerdem oder alternativ eine oder mehrere Kommunikationssystem-Vermittlungseinrichtungen wie etwa eine Kommunikationssystem-Vermittlungseinrichtung DEFINITY® für Unternehmenskommunikationsdienst (ECS – Enterprise Communication Service) umfassen, die bei der Avaya Inc., Basking Ridge, New Jersey, USA erhältlich ist. Als weiteres Beispiel kann eine gegebene Kommunikationsvermittlungseinrichtung, die in Zusammenhang mit der vorliegenden Erfindung genutzt werden kann, die Kommunikationssystem-Software MultiVantageTM umfassen, die ebenfalls bei der Avaya Inc. erhältlich ist. Der Begriff "Verarbeitungselement", wie er vorliegend genutzt wird, soll solche Vermittlungseinrichtungen wie auch Server, Router, Gateways oder andere Netzelemente umfassen.

Es sollte daher erkannt werden, dass die vorliegende Erfindung nicht die speziellen Anordnungen erfordert, die in 1 gezeigt sind, und zahlreiche alternative Konfigurationen, die zum Bereitstellen der vorliegend beschriebenen alarmgesteuerten Zugriffskontrolle und der weiteren Funktionalität geeignet sind, werden für Fachleute auf dem Gebiet in einfacher Weise offensichtlich sein.

Die Alarmzugriffssteuerung 130 ist in der beispielhaften Ausführungsform dafür konfiguriert, eine verbesserte Bearbeitung von Alarmsignalen, die von dem System 100 erzeugt werden, zu bieten. Wie bereits erwähnt, sind herkömmliche Anordnungen, welche die Nutzung von Netzmanagementsystemen zur Umprogrammierung von Routern unter Ansprechen auf empfangene Alarmsignale einbeziehen, übermäßig komplex und teuer. Die vorliegende Erfindung löst dieses Problem des Standes der Technik, indem eine automatisierte alarmaktivierte Zugriffskontrolle bereitgestellt wird.

Generell ist die Alarmzugriffssteuerung 130 dafür konfiguriert, den Zugriff für externe Dienstleistungsanbieter wie beispielsweise 150, 160 und 170 auf die Produkte 126, 126A und 128 des Unternehmensnetzes des Systems 100 unter Ansprechen auf Alarmsignale, die von diesen Produkten erzeugt werden, zu kontrollieren. Für einen solchen gegebenen Alarm, der von einem der Produkte oder anderen internen Ressourcen des Unternehmensnetzes erzeugt wird, identifiziert die Alarmzugriffssteuerung einen externen Dienstleistungsanbieter zur Behandlung des Alarms und stellt dem Dienstleistungsanbieter temporär einen authentifizierten Zugriff auf das Produkt bereit. Abgesehen von speziellen Situationen wird dem Dienstleistungsanbieter der Zugriff nur in Reaktion auf Alarmsignale von Produkten bereitgestellt, wodurch die Sicherheit des Systems verbessert wird und die Zugriffskontrolle beträchtlich erleichtert wird.

3 zeigt eine Reihe von Elementen der Alarmzugriffssteuerung 130 in der beispielhaften Ausführungsform. Bei dieser Ausführungsform umfasst die Alarmzugriffssteuerung einen Alarmprozessor 300, der einen Alarmschwereanalysator 302, einen Meldungsgenerator 304 sowie einen Störungspassgenerator 306 umfasst. Die Alarmzugriffssteuerung umfasst fernen einen dienstleistungsbezogenen Speicher 308, der dienstleistungsbezogene Informationen 310-1 bis 310-N für jeweilige Produkte enthält, die als Produkt 1 bis Produkt N bezeichnet sind, sowie einen Authentifizierer 312, welcher ein Authentifizierungselement für eine föderierte Kennung umfassen kann, aber nicht braucht. Die dienstleistungsbezogenen Informationen 310-1 bis 310-N können dienstleistungsbezogene Informationen umfassen, die einem der Produkte 126, 126A oder 128 zugeordnet sind, die zuvor in Verbindung mit dem System 100 aus 1 beschrieben worden sind, oder anderen Produkten, die interne Ressourcen des Unternehmensnetzes darstellen.

Der Alarmprozessor 300 sowie weitere Elemente der Alarmzugriffssteuerung 130 können zumindest teilweise unter Nutzung eines Prozessors und Speichers eines Verarbeitungselements des Systems implementiert sein, wie sie in der vorstehenden Beschreibung der 2 angegeben worden sind. Außerdem können, obgleich die Elemente 308 und 312 in der beispielhaften Ausführungsform getrennt von dem Alarmprozessor 300 gezeigt sind, diese und weitere Elemente der Steuerung bei alternativen Ausführungsformen gänzlich oder teilweise in den Alarmprozessor 300 integriert sein.

Der Alarmschwereanalysator 302 dient dazu, einen gegebenen Alarm zu verarbeiten, um dessen Schwere festzustellen, und die resultierende Schwerebestimmung kann genutzt werden, um beispielsweise den speziellen Dienstleistungsanbieter zu beeinflussen, dem der Alarm gemeldet wird, die Zeitspanne, für welche diesem Dienstleistungsanbieter temporär Zugriff auf das den Alarm erzeugende Produkt gestattet wird oder andere Eigenschaften des temporären Zugriffs, der dem Dienstleistungsanbieter von der Alarmzugriffssteuerung gewährt wird.

Der Meldungsgenerator 304 erzeugt ein entsprechendes Alarmmeldungssignal zur Auslieferung an den speziellen Dienstleistungsanbieter, der zur Behandlung eines gegebenen Alarms ausgewählt wird.

Der Störungspassgenerator 306 erzeugt für einen gegebenen Alarm einen Pass oder eine andere Art von Datensatz, welcher genutzt wird, um Informationen zu identifizieren, die den gegebenen Alarm betreffen, den Dienstleistungsanbieter, der zur Behandlung des Alarms ausgewählt wird, die Art und das Ausmaß des temporären Zugriffs, der diesem Dienstleistungsanbieter gewährt wird, usw. Dieser Pass oder andere Datensatz umfasst vorzugsweise eine eindeutige, einmalige Nummer. Sie kann für die Autorisierung eines Zugriffs in Reaktion auf eingehende Zugriffsanforderungen, die von einem Dienstleistungsanbieter empfangen werden, der zur Behandlung eines gegebenen Alarms ausgewählt ist, genutzt werden.

Der dienstleistungsbezogene Speicher 308 kann für jedes der N Produkte einen Satz von gestatteten Zugriffszeiten zur Alarmbehebung für dieses Produkt umfassen, die möglicherweise entsprechend der Alarmschwere indiziert sind, sowie Informationen, die einem oder mehreren entsprechenden Dienstleistungsanbietern zugeordnet sind, die den Alarm/die Alarmsignale behandeln sollten. Die Daten bezüglich der Dienstleistungsanbieter, die in dem dienstleistungsbezogenen Speicher 308 für ein gegebenes Produkt der N Produkte gespeichert sind, können beispielsweise eine Kennung (ID) des Technikers, E-Mail-Adresse, Telefonnummer, Funkruf, Instant Message(IM)-Adresse oder andere Kontaktinformationen umfassen, oder ein automatisiertes Werkzeug oder eine andere Expertensystem-ID und eine entsprechende zweckgebundene automatische Antwort. Andere Arten von dienstleistungsbezogenen Informationen 310-1 bis 310-N können Protokolle umfassen, die erforderlich sind, um auf bestimmte Produkte zuzugreifen, eine Identifikation für Produkte, die mit einem den gegebenen Alarm erzeugenden Produkt in Zusammenhang stehen und auf die ein Dienstleistungsanbieter, der auf einen von dem gegebenen Produkt erzeugten Alarm reagiert, ebenfalls zugreifen kann, usw.

Die dienstleistungsbezogenen Informationen 310-1 bis 310-N können einen oder mehrere Zugriffskontrollverwalter wie beispielsweise die Zugriffskontrollverwalter 132 und 134 des Systems 100 identifizieren, die autorisiert sind, Zugriffsgenehmigungen für Alarmsignale, die von einem bestimmten Produkt oder unter anderen Bedingungen erzeugt werden, in Echtzeit bereitzustellen. Generell wird, wenn kein Alarm vorliegt, den externen Dienstleistungsanbietern der Zugriff auf das entsprechende Produkt verweigert, es sei denn, ein Zugriffsverwalter gewährt eine Zugriffsgenehmigung in Echtzeit. Diese Art von "manueller Umgehung" der standardmäßigen alarmgesteuerten Zugriffskontrolle kann unter bestimmten Umständen geeignet sein, beispielsweise wenn ein für ein gegebenes Produkt bezeichneter Dienstleistungsanbieter nicht verfügbar ist. Eine E-Mail-Adresse, Telefonnummer, Funkruf, IM-Adresse oder andere Kontaktinformationen können für jeden identifizierten Zugriffskontrollverwalter gespeichert sein. Die Alarmzugriffsteuerung kann von einem Systemadministrator dahingehend vorprogrammiert werden, dass sie anzeigt, ob Zugriff durch einen einzigen Zugriffskontrollverwalter oder durch mehrere Zugriffskontrollverwalter gewährt werden kann. Wenn die Genehmigung von mehreren Zugriffskontrollverwaltern erforderlich ist, stellt die Steuerung sicher, dass beide den Zugriff genehmigt haben, bevor der Zugriff gewährt wird.

Ein Beispiel für die Bearbeitung eines gegebenen Alarms in dem System 100 soll nun detaillierter mit Bezugnahme auf die 1 und 3 beschrieben werden. Es sollte jedoch verstanden werden, dass bei anderen Ausführungsformen andere Arten der Alarmbearbeitung genutzt werden können.

Der gegebene Alarm wird von einem der Produkte 126, 126A oder 128 über den Router 120 und die Netzsegmente 108, 110 an die Alarmzugriffssteuerung 130 gesendet. Der Alarm kann beispielsweise ein IP-basierter Alarm sein, d. h. ein direkt von einem der Produkte erzeugter Alarm, oder ein Modem-Alarm, der durch die zuvor beschriebene NIU 129 in einen IP-basierten Alarm umgewandelt wird. Natürlich können mit Hilfe der vorstehend offenbarten Verfahren zahlreiche andere Arten von Alarmsignalen bearbeitet werden.

Wenn der Alarm von der Alarmzugriffssteuerung 130 empfangen wird, stellt der Alarmschwereanalysator 302 die Schwere des Alarms fest. Mit Hilfe der festgestellten Alarmschwere in Kombination mit der dienstleistungsbezogenen Information 310-i für das entsprechende Produkt identifiziert die Alarmzugriffssteuerung einen externen Techniker, ein externes Expertensystem oder einen anderen Dienstleistungsanbieter zur Behandlung des Alarms und stellt eine oder mehrere Bedingungen zur Gewährung eines temporären Zugriffs für diesen Dienstleistungsanbieter fest. Solche Bedingungen können beispielsweise eine einzige Zeitspanne umfassen, für welche der Zugriff gewährt wird, oder mehrere Zeitspannen, für welche der Zugriff genehmigt wird. Die Alarmzugriffssteuerung kann außerdem etwaige weitere in Zusammenhang stehende Produkte feststellen, die durch den Alarm beeinträchtigt werden, sowie ob dem ausgewählten Dienstleistungsanbieter oder anderen Dienstleistungsanbietern Zugriff auf diese Produkte im Zusammenhang mit der Dienstleistung bezüglich des Alarms Zugriff gewährt werden sollte oder nicht.

Der Meldungsgenerator 304 erzeugt eine Meldung, die von der Alarmzugriffssteuerung an den ausgewählten externen Techniker, das Expertensystem oder den anderen Dienstleistungsanbieter gesendet wird, in welcher der Alarm sowie die Zeitspanne(n) oder andere Bedingungen, für welche der Zugriff gewährt wird, spezifiziert sind. Die Meldung kann beispielsweise eine Alarmbeschreibung, die festgestellte Schwere des Alarms, verfügbare Diagnoseinformationen oder irgendwelche anderen Informationen, welche die Behandlung des Alarms durch den ausgewählten Dienstleistungsanbieter erleichtern könnten, umfassen.

Der Störungspassgenerator 306 erzeugt eine einmalige Störungspassnummer, die als Teil der Alarmmeldung oder als separate Mitteilung an den ausgewählten externen Dienstleistungsanbieter gesendet werden kann. Der Authentifizierer 312 nutzt diese Störungspassnummer bei der Authentifizierung eingehender Zugriffsanforderungen von dem Dienstleistungsanbieter.

Der ausgewählte Dienstleistungsanbieter kann der Alarmzugriffssteuerung mit einer Nachricht antworten, welche bestätigt, dass der Zugriff zu der/den spezifizierten Zeit(en) den spezifizierten und entsprechend etwaiger weiterer spezifizierter Bedingungen erfolgen wird.

Zur festgelegten Zeit legt der ausgewählte Dienstleistungsanbieter der Alarmzugriffssteuerung 130 eine Zugriffsanforderung vor. Die Zugriffsanforderung des Dienstleistungsanbieters umfasst Authentifizierungsdaten, beispielsweise eine föderierte Kennung des Dienstleistungsanbieters, sowie die vorstehend erwähnte einmalige Störungspassnummer.

Sobald er authentifiziert ist, wird dem Dienstleistungsanbieter Zugriff auf das den Alarm erzeugende Produkt und etwaige relevante in Zusammenhang stehende Produkte für die spezifizierte Zeitspanne gewährt. Nachdem die Zeitspanne abgelaufen ist, wird der Zugriff beendet. Als eine mögliche Alternative könnte dem Dienstleistungsanbieter unbegrenzter Zugriff gewährt werden, bis das Problem, das zu dem Alarm geführt hat, gelöst ist und der entsprechende Störungspass aufgehoben wird.

Der Dienstleistungsanbieter oder ein zugehöriger Techniker, ein zugehöriges Expertensystem oder ein anderes dienstleistendes Element kann einen ansonsten herkömmlichen Webbrowser oder eine andere Zugriffseinrichtung oder einen anderen Zugriffsmechanismus nutzen, um Zugriff auf das den Alarm erzeugende Produkt über die Alarmzugriffssteuerung 130 zu erlangen.

Wenn der Dienstleistungsanbieter einen größeren Zeitbedarf zur Behandlung eines gegebenen Bedarfs anzeigt, erzeugt die Alarmzugriffssteuerung eine entsprechende Echtzeit-Zugriffsanforderung und sendet diese Anforderung an den/die entsprechende(n) Zugriffskontrollverwalter. Basierend auf der Antwort von dem/den Zugriffskontrollverwalter(n) sowie dienstleistungsbezogenen Informationen für das entsprechende Produkt kann die Zugriffsanforderung genehmigt oder abgewiesen werden. Wenn die Zugriffsanforderung genehmigt wird, wird dem Dienstleistungsanbieter Zugriff auf das strittige Produkt bereitgestellt.

Die Alarmzugriffssteuerung kann dazu dienen, sämtliche Alarmsignale, Zugriffsanforderungen, Zugriffsgenehmigungen, Kennungen von Dienstleistungsanbietern, Störungspassnummern und etwaige andere relevante Informationen zur Nutzung für Prüf- und andere Zwecke zu protokollieren.

Die beispielhafte Ausführungsform bietet eine Reihe beträchtlicher Vorteile im Vergleich zur herkömmlichen Praxis. Beispielsweise wird durch Gestatten eines Zugriffs für Dienstleistungsanbieter während begrenzter Zeitspannen in Reaktion auf bestimmte Produktalarme die Systemsicherheit beträchtlich verbessert. Für einen Alarm, der von einem Server oder einem anderen Produkt erzeugt wird, wird automatisch festgestellt, welchem Dienstleistungsanbieter Zugriff auf dieses Produkt gestattet ist, für welche Zeitspanne, und auf welche anderen damit in Verbindung stehenden Server oder anderen Produkte ebenfalls zugegriffen werden kann. Wenn ein Produkt keinen Alarm erzeugt hat, wird ein Zugriff für einen externen Dienstleistungsanbieter auf dieses Produkt nicht gestattet, außer für bestimmte Ausnahmebedingungen wie beispielsweise eine angemessen autorisierte Echtzeit-Zugriffsanforderung.

Mit der beispielhaften Ausführungsform wird außerdem die Behandlung von Alarmsignalen, die von Multi-Vendor-Produkten stammen, die Teil der internen Ressourcen eines Unternehmensnetzes sind, erleichtert, indem eine einzige Stelle für die eingehende und ausgehende Zugriffskontrolle für sämtliche Dienstleistungsanbieter bereitgestellt wird. Außerdem ermöglicht die beispielhafte Ausführungsform eine Kompatibilität mit Sicherheitsrichtlinien von Kunden, z. B. Richtlinien, die mit dem Zugriff, der Überwachung, Kontrolle, Protokollierung usw. in Zusammenhang stehen. Mit Hilfe der erfindungsgemäßen Verfahren brauchen Kunden nicht mehr einen externen Dienstleistungsanbieter anzurufen, um diesen über ein Problem zu unterrichten, das zu einem Alarm geführt hat, oder um eine explizite Autorisierung bereitzustellen, um einem bestimmten Techniker oder Expertensystem des Dienstleistungsanbieters zu ermöglichen, Zugriff auf das Produkt zu erhalten, um das Problem zu lösen.

Bei alternativen Ausführungsformen kann die Alarmzugriffssteuerung 130 in ein oder mehrere andere Systemelemente integriert sein. Beispielsweise könnte die Alarmzugriffssteuerung in den Router 120 oder die Firewall 106 integriert sein. Als weitere Alternative könnte die Alarmzugriffssteuerung in ein SSL VPN Gateway oder eine andere Art von sicherem Gateway integriert sein.

Außerdem kann die spezielle Positionierung der Alarmzugriffssteuerung in dem System verändert werden.

Beispielsweise könnte ein unabhängiges

Verarbeitungselement, welches die Alarmzugriffssteuerung implementiert, mit dem Router 120 gekoppelt sein, mit den Kundensupport-Servern 122, oder könnte mit dem Netzsegment 110 anstatt dem Netzsegment 108, wie in 1 gezeigt, gekoppelt sein.

Die Alarmzugriffssteuerung 130 kann in der beispielhaften Ausführungsform derart konfiguriert sein, dass sie Alarmsignale behandelt, die von Produkten erzeugt werden, welche unterschiedliche Protokolle nutzen. Obgleich nicht explizit gezeigt, kann ein Protokollkonverter genutzt werden, um Kommunikation gemäß verschiedener unterstützter Protokolle abzuwickeln. Beispielsweise kann die Alarmzugriffssteuerung einen gegebenen Alarm in SNMP (Simple Network Management Protocol) konvertieren, und zwar zur lokalen Verteilung an den Kundensupport-Server 122. Als weiteres Beispiel kann die Alarmzugriffssteuerung einen gegebenen Alarm in SSL-kodiertes SNPM konvertieren, um diesen an einen der externen drittseitigen Dienstleistungsanbieter 150, 160 oder 170 zu senden. Die Erfindung erfordert kein spezielles Alarmprotokoll oder Übertragungsprotokoll, und zahlreiche geeignete Anordnungen werden für Fachleute auf dem Gebiet in einfacher Weise offensichtlich sein.

Wie bereits erwähnt, kann die Authentifizierung eines gegebenen Dienstleistungsanbieters die Nutzung einer föderierten Kennung beinhalten. Beispielsweise kann der Dienstleistungsanbieter 150, 160 oder 170 eine föderierte Kennung nutzen, um Zugang auf das den Alarm erzeugende Produkt über die Alarmzugriffssteuerung 130 zu erhalten. Bei einer solchen Anordnung ist der Authentifizierer 312 dafür konfiguriert, die angebotene föderierte Kennung zu authentifizieren. Die föderierte Kennung kann bei einer solchen Anordnung sämtliche Techniker und Expertensysteme einschließen, die dem Dienstleistungsanbieter zugeordnet sind. Solche Techniker und Expertensysteme sind Beispiele dafür, was vorliegend allgemeiner als "dienstleistende Elemente" des Dienstleistungsanbieters bezeichnet wird. Somit braucht die Alarmzugriffssteuerung bei einer solchen Anordnung lediglich den Dienstleistungsanbieter anstatt jeden Techniker oder jedes Expertensystem auf einzelner Basis zu authentifizieren.

Die eingehende föderierte Kennung eines gegebenen Dienstleistungsanbieters 150, 160 oder 170 kann unter Nutzung von SAML (Security Assertion Markup Language) von OASIS, www.oasis-open.org, bereitgestellt werden, wie beispielsweise in SAML Version 1.0, SAML Version 1.1 und SAML Version 2.0 beschrieben ist, die hier alle durch Bezugnahme einbezogen werden. Andere Protokolle können ebenfalls oder alternativ genutzt werden, beispielsweise XML (Extensible Markup Language), SOAP (Simple Object Access Protocol) usw.

Eine oder mehrere der Verarbeitungsfunktionen, die vorstehend in Verbindung mit den beispielhaften Ausführungsformen der Erfindung beschrieben worden sind, können insgesamt oder teilweise als Software implementiert werden, und zwar unter Nutzung des Prozessors 202 und des Speichers 204, die einem oder mehreren Verarbeitungselementen des Systems zugeordnet sind. Es können auch andere geeignete Anordnungen aus Hardware, Firmware oder Software genutzt werden, um die erfindungsgemäßen Verfahren zu implementieren. Es sei erneut betont, dass die vorstehend beschriebenen Anordnungen lediglich der Veranschaulichung dienen. Es sollte also erkannt werden, dass die speziellen Elemente, Verarbeitungsvorgänge, Kommunikationsprotokolle und andere Merkmale, die in den Figuren gezeigt sind, lediglich beispielshalber angegeben sind und nicht als Anforderungen der Erfindung betrachtet werden sollten. Beispielsweise können in alternativen Ausführungsformen andere Konfigurationen der Verarbeitungselemente, andere Verarbeitungsvorgänge und andere Kommunikationsprotokolle als die aus den beispielhaften Ausführungsformen genutzt werden. Diese und zahlreiche andere alternative Ausführungsformen, die in den Schutzumfang der folgenden Ansprüche fallen, werden für Fachleute auf dem Gebiet offensichtlich sein.


Anspruch[de]
Vorrichtung zur Nutzung in einem Kommunikationssystem, wobei die Vorrichtung umfasst:

zumindest ein Verarbeitungselement (200), das einen Prozessor (202) gekoppelt an einen Speicher (204) umfasst, wobei das Verarbeitungselement eine Alarmzugriffssteuerung (130) implementiert, die dazu dient, den Zugriff auf ein Unternehmensnetz des Systems zu kontrollieren;

wobei die Alarmzugriffssteuerung (130) dafür konfiguriert ist, einen Alarm von einem Produkt (126, 126A, 128) zu empfangen, das Teil eines Satzes von internen Ressourcen des Unternehmensnetzes ist, einen externen Dienstleistungsanbieter (150, 160, 170) zur Behandlung des Alarms zu identifizieren und dem Dienstleistungsanbieter (150, 160, 170) temporär authentifizierten Zugriff auf das Produkt bereitzustellen.
Vorrichtung nach Anspruch 1, bei welcher die Alarmzugriffssteuerung (130) ferner einen Alarmschwereanalysator (302) umfasst, der dazu dient, den Alarm zu verarbeiten, um dessen Schwere festzustellen, wobei eine oder mehrere Bedingungen für den temporär authentifizierten Zugriff für den Dienstleistungsanbieter (150, 160, 170) auf das Produkt zumindest teilweise basierend auf der Schwere des Alarms festgelegt sind. Vorrichtung nach Anspruch 1, bei welcher die Alarmzugriffssteuerung (130) ferner einen Meldungsgenerator (304) umfasst, der dazu dient, ein Alarmmeldungssignal zur Auslieferung an den identifizierten Dienstleistungsanbieter (150, 160, 170) zu erzeugen. Vorrichtung nach Anspruch 1, bei welcher die Alarmzugriffssteuerung (130) ferner einen Störungspassgenerator (306) umfasst, der dazu dient, eine eindeutige Kennung für den Alarm zu erzeugen. Vorrichtung nach Anspruch 4, bei welcher die Alarmzugriffssteuerung (130) dazu dient, die eindeutige Kennung des Alarms in Verbindung mit einer Alarmmeldung an den identifizierten Dienstleistungsanbieter (150, 160, 170) zu senden. Vorrichtung nach Anspruch 4, bei welcher die Alarmzugriffssteuerung (130) einen Authentifizierer (312) umfasst, der dazu dient, den identifizierten Dienstleistungsanbieter (150, 160, 170) unter Ansprechen auf eine Zugriffsanforderung von diesem basierend auf zumindest teilweise der eindeutigen Kennung des Alarms zu authentifizieren. Vorrichtung nach Anspruch 1, bei welcher die Alarmzugriffssteuerung (130) einen dienstleistungsbezogenen Speicher (308) zum Speichern dienstleistungsbezogener Informationen für jeweilige Produkte einer Mehrzahl von Produkten (310-1 bis 310-N), die Teil des Satzes interner Ressourcen des Unternehmensnetzes sind, umfasst. Vorrichtung nach Anspruch 7, wobei die dienstleistungsbezogenen Informationen für jedes der Produkte eine oder mehrere erlaubte Zugriffszeiten zur Alarmbehebung für dieses Produkt umfassen, sowie Informationen, die einen oder mehrere entsprechende Dienstleistungsanbieter (150, 160, 170) identifizieren, welche die von diesem Produkt erzeugten Alarmsignale behandeln sollen. Vorrichtung nach Anspruch 8, bei welcher die Zugriffszeiten für ein gegebenes der Produkte durch die Alarmschwere indiziert sind, sodass basierend auf der Alarmschwere unterschiedliche Zugriffszeiten bestimmt sein können. Vorrichtung nach Anspruch 7, wobei die dienstleistungsbezogenen Informationen für zumindest ein gegebenes der Produkte Informationen umfassen, die zumindest ein zusätzliches Produkt bezeichnen, für welches dem identifizierten Dienstleistungsanbieter (150, 160, 170) Zugriff im Zusammenhang mit der Gewährung von Zugriff auf das gegebene Produkt gewährt wird. Vorrichtung nach Anspruch 7, bei welcher die dienstleistungsbezogenen Informationen für zumindest ein gegebenes der Produkte Informationen umfassen, die einen oder mehrere Zugriffskontrollverwalter (132, 134) bezeichnen, deren Autorisierung erforderlich ist, um irgendeine Änderung an einer oder mehreren spezifizierten Bedingungen für den temporär authentifizierten Zugriff für den Dienstleistungsanbieter auf das gegebene Produkt zu erreichen. Vorrichtung nach Anspruch 11, bei welcher bei Nichtvorhandensein eines erzeugten Alarms von dem gegebenen Produkt dem Dienstleistungsanbieter kein Zugriff auf das gegebene Produkt ohne Genehmigung des einen oder der mehreren Zugriffskontrollverwalter, die diesem Produkt zugeordnet sind, gestattet wird. Vorrichtung nach Anspruch 1, wobei das Unternehmensnetz einem Kundenstandort (102) zugeordnet ist und der Satz von internen Ressourcen des Unternehmensnetzes zumindest eine Mehrzahl von Produkten von einem ersten Anbieter (A) sowie eine Mehrzahl von Produkten von einem zweiten Anbieter (B) umfasst, wobei die Alarmzugriffssteuerung (130) dazu dient, einem ersten Dienstleistungsanbieter (150) Zugriff auf eines der Produkte von dem ersten Anbieter (A) in Reaktion auf einen Alarm zu gestatten, der von einem Produkt dieses ersten Anbieters erzeugt wird, und einem zweiten Dienstleistungsanbieter Zugriff auf eines der Produkte von dem zweiten Anbieter in Reaktion auf einen Alarm zu gestatten, der von einem Produkt dieses zweiten Anbieters erzeugt wird. Vorrichtung nach Anspruch 1, wobei der Dienstleistungsanbieter unter Nutzung einer föderierten Kennung auf das Produkt zugreift. Vorrichtung nach Anspruch 1, wobei der Dienstleistungsanbieter zumindest einen Techniker und/oder ein Expertensystem umfasst. Vorrichtung nach Anspruch 1, wobei die Alarmzugriffssteuerung zumindest teilweise in Form von Software implementiert ist, die auf dem Prozessor (202) ausgeführt wird. Vorrichtung nach Anspruch 1, wobei der Satz von internen Ressourcen des Unternehmensnetzes eine Mehrzahl von Produkten von einem einzigen Anbieter umfasst. System, umfassend:

ein Unternehmensnetz, das einen Satz von internen Ressourcen umfasst, die zumindest ein Produkt umfassen; und

eine Alarmzugriffssteuerung (130), die dazu dient, den Zugriff auf das Unternehmensnetz zu kontrollieren;

wobei die Alarmzugriffssteuerung dafür konfiguriert ist, einen Alarm von dem Produkt zu empfangen, einen externen Dienstleistungsanbieter (150, 160, 170) zur Behandlung des Alarms zu identifizieren und dem Dienstleistungsanbieter temporär einen authentifizierten Zugriff auf das Produkt bereitzustellen.
Verfahren zur Nutzung bei der Kontrolle des Zugriffs auf ein Unternehmensnetz eines Kommunikationssystems, wobei das Verfahren folgende Schritte umfasst:

Empfangen eines Alarms von einem Produkt, das Teil eines Satzes interner Ressourcen des Unternehmensnetzes ist;

Identifizieren eines externen Dienstleistungsanbieters zur Behandlung des Alarms; und

Bereitstellen eines temporär authentifizierten Zugriffs für den Dienstleistungsanbieter auf das Produkt.
Verfahren nach Anspruch 19, bei welchem die Schritte des Empfangens, Identifizierens und Bereitstellens zumindest teilweise als Software implementiert werden, die in einem Verarbeitungselement (200) des Systems ausgeführt wird. Verfahren nach Anspruch 19, bei welchem das Verarbeitungselement (200) ferner zumindest einen Router (120) des Systems und/oder eine Firewall (106) des Systems umfasst. Produktionsartikel, der ein maschinenlesbares Speichermedium umfasst, das einen Softwarecode enthält, wobei der Softwarecode, wenn er von einem Verarbeitungselement des Systems ausgeführt wird, die Verfahrensschritte gemäß Anspruch 19 ausführt.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

  Patente PDF

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com