DE102007030775B3 - Method for filtering network services in network arrangement, involves assigning user or user device with virtual local area network and corresponding to sub network identification of respective virtual local area network identification - Google Patents
Method for filtering network services in network arrangement, involves assigning user or user device with virtual local area network and corresponding to sub network identification of respective virtual local area network identification Download PDFInfo
- Publication number
- DE102007030775B3 DE102007030775B3 DE102007030775A DE102007030775A DE102007030775B3 DE 102007030775 B3 DE102007030775 B3 DE 102007030775B3 DE 102007030775 A DE102007030775 A DE 102007030775A DE 102007030775 A DE102007030775 A DE 102007030775A DE 102007030775 B3 DE102007030775 B3 DE 102007030775B3
- Authority
- DE
- Germany
- Prior art keywords
- network
- user
- identification
- network service
- dsl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2872—Termination of subscriber connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2876—Handling of subscriber policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
Description
Die vorliegende Erfindung betrifft ein Verfahren zum Filtern von Netzwerkdiensten und Netzwerkdiensteinhalten in einer Netzwerkanordnung, um z. B. für verschiedene Benutzergruppen Zugriffsbeschränkungen auf Webseiten zu realisieren. Die Erfindung betrifft ferner eine Netzwerkanordnung, welche sich zur Durchführung des Verfahrens eignet sowie ein Computerprogrammprodukt, welches die Durchführung eines entsprechenden Filterverfahrens veranlasst.The The present invention relates to a method for filtering network services and network service content in a network arrangement to e.g. B. for different User groups access restrictions to realize on websites. The invention further relates to a Network arrangement which is suitable for carrying out the method and a computer program product which performs a appropriate filtering procedure causes.
Es ist häufig notwendig, innerhalb von Netzwerken, in denen über Netzwerkdienstserver Netzwerkdienste angeboten werden (beispielsweise bieten Webserver Webseiten für das Internet an) für bestimmte Benutzergruppen Zugriffe auf Seiten zu erlauben oder zu sperren. Internet-Provider können beispielsweise im Rahmen ihres Web-Zugriffsdienstes auch eine Webfilterung durchführen. Dazu werden entsprechende Benutzerprofile mit Zugriffsattributen erstellt, denen dienstanbieter- bzw. providerseitig eine entsprechende Seitenabfrage oder HTTP-Requests zugeordnet werden können. Um einer Webseiten-Abfrage bzw. einem HTTP-Request ein bestimmtes Benutzerprofil zuordnen zu können, wird z. B. die Absender-IP-Adresse benutzt, welche dem Benutzerrechner zugeordnet werden kann. Es ist allerdings auch gewünscht, wenn verschiedene Benutzer mit unterschiedlichen Profilen einen gemeinsamen Internet-Zugang, beispielsweise einen DSL-Anschluss verwenden, dennoch eine benutzerabhängige Filterung vornehmen zu können.It is common necessary, within networks where network services via network service servers (for example, web servers provide websites for the Internet on) for to allow or deny certain user groups access to pages lock. For example, Internet providers can also perform web filtering as part of their web access service. To appropriate user profiles are created with access attributes, which service provider or provider side a corresponding page query or HTTP requests can be assigned. To a web page query or an HTTP request a certain User profile is assigned z. For example, the sender IP address used by the user's computer can be assigned. It is also desired, though different users with different profiles a common Internet access, for example using a DSL connection, nevertheless a user-dependent To make filtering.
In der Vergangenheit wurde z. B. vorgeschlagen, über eine dezidierte Software, die auf jedem PC eines Internetbenutzers zu installieren ist, die Funktionalität der Webbrowser zu erweitern. Es können dabei proprietäre Erweiterungen in die jeweiligen HTTP-Header beim Up- und Download von Internetanfragen eingefügt werden. Man spricht dabei auch von einem Hea der-Enrichment, wie es bei der Kinderschutzsoftware des Internet-Dienstleisters AOL der Fall ist.In the past was z. B. proposed, via a dedicated software, which is to be installed on every PC of an Internet user who functionality to extend the web browser. It can be proprietary extensions in the respective HTTP headers when uploading and downloading Internet requests added become. This is also called a Hea der-Enrichment, like it with the child protection software of the Internet service provider AOL the Case is.
Andererseits können spezielle Proxy-Server für den Zugang zum Internet auf der Providerseite verwendet werden, wobei auf dem PC des Benutzers bzw. dessen Internetbrowsers eine entsprechende Konfiguration notwendig ist. Es wurde auch vorgeschlagen, eine Filterfunktion bereits im DSL-Router zu implementieren.on the other hand can special proxy server for access to the Internet on the provider side, where on the user's PC or its Internet browser a appropriate configuration is necessary. It has also been suggested to implement a filter function already in the DSL router.
In
der
Die
Bei all den bekannten Möglichkeiten, den Zugriff auf bestimmte Netzwerkdienstserver einzuschränken oder zu filtern, ist in der Regel der Nutzer selbst durch Umprogrammierung seiner Nutzereinrichtungen in der Lage, entsprechende Filterungen zu umgehen, oder aber der Internet-Provider kann und muss für jeden denkbaren Nutzer ein eigenständiges Filterprofil verwalten. Insbesondere, wenn mehrere unterschiedliche Benutzer dieselbe Zugangseinrichtung, wie z. B. einen DSL-Router verwenden, wird dies schnell aufwändig und ist schwierig zu realisieren, da die Zugangsdaten, beispielsweise Nutzername und Internet-Passwort, nur einfach an einen DSL-Router vergeben werden. Es ist daher eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Filtern von Netzwerkdiensten bereitzustellen.at all the known ways restrict access to certain network service servers or Filtering is usually the user himself by reprogramming its user facilities will be able to provide appropriate filtering Bypass, or else the internet provider can and must do for everyone conceivable users an independent Manage filter profile. Especially if several different ones Users the same access device, such. B. a DSL router use, this quickly becomes complicated and difficult to realize since the access data, such as username and Internet password, just be assigned to a DSL router. It is therefore one Object of the present invention, an improved method for To provide filtering of network services.
Diese Aufgabe wird durch ein Verfahren zum Filtern von Netzwerkdiensten in einer Netzwerkanordnung gemäß Patentanspruch 1 gelöst.These Task is by a method for filtering network services in a network arrangement according to claim 1 solved.
Demgemäß ist ein Verfahren zum Filtern von Netzwerkdiensten in einer Netzwerkanordnung vorgesehen, welche eine oder mehrere Nutzereinrichtungen, mindestens eine Netzwerkzugangseinrichtung, an welche Nutzereinrichtungen koppelbar sind, und Netzwerkeinrichtungen eines Netzwerkanbieters aufweist. Die Netzwerkeinrichtungen des Netzwerkanbieters stellen eine Netzwerkverbindung von der Netzwerkzugangseinrichtung zu einem Netzwerkdienstserver bereit. Dabei erfolgt eine Filterung von durch eine jeweilige Nutzereinrichtung von einem Netzwerkdienstserver angefragten Netzwerkdienst durch die Netzwerkeinrichtungen des Netzwerkdienstanbieters. Dies geschieht in Abhängigkeit von Nutzerprofilparametern, welche einer Teilnetzidentifikation zugeordnet wurden. Einem jeweiligen Nutzer wird eine Teilnetzidentifikation zugeordnet und von der Netzwerkzugangseinrichtung, an welche die Nutzereinrichtung gekoppelt ist, wird die Teilnetzidentifikation an mindestens eine Netzwerkeinrichtung des Netzwerkdienstanbieters übertragen. Einem jeweiligen Nutzer und/oder einer Nutzereinrichtung wird ein VLAN, insbesondere nach einem IEEE 802.1Q Standard zugeordnet. Dabei entspricht die Teilnetzidentifikation einer jeweiligen VLAN-Identifikation.Accordingly, a method for filtering network services in a network arrangement is provided which has one or more user devices, at least one network access device to which user devices can be coupled, and network devices of a network provider. The network equipment of the network provider provide a network connection from the network access device to a network service server. The network service requested by a respective user device from a network service server is thereby filtered by the network devices of the network service provider. This happens as a function of user profile parameters which have been assigned to a subnet identification. A subnetwork identification is assigned to a respective user, and the subnetwork identification is transmitted to at least one network device of the network service provider by the network access device to which the user device is coupled. A respective user and / or user device is assigned a VLAN, in particular according to an IEEE 802.1Q standard. The subnet identi corresponds to this fication of a respective VLAN identification.
Es werden somit dem Nutzer oder der verwendeten Netzwerkzugangseinrichtung ein Attribut, nämlich eine Teilnetzidentifikation, zugewiesen, anhand derer durch den Provider bzw. den Netzwerkanbieter eine Filterung der angefragten Dienstinhalte erfolgen kann. Es ist dabei ist zwingend notwendig, dass providerseitig Teilnetzidentifikation bekannt ist. Möglich ist zu Beispiel eine Abbildung von Teilnetzidentifikation auf Zugangsparameter, welcher dem Aufbau einer entsprechenden Netz werkverbindung dienen, durch die Netzwerkzugangseinrichtung. Ein DSL-Modem kann beispielsweise eine Teilnetzidentifikation auf DSL-Zugangsdaten abbilden, und dann abhängig von dem Nutzer oder der Nutzereinrichtung aus mehreren möglichen DSL-Verbindungen auswählen. Denkbar ist auch eine entsprechende Abbildung auf eines von mehreren VLAN-Netzen. Dies hat den Vorteil, dass der Netzwerkdienstanbieter bzw. Provider keine Nutzerprofile verwalten muss, was aus Gründen des Datenschutzes als vorteilhaft empfunden wird. Ein VLAN (Virtual Local Area Network) ist ein virtuelles lokales Netz innerhalb eines physikalischen Netzes. Mit Hilfe der VLAN-Technik können auf einem Switch oder Router mehrere virtuell getrennte Netze betrieben werden. Gemäß dem IEEE 802.1Q Standard werden Ethernet-Frames bzw. -Rahmen um vier Byte erweitert, welche insbesondere die VLAN-Identifikation aufweisen. Für jedes realisierte VLAN kann somit providerseitig die Filterung der abgerufenen Netzwerkdienste erfolgen. Vorzugsweise terminieren dann die VLANs an der Netzwerkzugangseinrichtung, z. B. dem DSL-Router, damit nicht der Nutzer an seiner Nutzereinrichtung das entsprechende VLAN-Tagging umgehen kann. Providerseitig terminiert das jeweilige VLAN zum Beispiel an der BRAS-Einrichtung.It thus become the user or the network access device used an attribute, namely a subnet identification, assigned by means of which Provider or the network provider filtering the requested Service content can be done. It is imperative that provider-side subnet identification is known. Is possible for example, a mapping of subnet identification to access parameters, which serve to establish a corresponding network connection, through the network access device. For example, a DSL modem can map a subnet ID on DSL credentials, and then depending on the user or the user device of several possible DSL connections choose. Also conceivable is a corresponding illustration on one of several VLAN networks. This has the advantage that the network service provider or Provider does not have to manage user profiles, which is for the sake of Privacy is considered beneficial. A VLAN (Virtual Local Area Network) is a virtual local area network within one physical network. With the help of VLAN technology you can operated a switch or router several virtual separate networks become. According to the IEEE 802.1Q By default, Ethernet frames are expanded by four bytes, which in particular have the VLAN identification. For each realized VLAN can thus the provider-side filtering of the retrieved Network services take place. Preferably, then terminate the VLANs at the network access device, e.g. B. the DSL router, so not the user at his user device the appropriate VLAN tagging can handle. The respective VLAN terminates for example by the provider at the BRAS facility.
In einer Variante des Verfahrens werden die folgenden Verfahrensschritte durchgeführt: Zuordnen eines Nutzers zu einer Teilnetzwerkidentifikation; Zuordnen von Nutzerprofilparametern zu einer Teilnetzwerkidentifikation; und Übertragen der Teilnetzwerkidentifikation von der Nutzereinrichtung an die Netzwerkzugangseinrichtung beim Anfragen eines Netzwerkdienstes eines Netzwerkdienstservers, welcher an die Netzwerkeinrichtungen des Netzwerkdienstanbieters gekoppelt ist.In a variant of the method, the following steps carried out: Associating a user with a subnetwork identification; Assign from user profile parameters to a subnetwork identification; and transferring the subnetwork identification from the user device to the Network access device when requesting a network service a network service server connected to the network devices of the network service provider is coupled.
Als Netzwerkeinrichtungen des Netzwerkdienstanbieters kommen insbesondere Netzwerkvermittlungseinrichtungen in Frage, wie z. B. DSL-Zugangsmultiplexer, BRAS-Einrichtungen und/oder AAA-Einrichtungen.When Network facilities of the network service provider come in particular Network switching facilities in question, such. B. DSL access multiplexer, BRAS facilities and / or AAA facilities.
DSL-Zugangsmultiplexer werden auch als DSLAM (Digital Subscriber Line Access Multiplexor) bezeichnet und dienen als Vermittlungsstellen, an denen mehrere Teilnehmeranschlussleitungen zusammenlaufen. Der entsprechende DSLAM terminiert damit die Teilnehmeranschlussleitungen und sammelt oder verteilt auf örtlicher, lokaler Ebene den Datenverkehr der Teilnehmer oder Nutzer mit den verschiedenen Teilnehmeranschlussleitungen und reicht ihn gebündelt bzw. gemultiplext an einen regionalen Broadband-Remote-Access-Server (BRAS) weiter. Als Broadband-Remote-Access-Server werden Netzwerkelemente von Breitband-Netzen, wie z. B. DSL oder auch UMTS bezeichnet. Eine entsprechende BRAS-Einrichtung speist den Datenverkehr der Endnutzer in das Backbone-Netzwerk des Providers ein. Für das weitverbreitete PPP-Protokoll ist die BRAS-Einrichtung in der Regel das terminierende Netzelement. Die BRAS-Einrichtung dient z. B. der Zuweisung von Sitzungsparametern, wie IP-Adressen der Nutzereinrichtungen.DSL Access Multiplexer are also referred to as DSLAM (Digital Subscriber Line Access Multiplexor) and serve as exchanges where multiple subscriber lines converge. The corresponding DSLAM terminates the subscriber lines with it and collect or distribute on local, local level the traffic of subscribers or users with the various Subscriber lines and handed him bundled or multiplexed a Regional Broadband Remote Access Server (BRAS). When Broadband remote access servers become network elements of broadband networks, such as B. DSL or UMTS. A corresponding BRAS facility feeds the traffic of the end users into the backbone network of the Providers. For The widely used PPP protocol is the BRAS facility in the Usually the terminating network element. The BRAS facility is used z. As the assignment of session parameters, such as IP addresses of the user equipment.
Der BRAS-Server bzw. die BRAS-Einrichtung ist üblicherweise an eine AAA-Einrichtung verbunden, welche ein Authentifizierungs-, Authorisierungs- und Abrechnungssystem realisiert. ein AAA-Server überwacht somit die fundamentalen System-Zugangsfunktionen und die Abrechnung der an den Nutzer bereitgestellten Dienstleistungen hinsichtlich der Bereitstellung des Netzwerks.Of the BRAS server or BRAS device is usually at an AAA facility which is an authentication, authorization and authentication Billing system realized. An AAA server thus monitors the fundamental system access functions and the billing of services provided to the user regarding the provision of the network.
Die Netzwerkanordnung ist bevorzugt als Teil eines ATM-Netzwerkes ausgeführt und insbesondere an das Internet gekoppelt. Unter ATM (Asynchronous Transfer Mode) versteht man den asynchronen Übertragungsmodus, welcher als eine vermittelnde und verbindungsorientierte Basistechnologie für Netzwerke wie WAN oder LAN eingesetzt wird. Beim ATM werden zum Datentransport Datenpakete fester Länge verwendet, welche über asynchrones Zeitmultiplexing übertragen werden.The Network arrangement is preferably designed as part of an ATM network and especially coupled to the Internet. Under ATM (Asynchronous Transfer Mode) is understood as the asynchronous transfer mode, which as an intermediary and connection-oriented basic technology for networks how WAN or LAN is used. At the ATM are for data transport Data packets of fixed length used which over transmit asynchronous time division multiplexing become.
Bei einer Weiterbildung des Verfahrens zum Filtern von Netzwerkdiensten werden ferner die Schritte durchgeführt: Übertragen der Teilnetzwerkidentifikation der Netzwerkzugangsein richtung an eine der Netzwerkeinrichtungen des Netzwerkdienstanbieters; Vergleichen der Teilnetzwerkidentifikation zugeordneten Nutzerprofilparameter durch eine oder mehrere Netzwerkeinrichtungen des Netzwerkdienstanbieters; und Herstellen einer Netzwerkverbindung zwischen der Nutzereinrichtung und dem Netzwerkdienstserver, welcher den angefragten Netzwerkdienst bereitstellt, wobei die Verbindung durch Netzwerkeinrichtungen des Netzwerkdienstanbieters bereitgestellt wird oder blockiert wird, in Abhängigkeit von den Nutzerprofilparametern.at a development of the method for filtering network services the steps are further performed: transmitting the subnetwork identification the Netzwerkzugangsein direction to one of the network devices the network service provider; Compare the subnetwork identification associated user profile parameters by one or more network devices the network service provider; and establishing a network connection between the user device and the network service server, which provides the requested network service, the connection through Network facilities of the network service provider provided becomes or becomes blocked depending on from the user profile parameters.
Eine Filterung kann beispielsweise durch Vorhalten von sogenannten Black- und Whitelists von Netzwerkdiensten und/oder Netzwerkdienstservern erfolgen. Dabei werden einem jeweiligen Satz von Nutzerprofilparametern Listen zugeordnet, die Identifikationen von Netzwerkdiensten bzw. der bereitstellenden Netzwerkdienstservern aufweisen. In einer Blacklist werden dann beispielsweise diejenigen Netzwerkdienste aufgelistet, die dem Nutzer mit seinem vorgegebenen Nutzerprofilparametern nicht zugänglich gemacht werden sollen, während in der Whitelist diejenigen Netzwerkdienstserver oder Netzwerkdienste aufgelistet sind, die dem Nutzer bereitgestellt werden.Filtering can be done, for example, by having so-called black and white lists of network services and / or network service servers. In this case, lists are assigned to a respective set of user profile parameters that identify or provide network service identifications lend network service servers. A blacklist then lists, for example, those network services which are not to be made accessible to the user with his given user profile parameters, while the whitelist lists those network service servers or network services that are provided to the user.
Als Teilnetzwerkidentifikation kann z. B. eine Hardwareadresse der Nutzereinrichtung, wie z. B. eine MAC-Adresse, verwendet werden. Der Hardwareadresse werden dann die Nutzerprofilparameter zugeordnet. Es ist dabei möglich, dass die Hardwareadresse auf der Nutzerseite der jeweiligen Netzwerkzugangseinrichtung übermittelt wird und die Netzwerkzugangseinrichtung bereits entsprechende Nutzerprofilparameter an die Netzwerkeinrichtungen des Netzwerkdienstanbieters übermittelt, wodurch eine nutzerangepasste Filterung der Dienstinhalte möglich wird. In diesem Fall besteht das durch die Teilnetzwerkidentifikation bzw. der Hardwareadresse bestimmte Teilnetzwerk lediglich aus der Nutzereinrichtung mit der Hardwareadresse sowie der Netzwerkzugangseinrichtung und der Infrastruktur des Netzwerkdienstanbieters. Der Verbindungsaufbau kann von der Netzwerkzugangseinrichtung in Abhängig keit von der Hardwareidentifikation initiiert werden, wobei zum Beispiel bestimmte Zugangsparameter verwendet werden, die von dem Netzwerkprovider als Nutzerprofilparameter und die Filterung aufgefasst werden.When Subnetwork identification may e.g. B. a hardware address of the user device, such as As a MAC address can be used. The hardware address then the user profile parameters are assigned. It is possible that transmits the hardware address on the user side of the respective network access device and the network access device already has corresponding user profile parameters transmitted to the network facilities of the network service provider, whereby a user-adapted filtering of the service content is possible. In this case, this is through the subnetwork identification or the hardware address certain subnetwork only from the User device with the hardware address and the network access device and the infrastructure of the network service provider. The connection setup can from the network access device depending on the hardware identification initiated using, for example, certain access parameters are used by the network provider as user profile parameters and the filtering can be understood.
Alternativ kann als Teilnetzwerkidentifikation für ein von der Netzwerkzugangseinrichtung bereitgestelltes Teilnetzwerk die entsprechende SSID-Identifikation verwendet werden, wenn ein drahtloses Netzwerk benutzt wird. Der SSID-Identifikation werden dann die Nutzerprofilparameter zugeordnet.alternative may be used as a subnetwork identification for one of the network access devices provided subnet the corresponding SSID identification used when using a wireless network. Of the SSID identification are then assigned the user profile parameters.
Als SSID (Service Set Identifier) oder auch Network Name bezeichnet man die Kennung eines Funknetzwerks, das auf einem IEEE 802.1-Standard basiert. Demgemäß weist jedes Wireless LAN (WLAN) eine konfigurierbare SSID auf, um das entsprechende Funknetz identifizieren zu können. Die SSID-Zeichenfolge hat in der Regel 32 Zeichen und wird in der Basisstation bzw. dem WLAN-Access-Point konfiguriert und den angekoppelten Nutzereinrichtungen, wie beispielsweise einem Notebook-Computer, zugewiesen. Bei einer WLAN-Einrichtung, die mehrere WLAN-Netzwerke verwalten kann, dient somit die jeweilige SSID als Unterscheidungsparameter, um Nutzerprofilparameter providerseitig zu erkennen. Damit könnte für jedes WLAN-Teilnetzwerk eine getrennte Web-Filterung vorgenommen werden, da durch die SSID-Identifikationen unterschiedliche Filterungen erkannt werden können.When SSID (Service Set Identifier) or Network Name the identifier of a wireless network based on an IEEE 802.1 standard. Accordingly, FIG Each wireless LAN (WLAN) has a configurable SSID on it Identify corresponding radio network. The SSID string usually has 32 characters and is in the base station or the WLAN access point configured and the connected user devices, such as a notebook computer. At a Wi-Fi setup, which can manage multiple Wi-Fi networks, thus serves the respective SSID as a distinguishing parameter to user profile parameters Provider to recognize. This could be one for each WLAN subnetwork Separate web filtering will be done because of the SSID identifications different filters can be detected.
In noch einer weiteren Variante des Filterverfahrens wird zwischen einer jeweiligen Nutzereinrichtung in einer Netzwerkeinrichtung des Netzwerkdienstanbieters eine VPN-Netzwerkverbindung hergestellt. Dies erfolgt insbesondere zu einer BRAS-Einrichtung, und es wird eine entsprechende VPN-Identifikation als Teilnetzwerkidentifikation verwendet. Die entsprechende Netzwerkzugangseinrichtung ermöglicht dabei nur den allgemeinen Verbindungsaufbau, ist jedoch nicht in eine Zuordnung von Nutzerprofilparametern miteinbezogen.In Yet another variant of the filtering process is between a respective user device in a network device Network Service Provider established a VPN network connection. This In particular, a BRAS facility will be established and it will become a corresponding VPN identification used as subnetwork identification. The appropriate network access device allows doing only the general connection, but is not in involved an assignment of user profile parameters.
Vorzugsweise wird von der Netzwerkeinrichtung des Netzwerkdienstanbieters, z. B. der BRAS-Einrichtung, ein eingeschränkter Zugriff auf Netzdienstserver zugelassen, sofern keine VPN-Verbindung aufgebaut wird. Unter VPN-Netzen (Virtual Private Networks) versteht man die Verbindung privater Netze, welche durch öffentliche Netze getrennt sind, vorzugsweise durch Einsatz kryptographisch gesicherter Protokolle. Denkbar ist z. B. eine sichere Datenübertragung auf der Ebene des Internets als Peer-to-Peer-Protokoll. Die beiden Kommunikationspartner, z. B. die BRAS-Einrichtung und die Nutzereinrichtung werden authentifiziert und auf der Basis eines Regelwerks über eine verschlüsselte und/oder Integritätsgestützte Verbindung miteinander gekoppelt.Preferably is used by the network device of the network service provider, e.g. B. the BRAS device, restricted access to network service servers allowed, provided no VPN connection is established. Under VPN networks (Virtual Private Networks) means the connection of private Networks, which are public Networks are separated, preferably by using cryptographically secured Protocols. It is conceivable z. B. a secure data transfer at the level of Internet as a peer-to-peer protocol. The two communication partners, z. B. the BRAS device and the user device are authenticated and on the basis of a policy via an encrypted and / or integrity-based connection coupled together.
Die Erfindung schafft ferner eine Netzwerkanordnung mit mindestens einer Nutzereinrichtung, mindestens einer Netzwerkzugangseinrichtung, an welcher die Nutzereinrichtung koppelbar ist und mit Netzwerkeinrichtungen, welche eine Netzwerkverbindung von der Netzwerkzugangseinrichtung zu einem Netzwerkdienstanbieter bereitstellen. Dabei sind die Nutzereinrichtung, die Netzwerkzugangseinrichtung und die Netzwerkeinrichtungen derart ausgestaltet, dass ein Verfahren zum Filtern von Netzwerkdiensten in einer Netzwerkanordnung durchgeführt wird.The The invention further provides a network arrangement with at least one User device, at least one network access device, at which the user device can be coupled and with network devices, which is a network connection from the network access device to a network service provider. In this case, the user device, the network access device and the network devices such designed that a method for filtering network services is performed in a network arrangement.
Die Erfindung betrifft darüber hinaus ein Computerprogramm, welches die Durchführung eines Verfahrens zum Filtern von Netzwerkdiensten in einer Netzwerkanordnung auf programmgesteuerten Nutzer, Netzzugangs- und/oder Netzwerkeinrichtungen veranlasst.The Invention relates to this In addition, a computer program, which is the implementation of a method for Filtering network services in a network arrangement to programmatic users, Network access and / or network facilities prompted.
Weitere vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche und der im Folgenden beschriebenen Ausführungsbeispiele.Further advantageous embodiments are the subject of the dependent claims and the embodiments described below.
Die Erfindung wird im Folgenden unter Bezugnahme auf die beigefügten Figuren anhand von Ausführungsbeispielen näher erläutert. Es zeigt dabei:The Invention will be described below with reference to the accompanying figures based on embodiments explained in more detail. It shows:
In den Figuren sind gleiche bzw. funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.In The figures are the same or functionally identical elements with the same Unless otherwise indicated.
In
der
Die
im Folgenden beispielhaft als DSL-Modem bezeichnete Netzwerkzugangseinrichtung
Die
Webdienstleistungsanbieter
Der
BRAS-Server führt
dabei eine Aggregierung des Datenverkehrs von den Zugangspunkten, also
den DSLAMs, die Terminie rung von PPP-Sitzungen oder Internetprotokoll-Sitzungen
sowie eine Beschränkung
der Filterung der Datenmengen im Rahmen von Quality of Service durch.
Der BRAS-Server dient als Kopplungselement des Internetproviders
Für einen jeweiligen Nutzer, der beispielsweise über bestimmte Nutzerprofilparameter wie z. B. Alter, Standort oder ein Position in einer bestimmten Zugangshierarchie, charakterisiert werden kann, werden entsprechende Black- und Whitelisten angelegt, welche z. B. IP-Adressen von Webservern, deren symbolische Namen oder auch Schlagworte, die einen bestimmten Webinhalt beschreiben, umfassen.For one respective user, for example, via certain user profile parameters such as Age, location, or position in a particular Access hierarchy, which can be characterized, will be appropriate Black and white lists created, which z. B. IP addresses of web servers, their symbolic names or keywords that are specific Describe web content.
Es
ist möglich,
die direkte Nutzerunterscheidung bereits beim DSL-Modem
In
einem Schritt S0 wird zunächst
jedem Nutzer eine Teilnetzwerkidentifikation TNID zugewiesen. Diese
Teilnetzidentifikation, welche beispielsweise eine MAC-Adresse der
Nutzereinrichtung sein kann, wird bezüglich dem Beispiel der in
Bei
einer Netzwerkverbindung im Schritt S1, welche durch das DSL-Modem
initiiert wird, kann das Modem auch bereits bestimmte Zugangsparameter wie
Benutzername und Passwort-Informationen
an den Provider
Wird
im Schritt S2 eine Dienstanfrage von der Nutzereinrichtung, beispielsweise
dem PC
Im
Schritt S3 erfolgt somit ein Vergleich der TNID zugewiesenen Nutzerprofilparameter
NPP. Dieses kann beispielsweise durch den AAA-Server erfolgen. Schließlich erfolgt
eine Filterung im Schritt
In
der
Anhand
der jeweiligen MAC-Adresse erkennt somit das DSL-Modem
Im
Gegensatz dazu wird DSL-Modem-seitig
In
der Regel werden den Nutzereinrichtungen, wie insbesondere dem PC
In
der
Beispielsweise
gemäß eines
IEEE 802.11 Standards werden Funknetzwerken Network-Names bzw. Service-Set-Identifier
(SSIDs) zugeordnet. Die Basisstation
Der
WLAN oder DSL-Router oder Access-Point
Das
DSL-Modem stellt z. B. bei Internetanfragen vom Laptop
Wird
hingegen eine Internetverbindung ausgehend vom Laptop
In
der
Es
ist beispielhaft ein erster Nutzerbereich
Es
ist vorgesehen, dass virtuelle lokale Netze bzw. VLANs z. B. nach
einem IEEE 802.1Q Standard einem jeweiligen Nutzer zugeordnet werden.
Es ist damit möglich,
für jedes
virtuelle LAN anhand der zugeordneten Nutzerprofilparameter eine
dezidierte und angepasste Filterung von angefragten Webinhalten
vorzunehmen. Auf Providerseite werden somit z. B. durch den AAA-Server
die jeweiligen Filterkriterien auf die VLANs zugeordnet. Die Datenpakete,
welche unterschiedlichen VLANs zugehörig sind, unterscheiden sich
in ihrem VLAN-Tag, das standardisiert Werte zwischen 0 und 4095
in Form von vier Bytes umfassen kann. Die Terminierung der VLANs
erfolgt in den jeweiligen DSL-Routern
Der
jeweilige DSL-Router
Alternativ
zur Realisierung mehrerer VLANs lassen sich auch dezidierte VPN-Verbindungen
zwischen den Nutzereinrichtungen, beispielsweise dem Notebook
Alle
vorbeschriebenen Maßnahmen
zum Filtern von Netz- und insbesondere Webinhalten erfordern keine
DSL-Providerspezifische Installation von Software beim Nutzer. Vielmehr
können
vom Provider selbst die DSL-Zugangseinrichtungen
Eine Konfiguration des DSL-Routers kann auch lokal durch den jeweiligen Administrator vorgenommen werden, wobei eine Zuordnung von an den DSL-Router koppelbaren Nutzereinrichtungen bzw. Nutzer, welche durch die Hardwareadresse oder die SSID gekennzeichnet werden, auf DSL-Zugangsparameter lokal erfolgt.A Configuration of the DSL router can also be done locally by the respective Administrator to be made, taking an assignment from to the DSL router connectable user devices or users, which by the hardware address or the SSID, on DSL access parameters locally he follows.
In allen Fällen ist es praktisch immer möglich, dass Nutzer mit verschiedenen Nutzerprofilparametern gleichzeitig Webdienste nutzen können, da entweder der DSL-Router das Umschalten zwischen verschiedenen Internet- oder DSL-Verbindungen mit unterschiedlichen Zugangsparametern gewährleistet oder über die einzelnen VLANs parallele Netzwerkverbindungen innerhalb der einzelnen VLANs möglich sind. Das einem Nutzer zugewiesene VLAN ist im Wesentlichen durch die VLAN-ID in den Tags der VLAN-Datenrahmen festgelegt und es erfolgt eine Abbildung von Teilnetzidentifikation auf VLAN-Identifikation. Häufig können Netzwerkkarten durch geeignete Konfiguration VLAN-Datenrahmen senden, empfangen und verwalten. Es lassen sich damit pro DSL-Zugang bzw. pro DSL-Account mehrere VLANs einrichten, welche der DSL-Provider an verschiedenen Stellen seines Netzes terminieren kann. Eine Zuordnung der Nutzereinrichtungen auf die jeweiligen VLANs kann auch lokal durch eine Konfiguration des jeweiligen DSL-Routers vorgenommen werden.In all cases it is practically always possible that users with different user profile parameters simultaneously Can use web services, either the DSL router switching between different Internet or DSL connections guaranteed with different access parameters or via the individual VLANs have parallel network connections within each one VLANs possible are. The VLAN assigned to a user is essentially through the VLAN ID is set in the tags of the VLAN data frames and it takes place an illustration of subnet identification on VLAN identification. Often, network cards send and receive VLAN data frames through appropriate configuration and manage. It can thus be per DSL access or per DSL account set up several VLANs, which the DSL provider at different Terminating his network can terminate. An assignment of the user devices On the respective VLANs can also locally through a configuration the respective DSL router be made.
Die ebenfalls dargestellte Möglichkeit, VPNs zu verwenden, kann auch im Rückgriff auf Verfahren zum RLA (Remote LAN Access) realisiert werden. Dies hat den Vorteil, dass unabhängig von der verwendeten DSL-Zugangseinrichtung Filterungen dem jeweiligen Nutzer zugeordnet werden. Die VPN-Verbindung erfolgt dabei im Wesentlichen zwischen dem Nutzer bzw. der Nutzereinrichtung, wie beispielsweise einem Notebook und dem BRAS-Server.The also shown possibility VPNs can also be used in the process of accessing the RLA (Remote LAN Access) can be realized. This has the advantage that independently from the used DSL access device filtering the respective Be assigned to users. The VPN connection essentially takes place between the user or the user device, such as a notebook and the BRAS server.
Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsbeispiele näher erläutert wurde, ist sie nicht darauf beschränkt, sondern vielfältig modifizierbar. Die dargestell ten Netzwerkdienste, wie insbesondere Webfilter, können auch andere Dienste umfassen. Ferner ist die Anwendung der Erfindung nicht auf das Internet beschränkt, sondern sie kann auch in anderen Netzwerken, wie beispielsweise GSM-, UMTS- oder bei proprietären Netzwerkprotokollen eingesetzt werden.Even though the present invention with reference to preferred embodiments was explained in more detail, is she not limited to but diverse modifiable. The illustrated network services, in particular Web filters, can also include other services. Furthermore, the application of the invention not limited to the internet, but it can also be used in other networks, such as GSM, UMTS or proprietary Network protocols are used.
In der Anmeldung sind die Begriffe "DSL-Modem", "DSL-Router", "WLAN-Zugangseinrichtung", "WLAN-Router" und "Modem" im Wesentlichen synonym verwendet. Bei Einsatz der Erfindung in anderen Netzwerkarchitekturen ist ein jeweiliges DSL-Modem beispielhaft als Netzwerkzugangseinrichtung beim Nutzer zu verstehen.In The terms "DSL modem", "DSL router", "WLAN access device", "WLAN router" and "modem" are essentially the terms of the application used synonymously. When using the invention in other network architectures For example, a respective DSL modem is exemplified as a network access device to understand the user.
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007030775A DE102007030775B3 (en) | 2007-07-03 | 2007-07-03 | Method for filtering network services in network arrangement, involves assigning user or user device with virtual local area network and corresponding to sub network identification of respective virtual local area network identification |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007030775A DE102007030775B3 (en) | 2007-07-03 | 2007-07-03 | Method for filtering network services in network arrangement, involves assigning user or user device with virtual local area network and corresponding to sub network identification of respective virtual local area network identification |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102007030775B3 true DE102007030775B3 (en) | 2009-02-19 |
Family
ID=40279692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102007030775A Expired - Fee Related DE102007030775B3 (en) | 2007-07-03 | 2007-07-03 | Method for filtering network services in network arrangement, involves assigning user or user device with virtual local area network and corresponding to sub network identification of respective virtual local area network identification |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102007030775B3 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016223633A1 (en) | 2016-11-29 | 2018-05-30 | Siemens Aktiengesellschaft | Method and devices for providing at least one service, in particular in the automotive environment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040162058A1 (en) * | 2002-12-23 | 2004-08-19 | Dorron Mottes | Multi MVNO and service provider platform and management |
US20060223497A1 (en) * | 2003-10-17 | 2006-10-05 | Gallagher Michael D | Service access control interface for an unlicensed wireless communication system |
-
2007
- 2007-07-03 DE DE102007030775A patent/DE102007030775B3/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040162058A1 (en) * | 2002-12-23 | 2004-08-19 | Dorron Mottes | Multi MVNO and service provider platform and management |
US20060223497A1 (en) * | 2003-10-17 | 2006-10-05 | Gallagher Michael D | Service access control interface for an unlicensed wireless communication system |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016223633A1 (en) | 2016-11-29 | 2018-05-30 | Siemens Aktiengesellschaft | Method and devices for providing at least one service, in particular in the automotive environment |
WO2018099639A1 (en) | 2016-11-29 | 2018-06-07 | Siemens Aktiengesellschaft | Method and devices for providing at least one service, in particular in the automotive field |
US11658943B2 (en) | 2016-11-29 | 2023-05-23 | Siemens Aktiengesellschaft | Method and devices for providing at least one service, in particular in the automotive environment |
US11838280B2 (en) | 2016-11-29 | 2023-12-05 | Siemens Aktiengesellschaft | Method and devices for providing at least one service, in particular in the automotive environment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1316230B1 (en) | Generic wlan architecture | |
EP2191613B1 (en) | Method for the user-specific configuration of a communications port | |
DE602004011783T2 (en) | Limited Wi-Fi access for an unknown mobile station | |
DE60028229T2 (en) | Produce dynamic sessions for tunnel access in a communication network | |
EP1323278B1 (en) | Method for connection of data terminal devices to a data network | |
EP1743462A1 (en) | Device for the session-based transmission of packets | |
DE60211270T2 (en) | Device and method for the provision of computer networks | |
WO2004017566A1 (en) | Method and data system for connecting a wireless local network to a umts terminal station | |
DE60318601T2 (en) | METHOD FOR THE AUTOMATIC CONFIGURATION OF AN IP REMOTE DEVICE AND / OR DATA, SYSTEM AND DEVICE FOR IMPLEMENTING THEREOF | |
DE602004002950T2 (en) | Method and device for access control | |
EP1820324B1 (en) | Method for configuring a device using dhcp via pppoe | |
DE60311550T2 (en) | Method and server for allocating network resources to a terminal, distinguishing between terminal types | |
EP1915886B1 (en) | Method, communication arrangement and communication device for transferring information | |
DE102007030775B3 (en) | Method for filtering network services in network arrangement, involves assigning user or user device with virtual local area network and corresponding to sub network identification of respective virtual local area network identification | |
WO2006034662A1 (en) | System for nomadic data access from subscriber terminal devices, devices in said system and data access method | |
EP1542401B1 (en) | Access point for wireless local area networks | |
WO2003079706A1 (en) | Method and communication system for connecting alternative access networks to a communication system, especially gprs/umts | |
EP2067308B1 (en) | Method for authenticating a dsl user | |
EP2852246B1 (en) | Integrated access device for a home network with the possibility of using an optimal mobile radio reception | |
DE60202663T2 (en) | System and method for allocating dynamic IP addresses | |
DE102006017940B4 (en) | Process for the preparation of a compound | |
EP2217026B1 (en) | Method for setting up a communication connection between an electronic terminal and a home communication network | |
CH716448A2 (en) | Mobile radio communication device with two integrated subscriber identity modules and an interface with network-dependent modulation. | |
DE102006060042A1 (en) | Method and server for providing a dedicated key | |
WO2005117516A2 (en) | Method and system for bidirectional transmission of data between a data processing device and a router |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20110201 |