DE10021778A1

DE10021778A1 - Administrationsschutz von Gruppen innerhalb öffentlicher Vermittlungssysteme

Info

Publication number: DE10021778A1
Application number: DE10021778A
Authority: DE
Inventors: Irena Romanski; Joachim Huttel
Original assignee: Siemens Corp
Current assignee: Siemens Corp
Priority date: 2000-05-04
Filing date: 2000-05-04
Publication date: 2001-11-22
Also published as: EP1279302A1; CN1435060A; WO2001084856A1; US20040013261A1

Abstract

Die vorliegende Erfindung betrifft eine Vermittlungsstelle (1) zum Anschluß von Fernsprechobjekten (2a...2n) an ein Fernsprechnetz, mit einer Steuereinrichtung (3), in der mittels Eingabe von Kommandos über ein Terminal (6) durch berechtigte Operatoren Betriebsfunktionen administriert werden können, und Prüfungsmittel (4) zur Prüfung einer Zugriffsberechtigung, die bestimmte Operatoren zum Administrieren von in einer Gruppe (5) organisierten Endgeräten zulassen. DOLLAR A Im weiteren betrifft die vorliegende Erfidnung ein Verfahren zum Administrieren von Betriebsfunktionen in dieser Vermittlungsstelle.

Description

Die vorliegende Erfindung betrifft eine Vermittlungsstelle zum Anschluß von Fernsprechobjekten an ein Fernsprechnetz, in der mittels Eingabe von Kommandos über ein Terminal durch berechtigte Operatoren Betriebsfunktionen administriert wer den, wie es im Oberbegriff des beigefügten Anspruches 1 beschrieben ist, und ein in dieser Vermittlungsstelle angewendetes Verfahren zum Administrieren von Betriebsfunk tionen, wie es im Oberbegriff des beigefügten Anspruches 9 beschrieben ist.

In eine Vermittlungsstelle in einem Fernsprechnetz können mehrere Fernsprechobjekte, z. B. an dieser Vermittlungsstelle angeschlossene Telefonendgeräte oder Telefonnebenstellen anlagen von Endgeräten, zu Gruppen zusammengefaßt werden. Diese Gruppenbildung ist z. B. im CENTREX-Dienst (Centralised Office Exchange Service) sinnvoll.

CENTREX ist ein spezieller Dienst in einem Netzknoten, d. h. in einer Vermittlungsstelle, der einem Teil der angeschlosse nen Endgeräte von Teilnehmern die Funktionalität ähnlich einer Nebenstellenanlage zur Verfügung stellt.

Vermittlungsstellen können von berechtigten Operatoren bzw. Personen durch Eingabe von Kommandos (z. B. in Man-Machine Language, MML) über ein Terminal administriert werden, d. h. es können Betriebsfunktionen wie z. B. das Einrichten von Endgeräten oder das Zuweisen bestimmter Berechtigungen für Endgeräte bzw. Teilnehmer z. B. hinsichtlich von Leistungs merkmalen ausgeführt werden.

Beim Stand der Technik ist eine Schutzfunktion der Vermitt lungsstelle vor unberechtigten Zugriffen pro einzelnem (MML-) Kommando lokal pro Vermittlungsstelle implementiert. D. h. ein Operator, der berechtigt ist, Betriebsfunktionen der Vermittlungsstelle zu administrieren, hat Zugriff auf die gesamte Vermittlungsstelle im Rahmen seiner Berechtigungen für diese Vermittlungsstelle (für bestimmte MML-Kommandos) bzw. alle daran angeschlossenen Fernsprechobjekte. Einzelne MML-Kommandos können in der Regel von mehreren Operatoren durchgeführt werden. So können z. B. nicht aufeinander abge stimmte Zugriffe auf einzelne Gruppen von Fernsprechobjekten durchgeführt werden.

Das hat den Nachteil, daß eine betriebssichere Administration bzw. Verwaltung z. B. einzelner Gruppen von Fernsprechobjekten nicht möglich ist.

Die Aufgabe der vorliegenden Erfindung ist somit, eine Ver mittlungsstelle zum Anschluß von Fernsprechobjekten an ein Fernsprechnetz gemäß dem Oberbegriff des beigefügten Anspru ches 1 und ein in dieser Vermittlungsstelle angewendetes Ver fahren, zum Administrieren von Betriebsfunktionen gemäß dem Oberbegriff des beigefügten Anspruches 9 bereitzustellen, bei denen eine höhere Betriebssicherheit bei der Administrierung von Betriebsfunktionen ermöglicht ist.

Diese Aufgabe wird durch eine Vermittlungsstelle gemäß dem beigefügten Anspruch 1 und ein in dieser Vermittlungsstelle angewendetes Verfahren zum Administrieren von Betriebsfunk tionen gemäß dem beigefügten Anspruch 9 gelöst.

Durch die erfindungsgemäße Prüfung, ob ein bestimmter Opera tor zur Administration einer bestimmten Gruppe berechtigt ist, ergeben sich die nachfolgenden Vorteile:

Es erfolgt eine Absicherung gegen unbefugte bzw. versehentli che Administration von nichtautorisierten Operatoren. Weiter hin ergibt sich bei den Telekommunikationsgesellschaften ein Einsparpotential, da durch die Schutzmaßnahme weniger qualifiziertes Personal zur Administration eingesetzt werden kann. Außerdem werden Kunden der Telekommunikationsgesellschaften, die in solchen Gruppen organisiert sind, nicht mehr durch unautorisierte oder versehentliche Administration ihrer Tele kommunikationseinrichtungen behindert bzw. gestört. Der Schutz ist außerdem sowohl lokal (in einer Vermittlungs stelle) als auch netzweit über das Fernsprechnetz (in mehre ren) Vermittlungsstellen möglich.

Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind in den jeweiligen Unteransprüchen wiedergegeben.

Gemäß der vorliegenden Erfindung können in einer Vermitt lungsstelle mehrere Gruppen organisiert sein, die jeweils un terschiedliche Zugriffsberechtigungen aufweisen.

Die einzelnen Gruppen werden mit unterschiedlichen Gruppen- Identifizierungen (ID's) gekennzeichnet, somit können auf die jeweiligen Gruppen nur diejenigen Operatoren zugreifen, die zur Administration dieser Gruppe berechtigt sind. Dazu wird eine Assoziation der Kennung des Operators mit der Gruppen-ID geschaffen. Die Prüfung der Zugriffsberechtigung erfolgt dann, indem die in einem Verwaltungskommando enthaltene Ken nung (User-Identifizierung, User-ID) daraufhin überprüft wird, ob sie mit der Gruppen-ID verknüpft und somit der Verwaltungsbefehl (mit der jeweiligen User-ID) durch den ent sprechenden Operator ausgeführt werden darf.

Die einzelnen Gruppen müssen gemäß der vorliegenden Erfindung nicht auf eine Vermittlungsstelle beschränkt sein. Eine Gruppe (z. B. Endgeräte von einer Firma) kann sich auch über mehrere Vermittlungsstellen (z. B. Filialen einer Firma) erstrecken.

Die Administration einer Gruppe in einer Vermittlungsstelle kann sowohl lokal für eine Vermittlungsstelle als auch zentral für alle Vermittlungsstellen, in der die Gruppe präsent ist, erfolgen.

Die vorliegende Erfindung wird nachfolgend anhand bevorzugter Ausführungsbeispiele unter Bezug auf die beigefügten Zeich nungen näher erläutert, in denen zeigen:

Fig. 1 eine schematische Darstellung der erfindungsgemäßen Vermittlungsstelle;

Fig. 2 die schematische Darstellung der Autorisierungsprüfung in der Vermittlungsstelle;

Fig. 3 ein Beispiel für die netzweite Gruppe bei lokaler Administration;

Fig. 4 ein Beispiel für eine netzweite Gruppe bei zentralisierter netzweiter Administration; und

Fig. 5 ein Beispiel für die Schutzwirkung in einer Vermittlungsstelle.

Anhand von Fig. 1 wird nachfolgend der schematische Aufbau der erfindungsgemäßen Vermittlungsstelle 1 erläutert.

An der Vermittlungsstelle 1 sind die Teilnehmer mit ihren Endgeräten (Fernsprechobjekte) 2a. . .2n angeschlossen. Die Vermittlungsstelle beinhaltet die Vermittlungseinrichtungen 7 zur Vermittlung und Verbindung der Teilnehmer mit dem Fern sprechnetz, wie z. B. die Anschlußeinheiten (Line Cards) zum Anschluß der Endgeräte 2a. . .2n an die Vermittlungsstelle und das Koppelnetz zur Vermittlung der Verbindung. Diese Ver mittlungseinrichtungen 7 können durch eine Steuereinrichtung 3 in ihren Betriebsfunktionen gesteuert bzw. administriert werden, wie z. B. das Einrichten neuer Teilnehmer.

Wie bereits eingangs beschrieben, können mehrere Fernsprech objekte (wie z. B. Endgeräte 2a, 2b oder Nebenstellenanlagen) in einer Gruppe 5 z. B. im CENTREX-Dienst organisiert sein. Dabei wird beispielsweise einer Firma durch die Vermittlungs stelle 1 die Funktionalität einer Nebenstellenanlage zur Verfügung gestellt, ohne daß eine Nebenstellenanlage durch die Firma angeschafft werden muß. Die Anzahl der Fernsprechob jekte, die zu einer Gruppe 5 gehören, ist nicht beschränkt und kann von der Telekommunikationsgesellschaft festgelegt werden. Eine Gruppe kann sich auch netzweit über mehrere Ver mittlungsstellen erstrecken, wobei die Fernsprechobjekte dann z. B. zu den Zweigstellen einer Firma gehören.

Die Administration der Betriebsfunktionen erfolgt durch Ein gabe von Kommandos (z. B. in der Man-Machine Language, MML) von einem Terminal 6. Die Prüfung, ob ein entsprechend auf die Vermittlungsstelle zugreifender Operator zum Administ rieren von Betriebsfunktionen berechtigt ist, erfolgt dabei bei Eingabe eines Kommandos durch den Operator mittels der Prüfungseinrichtung 4. Vorteilhafterweise ist diese Prüfungs einrichtung 4 als Software in der Steuereinrichtung 3 imple mentiert.

Gemäß der vorliegenden Erfindung wird sicher gestellt, daß lediglich ausgewählte Operatoren von der Telelkommunikations gesellschaft zugelassen sind, einzelne Gruppen und die darin enthaltenen Fernsprechobjekte zu administrieren. Dadurch wird eine höhere Sicherheit bei der Administration der einzelnen Gruppe gewährleistet, um z. B. nicht aufeinander abgestimmte oder unauthorisierte Zugriffe zu vermeiden.

Dazu wird erfindungsgemäß jeder Gruppe in jeder Vermittlungs stelle, in der die jeweilige Gruppe repräsentiert ist, eine Gruppen-ID zugeordnet.

Aus Fig. 2 geht hervor, daß die Prüfungseinrichtung 4 zur Prüfung einer Zugriffsberechtigung eine Zuordnung eines Ope rators (im Beispiel mit der User-ID X) und einer Gruppen-ID (im Beispiel mit der Gruppen-ID 99) vornimmt. Eingehende Kommandos enthalten dabei die Kennung (User-ID und/oder Kenn wort) des zugreifenden Operators. Die Prüfungseinrichtung prüft anhand gespeicherter Kennungen, ob der jeweilige Operator berechtigt ist, dieses Kommando an der Gruppe, auf die dieses Kommando ausgerichtet ist, auszuführen.

Bei der Autorisierungsprüfung prüft die Prüfungseinrichtung anhand gespeicherter Kennungen, ob der Operator, von dem die Eingabe stammt, berechtigt ist, dieses Kommando an der Gruppe, auf die dieses Kommando ausgerichtet ist, und somit die darin enthaltenen Fernsprechobjekte zu administrieren. Wenn das der Fall ist, so wird das Kommando akzeptiert, andernfalls abgelehnt. Die Anzahl der verschiedenen Fern sprechobjekte pro Gruppe und somit die Anzahl der verschiede nen (MML-)Kommandos ist gruppenindividuell von der Telekom munikationsgesellschaft einstellbar.

Die Gruppen-ID wird einheitlich für alle Mitglieder einer Gruppe in den einzelnen Vermittlungsstellen vergeben, in denen die Gruppe präsent ist, und somit eine netzweite Gruppe gebildet (z. B. aus allen im Fernsprechnetz vorhandenen Zweigstellen einer Firma). Dies geschieht durch entsprechende (MML-)Kommandos, die für jedes Mitglied der Gruppe in der entsprechenden Vermittlungsstelle abgesetzt werden.

Weiterhin wird definiert, welche Fernsprechobjekte (z. B. Endgeräte, Nebenstellenanlagen) der Gruppe zugehörig sein sollen und somit die (MML-)Kommandos festgelegt, die zur Administration der Gruppe und der darin enthaltenen Fern sprechobjekte nötig sind.

Der Netzadministrator, der die Kennzeichnungen (IDs) vergibt, hat selber Zugriff auf alle administrativ gestützten Vermitt lungsstellen und Gruppen.

Am Beispiel von Fig. 3 wird deutlich, wie der Administra tionsschutz für eine netzweite Gruppe bei lokaler Administra tion funktioniert.

Die netzweite Gruppe (d. h. die einzelnen Mitglieder einer Gruppe) ist in drei Vermittlungsstellen 1a, 1b, 1c vertreten. In jeder Vermittlungsstelle 1a, 1b, 1c sind die Mitglieder einer Gruppe jeweils mit derselben Gruppen-ID (im Beispiel 99) versehen und dem jeweiligen Operator mit der User-ID X zugeordnet. Somit ist der Zugriff auf die Gruppe mit der Gruppen-ID = 99 und der darin enthaltenen Fernsprechobjekte nicht vom Operator Y möglich, obwohl dieser prinzipiell die Berechtigung hat, Betriebsfunktionen der Vermittlungsstelle zu administrieren.

In einem weiteren Beispiel in Fig. 4 wird der Administra tionsschutz für eine netzweite Gruppe bei einer zentralisier ten netzweiten Administration erläutert.

Die netzweite Gruppe ist in den drei Vermittlungsstellen 1a, 1b, 1c vertreten. In jeder Vermittlungsstelle 1a, 1b, 1c sind die Mitglieder der Gruppe mit derselben Gruppen-ID versehen und dem Operator X zugeordnet. Somit ist der Zugriff auf die Gruppe und der Fernsprechobjekte der Gruppe von dem zentralen Operator Y und den direkt an die jeweilige Vermittlungsstelle angeschlossenen Operatoren Y1, Y2, Y3 nicht möglich, obwohl diese Operatoren grundsätzlich die Berechtigung hätten, diese Vermittlungsstellen 1a, 1b, 1c zu administrieren. Hier zeigt sich die Abgrenzungsmöglichkeit gegenüber anderen Administra tionsstellen der Telekommunikationsgesellschaft bei netzwei ter zentraler Administration: außer Operator X hat niemand, auch die durch Operator Y repräsentierte andere netzweite oder die durch die Operatoren Y1, Y2, Y3 repräsentierten lokalen Administrationsstellen nicht, Zugriff auf die Gruppe, obwohl der Operator Y prinzipiell auf die Vermittlungsstellen 1a, 1b, 1c bzw. die Operatoren Y1, Y2, Y3 auf die jeweilige Vermittlungsstelle 1a, 1b, 1c zugreifen kann.

Somit ist eine totale Abgrenzung bezüglich der Bedienung gegenüber anderen Administrationsstellen der Telekommunika tionsgesellschaft möglich, z. B. kann die Grundeinrichtung von Teilnehmern (Endgeräte) von der weiteren Administration entkoppelt werden.

Anhand von Fig. 5 wird nachfolgend erläutert, wie die Schutz wirkung innerhalb einer Vermittlungsstelle funktioniert. Aus dieser Figur wird deutlich, daß der Schutz nicht pro Vermitt lungsstelle, sondern innerhalb einer Vermittlungsstelle grup penindividuell wirksam ist. Operator X kann auf ein Fern sprechobjekt der geschützten Gruppe mit der Gruppen-ID = 99 zugreifen (z. B. auf ein Endgerät eines Teilnehmers), sowie auch auf andere (ungeschützte) Fernsprechobjekte (andere Teilnehmer). Operator Y kann ebenfalls Teilnehmer administ rieren, jedoch nicht diejenigen aus der geschützten Gruppemit der Gruppen-ID = 99.

Claims

1. Vermittlungsstelle (1) zum Anschluß von Fernsprechobjekten (2a. . .2n) an ein Fernsprechnetz, wobei ein Teil der Fern sprechobjekte (2a, 2b) zu einer Gruppe (5) organisiert ist, mit
einer Steuereinrichtung (3), in der mittels Eingabe von Kom mandos über ein Terminal (6) durch berechtigte Operatoren Betriebsfunktionen administriert werden, und einer Prüfungseinrichtung (4) zur Prüfung von Zugriffsbe rechtigungen, die das Administrieren von Betriebsfunktionen der Vermittlungsstelle (1) durch berechtigte Operatoren zulässt,
dadurch gekennzeichnet,
daß die Prüfungseinrichtung (4) zur Prüfung einer Zugriffsbe rechtigung prüft, ob ein zugreifender Operator zum Administrieren der Betriebsfunktionen der Gruppe (5) zugelas sen ist.

2. Vermittlungsstelle (1) gemäß Anspruch 1, dadurch gekennzeichnet, daß eine Vielzahl von Gruppen in einer Vermittlungsstelle (1) vorhanden ist und die Prüfungseinrichtung (4) zur Prüfung einer Zugriffsberechtigung prüft, ob ein zugreifender Opera tor zum Administrieren der Bestriebsfunktionen einer bestimm ten Gruppe (5) zugelassen ist.

3. Vermittlungsstelle (1) gemäß Anspruch 2, dadurch gekennzeichnet, daß die Gruppen (5) zur eindeutigen Kennzeichnung jeweils mit einer Gruppen-Identifizierung versehen sind.

4. Vermittlungsstelle (1) gemäß einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß eine Gruppe (5) im Fernsprechnetz sich über mehrere Vermittlungsstellen (1) erstreckt.

5. Vermittlungsstelle (1) gemäß einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß eine Gruppe (5) aus Endgeräten besteht, die zu einer virtuellen Nebenstellenanlage gehören.

6. Vermittlungsstelle (1) gemäß einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, daß die Prüfungseinrichtung (4) zur Prüfung einer Zugriffsbe rechtigung einen Vergleich assoziation von Gruppen-Identifi zierung und Kennung des Operators vornimmt, um zu prüfen, ob ein zugreifender Operator zum Ausführen von Betriebsfunktio nen einer bestimmten Gruppe berechtigt ist.

7. Vermittlungsstelle (1) gemäß einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Administrierung lokal für eine Vermittlungsstelle (1) erfolgt.

8. Vermittlungsstelle gemäß einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß die Administrierung zentral für mehrere Vermittlungsstel len (1) erfolgt.

9. Verfahren zum Steuern von Betriebsfunktionen in einer Vermittlungsstelle (1) zum Anschluß von Endgeräten (2a. . .2n) an ein Fernsprechnetz, in der mittels Eingabe von Kommandos über ein Terminal (6) durch berechtigte Operatoren Betriebs funktionen administriert werden, wobei ein Teil der Endgeräte (2a, 2b) zu einer Gruppe (5) organisiert ist und beim Administrieren von Betriebsfunktionen der Vermittlungsstelle (1) eine Prüfung erfolgt, ob der jeweilige Operator zum Admi nistrieren von Betriebfunktionen berechtigt ist, dadurch gekennzeichnet, daß geprüft wird, ob ein zugreifender Operator zum Administ rieren der Betriebsfunktionen der Gruppe (5) zugelassen ist.

10. Verfahren gemäß Anspruch 9, dadurch gekennzeichnet, daß geprüft wird, ob ein zugreifender Operator zum Administ rieren der Bestriebsfunktionen einer bestimmten Gruppe (5) aus einer Vielzahl von Gruppen zugelassen ist.

11. Verfahren gemäß Anspruch 10, dadurch gekennzeichnet, daß die Gruppen (5) zur eindeutigen Kennzeichnung jeweils mit einer Gruppen-Identifizierung versehen sind.

12. Verfahren gemäß Anspruch 9, 10 oder 11, dadurch gekennzeichnet, daß sich eine Gruppe (5) netzweit über mehrere Vermittlungs stellen (1) erstreckt.

13. Verfahren gemäß einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, daß eine Assoziation von Gruppen-ID und Kennung des Operators vorgenommen wird, um zu prüfen, ob ein bestimmter Operator zum Ausführen von Betriebsfunktionen der ausgewählten Gruppe berechtigt ist.

14. Verfahren gemäß einem der Ansprüche 9 bis 13, dadurch gekennzeichnet, daß die Administrierung lokal für eine Vermittlungsstelle (1) erfolgt.

15. Verfahren gemäß einem der Ansprüche 9 bis 14, dadurch gekennzeichnet, daß die Administrierung zentral für mehrere Vermittlungsstel len erfolgt.