DE10393628T5 - System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) - Google Patents

System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) Download PDF

Info

Publication number
DE10393628T5
DE10393628T5 DE10393628T DE10393628T DE10393628T5 DE 10393628 T5 DE10393628 T5 DE 10393628T5 DE 10393628 T DE10393628 T DE 10393628T DE 10393628 T DE10393628 T DE 10393628T DE 10393628 T5 DE10393628 T5 DE 10393628T5
Authority
DE
Germany
Prior art keywords
mobile node
network
home agent
vpn
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10393628T
Other languages
English (en)
Other versions
DE10393628B4 (de
Inventor
Changwen Portland Liu
Michael Beaverton Andrews
Prakash Beaverton Iyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10393628T5 publication Critical patent/DE10393628T5/de
Application granted granted Critical
Publication of DE10393628B4 publication Critical patent/DE10393628B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Abstract

Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen Netzwerkknoten, das Verfahren, wobei das Verfahren umfaßt:
Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt;
Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten;
Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und
Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft im Allgemeinen computergestützte Systeme und Verfahren zur Bereitstellung mobiler Vernetzung, und im Besonderen das Integrieren mobiler Vernetzung mit Sicherheitsmechanismen zum Routen von Netzwerkdaten zwischen einem mobilen Knoten und einem korrespondierenden Knoten.
  • URHEBERRECHTSVERMERK/GENEHMIGUNG
  • Ein Abschnitt der Offenbarung dieser Patenturkunde enthält Material, das urheberrechtlich geschützt ist. Der Urheberrechtsinhaber hat keinen Einwand gegen den Abdruck/die Vervielfältigung der Patenturkunde oder der Patentoffenbarung, so wie sie in den Akten oder Aufzeichnungen des Patent- und Markenamtes aufscheinen, durch beliebige Personen, behält sich im Übrigen jedoch sämtliche Urheberrechte vor. Der folgende Vermerk gilt für im Folgenden und in den Zeichnungen hierzu beschriebene Software und Daten: Copyright 2002, Intel Corporation. Alle Rechte vorbehalten.
  • ALLGEMEINER STAND DER TECHNIK
  • Die Verwendung drahtloser Vernetzung wächst weiterhin sehr rasch. Drahtlose Netzwerke sind aus einer Anzahl von Gründen attraktiv. Sie sind praktisch, sie ermöglichen Flexibilität und Bereichswechsel, und sie können dynamische Umgebungen unterstützen. Des Weiteren sind sie im Vergleich zu ihren verdrahteten Gegenstücken relativ einfach zu installieren. In einigen Fällen, zum Beispiel in älteren Gebäuden, könnten sie billiger einzusetzen sein. Da keine Leitungsverlegung oder Neuverdrahtung erforderlich ist, kann ein gesamtes Netzwerk binnen weniger Stunden anstatt einigen Tagen zusammengesetzt werden. In vielen Fällen können die Eigentumskosten für drahtlose Netzwerke niedriger sein, als die ihrer verdrahteten Gegenstücke, obwohl verdrahtete LAN-Karten billiger sind.
  • Ein weiterer Trend in der Computerwissenschaft ist die zunehmende Verwendung von Sicherheitsmechanismen zur Verhinderung unberechtigter oder böswilliger Verwendung persönlicher und betrieblicher Computerbetriebsmittel. Zum Beispiel haben viele Unternehmen und Einzelpersonen „Firewalls" installiert, um Systeme innerhalb der Firewall vor unberechtigtem Zugriff zu schützen. Wie im Fach bekannt ist, können Firewalls sowohl als Hardware als auch durch Software, oder durch eine Kombination der beiden, ausgeführt sein. Firewalls werden häufig verwendet, um unberechtigte Internetbenutzer daran zu hindern, auf private Netzwerke, die mit dem Internet verbunden sind, insbesondere auf Intranets, zuzugreifen. Alle Nachrichten, die in das Intranet gelangen oder dieses verlassen, passieren üblicherweise die Firewall, die jede Nachricht überprüft und jene blockiert, die nicht den spezifizierten Sicherheitskriterien entsprechen.
  • Obwohl Firewalls hilfreiche Werkzeuge zur Erhöhung der Netzwerksicherheit darstellen, schaffen sie Probleme für drahtlose Benutzer außerhalb der Firewall, die berechtigten Bedarf haben, auf Systeme innerhalb der Firewall zuzugreifen. Sicherheitssysteme, die durch Firewalls verwirklicht sind, verwenden oftmals IP-Adressen und verlassen sich auf IPSec, um zu bestimmen, ob ein Netzwerkdatenpaket durch die Firewall gelassen werden sollte. Unglücklicherweise kann sich die IP-Adresse eines mobilen Knoten im Fall von drahtlosen Systemen häufig ändern, da der Benutzer immer wieder von einem drahtlosen Netzwerk in ein anderes wechselt. Somit muss der Sicherheitsmechanismus, zum Beispiel IPSec, jedes Mal neu eingerichtet werden, wenn der Benutzer in ein neues Netzwerk wechselt. Das Wiedereinrichten von Sicherheitsmechanismen für eine Netzwerkverbindung kann aufwendig sein, sowohl hinsichtlich der CPU-Schleifen als auch der verstrichenen Zeit, die der Benutzer auf die Wiedereinrichtung einer neuen sicheren Verbindung warten muss.
  • Angesichts der oben erwähnten Schwierigkeiten besteht im Fach ein Bedarf für die vorliegende Erfindung.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1A ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer beispielhaften Ausführungsform der Erfindung abbildet;
  • 1B ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer alternativen beispielhaften Ausführungsform der Erfindung abbildet;
  • 1 C ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer weiteren alternativen beispielhaften Ausführungsform der Erfindung abbildet;
  • 1D ist ein Blockdiagramme, das eine Übersicht auf Systemebene noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung abbildet;
  • 2A ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer beispielhaften Ausführungsform der Erfindung, wie sie in 1A gezeigt ist, abbildet;
  • 2B ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1B gezeigt ist, abbildet;
  • 2C ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer weiteren alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1 C gezeigt ist, abbildet;
  • 2D ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1D gezeigt ist, abbildet;
  • 3 ist ein Flußdiagramm, das ein Verfahren zur Einrichtung gesicherter Netzwerkverbindungen für einen mobilen Knoten abbildet; und
  • 4A und 4B sind Flußdiagramme, die ein Verfahren gemäß einer Ausführungsform der Erfindung zum Routen von Netzwerkpaketen zu einem mobilen Knoten durch eine Firewall gemäß einer Ausführungsform der Erfindung abbilden.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgende ausführliche Beschreibung von beispielhaften Ausführungsformen der Erfindung nimmt Bezug auf die beiliegenden Zeichnungen, die einen Teil hiervon bilden, und in denen durch Abbildung bestimmter beispielhafter Ausführungsformen gezeigt ist, wie die Erfindung ausgeführt werden könnte. Diese Ausführungsformen sind ausreichend detailliert beschrieben, um Fachleuten zu ermöglichen, die Erfindung in die Praxis umzusetzen, und es versteht sich, daß andere Ausführungsformen verwendet werden können, und daß logische, mechanische, elektrische und andere Änderungen vorgenommen werden können, ohne den Umfang der vorliegenden Erfindung zu verlassen. Die folgende ausführliche Beschreibung ist daher nicht im eingrenzenden Sinne auszulegen.
  • Überall in den Figuren ist dieselbe Bezugsziffer verwendet worden, um eine identische Komponente, die in mehreren Figuren erscheint, zu bezeichnen. Signale und Verbindungen können mit derselben Bezugsziffer oder derselben Aufschrift bezeichnet sein, wobei die tatsächliche Bedeutung aus ihrer Verwendung im Zusammenhang mit der Beschreibung ersichtlich ist. Des Weiteren ist dieselbe Grundbezugsziffer (zum Beispiel 120) in der Beschreibung und den Figuren verwendet, wenn auf das Verhalten oder auf die Eigenschaften einer Gruppe identischer Komponenten im Allgemeinen Bezug genommen wird. Ein numerisches Zeichen hinter einem Dezimalpunkt (zum Beispiel 120.1) ist verwendet, wenn eine bestimmte Komponente aus der Gruppe identischer Komponenten ein Verhalten zeigt oder eine Eigenschaft aufweist.
  • Die ausführliche Beschreibung ist in mehrere Abschnitte aufgeteilt. Im ersten Abschnitt ist die Hardware- und Softwarebetriebsumgebung verschiedener Ausführungsformen der Erfindung beschrieben. Im zweiten Abschnitt sind Verfahren gemäß verschiedener Ausführungsformen der Erfindung beschrieben. Im letzten Abschnitt ist eine Schlußfolgerung bereitgestellt.
  • Betriebsumgebung
  • 1A ist ein Blockdiagramm einer Hard- und Softwarebetriebsumgebung 100, die verschiedene Ausführungsformen der Erfindung einschließt. Die Systeme und Verfahren der vorliegenden Erfindung können auf jedem Hardware- oder Softwaresystem bereitgestellt werden, das mobile Netzwerke unterstützt. Üblicherweise umfaßt eine solche Hardware Einzelplatzcomputer, Server-Computer, Großrechner, Laptop-Computer, tragbare Taschenrechner, persönliche digitale Assistenten (PDAs), im Netz betriebene Mobiltelefone und Kombinationen der oben genannten Vorrichtungen. In einigen Ausführungsformen der Erfindung weist die Betriebsumgebung 100 einen korrespondierenden Knoten 110, einen Heimagenten 112, einen Sicherheitsübergang 104, einen mobilen IP-Proxy 102, einen Fremdagenten 122, einen mobilen Knoten 120, eine innere Firewall 106 und eine äußere Firewall 108 auf. Die Softwarekomponenten, die in der Betriebsumgebung laufen, werden üblicherweise von einem maschinenlesbaren Medium eingelesen, laufen unter der Steuerung eines Betriebssystems und sind mit dem Betriebssystem gekoppelt. Beispiele für solche maschinenlesbaren Medien umfassen Festplatten, Disketten, CD-ROMs, DVD-ROMs. Des Weiteren umfassen maschinenlesbare Medien verdrahtete und drahtlose Signale, die über ein Netzwerk übertragen werden. Beispiele für Betriebssysteme umfassen Windows® 95, Windows 98®, Windows Me®, Windows CE®, Windows® NT, Windows 2000® und Windows XP® von der Microsoft Corporation. Die vorliegende Erfindung ist jedoch nicht auf irgendein bestimmtes Betriebssystem eingeschränkt, und in alternativen Ausführungsformen können die Softwarekomponenten im Palm OS® von Palm Inc., in Varianten der UNIX- und Linux-Betriebssysteme und in Mobiltelefonbetriebssystemen laufen.
  • In einigen Ausführungsformen der Erfindung unterstützt die Betriebsumgebung 100 die Netzwerkkommunikation zwischen dem mobilen Knoten 120 und einem korrespondierenden Knoten 110. Der mobile Knoten 120 kann jede Art von Rechensystem sein, das verdrahtete und/oder drahtlose Netzwerkkommunikation unterstützt. Beispiele für solche Vorrichtungen umfassen Laptopcomputer, tragbare Computer, persönliche digitale Assistenten und im Netz betriebene Mobiltelefone. Die Erfindung ist nicht auf irgendeine bestimmte Rechenvorrichtung für den mobilen Knoten 120 beschränkt.
  • Dem mobilen Knoten 120 ist üblicherweise ein Heimnetzwerk 114 zugewiesen, und er weist eine ständige Heimnetzwerkadresse auf, die ihm zugewiesen ist. Das Heimnetzwerk 114 kann irgendeine Art von Netzwerk sein; üblicherweise ist das Heimnetzwerk 114 ein privates Netzwerk, wie zum Beispiel ein Firmennetzwerk oder ein Campus-Netzwerk. Die vorliegende Erfindung ist jedoch nicht auf irgendeine bestimmte Art von Heimnetzwerk 114 beschränkt. Der korrespondierende Knoten 110 kann irgendeine Art von am Netzwerk angehängter Vorrichtung sein, die Daten entweder vom mobilen Knoten 120 empfängt oder an diesen sendet, zum Beispiel ein Server-Computer, ein Großrechner, ein Einzelplatzcomputer, ein Router, ein tragbarer Computer, ein Laptop, ein PDA, ein Mobiltelefon, etc. Die vorliegende Erfindung ist nicht auf irgendeine bestimmte Art von korrespondierendem Knoten 110 beschränkt.
  • In einigen Ausführungsformen der Erfindung sind der Heimagent 112 und der Fremdagent 122 Netzwerkknoten, die mobile Netzwerkkommunikation im Wesentlichen gemäß dem Übertragungsprotokoll nach den Standards RFC 2002, RFC 3220 und/oder RFC 3344 für mobile IP-Kommunikation, veröffentlicht im Oktober 1996, im Jänner 2002 beziehungsweise im August 2002 durch die Mobile IP Working Group der Internet Engineering Task Force (Internet-Entwickler-Einsatzgruppe = IETF). Der Heimagent 112 dient als Router im Heimteilnetz des mobilen Knotens, indem er Datenverkehr zum mobilen Knoten 120 leitet, wenn der mobile Knoten 120 außerhalb seines Heimteilnetzes angeordnet ist, zum Beispiel wenn der mobile Knoten 120 mit dem Fremdnetzwerk 130 verbunden ist. Das Fremdnetzwerk 130 kann irgendeine Art von verdrahtetem oder drahtlosem Netzwerk sein. In einigen Ausführungsformen umfaßt das Fremdnetzwerk 130 das Internet.
  • Wenn der mobile Knoten 120.2 in ein neues Netzwerk 130 wechselt, meldet sich der mobile Knoten 120.2 in einigen Ausführungsformen der Erfindung beim Fremdagenten 122 an. Der Fremdagent 122 erteilt dem mobilen Knoten üblicherweise eine Care-of-Netzwerkadresse und leitet eine Abfrage vom mobilen Knoten weiter, die den Heimagenten über die Care-of-Adresse informiert. Der Heimagent kann die Abfrage anerkennen und sendet eine Bestätigung über den Fremdagenten zurück zum mobilen Knoten. Dann leitet der Heimagent Netzwerkpakete, die an den mobilen Knoten adressiert sind, durch den Fremdagenten 122 an den mobilen Knoten im Fremdnetzwerk 130 weiter. Nicht alle Fremdnetzwerke 130 weisen einen Fremdagenten auf. In einigen Ausführungsformen der Erfindung kann der mobile Knoten 120.1 als sein eigener Fremdagent funktionieren. In einigen Ausführungsformen verwendet der mobile Knoten 120 DHCP (dynamisches Host-Konfigurationsprotokoll), um eine Care-of-Adresse zur Verwendung im Fremdnetzwerk 130 zu erhalten.
  • Private Netzwerke, wie zum Beispiel Firmen- oder Campusnetzwerke, sind häufig abgesichert, um unberechtigten Zugriff auf Computer und Systeme im privaten Netzwerk zu verhindern. In einigen Ausführungsformen der Erfindung ist das Heimnetzwerk 114 durch eine innere Firewall 106 und eine äußere Firewall 108 abgesichert. Die Firewalls 106 und 108 untersuchen Datenpakete und Nachrichten, und blockieren all jene, die nicht den spezifi zierten Sicherheitskriterien entsprechen. Die inneren und äußeren Firewalls 106 und 108 bilden eine im Fach bekannte DMZ 160 (demilitarized zone = entmilitarisierte Zone). Üblicherweise enthält eine DMZ Vorrichtungen, die für Internet-Datenverkehr, wie zum Beispiel Webserver (HTTP), FTP-Server, SMTP-Server (E-Mail) und DNS-Server, zugänglich sind. Obwohl die Verwendung von inneren und äußeren Firewalls zur Einrichtung einer DMZ aus Sicherheitsgründen wünschenswert ist, sind die Systeme und Verfahren der Erfindung auf Umgebungen mit nur einer Firewall oder ganz ohne Firewalls voll anwendbar.
  • In einigen Ausführungsformen der Erfindung enthält die DMZ 160 einen VPN (virtuelles privates Netzwerk)-Übergang 104 und einen MIP (mobiles Internetprotokoll)-Proxy 102. Der VPN-Übergang 104 ermöglicht die Einrichtung von VPNs zwischen Knoten in einem internen Netzwerk und Knoten in einem Fremdnetzwerk, wie zum Beispiel dem Fremdnetzwerk 130. Ein VPN ist eine sichere Netzwerkverknüpfung über eine öffentliche IP-Infrastruktur. Ein Beispiel eines VPN-Protokolls ist IP Security (IPSec). Die vorliegende Erfindung ist jedoch nicht auf ein bestimmtes VPN-Protokoll beschränkt.
  • Der MIP-Proxy 102 dient als Vermittler zwischen dem Heimagenten 112 und dem Fremdagenten 122. In einigen Ausführungsformen der Erfindung dient der MIP-Proxy 102 als stellvertretender Heimagent für einen mobilen Knoten 120 sowie als stellvertretender mobiler Knoten für einen Heimagenten 114. In der beispielhaften Ausführungsform, die in 1A abgebildet ist, läuft der MIP-Proxy 102 nicht auf demselben Computer wie der VPN-Übergang 104. In diesen Ausführungsformen dient der MIP-Proxy 102 als ein stellvertretender Fremdagent für den VPN-Übergang 104.
  • 1B stellt ein Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy 102 auf derselben Hardware und Software wie der VPN-Übergang 104 ausgeführt werden kann. In diesen Ausführungsformen weist der integrierte MIP-Proxy-/VPN-Übergangscomputer ein mobiles Knoten(MN)-Modul 144 auf, das einen mobilen Knoten für den Heimagenten 112 nachbildet, sowie ein Heimagenten(HA)-Modul 142, das einen Heimagenten für die mobilen Knoten 120 (oder ersatzweise den Fremdagenten 122) nachbildet.
  • 1C stellt ein Blockdiagramm einer alternativen Ausführungsform bereit, in der die Funktionsteile HA-Modul 142 und MN/FA-Modul 144 des MIP-Proxy 102 auf verschiedenen Computern ausgeführt sein können: das HA-Modul 142 könnte in einer WAN(=Fernbereichsnetzwerk)-Nebenzelle, zum Beispiel einem WAN-Router 123 außerhalb der äußeren Firewallschicht 108, und das MN/FA-Modul 144 in einer DMZ-Zelle 146 innerhalb der äußeren Firewallschicht ausgeführt sein, wobei ein sicherer Paketdatentunnel bereitgestellt ist, der das HA-Modul 142 durch die äußere Firewallschicht 108 mit dem MN/FA-Modul 144 verbindet, so daß das HA-Modul Pakete vom MN/FA-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete (Internetprotokoll Version 4) zur weiteren Verarbeitung an das MN/FA-Modul senden, und das MN/FA-Modul wird alle Pakete, die es vom VPN-Übergang erhält, zur weiteren Verarbeitung zu den HA-Modulen senden. Der sichere Paketdatentunnel kann in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein.
  • 1D stellt ein anderes Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in dem der MIP-Proxy 102 auf verschiedenen Hardwarekomponenten ausgeführt sein kann. In diesen Ausführungsformen umfaßt der MIP-Proxy das HA-Modul 142 und das MN-Modul 144, die auf verschiedenen Computern ausgeführt sind: In diesen Ausführungsformen kann das HA-Modul 142 in einer WAN-Nebenzelle, zum Beispiel einem WAN-Router 123 außerhalb der äußeren Firewallschicht 108, und das MN-Modul 144 im VPN-Übergang ausgeführt sein, wobei ein sicherer und transparenter interner Tunnel bereitgestellt ist, der das HA-Modul durch die äußere Firewallschicht mit dem MN-Modul am VPN-Übergang verbindet, so daß das HA-Modul Pakete vom MN-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete zur weiteren Verarbeitung zum MN-Modul senden, und der VPN-Übergang wird alle verschlüsselten Pakete zur weiteren Verarbeitung zum HA-Modul senden. Der sichere Paketdatentunnel kann wiederum in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein.
  • Unter nochmaliger Bezugnahme auf 1A wird der Betrieb des oben beschriebenen Systems nun allgemein beschrieben, wobei weitere Einzelheiten zum Betrieb verschiedener Ausführungsformen der Erfindung im Verfahrensabschnitt weiter unten bereitgestellt sind. Wenn sich der mobile Knoten 120 in einem Fremdnetzwerk anmeldet, meldet er sich in einigen Ausführungsformen beim MIP-Proxy 102 an. Des Weiteren wird ein Datenverkehrnetzwerktunnel zwischen dem mobilen Knoten 120 und dem MIP-Proxy 102 eingerichtet. Der mobile Knoten 120 schafft auch eine IPSec-SA (Sicherheitsverbindung) zwischen der ständigen Heimadresse des Knotens und dem VPN-Übergang 104. Die SA kann manuell geschaffen sein, oder sie kann unter Verwendung eines Schlüsselverwaltungsprotokolls, wie zum Beispiel IKE (Internet Key Exchange) geschaffen sein. Die SA wird dann vom mobilen Knoten für alle Netzwerkdaten angewendet, die an einen Knoten innerhalb des Heimnetzwerks 114, wie zum Beispiel dem korrespondierenden Knoten 110, adressiert sind. Dies kann erreicht werden, indem vor der mobilen IP-Einkapselung durch den mobilen Knoten eine IPSec-SA-Einkapselung angewendet wird.
  • In alternativen Ausführungsformen der Erfindung meldet sich der mobile Knoten 120 an einem Fremdagenten 122 an, wobei er MIP-Proxy 102 als Heimagenten angibt. Der Fremdagent 122 ist dann so mit dem MIP-Proxy 102 gekoppelt, als ob der MIP-Proxy der tatsächliche Heimagent für den mobilen Knoten 120 wäre.
  • Nach dem Empfangen einer Anmeldeabfrage vom mobilen Knoten 120 sendet der MIP-Proxy 102 in einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, eine Anmeldeabfrage im Auftrag des mobilen Knotens 120, die den MIP-Proxy als Care-of-Adresse für den mobilen Knoten 120 angibt. Zusätzlich dazu beginnt der MIP-Proxy 102 damit, Pakete abzufangen, die an die ständige Heimnetzwerkadresse des mobilen Knoten adressiert sind, und tunnelt die Pakete zur Care-of-Adresse des Fremdagenten des mobilen Knotens weiter (man beachte, daß der mobile Knoten als sein eigener Fremdagent funktionieren kann).
  • Nach dem Empfangen der Anmeldeabfrage, fixiert der Heimagent 112 die MIP-Proxy-Adresse als Care-of-Adresse des mobilen Knotens 120. In einigen Ausführungsformen, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, sendet der MIP-Proxy eine einmalige und getrennte Erstanmeldung im Auftrag des VPN-Übergangs 102 zum Heimagenten 112, die eine Adresse des MIP-Proxy 102 als Care-of-Adresse für den VPN-Übergang 104 kennzeichnet. Nach dem Empfangen der Anmeldeabfrage vom MIP-Proxy 102, fixiert der Heimagent 114 die MIP-Proxy-Adresse als die Care-of-Adresse für den VPN-Übergang 104. Darüber hinaus richtet der Heimagent 112 eine IPSec-SA mit dem VPN-Übergang 104 ein, und wendet die SA auf alle Netzwerkpakete an, die er von korrespondierenden Knoten im Heimnetzwerk 114 abfängt und die an die ständige Heimnetzwerkadresse des mobilen Knotens 120 adressiert sind. In einigen Ausführungsformen wird die IPSec-SA-Einkapselung vor jeglicher mobilen IP-Einkapselung, die verwendet wird, angewendet.
  • 2A stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einigen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy ein vom VPN-Übergang 104 getrenntes Computersystem ist. In einigen Ausführungsformen weist jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der MIP-Proxy 102, der VPN-Übergang 104 und der Heimagent 112, einen Network Stack 220, 202, 204 beziehungsweise 212 auf. Die Network Stack umfassen üblicherweise einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale" IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In einigen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Die Verbindungen 240, 242, 244 und 248 zeigen die Datenkommunikation zwischen den verschiedenen Netzwerkschichten.
  • 2B stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der der MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, MIP-Proxy + VPN-Übergang 104 und der Heimagent 112 weisen einen Network Stack 220, 204 beziehungsweise 212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale" IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden.
  • 2C stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in Ausführungsformen der Erfindung bereit, in denen das MN/FA-Modul des MIP-Proxy in einem vom VPN-Übergang getrennten Computersystem in einer DMZ angeordnet ist, und in denen das HA-Modul gemeinsam in einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der WAN-Router 123, der VPN-Übergang 104, der MIP-Proxy+FA/MN 102 und der Heimagent 112, weist einen Network Stack 220, 223, 204, 202 beziehungsweise 212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack 230. Der TCP/IP Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale" IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung 250 dargestellt. Wie oben erwähnt und durch das Einklammern in 2C abgebildet, kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist.
  • 2D stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der das MN-Modul des MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist, und das HA-Modul des MIP-Proxy gemeinsam mit einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der WAN-Router 123, MIP+VPN-Übergang 104 und der Heimagent 112, weist einen Network Stack 220, 223, 204 beziehungsweise 212 auf. Dieser Network Stack umfaßt üblicherweise einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein; nämlich in eine „normale" IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung 250 dargestellt. Wiederum kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist.
  • Die Kommunikation zwischen den Schichten in einigen Ausführungsformen der Erfindung ist durch die Datenpfade 240, 242, 244 und 248 gezeigt. Zum Beispiel kommuniziert die IPSec-Unterschicht des Heimagenten 212 mit der IPSec-Schicht des VPN-Übergangs 204 über den Pfad 244, wenn der MIP-Proxy und der VPN-Übergang getrennt angeordnet sind. Diese Kommunikation kann auch nicht direkt sein. Beispielsweise sind die IPSec-Unterschichtdaten in jenen Ausführungsformen der Erfindung, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, in einer mobilen IP-Unterschicht eingekapselt. Die Kommunikation der mobilen IP-Unterschicht ist durch den Datenpfad 240 abgebildet. Ebenso weist ein mobiler Knoten 220 einen sicheren Kommunikationspfad 248 zum VPN-Übergang 204 auf. Die Sicherheitsschichtdaten sind jedoch durch eine mobile IP-Schicht eingekapselt, die in einigen Ausführungsformen der Erfindung über den Datenpfad 242 durch den MIP-Proxy 202 geroutet ist.
  • Dieser Abschnitt hat die verschiedenen logischen Module in einem System beschrieben, das eine Integration mobiler IP-Netzwerke mit sicherheitsbasierten VPNs bereitstellt. Wie Fachleute erkennen werden, kann die Software zur Ausführung der Module in irgendeiner aus einer Anzahl von Programmiersprachen, die im Fach bekannt sind, geschrieben sein, einschließlich, aber nicht beschränkt auf, C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche Programmiersprachen. Die Erfindung ist nicht auf irgendeine bestimmte Programmiersprache zu ihrer Ausführung beschränkt.
  • Verfahren einer beispielhaften Ausführungsform der Erfindung
  • Ein vorigen Abschnitt ist eine Übersicht auf Systemebene des Betriebs einer beispielhaften Ausführungsform der Erfindung beschrieben worden. In diesem Abschnitt sind die einzelnen Verfahren der Erfindung, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform abarbeitet, ausführt, unter Bezugnahme auf eine Reihe von Flußdiagrammen, die in 34 gezeigt sind, beschrieben. Die Verfahren, die von der Betriebsumgebung auszuführen sind, stellen Computerprogramme dar, die aus für Maschinen ausführbaren Befehlen aufgebaut sind. Die Beschreibung der Verfahren unter Bezugnahme auf ein Floßdiagramm ermöglicht Fachleuten, solche Programme, die solche Befehle umfassen, zu entwickeln, um die Verfahren auf geeigneten Computern auszuführen (wobei der Prozessor des Computers die Befehle von maschinenlesbaren Medien abarbeitet). Die Verfahren, die in 34 abgebildet sind, umfassen die Aktionen, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform der Erfindung abarbeitet, ausführt.
  • 3 ist ein Flußdiagramm, das ein Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen einem mobilen Knoten und einem korrespondierenden Knoten bereitstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel MIP-Proxy 102, welches das Verfahren ausführt, eine Anmeldeabfrage vom mobilen Knoten erhält (Block 305). Üblicherweise weist die Abfrage eine ständige Netzwerkadresse für den mobilen Knoten auf. Der MIP-Proxy verknüpft die ständige Heimadresse des mobilen Knoten mit der aktuellen Care-of-Adresse des mobilen Knoten in einer Mobilitätsverknüpfungsliste. Zusätzlich kann der MIP-Proxy die Verknüpfung mit einem Heimagenten verbinden.
  • Als nächstes gibt ein System, welches das Verfahren ausführt, eine zweite Anmeldeabfrage an einen Heimagenten in einem Heimnetzwerk für den mobilen Knoten aus (Block 310). Üblicherweise weist die zweite Abfrage die ständige Adresse des mobilen Knotens und eine Proxy-Adresse des MIP-Proxy 102 auf. Der Heimagent verknüpft die ständige Heimadresse des mobilen Knoten mit einer der Adressen des MIP-Proxy in der Mobilitätsverknüpfungsliste des Heimagenten.
  • In einigen Ausführungsformen der Erfindung kopiert das System, welches das Verfahren ausführt, einen Antwortcode, den es vom Heimagenten empfangen hat, in eine Antwortmitteilung, die vom System, welches das Verfahren ausführt, zum mobilen Knoten gesendet wird (Block 315). Der Antwortcode zeigt üblicherweise die Fähigkeit oder Bereitschaft des Heimagenten an, Netzwerkdaten, die er vom korrespondierenden Knoten in einem Heimnetzwerk empfangen hat und die an den mobilen Knoten adressiert sind, zu verarbeiten.
  • Als nächstes beginnt das System in einigen Ausführungsfomnen der Erfindung damit, sowohl einen Heimagenten (Block 320) als auch einen mobilen Knoten (Block 325) nachzubilden. Die Blöcke 320 und 325 sind auf derselben Ebene gezeigt, um die Möglichkeit einer parallelen Ausführung der Blöcke anzudeuten. Bezüglich der Daten, die zu und vom mobilen Knoten gesendet werden, bildet das System einen Heimagenten nach. In derselben Weise bildet das System bezüglich der Daten, die zu und vom Heimagenten gesendet werden, einen mobilen Knoten nach.
  • 4A ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem korrespondierenden Knoten an einen mobilen Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Heimagent ein Paket von einem korrespondierenden Knoten im Auftrag eines mobilen Knoten empfängt (zum Beispiel 1, Pfad 1). In einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, tunnelt der Heimagent das Paket zum VPN-Übergang, üblicherweise über IPSec (Block 405). Als nächstes tunnelt der Heimagent das Paket unter Verwendung von mobilem IP zum MIP-Proxy (Block 410, zum Beispiel 1, Pfad 2). Dann wird das Paket einschließlich IPSec und mobiler IP-Einkapselung zum MIP-Proxy gesendet, da der MIP-Proxy aus der Sicht des Heimagenten als Care-of-Adresse für das VPN spezifiziert ist.
  • Der MIP-Proxy empfängt das Paket vom Heimagenten und entkapselt die mobile IP-Schicht (Block 415). In den Ausführungsformen, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, werden die Daten der IPSec-Schicht zum Entkapseln zum VPN-Übergang weitergeleitet (Block 420, zum Beispiel 1A, Pfad 3).
  • Dann tunnelt der VPN-Übergang das Paket unter Verwendung von IPSec vom VPN-Übergang zum mobilen Knoten, wobei er die ständige Netzwerkadresse des mobilen Knotens verwendet (Block 425). In jenen Ausführungsformen, in denen der MIP-Proxy getrennt vom VPN-Übergang angeordnet ist, wird das Paket dann zur Weiterleitung an den mobilen Knoten zum MIP-Proxy gesendet (zum Beispiel 1, Pfad 4). Der MIP-Proxy kann Pakete, die vom VPN-Übergang an den mobilen Knoten adressiert sind, auf verschiedene Weise abfangen. In einer Ausführungsform der Erfindung ist die Leitwegtabelle des VPN so verändert, daß Pakete für den mobilen Knoten automatisch durch den MIP-Proxy geroutet werden. In einer alternativen Ausführungsform der Erfindung reagiert der MIP-Proxy auf ARP(Adressauflösungsprotokoll)-Pakete im Auftrag des mobilen Knotens. In noch einer anderen alternativen Ausführungsform setzt sich der MIP-Proxy, wenn ein mobiler Knoten zum ersten Mal um die Anmeldung durch den MIP-Proxy ersucht, selbst als Care-of-Addresse für den VPN-Übergang ein.
  • Nach dem Empfangen des Datenpakets vom VPN-Übergang tunnelt der MIP-Proxy das Paket unter Verwendung von mobilem IP durch die Care-of-Adresse des mobilen Knotens im Fremdnetzwerk 130 zum mobilen Knoten weiter (Block 430, zum Beispiel 1, Pfad 5).
  • 4B ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem mobilen Knoten an einen korrespondierenden Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Paket unter Verwendung von IPSec vom mobilen Knoten zum VPN-Übergang geleitet wird (Block 450). Dann wird das Paket unter Verwendung von mobilem IP vom mobilen Knoten zum MIP-Proxy getunnelt (Block 455; 1, Pfad 6). Der MIP-Proxy entkapselt die mobile IP-Schicht (Block 460) und leitet das Paket in jenen Ausführungsformen, in denen der VPN-Übergang getrennt vom MIP-Proxy angeordnet ist, zum VPN-Übergang weiter (1, Pfad 7).
  • Der VPN-Übergang entkapselt das IPSec-Paket (Block 465). Der VPN-Übergang sendet dann die Daten direkt zum korrespondierenden Knoten (Block 470; 1, Pfad 8).
  • Man beachte, daß es wünschenswert sein kann, die oben beschriebene Tunnelung zu umgehen. Zum Beispiel werden die IKE-Daten in einigen Ausführungsformen der Erfindung als normaler IP-Verkehr getragen, wenn der mobile Knoten IKE mit dem VPN-Übergang ausführt.
  • Schlußfolgerung
  • Es sind Systeme und Verfahren zur Bereitstellung einer Integration von mobilen Netzwerken mit sicherheitsbasierten VPNs offenbart. Die Ausführungsformen der Erfindung schaffen Vorteile gegenüber früheren Systemen. Zum Beispiel sind die Systeme und Verfahren der vorliegenden Erfindung beim Unterstützen der Schaffung von Sicherheitsverbindungen, welche die ständige Netzwerkadresse eines mobilen Knotens verwenden, leistungsfähiger als frühere Systeme, da es nicht erforderlich ist, Sicherheitsverbindungen neu einzugeben, wenn der mobile Knoten von einem Teilnetz zu einem anderen wechselt. Des Weiteren können die Systeme und Verfahren mit geringen oder gar keinen Änderungen auf bestehenden Sicherheitsmechanismen und mobilen IP-Standards verwendet werden. Daher kann ein Benutzer die Vorteile der vorliegenden Erfindung in Anspruch nehmen, ohne Hauptkomponenten des Netzwerksystems aufrüsten zu müssen.
  • Obwohl hierin bestimmte Ausführungsformen abgebildet und beschrieben worden sind, werden Durchschnittsfachleute verstehen, daß jede Anordnung, die dafür ausgelegt ist, denselben Zweck zu erzielen, die gezeigten speziellen Ausführungsformen ersetzen kann.
  • Diese Patentanmeldung ist dazu bestimmt, jegliche Anpassungen oder Abänderungen der vorliegenden Erfindung einzuschließen.
  • Die in dieser Patentanmeldung verwendete Terminologie ist dafür vorgesehen, alle diese Umgebungen einzuschließen. Es versteht sich, daß die obige Beschreibung als Beispiel, jedoch nicht als Einschränkung, dienen soll. Für Fachleute werden beim Durchlesen der obigen Beschreibung viele andere Ausführungsformen offensichtlich sein. Es ist daher ausdrücklich beabsichtigt, daß diese Erfindung nur durch die folgenden Ansprüche und deren Entsprechungen begrenzt ist.
  • Zusammenfassung
  • Systeme und Verfahren, die einen sicheren Netzwerkpfad durch ein Paar aus einer inneren und einer äußeren Firewall zwischen einem mobilen Knoten in einem Fremdnetzwerk und einem korrespondierenden Knoten in einem Heimnetzwerk bereitstellen. Ein Aspekt der Systeme und Verfahren umfaßt die Bereitstellung eines mobilen IP-Proxy zwischen dem mobilen Knoten und einem VPN-Übergang innerhalb der Firewalls. Der mobile IP-Proxy dient als stellvertretender Heimagent für den mobilen Knoten sowie als stellvertretender mobiler Knoten für einen Heimagenten, der im Heimnetzwerk angeordnet ist.

Claims (30)

  1. Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen Netzwerkknoten, das Verfahren, wobei das Verfahren umfaßt: Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt; Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten; Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.
  2. Verfahren nach Anspruch 1, das ferner das Senden eines vom Heimagenten empfangenen Heimagent-Antwortcodes zum mobilen Knoten umfaßt.
  3. Verfahren nach Anspruch 1, wobei das Verarbeiten der Netzwerkdaten, die vom Heimagenten empfangen worden sind, das Senden der Netzwerkdaten zu einem virtuellen privaten Netzwerk(VPN)-Übergang zum Einkapseln in eine Sicherheitsschicht umfaßt.
  4. Verfahren nach Anspruch 3, wobei das Einkapseln in eine Sicherheitsschicht das Einkapseln in eine IP-Sicherheitsschicht (IPSec) und das Verwenden der ständigen Netzwerkadresse für den mobilen Knoten als eine Quell- oder Zieladresse umfaßt.
  5. Verfahren nach Anspruch 3, das ferner umfaßt: das Empfangen von Netzwerkdaten, die an den mobilen Knoten adressiert sind, vom VPN-Übergang; und das Senden der Netzwerkdaten zum mobilen Knoten.
  6. Verfahren zum sicheren Kommunizieren zwischen Knoten in einem Netzwerk, wobei das Verfahren umfaßt: Einrichten eines Netzwerkdatentunnels zwischen einem mobilen Knoten und einem mobilen IP-Proxy; Einrichten einer ersten Sicherheitsverbindung zwischen dem mobilen Knoten und einem VPN-Übergang unter Verwendung einer ständigen Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist; Einrichten einer zweiten Sicherheitsverbindung zwischen einem Heimagenten und dem VPN-Übergang; und Verwenden einer mobilen IP-Proxy-IP-Adresse als Care-of-Adresse für den VPN-Übergang durch einen Heimagenten.
  7. Verfahren nach Anspruch 6, das ferner umfaßt: das Empfangen eines Datenpakets vom korrespondierenden Knoten durch den Heimagenten; das Routen des Datenpakets zum MIP-Proxy; das Routen des Datenpakets durch den MIP-Proxy zum VPN-Übergang; d as Einkapseln des Datenpakets in eine Sicherheitsschicht durch den VPN-Übergang; das Empfangen der eingekapselten Daten vom VPN-Übergang durch den MIP-Proxy; und das Routen der eingekapselten Daten vom MIP-Proxy zum mobilen Knoten.
  8. Verfahren nach Anspruch 6, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
  9. Verfahren für einen Heimagent zum sicheren Routen von Daten zwischen Knoten in einem Netzwerk, wobei das Verfahren umfaßt: Empfangen einer Anmeldeabfrage, die eine ständige Netzwerkadresse, die mit einem mobilen Knoten verknüpft ist, und eine Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, angibt, von einem MIP-Proxy; Einrichten einer Sicherheitsverbindung zwischen dem Heimagenten und einem VPN-Übergang; und Einrichten einer Verknüpfung, welche die Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, als Care-of-Adresse für den VPN-Übergang kennzeichnet.
  10. Verfahren nach Anspruch 9, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
  11. Verfahren nach Anspruch 9, des Weiteren umfassend das Tunneln von Daten in einer mobilen IP-Schicht.
  12. Computergestütztes System, das umfaßt: einen ersten Heimagenten; und einen MIP-Proxy, der so ausgebildet ist, daß er die Aufgaben: Nachbilden eines zweiten Heimagenten für den mobilen Knoten, Nachbilden des mobilen Knotens für den ersten Heimagenten, ausführen kann.
  13. Computergestütztes System nach Anspruch 12, das ferner einen virtuellen privaten Netzwerkübergang umfaßt.
  14. Computergestütztes System nach Anspruch 13, wobei mindestens ein Abschnitt des MIP-Proxy und des VPN-Übergangs in einer einzelnen Einheit zusammengeschlossen sind.
  15. Computergestütztes System nach Anspruch 14, wobei der MIP-Proxy ein Heimagentenmodul und ein mobiles Knotenmodul umfaßt.
  16. Computergestütztes System nach Anspruch 15, das ferner einen Router in einem Netzwerk umfaßt, und wobei der VPN-Übergang ein mobiles Knotenmodul aufweist, und wobei der Router ein Heimagentenmodul aufweist.
  17. Computergestütztes System nach Anspruch 12, das ferner einen Router in einem Netzwerk umfaßt, und wobei der MIP-Proxy ein Heimagentenmodul, ein mobiles Knotenmodul und ein Fremdagentenmodul aufweist, und wobei der Router des Weiteren das Heimagentenmodul aufweist, und der MIP-Proxy das mobile Knotenmodul und das Fremdknotenmodul aufweist.
  18. Computergestütztes System nach Anspruch 12, wobei der MIP-Proxy so betrieben werden kann, daß er über eine Mehrzahl von Teilnetzen kommuniziert.
  19. Computergestütztes System nach Anspruch 12, wobei der MIP-Proxy in einer DMZ angeordnet ist, die durch mindestens zwei Firewallsysteme gebildet ist.
  20. Maschinenlesbares Medium, das durch Maschinen ausführbare Befehle aufweist, um ein Verfahren zum Bereitstellen eines sicheren Netzwerkpfades zwischen Knoten in einem Netzwerk auszuführen, das Verfahren umfassend: das Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt; das Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten; das Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und das Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.
  21. Maschinenlesbares Medium nach Anspruch 20, das ferner das Senden eines vom Heimagenten empfangenen Heimagenten-Antwortcodes zum mobilen Knoten umfaßt.
  22. Maschinenlesbares Medium nach Anspruch 20, wobei das Verarbeiten der Netzwerkdaten, die vom Heimagenten empfangen worden sind, das Senden der Netzwerkdaten zu einem virtuellen privaten Netzwerk(VPN)-Übergang zum Einkapseln in eine Sicherheitsschicht umfaßt.
  23. Maschinenlesbares Medium nach Anspruch 22, wobei das Einkapseln in eine Sicherheitsschicht das Einkapseln in eine IP-Sicherheitsschicht (IPSec) und das Verwenden der ständigen Netzwerkadresse für den mobilen Knoten als eine Quell- oder Zieladresse umfaßt.
  24. Maschinenlesbares Medium nach Anspruch 22, das ferner umfaßt: das Empfangen von Netzwerkdaten, die an den mobilen Knoten adressiert sind, vom VPN-Übergang; und das Senden der Netzwerkdaten zum mobilen Knoten.
  25. Maschinenlesbares Medium, das für Maschinen ausführbare Befehle zum Ausführen eines Verfahrens zum sicheren Kommunizieren zwischen Knoten in einem Netzwerk aufweist, das Verfahren umfassend: das Einrichten eines Netzwerkdatentunnels zwischen einem mobilen Knoten und einem mobilen IP-Proxy; das Einrichten einer ersten Sicherheitsverbindung zwischen dem mobilen Knoten und einem VPN-Übergang unter Verwendung einer ständigen Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist; das Einrichten einer zweiten Sicherheitsverbindung zwischen einem Heimagenten und dem VPN-Übergang; und das Verwenden einer mobilen IP-Proxy-IP-Adresse als Care-of-Adresse für den VPN-Übergang durch einen Heimagenten.
  26. Maschinenlesbares Medium nach Anspruch 25, das ferner umfaßt: das Empfangen eines Datenpakets vom korrespondierenden Knoten durch den Heimagenten; das Routen des Datenpakets zum MIP-Proxy; das Routen des Datenpakets durch den MIP-Proxy zum VPN-Übergang; das Einkapseln des Datenpakets in eine Sicherheitsschicht durch den VPN-Übergang; das Empfangen der eingekapselten Daten vom VPN-Übergang durch den MIP-Proxy; und das Routen der eingekapselten Daten vom MIP-Proxy zum mobilen Knoten.
  27. Maschinenlesbares Medium nach Anspruch 25, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
  28. Maschinenlesbares Medium, das für Maschinen ausführbare Befehle zum Ausführen eines Verfahrens für einen Heimagenten zum sicheren Routen von Daten von einem korrespondierenden Knoten zu einem mobilen Knoten, das Verfahren umfassend: das Empfangen einer Anmeldeabfrage, die eine ständige Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist, und eine Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, angibt, von einem MIP-Proxy; das Einrichten einer Sicherheitsverbindung zwischen dem Heimagenten und einem VPN-Übergang; und das Einrichten einer Verknüpfung, welche die Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, als Care-of-Adresse für den VPN-Übergang kennzeichnet.
  29. Maschinenlesbares Medium nach Anspruch 28, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
  30. Maschinenlesbares Medium nach Anspruch 28, das ferner das Tunneln der Daten in eine mobile IP-Schicht umfaßt.
DE10393628T 2002-12-19 2003-12-19 System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) Expired - Fee Related DE10393628B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/325,657 2002-12-19
US10/325,657 US7616597B2 (en) 2002-12-19 2002-12-19 System and method for integrating mobile networking with security-based VPNs
PCT/US2003/040960 WO2004057822A2 (en) 2002-12-19 2003-12-19 System and method for integrating mobile ip with virtual private networks (vpn)

Publications (2)

Publication Number Publication Date
DE10393628T5 true DE10393628T5 (de) 2005-08-25
DE10393628B4 DE10393628B4 (de) 2012-01-26

Family

ID=32593843

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10393628T Expired - Fee Related DE10393628B4 (de) 2002-12-19 2003-12-19 System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)

Country Status (8)

Country Link
US (2) US7616597B2 (de)
JP (1) JP4087848B2 (de)
KR (1) KR100814988B1 (de)
AU (1) AU2003300268A1 (de)
DE (1) DE10393628B4 (de)
GB (1) GB2411092B (de)
HK (1) HK1075148A1 (de)
WO (1) WO2004057822A2 (de)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6217847B1 (en) * 1994-07-01 2001-04-17 The Board Of Trustees Of The Leland Stanford Junior University Non-invasive localization of a light-emitting conjugate in a mammal
US7623497B2 (en) * 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
FR2861934B1 (fr) * 2003-10-30 2006-01-27 Wavecom Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication.
JP2007518349A (ja) * 2004-01-15 2007-07-05 インタラクティブ ピープル アンプラグド アクチボラグ モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置
CN1938991B (zh) * 2004-03-31 2014-06-25 Lg电子株式会社 能够经网络与其他电子设备通信的电子设备中的分组处理方法和装置
EP1650924B1 (de) * 2004-09-30 2007-03-21 Alcatel Mobile Authentifizierung für den Netzwerkzugang
US20060130136A1 (en) * 2004-12-01 2006-06-15 Vijay Devarapalli Method and system for providing wireless data network interworking
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
WO2006071055A1 (en) * 2004-12-28 2006-07-06 Samsung Electronics Co., Ltd. A system and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network
KR101165825B1 (ko) * 2005-01-07 2012-07-17 알까뗄 루슨트 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치
US20060230445A1 (en) * 2005-04-06 2006-10-12 Shun-Chao Huang Mobile VPN proxy method based on session initiation protocol
US7583662B1 (en) * 2005-04-12 2009-09-01 Tp Lab, Inc. Voice virtual private network
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US7809386B2 (en) * 2005-06-29 2010-10-05 Nokia Corporation Local network proxy for a remotely connected mobile device operating in reduced power mode
US7808970B2 (en) * 2005-06-30 2010-10-05 Motorola, Inc. Method of dynamically assigning mobility configuration parameters for mobile entities
KR100799575B1 (ko) * 2005-12-07 2008-01-30 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
EP1966970B1 (de) * 2005-12-26 2017-06-14 Panasonic Intellectual Property Corporation of America Bewegliches netzwerks-bediengerät und bewegliches informations-bediengerät zur kontrolle von zugriffsanfragen
US7693059B2 (en) * 2006-01-30 2010-04-06 International Business Machines Corporation Advanced VPN routing
US7899964B2 (en) * 2006-07-13 2011-03-01 Samsung Electronics Co., Ltd. Method and system for providing universal plug and play resource surrogates
US8561155B2 (en) 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
KR100922939B1 (ko) 2006-08-22 2009-10-22 삼성전자주식회사 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
US8130771B2 (en) * 2006-10-10 2012-03-06 Alcatel Lucent Packet-forwarding for proxy mobile IP
DK1912413T3 (da) 2006-10-13 2010-05-25 Quipa Holdings Ltd Fremgangsmåde til at etablere et sikkert virtuelt privat netværk som udnytter peer-to-peer-kommunikation
US20080115202A1 (en) * 2006-11-09 2008-05-15 Mckay Michael S Method for bidirectional communication in a firewalled environment
US8406237B2 (en) * 2006-11-17 2013-03-26 Qualcomm Incorporated Methods and apparatus for implementing proxy mobile IP in foreign agent care-of address mode
JPWO2008078632A1 (ja) * 2006-12-26 2010-04-22 パナソニック株式会社 通信方法、通信システム、ホームエージェント及びモバイルノード
JP5059872B2 (ja) * 2006-12-28 2012-10-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルipプロキシ
WO2008145174A1 (en) * 2007-05-25 2008-12-04 Telefonaktiebolaget Lm Ericsson (Publ) Route optimisation for proxy mobile ip
CN101355425A (zh) * 2007-07-24 2009-01-28 华为技术有限公司 组密钥管理中实现新组员注册的方法、装置及系统
US8411866B2 (en) * 2007-11-14 2013-04-02 Cisco Technology, Inc. Distribution of group cryptography material in a mobile IP environment
US8090877B2 (en) 2008-01-26 2012-01-03 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
US8385300B2 (en) * 2008-10-03 2013-02-26 Cisco Technology, Inc. Internet protocol address management for communicating packets in a network environment
US8385332B2 (en) * 2009-01-12 2013-02-26 Juniper Networks, Inc. Network-based macro mobility in cellular networks using an extended routing protocol
US8411691B2 (en) * 2009-01-12 2013-04-02 Juniper Networks, Inc. Transfer of mobile subscriber context in cellular networks using extended routing protocol
US20110085552A1 (en) * 2009-10-14 2011-04-14 Electronics And Telecommunications Research Institute System and method for forming virtual private network
AT11799U1 (de) * 2009-12-15 2011-05-15 Plansee Se Formteil
US8549617B2 (en) * 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8464336B2 (en) 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US8473734B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. Multi-service VPN network client for mobile device having dynamic failover
US8474035B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. VPN network client for mobile device having dynamically constructed display for native access to web mail
US8458787B2 (en) 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
CN103392320B (zh) 2010-12-29 2016-08-31 思杰系统有限公司 对加密项目进行多层标记以提供额外的安全和有效的加密项目确定的系统和方法
US9021578B1 (en) * 2011-09-13 2015-04-28 Symantec Corporation Systems and methods for securing internet access on restricted mobile platforms
TW201409986A (zh) * 2012-06-04 2014-03-01 Interdigital Patent Holdings 在非核心閘道執行區域選擇ip訊務卸載及區域ip存取合法截取
DE102013017789A1 (de) 2013-10-25 2015-04-30 LowoTec GmbH System für eine abgesicherte LAN-über-WAN-Übertragung
US10397275B2 (en) * 2015-08-28 2019-08-27 Nicira, Inc. Creating and using remote device management attribute rule data store
CA3034445A1 (en) * 2016-10-12 2018-04-19 Mohammed Hamad AL HAJRI Surrogate cellularless roaming
US10491567B2 (en) * 2017-03-17 2019-11-26 Verizon Patent And Licensing Inc. Dynamic firewall configuration based on proxy container deployment
KR102492489B1 (ko) 2020-09-18 2023-01-30 주식회사 애그유니 체계적 생장환경 조성을 위한 식물재배시스템

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3662080B2 (ja) 1996-08-29 2005-06-22 Kddi株式会社 ファイアウォール動的制御方法
US6137791A (en) * 1997-03-25 2000-10-24 Ericsson Telefon Ab L M Communicating packet data with a mobile station roaming within an incompatible mobile network
US5852630A (en) * 1997-07-17 1998-12-22 Globespan Semiconductor, Inc. Method and apparatus for a RADSL transceiver warm start activation procedure with precoding
EP0924913A1 (de) * 1997-12-19 1999-06-23 Siemens Aktiengesellschaft Verfahren zur Unterstützung von Mobilität im Internet
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
FI20000574A (fi) * 2000-03-13 2001-09-14 Nokia Mobile Phones Ltd Kuorman tasaus IP-liikkuvuutta tukevassa tietoliikennejärjestelmässä
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US20030224788A1 (en) * 2002-03-05 2003-12-04 Cisco Technology, Inc. Mobile IP roaming between internal and external networks
US7269173B2 (en) * 2002-06-26 2007-09-11 Intel Corporation Roaming in a communications network
WO2004028053A1 (en) * 2002-09-18 2004-04-01 Flarion Technologies, Inc. Methods and apparatus for using a care of address option
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US6978317B2 (en) * 2003-12-24 2005-12-20 Motorola, Inc. Method and apparatus for a mobile device to address a private home agent having a public address and a private address

Also Published As

Publication number Publication date
WO2004057822A3 (en) 2004-09-10
KR20050085834A (ko) 2005-08-29
US20040120295A1 (en) 2004-06-24
JP2006511169A (ja) 2006-03-30
KR100814988B1 (ko) 2008-03-18
GB2411092A (en) 2005-08-17
GB2411092B (en) 2007-01-10
DE10393628B4 (de) 2012-01-26
JP4087848B2 (ja) 2008-05-21
US7616597B2 (en) 2009-11-10
AU2003300268A8 (en) 2004-07-14
WO2004057822A2 (en) 2004-07-08
HK1075148A1 (en) 2005-12-02
AU2003300268A1 (en) 2004-07-14
GB0509950D0 (en) 2005-06-22
US20100122337A1 (en) 2010-05-13

Similar Documents

Publication Publication Date Title
DE10393628B4 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE602004007303T2 (de) Identifizierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE69925732T2 (de) Mobiltelefon mit eingebauter Sicherheitsfirmware
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60028897T2 (de) Verfahren und Vorrichtung zur Umschaltung zwischen zwei Netzwerkzugangstechnologien ohne Unterbrechung der aktiven Netzwerkanwendungen
DE60026373T2 (de) Vermeidung der identitätsverfälschung in fernmeldesystemen
EP1602214B1 (de) Verfahren, system und speichermedium um kompatibilität zwischen IPsec und dynamischem routing herzustellen
EP1761082B1 (de) Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten
DE60121755T2 (de) Ipsec-verarbeitung
DE10052312A1 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE10052311A1 (de) Manuelles Verhindern des unerlaubten Mithörens in einem virtuellen privaten Netzwerk über das Internet
DE102022208744A1 (de) Sicherer fernzugriff auf geräte in sich überlappenden subnetzen
DE60211287T2 (de) Handhabung von Verbindungen, die zwischen Firewalls umziehen
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE60304085T2 (de) Vorrichtungen und Computersoftware zur Bereitstellung nahtloser IP-Mobilität über Sicherheitsgrenzen hinweg
DE10119447A1 (de) Verfahren zum Vermitteln von Daten zwischen einem lokalen Netzwerk und einem externen Gerät und Router dafür
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
DE102004047692A1 (de) Kommunikationssystem und Verfahren zur Bereitstellung eines mobilen Kommunikationsdienstes

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law

Ref document number: 10393628

Country of ref document: DE

Date of ref document: 20050825

Kind code of ref document: P

R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20120427

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee