DE10393628T5 - System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) - Google Patents
System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) Download PDFInfo
- Publication number
- DE10393628T5 DE10393628T5 DE10393628T DE10393628T DE10393628T5 DE 10393628 T5 DE10393628 T5 DE 10393628T5 DE 10393628 T DE10393628 T DE 10393628T DE 10393628 T DE10393628 T DE 10393628T DE 10393628 T5 DE10393628 T5 DE 10393628T5
- Authority
- DE
- Germany
- Prior art keywords
- mobile node
- network
- home agent
- vpn
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
- H04W88/182—Network node acting on behalf of an other network entity, e.g. proxy
Abstract
Verfahren
zur Bereitstellung eines sicheren Netzwerkpfades zwischen Netzwerkknoten,
das Verfahren, wobei das Verfahren umfaßt:
Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt;
Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten;
Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und
Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.
Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt;
Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten;
Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und
Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.
Description
- GEBIET DER ERFINDUNG
- Die vorliegende Erfindung betrifft im Allgemeinen computergestützte Systeme und Verfahren zur Bereitstellung mobiler Vernetzung, und im Besonderen das Integrieren mobiler Vernetzung mit Sicherheitsmechanismen zum Routen von Netzwerkdaten zwischen einem mobilen Knoten und einem korrespondierenden Knoten.
- URHEBERRECHTSVERMERK/GENEHMIGUNG
- Ein Abschnitt der Offenbarung dieser Patenturkunde enthält Material, das urheberrechtlich geschützt ist. Der Urheberrechtsinhaber hat keinen Einwand gegen den Abdruck/die Vervielfältigung der Patenturkunde oder der Patentoffenbarung, so wie sie in den Akten oder Aufzeichnungen des Patent- und Markenamtes aufscheinen, durch beliebige Personen, behält sich im Übrigen jedoch sämtliche Urheberrechte vor. Der folgende Vermerk gilt für im Folgenden und in den Zeichnungen hierzu beschriebene Software und Daten: Copyright 2002, Intel Corporation. Alle Rechte vorbehalten.
- ALLGEMEINER STAND DER TECHNIK
- Die Verwendung drahtloser Vernetzung wächst weiterhin sehr rasch. Drahtlose Netzwerke sind aus einer Anzahl von Gründen attraktiv. Sie sind praktisch, sie ermöglichen Flexibilität und Bereichswechsel, und sie können dynamische Umgebungen unterstützen. Des Weiteren sind sie im Vergleich zu ihren verdrahteten Gegenstücken relativ einfach zu installieren. In einigen Fällen, zum Beispiel in älteren Gebäuden, könnten sie billiger einzusetzen sein. Da keine Leitungsverlegung oder Neuverdrahtung erforderlich ist, kann ein gesamtes Netzwerk binnen weniger Stunden anstatt einigen Tagen zusammengesetzt werden. In vielen Fällen können die Eigentumskosten für drahtlose Netzwerke niedriger sein, als die ihrer verdrahteten Gegenstücke, obwohl verdrahtete LAN-Karten billiger sind.
- Ein weiterer Trend in der Computerwissenschaft ist die zunehmende Verwendung von Sicherheitsmechanismen zur Verhinderung unberechtigter oder böswilliger Verwendung persönlicher und betrieblicher Computerbetriebsmittel. Zum Beispiel haben viele Unternehmen und Einzelpersonen „Firewalls" installiert, um Systeme innerhalb der Firewall vor unberechtigtem Zugriff zu schützen. Wie im Fach bekannt ist, können Firewalls sowohl als Hardware als auch durch Software, oder durch eine Kombination der beiden, ausgeführt sein. Firewalls werden häufig verwendet, um unberechtigte Internetbenutzer daran zu hindern, auf private Netzwerke, die mit dem Internet verbunden sind, insbesondere auf Intranets, zuzugreifen. Alle Nachrichten, die in das Intranet gelangen oder dieses verlassen, passieren üblicherweise die Firewall, die jede Nachricht überprüft und jene blockiert, die nicht den spezifizierten Sicherheitskriterien entsprechen.
- Obwohl Firewalls hilfreiche Werkzeuge zur Erhöhung der Netzwerksicherheit darstellen, schaffen sie Probleme für drahtlose Benutzer außerhalb der Firewall, die berechtigten Bedarf haben, auf Systeme innerhalb der Firewall zuzugreifen. Sicherheitssysteme, die durch Firewalls verwirklicht sind, verwenden oftmals IP-Adressen und verlassen sich auf IPSec, um zu bestimmen, ob ein Netzwerkdatenpaket durch die Firewall gelassen werden sollte. Unglücklicherweise kann sich die IP-Adresse eines mobilen Knoten im Fall von drahtlosen Systemen häufig ändern, da der Benutzer immer wieder von einem drahtlosen Netzwerk in ein anderes wechselt. Somit muss der Sicherheitsmechanismus, zum Beispiel IPSec, jedes Mal neu eingerichtet werden, wenn der Benutzer in ein neues Netzwerk wechselt. Das Wiedereinrichten von Sicherheitsmechanismen für eine Netzwerkverbindung kann aufwendig sein, sowohl hinsichtlich der CPU-Schleifen als auch der verstrichenen Zeit, die der Benutzer auf die Wiedereinrichtung einer neuen sicheren Verbindung warten muss.
- Angesichts der oben erwähnten Schwierigkeiten besteht im Fach ein Bedarf für die vorliegende Erfindung.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1A ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer beispielhaften Ausführungsform der Erfindung abbildet; -
1B ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer alternativen beispielhaften Ausführungsform der Erfindung abbildet; -
1 C ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer weiteren alternativen beispielhaften Ausführungsform der Erfindung abbildet; -
1D ist ein Blockdiagramme, das eine Übersicht auf Systemebene noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung abbildet; -
2A ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer beispielhaften Ausführungsform der Erfindung, wie sie in1A gezeigt ist, abbildet; -
2B ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer alternativen beispielhaften Ausführungsform der Erfindung, wie sie in1B gezeigt ist, abbildet; -
2C ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer weiteren alternativen beispielhaften Ausführungsform der Erfindung, wie sie in1 C gezeigt ist, abbildet; -
2D ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung, wie sie in1D gezeigt ist, abbildet; -
3 ist ein Flußdiagramm, das ein Verfahren zur Einrichtung gesicherter Netzwerkverbindungen für einen mobilen Knoten abbildet; und -
4A und4B sind Flußdiagramme, die ein Verfahren gemäß einer Ausführungsform der Erfindung zum Routen von Netzwerkpaketen zu einem mobilen Knoten durch eine Firewall gemäß einer Ausführungsform der Erfindung abbilden. - AUSFÜHRLICHE BESCHREIBUNG
- Die folgende ausführliche Beschreibung von beispielhaften Ausführungsformen der Erfindung nimmt Bezug auf die beiliegenden Zeichnungen, die einen Teil hiervon bilden, und in denen durch Abbildung bestimmter beispielhafter Ausführungsformen gezeigt ist, wie die Erfindung ausgeführt werden könnte. Diese Ausführungsformen sind ausreichend detailliert beschrieben, um Fachleuten zu ermöglichen, die Erfindung in die Praxis umzusetzen, und es versteht sich, daß andere Ausführungsformen verwendet werden können, und daß logische, mechanische, elektrische und andere Änderungen vorgenommen werden können, ohne den Umfang der vorliegenden Erfindung zu verlassen. Die folgende ausführliche Beschreibung ist daher nicht im eingrenzenden Sinne auszulegen.
- Überall in den Figuren ist dieselbe Bezugsziffer verwendet worden, um eine identische Komponente, die in mehreren Figuren erscheint, zu bezeichnen. Signale und Verbindungen können mit derselben Bezugsziffer oder derselben Aufschrift bezeichnet sein, wobei die tatsächliche Bedeutung aus ihrer Verwendung im Zusammenhang mit der Beschreibung ersichtlich ist. Des Weiteren ist dieselbe Grundbezugsziffer (zum Beispiel 120) in der Beschreibung und den Figuren verwendet, wenn auf das Verhalten oder auf die Eigenschaften einer Gruppe identischer Komponenten im Allgemeinen Bezug genommen wird. Ein numerisches Zeichen hinter einem Dezimalpunkt (zum Beispiel 120.1) ist verwendet, wenn eine bestimmte Komponente aus der Gruppe identischer Komponenten ein Verhalten zeigt oder eine Eigenschaft aufweist.
- Die ausführliche Beschreibung ist in mehrere Abschnitte aufgeteilt. Im ersten Abschnitt ist die Hardware- und Softwarebetriebsumgebung verschiedener Ausführungsformen der Erfindung beschrieben. Im zweiten Abschnitt sind Verfahren gemäß verschiedener Ausführungsformen der Erfindung beschrieben. Im letzten Abschnitt ist eine Schlußfolgerung bereitgestellt.
- Betriebsumgebung
-
1A ist ein Blockdiagramm einer Hard- und Softwarebetriebsumgebung100 , die verschiedene Ausführungsformen der Erfindung einschließt. Die Systeme und Verfahren der vorliegenden Erfindung können auf jedem Hardware- oder Softwaresystem bereitgestellt werden, das mobile Netzwerke unterstützt. Üblicherweise umfaßt eine solche Hardware Einzelplatzcomputer, Server-Computer, Großrechner, Laptop-Computer, tragbare Taschenrechner, persönliche digitale Assistenten (PDAs), im Netz betriebene Mobiltelefone und Kombinationen der oben genannten Vorrichtungen. In einigen Ausführungsformen der Erfindung weist die Betriebsumgebung100 einen korrespondierenden Knoten110 , einen Heimagenten112 , einen Sicherheitsübergang104 , einen mobilen IP-Proxy102 , einen Fremdagenten122 , einen mobilen Knoten120 , eine innere Firewall106 und eine äußere Firewall108 auf. Die Softwarekomponenten, die in der Betriebsumgebung laufen, werden üblicherweise von einem maschinenlesbaren Medium eingelesen, laufen unter der Steuerung eines Betriebssystems und sind mit dem Betriebssystem gekoppelt. Beispiele für solche maschinenlesbaren Medien umfassen Festplatten, Disketten, CD-ROMs, DVD-ROMs. Des Weiteren umfassen maschinenlesbare Medien verdrahtete und drahtlose Signale, die über ein Netzwerk übertragen werden. Beispiele für Betriebssysteme umfassen Windows® 95, Windows 98®, Windows Me®, Windows CE®, Windows® NT, Windows 2000® und Windows XP® von der Microsoft Corporation. Die vorliegende Erfindung ist jedoch nicht auf irgendein bestimmtes Betriebssystem eingeschränkt, und in alternativen Ausführungsformen können die Softwarekomponenten im Palm OS® von Palm Inc., in Varianten der UNIX- und Linux-Betriebssysteme und in Mobiltelefonbetriebssystemen laufen. - In einigen Ausführungsformen der Erfindung unterstützt die Betriebsumgebung
100 die Netzwerkkommunikation zwischen dem mobilen Knoten120 und einem korrespondierenden Knoten110 . Der mobile Knoten120 kann jede Art von Rechensystem sein, das verdrahtete und/oder drahtlose Netzwerkkommunikation unterstützt. Beispiele für solche Vorrichtungen umfassen Laptopcomputer, tragbare Computer, persönliche digitale Assistenten und im Netz betriebene Mobiltelefone. Die Erfindung ist nicht auf irgendeine bestimmte Rechenvorrichtung für den mobilen Knoten120 beschränkt. - Dem mobilen Knoten
120 ist üblicherweise ein Heimnetzwerk114 zugewiesen, und er weist eine ständige Heimnetzwerkadresse auf, die ihm zugewiesen ist. Das Heimnetzwerk114 kann irgendeine Art von Netzwerk sein; üblicherweise ist das Heimnetzwerk114 ein privates Netzwerk, wie zum Beispiel ein Firmennetzwerk oder ein Campus-Netzwerk. Die vorliegende Erfindung ist jedoch nicht auf irgendeine bestimmte Art von Heimnetzwerk114 beschränkt. Der korrespondierende Knoten110 kann irgendeine Art von am Netzwerk angehängter Vorrichtung sein, die Daten entweder vom mobilen Knoten120 empfängt oder an diesen sendet, zum Beispiel ein Server-Computer, ein Großrechner, ein Einzelplatzcomputer, ein Router, ein tragbarer Computer, ein Laptop, ein PDA, ein Mobiltelefon, etc. Die vorliegende Erfindung ist nicht auf irgendeine bestimmte Art von korrespondierendem Knoten110 beschränkt. - In einigen Ausführungsformen der Erfindung sind der Heimagent
112 und der Fremdagent122 Netzwerkknoten, die mobile Netzwerkkommunikation im Wesentlichen gemäß dem Übertragungsprotokoll nach den Standards RFC 2002, RFC 3220 und/oder RFC 3344 für mobile IP-Kommunikation, veröffentlicht im Oktober 1996, im Jänner 2002 beziehungsweise im August 2002 durch die Mobile IP Working Group der Internet Engineering Task Force (Internet-Entwickler-Einsatzgruppe = IETF). Der Heimagent112 dient als Router im Heimteilnetz des mobilen Knotens, indem er Datenverkehr zum mobilen Knoten120 leitet, wenn der mobile Knoten120 außerhalb seines Heimteilnetzes angeordnet ist, zum Beispiel wenn der mobile Knoten120 mit dem Fremdnetzwerk130 verbunden ist. Das Fremdnetzwerk130 kann irgendeine Art von verdrahtetem oder drahtlosem Netzwerk sein. In einigen Ausführungsformen umfaßt das Fremdnetzwerk130 das Internet. - Wenn der mobile Knoten
120.2 in ein neues Netzwerk130 wechselt, meldet sich der mobile Knoten120.2 in einigen Ausführungsformen der Erfindung beim Fremdagenten122 an. Der Fremdagent122 erteilt dem mobilen Knoten üblicherweise eine Care-of-Netzwerkadresse und leitet eine Abfrage vom mobilen Knoten weiter, die den Heimagenten über die Care-of-Adresse informiert. Der Heimagent kann die Abfrage anerkennen und sendet eine Bestätigung über den Fremdagenten zurück zum mobilen Knoten. Dann leitet der Heimagent Netzwerkpakete, die an den mobilen Knoten adressiert sind, durch den Fremdagenten122 an den mobilen Knoten im Fremdnetzwerk130 weiter. Nicht alle Fremdnetzwerke130 weisen einen Fremdagenten auf. In einigen Ausführungsformen der Erfindung kann der mobile Knoten120.1 als sein eigener Fremdagent funktionieren. In einigen Ausführungsformen verwendet der mobile Knoten120 DHCP (dynamisches Host-Konfigurationsprotokoll), um eine Care-of-Adresse zur Verwendung im Fremdnetzwerk130 zu erhalten. - Private Netzwerke, wie zum Beispiel Firmen- oder Campusnetzwerke, sind häufig abgesichert, um unberechtigten Zugriff auf Computer und Systeme im privaten Netzwerk zu verhindern. In einigen Ausführungsformen der Erfindung ist das Heimnetzwerk
114 durch eine innere Firewall106 und eine äußere Firewall108 abgesichert. Die Firewalls106 und108 untersuchen Datenpakete und Nachrichten, und blockieren all jene, die nicht den spezifi zierten Sicherheitskriterien entsprechen. Die inneren und äußeren Firewalls106 und108 bilden eine im Fach bekannte DMZ160 (demilitarized zone = entmilitarisierte Zone). Üblicherweise enthält eine DMZ Vorrichtungen, die für Internet-Datenverkehr, wie zum Beispiel Webserver (HTTP), FTP-Server, SMTP-Server (E-Mail) und DNS-Server, zugänglich sind. Obwohl die Verwendung von inneren und äußeren Firewalls zur Einrichtung einer DMZ aus Sicherheitsgründen wünschenswert ist, sind die Systeme und Verfahren der Erfindung auf Umgebungen mit nur einer Firewall oder ganz ohne Firewalls voll anwendbar. - In einigen Ausführungsformen der Erfindung enthält die DMZ
160 einen VPN (virtuelles privates Netzwerk)-Übergang104 und einen MIP (mobiles Internetprotokoll)-Proxy102 . Der VPN-Übergang104 ermöglicht die Einrichtung von VPNs zwischen Knoten in einem internen Netzwerk und Knoten in einem Fremdnetzwerk, wie zum Beispiel dem Fremdnetzwerk130 . Ein VPN ist eine sichere Netzwerkverknüpfung über eine öffentliche IP-Infrastruktur. Ein Beispiel eines VPN-Protokolls ist IP Security (IPSec). Die vorliegende Erfindung ist jedoch nicht auf ein bestimmtes VPN-Protokoll beschränkt. - Der MIP-Proxy
102 dient als Vermittler zwischen dem Heimagenten112 und dem Fremdagenten122 . In einigen Ausführungsformen der Erfindung dient der MIP-Proxy102 als stellvertretender Heimagent für einen mobilen Knoten120 sowie als stellvertretender mobiler Knoten für einen Heimagenten114 . In der beispielhaften Ausführungsform, die in1A abgebildet ist, läuft der MIP-Proxy102 nicht auf demselben Computer wie der VPN-Übergang104 . In diesen Ausführungsformen dient der MIP-Proxy102 als ein stellvertretender Fremdagent für den VPN-Übergang104 . -
1B stellt ein Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy102 auf derselben Hardware und Software wie der VPN-Übergang104 ausgeführt werden kann. In diesen Ausführungsformen weist der integrierte MIP-Proxy-/VPN-Übergangscomputer ein mobiles Knoten(MN)-Modul144 auf, das einen mobilen Knoten für den Heimagenten112 nachbildet, sowie ein Heimagenten(HA)-Modul142 , das einen Heimagenten für die mobilen Knoten120 (oder ersatzweise den Fremdagenten122 ) nachbildet. -
1C stellt ein Blockdiagramm einer alternativen Ausführungsform bereit, in der die Funktionsteile HA-Modul142 und MN/FA-Modul144 des MIP-Proxy102 auf verschiedenen Computern ausgeführt sein können: das HA-Modul142 könnte in einer WAN(=Fernbereichsnetzwerk)-Nebenzelle, zum Beispiel einem WAN-Router123 außerhalb der äußeren Firewallschicht108 , und das MN/FA-Modul144 in einer DMZ-Zelle146 innerhalb der äußeren Firewallschicht ausgeführt sein, wobei ein sicherer Paketdatentunnel bereitgestellt ist, der das HA-Modul142 durch die äußere Firewallschicht108 mit dem MN/FA-Modul144 verbindet, so daß das HA-Modul Pakete vom MN/FA-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete (Internetprotokoll Version 4) zur weiteren Verarbeitung an das MN/FA-Modul senden, und das MN/FA-Modul wird alle Pakete, die es vom VPN-Übergang erhält, zur weiteren Verarbeitung zu den HA-Modulen senden. Der sichere Paketdatentunnel kann in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein. -
1D stellt ein anderes Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in dem der MIP-Proxy102 auf verschiedenen Hardwarekomponenten ausgeführt sein kann. In diesen Ausführungsformen umfaßt der MIP-Proxy das HA-Modul142 und das MN-Modul144 , die auf verschiedenen Computern ausgeführt sind: In diesen Ausführungsformen kann das HA-Modul142 in einer WAN-Nebenzelle, zum Beispiel einem WAN-Router123 außerhalb der äußeren Firewallschicht108 , und das MN-Modul144 im VPN-Übergang ausgeführt sein, wobei ein sicherer und transparenter interner Tunnel bereitgestellt ist, der das HA-Modul durch die äußere Firewallschicht mit dem MN-Modul am VPN-Übergang verbindet, so daß das HA-Modul Pakete vom MN-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete zur weiteren Verarbeitung zum MN-Modul senden, und der VPN-Übergang wird alle verschlüsselten Pakete zur weiteren Verarbeitung zum HA-Modul senden. Der sichere Paketdatentunnel kann wiederum in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein. - Unter nochmaliger Bezugnahme auf
1A wird der Betrieb des oben beschriebenen Systems nun allgemein beschrieben, wobei weitere Einzelheiten zum Betrieb verschiedener Ausführungsformen der Erfindung im Verfahrensabschnitt weiter unten bereitgestellt sind. Wenn sich der mobile Knoten120 in einem Fremdnetzwerk anmeldet, meldet er sich in einigen Ausführungsformen beim MIP-Proxy102 an. Des Weiteren wird ein Datenverkehrnetzwerktunnel zwischen dem mobilen Knoten120 und dem MIP-Proxy102 eingerichtet. Der mobile Knoten120 schafft auch eine IPSec-SA (Sicherheitsverbindung) zwischen der ständigen Heimadresse des Knotens und dem VPN-Übergang104 . Die SA kann manuell geschaffen sein, oder sie kann unter Verwendung eines Schlüsselverwaltungsprotokolls, wie zum Beispiel IKE (Internet Key Exchange) geschaffen sein. Die SA wird dann vom mobilen Knoten für alle Netzwerkdaten angewendet, die an einen Knoten innerhalb des Heimnetzwerks114 , wie zum Beispiel dem korrespondierenden Knoten110 , adressiert sind. Dies kann erreicht werden, indem vor der mobilen IP-Einkapselung durch den mobilen Knoten eine IPSec-SA-Einkapselung angewendet wird. - In alternativen Ausführungsformen der Erfindung meldet sich der mobile Knoten
120 an einem Fremdagenten122 an, wobei er MIP-Proxy102 als Heimagenten angibt. Der Fremdagent122 ist dann so mit dem MIP-Proxy102 gekoppelt, als ob der MIP-Proxy der tatsächliche Heimagent für den mobilen Knoten120 wäre. - Nach dem Empfangen einer Anmeldeabfrage vom mobilen Knoten
120 sendet der MIP-Proxy102 in einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy102 getrennt vom VPN-Übergang104 angeordnet ist, eine Anmeldeabfrage im Auftrag des mobilen Knotens120 , die den MIP-Proxy als Care-of-Adresse für den mobilen Knoten120 angibt. Zusätzlich dazu beginnt der MIP-Proxy102 damit, Pakete abzufangen, die an die ständige Heimnetzwerkadresse des mobilen Knoten adressiert sind, und tunnelt die Pakete zur Care-of-Adresse des Fremdagenten des mobilen Knotens weiter (man beachte, daß der mobile Knoten als sein eigener Fremdagent funktionieren kann). - Nach dem Empfangen der Anmeldeabfrage, fixiert der Heimagent
112 die MIP-Proxy-Adresse als Care-of-Adresse des mobilen Knotens120 . In einigen Ausführungsformen, in denen der MIP-Proxy102 getrennt vom VPN-Übergang104 angeordnet ist, sendet der MIP-Proxy eine einmalige und getrennte Erstanmeldung im Auftrag des VPN-Übergangs102 zum Heimagenten112 , die eine Adresse des MIP-Proxy102 als Care-of-Adresse für den VPN-Übergang104 kennzeichnet. Nach dem Empfangen der Anmeldeabfrage vom MIP-Proxy102 , fixiert der Heimagent114 die MIP-Proxy-Adresse als die Care-of-Adresse für den VPN-Übergang104 . Darüber hinaus richtet der Heimagent112 eine IPSec-SA mit dem VPN-Übergang104 ein, und wendet die SA auf alle Netzwerkpakete an, die er von korrespondierenden Knoten im Heimnetzwerk114 abfängt und die an die ständige Heimnetzwerkadresse des mobilen Knotens120 adressiert sind. In einigen Ausführungsformen wird die IPSec-SA-Einkapselung vor jeglicher mobilen IP-Einkapselung, die verwendet wird, angewendet. -
2A stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einigen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy ein vom VPN-Übergang104 getrenntes Computersystem ist. In einigen Ausführungsformen weist jeder der Hauptknoten, wie zum Beispiel der mobile Knoten120 , der MIP-Proxy102 , der VPN-Übergang104 und der Heimagent112 , einen Network Stack220 ,202 ,204 beziehungsweise212 auf. Die Network Stack umfassen üblicherweise einen TCP/IP-Network Stack230 . Der TCP/IP-Network Stack230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale" IP-Unterschicht232 , eine Sicherheitsunterschicht234 und eine mobile IP-Unterschicht236 . In einigen Ausführungsformen der Erfindung ist die Sicherheitsschicht234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Die Verbindungen240 ,242 ,244 und248 zeigen die Datenkommunikation zwischen den verschiedenen Netzwerkschichten. -
2B stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der der MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten120 , MIP-Proxy + VPN-Übergang104 und der Heimagent112 weisen einen Network Stack220 ,204 beziehungsweise212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack230 . Der TCP/IP-Network Stack230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale" IP-Unterschicht232 , eine Sicherheitsunterschicht234 und eine mobile IP-Unterschicht236 . In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. -
2C stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in Ausführungsformen der Erfindung bereit, in denen das MN/FA-Modul des MIP-Proxy in einem vom VPN-Übergang getrennten Computersystem in einer DMZ angeordnet ist, und in denen das HA-Modul gemeinsam in einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten120 , der WAN-Router123 , der VPN-Übergang104 , der MIP-Proxy+FA/MN102 und der Heimagent112 , weist einen Network Stack220 ,223 ,204 ,202 beziehungsweise212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack230 . Der TCP/IP Network Stack230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale" IP-Unterschicht232 , eine Sicherheitsunterschicht234 und eine mobile IP-Unterschicht236 . In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung250 dargestellt. Wie oben erwähnt und durch das Einklammern in2C abgebildet, kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist. -
2D stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der das MN-Modul des MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist, und das HA-Modul des MIP-Proxy gemeinsam mit einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten120 , der WAN-Router123 , MIP+VPN-Übergang104 und der Heimagent112 , weist einen Network Stack220 ,223 ,204 beziehungsweise212 auf. Dieser Network Stack umfaßt üblicherweise einen TCP/IP-Network Stack230 . Der TCP/IP-Network Stack230 kann des Weiteren in Unterschichten unterteilt sein; nämlich in eine „normale" IP-Unterschicht232 , eine Sicherheitsunterschicht234 und eine mobile IP-Unterschicht236 . In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung250 dargestellt. Wiederum kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist. - Die Kommunikation zwischen den Schichten in einigen Ausführungsformen der Erfindung ist durch die Datenpfade
240 ,242 ,244 und248 gezeigt. Zum Beispiel kommuniziert die IPSec-Unterschicht des Heimagenten212 mit der IPSec-Schicht des VPN-Übergangs204 über den Pfad244 , wenn der MIP-Proxy und der VPN-Übergang getrennt angeordnet sind. Diese Kommunikation kann auch nicht direkt sein. Beispielsweise sind die IPSec-Unterschichtdaten in jenen Ausführungsformen der Erfindung, in denen der MIP-Proxy102 getrennt vom VPN-Übergang104 angeordnet ist, in einer mobilen IP-Unterschicht eingekapselt. Die Kommunikation der mobilen IP-Unterschicht ist durch den Datenpfad240 abgebildet. Ebenso weist ein mobiler Knoten220 einen sicheren Kommunikationspfad 248 zum VPN-Übergang204 auf. Die Sicherheitsschichtdaten sind jedoch durch eine mobile IP-Schicht eingekapselt, die in einigen Ausführungsformen der Erfindung über den Datenpfad242 durch den MIP-Proxy202 geroutet ist. - Dieser Abschnitt hat die verschiedenen logischen Module in einem System beschrieben, das eine Integration mobiler IP-Netzwerke mit sicherheitsbasierten VPNs bereitstellt. Wie Fachleute erkennen werden, kann die Software zur Ausführung der Module in irgendeiner aus einer Anzahl von Programmiersprachen, die im Fach bekannt sind, geschrieben sein, einschließlich, aber nicht beschränkt auf, C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche Programmiersprachen. Die Erfindung ist nicht auf irgendeine bestimmte Programmiersprache zu ihrer Ausführung beschränkt.
- Verfahren einer beispielhaften Ausführungsform der Erfindung
- Ein vorigen Abschnitt ist eine Übersicht auf Systemebene des Betriebs einer beispielhaften Ausführungsform der Erfindung beschrieben worden. In diesem Abschnitt sind die einzelnen Verfahren der Erfindung, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform abarbeitet, ausführt, unter Bezugnahme auf eine Reihe von Flußdiagrammen, die in
3 –4 gezeigt sind, beschrieben. Die Verfahren, die von der Betriebsumgebung auszuführen sind, stellen Computerprogramme dar, die aus für Maschinen ausführbaren Befehlen aufgebaut sind. Die Beschreibung der Verfahren unter Bezugnahme auf ein Floßdiagramm ermöglicht Fachleuten, solche Programme, die solche Befehle umfassen, zu entwickeln, um die Verfahren auf geeigneten Computern auszuführen (wobei der Prozessor des Computers die Befehle von maschinenlesbaren Medien abarbeitet). Die Verfahren, die in3 –4 abgebildet sind, umfassen die Aktionen, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform der Erfindung abarbeitet, ausführt. -
3 ist ein Flußdiagramm, das ein Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen einem mobilen Knoten und einem korrespondierenden Knoten bereitstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel MIP-Proxy102 , welches das Verfahren ausführt, eine Anmeldeabfrage vom mobilen Knoten erhält (Block305 ). Üblicherweise weist die Abfrage eine ständige Netzwerkadresse für den mobilen Knoten auf. Der MIP-Proxy verknüpft die ständige Heimadresse des mobilen Knoten mit der aktuellen Care-of-Adresse des mobilen Knoten in einer Mobilitätsverknüpfungsliste. Zusätzlich kann der MIP-Proxy die Verknüpfung mit einem Heimagenten verbinden. - Als nächstes gibt ein System, welches das Verfahren ausführt, eine zweite Anmeldeabfrage an einen Heimagenten in einem Heimnetzwerk für den mobilen Knoten aus (Block
310 ). Üblicherweise weist die zweite Abfrage die ständige Adresse des mobilen Knotens und eine Proxy-Adresse des MIP-Proxy102 auf. Der Heimagent verknüpft die ständige Heimadresse des mobilen Knoten mit einer der Adressen des MIP-Proxy in der Mobilitätsverknüpfungsliste des Heimagenten. - In einigen Ausführungsformen der Erfindung kopiert das System, welches das Verfahren ausführt, einen Antwortcode, den es vom Heimagenten empfangen hat, in eine Antwortmitteilung, die vom System, welches das Verfahren ausführt, zum mobilen Knoten gesendet wird (Block
315 ). Der Antwortcode zeigt üblicherweise die Fähigkeit oder Bereitschaft des Heimagenten an, Netzwerkdaten, die er vom korrespondierenden Knoten in einem Heimnetzwerk empfangen hat und die an den mobilen Knoten adressiert sind, zu verarbeiten. - Als nächstes beginnt das System in einigen Ausführungsfomnen der Erfindung damit, sowohl einen Heimagenten (Block
320 ) als auch einen mobilen Knoten (Block325 ) nachzubilden. Die Blöcke320 und325 sind auf derselben Ebene gezeigt, um die Möglichkeit einer parallelen Ausführung der Blöcke anzudeuten. Bezüglich der Daten, die zu und vom mobilen Knoten gesendet werden, bildet das System einen Heimagenten nach. In derselben Weise bildet das System bezüglich der Daten, die zu und vom Heimagenten gesendet werden, einen mobilen Knoten nach. -
4A ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem korrespondierenden Knoten an einen mobilen Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Heimagent ein Paket von einem korrespondierenden Knoten im Auftrag eines mobilen Knoten empfängt (zum Beispiel1 , Pfad1 ). In einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, tunnelt der Heimagent das Paket zum VPN-Übergang, üblicherweise über IPSec (Block405 ). Als nächstes tunnelt der Heimagent das Paket unter Verwendung von mobilem IP zum MIP-Proxy (Block 410, zum Beispiel1 , Pfad2 ). Dann wird das Paket einschließlich IPSec und mobiler IP-Einkapselung zum MIP-Proxy gesendet, da der MIP-Proxy aus der Sicht des Heimagenten als Care-of-Adresse für das VPN spezifiziert ist. - Der MIP-Proxy empfängt das Paket vom Heimagenten und entkapselt die mobile IP-Schicht (Block
415 ). In den Ausführungsformen, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, werden die Daten der IPSec-Schicht zum Entkapseln zum VPN-Übergang weitergeleitet (Block 420, zum Beispiel1A , Pfad3 ). - Dann tunnelt der VPN-Übergang das Paket unter Verwendung von IPSec vom VPN-Übergang zum mobilen Knoten, wobei er die ständige Netzwerkadresse des mobilen Knotens verwendet (Block
425 ). In jenen Ausführungsformen, in denen der MIP-Proxy getrennt vom VPN-Übergang angeordnet ist, wird das Paket dann zur Weiterleitung an den mobilen Knoten zum MIP-Proxy gesendet (zum Beispiel1 , Pfad4 ). Der MIP-Proxy kann Pakete, die vom VPN-Übergang an den mobilen Knoten adressiert sind, auf verschiedene Weise abfangen. In einer Ausführungsform der Erfindung ist die Leitwegtabelle des VPN so verändert, daß Pakete für den mobilen Knoten automatisch durch den MIP-Proxy geroutet werden. In einer alternativen Ausführungsform der Erfindung reagiert der MIP-Proxy auf ARP(Adressauflösungsprotokoll)-Pakete im Auftrag des mobilen Knotens. In noch einer anderen alternativen Ausführungsform setzt sich der MIP-Proxy, wenn ein mobiler Knoten zum ersten Mal um die Anmeldung durch den MIP-Proxy ersucht, selbst als Care-of-Addresse für den VPN-Übergang ein. - Nach dem Empfangen des Datenpakets vom VPN-Übergang tunnelt der MIP-Proxy das Paket unter Verwendung von mobilem IP durch die Care-of-Adresse des mobilen Knotens im Fremdnetzwerk
130 zum mobilen Knoten weiter (Block430 , zum Beispiel1 , Pfad5 ). -
4B ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem mobilen Knoten an einen korrespondierenden Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Paket unter Verwendung von IPSec vom mobilen Knoten zum VPN-Übergang geleitet wird (Block450 ). Dann wird das Paket unter Verwendung von mobilem IP vom mobilen Knoten zum MIP-Proxy getunnelt (Block455 ;1 , Pfad6 ). Der MIP-Proxy entkapselt die mobile IP-Schicht (Block460 ) und leitet das Paket in jenen Ausführungsformen, in denen der VPN-Übergang getrennt vom MIP-Proxy angeordnet ist, zum VPN-Übergang weiter (1 , Pfad7 ). - Der VPN-Übergang entkapselt das IPSec-Paket (Block
465 ). Der VPN-Übergang sendet dann die Daten direkt zum korrespondierenden Knoten (Block470 ;1 , Pfad8 ). - Man beachte, daß es wünschenswert sein kann, die oben beschriebene Tunnelung zu umgehen. Zum Beispiel werden die IKE-Daten in einigen Ausführungsformen der Erfindung als normaler IP-Verkehr getragen, wenn der mobile Knoten IKE mit dem VPN-Übergang ausführt.
- Schlußfolgerung
- Es sind Systeme und Verfahren zur Bereitstellung einer Integration von mobilen Netzwerken mit sicherheitsbasierten VPNs offenbart. Die Ausführungsformen der Erfindung schaffen Vorteile gegenüber früheren Systemen. Zum Beispiel sind die Systeme und Verfahren der vorliegenden Erfindung beim Unterstützen der Schaffung von Sicherheitsverbindungen, welche die ständige Netzwerkadresse eines mobilen Knotens verwenden, leistungsfähiger als frühere Systeme, da es nicht erforderlich ist, Sicherheitsverbindungen neu einzugeben, wenn der mobile Knoten von einem Teilnetz zu einem anderen wechselt. Des Weiteren können die Systeme und Verfahren mit geringen oder gar keinen Änderungen auf bestehenden Sicherheitsmechanismen und mobilen IP-Standards verwendet werden. Daher kann ein Benutzer die Vorteile der vorliegenden Erfindung in Anspruch nehmen, ohne Hauptkomponenten des Netzwerksystems aufrüsten zu müssen.
- Obwohl hierin bestimmte Ausführungsformen abgebildet und beschrieben worden sind, werden Durchschnittsfachleute verstehen, daß jede Anordnung, die dafür ausgelegt ist, denselben Zweck zu erzielen, die gezeigten speziellen Ausführungsformen ersetzen kann.
- Diese Patentanmeldung ist dazu bestimmt, jegliche Anpassungen oder Abänderungen der vorliegenden Erfindung einzuschließen.
- Die in dieser Patentanmeldung verwendete Terminologie ist dafür vorgesehen, alle diese Umgebungen einzuschließen. Es versteht sich, daß die obige Beschreibung als Beispiel, jedoch nicht als Einschränkung, dienen soll. Für Fachleute werden beim Durchlesen der obigen Beschreibung viele andere Ausführungsformen offensichtlich sein. Es ist daher ausdrücklich beabsichtigt, daß diese Erfindung nur durch die folgenden Ansprüche und deren Entsprechungen begrenzt ist.
- Zusammenfassung
- Systeme und Verfahren, die einen sicheren Netzwerkpfad durch ein Paar aus einer inneren und einer äußeren Firewall zwischen einem mobilen Knoten in einem Fremdnetzwerk und einem korrespondierenden Knoten in einem Heimnetzwerk bereitstellen. Ein Aspekt der Systeme und Verfahren umfaßt die Bereitstellung eines mobilen IP-Proxy zwischen dem mobilen Knoten und einem VPN-Übergang innerhalb der Firewalls. Der mobile IP-Proxy dient als stellvertretender Heimagent für den mobilen Knoten sowie als stellvertretender mobiler Knoten für einen Heimagenten, der im Heimnetzwerk angeordnet ist.
Claims (30)
- Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen Netzwerkknoten, das Verfahren, wobei das Verfahren umfaßt: Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt; Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten; Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.
- Verfahren nach Anspruch 1, das ferner das Senden eines vom Heimagenten empfangenen Heimagent-Antwortcodes zum mobilen Knoten umfaßt.
- Verfahren nach Anspruch 1, wobei das Verarbeiten der Netzwerkdaten, die vom Heimagenten empfangen worden sind, das Senden der Netzwerkdaten zu einem virtuellen privaten Netzwerk(VPN)-Übergang zum Einkapseln in eine Sicherheitsschicht umfaßt.
- Verfahren nach Anspruch 3, wobei das Einkapseln in eine Sicherheitsschicht das Einkapseln in eine IP-Sicherheitsschicht (IPSec) und das Verwenden der ständigen Netzwerkadresse für den mobilen Knoten als eine Quell- oder Zieladresse umfaßt.
- Verfahren nach Anspruch 3, das ferner umfaßt: das Empfangen von Netzwerkdaten, die an den mobilen Knoten adressiert sind, vom VPN-Übergang; und das Senden der Netzwerkdaten zum mobilen Knoten.
- Verfahren zum sicheren Kommunizieren zwischen Knoten in einem Netzwerk, wobei das Verfahren umfaßt: Einrichten eines Netzwerkdatentunnels zwischen einem mobilen Knoten und einem mobilen IP-Proxy; Einrichten einer ersten Sicherheitsverbindung zwischen dem mobilen Knoten und einem VPN-Übergang unter Verwendung einer ständigen Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist; Einrichten einer zweiten Sicherheitsverbindung zwischen einem Heimagenten und dem VPN-Übergang; und Verwenden einer mobilen IP-Proxy-IP-Adresse als Care-of-Adresse für den VPN-Übergang durch einen Heimagenten.
- Verfahren nach Anspruch 6, das ferner umfaßt: das Empfangen eines Datenpakets vom korrespondierenden Knoten durch den Heimagenten; das Routen des Datenpakets zum MIP-Proxy; das Routen des Datenpakets durch den MIP-Proxy zum VPN-Übergang; d as Einkapseln des Datenpakets in eine Sicherheitsschicht durch den VPN-Übergang; das Empfangen der eingekapselten Daten vom VPN-Übergang durch den MIP-Proxy; und das Routen der eingekapselten Daten vom MIP-Proxy zum mobilen Knoten.
- Verfahren nach Anspruch 6, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
- Verfahren für einen Heimagent zum sicheren Routen von Daten zwischen Knoten in einem Netzwerk, wobei das Verfahren umfaßt: Empfangen einer Anmeldeabfrage, die eine ständige Netzwerkadresse, die mit einem mobilen Knoten verknüpft ist, und eine Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, angibt, von einem MIP-Proxy; Einrichten einer Sicherheitsverbindung zwischen dem Heimagenten und einem VPN-Übergang; und Einrichten einer Verknüpfung, welche die Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, als Care-of-Adresse für den VPN-Übergang kennzeichnet.
- Verfahren nach Anspruch 9, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
- Verfahren nach Anspruch 9, des Weiteren umfassend das Tunneln von Daten in einer mobilen IP-Schicht.
- Computergestütztes System, das umfaßt: einen ersten Heimagenten; und einen MIP-Proxy, der so ausgebildet ist, daß er die Aufgaben: Nachbilden eines zweiten Heimagenten für den mobilen Knoten, Nachbilden des mobilen Knotens für den ersten Heimagenten, ausführen kann.
- Computergestütztes System nach Anspruch 12, das ferner einen virtuellen privaten Netzwerkübergang umfaßt.
- Computergestütztes System nach Anspruch 13, wobei mindestens ein Abschnitt des MIP-Proxy und des VPN-Übergangs in einer einzelnen Einheit zusammengeschlossen sind.
- Computergestütztes System nach Anspruch 14, wobei der MIP-Proxy ein Heimagentenmodul und ein mobiles Knotenmodul umfaßt.
- Computergestütztes System nach Anspruch 15, das ferner einen Router in einem Netzwerk umfaßt, und wobei der VPN-Übergang ein mobiles Knotenmodul aufweist, und wobei der Router ein Heimagentenmodul aufweist.
- Computergestütztes System nach Anspruch 12, das ferner einen Router in einem Netzwerk umfaßt, und wobei der MIP-Proxy ein Heimagentenmodul, ein mobiles Knotenmodul und ein Fremdagentenmodul aufweist, und wobei der Router des Weiteren das Heimagentenmodul aufweist, und der MIP-Proxy das mobile Knotenmodul und das Fremdknotenmodul aufweist.
- Computergestütztes System nach Anspruch 12, wobei der MIP-Proxy so betrieben werden kann, daß er über eine Mehrzahl von Teilnetzen kommuniziert.
- Computergestütztes System nach Anspruch 12, wobei der MIP-Proxy in einer DMZ angeordnet ist, die durch mindestens zwei Firewallsysteme gebildet ist.
- Maschinenlesbares Medium, das durch Maschinen ausführbare Befehle aufweist, um ein Verfahren zum Bereitstellen eines sicheren Netzwerkpfades zwischen Knoten in einem Netzwerk auszuführen, das Verfahren umfassend: das Empfangen einer ersten Anmeldeabfrage von einem mobilen Knoten, wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten umfaßt; das Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an einen Heimagenten; das Verarbeiten von Netzwerkdaten, die vom mobilen Knoten als stellvertretendem Heimagenten empfangen worden sind; und das Verarbeiten von Netzwerkdaten, die vom Heimagenten als stellvertretendem mobilem Knoten empfangen worden sind.
- Maschinenlesbares Medium nach Anspruch 20, das ferner das Senden eines vom Heimagenten empfangenen Heimagenten-Antwortcodes zum mobilen Knoten umfaßt.
- Maschinenlesbares Medium nach Anspruch 20, wobei das Verarbeiten der Netzwerkdaten, die vom Heimagenten empfangen worden sind, das Senden der Netzwerkdaten zu einem virtuellen privaten Netzwerk(VPN)-Übergang zum Einkapseln in eine Sicherheitsschicht umfaßt.
- Maschinenlesbares Medium nach Anspruch 22, wobei das Einkapseln in eine Sicherheitsschicht das Einkapseln in eine IP-Sicherheitsschicht (IPSec) und das Verwenden der ständigen Netzwerkadresse für den mobilen Knoten als eine Quell- oder Zieladresse umfaßt.
- Maschinenlesbares Medium nach Anspruch 22, das ferner umfaßt: das Empfangen von Netzwerkdaten, die an den mobilen Knoten adressiert sind, vom VPN-Übergang; und das Senden der Netzwerkdaten zum mobilen Knoten.
- Maschinenlesbares Medium, das für Maschinen ausführbare Befehle zum Ausführen eines Verfahrens zum sicheren Kommunizieren zwischen Knoten in einem Netzwerk aufweist, das Verfahren umfassend: das Einrichten eines Netzwerkdatentunnels zwischen einem mobilen Knoten und einem mobilen IP-Proxy; das Einrichten einer ersten Sicherheitsverbindung zwischen dem mobilen Knoten und einem VPN-Übergang unter Verwendung einer ständigen Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist; das Einrichten einer zweiten Sicherheitsverbindung zwischen einem Heimagenten und dem VPN-Übergang; und das Verwenden einer mobilen IP-Proxy-IP-Adresse als Care-of-Adresse für den VPN-Übergang durch einen Heimagenten.
- Maschinenlesbares Medium nach Anspruch 25, das ferner umfaßt: das Empfangen eines Datenpakets vom korrespondierenden Knoten durch den Heimagenten; das Routen des Datenpakets zum MIP-Proxy; das Routen des Datenpakets durch den MIP-Proxy zum VPN-Übergang; das Einkapseln des Datenpakets in eine Sicherheitsschicht durch den VPN-Übergang; das Empfangen der eingekapselten Daten vom VPN-Übergang durch den MIP-Proxy; und das Routen der eingekapselten Daten vom MIP-Proxy zum mobilen Knoten.
- Maschinenlesbares Medium nach Anspruch 25, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
- Maschinenlesbares Medium, das für Maschinen ausführbare Befehle zum Ausführen eines Verfahrens für einen Heimagenten zum sicheren Routen von Daten von einem korrespondierenden Knoten zu einem mobilen Knoten, das Verfahren umfassend: das Empfangen einer Anmeldeabfrage, die eine ständige Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist, und eine Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, angibt, von einem MIP-Proxy; das Einrichten einer Sicherheitsverbindung zwischen dem Heimagenten und einem VPN-Übergang; und das Einrichten einer Verknüpfung, welche die Care-of-Adresse, die mit dem MIP-Proxy verknüpft ist, als Care-of-Adresse für den VPN-Übergang kennzeichnet.
- Maschinenlesbares Medium nach Anspruch 28, wobei die Sicherheitsverbindung eine IPSec-Sicherheitsverbindung ist.
- Maschinenlesbares Medium nach Anspruch 28, das ferner das Tunneln der Daten in eine mobile IP-Schicht umfaßt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/325,657 | 2002-12-19 | ||
US10/325,657 US7616597B2 (en) | 2002-12-19 | 2002-12-19 | System and method for integrating mobile networking with security-based VPNs |
PCT/US2003/040960 WO2004057822A2 (en) | 2002-12-19 | 2003-12-19 | System and method for integrating mobile ip with virtual private networks (vpn) |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10393628T5 true DE10393628T5 (de) | 2005-08-25 |
DE10393628B4 DE10393628B4 (de) | 2012-01-26 |
Family
ID=32593843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10393628T Expired - Fee Related DE10393628B4 (de) | 2002-12-19 | 2003-12-19 | System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) |
Country Status (8)
Country | Link |
---|---|
US (2) | US7616597B2 (de) |
JP (1) | JP4087848B2 (de) |
KR (1) | KR100814988B1 (de) |
AU (1) | AU2003300268A1 (de) |
DE (1) | DE10393628B4 (de) |
GB (1) | GB2411092B (de) |
HK (1) | HK1075148A1 (de) |
WO (1) | WO2004057822A2 (de) |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6217847B1 (en) * | 1994-07-01 | 2001-04-17 | The Board Of Trustees Of The Leland Stanford Junior University | Non-invasive localization of a light-emitting conjugate in a mammal |
US7623497B2 (en) * | 2002-04-15 | 2009-11-24 | Qualcomm, Incorporated | Methods and apparatus for extending mobile IP |
NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
US20040266420A1 (en) * | 2003-06-24 | 2004-12-30 | Nokia Inc. | System and method for secure mobile connectivity |
FR2861934B1 (fr) * | 2003-10-30 | 2006-01-27 | Wavecom | Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication. |
JP2007518349A (ja) * | 2004-01-15 | 2007-07-05 | インタラクティブ ピープル アンプラグド アクチボラグ | モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置 |
CN1938991B (zh) * | 2004-03-31 | 2014-06-25 | Lg电子株式会社 | 能够经网络与其他电子设备通信的电子设备中的分组处理方法和装置 |
EP1650924B1 (de) * | 2004-09-30 | 2007-03-21 | Alcatel | Mobile Authentifizierung für den Netzwerkzugang |
US20060130136A1 (en) * | 2004-12-01 | 2006-06-15 | Vijay Devarapalli | Method and system for providing wireless data network interworking |
US7792072B2 (en) * | 2004-12-13 | 2010-09-07 | Nokia Inc. | Methods and systems for connecting mobile nodes to private networks |
WO2006071055A1 (en) * | 2004-12-28 | 2006-07-06 | Samsung Electronics Co., Ltd. | A system and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network |
KR101165825B1 (ko) * | 2005-01-07 | 2012-07-17 | 알까뗄 루슨트 | 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치 |
US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
US7583662B1 (en) * | 2005-04-12 | 2009-09-01 | Tp Lab, Inc. | Voice virtual private network |
US9692725B2 (en) | 2005-05-26 | 2017-06-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
US9407608B2 (en) | 2005-05-26 | 2016-08-02 | Citrix Systems, Inc. | Systems and methods for enhanced client side policy |
US9621666B2 (en) | 2005-05-26 | 2017-04-11 | Citrix Systems, Inc. | Systems and methods for enhanced delta compression |
US8943304B2 (en) | 2006-08-03 | 2015-01-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
US7809386B2 (en) * | 2005-06-29 | 2010-10-05 | Nokia Corporation | Local network proxy for a remotely connected mobile device operating in reduced power mode |
US7808970B2 (en) * | 2005-06-30 | 2010-10-05 | Motorola, Inc. | Method of dynamically assigning mobility configuration parameters for mobile entities |
KR100799575B1 (ko) * | 2005-12-07 | 2008-01-30 | 한국전자통신연구원 | IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이 |
US20070177550A1 (en) * | 2005-07-12 | 2007-08-02 | Hyeok Chan Kwon | Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same |
EP1966970B1 (de) * | 2005-12-26 | 2017-06-14 | Panasonic Intellectual Property Corporation of America | Bewegliches netzwerks-bediengerät und bewegliches informations-bediengerät zur kontrolle von zugriffsanfragen |
US7693059B2 (en) * | 2006-01-30 | 2010-04-06 | International Business Machines Corporation | Advanced VPN routing |
US7899964B2 (en) * | 2006-07-13 | 2011-03-01 | Samsung Electronics Co., Ltd. | Method and system for providing universal plug and play resource surrogates |
US8561155B2 (en) | 2006-08-03 | 2013-10-15 | Citrix Systems, Inc. | Systems and methods for using a client agent to manage HTTP authentication cookies |
US8392977B2 (en) * | 2006-08-03 | 2013-03-05 | Citrix Systems, Inc. | Systems and methods for using a client agent to manage HTTP authentication cookies |
KR100922939B1 (ko) | 2006-08-22 | 2009-10-22 | 삼성전자주식회사 | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 |
US8130771B2 (en) * | 2006-10-10 | 2012-03-06 | Alcatel Lucent | Packet-forwarding for proxy mobile IP |
DK1912413T3 (da) | 2006-10-13 | 2010-05-25 | Quipa Holdings Ltd | Fremgangsmåde til at etablere et sikkert virtuelt privat netværk som udnytter peer-to-peer-kommunikation |
US20080115202A1 (en) * | 2006-11-09 | 2008-05-15 | Mckay Michael S | Method for bidirectional communication in a firewalled environment |
US8406237B2 (en) * | 2006-11-17 | 2013-03-26 | Qualcomm Incorporated | Methods and apparatus for implementing proxy mobile IP in foreign agent care-of address mode |
JPWO2008078632A1 (ja) * | 2006-12-26 | 2010-04-22 | パナソニック株式会社 | 通信方法、通信システム、ホームエージェント及びモバイルノード |
JP5059872B2 (ja) * | 2006-12-28 | 2012-10-31 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モバイルipプロキシ |
WO2008145174A1 (en) * | 2007-05-25 | 2008-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Route optimisation for proxy mobile ip |
CN101355425A (zh) * | 2007-07-24 | 2009-01-28 | 华为技术有限公司 | 组密钥管理中实现新组员注册的方法、装置及系统 |
US8411866B2 (en) * | 2007-11-14 | 2013-04-02 | Cisco Technology, Inc. | Distribution of group cryptography material in a mobile IP environment |
US8090877B2 (en) | 2008-01-26 | 2012-01-03 | Citrix Systems, Inc. | Systems and methods for fine grain policy driven cookie proxying |
US8385300B2 (en) * | 2008-10-03 | 2013-02-26 | Cisco Technology, Inc. | Internet protocol address management for communicating packets in a network environment |
US8385332B2 (en) * | 2009-01-12 | 2013-02-26 | Juniper Networks, Inc. | Network-based macro mobility in cellular networks using an extended routing protocol |
US8411691B2 (en) * | 2009-01-12 | 2013-04-02 | Juniper Networks, Inc. | Transfer of mobile subscriber context in cellular networks using extended routing protocol |
US20110085552A1 (en) * | 2009-10-14 | 2011-04-14 | Electronics And Telecommunications Research Institute | System and method for forming virtual private network |
AT11799U1 (de) * | 2009-12-15 | 2011-05-15 | Plansee Se | Formteil |
US8549617B2 (en) * | 2010-06-30 | 2013-10-01 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having integrated acceleration |
US8464336B2 (en) | 2010-06-30 | 2013-06-11 | Juniper Networks, Inc. | VPN network client for mobile device having fast reconnect |
US8127350B2 (en) | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
US8473734B2 (en) | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having dynamic failover |
US8474035B2 (en) | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically constructed display for native access to web mail |
US8458787B2 (en) | 2010-06-30 | 2013-06-04 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically translated user home page |
US10142292B2 (en) | 2010-06-30 | 2018-11-27 | Pulse Secure Llc | Dual-mode multi-service VPN network client for mobile device |
DE102010041804A1 (de) * | 2010-09-30 | 2012-04-05 | Siemens Aktiengesellschaft | Verfahren zur sicheren Datenübertragung mit einer VPN-Box |
CN103392320B (zh) | 2010-12-29 | 2016-08-31 | 思杰系统有限公司 | 对加密项目进行多层标记以提供额外的安全和有效的加密项目确定的系统和方法 |
US9021578B1 (en) * | 2011-09-13 | 2015-04-28 | Symantec Corporation | Systems and methods for securing internet access on restricted mobile platforms |
TW201409986A (zh) * | 2012-06-04 | 2014-03-01 | Interdigital Patent Holdings | 在非核心閘道執行區域選擇ip訊務卸載及區域ip存取合法截取 |
DE102013017789A1 (de) | 2013-10-25 | 2015-04-30 | LowoTec GmbH | System für eine abgesicherte LAN-über-WAN-Übertragung |
US10397275B2 (en) * | 2015-08-28 | 2019-08-27 | Nicira, Inc. | Creating and using remote device management attribute rule data store |
CA3034445A1 (en) * | 2016-10-12 | 2018-04-19 | Mohammed Hamad AL HAJRI | Surrogate cellularless roaming |
US10491567B2 (en) * | 2017-03-17 | 2019-11-26 | Verizon Patent And Licensing Inc. | Dynamic firewall configuration based on proxy container deployment |
KR102492489B1 (ko) | 2020-09-18 | 2023-01-30 | 주식회사 애그유니 | 체계적 생장환경 조성을 위한 식물재배시스템 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3662080B2 (ja) | 1996-08-29 | 2005-06-22 | Kddi株式会社 | ファイアウォール動的制御方法 |
US6137791A (en) * | 1997-03-25 | 2000-10-24 | Ericsson Telefon Ab L M | Communicating packet data with a mobile station roaming within an incompatible mobile network |
US5852630A (en) * | 1997-07-17 | 1998-12-22 | Globespan Semiconductor, Inc. | Method and apparatus for a RADSL transceiver warm start activation procedure with precoding |
EP0924913A1 (de) * | 1997-12-19 | 1999-06-23 | Siemens Aktiengesellschaft | Verfahren zur Unterstützung von Mobilität im Internet |
US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
GB2364477B (en) * | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
FI20000574A (fi) * | 2000-03-13 | 2001-09-14 | Nokia Mobile Phones Ltd | Kuorman tasaus IP-liikkuvuutta tukevassa tietoliikennejärjestelmässä |
JP2002033764A (ja) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置 |
JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
US7155518B2 (en) * | 2001-01-08 | 2006-12-26 | Interactive People Unplugged Ab | Extranet workgroup formation across multiple mobile virtual private networks |
US20030224788A1 (en) * | 2002-03-05 | 2003-12-04 | Cisco Technology, Inc. | Mobile IP roaming between internal and external networks |
US7269173B2 (en) * | 2002-06-26 | 2007-09-11 | Intel Corporation | Roaming in a communications network |
WO2004028053A1 (en) * | 2002-09-18 | 2004-04-01 | Flarion Technologies, Inc. | Methods and apparatus for using a care of address option |
US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
US6978317B2 (en) * | 2003-12-24 | 2005-12-20 | Motorola, Inc. | Method and apparatus for a mobile device to address a private home agent having a public address and a private address |
-
2002
- 2002-12-19 US US10/325,657 patent/US7616597B2/en not_active Expired - Fee Related
-
2003
- 2003-12-19 AU AU2003300268A patent/AU2003300268A1/en not_active Abandoned
- 2003-12-19 WO PCT/US2003/040960 patent/WO2004057822A2/en active Application Filing
- 2003-12-19 GB GB0509950A patent/GB2411092B/en not_active Expired - Fee Related
- 2003-12-19 KR KR1020057011574A patent/KR100814988B1/ko not_active IP Right Cessation
- 2003-12-19 DE DE10393628T patent/DE10393628B4/de not_active Expired - Fee Related
- 2003-12-19 JP JP2004562369A patent/JP4087848B2/ja not_active Expired - Fee Related
-
2005
- 2005-08-22 HK HK05107260A patent/HK1075148A1/xx not_active IP Right Cessation
-
2009
- 2009-06-23 US US12/456,941 patent/US20100122337A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
WO2004057822A3 (en) | 2004-09-10 |
KR20050085834A (ko) | 2005-08-29 |
US20040120295A1 (en) | 2004-06-24 |
JP2006511169A (ja) | 2006-03-30 |
KR100814988B1 (ko) | 2008-03-18 |
GB2411092A (en) | 2005-08-17 |
GB2411092B (en) | 2007-01-10 |
DE10393628B4 (de) | 2012-01-26 |
JP4087848B2 (ja) | 2008-05-21 |
US7616597B2 (en) | 2009-11-10 |
AU2003300268A8 (en) | 2004-07-14 |
WO2004057822A2 (en) | 2004-07-08 |
HK1075148A1 (en) | 2005-12-02 |
AU2003300268A1 (en) | 2004-07-14 |
GB0509950D0 (en) | 2005-06-22 |
US20100122337A1 (en) | 2010-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10393628B4 (de) | System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) | |
DE60200451T2 (de) | Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz | |
DE60203433T2 (de) | Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk | |
DE60019997T2 (de) | Ggesicherte Kommunikation mit mobilen Rechnern | |
DE60212289T2 (de) | Verwaltung privater virtueller Netze (VPN) | |
DE602004007303T2 (de) | Identifizierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten | |
DE60221557T2 (de) | Methode und gerät zur adressenübersetzung für gesicherte verbindungen | |
DE602004007301T2 (de) | Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten | |
DE69731965T2 (de) | Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall | |
DE69925732T2 (de) | Mobiltelefon mit eingebauter Sicherheitsfirmware | |
DE69929268T2 (de) | Verfahren und System zur Überwachung und Steuerung der Netzzugriffe | |
DE60028897T2 (de) | Verfahren und Vorrichtung zur Umschaltung zwischen zwei Netzwerkzugangstechnologien ohne Unterbrechung der aktiven Netzwerkanwendungen | |
DE60026373T2 (de) | Vermeidung der identitätsverfälschung in fernmeldesystemen | |
EP1602214B1 (de) | Verfahren, system und speichermedium um kompatibilität zwischen IPsec und dynamischem routing herzustellen | |
EP1761082B1 (de) | Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten | |
DE60121755T2 (de) | Ipsec-verarbeitung | |
DE10052312A1 (de) | Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze | |
DE10052311A1 (de) | Manuelles Verhindern des unerlaubten Mithörens in einem virtuellen privaten Netzwerk über das Internet | |
DE102022208744A1 (de) | Sicherer fernzugriff auf geräte in sich überlappenden subnetzen | |
DE60211287T2 (de) | Handhabung von Verbindungen, die zwischen Firewalls umziehen | |
DE112004000125T5 (de) | Gesichertes Client-Server-Datenübertragungssystem | |
DE60304085T2 (de) | Vorrichtungen und Computersoftware zur Bereitstellung nahtloser IP-Mobilität über Sicherheitsgrenzen hinweg | |
DE10119447A1 (de) | Verfahren zum Vermitteln von Daten zwischen einem lokalen Netzwerk und einem externen Gerät und Router dafür | |
DE60127187T2 (de) | System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen | |
DE102004047692A1 (de) | Kommunikationssystem und Verfahren zur Bereitstellung eines mobilen Kommunikationsdienstes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law |
Ref document number: 10393628 Country of ref document: DE Date of ref document: 20050825 Kind code of ref document: P |
|
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |
Effective date: 20120427 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |