DE60130042T2 - Verteilte server-funktionalität für ein emuliertes lan - Google Patents

Verteilte server-funktionalität für ein emuliertes lan Download PDF

Info

Publication number
DE60130042T2
DE60130042T2 DE60130042T DE60130042T DE60130042T2 DE 60130042 T2 DE60130042 T2 DE 60130042T2 DE 60130042 T DE60130042 T DE 60130042T DE 60130042 T DE60130042 T DE 60130042T DE 60130042 T2 DE60130042 T2 DE 60130042T2
Authority
DE
Germany
Prior art keywords
vpn
server
network
client
broadcast
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60130042T
Other languages
English (en)
Other versions
DE60130042D1 (de
Inventor
Leif BYSTRÖM
David Ahlard
Joakim Bergkvist
Urban Hansson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hyglo Systems AB
Original Assignee
Hyglo Systems AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hyglo Systems AB filed Critical Hyglo Systems AB
Application granted granted Critical
Publication of DE60130042D1 publication Critical patent/DE60130042D1/de
Publication of DE60130042T2 publication Critical patent/DE60130042T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1854Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with non-centralised forwarding system, e.g. chaincast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft im Allgemeinen Computernetzwerke und insbesondere das Ermöglichen von Mechanismen für eine Delegierung und Verteilung von zentralisierten Netzwerkserverfunktionen an das Ende von Computernetzwerken. Speziell betrifft die Erfindung eine verteilte Ausstrahlungs-Serverfunktionalität, die verwendet wird für ein emuliertes lokales Bereichsnetzwerk (LAN) bei globalen Netzen.
  • Hintergrund
  • Die meisten Unternehmen befinden sich an mehreren Orten, wobei jeder Ort sein eigenes lokales Netzwerk (LAN = Local Area Network) hat. Ein Ort ist definiert als irgendetwas zwischen einem Hauptquartier oder einem Ort einer zugehörigen Firma und einem entfernten Büroort eines einzelnen Angestellten. Eine Art von Kommunikationsinfrastruktur wird dann verwendet zum Verbinden der verschiedenen Orte. Die Internetentwicklung kann ungefähr kategorisiert werden in zwei Hauptbereiche:
    • a) Internet als die globale Kommunikationsinfrastruktur. Herkömmlich verwendeten Unternehmen sogenannte geleaste Leitungen, die bereitgestellt wurden von Telefonfirmen zum Verbinden ihrer Orte. Getrennte Firewall-Lösungen wurden verwendet zum Zugreifen auf das Internet. Während der letzten Jahre verwenden Firmen nicht länger das Internet nur für externe Kommunikation, mehr und mehr Firmen versuchen neue Netzwerklösungen, die es ihnen erlauben, auch das Internet für firmeninterne Kommunikation zu verwenden. Das Internet ist zu ihrem Ort-zu-Ort-Verbindungsmedium geworden.
    • b) Breitband-Internet-Zugang. Parallel zu dem Obigen werden mehr und mehr Breitbandzugangslösungen ausgebreitet von verschiedenen Netzwerkzugangsbereitstellern. Dies ermöglicht jedem, seinen Zugang zum Internet von einer herkömmlichen Einwahl-PSTN-ISDN-(Public Switched Telephone Network/Integrated Services Digital Network)-Zugangslösung zu einer Breitbandlösung zu aktualisieren, beispielsweise ADSL (Assymetric Digital Subscriber Line), Kabel oder Ethernet, mit direktem Zugang zum Internet. Neben naheliegenden Breitbandvorteilen ist der Netzwerkzugangsbenutzer auch in der Lage, immer mit dem Internet verbunden zu sein.
  • Der gemeinsame Name für die meisten der Netzwerklösungen, der mehrere Orte über das Internet miteinander verbindet, ist "virtuelles privates Netzwerk" (VPN = virtual private networks). VPNs können implementiert werden auf verschiedene Arten, dies wird gut erklärt in beispielsweise IETF durch B. Gleeson et al, "A Framework for IP Based Virtual private Networks", RFC 2764, Februar 2000. Ein VPN ist ein privates Netzwerk, das innerhalb eines öffentlichen Netzwerks konfiguriert ist. Seit mehreren Jahren haben gewöhnliche Träger bzw. Bereitsteller VPNs aufgebaut, die das Erscheinungsbild von privaten nationalen oder internationalen Netzwerken für den Kunden haben, aber physikalisch Backbone-Trunks mit anderen Kunden teilen. VPNs genießen die Sicherheit eines privaten Netzwerks über eine Zugangssteuerung und Entschlüsselung, während sie den Vorteil von Wirtschaftlichkeit durch Massenproduktion aufweisen und eingebaut werden in Verwaltungseinrichtungen von großen öffentlichen Netzwerken. Heute gibt es ein großes Interesse in VPNs über das Internet, speziell aufgrund der konstanten Bedrohung von Hacker-Angriffen. Das VPN fügt diese Extraschicht an Sicherheit hinzu, und ein großer Wachstum in der VPN-Verwendung wird erwartet. Im Allgemeinen können die unterschiedlichen VPN-Lösungen in zwei Hauptgruppen kategorisiert werden; Kundenräumlichkeitsgerät-(CPE = Customer Premises Equipment)-basierende Lösungen oder Netzwerk-basierende Lösungen.
  • Internet ist ein öffentliches Datennetzwerk, basierend auf Netzwerkparadigmen, wie zum Beispiel gleiche und beste Anstrengungsverkehrsbehandlung. Der gesamte Verkehr, der das Internet kreuzt, ist öffentlich und unsicher, was in einer Anzahl von Problemen resultiert, die gelöst werden müssen, beispielsweise End-zu-End-Sicherheitskommunikation zwischen Firmenorten bzw. Unternehmenssitzen. Einige Probleme haben Lösungen, die unterstützt werden durch mehrere VPN, Systemverkäufer, wie zum Beispiel verschlüsseltes IP-Tunneln zwischen Endbenutzern, die die IPSec-Architektur verwenden, die beschrieben wird von S. Kent und R. Atkinson in "Security Architecture for the Internet Protocol", RFC 2401, November 1998, oder einzelne Firewall-Lösungen, Desktop-Software-VPN-Clients; beispielsweise Microsoft®-VPN, etc. Ein PC, der verbunden ist mit dem Internet, kann, nicht leicht, aber es ist möglich, verwendet werden als ein Transitknoten von einem Hacker, beispielsweise könnte der Hacker ein Trojanisches-Pferd-Programm verwenden, um in den PC zu gelangen. Tief in dem PC könnte das Trojanische-Pferd-Programm adaptiert werden, Anwendungs-Software freizugeben, die als irgendeine authentifizierte Software agiert, die durch den Benutzer des PCs installiert wurde. Es ist sehr schwierig für Schicht-2 und -3 Firmware/Software diese Art von bösartigen Anwendungen zu detektieren. Deshalb ist es empfehlenswert, VPN-Steuer- und Management-Software- und Firmware-Funktionen und Endbenutzeranwendungen zu haben, wie zum Beispiel Service-Login-Software "authentifizierte" Software-Anwendungen, die auf irgendeine Weise die Netzwerkinfrastruktur verwenden, die bereitgestellt wird durch den VPN-Dienst, getrennt von verschiedenen Hardware-Plattformen. Was im allgemeinen vermieden werden sollte, ist PC-Klienten zu haben, die verantwortlich sind für ein Konfigurieren der tatsächlichen VPN-Einrichtung, das heißt Zugang zu den Nachschau-Tabellen für andere VPN-Mitglieder-öffentliche-IP-Adressen zu haben, Zugang zu Information zu haben hinsichtlich wie zu authentifizieren ist, eine Integritätsprüfung auszuführen und Verkehr zu entschlüsseln, der auf VPN gerichtet ist, etc.
  • Wenn ein virtuelles privates Netzwerk (VPN) implementiert wird als ein emuliertes LAN auf einem Standard-IP-Netzwerk, wie zum Beispiel dem Internet, muss man eine Ausstrahlungsfunktionalität bereitstellen, die eine Grundlegende-(intrinsische)-Funktion ist auf einem Ebene-2-Medium, wie zum Beispiel Ethernet. Eine Anzahl von ausstrahlungsbasierten Diensten wird definiert auf dem Verbindungs-Niveau. Beispiele sind Dienstentdeckungsprotokolle bzw. Service Discovery Protocols und das Schicht-2-Adressauflösungsprotokoll (ARP, Address Resolution Protocol). Die Ausstrahlungsfunktionalität könnte in verschiedenen Arten implementiert werden. Beispiele der verschiedenen Architekturen sind:
    • – Ausstrahlungsfunktionalität, implementiert als zentralisierter Server;
    • – Ausstrahlungsfunktionalität, implementiert unter Verwendung von IP-Multicast;
    • – Ausstrahlungsfunktionalität, implementiert unter Verwendung von emulierten Multicast.
  • ATM-Forum-LANE-(Lan-Emulation)-Standard ist ein Beispiel einer zentralisierten Server-Architektur. Dieser Server emuliert die Ausstrahlungsfunktionalität bzw. Broadcast-Funktionalität auf dem LAN. Wenn ein LAN-emulierender Klient (LEC, LAN Emulating Client) eine Ausstrahlung sendet, wird die Ausstrahlung gesendet an den BUS (Broadcast and Unknown Server), der diese Nachricht an alle der anderen Clients auf dem emulierten LAN weiterleitet.
  • Die technischen Probleme mit der beschriebenen Architektur sind verwandt mit Vergrößerbarkeit und Verlässlichkeit. Wenn eine große Anzahl von LAN-emulierenden Clients Broadcasts bzw. Ausstrahlungen an den Ausstrah lungs-Server senden, wird jeder Client eine Leistungsverschlechterung des Ausstrahlungsdienstes erfahren, aufgrund der Last auf dem Ausstrahlungs-Server. Die Verkehrslast auf der Verbindung, die den Ausstrahlungs-Server verbindet, wird sich auch erhöhen mit einer großen Anzahl von LAN-Clients. Dies wird letztendlich eine Begrenzung sein. Diese Begrenzung wird ferner die Ausstrahlungsleistungsfähigkeit reduzieren, die die LAN-Clients erfahren. Zusätzlich zu dem Leistungsfähigkeitsproblem wird ein einzelner Ausstrahlungs-Server auch ein einzelner Punkt eines Fehlers für ausstrahlungsbasierte Dienste sein, die angeboten werden durch das emulierte LAN.
  • Wenn die Ausstrahlungsfunktionalität implementiert wird durch Verwenden von IP-Multicast, treten die LAN-emulierenden Clients einem Multicast-Netzwerk bei. Dieses Netzwerk stellt das Ausstrahlungsmedium für das emulierte LAN dar. Offensichtlich müssen, um in der Lage zu sein, IP-Multicast als das Ausstrahlungsmedium zu verwenden, die Clients mit einem Multicast-Dienst interagieren, der bereitet wird durch das unterliegende IP-Netzwerk. Diese Interaktion könnte ausgeführt werden über einen LAN-emulierenden Server, das Managementsystem des emulierten LAN oder durch eine andere Einrichtung. Ein technisches Problem mit dieser Lösung ist die Abhängigkeit der IP-Multicast-Funktionalität in dem IP-Backbone bzw. IP-Basisnetz und der Bedarf für das emulierte LAN, mit dem IP-Backbone zu interagieren.
  • Die US-Patentanmeldung US-A-5 805 805 offenbart die Ausstrahlungsfunktionalität an mehr als eine Einheit in dem emulierten LAN zu verteilen.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Gemäß dem ersten Aspekt der Erfindung wird ein System zum Emulieren eines lokalen Bereichsnetzwerks auf einem globalen Kommunikationsnetzwerk bereitgestellt. Das System umfasst Client-Einheiten und einen Server, die verbunden sind mit dem globalen Netzwerk. Ferner umfasst das System eine Ausstrahlungsfunktionalität zum Weiterleiten von Nachrichten an alle Clients in dem emulierten lokalen Bereichsnetzwerk. Gemäß der Erfindung wird die Ausstrahlungsfunktionalität verteilt und implementiert in mehr als einem Netzwerkeinheitsknoten in dem emulierten lokalen Bereichsnetzwerk. Das globale Netzwerk agiert bevorzugt als ein Backbone für das emulierte lokale Bereichsnetzwerk.
  • In einer Ausführungsform wird eine Auswahl von den Client-Einheiten mit einer hochgefahrenen und laufenden Ausstrahlungsfunktionalitätseinheit definiert durch den Server, und ist basiert auf vorbestimmten Leistungungsfähigkeitskriterien, wie zum Beispiel verfügbarer Bandbreite bei dem Backbone-Netzwerk.
  • Bevorzugt ist die verteilte Ausstrahlungsfunktionalität hierarchisch strukturiert, wobei ein Master und Anfangsausstrahlungsfunktionalitätseinheit, darstellend die obere der Hierarchie, in dem Server konfiguriert wird.
  • In einer Ausführungsform werden die Verbindungen zwischen den Knoten des emulierten lokalen Bereichsnetzwerks implementiert als ein Multicast-Netzwerk, übertragen durch das globale Netzwerk. In einer anderen Ausführungsform können die Verbindungen zwischen den Knoten des emulierten lokalen Bereichsnetzwerks implementiert werden als Single-Cast-Adressen, die Tunnel durch das globale Netzwerk bilden.
  • Bevorzugt umfasst jede Netzwerkeinheit mit einer verteilten Ausstrahlungsfunktionalität eine Einrichtung zum Ausführen eines Algorithmus zum Verhindern, dass Ausstrahlungsnachrichten indefinitiv gesendet werden zwischen den Netzwerkeinheitsknoten mit der verteilten Ausstrahlungsfunktionalität. In einer Ausführungsform wird dies angeordnet durch einen Algorithmus, der auf einer Prüfsumme des Ausstrahlungspakets basiert, wobei die Prüfsumme eindeutig das Ausstrahlungspaket identifiziert. Die Prüfsumme wird zwischengespeichert durch die Ausstrahlungsfunktionalität für den Zweck eines Fallenlassens von nachfolgend ankommenden Ausstrahlungspaketen mit der gleichen Prüfsumme. In einer anderen Ausführungsform wird ein anderer Algorithmus verwendet, basierend auf einem Hop-Zähler, der verringert wird durch jede Ausstrahlungsfunktionalitätseinheit bei Ankunft, wobei der Algorithmus funktioniert, nachfolgende ankommende Pakete fallen zu lassen, wenn der Zähler Null erreicht hat.
  • Bevorzugt ist das globale Netzwerk ein Internet-Protokollnetzwerk, wie zum Beispiel das Internet.
  • Gemäß einem zweiten Aspekt der Erfindung wird ein Verfahren bereitgestellt zum Durchführen der Schritte, die in dieser Anmeldung beschrieben sind, zum Emulieren eines verteilten lokalen Bereichsnetzwerks.
  • Kurze Beschreibung der Zeichnungen
  • Bevorzugte Ausführungsformen der Erfindung werden unten beschrieben mit Bezugnahme auf die Zeichnungen, in denen
  • 1 den Systemüberblick gemäß einer Ausführungsform der vorliegenden Erfindung darstellt;
  • 2 die Verkehrsüberwachung und Session-Übernahme gemäß einer Ausführungsform der vorliegenden Erfindung darstellt;
  • 3 stellt eine verteilte Ausstrahlungsfunktionalität dar, basierend auf einem globalen Netzwerk-Backbone gemäß einer Ausführungsform der Erfindung; und
  • 4 stellt die hierarchische Konfiguration der Ausstrahlungsfunktionalität gemäß einer Ausführungsform der Erfindung dar.
  • 5 stellt ein emuliertes LAN auf einem globalen IP-Netzwerk dar, gemäß einer Ausführungsform der Erfindung.
  • Detaillierte Beschreibung der bevorzugten Ausführungsformen
  • Gemäß einem Aspekt basiert das System gemäß der vorliegenden Erfindung auf einem Standard-IP-Netzwerk, wie das öffentliche Internet. Das System umfasst mehrere VPN-Clients und mindestens einen Server. Ein Server kann ein verteilter Cluster von physikalischen Boxen sein. Die VPN-Clients könnten implementiert werden als Driver auf dem Client-Computer, aber sind aus Gründen der Sicherheit bevorzugt implementiert in einer einzelnen Hardware-Box. Ein Zweck dieses Mechanismus ist es, dynamische und sichere virtuelle lokale Netzwerke zwischen einigen oder allen der Clients zu errichten. Ein virtuelles Netzwerk wird erzeugt durch Einrichten von Verbindungsgruppen in einem VPN-Server. Der Server weist ein Dienstgerät auf zum Verfolgen von verbundenen Maschinen und Abbilden derselben auf IP-Adressen. In einer Ausführungsform wird dies erlangt unter Verwendung von ARP (Adress Resolution Protocol), einem IP-Protokoll, das verwendet wird zum Erlangen einer physikalischen Adresse eines Knotens. Eine Client-Station sendet eine ARP-Anforderung an den VPN-Server mit der VPN-Internen-IP-Adresse des Zielknotens, mit dem sie wünscht, zu kommunizieren, und der VPN-Server antwortet durch Zurücksenden der Externen-IP-Adresse, so dass Pakete übertragen werden können. ARP gibt die Schicht-2-Adresse für eine Schicht-3-Adresse zurück. Der Mechanismus handhabt auch eine Verteilung von öffentlichen Schlüsseln zum Bilden vollständiger Sicherheitsassoziierungen. Für ein Handhaben von Ausstrahlungen wird ein emulierter Ausstrahlungsdienst implementiert in dem Server, bevorzugt unter Verwendung einer IP-Multicast-Gruppe oder als ein getrennter Ausstrahlungsdienst. Daten, die direkt von einer Maschine in das virtuelle Netzwerk zu anderen gesendet werden, werden über IP direkt an die IP-Adresse des empfangenen Klienten bzw. Clients getunnelt. Der Mechanismus enthält sowohl den Fall, wo Datenpakete direkt über IP getunnelt werden, als auch, wenn ein Schicht-2-Medium, wie zum Beispiel Ethernet, auf dem IP-Netzwerk geschalten wird.
  • 5 stellt eine Ausführungsform des System gemäß des vorliegenden Mechanismus dar, wobei ein Netzwerk 4 fünf Knoten umfasst; vier VPN-Clients 31-34 mit globalen Adressen C1-C4 und einen Server S. Alle von diesen sind verbunden mit und haben eine gültige Adresse in dem physikalischen Netzwerk 4. Diese Knoten sind miteinander verbunden, unter Verwendung von Standard-Internet-Routing-Prozeduren, aber die Clients 31-34 sind nicht in dem gleichen LAN. Auf dieser Netzwerkinfrastruktur bilden die Clients 31, 32 und 33 ein virtuelles Netzwerk 30 mit lokalen Adressen D1, D2, und D3. In dem dargestellten Fall sieht es so aus, dass die Clients in diesem VPN auf dem gleichen lokalen Netzwerk sind. Der Grund für dies ist der Ausstrahlungsdienst, das heißt, das Dienstgerät, das alle Pakete für die lokale Ausstrahlungsdomain an alle Maschinen in dem VPN 30 liefert. Daher arbeiten Dienstentdeckungsmechanismen oder Schicht-2-ARP transparent auf dem virtuellen Netzwerk. Wenn Client 31 auf dem VPN ein Paket direkt an Client 32 übertragen will, fordert die Client-Software die physikalische Adresse C2 von dem Server S an, basieren auf der lokalen Adresse D2, sowie mögliche Sicherheitsschlüssel, die benötigt werden zum Sprechen mit D2 von S. D1 ist dann in der Lage, das Paket in einem sicheren Tunnel direkt an D2 zu übertragen, ohne den Server S zu durchlaufen.
  • Das obige stellt einen effektiven und benutzerfreundlichen Mechanismus zum Einrichten von virtuellen privaten Netzwerken über generische IP-Verbindungen dar. Ausstrahlungsdienste und Dienstentdeckungsprotokolle, die normalerweise eine Direkt-Schicht-2-Verbindung benötigen, können unabhängig von der aktuellen Netzwerkstruktur arbeiten. Es stellt auch die Möglichkeit von verteilten Netzwerkausstrahlungshandhaben dar, wobei Regeln und Konfigurationsoptionen in den Endknoten des Netzwerks zwischengespeichert werden können, anstatt in einem zentralisierten Server. Der beschriebene Mechanismus ist einzigartig dadurch, dass er ein vollständig verteiltes emuliertes LAN auf einem IP-Netzwerk präsentiert, wobei Zugang und Attribute, wie zum Beispiel Sicherheitsassoziierungen, vollständig gesteuert werden durch einen Server. Die neuesten Lösungen verwenden statische Tunnel. Entweder werden permanente Verbindungen zwischen den Mitgliedern des VPN oder Tunnelserver eingerichtet, was im Grunde nach wie Modem-Pools arbeitet, nur dass eine IP-Nummer "gewählt" wird. Dies bedeutet, dass der gesamte Verkehr, ungeachtet des letztlichen Ziels, durch diese eine Box geht. Insbesondere kommt Verkehr, der zu diesen Orten in das VLAN (Virtual LAN) geht, anders als der von dem VLAN-Server, hinein durch den Serverzugang und dreht um. Der Ausstrahlungsdienst erlaubt Dienstentdeckungsprotokollen, die entworfen sind für lokale Netzwerke, auf dem VPN zu funktionieren, während der ARP-Mechanismus eine dynamische Einrichtung von sicheren Tunneln direkt zwi schen Endpunkten erlaubt. Der gut bekannte LANE-(LAN-Emulierungs)-Standard wurde total auf ATM (Assynchronous Transfer Mode) fokussiert, und hat als Merkmal kein integriertes Sicherheitshandhaben. Lane führt unter anderem die Fähigkeit ein, Ethernet und Token-Ring-Netzwerke zusammen über ATM zu verbinden. LANE macht den Prozess transparent, was keine Modifizierung für Ethernet und Token-Ring-Stationen benötigt. LANE erlaubt, gewöhnlichen Protokollen, wie zum Beispiel IP, IPX, AppleTalk und DECnet, über ein ATM-Backbone zu gehen. Eine LAN-Emulierung wurde implementiert und verifiziert über ATM. Jedoch wird, da die Systemarchitektur selbst durch ihren Entwurf das Senden aller Daten durch den Server vermeidet, das Flaschenhalsproblem mit den überlasteten Serververbindungen vollständig vermieden.
  • Im Allgemeinen verlässt sich das Zielsystem auf ein Entscheidungsschema darauf, dass ein Dritter eine Client-Rolle in einer Zweiparteienkommunikations-Session übernimmt. In 1 umfassen die Systemprozesse Endbenutzer-Clients, die sich bei Endbenutzerräumlichkeitsgerät 1 befinden, einen zentralen VPN-Systemserver 2 und Netzwerkrand-Lokalisierte-VPN-System-Clients 3. Dicke Linien kennzeichnen physikalische Kommunikationslinien, wobei Pfeile kommunizierende Enden kennzeichnen, ohne ein Spezifizieren von dem Weg, den die Kommunikation nimmt, zwischen diesen kommunizierenden Enden.
  • Der Endbenutzer-Client-Prozess befindet sich bevorzugt in einem PC, der VPN-Client-Prozess befindet sich bevorzugt innerhalb einer einzelnen Hardware-Einheit, und der VPN-Serverprozess befindet sich innerhalb irgendeiner Server-Hardware-Einheit, wie zum Beispiel einem IBM®-Server. Unter Prozess wird hier die Funktionalität für den bestimmten Client oder Server verstanden, wie es hierin beschrieben ist. Der VPN-Server 2 und der VPN-Client sind Teile eines VPN-Systems, das den Endbenutzer-Client 1 mit Zugang zu angeforderten VPNs versieht. Die Endbenutzer-Client-1-Hardware ist physikalisch verbunden über eine Kommunikationsleitung 11 mit der VPN-Client-3-Hardware. Die VPN-Client-3-Hardware ist physikalisch verbunden mit einer Schicht-2-Terminierung, die dem VPN-Client-3 erlaubt, auf das Internet über eine Kommunikationsleitung 12 zuzugreifen. Das Schicht-2-Protokoll ist bevorzugt Ethernet, aber könnte praktischerweise irgendein bekanntes Schicht-2-Protokoll sein, das verwendet wird zur Einkapselung und Transport von IP-(Internet-Protokoll)-Paketen zwischen IP-Knoten. Der VPN-Server 2 ist verbunden mit dem Internet über eine Kommunikationsleitung 13 auf die gleiche Art und Weise, wie der VPN-Client 3.
  • Gemäß einer Ausführungsform des Zielsystems initiiert der Endbenutzer-Client 1 eine Kommunikations-Session mit dem VPN-Server 2, um Zugang zu erhalten zu einem virtuellen privaten Netzwerk. Während der Initialisierungsphase authentifiziert und autorisiert der VPN-Server 2 den Endbenutzer-Client 1 als einen registrierten Benutzer der VPN-Dienste, die bereitgestellt werden durch den VPN-Server 2. Der VPN-Client 3 ist passiv dadurch, dass er nicht irgendwelche neue Informationselemente während der Initialisierungsphase initiiert. Der VPN-Client 3 überwacht 22 auch die Kommunikation 21 zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2.
  • Wenn die Initialisierungsphase zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 beendet ist, und wenn Information ausgetauscht wurde hinsichtlich bestimmter VPN, auf die die Endbenutzer-Clients Zugriff verlangen, dann wird der VPN-Client 3 aktiv und übernimmt die Kommunikations-Session zwischen dem Endbenutzer-Client 1 und dem VPN-Client 3. Der VPN-Client 3 fordert nun, falls es notwendig ist, weil die VPN-Information schon zwischengespeichert werden kann durch den VPN-Client 3, VPN-Konfigurationsdaten an von dem VPN-Server 2. Der VPN-Client 3 verwendet die Konfigurationsdaten zum Konfigurieren notwendiger VPN-Zugangsparameter, wie zum Beispiel Verkehrsklassifizierungsparameter, Leistungsfähigkeitsversicherungsparameter oder Firewall-Parameter, wie zum Beispiel Verschlüsselung, Authentifizierung, Filtern von Parametern, etc.
  • Dem Endbenutzer-Client 1 bzw. Endanwender-Client wird erlaubt, verschiedene VPN-Server zu verwenden, aber er kann nicht simultan auf mehr als einen VPN-Server 2 zugreifen. Der VPN-Client 3 detektiert, wenn ein Endbenutzer-Client 1 versucht, auf einen gewissen Server 2 zuzugreifen. In diesem Moment wird der VPN-Server 2 als unsicher betrachtet, bis der Endbenutzer-Client 1 den VPN-Server 2 authentifiziert hat, und auch authentifiziert wurde durch den VPN-Server 2.
  • Die Überwachungs- und Session-Übernahmeszenarios werden detaillierter in 2 beschrieben. Der VPN-Client 3 hat eine Domain, der vertraut werden kann, welches die Endbenutzer-Client-1-Seite ist, und eine Domain, der nicht vertraut wird, die Internet-Domain. Aus der Sicht des VPN-Clients 3 befindet sich der VPN-Server 2 deshalb in der Domain, der nicht vertraut wird. Da der gesamte ein- und ausgehende IP-Verkehr zu/von dem Endbenutzer-Client hindurchgeht durch die VPN-Client-3-Hardware, ist der VPN-Client 3 in der Lage, die Kommunikation 21 zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 zu überwachen. Dies ist gegeben, falls und nur falls, der IP-Verkehr nicht auf solch eine Art und Weise verschlüsselt ist, dass der VPN- Client 3 nicht in der Lage ist, den IP-Verkehr zu entschlüsseln. Die VPN-Client-3-Software befindet sich auf der Hardware, die physikalisch den Endbenutzer-Client 1 mit dem Internet 4 verbindet. Der VPN-Client 3 ist deshalb in der Lage, den gesamten Verkehr 21 zwischen dem Endbenutzer-Client 1 und verschiedenen VPN-Servern 2 zu überwachen 22, zu welchen der Endbenutzer-Client 1 registriert ist als Benutzer bzw. Anwender.
  • Der VPN-Client 3 identifiziert, wenn der Endbenutzer-Client 1 anfängt, Kontakt mit einem VPN-Server 2 aufzunehmen. Der VPN-Client 3 behandelt die Endbenutzer-Client-1-Seite als eine Partei, der vertraut wird, und den VPN-Server 2, als eine Partei, der nicht vertraut wird. Die Session-Einrichtungsphase 21 zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 könnte auf mehrere Arten durchgeführt werden, beispielsweise durch eine herkömmliche Aufforderung/Antwort-Handschüttelsequenz. Die Kommunikation 21 sollte primär durchgeführt werden durch Web-basierten Clients, aber andere Client-Serverprozessumgebungslösungen sind möglich. Wenn die Handschüttelsequenz zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 beendet ist, übernimmt der VPN-Client 3 die Kommunikations-Session. Das Handschütteln bzw. Handshaking wird als beendet betrachtet, wenn der VPN-Server 2 authentifiziert wurde und den Endbenutzer-Client 1 autorisiert hat, und den Endbenutzer-Client 1 als einen bestätigten Benutzer bestätigt. Der VPN-Client 3 wird von nun an Proxy-Rollen hinsichtlich sowohl des Endbenutzer-Clients 1 und des VPN-Servers 2 übernehmen. Hinsichtlich des Endbenutzer-Clients 1 wird der VPN-Client 3 als ein VPN-Server-Proxy agieren und hinsichtlich des VPN-Servers als ein Endbenutzer-Client-Proxy. Der Endbenutzer-Client 1 wird seine Session weiterführen, unter der Annahme, dass er noch mit dem VPN-Server 2 kommuniziert. Der VPN-Client 3 wird, unter Verwendung der VPN-Server-Proxy-Rolle, die VPN-Einrichtungs-Session mit dem Endbenutzer-Client 1 weiterführen.
  • Ferner wird der VPN-Client 3 nun den VPN-Server 2 als eine sichere Quelle betrachten und Kommunikations-Sessions 23 mit dem VPN-Server 2 starten, der ermöglicht, dass der Endbenutzer-Client 1 als Mitglied in dem angeforderten VPN enthalten ist.
  • In einer Ausführungsform wird das Zielsystem in einem Dienstbereitstellungssystem implementiert, wo Teile der Dienstfunktionalität verteilt werden an System-Clients, die als Server-Proxies agieren. Ein technischer Vorteil des vorliegenden Systems ist der, dass irgendein Hackerangriff über ein Endbenutzer-PC 1 vermieden wird durch kritische Software/Firmware zur Steuerung und Management von VPN-Konfigurationsdaten, getrennt von einer einzelnen Hardware 3. Ein anderer Vorteil ist das automatisierte Übernehmen von zertifizierten Sessions. Ein anderer Vorteil ist das Plug-and-Play-Verhalten für virtuelle Dienste über Internet, was verfügbar gemacht wird durch das System. Die Lehren des vorliegenden Systems unterscheiden sich daher von der Stand-der-Technik-Technologie, da frühere Lösungen für das Problem entweder zentralisierte Serverlösungen umfasst haben, wie zum Beispiel PSTN/ISDN-Modem-Pool-Lösungen, Serverzentralisiertes-IP-Sec-Tunneln etc., oder verteilte Lösungen, die nur gültig waren innerhalb einer Netzwerkoperator-Intra-Domain oder innerhalb föderierter Netzwerkoperator-Domains. Diese Lösungen werden allgemein als netzwerkbasierte VPN-Systeme bezeichnet. Das vorliegende System wird unabhängig davon funktionieren, ob oder ob nicht die verschiedenen VPN-Client-Benutzer auf die gleiche Netzwerkoperator-Domain oder eine föderierte Netzwerk-Domain zugreifen oder Zugang haben auf vollständig unabhängige Netzwerkoperator-Domains.
  • Ein emuliertes Multicast umfasst einen oder bevorzugt mehrere Broadcast-Server bzw. Ausstrahlungs-Server, die verbunden sind mit dem emulierten LAN. Die Verbindung zwischen dem LAN-emulierenden Client LEC, hierin als der VPN-Client bezeichnet, und die Ausstrahlungs-Server können als Tunnel oder durch andere Mittel realisiert werden. Die Ausstrahlungs-Server können dynamisch konfiguriert werden durch einen LAN-emulierenden Server (LES) oder in einer statischen Art und Weise über ein Managementsystem.
  • In einer Ausführungsform der vorliegenden Erfindung, die in 3 dargestellt ist, umfasst das System eine verteilte Architektur von Ausstrahlungs-Servern auf einem emulierten LAN. Das LAN wird emuliert auf einem Standard-IP-Netzwerk, ähnlich zu dem Internet. Dies bedeutet, dass das IP-Netzwerk als Backbone bzw. Basisnetz für das emulierte LAN agiert. In 3 steht pLAN für physikalisches LAN, im Gegensatz zu virtuellem LAN. PC kennzeichnet in dieser Ausführungsform einen gewöhnlichen Personalcomputer, aber kann gerade so gut irgendeine andere Art von Datenkommunikationsgerät sein. Das emulierte LAN wird auf einem Standardglobalnetzwerk implementiert, bevorzugt einem IP-Netzwerk, wie zum Beispiel dem Internet, und funktioniert zum Erweitern des physikalischen LANs, das auf der linken Seite von 3 gesehen werden kann, zu anderen, und entfernten Orten, wie zum Beispiel dem pLAN auf der rechten Seite von 3 oder den anderen PCs. Das emulierte LAN umfasst Verbindungen zwischen LAN-emulierenden Clients (LECs). Ein LEC wird implementiert als getrennte physikalische Einheit und agiert als Brücke zwischen pLAN und dem emulierten LAN-Knoten. Ein LAN-emulierender Server (LES) führt das Management des emulierten LANs und der verbundenen LECs aus.
  • Die Ausstrahlungs- und unbekannte Server (BUS)-Funktionalität könnte in dem LEC implementiert werden als eine getrennte Einheit, verbunden mit dem IP-Netzwerk, und/oder implementiert in dem LES. Unterschiedliche Konfigurierungen werden in 3 gezeigt. Falls der BUS implementiert wird in den LECs, ist die Funktion in den meisten der LECs untätig und funktioniert in einigen. Einige, aber nicht alle, der LECs haben eine laufende BUS-Funktionalität. Die Auswahl des LEC, der einen hochgefahrenen und laufenden BUS hat, wird definiert durch den LES und, basierend auf verschiedenen Leistungsfähigkeitskriterien, wie zum Beispiel verfügbaren Bandbreiten für den IP-Backbone und/oder Anzahl der Einheiten, die verbunden sind mit dem pLan etc.
  • Die BUSes sind bevorzugt angeordnet in einer logischen hierarchischen Struktur, wie in 4 gezeigt. Unter Verwendung einer hierarchischen oder Baumstruktur wird die Effizienz vergrößert. Der Master und Anfangs-BUS, der LES-BUS, ist konfiguriert in dem LES. Unter Verwendung mehrerer BUSes wird die Last auf dem System, das die Ausstrahlungsfunktionalität implementiert, verteilt. Ferner wird die verteilte Architektur ein Lastaufteilen auf den Verbindungen, die die BUSes verbinden, geben. Als Konsequenz der verteilten Architektur gibt es keinen einzelnen Fehlerpunkt für die Ausstrahlungsfunktionalität. wenn ein LEC mit einem emulierten LAN verbunden wird, empfängt der LEC Information von dem LES über die verfügbaren BUSes. Der LES kann bei dieser Stufe den verbindenden LEC konfigurieren, um die BUS-Funktionalität zu starten. Die Verbindungen zwischen dem LEC und den BUSes, die die Knoten des emulierten lokalen Bereichsnetzwerks bilden, können implementiert werden als Multicast-Netzwerk oder als Single-Cast-Adressen, das heißt, Tunnel, zu jedem der anderen LECs.
  • Jeder BUS wird einen Algorithmus aufweisen, um die Möglichkeit eines "Broadcast Storm" auszuschließen, wo Ausstrahlungsnachrichten indefinitiv bzw. unbefristet zwischen den BUSes gesendet werden. Der Algorithmus könnte auf einer Prüfsumme des Ausstrahlungspakets basieren. Diese Prüfsumme wird das Ausstrahlungspaket eindeutig identifizieren, und wird zwischengespeichert durch den BUS. Falls ein anderes Ausstrahlungspaket ankommt mit der gleichen Prüfsumme, wird das Paket fallengelassen und nicht weitergeleitet. In einer alternativen Ausführungsform wird ein anderer Algorithmus verwendet, basierend auf einem Hop-Zähler, ähnlich zu dem Time-To-Live-(TTL, Zeit zu leben)-Parameter, der verwendet wird in IP-Netzwerken. Der Zähler wird bei jedem BUS verringert. Wenn der Zähler Null erreicht, wird das Paket fallengelassen und nicht weitergeleitet.
  • Die Erfindung gemäß dieser Beschreibung kann daher in einem VPN verwendet werden, basierend auf einem emulierten LAN auf dem IP-Netzwerk. Die Erfindung gemäß der Beschreibung unterscheidet sich von früher bekannter Technologie, da existierende VPN-Lösungen einen einzelnen Ausstrahlungs-Server verwenden, und ein technischer Vorteil beruht darin, dass es die Erweiterbarkeit der VPN-Implementierungen verbessert.

Claims (21)

  1. System zum Emulieren eines lokalen Netzwerks über einem globalen Kommunikationsnetzwerk (4), das aufweist: Clienteinheiten (LEC) und einen Server (LES), welche mit dem globalen Netzwerk (4) verbunden sind, und eine Broadcastfunktionalität (BUS) zum Weitergeben von Nachrichten an alle Clients in dem emulierten lokalen Netzwerk, wobei die Broadcastfunktionalität verteilt ist und in mehr als einer Netzwerkknoteneinheit in dem emulierten lokalen Netzwerk implementiert ist, dadurch gekennzeichnet, daß das genannte System auch für die Einrichtung einer oder mehrerer virtueller privater Netzwerkverbindungen verwendet wird, wobei das System eine Endanwenderclientvorrichtung (1) und einen VPN-Zugangsserver (2) aufweist, welcher über das globale Netzwerk (4) kommunizierend mit dem Endanwenderclient verbunden ist, wobei eine autonome VPN-Clientvorrichtung (3) den Endanwenderclient physikalisch mit dem globalen Netzwerk verbindet (11, 12, 13).
  2. System nach Anspruch 1, wobei der Server (LES) anfänglich mit vorbestimmten Leistungskriterien konfiguriert wird und wobei der Server (LES) eingerichtet ist, basierend auf vorbestimmten Leistungskriterien zu definieren, welche Clienteinheiten (LEC) eine laufende Broadcastfunktionalität (BUS) haben.
  3. System nach Anspruch 1, wobei die verteilte Broadcastfunktionalität (BUS) hierarchisch strukturiert ist.
  4. System nach Anspruch 1, wobei in dem Server (LES) eine Haupt- und beginnende Broadcastfunktionalitätseinheit (LES-BUS-Einheit) implementiert ist.
  5. System nach Anspruch 1, wobei die Verbindungen zwischen den Knoten des emulierten lokalen Netzwerks als ein Multicast-Netzwerk implementiert werden können, wobei durch das globale Netzwerk übertragen wird.
  6. System nach Anspruch 1, wobei die Verbindungen zwischen den Knoten des emulierten lokalen Netzwerks als Singlecastadressen implementiert werden können, welche Tunnel durch das globale Netzwerk bilden.
  7. System nach Anspruch 1, wobei jede Netzwerkeinheit mit einer verteilten Broadcastfunktionalität (BUS) Einrichtungen zum Ausführen eines Algorithmus aufweist, um zu verhindern, daß unbegrenzt Broadcastnachrichten zwischen den Netzwerkknoteneinheiten mit der verteilten Broadcastfunktionalität (BUS) gesendet werden.
  8. System nach Anspruch 7, wobei der Algorithmus auf einer Prüfsumme des Broadcastpakets basiert, wobei diese Prüfsumme das Broadcastpaket eindeutig identifiziert und von der Broadcastfunktionalität (BUS) zu dem Zweck in den Cachespeicher aufgenommen wird, nachfolgend ankommende Broadcastpakete mit der gleichen Prüfsumme fallenzulassen.
  9. System nach Anspruch 7, wobei der Algorithmus auf einem Sprungzähler basiert, der von jeder Broadcastfunktionalität (BUS) nach der Ankunft verringert wird, wobei der Algorithmus derart arbeitet, daß er nachfolgende ankommende Pakete fallenläßt, wenn der Zähler null erreicht hat.
  10. System nach Anspruch 1, wobei der VPN-Client Überwachungseinrichtungen zum Überwachen (22) des gesamten Verkehrs (21) zwischen dem Endanwenderclient und dem VPN-Server aufweist.
  11. System nach Anspruch 1, wobei der Endanwenderclient Einleitungseinrichtungen zum Einleiten einer Kommunikationssitzung mit dem VPN-Server aufweist, um Zugang zu einem von dem VPN-Server bereitgestellten VPN zu erhalten.
  12. System nach Anspruch 1, wobei der VPN-Client so entworfen ist, daß er passiv agiert und in Bezug auf die Zweierkommunikationssitzung zwischen dem Endanwenderclient und dem VPN-Server als ein Dritter agiert.
  13. System nach Anspruch 10, wobei die Oberwachungseinrichtungen so entworfen sind, daß sie erkennen, wenn zwischen dem Endanwenderclient und dem VPN-Server eine Quittungsaustauscheinigung etabliert ist.
  14. System nach Anspruch 13, wobei der VPN-Client Sitzungsübernahmeeinrichtungen aufweist, die so entworfen sind, daß sie eine VPN-Zugangserlangungssitzung für den Endanwenderclient nach Erkennung der Quittungsaustauscheinigung übernehmen.
  15. System nach Anspruch 14, wobei die Endanwenderclientseite des VPN-Client als eine sichere Domäne definiert ist, und die Internet- und Serverseite des VPN-Clients als eine unsichere Domäne definiert ist, wobei der VPN-Client so entworfen ist, daß er eine Anforderung nach einer VPN-Sitzungszugangserlangung nur annimmt, wenn sie von der sicheren Domäne eingeleitet wird.
  16. System nach Anspruch 13, wobei die Oberwachungseinrichtungen so entworfen sind, daß sie die Quittungsaustauscheinigung für die Einleitungsphase der VPN-Zugangserlangungssitzung nach der Erkennung, daß der Server den Endanwender als einen bestätigten Anwender quittiert, als abgeschlossen bestimmen.
  17. System nach Anspruch 16, wobei der VPN-Client so entworfen ist, daß der Server nach der Erkennung eines abgeschlossenen Quittungsaustausches und der Durchführung der VPN-Aufbausitzungsübernahme VPN-Konfigurationsdaten verteilt, die für die Einbeziehung des Endanwenderclients in das virtuelle private Netzwerk relevant sind.
  18. System nach Anspruch 17, wobei der VPN-Client so entworfen ist, daß er während der übernommenen VPN-Aufbausitzung durch Verteilen eines oder mehrerer Sicherheitsschlüssel/Berechtigungsnachweise, z.B. eines für den VPN-Client selbst spezifischen öffentlichen Schlüssels, an den VPN-Server und Empfangen von VPN-Konfigurationsdaten in Form eines oder vieler Sicherheitsschlüssel/Berechtigungsnachweise, z.B. eines für den VPN-Server spezifischen Schlüssels, von dem VPN-Server sichere Verbindungen zwischen dem VPN-Client und dem VPN-Server bildet.
  19. System nach Anspruch 1, wobei der VPN-Client so entworfen ist, daß er eine Proxyrolle übernimmt, die Einrichtungen zum Agieren als ein VPN-Serverproxy gegenüber dem Endanwenderclient und Einrichtungen zum Agieren als ein Endanwenderclientproxy gegenüber dem VPN-Server aufweist.
  20. System nach einem der vorhergehenden Ansprüche, wobei das globale Netzwerk als ein Backbone bzw. eine Hauptleitung für das emulierte lokale Netzwerk arbeitet.
  21. System nach Anspruch 20, wobei das globale Netzwerk ein Internetprotokollnetzwerk ist.
DE60130042T 2001-06-27 2001-06-27 Verteilte server-funktionalität für ein emuliertes lan Expired - Fee Related DE60130042T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2001/001473 WO2003003665A1 (en) 2001-06-27 2001-06-27 Distributed server functionality for emulated lan

Publications (2)

Publication Number Publication Date
DE60130042D1 DE60130042D1 (de) 2007-09-27
DE60130042T2 true DE60130042T2 (de) 2008-05-15

Family

ID=20283900

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60130042T Expired - Fee Related DE60130042T2 (de) 2001-06-27 2001-06-27 Verteilte server-funktionalität für ein emuliertes lan

Country Status (5)

Country Link
US (1) US7461157B2 (de)
EP (1) EP1413094B1 (de)
AT (1) ATE370577T1 (de)
DE (1) DE60130042T2 (de)
WO (1) WO2003003665A1 (de)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2811179B1 (fr) * 2000-06-30 2002-09-27 Thomson Csf Procede de routage de trame ip entre les usagers d'un reseau a graphe variable
JP4236398B2 (ja) * 2001-08-15 2009-03-11 富士通株式会社 通信方法、通信システム及び通信接続プログラム
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7783765B2 (en) * 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
EP1328135A1 (de) * 2002-01-15 2003-07-16 Telefonaktiebolaget Lm Ericsson Flexibeles und skalierbares Verfahren zur Bearbeitung von Telekommunikationsvorrichtungen mittels einer Steuerung von ATM Netzen
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
GB2389023B (en) * 2002-05-20 2004-04-28 Sun Microsystems Inc Computer system, method and network
US7664056B2 (en) 2003-03-10 2010-02-16 Meetrix Corporation Media based collaboration using mixed-mode PSTN and internet networks
US7444425B2 (en) * 2003-03-10 2008-10-28 Meetrix, Inc. Applying multicast protocols and VPN tunneling techniques to achieve high quality of service for real time media transport across IP networks
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US8005958B2 (en) * 2003-06-27 2011-08-23 Ixia Virtual interface
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
KR100803590B1 (ko) * 2003-10-31 2008-02-19 삼성전자주식회사 이종망간에 데이터 통신이 가능한 터널 서비스를 제공하는시스템
JP4342966B2 (ja) * 2004-01-26 2009-10-14 株式会社日立コミュニケーションテクノロジー パケット転送装置
US7610375B2 (en) * 2004-10-28 2009-10-27 Cisco Technology, Inc. Intrusion detection in a data center environment
US7761702B2 (en) * 2005-04-15 2010-07-20 Cisco Technology, Inc. Method and apparatus for distributing group data in a tunneled encrypted virtual private network
US8347358B2 (en) * 2007-06-25 2013-01-01 Microsoft Corporation Open enhanced federation security techniques
US8490160B2 (en) * 2007-10-04 2013-07-16 Microsoft Corporation Open federation security techniques with rate limits
GB2509278B (en) * 2011-09-22 2020-02-26 Stuart Goodwin Russell Network user identification and authentication
CN103608787B (zh) * 2012-05-11 2016-06-15 华为技术有限公司 数据传输方法、系统及装置
US9473351B2 (en) * 2013-04-02 2016-10-18 General Electric Company System and method for automated provisioning of a wireless device
US20150271268A1 (en) * 2014-03-20 2015-09-24 Cox Communications, Inc. Virtual customer networks and decomposition and virtualization of network communication layer functionality

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6041166A (en) * 1995-07-14 2000-03-21 3Com Corp. Virtual network architecture for connectionless LAN backbone
US5805805A (en) * 1995-08-04 1998-09-08 At&T Corp. Symmetric method and apparatus for interconnecting emulated lans
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
US6047325A (en) * 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6189041B1 (en) * 1997-11-12 2001-02-13 International Business Machines Corporation Next hop resolution protocol cut-through to LANs
FR2773428B1 (fr) * 1998-01-06 2000-02-04 Bull Sa Procede de communication dans un ensemble de systemes distribues via un reseau du type internet
US6006259A (en) * 1998-11-20 1999-12-21 Network Alchemy, Inc. Method and apparatus for an internet protocol (IP) network clustering system
US6587467B1 (en) * 1999-11-03 2003-07-01 3Com Corporation Virtual channel multicast utilizing virtual path tunneling in asynchronous mode transfer networks
US7752024B2 (en) * 2000-05-05 2010-07-06 Computer Associates Think, Inc. Systems and methods for constructing multi-layer topological models of computer networks
US6772226B1 (en) * 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
AU2002234258A1 (en) * 2001-01-22 2002-07-30 Sun Microsystems, Inc. Peer-to-peer network computing platform

Also Published As

Publication number Publication date
ATE370577T1 (de) 2007-09-15
EP1413094A1 (de) 2004-04-28
WO2003003665A1 (en) 2003-01-09
EP1413094B1 (de) 2007-08-15
US7461157B2 (en) 2008-12-02
US20040205188A1 (en) 2004-10-14
DE60130042D1 (de) 2007-09-27

Similar Documents

Publication Publication Date Title
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60025080T2 (de) Gateway und Netzwerk für Identifizierungsmarke vermittelt Medien
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60216779T2 (de) System und Verfahren zur Bereitstellung von Punkt-zu-Punkt Protokoll über Ethernet an mobilen Plattformen
DE60121483T2 (de) Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln
DE69836271T2 (de) Mehrstufiges firewall-system
US8340103B2 (en) System and method for creating a secure tunnel for communications over a network
AU770584B2 (en) Secured session sequencing proxy system and method therefor
DE602004010703T2 (de) Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft
US6832321B1 (en) Public network access server having a user-configurable firewall
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
DE69928504T2 (de) Bereitstellung eines sicheren Zugriffs auf Netzwerkdienste
CN107181792B (zh) 基于MQTT和n2n VPN的远端智能设备管理方法及装置
DE19740547A1 (de) Sicherer Netzwerk-Proxy zum Verbinden von Entitäten
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
DE10008519C1 (de) Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
US7424736B2 (en) Method for establishing directed circuits between parties with limited mutual trust
DE102009032465B4 (de) Sicherheit in Netzwerken
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
WO2003003664A1 (en) System and method for address and key distribution in virtual networks
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
WO2003003660A1 (en) System and method for establishment of virtual private networks using transparent emulation clients

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee