DE10104292A1 - Verfahren und Vorrichtung zum Aufbau einer Kommunikationsverbindung - Google Patents
Verfahren und Vorrichtung zum Aufbau einer KommunikationsverbindungInfo
- Publication number
- DE10104292A1 DE10104292A1 DE2001104292 DE10104292A DE10104292A1 DE 10104292 A1 DE10104292 A1 DE 10104292A1 DE 2001104292 DE2001104292 DE 2001104292 DE 10104292 A DE10104292 A DE 10104292A DE 10104292 A1 DE10104292 A1 DE 10104292A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- connection control
- control server
- target computer
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Die Erfindung betrifft eine zum Aufbau einer Kommunikationsverbindung zwischen einem Quellencomputer und einem Zielcomputer in einem Datennetz, mit einem jeweils den Computern zugeordneten Netzserver, der den Computern bei Einwahl in das Datennetz jeweils eine Netzadresse zuordnet, wobei im Datennetz ein Verbindungs-Kontrollserver vorgesehen ist, dem eine feste Netzadresse zugewiesen ist und dass der Verbindungs-Kontrollserver in Abhängigkeit von einer Zulässigkeitsbedingung dem Quellencomputer die Netzadresse des Zielcomputers mitteilt.
Description
Die Erfindung betrifft ein Verfahren zum Aufbau einer Kom
munikationsverbindung zwischen einem Quellencomputer und
einem Zielcomputer in einem Datennetz, wobei der Quellen
computer und der Zielcomputer von einem Netzserver jeweils
eine Netzadresse zugewiesen bekommen.
Ferner betrifft die Erfindung eine Vorrichtung zum Aufbau
einer Kommunikationsverbindung zwischen einem Quellencompu
ter und einem Zielcomputer in einem Datennetz, mit einem
jeweils den Computern zugeordneten Netzserver, der den Com
putern bei Einwahl in das Datennetz jeweils eine Netzadres
se zuordnet.
Aus der EP 1 039 724 A2 ist ein Verfahren zur Zuordnung ei
ner Internetprotokoll-Adresse (IP-Adressse) zu einem Compu
ter bekannt, bei der die Netzadressen mit Nutzerkennungen
paarweise verknüpft werden. Die Paare von Nutzerkennungen/Netzadressen
werden in einem Authentikationsserver au
thentisiert und in einem weiteren Server abgelegt. Dieser
Server enthält ein Kommunikationsprogramm, so dass zur Aus
führung von Applikationen der Zugang zu den entsprechenden
Paaren von Nutzerkennungen/Netzadressen ermöglicht ist. Das
aus diesem Stand der Technik bekannte Verfahren bzw. Vor
richtung dient somit zur Authentisierung von Nutzerken
nungs/Netzadressenpaaren. Die gespeicherten Datenpaare wer
den auf Anforderung einem bestimmten Computer zur Verfügung
gestellt. Für den Aufbau einer gesicherten Kommunikations
verbindung zwischen einem die Kommunikation aufbauenden
Quellen- und einem Zielcomputer in einem Datennetz ist das
bekannte Verfahren bzw. die bekannte Vorrichtung nicht vor
gesehen.
Bei Computern, die nicht ständig an ein Datennetz, insbe
sondere an das Internet, angeschlossen sind, erfolgt bei
jeder Einwahl in das Datennetz die Vergabe einer neuen
Netzadresse. Diese Netzadresse ist nur für die Dauer der
betreffenden Sitzung gültig. Soll nun zwischen einem Quel
lencomputer und einem Zielcomputer, die beide an dem Daten
netz angeschlossen sind, ein Datenaustausch erfolgen, be
steht das Problem, dass der Quellencomputer nicht die aktu
elle Netzadresse des Zielcomputers kennt.
Aufgabe der vorliegenden Erfindung ist es daher, ein Ver
fahren und eine Vorrichtung zum Aufbau einer Kommunikati
onsverbindung zwischen einem Quellencomputer und einem
Zielcomputer anzugeben, so dass ein Datenaustausch nur bei
Vorliegen vorgegebener Autorisierungsbedingungen erfolgen
kann.
Zur Lösung dieser Aufgabe ist das erfindungsgemäße Verfah
ren dadurch gekennzeichnet, dass von dem Quellencomputer
und dem Zielcomputer bei Einwahl in das Datennetz jeweils
eine Netzadresse und gegebenenfalls eine Computerkennung an
einen Verbindungs-Kontrollserver übertragen wird zur Anmel
dung derselben, dass der die Kommunikation aufbauende Quel
lencomputer bei Einwahl in das Datennetz unter Angabe sei
ner Netzadresse den Verbindungs-Kontrollserver eine Anfor
derung überträgt, eine Kommunikationsverbindung zu dem
Zielcomputer herzustellen, dass der Verbindungs-
Kontrollserver erst überprüft, ob der Zielcomputer noch im
Datennetz angemeldet ist und dann dem Quellencomputer die
Netzadresse des Zielcomputers überträgt zur nachfolgenden
bidirektionalen Kommunikationsverbindung zwischen dem Quel
lencomputer und dem Zielcomputer.
Zur Lösung der Aufgabe ist die erfindungsgemäße Vorrichtung
dadurch gekennzeichnet, dass im Datennetz ein Verbindungs-
Kontrollserver vorgesehen ist, dem eine feste Netzadresse
zugewiesen ist, und dass der Verbindungs-Kontrollserver in
Abhängigkeit von einer Zulässigkeitsbedingung dem Quellen
computer die Netzadresse des Zielcomputers mitteilt.
Erfindungsgemäß wird die Verbindung zwischen einem Quellen
computer und einem Zielcomputer mittels eines Verbindungs-
Kontrollservers hergestellt. Der Verbindungs-Kontrollserver
weist Informationen über Netzadressen des Zielcomputers auf
und leitet die Netzadresse des Zielcomputers in Abhängig
keit von Zulässigkeitsbedingungen an den Quellencomputer
zu. Dem Verbindungs-Kontrollserver kommt damit eine Steue
rungsfunktion zu, die zum einen erst den Verbindungsaufbau
ermöglicht - durch Bereitstellung der Netzadresse des
Zielcomputers - und zum anderen einen unerwünschten Verbin
dungsaufbau - durch Nichtzuleitung der Netzadresse des
Zielcomputers - verhindert.
Nach einer besonderen Ausführungsform der Erfindung dient
der Verbindungs-Kontrollserver als Vermittlungsserver, der
die Anfrage des Quellencomputers nach der Netzadresse des
Zielcomputers in Abhängigkeit von einer Zulässigkeitsbedin
gung bearbeitet. Voraussetzung ist, dass der Zielcomputer
bereits im Datennetz angemeldet ist, wobei seine Netzadres
se an den Verbindungs-Kontrollserver weitergegeben worden
ist, und dass der Zielcomputer noch eine Verbindung zu dem
Datennetz hat. Sind diese Bedingungen erfüllt, leitet der
Verbindungs-Kontrollserver die Netzadresse des Zielcompu
ters an den Quellencomputer weiter.
Nach einer Weiterbildung der Erfindung weist der Quellen
computer und der Zielcomputer jeweils ein Netzeinwahl-
Überwachungsprogramm auf, das bei Einwahl des Quellencompu
ters in das Datennetz selbsttätig die Übertragung der aktu
elle Netzadresse und eine eindeutige Computerkennung des
Computers an den Verbindungs-Kontrollserver veranlasst, wo
bei die Computerkennung vom Verbindungs-Kontrollserver ein
malig und dann für alle Zeit dem jeweiligen Computer zuge
ordnet wird. Hierdurch wird automatisch die Anmeldung des
Computers an den Verbindungs-Kontrollserver gestartet.
Vorteilhaft ist der Verbindungs-Kontrollserver durch eine
unveränderliche Netzadresse gekennzeichnet, so dass die
Computer (Ziel- und Quellencomputer) des Datennetzes jeder
zeit und zuverlässig Anfragen an den Verbindungs-
Kontrollserver richten können.
Nach einer besonderen Ausführungsform der Erfindung erfolgt
die Kommunikation zwischen dem Quellencomputer und dem Ver
bindungs-Kontrollserver sowie zwischen dem Verbindungs-
Kontrollserver und dem Zielcomputer und vice versa unter
Bildung einer digitalen Signatur, so dass der Quellen- und
Zielcomputer gegenüber dem Verbindungs-Kontrollserver bzw.
gegeneinander identifiziert sind. Auf diese Weise ist ge
währleistet, dass nur zwischen berechtigten Quellen- und
Zielcomputern eine Kommunikationsverbindung bzw. ein Daten
austauschvorgang aufgebaut wird. Im Verbindungs-Kontroll
server sind die öffentlichen Schlüssel der Computer gespei
chert. Der Verbindungs-Kontrollserver sendet signiert den
öffentlichen Schlüssel des Quellencomputers an den Zielcom
puter verbunden mit der Anfrage, ob die Verbindung des
Quellencomputers mit dem Zielcomputer erlaubt ist. Sofern
der Zielcomputer ein Bestätigungssignal an den Verbindungs-
Kontrollserver zurücksendet, übermittelt der Verbindungs-
Kontrollserver zum einen die Netzadresse und zum anderen
den öffentlichen Schlüssel des Zielcomputers an den Quel
lencomputer.
Vorteilhaft erfolgt die Kommunikation zwischen den Compu
tern bzw. Verbindungs-Kontrollserver und den Computern über
gesicherte Verbindungen, d. h. die Nachrichten werden ver
schlüsselt und signiert. Zusätzlich wird für den Aufbau der
Kommunikation ein Sitzungsschlüssel ausgetauscht, welcher
für die symmetrische Verschlüsselung der eigentlichen Da
tenübertragung benutzt wird.
Ausführungsbeispiele der Erfindung werden nachfolgend an
hand der Zeichnungen näher erläutert.
Es zeigen:
Fig. 1 ein Blockschaltbild einer Vorrichtung zum Aufbau
einer Kommunikationsverbindung zwischen einem
Quellencomputer und einem Zielcomputer,
Fig. 2 ein Flussdiagramm eines Aufbaus der Kommunikati
onsverbindung gemäß Fig. 1,
Fig. 3 ein Flussdiagramm eines authentisierten Aufbaus
einer Kommunikationsverbindung gemäß Fig. 1,
Fig. 4 ein Blockschaltbild der Vorrichtung mit Darstel
lung der ablaufenden Kommunikationsschritte und
Fig. 5 ein Blockschaltbild der Kommunikation zwischen
dem Quellencomputer und dem Zielcomputer, nachdem
der Quellencomputer die Netzadresse des Zielcom
puters durch den Verbindungs-Kontrollserver er
halten hat.
Die Erfindung findet Anwendung beim Aufbau einer Kommunika
tionsverbindung zwischen mindestens zwei Computern zur
Bildtelefonie, zum Mailing, zum dezentralen Datenaustausch,
für Onlinespiele etc.. Statt des Computers kann die Erfin
dung Anwendung finden auf beliebige Datenverarbeitungsend
geräte, wie beispielsweise Mobiltelefone. Wesentlich ist,
dass das Endgerät mit anderen Endgeräten vernetzt ist zur
Übertragung bzw. zum Austausch von Daten.
Fig. 1 zeigt beispielhaft einen ersten Computer, nämlich
einen Quellencomputer 1 und einen zweiten Computer, nämlich
einen Zielcomputer 2, die über ein Datennetz, hier Internet
3 miteinander verbindbar sind. Die Computer 1, 2 sind vor
zugsweise Personalcomputer, die nicht ununterbrochen mit
dem Internet 3 verbunden sind.
Zum Aufbau einer Kommunikationsverbindung zwischen Quellen
computer 1 und dem Zielcomputer 2 erfolgt über einen Provi
der die Einwahl des Quellencomputers 1 in das Internet 3.
Das Internet 3 steht beispielhaft für ein Netzwerk. Dieses
kann beispielsweise auch ein GSM-Netzwerk sein. Hierbei er
hält der Quellencomputer 1 eine nur für die Dauer der Sit
zung im Internet gültige IP-Adresse. Die IP-Adresse gilt
als eindeutige Netzwerkadresse des Computers. Der Provider
weist einen Netzserver auf, der die Zuordnung der Netzwer
kadresse zu den Computern 1, 2 ermöglicht.
Dem Quellencomputer 1 und dem Zielcomputer 2 ist jeweils
ein Netzeinwahl-Überwachungs-Programm (NEU-Programm) 4 zu
geordnet, das die Einwahl des Quellencomputers 1 und des
Zielcomputers 2 in das Internet 3 überwacht und selbsttätig
die aktuelle IP-Adresse und den Port des entsprechenden
Computers 1, 2 als Netzadresse an einen Verbindungs-
Kontrollserver (VK-Server) 5 überträgt. Dieser VK-Server 5
weist eine fest und unveränderliche Netzadresse auf, so
dass er stets von den im Internet 3 angeschlossenen Compu
tern 1, 2 ansprechbar ist.
Wie besser aus Fig. 2 ersichtlich ist, erfolgt nach der
Anfrage 21 des Quellencomputers 1 an den Verbindungs-
Kontrollserver 5, die Netzadresse des Zielcomputers 2 zu
erhalten, wobei die Anfrage 21 mit der Übertragung der ak
tuellen Netzadresse des Quellencomputers 1 an den Verbin
dungs-Kontrollserver 5 verbunden ist, in einem weiteren
Schritt eine Überprüfung 22 des Verbindungs-Kontrollservers
5, ob die Netzadresse des Zielcomputers 2 gültig ist.
Nach einer ersten Ausführungsform der Erfindung leitet der
Verbindungs-Kontrollserver 5 die Computerkennung des Quel
lencomputers 1 an den Zielcomputer 2 weiter. Der Zielcompu
ter 2 antwortet dem Verbindungs-Kontrollserver 5 entweder
mit einem Bestätigungs- oder mit einem Verneinungssignal.
Nach einer Ausführungsform kann das Bestätigungssignal
durch die Übergabe der aktuellen Netzadresse des Zielcompu
ters 2 und eines Einmalpasswortes bewirkt werden. Zur Ver
neinung der Anfrage kann das Verneinungssignal lediglich
eine Bitfolge sein, die keine weiteren Informationen ent
hält.
Nach einer bevorzugten Ausführungsform ist die Netzadresse
des Zielcomputers 2 bereits in dem Verbindungs-
Kontrollserver 5 infolge der Anmeldung bei demselben bei
Einwahl in das Datennetz gespeichert. In diesem Fall er
folgt lediglich die Überprüfung, ob der Zielcomputer 2 noch
in dem Datennetz 3 angemeldet ist.
Wird die Zulässigkeitsbedingung 23 für den Aufbau der Ver
bindung zwischen dem Quellencomputer 1 und dem Zielcomputer
2 bestätigt, erfolgt eine Übergabe der Netzadresse und vor
zugsweise des öffentlichen Schlüssels und eines Einmalpass
wortes des Zielcomputers 2 durch den Verbindungs-
Kontrollserver 5 an den Quellencomputer 1, siehe Schritt
24. Der Quellencomputer 1 ist nunmehr in der Lage, den
Zielcomputer 2 direkt anzusprechen. In einem ersten Schritt
erfolgt die Übertragung der Netzadresse des Quellencompu
ters 1 an den Zielcomputer 2, so dass im Folgenden ein bi
direktionaler unmittelbarer Datenaustausch zwischen dem
Quellencomputer 1 und dem Zielcomputer 2 gewährleistet ist.
Fällt die Antwort auf die Zulässigkeitsbedingung 23 negativ
aus, erfolgt eine Nichtweitergabe 25 der Netzadresse des
Zielcomputers 2 an den Quellencomputer 1. Eine Kommunikati
onsverbindung zwischen dem Quellencomputer 1 und dem
Zielcomputer 2 kann infolgedessen nicht aufgebaut werden.
Nach einer weiteren Ausführungsform der Erfindung gemäß
Fig. 3 erhält jeder Computer 1, 2 sowie der VK-Server 5 ein
asymmetrisches Schlüsselpaar bestehend aus einem geheimen
und einem öffentlichen Schlüssel. Alle Computer (hier Com
puter 1 und Computer 2) kennen den öffentlichen Schlüssel
des VK-Servers 5. Hierdurch kann eine verschlüsselte Kommu
nikation zwischen den Computern 1 und 2 bzw. den Computern
1, 2 und dem Verbindungs-Kontrollserver 5 andererseits ge
schaffen werden.
Der Verbindungs-Kontrollserver 5 weist wie die Computer 1,
2 ein Authentisierungsprogramm 6 auf, so dass eine Public
Key Infrastruktur gewährleistet ist, nach der der Verbin
dungs-Kontrollserver nach Art eines Trust-Centers für den
Austausch öffentlicher Schlüssel und der Sicherstellung der
Authentizität der öffentlichen Schlüssel sorgt. Der Verbin
dungs-Kontrollserver 5 liefert einen Schlüssel an den Quel
lencomputer 1, der die Authentizität und die Echtheit der
übermittelten Nachrichten gewährleistet.
Der Verbindungs-Kontrollserver 5 weist die öffentlichen
Schlüssel der Nutzer des Quellencomputers 1 und des
Zielcomputers 2 auf. In einem ersten Schritt erfolgt analog
zu der Ausführungsform gemäß Fig. 2 eine Anfrage 31 des
Quellencomputers 1 nach der aktuellen Netzadresse des
Zielcomputers 2. Diese Anfrage 31 erfolgt wie auch die wei
tere Anfrage 32 des Verbindungs-Kontrollserver 5 an den
Zielcomputer 2 unter Anwendung einer digitalen Signatur.
Gemäß Anfrage 32 übermittelt der VK-Server 5 den öffentli
chen Schlüssel des Quellencomputers 1 an den Zielcomputer
2. Fällt die Anfrage positiv aus, dass heißt ist die Zuläs
sigkeitsbedingung 33 erfüllt, übermittelt der VK-Server 5
sowohl die aktuelle Netzadresse als auch den öffentlichen
Schlüssel des Zielcomputers 2 an den Quellencomputer 1.
Gleichzeitig übermittelt der VK-Server 5 den öffentlichen
Schlüssel und die Netzadresse des Quellencomputers 1 an den
Zielcomputer 2, siehe Schritt 34, so dass nachfolgend eine
bidirektionale Kommunikationsverbindung zwischen dem Quel
lencomputer 1 und dem Zielcomputer 2 gewährleistet ist,
siehe Schritt 35. Im negativen Fall erfolgt in einem
Schritt 36 analog zum Schritt 25 gemäß Fig. 2 eine Meldung
des VK-Servers 5 an den Quellencomputer 1, dass keine Kom
munikationsverbindung herstellbar ist.
Der VK-Server 5 weist nur die öffentlichen Schlüssel der
jeweiligen Nutzer auf. Der VK-Server 5 dient somit als
Trust-Zentrale, mittels der sowohl eine sichere als auch
eine authentisierte Kommunikation zwischen Nutzern ermög
licht wird.
Wie genauer aus Fig. 4 deutlich wird, wird davon ausgegan
gen, dass der Zielcomputer 2 bereits durch Nachricht 1 bei
dem VK-Server 5 angemeldet ist. Die zeitliche Abfolge der
übermittelten Nachrichten bzw. der Kommunikationsschritte
wird in Fig. 4 durch die eingeklammerten Bezugsziffern
dargestellt. Mit der Anmeldung wird die Netzadresse des
Zielcomputers 2 dem VK-Server 5 übertragen. Will nun der
Quellencomputer 1 sich in das Datennetz 3 einwählen und ei
ne Kommunikationsverbindung mit dem Zielcomputer 2 aufneh
men, erfolgt eine Kommunikationsnachricht 2 zu dem VK-
Server 5, nach der zum einen die Netzadresse des Quellen
computers 1 mitgeteilt wird und zum anderen eine Anforde
rung nach der aktuellen Netzadresse des Zielcomputers 2
übermittelt wird, wie bereits oben beschrieben. Durch einen
Kommunikationsschritt 3 wird überprüft, ob der Zielcomputer
2 noch eine Verbindung mit dem Datennetz aufweist. In einem
positiven Fall wird gemäß Kommunikationsschritt 4 die Netz
adresse des Zielcomputers 2 sowie der öffentliche Schlüssel
desselben an den Quellencomputer 1 übertragen.
Der Quellencomputer 1 weist nun die erforderlichen Informa
tionen auf, um eine direkte Verbindung mit dem Zielcomputer
2 aufbauen zu können. Zu diesem Zweck erfolgt ein Verbin
dungsaufbau 5, der in zwei Teilschritte aufgeteilt ist.
Nach einem ersten Teilschritt 50 erfolgt eine Authentisie
rung der beiden Computer 1, 2, die nach einem unsymmetri
schen Verschlüsselungsverfahren abläuft. Zu diesem Zweck
übermittelt der Quellencomputer 1 dem Zielcomputer 2 seinen
öffentlichen Schlüssel sowie seine Netzadresse. Eine Über
gabe des öffentlichen Schlüssels des Zielcomputers 2 kann
entfallen, da dieser dem Quellencomputer 1 bereits bekannt
ist.
Gemäß einem weiteren Teilschritt 51 wird ein gemeinsamer
Sitzungsschlüssel erzeugt, der zur Vorbereitung der nach
folgenden verschlüsselten bidirektionalen Kommunikation
zwischen dem Quellencomputer 1 und dem Zielcomputer 2
dient. Der Quellencomputer 1 erzeugt und verschlüsselt den
Sitzungsschlüssel mit seinem privaten Schlüssel. Nachfol
gend erfolgt eine Verschlüsselung dieses Wertes mit dem öf
fentlichen Schlüssel des Zielcomputers 2. Der somit zwei
fach verschlüsselte Sitzungsschlüssel wird dann an den
Zielcomputer 2 übertragen.
Der Zielcomputer 2 entschlüsselt den übertragenen Wert zu
erst mit seinem privaten Schlüssel und dann mit dem öffent
lichen Schlüssel des Quellencomputers 1. Beide Computer 1,
2 haben nun einen gemeinsamen Geheimnissitzungsschlüssel,
der nur für die nachfolgende Kommunikation Gültigkeit hat.
Dadurch, dass der Sitzungsschlüssel in dem Quellencomputer
1 durch seinen privaten Schlüssel verschlüsselt worden ist,
kann nach Dekodierung in dem Zielcomputer 2 sicher festge
stellt werden, dass der Sitzungsschlüssel von dem betref
fenden Quellencomputer 1 stammt. Der Quellencomputer 1 ist
somit identifiziert.
In einem nachfolgenden Schritt 52 kann nunmehr die ver
schlüsselte bidirektionale Kommunikation zwischen dem Quel
lencomputer 1 und dem Zielcomputer durchgeführt werden. Au
ßerdem kann ausschließlich der Zielcomputer 2 den Sitzungs
schlüssel entschlüsseln.
Der durch die Schritte 50 und 51 bewirkte Verbindungsaufbau
ermöglicht eine Vereinfachung des Anmeldungsverfahrens zwischen
den Computern 1 und 2. Durch die beschriebene Ver
schlüsselung wird die Kommunikationssicherheit einerseits
erhöht und andererseits ein schneller Verbindungsaufbau be
wirkt. Ein zeitaufwendiges übliches Handshaking-Verfahren
kann wegfallen.
Claims (12)
1. Verfahren zum Aufbau einer Kommunikationsverbindung
zwischen einem Quellencomputer und einem Zielcomputer
in einem Datennetz, wobei der Quellencomputer und der
Zielcomputer von einem Netzserver jeweils eine Netza
dresse zugewiesen bekommen, dadurch gekennzeichnet,
dass von dem Quellencomputer (1) und dem Zielcomputer
(2) bei Einwahl in das Datennetz (3) jeweils eine Netz
adresse an einen Verbindungs-Kontrollserver (VK-Server
5) übertragen wird zur Anmeldung derselben, dass der
die Kommunikation aufbauende Quellencomputer (1) bei
Einwahl in das Datennetz (3) unter Angabe seiner Netza
dresse den Verbindungs-Kontrollserver (5) eine Anforde
rung überträgt, eine Kommunikationsverbindung zu dem
Zielcomputer (2) herzustellen, dass der Verbindungs-
Kontrollserver (5) erst überprüft, ob der Zielcomputer
(2) noch im Datennetz (3) angemeldet ist und dann dem
Quellencomputer (1) die Netzadresse des Zielcomputers
(2) überträgt zur nachfolgenden bidirektionalen Kommu
nikationsverbindung zwischen dem Quellencomputer (1)
und dem Zielcomputer (2).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
der Verbindungs-Kontrollserver (5) die Netzadresse des
Quellencomputers (1) an den Zielcomputer (2) weiterlei
tet und dass der Zielcomputer (2) in Abhängigkeit von
der Zulässigkeitsbedingung ein Bestätigungssignal oder
ein Verneinungssignal an den Verbindungs-Kontrollserver
(5) abgibt.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich
net, dass der Quellencomputer (1) nach Erhalt der durch
das Bestätigungssignal des Zielcomputers (2) freigege
benen und von dem Verbindungs-Kontrollserver (5) erhal
tenen Netzadresse des Zielcomputers (2) die Netzadresse
des Quellencomputers (1) an den Zielcomputer (2) über
trägt, so dass nachfolgend die unmittelbare bidirektio
nale Kommunikationsverbindung zwischen dem Quellencom
puter (1) und dem Zielcomputer (2) hergestellt wird.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
der Verbindungs-Kontrollserver (5) überprüft, ob der
Zielcomputer (2) noch eine Netzverbindung aufweist,
dass der Verbindungs-Kontrollserver (5) bei Vorliegen
einer Netzverbindung des Zielcomputers (2) die im Ver
bindungs-Kontrollserver (5) gespeicherte Netzadresse
des Zielcomputers (2) an den Quellencomputer (1) über
gibt.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch ge
kennzeichnet, dass die Nachrichten zwischen dem Quel
lencomputer (1) und dem Verbindungs-Kontrollserver (5)
sowie zwischen dem Verbindungs-Kontrollserver (5) und
dem Zielcomputer (2) verschlüsselt übertragen werden.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch ge
kennzeichnet, dass der Verbindungs-Kontrollserver (5)
den öffentlichen Schlüssel des Quellencomputers (1) si
gniert an den Zielcomputer (2) sendet und dass bei Vor
liegen eines Bestätigungssignals durch den Zielcomputer
(2) der Verbindungs-Kontrollserver (5) die Netzadresse
und den öffentlichen Schlüssel des Zielcomputers (2) an
den Quellencomputer (1) sendet.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch ge
kennzeichnet, dass die bidirektionale Verbindung zwi
schen dem Quellencomputer (1) und dem Zielcomputer (2)
durch eine wechselseitige Authentisierung und dann
durch Austausch eines Sitzungsschlüssels eingeleitet
wird.
8. Vorrichtung zum Aufbau einer Kommunikationsverbindung
zwischen einem Quellencomputer und einem Zielcomputer
in einem Datennetz, mit einem jeweils den Computern zu
geordneten Netzserver, der den Computern bei Einwahl in
das Datennetz jeweils eine Netzadresse zuordnet, da
durch gekennzeichnet, dass im Datennetz (3) ein Verbin
dungs-Kontrollserver (5) vorgesehen ist, dem eine feste
Netzadresse zugewiesen ist, und dass der Verbindungs-
Kontrollserver (5) in Abhängigkeit von einer Zulässig
keitsbedingung dem Quellencomputer (1) die Netzadresse
des Zielcomputers (2) mitteilt.
9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet,
dass dem Quellencomputer (1) und dem Zielcomputer (2)
ein Netzeinwahl-Überwachungsprogramm (4) zugeordnet
ist, das bei Einwahl des Quellencomputers (1) in das
Datennetz selbsttätig die Übertragung der aktuellen
Netzadresse des Quellencomputers (1) bzw. des Zielcom
puters (2) an den Verbindungs-Kontrollserver (5) be
wirkt und gegebenenfalls Mittel aufweist zur Ermögli
chung und Aufrechterhaltung der direkten Kommunikation
zwischen dem Quellencomputer (1) und dem Zielcomputer
(2).
10. Vorrichtung nach Anspruch 8 oder 9, dadurch gekenn
zeichnet, dass die Zulässigkeitsbedingung durch Über
prüfung des Verbindungs-Kontrollservers (5), ob der
Zielcomputer (2) noch mit dem Netz verbunden ist, ge
bildet ist.
11. Vorrichtung nach einem der Ansprüche 8 bis 10, dadurch
gekennzeichnet, dass die Kommunikation zwischen dem
Quellencomputer (1) und dem Verbindungs-Kontrollserver
(5) sowie dem Verbindungs-Kontrollserver (5) und dem
Zielcomputer (2) mittels eines Public-Key-Verschlüssel
ungsverfahrens oder mittels eines unsymmetrischen Ver
schlüsselungsverfahrens erfolgt, wobei in dem Verbin
dungs-Kontrollserver (5) die öffentlichen Schlüssel des
Quellencomputers (1) und des Zielcomputers (2) gespei
chert sind, derart, dass bei Bejahung der Zulässig
keitsbedingung die Netzadresse und der öffentliche
Schlüssel des Zielcomputers (2) an den Quellencomputer
(1) übertragen werden.
12. Vorrichtung nach einem der Ansprüche 8 bis 11, dadurch
gekennzeichnet, dass die direkte Kommunikation zwischen
dem Quellencomputer (1) und dem Zielcomputer (2) unter
Verschlüsselung der Nachrichten erfolgt.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001104292 DE10104292A1 (de) | 2001-01-30 | 2001-01-30 | Verfahren und Vorrichtung zum Aufbau einer Kommunikationsverbindung |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001104292 DE10104292A1 (de) | 2001-01-30 | 2001-01-30 | Verfahren und Vorrichtung zum Aufbau einer Kommunikationsverbindung |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10104292A1 true DE10104292A1 (de) | 2002-08-14 |
Family
ID=7672327
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2001104292 Withdrawn DE10104292A1 (de) | 2001-01-30 | 2001-01-30 | Verfahren und Vorrichtung zum Aufbau einer Kommunikationsverbindung |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10104292A1 (de) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5809118A (en) * | 1996-05-30 | 1998-09-15 | Softell | System and method for triggering actions at a host computer by telephone |
US5889958A (en) * | 1996-12-20 | 1999-03-30 | Livingston Enterprises, Inc. | Network access control system and process |
WO1999029083A1 (en) * | 1997-12-02 | 1999-06-10 | Alcatel Usa Sourcing, L.P. | Method and apparatus for dynamic domain names |
EP1039724A2 (de) * | 1998-10-29 | 2000-09-27 | Nortel Networks Limited | Verfahren und einrichtung zur Internetadressauthentifizierung |
WO2000065774A1 (en) * | 1999-04-26 | 2000-11-02 | International Business Machines Corporation | Remote control of a device |
-
2001
- 2001-01-30 DE DE2001104292 patent/DE10104292A1/de not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5809118A (en) * | 1996-05-30 | 1998-09-15 | Softell | System and method for triggering actions at a host computer by telephone |
US5889958A (en) * | 1996-12-20 | 1999-03-30 | Livingston Enterprises, Inc. | Network access control system and process |
WO1999029083A1 (en) * | 1997-12-02 | 1999-06-10 | Alcatel Usa Sourcing, L.P. | Method and apparatus for dynamic domain names |
EP1039724A2 (de) * | 1998-10-29 | 2000-09-27 | Nortel Networks Limited | Verfahren und einrichtung zur Internetadressauthentifizierung |
WO2000065774A1 (en) * | 1999-04-26 | 2000-11-02 | International Business Machines Corporation | Remote control of a device |
Non-Patent Citations (8)
Title |
---|
HASSLER,V.:X.500 and LDAP security: a comparative overview. In: IEEE Network. ISSN 0890-8044, Novem-ber/December 1999, Vol. 13, Issue 6, S. 54-64 * |
LENNOX, J. * |
LIN LIN: Securtiy in Enterprise Net- working: A quik tour. In: IEEE Communications Magazine. ISSN 0163-6804, January 1996, Vol. 34, Issue 1, S. 56-61 * |
NetMeeting Resource Kit. Chapter 5: NetMeeting Security 0. Microsoft Corporation, 1999 (recherchiert am 24.10.2001). Im Internet <URL: www.microsoft.com/windows/NetMeeting/Corp/reskit/ Chapter5/default.asp<, ROSENBERG, J. * |
PING LIN * |
SCHNEIER, Bruce: Angewandte Kryptographie: Proto- kolle, Algorithmen und Sourcecode in C. Bonn (u.a.): Addison-Wesley, 1996, S. 219-221. ISBN: 3-89319-854-7 * |
SCHOBLICK, Robert: Multimediale Kommunikation. In: Funkschau. 2000, Nr. 7, S. 40-41 * |
SCHULZRINNE, H.: Programming Internet telephony services. In: IEEE * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004005461T2 (de) | Mobile Authentifizierung für den Netzwerkzugang | |
DE60217962T2 (de) | Benutzerauthentisierung quer durch die Kommunikationssitzungen | |
DE60122825T2 (de) | Verfahren zum Verarbeiten von Positionsinformationen eines Endgerätes welches über ein zellulares Netzwerk an ein Paketdatennetzwerk angeschlossen ist | |
DE60026838T2 (de) | Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy | |
DE69930919T2 (de) | Gesichertes elektronisches Postsystem | |
DE60114220T2 (de) | System und verfahren zur implementierung des verbesserten transportschicht-sicherheitsprotokolls | |
DE60114986T2 (de) | Verfahren zur herausgabe einer elektronischen identität | |
DE602005001613T2 (de) | Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen | |
DE60218042T2 (de) | Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden | |
DE19722424C5 (de) | Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System | |
DE69830726T2 (de) | Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system | |
DE69923954T2 (de) | Kommunikationssystem und verfahren | |
WO2009086845A1 (de) | Verfahren zum authentisieren einer schlüsselinformation zwischen endpunkten einer kommunikationsbeziehung | |
EP1241847A1 (de) | Übermittlung von Informationen mit einer verifizierten QoS in einem Kommunikationsnetz | |
EP2593897A1 (de) | Verfahren zur zertifikats-basierten authentisierung | |
DE60130899T2 (de) | Wap-sitzung tunneling | |
DE102017211267A1 (de) | Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem | |
DE10200681B4 (de) | Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen | |
DE60115672T2 (de) | Sicherheitsarchitektur der internet-protokoll telefonie | |
EP1468520B1 (de) | Verfahren zur datenverkehrssicherung in einer mobilen netzumgebung | |
DE602004009932T2 (de) | Netzwerkgerät, System und Verfahren zur Authentifizierung | |
DE60219915T2 (de) | Verfahren zur Sicherung von Kommunikationen in einem Computersystem | |
DE10107883B4 (de) | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem | |
DE10104292A1 (de) | Verfahren und Vorrichtung zum Aufbau einer Kommunikationsverbindung | |
EP3937451B1 (de) | Verfahren zu herstellung einer verschlüsselten verbindung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8139 | Disposal/non-payment of the annual fee |