DE102013017789A1 - System für eine abgesicherte LAN-über-WAN-Übertragung - Google Patents

System für eine abgesicherte LAN-über-WAN-Übertragung Download PDF

Info

Publication number
DE102013017789A1
DE102013017789A1 DE201310017789 DE102013017789A DE102013017789A1 DE 102013017789 A1 DE102013017789 A1 DE 102013017789A1 DE 201310017789 DE201310017789 DE 201310017789 DE 102013017789 A DE102013017789 A DE 102013017789A DE 102013017789 A1 DE102013017789 A1 DE 102013017789A1
Authority
DE
Germany
Prior art keywords
terminal
terminals
network
lan
wan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201310017789
Other languages
English (en)
Inventor
Dave J. Boers
Guido Neun
Axel Ritz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LowoTec GmbH
Original Assignee
LowoTec GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LowoTec GmbH filed Critical LowoTec GmbH
Priority to DE201310017789 priority Critical patent/DE102013017789A1/de
Publication of DE102013017789A1 publication Critical patent/DE102013017789A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung bezieht sich auf ein Verfahren und ein System zum Herstellen einer abgesicherten Kommunikation eines Lokalnetzes, LAN, über ein Fernnetz, WAN, wobei zwei Endgeräte (10, 20) des LAN zum Speichern erster und zweiter vorab verteilten Schlüssel (K1, K3) an den Endgeräten (10, 20) gepaart werden. Nachrichten werden von den gepaarten Endgeräten (10, 20) zu einem Netzwerkgerät (60) über jeweilige öffentliche LAN-Schnittstellen (14, 24) zu dem WAN übertragen, um von dem Netzwerkgerät (60) eine Adresseninformation des jeweiligen anderen der gepaarten Endgeräte (10, 20) zu erhalten. Dann wird eine Sicherheitszuordnung zwischen den gepaarten Endgeräten (10, 20) über das WAN basierend auf der erhaltenen Adresseninformation und dem ersten vorab verteilten Schlüssel (K1) hergestellt. Eine ursprüngliche Nachricht wird unter Verwendung des zweiten vorab verteilten Schlüssels (K3) in eine Container-Nachricht verkapselt und die Container-Nachricht wird zwischen den gepaarten Endgeräten (10, 20) über eine über die öffentlichen LAN-Schnittstellen (14, 24) hergestellte sichere Kommunikation unter Verwendung der auf dem ersten vorab verteilten Schlüssel (K1) basierenden Sicherheitszuordnung hergestellt.

Description

  • Die vorliegende Erfindung bezieht sich auf ein Endgerät, ein Netzwerkgerät, ein Kommunikationsverfahren und -system zum Herstellen einer abgesicherten Lokalnetzkommunikation (Local Area Network, LAN) zu einem anderen Endgerät über ein Fernnetz (Wide Area Network, WAN).
  • Es besteht zunehmend Bedarf an einer abgesicherten Zugriffsmöglichkeit auf in Endgeräten (wie beispielsweise intelligente Mobiltelefone, Laptops, Personal Computer, usw.) gespeicherte Information von einem beliebigen Ort. Dies sollte auf einfache Weise betreibbar und handhabbar und für jeden Datentyp möglich sein, und die Softwareanwendungen, mittels denen auf jeden Datentyp zugegriffen und dieser modifiziert werden kann, sollten auf allen elektronischen Gerätetypen verfügbar sein. Der Datenzugang sollte zum Beispiel über ein Netz, wie beispielsweise das Internet, oder ein WAN erfolgen, und das Datenverteilungssystem sollte ebenfalls wirksam abgesichert sein, um lediglich dem Dateninhaber Zugriff zu gewähren, egal welches Gerät er/sie gerade nutzt.
  • Verschiedene Systeme und Verfahren wurden entwickelt mit dem Ziel, mehrere Geräte zu koppeln. Die GB 2 411 092 A beschreibt beispielsweise eine Bildung eines sicheren Netzpfades für einen mobilen Knoten wie beispielsweise einen Laptop. Das Verfahren umfasst ein Versenden einer Registrierungsanfrage an einen Heimatagenten (Home Agent), in der eine permanente Netzadresse für den mobilen Knoten und eine Poxy-Zustelladresse (Care-of-Address) angibt. Die Proxy-Zustelladresse wird dann zur Kommunikation mit dem mobilen Knoten verwendet.
  • Darüber hinaus offenbart die EP 1 912 413 B1 ein Verfahren zur Bildung eines sicheren virtuellen Privatnetzes (Virtual Private Network, VPN) zur Ermöglichung einer Peer-to-Peer-Kommunikation, wobei ein aus zwei oder mehr gekoppelten Einheiten mit Internet-Konnektivität bestehendes sicheres VPN gebildet wird und wobei jede Einheit Verbindungen mit zumindest einem anderen Gerät des VPNs aufweist. Ein Nachschlage-Gerät ist vorhanden, das eine bekannte Adresse mit einem aktualisierbaren Index von als an das VPN anschließbar bekannten Einheiten aufweist. Das Nachschlage-Gerät nimmt Anfragen von bekannten beitretenden Einheiten an, die mit dem VPN verbunden werden möchten. Mindestens eine vorab festgelegte Kontakteinheit des VPNs wird zum periodischen Aufrufen des Nachschlage-Geräts nach empfangenen Beitrittsanfragen veranlasst. Im Ansprechen auf eine Abfrage nach Beitrittsanfragen informiert das Nachschlage-Gerät die Abfragekontakteinheit zumindest über die Adresse jeder beitretenden Einheit und, falls die Kontakteinheit eine Verbindung mit dem VPN erlaubt, stellt die Kontakteinheit zumindest ihre Adresse dem Nachschlage-Gerät zur Verfügung, das diese dann an die beitretende Einheit weiterleitet. Basierend darauf richten die beitretende Einheit und die Kontakteinheit eine erste Verbindung zwischen sich ein, führen einen Authentifizierungsprozess über die erste Verbindung durch, und, falls der Authentifizierungsprozess erfolgreich ist, informiert die Kontakteinheit die beitretende Einheit zumindest über den Status anderer zu dem VPN gehörender Einheiten und informiert alle Einheiten des VPN darüber, dass das beitretende Gerät dem VPN beitritt. Das beitretende Gerät verwendet den Status der anderen zu dem VPN gehörenden Einheiten zur Berechnung seiner Knotenposition in dem VPN inklusive des einen oder der beiden Nachbareinheiten, mit denen es eine Verbindung aufbauen will. Die eine oder die beiden Nachbareinheiten initiieren einen Prozess gemäß vorstehender Erläuterung mit der Nachschlageeinheit und richten dann eine oder mehrere zweite Verbindungen mit der beitretenden Einheit ein und beenden die erste Verbindung. Dann führen die beitretende Einheit und zumindest eine Nachbareinheit einen gegenseitigen Authentifizierungsprozess durch, der, falls erfolgreich, die eine oder mehrere zweiten Verbindungen aufrecht erhält.
  • Es ist Aufgabe der vorliegenden Erfindung, eine transparente LAN-Kommunikation über ein WAN mit erhöhter Sicherheit zum Schutz persönlicher Daten bereitzustellen.
  • Diese Aufgabe wird gelöst durch ein Endgerät nach Anspruch 1, ein Netzwerkgerät nach Anspruch 11, ein System nach Anspruch 12, ein Verfahren nach Anspruch 13 und ein Computerprogrammprodukt nach Anspruch 14.
  • Dementsprechend werden erste und zweite vorab verteilte Schlüssel in Endgeräten gespeichert, zwischen denen eine sichere LAN-Kommunikation über das WAN hergestellt werden soll, und die Endgeräte fordern eine Netzwerkadresseninformation des jeweiligen anderen Endgeräts an dem anderen Kommunikationsende mittels einer Nachricht an ein Netzwerkgerät an, um die zum Herstellen einer Sicherheitszuordnung erforderliche Information basierend auf dem ersten vorab verteilten Schlüssel zu erhalten. Dann wird eine Ursprungsnachricht unter Verwendung des zweiten vorab verteilten Schlüssels in zumindest eine Container-Nachricht verkapselt und die Container-Nachrichten) ist/werden über eine unter Verwendung der auf dem ersten vorab verteilten Schlüssel basierenden Sicherheitszuordnung hergestellten sicheren Endgeräte-Kommunikation zu dem anderen Endgerät übertragen. Somit kann eine transparente verbindungslose Brücke zwischen den LANs, in denen sich die Endgeräte befinden, hergestellt werden, die als virtuelles Netzwerkkabel fungiert.
  • Vorzugsweise kann das Endgerät eine private LAN-Schnittstelle zum Verbinden des Endgeräts mit dem anderen Endgerät und eine Paarbildungssteuereinrichtung zum Versetzen des Endgeräts in eine Paarbildungsbetriebsart umfassen, um den ersten und zweiten vorab verteilten Schlüssel zufällig zu generieren und zu speichern. Dies führt zu dem Vorteil, dass zwei Endgeräte, die die sichere Verbindung herstellen sollen, durch Verbinden ihrer privaten LAN-Schnittstellen gepaart werden können. In einem ersten Beispiel kann die Paarbildungssteuereinrichtung einen Zufallsgenerator zum Generieren des ersten und zweiten vorab verteilten Schlüssels aufweisen. Darüber hinaus oder alternativ dazu kann die Paarbildungssteuereinrichtung einen Sensor zum zufälligen Erzeugen des ersten und zweiten vorab verteilten Schlüssels basierend auf einer physikalischen Stimulation des Sensors aufweisen. In den vorgenannten beispielhaften Fällen können die privaten LAN-Schnittstellen der Endgeräte während der Paarbildungsbetriebsart physikalisch miteinander verbunden sein.
  • Als weitere Option kann die Paarbildungssteuereinrichtung ausgestaltet sein zum Erzeugen des ersten und zweiten vorab verteilten Schlüssels im Ansprechen auf eine Eingabeinformation, sodass die vorab verteilten Schlüssel extern eingestellt werden können, beispielsweise durch einen Benutzer.
  • Als Alternative zu einer direkten Sicherheitszuordnung zwischen den beiden Endgeräten kann eine Sicherheitszuordnung mit einem Vermittlungsgerät durch jedes Endgerät basierend auf dritten vorab verteilten Schlüsseln hergestellt werden. In diesem Fall ist das Netzwerkgerät ausgestaltet zum Rückleiten einer Netzwerkadresse des Vermittlungsgeräts zu dem Endgerät. Dann können die Endgeräte eine Adresseninformation des Vermittlungsgeräts von dem Netzwerkgerät empfangen. Als weitere Option kann eine voreingestellte oder einstellbare Adresseninformation des Vermittlungsgeräts in den Endgeräten gespeichert sein.
  • Die zumindest eine Containernachricht kann durch Verschlüsseln eines LAN-Rahmens, den das Endgerät an seiner privaten LAN-Schnittstelle empfängt, generiert werden. Falls die Länge einer einzelnen Containernachricht zu groß ist, um in einem einzelnen Rahmen befördert werden zu können, beispielsweise im Falle eines segmentierten Netzwerks, kann der LAN-Rahmen in mehr als einer Containernachricht verschlüsselt werden. Die Containernachricht kann insbesondere unter Verwendung des IPsec-bezogenen Encapsulated-Secure-Payload-Protokolls (ESP-Protokoll) übertragen werden.
  • Die Nachrichtensignalisierung zur Adressengewinnung kann wiederholt zu dem Netzwerkgerät übertragen werden, falls das Endgerät innerhalb einer vorbestimmten Zeitdauer nach der letzten Übertragung der Nachricht keine Antwort vom Netzwerkgerät empfängt.
  • Es wird angemerkt, dass die Funktionalitäten des Endgeräts und des Netzwerkgeräts implementiert sein können basierend auf einer diskreten Hardwareschaltung mit diskreten Hardwarekomponenten oder Modulen, einem integrierten Chip, oder einer Anordnung von Chipmodulen, oder basierend auf einem Signalverarbeitungsgerät oder -chip, die durch eine in einem Speicher gespeicherte, auf ein Computer lesbares Medium geschriebene oder von einem Netzwerk wie beispielsweise dem Internet heruntergeladene Softwareroutine oder ein Softwaremodul oder ein Programm gesteuert sind.
  • Es ist ersichtlich, dass ein bevorzugtes Ausführungsbeispiel der Erfindung auch jede Kombination der abhängigen Ansprüche oder vorgenannten Ausführungsbeispiele mit dem entsprechenden unabhängigen Anspruch sein kann.
  • Die Erfindung wird nun basierend auf einem bevorzugten Ausführungsbeispiel unter Bezugnahme auf die Zeichnungsfiguren näher erläutert, in denen:
  • 1 ein schematisches Netzsystem nach dem bevorzugten Ausführungsbeispiel zeigt;
  • 2 ein Flussdiagramm eines Kommunikationsverfahrens nach dem bevorzugten Ausführungsbeispiel zeigt; und
  • 3 ein schematisches Blockschaltbild eines Endgeräts nach dem bevorzugten Ausführungsbeispiel zeigt.
  • Das bevorzugte Ausführungsbeispiel wird nachfolgend basierend auf einer Netzarchitektur beschrieben, wobei Endgeräte (zum Beispiel Ethernet-Knoten) jeweiliger Ethernet-LANs mit einem öffentlichen WAN (zum Beispiel das Internet) verbunden werden können. Das WAN ist zu verstehen im Sinne eines zwei oder mehrere andere Netze verbindenden Netzes, unabhängig von Distanz und Technologie, umfassend – aber nicht beschränkt auf – das Internet, ein Internet, ein Intranet und Ballungsraumnetze (Metropolitan Area Networks), wobei die Netze die Komplexität des Internets oder die Einfachheit einer digitalen seriellen Kommunikation oder sogar einer analogen Signalisierung aufweisen können. Des Weiteren können die Netze in topologischer Hinsicht so einfach sein, dass sie aus lediglich einem Teilnehmer bestehen.
  • 1 zeigt ein schematisches Netzsystem gemäß dem bevorzugten Ausführungsbeispiel. Endgeräte 10, 20, die an verschiedenen Orten angeordnet sein können und mit verschiedenen Ethernet-LANs verbunden sein können, weisen öffentliche Schnittstellen (I/Fs) 14, 24 auf, um einen Zugang zu dem Internet 50 (oder einem anderen öffentlichen Netz) bereitzustellen. Der Zugang wird hergestellt über jeweilige Router 32, 34 und optionale Netzadressenübersetzungs-Server 42, 44 (Network Address Translation, NAT) (die in den Routern 32, 34 integriert sein können). Falls die öffentlichen Schnittstellen 14, 24 als drahtlose Schnittstellen implementiert sind, können die Router 32, 34 optional auch in einem drahtlosen Modem oder einem anderen Netzelement eines drahtlosen oder zellulären Netzes vorgesehen sein.
  • Bei NAT handelt es sich um den Prozess des Modifizierens einer Internet-Protokoll-(IP)-Adresseninformation in Paketköpfen (Paket-Headern) während deren Weiterleitung über ein Verkehrsweiterleitungsgerät. Die einfachste NAT-Art stellt eine Eins-zu-eins-Übersetzung von IP-Adressen bereit. In einer grundlegenden NAT-Funktion, die oft auch als Eins-zu-eins-NAT (One-to-one NAT) bezeichnet wird, werden lediglich die IP-Adressen, die IP-Kopfprüfsumme und die IP-Adresse enthaltende Prüfsummen höherer Ebenen verändert.
  • Die beiden Endgeräte 10, 20 weisen jeweils zwei Ethernet-Schnittstellen auf, wobei eine als öffentliche Schnittstelle 14, 24 und die andere als private Schnittstelle 16, 26 bezeichnet werden. Die beiden Endgeräte 10, 20 können überall auf der Welt angeordnet sein, solange sie Konnektivität mit dem Internet 50 aufweisen. Beide öffentlichen Ethernet-Schnittstellen 14, 24 sind mit dem entsprechenden Router 32, 34 verbunden, der seinerseits mit dem Internet 50 verbunden ist, möglicherweise über den entsprechenden NAT-Server 42, 44 und mit dynamischen IP-Adressen.
  • Die IP-Adresse des Routers 32, mit dem das erste Endgerät 10 verbunden ist, kann mit der IP-Adresse eines das erste Endgerät 10 mit dem Internet 50 verbindenden NAT-Servers übereinstimmen, und Gleiches kann auch für den Router 34 an dem zweiten Endgerät 20 gelten. Um festzustellen, ob dies der Fall ist oder nicht, und falls dem so ist, welche Art von NAT (Full Cone, Port Restricted Cone, Restricted Cone, Symmetrical oder andere) von den entsprechenden Routern 32, 34 verwendet wird, kann jedes der ersten und zweiten Endgeräte 10, 20 ein sogenanntes Session Traversal Utilities for NAT (STUN) Protokoll unter Verwendung eines öffentlich verfügbaren, mit dem Internet 50 verbundenen STUN-Servers 80 verwenden.
  • Bei STUN handelt es sich um eine standardisierte Gruppe von Verfahren und ein Netzprotokoll, mittels denen ein End-Host seine öffentliche IP-Adresse in Erfahrung bringen kann, falls er hinter einem NAT angeordnet ist. Es wird verwendet zum Ermöglichen einer NAT-Traversierung für Anwendungen interaktiver IP-Kommunikationen. Dies ist in RFC 5389 dokumentiert. Das STUN-Protokoll ermöglicht es, hinter dem NAT-Server 42, 44 arbeitenden Anwendungen, das Vorhandensein des NAT-Servers 42, 44 zu erkennen und die abgebildete (öffentliche) IP-Adresse (NAT-Adresse) und die Anschlussnummer in Erfahrung zu bringen, die der NAT-Server 42, 44 für die UDP-Verbindungen der Anwendung zu entfernten Hosts zugeordnet hat. Das Protokoll erfordert Unterstützung von dem STUN-Server 80, der an der gegenüberliegenden (öffentlichen) Seite des NAT, üblicherweise das öffentliche Internet 50, angeordnet ist. Somit wird der STUN-Prozess die Frage beantworten, ob der NAT-Server 42, 44 an den entsprechenden Routern 32, 34 des ersten und zweiten Endgeräts 10, 20 traversiert werden kann.
  • Gemäß dem bevorzugten Ausführungsbeispiel ist ein Netzwerkgerät oder -server 60, der als „Rendezvous-Gerät” (RD-D) bezeichnet ist, direkt mit dem Internet 50 verbunden und ist nicht notwendigerweise in der Nähe des ersten oder zweiten Endgeräts 10, 20 angeordnet. Als Alternative kann die Funktionalität des Rendezvous-Geräts 60 auch durch einen zugänglichen und/oder buchbaren Internetservice bereitgestellt sein. Sowohl das erste als auch das zweite Endgerät 10, 20 beaufschlagen das Rendezvous-Gerät 60 periodisch mit einer Nachricht, in der sie ihre eigene Identität (ID) (beispielsweise ihre Medium Access Control (MAC) Adresse), den NAT-Typ, und auch die ID des jeweiligen anderen Geräts (wiederum beispielsweise dessen MAC-Adresse), zu dem ein sicherer Kommunikationspfad gewünscht ist, mitteilen.
  • Falls das Rendezvous-Gerät 60 innerhalb eines beschränkten Zeitrahmens oder einer beschränkten Zeitdauer Nachrichten von beiden Endgeräten 10, 20 empfängt, erhalten das erste und zweite Endgerät 10, 20 ihre jeweiligen potenziell dynamischen IP-Adressen und NAT-Typen (d. h. möglicherweise die ihrer jeweiligen Router 32, 34) von dem Rendezvous-Gerät 60, und beide Endgeräte 10, 20 beenden das Senden ihrer periodischen Nachrichten an das Rendezvous-Gerät 60.
  • Als Alternative können das erste und zweite Endgerät 10, 20 auch die IP-Adresse eines direkt mit dem Internet 50 verbundenen Vermittlungsgeräts (RL-D) 70 von dem Rendezvous-Gerät 60 erhalten.
  • Als weitere Alternative kann die IP-Adresse des Vermittlungsgeräts 70 auch als voreingestellte Adresse in dem ersten und zweiten Endgerät 10, 20 gespeichert sein.
  • Mit der durch das Rendezvous-Gerät 60 bereitgestellten Informationen stellen das erste und zweite Endgerät 10, 20 eine verbindungslose IPsec-Sicherheitszuordnung zwischen sich her, wobei beispielsweise das internetbasierte Key Exchange Protocol Version 2 (IKEv2) verwendet wird, wobei das erste Endgerät 10 als Initiator fungiert und das zweite Endgerät 20 als Responder, oder umgekehrt, und beide Endgeräte 10, 20 verwenden eine NAT-Traversierung gemäß IKEv2/IPsec inklusive Keep-Alive-Nachrichten, die zum Aufrechterhalten der geöffneten NAT-Traversierung erforderlich sind.
  • Diese IPsec-Sicherheitszuordnung basiert auf einem ersten vorab verteilten Schlüssel (K1), der dem ersten und zweiten Endgerät 10, 20 gemeinsam bekannt ist, und keinem anderen. Der erste vorab verteilte Schlüssel K1 kann in einem entsprechenden, an jedem der ersten und zweiten Endgeräte 10, 20 bereitgestellten Speicherbereich 12, 22 gespeichert sein.
  • 2 zeigt ein Flussdiagramm einer Kommunikationsprozedur gemäß dem bevorzugten Ausführungsbeispiel, die zumindest teilweise als Softwareroutine in den Endgeräten bereitgestellt sein kann.
  • In einem Anfangsschritt S110 werden Endgeräte gepaart, die das Herstellen einer sicheren LAN-über-WAN-Kommunikation beabsichtigen, um identische erste vorab verteilte Schlüssel K1 und identische zweite vorab verteilte Schlüssel K3 zu besitzen. Im Schritt S120, wenn die sichere Kommunikation hergestellt werden soll, senden dann beide Endgeräte eine Anfragenachricht mit ihren IDs periodisch oder wiederholt zu dem Rendezvous-Gerät 60, um die Netzadresse des jeweiligen anderen Endgeräts an dem anderen Ende des gewünschten sicheren Kommunikationspfads zu erhalten. Danach warten beide Endgeräte auf eine positive Antwortnachricht von dem Rendezvous-Gerät und prüfen im Schritt S130, ob die positive Antwortnachricht innerhalb einer vorbestimmten Zeitdauer empfangen wurde. Falls nicht, so springt die Prozedur zurück zum Schritt S120 und die Übertragung der Anfragenachricht wird wiederholt. Diese Schleife wird fortgeführt, bis eine positive Antwortnachricht innerhalb der vorbestimmten Zeitdauer empfangen wurde.
  • Falls im Schritt S130 festgestellt wird, dass eine positive Antwortnachricht innerhalb der vorbestimmten Zeitdauer empfangen wurde, wird im Schritt S140 basierend auf der in der Antwortnachricht empfangenen Adresseninformation und dem ersten vorab verteilten Schlüssel K1 eine Sicherheitszuordnung hergestellt. Dann wird die über den sicheren Kommunikationspfad zu dem anderen Endgerät zu übertragende Ursprungsnachricht oder der LAN-Rahmen im Schritt S150 unter Verwendung des zweiten vorab verteilten Schlüssels K3 in eine oder mehrere Container-Nachrichten verkapselt. Dann wird die zumindest eine Container-Nachricht im Schritt S160 basierend auf der Sicherheitszuordnung verkapselt und im Schritt S170 über einen sicheren Tunnel durch das internetbasierte WAN zu dem anderen Endgerät übertragen. An dem anderen Endgerät werden die getunnelten Pakete im Schritt 180 basierend auf dem ersten vorab verteilten Schlüssel K1 entkapselt, um die Container-Nachrichten zu erhalten. Im Schritt S190 wird die zumindest eine Container-Nachricht basierend auf dem zweiten vorab verteilten Schlüssel K3 entkapselt, um die ursprüngliche Nachricht oder den LAN-Rahmen wiederzugewinnen. Schließlich wird die wiedergewonnene ursprüngliche Nachricht im Schritt S195 in das Ziel-LAN des zweiten Endgeräts 20 injiziert.
  • In dem seltenen Fall, dass eine direkte Sicherheitszuordnung nicht möglich oder nicht erwünscht ist, können sowohl das erste als auch das zweite Endgerät 10, 20 eine iPsec-Sicherheitszuordnung mit dem vorgenannten Vermittlungsgerät 70 initiieren. Das Vermittlungsgerät 70 ist ausgebildet zum transparenten verbindungslosen Weiterleiten von UDP-Nachrichten zwischen dem ersten und zweiten Endgerät 10, 20 in gleicher Weise wie bei einer direkten Sicherheitszuordnung zwischen dem ersten und zweiten Endgerät 10, 20. In diesem Fall werden zwei vorab verteilte Schlüssel (K2a, K2b) verwendet, von denen K2a lediglich dem ersten Endgerät 10 und dem Vermittlungsgerät 70 bekannt ist, bzw. K2b lediglich dem zweiten Endgerät 20 und dem Vermittlungsgerät 70 bekannt ist.
  • 3 zeigt ein schematisches Blockschaltbild des ersten und zweiten Endgeräts 10, 20 aus 1 gemäß dem bevorzugten Ausführungsbeispiel.
  • Eine Sicherheitssteuerfunktion oder -einheit (S-CTRL) 15 ist ausgestaltet zum Erzeugen der periodischen oder wiederholten Anfragenachricht und der Signalisierung zum Herstellen der Sicherheitszuordnung gemäß vorstehender Beschreibung in Verbindung mit den Schritten S120 bis S170 für den Fall, dass es zu einem Endgerät am sendenden Ende gehört, und in Verbindung mit den Schritten S120, S130 und S180 bis S190 für den Fall, dass es zu einem Endgerät am Empfangsende gehört. Das Empfangen und Senden von Nachrichten und Signalen wird durch einen Sendeempfänger (TRX) 13 über die öffentliche Schnittstelle 14 erreicht.
  • Die Sicherheitssteuereinheit 15 des ersten Endgeräts 10 verkapselt jeden Ethernet-Rahmen, den das Endgerät 10 an seiner privaten Ethernet-Schnittstelle 16 erkennt, unter Verwendung ihrer entweder direkt zwischen dem ersten und zweiten Endgerät 10 20 oder unter Verwendung des Vermittlungsgeräts 70 hergestellten IPsec-Sicherheitszuordnung in einen oder mehrere Container-Nachrichten, dergestalt, dass der ursprüngliche Ethernet-Rahmeninhalt mit einem zusätzlichen zweiten vorab verteilten privaten Schlüssel (K3), der lediglich dem ersten und zweiten Endgerät 10, 20 bekannt ist, verschlüsselt wird. Der zweite vorab verteilte Schlüssel K3 kann auch in dem jeweiligen Speicherbereich 12, 22 des ersten und zweiten Endgeräts 10, 20 gespeichert sein.
  • Die Container-Nachrichten können durch das erste und zweite Endgerät 10, 20 unter Verwendung des IPsec Encapsulated Secure Payload (ESP) Protokolls versendet werden. Die zusätzliche Verschlüsselung stellt sicher, dass selbst dann, wenn das Vermittlungsgerät 70 für die Kommunikation verwendet wird, und selbst dann, wenn das Vermittlungsgerät 70 durch Bekanntheit der geheimen Schlüssel K2a und K2b gegenüber einem Angreifer gefährdet ist, die Sicherheit noch immer garantiert ist, da der Angreifer den zweiten vorab verteilten Schlüssel K3 nicht besitzt. Die Container-Nachrichten können verbindungslos als ESP/UDP in Abhängigkeit der Einzelheiten der NAT-Traversierung in Übereinstimmung mit IPsec-IKEv2 gesendet werden.
  • Dann, und nur dann, wenn das zweite Endgerät 20 einen vollständigen Satz von Container-Nachrichten betreffend einen an der privaten Schnittstelle 16 des ersten Endgeräts 10 erfassten Ethernet-Rahmen empfängt, wird die Sicherheitssteuereinheit 15 des zweiten Endgeräts 20 den exakten Ethernet-Rahmen (jedes einzelne logische Bit, auch bei einem fehlerhaft gebildeten Rahmen) an seiner privaten Schnittstelle 26 wiedergeben. Umgekehrt wird jeder durch das zweite Endgerät 20 an dessen privater Schnittstelle 26 empfangene Ethernet-Rahmen durch die Sicherheitssteuereinheit 15 des ersten Endgeräts 10 unter Verwendung des vorstehend beschriebenen identischen Mechanismus exakt wiedergegeben.
  • Falls die Adresseninformation, die das erste und zweite Endgerät 10 von dem Rendezvous-Gerät 60 empfangen, veraltet sein sollte (zum Beispiel aufgrund einer Änderung der dynamischen IP-Adresse beider oder eines der Router der ersten und zweiten Endgeräte, oder weil einer oder beide ersten und zweiten Endgeräte 10, 20 transportiert und in einen anderen Router an einer anderen Stelle eingesteckt wurden), so wird dies durch die Sicherheitssteuereinheit des ersten Endgeräts 10, des zweiten Endgeräts 20 oder beider aufgrund der Abwesenheit von Nachrichten, auch Keep-Alive-Nachrichten, erfasst werden. In diesem Falle kann die Sicherheitssteuereinheit des ersten und zweiten Endgeräts 10, 20 zu dem periodischen Versenden von Nachrichten zu dem Rendezvous-Gerät 60 gemäß vorstehender Beschreibung zurückkehren und eine erneute Zuordnung durchführen, falls möglich.
  • Bevor eine Sicherheitszuordnung hergestellt werden kann, müssen das erste und zweite Endgerät 10, 20 miteinander gepaart werden, in dem Sinne, dass dieselben ersten und zweiten vorab verteilten Schlüssel K1 und K3 in beiden Endgeräten 10, 20 gespeichert sein müssen. Für K2a und K2b können fabrikerzeugte Zufallsschlüssel verwendet werden, die auch in dem Vermittlungs-Gerät 60 gespeichert und durch einen Benutzer einstellbar sein können.
  • Um dies zu erreichen, ist eine Paarbildungssteuerfunktion (P-CTRL) oder -einheit 11 vorgesehen, die durch eine Eingangsinformation 17 zum (manuellen) externen Einstellen der vorab verteilten Schlüssel K1, K3 gesteuert sein kann. Zusätzlich oder alternativ kann die Paarbildungssteuereinheit 11 die ersten und zweiten vorab verteilten Schlüssel K1, K3 unter Verwendung eines Zufallsgenerators oder eines physikalischen Sensors gemäß vorstehender Beschreibung generieren.
  • Zum Einstellen der ersten und zweiten vorab verteilten Schlüssel K1 und K3 werden das erste und zweite Endgerät 10, 20 zueinander gebracht, in eine spezielle Betriebsart M (zum Beispiel Paarbildungsbetriebsart) versetzt, die ausschließlich durch physikalischen Zugriff auf die Geräte getriggert werden kann, und unter Verwendung eines Überbrückungskabels 100 zwischen den privaten Schnittstellen 16, 26 verbunden, um Zufallsschlüsselmaterial zu erzeugen. Das Zufallsschlüsselmaterial (zum Beispiel die ersten und zweiten vorab verteilten Schlüssel K1 und K3) kann durch die Paarbildungssteuereinheit 11 unter Verwendung einer oder mehrerer der nachfolgenden Verfahren erzeugt werden:
    • – Gewinnen einer Zufallszahl aus einem (softwareimplementierten) Zufallsgenerator (RNG), der in dem ersten und zweiten Endgerät 10, 20 implementiert ist;
    • – Gewinnen einer Zufallszahl aus einem Sensor (beispielsweise ein drei- oder mehrdimensionaler Beschleunigungssensor in dem ersten und zweiten Endgerät 10, 20), und physikalisches Stimulieren des Sensors (beispielsweise durch Schütteln des ersten und zweiten Endgeräts 10, 20 im Falle eines Beschleunigungssensors); oder
    • – einer anderen Quelle zur automatischen Erzeugung einer Zufallszahl.
  • Auf diese Weise können kryptographisch starke Verschlüsselungsschlüssel erzeugt werden, zum Beispiel als erste und zweite vorab verteilte Schlüssel K1 und K3, ohne Verwendung von Zugangsphrasen und ohne dass die Verschlüsselungsschlüssel der diese einstellenden Person bekannt sind. Dies ermöglicht dieser Person eine plausible Abstreitbarkeit im Falle einer Befragung durch einen Angreifer. Es gibt kein Verfahren zum Wiedergewinnen der ersten und zweiten vorab verteilten Schlüssel K1 und K3 außer einem Reverse Engineering der Geräte, wodurch sie zerstört werden.
  • Falls lediglich das erste oder zweite Endgerät 10, 20 oder beide in die spezielle Betriebsart M versetzt werden, ohne das Überbrückungskabel zwischen deren privaten Schnittstellen 16, 26 anzuschließen, werden die Paarbildungssteuereinheiten 11 des ersten und zweiten Endgeräts 10, 20 möglicherweise ihre alten vorab verteilten Schlüssel K1 und K3 mit neuen Zufallszahlen überschreiben und sie sind von diesem Zeitpunkt an irreversibel ungepaart, zumindest bis sie erneut gepaart werden. Es kann möglicherweise auch ein anderes Verfahren zur Aufhebung der Paarung der Geräte implementiert werden.
  • Als Alternative kann auch ein Verfahren zum Einstellen (aber nicht Wiedergewinnen) der vorab verteilten Schlüssel K1 und K3 beispielsweise basierend auf der Eingabeinformation 17 bereitgestellt werden.
  • Gemäß dem vorstehenden bevorzugten Ausführungsbeispiel kann eine transparente verbindungslose Brücke zwischen zwei lokalen Netzen, in denen das erste und zweite Endgerät 10, 20 angeordnet sind, bereitgestellt werden, die als virtuelles Netzkabel fungiert, ausgestattet mit einigen wenigen Besonderheiten wie beispielsweise gelegentlicher Paketverlust oder sich überholende und nicht notwendigerweise in derselben zeitlichen Reihenfolge wie an der ursprünglichen Schnittstelle wiedergegebene Ethernet-Rahmen, und dessen Latenzzeit höher ist als für ein Kabel üblich.
  • Die grundlegende Funktionalität liegt im Bereitstellen einer transparenten Verbindung eines LAN über ein (Internet-basiertes) WAN mit mehreren Sicherheitsebenen für den Schutz privater Daten. Dadurch können das erste und zweite Endgerät 10, 20 zum Bereitstellen einer sicheren End-zu-End-Verschlüsselung mit der Einfachheit eines Netzwerkkabels verwendet werden.
  • Zusammenfassend wurde ein Verfahren und ein System zum Herstellen einer abgesicherten Lokalnetz, LAN, Kommunikation über ein Fernnetz, WAN, beschrieben, wobei zwei Endgeräte 10, 20 des LAN zum Speichern erster und zweiter vorab verteilter Schlüssel K1, K3 an den Endgeräten 10, 20 gepaart werden. Nachrichten werden von den gepaarten Endgeräten 10, 20 zu einem Netzwerkgerät 60 über jeweilige öffentliche LAN-Schnittstellen 14, 24 zu dem WAN übertragen, um von dem Netzwerkgerät 60 eine Adresseninformation des jeweiligen anderen der gepaarten Endgeräte 10, 20 zu erhalten. Dann wird eine Sicherheitszuordnung zwischen den gepaarten Endgeräten 10, 20 über das WAN basierend auf der erhaltenen Adresseninformation und dem ersten vorab verteilten Schlüssel K1 hergestellt. Eine ursprüngliche Nachricht wird unter Verwendung des zweiten vorab verteilten Schlüssels K3 in eine Container-Nachricht verkapselt und die Container-Nachricht wird zwischen den gepaarten Endgeräten 10, 20 über eine über die öffentlichen LAN-Schnittstellen 14, 24 hergestellte sichere Kommunikation unter Verwendung der auf dem ersten vorab verteilten Schlüssel K1 basierenden Sicherheitszuordnung hergestellt.
  • Es wird angemerkt, dass die vorliegende Erfindung nicht auf das vorstehend beschriebene Ausführungsbeispiel beschränkt ist. Die ersten und zweiten Endgeräte 10, 20 können implementiert sein basierend auf Softwareroutinen, Ein-Zweck-Hardware, Apps auf mobilen Geräten oder Haushaltseinrichtungen, als eingebettete Geräte oder als Computer-Server. Die öffentlichen und/oder privaten Ethernet-Schnittstellen können auch drahtlose Netzschnittstellen oder Echtzeit-Ethernet-Schnittstellen oder serielle Verbindungen sein, oder auch virtuelle Netzschnittstellen, im Falle einer Implementierung in Apps für mobile Geräte oder Haushaltseinrichtungen. Des Weiteren können die ersten und zweiten Endgeräte zu jeder Art von LAN gehören, das mit einem eine VPN-Funktionalität basierend auf einer Sicherheitszuordnung bereitstellenden öffentlichen Netz verbunden werden kann.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • GB 2411092 A [0003]
    • EP 1912413 B1 [0004]

Claims (14)

  1. Endgerät zum Herstellen einer sicheren Kommunikation eines lokalen Netzes, LAN, mit einem anderen Endgerät (20) über ein Fernnetz, WAN, wobei das Endgerät (10) umfasst: a) eine Speichereinrichtung (12) zum Speichern eines ersten vorab verteilten Schlüssels (K1) und eines zweiten vorab verteilten Schlüssels (K3); b) eine Signalisierungseinrichtung (15) zum Übertragen einer Nachricht zu einem Netzwerkgerät (60) über eine öffentliche Schnittstelle (14) zu dem WAN, um von dem Netzwerkgerät (60) eine Adresseninformation des anderen Endgeräts (20) zu erhalten; und c) eine Sicherheitssteuereinrichtung (15) zum Herstellen einer Sicherheitszuordnung mit dem anderen Endgerät (20) über das WAN basierend auf der erhaltenen Adresseninformation und dem ersten vorab verteilten Schlüssel (K1), d) wobei die Sicherheitssteuereinrichtung (15) ausgestaltet ist zum Verkapseln einer ursprünglichen Nachricht in eine Container-Nachricht unter Verwendung des zweiten vorab verteilten Schlüssels (K3) und zum Übertragen der Container-Nachricht über die über die öffentliche LAN-Schnittstelle (14) unter Verwendung der auf dem ersten vorab verteilten Schlüssel (K1) basierenden Sicherheitszuordnung hergestellten sicheren Kommunikation.
  2. Endgerät nach Anspruch 1, des Weiteren umfassend eine private LAN-Schnittstelle (12) zum Verbinden des Endgeräts (10) mit dem anderen Endgerät (20), und eine Paarbildungssteuereinrichtung (11) zum Versetzen des Endgeräts (10) in eine Paarbildungsbetriebsart, um die ersten und zweiten vorab verteilten Schlüssel (K1, K3) zufällig zu generieren und zu speichern.
  3. Endgerät nach Anspruch 2, wobei die Paarbildungssteuereinrichtung (11) einen Zufallsgenerator umfasst zum Erzeugen der ersten und zweiten vorab verteilten Schlüssel (K1, K3) oder einen Sensor zum zufälligen Generieren der ersten und zweiten vorab verteilten Schlüssel (K1, K3) basierend auf einer physikalischen Stimulation des Sensors.
  4. Endgerät nach Anspruch 2 oder 3, wobei die Paarbildungssteuereinrichtung (11) ausgestaltet ist zum Erzeugen der ersten und zweiten vorab verteilten Schlüssel (K1, K3) im Ansprechen auf eine Eingangsinformation (17).
  5. Endgerät nach einem der Ansprüche 2 bis 4, wobei die private LAN-Schnittstelle (16, 26) eine Ethernet-Schnittstelle oder eine drahtlose Netzschnittstelle oder eine virtuelle Netzschnittstelle ist.
  6. Endgerät nach einem der Ansprüche 2 bis 5, wobei die privaten LAN-Schnittstellen (16, 26) des Endgeräts (20) während der Paarbildungsbetriebsart physikalisch verbunden sind.
  7. Endgerät nach einem der vorhergehenden Ansprüche, wobei die öffentliche LAN-Schnittstelle (14, 24) eine Ethernet-Schnittstelle oder eine drahtlose Netzschnittstelle ist, die über einen Router (32, 34) mit dem WAN verbunden ist.
  8. Endgerät nach einem der vorhergehenden Ansprüche, wobei die Sicherheitssteuereinrichtung (15) ausgestaltet ist zum Herstellen einer Sicherheitszuordnung mit einem Vermittlungsgerät (70) basierend auf dritten vorab verteilten Schlüsseln, falls das Vermittlungsgerät (70) verwendet werden soll.
  9. Endgerät nach einem der vorhergehenden Ansprüche, wobei die Sicherheitssteuereinrichtung (15) ausgestaltet ist zum Erhalten der Container-Nachricht durch Verschlüsseln eines LAN-Rahmens, den das Endgerät (10) an seiner privaten LAN-Schnittstelle (12) empfängt.
  10. Endgerät nach einem der vorhergehenden Ansprüche, wobei die Signalisierungseinrichtung (15) ausgestaltet ist zum wiederholten Übertragen der Nachricht zu dem Netzwerkgerät (60), falls das Endgerät (10) innerhalb einer vorbestimmten Zeitdauer nach der letzten Übertragung der Nachricht keine Antwort von dem Netzwerkgerät (60) empfängt.
  11. Netzwerkgerät zum Ermöglichen einer abgesicherten Kommunikation eines lokalen Netzes, LAN, zwischen zwei Endgeräten (10, 20) über ein Fernnetz, WAN, wobei das Netzwerkgerät (60) ausgestaltet ist zum Empfangen von Nachrichten der beiden Endgeräte (10, 20) mit einer Identitätsinformation der beiden Endgeräte (10, 20) und zum Antworten an die Endgeräte (10, 20) mit jeweiligen Antwortnachrichten mit einer WAN-bezogenen Netzadresseninformation des jeweiligen anderen Endgeräts.
  12. Kommunikationssystem mit zumindest zwei Endgeräten (10, 20) nach einem der Ansprüche 1 bis 10 und zumindest einem Netzwerkgerät (60) nach Anspruch 11.
  13. Verfahren zum Herstellen einer abgesicherten Kommunikation eines lokalen Netzes, LAN, über ein Fernnetz, WAN, wobei das Verfahren umfasst: a) Paarbildung zweier Endgeräte (10, 20) des LAN durch Speichern erster und zweiter vorab verteilter Schlüssel (K1, K3) an den Endgeräten (10, 20); b) Übertragen von Nachrichten von den gepaarten Endgeräten (10, 20) zu einem Netzwerkgerät (60) über jeweilige öffentliche LAN-Schnittstellen (14, 24) zu dem WAN, um von dem Netzwerkgerät (60) eine Adresseninformation des jeweiligen anderen der gepaarten Endgeräte (10, 20) zu erhalten; c) Herstellen einer Sicherheitszuordnung zwischen den gepaarten Endgeräten (10, 20) über das WAN basierend auf der erhaltenen Adresseninformation und dem ersten vorab verteilten Schlüssel (K1); d) Verkapseln einer ursprünglichen Nachricht in eine Container-Nachricht unter Verwendung des zweiten vorab verteilten Schlüssels (K3); und e) Übertragen der Container-Nachricht zwischen den gepaarten Endgeräten (10, 20) über eine sichere Kommunikation, die über die öffentlichen LAN-Schnittstellen (14, 24) unter Verwendung der auf dem ersten vorab verteilten Schlüssel (K1) basierenden Sicherheitszuordnung hergestellt ist.
  14. Computerprogrammprodukt zum Produzieren der Schritte des Anspruchs 13 bei dessen Ausführung auf einer Computervorrichtung.
DE201310017789 2013-10-25 2013-10-25 System für eine abgesicherte LAN-über-WAN-Übertragung Withdrawn DE102013017789A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201310017789 DE102013017789A1 (de) 2013-10-25 2013-10-25 System für eine abgesicherte LAN-über-WAN-Übertragung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310017789 DE102013017789A1 (de) 2013-10-25 2013-10-25 System für eine abgesicherte LAN-über-WAN-Übertragung

Publications (1)

Publication Number Publication Date
DE102013017789A1 true DE102013017789A1 (de) 2015-04-30

Family

ID=52811324

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310017789 Withdrawn DE102013017789A1 (de) 2013-10-25 2013-10-25 System für eine abgesicherte LAN-über-WAN-Übertragung

Country Status (1)

Country Link
DE (1) DE102013017789A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2411092A (en) 2002-12-19 2005-08-17 Intel Corp System and method for integrating mobile IP with virtual private networks (VPN)
EP1912413B1 (de) 2006-10-13 2010-01-13 Quipa Holdings Limited Verfahren zum Aufbau eines gesicherten virtuellen privaten Netzes zur Peer-to-Peer-Kommunikation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2411092A (en) 2002-12-19 2005-08-17 Intel Corp System and method for integrating mobile IP with virtual private networks (VPN)
EP1912413B1 (de) 2006-10-13 2010-01-13 Quipa Holdings Limited Verfahren zum Aufbau eines gesicherten virtuellen privaten Netzes zur Peer-to-Peer-Kommunikation

Similar Documents

Publication Publication Date Title
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE60116610T2 (de) Netzwerkadressenübersetzungsgateway für lokale netzwerke unter verwendung lokaler ip-adressen und nicht übersetzbarer portadressen
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE10297253T5 (de) Adressiermechanismus in Mobile-IP
DE10138718A1 (de) Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
EP3138258A1 (de) Verfahren zur erzeugung eines geheimnisses oder eines schlüssels in einem netzwerk
EP1761082A1 (de) Verfahren, Anordnung und Speichermedium zum Anbinden eines zweiten Kommunikationsnetzes mit einem Zugangsknoten an ein erstes Kommunikationsnetz mit einem Kontaktknoten
DE602004001606T2 (de) Return-Routability-Verfahren zur sicheren Kommunikation
DE10142959A1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
DE112005001833B4 (de) System und Verfahren zum Herbeiführen des sicheren Einsatzes von Netzwerken
EP2062400B1 (de) Verfahren und system zur adressierung und zum routing bei verschlüsselten kommunikationsbeziehungen
DE102016218758B4 (de) Vorrichtung und verfahren zur durchgängigen und medienübergreifenden übertragung von kommunikationsprotokollen ohne protokollumsetzung
DE102006036165B3 (de) Verfahren zur Etablierung eines geheimen Schlüssels zwischen zwei Knoten in einem Kommunikationsnetzwerk
EP3340578A1 (de) Verfahren zum übertragen von daten
DE102013017789A1 (de) System für eine abgesicherte LAN-über-WAN-Übertragung
EP4199564A1 (de) Quantensichere übertragung von daten über mobilfunknetz
DE102010011656B4 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
EP4199550B1 (de) Verfahren zum übermitteln eines nachrichteninhalts in verschlüsselter form zwischen einem ersten kommunikationsteilnehmer und wenigstens einem zweiten kommunikationsteilnehmer, system, telekommunikationsnetz, computerprogramm und computerlesbares medium
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE102021125836A1 (de) Computernetzwerk für sichere ip-zu-nicht-ip-kommunikation und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb
DE102023002804A1 (de) AUTOMATISCHE BANDINTERNE MEDIA ACCESS CONTROL SECURITY (MACsec) SCHLÜSSELAKTUALISIERUNG FÜR RETIMER-VORRICHTUNG

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: EISENFUEHR SPEISER PATENTANWAELTE RECHTSANWAEL, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee