DE10296987T5 - Dynamische Konfiguration von Ipsec Tunneln - Google Patents

Dynamische Konfiguration von Ipsec Tunneln Download PDF

Info

Publication number
DE10296987T5
DE10296987T5 DE10296987T DE10296987T DE10296987T5 DE 10296987 T5 DE10296987 T5 DE 10296987T5 DE 10296987 T DE10296987 T DE 10296987T DE 10296987 T DE10296987 T DE 10296987T DE 10296987 T5 DE10296987 T5 DE 10296987T5
Authority
DE
Germany
Prior art keywords
peer
negotiation
information
tunnel
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10296987T
Other languages
English (en)
Inventor
Karanvir Grewal
Cristina Georgescu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10296987T5 publication Critical patent/DE10296987T5/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities

Abstract

Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt:
– Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer;
– Senden von Informationen durch den zweiten Peer zu dem ersten Peer;
– Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und
– Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.

Description

  • HINTERGRUND
  • 1. Technisches Gebiet
  • Die vorliegende Erfindung betrifft allgemein virtuelle private Netzwerke (VPNs) und insbesondere Verfahren und Systeme zum Konfigurieren von VPN-Tunneln.
  • 2. Allgemeiner Stand der Technik
  • Im Zeitalter der elektronischen Kommunikation ist es entscheidend, daß Teilnehmer auf sichere, geschützte Weise miteinander kommunizieren. Bei fehlenden entsprechenden Sicherheitsmaßnahmen können externe Teilnehmer Zugang zu zwischen kommunizierenden Teilnehmern ausgetauschten Informationen erlangen. Ein solcher Zugriff kann sowohl öffentliche als auch private Interessen kompromittieren.
  • Es sind Sicherheitstechnologien entstanden, um die den elektronischen Informationsaustauschvorgängen innewohnenden Probleme zu behandeln. Zum Beispiel ist ein virtuelles privates Netzwerk (VPN) eine sichere Netzwerkverbindung in einem Netzwerk. Genauer gesagt ist ein VPN-"Tunnel" eine zwischen Endpunkten in einem Netzwerk hergestellte sichere Verbindung. Alle zwischen einem Knoten an einem ersten Endpunkt und einem Knoten an einem zweiten Endpunkt ausgetauschten Daten werden einer bestimmten An von Sicherheitsmanipulation, wie zum Beispiel Verschlüsselung, unterzogen. Folglich kann ein externer Teilnehmer keinen Zugang zu den ausgetauschten Daten erhalten. Knoten können geographisch abgesetzt und durch viele zwischengeschaltete Vermittlungen und Router getrennt sein.
  • Um einen VPN-Tunnel herzustellen, können ein Initiator und ein Antwortender an einer Reihe von Verhandlungen teilnehmen. Der Initiator kann eine Verhandlung mit dem Antwortenden einleiten. Während der Verhandlung können Informationen zwischen den Knoten ausgetauscht werden, die für zukünftige Informationsaustauschvorgänge geltende Sicherheitsrichtlinien darlegen. Wenn mehrere Ver handlungsphasen auftreten, kann ein sicherer Satz definierender Parameter erzeugt werden. Somit kann ein Tunnel hergestellt werden und der Initiator und der Antwortende können auf sichere Weise kommunizieren.
  • Protokolle regeln den Prozeß des Herstellens von Tunneln zwischen Knoten. Insbesondere sind IPSec, RFC 2401, 2411 eine Gruppe von Erweiterungen der IP-Protokollfamilie, die die Erzeugung verschlüsselter Tunnel erzeugt. IPSec stellt kryptographische Sicherheitsdienste bereit, darunter Authentisierung, Integrität, Zugangskontrolle und Vertraulicuhkeits-Support. IPSec ist für Netzwerkanwendungen transparent. Die Protokolle und Regeln, die für IPSec-Übertragungen gelten, müssen den von Internet-Arbeitsgruppen verbreiteten Dokumenten entsprechen.
  • IPSec enthält eine Anzahl von Protokollen, darunter AH (Authentication Header), RFC 2402 und ESP (Encapsulated Security Payload), RFC 2406. IPSec-gesicherte Verbindungen werden über Sicherheitsassoziationen (SAs), RFC 2408, definiert. Eine SA ist eine Sicherheitskonfiguration, die für die Ausführung verschiedener Netzwerksicherheitsdienste erforderliche Informationen enthält. Insbesondere kann eine SA Sicherheitsattribute enthalten, wie zum Beispiel Netzwerkparameter und Netzwerkadressen. Jede SA ist für einen einzigen unidirektionalen Datenfluß, gewöhnlich von einem einzelnen Knoten zu einem anderen Knoten, definiert und deckt Verkehr ab, der durch einen bestimmten eindeutigen Selektor unterscheidbar ist. Das einschlägige Sicherheitsprotokoll für SAs kann AH oder ESP sein. AH folgt einem einfachen IP-Kopfteil und enthält kryptographische Hash-Verarbeitungen der Daten sowie Identifikationsinformationen. Der ESP-Kopfteil ermöglicht ein Umschreiben des Nutzsignals in verschlüsselter Form.
  • 1 (Stand der Technik) zeigt ein System, in dem ein Tunnel hergestellt werden kann. Das System 100 enthält einen Client 120 und ein Gateway 180, die über das Internet 160 miteinander kommunizieren. Der Client 120 speichert die IP-Adresse 130 des Gateways 180. Außerdem speichert der Client 120 eine Sicherheitskonfiguration 140. Ähnlich speichert das Gateway 180 eine Sicherheitskonfiguration 170.
  • Um einen Tunnel 150 zwischen Client 120 und Gateway 180 herzustellen, kann der Client 120 eine vorläufige Verhandlung mit dem Gateway 180 einleiten. Bei dieser vorläufigen Verhandlung können der Client 120 und das Gateway 180 einen Sicherheitsalgorithmus zur Verwendung bei nachfolgenden Verhandlungen vereinbaren. Bei dem IPSec-Protokoll wird diese vorläufige Verhandlung als phasel-Verhandlung bezeichnet. Nach der phasel-Verhandlung kann der Client 120 eine weitere Verhandlung mit dem Gateway 180 einleiten. Bei der sogenannten phase2 erzeugen der Client 120 und das Gateway 180 sichere Schlüssel, um nachfolgende sichere Übertragungen zwischen dem Client 120 und dem Gateway 180 über den Tunnel 150 zu definieren.
  • Die phase2-Verhandlung ist nur erfolgreich, wenn Gateway 180 und Client 120 identisch konfiguriert sind. Das heißt, um den Tunnel 150 herzustellen, muß die Sicherheitskonfiguration 170 in dem Gateway 180 mit der Sicherheitskonfiguration 140 in dem Client 120 identisch sein. Auch wenn nur ein geringfügiger Unterschied zwischen den jeweiligen Sicherheitskonfigurationen besteht, bleibt die phase2-Verhandlung erfolglos.
  • Folglich muß ein Client-Administrator 101 Parameter in der Sicherheitskonfiguration 140 konfigurieren. Ähnlich muß ein Gateway-Administrator 11-0 Sicherheitsparameter in der Sicherheitskonfiguration 170 konfigurieren. Dieser Konfigurationsprozeß ist komplex, und der Client-Administrator 101 muß die jeweilige Sicherheitskonfiguration jedes Endpunkts, mit dem der Client 120 einen Tunnel herstellen möchte, kennen. Wenn der Gateway-Administrator 110 auch nur einen Parameter in der Sicherheitskonfiguration 170 des Gateways 180 verändert, muß darüber hinaus der Client-Adminstrator 101 den entsprechenden Parameter in der Sicherheitskonfiguration 140 des Clients 120 modifizieren. 2 (Stand der Technik) zeigt beispielhafte Sicherheitskonfigurationen, die dem Client 120 und dem Gateway 180 in 1 assoziiert sein können.
  • Es wird also ein Verfahren und ein System zum dynamischen Konfigurieren von Tunneln in einem Netzwerk benötigt.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 (Stand der Technik) zeigt ein System, in dem ein Tunnel hergestellt werden kann.
  • 2 (Stand der Technik) zeigt Sicherheitskonfigurationen, die einem Client und einem Gateway in dem System von 1 zugeordnet sein können.
  • 3 zeigt ein System gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 4 ist ein Flußdiagramm auf hoher Ebene eines Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 5 ist ein Flußdiagramm auf hoher Ebene eines Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 6 ist ein Flußdiagramm auf hoher Ebene eines Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 7 zeigt eine beispielhafte Konfigurationsmodus-Austausch-Transaktion.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgende ausführliche Beschreibung bezieht sich auf die beigefügten Zeichnungen, die Ausführungsbeispiele der vorliegenden Erfindung darstellen. Es sind andere Ausführungsformen möglich, und an den Ausführungsformen könne Modifikationen vorgenommen werden, ohne vom Gedanken und Schutzumfang der Erfindung abzuweichen. Die folgende ausführliche Beschreibung soll deshalb die Erfindung nicht einschränken. Statt dessen wird der Schutzumfang der Erfindung durch die angefügten Ansprüche definiert.
  • Für Durchschnittsfachleute ist erkennbar, daß die nachfolgend beschriebenen Ausführungsformen in vielen verschiedenen Ausführungsformen von Software, Firmware und Hardware in den in den Figuren dargestellten Entitäten implementiert werden können. Der tatsächliche Softwarecode oder spezialisierte Steuerhardware, die zur Implementierung der vorliegenden Erfindung verwendet werden, beschränken die vorliegende Erfindung nicht. Die Funktionsweise und das Verhalten der Ausführungsformen wird also ohne spezifische Bezugnahme auf den eigentlichen Softwarecode oder spezialisierte Hardwarekomponenten beschrieben. Das Fehlen solcher spezifischer Bezugnahmen ist möglich, da es sich offensichtlich versteht, daß Durchschnittsfachleute Software und Steuerhardware zur Implementierung der Ausführungsformen der vorliegenden Erfindung auf der Grundlage der vorliegenden Beschreibung lediglich mit vernünftigem Aufwand und ohne übermäßiges Experimentieren entwerfen können.
  • Außerdem können die den vorgestellten Ausführungsformen zugeordneten Prozesse in einer beliebigen Speichereinrichtung gespeichert werden, wie zum Beispiel einem (nichtflüchtigen) Speicher eines Computersystems, einer optischen Platte, einem Magnetband oder einer magnetischen Platte. Weiterhin können die Prozesse bei der Herstellung des Computersystems oder zu einem späteren Zeitpunkt über ein computerlesbares Medium programmiert werden. Zu solchen Medien können beliebige der oben in Bezug auf Speichereinrichtungen aufgelisteten Formen gehören und weiterhin zum Beispiel auch eine Trägerwelle, die moduliert oder anderweitig manipuliert ist, um Anweisungen zu übermitteln, und die durch einen Computer gelesen, demoduliert/decodiert und ausgeführt werden kann.
  • An einem Verfahren und System zum dynamischen Konfigurieren eines Tunnels gemäß der vorliegenden Darstellung sind ein Client und ein Gateway beteiligt. Der Client leitet eine Verhandlung mit dem Gateway ein. Das Gateway sendet Informationen zu dem Client. Der Client extrahiert eine Sicherheitskonfiguration aus den von dem Gateway gesendeten Informationen. Unter Verwendung der Sicherheitskonfiguration wird ein Tunnel zwischen Client und Gateway hergestellt.
  • Folglich kann auf einem Client eine minimale Konfiguration definiert sein. Ein Gateway-Administrator kann Netzwerkattribute auf dem Gateway und auch Sicherheitsregeln in Bezug auf Peers, Benutzer und Gruppen modifizieren, ohne manuell die Modifikationen zu einem Client zu übermitteln.
  • 3 zeigt ein System 300 mit einer Ausführungsform der vorliegenden Erfindung. Wie gezeigt, umfaßt das System 300 einen Client 320 und ein Gateway 380, die über das Internet 360 kommunizieren. Zur Veranschaulichung sind Tunnel hierbei als zwischen Clients und Gateways gebildet gezeigt. Der Begriff "Client" entspricht einem ersten Endpunkt eines Tunnels, und "Gateway" entspricht einem zweiten Endpunkt. Diese Begriffe können eine beliebige Einrichtung aus einer Reihe von Einrichtungen umfassen, wie zum Beispiel PCs, Client-Computer, Server, Zentralrechner, Gateways, PDAs (Personal Digital Assistants), andere in der Hand gehaltene Einrichtungen und andere Datenverarbeitungseinrichtungen. Die Ausdrücke „erster Peer" und "zweiter Peer" können "Client" und "Gateway" ersetzen. Außerdem kann das Internet 360 durch ein anderes Netzwerk, wie zum Beispiel ein Intranet, ersetzt werden.
  • Das Gateway 380 speichert eine Sicherheitskonfiguration 370, die Sicherheits- und Regelattribute umfassen kann, oder hat Zugriff auf diese. Zu solchen Attributen können Sicherheits- und Netzwerkparameter und Netzwerkadressen gehören. Dem Gateway 380 ist ein Gateway-Administrator 310 zugeordnet, der verschiedene Parameter in der Sicherheitskonfiguration 370 manuell modifizieren kann. Solche Modifikationen können jedoch auch automatisch über Software durchgeführt werden.
  • Der Client 320 besitzt keinen zugeordneten Administrator, wie zum Beispiel den Client-Adminstrator 101 in der obigen 1. Gemäß Ausführungsformen der vorliegenden Erfindung muß der Client 320 keine der Sicherheitskonfiguration 370 des Gateways 380 entsprechende Sicherheitskonfiguration unterhalten.
  • Der Client 320 speichert die IP-Adresse 330 des Gateways 380 bzw. hat Zugang zu dieser oder empfängt sie als Eingabe von einem Benutzer. Der Client 320 kann die IP-Adresse 330 und ein vorab geteiltes Geheimnis (Preshared Secret) oder Zertifikat zur Authentisierung führen. Das Preshared Secret kann sowohl dem Client 320 als auch dem Gateway 380 vor Verhandlungen, die letztendlich den Tunnel 350 in dem Internet 360 herstellen, bekannt sein.
  • 4 ist ein Flußdiagramm des Verfahrens 400 gemäß einer Ausführungsform der vorliegenden Erfindung auf hoher Ebene. Es versteht sich, daß das Verfahren 400 unter Verwendung verschiedener Protokolle implementiert werden kann. Außerdem können zusätzliche (nicht gezeigte) Verhandlungen in dem Verfahren 400 enthalten sein.
  • In Schritt 401 leitet ein Client eine vorläufige Verhandlung mit einem Gateway ein. In Schritt 410 leitet der Client eine zweite Verhandlung mit dem Gateway ein. Bei bestimmten Protokollen kann eine Verhandlung eingeleitet werden. Das Gateway sendet in Schritt 420 Informationen zu dem Client. Diese Informationen können bei einer vorherigen Verhandlung, wie zum Beispiel der durch den Client in . Schritt 410 eingeleiteten Verhandlung, durch den Client angefordert worden sein.
  • In Schritt 430 extrahiert der Client aus den durch das Gateway gesendeten Informationen eine Sicherheitskonfiguration. In Schritt 435 leitet der Client eine letzte Verhandlung mit dem Gateway ein. In Schritt 440 wird unter Verwendung der Sicherheitskonfiguration ein Tunnel hergestellt, der eine sichere Kommunikation zwischen dem Client und dem Gateway ermöglicht.
  • In Schritt 420 des Verfahrens 400 kann das Gateway auch Informationen über eines oder mehrere Protokolle, wie zum Beispiel die Protokolle securID, RADIUS und L2TP, zu dem Client senden. Dementsprechend kann der Client die Informationen extrahieren und die Protokolle für zusätzliche Verhandlungen verwenden. Bei einem (nicht gezeigten) Implementierungsbeispiel kann vor dem Schritt 435 in 4 eine Sicherheitsauthentisierungsverhandlung stattfinden.
  • 5 ist ein Flußdiagramm des Verfahrens 500 gemäß einer weiteren Ausführungsform der vorliegenden Erfindung auf hoher Ebene. Bei dem Verfahren 500 , wird das IPSec-Protokoll verwendet, um einen sicheren Tunnel zwischen einem Client und einem Gateway herzustellen. In Schritt 501 erfolgt eine phasel-Verhandlung. Die Verhandlung wird später ausführlicher beschrieben. Die phasel-Verhandlung kann unter Verwendung der Basismodusaustausch (basic mode exchange)-Erweiterung des IPSec-Protokolls (Internet Draft draft-ietf-ipsec-ike-base-mode-02.txt) sowie mit dem Hauptmodus und dem aggressiven Modus, RFC 2409, bewirkt werden. Als Folge der phasel-Verhandlung können sich Client und Gateway gegenseitig authentisieren und können gültige Sicherheitsregeln vereinbaren, die für eine nachfolgende Verhandlung zwischen Client und Gateway gelten sollen.
  • In Schritt 510 wird eine hier als "phasela" bezeichnete Zwischenverhandlung zwischen Client und Gateway eingeleitet. Bei einem Implementierungsbeispiel verwendet die phasela-Verhandlung die Konfigurationsmodusaustausch (configuration mode exchange)-Erweiterung (Internet Draft draft-dukes-ike-mode-cfg-00.txt) des IPSec-Protokolls. Als Ergebnis der phasela-Verhandlung empfängt der Client von dem Gateway phasel-Sicherheitsparameter, die für die phasel-Verhandlung benötigt werden. Bei beispielhaften Verhandlungen sind die Parameter von phasel und phasel unabhängig voneinander.
  • Da Client und Gateway nun identische Sicherheitskonfigurationen aufweisen, findet in Schritt 520 die phasel-Verhandlung statt. Bei bestimmten Ausführungsformen kann Quick Mode, RFC 2409, ein Austausch des IPSec-Protokolls, verwendet werden. Vorausgesetzt, daß die phasel-Verhandlung erfolgreich ist, haben Client und Gateway dann sichere Schlüssel erzeugt, die für alle nachfolgenden Übertragungen zwischen Client und Gateway maßgeblich sein sollen. Deshalb wurde in Schritt 530 ein Tunnel zwischen Client und Gateway hergestellt, um eine sichere Kommunikation zu ermöglichen.
  • 6 ist ein Flußdiagramm des Verfahrens 600 gemäß einer Ausführungsform der vorliegenden Erfindung auf hoher Ebene. Die gestrichelten Teile des Verfahrens 600 können jeweiligen Schritten in dem Verfahren 500 von 5 entsprechen.
  • Der gestrichelte Teil A kann der phasel-Verhandlung in Schritt 501 entsprechen.. Gemäß der Basismodusaustausch-Erweiterung des IPSec-Protokolls kann ein phasel-Initiator einem Antwortenden mehrere Sicherheitsvorschläge, die mehrere Transformationen enthalten, sowie die Identität des Initiators in dem ersten Paket der Verhandlung anbieten.
  • Bei einem Implementierungsbeispiel kann ein Client alle Permutationen der durch den Client unterstützten Sicherheitsalgorithmen oder einen Teil dieser zu einem Gateway senden. Außerdem können die Vorschläge in dem übertragenen Paket in der Reihenfolgen von sicheren zu weniger sicheren Vorschlägen geordnet werden. Wenn das Gateway diese Vorschläge analysiert, werden folglich die sicheren Vorschläge vor den weniger sicheren Vorschlägen betrachtet. Folglich kann der höchste Sicherheitsgrad, der für nachfolgende Verhandlungen maßgeblich sein soll, gewählt werden. Da der Client alle seine unterstützten Sicherheitsattribute anbietet, ist außerdem die phasel-Verhandlung erfolgreich, das heißt; es wird eine Übereinstimmung mit gültigen Sicherheitsregeln erzielt, solange das Gateway mindestens einen Satz der vorgeschlagenen Regeln unterstützt. Deshalb kann die phasel-Verhandlung erfolgreich stattfinden, ohne daß der Client die Sicherheitsparameter, mit denen der Client für die phasel-Verhandlung eine Übereinstimmung erzielen muß, speichert bzw. Zugang zu ihnen hat oder sie als Eingabe von einem Benutzer empfängt.
  • Genauer gesagt bietet in Schritt 601 der 6 ein Client einem Gateway Sicherheitsvorschläge an, wenn der Client eine vorläufige Verhandlung einleitet. In Schritt 610 wählt das Gateway unter den von dem Client angebotenen Vorschlägen einen Vorschlag aus, der mit einem durch das Gateway unterstützten Vorschlag übereinstimmt. Das Gateway kann dann den gewählten Vorschlag zum Client zurücksenden.
  • Der gestrichelte Teil B des Verfahrens 600 kann der phasel-Verhandlung in Schritt 510 von 5 entsprechen. Der Konfigurationsmodusaustausch des IP-Sec-Protokolls basiert auf einem allgemeinen Protokoll von Anfrage/Antwort. Ein Initiator stellt eine Anforderung an einen Antwortenden und der Antwortende antwortet, indem er angeforderte Informationen zu dem Initiator zurücksendet.
  • Gemäß einer Ausführungsform der vorliegenden Erfindung wird die Konfigurationsmodusaustausch-Erweiterung erweitert, so daß sie eine zusätzliche Gruppe von Attributen umfaßt. Insbesondere umfassen die Attribute Sicherheitsattribute, die eine oder mehrere Sicherheits- oder Regelassoziationen von phasel definieren. Ein Initiator-Client, der Konfigurationsinformationen benötigt, fordert an, daß das antwortende Gateway alle definierten phasel-Regeln sendet. Abhängig von der auf dem antwortenden Gateway definierten Konfiguration kann das Gateway zusätzli che, mit IPSec zusammenhängende Attribute und proprietäre Attribute senden. Die Sicherheitsattribute können auch zusammen mit Verkehr gesendet werden, der durch jede Sicherheitsassoziation (SA) geschützt ist. Die phase2-Sicherheitsattribute können mit einem Präfix, wie zum Beispiel "CFG ", gekennzeichnet werden, um sie von anderen Informationen zu unterscheiden.
  • Nachdem der Client die Sicherheitskonfiguration, darunter zum Beispiel Sicherheits- und Netzwerkparameter und -identitäten, extrahiert hat, kann der Client die Konfiguration zur Einleitung von Verhandlungen für alle auf dem Gateway definierten phase2-Sicherheitsassoziationen verwenden. Verhandlungen können erfolgreich sein, da dem Client nun bekannte Attribute mit auf dem Gateway definierten Attributen übereinstimmen. Bei bestimmten Ausführungsformen werden, wenn der Client bereits zum Zeitpunkt der Einleitung der Verhandlung durch den Client phase2-Regeldefinitionen besitzt, die Definitionen nicht benutzt oder durch Software überschrieben. Bei anderen Ausführungsformen sendet das Gateway in seiner Antwort auf die Anfrage des Clients keine Parameter, die Null ergeben. Zusätzlich kann die Anzahl von Iterationen durch jede Gruppe von Parametern von der Konfiguration des die Parameter empfangenden Clients abhängen. 7 zeigt eine beispielhafte Konfigurationsmodusaustausch-Transaktion zwischen einem Client und einem Gateway.
  • Genauer fordert in Schritt 620 der 6 der Client an, daß das Gateway Informationen sendet, darunter alle definierten phase2-Regeln oder einen Teil dieser. In Schritt 630 antwortet das Gateway, indem es die angeforderten Informationen zu dem Client zurücksendet. Die Informationen können in Form von Sätzen von Attributen zurückgesendet werden, wobei jeder Satz ausreichend Informationen zum Definieren einer IPSec-Sicherheitsassoziation enthält. Es kann ein Attribut aus einem gegebenen Satz weggelassen werden, wodurch angezeigt werden kann, daß es für dieses Attribut keinen Wert gibt, d. h., das Attribut nicht verwendet wird. Die Anzahl von durch das Gateway zurückgegebenen Sätzen von Attributen kann durch die Konfiguration des Antwortenden vorgeschrieben werden. In Schritt 640 extrahiert der Client Sicherheitskonfigurationsinformationen aus den durch das Gateway gesendeten Informationen.
  • Der gestrichelte Teil C kann der phase2-Verhandlung in Schritt 520 der 5 entsprechen. In Schritt 650 können, unter Verwendung der durch den Client empfangenen Sicherheitskonfigurationen, Client und Gateway phase2-Sicherheitsassoziationen aushandeln, um sichere Schlüssel zu erzeugen. Auf jede SA können verschiedene Sicherheitsgrade angewandt werden. Dementsprechend können mehrere SAs verwendet werden, um es einem Client zu ermöglichen, auf mehrere Betriebsmittel oder Dienste auf einem geschützten Netzwerk zuzugreifen. Im Posten 660 wird ein Tunnel zwischen Client und Gateway hergestellt, so daß eine sichere Kommunikation zwischen Client und Gateway stattfinden kann.
  • Die obige Beschreibung der bevorzugten Ausführungsformen wird angegeben, damit jeder Fachmann die vorliegende Erfindung herstellen oder benutzen kann. Es sind verschiedene Modifikationen dieser Ausführungsformen möglich, und die hier vorgestellten generischen Prinzipien können auch auf andere Ausführungsformen angewandt werden. Zum Beispiel kann sich das IPSec-Protokoll weiter entwickeln und es können verschiedene neue oder modifizierte Austauschvorgänge oder Erweiterungen verwendet werden, um die vorliegende Erfindung zu implementieren. Es können auch neu entwickelte Protokolle geeignet sein. Bei anderen Ausführungsformen kann ein Gateway auf einen Client reagieren, indem es eine IP-Adresse und die Sicherheitskonfiguration eines zweiten Client oder Gateways sendet. Dementsprechend kann ein Tunnel zwischen dem Client und dem zweiten Client oder Gateway hergestellt werden. Bei weiteren Ausführungsformen kann zwischen einem ersten Gateway und einem zweiten Gateway ein Tunnel hergestellt werden.
  • Außerdem kann die Erfindung teilweise oder als Ganzes als eine fest verdrahtete Schaltung, als eine auf einer anwendungsspezifischen integrierten Schaltung hergestellte Schaltungskonfiguration oder als ein Firmware-Programm, das in einen nichtflüchtigen Speicher geladen wird, oder ein Softwareprogramm, das als maschinenlesbarer Code aus einem Datenspeichermedium oder in dieses geladen wird, implementiert werden, wobei es sich bei solchem Code um Anweisungen handelt, die durch ein Array von Logikelementen, wie zum Beispiel einen Mikroprozessor oder eine andere digitale Signalverarbeitungseinheit, ausführbar sind.
  • Folglich soll die vorliegende Erfindung nicht auf die oben gezeigten Ausführungsformen begrenzt werden, sondern soll statt dessen den größtmöglichen Schutzumfang haben, der mit den hier offengelegten Prinzipien und neuartigen Merkmalen in beliebiger Weise vereinbar ist.
  • Zusammenfassung
  • Es werden ein Verfahren und ein System zum dynamischen Konfigurieren eines Tunnels beschrieben. Ein Client leitet eine Verhandlung mit einem Gateway ein. Das Gateway sendet Information zu dem Client. Der Client extrahiert eine Sicherheitskonfiguration aus der Information. Unter Verwendung der Sicherheitskonfiguration wird zwischen dem Client und dem Gateway ein Tunnel hergestellt, so daß eine sichere Kommunikation stattfinden kann.

Claims (30)

  1. Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt: – Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer; – Senden von Informationen durch den zweiten Peer zu dem ersten Peer; – Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
  2. Verfahren nach Anspruch 1, wobei bei der Verhandlung die Konfigurationsmodusaustausch-Erweiterung des IPSec-Protokolls verwendet wird.
  3. Verfahren nach Anspruch 1, wobei das Herstellen eines Tunnels das Durchführen einer phase2-Verhandlung in dem IPSec-Protokoll umfaßt.
  4. Verfahren nach Anspruch 1, bei dem weiterhin durch den ersten Peer eine vorläufige Verhandlung mit dem zweiten Peer eingeleitet wird.
  5. Verfahren nach Anspruch 4, wobei das Einleiten einer vorläufigen Verhandlung das Durchführen einer phasel-Verhandlung in dem IPSec-Protokoll umfaßt.
  6. Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt: – Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer; – Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
  7. Verfahren nach Anspruch 6, wobei der Tunnel ein IPSec-Tunnel ist.
  8. Verfahren nach Anspruch 6, wobei die Verhandlung die Konfigurationsmodusaustausch-Erweiterung des IPSec-Protokolls verwendet.
  9. Verfahren nach Anspruch 6, wobei das Einleiten umfaßt; daß der erste Peer anfordert; daß der zweite Peer Informationen sendet, wobei die Informatio nen Regel-Informationen enthalten, um eine nachfolgende Verhandlung zwischen dem ersten Peer und dem zweiten Peer zu definieren.
  10. Verfahren nach Anspruch 9, wobei die Regel-Informationen eine oder mehrere Sicherheitsassoziationen definieren.
  11. Verfahren nach Anspruch 10, wobei die von dem zweiten Peer gesendeten Information Sätze von Attributen umfaßt, wobei die Attribute Sicherheitsparameter und Netzwerkadressen enthalten.
  12. Verfahren nach Anspruch 6, wobei das Herstellen eines Tunnels eine Verhandlung durch den ersten Peer mit dem zweiten Peer umfaßt, um einen sicheren Schlüssel zu erzeugen.
  13. Verfahren nach Anspruch 12, wobei das Verhandeln zur Erzeugung eines sicheren Schlüssels das Durchführen einer phase2-Verhandlung in dem IP-Sec-Protokoll umfaßt.
  14. Verfahren nach Anspruch 6, wobei das Herstellen eines Tunnels den Schnellmodusaustausch des IPSec-Protokolls verwendet.
  15. Verfahren nach Anspruch 6, wobei die IP-Adresse des zweiten Peers dem ersten Peer zugänglich ist.
  16. Verfahren nach Anspruch 15, wobei auf dem ersten Peer vor der Verhandlung ein Shared Secret gespeichert wird.
  17. Verfahren nach Anspruch 6, bei dem der erste Peer weiterhin eine vorläufige Verhandlung mit dem zweiten Peer einleitet, wobei das Einleiten umfaßt, daß der erste Peer dem zweiten Peer mindestens einen durch den ersten Peer unterstützten Sicherheitsvorschlag anbietet.
  18. Verfahren nach Anspruch 17, wobei der erste Peer angebotene Sicherheitsvorschläge in einem Übertragungspaket so ordnet, daß ein sicherer Sicherheitsvorschlag vor einem weniger sicheren Vorschlag angeboten wird.
  19. Verfahren nach Anspruch 17, wobei die vorläufige Verhandlung die Basismodusaustausch-Erweiterung des IPSec-Protokolls verwendet.
  20. Verfahren nach Anspruch 17, wobei das Einleiten einer vorläufigen Verhandlung weiterhin umfaßt, daß der erste Peer die Identität des ersten Peers zu dem zweiten Peer sendet.
  21. Verfahren nach Anspruch 17, wobei das Einleiten einer vorläufigen Verhandlung das Durchführen einer phasel-Verhandlung in dem IPSec-Protokoll umfaßt.
  22. Verfahren nach Anspruch 17, wobei die vorläufige Verhandlung den Hauptmodus oder den Aggressiv-Modus des IPSec-Protokolls verwendet.
  23. Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt: – Senden von Informationen durch einen zweiten Peer zu einem ersten Peer, der eine Verhandlung mit dem zweiten Peer eingeleitet hat, wobei die Informationen eine Sicherheitskonfiguration enthalten, die von dem ersten Peer extrahiert werden soll; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
  24. Verfahren nach Anspruch 23, wobei die Informationen Regel-Informationen enthalten, die eine oder mehrere Sicherheitsassoziationen definieren.
  25. System zum dynamischen Konfigurieren eines Tunnels, umfassend: – einen ersten Peer; und – einen zweiten Peer, der dafür konfiguriert ist, über eine Netzwerkverbindung mit dem ersten Peer zu kommunizieren, wobei der erste Peer dafür konfiguriert ist, eine Verhandlung mit dem zweiten Peer einzuleiten, wobei der zweite Peer dafür konfiguriert ist, Informationen zu dem ersten Peer zu senden, wobei der erste Peer dafür konfiguriert ist, eine Sicherheitskonfiguration aus der durch den zweiten Peer gesendeten Information zu extrahieren, und – der erste Peer und der zweite Peer dafür konfiguriert sind, unter Verwendung der Sicherheitskonfiguration einen Tunnel zwischen sich herzustellen.
  26. System nach Anspruch 25, wobei der Tunnel ein IPSec-Tunnel ist.
  27. Computerlesbares Medium, das Code mit mehreren von einem Prozessor ausführbaren Anweisungssequenzen für Folgendes enthält: – Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer; – Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus durch den zweiten Peer gesendeter Information; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
  28. Computerlesbares Medium nach Anspruch 28, wobei die Verhandlung eine Anforderungs-/Antwort-Verhandlung umfaßt, wobei der erste Peer anfordert, daß der zweite Peer die Informationen sendet und der zweite Peer auf die Anforderung antwortet, indem er die Informationen zu dem ersten Peer sendet.
  29. Computerlesbares Medium, das Code mit mehreren von einem Prozessor ausführbaren Anweisungssequenzen für folgendes enthält: – Senden von Information durch einen zweiten Peer zu einem ersten Peer, der eine Verhandlung mit dem zweiten Peer eingeleitet hat, wobei die Information eine Sicherheitskonfiguration enthält, die von dem ersten Peer extrahiert werden soll; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
  30. Computerlesbares Medium nach Anspruch 29, wobei die Informationen Sätze von Attributen enthalten, wobei die Attribute Sicherheitsparameter und Netzwerkadressen enthalten.
DE10296987T 2001-06-29 2002-05-30 Dynamische Konfiguration von Ipsec Tunneln Ceased DE10296987T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/893,736 US20030005328A1 (en) 2001-06-29 2001-06-29 Dynamic configuration of IPSec tunnels
US09/893,736 2001-06-29
PCT/US2002/017134 WO2003003689A2 (en) 2001-06-29 2002-05-30 Dynamic configuration of ipsec tunnels

Publications (1)

Publication Number Publication Date
DE10296987T5 true DE10296987T5 (de) 2004-10-14

Family

ID=25401995

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10296987T Ceased DE10296987T5 (de) 2001-06-29 2002-05-30 Dynamische Konfiguration von Ipsec Tunneln

Country Status (8)

Country Link
US (1) US20030005328A1 (de)
CN (1) CN1515107A (de)
AU (1) AU2002259320A1 (de)
DE (1) DE10296987T5 (de)
GB (1) GB2392805B (de)
HK (1) HK1060674A1 (de)
TW (1) TWI253825B (de)
WO (1) WO2003003689A2 (de)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7171685B2 (en) * 2001-08-23 2007-01-30 International Business Machines Corporation Standard format specification for automatically configuring IP security tunnels
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
CA2393547A1 (en) * 2002-07-15 2004-01-15 Hexago Inc. Method and apparatus for connecting ipv6 devices through an ipv4 network using a tunneling protocol
US7779152B2 (en) * 2003-01-24 2010-08-17 Nokia Corporation Establishing communication tunnels
DE10331310A1 (de) 2003-07-10 2005-02-10 Siemens Ag Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz sowie Teilnehmer zur Durchführung des Verfahrens
KR100803590B1 (ko) * 2003-10-31 2008-02-19 삼성전자주식회사 이종망간에 데이터 통신이 가능한 터널 서비스를 제공하는시스템
JP2005341084A (ja) * 2004-05-26 2005-12-08 Nec Corp Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法
US9781162B2 (en) 2006-02-15 2017-10-03 International Business Machines Corporation Predictive generation of a security network protocol configuration
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US8417868B2 (en) * 2006-06-30 2013-04-09 Intel Corporation Method, apparatus and system for offloading encryption on partitioned platforms
CN100423507C (zh) * 2006-12-06 2008-10-01 胡祥义 一种建立基于动态加密算法的vpn系统的方法
CN102868523B (zh) * 2012-09-18 2017-05-24 汉柏科技有限公司 一种ike协商方法
CN104104569B (zh) * 2013-04-01 2017-08-29 华为技术有限公司 建立vpn隧道的方法及服务器
CN106122988B (zh) * 2016-07-27 2018-07-31 永春科盛机械技术开发有限公司 一种炉排反冲洗清洁循环装置
CN106549850B (zh) * 2016-12-06 2019-09-17 东软集团股份有限公司 虚拟专用网络服务器及其报文传输方法
CN108400897B (zh) * 2018-05-04 2020-01-14 新华三大数据技术有限公司 网络安全配置方法及装置
CN115190072B (zh) * 2022-07-08 2023-06-20 复旦大学 激进传输协议和保守传输协议之间公平性的速率调节方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6842860B1 (en) * 1999-07-23 2005-01-11 Networks Associates Technology, Inc. System and method for selectively authenticating data
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US7003662B2 (en) * 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods

Also Published As

Publication number Publication date
AU2002259320A1 (en) 2003-03-03
CN1515107A (zh) 2004-07-21
WO2003003689A2 (en) 2003-01-09
WO2003003689A3 (en) 2003-05-01
US20030005328A1 (en) 2003-01-02
TWI253825B (en) 2006-04-21
GB0327185D0 (en) 2003-12-24
GB2392805B (en) 2005-02-23
HK1060674A1 (en) 2004-08-13
GB2392805A (en) 2004-03-10

Similar Documents

Publication Publication Date Title
DE10296987T5 (de) Dynamische Konfiguration von Ipsec Tunneln
DE60201854T2 (de) Verhandlung von sicheren Verbindungen durch einen Proxy-Server
DE60121101T2 (de) Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE60217962T2 (de) Benutzerauthentisierung quer durch die Kommunikationssitzungen
EP0903026B1 (de) Verfahren zur Aushandlung einer Sicherheitspolitik zwischen einer ersten Computereinheit und einer zweiten Computereinheit
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60310347T2 (de) Verfahren und System zur Regelassoziation in Kommunikationsnetzen
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
DE60100317T2 (de) Verfahren zum Bereitstellen von Kundenzugriff auf einen inhaltanbietenden Server unter Kontrolle eines resoursenlokalisierenden Servers
DE60305775T2 (de) Verfahren und Gerät zur Berechnung von Haschwerten in einem kryptographischen Koprozessor
DE60308733T2 (de) Dienstanbieteranonymisierung in einem single sign-on system
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE102007033615A1 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE60203277T2 (de) Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem
DE102015122518A1 (de) Authentifizierung von Datenkommunikationen
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
DE602005003631T2 (de) Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe
DE10221665A1 (de) Gesichertes wechselseitiges Legalisierungssystem
DE102018202996A1 (de) Verfahren zum Durchführen einer Diagnose
DE60008313T2 (de) SIM basierte Authentifizierung als Zahlungsverfahren in öffentlichen ISP Zugangsnetzen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law

Ref document number: 10296987

Country of ref document: DE

Date of ref document: 20041014

Kind code of ref document: P

8131 Rejection