DE10296987T5 - Dynamische Konfiguration von Ipsec Tunneln - Google Patents
Dynamische Konfiguration von Ipsec Tunneln Download PDFInfo
- Publication number
- DE10296987T5 DE10296987T5 DE10296987T DE10296987T DE10296987T5 DE 10296987 T5 DE10296987 T5 DE 10296987T5 DE 10296987 T DE10296987 T DE 10296987T DE 10296987 T DE10296987 T DE 10296987T DE 10296987 T5 DE10296987 T5 DE 10296987T5
- Authority
- DE
- Germany
- Prior art keywords
- peer
- negotiation
- information
- tunnel
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
Abstract
Verfahren
zum dynamischen Konfigurieren eines Tunnels, welches umfaßt:
– Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer;
– Senden von Informationen durch den zweiten Peer zu dem ersten Peer;
– Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und
– Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
– Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer;
– Senden von Informationen durch den zweiten Peer zu dem ersten Peer;
– Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und
– Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
Description
- HINTERGRUND
- 1. Technisches Gebiet
- Die vorliegende Erfindung betrifft allgemein virtuelle private Netzwerke (VPNs) und insbesondere Verfahren und Systeme zum Konfigurieren von VPN-Tunneln.
- 2. Allgemeiner Stand der Technik
- Im Zeitalter der elektronischen Kommunikation ist es entscheidend, daß Teilnehmer auf sichere, geschützte Weise miteinander kommunizieren. Bei fehlenden entsprechenden Sicherheitsmaßnahmen können externe Teilnehmer Zugang zu zwischen kommunizierenden Teilnehmern ausgetauschten Informationen erlangen. Ein solcher Zugriff kann sowohl öffentliche als auch private Interessen kompromittieren.
- Es sind Sicherheitstechnologien entstanden, um die den elektronischen Informationsaustauschvorgängen innewohnenden Probleme zu behandeln. Zum Beispiel ist ein virtuelles privates Netzwerk (VPN) eine sichere Netzwerkverbindung in einem Netzwerk. Genauer gesagt ist ein VPN-"Tunnel" eine zwischen Endpunkten in einem Netzwerk hergestellte sichere Verbindung. Alle zwischen einem Knoten an einem ersten Endpunkt und einem Knoten an einem zweiten Endpunkt ausgetauschten Daten werden einer bestimmten An von Sicherheitsmanipulation, wie zum Beispiel Verschlüsselung, unterzogen. Folglich kann ein externer Teilnehmer keinen Zugang zu den ausgetauschten Daten erhalten. Knoten können geographisch abgesetzt und durch viele zwischengeschaltete Vermittlungen und Router getrennt sein.
- Um einen VPN-Tunnel herzustellen, können ein Initiator und ein Antwortender an einer Reihe von Verhandlungen teilnehmen. Der Initiator kann eine Verhandlung mit dem Antwortenden einleiten. Während der Verhandlung können Informationen zwischen den Knoten ausgetauscht werden, die für zukünftige Informationsaustauschvorgänge geltende Sicherheitsrichtlinien darlegen. Wenn mehrere Ver handlungsphasen auftreten, kann ein sicherer Satz definierender Parameter erzeugt werden. Somit kann ein Tunnel hergestellt werden und der Initiator und der Antwortende können auf sichere Weise kommunizieren.
- Protokolle regeln den Prozeß des Herstellens von Tunneln zwischen Knoten. Insbesondere sind IPSec, RFC 2401, 2411 eine Gruppe von Erweiterungen der IP-Protokollfamilie, die die Erzeugung verschlüsselter Tunnel erzeugt. IPSec stellt kryptographische Sicherheitsdienste bereit, darunter Authentisierung, Integrität, Zugangskontrolle und Vertraulicuhkeits-Support. IPSec ist für Netzwerkanwendungen transparent. Die Protokolle und Regeln, die für IPSec-Übertragungen gelten, müssen den von Internet-Arbeitsgruppen verbreiteten Dokumenten entsprechen.
- IPSec enthält eine Anzahl von Protokollen, darunter AH (Authentication Header), RFC 2402 und ESP (Encapsulated Security Payload), RFC 2406. IPSec-gesicherte Verbindungen werden über Sicherheitsassoziationen (SAs), RFC 2408, definiert. Eine SA ist eine Sicherheitskonfiguration, die für die Ausführung verschiedener Netzwerksicherheitsdienste erforderliche Informationen enthält. Insbesondere kann eine SA Sicherheitsattribute enthalten, wie zum Beispiel Netzwerkparameter und Netzwerkadressen. Jede SA ist für einen einzigen unidirektionalen Datenfluß, gewöhnlich von einem einzelnen Knoten zu einem anderen Knoten, definiert und deckt Verkehr ab, der durch einen bestimmten eindeutigen Selektor unterscheidbar ist. Das einschlägige Sicherheitsprotokoll für SAs kann AH oder ESP sein. AH folgt einem einfachen IP-Kopfteil und enthält kryptographische Hash-Verarbeitungen der Daten sowie Identifikationsinformationen. Der ESP-Kopfteil ermöglicht ein Umschreiben des Nutzsignals in verschlüsselter Form.
-
1 (Stand der Technik) zeigt ein System, in dem ein Tunnel hergestellt werden kann. Das System100 enthält einen Client120 und ein Gateway180 , die über das Internet160 miteinander kommunizieren. Der Client120 speichert die IP-Adresse130 des Gateways180 . Außerdem speichert der Client120 eine Sicherheitskonfiguration140 . Ähnlich speichert das Gateway180 eine Sicherheitskonfiguration170 . - Um einen Tunnel
150 zwischen Client120 und Gateway180 herzustellen, kann der Client120 eine vorläufige Verhandlung mit dem Gateway180 einleiten. Bei dieser vorläufigen Verhandlung können der Client120 und das Gateway180 einen Sicherheitsalgorithmus zur Verwendung bei nachfolgenden Verhandlungen vereinbaren. Bei dem IPSec-Protokoll wird diese vorläufige Verhandlung als phasel-Verhandlung bezeichnet. Nach der phasel-Verhandlung kann der Client120 eine weitere Verhandlung mit dem Gateway180 einleiten. Bei der sogenannten phase2 erzeugen der Client120 und das Gateway180 sichere Schlüssel, um nachfolgende sichere Übertragungen zwischen dem Client120 und dem Gateway180 über den Tunnel150 zu definieren. - Die phase2-Verhandlung ist nur erfolgreich, wenn Gateway
180 und Client120 identisch konfiguriert sind. Das heißt, um den Tunnel150 herzustellen, muß die Sicherheitskonfiguration170 in dem Gateway180 mit der Sicherheitskonfiguration140 in dem Client120 identisch sein. Auch wenn nur ein geringfügiger Unterschied zwischen den jeweiligen Sicherheitskonfigurationen besteht, bleibt die phase2-Verhandlung erfolglos. - Folglich muß ein Client-Administrator
101 Parameter in der Sicherheitskonfiguration140 konfigurieren. Ähnlich muß ein Gateway-Administrator11-0 Sicherheitsparameter in der Sicherheitskonfiguration170 konfigurieren. Dieser Konfigurationsprozeß ist komplex, und der Client-Administrator101 muß die jeweilige Sicherheitskonfiguration jedes Endpunkts, mit dem der Client120 einen Tunnel herstellen möchte, kennen. Wenn der Gateway-Administrator110 auch nur einen Parameter in der Sicherheitskonfiguration170 des Gateways180 verändert, muß darüber hinaus der Client-Adminstrator101 den entsprechenden Parameter in der Sicherheitskonfiguration140 des Clients120 modifizieren.2 (Stand der Technik) zeigt beispielhafte Sicherheitskonfigurationen, die dem Client120 und dem Gateway180 in1 assoziiert sein können. - Es wird also ein Verfahren und ein System zum dynamischen Konfigurieren von Tunneln in einem Netzwerk benötigt.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 (Stand der Technik) zeigt ein System, in dem ein Tunnel hergestellt werden kann. -
2 (Stand der Technik) zeigt Sicherheitskonfigurationen, die einem Client und einem Gateway in dem System von1 zugeordnet sein können. -
3 zeigt ein System gemäß einer Ausführungsform der vorliegenden Erfindung. -
4 ist ein Flußdiagramm auf hoher Ebene eines Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung. -
5 ist ein Flußdiagramm auf hoher Ebene eines Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung. -
6 ist ein Flußdiagramm auf hoher Ebene eines Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung. -
7 zeigt eine beispielhafte Konfigurationsmodus-Austausch-Transaktion. - AUSFÜHRLICHE BESCHREIBUNG
- Die folgende ausführliche Beschreibung bezieht sich auf die beigefügten Zeichnungen, die Ausführungsbeispiele der vorliegenden Erfindung darstellen. Es sind andere Ausführungsformen möglich, und an den Ausführungsformen könne Modifikationen vorgenommen werden, ohne vom Gedanken und Schutzumfang der Erfindung abzuweichen. Die folgende ausführliche Beschreibung soll deshalb die Erfindung nicht einschränken. Statt dessen wird der Schutzumfang der Erfindung durch die angefügten Ansprüche definiert.
- Für Durchschnittsfachleute ist erkennbar, daß die nachfolgend beschriebenen Ausführungsformen in vielen verschiedenen Ausführungsformen von Software, Firmware und Hardware in den in den Figuren dargestellten Entitäten implementiert werden können. Der tatsächliche Softwarecode oder spezialisierte Steuerhardware, die zur Implementierung der vorliegenden Erfindung verwendet werden, beschränken die vorliegende Erfindung nicht. Die Funktionsweise und das Verhalten der Ausführungsformen wird also ohne spezifische Bezugnahme auf den eigentlichen Softwarecode oder spezialisierte Hardwarekomponenten beschrieben. Das Fehlen solcher spezifischer Bezugnahmen ist möglich, da es sich offensichtlich versteht, daß Durchschnittsfachleute Software und Steuerhardware zur Implementierung der Ausführungsformen der vorliegenden Erfindung auf der Grundlage der vorliegenden Beschreibung lediglich mit vernünftigem Aufwand und ohne übermäßiges Experimentieren entwerfen können.
- Außerdem können die den vorgestellten Ausführungsformen zugeordneten Prozesse in einer beliebigen Speichereinrichtung gespeichert werden, wie zum Beispiel einem (nichtflüchtigen) Speicher eines Computersystems, einer optischen Platte, einem Magnetband oder einer magnetischen Platte. Weiterhin können die Prozesse bei der Herstellung des Computersystems oder zu einem späteren Zeitpunkt über ein computerlesbares Medium programmiert werden. Zu solchen Medien können beliebige der oben in Bezug auf Speichereinrichtungen aufgelisteten Formen gehören und weiterhin zum Beispiel auch eine Trägerwelle, die moduliert oder anderweitig manipuliert ist, um Anweisungen zu übermitteln, und die durch einen Computer gelesen, demoduliert/decodiert und ausgeführt werden kann.
- An einem Verfahren und System zum dynamischen Konfigurieren eines Tunnels gemäß der vorliegenden Darstellung sind ein Client und ein Gateway beteiligt. Der Client leitet eine Verhandlung mit dem Gateway ein. Das Gateway sendet Informationen zu dem Client. Der Client extrahiert eine Sicherheitskonfiguration aus den von dem Gateway gesendeten Informationen. Unter Verwendung der Sicherheitskonfiguration wird ein Tunnel zwischen Client und Gateway hergestellt.
- Folglich kann auf einem Client eine minimale Konfiguration definiert sein. Ein Gateway-Administrator kann Netzwerkattribute auf dem Gateway und auch Sicherheitsregeln in Bezug auf Peers, Benutzer und Gruppen modifizieren, ohne manuell die Modifikationen zu einem Client zu übermitteln.
-
3 zeigt ein System300 mit einer Ausführungsform der vorliegenden Erfindung. Wie gezeigt, umfaßt das System300 einen Client320 und ein Gateway380 , die über das Internet360 kommunizieren. Zur Veranschaulichung sind Tunnel hierbei als zwischen Clients und Gateways gebildet gezeigt. Der Begriff "Client" entspricht einem ersten Endpunkt eines Tunnels, und "Gateway" entspricht einem zweiten Endpunkt. Diese Begriffe können eine beliebige Einrichtung aus einer Reihe von Einrichtungen umfassen, wie zum Beispiel PCs, Client-Computer, Server, Zentralrechner, Gateways, PDAs (Personal Digital Assistants), andere in der Hand gehaltene Einrichtungen und andere Datenverarbeitungseinrichtungen. Die Ausdrücke „erster Peer" und "zweiter Peer" können "Client" und "Gateway" ersetzen. Außerdem kann das Internet360 durch ein anderes Netzwerk, wie zum Beispiel ein Intranet, ersetzt werden. - Das Gateway
380 speichert eine Sicherheitskonfiguration370 , die Sicherheits- und Regelattribute umfassen kann, oder hat Zugriff auf diese. Zu solchen Attributen können Sicherheits- und Netzwerkparameter und Netzwerkadressen gehören. Dem Gateway380 ist ein Gateway-Administrator310 zugeordnet, der verschiedene Parameter in der Sicherheitskonfiguration370 manuell modifizieren kann. Solche Modifikationen können jedoch auch automatisch über Software durchgeführt werden. - Der Client
320 besitzt keinen zugeordneten Administrator, wie zum Beispiel den Client-Adminstrator101 in der obigen1 . Gemäß Ausführungsformen der vorliegenden Erfindung muß der Client320 keine der Sicherheitskonfiguration370 des Gateways380 entsprechende Sicherheitskonfiguration unterhalten. - Der Client
320 speichert die IP-Adresse330 des Gateways380 bzw. hat Zugang zu dieser oder empfängt sie als Eingabe von einem Benutzer. Der Client320 kann die IP-Adresse330 und ein vorab geteiltes Geheimnis (Preshared Secret) oder Zertifikat zur Authentisierung führen. Das Preshared Secret kann sowohl dem Client320 als auch dem Gateway380 vor Verhandlungen, die letztendlich den Tunnel350 in dem Internet360 herstellen, bekannt sein. -
4 ist ein Flußdiagramm des Verfahrens400 gemäß einer Ausführungsform der vorliegenden Erfindung auf hoher Ebene. Es versteht sich, daß das Verfahren400 unter Verwendung verschiedener Protokolle implementiert werden kann. Außerdem können zusätzliche (nicht gezeigte) Verhandlungen in dem Verfahren400 enthalten sein. - In Schritt
401 leitet ein Client eine vorläufige Verhandlung mit einem Gateway ein. In Schritt410 leitet der Client eine zweite Verhandlung mit dem Gateway ein. Bei bestimmten Protokollen kann eine Verhandlung eingeleitet werden. Das Gateway sendet in Schritt420 Informationen zu dem Client. Diese Informationen können bei einer vorherigen Verhandlung, wie zum Beispiel der durch den Client in . Schritt410 eingeleiteten Verhandlung, durch den Client angefordert worden sein. - In Schritt
430 extrahiert der Client aus den durch das Gateway gesendeten Informationen eine Sicherheitskonfiguration. In Schritt435 leitet der Client eine letzte Verhandlung mit dem Gateway ein. In Schritt440 wird unter Verwendung der Sicherheitskonfiguration ein Tunnel hergestellt, der eine sichere Kommunikation zwischen dem Client und dem Gateway ermöglicht. - In Schritt
420 des Verfahrens400 kann das Gateway auch Informationen über eines oder mehrere Protokolle, wie zum Beispiel die Protokolle securID, RADIUS und L2TP, zu dem Client senden. Dementsprechend kann der Client die Informationen extrahieren und die Protokolle für zusätzliche Verhandlungen verwenden. Bei einem (nicht gezeigten) Implementierungsbeispiel kann vor dem Schritt435 in4 eine Sicherheitsauthentisierungsverhandlung stattfinden. -
5 ist ein Flußdiagramm des Verfahrens500 gemäß einer weiteren Ausführungsform der vorliegenden Erfindung auf hoher Ebene. Bei dem Verfahren500 , wird das IPSec-Protokoll verwendet, um einen sicheren Tunnel zwischen einem Client und einem Gateway herzustellen. In Schritt501 erfolgt eine phasel-Verhandlung. Die Verhandlung wird später ausführlicher beschrieben. Die phasel-Verhandlung kann unter Verwendung der Basismodusaustausch (basic mode exchange)-Erweiterung des IPSec-Protokolls (Internet Draft draft-ietf-ipsec-ike-base-mode-02.txt) sowie mit dem Hauptmodus und dem aggressiven Modus, RFC 2409, bewirkt werden. Als Folge der phasel-Verhandlung können sich Client und Gateway gegenseitig authentisieren und können gültige Sicherheitsregeln vereinbaren, die für eine nachfolgende Verhandlung zwischen Client und Gateway gelten sollen. - In Schritt
510 wird eine hier als "phasela" bezeichnete Zwischenverhandlung zwischen Client und Gateway eingeleitet. Bei einem Implementierungsbeispiel verwendet die phasela-Verhandlung die Konfigurationsmodusaustausch (configuration mode exchange)-Erweiterung (Internet Draft draft-dukes-ike-mode-cfg-00.txt) des IPSec-Protokolls. Als Ergebnis der phasela-Verhandlung empfängt der Client von dem Gateway phasel-Sicherheitsparameter, die für die phasel-Verhandlung benötigt werden. Bei beispielhaften Verhandlungen sind die Parameter von phasel und phasel unabhängig voneinander. - Da Client und Gateway nun identische Sicherheitskonfigurationen aufweisen, findet in Schritt
520 die phasel-Verhandlung statt. Bei bestimmten Ausführungsformen kann Quick Mode, RFC 2409, ein Austausch des IPSec-Protokolls, verwendet werden. Vorausgesetzt, daß die phasel-Verhandlung erfolgreich ist, haben Client und Gateway dann sichere Schlüssel erzeugt, die für alle nachfolgenden Übertragungen zwischen Client und Gateway maßgeblich sein sollen. Deshalb wurde in Schritt530 ein Tunnel zwischen Client und Gateway hergestellt, um eine sichere Kommunikation zu ermöglichen. -
6 ist ein Flußdiagramm des Verfahrens600 gemäß einer Ausführungsform der vorliegenden Erfindung auf hoher Ebene. Die gestrichelten Teile des Verfahrens600 können jeweiligen Schritten in dem Verfahren500 von5 entsprechen. - Der gestrichelte Teil A kann der phasel-Verhandlung in Schritt
501 entsprechen.. Gemäß der Basismodusaustausch-Erweiterung des IPSec-Protokolls kann ein phasel-Initiator einem Antwortenden mehrere Sicherheitsvorschläge, die mehrere Transformationen enthalten, sowie die Identität des Initiators in dem ersten Paket der Verhandlung anbieten. - Bei einem Implementierungsbeispiel kann ein Client alle Permutationen der durch den Client unterstützten Sicherheitsalgorithmen oder einen Teil dieser zu einem Gateway senden. Außerdem können die Vorschläge in dem übertragenen Paket in der Reihenfolgen von sicheren zu weniger sicheren Vorschlägen geordnet werden. Wenn das Gateway diese Vorschläge analysiert, werden folglich die sicheren Vorschläge vor den weniger sicheren Vorschlägen betrachtet. Folglich kann der höchste Sicherheitsgrad, der für nachfolgende Verhandlungen maßgeblich sein soll, gewählt werden. Da der Client alle seine unterstützten Sicherheitsattribute anbietet, ist außerdem die phasel-Verhandlung erfolgreich, das heißt; es wird eine Übereinstimmung mit gültigen Sicherheitsregeln erzielt, solange das Gateway mindestens einen Satz der vorgeschlagenen Regeln unterstützt. Deshalb kann die phasel-Verhandlung erfolgreich stattfinden, ohne daß der Client die Sicherheitsparameter, mit denen der Client für die phasel-Verhandlung eine Übereinstimmung erzielen muß, speichert bzw. Zugang zu ihnen hat oder sie als Eingabe von einem Benutzer empfängt.
- Genauer gesagt bietet in Schritt
601 der6 ein Client einem Gateway Sicherheitsvorschläge an, wenn der Client eine vorläufige Verhandlung einleitet. In Schritt610 wählt das Gateway unter den von dem Client angebotenen Vorschlägen einen Vorschlag aus, der mit einem durch das Gateway unterstützten Vorschlag übereinstimmt. Das Gateway kann dann den gewählten Vorschlag zum Client zurücksenden. - Der gestrichelte Teil B des Verfahrens
600 kann der phasel-Verhandlung in Schritt510 von5 entsprechen. Der Konfigurationsmodusaustausch des IP-Sec-Protokolls basiert auf einem allgemeinen Protokoll von Anfrage/Antwort. Ein Initiator stellt eine Anforderung an einen Antwortenden und der Antwortende antwortet, indem er angeforderte Informationen zu dem Initiator zurücksendet. - Gemäß einer Ausführungsform der vorliegenden Erfindung wird die Konfigurationsmodusaustausch-Erweiterung erweitert, so daß sie eine zusätzliche Gruppe von Attributen umfaßt. Insbesondere umfassen die Attribute Sicherheitsattribute, die eine oder mehrere Sicherheits- oder Regelassoziationen von phasel definieren. Ein Initiator-Client, der Konfigurationsinformationen benötigt, fordert an, daß das antwortende Gateway alle definierten phasel-Regeln sendet. Abhängig von der auf dem antwortenden Gateway definierten Konfiguration kann das Gateway zusätzli che, mit IPSec zusammenhängende Attribute und proprietäre Attribute senden. Die Sicherheitsattribute können auch zusammen mit Verkehr gesendet werden, der durch jede Sicherheitsassoziation (SA) geschützt ist. Die phase2-Sicherheitsattribute können mit einem Präfix, wie zum Beispiel "CFG ", gekennzeichnet werden, um sie von anderen Informationen zu unterscheiden.
- Nachdem der Client die Sicherheitskonfiguration, darunter zum Beispiel Sicherheits- und Netzwerkparameter und -identitäten, extrahiert hat, kann der Client die Konfiguration zur Einleitung von Verhandlungen für alle auf dem Gateway definierten phase2-Sicherheitsassoziationen verwenden. Verhandlungen können erfolgreich sein, da dem Client nun bekannte Attribute mit auf dem Gateway definierten Attributen übereinstimmen. Bei bestimmten Ausführungsformen werden, wenn der Client bereits zum Zeitpunkt der Einleitung der Verhandlung durch den Client phase2-Regeldefinitionen besitzt, die Definitionen nicht benutzt oder durch Software überschrieben. Bei anderen Ausführungsformen sendet das Gateway in seiner Antwort auf die Anfrage des Clients keine Parameter, die Null ergeben. Zusätzlich kann die Anzahl von Iterationen durch jede Gruppe von Parametern von der Konfiguration des die Parameter empfangenden Clients abhängen.
7 zeigt eine beispielhafte Konfigurationsmodusaustausch-Transaktion zwischen einem Client und einem Gateway. - Genauer fordert in Schritt
620 der6 der Client an, daß das Gateway Informationen sendet, darunter alle definierten phase2-Regeln oder einen Teil dieser. In Schritt630 antwortet das Gateway, indem es die angeforderten Informationen zu dem Client zurücksendet. Die Informationen können in Form von Sätzen von Attributen zurückgesendet werden, wobei jeder Satz ausreichend Informationen zum Definieren einer IPSec-Sicherheitsassoziation enthält. Es kann ein Attribut aus einem gegebenen Satz weggelassen werden, wodurch angezeigt werden kann, daß es für dieses Attribut keinen Wert gibt, d. h., das Attribut nicht verwendet wird. Die Anzahl von durch das Gateway zurückgegebenen Sätzen von Attributen kann durch die Konfiguration des Antwortenden vorgeschrieben werden. In Schritt640 extrahiert der Client Sicherheitskonfigurationsinformationen aus den durch das Gateway gesendeten Informationen. - Der gestrichelte Teil C kann der phase2-Verhandlung in Schritt
520 der5 entsprechen. In Schritt650 können, unter Verwendung der durch den Client empfangenen Sicherheitskonfigurationen, Client und Gateway phase2-Sicherheitsassoziationen aushandeln, um sichere Schlüssel zu erzeugen. Auf jede SA können verschiedene Sicherheitsgrade angewandt werden. Dementsprechend können mehrere SAs verwendet werden, um es einem Client zu ermöglichen, auf mehrere Betriebsmittel oder Dienste auf einem geschützten Netzwerk zuzugreifen. Im Posten660 wird ein Tunnel zwischen Client und Gateway hergestellt, so daß eine sichere Kommunikation zwischen Client und Gateway stattfinden kann. - Die obige Beschreibung der bevorzugten Ausführungsformen wird angegeben, damit jeder Fachmann die vorliegende Erfindung herstellen oder benutzen kann. Es sind verschiedene Modifikationen dieser Ausführungsformen möglich, und die hier vorgestellten generischen Prinzipien können auch auf andere Ausführungsformen angewandt werden. Zum Beispiel kann sich das IPSec-Protokoll weiter entwickeln und es können verschiedene neue oder modifizierte Austauschvorgänge oder Erweiterungen verwendet werden, um die vorliegende Erfindung zu implementieren. Es können auch neu entwickelte Protokolle geeignet sein. Bei anderen Ausführungsformen kann ein Gateway auf einen Client reagieren, indem es eine IP-Adresse und die Sicherheitskonfiguration eines zweiten Client oder Gateways sendet. Dementsprechend kann ein Tunnel zwischen dem Client und dem zweiten Client oder Gateway hergestellt werden. Bei weiteren Ausführungsformen kann zwischen einem ersten Gateway und einem zweiten Gateway ein Tunnel hergestellt werden.
- Außerdem kann die Erfindung teilweise oder als Ganzes als eine fest verdrahtete Schaltung, als eine auf einer anwendungsspezifischen integrierten Schaltung hergestellte Schaltungskonfiguration oder als ein Firmware-Programm, das in einen nichtflüchtigen Speicher geladen wird, oder ein Softwareprogramm, das als maschinenlesbarer Code aus einem Datenspeichermedium oder in dieses geladen wird, implementiert werden, wobei es sich bei solchem Code um Anweisungen handelt, die durch ein Array von Logikelementen, wie zum Beispiel einen Mikroprozessor oder eine andere digitale Signalverarbeitungseinheit, ausführbar sind.
- Folglich soll die vorliegende Erfindung nicht auf die oben gezeigten Ausführungsformen begrenzt werden, sondern soll statt dessen den größtmöglichen Schutzumfang haben, der mit den hier offengelegten Prinzipien und neuartigen Merkmalen in beliebiger Weise vereinbar ist.
- Zusammenfassung
- Es werden ein Verfahren und ein System zum dynamischen Konfigurieren eines Tunnels beschrieben. Ein Client leitet eine Verhandlung mit einem Gateway ein. Das Gateway sendet Information zu dem Client. Der Client extrahiert eine Sicherheitskonfiguration aus der Information. Unter Verwendung der Sicherheitskonfiguration wird zwischen dem Client und dem Gateway ein Tunnel hergestellt, so daß eine sichere Kommunikation stattfinden kann.
Claims (30)
- Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt: – Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer; – Senden von Informationen durch den zweiten Peer zu dem ersten Peer; – Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
- Verfahren nach Anspruch 1, wobei bei der Verhandlung die Konfigurationsmodusaustausch-Erweiterung des IPSec-Protokolls verwendet wird.
- Verfahren nach Anspruch 1, wobei das Herstellen eines Tunnels das Durchführen einer phase2-Verhandlung in dem IPSec-Protokoll umfaßt.
- Verfahren nach Anspruch 1, bei dem weiterhin durch den ersten Peer eine vorläufige Verhandlung mit dem zweiten Peer eingeleitet wird.
- Verfahren nach Anspruch 4, wobei das Einleiten einer vorläufigen Verhandlung das Durchführen einer phasel-Verhandlung in dem IPSec-Protokoll umfaßt.
- Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt: – Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer; – Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus den durch den zweiten Peer gesendeten Informationen; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
- Verfahren nach Anspruch 6, wobei der Tunnel ein IPSec-Tunnel ist.
- Verfahren nach Anspruch 6, wobei die Verhandlung die Konfigurationsmodusaustausch-Erweiterung des IPSec-Protokolls verwendet.
- Verfahren nach Anspruch 6, wobei das Einleiten umfaßt; daß der erste Peer anfordert; daß der zweite Peer Informationen sendet, wobei die Informatio nen Regel-Informationen enthalten, um eine nachfolgende Verhandlung zwischen dem ersten Peer und dem zweiten Peer zu definieren.
- Verfahren nach Anspruch 9, wobei die Regel-Informationen eine oder mehrere Sicherheitsassoziationen definieren.
- Verfahren nach Anspruch 10, wobei die von dem zweiten Peer gesendeten Information Sätze von Attributen umfaßt, wobei die Attribute Sicherheitsparameter und Netzwerkadressen enthalten.
- Verfahren nach Anspruch 6, wobei das Herstellen eines Tunnels eine Verhandlung durch den ersten Peer mit dem zweiten Peer umfaßt, um einen sicheren Schlüssel zu erzeugen.
- Verfahren nach Anspruch 12, wobei das Verhandeln zur Erzeugung eines sicheren Schlüssels das Durchführen einer phase2-Verhandlung in dem IP-Sec-Protokoll umfaßt.
- Verfahren nach Anspruch 6, wobei das Herstellen eines Tunnels den Schnellmodusaustausch des IPSec-Protokolls verwendet.
- Verfahren nach Anspruch 6, wobei die IP-Adresse des zweiten Peers dem ersten Peer zugänglich ist.
- Verfahren nach Anspruch 15, wobei auf dem ersten Peer vor der Verhandlung ein Shared Secret gespeichert wird.
- Verfahren nach Anspruch 6, bei dem der erste Peer weiterhin eine vorläufige Verhandlung mit dem zweiten Peer einleitet, wobei das Einleiten umfaßt, daß der erste Peer dem zweiten Peer mindestens einen durch den ersten Peer unterstützten Sicherheitsvorschlag anbietet.
- Verfahren nach Anspruch 17, wobei der erste Peer angebotene Sicherheitsvorschläge in einem Übertragungspaket so ordnet, daß ein sicherer Sicherheitsvorschlag vor einem weniger sicheren Vorschlag angeboten wird.
- Verfahren nach Anspruch 17, wobei die vorläufige Verhandlung die Basismodusaustausch-Erweiterung des IPSec-Protokolls verwendet.
- Verfahren nach Anspruch 17, wobei das Einleiten einer vorläufigen Verhandlung weiterhin umfaßt, daß der erste Peer die Identität des ersten Peers zu dem zweiten Peer sendet.
- Verfahren nach Anspruch 17, wobei das Einleiten einer vorläufigen Verhandlung das Durchführen einer phasel-Verhandlung in dem IPSec-Protokoll umfaßt.
- Verfahren nach Anspruch 17, wobei die vorläufige Verhandlung den Hauptmodus oder den Aggressiv-Modus des IPSec-Protokolls verwendet.
- Verfahren zum dynamischen Konfigurieren eines Tunnels, welches umfaßt: – Senden von Informationen durch einen zweiten Peer zu einem ersten Peer, der eine Verhandlung mit dem zweiten Peer eingeleitet hat, wobei die Informationen eine Sicherheitskonfiguration enthalten, die von dem ersten Peer extrahiert werden soll; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
- Verfahren nach Anspruch 23, wobei die Informationen Regel-Informationen enthalten, die eine oder mehrere Sicherheitsassoziationen definieren.
- System zum dynamischen Konfigurieren eines Tunnels, umfassend: – einen ersten Peer; und – einen zweiten Peer, der dafür konfiguriert ist, über eine Netzwerkverbindung mit dem ersten Peer zu kommunizieren, wobei der erste Peer dafür konfiguriert ist, eine Verhandlung mit dem zweiten Peer einzuleiten, wobei der zweite Peer dafür konfiguriert ist, Informationen zu dem ersten Peer zu senden, wobei der erste Peer dafür konfiguriert ist, eine Sicherheitskonfiguration aus der durch den zweiten Peer gesendeten Information zu extrahieren, und – der erste Peer und der zweite Peer dafür konfiguriert sind, unter Verwendung der Sicherheitskonfiguration einen Tunnel zwischen sich herzustellen.
- System nach Anspruch 25, wobei der Tunnel ein IPSec-Tunnel ist.
- Computerlesbares Medium, das Code mit mehreren von einem Prozessor ausführbaren Anweisungssequenzen für Folgendes enthält: – Einleiten einer Verhandlung durch einen ersten Peer mit einem zweiten Peer; – Extrahieren einer Sicherheitskonfiguration durch den ersten Peer aus durch den zweiten Peer gesendeter Information; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
- Computerlesbares Medium nach Anspruch 28, wobei die Verhandlung eine Anforderungs-/Antwort-Verhandlung umfaßt, wobei der erste Peer anfordert, daß der zweite Peer die Informationen sendet und der zweite Peer auf die Anforderung antwortet, indem er die Informationen zu dem ersten Peer sendet.
- Computerlesbares Medium, das Code mit mehreren von einem Prozessor ausführbaren Anweisungssequenzen für folgendes enthält: – Senden von Information durch einen zweiten Peer zu einem ersten Peer, der eine Verhandlung mit dem zweiten Peer eingeleitet hat, wobei die Information eine Sicherheitskonfiguration enthält, die von dem ersten Peer extrahiert werden soll; und – Herstellen eines Tunnels zwischen dem ersten Peer und dem zweiten Peer unter Verwendung der Sicherheitskonfiguration.
- Computerlesbares Medium nach Anspruch 29, wobei die Informationen Sätze von Attributen enthalten, wobei die Attribute Sicherheitsparameter und Netzwerkadressen enthalten.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/893,736 US20030005328A1 (en) | 2001-06-29 | 2001-06-29 | Dynamic configuration of IPSec tunnels |
US09/893,736 | 2001-06-29 | ||
PCT/US2002/017134 WO2003003689A2 (en) | 2001-06-29 | 2002-05-30 | Dynamic configuration of ipsec tunnels |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10296987T5 true DE10296987T5 (de) | 2004-10-14 |
Family
ID=25401995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10296987T Ceased DE10296987T5 (de) | 2001-06-29 | 2002-05-30 | Dynamische Konfiguration von Ipsec Tunneln |
Country Status (8)
Country | Link |
---|---|
US (1) | US20030005328A1 (de) |
CN (1) | CN1515107A (de) |
AU (1) | AU2002259320A1 (de) |
DE (1) | DE10296987T5 (de) |
GB (1) | GB2392805B (de) |
HK (1) | HK1060674A1 (de) |
TW (1) | TWI253825B (de) |
WO (1) | WO2003003689A2 (de) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7171685B2 (en) * | 2001-08-23 | 2007-01-30 | International Business Machines Corporation | Standard format specification for automatically configuring IP security tunnels |
FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
CA2393547A1 (en) * | 2002-07-15 | 2004-01-15 | Hexago Inc. | Method and apparatus for connecting ipv6 devices through an ipv4 network using a tunneling protocol |
US7779152B2 (en) * | 2003-01-24 | 2010-08-17 | Nokia Corporation | Establishing communication tunnels |
DE10331310A1 (de) | 2003-07-10 | 2005-02-10 | Siemens Ag | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz sowie Teilnehmer zur Durchführung des Verfahrens |
KR100803590B1 (ko) * | 2003-10-31 | 2008-02-19 | 삼성전자주식회사 | 이종망간에 데이터 통신이 가능한 터널 서비스를 제공하는시스템 |
JP2005341084A (ja) * | 2004-05-26 | 2005-12-08 | Nec Corp | Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法 |
US9781162B2 (en) | 2006-02-15 | 2017-10-03 | International Business Machines Corporation | Predictive generation of a security network protocol configuration |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US8417868B2 (en) * | 2006-06-30 | 2013-04-09 | Intel Corporation | Method, apparatus and system for offloading encryption on partitioned platforms |
CN100423507C (zh) * | 2006-12-06 | 2008-10-01 | 胡祥义 | 一种建立基于动态加密算法的vpn系统的方法 |
CN102868523B (zh) * | 2012-09-18 | 2017-05-24 | 汉柏科技有限公司 | 一种ike协商方法 |
CN104104569B (zh) * | 2013-04-01 | 2017-08-29 | 华为技术有限公司 | 建立vpn隧道的方法及服务器 |
CN106122988B (zh) * | 2016-07-27 | 2018-07-31 | 永春科盛机械技术开发有限公司 | 一种炉排反冲洗清洁循环装置 |
CN106549850B (zh) * | 2016-12-06 | 2019-09-17 | 东软集团股份有限公司 | 虚拟专用网络服务器及其报文传输方法 |
CN108400897B (zh) * | 2018-05-04 | 2020-01-14 | 新华三大数据技术有限公司 | 网络安全配置方法及装置 |
CN115190072B (zh) * | 2022-07-08 | 2023-06-20 | 复旦大学 | 激进传输协议和保守传输协议之间公平性的速率调节方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
US6330562B1 (en) * | 1999-01-29 | 2001-12-11 | International Business Machines Corporation | System and method for managing security objects |
US6842860B1 (en) * | 1999-07-23 | 2005-01-11 | Networks Associates Technology, Inc. | System and method for selectively authenticating data |
GB2364477B (en) * | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
US6938155B2 (en) * | 2001-05-24 | 2005-08-30 | International Business Machines Corporation | System and method for multiple virtual private network authentication schemes |
US7003662B2 (en) * | 2001-05-24 | 2006-02-21 | International Business Machines Corporation | System and method for dynamically determining CRL locations and access methods |
-
2001
- 2001-06-29 US US09/893,736 patent/US20030005328A1/en not_active Abandoned
-
2002
- 2002-05-30 GB GB0327185A patent/GB2392805B/en not_active Expired - Fee Related
- 2002-05-30 CN CNA028115996A patent/CN1515107A/zh active Pending
- 2002-05-30 AU AU2002259320A patent/AU2002259320A1/en not_active Abandoned
- 2002-05-30 DE DE10296987T patent/DE10296987T5/de not_active Ceased
- 2002-05-30 WO PCT/US2002/017134 patent/WO2003003689A2/en not_active Application Discontinuation
- 2002-06-28 TW TW091114259A patent/TWI253825B/zh active
-
2004
- 2004-05-21 HK HK04103636A patent/HK1060674A1/xx not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
AU2002259320A1 (en) | 2003-03-03 |
CN1515107A (zh) | 2004-07-21 |
WO2003003689A2 (en) | 2003-01-09 |
WO2003003689A3 (en) | 2003-05-01 |
US20030005328A1 (en) | 2003-01-02 |
TWI253825B (en) | 2006-04-21 |
GB0327185D0 (en) | 2003-12-24 |
GB2392805B (en) | 2005-02-23 |
HK1060674A1 (en) | 2004-08-13 |
GB2392805A (en) | 2004-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10296987T5 (de) | Dynamische Konfiguration von Ipsec Tunneln | |
DE60201854T2 (de) | Verhandlung von sicheren Verbindungen durch einen Proxy-Server | |
DE60121101T2 (de) | Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät | |
DE60302276T2 (de) | Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes | |
DE60217962T2 (de) | Benutzerauthentisierung quer durch die Kommunikationssitzungen | |
EP0903026B1 (de) | Verfahren zur Aushandlung einer Sicherheitspolitik zwischen einer ersten Computereinheit und einer zweiten Computereinheit | |
DE602004010519T2 (de) | Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung | |
DE60310347T2 (de) | Verfahren und System zur Regelassoziation in Kommunikationsnetzen | |
DE60308692T2 (de) | Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung | |
DE60314871T2 (de) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters | |
DE60214632T2 (de) | Multidomäne Berechtigung und Authentifizierung | |
DE60100317T2 (de) | Verfahren zum Bereitstellen von Kundenzugriff auf einen inhaltanbietenden Server unter Kontrolle eines resoursenlokalisierenden Servers | |
DE60305775T2 (de) | Verfahren und Gerät zur Berechnung von Haschwerten in einem kryptographischen Koprozessor | |
DE60308733T2 (de) | Dienstanbieteranonymisierung in einem single sign-on system | |
DE102014113582B4 (de) | Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung | |
DE112006000618T5 (de) | System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk | |
DE102007033615A1 (de) | Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen | |
DE60201522T2 (de) | Ermöglichen legales abfangen von ip-verbindungen | |
DE60203277T2 (de) | Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem | |
DE102015122518A1 (de) | Authentifizierung von Datenkommunikationen | |
DE202012013482U1 (de) | Verteilung von Zugriffsinformationen auf Overlay-Netzwerken | |
DE602005003631T2 (de) | Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe | |
DE10221665A1 (de) | Gesichertes wechselseitiges Legalisierungssystem | |
DE102018202996A1 (de) | Verfahren zum Durchführen einer Diagnose | |
DE60008313T2 (de) | SIM basierte Authentifizierung als Zahlungsverfahren in öffentlichen ISP Zugangsnetzen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law |
Ref document number: 10296987 Country of ref document: DE Date of ref document: 20041014 Kind code of ref document: P |
|
8131 | Rejection |