-
GEBIET DER ERFINDUNG
-
Die vorliegende Erfindung betrifft im Allgemeinen computergestützte Systeme und Verfahren zur Bereitstellung mobiler Vernetzung, und im Besonderen das Integrieren mobiler Vernetzung mit Sicherheitsmechanismen zum Routen von Netzwerkdaten zwischen einem mobilen Knoten und einem korrespondierenden Knoten.
-
URHEBERRECHTSVERMERK/GENEHMIGUNG
-
Ein Abschnitt der Offenbarung dieser Patenturkunde enthält Material, das urheberrechtlich geschützt ist. Der Urheberrechtsinhaber hat keinen Einwand gegen den Abdruck/die Vervielfältigung der Patenturkunde oder der Patentoffenbarung, so wie sie in den Akten oder Aufzeichnungen des Patent- und Markenamtes aufscheinen, durch beliebige Personen, behält sich im Übrigen jedoch sämtliche Urheberrechte vor. Der folgende Vermerk gilt für im Folgenden und in den Zeichnungen hierzu beschriebene Software und Daten: Copyright 2002, Intel Corporation. Alle Rechte vorbehalten.
-
ALLGEMEINER STAND DER TECHNIK
-
Die Verwendung drahtloser Vernetzung wächst weiterhin sehr rasch. Drahtlose Netzwerke sind aus einer Anzahl von Gründen attraktiv. Sie sind praktisch, sie ermöglichen Flexibilität und Bereichswechsel, und sie können dynamische Umgebungen unterstützen. Des Weiteren sind sie im Vergleich zu ihren verdrahteten Gegenstücken relativ einfach zu installieren. In einigen Fällen, zum Beispiel in älteren Gebäuden, könnten sie billiger einzusetzen sein. Da keine Leitungsverlegung oder Neuverdrahtung, erforderlich ist, kann ein gesamtes Netzwerk binnen weniger Stunden anstatt einigen Tagen zusammengesetzt werden. In vielen Fällen können die Eigentumskosten für drahtlose Netzwerke niedriger sein, als die ihrer verdrahteten Gegenstücke, obwohl verdrahtete LAN-Karten billiger sind.
-
Ein weiterer Trend in der Computerwissenschaft ist die zunehmende Verwendung von Sicherheitsmechanismen zur Verhinderung unberechtigter oder böswilliger Verwendung persönlicher und betrieblicher Computerbetriebsmittel. Zum Beispiel haben viele Unternehmen und Einzelpersonen „Firewalls” installiert, um Systeme innerhalb der Firewall vor unberechtigtem Zugriff zu schützen. Wie im Fach bekannt ist, können Firewalls sowohl als Hardware als auch durch Software, oder durch eine Kombination der beiden, ausgeführt sein. Firewalls werden häufig verwendet, um unberechtigte Internetbenützer daran zu hindern, auf private Netzwerke, die mit dem Internet verbunden sind, insbesondere auf Intranets, zuzugreifen. Alle Nachrichten, die in das Intranet gelangen oder dieses verlassen, passieren üblicherweise die Firewall, die jede Nachricht überprüft und jene blockiert, die nicht den spezifizierten Sicherheitskriterien entsprechen.
-
Obwohl Firewalls hilfreiche Werkzeuge zur Erhöhung der Netzwerksicherheit darstellen, schaffen sie Probleme für drahtlose Benutzer außerhalb der Firewall, die berechtigten Bedarf haben, auf Systeme innerhalb der Firewall zuzugreifen. Sicherheitssysteme, die durch Firewalls verwirklicht sind, verwenden oftmals IP-Adressen und verlassen sich auf IPSec, um zu bestimmen, ob ein Netzwerkdatenpaket durch die Firewall gelassen werden sollte. Unglücklicherweise kann sich die IP-Adresse eines mobilen Knoten im Fall von drahtlosen Systemen häufig ändern, da der Benutzer immer wieder von einem drahtlosen Netzwerk in ein anderes wechselt. Somit muss der Sicherheitsmechanismus, zum Beispiel IPSec, jedes Mal neu eingerichtet werden, wenn der Benutzer in ein neues Netzwerk wechselt. Das Wiedereinrichten von Sicherheitsmechanismen für eine Netzwerkverbindung kann aufwendig sein, sowohl hinsichtlich der CPU-Schleifen als auch der verstrichenen Zeit, die der Benutzer auf die Wiedereinrichtung einer neuen sicheren Verbindung warten muss.
-
In der Druckschrift ”Mobile IPv4 Traversal Across IPsec-based VPN Gateways. Internet Engineering Task Force INTERNET DRAFT, 17.07.2002, (URL: http://ietfreport.isoc.org/idref/draft-adrangi-mobileip-vpn-traversal/)” von Adrangi, F. wird ein System offenbart, bei welchem innerhalb einer Netwerkzone, die durch eine äußere Firewall und eine innere Firewall definiert wird, ein MIP-Proxy gebildet wird.
-
Angesichts der oben erwähnten Schwierigkeiten besteht im Fach ein Bedarf für die vorliegende Erfindung.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1A ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer beispielhaften Ausführungsform der Erfindung abbildet;
-
1B ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer alternativen beispielhaften Ausführungsform der Erfindung abbildet;
-
1C ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer weiteren alternativen beispielhaften Ausführungsform der Erfindung abbildet;
-
1D ist ein Blockdiagramm, das eine Übersicht auf Systemebene noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung abbildet;
-
2A ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer beispielhaften Ausführungsform der Erfindung, wie sie in 1A gezeigt ist, abbildet;
-
2B ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1B gezeigt ist, abbildet;
-
2C ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer weiteren alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1C gezeigt ist, abbildet;
-
2D ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1D gezeigt ist, abbildet;
-
3 ist ein Flußdiagramm, das ein Verfahren zur Einrichtung gesicherter Netzwerkverbindungen für einen mobilen Knoten abbildet; und
-
4A und 4B sind Flußdiagramme, die ein Verfahren gemäß einer Ausführungsform der Erfindung zum Routen von Netzwerkpaketen zu einem mobilen Knoten durch eine Firewall gemäß einer Ausführungsform der Erfindung abbilden.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Die folgende ausführliche Beschreibung von beispielhaften Ausführungsformen der Erfindung nimmt Bezug auf die beiliegenden Zeichnungen, die einen Teil hiervon bilden, und in denen durch Abbildung bestimmter beispielhafter Ausführungsformen gezeigt ist, wie die Erfindung ausgeführt werden könnte. Diese Ausführungsformen sind ausreichend detailliert beschrieben, um Fachleuten zu ermöglichen, die Erfindung in die Praxis umzusetzen, und es versteht sich, daß andere Ausführungsformen verwendet werden können, und daß logische, mechanische, elektrische und andere Änderungen vorgenommen werden können, ohne den Umfang der vorliegenden Erfindung zu verlassen. Die folgende ausführliche Beschreibung ist daher nicht im eingrenzenden Sinne auszulegen.
-
Überall in den Figuren ist dieselbe Bezugsziffer verwendet worden, um eine identische Komponente, die in mehreren Figuren erscheint, zu bezeichnen. Signale und Verbindungen können mit derselben Bezugsziffer oder derselben Aufschrift bezeichnet sein, wobei die tatsächliche Bedeutung aus ihrer Verwendung im Zusammenhang mit der Beschreibung ersichtlich ist. Des Weiteren ist dieselbe Grundbezugsziffer (zum Beispiel 120) in der Beschreibung und den Figuren verwendet, wenn auf das Verhalten oder auf die Eigenschaften einer Gruppe identischer Komponenten im Allgemeinen Bezug genommen wird. Ein numerisches Zeichen hinter einem Dezimalpunkt (zum Beispiel 120.1) ist verwendet, wenn eine bestimmte Komponente aus der Gruppe identischer Komponenten ein Verhalten zeigt oder eine Eigenschaft aufweist.
-
Die ausführliche Beschreibung ist in mehrere Abschnitte aufgeteilt. Im ersten Abschnitt ist die Hardware- und Softwarebetriebsumgebung verschiedener Ausführungsformen der Erfindung beschrieben. Im zweiten Abschnitt sind Verfahren gemäß verschiedener Ausführungsformen der Erfindung beschrieben. Im letzten Abschnitt ist eine Schlußfolgerung bereitgestellt.
-
Betriebsumgebung
-
1A ist ein Blockdiagramm einer Hard- und Softwarebetriebsumgebung 100, die verschiedene Ausführungsformen der Erfindung einschließt. Die Systeme und Verfahren der vorliegenden Erfindung können auf jedem Hardware- oder Softwaresystem bereitgestellt werden, das mobile Netzwerke unterstützt. Üblicherweise umfaßt eine solche Hardware Einzelplatzcomputer, Server-Computer, Großrechner, Laptop-Computer, tragbare Taschenrechner, persönliche digitale Assistenten (PDAs), im Netz betriebene Mobiltelefone und Kombinationen der oben genannten Vorrichtungen. In einigen Ausführungsformen der Erfindung weist die Betriebsumgebung 100 einen korrespondierenden Knoten 110, einen Heimagenten 112, einen Sicherheitsübergang 104, einen mobilen IP-Proxy 102, einen Fremdagenten 122, einen mobilen Knoten 120, eine innere Firewall 106 und eine äußere Firewall 108 auf. Die Softwarekomponenten, die in der Betriebsumgebung laufen, werden üblicherweise von einem maschinenlesbaren Medium eingelesen, laufen unter der Steuerung eines Betriebssystems und sind mit dem Betriebssystem gekoppelt. Beispiele für solche maschinenlesbaren Medien umfassen Festplatten, Disketten, CD-ROMS, DVD-ROMs. Des Weiteren umfassen maschinenlesbare Medien verdrahtete und drahtlose Signale, die über ein Netzwerk übertragen werden. Beispiele für Betriebssysteme umfassen Windows® 95, Windows 98®, Windows Me®, Windows CE®, Windows® NT, Windows 2000® und Windows XP® von der Microsoft Corporation. Die vorliegende Erfindung ist jedoch nicht auf irgendein bestimmtes Betriebssystem eingeschränkt, und in alternativen Ausführungsformen können die Softwarekomponenten im Palm OS® von Palm Inc., in Varianten der UNIX- und Linux-Betriebssysteme und in Mobiltelefonbetriebssystemen laufen.
-
In einigen Ausführungsformen der Erfindung unterstützt die Betriebsumgebung 100 die Netzwerkkommunikation zwischen dem mobilen Knoten 120 und einem korrespondierenden Knoten 110. Der mobile Knoten 120 kann jede Art von Rechensystem sein, das verdrahtete und/oder drahtlose Netzwerkkommunikation unterstützt. Beispiele für solche Vorrichtungen umfassen Laptopcomputer, tragbare Computer, persönliche digitale Assistenten und im Netz betriebene Mobiltelefone. Die Erfindung ist nicht auf irgendeine bestimmte Rechenvorrichtung für den mobilen Knoten 120 beschränkt.
-
Dem mobilen Knoten 120 ist üblicherweise ein Heimnetzwerk 114 zugewiesen, und er weist eine ständige Heimnetzwerkadresse auf, die ihm zugewiesen ist. Das Heimnetzwerk 114 kann irgendeine Art von Netzwerk sein; üblicherweise ist das Heimnetzwerk 114 ein privates Netzwerk, wie zum Beispiel ein Firmennetzwerk oder ein Campus-Netzwerk. Die vorliegende Erfindung ist jedoch nicht auf irgendeine bestimmte Art von Heimnetzwerk 114 beschränkt. Der korrespondierende Knoten 110 kann irgendeine Art von am Netzwerk angehängter Vorrichtung sein, die Daten entweder vom mobilen Knoten 120 empfangt oder an diesen sendet, zum Beispiel ein Server-Computer, ein Großrechner, ein Einzelplatzcomputer, ein Router, ein tragbarer Computer, ein Laptop, ein PDA, ein Mobiltelefon, etc. Die vorliegende Erfindung ist nicht auf irgendeine bestimmte Art von korrespondierendem Knoten 110 beschränkt.
-
In einigen Ausführungsformen der Erfindung sind der Heimagent 112 und der Fremdagent 122 Netzwerkknoten, die mobile Netzwerkkommunikation im Wesentlichen gemäß dem Übertragungsprotokoll nach den Standards RFC 2002, RFC 3220 und/oder RFC 3344 für mobile IP-Kommunikation, veröffentlicht im Oktober 1996, im Jänner 2002 beziehungsweise im August 2002 durch die Mobile IP Working Group der Internet Engineering Task Force (Internet-Entwickler-Einsatzgruppe = IETF). Der Heimagent 112 dient als Router im Heimteilnetz des mobilen Knotens, indem er Datenverkehr zum mobilen Knoten 120 leitet, wenn der mobile Knoten 120 außerhalb seines Heimteilnetzes angeordnet ist, zum Beispiel wenn der mobile Knoten 120 mit dem Fremdnetzwerk 130 verbunden ist. Das Fremdnetzwerk 130 kann irgendeine Art von verdrahtetem oder drahtlosem Netzwerk sein. In einigen Ausführungsformen umfaßt das Fremdnetzwerk 130 das Internet.
-
Wenn der mobile Knoten 120.2 in ein neues Netzwerk 130 wechselt, meldet sich der mobile Knoten 120.2 in einigen Ausführungsformen der Erfindung beim Fremdagenten 122 an. Der Fremdagent 122 erteilt dem mobilen Knoten üblicherweise eine Care-of-Netzwerkadresse und leitet eine Abfrage vom mobilen Knoten weiter, die den Heimagenten über die Care-of-Adresse informiert. Der Heimagent kann die Abfrage anerkennen und sendet eine Bestätigung über den Fremdagenten zurück zum mobilen Knoten. Dann leitet der Heimagent Netzwerkpakete, die an den mobilen Knoten adressiert sind, durch den Fremdagenten 122 an den mobilen Knoten im Fremdnetzwerk 130 weiter. Nicht alle Fremdnetzwerke 130 weisen einen Fremdagenten auf. In einigen Ausführungsformen der Erfindung kann der mobile Knoten 120.1 als sein eigener Fremdagent funktionieren. In einigen Ausführungsformen verwendet der mobile Knoten 120 DHCP (dynamisches Host-Konfigurationsprotokoll), um eine Care-of-Adresse zur Verwendung im Fremdnetzwerk 130 zu erhalten.
-
Private Netzwerke, wie zum Beispiel Firmen- oder Campusnetzwerke, sind häufig abgesichert, um unberechtigten Zugriff auf Computer und Systeme im privaten Netzwerk zu verhindern. In einigen Ausführungsformen der Erfindung ist das Heimnetzwerk 114 durch eine innere Firewall 106 und eine äußere Firewall 108 abgesichert. Die Firewalls 106 und 108 untersuchen Datenpakete und Nachrichten, und blockieren all jene, die nicht den spezifizierten Sicherheitskriterien entsprechen. Die inneren und äußeren Firewalls 106 und 108 bilden eine im Fach bekannte DMZ 160 (demilitarized zone = entmilitarisierte Zone). Üblicherweise enthält eine DMZ Vorrichtungen, die für Internet-Datenverkehr, wie zum Beispiel Webserver (HTTP), FTP-Server, SMTP-Server (E-Mail) und DNS-Server, zugänglich sind. Obwohl die Verwendung von inneren und äußeren Firewalls zur Einrichtung einer DMZ aus Sicherheitsgründen wünschenswert ist, sind die Systeme und Verfahren der Erfindung auf Umgebungen mit nur einer Firewall oder ganz ohne Firewalls voll anwendbar.
-
In einigen Ausführungsformen der Erfindung enthält die DMZ 160 einen VPN(virtuelles privates Netzwerk)-Übergang 104 und einen MIP(mobiles Internetprotokoll)-Proxy 102. Der VPN-Übergang 104 ermöglicht die Einrichtung von VPNs zwischen Knoten in einem internen Netzwerk und Knoten in einem Fremdnetzwerk, wie zum Beispiel dem Fremdnetzwerk 130. Ein VPN ist eine sichere Netzwerkverknüpfung über eine öffentliche IP-Infrastruktur. Ein Beispiel eines VPN-Protokolls ist IP Security (IPSec). Die vorliegende Erfindung ist jedoch nicht auf ein bestimmtes VPN-Protokoll beschränkt.
-
Der MIP-Proxy 102 dient als Vermittler zwischen dem Heimagenten 112 und dem Fremdagenten 122. In einigen Ausführungsformen der Erfindung dient der MIP-Proxy 102 als stellvertretender Heimagent für einen mobilen Knoten 120 sowie als stellvertretender mobiler Knoten für einen Heimagenten 114. In der beispielhaften Ausführungsform, die in 1A abgebildet ist, läuft der MIP-Proxy 102 nicht auf demselben Computer wie der VPN-Übergang 104. In diesen Ausführungsformen dient der MIP-Proxy 102 als ein stellvertretender Fremdagent für den VPN-Übergang 104.
-
1B stellt ein Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy 102 auf derselben Hardware und Software wie der VPN-Übergang 104 ausgeführt werden kann. In diesen Ausführungsformen weist der integrierte MIP-Proxy-/VPN-Übergangscomputer ein mobiles Knoten(MN)-Modul 144 auf, das einen mobilen Knoten für den Heimagenten 112 nachbildet, sowie ein Heimagenten(HA)-Modul 142, das einen Heimagenten für die mobilen Knoten 120 (oder ersatzweise den Fremdagenten 122) nachbildet.
-
1C stellt ein Blockdiagramm einer alternativen Ausführungsform bereit, in der die Funktionsteile HA-Modul 142 und MN/FA-Modul 144 des MIP-Proxy 102 auf verschiedenen Computern ausgeführt sein können: das HA-Modul 142 könnte in einer WAN(= Fernbereichsnetzwerk)-Nebenzelle, zum Beispiel einem WAN-Router 123 außerhalb der äußeren Firewallschicht 108, und das MN/FA-Modul 144 in einer DMZ-Zelle 146 innerhalb der äußeren Firewallschicht ausgeführt sein, wobei ein sicherer Paketdatentunnel bereitgestellt ist, der das HA-Modul 142 durch die äußere Firewallschicht 108 mit dem MN/FA-Modul 144 verbindet, so daß das HA-Modul Pakete vom MN/FA-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete (Internetprotokoll Version 4) zur weiteren Verarbeitung an das MN/FA-Modul senden, und das MN/FA-Modul wird alle Pakete, die es vom VPN-Übergang erhält, zur weiteren Verarbeitung zu den HA-Modulen senden. Der sichere Paketdatentunnel kann in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein.
-
1D stellt ein anderes Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in dem der MIP-Proxy 102 auf verschiedenen Hardwarekomponenten ausgeführt sein kann. In diesen Ausführungsformen umfaßt der MIP-Proxy das HA-Modul 142 und das MN-Modul 144, die auf verschiedenen Computer ausgeführt sind: In diesen Ausführungsformen kann das HA-Modul 142 in einer WAN-Nebenzelle, zum Beispiel einem WAN-Router 123 außerhalb der äußeren Firewallschicht 108, und das MN-Modul 144 im VPN-Übergang ausgeführt sein, wobei ein sicherer und transparenter interner Tunnel bereitgestellt ist, der das HA-Modul durch die äußere Firewallschicht mit dem MN-Modul am VPN-Übergang verbindet, so daß das HA-Modul Pakete vom MN-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete zur weiteren Verarbeitung zum MN-Modul senden, und der VPN-Übergang wird alle verschlüsselten Pakete zur weiteren Verarbeitung zum HA-Modul senden. Der sichere Paketdatentunnel kann wiederum in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein.
-
Unter nochmaliger Bezugnahme auf 1A wird der Betrieb des oben beschriebenen Systems nun allgemein beschrieben, wobei weitere Einzelheiten zum Betrieb verschiedener Ausführungsformen der Erfindung im Verfahrensabschnitt weiter unten bereitgestellt sind. Wenn sich der mobile Knoten 120 in einem Fremdnetzwerk anmeldet, meldet er sich in einigen Ausführungsformen beim MIP-Proxy 102 an. Des Weiteren wird ein Datenverkehrnetzwerktunnel zwischen dem mobilen Knoten 120 und dem MIP-Proxy 102 eingerichtet. Der mobile Knoten 120 schafft auch eine IPSec-SA (Sicherheitsverbindung) zwischen der ständigen Heimadresse des Knotens und dem VPN-Übergang 104. Die SA kann manuell geschaffen sein, oder sie kann unter Verwendung eines Schlüsselverwaltungsprotokolls, wie zum Beispiel IKE (Internet Key Exchange) geschaffen sein. Die SA wird dann vom mobilen Knoten für alle Netzwerkdaten angewendet, die an einen Knoten innerhalb des Heimnetzwerks 114, wie zum Beispiel dem korrespondierenden Knoten 110, adressiert sind. Dies kann erreicht werden, indem vor der mobilen IP-Einkapselung durch den mobilen Knoten eine IPSec-SA-Einkapselung angewendet wird.
-
In alternativen Ausführungsformen der Erfindung meldet sich der mobile Knoten 120 an einem Fremdagenten 122 an, wobei er MIP-Proxy 102 als Heimagenten angibt. Der Fremdagent 122 ist dann so mit dem MIP-Proxy 102 gekoppelt, als ob der MIP-Proxy der tatsächliche Heimagent für den mobilen Knoten 120 wäre.
-
Nach dem Empfangen einer Anmeldeabfrage vom mobilen Knoten 120 sendet der MIP-Proxy 102 in einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, eine Anmeldeabfrage im Auftrag des mobilen Knotens 120, die den MIP-Proxy als Care-of-Adresse für den mobilen Knoten 120 angibt. Zusätzlich dazu beginnt der MIP-Proxy 102 damit, Pakete abzufangen, die an die ständige Heimnetzwerkadresse des mobilen Knoten adressiert sind, und tunnelt die Pakete zur Care-of-Adresse des Fremdagenten des mobilen Knotens weiter (man beachte, daß der mobile Knoten als sein eigener Fremdagent funktionieren kann).
-
Nach dem Empfangen der Anmeldeabfrage, fixiert der Heimagent 112 die MIP-Proxy-Adresse als Care-of-Adresse des mobilen Knotens 120. In einigen Ausführungsformen, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, sendet der MIP-Proxy eine einmalige und getrennte Erstanmeldung im Auftrag des VPN-Übergangs 102 zum Heimagenten 112, die eine Adresse des MIP-Proxy 102 als Care-of-Adresse für den VPN-Übergang 104 kennzeichnet. Nach dem Empfangen der Anmeldeabfrage vom MIP-Proxy 102, fixiert der Heimagent 114 die MIP-Proxy-Adresse als die Care-of-Adresse für den VPN-Übergang 104. Darüber hinaus richtet der Heimagent 112 eine IPSec-SA mit dem VPN-Übergang 104 ein, und wendet die SA auf alle Netzwerkpakete an, die er von korrespondierenden Knoten im Heimnetzwerk 114 abfängt und die an die ständige Heimnetzwerkadresse des mobilen Knotens 120 adressiert sind. In einigen Ausführungsformen wird die IPSec-SA-Einkapselung vor jeglicher mobilen IP-Einkapselung, die verwendet wird, angewendet.
-
2A stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einigen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy ein vom VPN-Übergang 104 getrenntes Computersystem ist. In einigen Ausführungsformen weist jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der MIP-Proxy 102, der VPN-Übergang 104 und der Heimagent 112, einen Network Stack 220, 202, 204 beziehungsweise 212 auf. Die Network Stack umfassen üblicherweise einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In einigen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Die Verbindungen 240, 242, 244 und 248 zeigen die Datenkommunikation zwischen den verschiedenen Netzwerkschichten.
-
2B stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der der MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, MIP-Proxy + VPN-Übergang 104 und der Heimagent 112 weisen einen Network Stack 220, 204 beziehungsweise 212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden.
-
2C stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in Ausführungsformen der Erfindung bereit, in denen das MN/FA-Modul des MIP-Proxy in einem vom VPN-Übergang getrennten Computersystem in einer DMZ angeordnet ist, und in denen das HA-Modul gemeinsam in einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der WAN-Router 123, der VPN-Übergang 104, der MIP-Proxy + FA/MN 102 und der Heimagent 112, weist einen Network Stack 220, 223, 204, 202 beziehungsweise 212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack 230. Der TCP/IP Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung 250 dargestellt. Wie oben erwähnt und durch das Einklammern in 2C abgebildet, kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist.
-
2D stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der das MN-Modul des MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist, und das HA-Modul des MIP-Proxy gemeinsam mit einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der WAN-Router 123, MIP + VPN-Übergang 104 und der Heimagent 112, weist einen Network Stack 220, 223, 204 beziehungsweise 212 auf. Dieser Network Stack umfaßt üblicherweise einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung 250 dargestellt. Wiederum kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist.
-
Die Kommunikation zwischen den Schichten in einigen Ausführungsformen der Erfindung ist durch die Datenpfade 240, 242, 244 und 248 gezeigt. Zum Beispiel kommuniziert die IPSec-Unterschicht des Heimagenten 212 mit der IPSec-Schicht des VPN-Übergangs 204 über den Pfad 244, wenn der MIP-Proxy und der VPN-Übergang getrennt angeordnet sind. Diese Kommunikation kann auch nicht direkt sein. Beispielsweise sind die IPSec-Unterschichtdaten in jenen Ausführungsformen der Erfindung, in denen der MIP-Proxy 102 getrennt vom VPN Übergang 104 angeordnet ist, in einer mobilen IP-Unterschicht eingekapselt. Die Kommunikation der mobilen IP-Unterschicht ist durch den Datenpfad 240 abgebildet. Ebenso weist ein mobiler Knoten 220 einen sicheren Kommunikationspfad 248 zum VPN-Übergang 204 auf. Die Sicherheitsschichtdaten sind jedoch durch eine mobile IP-Schicht eingekapselt, die in einigen Ausführungsformen der Erfindung über den Datenpfad 242 durch den MIP-Proxy 202 geroutet ist.
-
Dieser Abschnitt hat die verschiedenen logischen Module in einem System beschrieben, das eine Integration mobiler IP-Netzwerke mit sicherheitsbasierten VPNs bereitstellt. Wie Fachleute erkennen werden, kann die Software zur Ausführung der Module in irgendeiner aus einer Anzahl von Programmiersprachen, die im Fach bekannt sind, geschrieben sein, einschließlich, aber nicht beschränkt auf, C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche Programmiersprachen. Die Erfindung ist nicht auf irgendeine bestimmte Programmiersprache zu ihrer Ausführung beschränkt.
-
Verfahren einer beispielhaften Ausführungsform der Erfindung
-
Im vorigen Abschnitt ist eine Übersicht auf Systemebene des Betriebs einer beispielhaften Ausführungsform der Erfindung beschrieben worden. In diesem Abschnitt sind die einzelnen Verfahren der Erfindung, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform abarbeitet, ausführt, unter Bezugnahme auf eine Reihe von Flußdiagrammen, die in 3–4 gezeigt sind, beschrieben. Die Verfahren, die von der Betriebsumgebung auszuführen sind, stellen Computerprogramme dar, die aus für Maschinen ausführbaren Befehlen aufgebaut sind. Die Beschreibung der Verfahren unter Bezugnahme auf ein Flußdiagramm ermöglicht Fachleuten, solche Programme, die solche Befehle umfassen, zu entwickeln, um die Verfahren auf geeigneten Computern auszuführen (wobei der Prozessor des Computers die Befehle von maschinenlesbaren Medien abarbeitet). Die Verfahren, die in 3–4 abgebildet sind, umfassen die Aktionen, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform der Erfindung abarbeitet, ausführt.
-
3 ist ein Flußdiagramm, das ein Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen einem mobilen Knoten und einem korrespondierenden Knoten bereitstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel MIP-Proxy 102, welches das Verfahren ausführt, eine Anmeldeabfrage vom mobilen Knoten erhält (Block 305). Üblicherweise weist die Abfrage eine ständige Netzwerkadresse für den mobilen Knoten auf. Der MIP-Proxy verknüpft die ständige Heimadresse des mobilen Knoten mit der aktuellen Care-of-Adresse des mobilen Knoten in einer Mobilitätsverknüpfungsliste. Zusätzlich kann der MIP-Proxy die Verknüpfung mit einem Heimagenten verbinden.
-
Als nächstes gibt ein System, welches das Verfahren ausführt, eine zweite Anmeldeabfrage an einen Heimagenten in einem Heimnetzwerk für den mobilen Knoten aus (Block 310). Üblicherweise weist die zweite Abfrage die ständige Adresse des mobilen Knotens und eine Proxy-Adresse des MIP-Proxy 102 auf. Der Heimagent verknüpft die ständige Heimadresse des mobilen Knoten mit einer der Adressen des MIP-Proxy in der Mobilitätsverknüpfungsliste des Heimagenten.
-
In einigen Ausführungsformen der Erfindung kopiert das System, welches das Verfahren ausführt, einen Antwortcode, den es vom Heimagenten empfangen hat, in eine Antwortmitteilung, die vom System, welches das Verfahren ausführt, zum mobilen Knoten gesendet wird (Block 315). Der Antwortcode zeigt üblicherweise die Fähigkeit oder Bereitschaft des Heimagenten an, Netzwerkdaten, die er vom korrespondierenden Knoten in einem Heimnetzwerk empfangen hat und die an den mobilen Knoten adressiert sind, zu verarbeiten.
-
Als nächstes beginnt das System in einigen Ausführungsformen der Erfindung damit, sowohl einen Heimagenten (Block 320) als auch einen mobilen Knoten (Block 325) nachzubilden. Die Blöcke 320 und 325 sind auf derselben Ebene gezeigt, um die Möglichkeit einer parallelen Ausführung der Blöcke anzudeuten. Bezüglich der Daten, die zu und vom mobilen Knoten gesendet werden, bildet das System einen Heimagenten nach. In derselben Weise bildet das System bezüglich der Daten, die zu und vom Heimagenten gesendet werden, einen mobilen Knoten nach.
-
4A ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem korrespondierenden Knoten an einen mobilen Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Heimagent ein Paket von einem korrespondierenden Knoten im Auftrag eines mobilen Knoten empfangt (zum Beispiel 1, Pfad 1). In einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, tunnelt der Heimagent das Paket zum VPN-Übergang, üblicherweise über IPSec (Block 405). Als nächstes tunnelt der Heimagent das Paket unter Verwendung von mobilem IP zum MIP-Proxy (Block 410, zum Beispiel 1, Pfad 2). Dann wird das Paket einschließlich IPSec und mobiler IP-Einkapselung zum MIP-Proxy gesendet, da der MIP-Proxy aus der Sicht des Heimagenten als Care-of-Adresse für das VPN spezifiziert ist.
-
Der MIP-Proxy empfängt das Paket vom Heimagenten und entkapselt die mobile IP-Schicht (Block 415). In den Ausführungsformen, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, werden die Daten der IPSec-Schicht zum Entkapseln zum VPN-Übergang weitergeleitet (Block 420, zum Beispiel 1A, Pfad 3).
-
Dann tunnelt der VPN-Übergang das Paket unter Verwendung von IPSec vom VPN-Übergang zum mobilen Knoten, wobei er die ständige Netzwerkadresse des mobilen Knotens verwendet (Block 425). In jenen Ausführungsformen, in denen der MIP-Proxy getrennt vom VPN-Übergang angeordnet ist, wird das Paket dann zur Weiterleitung an den mobilen Knoten zum MIP-Proxy gesendet (zum Beispiel 1, Pfad 4). Der MIP-Proxy kann Pakete, die vom VPN-Übergang an den mobilen Knoten adressiert sind, auf verschiedene Weise abfangen. In einer Ausführungsform der Erfindung ist die Leitwegtabelle des VPN so verändert, daß Pakete für den mobilen Knoten automatisch durch den MIP-Proxy geroutet werden. In einer alternativen Ausführungsform der Erfindung reagiert der MIP-Proxy auf ARP(Adressauflösungsprotokoll)-Pakete im Auftrag des mobilen Knotens. In noch einer anderen alternativen Ausführungsform setzt sich der MIP-Proxy, wenn ein mobiler Knoten zum ersten Mal um die Anmeldung durch den MIP-Proxy ersucht, selbst als Care-of-Adresse für den VPN-Übergang ein.
-
Nach dem Empfangen des Datenpakets vom VPN-Übergang tunnelt der MIP-Proxy das Paket unter Verwendung von mobilem IP durch die Care-of-Adresse des mobilen Knotens im Fremdnetzwerk 130 zum mobilen Knoten weiter (Block 430, zum Beispiel 1, Pfad 5).
-
4B ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem mobilen Knoten an einen korrespondierenden Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Paket unter Verwendung von IPSec vom mobilen Knoten zum VPN-Übergang geleitet wird (Block 450). Dann wird das Paket unter Verwendung von mobilem IP vom mobilen Knoten zum MIP-Proxy getunnelt (Block 455; 1, Pfad 6). Der MIP-Proxy entkapselt die mobile IP-Schicht (Block 460) und leitet das Paket in jenen Ausführungsformen, in denen der VPN-Übergang getrennt vom MIP-Proxy angeordnet ist, zum VPN-Übergang weiter (1, Pfad 7).
-
Der VPN-Übergang entkapselt das IPSec-Paket (Block 465). Der VPN-Übergang sendet dann die Daten direkt zum korrespondierenden Knoten (Block 470; 1, Pfad 8).
-
Man beachte, daß es wünschenswert sein kann, die oben beschriebene Tunnelung zu umgehen. Zum Beispiel werden die IKE-Daten in einigen Ausführungsformen der Erfindung als normaler IP-Verkehr getragen, wenn der mobile Knoten IKE mit dem VPN-Übergang ausführt.
-
Schlußfolgerung
-
Es sind Systeme und Verfahren zur Bereitstellung einer Integration von mobilen Netzwerken mit sicherheitsbasierten VPNs offenbart. Die Ausführungsformen der Erfindung schaffen Vorteile gegenüber früheren Systemen. Zum Beispiel sind die Systeme und Verfahren der vorliegenden Erfindung, beim Unterstützen der Schaffung von Sicherheitsverbindungen, welche die ständige Netzwerkadresse eines mobilen Knotens verwenden, leistungsfähiger als frühere Systeme, da es nicht erforderlich ist, Sicherheitsverbindungen neu einzugeben, wenn der mobile Knoten von einem Teilnetz zu einem anderen wechselt. Des Weiteren können die Systeme und Verfahren mit geringen oder gar keinen Änderungen auf bestehenden Sicherheitsmechanismen und mobilen IP-Standards verwendet werden. Daher kann ein Benutzer die Vorteile der vorliegenden Erfindung in Anspruch nehmen, ohne Hauptkomponenten des Netzwerksystems aufrüsten zu müssen.
-
Obwohl hierin bestimmte Ausführungsformen abgebildet und beschrieben worden sind, werden Durchschnittsfachleute verstehen, daß jede Anordnung, die dafür ausgelegt ist, denselben Zweck zu erzielen, die gezeigten speziellen Ausführungsformen ersetzen kann.
-
Diese Patentanmeldung ist dazu bestimmt, jegliche Anpassungen oder Abänderungen der vorliegenden Erfindung einzuschließen.
-
Die in dieser Patentanmeldung verwendete Terminologie ist dafür vorgesehen, alle diese Umgebungen einzuschließen. Es versteht sich, daß die obige Beschreibung als Beispiel, jedoch nicht als Einschränkung, dienen soll. Für Fachleute werden beim Durchlesen der obigen Beschreibung viele andere Ausführungsformen offensichtlich sein. Es ist daher ausdrücklich beabsichtigt, daß diese Erfindung nur durch die folgenden Ansprüche und deren Entsprechungen begrenzt ist.