DE10393628B4 - System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) - Google Patents

System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) Download PDF

Info

Publication number
DE10393628B4
DE10393628B4 DE10393628T DE10393628T DE10393628B4 DE 10393628 B4 DE10393628 B4 DE 10393628B4 DE 10393628 T DE10393628 T DE 10393628T DE 10393628 T DE10393628 T DE 10393628T DE 10393628 B4 DE10393628 B4 DE 10393628B4
Authority
DE
Germany
Prior art keywords
mobile
network
home agent
mobile node
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10393628T
Other languages
English (en)
Other versions
DE10393628T5 (de
Inventor
Changwen Liu
Michael Andrews
Prakash Iyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10393628T5 publication Critical patent/DE10393628T5/de
Application granted granted Critical
Publication of DE10393628B4 publication Critical patent/DE10393628B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Abstract

Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen Netzwerkknoten, wobei das Verfahren umfaßt: Bereitstellen eines Heim-Agenten-Moduls (142) auf einem Netzwerkgerät (123) auf der Seite eines Fremdnetzwerks (130) einer äußeren Firewall (108) und Bereitstellen eines Fremd-Agenten-Moduls (144) innerhalb einer Netzwerkzone (106), die durch die äußere Firewall und eine innere Firewall (106) gebildet wird, wobei das Heim-Agenden-Modul (142) und das Fremd-Agenten-Modul (144) einen mobilen IP-Proxy (102) bilden; Herstellen einer ersten mobilen IP-Unterschichtsverbindung (240) zwischen einem Heimagenten (112) und dem Fremd-Agenten-Modul (144); Herstellen einer zweiten mobilen IP-Unterschichtsverbindung (242) zwischen einem mobilen Knoten (120) und dem Heim-Agenten-Modul (142); Herstellen einer ersten IP-Sicherheits(IPSec)-Verbindung (244) zwischen dem Heimagenten (112) und einem virtuellen privaten Netzwerk(VPN)-Übergang (104); Herstellen einer zweiten IPSec-Verbindung (248) zwischen dem VPN-Übergang (104) und dem mobilen Knoten (120); und Herstellen eines sicheren Paketdatentunnels (250) zwischen dem Heim-Agenten-Modul (142) und dem Fremd-Agenten-Modul (144); Empfangen einer ersten Anmeldeabfrage von dem mobilen...

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft im Allgemeinen computergestützte Systeme und Verfahren zur Bereitstellung mobiler Vernetzung, und im Besonderen das Integrieren mobiler Vernetzung mit Sicherheitsmechanismen zum Routen von Netzwerkdaten zwischen einem mobilen Knoten und einem korrespondierenden Knoten.
  • URHEBERRECHTSVERMERK/GENEHMIGUNG
  • Ein Abschnitt der Offenbarung dieser Patenturkunde enthält Material, das urheberrechtlich geschützt ist. Der Urheberrechtsinhaber hat keinen Einwand gegen den Abdruck/die Vervielfältigung der Patenturkunde oder der Patentoffenbarung, so wie sie in den Akten oder Aufzeichnungen des Patent- und Markenamtes aufscheinen, durch beliebige Personen, behält sich im Übrigen jedoch sämtliche Urheberrechte vor. Der folgende Vermerk gilt für im Folgenden und in den Zeichnungen hierzu beschriebene Software und Daten: Copyright 2002, Intel Corporation. Alle Rechte vorbehalten.
  • ALLGEMEINER STAND DER TECHNIK
  • Die Verwendung drahtloser Vernetzung wächst weiterhin sehr rasch. Drahtlose Netzwerke sind aus einer Anzahl von Gründen attraktiv. Sie sind praktisch, sie ermöglichen Flexibilität und Bereichswechsel, und sie können dynamische Umgebungen unterstützen. Des Weiteren sind sie im Vergleich zu ihren verdrahteten Gegenstücken relativ einfach zu installieren. In einigen Fällen, zum Beispiel in älteren Gebäuden, könnten sie billiger einzusetzen sein. Da keine Leitungsverlegung oder Neuverdrahtung, erforderlich ist, kann ein gesamtes Netzwerk binnen weniger Stunden anstatt einigen Tagen zusammengesetzt werden. In vielen Fällen können die Eigentumskosten für drahtlose Netzwerke niedriger sein, als die ihrer verdrahteten Gegenstücke, obwohl verdrahtete LAN-Karten billiger sind.
  • Ein weiterer Trend in der Computerwissenschaft ist die zunehmende Verwendung von Sicherheitsmechanismen zur Verhinderung unberechtigter oder böswilliger Verwendung persönlicher und betrieblicher Computerbetriebsmittel. Zum Beispiel haben viele Unternehmen und Einzelpersonen „Firewalls” installiert, um Systeme innerhalb der Firewall vor unberechtigtem Zugriff zu schützen. Wie im Fach bekannt ist, können Firewalls sowohl als Hardware als auch durch Software, oder durch eine Kombination der beiden, ausgeführt sein. Firewalls werden häufig verwendet, um unberechtigte Internetbenützer daran zu hindern, auf private Netzwerke, die mit dem Internet verbunden sind, insbesondere auf Intranets, zuzugreifen. Alle Nachrichten, die in das Intranet gelangen oder dieses verlassen, passieren üblicherweise die Firewall, die jede Nachricht überprüft und jene blockiert, die nicht den spezifizierten Sicherheitskriterien entsprechen.
  • Obwohl Firewalls hilfreiche Werkzeuge zur Erhöhung der Netzwerksicherheit darstellen, schaffen sie Probleme für drahtlose Benutzer außerhalb der Firewall, die berechtigten Bedarf haben, auf Systeme innerhalb der Firewall zuzugreifen. Sicherheitssysteme, die durch Firewalls verwirklicht sind, verwenden oftmals IP-Adressen und verlassen sich auf IPSec, um zu bestimmen, ob ein Netzwerkdatenpaket durch die Firewall gelassen werden sollte. Unglücklicherweise kann sich die IP-Adresse eines mobilen Knoten im Fall von drahtlosen Systemen häufig ändern, da der Benutzer immer wieder von einem drahtlosen Netzwerk in ein anderes wechselt. Somit muss der Sicherheitsmechanismus, zum Beispiel IPSec, jedes Mal neu eingerichtet werden, wenn der Benutzer in ein neues Netzwerk wechselt. Das Wiedereinrichten von Sicherheitsmechanismen für eine Netzwerkverbindung kann aufwendig sein, sowohl hinsichtlich der CPU-Schleifen als auch der verstrichenen Zeit, die der Benutzer auf die Wiedereinrichtung einer neuen sicheren Verbindung warten muss.
  • In der Druckschrift ”Mobile IPv4 Traversal Across IPsec-based VPN Gateways. Internet Engineering Task Force INTERNET DRAFT, 17.07.2002, (URL: http://ietfreport.isoc.org/idref/draft-adrangi-mobileip-vpn-traversal/)” von Adrangi, F. wird ein System offenbart, bei welchem innerhalb einer Netwerkzone, die durch eine äußere Firewall und eine innere Firewall definiert wird, ein MIP-Proxy gebildet wird.
  • Angesichts der oben erwähnten Schwierigkeiten besteht im Fach ein Bedarf für die vorliegende Erfindung.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1A ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer beispielhaften Ausführungsform der Erfindung abbildet;
  • 1B ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer alternativen beispielhaften Ausführungsform der Erfindung abbildet;
  • 1C ist ein Blockdiagramm, das eine Übersicht auf Systemebene einer weiteren alternativen beispielhaften Ausführungsform der Erfindung abbildet;
  • 1D ist ein Blockdiagramm, das eine Übersicht auf Systemebene noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung abbildet;
  • 2A ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer beispielhaften Ausführungsform der Erfindung, wie sie in 1A gezeigt ist, abbildet;
  • 2B ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1B gezeigt ist, abbildet;
  • 2C ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten einer weiteren alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1C gezeigt ist, abbildet;
  • 2D ist ein Schaubild, das Kommunikation zwischen Netzwerkschichten von Komponenten noch einer anderen alternativen beispielhaften Ausführungsform der Erfindung, wie sie in 1D gezeigt ist, abbildet;
  • 3 ist ein Flußdiagramm, das ein Verfahren zur Einrichtung gesicherter Netzwerkverbindungen für einen mobilen Knoten abbildet; und
  • 4A und 4B sind Flußdiagramme, die ein Verfahren gemäß einer Ausführungsform der Erfindung zum Routen von Netzwerkpaketen zu einem mobilen Knoten durch eine Firewall gemäß einer Ausführungsform der Erfindung abbilden.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgende ausführliche Beschreibung von beispielhaften Ausführungsformen der Erfindung nimmt Bezug auf die beiliegenden Zeichnungen, die einen Teil hiervon bilden, und in denen durch Abbildung bestimmter beispielhafter Ausführungsformen gezeigt ist, wie die Erfindung ausgeführt werden könnte. Diese Ausführungsformen sind ausreichend detailliert beschrieben, um Fachleuten zu ermöglichen, die Erfindung in die Praxis umzusetzen, und es versteht sich, daß andere Ausführungsformen verwendet werden können, und daß logische, mechanische, elektrische und andere Änderungen vorgenommen werden können, ohne den Umfang der vorliegenden Erfindung zu verlassen. Die folgende ausführliche Beschreibung ist daher nicht im eingrenzenden Sinne auszulegen.
  • Überall in den Figuren ist dieselbe Bezugsziffer verwendet worden, um eine identische Komponente, die in mehreren Figuren erscheint, zu bezeichnen. Signale und Verbindungen können mit derselben Bezugsziffer oder derselben Aufschrift bezeichnet sein, wobei die tatsächliche Bedeutung aus ihrer Verwendung im Zusammenhang mit der Beschreibung ersichtlich ist. Des Weiteren ist dieselbe Grundbezugsziffer (zum Beispiel 120) in der Beschreibung und den Figuren verwendet, wenn auf das Verhalten oder auf die Eigenschaften einer Gruppe identischer Komponenten im Allgemeinen Bezug genommen wird. Ein numerisches Zeichen hinter einem Dezimalpunkt (zum Beispiel 120.1) ist verwendet, wenn eine bestimmte Komponente aus der Gruppe identischer Komponenten ein Verhalten zeigt oder eine Eigenschaft aufweist.
  • Die ausführliche Beschreibung ist in mehrere Abschnitte aufgeteilt. Im ersten Abschnitt ist die Hardware- und Softwarebetriebsumgebung verschiedener Ausführungsformen der Erfindung beschrieben. Im zweiten Abschnitt sind Verfahren gemäß verschiedener Ausführungsformen der Erfindung beschrieben. Im letzten Abschnitt ist eine Schlußfolgerung bereitgestellt.
  • Betriebsumgebung
  • 1A ist ein Blockdiagramm einer Hard- und Softwarebetriebsumgebung 100, die verschiedene Ausführungsformen der Erfindung einschließt. Die Systeme und Verfahren der vorliegenden Erfindung können auf jedem Hardware- oder Softwaresystem bereitgestellt werden, das mobile Netzwerke unterstützt. Üblicherweise umfaßt eine solche Hardware Einzelplatzcomputer, Server-Computer, Großrechner, Laptop-Computer, tragbare Taschenrechner, persönliche digitale Assistenten (PDAs), im Netz betriebene Mobiltelefone und Kombinationen der oben genannten Vorrichtungen. In einigen Ausführungsformen der Erfindung weist die Betriebsumgebung 100 einen korrespondierenden Knoten 110, einen Heimagenten 112, einen Sicherheitsübergang 104, einen mobilen IP-Proxy 102, einen Fremdagenten 122, einen mobilen Knoten 120, eine innere Firewall 106 und eine äußere Firewall 108 auf. Die Softwarekomponenten, die in der Betriebsumgebung laufen, werden üblicherweise von einem maschinenlesbaren Medium eingelesen, laufen unter der Steuerung eines Betriebssystems und sind mit dem Betriebssystem gekoppelt. Beispiele für solche maschinenlesbaren Medien umfassen Festplatten, Disketten, CD-ROMS, DVD-ROMs. Des Weiteren umfassen maschinenlesbare Medien verdrahtete und drahtlose Signale, die über ein Netzwerk übertragen werden. Beispiele für Betriebssysteme umfassen Windows® 95, Windows 98®, Windows Me®, Windows CE®, Windows® NT, Windows 2000® und Windows XP® von der Microsoft Corporation. Die vorliegende Erfindung ist jedoch nicht auf irgendein bestimmtes Betriebssystem eingeschränkt, und in alternativen Ausführungsformen können die Softwarekomponenten im Palm OS® von Palm Inc., in Varianten der UNIX- und Linux-Betriebssysteme und in Mobiltelefonbetriebssystemen laufen.
  • In einigen Ausführungsformen der Erfindung unterstützt die Betriebsumgebung 100 die Netzwerkkommunikation zwischen dem mobilen Knoten 120 und einem korrespondierenden Knoten 110. Der mobile Knoten 120 kann jede Art von Rechensystem sein, das verdrahtete und/oder drahtlose Netzwerkkommunikation unterstützt. Beispiele für solche Vorrichtungen umfassen Laptopcomputer, tragbare Computer, persönliche digitale Assistenten und im Netz betriebene Mobiltelefone. Die Erfindung ist nicht auf irgendeine bestimmte Rechenvorrichtung für den mobilen Knoten 120 beschränkt.
  • Dem mobilen Knoten 120 ist üblicherweise ein Heimnetzwerk 114 zugewiesen, und er weist eine ständige Heimnetzwerkadresse auf, die ihm zugewiesen ist. Das Heimnetzwerk 114 kann irgendeine Art von Netzwerk sein; üblicherweise ist das Heimnetzwerk 114 ein privates Netzwerk, wie zum Beispiel ein Firmennetzwerk oder ein Campus-Netzwerk. Die vorliegende Erfindung ist jedoch nicht auf irgendeine bestimmte Art von Heimnetzwerk 114 beschränkt. Der korrespondierende Knoten 110 kann irgendeine Art von am Netzwerk angehängter Vorrichtung sein, die Daten entweder vom mobilen Knoten 120 empfangt oder an diesen sendet, zum Beispiel ein Server-Computer, ein Großrechner, ein Einzelplatzcomputer, ein Router, ein tragbarer Computer, ein Laptop, ein PDA, ein Mobiltelefon, etc. Die vorliegende Erfindung ist nicht auf irgendeine bestimmte Art von korrespondierendem Knoten 110 beschränkt.
  • In einigen Ausführungsformen der Erfindung sind der Heimagent 112 und der Fremdagent 122 Netzwerkknoten, die mobile Netzwerkkommunikation im Wesentlichen gemäß dem Übertragungsprotokoll nach den Standards RFC 2002, RFC 3220 und/oder RFC 3344 für mobile IP-Kommunikation, veröffentlicht im Oktober 1996, im Jänner 2002 beziehungsweise im August 2002 durch die Mobile IP Working Group der Internet Engineering Task Force (Internet-Entwickler-Einsatzgruppe = IETF). Der Heimagent 112 dient als Router im Heimteilnetz des mobilen Knotens, indem er Datenverkehr zum mobilen Knoten 120 leitet, wenn der mobile Knoten 120 außerhalb seines Heimteilnetzes angeordnet ist, zum Beispiel wenn der mobile Knoten 120 mit dem Fremdnetzwerk 130 verbunden ist. Das Fremdnetzwerk 130 kann irgendeine Art von verdrahtetem oder drahtlosem Netzwerk sein. In einigen Ausführungsformen umfaßt das Fremdnetzwerk 130 das Internet.
  • Wenn der mobile Knoten 120.2 in ein neues Netzwerk 130 wechselt, meldet sich der mobile Knoten 120.2 in einigen Ausführungsformen der Erfindung beim Fremdagenten 122 an. Der Fremdagent 122 erteilt dem mobilen Knoten üblicherweise eine Care-of-Netzwerkadresse und leitet eine Abfrage vom mobilen Knoten weiter, die den Heimagenten über die Care-of-Adresse informiert. Der Heimagent kann die Abfrage anerkennen und sendet eine Bestätigung über den Fremdagenten zurück zum mobilen Knoten. Dann leitet der Heimagent Netzwerkpakete, die an den mobilen Knoten adressiert sind, durch den Fremdagenten 122 an den mobilen Knoten im Fremdnetzwerk 130 weiter. Nicht alle Fremdnetzwerke 130 weisen einen Fremdagenten auf. In einigen Ausführungsformen der Erfindung kann der mobile Knoten 120.1 als sein eigener Fremdagent funktionieren. In einigen Ausführungsformen verwendet der mobile Knoten 120 DHCP (dynamisches Host-Konfigurationsprotokoll), um eine Care-of-Adresse zur Verwendung im Fremdnetzwerk 130 zu erhalten.
  • Private Netzwerke, wie zum Beispiel Firmen- oder Campusnetzwerke, sind häufig abgesichert, um unberechtigten Zugriff auf Computer und Systeme im privaten Netzwerk zu verhindern. In einigen Ausführungsformen der Erfindung ist das Heimnetzwerk 114 durch eine innere Firewall 106 und eine äußere Firewall 108 abgesichert. Die Firewalls 106 und 108 untersuchen Datenpakete und Nachrichten, und blockieren all jene, die nicht den spezifizierten Sicherheitskriterien entsprechen. Die inneren und äußeren Firewalls 106 und 108 bilden eine im Fach bekannte DMZ 160 (demilitarized zone = entmilitarisierte Zone). Üblicherweise enthält eine DMZ Vorrichtungen, die für Internet-Datenverkehr, wie zum Beispiel Webserver (HTTP), FTP-Server, SMTP-Server (E-Mail) und DNS-Server, zugänglich sind. Obwohl die Verwendung von inneren und äußeren Firewalls zur Einrichtung einer DMZ aus Sicherheitsgründen wünschenswert ist, sind die Systeme und Verfahren der Erfindung auf Umgebungen mit nur einer Firewall oder ganz ohne Firewalls voll anwendbar.
  • In einigen Ausführungsformen der Erfindung enthält die DMZ 160 einen VPN(virtuelles privates Netzwerk)-Übergang 104 und einen MIP(mobiles Internetprotokoll)-Proxy 102. Der VPN-Übergang 104 ermöglicht die Einrichtung von VPNs zwischen Knoten in einem internen Netzwerk und Knoten in einem Fremdnetzwerk, wie zum Beispiel dem Fremdnetzwerk 130. Ein VPN ist eine sichere Netzwerkverknüpfung über eine öffentliche IP-Infrastruktur. Ein Beispiel eines VPN-Protokolls ist IP Security (IPSec). Die vorliegende Erfindung ist jedoch nicht auf ein bestimmtes VPN-Protokoll beschränkt.
  • Der MIP-Proxy 102 dient als Vermittler zwischen dem Heimagenten 112 und dem Fremdagenten 122. In einigen Ausführungsformen der Erfindung dient der MIP-Proxy 102 als stellvertretender Heimagent für einen mobilen Knoten 120 sowie als stellvertretender mobiler Knoten für einen Heimagenten 114. In der beispielhaften Ausführungsform, die in 1A abgebildet ist, läuft der MIP-Proxy 102 nicht auf demselben Computer wie der VPN-Übergang 104. In diesen Ausführungsformen dient der MIP-Proxy 102 als ein stellvertretender Fremdagent für den VPN-Übergang 104.
  • 1B stellt ein Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy 102 auf derselben Hardware und Software wie der VPN-Übergang 104 ausgeführt werden kann. In diesen Ausführungsformen weist der integrierte MIP-Proxy-/VPN-Übergangscomputer ein mobiles Knoten(MN)-Modul 144 auf, das einen mobilen Knoten für den Heimagenten 112 nachbildet, sowie ein Heimagenten(HA)-Modul 142, das einen Heimagenten für die mobilen Knoten 120 (oder ersatzweise den Fremdagenten 122) nachbildet.
  • 1C stellt ein Blockdiagramm einer alternativen Ausführungsform bereit, in der die Funktionsteile HA-Modul 142 und MN/FA-Modul 144 des MIP-Proxy 102 auf verschiedenen Computern ausgeführt sein können: das HA-Modul 142 könnte in einer WAN(= Fernbereichsnetzwerk)-Nebenzelle, zum Beispiel einem WAN-Router 123 außerhalb der äußeren Firewallschicht 108, und das MN/FA-Modul 144 in einer DMZ-Zelle 146 innerhalb der äußeren Firewallschicht ausgeführt sein, wobei ein sicherer Paketdatentunnel bereitgestellt ist, der das HA-Modul 142 durch die äußere Firewallschicht 108 mit dem MN/FA-Modul 144 verbindet, so daß das HA-Modul Pakete vom MN/FA-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete (Internetprotokoll Version 4) zur weiteren Verarbeitung an das MN/FA-Modul senden, und das MN/FA-Modul wird alle Pakete, die es vom VPN-Übergang erhält, zur weiteren Verarbeitung zu den HA-Modulen senden. Der sichere Paketdatentunnel kann in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein.
  • 1D stellt ein anderes Blockdiagramm eines Systems gemäß verschiedenen Ausführungsformen der Erfindung bereit, in dem der MIP-Proxy 102 auf verschiedenen Hardwarekomponenten ausgeführt sein kann. In diesen Ausführungsformen umfaßt der MIP-Proxy das HA-Modul 142 und das MN-Modul 144, die auf verschiedenen Computer ausgeführt sind: In diesen Ausführungsformen kann das HA-Modul 142 in einer WAN-Nebenzelle, zum Beispiel einem WAN-Router 123 außerhalb der äußeren Firewallschicht 108, und das MN-Modul 144 im VPN-Übergang ausgeführt sein, wobei ein sicherer und transparenter interner Tunnel bereitgestellt ist, der das HA-Modul durch die äußere Firewallschicht mit dem MN-Modul am VPN-Übergang verbindet, so daß das HA-Modul Pakete vom MN-Modul senden und empfangen kann. Mit anderen Worten wird das HA-Modul alle empfangenen mobilen IPv4-Pakete zur weiteren Verarbeitung zum MN-Modul senden, und der VPN-Übergang wird alle verschlüsselten Pakete zur weiteren Verarbeitung zum HA-Modul senden. Der sichere Paketdatentunnel kann wiederum in irgendeiner Schicht des Network Stacks, einschließlich der Netzwerkschicht, der Transportschicht und der Anwendungsschicht, eingerichtet sein.
  • Unter nochmaliger Bezugnahme auf 1A wird der Betrieb des oben beschriebenen Systems nun allgemein beschrieben, wobei weitere Einzelheiten zum Betrieb verschiedener Ausführungsformen der Erfindung im Verfahrensabschnitt weiter unten bereitgestellt sind. Wenn sich der mobile Knoten 120 in einem Fremdnetzwerk anmeldet, meldet er sich in einigen Ausführungsformen beim MIP-Proxy 102 an. Des Weiteren wird ein Datenverkehrnetzwerktunnel zwischen dem mobilen Knoten 120 und dem MIP-Proxy 102 eingerichtet. Der mobile Knoten 120 schafft auch eine IPSec-SA (Sicherheitsverbindung) zwischen der ständigen Heimadresse des Knotens und dem VPN-Übergang 104. Die SA kann manuell geschaffen sein, oder sie kann unter Verwendung eines Schlüsselverwaltungsprotokolls, wie zum Beispiel IKE (Internet Key Exchange) geschaffen sein. Die SA wird dann vom mobilen Knoten für alle Netzwerkdaten angewendet, die an einen Knoten innerhalb des Heimnetzwerks 114, wie zum Beispiel dem korrespondierenden Knoten 110, adressiert sind. Dies kann erreicht werden, indem vor der mobilen IP-Einkapselung durch den mobilen Knoten eine IPSec-SA-Einkapselung angewendet wird.
  • In alternativen Ausführungsformen der Erfindung meldet sich der mobile Knoten 120 an einem Fremdagenten 122 an, wobei er MIP-Proxy 102 als Heimagenten angibt. Der Fremdagent 122 ist dann so mit dem MIP-Proxy 102 gekoppelt, als ob der MIP-Proxy der tatsächliche Heimagent für den mobilen Knoten 120 wäre.
  • Nach dem Empfangen einer Anmeldeabfrage vom mobilen Knoten 120 sendet der MIP-Proxy 102 in einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, eine Anmeldeabfrage im Auftrag des mobilen Knotens 120, die den MIP-Proxy als Care-of-Adresse für den mobilen Knoten 120 angibt. Zusätzlich dazu beginnt der MIP-Proxy 102 damit, Pakete abzufangen, die an die ständige Heimnetzwerkadresse des mobilen Knoten adressiert sind, und tunnelt die Pakete zur Care-of-Adresse des Fremdagenten des mobilen Knotens weiter (man beachte, daß der mobile Knoten als sein eigener Fremdagent funktionieren kann).
  • Nach dem Empfangen der Anmeldeabfrage, fixiert der Heimagent 112 die MIP-Proxy-Adresse als Care-of-Adresse des mobilen Knotens 120. In einigen Ausführungsformen, in denen der MIP-Proxy 102 getrennt vom VPN-Übergang 104 angeordnet ist, sendet der MIP-Proxy eine einmalige und getrennte Erstanmeldung im Auftrag des VPN-Übergangs 102 zum Heimagenten 112, die eine Adresse des MIP-Proxy 102 als Care-of-Adresse für den VPN-Übergang 104 kennzeichnet. Nach dem Empfangen der Anmeldeabfrage vom MIP-Proxy 102, fixiert der Heimagent 114 die MIP-Proxy-Adresse als die Care-of-Adresse für den VPN-Übergang 104. Darüber hinaus richtet der Heimagent 112 eine IPSec-SA mit dem VPN-Übergang 104 ein, und wendet die SA auf alle Netzwerkpakete an, die er von korrespondierenden Knoten im Heimnetzwerk 114 abfängt und die an die ständige Heimnetzwerkadresse des mobilen Knotens 120 adressiert sind. In einigen Ausführungsformen wird die IPSec-SA-Einkapselung vor jeglicher mobilen IP-Einkapselung, die verwendet wird, angewendet.
  • 2A stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einigen Ausführungsformen der Erfindung bereit, in denen der MIP-Proxy ein vom VPN-Übergang 104 getrenntes Computersystem ist. In einigen Ausführungsformen weist jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der MIP-Proxy 102, der VPN-Übergang 104 und der Heimagent 112, einen Network Stack 220, 202, 204 beziehungsweise 212 auf. Die Network Stack umfassen üblicherweise einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In einigen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Die Verbindungen 240, 242, 244 und 248 zeigen die Datenkommunikation zwischen den verschiedenen Netzwerkschichten.
  • 2B stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der der MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, MIP-Proxy + VPN-Übergang 104 und der Heimagent 112 weisen einen Network Stack 220, 204 beziehungsweise 212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden.
  • 2C stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in Ausführungsformen der Erfindung bereit, in denen das MN/FA-Modul des MIP-Proxy in einem vom VPN-Übergang getrennten Computersystem in einer DMZ angeordnet ist, und in denen das HA-Modul gemeinsam in einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der WAN-Router 123, der VPN-Übergang 104, der MIP-Proxy + FA/MN 102 und der Heimagent 112, weist einen Network Stack 220, 223, 204, 202 beziehungsweise 212 auf. Üblicherweise umfaßt dieser Network Stack einen TCP/IP-Network Stack 230. Der TCP/IP Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung 250 dargestellt. Wie oben erwähnt und durch das Einklammern in 2C abgebildet, kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist.
  • 2D stellt eine Abbildung der Datenübertragung zwischen verschiedenen Netzwerkschichten der verschiedenen Elemente in einer Ausführungsform der Erfindung bereit, in der das MN-Modul des MIP-Proxy gemeinsam mit dem VPN-Übergang angeordnet ist, und das HA-Modul des MIP-Proxy gemeinsam mit einem WAN-Router angeordnet ist. Jeder der Hauptknoten, wie zum Beispiel der mobile Knoten 120, der WAN-Router 123, MIP + VPN-Übergang 104 und der Heimagent 112, weist einen Network Stack 220, 223, 204 beziehungsweise 212 auf. Dieser Network Stack umfaßt üblicherweise einen TCP/IP-Network Stack 230. Der TCP/IP-Network Stack 230 kann des Weiteren in Unterschichten unterteilt sein, nämlich in eine „normale” IP-Unterschicht 232, eine Sicherheitsunterschicht 234 und eine mobile IP-Unterschicht 236. In diesen Ausführungsformen der Erfindung ist die Sicherheitsschicht 234 eine IPSec-Unterschicht. Man beachte, daß nicht alle Knoten alle Unterschichten benötigen werden. Der sichere Paketdatentunnel zwischen dem HA-Modul und dem MN-Modul ist im Diagramm als Verbindung 250 dargestellt. Wiederum kann es ein Tunnel in irgendeiner Schicht, zum Beispiel der Netzwerkschicht, der Transportschicht oder der Anwendungsschicht, sein, der üblicherweise für andere Elemente transparent ist.
  • Die Kommunikation zwischen den Schichten in einigen Ausführungsformen der Erfindung ist durch die Datenpfade 240, 242, 244 und 248 gezeigt. Zum Beispiel kommuniziert die IPSec-Unterschicht des Heimagenten 212 mit der IPSec-Schicht des VPN-Übergangs 204 über den Pfad 244, wenn der MIP-Proxy und der VPN-Übergang getrennt angeordnet sind. Diese Kommunikation kann auch nicht direkt sein. Beispielsweise sind die IPSec-Unterschichtdaten in jenen Ausführungsformen der Erfindung, in denen der MIP-Proxy 102 getrennt vom VPN Übergang 104 angeordnet ist, in einer mobilen IP-Unterschicht eingekapselt. Die Kommunikation der mobilen IP-Unterschicht ist durch den Datenpfad 240 abgebildet. Ebenso weist ein mobiler Knoten 220 einen sicheren Kommunikationspfad 248 zum VPN-Übergang 204 auf. Die Sicherheitsschichtdaten sind jedoch durch eine mobile IP-Schicht eingekapselt, die in einigen Ausführungsformen der Erfindung über den Datenpfad 242 durch den MIP-Proxy 202 geroutet ist.
  • Dieser Abschnitt hat die verschiedenen logischen Module in einem System beschrieben, das eine Integration mobiler IP-Netzwerke mit sicherheitsbasierten VPNs bereitstellt. Wie Fachleute erkennen werden, kann die Software zur Ausführung der Module in irgendeiner aus einer Anzahl von Programmiersprachen, die im Fach bekannt sind, geschrieben sein, einschließlich, aber nicht beschränkt auf, C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche Programmiersprachen. Die Erfindung ist nicht auf irgendeine bestimmte Programmiersprache zu ihrer Ausführung beschränkt.
  • Verfahren einer beispielhaften Ausführungsform der Erfindung
  • Im vorigen Abschnitt ist eine Übersicht auf Systemebene des Betriebs einer beispielhaften Ausführungsform der Erfindung beschrieben worden. In diesem Abschnitt sind die einzelnen Verfahren der Erfindung, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform abarbeitet, ausführt, unter Bezugnahme auf eine Reihe von Flußdiagrammen, die in 34 gezeigt sind, beschrieben. Die Verfahren, die von der Betriebsumgebung auszuführen sind, stellen Computerprogramme dar, die aus für Maschinen ausführbaren Befehlen aufgebaut sind. Die Beschreibung der Verfahren unter Bezugnahme auf ein Flußdiagramm ermöglicht Fachleuten, solche Programme, die solche Befehle umfassen, zu entwickeln, um die Verfahren auf geeigneten Computern auszuführen (wobei der Prozessor des Computers die Befehle von maschinenlesbaren Medien abarbeitet). Die Verfahren, die in 34 abgebildet sind, umfassen die Aktionen, die eine Betriebsumgebung, die eine beispielhafte Ausführungsform der Erfindung abarbeitet, ausführt.
  • 3 ist ein Flußdiagramm, das ein Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen einem mobilen Knoten und einem korrespondierenden Knoten bereitstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel MIP-Proxy 102, welches das Verfahren ausführt, eine Anmeldeabfrage vom mobilen Knoten erhält (Block 305). Üblicherweise weist die Abfrage eine ständige Netzwerkadresse für den mobilen Knoten auf. Der MIP-Proxy verknüpft die ständige Heimadresse des mobilen Knoten mit der aktuellen Care-of-Adresse des mobilen Knoten in einer Mobilitätsverknüpfungsliste. Zusätzlich kann der MIP-Proxy die Verknüpfung mit einem Heimagenten verbinden.
  • Als nächstes gibt ein System, welches das Verfahren ausführt, eine zweite Anmeldeabfrage an einen Heimagenten in einem Heimnetzwerk für den mobilen Knoten aus (Block 310). Üblicherweise weist die zweite Abfrage die ständige Adresse des mobilen Knotens und eine Proxy-Adresse des MIP-Proxy 102 auf. Der Heimagent verknüpft die ständige Heimadresse des mobilen Knoten mit einer der Adressen des MIP-Proxy in der Mobilitätsverknüpfungsliste des Heimagenten.
  • In einigen Ausführungsformen der Erfindung kopiert das System, welches das Verfahren ausführt, einen Antwortcode, den es vom Heimagenten empfangen hat, in eine Antwortmitteilung, die vom System, welches das Verfahren ausführt, zum mobilen Knoten gesendet wird (Block 315). Der Antwortcode zeigt üblicherweise die Fähigkeit oder Bereitschaft des Heimagenten an, Netzwerkdaten, die er vom korrespondierenden Knoten in einem Heimnetzwerk empfangen hat und die an den mobilen Knoten adressiert sind, zu verarbeiten.
  • Als nächstes beginnt das System in einigen Ausführungsformen der Erfindung damit, sowohl einen Heimagenten (Block 320) als auch einen mobilen Knoten (Block 325) nachzubilden. Die Blöcke 320 und 325 sind auf derselben Ebene gezeigt, um die Möglichkeit einer parallelen Ausführung der Blöcke anzudeuten. Bezüglich der Daten, die zu und vom mobilen Knoten gesendet werden, bildet das System einen Heimagenten nach. In derselben Weise bildet das System bezüglich der Daten, die zu und vom Heimagenten gesendet werden, einen mobilen Knoten nach.
  • 4A ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem korrespondierenden Knoten an einen mobilen Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Heimagent ein Paket von einem korrespondierenden Knoten im Auftrag eines mobilen Knoten empfangt (zum Beispiel 1, Pfad 1). In einigen Ausführungsformen der Erfindung, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, tunnelt der Heimagent das Paket zum VPN-Übergang, üblicherweise über IPSec (Block 405). Als nächstes tunnelt der Heimagent das Paket unter Verwendung von mobilem IP zum MIP-Proxy (Block 410, zum Beispiel 1, Pfad 2). Dann wird das Paket einschließlich IPSec und mobiler IP-Einkapselung zum MIP-Proxy gesendet, da der MIP-Proxy aus der Sicht des Heimagenten als Care-of-Adresse für das VPN spezifiziert ist.
  • Der MIP-Proxy empfängt das Paket vom Heimagenten und entkapselt die mobile IP-Schicht (Block 415). In den Ausführungsformen, in denen der MIP-Proxy ein vom VPN-Übergang getrenntes Element ist, werden die Daten der IPSec-Schicht zum Entkapseln zum VPN-Übergang weitergeleitet (Block 420, zum Beispiel 1A, Pfad 3).
  • Dann tunnelt der VPN-Übergang das Paket unter Verwendung von IPSec vom VPN-Übergang zum mobilen Knoten, wobei er die ständige Netzwerkadresse des mobilen Knotens verwendet (Block 425). In jenen Ausführungsformen, in denen der MIP-Proxy getrennt vom VPN-Übergang angeordnet ist, wird das Paket dann zur Weiterleitung an den mobilen Knoten zum MIP-Proxy gesendet (zum Beispiel 1, Pfad 4). Der MIP-Proxy kann Pakete, die vom VPN-Übergang an den mobilen Knoten adressiert sind, auf verschiedene Weise abfangen. In einer Ausführungsform der Erfindung ist die Leitwegtabelle des VPN so verändert, daß Pakete für den mobilen Knoten automatisch durch den MIP-Proxy geroutet werden. In einer alternativen Ausführungsform der Erfindung reagiert der MIP-Proxy auf ARP(Adressauflösungsprotokoll)-Pakete im Auftrag des mobilen Knotens. In noch einer anderen alternativen Ausführungsform setzt sich der MIP-Proxy, wenn ein mobiler Knoten zum ersten Mal um die Anmeldung durch den MIP-Proxy ersucht, selbst als Care-of-Adresse für den VPN-Übergang ein.
  • Nach dem Empfangen des Datenpakets vom VPN-Übergang tunnelt der MIP-Proxy das Paket unter Verwendung von mobilem IP durch die Care-of-Adresse des mobilen Knotens im Fremdnetzwerk 130 zum mobilen Knoten weiter (Block 430, zum Beispiel 1, Pfad 5).
  • 4B ist ein Flußdiagramm, das weitere Einzelheiten eines Verfahrens zur Verarbeitung von Netzwerkdaten, die von einem mobilen Knoten an einen korrespondierenden Knoten adressiert sind, nachdem sich der mobile Knoten an einem MIP-Proxy angemeldet hat, gemäß einer Ausführungsform der Erfindung bereitstellt. Das Verfahren beginnt, wenn ein Paket unter Verwendung von IPSec vom mobilen Knoten zum VPN-Übergang geleitet wird (Block 450). Dann wird das Paket unter Verwendung von mobilem IP vom mobilen Knoten zum MIP-Proxy getunnelt (Block 455; 1, Pfad 6). Der MIP-Proxy entkapselt die mobile IP-Schicht (Block 460) und leitet das Paket in jenen Ausführungsformen, in denen der VPN-Übergang getrennt vom MIP-Proxy angeordnet ist, zum VPN-Übergang weiter (1, Pfad 7).
  • Der VPN-Übergang entkapselt das IPSec-Paket (Block 465). Der VPN-Übergang sendet dann die Daten direkt zum korrespondierenden Knoten (Block 470; 1, Pfad 8).
  • Man beachte, daß es wünschenswert sein kann, die oben beschriebene Tunnelung zu umgehen. Zum Beispiel werden die IKE-Daten in einigen Ausführungsformen der Erfindung als normaler IP-Verkehr getragen, wenn der mobile Knoten IKE mit dem VPN-Übergang ausführt.
  • Schlußfolgerung
  • Es sind Systeme und Verfahren zur Bereitstellung einer Integration von mobilen Netzwerken mit sicherheitsbasierten VPNs offenbart. Die Ausführungsformen der Erfindung schaffen Vorteile gegenüber früheren Systemen. Zum Beispiel sind die Systeme und Verfahren der vorliegenden Erfindung, beim Unterstützen der Schaffung von Sicherheitsverbindungen, welche die ständige Netzwerkadresse eines mobilen Knotens verwenden, leistungsfähiger als frühere Systeme, da es nicht erforderlich ist, Sicherheitsverbindungen neu einzugeben, wenn der mobile Knoten von einem Teilnetz zu einem anderen wechselt. Des Weiteren können die Systeme und Verfahren mit geringen oder gar keinen Änderungen auf bestehenden Sicherheitsmechanismen und mobilen IP-Standards verwendet werden. Daher kann ein Benutzer die Vorteile der vorliegenden Erfindung in Anspruch nehmen, ohne Hauptkomponenten des Netzwerksystems aufrüsten zu müssen.
  • Obwohl hierin bestimmte Ausführungsformen abgebildet und beschrieben worden sind, werden Durchschnittsfachleute verstehen, daß jede Anordnung, die dafür ausgelegt ist, denselben Zweck zu erzielen, die gezeigten speziellen Ausführungsformen ersetzen kann.
  • Diese Patentanmeldung ist dazu bestimmt, jegliche Anpassungen oder Abänderungen der vorliegenden Erfindung einzuschließen.
  • Die in dieser Patentanmeldung verwendete Terminologie ist dafür vorgesehen, alle diese Umgebungen einzuschließen. Es versteht sich, daß die obige Beschreibung als Beispiel, jedoch nicht als Einschränkung, dienen soll. Für Fachleute werden beim Durchlesen der obigen Beschreibung viele andere Ausführungsformen offensichtlich sein. Es ist daher ausdrücklich beabsichtigt, daß diese Erfindung nur durch die folgenden Ansprüche und deren Entsprechungen begrenzt ist.

Claims (13)

  1. Verfahren zur Bereitstellung eines sicheren Netzwerkpfades zwischen Netzwerkknoten, wobei das Verfahren umfaßt: Bereitstellen eines Heim-Agenten-Moduls (142) auf einem Netzwerkgerät (123) auf der Seite eines Fremdnetzwerks (130) einer äußeren Firewall (108) und Bereitstellen eines Fremd-Agenten-Moduls (144) innerhalb einer Netzwerkzone (106), die durch die äußere Firewall und eine innere Firewall (106) gebildet wird, wobei das Heim-Agenden-Modul (142) und das Fremd-Agenten-Modul (144) einen mobilen IP-Proxy (102) bilden; Herstellen einer ersten mobilen IP-Unterschichtsverbindung (240) zwischen einem Heimagenten (112) und dem Fremd-Agenten-Modul (144); Herstellen einer zweiten mobilen IP-Unterschichtsverbindung (242) zwischen einem mobilen Knoten (120) und dem Heim-Agenten-Modul (142); Herstellen einer ersten IP-Sicherheits(IPSec)-Verbindung (244) zwischen dem Heimagenten (112) und einem virtuellen privaten Netzwerk(VPN)-Übergang (104); Herstellen einer zweiten IPSec-Verbindung (248) zwischen dem VPN-Übergang (104) und dem mobilen Knoten (120); und Herstellen eines sicheren Paketdatentunnels (250) zwischen dem Heim-Agenten-Modul (142) und dem Fremd-Agenten-Modul (144); Empfangen einer ersten Anmeldeabfrage von dem mobilen Knoten (305), wobei die Anmeldeabfrage eine ständige Netzwerkadresse für den mobilen Knoten (120) umfaßt; Senden einer zweiten Anmeldeabfrage, welche die ständige Netzwerkadresse und eine Proxy-Care-of-Adresse angibt, an den Heimagenten (310); Verarbeiten von Netzwerkdaten, die vom mobilen Knoten empfangen worden sind, durch den mobilen IP-Proxy als stellvertretenden Heimagenten (320); und Verarbeiten von Netzwerkdaten, die vom Heimagenten empfangen worden sind, durch den mobilen IP-Proxy als stellvertretenden mobilem Knoten (325).
  2. Verfahren nach Anspruch 1, das ferner das Senden eines vom Heimagenten empfangenen Heimagent-Antwortcodes zum mobilen Knoten umfaßt (310).
  3. Verfahren nach Anspruch 1, wobei das Verarbeiten der Netzwerkdaten, die vom Heimagenten empfangen worden sind (325), das Senden der Netzwerkdaten zu dem VPN-Übergang (104) zum Einkapseln in einer Sicherheitsschicht (234), die durch den sicheren Paketdatentunnel (250) bereitgestellt wird, umfasst, und wobei das Verfahren weiter das Einkapseln der Netzwerkdaten in ein mobiles IP-Paket zur Übermittlung durch die erste mobile IP-Unterschichtsverbindung (240) umfaßt.
  4. Verfahren nach Anspruch 3, wobei das Einkapseln in eine Sicherheitsschicht das Einkapseln in eine IP-Sicherheitsschicht (IPSec) und das Verwenden der ständigen Netzwerkadresse für den mobilen Knoten (120) als eine Quell- oder Zieladresse umfaßt.
  5. Verfahren nach Anspruch 3, das ferner umfaßt: Empfangen von Netzwerkdaten, die an den mobilen Knoten (120) adressiert sind, vom VPN-Übergang (104); und Senden der Netzwerkdaten zum mobilen Knoten (120).
  6. Verfahren nach Anspruch 1, das weiter umfaßt: Einrichten einer ersten Sicherheitsverbindung zwischen dem mobilen Knoten (120) und dem VPN-Übergang (104) unter Verwendung einer ständigen Netzwerkadresse, die mit dem mobilen Knoten verknüpft ist; Einrichten einer zweiten Sicherheitsverbindung zwischen dem Heimagenten (112) und dem VPN-Übergang (104); und Verwenden einer mobilen IP-Proxy-IP-Adresse als Care-of-Adresse für den VPN-Übergang (104) durch den Heimagenten (112).
  7. Verfahren nach Anspruch 6, das ferner umfaßt: Empfangen eines Datenpakets vom korrespondierenden Knoten (110) durch den Heimagenten; Routen des Datenpakets zum mobilen IP-Proxy (102); Routen des Datenpakets durch den mobilen IP-Proxy (102) zum VPN-Übergang (104); Einkapseln des Datenpakets in eine Sicherheitsschicht durch den VPN-Übergang (104); Empfangen der eingekapselten Daten vom VPN-Übergang (104) durch den mobilen IP-Proxy (102); und Routen der eingekapselten Daten vom mobilen IP-Proxy (102) zum mobilen Knoten (120).
  8. Verfahren nach Anspruch 6, wobei die erste Sicherheitsverbindung und die zweite Sicherheitsverbindung jeweils eine IPSec-Sicherheitsverbindung sind.
  9. Computergestütztes System, das umfaßt: einen Heimagenten (112) auf einem Heimnetzwerk (114); einen mobilen IP-Proxy (102), der ein Heim-Agenten-Modul (142) auf einem Netzwerkgerät (123) auf der Seite eines Fremdnetzwerkes (130) einer äußeren Firewall (108) und ein Fremd-Agenten-Modul (144) innerhalb einer Netzwerkzone (160), die durch die äußere Firewall (108) und eine innere Firewall (106) gebildet wird, umfaßt; eine erste mobile IP-Unterschichtsverbindung (240) zwischen dem Heimagenten (112) auf einem Heimnetzwerk (114) und dem Fremd-Agenten-Modul (144); eine zweite mobile IP-Unterschichtsverbindung (242) zwischen einem mobilden Knoten (120) und dem Heim-Agenten-Modul (142), eine erste IP-Sicherheits(IPSec)-Verbindung (244) zwischen dem Heimagenten (112) und einem virtuellen privaten Netzwerk(VPN)-Übergang (104); eine zweite IPSec-Verbindung (248) zwischen dem VPN-Übergang (104) und dem mobilen Knoten (120); und einen sicheren Paketdatentunnel (250) zwischen dem Heim-Agenten-Modul (142) und dem Fremd-Agenten-Modul (144); wobei das Heim-Agenten-Modul (142) des mobilen IP-Proxys (102) zum Nachbilden des Heimagenten (112) für einen mobilen Knoten (120) ausgebildet ist und wobei das Fremd-Agenten-Modul (144) zum Nachbilden des mobilen Knotens (120) für den Heimagenten (112) ausgebildet ist.
  10. Computergestütztes System nach Anspruch 9, wobei mindestens ein Teil des Fremd-Agenten-Moduls (144) des mobilen IP-Proxys (102) und der VPN-Übergang (104) in einer einzelnen Einheit integriert sind.
  11. Computergestütztes System nach Anspruch 9, wobei das Netzwerkgerät (123) einen Router in dem Fremdnetzwerk (130) umfaßt.
  12. Computergestütztes System nach Anspruch 9, wobei der mobile IP-Proxy (102) so betrieben werden kann, daß er über eine Mehrzahl von Teilnetzen kommuniziert.
  13. Maschinenlesbares Medium, das für Maschinen ausführbare Befehle umfasst zur Ausführung aller Verfahrensschritte nach einem der Ansprüche 1 bis 8.
DE10393628T 2002-12-19 2003-12-19 System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) Expired - Fee Related DE10393628B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/325,657 US7616597B2 (en) 2002-12-19 2002-12-19 System and method for integrating mobile networking with security-based VPNs
US10/325,657 2002-12-19
PCT/US2003/040960 WO2004057822A2 (en) 2002-12-19 2003-12-19 System and method for integrating mobile ip with virtual private networks (vpn)

Publications (2)

Publication Number Publication Date
DE10393628T5 DE10393628T5 (de) 2005-08-25
DE10393628B4 true DE10393628B4 (de) 2012-01-26

Family

ID=32593843

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10393628T Expired - Fee Related DE10393628B4 (de) 2002-12-19 2003-12-19 System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)

Country Status (8)

Country Link
US (2) US7616597B2 (de)
JP (1) JP4087848B2 (de)
KR (1) KR100814988B1 (de)
AU (1) AU2003300268A1 (de)
DE (1) DE10393628B4 (de)
GB (1) GB2411092B (de)
HK (1) HK1075148A1 (de)
WO (1) WO2004057822A2 (de)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6217847B1 (en) * 1994-07-01 2001-04-17 The Board Of Trustees Of The Leland Stanford Junior University Non-invasive localization of a light-emitting conjugate in a mammal
US7623497B2 (en) * 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
FR2861934B1 (fr) * 2003-10-30 2006-01-27 Wavecom Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication.
WO2005069577A1 (en) * 2004-01-15 2005-07-28 Interactive People Unplugged Ab Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks
US7668074B2 (en) * 2004-03-31 2010-02-23 Lg Electronics Inc. Home network system
ATE357805T1 (de) * 2004-09-30 2007-04-15 Cit Alcatel Mobile authentifizierung für den netzwerkzugang
US20060130136A1 (en) * 2004-12-01 2006-06-15 Vijay Devarapalli Method and system for providing wireless data network interworking
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
WO2006071055A1 (en) * 2004-12-28 2006-07-06 Samsung Electronics Co., Ltd. A system and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network
US20060245362A1 (en) * 2005-01-07 2006-11-02 Choyi Vinod K Method and apparatus for providing route-optimized secure session continuity between mobile nodes
US20060230445A1 (en) * 2005-04-06 2006-10-12 Shun-Chao Huang Mobile VPN proxy method based on session initiation protocol
US7583662B1 (en) * 2005-04-12 2009-09-01 Tp Lab, Inc. Voice virtual private network
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US7809386B2 (en) * 2005-06-29 2010-10-05 Nokia Corporation Local network proxy for a remotely connected mobile device operating in reduced power mode
US7808970B2 (en) * 2005-06-30 2010-10-05 Motorola, Inc. Method of dynamically assigning mobility configuration parameters for mobile entities
KR100799575B1 (ko) * 2005-12-07 2008-01-30 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
CN101346968B (zh) * 2005-12-26 2011-10-12 松下电器产业株式会社 用于控制访问请求的移动网络管理设备和移动信息管理设备
US7693059B2 (en) * 2006-01-30 2010-04-06 International Business Machines Corporation Advanced VPN routing
US7899964B2 (en) 2006-07-13 2011-03-01 Samsung Electronics Co., Ltd. Method and system for providing universal plug and play resource surrogates
US8561155B2 (en) 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8036232B2 (en) 2006-08-22 2011-10-11 Samsung Electronics Co., Ltd Apparatus and method for filtering packet in a network system using mobile IP
US8130771B2 (en) * 2006-10-10 2012-03-06 Alcatel Lucent Packet-forwarding for proxy mobile IP
PT1912413E (pt) 2006-10-13 2010-04-20 Quipa Holdings Ltd Método para formar uma rede privada virtual segura facilitando a comunicação entre pares
US20080115202A1 (en) * 2006-11-09 2008-05-15 Mckay Michael S Method for bidirectional communication in a firewalled environment
US8406237B2 (en) * 2006-11-17 2013-03-26 Qualcomm Incorporated Methods and apparatus for implementing proxy mobile IP in foreign agent care-of address mode
EP2129056A4 (de) * 2006-12-26 2012-01-18 Panasonic Corp Kommunikationsverfahren, kommunikationssystem, heimagent und mobiler knoten
ES2510715T3 (es) * 2006-12-28 2014-10-21 Telefonaktiebolaget Lm Ericsson (Publ) Proxy IP móvil
WO2008145174A1 (en) * 2007-05-25 2008-12-04 Telefonaktiebolaget Lm Ericsson (Publ) Route optimisation for proxy mobile ip
CN101355425A (zh) * 2007-07-24 2009-01-28 华为技术有限公司 组密钥管理中实现新组员注册的方法、装置及系统
US8411866B2 (en) * 2007-11-14 2013-04-02 Cisco Technology, Inc. Distribution of group cryptography material in a mobile IP environment
CN101984778B (zh) 2008-01-26 2014-08-13 思杰系统有限公司 用于细粒度策略驱动的cookie代理的系统和方法
US8385300B2 (en) * 2008-10-03 2013-02-26 Cisco Technology, Inc. Internet protocol address management for communicating packets in a network environment
US8411691B2 (en) * 2009-01-12 2013-04-02 Juniper Networks, Inc. Transfer of mobile subscriber context in cellular networks using extended routing protocol
US8385332B2 (en) * 2009-01-12 2013-02-26 Juniper Networks, Inc. Network-based macro mobility in cellular networks using an extended routing protocol
US20110085552A1 (en) * 2009-10-14 2011-04-14 Electronics And Telecommunications Research Institute System and method for forming virtual private network
AT11799U1 (de) * 2009-12-15 2011-05-15 Plansee Se Formteil
US8473734B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. Multi-service VPN network client for mobile device having dynamic failover
US8549617B2 (en) * 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8458787B2 (en) 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US8464336B2 (en) 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8474035B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. VPN network client for mobile device having dynamically constructed display for native access to web mail
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
US8862870B2 (en) 2010-12-29 2014-10-14 Citrix Systems, Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
US9021578B1 (en) * 2011-09-13 2015-04-28 Symantec Corporation Systems and methods for securing internet access on restricted mobile platforms
TW201409986A (zh) * 2012-06-04 2014-03-01 Interdigital Patent Holdings 在非核心閘道執行區域選擇ip訊務卸載及區域ip存取合法截取
DE102013017789A1 (de) 2013-10-25 2015-04-30 LowoTec GmbH System für eine abgesicherte LAN-über-WAN-Übertragung
US9906560B2 (en) 2015-08-28 2018-02-27 Nicira, Inc. Distributing remote device management attributes to service nodes for service rule processing
JP2019531652A (ja) * 2016-10-12 2019-10-31 アル・ハジリ、ムハンマド・ハマドAl Hajri,MohammedHamad 代理セルラレスローミング
US10491567B2 (en) * 2017-03-17 2019-11-26 Verizon Patent And Licensing Inc. Dynamic firewall configuration based on proxy container deployment
KR102492489B1 (ko) 2020-09-18 2023-01-30 주식회사 애그유니 체계적 생장환경 조성을 위한 식물재배시스템

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3662080B2 (ja) 1996-08-29 2005-06-22 Kddi株式会社 ファイアウォール動的制御方法
US6137791A (en) * 1997-03-25 2000-10-24 Ericsson Telefon Ab L M Communicating packet data with a mobile station roaming within an incompatible mobile network
US5852630A (en) * 1997-07-17 1998-12-22 Globespan Semiconductor, Inc. Method and apparatus for a RADSL transceiver warm start activation procedure with precoding
EP0924913A1 (de) * 1997-12-19 1999-06-23 Siemens Aktiengesellschaft Verfahren zur Unterstützung von Mobilität im Internet
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
FI20000574A (fi) * 2000-03-13 2001-09-14 Nokia Mobile Phones Ltd Kuorman tasaus IP-liikkuvuutta tukevassa tietoliikennejärjestelmässä
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US20030224788A1 (en) * 2002-03-05 2003-12-04 Cisco Technology, Inc. Mobile IP roaming between internal and external networks
US7269173B2 (en) * 2002-06-26 2007-09-11 Intel Corporation Roaming in a communications network
US7436804B2 (en) * 2002-09-18 2008-10-14 Qualcomm Incorporated Methods and apparatus for using a Care of Address option
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US6978317B2 (en) * 2003-12-24 2005-12-20 Motorola, Inc. Method and apparatus for a mobile device to address a private home agent having a public address and a private address

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ADRANGI, F. (u.a.): Mobile IPv4 Traversal Across IPsec-based VPN Gateways. Internet Engineering Task Force INTERNET DRAFT, 17.07.2002, (URL: http://ietfreport.isoc.org/idref/draft-adrangi-mobileip-vpn-traversal/), (recherchiert am 28.01.2010) *

Also Published As

Publication number Publication date
AU2003300268A1 (en) 2004-07-14
KR20050085834A (ko) 2005-08-29
JP2006511169A (ja) 2006-03-30
DE10393628T5 (de) 2005-08-25
KR100814988B1 (ko) 2008-03-18
GB0509950D0 (en) 2005-06-22
HK1075148A1 (en) 2005-12-02
AU2003300268A8 (en) 2004-07-14
GB2411092B (en) 2007-01-10
US7616597B2 (en) 2009-11-10
WO2004057822A2 (en) 2004-07-08
US20040120295A1 (en) 2004-06-24
US20100122337A1 (en) 2010-05-13
GB2411092A (en) 2005-08-17
JP4087848B2 (ja) 2008-05-21
WO2004057822A3 (en) 2004-09-10

Similar Documents

Publication Publication Date Title
DE10393628B4 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
DE602004007303T2 (de) Identifizierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE60122782T2 (de) Adressierungsverfahren und system zur verwendung einer anycast-adresse
DE60028897T2 (de) Verfahren und Vorrichtung zur Umschaltung zwischen zwei Netzwerkzugangstechnologien ohne Unterbrechung der aktiven Netzwerkanwendungen
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60103942T2 (de) Lastausgleich in einem Telekommunikationssystem das Mobil IP unterstützt
DE60317774T2 (de) Verfahren und vorrichtung zur clusterbildung von mobile ip home agents
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
EP1602214B1 (de) Verfahren, system und speichermedium um kompatibilität zwischen IPsec und dynamischem routing herzustellen
DE112006001447B4 (de) Verfahren, Vorrichtung und System zum Einrichten eines direkten Leitweges zwischen Agenten eines Senderknotens und eines Empfängerknotens
EP2005700B1 (de) Verfahren zur ermittlung einer aufgabenerlaubnis
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE60133641T2 (de) Kommunikationssystem und verfahren dafür
DE112006001655T5 (de) Verfahren und Vorrichtung zur Vereinfachung einer Kommunikation unter Verwendung eines Surrogats und Betreuung von Internetprotokolladressen
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
DE102022208744A1 (de) Sicherer fernzugriff auf geräte in sich überlappenden subnetzen
DE60215053T2 (de) Verfahren zur unterstützung der mobilität in drahtlosen netzwerken
DE60211287T2 (de) Handhabung von Verbindungen, die zwischen Firewalls umziehen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law

Ref document number: 10393628

Country of ref document: DE

Date of ref document: 20050825

Kind code of ref document: P

R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20120427

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee