-
GEBIET DER
ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich allgemein auf das Managen eines
Kommunikationsnetzes und insbesondere auf Verfahren und Vorrichtungen zur
dynamischen Herstellung von Tunnelzugangssitzungen in einer Netzeinrichtung
in einem Kommunikationsnetz.
-
HINTERGRUND
DER ERFINDUNG
-
Während Desktop-Computer
im Allgemeinen für
längere
Zeit Teil desselben Netzes bleiben, sind Laptops oder andere tragbare
Computer speziell dafür
konstruiert, dass sie transportiert werden können. Tragbare Computer an
sich werden je nach dem Ort, an dem sich der Computer befindet,
zu unterschiedlichen Zeiten an unterschiedliche Netze angeschlossen.
In einem ganz gewöhnlichen
Beispiel, bei dem der tragbare Computer als Desktop-Computer eines Angestellten
dient, ist der tragbare Computer so konfiguriert, dass er mit dem
Netz seines Arbeitgebers, d.h. mit dem Unternehmensnetz, kommuniziert.
Bei einer Reise des Angestellten kann der tragbare Computer jedoch
an unterschiedliche Netze angeschlossen werden, die auf unterschiedliche
Weise kommunizieren. In dieser Hinsicht kann der Angestellte den tragbaren
Computer an das von einem Flughafen oder einem Hotel betriebene
Netz anschließen,
um auf das Unternehmensnetz, das Internet oder einen anderen Online-Dienst zuzugreifen.
Da diese anderen Netze jedoch etwas anders konfiguriert sind, muss
der tragbare Computer auch neu konfiguriert werden, um mit diesen
anderen Netzen richtig zu kommunizieren. Typischerweise wird diese
Konfiguration jedes Mal dann durch den Benutzer/Teilnehmer vorgenommen,
wenn der tragbare Computer an ein anderes Netz angeschlossen wird.
Wie ersichtlich wird, ist diese wiederholte Rekonfiguration des
tragbaren Computers nicht nur recht zeitaufwendig, sondern auch
fehleranfällig.
Ferner muss der Benutzer/Teilnehmer oft spezielle Software auf dem
tragbaren Computer laufen haben, um mit dem Unternehmensnetz zu
kommunizieren, wenngleich diese Kommunikation mit dem Netz in Konflikt
stehen kann, über
das der tragbare Computer Daten übertragen muss,
um das Unternehmensnetz zu erreichen.
-
Eine
Gateway-Einrichtung dient als Schnittstelle, die den Benutzer/Teilnehmer
mit einer Anzahl von Netzen oder anderen Online-Diensten verbindet. Die
Gateway-Einrichtung kann zum Beispiel als Gateway zum Internet,
zum Unternehmensnetz oder zu anderen Netzen und/oder Online-Diensten
dienen. Neben ihrer Funktion als Gateway passt sich die Gateway-Einrichtung
automatisch an die Protokolle und sonstigen Parameter des Hosts
an, damit sie mit dem neuen Netz in einer Weise kommunizieren kann, die
sowohl für
den Benutzer/Teilnehmer als auch für das neue Netz transparent
ist. Sobald sich die Gateway-Einrichtung entsprechend an den Host
des Benutzers angepasst hat, kann der Host entsprechend über das
neue Netz, wie zum Beispiel das Netz in einem Hotel, zu Hause, auf
einem Flughafen oder an jedem anderen Ort, kommunizieren, um auf
andere Netze, wie zum Beispiel das Unternehmensnetz, oder auf andere
Online-Dienste, wie zum Beispiel das Internet, zuzugreifen.
-
Der
Benutzer/Teilnehmer, und insbesondere der Fern- oder Laptop-Benutzer,
hat den Vorteil, dass er auf unzählige
Netze zugreifen kann, ohne die zeitraubende und allzu oft beängstigende
Aufgabe der Rekonfiguration seines Hosts gemäß den netzspezifischen Konfigurationen
bewältigen
zu müssen.
Auf diese Weise ist die Gateway-Einrichtung in der Lage, dem Benutzer/Teilnehmer
einen effizienteren Netzzugang zur Verfügung zu stellen. Eine Gateway-Einrichtung
ist außerdem
dazu dienlich, dem Benutzer/Teilnehmer einen Breitbandnetzzugang
zur Verfügung
zu stellen, der auf die Bedürfnisse
des Benutzers/Teilnehmers zugeschnitten werden kann. In vielen Fällen geht
es dem Fernbenutzer/-teilnehmer darum, dass er zu seinem Heimat-
bzw. Unternehmensnetz, die meistens durch eine Firewall geschützt sind, einen
Netzzugang bekommen kann. Die Firewall verhindert unbefugten Zugang
zu dem Unternehmensnetz durch eine allgemeine Internetverbindung,
wie zum Beispiel durch einen Internet Provider. Während von
außerhalb
der Firewall ein gewisser Zugang möglich ist, zum Beispiel durch
eine eingehende eMail, ist ein Zugang zu Unternehmensressourcen wie
zum Beispiel Netzdatenbanken und Anwendungsprogrammen für außerhalb
der Firewall befindliche Hosts im Allgemeinen nicht möglich, es
sei denn, der Benutzer/Teilnehmer hat ein aktives Konto mit einem
gültigen
Benutzernamen und einer Passwortkombination.
-
Wie
der Durchschnittsfachmann weiß,
können
darüber
hinaus verschiedene Netzprotokolle innerhalb der Infrastruktur des
Internet und innerhalb von Unternehmensnetzen verwendet werden,
die für den
Fernbenutzer potentielle Zugangsprobleme aufwerfen. Zum Beispiel
wird typischerweise auf der Ebene des Netzprotokolls ein Internet-Protokoll
(IP) verwendet, um Daten über
das Internet zu senden. Ein Unternehmensnetz kann dagegen jedes
beliebige aus einer Vielzahl von Netzprotokollen verwenden, einschließlich IP,
IPX, Appletalk, etc. Wenn das IP-Protokoll und das Unternehmensnetzprotokoll nicht
kompatibel sind, dann kann es sein, dass der Fernbenutzer nicht
auf Ressourcen im Unternehmensnetz zugreifen kann. Wenn außerdem ein
Fernbenutzer versucht, über
das Internet, typischerweise über
einen Internet Provider, auf das Unternehmensnetz zuzugreifen, wird
dem Fernbenutzer dynamisch eine IP-Adresse zugewiesen. Diese IP-Adresse
identifiziert den Host-Benutzer/Teilnehmer und erlaubt es, IP-Pakete
korrekt von und zu dem Host zu übertragen.
Dem Fernbenutzer kann jedoch der Zugang durch die Firewall des Unternehmensnetzes
verweigert werden, weil die durch den Internet Provider zugewiesene
IP-Adresse keine der autorisierten Adressen im Unternehmensnetz
ist.
-
In
Reaktion auf diese und andere Probleme in Verbindung mit der Gewährung eines
Fernzugriffs auf ein Unternehmensnetz über das Internet wurden mehrere
Verfahren entwickelt, um virtuelle Privatnetze (VPN) zu schaffen,
bei denen ein Fernknoten eines einzelnen Netzes mit Hilfe eines öffentlich
zugänglichen
Kommunikationsmediums verbunden wird. Zum Beispiel gibt es eine
Anzahl von Systemen, mit denen Benutzer/Teilnehmer unter Verwendung des
Internet als Medium zum Transport von Daten zwischen dem Unternehmensnetz
und einem Fernbenutzer virtuelle Netze schaffen können. Diese
Systeme enthalten oftmals Verschlüsselungs- und sonstige Sicherheitsmechanismen,
um sicherzustellen, dass nur autorisierte Benutzer auf das virtuelle
Netz zugreifen können
und dass die Daten nicht abgefangen werden können.
-
Das
am häufigsten
verwendete Verfahren zum Aufbau eines VPN besteht in der Implementierung
einer Tunnelung. Unter Tunnelung versteht man das Kapseln oder Umschließen eines
Pakets oder einer Nachricht von einem Netzprotokoll mit dem Protokoll
eines anderen Netzes. Das gekapselte Paket wird durch das Protokoll
des Wrappers über
das Netz gesendet. Mit diesem Verfahren der Paketübertragung
werden Protokollbeschränkungen
umgangen, und Fernbenutzer können
nahtlosen Zugang zu ihrem Unternehmensnetz haben, ohne sichtliche
Auswirkungen des Zugriffs auf ihr Unternehmensnetz über ein
anderes Netz mit einem anderen Protokoll. Mehrere relativ gut bekannte
Tunnelungsprotokolle sind zum Beispiel PPTP von Microsoft, das Protokoll Layer
Two Forwarding (L2F) von Cisco und das L2TP von IETF, das ein Hybrid
von L2F und PPTP ist. Ein weiteres Verfahren, das mit Tunnelung
arbeitet, ist die in
EP 0,917,318 beschriebene
Kapselung nach dem Point-to-Point-Protokoll. Noch ein weiteres Tunnelungsverfahren
wird in dem Artikel "Dial-in
Virtual Private Networks Using Layer 3 Tunneling" von Gary Scott Malkin, IEEE, November
1997, beschrieben. Diese und andere Tunnelungsverfahren bringen
zwar einen gewissen Nutzen, doch kein einziges Tunnelungsprotokoll
er möglicht
eine automatisierte Konfiguration, ohne dass dazu eine spezielle
Clientsoftware (d.h. auf dem Remote-Computer) notwendig ist.
-
In
der Industrie besteht daher ein unbefriedigter Bedarf an einem System
und Verfahren, das Teilnehmertunnels automatisch dynamisch schafft, ohne
dass eine zuvor hergestellte Beziehung zwischen einem Internet-Zugangspunkt
und einem fernen Unternehmensnetz notwendig ist.
-
INHALT DER
ERFINDUNG
-
Die
vorliegende Erfindung besteht in einem Verfahren und einer Vorrichtung
zur Implementierung dynamischer Tunnelzugangssitzungen in einer
Netzeinrichtung in einem Kommunikationsnetz. Verschiedene Ausgestaltungen
sind in den unabhängigen
Ansprüchen
definiert. Einige bevorzugte Merkmale sind in den abhängigen Ansprüchen definiert.
Die Tunnelzugangssitzungen werden zwischen einer Netzeinrichtung,
typischerweise einer Gateway-Einrichtung, und einem Netzdienst,
wie zum Beispiel dem Internet oder dem Intranet eines Unternehmens,
geschaffen und ermöglichen
transparente Tunnelzugangssitzungen für die Benutzer/Teilnehmer,
die über
die Netzeinrichtung auf das Kommunikationsnetz zugreifen. Bei der
vorliegenden Erfindung muss keine spezielle Clientsoftware auf den
Remote Host des Teilnehmers geladen werden, und der Remote Host
muss nicht manuell konfiguriert werden. Stattdessen stellt die Gateway-Einrichtung
einen Tunnel her, wodurch die Gateway-Einrichtung als ein Endpunkt fungiert
und das Unternehmensnetz als der andere Endpunkt fungiert. Anstatt
den Remote Host jedes Mal zu konfigurieren bzw. zu rekonfigurieren,
wenn eine Tunnelzugangssitzung geschaffen wird, stellt der Remote
Host der Gateway-Einrichtung die entsprechenden Informationen zum
Teilnehmerprofil zur Verfügung,
die notwendig sind, um eine Tunnelzugangssitzung für einen
bestimmten Netzdienst herzustellen. Danach greift die Gateway-Einrichtung
jedes Mal dann auf die Informationen zum Teilnehmerprofil zu, wenn
diesem Teilnehmer eine Tunnelzugangssitzung zum Zugriff auf den
Netzdienst zugesichert wird. Im Wesentlichen tritt die Gateway-Einrichtung
an die Stelle des Remote Host als Endpunkt des Tunnels, womit der Netzdienst
getäuscht
wird. Die Tunnelzugangssitzung, die aus der Gateway-Einrichtung
für den
Netzdienst hergestellt wird, ist dergestalt, dass der Netzdienst
die Gateway-Einrichtung betrachtet, als wäre sie der Remote Host. Indem
die Gateway-Einrichtung als Endpunkt des Tunnels fungieren kann,
ist der Remote Host nicht auf einen einzigen Tunnel pro Sitzung
beschränkt,
sondern kann zahlreiche Tunnelzugangssitzungen haben, die während einer
einzigen Logon-Sitzung
gleichzeitig hergestellt werden.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
ein Blockdiagramm eines Kommunikationsnetzes gemäß einer Ausführungsform
der vorliegenden Erfindung, das die dynamische Herstellung von Tunnels
zur Kommunikation zwischen einem Remote Host und einem Netzdienst
ermöglicht.
-
2 ist
ein Blockdiagramm eines Kommunikationsnetzes gemäß einer Ausführungsform
der vorliegenden Erfindung, das die dynamische Herstellung von zwei
gleichzeitigen Tunnelsitzungen ermöglicht.
-
3 ist
ein Flussdiagramm eines Verfahrens zum Schaffen und Managen von
Tunnels in einem Kommunikationsnetz gemäß einer Ausführungsform
der vorliegenden Erfindung.
-
AUSFÜHRLICHE
BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
Die
vorliegende Erfindung wird nun im Folgenden anhand der beigefügten Zeichnungen
ausführlicher
beschrieben, in denen bevorzugte Ausführungsformen der Erfindung
dargestellt sind. Diese Erfindung kann jedoch in vielen verschiedenen
Formen verkörpert
sein und sollte nicht als auf die hierin dargelegten Ausführungsformen
beschränkt
verstanden werden; diese Ausführungsformen
werden vielmehr im Sinne einer gründlichen und vollständigen Offenbarung
bereitgestellt und werden dem Fachmann den Umfang der Erfindung
vollständig
vermitteln. Gleiche Bezugszeichen bezeichnen durchwegs gleiche Elemente.
-
Anhand
von 1 ist nun das Kommunikationsnetz 10,
das eine Gateway-Einrichtung 12 umfasst, in Form eines
Blockdiagramms dargestellt. Das Netzsystem umfasst typischerweise
mehrere Benutzer/Teilnehmer-Hosts 14, die auf das Netz
zugreifen, um Zugang zu anderen Netzen oder anderen Online-Diensten zu bekommen.
Die Hosts können
zum Beispiel mit Ports in Verbindung stehen, die sich in verschiedenen
Zimmern eines Hotels, einer Wohnanlage oder eines Bürogebäudes befinden.
Alternativ können
die Hosts mit Ports in einem Flughafen, einem Stadion oder dergleichen
in Verbindung stehen. Das Kommunikationsnetz umfasst außerdem eine Gateway-Einrichtung,
die eine Schnittstelle zwischen den mehreren Hosts und den verschiedenen
Netzen oder sonstigen Online-Diensten bereitstellt. Am häufigsten
befindet sich die Gateway-Einrichtung in der Nähe der Hosts relativ weit unten
in der Struktur des Gesamtnetzes (d.h. der Gateway wird sich in
dem Hotel, der Wohnanlage, dem Flughafen etc. befinden). Die Gateway-Einrichtung kann
sich jedoch gewünschtenfalls
in der Struktur des Gesamtnetzes auch weiter oben befinden, zum
Beispiel an einem Point of Presence (PoP) des Netzbetriebszentrums (NOC
= Network Operating Center). Wenngleich die Gateway-Einrichtung
physisch auf viele verschiedene Arten verkörpert sein kann, umfasst die
Gateway-Einrichtung typischerweise ein Steuergerät und eine Speichervorrichtung,
in der Software gespeichert ist, die die Betriebsmerkmale der Gateway-Einrichtung
definiert. Alternativ kann die Gateway-Einrichtung in eine andere
Netzeinrichtung eingebettet sein, zum Beispiel in das Zugangssteuergerät oder in einen
Router, oder die Software, die die Funktionsweise der Gateway-Einrichtung
definiert, kann auf einer PCMCIA-Karte gespeichert sein, die in
den Host eingeführt
wird, um den Host automatisch zu rekonfigurieren, um mit einem anderen
Kommunikationsnetz zu kommunizieren.
-
Das
Netzsystem 10 umfasst außerdem typischerweise ein zwischen
den Hosts 14 und der Gateway-Einrichtung 12 positioniertes
Zugangssteuergerät 16 zum
Multiplexen der von den mehreren Hosts auf einer Verbindungsleitung
zu der Gateway-Einrichtung
empfangenen Signale. Je nach dem Medium, durch das die Hosts mit
dem Zugangssteuergerät
verbunden sind, kann das Zugangssteuergerät auf verschiedene Arten konfiguriert
sein. Zum Beispiel kann das Zugangssteuergerät ein digitales Teilnehmerleitungs-Zugangsmodul
(DSLAM) für über normale
Telefonleitungen übertragene
Signale, eine Kabelmodem-Abschlusseinrichtung
(CMTS) für über Koaxialfaserkabel
bzw. optische Faserkabel übertragene
Signale, ein drahtloser Zugangspunkt (WAP) für über ein drahtloses Netz übertragene
Signale, ein Schalter oder dergleichen sein. Wie außerdem in 1 dargestellt,
umfasst das Netzsystem typischerweise einen oder mehrere Router 18 und/oder
Server (in 1 nicht dargestellt), die mit
mehreren Netzen 20 oder sonstigen Online-Diensten 22 in
Verbindung stehen. Während
das Kommunikationsnetz mit einem einzigen Router dargestellt ist,
kann das Kommunikationsnetz auch mehrere Router, Schalter, Brücken oder
dergleichen haben, die hierarchisch angeordnet sind, um Verkehr
zu und von den verschiedenen Netzen oder sonstigen Online-Diensten
entsprechend zu leiten. In dieser Hinsicht stellt die Gateway-Einrichtung
typischerweise eine Verbindung zu einem oder mehreren Routern her.
Die Router stellen wiederum Verbindungen zu den Servern anderer Netze
oder anderer Online-Provider, wie zum Beispiel Internet-Provider,
aufgrund der vom Teilnehmer getroffenen Auswahl her.
-
Die
Gateway-Einrichtung 12 ist speziell dafür ausgelegt, Hosts 14 zu
konfigurieren, die sich in einer für den Teilnehmer transparenten
Weise in das Netz 10 einloggen. In dem ty pischen Netz,
das mit einem Dienst eines Dynamic Host Configuration Protocol (DHCP)
arbeitet, wird der DHCP-Server 24 zunächst einem Host, der sich durch
die Verbindung mit der Gateway-Einrichtung in das Netz einloggt,
eine IP-Adresse zuweisen. Während
er als von der Gateway-Einrichtung 12 getrennte Einrichtung
dargestellt ist, kann der DHCP-Server 24 auch in das physisch verkörperte Gehäuse der
Gateway-Einrichtung
integriert sein. Beim Öffnen
des Web-Browsers oder bei einem sonstigen Versuch des Zugangs zu
einem Online-Dienst
wird die Gateway-Einrichtung typischerweise den Teilnehmer anweisen,
Kennung und Passwort entsprechend dem gewünschten Online-Dienst, auf
den der Teilnehmer zugreifen will, einzugeben. Die Gateway-Einrichtung
stellt dann gemäß einer
Authentifikations-, Autorisations- und Zugangsprozedur (AAA-Prozedur)
fest, ob der Teilnehmer berechtigt ist, auf den Dienst zuzugreifen,
welche Zugriffsebene gilt und/oder zu welcher Art von Dienst der
Teilnehmer berechtigt ist.
-
Ein
AAA-Server, der eine Datenbank von Teilnehmerdatensätzen ist,
kann von der Gateway-Einrichtung entfernt sein, oder die AAA-Datenbank
kann in das physisch verkörperte
Gehäuse
der Gateway-Einrichtung integriert sein. Angenommen, der Teilnehmer
wurde authentifiziert und ist autorisiert, dann präsentiert
die Gateway-Einrichtung neuen Teilnehmern typischerweise eine Homepage
oder ein Bedienfeld, das unter anderem die Online-Dienste oder sonstigen
Netze identifiziert, die über
die Gateway-Einrichtung zugänglich
sind. Außerdem kann
die von der Gateway-Einrichtung präsentierte Homepage Informationen
hinsichtlich der aktuellen Parameter oder Einstellungen liefern,
die den dem speziellen Teilnehmer gewährten Zugang regeln. An sich
kann der Gateway-Administrator die Parameter oder sonstigen Einstellungen
ohne weiteres ändern, um
den Dienst auf die spezielle Anwendung zuzuschneiden. Typischerweise
werden Änderungen
in den Parametern oder sonstigen Einstellungen, die möglicherweise
weitere Ressourcen des Netzsystems nutzen werden, kostenpflichtig
sein, so dass der Ga teway-Administrator dem Teilnehmer eine höhere Gebühr für seinen
Dienst (z.B. größere Bandbreite)
in Rechnung stellen wird.
-
Die
Homepage erlaubt es dem Teilnehmer auch, das Netz 20 oder
einen sonstigen Online-Dienst 22, auf den der Teilnehmer
zugreifen möchte,
auszuwählen.
Der Teilnehmer kann zum Beispiel auf das Unternehmensnetz zugreifen,
auf dem der Host üblicherweise
resident ist. Alternativ kann der Teilnehmer auf das Internet oder
sonstige Online-Dienste zugreifen. Sobald der Teilnehmer auf ein
Netz oder einen sonstigen Online-Dienst
zugreifen will, stellt die Gateway-Einrichtung eine entsprechende
Verbindung bzw. einen entsprechenden Tunnel zu dem gewünschten
Netz oder Online-Dienst her, wie im Folgenden näher erläutert wird.
-
Danach
kann der Teilnehmer frei mit dem gewünschten Netz 20 oder
sonstigen Online-Dienst 22 kommunizieren. Um diese Kommunikation
zu unterstützen,
führt die
Gateway-Einrichtung 12 im Allgemeinen eine Pakettranslationsfunktion
durch, die für den
Benutzer/Teilnehmer transparent ist. In dieser Hinsicht ändert die
Gateway-Einrichtung bei abgehendem Verkehr von dem Host 14 zu
dem Netz oder sonstigen Online-Dienst Attribute in dem von dem Benutzer/Teilnehmer
kommenden Paket, wie zum Beispiel die Ursprungsadresse, die Prüfsumme und anwendungsspezifische
Parameter, um die Kriterien des Netzes zu erfüllen, auf das der Benutzer/Teilnehmer
zugegriffen hat. Außerdem
enthält
das abgehende Paket ein Attribut, das alle ankommenden Pakete von
dem Netz, auf das zugegriffen wird, so lenken wird, dass sie durch
die Gateway-Einrichtung geleitet werden. Der von dem Netz oder sonstigen
Online-Dienst ankommende Verkehr dagegen, der durch die Gateway-Einrichtung
geleitet wird, wird in der Gateway-Einrichtung einer Translationsfunktion
unterzogen, so dass die Pakete für
den Host des Benutzers/Teilnehmers korrekt formatiert werden. Auf
diese Weise ist der Pakettranslationsprozess, der in der Gateway- Einrichtung stattfindet,
für den
Host transparent, der Daten direkt zu dem Netz, auf das zugegriffen
wird, zu senden scheint und direkt von diesem zu empfangen scheint.
Durch Implementieren der Gateway-Einrichtung als Schnittstelle zwischen
dem Benutzer/Teilnehmer und dem Netz oder sonstigen Online-Dienst
wird es der Benutzer/Teilnehmer überflüssig machen,
seinen Host 14 nach dem Zugriff auf Folgenetze zu rekonfigurieren.
-
Gemäß einer
Ausführungsform
der vorliegenden Erfindung sind die dynamische Herstellung und das
Management von für
den Teilnehmer transparenten Tunnels in einem Kommunikationssystem 10 in 2 schematisch
dargestellt. Gemäß 2 ermöglicht eine
Gateway-Einrichtung 12 die automatische Konfiguration von
Tunnels, ohne dass eine spezialisierte Clientsoftware auf dem Host 14' notwendig ist.
Die Herstellung der Tunnels in der Netzeinrichtung ist daher für den Teilnehmer
transparent. Eine Vielzahl von Teilnehmern, die mit der Gateway-Einrichtung
kommunizieren und für
den Zugang zu dem Netz oder Online-Dienst, mit dem der Tunnel kommuniziert,
qualifiziert sind, können
den Tunnel gleichzeitig implementieren. Ferner erlaubt es die Gateway-Einrichtung 12 einem
einzelnen Benutzer/Teilnehmer, zwei oder mehr Tunnels gleichzeitig herzustellen,
da die Tunnels nicht von einer speziellen Konfiguration auf dem
Benutzer/Teilnehmer-Host 14' abhängig sind.
-
Ein
Benutzer/Teilnehmer richtet über
eine Web-Browser-Schnittstelle
ein Konto bei der Gateway-Einrichtung 12 ein, wobei der
Benutzer/Teilnehmer verschiedene benutzerspezifische Daten eingibt, einschließlich Daten,
die zur Herstellung von Verbindungen zu den Netzen und/oder Online-Diensten, auf
die der Benutzer/Teilnehmer zugreifen möchte, notwendig sind. Typischerweise
wird für
jedes Netz, auf das der Benutzer/Teilnehmer zugreifen möchte, eine
Aufforderung zu dem Benutzer/Teilnehmer geleitet, die von ihm verlangt,
Autorisierungsinformationen (wie zum Beispiel Benutzernamen, Netzzu gangskennung
und Passwort) einzugeben. Mit Hilfe der vom Benutzer/Teilnehmer
eingegebenen Informationen wird ein Profil erstellt, das in der
Autorisierungsdatei in dem AAA-Modul 30 der Gateway-Einrichtung 12 gespeichert
wird. Diese benutzerspezifischen Profile werden dann wiederum von
der Netzeinrichtung verwendet, um festzustellen, ob ein Tunnel geschaffen
wird, wenn ein Benutzer/Teilnehmer den Zugang verlangt. Dem Benutzer/Teilnehmer
wird die Möglichkeit
gegeben, sein Profil einschließlich der
Informationen für
die Herstellung von Tunnels hinzuzufügen, zu löschen und/oder zu modifizieren. Außerdem kann
der Administrator der Netzeinrichtung eine Tunnelverbindung zu einem
Benutzer/Teilnehmer ermöglichen,
indem er das Benutzer/Teilnehmer-Profil in dem AAA-Modul modifiziert.
Einer Gruppe von Benutzern/Teilnehmern werden typischerweise Tunnelverbindungen
zur Verfügung
gestellt, indem ein Gruppenprofil in einer Datenbanktabelle, die sich
innerhalb oder außerhalb
der Netzeinrichtung befinden kann, modifiziert wird. Der Administrator
der Netzeinrichtung kann das Lightweight Directory Access Protocol
(LDAP) oder eine ähnliche
Kommunikationsverbindung nutzen, um die Modifikationen der Gruppenprofile
zu implementieren.
-
Während das
AAA-Modul 30 als integraler Bestandteil der Gateway-Einrichtung 12 dargestellt ist,
sei angemerkt, dass das AAA-Modul 30 an einem entfernten
Ort angeordnet sein kann, der für
eine Vielzahl von Netzeinrichtungen, die die Herstellung der für den Teilnehmer
transparenten Tunnelung implementieren, zentral und zugänglich ist.
Zum Beispiel kann eine Vielzahl von Netzeinrichtungen von einer
regionalen oder nationalen Hotelkette genutzt werden und so für die Bewohner
der verschiedenen Zimmer in den Hotels einen nahtlosen Netzzugang bereitstellen.
-
Wenn
der Benutzer/Teilnehmer eine neue Netzzugangssitzung beginnt, loggt
sich der Benutzer/Teilnehmer in die Gateway-Einrichtung 12 ein, indem er
sein Konto, seinen Benutzernamen und sein Passwort eingibt. Der
Benutzer/Teilnehmer kann dann den Zugang zu einem oder mehreren
der durch die Gateway-Einrichtung 12 zur
Verfügung
stehenden Netze und/oder Online-Dienste
auswählen.
Wie in 2 dargestellt, hat der Benutzer/Teilnehmer des Hosts 14' zum Beispiel
gleichzeitig den Zugang zu drei getrennten Netzen hergestellt, wobei
der Zugang zu zwei davon über
spezifische Tunnels erfolgt. Ein erster Tunnel 32 ermöglicht den
Zugang zu dem Netz 20'.
Der Tunnel 32 wurde hergestellt, als der Benutzer/Teilnehmer
den Zugang zu dem Netzdienst 20' verlangt hat, typischerweise von
einer Web-Browser-Schnittstelle aus, woraufhin ein Setup-Mitteilungspaket
von dem Benutzer/Teilnehmer-Host 14' zu der Gateway-Einrichtung 12 gesendet
wurde. Die Netzeinrichtung 12 identifiziert das Paket als
von dem Benutzer/Teilnehmer stammend, indem sie eine spezielle Teilnehmerkennung,
typischerweise die MAC-Adresse des Pakets, die IP-Adresse oder die Kennung
des sendenden Ports mit der entsprechenden Autorisierungstabelle
in dem AAA-Modul 30 vergleicht. Indem die Teilnehmerkennung
in dem Paket mit dem Profil des Benutzers/Teilnehmers verglichen wird
(wobei der Benutzer/Teilnehmer eine Liste von Netzen bereitgestellt
hat, auf die über
einen Tunnel zugegriffen werden kann), kann die Gateway-Einrichtung 12 feststellen,
ob ein Tunnel notwendig ist, um dem Benutzer/Teilnehmer den Zugang
zu dem Netzdienst 20' zu
ermöglichen.
Wenn kein Tunnel notwendig ist, dann erhält der Benutzer/Teilnehmer
einen normalen Netzzugang. Wenn jedoch ein Tunnel notwendig ist,
stellt das Tunnelmanagementmodul 44 der Gateway-Einrichtung 12 fest,
ob bereits ein Tunnel zu dem Netzdienst 20' hergestellt wurde, und wenn ja,
stellt es das Paket in den vorhandenen Tunnel. Wenn kein Tunnel
vorhanden ist, dann stellt das Tunnelmanagementmodul 44 einen
Tunnel unter Verwendung der Profilinformationen her, die vom Benutzer/Teilnehmer
während
der Erstellung des Kontos und/oder der anschließenden Modifikation bereitgestellt
wurden. Wenn der Benutzer/Teilnehmer nicht alle notwendigen Informationen
für die
Erstellung des Tunnels bereitgestellt hat, weil er zum Beispiel
Bedenken hat wegen der Sicherheit der Informationen, dann wird dem
Benutzer/Teilnehmer eine Aufforderung zu weiteren Informationen über eine
Website oder über
eine Informations- und Bedienkonsole auf dem Host präsentiert,
die die fehlenden Informationen verlangt.
-
Das
Tunnelmanagementmodul 44 tritt mit dem Netzdienst 20' in Kontakt,
um einen Tunnelzugang zu dem Netzdienst 20' herzustellen, typischerweise durch
eine Firewall 34 oder einen anderen Server für einen
sicheren Zugang. Mit Hilfe der Autorisierungsinformationen (z.B.
Benutzername, Netzzugangskennung und Passwort), die bereitgestellt
wurden, als der Benutzer/Teilnehmer zu Beginn sein Konto eingerichtet
hat, bekommt die Gateway-Einrichtung 12 Zugang zu dem Netzdienst 20', vorausgesetzt
der Netzdienst 20' authentifiziert
und akzeptiert die Verbindung. Der resultierende, durch das Tunnelmanagementmodul 44 hergestellte
Tunnel verläuft
zwischen der Gateway-Einrichtung 12 und dem Netzdienst 20' und kann durch
jedes geeignete, von dem Netzdienst 20' unterstützte Tunnelungsprotokoll, wie
zum Beispiel durch L2TP, PPTP oder PPPoE, implementiert werden.
Aus der Server-Perspektive des Netzdienstes 20' ist die Tatsache,
dass der Tunnel an der Gateway-Einrichtung 12 und nicht
an dem Benutzer/Teilnehmer-Host 14' endet, nicht festzustellen. Die
Gateway-Einrichtung 12 täuscht im Wesentlichen den Netzdienst 20' dahingehend,
dass er glaubt, dass sich der Tunnel ganz bis zu einem Endpunkt
am Benutzer/Teilnehmer-Host 14' erstreckt. Da sich der Endpunkt
jedoch an der Gateway-Einrichtung 12 und nicht am Benutzer/Teilnehmer-Host 14' befindet, kann
während
einer einzigen Sitzung eine Vielzahl von Tunnels gleichzeitig hergestellt
werden, weil die Tunnels nicht von der Konfiguration einer speziellen
Software auf dem Benutzer/Teilnehmer-Host 14' abhängig sind. Außerdem ist das
Tunnelmanagementmodul 44 der Gateway-Einrichtung 12 in
der Lage, einen Tunnel im Namen eines Benutzers/Teilnehmers unter
Verwendung der von dem Benutzer/Teilnehmer bereitgestellten Informationen
zum Einloggen ins Netz dynamisch zu schaffen. Das Sitzungsmanagementmodul 42 managt
die Zugangssitzungen jedes Teilnehmers, der durch die Netzeinrichtung
auf das Kommunikationsnetz zugreift, wobei Informationen über die
Sitzungen nach Bedarf aufgezeichnet werden. Das Sitzungsmanagementmodul
stellt Tabellen von Routen und Diensten bereit, die für einen
oder mehrere Teilnehmer in dem Kommunikationsnetz zur Verfügung stehen.
Die Tabellen geben den Anstoß dafür, die autorisierten
Dienste/Netze eines gegebenen Teilnehmers mit jenen abzugleichen,
die eine Tunnelkommunikation erfordern.
-
Wie
in 2 dargestellt, wird ein zweiter Tunnel 36 im
Namen des Benutzers/Teilnehmers hergestellt, um den Zugang zu dem
Netzdienst 20'' durch die Firewall 38 zu
ermöglichen.
Der Tunnel 36 kann im Wesentlichen genauso hergestellt
werden wie oben anhand des Tunnels 32 beschrieben. Außerdem kann
dem Benutzer/Teilnehmer Zugang zu anderen Netzen und/oder Online-Diensten gewährt werden,
die keine Tunnelverbindung erfordern, wie zum Beispiel der Worldwide-Web-Teil
des Internet 40.
-
Wie
bereits erwähnt,
erfordert der Benutzer/Teilnehmer-Host 14' keine spezielle Clientsoftware
zum Zugriff auf die Netzdienste 20', 20'',
sondern erfordert nur ein normales Kommunikationsprotokoll zur Kommunikation
mit der Gateway-Einrichtung 12, wie
zum Beispiel TCP/IP. Sobald sie hergestellt sind, können die
Tunnels 32, 36 Datenpakete von den einzelnen Netzen
in praktisch jedem Protokoll empfangen. Dies wird dadurch möglich, dass
die Netzeinrichtung die Datenpakete zur Vorbereitung auf die Übertragung
zu einem Teilnehmer-Host
entkapselt, wenn sie einen Tunnel verlassen. Die Tunnels können mit
einem ausdrücklichen
Befehl des Netzdienstes 20', 20'' oder des Benutzer/Teilnehmer-Hosts 14' abgeschlossen
werden. Alternativ können
die Tunnels abschalten, wenn sie nicht innerhalb einer bestimmten
vorgegebenen Zeitdauer benutzt werden.
-
Anhand
von 3 ist ein Flussdiagramm eines Verfahrens zum Tunnelmanagement
gemäß der Umgebung
der vorliegenden Erfindung dargestellt. In Block 50 empfängt die
Netzeinrichtung ein für
einen Tunneldienst bestimmtes Paket oder eine explizite Netzzugangsanforderung
von einem Benutzer/Teilnehmer. Die Netzzugangsanforderung kann von
einer durch den Benutzer/Teilnehmer vorgenommenen manuellen Eingabe
von Zugangsanforderungsdaten (d.h. Benutzername, Passwort, etc.)
kommen, oder die Informationen können
in einem Speicher in dem Benutzer/Teilnehmer-Host gespeichert werden,
wobei die Zugangsanforderung automatisch generiert wird. Sobald
das Paket bzw. die Anforderung von der Netzeinrichtung empfangen
wird, wird der Benutzer/Teilnehmer dann zum Netzzugang autorisiert,
indem eine Teilnehmerkennung im Header der Netzzugangsanforderungspakete
benutzt wird, um das Benutzer/Teilnehmer-Profil in dem AAA-Modul
nachzuschlagen, wie in Block 52 angegeben. In Block 54 wird
in dem Tunnelmanagementmodul der Netzeinrichtung eine Ermittlung
durchgeführt,
um festzustellen, ob die von dem Benutzer/Teilnehmer gesendete Ziel-IP-Adresse
des Pakets zu einem Netzdienst gehört, der einen Tunnel für den Zugang
erfordert. Wenn die Ziel-IP-Adresse keinen Tunnel für den Zugang
erfordert, dann erhält
der Benutzer/Teilnehmer einen normalen Netzzugang, wie in Block 56 angegeben.
-
Wenn
das Tunnelmanagementmodul feststellt, dass die Ziel-IP-Adresse zu einem
Netzdienst gehört,
der für
diesen speziellen Teilnehmer eine Tunnelung erfordert, dann wird
in Block 58 festgestellt, ob bereits ein Tunnel hergestellt
wurde. Wenn ein Tunnel hergestellt wurde, dann wird das Paket in Block 60 mit
Hilfe des für
diesen Netzdienst zutreffenden Tunnelprotokolls gekapselt, und es
werden andere Translations- oder Weiterleitungsinstruktionen vorgenommen,
die das Datenpaket betreffen können.
Sobald die Kapselung/Translation des Pakets abgeschlossen ist, wird
es in den Tunnel gestellt, um zu dem Netzdienst befördert zu
werden.
-
Wenn
das Tunnelmanagementmodul in Block 58 feststellt, dass
noch kein Tunnel für
das verlangte Netz hergestellt wurde, dann wird in Block 62 festgestellt,
ob zusätzliche
Teilnehmerdaten, die in dem Teilnehmerprofil des AAA-Moduls nicht
bereitgestellt wurden, notwendig sind, um sich in den Netzdienst
einzuloggen, um einen Tunnel zwischen dem Netzdienst und der Gateway-Einrichtung
herzustellen. Wenn zusätzliche
Teilnehmerdaten notwendig sind, dann wird in Block 64 ein
Teilnehmerdatenanforderungspaket von der Gateway-Einrichtung zu dem
Benutzer/Teilnehmer gesendet. Die Datenanforderung kann die Form
eines Informations- und Bedienfelds annehmen, das auf dem Host des
Benutzers/Teilnehmers angezeigt wird, oder der Benutzer/Teilnehmer
kann zu einer Website geleitet werden, oder es kann ein ähnliches
Datenanforderungsverfahren verwendet werden.
-
Wenn
keine zusätzlichen
Teilnehmerdaten notwendig sind bzw. sobald die Teilnehmerdaten empfangen
wurden, wird ein Tunnel geschaffen, wobei das Zielnetz ggf. die
Informationen des Teilnehmers zum Einloggen ins Netz verwendet.
Der Tunnel wird mit der Gateway-Einrichtung als einem Endpunkt und
dem Zielnetz als dem anderen Endpunkt geschaffen, wie in Block 66 angegeben.
Sobald der Tunnel geschaffen ist, werden von dem Benutzer/Teilnehmer
empfangene Pakete, die für
das Zielnetz bestimmt sind, mit einem Tunnelprotokoll gekapselt
und in den Tunnel gestellt. Durch das Vorhandensein des Tunnels
wird sichergestellt, dass von dem Netzdienst kommende Pakete vor
Beförderung zu
dem Benutzer/Teilnehmer durch die Gateway-Einrichtung geleitet werden. Die Gateway-Einrichtung wird
von dem Netzdienst durch den Tunnel kommende Pakete entkapseln,
bevor diese zu dem Benutzer/Teilnehmer übertragen werden.