DE60028229T2 - Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk - Google Patents

Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk Download PDF

Info

Publication number
DE60028229T2
DE60028229T2 DE60028229T DE60028229T DE60028229T2 DE 60028229 T2 DE60028229 T2 DE 60028229T2 DE 60028229 T DE60028229 T DE 60028229T DE 60028229 T DE60028229 T DE 60028229T DE 60028229 T2 DE60028229 T2 DE 60028229T2
Authority
DE
Germany
Prior art keywords
subscriber
network
tunnel
service
gateway device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60028229T
Other languages
English (en)
Other versions
DE60028229D1 (de
Inventor
E. Joel Los Angeles SHORT
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomadix Inc
Original Assignee
Nomadix Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomadix Inc filed Critical Nomadix Inc
Publication of DE60028229D1 publication Critical patent/DE60028229D1/de
Application granted granted Critical
Publication of DE60028229T2 publication Critical patent/DE60028229T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2872Termination of subscriber connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2876Handling of subscriber policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich allgemein auf das Managen eines Kommunikationsnetzes und insbesondere auf Verfahren und Vorrichtungen zur dynamischen Herstellung von Tunnelzugangssitzungen in einer Netzeinrichtung in einem Kommunikationsnetz.
  • HINTERGRUND DER ERFINDUNG
  • Während Desktop-Computer im Allgemeinen für längere Zeit Teil desselben Netzes bleiben, sind Laptops oder andere tragbare Computer speziell dafür konstruiert, dass sie transportiert werden können. Tragbare Computer an sich werden je nach dem Ort, an dem sich der Computer befindet, zu unterschiedlichen Zeiten an unterschiedliche Netze angeschlossen. In einem ganz gewöhnlichen Beispiel, bei dem der tragbare Computer als Desktop-Computer eines Angestellten dient, ist der tragbare Computer so konfiguriert, dass er mit dem Netz seines Arbeitgebers, d.h. mit dem Unternehmensnetz, kommuniziert. Bei einer Reise des Angestellten kann der tragbare Computer jedoch an unterschiedliche Netze angeschlossen werden, die auf unterschiedliche Weise kommunizieren. In dieser Hinsicht kann der Angestellte den tragbaren Computer an das von einem Flughafen oder einem Hotel betriebene Netz anschließen, um auf das Unternehmensnetz, das Internet oder einen anderen Online-Dienst zuzugreifen. Da diese anderen Netze jedoch etwas anders konfiguriert sind, muss der tragbare Computer auch neu konfiguriert werden, um mit diesen anderen Netzen richtig zu kommunizieren. Typischerweise wird diese Konfiguration jedes Mal dann durch den Benutzer/Teilnehmer vorgenommen, wenn der tragbare Computer an ein anderes Netz angeschlossen wird. Wie ersichtlich wird, ist diese wiederholte Rekonfiguration des tragbaren Computers nicht nur recht zeitaufwendig, sondern auch fehleranfällig. Ferner muss der Benutzer/Teilnehmer oft spezielle Software auf dem tragbaren Computer laufen haben, um mit dem Unternehmensnetz zu kommunizieren, wenngleich diese Kommunikation mit dem Netz in Konflikt stehen kann, über das der tragbare Computer Daten übertragen muss, um das Unternehmensnetz zu erreichen.
  • Eine Gateway-Einrichtung dient als Schnittstelle, die den Benutzer/Teilnehmer mit einer Anzahl von Netzen oder anderen Online-Diensten verbindet. Die Gateway-Einrichtung kann zum Beispiel als Gateway zum Internet, zum Unternehmensnetz oder zu anderen Netzen und/oder Online-Diensten dienen. Neben ihrer Funktion als Gateway passt sich die Gateway-Einrichtung automatisch an die Protokolle und sonstigen Parameter des Hosts an, damit sie mit dem neuen Netz in einer Weise kommunizieren kann, die sowohl für den Benutzer/Teilnehmer als auch für das neue Netz transparent ist. Sobald sich die Gateway-Einrichtung entsprechend an den Host des Benutzers angepasst hat, kann der Host entsprechend über das neue Netz, wie zum Beispiel das Netz in einem Hotel, zu Hause, auf einem Flughafen oder an jedem anderen Ort, kommunizieren, um auf andere Netze, wie zum Beispiel das Unternehmensnetz, oder auf andere Online-Dienste, wie zum Beispiel das Internet, zuzugreifen.
  • Der Benutzer/Teilnehmer, und insbesondere der Fern- oder Laptop-Benutzer, hat den Vorteil, dass er auf unzählige Netze zugreifen kann, ohne die zeitraubende und allzu oft beängstigende Aufgabe der Rekonfiguration seines Hosts gemäß den netzspezifischen Konfigurationen bewältigen zu müssen. Auf diese Weise ist die Gateway-Einrichtung in der Lage, dem Benutzer/Teilnehmer einen effizienteren Netzzugang zur Verfügung zu stellen. Eine Gateway-Einrichtung ist außerdem dazu dienlich, dem Benutzer/Teilnehmer einen Breitbandnetzzugang zur Verfügung zu stellen, der auf die Bedürfnisse des Benutzers/Teilnehmers zugeschnitten werden kann. In vielen Fällen geht es dem Fernbenutzer/-teilnehmer darum, dass er zu seinem Heimat- bzw. Unternehmensnetz, die meistens durch eine Firewall geschützt sind, einen Netzzugang bekommen kann. Die Firewall verhindert unbefugten Zugang zu dem Unternehmensnetz durch eine allgemeine Internetverbindung, wie zum Beispiel durch einen Internet Provider. Während von außerhalb der Firewall ein gewisser Zugang möglich ist, zum Beispiel durch eine eingehende eMail, ist ein Zugang zu Unternehmensressourcen wie zum Beispiel Netzdatenbanken und Anwendungsprogrammen für außerhalb der Firewall befindliche Hosts im Allgemeinen nicht möglich, es sei denn, der Benutzer/Teilnehmer hat ein aktives Konto mit einem gültigen Benutzernamen und einer Passwortkombination.
  • Wie der Durchschnittsfachmann weiß, können darüber hinaus verschiedene Netzprotokolle innerhalb der Infrastruktur des Internet und innerhalb von Unternehmensnetzen verwendet werden, die für den Fernbenutzer potentielle Zugangsprobleme aufwerfen. Zum Beispiel wird typischerweise auf der Ebene des Netzprotokolls ein Internet-Protokoll (IP) verwendet, um Daten über das Internet zu senden. Ein Unternehmensnetz kann dagegen jedes beliebige aus einer Vielzahl von Netzprotokollen verwenden, einschließlich IP, IPX, Appletalk, etc. Wenn das IP-Protokoll und das Unternehmensnetzprotokoll nicht kompatibel sind, dann kann es sein, dass der Fernbenutzer nicht auf Ressourcen im Unternehmensnetz zugreifen kann. Wenn außerdem ein Fernbenutzer versucht, über das Internet, typischerweise über einen Internet Provider, auf das Unternehmensnetz zuzugreifen, wird dem Fernbenutzer dynamisch eine IP-Adresse zugewiesen. Diese IP-Adresse identifiziert den Host-Benutzer/Teilnehmer und erlaubt es, IP-Pakete korrekt von und zu dem Host zu übertragen. Dem Fernbenutzer kann jedoch der Zugang durch die Firewall des Unternehmensnetzes verweigert werden, weil die durch den Internet Provider zugewiesene IP-Adresse keine der autorisierten Adressen im Unternehmensnetz ist.
  • In Reaktion auf diese und andere Probleme in Verbindung mit der Gewährung eines Fernzugriffs auf ein Unternehmensnetz über das Internet wurden mehrere Verfahren entwickelt, um virtuelle Privatnetze (VPN) zu schaffen, bei denen ein Fernknoten eines einzelnen Netzes mit Hilfe eines öffentlich zugänglichen Kommunikationsmediums verbunden wird. Zum Beispiel gibt es eine Anzahl von Systemen, mit denen Benutzer/Teilnehmer unter Verwendung des Internet als Medium zum Transport von Daten zwischen dem Unternehmensnetz und einem Fernbenutzer virtuelle Netze schaffen können. Diese Systeme enthalten oftmals Verschlüsselungs- und sonstige Sicherheitsmechanismen, um sicherzustellen, dass nur autorisierte Benutzer auf das virtuelle Netz zugreifen können und dass die Daten nicht abgefangen werden können.
  • Das am häufigsten verwendete Verfahren zum Aufbau eines VPN besteht in der Implementierung einer Tunnelung. Unter Tunnelung versteht man das Kapseln oder Umschließen eines Pakets oder einer Nachricht von einem Netzprotokoll mit dem Protokoll eines anderen Netzes. Das gekapselte Paket wird durch das Protokoll des Wrappers über das Netz gesendet. Mit diesem Verfahren der Paketübertragung werden Protokollbeschränkungen umgangen, und Fernbenutzer können nahtlosen Zugang zu ihrem Unternehmensnetz haben, ohne sichtliche Auswirkungen des Zugriffs auf ihr Unternehmensnetz über ein anderes Netz mit einem anderen Protokoll. Mehrere relativ gut bekannte Tunnelungsprotokolle sind zum Beispiel PPTP von Microsoft, das Protokoll Layer Two Forwarding (L2F) von Cisco und das L2TP von IETF, das ein Hybrid von L2F und PPTP ist. Ein weiteres Verfahren, das mit Tunnelung arbeitet, ist die in EP 0,917,318 beschriebene Kapselung nach dem Point-to-Point-Protokoll. Noch ein weiteres Tunnelungsverfahren wird in dem Artikel "Dial-in Virtual Private Networks Using Layer 3 Tunneling" von Gary Scott Malkin, IEEE, November 1997, beschrieben. Diese und andere Tunnelungsverfahren bringen zwar einen gewissen Nutzen, doch kein einziges Tunnelungsprotokoll er möglicht eine automatisierte Konfiguration, ohne dass dazu eine spezielle Clientsoftware (d.h. auf dem Remote-Computer) notwendig ist.
  • In der Industrie besteht daher ein unbefriedigter Bedarf an einem System und Verfahren, das Teilnehmertunnels automatisch dynamisch schafft, ohne dass eine zuvor hergestellte Beziehung zwischen einem Internet-Zugangspunkt und einem fernen Unternehmensnetz notwendig ist.
  • INHALT DER ERFINDUNG
  • Die vorliegende Erfindung besteht in einem Verfahren und einer Vorrichtung zur Implementierung dynamischer Tunnelzugangssitzungen in einer Netzeinrichtung in einem Kommunikationsnetz. Verschiedene Ausgestaltungen sind in den unabhängigen Ansprüchen definiert. Einige bevorzugte Merkmale sind in den abhängigen Ansprüchen definiert. Die Tunnelzugangssitzungen werden zwischen einer Netzeinrichtung, typischerweise einer Gateway-Einrichtung, und einem Netzdienst, wie zum Beispiel dem Internet oder dem Intranet eines Unternehmens, geschaffen und ermöglichen transparente Tunnelzugangssitzungen für die Benutzer/Teilnehmer, die über die Netzeinrichtung auf das Kommunikationsnetz zugreifen. Bei der vorliegenden Erfindung muss keine spezielle Clientsoftware auf den Remote Host des Teilnehmers geladen werden, und der Remote Host muss nicht manuell konfiguriert werden. Stattdessen stellt die Gateway-Einrichtung einen Tunnel her, wodurch die Gateway-Einrichtung als ein Endpunkt fungiert und das Unternehmensnetz als der andere Endpunkt fungiert. Anstatt den Remote Host jedes Mal zu konfigurieren bzw. zu rekonfigurieren, wenn eine Tunnelzugangssitzung geschaffen wird, stellt der Remote Host der Gateway-Einrichtung die entsprechenden Informationen zum Teilnehmerprofil zur Verfügung, die notwendig sind, um eine Tunnelzugangssitzung für einen bestimmten Netzdienst herzustellen. Danach greift die Gateway-Einrichtung jedes Mal dann auf die Informationen zum Teilnehmerprofil zu, wenn diesem Teilnehmer eine Tunnelzugangssitzung zum Zugriff auf den Netzdienst zugesichert wird. Im Wesentlichen tritt die Gateway-Einrichtung an die Stelle des Remote Host als Endpunkt des Tunnels, womit der Netzdienst getäuscht wird. Die Tunnelzugangssitzung, die aus der Gateway-Einrichtung für den Netzdienst hergestellt wird, ist dergestalt, dass der Netzdienst die Gateway-Einrichtung betrachtet, als wäre sie der Remote Host. Indem die Gateway-Einrichtung als Endpunkt des Tunnels fungieren kann, ist der Remote Host nicht auf einen einzigen Tunnel pro Sitzung beschränkt, sondern kann zahlreiche Tunnelzugangssitzungen haben, die während einer einzigen Logon-Sitzung gleichzeitig hergestellt werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockdiagramm eines Kommunikationsnetzes gemäß einer Ausführungsform der vorliegenden Erfindung, das die dynamische Herstellung von Tunnels zur Kommunikation zwischen einem Remote Host und einem Netzdienst ermöglicht.
  • 2 ist ein Blockdiagramm eines Kommunikationsnetzes gemäß einer Ausführungsform der vorliegenden Erfindung, das die dynamische Herstellung von zwei gleichzeitigen Tunnelsitzungen ermöglicht.
  • 3 ist ein Flussdiagramm eines Verfahrens zum Schaffen und Managen von Tunnels in einem Kommunikationsnetz gemäß einer Ausführungsform der vorliegenden Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Die vorliegende Erfindung wird nun im Folgenden anhand der beigefügten Zeichnungen ausführlicher beschrieben, in denen bevorzugte Ausführungsformen der Erfindung dargestellt sind. Diese Erfindung kann jedoch in vielen verschiedenen Formen verkörpert sein und sollte nicht als auf die hierin dargelegten Ausführungsformen beschränkt verstanden werden; diese Ausführungsformen werden vielmehr im Sinne einer gründlichen und vollständigen Offenbarung bereitgestellt und werden dem Fachmann den Umfang der Erfindung vollständig vermitteln. Gleiche Bezugszeichen bezeichnen durchwegs gleiche Elemente.
  • Anhand von 1 ist nun das Kommunikationsnetz 10, das eine Gateway-Einrichtung 12 umfasst, in Form eines Blockdiagramms dargestellt. Das Netzsystem umfasst typischerweise mehrere Benutzer/Teilnehmer-Hosts 14, die auf das Netz zugreifen, um Zugang zu anderen Netzen oder anderen Online-Diensten zu bekommen. Die Hosts können zum Beispiel mit Ports in Verbindung stehen, die sich in verschiedenen Zimmern eines Hotels, einer Wohnanlage oder eines Bürogebäudes befinden. Alternativ können die Hosts mit Ports in einem Flughafen, einem Stadion oder dergleichen in Verbindung stehen. Das Kommunikationsnetz umfasst außerdem eine Gateway-Einrichtung, die eine Schnittstelle zwischen den mehreren Hosts und den verschiedenen Netzen oder sonstigen Online-Diensten bereitstellt. Am häufigsten befindet sich die Gateway-Einrichtung in der Nähe der Hosts relativ weit unten in der Struktur des Gesamtnetzes (d.h. der Gateway wird sich in dem Hotel, der Wohnanlage, dem Flughafen etc. befinden). Die Gateway-Einrichtung kann sich jedoch gewünschtenfalls in der Struktur des Gesamtnetzes auch weiter oben befinden, zum Beispiel an einem Point of Presence (PoP) des Netzbetriebszentrums (NOC = Network Operating Center). Wenngleich die Gateway-Einrichtung physisch auf viele verschiedene Arten verkörpert sein kann, umfasst die Gateway-Einrichtung typischerweise ein Steuergerät und eine Speichervorrichtung, in der Software gespeichert ist, die die Betriebsmerkmale der Gateway-Einrichtung definiert. Alternativ kann die Gateway-Einrichtung in eine andere Netzeinrichtung eingebettet sein, zum Beispiel in das Zugangssteuergerät oder in einen Router, oder die Software, die die Funktionsweise der Gateway-Einrichtung definiert, kann auf einer PCMCIA-Karte gespeichert sein, die in den Host eingeführt wird, um den Host automatisch zu rekonfigurieren, um mit einem anderen Kommunikationsnetz zu kommunizieren.
  • Das Netzsystem 10 umfasst außerdem typischerweise ein zwischen den Hosts 14 und der Gateway-Einrichtung 12 positioniertes Zugangssteuergerät 16 zum Multiplexen der von den mehreren Hosts auf einer Verbindungsleitung zu der Gateway-Einrichtung empfangenen Signale. Je nach dem Medium, durch das die Hosts mit dem Zugangssteuergerät verbunden sind, kann das Zugangssteuergerät auf verschiedene Arten konfiguriert sein. Zum Beispiel kann das Zugangssteuergerät ein digitales Teilnehmerleitungs-Zugangsmodul (DSLAM) für über normale Telefonleitungen übertragene Signale, eine Kabelmodem-Abschlusseinrichtung (CMTS) für über Koaxialfaserkabel bzw. optische Faserkabel übertragene Signale, ein drahtloser Zugangspunkt (WAP) für über ein drahtloses Netz übertragene Signale, ein Schalter oder dergleichen sein. Wie außerdem in 1 dargestellt, umfasst das Netzsystem typischerweise einen oder mehrere Router 18 und/oder Server (in 1 nicht dargestellt), die mit mehreren Netzen 20 oder sonstigen Online-Diensten 22 in Verbindung stehen. Während das Kommunikationsnetz mit einem einzigen Router dargestellt ist, kann das Kommunikationsnetz auch mehrere Router, Schalter, Brücken oder dergleichen haben, die hierarchisch angeordnet sind, um Verkehr zu und von den verschiedenen Netzen oder sonstigen Online-Diensten entsprechend zu leiten. In dieser Hinsicht stellt die Gateway-Einrichtung typischerweise eine Verbindung zu einem oder mehreren Routern her. Die Router stellen wiederum Verbindungen zu den Servern anderer Netze oder anderer Online-Provider, wie zum Beispiel Internet-Provider, aufgrund der vom Teilnehmer getroffenen Auswahl her.
  • Die Gateway-Einrichtung 12 ist speziell dafür ausgelegt, Hosts 14 zu konfigurieren, die sich in einer für den Teilnehmer transparenten Weise in das Netz 10 einloggen. In dem ty pischen Netz, das mit einem Dienst eines Dynamic Host Configuration Protocol (DHCP) arbeitet, wird der DHCP-Server 24 zunächst einem Host, der sich durch die Verbindung mit der Gateway-Einrichtung in das Netz einloggt, eine IP-Adresse zuweisen. Während er als von der Gateway-Einrichtung 12 getrennte Einrichtung dargestellt ist, kann der DHCP-Server 24 auch in das physisch verkörperte Gehäuse der Gateway-Einrichtung integriert sein. Beim Öffnen des Web-Browsers oder bei einem sonstigen Versuch des Zugangs zu einem Online-Dienst wird die Gateway-Einrichtung typischerweise den Teilnehmer anweisen, Kennung und Passwort entsprechend dem gewünschten Online-Dienst, auf den der Teilnehmer zugreifen will, einzugeben. Die Gateway-Einrichtung stellt dann gemäß einer Authentifikations-, Autorisations- und Zugangsprozedur (AAA-Prozedur) fest, ob der Teilnehmer berechtigt ist, auf den Dienst zuzugreifen, welche Zugriffsebene gilt und/oder zu welcher Art von Dienst der Teilnehmer berechtigt ist.
  • Ein AAA-Server, der eine Datenbank von Teilnehmerdatensätzen ist, kann von der Gateway-Einrichtung entfernt sein, oder die AAA-Datenbank kann in das physisch verkörperte Gehäuse der Gateway-Einrichtung integriert sein. Angenommen, der Teilnehmer wurde authentifiziert und ist autorisiert, dann präsentiert die Gateway-Einrichtung neuen Teilnehmern typischerweise eine Homepage oder ein Bedienfeld, das unter anderem die Online-Dienste oder sonstigen Netze identifiziert, die über die Gateway-Einrichtung zugänglich sind. Außerdem kann die von der Gateway-Einrichtung präsentierte Homepage Informationen hinsichtlich der aktuellen Parameter oder Einstellungen liefern, die den dem speziellen Teilnehmer gewährten Zugang regeln. An sich kann der Gateway-Administrator die Parameter oder sonstigen Einstellungen ohne weiteres ändern, um den Dienst auf die spezielle Anwendung zuzuschneiden. Typischerweise werden Änderungen in den Parametern oder sonstigen Einstellungen, die möglicherweise weitere Ressourcen des Netzsystems nutzen werden, kostenpflichtig sein, so dass der Ga teway-Administrator dem Teilnehmer eine höhere Gebühr für seinen Dienst (z.B. größere Bandbreite) in Rechnung stellen wird.
  • Die Homepage erlaubt es dem Teilnehmer auch, das Netz 20 oder einen sonstigen Online-Dienst 22, auf den der Teilnehmer zugreifen möchte, auszuwählen. Der Teilnehmer kann zum Beispiel auf das Unternehmensnetz zugreifen, auf dem der Host üblicherweise resident ist. Alternativ kann der Teilnehmer auf das Internet oder sonstige Online-Dienste zugreifen. Sobald der Teilnehmer auf ein Netz oder einen sonstigen Online-Dienst zugreifen will, stellt die Gateway-Einrichtung eine entsprechende Verbindung bzw. einen entsprechenden Tunnel zu dem gewünschten Netz oder Online-Dienst her, wie im Folgenden näher erläutert wird.
  • Danach kann der Teilnehmer frei mit dem gewünschten Netz 20 oder sonstigen Online-Dienst 22 kommunizieren. Um diese Kommunikation zu unterstützen, führt die Gateway-Einrichtung 12 im Allgemeinen eine Pakettranslationsfunktion durch, die für den Benutzer/Teilnehmer transparent ist. In dieser Hinsicht ändert die Gateway-Einrichtung bei abgehendem Verkehr von dem Host 14 zu dem Netz oder sonstigen Online-Dienst Attribute in dem von dem Benutzer/Teilnehmer kommenden Paket, wie zum Beispiel die Ursprungsadresse, die Prüfsumme und anwendungsspezifische Parameter, um die Kriterien des Netzes zu erfüllen, auf das der Benutzer/Teilnehmer zugegriffen hat. Außerdem enthält das abgehende Paket ein Attribut, das alle ankommenden Pakete von dem Netz, auf das zugegriffen wird, so lenken wird, dass sie durch die Gateway-Einrichtung geleitet werden. Der von dem Netz oder sonstigen Online-Dienst ankommende Verkehr dagegen, der durch die Gateway-Einrichtung geleitet wird, wird in der Gateway-Einrichtung einer Translationsfunktion unterzogen, so dass die Pakete für den Host des Benutzers/Teilnehmers korrekt formatiert werden. Auf diese Weise ist der Pakettranslationsprozess, der in der Gateway- Einrichtung stattfindet, für den Host transparent, der Daten direkt zu dem Netz, auf das zugegriffen wird, zu senden scheint und direkt von diesem zu empfangen scheint. Durch Implementieren der Gateway-Einrichtung als Schnittstelle zwischen dem Benutzer/Teilnehmer und dem Netz oder sonstigen Online-Dienst wird es der Benutzer/Teilnehmer überflüssig machen, seinen Host 14 nach dem Zugriff auf Folgenetze zu rekonfigurieren.
  • Gemäß einer Ausführungsform der vorliegenden Erfindung sind die dynamische Herstellung und das Management von für den Teilnehmer transparenten Tunnels in einem Kommunikationssystem 10 in 2 schematisch dargestellt. Gemäß 2 ermöglicht eine Gateway-Einrichtung 12 die automatische Konfiguration von Tunnels, ohne dass eine spezialisierte Clientsoftware auf dem Host 14' notwendig ist. Die Herstellung der Tunnels in der Netzeinrichtung ist daher für den Teilnehmer transparent. Eine Vielzahl von Teilnehmern, die mit der Gateway-Einrichtung kommunizieren und für den Zugang zu dem Netz oder Online-Dienst, mit dem der Tunnel kommuniziert, qualifiziert sind, können den Tunnel gleichzeitig implementieren. Ferner erlaubt es die Gateway-Einrichtung 12 einem einzelnen Benutzer/Teilnehmer, zwei oder mehr Tunnels gleichzeitig herzustellen, da die Tunnels nicht von einer speziellen Konfiguration auf dem Benutzer/Teilnehmer-Host 14' abhängig sind.
  • Ein Benutzer/Teilnehmer richtet über eine Web-Browser-Schnittstelle ein Konto bei der Gateway-Einrichtung 12 ein, wobei der Benutzer/Teilnehmer verschiedene benutzerspezifische Daten eingibt, einschließlich Daten, die zur Herstellung von Verbindungen zu den Netzen und/oder Online-Diensten, auf die der Benutzer/Teilnehmer zugreifen möchte, notwendig sind. Typischerweise wird für jedes Netz, auf das der Benutzer/Teilnehmer zugreifen möchte, eine Aufforderung zu dem Benutzer/Teilnehmer geleitet, die von ihm verlangt, Autorisierungsinformationen (wie zum Beispiel Benutzernamen, Netzzu gangskennung und Passwort) einzugeben. Mit Hilfe der vom Benutzer/Teilnehmer eingegebenen Informationen wird ein Profil erstellt, das in der Autorisierungsdatei in dem AAA-Modul 30 der Gateway-Einrichtung 12 gespeichert wird. Diese benutzerspezifischen Profile werden dann wiederum von der Netzeinrichtung verwendet, um festzustellen, ob ein Tunnel geschaffen wird, wenn ein Benutzer/Teilnehmer den Zugang verlangt. Dem Benutzer/Teilnehmer wird die Möglichkeit gegeben, sein Profil einschließlich der Informationen für die Herstellung von Tunnels hinzuzufügen, zu löschen und/oder zu modifizieren. Außerdem kann der Administrator der Netzeinrichtung eine Tunnelverbindung zu einem Benutzer/Teilnehmer ermöglichen, indem er das Benutzer/Teilnehmer-Profil in dem AAA-Modul modifiziert. Einer Gruppe von Benutzern/Teilnehmern werden typischerweise Tunnelverbindungen zur Verfügung gestellt, indem ein Gruppenprofil in einer Datenbanktabelle, die sich innerhalb oder außerhalb der Netzeinrichtung befinden kann, modifiziert wird. Der Administrator der Netzeinrichtung kann das Lightweight Directory Access Protocol (LDAP) oder eine ähnliche Kommunikationsverbindung nutzen, um die Modifikationen der Gruppenprofile zu implementieren.
  • Während das AAA-Modul 30 als integraler Bestandteil der Gateway-Einrichtung 12 dargestellt ist, sei angemerkt, dass das AAA-Modul 30 an einem entfernten Ort angeordnet sein kann, der für eine Vielzahl von Netzeinrichtungen, die die Herstellung der für den Teilnehmer transparenten Tunnelung implementieren, zentral und zugänglich ist. Zum Beispiel kann eine Vielzahl von Netzeinrichtungen von einer regionalen oder nationalen Hotelkette genutzt werden und so für die Bewohner der verschiedenen Zimmer in den Hotels einen nahtlosen Netzzugang bereitstellen.
  • Wenn der Benutzer/Teilnehmer eine neue Netzzugangssitzung beginnt, loggt sich der Benutzer/Teilnehmer in die Gateway-Einrichtung 12 ein, indem er sein Konto, seinen Benutzernamen und sein Passwort eingibt. Der Benutzer/Teilnehmer kann dann den Zugang zu einem oder mehreren der durch die Gateway-Einrichtung 12 zur Verfügung stehenden Netze und/oder Online-Dienste auswählen. Wie in 2 dargestellt, hat der Benutzer/Teilnehmer des Hosts 14' zum Beispiel gleichzeitig den Zugang zu drei getrennten Netzen hergestellt, wobei der Zugang zu zwei davon über spezifische Tunnels erfolgt. Ein erster Tunnel 32 ermöglicht den Zugang zu dem Netz 20'. Der Tunnel 32 wurde hergestellt, als der Benutzer/Teilnehmer den Zugang zu dem Netzdienst 20' verlangt hat, typischerweise von einer Web-Browser-Schnittstelle aus, woraufhin ein Setup-Mitteilungspaket von dem Benutzer/Teilnehmer-Host 14' zu der Gateway-Einrichtung 12 gesendet wurde. Die Netzeinrichtung 12 identifiziert das Paket als von dem Benutzer/Teilnehmer stammend, indem sie eine spezielle Teilnehmerkennung, typischerweise die MAC-Adresse des Pakets, die IP-Adresse oder die Kennung des sendenden Ports mit der entsprechenden Autorisierungstabelle in dem AAA-Modul 30 vergleicht. Indem die Teilnehmerkennung in dem Paket mit dem Profil des Benutzers/Teilnehmers verglichen wird (wobei der Benutzer/Teilnehmer eine Liste von Netzen bereitgestellt hat, auf die über einen Tunnel zugegriffen werden kann), kann die Gateway-Einrichtung 12 feststellen, ob ein Tunnel notwendig ist, um dem Benutzer/Teilnehmer den Zugang zu dem Netzdienst 20' zu ermöglichen. Wenn kein Tunnel notwendig ist, dann erhält der Benutzer/Teilnehmer einen normalen Netzzugang. Wenn jedoch ein Tunnel notwendig ist, stellt das Tunnelmanagementmodul 44 der Gateway-Einrichtung 12 fest, ob bereits ein Tunnel zu dem Netzdienst 20' hergestellt wurde, und wenn ja, stellt es das Paket in den vorhandenen Tunnel. Wenn kein Tunnel vorhanden ist, dann stellt das Tunnelmanagementmodul 44 einen Tunnel unter Verwendung der Profilinformationen her, die vom Benutzer/Teilnehmer während der Erstellung des Kontos und/oder der anschließenden Modifikation bereitgestellt wurden. Wenn der Benutzer/Teilnehmer nicht alle notwendigen Informationen für die Erstellung des Tunnels bereitgestellt hat, weil er zum Beispiel Bedenken hat wegen der Sicherheit der Informationen, dann wird dem Benutzer/Teilnehmer eine Aufforderung zu weiteren Informationen über eine Website oder über eine Informations- und Bedienkonsole auf dem Host präsentiert, die die fehlenden Informationen verlangt.
  • Das Tunnelmanagementmodul 44 tritt mit dem Netzdienst 20' in Kontakt, um einen Tunnelzugang zu dem Netzdienst 20' herzustellen, typischerweise durch eine Firewall 34 oder einen anderen Server für einen sicheren Zugang. Mit Hilfe der Autorisierungsinformationen (z.B. Benutzername, Netzzugangskennung und Passwort), die bereitgestellt wurden, als der Benutzer/Teilnehmer zu Beginn sein Konto eingerichtet hat, bekommt die Gateway-Einrichtung 12 Zugang zu dem Netzdienst 20', vorausgesetzt der Netzdienst 20' authentifiziert und akzeptiert die Verbindung. Der resultierende, durch das Tunnelmanagementmodul 44 hergestellte Tunnel verläuft zwischen der Gateway-Einrichtung 12 und dem Netzdienst 20' und kann durch jedes geeignete, von dem Netzdienst 20' unterstützte Tunnelungsprotokoll, wie zum Beispiel durch L2TP, PPTP oder PPPoE, implementiert werden. Aus der Server-Perspektive des Netzdienstes 20' ist die Tatsache, dass der Tunnel an der Gateway-Einrichtung 12 und nicht an dem Benutzer/Teilnehmer-Host 14' endet, nicht festzustellen. Die Gateway-Einrichtung 12 täuscht im Wesentlichen den Netzdienst 20' dahingehend, dass er glaubt, dass sich der Tunnel ganz bis zu einem Endpunkt am Benutzer/Teilnehmer-Host 14' erstreckt. Da sich der Endpunkt jedoch an der Gateway-Einrichtung 12 und nicht am Benutzer/Teilnehmer-Host 14' befindet, kann während einer einzigen Sitzung eine Vielzahl von Tunnels gleichzeitig hergestellt werden, weil die Tunnels nicht von der Konfiguration einer speziellen Software auf dem Benutzer/Teilnehmer-Host 14' abhängig sind. Außerdem ist das Tunnelmanagementmodul 44 der Gateway-Einrichtung 12 in der Lage, einen Tunnel im Namen eines Benutzers/Teilnehmers unter Verwendung der von dem Benutzer/Teilnehmer bereitgestellten Informationen zum Einloggen ins Netz dynamisch zu schaffen. Das Sitzungsmanagementmodul 42 managt die Zugangssitzungen jedes Teilnehmers, der durch die Netzeinrichtung auf das Kommunikationsnetz zugreift, wobei Informationen über die Sitzungen nach Bedarf aufgezeichnet werden. Das Sitzungsmanagementmodul stellt Tabellen von Routen und Diensten bereit, die für einen oder mehrere Teilnehmer in dem Kommunikationsnetz zur Verfügung stehen. Die Tabellen geben den Anstoß dafür, die autorisierten Dienste/Netze eines gegebenen Teilnehmers mit jenen abzugleichen, die eine Tunnelkommunikation erfordern.
  • Wie in 2 dargestellt, wird ein zweiter Tunnel 36 im Namen des Benutzers/Teilnehmers hergestellt, um den Zugang zu dem Netzdienst 20'' durch die Firewall 38 zu ermöglichen. Der Tunnel 36 kann im Wesentlichen genauso hergestellt werden wie oben anhand des Tunnels 32 beschrieben. Außerdem kann dem Benutzer/Teilnehmer Zugang zu anderen Netzen und/oder Online-Diensten gewährt werden, die keine Tunnelverbindung erfordern, wie zum Beispiel der Worldwide-Web-Teil des Internet 40.
  • Wie bereits erwähnt, erfordert der Benutzer/Teilnehmer-Host 14' keine spezielle Clientsoftware zum Zugriff auf die Netzdienste 20', 20'', sondern erfordert nur ein normales Kommunikationsprotokoll zur Kommunikation mit der Gateway-Einrichtung 12, wie zum Beispiel TCP/IP. Sobald sie hergestellt sind, können die Tunnels 32, 36 Datenpakete von den einzelnen Netzen in praktisch jedem Protokoll empfangen. Dies wird dadurch möglich, dass die Netzeinrichtung die Datenpakete zur Vorbereitung auf die Übertragung zu einem Teilnehmer-Host entkapselt, wenn sie einen Tunnel verlassen. Die Tunnels können mit einem ausdrücklichen Befehl des Netzdienstes 20', 20'' oder des Benutzer/Teilnehmer-Hosts 14' abgeschlossen werden. Alternativ können die Tunnels abschalten, wenn sie nicht innerhalb einer bestimmten vorgegebenen Zeitdauer benutzt werden.
  • Anhand von 3 ist ein Flussdiagramm eines Verfahrens zum Tunnelmanagement gemäß der Umgebung der vorliegenden Erfindung dargestellt. In Block 50 empfängt die Netzeinrichtung ein für einen Tunneldienst bestimmtes Paket oder eine explizite Netzzugangsanforderung von einem Benutzer/Teilnehmer. Die Netzzugangsanforderung kann von einer durch den Benutzer/Teilnehmer vorgenommenen manuellen Eingabe von Zugangsanforderungsdaten (d.h. Benutzername, Passwort, etc.) kommen, oder die Informationen können in einem Speicher in dem Benutzer/Teilnehmer-Host gespeichert werden, wobei die Zugangsanforderung automatisch generiert wird. Sobald das Paket bzw. die Anforderung von der Netzeinrichtung empfangen wird, wird der Benutzer/Teilnehmer dann zum Netzzugang autorisiert, indem eine Teilnehmerkennung im Header der Netzzugangsanforderungspakete benutzt wird, um das Benutzer/Teilnehmer-Profil in dem AAA-Modul nachzuschlagen, wie in Block 52 angegeben. In Block 54 wird in dem Tunnelmanagementmodul der Netzeinrichtung eine Ermittlung durchgeführt, um festzustellen, ob die von dem Benutzer/Teilnehmer gesendete Ziel-IP-Adresse des Pakets zu einem Netzdienst gehört, der einen Tunnel für den Zugang erfordert. Wenn die Ziel-IP-Adresse keinen Tunnel für den Zugang erfordert, dann erhält der Benutzer/Teilnehmer einen normalen Netzzugang, wie in Block 56 angegeben.
  • Wenn das Tunnelmanagementmodul feststellt, dass die Ziel-IP-Adresse zu einem Netzdienst gehört, der für diesen speziellen Teilnehmer eine Tunnelung erfordert, dann wird in Block 58 festgestellt, ob bereits ein Tunnel hergestellt wurde. Wenn ein Tunnel hergestellt wurde, dann wird das Paket in Block 60 mit Hilfe des für diesen Netzdienst zutreffenden Tunnelprotokolls gekapselt, und es werden andere Translations- oder Weiterleitungsinstruktionen vorgenommen, die das Datenpaket betreffen können. Sobald die Kapselung/Translation des Pakets abgeschlossen ist, wird es in den Tunnel gestellt, um zu dem Netzdienst befördert zu werden.
  • Wenn das Tunnelmanagementmodul in Block 58 feststellt, dass noch kein Tunnel für das verlangte Netz hergestellt wurde, dann wird in Block 62 festgestellt, ob zusätzliche Teilnehmerdaten, die in dem Teilnehmerprofil des AAA-Moduls nicht bereitgestellt wurden, notwendig sind, um sich in den Netzdienst einzuloggen, um einen Tunnel zwischen dem Netzdienst und der Gateway-Einrichtung herzustellen. Wenn zusätzliche Teilnehmerdaten notwendig sind, dann wird in Block 64 ein Teilnehmerdatenanforderungspaket von der Gateway-Einrichtung zu dem Benutzer/Teilnehmer gesendet. Die Datenanforderung kann die Form eines Informations- und Bedienfelds annehmen, das auf dem Host des Benutzers/Teilnehmers angezeigt wird, oder der Benutzer/Teilnehmer kann zu einer Website geleitet werden, oder es kann ein ähnliches Datenanforderungsverfahren verwendet werden.
  • Wenn keine zusätzlichen Teilnehmerdaten notwendig sind bzw. sobald die Teilnehmerdaten empfangen wurden, wird ein Tunnel geschaffen, wobei das Zielnetz ggf. die Informationen des Teilnehmers zum Einloggen ins Netz verwendet. Der Tunnel wird mit der Gateway-Einrichtung als einem Endpunkt und dem Zielnetz als dem anderen Endpunkt geschaffen, wie in Block 66 angegeben. Sobald der Tunnel geschaffen ist, werden von dem Benutzer/Teilnehmer empfangene Pakete, die für das Zielnetz bestimmt sind, mit einem Tunnelprotokoll gekapselt und in den Tunnel gestellt. Durch das Vorhandensein des Tunnels wird sichergestellt, dass von dem Netzdienst kommende Pakete vor Beförderung zu dem Benutzer/Teilnehmer durch die Gateway-Einrichtung geleitet werden. Die Gateway-Einrichtung wird von dem Netzdienst durch den Tunnel kommende Pakete entkapseln, bevor diese zu dem Benutzer/Teilnehmer übertragen werden.

Claims (20)

  1. Verfahren zur dynamischen Schaffung eines Tunnels in einem Kommunikationsnetz, um einem Teilnehmer-Host den Zugang zu einem Netzdienst zu ermöglichen, mit den folgenden Schritten: Speichern eines Teilnehmerprofils in einer Netzdatenbank, wobei das Teilnehmerprofil teilnehmerspezifische Netzdienst-Tunnelungsanforderungen für mehrere Netzdienste (20', 20'') enthält, die dem Teilnehmer zur Verfügung stehen, einschließlich Informationen zum Identifizieren der Tunnelanforderungen für jeden dieser Dienste; Herstellen einer Teilnehmernetzsitzung zwischen einer Gateway-Einrichtung (12) und dem Teilnehmer-Host; Empfangen einer zu einem ersten Netzdienst (20') gehörigen ersten Dienstzugangsanforderung an der Gateway-Einrichtung (12), wobei die erste Dienstzugangsanforderung zu jedem Zeitpunkt während der laufenden Teilnehmernetzsitzung empfangen wird; Identifizieren der ersten Dienstzugangsanforderung als von dem Teilnehmer stammend; Zugriff auf das Teilnehmerprofil in Reaktion auf den Empfang der ersten Dienstzugangsanforderung; Feststellen, anhand der teilnehmerspezifischen Netzdienst-Tunnelungsanforderungen in dem Teilnehmerprofil, auf das zugegriffen wurde, ob der erste Netzdienst (20') eine teilnehmerspezifischen Tunnelungsanforderung hat; und Schaffen eines ersten Tunnels (32), wenn festgestellt wird, dass das Teilnehmerprofil den ersten Tunnel erfordert, wobei der erste Tunnel (32) einen ersten Endpunkt an der Gateway-Einrichtung und einen zweiten Endpunkt an dem ersten Netzdienst hat, dadurch gekennzeichnet, dass die Gateway-Einrichtung (12) den ersten Netzdienst (20) dahingehend täuscht, dass er glaubt, dass sich der Tunnel zu einem Endpunkt am Teilnehmer-Host (14) erstreckt, indem Ursprungsadressen in Paketen, die von dem Teilnehmer-Host (14) kommen, und Zieladressen in Paketen, die von dem ersten Netzdienst (20') kommen, vertauscht werden.
  2. Verfahren nach Anspruch 1, bei dem zum Speichern eines Teilnehmerprofils das Speichern mindestens eines Parameters gehört, der aus der aus der Netzzugangskennung, einem Benutzer-/Teilnehmernamen und einem Benutzer-/Teilnehmerpasswort bestehenden Gruppe ausgewählt ist.
  3. Verfahren nach Anspruch 1 oder Anspruch 2, bei dem ferner festgestellt wird, ob bereits ein erster Tunnel zwischen der Gateway-Einrichtung (12) und dem ersten Netzdienst (20') existiert, bevor der Tunnel zwischen der Gateway-Einrichtung (12) und dem ersten Netzdienst (20') geschaffen wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem mehr als ein durch die Gateway-Einrichtung (12) auf das Kommunikationsnetz zugreifender Teilnehmer gleichzeitig Datenpakete über den ersten Tunnel (32) zu dem ersten Netzdienst (20') übertragen kann.
  5. Verfahren nach einem der vorhergehenden Ansprüche, das ferner die folgenden Schritte umfasst: Empfangen einer zu einem zweiten Netzdienst (20'') gehörigen. zweiten Dienstzugangsanforderung an der Gateway-Einrichtung (12), wobei die zweite Dienstzugangsanforderung zu jedem Zeitpunkt während einer laufenden Teilnehmernetzsitzung empfangen wird; Identifizieren der zweiten Dienstzugangsanforderung als von dem Teilnehmer (14) stammend; Zugriff auf das Teilnehmerprofil in Reaktion auf den Empfang der zweiten Dienstzugangsanforderung; Feststellen, anhand der teilnehmerspezifischen Netzdienst-Tunnelungsanforderungen in dem Teilnehmerprofil, auf das zugegriffen wurde, ob der zweite Netzdienst eine teilnehmerspezifischen Tunnelungsanforderung hat; und Schaffen eines zweiten Tunnels, wenn festgestellt wird, dass das Teilnehmerprofil den zweiten Tunnel erfordert, wobei der zweite Tunnel einen ersten Endpunkt an der Gateway-Einrichtung (12) und einen zweiten Endpunkt an dem zweiten Netzdienst (20'') hat.
  6. Verfahren nach Anspruch 5, bei dem ferner festgestellt wird, ob bereits ein zweiter Tunnel zwischen der Gateway-Einrichtung (12) und dem zweiten Netzdienst (20'') existiert, bevor der Tunnel (36) zwischen der Gateway-Einrichtung (12) und dem zweiten Netzdienst (20'') geschaffen wird.
  7. Verfahren nach Anspruch 5 oder Anspruch 6, bei dem der zweite Tunnel (36) gleichzeitig mit dem Betrieb des ersten Tunnels (32) funktioniert.
  8. Verfahren nach Anspruch 5, bei dem mehr als ein durch die Gateway-Einrichtung (12) auf das Kommunikationsnetz zugreifender Teilnehmer gleichzeitig Datenpakete über den ersten Tunnel (32) zu dem ersten Netzdienst (20') und über den zweiten Tunnel (36) zu dem zweiten Netzdienst (20'') übertragen kann.
  9. System zur dynamischen Schaffung eines Tunnels in einem Kommunikationsnetz, um einem Teilnehmer-Host den Zugang zu einem Zielnetz zu ermöglichen, mit: einer Speichervorrichtung, die ein Teilnehmerprofil speichert, wobei das Teilnehmerprofil teilnehmerspezifische Netzdienst-Tunnelungsanforderungen für mehrere Netzdienste enthält, die dem Teilnehmer zur Verfügung stehen, einschließlich Informationen zum Identifizieren der Tunnelanforderungen für jeden dieser Dienste; Mitteln zum Herstellen einer Teilnehmernetzsitzung zwischen einer Gateway-Einrichtung (12) und dem Teilnehmer-Host (14); Mitteln zum Empfangen einer zu einem ersten Netzdienst (20') gehörigen ersten Dienstzugangsanforderung an der Gateway-Einrichtung (12) zu jedem Zeitpunkt während einer laufenden Teilnehmernetzsitzung; Mitteln zum Identifizieren der ersten Dienstzugangsanforderung als von dem Teilnehmer stammend; Mitteln zum Zugreifen auf das Teilnehmerprofil in Reaktion auf den Empfang der ersten Dienstzugangsanforderung; Mitteln zum Feststellen, anhand der teilnehmerspezifischen Netzdienst-Tunnelungsanforderungen in dem Teilnehmerprofil, auf das zugegriffen wurde, ob der erste Netzdienst (20') eine teilnehmerspezifische Tunnelungsanforderung hat; und Mitteln zum Schaffen eines ersten Tunnels (32), wenn festgestellt wird, dass das Teilnehmerprofil den ersten Tunnel erfordert, wobei der erste Tunnel einen ersten Endpunkt an der Gateway-Einrichtung (12) und einen zweiten Endpunkt an dem ersten Netzdienst (20') hat, dadurch gekennzeichnet, dass die Gateway-Einrichtung (12) betrieben werden kann, um den ersten Netzdienst (20') dahingehend zu täuschen, dass er glaubt, dass sich der Tunnel zu einem Endpunkt an dem Teilnehmer-Host (14) erstreckt, indem Ursprungsadressen in Paketen, die von dem Teilnehmer (14) kommen, und Zieladressen in Paketen, die von dem ersten Netzdienst (20') kommen, vertauscht werden.
  10. System nach Anspruch 9, ferner mit Mitteln zum Feststellen, ob bereits ein erster Tunnel (32) zwischen der Gateway-Einrichtung (12) und dem ersten Netzdienst (20') existiert, bevor der Tunnel (32) zwischen der Gateway-Einrichtung (12) und dem ersten Netzdienst (20') geschaffen wird.
  11. System nach Anspruch 9, ferner mit: Mitteln zum Empfangen einer zu einem zweiten Netzdienst (20'') gehörigen zweiten Dienstzugangsanforderung an der Gateway-Einrichtung (12), wobei die zweite Dienstzugangsanforderung des Teilnehmers zu jedem Zeitpunkt während einer laufenden Teilnehmernetzsitzung empfangen wird; Mitteln zum Identifizieren der zweiten Dienstzugangsanforderung als von dem Teilnehmer stammend; Mitteln zum Zugreifen auf das Teilnehmerprofil in Reaktion auf den Empfang der zweiten Dienstzugangsanforderung; Mitteln zum Feststellen, anhand der teilnehmerspezifischen Netzdienst-Tunnelungsanforderungen in dem Teilnehmerprofil, auf das zugegriffen wurde, ob der zweite Netzdienst eine teilnehmerspezifische Tunnelungsanforderung hat; und Mitteln zum Schaffen eines zweiten Tunnels (36), wenn festgestellt wird, dass das Teilnehmerprofil den zweiten Tunnel erfordert, wobei der zweite Tunnel (36) einen ersten Endpunkt an der Gateway-Einrichtung (12) und einen zweiten Endpunkt an dem zweiten Netzdienst (20'') hat.
  12. Gateway-Einrichtung (12), die dynamisch einen Tunnel in einem Kommunikationsnetz schafft, um einem Teilnehmer-Host den Zugang zu einem Zielnetz zu ermöglichen, mit: Mitteln zum Herstellen einer Teilnehmernetzsitzung zwischen der Gateway-Einrichtung (12) und dem Teilnehmer-Host (14); einem Prozessor, der von einem Teilnehmer zu jedem Zeitpunkt während einer laufenden Teilnehmernetzsitzung eine zu einem Netzdienst (20') gehörige Dienstzugangsanforderung empfängt und die Dienstzugangsanforderung als von dem Teilnehmer (14) stammend identifiziert; einer Datenbank, auf die der Prozessor zugreift und in der ein Teilnehmerprofil gespeichert ist, das teilnehmerspezifische Netzdienst-Tunnelungsanforderungen für mehrere Netzdienste enthält, die dem Teilnehmer zur Verfügung stehen, einschließlich Informationen zum Identifizieren von Tunnelanforderungen für jeden dieser Dienste; und einem von dem Prozessor implementierten Tunnelmanagementmodul, das während der laufenden Teilnehmernetzsitzung mit der Datenbank kommuniziert, um festzustellen, ob der Teilnehmer einen Tunnel (32) zum Zugang zu dem angeforderten Netzdienst erfordert, und wenn festgestellt wird, dass der Tunnel erforderlich ist, schafft das Tunnelmanagementmodul eine Dienstzugangssitzung zwischen der Netzwerkeinrichtung und dem Netzdienst, dadurch gekennzeichnet, dass die Gateway-Einrichtung betrieben werden kann, um den ersten Netzdienst (20') dahingehend zu täuschen, dass er glaubt, dass sich der Tunnel zu einem Endpunkt an dem Teilnehmer-Host (14) erstreckt, indem Ursprungsadressen in Paketen, die von dem Teilnehmer-Host (14) kommen, und Zieladressen in Paketen, die von dem ersten Netzdienst (20') kommen, vertauscht werden.
  13. Gateway-Einrichtung nach Anspruch 12, ferner mit einem von dem Prozessor implementierten Sitzungsmanagementmodul, das mit der Datenbank kommuniziert, um die durch die Netzwerkeinrichtung bereitgestellte Netzzugangssitzung zu managen.
  14. Gateway-Einrichtung nach Anspruch 12, bei der das Tunnelmanagementmodul feststellt, ob bereits ein Tunnel zwischen der Gateway-Einrichtung und dem Netzdienst existiert, bevor der Tunnel zwischen der Gateway-Einrichtung und dem Netzdienst geschaffen wird.
  15. Gateway-Einrichtung nach Anspruch 12, bei der das Tunnelmanagementmodul in der Lage ist, mehr als eine Netzzugangssitzung für den gleichzeitigen Teilnehmerzugang zu mehr als einem Netzdienst zu schaffen.
  16. Gateway-Einrichtung nach Anspruch 12, bei der das Tunnelmanagementmodul in der Lage ist, den gleichzeitigen Zugang zu der Netzzugangssitzung für mehr als einen Teilnehmer zu ermöglichen, die durch die Gateway-Einrichtung (12) auf das Kommunikationsnetz zugreifen.
  17. Gateway-Einrichtung nach Anspruch 16, ferner mit einem von dem Prozessor implementierten Sitzungsmanagementmodul, das mit der Datenbank kommuniziert, um die gleichzeitige Netzzugangssitzung zu managen, die mehr als einem durch die Gateway-Einrichtung auf das Kommunikationsnetz zugreifenden Teilnehmer ermöglicht wird.
  18. Gateway-Einrichtung nach Anspruch 16, bei der das Teilnehmerprofil teilnehmerspezifische Netzdienst-Tunnelungsanforderungen für mehrere Netzdienste definiert, auf die zuzugreifen der Teilnehmer berechtigt ist.
  19. Gateway-Einrichtung nach Anspruch 18, bei der die teilnehmerspezifischen Netzdienst-Tunnelungsanforderungen vom Teilnehmer vordefiniert sind.
  20. Gateway-Einrichtung nach Anspruch 18, bei der die teilnehmerspezifischen Netzdienst-Tunnelungsanforderungen vom Administrator der Gateway-Einrichtung vordefiniert sind.
DE60028229T 1999-10-22 2000-10-20 Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk Expired - Lifetime DE60028229T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16089099P 1999-10-22 1999-10-22
US160890P 1999-10-22
PCT/US2000/029069 WO2001031855A2 (en) 1999-10-22 2000-10-20 Establishing dynamic tunnel access sessions in a communication network

Publications (2)

Publication Number Publication Date
DE60028229D1 DE60028229D1 (de) 2006-06-29
DE60028229T2 true DE60028229T2 (de) 2007-03-15

Family

ID=22578901

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60028229T Expired - Lifetime DE60028229T2 (de) 1999-10-22 2000-10-20 Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk

Country Status (6)

Country Link
EP (1) EP1226687B1 (de)
AT (1) ATE327618T1 (de)
AU (1) AU1098301A (de)
DE (1) DE60028229T2 (de)
ES (1) ES2263496T3 (de)
WO (1) WO2001031855A2 (de)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2236471T3 (es) 2002-06-04 2005-07-16 Alcatel Un metodo, un servidor de acceso a red, un servidor de autenticacion-autorizacion-contabilidad y un producto de programa de ordenador para apoderar mensajes de autenticacion-autorizacion-contabilidad de usuario via un servidor de acceso a red.
US8116289B2 (en) * 2006-08-30 2012-02-14 Cisco Technology, Inc. Internetworking nodes based on connections, membership, and location
US8836601B2 (en) 2013-02-04 2014-09-16 Ubiquiti Networks, Inc. Dual receiver/transmitter radio devices with choke
US9634373B2 (en) 2009-06-04 2017-04-25 Ubiquiti Networks, Inc. Antenna isolation shrouds and reflectors
US9496620B2 (en) 2013-02-04 2016-11-15 Ubiquiti Networks, Inc. Radio system for long-range high-speed wireless communication
US9397820B2 (en) 2013-02-04 2016-07-19 Ubiquiti Networks, Inc. Agile duplexing wireless radio devices
US20160218406A1 (en) 2013-02-04 2016-07-28 John R. Sanford Coaxial rf dual-polarized waveguide filter and method
US9543635B2 (en) 2013-02-04 2017-01-10 Ubiquiti Networks, Inc. Operation of radio devices for long-range high-speed wireless communication
US9531067B2 (en) 2013-02-08 2016-12-27 Ubiquiti Networks, Inc. Adjustable-tilt housing with flattened dome shape, array antenna, and bracket mount
US9191037B2 (en) 2013-10-11 2015-11-17 Ubiquiti Networks, Inc. Wireless radio system optimization by persistent spectrum analysis
TWI530129B (zh) 2014-02-14 2016-04-11 群暉科技股份有限公司 用來管理固定網址存取之方法、裝置、與計算機程式產品
EP3114884B1 (de) 2014-03-07 2019-10-23 Ubiquiti Inc. Cloud-vorrichtung-identifizierung und -authentifizierung
US10574474B2 (en) 2014-03-07 2020-02-25 Ubiquiti Inc. Integrated power receptacle wireless access point (AP) adapter devices
WO2015134755A2 (en) 2014-03-07 2015-09-11 Ubiquiti Networks, Inc. Devices and methods for networked living and work spaces
EP3120642B1 (de) 2014-03-17 2023-06-07 Ubiquiti Inc. Gruppenantennen mit einer vielzahl von gerichteten strahlen
EP3780261B1 (de) 2014-04-01 2022-11-23 Ubiquiti Inc. Antennenanordnung
US10425536B2 (en) 2014-05-08 2019-09-24 Ubiquiti Networks, Inc. Phone systems and methods of communication
CN106233797B (zh) 2014-06-30 2019-12-13 优倍快网络公司 无线电设备对准工具及方法
CN109905842B (zh) 2014-06-30 2020-11-17 优倍快公司 确定无线传输特征的方法
US10182438B2 (en) 2014-08-31 2019-01-15 Ubiquiti Networks, Inc. Methods and apparatuses for graphically indicating station efficiency and pseudo-dynamic error vector magnitude information for a network of wireless stations
US10164332B2 (en) 2014-10-14 2018-12-25 Ubiquiti Networks, Inc. Multi-sector antennas
US10284268B2 (en) 2015-02-23 2019-05-07 Ubiquiti Networks, Inc. Radio apparatuses for long-range communication of radio-frequency information
CN108353232B (zh) 2015-09-11 2020-09-29 优倍快公司 紧凑型播音接入点装置
CN107079035B (zh) 2015-09-25 2020-05-19 优倍快公司 用于监控网络的紧凑型和一体化的钥匙控制器装置
US9761954B2 (en) 2015-10-09 2017-09-12 Ubiquiti Networks, Inc. Synchronized multiple-radio antenna systems and methods
US10924641B2 (en) 2017-07-10 2021-02-16 Ubiquiti Inc. Wearable video camera medallion with circular display
JP7157146B2 (ja) 2017-09-27 2022-10-19 ユービキティ インコーポレイテッド ローカルネットワークへの自動保全されたリモートアクセスのためのシステム
US11482352B2 (en) 2018-01-09 2022-10-25 Ubiquiti Inc. Quick connecting twisted pair cables
JP2022547955A (ja) 2019-09-13 2022-11-16 ユービキティ インコーポレイテッド インターネット接続設定のための拡張現実

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6512754B2 (en) * 1997-10-14 2003-01-28 Lucent Technologies Inc. Point-to-point protocol encapsulation in ethernet frame

Also Published As

Publication number Publication date
DE60028229D1 (de) 2006-06-29
WO2001031855A2 (en) 2001-05-03
ATE327618T1 (de) 2006-06-15
WO2001031855A9 (en) 2002-05-10
EP1226687A2 (de) 2002-07-31
AU1098301A (en) 2001-05-08
WO2001031855A3 (en) 2002-02-14
ES2263496T3 (es) 2006-12-16
EP1226687B1 (de) 2006-05-24

Similar Documents

Publication Publication Date Title
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE602004012131T2 (de) Verfahren und einrichtungen zum gemeinsamen benutzen von inhalt in einem netzwerk
DE69632782T2 (de) Fernzugriffgerät und Verfahren mit dynamischer Internetprotokoll(IP)Adressenzuweisung
US7117526B1 (en) Method and apparatus for establishing dynamic tunnel access sessions in a communication network
DE69732982T2 (de) Automatische konfigurierung eines internetzugriffsgeräts
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE60216779T2 (de) System und Verfahren zur Bereitstellung von Punkt-zu-Punkt Protokoll über Ethernet an mobilen Plattformen
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60020588T2 (de) System und Verfahren zur Weiterleitung von Zugriffsversuchen von Benutzern auf eine Netzwerkseite
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60203099T2 (de) Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver
DE60219133T2 (de) Besucherportal zur Unterstützung von Datenkommunikation von umherstreifenden mobilen Endgeräten
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60317705T2 (de) Verfahren und system zur cluster-verwaltung von netzwerkeinrichtungen
DE60121755T2 (de) Ipsec-verarbeitung
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
EP0991232B1 (de) Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikationsnetz
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
DE60018913T2 (de) Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören
DE60011799T2 (de) Standortabhängige identifizierung zur verwendung in einem kommunikationsnetz
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
EP2800342B1 (de) Verfahren und system für ein zustandsabhängiges ip-adressmanagement

Legal Events

Date Code Title Description
8364 No opposition during term of opposition