DE60108927T2 - Komputersysteme, insbesondere virtuelle private Netzwerken - Google Patents

Komputersysteme, insbesondere virtuelle private Netzwerken Download PDF

Info

Publication number
DE60108927T2
DE60108927T2 DE60108927T DE60108927T DE60108927T2 DE 60108927 T2 DE60108927 T2 DE 60108927T2 DE 60108927 T DE60108927 T DE 60108927T DE 60108927 T DE60108927 T DE 60108927T DE 60108927 T2 DE60108927 T2 DE 60108927T2
Authority
DE
Germany
Prior art keywords
node
nodes
filter
detection signal
error detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60108927T
Other languages
English (en)
Other versions
DE60108927D1 (de
DE60108927T8 (de
Inventor
Mark Joseph Stefan Nailsea Jarosz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Services Ltd
Original Assignee
Fujitsu Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Services Ltd filed Critical Fujitsu Services Ltd
Publication of DE60108927D1 publication Critical patent/DE60108927D1/de
Application granted granted Critical
Publication of DE60108927T2 publication Critical patent/DE60108927T2/de
Publication of DE60108927T8 publication Critical patent/DE60108927T8/de
Active legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Description

  • Vorliegende Erfindung betrifft Computersysteme, insbesondere virtuelle private Netzwerke (VPNs) und insbesondere eine elastische Implementation eines VPN.
  • Eine VPN ist eine Verbindung zwischen zwei Standorten, die das Aussehen einer zweckbestimmten Verknüpfung hat, die bei einem zeitanteiligen Netzwerk auftritt, wie z.B. dem Internet oder einer direkten RAS (Fern-Zugriffs-Service) Einwähl-Verbindung. Verwendet man eine Technik, die als „Tunneltechnik" bekannt ist, werden Datenpakete über das zeitanteilige Netzwerk in einen privaten „Tunnel" zwischen den Standorten übertragen. Die Tunneltechnik ist die Einkapselung eines Datenpaketes, z.B. eines IP- (Internet-Protokoll) Paketes innerhalb eines anderen IP-Paketes, nachdem das Datenpaket verschlüsselt worden ist. Das äußere Paket hat eine andere Bestimmungs-IP-Adresse als das innere Paket und wird verwendet, um das innere verschlüsselte Paket an einen VPN-Sicherheits-Zugang an einem Standort zu richten, wo die äußere Schicht abgenommen, das innere Paket entschlüsselt und an die entsprechende einer Anzahl von Bestimmungen innerhalb des Standortes gesendet werden kann. Wenn der Zugang fehlerhaft ist, ist keine Verbindung zu diesen Bestimmungen möglich.
  • K. K. Varguese Panicker et al „An improved scheme for self-healing in ATM networks" aus Computer Communications, Elsevier Science Publishers BV, Amsterdam NL, Band 22, Nr. 15–16 vom 25. September 1999 (25.09.1999), Seiten 1400–1414 beschreiben in selbst heilendes Netzwerk, das Fehler, z.B. Verknüpfungs/Knoten-Fehler detektieren und die fehlerhaften Verbindungen automatisch unter Verwendung verteilter Steuermechanismen umleiten kann. Es wird ein Schema zum Selbstheilen in ATM- Netzwerken angeboten, das auf dem Konzept von Reserve-Virtual-Pfaden (VPs) basiert. Ein Virtual-Pfad ist eine logische Verbindung zwischen zwei Knoten.
  • Aufgabe der Erfindung ist, eine Anordnung vorzuschlagen, die sicher stellt, dass ein vollständiger oder teilweiser Fehler eines Zugangs (z.B. ein Fehler eines von zwei oder von beiden Schnittstellen auf die angeschlossenen Netzwerke) nicht zum Fehlen einer Verbindung führt.
  • Nach einem Aspekt der Erfindung wird ein Computersystem vorgeschlagen mit einem ersten Knoten, der mit einem zweiten Knoten über einen einer Vielzahl von dritten Knoten verbindbar ist, mit Datenverbindungen zwischen dem ersten Knoten und dem entsprechenden dritten Knoten, die verschlüsselt sind, mit einer Vorrichtung zum Auswählen eines dritten Knotens und zum Herstellen einer verschlüsselten Verbindung zwischen dem ersten Knoten und dem ausgewählten dritten Knoten, mit einer Vorrichtung zum Detektieren eines anschließenden Fehlers des ausgewählten dritten Knotens, und mit einer Vorrichtung zum Auswählen eines weiteren dritten Knotens sowie zum Herstellen einer verschlüsselten Verbindung zwischen dem ersten Knoten und dem anderen ausgewählten dritten Knoten, wobei der erste Knoten und die Vielzahl von dritten Knoten ein virtuelles privates Netzwerk darstellen, in welchem Datenverbindungen zwischen dem ersten Knoten und jedem der dritten Knoten mit einem entsprechenden Nachrichten-Verschlüsselungs-Code verschlüsselt sind, der nach einem entsprechenden Authentisierungs-Prozess aufgebaut wird, wobei die Vorrichtung zum Auswählen des dritten Knotens einen Code-Management-Service umfasst, der einen dritten Knoten aus der Vielzahl auswählt und der versucht, den entsprechenden Authentisierungsprozess damit bei einer Anfrage durch den ersten Knoten für einen entsprechenden Nachrichten-Verschlüsselungs-Code auszuführen, und wobei bei einer erfolgreichen Authentisierung der erste Knoten und der ausgewählte dritte Knoten den entsprechenden Nachrichten-Verschlüsselungs-Code pufferspeichern.
  • Nach einem weiteren Aspekt der Erfindung wird ein Verfahren zum Detektieren eines Knotenfehlers und zum Verbinden mit einem anderen Knoten in einem Computersystem vorgeschlagen, bei dem ein erster Knoten mit einem zweiten Knoten über einen einer Vielzahl von dritten Knoten verbunden wird, Datenverbindungen zwischen dem ersten Knoten und dem einen der dritten Knoten verschlüsselt werden, wobei das Verfahren zum Detektieren eines Fehlers des einen der dritten Knoten nach dem Authentisieren und dem Verbinden des ersten Knotens damit sowie zum Herstellen einer Verbindung des ersten Knotens mit einem anderen der dritten Knoten und zum Durchführen von Schritten angewendet wird, bei denen der erste Knoten ein Fehler-Detektionssignal an den einen dritten Knoten zu einem vorbestimmen Zeitpunkt sendet, wobei dann, wenn der eine dritte Knoten in Betrieb ist, er eine Antwort auf das Fehler-Detektionssignal zum ersten Knoten sendet, und falls keine Antwort innerhalb eines vorbestimmten Zeitintervalls aufgenommen wird, der erste Knoten entweder eine Verbindung mit einem anderen der dritten Knoten, der vorher authentisiert war, herstellt oder versucht, einen anderen der dritten Knoten zu authentisieren und mit ihm eine Verbindung herzustellen, und wobei der erste Knoten und die Vielzahl von dritten Knoten ein virtuelles privates Netzwerk bilden, in welchem Datenverbindungen zwischen dem ersten Knoten und jedem der dritten Knoten mit einem entsprechenden Nachrichten-Verschlüsselungs-Code verschlüsselt werden, und wobei ein entsprechender Nachrichten-Verschlüsselungs-Code nach jeder Authentisierung aufgebaut wird.
  • Ausführungsformen der Erfindung werden nachstehend in Verbindung mit den Zeichnungen beschrieben, in denen
  • 1 eine beispielhafte Ausführungsform eines herkömmlichen VPN-Netzwerkes, und
  • 2 schematisch eine Ausführungsform nach vorliegender Erfindung zeigt.
  • In 1 sind zwei Computer (Knoten) 1, 2 über eine Datenverbindung 3 miteinander verbunden, die beispielsweise aus einer direkten RAS-Einwähl-Verbindung oder dem Internet besteht. Die Computer 1 und 2 sind mit einer entsprechenden VPN-Software 1a, 2a versehen, damit ein Informationsaustausch dazwischen über die Verknüpfung 3 verschlüsselt werden; die Computer 1, 2 und die Verknüpfung 3 können als ein verschlüsseltes Netzwerk miteinander bildend angesehen werden. Der Computer 2 ist über ein LAN 4 (LAN = lokales Bereichsnetzwerk) mit drei Computern (Knoten) 5, 6 und 7 verbunden, die Personalcomputer (PC) sein können. Der Datenaustausch zwischen den Computern 2, 5, 6 und 7 über das LAN 4 sind nicht verschlüsselt. In den 1 und 2 ist eine verschlüsselte Datenverbindung durch eine stärker ausgezogene Linie als die nicht verschlüsselte Datenverbindung dargestellt. Der Computer 2 weist einen Zugangs-Server auf, der die verschlüsselten und die nicht verschlüsselten Netzwerke miteinander koppelt. Die Computer 5, 6 und 7, die als Ziel-Maschinen bezeichnet werden können, haben jeweils eine entsprechende IP-Adresse, die in der Zeichnung mit 10.0.0.1, 10.0.0.2 und 10.0.0.3 bezeichnet sind. Der Computer 1, der ein Notebook-Computer sein kann, und der als Kunde bezeichnet wird, hat eine IP-Adresse, die in der Zeichnung mit 100.0.0.1 bezeichnet ist, während der Zugangs-Server 2 eine IP-Adresse hat, die in der Zeichnung mit 200.0.0.254 angegeben ist. Die Strategie-Datei 1b des Kunden 1 weist eine Tunnel-Einstellung auf, die für den Zugangs-Server 2 angibt, welche Zielmaschinen bzw. ihre IP-Adressen hinter dem Zugang-Server 2 angeordnet sind. Die Strategie-Datei kann ferner Tunnel-Einstellungen für andere Zugangs-Server/Ziel-Maschinen umfassen. Die Tunnel-Einstellung für die dargestellte Anordnung ist so wie in der Zeichnung (Tunnel 1) angegeben. Die Anordnung nach 1 kann das Software-Produkt, das mit SafeGuard VPN von Utimaco Safeware AG bezeichnet ist, verwenden, um die Datenübertragung zu verschlüsseln. Im Falle der Verwendung von SafeGuard VPN und wenn die Tunnel-Einstellung angewendet wird, wird die GSS (Generic Security Services) Codeaustausch zwischen dem Kunden 1 und dem Zugang 2 anstelle zwischen dem Kunden 1 und einer der Target-Maschinen 5, 6, 7 verwendet. Der Kunde und der Server besitzen IP-Filter 1c, 2c zum Extrahieren von Daten, die für sie bestimmt sind, oder im Falle eines Zugangs-Servers für jede Target IP-Adresse dahinter, z.B. 10.0.0.1 bis 10.0.0.3. In dem IP-Filter für jede Target-Adresse hinter dem Zugang 2 wird ein Dialog-Code für diesen Zugang zum Verschlüsseln verwendet. Dieser Dialog-Code wird in Cache-Speichern 1d und 2d gespeichert.
  • Falls Daten von der Kunden-Maschine 1 zur Ziel-Maschine 5 gesendet werden sollen, wird ein Datenpaket mit einer Sender-Adresse 100.0.0.1 und einer Empfänger-Adresse 10.0.0.1 an der Kunden-Maschine 1 verschlüsselt und in ein anderes Paket mit der Sender-Adresse 100.0.0.1, aber einer Empfänger-Adresse 200.0.0.254 an den Zugangs-Server 2 übertragen, wobei die Außenlage entfernt wird, während das innere Paket entschlüsselt und an eine Ziel-Maschine 5 unverschlüsselt gesendet wird.
  • Es ist nur ein Zugang für einen gegebenen Bereich von IP-Adressen, z.B. Ziel-Maschinen spezifiziert. Wenn somit der Zugang 2 fehlerhaft wird, ist keine weitere Datenverbindung mit dem LAN 4 hinter dem Zugang 2 möglich, es sei denn, dass ein zweiter Zugang (nicht dargestellt) installiert ist, und die Verfahrensweise der Kunden-Maschine entsprechend rekonfiguriert wird.
  • Falls ein zweiter Zugang verfügbar ist, muss der Kunde 1 in der Lage sein, einen neuen Pfad hinter den Zugängen mit Durchlaufzeit zu finden, ohne dass eine manuelle Rekonfiguration erforderlich wird. Es gibt zwei Punkte, die beachtet werden müssen, um ein Fehler-Toleranzsystem zu erzielen. Als erstes muss der vollständige GSS-Code-Austausch und der Dialog-Code-Aufbau mit ein und demselben Zugang erfolgen, es kann nicht mit dem einen begonnen und mit dem anderen geendet werden, und während es verhältnismäßig einfach ist, eine Liste von Zugängen in der Strategiedatei 1b des Kunden zu spezifizieren, die einer nach dem anderen durchprobiert werden müssen, solange bis ein erfolgreicher Dialog-Code-Aufbau erzielt worden ist, muss ein Fehler eines Zugangs in irgendeiner Weise detektiert werden, nachdem ein Dialog bereits aufgebaut worden ist.
  • Vorliegende Erfindung verwendet eine erneute Authentisierung, um eine Zugangs-Fehler-Toleranz zu erreichen. Mehr als ein Zugang (Knoten) wird für einen gegebenen Bereich von IP-Adressen definiert. Dies wird als ein Zugangs-Cluster bezeichnet. In 2 ist ein solches Cluster aus drei Zugängen (Knoten) 21, 22, 23 dargestellt. Wenn eine Dialog-Code-Anfrage durch den Kunden 1 für eine IP-Adresse in diesem gegebenen Bereich ausgegeben worden ist, wählt eine Vorrichtung, z.B. ein Code-Management-Service KMS 8 willkürlich einen Zugang aus dem Cluster, z.B. 21, und versucht eine Authentisierung, z.B. mit Hilfe der Herstellung einer Verbindung zu dem gewählten Zugang und der Durchführung eines Code-Aufbau-Protokoll-Austausches. Schlägt die Authentisierung fehl, wird sie mit dem nächsten spezifizierten Zugang, z.B. 22, in einem Rundum-Betrieb versucht. Schlägt eine Authentisierung bei allen Zugängen 2123 fehl, wird die Code-Anfrage zurückgewiesen.
  • Ist jedoch eine Authentisierung erfolgreich verlaufen, wird der Dialog-Code, der für diesen Zugang, z.B. 21 generiert worden ist, zum Kunden-IP-Filter 1c zurückgeführt und sowohl bei dem Kunden als auch am Zugang in Cache-Speichern 21d, 1d gespeichert, wodurch die Daten zwischen dem Kunden und dem Zugang und bei beiden verschlüsselt/entschlüsselt übertragen werden können. Ein unterschiedlicher Dialog-Code wird jedem Zugang zugeordnet, so dass dann, wenn Daten von dem Kunden 1 zur Ziel-Maschine 5 über den Zugangs-Server 21 gesendet werden, jedoch eine Antwort von der Ziel-Maschine 5 zum Kunden 1 über einen unterschiedlichen Zugangs-Server 22 läuft, ein neuer Dialog und ein anderer Dialog-Code notwendig ist, um die Zugangs/Kunden-Verbindung aufzubauen.
  • Um den Fehler eines Zugangs, z.B. 21 im Anschluss an den Aufbau eines Dialogs für die spezielle Zugangs-Verbindung zum Kunden 1 (Kunde 1/Zugang 21) zu detektieren, überträgt das Filter 1c des Kunden IP ein Fehler-Detektionssignal, die sogenannten „Heartbeat"- (Herzschlag-)-Pakete an den Zugang 21 oder das Filter 21c des Zugangs IP überträgt, das erforderlich ist, um mit einer Antwort darauf anzusprechen. Wenn eine Antwort auf ein solches Paket an dem Filter 1c des Kunden IP innerhalb einer vorbestimmten Zeitdauer, z.B. n Sekunden, die einstellbar ist, nicht ankommt, wird ein zweites Fehler-Detektionssignal an das Filter 1c des Kunden IP gesendet. Wenn immer noch keine Antwort eingeht, sucht das Filter 1c des Kunden IP, um festzustellen, ob bereits ein Dialog-Code für einen anderen Zugang im Cluster aufgebaut worden ist, zu dem der fehlerhafte Zugang gehört. Wenn ein solcher Code für einen anderen Zugang bereits aufgebaut ist, macht das Filter 1c des Kunden IP automatisch Gebrauch von diesem anderen Zugang, z.B. 22, anstatt des fehlerhaften Zugangs. Der Dialog-Code des fehlerhaften Zugangs 21 wird von dem Cache-Speicher 1d beim Kunden 1 entfernt. Wenn kein derartiger aufgebauter Code für einen anderen Zugang in dem Cluster vorhanden ist, gibt das Filter 1c des Kunden IP eine Code-Anfrage an den Code-Management-Service 8 für einen anderen Zugang im Cluster. Wenn diese Code-Anfrage fehlerhaft ist, der Code-Management-Service jedoch in dem Authentisierungs-Prozess mit einem anderen Zugang im Cluster erfolgreich ist, setzt er einfach den geeigneten Code, und das Filter 1c des Kunden IP benutzt ihn von da an.
  • Um die Arbeitsbelastung für den Zugang zu verringern, werden die „Heartbeat"-Nachrichten nur gesendet, wenn ein Dialog-Code aufgebaut worden ist, jedoch kein Paket aus dem Zugang während der letzten n Sekunden empfangen worden ist. Solange Pakete von dem Zugang innerhalb des obigen Zeitintervalls aufgenommen werden, wird der Zugang als in Betrieb befindlich angesehen. Wenn das Filter des Kunden IP Dialog-Codes über mehr als einen Zugang in einem Cluster aufgebaut hat, werden Heartbeat-Nachrichten nur an den Zugang gesendet, der für Kommunikationen verwendet wird, die von dem Kunden stammen.
  • Eine weitere Reduzierung der Arbeitsbelastung, insbesondere für RAS-Umgebungen, kann dadurch erreicht werden, dass der Heartbeat als „verzögert" konfiguriert wird, d.h. das Aussenden des Heartbeat-Paketes auf der Kundenseite wird verzögert, bis der Kunde IP (Nutzlast) Pakete an den jeweiligen Zugang ohnehin zu senden hat. Dieses Verhalten verhindert das Herstellen aller unnötigen Verbindungen zwischen dem Kunden und dem Zugang in früheren Leerlaufzeiten. Im Falle eines Fehlers des entsprechenden Zugangs geht jedoch eine bestimmte Anzahl von IP-Nutzlast-Paketen verloren, und eine Wiederherstellung der Verbindung nimmt mehr Zeit in Anspruch als sonst notwendig wäre. Beide Heartbeat-Betriebsarten, sofortige und verzögerte, sind durch eine Einstellung in der Strategie-Datei 1b des Kunden konfigurierbar.
  • Heartbeat-Nachrichten werden in gleicher Weise eingeschlossen wie eine normale Kommunikation gestaltet wird. Dies ist erforderlich, damit die Pakete über die gleiche Route geliefert werden können, z.B. über einen Feuerwall, der so gestaltet ist, dass er nur verschlüsselte Pakete durchlässt. In dem speziellen Fall, bei dem die „Tunnels" nach RFC1827 kreiert werden und dann mindestens ein ESP (Einkapselungs-Sicherheits-Nutzlast) in jeder Betriebsart verwendet wird, wird das Heartbeat-Paket dadurch detektiert, dass ein SPI (Sicherheits-Parameter-Index) von Ox FFF FFFFF angewendet wird. Das Zugangs-IP-Filter spricht auf jedes Paket an, das einen solchen SPI mit einem gleichen Paket in entgegengesetzter Richtung enthält. Das Paket wird nie entschlüsselt und enthält keine brauchbaren Information. Der SPI wird einfach bewertet.
  • Diese Lösung verursacht eine Menge an erneuter Authentisierung an den verbleibenden Zugängen, wenn einer fehlerhaft ist. Zur Verteilung der Authentisierungs-Belastung im Falle eines Fehlers verteilt der Code-Management-Service KMS 8 die Reihenfolge der spezifizierten Cluster-Zugänge wahllos jedesmal, wenn er ihn aus der Strategie-Datei 1b ausliest und bevor er ihn in den Kunden-IP-Filter 1c leitet. Der Kunden-Filter 1c selbst sucht die Zugänge in einem Cluster in sequentieller Reihenfolge durch.
  • Diese wahllose Verteilung bewirkt eine verteilte Belastung an den Zugängen, selbst wenn alle Kunden, die in einer bestimmten VPN miteinander verbindbar sind, zufällig identische Strategien haben. Die wahllose Verteilung der Cluster-Mitglieder kann über eine Strategie-Datei-Einstellung abgeschaltet werden, und zwar in solchen Fällen, in denen eine spezifische Reihenfolge erwünscht ist, z.B. Hauptsysteme mit hoher Leistung und Reservesysteme mit geringer Leistung.
  • Wenn ein schadhafter Zugang neu aktiviert wird, wird er automatisch verwendet, sobald ein Kunde eine Authentisierung einleitet und diesen Zugang ausprobiert, weil er der nächste auf der Liste ist. Wenn andererseits eine Kommunikation aus dem Zugang begonnen wird, wird ein neuer Dialog-Code mit dem Kunden aufgebaut, und damit erreicht, dass der Kunde diesen Zugang wieder verwenden kann. Wenn insbesondere der reaktivierte Zugang der bevorzugte Zugang des Kunden ist, beginnt der Kunde den Zugang zu verwenden, sobald der Dialog-Code mit dem Zugang aufgebaut worden ist.
  • Nachstehend werden einige Aspekte der vorbeschriebenen Methoden im einzelnen erläutert. Die VBN-Software, die bei den Kunden, z.B. 1, und Zugängen, z.B. 21, 22, 23 (2), wie mit 1a, 21a, 22a, 23a angegeben, betrieben wird, ermöglicht es, eine einzelne Tunneladresse für eine einzige IP-Adresse oder einen Bereich von Adressen zu spezifizieren. Andererseits kann anstelle einer Tunnel-Adresse ein Cluster für eine einzelne IP-Adresse oder einen Bereich von IP-Adressen definiert werden. Ein bezeichnetes Cluster ist in der Strategie innerhalb eines zusätzlichen Abschnittes, der mit CLUSTER bezeichnet ist, definiert. Es wird ein neues Statement angegeben, das aus einem neuen Codewort (mit „Cluster" bezeichnet) und einer oder mehreren IP-Adressen besteht, die durch mindestens eine Leerstelle voneinander getrennt sind.
  • Beispielsweise
  • [CLUSTER]
    • Cluster 1 = 143.1.0.64 143.1.1.157
    • Cluster 2 = 143.1.0.63 143.1.0.65 143.1.0.66
  • Die unterstützte Syntax eines Policen-Eintrags in dem neuen „CLUSTER" Abschnitt muss in dem folgenden Format geschrieben werden:
    'Cluster' <nr> '=' <IP address> ['' <IP address>]
  • Wenn ein Kommunikations-Partner (Ziel) hinter einem Zugangs-Cluster positioniert ist, der die aktuelle Authentisierung und/oder Verschlüsselungs/Entschlüsselungs-Aufgaben durchführt, muss der Code-Management-Service-Prozess die Adressen eines möglichen Tunnels des Zugang-Clusters kennen. Wenn nur ein Zugang vorhanden ist, kann ein Tunnel-Eintritt in der üblichen Weise spezifiziert werden, obgleich ein Cluster definiert und dann dem Tunnel-Zugang hinzuaddiert werden kann; wenn jedoch zwei oder mehr Zugänge vorhanden sind, muss das Cluster definiert werden und das entsprechende Cluster dem Tunnel-Eintritt anstelle einer einzigen Tunnel-Adresse hinzuaddiert werden.
  • Die Syntax für einen einzelnen Tunnel-Eintritt ist wie folgt:
    'Tunnel' <nr> '=' <start address> ['-' <end address>]''(<tunnel address>) 'Cluster' <nr>/'AUTO')
  • Das folgende Beispiel von möglichen Strategie-Datei-Einträgen unter Verwendung der vorstehenden Beispiele stellt die Syntax klar.
  • [TUNNEL]
    • Tunnel 1 = 143.1.0.24–143.1.0.30 Cluster 1
  • (Dies bedeutet, dass von der IP-Adresse 143.1.0.24 zu der IP-Adresse 143.1.0.30 jede IP-Adresse durch das Cluster 1 nach der Tunnel-Methode aufgegeben wird, so dass entweder der Zugang 143.1.0.64 oder der Zugang 143.1.1.157 verwendet wird, um die tatsächliche Authentisierung und/oder Verschlüsselungs-Entschlüsselungs-Aufgaben durchzuführen.
    Tunnel 2 = 143.1.0.24–143.1.0.30 143.1.1.160
  • (Dies ist auch ein gültiger Eintrag, der bedeutet, dass der Zugang 143.11.160 verwendet wird, um die tatsächliche Authentisierung und/oder Verschlüsselungs/Entschlüsselungs-Aufgaben durchzuführen.
  • Eine automatisch detektierte RAS-Server-Adresse kann an eine Adresse oder ein Zugangs-Cluster durch den folgenden Eintrag in dem Tunnel-Abschnitt umgeleitet werden:
    'Redirect Tunnel' <nr> '=' <server address>'' (<tunnel-address>/Cluster' <nr>)
  • Um die Arbeitsbelastung zu verteilen, verteilt der Code-Management-Service die Reihenfolge der spezifizierten Zugangs-Adressen für alle Tunnel-Eingänge wahllos und zwar jedesmal, wenn er den Service aus der Strategie-Datei abliest und bevor er ihn an den Kunden-IP-Filter leitet.
  • Um den Fehler eines Zugangs festzustellen, sendet das Kunden-IP-Filter „Heartbeat" Pakete an den Zugang als Antwort durch das Zugangs-IP-Filter. Wenn die Antwort auf ein solches Paket nicht innerhalb von n Sekunden ankommt, wird ein zweites Paket gesendet. Um diese „Ansprechzeit" zu konfigurieren, ist ein Statement in dem GENERAL – Abschnitt der Strategie-Datei erforderlich:
    'Heartbeat Ansprechzeit '=' <Anzahl von Sekunden>
  • Wenn ein solcher Eintrag nicht vorhanden ist, wird der Standardwert des Kunden-IP-Filters verwendet.
  • Um die Arbeitsbelastung für den Zugang zu verringern, werden „Heartbeat"-Nachrichten nur gesendet, wenn ein Dialog-Schlüssel aufgebaut worden ist und kein Paket aus dem Zugang während der letzten n Sekunden empfangen worden ist. Solange Pakete von dem Zugang innerhalb des obigen Zeitintervalls empfangen werden, wird der Zugang als im Betrieb befindlich angesehen. Wenn das Kundenfilter Dialog-Schlüssel aufweist, die für mehr als einen Zugang in einem Cluster errichtet worden sind, werden Heartbeat-Nachrichten nur an den Zugang gesendet, der für Kommunikationen verwendet wird, die von dem Kunden stammen. Um diese Funktionalität zu stützen, wird ein weiterer Eintrag in den GENERAL-Abschnitt der Strategie-Datei eingeführt.
    'Heartbeat Verzögerungszeit''=' <Anzahl von Sekunden>
  • Wenn kein solcher Eintrag vorhanden ist, wird der Standardwert des Kunden-IP-Filters verwendet.
  • Um die Heartbeat-Funktionalität unwirksam zu machen, wird ein weiterer neuer Strategie-Datei-Eintrag in den GENERAL-Abschnitt erforderlich: 'Heartbeat' '=' (NEIN/VERZÖGERT/SOFORT)
    Heartbeat = NEIN sperrt die Heartbeat-Funktionalität, d.h. dass keine Heartbeat-Pakete gesendet werden.
    Heartbeat = VERZÖGERT verzögert das Absenden von Heartbeat-Paketen an die Kundenseite solange, bis der Kunde IP-Pakete an den entsprechenden Zugang gesendet hat.
    Heartbeat = SOFORT das Kunden-IP-Filter sendet Heartbeat-Pakete an den Zugang ohne jede Verzögerung.
  • Bei fehlender Angabe werden keine Heartbeat-Pakete gesendet.
  • Zusammenfassend erläutert die Erfindung Mittel bzw. Schritte, die ein Computersystem in die Lage versetzen, einen ersten Knoten mit einem zweiten Knoten über einen einer Vielzahl von dritten Knoten zu verbinden, und Kommunikationen zwischen den ersten und dritten Knoten, die verschlüsselt sind, wenn der dritte Knoten im Betrieb ausfällt, herzustellen. Fehlerdetektions-Nachrichten werden gesendet und wenn sie nicht zu dem entsprechenden Zeitpunkt beantwortet werden, wird ein weiterer dritter Knoten für die Anwendung ausgewählt. Wenn der letztere nicht bereits authentisiert ist, d.h. nicht in einem geeigneten Zustand für eine verschlüsselte Kommunikation ist, muss er zuerst authentisiert werden und es muß beispielsweise ein entsprechender Nachrichten-Verschlüsselungs-Schlüssel erstellt werden.

Claims (13)

  1. Computersystem mit einem ersten Knoten (1), der mit einem zweiten Knoten (5, 6, 7) über einen einer Vielzahl von dritten Knoten (21, 23, 24) verbindbar ist, Datenverbindungen zwischen dem ersten Knoten (1) und dem entsprechenden dritten Knoten (21, 22, 23), der verschlüsselt ist, sowie einer Vorrichtung (8) zum Auswählen eines dritten Knotens (21, 22, 23) und zum Herstellen einer verschlüsselten Verbindung zwischen dem ersten Knoten (1) und dem ausgewählten dritten Knoten (21, 22, 23), einer Vorrichtung (1c, 21c, 22c, 23c) zum Detektieren eines anschließenden Fehlers des ausgewählten dritten Knotens, und einer Vorrichtung (8) zum Auswählen eines weiteren dritten Knotens (21, 22, 23) sowie zum Herstellen einer verschlüsselten Verbindung zwischen dem ersten Knoten (1) und dem anderen ausgewählten dritten Knoten (21, 22, 23), bei dem der erste Knoten und die Vielzahl von dritten Knoten ein virtuelles privates Netzwerk darstellen, in welchem eine Datenverbindung zwischen dem ersten Knoten und jedem der dritten Knoten mit einem entsprechenden Nachrichten-Verschlüsselungs-Code verschlüsselt sind, der nach einem entsprechenden Authentisierungs-Prozess aufgebaut wird, bei dem die Vorrichtung (8) zum Auswählen des dritten Knotens einen Code-Management-Service umfasst, der einen dritten Knoten aus der Vielzahl auswählt und der versucht, den entsprechenden Authentisierungs-Prozess damit bei einer Anfrage durch den ersten Knoten für einen entsprechenden Nachrichten-Verschlüsselungs-Code auszuführen, und bei dem bei einer erfolgreichen Authentisierung der erste Knoten (1) und der ausgewählte dritte Knoten (21, 22, 23) den entsprechenden Nachrichten-Verschlüsselungs-Code pufferspeichern.
  2. Computersystem nach Anspruch 1, bei dem der Schlüssel-Management-Service (8) willkürlich einen dritten Knoten aus der Vielzahl auwählt.
  3. Computersystem nach Anspruch 1, bei dem der erste Knoten und jeder der dritten Knoten ein entsprechendes Internet-Protokoll-IP-Filter (1c, 21c, 22c, 23c) enthält, das die Vorrichtung zum Detektieren des Fehlers des dritten Knotens aufweist, bei dem das IP-Filter (1a) des ersten Knotens ein Fehler-Detektionssignal an den ausgewählten dritten Knoten sendet, das IP-Filter (21c, 22c, 23c) des ausgewählten dritten Knotens eine Antwort auf das Fehler-Detektionssignal sendet, wenn der ausgewählte dritte Knoten in Betrieb ist, bei dem im Fall keiner Antwort das IP-Filter (1c) des ersten Knotens versucht, einen weiteren dritten Knoten aus der Vielzahl dieser Knoten aufzufinden, der bereits authentisiert ist, und der entsprechende Nachrichten-Verschlüsselungs-Codes für nachfolgende Datenverbindungen benutzt oder, wenn noch kein anderer dritter Knoten authentisiert ist, das IP-Filter (1c) des ersten Knotens eine Anfrage nach einem Nachrichten-Verschlüsselungs-Code an den Code-Management-Service (8) gibt, der versucht, einen weiteren dritten Knoten aus der Vielzahl von Knoten zu authentisieren.
  4. Computersystem nach Anspruch 3, bei dem das IP-Filter des ersten Knotens (1) das Fehler-Detektionssignal überträgt, wenn ein entsprechender Nachrichten-Verschlüsselungs-Code aufgebaut worden ist und keine Datenverbindung von dem ausgewählten dritten Knoten (21, 22, 23) innerhalb eines vorgegebenen Zeitintervalls durch den ersten Knoten (1) aufgenommen worden ist.
  5. Computersystem nach Anspruch 4, bei dem dann, wenn Nachrichten-Verschlüsselungs-Schlüssel für mehr als einen der dritten Knoten aufgebaut worden sind, das IP-Filter des ersten Knotens (1) das Fehler-Detektionssignal nur an den ausgewählten dritten Knoten (21, 22, 23) sendet.
  6. Computersystem nach Anspruch 4, bei dem das IP-Filter des ersten Knotens (1) die Übertragung des Fehler-Detektionssignals solange zurückstellt, bis der erste Knoten (1) verschlüsselte Datenverbindungen an den ausgewählten dritten Knoten (21, 22, 23) übertragen hat.
  7. Computersystem nach einem der Ansprüche 3–6, bei dem das IP-Filter des ersten Knotens (1) das Fehler-Detektionssignal in gleicher Weise einschließt wie die Datenverbindungen zwischen dem ersten Knoten (1) und dem ausgewählten dritten Knoten (21, 22, 23) konfiguriert sind, und das Ansprechen des ausgewählten dritten Knotens ein gleich großes Signal in entgegengesetzter Richtung aufweist.
  8. Computersystem nach einem der Ansprüche 2–7, bei dem der Code-Management-Service die Reihenfolge der Vielzahl von dritten Knoten (21, 22, 23) in der Weise randomisiert, wie sie in einer Strategie-Datei (1b) des ersten Knotens (1) gelistet ist, und das IP-Filter (1c) des ersten Knotens die randomisierte Liste in sequentieller Reihenfolge durchsucht, wenn versucht wird, einen anderen dritten Knoten für die Datenverbindungen mit ihr zu finden.
  9. Verfahren zum Detektieren von Knotenfehlern und zum Verbinden mit einem anderen Knoten in einem Computersystem, bei dem ein erster Knoten (1) mit einem zweiten Knoten (5, 6, 7) über einen einer Vielzahl von dritten Knoten (21, 22, 23) verbunden wird, Datenverbindungen zwischen dem ersten Knoten (1) und dem einen der dritten Knoten (21, 22, 23) verschlüsselt werden, wobei das Verfahren zum Detektieren von Fehlern des einen der dritten Knoten (21, 22, 23) nach dem Authentisieren und zum Verbinden des ersten Knotens (1) damit und zum Herstellen einer Verbindung des ersten Knotens (1) mit einem anderen der dritten Knoten (21, 22, 23) angewendet wird, und zum Ausführen von Schritten, bei denen der erste Knoten (1) ein Fehler-Detektionssignal an den einen der dritten Knoten (21, 22, 23) zu einem vorbestimmten Zeitpunkt sendet, wobei dann, wenn der eine dritte Knoten in Betrieb ist, er eine Antwort auf das Fehler-Detektionssignal zum ersten Knoten (1) sendet, und falls keine Antwort innerhalb eines vorbestimmten Zeitintervalls aufgenommen wird, der erste Knoten (1) entweder eine Verbindung mit einem anderen der dritten Knoten (21, 22, 23), der vorher authentisiert war, herstellt oder versucht, einen anderen der dritten Knoten zu authentisieren und mit ihm eine Verbindung herzustellen, und wobei der erste Knoten und die Vielzahl von dritten Knoten ein virtuelles privates Netzwerk bilden, in welchem Datenverbindungen zwischen dem ersten Knoten (1) und jedem der dritten Knoten (21, 22, 23) mit einem entsprechenden Nachrichten-Verschlüsselungs-Code verschlüsselt werden, und wobei ein entsprechender Nachrichten-Verschlüsselungs-Code nach jeder Authentisierung aufgebaut wird.
  10. Verfahren nach Anspruch 9, bei dem ein dritter Knoten (21, 22, 23) willkürlich aus der Vielzahl bei einer Anfrage für einen Nachrichten-Code durch den ersten Knoten (1) ausgewählt wird, dass ein Authentisierungs-Prozess mit dem ausgewählten dritten Knoten durchgeführt wird, und dass, wenn dies erfolgreich ist, ein Nachrichten-Verschlüsselungs-Code generiert und am ersten Knoten (1c) sowie dem ausgewählten dritten Knoten (21c, 22c, 23c) puffergespeichert wird.
  11. Verfahren nach Anspruch 10, bei dem das Fehler-Detektionssignal übertragen wird, wenn ein entsprechender Nachrichten-Verschlüsselungs-Code generiert worden ist und keine Datenverbindung von dem ausgewählten dritten Knoten durch den ersten Knoten innerhalb des vorbestimmten Zeitintervalls aufgenommen worden ist.
  12. Verfahren nach Anspruch 10, bei dem dann, wenn Nachrichten-Verschlüsselungs-Codes für mehr als einen der dritten Knoten aufgebaut worden sind, das Fehler-Detektionssignal nur an den ausgewählten dritten Knoten gesendet wird.
  13. Verfahren nach Anspruch 10, bei dem eine Übertragung des Fehler-Detektionssignals solange verzögert wird, bis der erste Knoten verschlüsselte Dateninformationen an den ausgewählten dritten Knoten übertragen hat.
DE60108927T 2000-06-15 2001-05-09 Computersysteme, insbesondere virtuelle private Netzwerke Active DE60108927T8 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0014523 2000-06-15
GB0014523A GB2363548A (en) 2000-06-15 2000-06-15 Computer systems, in particular virtual private networks

Publications (3)

Publication Number Publication Date
DE60108927D1 DE60108927D1 (de) 2005-03-24
DE60108927T2 true DE60108927T2 (de) 2005-12-29
DE60108927T8 DE60108927T8 (de) 2006-05-04

Family

ID=9893629

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60108927T Active DE60108927T8 (de) 2000-06-15 2001-05-09 Computersysteme, insbesondere virtuelle private Netzwerke

Country Status (4)

Country Link
US (1) US7000121B2 (de)
EP (1) EP1175061B1 (de)
DE (1) DE60108927T8 (de)
GB (1) GB2363548A (de)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002032050A2 (en) * 2000-10-10 2002-04-18 Nokia Corporation Techniques for hiding network element names and addresses
US6715098B2 (en) 2001-02-23 2004-03-30 Falconstor, Inc. System and method for fibrechannel fail-over through port spoofing
US7093127B2 (en) * 2001-08-09 2006-08-15 Falconstor, Inc. System and method for computer storage security
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US20040039781A1 (en) * 2002-08-16 2004-02-26 Lavallee David Anthony Peer-to-peer content sharing method and system
US7440464B2 (en) * 2002-08-29 2008-10-21 Nokia Corporation Server control plane connections recovery in a server-gateway architecture based telecommunication network
US7650638B1 (en) * 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7454785B2 (en) 2002-12-19 2008-11-18 Avocent Huntsville Corporation Proxy method and system for secure wireless administration of managed entities
US7266715B1 (en) * 2003-04-29 2007-09-04 Cisco Technology, Inc. Methods and apparatus for maintaining a virtual private network connection
US7394761B2 (en) 2003-04-29 2008-07-01 Avocent Huntsville Corporation System and method for delivering messages using alternate modes of communication
ATE359565T1 (de) * 2003-05-08 2007-05-15 Koninkl Philips Electronics Nv Verfahren, system, basisstation und datenträger zur kollisionsfreien signalübertragung zwischen einer basisstation und einer anzahl beweglicher datenträger
DE10345535B4 (de) * 2003-09-30 2005-10-06 Siemens Ag Überprüfung der Verfügbarkeit eines Servers
US7734907B2 (en) * 2003-12-08 2010-06-08 Symantec Corporation Methods and systems for redirecting data
WO2005059684A2 (en) * 2003-12-10 2005-06-30 Aventail Corporation End point control
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US8661158B2 (en) * 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US20050138417A1 (en) * 2003-12-19 2005-06-23 Mcnerney Shaun C. Trusted network access control system and method
WO2006044820A2 (en) 2004-10-14 2006-04-27 Aventail Corporation Rule-based routing to resources through a network
US7787383B2 (en) * 2005-03-04 2010-08-31 Network Appliance, Inc. Method and apparatus for monitoring a connection in a peer-to-peer network
US20070008895A1 (en) * 2005-07-05 2007-01-11 Sbc Knowledge Ventures Lp Method and apparatus for improving centralized management of customer network sites
JP4414961B2 (ja) * 2005-12-13 2010-02-17 株式会社日立製作所 管理サーバによる管理方法、管理サーバ、計算機システムおよび管理プログラム
US20090328184A1 (en) * 2008-06-26 2009-12-31 Utstarcom, Inc. System and Method for Enhanced Security of IP Transactions
US9413882B2 (en) * 2009-02-27 2016-08-09 Blackberry Limited System and method for enabling encrypted voice communications between an external device and telephony devices associated with an enterprise network
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
CN102025798B (zh) * 2010-12-15 2013-12-04 华为技术有限公司 地址分配处理方法、装置和系统
US8806609B2 (en) * 2011-03-08 2014-08-12 Cisco Technology, Inc. Security for remote access VPN
US8769089B2 (en) 2011-11-15 2014-07-01 International Business Machines Corporation Distributed application using diagnostic heartbeating
US8903893B2 (en) * 2011-11-15 2014-12-02 International Business Machines Corporation Diagnostic heartbeating in a distributed data processing environment
US8756453B2 (en) 2011-11-15 2014-06-17 International Business Machines Corporation Communication system with diagnostic capabilities
US8874974B2 (en) 2011-11-15 2014-10-28 International Business Machines Corporation Synchronizing a distributed communication system using diagnostic heartbeating
US9244796B2 (en) 2011-11-15 2016-01-26 International Business Machines Corporation Diagnostic heartbeat throttling
FR3015826B1 (fr) * 2013-12-20 2016-01-01 Schneider Electric Ind Sas Procede de surveillance d'une communication entre un equipement emetteur et un equipement recepteur
US10277559B2 (en) * 2014-05-21 2019-04-30 Excalibur Ip, Llc Methods and systems for data traffic control and encryption
US10169719B2 (en) * 2015-10-20 2019-01-01 International Business Machines Corporation User configurable message anomaly scoring to identify unusual activity in information technology systems
EP4195731A1 (de) * 2019-01-21 2023-06-14 Telefonaktiebolaget LM Ericsson (publ) Verfahren zur authentifizierung und schlüsselverwaltung in einem drahtlosen kommunikationsnetz und zugehörige vorrichtungen
DE102019211395B4 (de) * 2019-07-31 2021-03-04 Siemens Schweiz Ag Effizienter Heartbeat-Mechanismus für Cloud-Anwendungen

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2028062B (en) * 1979-08-17 1982-07-21 Standard Telephones Cables Ltd Transmission system
EP0537903A2 (de) * 1991-10-02 1993-04-21 International Business Machines Corporation Verteiltes Kontrollsystem
GB2289394B (en) * 1994-05-09 1998-06-10 Europlex Res Ltd A ring network system
US5623532A (en) * 1995-01-12 1997-04-22 Telefonaktiebolaget Lm Ericsson Hardware and data redundant architecture for nodes in a communications system
US5917900A (en) * 1997-02-07 1999-06-29 Mci Communications Corporation Remote data gateway
US6370571B1 (en) * 1997-03-05 2002-04-09 At Home Corporation System and method for delivering high-performance online multimedia services
GB2328352A (en) * 1997-08-12 1999-02-17 Lucent Technologies Uk Limited Redundant communication network
US6735631B1 (en) * 1998-02-10 2004-05-11 Sprint Communications Company, L.P. Method and system for networking redirecting
US6557037B1 (en) * 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
US6473863B1 (en) * 1999-10-28 2002-10-29 International Business Machines Corporation Automatic virtual private network internet snoop avoider

Also Published As

Publication number Publication date
GB0014523D0 (en) 2000-08-09
DE60108927D1 (de) 2005-03-24
US7000121B2 (en) 2006-02-14
GB2363548A (en) 2001-12-19
EP1175061A3 (de) 2003-07-09
US20010054158A1 (en) 2001-12-20
DE60108927T8 (de) 2006-05-04
EP1175061B1 (de) 2005-02-16
EP1175061A2 (de) 2002-01-23

Similar Documents

Publication Publication Date Title
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE69922690T2 (de) Fehlertolerante netze
DE60317705T2 (de) Verfahren und system zur cluster-verwaltung von netzwerkeinrichtungen
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60122782T2 (de) Adressierungsverfahren und system zur verwendung einer anycast-adresse
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE60103942T2 (de) Lastausgleich in einem Telekommunikationssystem das Mobil IP unterstützt
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE69829346T2 (de) Ein-/Ausgabevorrichtung für ein Peripheriegerät
DE10052312A1 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
WO2023274678A1 (de) Verwalten von schlüsseln für eine sichere kommunikation zwischen kommunikationsteilnehmern über einen getrennten kommunikationskanal
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE19921589C2 (de) Verfahren zum Betrieb eines Datenübertragungssystems
EP3152884A1 (de) Verfahren zur weiterleitung von daten zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE102009032465A1 (de) Sicherheit in Netzwerken
EP1049013A2 (de) Interprozesskommunikationssystem
DE19961399C2 (de) Schutz sicherheitskritischer Daten in Netzwerken
DE60217520T3 (de) Router discovery protokoll auf einem mobilen internetprotokoll basierendem netz
DE60131889T2 (de) Verfahren und telekommunikationsknoten zur verteilung von abschlussverkehr in einem telekommunikationsknoten
DE60317541T2 (de) Verfahren zur bestimmung eines übergeordneten portals in einem drahtlosen netzwerk und entsprechende portaleinrichtung
DE4010266C2 (de)
DE102006038599B3 (de) Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung
DE60015942T2 (de) Kommunikationsverwaltungstabellen-Übertragungssystem, Verwaltungsvorrichtung, Verschlüssler und Kommunikationsverwaltungstabellen-Übertragungsverfahren
EP1099326A2 (de) Verfahren zur verbindung von endgeräten mit externen modems

Legal Events

Date Code Title Description
8364 No opposition during term of opposition