-
Die
vorliegende Erfindung bezieht sich auf ein Verfahren und eine Anordnung
in einem Datenkommunikationssystem in Internetprotokoll- (IP-) Umgebungen
gemäß der Präambel der
unabhängigen
Ansprüche.
Genauer bezieht sie sich auf entfernten und sicheren Zugriff auf
ein Datenkommunikationsnetz, wie etwa ein Unternehmens-Intranet über eine
sogenannte pseudo-verbindungslose Technologie- (PCT, Pseudo-Connectionless
Technology) Einrichtung, wie etwa einen allgemeinen Paketfunkdienst
(GPRS, General Packet Radio Service).
-
BESCHREIBUNG
DES STANDES DER TECHNIK
-
In
der sehr nahen Zukunft werden, wenn kommerzieller GPRS oder andere ähnliche
Dienste eingeführt
sind, die mobile Arbeitskraft von Unternehmen, z.B. geschäftliche
Führungskräfte, Berater,
Verkäufer,
Zustellungsflotten etc., in der Lage sein, auf eine kosteneffiziente
Art und Weise auf ihr Unternehmensnetz zuzugreifen, während sie
sich unterwegs befinden, im Gegensatz zu früheren schaltungsvermittelten
Daten eines globalen Systems für
mobile Kommunikationen (GSM, Global System for Mobile Communications),
die hohe Belastungen pro Minute ungeachtet dessen nach sich gezogen
haben, ob Daten tatsächlich übertragen
wurden. (Eine Liste von Akronymen ist am Ende der Beschreibung zu
finden.) Um den Fernzugriff zu erreichen, sind verschiedene Prozeduren
zum Speichern und Handhaben von Konfigurationsinformation und dynamischen
Einrichten von Kommunikationskanälen
erforderlich.
-
Spezieller
betreffen die Konfigurationsinformation und dynamischen Einrichtungsprozeduren drei
unterschiedliche Bereiche:
- – Datenverknüpfung zwischen
einer Berechnungseinrichtung und einer Mobildaten-Kommunikationseinrichtung.
- – Öffentliche
Kommunikationskanäle,
d.h. Datendienste, wie etwa z.B. GPRS, Internet, die die sogenannte
IP-Protokollsuite verwenden.
- – Sichere
private Kommunikationskanäle,
wie etwa virtuelle private Netze (VPN, Virtual Private Networks),
Authentifizierungsdienste etc.
-
In
WO 98/32301 werden z.B. ein System und ein Verfahren für einen
Fernzugriff eines Hosts auf ein privates Netz über ein GPRS-Telefon offengelegt.
-
US 6.012.088 beschreibt
ein Verfahren zum Konfigurieren einer Internet-Zugriffseinrichtung
für Kommunikation
mit einem Datenkommunikationsnetz.
-
Fernzugriff auf Datennetze.
-
Sogenannte "Einwahl-Clients" und "Verbindungsmanager" ermöglichen,
Netzverbindungen für Computer,
z.B. Desktop-PCs, Laptops, persönliche digitale
Assistenten (PDAs) etc. automatisch zu konfigurieren und zu managen.
Allgemeiner kann eine derartige Software innerhalb einer beliebigen
Verbraucher- oder industriellen elektronischen Einrichtung, z.B.
einer Spielkonsole, einer digitalen Kamera, eines Verkaufsautomaten,
eines digitalen Messgerätes
etc., eingebettet sein, die eine interne oder externe Kommunikationseinrichtung
verwendet, um auf ein Datennetz über
ein unterschiedliches, häufig öffentliches,
Telekommunikationsnetz zuzugreifen.
-
Es
gibt hauptsächlich
zwei Arten von Software, die für
einen Fernzugriff auf Datennetze verwendet wird:
- – Software
für Basis-Einwahl-Konnektivität, und
- – Software
für Einwahl-Manager.
-
Der
erste Typ von Software sieht die Basiskomponenten vor, die durch
einen Computer oder eine integrierte Kommunikationseinrichtung benötigt werden,
um auf das Internet unter Verwendung eines Modems über ein öffentliches
Telekommunikationsnetz zuzugreifen, gewöhnlich das analoge festverdrahtete
Telefon oder ein mobiler Telefondienst, entweder analog oder digital.
-
Derartige
Software umfasst:
- – Modem-Steuerprozeduren, die
ermöglichen, eine
Telefonnummer zu dem Point of Presence (POP, Anwesenheitspunkt)
des Internetdienstanbieters zu wählen,
eine Installation, die ein "Gateway" zwischen dem Telefonnetz
und dem Internet über
das private Netz des ISP vorsieht, und anschließend die Verbindung zu steuern.
- – Formatieren
von Daten für
einen geeigneten Transfer über
Telefonleitungen unter Verwendung des Punkt-zu-Punkt-Protokolls
(PPP).
- – Grundlegende
Benutzerauthentifizierungsmechanismen, die z.B. ein standardisiertes
Passwort-Identifikationsprotokoll (PAP, Password identification
Protocol), Aufforderungs-Handshake-Authentifizierungsprotokoll (CHAP,
Challenge Handshake Authentication Protocol) oder proprietäre Algorithmen
(z.B. Microsoft'sTM MS-CHAP, Shiva'sTM Password
identification Protocol (SPAP), RSA's(TM) SecurId) verwenden.
- – "System"-Funktionen, um die
unterschiedlichen Funktionen, den Datenkommunikations-Protokollstapel
in dem System, z.B. Übertragungssteuerprotokoll
(Transmission Control Protocol TCP)/IP und sogenannte Anwendungen
einer "oberen Schicht" zu verknüpfen.
-
Der
zweite Typ von Software, Einwahl-Manager, baut auf der Funktionalität des ersten
durch Vorsehen einiger "Mehrwert"-Funktionen auf,
wie etwa:
- – Bereitstellen
von Statistiken und Sitzungsinformation für den Benutzer, wie etwa online
verbrachte Zeit, Volumen von transferierten Daten, Status der Kommunikation,
Netzadressinformation etc.
- – Unterhalten
einer Liste der Telefonnummern für die
POPs vom ISP weltweit, d.h. ein Telefonbuch.
- – Managen
aller Kommunikationseinstellungen für unterschiedliche Standorte
oder Dienste und automatisches Konfigurieren von allem abhängig von
dem durch den Benutzer gewählten
Standort und Dienst.
- – Ermöglichen,
Kommunikationseinstellungen zu exportieren oder zu importieren,
um z.B. einem IT-Manager zu ermöglichen,
Einstellungsprofile zu Unternehmensendbenutzern zu verteilen.
-
Mobile Datentechnologien
-
Es
existiert ein breiter Bereich von festen und mobilen Datenkommunikationstechnologien.
Alle diese Technologien haben gemeinsam, dass sie stets verbunden
sind, erfordern aber einige komplexe Einrichtungsinformation. Im
folgenden werden diese Charakteristika "pseudo"-verbindungslos genannt. Diese Technologien
haben weiter gemeinsam, dass sie ein spezialisiertes Zugriffsnetz
verwenden und dedizierte Gateways verwenden, um auf das Internet zuzugreifen.
Diese Technologien werden im weiteren pseudo-verbindungslose Technologien
(PCT) genannt.
-
Eine
derartige mobile Datenkommunikationstechnologie ist die sogenannte
GPRS-Technologie. (GPRS) ist ein Telekommunikationsdienst, der speziell
auf digitale zellulare Netze angepasst ist, wie etwa GSM, universelles
mobiles Telekommunikationssystem (Universal Mobile Telecommunications System,
UMTS) und Vielfachzugriff im Zeitmultiplex (TDMA, Time Division
Multiple Access), was der digitale mobile Dienst in den USA und
auf anderen Märkten
ist, der in dem Frequenzband von 800 und 1900 MHz arbeitet. GPRS
macht vom Paketfunkprinzip Gebrauch und wird verwendet, um Daten über z.B. die
Protokolle IP und X.25 von einem GPRS-Endgerät zu anderen GPRS-Endgeräten oder
externen Datennetzen zu transferieren. GPRS ist im European Telecommunication
Standardisation Institute (ETSI) (ETSI GSM 09.61, 07.07, 04.60 für GPRS-
und GSM-Technologien)
und in dem third Generation Partnership Project (3GPP), z.B. der
Spezifikation 3GPP 23.060, standardisiert. GPRS macht von einer Paketdatentechnik
Gebrauch, um Daten hoher Geschwindigkeit und Daten geringer Geschwindigkeit auf
eine effiziente Weise z.B. über
GSM-Funknetze zu übertragen.
GPRS optimiert die Verwendung von Netzressourcen und Funkressourcen.
Es wird eine strikte Trennung der Funkteilsysteme und der Netzteilsysteme
erhalten, was dazu führt,
dass die Netzteilsysteme durch andere Funkzugriffstechnologien wieder
verwendet werden können.
-
GPRS
ist folglich ein paketvermittelter Datendienst, der eine mobile Übertragung
hoher Geschwindigkeit von Daten mit effizienter Verwendung der verfügbaren Bandbreite
ergibt. In der Theorie können Übertragungsraten
bis zu mehreren 100 kb/s erreicht werden. Mit einer Luftschnittstelle
der dritten Generation, wie etwa Breitband-Vielfachzugriff im Codemultiplex
(WCDMA, Wideband Code Division Multiple Access), wie in dem globalen
UMTS-Standard, kann
ein Durchsatz von rohen Daten bis zu 2000 kb/s ansteigen, im Vergleich
zu 9,6 kb/s, was GSM heute zustellen kann. Datenübertragung über GSM kann auf zwei unterschiedlichen
Wegen realisiert werden, schaltungsvermittelt wie in Sprachübertragungen
von heute oder paketvermittelt wie in GPRS.
-
Es
können
jedoch andere feste oder mobile Datenkommunikationstechnologien
eine ähnliche "Träger"-Rolle erfüllen und
einige Charakteristika mit GPRS gemeinsam nutzen, wie etwa, dass
sie "pseudoverbindungslos" sind, ein spezialisiertes
dediziertes Zugriffsnetz und dedizierte Gateways verwenden, um auf
das Internet zuzugreifen. Ein Beispiel sind zellulare digitale Paketdaten
(CDPD, Cellular Digital Packet Data), die auf die standardisierte
Technologie "Telecommunications
Industry Association (TIA) TR-45.6 (IS-732 and IS-732A) for CDPD" verweisen. Eine ähnliche,
aber leitungsgebundene pseudo-verbindungslose Technologie ist asymmetrische
digitale Teilnehmerleitung (ADSL, Asymmetric Digital Subscriber
Line).
-
Einwahl-Software
erfordert, an die pseudo-verbindungslosen Charakteristika dieser
Technologien angepasst zu sein und Konfigurationsparameter und Sitzungseinrichtungsprozeduren
einzubeziehen, die für
diese Technologien spezifisch sind.
-
Die
gegenwärtige
Implementierungen verwenden Software wieder, die für eine Einwahl
im öffentlichen
vermittelten Telefonnetz (PSTN, Public Switched Telephone Network)
entwickelt wurde, und verwenden Tricks, um die GPRS-Verbindung von
einer Berechnungseinrichtung zu managen. Dies wird im weiteren beschrieben.
-
Software für ein virtuelles
privates Netz (VPN) im Fernzugriff.
-
Sichere
Vernetzung deckt drei Bereiche ab:
Authentifizierung: Dies
sind Techniken, die ermöglichen
sicherzustellen, dass beide Enden der Sitzung, der Benutzer und
der Fernnetzzugriffserver, tatsächlich
das sind, was sie sagen, dass sie sind. Dies wird auf eine Reihe
von Wegen erreicht, erfordert aber im allgemeinen, dass der Benutzer
irgendeine Eingabe vorsieht, z.B. ein Passwort, eine Smart-Karte
etc., und die Maschinen irgendeine kryptografische Behandlung durchführen, z.B.
Hash-Funktionen. Passwortauthentifizierungsprotokoll (PAP), Aufforderungs-Handshake-Authentifizierungsprotokoll (CHAP),
erweiterbares Authentifizierungsprotokoll (EAP), Nachrichten-Auszugs-Algorithmus Nummer
5 (MD-5) und öffentliche
Schlüsselinfrastruktur
(PKI) sind Beispiele von standardmäßigen Authentifizierungstechniken,
die auf dem Markt existieren.
-
Verschlüsselung:
Unter Verwendung eines vorher abgestimmten Verschlüsselungsalgorithmus können Maschinen
die Daten verwürfeln,
die sie austauschen, sodass sie einen beliebigen Versuch erfassen
können,
sie zu manipulieren und Vertraulichkeit von Ende zu Ende sicherstellen.
Dies erfordert jedoch im allgemeinen, dass die zwei Maschinen eine identische
Menge von kryptografischem Material oder Schlüsseln haben, um den Verschlüsselungsalgorithmus
vorzusehen. Es gibt eine Reihe von Verschlüsselungsalgorithmen, wie etwa
Datenverschlüsselungsstandard
(DES, Data Encryption Standard), 3-DES, Blowfish, Carlisle Adams
und Stafford Tavares (CAST), internationaler Datenverschlüsselungsstandard
(International Data encryption Standard, IDEA), Rons Code RC-40/128)
etc., und eine Reihe von Schlüsselaustauschmechanismen,
wie etwa den Internet-Schlüsselaustausch
(IKE, Internet Key Exchange), Diffie-Hellman, Rivest Shamir und
Aldeman's (RSA)
Verschlüsselungsalgorithmus
für einen öffentlichen
Schlüssel
(public key encryption algorithm) etc. mit verschiedenen Parametern,
aus denen Benutzer auswählen
können.
-
Tunneln
oder virtuelle private Netze (VPNs): Schließlich erfordern private Netze,
z.B. ein Unternehmen, von dem öffentlichen
Internet isoliert zu sein. Entfernte mobile Benutzer kommunizieren
jedoch über
ein öffentliches
Netz, im allgemeinen das Internet. Deshalb erfordert sichere Vernetzung
ein Protokoll, das die Tatsache verbirgt, dass Verkehr zwischen
den privaten "Inseln" durch den öffentlichen Internet-"Ozean" läuft, dargestellt
in 1. Dies ist notwendig, da ausgehender Verkehr
von einem lokalen Computer 100 innerhalb eines Privatnetzes 101 zu
einem entferntverbundenen Computer 102 ein dediziertes
Sicherheits-Gateway 103, z.B. einen VPN-Router, durchlaufen
muss, der auf den Datenverkehr kryptografische Behandlung anwendet.
-
Um
dies zu erreichen, ist ein so genanntes "Tunnel-Protokoll" erforderlich. Dieses Protokoll liefert
die Illusion, dass ein entfernter Computer 102 direkt mit
dem privaten Netz 101 verbunden ist. Es vermeidet, dass
lokale Maschinen Daten im Klartext über ein nicht-sicheres öffentliches
Gateway 104 senden, wenn sie einem entfernten Computer
antworten. Stattdessen werden Daten zu dem entfernten Computer durch
das sichere Gateway 103 abgefangen, z.B. unter Verwendung
vom Proxy-Adressauflösungsprotokoll
(ARP, proxy Address Resolution Protocol), optional verschlüsselt, dann "gekapselt" und schließlich über das
Internet 105 zu dem entfernten Computer 102 weitergeleitet.
Dieser gesicherte private Datenverkehr wird in 1 mit
einer unterbrochenen Linie 106 angezeigt.
-
Erneut
gibt es einen Bereich von Protokollen, aus denen Benutzer auswählen können, jedes
mit seinen eigenen Besonderheiten und spezifische Konfigurationsdaten
erfordernd. Die Standards von Internet Engineering Task Force (IETF),
wie etwa Sicheres IP (IPSec), Tunnel-Protokoll in Schicht 2 (Layer
2 Tunneling Protocol, L2TP), allgemeine Weiterleitungs-Kapselung
(General Routing Encapsulation, GRE), etc. sind Beispiele von derartigen
Protokollen.
-
Kommerzielle
sichere VPN-Client-Software umfasst im allgemeinen zwei Komponenten:
- – Einen
Kernel-Modus-Treiber, der in dem Betriebssystem der Maschine installiert
wird und den gesamten Netzverkehr abfängt und die geeignete Transformationen
durchführt,
wie etwa Paket-Header-Formatierung, Prüfsummen, Sequenz-Nummerierung,
Verschlüsselung
etc.
- – Ein
Benutzermodus-Konfigurationswerkzeug, das ermöglicht, die Parameter für den bestimmten VPN-Protokolltreiber
einzustellen und die Sicherheitsrichtlinie einzustellen, z.B. welcher
Verkehr gesichert werden sollte, unter welchen Bedingungen, unter
Verwendung welcher Techniken etc.
-
Typisches Verwendungsszenarium
mit gegenwärtigen
Techniken
-
In
der sehr nahen Zukunft, wenn kommerzielle GPRS- und ähnliche
Dienste eingeführt
werden, wird eine mobile Arbeitskraft eines Unternehmens, für die es
erforderlich ist, unterwegs auf ihr Unternehmensnetz zuzugreifen,
mit zwei Herausforderungen konfrontiert:
- – Durchführen der
Installation und Konfiguration der geeigneten Software und Kommunikationsparameter,
und
- – Starten
mehrerer Anwendungen und Durchführen
mehrerer An meldungsprozeduren jedes Mal, wenn sie auf ihr entferntes
Unternehmensnetz zuzugreifen wünschen.
-
Nachstehend
wird ein Überblick
der erforderlichen Installation und Konfigurationsschritte mit gegenwärtigen Techniken
gezeigt:
- 1. Installieren und Konfigurieren
eines Modems in dem PC, möglicherweise
unter Verwendung einiger zusätzlicher
Treiber und/oder Skripte, die durch den GPRS-Handgerät-Hersteller
bereitgestellt werden.
- 2. Definieren von einem oder mehrerer Paketdaten-Protokoll (PDP)
Kontexten. Dies kann auf mehreren Wegen erreicht werden, wie etwa:
– Statische
Konfiguration durch Handgerät-Fabrikeinstellungen.
– Definiert
durch einen GPRS-Betreiber zur Dienstbereitstellungszeit durch Aktivierung
vom Teilnehmeridentitätsmodul
(SIM, Subscriber Identity Module), oder Aktivierung über-die-Luft.
– Direktes
manuelles Eintasten der PDP-Kontextdaten in dem Handgerät durch
Verwenden von Menüs.
– Durch
den PC durch Eingeben GPRS-spezifischer Standard- Initialisierungsbefehle, wie "AT + CGDCONT = 0,
IP, internet .gprs.telia.se „ 0,1" (PDP-Kontextdefinition),
in den Parametern des Modems oder Verwenden einer HyperTerminalTM-Sitzung und Kommunizieren der Parameter zu
dem Handgerät
durch den seriellen Port des PC.
Dieser PDP-Definitionsschritt
könnte
auch zur Sitzungseinrichtungszeit durchgeführt werden (siehe nächsten Teilabschnitt).
- 3. Konfigurieren eines Benutzernamens und eines Passwortes in
dem Handgerät.
Dies ist optional und dies kann erneut auf mehreren Wegen erreicht
werden:
– Manuelles
Eintasten dieser Authentifizierungsbeglaubigungen.
– Fabrikeinstellungen
durch den GPRS-Handgerät-Hersteller.
– Einstellung
durch den GPRS-Betreiber während der
Dienstbereitstellungsprozedur, z.B. Aktivierung der SIM-Karte, Aktivierung über-die-Luft.
- 4. Erstellen und Konfigurieren einer Einwahl-Vernetzungsverbindung
mit einer GPRS-"Dienstzeichenkette" in der Form von "*98**#" an Stelle der Telefonnummer.
Dies ist ein sogenannter "Modem-Kompatibilitäts"-Trick um in der
Lage zu sein, existierende Einwahl-Software zu verwenden.
- 5. Installieren der VPN-Software, z.B. von einer kompakten Scheibe
(CD), und dann Konfigurieren der geeigneten Adressierung und Authentifizierungsoptionen,
die Installieren und Konfigurieren zusätzlicher Software, z.B. SecurID
von RSA, Importieren eines digitalen Zertifikates implizieren können.
-
Wenn
ein Benutzer wünscht,
auf ein Netz, z.B. sein/ihr Unternehmensnetz, unter Verwendung des
GPRS-Dienstes zuzugreifen, ist die nachstehende Prozedur gegenwärtig wie
folgt:
- 1. Physisches Verknüpfen des PC und des Handgerätes, z.B.
durch Verwenden eines seriellen Kabels oder durch Aktivieren der
Infrarot-Verknüpfung an
dem Handgerät.
- 2. Optionales Starten einer GPRS-spezifischen Software oder
Skriptes, um den obigen Schritt 2 (PDP-Kontextdefinition) durchzuführen und
den zu aktivierenden PDP-Kontext auszuwählen.
- 3. Starten der Einwahl-Software. Dies aktiviert den PDP-Kontext.
- 4. Eingeben eines Benutzernamens und eines Passwortes, falls
dazu aufgefordert wird. Diese sind die, die im obigen Schritt 3
gesetzt wurden.
- 5. Warten auf Verbindungseinrichtung, dann Starten der VPN-Software.
- 6. Eingeben von Benutzerbeglaubigungen, falls dazu aufgefordert
wird, z.B. Benutzername/Passwort, Smart-Karte/persönlicher
Identifikationsnummern- (PIN) Code.
-
Wie
in dem obigen "typischen
Verwendungsszenarium" gesehen
werden kann, können
Installation und Sitzungseinrichtung ziemlich komplex sein und eine
Barriere für
die anfängliche
Einarbeitung durch Unternehmensbenutzer und weitere Massenverwendung
von GPRS-Diensten bilden.
-
Die
Konfiguration erfordert besonders eine Menge manueller Eingabe von
Information in dem Handgerät
und manuelle Softwarekonfiguration an zahlreichen Stellen des Betriebssystems
und der Einwahl-/VPN-Software. Dies erfordert ein in die Tiefe gehendes
technisches Wissen, das die meisten Endbenutzer nicht haben werden.
-
Auch
erfordert die Sitzungseinrichtungsprozedur, dass der Benutzer unterschiedliche
Anwendungen startet und viele Benutzernamen/Passwörter eingibt,
ebenso wie optionales Ausführen
eines Skriptes einer bestimmten Art, um die spezifischen GPRS-Sitzungsparameter
(PDP-Kontextdaten) zu konfigurieren. Dies ist zeitraubend und erfordert
ein in die Tiefe gehendes technisches Wissen, das die meisten Endbenutzer
nicht haben werden.
-
Außerdem ist
der gegenwärtige
Weg zum Konfigurieren und Einrichten eines derartigen GPRS-Fernzugriffs
nicht flexibel und ermöglicht nicht,
Vorteile aus zukünftigen
Fähigkeiten
von z.B. GPRS-Endgeräten
zu ziehen, wie etwa vielfältige PDP-Kontextunterstützung, Roaming
unter Verwendung eines "besuchten" Zugriffspunktnamens
(APN, Access Point Name), alternative ISP-Unterstützung und
Qualität
von Dienstoptionen.
-
Hauptsächlich ist
dies wegen der Tatsache so, dass die PDP-Kontextdaten entweder in
dem Handgerät
oder unter Verwendung von Modeminitialisierungsbefehlen konfiguriert
sind. Deswegen kann abhängig
von dem PC-Betriebssystem und den Fähigkeiten des GPRS-Handgerätes nur
eine Menge von PDP-Kontextinformation gespeichert werden, oder eine
Unterstützung
von mehreren ist umständlich.
-
Zusammenfassend
gesagt bestehen die Nachteile bei dem gegenwärtigen Fernzugriff auf ein privates
Datenkommunikationsnetz über
eine PCT-Einrichtung
darin, dass dem Management von PCT-Sitzungsparametern (z.B. GPRS-PDP-Kontext) Flexibilität fehlt.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Das
Ziel der Erfindung besteht darin, die oben erwähnten Nachteile zu überwinden
und einen Konfigurationsprozess, wenn Datenkommunikationstechnologiesitzungsprofile
in einem Computer konfiguriert werden zum Einrichten einer Fern-
und sicheren Zugriffsitzung von dem Computer zu dem Datenkommunikationsnetz,
der für
den Benutzer weiter erleichtert ist, vorzusehen.
-
Dies
wird gemäß dem Verfahren
und der Anordnung erreicht, die in den charakterisierenden Teilen
der unabhängigen
Ansprüche
dargelegt sind.
-
Dank
der Bereitstellung des Fernzugriffsanmeldungssystems werden die
Information und Instruktionen, die für eine sichere Vernetzungssitzungskonfiguration
und Einrichtung benötigt
werden, in einer einzelnen Schnittstelle zusammengebracht, und Dank
der Bereitstellung des Fernzugriffsanmeldungsverfahrens wird eine
einzelne Verbindungsaktivität
durch einen Benutzer den entfernten und sicheren Zugriff durchführen.
-
Bevorzugte
Ausführungsformen
werden in den abhängigen
Ansprüchen
dargelegt.
-
Ein
Vorteil der vorliegenden Erfindung besteht darin, dass die Prozeduren
für Sitzungseinrichtung
und Konfiguration kürzer
sind und weniger Benutzereingriff erfordern.
-
Ein
anderer Vorteil der vorliegenden Erfindung besteht darin, dass die
Konfiguration einfacher wird.
-
KURZE BESCHREIBUNG DER
ZEICHNUNGEN
-
1 zeigt
ein Blockdiagramm eines Kommunikationssystems gemäß dem Stand
der Technik.
-
2 zeigt
ein Blockdiagramm von einbezogenen Softwarekomponenten gemäß der Erfindung.
-
3 zeigt
ein Flussdiagramm des Verfahrens gemäß der Erfindung.
-
4 zeigt
Signalisierungssequenzen gemäß der Erfindung.
-
BESCHREIBUNG VON BEVORZUGTEN
AUSFÜHRUNGSFORMEN
-
Die
vorliegende Erfindung kann in Kürze
als ein Einwahl-Fernzugriff"Dialler" (Wähler) bezeichnet werden,
integriert mit einem sicheren VPN-Client und mit Merkmalen für die Unterstützung sogenannter Einrichtungen
pseudo-verbindungsloser Technologie (PCT) und Diensten, wie etwa
GPRS-Einrichtungen und
Diensten, ebenso wie einer verbesserten Benutzerschnittstelle für größere Verwendbarkeit.
Die Erfindung, umfassend Software-Logik und Softwarekomponenten,
wird in einem Computer implementiert, z.B. einem Personalcomputer
(PC) – einem Desktop
oder einem Laptop, einem persönlichen
digitalen Assistenten (PDA) oder einer beliebigen industriellen
oder Verbraucher-Elektronikeinrichtung mit Kommunikations- oder
Verbindungsfähigkeiten, und
wird von nun an das Fernzugriffsanmeldungs(RAL, Remote Access Login)
System genannt.
-
2 veranschaulicht
einen Überblick über die
Softwarekomponenten, die in einem sicheren GPRS-Fernzugriffsclient
gemäß der vorliegenden
Erfindung involviert sind. Die RAL-Softwarekomponenten gemäß der vorliegenden
Erfindung werden durch 201 dargestellt, und der Rest der
Softwarekomponenten in 2 sind Stand der Technik. Gestrichelte Linien
repräsentieren
einen Konfigurationsdatenfluss, dicke durchgehende Linien repräsentieren
den Pfad, der durch "Benutzer"-Datagramme von Anwendungen
einer oberen Schicht durch die Kernel-Komponenten zu dem GPRS-Handgerät genommen
wird. Microsoft's
WindowsTM Betriebssystem wird als ein Beispiel
verwendet, die vorliegende Erfindung ist aber auch zusammen mit
anderen Betriebssystemen anwendbar, wie etwa MacTM OS,
PalmTM OS, EPOCTM,
etc.
-
Die
vertikalen Bereiche in der Figur repräsentieren den Benutzermodus 202,
die Kernelmodus-Transporttreiber 203 und die Kernelmodus-Netztreiber-Schnittstellenspezifikations-
(NDIS, Network Driver Interface Specification) Treiber 204 und
sind durch horizontale gestrichelte Linien getrennt.
-
Die
involvierten Softwarekomponenten sind, beginnend von der unteren
Schicht, die Kernelmodus-NDIS-Treiber 204, die asynchronen/seriellen Porttreiber 205,
der Netztreiber- (ND) Proxy 206, der sogenannte Einwahl-Adapter, PPP-NDIS-Weitbereichsnetz
(WAN, Wide Area Network) 207, der virtuelle 802.3 Adapter
(unter Verwendung der Ethernet (IEEE 802.3 Spezifikation)) 208,
die Punkt-zu-Punkt-Tunnel-Protokoll/Schicht 2 Tunnel-Protokoll (PPTP/L2TP,
Point to Point Tunnelling Protocol/Layer 2 Tunnelling Protocol)
Komponente 209 mit einem virtuellen Adapter 218 und
zwei Instanzen eines IPsec-Treibers einer dritten Seite 210 und
seinem virtuellen Adapter 211. Dieser IPsec einer dritten
Seite ist ein NDIS-Treiber,
der durch einen unabhängigen
Softwareanbieter bereitgestellt wird. Der virtuelle Adapter 211 erfüllt eine ähnliche
Rolle wie der zuvor erwähnten
802.3 virtuelle Adapter 208. Beim Funktionieren in dem
sogenannten "Tunnel-Modus" muss die zweite
Instanz des IPsec-Treibers der dritten Seite einer Netzschnittstellenkarte (NIC,
Network Interface Card) aus der Sicht der ersten Instanz des IPsec-Treibers
der dritten Seite ähnlich
sein.
-
Involvierte
Softwarekomponenten in den Kernelmodus-Transporttreibern 203 sind
das Microsoft IPsec 212 und der Übertragungssteuerprotokoll-/Internetprotokoll-
(TCP/IP, Transmission Control Protocol/Internet Protocol) Protokolltreiber 213 und das
UNImodem 217.
-
Involvierte
Softwarekomponenten in dem Benutzermodus 202 sind die Telekommunikationsanwendungs-Programmierschnittstelle
(TAPI, Telecommunication Application Programming Interface) 214, der
Fernzugriffsdienst (RAS, Remote Access Service) 215 und
die Anwendung einer oberen Schicht 216, z.B. ein Web-Browser.
-
Der
Benutzermodus 202 umfasst ferner das RAL-System 201,
d.h. die Softwarekomponenten gemäß der vorliegenden
Erfindung, die nun detaillierter beschrieben werden.
-
Beginnend
von den unteren Schichten können
diese Komponenten des Benutzermodus 202 hauptsächlich enthalten:
Eine
Anwendungsprogrammierschnittstelle (API, Application Programming
Interface) zu GPRS 220 und eine API zu VPN 221 Einrichtungen.
Um Einrichtungen zu unterstützen,
die für
das Betriebssystem kein Standard sind, umfasst das RAL-System Komponenten-APIs,
die ermöglichen,
ein generisches Verhalten dieser Einrichtungen für andere höhere Softwarekomponenten zu
abstrahieren. Dieses generische Verhalten wird durch eine Standardmenge
von Befehlen für
jede der GPRS-Einrichtung und der VPN-Einrichtung verkörpert, die durch die Komponenten
einer höheren
Schicht gesendet und in vorrichtungs- oder systemspezifische Signale übersetzt werden,
was mit Pfeilen 222 und 223 zu den geeigneten
unterliegenden Kernel-Einrichtungen angezeigt wird.
-
Falls
erforderlich, gibt es eine Menge von RAS-Funktionen 224 für VPNs und
GPRS, wegen möglicher
Begrenzungen des Betriebssystems. Diese Komponenten ermöglichen,
spezifische Sitzungseinrichtungsprozeduren durchzuführen, die
durch existierende Software nicht abgedeckt werden, z.B. spezifische
GPRS-Funktionen, wie etwa PDP-Kontextdefinition.
-
Eine
Benutzerprofildatenbank 225. Das RAL-System 201 unterhält eine
Datenbank, die alle Daten enthält,
die für
die Kette von Ende zu Ende von Konfigurationsdaten relevant sind,
die durch die unterschiedlichen Softwarekomponenten außerhalb des
RAL-Systems 201 erforderlich ist, um eine sichere mobile
Datenverbindung einzurichten. Sie ermöglicht besonders, PDP-Kontextdaten flexibel
zu managen. Wo angemessen, werden die Daten zu Komponenten außerhalb
des RAL-Systems weitergereicht, z.B. zu dem RAS für die Einwahlparameter,
wie etwa Telefonnummern etc.
-
Generische
APIs gibt es in zwei Formen:
- – Plattform-APIs 226,
die Unterstützung
für viele Betriebssystemplattformen
bereitstellen, z.B. Windows, PalmTM, EPOCTM, MacTM etc., und
sie sind nur in dem Kontext von Softwarecodeimplementierung relevant.
- – Plugin-APIs,
die eine Menge von öffentlichen Befehlen
und Parametern sind, die das RAL versteht oder für die Unterstützung von
autonomen Plugins 229 generiert.
-
Der
Verarbeitungskern 227 ist der Steuerungsteil des RAL-Systems 201.
Er übersetzt
eine Benutzereingabe, wie etwa Text, Zahlen, Mausklicks etc., die
von der grafischen Benutzerschnittstelle (GUI, Graphical User Interface) 228 genommen
werden, in Signale zu den geeigneten unterliegenden Komponenten
und koordiniert und triggert die unterschiedlichen Prozeduren gemäß der geeigneten
Logik, z.B. Definieren eines PCT-Sitzungs-PDP-Kontexts, Weitergeben des Sitzungskontexts
zu der PCT-Einrichtung, Triggern der Einrichtung einer Einwahlverbindung,
dann Einrichten der VPN-Verbindung.
-
Die
GUI 228 des RAL-Systems bringt in der gleichen Anwendung
alle notwendigen Schnittstellen für die Konfiguration und Einrichtung
einer Vernetzungssitzung über
pseudo-verbindungslose Träger, z.B.
GPRS, oder Standard-Einwahl-Träger,
z.B. PSTN, ein dienstintegrierendes digitales Netz (ISDN, Integrated
Services Digital Network) zusammen.
-
Ein
Beispiel einer GUI des RAL-Systems umfasst ein generisches Steuerfenster,
welches Sitzungsmanagement ermöglicht
und Zugriff zu "Sitzungsprofilen" für die drei
Schichten gibt, die in mobiler sicherer Vernetzung relevant sind,
VPN, GPRS (PDP), Mobileinrichtung (Modemeinwahl). Ein erweiterter
unterer Rahmen umfasst die bestimmten Konfigurationseinstellungen
des gewählten
Profils. Ein Informationselement ermöglicht, die drei Schichten zusammen
zu verknüpfen,
wobei somit ermöglicht wird,
die Einrichtung für
eine bestimmte Ende-zu-Ende-Sitzung zu automatisieren.
-
Als
ein Zusatz zu dem Haupt-RAL-System 201 können mehrere
autonome Plugin-Module 229 mit dem RAL 201 über einen
generischen API-Teil von 226 kommunizieren, um Mehrwertfunktionen durchzuführen, die
von speziellen Charakteristika oder Funktionen der PCT-Verbindung
oder PCT-Einrichtung Gebrauch machen. In dem Fall von GPRS könnte ein
derartiges Plugin-Modul 229 z.B. ein Messgerät sein,
welches das Volumen von transferierten Daten aufzeichnet und es
in die Geldmenge übersetzt,
die der Benutzer dem GPRS-Betreiber
bezahlen muss (der letztere berechnet Verwendung pro Einheit von
transferiertem Datenvolumen), die Geldmenge wird dann in Echtzeit
zu dem Benutzer angezeigt, über
eine GUI, die in dem Plugin-Softwarecode 229 unabhängig von
dem Haupt-RAL-System 201 implementiert ist. Die Prinzipien
von derartigen Plugins sind die, dass sie vollständig autonom sind und nur auf
der API 226 beruhen.
-
3 zeigt
ein Flussdiagramm der Einrichtung einer entfernten und sicheren
Zugriffsitzung von einem Computer, umfassend die Softwarelogik und Softwarekomponenten
des RAL-Systems, zu einem privaten Datenkommunikationsnetz über eine
sogenannte pseudo-verbindungslose Technologie- (PCT) Einrichtung,
z.B. eine Einrichtung vom allgemeinen Paketfunkdienst (GPRS).
-
Das
Verfahren enthält
die folgenden Schritte:
-
301.
Ein Benutzer des Computers führt
eine einzelne Verbindungsaktivität
durch, z.B. einen Mausklick, der automatisch das RAL-System triggert, die
folgenden Schritte durchzuführen:
-
302.
Definieren eines PCT-Sitzungs-Paketdatenprotokoll- (PDP) Kontexts,
umfassend pseudo-verbindungslose Charakteristika einer PCT-Sitzung.
-
303.
Weiterreichen des definierten Sitzungskontexts zu der PCT-Einrichtung.
-
304.
Triggern der Einrichtung einer Einwahlverbindung, und
-
305.
Triggern der Herstellung einer sicheren Sitzung eines virtuellen
privaten Netzes (VPN).
-
Das
Verfahren wird mittels eines Computerprogrammprodukts implementiert,
umfassend die Softwarecodeabschnitte zum Durchführen der Schritte des Verfahrens.
Das Computerprogrammprodukt wird auf dem Computer betrieben.
-
Das
Computerprogramm wird direkt oder von einem computerverwendbaren
Medium, wie etwa einer Floppy-Diskette, CD, Internet etc., geladen.
-
Die erforderliche Installation
und Konfiguration des RAL-Systems.
-
In
diesen Beispielen ist die verwendete PCT GPRS.
- – Es soll
ein Modem in einem Computer installiert und konfiguriert werden,
möglicherweise
unter Verwendung einiger zusätzlicher
Treiber und/oder Skripte, die durch den Hersteller des GPRS-Handgerätes bereitgestellt
werden (wie oben in dem Teil der "Beschreibung des Standes der Technik" beschrieben).
- – Der
Benutzer installiert die RAL-Systemsoftware in dem Computer.
- – Der
Benutzer konfiguriert pseudo-verbindungslose Sitzungsprofile, mit
allen Informationselementen (IEs), die für die Einrichtung einer sicheren
mobilen Vernetzungssitzung von Ende zu Ende notwendig sind. Das
RAL sieht ein einzelnes Fenster vor, um auf alle relevanten IEs
zuzugreifen. Zwei mögliche
Verfahren sind:
1. Der Benutzer erstellt ein Profil und füllt es unter Verwendung
von Information aus, die durch den GPRS-Betreiber oder eine IT-Abteilung
des Unternehmens bereitgestellt wird.
2. Der Benutzer führt eine
Konfiguration mit einem einzelnen Click durch Importieren einer
Konfigurationsdatei durch, die durch den GPRS-Betreiber oder eine
IT-Abteilung des Unternehmens verteilt wird. Optional werden Authentifizierungsbeglaubigungen
in dem Handgerät
konfiguriert,
falls diese nicht unter Verwendung des RAL-Systems wegen Begrenzungen
des GPRS-Handgerätes
konfiguriert werden können.
-
Die Sitzungseinrichtung
gemäß dem RAL-System.
-
Wenn
ein Benutzer eines Computers wünscht,
auf sein Unternehmensnetz über
den GPRS-Dienst unter Verwendung des RAL-Systems zuzugreifen, wird
die Prozedur die folgende sein:
- – Der Benutzer
verknüpft
den Computer und den Handgerät
physisch, entweder unter Verwendung eines seriellen Kabels oder
durch Aktivieren der Infrarot-Verknüpfung an dem Handgerät, wie oben
in der Beschreibung des Standes der Technik beschrieben.
- – Der
Benutzer startet die Software für
das RAL-System, optional kann das RAL-System automatisch beim Hochfahren
des Computers gestartet werden, und
- – klickt
mit einem Cursor auf ein Verbindungssymbol innerhalb der GUI, oder
ein äquivalentes GUI-Widget,
z.B. Drücken
des Eingabeknopfes auf einem Tastenfeld, das an dem Computer agiert.
Zukünftige
Technologien können
andere Schnittstellenmetaphern ermöglichen, z.B. Sprachbefehle,
Augenbewegung etc.
-
Das
Diagramm in 4 legt dar, was in dem Netz
geschieht, nachdem der Benutzer auf "Verbinden" klickt. Die involvierten Netze sind
die GPRS öffentliche
landgestützte
mobile Netz (PLMN, Public Land Mobile Network) Haupttrasse 24, das öffentliche
Internet 430 und das private IP-Netz 440. Der Prozess
kann in die vier Hauptteile unterteilt werden:
-
302.
Definieren eines GPRS-Sitzungs-Paketdatenprotokoll- (PDP) Kontexts,
umfassend pseudo-verbindungslose Charakteristika einer GPRS-Sitzung.
-
303.
Weiterreichen des definierten Sitzungskontexts zu der GPRS-Einrichtung.
-
304.
Triggern einer Einrichtung einer Einwahlverbindung durch Aktivieren
vom PDP-Kontext, und
-
305.
Triggern einer Herstellung einer sicheren Sitzung eines virtuellen
privaten Netzes (VPN).
-
Nachdem
der Benutzer auf "Verbinden" geklickt hat, wird
die RAL-Systemsoftware,
die in dem Computer 401 enthalten ist, zuerst eine Nachricht 402 zu
der GPRS-Einrichtung 403 weiterreichen, wobei die Nachricht 402 die
GPRS-Sitzungsparameter umfasst, die konfiguriert wurden, als das
Sitzungsprofil erstellt wurde. Diese Parameter definieren die pseudo-verbindungslosen
Charakteristika der GPRS-Sitzung, und bilden den sogenannten "PDP-Kontext".
-
Diese
Parameter sind z.B. PDP-Typ, Zugriffspunktname (APN), Komprimierungsoptionen, IP-Adresse
und Optionen für
Qualität
eines Dienstes. Alle diese Parameter sind in einer PDP-Kontextdefinitionsnachricht
optional. wo sie nicht explizit gesetzt sind, können sie später entweder durch den Computer 401 während der
PPP-Verhandlungsphase 405, vorgesehen durch das GPRS-Netz
in dem Heimatstandortregister- (HLR, Home Location Register) Abfrageschritt 407,
oder durch Vorgabeeinstellung in dem Handgerät 403 eingestellt
werden.
-
Mit
gegenwärtigen
GPRS-Endgeräten
wird die Nachricht 402 unter Verwendung eines Standard-AT-Befehls
weitergegeben, zu dem Endgerät über eine
PC-Peripherieschnittstelle gesendet, wie etwa z.B.
- – einen
seriellen Port,
- – einen
parallelen Port,
- – eine
Schnittstelle mit einer Personalcomputerspeicherkarte internationaler
Verbindung (PCMCIA, Personal Computer memory Card International
Association),
- – einen
berechnenden Bus, z.B. Mikrokanal-Architektur (MCA, Micro Channel
Architecture), Industriestandard-Architektur (ISA, Industry Standard
Architecture), verbesserte ISA (EISA), einen lokalen Bus einer Videoelektronik-Standardverbindung
(VESA, Video Electronics Standards Association local bus), periphere
Komponentenzusammenschaltung (PCI, Peripheral Component Interconnect),
mini-PCI, eine Kleincomputer-Systemschnittstelle
(SCSI, Small computer System Interface), einen Faserkanal, ein serielles
Busprotokoll mit IEEE 1394 mit einer physischen Schicht von Firewire,
- – einen
Port eines universellen seriellen Busses (USB, Universal Serial
Bus),
- – eine
Schnittstelle mit einer Infrarot-Datenverbindung (IrDA, Infrared
Data Association),
- – Bluetooth-Kurzbereichs-Funkschnittstelle.
-
Dann
ruft die Softwarelogik des RAL-Systems 401 die Einwahl-Fähigkeiten des Betriebssystems
auf, in dem es sich befindet Für
Windows 98, NT oder 2000 macht dies Gebrauch von Funktionen, die
durch die Fernzugriffsdienst- (RAS) Komponente vorgesehen werden.
Alternativ kann das Betriebssystem ein beliebiges der existierenden
sein, wie etwa PalmTM, EPOCTM,
MacTM, LinuxTM,
UnixTM; in welchem Fall die Einwahl-Fähigkeiten
von Funktionen, die durch OS-Funktionen äquivalent zu dem RAS bereitgestellt
werden, oder Funktionen, die durch Software unabhängiger Dritter
bereitgestellt werden, Gebrauch machen.
-
Die
Parameter, die zu dem RAS weitergereicht werden, sind Einwahlparameter,
z.B. Authentifizierungsprotokoll, Adresszuordnungsrichtlinie, Komprimierung
etc., und Authentifizierungsbeglaubigungen, die optional für den nicht-transparenten
Zugriffsfall von GPRS verwendet werden.
-
In
WindowsTM schreibt die Softwarelogik des RAL-Systems
die Einwahlparameter in eine Systemdatei, ein so genanntes Telefonbuch,
die dann durch den RAS gelesen wird, wenn er die Einwahlverbindungsprozedur
durchführt.
Die Softwarelogik des RAL-Systems zeigt dem RAS auch an, in welcher Datei
zu lesen ist, wenn sie die RAS-Einwahl triggert. Diese Datei enthält auch
hartkodiert die Dienstzeichenkette, d.h. Telefonnummer, für GPRS,
z.B. *98**1#.
-
Die
Authentifizierungsbeglaubigungen werden in einen "undurchsichtigen" Speicher- (Speicher mit
wahlfreiem Zugriff (RAM)) Standort durch die Softwarelogik des RAL-Systems
gebracht, wo sie später
durch den RAS unter Verwendung von Standard-Betriebssystem- (OS)
Funktionen abgerufen werden. Ein Zeiger zu diesem Standort wird
zu dem RAS weitergegeben.
-
Sobald
der RAS gestartet ist, führt
er die folgenden Operationen ohne die Einbeziehung der Softwarelogik
des RAL-Systems durch:
Senden eines "Wahl"-Befehls 404 zu
der GPRS-Einrichtung 403 mit der GPRS-"Dienstzeichenkette". Eintreten in die sogenannte "PPP-Verhandlungsphase" 405, (terminiert
durch 414), was selbst drei aufeinanderfolgende Schritte
umfasst:
- 1. PPP-Verknüpfungssteuerprotokoll (LCP,
Link Control Protocol): der Computer 401 und die GPRS-Einrichtung 403 tauschen
mehrere Nachrichten aus, um Verknüpfungsparameter zu verhandeln,
z.B. Maximalempfangseinheit (MRU, Maximum Receive Unit), Authentifizierungsprotokoll.
- 2. PPP-Authentifizierung: Optional fragt die RAS-Komponente 215 in
dem Computer 401 die Authentifizierungsbeglaubigungen vom
RAM ab und gibt sie zu dem GPRS-Telefon 403 weiter.
- 3. PPP-Netzsteuerprotokoll (NCP, Network Control Protocol)/IP-Steuerprotokoll (IPCP,
IP Control Protocol): der RAS fordert gewisse IP-Netzparameter (wie durch die Anforderungen,
die durch das RAL-System weitergegeben werden) in einer "PPP-IPCP-Konfigurationsanforderungs"-Nachricht an. Diese Parameter umfassen
z.B. IP-Adresszuordnungsrichtlinie, Namensserver, Komprimierung
von Ende zu Ende etc.
-
Dieser
dritte Schritt wiederum triggert das GPRS-Handgerät 403,
eine PDP-Kontextaktivierungsprozedur mit dem bedienenden GPRS-Unterstützungsknoten
(SGSN, Serving GPRS Support Node) in dem GPRS-Netz zu initiieren 406.
Diese "Aktivierungs-PDP-Kontextanforderungs"-Nachricht 406 enthält den APN
und optional die Authentifizierungsbeglaubigungen.
-
Die
PPP-IPCP-Konfigurationsphase wird beendet, wenn das GPRS-Netz das
Ende der PDP-Kontextaktivierungsprozedur 413 bestätigt. Das Handgerät wird dann
eine "PPP-IPCP-Konfigurationsbestätigung" 414 zu
dem Computer 401 zurückgeben,
was den RAS über
das Ende der Sitzungseinrichtung benachrichtigt. Der Steuerungsschwerpunkt kehrt
dann zu dem RAL-System zurück.
-
Abhängig von
dem Dienstszenarium wird die PDP-Kontextaktivierungsprozedur innerhalb
des GPRS-Netzes mehr oder weniger komplex sein. Hier sind mehrere
Kombinationen von Fällen
möglich, z.B.
ein transparenter oder nicht-transparenter Fall und ein Roaming-
oder Nicht-Roaming-Fall.
-
Das
Verhalten des Netzes wird durch den APN bestimmt, der zu dem bedienenden
GPRS-Unterstützungsknoten
(SGSN) und Gateway-GPRS-Unterstützungsknoten
(GGSN, Gateway GPRS Support Node) zur PDP-Kontextaktivierungszeit
weitergegeben wird. Dies ist von dem RAL-System unabhängig. Basierend
auf dem APN ist es der SGSN, der das Verhalten in Bezug auf Roaming
bestimmt, der SGSN stellt dann einen GPRS-Tunnelungs-Protokoll (GTP)
Tunnel her und reicht den APN zu dem GGSN weiter, der das Verhalten
in Bezug auf Zugriffstransparenz bestimmt.
-
Z.B.
in dem kompliziertesten Fall, der der nicht-transparente Roaming-Zugriff
ist:
- – Der
SGSN wird 407 das HLR abfragen, um die PDP-Kontextaktivierungsparameter
mit den Teilnehmeraufzeichnungen zu prüfen, wobei somit ermöglicht wird,
betrügerische
Verwendung zu verhindern und die optionalen Parameter auszufüllen, die
zuvor nicht definiert worden sein können.
- – Der
SGSN wird 408 den Domänennamendienst (DNS,
Domain Name Service) nach dem APN abfragen.
- – Der
DNS gibt eine IP-Adresse für
den GGSN für eine
Verwendung zurück,
d.h. den Heimat-GGSN oder einen GGSN in dem besuchten Netz abhängig von
der Roaming-Richtlinie des Betreibers, die in dem DNS implementiert
ist.
- – Der
SGSN sendet eine Nachricht "PDP-Kontextanfrage
erstellen" 409,
die den APN und die Authentifizierungsbeglaubigungen enthält, zu dem GGSN.
- – Basierend
auf dem APN bestimmt der GGSN, dass er eine nicht-transparente Zugriffsprozedur durchführen muss.
Deshalb kontaktiert er einen Server 410 in dem privaten
Unternehmensnetz (z.B. Fernauthentifizierungs-Einwahl-Benutzerdienst
(RADIUS, Remote Authentication Dial-In User Service) und/oder dynamisches
Host-Konfigurationsprotokoll
(DHCP, Dynamic Host Configuration Protocol), um eine IP-Adresse
zu erhalten, die er der Mobilstation zuordnet, die den PDP-Kontext an erster
Stelle 411 aktiviert hat. Der GGSN gibt eine Nachricht "PDP-Kontextannahme erstellen" 412 zurück, die
die IP-Adresse enthält, die
er dem GPRS-Handgerät 403 und
dem Computer 401 zugeordnet hat.
- – Der
SGSN reicht diese Nachricht zu dem GPRS-Handgerät 403 in einer Nachricht "PDP-Kontextantwort
aktivieren" 413 weiter.
- – Das
GPRS-Handgerät 403 generiert
eine PPP-IPCP-Konfigurationsbestätigungsnachricht 414,
die er zu dem RAS in dem Computer über z.B. die serielle oder
Infrarot-Verknüpfung
weiterreicht. Diese Nachricht 414 umfasst die IP-Einstellungen.
- – Sobald
der RAS diese PPP-IPCP-Konfigurationsbestätigungsnach richt 414 empfängt, konfiguriert
er den TCP/IP-Stapel des Betriebssystems des Computers 401 korrekt
und bindet ihn mit den NDIS-Treibern unterer Ebene für Einwahl-NDISWAN – siehe 2.
-
Der
RAS generiert dann eine Antwort zu der RAL-Systemsoftware um zu
bestätigen,
dass die GPRS-Verbindung erfolgreich eingerichtet wurde.
-
In
Fällen,
wo VPN-Komponenten verwendet werden sollen, wie in dem benutzer-definierten
Profil angezeigt, triggert das RAL-System dann den nächsten Schritt,
die notwendigen Prozeduren, um eine sichere VPN-Sitzung herzustellen.
-
Basierend
auf den Benutzerkonfigurationsparametern, die es speichert, wählt das
RAL-System z.B. eine VPN-Einrichtung, z.B. Microsoft IPsec 212 in 2 und
Microsoft L2TP 209, oder einen IPsec-Treiber 210 einer
dritten Seite, und reicht, entweder über den RAS 215 oder
direkt 223, die erforderlichen zusätzlichen Parameter weiter,
wie etwa VPN-Gateway-Name oder IP-Adresse, Authentifizierungsprotokoll,
einen Zeiger zu Authentifizierungsbeglaubigungen, z.B. digitale
Zertifikate oder Benutzername/Passwort, die unter Verwendung des RAL-Systems
definiert worden sein können.
-
Die
VPN-Software wird dann die notwendigen Schritte durchführen, um
die sichere Verbindung durch Verhandeln von Mengen-Chiffrierschlüsseln mit
dem VPN-Gateway 415, durch Verwenden des Internet-Schlüsselaustausch
(IKE, Internet Key Exchange) Protokolls 416 von IPsec herzustellen,
dann den VPN-Tunnel,
z.B. L2TP 417, herzustellen und den Benutzer 418 zu
authentifizieren, was optional eine RADIUS/Authentifizierungs-,
Autorisierungs-, Abrechnungs- (AAA) Abfrage 419 involvieren
kann.
-
Die
Erfindung ist nicht auf die oben beschriebenen Ausführungsformen
begrenzt. Es können
verschiedene Alternativen, Modifikationen und Äquivalente verwendet werden.
Deshalb sollten die obigen Ausführungsformen nicht
als den Bereich der Erfindung begrenzend angenommen werden, der
durch die angefügten
Ansprüche
definiert wird.
-
Akronyme
-
-
- 3GPP
- Partnerschaftsprojekt
der dritten Generation (Third Generation Partnership Project)
- AAA
- Authentifizierung,
Autorisierung, Abrechnung durch Erweiterung der Suite von IETF-Protokollen,
um diese Funktionen durchzuführen.
- ADSL
- Asymmetrische digitale
Teilnehmerleitung (Asymmetric Digital Subscriber Line)
- API
- Anwendungsprogrammierungsschnittstelle
(Application Programming Interface)
- APN
- Zugriffspunktname
(Access Point Name)
- ARP
- Adressauflösungsprotokoll
(Address Resolution Protocol)
- CAST
- Carlisle Adams und
Stafford Tavares
- CD
- Kompakte Scheibe (Compact
Disk)
- CDPD
- Zellulare digitale
Paketdaten (Cellular Digital Packet Data)
- CHAP
- Aufforderungs-Handshake-Authentifizierungsprotokoll
(Challenge Handshake Authentication Protocol)
- DECT
- Digitales erweitertes
schnurloses Telefon (Digital Enhanced Cordless Telephone)
- DES
- Datenverschlüsselungsstandard
(Data Encryption Standard)
- DHCP
- Dynamisches Host-Konfigurationsprotokoll
(Dynamic Host Configuration Protocol)
- DNS
- Domänen-Namensdienst
(Domain Name Service)
- EAP
- Erweiterbares Authentifizierungsprotokoll
(Extensible Authentication Protocol)
- EISA
- Verbesserte ISA (Enhanced
ISA)
- ETSI
- European Telecommunications
Standards Institute
- GGSN
- Gateway-GPRS-Unterstützungsknoten
(Gateway GPRS Support Node)
- GPRS
- Allgemeiner Paketfunkdienst
(General Packet Radio Service)
- GRE
- Generische Weiterleitungskapselung (Generic
Routing Encapsulation)
- GSM
- Globales System für mobile
Kommunikationen (Global System for Mobile communications)
- GTP
- GPRS-Tunnelungsprotokoll
(GPRS Tunnelling Protocol)
- GUI
- Grafische Benutzerschnittstelle
(Graphical User Interface)
- HLR
- Heimatstandortregister
(Home Location Register)
- IDEA
- Internationaler Datenverschlüsselungsalgorithmus
(International Data Encryption Algorithm)
- IE
- Informationselement
- IETF
- Internet Engineering
Task Force
- IKE
- Internet-Schlüsselaustausch
(Internet Key Exchange)
- IP
- Internetprotokoll
- IPSec
- Sicheres IP (Secure
IP) (IETF)
- IPCP
- IP-Steuerprotokoll
(IP Control Protocol)
- IrDA
- Infrarot-Datenverbindung
(Infrared Data Association)
- ISA
- Industriestandardarchitektur)
Industry Standard Architecture)
- ISDN
- Dienstintegrierendes
digitales Netz (Integrated Services Digital Network)
- ISP
- Internetdienstanbieter
(Internet Service Provider)
- L2TP
- Tunnelprotokoll von
Schicht 2 (Layer 2 Tunnelling Protocol) (IETF)
- LCP
- Verknüpfungssteuerprotokoll
(Link Control Protocol)
- MCA
- Mikrokanalarchitektur
(Micro Channel Architecture)
- MD-5
- Nachrichtenauszugsalgorithmus Nummer
5 (Message Digest algorithm number 5)
- MRU
- Maximalempfangseinheit
(Maximum Receive Unit)
- MS-CHAP
- Microsoft-CHAP
- MSC
- Mobilvermittlungsstelle
(Mobile Switching Centre)
- NCP
- Netzsteuerprotokoll
(Network Control Protocol)
- ND
- Netztreiber (Network
Driver)
- NDIS
- Netztreiber-Schnittstellenspezifikation
(Network Driver Interface Specification)
- NIC
- Netzschnittstellenkarte
(Network Interface Card)
- OS
- Betriebssystem (Operating
System)
- PAP
- Passwortauthentifizierungsprotokoll (Password
Authentication Protocol)
- PC
- Personalcomputer
- PCI
- Periphere Komponentenzusammenschaltung
(Peripheral Component Interconnect)
- PCMCIA
- Personalcomputerspeicherkarte
internationaler Verbindung (Personal Computer Memory Card International Association)
- PCS
- Persönliches
Kommunikationssystem (Personal Communications System)
- PCT
- Pseudo-verbindungslose
Technologie (Pseudo Connectionless Technology)
- PDA
- Persönlicher
digitaler Assistent (Personal Digital Assistant)
- PDP
- Paketdatenprotokoll
(Packet Data Protocol)
- PIN
- Persönliche Identifikationsnummer (Personal
Identification Number)
- PKI
- Öffentliche Schlüsselinfrastruktur (Public
Key Infrastructure)
- PLMN
- Öffentliches landgestütztes mobiles Netz
(Public Land Mobile Network)
- POP
- Anwesenheitspunkt
(Point Of Presence)
- PPP
- Punkt-zu-Punkt-Protokoll
(Point to Point Protocol)
- PPTP
- Punkt-zu-Punkt-Tunnelungsprotokoll (Point
to Point Tunnelling Protocol) (Microsoft)
- PSTN
- Öffentliches vermitteltes Telefonnetz (Public
Switched Telephone Network)
- QoS
- Qualität eines
Dienstes (Quality of Service)
- RADIUS
- Fernauthentifizierungs-Einwahl-Benutzerdienst
(Remote Authentication Dial-In User Service)
- RAL
- Fernzugriffsanmeldung
(Remote Access Login)
- RAM
- Speicher mit wahlfreiem
Zugriff (Random Access Memory)
- RAS
- Fernzugriffsserver(Remote
Access Server)
- RC
- Ron's Code
- RC-40/128
- RC mit Schlüssel von
40 Bits oder 128 Bits
- RSA
- Rivest Shamir und
Aldeman's öffentlicher
Schlüssel-Verschlüsselungsalgorithmus
oder namengebende Firma, die sich auf Sicherheitssoftware spezialisiert.
- SCSI
- Kleincomputer-Systemschnittstelle (Small
Computer System Interface)
- SGSN
- Bedienender GPRS-Unterstützungsknoten
(Serving GPRS Support Node)
- SIM
- Teilnehmeridentitätsmodul
(Subscriber Identity Module)
- SPAP
- Passwortauthentifizierungsprotokoll von
Shiva
- TCP
- Übertragungssteuerprotokoll
(Transmission Control Protocol)
- TIA
- Telecommunications
Industry Associations
- UI
- Benutzerschnittstelle
(User Interface)
- UMTS
- Universelles mobiles
Telekommunikationssystem (Universal Mobile Telecommunications System)
- USB
- Universeller serieller
Bus (Universal Serial Bus)
- VESA
- Lokaler Bus von Videoelektronik-Standardverbindung
(Video Electronics Standards Association local bus)
- VPN
- Virtuelles privates
Netz (Virtual Private Network)
- WAN
- Weitbereichsnetz (Wide
Area Network)
- WCDMA
- Breitband-Vielfachzugriff
im Codemultiplex (Wideband Code Division Multiple Access)