DE60127187T2 - System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen - Google Patents

System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen Download PDF

Info

Publication number
DE60127187T2
DE60127187T2 DE60127187T DE60127187T DE60127187T2 DE 60127187 T2 DE60127187 T2 DE 60127187T2 DE 60127187 T DE60127187 T DE 60127187T DE 60127187 T DE60127187 T DE 60127187T DE 60127187 T2 DE60127187 T2 DE 60127187T2
Authority
DE
Germany
Prior art keywords
network
vpn
service
client
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60127187T
Other languages
English (en)
Other versions
DE60127187D1 (de
Inventor
Leif BYSTRÖM
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hyglo Systems AB
Original Assignee
Hyglo Systems AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hyglo Systems AB filed Critical Hyglo Systems AB
Publication of DE60127187D1 publication Critical patent/DE60127187D1/de
Application granted granted Critical
Publication of DE60127187T2 publication Critical patent/DE60127187T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/59Providing operational support to end devices by off-loading in the network or by emulation, e.g. when they are unavailable
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft im Allgemeinen Computernetzwerke und insbesondere das Ermöglichen von Mechanismen für eine Delegierung und Verteilung von zentralisierten Netzwerkserverfunktionen an das Ende von Computernetzwerken. Insbesondere betrifft die Erfindung das Problem eines Bereitstellens von Diensten an Klienten bzw. Clients in virtuellen privaten Netzwerken.
  • Hintergrund
  • Die meisten Unternehmen befinden sich an mehreren Orten, wobei jeder Ort sein eigenes lokales Netzwerk (LAN = Local Area Network) hat. Ein Ort ist definiert als irgendetwas zwischen einem Hauptquartier oder einem Ort einer zugehörigen Firma und einem entfernten Büroort eines einzelnen Angestellten. Eine Art von Kommunikationsinfrastruktur wird dann verwendet zum Verbinden der verschiedenen Orte. Die Internetentwicklung kann ungefähr kategorisiert werden in zwei Hauptbereiche:
    • a) Internet als die globale Kommunikationsinfrastruktur. Herkömmlich verwendeten Unternehmen sogenannte geleaste Leitungen, die bereitgestellt wurden von Telefonfirmen zum Verbinden ihrer Orte. Getrennte Firewall-Lösungen wurden verwendet zum Zugreifen auf das Internet. Während der letzten Jahre verwenden Firmen nicht länger das Internet nur für externe Kommunikation, mehr und mehr Firmen versuchen neue Netzwerklösungen, die es ihnen erlauben, auch das Internet für firmeninterne Kommunikation zu verwenden. Das Internet ist zu ihrem Ort-zu-Ort-Verbindungsmedium geworden.
    • b) Breitband-Internet-Zugang. Parallel zu dem Obigen werden mehr und mehr Breitbandzugangslösungen ausgebreitet von verschiedenen Netzwerkzugangsbereitstellern. Dies ermöglicht jedem, seinen Zugang zum Internet von einer herkömmlichen Einwahl-PSTN-ISDN-(Public Switched Telephone Network/Integrated Services Digital Network)-Zugangslösung zu einer Breitbandlösung zu aktualisieren, beispielsweise ADSL (Assymetric Digital Subscriber Line), Kabel oder Ethernet, mit direktem Zugang zum Internet. Neben naheliegenden Breitbandvorteilen ist der Netzwerkzugangsbenutzer auch in der Lage, immer mit dem Internet verbunden zu sein.
  • Der gemeinsame Name für die meisten der Netzwerklösungen, der mehrere Orte über das Internet miteinander verbindet, ist "virtuelles privates Netzwerk" (VPN = virtual private networks). VPNs können implementiert werden auf verschiedene Arten, dies wird gut erklärt in beispielsweise IETF durch B. Gleeson et al., "A Framework for IP Based Virtual private Networks", RFC 2764, Februar 2000. Ein VPN ist ein privates Netzwerk, das innerhalb eines öffentlichen Netzwerks konfiguriert ist. Seit mehreren Jahren haben gewöhnliche Träger bzw. Bereitsteller VPNs aufgebaut, die das Erscheinungsbild von privaten nationalen oder internationalen Netzwerken für den Kunden haben, aber physikalisch Backbone-Trunks mit anderen Kunden teilen. VPNs genießen die Sicherheit eines privaten Netzwerks über eine Zugangssteuerung und Entschlüsselung, während sie den Vorteil von Wirtschaftlichkeit durch Massenproduktion aufweisen und eingebaut werden in Verwaltungseinrichtungen von großen öffentlichen Netzwerken. Heute gibt es ein großes Interesse in VPNs über das Internet, speziell aufgrund der konstanten Bedrohung von Hacker-Angriffen. Das VPN fügt diese Extraschicht an Sicherheit hinzu, und ein großer Wachstum in der VPN-Verwendung wird erwartet. Im Allgemeinen können die unterschiedlichen VPN-Lösungen in zwei Hauptgruppen kategorisiert werden; Kundenräumlichkeitsgerät-(CPE = Customer Premises Equipment)-basierende Lösungen oder Netzwerk-basierende Lösungen.
  • Internet ist ein öffentliches Datennetzwerk, basierend auf Netzwerkparadigmen, wie zum Beispiel gleiche und beste Anstrengungsverkehrsbehandlung. Der gesamte Verkehr, der das Internet kreuzt, ist öffentlich und unsicher, was in einer Anzahl von Problemen resultiert, die gelöst werden müssen, beispielsweise End-zu-End-Sicherheitskommunikation zwischen Firmenorten bzw. Unternehmenssitzen. Einige Probleme haben Lösungen, die unterstützt werden durch mehrere VPN, Systemverkäufer, wie zum Beispiel verschlüsseltes IP-Tunneln zwischen Endbenutzern, die die IPSec-Architektur verwenden, die beschrieben wird von S. Kent und R. Atkinson in "Security Architecture for the Internet Protocol", RFC 2401, November 1998, oder einzelne Firewall-Lösungen, Desktop-Software-VPN-Clients; beispielsweise Microsoft®-VPN, etc. Ein PC, der verbunden ist mit dem Internet, kann, nicht leicht, aber es ist möglich, verwendet werden als ein Transitknoten von einem Hacker, beispielsweise könnte der Hacker ein Trojanisches-Pferd-Programm verwenden, um in den PC zu gelangen. Tief in dem PC könnte das Trojanische-Pferd-Programm adaptiert werden, Anwendungs-Software freizugeben, die als irgendeine authentifizierte Software agiert, die durch den Benutzer des PCs installiert wurde. Es ist sehr schwierig für Schicht-2 und -3 Firmware/Software diese Art von bösartigen Anwendungen zu detektieren. Deshalb ist es empfehlenswert, VPN-Steuer- und Management-Software- und Firmware-Funktionen und Endbenutzeranwendungen zu haben, wie zum Beispiel Service-Login-Software "authentifizierte" Software-Anwendungen, die auf irgendeine Weise die Netzwerkinfrastruktur verwenden, die bereitgestellt wird durch den VPN-Dienst, getrennt von verschiedenen Hardware-Plattformen. Was im allgemeinen vermieden werden sollte, ist PC-Klienten zu haben, die verantwortlich sind für ein Konfigurieren der tatsächlichen VPN-Einrichtung, das heißt Zugang zu den Nachschau-Tabellen für andere VPN-Mitgliederöffentliche-IP-Adressen zu haben, Zugang zu Information zu haben hinsichtlich wie zu authentifizieren ist, eine Integritätsprüfung auszuführen und Verkehr zu entschlüsseln, der auf VPN gerichtet ist, etc.
  • Normalerweise sind Benutzer, die mit dem Internet verbunden sind, nur begrenzt in ihrer Verwendung von Diensten dadurch, wie ihr Firewall die Verwendung von verteilten Diensten akzeptiert oder ablehnt. Um in der Lage zu sein, auf einen gewissen Dienst zuzugreifen, müssen Firewall-Einstellungen geändert werden, und Erlaubnisse werden gegeben für die spezifischen Konfigurationseinstellung, die den Dienst abbildet, auf den zugegriffen werden muss. Ein Problem tritt auf, wenn Benutzer verbunden sind mit einem virtuellen privaten Netzwerk (VPN = Virtual Private Network), wo Dienste außerhalb des VPN unzugänglich sind durch den Benutzer, aufgrund der logischen Trennung des VPN und des physikalischen Netzwerks. Auf eine Art und Weise kann die Trennung des VPN von dem physikalischen Netzwerk gesehen werden als ein Firewall, der konfiguriert ist zum Blocken des gesamten Verkehrs zwischen den zwei Netzwerken. Auf Dienste außerhalb des VPN kann von innerhalb des VPN nicht zugegriffen werden und umgekehrt. Irgendein Dienst, auf den zugegriffen werden muss von innerhalb eines VPNs kann sein
    • – ein integrierter Teil des VPN, beispielsweise ein DHCP-Server innerhalb des VPN-Drivers bzw. VPN-Treibers des Client-Systems, wobei DHCP (Dynamic Host Configuration Protocol) eine Software ist, die automatisch IP-Adressen an Client-Stationen zuordnet, die sich bei einem IP-Netzwerk anmelden. Dies ist ein gewöhnlich verwendeter Weg zum Zuordnen von IP-Adressen dynamisch zu Hosts auf dem lokalen Netzwerk. Normalerweise empfängt jeder Client-Computer eine freie IP-Adresse, wenn er gebootet wird. Diese Adresse muss dann in einem Zeitintervall erneuert werden, um zu versichern, dass dem DHCP-Server nicht die freien Adressen ausgehen;
    • – innerhalb des VPN, Laufenlassen als ein normaler Dienst auf einem Server, der verbunden ist mit dem VPN;
    • – außerhalb des VPN, das heißt normalerweise nicht zugänglich von dem VPN;
    • – ein anderer Dienst, der ein Merkmal für den Benutzer des VPN bereitstellen könnte.
  • Die Verwendung eines Administratorservers, der verbunden ist mit einem VPN, ist auch in WO-A-0143392 offenbart.
  • Es gibt normalerweise keinen Weg eines Bereitstellens eines einfachen Zugangs für alle Arten von Diensten innerhalb oder außerhalb des VPN, da kein Weg existiert, Dienste abzubilden auf ihre logische Repräsentation, auf eine Art und Weise, die nützlich ist für einen Benutzer des VPN. Ein Dienst kann innerhalb, außerhalb oder ein integraler Teil des VPN-Systems sein, und in der Praxis machen diese Unterschiede die Konfiguration der Dienste schwierig für den Systemadministrator.
  • Zusammenfassung der Erfindung
  • Gemäß einem ersten Aspekt betrifft die Erfindung ein System zum Bereitstellen eines Dienstes für einen Client in einem virtuellen Netzwerk, wobei das virtuelle Netzwerk ansässig ist bei, aber logisch getrennt ist von, einem physikalischen Netzwerk. In diesem System befindet sich ein Netzwerkdienst in einem Server, und eine logische Repräsentation des Netzwerkdienstes wird bereitgestellt. Diese logische Repräsentation ist verbunden mit dem virtuellen Netzwerk durch eine virtuelle administrative Schnittstelle.
  • Bevorzugt enthält die logische Repräsentation ein Abbilden auf dem Netzwerkdienst, womit ein virtueller Dienst repräsentiert wird, auf den von dem Client zugegriffen werden kann.
  • Gemäß einer Ausführungsform der Erfindung, mach die logische Repräsentierung den Netzwerkdienst austauschbar, ohne ein Ändern der Konfiguration des virtuellen Netzwerksystems. Bevorzugt ist der Dienst so konfiguriert, dass er wahrgenommen werden kann durch den Client als ein Teil des virtuellen Netzwerks.
  • Der Netzwerkdienst kann ein Dienst sein, der auf dem Server läuft, der momentan verbunden ist mit dem virtuellen Netzwerk. In solch einem Fall ist die logische Repräsentierung bevorzugt direkt verbunden mit dem Server. Alternativ ist der Netzwerkdienst ein Dienst, der auf dem Server abläuft, wobei der Server sich außerhalb des virtuellen Netzwerks befindet, wo spezielle Zugangsregeln definieren, wie auf einen Server zuzugreifen ist und durch wen. In solch einem Fall ist die logische Repräsentierung verbunden mit dem Server durch das physikalische Netzwerk.
  • In einer Ausführungsform ist die virtuelle administrative Schnittstelle konfiguriert, um Client-Benutzern zu erlauben, vorbestimmte administrative Funktionen selbst zu verwenden, wie zum Beispiel selbst Teilnehmen/Verlassen von gewissen Diensten. Bevorzugt ist das physikalische Netzwerk ein Internet-Protokollnetzwerk.
  • Gemäß einem zweiten Aspekt der Erfindung wird ein Verfahren bereitgestellt zum Durchführen der Schritte, die in dieser Anmeldung beschrieben sind, zum Bereitstellen virtueller Dienste in einem virtuellen privaten Netzwerk.
  • Kurze Beschreibung der Zeichnungen
  • Bevorzugte Ausführungsformen der Erfindung werden unten beschrieben mit Bezugnahme auf die Zeichnungen, in denen
  • 1 den Systemüberblick gemäß einer Ausführungsform der vorliegenden Erfindung darstellt;
  • 2 die Verkehrsüberwachung und Session-Übernahme gemäß einer Ausführungsform der vorliegenden Erfindung darstellt;
  • 3 die logische Repräsentierung der Dienste für ein virtuelles Netzwerk gemäß einer Ausführungsform der Erfindung darstellt; und
  • 4 die Verbindung zwischen dem aktuellen Dienst und der Schnittstelle in Richtung des Clients des virtuellen Netzwerks gemäß einer Ausführungsform der vorliegenden Erfindung darstellt.
  • 5 stellt ein emuliertes LAN auf einem globalen IP-Netzwerk dar, gemäß einer Ausführungsform der Erfindung.
  • Detaillierte Beschreibung der bevorzugten Ausführungsformen
  • Gemäß einem Aspekt basiert das System gemäß der vorliegenden Erfindung auf einem Standard-IP-Netzwerk, wie das öffentliche Internet. Das System umfasst mehrere VPN-Clients und mindestens einen Server. Ein Server kann ein verteilter Cluster von physikalischen Boxen sein. Die VPN-Clients könnten implementiert werden als Driver auf dem Client-Computer, aber sind aus Gründen der Sicherheit bevorzugt implementiert in einer einzelnen Hardware-Box. Ein Zweck dieses Mechanismus ist es, dynamische und sichere virtuelle lokale Netzwerke zwischen einigen oder allen der Clients zu errichten. Ein virtuelles Netzwerk wird erzeugt durch Einrichten von Verbindungsgruppen in einem VPN-Server. Der Server weist ein Dienstgerät auf zum Verfolgen von verbundenen Maschinen und Abbilden derselben auf IP-Adressen. In einer Ausführungsform wird dies erlangt unter Verwendung von ARP (Adress Resolution Protocol), einem IP-Protokoll, das verwendet wird zum Erlangen einer physikalischen Adresse eines Knotens. Eine Client-Station sendet eine ARP-Anforderung an den VPN-Server mit der VPN-Internen-IP-Adresse des Zielknotens, mit dem sie wünscht, zu kommunizieren, und der VPN-Server antwortet durch Zurücksenden der Externen-IP-Adresse, so dass Pakete übertragen werden können. ARP gibt die Schicht-2-Adresse für eine Schicht-3-Adresse zurück. Der Mechanismus handhabt auch eine Verteilung von öffentlichen Schlüsseln zum Bilden vollständiger Sicherheitsassoziierungen. Für ein Handhaben von Ausstrahlungen wird ein emulierter Ausstrahlungsdienst implementiert in dem Server, bevorzugt unter Verwendung einer IP-Multicast-Gruppe oder als ein getrennter Ausstrahlungsdienst. Daten, die direkt von einer Maschine in das virtuelle Netzwerk zu anderen gesendet werden, werden über IP direkt an die IP-Adresse des empfangenen Klienten bzw. Clients getunnelt. Der Mechanismus enthält sowohl den Fall, wo Datenpakete direkt über IP getunnelt werden, als auch, wenn ein Schicht-2-Medium, wie zum Beispiel Ethernet, auf dem IP-Netzwerk geschalten wird.
  • 5 stellt eine Ausführungsform des System gemäß des vorliegenden Mechanismus dar, wobei ein Netzwerk 4 fünf Knoten umfasst; vier VPN-Clients 3134 mit globalen Adressen C1–C4 und einen Server S. Alle von diesen sind verbunden mit und haben eine gültige Adresse in dem physikalischen Netzwerk 4. Diese Knoten sind miteinander verbunden, unter Verwendung von Standard-Internet-Routing-Prozeduren, aber die Clients 3134 sind nicht in dem gleichen LAN. Auf dieser Netzwerkinfrastruktur bilden die Clients 31, 32 und 33 ein virtuelles Netzwerk 30 mit lokalen Adressen D1, D2, und D3. In dem dargestellten Fall sieht es so aus, dass die Clients in diesem VPN auf dem gleichen lokalen Netzwerk sind. Der Grund für dies ist der Ausstrahlungsdienst, das heißt, das Dienstgerät, das alle Pakete für die lokale Ausstrahlungsdomain an alle Maschinen in dem VPN 30 liefert. Daher arbeiten Dienstentdeckungsmechanismen oder Schicht-2-ARP transparent auf dem virtuellen Netzwerk. Wenn Client 31 auf dem VPN ein Paket direkt an Client 32 übertragen will, fordert die Client-Software die physikalische Adresse C2 von dem Server S an, basieren auf der lokalen Adresse D2, sowie mögliche Sicherheitsschlüssel, die benötigt werden zum Sprechen mit D2 von S. D1 ist dann in der Lage, das Paket in einem sicheren Tunnel direkt an D2 zu übertragen, ohne den Server S zu durchlaufen.
  • Das obige stellt einen effektiven und benutzerfreundlichen Mechanismus zum Einrichten von virtuellen privaten Netzwerken über generische IP- Verbindungen dar. Ausstrahlungsdienste und Dienstentdeckungsprotokolle, die normalerweise eine Direkt-Schicht-2-Verbindung benötigen, können unabhängig von der aktuellen Netzwerkstruktur arbeiten. Es stellt auch die Möglichkeit von verteilten Netzwerkausstrahlungshandhaben dar, wobei Regeln und Konfigurationsoptionen in den Endknoten des Netzwerks zwischengespeichert werden können, anstatt in einem zentralisierten Server. Der beschriebene Mechanismus ist einzigartig dadurch, dass er ein vollständig verteiltes emuliertes LAN auf einem IP-Netzwerk präsentiert, wobei Zugang und Attribute, wie zum Beispiel Sicherheitsassoziierungen, vollständig gesteuert werden durch einen Server. Die neuesten Lösungen verwenden statische Tunnel. Entweder werden permanente Verbindungen zwischen den Mitgliedern des VPN oder Tunnelserver eingerichtet, was im Grunde nach wie Modem-Pools arbeitet, nur dass eine IP-Nummer "gewählt" wird. Dies bedeutet, dass der gesamte Verkehr, ungeachtet des letztlichen Ziels, durch diese eine Box geht. Insbesondere kommt Verkehr, der zu diesen Orten in das VLAN (Virtual LAN) geht, anders als der von dem VLAN-Server, hinein durch den Serverzugang und dreht um. Der Ausstrahlungsdienst erlaubt Dienstentdeckungsprotokollen, die entworfen sind für lokale Netzwerke, auf dem VPN zu funktionieren, während der ARP-Mechanismus eine dynamische Einrichtung von sicheren Tunneln direkt zwischen Endpunkten erlaubt. Der gut bekannte LANE-(LAN-Emulierungs)-Standard wurde total auf ATM (Assynchronous Transfer Mode) fokussiert, und hat als Merkmal kein integriertes Sicherheitshandhaben. Lane führt unter anderem die Fähigkeit ein, Ethernet und Token-Ring-Netzwerke zusammen über ATM zu verbinden. LANE macht den Prozess transparent, was keine Modifizierung für Ethernet und Token-Ring-Stationen benötigt. LANE erlaubt, gewöhnlichen Protokollen, wie zum Beispiel IP, IPX, AppleTalk und DECnet, über ein ATM-Backbone zu gehen. Eine LAN-Emulierung wurde implementiert und verifiziert über ATM. Jedoch wird, da die Systemarchitektur selbst durch ihren Entwurf das Senden aller Daten durch den Server vermeidet, das Flaschenhalsproblem mit den überlasteten Serververbindungen vollständig vermieden.
  • Im Allgemeinen verlässt sich das Zielsystem auf ein Entscheidungsschema darauf, dass ein Dritter eine Client-Rolle in einer Zweiparteienkommunikations-Session übernimmt. In 1 umfassen die Systemprozesse Endbenutzer-Clients, die sich bei Endbenutzerräumlichkeitsgerät 1 befindet, einen zentralen VPN-Systemserver 2 und Netzwerkrand-Lokalisierte-VPN-System-Clients 3. Dicke Linien kennzeichnen physikalische Kommunikationslinien, wobei Pfeile kommunizierende Enden kennzeichnen, ohne ein Spezifizieren von dem Weg, den die Kommunikation nimmt, zwischen diesen kommunizierenden En den. Wie vorher beschrieben, ist VPN ein gewöhnlich verwendeter Ausdruck zum Beschreiben eines logischen Netzwerks, das sich auf einem tatsächlich physikalischen Netzwerk oder Netzwerken befindet. Zu den Benutzer- und Client-Anwendungen verhält sich das logische Netzwerk wie ein normales Netzwerk, aber die Netzwerkperimeter und Grenzen sind nicht spezifiziert durch eine physikalische oder netzwerkbasierte Topologie, aber durch eine logische Beschreibung und ihre Regeln und Komponenten.
  • Der Endbenutzer-Client-Prozess befindet sich bevorzugt in einem PC, der VPN-Client-Prozess befindet sich bevorzugt innerhalb einer einzelnen Hardware-Einheit, und der VPN-Serverprozess befindet sich innerhalb irgendeiner Server-Hardware-Einheit, wie zum Beispiel einem IBM®-Server. Unter Prozess wird hier die Funktionalität für den bestimmten Client oder Server verstanden, wie es hierin beschrieben ist. Der VPN-Server 2 und der VPN-Client sind Teile eines VPN-Systems, das den Endbenutzer-Client 1 mit Zugang zu angeforderten VPNs versieht. Die Endbenutzer-Client-1-Hardware ist physikalisch verbunden über eine Kommunikationsleitung 11 mit der VPN-Client-3-Hardware. Die VPN-Client-3-Hardware ist physikalisch verbunden mit einer Schicht-2-Terminierung, die dem VPN-Client-3 erlaubt, auf das Internet über eine Kommunikationsleitung 12 zuzugreifen. Das Schicht-2-Protokoll ist bevorzugt Ethernet, aber könnte praktischerweise irgendein bekanntes Schicht-2-Protokoll sein, das verwendet wird zur Einkapselung und Transport von IP-(Internet-Protokoll)-Paketen zwischen IP-Knoten. Der VPN-Server 2 ist verbunden mit dem Internet über eine Kommunikationsleitung 13 auf die gleiche Art und Weise, wie der VPN-Client 3.
  • Gemäß einer Ausführungsform des Zielsystems initiiert der Endbenutzer-Client 1 eine Kommunikations-Session mit dem VPN-Server 2, um Zugang zu erhalten zu einem virtuellen privaten Netzwerk. Während der Initialisierungsphase authentifiziert und autorisiert der VPN-Server 2 den Endbenutzer-Client 1 als einen registrierten Benutzer der VPN-Dienste, die bereitgestellt werden durch den VPN-Server 2. Der VPN-Client 3 ist passiv dadurch, dass er nicht irgendwelche neue Informationselemente während der Initialisierungsphase initiiert. Der VPN-Client 3 überwacht 22 auch die Kommunikation 21 zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2.
  • Wenn die Initialisierungsphase zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 beendet ist, und wenn Information ausgetauscht wurde hinsichtlich bestimmter VPN, auf die die Endbenutzer-Clients Zugriff verlangen, dann wird der VPN-Client 3 aktiv und übernimmt die Kommunikations-Session zwischen dem Endbenutzer-Client 1 und dem VPN-Client 3. Der VPN- Client 3 fordert nun, falls es notwendig ist, weil die VPN-Information schon zwischengespeichert werden kann durch den VPN-Client 3, VPN-Konfigurationsdaten an von dem VPN-Server 2. Der VPN-Client 3 verwendet die Konfigurationsdaten zum Konfigurieren notwendiger VPN-Zugangsparameter, wie zum Beispiel Verkehrsklassifizierungsparameter, Leistungsfähigkeitsversicherungsparameter oder Firewall-Parameter, wie zum Beispiel Verschlüsselung, Authentifizierung, Filtern von Parametern, etc.
  • Dem Endbenutzer-Client 1 wird erlaubt, verschiedene VPN-Server zu verwenden, aber er kann nicht simultan auf mehr als einen VPN-Server 2 zugreifen. Der VPN-Client 3 detektiert, wenn ein Endbenutzer-Client 1 versucht, auf einen gewissen Server 2 zuzugreifen. In diesem Moment wird der VPN-Server 2 als unsicher betrachtet, bis der Endbenutzer-Client 1 den VPN-Server 2 authentifiziert hat, und auch authentifiziert wurde durch den VPN-Server 2.
  • Die Überwachungs- und Session-Übernahmeszenarios werden detaillierter in 2 beschrieben. Der VPN-Client 3 hat eine Domain, der vertraut werden kann, welches die Endbenutzer-Client-1-Seite ist, und eine Domain, der nicht vertraut wird, die Internet-Domain. Aus der Sicht des VPN-Clients 3 befindet sich der VPN-Server 2 deshalb in der Domain, der nicht vertraut wird. Da der gesamte ein- und ausgehende IP-Verkehr zu/von dem Endbenutzer-Client hindurchgeht durch die VPN-Client-3-Hardware, ist der VPN-Client 3 in der Lage, die Kommunikation 21 zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 zu überwachen. Dies ist gegeben, falls und nur falls, der IP-Verkehr nicht auf solch eine Art und Weise verschlüsselt ist, dass der VPN-Client 3 nicht in der Lage ist, den IP-Verkehr zu entschlüsseln. Die VPN-Client-3-Software befindet sich auf der Hardware, die physikalisch den Endbenutzer-Client 1 mit dem Internet 4 verbindet. Der VPN-Client 3 ist deshalb in der Lage, den gesamten Verkehr 21 zwischen dem Endbenutzer-Client 1 und verschiedenen VPN-Servern 2 zu überwachen 22, zu welchen der Endbenutzer-Client 1 registriert ist als Benutzer.
  • Der VPN-Client 3 identifiziert, wenn der Endbenutzer-Client 1 anfängt, Kontakt mit einem VPN-Server 2 aufzunehmen. Der VPN-Client 3 behandelt die Endbenutzer-Client-1-Seite als eine Partei, der vertraut wird, und den VPN-Server 2, als eine Partei, der nicht vertraut wird. Die Session-Einrichtungsphase 21 zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 könnte auf mehrere Arten durchgeführt werden, beispielsweise durch eine herkömmliche Aufforderung/Antwort-Handschüttelsequenz. Die Kommunikation 21 sollte primär durchgeführt werden durch Web-basierten Clients, aber andere Client-Serverprozessumgebungslösungen sind möglich. Wenn die Handschüttelsequenz zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 beendet ist, übernimmt der VPN-Client 3 die Kommunikations-Session. Das Handschütteln bzw. Handshaking wird als beendet betrachtet, wenn der VPN-Server 2 authentifiziert wurde und den Endbenutzer-Client 1 autorisiert hat, und den Endbenutzer-Client 1 als einen bestätigten Benutzer bestätigt. Der VPN-Client 3 wird von nun an Proxy-Rollen hinsichtlich sowohl des Endbenutzer-Clients 1 und des VPN-Servers 2 übernehmen. Hinsichtlich des Endbenutzer-Clients 1 wird der VPN-Client 3 als ein VPN-Server-Proxy agieren und hinsichtlich des VPN-Servers als ein Endbenutzer-Client-Proxy. Der Endbenutzer-Client 1 wird seine Session weiterführen, unter der Annahme, dass er noch mit dem VPN-Server 2 kommuniziert. Der VPN-Client 3 wird, unter Verwendung der VPN-Server-Proxy-Rolle, die VPN-Einrichtungs-Session mit dem Endbenutzer-Client 1 weiterführen.
  • Ferner wird der VPN-Client 3 nun den VPN-Server 2 als eine sichere Quelle betrachten und Kommunikations-Sessions 23 mit dem VPN-Server 2 starten, der ermöglicht, dass der Endbenutzer-Client 1 als Mitglied in dem angeforderten VPN enthalten ist.
  • In einer Ausführungsform wird das Zielsystem in einem Dienstbereitstellungssystem implementiert, wo Teile der Dienstfunktionalität verteilt werden an System-Clients, die als Server-Proxies agieren. Ein technischer Vorteil des vorliegenden Systems ist der, dass irgendein Hackerangriff über ein Endbenutzer-PC 1 vermieden wird durch kritische Software/Firmware zur Steuerung und Management von VPN-Konfigurationsdaten, getrennt von einer einzelnen Hardware 3. Ein anderer Vorteil ist das automatisierte Übernehmen von zertifizierten Sessions. Ein anderer Vorteil ist das Plug-and-Play-Verhalten für virtuelle Dienste über Internet, was verfügbar gemacht wird durch das System. Die Lehren des vorliegenden Systems unterscheiden sich daher von der Stand-der-Technik-Technologie, da frühere Lösungen für das Problem entweder zentralisierte Serverlösungen umfasst haben, wie zum Beispiel PSTN/ISDN-Modem-Pool-Lösungen, Serverzentralisiertes-IP-Sec-Tunneln etc., oder verteilte Lösungen, die nur gültig waren innerhalb einer Netzwerkoperator-Intra-Domain oder innerhalb föderierter Netzwerkoperator-Domains. Diese Lösungen werden allgemein als netzwerkbasierte VPN-Systeme bezeichnet. Das vorliegende System wird unabhängig davon funktionieren, ob oder ob nicht die verschiedenen VPN-Client-Benutzer auf die gleiche Netzwerkoperator-Domain oder eine föderierte Netzwerk-Domain zugreifen oder Zugang haben auf vollständig unabhängige Netzwerkoperator-Domains.
  • Die vorliegende Erfindung löst das Problem von strikten Grenzen und Regeln hinsichtlich dem, was ein Dienst in einem VPN sein sollte. Durch Anwenden des Konzepts von virtuellen Diensten als ein Abbilden auf einen aktuellen bzw. tatsächlichen Dienst, werden die komplexen Strukturen von über Netzwerk verbundene Dienste vor den Benutzern des VPN versteckt, die noch immer nehmen und auswählen können von den Diensten, die sie in ihrer eigenen Sicht des Netzwerks verwenden wollen. Unter virtuellem Dienst wird hier verstanden, dass die Klienten des virtuellen Netzwerks, die auf den Dienst zugreifen, den Dienst wahrnehmen werden als ein Teil des emulierten Netzwerks, und nur die Logik des Dienstes wahrnehmen werden. Der tatsächliche Dienst kann sich jedoch außerhalb des Client VPNs befinden. Für Administratoren sind die Vorteile diejenigen, dass die administrativen Schnittstellen für einen Dienst die gleichen bleiben, selbst wenn der Dienst selbst ersetzt wird mit einer unterschiedlichen tatsächlichen Implementierung des Dienstes.
  • Ein Beispiel einer Ausführungsform der vorliegenden Erfindung ist dargestellt in 3, wobei gestrichelte Linien Verbindungen in dem virtuellen privaten Netzwerk 3 sich kennzeichnen und dicke Linien Verbindungen mit dem globalen Netzwerk 4, bevorzugt ein IP-Netzwerk, kennzeichnen. In der offenbarten Ausführungsform kann sich der Dienst "DHCP-Server", beispielsweise auf einer physikalischen Server-Maschine S1 befinden, die angeordnet ist und zugreifbar ist innerhalb des VPN 30 gemäß dem Stand der Technik. Gemäß der Erfindung würde es auch möglich sein, sie in der Steuerlogik des VPN anstatt dessen zu implementieren, was normalerweise die Art ändern würde, wie ein Konfigurieren des DHCP-Servers ausgeführt werden sollte. Falls ein DHCP-Server S2 eine logische Repräsentierung Logrep-S2, sowie eine virtuelle administrative Schnittstelle I-S2 aufweist, könnte der zugrunde liegende Dienst S2 ersetzt werden ohne ein Ändern der Art, wie der Systemadministrator das System konfiguriert.
  • Das System gemäß der vorliegenden Erfindung verwendet ein Konzept, wo ein Netzwerkdienst, sei es ein Zugangsverfahren oder Zugangsregel oder irgendein IP/IPv6-Dienst, repräsentiert wird als eine Teil-Komponente S2, S3 des VPN selbst, und deshalb kann er hinzugefügt werden oder entfernt werden von dem VPN auf eine sehr intuitive Art und Weise, beispielsweise unter Verwendung eines Drag-and-Drop-Schemas, oder unter Verwendung eines einfachen Satzes von Konfigurationsoptionen in einer Konfigurationsdatei. Der virtuelle Dienst wird so konfiguriert, dass er angesehen werden kann als ein Teil eines VPN, aber sein entsprechender tatsächlicher Dienst kann sein:
    • – ein integrierter Dienst in der VPN-Technologie, die verwendet wird;
    • – ein Dienst, der auf einer Maschine S2 abläuft, die gegenwärtig verbunden ist mit dem VPN;
    • – ein Dienst, der auf einem Server S3 außerhalb von dem VPN abläuft, wobei spezielle Zugangsregeln definieren, wie auf ihn zugegriffen wird und durch wen;
    • – irgendein Dienst, zu dem eine Abbildung existieren könnte, die in erscheinen lassen würde, als ob er Teil des VPN selbst ist.
  • Wie in 3 dargestellt, kann ein sich auf einem solchen Server S3 befindlicher Dienst, der verbunden ist mit dem globalen Netzwerk 4, beispielsweise dem Internet, aber der nicht Teil des VPN 30 ist, verwendet werden durch die VPN-Clients C1, C2, unter Verwendung der vorliegenden Erfindung. Eine logische Repräsentierung Logrep-S3 stellt den virtuellen Dienst bereit, und wird abgebildet auf den tatsächlichen Dienst in S3. Die logische Repräsentierung Logrep-S3 ist verbunden mit einer virtuellen administrativen Schnittstelle I-S3, was ihn zugreifbar macht für die VPN-Clients C1, C2. Diese Ausführung hat auch den Vorteil, Ersetzungen in dem tatsächlichen Dienst durchzuführen, ohne den Weg zu ändern zu müssen, wie der Systemadministrator das System konfiguriert.
  • 4 stellt schematisch dar, wie ein Dienst verfügbar gemacht wird für einen Client des VPN. Der tatsächliche Dienst wird repräsentiert durch eine virtuelle Dienst-Logische-Repräsentierung, an welche eine administrative Schnittstelle gebunden ist. Die administrative Schnittstelle kann eingerichtet werden, um Benutzern zu erlauben, einige administrative Funktionen selbst durchzuführen, wie Teilnehmen/Sich-Abmelden von gewissen Diensten.
  • Die Erfindung kann in jeder VPN-Technologie verwendet werden, die den Administratoren des VPN erlaubt, Zugangsregeln pro über Netzwerk verbundenen Dienst zu definieren. Es muss auch ein Weg existieren, eine Dienstdefinition innerhalb des VPN auf generische Dienste abzubilden, die vielleicht nicht existieren innerhalb des VPN. Die logische Abbildung zwischen dem virtuellen Dienst und dem tatsächlichen Dienst erlaubt eine leichte Administration von Diensten für die VPN-Administratoren. Das logische Abbilden könnte auch verwendet werden, um eine gemeinsame Schnittstelle zu den Diensten bereitzustellen, was eine "Single-Sign-On"-Funktionalität bereitstellt. Wenn mehrere Dienste oder Server konfiguriert werden, verwendet je der Dienst normalerweise sein eigenes Authentifizierungsschema. Ein Single-Sign-On-Schema bzw. einzelnes Anmelde-Schema ermöglicht dem Administrator, sich einmal bei einem gemeinsamen Authentifizierungsdienst anzumelden, der dann verwendet wird zum Authentifizieren des Benutzers bei allen anderen Diensten.
  • Das System gemäß der vorliegenden Erfindung unterscheidet sich von früher bekannter Technologie dadurch, dass normalerweise ein VPN als ein Netzwerk gesehen wird, das streng getrennt von dem zugrunde liegenden physikalischen Netzwerk ist, das bedeutet das globale Netzwerk, wie es in 3 gesehen wird. Durch Erlauben von Ausnahmen von dieser Regel, wo die Ausnahmen Teil sind von der VPN-Steuerlogik, können Dienste und ihre Zugangsverfahren definiert werden innerhalb der VPN-Konfigurationsstruktur selbst. Dies wiederum erlaubt die Möglichkeit eines Definierens eines hohen Niveaus an Abstraktion, von dem, was wirklich einen Dienst definiert, in einer Art und Weise, die eine VPN-Konfiguration und Management viel verwaltbarer macht. Dies stellt eine vereinigte Ansicht für jeden Dienst dar, unabhängig von der tatsächlichen Dienstimplementierung. Auch ermöglicht die modulare Steuerarchitektur ein dynamisches Bündeln von benutzerspezifischen Diensten auf dem grundlegenden VPN-Dienst.

Claims (7)

  1. System zum Bereitstellen eines Dienstes für einen Client (C1, C2) in einem virtuellen Netzwerk (30), das sich auf einem physikalischen Netzwerk (4) befindet, aber logisch getrennt von diesem ist, wobei sich in diesem System ein Netzwerkdienst in einem Server (S2, S3) befindet, dadurch gekennzeichnet, dass eine logische Repräsentierung (L-S2, L-S3) des Netzwerkdienstes bereitgestellt wird, und verbunden ist mit dem virtuellen Netzwerk durch eine virtuelle administrative Schnittstelle (I-S2, I-S3), wobei die logische Repräsentierung ein Abbilden auf den Netzwerkdienst enthält, womit ein virtueller Dienst repräsentiert wird, auf den von dem Client zugegriffen werden kann, wobei die logische Repräsentierung einen Dienst repräsentiert, unabhängig davon, ob der Dienst auf einem Server abläuft, der physikalisch mit dem virtuellen Netzwerk verbunden ist oder über die logische Repräsentierung mit dem virtuellen Netzwerk verbunden ist, wobei spezielle Zugangsregeln, die Teil des virtuellen Netzwerks sind, definieren, wie auf die Dienste zugegriffen werden kann und durch wen.
  2. Das System, wie in Anspruch 1 dargelegt, wobei die administrative Schnittstelle eine Konfigurierung von Zugangsregeln erlaubt, die definieren, wie den Clients erlaubt wird, auf die virtuellen Dienste zuzugreifen.
  3. Das System, wie in Anspruch 1 dargelegt, wobei die logische Repräsentierung den Netzwerkdienst ersetzbar macht ohne Ändern der Konfiguration des virtuellen Netzwerksystems, wobei ein Beispiel der Konfiguration Zugangsregeln sein würden.
  4. Das System, wie in Anspruch 1 dargelegt, wobei die logische Repräsentierung konfiguriert ist, von dem Client erfahren zu werden als ein Netzwerkdienst innerhalb des virtuellen Netzwerks.
  5. Das System, wie in Anspruch 1 dargelegt, wobei die logische Repräsentierung verbunden ist mit dem Server durch das physikalische Netzwerk.
  6. Das System, wie in Anspruch 2 dargelegt, wobei die virtuelle administrative Schnittstelle konfiguriert ist, um Client-Benutzer zu erlauben, vorbestimmte administrative Funktionen selbst auszuführen, wie zum Beispiel ein Subskribieren/Desubskribieren von sich selbst bei gewissen Diensten.
  7. Das System, wie in einem der vorherigen Ansprüche dargelegt, wobei das physikalische Netzwerk zum Beispiel ein Internet-Protokoll-Netzwerk ist.
DE60127187T 2001-06-27 2001-06-27 System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen Expired - Fee Related DE60127187T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2001/001474 WO2003003666A1 (en) 2001-06-27 2001-06-27 System and method for providing services in virtual private networks

Publications (2)

Publication Number Publication Date
DE60127187D1 DE60127187D1 (de) 2007-04-19
DE60127187T2 true DE60127187T2 (de) 2007-11-08

Family

ID=20283902

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60127187T Expired - Fee Related DE60127187T2 (de) 2001-06-27 2001-06-27 System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen

Country Status (4)

Country Link
EP (1) EP1413095B1 (de)
AT (1) ATE356494T1 (de)
DE (1) DE60127187T2 (de)
WO (1) WO2003003666A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7176037B2 (en) 2000-07-13 2007-02-13 The Scripps Research Institute Labeled peptides, proteins and antibodies and processes and intermediates useful for their preparation
US6951947B2 (en) 2000-07-13 2005-10-04 The Scripps Research Institute Labeled peptides, proteins and antibodies and processes and intermediates useful for their preparation
US7490171B2 (en) 2003-05-19 2009-02-10 Intel Corporation Universal plug-and-play mirroring device, system and method
JP2007529718A (ja) 2004-03-12 2007-10-25 ザ スクリップス リサーチ インスティチュート 蛋白質活性の検出および定量のための蛍光シグナル発光型生細胞バイオセンサー分子ならびに色素
CN114615108B (zh) * 2020-11-23 2023-05-09 中国联合网络通信集团有限公司 虚拟专网专线开通方法、平台及设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092200A (en) * 1997-08-01 2000-07-18 Novell, Inc. Method and apparatus for providing a virtual private network
US6061796A (en) * 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US6931016B1 (en) * 1999-10-13 2005-08-16 Nortel Networks Limited Virtual private network management system
US7765581B1 (en) * 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network

Also Published As

Publication number Publication date
EP1413095A1 (de) 2004-04-28
WO2003003666A1 (en) 2003-01-09
DE60127187D1 (de) 2007-04-19
EP1413095B1 (de) 2007-03-07
ATE356494T1 (de) 2007-03-15

Similar Documents

Publication Publication Date Title
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE69836271T2 (de) Mehrstufiges firewall-system
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE69928504T2 (de) Bereitstellung eines sicheren Zugriffs auf Netzwerkdienste
DE602004012131T2 (de) Verfahren und einrichtungen zum gemeinsamen benutzen von inhalt in einem netzwerk
DE69925732T2 (de) Mobiltelefon mit eingebauter Sicherheitsfirmware
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
US7159031B1 (en) Remote customer management of virtual routers allocated to the customer
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
US10097523B2 (en) Method and system for providing secure remote external client access to device or service on a remote network
US8340103B2 (en) System and method for creating a secure tunnel for communications over a network
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE60121755T2 (de) Ipsec-verarbeitung
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE60311898T2 (de) Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen
EP1128615A2 (de) Verfahren und Kommunikationseinrichtung zur Verschlüsselung von E-Mail
US7424736B2 (en) Method for establishing directed circuits between parties with limited mutual trust
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
US20020129142A1 (en) Method and device for configuring a firewall in a computer system
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
WO2003003664A1 (en) System and method for address and key distribution in virtual networks
DE102021127234A1 (de) Authentifizierungsverkettung bei der bereitstellung von mikrofilialen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee