-
Gebiet der
Erfindung
-
Die
Erfindung betrifft im Allgemeinen Computernetzwerke und insbesondere
das Ermöglichen von
Mechanismen für
eine Delegierung und Verteilung von zentralisierten Netzwerkserverfunktionen
an das Ende von Computernetzwerken. Insbesondere betrifft die Erfindung
das Problem eines Bereitstellens von Diensten an Klienten bzw. Clients
in virtuellen privaten Netzwerken.
-
Hintergrund
-
Die
meisten Unternehmen befinden sich an mehreren Orten, wobei jeder
Ort sein eigenes lokales Netzwerk (LAN = Local Area Network) hat.
Ein Ort ist definiert als irgendetwas zwischen einem Hauptquartier
oder einem Ort einer zugehörigen
Firma und einem entfernten Büroort
eines einzelnen Angestellten. Eine Art von Kommunikationsinfrastruktur
wird dann verwendet zum Verbinden der verschiedenen Orte. Die Internetentwicklung
kann ungefähr
kategorisiert werden in zwei Hauptbereiche:
- a)
Internet als die globale Kommunikationsinfrastruktur. Herkömmlich verwendeten
Unternehmen sogenannte geleaste Leitungen, die bereitgestellt wurden
von Telefonfirmen zum Verbinden ihrer Orte. Getrennte Firewall-Lösungen wurden
verwendet zum Zugreifen auf das Internet. Während der letzten Jahre verwenden
Firmen nicht länger das
Internet nur für
externe Kommunikation, mehr und mehr Firmen versuchen neue Netzwerklösungen,
die es ihnen erlauben, auch das Internet für firmeninterne Kommunikation
zu verwenden. Das Internet ist zu ihrem Ort-zu-Ort-Verbindungsmedium geworden.
- b) Breitband-Internet-Zugang. Parallel zu dem Obigen werden
mehr und mehr Breitbandzugangslösungen
ausgebreitet von verschiedenen Netzwerkzugangsbereitstellern. Dies
ermöglicht jedem,
seinen Zugang zum Internet von einer herkömmlichen Einwahl-PSTN-ISDN-(Public
Switched Telephone Network/Integrated Services Digital Network)-Zugangslösung zu
einer Breitbandlösung
zu aktualisieren, beispielsweise ADSL (Assymetric Digital Subscriber
Line), Kabel oder Ethernet, mit direktem Zugang zum Internet. Neben
naheliegenden Breitbandvorteilen ist der Netzwerkzugangsbenutzer
auch in der Lage, immer mit dem Internet verbunden zu sein.
-
Der
gemeinsame Name für
die meisten der Netzwerklösungen,
der mehrere Orte über
das Internet miteinander verbindet, ist "virtuelles privates Netzwerk" (VPN = virtual private
networks). VPNs können
implementiert werden auf verschiedene Arten, dies wird gut erklärt in beispielsweise
IETF durch B. Gleeson et al., "A
Framework for IP Based Virtual private Networks", RFC 2764, Februar 2000. Ein VPN ist
ein privates Netzwerk, das innerhalb eines öffentlichen Netzwerks konfiguriert
ist. Seit mehreren Jahren haben gewöhnliche Träger bzw. Bereitsteller VPNs
aufgebaut, die das Erscheinungsbild von privaten nationalen oder
internationalen Netzwerken für den
Kunden haben, aber physikalisch Backbone-Trunks mit anderen Kunden
teilen. VPNs genießen
die Sicherheit eines privaten Netzwerks über eine Zugangssteuerung und
Entschlüsselung,
während
sie den Vorteil von Wirtschaftlichkeit durch Massenproduktion aufweisen
und eingebaut werden in Verwaltungseinrichtungen von großen öffentlichen Netzwerken.
Heute gibt es ein großes
Interesse in VPNs über
das Internet, speziell aufgrund der konstanten Bedrohung von Hacker-Angriffen.
Das VPN fügt
diese Extraschicht an Sicherheit hinzu, und ein großer Wachstum
in der VPN-Verwendung wird erwartet. Im Allgemeinen können die
unterschiedlichen VPN-Lösungen
in zwei Hauptgruppen kategorisiert werden; Kundenräumlichkeitsgerät-(CPE =
Customer Premises Equipment)-basierende Lösungen oder Netzwerk-basierende
Lösungen.
-
Internet
ist ein öffentliches
Datennetzwerk, basierend auf Netzwerkparadigmen, wie zum Beispiel
gleiche und beste Anstrengungsverkehrsbehandlung. Der gesamte Verkehr,
der das Internet kreuzt, ist öffentlich
und unsicher, was in einer Anzahl von Problemen resultiert, die
gelöst
werden müssen, beispielsweise
End-zu-End-Sicherheitskommunikation zwischen Firmenorten bzw. Unternehmenssitzen. Einige
Probleme haben Lösungen,
die unterstützt werden
durch mehrere VPN, Systemverkäufer,
wie zum Beispiel verschlüsseltes
IP-Tunneln zwischen Endbenutzern, die die IPSec-Architektur verwenden, die
beschrieben wird von S. Kent und R. Atkinson in "Security Architecture for the Internet
Protocol", RFC 2401,
November 1998, oder einzelne Firewall-Lösungen, Desktop-Software-VPN-Clients;
beispielsweise Microsoft®-VPN, etc. Ein PC, der
verbunden ist mit dem Internet, kann, nicht leicht, aber es ist
möglich, verwendet
werden als ein Transitknoten von einem Hacker, beispielsweise könnte der
Hacker ein Trojanisches-Pferd-Programm
verwenden, um in den PC zu gelangen. Tief in dem PC könnte das
Trojanische-Pferd-Programm adaptiert werden, Anwendungs-Software
freizugeben, die als irgendeine authentifizierte Software agiert,
die durch den Benutzer des PCs installiert wurde. Es ist sehr schwierig
für Schicht-2
und -3 Firmware/Software diese Art von bösartigen Anwendungen zu detektieren.
Deshalb ist es empfehlenswert, VPN-Steuer- und Management-Software-
und Firmware-Funktionen und Endbenutzeranwendungen zu haben, wie
zum Beispiel Service-Login-Software "authentifizierte" Software-Anwendungen, die auf irgendeine
Weise die Netzwerkinfrastruktur verwenden, die bereitgestellt wird durch
den VPN-Dienst, getrennt von verschiedenen Hardware-Plattformen.
Was im allgemeinen vermieden werden sollte, ist PC-Klienten zu haben,
die verantwortlich sind für
ein Konfigurieren der tatsächlichen
VPN-Einrichtung, das heißt
Zugang zu den Nachschau-Tabellen für andere VPN-Mitgliederöffentliche-IP-Adressen
zu haben, Zugang zu Information zu haben hinsichtlich wie zu authentifizieren
ist, eine Integritätsprüfung auszuführen und
Verkehr zu entschlüsseln,
der auf VPN gerichtet ist, etc.
-
Normalerweise
sind Benutzer, die mit dem Internet verbunden sind, nur begrenzt
in ihrer Verwendung von Diensten dadurch, wie ihr Firewall die Verwendung
von verteilten Diensten akzeptiert oder ablehnt. Um in der Lage
zu sein, auf einen gewissen Dienst zuzugreifen, müssen Firewall-Einstellungen geändert werden,
und Erlaubnisse werden gegeben für
die spezifischen Konfigurationseinstellung, die den Dienst abbildet,
auf den zugegriffen werden muss. Ein Problem tritt auf, wenn Benutzer
verbunden sind mit einem virtuellen privaten Netzwerk (VPN = Virtual
Private Network), wo Dienste außerhalb
des VPN unzugänglich
sind durch den Benutzer, aufgrund der logischen Trennung des VPN
und des physikalischen Netzwerks. Auf eine Art und Weise kann die
Trennung des VPN von dem physikalischen Netzwerk gesehen werden
als ein Firewall, der konfiguriert ist zum Blocken des gesamten
Verkehrs zwischen den zwei Netzwerken. Auf Dienste außerhalb des
VPN kann von innerhalb des VPN nicht zugegriffen werden und umgekehrt.
Irgendein Dienst, auf den zugegriffen werden muss von innerhalb
eines VPNs kann sein
- – ein integrierter Teil des
VPN, beispielsweise ein DHCP-Server innerhalb des VPN-Drivers bzw. VPN-Treibers
des Client-Systems, wobei DHCP (Dynamic Host Configuration Protocol)
eine Software ist, die automatisch IP-Adressen an Client-Stationen zuordnet,
die sich bei einem IP-Netzwerk anmelden. Dies ist ein gewöhnlich verwendeter
Weg zum Zuordnen von IP-Adressen
dynamisch zu Hosts auf dem lokalen Netzwerk. Normalerweise empfängt jeder
Client-Computer eine freie IP-Adresse, wenn er gebootet wird. Diese
Adresse muss dann in einem Zeitintervall erneuert werden, um zu
versichern, dass dem DHCP-Server nicht die freien Adressen ausgehen;
- – innerhalb
des VPN, Laufenlassen als ein normaler Dienst auf einem Server,
der verbunden ist mit dem VPN;
- – außerhalb
des VPN, das heißt
normalerweise nicht zugänglich
von dem VPN;
- – ein
anderer Dienst, der ein Merkmal für den Benutzer des VPN bereitstellen
könnte.
-
Die
Verwendung eines Administratorservers, der verbunden ist mit einem
VPN, ist auch in WO-A-0143392 offenbart.
-
Es
gibt normalerweise keinen Weg eines Bereitstellens eines einfachen
Zugangs für
alle Arten von Diensten innerhalb oder außerhalb des VPN, da kein Weg
existiert, Dienste abzubilden auf ihre logische Repräsentation,
auf eine Art und Weise, die nützlich
ist für
einen Benutzer des VPN. Ein Dienst kann innerhalb, außerhalb
oder ein integraler Teil des VPN-Systems sein, und in der Praxis
machen diese Unterschiede die Konfiguration der Dienste schwierig für den Systemadministrator.
-
Zusammenfassung
der Erfindung
-
Gemäß einem
ersten Aspekt betrifft die Erfindung ein System zum Bereitstellen
eines Dienstes für einen
Client in einem virtuellen Netzwerk, wobei das virtuelle Netzwerk
ansässig
ist bei, aber logisch getrennt ist von, einem physikalischen Netzwerk.
In diesem System befindet sich ein Netzwerkdienst in einem Server,
und eine logische Repräsentation
des Netzwerkdienstes wird bereitgestellt. Diese logische Repräsentation
ist verbunden mit dem virtuellen Netzwerk durch eine virtuelle administrative
Schnittstelle.
-
Bevorzugt
enthält
die logische Repräsentation
ein Abbilden auf dem Netzwerkdienst, womit ein virtueller Dienst
repräsentiert
wird, auf den von dem Client zugegriffen werden kann.
-
Gemäß einer
Ausführungsform
der Erfindung, mach die logische Repräsentierung den Netzwerkdienst
austauschbar, ohne ein Ändern
der Konfiguration des virtuellen Netzwerksystems. Bevorzugt ist
der Dienst so konfiguriert, dass er wahrgenommen werden kann durch
den Client als ein Teil des virtuellen Netzwerks.
-
Der
Netzwerkdienst kann ein Dienst sein, der auf dem Server läuft, der
momentan verbunden ist mit dem virtuellen Netzwerk. In solch einem
Fall ist die logische Repräsentierung
bevorzugt direkt verbunden mit dem Server. Alternativ ist der Netzwerkdienst
ein Dienst, der auf dem Server abläuft, wobei der Server sich
außerhalb
des virtuellen Netzwerks befindet, wo spezielle Zugangsregeln definieren,
wie auf einen Server zuzugreifen ist und durch wen. In solch einem
Fall ist die logische Repräsentierung
verbunden mit dem Server durch das physikalische Netzwerk.
-
In
einer Ausführungsform
ist die virtuelle administrative Schnittstelle konfiguriert, um
Client-Benutzern zu erlauben, vorbestimmte administrative Funktionen
selbst zu verwenden, wie zum Beispiel selbst Teilnehmen/Verlassen
von gewissen Diensten. Bevorzugt ist das physikalische Netzwerk
ein Internet-Protokollnetzwerk.
-
Gemäß einem
zweiten Aspekt der Erfindung wird ein Verfahren bereitgestellt zum
Durchführen der
Schritte, die in dieser Anmeldung beschrieben sind, zum Bereitstellen
virtueller Dienste in einem virtuellen privaten Netzwerk.
-
Kurze Beschreibung
der Zeichnungen
-
Bevorzugte
Ausführungsformen
der Erfindung werden unten beschrieben mit Bezugnahme auf die Zeichnungen,
in denen
-
1 den
Systemüberblick
gemäß einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
2 die
Verkehrsüberwachung
und Session-Übernahme
gemäß einer
Ausführungsform
der vorliegenden Erfindung darstellt;
-
3 die
logische Repräsentierung
der Dienste für
ein virtuelles Netzwerk gemäß einer
Ausführungsform
der Erfindung darstellt; und
-
4 die
Verbindung zwischen dem aktuellen Dienst und der Schnittstelle in
Richtung des Clients des virtuellen Netzwerks gemäß einer
Ausführungsform
der vorliegenden Erfindung darstellt.
-
5 stellt
ein emuliertes LAN auf einem globalen IP-Netzwerk dar, gemäß einer
Ausführungsform
der Erfindung.
-
Detaillierte
Beschreibung der bevorzugten Ausführungsformen
-
Gemäß einem
Aspekt basiert das System gemäß der vorliegenden
Erfindung auf einem Standard-IP-Netzwerk, wie das öffentliche
Internet. Das System umfasst mehrere VPN-Clients und mindestens
einen Server. Ein Server kann ein verteilter Cluster von physikalischen
Boxen sein. Die VPN-Clients könnten
implementiert werden als Driver auf dem Client-Computer, aber sind
aus Gründen
der Sicherheit bevorzugt implementiert in einer einzelnen Hardware-Box.
Ein Zweck dieses Mechanismus ist es, dynamische und sichere virtuelle
lokale Netzwerke zwischen einigen oder allen der Clients zu errichten.
Ein virtuelles Netzwerk wird erzeugt durch Einrichten von Verbindungsgruppen
in einem VPN-Server. Der Server weist ein Dienstgerät auf zum
Verfolgen von verbundenen Maschinen und Abbilden derselben auf IP-Adressen.
In einer Ausführungsform
wird dies erlangt unter Verwendung von ARP (Adress Resolution Protocol),
einem IP-Protokoll, das verwendet wird zum Erlangen einer physikalischen
Adresse eines Knotens. Eine Client-Station sendet eine ARP-Anforderung
an den VPN-Server mit der VPN-Internen-IP-Adresse des Zielknotens,
mit dem sie wünscht,
zu kommunizieren, und der VPN-Server antwortet durch Zurücksenden
der Externen-IP-Adresse, so dass Pakete übertragen werden können. ARP
gibt die Schicht-2-Adresse für
eine Schicht-3-Adresse zurück.
Der Mechanismus handhabt auch eine Verteilung von öffentlichen
Schlüsseln zum
Bilden vollständiger
Sicherheitsassoziierungen. Für
ein Handhaben von Ausstrahlungen wird ein emulierter Ausstrahlungsdienst
implementiert in dem Server, bevorzugt unter Verwendung einer IP-Multicast-Gruppe oder als ein
getrennter Ausstrahlungsdienst. Daten, die direkt von einer Maschine
in das virtuelle Netzwerk zu anderen gesendet werden, werden über IP direkt
an die IP-Adresse des empfangenen Klienten bzw. Clients getunnelt.
Der Mechanismus enthält
sowohl den Fall, wo Datenpakete direkt über IP getunnelt werden, als
auch, wenn ein Schicht-2-Medium, wie zum Beispiel Ethernet, auf dem
IP-Netzwerk geschalten wird.
-
5 stellt
eine Ausführungsform
des System gemäß des vorliegenden
Mechanismus dar, wobei ein Netzwerk 4 fünf Knoten umfasst; vier VPN-Clients 31–34 mit
globalen Adressen C1–C4
und einen Server S. Alle von diesen sind verbunden mit und haben
eine gültige
Adresse in dem physikalischen Netzwerk 4. Diese Knoten
sind miteinander verbunden, unter Verwendung von Standard-Internet-Routing-Prozeduren,
aber die Clients 31–34 sind
nicht in dem gleichen LAN. Auf dieser Netzwerkinfrastruktur bilden
die Clients 31, 32 und 33 ein virtuelles
Netzwerk 30 mit lokalen Adressen D1, D2, und D3. In dem dargestellten
Fall sieht es so aus, dass die Clients in diesem VPN auf dem gleichen
lokalen Netzwerk sind. Der Grund für dies ist der Ausstrahlungsdienst,
das heißt,
das Dienstgerät,
das alle Pakete für
die lokale Ausstrahlungsdomain an alle Maschinen in dem VPN 30 liefert.
Daher arbeiten Dienstentdeckungsmechanismen oder Schicht-2-ARP transparent
auf dem virtuellen Netzwerk. Wenn Client 31 auf dem VPN
ein Paket direkt an Client 32 übertragen will, fordert die Client-Software
die physikalische Adresse C2 von dem Server S an, basieren auf der
lokalen Adresse D2, sowie mögliche
Sicherheitsschlüssel,
die benötigt
werden zum Sprechen mit D2 von S. D1 ist dann in der Lage, das Paket
in einem sicheren Tunnel direkt an D2 zu übertragen, ohne den Server
S zu durchlaufen.
-
Das
obige stellt einen effektiven und benutzerfreundlichen Mechanismus
zum Einrichten von virtuellen privaten Netzwerken über generische IP- Verbindungen dar.
Ausstrahlungsdienste und Dienstentdeckungsprotokolle, die normalerweise eine
Direkt-Schicht-2-Verbindung benötigen,
können unabhängig von
der aktuellen Netzwerkstruktur arbeiten. Es stellt auch die Möglichkeit
von verteilten Netzwerkausstrahlungshandhaben dar, wobei Regeln
und Konfigurationsoptionen in den Endknoten des Netzwerks zwischengespeichert
werden können, anstatt
in einem zentralisierten Server. Der beschriebene Mechanismus ist
einzigartig dadurch, dass er ein vollständig verteiltes emuliertes
LAN auf einem IP-Netzwerk präsentiert,
wobei Zugang und Attribute, wie zum Beispiel Sicherheitsassoziierungen,
vollständig
gesteuert werden durch einen Server. Die neuesten Lösungen verwenden
statische Tunnel. Entweder werden permanente Verbindungen zwischen
den Mitgliedern des VPN oder Tunnelserver eingerichtet, was im Grunde
nach wie Modem-Pools arbeitet, nur dass eine IP-Nummer "gewählt" wird. Dies bedeutet,
dass der gesamte Verkehr, ungeachtet des letztlichen Ziels, durch
diese eine Box geht. Insbesondere kommt Verkehr, der zu diesen Orten
in das VLAN (Virtual LAN) geht, anders als der von dem VLAN-Server,
hinein durch den Serverzugang und dreht um. Der Ausstrahlungsdienst
erlaubt Dienstentdeckungsprotokollen, die entworfen sind für lokale Netzwerke,
auf dem VPN zu funktionieren, während der
ARP-Mechanismus
eine dynamische Einrichtung von sicheren Tunneln direkt zwischen
Endpunkten erlaubt. Der gut bekannte LANE-(LAN-Emulierungs)-Standard
wurde total auf ATM (Assynchronous Transfer Mode) fokussiert, und
hat als Merkmal kein integriertes Sicherheitshandhaben. Lane führt unter
anderem die Fähigkeit
ein, Ethernet und Token-Ring-Netzwerke zusammen über ATM zu verbinden. LANE
macht den Prozess transparent, was keine Modifizierung für Ethernet
und Token-Ring-Stationen benötigt.
LANE erlaubt, gewöhnlichen
Protokollen, wie zum Beispiel IP, IPX, AppleTalk und DECnet, über ein
ATM-Backbone zu
gehen. Eine LAN-Emulierung wurde implementiert und verifiziert über ATM. Jedoch
wird, da die Systemarchitektur selbst durch ihren Entwurf das Senden
aller Daten durch den Server vermeidet, das Flaschenhalsproblem
mit den überlasteten
Serververbindungen vollständig
vermieden.
-
Im
Allgemeinen verlässt
sich das Zielsystem auf ein Entscheidungsschema darauf, dass ein
Dritter eine Client-Rolle in einer Zweiparteienkommunikations-Session übernimmt.
In 1 umfassen die Systemprozesse Endbenutzer-Clients,
die sich bei Endbenutzerräumlichkeitsgerät 1 befindet,
einen zentralen VPN-Systemserver 2 und Netzwerkrand-Lokalisierte-VPN-System-Clients 3.
Dicke Linien kennzeichnen physikalische Kommunikationslinien, wobei
Pfeile kommunizierende Enden kennzeichnen, ohne ein Spezifizieren
von dem Weg, den die Kommunikation nimmt, zwischen diesen kommunizierenden
En den. Wie vorher beschrieben, ist VPN ein gewöhnlich verwendeter Ausdruck
zum Beschreiben eines logischen Netzwerks, das sich auf einem tatsächlich physikalischen
Netzwerk oder Netzwerken befindet. Zu den Benutzer- und Client-Anwendungen
verhält
sich das logische Netzwerk wie ein normales Netzwerk, aber die Netzwerkperimeter
und Grenzen sind nicht spezifiziert durch eine physikalische oder
netzwerkbasierte Topologie, aber durch eine logische Beschreibung
und ihre Regeln und Komponenten.
-
Der
Endbenutzer-Client-Prozess befindet sich bevorzugt in einem PC,
der VPN-Client-Prozess befindet sich bevorzugt innerhalb einer einzelnen Hardware-Einheit,
und der VPN-Serverprozess befindet sich innerhalb irgendeiner Server-Hardware-Einheit,
wie zum Beispiel einem IBM®-Server. Unter Prozess
wird hier die Funktionalität
für den
bestimmten Client oder Server verstanden, wie es hierin beschrieben
ist. Der VPN-Server 2 und der VPN-Client sind Teile eines VPN-Systems,
das den Endbenutzer-Client 1 mit Zugang zu angeforderten
VPNs versieht. Die Endbenutzer-Client-1-Hardware ist physikalisch
verbunden über
eine Kommunikationsleitung 11 mit der VPN-Client-3-Hardware.
Die VPN-Client-3-Hardware ist physikalisch verbunden mit einer Schicht-2-Terminierung,
die dem VPN-Client-3 erlaubt, auf das Internet über eine
Kommunikationsleitung 12 zuzugreifen. Das Schicht-2-Protokoll
ist bevorzugt Ethernet, aber könnte
praktischerweise irgendein bekanntes Schicht-2-Protokoll sein, das
verwendet wird zur Einkapselung und Transport von IP-(Internet-Protokoll)-Paketen
zwischen IP-Knoten. Der VPN-Server 2 ist verbunden mit
dem Internet über
eine Kommunikationsleitung 13 auf die gleiche Art und Weise,
wie der VPN-Client 3.
-
Gemäß einer
Ausführungsform
des Zielsystems initiiert der Endbenutzer-Client 1 eine
Kommunikations-Session mit dem VPN-Server 2, um Zugang
zu erhalten zu einem virtuellen privaten Netzwerk. Während der
Initialisierungsphase authentifiziert und autorisiert der VPN-Server 2 den
Endbenutzer-Client 1 als einen registrierten Benutzer der VPN-Dienste,
die bereitgestellt werden durch den VPN-Server 2. Der VPN-Client 3 ist
passiv dadurch, dass er nicht irgendwelche neue Informationselemente
während
der Initialisierungsphase initiiert. Der VPN-Client 3 überwacht 22 auch
die Kommunikation 21 zwischen dem Endbenutzer-Client 1 und
dem VPN-Server 2.
-
Wenn
die Initialisierungsphase zwischen dem Endbenutzer-Client 1 und
dem VPN-Server 2 beendet ist, und wenn Information ausgetauscht
wurde hinsichtlich bestimmter VPN, auf die die Endbenutzer-Clients
Zugriff verlangen, dann wird der VPN-Client 3 aktiv und übernimmt
die Kommunikations-Session
zwischen dem Endbenutzer-Client 1 und dem VPN-Client 3.
Der VPN- Client 3 fordert
nun, falls es notwendig ist, weil die VPN-Information schon zwischengespeichert
werden kann durch den VPN-Client 3, VPN-Konfigurationsdaten an von dem VPN-Server 2.
Der VPN-Client 3 verwendet die Konfigurationsdaten zum
Konfigurieren notwendiger VPN-Zugangsparameter, wie zum Beispiel
Verkehrsklassifizierungsparameter, Leistungsfähigkeitsversicherungsparameter
oder Firewall-Parameter, wie zum Beispiel Verschlüsselung,
Authentifizierung, Filtern von Parametern, etc.
-
Dem
Endbenutzer-Client 1 wird erlaubt, verschiedene VPN-Server
zu verwenden, aber er kann nicht simultan auf mehr als einen VPN-Server 2 zugreifen.
Der VPN-Client 3 detektiert, wenn ein Endbenutzer-Client 1 versucht,
auf einen gewissen Server 2 zuzugreifen. In diesem Moment
wird der VPN-Server 2 als unsicher betrachtet, bis der
Endbenutzer-Client 1 den VPN-Server 2 authentifiziert hat,
und auch authentifiziert wurde durch den VPN-Server 2.
-
Die Überwachungs-
und Session-Übernahmeszenarios
werden detaillierter in 2 beschrieben. Der VPN-Client 3 hat
eine Domain, der vertraut werden kann, welches die Endbenutzer-Client-1-Seite
ist, und eine Domain, der nicht vertraut wird, die Internet-Domain.
Aus der Sicht des VPN-Clients 3 befindet sich der VPN-Server 2 deshalb
in der Domain, der nicht vertraut wird. Da der gesamte ein- und
ausgehende IP-Verkehr zu/von dem Endbenutzer-Client hindurchgeht durch die VPN-Client-3-Hardware,
ist der VPN-Client 3 in der Lage, die Kommunikation 21 zwischen
dem Endbenutzer-Client 1 und dem VPN-Server 2 zu überwachen.
Dies ist gegeben, falls und nur falls, der IP-Verkehr nicht auf solch eine Art und
Weise verschlüsselt
ist, dass der VPN-Client 3 nicht
in der Lage ist, den IP-Verkehr zu entschlüsseln. Die VPN-Client-3-Software
befindet sich auf der Hardware, die physikalisch den Endbenutzer-Client 1 mit
dem Internet 4 verbindet. Der VPN-Client 3 ist deshalb
in der Lage, den gesamten Verkehr 21 zwischen dem Endbenutzer-Client 1 und
verschiedenen VPN-Servern 2 zu überwachen 22, zu welchen
der Endbenutzer-Client 1 registriert ist als Benutzer.
-
Der
VPN-Client 3 identifiziert, wenn der Endbenutzer-Client 1 anfängt, Kontakt
mit einem VPN-Server 2 aufzunehmen. Der VPN-Client 3 behandelt
die Endbenutzer-Client-1-Seite als eine Partei, der vertraut wird,
und den VPN-Server 2, als eine Partei, der nicht vertraut
wird. Die Session-Einrichtungsphase 21 zwischen
dem Endbenutzer-Client 1 und dem VPN-Server 2 könnte auf
mehrere Arten durchgeführt
werden, beispielsweise durch eine herkömmliche Aufforderung/Antwort-Handschüttelsequenz.
Die Kommunikation 21 sollte primär durchgeführt werden durch Web-basierten
Clients, aber andere Client-Serverprozessumgebungslösungen sind möglich. Wenn
die Handschüttelsequenz
zwischen dem Endbenutzer-Client 1 und dem VPN-Server 2 beendet
ist, übernimmt
der VPN-Client 3 die Kommunikations-Session. Das Handschütteln bzw.
Handshaking wird als beendet betrachtet, wenn der VPN-Server 2 authentifiziert
wurde und den Endbenutzer-Client 1 autorisiert hat, und
den Endbenutzer-Client 1 als einen bestätigten Benutzer bestätigt. Der
VPN-Client 3 wird von nun an Proxy-Rollen hinsichtlich
sowohl des Endbenutzer-Clients 1 und des VPN-Servers 2 übernehmen.
Hinsichtlich des Endbenutzer-Clients 1 wird der VPN-Client 3 als
ein VPN-Server-Proxy agieren und hinsichtlich des VPN-Servers als
ein Endbenutzer-Client-Proxy. Der Endbenutzer-Client 1 wird
seine Session weiterführen,
unter der Annahme, dass er noch mit dem VPN-Server 2 kommuniziert. Der
VPN-Client 3 wird, unter Verwendung der VPN-Server-Proxy-Rolle,
die VPN-Einrichtungs-Session mit dem Endbenutzer-Client 1 weiterführen.
-
Ferner
wird der VPN-Client 3 nun den VPN-Server 2 als
eine sichere Quelle betrachten und Kommunikations-Sessions 23 mit
dem VPN-Server 2 starten, der ermöglicht, dass der Endbenutzer-Client 1 als
Mitglied in dem angeforderten VPN enthalten ist.
-
In
einer Ausführungsform
wird das Zielsystem in einem Dienstbereitstellungssystem implementiert,
wo Teile der Dienstfunktionalität
verteilt werden an System-Clients, die als Server-Proxies agieren. Ein
technischer Vorteil des vorliegenden Systems ist der, dass irgendein
Hackerangriff über
ein Endbenutzer-PC 1 vermieden wird durch kritische Software/Firmware
zur Steuerung und Management von VPN-Konfigurationsdaten, getrennt
von einer einzelnen Hardware 3. Ein anderer Vorteil ist
das automatisierte Übernehmen
von zertifizierten Sessions. Ein anderer Vorteil ist das Plug-and-Play-Verhalten für virtuelle
Dienste über
Internet, was verfügbar
gemacht wird durch das System. Die Lehren des vorliegenden Systems
unterscheiden sich daher von der Stand-der-Technik-Technologie,
da frühere
Lösungen
für das
Problem entweder zentralisierte Serverlösungen umfasst haben, wie zum
Beispiel PSTN/ISDN-Modem-Pool-Lösungen,
Serverzentralisiertes-IP-Sec-Tunneln etc., oder verteilte Lösungen, die
nur gültig
waren innerhalb einer Netzwerkoperator-Intra-Domain oder innerhalb
föderierter
Netzwerkoperator-Domains.
Diese Lösungen
werden allgemein als netzwerkbasierte VPN-Systeme bezeichnet. Das
vorliegende System wird unabhängig
davon funktionieren, ob oder ob nicht die verschiedenen VPN-Client-Benutzer
auf die gleiche Netzwerkoperator-Domain oder eine föderierte
Netzwerk-Domain zugreifen oder Zugang haben auf vollständig unabhängige Netzwerkoperator-Domains.
-
Die
vorliegende Erfindung löst
das Problem von strikten Grenzen und Regeln hinsichtlich dem, was
ein Dienst in einem VPN sein sollte. Durch Anwenden des Konzepts
von virtuellen Diensten als ein Abbilden auf einen aktuellen bzw.
tatsächlichen Dienst,
werden die komplexen Strukturen von über Netzwerk verbundene Dienste
vor den Benutzern des VPN versteckt, die noch immer nehmen und auswählen können von
den Diensten, die sie in ihrer eigenen Sicht des Netzwerks verwenden
wollen. Unter virtuellem Dienst wird hier verstanden, dass die Klienten
des virtuellen Netzwerks, die auf den Dienst zugreifen, den Dienst
wahrnehmen werden als ein Teil des emulierten Netzwerks, und nur
die Logik des Dienstes wahrnehmen werden. Der tatsächliche Dienst
kann sich jedoch außerhalb
des Client VPNs befinden. Für
Administratoren sind die Vorteile diejenigen, dass die administrativen
Schnittstellen für
einen Dienst die gleichen bleiben, selbst wenn der Dienst selbst
ersetzt wird mit einer unterschiedlichen tatsächlichen Implementierung des
Dienstes.
-
Ein
Beispiel einer Ausführungsform
der vorliegenden Erfindung ist dargestellt in 3,
wobei gestrichelte Linien Verbindungen in dem virtuellen privaten
Netzwerk 3 sich kennzeichnen und dicke Linien Verbindungen
mit dem globalen Netzwerk 4, bevorzugt ein IP-Netzwerk,
kennzeichnen. In der offenbarten Ausführungsform kann sich der Dienst "DHCP-Server", beispielsweise
auf einer physikalischen Server-Maschine S1 befinden, die angeordnet ist
und zugreifbar ist innerhalb des VPN 30 gemäß dem Stand
der Technik. Gemäß der Erfindung
würde es
auch möglich
sein, sie in der Steuerlogik des VPN anstatt dessen zu implementieren,
was normalerweise die Art ändern
würde,
wie ein Konfigurieren des DHCP-Servers ausgeführt werden sollte. Falls ein DHCP-Server
S2 eine logische Repräsentierung
Logrep-S2, sowie eine virtuelle administrative Schnittstelle I-S2
aufweist, könnte
der zugrunde liegende Dienst S2 ersetzt werden ohne ein Ändern der
Art, wie der Systemadministrator das System konfiguriert.
-
Das
System gemäß der vorliegenden
Erfindung verwendet ein Konzept, wo ein Netzwerkdienst, sei es ein
Zugangsverfahren oder Zugangsregel oder irgendein IP/IPv6-Dienst,
repräsentiert
wird als eine Teil-Komponente S2, S3 des VPN selbst, und deshalb
kann er hinzugefügt
werden oder entfernt werden von dem VPN auf eine sehr intuitive
Art und Weise, beispielsweise unter Verwendung eines Drag-and-Drop-Schemas,
oder unter Verwendung eines einfachen Satzes von Konfigurationsoptionen
in einer Konfigurationsdatei. Der virtuelle Dienst wird so konfiguriert,
dass er angesehen werden kann als ein Teil eines VPN, aber sein
entsprechender tatsächlicher
Dienst kann sein:
- – ein integrierter Dienst in
der VPN-Technologie, die verwendet wird;
- – ein
Dienst, der auf einer Maschine S2 abläuft, die gegenwärtig verbunden
ist mit dem VPN;
- – ein
Dienst, der auf einem Server S3 außerhalb von dem VPN abläuft, wobei
spezielle Zugangsregeln definieren, wie auf ihn zugegriffen wird
und durch wen;
- – irgendein
Dienst, zu dem eine Abbildung existieren könnte, die in erscheinen lassen
würde,
als ob er Teil des VPN selbst ist.
-
Wie
in 3 dargestellt, kann ein sich auf einem solchen
Server S3 befindlicher Dienst, der verbunden ist mit dem globalen
Netzwerk 4, beispielsweise dem Internet, aber der nicht
Teil des VPN 30 ist, verwendet werden durch die VPN-Clients
C1, C2, unter Verwendung der vorliegenden Erfindung. Eine logische
Repräsentierung
Logrep-S3 stellt den virtuellen Dienst bereit, und wird abgebildet
auf den tatsächlichen
Dienst in S3. Die logische Repräsentierung
Logrep-S3 ist verbunden mit einer virtuellen administrativen Schnittstelle
I-S3, was ihn zugreifbar macht für
die VPN-Clients
C1, C2. Diese Ausführung hat
auch den Vorteil, Ersetzungen in dem tatsächlichen Dienst durchzuführen, ohne
den Weg zu ändern zu
müssen,
wie der Systemadministrator das System konfiguriert.
-
4 stellt
schematisch dar, wie ein Dienst verfügbar gemacht wird für einen
Client des VPN. Der tatsächliche
Dienst wird repräsentiert
durch eine virtuelle Dienst-Logische-Repräsentierung, an welche eine
administrative Schnittstelle gebunden ist. Die administrative Schnittstelle
kann eingerichtet werden, um Benutzern zu erlauben, einige administrative
Funktionen selbst durchzuführen,
wie Teilnehmen/Sich-Abmelden von gewissen Diensten.
-
Die
Erfindung kann in jeder VPN-Technologie verwendet werden, die den
Administratoren des VPN erlaubt, Zugangsregeln pro über Netzwerk
verbundenen Dienst zu definieren. Es muss auch ein Weg existieren,
eine Dienstdefinition innerhalb des VPN auf generische Dienste abzubilden,
die vielleicht nicht existieren innerhalb des VPN. Die logische
Abbildung zwischen dem virtuellen Dienst und dem tatsächlichen
Dienst erlaubt eine leichte Administration von Diensten für die VPN-Administratoren. Das
logische Abbilden könnte
auch verwendet werden, um eine gemeinsame Schnittstelle zu den Diensten
bereitzustellen, was eine "Single-Sign-On"-Funktionalität bereitstellt.
Wenn mehrere Dienste oder Server konfiguriert werden, verwendet je der
Dienst normalerweise sein eigenes Authentifizierungsschema. Ein
Single-Sign-On-Schema
bzw. einzelnes Anmelde-Schema ermöglicht dem Administrator, sich
einmal bei einem gemeinsamen Authentifizierungsdienst anzumelden,
der dann verwendet wird zum Authentifizieren des Benutzers bei allen anderen
Diensten.
-
Das
System gemäß der vorliegenden
Erfindung unterscheidet sich von früher bekannter Technologie dadurch,
dass normalerweise ein VPN als ein Netzwerk gesehen wird, das streng
getrennt von dem zugrunde liegenden physikalischen Netzwerk ist,
das bedeutet das globale Netzwerk, wie es in 3 gesehen
wird. Durch Erlauben von Ausnahmen von dieser Regel, wo die Ausnahmen
Teil sind von der VPN-Steuerlogik, können Dienste und ihre Zugangsverfahren
definiert werden innerhalb der VPN-Konfigurationsstruktur selbst.
Dies wiederum erlaubt die Möglichkeit
eines Definierens eines hohen Niveaus an Abstraktion, von dem, was
wirklich einen Dienst definiert, in einer Art und Weise, die eine
VPN-Konfiguration und Management viel verwaltbarer macht. Dies stellt
eine vereinigte Ansicht für
jeden Dienst dar, unabhängig
von der tatsächlichen
Dienstimplementierung. Auch ermöglicht
die modulare Steuerarchitektur ein dynamisches Bündeln von benutzerspezifischen
Diensten auf dem grundlegenden VPN-Dienst.