-
Technisches
Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft allgemein die Informationssicherheit
und im Besonderen ein Verfahren, welches die Herstellung einer Virtual
Private Network-Verbindung in einem Kommunikationsnetz zwischen
einem ersten und einem zweiten mit dem Netz verbundenen Computer
ermöglicht.
-
Insbesondere
ist ein erstes mobile Kommunikationsendgerät für eine lokale Kommunikation
mit dem ersten Computer angeordnet, und ein zweites mobiles Kommunikationsendgerät ist für eine lokale Kommunikation
mit dem zweiten Computer angeordnet, und das erfindungsgemäße Verfahren
wird von dem zweiten mobilen Endgerät durchgeführt.
-
Die
vorliegende Erfindung betrifft auch ein mobiles Kommunikationsendgerät, das dazu
angeordnet ist, das Verfahren durchzuführen, und ein System, in dem
ein mobiles Kommunikationsendgerät, das
dazu angeordnet ist, das Verfahren durchzuführen, enthalten ist.
-
Hintergrund
der Erfindung
-
Ein
Virtual Private Network (VPN) ist ein privates Netz, welches das öffentliche
Netz einschließlich
seiner Telekommunikationsinfrastruktur nutzt. VPNs werden häufig verwendet,
um Mobil- und Remote-Anwendern eine Verbindung mit den internen LANs
ihrer Firma zu ermöglichen.
-
IPSec
(Internet Protocol Security) war während der letzten Jahre eine übliche Technik,
um VPNs zur Verfügung
zu stellen. Unter Verwendung von IPSec wird Sicherheit durch das
Vorsehen eines Tunnelprotokolls und von Sicherheitsprozeduren erzielt.
-
Um
eine IPSec VPN-Tunnelverbindung zwischen zwei Peer- oder Client-Computern
herzustellen, die mit dem Internet verbunden sind, muss jeder Computer
im Besitz bestimmter Konfigurationsdaten einschließlich der
IP-Adresse beider Computer und einer gemeinsamen Geheiminformation
wie etwa einer Zufallszahl oder alphanumerischen Strings sein. Wenn
eine solche Information zur Verfügung
steht, kann jeder Computer einen Konfigurationsprozess durchführen, der
in der Einrichtung der VPN-Verbindung resultiert.
-
Public
Key Infrastructure (PKI) ist ein sicheres Verfahren für den Austausch
von Informationen innerhalb einer Organisation, einer Industrie,
einer Nation, oder weltweit. PKI verwendet das asymmetrische Verschlüsselungsverfahren,
das auch als das "öffentliche/private
Schlüssel"-Verfahren bekannt
ist, zum Verschlüsseln
von IDs und Dokumenten/Nachrichten. Ein Zertifizierungsbehörde (Certificate
Authority; CA) vergibt digitale Zertifikate (digitale IDs), welche
die Identität
von Personen und Organisationen über
ein öffentliches
Netz wie etwa das Internet authentisieren.
-
Die
Patentanmeldung US 2003/070067 (10.04.2003) beschreibt ein Verfahren
zur Herstellung einer sicheren Verbindung zwischen zwei mobilen
Endgeräten.
Ein Server beliefert das Anruferendgerät mit einem gemeinsamen Schlüssel und
mit Adressinformationen des Zielendgerätes. Das Anruferendgerät schickt
den Schlüssel
an die von dem Server gelieferte Adresse. Schließlich wird eine sichere Verbindung
zwischen den beiden Endgeräten unter
Verwendung des gemeinsamen Schlüssels
erstellt.
-
EP-A-0944203
(22.09.1999) beschreibt ein Verfahren zur Herstellung einer sicheren
Verbindung zwischen einem mobilen Endgerät und seinem Home Agent, wobei
ein Sicherheitsschlüssel
unter Verwendung des GSM-Kurznachrichtendienstes (Short Message
Service; SMS) an das Endgerät
gesendet wird.
-
Aufgaben der
Erfindung
-
Es
ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren, eine
Vorrichtung und ein System zur Verfügung zu stellen, welche die
Herstellung einer Virtual Private Network-Verbindung in einem Kommunikationsnetz
zwischen einem ersten und einem zweiten mit dem Netz verbundenen
Computer ermöglichen.
-
Es
ist eine weitere Aufgabe der Erfindung, ein solches Verfahren, eine
solche Vorrichtung und ein solches System zur Verfügung zu
stellen, die bei der Ausführung
und Verwendung jeweils einfach und kostengünstig sind.
-
Es
ist eine andere Aufgabe der Erfindung, ein solches Verfahren, eine
solche Vorrichtung und ein solches System zur Verfügung zu
stellen, die jeweils eine bereits vorhandene Inf rastruktur wie etwa die
weit verbreitete Mobiltelefonie sowie im Kommen begriffene Technologien
wie etwa die Bluetooth-Nahbereichskommunikation verwenden.
-
Wieder
eine andere Aufgabe der Erfindung ist es, ein Verfahren, eine Vorrichtung
und ein System zur Verfügung
zu stellen, die es für
gewöhnliche
Kunden jeweils einfach machen, VPN-Verbindungen zu erstellen, um
neue Verfahrensweisen des elektronischen Handels und Online-Zahlungslösungen zu
erleichtern.
-
Zusammenfassung
der Erfindung
-
Zumindest
einige der oben genannten Aufgaben werden mithilfe eines Verfahrens,
eines mobilen Kommunikationsendgerätes und eines System gemäß der Darstellung
in den beigefügten
nebengeordneten Ansprüchen
gelöst.
Weitere nützliche
Vorteile werden mithilfe der bevorzugten Ausführungsformen gemäß der Darstellung
in den Unteransprüchen
erzielt.
-
Kurze Auflistung
der Zeichnungen
-
Die
Erfindung wird beispielhaft und unter Bezugnahme auf die Figuren
ausführlicher
beschrieben; es zeigt:
-
1 ein
Blockdiagramm zur Veranschaulichung eines Systems, in dem ein erfindungsgemäßes Verfahren
verwendet wird,
-
2 ein
Zeitdiagramm zur Veranschaulichung des gesamten Vorgangs zur Herstellung
einer VPN-Verbindung,
-
3 ein
Ablaufdiagramm zur Veranschaulichung eines erfindungsgemäßen Verfahrens.
-
Detaillierte
Beschreibung einer bevorzugten Ausführungsform
-
1 ist
ein Blockdiagramm zur Veranschaulichung eines Systems, in dem das
erfindungsgemäße Verfahren
verwendet wird.
-
Ein
erster Client-Computer 150 (A) und ein zweiter Client-Computer 160 (B)
sind betriebsmäßig mit
einem globalen digitalen Kommunikationsnetz 110 wie etwa
dem Internet verbunden.
-
Ziel
der Erfindung ist es, zwischen A und B, d.h. zwischen dem ersten
Client-Computer 150 und dem zweiten Client-Computer 160,
eine VPN-Verbindung herzustellen.
-
Jeder
Client-Computer 150, 160 ist mit einer Adresse
(IP-Adresse) in dem Netz 110 versehen. Jeder Client-Computer 150, 160 ist
ferner mit Client-Software wie etwa einem Internet-Browser versehen,
die dem Computer einen Zugang zu dem World Wide Web ermöglicht.
Darüber
hinaus ist jeder Client-Computer 150, 160 mit
einer lokalen Kommunikationsschnittstelle wie etwa einem Bluetooth RF-Transceiver
für eine
lokale drahtlose Nahbereichskommunikation mit fernen Peripheriegeräten versehen.
-
Bluetooth
ist eine Computer- und Telekommunikationsspezifikation der Industrie,
die beschreibt, wie Mobiltelefone, Computer und Personal Digital
Assistants (PDA's)
unter Verwendung einer lokalen drahtlosen (Nahbereichs-) Verbindung
leicht mit einander verbunden werden können. Eine Bluetooth-Vorrichtung
ist ein Mikrochip-Transceiver, der in dem 2,45 GHz-Frequenzband
sendet und empfängt. Jede
Vorrichtung besitzt eine unverwechselbare 48Bit-Adresse nach dem
Standard IEEE802. Verbindungen können
Punkt-zu-Punkt- oder Mehrpunktverbindungen sein. Der maximale Bereich
beträgt
ca. 10 Meter. Ein Frequenzsprungverfahren ermöglicht es Vorrichtungen, selbst
in Bereichen mit mannigfaltigen elektromagnetischen Störungen zu
kommunizieren. Eingebaute Funktionen zur Verschlüsselung und Authentisierung
sind für
die Bluetooth-Kommunikation im Nahbereich vorgesehen.
-
Jeder
Client-Computer 150, 160 ist ferner mit Software
versehen, die es dem Computer ermöglicht, unter Verwendung der
lokalen Kommunikationsschnittstelle mit den fernen Peripheriegeräten zu kommunizieren.
-
Ein
erstes mobiles Endgerät 154 ist
dem ersten Client-Computer 150 zugeordnet. Das erste mobile
Endgerät 154 verfügt über zwei
von einander unabhängige
Kommunikationsoptionen: Erstens ist das mobile Endgerät 154 mit
einer Kommunikationsschnittstelle für die lokale Kommunikation
mit dem ersten Client-Computer 150, z.B. einem Bluetooth RF-Transceiver,
versehen. Zweitens ist das mobile Endgerät 154 dazu angeordnet,
in einem Mobiltelefonnetz 120 durch drahtlose Kommunikation
mit einer Basisstation 122 zu arbeiten, welche den aktuellen
Standort des mobilen Endgeräts 154 abdeckt. Insbesonde re
stellt das Mobiltelefonnetz einen Nachrichtendienst wie etwa einen
SMS-Dienst zur Verfügung,
der es dem mobilen Endgerät 154 ermöglicht, eine
digitale Nachricht an ein anderes mobiles Endgerät zu übertragen, das in dem Mobiltelefonnetz 120 arbeitet.
-
Auf ähnliche
Weise ist ein zweites mobiles Endgerät 164 dem ersten Client-Computer 160 auf der
B-Seite zugeordnet. Das zweite mobile Endgerät 164 verfügt ebenfalls über zwei
von einander unabhängige
Kommunikationsoptionen: Erstens ist das mobile Endgerät 164 mit
einer Kommunikationsschnittstelle für die lokale Kommunikation
mit dem zweiten Client-Computer 160, z.B. einem Bluetooth RF-Transceiver,
versehen. Zweitens ist das mobile Endgerät 164 dazu angeordnet,
in dem Mobiltelefonnetz 120 durch drahtlose Kommunikation
mit einer Basisstation 124 zu arbeiten, welche den aktuellen Standort
des mobilen Endgeräts 164 abdeckt.
Der von dem Mobiltelefonnetz 120 zur Verfügung gestellte
Dienst wie etwa ein SMS-Dienst ermöglicht es dem mobilen Endgerät 164,
digitale Nachrichten an ein anderes mobiles Endgerät, das in
dem Netz arbeitet, zu senden und von diesem zu empfangen. Normalerweise
umfasst das Mobiltelefonnetz 120 ein GSM-Netz, und die mobilen
Endgeräte
sind dazu angeordnet, in dem GSM-Netz zu arbeiten, was die Endgeräte dazu
befähigt,
SMS-Nachrichten durch das Netz 120 zu senden und zu empfangen.
-
Jedes
von dem ersten 154 und dem zweiten 164 mobilen
Endgerät
weist eine Teilnehmeridentifizierungsmodul(Subscriber Identity Module; SIM)-Karte
auf.
-
2 ist
ein Zeitdiagramm zur Veranschaulichung des gesamten Vorgangs, der
es ermöglicht, dass
eine VPN-Verbindung zwischen dem ersten Client-Computer 150 und
dem zweiten Client-Computer 160 hergestellt wird. Zu Veranschaulichungszwecken wird
bei der Beschreibung des Vorgangs in 2 auch auf
das in 1 gezeigte System Bezug genommen.
-
Die
folgenden Konfigurationsinformationen werden an beiden Client-Computern 150, 160 benötigt, um
die Herstellung einer VPN-Tunnelverbindung zwischen dem ersten 150 und
dem zweiten 160 Client-Computer zu ermöglichen:
- (1)
die IP-Adresse von beiden Client-Computern, und
- (2) eine gemeinsame Geheiminformation.
-
Der
weitere Vorgang der Herstellung einer VPN-Verbindung oder eines
VPN-Tunnels auf der Grundlage solcher Konfigurationsdaten ist für den Fachmann
eine normale Entwurfsprozedur, die auf den Lehren der IPSec-Spezifikation
basiert.
-
In
dem anfänglichen
Prozessschritt 202 wird eine Anforderung von einem Anwender
eingegeben, der den ersten Client-Computer 150 bedient.
Die Anforderung enthält
eine Identität
des zweiten mobilen Endgerätes 164 wie
etwa eine ihm zugehörige
Telefonnummer.
-
Daraufhin
wird in dem Geheimniserzeugungsschritt 204 eine "gemeinsame Geheiminformation" wie etwa eine pseudozufällige Zahl
oder ein alphanumerischer String von dem ersten Client-Computer 150 erzeugt.
-
Anschließend überträgt der erste
Client-Computer 150 in dem Anforderungsbefehl-Übertragungsschritt 206 einen
Anforderungsbefehl durch die erste lokale Bluetooth-Verbindung 152 an
das erste mobile Endgerät 154.
Die eingebauten Merkmale der Bluetooth-Kommunikation stellen sicher, dass
die Daten in verschlüsselter
Form übertragen werden,
was für
die Sicherheit/Vertraulichkeit von wesentlicher Wichtigkeit ist.
Dieser Befehl enthält Daten,
welche die erzeugte gemeinsame Geheiminformation, die IP-Adresse des ersten
Client-Computers 150, und die Identität des zweiten mobilen Endgerätes 164 repräsentieren,
und der Befehl weist das erste mobile Endgerät A an, in dem darauf folgenden Schritt 208 eine
Anforderungsnachricht zu übertragen.
-
Als
Antwort auf den Empfang des Anforderungsbefehls wird das erste mobile
Endgerät
dazu angeordnet, den Anforderungsnachricht-Übertragungsschritt 208 einzuleiten,
in dem das erste mobile Endgerät 154 eine
Anforderungsnachricht wie etwa eine SMS-Nachricht durch das mobile
Kommunikationsnetz 120 an das identifizierte zweite mobile
Endgerät 164 überträgt. Diese
Anforderungsnachricht enthält
die gemeinsame Geheiminformation und die IP-Adresse des ersten Client-Computers 150.
-
Bevorzugt
werden die Schritte 206 und 208 ausgeführt, indem
das erste mobile Endgerät 154 als "stummes" mobiles Endgerät angeordnet
wird, dessen Funktionalität
von dem ersten Client-Computer 150 über Bluetooth-Kommunikation
gesteuert werden kann. In diesem Fall wird die Anforderungsnachricht
von dem ersten Client-Computer 150 erzeugt, wobei der in
Schritt 206 übertragene
Anforderungsbefehl dann die erzeugte Anforderungsnachricht enthält und das
erste mobile Endgerät 154 effektiv
anweist, die Anforderungsnachricht durch Übertragen der Anforderungsnachricht
als SMS weiterzuleiten.
-
Die
Anforderungsnachricht wird unter Benutzung des öffentlichen Schlüssels verschlüsselt, der dem
zweiten mobilen Endgerät 164 zugehörig ist.
-
Nach
erfolgtem Empfang dieser SMS-Nachricht führt das zweite mobile Endgerät 164 dann
den Anforderungs-Entschlüsselungsschritt 210 zum
Entschlüsseln
der Anforderungsnachricht unter Benutzung des privaten Schlüssels durch,
der dem zweiten mobilen Endgerät 164 zugehörig ist.
Vorteilhaft ist dieser private Schlüssel in der SIM(Subscriber
Identity Module)-Karte gespeichert, die in dem zweiten mobilen Endgerät enthalten
ist. Um Zugang zu dem in der SIM-Karte gespeicherten Schlüssel zu
erhalten, muss der Bediener des zweiten mobilen Endgerätes 164 einen
PIN-Code an dem mobilen Endgerät 164 eingeben.
-
Nach
erfolgter Entschlüsselung
der Anforderungsnachricht führt
das zweite mobile Endgerät 164 den
Konfigurationsnachricht-Übertragungsschritt 212 durch,
bei dem Konfigurationsdaten, welche die IP-Adresse des ersten Client-Computers 160 und
die gemeinsame Geheiminformation enthalten, durch die Bluetooth-Kommunikation
an den zweiten Client-Computer 160 übertragen werden.
-
Wenn
der zweite Client-Computer 160 erfasst hat, dass die Konfigurationsnachricht
empfangen worden ist, d.h. wenn Konfigurationsdaten akquiriert wurden,
die sowohl die IP-Adresse
des ersten Client-Computers als auch die gemeinsame Geheiminformation
enthalten, leitet der zweite Client-Computer 160 einen
Konfigurationsprozess 214 ein, der die VPN-Tunnelverbindung
zwischen dem ersten 150 und dem zweiten 160 Client-Computer konfiguriert.
-
Daraufhin
führt der
zweite Client-Computer 160 den Antwortbefehl-Übertragungsschritt 216 durch.
In diesem Schritt wird ein Antwortbefehl unter Benutzung der zweiten
Bluetooth-Verbindung 162 an den zweiten Client-Computer übertragen.
-
Als
Antwort auf den Empfang des Antwortbefehls wird das zweite mobile
Endgerät
dazu angeordnet, den Antwortnachricht-Übertragungsschritt 218 einzuleiten,
in dem das zweite mobile Endgerät 164 eine
Antwortnachricht wie etwa eine SMS-Nachricht durch das mobile Kommunikationsnetz 120 an
das erste mobile Endgerät 154 überträgt. Diese
Antwortnachricht enthält
die IP-Adresse des zweiten Client-Computers 160.
-
Bevorzugt
werden die Schritte 216 und 218 ausgeführt, indem
das zweite mobile Endgerät 164 als "stummes" mobiles Endgerät angeordnet
wird, dessen Funktionalität
von dem zweiten Client-Computer 160 über Bluetooth gesteuert werden
kann. In diesem Fall wird die Antwortnachricht von dem zweiten Client-Computer 150 erzeugt,
wobei der in Schritt 216 übertragene Antwortbefehl dann
die erzeugte Anforderungsnachricht enthält und das zweite mobile Endgerät 164 effektiv
anweist, die Anforderungsnachricht durch Übertragen der Antwortnachricht
als SMS weiter zu leiten.
-
Die
Antwortnachricht wird unter Benutzung des privaten Schlüssels verschlüsselt, der
dem zweiten mobile Endgerät 164 zugehörig ist
und in dessen SIM-Karte gespeichert wurde.
-
An
dem ersten mobilen Endgerät 154 wird die
Antwortnachricht, wenn sie dort in Schritt 218 empfangen
wurde, in dem Antwortentschlüsselungsschritt 220 entschlüsselt. Der
Entschlüsselungsschritt 220 entspricht
im Wesentlichen dem Entschlüsselungsschritt 210,
der von dem zweiten mobilen Endgerät 164 gemäß der oben
stehenden Beschreibung durchgeführt
wird.
-
Im
Anschluss an den Entschlüsselungsschritt 220 führt das
erste mobile Endgerät 154 den Konfigurationsnachricht-Übertragungsschritt 222 durch,
in dem Konfigurationsdaten, welche die IP-Adresse des zweiten Client-Computers
enthalten, unter Benutzung der lokalen Bluetooth-Kommunikation an
den ersten Client-Computer übertragen
werden.
-
Der
erste Client-Computer wird somit mit der gemeinsamen Geheiminformation
und der IP-Adresse des zweiten Client-Computers beliefert, wodurch der
erste Client-Computer 150 befähigt wird, einen VPN-Tunnel-Konfigurierungsprozess 224 einzuleiten.
Ferner wurde vorausgehend ein Konfigurierungsprozess 214 von
dem zweiten Client-Computer 160 eingeleitet. Der Abschluss
der beiden Konfigurierungsprozesse 214, 224 ermöglicht die
Herstellung des VPN-Tunnels zwischen dem ersten 150 und
dem zweiten 160 Client-Computer.
-
3 ist
ein Ablaufdiagramm zur Veranschaulichung eines erfindungsgemäßen Verfahrens.
-
Der
in 2 veranschaulichte komplexe Prozess umfasst Schritte,
die von verschiedenen Parteien durchgeführt werden. Das in 3 veranschaulichte
Verfahren entspricht den Schritten in dem oben beschriebenen Gesamtprozess,
die von dem zweiten mobilen Endgerät 164 durchgeführt werden.
-
Das
Verfahren ermöglicht
die Herstellung einer Virtual Private Network-Verbindung, insbesondere
eines IPSec-Tunnels, in einem Kommunikationsnetz 110 zwischen
dem ersten 150 und dem zweiten 160 Computer, die
mit dem Netz verbunden sind.
-
Das
Verfahren wird auch unter Bezugnahme auf das in 1 veranschaulichte
System beschrieben. Hierbei ist ein erstes mobiles Kommunikationsendgerät 154 für eine lokale
Kommunikation (z.B. Bluetooth) mit dem ersten 150 Computer
angeordnet, und ein zweites mobiles Kommunikationsendgerät 164 ist
für eine
lokale Kommunikation (z.B. Bluetooth) mit dem zweiten 160 Computer
angeordnet. Beide mobilen Endgeräte 154, 164 sind
ferner für eine
Kommunikation durch das Mobiltelefonnetz 120 angeordnet.
-
Das
zweite mobile Endgerät 164 führt die Schritte
des Verfahrens durch. Das Verfahren beginnt bei Bezugszeichen 301.
-
Zuerst
wird in dem Anforderungsempfangsschritt 308 eine verschlüsselte Anforderungsnachricht
empfangen. Dieser Schritt entspricht dem Anforderungs-Übertragungsschritt 208 in 2,
in dem die Anforderungsnachricht von dem ersten mobilen Endgerät 154 übertragen
wurde. Die Anforderungsnachricht enthält Informationen, welche die
Netzwerkadresse (IP-Adresse) des ersten Computers 150 darstellen,
und die gemeinsame Geheiminformation, die in Schritt 204 von
dem ersten Client-Computer 150 erzeugt wurde und in Schritt 206 mittels
lokaler Bluetooth-Kommunikationen an das erste mobile Endgerät 154 übertragen
wurde (siehe 2). Die Anforderungsnachricht
ist bevorzugt eine SMS, die mittels des mobilen Kommunikationsnetzes 120 übertragen
und empfangen wird. Die Anforderungsnachricht wird mit einem öffentlichen
Schlüssel
verschlüsselt,
der dem mobilen Endgerät 164 zugehörig ist.
-
Der
Prüfschritt 309 stellt
sicher, dass das Verfahren nur dann zu dem Entschlüsselungsschritt 310 weiter
geht, wenn eine Anforderungsnachricht empfangen wurde. Ansonsten
wartet das Verfahren den Empfang einer Anforderungsnachricht ab.
-
In
dem Entschlüsselungsschritt 310,
der dem Entschlüsselungsschritt 210 in 2 entspricht,
wird die Anforderungsnachricht von dem zweiten mobilen Endgerät 164 unter
Benutzung des privaten Schlüssels
entschlüsselt,
der dem zweiten mobilen Endgerät 164 zugehörig ist.
Wie unter Bezugnahme auf 2 erläutert wurde, ist dieser private
Schlüs sel
auf vorteilhafte Weise in der SIM-Karte gespeichert, die in dem
zweiten mobilen Endgerät 164 enthalten
ist.
-
Nach
Abschluss des Entschlüsselungsschrittes 310 führt das
zweite mobile Endgerät 164 ferner den
Konfigurationsnachricht-Übertragungsschritt 312 durch,
der dem Schritt 212 in 2 entspricht. Zu
diesem Zeitpunkt werden Konfigurationsdaten, welche die IP-Adresse des ersten
Client-Computers 160 und die gemeinsame Geheiminformation
enthalten, von der lokalen Bluetooth-Kommunikation an den zweiten
Client-Computer 160 übertragen.
-
Daraufhin
führt das
zweite mobile Endgerät den
Antwortbefehl-Empfangsschritt 316 durch, der dem in 2 veranschaulichten
und von dem zweiten Client-Computer durchgeführten Antwortbefehl-Übertragungsschritt 216 entspricht.
In diesem Schritt 316 wird ein Antwortbefehl von dem zweiten Client-Computer 160 unter
Benutzung der zweiten Bluetooth-Verbindung 162 empfangen.
-
Der
Prüfschritt 317 stellt
sicher, dass das Verfahren nur dann zu dem Antwortübertragungsschritt 318 weiter
geht, wenn ein Antwortbefehl empfangen wurde. Ansonsten wartet das
Verfahren den Empfang des Antwortbefehls ab.
-
Als
Antwort auf den Empfang des Antwortbefehls wird das zweite mobile
Endgerät
angewiesen, den Antwortnachricht-Übertragungsschritt 318 einzuleiten,
der dem in 2 veranschaulichten Schritt 218 entspricht.
In diesem Schritt 318 überträgt das zweite
mobile Endgerät 164 eine
Antwortnachricht (eine SMS-Nachricht) durch das mobile Kommunikationsnetz 120 an
das erste mobile Endgerät 154.
Diese Antwortnachricht enthält
die IP-Adresse des zweiten Client-Computers 160.
-
Bevorzugt
werden die Schritte 316 bis 318 erzielt, indem
das zweite mobile Endgerät 164 als "stummes" mobiles Endgerät angeordnet
wird, dessen Funktionalität
von dem zweiten Client-Computer 160 über Bluetooth gesteuert werden
kann. In diesem Fall wird die Antwortnachricht effektiv von dem zweiten
Client-Computer 150 erzeugt, und der in Schritt 316 übertragene
Antwortbefehl enthält
dann die erzeugte Anforderungsnachricht und weist effektiv das zweite
mobile Endgerät 164 an,
die Anforderungsnachricht durch Übertragen
der Antwortnachricht als SMS weiter zu leiten.
-
Die
Antwortnachricht wird unter Benutzung des privaten Schlüssels verschlüsselt, der
dem zweiten mobilen Endgerät 164 zugehörig ist
und in dessen SIM-Karte gespeichert war.
-
Wenn
diese Schritte in der Abschlussphase 319 abgeschlossen
sind, wird der erste Client-Computer 150 befähigt, die
IP-Adresse des zweiten Computers 160, die in der übertragenen
Antwortnachricht enthalten war, von dem ersten mobilen Endgerät 154 zu
erhalten. Wie in dem Gesamtprozess in 2 veranschaulicht
ist, beinhaltet dies, dass der Entschlüsselungsschritt 220 und
der Konfigurationsdaten-Übertragungsschritt 222 von
dem ersten mobilen Endgerät 154 durchgeführt werden.
Ferner wurde der zweite Client-Computer 160 als
Ergebnis der in Schritt 312 von dem zweiten mobilen Endgerät 164 übertragenen
Konfigurationsnachricht befähigt,
den VPN-Tunnelkonfigurationsschritt 214 durchzuführen.
-
Folglich
haben beide Client-Computer 150, 160 die Konfigurationsdaten
erhalten, die erforderlich sind, um einen VPN-Tunnel zwischen dem
ersten 150 und dem zweiten 160 Computer zu erstellen.
-
Die
vorliegende Erfindung wird insbesondere anwendbar sein, wenn das
Netz 110 ein globales Adressierungsmerkmal unterstützt, was
für die
im Kommen begriffene Internetprotokollspezifikation IPv6 zutrifft.
Implementierungen auf der Grundlage der gegenwärtig weit verbreiteten Spezifikation
IPv4 umfassen die Verwendung von Netzadress-Übersetzungs(Network
Address Translation; NAT)-Vorrichtungen. Ein Nachteil von NAT-Netzen
auf der Basis von IPv4 ist es, dass nicht-globale Adressen verwendet
werden. Dies bedeutet, dass ein Computer eine Adresse senden würde, die
nur innerhalb des NAT-Netzes gültig
ist, und auf die von aussen her nicht zugegriffen werden kann. Eine
durchgehende Kommunikation kann nicht erzielt werden; statt dessen
könnte
ein Tunnel zwischen zwei NAT-Servern hergestellt werden, aber dann
wäre die
Kommunikation innerhalb des NAT-Netzes völlig offen, wodurch die Sicherheit
kompromittiert würde.
-
Die
oben stehende ausführliche
Beschreibung erläuterte
die Erfindung an einem Beispiel. Für den Fachmann dürfte ersichtlich
sein, dass es im Rahmen der beigefügen Ansprüche zahlreiche Variationen
und Alternativen zu der detaillierten Ausführungsform gibt.
-
Beispielsweise
können
das erste mobile Endgerät 154 und
der erste Computer 150, die als separate Einheiten beschrieben
sind, welche über Nahbereich-Bluetooth-Kommunikation
mit einander kommunizieren, in eine einzige mobile Einheit wie etwa
einen Personal Di gital Assistant zusammengeführt werden. In diesem Fall
wird die lokale Kommunikation, die zwischen dem ersten mobilen Endgerät 154 und
dem ersten Client-Computer 150 stattfindet, intern in der
mobilen Einheit durchgeführt.
-
Obgleich
eine Bluetooth-Kommunikation als die bevorzugte lokale Nahbereichskommunikationslösung zwischen
dem Client-Computer (150, 160) und dem entsprechenden
mobilen Endgerät
(154 bzw. 164) angegeben ist, dürfte es
für den
Fachmann auch ersichtlich sein, dass andere Optionen angewendet
werden können,
wie etwa Infrarotkommunikation oder sogar eine verdrahtete Verbindung.
Zu Sicherheitszwecken sollte die lokale Kommunikation jedoch bevorzugt
eingebaute Verschlüsselungsmethoden
zur Verfügung
stellen.
-
Die
mobilen Endgeräte 154, 164 können gewöhnliche
Mobiltelefone wie etwa GSM-Telefone sein,
die mit zusätzlichen
Nahbereichs-Kommunikationseinrichtungen wie etwa Bluetooth versehen
sind. Die mobilen Endgeräte
können
jedoch auch komplexere Kommunikations-/Verarbeitungseinheiten wie etwa
PDAs sein, die ein Mobilkommunikationsmodul (z.B. GSM) und z.B.
einen Bluetooth-Kommunikationstransceiver enthalten.
-
Der
Gesamtprozess in 2 wird von dem Anwender an dem
ersten Client-Computer 150 eingeleitet. Es ist natürlich auch
möglich,
den Prozess an dem ersten mobilen Endgerät 154 einzuleiten,
das dann eine Nahbereichsverbindung mit dem ersten Client-Computer 150 zur
Verfügung
stellt. Es ist auch möglich,
den gemeinsamen Schritt 204 zum Erzeugen der gemeinsamen
Geheiminformation so umzuordnen, dass er von dem ersten mobilen
Endgerät 154 durchgeführt wird.
Dies ist insbesondere dann von Relevanz, wenn der Prozess von einer
PDA/Telefonvorrichtung durchgeführt
wird, die auch als der Client-Computer dient.