DE602004004157T2 - Verfahren, system und mobiles endgerät zur herstellung einer vpn-verbindung - Google Patents

Verfahren, system und mobiles endgerät zur herstellung einer vpn-verbindung Download PDF

Info

Publication number
DE602004004157T2
DE602004004157T2 DE602004004157T DE602004004157T DE602004004157T2 DE 602004004157 T2 DE602004004157 T2 DE 602004004157T2 DE 602004004157 T DE602004004157 T DE 602004004157T DE 602004004157 T DE602004004157 T DE 602004004157T DE 602004004157 T2 DE602004004157 T2 DE 602004004157T2
Authority
DE
Germany
Prior art keywords
computer
mobile
mobile terminal
communication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004004157T
Other languages
English (en)
Other versions
DE602004004157D1 (de
Inventor
Carlos López Juan CALVET
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telenor ASA
Original Assignee
Telenor ASA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telenor ASA filed Critical Telenor ASA
Publication of DE602004004157D1 publication Critical patent/DE602004004157D1/de
Application granted granted Critical
Publication of DE602004004157T2 publication Critical patent/DE602004004157T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Air Bags (AREA)
  • Nonmetallic Welding Materials (AREA)
  • Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
  • Small-Scale Networks (AREA)

Description

  • Technisches Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft allgemein die Informationssicherheit und im Besonderen ein Verfahren, welches die Herstellung einer Virtual Private Network-Verbindung in einem Kommunikationsnetz zwischen einem ersten und einem zweiten mit dem Netz verbundenen Computer ermöglicht.
  • Insbesondere ist ein erstes mobile Kommunikationsendgerät für eine lokale Kommunikation mit dem ersten Computer angeordnet, und ein zweites mobiles Kommunikationsendgerät ist für eine lokale Kommunikation mit dem zweiten Computer angeordnet, und das erfindungsgemäße Verfahren wird von dem zweiten mobilen Endgerät durchgeführt.
  • Die vorliegende Erfindung betrifft auch ein mobiles Kommunikationsendgerät, das dazu angeordnet ist, das Verfahren durchzuführen, und ein System, in dem ein mobiles Kommunikationsendgerät, das dazu angeordnet ist, das Verfahren durchzuführen, enthalten ist.
  • Hintergrund der Erfindung
  • Ein Virtual Private Network (VPN) ist ein privates Netz, welches das öffentliche Netz einschließlich seiner Telekommunikationsinfrastruktur nutzt. VPNs werden häufig verwendet, um Mobil- und Remote-Anwendern eine Verbindung mit den internen LANs ihrer Firma zu ermöglichen.
  • IPSec (Internet Protocol Security) war während der letzten Jahre eine übliche Technik, um VPNs zur Verfügung zu stellen. Unter Verwendung von IPSec wird Sicherheit durch das Vorsehen eines Tunnelprotokolls und von Sicherheitsprozeduren erzielt.
  • Um eine IPSec VPN-Tunnelverbindung zwischen zwei Peer- oder Client-Computern herzustellen, die mit dem Internet verbunden sind, muss jeder Computer im Besitz bestimmter Konfigurationsdaten einschließlich der IP-Adresse beider Computer und einer gemeinsamen Geheiminformation wie etwa einer Zufallszahl oder alphanumerischen Strings sein. Wenn eine solche Information zur Verfügung steht, kann jeder Computer einen Konfigurationsprozess durchführen, der in der Einrichtung der VPN-Verbindung resultiert.
  • Public Key Infrastructure (PKI) ist ein sicheres Verfahren für den Austausch von Informationen innerhalb einer Organisation, einer Industrie, einer Nation, oder weltweit. PKI verwendet das asymmetrische Verschlüsselungsverfahren, das auch als das "öffentliche/private Schlüssel"-Verfahren bekannt ist, zum Verschlüsseln von IDs und Dokumenten/Nachrichten. Ein Zertifizierungsbehörde (Certificate Authority; CA) vergibt digitale Zertifikate (digitale IDs), welche die Identität von Personen und Organisationen über ein öffentliches Netz wie etwa das Internet authentisieren.
  • Die Patentanmeldung US 2003/070067 (10.04.2003) beschreibt ein Verfahren zur Herstellung einer sicheren Verbindung zwischen zwei mobilen Endgeräten. Ein Server beliefert das Anruferendgerät mit einem gemeinsamen Schlüssel und mit Adressinformationen des Zielendgerätes. Das Anruferendgerät schickt den Schlüssel an die von dem Server gelieferte Adresse. Schließlich wird eine sichere Verbindung zwischen den beiden Endgeräten unter Verwendung des gemeinsamen Schlüssels erstellt.
  • EP-A-0944203 (22.09.1999) beschreibt ein Verfahren zur Herstellung einer sicheren Verbindung zwischen einem mobilen Endgerät und seinem Home Agent, wobei ein Sicherheitsschlüssel unter Verwendung des GSM-Kurznachrichtendienstes (Short Message Service; SMS) an das Endgerät gesendet wird.
  • Aufgaben der Erfindung
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren, eine Vorrichtung und ein System zur Verfügung zu stellen, welche die Herstellung einer Virtual Private Network-Verbindung in einem Kommunikationsnetz zwischen einem ersten und einem zweiten mit dem Netz verbundenen Computer ermöglichen.
  • Es ist eine weitere Aufgabe der Erfindung, ein solches Verfahren, eine solche Vorrichtung und ein solches System zur Verfügung zu stellen, die bei der Ausführung und Verwendung jeweils einfach und kostengünstig sind.
  • Es ist eine andere Aufgabe der Erfindung, ein solches Verfahren, eine solche Vorrichtung und ein solches System zur Verfügung zu stellen, die jeweils eine bereits vorhandene Inf rastruktur wie etwa die weit verbreitete Mobiltelefonie sowie im Kommen begriffene Technologien wie etwa die Bluetooth-Nahbereichskommunikation verwenden.
  • Wieder eine andere Aufgabe der Erfindung ist es, ein Verfahren, eine Vorrichtung und ein System zur Verfügung zu stellen, die es für gewöhnliche Kunden jeweils einfach machen, VPN-Verbindungen zu erstellen, um neue Verfahrensweisen des elektronischen Handels und Online-Zahlungslösungen zu erleichtern.
  • Zusammenfassung der Erfindung
  • Zumindest einige der oben genannten Aufgaben werden mithilfe eines Verfahrens, eines mobilen Kommunikationsendgerätes und eines System gemäß der Darstellung in den beigefügten nebengeordneten Ansprüchen gelöst. Weitere nützliche Vorteile werden mithilfe der bevorzugten Ausführungsformen gemäß der Darstellung in den Unteransprüchen erzielt.
  • Kurze Auflistung der Zeichnungen
  • Die Erfindung wird beispielhaft und unter Bezugnahme auf die Figuren ausführlicher beschrieben; es zeigt:
  • 1 ein Blockdiagramm zur Veranschaulichung eines Systems, in dem ein erfindungsgemäßes Verfahren verwendet wird,
  • 2 ein Zeitdiagramm zur Veranschaulichung des gesamten Vorgangs zur Herstellung einer VPN-Verbindung,
  • 3 ein Ablaufdiagramm zur Veranschaulichung eines erfindungsgemäßen Verfahrens.
  • Detaillierte Beschreibung einer bevorzugten Ausführungsform
  • 1 ist ein Blockdiagramm zur Veranschaulichung eines Systems, in dem das erfindungsgemäße Verfahren verwendet wird.
  • Ein erster Client-Computer 150 (A) und ein zweiter Client-Computer 160 (B) sind betriebsmäßig mit einem globalen digitalen Kommunikationsnetz 110 wie etwa dem Internet verbunden.
  • Ziel der Erfindung ist es, zwischen A und B, d.h. zwischen dem ersten Client-Computer 150 und dem zweiten Client-Computer 160, eine VPN-Verbindung herzustellen.
  • Jeder Client-Computer 150, 160 ist mit einer Adresse (IP-Adresse) in dem Netz 110 versehen. Jeder Client-Computer 150, 160 ist ferner mit Client-Software wie etwa einem Internet-Browser versehen, die dem Computer einen Zugang zu dem World Wide Web ermöglicht. Darüber hinaus ist jeder Client-Computer 150, 160 mit einer lokalen Kommunikationsschnittstelle wie etwa einem Bluetooth RF-Transceiver für eine lokale drahtlose Nahbereichskommunikation mit fernen Peripheriegeräten versehen.
  • Bluetooth ist eine Computer- und Telekommunikationsspezifikation der Industrie, die beschreibt, wie Mobiltelefone, Computer und Personal Digital Assistants (PDA's) unter Verwendung einer lokalen drahtlosen (Nahbereichs-) Verbindung leicht mit einander verbunden werden können. Eine Bluetooth-Vorrichtung ist ein Mikrochip-Transceiver, der in dem 2,45 GHz-Frequenzband sendet und empfängt. Jede Vorrichtung besitzt eine unverwechselbare 48Bit-Adresse nach dem Standard IEEE802. Verbindungen können Punkt-zu-Punkt- oder Mehrpunktverbindungen sein. Der maximale Bereich beträgt ca. 10 Meter. Ein Frequenzsprungverfahren ermöglicht es Vorrichtungen, selbst in Bereichen mit mannigfaltigen elektromagnetischen Störungen zu kommunizieren. Eingebaute Funktionen zur Verschlüsselung und Authentisierung sind für die Bluetooth-Kommunikation im Nahbereich vorgesehen.
  • Jeder Client-Computer 150, 160 ist ferner mit Software versehen, die es dem Computer ermöglicht, unter Verwendung der lokalen Kommunikationsschnittstelle mit den fernen Peripheriegeräten zu kommunizieren.
  • Ein erstes mobiles Endgerät 154 ist dem ersten Client-Computer 150 zugeordnet. Das erste mobile Endgerät 154 verfügt über zwei von einander unabhängige Kommunikationsoptionen: Erstens ist das mobile Endgerät 154 mit einer Kommunikationsschnittstelle für die lokale Kommunikation mit dem ersten Client-Computer 150, z.B. einem Bluetooth RF-Transceiver, versehen. Zweitens ist das mobile Endgerät 154 dazu angeordnet, in einem Mobiltelefonnetz 120 durch drahtlose Kommunikation mit einer Basisstation 122 zu arbeiten, welche den aktuellen Standort des mobilen Endgeräts 154 abdeckt. Insbesonde re stellt das Mobiltelefonnetz einen Nachrichtendienst wie etwa einen SMS-Dienst zur Verfügung, der es dem mobilen Endgerät 154 ermöglicht, eine digitale Nachricht an ein anderes mobiles Endgerät zu übertragen, das in dem Mobiltelefonnetz 120 arbeitet.
  • Auf ähnliche Weise ist ein zweites mobiles Endgerät 164 dem ersten Client-Computer 160 auf der B-Seite zugeordnet. Das zweite mobile Endgerät 164 verfügt ebenfalls über zwei von einander unabhängige Kommunikationsoptionen: Erstens ist das mobile Endgerät 164 mit einer Kommunikationsschnittstelle für die lokale Kommunikation mit dem zweiten Client-Computer 160, z.B. einem Bluetooth RF-Transceiver, versehen. Zweitens ist das mobile Endgerät 164 dazu angeordnet, in dem Mobiltelefonnetz 120 durch drahtlose Kommunikation mit einer Basisstation 124 zu arbeiten, welche den aktuellen Standort des mobilen Endgeräts 164 abdeckt. Der von dem Mobiltelefonnetz 120 zur Verfügung gestellte Dienst wie etwa ein SMS-Dienst ermöglicht es dem mobilen Endgerät 164, digitale Nachrichten an ein anderes mobiles Endgerät, das in dem Netz arbeitet, zu senden und von diesem zu empfangen. Normalerweise umfasst das Mobiltelefonnetz 120 ein GSM-Netz, und die mobilen Endgeräte sind dazu angeordnet, in dem GSM-Netz zu arbeiten, was die Endgeräte dazu befähigt, SMS-Nachrichten durch das Netz 120 zu senden und zu empfangen.
  • Jedes von dem ersten 154 und dem zweiten 164 mobilen Endgerät weist eine Teilnehmeridentifizierungsmodul(Subscriber Identity Module; SIM)-Karte auf.
  • 2 ist ein Zeitdiagramm zur Veranschaulichung des gesamten Vorgangs, der es ermöglicht, dass eine VPN-Verbindung zwischen dem ersten Client-Computer 150 und dem zweiten Client-Computer 160 hergestellt wird. Zu Veranschaulichungszwecken wird bei der Beschreibung des Vorgangs in 2 auch auf das in 1 gezeigte System Bezug genommen.
  • Die folgenden Konfigurationsinformationen werden an beiden Client-Computern 150, 160 benötigt, um die Herstellung einer VPN-Tunnelverbindung zwischen dem ersten 150 und dem zweiten 160 Client-Computer zu ermöglichen:
    • (1) die IP-Adresse von beiden Client-Computern, und
    • (2) eine gemeinsame Geheiminformation.
  • Der weitere Vorgang der Herstellung einer VPN-Verbindung oder eines VPN-Tunnels auf der Grundlage solcher Konfigurationsdaten ist für den Fachmann eine normale Entwurfsprozedur, die auf den Lehren der IPSec-Spezifikation basiert.
  • In dem anfänglichen Prozessschritt 202 wird eine Anforderung von einem Anwender eingegeben, der den ersten Client-Computer 150 bedient. Die Anforderung enthält eine Identität des zweiten mobilen Endgerätes 164 wie etwa eine ihm zugehörige Telefonnummer.
  • Daraufhin wird in dem Geheimniserzeugungsschritt 204 eine "gemeinsame Geheiminformation" wie etwa eine pseudozufällige Zahl oder ein alphanumerischer String von dem ersten Client-Computer 150 erzeugt.
  • Anschließend überträgt der erste Client-Computer 150 in dem Anforderungsbefehl-Übertragungsschritt 206 einen Anforderungsbefehl durch die erste lokale Bluetooth-Verbindung 152 an das erste mobile Endgerät 154. Die eingebauten Merkmale der Bluetooth-Kommunikation stellen sicher, dass die Daten in verschlüsselter Form übertragen werden, was für die Sicherheit/Vertraulichkeit von wesentlicher Wichtigkeit ist. Dieser Befehl enthält Daten, welche die erzeugte gemeinsame Geheiminformation, die IP-Adresse des ersten Client-Computers 150, und die Identität des zweiten mobilen Endgerätes 164 repräsentieren, und der Befehl weist das erste mobile Endgerät A an, in dem darauf folgenden Schritt 208 eine Anforderungsnachricht zu übertragen.
  • Als Antwort auf den Empfang des Anforderungsbefehls wird das erste mobile Endgerät dazu angeordnet, den Anforderungsnachricht-Übertragungsschritt 208 einzuleiten, in dem das erste mobile Endgerät 154 eine Anforderungsnachricht wie etwa eine SMS-Nachricht durch das mobile Kommunikationsnetz 120 an das identifizierte zweite mobile Endgerät 164 überträgt. Diese Anforderungsnachricht enthält die gemeinsame Geheiminformation und die IP-Adresse des ersten Client-Computers 150.
  • Bevorzugt werden die Schritte 206 und 208 ausgeführt, indem das erste mobile Endgerät 154 als "stummes" mobiles Endgerät angeordnet wird, dessen Funktionalität von dem ersten Client-Computer 150 über Bluetooth-Kommunikation gesteuert werden kann. In diesem Fall wird die Anforderungsnachricht von dem ersten Client-Computer 150 erzeugt, wobei der in Schritt 206 übertragene Anforderungsbefehl dann die erzeugte Anforderungsnachricht enthält und das erste mobile Endgerät 154 effektiv anweist, die Anforderungsnachricht durch Übertragen der Anforderungsnachricht als SMS weiterzuleiten.
  • Die Anforderungsnachricht wird unter Benutzung des öffentlichen Schlüssels verschlüsselt, der dem zweiten mobilen Endgerät 164 zugehörig ist.
  • Nach erfolgtem Empfang dieser SMS-Nachricht führt das zweite mobile Endgerät 164 dann den Anforderungs-Entschlüsselungsschritt 210 zum Entschlüsseln der Anforderungsnachricht unter Benutzung des privaten Schlüssels durch, der dem zweiten mobilen Endgerät 164 zugehörig ist. Vorteilhaft ist dieser private Schlüssel in der SIM(Subscriber Identity Module)-Karte gespeichert, die in dem zweiten mobilen Endgerät enthalten ist. Um Zugang zu dem in der SIM-Karte gespeicherten Schlüssel zu erhalten, muss der Bediener des zweiten mobilen Endgerätes 164 einen PIN-Code an dem mobilen Endgerät 164 eingeben.
  • Nach erfolgter Entschlüsselung der Anforderungsnachricht führt das zweite mobile Endgerät 164 den Konfigurationsnachricht-Übertragungsschritt 212 durch, bei dem Konfigurationsdaten, welche die IP-Adresse des ersten Client-Computers 160 und die gemeinsame Geheiminformation enthalten, durch die Bluetooth-Kommunikation an den zweiten Client-Computer 160 übertragen werden.
  • Wenn der zweite Client-Computer 160 erfasst hat, dass die Konfigurationsnachricht empfangen worden ist, d.h. wenn Konfigurationsdaten akquiriert wurden, die sowohl die IP-Adresse des ersten Client-Computers als auch die gemeinsame Geheiminformation enthalten, leitet der zweite Client-Computer 160 einen Konfigurationsprozess 214 ein, der die VPN-Tunnelverbindung zwischen dem ersten 150 und dem zweiten 160 Client-Computer konfiguriert.
  • Daraufhin führt der zweite Client-Computer 160 den Antwortbefehl-Übertragungsschritt 216 durch. In diesem Schritt wird ein Antwortbefehl unter Benutzung der zweiten Bluetooth-Verbindung 162 an den zweiten Client-Computer übertragen.
  • Als Antwort auf den Empfang des Antwortbefehls wird das zweite mobile Endgerät dazu angeordnet, den Antwortnachricht-Übertragungsschritt 218 einzuleiten, in dem das zweite mobile Endgerät 164 eine Antwortnachricht wie etwa eine SMS-Nachricht durch das mobile Kommunikationsnetz 120 an das erste mobile Endgerät 154 überträgt. Diese Antwortnachricht enthält die IP-Adresse des zweiten Client-Computers 160.
  • Bevorzugt werden die Schritte 216 und 218 ausgeführt, indem das zweite mobile Endgerät 164 als "stummes" mobiles Endgerät angeordnet wird, dessen Funktionalität von dem zweiten Client-Computer 160 über Bluetooth gesteuert werden kann. In diesem Fall wird die Antwortnachricht von dem zweiten Client-Computer 150 erzeugt, wobei der in Schritt 216 übertragene Antwortbefehl dann die erzeugte Anforderungsnachricht enthält und das zweite mobile Endgerät 164 effektiv anweist, die Anforderungsnachricht durch Übertragen der Antwortnachricht als SMS weiter zu leiten.
  • Die Antwortnachricht wird unter Benutzung des privaten Schlüssels verschlüsselt, der dem zweiten mobile Endgerät 164 zugehörig ist und in dessen SIM-Karte gespeichert wurde.
  • An dem ersten mobilen Endgerät 154 wird die Antwortnachricht, wenn sie dort in Schritt 218 empfangen wurde, in dem Antwortentschlüsselungsschritt 220 entschlüsselt. Der Entschlüsselungsschritt 220 entspricht im Wesentlichen dem Entschlüsselungsschritt 210, der von dem zweiten mobilen Endgerät 164 gemäß der oben stehenden Beschreibung durchgeführt wird.
  • Im Anschluss an den Entschlüsselungsschritt 220 führt das erste mobile Endgerät 154 den Konfigurationsnachricht-Übertragungsschritt 222 durch, in dem Konfigurationsdaten, welche die IP-Adresse des zweiten Client-Computers enthalten, unter Benutzung der lokalen Bluetooth-Kommunikation an den ersten Client-Computer übertragen werden.
  • Der erste Client-Computer wird somit mit der gemeinsamen Geheiminformation und der IP-Adresse des zweiten Client-Computers beliefert, wodurch der erste Client-Computer 150 befähigt wird, einen VPN-Tunnel-Konfigurierungsprozess 224 einzuleiten. Ferner wurde vorausgehend ein Konfigurierungsprozess 214 von dem zweiten Client-Computer 160 eingeleitet. Der Abschluss der beiden Konfigurierungsprozesse 214, 224 ermöglicht die Herstellung des VPN-Tunnels zwischen dem ersten 150 und dem zweiten 160 Client-Computer.
  • 3 ist ein Ablaufdiagramm zur Veranschaulichung eines erfindungsgemäßen Verfahrens.
  • Der in 2 veranschaulichte komplexe Prozess umfasst Schritte, die von verschiedenen Parteien durchgeführt werden. Das in 3 veranschaulichte Verfahren entspricht den Schritten in dem oben beschriebenen Gesamtprozess, die von dem zweiten mobilen Endgerät 164 durchgeführt werden.
  • Das Verfahren ermöglicht die Herstellung einer Virtual Private Network-Verbindung, insbesondere eines IPSec-Tunnels, in einem Kommunikationsnetz 110 zwischen dem ersten 150 und dem zweiten 160 Computer, die mit dem Netz verbunden sind.
  • Das Verfahren wird auch unter Bezugnahme auf das in 1 veranschaulichte System beschrieben. Hierbei ist ein erstes mobiles Kommunikationsendgerät 154 für eine lokale Kommunikation (z.B. Bluetooth) mit dem ersten 150 Computer angeordnet, und ein zweites mobiles Kommunikationsendgerät 164 ist für eine lokale Kommunikation (z.B. Bluetooth) mit dem zweiten 160 Computer angeordnet. Beide mobilen Endgeräte 154, 164 sind ferner für eine Kommunikation durch das Mobiltelefonnetz 120 angeordnet.
  • Das zweite mobile Endgerät 164 führt die Schritte des Verfahrens durch. Das Verfahren beginnt bei Bezugszeichen 301.
  • Zuerst wird in dem Anforderungsempfangsschritt 308 eine verschlüsselte Anforderungsnachricht empfangen. Dieser Schritt entspricht dem Anforderungs-Übertragungsschritt 208 in 2, in dem die Anforderungsnachricht von dem ersten mobilen Endgerät 154 übertragen wurde. Die Anforderungsnachricht enthält Informationen, welche die Netzwerkadresse (IP-Adresse) des ersten Computers 150 darstellen, und die gemeinsame Geheiminformation, die in Schritt 204 von dem ersten Client-Computer 150 erzeugt wurde und in Schritt 206 mittels lokaler Bluetooth-Kommunikationen an das erste mobile Endgerät 154 übertragen wurde (siehe 2). Die Anforderungsnachricht ist bevorzugt eine SMS, die mittels des mobilen Kommunikationsnetzes 120 übertragen und empfangen wird. Die Anforderungsnachricht wird mit einem öffentlichen Schlüssel verschlüsselt, der dem mobilen Endgerät 164 zugehörig ist.
  • Der Prüfschritt 309 stellt sicher, dass das Verfahren nur dann zu dem Entschlüsselungsschritt 310 weiter geht, wenn eine Anforderungsnachricht empfangen wurde. Ansonsten wartet das Verfahren den Empfang einer Anforderungsnachricht ab.
  • In dem Entschlüsselungsschritt 310, der dem Entschlüsselungsschritt 210 in 2 entspricht, wird die Anforderungsnachricht von dem zweiten mobilen Endgerät 164 unter Benutzung des privaten Schlüssels entschlüsselt, der dem zweiten mobilen Endgerät 164 zugehörig ist. Wie unter Bezugnahme auf 2 erläutert wurde, ist dieser private Schlüs sel auf vorteilhafte Weise in der SIM-Karte gespeichert, die in dem zweiten mobilen Endgerät 164 enthalten ist.
  • Nach Abschluss des Entschlüsselungsschrittes 310 führt das zweite mobile Endgerät 164 ferner den Konfigurationsnachricht-Übertragungsschritt 312 durch, der dem Schritt 212 in 2 entspricht. Zu diesem Zeitpunkt werden Konfigurationsdaten, welche die IP-Adresse des ersten Client-Computers 160 und die gemeinsame Geheiminformation enthalten, von der lokalen Bluetooth-Kommunikation an den zweiten Client-Computer 160 übertragen.
  • Daraufhin führt das zweite mobile Endgerät den Antwortbefehl-Empfangsschritt 316 durch, der dem in 2 veranschaulichten und von dem zweiten Client-Computer durchgeführten Antwortbefehl-Übertragungsschritt 216 entspricht. In diesem Schritt 316 wird ein Antwortbefehl von dem zweiten Client-Computer 160 unter Benutzung der zweiten Bluetooth-Verbindung 162 empfangen.
  • Der Prüfschritt 317 stellt sicher, dass das Verfahren nur dann zu dem Antwortübertragungsschritt 318 weiter geht, wenn ein Antwortbefehl empfangen wurde. Ansonsten wartet das Verfahren den Empfang des Antwortbefehls ab.
  • Als Antwort auf den Empfang des Antwortbefehls wird das zweite mobile Endgerät angewiesen, den Antwortnachricht-Übertragungsschritt 318 einzuleiten, der dem in 2 veranschaulichten Schritt 218 entspricht. In diesem Schritt 318 überträgt das zweite mobile Endgerät 164 eine Antwortnachricht (eine SMS-Nachricht) durch das mobile Kommunikationsnetz 120 an das erste mobile Endgerät 154. Diese Antwortnachricht enthält die IP-Adresse des zweiten Client-Computers 160.
  • Bevorzugt werden die Schritte 316 bis 318 erzielt, indem das zweite mobile Endgerät 164 als "stummes" mobiles Endgerät angeordnet wird, dessen Funktionalität von dem zweiten Client-Computer 160 über Bluetooth gesteuert werden kann. In diesem Fall wird die Antwortnachricht effektiv von dem zweiten Client-Computer 150 erzeugt, und der in Schritt 316 übertragene Antwortbefehl enthält dann die erzeugte Anforderungsnachricht und weist effektiv das zweite mobile Endgerät 164 an, die Anforderungsnachricht durch Übertragen der Antwortnachricht als SMS weiter zu leiten.
  • Die Antwortnachricht wird unter Benutzung des privaten Schlüssels verschlüsselt, der dem zweiten mobilen Endgerät 164 zugehörig ist und in dessen SIM-Karte gespeichert war.
  • Wenn diese Schritte in der Abschlussphase 319 abgeschlossen sind, wird der erste Client-Computer 150 befähigt, die IP-Adresse des zweiten Computers 160, die in der übertragenen Antwortnachricht enthalten war, von dem ersten mobilen Endgerät 154 zu erhalten. Wie in dem Gesamtprozess in 2 veranschaulicht ist, beinhaltet dies, dass der Entschlüsselungsschritt 220 und der Konfigurationsdaten-Übertragungsschritt 222 von dem ersten mobilen Endgerät 154 durchgeführt werden. Ferner wurde der zweite Client-Computer 160 als Ergebnis der in Schritt 312 von dem zweiten mobilen Endgerät 164 übertragenen Konfigurationsnachricht befähigt, den VPN-Tunnelkonfigurationsschritt 214 durchzuführen.
  • Folglich haben beide Client-Computer 150, 160 die Konfigurationsdaten erhalten, die erforderlich sind, um einen VPN-Tunnel zwischen dem ersten 150 und dem zweiten 160 Computer zu erstellen.
  • Die vorliegende Erfindung wird insbesondere anwendbar sein, wenn das Netz 110 ein globales Adressierungsmerkmal unterstützt, was für die im Kommen begriffene Internetprotokollspezifikation IPv6 zutrifft. Implementierungen auf der Grundlage der gegenwärtig weit verbreiteten Spezifikation IPv4 umfassen die Verwendung von Netzadress-Übersetzungs(Network Address Translation; NAT)-Vorrichtungen. Ein Nachteil von NAT-Netzen auf der Basis von IPv4 ist es, dass nicht-globale Adressen verwendet werden. Dies bedeutet, dass ein Computer eine Adresse senden würde, die nur innerhalb des NAT-Netzes gültig ist, und auf die von aussen her nicht zugegriffen werden kann. Eine durchgehende Kommunikation kann nicht erzielt werden; statt dessen könnte ein Tunnel zwischen zwei NAT-Servern hergestellt werden, aber dann wäre die Kommunikation innerhalb des NAT-Netzes völlig offen, wodurch die Sicherheit kompromittiert würde.
  • Die oben stehende ausführliche Beschreibung erläuterte die Erfindung an einem Beispiel. Für den Fachmann dürfte ersichtlich sein, dass es im Rahmen der beigefügen Ansprüche zahlreiche Variationen und Alternativen zu der detaillierten Ausführungsform gibt.
  • Beispielsweise können das erste mobile Endgerät 154 und der erste Computer 150, die als separate Einheiten beschrieben sind, welche über Nahbereich-Bluetooth-Kommunikation mit einander kommunizieren, in eine einzige mobile Einheit wie etwa einen Personal Di gital Assistant zusammengeführt werden. In diesem Fall wird die lokale Kommunikation, die zwischen dem ersten mobilen Endgerät 154 und dem ersten Client-Computer 150 stattfindet, intern in der mobilen Einheit durchgeführt.
  • Obgleich eine Bluetooth-Kommunikation als die bevorzugte lokale Nahbereichskommunikationslösung zwischen dem Client-Computer (150, 160) und dem entsprechenden mobilen Endgerät (154 bzw. 164) angegeben ist, dürfte es für den Fachmann auch ersichtlich sein, dass andere Optionen angewendet werden können, wie etwa Infrarotkommunikation oder sogar eine verdrahtete Verbindung. Zu Sicherheitszwecken sollte die lokale Kommunikation jedoch bevorzugt eingebaute Verschlüsselungsmethoden zur Verfügung stellen.
  • Die mobilen Endgeräte 154, 164 können gewöhnliche Mobiltelefone wie etwa GSM-Telefone sein, die mit zusätzlichen Nahbereichs-Kommunikationseinrichtungen wie etwa Bluetooth versehen sind. Die mobilen Endgeräte können jedoch auch komplexere Kommunikations-/Verarbeitungseinheiten wie etwa PDAs sein, die ein Mobilkommunikationsmodul (z.B. GSM) und z.B. einen Bluetooth-Kommunikationstransceiver enthalten.
  • Der Gesamtprozess in 2 wird von dem Anwender an dem ersten Client-Computer 150 eingeleitet. Es ist natürlich auch möglich, den Prozess an dem ersten mobilen Endgerät 154 einzuleiten, das dann eine Nahbereichsverbindung mit dem ersten Client-Computer 150 zur Verfügung stellt. Es ist auch möglich, den gemeinsamen Schritt 204 zum Erzeugen der gemeinsamen Geheiminformation so umzuordnen, dass er von dem ersten mobilen Endgerät 154 durchgeführt wird. Dies ist insbesondere dann von Relevanz, wenn der Prozess von einer PDA/Telefonvorrichtung durchgeführt wird, die auch als der Client-Computer dient.

Claims (11)

  1. Verfahren, welches die Herstellung einer Virtual Private Network-Verbindung in einem Kommunikationsnetz (110) zwischen einem ersten (150) und einem zweiten (160) mit dem Netz verbundenen Computer ermöglicht, wobei ein erstes mobiles Kommunikationsendgerät (154) für eine lokale Kommunikation mit dem ersten (150) Computer angeordnet ist und ein zweites mobiles Kommunikationsendgerät (164) für eine lokale Kommunikation mit dem zweiten (160) Computer angeordnet ist, dadurch gekennzeichnet, dass das Verfahren von dem zweiten mobilen Endgerät (164) durchgeführt wird und die folgenden Schritte umfasst: – Empfangen (308) einer verschlüsselten Anforderungsnachricht von dem ersten mobilen Endgerät (154), welche umfasst: – Informationen, welche die Netzwerkadresse des ersten Computers (150) darstellen, und – eine gemeinsame Geheiminformation, – Entschlüsseln (310) der Anforderungsnachricht unter Benutzung eines privaten Schlüssels (PrivKeyB), der dem zweiten mobilen Endgerät (164) zugehörig ist, – Übertragen (312) einer Konfigurationsnachricht an den zweiten Computer (160), die Informationen enthält, welche die Netzwerkadresse des ersten Computers (150) und die gemeinsame Geheiminformation darstellen, – Empfangen (316) eines Antwortbefehls von dem zweiten Computer (160) und – bei Empfang des Antwortbefehls Übertragen (318) einer Antwortnachricht an das erste mobile Endgerät (154), die Informationen enthält, welche die Netzwerkadresse des zweiten (160) Computers darstellen, wodurch der erste Computer (150) befähigt wird, die Netzwerkadresse des zweiten Computers (160) zu erfassen, und ferner der zweite Computer (160) befähigt wird, die Netzwerkadresse des ersten Computers (150) und die gemeinsame Geheiminformation zu erfassen, wodurch die Einrichtung der Virtual Private Network-Verbindung zwischen dem ersten (150) und dem zweiten (160) Computer ermöglicht wird.
  2. Verfahren nach Anspruch 1, wobei der private Schlüssel (PrivKeyB) in einem Teilnehmeridentifizierungsmodul (Subscriber Identity) Module in dem zweiten mobilen Endgerät (164) gespeichert ist.
  3. Verfahren nach Anspruch 2, wobei der Antwortbefehl die Antwortnachricht umfasst.
  4. Verfahren nach Anspruch 3, wobei die Anforderungsnachricht von einem Mobilkommunikationsnetz (120) empfangen wird und wobei die Antwortnachricht an das Mobilkommunikationsnetz (120) übertragen wird.
  5. Verfahren nach Anspruch 4, wobei das Mobilkommunikationsnetz (120) ein GSM-kompatibles Mobiltelefonnetz ist und wobei die Anforderungs- und Antwortnachricht SMS-Nachrichten sind.
  6. Verfahren nach Anspruch 5, wobei die Anforderungsnachricht unter Verwendung eines öffentlichen Schlüssels (PubKeyB) verschlüsselt wird, der dem zweiten mobilen Endgerät (164) zugehörig ist, und die Antwortnachricht unter Verwendung des privaten Schlüssels (PrivKeyB) verschlüsselt wird, der dem zweiten mobilen Endgerät (164) zugehörig ist.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei die lokale Kommunikation zwischen dem zweiten mobilen Endgerät (164) und dem zweiten Computer (160) eine Nahbereich-Funkkommunikation ist, welche gemäß der Bluetooth-Spezifikation implementiert wird.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei die lokale Kommunikation zwischen dem ersten mobilen Endgerät (154) und dem ersten Computer (150) eine Nahbereich-Funkkommunikation ist, welche gemäß der Bluetooth-Spezifikation implementiert wird.
  9. Verfahren nach einem der Ansprüche 1 bis 7, wobei das erste mobile Endgerät (154) und der erste Computer (150) in eine einzelne mobile Einheit wie etwa einen Personal Digital Assistant zusammengeführt werden, wobei die lokale Kommunikation zwischen dem ersten mobilen Endgerät (154) und dem ersten Computer (150) intern durch eine fest verdrahtete Verbindung in der mobilen Einheit durchgeführt wird.
  10. Mobiles Kommunikationsendgerät (164), das dazu ausgelegt ist, die Errichtung einer Virtual Private Network-Verbindung zwischen einem ersten (150) und einem zweiten (160) Computer in einem Kommunikationsnetz (110) zu ermöglichen, wobei das mobile Kommunikationsendgerät Folgendes aufweist: – eine Mobiltelefon-Funkkommunikationsanordnung, und – eine Kommunikationsschnittstelle für die lokale Kommunikation mit einem Computer, dadurch gekennzeichnet, dass das mobile Endgerät dazu angeordnet ist, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.
  11. System zum Ermöglichen der Herstellung einer Virtual Private Network-Verbindung in einem Kommunikationsnetz (110), wobei das System einen ersten (150) und einen zweiten (160) Computer aufweist, die mit dem Netz (110) verbunden sind, wobei ein erstes mobiles Kommunikationsendgerät (154) für eine lokale Kommunikation mit dem ersten (150) Computer angeordnet ist und ein zweites mobiles Kommunikationsendgerät (164) für eine lokale Kommunikation mit dem zweiten (160) Computer angeordnet ist, dadurch gekennzeichnet, dass das zweite mobile Kommunikationsendgerät (164) dazu angeordnet ist, um ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.
DE602004004157T 2003-08-18 2004-08-17 Verfahren, system und mobiles endgerät zur herstellung einer vpn-verbindung Active DE602004004157T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
NO20033655 2003-08-18
NO20033655A NO321751B1 (no) 2003-08-18 2003-08-18 Fremgangsmate, mobilterminal og system for a etablere en VPN-forbindelse
PCT/NO2004/000249 WO2005018168A1 (en) 2003-08-18 2004-08-17 Establishing a vpn connection

Publications (2)

Publication Number Publication Date
DE602004004157D1 DE602004004157D1 (de) 2007-02-15
DE602004004157T2 true DE602004004157T2 (de) 2007-10-11

Family

ID=28036449

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004004157T Active DE602004004157T2 (de) 2003-08-18 2004-08-17 Verfahren, system und mobiles endgerät zur herstellung einer vpn-verbindung

Country Status (10)

Country Link
EP (1) EP1658701B1 (de)
AT (1) ATE350836T1 (de)
DE (1) DE602004004157T2 (de)
DK (1) DK1658701T3 (de)
ES (1) ES2279444T3 (de)
MY (1) MY134829A (de)
NO (1) NO321751B1 (de)
RU (1) RU2351084C2 (de)
UA (1) UA88621C2 (de)
WO (1) WO2005018168A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2547051B1 (de) * 2010-03-11 2017-09-20 Nishihata, Akira Vertrauliches kommunikationsverfahren mit vpn, system und programm dafür sowie speichermedien für das programm dafür
TW201206129A (en) * 2010-07-20 2012-02-01 Gemtek Technology Co Ltd Virtual private network system and network device thereof
US20130259230A1 (en) * 2012-03-29 2013-10-03 Broadcom Corporation Bluetooth Low Energy Privacy
DE102012216382A1 (de) 2012-09-14 2014-03-20 Siemens Aktiengesellschaft Energiesparmodus für Signalsystem eines Bahnsystems
KR20150060901A (ko) * 2012-09-25 2015-06-03 오픈픽 아이엔씨. 애플리케이션들 간에 vpn 연결을 공유하는 방법 및 시스템
EP3228059B1 (de) * 2014-12-04 2018-05-23 Telefonaktiebolaget LM Ericsson (publ) Sicherer verbindungsaufbau
RU2635215C1 (ru) * 2016-12-27 2017-11-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ подключения компьютера пользователя к виртуальной частной сети через локальную сеть провайдера
CN115397033B (zh) * 2021-05-25 2024-04-09 成都鼎桥通信技术有限公司 无线通信方法、装置、无线通信模组、介质及程序产品

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI980291A (fi) * 1998-02-09 1999-08-10 Nokia Mobile Phones Ltd Liikkuva internetpääsy
DE10140446A1 (de) * 2001-08-17 2003-03-06 Siemens Ag Verfahren und Datenverarbeitungsvorrichtung zum Übertragen von Daten über verschiedene Schnittstellen
JP2003101570A (ja) * 2001-09-21 2003-04-04 Sony Corp 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム

Also Published As

Publication number Publication date
NO20033655D0 (no) 2003-08-18
EP1658701A1 (de) 2006-05-24
NO321751B1 (no) 2006-06-26
ATE350836T1 (de) 2007-01-15
EP1658701B1 (de) 2007-01-03
NO20033655L (no) 2005-02-21
MY134829A (en) 2007-12-31
RU2006107601A (ru) 2007-09-27
DK1658701T3 (da) 2007-03-26
UA88621C2 (ru) 2009-11-10
WO2005018168A1 (en) 2005-02-24
DE602004004157D1 (de) 2007-02-15
ES2279444T3 (es) 2007-08-16
RU2351084C2 (ru) 2009-03-27

Similar Documents

Publication Publication Date Title
DE60029217T2 (de) Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
DE60013588T2 (de) Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten
DE60211360T2 (de) Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE69727641T2 (de) Verfahren zum Senden einer sicheren Botschaft in einem Telekommunikationssystem
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
DE60026838T2 (de) Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE102006036109B4 (de) Verfahren und System zum Bereitstellen eines Mesh-Schlüssels
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE102006008745A1 (de) Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE602004012233T2 (de) Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE10297253T5 (de) Adressiermechanismus in Mobile-IP
EP1943806A1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
DE102005045118B4 (de) Anmeldeverfahren zwischen Teilnehmern eines Kommunikationssystems und Teilnehmer
DE102006009726A1 (de) Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
DE602004004157T2 (de) Verfahren, system und mobiles endgerät zur herstellung einer vpn-verbindung
EP1406464B1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition