DE602004012295T2 - Fernverwaltung von ipsec-sicherheitsassoziationen - Google Patents

Fernverwaltung von ipsec-sicherheitsassoziationen Download PDF

Info

Publication number
DE602004012295T2
DE602004012295T2 DE602004012295T DE602004012295T DE602004012295T2 DE 602004012295 T2 DE602004012295 T2 DE 602004012295T2 DE 602004012295 T DE602004012295 T DE 602004012295T DE 602004012295 T DE602004012295 T DE 602004012295T DE 602004012295 T2 DE602004012295 T2 DE 602004012295T2
Authority
DE
Germany
Prior art keywords
security
management
mng
internet protocol
requests
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004012295T
Other languages
English (en)
Other versions
DE602004012295D1 (de
Inventor
Sakari Poussa
Mikael Latvala
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of DE602004012295D1 publication Critical patent/DE602004012295D1/de
Application granted granted Critical
Publication of DE602004012295T2 publication Critical patent/DE602004012295T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • HINTERGRUND DER ERFINDUNG:
  • Gebiet der Erfindung:
  • Die Erfindung betrifft Kommunikationstechnologie. Im Besonderen betrifft die Erfindung ein neues und verbessertes Verfahren und System zum entfernten und transparenten Verwalten von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit.
  • Beschreibung der verwandten Technik:
  • Internet-Protokoll-Sicherheit, auch bezeichnet als IPSec oder IPSec, ist ein Rahmen, um für Sicherheit in IP-Netzwerken auf Netzwerkebene zu sorgen. IPSec wird von der Internet Engineering Task Force (IETF) entwickelt. RFC-Dokumente (Aufforderung zu Kommentaren, engl.: Request for Comments, RFC) 2401 bis 2409 der IETF beschreiben IPSec.
  • IPSec stellt vertrauliche Dienste und Authentifizierungsdienste für IP-Verkehr bereit. Diese Dienste werden von Protokollen bereitgestellt, die als Authentifizierungs-Header (AH, beschrieben in RFC 2402), der im Wesentlichen die Authentifizierung des Senders von Daten erlaubt, und gekapselte Sicherheitsnutzlast (engl.: Encapsulating Security Payload) (ESP, beschrieben in RFC 2406) bezeichnet werden, die sowohl die Authentifizierung des Senders als auch die Verschlüsselung von Daten unterstützt.
  • Der Authentifizierungs-Header und die gekapselte Sicherheitsnutzlast erfordern Sitzungsschlüssel, um zu funktionieren. Die Sitzungsschlüssel werden typischerweise durch Schlüsselverwaltungsprotokolle erzeugt, wie zum Beispiel Internet-Schlüsselaustausch (engl.: Internet Key Exchange) (IKE, be schrieben in RFC 2409). Auch kann ein Schlüsselverwaltungsprotokoll namens Authentifizierung und Schlüsselübereinkunft (engl.: Authentication and Key Agreement) (AKA) verwendet werden, insbesonders bei Kommunikationsnetzwerken, die auf 3GPP-(Partnerschaftsprojekt der dritten Generation, engl.: 3rd Generation Partnership Project)-Systemen basieren. Zusätzlich gibt es andere Schlüsselverwaltungsprotokolle, die verwendet werden können.
  • Zusätzlich zu den oben angeführten Protokollen verwendet IPSec Sicherheitszuordnungen, um seine Dienste bereitzustellen. Eine IPSec-Sicherheitszuordnung umfasst Informationen wie Verkehrsselektoren (engl.: traffic selectors), kryptographische Transformatoren, Sitzungsschlüssel und Sitzungsschlüssellebensdauern. Eine Schlüsselverwaltungsanwendung ist für das Aushandeln der Erzeugung und des Löschens einer IPSec-Sicherheitszuordnung verantwortlich.
  • Typischerweise sind IPSec-Dienste und Schlüsselverwaltungsprotokolle in dedizierten Sicherheits-Gateways, Servern, Arbeitsplatzcomputern und tragbaren Endgeräten zu finden. Beim Stand der Technik werden die IPSec-Dienste und Schlüsselverwaltungsprotokolle unabhängig von dem Zielgerät miteinander in dem Sinn verknüpft, dass sie in derselben Vorrichtung gemeinsam untergebracht sind. Daher folgt daraus auch, dass der Kommunikationsmechanismus zwischen IPSec-Diensten und einem zugeordneten Schlüsselverwaltungsprotokoll lokal ist.
  • In einer verteilten Rechnerumgebung profitiert eine Netzwerkelementfunktionalität jedoch von einer Architektur, bei der zahlreiche Anwendungen in dedizierten Geräten plaziert sind. Zum Beispiel sind Anwendungen, die kryptographische Operationen erfordern, typischerweise in einem Gerät mit speziellem Zweck untergebracht, das geeignete Hardware und Software für die Aufgabe umfasst. Andere Anwendungen können mehr CPU- Verarbeitungsleistung benötigen und können daher in einem anderen Gerät für spezielle Zwecke untergebracht sein. Des Weiteren fordern Anwendungen in einer verteilten Rechnerumgebung typischerweise Dienste voneinander an, um die Netzwerkelementfunktionalität bereitzustellen.
  • Im Fall von Sicherheit auf Netzwerkebene sind IPSec und deren zugeordneten Schlüsselverwaltungsprotokolle Beispiele von Anwendungen, die Dienste voneinander anfordern. Es wäre vorteilhaft, einen IPSec-Dienst an einer zu symmetrischer Hochgeschwindigkeitskryptographie fähigen Vorrichtung anzuordnen und dessen zugeordnetes Schlüsselverwaltungsprotokoll in einer anderen Vorrichtung mit großer CPU-Leistung und/oder asymmetrischer Kryptographiebeschleunigung anzuordnen. Beim Stand der Technik sind ein IPSec-Dienst und dessen von ihm verwendete Schlüsselverwaltungsprotokolle jedoch, wie oben erwähnt, in derselben Rechenvorrichtung lokalisiert. Es gibt viele Schlüsselverwaltungsprotokolle, von denen jedes unterschiedliche Charakteristika hat. Wenn, wie im Fall des Stands der Technik, alle diese verschiedenen Schlüsselverwaltungsprotokolle in derselben Vorrichtung wie der IPSec-Dienst lokalisiert werden müssen, werden Netzwerkelemententwicklung, -implementierung und -einsatz ineffizient und teilweise sogar unmöglich.
  • Der Stand der Technik umfasst US 2002/157024 , die einen intelligenten Sicherheitszuordnungsverwaltungsserver offenbart, der zwischen zwei bei Kommunikation mit IPsec verwendeten Knoten angeordnet ist, wodurch es dem Sicherheitszuordnungsverwaltungsserver ermöglicht wird, die Kommunikation zwischen den zwei Knoten zu analysieren.
  • Der Stand der Technik umfasst des Weiteren US 2003/126466 , die ein Implementieren von IPsec auf IP-Ebene offenbart.
  • Somit existiert ein offensichtlicher Bedarf an einem ausgeklügelteren Ansatz, der es erlaubt, dass ein IPSec-Dienst und ihm zugeordnete Schlüsselverwaltungsprotokolle in verschiedenen Vorrichtungen angeordnet werden, insbesondere in verteilten Rechnerumgebungen. Des Weiteren wäre es vorteilhaft, in der Lage zu sein, diese Verteilung von IPSec und deren zugeordneten Schlüsselverwaltung transparent durchzuführen.
  • ZUSAMMENFASSUNG DER ERFINDUNG:
  • Die vorliegende Erfindung betrifft ein Verfahren gemäß Anspruch 10 und ein System zur entfernten und transparenten Verwaltung von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit.
  • Das System umfasst eine oder mehrere Anwendungsvorrichtungen.
  • Das System umfasst des Weiteren eine Dienstevorrichtung. Die Dienstevorrichtung umfasst eine Diensteeinrichtung für Internet-Protokoll-Sicherheit zur Bereitstellung von einem oder mehreren Internet-Protokoll-Sicherheitsdiensten, die zumindest einen von Authentifizierungs- und Verschlüsselungsdiensten umfassen.
  • Das System umfasst des Weiteren ein Kommunikationsnetzwerk zur Verbindung der Anwendungsgeräte mit der Dienstevorrichtung.
  • Das System umfasst des Weiteren eine Sicherheitszuordnungsverwaltungsanwendungseinrichtung, die konfiguriert ist, Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheitsdiensten zu erzeugen und mit einem Sitzungsschlüsselverwaltungsprotokoll zu verwalten.
  • Gemäß der Erfindung umfasst die Sicherheitszuordnungsverwaltungsanwendungseinrichtung wenigstens einen Verwaltungs-Client, der in der Anwendungsvorrichtung angeordnet ist, und einen Verwaltungsserver, der in der Dienstevorrichtung angeordnet ist, wobei der wenigstens eine Verwaltungs-Client konfiguriert ist, um Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen auszugeben, und der Verwaltungsserver konfiguriert ist, die ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen zu empfangen und in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit auf diese zu reagieren.
  • Bei einer Ausführungsform der Erfindung umfasst wenigstens eine Anwendungsvorrichtung des Weiteren eine Schnittstelleneinrichtung zum Bereitstellen einer Schnittstelle, über die der wenigstens eine Verwaltungs-Client, der der Anwendungsvorrichtung zugeordnet ist, und der Verwaltungs-Server miteinander kommunizieren. Daher erlaubt die Schnittstelleneinrichtung gemäß der vorliegenden Erfindung und der Verwaltungs-Server gemäß der vorliegenden Erfindung eine derartige Verteilung von IPSec und deren zugeordneten Schlüsselverwaltung, die für den Verwaltungs-Client und für die Diensteeinrichtung für Internet-Protokoll-Sicherheit transparent ist. Mit anderen Worten, die vorhandenen Verwaltungs-Clients müssen nicht modifiziert werden, damit sie in der Lage sind, von der Diensteeinrichtung für Internet-Protokoll-Sicherheit bereitgestellte Dienste zu nutzen, selbst wenn die Diensteeinrichtung für Internet-Protokoll-Sicherheit bei einer anderen Vorrichtung als der Verwaltungs-Client angeordnet sein kann.
  • Bei einer Ausführungsform der Erfindung umfassen die Sicherheitszuordnungsverwaltungsanfragen Anfragen zum Hinzufügen von Sicherheitszuordnungen, Anfragen zum Löschen von Sicherheitszuordnung und/oder Anfragen zur Abfrage von Sicherheitszuordnungen.
  • Bei einer Ausführungsform der Erfindung umfasst die Schnittstelleneinrichtung Datenstrukturen, die bei Kommunikation zwischen dem Verwaltungs-Client und dem Verwaltungs-Server verwendet werden, wobei die Schnittstelleneinrichtungen als eine in einem entsprechenden Verwaltungs-Client dynamisch oder statisch eingebundene Software-Bibliothek implementiert werden.
  • Bei einer Ausführungsform der Erfindung sind die Schnittstelleneinrichtungen zur Verwendung von Sockets zur Kommunikation mit dem Verwaltungs-Server angeordnet.
  • Bei einer Ausführungsform der Erfindung sind die Diensteeinrichtung für Internet-Protokoll-Sicherheit und der Verwaltungs-Server ausgelegt, um einen lokalen Kommunikationskanal zur Kommunikation miteinander zu nutzen.
  • Bei einer Ausführungsform der Erfindung umfasst wenigstens eine Anwendungsvorrichtung zwei oder mehrere Verwaltungs-Clients, von denen wenigstens zwei voneinander unterschiedliche Verwaltungs-Clients Sitzungsschlüsselverwaltungsprotokolle verwenden.
  • Bei einer Ausführungsform der Erfindung ist das Kommunikationsnetzwerk ein lokales Netz (engl.: Local Area Network).
  • Die Erfindung ermöglicht es, IPSec-Sicherheitszuordnungen entfernt zu verwalten. IPSec und deren zugeordnete Schlüsselverwaltung kann auf getrennte Rechenvorrichtungen transparent verteilt sein. Dadurch kann jede Rechenvorrichtung optimiert werden, um eine spezielle Anwendung auszuführen. Dies wiederum erhöht die Leistung und Flexibilität.
  • Die Erfindung schließt aber die Nutzung von bekannten Standardlösungen nicht aus, wenn dies vorteilhaft ist. Zum Beispiel können das IPSec und dessen zugeordnete Schlüsselverwaltung bei kleineren Konfigurationen immer noch gemeinsam in derselben Vorrichtung untergebracht sein. Dies kann durch Umschalten eines entfernten Kommunikationskanals auf einen lokalen geschehen. Die Umschaltung ist für die Anwendungen transparent, wodurch Entwicklungsaufwand minimiert und Flexibilität erhöht werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN:
  • Die beigefügten Zeichnungen, die aufgenommen sind, um für ein weitergehendes Verständnis der Erfindung zu sorgen und einen Teil dieser Spezifikation darstellen, veranschaulichen Ausführungsformen der Erfindung und helfen zusammen mit der Beschreibung die Prinzipien der Erfindung zu erklären. In den Zeichnungen:
  • 1 ist ein Blockdiagramm, das ein System gemäß einer Ausführungsform der Erfindung veranschaulicht; und
  • 2 veranschaulicht ein Verfahren gemäß einer Ausführungsform der Erfindung.
  • DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN:
  • Nun wird detailliert Bezug auf die Ausführungsformen der Erfindung genommen, von denen Beispiele in den beigefügten Zeichnungen veranschaulicht sind.
  • 1 veranschaulicht ein System zur entfernten und transparenten Verwaltung von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit gemäß einer Ausführungsform der Erfindung. Bei der beispielhaften Ausführungsform der Erfindung, die in 1 dargestellt ist, umfasst das System zwei Anwendungsvorrichtungen APP_DEV_1 und APP_DEV_2. Die Anwendungsvorrichtung APP_DEV_1 umfasst einen Verwaltungs-Client MNG_CL_1 zum Ausgeben von Sicherheitszuordnungsverwaltungsanfragen, wohingegen die Anwendungsvorrichtung APP_DEV_2 zwei Verwaltungs-Clients MNG_CL_2 und MNG_CL_3 umfasst. Die von den Verwaltungs-Clients MNG_CL_1, MNG_CL_2 und MNG_CL_3 ausgegebenen Sicherheitszuordnungsverwaltungsanfragen umfassen Anfragen zum Hinzufügen von Sicherheitszuordnungen, Anfragen zum Löschen von Sicherheitszuordnungen und/oder Anfragen zum Abfragen von Sicherheitszuordnungen. Bei der beispielhaften Ausführungsform der Erfindung, die in 1 dargestellt ist, nutzen die Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 jeweils ein anderes Sitzungsschlüsselverwaltungsprotokoll.
  • Internet-Protokoll-Sicherheit wird typischerweise zum Beispiel von einem IP-Multimedia-Teilsystem (IMS) eines Telekommunikationsnetzwerks genutzt, das auf einem 3GPP-System basiert. In solch einem Fall kann ein Nutzergerät (nicht dargestellt) mit der Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 unter Verwendung eines Schlüsselverwaltungsprotokolls kommunizieren, und das Endergebnis dieser Kommunikation wird dann von der Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 an die Dienstevorrichtung SRV_DEV weitergeleitet. Somit kann in diesem Fall die Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 einen Server-Teil des Schlüsselverwaltungsprotokolls ausführen, wohingegen das Nutzergerät einen Client-Teil des Schlüsselverwaltungsprotokolls ausführen kann. Das Nutzergerät kann seine eigenen lokalen Mechanismen verwenden, um das Endergebnis zu seinem eigenen IPSec-Dienst zu kommunizieren.
  • Bei der in 1 dargestellten beispielhaften Ausführungsform der Erfindung umfasst das System des Weiteren eine Dien stevorrichtung SRV_DEV. Die Dienstevorrichtung SRV_DEV umfasst eine Diensteeinrichtung für Internet-Protokoll-Sicherheit IPSEC, um einen oder mehrere Internet-Protokoll-Sicherheits-Dienste bereitzustellen. Die Dienstevorrichtung SRV_DEV umfasst des Weiteren einen Verwaltungsserver MNG_SRV, um die ausgegebenen Anfragen zu empfangen und um in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit IPSEC auf die empfangenen Anfragen zu antworten. Das System umfasst des Weiteren ein Kommunikationsnetzwerk CN zur Verbindung der Anwendungsvorrichtungen mit der Dienstevorrichtung.
  • Bei der beispielhaften Ausführungsform der Erfindung, die in 1 dargestellt ist, umfassen die Anwendungsvorrichtungen APP_DEV_1 und APP_DEV_2 jeweils des Weiteren eine Schnittstelleneinrichtung IF zum Bereitstellen einer Schnittstelle, über die die Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 und der Verwaltungs-Server MNG_SRV miteinander kommunizieren. Des Weiteren umfasst bei der in 1 dargestellten beispielhaften Ausführungsform der Erfindung die Schnittstelleneinrichtung IF Datenstrukturen (nicht dargestellt), die bei Kommunikation zwischen den Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 und dem Verwaltungs-Server MNG_SRV verwendet werden, und die Schnittstelleneinrichtungen IF werden jeweils als Software-Bibliothek (nicht dargestellt) implementiert, die entweder dynamisch oder statisch in einen Verwaltungs-Client eingebunden sein kann.
  • Des Weiteren sind bei der beispielhaften Ausführungsform der Erfindung, die in 1 dargestellt ist, die Schnittstelleneinrichtung IF jeweils ausgelegt, um Sockel zur Kommunikation mit dem Verwaltungs-Server MNG_SRV zu verwenden, und die Diensteeinrichtung IPSEC für Internet-Protokoll-Sicherheit und der Verwaltungs-Server MNG_SRV sind für die Verwendung eines lokalen Kommunikationskanals zur Kommunikation miteinander ausgelegt.
  • Bevorzugt wird des Weiteren, wie in 1 dargestellt, ein in das System gelangender externer IP-Verkehr EXT über die Dienstevorrichtung SRV_DEV geleitet.
  • 2 veranschaulicht ein Verfahren zum entfernten und transparenten Verwalten von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit gemäß einer Ausführungsform der Erfindung.
  • Ein oder mehrere Internet-Protokoll-Sicherheitsdienste werden in einer Dienstevorrichtung bereitgestellt, Phase 20. Sicherheitszuordnungsverwaltungsanfragen werden von einer oder mehreren Anwendungsvorrichtungen ausgegeben, Phase 21. Die Anwendungsvorrichtungen wurden mit der Dienstevorrichtung durch ein Kommunikationsnetzwerk sicher verbunden.
  • Die ausgegebenen Anfragen werden in der Dienstevorrichtung empfangen, Phase 22. In der Dienstevorrichtung wird auf die empfangenen Anfragen in Verbindung mit den bereitgestellten Internet-Protokoll-Sicherheitsdiensten reagiert, Phase 23.
  • Bei der beispielhaften Ausführungsform der Erfindung, die in 2 dargestellt ist, werden die Sicherheitszuordnungsverwaltungsanfragen, die von einer Anwendungsvorrichtung ausgegeben werden, und/oder korrespondierende Antworten über eine Schnittstelle, die der Anwendungsvorrichtung zugeordnet ist, übermittelt.
  • Es ist für einen Fachmann auf dem Gebiet offensichtlich, dass mit dem Technologiefortschritt die grundlegende Idee der Erfindung auf verschiedene Arten implementiert werden kann. Die Erfindung und ihre Ausführungsformen sind somit nicht auf die oben beschriebenen Beispiele beschränkt, sondern können stattdessen innerhalb des Umfangs der Ansprüche variieren. FIGURENLEGENDE ZU FIG. 2:
    ENGLISCH: DEUTSCH:
    Provide IPSec services Stelle Dienste für Internet-
    Protoll-Sicherheit bereit
    Issue SA Management Gib Sicherheitszuordnungs
    requests from one or verwaltungsanfragen von einer
    more application devices oder mehreren Anwendungs
    vorrichtungen aus
    Receive the SA Management Empfange die Sicherheitszuord
    requests in a service nungsverwaltungsanfragen in
    device einer Dienstevorrichtung
    Respond to the SA Antworte auf die Sicherheits
    Management requests in zuordnungsverwaltungsanfragen
    the service device in der Dienstevorrichtung

Claims (12)

  1. System zum entfernten und transparenten Verwalten von Sicherheitszuordnungen für Internet-Protokoll-Sicherheit, wobei das System umfasst: eine Anwendungsvorrichtung (APP_DEV_1); eine Dienstevorrichtung (SRV_DEV) mit einer Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) zum Bereitstellen von einem oder mehreren Internet-Protokoll-Sicherheits-Diensten, wobei die Internet-Protokoll-Sicherheits-Dienste wenigstens einen eines Authentifizierungs- und Verschlüsselungsdienstes aufweisen; ein Kommunikationsnetzwerk (CN) zum Verbinden der Anwendungsvorrichtung (APP_DEV_1) mit der Dienstevorrichtung (SRV_DEV); und einer Sicherheitszuordnungsverwaltungsanwendungseinrichtung, die konfiguriert ist, Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheits-Diensten zu erzeugen und mit einem Sitzungsschlüsselverwaltungsprotokoll zu verwalten; dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanwendungseinrichtung wenigstens einen Verwaltungs-Client (MNG_CL_1), der in der Anwendungsvorrichtung (APP_DEV_1) angeordnet ist, und einen Verwaltungs-Server (MNG_SRV) umfasst, der in der Dienstevorrichtung (SRV_DEV) angeordnet ist, wobei der wenigstens eine Verwaltungs-Client (MNG_CL_1) konfiguriert ist, Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen auszugeben und der Verwaltungs-Server (MNG_SRV) konfiguriert ist, die ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen zu empfangen und auf diese in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) zu antworten.
  2. System nach Anspruch 1, dadurch gekennzeichnet, dass die Anwendungsvorrichtung (APP_DEV_1) ferner eine Schnittstelleneinrichtung (IF) umfasst, um für eine Schnittstelle zur Kommunikation zwischen dem wenigstens einen Verwaltungs-Client (MNG_CL_1), der der Anwendungsvorrichtung (APP_DEV_1) zugeordnet ist, und dem Verwaltungs-Server (MNG_SRV) bereitzustellen.
  3. System nach Anspruch 1, dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanfragen wenigstens eine von Ergänzungsanfragen zum Ergänzen von Sicherheitszuordnungen, Löschanfragen zum Löschen von Sicherheitszuordnungen und Abfrageanfragen für Abfragen über Sicherheitszuordnungen aufweisen.
  4. System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) ausgelegt ist, Sockets zur Kommunikation mit dem Verwaltungs-Server (MNG_SRV) zu verwenden.
  5. System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) Datenstrukturen aufweist, die bei Kommunikation zwischen dem Verwaltungs-Client (MNG_CL_1) und dem Verwaltungs-Server (MNG_SRV) verwendet werden.
  6. System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) als Software-Bibliothek implementiert ist, die dynamisch oder statisch mit einem entsprechenden Verwaltungs-Client (MNG_CL_1) verknüpft ist.
  7. System nach Anspruch 1, dadurch gekennzeichnet, dass die Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) und der Verwaltungs-Server (MNG_SRV) ausgelegt sind, einen lokalen Kommunikationskanal zur Kommunikation zwischen der Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) und dem Verwaltungs-Server (MNG_SRV) zu verwenden.
  8. System nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens eine Anwendungsvorrichtung (APP_DEV_2) zwei oder mehr Verwaltungs-Clients (MNG_CL_2, MNG_CL_3) umfasst, wobei wenigstens zwei der Verwaltungs-Clients (MNG_CL_2, MNG_CL_3) ausgelegt sind, unterschiedliche Sitzungsschlüsselverwaltungsprotokolle zu verwenden.
  9. System nach Anspruch 1, dadurch gekennzeichnet, dass das Kommunikationsnetzwerk (CN) ein lokales Netzwerk umfasst.
  10. Verfahren zum entfernten und transparenten Verwalten von Sicherheitszuordnungen für Internet-Protokoll-Sicherheit, wobei das Verfahren den Schritt umfasst: Bereitstellen von einem oder mehreren Internet-Protokoll-Sicherheits-Diensten in einer Dienstevorrichtung, wobei die bereitgestellten Dienste wenigstens einen eines Authentifizierungs- und Verschlüsselungsdienstes (20) aufweisen; dadurch gekennzeichnet, dass das Verfahren ferner die Schritte umfasst: Ausgeben von Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen von einer Anwendungsvorrichtung mit einem Sitzungsschlüsselverwaltungsprotokoll, wobei die zu erzeugenden und zu verwaltenden Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheits-Diensten dienen, und die Anwendungsvorrichtung mittels eines Kommunikationsnetzwerks (21) mit der Dienstevorrichtung verbunden ist; Empfangen der von der Anwendungsvorrichtung (22) ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen in der Dienstevorrichtung; Antworten auf die in der Dienstevorrichtung (23) empfangenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen in Verbindung mit einem Internet-Protokoll-Sicherheits-Dienst.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass wenigstens eine der von einer Anwendungsvorrichtung ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen und entsprechende Antworten über eine der Anwendungsvorrichtung zugeordneten Schnittstelle kommuniziert werden.
  12. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanfragen wenigstens eine von Ergänzungsanfragen zum Ergänzen von Sicherheitszuordnungen, Löschanfragen zum Löschen von Sicherheitszuordnungen und Abfrageanfragen für Abfragen über Sicherheitszuordnungen aufweisen.
DE602004012295T 2003-09-22 2004-08-10 Fernverwaltung von ipsec-sicherheitsassoziationen Active DE602004012295T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI20031361A FI20031361A0 (fi) 2003-09-22 2003-09-22 IPSec-turva-assosiaatioiden kaukohallinta
FI20031361 2003-09-22
PCT/FI2004/000473 WO2005029811A1 (en) 2003-09-22 2004-08-10 Remote ipsec security association management

Publications (2)

Publication Number Publication Date
DE602004012295D1 DE602004012295D1 (de) 2008-04-17
DE602004012295T2 true DE602004012295T2 (de) 2009-03-26

Family

ID=27839024

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004012295T Active DE602004012295T2 (de) 2003-09-22 2004-08-10 Fernverwaltung von ipsec-sicherheitsassoziationen

Country Status (8)

Country Link
US (1) US20050066159A1 (de)
EP (1) EP1665725B1 (de)
JP (1) JP4324197B2 (de)
CN (1) CN100542169C (de)
AT (1) ATE388571T1 (de)
DE (1) DE602004012295T2 (de)
FI (1) FI20031361A0 (de)
WO (1) WO2005029811A1 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100369430C (zh) * 2005-06-21 2008-02-13 中兴通讯股份有限公司 一种ip多媒体子系统接入安全的保护方法
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
US20080222693A1 (en) * 2006-08-08 2008-09-11 Cipheroptics, Inc. Multiple security groups with common keys on distributed networks
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US8607301B2 (en) * 2006-09-27 2013-12-10 Certes Networks, Inc. Deploying group VPNS and security groups over an end-to-end enterprise network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US8046820B2 (en) * 2006-09-29 2011-10-25 Certes Networks, Inc. Transporting keys between security protocols
US8104082B2 (en) * 2006-09-29 2012-01-24 Certes Networks, Inc. Virtual security interface
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
CN101626374B (zh) 2008-07-11 2013-08-28 成都市华为赛门铁克科技有限公司 IPv6网络中协商SA的方法、系统和设备
CN102420755B (zh) * 2011-11-29 2014-12-03 华为技术有限公司 一种数据报文的传输处理方法、通信设备及系统

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6948070B1 (en) * 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6636898B1 (en) * 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
GB2357227B (en) * 1999-12-08 2003-12-17 Hewlett Packard Co Security protocol
US6631416B2 (en) * 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
FI110558B (fi) * 2000-05-24 2003-02-14 Nokia Corp Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi
EP1320956A4 (de) * 2000-08-04 2006-06-21 First Data Corp System für eine vertrauenswürdige digitale authentifizierungssignatur (tads)
US6772226B1 (en) * 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
US7426566B2 (en) * 2001-01-17 2008-09-16 International Business Machines Corporation Methods, systems and computer program products for security processing inbound communications in a cluster computing environment
US20020157024A1 (en) * 2001-04-06 2002-10-24 Aki Yokote Intelligent security association management server for mobile IP networks
US7099912B2 (en) * 2001-04-24 2006-08-29 Hitachi, Ltd. Integrated service management system
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US20030031151A1 (en) * 2001-08-10 2003-02-13 Mukesh Sharma System and method for secure roaming in wireless local area networks
US7370352B2 (en) * 2001-09-06 2008-05-06 Intel Corporation Techniques for storing and retrieving security information corresponding to cryptographic operations to support cryptographic processing for multiple network traffic streams
KR100470915B1 (ko) * 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
US7181612B1 (en) * 2002-01-17 2007-02-20 Cisco Technology, Inc. Facilitating IPsec communications through devices that employ address translation in a telecommunications network
US6807636B2 (en) * 2002-02-13 2004-10-19 Hitachi Computer Products (America), Inc. Methods and apparatus for facilitating security in a network
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7231664B2 (en) * 2002-09-04 2007-06-12 Secure Computing Corporation System and method for transmitting and receiving secure data in a virtual private group
US7774495B2 (en) * 2003-02-13 2010-08-10 Oracle America, Inc, Infrastructure for accessing a peer-to-peer network environment

Also Published As

Publication number Publication date
WO2005029811A1 (en) 2005-03-31
ATE388571T1 (de) 2008-03-15
US20050066159A1 (en) 2005-03-24
DE602004012295D1 (de) 2008-04-17
FI20031361A0 (fi) 2003-09-22
EP1665725A1 (de) 2006-06-07
JP2007506202A (ja) 2007-03-15
EP1665725B1 (de) 2008-03-05
CN1856977A (zh) 2006-11-01
JP4324197B2 (ja) 2009-09-02
CN100542169C (zh) 2009-09-16

Similar Documents

Publication Publication Date Title
DE602004012295T2 (de) Fernverwaltung von ipsec-sicherheitsassoziationen
DE602005000025T2 (de) Verfahren und Anordnung für den Betrieb eines offenen Netzwerks mit einem Proxy
DE60133241T2 (de) Mehranwendung-sicherheitsrelais
DE69734189T2 (de) Verteiltes Netzwerkrechnersystem und Datenaustauschgerät
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE102008011191A1 (de) Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System
DE102006054399A1 (de) Sicheres Gateway mit Alarmmanager und Unterstützung für eingehend föderierte Identität
DE60316649T2 (de) Konferenzanwendung die keinen bestimmten Verbindungsport verwendet
DE10330079B4 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
DE10240875A1 (de) Sicheres Referenzdrucken unter Verwendung persönlicher elektronischer Geräte
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE112009001207T5 (de) Kenntnisverteilung
DE10024347B4 (de) Sicherheitsservice-Schicht
DE10316236A1 (de) Verfahren und Anordnung zur Konfiguration einer Einrichtung in einem Datennetz
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
DE102009031143B3 (de) Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats
EP1458161A1 (de) Verfahren und Vorrichtung für die Interoperabilität zwischen den Präsenz-Services gemäss dem Wireless Village Standard und dem IP Multimedia Subsystem Standard
DE19843324C2 (de) Verfahren und Vorrichtung zum Managen von mindestens einem Netzwerkelement in einem Telekommunikationsnetzwerk
DE102020113257A1 (de) Policy management system zur bereitstellung von autorisierungsinformationen über den distributed data store
WO2002067532A1 (de) Verfahren zur übertragung von daten, proxy-server und datenübertragungssystem
EP2723111B1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
DE19928017A1 (de) Dienststeuerplattform
DE60316757T2 (de) System zur automatischen Verwaltung von Netzwerkgeräten
DE102004017698A1 (de) SCADA-System
EP1117036A2 (de) Verfahren und Vorrichtung zum Zugriff auf ein Ad-hoc-Telekommunikationsnetz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition