DE602004012295T2 - Fernverwaltung von ipsec-sicherheitsassoziationen - Google Patents
Fernverwaltung von ipsec-sicherheitsassoziationen Download PDFInfo
- Publication number
- DE602004012295T2 DE602004012295T2 DE602004012295T DE602004012295T DE602004012295T2 DE 602004012295 T2 DE602004012295 T2 DE 602004012295T2 DE 602004012295 T DE602004012295 T DE 602004012295T DE 602004012295 T DE602004012295 T DE 602004012295T DE 602004012295 T2 DE602004012295 T2 DE 602004012295T2
- Authority
- DE
- Germany
- Prior art keywords
- security
- management
- mng
- internet protocol
- requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
- HINTERGRUND DER ERFINDUNG:
- Gebiet der Erfindung:
- Die Erfindung betrifft Kommunikationstechnologie. Im Besonderen betrifft die Erfindung ein neues und verbessertes Verfahren und System zum entfernten und transparenten Verwalten von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit.
- Beschreibung der verwandten Technik:
- Internet-Protokoll-Sicherheit, auch bezeichnet als IPSec oder IPSec, ist ein Rahmen, um für Sicherheit in IP-Netzwerken auf Netzwerkebene zu sorgen. IPSec wird von der Internet Engineering Task Force (IETF) entwickelt. RFC-Dokumente (Aufforderung zu Kommentaren, engl.: Request for Comments, RFC) 2401 bis 2409 der IETF beschreiben IPSec.
- IPSec stellt vertrauliche Dienste und Authentifizierungsdienste für IP-Verkehr bereit. Diese Dienste werden von Protokollen bereitgestellt, die als Authentifizierungs-Header (AH, beschrieben in RFC 2402), der im Wesentlichen die Authentifizierung des Senders von Daten erlaubt, und gekapselte Sicherheitsnutzlast (engl.: Encapsulating Security Payload) (ESP, beschrieben in RFC 2406) bezeichnet werden, die sowohl die Authentifizierung des Senders als auch die Verschlüsselung von Daten unterstützt.
- Der Authentifizierungs-Header und die gekapselte Sicherheitsnutzlast erfordern Sitzungsschlüssel, um zu funktionieren. Die Sitzungsschlüssel werden typischerweise durch Schlüsselverwaltungsprotokolle erzeugt, wie zum Beispiel Internet-Schlüsselaustausch (engl.: Internet Key Exchange) (IKE, be schrieben in RFC 2409). Auch kann ein Schlüsselverwaltungsprotokoll namens Authentifizierung und Schlüsselübereinkunft (engl.: Authentication and Key Agreement) (AKA) verwendet werden, insbesonders bei Kommunikationsnetzwerken, die auf 3GPP-(Partnerschaftsprojekt der dritten Generation, engl.: 3rd Generation Partnership Project)-Systemen basieren. Zusätzlich gibt es andere Schlüsselverwaltungsprotokolle, die verwendet werden können.
- Zusätzlich zu den oben angeführten Protokollen verwendet IPSec Sicherheitszuordnungen, um seine Dienste bereitzustellen. Eine IPSec-Sicherheitszuordnung umfasst Informationen wie Verkehrsselektoren (engl.: traffic selectors), kryptographische Transformatoren, Sitzungsschlüssel und Sitzungsschlüssellebensdauern. Eine Schlüsselverwaltungsanwendung ist für das Aushandeln der Erzeugung und des Löschens einer IPSec-Sicherheitszuordnung verantwortlich.
- Typischerweise sind IPSec-Dienste und Schlüsselverwaltungsprotokolle in dedizierten Sicherheits-Gateways, Servern, Arbeitsplatzcomputern und tragbaren Endgeräten zu finden. Beim Stand der Technik werden die IPSec-Dienste und Schlüsselverwaltungsprotokolle unabhängig von dem Zielgerät miteinander in dem Sinn verknüpft, dass sie in derselben Vorrichtung gemeinsam untergebracht sind. Daher folgt daraus auch, dass der Kommunikationsmechanismus zwischen IPSec-Diensten und einem zugeordneten Schlüsselverwaltungsprotokoll lokal ist.
- In einer verteilten Rechnerumgebung profitiert eine Netzwerkelementfunktionalität jedoch von einer Architektur, bei der zahlreiche Anwendungen in dedizierten Geräten plaziert sind. Zum Beispiel sind Anwendungen, die kryptographische Operationen erfordern, typischerweise in einem Gerät mit speziellem Zweck untergebracht, das geeignete Hardware und Software für die Aufgabe umfasst. Andere Anwendungen können mehr CPU- Verarbeitungsleistung benötigen und können daher in einem anderen Gerät für spezielle Zwecke untergebracht sein. Des Weiteren fordern Anwendungen in einer verteilten Rechnerumgebung typischerweise Dienste voneinander an, um die Netzwerkelementfunktionalität bereitzustellen.
- Im Fall von Sicherheit auf Netzwerkebene sind IPSec und deren zugeordneten Schlüsselverwaltungsprotokolle Beispiele von Anwendungen, die Dienste voneinander anfordern. Es wäre vorteilhaft, einen IPSec-Dienst an einer zu symmetrischer Hochgeschwindigkeitskryptographie fähigen Vorrichtung anzuordnen und dessen zugeordnetes Schlüsselverwaltungsprotokoll in einer anderen Vorrichtung mit großer CPU-Leistung und/oder asymmetrischer Kryptographiebeschleunigung anzuordnen. Beim Stand der Technik sind ein IPSec-Dienst und dessen von ihm verwendete Schlüsselverwaltungsprotokolle jedoch, wie oben erwähnt, in derselben Rechenvorrichtung lokalisiert. Es gibt viele Schlüsselverwaltungsprotokolle, von denen jedes unterschiedliche Charakteristika hat. Wenn, wie im Fall des Stands der Technik, alle diese verschiedenen Schlüsselverwaltungsprotokolle in derselben Vorrichtung wie der IPSec-Dienst lokalisiert werden müssen, werden Netzwerkelemententwicklung, -implementierung und -einsatz ineffizient und teilweise sogar unmöglich.
- Der Stand der Technik umfasst
US 2002/157024 - Der Stand der Technik umfasst des Weiteren
US 2003/126466 - Somit existiert ein offensichtlicher Bedarf an einem ausgeklügelteren Ansatz, der es erlaubt, dass ein IPSec-Dienst und ihm zugeordnete Schlüsselverwaltungsprotokolle in verschiedenen Vorrichtungen angeordnet werden, insbesondere in verteilten Rechnerumgebungen. Des Weiteren wäre es vorteilhaft, in der Lage zu sein, diese Verteilung von IPSec und deren zugeordneten Schlüsselverwaltung transparent durchzuführen.
- ZUSAMMENFASSUNG DER ERFINDUNG:
- Die vorliegende Erfindung betrifft ein Verfahren gemäß Anspruch 10 und ein System zur entfernten und transparenten Verwaltung von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit.
- Das System umfasst eine oder mehrere Anwendungsvorrichtungen.
- Das System umfasst des Weiteren eine Dienstevorrichtung. Die Dienstevorrichtung umfasst eine Diensteeinrichtung für Internet-Protokoll-Sicherheit zur Bereitstellung von einem oder mehreren Internet-Protokoll-Sicherheitsdiensten, die zumindest einen von Authentifizierungs- und Verschlüsselungsdiensten umfassen.
- Das System umfasst des Weiteren ein Kommunikationsnetzwerk zur Verbindung der Anwendungsgeräte mit der Dienstevorrichtung.
- Das System umfasst des Weiteren eine Sicherheitszuordnungsverwaltungsanwendungseinrichtung, die konfiguriert ist, Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheitsdiensten zu erzeugen und mit einem Sitzungsschlüsselverwaltungsprotokoll zu verwalten.
- Gemäß der Erfindung umfasst die Sicherheitszuordnungsverwaltungsanwendungseinrichtung wenigstens einen Verwaltungs-Client, der in der Anwendungsvorrichtung angeordnet ist, und einen Verwaltungsserver, der in der Dienstevorrichtung angeordnet ist, wobei der wenigstens eine Verwaltungs-Client konfiguriert ist, um Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen auszugeben, und der Verwaltungsserver konfiguriert ist, die ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen zu empfangen und in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit auf diese zu reagieren.
- Bei einer Ausführungsform der Erfindung umfasst wenigstens eine Anwendungsvorrichtung des Weiteren eine Schnittstelleneinrichtung zum Bereitstellen einer Schnittstelle, über die der wenigstens eine Verwaltungs-Client, der der Anwendungsvorrichtung zugeordnet ist, und der Verwaltungs-Server miteinander kommunizieren. Daher erlaubt die Schnittstelleneinrichtung gemäß der vorliegenden Erfindung und der Verwaltungs-Server gemäß der vorliegenden Erfindung eine derartige Verteilung von IPSec und deren zugeordneten Schlüsselverwaltung, die für den Verwaltungs-Client und für die Diensteeinrichtung für Internet-Protokoll-Sicherheit transparent ist. Mit anderen Worten, die vorhandenen Verwaltungs-Clients müssen nicht modifiziert werden, damit sie in der Lage sind, von der Diensteeinrichtung für Internet-Protokoll-Sicherheit bereitgestellte Dienste zu nutzen, selbst wenn die Diensteeinrichtung für Internet-Protokoll-Sicherheit bei einer anderen Vorrichtung als der Verwaltungs-Client angeordnet sein kann.
- Bei einer Ausführungsform der Erfindung umfassen die Sicherheitszuordnungsverwaltungsanfragen Anfragen zum Hinzufügen von Sicherheitszuordnungen, Anfragen zum Löschen von Sicherheitszuordnung und/oder Anfragen zur Abfrage von Sicherheitszuordnungen.
- Bei einer Ausführungsform der Erfindung umfasst die Schnittstelleneinrichtung Datenstrukturen, die bei Kommunikation zwischen dem Verwaltungs-Client und dem Verwaltungs-Server verwendet werden, wobei die Schnittstelleneinrichtungen als eine in einem entsprechenden Verwaltungs-Client dynamisch oder statisch eingebundene Software-Bibliothek implementiert werden.
- Bei einer Ausführungsform der Erfindung sind die Schnittstelleneinrichtungen zur Verwendung von Sockets zur Kommunikation mit dem Verwaltungs-Server angeordnet.
- Bei einer Ausführungsform der Erfindung sind die Diensteeinrichtung für Internet-Protokoll-Sicherheit und der Verwaltungs-Server ausgelegt, um einen lokalen Kommunikationskanal zur Kommunikation miteinander zu nutzen.
- Bei einer Ausführungsform der Erfindung umfasst wenigstens eine Anwendungsvorrichtung zwei oder mehrere Verwaltungs-Clients, von denen wenigstens zwei voneinander unterschiedliche Verwaltungs-Clients Sitzungsschlüsselverwaltungsprotokolle verwenden.
- Bei einer Ausführungsform der Erfindung ist das Kommunikationsnetzwerk ein lokales Netz (engl.: Local Area Network).
- Die Erfindung ermöglicht es, IPSec-Sicherheitszuordnungen entfernt zu verwalten. IPSec und deren zugeordnete Schlüsselverwaltung kann auf getrennte Rechenvorrichtungen transparent verteilt sein. Dadurch kann jede Rechenvorrichtung optimiert werden, um eine spezielle Anwendung auszuführen. Dies wiederum erhöht die Leistung und Flexibilität.
- Die Erfindung schließt aber die Nutzung von bekannten Standardlösungen nicht aus, wenn dies vorteilhaft ist. Zum Beispiel können das IPSec und dessen zugeordnete Schlüsselverwaltung bei kleineren Konfigurationen immer noch gemeinsam in derselben Vorrichtung untergebracht sein. Dies kann durch Umschalten eines entfernten Kommunikationskanals auf einen lokalen geschehen. Die Umschaltung ist für die Anwendungen transparent, wodurch Entwicklungsaufwand minimiert und Flexibilität erhöht werden.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN:
- Die beigefügten Zeichnungen, die aufgenommen sind, um für ein weitergehendes Verständnis der Erfindung zu sorgen und einen Teil dieser Spezifikation darstellen, veranschaulichen Ausführungsformen der Erfindung und helfen zusammen mit der Beschreibung die Prinzipien der Erfindung zu erklären. In den Zeichnungen:
-
1 ist ein Blockdiagramm, das ein System gemäß einer Ausführungsform der Erfindung veranschaulicht; und -
2 veranschaulicht ein Verfahren gemäß einer Ausführungsform der Erfindung. - DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN:
- Nun wird detailliert Bezug auf die Ausführungsformen der Erfindung genommen, von denen Beispiele in den beigefügten Zeichnungen veranschaulicht sind.
-
1 veranschaulicht ein System zur entfernten und transparenten Verwaltung von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit gemäß einer Ausführungsform der Erfindung. Bei der beispielhaften Ausführungsform der Erfindung, die in1 dargestellt ist, umfasst das System zwei Anwendungsvorrichtungen APP_DEV_1 und APP_DEV_2. Die Anwendungsvorrichtung APP_DEV_1 umfasst einen Verwaltungs-Client MNG_CL_1 zum Ausgeben von Sicherheitszuordnungsverwaltungsanfragen, wohingegen die Anwendungsvorrichtung APP_DEV_2 zwei Verwaltungs-Clients MNG_CL_2 und MNG_CL_3 umfasst. Die von den Verwaltungs-Clients MNG_CL_1, MNG_CL_2 und MNG_CL_3 ausgegebenen Sicherheitszuordnungsverwaltungsanfragen umfassen Anfragen zum Hinzufügen von Sicherheitszuordnungen, Anfragen zum Löschen von Sicherheitszuordnungen und/oder Anfragen zum Abfragen von Sicherheitszuordnungen. Bei der beispielhaften Ausführungsform der Erfindung, die in1 dargestellt ist, nutzen die Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 jeweils ein anderes Sitzungsschlüsselverwaltungsprotokoll. - Internet-Protokoll-Sicherheit wird typischerweise zum Beispiel von einem IP-Multimedia-Teilsystem (IMS) eines Telekommunikationsnetzwerks genutzt, das auf einem 3GPP-System basiert. In solch einem Fall kann ein Nutzergerät (nicht dargestellt) mit der Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 unter Verwendung eines Schlüsselverwaltungsprotokolls kommunizieren, und das Endergebnis dieser Kommunikation wird dann von der Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 an die Dienstevorrichtung SRV_DEV weitergeleitet. Somit kann in diesem Fall die Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 einen Server-Teil des Schlüsselverwaltungsprotokolls ausführen, wohingegen das Nutzergerät einen Client-Teil des Schlüsselverwaltungsprotokolls ausführen kann. Das Nutzergerät kann seine eigenen lokalen Mechanismen verwenden, um das Endergebnis zu seinem eigenen IPSec-Dienst zu kommunizieren.
- Bei der in
1 dargestellten beispielhaften Ausführungsform der Erfindung umfasst das System des Weiteren eine Dien stevorrichtung SRV_DEV. Die Dienstevorrichtung SRV_DEV umfasst eine Diensteeinrichtung für Internet-Protokoll-Sicherheit IPSEC, um einen oder mehrere Internet-Protokoll-Sicherheits-Dienste bereitzustellen. Die Dienstevorrichtung SRV_DEV umfasst des Weiteren einen Verwaltungsserver MNG_SRV, um die ausgegebenen Anfragen zu empfangen und um in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit IPSEC auf die empfangenen Anfragen zu antworten. Das System umfasst des Weiteren ein Kommunikationsnetzwerk CN zur Verbindung der Anwendungsvorrichtungen mit der Dienstevorrichtung. - Bei der beispielhaften Ausführungsform der Erfindung, die in
1 dargestellt ist, umfassen die Anwendungsvorrichtungen APP_DEV_1 und APP_DEV_2 jeweils des Weiteren eine Schnittstelleneinrichtung IF zum Bereitstellen einer Schnittstelle, über die die Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 und der Verwaltungs-Server MNG_SRV miteinander kommunizieren. Des Weiteren umfasst bei der in1 dargestellten beispielhaften Ausführungsform der Erfindung die Schnittstelleneinrichtung IF Datenstrukturen (nicht dargestellt), die bei Kommunikation zwischen den Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 und dem Verwaltungs-Server MNG_SRV verwendet werden, und die Schnittstelleneinrichtungen IF werden jeweils als Software-Bibliothek (nicht dargestellt) implementiert, die entweder dynamisch oder statisch in einen Verwaltungs-Client eingebunden sein kann. - Des Weiteren sind bei der beispielhaften Ausführungsform der Erfindung, die in
1 dargestellt ist, die Schnittstelleneinrichtung IF jeweils ausgelegt, um Sockel zur Kommunikation mit dem Verwaltungs-Server MNG_SRV zu verwenden, und die Diensteeinrichtung IPSEC für Internet-Protokoll-Sicherheit und der Verwaltungs-Server MNG_SRV sind für die Verwendung eines lokalen Kommunikationskanals zur Kommunikation miteinander ausgelegt. - Bevorzugt wird des Weiteren, wie in
1 dargestellt, ein in das System gelangender externer IP-Verkehr EXT über die Dienstevorrichtung SRV_DEV geleitet. -
2 veranschaulicht ein Verfahren zum entfernten und transparenten Verwalten von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit gemäß einer Ausführungsform der Erfindung. - Ein oder mehrere Internet-Protokoll-Sicherheitsdienste werden in einer Dienstevorrichtung bereitgestellt, Phase
20 . Sicherheitszuordnungsverwaltungsanfragen werden von einer oder mehreren Anwendungsvorrichtungen ausgegeben, Phase21 . Die Anwendungsvorrichtungen wurden mit der Dienstevorrichtung durch ein Kommunikationsnetzwerk sicher verbunden. - Die ausgegebenen Anfragen werden in der Dienstevorrichtung empfangen, Phase
22 . In der Dienstevorrichtung wird auf die empfangenen Anfragen in Verbindung mit den bereitgestellten Internet-Protokoll-Sicherheitsdiensten reagiert, Phase23 . - Bei der beispielhaften Ausführungsform der Erfindung, die in
2 dargestellt ist, werden die Sicherheitszuordnungsverwaltungsanfragen, die von einer Anwendungsvorrichtung ausgegeben werden, und/oder korrespondierende Antworten über eine Schnittstelle, die der Anwendungsvorrichtung zugeordnet ist, übermittelt. - Es ist für einen Fachmann auf dem Gebiet offensichtlich, dass mit dem Technologiefortschritt die grundlegende Idee der Erfindung auf verschiedene Arten implementiert werden kann. Die Erfindung und ihre Ausführungsformen sind somit nicht auf die oben beschriebenen Beispiele beschränkt, sondern können stattdessen innerhalb des Umfangs der Ansprüche variieren. FIGURENLEGENDE ZU FIG. 2:
ENGLISCH: DEUTSCH: Provide IPSec services Stelle Dienste für Internet- Protoll-Sicherheit bereit Issue SA Management Gib Sicherheitszuordnungs requests from one or verwaltungsanfragen von einer more application devices oder mehreren Anwendungs vorrichtungen aus Receive the SA Management Empfange die Sicherheitszuord requests in a service nungsverwaltungsanfragen in device einer Dienstevorrichtung Respond to the SA Antworte auf die Sicherheits Management requests in zuordnungsverwaltungsanfragen the service device in der Dienstevorrichtung
Claims (12)
- System zum entfernten und transparenten Verwalten von Sicherheitszuordnungen für Internet-Protokoll-Sicherheit, wobei das System umfasst: eine Anwendungsvorrichtung (APP_DEV_1); eine Dienstevorrichtung (SRV_DEV) mit einer Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) zum Bereitstellen von einem oder mehreren Internet-Protokoll-Sicherheits-Diensten, wobei die Internet-Protokoll-Sicherheits-Dienste wenigstens einen eines Authentifizierungs- und Verschlüsselungsdienstes aufweisen; ein Kommunikationsnetzwerk (CN) zum Verbinden der Anwendungsvorrichtung (APP_DEV_1) mit der Dienstevorrichtung (SRV_DEV); und einer Sicherheitszuordnungsverwaltungsanwendungseinrichtung, die konfiguriert ist, Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheits-Diensten zu erzeugen und mit einem Sitzungsschlüsselverwaltungsprotokoll zu verwalten; dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanwendungseinrichtung wenigstens einen Verwaltungs-Client (MNG_CL_1), der in der Anwendungsvorrichtung (APP_DEV_1) angeordnet ist, und einen Verwaltungs-Server (MNG_SRV) umfasst, der in der Dienstevorrichtung (SRV_DEV) angeordnet ist, wobei der wenigstens eine Verwaltungs-Client (MNG_CL_1) konfiguriert ist, Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen auszugeben und der Verwaltungs-Server (MNG_SRV) konfiguriert ist, die ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen zu empfangen und auf diese in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) zu antworten.
- System nach Anspruch 1, dadurch gekennzeichnet, dass die Anwendungsvorrichtung (APP_DEV_1) ferner eine Schnittstelleneinrichtung (IF) umfasst, um für eine Schnittstelle zur Kommunikation zwischen dem wenigstens einen Verwaltungs-Client (MNG_CL_1), der der Anwendungsvorrichtung (APP_DEV_1) zugeordnet ist, und dem Verwaltungs-Server (MNG_SRV) bereitzustellen.
- System nach Anspruch 1, dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanfragen wenigstens eine von Ergänzungsanfragen zum Ergänzen von Sicherheitszuordnungen, Löschanfragen zum Löschen von Sicherheitszuordnungen und Abfrageanfragen für Abfragen über Sicherheitszuordnungen aufweisen.
- System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) ausgelegt ist, Sockets zur Kommunikation mit dem Verwaltungs-Server (MNG_SRV) zu verwenden.
- System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) Datenstrukturen aufweist, die bei Kommunikation zwischen dem Verwaltungs-Client (MNG_CL_1) und dem Verwaltungs-Server (MNG_SRV) verwendet werden.
- System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) als Software-Bibliothek implementiert ist, die dynamisch oder statisch mit einem entsprechenden Verwaltungs-Client (MNG_CL_1) verknüpft ist.
- System nach Anspruch 1, dadurch gekennzeichnet, dass die Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) und der Verwaltungs-Server (MNG_SRV) ausgelegt sind, einen lokalen Kommunikationskanal zur Kommunikation zwischen der Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) und dem Verwaltungs-Server (MNG_SRV) zu verwenden.
- System nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens eine Anwendungsvorrichtung (APP_DEV_2) zwei oder mehr Verwaltungs-Clients (MNG_CL_2, MNG_CL_3) umfasst, wobei wenigstens zwei der Verwaltungs-Clients (MNG_CL_2, MNG_CL_3) ausgelegt sind, unterschiedliche Sitzungsschlüsselverwaltungsprotokolle zu verwenden.
- System nach Anspruch 1, dadurch gekennzeichnet, dass das Kommunikationsnetzwerk (CN) ein lokales Netzwerk umfasst.
- Verfahren zum entfernten und transparenten Verwalten von Sicherheitszuordnungen für Internet-Protokoll-Sicherheit, wobei das Verfahren den Schritt umfasst: Bereitstellen von einem oder mehreren Internet-Protokoll-Sicherheits-Diensten in einer Dienstevorrichtung, wobei die bereitgestellten Dienste wenigstens einen eines Authentifizierungs- und Verschlüsselungsdienstes (
20 ) aufweisen; dadurch gekennzeichnet, dass das Verfahren ferner die Schritte umfasst: Ausgeben von Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen von einer Anwendungsvorrichtung mit einem Sitzungsschlüsselverwaltungsprotokoll, wobei die zu erzeugenden und zu verwaltenden Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheits-Diensten dienen, und die Anwendungsvorrichtung mittels eines Kommunikationsnetzwerks (21 ) mit der Dienstevorrichtung verbunden ist; Empfangen der von der Anwendungsvorrichtung (22 ) ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen in der Dienstevorrichtung; Antworten auf die in der Dienstevorrichtung (23 ) empfangenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen in Verbindung mit einem Internet-Protokoll-Sicherheits-Dienst. - Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass wenigstens eine der von einer Anwendungsvorrichtung ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen und entsprechende Antworten über eine der Anwendungsvorrichtung zugeordneten Schnittstelle kommuniziert werden.
- Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanfragen wenigstens eine von Ergänzungsanfragen zum Ergänzen von Sicherheitszuordnungen, Löschanfragen zum Löschen von Sicherheitszuordnungen und Abfrageanfragen für Abfragen über Sicherheitszuordnungen aufweisen.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20031361A FI20031361A0 (fi) | 2003-09-22 | 2003-09-22 | IPSec-turva-assosiaatioiden kaukohallinta |
FI20031361 | 2003-09-22 | ||
PCT/FI2004/000473 WO2005029811A1 (en) | 2003-09-22 | 2004-08-10 | Remote ipsec security association management |
Publications (2)
Publication Number | Publication Date |
---|---|
DE602004012295D1 DE602004012295D1 (de) | 2008-04-17 |
DE602004012295T2 true DE602004012295T2 (de) | 2009-03-26 |
Family
ID=27839024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE602004012295T Active DE602004012295T2 (de) | 2003-09-22 | 2004-08-10 | Fernverwaltung von ipsec-sicherheitsassoziationen |
Country Status (8)
Country | Link |
---|---|
US (1) | US20050066159A1 (de) |
EP (1) | EP1665725B1 (de) |
JP (1) | JP4324197B2 (de) |
CN (1) | CN100542169C (de) |
AT (1) | ATE388571T1 (de) |
DE (1) | DE602004012295T2 (de) |
FI (1) | FI20031361A0 (de) |
WO (1) | WO2005029811A1 (de) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100369430C (zh) * | 2005-06-21 | 2008-02-13 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
US7774837B2 (en) * | 2006-06-14 | 2010-08-10 | Cipheroptics, Inc. | Securing network traffic by distributing policies in a hierarchy over secure tunnels |
US20080222693A1 (en) * | 2006-08-08 | 2008-09-11 | Cipheroptics, Inc. | Multiple security groups with common keys on distributed networks |
US8082574B2 (en) * | 2006-08-11 | 2011-12-20 | Certes Networks, Inc. | Enforcing security groups in network of data processors |
US20080072281A1 (en) * | 2006-09-14 | 2008-03-20 | Willis Ronald B | Enterprise data protection management for providing secure communication in a network |
US20080072033A1 (en) * | 2006-09-19 | 2008-03-20 | Mcalister Donald | Re-encrypting policy enforcement point |
US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
US8607301B2 (en) * | 2006-09-27 | 2013-12-10 | Certes Networks, Inc. | Deploying group VPNS and security groups over an end-to-end enterprise network |
US8284943B2 (en) * | 2006-09-27 | 2012-10-09 | Certes Networks, Inc. | IP encryption over resilient BGP/MPLS IP VPN |
US8046820B2 (en) * | 2006-09-29 | 2011-10-25 | Certes Networks, Inc. | Transporting keys between security protocols |
US8104082B2 (en) * | 2006-09-29 | 2012-01-24 | Certes Networks, Inc. | Virtual security interface |
US20080162922A1 (en) * | 2006-12-27 | 2008-07-03 | Swartz Troy A | Fragmenting security encapsulated ethernet frames |
US7864762B2 (en) * | 2007-02-14 | 2011-01-04 | Cipheroptics, Inc. | Ethernet encryption over resilient virtual private LAN services |
CN101626374B (zh) | 2008-07-11 | 2013-08-28 | 成都市华为赛门铁克科技有限公司 | IPv6网络中协商SA的方法、系统和设备 |
CN102420755B (zh) * | 2011-11-29 | 2014-12-03 | 华为技术有限公司 | 一种数据报文的传输处理方法、通信设备及系统 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6948070B1 (en) * | 1995-02-13 | 2005-09-20 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
US6173399B1 (en) * | 1997-06-12 | 2001-01-09 | Vpnet Technologies, Inc. | Apparatus for implementing virtual private networks |
US6226751B1 (en) * | 1998-04-17 | 2001-05-01 | Vpnet Technologies, Inc. | Method and apparatus for configuring a virtual private network |
US6760444B1 (en) * | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
US6636898B1 (en) * | 1999-01-29 | 2003-10-21 | International Business Machines Corporation | System and method for central management of connections in a virtual private network |
GB2357227B (en) * | 1999-12-08 | 2003-12-17 | Hewlett Packard Co | Security protocol |
US6631416B2 (en) * | 2000-04-12 | 2003-10-07 | Openreach Inc. | Methods and systems for enabling a tunnel between two computers on a network |
FI110558B (fi) * | 2000-05-24 | 2003-02-14 | Nokia Corp | Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi |
EP1320956A4 (de) * | 2000-08-04 | 2006-06-21 | First Data Corp | System für eine vertrauenswürdige digitale authentifizierungssignatur (tads) |
US6772226B1 (en) * | 2000-08-15 | 2004-08-03 | Avaya Technology Corp. | VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster |
US7426566B2 (en) * | 2001-01-17 | 2008-09-16 | International Business Machines Corporation | Methods, systems and computer program products for security processing inbound communications in a cluster computing environment |
US20020157024A1 (en) * | 2001-04-06 | 2002-10-24 | Aki Yokote | Intelligent security association management server for mobile IP networks |
US7099912B2 (en) * | 2001-04-24 | 2006-08-29 | Hitachi, Ltd. | Integrated service management system |
US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
US20030031151A1 (en) * | 2001-08-10 | 2003-02-13 | Mukesh Sharma | System and method for secure roaming in wireless local area networks |
US7370352B2 (en) * | 2001-09-06 | 2008-05-06 | Intel Corporation | Techniques for storing and retrieving security information corresponding to cryptographic operations to support cryptographic processing for multiple network traffic streams |
KR100470915B1 (ko) * | 2001-12-28 | 2005-03-08 | 한국전자통신연구원 | Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 |
US7181612B1 (en) * | 2002-01-17 | 2007-02-20 | Cisco Technology, Inc. | Facilitating IPsec communications through devices that employ address translation in a telecommunications network |
US6807636B2 (en) * | 2002-02-13 | 2004-10-19 | Hitachi Computer Products (America), Inc. | Methods and apparatus for facilitating security in a network |
US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
US7231664B2 (en) * | 2002-09-04 | 2007-06-12 | Secure Computing Corporation | System and method for transmitting and receiving secure data in a virtual private group |
US7774495B2 (en) * | 2003-02-13 | 2010-08-10 | Oracle America, Inc, | Infrastructure for accessing a peer-to-peer network environment |
-
2003
- 2003-09-22 FI FI20031361A patent/FI20031361A0/fi unknown
- 2003-11-25 US US10/720,054 patent/US20050066159A1/en not_active Abandoned
-
2004
- 2004-08-10 CN CNB2004800272975A patent/CN100542169C/zh not_active Expired - Fee Related
- 2004-08-10 WO PCT/FI2004/000473 patent/WO2005029811A1/en active IP Right Grant
- 2004-08-10 EP EP04742216A patent/EP1665725B1/de not_active Not-in-force
- 2004-08-10 AT AT04742216T patent/ATE388571T1/de not_active IP Right Cessation
- 2004-08-10 DE DE602004012295T patent/DE602004012295T2/de active Active
- 2004-08-10 JP JP2006527431A patent/JP4324197B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
WO2005029811A1 (en) | 2005-03-31 |
ATE388571T1 (de) | 2008-03-15 |
US20050066159A1 (en) | 2005-03-24 |
DE602004012295D1 (de) | 2008-04-17 |
FI20031361A0 (fi) | 2003-09-22 |
EP1665725A1 (de) | 2006-06-07 |
JP2007506202A (ja) | 2007-03-15 |
EP1665725B1 (de) | 2008-03-05 |
CN1856977A (zh) | 2006-11-01 |
JP4324197B2 (ja) | 2009-09-02 |
CN100542169C (zh) | 2009-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004012295T2 (de) | Fernverwaltung von ipsec-sicherheitsassoziationen | |
DE602005000025T2 (de) | Verfahren und Anordnung für den Betrieb eines offenen Netzwerks mit einem Proxy | |
DE60133241T2 (de) | Mehranwendung-sicherheitsrelais | |
DE69734189T2 (de) | Verteiltes Netzwerkrechnersystem und Datenaustauschgerät | |
DE60111089T2 (de) | Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls | |
DE102008011191A1 (de) | Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System | |
DE102006054399A1 (de) | Sicheres Gateway mit Alarmmanager und Unterstützung für eingehend föderierte Identität | |
DE60316649T2 (de) | Konferenzanwendung die keinen bestimmten Verbindungsport verwendet | |
DE10330079B4 (de) | Router und Verfahren zur Aktivierung eines deaktivierten Computers | |
DE10240875A1 (de) | Sicheres Referenzdrucken unter Verwendung persönlicher elektronischer Geräte | |
EP2575385B1 (de) | Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät | |
DE112009001207T5 (de) | Kenntnisverteilung | |
DE10024347B4 (de) | Sicherheitsservice-Schicht | |
DE10316236A1 (de) | Verfahren und Anordnung zur Konfiguration einer Einrichtung in einem Datennetz | |
EP3537654B1 (de) | Verfahren und system zum ermitteln einer konfiguration einer schnittstelle | |
DE102009031143B3 (de) | Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats | |
EP1458161A1 (de) | Verfahren und Vorrichtung für die Interoperabilität zwischen den Präsenz-Services gemäss dem Wireless Village Standard und dem IP Multimedia Subsystem Standard | |
DE19843324C2 (de) | Verfahren und Vorrichtung zum Managen von mindestens einem Netzwerkelement in einem Telekommunikationsnetzwerk | |
DE102020113257A1 (de) | Policy management system zur bereitstellung von autorisierungsinformationen über den distributed data store | |
WO2002067532A1 (de) | Verfahren zur übertragung von daten, proxy-server und datenübertragungssystem | |
EP2723111B1 (de) | Mehrfaktor-Authentifikation für mobile Endgeräte | |
DE19928017A1 (de) | Dienststeuerplattform | |
DE60316757T2 (de) | System zur automatischen Verwaltung von Netzwerkgeräten | |
DE102004017698A1 (de) | SCADA-System | |
EP1117036A2 (de) | Verfahren und Vorrichtung zum Zugriff auf ein Ad-hoc-Telekommunikationsnetz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |