DE60212289T2 - Verwaltung privater virtueller Netze (VPN) - Google Patents

Verwaltung privater virtueller Netze (VPN) Download PDF

Info

Publication number
DE60212289T2
DE60212289T2 DE60212289T DE60212289T DE60212289T2 DE 60212289 T2 DE60212289 T2 DE 60212289T2 DE 60212289 T DE60212289 T DE 60212289T DE 60212289 T DE60212289 T DE 60212289T DE 60212289 T2 DE60212289 T2 DE 60212289T2
Authority
DE
Germany
Prior art keywords
vpn
vip
configuration
configurations
centralized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60212289T
Other languages
English (en)
Other versions
DE60212289D1 (de
Inventor
Mika Jalava
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Publication of DE60212289D1 publication Critical patent/DE60212289D1/de
Application granted granted Critical
Publication of DE60212289T2 publication Critical patent/DE60212289T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

  • Die vorliegende Erfindung betrifft allgemein virtuelle private Netze (VPN) und insbesondere die Verwaltung von VPNs.
  • Öffentliche Netze werden gegenwärtig mehr oder weniger für empfindliche und übertragungskritische Kommunikationen benutzt, und die internen Netze der verschiedenen Organisationen und Unternehmen sind heutzutage an die öffentlichen Netze angeschlossen, zu denen auch das Internet gehört. Da die grundlegenden Mechanismen der öffentlichen Netze ursprünglich nicht für geheime und vertrauliche Mitteilungen geschaffen wurden, sind öffentliche Netze unzuverlässige Netze.
  • Virtuelle private Netze (VPN) dienen gewöhnlich dazu, vertrauenswürdige Parteien über ein unzuverlässiges öffentliches Netz durch einen Sicherheitstunnel miteinander zu verbinden. Der ganze von einer ersten Partei stammenden Verkehr zu einer zweiten Partei wird in einem Sicherheitsübergang der ersten Partei verschlüsselt und in verschlüsselter Form über das öffentliche Netz zu der zweiten Partei gesendet, wo die übermittelten Daten in einem Sicherheitsübergang entschlüsselt und danach dem Empfänger übermittelt werden. Das VPN ist typisch transparent für die Prozesse, die untereinander kommunizieren, und die Verschlüsselung und Entschlüsselung hängen von der Konfiguration des VPN zwischen den Parteien ab. Die Sicherheitsübergänge müssen jedoch in Informationen über die Konfiguration des anderen Endes des VPN haben, um in der Lage zu sein, den Verkehr korrekt zu verschlüsseln und zu entschlüsseln. Die Konfiguration betrifft Dinge wie Adressierung, Verschlüsselungsalgorithmus und Schlüsselinformation des Sicherheitsübergangs am anderen Ende. Die Konfiguration der Information wird gewöhnlich zwischen den Administratoren der verschiedenen Orte telefonisch oder mit Hilfe anderer herkömmlicher Kommunikationssysteme übermittelt. Die Administratoren geben dann die Konfiguration in die Sicherheitsübergänge ihrer Orte ein, um die VPN-Verbindungen zwischen den Orten herzustellen.
  • Die aktuellen Verschlüsselungsschlüssel werden bei VPN-Kommunikation ausgetauscht, jedoch muß die Konfiguration, die zur Herstellung der VPN-Verbindung erforderlich ist, durch gewisse andere Maßnahmen übermittelt werden. Kositpaiboon R. et al. "Customer network management for B-ISDN/ATM services"; Proceedings of the International Conference on Communications (ICC), Genf, 23.–26. Mai 1993; New York, IEEE, US, Ausgabe 3, 23. Mai 1993, Seiten 1–7, XP010136856 ISBN: 0-7803-0950-2, beschreibt ein Klienten Netzwerk Management for ATM-Netzwerke.
  • Große VPNs sind kompliziert und umständlich zu verwalten. Das Auf-dem-laufenden-Halten der Information über die Struktur des VPN an jedem Ort bzw. Ort (Netz oder Gruppe von Netzen, die mit dem VPN verbunden sind) ist problematisch, jedoch absolut erforderlich. Jeder Ort muß für alle anderen Orte die richtige Konfiguration haben, um mit ihnen kommunizieren zu können. In großen VPNs können Dutzende oder Hunderte von Orten vorhanden sein, und die Konfiguration kann sich zeitlich ziemlich häufig ändern, und wenn die Konfiguration eines VPN-Ortes sich ändert, müssen alle Orte angepaßt werden. Das heißt, der Administrator der Orte, die ihre Konfiguration ändern, muß mit den Administratoren aller anderen Orte in Verbindung treten und ihnen die Änderungen mitteilen, weshalb sie ihre Sicherheitsübergänge umgestalten müssen.
  • 1 zeigt ein Beispiel für eine Netztopologie mit vier Orten 101104, die miteinander mit Hilfe von VPNs kommunizieren können. Die Orte 101104 sind mit dem Internet 100 über Sicherheitsübergänge 105108 verbunden. Jeder Sicherheitsübergang wird durch einen platzspezifischen Verwaltungsserver 109112 verwaltet, der sich gewöhnlich an dem entsprechenden Ort befindet, und jeder Ort ist mit einer VPN-Konfigurationsinformation für alle Orte sowie der Konfiguration des Ortes selbst ausgestattet. Für den Fall, daß der Sicherheitsübergang wie ein Firewall arbeitet, wird natürlich die Firewall-Konfiguration (Zugangsregeln) der Sicherheitsübergänge für die anderen Orte nicht verdoppelt.
  • Ein Vorschlag für die Verwaltung großer VPNs ist ein sternartiges VPN, bei dem eine zentrale "Nabe" wie ein VPN-Richtungsgeber arbeitet. Jeder Ort steht mit der Nabe in Verbindung, die die Pakete entschlüsselt und dann von neuem verschlüsselt, so daß sie von der Nabe mit dem Zielort verbunden werden können. Auf diese Weise benötigen die VPN-Orte nicht die up-to-date-VPN-Information aller anderen Orte. Statt dessen reicht die Verbindung mit der zentralen Nabe aus.
  • 2 zeigt die Netztypologie von 1 in Verbindung mit dem sternähnlichen VPN. Die Orte weisen nunmehr nur die VPN-Konfiguration des Ortes selbst und einer zentralen Nabe 200 auf. Die zentrale Nabe enthält die VPN-Konfiguration aller Orte in der Konfiguration, und die Orte sind über die zentrale Nabe miteinander verbunden.
  • Der Nachteil des sternähnlichen VPN besteht darin, daß an der Nabe eine Prozeßenergie erforderlich ist. Der Sicherheitsübergang an jedem Ort weist noch dieselbe Verschlüsselungsbelastung auf wie bei dem üblichen verteilten VPN, jedoch ist die Belastung der Nabe tatsächlich gleich der Summe der Belastungen an allen Orten. Bei großen VPNs läßt sich dies nur schwer oder unmöglich erreichen und in jedem Fall ist es sehr teuer. Darüber hinaus sind die in den VPNs übermittelten Daten in der Nabe in Klartextform, wodurch augenscheinlich ein Sicherheitsrisiko gegeben ist.
  • Wenn alle Orte, die zu einem VPN gehören, dieselbe Organisation aufweisen, besteht die Möglichkeit, sie mit Hilfe vorhandener Werkzeuge zentral zu verwalten. In diesem Fall werden alle Aspekte der Sicherheitsübergänge, einschließlich der Zugangssteuerungskonfiguration, von einem zentralen Ort aus verwaltet, siehe beispielsweise US-A-6 079 020. Die Orte jedoch, die mit einem VPN verbunden sind, sind nicht immer Orte einer Partei, sondern viele unterschiedliche Organisationen können den Wunsch haben, zwischen sich ein VPN zu errichten. Es versteht sich, daß eine solche zentrale Verwaltung aller Aspekte der Sicherheitsübergänge nicht geeignet ist, wenn verschiedene Organisationen involviert sind. Daher soll ein neuer Weg gefunden werden, die VPNs von mehr als einer Organisation und insbesondere von großen VPNs zu verwalten.
  • Eine Aufgabe der Erfindung besteht deshalb darin, ein Verfahren, ein System, eine VPN-Einrichtung, eine VPN-Informations-Provider-Vorrichtung, ein erstes und ein zweites computerlesbares Medium sowie einen ersten und einen zweiten computerlesbaren Code zur Verwaltung von VPN-Einrichtungen zu schaffen, mit dem alle o. g. Probleme vermieden oder zumindest verkleinert werden. Diese Aufgabe wird erfindungsgemäß gelöst, wie in den unabhängigen Ansprüchen beschrieben. Bevorzugte Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen beschrieben. Die Merkmale eines unabhängigen Anspruchs können des weiteren mit den in einem anderen unabhängigen Anspruch beschriebenen Merkmalen, wie dargestellt, kombiniert werden, um weitere Ausführungsformen der Erfindung zu schaffen.
  • Der Erfindungsgedanke besteht darin, eine zentralisierte VPN-Verwaltung mehrerer VPN-Orte mit Hilfe eines VPN-Informations-Providers (VIP) zu schaffen. Das Sicherheitsübergänge- (oder andere VPN-Einrichtungen) Management wird so verteilt, daß wenigstens ein Teil der VPN-Konfiguration (insbesondere derjenige Teil, der die Ortadressierung betrifft, verwendet bei Verschlüsselungsalgorithmen und Schlüsselverwaltung), zentral verwaltet wird, ohne die Kontrolle über die Firewall-Regelbasis oder einer anderen kritischen lokalen Konfiguration, die für die Übergangssicherung benutzt wird, aufzugeben. Es können mehrere VPNs von unterschiedlichen VIPs gehandhabt werden, so daß eine Organisation, die die Erfindung benutzt, mit mehreren unabhängigen VPNs flexibel in Verbindung treten kann.
  • Der erfindungsgemäße VIP ist eine Partei gegenseitigen Vertrauens, bei der die Parteien, die ein VPN kontaktieren, willens sind, Konfigurationsinformationen zu akzeptieren.
  • Die Erfindung betrifft in erster Hinsicht ein Verfahren zum Verwalten von VPN-Einrichtungen, dessen Merkmale im Anspruch 1 gekennzeichnet sind.
  • Die Konfiguration wenigstens einer anderer VPN-Einrichtung läßt sich direkt für die erste VPN-Einrichtung schaffen oder über wenigstens ein anderes Verwaltungssystem.
  • Die VPN-eigene Konfiguration einer vorhandenen VPN-Einrichtung läßt sich in dem VIP oder einem anderen Verwaltungssystem definieren, von dem aus die Konfiguration für das VIP zu Aufrechterhaltungszwecken geschaffen wird.
  • Die Schaffung der Konfiguration bzw. Konfigurationen anderer VPN-Einrichtungen für eine VPN-Einrichtung läßt sich dadurch bewirken, daß an eine erste VPN-Einrichtung, die zu der ersten VPN gehört, eine Information über die VPN-Konfigurationen gesandt wird, die im VIP enthalten sind und daß von dem ersten VIP eine VPN-Konfiguration eines anderen Sicherheitsübergangs verlangt wird, falls erforderlich, die zu der ersten VPN gehört. Diese Information über die VPN-Konfigurationen, welche im VIP enthalten sind, kann beispielsweise ein Adressensatz sein, der sich in dem ersten VPN befindet. (Der Adressensatz kann eine einzelne Adressenreihe oder mehrere Adressenreihen sein, die sich auf unterschiedliche Orte, welche im VPN enthalten sind, beziehen.) In diesem Fall betrifft die Anforderung von der ersten VPN-Einrichtung eine Adresse, die im ersten VPN enthalten ist sowie die Anforderung, daß eine andere VPN-Einrichtung im VIP identifiziert wird, in dem eine VPN-Einrichtung gefunden wird, die sich auf diese Adresse bezieht. Diese Information über Konfigurationen, d. h. der Adressensatz, kann an die VPN-Einrichtungen übermittelt werden, nachdem eine Änderung im Adressensatz, der im ersten VPN enthalten ist, stattgefunden hat oder nachdem eine vorbestimmte Zeit vergangen ist, seitdem die Information zuletzt ausgesendet worden ist.
  • Alternativ dazu kann der VIP an VPN-Einrichtungen geschickt werden, die zu dem ersten VPN und VPN-Konfigurationen gehören, welche im VIP enthaften sind, so daß die Konfigurationen in den VPN-Einrichtungen schnell zugänglich sind, falls dies notwendig sein sollte. Die in dem VIP vorhandenen VPN-Konfigurationen können beispielsweise verschickt werden, nachdem eine neue VPN-Konfiguration dem VIP hinzugefügt worden ist, nachdem eine alte VPN-Konfiguration aus dem VIP entfernt worden ist, nachdem eine VPN-Konfiguration wenigstens einer VPN-Einrichtung im VIP geändert worden ist oder nachdem eine bestimmte Zeitspanne vergangen ist, seitdem die Konfigurationen letztmalig übermittelt worden sind. Daß heißt, alle Änderungen müssen sofort den VPN-Einrichtungen zugeführt werden.
  • In jedem der obigen Fälle kann der VIP nur Änderungen oder Zusätze zur Information oder Konfigurationen absenden, die vorher übermittelt worden sind (inkrementales Abdaten) oder alle zur Verfügung stehenden Informationen oder Konfigurationen (vollständiges Abdaten).
  • Erfindungsgemäß wird die ganze Verschlüsselungs-/Entschlüsselungsbelastung den Firewalls oder Sicherheitsübergängen zugeordnet, die die Orte schützen, während die VPN-Verwaltung mit Hilfe der VIPs zentralisiert wird, um an jedem Ort eine folgerichtige Konfiguration zu erreichen. Es gibt auch keinen zentralen Ort, wo der ganze Verkehr in Klartextform vorliegt wie in der zentralen Nabenanordnung, so daß die Kommunikation sicherer ist als bei einer sternartigen Struktur.
  • Das erfindungsgemäße Verfahren ermöglicht eine flexible Verwaltung eines VPN zwischen mehreren autonomen Organisationen. Dazu kommt, daß die VPN-Verwaltung als Dienstleistung etabliert wird. Daß heißt, die Erfindung bietet den MSPs (gemanagter Service-Provider) eine Möglichkeit, mit Hilfe der VIPs einen neuartigen Service zu schaffen. Die VPN-Konfiguration wird unabhängig von anderen Konfigurationsinformationen verwaltet und deshalb kann die Verwaltung der VPN-Konfiguration mit Sicherheit außer Haus stattfinden und eine Organisation leicht mit unterschiedlichen VPNs verbunden werden, die durch mehrere unterschiedliche VIPs verwaltet werden.
  • Diese und andere Merkmale der Erfindung sowie dadurch gegebene Vorteile werden im folgenden anhand von Ausführungsbeispielen unter Bezug auf die Zeichnungen näher erläutert. In der Zeichnung zeigen:
  • 1 ein Beispiel einer Netztopologie;
  • 2 eine sternartige VPN-Topologie;
  • 3, 4 und 5 erfindungsgemäße Netztopologiebeispiele;
  • 6 ein Fließbild der Verwaltung von VPN-Einrichtungen für eine erfindungsgemäße Ausführung;
  • 7 ein Fließbild der Verwaltung von VPN-Einrichtungen für eine andere erfindungsgemäße Ausführung; und
  • 8 ein Fließbild, das die Handhabung der VPN-Konfiguration in einer VPN-Einrichtung bei einer weiteren erfindungsgemäßen Ausführungsform zeigt.
  • Die 1 und 2 sind im einzelnen oben in Verbindung mit dem Stand der Technik diskutiert worden.
  • Die folgende Beschreibung der Erfindung bezieht sich hauptsächlich auf ein VPN, das mit einer Firewall verwirklicht werden kann. Das erfindungsgemäße Verfahren läßt sich jedoch auch bei beliebigen Sicherheitsübergänge ohne Firewallfunktion sowie bei einer VPN-Kundenlösung anwenden, die eine VPN-Verbindung für eine einzelne (oftmals mobile) Hilfe schafft. Dazu kommt, daß die Erfindung in Verbindung mit dynamischen Sicherheitsübergängen (Schleusen, die keine statische IP-Adresse haben) verwendet werden kann. Daher läßt sich die Erfindung in beliebigen Einrichtungen benutzen, die als Endpunkt eines VPN arbeiten.
  • Gemäß einem Merkmal der Erfindung ist die VPN-eigene Konfiguration Bestandteil eines lokalen Verwaltungssystems oder in einem MSP-Verwaltungssystem verwirklicht, wenn das VPN durch einen MSP verwaltet wird. Die VPN-Konfiguration läßt sich zusammen mit der Zugangsregelkonfiguration der VPN-Einrichtung festlegen, wenn die VPN-Einrichtung als Firewall wirkt. Die VPN-Einrichtung kann jedoch ein einfacher Verschlüsselungs-/Entschlüsselungsendpunkt eines VPN ohne Firewallwirkung sein. Wenn der Ort hinter der VPN-Einrichtung mit beispielsweise VPN1 in Verbindung treten soll, ist die VPN-Konfiguration der VPN-Einrichtung für VIP1, also die verwaltende VPN1 vorgesehen. Alternativ dazu kann die VPN-Konfiguration für den Übergang von dem VIP1 vorgesehen werden.
  • Der VIP1 stattet die VPN-Einrichtung mit VPN-Konfigurationen anderer Endpunkte aus, die zum VPN1 gehören oder mit Informationen über die Konfiguration des VPN1 als Ganzes. Im früheren Fall verwendet die VPN-Einrichtung die Konfiguration normalerweise für die Kommunizierung mit dem VPN1 und dem VIP1 und sorgt dafür, daß die Konfiguration der VPN-Einrichtung up-to-date ist. Im letzteren Fall ertragt die VPN-Einrichtung, falls erforderlich, die aktuelle Konfiguration von dem VIP1.
  • Es sei darauf hingewiesen, daß die erfindungsgemäße Anordnung keine Zugeständnisse an die Sicherheit der VPNs macht, obgleich die VPN-Konfigurationsinformation aller Orte von einem zentralen Punkt (VIP) erhältlich ist. Die Konfiguration weist die Bestätigungsschlüssel der Orte auf, d. h. also der Endpunkte der VPNs, jedoch wird im VPN jede Verbindung mit speziellen Verbindungsschlüsseln verschlüsselt, die zwischen den Kommunikationsplätzen ausgehandelt werden, so daß die Kenntnis des Bestätigungsschlüssels eines Ortes keine Möglichkeit bietet, in eine VPN-Verbindung einzubrechen.
  • 3 zeigt eine beispielhafte Netztopologie gemäß einem Erfindungsmerkmal. Die Orte von 1 sind durch Sicherheitsübergänge 301304 gesichert, die die VPN-Konfiguration, bezogen auf das VPN zwischen den Orten für andere Orte wie beim Stand der Technik aufweisen. Somit übernehmen die Sicherheitsübergänge alle Verschlüsselungsaufgaben. Jetzt haben jedoch die lokalen Verwaltungssysteme 305308 nichts zu tun mit der Schaffung der VPN-Konfiguration der Sicherheitsübergänge. Die VPN-Konfigurationsinformation der Orte wird in die Sicherheitsübergänge von einem VPN-Informations-Provider (VIP) 300 geladen. Es sei hier darauf hingewiesen, daß, obgleich in der Zeichnungsfigur nur ein VIP dargestellt ist, die VPN-Konfiguration für einige andere VPN aus einigen anderen VIP in die Sicherheitsübergänge geladen werden kann und daß die Anzahl der unterschiedlichen VPN-Konfigurationen und verwendeten VIPs nicht beschränkt ist.
  • Sobald sich die Konfiguration eines Ortes ändert, braucht die Änderung nur in dem VIP vorgenommen zu werden, von dem dann die neueste (updated) Konfiguration in die Sicherheitsübergänge aller Orte geladen wird. Der VIP lädt die Konfiguration beispielsweise jedesmal, nachdem eine Änderung in der Konfiguration stattgefunden hat, in die Sicherheitsübergänge. Die Änderung kann ein Hinzutreten oder ein Entfernen eines Ortes oder eine Abänderung einer gewissen Ortkonfiguration betreffen. Dazu kommt, daß der VIP die Konfigurationsinformation an die Sicherheitsübergänge geben kann, nachdem ein bestimmtes Zeitintervall vergangen ist, seitdem die Konfiguration zum letzten Mal an der Sicherheitsübergang gegeben wurde, um dadurch die Möglichkeit auf ein Mindestmaß zu beschränken, daß die Orte keine up-to-date-Konfiguration haben. Die Sicherheitsübergänge verwenden die von dem VIP geladene VPN-Konfiguration in derselben Weise, wie sie die von einem lokalen Verwaltungssystem geladene Konfiguration benutzen würden. Die Sicherheitsübergänge müssen grundsätzlich so gestaltet sein, daß sie die Konfiguration von dem VIP übernehmen können, sonst braucht aber ihr Betrieb nicht geändert zu werden. Die Kommunikation zwischen dem VIP und den Sicherheitsübergänge wird durch einige geeignete Maßnahmen verschlüsselt; so beispielsweise kann dafür das Secure Sockets Layer (SSL)-Protokoll benutzt werden. Dazu kommt, daß einige Teile der Konfiguration der Sicherheitsübergänge, beispielsweise die Konfiguration, die zu den VPNs keinen Bezug hat, und/oder mögliche Zugangsregeln, bezogen auf das VPN, von platzspezifischen, lokalen Verwaltungssystemen 305308 verwaltet werden können.
  • Anstatt die gesamte Konfiguration der Sicherheitsübergänge nach jeder Änderung zu benutzen, braucht der VIP nur die Anzeige zu bedienen, daß die Konfiguration sich geändert hat, und der Sicherheitsübergang kann dann veranlassen, daß die neueste Konfiguration von dem VIP auf den Sicherheitsübergang übertragen wird.
  • 4 zeigt ein Netztopologiebeispiel gemäß einem anderen Erfindungsmerkmal. Hier werden drei Orte mit Hilfe von Sicherheitsübergänge 404406 gesichert, von denen der Sicherheitsübergang 404 von einer lokalen Verwaltung 403 gemanagt wird und die Sicherheitsübergänge 405 und 406 von dem MSP-Verwaltugnssytem 402 gemanagt werden. Natürlich braucht der MSP-Verwaltungs-Anschluß an die Sicherheitsübergänge 405 und 406 nicht über das Internet, wie in der Zeichnungsfigur gezeigt, zu erfolgen, sondern beispielsweise durch eine geleaste Leitung. Die Sicherheitsübergänge der Orte 1 und 2, die im VPN1 zusammenlaufen, sind mit einer Identifikationsinformation für den VIP1 400 versehen (VIP-Identifikation ist auf eine lokale Verwaltung oder ein MSP-Verwaltungssystem beschränkt), wobei diese Information das VPN1 verwaltet. Die Orte empfangen die VPN-Konfiguration für das VPN1 von dem VIP1. Gleichermaßen sind die Sicherheitsübergänge der Orte 2 und 3, die im VPN2 zusammenlaufen, mit einer Identifikationsinformation für VIP2 401 versehen, die das VPN2 verwaltet, und sie empfangen die VPN-Konfiguration für das VPN2 von dem VIP2. Somit hat der Sicherheitsübergang 405 des Ortes 2 die Identifikationsinformation sowohl für den VIP1 als auch für den VIP2. Sobald ein Sicherheitsübergang ein Paket feststellt, das für eine Hilfe in einem VPN bestimmt ist, zu dem der Sicherheitsübergang gehört, klärt der Sicherheitsübergang die VPN-Konfiguration ab, die zur Errichtung eines VPN-Tunnels erforderlich ist, um die Hilfe zu erreichen.
  • In diesem Szenario werden alle VPN-Konfigurationen nicht auf die Sicherheitsübergänge verteilt. Statt dessen fordern die Sicherheitsübergänge die Konfiguration von dem VIP an, wenn sie benötigt wird. Um in der Lage zu sein, die Konfiguration zu erfragen, müssen die Sicherheitsübergänge wissen, von welchem VIP die Frage kommt. Zu diesem Zweck teilen die VIPs den Sicherheitsübergängen die Information über die Konfigurationen mit, die sie Information über die Konfigurationen mit, die sie haben. Diese Information kann beispielsweise eine Liste von IP-Adressen sein, die in dem VPN enthalten sind, oder eine Liste von VPN-Orten, die das VPN aufweist. Prinzipiell bedeutet dies die Adressen, die mit Hilfe des entsprechenden VPN überreicht werden können. Im letzteren Fall wird für einen Sicherheitsübergang nur erforderlichenfalls der spezifische andere Endpunkt (andere VPN-Einrichtung und ihre Konfiguration), für den ein bestimmter VPN-Tunnel bestimmt sein soll, vorgesehen. Der Vorteil dieser Lösung besteht in einer kleineren Datenmenge, die auf die Sicherheitsübergänge verteilt werden muß. Da es wahrscheinlich ist, daß in vielen VPNs nicht alle Übergänge mit allen anderen Übergängen kommunizieren, brauchen nicht alle Übergängen notwendigerweise eine Konfiguration für alle möglichen anderen Endpunkte. Darüber hinaus lösen nur grundlegende Änderungen in der Konfiguration des ganzen VPN die Forderung nach Verteilung der Daten auf alle Sicherheitsübergänge aus. Da die Konfiguration eines Übergangs von dem VIP vor der Benutzung erfragt wird, brauchen geringfügige Änderungen in der Konfiguration eines Sicherheitsübergangs nicht sofort allen anderen Sicherheitsübergänge mitgeteilt zu werden. Nur wenn ein neuer Ort dem VPN hinzugefügt oder von ihm entfernt wird, d. h. sich der Adressenbereich des VPN ändert, müssen alle Sicherheitsübergänge über die Änderung informiert werden.
  • Dazu kommt, daß diese Anordnung die Benutzung dynamischer Sicherheitsübergänge ermöglicht. Wenn ein Sicherheitsübergang seine Adresse dynamisch erhält, beispielsweise von einem DHCP (Dynamic Host Configuration Protocol)-Server, können andere Übergänge nicht wissen, von welcher Adresse der dynamische Sicherheitsübergang zu einer gegebenen Zeit erreicht wird. Jetzt lassen sich Adressen hinter dem dynamischen Sicherheitsübergang in einem VIP aufrechterhalten und von dort an andere Übergänge befördern. Der dynamische Sicherheitsübergang informiert dann das VIP über seine augenblickliche Adresse jedesmal, wenn sich seine Adresse ändert. Das VIP übermittelt daraufhin die augenblickliche Adresse, falls erforderlich, an einen anderen Übergang (andere Übergänge fragen nach der gegenwärtigen Adresse auf der Grundlage einer am Ort des dynamischen Übergangs vorhandenen Adresse). Da sich die Adresse ei nes dynamischen Übergang jederzeit ändern kann, beispielsweise aufgrund von Verbindungsfehlern, und andere Übergangskonfigurationen, die sie von einem VIP für die künftige Verwendung erhalten haben, verstecken können, ist es möglich, daß ein Sicherheitsübergang für einen dynamischen Übergang eine out-of-date-Konfiguration aufweist. Es ist daher vorteilhaft, wenn das VIP die Konfiguration eines dynamischen Sicherheitsübergangs hat, der sich von den statischen Konfigurationen unterscheidet. Auf diese Weise kann der Sicherheitsübergang beispielsweise die Zeit einstellen, in der eine Konfiguration eines dynamischen Übergangs versteckt wird oder auf andere Weise dynamische und statische Eingänge unterschiedlich behandeln.
  • 5 zeigt ein Beispiel für eine Netztopologie gemäß einem weiteren Erfindungsmerkmal. Hierbei werden die Sicherheitsübergänge 503 und 506 der Orte 1 und 3 durch die lokale Verwaltung 504 bzw. das MSP 502 verwaltet. Die VPN-Konfigurationen der Sicherheitsübergänge werden in der lokalen Verwaltung oder dem MSP festgelegt. Die Konfigurationen werden hier für ein VIP 500 vorgesehen und aufrechterhalten. Es wird darauf hingewiesen, daß dann, wenn das VIP die VPN-Konfiguration eines Sicherheitsübergangs empfängt, überprüft werden kann, ob die Konfiguration mit der VPN-Politik des VIP und mit den VPN- Konfigurationen der anderen Sicherheitsübergänge, die zu dem VPN gehören, kompatibel ist. Dies läßt sich durch einfaches Vergleichen der neuen Konfiguration mit den Konfigurationen der anderen Übergänge bewirken. Wenn die Sicherheitsübergänge einen VPN-Tunnel errichten, fragen sie zuerst nach der Konfiguration des anderen Endpunktes vom VIP (dies ist im Detail oben in Verbindung mit 4 beschrieben).
  • Zusätzlich zu den Orten 1 und 3, die zu dem VPN gehören, gibt es einen VPN-Klienten 505, der auch mit dem VPN verbunden ist. Die VPN- Konfiguration des VPN-Klienten ist im VIP enthalten, und zwar in ähnlicher Weise wie die Konfigurationen der dynamischen Sicherheitsübergänge.
  • Die Ausführungsbeispiele der Erfindung, die in den 3 bis 5 dargestellt sind, sind nicht als Einschränkung zu verstehen. Statt dessen können die Details eines Ausführungsbeispiels mit den Details eines anderen Beispiels in an sich beliebiger geeigneter Weise kombiniert werden.
  • Der VIP und die VPN-Einrichtungen (Sicherheitsübergänge, Firewalls, VPN-Klienten) können erfindungsgemäß in einer geeigneten Kombination von Hardware und Software verwirklicht werden. Typischerweise ist die Verwirklichung ein Softwareprogrammcode, die in einer Prozessoreinheit durchgeführt wird, und zwar in Kombination mit geeigneten Speicherresourcen.
  • Ein Hauptteil der Verwirklichung der Erfindung besteht in einer Änderung der Handhabung der Konfiguration der VPN-Einrichtung. Eine erfindungsgemäße VPN-Einrichtung ist in der Lage, von mehr als einer Verwaltungsgesamtheit, beispielsweise von einer lokalen Verwaltung und einem VIP, eine Konfiguration zu erhalten. Im allgemeinen bietet das VIP eine VPN-Konfiguratian, und eine lokale Verwaltung schafft Zugang zu einer Regelkonfiguration. Jedoch kann eine lokale Verwaltung genausogut eine VPN-Konfiguration bieten. Die VPN-Einrichtung ist in der Lage, einen unterschiedlichen VIP zu identifizieren, beispielsweise mit Hilfe von Zertifikaten. Dazu kommt, daß eine VPN-Einrichtung überprüfen kann, ob eine von einem VIP erhaltene VPN-Konfiguration mit einer anderen Konfiguration der VPN-Einrichtung übereinstimmt, bevor die Konfiguration zur Benutzung akzeptiert wird.
  • Ein VIP kann grundsätzlich einem zentralisierten VPN-Verwaltungssystem, das in der Lage ist, VPN-Einrichtungen zu handhaben, gleich sein. Der VIP bietet somit die Möglichkeit, VPN-Konfigurationen zu bestimmen und sie in die VPN-Einrichtungen zu laden. Alternativ dazu, kann ein VIP definierte VPN-Konfigurationen zur Aufrechterhaltung schnell erfassen. In diesem Fall ist der VIP, der ein VPN verwaltet, vorzugsweise in der Lage zu bestätigen, daß eine empfangene neue Konfiguration mit den Konfigurationen der anderen Übergänge, die zu dem VPN gehören, kompatibel ist. Dazu kommt, daß ein VIP gemäß einem weite ren Merkmal der Erfindung einen Mechanismus aufweist, mit dem VPN-Einrichtungen mit Informationen über die Konfigurationen versorgt werden können, die in dem VIP enthalten sind und mit dem eine Konfiguration auf Anforderung an VPN-einrichtungen übermittelt werden kann, d. h. die Beantwortung einer Anforderung.
  • Merkmale der Erfindung sind des weiteren in den Fließbildern der 6, 7 und 8 dargestellt. 6 zeigt ein Fließbild der Verwaltung der VPN-Einrichtungen gemäß einem Merkmal der Erfindung. In den Schritten 600 und 602 werden VPN-Konfigurationen für VPN-Einrichtungen definiert und die Konfigurationen in einem VIP gehalten. Die VPN-Konfiguration einer gegebenen VPN-Einrichtung kann in dem VIP oder in einem gewissen anderen Verwaltungssystem festgelegt werden, von dem aus die Konfiguration für den VIP zur Erhaltung festgelegt wird. Im Schritt 604 wird dann eine VPN-Einrichtung mit VPN-Konfiguration einer anderen VPN-Einrichtung dadurch geschaffen, daß die Konfiguration von dem VIP versandt wird. Im Schritt 606 werden bestimmte Merkmale der VPN-Einrichtungen durch ein etwas anderes Verwaltungssystem verwaltet. Derartige Merkmale können beispielsweise Zugangsregelkonfigurationen oder Konfigurationen sein, die auf eine andere VPN-Konfiguration bezogen sind.
  • 7 zeigt ein Fließbild für die Verwaltung von VPN-Einrichtungen gemäß einem anderen Erfindungsmerkmal. Hier werden VPN-Konfigurationen für VPN-Einrichtungen festgelegt, die zum ersten und zum zweiten VPN in der Stufe 700 gehören. Die Konfigurationen für das erste VPN sind in einem ersten VIP und die Konfigurationen für das zweite VPN in einem zweiten VIP in den Stufen 702 bzw. 704 enthalten. Auch in diesem Fall kann die VPN-Konfiguration einer gegebenen VPN-Einrichtung in einem VIP oder einem anderen Managementsystem festgelegt sein, von dem die Konfiguration für den entsprechenden VIP zur Aufrechterhaltung vorgesehen ist. Im Schritt 701 erhält dann eine VPN-Einrichtung, die zu dem ersten und dem zweiten VPN gehört, die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung, die zu dem ersten VPN gehört, von dem ersten VIP, und die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung, die zu dem zweiten VPN gehört, von dem zweiten VIP.
  • 8 ist ein Fließbild, das die Handhabung der VPN-Konfiguration in einer VPN-Einrichtung gemäß noch einem anderen Merkmal der Erfindung zeigt. In der Stufe 800 empfängt die VPN-Einrichtung die Information über die VPN-Kanfigurationen, die in einem VIP enthalten sind (z. B. einem Adressensatz in der entsprechenden VPN). Daraufhin erhält die VPN-Einrichtung ein Datenpaket, das für das VPN in der Stufe 802 bestimmt ist. Auf der Grundlage der von dem VIP erhaltenen Information fragt die VPN-Einrichtung im Schritt 804 beim VIP nach der VPN-Konfiguration und verwendet die VPN-Konfiguration, die von dem VIP erhalten wurde, zur Errichtung eines VPN-Tunnels für das Datenpaket.
  • Es versteht sich für den Fachmann, daß die dargestellten und beschriebenen Ausführungsformen nur Beispiele sind.

Claims (29)

  1. Verfahren zur Verwaltung von Einrichtungen in einem virtuellen privaten Netz, VPN, in dem mehr als eine Organisation oder VPN-Ort mit wenigstens einer Einrichtung teilnimmt, das folgende Schritte aufweist: – Beibehalten (602) in einem ersten zentralisierten VPN-Informationsprovider, VIP, VPN-Konfigurationen von VPN-Einrichtungen, die zu dem ersten VPN gehören; – Schaffen (604) von dem ersten zentralisierten VIP für eine erste VPN-Einrichtung, die zu dem ersten VPN gehört, eine VPN-Konfiguration von wenigstens einer anderen VPN-Einrichtung einer anderen Organisation, die an dem ersten VPN teilnimmt, wobei die VPN-Konfiguration eine von vielen VPN-Konfigurationen ist, gekennzeichnet durch Verwalten (606) wenigstens einiger Sicherheitsmerkmale der ersten VPN-Einrichtung, die zu dem ersten VPN gehört, durch wenigstens ein anderes Verwaltungssystem, das von dem ersten zentralisierten VIP getrennt ist, sobald die wenigstens einigen Sicherheitsmerkmale nicht von allen Organisationen, VPN-Orten oder VPN-Einrichtungen, die zu dem ersten VPN gehören, geteilt werden sollen.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung von dem zentralisierten VIP für die erste VPN-Einrichtung geschaffen wird, und zwar über wenigstens ein anderes Verwaltungssystem.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung direkt von dem ersten zentralisierten VIP für die besagte erste VPN-Einrichtung geschaffen wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, gekennzeichnet durch Definieren (600) der VPN-Konfigurationen der VPN-Einrichtungen, die zu dem er sten VPN gehören, in wenigstens einem anderen Verwaltungssystem und Schaffen der VPN-Konfigurationen des ersten zentralisierten VIP zu Aufrechterhaltungszwecken.
  5. Verfahren nach einem der Ansprüche 1 bis 3, gekennzeichnet durch Definieren (600) der besagten VPN-Konfigurationen der VPN-Einrichtungen, die zu dem ersten VPN in dem ersten zentralisierten VIP gehören, und Schaffen der besagten VPN-Konfigurationen für die entsprechenden VPN-Einrichtungen.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß der Schritt des Schaffens das Übermitteln von Informationen über die VPN-Konfigurationen, die in dem ersten zentralisierten VIP enthalten sind, an die VPN-Einrichtungen, die zu dem ersten VPN gehören, sowie das Empfangen einer Forderung nach einer VPN-Konfiguration einer anderen VPN-Einrichtung, die zu dem ersten VPN gehört, von einer ersten VPN-Einrichtung, die zu der ersten VPN gehört, beinhaltet und das Übermitteln der VPN-Konfiguration der anderen VPN-Einrichtung als Antwort auf die Anforderung an die erste VPN-Einrichtung, die zu der ersten VPN gehört.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß die Information über die VPN-Konfiguration, die in dem ersten zentralisierten VIP enthalten ist, einen in dem ersten VPN befindlichen Satz Adressen aufweist, daß die Anfrage von der ersten VPN-Einrichtung eine in dem ersten VPN befindliche Adresse trifft und daß die andere VPN-Einrichtung in dem zentralisierten VIP dadurch identifiziert wird, daß eine VPN-Einrichtung gefunden wird, die sich auf diese Adresse bezieht.
  8. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß die Information über die VPN-Konfigurationen, die in dem ersten zentralisierten VIP enthalten ist, ein Adressensatz in dem ersten VPN ist, und daß die Information nach einer Änderung im Adressensatz, der sich im ersten VPN befindet, oder nachdem eine vorbestimmte Zeit vergangen ist, seitdem die Information erstmalig versandt worden ist, übermittelt wird.
  9. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß der Schritt des Schaffens das Versenden von VPN-Konfigurationen, die in dem ersten zentralisierten VIP enthalten sind, an die VPN-Einrichtungen umfaßt, die zu dem ersten VPN gehören.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß die VPN-Konfigurationen, die in dem ersten zentralisierten VIP enthalten sind, abgesandt werden, nachdem eine neue VPN-Konfiguration im ersten zentralisierten VIP hinzugefügt worden ist, nachdem eine alte VPN-Konfiguration bei dem ersten zentralisierten VIP entfernt worden ist, nachdem eine VPN-Konfiguration wenigstens einer VPN-Einrichtung in dem ersten zentralisierten VIP geändert worden ist oder nachdem eine vorbestimmte Zeit vergangen ist, seit der die VPN-Konfigurationen zuletzt verschickt worden sind.
  11. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Verfahren die folgenden Schritte aufweist: – Aufbewahren (704) von VPN-Konfigurationen der VPN-Einrichtungen, die zu einem zweiten VPN gehören, in einem zweiten VPN-Informationsprovider VIP und; – Schaffen (706) für eine erste VPN-Einrichtung, die zu der ersten und zu der zweiten VPN gehört, eine VPN-Konfiguration von wenigstens einer anderen VPN-Einrichtung, die zu dem ersten VPN gehört, und zwar von den ersten zentralisierten VIP, sowie eine VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung, die zu dem zweiten VPN gehört, und zwar von den zweiten VIP.
  12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daß die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung für die erste VPN- Einrichtung über wenigstens ein anderes Verwaltungssystem geschaffen wird, und zwar getrennt von dem ersten und dem zweiten VIP.
  13. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daß die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung direkt von dem zentralisierten VIP für die erste VPN-Einrichtung geschaffen wird.
  14. Verfahren nach einem der Ansprüche 11 bis 13, ferner gekennzeichnet durch Definieren (700) der VPN-Konfigurationen der VPN-Einrichtungen, die zu den ersten und zweiten VPNs in wenigstens einem anderen Managementsystem gehören, und Schaffung dieser VPN-Konfigurationen für die VIPs zur Verwaltung.
  15. Verfahren nach einem der Ansprüche 11 bis 13, ferner gekennzeichnet durch Definieren (700) der VPN-Konfigurationen der VPN-Einrichtungen, die zu dem ersten VPN gehören, und zwar in dem ersten zentralisierten VIP, und der VPN-Konfigurationen der VPN-Einrichtungen, die zu dem zweiten VPN gehören, und zwar in dem zweiten VIP, und Schaffung dieser VPN-Konfigurationen für die entsprechenden VPN-Einrichtungen.
  16. Verfahren nach einem der Ansprüche 11 bis 15, dadurch gekennzeichnet, daß der Schritt des Schaffens folgendes beinhaltet: Senden von Informationen über die VPN-Konfigurationen, die in dem entsprechenden VIP enthalten sind, an die VPN-Einrichtungen, die zu einem VPN gehören; Senden einer Anforderung nach einer VPN-Konfiguration einer anderen VPN-Einrichtung, die zu dem VPN gehört, von einer ersten VPN-Einrichtung, die zu dem VPN gehört; und Senden der VPN-Konfiguration der anderen VPN-Einrichtung als Antwort auf die Anforderung, an die erste VPN-Einrichtung, die zu dem VPN gehört.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß die Information über die VPN-Konfigurationen, die in dem VIP gehalten werden, ein Adres sensatz ist, der sich in dem ersten VPN befindet, daß die Anforderung von der ersten VPN-Einrichtung eine Adresse betrifft, die sich in dem ersten VPN befindet, und daß die andere VPN-Einrichtung in dem VIP identifiziert wird, indem eine VPN-Einrichtung gefunden wird, die sich auf diese Adresse bezieht.
  18. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß die Information über die VPN-Konfigurationen, die in dem VIP enthalten sind, ein Adressensatz ist, den das erste VPN aufweist, und daß die Information nach einer Änderung des Adressensatzes, der sich in dem ersten VPN befindet, verschickt wird oder nachdem eine vorbestimmte Zeitspanne vergangen sind, seitdem die Information zum letzten Mal gesendet wurde.
  19. Verfahren nach einem der Ansprüche 11 bis 15, dadurch gekennzeichnet, daß der Schritt des Schaffens das Absenden von VPN-Konfigurationen, die in dem entsprechenden VIP enthalten sind, an die VPN-Einrichtungen umfaßt, die zu einem VPN gehören.
  20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, daß die in dem VIP enthaltenen VPN-Konfigurationen versandt werden, nachdem eine neue VPN-Konfiguration dem VIP hinzugefügt worden ist, nachdem eine alte VPN-Konfiguration von dem VIP entfernt worden ist, nachdem eine VPN-Konfiguration wenigstens einer VPN-Einrichtung in dem VIP geändert worden ist oder nachdem eine vorbestimmte Zeit vergangen ist, seitdem die VPN-Konfigurationen zum letzten Mal gesendet worden sind.
  21. System zur Verwaltung von Einrichtungen in einem virtuellen privaten Netz VPN, in dem mehr als eine Organisation oder VPN-Platz in diesem VPN mit wenigstens einer Vorrichtung teilnimmt, mit wenigstens zwei VPN-Einrichtungen (301304, 404, 405, 503, 505, 506), die zu einem ersten VPN gehören, ferner mit einem zentralisierten VPN-Informationsprovider VIP (300, 400, 500), der die VPN-Konfigurationen der VPN-Einrichtungen enthält, wel che zu dem ersten VPN gehören, wobei die VPN-Einrichtungen in der Lage sind, von dem ersten VIP einen ersten Teil der VPN-Konfiguration zu empfangen, der die VPN-Konfiguration wenigstens einer anderen VPN-Einrichtung einer anderen Organisation aufweist, die an dem ersten VPN teilnimmt, gekennzeichnet durch wenigstens ein anderes Verwaltungssystem (305308, 402, 403, 502, 504), das von dem ersten VIP getrennt ist und wenigstens einige Sicherheitsmerkmale derjenigen VPN-Einrichtungen verwaltet, die zu dem ersten VPN gehören, wenn diese wenigstens einigen Sicherheitsmerkmale nicht von allen Organisationen, VPN-Plätzen oder VPN-Einrichtungen, die zu dem ersten VPN gehören, geteilt werden, wobei die VPN-Einrichtungen auch in der Lage sind, von wenigstens einem anderen Verwaltungssystem einen zweiten Teil der VPN-Konfiguration zu empfangen.
  22. System nach Anspruch 21, dadurch gekennzeichnet, daß der zweite Teil der VPN-Konfiguration die VPN-Konfiguration und/oder die Sicherheitszugangsregel-Konfiguration umfaßt.
  23. System nach Anspruch 21, gekennzeichnet durch einen zweiten VIP (401), der VPN-Konfigurationen von VPN-Einrichtungen enthält, die zu einem zweiten VPN gehören, und eine VPN-Einrichtungen (405), die zu den erstem und zweiten VPN gehört und die VPN-Konfigurationsinformation von den ersten und zweiten VIP erhält.
  24. Virtuelles privates Netz (301304, 404, 405, 503, 505, 506) eines Systems nach einem der Ansprüche 21 bis 23, wobei mehr als eine Organisation oder ein VPN-Platz in dem VPN mit wenigstens einer Einrichtung teilnimmt, mit einem Mechanismus zum Empfang eines an eine Bestimmungsadresse in dem ersten VPN gerichteten Pakets, einem Mechanismus zum Anfordern und Empfangen einer VPN-Konfiguration für eine VPN-Einrichtung von dem genannten ersten zentralisierten VIP, die sich auf die genannte Adresse bezieht, sowie zum Verwalten de ersten VPN, und mit einem Mechanismus, der die VPN-Konfiguration verwendet, um einen VPN-Tunnel für die VPN- Einrichtung zu errichten, der die Bestimmungsadresse betrifft, um die Bestimmungsadresse zu erreichen.
  25. VPN-Informationsprovidereinrichtung (300, 400, 401, 500) eines Systems nach einem der Ansprüche 21 bis 23 zur Verwaltung von Einrichtungen in einem virtuellen privaten Netz VPN, an dem mehr als eine Organisation oder VPN-Platz mit wenigstens einer Einrichtung teilnimmt, gekennzeichnet durch einen Mechanismus zur Aufrechterhaltung nur des besagten ersten Teils der VPN-Konfigurationen der VPN-Einrichtungen, die zu dem ersten VPN gehören, wobei der besagte erste Teil die genannten wenigstens einigen Sicherheitsmerkmale dieser VPN-Einrichtungen nicht enthält, die zu dem ersten VPN gehören, wenn diese wenigstens einigen Sicherheitsmerkmale nicht von allen Organisationen, VPN-Plätzen oder VPN-Einrichtungen, die zu dem ersten VPN gehören, geteilt werden, ferner durch einen Mechanismus zur Schaffung von Informationen über die in dem VIP enthaltenen VPN-Konfigurationen für die VPN-Einrichtungen, die zu dem ersten VPN gehören, des weiteren durch einen Mechanismus zum Empfangen einer Anforderung für eine VPN-Konfiguration einer anderen VPN-Einrichtung, die zu dem ersten VPN gehört, von einer ersten VPN-Einrichtung, die zu dem ersten VPN gehört, und durch einen Mechanismus zum Versenden des ersten Teils der VPN-Konfiguration der anderen VPN-Einrichtung in Beantwortung der Anfrage an die erste VPN-Einrichtung, die zu dem ersten VPN gehört.
  26. Computerlesbares Medium mit einem Programmcode, der, wenn er auf einem Computer eingesetzt wird, bewirkt, daß der Computer eine VPN-Einrichtungsfunktionsweise der ersten VPN-Einrichtung nach einem der Ansprüche 1 bis 20 ermöglicht.
  27. Computerlesbares Medium mit einem Programmcode, der, wenn er auf einem Computer eingesetzt wird, bewirkt, daß der Computer eine VPN-Informationsproviderfunktion des ersten zentralisierten VIP nach den Ansprüchen 1 bis 20 ermöglicht.
  28. Computerprogrammcode, der, eingesetzt auf einem Computer, bewirkt, dass der Computer eine VPN-Einrichtungsfunktionsweise der ersten VPN-Einrichtung nach einem der Ansprüche 1 bis 20 ermöglicht.
  29. Computerprogrammcode, der, ausgeführt auf einem Computer, bewirkt, dass der Computer die Funktionalität eines VPN-Informationsproviders (VIP) des ersten zentralisierten VIP gemäß wenigstens einem der Ansprüche 1 bis 20 zur Verfügung stellt.
DE60212289T 2001-10-05 2002-10-01 Verwaltung privater virtueller Netze (VPN) Expired - Lifetime DE60212289T2 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
FI20011949 2001-10-05
FI20011949A FI20011949A0 (fi) 2001-10-05 2001-10-05 Virtuaalisen yksityisverkon hallinta
US10/151,319 US20030069958A1 (en) 2001-10-05 2002-05-21 Virtual private network management
US151319 2002-05-21

Publications (2)

Publication Number Publication Date
DE60212289D1 DE60212289D1 (de) 2006-07-27
DE60212289T2 true DE60212289T2 (de) 2006-11-02

Family

ID=8562009

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60212289T Expired - Lifetime DE60212289T2 (de) 2001-10-05 2002-10-01 Verwaltung privater virtueller Netze (VPN)

Country Status (4)

Country Link
US (2) US20030069958A1 (de)
EP (1) EP1304830B1 (de)
DE (1) DE60212289T2 (de)
FI (1) FI20011949A0 (de)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7203957B2 (en) * 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7188365B2 (en) 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
JP4151322B2 (ja) * 2002-06-26 2008-09-17 コニカミノルタビジネステクノロジーズ株式会社 ネットワーク管理プログラム及びネットワーク管理方法
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes
US20040083290A1 (en) * 2002-10-25 2004-04-29 Zesen Chen Software implemented virtual private network service
US7574738B2 (en) 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
US20040093492A1 (en) * 2002-11-13 2004-05-13 Olivier Daude Virtual private network management with certificates
US8024437B2 (en) * 2003-10-30 2011-09-20 Paul Unbehagen Autodiscovery for virtual networks
US7353537B2 (en) 2004-03-31 2008-04-01 Novell, Inc. Secure transparent virtual private networks
CN100401678C (zh) * 2004-05-21 2008-07-09 华为技术有限公司 虚拟专用网网络管理方法
EP1699181A1 (de) * 2005-03-01 2006-09-06 Swisscom AG Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
US8079059B1 (en) * 2005-05-31 2011-12-13 Imera Systems, Inc. Method and system for providing terminal view access of a client device in a secure network
EP1958057A4 (de) * 2005-11-23 2009-12-23 Ils Technology Llc Fernnetzkonnektivität von unternehmen zu unternehmen
US9137043B2 (en) * 2006-06-27 2015-09-15 International Business Machines Corporation System, method and program for determining a network path by which to send a message
US8141143B2 (en) * 2007-05-31 2012-03-20 Imera Systems, Inc. Method and system for providing remote access to resources in a secure data center over a network
US8953486B2 (en) 2007-11-09 2015-02-10 Cisco Technology, Inc. Global auto-configuration of network devices connected to multipoint virtual connections
US8667095B2 (en) * 2007-11-09 2014-03-04 Cisco Technology, Inc. Local auto-configuration of network devices connected to multipoint virtual connections
US8307084B1 (en) 2008-02-14 2012-11-06 Imera Systems, Inc. Method and system for providing lock-down communities comprising a plurality of resources
US8201237B1 (en) * 2008-12-10 2012-06-12 Amazon Technologies, Inc. Establishing secure remote access to private computer networks
US9524167B1 (en) 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US8230050B1 (en) 2008-12-10 2012-07-24 Amazon Technologies, Inc. Providing access to configurable private computer networks
US9137209B1 (en) 2008-12-10 2015-09-15 Amazon Technologies, Inc. Providing local secure network access to remote services
CN102377629B (zh) * 2010-08-20 2014-08-20 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN102487328A (zh) * 2010-12-02 2012-06-06 中兴通讯股份有限公司 网管与网元进行通信的方法及系统
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10601653B2 (en) * 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
CN107483311B (zh) 2012-09-20 2020-07-21 华为技术有限公司 Vpn实现方法和pe设备
US9596271B2 (en) * 2012-10-10 2017-03-14 International Business Machines Corporation Dynamic virtual private network
US9384028B1 (en) * 2013-12-19 2016-07-05 Amdocs Software Systems Limited System, method, and computer program for preserving service continuity in a network function virtualization (NFV) based communication network
KR102169302B1 (ko) * 2014-04-30 2020-10-23 삼성전자주식회사 통신 서비스를 제공하기 위한 방법, 단말, 그리고 서버
US9875344B1 (en) 2014-09-05 2018-01-23 Silver Peak Systems, Inc. Dynamic monitoring and authorization of an optimization device
US10887130B2 (en) 2017-06-15 2021-01-05 At&T Intellectual Property I, L.P. Dynamic intelligent analytics VPN instantiation and/or aggregation employing secured access to the cloud network device
US11290491B2 (en) * 2019-03-14 2022-03-29 Oracle International Corporation Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element
JP2022041558A (ja) * 2020-09-01 2022-03-11 株式会社リコー 通信システム、vpn終端装置、通信制御方法、及びプログラム

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6097722A (en) * 1996-12-13 2000-08-01 Nortel Networks Corporation Bandwidth management processes and systems for asynchronous transfer mode networks using variable virtual paths
US5953338A (en) * 1996-12-13 1999-09-14 Northern Telecom Limited Dynamic control processes and systems for asynchronous transfer mode networks
US6047325A (en) * 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6339595B1 (en) * 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US6079020A (en) * 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6751729B1 (en) * 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
US20020097725A1 (en) * 1998-07-27 2002-07-25 Nec Corporation Resource and protocol management for virtual private networks within multiprocessor ATM switches
US6529499B1 (en) * 1998-09-22 2003-03-04 Lucent Technologies Inc. Method for providing quality of service for delay sensitive traffic over IP networks
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6636898B1 (en) * 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US7831689B2 (en) * 1999-04-02 2010-11-09 Nortel Networks Corporation Virtual private network manager GUI with links for use in configuring a virtual private network
US6765591B2 (en) * 1999-04-02 2004-07-20 Nortel Networks Limited Managing a virtual private network
US6701358B1 (en) * 1999-04-02 2004-03-02 Nortel Networks Limited Bulk configuring a virtual private network
ATE360937T1 (de) * 1999-06-10 2007-05-15 Alcatel Internetworking Inc System und verfahren zur selektiven ldap- datenbank synchronisierung
JP2001326693A (ja) * 2000-05-17 2001-11-22 Nec Corp 通信装置及び通信制御方法並びに制御プログラム記録媒体
US7274704B1 (en) * 2000-07-14 2007-09-25 Nortel Networks Limited Piggybacking VPN information in BGP for network based VPN architectures
KR100346199B1 (ko) * 2000-08-18 2002-07-26 삼성전자 주식회사 사설 무선교환시스템에서의 로밍 서비스 방법
US20020124090A1 (en) * 2000-08-18 2002-09-05 Poier Skye M. Method and apparatus for data communication between a plurality of parties
US7003481B2 (en) * 2000-08-25 2006-02-21 Flatrock Ii, Inc. Method and apparatus for providing network dependent application services
US8250357B2 (en) * 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7574495B1 (en) * 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7403980B2 (en) * 2000-11-08 2008-07-22 Sri International Methods and apparatus for scalable, distributed management of virtual private networks
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US20020091824A1 (en) * 2001-01-10 2002-07-11 Center 7, Inc. Intermediate systems for enterprise management from a central location
US7209479B2 (en) * 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
WO2002076077A1 (en) * 2001-03-16 2002-09-26 Leap Wireless International, Inc. Method and system for distributing content over a wireless communications system
US7136374B1 (en) * 2001-03-19 2006-11-14 Juniper Networks, Inc. Transport networks supporting virtual private networks, and configuring such networks
US20020144144A1 (en) * 2001-03-27 2002-10-03 Jeffrey Weiss Method and system for common control of virtual private network devices
US7082464B2 (en) * 2001-07-06 2006-07-25 Juniper Networks, Inc. Network management system
US7197550B2 (en) * 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network
US7769838B2 (en) * 2001-08-23 2010-08-03 The Directv Group, Inc. Single-modem multi-user virtual private network
US7085827B2 (en) * 2001-09-20 2006-08-01 Hitachi, Ltd. Integrated service management system for remote customer support
WO2003079614A1 (en) * 2002-03-18 2003-09-25 Nortel Networks Limited Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks

Also Published As

Publication number Publication date
EP1304830A3 (de) 2003-08-13
EP1304830B1 (de) 2006-06-14
FI20011949A0 (fi) 2001-10-05
DE60212289D1 (de) 2006-07-27
US20030069958A1 (en) 2003-04-10
EP1304830A2 (de) 2003-04-23
US8019850B2 (en) 2011-09-13
US20090287810A1 (en) 2009-11-19

Similar Documents

Publication Publication Date Title
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE69735426T2 (de) Nachrichtenübertragung in netzwerken bestehend aus unternetzwerken mit verschiedenen namensraümen
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
DE69327576T2 (de) Paralleles Rechnersystem
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE69836271T2 (de) Mehrstufiges firewall-system
DE69727930T2 (de) Zusammenfassung von verbindungen in vermittlungskommunikationsnetzen
DE10393628B4 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60121755T2 (de) Ipsec-verarbeitung
DE102006037499A1 (de) Verfahren und System zum Entdecken und Bereitstellen von Beinahe-Echtzeit-Aktualisierungen von VPN-Topologien
DE10008519C1 (de) Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
DE60318601T2 (de) Verfahren zur automatischen konfiguration einer ip-fernsprecheinrichtung und/oder daten, system und einrichtung zu ihrer implementierung
DE10330079A1 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
DE102009032465A1 (de) Sicherheit in Netzwerken
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
DE60303745T2 (de) Mehrschichtiges Verfahren zum Verwalten von Multicast Teilnehmern
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
WO2000049783A1 (de) Telekommunikationsnetzwerk mit parallelsitzungsfunktion
DE102019120112B4 (de) Elektrische Netzwerkumschaltung
EP2898635B1 (de) System und verfahren zur wartung einer werkzeugmaschine

Legal Events

Date Code Title Description
8364 No opposition during term of opposition