DE60302882T2 - Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk - Google Patents

Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk Download PDF

Info

Publication number
DE60302882T2
DE60302882T2 DE60302882T DE60302882T DE60302882T2 DE 60302882 T2 DE60302882 T2 DE 60302882T2 DE 60302882 T DE60302882 T DE 60302882T DE 60302882 T DE60302882 T DE 60302882T DE 60302882 T2 DE60302882 T2 DE 60302882T2
Authority
DE
Germany
Prior art keywords
mobile node
packet
network
secure
foreign agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60302882T
Other languages
English (en)
Other versions
DE60302882D1 (de
Inventor
Jerry Mizell
David Lauson
Peter Wenzel
Steven Currin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nortel Networks Ltd
Original Assignee
Nortel Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nortel Networks Ltd filed Critical Nortel Networks Ltd
Publication of DE60302882D1 publication Critical patent/DE60302882D1/de
Application granted granted Critical
Publication of DE60302882T2 publication Critical patent/DE60302882T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Description

  • Technisches Gebiet der Erfindung
  • Ein Sicherheits-Übertragungsprotokoll für Informationspaket-Übertragungen auf einem Mobilitäts-IP-Netzwerk.
  • Das Internet entstand, ähnlich wie viele andere Hochtechnologie-Entwicklungen, aus Forschungen, die ursprünglich von dem Verteidigungsministerium der Vereinigten Staaten durchgeführt wurden. In den 1960er Jahren hatte das Militär eine große Ansammlung von inkompatiblen Computernetzwerken angesammelt. Computer auf diesen unterschiedlichen Netzwerken konnten nicht mit anderen Computern über ihre Netzwerk-Grenzen hinweg kommunizieren.
  • In den 1960er Jahren wünschte das Verteidigungsministerium, ein Kommunikationssystem zu entwickeln, das eine Kommunikation zwischen diesen unterschiedlichen Computernetzwerken ermöglichen würde. Es wurde erkannt, dass ein einziges zentralisiertes Kommunikationssystem gegenüber Angriffen oder Sabotage verwundbar sein würde, so dass das Verteidigungsministerium forderte, dass das Kommunikationssystem dezentralisiert sein sollte, wobei keine kritischen Dienste in verwundbaren Ausfallpunkten konzentriert sind. Um dieses Ziel zu erreichen, legte das Verteidigungsministerium ein dezentralisiertes Standard-Kommunikationsprotokoll für die Kommunikation zwischen seinen Computernetzwerken fest.
  • Einige wenige Jahre später wünschte die National Science Foundation (NSF) eine Erleichterung der Kommunikation zwischen inkompatiblen Netzwerk-Computern an verschiedenen Forschungsinstitutionen über das Land hinweg. Die NSF übernahm das Protokoll für die Kommunikation von dem Verteidigungsministerium, und diese Kombination von Forschungs-Computernetzwerken führte schließlich zur Entwicklung des Internets.
  • Internetprotokolle
  • Das Kommunikationsprotokoll des Verteidigungsministeriums, das die Datenübertragung zwischen unterschiedlichen Netzwerken bestimmte, wurde als der Internetprotokoll-(IP-)Standard bezeichnet. Der IP-Standard wurde in weitem Umfang für die Übertragung von diskreten Informationspaketen über Netzwerk-Grenzen hinweg übernommen. Tatsächlich ist der IP-Standard das Standardprotokoll, das Kommunikationen zwischen Computern und Netzwerken auf dem Internet regelt.
  • Der IP-Standard identifiziert die Arten von Diensten, die für Benutzer bereitgestellt werden sollen, und er spezifiziert die Mechanismen, die zur Unterstützung dieser Dienste erforderlich sind. Der IP-Standard spezifiziert weiterhin die oberen und unteren System-Schnittstellen, er definiert die an diesen Schnittstellen bereitzustellenden Dienste, und er gibt Rahmenrichtlinien für die Ausführungsumgebung für Dienste vor, die in dem System benötigt werden.
  • Ein Übertragungsprotokoll, das als das Übertragungs-Steuerprotokoll (TCP) bezeichnet wurde, wurde entwickelt, um verbindungsorientierte Ende-zu-Ende-Datenübertragungen zwischen paketvermittelten Computernetzwerken zu schaffen. Die Kombination von TCP mit IP (TCP/IP) bildet eine Gruppe von Protokollen für die Informationspaket-Übertragung zwischen Computern auf dem Internet. Der TCP/IP-Standard wurde auch zu einem Standardprotokoll zur Verwendung in allen Paketvermittlungs-Netzwerken, die eine Verbindungsmöglichkeit über Netzwerk-Grenzen hinweg ergeben.
  • Computernetzwerke kommunizieren miteinander entsprechend der Protokoll-Hierarchie der Referenz für die offene System-Zwischenverbindung (OSI). Jedes Protokoll besitzt seinen eigenen Satz von Regeln und Prozeduren unabhängig von anderen Protokollen. Jedes Teil an Software oder Hardware, das ein Protokoll realisiert, wird als eine Protokoll-Einheit bezeichnet. Eine Protokoll-Einheit ist durch verschiedene Positionen auf einem geschichteten Protokollstapel klassifiziert.
  • Protokoll-Einheiten arbeiten durch Interpretieren des Kopffeldes der Daten, die sie von einer höheren Schicht empfangen, durch Verarbeiten des Pakets, wie dies durch das Kopffeld und das zugehörige Protokoll spezifiziert ist, und durch Übertragen von Informationspaketen. Das Informationspaket-Kopffeld identifiziert das anwendbare Protokoll und die Operation auf die es sich bezieht. Beispielsweise identifiziert ein TCP-Kopffeld das Paket als ein Paket, das Informationen für ein TCP-Protokoll enthält, während ein IP-Kopffeld die Information so definiert, dass sie Information für ein IP-Protokoll enthält.
  • Die Operation und die Hierarchie von Operationen, die von einer Einheit ausgeführt werden, können graphisch durch einen geschichteten Protokollstapel dargestellt werden. Während die Einheiten Operationen auf der Grundlage des Kopffeldes ausführen, werden die Paket-Nutzdaten verarbeitet und für die nächste logische Operation auf dem Informationspaket überprüft.
  • Die Protokollnormen werden auf einer geschichteten Kommunikationssystem-Struktur konfiguriert. Alle die Schichten liegen auf jedem Computer in dem Netzwerk, und jede Schicht ist eine getrennte Komponente, die theoretisch unabhängig von den anderen Schichten arbeitet. IP- und verwandte Protokolle bilden ein genormtes System, um zu definieren, wie Pakete auf dem Internet verarbeitet, ausgesandt und empfangen werden sollten. TCP/IP definiert den Netzwerk-Kommunikationsprozess und spezifiziert das Informations-Paketformat, damit die übertragenen Daten korrekt interpretiert werden. Aufgrund der genormten Schichtkonstruktion der Protokolle erfolgt eine gleichförmige Umwandlung von Basis-Nutzdaten unabhängig von der Version oder dem Lieferanten der Kommunikationssoftware.
  • In einem typischen Internet-basierten Kommunikationsszenarium werden Daten von einem Ursprungs-Kommunikationsgerät auf einem ersten Netzwerk über ein Übertragungsmedium zu einem Ziel-Kommunikationsgerät auf einem zweiten Netzwerk übertragen. Nach dem Empfang an dem zweiten Netzwerk wird das Paket über das Netzwerk zu einem Ziel-Kommunikationsgerät gelenkt. Weil Standardprotokolle in Internet-Kommunikationen verwendet werden, dekodiert das IP-Protokoll an dem Ziel-Kommunikationsgerät die übertragene Information in die ursprüngliche Information, die von dem Ursprungsgerät ausgesandt wurde.
  • TCP/IP-Adressierung und Pfadlenkung
  • Einem Computer, der auf einem Netzwerk arbeitet, wird eine eindeutige physikalische Adresse unter den TCP/IP-Protokollen zugeordnet. Diese wird als eine IP-Adresse bezeichnet. Die IP-Adresse kann folgendes einschließen: (1) eine Netzwerk-ID und eine Zahl, die ein Netzwerk identifiziert, (2) eine Teil-Netzwerk-ID- Nummer, die eine Teilstruktur auf dem Netzwerk identifiziert, und (3) eine Host-ID-Nummer, die einen bestimmten Computer auf dem Teil-Netzwerk identifiziert. Ein Kopf-Datenfeld in dem Informationspaket schließt Quellen- und Zieladressen ein. Das IP-Adressierungsschema bedingt ein konsistentes Adressierungsschema, das die interne Organisation des Netzwerkes oder Teil-Netzwerkes wiedergibt.
  • Ein Router wird zum Regeln der Übertragung von Informationspaketen in das Computer-Netzwerk und aus diesem heraus verwendet. Router interpretieren die in den Informationspaket-Kopffeldern enthaltene logische Adresse und lenken die Informationspakete an das vorgesehene Ziel. Informationspakete, die an Computer auf dem gleichen Netzwerk adressiert werden, durchlaufen nicht den Router zu dem größeren Netzwerk, und als solche verstopfen diese Informationspakete nicht die Übertragungsleitungen des größeren Netzwerkes. Wenn Daten an einen Computer außerhalb des Netzwerkes adressiert werden, leitet der Router die Daten auf das größere Netzwerk weiter.
  • TCP/IP-Netzwerkprotokolle definieren, wie Router den Übertragungspfad durch ein Netzwerk und über Netzwerk-Grenzen hinweg festlegen. Routing- oder Pfadlenkungsentscheidungen beruhen auf Informationen in dem IP-Kopffeld und entsprechenden Einträgen in einer Routing- oder Pfadlenkungstabelle, die auf dem Router geführt wird. Eine Pfadlenkungstabelle enthält Informationen für einen Router, um zu bestimmen, ob ein Informationspaket für ein Gerät angenommen werden sollte, oder das Informationspaket an einen anderen Router weitergelenkt werden sollte.
  • Pfadlenkungstabellen können manuell mit Pfadlenkungs-Tabelleneinträgen oder mit einem dynamischen Pfadlenkungsprotokoll konfiguriert werden. Eine manuelle Pfadlenkungstabelle kann bei der Initialisierung konfiguriert werden. In einem dynamischen Pfadlenkungsprotokoll aktualisieren Router die Pfadlenkungsinformation mit periodischen Informationspaket-Übertragungen an andere Router auf dem Netzwerk. Das dynamische Pfadlenkungsprotokoll berücksichtigt sich ändernde Netzwerk-Topologien, Netzwerk-Architekturen, Netzwerk-Strukturen, die Konstruktion von Routern und die Zwischenverbindungen zwischen Hosts und Routern.
  • Das IP-Basierte Mobilitätssystem
  • Die Internetprotokolle wurden ursprünglich unter der Annahme entwickelt, dass Internet-Benutzer mit einem einzigen festen Netzwerk verbunden sein würden. Mit der Einführung von zellularen drahtlosen Kommunikationssystemen, wie zum Beispiel Mobilkommunikations-Geräten, wurde die Bewegung von Internet-Benutzern innerhalb eines Netzwerkes und über Netzwerk-Begrenzungen hinweg üblich. Aufgrund dieser äußerst mobilen Internet-Benutzung wird die implizite Auslegungs-Annahme der Internetprotokolle (das heißt ein fester Benutzer-Standard) durch die Mobilität der Benutzer verletzt.
  • In einem IP-Basierten Mobilkommunikationssystem kann das Mobilkommunikations-Gerät (beispielsweise ein Zellular-Telefon, ein Suchrufgerät, ein Computer usw.) als ein mobiler Knoten bezeichnet werden. Typischerweise hält ein mobiler Knoten die Verbindungsmöglichkeit zu seinem Heimat-Netzwerk über ein Fremd-Netzwerk aufrecht. Der mobile Knoten wird immer seinem Heimat-Netzwerk für IP-Adressierungszwecke zugeordnet und Informationen werden zu diesem mobilen Knoten über Router gelenkt, die sich auf dem Heimat- und Fremd-Netzwerken befinden. Die Router können durch eine Anzahl von Namen bezeichnet werden, unter Einschluss von Heimat-Agent, Heimat-Mobilitätsverwaltung, Heimat-Lokalisierungsregister, Fremd-Agent, Versorgungs-Mobilitätsverwaltung, Besucherregister und Besucher-Versorgungseinheit.
  • Während er mit einem Fremd-Netzwerk gekoppelt ist, wird dem mobilen Knoten eine Zu-Händen-Adressen zugeordnet. Dies ist eine vorübergehende IP-Adresse, die von dem Fremd-Netzwerk zugeordnet wird. Die Zu-Händen-Adresse wird von Routern auf dem Fremd-Netzwerk verwendet, um Informationspakete, die an den mobilen Knoten adressiert sind, zu lenken. Während er sich auf einem Fremd-Netzwerk befindet, kann sich ein mobiler Knoten von einem Ort zu einem anderen bewegen, wodurch seine Verbindungsmöglichkeit zu dem Netzwerk geändert wird. Diese Bewegung ändert den physikalischen Ort des mobilen Knoten und erfordert eine Aktualisierung von Pfadlenkungstabellen und/oder Zu-Händen-Adressen, um diese Bewegung zu berücksichtigen.
  • Wenn ein mobiler Knoten auf einem Fremd-Netzwerk arbeitet, werden spezialisierte Server zur Authentifizierung, Autorisierung und zum Sammeln von Abrechnungs- Informationen für Dienste verwendet, die für den mobilen Knoten erbracht werden. Diese Authentifizierungs-, Autorisierungs- und Abrechnungs-Aktivität wird als „AAA" bezeichnet und AAA-Computer-Server auf dem Heimat- und Fremd-Netzwerk führen die AAA-Aktivitäten aus.
  • Die Authentifizierung ist der Vorgang des Nachweises einer in Anspruch genommene Identität, und Sicherheitssysteme auf einem mobilen IP-Netzwerk erfordern in vielen Fällen die Authentifizierung der Identität des Systembenutzers, bevor sie eine angeforderte Aktivität autorisieren. Der AAA-Server authentifiziert die Identität eines autorisierten oder berechtigten Benutzers und autorisiert die angeforderte Aktivität des mobilen Knotens. Zusätzlich führt der AAA-Server die Abrechnungsfunktionen dadurch aus, dass er die Nutzung auf dem Netzwerk verfolgt.
  • Virtuelle private Netzwerke
  • Ein virtuelles privates Netzwerk (VPN) emuliert ein privates Netzwerk über eine gemeinsam genutzte physikalische Infrastruktur. Als Beispiel kann sich ein VPN innerhalb eines Ortsbereichs-Netzwerk-(LAN-)Systems oder auf mehreren unterschiedlichen Netzwerken befinden. Ein VPN kann weiterhin mehrfache Computersysteme überspannen. Ein VPN kann zur Erweiterung der Kommunikationsfähigkeiten eines Firmen-Netzwerkes zu entfernt gelegenen Büros oder Benutzern verwendet werden, die alle das Internet, Extranet oder Einwähldienste unterstützen oder verwenden. Auf diese Weise wird eine Verbindungsmöglichkeit zu dem VPN-Netzwerk in der gleichen Weise wie bei einem ausschließlich hierfür bestimmten privaten Netzwerk bereitgestellt, es besteht jedoch keine Notwendigkeit, alle die Ausrüstungen und die Unterstützungs-Infrastruktur an einem entfernten Ort bereitzustellen.
  • Ein Diensteanbieter oder eine andere Netzwerk-Struktur stellt das entfernt angeordnete physikalische System und die Computerinfrastruktur bereit, in der sich das „virtuelle" VPN-Netzwerk befindet. Auf diese Weise kann ein VPN weitgehend in der gleichen Weise funktionieren, wie ein einziges physikalisches Netzwerk, obwohl es zwischenliegende Host-Infrastrukturen gibt und die Kommunikationen Netzwerk-Grenzen überqueren. Es wird eine Anzahl von unterschiedlichen Arten von VPN's in der RFC 2764 vorgeschlagen, doch ist dies bei weitem keine erschöpfende Liste von möglichen VPN-Konstrukten. Das entscheidende Kriterium eines VPN ist ein einziges logisches Netzwerk, das sich auf einer öffentlichen oder privaten Computer-Infrastruktur findet, wobei sich das VPN auf einem oder mehreren autonomen Systemen befindet.
  • Tunnelung
  • Die Tunnelung oder das Einkapseln ist die grundlegende Verfahrensweise in der die IP-Kommunikation, durch die ein Informationspaket zu dem passenden Internet-Knoten über eine zwischenliegende Internet-Adresse gelenkt wird. Um die Punkt-zu-Punkt-Verbindungen eines privaten Netzwerkes zu emulieren, verwendet die VPN-Verfahrensweise sichere Tunnels zur Handhabung der Informationspaket-Übertragung über die öffentliche Infrastruktur.
  • Typischerweise kann ein Informationspaket mit Netzwerk-Pfadlenkung mit einer IP-Adresseninformation eingekapselt werden. Die Einkapselung beinhaltet die Hinzufügung eines äußeren IP-Kopffeldes zu den ursprünglichen IP-Kopffeldern. Auf dies Weise kann ein „Tunnel" konstruiert werden. Das äußere IP-Kopffeld enthält eine Quellen-und-Ziel-IP-Adresse – die „Endpunkte" des Tunnels. Die inneren IP-Kopffeld-Quellen- und Zieladressen identifizieren die ursprünglichen Sender- und Zieladressen.
  • Die ursprünglichen Sender-und Empfänger-Adressen für das Informationspaket bleiben nach der Einkapselung unverändert, während die neuen „Tunnel"-Endpunkt-Adressen an das ursprüngliche Informationspaket angehängt werden. Diese angehängte Adresseninformation ändert die ursprüngliche IP-Pfadlenkung durch Liefern des Informationspaketes an einen zwischenliegenden Zielknoten (bei dem mobilen IP typischer Weise ein Fremd-Router), an dem das eingekapselte Informationspaket „entkapselt" oder „ent-tunnelt" wird, wodurch sich das ursprüngliche Informationspaket ergibt. Das Paket wird dann an die Zieladresse geliefert, die sich in der ursprünglichen IP-Adresse findet, und zwar auf der Grundlage der zugehörigen Pfadlenkungstabellen-Einträge auf Netzwerk-Routern.
  • Das Dokument XP 0076477 : ZAO J ET AL: „A PUBLIC-KEY BASED SECURE MOBILE IP 12" MOBICOM. PROCEEDINGS OF THE ANNUAL INTERNATIONAL CONFERENCE ON MOBILE COMPUTING AND NETWORKING, 26 September 1997 (1997-09-26), Seiten 173–184, beschreibt den Aufbau unterschiedlicher IPSec-Tunnel in dem mobilen IP-paketbasierten drahtlosen Kommunikationssystem, sowie von IPSec-Tunneln zwischen einem mobilen Knoten und einem Fremd-Agenten, wodurch das Initialisierungsprotokoll, beispielsweise eine Registrierungsanforderung über das Netzwerk in einer ungesicherten Weise gesandt wird.
  • Der „Tunnel" wird durch Einkapseln eines Informationspaketes, das die ursprüngliche IP-Adresse des mobilen Knotens (und Nutzdaten) und eine IP-Quellenadresse enthält, mit der zwischenliegenden Pfadlenkungs-IP-Adresse (beispielsweise der Zu-Händen-von-Adresse) des Fremd-Netzwerkes hergestellt. In der spezielleren Anwendung von VPN's können die Tunnels durch Verschlüsselungs- und Authentifizierungs-Protokolle gesichert werden. Diese Sicherheitsprotokolle stellen die Integrität und Vertraulichkeit der Informationspaket-Datenübertragung während einer Kommunikationsitzung sicher. Diese Sicherheitsprotokolle arbeiten jedoch überwiegend auf und zwischen dem Heimat-Netzwerk und dem Fremd-Netzwerk.
  • Durch Einkapseln der Daten mit einem IP-Kopffeld kann ein verschlüsseltes Informationspaket sicher über die öffentliche Kommunikations-Struktur zwischen dem Fremd-Netzwerk und dem Heimat-Netzwerk gelenkt werden. Während des Durchlaufens durch den Tunnel über die öffentliche Kommunikations-Infrastruktur werden die übertragenen Informationspaket-Nutzdaten verschlüsselt, und die verschlüsselten Daten können lediglich unter Verwendung der privaten Verschlüsselungs-Schlüssel entschlüsselt werden, die es dem Verschlüsselungsalgorithmus ermöglichen, die Daten zu dekodieren und die Daten zu verschlüsseln. Das Fremd-Netzwerk entschlüsselt das Informationspaket und sendet das entschlüsselte Paket an den mobilen Knoten. Es ist naheliegend, dass die drahtlose Übertragung eines entschlüsselten Informationspaketes an den mobilen Knoten abgefangen und unberechtigt verwendet werden kann.
  • Bei früheren Realisierungen eines VPN sind üblicherweise zwei Software-Anwendungen erforderlich. Diese Anwendungen schließen einen mobilen IP-Klienten und einen VPN-Klienten ein. Weil kein einzelner integrierter Klient die zwei Software-Anwendungen realisieren kann, sind zwei Klienten erforderlich, die in Tandem arbeiten, um einen VPN-Tunnel und eine Kommunikationsverbindung zu dem mobilen Knoten aufbauen und unterhalten.
  • Derzeitige VPN-Lösungen in einer drahtlosen Umgebung sind nicht befriedigend. Es gibt eine Anzahl von ungelösten Herausforderungen an die Verschlüsselung von Informationspaketen für die Übertragung an mobile Knoten, die sich über Netzwerk-Grenzen hinweg bewegen, insbesondere in der VPN-Umgebung. Es hat sich herausgestellt, dass eine vollständige Verschlüsselung von Informationspaketen von dem mobilen Knoten über die drahtlose Verbindungstrecke zu dem Heimat-Netzwerk sehr schwierig zu realisieren ist. Immer dann wenn der mobile Knoten seine Verbindungsmöglichkeit zu einem Netzwerk ändert, ändert sich die Pfadlenkungsadresse und erfordert ein Zurücksetzen der Klienten und die Durchführung des Austausches neuer Authentifizierungs-und Sitzungsverschlüsselungs-Schlüssel. Sich ändernde Pfadlenkungsadressen erfordern sowohl Zeit als auch Systemressourcen zur Übertragung von Verwaltungsinformation. Diese vergrößerten Zusatzaufwands-Anforderungen führen zu einer Latenz bei der Sitzungsinformations-Übertragung, zu einem Datenverlust und in manchen Fällen zum Abbruch der Sitzung. Es gibt eine Notwendigkeit, die Sicherung der drahtlosen Verbindungsstrecke von dem mobilen Knoten zu dem Fremd-Netzwerk zu verbessern und eine sichere Kommunikation über die drahtlose Verbindungsstrecke sicherzustellen.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung unterstützt eine sichere Übertragungs-Verbindungsstrecke zwischen einem mobilen Knoten und einem Fremd-Agenten unter Verwendung einer integrierten Software-Anwendung. Die Unterstützungssoftware wird auf einem Fremd-Agenten und dem mobilen Knoten betrieben, um sichere Kommunikationen zwischen dem mobilen Knoten und dem Fremd-Agenten zu unterstützen. Als solche ergibt die vorliegende Erfindung ein sicheres Übertragungsprotokoll für Kommunikationen zu und von mobilen Knoten.
  • Die bei der vorliegenden Erfindung verwendete Unterstützungssoftware schließt Merkmale und Protokolle zur Initialisierung und Aufrechterhaltung einer mobilen IP-Verbindung ein. Die Software wird außerdem Initialisierungsfunktionen ausführen, IP-Verbindungen aufbauen und die Zu-Händen-von-Adressierung zwischen dem Fremd-Agenten und dem Heimat-Netzwerk ausführen und die zu übertragenden Daten in IP/TCP-Informationspakete mit Pfadlenkungsinformation für die Übertragung über das Internet formatieren.
  • Die Unterstützungssoftware führt auch die VPN-Funktionen in einer integrierten Umgebung aus, wobei im wesentlichen bisher getrennte Software-Module oder Klienten in einer einzigen Klienten-Umgebung kombiniert werden. Die von diesem integrierten Klienten ausgeführten Funktionen schließen die Benutzer-Authentifizierung, die Adressenverwaltung, die Datenverschlüsselung und die Schlüsselverwaltung ein. Private Sitzungs-Schlüssel werden festgelegt und in den IP/VPN-Klienten-Verschlüsselungs-Algorythmen verwendet. Die Datenverschlüsselung schließt sowohl die Daten-Nutzinformationen des Informationspaketes als auch die aktuelle IP-Identifikation des mobilen Knotens und des Heimat-Netzwerkes ein.
  • Gemäß einem ersten Gesichtspunkt der Erfindung wird ein sicheres Paketbasiertes drahtloses Kommunikationssystem geschaffen, das folgendes umfasst:
    einen Fremd-Agenten auf dem Fremd-Netzwerk, der drahtlos mit einem mobilen Knoten verbunden ist, wobei der Fremd-Agent Informationspakete für den mobilen Knoten lenkt; und ein integriertes Software-Programm, das ein integriertes sicheres Übertragungsprotokoll hat, das auf dem Fremd-Agenten und dem mobilen Knoten arbeitet, wobei das Protokoll auf dem mobilen Knoten und dem Fremd-Agenten arbeitet und die Übertragung von verschlüsselten Registrierungs-Anforderungs-Informationspaketen zwischen dem mobilen Knoten und dem Fremd-Agenten ausführt.
  • Vorzugsweise schließt das integrierte sichere Übertragungsprotokoll ein Sicherheits-Initialisierungsverfahren zur Aushandlung von Verschlüsselungsalgorithmen ein, die zur Verschlüsselung von Registrierungs-Anforderungs-Informationspaketen für die Übertragung für den mobilen Knoten verwendet werden.
  • Alternativ schließt das integrierte sichere Übertragungsprotokoll eine Sicherheits-Initialisierungsprozedur zum Austausch von Verschlüsselungs-Schlüsseln ein, die in den Verschlüsselungsalgorithmen verwendet werden, um Registrierungs-Anforderungs-Informationspakete zur Übertragung für den mobilen Knoten zu verschlüsseln.
  • Vorzugsweise umfasst das integrierte sichere Übertragungsprotokoll weiterhin eine Kommunikationsunterstützung für die Übertragung von verschlüsselten Registrierungs-Anforderungs-Informationspaketen.
  • Das Kommunikationssystem kann einen allgemeinen Paket-Funkdienst, ein universelles Mobil-Telekommunikationssystem oder ein Codemultiplex-Vielfachzugriffs-System umfassen.
  • Gemäß einem zweiten Gesichtspunkt der Erfindung wird ein Verfahren zur Sicherung von Registrierungs-Anforderungs-Übertragungen zwischen einem mobilen Knoten und einem Fremd-Netzwerk geschaffen, das die folgenden Schritte umfasst: Bereitstellen eines Fremd-Netzwerkes mit einem Fremd-Agenten, der die Informationspaket-Übertragung über eine drahtlose Kommunikationsverbindungsstrecke an den mobilen Knoten unterstützt; Bereitstellen einer Kommunikationsverbindungsstrecke von dem Fremd-Netzwerk; Ausbilden einer sicheren Kommunikationsverbindungsstrecke zwischen dem Fremd-Agenten und dem mobilen Knoten; Initialisieren eines integrierten Sicherheits-Übertragungsprotokolls unter Verwendung einer integrierten Software-Anwendung auf dem Fremd-Agenten und dem mobilen Knoten; Empfangen einer eingekapselten verschlüsselten Registrierungs-Anforderung für eine Kommunikationssitzung von dem mobilen Knoten an den Fremd-Agenten; Entkapseln der verschlüsselten Registrierungs-Anforderung, die von dem mobilen Knoten empfangen wird; Entschlüsseln der verschlüsselten Registrierungs-Anforderung, die von dem mobilen Knoten empfangen wird, für eine Kommunikationssitzung durch den Fremd-Agenten; und Übertragen der entschlüsselten Registrierungs-Anforderung von dem Fremd-Netzwerk zu einem Heimat-Netzwerk (HM); und Senden eines verschlüsselten Informationspaketes, das unter dem integrierten Sicherheits-Übertragungsprotokoll gebildet wurde, an den mobilen Knoten.
  • Das System kann weiterhin den Schritt des Austausches von authentifizierten und sicheren Informationspaketen zwischen dem Fremd-Agenten und dem mobilen Knoten umfassen, die Verschlüsselungsalgorithmus-Informationen enthalten, die unter dem integrierten Sicherheits-Übertragungsprotokoll gebildet wurden.
  • Das Verfahren kann weiterhin den Schritt des Austausches von authentifizierten und sicheren Informationspaketen zwischen dem Fremd-Agenten und dem mobilen Knoten umfassen, die Verschlüsselungs-Schlüssel zur Verwendung durch das integrierte Sicherheits-Übertragungsprotokoll enthalten.
  • Das Verfahren kann weiterhin die folgenden Schritte umfassen: Empfangen eines Informationspaketes an den Fremd-Agenten, das an den Fremd-Agenten adressiert ist; Verschlüsseln des von dem Fremd-Agenten empfangenen Informationspaketes; Einkapseln des verschlüsselten Informationspaketes; und Senden des verschlüsselten Informationspaketes von dem Fremd-Agenten an den mobilen Knoten.
  • Das Verfahren kann weiterhin die folgenden Schritte umfassen: Erzeugen eines Informationspaketes an den mobilen Knoten; Verschlüsseln des von dem mobilen Knoten erzeugten Informationspaketes; Einkapseln des verschlüsselten Informationspaketes; und Senden des verschlüsselten Informationspaketes an den Fremd-Agenten zum Entkapseln und Entschlüsseln;
    Vorzugsweise wird das integrierte Sicherheits-Übertragungsprotokoll durch Hinzufügen einer Übertragungsprotokoll-Schicht zu dem Übertragungsprotokoll-Stapel für die Einkapselungs-/Entkapselung- und Verschlüsselungs-/Entschlüsselungs-Funktionen realisiert.
  • Vorzugsweise schließen die Verschlüsselungsalgorithmen den Datenverschlüsselungsstandard (DES), den Dreifach-Datenverschlüsselungsstandard (3DES), Rivest-Shamir-Aldeman (RSA), ElGamal, RC2 oder RC4 ein.
  • Das Verfahren der Authentifizierung und Sicherung der Informationspakete während des Schlüsselaustausches kann Message Digest 5 (MD5), Secure Hash Algorithmen (SHA), oder Diffie-Hellman Algorithmen einschließen.
  • Gemäß einem dritten Gesichtspunkt der vorliegenden Erfindung wird ein Verfahren zur sicheren paketbasierten drahtlosen Kommunikation geschaffen, das die folgenden Schritte umfasst: Bereitstellen eines Fremd-Agenten auf einem Fremd-Netzwerk, der über eine drahtlose Verbindungsstrecke mit einem mobilen Knoten gekoppelt ist, wobei der Fremd-Agent die Übertragung von Informationspaketen für den mobilen Knoten unterstützt; Initialisieren einer sicheren VPN-Verbindung zwischen dem Fremd-Agenten und dem mobilen Knoten, Betreiben einer Kommunikationsanwendung, die ein integriertes Sicherheits-Übertragungsprotokoll zur Aussendung und zum Empfang sicherer Informationspaket-Übertragungen über die VPN-Verbindung aufweist, und Senden eines verschlüsselten Registrierungs-Anforderungs-Informationspaketes, das von dem integrierten Sicherheits-Übertragungsprotokoll gebildet wird, zwischen dem mobilen Knoten und dem Fremd-Agenten.
  • Vorzugsweise wird das verschlüsselte Registrierungs-Anforderungs-Informationspaket unter Verwendung des integrierten Sicherheits-Übertragungsprotokolls entschlüsselt.
  • Vorzugsweise weist das verschlüsselte Registrierungs-Anforderungs-Informationspaket eine verschlüsselte Adresse, die von dem Fremd-Agenten zum Lenken von Informationspaketen verwendet wird, verschlüsselte Daten und ein nicht verschlüsseltes Einkapselungs-Adressen-Kopffeld auf, das zur Pfadlenkung des Informationspaketes verwendet wird.
  • Der Initialisierungsschritt kann durch Software-Teilroutinen gesteuert werden, die die Kommunikations-Verbindungsstrecke für den mobilen Knoten ausbilden.
  • Vorzugsweise schließt der Initialisierungsschritt eine Subroutine ein, die die Verschlüsselung und Entschlüsselung der Registrierungs-Anforderungs-Informationspakete steuert.
  • Vorzugsweise wird das entschlüsselte Registrierungs-Anforderungs-Informationspaket von dem Fremd-Agenten übertragen.
  • Die Ziele und Merkmale der Erfindung werden einfacher aus der folgenden ausführlichen Beschreibung und den beigefügten Ansprüchen verständlich, wenn diese in Verbindung mit den beigefügten Zeichnungen gelesen werden, in denen gleiche Bezugsziffern gleiche Elemente bezeichnen und in denen:
  • 1 eine schematische Darstellung eines mobilen drahtlosen IP-Kommunikationsnetzwerkes ist, das einen allgemeinen paketbasierten drahtlosen Dienst (GPRS) aufweist;
  • 2 eine schematische Darstellung eines GPRS-Kommunikationsnetzwerkes ist;
  • 3 eine Darstellung eines Informationspaketes ist;
  • 4 eine allgemeine Darstellung eines ursprünglichen Informationspaketes und eines eingekapselten Informationspaketes ist, das für die Tunnelung verwendet wird;
  • 5 die bekannte allgemeine Mitteilungsfolge zur Einleitung einer mobilen IP-Kommunikationssitzung ist;
  • 6A ein Ablaufdiagramm ist, das die von dem Kommunikationsprogramm befolgten Prozeduren zum Aufbau der sicheren VPN-Verbindungsstrecke und der mobilen IP-Sitzung zeigt;
  • 6B ein Ablaufdiagramm ist, das die Folge von Operationen für eine Übertragung von dem mobilen Knoten zu dem Fremd-Agenten zeigt;
  • 6C ein Ablaufdiagramm ist, das die Folge von Operationen für eine Übertragung von dem Fremd-Agenten zu dem mobilen Knoten zeigt;
  • 6D eine spezifische Mitteilungsfolge zur Initialisierung der sicheren VPN-Verbindungsstrecke gemäß der Erfindung ist;
  • 6E eine graphische Darstellung eines verschlüsselten, eingekapselten Paketes und der Entkapselungs- und Entschlüsselungsprozedur ist;
  • 7A ein Protokollstapel-Diagramm für den mobilen Knoten beim Stand der Technik ist;
  • 7B ein Protokollstapel-Diagramm für den mobilen Knoten gemäß der Erfindung ist;
  • 8A ein Protokollstapel-Diagramm für den Überleiteinrichtungs(Gateway-)GPRS-Dienst-Knoten (GGSN) nach dem Stand der Technik ist;
  • 8B ein Protokollstapel-Diagramm für den Gateway-GPRS-Dienst-Knoten (GGSN) gemäß der Erfindung ist.
  • Ausführliche Beschreibung
  • Die folgende Beschreibung ist eine Beschreibung von bevorzugten Ausführungsbeispielen lediglich in Form eines Beispiels und ohne Beschränkung auf die Kombination von Merkmalen, die für die Übertragung der Erfindung in die Praxis erforderlich sind.
  • Gemäß 1 unterstützt ein Zellenstandort 1 eine drahtlose Kommunikation mit mobilen Knoten (beispielsweise Zellulartelefonen, Laptop-Computern, Palm-Pilot-Geräten, usw.) innerhalb dieses Zellenstandort-Dienstebereiches. Andere Zellenstandorte 2 und 3 befinden sich benachbart zu dem Zellenstandort 1 in 1, und jeder Zellenstandort 2 und 3 unterstützt drahtlose Kommunikationen in seinem jeweiligen Bereich. Die Basisstations-Steuerung („BSC") 5 ist mit dem Zellenstandort 1 über Signalleitungen 6 und 7 gekoppelt. Die BSC 5 ist mit dem Zellenstandort 3 über die Signalleitungen 19 und 7 gekoppelt, und die BSC 5 ist mit dem Zellenstandort 2 über die Signalleitungen 29 und 7 gekoppelt. Die BSC 5 unterstützt die Übertragung von Sprache- und Datenkommunikationen auf dem zellularen drahtlosen Netzwerk, und die BSC 5 ermöglicht die Kontinuität von Übertragungen zu und von mobilen Knoten, während sich die mobilen Knoten in den drahtlosen Netzwerk von einem Zellenstandort zu einem anderen bewegen (beispielsweise von dem Zellenstandort 1 zu dem Zellenstandort 2). Die BSC 5 steuert weiterhin andere Komponenten in den Zellenstandorten, um die Übertragung von Sprache und Daten auf dem drahtlosen Netzwerk weiter zu unterstützen. Insgesamt können die BSC 5 und ihre zugehörigen Komponenten als ein Basisstations-Teilsystem („BSS") 70 bezeichnet werden. Die BSC 5 kann weiterhin einzeln als ein BSS bezeichnet werden. Das BSS wird in manchen Fällen auch als das Funk-Zugangsnetzwerk (RAN) bezeichnet.
  • Ein allgemeines paketbasiertes Funkdienst-(„GPRS"-)Netzwerk 50 ist in 1 gezeigt. Die BSC-Einheit 5 ist mit dem GPRS-Netzwerk 50 über eine Schnittstellen-Signalleitung 15 gekoppelt. Das GPRS-Netzwerk 50 unterstützt die Übertragung von IP-Paketen und anderen Arten von paketisierten Daten über eine Kommunikations-Infrastruktur. Das GPRS-Netzwerk 50 ergibt einen paketbasierten Zugang für einen mobilen Knoten auf dem BSS 70 über die Gb-Schnittstellen-Signalleitung 15.
  • Das GPRS-Netzwerk 50 ist weiterhin mit anderen Arten von Netzwerken gekoppelt, wie zum Beispiel GPRS2 81, einem Paket-Datennetzwerk (PDN) 82 und dem Internet 83. Das GPRS-Netzwerk 50 ist mit dem GPRS2 81 über die Kommunikationsverbindungsstrecke 40 gekoppelt. Das GPRS-Netzwerk 50 ist mit dem PDN 82 über die Kommunikationsverbindungsstrecke 38 gekoppelt, und das GPRS-Netzwerk 50 ist mit dem Internet 83 über eine Kommunikations-Verbindungsstrecke 39 gekoppelt.
  • Die BSC 5 unterstützt drahtlose Kommunikationen von einem Teilnehmer, einem Benutzer einer mobilen Einheit oder einem mobilen Knoten in den Dienstbereichen des Zellenstandortes 1, des Zellenstandortes 2 und des Zellenstandortes 3. Während sich ein mobiler Knoten über diese Zellenstandort-Begrenzungen bewegt, ist er in der Lage, auf dem Internet 83, mit dem PDN 82, oder dem GPRS2 81 über die Gb-Schnittstelle 15 und das GPRS-Netzwerk 50 zu kommunizieren. Wenn der mobile Knoten eine Begrenzung von einem mit der BSC 5 verbundenen Standort zu einer anderen BSC überquert, so wird die Kommunikationsunterstützung von der BSC 5 auf die neue BSC umgeschaltet.
  • 2 zeigt weiter interne Einzelheiten eines drahtlosen allgemeinen paketbasierten Funkdienst-(GPRS-)Telekommunikations-Netzwerkes 100 das mit einem BSS 110 über die Gb-Schnittstellen-Signalleitung 105 gekoppelt ist. Die Gb-Schnittstellen-Signalleitung 105 ist mit dem BSS 110 über dessen zugehörige BSC 111 gekoppelt. Die BSC 111 ist ihrerseits mit einem Basisstations-Sendeempfänger-Teilsystem (BTS) 120 gekoppelt, das drahtlose Kommunikationen auf einem Zellenstandort unterstützt. Die BSC 111 ist mit dem BTS 120 über eine Kommunikationsleitung 125 verbunden. Das BTS 120 ist mit einer Antenne 123 über eine Kommunikationsleitung 121 verbunden. Die Antenne 123 unterstützt drahtlose Kommunikationen mit dem mobilen Knoten (MN) 180 über eine drahtlose Kommunikations-Verbindungsstrecke 181.
  • Das GPRS-Netzwerk 100 umfasst ein Heimatregister (HLR) 130, das mit einem Dienste liefernden GPRS-Unterstützungsknoten (SGSN) 140 über eine Signalleitung 132 verbunden ist. Das GPRS-Netzwerk umfasst weiterhin einen Anruf-Server-Kontrollfunktion-Knoten (CSCF) 150, der mit einem Überleit einrichtungs-(Gateway-)GPRS-Unterstützungsknoten (GGSN) 160 über eine Signalleitung 152 verbunden ist. Der GGSN 160 ist mit dem SGSN 140 über eine Signalleitung 162 gekoppelt, und der CSCF 150 ist mit dem HLR 130 über eine Signalleitung 133 gekoppelt. Die Schnittstellenverbindung 132 zwischen dem SGSN 140 und dem HLR 130 wird als die Gr-Schnittstelle bezeichnet. Die Schnittstellenverbindung 162 zwischen dem SGSN 140 und dem GGSN 160 wird als die Gn-Schnittstelle bezeichnet.
  • Die Schnittstellenverbindung 105 zwischen dem SGSN 140 und der BSC 111 des BSS 110 ist die Gb-Schnittstelle. Die Datenübertragung zwischen dem SGSN 140 und der BSC 111 fließt durch die Gb-Schnittstelle 105, so dass eine Kommunikation zwischen dem BSS 110 und dem GPRS-Netzwerk 100 ermöglicht wird. Das GPRS-Netzwerk 100 ist weiterhin mit anderen Netzwerken gekoppelt, wie zum Beispiel einem PDN (nicht gezeigt), dem Internet 175 oder anderen GPRS-Netzwerken (nicht gezeigt), wie dies in 1 beschrieben wurde. Eine Verbindung von dem GPRS-Netzwerk 100 zu dem Internet 175 über die Kommunikations-Verbindungsstrecke 174 ist gezeigt. Das Internet 175 ist mit dem Heimat-Netzwerk 190 des MN 180 über eine Kommunikations-Verbindungsstrecke 189 verbunden.
  • In einem mobilen IP-Kommunikationssystem wird der MN 180 durch eine IP-Adresse identifiziert. Typischerweise ist dies eine permanente IP-Adressen-Zuordnung, doch kann die IP-Adresse über einen dynamischen Host-Konfigurationsprotokoll-(DHPC)Server des Heimat-Netzwerkes aus einem Vorrat an verfügbaren IP-Adressen zugeteilt werden. Während der MN 180 mit seinem Heimat-Netzwerk 190 gekoppelt ist, arbeitet der MN 180 genauso wie irgend ein anderer fester Knoten auf diesem Netzwerk. Wenn sich der MN 180 jedoch an einer von seinem Heimat-Netzwerk 190 entfernten Stelle befindet und an ein Fremd-Netzwerk (beispielsweise das GPRS 100) angebunden ist, so sendet das Heimat-Netzwerk 150 Datenkommunikationen an den MN 180 dadurch, dass Informationspakete an das Fremd-Netzwerk 100 getunnelt werden. Der MN 180 kommuniziert seinerseits mit seinem Heimat-Netzwerk 150 durch Tunneln von Informationspaketen durch das Fremd-Netzwerk 100 hindurch zu dem Heimat-Netzwerk 190.
  • Das allgemeine Format eines Informationspaketes, das auf paketbasierten Kommunikationssystemen verwendet wird, ist in 3 gezeigt. Informationspakete verwenden ein Kodierungsformat von „1"- und „0"-Datenbits, um einen Datenstrom aufzubauen, den ein Computer interpretieren kann. Das Informationspaket 200 hat ein IP-Adressen-Kopffeld 210, das Pfadlenkungsbefehle für den Transport über ein IP-Kommunikationssystem ergibt. Die tatsächliche Länge und Konfiguration des IP-Kopffeldes 210 hängt von dem tatsächlichen verwendeten Kommunikationsprotokoll ab (beispielsweise IPv4 oder IPv6). Das Informationspaket 200 enthält weiterhin ein eine veränderliche Länge aufweisendes Datenfeld 220, das die tatsächliche Information enthält, die von der Ursprungsquelle zu der Zielquelle übertragen wird.
  • Das grundlegende Tunnel-Protokoll, das zum Lenken von Daten verwendet wird, ist in 4 gezeigt. Das ursprüngliche Informationspaket 300 enthält ein IP-Kopffeld (IP) 310, das IP-Adressen sowohl für das abschließende Ziel als auch den Sender des Paketes 300 umfasst. Die Daten (DATA) 320 sind die aktuellen Daten oder die Nutzdaten, die übertragen werden. Nach dem Einkapseln wird ein äußeres Kopffeld (OH) 330 zu dem Informationspaket 300 hinzugefügt. Dies ergibt ein eingekapseltes Informationspaket 360, das ein äußeres Kopffeld 330 (typischerweise eine IP-Adresse) mit der Adresse für die Tunnel-Eintritts-und Austrittspunkte, das IP-Kopffeld 340, das die IP-Adresse des Ziels und die Quellen-IP-Adresse umfasst, und die Nutzdaten 350 umfasst. Zum Lenken zu dem MN 180 wird das eingekapselte Informationspaket von dem Heimat-Netzwerk (HN) 190 zu dem Fremd-Netzwerk 100 (beispielsweise GPRS 100) gelenkt. Im Inneren des GPRS-Netzwerkes 100 wird das eingekapselte Informationspaket zu einem Zwischenziel, dem GGSN 160 gelenkt. Der GGSN 160 „entkapselt" oder „enttunnelt" das Informationspaket 300 aus dem eingekapselten Informationspaket 360 und lenkt das wiederhergestellte Informationspaket 300 an den MN 180 auf der Grundlage des IP-Kopffeldes 340 und der zugehörigen Zu-Händen-von-Adresse in seiner Pfadlenkungstabelle.
  • 5 zeigt die bekannte Mitteilungsfolge zum Initialisieren einer mobilen IP-Sitzung auf dem GPRS-Netzwerk 100. Als erstes muss der MN 180 ein Anschlussprotokoll an das GPRS-Netzwerk 100 ausführen. Im Schritt 505, beim ersten Verbinden mit einem BSS 111 über eine drahtlose Verbindungsstrecke 181 initialisiert der MN 180 eine Verbindung an das GPRS-Netzwerk 100 mit einer Anschluss-Anforderungs-(Attch Req-)Mitteilung, die an den SGSN 140 gesandt wird. Der SGSN 140 verarbeitet die Anforderung, prüft, ob der Benutzer zugangsberechtigt ist und erzeugt eine temporäre Identität. Der SGSN 140 sendet eine Anschluss-Antwort-(Attch Res-)Mitteilung, die dem MN 180 eine temporäre Identität im Schritt 510 zuordnet.
  • Um Informationspakete außerhalb des GPRS-Netzwerkes 100 auszutauschen, muss der MN 180 eine Paketdaten-Protokoll-(PDP-)Adresse erhalten, die zu benutzen ist, während er sich auf dem GPRS-Netzwerk befindet. Im Schritt 515 sendet der MN 180 eine Aktiviere-PDP-Kontext-Anforderung-(Act PDP Req) an den SGSN 140. Der SGSN 140 verarbeitet die Anforderung und erzeugt eine Erzeuge-PDP-Kontext-Anforderungs-(Create PDP Req-)Mitteilung an den GGSN 160 im Schritt 520. Im Schritt 525 verarbeitet der GGSN 160 die Anforderung und gewinnt eine PDP-Adresse für den MN 180 zur Verwendung auf dem GPRS-Netzwerk 100. Eine Erzeuge-PDP-Kontext-Antwort-(Create PDP Context Res-)Mitteilung wird erzeugt und an den SGSN 140 gesandt. Bei berechtigtem Zugang erzeugt der SGSN 140 seinerseits eine Aktiviere-PDP-Kontext-Annahme-(Act PDP Acc-)Mitteilung und sendet diese an den MN 180 im Schritt 530.
  • Nachdem der GPRS-Anschluss und die Kontext-Aktivierung abgeschlossen ist, kann der MN 180 nunmehr das mobile IP-Protokoll einleiten. In Schritt 535 empfängt der MN 180 eine Agenten-Ankündigungs-(Agnt Ad-)Mitteilung von dem GGSN 160. Im Schritt 540 sendet der MN 180 eine Registrierungsanforderungs(Reg Req-)Mitteilung an den GGSN 160, der die Anforderung weiterleitet und eine Zu-Händen-von-IP-Adresse zur Verwendung durch den MN 180 auf den GPRS-Netzwerk 100 gewinnt. In Schritt 545 erzeugt der GGSN 160 eine Registrierungsanforderungs-(Reg Req-)Mitteilung und sendet diese an das Heimat-Netzwerk 190 des MN 180, wobei diese Mitteilung die Zu-Händen-von-IP-Adresse enthält. In Schritt 550 verarbeitet das Heimat-Netzwerk 190 die Mitteilung, und wenn die Identität des MN 180 bestätigt wird, so wird eine Registrierungs-Antwort-(Reg Res-)Mitteilung an den GGSN 160 zurückgesandt. Die Reg Res-Mitteilungs-Verarbeitungseinheit auf dem Heimat-Netzwerk 190 kann einen Heimat-Agenten oder einen Computer-Server, wie zum Beispiel einen AAA-Server oder einen DHCP-Server einschließen. In Schritt 555 verarbeitet der GGSN 160 die Antwort, erzeugt eine Registrierungs-Antwort-(Reg Rep-)Mitteilung und sendet diese an an den MN 180 zurück, wobei diese die Zu-Händen-von-IP-Adresse enthält. Im Schritt 560 bestätigt der MN 180 die Registrierung bei dem Heimat-Netzwerk 190 durch Senden einer Bindungs-Aktualisierungs-Mitteilung (BU) an das Heimat-Netzwerk 190. In Schritt 565 antwortet das Heimat-Netzwerk 190 auf die BU-Mitteilung mit einer Bindungs-Bestätigungs-(BA-)Mitteilung. Dies schließt die Registrierung des MN 180 unter den mobilen IP-Protokoll ab und ermöglicht es, dass der MN 180 IP-Informationspakete auf dem GPRS-Netzwerk 100 in einer mobile IP-Sitzung sendet und empfängt. Das Problem mit diesem Kommunikations-Initialisierungsprotokoll ist das Fehlen von sicheren Informationspaket-Übertragungen über die drahtlose Verbindungsstrecke 181. Während des Austausches von Mitteilungspaketen ist die IP-Adresse in den Informationspaketen nicht sicher und kann abgefangen werden. Die Kommunikationssitzung zwischen dem Heimat-Netzwerk und dem mobilen Knoten kann ohne eine sichere Informationspaket-Übertragung an den mobilen Knoten verfälscht werden.
  • Bei der Erfindung unterstützt das mobile IP-Softwareprogramm oder der IP-Klient sichere Kommunikationen zwischen dem Fremd-Agenten und dem mobilen Knoten. Die Unterstützungssoftware der Erfindung stellt ein sicheres Kommunikationsprotokoll zwischen dem mobilen Knoten und dem Fremd-Agenten zur Verfügung, wobei sie im wesentlichen einen einzigen integrierten IP-VPN-Klienten bildet.
  • Die grundlegende Folge von Operationen, die von dem IP-VPN-Klienten ausgeführt wird, ist in dem Flussdiagramm in 6A gezeigt. Die erste Operation 600 initialisiert die Verbindungsstrecke zwischen dem MN 180 und dem GGSN 160 (beispielsweise dem Fremd-Agenten) auf dem GPRS-Netzwerk 100 (beispielsweise einem Fremd-Netzwerk). Die zweite Operation 601 tauscht Verschlüsselungs-Schlüssel aus, die in den Verschlüsselungs-Algorithmus-Subroutinen benötigt werden. Annehmbare Algorithmen für den Schlüsselaustausch schließen Message Digest 5 (MD5), Secure Hash Algorithm (SHA) und einen Diffie-Hellmann-Kombinations-Algorithmus unter Verwendung eines öffentlichen und eines privaten Verschlüsselungs-Schlüssels ein. In der dritten Operation 602 wird der während der Kommunikationssitzung verwendete Verschlüsselungs-Algorithmus ausgehandelt. Es kann eine Anzahl von Verschlüsselungs-Algorithmen in den Subroutinen des Programms verfügbar sein, unter Einschluss des Datenverschlüsselungs-Standards (DES) des Dreifach-Datenverschlüsselungs-Standards (3DES), Rivest-Shamir-Aldeman (RSA), ElGamal, RC2 und RC4.
  • An diesem Punkt haben der MN 180 und der GGSN 160 die Information, die benötigt wird, um die Information sicher zu übertragen. Die nächste Operation 603 schließt die mobile IP-Verbindung zwischen den MN 180 und dem Heimat-Netzwerk 190 ab. Dieser Schritt erfordert die Auswahl von Verschlüsselungs-/Entschlüsselungs-Protokollen und Algorithmen, um die IP-Adresse und Identität des MN 180 und des Heimat-Netzwerkes 190 zu betreiben und zu sichern. Die abschließende Operation 604 sendet Informationspakete unter Verwendung der Verschlüsselung und Entschlüsselung.
  • 6B zeigt die Operation des IP/VPN-Klienten, während ein IP-Paket von dem MN 180 an das Heimat-Netzwerk 190 gesandt wird.
  • Das Programm beginnt in Schritt 611, der die Verbindung des MN 180 mit dem GPRS-Netzwerk 100, den Austausch von Sitzungs-Schlüsseln, die Aushandlung der Algorithmen und die Herstellung einer mobilen IP-Verbindung von den MN 180 zu dem Heimat-Netzwerk 190 einschließt. In Schritt 612 formatiert das Protokoll Daten in Informationspakete. An diesem Schritt formatiert der Klient Informationspakete zur Übertragung auf ein paketbasiertes System, wobei Daten in Pakete unterteilt, die Pakete formatiert, Paket-Kopffelder erzeugt und die Umsetzung der Daten in das IP-Paketformat erleichtert wird. Dieser Schritt schließt weiterhin die Erzeugung eines IP-Adressen-Kopffeldes mit der IP-Adresse des Ziels und der Quelle ein (beispielsweise die IP-Identifikation des MN 180). Der Klient führt diesen Schritt kontinuierlich für alle Pakete aus, die während einer Kommunikationssitzung gesandt werden.
  • In Schritt 613 verschlüsselt das Sicherheitsprotokoll, das an dem MN 180 arbeitet, das IP-Informationspaket. Im Schritt 612 formatierte IP-Pakete werden in Schritt 613 unter Verwendung des ausgetauschten Sitzungs-Verschlüsselungs-Schlüssel und des ausgewählten Algorithmus in den Programm-Subroutinen des Klienten verschlüsselt. Der Klient verwendet die Schlüssel und Algorithmen, um das gesamte Informationspaket zu verschlüsseln, wodurch sichergestellt wird, dass die Paket-Nutzdaten und die IP-Adresse während der Übertragung über die drahtlose Schnittstelle von dem MN 180 zu dem BSS 120 gesichert sind. Während der Verschlüsselung wird ein IP-Sicherheits-Kopffeld (IPSec) erzeugt und an das verschlüsselte Paket angehängt.
  • Sobald das Paket verschlüsselt ist, kapselt der Klient das Paket zur Übertragung in Schritt 614 ein. Das verschlüsselte Paket muss mit einem äußeren Kopffeld auf dem Informationspaket zur Pfadlenkung auf dem GPRS-Netzwerk 100 eingekapselt werden. Dieses eingekapselte Kopffeld ist eine Adresse, die als Eintrittspunkt in den gesicherten Tunnel verwendet wird, den das Verschlüsselungsprotokoll zwischen dem MN 180 und dem GGSN 160 erzeugt.
  • In Schritt 616 wird das eingekapselte Paket von dem MN 180 zu dem BTS 120 gesandt, das die Pakete an die BSC 111 weiterleitet. Die BSC 111 verarbeitet das Paket und lenkt das Paket an den SGSN 140. Der SGSN 140 lenkt seinerseits das Paket an den GGSN 160.
  • In Schritt 617 wird das Paket an dem GGSN 160 empfangen. Weil das Paket an den GGSN 160 adressiert ist, wird das Paket verarbeitet, was ein IP-Sicherheits(IPSec) Kopffeld sichtbar macht, das die Authentifizierungsdaten enthält und die Anforderungen für den Klienten zur Entschlüsselungen des Paketes spezifiziert. In Schritt 617 entschlüsselt der GGSN 160 das IP-Paket unter Verwendung des umgekehrten Vorganges der Verschlüsselungs-Algorithmen, die durch die integrierte Klienten-Software bestimmt ist, die auf dem GGSN 160 arbeitet. An dem abschließenden Schritt 619 sendet der GGSN 160 das entschlüsselte IP-Paket an das Heimat-Netzwerk 190. Das entschlüsselte Paket wird entsprechend den mobilen IP-Protokollen des Klienten für die Übertragung an das Heimat-Netzwerk 190 ausgesandt.
  • 6C zeigt den Betrieb des IP/VPN-Klienten, während ein IP-Paket von dem GGSN 160 an den MN 180 gesandt wird. Das Programm beginnt in Schritt 621, der die Zuordnung eines PDP-Kontextes zu dem MN 180, den Austausch von Sitzungs-Schlüsseln, die Aushandlung von Verschlüsselungs-Algorithmen und die Herstellung einer mobilen IP-Verbindung zu dem Heimat-Netzwerk 190 einschließt. Der Schritt 622 ist der Empfang eines IP-Paketes durch den GGSN 160 von dem Heimat-Netzwerk 190 mit der zugeordneten Zu-Händen-von-IP-Adresse für den MN 180. In Schritt 622 befragt der GGSN 160 entsprechend den anwendbaren Subroutinen in dem Klienten seine Pfadlenkungstabelle, um den aktuellen Standort des MN 180 auf dem GPRS-Netzwerk 100 zu bestimmen. Eine Anzeige auf einer Pfadlenkungstabelle, die dem MN 180 zugeordnet ist, zeigt eine Forderung nach einer Verschlüsselung des Paketes an, und diese Anzeige bewirkt, dass der Klient die vorgeschriebenen Verschlüsselungsalgorithmen realisiert, die durch die integrierte Klienten-Software festgelegt sind.
  • Nach dem Schritt 622 geht das Programm zum Schritt 623 über, in dem das IP-Paket entsprechend dem ausgehandelten Verschlüsselungs-Algorithmus und den Sitzungs-Schlüsseln verschlüsselt wird. Ein IPSec-Kopffeld wird erzeugt und an den Anfang des verschlüsselten IP-Paketes zur Übertragung über das GPRS-Netzwerk 100 zu dem MN 180 angehängt. Im Schritt 624 kapselt der Klient des GGSN 160 das verschlüsselte Paket mit einem Adressen-Kopffeld zur Pfadlenkung des Informationspaketes zu dem Standort des MN 180 auf dem GPRS-Netzwerk 100 ein. Dieses Pfadlenkungs-Adressen-Kopffeld lenkt Pakete an den BTS 120 zur Aussendung an den MN 180 und das Adressen-Kopffeld wird von einem Pfadlenkungs-Tabelleneintrag, der der IP-Adresse für den MN 180 zugeordnet ist, in das IP-Kopffeld-Datenfeld für das Ziel kopiert.
  • Im Schritt 626 wird das eingekapselte verschlüsselte Paket von dem auf dem GGSN 160 arbeitenden Klienten an die BSC 111 gesandt. Die BSC 111 interpretiert das Pfadlenkungs-Adressen-Kopffeld und lenkt das Paket an das BTS 120, das das Paket über die drahtlose Verbindungsstrecke 181 an den MN 180 sendet. Im Schritt 627 empfängt der MN 180 das ausgesandte Paket und verarbeitet das Paket, um das IPSec-Kopffeld sichtbar zu machen. Das IPSec-Kopffeld sagt dem Klienten, dass das Paket verschlüsselt ist und entschlüsselt werden muss. Im Schritt 628 wird das Paket von dem integrierten Software-Paket entschlüsselt, das auf dem MN 180 arbeitet, und das im Wesentlichen die umgekehrte Operation zu dem vereinbarten Verschlüsselungs-Algorithmus und den Sitzungs-Schlüsseln ausführt. Sobald das Paket entschlüsselt wurde, wird das ursprüngliche IP-Paket sichtbar. In dem abschließenden Schritt 629 wird das IP-Paket in Daten formatiert, die für die Verwendung in einem Anwendungsprogramm auf dem MN 180 kompatibel sind.
  • 6D zeigt die spezielle Mitteilungs-Folge zum Aufbau des IP/VPN-Klienten. Während der Initialisierung in Schritt 605 schließt sich der MN 180 an das GPRS-Netzwerk 100 an. Nach der Verbindung mit dem BSS 111 über die drahtlose Verbindungsstrecke 181 sendet der MN 180 eine Anschluss-Anforderungs-Mitteilung (Attch Req) an den SGSN 140. Der SGSN 140 verarbeitet die Anforderung, prüft, ob der Benutzer eine Zugangsberechtigung hat und erzeugt eine temporäre Identität. Im Schritt 610 sendet der SGSN 140 eine Anschluss-Antwort-(Attch Res-)Mitteilung, die dem MN 180 eine temporäre Identität zuteilt. Zum Austausch von Informationspaketen auf dem GPRS-Netzwerk 100 muss der MN 180 eine Paket-Datenprotokoll-(PDP-)Adresse zur Verwendung auf dem GPRS-Netzwerk 100 erhalten. Während des Schrittes 615 sendet der MN 180 eine Aktiviere-PDP-Kontext-Anforderungs-(Act PDP Req-)Mitteilung an den SGSN 140, der die Anforderung verarbeitet. Im Schritt 620 sendet der SSGN 140 eine Erzeuge-PDP-Kontext-Anforderungs-(Create PDP Req-)Mitteilung an den GGSN 160. Der GGSN 160 verarbeitet die Anforderung und gewinnt eine PDP-Adresse für den MN 180, die dieser auf dem GPRS-Netzwerk 100 zu verwenden hat.
  • Im Schritt 625 wird eine Erzeuge-PDP-Kontext-Antwort-(Create PDP Res-)Mitteilung von dem dem GGSN 160 erzeugt und an den SGSN 140 gesandt. Im Schritt 630 erzeugt der SGSN 140 eine Aktiviere-PDP-Kontext-Annahme-(Act PDP Acc-)Mitteilung und sendet diese an den MN 180, wobei diese Mitteilung einen PDP-Kontext enthält. Das PDP ermöglicht es dem MN 180 und dem GGSN 160, miteinander zu Kommunizieren.
  • Nach dem Abschluss des Anschlusses an das GPRS-Netzwerk und der Kontext-Aktivierung kann der MN 180 nunmehr die mobilen IP-Sicherheitsprotokolle initialisieren und einen IPSec-Tunnel herstellen. Im Schritt 635 empfängt der MN 180 eine Agenten-Ankündigungs-(Agnt Ad-)Mitteilung von dem GGSN 160 und verarbeitet die Ankündigung zur Ableitung einer Zu-Händen-von-IP-Adresse. An diesem Punkt tauscht der MN 180 die Information zum Aufbau des gesicherten Tunnels mit dem GGSN 160 aus.
  • Im Schritt 640 wird eine Internet-Sicherheits-Zuordnungs-und-Schlüsselverwaltungs-Protokoll-(ISAKMP-)XCHNG-Hauptbetriebsart-Mitteilung (XCHNG Main) von dem MN 180 an den GGSN 160 gesandt. Diese Mitteilung schlägt verschiedene Authentifizierungs-Algorithmen und Authentifizierungsverfahren vor. Ein annehmbarer Verschlüsselungs-Algorithmus schließt Message Digest 5 (MD5), Secure Hash Algorithmus (SHA) oder einen Diffie-Hellman-Kombinations-Algorithmus unter Verwendung eines öffentlichen und privaten Verschlüsselungs-Schlüssels ein. Der GGSN 160 spricht in Schritt 645 mit einer XCHNG-Hauptbetriebsart-Mitteilung (XCHNG Main) mit einem ausgewählten vorgeschlagenen Verschlüsselungs-Algorithmus-und-Authentifizierungsprozess an, der zur Sicherung des Austausches der öffentlichen Verschlüsselungs-Schlüssel verwendet wird. Im Schritt 650 sendet der MN 160 eine XCHNG-Hauptbetriebsart-Mitteilung (XCHNG Key), die ihren authentifizierten kodierten öffentlichen Verschlüsselungs-Schlüssel enthält. Der GGSN 160 sendet dann eine XCHNG-Hauptbetriebsart-Mitteilung (EXCHNG Key), die seinen authentifizierten kodierten öffentlichen Verschlüsselungs-Schlüssel enthält, im Schritt 655. Hierdurch wird die erste Phase des Aufbaus einer sicheren authentifizierten Verbindungsstrecke zwischen dem GGSN 160 und dem MN 180 abgeschlossen.
  • Die nächste Phase besteht in der Aushandlung der Sicherheits-Zuordnung für die IPSec-Dienste zwischen dem MN 180 und dem GGSN 160. Im Schritt 660 erzeugt der MN 180 eine ISAKMP-XCHNG-Kurzbetriebsart-(XCHNG Quick-)Mitteilung mit verschiedenen Verschlüsselungs-Algorithmus-Vorschlägen an den GGSN 160. Der GGSN 160 antwortet mit einem ausgewählten Algorithmus in einer ISAKMP-XCHNG-Kurzbetriebsart-(XCHNG Quick-)Mitteilung im Schritt 665. Annehmbare Algorithmen schließen den Datenverschlüsselungs-Standard (DES), den Dreifach-Datenverschlüsselungs-Standard (3DES), Rivest-Shamir-Aldeman (RSA), ElGamal, RC2 und RC4 ein. Neue Verschlüsselungs-Schlüssel können ebenfalls zur Verwendung ausgetauscht werden. Der Mitteilungsaustausch an den Schritten 660 und 665 schließt den Aufbau der Sicherheits-Zuordnung für die IP-Sicherheit ab. Mit dem Austausch der Schlüssel und dem Aufbau eines Verschlüsselungs-Algorithmus können der MN 180 und GGSN 160 nunmehr Informationspakete verschlüsseln und verschlüsselte Informationspakete senden, die jeder unter Verwendung der gemeinsamen Schlüssel entschlüsseln kann. Der MN 180 kann nunmehr eine sichere mobile IP-Sitzung über das so aufgebaute VPN einleiten.
  • Im Schritt 670 verschlüsselt der MN 180 eine Registrierungs-Anforderungs-(e-Reg Req-)Mitteilung, die an das Heimat-Netzwerk adressiert ist und sendet diese Mitteilung an den GGSN 160. Das an das Heimat-Netzwerk 190 gesandte Informationspaket wird mit einem Pfadlenkungs-Adressen-Kopffeld eingekapselt. Der PDP-Kontext-Mitteilungsaustausch an den Schritten 615 bis 630 ordnete eine Pfadlenkungs-Adressen-Zuordnung für den MN 180 zu. Das Ziel-Adressendatenfeld in der eingekapselten Mitteilung ist die Pfadlenkungs-Adresse des GGSN 160, und das Quellen-Adressendatenfeld ist die zugeordnete PDP-Zuordnung oder die Pfadlenkungs-Adresse für den MN 180.
  • Nach dem Empfang des verschlüsselten Informationspaketes im Schritt 670 verarbeitet der GGSN 160 das Informationspaket, wobei das Adressen-Kopffeld abgestreift wird und die Information in das ursprüngliche IP-Informationspaket entschlüsselt wird. Im Schritt 675 erzeugt der GGSN 160 eine Registrierungs-Anforderungs-Mitteilung (Reg Req) und sendet die Mitteilung an das Heimat-Netzwerk 190, wo sie verarbeitet wird. Wenn der MN 180 Zugangsberechtigung hat, erzeugt das Heimat-Netzwerk 190 eine Registrierungs-Antwort-Mitteilung (Reg Res) und sendet diese an den GGSN 160 im Schritt 680.
  • Im Schritt 685 und nach dem Empfang von der Reg Res-Mitteilung von dem Heimat-Netzwerk 190 verarbeitet der GGSN 160 die Mitteilung und erzeugt eine Registrierungs-Antwort-Mitteilung. Der GGSN 160 verschlüsselt dann die Mitteilung und kapselt sie ein und sendet die verschlüsselte Registrierungs-Antwort-Mitteilung (e-Reg Res) an den MN 180. Der MN 180 verarbeitet das Paket, entschlüsselt die Mitteilung und verarbeitet die entschlüsselten Nutzdaten im Schritt 685. Während des Schritts 690 erzeugt der MN 180 eine verschlüsselte Bindungs-Aktualisierungs-Mitteilung (e-BU), die mit dem Adressen-Kopffeld für den GGSN 160 eingekapselt wird. Die Mitteilung wird dann an den GGSN 160 gesandt. Im Schritt 695 verarbeitet der GGSN 160 die Mitteilung, streift das Adressen-Kopffeld ab und entschlüsselt die Mitteilung auf die ursprüngliche Bindungs-Aktualisierungs-Mitteilung (BU), die der GGSN 160 dann an das Heimat-Netzwerk 190 sendet.
  • Im Schritt 700 verarbeitet das Heimat-Netzwerk 190 die Information in der BU-Mitteilung, bestätigt die Zu-Händen-von-IP-Adresse für den MN 180 und schließt die Aktualisierung von Pfadlenkungstabellen und die Registrierung der Zu-Händen-von-IP-Adresse und der MN 180-IP-Adressen-Zuordnung ab. Eine Bindungs-Bestätigungs-Mitteilung (BA) wird erzeugt und dann an den GGSN 160 zurückgesandt. Im Schritt 705 erzeugt der GGSN 160 eine eingekapselte verschlüsselte Bindungs-Bestätigungs-Mitteilung (e-BA) und sendet die e-BA an den MN 180, wo sie entschlüsselt und verarbeitet wird.
  • Dies schließt das eine VPN-Verbindungsstrecke zwischen dem GGSN 160 und MN 180 herstellende Protokoll ab und sichert das drahtlose Signal 181 von dem BSS 120 an den MN 180. Wenn der MN 180 seine Verbindung wechselt, während er sich innerhalb des GPRS-Netzwerkes 100 bewegt, so wird eine PDP-Kontext-Modifikation durchgeführt, um den PDP-Kontext für den MN 180 zu aktualisieren. Eine Pfadlenkungstabelle auf dem GGSN 160 wird aktualisiert, doch ist ein neuer Verschlüsselungs-Aufbau und eine mobile IP-Initialisierung nicht erforderlich.
  • Unter Bezugnahme auf das eingekapselte verschlüsselte Informationspaket 760 nach 6E ist zu erkennen, dass während der mobilen IP-Sitzung die zwischen dem MN 180 und dem GGSN 160 gemäß der Erfindung ausgetauschten Informationspakete ein Pfadlenkungs-Adressen-Kopffeld (RAH) 761 haben. Das IP'-Kopffeld 762 und die Nutzdaten (PLD') 763 werden durch die Kombination von IP/VPN-Klient verschlüsselt und dann mit dem Pfadlenkungs-Adressen-Kopffeld 761 eingekapselt. Der verschlüsselte Teil des Paketes 770 kann sicher über die drahtlose Verbindungsstrecke 181 übertragen werden. Nach der Ankunft an dem MN 180 oder dem GGSN 160 wird das äußere Pfadlenkungs-Adressen-Kopffeld (RAH) 761 abgestreift und das verschlüsselte IP'-Kopffeld 762 und die Nutzdaten PLD' 763 werden entschlüsselt, wodurch das entkapselte entschlüsselte Informationspaket 764 mit einem IP-Kopffeld 765 und den PLD 766 sichtbar wird.
  • Während der mobilen IP-Kommunikationssitzung tauschen der MN 180 und der GGSN 160 Informationspakete aus, die zur Übertragung über die drahtlose Verbindungsstrecke 181 verschlüsselt wurden. Die über die drahtlose Verbindungsstrecke 181 übertragenen Mitteilungen werden unter Verwendung des ausgehandelten und vereinbarten Verschlüsselungs-Algorithmus und gemeinsam genutzter öffentlicher Schlüssel und nicht gemeinsam genutzter privater Schlüssel verschlüsselt. Die verschlüsselten Informationspakete werden für die Übertragung über die MN 180/GGSN 160-Schnittstelle gesichert und dann zur Übertragung über die Infrastruktur des GPRS-Netzwerkes 100 zu dem Heimat-Netzwerk 190 oder zur Verarbeitung als übertragene Daten auf dem mobilen Knoten entschlüsselt.
  • 7A zeigt den bekannten Protokollstapel 710 für den MN 180. Das erste Protokoll des bekannten Protokollstapel ist die Anwendungsschicht (APP) 711. Das zweite Protokoll ist die TCP-Schicht 712. Die dritte Schicht ist das IP-Protokoll 713. Ein UDP-Protokoll 714 ist die vierte Schicht. Die fünfte Schicht ist eine weitere IP-Protokoll-Schicht 715, und die letzte Schicht ist die GPRS-Schicht 716.
  • 7B zeigt die neue Konfiguration des Protokollstapels 750 für den MN 180 gemäß der Erfindung. Das erste Protokoll für den neuen Protokollstapel ist die Anwendungsschicht (APP) 751. Das zweite Protokoll ist die TCP-Schicht 752. Die dritte Schicht ist ein IP-Protokoll 753. Der IP-Sicherheits-Einkapselungs-Sicherheits-Nutzdaten-Tunnel (IPSecESPTUN) 754 ist die vierte Schicht. Die fünfte Schicht ist eine weitere IP-Protokoll-Schicht 755. Die sechste Schicht ist eine UDP-Schicht 756. Die siebte Schicht ist eine weitere IP-Schicht 757. Die achte und abschließende Schicht ist die GPRS-Schicht 758.
  • 8A zeigt den bekannten Protokollstapel 810 für den GGSN 160. Die erste Schicht ist das Anpassungs-Schicht-Überleiteinrichtungs-(ALG-)Protokoll 811. Die zweite Schicht ist eine IP-Protokoll-Schicht 812. Auf der Verbindungsstrecke mit dem MN 180 ist die dritte Schicht eine UDP-Protokoll-Schicht 813. Für die vierte Schicht auf der Verbindungsstrecke mit dem MN 180 gibt es ein IP-Protokoll 814. Auf der Verbindungsstrecke mit dem MN 180 ist die fünfte Protokoll-Schicht ein GPRS-Protokoll 815.
  • 8B zeigt den Protokollstapel 850 für den GGSN 160 gemäß der Erfindung. Die erste Schicht ist die Anpassungs-Schicht-Überleiteinrichtung (ALG) 851. Die zweite Schicht ist eine IP-Protokoll-Schicht 852. Auf der Verbindungsstrecke mit dem MN 180 ist die dritte Schicht eine UDP-Protokoll-Schicht 853. Für die vierte Schicht auf der Verbindungsstrecke mit dem MN 180 gibt es ein IPSecESPTUN-Protokoll 854. Auf der Verbindungsstrecke mit dem MN 180 ist die fünfte Protokoll-Schicht eine IP-Protokoll-Schicht 854. Auf der Verbindungsstrecke mit dem MN 180 ist die nächste Protokoll-Schicht ein UDP-Protokoll 856. Die siebte Protokoll-Schicht für die Verbindungsstrecke mit dem MN 180 ist eine IP-Protokoll-Schicht 857 und die achte und abschließende Protokoll-Schicht ist ein GPRS-Protokoll 858.
  • Zusammenfassend ist festzustellen, dass die vorliegende Erfindung ein sicheres Übertragungsprotokoll für die Informationspaket-Übertragung zwischen einem mobilen Knoten und einem Fremd-Agenten unterstützt. Die Informationspakete werden verschlüsselt und entschlüsselt, wobei ein integrierter Software-Klient verwendet wird, der die mobile IP-Kommunikationsunterstützung und die Verschlüsselungs- und Entschlüsselungsprotokolle kombiniert.

Claims (14)

  1. Sicheres paketbasiertes drahtloses Kommunikationssystem, mit: einem Fremd-Agenten (GGSN, 160) auf dem Fremd-Netzwerk (100), das drahtlos mit einem mobilen Knoten (MN, 180) verbunden ist, wobei der Fremd-Agent den Pfad von Informationspaketen für den mobilen Knoten lenkt; und einem integrierten Software-Programm mit einem integrierten sicheren Übertragungsprotokoll, das auf dem Fremd-Agenten und dem mobilen Knoten arbeitet, wobei das Protokoll auf dem mobilen Knoten und den Fremd-Agenten arbeitet, und gekennzeichnet durch: Ausführen der Übertragung von verschlüsselten Registrierungs-Anforderungs-Informationspaketen zwischen dem mobilen Knoten und dem Fremd-Agenten.
  2. Sicheres paketbasiertes drahtloses Kommunikationssystem nach Anspruch 1, bei dem das integrierte sichere Übertragungsprotokoll eine Sicherheits-Initialisierungsprozedur (660, 665) zur Aushandlung von Verschlüsselungs-Algorithmen einschließt, die zur Verschlüsselung von Registrierungs-Anforderungs-Informationspaketen zur Übertragung für den mobilen Knoten verwendet werden.
  3. Sicheres paketbasiertes drahtloses Kommunikationssystem nach Anspruch 1, bei dem das integrierte sichere Übertragungsprotokoll eine Sicherheits-Initialisierungsprozedur (650, 655) zum Austausch von Verschlüsselungs-Schlüsseln einschließt, die in den Verschlüsselungs-Algorithmen zum Verschlüsseln von Registrierungs-Anforderungs-Informationspaketen zur Übertragung für den mobilen Knoten verwendet werden.
  4. Sicheres paketbasiertes drahtloses Kommunikationssystem nach Anspruch 1, bei dem das integrierte sichere Übertragungsprotokoll weiterhin eine Kommunikationsunterstützung für die Übertragung von verschlüsselten Registrierungs-Anforderungs-Informationspaketen umfasst.
  5. Verfahren zum Sichern von Registrierungs-Anforderungs-Übertragungen zwischen einem mobilen Knoten (MN, 180) und einem Fremd-Netzwerk (100), das die folgenden Schritte umfasst: Bereitstellen eines Fremd-Netzwerkes mit einem Fremd-Agenten (GGSN, 160), der die Informationspaket-Übertragung über eine drahtlose Kommunikations-Verbindungsstrecke an den mobilen Knoten unterstützt; Bereitstellen einer Kommunikations-Verbindungsstrecke von dem Fremd-Netzwerk (605635), Ausbilden (640655) einer sicheren Kommunikations-Verbindungsstrecke zwischen dem Fremd-Agenten und dem mobilen Knoten; Initialisieren eines integrierten Sicherheits-Übertragungsprotokolls unter Verwendung einer integrierten Software-Anwendung auf dem Fremd-Agenten und dem mobilen Knoten; Empfangen (670) einer eingekapselten verschlüsselten Registrierungs-Anforderung für eine Kommunikationssitzung von dem mobilen Knoten an den Fremd-Agenten; Entkapseln der verschlüsselten Registrierungs-Anforderung, die von dem mobilen Knoten empfangen wird; Entschlüsseln der verschlüsselten Registrierungs-Anforderung, die von dem mobilen Knoten für eine Kommunikationssitzung durch den Fremd-Agenten empfangen wurde; und Senden (675) der entschlüsselten Registrierungs-Anforderung von dem Fremd-Netzwerk zu einem Heimat-Netzwerk (HN) und Senden (626) eines verschlüsselten Informationspaketes, das unter dem integrierten Sicherheits-Übertragungsprotokoll gebildet wurde, an den mobilen Knoten;
  6. Verfahren zur Sicherung von Registrierungs-Anforderungs-Übertragungen zwischen einem mobilen Knoten und einem Fremd-Netzwerk nach Anspruch 5, das weiterhin den Schritt des: Austauschens (660665) authentifizierter und sicherer Informationspakete zwischen dem Fremd-Agenten und dem mobilen Knoten umfasst, die Verschlüsselungs-Algorithmus-Informationen enthalten, die unter den integrierten Sicherheits-Übertragungsprotokoll gebildet wurden.
  7. Verfahren zur Sicherung von Registrierungs-Anforderungs-Übertragungen zwischen einem mobilen Knoten und einem Fremd-Netzwerk nach Anspruch 5, das weiterhin den Schritt des: Austauschens (650, 655) authentifizierter und sicherer Informationspakete zwischen dem Fremd-Agenten und dem mobilen Knoten umfasst, die Verschlüsselungs-Schlüssel zur Verwendung durch das integrierte Sicherheits-Übertragungsprotokoll enthalten.
  8. Verfahren zur Sicherung von Registrierungs-Anforderungs-Übertragungen zwischen einem mobilen Knoten und einem Fremd-Netzwerk nach Anspruch 5, das weiterhin die Schritte des: Empfangens (622) eines Informationspaketes an dem Fremd-Agenten, das an den mobilen Knoten adressiert ist; Verschlüsselns (623) des von dem Fremd-Agenten empfangenen Informationspaketes; Einkapselns (624) des verschlüsselten Informationspaketes; und Sendens (626) des verschlüsselten Informationspaketes von dem Fremd-Agenten an den mobilen Knoten umfasst.
  9. Verfahren zur Sicherung von Registrierungs-Anforderungs-Übertragungen zwischen einem mobilen Knoten und einem Fremd-Netzwerk nach Anspruch 5, das weiterhin die Schritte des: Erzeugens (612) eines Informationspaketes an den mobilen Knoten; Verschlüsselns (613) des Informationspaketes, das von dem mobilen Knoten erzeugt wird; Einkapselns (614) des verschlüsselten Informationspaketes; und Aussendens (616) des verschlüsselten Informationspaketes an den Fremd-Agenten zum Entkapseln und Entschlüsseln umfasst.
  10. Verfahren zur Sicherung von Registrierungs-Anforderungs-Übertragungen zwischen dem mobilen Knoten und dem Fremd-Netzwerk nach Anspruch 5, bei dem das integrierte Sicherheits-Übertragungsprotokoll durch Hinzufügen einer Übertragungs-Protokoll-Schicht zu dem Übertragungsprotokoll-Stapel für die Einkapselungs-/Entkapselungs- und Verschlüsselungs-/Entschlüsselungs-Funktionen realisiert wird.
  11. Verfahren zur sicheren paketbasierten drahtlosen Kommunikation mit den folgenden Schritten: Bereitstellen eines Fremd-Agenten (GGSN, 160) auf einem Fremd-Netzwerk (100), das über eine drahtlose Verbindungsstrecke mit einem mobilen Knoten (MN, 180) verbunden ist, wobei der Fremd-Agent die Übertragung von Informationspaketen für den mobilen Knoten unterstützt; Initialisieren einer sicheren VPN-Verbindung zwischen dem Fremd-Agenten und dem mobilen Knoten, Betreiben einer Kommunikationsanwendung, die ein integriertes Sicherheits-Übertragungsprotokoll aufweist, zum Senden und Empfangen sicherer Informationspaket-Übertragungen über die VPN-Verbindung; und Übertragen eines verschlüsselten Registrierungs-Anforderungs-Informationspaketes, das durch das integrierte Sicherheits-Übertragungsprotokoll gebildet wurde, zwischen dem mobilen Knoten und dem Fremd-Agenten.
  12. Verfahren zur sicheren paketbasierten drahtlosen Kommunikation nach Anspruch 11, bei dem das verschlüsselte Registrierungs-Anforderungs-Informationspaket unter Verwendung des integrierten Sicherheits-Übertragungsprotokolls entschlüsselt wird.
  13. Verfahren zur sicheren paketbasierten drahtlosen Kommunikation nach Anspruch 11, bei dem das verschlüsselte Registrierungs-Anforderungs-Informationspaket eine verschlüsselte Adresse, die von dem Fremd-Agenten zur Pfadlenkung von Informationspaketen verwendet wird, verschlüsselte Daten und ein unverschlüsseltes Einkapselungs-Adressen-Kopffeld aufweist, das zur Pfadlenkung des Informationspaketes verwendet wird.
  14. Verfahren zur sicheren paketbasierten drahtlosen Kommunikation nach Anspruch 11, bei dem der Initialisierungsschritt eine Subroutine einschließt, die die Verschlüsselung und Entschlüsselung der Registrierungs-Anforderungs-Informationspakete steuert.
DE60302882T 2002-03-28 2003-03-10 Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk Expired - Lifetime DE60302882T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US109422 1993-08-20
US10/109,422 US7380124B1 (en) 2002-03-28 2002-03-28 Security transmission protocol for a mobility IP network
PCT/US2003/007156 WO2003084177A1 (en) 2002-03-28 2003-03-10 Security transmission protocol for a mobility ip network

Publications (2)

Publication Number Publication Date
DE60302882D1 DE60302882D1 (de) 2006-01-26
DE60302882T2 true DE60302882T2 (de) 2006-06-29

Family

ID=28673626

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60302882T Expired - Lifetime DE60302882T2 (de) 2002-03-28 2003-03-10 Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk

Country Status (5)

Country Link
US (1) US7380124B1 (de)
EP (1) EP1495621B1 (de)
AU (1) AU2003225716A1 (de)
DE (1) DE60302882T2 (de)
WO (1) WO2003084177A1 (de)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7539164B2 (en) * 2002-06-14 2009-05-26 Nokia Corporation Method and system for local mobility management
EP1527648A1 (de) * 2002-08-05 2005-05-04 Nokia Corporation Ein verfahren zur beschleunigung des registrierungsverfahrens in einem zellularen funknetzwerk
US7916701B1 (en) * 2002-08-27 2011-03-29 Cisco Technology, Inc. Virtual addressing to support wireless access to data networks
US7793098B2 (en) * 2003-05-20 2010-09-07 Nokia Corporation Providing privacy to nodes using mobile IPv6 with route optimization
GB2403097A (en) * 2003-06-16 2004-12-22 Orange Personal Comm Serv Ltd Communicating internet packets having care-of-address as destination address to a mobile node
US7916739B2 (en) * 2003-06-24 2011-03-29 Ntt Docomo, Inc. Location privacy for internet protocol networks using cryptographically protected prefixes
GB0314971D0 (en) * 2003-06-27 2003-07-30 Ericsson Telefon Ab L M Method for distributing passwords
US8296558B1 (en) 2003-11-26 2012-10-23 Apple Inc. Method and apparatus for securing communication between a mobile node and a network
US20050176431A1 (en) * 2004-02-11 2005-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method for handling key sets during handover
EP1735990B1 (de) 2004-04-14 2018-05-30 Microsoft Technology Licensing, LLC Authentifizierung und authorisierung für mobile ipv6
KR100651716B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
WO2006072890A1 (en) * 2005-01-07 2006-07-13 Alcatel Lucent Method and apparatus for providing low-latency secure session continuity between mobile nodes
DE102005037874B4 (de) * 2005-08-10 2008-07-24 Nokia Siemens Networks Gmbh & Co.Kg Verfahren und Anordnung zur Kontrolle und Vergebührung von Peer to Peer-Diensten in einem IP-basierten Kommunikationsnetzwerk
DE102005043364B4 (de) * 2005-09-12 2007-07-05 Siemens Ag Telekommunikationssystem und Verfahren zum Steuern eines Wechsels eines Teilnehmerendgerätes zwischen zwei Netzwerken
US20070127420A1 (en) * 2005-12-05 2007-06-07 Paula Tjandra Method, system and apparatus for creating a reverse tunnel
US20070127496A1 (en) * 2005-12-05 2007-06-07 Paula Tjandra Method, system and apparatus for creating a reverse tunnel
US7903635B2 (en) 2006-03-02 2011-03-08 Tango Networks, Inc. System and method for enabling DTMF detection in a VoIP network
US7890096B2 (en) 2006-03-02 2011-02-15 Tango Networks, Inc. System and method for enabling call originations using SMS and hotline capabilities
US11405846B2 (en) 2006-03-02 2022-08-02 Tango Networks, Inc. Call flow system and method for use in a legacy telecommunication system
US8023479B2 (en) * 2006-03-02 2011-09-20 Tango Networks, Inc. Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
US9083683B2 (en) * 2007-01-30 2015-07-14 Harris Corporation Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
US8605662B2 (en) * 2007-07-20 2013-12-10 Cisco Technology, Inc. Intelligent real access point name (APN) selection using virtual APNS
WO2009113921A1 (en) * 2008-03-12 2009-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Re-establishment of a security association
KR20100064585A (ko) * 2008-12-05 2010-06-15 삼성전자주식회사 데이터송수신장치 및 그 방법
CN101562807B (zh) * 2009-05-27 2011-04-20 华为技术有限公司 移动虚拟专用网通信的方法、装置及系统
US20110286597A1 (en) * 2009-11-17 2011-11-24 Qualcomm Incorporated HOME AGENT PROXIED MIPv6 ROUTE OPTIMIZATION MODE
JP5625703B2 (ja) * 2010-10-01 2014-11-19 富士通株式会社 移動通信システム、通信制御方法及び無線基地局
US8862869B1 (en) * 2010-11-30 2014-10-14 Tellabs Operations, Inc. Method and apparatus for providing network initiated session encryption
US8619986B2 (en) 2011-07-21 2013-12-31 Patton Protection Systems LLC Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier
GB2493349A (en) * 2011-07-29 2013-02-06 Intellectual Ventures Holding 81 Llc Mobile communications network with simplified handover
US9225806B2 (en) * 2012-06-15 2015-12-29 Citrix Systems, Inc. Systems and methods for generating IPID across a cluster network
EP2992696B1 (de) * 2013-04-29 2018-10-03 Hughes Network Systems, LLC Datenverschlüsselungsprotokolle für mobile satellitenkommunikation
US9807057B1 (en) 2013-12-17 2017-10-31 Amazon Technologies, Inc. Private network peering in virtual network environments
US10212161B1 (en) 2014-11-19 2019-02-19 Amazon Technologies, Inc. Private network layering in provider network environments
US10567347B2 (en) * 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US10498810B2 (en) * 2017-05-04 2019-12-03 Amazon Technologies, Inc. Coordinating inter-region operations in provider network environments
US10986075B2 (en) * 2017-11-02 2021-04-20 Arista Networks, Inc. Distributing packets across processing cores
US11190490B2 (en) 2018-10-02 2021-11-30 Allstate Insurance Company Embedded virtual private network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3651721B2 (ja) * 1996-11-01 2005-05-25 株式会社東芝 移動計算機装置、パケット処理装置及び通信制御方法
US6507908B1 (en) * 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
US6466964B1 (en) * 1999-06-15 2002-10-15 Cisco Technology, Inc. Methods and apparatus for providing mobility of a node that does not support mobility
GB2364477B (en) 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service

Also Published As

Publication number Publication date
EP1495621A1 (de) 2005-01-12
AU2003225716A1 (en) 2003-10-13
US7380124B1 (en) 2008-05-27
DE60302882D1 (de) 2006-01-26
EP1495621B1 (de) 2005-12-21
WO2003084177A1 (en) 2003-10-09
WO2003084177B1 (en) 2003-12-31

Similar Documents

Publication Publication Date Title
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
DE602005001542T2 (de) Verfahren und Vorrichtung zur Verwendung eines VPN-Gateways, das als Mobile IP Foreign Agent für mobile Knoten fungiert
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
EP1943808B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
EP1529374B2 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE60318244T2 (de) 802.11-standard benutzung eines komprimierten reassoziationsaustauschs für schnelles weiterreichen
EP1761082B1 (de) Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten
EP1943855B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE602004007303T2 (de) Identifizierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP1943806B1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
EP2025120B1 (de) Verfahren und system zum bereitstellen eines mobile ip schlüssels
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE10297253T5 (de) Adressiermechanismus in Mobile-IP
DE60024237T2 (de) Verfahren und system zur netzwerkadressübersetzung mit sicherheitseigenschaften
EP1961168A1 (de) Mobile station als gateway für mobile endgeräte zu einem zugangsnetz sowie verfahren zur netzanmeldung der mobilen station und der mobilen endgeräte
WO2007068613A1 (de) Verfahren zur übertragung von auf dem ethernet-übertragungsprotokoll basierenden datenpaketen zwischen zumindest einer mobilen kommunikationseinheit und einem kommunikationssystems
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
WO2005004433A1 (de) Verfahren und einrichtung zum bilden und entschlüsseln einer verschlüsselten nachricht mit kommunikations-konfigurationsdaten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition