-
Technisches Gebiet der
Erfindung
-
Ein
Sicherheits-Übertragungsprotokoll
für Informationspaket-Übertragungen
auf einem Mobilitäts-IP-Netzwerk.
-
Das
Internet entstand, ähnlich
wie viele andere Hochtechnologie-Entwicklungen, aus Forschungen,
die ursprünglich
von dem Verteidigungsministerium der Vereinigten Staaten durchgeführt wurden.
In den 1960er Jahren hatte das Militär eine große Ansammlung von inkompatiblen
Computernetzwerken angesammelt. Computer auf diesen unterschiedlichen
Netzwerken konnten nicht mit anderen Computern über ihre Netzwerk-Grenzen hinweg
kommunizieren.
-
In
den 1960er Jahren wünschte
das Verteidigungsministerium, ein Kommunikationssystem zu entwickeln,
das eine Kommunikation zwischen diesen unterschiedlichen Computernetzwerken
ermöglichen
würde.
Es wurde erkannt, dass ein einziges zentralisiertes Kommunikationssystem
gegenüber Angriffen
oder Sabotage verwundbar sein würde,
so dass das Verteidigungsministerium forderte, dass das Kommunikationssystem
dezentralisiert sein sollte, wobei keine kritischen Dienste in verwundbaren Ausfallpunkten
konzentriert sind. Um dieses Ziel zu erreichen, legte das Verteidigungsministerium
ein dezentralisiertes Standard-Kommunikationsprotokoll für die Kommunikation
zwischen seinen Computernetzwerken fest.
-
Einige
wenige Jahre später
wünschte
die National Science Foundation (NSF) eine Erleichterung der Kommunikation
zwischen inkompatiblen Netzwerk-Computern an verschiedenen Forschungsinstitutionen über das
Land hinweg. Die NSF übernahm das
Protokoll für
die Kommunikation von dem Verteidigungsministerium, und diese Kombination
von Forschungs-Computernetzwerken führte schließlich zur Entwicklung des Internets.
-
Internetprotokolle
-
Das
Kommunikationsprotokoll des Verteidigungsministeriums, das die Datenübertragung
zwischen unterschiedlichen Netzwerken bestimmte, wurde als der Internetprotokoll-(IP-)Standard
bezeichnet. Der IP-Standard wurde in weitem Umfang für die Übertragung
von diskreten Informationspaketen über Netzwerk-Grenzen hinweg übernommen. Tatsächlich ist
der IP-Standard das Standardprotokoll, das Kommunikationen zwischen
Computern und Netzwerken auf dem Internet regelt.
-
Der
IP-Standard identifiziert die Arten von Diensten, die für Benutzer
bereitgestellt werden sollen, und er spezifiziert die Mechanismen,
die zur Unterstützung
dieser Dienste erforderlich sind. Der IP-Standard spezifiziert weiterhin
die oberen und unteren System-Schnittstellen, er definiert die an
diesen Schnittstellen bereitzustellenden Dienste, und er gibt Rahmenrichtlinien
für die
Ausführungsumgebung
für Dienste
vor, die in dem System benötigt
werden.
-
Ein Übertragungsprotokoll,
das als das Übertragungs-Steuerprotokoll
(TCP) bezeichnet wurde, wurde entwickelt, um verbindungsorientierte
Ende-zu-Ende-Datenübertragungen
zwischen paketvermittelten Computernetzwerken zu schaffen. Die Kombination
von TCP mit IP (TCP/IP) bildet eine Gruppe von Protokollen für die Informationspaket-Übertragung
zwischen Computern auf dem Internet. Der TCP/IP-Standard wurde auch zu einem Standardprotokoll
zur Verwendung in allen Paketvermittlungs-Netzwerken, die eine Verbindungsmöglichkeit über Netzwerk-Grenzen hinweg ergeben.
-
Computernetzwerke
kommunizieren miteinander entsprechend der Protokoll-Hierarchie der Referenz
für die
offene System-Zwischenverbindung (OSI). Jedes Protokoll besitzt
seinen eigenen Satz von Regeln und Prozeduren unabhängig von
anderen Protokollen. Jedes Teil an Software oder Hardware, das ein
Protokoll realisiert, wird als eine Protokoll-Einheit bezeichnet.
Eine Protokoll-Einheit ist durch verschiedene Positionen auf einem
geschichteten Protokollstapel klassifiziert.
-
Protokoll-Einheiten
arbeiten durch Interpretieren des Kopffeldes der Daten, die sie
von einer höheren
Schicht empfangen, durch Verarbeiten des Pakets, wie dies durch
das Kopffeld und das zugehörige Protokoll
spezifiziert ist, und durch Übertragen
von Informationspaketen. Das Informationspaket-Kopffeld identifiziert
das anwendbare Protokoll und die Operation auf die es sich bezieht.
Beispielsweise identifiziert ein TCP-Kopffeld das Paket als ein
Paket, das Informationen für
ein TCP-Protokoll enthält,
während
ein IP-Kopffeld die Information so definiert, dass sie Information
für ein
IP-Protokoll enthält.
-
Die
Operation und die Hierarchie von Operationen, die von einer Einheit
ausgeführt
werden, können
graphisch durch einen geschichteten Protokollstapel dargestellt
werden. Während
die Einheiten Operationen auf der Grundlage des Kopffeldes ausführen, werden
die Paket-Nutzdaten verarbeitet und für die nächste logische Operation auf
dem Informationspaket überprüft.
-
Die
Protokollnormen werden auf einer geschichteten Kommunikationssystem-Struktur konfiguriert.
Alle die Schichten liegen auf jedem Computer in dem Netzwerk, und
jede Schicht ist eine getrennte Komponente, die theoretisch unabhängig von
den anderen Schichten arbeitet. IP- und verwandte Protokolle bilden
ein genormtes System, um zu definieren, wie Pakete auf dem Internet
verarbeitet, ausgesandt und empfangen werden sollten. TCP/IP definiert
den Netzwerk-Kommunikationsprozess und spezifiziert das Informations-Paketformat,
damit die übertragenen
Daten korrekt interpretiert werden. Aufgrund der genormten Schichtkonstruktion
der Protokolle erfolgt eine gleichförmige Umwandlung von Basis-Nutzdaten
unabhängig
von der Version oder dem Lieferanten der Kommunikationssoftware.
-
In
einem typischen Internet-basierten Kommunikationsszenarium werden
Daten von einem Ursprungs-Kommunikationsgerät auf einem ersten Netzwerk über ein Übertragungsmedium
zu einem Ziel-Kommunikationsgerät
auf einem zweiten Netzwerk übertragen.
Nach dem Empfang an dem zweiten Netzwerk wird das Paket über das
Netzwerk zu einem Ziel-Kommunikationsgerät gelenkt. Weil Standardprotokolle
in Internet-Kommunikationen verwendet werden, dekodiert das IP-Protokoll
an dem Ziel-Kommunikationsgerät
die übertragene
Information in die ursprüngliche
Information, die von dem Ursprungsgerät ausgesandt wurde.
-
TCP/IP-Adressierung und
Pfadlenkung
-
Einem
Computer, der auf einem Netzwerk arbeitet, wird eine eindeutige
physikalische Adresse unter den TCP/IP-Protokollen zugeordnet. Diese
wird als eine IP-Adresse bezeichnet. Die IP-Adresse kann folgendes
einschließen:
(1) eine Netzwerk-ID und eine Zahl, die ein Netzwerk identifiziert,
(2) eine Teil-Netzwerk-ID- Nummer,
die eine Teilstruktur auf dem Netzwerk identifiziert, und (3) eine Host-ID-Nummer, die einen
bestimmten Computer auf dem Teil-Netzwerk identifiziert. Ein Kopf-Datenfeld
in dem Informationspaket schließt
Quellen- und Zieladressen ein. Das IP-Adressierungsschema bedingt
ein konsistentes Adressierungsschema, das die interne Organisation
des Netzwerkes oder Teil-Netzwerkes wiedergibt.
-
Ein
Router wird zum Regeln der Übertragung von
Informationspaketen in das Computer-Netzwerk und aus diesem heraus
verwendet. Router interpretieren die in den Informationspaket-Kopffeldern
enthaltene logische Adresse und lenken die Informationspakete an
das vorgesehene Ziel. Informationspakete, die an Computer auf dem
gleichen Netzwerk adressiert werden, durchlaufen nicht den Router
zu dem größeren Netzwerk,
und als solche verstopfen diese Informationspakete nicht die Übertragungsleitungen
des größeren Netzwerkes.
Wenn Daten an einen Computer außerhalb
des Netzwerkes adressiert werden, leitet der Router die Daten auf
das größere Netzwerk
weiter.
-
TCP/IP-Netzwerkprotokolle
definieren, wie Router den Übertragungspfad
durch ein Netzwerk und über
Netzwerk-Grenzen hinweg festlegen. Routing- oder Pfadlenkungsentscheidungen
beruhen auf Informationen in dem IP-Kopffeld und entsprechenden
Einträgen
in einer Routing- oder Pfadlenkungstabelle, die auf dem Router geführt wird.
Eine Pfadlenkungstabelle enthält
Informationen für
einen Router, um zu bestimmen, ob ein Informationspaket für ein Gerät angenommen
werden sollte, oder das Informationspaket an einen anderen Router
weitergelenkt werden sollte.
-
Pfadlenkungstabellen
können
manuell mit Pfadlenkungs-Tabelleneinträgen oder mit einem dynamischen
Pfadlenkungsprotokoll konfiguriert werden. Eine manuelle Pfadlenkungstabelle
kann bei der Initialisierung konfiguriert werden. In einem dynamischen
Pfadlenkungsprotokoll aktualisieren Router die Pfadlenkungsinformation
mit periodischen Informationspaket-Übertragungen an andere Router
auf dem Netzwerk. Das dynamische Pfadlenkungsprotokoll berücksichtigt
sich ändernde
Netzwerk-Topologien, Netzwerk-Architekturen, Netzwerk-Strukturen, die
Konstruktion von Routern und die Zwischenverbindungen zwischen Hosts
und Routern.
-
Das IP-Basierte Mobilitätssystem
-
Die
Internetprotokolle wurden ursprünglich unter
der Annahme entwickelt, dass Internet-Benutzer mit einem einzigen
festen Netzwerk verbunden sein würden.
Mit der Einführung
von zellularen drahtlosen Kommunikationssystemen, wie zum Beispiel Mobilkommunikations-Geräten, wurde
die Bewegung von Internet-Benutzern
innerhalb eines Netzwerkes und über
Netzwerk-Begrenzungen hinweg üblich. Aufgrund
dieser äußerst mobilen
Internet-Benutzung wird die implizite Auslegungs-Annahme der Internetprotokolle
(das heißt
ein fester Benutzer-Standard) durch
die Mobilität
der Benutzer verletzt.
-
In
einem IP-Basierten Mobilkommunikationssystem kann das Mobilkommunikations-Gerät (beispielsweise
ein Zellular-Telefon, ein Suchrufgerät, ein Computer usw.) als ein
mobiler Knoten bezeichnet werden. Typischerweise hält ein mobiler
Knoten die Verbindungsmöglichkeit
zu seinem Heimat-Netzwerk über
ein Fremd-Netzwerk aufrecht. Der mobile Knoten wird immer seinem
Heimat-Netzwerk für IP-Adressierungszwecke
zugeordnet und Informationen werden zu diesem mobilen Knoten über Router gelenkt,
die sich auf dem Heimat- und Fremd-Netzwerken befinden. Die Router können durch
eine Anzahl von Namen bezeichnet werden, unter Einschluss von Heimat-Agent,
Heimat-Mobilitätsverwaltung,
Heimat-Lokalisierungsregister,
Fremd-Agent, Versorgungs-Mobilitätsverwaltung,
Besucherregister und Besucher-Versorgungseinheit.
-
Während er
mit einem Fremd-Netzwerk gekoppelt ist, wird dem mobilen Knoten
eine Zu-Händen-Adressen
zugeordnet. Dies ist eine vorübergehende
IP-Adresse, die von dem Fremd-Netzwerk zugeordnet wird. Die Zu-Händen-Adresse
wird von Routern auf dem Fremd-Netzwerk verwendet, um Informationspakete,
die an den mobilen Knoten adressiert sind, zu lenken. Während er
sich auf einem Fremd-Netzwerk
befindet, kann sich ein mobiler Knoten von einem Ort zu einem anderen
bewegen, wodurch seine Verbindungsmöglichkeit zu dem Netzwerk geändert wird.
Diese Bewegung ändert
den physikalischen Ort des mobilen Knoten und erfordert eine Aktualisierung
von Pfadlenkungstabellen und/oder Zu-Händen-Adressen, um diese Bewegung zu
berücksichtigen.
-
Wenn
ein mobiler Knoten auf einem Fremd-Netzwerk arbeitet, werden spezialisierte
Server zur Authentifizierung, Autorisierung und zum Sammeln von
Abrechnungs- Informationen
für Dienste
verwendet, die für
den mobilen Knoten erbracht werden. Diese Authentifizierungs-, Autorisierungs- und
Abrechnungs-Aktivität
wird als „AAA" bezeichnet und AAA-Computer-Server
auf dem Heimat- und Fremd-Netzwerk führen die AAA-Aktivitäten aus.
-
Die
Authentifizierung ist der Vorgang des Nachweises einer in Anspruch
genommene Identität, und
Sicherheitssysteme auf einem mobilen IP-Netzwerk erfordern in vielen
Fällen
die Authentifizierung der Identität des Systembenutzers, bevor
sie eine angeforderte Aktivität
autorisieren. Der AAA-Server authentifiziert die Identität eines
autorisierten oder berechtigten Benutzers und autorisiert die angeforderte Aktivität des mobilen
Knotens. Zusätzlich
führt der AAA-Server
die Abrechnungsfunktionen dadurch aus, dass er die Nutzung auf dem
Netzwerk verfolgt.
-
Virtuelle private Netzwerke
-
Ein
virtuelles privates Netzwerk (VPN) emuliert ein privates Netzwerk über eine
gemeinsam genutzte physikalische Infrastruktur. Als Beispiel kann sich
ein VPN innerhalb eines Ortsbereichs-Netzwerk-(LAN-)Systems oder
auf mehreren unterschiedlichen Netzwerken befinden. Ein VPN kann
weiterhin mehrfache Computersysteme überspannen. Ein VPN kann zur
Erweiterung der Kommunikationsfähigkeiten
eines Firmen-Netzwerkes zu entfernt gelegenen Büros oder Benutzern verwendet
werden, die alle das Internet, Extranet oder Einwähldienste
unterstützen
oder verwenden. Auf diese Weise wird eine Verbindungsmöglichkeit
zu dem VPN-Netzwerk in der gleichen Weise wie bei einem ausschließlich hierfür bestimmten
privaten Netzwerk bereitgestellt, es besteht jedoch keine Notwendigkeit,
alle die Ausrüstungen
und die Unterstützungs-Infrastruktur an
einem entfernten Ort bereitzustellen.
-
Ein
Diensteanbieter oder eine andere Netzwerk-Struktur stellt das entfernt
angeordnete physikalische System und die Computerinfrastruktur bereit,
in der sich das „virtuelle" VPN-Netzwerk befindet.
Auf diese Weise kann ein VPN weitgehend in der gleichen Weise funktionieren,
wie ein einziges physikalisches Netzwerk, obwohl es zwischenliegende Host-Infrastrukturen
gibt und die Kommunikationen Netzwerk-Grenzen überqueren. Es wird eine Anzahl von
unterschiedlichen Arten von VPN's
in der RFC 2764 vorgeschlagen, doch ist dies bei weitem keine erschöpfende Liste
von möglichen
VPN-Konstrukten. Das entscheidende Kriterium eines VPN ist ein einziges
logisches Netzwerk, das sich auf einer öffentlichen oder privaten Computer-Infrastruktur
findet, wobei sich das VPN auf einem oder mehreren autonomen Systemen
befindet.
-
Tunnelung
-
Die
Tunnelung oder das Einkapseln ist die grundlegende Verfahrensweise
in der die IP-Kommunikation, durch die ein Informationspaket zu
dem passenden Internet-Knoten über eine
zwischenliegende Internet-Adresse gelenkt wird. Um die Punkt-zu-Punkt-Verbindungen
eines privaten Netzwerkes zu emulieren, verwendet die VPN-Verfahrensweise
sichere Tunnels zur Handhabung der Informationspaket-Übertragung über die öffentliche Infrastruktur.
-
Typischerweise
kann ein Informationspaket mit Netzwerk-Pfadlenkung mit einer IP-Adresseninformation
eingekapselt werden. Die Einkapselung beinhaltet die Hinzufügung eines äußeren IP-Kopffeldes
zu den ursprünglichen
IP-Kopffeldern. Auf dies Weise kann ein „Tunnel" konstruiert werden. Das äußere IP-Kopffeld
enthält
eine Quellen-und-Ziel-IP-Adresse – die „Endpunkte" des Tunnels. Die inneren IP-Kopffeld-Quellen-
und Zieladressen identifizieren die ursprünglichen Sender- und Zieladressen.
-
Die
ursprünglichen
Sender-und Empfänger-Adressen
für das
Informationspaket bleiben nach der Einkapselung unverändert, während die
neuen „Tunnel"-Endpunkt-Adressen
an das ursprüngliche Informationspaket
angehängt
werden. Diese angehängte
Adresseninformation ändert
die ursprüngliche IP-Pfadlenkung durch
Liefern des Informationspaketes an einen zwischenliegenden Zielknoten
(bei dem mobilen IP typischer Weise ein Fremd-Router), an dem das
eingekapselte Informationspaket „entkapselt" oder „ent-tunnelt" wird, wodurch sich
das ursprüngliche
Informationspaket ergibt. Das Paket wird dann an die Zieladresse
geliefert, die sich in der ursprünglichen
IP-Adresse findet, und zwar auf der Grundlage der zugehörigen Pfadlenkungstabellen-Einträge auf Netzwerk-Routern.
-
Das
Dokument
XP 0076477 :
ZAO J ET AL: „A
PUBLIC-KEY BASED SECURE MOBILE IP 12" MOBICOM. PROCEEDINGS OF THE ANNUAL
INTERNATIONAL CONFERENCE ON MOBILE COMPUTING AND NETWORKING, 26
September 1997 (1997-09-26), Seiten 173–184, beschreibt den Aufbau
unterschiedlicher IPSec-Tunnel in dem mobilen IP-paketbasierten
drahtlosen Kommunikationssystem, sowie von IPSec-Tunneln zwischen
einem mobilen Knoten und einem Fremd-Agenten, wodurch das Initialisierungsprotokoll,
beispielsweise eine Registrierungsanforderung über das Netzwerk in einer ungesicherten
Weise gesandt wird.
-
Der „Tunnel" wird durch Einkapseln
eines Informationspaketes, das die ursprüngliche IP-Adresse des mobilen
Knotens (und Nutzdaten) und eine IP-Quellenadresse enthält, mit der zwischenliegenden
Pfadlenkungs-IP-Adresse (beispielsweise der Zu-Händen-von-Adresse) des Fremd-Netzwerkes hergestellt.
In der spezielleren Anwendung von VPN's können
die Tunnels durch Verschlüsselungs- und
Authentifizierungs-Protokolle gesichert werden. Diese Sicherheitsprotokolle
stellen die Integrität
und Vertraulichkeit der Informationspaket-Datenübertragung während einer
Kommunikationsitzung sicher. Diese Sicherheitsprotokolle arbeiten
jedoch überwiegend
auf und zwischen dem Heimat-Netzwerk
und dem Fremd-Netzwerk.
-
Durch
Einkapseln der Daten mit einem IP-Kopffeld kann ein verschlüsseltes
Informationspaket sicher über
die öffentliche
Kommunikations-Struktur zwischen dem Fremd-Netzwerk und dem Heimat-Netzwerk
gelenkt werden. Während
des Durchlaufens durch den Tunnel über die öffentliche Kommunikations-Infrastruktur
werden die übertragenen
Informationspaket-Nutzdaten verschlüsselt, und die verschlüsselten
Daten können
lediglich unter Verwendung der privaten Verschlüsselungs-Schlüssel entschlüsselt werden,
die es dem Verschlüsselungsalgorithmus
ermöglichen,
die Daten zu dekodieren und die Daten zu verschlüsseln. Das Fremd-Netzwerk entschlüsselt das
Informationspaket und sendet das entschlüsselte Paket an den mobilen
Knoten. Es ist naheliegend, dass die drahtlose Übertragung eines entschlüsselten
Informationspaketes an den mobilen Knoten abgefangen und unberechtigt
verwendet werden kann.
-
Bei
früheren
Realisierungen eines VPN sind üblicherweise
zwei Software-Anwendungen
erforderlich. Diese Anwendungen schließen einen mobilen IP-Klienten und einen
VPN-Klienten ein. Weil kein einzelner integrierter Klient die zwei
Software-Anwendungen realisieren kann, sind zwei Klienten erforderlich,
die in Tandem arbeiten, um einen VPN-Tunnel und eine Kommunikationsverbindung
zu dem mobilen Knoten aufbauen und unterhalten.
-
Derzeitige
VPN-Lösungen
in einer drahtlosen Umgebung sind nicht befriedigend. Es gibt eine Anzahl
von ungelösten
Herausforderungen an die Verschlüsselung
von Informationspaketen für
die Übertragung
an mobile Knoten, die sich über
Netzwerk-Grenzen
hinweg bewegen, insbesondere in der VPN-Umgebung. Es hat sich herausgestellt,
dass eine vollständige
Verschlüsselung
von Informationspaketen von dem mobilen Knoten über die drahtlose Verbindungstrecke
zu dem Heimat-Netzwerk
sehr schwierig zu realisieren ist. Immer dann wenn der mobile Knoten
seine Verbindungsmöglichkeit
zu einem Netzwerk ändert, ändert sich
die Pfadlenkungsadresse und erfordert ein Zurücksetzen der Klienten und die
Durchführung
des Austausches neuer Authentifizierungs-und Sitzungsverschlüsselungs-Schlüssel. Sich ändernde
Pfadlenkungsadressen erfordern sowohl Zeit als auch Systemressourcen
zur Übertragung
von Verwaltungsinformation. Diese vergrößerten Zusatzaufwands-Anforderungen führen zu
einer Latenz bei der Sitzungsinformations-Übertragung, zu einem Datenverlust
und in manchen Fällen
zum Abbruch der Sitzung. Es gibt eine Notwendigkeit, die Sicherung
der drahtlosen Verbindungsstrecke von dem mobilen Knoten zu dem Fremd-Netzwerk
zu verbessern und eine sichere Kommunikation über die drahtlose Verbindungsstrecke
sicherzustellen.
-
Zusammenfassung der Erfindung
-
Die
vorliegende Erfindung unterstützt
eine sichere Übertragungs-Verbindungsstrecke
zwischen einem mobilen Knoten und einem Fremd-Agenten unter Verwendung
einer integrierten Software-Anwendung. Die Unterstützungssoftware
wird auf einem Fremd-Agenten und dem mobilen Knoten betrieben, um
sichere Kommunikationen zwischen dem mobilen Knoten und dem Fremd-Agenten
zu unterstützen.
Als solche ergibt die vorliegende Erfindung ein sicheres Übertragungsprotokoll
für Kommunikationen
zu und von mobilen Knoten.
-
Die
bei der vorliegenden Erfindung verwendete Unterstützungssoftware
schließt
Merkmale und Protokolle zur Initialisierung und Aufrechterhaltung einer
mobilen IP-Verbindung
ein. Die Software wird außerdem
Initialisierungsfunktionen ausführen, IP-Verbindungen
aufbauen und die Zu-Händen-von-Adressierung
zwischen dem Fremd-Agenten und dem Heimat-Netzwerk ausführen und
die zu übertragenden
Daten in IP/TCP-Informationspakete mit Pfadlenkungsinformation für die Übertragung über das
Internet formatieren.
-
Die
Unterstützungssoftware
führt auch
die VPN-Funktionen in einer integrierten Umgebung aus, wobei im
wesentlichen bisher getrennte Software-Module oder Klienten in einer
einzigen Klienten-Umgebung kombiniert werden. Die von diesem integrierten
Klienten ausgeführten
Funktionen schließen die Benutzer-Authentifizierung,
die Adressenverwaltung, die Datenverschlüsselung und die Schlüsselverwaltung
ein. Private Sitzungs-Schlüssel
werden festgelegt und in den IP/VPN-Klienten-Verschlüsselungs-Algorythmen
verwendet. Die Datenverschlüsselung
schließt
sowohl die Daten-Nutzinformationen des Informationspaketes als auch
die aktuelle IP-Identifikation des mobilen Knotens und des Heimat-Netzwerkes
ein.
-
Gemäß einem
ersten Gesichtspunkt der Erfindung wird ein sicheres Paketbasiertes
drahtloses Kommunikationssystem geschaffen, das folgendes umfasst:
einen
Fremd-Agenten auf dem Fremd-Netzwerk, der drahtlos mit einem mobilen
Knoten verbunden ist, wobei der Fremd-Agent Informationspakete für den mobilen
Knoten lenkt; und ein integriertes Software-Programm, das ein integriertes
sicheres Übertragungsprotokoll
hat, das auf dem Fremd-Agenten und dem mobilen Knoten arbeitet,
wobei das Protokoll auf dem mobilen Knoten und dem Fremd-Agenten
arbeitet und die Übertragung
von verschlüsselten
Registrierungs-Anforderungs-Informationspaketen
zwischen dem mobilen Knoten und dem Fremd-Agenten ausführt.
-
Vorzugsweise
schließt
das integrierte sichere Übertragungsprotokoll
ein Sicherheits-Initialisierungsverfahren zur Aushandlung von Verschlüsselungsalgorithmen
ein, die zur Verschlüsselung
von Registrierungs-Anforderungs-Informationspaketen für die Übertragung
für den
mobilen Knoten verwendet werden.
-
Alternativ
schließt
das integrierte sichere Übertragungsprotokoll
eine Sicherheits-Initialisierungsprozedur
zum Austausch von Verschlüsselungs-Schlüsseln ein,
die in den Verschlüsselungsalgorithmen
verwendet werden, um Registrierungs-Anforderungs-Informationspakete zur Übertragung
für den
mobilen Knoten zu verschlüsseln.
-
Vorzugsweise
umfasst das integrierte sichere Übertragungsprotokoll
weiterhin eine Kommunikationsunterstützung für die Übertragung von verschlüsselten
Registrierungs-Anforderungs-Informationspaketen.
-
Das
Kommunikationssystem kann einen allgemeinen Paket-Funkdienst, ein
universelles Mobil-Telekommunikationssystem oder ein Codemultiplex-Vielfachzugriffs-System
umfassen.
-
Gemäß einem
zweiten Gesichtspunkt der Erfindung wird ein Verfahren zur Sicherung
von Registrierungs-Anforderungs-Übertragungen
zwischen einem mobilen Knoten und einem Fremd-Netzwerk geschaffen,
das die folgenden Schritte umfasst: Bereitstellen eines Fremd-Netzwerkes
mit einem Fremd-Agenten, der die Informationspaket-Übertragung über eine
drahtlose Kommunikationsverbindungsstrecke an den mobilen Knoten
unterstützt;
Bereitstellen einer Kommunikationsverbindungsstrecke von dem Fremd-Netzwerk;
Ausbilden einer sicheren Kommunikationsverbindungsstrecke zwischen
dem Fremd-Agenten und dem mobilen Knoten; Initialisieren eines integrierten
Sicherheits-Übertragungsprotokolls
unter Verwendung einer integrierten Software-Anwendung auf dem Fremd-Agenten
und dem mobilen Knoten; Empfangen einer eingekapselten verschlüsselten
Registrierungs-Anforderung für
eine Kommunikationssitzung von dem mobilen Knoten an den Fremd-Agenten;
Entkapseln der verschlüsselten Registrierungs-Anforderung, die
von dem mobilen Knoten empfangen wird; Entschlüsseln der verschlüsselten
Registrierungs-Anforderung, die von dem mobilen Knoten empfangen
wird, für
eine Kommunikationssitzung durch den Fremd-Agenten; und Übertragen
der entschlüsselten
Registrierungs-Anforderung von dem Fremd-Netzwerk zu einem Heimat-Netzwerk (HM);
und Senden eines verschlüsselten
Informationspaketes, das unter dem integrierten Sicherheits-Übertragungsprotokoll
gebildet wurde, an den mobilen Knoten.
-
Das
System kann weiterhin den Schritt des Austausches von authentifizierten
und sicheren Informationspaketen zwischen dem Fremd-Agenten und dem
mobilen Knoten umfassen, die Verschlüsselungsalgorithmus-Informationen
enthalten, die unter dem integrierten Sicherheits-Übertragungsprotokoll gebildet
wurden.
-
Das
Verfahren kann weiterhin den Schritt des Austausches von authentifizierten
und sicheren Informationspaketen zwischen dem Fremd-Agenten und dem
mobilen Knoten umfassen, die Verschlüsselungs-Schlüssel zur
Verwendung durch das integrierte Sicherheits-Übertragungsprotokoll enthalten.
-
Das
Verfahren kann weiterhin die folgenden Schritte umfassen: Empfangen
eines Informationspaketes an den Fremd-Agenten, das an den Fremd-Agenten
adressiert ist; Verschlüsseln
des von dem Fremd-Agenten empfangenen Informationspaketes; Einkapseln
des verschlüsselten
Informationspaketes; und Senden des verschlüsselten Informationspaketes
von dem Fremd-Agenten an den mobilen Knoten.
-
Das
Verfahren kann weiterhin die folgenden Schritte umfassen: Erzeugen
eines Informationspaketes an den mobilen Knoten; Verschlüsseln des
von dem mobilen Knoten erzeugten Informationspaketes; Einkapseln
des verschlüsselten
Informationspaketes; und Senden des verschlüsselten Informationspaketes
an den Fremd-Agenten zum Entkapseln und Entschlüsseln;
Vorzugsweise wird
das integrierte Sicherheits-Übertragungsprotokoll
durch Hinzufügen
einer Übertragungsprotokoll-Schicht
zu dem Übertragungsprotokoll-Stapel für die Einkapselungs-/Entkapselung-
und Verschlüsselungs-/Entschlüsselungs-Funktionen realisiert.
-
Vorzugsweise
schließen
die Verschlüsselungsalgorithmen
den Datenverschlüsselungsstandard
(DES), den Dreifach-Datenverschlüsselungsstandard
(3DES), Rivest-Shamir-Aldeman (RSA), ElGamal, RC2 oder RC4 ein.
-
Das
Verfahren der Authentifizierung und Sicherung der Informationspakete
während
des Schlüsselaustausches
kann Message Digest 5 (MD5), Secure Hash Algorithmen (SHA), oder
Diffie-Hellman Algorithmen einschließen.
-
Gemäß einem
dritten Gesichtspunkt der vorliegenden Erfindung wird ein Verfahren
zur sicheren paketbasierten drahtlosen Kommunikation geschaffen,
das die folgenden Schritte umfasst: Bereitstellen eines Fremd-Agenten
auf einem Fremd-Netzwerk, der über eine
drahtlose Verbindungsstrecke mit einem mobilen Knoten gekoppelt
ist, wobei der Fremd-Agent die Übertragung
von Informationspaketen für
den mobilen Knoten unterstützt;
Initialisieren einer sicheren VPN-Verbindung zwischen dem Fremd-Agenten
und dem mobilen Knoten, Betreiben einer Kommunikationsanwendung,
die ein integriertes Sicherheits-Übertragungsprotokoll zur Aussendung
und zum Empfang sicherer Informationspaket-Übertragungen über die
VPN-Verbindung aufweist, und Senden eines verschlüsselten
Registrierungs-Anforderungs-Informationspaketes, das von dem integrierten
Sicherheits-Übertragungsprotokoll gebildet
wird, zwischen dem mobilen Knoten und dem Fremd-Agenten.
-
Vorzugsweise
wird das verschlüsselte
Registrierungs-Anforderungs-Informationspaket unter Verwendung des
integrierten Sicherheits-Übertragungsprotokolls
entschlüsselt.
-
Vorzugsweise
weist das verschlüsselte
Registrierungs-Anforderungs-Informationspaket eine verschlüsselte Adresse,
die von dem Fremd-Agenten zum Lenken von Informationspaketen verwendet wird,
verschlüsselte
Daten und ein nicht verschlüsseltes
Einkapselungs-Adressen-Kopffeld auf, das zur Pfadlenkung des Informationspaketes
verwendet wird.
-
Der
Initialisierungsschritt kann durch Software-Teilroutinen gesteuert
werden, die die Kommunikations-Verbindungsstrecke für den mobilen
Knoten ausbilden.
-
Vorzugsweise
schließt
der Initialisierungsschritt eine Subroutine ein, die die Verschlüsselung und
Entschlüsselung
der Registrierungs-Anforderungs-Informationspakete
steuert.
-
Vorzugsweise
wird das entschlüsselte
Registrierungs-Anforderungs-Informationspaket
von dem Fremd-Agenten übertragen.
-
Die
Ziele und Merkmale der Erfindung werden einfacher aus der folgenden
ausführlichen
Beschreibung und den beigefügten
Ansprüchen
verständlich,
wenn diese in Verbindung mit den beigefügten Zeichnungen gelesen werden,
in denen gleiche Bezugsziffern gleiche Elemente bezeichnen und in
denen:
-
1 eine
schematische Darstellung eines mobilen drahtlosen IP-Kommunikationsnetzwerkes ist,
das einen allgemeinen paketbasierten drahtlosen Dienst (GPRS) aufweist;
-
2 eine
schematische Darstellung eines GPRS-Kommunikationsnetzwerkes ist;
-
3 eine
Darstellung eines Informationspaketes ist;
-
4 eine
allgemeine Darstellung eines ursprünglichen Informationspaketes
und eines eingekapselten Informationspaketes ist, das für die Tunnelung
verwendet wird;
-
5 die
bekannte allgemeine Mitteilungsfolge zur Einleitung einer mobilen
IP-Kommunikationssitzung ist;
-
6A ein
Ablaufdiagramm ist, das die von dem Kommunikationsprogramm befolgten
Prozeduren zum Aufbau der sicheren VPN-Verbindungsstrecke und der mobilen IP-Sitzung
zeigt;
-
6B ein
Ablaufdiagramm ist, das die Folge von Operationen für eine Übertragung
von dem mobilen Knoten zu dem Fremd-Agenten zeigt;
-
6C ein
Ablaufdiagramm ist, das die Folge von Operationen für eine Übertragung
von dem Fremd-Agenten zu dem mobilen Knoten zeigt;
-
6D eine
spezifische Mitteilungsfolge zur Initialisierung der sicheren VPN-Verbindungsstrecke gemäß der Erfindung
ist;
-
6E eine
graphische Darstellung eines verschlüsselten, eingekapselten Paketes
und der Entkapselungs- und Entschlüsselungsprozedur ist;
-
7A ein
Protokollstapel-Diagramm für den
mobilen Knoten beim Stand der Technik ist;
-
7B ein
Protokollstapel-Diagramm für den
mobilen Knoten gemäß der Erfindung
ist;
-
8A ein
Protokollstapel-Diagramm für den Überleiteinrichtungs(Gateway-)GPRS-Dienst-Knoten
(GGSN) nach dem Stand der Technik ist;
-
8B ein
Protokollstapel-Diagramm für den
Gateway-GPRS-Dienst-Knoten
(GGSN) gemäß der Erfindung
ist.
-
Ausführliche Beschreibung
-
Die
folgende Beschreibung ist eine Beschreibung von bevorzugten Ausführungsbeispielen
lediglich in Form eines Beispiels und ohne Beschränkung auf
die Kombination von Merkmalen, die für die Übertragung der Erfindung in
die Praxis erforderlich sind.
-
Gemäß 1 unterstützt ein
Zellenstandort 1 eine drahtlose Kommunikation mit mobilen
Knoten (beispielsweise Zellulartelefonen, Laptop-Computern, Palm-Pilot-Geräten, usw.)
innerhalb dieses Zellenstandort-Dienstebereiches. Andere Zellenstandorte 2 und 3 befinden
sich benachbart zu dem Zellenstandort 1 in 1,
und jeder Zellenstandort 2 und 3 unterstützt drahtlose
Kommunikationen in seinem jeweiligen Bereich. Die Basisstations-Steuerung („BSC") 5 ist
mit dem Zellenstandort 1 über Signalleitungen 6 und 7 gekoppelt.
Die BSC 5 ist mit dem Zellenstandort 3 über die
Signalleitungen 19 und 7 gekoppelt, und die BSC 5 ist
mit dem Zellenstandort 2 über die Signalleitungen 29 und 7 gekoppelt.
Die BSC 5 unterstützt
die Übertragung
von Sprache- und Datenkommunikationen auf dem zellularen drahtlosen
Netzwerk, und die BSC 5 ermöglicht die Kontinuität von Übertragungen
zu und von mobilen Knoten, während
sich die mobilen Knoten in den drahtlosen Netzwerk von einem Zellenstandort
zu einem anderen bewegen (beispielsweise von dem Zellenstandort 1 zu
dem Zellenstandort 2). Die BSC 5 steuert weiterhin
andere Komponenten in den Zellenstandorten, um die Übertragung
von Sprache und Daten auf dem drahtlosen Netzwerk weiter zu unterstützen. Insgesamt
können
die BSC 5 und ihre zugehörigen Komponenten als ein Basisstations-Teilsystem
(„BSS") 70 bezeichnet
werden. Die BSC 5 kann weiterhin einzeln als ein BSS bezeichnet
werden. Das BSS wird in manchen Fällen auch als das Funk-Zugangsnetzwerk
(RAN) bezeichnet.
-
Ein
allgemeines paketbasiertes Funkdienst-(„GPRS"-)Netzwerk 50 ist in 1 gezeigt. Die
BSC-Einheit 5 ist mit dem GPRS-Netzwerk 50 über eine
Schnittstellen-Signalleitung 15 gekoppelt. Das
GPRS-Netzwerk 50 unterstützt die Übertragung von IP-Paketen und
anderen Arten von paketisierten Daten über eine Kommunikations-Infrastruktur.
Das GPRS-Netzwerk 50 ergibt einen paketbasierten Zugang
für einen
mobilen Knoten auf dem BSS 70 über die Gb-Schnittstellen-Signalleitung 15.
-
Das
GPRS-Netzwerk 50 ist weiterhin mit anderen Arten von Netzwerken
gekoppelt, wie zum Beispiel GPRS2 81,
einem Paket-Datennetzwerk (PDN) 82 und dem Internet 83.
Das GPRS-Netzwerk 50 ist mit dem GPRS2 81 über die
Kommunikationsverbindungsstrecke 40 gekoppelt. Das GPRS-Netzwerk 50 ist
mit dem PDN 82 über
die Kommunikationsverbindungsstrecke 38 gekoppelt, und
das GPRS-Netzwerk 50 ist mit dem Internet 83 über eine
Kommunikations-Verbindungsstrecke 39 gekoppelt.
-
Die
BSC 5 unterstützt
drahtlose Kommunikationen von einem Teilnehmer, einem Benutzer einer mobilen
Einheit oder einem mobilen Knoten in den Dienstbereichen des Zellenstandortes 1,
des Zellenstandortes 2 und des Zellenstandortes 3.
Während sich
ein mobiler Knoten über
diese Zellenstandort-Begrenzungen bewegt, ist er in der Lage, auf
dem Internet 83, mit dem PDN 82, oder dem GPRS2 81 über die Gb-Schnittstelle 15 und
das GPRS-Netzwerk 50 zu kommunizieren. Wenn der mobile
Knoten eine Begrenzung von einem mit der BSC 5 verbundenen
Standort zu einer anderen BSC überquert,
so wird die Kommunikationsunterstützung von der BSC 5 auf
die neue BSC umgeschaltet.
-
2 zeigt
weiter interne Einzelheiten eines drahtlosen allgemeinen paketbasierten
Funkdienst-(GPRS-)Telekommunikations-Netzwerkes 100 das
mit einem BSS 110 über
die Gb-Schnittstellen-Signalleitung 105 gekoppelt ist.
Die Gb-Schnittstellen-Signalleitung 105 ist
mit dem BSS 110 über dessen
zugehörige
BSC 111 gekoppelt. Die BSC 111 ist ihrerseits
mit einem Basisstations-Sendeempfänger-Teilsystem
(BTS) 120 gekoppelt, das drahtlose Kommunikationen auf
einem Zellenstandort unterstützt.
Die BSC 111 ist mit dem BTS 120 über eine Kommunikationsleitung 125 verbunden.
Das BTS 120 ist mit einer Antenne 123 über eine
Kommunikationsleitung 121 verbunden. Die Antenne 123 unterstützt drahtlose
Kommunikationen mit dem mobilen Knoten (MN) 180 über eine
drahtlose Kommunikations-Verbindungsstrecke 181.
-
Das
GPRS-Netzwerk 100 umfasst ein Heimatregister (HLR) 130,
das mit einem Dienste liefernden GPRS-Unterstützungsknoten (SGSN) 140 über eine
Signalleitung 132 verbunden ist. Das GPRS-Netzwerk umfasst
weiterhin einen Anruf-Server-Kontrollfunktion-Knoten (CSCF) 150,
der mit einem Überleit einrichtungs-(Gateway-)GPRS-Unterstützungsknoten
(GGSN) 160 über
eine Signalleitung 152 verbunden ist. Der GGSN 160 ist
mit dem SGSN 140 über
eine Signalleitung 162 gekoppelt, und der CSCF 150 ist
mit dem HLR 130 über
eine Signalleitung 133 gekoppelt. Die Schnittstellenverbindung 132 zwischen
dem SGSN 140 und dem HLR 130 wird als die Gr-Schnittstelle
bezeichnet. Die Schnittstellenverbindung 162 zwischen dem
SGSN 140 und dem GGSN 160 wird als die Gn-Schnittstelle
bezeichnet.
-
Die
Schnittstellenverbindung 105 zwischen dem SGSN 140 und
der BSC 111 des BSS 110 ist die Gb-Schnittstelle.
Die Datenübertragung
zwischen dem SGSN 140 und der BSC 111 fließt durch
die Gb-Schnittstelle 105, so dass eine Kommunikation zwischen
dem BSS 110 und dem GPRS-Netzwerk 100 ermöglicht wird.
Das GPRS-Netzwerk 100 ist weiterhin
mit anderen Netzwerken gekoppelt, wie zum Beispiel einem PDN (nicht
gezeigt), dem Internet 175 oder anderen GPRS-Netzwerken
(nicht gezeigt), wie dies in 1 beschrieben
wurde. Eine Verbindung von dem GPRS-Netzwerk 100 zu dem
Internet 175 über
die Kommunikations-Verbindungsstrecke 174 ist gezeigt.
Das Internet 175 ist mit dem Heimat-Netzwerk 190 des
MN 180 über
eine Kommunikations-Verbindungsstrecke 189 verbunden.
-
In
einem mobilen IP-Kommunikationssystem wird der MN 180 durch
eine IP-Adresse
identifiziert. Typischerweise ist dies eine permanente IP-Adressen-Zuordnung, doch kann
die IP-Adresse über
einen dynamischen Host-Konfigurationsprotokoll-(DHPC)Server
des Heimat-Netzwerkes aus einem Vorrat an verfügbaren IP-Adressen zugeteilt
werden. Während
der MN 180 mit seinem Heimat-Netzwerk 190 gekoppelt
ist, arbeitet der MN 180 genauso wie irgend ein anderer
fester Knoten auf diesem Netzwerk. Wenn sich der MN 180 jedoch
an einer von seinem Heimat-Netzwerk 190 entfernten Stelle
befindet und an ein Fremd-Netzwerk
(beispielsweise das GPRS 100) angebunden ist, so sendet
das Heimat-Netzwerk 150 Datenkommunikationen
an den MN 180 dadurch, dass Informationspakete an das Fremd-Netzwerk 100 getunnelt
werden. Der MN 180 kommuniziert seinerseits mit seinem
Heimat-Netzwerk 150 durch Tunneln von Informationspaketen
durch das Fremd-Netzwerk 100 hindurch zu dem Heimat-Netzwerk 190.
-
Das
allgemeine Format eines Informationspaketes, das auf paketbasierten
Kommunikationssystemen verwendet wird, ist in 3 gezeigt.
Informationspakete verwenden ein Kodierungsformat von „1"- und „0"-Datenbits, um einen
Datenstrom aufzubauen, den ein Computer interpretieren kann. Das
Informationspaket 200 hat ein IP-Adressen-Kopffeld 210,
das Pfadlenkungsbefehle für
den Transport über ein
IP-Kommunikationssystem ergibt. Die tatsächliche Länge und Konfiguration des IP-Kopffeldes 210 hängt von
dem tatsächlichen
verwendeten Kommunikationsprotokoll ab (beispielsweise IPv4 oder
IPv6). Das Informationspaket 200 enthält weiterhin ein eine veränderliche
Länge aufweisendes
Datenfeld 220, das die tatsächliche Information enthält, die
von der Ursprungsquelle zu der Zielquelle übertragen wird.
-
Das
grundlegende Tunnel-Protokoll, das zum Lenken von Daten verwendet
wird, ist in 4 gezeigt. Das ursprüngliche
Informationspaket 300 enthält ein IP-Kopffeld (IP) 310,
das IP-Adressen sowohl für
das abschließende
Ziel als auch den Sender des Paketes 300 umfasst. Die Daten
(DATA) 320 sind die aktuellen Daten oder die Nutzdaten,
die übertragen
werden. Nach dem Einkapseln wird ein äußeres Kopffeld (OH) 330 zu
dem Informationspaket 300 hinzugefügt. Dies ergibt ein eingekapseltes
Informationspaket 360, das ein äußeres Kopffeld 330 (typischerweise
eine IP-Adresse) mit der Adresse für die Tunnel-Eintritts-und
Austrittspunkte, das IP-Kopffeld 340, das die IP-Adresse
des Ziels und die Quellen-IP-Adresse umfasst, und die Nutzdaten 350 umfasst.
Zum Lenken zu dem MN 180 wird das eingekapselte Informationspaket
von dem Heimat-Netzwerk (HN) 190 zu dem Fremd-Netzwerk 100 (beispielsweise
GPRS 100) gelenkt. Im Inneren des GPRS-Netzwerkes 100 wird das eingekapselte
Informationspaket zu einem Zwischenziel, dem GGSN 160 gelenkt.
Der GGSN 160 „entkapselt" oder „enttunnelt" das Informationspaket 300 aus
dem eingekapselten Informationspaket 360 und lenkt das
wiederhergestellte Informationspaket 300 an den MN 180 auf
der Grundlage des IP-Kopffeldes 340 und der zugehörigen Zu-Händen-von-Adresse
in seiner Pfadlenkungstabelle.
-
5 zeigt
die bekannte Mitteilungsfolge zum Initialisieren einer mobilen IP-Sitzung auf dem GPRS-Netzwerk 100.
Als erstes muss der MN 180 ein Anschlussprotokoll an das
GPRS-Netzwerk 100 ausführen.
Im Schritt 505, beim ersten Verbinden mit einem BSS 111 über eine
drahtlose Verbindungsstrecke 181 initialisiert der MN 180 eine
Verbindung an das GPRS-Netzwerk 100 mit einer Anschluss-Anforderungs-(Attch
Req-)Mitteilung, die an den SGSN 140 gesandt wird. Der
SGSN 140 verarbeitet die Anforderung, prüft, ob der
Benutzer zugangsberechtigt ist und erzeugt eine temporäre Identität. Der SGSN 140 sendet
eine Anschluss-Antwort-(Attch Res-)Mitteilung, die dem MN 180 eine
temporäre
Identität
im Schritt 510 zuordnet.
-
Um
Informationspakete außerhalb
des GPRS-Netzwerkes 100 auszutauschen, muss der MN 180 eine
Paketdaten-Protokoll-(PDP-)Adresse erhalten, die zu benutzen ist,
während
er sich auf dem GPRS-Netzwerk befindet. Im Schritt 515 sendet der
MN 180 eine Aktiviere-PDP-Kontext-Anforderung-(Act PDP
Req) an den SGSN 140. Der SGSN 140 verarbeitet
die Anforderung und erzeugt eine Erzeuge-PDP-Kontext-Anforderungs-(Create
PDP Req-)Mitteilung an den GGSN 160 im Schritt 520.
Im Schritt 525 verarbeitet der GGSN 160 die Anforderung
und gewinnt eine PDP-Adresse für
den MN 180 zur Verwendung auf dem GPRS-Netzwerk 100. Eine Erzeuge-PDP-Kontext-Antwort-(Create
PDP Context Res-)Mitteilung wird erzeugt und an den SGSN 140 gesandt.
Bei berechtigtem Zugang erzeugt der SGSN 140 seinerseits
eine Aktiviere-PDP-Kontext-Annahme-(Act PDP Acc-)Mitteilung und
sendet diese an den MN 180 im Schritt 530.
-
Nachdem
der GPRS-Anschluss und die Kontext-Aktivierung abgeschlossen ist,
kann der MN 180 nunmehr das mobile IP-Protokoll einleiten.
In Schritt 535 empfängt
der MN 180 eine Agenten-Ankündigungs-(Agnt Ad-)Mitteilung
von dem GGSN 160. Im Schritt 540 sendet der MN 180 eine
Registrierungsanforderungs(Reg Req-)Mitteilung an den GGSN 160,
der die Anforderung weiterleitet und eine Zu-Händen-von-IP-Adresse zur Verwendung
durch den MN 180 auf den GPRS-Netzwerk 100 gewinnt. In Schritt 545 erzeugt
der GGSN 160 eine Registrierungsanforderungs-(Reg Req-)Mitteilung
und sendet diese an das Heimat-Netzwerk 190 des MN 180,
wobei diese Mitteilung die Zu-Händen-von-IP-Adresse enthält. In Schritt 550 verarbeitet
das Heimat-Netzwerk 190 die Mitteilung, und wenn die Identität des MN 180 bestätigt wird,
so wird eine Registrierungs-Antwort-(Reg
Res-)Mitteilung an den GGSN 160 zurückgesandt. Die Reg Res-Mitteilungs-Verarbeitungseinheit
auf dem Heimat-Netzwerk 190 kann einen Heimat-Agenten oder einen
Computer-Server, wie zum Beispiel einen AAA-Server oder einen DHCP-Server
einschließen.
In Schritt 555 verarbeitet der GGSN 160 die Antwort,
erzeugt eine Registrierungs-Antwort-(Reg Rep-)Mitteilung und sendet
diese an an den MN 180 zurück, wobei diese die Zu-Händen-von-IP-Adresse
enthält.
Im Schritt 560 bestätigt
der MN 180 die Registrierung bei dem Heimat-Netzwerk 190 durch
Senden einer Bindungs-Aktualisierungs-Mitteilung (BU) an das Heimat-Netzwerk 190.
In Schritt 565 antwortet das Heimat-Netzwerk 190 auf
die BU-Mitteilung mit einer Bindungs-Bestätigungs-(BA-)Mitteilung. Dies
schließt die
Registrierung des MN 180 unter den mobilen IP-Protokoll
ab und ermöglicht
es, dass der MN 180 IP-Informationspakete auf dem GPRS-Netzwerk 100 in
einer mobile IP-Sitzung sendet und empfängt. Das Problem mit diesem
Kommunikations-Initialisierungsprotokoll
ist das Fehlen von sicheren Informationspaket-Übertragungen über die
drahtlose Verbindungsstrecke 181. Während des Austausches von Mitteilungspaketen
ist die IP-Adresse in den Informationspaketen nicht sicher und kann
abgefangen werden. Die Kommunikationssitzung zwischen dem Heimat-Netzwerk
und dem mobilen Knoten kann ohne eine sichere Informationspaket-Übertragung
an den mobilen Knoten verfälscht
werden.
-
Bei
der Erfindung unterstützt
das mobile IP-Softwareprogramm oder der IP-Klient sichere Kommunikationen
zwischen dem Fremd-Agenten und dem mobilen Knoten. Die Unterstützungssoftware
der Erfindung stellt ein sicheres Kommunikationsprotokoll zwischen
dem mobilen Knoten und dem Fremd-Agenten zur Verfügung, wobei
sie im wesentlichen einen einzigen integrierten IP-VPN-Klienten bildet.
-
Die
grundlegende Folge von Operationen, die von dem IP-VPN-Klienten
ausgeführt
wird, ist in dem Flussdiagramm in 6A gezeigt.
Die erste Operation 600 initialisiert die Verbindungsstrecke zwischen
dem MN 180 und dem GGSN 160 (beispielsweise dem
Fremd-Agenten) auf dem GPRS-Netzwerk 100 (beispielsweise
einem Fremd-Netzwerk). Die zweite Operation 601 tauscht Verschlüsselungs-Schlüssel aus,
die in den Verschlüsselungs-Algorithmus-Subroutinen
benötigt werden.
Annehmbare Algorithmen für
den Schlüsselaustausch
schließen
Message Digest 5 (MD5), Secure Hash Algorithm (SHA) und einen Diffie-Hellmann-Kombinations-Algorithmus
unter Verwendung eines öffentlichen
und eines privaten Verschlüsselungs-Schlüssels ein.
In der dritten Operation 602 wird der während der Kommunikationssitzung
verwendete Verschlüsselungs-Algorithmus
ausgehandelt. Es kann eine Anzahl von Verschlüsselungs-Algorithmen in den
Subroutinen des Programms verfügbar
sein, unter Einschluss des Datenverschlüsselungs-Standards (DES) des
Dreifach-Datenverschlüsselungs-Standards
(3DES), Rivest-Shamir-Aldeman
(RSA), ElGamal, RC2 und RC4.
-
An
diesem Punkt haben der MN 180 und der GGSN 160 die
Information, die benötigt
wird, um die Information sicher zu übertragen. Die nächste Operation 603 schließt die mobile
IP-Verbindung zwischen den MN 180 und dem Heimat-Netzwerk 190 ab.
Dieser Schritt erfordert die Auswahl von Verschlüsselungs-/Entschlüsselungs-Protokollen
und Algorithmen, um die IP-Adresse und Identität des MN 180 und des
Heimat-Netzwerkes 190 zu betreiben und zu sichern. Die
abschließende
Operation 604 sendet Informationspakete unter Verwendung
der Verschlüsselung
und Entschlüsselung.
-
6B zeigt
die Operation des IP/VPN-Klienten, während ein IP-Paket von dem
MN 180 an das Heimat-Netzwerk 190 gesandt wird.
-
Das
Programm beginnt in Schritt 611, der die Verbindung des
MN 180 mit dem GPRS-Netzwerk 100, den Austausch
von Sitzungs-Schlüsseln,
die Aushandlung der Algorithmen und die Herstellung einer mobilen
IP-Verbindung von den MN 180 zu dem Heimat-Netzwerk 190 einschließt. In Schritt 612 formatiert
das Protokoll Daten in Informationspakete. An diesem Schritt formatiert
der Klient Informationspakete zur Übertragung auf ein paketbasiertes
System, wobei Daten in Pakete unterteilt, die Pakete formatiert,
Paket-Kopffelder erzeugt und die Umsetzung der Daten in das IP-Paketformat
erleichtert wird. Dieser Schritt schließt weiterhin die Erzeugung
eines IP-Adressen-Kopffeldes mit der IP-Adresse des Ziels und der
Quelle ein (beispielsweise die IP-Identifikation des MN 180).
Der Klient führt
diesen Schritt kontinuierlich für
alle Pakete aus, die während
einer Kommunikationssitzung gesandt werden.
-
In
Schritt 613 verschlüsselt
das Sicherheitsprotokoll, das an dem MN 180 arbeitet, das
IP-Informationspaket. Im Schritt 612 formatierte IP-Pakete werden
in Schritt 613 unter Verwendung des ausgetauschten Sitzungs-Verschlüsselungs-Schlüssel und des
ausgewählten
Algorithmus in den Programm-Subroutinen des Klienten verschlüsselt. Der
Klient verwendet die Schlüssel
und Algorithmen, um das gesamte Informationspaket zu verschlüsseln, wodurch sichergestellt
wird, dass die Paket-Nutzdaten und die IP-Adresse während der Übertragung über die
drahtlose Schnittstelle von dem MN 180 zu dem BSS 120 gesichert
sind. Während
der Verschlüsselung
wird ein IP-Sicherheits-Kopffeld (IPSec) erzeugt und an das verschlüsselte Paket
angehängt.
-
Sobald
das Paket verschlüsselt
ist, kapselt der Klient das Paket zur Übertragung in Schritt 614 ein.
Das verschlüsselte
Paket muss mit einem äußeren Kopffeld
auf dem Informationspaket zur Pfadlenkung auf dem GPRS-Netzwerk 100 eingekapselt werden.
Dieses eingekapselte Kopffeld ist eine Adresse, die als Eintrittspunkt
in den gesicherten Tunnel verwendet wird, den das Verschlüsselungsprotokoll
zwischen dem MN 180 und dem GGSN 160 erzeugt.
-
In
Schritt 616 wird das eingekapselte Paket von dem MN 180 zu
dem BTS 120 gesandt, das die Pakete an die BSC 111 weiterleitet.
Die BSC 111 verarbeitet das Paket und lenkt das Paket an
den SGSN 140. Der SGSN 140 lenkt seinerseits das
Paket an den GGSN 160.
-
In
Schritt 617 wird das Paket an dem GGSN 160 empfangen.
Weil das Paket an den GGSN 160 adressiert ist, wird das
Paket verarbeitet, was ein IP-Sicherheits(IPSec) Kopffeld sichtbar
macht, das die Authentifizierungsdaten enthält und die Anforderungen für den Klienten
zur Entschlüsselungen
des Paketes spezifiziert. In Schritt 617 entschlüsselt der GGSN 160 das
IP-Paket unter Verwendung des umgekehrten Vorganges der Verschlüsselungs-Algorithmen,
die durch die integrierte Klienten-Software bestimmt ist, die auf
dem GGSN 160 arbeitet. An dem abschließenden Schritt 619 sendet
der GGSN 160 das entschlüsselte IP-Paket an das Heimat-Netzwerk 190.
Das entschlüsselte
Paket wird entsprechend den mobilen IP-Protokollen des Klienten
für die Übertragung
an das Heimat-Netzwerk 190 ausgesandt.
-
6C zeigt
den Betrieb des IP/VPN-Klienten, während ein IP-Paket von dem
GGSN 160 an den MN 180 gesandt wird. Das Programm
beginnt in Schritt 621, der die Zuordnung eines PDP-Kontextes zu
dem MN 180, den Austausch von Sitzungs-Schlüsseln,
die Aushandlung von Verschlüsselungs-Algorithmen
und die Herstellung einer mobilen IP-Verbindung zu dem Heimat-Netzwerk 190 einschließt. Der
Schritt 622 ist der Empfang eines IP-Paketes durch den
GGSN 160 von dem Heimat-Netzwerk 190 mit der zugeordneten
Zu-Händen-von-IP-Adresse
für den
MN 180. In Schritt 622 befragt der GGSN 160 entsprechend
den anwendbaren Subroutinen in dem Klienten seine Pfadlenkungstabelle,
um den aktuellen Standort des MN 180 auf dem GPRS-Netzwerk 100 zu
bestimmen. Eine Anzeige auf einer Pfadlenkungstabelle, die dem MN 180 zugeordnet
ist, zeigt eine Forderung nach einer Verschlüsselung des Paketes an, und
diese Anzeige bewirkt, dass der Klient die vorgeschriebenen Verschlüsselungsalgorithmen
realisiert, die durch die integrierte Klienten-Software festgelegt
sind.
-
Nach
dem Schritt 622 geht das Programm zum Schritt 623 über, in
dem das IP-Paket
entsprechend dem ausgehandelten Verschlüsselungs-Algorithmus und den
Sitzungs-Schlüsseln
verschlüsselt wird.
Ein IPSec-Kopffeld wird erzeugt und an den Anfang des verschlüsselten
IP-Paketes zur Übertragung über das
GPRS-Netzwerk 100 zu dem MN 180 angehängt. Im
Schritt 624 kapselt der Klient des GGSN 160 das
verschlüsselte
Paket mit einem Adressen-Kopffeld zur Pfadlenkung des Informationspaketes
zu dem Standort des MN 180 auf dem GPRS-Netzwerk 100 ein.
Dieses Pfadlenkungs-Adressen-Kopffeld lenkt Pakete an den BTS 120 zur
Aussendung an den MN 180 und das Adressen-Kopffeld wird
von einem Pfadlenkungs-Tabelleneintrag, der der IP-Adresse für den MN 180 zugeordnet
ist, in das IP-Kopffeld-Datenfeld für das Ziel kopiert.
-
Im
Schritt 626 wird das eingekapselte verschlüsselte Paket
von dem auf dem GGSN 160 arbeitenden Klienten an die BSC 111 gesandt.
Die BSC 111 interpretiert das Pfadlenkungs-Adressen-Kopffeld
und lenkt das Paket an das BTS 120, das das Paket über die
drahtlose Verbindungsstrecke 181 an den MN 180 sendet.
Im Schritt 627 empfängt
der MN 180 das ausgesandte Paket und verarbeitet das Paket,
um das IPSec-Kopffeld sichtbar zu machen. Das IPSec-Kopffeld sagt
dem Klienten, dass das Paket verschlüsselt ist und entschlüsselt werden
muss. Im Schritt 628 wird das Paket von dem integrierten
Software-Paket entschlüsselt,
das auf dem MN 180 arbeitet, und das im Wesentlichen die
umgekehrte Operation zu dem vereinbarten Verschlüsselungs-Algorithmus und den
Sitzungs-Schlüsseln
ausführt.
Sobald das Paket entschlüsselt
wurde, wird das ursprüngliche
IP-Paket sichtbar. In dem abschließenden Schritt 629 wird
das IP-Paket in Daten formatiert, die für die Verwendung in einem Anwendungsprogramm
auf dem MN 180 kompatibel sind.
-
6D zeigt
die spezielle Mitteilungs-Folge zum Aufbau des IP/VPN-Klienten.
Während
der Initialisierung in Schritt 605 schließt sich
der MN 180 an das GPRS-Netzwerk 100 an.
Nach der Verbindung mit dem BSS 111 über die drahtlose Verbindungsstrecke 181 sendet
der MN 180 eine Anschluss-Anforderungs-Mitteilung (Attch Req) an den SGSN 140. Der
SGSN 140 verarbeitet die Anforderung, prüft, ob der
Benutzer eine Zugangsberechtigung hat und erzeugt eine temporäre Identität. Im Schritt 610 sendet der
SGSN 140 eine Anschluss-Antwort-(Attch Res-)Mitteilung,
die dem MN 180 eine temporäre Identität zuteilt. Zum Austausch von
Informationspaketen auf dem GPRS-Netzwerk 100 muss der
MN 180 eine Paket-Datenprotokoll-(PDP-)Adresse zur Verwendung
auf dem GPRS-Netzwerk 100 erhalten. Während des Schrittes 615 sendet
der MN 180 eine Aktiviere-PDP-Kontext-Anforderungs-(Act
PDP Req-)Mitteilung an den SGSN 140, der die Anforderung
verarbeitet. Im Schritt 620 sendet der SSGN 140 eine
Erzeuge-PDP-Kontext-Anforderungs-(Create PDP
Req-)Mitteilung an den GGSN 160. Der GGSN 160 verarbeitet
die Anforderung und gewinnt eine PDP-Adresse für den MN 180, die
dieser auf dem GPRS-Netzwerk 100 zu verwenden hat.
-
Im
Schritt 625 wird eine Erzeuge-PDP-Kontext-Antwort-(Create
PDP Res-)Mitteilung von dem dem GGSN 160 erzeugt und an
den SGSN 140 gesandt. Im Schritt 630 erzeugt der
SGSN 140 eine Aktiviere-PDP-Kontext-Annahme-(Act PDP Acc-)Mitteilung
und sendet diese an den MN 180, wobei diese Mitteilung
einen PDP-Kontext enthält.
Das PDP ermöglicht
es dem MN 180 und dem GGSN 160, miteinander zu
Kommunizieren.
-
Nach
dem Abschluss des Anschlusses an das GPRS-Netzwerk und der Kontext-Aktivierung kann
der MN 180 nunmehr die mobilen IP-Sicherheitsprotokolle
initialisieren und einen IPSec-Tunnel herstellen. Im Schritt 635 empfängt der
MN 180 eine Agenten-Ankündigungs-(Agnt
Ad-)Mitteilung von dem GGSN 160 und verarbeitet die Ankündigung
zur Ableitung einer Zu-Händen-von-IP-Adresse.
An diesem Punkt tauscht der MN 180 die Information zum Aufbau
des gesicherten Tunnels mit dem GGSN 160 aus.
-
Im
Schritt 640 wird eine Internet-Sicherheits-Zuordnungs-und-Schlüsselverwaltungs-Protokoll-(ISAKMP-)XCHNG-Hauptbetriebsart-Mitteilung (XCHNG
Main) von dem MN 180 an den GGSN 160 gesandt.
Diese Mitteilung schlägt verschiedene
Authentifizierungs-Algorithmen und Authentifizierungsverfahren vor.
Ein annehmbarer Verschlüsselungs-Algorithmus
schließt
Message Digest 5 (MD5), Secure Hash Algorithmus (SHA) oder einen
Diffie-Hellman-Kombinations-Algorithmus
unter Verwendung eines öffentlichen
und privaten Verschlüsselungs-Schlüssels ein.
Der GGSN 160 spricht in Schritt 645 mit einer
XCHNG-Hauptbetriebsart-Mitteilung
(XCHNG Main) mit einem ausgewählten
vorgeschlagenen Verschlüsselungs-Algorithmus-und-Authentifizierungsprozess
an, der zur Sicherung des Austausches der öffentlichen Verschlüsselungs-Schlüssel verwendet
wird. Im Schritt 650 sendet der MN 160 eine XCHNG-Hauptbetriebsart-Mitteilung (XCHNG
Key), die ihren authentifizierten kodierten öffentlichen Verschlüsselungs-Schlüssel enthält. Der
GGSN 160 sendet dann eine XCHNG-Hauptbetriebsart-Mitteilung (EXCHNG Key),
die seinen authentifizierten kodierten öffentlichen Verschlüsselungs-Schlüssel enthält, im Schritt 655.
Hierdurch wird die erste Phase des Aufbaus einer sicheren authentifizierten
Verbindungsstrecke zwischen dem GGSN 160 und dem MN 180 abgeschlossen.
-
Die
nächste
Phase besteht in der Aushandlung der Sicherheits-Zuordnung für die IPSec-Dienste
zwischen dem MN 180 und dem GGSN 160. Im Schritt 660 erzeugt
der MN 180 eine ISAKMP-XCHNG-Kurzbetriebsart-(XCHNG Quick-)Mitteilung
mit verschiedenen Verschlüsselungs-Algorithmus-Vorschlägen an den
GGSN 160. Der GGSN 160 antwortet mit einem ausgewählten Algorithmus
in einer ISAKMP-XCHNG-Kurzbetriebsart-(XCHNG
Quick-)Mitteilung im Schritt 665. Annehmbare Algorithmen
schließen
den Datenverschlüsselungs-Standard
(DES), den Dreifach-Datenverschlüsselungs-Standard
(3DES), Rivest-Shamir-Aldeman (RSA), ElGamal, RC2 und RC4 ein. Neue
Verschlüsselungs-Schlüssel können ebenfalls zur
Verwendung ausgetauscht werden. Der Mitteilungsaustausch an den
Schritten 660 und 665 schließt den Aufbau der Sicherheits-Zuordnung
für die
IP-Sicherheit ab. Mit dem Austausch der Schlüssel und dem Aufbau eines Verschlüsselungs-Algorithmus können der
MN 180 und GGSN 160 nunmehr Informationspakete
verschlüsseln
und verschlüsselte Informationspakete
senden, die jeder unter Verwendung der gemeinsamen Schlüssel entschlüsseln kann.
Der MN 180 kann nunmehr eine sichere mobile IP-Sitzung über das
so aufgebaute VPN einleiten.
-
Im
Schritt 670 verschlüsselt
der MN 180 eine Registrierungs-Anforderungs-(e-Reg Req-)Mitteilung,
die an das Heimat-Netzwerk adressiert ist und sendet diese Mitteilung
an den GGSN 160. Das an das Heimat-Netzwerk 190 gesandte
Informationspaket wird mit einem Pfadlenkungs-Adressen-Kopffeld eingekapselt.
Der PDP-Kontext-Mitteilungsaustausch an den Schritten 615 bis 630 ordnete
eine Pfadlenkungs-Adressen-Zuordnung für den MN 180 zu. Das
Ziel-Adressendatenfeld
in der eingekapselten Mitteilung ist die Pfadlenkungs-Adresse des GGSN 160,
und das Quellen-Adressendatenfeld ist die zugeordnete PDP-Zuordnung oder die
Pfadlenkungs-Adresse für
den MN 180.
-
Nach
dem Empfang des verschlüsselten
Informationspaketes im Schritt 670 verarbeitet der GGSN 160 das
Informationspaket, wobei das Adressen-Kopffeld abgestreift wird
und die Information in das ursprüngliche
IP-Informationspaket entschlüsselt wird.
Im Schritt 675 erzeugt der GGSN 160 eine Registrierungs-Anforderungs-Mitteilung
(Reg Req) und sendet die Mitteilung an das Heimat-Netzwerk 190, wo
sie verarbeitet wird. Wenn der MN 180 Zugangsberechtigung
hat, erzeugt das Heimat-Netzwerk 190 eine Registrierungs-Antwort-Mitteilung
(Reg Res) und sendet diese an den GGSN 160 im Schritt 680.
-
Im
Schritt 685 und nach dem Empfang von der Reg Res-Mitteilung
von dem Heimat-Netzwerk 190 verarbeitet der GGSN 160 die
Mitteilung und erzeugt eine Registrierungs-Antwort-Mitteilung. Der GGSN 160 verschlüsselt dann
die Mitteilung und kapselt sie ein und sendet die verschlüsselte Registrierungs-Antwort-Mitteilung
(e-Reg Res) an den MN 180. Der MN 180 verarbeitet
das Paket, entschlüsselt die
Mitteilung und verarbeitet die entschlüsselten Nutzdaten im Schritt 685.
Während
des Schritts 690 erzeugt der MN 180 eine verschlüsselte Bindungs-Aktualisierungs-Mitteilung (e-BU),
die mit dem Adressen-Kopffeld für
den GGSN 160 eingekapselt wird. Die Mitteilung wird dann
an den GGSN 160 gesandt. Im Schritt 695 verarbeitet
der GGSN 160 die Mitteilung, streift das Adressen-Kopffeld
ab und entschlüsselt
die Mitteilung auf die ursprüngliche
Bindungs-Aktualisierungs-Mitteilung (BU), die der GGSN 160 dann
an das Heimat-Netzwerk 190 sendet.
-
Im
Schritt 700 verarbeitet das Heimat-Netzwerk 190 die
Information in der BU-Mitteilung,
bestätigt
die Zu-Händen-von-IP-Adresse
für den
MN 180 und schließt
die Aktualisierung von Pfadlenkungstabellen und die Registrierung
der Zu-Händen-von-IP-Adresse und der
MN 180-IP-Adressen-Zuordnung ab. Eine Bindungs-Bestätigungs-Mitteilung
(BA) wird erzeugt und dann an den GGSN 160 zurückgesandt.
Im Schritt 705 erzeugt der GGSN 160 eine eingekapselte
verschlüsselte
Bindungs-Bestätigungs-Mitteilung
(e-BA) und sendet die e-BA an den MN 180, wo sie entschlüsselt und
verarbeitet wird.
-
Dies
schließt
das eine VPN-Verbindungsstrecke zwischen dem GGSN 160 und
MN 180 herstellende Protokoll ab und sichert das drahtlose
Signal 181 von dem BSS 120 an den MN 180.
Wenn der MN 180 seine Verbindung wechselt, während er
sich innerhalb des GPRS-Netzwerkes 100 bewegt, so wird
eine PDP-Kontext-Modifikation
durchgeführt, um
den PDP-Kontext für
den MN 180 zu aktualisieren. Eine Pfadlenkungstabelle auf
dem GGSN 160 wird aktualisiert, doch ist ein neuer Verschlüsselungs-Aufbau
und eine mobile IP-Initialisierung nicht erforderlich.
-
Unter
Bezugnahme auf das eingekapselte verschlüsselte Informationspaket 760 nach 6E ist
zu erkennen, dass während
der mobilen IP-Sitzung die zwischen dem MN 180 und dem
GGSN 160 gemäß der Erfindung
ausgetauschten Informationspakete ein Pfadlenkungs-Adressen-Kopffeld
(RAH) 761 haben. Das IP'-Kopffeld 762 und
die Nutzdaten (PLD') 763 werden
durch die Kombination von IP/VPN-Klient verschlüsselt und dann mit dem Pfadlenkungs-Adressen-Kopffeld 761 eingekapselt.
Der verschlüsselte
Teil des Paketes 770 kann sicher über die drahtlose Verbindungsstrecke 181 übertragen werden.
Nach der Ankunft an dem MN 180 oder dem GGSN 160 wird
das äußere Pfadlenkungs-Adressen-Kopffeld
(RAH) 761 abgestreift und das verschlüsselte IP'-Kopffeld 762 und die Nutzdaten
PLD' 763 werden
entschlüsselt,
wodurch das entkapselte entschlüsselte
Informationspaket 764 mit einem IP-Kopffeld 765 und
den PLD 766 sichtbar wird.
-
Während der
mobilen IP-Kommunikationssitzung tauschen der MN 180 und
der GGSN 160 Informationspakete aus, die zur Übertragung über die drahtlose
Verbindungsstrecke 181 verschlüsselt wurden. Die über die
drahtlose Verbindungsstrecke 181 übertragenen Mitteilungen werden
unter Verwendung des ausgehandelten und vereinbarten Verschlüsselungs-Algorithmus
und gemeinsam genutzter öffentlicher
Schlüssel
und nicht gemeinsam genutzter privater Schlüssel verschlüsselt. Die
verschlüsselten
Informationspakete werden für
die Übertragung über die
MN 180/GGSN 160-Schnittstelle gesichert und dann
zur Übertragung über die Infrastruktur
des GPRS-Netzwerkes 100 zu dem Heimat-Netzwerk 190 oder
zur Verarbeitung als übertragene
Daten auf dem mobilen Knoten entschlüsselt.
-
7A zeigt
den bekannten Protokollstapel 710 für den MN 180. Das
erste Protokoll des bekannten Protokollstapel ist die Anwendungsschicht
(APP) 711. Das zweite Protokoll ist die TCP-Schicht 712. Die
dritte Schicht ist das IP-Protokoll 713. Ein UDP-Protokoll 714 ist
die vierte Schicht. Die fünfte Schicht
ist eine weitere IP-Protokoll-Schicht 715,
und die letzte Schicht ist die GPRS-Schicht 716.
-
7B zeigt
die neue Konfiguration des Protokollstapels 750 für den MN 180 gemäß der Erfindung.
Das erste Protokoll für
den neuen Protokollstapel ist die Anwendungsschicht (APP) 751.
Das zweite Protokoll ist die TCP-Schicht 752. Die dritte
Schicht ist ein IP-Protokoll 753. Der IP-Sicherheits-Einkapselungs-Sicherheits-Nutzdaten-Tunnel
(IPSecESPTUN) 754 ist die vierte Schicht. Die fünfte Schicht
ist eine weitere IP-Protokoll-Schicht 755. Die sechste Schicht
ist eine UDP-Schicht 756. Die siebte Schicht ist eine weitere
IP-Schicht 757. Die achte und abschließende Schicht ist die GPRS-Schicht 758.
-
8A zeigt
den bekannten Protokollstapel 810 für den GGSN 160. Die
erste Schicht ist das Anpassungs-Schicht-Überleiteinrichtungs-(ALG-)Protokoll 811.
Die zweite Schicht ist eine IP-Protokoll-Schicht 812. Auf
der Verbindungsstrecke mit dem MN 180 ist die dritte Schicht
eine UDP-Protokoll-Schicht 813. Für die vierte Schicht auf der
Verbindungsstrecke mit dem MN 180 gibt es ein IP-Protokoll 814.
Auf der Verbindungsstrecke mit dem MN 180 ist die fünfte Protokoll-Schicht
ein GPRS-Protokoll 815.
-
8B zeigt
den Protokollstapel 850 für den GGSN 160 gemäß der Erfindung.
Die erste Schicht ist die Anpassungs-Schicht-Überleiteinrichtung (ALG) 851.
Die zweite Schicht ist eine IP-Protokoll-Schicht 852. Auf
der Verbindungsstrecke mit dem MN 180 ist die dritte Schicht
eine UDP-Protokoll-Schicht 853. Für die vierte Schicht auf der
Verbindungsstrecke mit dem MN 180 gibt es ein IPSecESPTUN-Protokoll 854.
Auf der Verbindungsstrecke mit dem MN 180 ist die fünfte Protokoll-Schicht eine IP-Protokoll-Schicht 854.
Auf der Verbindungsstrecke mit dem MN 180 ist die nächste Protokoll-Schicht ein
UDP-Protokoll 856. Die siebte Protokoll-Schicht für die Verbindungsstrecke
mit dem MN 180 ist eine IP-Protokoll-Schicht 857 und
die achte und abschließende
Protokoll-Schicht ist ein GPRS-Protokoll 858.
-
Zusammenfassend
ist festzustellen, dass die vorliegende Erfindung ein sicheres Übertragungsprotokoll
für die
Informationspaket-Übertragung
zwischen einem mobilen Knoten und einem Fremd-Agenten unterstützt. Die
Informationspakete werden verschlüsselt und entschlüsselt, wobei
ein integrierter Software-Klient verwendet wird, der die mobile
IP-Kommunikationsunterstützung
und die Verschlüsselungs-
und Entschlüsselungsprotokolle kombiniert.