DE60305869T2 - Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät - Google Patents

Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät Download PDF

Info

Publication number
DE60305869T2
DE60305869T2 DE60305869T DE60305869T DE60305869T2 DE 60305869 T2 DE60305869 T2 DE 60305869T2 DE 60305869 T DE60305869 T DE 60305869T DE 60305869 T DE60305869 T DE 60305869T DE 60305869 T2 DE60305869 T2 DE 60305869T2
Authority
DE
Germany
Prior art keywords
new
gateway
address
mobile terminal
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60305869T
Other languages
English (en)
Other versions
DE60305869D1 (de
Inventor
Alexis Olivereau
Miguel Catalina
Christophe Janneteau
Ismaël Hery
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Mobility LLC
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Application granted granted Critical
Publication of DE60305869D1 publication Critical patent/DE60305869D1/de
Publication of DE60305869T2 publication Critical patent/DE60305869T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0019Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf eine Kommunikation zwischen einem privaten Netzwerk und einem roamingfähigen mobilen Endgerät.
  • Hintergrund der Erfindung
  • Zahlreiche Organisationen verwenden private Netzwerke, deren Kommunikationen mit Endgeräten außerhalb des privaten Netzwerkes durch Sicherheits-Gateways passieren, die das private Netzwerk durch Verwenden von Techniken schützen, die Firewalls umfassen.
  • Ein Schutz privater Firmeninformation ist von äußerster Wichtigkeit, wenn eine Informationsinfrastruktur konstruiert wird. Die getrennten privaten Netzwerklösungen sind jedoch teuer und können nicht schnell aktualisiert werden, um Anpassungen an Änderungen der Geschäftsanforde rungen vorzunehmen. Andererseits ist das Internet zwar preiswert, stellt jedoch an sich keine Privatsphäre sicher. Virtuelles privates Networking ist die Sammlung von Technologien, die auf ein öffentliches Netzwerk angewendet werden –im Besonderen auf das Internet–, um Lösungen für private Networking-Bedürfnisse zur Verfügung zu stellen. Virtuelle private Netzwerke verwenden Verschleierung durch sichere Tunnel, anstatt physikalische Trennung, um Kommunikationen privat zu halten.
  • Dementsprechend gestatten virtuelle private Netzwerke ('VPN'), dass private Netzwerke erweitert werden, um eine verbriefte Kommunikation mit roamingfähigen Endgeräten zu ermögliche, das heißt, mit Endgeräten, die außerhalb des privaten Netzes angeordnet sind, wobei die Kommunikation zum Beispiel durch das Internet und möglicherweise über mobile Telefonnetze passiert. Das Internet verwendet das Internetprotokoll ('IP') und die Kommunikationen von mobilen Endgeräten verwenden häufig das mobile Internetprotokoll ('MIP').
  • Es wird erwartet, dass die roamingfähige Verwendung von virtuellen privaten Netzwerken an Umfang und Häufigkeit zunehmen wird. Es wird nötig sein, solchen Anwendern, die häufig Roaming durchführen, durch die Firmen-VPN/Firewall-Architektur den selben Pegel an Sicherheit wie festen oder gelegentlich Roaming durchführenden Endgeräten zur Verfügung zu stellen.
  • Für die verschiedenen Netzwerke werden verschiedene Kommunikations- und Sicherheitsprotokolle verwendet. Ein Beispiel für ein Internetsicherheitsprotokoll ist die IPsec-Spezifizierung [S. Kent, R. Atkinson, "Security Architecture for the Internet Protocol", Internet Engineering Tast Force (IETF), RFC 2401, November 1998]. Beispiele für Mobiltelefonkommunikationsprotokolle sind die Mobile-IPv4-Spezifizierung [C. Perkins, "IP Mobility Support", RFC 2002, Oktober 1996] und die Mobile-IPv6-Spezifizierung. Wenn das VPN-Protokoll IPsec-Mantelsicherheitsnutzlast und das Mobilitätsprotokoll Mobile-IP ist, wobei beide in der selben IP-Schicht implementiert sind, gibt es einen Bedarf, zu spezifizieren, wie diese zwei Protokolle miteinander kommunizieren müssen, wenn sie gleichzeitig benötigt werden.
  • Über eine grundlegende Anwendungsreihenfolge hinaus (entweder Mobile-IP oder IPsec zuerst anwenden), muss die Gesamtlösung darauf zielen, drei Hauptanforderungen zu genügen:
    • – Sicherheit. Die Tatsache, dass eine VPN-Infrastruktur Mobile-IP-Anwender unterstützen kann, darf keine neuen Sicherheitsmängel für irgendeine Firmeneinheit erzeugen (Firmennetzwerk & mobile oder gelegentlich Roaming durchführende Anwender). Mobile-IP-fähige Vorrichtungen müssen mobilen Anwendern den selben Pegel an Sicherheit zur Verfügung stellen, als wenn sie in dem Firmennetzwerk physikalisch lokalisiert wären. Andererseits müssen Mobile-IP-Einheiten durch eine Firmensicherheitsinfrastruktur (Firewalls) angemessen geschützt werden und Mobile-IP-spezifische Sicherheitsmechanismen dürfen globale Sicherheitsmechanismen nicht stören.
    • – Kompatibilität. Eine Lösung, die eine optimierte Interaktion zwischen Mobile-IP und IPsec ermöglicht, muss vermeiden, Protokollspezifizierungen stark zu modifizieren. Zukünftige Entwicklungen von Mobile-IP- & IPsec-Protokollen dürfen aufgrund der Verwendung einer optimierten kombinier ten Lösung nicht übermäßig schwierig gemacht werden. Optimalerweise sollten solche Entwicklungen die Verwendung der kombinierten Lösung zulassen.
    • – Leistung. Die Erfindung muss spezifische Bedürfnisse von mobilen Anwendern hinsichtlich einer Handover-Qualität ansprechen: Das Handover muss so schnell wie möglich durchgeführt werden.
  • Ein Beispiel eines Kommunikationsprotokolls für ein virtuelles privates Netzwerk ist das ESP-Protokoll (ESP = Mantelsicherheitsnutzlast) (S. Kent, R. Atkinson, "IP Encapsulating Security Payload", Internet Engineering Tast Force (IETF), RFC 2406, November 1998), das in einer Tunnelbetriebsart verwendet wird. Die wesentlichsten Punkte sind die folgenden:
    • – Das gesamte ankommende IP-Paket wird in ein neues getunnelt; innere (ursprüngliche) Quellen- und Zieladressen werden nicht geändert.
    • – Das gesamte ankommende IP-Paket wird verschlüsselt und optional (empfohlen) authentifiziert.
  • Eine EPS-Tunnelbetriebsart ist definitionsgemäß ein unidirektionales Peer-to-Peer-Protokoll. Der Sender (derjenige, der verschlüsselt und tunnelt) und der Empfänger (derjenige, der enttunnelt und entschlüsselt) müssen über ein gemeinsames kryptographisches Geheimnis verfügen (zum Beispiel über einen Schlüssel und einen Algorithmus, der zur Verschlüsselung/Entschlüsselung verwendet wird). Der Satz von Sicherheitsparametern (Protokoll, Schlüssel, Algorithmus, Senderadresse, Empfängeradresse, Lebensdauer, ...) bildet eine sogenannte IPsec-Sicherheitsverknüpfung ('SA'). IPsec erfordert zwei SAs (ein SA-Bündel), um eine geschützte unidirektionale Kommunikation zu erhalten: eine auf dem Sender und eine auf dem Empfänger (mit einigen gemeinsamen Parametern, wie zum Beispiel dem Schlüssel).
  • Da eine VPN-Kommunikation bidirektional ist (von einem mobilen Knoten ('MN') zu einem VPN-Gateway und von einem VPN-Gateway zu einem MN), werden zwei SA-Bündel benötigt:
    das erste beschreibt den Tunnel von einem MN zu einem VPN-Gateway und das zweite beschreibt den Tunnel von einem VPN-Gateway zu einem MN. Es ist zu beachten, dass die Bezeichnung "VPN-Gateway" nicht durch das Protokoll spezifiziert wird: ein VPN-Gateway ist einfach die topologische Einheit, die auf der Firmennetzwerkseite alle sicheren Tunnel zu/von roamingfähigen mobilen Knoten beendet.
  • SA-Selektoren werden für die Verarbeitung von IPsec-Paketen verwendet. Grundsätzlich sind SA-Selektoren IP-Parameter, die durch eine IPsec-Schicht verwendet werden, um zu prüfen, dass:
    • – Ein Paket, das davor steht, auf einem Tunnel gesendet zu werden, der durch eine bestimmte Ausgangs-SA definiert wird, tatsächlich legitimiert ist, mit dieser SA gesendet zu werden (zum Beispiel Quellen- & Zieladressen des Paketes stimmen mit der Quellen- und Zieladresse der SA überein). Dieser Test wird die "Ausgangs-SA-Selektorprüfung" genannt.
    • – Ein Paket, das von einem Tunnel empfangen worden ist, der durch eine bestimmte Eingangs-SA definiert wird, tatsächlich legitimiert ist, von dieser SA empfangen worden zu sein (zum Beispiel Quellen- & Zieladressen des Paketes stimmen mit der Quellen- und Zieladresse der SA überein). Dieser Test wird die "Eingangs-SA-Selektorprüfung" genannt.
  • Es ist zu beachten, dass, wie in den zwei Beispiel oben dargestellt, in dieser Erfindung nur Quellenadresse & Zieladresse als SA-Selektoren sowohl für Eingangs- als auch Ausgangs-SAs berücksichtigt werden.
  • Zwei Familien von Vorschlägen zielen auf diese Situation:
    IPsec-Tunnel in dem MIP-Tunnel.
  • Mit dieser Familie von Vorschlägen wird der IPsec-Tunnel zwischen dem VPN-Gateway und dem mobilen Knoten Heimadresse eingerichtet.
  • Externer Heimagent.
  • Der Heimagent wird vor dem IPsec-Gateway und der Firmen-Firewall platziert, das heißt, außerhalb des Heimnetzwerkes. Offensichtlich gibt es schwere Sicherheitsmängel; der Hauptmangel besteht darin, dass der Heimagent nicht länger durch den gemeinsamen Schutzmechanismus (Firmen-Firewall) an der Grenze des Netzwerkes geschützt wird. Tatsächlich profitiert ein außerhalb des Gateways platzierter Heimagent von keinem Schutz und wird zu einem leichten Ziel. Diese Art von Sicherheitsmangel kann nicht akzeptiert werden, wenn eine VPN-Lösung konstruiert wird, die darauf abzielt, Kommunikationen zu schützen.
  • Ein anderes Problem hat seine Ursache in dem Tunnelmechanismus, der die MIP-Pakete nicht verschlüsselt (der IPsec-Tunnel ist in dem MIP-Tunnel). Der MIP-Header liegt im Klartext vor und jeder Angreifer mit schlechten Absichten verfügt über Kenntnisse bezüglich aller Header-Felder, zum Beispiel der Heimadresse des mobilen Knotens. Somit stellt diese Lösung keine Privatsphäre zur Verfügung und ein böswilliger Knoten kann alle aufeinanderfolgenden Standorte eines mobilen Knotens verfolgen, der durch seine Heimadresse identifiziert ist.
  • MIP-Proxy.
  • Dieser Vorschlag wird in einem Entwurf beschrieben (F. Adrangi, P. Iyer, "Mobile IPv4 Traversal ac ross VPN or NAT & VPN Gateway", IETF work in progress draft-adrangi-mobileip-natvpn-traversal-01.txt, Februar 2002). Er setzt die Erzeugung einer neuen Einheit voraus, die als ein Mobile-IP-Proxy bezeichnet wird, der aus der Sicht eines mobilen Knotens als ein Ersatzheimagent erscheint und umgekehrt durch den Heimagenten als ein mobiler Knoten angesehen wird. Diese Lösung basiert außerdem auf IPsec in einer MIP-Tunnelung, was hinsichtlich einer Privatsphäre weniger vertrauenswürdig ist als MIP in IPsec, wie oben angemerkt.
  • Der Prozess eines einfachen Roamings erfordert neue Signalisierungsnachrichten zwischen dem MIP-Proxy, dem VPN-Gateway und dem Heimagenten: Der MIP-Proxy agiert als ein Relay zwischen dem mobilen Knoten und dem Heimagenten ('HA'); er muss sich über einen bestehenden Schutz zwischen dem mobilen Knoten und dem HA bewusst sein, um eine gültige Anforderung eindeutig zu übermitteln. Er interagiert außerdem mit dem VPN-Gateway und ein gemeinsames Paket von einem entsprechenden Knoten zu einem MN folgt einem schwierigen Prozess: es wird zuerst durch den HA an den MIP-Proxy MIP-eingebunden. Dann entbindet der MIP-Proxy es und gibt es an das VPN-Gateway, um eine Verschlüsselung zu realisieren. Das VPN-Gateway sendet die verschlüsselten Pakete an den MIP-Proxy zurück, der es wieder in ein neues MIP-Paket einbindet.
  • Der MIP-Proxy ist außerhalb der geschützten Domäne in der entmilitarisierten Zone ('DMZ') lokalisiert, das heißt, einem kleinen Netzwerk, das als eine "neutrale Zone" zwischen einem privaten Firmennetzwerk und dem äußeren öffentlichen Netzwerk eingefügt ist. Der Sicherheitspegel von Vorrichtungen in der DMZ ist viel niedriger als der des Firmennetzwerkes. Die Firewalls dürfen das Registrierungsverfahren zwischen dem Proxy und dem Heimagenten nicht stören. Diese Architektur beinhaltet mögliche Sicherheitsmängel, da die Firmen-Firewall jedes Paket zwischen dem MIP-Proxy und dem Heimagenten ohne weitere Prüfungen durchlassen muss: dies kann leicht dazu führen, dass das ganze Firmennetzwerk gefährdet wird, wenn es einem Angreifer gelingt, Zugang zu dem MIP-Proxy zu erlangen.
  • MIP-Tunnel in dem IPsec-Tunnel
  • Mit dieser Familie von Vorschlägen wird ein IPsec-Tunnel zwischen dem VPN-Gateway und der c/o-Adresse des mobilen Knotens eingerichtet.
  • Ein Vorschlag, der den MIP-Tunnel in den IPsec-Tunnel einfügt, ist durch die Universität von Bern, Schweiz beschrieben worden:
    www.iam.unibe.ch/~rvs/publications/secmip_gi.pdf. Der IPsec-Tunnel wird vor jedem neuen Handover zurückgesetzt. Beim Bewegen zu einem neuen Netzwerk muss er durch den ganzen Schlüsselverbreitungsprozess neu eingerichtet werden. Diese Handover-Betriebsart erzeugt inakzeptable Latenzen von vielen Sekunden, was mit klassischen MIP-Erfordernissen nicht kompatibel ist.
  • Ein anderes Problem mit diesem Vorschlag besteht darin, dass angenommen wird, dass IPsec einen ausreichenden Schutz bietet, und als Konsequenz daraus Authentifizierung und Replay-Schutz während des MIP-Registrierungsverfahrens gesperrt werden. Ein Sperren des Schutzes auf dem Heimagenten ist eine Option, die die Geschwindigkeit nicht wirklich verbessert, und erfordert Heimagenten, die MIP-VPN- Anwendern zugeordnet sind, sowie andere Heimagenten, die einfachen MIP-Anwendern zugeordnet sind, die noch einen MIP-Schutz verwenden.
  • Die WO 00/08818 beschreibt ein Verfahren zum Aushandeln eines Zugangs zu einem privaten Netzwerk von einem mobilen Knoten, der über das private Netzwerk hinaus gewandert ist, in dem ein VPN-Gateway als ein mobiler Ersatzknoten agiert.
  • Die vorliegende Erfindung zielt auf die obigen und andere Probleme.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung stellt ein Verfahren und eine Vorrichtung zur Kommunikation wie in den begleitenden Ansprüchen beschrieben zur Verfügung.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein schematisches Diagramm eines mobilen virtuellen privaten Netzwerkszenariums.
  • 2 ist ein Diagramm eines Datenpaketes, das in der ESP-Tunnel-Betriebsart eingebunden ist.
  • 3 ist ein Flussdiagramm von Austäuschen in einer Kommunikation zwischen einem privaten Netzwerk und einem roamingfähigen mobilen Endgerät gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung, und
  • 4 ist ein Flussdiagramm eines Prozesses zum Empfang einer Registrierungsanforderung in dem in 3 dargestellten Kommunikationsprozess.
  • Ausführliche Beschreibung der bevorzugten Ausführungsformen
  • 1 zeigt ein mobiles virtuelles privates Netzwerk-Szenarium, das ein privates Netzwerk 1 umfasst, das ein Sicherheits-Gateway enthält, das umfasst: ein VPN-Gateway 2 und eine Firewall 3, einen in dem privaten Netzwerk 1 angeordneten mobilen Knoten 4 und einen Heimagenten 5 für den mobilen Knoten 4. Die in den Zeichnungen gezeigte Ausführungsform der vorliegenden Erfindung ist im Wesentlichen anwendbar, wo der mobile Knoten 4 zur Kommunikation über eine drahtlose Verbindung befähigt ist, was seine Fähigkeit, Roaming durchzuführen, sowohl innerhalb als auch außerhalb des privaten Netzwerkes 1 verbessert, aber diese Ausführungsform der Erfindung ist auch anwendbar, wo der mobile Knoten 4 nur über Drahtverbindungen kommuniziert.
  • 1 zeigt ein Szenarium, wo die Vorteile dieser Ausführungsform der Erfindung besonders klar werden, wo sich der mobile Knoten 4 außerhalb des privaten Netzwerkes 1 bewegt, zuerst zu einem besuchten Netzwerk 6, das über einen fremden Agenten 7 verfügt, der unter dem Mobile-IPv4-Protokoll funktioniert, wodurch eine Kommunikation des roamingfähigen mobilen Knotens 4 in dem Netzwerk 6 durch das Internet 8 mit dem privaten Netzwerk 1 ermöglicht wird. In diesem Szenarium bewegt sich der roamingfähige mobile Knoten 4 dann zu einem zweiten besuchten Netzwerk 9, das über einen fremden Agenten 10 verfügt, der auch unter Mobile-IPv4 zur Kommunikation durch das Internet 8 mit dem privaten Netzwerk 1 funktioniert. Obwohl diese Ausführungsform der Erfindung mit Mobile-IPv4-Protokollen funktioniert, ist klar, dass die Erfindung auch auf andere Protokolle, im Besonderen auf das Mobile-IPv6-Protokoll, anwendbar ist.
  • Wenn der mobile Knoten 4 in den besuchten Netzwerken 6 oder 9 Roaming durchführt, werden Kommunikationen mit dem privaten Netzwerk 1 durch das Internet 8 in den IPsec- und MIP-Tunneln 11 beziehungsweise 12 eingerichtet. Im Besonderen ist das verwendete Protokoll das in 2 dargestellte Mantelsicherheitsnutzlastprotokoll ("ESP" = Mantelsicherheitsnutzlast). Gemäß diesem Protokoll umfasst das ursprüngliche Paket 13 einen ursprünglichen IP-Header 14 und die Daten 15. Das Paket 13 wird mit einem ESP-Trailer 16 verschlüsselt, ohne den ursprünglichen IP-Header und die Zieladresse zu ändern. Das verschlüsselte Paket wird mit einem ESP-Header 17 und vorzugsweise einer ESP-Authentifizierung 18 ummantelt und vor der Übertragung mit einem neuen IP-Header 19 bestückt. Es werden Sicherheitsverknüpfungsbündel, jedes eine Ausgangs- und Eingangskommunikationssicherheitsverknüpfung umfassend, für Kommunikationen über die Pfade 11 und 12 mit dem VPN-Gateway 2 eingerichtet. Sicherheitsverknüpfungsselektoren prüfen, dass durch Verwenden des durch jede Ausgangssicherheitsverknüpfung definierten Tunnels zu sendende Pakete legitimiert sind, mit dieser Sicherheitsverknüpfung gesendet zu werden, und im Besonderen, dass die Quellen- und Zieladressen des Paketes mit den Quellen- und Zieladressen der Sicherheitsverknüpfung übereinstimmen, wobei dieser Test die Ausgangs-SA-Selektorprüfung ist. Pakete, die von einem Tunnel empfangen werden, der durch die Eingangssicherheitsverknüpfung definiert wird, werden hinsichtlich der Rechtmäßigkeit eines Empfangs mit dieser Sicherheitsverknüpfung geprüft, im Besonderen dahingehend, dass die Quellen- und Zieladressen des Paketes mit den Quellen- und Zieladressen der Sicher heitsverknüpfung übereinstimmen, wobei dieser Test die Eingangs-SA-Selektorprüfung ist.
  • In dieser Ausführungsform der Erfindung enthält die Eingangssicherheitsverknüpfung des VPN-Gateways 2 nicht die IP-Adresse des mobilen Knotens 4 als Quellenadresse, sondern ein Stellvertretersymbol ("*"). Dies gestattet es dem VPN-Gateway 2, ein Paket von dem mobilen Knoten 4 zu empfangen und weiterzuleiten, unabhängig davon, welche c/o-Adresse es verwenden mag. Es ist zu beachten, dass dies nicht dem IPsec-Protokoll widerspricht, da der Stellvertretersymbolwert durch dieses Protokoll für den Quellenadressenselektor in einer Sicherheitsverknüpfung autorisiert wird. Die Tunnelanordnung ist die eines MIP-Tunnels in dem IPsec-Tunnel, wobei der IPsec-Tunnel zwischen dem VPN-Gateway 2 und dem mobilen Knoten 4 angeordnet ist, wobei die c/o-Adresse des mobilen Knotens als Endpunkt verwendet wird.
  • Der Prozess für Kommunikationen, wenn der mobile Knoten 4 Roaming durchführt, wird in 3 gezeigt, darin beziehen sich Hinweise auf Ausgang und Eingang auf Pakete bei dem mobilen Knoten 4. Zunächst werden die IPsec-Tunnel für die Situation dargestellt, wo eine Kommunikation bei der aktuellen c/o-Adresse des mobilen Knotens 4 eingerichtet wird. Der Ausgangs-IPsec-Tunnel 20 verfügt über eine Sicherheitsverknüpfung bei dem mobilen Knoten 4, der über die aktuelle c/o-Adresse des mobilen Knotens als Quellenadresse und die Adresse des VPN-Gateways 2 als Zieladresse verfügt, und eine Sicherheitsverknüpfung bei dem VPN-Gateway 2, das über ein Stellvertretersymbol als die Quellenadresse und die VPN-Gateway 2-Adresse als die Zieladresse verfügt. Der ursprüngliche Eingangs-IPsec-Tunnel verfügt über eine Si cherheitsverknüpfung bei dem mobilen Knoten 4, mit der Adresse des VPN-Gateways 2 als Quellenadresse und der aktuellen c/o-Adresse des mobilen Knotens 4 als Zieladresse, und eine Sicherheitsverknüpfung bei dem VPN-Gateway 2, das über die VPN-Gateway-Adresse als Quellenadresse und die c/o-Adresse des mobilen Knotens 4 als Zieladresse verfügt.
  • Wenn sich der mobile Knoten bei 22 von einem besuchten Netzwerk zu einem anderen bewegt, zum Beispiel von dem besuchten Netzwerk 6 zu dem besuchten Netzwerk 9, erkennt der mobile Knoten 4, zum Beispiel aus einer ankommenden Agentenanzeige, dass sich sein Standort geändert hat. Er konfiguriert dann eine neue c/o-Adresse, die in dem neuen besuchten Netzwerk 7 verfolgbar ist. Der mobile Knoten 4 enthält eine VPN-Clientsoftware, die auf die Änderung des Standortes des mobilen Knotens anspricht, zum Beispiel in Reaktion auf Netzwerkauswahl-Middleware oder durch Überwachen der Quellenadressen von Ausgangspaketen. Die VPN-Clientsoftware ändert dann dynamisch die Eingangssicherheitsverknüpfung auf dem mobilen Knoten 4, so dass seine Zieladresse die neue c/o-Adresse des mobilen Knotens ist, wobei der Eingangs-IPsec-Tunnel 21 ein vorrübergehender Eingangs-IPsec-Tunnel 23 wird. Auf diese Art und Weise ist der mobile Knoten 4 in der Lage, Pakete zu empfangen, die durch das VPN-Gateway 2 sicher an ihre neue c/o-Adresse gesendet werden; andernfalls würden die Pakete fallengelassen werden, wenn sie nicht mit der Zieladresse übereinstimmen, die in dem früheren Eingangs-IPsec-Tunnel 21 eingefügt ist. Ebenso verändert die VPN-Clientsoftware die Ausgangssicherheitsverknüpfung auf dem mobilen Knoten 4 dynamisch, so dass ihre Quellenadresse die neue c/o-Adresse des mobilen Knotens ist, wobei der Ausgangs-IPsec-Tunnel 20 ein Aus gangs-IPsec-Tunnel 20' wird; andernfalls ist der mobile Knoten 4 nicht in der Lage, abgehende Pakete zu senden, da sie nicht mit der Quellenadresse übereinstimmen, die in dem früheren Ausgangs-IPsec-Tunnel 20 eingefügt ist.
  • Der mobile Knoten 4 sendet dann eine Signalisierungsnachricht an seinen Heimagenten, um ihn über seinen neuen Standort zu informieren, wobei die Signalisierungsnachricht durch den Ausgangs-IPsec-Tunnel 20' und das VPN-Gateway 2 passiert. Die Signalisierungsnachricht liegt in der Form einer Registrierungsanforderung vor, wo das verwendete Protokoll, wie in dieser Ausführungsform der Erfindung, Mobile-IPv4 ist.
  • Die Signalisierungsnachricht wird bei dem VPN-Gateway 2 in dem Schritt 24 empfangen. Der SA-Selektor in dem VPN-Gateway für den Ausgangstunnel 20' lehnt das Paket nicht ab, da die Quellenadresse ein Stellvertretersymbolfeld ist, und die Quellenadresse wird daher nicht verifiziert und das Paket wird an den Heimagenten 5 übermittelt. Bei dem Schritt 25 empfängt und verarbeitet der Heimagent 5 die Registrierungsanforderungsnachricht von dem mobilen Knoten 4, der die neue c/o-Adresse anzeigt. Wenn die Registrierungsanforderung gültig ist, sendet der Heimagent 5 eine Sicherheitsinformationsaktualisierungsnachricht ("SIU") an das VPN-Gateway 2, die eine Anweisung enthält, die Sicherheitsverknüpfung des vorübergehenden IPsec-Tunnels 23 auf dem VPN-Gateway zu aktualisieren. Diese SIU-Nachricht wird bei dem VPN-Gateway 2 zum Beispiel durch einen Dämon, das heißt, ein Hintergrundprogramm, das dem System Dienste zur Verfügung stellt, verarbeitet.
  • In Reaktion auf die SIU-Nachricht aktualisiert das VPN-Gateway 2 seine Sicherheitsverknüpfung für den vorrü bergehenden Eingangs-IPsec-Tunnel 23 zu einem neuen IPsec-Tunnel 26, der über die neue c/o-Adresse des mobilen Knotens 4 als Zieladresse verfügt. Diese Aktualisierung wird durchgeführt, bevor irgendein Paket, im Besonderen die Registrierungsantwort, an den mobilen Knoten 4 gesendet wird. In einer bevorzugten Ausführungsform der Erfindung umfasst die SIU-Nachricht von dem Heimagenten 5 an das VPN-Gateway 2 die Registrierungsantwort an den mobilen Knoten 4.
  • Es ist klar, dass diese besondere Routine des Heimagenten 1 nur getriggert wird, wenn die Registrierungsanforderung durch ein VPN-Gateway, wie zum Beispiel 2, empfangen wird, entsprechend einem Standort des mobilen Knotens 4 außerhalb des privaten Netzwerkes 1. Wenn sich der mobile Knoten in dem privaten Netzwerk 1 befindet, und daher den VPN-Dienst nicht verwendet, reagiert der Heimagent 5 gemäß der normalen Routine mit einer normalen Registrierungsantwort.
  • Bei dem Schritt 27 übermittelt das VPN-Gateway 2 die Registrierungsantwort an den mobilen Knoten 4 durch Verwenden des neu eingerichteten Eingangs-IPsec-Kanals 26 und sendet alle weiteren Datenpakete an die neue c/o-Adresse, wobei bis auf eine weitere Meldung der Tunnel 26 verwendet wird.
  • Wenn bei dem Schritt 25 die Registrierungsanforderung bei dem Heimagenten 5 nicht erfolgreich ist, ist der Prozess nicht unabänderlich gefährdet. Bei dem mobilen Knoten 4 wird keine Registrierungsantwort empfangen werden und der mobile Knoten 4 wird eine weitere Registrierungsanforderung senden. Wenn der Heimagent 5 fortfährt, die Registrierungsanforderungen nicht zu akzeptieren, wird der mobile Knoten 4 schließlich den Versuch abbrechen und einen neuen Tunnel für eine neue c/o-Adresse einrichten, ohne einen Vorteil aus dem Prozess dieser Ausführungsform der Erfindung zu ziehen. Diese Situation wohnt mobilen IP-Szenarien inne.
  • 4 stellt die Routinen dar, die durch den Heimagenten 5 während des obigen Prozesses befolgt werden. Die Routine beginnt bei 28 und bei dem Schritt 29 wird eine Eingabe in Form einer Registrierungsanforderung von dem mobilen Knoten 24 empfangen. Bei dem Schritt 30 wird eine Prüfung durchgeführt, ob die Registrierungsanforderung gültig ist, und wenn der Heimagent 5 die Registrierung nicht akzeptiert, endet die Routine bei 31. Wenn der Heimagent 5 die Registrierungsanforderung akzeptiert, wird bei 32 eine Prüfung durchgeführt, ob die Registrierungsanforderung durch ein VPN-Gateway, wie zum Beispiel 2, empfangen wurde, Wenn nicht, wird eine Registrierungsantwort erstellt und direkt an den mobilen Knoten 4 über das private Netzwerk 1 bei dem Schritt 33 gesendet. Wenn die Registrierungsanforderung durch ein VPN-Gateway, wie zum Beispiel 2, empfangen wurde, wird eine Registrierungsantwort für den mobilen Knoten 4 bei 34 erstellt. Diese Registrierungsantwort wird dann in ein neues Paket eingefügt, das durch den Heimagenten 5 bei 35 erzeugt wird und das außerdem die frühere c/o-Adresse und die neue c/o-Adresse des mobilen Knotens 4 enthält. Dieses Paket wird dann bei dem Schritt 36 an das VPN-Gateway 2 gesendet und die Routine endet wieder bei 31.

Claims (7)

  1. Verfahren zur Kommunikation zwischen einem privaten Netzwerk (1) und einem roamingfähigen mobilen Endgerät (4), wobei das private Netzwerk (1) einen Heimagenten (5) für das mobile Endgerät und ein Gateway (2, 3) umfasst, durch das die Kommunikation geführt wird und das einen Sicherheitsschutz für das private Netzwerk (1) zur Verfügung stellt, wobei die Protokolle der Kommunikation Sicherheitsverknüpfungsbündel umfassen, von denen jedes eine Sicherheitsverknüpfung zwischen dem mobilen Endgerät (4) und dem Gateway (2, 3) für eine Eingangskommunikation und eine andere Sicherheitsverknüpfung für eine Ausgangskommunikation umfasst, dadurch gekennzeichnet, dass, in Reaktion auf eine Übergabe von Kommunikation, die bewirkt, dass sich eine IP-Adresse (MN Co @) des mobilen Endgerätes (4) in eine neue IP-Adresse (MN New Co @) ändert, das mobile Endgerät seine Eingangssicherheitsverknüpfung von dem Gateway (2, 3) aktualisiert, so dass es Pakete empfangen kann, die an es mit der neuen IP-Adresse (MN New Co @) als Ziel gesendet werden, das mobile Endgerät (4) eine erste Signalisierungsnachricht mit dem Heimagenten (5) als Ziel in einem sicheren Tunnel (20') an das Gateway (2, 3) sendet, wobei die erste Signalisierungsnachricht die neue IP-Adresse (MN New Co @) dem Heimagenten (5) in sicherer Form anzeigt, die Eingangssicherheitsverknüpfung des Gateways (2, 3) von dem mobilen Endgerät (4) die erste Signalisierungsnachricht akzeptiert, ohne ihre Quellenadresse zu prüfen, das Gateway (2, 3) die erste Signalisierungsnachricht in dem privaten Netzwerk (1) an den Heimagenten (5) übermittelt, der Heimagent (5) die Gültigkeit der ersten Signalisierungsnachricht prüft und, wenn sie gültig ist, seine Adressendaten aktualisiert und eine zweite Signalisierungsnachricht an das Gateway (2, 3) sendet, die die neue Adresse (MN New Co @) anzeigt, und das Gateway (2, 3) seine Ausgangssicherheitsverknüpfung mit dem mobilen Endgerät (4) in Reaktion auf die neue angezeigte Adresse (MN New Co @) aktualisiert.
  2. Verfahren gemäß Anspruch 1, wobei eine Kommunikation zwischen dem mobilen Knoten (4) und dem Gateway (2, 3) einer IPsec-Protokollspezifizierung entspricht.
  3. Verfahren gemäß Anspruch 2, wobei eine Kommunikation zwischen dem Gateway (2, 3) und dem mobilen Endgerät einem in einer Tunnel-Betriebsart verwendeten Mantelsicherheitsnutzlastprotokoll ("Encapsulating Security Payload protocol") entspricht.
  4. Verfahren gemäß einem der vorangehenden Ansprüche, wobei die zweite Signalisierungsnachricht eine Registrierungsantwort für den mobilen Knoten (4) umfasst.
  5. Mobiles Endgerät zur Verwendung bei einer Kommunikation durch ein Verfahren gemäß einem der vorangehenden An sprüche, wobei das mobile Endgerät Mittel umfasst, die auf eine Übergabe einer Kommunikation ansprechen, die bewirkt, dass sich eine IP-Adresse (MN Co @) des mobilen Endgerätes in eine neue IP-Adresse (MN New Co @) ändert, zum Aktualisieren der Eingangssicherheitsverknüpfung des mobilen Endgerätes (4) von dem Gateway (2, 3), so dass es Pakete empfangen kann, die mit der neuen IP-Adresse (MN New Co @) als Ziel gesendet werden, gekennzeichnet durch Mittel zum Senden einer Registrierungsanfrage als eine erste Signalisierungsnachricht mit dem Heimagenten (5) als Ziel durch einen sicheren Tunnel (20') an das Gateway, wobei die Registrierungsanfrage die neue IP-Adresse (MN New Co @) dem Heimagenten (5) in sicherer Form anzeigt.
  6. Gateway zur Verwendung bei einer Kommunikation durch ein Verfahren gemäß einem der Ansprüche 1 bis 4, wobei das Gateway durch Mittel gekennzeichnet ist, die auf die erste Signalisierungsnachricht ansprechen, die in einem sicheren Tunnel (20') von dem mobilen Endgerät mit dem Heimagenten (5) als Ziel empfangen wird, um zu bewirken, dass die Eingangssicherheitsverknüpfung bei dem Gateway (2, 3) von dem mobilen Endgerät (4) die erste Signalisierungsnachricht akzeptiert, ohne ihre Quellenadresse zu prüfen, und um die erste Signalisierungsnachricht an den Heimagenten (5) weiterzuleiten, und durch Mittel gekennzeichnet ist, die auf die zweite Signalisierungsnachricht ansprechen, die die neue Adresse (MN New Co @) anzeigt, um die Ausgangssicherheitsverknüpfung des Gateways (2, 3) mit dem mobilen Endgerät (4) in Reaktion auf die neue angezeigte Adresse (MN New Co @) zu aktualisieren.
  7. Heimagent zur Verwendung in einer Kommunikation durch ein Verfahren gemäß einem der vorangehenden Ansprüche 1 bis 4, wobei der Heimagent durch Mittel gekennzeichnet ist, die auf die erste Signalisierungsnachricht ansprechen, die von dem Gateway (2, 3) empfangen wird, um die zweite Signalisierungsnachricht an das Gateway (2, 3) zu senden, die die neue Adresse (MN New Co @) anzeigt, damit das Gateway eine Ausgangssicherheitsverknüpfung mit dem mobilen Endgerät (4) aktualisiert.
DE60305869T 2003-03-27 2003-03-27 Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät Expired - Lifetime DE60305869T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP03290770A EP1463257B1 (de) 2003-03-27 2003-03-27 Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät

Publications (2)

Publication Number Publication Date
DE60305869D1 DE60305869D1 (de) 2006-07-20
DE60305869T2 true DE60305869T2 (de) 2006-10-05

Family

ID=32799149

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60305869T Expired - Lifetime DE60305869T2 (de) 2003-03-27 2003-03-27 Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät

Country Status (9)

Country Link
US (1) US7516486B2 (de)
EP (1) EP1463257B1 (de)
JP (1) JP4163215B2 (de)
KR (1) KR100679882B1 (de)
CN (1) CN100525300C (de)
AT (1) ATE329443T1 (de)
DE (1) DE60305869T2 (de)
ES (1) ES2264756T3 (de)
WO (1) WO2004086718A1 (de)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7587591B2 (en) 2003-10-31 2009-09-08 Juniper Networks, Inc. Secure transport of multicast traffic
TWI236255B (en) * 2003-12-15 2005-07-11 Ind Tech Res Inst System and method for supporting inter-NAT-domain handoff within a VPN by associating L2TP with mobile IP
US7620979B2 (en) 2003-12-22 2009-11-17 Nokia Corporation Supporting mobile internet protocol in a correspondent node firewall
JP4654006B2 (ja) * 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
US20060230445A1 (en) * 2005-04-06 2006-10-12 Shun-Chao Huang Mobile VPN proxy method based on session initiation protocol
US20060248337A1 (en) * 2005-04-29 2006-11-02 Nokia Corporation Establishment of a secure communication
US20070198837A1 (en) * 2005-04-29 2007-08-23 Nokia Corporation Establishment of a secure communication
CN1874343B (zh) * 2005-06-03 2010-04-21 华为技术有限公司 IPSec安全联盟的创建方法
US8856311B2 (en) 2005-06-30 2014-10-07 Nokia Corporation System coordinated WLAN scanning
WO2007027958A1 (en) * 2005-08-29 2007-03-08 Junaid Islam ARCHITECTURE FOR MOBILE IPv6 APPLICATIONS OVER IPv4
US8316226B1 (en) * 2005-09-14 2012-11-20 Juniper Networks, Inc. Adaptive transition between layer three and layer four network tunnels
CN100444690C (zh) * 2005-09-22 2008-12-17 中兴通讯股份有限公司 集群系统中实现漫游终端群组信息更新的方法
DE102006014350A1 (de) * 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum teilnehmerspezifischen Aktivieren eines netzbasierten Mobilitätsmanagements
GB2434506A (en) * 2006-01-18 2007-07-25 Orange Personal Comm Serv Ltd Providing a mobile telecommunications session to a mobile node using an internet protocol
CN100488284C (zh) 2006-01-26 2009-05-13 华为技术有限公司 一种3gpp演进网络中漫游用户数据路由优化方法
CN100466816C (zh) * 2006-03-21 2009-03-04 华为技术有限公司 路由优化选择方法
US20070254634A1 (en) * 2006-04-27 2007-11-01 Jose Costa-Requena Configuring a local network device using a wireless provider network
US8296839B2 (en) * 2006-06-06 2012-10-23 The Mitre Corporation VPN discovery server
US8978103B2 (en) * 2006-08-21 2015-03-10 Qualcomm Incorporated Method and apparatus for interworking authorization of dual stack operation
US8174995B2 (en) * 2006-08-21 2012-05-08 Qualcom, Incorporated Method and apparatus for flexible pilot pattern
JP5133992B2 (ja) 2006-08-21 2013-01-30 クゥアルコム・インコーポレイテッド デュアルスタック・オペレーションの認可を織り込むための方法および装置
CN100452799C (zh) * 2006-09-19 2009-01-14 清华大学 IPv6子网内基于签名认证的防止源地址伪造的方法
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
DE102006046023B3 (de) * 2006-09-28 2008-04-17 Siemens Ag Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen
WO2008073735A2 (en) * 2006-12-08 2008-06-19 Adaptix, Inc. System and method for managing wireless base station handoff information
CN101198156B (zh) 2006-12-08 2012-10-31 昂达博思公司 管理无线基站切换信息的系统和方法
JP5192032B2 (ja) * 2007-05-04 2013-05-08 ノーテル・ネットワークス・リミテッド 異なるモバイルip配送スタイルのネゴシエーション
EP2007111A1 (de) 2007-06-22 2008-12-24 France Telecom Verfahren zum Filtern von Paketen aus einem Kommunikationsnetz
JP4430091B2 (ja) * 2007-08-17 2010-03-10 富士通株式会社 パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ
US20090129301A1 (en) * 2007-11-15 2009-05-21 Nokia Corporation And Recordation Configuring a user device to remotely access a private network
JP5102372B2 (ja) * 2008-02-08 2012-12-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおいて使用する方法および装置
US8209749B2 (en) * 2008-09-17 2012-06-26 Apple Inc. Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
US8719337B1 (en) 2009-04-27 2014-05-06 Junaid Islam IPv6 to web architecture
KR101382620B1 (ko) * 2009-10-14 2014-04-10 한국전자통신연구원 가상사설망을 구성하는 장치 및 방법
CN102088438B (zh) * 2009-12-03 2013-11-06 中兴通讯股份有限公司 一种解决因特网协议安全性客户端地址冲突的方法及客户端
US8443435B1 (en) 2010-12-02 2013-05-14 Juniper Networks, Inc. VPN resource connectivity in large-scale enterprise networks
US9491686B2 (en) * 2011-07-28 2016-11-08 Pulse Secure, Llc Virtual private networking with mobile communication continuity
US9608962B1 (en) 2013-07-09 2017-03-28 Pulse Secure, Llc Application-aware connection for network access client
CN107579932B (zh) * 2017-10-25 2020-06-16 北京天融信网络安全技术有限公司 一种数据传输方法、设备和存储介质
JP7139943B2 (ja) 2018-12-28 2022-09-21 住友ゴム工業株式会社 空気入りタイヤ

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4038732A1 (de) * 1990-12-05 1992-06-11 Henkel Kgaa Mit synthetischen polymerverbindungen modifizierte werkstoffe und/oder formteile auf staerkebasis und verfahren zu ihrer herstellung
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6571289B1 (en) * 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
US6823386B1 (en) * 1999-02-25 2004-11-23 Nortel Networks Limited Correlating data streams of different protocols
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
KR100464374B1 (ko) * 2000-11-01 2004-12-31 삼성전자주식회사 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility

Also Published As

Publication number Publication date
EP1463257A1 (de) 2004-09-29
ATE329443T1 (de) 2006-06-15
CN100525300C (zh) 2009-08-05
US7516486B2 (en) 2009-04-07
KR20050122221A (ko) 2005-12-28
EP1463257B1 (de) 2006-06-07
ES2264756T3 (es) 2007-01-16
US20060185012A1 (en) 2006-08-17
JP2006514815A (ja) 2006-05-11
WO2004086718A1 (en) 2004-10-07
KR100679882B1 (ko) 2007-02-07
JP4163215B2 (ja) 2008-10-08
CN1762140A (zh) 2006-04-19
DE60305869D1 (de) 2006-07-20

Similar Documents

Publication Publication Date Title
DE60305869T2 (de) Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
EP1943855B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
EP1943808B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
EP1943806B1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
DE102006031870B4 (de) Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
EP1943856B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
DE10297253T5 (de) Adressiermechanismus in Mobile-IP
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US20050055579A1 (en) Server apparatus, and method of distributing a security policy in communication system
WO2007068613A1 (de) Verfahren zur übertragung von auf dem ethernet-übertragungsprotokoll basierenden datenpaketen zwischen zumindest einer mobilen kommunikationseinheit und einem kommunikationssystems
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP2062400B1 (de) Verfahren und system zur adressierung und zum routing bei verschlüsselten kommunikationsbeziehungen
JP2006121647A (ja) 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置
EP1634425A1 (de) Verfahren und einrichtung zum bilden und entschlüsseln einer verschlüsselten nachricht mit kommunikations-konfigurationsdaten
Arkko et al. Limitations of IPsec policy mechanisms
JP2006352182A (ja) 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置
DE60215978T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT MBH

8327 Change in the person/name/address of the patent owner

Owner name: MOTOROLA MOBILITY, INC. ( N.D. GES. D. STAATES, US