-
Gebiet der Erfindung
-
Die
vorliegende Erfindung bezieht sich auf eine Kommunikation zwischen
einem privaten Netzwerk und einem roamingfähigen mobilen Endgerät.
-
Hintergrund
der Erfindung
-
Zahlreiche
Organisationen verwenden private Netzwerke, deren Kommunikationen
mit Endgeräten
außerhalb
des privaten Netzwerkes durch Sicherheits-Gateways passieren, die
das private Netzwerk durch Verwenden von Techniken schützen, die
Firewalls umfassen.
-
Ein
Schutz privater Firmeninformation ist von äußerster Wichtigkeit, wenn eine
Informationsinfrastruktur konstruiert wird. Die getrennten privaten Netzwerklösungen sind
jedoch teuer und können nicht
schnell aktualisiert werden, um Anpassungen an Änderungen der Geschäftsanforde rungen
vorzunehmen. Andererseits ist das Internet zwar preiswert, stellt
jedoch an sich keine Privatsphäre
sicher. Virtuelles privates Networking ist die Sammlung von Technologien,
die auf ein öffentliches
Netzwerk angewendet werden –im
Besonderen auf das Internet–,
um Lösungen
für private
Networking-Bedürfnisse
zur Verfügung
zu stellen. Virtuelle private Netzwerke verwenden Verschleierung
durch sichere Tunnel, anstatt physikalische Trennung, um Kommunikationen
privat zu halten.
-
Dementsprechend
gestatten virtuelle private Netzwerke ('VPN'),
dass private Netzwerke erweitert werden, um eine verbriefte Kommunikation
mit roamingfähigen
Endgeräten
zu ermögliche,
das heißt, mit
Endgeräten,
die außerhalb
des privaten Netzes angeordnet sind, wobei die Kommunikation zum
Beispiel durch das Internet und möglicherweise über mobile
Telefonnetze passiert. Das Internet verwendet das Internetprotokoll
('IP') und die Kommunikationen von
mobilen Endgeräten
verwenden häufig
das mobile Internetprotokoll ('MIP').
-
Es
wird erwartet, dass die roamingfähige Verwendung
von virtuellen privaten Netzwerken an Umfang und Häufigkeit
zunehmen wird. Es wird nötig sein,
solchen Anwendern, die häufig
Roaming durchführen,
durch die Firmen-VPN/Firewall-Architektur den
selben Pegel an Sicherheit wie festen oder gelegentlich Roaming
durchführenden
Endgeräten
zur Verfügung
zu stellen.
-
Für die verschiedenen
Netzwerke werden verschiedene Kommunikations- und Sicherheitsprotokolle
verwendet. Ein Beispiel für
ein Internetsicherheitsprotokoll ist die IPsec-Spezifizierung [S.
Kent, R. Atkinson, "Security
Architecture for the Internet Protocol", Internet Engineering Tast Force (IETF),
RFC 2401, November 1998]. Beispiele für Mobiltelefonkommunikationsprotokolle
sind die Mobile-IPv4-Spezifizierung
[C. Perkins, "IP
Mobility Support",
RFC 2002, Oktober 1996] und die Mobile-IPv6-Spezifizierung. Wenn
das VPN-Protokoll IPsec-Mantelsicherheitsnutzlast und das Mobilitätsprotokoll
Mobile-IP ist, wobei beide in der selben IP-Schicht implementiert
sind, gibt es einen Bedarf, zu spezifizieren, wie diese zwei Protokolle
miteinander kommunizieren müssen,
wenn sie gleichzeitig benötigt
werden.
-
Über eine
grundlegende Anwendungsreihenfolge hinaus (entweder Mobile-IP oder
IPsec zuerst anwenden), muss die Gesamtlösung darauf zielen, drei Hauptanforderungen
zu genügen:
- – Sicherheit.
Die Tatsache, dass eine VPN-Infrastruktur
Mobile-IP-Anwender unterstützen
kann, darf keine neuen Sicherheitsmängel für irgendeine Firmeneinheit
erzeugen (Firmennetzwerk & mobile
oder gelegentlich Roaming durchführende Anwender).
Mobile-IP-fähige
Vorrichtungen müssen
mobilen Anwendern den selben Pegel an Sicherheit zur Verfügung stellen,
als wenn sie in dem Firmennetzwerk physikalisch lokalisiert wären. Andererseits
müssen
Mobile-IP-Einheiten durch
eine Firmensicherheitsinfrastruktur (Firewalls) angemessen geschützt werden
und Mobile-IP-spezifische
Sicherheitsmechanismen dürfen globale
Sicherheitsmechanismen nicht stören.
- – Kompatibilität. Eine
Lösung,
die eine optimierte Interaktion zwischen Mobile-IP und IPsec ermöglicht,
muss vermeiden, Protokollspezifizierungen stark zu modifizieren.
Zukünftige
Entwicklungen von Mobile-IP- & IPsec-Protokollen
dürfen
aufgrund der Verwendung einer optimierten kombinier ten Lösung nicht übermäßig schwierig
gemacht werden. Optimalerweise sollten solche Entwicklungen die
Verwendung der kombinierten Lösung
zulassen.
- – Leistung.
Die Erfindung muss spezifische Bedürfnisse von mobilen Anwendern
hinsichtlich einer Handover-Qualität ansprechen: Das Handover
muss so schnell wie möglich
durchgeführt werden.
-
Ein
Beispiel eines Kommunikationsprotokolls für ein virtuelles privates Netzwerk
ist das ESP-Protokoll (ESP = Mantelsicherheitsnutzlast) (S. Kent,
R. Atkinson, "IP
Encapsulating Security Payload",
Internet Engineering Tast Force (IETF), RFC 2406, November 1998),
das in einer Tunnelbetriebsart verwendet wird. Die wesentlichsten
Punkte sind die folgenden:
- – Das gesamte ankommende IP-Paket
wird in ein neues getunnelt; innere (ursprüngliche) Quellen- und Zieladressen
werden nicht geändert.
- – Das
gesamte ankommende IP-Paket wird verschlüsselt und optional (empfohlen)
authentifiziert.
-
Eine
EPS-Tunnelbetriebsart ist definitionsgemäß ein unidirektionales Peer-to-Peer-Protokoll.
Der Sender (derjenige, der verschlüsselt und tunnelt) und der
Empfänger
(derjenige, der enttunnelt und entschlüsselt) müssen über ein gemeinsames kryptographisches
Geheimnis verfügen
(zum Beispiel über einen
Schlüssel
und einen Algorithmus, der zur Verschlüsselung/Entschlüsselung
verwendet wird). Der Satz von Sicherheitsparametern (Protokoll,
Schlüssel,
Algorithmus, Senderadresse, Empfängeradresse,
Lebensdauer, ...) bildet eine sogenannte IPsec-Sicherheitsverknüpfung ('SA'). IPsec erfordert zwei
SAs (ein SA-Bündel),
um eine geschützte
unidirektionale Kommunikation zu erhalten: eine auf dem Sender und
eine auf dem Empfänger
(mit einigen gemeinsamen Parametern, wie zum Beispiel dem Schlüssel).
-
Da
eine VPN-Kommunikation bidirektional ist (von einem mobilen Knoten
('MN') zu einem VPN-Gateway
und von einem VPN-Gateway zu einem MN), werden zwei SA-Bündel benötigt:
das
erste beschreibt den Tunnel von einem MN zu einem VPN-Gateway und das zweite
beschreibt den Tunnel von einem VPN-Gateway zu einem MN. Es ist zu beachten,
dass die Bezeichnung "VPN-Gateway" nicht durch das
Protokoll spezifiziert wird: ein VPN-Gateway ist einfach die topologische
Einheit, die auf der Firmennetzwerkseite alle sicheren Tunnel zu/von
roamingfähigen
mobilen Knoten beendet.
-
SA-Selektoren
werden für
die Verarbeitung von IPsec-Paketen
verwendet. Grundsätzlich
sind SA-Selektoren IP-Parameter,
die durch eine IPsec-Schicht verwendet werden, um zu prüfen, dass:
- – Ein
Paket, das davor steht, auf einem Tunnel gesendet zu werden, der
durch eine bestimmte Ausgangs-SA definiert wird, tatsächlich legitimiert
ist, mit dieser SA gesendet zu werden (zum Beispiel Quellen- & Zieladressen
des Paketes stimmen mit der Quellen- und Zieladresse der SA überein). Dieser
Test wird die "Ausgangs-SA-Selektorprüfung" genannt.
- – Ein
Paket, das von einem Tunnel empfangen worden ist, der durch eine
bestimmte Eingangs-SA definiert wird, tatsächlich legitimiert ist, von
dieser SA empfangen worden zu sein (zum Beispiel Quellen- & Zieladressen
des Paketes stimmen mit der Quellen- und Zieladresse der SA überein).
Dieser Test wird die "Eingangs-SA-Selektorprüfung" genannt.
-
Es
ist zu beachten, dass, wie in den zwei Beispiel oben dargestellt,
in dieser Erfindung nur Quellenadresse & Zieladresse als SA-Selektoren sowohl für Eingangs-
als auch Ausgangs-SAs berücksichtigt werden.
-
Zwei
Familien von Vorschlägen
zielen auf diese Situation:
IPsec-Tunnel in dem MIP-Tunnel.
-
Mit
dieser Familie von Vorschlägen
wird der IPsec-Tunnel
zwischen dem VPN-Gateway und dem mobilen Knoten Heimadresse eingerichtet.
-
Externer Heimagent.
-
Der
Heimagent wird vor dem IPsec-Gateway und
der Firmen-Firewall platziert, das heißt, außerhalb des Heimnetzwerkes.
Offensichtlich gibt es schwere Sicherheitsmängel; der Hauptmangel besteht
darin, dass der Heimagent nicht länger durch den gemeinsamen
Schutzmechanismus (Firmen-Firewall) an der Grenze des Netzwerkes
geschützt
wird. Tatsächlich
profitiert ein außerhalb
des Gateways platzierter Heimagent von keinem Schutz und wird zu
einem leichten Ziel. Diese Art von Sicherheitsmangel kann nicht
akzeptiert werden, wenn eine VPN-Lösung konstruiert wird, die
darauf abzielt, Kommunikationen zu schützen.
-
Ein
anderes Problem hat seine Ursache in dem Tunnelmechanismus, der
die MIP-Pakete nicht verschlüsselt
(der IPsec-Tunnel ist in dem MIP-Tunnel). Der MIP-Header liegt im
Klartext vor und jeder Angreifer mit schlechten Absichten verfügt über Kenntnisse
bezüglich
aller Header-Felder, zum Beispiel der Heimadresse des mobilen Knotens.
Somit stellt diese Lösung
keine Privatsphäre
zur Verfügung und
ein böswilliger
Knoten kann alle aufeinanderfolgenden Standorte eines mobilen Knotens
verfolgen, der durch seine Heimadresse identifiziert ist.
-
MIP-Proxy.
-
Dieser
Vorschlag wird in einem Entwurf beschrieben (F. Adrangi, P. Iyer, "Mobile IPv4 Traversal ac ross
VPN or NAT & VPN
Gateway", IETF work
in progress draft-adrangi-mobileip-natvpn-traversal-01.txt, Februar
2002). Er setzt die Erzeugung einer neuen Einheit voraus, die als
ein Mobile-IP-Proxy bezeichnet wird, der aus der Sicht eines mobilen Knotens
als ein Ersatzheimagent erscheint und umgekehrt durch den Heimagenten
als ein mobiler Knoten angesehen wird. Diese Lösung basiert außerdem auf
IPsec in einer MIP-Tunnelung, was hinsichtlich einer Privatsphäre weniger
vertrauenswürdig
ist als MIP in IPsec, wie oben angemerkt.
-
Der
Prozess eines einfachen Roamings erfordert neue Signalisierungsnachrichten
zwischen dem MIP-Proxy, dem VPN-Gateway
und dem Heimagenten: Der MIP-Proxy agiert als ein Relay zwischen
dem mobilen Knoten und dem Heimagenten ('HA');
er muss sich über
einen bestehenden Schutz zwischen dem mobilen Knoten und dem HA
bewusst sein, um eine gültige
Anforderung eindeutig zu übermitteln.
Er interagiert außerdem
mit dem VPN-Gateway und ein gemeinsames Paket von einem entsprechenden
Knoten zu einem MN folgt einem schwierigen Prozess: es wird zuerst
durch den HA an den MIP-Proxy MIP-eingebunden. Dann entbindet der MIP-Proxy
es und gibt es an das VPN-Gateway, um eine Verschlüsselung
zu realisieren. Das VPN-Gateway sendet die verschlüsselten
Pakete an den MIP-Proxy zurück,
der es wieder in ein neues MIP-Paket einbindet.
-
Der
MIP-Proxy ist außerhalb
der geschützten
Domäne
in der entmilitarisierten Zone ('DMZ') lokalisiert, das
heißt,
einem kleinen Netzwerk, das als eine "neutrale Zone" zwischen einem privaten Firmennetzwerk
und dem äußeren öffentlichen
Netzwerk eingefügt
ist. Der Sicherheitspegel von Vorrichtungen in der DMZ ist viel
niedriger als der des Firmennetzwerkes. Die Firewalls dürfen das
Registrierungsverfahren zwischen dem Proxy und dem Heimagenten nicht
stören.
Diese Architektur beinhaltet mögliche
Sicherheitsmängel,
da die Firmen-Firewall jedes Paket zwischen dem MIP-Proxy und dem Heimagenten
ohne weitere Prüfungen
durchlassen muss: dies kann leicht dazu führen, dass das ganze Firmennetzwerk
gefährdet
wird, wenn es einem Angreifer gelingt, Zugang zu dem MIP-Proxy zu
erlangen.
-
MIP-Tunnel
in dem IPsec-Tunnel
-
Mit
dieser Familie von Vorschlägen
wird ein IPsec-Tunnel
zwischen dem VPN-Gateway und der c/o-Adresse des mobilen Knotens
eingerichtet.
-
Ein
Vorschlag, der den MIP-Tunnel in den IPsec-Tunnel einfügt, ist
durch die Universität
von Bern, Schweiz beschrieben worden:
www.iam.unibe.ch/~rvs/publications/secmip_gi.pdf. Der
IPsec-Tunnel wird vor jedem neuen Handover zurückgesetzt. Beim Bewegen zu
einem neuen Netzwerk muss er durch den ganzen Schlüsselverbreitungsprozess
neu eingerichtet werden. Diese Handover-Betriebsart erzeugt inakzeptable
Latenzen von vielen Sekunden, was mit klassischen MIP-Erfordernissen
nicht kompatibel ist.
-
Ein
anderes Problem mit diesem Vorschlag besteht darin, dass angenommen
wird, dass IPsec einen ausreichenden Schutz bietet, und als Konsequenz
daraus Authentifizierung und Replay-Schutz während des MIP-Registrierungsverfahrens
gesperrt werden. Ein Sperren des Schutzes auf dem Heimagenten ist
eine Option, die die Geschwindigkeit nicht wirklich verbessert,
und erfordert Heimagenten, die MIP-VPN- Anwendern zugeordnet sind, sowie andere Heimagenten,
die einfachen MIP-Anwendern zugeordnet sind, die noch einen MIP-Schutz
verwenden.
-
Die
WO 00/08818 beschreibt ein Verfahren zum Aushandeln eines Zugangs
zu einem privaten Netzwerk von einem mobilen Knoten, der über das private
Netzwerk hinaus gewandert ist, in dem ein VPN-Gateway als ein mobiler
Ersatzknoten agiert.
-
Die
vorliegende Erfindung zielt auf die obigen und andere Probleme.
-
Zusammenfassung
der Erfindung
-
Die
vorliegende Erfindung stellt ein Verfahren und eine Vorrichtung
zur Kommunikation wie in den begleitenden Ansprüchen beschrieben zur Verfügung.
-
Kurze Beschreibung
der Zeichnungen
-
1 ist
ein schematisches Diagramm eines mobilen virtuellen privaten Netzwerkszenariums.
-
2 ist
ein Diagramm eines Datenpaketes, das in der ESP-Tunnel-Betriebsart
eingebunden ist.
-
3 ist
ein Flussdiagramm von Austäuschen
in einer Kommunikation zwischen einem privaten Netzwerk und einem
roamingfähigen
mobilen Endgerät
gemäß einer
beispielhaften Ausführungsform
der vorliegenden Erfindung, und
-
4 ist
ein Flussdiagramm eines Prozesses zum Empfang einer Registrierungsanforderung in
dem in 3 dargestellten Kommunikationsprozess.
-
Ausführliche
Beschreibung der bevorzugten Ausführungsformen
-
1 zeigt
ein mobiles virtuelles privates Netzwerk-Szenarium, das ein privates Netzwerk 1 umfasst,
das ein Sicherheits-Gateway enthält,
das umfasst: ein VPN-Gateway 2 und eine Firewall 3,
einen in dem privaten Netzwerk 1 angeordneten mobilen Knoten 4 und
einen Heimagenten 5 für
den mobilen Knoten 4. Die in den Zeichnungen gezeigte Ausführungsform
der vorliegenden Erfindung ist im Wesentlichen anwendbar, wo der
mobile Knoten 4 zur Kommunikation über eine drahtlose Verbindung
befähigt
ist, was seine Fähigkeit,
Roaming durchzuführen,
sowohl innerhalb als auch außerhalb
des privaten Netzwerkes 1 verbessert, aber diese Ausführungsform
der Erfindung ist auch anwendbar, wo der mobile Knoten 4 nur über Drahtverbindungen
kommuniziert.
-
1 zeigt
ein Szenarium, wo die Vorteile dieser Ausführungsform der Erfindung besonders klar
werden, wo sich der mobile Knoten 4 außerhalb des privaten Netzwerkes 1 bewegt,
zuerst zu einem besuchten Netzwerk 6, das über einen
fremden Agenten 7 verfügt,
der unter dem Mobile-IPv4-Protokoll
funktioniert, wodurch eine Kommunikation des roamingfähigen mobilen
Knotens 4 in dem Netzwerk 6 durch das Internet 8 mit
dem privaten Netzwerk 1 ermöglicht wird. In diesem Szenarium
bewegt sich der roamingfähige
mobile Knoten 4 dann zu einem zweiten besuchten Netzwerk 9,
das über
einen fremden Agenten 10 verfügt, der auch unter Mobile-IPv4 zur Kommunikation
durch das Internet 8 mit dem privaten Netzwerk 1 funktioniert.
Obwohl diese Ausführungsform
der Erfindung mit Mobile-IPv4-Protokollen funktioniert, ist klar,
dass die Erfindung auch auf andere Protokolle, im Besonderen auf
das Mobile-IPv6-Protokoll, anwendbar ist.
-
Wenn
der mobile Knoten 4 in den besuchten Netzwerken 6 oder 9 Roaming
durchführt,
werden Kommunikationen mit dem privaten Netzwerk 1 durch
das Internet 8 in den IPsec- und MIP-Tunneln 11 beziehungsweise 12 eingerichtet.
Im Besonderen ist das verwendete Protokoll das in 2 dargestellte
Mantelsicherheitsnutzlastprotokoll ("ESP" = Mantelsicherheitsnutzlast).
Gemäß diesem
Protokoll umfasst das ursprüngliche
Paket 13 einen ursprünglichen
IP-Header 14 und die Daten 15. Das Paket 13 wird
mit einem ESP-Trailer 16 verschlüsselt, ohne den ursprünglichen
IP-Header und die Zieladresse zu ändern. Das verschlüsselte Paket
wird mit einem ESP-Header 17 und vorzugsweise einer ESP-Authentifizierung 18 ummantelt
und vor der Übertragung
mit einem neuen IP-Header 19 bestückt. Es werden Sicherheitsverknüpfungsbündel, jedes
eine Ausgangs- und Eingangskommunikationssicherheitsverknüpfung umfassend,
für Kommunikationen über die
Pfade 11 und 12 mit dem VPN-Gateway 2 eingerichtet.
Sicherheitsverknüpfungsselektoren
prüfen,
dass durch Verwenden des durch jede Ausgangssicherheitsverknüpfung definierten
Tunnels zu sendende Pakete legitimiert sind, mit dieser Sicherheitsverknüpfung gesendet
zu werden, und im Besonderen, dass die Quellen- und Zieladressen
des Paketes mit den Quellen- und Zieladressen der Sicherheitsverknüpfung übereinstimmen,
wobei dieser Test die Ausgangs-SA-Selektorprüfung ist.
Pakete, die von einem Tunnel empfangen werden, der durch die Eingangssicherheitsverknüpfung definiert
wird, werden hinsichtlich der Rechtmäßigkeit eines Empfangs mit
dieser Sicherheitsverknüpfung
geprüft,
im Besonderen dahingehend, dass die Quellen- und Zieladressen des
Paketes mit den Quellen- und Zieladressen der Sicher heitsverknüpfung übereinstimmen,
wobei dieser Test die Eingangs-SA-Selektorprüfung ist.
-
In
dieser Ausführungsform
der Erfindung enthält
die Eingangssicherheitsverknüpfung
des VPN-Gateways 2 nicht die IP-Adresse des mobilen Knotens 4 als
Quellenadresse, sondern ein Stellvertretersymbol ("*"). Dies gestattet es dem VPN-Gateway 2,
ein Paket von dem mobilen Knoten 4 zu empfangen und weiterzuleiten,
unabhängig
davon, welche c/o-Adresse
es verwenden mag. Es ist zu beachten, dass dies nicht dem IPsec-Protokoll
widerspricht, da der Stellvertretersymbolwert durch dieses Protokoll
für den
Quellenadressenselektor in einer Sicherheitsverknüpfung autorisiert
wird. Die Tunnelanordnung ist die eines MIP-Tunnels in dem IPsec-Tunnel,
wobei der IPsec-Tunnel zwischen dem VPN-Gateway 2 und dem mobilen Knoten 4 angeordnet
ist, wobei die c/o-Adresse des mobilen Knotens als Endpunkt verwendet
wird.
-
Der
Prozess für
Kommunikationen, wenn der mobile Knoten 4 Roaming durchführt, wird
in 3 gezeigt, darin beziehen sich Hinweise auf Ausgang und
Eingang auf Pakete bei dem mobilen Knoten 4. Zunächst werden
die IPsec-Tunnel für
die Situation dargestellt, wo eine Kommunikation bei der aktuellen c/o-Adresse
des mobilen Knotens 4 eingerichtet wird. Der Ausgangs-IPsec-Tunnel 20 verfügt über eine
Sicherheitsverknüpfung
bei dem mobilen Knoten 4, der über die aktuelle c/o-Adresse
des mobilen Knotens als Quellenadresse und die Adresse des VPN-Gateways 2 als
Zieladresse verfügt,
und eine Sicherheitsverknüpfung
bei dem VPN-Gateway 2, das über ein Stellvertretersymbol
als die Quellenadresse und die VPN-Gateway 2-Adresse als die Zieladresse
verfügt. Der
ursprüngliche
Eingangs-IPsec-Tunnel verfügt über eine
Si cherheitsverknüpfung
bei dem mobilen Knoten 4, mit der Adresse des VPN-Gateways 2 als Quellenadresse
und der aktuellen c/o-Adresse des mobilen Knotens 4 als
Zieladresse, und eine Sicherheitsverknüpfung bei dem VPN-Gateway 2,
das über die
VPN-Gateway-Adresse als Quellenadresse und die c/o-Adresse des mobilen
Knotens 4 als Zieladresse verfügt.
-
Wenn
sich der mobile Knoten bei 22 von einem besuchten Netzwerk
zu einem anderen bewegt, zum Beispiel von dem besuchten Netzwerk 6 zu
dem besuchten Netzwerk 9, erkennt der mobile Knoten 4, zum
Beispiel aus einer ankommenden Agentenanzeige, dass sich sein Standort
geändert
hat. Er konfiguriert dann eine neue c/o-Adresse, die in dem neuen
besuchten Netzwerk 7 verfolgbar ist. Der mobile Knoten 4 enthält eine
VPN-Clientsoftware, die auf die Änderung
des Standortes des mobilen Knotens anspricht, zum Beispiel in Reaktion
auf Netzwerkauswahl-Middleware oder durch Überwachen der Quellenadressen
von Ausgangspaketen. Die VPN-Clientsoftware ändert dann
dynamisch die Eingangssicherheitsverknüpfung auf dem mobilen Knoten 4,
so dass seine Zieladresse die neue c/o-Adresse des mobilen Knotens
ist, wobei der Eingangs-IPsec-Tunnel 21 ein vorrübergehender
Eingangs-IPsec-Tunnel 23 wird. Auf diese Art und Weise
ist der mobile Knoten 4 in der Lage, Pakete zu empfangen,
die durch das VPN-Gateway 2 sicher an ihre neue c/o-Adresse
gesendet werden; andernfalls würden
die Pakete fallengelassen werden, wenn sie nicht mit der Zieladresse übereinstimmen,
die in dem früheren
Eingangs-IPsec-Tunnel 21 eingefügt ist. Ebenso verändert die VPN-Clientsoftware
die Ausgangssicherheitsverknüpfung
auf dem mobilen Knoten 4 dynamisch, so dass ihre Quellenadresse
die neue c/o-Adresse des mobilen Knotens ist, wobei der Ausgangs-IPsec-Tunnel 20 ein
Aus gangs-IPsec-Tunnel 20' wird;
andernfalls ist der mobile Knoten 4 nicht in der Lage,
abgehende Pakete zu senden, da sie nicht mit der Quellenadresse übereinstimmen,
die in dem früheren Ausgangs-IPsec-Tunnel 20 eingefügt ist.
-
Der
mobile Knoten 4 sendet dann eine Signalisierungsnachricht
an seinen Heimagenten, um ihn über
seinen neuen Standort zu informieren, wobei die Signalisierungsnachricht
durch den Ausgangs-IPsec-Tunnel 20' und das VPN-Gateway 2 passiert.
Die Signalisierungsnachricht liegt in der Form einer Registrierungsanforderung
vor, wo das verwendete Protokoll, wie in dieser Ausführungsform
der Erfindung, Mobile-IPv4 ist.
-
Die
Signalisierungsnachricht wird bei dem VPN-Gateway 2 in
dem Schritt 24 empfangen. Der SA-Selektor in dem VPN-Gateway für den Ausgangstunnel 20' lehnt das Paket
nicht ab, da die Quellenadresse ein Stellvertretersymbolfeld ist,
und die Quellenadresse wird daher nicht verifiziert und das Paket
wird an den Heimagenten 5 übermittelt. Bei dem Schritt 25 empfängt und
verarbeitet der Heimagent 5 die Registrierungsanforderungsnachricht
von dem mobilen Knoten 4, der die neue c/o-Adresse anzeigt.
Wenn die Registrierungsanforderung gültig ist, sendet der Heimagent 5 eine Sicherheitsinformationsaktualisierungsnachricht ("SIU") an das VPN-Gateway 2,
die eine Anweisung enthält,
die Sicherheitsverknüpfung
des vorübergehenden
IPsec-Tunnels 23 auf dem VPN-Gateway zu aktualisieren.
Diese SIU-Nachricht wird bei dem VPN-Gateway 2 zum Beispiel
durch einen Dämon, das
heißt,
ein Hintergrundprogramm, das dem System Dienste zur Verfügung stellt,
verarbeitet.
-
In
Reaktion auf die SIU-Nachricht aktualisiert das VPN-Gateway 2 seine
Sicherheitsverknüpfung für den vorrü bergehenden
Eingangs-IPsec-Tunnel 23 zu einem neuen IPsec-Tunnel 26,
der über
die neue c/o-Adresse des mobilen Knotens 4 als Zieladresse
verfügt.
Diese Aktualisierung wird durchgeführt, bevor irgendein Paket,
im Besonderen die Registrierungsantwort, an den mobilen Knoten 4 gesendet
wird. In einer bevorzugten Ausführungsform
der Erfindung umfasst die SIU-Nachricht von dem Heimagenten 5 an
das VPN-Gateway 2 die Registrierungsantwort an den mobilen
Knoten 4.
-
Es
ist klar, dass diese besondere Routine des Heimagenten 1 nur
getriggert wird, wenn die Registrierungsanforderung durch ein VPN-Gateway, wie
zum Beispiel 2, empfangen wird, entsprechend einem Standort des
mobilen Knotens 4 außerhalb des
privaten Netzwerkes 1. Wenn sich der mobile Knoten in dem
privaten Netzwerk 1 befindet, und daher den VPN-Dienst
nicht verwendet, reagiert der Heimagent 5 gemäß der normalen
Routine mit einer normalen Registrierungsantwort.
-
Bei
dem Schritt 27 übermittelt
das VPN-Gateway 2 die Registrierungsantwort an den mobilen
Knoten 4 durch Verwenden des neu eingerichteten Eingangs-IPsec-Kanals 26 und
sendet alle weiteren Datenpakete an die neue c/o-Adresse, wobei
bis auf eine weitere Meldung der Tunnel 26 verwendet wird.
-
Wenn
bei dem Schritt 25 die Registrierungsanforderung bei dem
Heimagenten 5 nicht erfolgreich ist, ist der Prozess nicht
unabänderlich
gefährdet.
Bei dem mobilen Knoten 4 wird keine Registrierungsantwort
empfangen werden und der mobile Knoten 4 wird eine weitere
Registrierungsanforderung senden. Wenn der Heimagent 5 fortfährt, die
Registrierungsanforderungen nicht zu akzeptieren, wird der mobile Knoten 4 schließlich den
Versuch abbrechen und einen neuen Tunnel für eine neue c/o-Adresse einrichten,
ohne einen Vorteil aus dem Prozess dieser Ausführungsform der Erfindung zu
ziehen. Diese Situation wohnt mobilen IP-Szenarien inne.
-
4 stellt
die Routinen dar, die durch den Heimagenten 5 während des
obigen Prozesses befolgt werden. Die Routine beginnt bei 28 und
bei dem Schritt 29 wird eine Eingabe in Form einer Registrierungsanforderung
von dem mobilen Knoten 24 empfangen. Bei dem Schritt 30 wird
eine Prüfung
durchgeführt,
ob die Registrierungsanforderung gültig ist, und wenn der Heimagent 5 die
Registrierung nicht akzeptiert, endet die Routine bei 31.
Wenn der Heimagent 5 die Registrierungsanforderung akzeptiert, wird
bei 32 eine Prüfung
durchgeführt,
ob die Registrierungsanforderung durch ein VPN-Gateway, wie zum
Beispiel 2, empfangen wurde, Wenn nicht, wird eine Registrierungsantwort
erstellt und direkt an den mobilen Knoten 4 über das
private Netzwerk 1 bei dem Schritt 33 gesendet.
Wenn die Registrierungsanforderung durch ein VPN-Gateway, wie zum
Beispiel 2, empfangen wurde, wird eine Registrierungsantwort für den mobilen
Knoten 4 bei 34 erstellt. Diese Registrierungsantwort
wird dann in ein neues Paket eingefügt, das durch den Heimagenten 5 bei 35 erzeugt
wird und das außerdem
die frühere c/o-Adresse und die neue
c/o-Adresse des mobilen Knotens 4 enthält. Dieses Paket wird dann
bei dem Schritt 36 an das VPN-Gateway 2 gesendet und die Routine
endet wieder bei 31.