-
Hintergrund
der Erfindung Gebiet der Erfindung
-
Die vorliegende Erfindung bezieht
sich allgemein auf das Gebiet von Datenkommunikationen und insbesondere
bezieht sich die vorliegende Erfindung auf Datenkommunikationen über das
Internet.
-
Hintergrundinformation
-
Der traditionelle Arbeitsplatz wird
allgemein als ein einziger Platz betrachtet, zu dem alle Angestellten
pendeln und während
des Tages arbeiten. Mit der explosionsartigen Entwicklung der Technologie erweitert
sich die Definition des Arbeitsplatzes, so dass sie Telearbeiter
sowie Angestellte einschließt, die
auf Reisen arbeiten. Zusätzlich
benötigen
Angestellte in vielen Fällen
die Möglichkeit,
sich aus der Entfernung von ihrem Heim- oder Laptop-Computersystem
in das Firmennetz ihres Arbeitgebers zu irgendwelchen Zwecken einzuloggen,
die den Zugriff auf Dateien oder die Übertragung von Dateien oder einfach
das Prüfen
ihrer elektronischen Post einschließen.
-
1 zeigt
ein Computersystem 101, das mit einem lokalen Netzwerk
(LAN) 131 fernverbunden ist. Wie dies in 1 gezeigt ist, ist das Computersystem 101 mit
dem LAN 131 über
ein Modem 103 gekoppelt. Das Modem 103 ist mit
einem Modem 105 über
eine Verbindung 127 verbunden. Das Modem 105 ist
mit einem LAN-Bus 107 verbunden, mit dem eine Vielzahl
von anderen Netzwerk-Ressourcen verbunden ist. Beispielsweise zeigt 1, dass Computersysteme 113 und 117 mit
dem LAN-Bus 107 über Netzwerk-Schnittstellen 111 bzw. 115 gekoppelt
sind.
-
Ein Nachteil bei der vorstehenden
Anordnung zur Fernverbindung des Computersystems 101 mit
dem Firmen-LAN 131 über
die Modems 103 und 105 besteht darin, dass die
Verbindung 127 typischerweise eine Telefonverbindung über ein öffentliches
Fernsprechwählnetz
ist. Wenn daher das Computersystem 101 in einer großen körperlichen
Entfernung von dem LAN 131 angeordnet ist, so kann die Verbindung 127 ein
Ferngespräch
sein, was ziemlich aufwändig
sein könnte,
wenn die Verbindung häufig oder über lange
Zeitperioden verwendet wird.
-
1 zeigt
weiterhin, dass als Alternative das Computersystem 101 mit
dem LAN 131 über
das Internet 119 gekoppelt sein kann. Wie dies in 1 gezeigt ist, stellt das
Computersystem 101 eine Verbindung zu einem Internet-Dienstanbieter
(ISP) 121 über
eine Verbindung 133 her. Typischerweise ist die Verbindung 133 eine
Ortsverbindung, die kostengünstiger
verglichen mit der Verbindung 127 in dem Fall ist, dass
die Verbindung 127 eine Ferngesprächsverbindung ist. 1 zeigt, dass der ISP 121 mit
einem Überleiteinrichtungs-System 109 über eine Verbindung 129 durch
das Internet 119 verbunden ist. Das Überleiteinrichtungs-System 109 ist
mit dem LAN 131 über
den LAN-Bus 107 verbunden.
-
Es gibt eine Vielzahl von unterschiedlichen Protokollen,
die für
die Verbindung 129 zwischen dem ISP 121 und dem Überleiteinrichtungs-System 109 verwendet
werden können.
Ein Beispiel eines derartigen Protokolls ist das Punkt-zu-Punkt-Tunnelprotokoll (PPTP).
Ein Nachteil dieses Protokolls besteht darin, dass es keine vollständige Sicherheit
in der Verbindung 129 ergibt. Wie dies für den Fachmann
bekannt ist, ist der Steuerkanal einer PPTP-Verbindung nicht verschlüsselt. Entsprechend würde es für einen
Eindringling 125 relativ einfach sein, die nicht geschützten Kommunikationen
in der Verbindung 129 zwischen dem ISP 121 und
dem Überleiteinrichtungs-System 109 abzufangen
und möglicherweise
die Kommunikationen abzuhören, die
Kommunikationen zu unterbrechen oder sich falsch als einen der zwei
Teilnehmer auszugeben.
-
Ein bekanntes Protokoll, das gesicherte Kommunikationen über das
Internet 119 ergibt, ist das Internet-Sicherheitszuordnungs-
und Schlüsselverwaltungsprotokoll – (ISAKMP)/Oakley-Protokoll –, kombiniert
mit dem Internet-Sicherheitsprotokoll (IPSec). ISAKMP/Oakley wird
für die
Schlüsselverwaltung
verwendet, und IPSec wird zur Übertragung
von verschlüsselten
Daten verwendet. Wie dies dem Fachmann bekannt ist, wurde das ISAKMP/Oakley-Protokoll
so ausgelegt, dass es hauptsächlich
für die
Bereitstellung einer gesicherten Host-zu-Host-Kommunikation über das
Internet 119 zwischen Netzwerken verwendet wird, die nicht
häufig
abgeschaltet werden. Beispielsweise könnte ein Paar von Netzwerken,
wie z. B. das LAN 131, in sicherer Weise über das
Internet 119 unter Verwendung des ISAKMP/Oakley-Protokolls
mit IPSec kommunizieren. Als das ISAKMP/Oakley-Protokoll entworfen wurde, wurde angenommen,
dass die gesicherte Host-zu-Host-(beispielsweise
Firewall-zu-Firewall-) Kommunikation über das Internet 119 zwischen
Netzwerken relativ statisch sein würde. Das heißt, dass
die Verbindungen zwischen den Netzwerken für relativ lange Zeitperioden
aktiv bleiben würden
und daher nicht häufig
unterbrochen würden.
-
Ein Nachteil der Verwendung des ISAKMP/Oakley-Protokolls
mit IPSec in dem in 1 gezeigten
Beispiel besteht darin, dass das Computersystem 101 einen
Zugriff auf das Internet 119 über ein Modem 103 ausführt. Wie
dies für
den Fachmann gut bekannt ist, werden Modem-Verbindungen zum Internet 119 oft
unterbrochen. Wenn beispielsweise die Verbindung 133 über eine
störbehaftete
Telefonleitung erfolgt oder wenn beispielsweise die Verbindung 133 einen
Anklopf-Dienst einschließt, so könnte die
Verbindung 133 unerwartet unterbrochen werden. Wie dies
für den
Fachmann bekannt ist, sieht das ISAKMP/Oakley-Protokoll kein Aktivhaltemerkmal
vor. Entsprechend würde
das LAN 131 so lange keine Kenntnis darüber haben, dass das Computersystem 101 nicht
mehr erreichbar ist, bis die Verbindung zwischen dem Computersystem 101 und dem
LAN 131 durch Zeitablauf beendet wird. Im Allgemeinen bewirken
ISAKMP/Oakley-Verbindungen eine Trennung nach Zeitablauf, nachdem
Versuche fehlgeschlagen sind, die zur Sicherung der Kommunikationsverbindungsstrecke
verwendeten Richtlinien und Schlüssel
neu auszuhandeln. Es ist verständlich,
dass Versuche, die Richtlinien und Schlüssel für sichere Kommunikationen unter
dem ISAKMP/Oakley-Protokoll neu auszuhandeln, rechenmäßig intensive
Operationen sind und daher nicht mit einer ausreichenden Häufigkeit
ausgeführt
werden, um in schneller und zuverlässiger Weise festzustellen, dass
das Computersystem 101 nicht mehr über das Internet 119 erreichbar
ist.
-
Die US-A-5 553 239 offenbart eine
Server-Architektur zum Verbinden einer Vielzahl von entfernt angeordneten
Klienten-Computern mit einem Server, wobei Aktivhalte-Mitteilungen periodisch über die
Klienten-Verbindung ausgesandt werden. Die Periode zwischen Aktivhalte-Verbindungen
wird ohne Bezugnahme auf irgendwelche externen Faktoren bestimmt
und beruht auf einem Zeitgeber. Die Verbindung schlägt fehl,
wenn keine Antwortmitteilung innerhalb des Doppelten der vorgegebenen
Zeit zwischen Aktivhalte-Mitteilungen empfangen wird.
-
Die US-A-5 633 933 offenbart das
Koppeln einer Datenverarbeitungseinrichtung mit einem privaten Netzwerk über eine
verschlüsselte
Verbindung.
-
Die WO-A-97/26735 offenbart ein Schlüsselverwaltungssystem,
das eine Kommunikation zwischen Computern unter Verwendung von verschlüsselten
Netzwerkpaketen ermöglicht.
-
Zusammenfassung
der Erfindung
-
Ein Verfahren zur Überprüfung der
Erreichbarkeit eines entfernt angeordneten Gerätes von einem lokalen Gerät wird offenbart.
Bei einer Ausführungsform
schließt
das Verfahren die Schritte der Herstellung einer geschützten Internet-Kommunikationsverbindungsstrecke
zwischen dem lokalen Gerät und
dem entfernt angeordneten Gerät
ein. Eine geschützte
Aktivhalte-Mitteilung wird von dem lokalen Gerät an das entfernt angeordnete
Gerät ausgesandt.
Die geschützte
Internet-Kommunikationsverbindungsstrecke
wird beendet, wenn das entfernt angeordnete Gerät an das lokale Gerät keine
geschützte
Bestätigungs-Mitteilung
als Antwort auf die geschützte
Aktivhalte-Mitteilung sendet. Zusätzliche Merkmale und Vorteile
der vorliegenden Erfindung werden aus der ausführlichen Beschreibung, den
Figuren und den nachfolgenden Ansprüchen ersichtlich.
-
Kurze Beschreibung
der Zeichnungen
-
Die Erfindung wird in Form eines
Beispiels ohne jede Beschränkung
in den beigefügten
Zeichnungen erläutert.
-
1 ist
eine Erläuterung
eines entfernt angeordneten Computersystems, das einen Zugriff auf ein
LAN über
ein Modem ausführt.
-
2 ist
eine Darstellung eines entfernt angeordneten Computersystems, das
einen Zugriff auf ein LAN über
das Internet unter Verwendung eines Modems mit einer gesicherten
Kommunikation entsprechend den Lehren einer Ausführungsform der vorliegenden
Erfindung ausführt.
-
3 ist
eine Darstellung, die ein Beispiel eines Computersystems zeigt,
das gemäß den Lehren einer
Ausführungsform
der vorliegenden Erfindung verwendet werden kann.
-
4 ist
ein Ablaufdiagramm, das Schritte erläutert, die zur Überprüfung der
Erreichbarkeit eines entfernt angeordneten Computers von einem örtlichen
Computer aus gemäß den Lehren
einer Ausführungsform
der vorliegenden Erfindung ausgeführt werden.
-
Ausführliche
Beschreibung
-
Verfahren und Vorrichtungen zur Überprüfung der
Erreichbarkeit eines entfernt angeordneten Computers von einem lokalen
Computer aus werden offenbart. Der Gegenstand der Erfindung wird
unter Bezugnahme auf vielfältige
Einzelheiten beschrieben, die nachfolgenden angegeben sind, und
die beigefügten
Zeichnungen erläutern
die Erfindung. Die folgende Beschreibung und die Zeichnungen erläutern die
Erfindung und sollten nicht als Beschränkung der Erfindung betrachtet
werden. Vielfältige
spezielle Einzelheiten werden beschrieben, um ein gründliches
Verständnis
der Erfindung zu schaffen. In bestimmten Fällen werden jedoch gut bekannte
oder übliche
Einzelheiten nicht beschrieben, um die vorliegende Erfindung nicht
in unnötiger
Weise zu verdecken.
-
2 zeigt
ein Computersystem 101, das mit einem LAN 131 über das
Internet 119 entsprechend den Lehren einer Ausführungsform
der vorliegenden Erfindung gekoppelt ist. Im Einzelnen zeigt 2 ein Computersystem 101,
das mit dem Internet 119 über einen ISP 121 über eine
Verbindung 133 von einem Modem 103 aus gekoppelt
ist. In einer Ausführungsform
wird eine geschützte
Internet-Kommunikationsverbindungsstrecke
zwischen dem ISP 121 und dem Überleiteinrichtungs-System 109 hergestellt.
In der in 2 gezeigten
Ausführungsform schließt die geschützte Internet-Kommunikationsverbindungsstrecke
zwischen dem ISP 121 und dem Überleiteinrichtungs-System 109 die
ersten bzw. zweiten Kanäle 201 bzw. 203 ein.
Das LAN 131 führt einen
Zugriff auf das Internet 119 über das Überleiteinrichtungs-System 109 aus.
Bei einer Ausführungsform
ist das Überleiteinrichtungs-System 109 mit
dem LAN-Bus 107 gekoppelt, mit dem weitere Ressourcen des
LAN 131 verbunden sind, unter Einschluss des Modems 105 und
der über
Netzwerk-Schnittstellen 111 bzw. 115 angeschlossenen Computersysteme 113 und 117.
-
Es ist zu erkennen, dass der Ausdruck „Internet" sich auf ein Netzwerk
von Netzwerken bezieht, die eine Vielzahl von Protokollen verwenden,
wie beispielsweise das Übertragungssteuerprotokoll/Internetprotokoll
(TCP/IP-) Protokoll und andere Protokolle, unter Einschluss des
HTTP-Protokolls für
Hypertext-Auszeichnungssprache-
(HTML-) Dokumente. Die physikalischen Verbindungen des Internets 119 und
anderer Protokolle und Kommunikationsverfahren des Internets 119 sind
dem Fachmann gut bekannt. Ein Zugang an das Internet 119 wird
typischerweise von Internet-Diensteanbietern (ISP's), wie z. B. dem
ISP 121, und Überleiteinrichtungs-Systeme,
wie z. B. das Überleiteinrichtungs-System 109 bereitgestellt.
Benutzer an Klienten-Systemen, wie z. B. dem Computersystem 101,
dem Computersystem 113 und dem Computersystem 117 erhalten
einen Zugang an das Internet 119 über (SP's, wie z. B. den ISP121, oder Überleiteinrichtungs-Systeme, wie z. B. das Überleiteinrichtungs-System 109.
Ein Zugang an das Internet 119 ermöglicht es Benutzern von Klienten-Computersystemen,
Informationen auszutauschen, elektronische Post zu empfangen und
zu senden, elektronische Dokumente zu betrachten, usw.
-
Es ist verständlich, dass obwohl bei der
Ausführungsform
nach 2 das Computersystem 101 so
dargestellt ist, als ob es mit dem Internet 119 über ein „Modem" 103 gekoppelt
ist, es zu erkennen ist, dass die Schnittstelle des Computersystems 101 an das
Internet 119 über
das Modem 103 ein Analog-Modem, ein Modem für das diensteintegrierende Netz
(ISDN), ein Kabel-Modem, eine Satelliten-Übertragungsschnittstelle, ein
digitales Teilnehmerleitungs- (DSL-) Modem oder irgendeine andere Schnittstelle
zum Koppeln eines Computersystems oder Gerätes mit anderen Computersystemen
oder Geräten
sein kann.
-
Die Computersysteme 113 und 117 sind
in der in 2 gezeigten
Ausführungsform
so dargestellt, als ob sie mit dem LAN-Bus 107 über Netzwerk-Schnittstellen 111 und 115 gekoppelt
sind, die Ethernet-Netzwerk-Schnittstellen oder andere bekannte
Netzwerk-Schnittstellen sein können.
Bei einer Ausführungsform
ist der LAN-Bus 107 mit einem Überleiteinrichtungs-System 109 gekoppelt,
das Firewall- und andere Internet-bezogene Dienste für das LAN 131 bereitstellen
kann. Bei einer Ausführungsform
kann das Überleiteinrichtungs-System 109 ein übliches
Server-Computersystem oder irgendeine andere Art von Gerät sein,
unter Einschluss beispielsweise einer Extranet-Vermittlung, die
einen Zugang des LAN 131 an das Internet 119 bereitstellt.
-
3 zeigt
eine Ausführungsform
eines üblichen
Computersystems 301, das in den Computersystemen 101, 113 und 117 oder
dem Überleiteinrichtungs-System 109 nach 2 enthalten sein kann. Es
ist weiterhin zu erkennen, dass ein Computersystem 301 zur
Ausführung
vieler der Funktionen des Internet-Diensteanbieters verwendet werden kann,
wie z. B. des ISP 121, oder der Funktionen von entfernt angeordneten
und lokalen Geräten
entsprechend den Lehren der vorliegenden Erfindung. Das Computersystem 301 steht
mit den externen Systemen oder Geräten über das Modem oder die Netzwerk-Schnittstelle 319 in
Schnittstellenverbindung.
-
Obwohl Modems und Netzwerk-Schnittstellen
getrennt in 2 dargestellt
sind, wie z. B. die Modems 103 und 105 und die
Netzwerk-Schnittstellen 111 und 115, ist es erkennbar,
dass das Modem oder die Netzwerk-Schnittstelle 319 in manchen
Fällen
als Teil des Computersystems 301 betrachtet werden kann.
Diese Modem- oder
Netzwerk-Schnittstelle 319 kann ein Analog-Modem, ein ISDN-Modem,
ein Kabel-Modem, ein DSL-Modem, eine Token-Ring-Schnittstelle, eine
Ethernet-Schnittstelle, eine
Satellitenübertragungs-Schnittstelle
oder irgendeine andere Schnittstelle zum Koppeln eines Computersystems
oder Gerätes
mit anderen Computersystemen oder Geräten sein. Wie dies ebenfalls
in 3 gezeigt ist, wird
ein Trägerschwingungssignal 321 von
dem Modem oder der Netzwerk-Schnittstelle 319 für Kommunikationen
mit dem Computersystem 301 empfangen/ausgesandt.
-
Bei der in 3 gezeigten Ausführungsform schließt das Computersystem 301 einen
Prozessor 303 ein, der ein üblicher Mikroprozessor sein
kann, beispielsweise ein Mikroprozessor der Intel × 86- oder
Pentium-Familie, ein Mikroprozessor der Motorola 68K- oder Power-PC-Familie
oder dergleichen. Ein Speicher 305 ist mit dem Prozessor 303 über einen
Bus 307 gekoppelt. Der Speicher 305 kann ein dynamischer
Speicher mit Lese-/Schreibzugriff (DRAM) sein und kann einen statischen
Speicher mit wahlfreiem Zugriff (SRAM) einschließen. Der Bus 307 koppelt
den Prozessor 303 mit dem Speicher 305 und außerdem mit
einem Massenspeicher 313 und einem Anzeige-Steuergerät 309 und
dem I/O-(Eingangs-/Ausgangs-)
Steuergerät 315.
-
Der Massenspeicher 313 ist
in vielen Fällen eine
magnetische Festplatte, eine optische Platte oder irgendeine andere
Form einer Speicherung für große Datenmengen.
Einige dieser Daten können während der
Ausführung
von Software auf dem Computersystem 301 durch einen Direktspeicherzugrift
in den Speicher 305 geschrieben werden. Es ist verständlich,
dass Software außerdem über das
Modem oder die Netzwerk-Schnittstelle 319 ausgesandt oder empfangen
werden kann. Für
die Zwecke dieser Beschreibung soll der Ausdruck „computerlesbares
Medium" so aufgefasst
werden, dass er irgendein Medium einschließt, das in der Lage ist, eine
Folge von Befehlen für
die Ausführung
durch einen Prozessor zu speichern oder zu codieren, und das bewirken kann,
dass der Prozessor die Verfahrensweisen der vorliegenden Erfindung
ausführt.
Der Ausdruck „computerlesbares
Medium" soll ohne
Beschränkung Festkörper-Speicher,
optische und magnetische Platten, Trägerschwingungssignale und dergleichen
einschließen.
-
Es ist verständlich, dass das Computersystem 301 lediglich
ein Beispiel vieler möglicher
Computersysteme darstellt, die unterschiedliche Architekturen haben.
Beispielsweise haben WINTEL-Systeme, Systeme, die Intel-Mikroprozessoren
einschließen,
auf denen das Microsoft-Windows-Betriebssystem läuft, in vielen Fällen mehrfache
Busleitungen, von denen eine als periphäre Busleitung betrachtet werden
kann. In Netzwerken miteinander verbundene Computer können ebenfalls
als ein Computersystem betrachtet werden, das bei der vorliegenden
Erfindung verwendet werden kann. Netzwerk-Computer müssen nicht
notwendigerweise eine Festplatte oder einen anderen Massenspeicher 313 einschließen, sondern
die ausführbaren
Programme werden von einer Netzwerk-Verbindung in den Speicher 305 zur
Ausführung
durch den Prozessor 303 geladen. Ein typisches Computersystem
schließt üblicherweise
zumindest einen Prozessor 303, einen Speicher 305 und
einen Bus 307 zum Koppeln des Speichers 305 mit
dem Prozessor 303 ein.
-
Es ist weiterhin zu erkennen, dass
das Computersystem 301 durch Betriebssystem-Software gesteuert
ist, die ein Datei-Verwaltungssystem, wie z. B. ein Plattenbetriebssystem,
einschließt,
das einen Teil der Betriebssystem-Software bildet. Ein Beispiel
einer Betriebssystem-Software mit ihrer zugehörigen Dateiverwaltungs-Systemsoftware
ist das Betriebssystem, das als Windows bekannt ist und von der
Firma Microsoft Corporation, Redmond, Washington geliefert wird,
sowie dessen zugehöriges
Datei-Verwaltungssystem unter Einschluss des Windows-Explorers. Das Datei-Verwaltungssystem
ist typischerweise in dem Massenspeicher 313 gespeichert
und bewirkt, dass der Prozessor 303 die verschiedenen Schritte
ausführt,
die das Betriebssystem benötigt, um
Daten einzugeben und auszugeben und um einen Zugriff auf Daten in
dem Speicher auszuführen, unter
Einschluss eines Zugriffs auf Dateien in dem Massenspeicher 313.
-
Unter erneuter Bezugnahme auf die
in 2 gezeigte Ausführungsform
ist zu erkennen, dass ein Benutzer an dem Computersystem 101 in
der Lage ist, einen sicheren Fernzugriff auf das LAN 131 über eine
geschützte
Kommunikationsverbindungsstrecke über das Internet 119 auszuführen. Umgekehrt
sind Benutzer an dem LAN 131 in der Lage, einen sicheren
Fernzugriff auf das Computersystem 101 über die geschützte Internet-Kommunikationsverbindungsstrecke
auszuführen.
Bei einer Ausführungsform
verwendet die geschützte
Kommunikationsverbindungsstrecke über das Internet 119 zwischen
dem Computersystem 101 und dem Überleiteinrichtungs-System 109 das
Internet-Sicherheitszuordnungs- und Schlüsselverwaltungsprotokoll (ISAKMP)/Oakley-Protokoll
zur Sicherung von Kommunikationen. Wie dies für den Fachmann bekannt ist,
ist das ISAKMP/Oakley-Protokoll
das Schlüsselverwaltungsprotokoll,
das von der Internet Engineering-Task Force- (IETF-) Internetprotokoll-Sicherheits-
(IPSec-) Arbeitsgruppe entworfen wurde.
-
Wie dies für den Fachmann bekannt ist,
ergibt das ISAKMP/Oakley-Protokoll ein Rahmenwerk für die Authentifizierung,
die Sicherheitszuordnungs-Aushandlung und die Schlüsselverwaltung
für die
geschützte
Internet-Kommunikationsverbindungsstrecke zwischen dem Computersystem 101 und
dem Überleiteinrichtungs-System 109.
Speziell ergibt ISAKMP ein Rahmenwerk für die Authentifizierung und
den Schlüsselaustausch,
definiert sie jedoch nicht. Oakley beschreibt eine Serie von Schlüssel-Austauschvorgängen und
Einzelheiten der Dienste, die von jedem bereitgestellt werden. Bei
einer Ausführungsform
definiert das Oakley-Protokoll ein generisches Schlüsselaustauschprotokoll,
das den gut bekannten und komplizierten Diffie-Hellmen-Schlüsselaustauschalgorithmus
verwendet. Als solche ist die periodische Neuaushandlung der Schlüssel, die
zur Sicherung der geschützten
Internet-Kommunikationsverbindungsstrecke zwischen dem Computersystem 101 und
dem Überleiteinrichtungs-System 109 verwendet
wird, ein rechenaufwändiger
Vorgang.
-
Informationen, die das ISAKMP/Oakley-Protokoll
beschreiben, können
in den folgenden Internet-Entwurfs-Arbeitsdokumenten gefunden werden: Maughan
et al., „Internet
Security Association and Key Management Protocol (ISAKMP)", ftp.ietf.org/internet-drafts/draft-ietf-ipsec-isakmp-10.txt;
Orman, „The
OAKLEY Key Determination Protocol", ftp.ietf.org/internet-drafts/draft-ietf-ipsec-oakley-02.txt;
und Harkins & Carrel, „The Internet
Key Exchange (IKE)",ftp.ietf.org/internet-drafts/draftietf-ipsec-isakmp-oakley-08.txt.
-
Bei der in 2 gezeigten Ausführungsform schließt die geschützte Kommunikationsverbindungsstrecke
durch das Internet 119 einen ersten Kanal 201 und
einen zweiten Kanal 203 zwischen dem ISP 121 und
dem Überleiteinrichtungs-System 109 ein.
Als Ergebnis werden zwei geschützte
Verbindungsstrecken 213 und 215 zwischen dem Computersystem 101 und
dem Überleiteinrichtungs-System 109 gebildet.
Bei der in 2 gezeigten
Ausführungsform
wird die geschützte
Verbindungsstrecke 213 zwischen dem Computersystem 101 durch
das Modem 103, über
die Verbindung 133 zum ISP 121 und über den
Kanal 203 zum Überleiteinrichtungs-System 109 gebildet.
In ähnlicher
Weise wird die geschützte
Verbindungsstrecke 215 zwischen dem Computersystem 101 über das
Modem 103, über
die Verbindung 133 zu dem ISP 121 und über den
Kanal 203 zum Überleiteinrichtungs-System 109 gebildet.
-
Bei einer Ausführungsform übertragen die geschützte Verbindungsstrecke 215 und
der Kanal 201 Steuerverkehr, der unter anderem zur Aushandlung
und Neuaushandlung der Richtlinien/Schlüssel 211 verwendet
wird, die zur Sicherung der Kanäle 201 und 203 der
geschützten
Internet-Kommunikationsverbindungsstrecke verwendet werden. Bei
einer Ausführungsform
wird der ISAKMP/Oakley-Verkehr, der
die Richtlinien/Schlüssel 211 einschließt, in dem Kanal 201 übertragen.
In einer Ausführungsform
ist der gesamte Verkehr in dem Kanal 201 verschlüsselt und
daher geschützt.
In einer Ausführungsform
ist der Kanal 203 ebenfalls ein geschützter Kanal, und eine geschützte Verbindungsstrecke 213 mit
dem Kanal 203 überträgt geschützte Daten 205 unter
Verwendung von IPSec zwischen dem ISP 121 und dem Überleiteinrichtungs-System 109.
Bei einer Ausführungsform überträgt der Kanal 203 IPSec-Tunnel-Verkehr.
-
Gemäß einer Ausführungsform
der vorliegenden Erfindung werden, wenn die geschützte Internet-Kommunikationsverbindungsstrecke
zwischen dem Computersystem 101 und dem Überleiteinrichtungs-System 109 des
LAN 131 ausgebildet wird, die zum Schutz der Kanäle 201 und 203 verwendeten
Richtlinien/Schlüssel 211 unter
dem ISAKMP/Oakley-Protokoll ausgehandelt. In einer Ausführungsform
wird der hergestellte sichere und authentifizierte Kanal, über den
das Computersystem 101 und das Überleiteinrichtungs-System 109 über das
Internet 119 kommunizieren, als eine Sicherheitszuordnung
unter dem ISAKMP/Oakley-Protokoll bezeichnet.
Nachdem die gesicherte Internet-Kommunikationsverbindungsstrecke
aufgebaut wurde, sind das Computersystem 101 und das LAN 131 in der
Lage, in sicherer Weise zu kommunizieren. Weil die Kanäle 201 und 203 gesichert
sind, ist es für
einen Eindringling 125 äußerst schwierig,
die Kommunikation zwischen dem Computersystem 101 und dem
LAN 131 abzuhören,
zu stören
oder zu unterbrechen.
-
Bei einer Ausführungsform werden die Richtlinien/Schlüssel 211,
die unter dem ISAKMP/Oakley-Protokoll verwendet werden, periodisch
neu ausgehandelt, um die Sicherheit der geschützten Internet-Kommunikationsverbindungsstrecke
zwischen dem Computersystem 101 und dem Überleiteinrichtungs-System 109 aufrecht
zu erhalten. Bei einer Ausführungsform
werden die Richtlinien/Schlüssel 211 neu
ausgehandelt, nachdem eine vorgegebene Zeit verstrichen ist, seitdem
die Richtlinien/Schlüssel 211 zum
letzten Mal ausgehandelt wurden. In einer weiteren Ausführungsform
werden die Richtlinien/Schlüssel 211 neu
ausgehandelt, nachdem eine vorgegebene Datenmenge über die
geschützte
Internet-Kommunikationsverbindungsstrecke übertragen wurde, nachdem die
Richtlinien/Schlüssel 211 das letzte
Mal ausgehandelt wurden.
-
Wie dies weiter oben erläutert wurde,
gibt es aufgrund der Tatsache, dass der Prozess zur Festlegung der
Richtlinien/Schlüssel 211 ein
rechenaufwändiges
Verfahren ist, eine praktische Grenze, wie oft der Neuaushandlungsprozess
ausgeführt
werden kann. Wie dies für
den Fachmann verständlich
ist, liegt die Häufigkeit,
mit der der Neuaushandlungsprozess unter ISAKMP/Oakley erfolgt,
typischerweise in der Größenordnung
von lediglich einigen Malen pro Tag. Anderenfalls würden das
Computersystem 101 und/oder das Überleiteinrichtungs-System 109 übermäßig mit
der Neuberechnung der Richtlinien/Schlüssel 211 unter dem
Diffie-Hellmen-Schlüsselaustauschalgorithmus
belastet.
-
In dem Fall, in dem der entfernt
angeordnete Computer oder das entfernt angeordnete Gerät nicht auf
eine Neuverschlüsselungs-Anforderung
unter dem ISAKMP/Oakley-Protokoll anspricht, wird angenommen, dass
das entfernt angeordnete Computer-Gerät nicht mehr länger erreichbar
ist, und die geschützte
Internet-Kommunikationsverbindungsstrecke und die zugehörige Sicherheitszuordnung
unter dem ISAKMP/Oakley-Protokoll wird abgebaut.
-
Wie dies weiter oben beschrieben
wurde, führt
das Computersystem 101 einen Zugriff auf das Internet 119 über eine
Modem-Verbindung von dem Modem 103 aus. Entsprechend besteht
eine ziemlich sichere Wahrscheinlichkeit, dass die Verbindung 131 zwischen
dem Modem 103 und dem ISP 121 mit einer größeren Häufigkeit
unterbrochen wird, als dies schnell und in praktischer Weise von
dem Überleiteinrichtungs-System 109 einfach
auf der Grundlage einer Zeitablauf-Unterbrechung festgestellt werden könnte, die
nach einer ISAKMP/Oakley-Schlüsselerneuerungs-
oder Neuaushandlunganforderung auftreten würde. Tatsächlich wird, wie dies weiter
oben beschrieben wurde, der Neuaushandlungsprozess typischerweise
lediglich einige Male pro Tag ausgeführt. Leider wurde das ISAKMP/Oakley-Protokoll
ursprünglich
so entworfen, dass es Internet-Kommunikationen zwischen Systemen
schützt,
die nicht regelmäßig unterbrochen
werden. Das ISAKMP/Oakley-Protokoll wurde ursprünglich nicht für Benutzer entworfen,
die sich in Netzwerke unter Verwendung unzuverlässiger Modem-Verbindungen einloggen. Wenn
daher eine Verbindung 133 aus irgendeinem Grund in unerwarteter
Weise unterbrochen wird, und der Benutzer des Computersystems 101 versucht,
einen erneuten Zugriff auf das LAN 131 über eine gesicherte ISAKMP/Oakley-Verbindung über das
Internet 119 auszuführen,
so besteht eine Möglichkeit,
dass der Benutzer nicht in der Lage sein kann, ein erneutes Einloggen
an das LAN 131 durchzuführen,
weil das Überleiteinrichtungs-System 109 keine
Kenntnis darüber
hat, dass die vorhergehende Verbindung 133 zwischen dem
Modem 103 und dem ISP 121 unterbrochen wurde.
-
Insbesondere dürfte unter ISAKMP/Oakley das Überleiteinrichtungs-System 109 die
Sicherheitszuordnung der vorhergehenden geschützten Internet-Kommunikationsverbindungsstrecke
abgebaut haben. Entsprechend ist, wenn der Benutzer des Computers 101 lediglich
ein Recht auf eine gesicherte Verbindungsstrecke zu dem LAN 131 und
unter dem ISAKMP/Oakley-Protokoll hat, der Benutzer nicht in der
Lage, sich einzuloggen, bevor nicht die vorhergehende gesicherte
Zuordnung abgebaut wird. Unter dem ISAKMP/Oakley-Protokoll wird
die Sicherheitszuordnung jedoch nicht abgebaut, bevor nicht die
vorstehend beschriebene Zeitablauf-Unterbrechung nach der Neuaushandlungsanforderung erfolgt,
was in vielen Fällen
lediglich einige Male am Tag erfolgt.
-
In einem anderen Fall ist zu erkennen,
dass ein Router oder eine andere Hardware-Einrichtung, die in dem Internet 119 enthalten
ist, über
das die Kommunikationen zwischen dem Computersystem 101 und
dem LAN 131 übertragen
werden, ebenfalls ausfallen kann. In diesem Fall kann es sein, dass
die Verbindung 133 zwischen dem Modem 103 und
dem ISP 121 nicht in unerwarteter Weise ausgefallen ist, doch
ist dennoch das Computersystem 101 nicht von dem LAN 131 erreichbar,
und umgekehrt. Es ist verständlich,
dass in dieser Situation das Überleiteinrichtungs-System 109 ebenfalls über viele
Stunden hinweg keine Kenntnis darüber haben kann, dass das Computersystem 101 nicht
erreichbar ist, bevor nicht die vorstehend beschriebene Zeitablauf-Unterbrechung
nach der Neuaushandlungsaufforderung auftritt.
-
Um das vorstehende Problem zu berücksichtigen,
sendet eine Ausführungsform
der vorliegenden Erfindung eine geschützte Aktivhalte-Mitteilung 209 an
das entfernt angeordnete Computersystem oder Gerät von dem lokalen oder örtlichen
Computersystem oder Gerät
aus. Bei einer Ausführungsform
kann das lokale Gerät
das Computersystem 101 sein, und das entfernt angeordnete
Gerät kann
das Überleiteinrichtungs-System 109 sein.
Bei einer weiteren Ausführungsform
kann das örtliche
Gerät das Überleiteinrichtungs-System 109 sein,
und das entfernt angeordnete Gerät
kann das Computersystem 101 sein. Tatsächlich ist die vorliegende
Erfindung auf irgendeine Kombination von örtlichen und entfernt angeordneten
Geräten
anwendbar, zwischen denen es eine gesicherte Kommunikation über das
Internet gibt.
-
Bei einer Ausführungsform ist die geschützte Aktivhalte-Mitteilung
eine Mitteilung, auf die hin zwingend ein geschütztes Bestätigungssignal auszusenden ist.
Bei einer Ausführungsform,
die das ISAKMP/Oakley-Protokoll beinhaltet, ist die Aktivhalte-Mitteilung 209 eine
geschützte
ISAKMP/Oakley-Mitteilung, die von dem örtlichen Gerät an das entfernte
Gerät gesandt
wird. Bei einer Ausführungsform
ist die geschützte
ISAKMP/Oakley-Mitteilung eine Mitteilung, auf die das entfernt angeordnete
Gerät mit
einer geschützten
Bestätigungsmitteilung 207 antworten
muss. Bei einer Ausführungsform
werden die geschützte
Aktivhalte-Mitteilung 209 und die geschützte Bestätigungsmitteilung 207 über die
geschützte Verbindungsstrecke 215 und
den ersten Kanal 201 zwischen dem ISP 121 und
der Überleiteinrichtung 109 ausgesandt.
Weil die geschützte
Aktivhalte-Mitteilung 209 und die geschützte Bestätigungsmitteilung 207 unter
dem ISAKMP/Oakley-Protokoll gesichert werden, ist es verständlich,
dass es für
einen Eindringling 125 äußerst schwierig
ist, die geschützte
Aktivhalte-Mitteilung 209 und die geschützte Bestätigungsmitteilung 207 gemäß den Lehren
der vorliegenden Erfindung abzufangen oder zu manipulieren.
-
In einer Ausführungsform wird, weil das ISAKMP/Oakley-Protokoll
nicht mit einer Aktivhalte-Mitteilung realisiert wurde, ein anderer ISAKMP/Oakley-Befehl,
der kein Aktivhalte-Befehl ist, als Aktivhalte-Mitteilung 209 verwendet.
Bei einer Ausführungsform
wird eine ISAKMP/Oakley-Schnellbetriebsart-Mitteilung, die einen
ungültigen
Vorschlag und eine ungültige
Transformation einschließt,
als Aktivhalte-Mitteilung 209 gemäß den Lehren
der vorliegenden Erfindung verwendet. Bei einer Ausführungsform
wird diese Schnellbetriebsart-Mitteilung von dem örtlichen
Gerät an
das entfernt angeordnete Gerät
ausgesandt, nachdem die Kommunikationsverbindungsstrecke für eine Zeitperiode
im Leerlauf betrieben wurde. In einer Ausführungsform wird diese Aktivhalte-Mitteilung 209 von
dem örtlichen
Gerät ausgesandt,
wenn beispielsweise eine Minute abgelaufen ist, ohne dass Verkehr
an das entfernt angeordnete Gerät
gesandt oder von diesem empfangen wurde. Unter dem ISAKMP/Oakley-Protokoll
muss das entfernt angeordnete Gerät dem örtlichen Gerät dadurch
antworten, dass es eine geschützte
Bestätigungsmitteilung 207 an
das örtliche
Gerät zurücksendet.
-
In dem Fall, dass das örtliche
Gerät die
geschützte
Bestätigungsmitteilung 207 von
dem entfernt angeordneten Gerät
nicht zurück
erhält,
nachdem es die geschützte
Aktivhalte-Mitteilung 209 ausgesandt hat, wird angenommen,
dass das entfernt angeordnete Gerät nicht mehr erreichbar ist.
Wie dies weiter oben erläutert
wurde, kann dies eintreten, wenn die Modem-Verbindung zwischen dem
Modem 103 und dem ISP 121 unterbrochen wurde,
oder wenn beispielsweise ein Router oder irgendein Hardware-Bauteil
im Internet 119, das die geschützte Internet- Kommunikationsverbindungsstrecke
bereitstellt, ausfällt.
Als Ergebnis kann das örtliche
Gerät die
geschützte
Internet-Kommunikationsverbindungsstrecke zwischen dem Computer 101 und
dem Überleiteinrichtung-System 109 entsprechend
den Lehren der vorliegenden Erfindung beenden. Bei einer Ausführungsform
baut das örtliche
Gerät die
zugehörige
Sicherheitszuordnung unter dem ISAKMP/Oakley-Protokoll ab.
-
4 ist
ein Ablaufdiagramm, das Schritte zeigt, die gemäß den Lehren einer Ausführungsform der
vorliegenden Erfindung ausgeführt
werden. Es ist zu erkennen, dass die gemäß den Lehren der vorliegenden
Erfindung ausgeführten
Schritte in Software, Firmware, Hardware, usw. in den örtlichen
und entfernt angeordneten Geräten
realisiert werden können.
Der Verarbeitungsschritt 403 zeigt, dass gesicherte Kommunikationen
zwischen einem örtlichen Gerät und einem
entfernt angeordneten Gerät über erste
und zweite Kanäle
durch das Internet aufgebaut werden. Der Verarbeitungsschritt 405 zeigt,
dass die Richtlinien/Schlüssel
zwischen dem örtlichen
Gerät und
dem entfernt angeordneten Gerät
ausgehandelt oder neu ausgehandelt werden, um die gesicherten ersten
und zweiten Kanäle
zu schützen.
-
Der Verarbeitungs-Entscheidungsschritt 407 zeigt,
dass als Nächstes
festgestellt wird, ob Kommunikationen zwischen dem örtlichen
Gerät und
dem entfernten Gerät
in dem letzten N Minuten erfolgt sind. Anders ausgedrückt wird
festgestellt, ob die gesicherten Kommunikationen zwischen dem örtlichen Gerät und dem
entfernt angeordneten Gerät
in den letzten N Minuten im Leerlauf betrieben wurden. Es ist verständlich,
dass N mit einem Wert gewählt
werden kann, der es einerseits ermöglicht, dass eine unterbrochene
Verbindung zwischen dem entfernt angeordneten Gerät und dem örtlichen
Gerät in
einer relativ kurzen Zeitperiode festgestellt wird, dass jedoch
dies andererseits nicht in übermäßiger Weise die
gesicherte Kommunikationsverbindungsstrecke zwischen den örtlichen
und entfernt angeordneten Geräten
mit Aktivhalte-Verkehr belastet.
-
Wenn es Kommunikationsverkehr zwischen dem örtlichen
Gerät und
dem entfernt angeordneten Gerät
in den letzten N Minuten gab, so zeigt der Verarbeitungs-Entscheidungsschritt 409,
dass als Nächstes
festgestellt wird, ob X Kbytes zwischen dem entfernt angeordneten
Gerät und
dem örtlichen Gerät übertragen
wurden, oder ob Y Stunden abgelaufen sind, seitdem zum letzten Mal
die Richtlinien/Schlüssel
ausgehandelt wurden. Es ist zu erkennen, dass X oder Y so gewählt sind,
dass sie Werte sind, die es ermöglichen,
dass die ISAKMP/Oakley-Richtlinien/Schlüssel unter
geeigneten Intervallen aus Sicherheitsgründen geändert werden, während gleichzeitig
X und Y so gewählt
sind, dass sie Werte haben, die die entfernten und/oder örtlichen
Geräte nicht übermäßig mit
der rechenmäßig intensiven
Verarbeitung belasten, die zur Neuaushandlung der Richtlinien/Schlüssel erforderlich
ist.
-
Wenn die Bedingungen des Verarbeitungs-Entscheidungsschrittes 409 erfüllt sind,
so führt
die Verarbeitung eine Schleife zurück zum Verarbeitungsschritt 405 aus,
in dem die Richtlinien/Schlüssel
neu ausgehandelt werden, um die gesicherte Kommunikationsverbindungsstrecke
zu schützen.
Wenn die Bedingungen des Verarbeitungs-Entscheidungsschrittes 409 nicht
erfüllt
sind, so führt
die Verarbeitung eine Schleife zurück zum Verarbeitungs-Entscheidungsschritt 407 aus,
in dem erneut festgestellt wird, ob es irgendwelche Kommunikationen
zwischen dem entfernt angeordneten und örtlichen Geräten in den
letzten N Minuten gab.
-
Wenn festgestellt wird, dass es keine
Kommunikationen zwischen den örtlichen
und entfernt angeordneten Geräten
in den letzten N Minuten gab, so geht die Verarbeitung von dem Verarbeitungs-Entscheidungsschritt 407 auf
den Verarbeitungsschritt 411 über. Der Verarbeitungsschritt 411 zeigt,
dass eine geschützte
Aktivhalte-Mitteilung von dem örtlichen
Gerät an
das entfernt angeordnete Gerät über den
ersten Kanal ausgesandt wird. Wie dies weiter oben erläutert wurde,
ist die Aktivhalte-Mitteilung eine Mitteilung, auf die hin eine
geschützte
Bestätigungsmitteilung
ausgesandt werden muss. Entsprechend zeigt der Verarbeitungs-Entscheidungsschritt 413,
dass als Nächstes
festgestellt wird, ob eine geschützte
Bestätigungsmitteilung
auf die Aktivhalte-Mitteilung von dem entfernt angeordneten Gerät empfangen
wurde. Wenn dies der Fall ist, so führt die Verarbeitung eine Schleife
zurück
zum Verarbeitungs-Entscheidungsschritt 407 aus. In diesem
Fall wird angenommen, dass das entfernt angeordnete Gerät erreichbar
ist. Wenn jedoch die geschützte
Bestätigungsmitteilung
nicht empfangen wird, so verläuft
die Verarbeitung zum Verarbeitungsschritt 415, in dem gezeigt
ist, dass die gesicherte Kommunikation zwischen den örtlichen
und entfernt angeordneten Geräten
unterbrochen wird. Tatsächlich
wird, wenn die geschützte
Bestätigungsmitteilung
in dem Verarbeitungs-Entscheidungsschritt 413 nicht empfangen wird,
angenommen, dass das entfernt angeordnete Gerät von dem örtlichen Gerät aus nicht
länger
erreichbar ist.
-
Die vorstehende Erläuterung
gab vielfältige Beispiele
der vorliegenden Erfindung. Es ist verständlich, dass verschiedene Modifikationen
und Abänderungen
hieran gemacht werden können.