EP1118198A2 - Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll - Google Patents

Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll

Info

Publication number
EP1118198A2
EP1118198A2 EP99955783A EP99955783A EP1118198A2 EP 1118198 A2 EP1118198 A2 EP 1118198A2 EP 99955783 A EP99955783 A EP 99955783A EP 99955783 A EP99955783 A EP 99955783A EP 1118198 A2 EP1118198 A2 EP 1118198A2
Authority
EP
European Patent Office
Prior art keywords
internet protocol
data
format
arrangement
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP99955783A
Other languages
English (en)
French (fr)
Inventor
Oliver Pfaff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP1118198A2 publication Critical patent/EP1118198A2/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Definitions

  • IPv ⁇ As part of the international work on IPv ⁇ , it is known to develop security extensions to the Internet protocol. These security enhancements, which can also be implemented as part of the current version 4 of the Internet protocol, are known as IPsec. These are described for example in [3].
  • IP layer Internet protocol layer
  • IPv4 Internet protocol layer
  • new IPv ⁇ Internet protocol layer
  • IPsec This intermediate layer serves as a generic means to provide future IPv ⁇ transport services to applications based on the existing version 4 of the Internet protocol and thus to support their migration into the new network infrastructure.
  • 1 shows a sketch of the arrangement for coding, transmission and decoding of digital data
  • each layer is designed as a means with which the individual method steps are implemented in accordance with the communication protocol to be implemented in the respective layer.
  • a PDU 112 of the presentation layer 102 is fed to a communication control layer 103.
  • IPv4 encoded to data that are in a first Internet protocol format.
  • Imaging unit 106 i.e. the intermediate layer 106, as a transmission security layer.
  • the arrangements can be implemented both in software and in hardware, for example in a computer or in a special digital-electronic circuit adapted to the task.
  • the decoded data in the second protocol format is stored as PDU 133 of the mapping unit 124, i.e. H . supplied to the intermediate layer 124 and again subjected to imaging.
  • the image in the intermediate layer 124 is inverse with respect to the image in the intermediate layer 106 in the first arrangement 100.
  • a PDU 134 is present, which is provided by the network layer 125, which according to the
  • IPv4 Internet Protocol
  • the PDU 134 of the intermediate layer 124 becomes the network layer 125, i.e. to the first means, and decoded according to the first Internet protocol format, i.e. decapsulated.
  • a mediation layer 125 forms a PDU 135, which is fed to the transport layer 126.
  • a transport layer 126 forms a PDU 136 which is fed to the communication control layer 127.
  • the double arrows in FIG. 1 indicate the bidirectional communication between the arrangements 100, 120.
  • the invention can clearly be seen in that between the network layer with which the "old" Internet Protocol version 4 is implemented and a second network layer with which the "new" Internet protocol (IPv ⁇ , IPsec) is implemented Intermediate layer 106, 124 is provided, with which the data formats of the IPv4 protocol format are mapped to the IPv ⁇ protocol format.

Abstract

Es werden Anordnungen sowie Verfahren vorgeschlagen, mit denen es auf einfache Weise möglich ist, Applikationen, die auf dem Internet Protokoll der Version 4 basieren, auch neue Transportdienste und Sicherheitsdienste zugänglich zu machen, die in dem Internet Protokoll Version 6 bzw. dem IPsec realisiert sind. Dies erfolgt dadurch, dass eine Abbildungseinheit (106, 124) vorgesehen ist, mit denen Daten, die in einem ersten Protokollformat vorliegen (114), auf Daten abgebildet werden, die von einer zweiten Vermittlungsschicht (107) verarbeitbar sind. Die zweite Vermittlungsschicht (107) codiert die Daten (116), die von der Abbildungseinheit (106) der zweiten Vermittlungsschicht (107) zugeführt werden, derart, dass ein zweites Internet Protokollformat, z.B. IPv6, IPsec realisiert wird.

Description

Beschreibung
Anordnung und Verfahren zur Codierung und Decodierung digitaler Daten nach dem Internet Protokoll
Zur Zeit wird bei der Internet Engineering Task Force (IETF) die nächste Generation des Internet Protokolls (IP) entwik- kelt. Die nächste Generation des Internet Protokolls wird als Version 6 des Internet Protokolls (IPv6) bezeichnet. Das In- ternet Protokoll ist ein Protokoll der Netzschicht im Rahmen der OSI-Kommunikationsschichtenarchitektur (Open Systems In- terconnection) . Das Internet Protokoll ist das zentrale Element für die Verknüpfung verschiedener, autonomer Kommunikationsnetze zum weltweiten Internet.
Das Format des Internet Protokolls ist beispielsweise in [1] beschrieben.
Ein Überblick über die Version 6 des Internet Protokolls (IPv6) ist in [2] zu finden.
Im Rahmen der internationalen Arbeiten zu IPvβ ist es bekannt, Sicherheitserweiterungen zu dem Internet Protokoll zu entwickeln. Diese Sicherheitserweiterungen, die auch im Rah- men der derzeit aktuellen Version 4 des Internet Protokolls implementierbar sind, werden als IPsec bezeichnet. Diese sind beispielsweise in [3] beschrieben.
Die IPsec-Dienste verwenden in ihrem Nachrichtenformat den sog. IP-Authentication-Header, mit dem die Integrität und die Authentizität von IP-Datagrammen gesichert wird, und den sog. "IP-Encapsulating Payload", mit dem die Vertraulichkeit und die Integrität der Daten aus höheren Protokollschichten, z.B. dem User Datagram Protocol (UDP) oder dem Transport Control Protocol (TCP) im sog. "Transparent-Mode" oder von ganzen IP- Datagrammen, im sog. "Tunnel-Mode" gesichert wird. Die sog. OSI-Kommunikationsschichten sind ausführlich in [4] beschrieben sind.
Aus [5], [6], [1 ] , [8] sind sogenannten IPsec-Standards be- kannt, in denen zwei Verfahren der Zuordnung kryptographi- scher Schlüssel vorgesehen sind: Im Rahmen des sog. "Host Oriented Keying" verwenden alle Prozesse und Benutzer, die zwischen zwei Endgeräten über IPv6 bzw. über ein um IPsec erweitertes IPv4 kommunizieren, dasselbe kryptographische Schlüsselmaterial. Im Rahmen des sog. "User Oriented Keying" können verschiedenen Benutzern oder Prozessen auf den beiden Endgeräten, die miteinander kommunizieren, verschiedene kryptographische Schlüssel zugeordnet werden. Bei IPv4 werden zur Kommunikation bekannte Transportsystemschnittstellen verwen- det, beispielsweise die Berkeley Sockets, die Streams TLI, die insockets, etc. Damit jedoch Anwendungen, d.h. beliebige Programme oder Prozesse höherer Netzschichten die neuartigen Sicherheitsdienste von IPsec oder auch allgemein die neuen Dienste von IPv6 nutzen können, werden zur Zeit zu den eta- blierten Transportsystemschnittstellen Erweiterungen entwik- kelt.
Eine Internetschlüsselverwaltungskomponente (Internet Key Management Protocol, IKMP) und zugehörige Rahmenbedingungen im Internet sind in Form sogenannter Internet-Drafts in [9],
[10], [11], [12], [13], [14], [15], [16], und [17] beschrieben.
Ein erhebliches Problem besteht jedoch darin, daß bestehende Anwendungen die neuartigen Dienste, die von IPsec oder von
IPvβ zur Verfügung gestellt werden, nicht ohne weiteres nutzen können. Ohne zusätzliche Maßnahmen können bisher die neuen Dienste nicht angesprochen werden.
Aus [1] ist es bekannt, daß die Anwendungen, die die Dienste von IPvβ bzw. IPsec nutzen wollen, an die neuen Transportsystemschnittstellen angepaßt werden müssen durch Modifikation' der Applikationen. Ferner ist es aus diesem Dokument bekannt, Konfigurationsdateien zur Nutzung für die neuen Dienste zu verwenden. Dabei sind diese Konfigurationsdateien einerseits statisch sowie andererseits Bestandteile der IPsec- bzw. IPvβ-Implementierungen. Diese Konfigurationsdateien teilen einem IPsec- bzw. IPvβ-fähigen System mit, in welcher Form Transportdienste für nicht IPsec- bzw. IPvβ-fähige bestehende Applikation bereitzustellen hat. In diesen beiden Vorgehensweisen ist jedoch ein erheblicher Nachteil darin zu sehen, daß die Modifikation bereits bestehender Applikationen in Anbetracht der erheblichen Menge bestehender Applikationen nicht allgemein durchführbar ist. Ferner wird in IPsec- bzw. IPv6-Implementierungen keine Interaktion mit Anwendungen bzw. Anwendern unterstützt.
Der Erfindung liegt das Problem zugrunde ein Verfahren und eine Anordnung zur Codierung digitaler Daten gemäß dem Internet Protokoll sowie ein Verfahren und eine Anordnung zur De- codierung digitaler Daten gemäß dem Internet Protokoll anzu- geben, bei dem es auf einfache Weise möglich wird, Applikationen, die für eine ältere Version des Internet Protokolls entwickelt wurden, die neuartigen Dienste eines Internet Protokolls der neuen Generation zugänglich zu machen.
Das Problem wird durch die Anordnungen und Verfahren mit den Merkmalen gemäß den unabhängigen Patentansprüchen gelöst.
Eine Anordnung zur Codierung digitaler Daten nach dem Internet Protokoll weist ein erstes Mittel auf, mit dem die Daten gemäß dem Format eines ersten Internet Protokolls zu Daten eines ersten Internet Protokollformats codiert werden. Ferner ist eine Abbildungseinheit vorgesehen, mit der die Daten des ersten Internet Protokollformats auf Daten abgebildet werden, die von einem zweiten Mittel verarbeitet werden können, wobei mit dem zweiten Mittel die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines zweiten Internet Protokollformats codiert werden. Gemäß der Anordnung zur Decodierung digitaler Daten die in einem zweiten Internet Protokollformat vorliegen, nach dem Internet Protokoll ist ein zweites Mittel vorgesehen, mit dem die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines decodierten zweiten Internet Protokollformats decodiert werden. Weiterhin ist eine Abbildungseinheit vorgesehen, mit der die Daten des decodierten zweiten Internet Protokollformats auf Daten abgebildet werden, die von einem ersten Mittel verarbeitet werden können, wobei mit dem ersten Mittel die Daten gemäß dem Format eines ersten Internet Protokolls zu den Daten decodiert werden.
Bei einem Verfahren zur Codierung digitaler Daten nach dem Internet Protokoll werden die Daten gemäß dem Format eines ersten Internet Protokolls zu Daten eines ersten Internet Protokollformats codiert. Die Daten des ersten Internet Protokollformats werden auf Daten abgebildet, die bei einer weiteren Codierung gemäß einem zweiten Internet Protokollformat verarbeitet werden können. In einem letzten Schritt werden die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines zweiten Internet Protokollformats codiert.
Bei einem Verfahren zur Decodierung digitaler Daten, die in einem zweiten Internet Protokollformat vorliegen, nach dem Internet Protokoll werden die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines decodierten zweiten Internet Protokollformats decodiert. Ferner werden die Daten des decodierten zweiten Internet Protokollformats auf Daten abgebildet, die bei einer Decodierung gemäß einem ersten Internet Protokollformat verarbeitet werden können. Die Daten werden schließlich gemäß dem Format eines ersten Internet Protokolls zu den Daten decodiert.
Durch die Anordnung sowie durch das Verfahren wird es auf sehr einfache Weise möglich, alte Applikationen, die lediglich die Dienste des Internet Protokolls Version 4 oder alte- rer Versionen nutzen können, auch "IPsec- bzw. IPv6"-fähig zu machen. Dies bedeutet, daß durch die Anordnung bzw. durch das Verfahren es möglich wird, ohne daß die Applikationen selbst verändert werden müssen, die neuen Dienste, die durch IPsec bzw. Ipvβ, allgemein neuerer Versionen des Internet Protokolls angeboten werden, auch mit den "alten" Applikationen zu nutzen.
Anschaulich kann die Erfindung darin gesehen werden, daß in der bisherigen bekannten Architektur der OSI-
Kommunikationsschichten eine Zwischenschicht zwischen der Internet Protokollschicht (IP-Schicht) , die im Rahmen der OSI- Netzarchitektur auch als Vermittlungsschicht bezeichnet wird, eine Zwischenschicht eingefügt wird, zwischen der Vermitt- lungsschicht des "alten" IPv4 und dem "neuen" IPvβ bzw.
IPsec. Diese Zwischenschicht dient als ein generisches Mittel, um Anwendungen, die auf der bestehenden Version 4 des Internet Protokolls basieren, zukünftige Transportdienste des IPvβ bereitzustellen und damit deren Migration in die neue Netzinfrastruktur zu unterstützen.
Diese Zwischenschicht kann sowohl auf Applikationsebene als auch auf Betriebssystemebene implementiert bzw. integriert werden. Des weiteren ist es möglich, mit dieser Zwischen- schicht einen sogenannten Proxy-Dienst zu realisieren.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
Sowohl für die Anordnungen als auch für die Verfahren ist es in einer Weiterbildung vorteilhaft, daß die Abbildungseinheit eine Parameterermittlungseinheit aufweist zur Ermittlung von Parametern bzw. daß bei der Abbildung zusätzliche Parameter ermittelt werden, die zur Codierung der Daten von dem ersten Internet Protokollformat zu Daten in dem zweiten Internet Protokollformat erforderlich sind. Ferner ist es in einer Weiterbildung vorteilhaft, die Parameterermittlungseinheit nach mindestens einer der folgenden Arten auszugestalten bzw. die Parameter auf einer der folgenden Weisen zu ermitteln: - abhängig von der Anordnung selbst,
- abhängig von einem Benutzer der Anordnung,
- abhängig von einem Prozeß, der aktuell von der Anordnung durchgeführt wird, oder
- die Parameter aus einer Datenbank, zu der die Anordnung Zu- griff hat, zu ermitteln, beispielsweise aus einer lokalen Datenbank der Anordnung.
In den Figuren ist ein Ausführungsbeispiel der Erfindung dargestellt, welches im weiteren näher erläutert wird.
Es zeigen
Figur 1 eine Skizze der Anordnung zur Codierung, Übertragung sowie zur Decodierung digitaler Daten;
Figur 2 eine Skizze der Vorgehensweise bei der Abbildung von IPv4-Applikationen auf Daten für IPvβ bzw. IPsec.
In Fig.l ist eine erste Anordnung 100 zur Codierung digitaler Daten dargestellt.
Zur anschaulichen Darstellung werden im weiteren die OSI- Kommunikationsschichten im Rahmen der Beschreibung verwendet, die ausführlich in [4] beschrieben sind.
Eine Anwendung (Applikation) , vorzugsweise ein Anwendungsprogramm, die zu übertragende digitale Daten gemäß dem Internet Protokoll generiert, ist logisch in einer sog. Applikations- schicht (Application Layer) 101 angeordnet. Zwischen den einzelnen Schichten werden sog. Protokolldateneinheiten (Protocol Data Units, PDU) ausgetauscht. Die einzelnen PDUs 111 sind den einzelnen Schichten eindeutig zugeordnet.
In den einzelnen Schichten werden jeweils Codierungsvorschriften, die abhängig sind von der jeweils gewählten bekannten Realisierung der Schicht, durchgeführt..
Die Realisierung der jeweiligen Schicht kann sowohl in Software als auch in Hardware erfolgen.
Im Rahmen der Anordnung ist jeweils jede Schicht als ein Mittel ausgestaltet, mit dem die einzelnen Verfahrensschritte gemäß dem in der jeweiligen Schicht zu realisierenden Kommunikationsprotokolls realisiert werden.
Die PDUs 111 der Applikationsschicht werden einer Darstellungsschicht (Presentation Layer) 102 zugeführt.
Nach Verarbeitung der PDU 111 aus der Applikationsschicht 101 gemäß den Vorschriften der Darstellungsschicht wird eine PDU 112 der Darstellungsschicht 102 einer Kommunikationssteue- rungsschicht 103 zugeführt.
Nach Bearbeitung der PDU 112 der Darstellungsschicht 102 gemäß dem verwendeten Protokoll in der Kommunikationssteue- rungsschicht 103 wird eine PDU 113 der Kommunikationssteue- rungsschicht einer Transportschicht (Transport Layer) 104 zu- geführt.
In der Transportschicht 104 ist vorzugsweise das sog. Transport Control Protocol (TCP) oder auch das User Datagramm Protocol (UDP) realisiert. Nach Einkapselung der PDU 113 aus der Kommunikationssteuerungsschicht 103 wird von der Transportschicht 104, d.h. von dem Mittel, mit dem die Transport- Schicht realisiert wird, eine PDU 114 der Transportschicht 104 einer Vermittlungsschicht (Network Layer) 105 zugeführt.
In der Vermittlungsschicht 105 wird üblicherweise das Inter- net Protokoll (IP), entweder der Version 4 oder auch der Version 6 oder auch IPsec realisiert. Im Rahmen der Erfindung wird in der Vermittlungsschicht ein erstes Internet Protokoll realisiert, d.h. die Daten, die der Vermittlungsschicht 105 zugeführt werden in Form der PDU 114 der Transportschicht 104 werden gemäß dem Format eines ersten Internet Protokolls
(IPv4) zu Daten codiert, die in einem ersten Internet Protokollformat vorliegen.
Die Daten des ersten Internet Protokollformats werden als PDU 115 der Vermittlungsschicht 105 einer Abbildungseinheit 106, mit der eine Zwischenschicht 106 realisiert wird, zugeführt. Mit der Abbildungseinheit 106 werden die Daten, die in dem ersten Internet Protokollformat 115 vorliegen auf Daten abgebildet, die von einem zweiten Mittel, einer zweiten Vermitt- lungsschicht 107, verarbeitet werden können.
Die Daten werden in einem für die zweite Vermittlungsschicht verarbeitbaren Format in einer Zwischenschicht-PDU 116 der zweiten Vermittlungsschicht 107 zugeführt. In der zweiten Vermittlungsschicht 107, die durch ein zweites Mittel realisiert wird, werden die Daten gemäß dem Format eines zweiten Internet Protokolls (Ipv6, IPsec) zu Daten codiert, die in einem zweiten Internet Protokollformat vorliegen, die in Form einer PDU 117 des zweiten Internet Protokollformats einer Ubertragungssicherungsschicht (Data Link Layer) 108 zugeführt werden.
In der Ubertragungssicherungsschicht 108 wird eine PDU 118 der Ubertragungssicherungsschicht 108 gebildet und der Bitübertragungsschicht (Physical Connection Layer) 109 zugeführt. Die Vorgänge bei der Abbildung der PDU 115 aus der Vermittlungsschicht 105 in der Zwischenschicht 106 werden anhand von Fig.2 im weiteren näher erläutert.
Eine Anwendung, die auf dem Internet Protokoll Version 4 basiert 201 verwendet üblicherweise existierende Transportsystemschnittstellen der IPv4, z.B. Berkeley Sockets oder Stre- ams TLI . Die existierenden Transportsystemschnittstellen 202 werden von der Zwischenschicht vollständig zur Verfügung ge- stellt, d.h. für die Vermittlungsschicht 105 erscheint die
Abbildungseinheit 106, d.h. die Zwischenschicht 106, als eine Ubertragungssicherungsschicht .
Die von der Zwischenschicht 106 aufgenommene PDU 115 der Ver- mittlungsschicht 105 wird auf die neuen Transportsystemschnittstellen 203 eines zweiten Internet Protokolls (IPv6, IPsec) abgebildet. Die neuen Transportsystemschnittstellen 203 weisen eigene Sicherheitsschnittstellen 204 auf. Abhängig von den in der zweiten Vermittlungsschicht 107 realisierten Transportdiensten, beispielsweise zusätzlichen Sicherheitsdiensten, werden zusätzliche Parameter für die Codierung gemäß dem zweiten Internet Protokollformat benötigt, um diese Dienste in Anspruch nehmen zu können. Eine Übersicht über verschiedene Sicherheitsparameter, die im Rahmen von IPsec und IPv6 erforderlich sind, sind im Zusammenhang mit den jeweils vorgesehenen Verfahren für IPsec, IPv4 zur kryptogra- phischen Datensicherung in [4] beschrieben.
Im Rahmen dieser Abbildung ist es ferner vorgesehen, daß eine Internetschlüsselverwaltungskomponente (Internet Key Management Protocol, IKMP) 205 berücksichtigt bzw. integriert wird, wie sie in [9], [10], [11], [12], [13], [14], [15], [16], und [17] beschrieben ist.
Die codierten Daten werden in Form von Datenpaketen 112, die die Daten in dem zweiten Internet Protokollformat enthalten, von der ersten Anordnung 100 über eine Übertragungseinheit 110 zu einer zweiten Anordnung 120 übertragen.
Die Anordnungen können sowohl in Software als auch in Hard- wäre beispielsweise in einem Rechner oder auch in einer speziellen, auf die Aufgabe angepaßte digital-elektronischen Schaltung realisiert werden.
In der zweiten Anordnung 120 werden die Datenpakete 112 emp- fangen und einer Bitübertragungsschicht 121 der zweiten Anordnung 120 zugeführt. Nach Entkapselung gemäß dem Protokoll der Bitübertragungsschicht 121 wird eine PDU 131 der Bitübertragungsschicht 121 der Ubertragungssicherungsschicht 122 der zweiten Anordnung 120 zugeführt.
Nach weiterer Entkapselung, d.h. Decodierung in der Ubertragungssicherungsschicht 122 wird eine PDU 132 der Ubertragungssicherungsschicht 122 der zweiten Vermittlungsschicht 123 der zweiten Anordnung 120 zugeführt, in der eine Entkap- seiung entsprechend dem zweiten Internet Protokollformat, d.h. gemäß IPv6 oder IPsec durchgeführt wird. Im Rahmen dieser Decodierung wird beispielsweise auch die kryptographische Sicherung der Übertragung gemäß dem IPvβ oder IPsec durchgeführt.
Die decodierten Daten in dem zweiten Protokollformat werden als PDU 133 der Abbildungseinheit 124 , d . h . der Zwischenschicht 124 zugeführt und wiederum einer Abbildung unterzogen . Die Abbildung in der Zwischenschicht 124 ist invers be- züglich der Abbildung in der Zwischenschicht 106 in der ersten Anordnung 100.
Die für die Verarbeitung erforderlichen Parameter können auf verschiedene Arten ermittelt werden. Entsprechend der Ermitt- lung muß die Parameterermittlungseinheit der Zwischenschicht 106 , 124 ausgestaltet sein . Die zusätzlich erforderlichen Parameter können beispielsweise endsystemspezif isch, benutzer-' spezifisch oder auch prozeßspezifisch konfiguriert sein. End- systemspezifisch bedeutet in diesem Zusammenhang abhängig von der jeweils verwendeten Anordnung. Benutzerspezifisch bedeutet in diesem Zusammenhang abhängig von dem jeweiligen Benut- zer, der die Anordnung aktuell verwendet. Prozeßspezifisch bedeutet in diesem Zusammenhang abhängig von dem Prozeß, der aktuell von der Anordnung durchgeführt wird.
Die Parameter können aber auch aus z.B. lokal bereitstehenden Sicherheitspolitik-Datenbanken bzw. allgemeinen Datenbanken abgefragt oder auch interaktiv mit einem Benutzer der Anordnungen ermittelt werden.
Nach Abbildung in der Zwischenschicht 124 liegt eine PDU 134 vor, die von der Vermittlungsschicht 125, die gemäß dem
"alten" Internet Protokoll (IPv4) realisiert ist, verarbeitet werden kann. Die PDU 134 der Zwischenschicht 124 wird der Vermittlungsschicht 125, d.h. dem ersten Mittel, zugeführt, und entsprechend dem ersten Internet Protokollformat deco- diert, d.h. entkapselt.
Als Ergebnis der Entkapselung wird von der Vermittlungsschicht 125 eine PDU 135 gebildet, die der Transportschicht 126 zugeführt wird. Von der Transportschicht 126 wird eine PDU 136 gebildet, die der Kommunikationssteuerungsschicht 127 zugeführt wird.
Von der Kommunikationssteuerungsschicht 137 wird eine PDU 137 der Kommunikationssteuerungsschicht 137 der Darstellungs- Schicht 128 zugeführt. Von der Darstellungsschicht 128 wird eine PDU 138 gebildet, die der Applikationsschicht 129 zugeführt wird.
Durch die Doppelpfeile in Fig.l ist die bidirektionale Kommu- nikation zwischen den Anordnungen 100, 120 angedeutet. Im weiteren werden einige Alternativen zu den oben beschriebenen Anordnungen bzw. Verfahren dargestellt.
Sowohl die erste Anordnung 100 als auch die zweite Anordnung 120 können auch selbständig realisiert sein, ohne das Über- tragungsmedium, d.h. die Übertragungseinheit 110.
Ferner ist die Übertragungseinheit 110 derart zu verstehen, daß eine beliebige Anzahl von Routern oder Bridges vorgesehen sein können als Vermittlungseinheiten. Somit stellt die Übertragungseinheit 110 lediglich einen logischen Kanal zwischen der ersten Anordnung 100 und der zweiten Anordnung 120 dar.
Anschaulich kann die Erfindung darin gesehen werden, daß zwi- sehen der Vermittlungsschicht, mit der das "alte" Internet Protokoll der Version 4 realisiert wird und einer zweiten Vermittlungsschicht, mit der das "neue" Internet Protokoll (IPvδ, IPsec) realisiert wird, eine Zwischenschicht 106, 124 vorgesehen ist, mit der eine Abbildung der Datenformate des IPv4-Protokollformats auf das IPvβ-Protokollformat erfolgt.
In diesem Dokument sind folgende Veröffentlichtungen zitiert:
[1] R. Hinden, IP Next Generation Overview, Communications of the ACM, Vol. 39, Nr. 6, S. 61 - 71, Juni 1996
[2] D. Wagner, S. Bellovin, A "Bump in the Stack" Encryptor for MS-DOS Systems, in Proceedings of the Symposium on Network and Distributed System Security, San Diego, CA, S. 155-160, February 1996
[3] RFC 1825, Security Architecture for the Internet Protocol, R. Atkinson, Network Working Group, S. 1 - 22, August 1995
[4] A. Tanenbaum, Computer-Netzwerke, Wolfram' s Fachverlag, 2. Auflage, ISBN 3-925328-79-3, S. 17 - 24, 1992
[5] R. Atkinson, RFC 1826, IP Authentication Header, August 1995
[6] R. Atkinson, RFC 1827, IP Encapsulating Security Payload , August 1995
[7] P. Metzger & W. Simpson, RFC 1828, IP Authentication using Keyed MD5, August 1995
[8] P. Kam, P. Metzger & W. Simpson, RFC 1829, The ESP DES-CBC Transform, August 1995
[9] T. Hardjono, B. Cain, N. Doraswamy, A Framework for
Group Key Management for Multicast Security , July 98, erhältlich im Internet am 29. September 1998 unter der
Adresse: http: //www. ietf . org/html . charters/ipsec-charter .html
[10] D. Piper, The Internet IP Security Domain of Interpretation for ISAKMP, July 7, 1998, erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf. org/html . charters/ipsec-charter . html
[11] D. Maughan, M. Schertier, M. Schneider, J.. Turner, Internet Security Association and Key Management Protocol (ISAKMP) , July 3, 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf.org/html.charters/ipsec-charter.html
[12] D. Piper, A GSS-API Authentication Mode for ISAKMP/Oakley, Dece ber 18, 1997 erhältlich im Internet am 29. September 1998 unter der Adresse: http : //www. ietf . org/html . charters/ipsec-charter . html
[13] R. Pereira, S. Anand, B. Patel, The ISAKMP Configuration Method, May 13, 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www . ietf . org/html . charters/ipsec-charter. html
[14] D. Harkins, D. Carrel, The Internet Key Exchange (IKE), June 1998 erhältlich im Internet am 29. September 1998 unter der
Adresse: http: //www. ietf. org/html. charters/ipsec-charter. html
[15] B. V. Patel, M. Jeronimo, Revised SA negotiation mode for ISAKMP/Oakley, November, 1997 erhältlich im Internet am 29. September 1998 unter der
Adresse: http: //www. ietf. org/html . charters/ipsec-charter.html
[16] R. Pereira, Extended Authentication Within
ISAKMP/Oakley, May 13, 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf.org/html. charters/ipsec-charter. html
[17] R. Thayer, PKI Requirements for IP Security, 13. September 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf. org/html. charters/ipsec-charter .html

Claims

Patentansprüche
1. Anordnung zur Codierung digitaler Daten nach dem Internet Protokoll (IP), - mit einem ersten Mittel, mit dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu Daten eines ersten Internet-Protokollformats codiert werden,
- mit einer Abbildungseinheit, mit der die Daten des ersten Internet-Protokollformats auf Daten abgebildet werden, die von einem zweiten Mittel verarbeitet werden können, und
- mit dem zweiten Mittel, mit dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPv6) zu Daten eines zweiten Internet-Protokollformats codiert werden.
2. Anordnung zur Decodierung digitaler Daten, die in einem zweiten Internet-Protokollformat vorliegen, nach dem Internet Protokoll (IP),
- mit einem zweiten Mittel, mit dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPv6) zu Daten eines decodierten zweiten Internet-Protokollformats decodiert werden,
- mit einer Abbildungseinheit, mit der die Daten des decodierten zweiten Internet-Protokollformat auf Daten abgebildet werden, die von einem ersten Mittel verarbeitet werden kön- nen, und
- mit dem ersten Mittel, mit dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu den Daten decodiert werden.
3. Anordnung nach Anspruch 1 oder 2, bei der die Abbildungseinheit eine Paramterermittlungseinheit aufweist zur Ermittlung von Parametern, die zur Codierung der Daten von dem ersten Internet-Protokollformat zu Daten in dem zweiten Internet-Protokollformat erforderlich sind.
4. Anordnung nach Anspruch 3, bei der die Parameterermittlungseinheit nach mindestens einer der folgenden Arten ausgestaltet ist:
- die Parameterermittlungseinheit ist abhängig von der Anordnung selbst konfiguriert, - die Parameterermittlungseinheit ist abhängig von einem Benutzer der Anordnung konfiguriert,
- die Parameterermittlungseinheit ist abhängig von einem Prozeß, der aktuell von der Anordnung durchgeführt ■ wird, konfiguriert, oder - die Parameterermittlungseinheit ermittelt die erforderlichen Parameter aus einer Datenbank, zu der die Anordnung Zugriff hat. ,
5. Verfahren zur Codierung digitaler Daten nach dem Internet Protokoll (IP),
- bei dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu Daten eines ersten Internet- Protokollformats codiert werden,
- bei dem die Daten des ersten Internet-Protokollformats auf Daten abgebildet werden, die von einem zweiten Mittel verarbeitet werden können, und
- bei dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPvβ) zu Daten eines zweiten Internet- Protokollformats codiert werden.
6. Verfahren zur Decodierung digitaler Daten, die in einem zweiten Internet-Protokollformat vorliegen, nach dem Internet Protokoll (IP),
- bei dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPvβ) zu Daten eines decodierten zweiten Internet-Protokollformats decodiert werden,
- bei dem die Daten des decodierten zweiten Internet- Protokollformat auf Daten abgebildet werden, die von einem ersten Mittel verarbeitet werden können, und - bei dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu den Daten decodiert werden.
7. Verfahren nach Anspruch 5 oder 6, bei dem zusätzlich Parameter ermittelt werden, die zur Codierung der Daten von dem ersten Internet-Protokollformat zu Daten in dem zweiten Internet-Protokollformat erforderlich sind.
8. Verfahren nach Anspruch 7, bei dem die Parameter auf mindestens eine der folgenden Arten ermittelt werden: - die Parameter werden abhängig von der Anordnung selbst ermittelt,
- die Parameter werden abhängig von einem Benutzer der Anordnung ermittelt,
- die Parameter werden abhängig von einem Prozeß, der aktuell durchgeführt wird, ermittelt, oder
- die Parameter werden aus einer Datenbank ermittelt.
EP99955783A 1998-09-30 1999-09-23 Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll Ceased EP1118198A2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19844998 1998-09-30
DE19844998 1998-09-30
PCT/DE1999/003061 WO2000019678A2 (de) 1998-09-30 1999-09-23 Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll

Publications (1)

Publication Number Publication Date
EP1118198A2 true EP1118198A2 (de) 2001-07-25

Family

ID=7882896

Family Applications (1)

Application Number Title Priority Date Filing Date
EP99955783A Ceased EP1118198A2 (de) 1998-09-30 1999-09-23 Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll

Country Status (2)

Country Link
EP (1) EP1118198A2 (de)
WO (1) WO2000019678A2 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020196788A1 (en) * 2001-06-05 2002-12-26 Kwangwoo An System and method for using the address of internet protocol version 6
US7188365B2 (en) 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7203957B2 (en) 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7574738B2 (en) 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1773013B1 (de) * 1996-11-01 2013-05-22 Hitachi, Ltd. Kommunikationsverfahren zwischen einem IPv4-Endgerät und einem IPv6-Endgerät und IPv4-IPv6-Umwandlungsvorrichtung
JPH10154994A (ja) * 1996-11-20 1998-06-09 Sumitomo Electric Ind Ltd アドレス変換システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO0019678A3 *

Also Published As

Publication number Publication date
WO2000019678A3 (de) 2000-08-10
WO2000019678A2 (de) 2000-04-06

Similar Documents

Publication Publication Date Title
DE69533740T2 (de) TCP/IP-Kopfendekompression in X.25-Netzwerken
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60215117T2 (de) Mehrbenutzeranwendungen in multimedia-netzwerken
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE69632782T2 (de) Fernzugriffgerät und Verfahren mit dynamischer Internetprotokoll(IP)Adressenzuweisung
DE19950653B4 (de) Verfahren zum Betreiben eines Mobilfunknetzes
DE60311898T2 (de) Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen
EP0992146B1 (de) Verfahren und computersystem zur codierung einer digitalen nachricht, zur übertragung der nachricht von einer ersten computereinheit zu einer zweiten computereinheit und zur decodierung der nachricht
EP1820324B1 (de) VERFAHREN ZUR KONFIGURIERUNG EINES GERAETES MIT DHCP UEBER PPPoE
DE10316236B4 (de) Verfahren und Anordnung zur Konfiguration einer Einrichtung in einem Datennetz
WO2004071047A1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP1282280A1 (de) Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes
EP1118198A2 (de) Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll
WO2001039522A2 (de) Verfahren zum betreiben eines mobilfunknetzes
EP1378108B1 (de) Verfahren zur durchführung von überwachungsmassnahmen und auskunftsersuchen in telekommunikations - und datennetzen
EP4327506A1 (de) Verwalten von schlüsseln für eine sichere kommunikation zwischen kommunikationsteilnehmern über einen getrennten kommunikationskanal
DE10107883B4 (de) Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
EP1340353B1 (de) Verfahren zur Durchführung von Überwachungsmassnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP-Protokoll
DE102006038599B3 (de) Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung
EP2773081A1 (de) Kommunikationsgerät für ein industrielles Kommunikationsnetz und ein Verfahren zur Bereitstellung von Daten, insbesondere Dateien, in einem industriellen Kommunikationsnetz mittels File Transfer Protocol
DE10250201B4 (de) Verfahren und Vorrichtung zum Austausch von Daten mittels einer Tunnelverbindung
WO2009118289A1 (de) Verfahren zum betreiben eines kommunikationsgerätes und kommunikationsgerät hierfür
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE10244710A1 (de) Verfahren zur Protokollauswahl für eine Übermittlung von Datennpaketen
WO2020065476A1 (de) System und verfahren für einen zugriff auf daten in einem internen bereich

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20010221

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

17Q First examination report despatched

Effective date: 20040127

RBV Designated contracting states (corrected)

Designated state(s): DE FR GB NL

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20050214