EP1118198A2 - Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll - Google Patents
Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokollInfo
- Publication number
- EP1118198A2 EP1118198A2 EP99955783A EP99955783A EP1118198A2 EP 1118198 A2 EP1118198 A2 EP 1118198A2 EP 99955783 A EP99955783 A EP 99955783A EP 99955783 A EP99955783 A EP 99955783A EP 1118198 A2 EP1118198 A2 EP 1118198A2
- Authority
- EP
- European Patent Office
- Prior art keywords
- internet protocol
- data
- format
- arrangement
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Definitions
- IPv ⁇ As part of the international work on IPv ⁇ , it is known to develop security extensions to the Internet protocol. These security enhancements, which can also be implemented as part of the current version 4 of the Internet protocol, are known as IPsec. These are described for example in [3].
- IP layer Internet protocol layer
- IPv4 Internet protocol layer
- new IPv ⁇ Internet protocol layer
- IPsec This intermediate layer serves as a generic means to provide future IPv ⁇ transport services to applications based on the existing version 4 of the Internet protocol and thus to support their migration into the new network infrastructure.
- 1 shows a sketch of the arrangement for coding, transmission and decoding of digital data
- each layer is designed as a means with which the individual method steps are implemented in accordance with the communication protocol to be implemented in the respective layer.
- a PDU 112 of the presentation layer 102 is fed to a communication control layer 103.
- IPv4 encoded to data that are in a first Internet protocol format.
- Imaging unit 106 i.e. the intermediate layer 106, as a transmission security layer.
- the arrangements can be implemented both in software and in hardware, for example in a computer or in a special digital-electronic circuit adapted to the task.
- the decoded data in the second protocol format is stored as PDU 133 of the mapping unit 124, i.e. H . supplied to the intermediate layer 124 and again subjected to imaging.
- the image in the intermediate layer 124 is inverse with respect to the image in the intermediate layer 106 in the first arrangement 100.
- a PDU 134 is present, which is provided by the network layer 125, which according to the
- IPv4 Internet Protocol
- the PDU 134 of the intermediate layer 124 becomes the network layer 125, i.e. to the first means, and decoded according to the first Internet protocol format, i.e. decapsulated.
- a mediation layer 125 forms a PDU 135, which is fed to the transport layer 126.
- a transport layer 126 forms a PDU 136 which is fed to the communication control layer 127.
- the double arrows in FIG. 1 indicate the bidirectional communication between the arrangements 100, 120.
- the invention can clearly be seen in that between the network layer with which the "old" Internet Protocol version 4 is implemented and a second network layer with which the "new" Internet protocol (IPv ⁇ , IPsec) is implemented Intermediate layer 106, 124 is provided, with which the data formats of the IPv4 protocol format are mapped to the IPv ⁇ protocol format.
Abstract
Es werden Anordnungen sowie Verfahren vorgeschlagen, mit denen es auf einfache Weise möglich ist, Applikationen, die auf dem Internet Protokoll der Version 4 basieren, auch neue Transportdienste und Sicherheitsdienste zugänglich zu machen, die in dem Internet Protokoll Version 6 bzw. dem IPsec realisiert sind. Dies erfolgt dadurch, dass eine Abbildungseinheit (106, 124) vorgesehen ist, mit denen Daten, die in einem ersten Protokollformat vorliegen (114), auf Daten abgebildet werden, die von einer zweiten Vermittlungsschicht (107) verarbeitbar sind. Die zweite Vermittlungsschicht (107) codiert die Daten (116), die von der Abbildungseinheit (106) der zweiten Vermittlungsschicht (107) zugeführt werden, derart, dass ein zweites Internet Protokollformat, z.B. IPv6, IPsec realisiert wird.
Description
Beschreibung
Anordnung und Verfahren zur Codierung und Decodierung digitaler Daten nach dem Internet Protokoll
Zur Zeit wird bei der Internet Engineering Task Force (IETF) die nächste Generation des Internet Protokolls (IP) entwik- kelt. Die nächste Generation des Internet Protokolls wird als Version 6 des Internet Protokolls (IPv6) bezeichnet. Das In- ternet Protokoll ist ein Protokoll der Netzschicht im Rahmen der OSI-Kommunikationsschichtenarchitektur (Open Systems In- terconnection) . Das Internet Protokoll ist das zentrale Element für die Verknüpfung verschiedener, autonomer Kommunikationsnetze zum weltweiten Internet.
Das Format des Internet Protokolls ist beispielsweise in [1] beschrieben.
Ein Überblick über die Version 6 des Internet Protokolls (IPv6) ist in [2] zu finden.
Im Rahmen der internationalen Arbeiten zu IPvβ ist es bekannt, Sicherheitserweiterungen zu dem Internet Protokoll zu entwickeln. Diese Sicherheitserweiterungen, die auch im Rah- men der derzeit aktuellen Version 4 des Internet Protokolls implementierbar sind, werden als IPsec bezeichnet. Diese sind beispielsweise in [3] beschrieben.
Die IPsec-Dienste verwenden in ihrem Nachrichtenformat den sog. IP-Authentication-Header, mit dem die Integrität und die Authentizität von IP-Datagrammen gesichert wird, und den sog. "IP-Encapsulating Payload", mit dem die Vertraulichkeit und die Integrität der Daten aus höheren Protokollschichten, z.B. dem User Datagram Protocol (UDP) oder dem Transport Control Protocol (TCP) im sog. "Transparent-Mode" oder von ganzen IP- Datagrammen, im sog. "Tunnel-Mode" gesichert wird.
Die sog. OSI-Kommunikationsschichten sind ausführlich in [4] beschrieben sind.
Aus [5], [6], [1 ] , [8] sind sogenannten IPsec-Standards be- kannt, in denen zwei Verfahren der Zuordnung kryptographi- scher Schlüssel vorgesehen sind: Im Rahmen des sog. "Host Oriented Keying" verwenden alle Prozesse und Benutzer, die zwischen zwei Endgeräten über IPv6 bzw. über ein um IPsec erweitertes IPv4 kommunizieren, dasselbe kryptographische Schlüsselmaterial. Im Rahmen des sog. "User Oriented Keying" können verschiedenen Benutzern oder Prozessen auf den beiden Endgeräten, die miteinander kommunizieren, verschiedene kryptographische Schlüssel zugeordnet werden. Bei IPv4 werden zur Kommunikation bekannte Transportsystemschnittstellen verwen- det, beispielsweise die Berkeley Sockets, die Streams TLI, die insockets, etc. Damit jedoch Anwendungen, d.h. beliebige Programme oder Prozesse höherer Netzschichten die neuartigen Sicherheitsdienste von IPsec oder auch allgemein die neuen Dienste von IPv6 nutzen können, werden zur Zeit zu den eta- blierten Transportsystemschnittstellen Erweiterungen entwik- kelt.
Eine Internetschlüsselverwaltungskomponente (Internet Key Management Protocol, IKMP) und zugehörige Rahmenbedingungen im Internet sind in Form sogenannter Internet-Drafts in [9],
[10], [11], [12], [13], [14], [15], [16], und [17] beschrieben.
Ein erhebliches Problem besteht jedoch darin, daß bestehende Anwendungen die neuartigen Dienste, die von IPsec oder von
IPvβ zur Verfügung gestellt werden, nicht ohne weiteres nutzen können. Ohne zusätzliche Maßnahmen können bisher die neuen Dienste nicht angesprochen werden.
Aus [1] ist es bekannt, daß die Anwendungen, die die Dienste von IPvβ bzw. IPsec nutzen wollen, an die neuen Transportsystemschnittstellen angepaßt werden müssen durch Modifikation'
der Applikationen. Ferner ist es aus diesem Dokument bekannt, Konfigurationsdateien zur Nutzung für die neuen Dienste zu verwenden. Dabei sind diese Konfigurationsdateien einerseits statisch sowie andererseits Bestandteile der IPsec- bzw. IPvβ-Implementierungen. Diese Konfigurationsdateien teilen einem IPsec- bzw. IPvβ-fähigen System mit, in welcher Form Transportdienste für nicht IPsec- bzw. IPvβ-fähige bestehende Applikation bereitzustellen hat. In diesen beiden Vorgehensweisen ist jedoch ein erheblicher Nachteil darin zu sehen, daß die Modifikation bereits bestehender Applikationen in Anbetracht der erheblichen Menge bestehender Applikationen nicht allgemein durchführbar ist. Ferner wird in IPsec- bzw. IPv6-Implementierungen keine Interaktion mit Anwendungen bzw. Anwendern unterstützt.
Der Erfindung liegt das Problem zugrunde ein Verfahren und eine Anordnung zur Codierung digitaler Daten gemäß dem Internet Protokoll sowie ein Verfahren und eine Anordnung zur De- codierung digitaler Daten gemäß dem Internet Protokoll anzu- geben, bei dem es auf einfache Weise möglich wird, Applikationen, die für eine ältere Version des Internet Protokolls entwickelt wurden, die neuartigen Dienste eines Internet Protokolls der neuen Generation zugänglich zu machen.
Das Problem wird durch die Anordnungen und Verfahren mit den Merkmalen gemäß den unabhängigen Patentansprüchen gelöst.
Eine Anordnung zur Codierung digitaler Daten nach dem Internet Protokoll weist ein erstes Mittel auf, mit dem die Daten gemäß dem Format eines ersten Internet Protokolls zu Daten eines ersten Internet Protokollformats codiert werden. Ferner ist eine Abbildungseinheit vorgesehen, mit der die Daten des ersten Internet Protokollformats auf Daten abgebildet werden, die von einem zweiten Mittel verarbeitet werden können, wobei mit dem zweiten Mittel die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines zweiten Internet Protokollformats codiert werden.
Gemäß der Anordnung zur Decodierung digitaler Daten die in einem zweiten Internet Protokollformat vorliegen, nach dem Internet Protokoll ist ein zweites Mittel vorgesehen, mit dem die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines decodierten zweiten Internet Protokollformats decodiert werden. Weiterhin ist eine Abbildungseinheit vorgesehen, mit der die Daten des decodierten zweiten Internet Protokollformats auf Daten abgebildet werden, die von einem ersten Mittel verarbeitet werden können, wobei mit dem ersten Mittel die Daten gemäß dem Format eines ersten Internet Protokolls zu den Daten decodiert werden.
Bei einem Verfahren zur Codierung digitaler Daten nach dem Internet Protokoll werden die Daten gemäß dem Format eines ersten Internet Protokolls zu Daten eines ersten Internet Protokollformats codiert. Die Daten des ersten Internet Protokollformats werden auf Daten abgebildet, die bei einer weiteren Codierung gemäß einem zweiten Internet Protokollformat verarbeitet werden können. In einem letzten Schritt werden die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines zweiten Internet Protokollformats codiert.
Bei einem Verfahren zur Decodierung digitaler Daten, die in einem zweiten Internet Protokollformat vorliegen, nach dem Internet Protokoll werden die Daten gemäß dem Format eines zweiten Internet Protokolls zu Daten eines decodierten zweiten Internet Protokollformats decodiert. Ferner werden die Daten des decodierten zweiten Internet Protokollformats auf Daten abgebildet, die bei einer Decodierung gemäß einem ersten Internet Protokollformat verarbeitet werden können. Die Daten werden schließlich gemäß dem Format eines ersten Internet Protokolls zu den Daten decodiert.
Durch die Anordnung sowie durch das Verfahren wird es auf sehr einfache Weise möglich, alte Applikationen, die lediglich die Dienste des Internet Protokolls Version 4 oder alte-
rer Versionen nutzen können, auch "IPsec- bzw. IPv6"-fähig zu machen. Dies bedeutet, daß durch die Anordnung bzw. durch das Verfahren es möglich wird, ohne daß die Applikationen selbst verändert werden müssen, die neuen Dienste, die durch IPsec bzw. Ipvβ, allgemein neuerer Versionen des Internet Protokolls angeboten werden, auch mit den "alten" Applikationen zu nutzen.
Anschaulich kann die Erfindung darin gesehen werden, daß in der bisherigen bekannten Architektur der OSI-
Kommunikationsschichten eine Zwischenschicht zwischen der Internet Protokollschicht (IP-Schicht) , die im Rahmen der OSI- Netzarchitektur auch als Vermittlungsschicht bezeichnet wird, eine Zwischenschicht eingefügt wird, zwischen der Vermitt- lungsschicht des "alten" IPv4 und dem "neuen" IPvβ bzw.
IPsec. Diese Zwischenschicht dient als ein generisches Mittel, um Anwendungen, die auf der bestehenden Version 4 des Internet Protokolls basieren, zukünftige Transportdienste des IPvβ bereitzustellen und damit deren Migration in die neue Netzinfrastruktur zu unterstützen.
Diese Zwischenschicht kann sowohl auf Applikationsebene als auch auf Betriebssystemebene implementiert bzw. integriert werden. Des weiteren ist es möglich, mit dieser Zwischen- schicht einen sogenannten Proxy-Dienst zu realisieren.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
Sowohl für die Anordnungen als auch für die Verfahren ist es in einer Weiterbildung vorteilhaft, daß die Abbildungseinheit eine Parameterermittlungseinheit aufweist zur Ermittlung von Parametern bzw. daß bei der Abbildung zusätzliche Parameter ermittelt werden, die zur Codierung der Daten von dem ersten Internet Protokollformat zu Daten in dem zweiten Internet Protokollformat erforderlich sind.
Ferner ist es in einer Weiterbildung vorteilhaft, die Parameterermittlungseinheit nach mindestens einer der folgenden Arten auszugestalten bzw. die Parameter auf einer der folgenden Weisen zu ermitteln: - abhängig von der Anordnung selbst,
- abhängig von einem Benutzer der Anordnung,
- abhängig von einem Prozeß, der aktuell von der Anordnung durchgeführt wird, oder
- die Parameter aus einer Datenbank, zu der die Anordnung Zu- griff hat, zu ermitteln, beispielsweise aus einer lokalen Datenbank der Anordnung.
In den Figuren ist ein Ausführungsbeispiel der Erfindung dargestellt, welches im weiteren näher erläutert wird.
Es zeigen
Figur 1 eine Skizze der Anordnung zur Codierung, Übertragung sowie zur Decodierung digitaler Daten;
Figur 2 eine Skizze der Vorgehensweise bei der Abbildung von IPv4-Applikationen auf Daten für IPvβ bzw. IPsec.
In Fig.l ist eine erste Anordnung 100 zur Codierung digitaler Daten dargestellt.
Zur anschaulichen Darstellung werden im weiteren die OSI- Kommunikationsschichten im Rahmen der Beschreibung verwendet, die ausführlich in [4] beschrieben sind.
Eine Anwendung (Applikation) , vorzugsweise ein Anwendungsprogramm, die zu übertragende digitale Daten gemäß dem Internet Protokoll generiert, ist logisch in einer sog. Applikations- schicht (Application Layer) 101 angeordnet.
Zwischen den einzelnen Schichten werden sog. Protokolldateneinheiten (Protocol Data Units, PDU) ausgetauscht. Die einzelnen PDUs 111 sind den einzelnen Schichten eindeutig zugeordnet.
In den einzelnen Schichten werden jeweils Codierungsvorschriften, die abhängig sind von der jeweils gewählten bekannten Realisierung der Schicht, durchgeführt..
Die Realisierung der jeweiligen Schicht kann sowohl in Software als auch in Hardware erfolgen.
Im Rahmen der Anordnung ist jeweils jede Schicht als ein Mittel ausgestaltet, mit dem die einzelnen Verfahrensschritte gemäß dem in der jeweiligen Schicht zu realisierenden Kommunikationsprotokolls realisiert werden.
Die PDUs 111 der Applikationsschicht werden einer Darstellungsschicht (Presentation Layer) 102 zugeführt.
Nach Verarbeitung der PDU 111 aus der Applikationsschicht 101 gemäß den Vorschriften der Darstellungsschicht wird eine PDU 112 der Darstellungsschicht 102 einer Kommunikationssteue- rungsschicht 103 zugeführt.
Nach Bearbeitung der PDU 112 der Darstellungsschicht 102 gemäß dem verwendeten Protokoll in der Kommunikationssteue- rungsschicht 103 wird eine PDU 113 der Kommunikationssteue- rungsschicht einer Transportschicht (Transport Layer) 104 zu- geführt.
In der Transportschicht 104 ist vorzugsweise das sog. Transport Control Protocol (TCP) oder auch das User Datagramm Protocol (UDP) realisiert. Nach Einkapselung der PDU 113 aus der Kommunikationssteuerungsschicht 103 wird von der Transportschicht 104, d.h. von dem Mittel, mit dem die Transport-
Schicht realisiert wird, eine PDU 114 der Transportschicht 104 einer Vermittlungsschicht (Network Layer) 105 zugeführt.
In der Vermittlungsschicht 105 wird üblicherweise das Inter- net Protokoll (IP), entweder der Version 4 oder auch der Version 6 oder auch IPsec realisiert. Im Rahmen der Erfindung wird in der Vermittlungsschicht ein erstes Internet Protokoll realisiert, d.h. die Daten, die der Vermittlungsschicht 105 zugeführt werden in Form der PDU 114 der Transportschicht 104 werden gemäß dem Format eines ersten Internet Protokolls
(IPv4) zu Daten codiert, die in einem ersten Internet Protokollformat vorliegen.
Die Daten des ersten Internet Protokollformats werden als PDU 115 der Vermittlungsschicht 105 einer Abbildungseinheit 106, mit der eine Zwischenschicht 106 realisiert wird, zugeführt. Mit der Abbildungseinheit 106 werden die Daten, die in dem ersten Internet Protokollformat 115 vorliegen auf Daten abgebildet, die von einem zweiten Mittel, einer zweiten Vermitt- lungsschicht 107, verarbeitet werden können.
Die Daten werden in einem für die zweite Vermittlungsschicht verarbeitbaren Format in einer Zwischenschicht-PDU 116 der zweiten Vermittlungsschicht 107 zugeführt. In der zweiten Vermittlungsschicht 107, die durch ein zweites Mittel realisiert wird, werden die Daten gemäß dem Format eines zweiten Internet Protokolls (Ipv6, IPsec) zu Daten codiert, die in einem zweiten Internet Protokollformat vorliegen, die in Form einer PDU 117 des zweiten Internet Protokollformats einer Ubertragungssicherungsschicht (Data Link Layer) 108 zugeführt werden.
In der Ubertragungssicherungsschicht 108 wird eine PDU 118 der Ubertragungssicherungsschicht 108 gebildet und der Bitübertragungsschicht (Physical Connection Layer) 109 zugeführt.
Die Vorgänge bei der Abbildung der PDU 115 aus der Vermittlungsschicht 105 in der Zwischenschicht 106 werden anhand von Fig.2 im weiteren näher erläutert.
Eine Anwendung, die auf dem Internet Protokoll Version 4 basiert 201 verwendet üblicherweise existierende Transportsystemschnittstellen der IPv4, z.B. Berkeley Sockets oder Stre- ams TLI . Die existierenden Transportsystemschnittstellen 202 werden von der Zwischenschicht vollständig zur Verfügung ge- stellt, d.h. für die Vermittlungsschicht 105 erscheint die
Abbildungseinheit 106, d.h. die Zwischenschicht 106, als eine Ubertragungssicherungsschicht .
Die von der Zwischenschicht 106 aufgenommene PDU 115 der Ver- mittlungsschicht 105 wird auf die neuen Transportsystemschnittstellen 203 eines zweiten Internet Protokolls (IPv6, IPsec) abgebildet. Die neuen Transportsystemschnittstellen 203 weisen eigene Sicherheitsschnittstellen 204 auf. Abhängig von den in der zweiten Vermittlungsschicht 107 realisierten Transportdiensten, beispielsweise zusätzlichen Sicherheitsdiensten, werden zusätzliche Parameter für die Codierung gemäß dem zweiten Internet Protokollformat benötigt, um diese Dienste in Anspruch nehmen zu können. Eine Übersicht über verschiedene Sicherheitsparameter, die im Rahmen von IPsec und IPv6 erforderlich sind, sind im Zusammenhang mit den jeweils vorgesehenen Verfahren für IPsec, IPv4 zur kryptogra- phischen Datensicherung in [4] beschrieben.
Im Rahmen dieser Abbildung ist es ferner vorgesehen, daß eine Internetschlüsselverwaltungskomponente (Internet Key Management Protocol, IKMP) 205 berücksichtigt bzw. integriert wird, wie sie in [9], [10], [11], [12], [13], [14], [15], [16], und [17] beschrieben ist.
Die codierten Daten werden in Form von Datenpaketen 112, die die Daten in dem zweiten Internet Protokollformat enthalten,
von der ersten Anordnung 100 über eine Übertragungseinheit 110 zu einer zweiten Anordnung 120 übertragen.
Die Anordnungen können sowohl in Software als auch in Hard- wäre beispielsweise in einem Rechner oder auch in einer speziellen, auf die Aufgabe angepaßte digital-elektronischen Schaltung realisiert werden.
In der zweiten Anordnung 120 werden die Datenpakete 112 emp- fangen und einer Bitübertragungsschicht 121 der zweiten Anordnung 120 zugeführt. Nach Entkapselung gemäß dem Protokoll der Bitübertragungsschicht 121 wird eine PDU 131 der Bitübertragungsschicht 121 der Ubertragungssicherungsschicht 122 der zweiten Anordnung 120 zugeführt.
Nach weiterer Entkapselung, d.h. Decodierung in der Ubertragungssicherungsschicht 122 wird eine PDU 132 der Ubertragungssicherungsschicht 122 der zweiten Vermittlungsschicht 123 der zweiten Anordnung 120 zugeführt, in der eine Entkap- seiung entsprechend dem zweiten Internet Protokollformat, d.h. gemäß IPv6 oder IPsec durchgeführt wird. Im Rahmen dieser Decodierung wird beispielsweise auch die kryptographische Sicherung der Übertragung gemäß dem IPvβ oder IPsec durchgeführt.
Die decodierten Daten in dem zweiten Protokollformat werden als PDU 133 der Abbildungseinheit 124 , d . h . der Zwischenschicht 124 zugeführt und wiederum einer Abbildung unterzogen . Die Abbildung in der Zwischenschicht 124 ist invers be- züglich der Abbildung in der Zwischenschicht 106 in der ersten Anordnung 100.
Die für die Verarbeitung erforderlichen Parameter können auf verschiedene Arten ermittelt werden. Entsprechend der Ermitt- lung muß die Parameterermittlungseinheit der Zwischenschicht 106 , 124 ausgestaltet sein . Die zusätzlich erforderlichen Parameter können beispielsweise endsystemspezif isch, benutzer-'
spezifisch oder auch prozeßspezifisch konfiguriert sein. End- systemspezifisch bedeutet in diesem Zusammenhang abhängig von der jeweils verwendeten Anordnung. Benutzerspezifisch bedeutet in diesem Zusammenhang abhängig von dem jeweiligen Benut- zer, der die Anordnung aktuell verwendet. Prozeßspezifisch bedeutet in diesem Zusammenhang abhängig von dem Prozeß, der aktuell von der Anordnung durchgeführt wird.
Die Parameter können aber auch aus z.B. lokal bereitstehenden Sicherheitspolitik-Datenbanken bzw. allgemeinen Datenbanken abgefragt oder auch interaktiv mit einem Benutzer der Anordnungen ermittelt werden.
Nach Abbildung in der Zwischenschicht 124 liegt eine PDU 134 vor, die von der Vermittlungsschicht 125, die gemäß dem
"alten" Internet Protokoll (IPv4) realisiert ist, verarbeitet werden kann. Die PDU 134 der Zwischenschicht 124 wird der Vermittlungsschicht 125, d.h. dem ersten Mittel, zugeführt, und entsprechend dem ersten Internet Protokollformat deco- diert, d.h. entkapselt.
Als Ergebnis der Entkapselung wird von der Vermittlungsschicht 125 eine PDU 135 gebildet, die der Transportschicht 126 zugeführt wird. Von der Transportschicht 126 wird eine PDU 136 gebildet, die der Kommunikationssteuerungsschicht 127 zugeführt wird.
Von der Kommunikationssteuerungsschicht 137 wird eine PDU 137 der Kommunikationssteuerungsschicht 137 der Darstellungs- Schicht 128 zugeführt. Von der Darstellungsschicht 128 wird eine PDU 138 gebildet, die der Applikationsschicht 129 zugeführt wird.
Durch die Doppelpfeile in Fig.l ist die bidirektionale Kommu- nikation zwischen den Anordnungen 100, 120 angedeutet.
Im weiteren werden einige Alternativen zu den oben beschriebenen Anordnungen bzw. Verfahren dargestellt.
Sowohl die erste Anordnung 100 als auch die zweite Anordnung 120 können auch selbständig realisiert sein, ohne das Über- tragungsmedium, d.h. die Übertragungseinheit 110.
Ferner ist die Übertragungseinheit 110 derart zu verstehen, daß eine beliebige Anzahl von Routern oder Bridges vorgesehen sein können als Vermittlungseinheiten. Somit stellt die Übertragungseinheit 110 lediglich einen logischen Kanal zwischen der ersten Anordnung 100 und der zweiten Anordnung 120 dar.
Anschaulich kann die Erfindung darin gesehen werden, daß zwi- sehen der Vermittlungsschicht, mit der das "alte" Internet Protokoll der Version 4 realisiert wird und einer zweiten Vermittlungsschicht, mit der das "neue" Internet Protokoll (IPvδ, IPsec) realisiert wird, eine Zwischenschicht 106, 124 vorgesehen ist, mit der eine Abbildung der Datenformate des IPv4-Protokollformats auf das IPvβ-Protokollformat erfolgt.
In diesem Dokument sind folgende Veröffentlichtungen zitiert:
[1] R. Hinden, IP Next Generation Overview, Communications of the ACM, Vol. 39, Nr. 6, S. 61 - 71, Juni 1996
[2] D. Wagner, S. Bellovin, A "Bump in the Stack" Encryptor for MS-DOS Systems, in Proceedings of the Symposium on Network and Distributed System Security, San Diego, CA, S. 155-160, February 1996
[3] RFC 1825, Security Architecture for the Internet Protocol, R. Atkinson, Network Working Group, S. 1 - 22, August 1995
[4] A. Tanenbaum, Computer-Netzwerke, Wolfram' s Fachverlag, 2. Auflage, ISBN 3-925328-79-3, S. 17 - 24, 1992
[5] R. Atkinson, RFC 1826, IP Authentication Header, August 1995
[6] R. Atkinson, RFC 1827, IP Encapsulating Security Payload , August 1995
[7] P. Metzger & W. Simpson, RFC 1828, IP Authentication using Keyed MD5, August 1995
[8] P. Kam, P. Metzger & W. Simpson, RFC 1829, The ESP DES-CBC Transform, August 1995
[9] T. Hardjono, B. Cain, N. Doraswamy, A Framework for
Group Key Management for Multicast Security , July 98, erhältlich im Internet am 29. September 1998 unter der
Adresse: http: //www. ietf . org/html . charters/ipsec-charter .html
[10] D. Piper, The Internet IP Security Domain of Interpretation for ISAKMP, July 7, 1998,
erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf. org/html . charters/ipsec-charter . html
[11] D. Maughan, M. Schertier, M. Schneider, J.. Turner, Internet Security Association and Key Management Protocol (ISAKMP) , July 3, 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf.org/html.charters/ipsec-charter.html
[12] D. Piper, A GSS-API Authentication Mode for ISAKMP/Oakley, Dece ber 18, 1997 erhältlich im Internet am 29. September 1998 unter der Adresse: http : //www. ietf . org/html . charters/ipsec-charter . html
[13] R. Pereira, S. Anand, B. Patel, The ISAKMP Configuration Method, May 13, 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www . ietf . org/html . charters/ipsec-charter. html
[14] D. Harkins, D. Carrel, The Internet Key Exchange (IKE), June 1998 erhältlich im Internet am 29. September 1998 unter der
Adresse: http: //www. ietf. org/html. charters/ipsec-charter. html
[15] B. V. Patel, M. Jeronimo, Revised SA negotiation mode for ISAKMP/Oakley, November, 1997 erhältlich im Internet am 29. September 1998 unter der
Adresse: http: //www. ietf. org/html . charters/ipsec-charter.html
[16] R. Pereira, Extended Authentication Within
ISAKMP/Oakley, May 13, 1998
erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf.org/html. charters/ipsec-charter. html
[17] R. Thayer, PKI Requirements for IP Security, 13. September 1998 erhältlich im Internet am 29. September 1998 unter der Adresse: http: //www. ietf. org/html. charters/ipsec-charter .html
Claims
1. Anordnung zur Codierung digitaler Daten nach dem Internet Protokoll (IP), - mit einem ersten Mittel, mit dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu Daten eines ersten Internet-Protokollformats codiert werden,
- mit einer Abbildungseinheit, mit der die Daten des ersten Internet-Protokollformats auf Daten abgebildet werden, die von einem zweiten Mittel verarbeitet werden können, und
- mit dem zweiten Mittel, mit dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPv6) zu Daten eines zweiten Internet-Protokollformats codiert werden.
2. Anordnung zur Decodierung digitaler Daten, die in einem zweiten Internet-Protokollformat vorliegen, nach dem Internet Protokoll (IP),
- mit einem zweiten Mittel, mit dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPv6) zu Daten eines decodierten zweiten Internet-Protokollformats decodiert werden,
- mit einer Abbildungseinheit, mit der die Daten des decodierten zweiten Internet-Protokollformat auf Daten abgebildet werden, die von einem ersten Mittel verarbeitet werden kön- nen, und
- mit dem ersten Mittel, mit dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu den Daten decodiert werden.
3. Anordnung nach Anspruch 1 oder 2, bei der die Abbildungseinheit eine Paramterermittlungseinheit aufweist zur Ermittlung von Parametern, die zur Codierung der Daten von dem ersten Internet-Protokollformat zu Daten in dem zweiten Internet-Protokollformat erforderlich sind.
4. Anordnung nach Anspruch 3, bei der die Parameterermittlungseinheit nach mindestens einer der folgenden Arten ausgestaltet ist:
- die Parameterermittlungseinheit ist abhängig von der Anordnung selbst konfiguriert, - die Parameterermittlungseinheit ist abhängig von einem Benutzer der Anordnung konfiguriert,
- die Parameterermittlungseinheit ist abhängig von einem Prozeß, der aktuell von der Anordnung durchgeführt ■ wird, konfiguriert, oder - die Parameterermittlungseinheit ermittelt die erforderlichen Parameter aus einer Datenbank, zu der die Anordnung Zugriff hat. ,
5. Verfahren zur Codierung digitaler Daten nach dem Internet Protokoll (IP),
- bei dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu Daten eines ersten Internet- Protokollformats codiert werden,
- bei dem die Daten des ersten Internet-Protokollformats auf Daten abgebildet werden, die von einem zweiten Mittel verarbeitet werden können, und
- bei dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPvβ) zu Daten eines zweiten Internet- Protokollformats codiert werden.
6. Verfahren zur Decodierung digitaler Daten, die in einem zweiten Internet-Protokollformat vorliegen, nach dem Internet Protokoll (IP),
- bei dem die Daten gemäß dem Format eines zweiten Internet Protokolls (IPvβ) zu Daten eines decodierten zweiten Internet-Protokollformats decodiert werden,
- bei dem die Daten des decodierten zweiten Internet- Protokollformat auf Daten abgebildet werden, die von einem ersten Mittel verarbeitet werden können, und - bei dem die Daten gemäß dem Format eines ersten Internet Protokolls (IPv4) zu den Daten decodiert werden.
7. Verfahren nach Anspruch 5 oder 6, bei dem zusätzlich Parameter ermittelt werden, die zur Codierung der Daten von dem ersten Internet-Protokollformat zu Daten in dem zweiten Internet-Protokollformat erforderlich sind.
8. Verfahren nach Anspruch 7, bei dem die Parameter auf mindestens eine der folgenden Arten ermittelt werden: - die Parameter werden abhängig von der Anordnung selbst ermittelt,
- die Parameter werden abhängig von einem Benutzer der Anordnung ermittelt,
- die Parameter werden abhängig von einem Prozeß, der aktuell durchgeführt wird, ermittelt, oder
- die Parameter werden aus einer Datenbank ermittelt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19844998 | 1998-09-30 | ||
DE19844998 | 1998-09-30 | ||
PCT/DE1999/003061 WO2000019678A2 (de) | 1998-09-30 | 1999-09-23 | Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll |
Publications (1)
Publication Number | Publication Date |
---|---|
EP1118198A2 true EP1118198A2 (de) | 2001-07-25 |
Family
ID=7882896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP99955783A Ceased EP1118198A2 (de) | 1998-09-30 | 1999-09-23 | Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP1118198A2 (de) |
WO (1) | WO2000019678A2 (de) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020196788A1 (en) * | 2001-06-05 | 2002-12-26 | Kwangwoo An | System and method for using the address of internet protocol version 6 |
US7188365B2 (en) | 2002-04-04 | 2007-03-06 | At&T Corp. | Method and system for securely scanning network traffic |
US7203957B2 (en) | 2002-04-04 | 2007-04-10 | At&T Corp. | Multipoint server for providing secure, scaleable connections between a plurality of network devices |
US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1773013B1 (de) * | 1996-11-01 | 2013-05-22 | Hitachi, Ltd. | Kommunikationsverfahren zwischen einem IPv4-Endgerät und einem IPv6-Endgerät und IPv4-IPv6-Umwandlungsvorrichtung |
JPH10154994A (ja) * | 1996-11-20 | 1998-06-09 | Sumitomo Electric Ind Ltd | アドレス変換システム |
-
1999
- 1999-09-23 WO PCT/DE1999/003061 patent/WO2000019678A2/de not_active Application Discontinuation
- 1999-09-23 EP EP99955783A patent/EP1118198A2/de not_active Ceased
Non-Patent Citations (1)
Title |
---|
See references of WO0019678A3 * |
Also Published As
Publication number | Publication date |
---|---|
WO2000019678A3 (de) | 2000-08-10 |
WO2000019678A2 (de) | 2000-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69533740T2 (de) | TCP/IP-Kopfendekompression in X.25-Netzwerken | |
DE60212289T2 (de) | Verwaltung privater virtueller Netze (VPN) | |
DE60215117T2 (de) | Mehrbenutzeranwendungen in multimedia-netzwerken | |
DE10052312B4 (de) | Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze | |
DE69632782T2 (de) | Fernzugriffgerät und Verfahren mit dynamischer Internetprotokoll(IP)Adressenzuweisung | |
DE19950653B4 (de) | Verfahren zum Betreiben eines Mobilfunknetzes | |
DE60311898T2 (de) | Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen | |
EP0992146B1 (de) | Verfahren und computersystem zur codierung einer digitalen nachricht, zur übertragung der nachricht von einer ersten computereinheit zu einer zweiten computereinheit und zur decodierung der nachricht | |
EP1820324B1 (de) | VERFAHREN ZUR KONFIGURIERUNG EINES GERAETES MIT DHCP UEBER PPPoE | |
DE10316236B4 (de) | Verfahren und Anordnung zur Konfiguration einer Einrichtung in einem Datennetz | |
WO2004071047A1 (de) | Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium | |
EP1282280A1 (de) | Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes | |
EP1118198A2 (de) | Anordnung und verfahren zur codierung und decodierung digitaler daten nach dem internet protokoll | |
WO2001039522A2 (de) | Verfahren zum betreiben eines mobilfunknetzes | |
EP1378108B1 (de) | Verfahren zur durchführung von überwachungsmassnahmen und auskunftsersuchen in telekommunikations - und datennetzen | |
EP4327506A1 (de) | Verwalten von schlüsseln für eine sichere kommunikation zwischen kommunikationsteilnehmern über einen getrennten kommunikationskanal | |
DE10107883B4 (de) | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem | |
EP1340353B1 (de) | Verfahren zur Durchführung von Überwachungsmassnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP-Protokoll | |
DE102006038599B3 (de) | Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung | |
EP2773081A1 (de) | Kommunikationsgerät für ein industrielles Kommunikationsnetz und ein Verfahren zur Bereitstellung von Daten, insbesondere Dateien, in einem industriellen Kommunikationsnetz mittels File Transfer Protocol | |
DE10250201B4 (de) | Verfahren und Vorrichtung zum Austausch von Daten mittels einer Tunnelverbindung | |
WO2009118289A1 (de) | Verfahren zum betreiben eines kommunikationsgerätes und kommunikationsgerät hierfür | |
EP1496665B1 (de) | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz | |
DE10244710A1 (de) | Verfahren zur Protokollauswahl für eine Übermittlung von Datennpaketen | |
WO2020065476A1 (de) | System und verfahren für einen zugriff auf daten in einem internen bereich |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
17P | Request for examination filed |
Effective date: 20010221 |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE |
|
17Q | First examination report despatched |
Effective date: 20040127 |
|
RBV | Designated contracting states (corrected) |
Designated state(s): DE FR GB NL |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED |
|
18R | Application refused |
Effective date: 20050214 |