DE69837201T2 - Gerät zur realisierrung von virtuellen privatnetzen - Google Patents

Gerät zur realisierrung von virtuellen privatnetzen Download PDF

Info

Publication number
DE69837201T2
DE69837201T2 DE69837201T DE69837201T DE69837201T2 DE 69837201 T2 DE69837201 T2 DE 69837201T2 DE 69837201 T DE69837201 T DE 69837201T DE 69837201 T DE69837201 T DE 69837201T DE 69837201 T2 DE69837201 T2 DE 69837201T2
Authority
DE
Germany
Prior art keywords
virtual private
private network
network unit
data packets
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69837201T
Other languages
English (en)
Other versions
DE69837201D1 (de
Inventor
Sidney A. Los Altos GILBRECH
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
VPNet Technologies Inc
Original Assignee
VPNet Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25362958&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69837201(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by VPNet Technologies Inc filed Critical VPNet Technologies Inc
Publication of DE69837201D1 publication Critical patent/DE69837201D1/de
Application granted granted Critical
Publication of DE69837201T2 publication Critical patent/DE69837201T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/04Protocols for data compression, e.g. ROHC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Spezifische Information
  • Die vorliegende Erfindung ist auf die unter der Anmeldenummer 08/874,090 mit dem Titel „Architektur für virtuelle Privatnetze" beschriebene, auf den Rechtsnachfolger der vorliegenden Erfindung übertragene und gleichzeitig hiermit eingereichte US-Patentanmeldung bezogen, die der am 29.03.2000 veröffentlichten EP 0 988 735 A entspricht.
  • 2. Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf das Gebiet der Datenfernübertragung. Insbesondere bezieht sich die vorliegende Erfindung auf Verfahrenstechniken für die Einrichtung sicherer virtueller Privatnetze über öffentliche oder in anderer Hinsicht unsichere Datenübertragungsinfrastrukturen, nämlich ein Verfahren gemäß dem Oberbegriff des Anspruches 1. Ein derartiges Verfahren ist aus der WO-A-97/00471 bekannt.
  • 3. Hintergrund
  • In den letzten Jahren pflegten sich Organisationen stark auf die Fähigkeit zu verlassen, elektronische Daten zwischen Mitgliedern der Organisation zu übertragen. Zu solchen Daten gehören typischerweise elektronische Post und gemeinsame Dateinutzung oder Dateitransfer. In einer zentralisierten Einzelstandortorganisation werden diese Übertragungen elektronischer Daten ganz allgemein durch ein Ortsnetz (LAN) unterstützt, das von dem einzelnen Unternehmen eingerichtet und betrieben wird.
  • Das Verhindern von unbefugtem Zugriff auf Daten, die das LAN eines Unternehmens durchlaufen, ist relativ einfach. Dies gilt sowohl für unbefugte Zugriffe durch Mitglieder des Unternehmens als auch noch bedeutender für Dritte von außerhalb. Solange eine intelligente Netzverwaltung gepflegt wird, sind unbefugte Zugriffe auf Daten, die das interne LAN eines Unternehmens durchlaufen, relativ leicht zu vermeiden. Erst wenn das Unternehmen Filialstandorte umspannt, werden Sicherheitsbedrohungen von außen zu einer größeren Sorge.
  • Für dezentralisierte Unternehmen, die die Annehmlichkeiten der oben beschriebenen elektronischen Datenübertragungen wünschen, gibt es mehrere gegenwärtig vorhandene Optionen, aber jede mit zugehörigen Nachteilen. Die erste Möglichkeit ist die gegenseitige Verbindung der Büros oder verschiedenen Standorte mit reservierten oder privaten Kommunikationsverbindungen, die oft als Standleitungen bezeichnet werden. Dies ist die herkömmliche Methode, die Organisationen benutzen, um ein Fernnetz (WAN) einzurichten. Die Nachteile der Einrichtung eines firmeneigenen und überwachten WAN sind offensichtlich: sie sind teuer, aufwendig und häufig nicht ausgelastet, wenn sie zur Verarbeitung der Spitzenkapazitätsanforderungen des Unternehmens erstellt sind. Der offensichtliche Vorteil dieser Lösung ist, dass die Leitungen für den Gebrauch durch das Unternehmen reserviert und deshalb sicher oder einigermaßen sicher vor Spionage oder Fälschung durch Zwischenvermittler sind.
  • Eine Alternative zur Verwendung reservierter Datenübertragungsleitungen in einem Fernnetz ist für ein Unternehmen die Handhabung der Datenverteilung zwischen den Standorten über den aufkommenden öffentlichen Netzraum. In den letzten Jahren ist das Internet von einem Werkzeug primär für Wissenschaftler und Akademiker zu einem Schaltwerk für globale Kommunikationstechnik mit weitreichender geschäftlicher Tragweite geworden. Das Internet liefert elektronische Kommunikationswege zwischen Millionen von Computern durch Verbinden der verschiedenen Netzwerke, auf denen sich diese Computer befinden. Es ist alltäglich, ja sogar Routine, für Unternehmen geworden, selbst solche auf nicht technischen Gebieten, zumindest für einen Teil der Rechner innerhalb des Unternehmens Internetzugriff bereitzustellen. Für viele Geschäftsbetriebe erleichtert dies die Kommunikation mit Kunden, potentiellen Geschäftspartnern sowie den verteilten Mitgliedern der Organisation.
  • Dezentralisierte Unternehmen haben herausgefunden, dass das Internet ein bequemes Werkzeug zur Bereitstellung elektronischer Kommunikation zwischen Mitgliedern des Unternehmens ist. Zum Beispiel können zwei entfernte Standorte innerhalb des Unternehmens sich jeweils über einen örtlichen Internetdienstanbieter (ISP) mit dem Internet verbinden. Dies versetzt die verschiedenen Mitglieder des Unternehmens in die Lage, mit anderen Standorten im Internet einschließlich derer innerhalb ihrer eigenen Organisation zu kommunizieren. Der einschränkende Nachteil der Benutzung des Internet für unternehmensinterne Kommunikation ist, dass das Internet ein öffentlicher Netzraum ist. Der Leitweg, auf dem der Datenaustausch von einem Punkt zum anderen stattfindet, kann auf Paketbasis variieren und ist weitgehend unbestimmt. Ferner sind die Datenprotokolle zur Übertragung von Informationen über die verschiedenen Netzwerke des Internet umfassend bekannt und machen die elektronische Kommunikationstechnik anfällig für Abfangen und Spionage mit Paketen, die an den meisten Zwischenetappen repliziert werden. Noch größere Bedenken erheben sich, wenn erkannt wird, dass Übertragungen unterwegs von Betrügern verändert oder sogar initiiert werden können. Bei diesen verwirrenden Risiken sind die meisten Unternehmen nicht gewillt, ihre eigene und vertrauliche interne Kommunikation der Bloßlegung des öffentlichen Netzraums zu unterwerfen. Für viele Organisationen ist es heute alltäglich, nicht nur an jedem Standort Internetzugriff zur Verfügung zu haben, sondern auch die bestehenden reservierten Kommunikationswege für die interne Unternehmenskommunikation mit allen begleitenden oben beschriebenen Nachteilen beizubehalten.
  • Zwar wurden verschiedene Chiffrierungs- und andere Schutzmechanismen für Datenfernübertragung entwickelt, keiner davon spricht aber die erhobenen Bedenken umfassend und angemessen an, um es einem Unternehmen zu erlauben, sich für eine sichere unternehmensinterne Datenfernübertragung wirklich auf den öffentlichen Netzraum zu verlassen. Es wäre wünschenswert und ist deshalb eine Aufgabe der vorliegenden Erfindung, solche Techniken bereitzustellen, die es dem dezentralisierten Unternehmen erlauben würden, sich für unternehmensinterne Kommunikation einzig auf den öffentlichen Netzraum zu verlassen, ohne Bedenken wegen Sicherheitsrisiken, wie sie gegenwärtig bestehen.
  • Die WO 97/00471 offenbart eine virtuelle Privatnetzeinheit gemäß dem Oberbegriff des Anspruches 1.
  • WESEN DER ERFINDUNG
  • Aus dem Vorstehenden wird ersichtlich, dass es wünschenswert und vorteilhaft wäre, Protokolle und Architektur zu entwickeln, um es einer einzelnen Organisation oder einem einzelnen Unternehmen zu erlauben, sich für sichere organisationsinterne elektronische Datenfernübertragung auf den öffentlichen Netzraum zu verlassen. Die vorliegende Erfindung ist daher auf Protokolle und Architektur zur Implementierung sicherer virtueller Privatnetze über das Internet oder andere öffentliche Netzvorrichtungen gerichtet. Die Architektur der vorliegenden Erfindung führt eine Standort-Schutzeinrichtung oder virtuelle Privatnetz-(VPN-)Einheit ein, welche die Datenfernübertragung zwischen Mitgliedern einer definierten VPN-Gruppe moderiert. In Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung befindet sich die Standort-Schutzeinrichtung auf der WAN-Seite des Routers des Standorts oder der Leitvorrichtung, die zur Verbindung des Unternehmensstandorts mit dem Internet verwendet wird. In alternativen Ausführungsformen befindet sich die Standort-Schutzeinrichtung auf der LAN-Seite des Routers. Der wesentliche Punkt bei allen Ausführungsformen ist, dass es die Standort-Schutzeinrichtung auf dem Weg jedes einzelnen relevanten Datenverkehrs gibt.
  • Zur Sicherstellung einer sicheren Datenfernübertragung zwischen Mitgliedern derselben VPN-Gruppe implementiert die Standort-Schutzeinrichtung oder VPN-Einheit eine Kombination von Verfahrenstechniken zur Datenpakethandhabung, wenn Pakete zwischen Mitgliedern der Gruppe gesendet werden sollen. Die Pakethandhabungsverfahren schließen verschiedene Komprimierungs-, Chiffrierungs- und Beglaubigungskombinationen ein, deren einzelne Regeln für Mitglieder verschiedener Gruppen variieren können. Für jede als virtuelles Privatnetz definierte Gruppe werden die verschiedenen Parameter zur Definition von Komprimierung, Chiffrierung und Beglaubigung in Nachschlagetabellen in den zugeordneten VPN-Einheiten gepflegt. Die Nachschlagetabellen unterhalten Informationen nicht nur für Mitglieder der Gruppe mit fester Adresse, sondern bieten auch entfernten Klienten Unterstützung. Diese Fähigkeit gestattet es entfernten Benutzern, sich bei einem örtlichen Internetdienstanbieter einzuwählen und trotzdem die Mitgliedschaft in einer virtuellen Privatnetzgruppe für sichere Kommunikation über das Internet mit anderen Mitgliedern der Gruppe aufrechtzuerhalten. Im Falle eines entfernten Klienten kann die Standort-Schutzeinrichtung in einer Ausführungsform durch Software simuliert werden, die bei dem entfernten Klienten läuft.
  • Gemäß anderen Aspekten der vorliegenden Erfindung können die VPN-Einheiten oder Standort-Schutzeinrichtungen dynamisch konfiguriert sein, um der virtuellen Privatnetzgruppe Mitglieder hinzuzufügen oder davon abzuziehen oder deren Bewegung zu erkennen oder andere die Gruppe beeinflussende Parameter zu verändern. Zu verschiedenen anderen Pakethandhabungsaspekten der Erfindung gehört das Ansprechen des Problems, dass einige Datenpakete durch das Einschließen von Chiffrierungs- und Beglaubigungsinformationen zu groß werden. Ein anderer Pakethandhabungsaspekt stellt eine Einrichtung für Internetkommunikation bereit, die Informationen zur Identifizierung von Ursprung und Bestimmungsort des Datenpakets verbirgt. Gemäß diesem Aspekt der vorliegenden Erfindung werden die VPN-Einheiten als Sender und Empfänger für die Internetkommunikation-Datenpakete behandelt, wobei die VPN-Einheiten die Sender- und Empfangsadressen der Endstationen einkapseln.
  • Es wird auch eine Hardware-Architektur und -Realisierung für eine VPN-Einheit offenbart. Diese Ausführungsform ist derart ausgelegt, dass sie ihren Platz auf der WAN-Seite des Routers eines gegebenen Standorts hat. In der dargestellten Ausführungsform ist zur Ausführung der Prozesse des VPN-Gerätes zur Komprimierung, Chiffrierung und Beglaubigung unter der Leitung eines Mikroprozessors eine Kombination aus Computer-Hardware und -Software vorgesehen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden detaillierten Beschreibung offensichtlich werden, in der:
  • 1 eine Konfiguration des Standes der Technik für eine beispielhafte unternehmensinterne Kommunikationsarchitektur eines Unternehmens darstellt;
  • 2 ein Unternehmenskommunikationsszenario in Übereinstimmung mit der vorliegenden Erfindung unter Verwendung des Internet oder eines anderen öffentlichen Netzraums als Medium zur Beförderung von Nachrichten zwischen Mitgliedern eines virtuellen Privatnetzes darstellt;
  • 3 ein Ablaufdiagramm zur Handhabung eines Paketes darstellt, das von einem Mitglied einer virtuellen Privatnetzgruppe über das Internet zu einem anderen Mitglied übertragen wird;
  • 4 die Handhabung eines Datenpaketes darstellt, das von einem Mitglied einer virtuellen Privatnetzgruppe über das Internet von einem anderen Mitglied empfangen wird;
  • 5 die Lebensdauer eines Datenpaketes graphisch darstellt, das von einem Mitglied einer virtuellen Privatnetzgruppe über das Internet an ein anderes gesendet wird;
  • 6 eine alternative Lebensdauer eines Datenpaketes darstellt, das von einem Mitglied einer virtuellen Privatnetzgruppe über das Internet an ein anderes gesendet wird, wo die Sender- und Empfangsadressen der Gruppenmitglieder ebenfalls verdeckt sind;
  • 7 ein Architekturblockdiagramm für eine Realisierung einer virtuellen Privatnetzeinheit in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung darstellt;
  • 8 ein detaillierteres Blockdiagramm für eine Realisierung einer virtuellen Privatnetzeinheit in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung darstellt.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Es wird eine virtuelle Privatnetzeinheit zur Einrichtung sicherer virtueller Privatnetze für Unternehmenskommunikation über das Internet oder anderen öffentlichen Netzraum offenbart. Obwohl die vorliegende Erfindung vorwiegend bezogen auf die Verwendung des Internet als Kommunikationsmedium beschrieben wird, sind die Konzepte und Methoden breit genug gefasst, um die Einrichtung sicherer virtueller Privatnetze über andere öffentliche oder unsichere Kommunikationsmedien zu bewerkstelligen. Durch die ganze detaillierte Beschreibung hindurch werden zahlreiche spezifische Einzelheiten dargelegt, wie z. B. spezielle Chiffrierungs- oder Schlüsselverwaltungsprotokolle, um für ein gründliches Verständnis der vorliegenden Erfindung zu sorgen. Für den Fachmann wird jedoch verständlich sein, dass die vorliegende Erfindung ohne solche spezifische Einzelheiten ausgeführt werden kann. In anderen Beispielen sind hinlänglich bekannte Steuerstrukturen und Gerätekomponenten nicht im Einzelnen gezeigt worden, um die vorliegende Erfindung nicht zu verschleiern.
  • In vielen Beispielen sind durch die vorliegende Erfindung realisierte Komponenten auf einer architektonischen, funktionellen Ebene beschrieben. Viele der Elemente können unter Verwendung hinlänglich bekannter Strukturen konfiguriert werden, insbesondere jene, die als verschiedene Komprimierungs- oder Chiffrierungstechniken betreffend bezeichnet sind. Zum Einschließen von Logik in der Vorrichtung der vorliegenden Erfindung sind zusätzlich Funktionalität und Ablaufdiagramme auf eine solche Art und Weise beschrieben, dass der Durchschnittsfachmann in der Lage sein wird, die speziellen Verfahren ohne übermäßiges Experimentieren zu realisieren. Es sollte ferner verständlich sein, dass die Verfahrenstechniken der vorliegenden Erfindung unter Verwendung vieler verschiedener Technologien realisiert werden können. Zum Beispiel kann die hierin weiter zu beschreibende virtuelle Privatnetzeinheit oder Standort-Schutzeinrichtung in Software realisiert sein, die auf einer Rechnervorrichtung läuft, oder in Hardware realisiert sein, die entweder von einer Kombination von Mikroprozessoren Gebrauch macht oder von anderen speziell entworfenen, anmeldungsspezifischen integrierten Schaltkreisen, programmierbaren Logikvorrichtungen oder verschiedenen Kombinationen davon. Fachleuten wird verständlich sein, dass die vorliegende Erfindung nicht auf irgendeine spezielle Implementierungstechnik beschränkt ist, und wenn die mit diesen Komponenten auszuführende Funktionalität einmal beschrieben ist, wird der Durchschnittsfachmann in der Lage sein, die Erfindung ohne übermäßiges Experimentieren mit verschiedenen Technologien zu realisieren.
  • Es wird nun auf 1 Bezug genommen, wo ein herkömmliches Szenario für unternehmensinterne Datenfernübertragung für eine dezentralisierte Organisation gezeigt ist. In dieser Illustration einer beispielhaften Organisationsstruktur besteht das Unternehmen aus einem Zentralenstandort 105 mit Nebenstandorten oder Zweigstellen 110 bzw. 112. In modernen Organisationen wie der beispielhaften Organisation gemäß 1 können der Zentralensitz 105 sowie die Zweigstellensitze 110 und 112 jeweils eine zahlreiche Belegschaft umfassen, von denen viele mit Computern oder Arbeitsstationen mit Netzzugang ausgestattet sind. Die internen Netzarchitekturen an der Zentrale für Zweigstellen können viele Formen annehmen, darunter ein oder mehrere Ortsnetze (LANs). Für die zwischenstandörtliche Kommunikation zwischen der Zentrale und den Zweigstellen können reservierte oder gemietete Kommunikationsleitungen 115 und 120 vorgesehen sein. Darüber hinaus kann ein optionaler reservierter Kommunikationsweg 125 zwischen den Zweigstellen 110 und 112 vorgesehen sein. Als Alternative zu der optionalen reservierten Kommunikationsleitung 125 zwischen den Zweigstellen können Datenpakete zwischen der Zweigstelle 110 und der Zweigstelle 112 durch die Zentralennetzeinrichtung hindurchgeleitet werden.
  • Neben den reservierten Kommunikationsleitungen zwischen der Zentrale und den verschiedenen Zweigstellen ist es heute alltäglich, Computerbenutzern innerhalb einer Organisation Zugriff auf das Internet für elektronische Post an externe Teilnehmer sowie zur Vornahme verschiedener Arten von Recherche über das Internet unter Verwendung solcher Instrumente wie das World Wide Web etc. zur Verfügung zu stellen. In 1 ist das übliche Szenario gezeigt, wo der Zentralensitz 105 und die Zweigstellen 110 und 112 jeweils separat mit einem Direktzugriff auf Internetdienstanbieter 130, 133 bzw. 136 ausgestattet sind. Dies erleichtert den Benutzern an den verschiedenen Standorten den Zugriff auf das Internet für obige Zwecke. In einer alternativen Struktur kann es sein, dass nur der Zentralensitz 105 mit einem Zugriff auf einen Internetdienstanbieter 130 ausgestattet ist und dass Benutzer der Computer der Zweigstellensitze 110 und 112 über ihre reservierten Kommunikationswege 115 und 120 durch die Zentrale mit dem Internet verbunden werden. Der Nachteil dieser alternativen Konfiguration ist, dass sie die Bandbreitenauslastung auf den reservierten Leitungen erheblich steigert, vielleicht bis zum Sättigungspunkt. Ein Vorteil ist, dass nur ein Netzverbindungsrechner zum Internet für die Organisation vorgesehen sein braucht, was die Durchsetzung von Sicherheitsbeschränkungen bei Verbindungen zur Außenwelt vereinfacht.
  • In der beispielhaften Organisation 100 ist ferner gezeigt, dass es unter gewissen Umständen erwünscht sein kann, Kunden oder anderen Geschäftspartnern die direkte Einwahl in das Rechnernetz der Organisation zu erlauben. In 1 ist dargestellt, dass der Kunde 140 tatsächlich einen derartigen Informationsaustausch über einen Kommunikationsweg 145 ausführen kann, der eine Standleitung sein kann, die für die Annehmlichkeit des Kunden zwischen dem Kunden und der Organisation vorgesehen sein kann. Der Weg 145 kann auch eine Wählleitung sein, die der Kunde vielleicht nur sporadisch benutzt. In Einklang mit der aufkommenden Nutzung des Internet und seiner Beliebtheit ist gezeigt, dass der Kunde 140 durch ISP 148 seine eigene Internetverbindung besitzt.
  • Schließlich ist in 1 gezeigt, dass es für andere Mitglieder des Unternehmens, die vielleicht unterwegs sind oder von zu Hause oder an anderen entfernten Orten arbeiten, häufig wünschenswert ist, Daten mit anderen Mitgliedern des Unternehmens auszutauschen. Daher sind Fernklienten 150 und 155 gezeigt, die über Telefonfernleitungen 157 und 158 mit der Zentrale kommunizieren. Dieses Beispiel nimmt an, dass die Fernklienten sich an einem wirklich von der Zentrale entfernten Ort befinden. Die Fernklienten 150 und 155 sind ferner jeweils mit örtlichem Zugriff auf das Internet durch örtliche ISP 160 und 165 gezeigt.
  • Die obige Beschreibung einer Unternehmens-Datenkommunikationsarchitektur gemäß 1 stellt die im vorstehenden Abschnitt beschriebenen Nachteile dar. Diese Nachteile werden beseitigt durch Realisierung der vorliegenden Erfindung, wie mit Bezug auf 2 allgemein dargestellt. In der in 2 dargestellten Betriebsnetz-Kommunikationsarchitektur 200 sind die Zentrale 105, erste Zweigstelle 110 und zweite Zweigstelle 112 der Organisation auf detailliertere logische Art dargestellt als in 1 präsentiert. So ist die Zentrale 105 mit drei Endstationen 201, 202 und 203 dargestellt, die jeweils zur Übertragung von Datenpaketen über ein Ortsnetz (LAN) 205 angeschlossen sind. Gleicherweise ist der Zweigstellensitz 110 mit einer Vielzahl von Endstationen 211, 212 und 213 gezeigt, die jeweils zur lokalen Übertragung von Daten über ein LAN 215 angeschlossen sind. Schließlich ist der zweite Zweigstellensitz 112 mit einer illustrativen Zusammenstellung von Rechnerstationen 221, 222 und 223 gezeigt, die zur Kommunikation über ein LAN 225 verbunden sind. Der Kundensitz 140 ist in 2 ferner als eine Vielzahl von durch 331 und 332 dargestellten Computern umfassend dargestellt, die zur Kommunikation über ein LAN 235 des Kunden angeschlossen sind. Die zur Datenfernübertragung innerhalb der Zentralen-, Kunden- und Zweigstellensitze verwendeten Ortsnetze können einer breiten Vielfalt von Netzprotokollen folgen, von denen Ethernet und Token Ring die am weitesten verbreiteten sind.
  • Wie aus 2 ersichtlich ist, wurden die reservierten Kommunikationsleitungen zwischen dem Zentralensitz 105 und den Zweigstellensitzen 110 und 112 sowie zwischen dem Zentralensitz 105 und dem Kundensitz 140 ausgeschaltet. Stattdessen soll die Datenfernübertragung zwischen Mitgliedern der Organisation in Übereinstimmung mit der vorliegenden Erfindung über das Internet oder anderen öffentlichen Netzraum ausgeführt werden. Für die Zwecke der vorliegenden Erfindung wird angenommen, dass es das weithin aufkommende Internet ist, das das Medium für Datenpaketübertragungen zwischen Mitgliedern der Organisation ist.
  • Jedes der in 2 dargestellten LANs für die einzelnen Standorte ist letztlich durch eine zugeordnete Leitweglenkungs- oder Konzentratorvorrichtung, die als Router 240, 242, 244 bzw. 246 gekennzeichnet sind, zum Internet 250 durchgeschaltet. Es sollte verständlich sein, dass zwischen den verschiedenen in 200 dargestellten Standorten transportierte Datenpakete in vielen Fällen auf dem Weg zwischen dem Sender- und dem Empfangsstandort für die Pakete eine Vielzahl von zusätzlichen Leitweglenkungsvorrichtungen durchlaufen. Die Techniken für Datenpaketübertragungen über das Internet sind hinlänglich bekannt und werden hierin nicht in großer Einzelheit beschrieben. Es versteht sich von selbst, dass die Datenpakete in Übereinstimmung mit dem Internetprotokoll (IP) zusammengesetzt sind und hierin als IP-Pakete bezeichnet werden, ungeachtet der gegenwärtig gültigen Version des Internetprotokolls. Im Falle der in 2 dargestellten Fernklienten 150 und 155 versteht es sich von selbst, dass diese Datenübertragungs-Software benutzen, um sich bei einem örtlichen Internetdienstanbieter einzuwählen, der selbst die notwendigen Netzverbindungsrechner für die Kommunikation über das Internet 250 bereitstellt.
  • Wie oben beschrieben wurde, erforderten frühere Bemühungen, das Internet für eine sichere Datenfernübertragung zu nutzen, Bewusstsein oder Realisierung von Sicherheitsüberlegungen an den Endstationen. Dies ist von Nachteil, wenn Transparenz für einen Endbenutzer erwünscht ist. Die vorliegende Erfindung ist andererseits transparent für Endbenutzer, wobei die Datenfernübertragung über das Internet genauso vor sich geht, wie sie sich vorher zeigte. Bei Benutzern, die als Mitglieder desselben virtuellen Privatnetzes identifiziert werden, wird die Datenfernübertragung jedoch auf eine Art und Weise gehandhabt, die Sicherheit und Unversehrtheit der Datenpakete gewährleistet. In 2 sind zwischen dem Internet 250 und jedem der jeweiligen Router 240, 242, 244 und 246 virtuelle Privatnetzeinheiten (VPN-Einheiten; VPNUs) 250, 252, 254 und 256 dargestellt. In Übereinstimmung mit der speziellen dargestellten Ausführungsform der vorliegenden Erfindung liegen die VPN-Einheiten zwischen einem Router des Standorts und dem Weg zum Internet. Es sollte verständlich sein, dass diese Platzierung von VPN-Einheiten in der Gesamtsystemarchitektur nur eine Unterbringungswahl repräsentiert. Aus dem noch folgenden Stoff wird deutlich werden, dass der Knackpunkt im Hinblick auf die VPNU-Platzierung darin besteht, dass sie auf dem Datenverkehrsweg liegen. In vielen Ausführungsformen kann es sich tatsächlich als wünschenswert erweisen, die VPNU auf der LAN-Seite des Routers eines Standorts unterzubringen. Wie nachstehend noch näher beschrieben wird, unterhalten die VPN-Einheiten Nachschlagetabellen zur Identifikation der Mitglieder spezifischer virtueller Privatnetzgruppen.
  • Wenn ein Datenpaket zwischen Sender- und Empfangsadressen gesendet wird, die beide Mitglieder derselben VPN-Gruppe sind, verarbeitet die VPN-Einheit das Datenpaket von der Sendeseite auf eine Weise, um sicherzustellen, dass es chiffriert, beglaubigt und ggf. komprimiert wurde. Gleicherweise erkennt die den Standort bedienende VPN-Einheit, wo die Empfangsadresse gelegen ist, dass ein Paket zwischen Mitgliedern derselben VPN-Gruppe übertragen wird. Die empfangende VPN-Einheit erledigt den Dechiffrierungs- und Beglaubigungsprozess des Paketes, bevor sie es zur Empfangsendstation übermittelt. Auf diese Weise wird eine sichere Datenfernübertragung zwischen Endbenutzern auf eine Art und Weise bewirkt, die für die Endbenutzer transparent ist. Im Falle von Fernklienten 150 und 155 kann die VPN-Einheit in Software simuliert werden, die in Verbindung mit der Datenübertragungs-Software operiert, um den Fernklienten mit dem zugeordneten örtlichen Internetdienstanbieter zu verbinden.
  • Die Funktionalität der VPN-Einheiten wird nun mit Bezug auf die folgenden Figuren beginnend mit dem Flussdiagramm von 3 beschrieben. Wenn ein Datenpaket von einer Endstation stammt, wie z. B. der Endstation 202 des LAN 205 am Standort 105, und sein Ziel an einem entfernten Standort liegt, der ein anderer ist als der Zentralensitz 105, wird es anfangs als gewöhnliche Internet-Datenpaketübertragung behandelt. Das Paket geht von der Endstation 202 über das LAN 205 weiter zur Leitweglenkungsvorrichtung 240, die das Datenpaket in Übereinstimmung mit dem Internetprotokoll einkapselt und ein abgehendes IP-Paket bildet. Auf seinem Weg von dem Standort weg passiert das IP-Paket die zugeordnete VPN-Einheit für den Standort. Das in 3 dargestellte Flussdiagramm zeigt die funktionelle Wirkungsweise einer VPN-Einheit für ein abgehendes Paket, das dadurch empfangen wird. Das Paketübertragungsverfahren 300 beginnt, wenn das abgehende Datenpaket bei Schritt 310 an der VPN-Einheit empfangen wird. Am Auswahlblock 320 wird bestimmt, ob die Sender- und die Empfangsadresse für das Datenpaket beide Elemente derselben VPN-Gruppe sind oder nicht. Diese Bestimmung kann mit Bezug auf Nachschlagetabellen, die von den VPN-Einheiten unterhalten werden, oder mit Bezug auf andere Speichermechanismen vorgenommen werden. Dieser Schritt kann als Mitgliederfilterung für Datenpakete angenommen werden, die zwischen dem Einzelstandort und der diesen bedienenden VPN-Einheit übertragen werden. Wenn der Sender und die Empfangsadresse für das Datenpaket nicht beide Mitglieder derselben VPN-Gruppe sind, dann wird das Paket bei Schritt 330 als gewöhnlicher Internetverkehr von dem Standort an das Internet übermittelt, als ob die VPN-Einheit nicht involviert wäre. In diesem Fall endet das Verfahren bei Schritt 335. In einer alternativen Ausführungsform kann es wünschenswert sein, nicht von einem Mitglied für ein anderes einer VPN-Gruppe bestimmten Datenverkehr lieber abzulegen als ihn als unsicheren Verkehr weiterzuleiten. In einer anderen alternativen Ausführungsform kann die Bereitstellung der Option wünschenswert sein, Nicht-VPN-Gruppen-Datenverkehr entweder weiterzugeben oder abzulegen.
  • Wenn am Auswahlblock 320, dem Mitgliederfilter, bestimmt wird, dass sowohl die Sender- als auch die Empfangsadresse für das Datenpaket Elemente derselben VPN-Gruppe sind, dann wird das Datenpaket bei Schritt 340 verarbeitet und verschiedenen Kombinationen von Komprimierung, Chiffrierung und Beglaubigung unterzogen. Die von der VPN-Einheit 250 und allen VPN-Einheiten gepflegten Nachschlagetabellen weisen neben der Identifizierung von Mitgliedern bestimmter VPN-Gruppen auch aus, ob zwischen Mitgliedern der bestimmten VPN-Gruppe übertragene Datenpakete komprimiert werden sollen oder nicht und wenn ja, welcher Algorithmus für die Komprimierung verwendet werden soll. Viele mögliche Komprimierungsalgorithmen sind hinlänglich bekannt, aber in einer Ausführungsform der Erfindung wird die LZW-Komprimierung ausgeführt. Die Nachschlagetabelle für die VPN-Gruppe, zu der die Sender- und die Empfangsadresse als Elemente gehören, identifiziert auch den speziellen Chiffrierungsalgorithmus, der für Datenpakete zu verwenden ist, die das Internet für diese VPN-Gruppe durchlaufen, sowie die dadurch zu verwendenden Beglaubigungs- und Schlüsselverwaltungsprotokoll-Informationen. Als Alternative zu Nachschlagetabellen kann die VPN-Einheit so programmiert sein, dass sie immer dieselben Algorithmen für alle VPN-Gruppen verwendet.
  • Die speziellen Paketverarbeitungsalgorithmen, die für den VPN-Verkehr zu verwenden sind, können variieren, solange die Nachschlagetabellen sowohl in der sendenden als auch der empfangenden VPN-Einheit dieselben Komprimierungs-, Chiffrierungs- und Beglaubigungsregeln anlegen und in der Lage sind, sie für Mitglieder derselben Gruppe zu implementieren und zu deimplementieren. Es sollte verständlich sein, dass eine einzelne VPN-Einheit mehrfache VPN-Gruppen bedienen kann und dass bestimmte Adressen Elemente mehrfacher Gruppen sein können. So wird bei Schritt 340 ein Paket, das von einem Mitglied der VPN-Gruppe für ein anderes bestimmt ist, gemäß den in den Tabellen der VPN-Einheit ausgewiesenen Komprimierungs-, Chiffrierungs- und Beglaubigungsregeln für diese spezielle VPN-Gruppe verarbeitet. Bei Schritt 350 wird das verarbeitete Paket dann über das Internet zur Empfangsadresse übermittelt. Der Befehlsteil der sendenden VPN-Einheit endet dann bei Schritt 355.
  • Die entgegennehmende VPN-Einheit kehrt die obigen Abläufe für den VPN-Verkehr um, wie durch das Flussdiagramm gemäß 4 dargestellt. Das Paketempfangsverfahren 400 beginnt bei Schritt 410, wenn an der entgegennehmenden VPN-Einheit ein ankommendes Datenpaket aus dem Internet empfangen wird. Am Auswahlblock 420 wird das ankommende Datenpaket geprüft, um zu bestimmen, ob die Sender- und die Empfangsadresse des Datenpaketes beide Elemente derselben VPN-Gruppe sind. Es wird angenommen, dass die von allen VPN-Einheiten gepflegten Nachschlagetabellen sowohl konsistent als auch kohärent sind. Wenn bestimmt wird, dass das ankommende Datenpaket kein VPN-Verkehr ist, dann wird das Paket bei Schritt 430 durchgelassen und zum Empfangsstandort übermittelt, als ob es normaler Internetdatenverkehr wäre. In diesem Fall endet der Prozess bei Schritt 435. In einer alternativen Ausführungsform kann es wünschenswert sein, ankommenden Datenverkehr abzulegen, der nicht von einem identifizierten Mitglied einer VPN-Gruppe kommt, die von der VPNU unterstützt wird.
  • Bei Datenpaketen, die am Auswahlblock 420 als VPN-Verkehr bestimmt werden, verarbeitet die VPN-Einheit das ankommende Paket zur Wiederherstellung des Originaldatenpaketes, wie es von der Senderendstation bereitgestellt wurde. Die von der entgegennehmenden VPN-Einheit unterhaltene Nachschlagetabelle identifiziert dann die für die VPN-Gruppe verwendeten Komprimierungs-, Chiffrierungs- und Beglaubigungsregeln und rekonstruiert das ursprüngliche IP-Paket in Übereinstimmung mit diesen Regeln bei Schritt 440. Bei 450 wird das rekonstruierte Paket dann zum Standort der Empfangsadresse geliefert, und bei Schritt 455 endet das Verfahren.
  • 5 stellt die Lebensdauer des zwischen zwei Mitgliedern derselben VPN-Gruppe gesendeten Datenpaketes graphisch dar. Das Datenpaket stammt von einem Sender 500 und breitet sich von dem Senderstandort über seinen zugeordneten Router aus, um ein IP-Datenpaket 510 zu erzeugen. Das Datenpaket 510 ist nicht dazu gedacht, alle Gebiete darzustellen, die mit einem vollständigen IP-Datenpaket verbunden sind, zeigt aber die für diese Erörterung relevanten Abschnitte einschließlich der Empfangsadresse, Senderadresse und Nutzlastinformationen des Paketes. Das Datenpaket 510 wird dann von der VPN-Einheit geprüft, die bestimmt, ob das Datenpaket Verkehr zwischen Mitgliedern einer identifizierten VPN-Gruppe ist. Die VPN-Einheit 520 verarbeitet das Paket in Übereinstimmung mit den oben im Hinblick auf 3 beschriebenen Paketverarbeitungsverfahren, wobei das resultierende Paket als Paket 530 dargestellt ist. Das Paket 530 weist immer noch die Empfangs- und Senderadressen des Datenpaketes aus, aber der Rest des Paketes ist chiffriert und ggf. komprimiert.
  • Im Anschluss an die Verarbeitung durch die abgebende VPN-Einheit wird das Datenpaket über das Internet zu 550 übertragen, wobei die Empfangs- und Senderinformationen den zugeordneten Routern des Internet den Weg weisen, den das Paket letztlich nehmen sollte, um seinen Bestimmungsort zu erreichen. Das Paket taucht am Rand des Zielstandorts als Datenpaket 540 aus dem Internet auf und ist im Wesentlichen identisch mit dem Datenpaket 530. Das Paket wird von der entgegennehmenden VPN-Einheit 550 "rückverarbeitet", die das ursprüngliche Paket in seiner Form 560 wiederherstellt, um es über den dem Empfangsstandort zugeordneten Router am Bestimmungsort 570 an den letzten Bestimmungsort zu liefern.
  • Wie oben beschrieben wurde, unterstützt die Lösung der vorliegenden Erfindung für virtuelle Privatnetze nicht nur eine optionale Komprimierung von Datenpaketen, sondern auch Chiffrierungs- und Beglaubigungstechniken. Ein hervortretender Standard für Schlüssel verwaltung in Verbindung mit Internetprotokoll-Datenübertragungen mit Beglaubigung wird als einfache Schlüsselverwaltung für Internetprotokolle (SKIP) bezeichnet und ist in dem auf Sun Microsystems, Inc., Mountain View, CA übertragenen US-Patent 5,588,060 beschrieben. Beglaubigte Datenübertragungen unter Verwendung von SKIP unterstützen ein Datenübertragungsverfahren, auf das als Tunnelmodus Bezug genommen wird. Die oben beschriebene Datenübertragung im Hinblick auf 5 stellt ein Transportbetriebsverfahren dar, in dem die Daten- und Senderadressen freigelegt sind, wenn das Datenpaket das Internet durchläuft. Im Tunnelmodus kann eine zusätzliche Sicherheitsmaßnahme vorgesehen sein, bei der das gesamte Datenpaket in ein anderes Paket eingekapselt wird, das die Sender- und Empfangsadressen nur für die VPN-Einheiten ausweist. Dies hält die letzten Sender- und Empfangsadressen unterwegs geheim.
  • 6 stellt die Lebensdauer eines Datenpaketes dar, das von einem Sender 600 unter Verwendung des Tunnelmodus zu einem Bestimmungsort 670 übertragen wird. In diesem Betriebsmodus wird das Datenpaket 610 durch eine abgebende VPN-Einheit 620 verarbeitet, die ein resultierendes Paket 630 erzeugt. Das resultierende Paket 630 chiffriert und komprimiert (ggf.) nicht nur die Datennutzlast des Paketes, sondern auch die Empfangs- und Senderadressen der Endstationen. Das eingekapselte Paket wird dann mit einer zusätzlichen Anfangskennung versehen, die ausweist, dass der Sender des Paketes die abgebende VPN-Einheit 620 ist und dass der Bestimmungsort die annehmende VPN-Einheit 650 ist. Demnach ist das Paket 640, das aus dem Internet auftaucht, im Hinblick auf seine Sender- und Adressinformationen sowie die eingekapselte Nutzlast identisch mit dem Paket 630. Das Paket wird von der annehmenden VPN-Einheit 650 zerlegt, um das ursprüngliche Datenpaket bei 660 zur Lieferung an den Bestimmungsort 670 zu rekonstruieren.
  • Die Gesamtarchitektur der vorliegenden Erfindung ist widerstandsfähig. Sie gestattet Endbenutzern die Annehmlichkeit, dass ihre ganz persönliche Datenfernübertragung über einen öffentlichen Netzraum wie das Internet vonstatten geht. Die Architektur der vorliegenden Erfindung ermöglicht ferner die Implementierung einer breiten Vielfalt von Komprimierungs-, Chiffrierungs- und Beglaubigungstechnologien, solange die VPN-Einheiten an jedem Ende der Transaktion die zugeordneten Protokolle unterstützen. Die vorliegende Erfindung ist ferner zur Zusammenarbeit mit herkömmlichen Internetsicherheitstechniken wie Firmen-Firewalls geeignet. Eine Firewall könnte in Reihe geschaltet mit der VPN-Einheit an einem gegebenen Standort in Betrieb sein oder intelligent in einem Einzelkasten mit der VPN-Einheit konfiguriert sein, um parallele Firewall- und VPN-Einheit-Sicherheitsfunktionen bereitzustellen.
  • Architektur für eine virtuelle Privatnetzeinheit
  • Die obige Erörterung bezieht sich auf die Funktionalität zur Realisierung virtueller Privatnetze. Es wird nun eine Hardware-Architektur und Realisierung für eine virtuelle Privatnetzeinheit in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung beschrieben. Es wird nun auf 7 Bezug genommen, wo ein allgemeines Blockdiagramm für eine virtuelle Privatnetzeinheit 700 dargestellt ist. Die allgemeine Architektur der VPN-Einheit 700 ist im Wesentlichen die einer maßgeschneiderten Personalcomputer-(PC-) Geräte-Architektur. Der Gesamtbetrieb der VPN-Einheit 700 wird durch eine zentrale Verarbeitungseinheit (CPU) 705 gesteuert, die zur Kommunikation mit den anderen Komponenten der Vorrichtung über einen Gerätebus 710 angeschlossen ist. In der für die VPN-Einheit 700 dargestellten allgemeinen Architektur ist die Speichervorrichtung 720 ferner als auf dem Gerätebus 710 befindlich dargestellt. Der Durchschnittsfachmann wird selbstverständlich erkennen, dass verschiedene Speicherkonfigurationen realisiert werden können, von denen einige einen reservierten Speicherbus für einen Durchsatz mit höherer Geschwindigkeit an die Speichervorrichtung 720 einschließen können.
  • Die VPN-Einheit 700 ist als Zwischenbaustein zwischen dem privaten Ortsnetz eines Standorts und dem Internet oder anderen öffentlichen Netzraum ausgelegt. Demzufolge ist die VPN-Einheit 700 so dargestellt, dass sie eine Ein-Ausgabe-Steuereinheit 730 zum Anschluss der VPN-Einheit 700 an das Internet oder anderen öffentlichen Netzraum aufweist. In ähnlicher Weise ist eine Ein-Ausgabe-Steuereinheit 740 zum Anschluss der VPN-Einheit 700 an den Randrouter des Standorts vorgesehen. In Übereinstimmung mit den oben beschriebenen Funktionsvoraussetzungen befindet sich die VPN-Einheit 700 zwischen dem Router des Standorts und dem Internet. In dieser Ausführung ist die Ein-Ausgabe-Steuereinheit 740 für Datenpaketübertragungen zwischen dem Router für den Standort und der VPN-Einheit 700 verantwortlich. In einer alternativen Ausführungsform der vorliegenden Erfindung kann die VPN-Einheit 700 zwischen dem privaten Ortsnetz eines Standorts und seinem Router angeordnet sein, in welchem Fall die Ein-Ausgabe-Steuereinheit 730 für Datenpaketübertragungen zwischen der VPN-Einheit 700 und dem Router verantwortlich wäre, während die Ein-Ausgabe-Steuereinheit 740 gewissermaßen die Schnittstelle der VPN-Einheit zu dem privaten Ortsnetz wäre. In dieser alternativen Ausführungsform müssten Datenpaketübertragungen wahrscheinlich eher in Übereinstimmung mit dem Netzprotokollstandard des privaten Ortsnetzes als mit den oben beschriebenen IP-Übertragungen des öffentlichen Netzraums gehandhabt werden. In jedem Fall stellt die allgemeine Architektur für die VPN-Einheit 700 dar, dass die zwei Ein-Ausgabe-Steuereinheiten 730 und 740 zur Kommunikation über den Gerätebus 710 durch eine Ein- Ausgabe-Steuerlogik 750 angeschlossen sind. In Übereinstimmung mit dieser Architektur ist die Ein-Ausgabe-Steuerlogik 750 dafür verantwortlich, über den Zugang ankommender und abgehender Datenpakete zu dem Gerätebus zu entscheiden und den notwendigen Durchsatz für die Datenverbindungen zu gewährleisten.
  • Wie bereits beschrieben, erfolgt bei Erhalt eines Datenpaketes an der VPN-Einheit 700, ob abgehend oder eingehend, eine Bestimmung durch Prüfen des Datenkopfes des Datenpaketes dahingehend, ob sowohl die Ursprungs- als auch die Empfangsadresse Mitglieder derselben VPN-Gruppe repräsentieren oder nicht. Bei einer Ausführungsform erfordert die Bestimmung die Abfrage einer Nachschlagetabelle, welche die Identitäten der verschiedenen, von der VPN-Einheit 700 verwalteten VPN-Gruppen sowie der Gruppenmitglieder und der verschiedenen Verarbeitungsparameter für Datenpakete pflegt, die zwischen Gruppenmitgliedern ausgetauscht werden. In Übereinstimmung mit der allgemeinen Architektur der VPN-Einheit 700 kann diese Abfrage von der CPU 705 mit Bezug auf Nachschlagetabellen gehandhabt werden, die in der Speichervorrichtung 720 unterhalten würden.
  • Für Datenpakete, die als zwischen Mitgliedern einer unterstützten VPN-Gruppe gesendete Pakete zu verarbeiten sind, ist beschrieben worden, dass für solche Daten Komprimierungs- und Dekomprimierungsfunktionen sowie Chiffrierungs- und Dechiffrierungsfunktionen durchgeführt werden müssen. Demzufolge schließt die Architektur der VPN-Einheit 700 ein Komprimierungsmodul 760 ein, das zur Kommunikation mit dem Rest des Gerätes über den Gerätebus 710 angeschlossen ist, sowie ein Chiffrierungsmodul 770, das gleichermaßen an den Gerätebus 710 angeschlossen ist. Bei Hilfsfunktionen wie die oben beschriebenen verschiedenen Schlüsselverwaltungsprotokolle, die zur Generierung von Paket-Einkapselungsdatenköpfen führen, kann die Verarbeitung von der CPU 705 ausgeführt werden, wobei Pakete in der CPU 705 oder an spezifizierten Speicherstellen in der Speichervorrichtung 720 zusammengesetzt werden. Alternativ kann die Logik in die VPN-Einheit 700 integriert sein, die speziell zur Unterstützung solcher Schlüsselverwaltungsprotokolle oder anderer Paketverarbeitungsoperationen ausgelegt ist.
  • Schließlich ist in der Architektur der VPN-Einheit 700 gezeigt, dass optionale Ein-Ausgabe-Vorrichtungen 780 über die Ein-Ausgabe-Steuerlogik 790 mit der VPN-Einheit 700 verbunden sein können. Dies kann die Leitung der Einheit entweder durch Zulassen des direkten Tastaturzugriffs zur Steuerung des Prozessors erleichtern oder einen Verbindungsweg für andere Kommunikationseinrichtungen bereitstellen, die vielleicht mit der VPN-Einheit 700 kommunizieren müssen.
  • Es wird nun auf 8 Bezug genommen, wo ein detaillierteres Blockdiagramm für eine Realisierung einer VPN-Einheit in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung dargestellt ist. In der realisierten Ausführungsform der VPN-Einheit 800 ist eine Architektur offenbart, die durch den Mikroprozessor 805, einen Intel 486 DX4 mit 100 MHz, gesteuert wird. Der Gerätebus für diese Konfiguration ist der VSIA-Bus 810, an den die anderen Komponenten des Gerätes angeschlossen sind. Die Speichervorrichtung wird in diesem Fall von mehreren Modulen eines dynamischen Zwischenspeichers (DRAM) 820 beliefert. In Übereinstimmung mit dieser realisierten Ausführungsform ist zum Steuern des Gesamtbetriebs der Vorrichtung bei 825 eine PC-Chipsatzausführung von Opti Corporation vorgesehen. Der Opti-Chipsatz sowie die Bereitstellung einer Gerätesteuereinheit-Funktionalität für den Mikroprozessor 486 DX4 können ferner zur Bereitstellung einer Schnittstelle mit einem optionalen ISA-Bus 828 verwendet werden, mit dem andere periphere Geräte an die Vorrichtung angeschlossen werden können.
  • In der realisierten VPN-Einheit 800 sind die Ein-Ausgabe-Anschlüsse zum öffentlichen Netzraum 830 durch eine Reihe von Multiprotokoll-Sender-Empfängern mit einem 25er Datenbusstecker vorgesehen. In ähnlicher Weise sind die Anschlüsse für die Privatnetzseite der Einheit durch zusätzliche Multiprotokoll-Sender-Empfänger und einen zusätzlichen 25er Datenbusstecker vorgesehen. Die Ein-Ausgabe-Anschlüsse an das öffentliche und private Netz werden durch einen Doppelanschluss SCC 845 gehandhabt, der eine Vielzahl von Eingabe- und Ausgabepuffern zur Übertragung und zum Empfang von Datenpaketen an die VPN-Einheit 800 einschließt. Die Datenpaket-Ein-Ausgabe-Steuereinheit ist durch die FPGA-Steuer- und Randlogik 850 an den VSIA-Bus 810 angeschlossen.
  • Das Komprimierungsmodul für die realisierte VPN-Einheit 800 wird durch eine Ausführung des STAC-Komprimierungsalgorithmus unter Verwendung des Komprimierungsmoduls 860 des STAC-Chips 9710 bereitgestellt, der mit einem reservierten Modul des SRAM 865 verbunden ist, um die Verarbeitung zu unterstützen. Schließlich wird das Chiffrierungsmodul in der realisierten Ausführungsform durch ein Blockchiffrierungsmodul DES 870 bereitgestellt, das entweder in einer serienmäßig produzierten besonderen integrierten Schaltungskonfiguration oder einer zum Betrieb in Übereinstimmung mit dem Betrieb der VPN-Einheit 800 ausgelegten Konfiguration realisiert ist. In Übereinstimmung mit einer alternativen Ausführungsform der vorliegenden Erfindung ist denkbar, dass das Komprimierungsmodul und das Chiffrierungsmodul durch auf dem Mikroprozessor 805 oder einer anderen Allzweck-Verarbeitungslogik laufende Software-Routinen gehandhabt werden könnten. Andere alternative Ausführungsformen können spätere Generationen von Mikroprozessoren verwenden, die mit höheren Geschwindigkeiten arbeiten und die Realisierung eines andersartigen Gerätebusses erfordern können, wie z. B. der aufkommende PCI-Bus-Standard. Der Durchschnittsfachmann wird alternative und verschiedene Ausführungsformen erkennen, die so gestaltet werden können, dass sie sich für einen bestimmten Zweck eignen.
  • Es wurde also ein Protokoll und eine Architektur zur Einrichtung virtueller Privatnetze für die Benutzung eines öffentlichen Netzraums für eine sichere Privatnetz-Datenfernübertragung beschrieben. Obwohl die vorliegende Erfindung im Hinblick auf bestimmte beispielhafte und realisierte Ausführungsformen beschrieben wurde, sollte verständlich sein, dass der Durchschnittsfachmann verschiedene Alternativen zur vorliegenden Erfindung leicht einschätzen kann. Demgemäß sollte der Schutzbereich der vorliegenden Erfindung an den Ausdrücken der Ansprüche gemessen werden.

Claims (14)

  1. Virtuelle Privatnetzeinheit zur Bereitstellung von gesicherter Datenfernübertragung zwischen Mitgliedern einer virtuellen Privatnetzgruppe, umfassend: – eine Ein-Ausgabe-(I/O-)Schaltung (730, 740) zum Empfangen und Übertragen von Datenpaketen zwischen den Mitgliedern (201, 202, 203, 211, 212, 213, 331, 332, 150, 155) der virtuellen Privatnetzgruppe über ein öffentliches Netz (250); – einen mit der I/O-Schaltung in Verbindung stehenden Systembus (710) zum Transportieren von Daten zwischen Komponenten der virtuellen Privatnetzeinheit; – ein mit dem Systembus in Verbindung stehendes Komprimierungsmodul (760) zum Komprimieren abgehender Datenpakete und Dekomprimieren ankommender Datenpakete; – ein mit dem Systembus in Verbindung stehendes Chiffrierungsmodul (770) zum Verschlüsseln abgehender Datenpakete und Entschlüsseln ankommender Datenpakete; – eine mit dem Systembus in Verbindung stehende zentrale Verarbeitungseinheit (CPU) (705) zum Steuern der Verarbeitung von Datenpaketen durch die virtuelle Privatnetzeinheit; und – einen mit dem Systembus in Verbindung stehenden Speicher (720), dadurch gekennzeichnet, dass – der Speicher (720) geeignet ist, eine Liste von Mitgliedern der virtuellen Privatnetzgruppe zu pflegen und vorbestimmte Parameter zu speichern; und – die CPU (705) geeignet ist, auf der Basis der Mitgliederliste zwischen gerade zwischen Mitgliedern der virtuellen Privatnetzgruppe gesendeten Datenpaketen und zwischen einem Mitglied der virtuellen Privatnetzgruppe und einem Nichtmitglied der virtuellen Privatnetzgruppe gesendeten Datenpaketen zu unterscheiden, wobei, – wenn die Datenpakete als zwischen zwei Mitgliedern der virtuellen Privatnetzgruppe gesendete Datenpakete bestimmt werden, diese dann auf den vorbestimmten Parametern basieren, von dem Chiffrierungsmodul (770) verschlüsselt und ggf. von dem Komprimierungsmodul (760) komprimiert werden, und – wenn die Datenpakete als nicht zwischen zwei Mitgliedern der virtuellen Privatnetzgruppe gesendete Datenpakete bestimmt werden, diese als gewöhnlicher Internetverkehr behandelt werden.
  2. Virtuelle Privatnetzeinheit gemäß Anspruch 1, wobei die virtuelle Privatnetzeinheit eine erste virtuelle Privatnetzeinheit ist, und ferner umfassend: – einen ersten Computer (211) an einem ersten Standort, wobei der erste Computer eine erste Netzadresse aufweist; – einen ersten Router (242), der mit dem ersten Standort verbunden ist, um von dem ersten Computer stammende Datenpakete über das Netz (250) zu leiten; wobei die erste virtuelle Privatnetzeinheit (252) zwischen dem ersten Router und dem Netzwerk angeordnet ist und die erste virtuelle Privatnetzeinheit geeignet ist, einen Datenverkehr der virtuellen Privatnetzgruppe zu identifizieren und den Datenverkehr durch Handhaben des Datenverkehrs zu sichern; – einen zweiten Router (244), der mit einem zweiten Standort verbunden ist, um den zweiten Standort an das Netzwerk anzuschließen; – eine zweite virtuelle Privatnetzeinheit (254), die vom Aufbau her mit der ersten virtuellen Privatnetzeinheit identisch ist, wobei die zweite virtuelle Privatnetzeinheit zwischen dem zweiten Router und dem Netzwerk zum Abfangen des für den zweiten Standort bestimmten Netzverkehrs, der zweiten virtuellen Privatnetzeinheit zum Erkennen des virtuellen Privatnetzgruppenverkehrs und zum Wiederherstellen ursprünglicher Paketdaten angeordnet ist; und – einen zweiten Computer (221) an dem zweiten Standort, wobei der zweite Computer eine zweite Netzadresse zum Empfangen der Datenpakete aufweist.
  3. Virtuelle Privatnetzeinheit gemäß Anspruch 1, wobei die virtuelle Privatnetzeinheit eine erste virtuelle Privatnetzeinheit ist, und ferner umfassend: – einen ersten Computer (211) an einem ersten Standort, wobei der erste Computer eine erste Netzadresse aufweist; – einen ersten Router (242), der mit dem ersten Standort verbunden ist, um von dem ersten Computer stammende Datenpakete über das Netz (250) zu leiten; wobei die erste virtuelle Privatnetzeinheit (252) zwischen dem ersten Router (242) und dem ersten Computer (211) angeordnet ist und die erste virtuelle Privatnetzeinheit geeignet ist, einen Datenverkehr der virtuellen Privatnetzgruppe zu identifizieren, und den Datenverkehr durch Handhaben des Datenverkehrs sichert; – einen zweiten Router (244), der mit einem zweiten Standort verbunden ist, um den zweiten Standort an das Netzwerk anzuschließen; – einen zweiten Computer (221) an dem zweiten Standort, wobei der zweite Computer eine zweite Netzadresse zum Empfangen der Datenpakete aufweist; und – eine zweite virtuelle Privatnetzeinheit (254), die vom Aufbau her mit der ersten virtuellen Privatnetzeinheit identisch ist, wobei die zweite virtuelle Privatnetzeinheit zwischen dem zweiten Router (244) und dem zweiten Computer (221) zum Abfangen des für den zweiten Standort bestimmten Netzverkehrs, der zweiten virtuellen Privatnetzeinheit zum Erkennen des virtuellen Privatnetzgruppenverkehrs und zum Wiederherstellen ursprünglicher Paketdaten angeordnet ist.
  4. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei der Speicher (720) auch geeignet ist, Mitgliedern der virtuellen Privatnetzgruppe zugeordnete Übertragungsparameter zu speichern, und wobei die Übertragungsparameter diktieren, ob eine Datenpaketübertragung zu/von einem bestimmten Mitglied der virtuellen Privatnetzgruppe eine Komprimierung/Dekomprimierung und/oder Chiffrierung/Dechiffrierung erfordert.
  5. Virtuelle Privatnetzeinheit gemäß Anspruch 4, wobei das Komprimierungsmodul (760) und das Chiffrierungsmodul (770) eine Schaltung oder Software zum Generieren und Bestätigen eines abgehenden bzw. ankommenden Datenpaketen zugeordneten Beglaubigungscodes einschließen.
  6. Virtuelle Privatnetzeinheit gemäß Anspruch 5, wobei die Mitgliedern der virtuellen Privatnetzgruppe zugeordneten Übertragungsparameter auch spezifizieren, ob eine Beglaubigung der übermittelten Datenpakete, die zu/von dem zugehörigen Mitglied der virtuellen Privatnetzgruppe übertragen werden, erforderlich ist oder nicht.
  7. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei das Netzwerk das Internet (250) ist.
  8. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei die I/O-Schaltung umfasst: – einen privaten I/O-Anschluss (740) zum Anschließen der virtuellen Privatnetzeinheit an das Privatnetz eines Standorts; – einen öffentlichen I/O-Anschluss (730) zum Anschließen der virtuellen Privatnetzeinheit an das Netz (250); und – eine I/O-Steuerlogik (750), die mit dem Systembus (710) in Verbindung steht und an den privaten und den öffentlichen I/O-Anschluss angeschlossen ist, um den Datenpaketfluss zwischen der virtuellen Privatnetzeinheit und Mitgliedern der virtuellen Privatnetzgruppe zu steuern.
  9. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei die CPU (705) Kapselungsköpfe für abgehende Datenpakete in Übereinstimmung mit einem Schlüsselverwaltungsprotokoll generiert.
  10. Virtuelle Privatnetzeinheit gemäß Anspruch 9, wobei das Schlüsselverwaltungsprotokoll die einfache Schlüsselverwaltung für Internetprotokolle (SKIP) einschließt.
  11. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei das Komprimierungsmodul (760) und das Chiffrierungsmodul (770) eine Schaltung oder Software zur Durchführung von Blockchiffrierung oder Dreifach-Blockchiffrierung in Übereinstimmung mit den vorbestimmten Parametern einschließen.
  12. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei das Komprimierungsmodul (760) und das Chiffrierungsmodul (770) eine Schaltung oder Software zur Durchführung von LZW-Komprimierung einschließen.
  13. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei der Speicher (720) Nachschlagetabellen zur Identifizierung aller virtuellen Privatnetzgruppen und Mitglieder der Gruppen umfasst, wobei die Mitglieder jeweils durch eine Netzadresse identifiziert werden und eine einzige Netzadresse ein Mitglied als zu mehreren virtuellen Privatnetzgruppen gehörend identifizieren kann.
  14. Virtuelle Privatnetzeinheit gemäß einem der vorhergehenden Ansprüche, wobei wenn die Datenpakete als gerade zwischen einem Mitglied der virtuellen Privatnetzgruppe und einem Nichtmitglied der virtuellen Privatnetzgruppe gesendete Datenpakete bestimmt werden, diese nicht komprimiert und nicht verschlüsselt werden.
DE69837201T 1997-06-12 1998-06-11 Gerät zur realisierrung von virtuellen privatnetzen Expired - Lifetime DE69837201T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/874,091 US6173399B1 (en) 1997-06-12 1997-06-12 Apparatus for implementing virtual private networks
US874091 1997-06-12
PCT/US1998/012226 WO1998057464A1 (en) 1997-06-12 1998-06-11 An apparatus for implementing virtual private networks

Publications (2)

Publication Number Publication Date
DE69837201D1 DE69837201D1 (de) 2007-04-12
DE69837201T2 true DE69837201T2 (de) 2007-11-08

Family

ID=25362958

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69837201T Expired - Lifetime DE69837201T2 (de) 1997-06-12 1998-06-11 Gerät zur realisierrung von virtuellen privatnetzen

Country Status (9)

Country Link
US (1) US6173399B1 (de)
EP (1) EP0988736B1 (de)
JP (1) JP2002504285A (de)
KR (1) KR100431956B1 (de)
AT (1) ATE355684T1 (de)
AU (1) AU8068498A (de)
CA (1) CA2293435C (de)
DE (1) DE69837201T2 (de)
WO (1) WO1998057464A1 (de)

Families Citing this family (203)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2761843B1 (fr) * 1997-03-12 2002-05-03 Mannesmann Ag Procede d'exploitation de reseaux virtuels prives dans un reseau commun de commutation de paquets de donnees et dispositif pour la mise en oeuvre de ce procede
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6112239A (en) * 1997-06-18 2000-08-29 Intervu, Inc System and method for server-side optimization of data delivery on a distributed computer network
CA2217275C (en) * 1997-10-03 2005-08-16 Newbridge Networks Corporation Multiple internetworking realms within an internetworking device
USRE42761E1 (en) 1997-12-31 2011-09-27 Crossroads Systems, Inc. Storage router and method for providing virtual local storage
US5941972A (en) 1997-12-31 1999-08-24 Crossroads Systems, Inc. Storage router and method for providing virtual local storage
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US7095740B1 (en) * 1998-06-30 2006-08-22 Nortel Networks Limited Method and apparatus for virtual overlay networks
US6751729B1 (en) 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
US6765919B1 (en) * 1998-10-23 2004-07-20 Brocade Communications Systems, Inc. Method and system for creating and implementing zones within a fibre channel system
US6839759B2 (en) 1998-10-30 2005-01-04 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information
CA2349520C (en) 1998-10-30 2011-05-17 Science Applications International Corporation An agile network protocol for secure communications with assured system availability
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7418504B2 (en) * 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6542508B1 (en) * 1998-12-17 2003-04-01 Watchguard Technologies, Inc. Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor
US6636898B1 (en) * 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US6901604B1 (en) * 1999-02-19 2005-05-31 Chaincast, Inc. Method and system for ensuring continuous data flow between re-transmitters within a chaincast communication system
ATE496452T1 (de) * 1999-02-19 2011-02-15 Nokia Siemens Networks Oy Netzwerk-anordnung für kommunikation
US20020101998A1 (en) * 1999-06-10 2002-08-01 Chee-Hong Wong Fast escrow delivery
US20020019932A1 (en) * 1999-06-10 2002-02-14 Eng-Whatt Toh Cryptographically secure network
US6988199B2 (en) * 2000-07-07 2006-01-17 Message Secure Secure and reliable document delivery
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
GB2352370B (en) * 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
US6675225B1 (en) * 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
US7072964B1 (en) * 1999-08-31 2006-07-04 Science Applications International Corporation System and method for interconnecting multiple virtual private networks
WO2001016766A1 (en) * 1999-08-31 2001-03-08 Science Applications International Corporation System and method for interconnecting multiple virtual private networks
US6693878B1 (en) * 1999-10-15 2004-02-17 Cisco Technology, Inc. Technique and apparatus for using node ID as virtual private network (VPN) identifiers
US7117530B1 (en) * 1999-12-07 2006-10-03 Watchguard Technologies, Inc. Tunnel designation system for virtual private networks
US6870842B1 (en) 1999-12-10 2005-03-22 Sun Microsystems, Inc. Using multicasting to provide ethernet-like communication behavior to selected peers on a network
US6938169B1 (en) 1999-12-10 2005-08-30 Sun Microsystems, Inc. Channel-specific file system views in a private network using a public-network infrastructure
US7765581B1 (en) 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
AU2081501A (en) * 1999-12-10 2001-06-18 Sun Microsystems, Inc. Sandboxing applications in a private network using a public-network infrastructure
WO2001045351A2 (en) * 1999-12-10 2001-06-21 Sun Microsystems, Inc. Scalable security for groups in a virtual private network
US7130629B1 (en) 2000-03-08 2006-10-31 Cisco Technology, Inc. Enabling services for multiple sessions using a single mobile node
US6286049B1 (en) * 2000-03-24 2001-09-04 Covad Communications Group, Inc. System and method for providing broadband content to high-speed access subscribers
US7089240B2 (en) * 2000-04-06 2006-08-08 International Business Machines Corporation Longest prefix match lookup using hash function
US7085854B2 (en) * 2000-04-12 2006-08-01 Corente, Inc. Methods and systems for enabling communication between a processor and a network operations center
US7028334B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for using names in virtual networks
US7181766B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Methods and system for providing network services using at least one processor interfacing a base network
US7028333B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
US6631416B2 (en) 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
US6996628B2 (en) * 2000-04-12 2006-02-07 Corente, Inc. Methods and systems for managing virtual addresses for virtual networks
US7047424B2 (en) * 2000-04-12 2006-05-16 Corente, Inc. Methods and systems for hairpins in virtual networks
US7181542B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US7069592B2 (en) 2000-04-26 2006-06-27 Ford Global Technologies, Llc Web-based document system
US20020016926A1 (en) * 2000-04-27 2002-02-07 Nguyen Thomas T. Method and apparatus for integrating tunneling protocols with standard routing protocols
US7237138B2 (en) * 2000-05-05 2007-06-26 Computer Associates Think, Inc. Systems and methods for diagnosing faults in computer networks
AU2001261258A1 (en) * 2000-05-05 2001-11-20 Aprisma Management Technologies, Inc. Help desk systems and methods for use with communications networks
US7500143B2 (en) * 2000-05-05 2009-03-03 Computer Associates Think, Inc. Systems and methods for managing and analyzing faults in computer networks
AU2001261275A1 (en) * 2000-05-05 2001-11-20 Aprisma Management Technologies, Inc. Systems and methods for isolating faults in computer networks
US7752024B2 (en) * 2000-05-05 2010-07-06 Computer Associates Think, Inc. Systems and methods for constructing multi-layer topological models of computer networks
US7251728B2 (en) 2000-07-07 2007-07-31 Message Secure Corporation Secure and reliable document delivery using routing lists
US7111163B1 (en) 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US6772226B1 (en) * 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
US7444398B1 (en) 2000-09-13 2008-10-28 Fortinet, Inc. System and method for delivering security services
US7574495B1 (en) * 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7272643B1 (en) 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US7174372B1 (en) 2000-09-13 2007-02-06 Fortinet, Inc. System and method for managing router metadata
EP1293908A4 (de) * 2000-09-27 2009-09-09 Sony Corp Hausnetzwerksystem
US20020048372A1 (en) * 2000-10-19 2002-04-25 Eng-Whatt Toh Universal signature object for digital data
US6687700B1 (en) 2000-11-09 2004-02-03 Accenture Llp Communications system for supporting inter-dependent data messages
AU3269001A (en) * 2000-11-09 2002-05-21 Accenture Llp Communications system for supporting inter-dependent data messages
US20040047347A1 (en) * 2000-11-13 2004-03-11 Michael Worry Method, system and apparatus for reprogramming a digital electronic device via a computer network
US6894999B1 (en) * 2000-11-17 2005-05-17 Advanced Micro Devices, Inc. Combining VLAN tagging with other network protocols allows a user to transfer data on a network with enhanced security
US7251824B2 (en) * 2000-12-19 2007-07-31 Intel Corporation Accessing a private network
US8266677B2 (en) * 2000-12-20 2012-09-11 Intellisync Corporation UDP communication with a programmer interface over wireless networks
US7159031B1 (en) * 2001-01-26 2007-01-02 Fortinet, Inc. Remote customer management of virtual routers allocated to the customer
DE10107883B4 (de) * 2001-02-19 2006-02-09 Deutsche Post Ag Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
US20020161854A1 (en) * 2001-03-06 2002-10-31 Warren Wojcik Digital city
US6778498B2 (en) 2001-03-20 2004-08-17 Mci, Inc. Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US20030115480A1 (en) * 2001-12-17 2003-06-19 Worldcom, Inc. System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US7289522B2 (en) * 2001-03-20 2007-10-30 Verizon Business Global Llc Shared dedicated access line (DAL) gateway routing discrimination
US7533409B2 (en) * 2001-03-22 2009-05-12 Corente, Inc. Methods and systems for firewalling virtual private networks
US20020138635A1 (en) * 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US20020143872A1 (en) * 2001-03-27 2002-10-03 Jeffrey Weiss Multiple service management platform utilizing common directory
US20020144144A1 (en) * 2001-03-27 2002-10-03 Jeffrey Weiss Method and system for common control of virtual private network devices
US7366194B2 (en) 2001-04-18 2008-04-29 Brocade Communications Systems, Inc. Fibre channel zoning by logical unit number in hardware
US20020154635A1 (en) * 2001-04-23 2002-10-24 Sun Microsystems, Inc. System and method for extending private networks onto public infrastructure using supernets
JP3945297B2 (ja) * 2001-04-24 2007-07-18 株式会社日立製作所 システム及び管理システム
US7099912B2 (en) * 2001-04-24 2006-08-29 Hitachi, Ltd. Integrated service management system
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
CA2447787A1 (en) * 2001-06-04 2002-12-12 Nct Group, Inc. A system and method for reducing the time to deliver information from a communications network to a user
US7194766B2 (en) 2001-06-12 2007-03-20 Corrent Corporation Method and system for high-speed processing IPSec security protocol packets
US7047562B2 (en) * 2001-06-21 2006-05-16 Lockheed Martin Corporation Conditioning of the execution of an executable program upon satisfaction of criteria
US7181547B1 (en) * 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7827292B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. Flexible automated connection to virtual private networks
US8239531B1 (en) 2001-07-23 2012-08-07 At&T Intellectual Property Ii, L.P. Method and apparatus for connection to virtual private networks for secure transactions
US7827278B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. System for automated connection to virtual private networks related applications
US6662198B2 (en) 2001-08-30 2003-12-09 Zoteca Inc. Method and system for asynchronous transmission, backup, distribution of data and file sharing
US6407673B1 (en) * 2001-09-04 2002-06-18 The Rail Network, Inc. Transit vehicle multimedia broadcast system
US7036143B1 (en) 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US7085827B2 (en) * 2001-09-20 2006-08-01 Hitachi, Ltd. Integrated service management system for remote customer support
US7010608B2 (en) * 2001-09-28 2006-03-07 Intel Corporation System and method for remotely accessing a home server while preserving end-to-end security
US7076797B2 (en) * 2001-10-05 2006-07-11 Microsoft Corporation Granular authorization for network user sessions
US20050114285A1 (en) * 2001-11-16 2005-05-26 Cincotta Frank A. Data replication system and method
JP3885573B2 (ja) 2001-12-04 2007-02-21 株式会社日立製作所 パケット処理方法および装置
KR20030062106A (ko) * 2002-01-16 2003-07-23 한국전자통신연구원 가상 사설망으로부터 데이터 패킷을 수신하는 방법 및 장치
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US7471661B1 (en) 2002-02-20 2008-12-30 Cisco Technology, Inc. Methods and apparatus for supporting proxy mobile IP registration in a wireless local area network
US7395354B2 (en) * 2002-02-21 2008-07-01 Corente, Inc. Methods and systems for resolving addressing conflicts based on tunnel information
KR100438431B1 (ko) * 2002-02-23 2004-07-03 삼성전자주식회사 통신 네트워크에서 가상 사설 네트워크 서비스 접속을위한 보안 시스템 및 방법
AU2002248758A1 (en) * 2002-04-05 2003-10-27 The Rail Network, Inc. Method for broadcasting multimedia to passengers travelling on a transport vehicle
US7937471B2 (en) * 2002-06-03 2011-05-03 Inpro Network Facility, Llc Creating a public identity for an entity on a network
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7177311B1 (en) 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7203192B2 (en) * 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US7161904B2 (en) 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US7340535B1 (en) 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
WO2003107604A1 (en) * 2002-06-14 2003-12-24 Flash Networks Ltd. Method and system for connecting manipulation equipment between operator's premises and the internet
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US7096383B2 (en) 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US8234358B2 (en) * 2002-08-30 2012-07-31 Inpro Network Facility, Llc Communicating with an entity inside a private network using an existing connection to initiate communication
US7231664B2 (en) * 2002-09-04 2007-06-12 Secure Computing Corporation System and method for transmitting and receiving secure data in a virtual private group
US20050228897A1 (en) * 2002-09-04 2005-10-13 Masaya Yamamoto Content distribution system
US20040078471A1 (en) * 2002-10-18 2004-04-22 Collatus Corporation, A Delaware Corportion Apparatus, method, and computer program product for building virtual networks
US7139595B2 (en) * 2002-10-24 2006-11-21 The Rail Network, Inc. Transit vehicle wireless transmission broadcast system
US20040082318A1 (en) * 2002-10-24 2004-04-29 Lane David E Transit vehicle wireless broadcast system
US7308706B2 (en) * 2002-10-28 2007-12-11 Secure Computing Corporation Associative policy model
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
US7457289B2 (en) 2002-12-16 2008-11-25 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
US7362742B1 (en) 2003-01-28 2008-04-22 Cisco Technology, Inc. Methods and apparatus for synchronizing subnet mapping tables
WO2004079581A1 (en) * 2003-03-05 2004-09-16 Intellisync Corporation Virtual private network between computing network and remote device
US20040249974A1 (en) * 2003-03-31 2004-12-09 Alkhatib Hasan S. Secure virtual address realm
US7949785B2 (en) 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US20040249973A1 (en) * 2003-03-31 2004-12-09 Alkhatib Hasan S. Group agent
US7505432B2 (en) * 2003-04-28 2009-03-17 Cisco Technology, Inc. Methods and apparatus for securing proxy Mobile IP
US7352740B2 (en) * 2003-04-29 2008-04-01 Brocade Communciations Systems, Inc. Extent-based fibre channel zoning in hardware
US8005958B2 (en) 2003-06-27 2011-08-23 Ixia Virtual interface
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
FI20031361A0 (fi) * 2003-09-22 2003-09-22 Nokia Corp IPSec-turva-assosiaatioiden kaukohallinta
US7460652B2 (en) * 2003-09-26 2008-12-02 At&T Intellectual Property I, L.P. VoiceXML and rule engine based switchboard for interactive voice response (IVR) services
US7356475B2 (en) * 2004-01-05 2008-04-08 Sbc Knowledge Ventures, L.P. System and method for providing access to an interactive service offering
US7430203B2 (en) * 2004-01-29 2008-09-30 Brocade Communications Systems, Inc. Fibre channel zoning hardware for directing a data packet to an external processing device
US7447188B1 (en) 2004-06-22 2008-11-04 Cisco Technology, Inc. Methods and apparatus for supporting mobile IP proxy registration in a system implementing mulitple VLANs
GB2416272B (en) * 2004-07-13 2009-03-04 Vodafone Plc Dialling of numbers in a communications system
US7936861B2 (en) * 2004-07-23 2011-05-03 At&T Intellectual Property I, L.P. Announcement system and method of use
US20060026049A1 (en) * 2004-07-28 2006-02-02 Sbc Knowledge Ventures, L.P. Method for identifying and prioritizing customer care automation
US8165281B2 (en) * 2004-07-28 2012-04-24 At&T Intellectual Property I, L.P. Method and system for mapping caller information to call center agent transactions
US7580837B2 (en) 2004-08-12 2009-08-25 At&T Intellectual Property I, L.P. System and method for targeted tuning module of a speech recognition system
US7602898B2 (en) * 2004-08-18 2009-10-13 At&T Intellectual Property I, L.P. System and method for providing computer assisted user support
US7499419B2 (en) * 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US7197130B2 (en) * 2004-10-05 2007-03-27 Sbc Knowledge Ventures, L.P. Dynamic load balancing between multiple locations with different telephony system
US7668889B2 (en) 2004-10-27 2010-02-23 At&T Intellectual Property I, Lp Method and system to combine keyword and natural language search results
US7657005B2 (en) * 2004-11-02 2010-02-02 At&T Intellectual Property I, L.P. System and method for identifying telephone callers
US7808904B2 (en) 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
US7724889B2 (en) * 2004-11-29 2010-05-25 At&T Intellectual Property I, L.P. System and method for utilizing confidence levels in automated call routing
US7242751B2 (en) 2004-12-06 2007-07-10 Sbc Knowledge Ventures, L.P. System and method for speech recognition-enabled automatic call routing
US7864942B2 (en) 2004-12-06 2011-01-04 At&T Intellectual Property I, L.P. System and method for routing calls
US20060126811A1 (en) * 2004-12-13 2006-06-15 Sbc Knowledge Ventures, L.P. System and method for routing calls
US7751551B2 (en) 2005-01-10 2010-07-06 At&T Intellectual Property I, L.P. System and method for speech-enabled call routing
US7450698B2 (en) * 2005-01-14 2008-11-11 At&T Intellectual Property 1, L.P. System and method of utilizing a hybrid semantic model for speech recognition
US7627096B2 (en) * 2005-01-14 2009-12-01 At&T Intellectual Property I, L.P. System and method for independently recognizing and selecting actions and objects in a speech recognition system
US7627109B2 (en) * 2005-02-04 2009-12-01 At&T Intellectual Property I, Lp Call center system for multiple transaction selections
US8223954B2 (en) * 2005-03-22 2012-07-17 At&T Intellectual Property I, L.P. System and method for automating customer relations in a communications environment
US7636432B2 (en) * 2005-05-13 2009-12-22 At&T Intellectual Property I, L.P. System and method of determining call treatment of repeat calls
US8005204B2 (en) 2005-06-03 2011-08-23 At&T Intellectual Property I, L.P. Call routing system and method of using the same
US7657020B2 (en) 2005-06-03 2010-02-02 At&T Intellectual Property I, Lp Call routing system and method of using the same
US8503641B2 (en) 2005-07-01 2013-08-06 At&T Intellectual Property I, L.P. System and method of automated order status retrieval
US20070038884A1 (en) * 2005-08-10 2007-02-15 Spare Backup, Inc. System and method of remote storage of data using client software
US7894369B2 (en) * 2005-08-19 2011-02-22 Opnet Technologies, Inc. Network physical connection inference for IP tunnels
US8165038B2 (en) 2005-08-19 2012-04-24 Opnet Technologies, Inc. Network physical connection inference for IP tunnels
US8526577B2 (en) * 2005-08-25 2013-09-03 At&T Intellectual Property I, L.P. System and method to access content from a speech-enabled automated system
US8548157B2 (en) 2005-08-29 2013-10-01 At&T Intellectual Property I, L.P. System and method of managing incoming telephone calls at a call center
US7614080B2 (en) * 2005-12-28 2009-11-03 Panasonic Electric Works Co., Ltd. Systems and methods for providing secure access to embedded devices using a trust manager and a security broker
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
JP4965149B2 (ja) * 2006-03-31 2012-07-04 株式会社トプコン Rtk−gps測位システム
US20070271606A1 (en) * 2006-05-17 2007-11-22 Amann Keith R Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
US20080222693A1 (en) * 2006-08-08 2008-09-11 Cipheroptics, Inc. Multiple security groups with common keys on distributed networks
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US8607301B2 (en) * 2006-09-27 2013-12-10 Certes Networks, Inc. Deploying group VPNS and security groups over an end-to-end enterprise network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US8104082B2 (en) * 2006-09-29 2012-01-24 Certes Networks, Inc. Virtual security interface
US8046820B2 (en) * 2006-09-29 2011-10-25 Certes Networks, Inc. Transporting keys between security protocols
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US8102758B2 (en) * 2007-03-05 2012-01-24 Cisco Technology, Inc. Analyzing virtual private network failures
US20090034738A1 (en) * 2007-07-31 2009-02-05 Charles Rodney Starrett Method and apparatus for securing layer 2 networks
US7996543B2 (en) * 2007-08-16 2011-08-09 Xcastlabs Client-to-client direct RTP exchange in a managed client-server network
US7937438B1 (en) 2009-12-07 2011-05-03 Amazon Technologies, Inc. Using virtual networking devices to manage external connections
US9203747B1 (en) 2009-12-07 2015-12-01 Amazon Technologies, Inc. Providing virtual networking device functionality for managed computer networks
US8995301B1 (en) 2009-12-07 2015-03-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing cost information
US9036504B1 (en) 2009-12-07 2015-05-19 Amazon Technologies, Inc. Using virtual networking devices and routing information to associate network addresses with computing nodes
US8224971B1 (en) 2009-12-28 2012-07-17 Amazon Technologies, Inc. Using virtual networking devices and routing information to initiate external actions
US7953865B1 (en) 2009-12-28 2011-05-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing communications between connected computer networks
US7991859B1 (en) 2009-12-28 2011-08-02 Amazon Technologies, Inc. Using virtual networking devices to connect managed computer networks
US8396954B2 (en) * 2010-06-24 2013-03-12 Aryaka Networks, Inc. Routing and service performance management in an application acceleration environment
JP5382812B2 (ja) * 2010-08-04 2014-01-08 Necインフロンティア株式会社 データ圧縮転送システム、伝送装置及びそれらに用いるデータ圧縮転送方法
US8918835B2 (en) * 2010-12-16 2014-12-23 Futurewei Technologies, Inc. Method and apparatus to create and manage virtual private groups in a content oriented network
WO2013126852A2 (en) 2012-02-24 2013-08-29 Missing Link Electronics, Inc. Partitioning systems operating in multiple domains
US9871691B2 (en) 2014-09-16 2018-01-16 CloudGenix, Inc. Methods and systems for hub high availability and network load and scaling
US10284392B2 (en) 2017-05-19 2019-05-07 At&T Intellectual Property I, L.P. Virtual private network resiliency over multiple transports

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4897874A (en) * 1988-03-31 1990-01-30 American Telephone And Telegraph Company At&T Bell Laboratories Metropolitan area network arrangement for serving virtual data networks
US5239584A (en) * 1991-12-26 1993-08-24 General Electric Corporation Method and apparatus for encryption/authentication of data in energy metering applications
JPH06209313A (ja) * 1993-01-12 1994-07-26 Fujikura Ltd 機密保持装置およびその方法
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5394402A (en) * 1993-06-17 1995-02-28 Ascom Timeplex Trading Ag Hub for segmented virtual local area network with shared media access
US5400334A (en) * 1993-08-10 1995-03-21 Ungermann-Bass, Inc. Message security on token ring networks
JPH07162407A (ja) * 1993-12-03 1995-06-23 Fujitsu Ltd ネットワークシステムにおける暗号通信のユーザ支援装置
WO1997000471A2 (en) * 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5588060A (en) * 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5621727A (en) * 1994-09-16 1997-04-15 Octel Communications Corporation System and method for private addressing plans using community addressing
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5828846A (en) * 1995-11-22 1998-10-27 Raptor Systems, Inc. Controlling passage of packets or messages via a virtual connection or flow
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5935245A (en) * 1996-12-13 1999-08-10 3Com Corporation Method and apparatus for providing secure network communications

Also Published As

Publication number Publication date
JP2002504285A (ja) 2002-02-05
KR19990006261A (ko) 1999-01-25
WO1998057464A1 (en) 1998-12-17
CA2293435A1 (en) 1998-12-17
KR100431956B1 (ko) 2004-07-16
DE69837201D1 (de) 2007-04-12
US6173399B1 (en) 2001-01-09
ATE355684T1 (de) 2006-03-15
CA2293435C (en) 2007-03-20
EP0988736A1 (de) 2000-03-29
EP0988736B1 (de) 2007-02-28
AU8068498A (en) 1998-12-30

Similar Documents

Publication Publication Date Title
DE69837201T2 (de) Gerät zur realisierrung von virtuellen privatnetzen
DE69827252T2 (de) Architektur für virtuelle privatnetze
DE69836271T2 (de) Mehrstufiges firewall-system
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
DE602004003611T2 (de) Verkehrsüberwachungssystem
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60224917T2 (de) Verfahren und Vorrichtung zur Fragmentierung und Wiederzusammensetzung von Internet Key Exchange Paketen
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE69333852T2 (de) Verfahren, Gerät und Anordnung zur Verschlüsselung von Daten die über verbundene Netze übertragen werden
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
DE60025080T2 (de) Gateway und Netzwerk für Identifizierungsmarke vermittelt Medien
US6154839A (en) Translating packet addresses based upon a user identifier
DE60133241T2 (de) Mehranwendung-sicherheitsrelais
DE60121755T2 (de) Ipsec-verarbeitung
DE19758970B4 (de) Integriertes Fernmeldesystem
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE102015003235A1 (de) Verfahren und System zum Bereitstellen von Kommunikationskanälen, welche verschiedene sichere Kommunikationsprotokolle verwenden
DE10008519C1 (de) Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
DE60109038T2 (de) Zugangskontrolleinrichtung zwischen atm-netzen
DE19721949C2 (de) Chiffriervorrichtung
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
US20130219172A1 (en) System and method for providing a secure book device using cryptographically secure communications across secure networks
DE19727267A1 (de) Verfahren und Computersystem zur Codierung einer digitalen Nachricht, zur Übertragung der Nachricht von einer ersten Computereinheit zu einer zweiten Computereinheit und zur Decodierung der Nachricht

Legal Events

Date Code Title Description
8364 No opposition during term of opposition