[go: up one dir, main page]

DE19924575A1 - Kommunikationssystem und -Verfahren - Google Patents

Kommunikationssystem und -Verfahren

Info

Publication number
DE19924575A1
DE19924575A1 DE19924575A DE19924575A DE19924575A1 DE 19924575 A1 DE19924575 A1 DE 19924575A1 DE 19924575 A DE19924575 A DE 19924575A DE 19924575 A DE19924575 A DE 19924575A DE 19924575 A1 DE19924575 A1 DE 19924575A1
Authority
DE
Germany
Prior art keywords
network
address
external device
firewall
network address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19924575A
Other languages
English (en)
Inventor
Joseph E Provino
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of DE19924575A1 publication Critical patent/DE19924575A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2567NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

Das erfindungsgemäße System umfaßt ein virtuelles privates Netzwerk (15) und eine externe Vorrichtung (12(m)), welche durch ein digitales Netzwerk (14) miteinander verbunden sind. Das virtuelle private Netzwerk (15) weist eine Firewall (30), wenigstens eine interne Vorrichtung (31(s)) und einen Namen-Server (32) auf, welche jeweils eine Netzwerkadresse besitzen. Die interne Vorrichtung (31(s)) besitzt auch eine Sekundäradresse, und der Namen-Server (32) ist derart konfiguriert, daß er eine Zuordnung zwischen der Sekundäradresse und der Netzwerkadresse bereitstellt. In Reaktion auf eine Anfrage von der externen Vorrichtung (12(m)) zum Aufbau einer Verbindung zur Firewall (30) übermittelt die Firewall (30) der externen Vorrichtung (12(m)) die Netzwerkadresse des Namen-Servers (32). In Reaktion auf eine Anfrage von einem Bediener oder ähnlichem, welche die Sekundäradresse der internen Vorrichtung (31(s)) enthält und einen Zugriff an die interne Vorrichtung (31(s)) anfordert, erzeugt die externe Vorrichtung (12(m)) eine Netzwerkadressen-Anfragenachricht zur Übertragung über die Verbindung an die Firewall (30), welche eine Auflösung der Netzwerkadresse, die der Sekundäradresse zugeordnet ist, anfordert. Die Firewall (30) übermittelt die Adressenauflösungsanfrage an den Namen-Server (32), und der Namen-Server (32) übermittelt die Netzwerkadresse, welche der Sekundäradresse zugeordnet ist, an die Firewall (30). Daraufhin stellt die Firewall (30) die Netzwerkadresse in einer ...

Description

Die Erfindung betrifft allgemein das Gebiet der digitalen Kommunikationssysteme und -verfahren, und insbesondere Sy­ steme und Verfahren zum Vereinfachen der Kommunikation zwi­ schen Vorrichtungen, welche mit öffentlichen Netzwerken verbunden sind, z. B. dem Internet, und Vorrichtungen, wel­ che mit privaten Netzwerken verbunden sind.
Digitale Netzwerke wurden entwickelt, um die Übertragung von Information, welche auch Daten und Programme umfaßt, über digitale Computersysteme und andere Digitalvorrichtun­ gen zu ermöglichen. Es wurde eine Vielzahl von Arten von Netzwerken entwickelt und realisiert, einschließlich sog. Fernverbindungsnetze (Wide-Area Networks, nachfolgend "WAN" genannt) und lokale Netzwerke (Local Area Networks, nach­ folgend "LAN" genannt), welche eine Information unter Ver­ wendung verschiedener Informationsübertragungsmethoden übermitteln. Im allgemeinen werden LANs innerhalb kleiner geographischer Bereiche realisiert, z. B. innerhalb eines einzelnen Bürogebäudes oder ähnlichem, zum Übertragen von Information innerhalb eines bestimmten Büros, einer Firma oder einer ähnlichen Art von Organisationseinheit. Anderer­ seits werden WANs im allgemeinen auf relativ großen geogra­ phischer Bereichen realisiert und können verwendet werden, um Information sowohl zwischen LANs als auch zwischen Vor­ richtungen, welche nicht mit LANs verbunden sind, zu über­ tragen. Derartige WANs umfassen auch öffentliche Netzwerke, z. B. das Internet, welche zur Informationsübertragung zwi­ schen einer Anzahl von Unternehmen verwendet werden können.
Es sind mehrere Probleme im Zusammenhang der Kommunikation über ein Netzwerk aufgetreten, insbesondere in einem großen öffentlichen WAN, wie es z. B. das Internet ist. Im allge­ meinen werden Informationen über ein Netzwerk in Nachrich­ tenpaketen übertragen, welche ausgehend von einer Vorrich­ tung, als Quelle bzw. Quellenvorrichtung, zu einer anderen Vorrichtung, als Ziel bzw. Zielvorrichtung, über einen oder mehrere Router oder allgemein Schaltungsknoten im Netzwerk übertragen werden. Jedes Nachrichtenpaket enthält eine Zie­ ladresse, welche von den Schaltungsknoten verwendet wird, um das jeweilige Nachrichtenpaket an die geeignete Zielvor­ richtung zu leiten. Z.B. im Internet haben solche Adressen die Form von "n"-Bit Zahlen (wobei "n" 32 oder 128 sein kann), wobei solche Zahlenkolonnen für einen Benutzer schwierig sind zu merken und einzugeben, wenn die oder der Benutzer die Übertragung eines Nachrichtenpakets veranlas­ sen möchte. Um einen Benutzer von der Notwendigkeit zu be­ freien, sich solche spezifische Zahlen-Internetadressen zu merken und einzugeben, stellt das Internet einen zweiten Adressierungsmechanismus bereit, der durch Benutzer der je­ weiligen Vorrichtungen einfacher handzuhaben ist. Bei die­ sem Adressierungsmechanismus werden Internet-Domains, wie etwa LANs, Internet-Service-Provider (nachfolgend "ISP" ge­ nannt) und ähnliche, welche im Internet verbunden sind, durch für einen Benutzer relativ einfach les- und merkbare Namen identifiziert, die nachfolgend als "Klartextnamen" bezeichnet werden. Um den Einsatz von solchen Klartextnamen umzusetzen, werden Namen-Server, auch als DNS-Server für "Domain Name Server" bezeichnet, bereitgestellt, um die Klartextnamen in die geeigneten Internetadressen umzuwan­ deln. Wenn ein Bediener einer Vorrichtung, der die Übertra­ gung eines Nachrichtenpakets an eine andere Vorrichtung wünscht, den Klartextnamen der anderen Vorrichtung eingibt, nimmt die Vorrichtung zuerst Kontakt mit einem Namen-Server auf. Im allgemeinen kann der Namen-Server ein Teil des ISP selbst sein oder er kann eine spezielle Vorrichtung sein, welche durch den ISP über das Internet zugänglich ist; in jedem Fall wird der ISP den Namen-Server identifizieren, welcher für die Vorrichtung zu verwenden ist, wenn sich die Vorrichtung beim ISP einloggt, d. h. anmeldet. Falls der Na­ men-Server, nachdem die Vorrichtung einen Kontakt herge­ stellt hat, eine Zahlen-Internetadresse für den Klartext- Domainnamen besitzt oder erhalten kann, übermittelt der Na­ men-Server die Zahlen-Internetadresse, welche dem Klartext- Domainnamen entspricht, zu der Vorrichtung des Bedieners. Die Vorrichtung kann sodann die Zahlen-Internetadresse, welche von dem Namen-Server zurückgesendet wurde, in das Nachrichtenpaket einfügen und das Nachrichtenpaket an den ISP für die Übertragung über das Internet auf konventionel­ ler Weise liefern. Die Internet-Schaltungsknoten verwenden die Zahlen-Internetadresse, um das Nachrichtenpaket an die gewünschte Zielvorrichtung zu übermitteln.
Andere Probleme treten insbesondere in Verbindung mit der Übertragung von Information über ein öffentliches WAN, z. B. das Internet, auf. Ein Problem besteht darin, sicherzustel­ len, daß die über das WAN übertragene Information, welche die Quellenvorrichtung und die Zielvorrichtung vertraulich behalten möchten, auch tatsächlich vertraulich bleibt ge­ genüber möglichen Lauschern, welche die Information abfan­ gen können. Um die Vertraulichkeit zu wahren, wurden ver­ schiedene Formen von Verschlüsselung entwickelt und werden verwendet, um die Information vor der Übertragung durch die Quellenvorrichtung zu verschlüsseln und die Information nach deren Empfang durch die Zielvorrichtung zu entschlüs­ seln. Falls gewünscht wird, daß beispielsweise die gesamte Information, welche zwischen einer bestimmten Quellenvor­ richtung und einer bestimmten Zielvorrichtung übertragen wird, vertraulich bleiben soll, können die Vorrichtungen einen sog. "Sicherheitstunnel" zwischen den Vorrichtungen einrichten, der im wesentlichen sicherstellt, daß die ge­ samte Information, welche von der Quellenvorrichtung an die Zielvorrichtung übertragen wird, vor der Übertragung ver­ schlüsselt wird (mit Ausnahme von bestimmten Protokollin­ formationen, wie Adresseninformation, welche den Fluß von Netzpaketen über das Netzwerk zwischen der Quellen- und Zielvorrichtung steuert), und daß die verschlüsselte Infor­ mation vor der Verwendung durch die Zielvorrichtung ent­ schlüsselt wird. Die Quellen- und Zielvorrichtungen können jeweils für sich eine Verschlüsselung bzw. Entschlüsselung durchführen, oder die Verschlüsselung und Entschlüsselung kann durch andere Vorrichtungen durchgeführt werden, bevor die Nachrichtenpakete über das Internet übertragen werden.
Ein weiteres Problem, welches insbesondere im Zusammenhang mit Unternehmen, Regierungsämtern und privaten Organisatio­ nen auftritt, deren private Netzwerke, welche LANs, WANs oder etwaige Kombinationen derselben sein können, mit öf­ fentlichen WANs, z. B. dem Internet, verbunden sind, besteht darin, sicherzustellen, daß deren private Netzwerke sicher sind gegenüber anderen Netzwerken, zu welchen z. B. die Un­ ternehmen keinen Zugriff haben möchten, oder einen Zugriff durch andere zu regulieren und zu kontrollieren, zu welchen z. B. die jeweiligen Organisationen einen begrenzten Zugriff haben möchten. Um dies umzusetzen, verbinden die Organisa­ tionen in der Regel ihre privaten Netzwerke mit öffentli­ chen WANs über eine begrenzte Anzahl von Gateways, welche manchmal als "Firewalls" bezeichnet werden, durch welche der gesamte Netzverkehr zwischen dem internen und dem öf­ fentlichen Netzwerk läuft. In der Regel sind Netzwerkadres­ sen von Domains und Vorrichtungen in dem privaten Netzwerk "hinter" der Firewall den Namen-Servern bekannt, welche in den privaten Netzwerken vorgesehen sind; sie sind aber nicht zugänglich für Namen-Server oder andere Vorrichtungen außerhalb der privaten Netzwerke, was die Kommunikation zwischen einer Vorrichtung außerhalb des privaten Netzwer­ kes und einer Vorrichtung innerhalb des privaten Netzwerkes schwierig macht.
Ein Ziel der vorliegend Erfindung ist es, hier Abhilfe zu schaffen.
Dieses Ziel erreicht die Erfindung durch die Gegenstände der Ansprüche 1, 7 und 13. Bevorzugte Ausführungsbeispiele der Erfindung sind in den jeweils abhängigen Ansprüchen be­ schrieben.
Danach schafft die Erfindung ein neuartiges und verbesser­ tes System und ein Verfahren zum Vereinfachen von Kommuni­ kation zwischen Vorrichtungen, welche mit öffentlichen Netzwerken, z. B. dem Internet, verbunden sind, und Vorrich­ tungen, welche mit privaten Netzwerken verbunden sind, wo­ bei die Auflösung von Sekundäradressen, wie etwa Text- bzw. Klartextnamen im Internet, in die zugehörigen Netzwer­ kadressen durch Namen-Server oder ähnliche Vorrichtungen, die mit den privaten Netzwerken verbunden sind, ermöglicht wird.
Hierfür stellt die Erfindung ein System zur Verfügung mit einem virtuellen Privaten Netzwerk und einer externen Vor­ richtung, welche durch ein digitales Netzwerk miteinander verbunden sind, sowie ein Kommunikationsverfahren und ein Computerprogrammprodukt zum gemeinsamen Verwenden mit einem derartiges System. Das virtuelle private Netzwerk weist eine Firewall bzw. ein Firewall-System, wenigstens eine interne Vorrichtung und einen Namen-Server auf, welche jeweils eine Netzwerkadresse besitzen. Die interne Vorrichtung besitzt ferner eine Sekundäradresse, und der Namen-Server ist derart konfiguriert, daß er eine Zuordnung zwischen der Sekun­ däradresse und der Netzwerkadresse bereitstellt. In Reaktion auf eine Anfrage von der externen Vorrichtung zum Aufbau ei­ ner Verbindung zur Firewall übermittelt die Firewall der ex­ ternen Vorrichtung die Netzwerkadresse des Namen-Servers. In Reaktion auf eine Anfrage von einem Bediener oder ähnli­ chem, welche die Sekundäradresse der internen Vorrichtung enthält und einen Zugriff an die interne Vorrichtung anfor­ dert, erzeugt die externe Vorrichtung eine Netzwerkadressen- Anfragenachricht zur Übertragung über die Verbindung an die Firewall, welche eine Auflösung der Netzwerkadresse, die der Sekundäradresse zugeordnet ist, anfordert. Die Firewall übermittelt die Adressenauflösungsanfrage an den Namen- Server und der Namen-Server übermittelt die Netzwerkadresse, welche der Sekundäradresse zugeordnet ist, an die Firewall. Daraufhin stellt die Firewall die Netzwerkadresse in einer Netzwerkadressenantwortnachricht zur Übertragung über die Verbindung an die externe Vorrichtung bereit. Die externe Vorrichtung kann sodann die auf diese Weise bereitgestellte Netzwerkadresse in nachfolgenden an die interne Vorrichtung gerichtete Kommunikationen mit der Firewall verwenden.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der nachfolgenden detaillierten Beschreibung eines bevorzugten Ausführungsbeispiels. In der Beschreibung wird auf die beigefügte schematische Zeichnung Bezug genommen. Darin zeigt:
Fig. 1 ein funktionelles Blockdiagramm eines erfindungs­ gemäßen Netzwerkes.
Fig. 1 zeigt ein funktionelles Blockdiagramm eines Netzwer­ kes 10, welches gemäß der vorliegenden Erfindung aufgebaut ist. Das Netzwerk 10 gemäß Fig. 1 umfaßt einen Internet- Service-Provider (nachfolgend "ISP") 11, welcher die Über­ tragung von Nachrichtenpaketen zwischen einer oder mehreren Vorrichtungen 12(1) bis 12(M) (nachfolgend allgemeinen mit dem Bezugszeichen 12(m) identifiziert), welche mit dem ISP 11 verbunden sind, und anderen Vorrichtungen, welche allge­ mein durch ein Bezugszeichen 13 gekennzeichnet sind, über das Internet 14 ermöglicht, wobei die Übertragung von In­ formation in Nachrichtenpaketen zwischen den Vorrichtungen 12(m) und 13 realisiert wird. Der ISP 11 verbindet das In­ ternet 14 über eine oder mehrere logische Verbindungen oder Gateways oder ähnlichem (im vorliegenden allgemein als "Verbindungen" bezeichnet), welche allgemein durch das Be­ zugszeichen 41 gekennzeichnet sind. Der ISP 11 kann ein öf­ fentlicher ISP sein, welcher in diesem Falle die Verbindung mit Vorrichtungen 12(m) herstellt, welche durch Bediener betrieben werden können, die der allgemeinen Öffentlichkeit angehören, so daß diese Bediener Zugang zu dem Internet er­ langen. Alternativ dazu kann der ISP 11 ein privater ISP sein. In diesem Falle werden die damit verbundenen Vorrich­ tungen 12(m) im allgemeinen beispielsweise durch Angestell­ te eines bestimmten Unternehmens oder einer Regierungsein­ richtung, Mitgliedern von einer privaten Organisation oder ähnlichen betrieben, um diesen Angestellten oder Mitglieder einen Zugang in das Internet bereit zu stellen.
In an sich konventioneller Weise weist das Internet ein Netz von Schaltungsknoten auf (welche nicht separat darge­ stellt sind), welche die ISPs 11 und die Vorrichtungen 13 miteinander verbinden, um dazwischen die Übertragung von Nachrichtenpaketen zu ermöglichen. Die Nachrichtenpakete, welche über das Internet 14 übertragen werden, stimmen mit denjenigen überein, welche durch das sog. Internet­ protokoll (IP) definiert werden, und umfassen einen Kopfab­ schnitt, einen Datenabschnitt und können einen Fehlererfas­ sungs- und/oder Korrekturabschnitt aufweisen. Der Kopfab­ schnitt enthält Information, welche verwendet wird, um das Nachrichtenpaket über das Internet 14 zu übertragen, bei­ spielsweise eine Zieladresse, welche die Vorrichtung iden­ tifiziert, welche das Nachrichtenpaket als Zielvorrichtung empfangen soll, und eine Quellenadresse, welche diejenige Vorrichtung identifiziert, welche das Nachrichtenpaket er­ zeugt hat. In jedem Nachrichtenpaket haben die Ziel- und Quellenadresse jeweils die Form einer Zahl, welche eindeu­ tig die jeweilige Ziel- bzw. Quellenvorrichtung identifi­ ziert. Die Schaltungsknoten im Internet 14 verwenden wenig­ stens die Zieladresse eines jeweiligen Nachrichtenpaketes, um das jeweilige Nachrichtenpaket an die Zielvorrichtung zu übermitteln, wenn die Zielvorrichtung an das Internet ange­ schlossen ist, oder an einen ISP 11 oder andere Vorrichtun­ gen, welche an das Internet 14 angeschlossen sind, welche sodann das Nachrichtenpaket an das geeignete Ziel senden werden. Der Datenabschnitt eines jeden Nachrichtenpakets enthält die in dem Nachrichtenpaket übertragenen Daten; und der Fehlererfassungs- und/oder Korrekturabschnitt enthält Fehlererfassungs- und/oder Korrekturinformationen, welche verwendet werden können, um zu verifizieren, daß das Nach­ richtenpaket in korrekter Weise von der Quelle zu der Ziel­ vorrichtung übertragen wurde (im Fall der Fehlererfassungs­ information), und um ausgewählte Arten von Fehlern zu kor­ rigieren, falls das Nachrichtenpaket nicht korrekt übertra­ gen wurde (im Falle der Fehlerkorrekturinformation).
Die Vorrichtungen 12(m), welche mit dem ISP 11 verbunden sind, können jede beliebige Anzahl von Arten von Vorrich­ tungen umfassen, welche über das Internet 14 mit anderen Vorrichtungen 13 kommunizieren, umfassend z. B. Personalcom­ puter, Computer-Workstations und ähnliches. Jede Vorrich­ tung 12(m) kommuniziert mit dem ISP 11, um Nachrichtenpake­ te für die Übertragung über das Internet 14 an diesen zu übertragen, oder um Nachrichtenpakete, welche durch den ISP 11 über das Internet empfangen werden, von diesem zu emp­ fangen. Dabei kann jedes geeignete Protokoll verwendet wer­ den, z. B. das bekannte Point-to-Point Protokoll (allgemein mit "PPP" abgekürzt), falls die Vorrichtung 12(m) über eine Point-to-Point Verbindung mit dem ISP 11 verbunden ist, oder irgendein konventionelles "Multi-Drop" Protokoll, falls die Vorrichtung 12(m) mit dem ISP 11 über ein "Multi- Drop"-Netzwerk, z. B. das Ethernet, verbunden ist, oder ähn­ liches. Die Vorrichtungen 12(m) sind im allgemeinen ent­ sprechend der üblichen Computerarchitektur mit gespeicher­ ten Programmen aufgebaut, welche z. B. eine Systemeinheit, eine Bildschirmanzeigeeinheit und Bedienereingabeeinrich­ tungen, wie etwa eine Tastatur oder eine Maus, umfaßt. Eine Systemeinheit weist im allgemeinen eine oder mehrere Pro­ zessor-, Speicher-, Massenspeichereinrichtungen, z. B. Fest­ platten- und/oder Bandspeicherelemente, oder andere Elemen­ te (nicht separat gezeigt) auf, wie etwa Netzwerk- und/oder Telephonschnittstelleneinrichtungen, um die jeweilige Vor­ richtung an den ISP 11 anzukoppeln. Die Prozessor- bzw. Verarbeitungseinrichtungen verarbeiten Programme, ein­ schließlich Anwendungsprogramme, unter der Steuerung eines Betriebssystems, um verarbeitete Daten zu erzeugen. Die Bildschirmeinheit ermöglicht es der Vorrichtung, die verar­ beiteten Daten und einen Verarbeitungsstatus der Daten dem Benutzer anzuzeigen, und die Bedienereingabeeinrichtung er­ möglicht es dem Bediener, Daten einzugeben und die Verar­ beitung zu steuern.
Diese Elemente der Vorrichtung 12(m) arbeiten in Verbindung mit einer geeigneten Programmierung so zusammen, um eine Vorrichtung 12(m) mit einer Anzahl von funktionellen Ele­ menten bereit zustellen, beispielsweise eine Bediener­ schnittstelle 20, eine Netzwerkschnittstelle 21, einen Nachrichtenpaketgenerator 22, einen Nachrichtenpaketempfän­ ger und -prozessor 23, eine ISP Einloggsteuerung bzw. An­ meldungssteuerung 24, einen Internetparameterspeicher 25 und im Zusammenhang mit der vorliegenden Erfindung einen Sicherheits-Nachrichtenpaketprozessor 26. Die Bediener­ schnittstelle 20 ermöglicht, daß die Vorrichtung 12(m) Ein­ gabeinformationen von der/den Bedienereingabevorrich­ tung(en) der Vorrichtung 12(m) empfängt und die Ausgabein­ formationen dem Bediener auf der/den Bildschirmeinrich­ tung(en) der Vorrichtung 12(m) angezeigt werden. Die Netz­ werkschnittstelle 21 ermöglicht eine Verbindung der Vor­ richtung 12(m) mit dem ISP 11 unter Verwendung des geeigne­ ten PPP oder Netzwerkprotokolls, um Nachrichtenpakete an den ISP 11 zu übertragen und von diesem Nachrichtenpakete zu empfangen. Die Netzwerkschnittstelle 21 kann eine Ver­ bindung mit dem ISP 11 über das öffentliche Telefonnetz vorsehen, um einen Wählverbindungsnetzwerkbetrieb (sog. Dial-Up Betrieb) der Vorrichtung 12(m) über das öffentliche Telefonnetz zu ermöglichen. Alternativ oder zusätzlich dazu kann die Netzwerkschnittstelle 21 eine Verbindung durch den ISP 11 über beispielsweise ein konventionelles LAN ermögli­ chen, wie etwa das Ethernet. In Reaktion auf eine durch die Bedienerschnittstelle 20 gelieferte Eingabe und/oder in Re­ aktion auf Anfragen aus Programmen (nicht gezeigt), welche durch die Vorrichtung 12(m) verarbeitet werden, kommuni­ ziert die ISP Einloggsteuerung 24 über die Netzwerkschnitt­ stelle 21, um die Initialisierung (sog. "Log-On") einer Kommunikationssitzung zwischen der Vorrichtung 12(m) und dem ISP 11 zu ermöglichen. Während dieser Kommunikations­ sitzung kann die Vorrichtung 12(m) Information in der Form von Nachrichtenpaketen an andere Vorrichtungen über das In­ ternet 14 sowie an andere Vorrichtungen 12(m') (wobei m' ≠ m), welche mit der ISP 11 oder mit anderen ISPs verbun­ den sind, übertragen. Während eines Log-On-Betriebs emp­ fängt die ISP Einloggsteuerung 24 die Internetprotokollpa­ rameter (IP-Parameter), welche im Zusammenhang mit einer Nachrichtenpaketerzeugung während der Kommunikationssitzung verwendet werden.
Während einer Kommunikationssitzung erzeugt der Nachrich­ tenpaketgenerator 22 Nachrichtenpakete zur Übertragung durch die Netzwerkschnittstelle 21 in Reaktion auf eine Eingabe, welche durch den Bediener über die Bediener­ schnittstelle 20 geliefert wird und/oder in Reaktion auf Anfragen aus Programmen (nicht separat gezeigt), welche durch die Vorrichtung 12(m) verarbeitet werden. Die Netz­ werkschnittstelle 21 empfängt auch Nachrichtenpakete aus dem ISP 11 und liefert diese an den Nachrichtenpaketempfän­ ger und -prozessor 23 zur Verarbeitung und Bereitstellung an die Bedienerschnittstelle 20 und/oder anderen Programmen (nicht gezeigt), welche durch die Vorrichtung 12(m) verar­ beitet werden. Falls die empfangenen Nachrichtenpakete eine Information enthalten, z. B. Web-Seiten oder ähnliches, wel­ che dem Bediener angezeigt werden soll, kann die Informati­ on der Bedienerschnittstelle 20 geliefert werden, damit die Information auf der Bildschirmeinheit der Vorrichtung ange­ zeigt wird. Zusätzlich oder alternativ dazu kann die Infor­ mation an andere Programme (nicht gezeigt) zur Verarbeitung geliefert werden, welche durch die Vorrichtung 12(m) verar­ beitet werden.
Im allgemeinen können die Elemente, wie die Bediener­ schnittstelle 20, der Nachrichtenpaketgenerator 22, der Nachrichtenpaketempfänger und -prozessor 23, die ISP Ein­ loggsteuerung 24 und der Internetparameterspeicher 25 Ele­ mente eines konventionellen Internet-Browsers enthalten, wie die von Mosaic, Netscape Navigator und Microsoft Inter­ net Explorer.
Wie es oben erwähnt wurde, weist die Vorrichtung 12(m) im Zusammenhang mit der vorliegenden Erfindung einen Sicher­ heits-Nachrichtenpaketprozessor 26 auf. Der Sicherheits- Nachrichtenpaketprozessor 26 ermöglicht den Aufbau und Ver­ wendung eines "Sicherheitstunnels" zwischen der Vorrichtung 12(m) und anderen Vorrichtungen 12(m') (wobei m' ≠ m) oder 13, wie es welches weiter unten beschrieben wird. Im allge­ meinen wird in einem solchen Sicherheitstunnel Information in wenigstens dem Datenabschnitt der zwischen der Vorrich­ tung 12 (m) und einer spezifischen anderen Vorrichtung 12(m') (wobei m' ≠ m) oder 13 übertragenen Nachrichtenpakete geheimgehalten, beispielsweise durch Verschlüsselung des Datenabschnittes vor der Übertragung durch die Quellenvor­ richtung. Die Information in anderen Abschnitten eines der­ artigen Nachrichtenpakets kann ebenfalls geheimgehalten werden, mit Ausnahme der Information, welche benötigt wird, um die Übertragung des jeweiligen Nachrichtenpakets zwi­ schen den Vorrichtungen zu ermöglichen, also z. B. wenig­ stens die Zielinformation, damit die Schaltungsknoten des Internets und die ISPs die Vorrichtung identifizieren kön­ nen, welche das Nachrichtenpaket empfangen soll.
Zusätzlich zu dem ISP 11 kann eine Vielzahl von anderen ISPs die Verbindung zum Internet herstellen, wie es durch die Pfeile 16 angedeutet ist, um eine Kommunikation zwi­ schen Vorrichtungen, welche an diesen anderen ISPs ange­ schlossen sind, mit anderen Vorrichtungen über das Internet zu ermöglichen, welche die Vorrichtungen 12(n), welche an dem ISP 11 angeschlossen sind, umfassen können.
Die Vorrichtungen 13, auf welche die Vorrichtungen 12(m) zugreifen und mit welchen diese kommunizieren, können auch von jeder beliebigen Anzahl von Arten von Vorrichtungen sein, einschließlich Personalcomputer, Computer- Workstations und ähnliches, oder auch Minicomputer und Großrechner, Großspeichersysteme, Rechenserver, lokale Netzwerke (LANs) und Fernverbindungsnetzwerke (WANs), wel­ che derartige Vorrichtungen und zahlreiche andere Arten von Vorrichtungen enthalten, die direkt oder indirekt mit den Netzwerken verbunden werden können. Nach der vorliegenden Erfindung umfaßt wenigstens eine der Vorrichtungen wenig­ stens ein privates Netzwerk, welches als virtuelles priva­ tes Netzwerk 15 gekennzeichnet ist und z. B. die Form eines LAN oder eines WAN haben kann. Das virtuelle private Netz­ werk 15 kann jede der Vorrichtungen 12(m') (wobei m' ≠ m) aufweisen (wobei die Verbindung zu dem Internet 14 über ei­ nen ISP erfolgt) oder der Vorrichtungen 13 (wobei die Ver­ bindung zu dem Internet 14 unmittelbar erfolgt). Bei dem vorliegend beschriebenen Ausführungsbeispiel wird angenom­ men, daß das virtuelle Netzwerk 15 eine Vorrichtung 13 auf­ weist. Das virtuelle private Netzwerk 15 umfaßt selbst meh­ rere Vorrichtungen, welche hier als eine Firewall bzw. ein Firewall-System 30, mehrere Server 31(1) bis 31(S) (im nachfolgenden allgemein mit dem Bezugszeichen 31(s) angege­ ben) und ein Namen-Server 32 gekennzeichnet sind, wobei al­ lesamt durch eine Übertragungsverbindung 33 miteinander verbunden sind. Die Firewall 30 und die Server 31(s) können ähnlich sein wie jede der verschiedenen Arten von Vorrich­ tungen 12(m) und 13, die hier beschrieben sind, und können daher beispielsweise umfassen Personalcomputer, Computer- Workstations und ähnliches, aber auch Minicomputer und Großrechner, Großspeichersysteme, Rechenserver, lokale Netzwerke (LANs) und Fernverbindungsnetzwerke (WANs), wel­ che derartige Vorrichtungen und zahlreiche andere Arten von Vorrichtungen umfassen, welche direkt oder indirekt mit den Netzwerken verbunden werden können.
Wie oben ausgeführt wurde, kommunizieren diese Vorrichtun­ gen einschließlich der Vorrichtungen 12(m) und der Vorrich­ tungen 13 durch Übertragung von Nachrichtenpaketen über das Internet. Die Vorrichtungen 12(m) und 13 können Information in einem Peer-to-Peer bzw. gleichrangigem Modus, in einem Client-Server Modus oder nach beiden dieser Modi übertra­ gen. Im allgemeinen überträgt eine Vorrichtung in einer Peer-to-Peer Nachrichtenpaketübertragung Information in ei­ nem oder mehreren Nachrichtenpaketen an die andere Vorrich­ tung. Andererseits kann eine Vorrichtung, welche in einem Client-Server Modus als Client fungiert, ein Nachrichtenpa­ ket an eine andere Vorrichtung übertragen, welche als Ser­ ver fungiert, um beispielsweise einen Dienst durch die an­ dere Vorrichtung auszulösen. Mehrere Arten derartiger Dien­ ste sind dem Fachmann bekannt, beispielsweise das Wiederge­ winnen bzw. Auslesen von Information aus der anderen Vor­ richtung, damit diese aktiviert wird, um Verarbeitungsope­ rationen und dergleichen durchzuführen. Falls der Server dazu dient, dem Client vor allem Informationen zu liefern, kann dieser allgemein als ein Speicherserver bezeichnet werden. Falls der Server andererseits Verarbeitungsopera­ tionen auf Anfrage des Client ausführen soll, kann dieser allgemein als ein Rechnerserver bezeichnet werden. Andere Arten von Servern zum Ausführen von anderen Arten von Dien­ sten und Operationen auf Anfrage von Clients sind dem Fach­ mann ebenfalls bekannt.
Wenn in einer Client-Server Anordnung eine Vorrichtung 12(m) einen Dienst durch beispielsweise eine Vorrichtung 13 ausgeführt haben möchte, erzeugt die Vorrichtung 12(m) ei­ nes oder mehrere Anfragenachrichtenpakete zur Übertragung an die Vorrichtung 13, welche den benötigten Dienst anfor­ dern. Das Anfragenachrichtenpaket enthält die Internet­ adresse der Vorrichtung 13, welche als die Zielvorrichtung das Nachrichtenpaket empfängt und den Dienst ausführt. Die Vorrichtung 12 (m) überträgt das/die Anfragenachrichtenpa­ ket(e) an den ISP 11. Der ISP 11 überträgt daraufhin das Nachrichtenpaket über das Internet an die Vorrichtung 13.
Falls die Vorrichtung 13 die Form eines WAN oder LAN hat, empfängt das WAN oder LAN das/die Nachrichtenpaket(e) und leitet dieses/diese zu einer dort angeschlossenen Vorrich­ tung weiter, welche den angeforderten Dienst ausführen soll.
In jedem Fall wird die Vorrichtung 13, welche den angefor­ derten Dienst ausführen soll, nach Empfang des/der Anfra­ genachrichtenpaket(e) die Anfrage bearbeiten. Falls die Vorrichtung 12(m), welche das/die Anfragenachrichtenpa­ ket(e) erzeugt hat, oder deren Bediener die notwendigen Be­ fugnisse hat, um den Dienst von der Vorrichtung 13 anzufor­ dern, und falls der angeforderte Dienst die Einleitung ei­ ner Informationsübertragung aus der Vorrichtung 13 als ein Speicherserver an die Vorrichtung 12(m) als ein Client um­ faßt, erzeugt die Vorrichtung 13 eines oder mehrere Ant­ wortnachrichtenpakete, welche die angeforderten Information enthalten, und überträgt das/die Paket(e) über das Internet 14 an den ISP 11. Daraufhin überträgt der ISP 11 das/die Nachrichtenpaket(e) an die Vorrichtung 12(m). Falls ande­ rerseits der angeforderte Dienst die Einleitung eines Ver­ arbeitungsvorganges durch die Vorrichtung 13 als ein Re­ chenserver beinhaltet, wird die Vorrichtung 13 den/die an­ geforderten Rechendienst(e) ausführen. Falls die Vorrich­ tung 13 verarbeitete Daten, welche während den Rechenvor­ gängen erzeugt wurden, an die Vorrichtung 12(m) als Client zurücksenden soll, erzeugt die Vorrichtung 13 zusätzlich eines oder mehrere Antwortnachrichtenpakete, welche die verarbeiteten Daten enthalten und überträgt das/die Pa­ ket(e) über das Internet 14 an den ISP 11. Der ISP 11 über­ trägt daraufhin das/die Nachrichtenpaket(e) an die Vorrich­ tung 12(m). Entsprechende Operationen können durch die Vor­ richtungen 12(m) und 13, dem ISP 11 und dem Internet 14 in Verbindung mit anderen Arten von Diensten ausgeführt wer­ den, welche durch die Server-Vorrichtungen 13 bereitge­ stellt werden können.
Wie oben angemerkt wurde, enthält jedes Nachrichtenpaket, welches durch die Vorrichtungen 12(m) und 13 zur Übertra­ gung über das Internet 14 erzeugt wird, eine Zieladresse,­ welche von den Schaltungsknoten verwendet wird, um das je­ weilige Nachrichtenpaket an die geeignete Zielvorrichtung zu leiten. Adressen im Internet haben die Form von "n"-Bit Zahlen (wobei "n" beim gegenwärtigen Standard 32 oder 128 sein kann). Um insbesondere einen Bediener einer Vorrich­ tung 12(m) von der Notwendigkeit zu befreien, sich spezifi­ sche Zahlenkolonnen bzw. Zahlen-Internetadressen zu merken und diese der Vorrichtung 12(m) einzugeben, um die Erzeu­ gung eines Nachrichtenpakets zur Übertragung über das In­ ternet einzuleiten, stellt das Internet einen zweiten Adressierungsmechanismus zur Verfügung, welcher einfacher durch menschliche Bediener der jeweiligen Vorrichtungen handhabbar ist. Bei diesem Adressierungsmechanismus werden Internet-Domains, wie etwa LANs, Internet-Service-Provider (ISPs) und ähnliche, welche in bzw. mit dem Internet ver­ bunden sind, durch relativ einfach les- und merkbare Namen, sog. Klartextnamen, identifiziert. Dabei soll sich hier die Bezeichnung "Klartextname" auf jede Art von Namenstext be­ ziehen, z. B. auch auf Abkürzungen, generische Bezeichnun­ gen, Phantasiebegriffe, etc. Um das System der Klartext- Domainnamen umzusetzen, ist der ISP 11 mit einem Namen- Server 17 (der auch als ein DNS Server (Domain Name Server) bezeichnet werden kann) verbunden, welcher die Klartext- Domainnamen auflösen bzw. in eine gültige Internetadresse umwandeln kann, um die geeignete Internetadresse für das in dem jeweiligen Klartextnamen angegebene Ziel bereitzustel­ len. Im allgemeinen kann der Namen-Server ein Teil des ISP 11 oder damit direkt verbunden sein, wie es in Fig. 1 ge­ zeigt ist, oder er kann eine bestimmte Vorrichtung sein, welche durch den ISP über das Internet zugänglich ist. Je­ denfalls wenn sich die Vorrichtung 12(m) bei dem ISP 11 während einer Kommunikationssitzung einloggt, wird der ISP 11, wie oben hingewiesen wurde, verschiedene Internet- Protokollparameter (IP-Parameter) zuordnen, welche die Vor­ richtung 12(m) während der Kommunikationssitzung verwendet, und welche in dem Internetparameterspeicher 25 gespeichert sind. Diese IP-Parameter enthalten Informationen, wie
  • (a) eine Internetadresse für die Vorrichtung 12(m), welche die Vorrichtung 12(m) während der Kommuniationssitzung identifiziert; und
  • (b) die Identifizierung eines Namen-Servers 17, welchen die Vorrichtung 12(m) während der Kommunikationssit­ zung verwendet.
Wenn die Vorrichtung 12(m) Nachrichtenpakete zur Übertra­ gung erzeugt, fügt sie ihre Internetadresse (obiger Punkt (a)) als die Quellenadresse ein. Die Vorrichtung(en) 13, welche die jeweiligen Nachrichtenpakete empfängt/empfangen, kann/können die Quellenadresse aus den Nachrichtenpaketen, welche von der Vorrichtung 12(m) empfangen werden, in Nach­ richtenpaketen verwenden, welche die Vorrichtung(en) 13 zur Übertragung an die Vorrichtung 12(m) erzeugt/erzeugen, so daß das Internet in der Lage ist, die durch die jeweilige Vorrichtung 13 erzeugten Nachrichtenpakete an die Vorrich­ tung 12(m) zu leiten. Falls die Vorrichtung 12(m) auf den Namen-Server 17 über das Internet 14 zugreift, hat die durch den ISP 11 bereitgestellte Identifizierung des Namen- Servers 17 (siehe oben unter (b)) die Form einer Zahlen- Internetadresse, welche es der Vorrichtung 12(m) ermög­ licht, für den Namen-Server 17 Nachrichten zu erzeugen, welche eine Auflösung der Klartext-Internetadressen in Zah­ len-Internetadressen anfordern. Der ISP 11 kann der Vor­ richtung 12(m) auch andere IP-Parameter zuordnen, wenn die­ se sich beim ISP 11 einloggt, beispielsweise die Identifi­ zierung einer Verbindung zu dem Internet 14, welche für Nachrichten zu verwenden ist, die durch die Vorrichtung 12(m) übersandt werden, insbesondere falls der ISP 11 Mehr­ fach-Gateways aufweist. In der Regel speichert die Vorrich­ tung 12(m) die Internetparameter im Internetparameterspei­ cher 25 für die Verwendung während der Kommunikationssit­ zung.
Wenn ein Bediener die Vorrichtung 12(m) veranlassen möchte, daß sie ein Nachrichtenpaket an eine Vorrichtung 13 über­ trägt gibt der oder die Bediener(in) die Internetadresse der Vorrichtung 13 an die Vorrichtung 12(m) über die Bedie­ nerschnittstelle 20 ein, sowie eine Information oder die Identifizierung der in der Vorrichtung 12(m) aufbewahrten Information, welche in der Nachricht überragen werden sol­ len. Die Bedienerschnittstelle 20 aktiviert daraufhin den Paketgenerator 22 zur Freigabe der benötigten Pakete zur Übertragung durch den ISP 11 über das Internet 14. Falls
  • (i) der Bediener die Zahlen-Internetadresse be­ reitgestellt hat, oder
  • (ii) der Bediener die Klartext-Internetadresse be­ reitgestellt hat, aber der Paketgenerator 22 be­ reits die Zahlen-Internetadresse besitzt, welche der durch den Bediener eingegebenen Klartext- Internetadresse entspricht,
kann der Paketgenerator
22
unmittelbar nach Aktivierung durch die Bedienerschnittstelle
20
die Pakete erzeugen und diese an die Netzwerkschnittstelle
21
zur Übertragung an den ISP
11
liefern.
Falls aber der Bediener die Klartext-Internetadresse der Vorrichtung 13, an welche die Pakete zu übertragen sind, eingegeben hat, und falls der Paketgenerator 22 die ent­ sprechende Zahlen-Internetadresse davon nicht bereits be­ sitzt, ermöglicht es der Paketgenerator 22, daß die Netz­ werkadresse von dem Namen-Server 17, der in dem IP-Parameterspeicher 25 identifiziert ist, erhalten wird.
Bei diesem Vorgang wird der Paketgenerator 22 anfänglich den Namen-Server 17 kontaktieren, um zu versuchen, die ge­ eignete Zahlen-Internetadresse von dem Namen-Server 17 zu erhalten. Bei diesem Vorgang wird die Vorrichtung 12(m) ge­ eignete Nachrichtenpakete zur Übertragung an den Namen- Server 17 unter Verwendung der Zahlen-Internetadresse des Namen-Servers 17 erzeugen, welche durch den ISP 11 bereit­ gestellt wird, wenn sich die Vorrichtung 12(m) zu Beginn der Kommunikationssitzung einloggt. Jedenfalls wenn der Na­ men-Server 17 die Zahlen-Internetadresse für den Klar­ textnamen besitzt oder erhalten kann, wird der Namen-Server 17 die Zahlen-Internetadresse an die Vorrichtung 12(m) übermitteln. Die Zahlen-Internetadresse wird durch den Pa­ ketgenerator 22 über die Netzwerkschnittstelle 21 und den Paketempfänger und -prozessor 23 empfangen. Nachdem der Pa­ ketgenerator 22 die Zahlen-Internetadresse empfangen hat, kann er die notwendigen Nachrichtenpakete zur Übertragung an die Vorrichtung 13 durch die Netzwerkschnittstelle 21 und den ISP 11 erzeugen.
Wie oben ausgeführt wurde, ist in Fig. 1 eine der Vorrich­ tungen 13, welche an das Internet 14 angeschlossen sind, ein virtuelles privates Netzwerk 15, wobei das virtuelle private Netzwerk 15 eine Firewall bzw. ein Firewall-System 30, mehrere als Server 31(s) gekennzeichnete Vorrichtungen und einen Namen-Server 32 aufweist, die durch eine Übertra­ gungsverbindung 33 miteinander verbunden sind. Die Server 31(s), die Firewall 30 und der Namen-Server 32 können als z. B. in einem LAN oder WAN verbundene Vorrichtungen unter­ einander Information in Form von Nachrichtenpaketen austau­ schen. Da die Firewall 30 mit dem Internet 14 verbunden ist und darüber Nachrichtenpakete empfangen kann, hat sie auch eine Internetadresse. Zusätzlich haben wenigstens die Ser­ ver 31(s), welche über das Internet zugänglich sind, auch jeweilige Internetadressen. Dabei dient der Namen-Server 32 der Umwandlung von Klartext-Internetadressen für die Server 31(s) innerhalb des virtuellen privaten Netzwerkes 15 in die jeweiligen Zahlen-Internetadressen.
Im allgemeinen wird das virtuelle private Netzwerke 15 von einem Unternehmen, einem Regierungsamt, einer Organisation oder ähnlichem gehalten, welche möchten, daß die Server 31(s) Zugriff auf andere Vorrichtungen außerhalb des virtu­ ellen privaten Netzwerkes 15 haben und an diese Information über das Internet 14 übertragen können, aber welche eben­ falls möchten, daß der Zugriff an die Server 31(s) durch Vorrichtungen 12(m) und andere externe Vorrichtungen über das Internet 14 in einer kontrollierten Weise begrenzt ist. Die Firewall 30 dient dazu, den Zugriff durch Vorrichtungen außerhalb des virtuellen privaten Netzwerkes 15 auf Server 31(s) innerhalb des virtuellen privaten Netzwerkes 15 zu kontrollieren. Bei diesem Vorgang stellt die Firewall 30 auch die Verbindung zum Internet 14 her und empfängt Nach­ richtenpakete darüber zur Übertragung an einen Server 31(s). Falls das Nachrichtenpaket angibt, daß die Quelle des Nachrichtenpaketes einen Zugriff auf einen bestimmten Server 31(s) anfordert, und falls die Quelle für den Zu­ griff an den Server 31(s) authorisiert ist, sendet die Firewall 30 das Nachrichtenpaket über die Übertragungsver­ bindung 33 an den Server 31(s). Falls andererseits die Quelle nicht authorisiert ist, auf den Server 31(s) zuzu­ greifen, wird die Firewall 30 das Nachrichtenpaket nicht an den Server 31(s) übersenden, und kann anstelle ein Antwort­ nachrichtenpaket an die Quellenvorrichtung übermitteln, welches angibt, daß die Quelle nicht für den Zugriff an den Server 31(s) authorisiert ist. Die Firewall kann ähnlich aufgebaut sein wie die anderen Vorrichtungen 31(s) in dem virtuellen privaten Netzwerk 15, wobei zusätzlich eine oder mehrere Verbindungen mit dem Internet vorhanden sind, wel­ che allgemein durch das Bezugszeichen 43 gekennzeichnet sind.
Kommunikationen zwischen Vorrichtungen außerhalb des virtu­ ellen privaten Netzwerkes 15, z. B. der Vorrichtung 12(m), und einer Vorrichtung, z. B. einem Server 31(s), innerhalb des virtuellen privaten Netzwerkes 15 kann über einen Si­ cherheitstunnel zwischen der Firewall 30 und der externen Vorrichtung, wie es oben beschrieben ist, erreicht werden, damit die ausgetauschten Information geheim bleiben, wäh­ rend diese über das Internet 14 und durch den ISP 11 über­ tragen werden. Ein Sicherheitstunnel zwischen der Vorrich­ tung 12(m) und dem virtuellen privaten Netzwerk 15 ist in Fig. 1 durch logische Verbindungen dargestellt, welche durch die Bezugszeichen 40, 42 und 44 gekennzeichnet sind; es versteht sich, daß die logischen Verbindung 42 eine der logischen Verbindungen 41 zwischen dem ISP 11 und dem In­ ternet 14 und die logische Verbindung 44 eine der logischen Verbindungen 43 zwischen dem Internet 14 und der Firewall 30 umfaßt.
Der Aufbau eines Sicherheitstunnels kann durch eine Vor­ richtung 12(m), die extern zu dem virtuellen privaten Netz­ werk 15 ist, ausgelöst werden. Bei diesem Vorgang erzeugt die Vorrichtung 12(m) in Reaktion auf eine Aufforderung durch deren Bediener ein Nachrichtenpaket zur Übertragung durch den ISP 11 und das Internet 14 an die Firewall 30, welches den Aufbau eines Sicherheitstunnels zwischen der Vorrichtung 12(m) und der Firewall 30 anfordert. Das Nach­ richtenpaket kann an eine bestimmte Zahlen-Internetadresse gerichtet sein, welche der Firewall 30 zugeordnet ist und welche für Sicherheitstunnelaufbauanfragen reserviert ist, und welche ferner der Vorrichtung 12(m) bekannt ist und durch den Namen-Server 17 bereitgestellt wird. Falls die Vorrichtung 12(m) authorisiert ist, auf einen Server 31(s) in dem virtuellen privaten Netzwerk 15 zuzugreifen, nehmen die Vorrichtung 12(m) als Client und die Firewall 30 einen Dialog auf, welcher den Austausch von einem oder mehreren Nachrichtenpaketen über das Internet 14 umfaßt. Während des Dialogs kann die Firewall 30 der Vorrichtung 12(m) die Identifizierung eines Entschlüsselungsalgorithmus und einen zugehörigen Entschlüsselungsschlüssel bereitstellen, welche die Vorrichtung 12(m) beim Entschlüsseln der verschlüssel­ ten Abschnitte der Nachrichtenpakete zu verwenden hat, wel­ che das virtuelle private Netzwerk an die Vorrichtung 12(m) überträgt. Zusätzlich dazu kann die Firewall 30 der Vor­ richtung 12(m) auch die Identifizierung eines Verschlüsse­ lungsalgorithmus und einen zugehörigen Verschlüsselungs­ schlüssel bereitstellen, welche die Vorrichtung 12(m) beim Verschlüsseln der Abschnitte der Nachrichtenpakete zu ver­ wenden hat, welche die Vorrichtung 12(m) an das virtuelle private Netzwerk 15 überträgt und welche verschlüsselt wer­ den sollen. Alternativ dazu kann die Vorrichtung 12(m) die Identifizierung des Verschlüsselungsalgorithmus und des Verschlüsselungsschlüssels, welche die Vorrichtung 12(m) verwenden wird, an die Firewall 30 während des Dialogs lie­ fern. Die Vorrichtung 12(m) kann in ihrem IP-Parameterspeicher 25 Informationen betreffend den Sicher­ heitstunnel speichern, einschließlich der Information in Verbindung mit der Identifizierung der Firewall 30 und der Identifizierungen der Verschlüsselungs- und Entschlüsse­ lungsalgorithmen und dazugehöriger Schlüssel für Nachrich­ tenpakete, welche durch den Sicherheitstunnel übertragen werden.
Sodann können die Vorrichtung 12(m) und die Firewall 30 Nachrichtenpakete über den Sicherheitstunnel übertragen. Beim Erzeugen von Nachrichtenpaketen zur Übertragung über den Sicherheitstunnel verwendet die Vorrichtung 12(m) den Sicherheits-Paketprozessor 26, um die Abschnitte der Nach­ richtenpakete zu verschlüsseln, welche vor der Übertragung durch die Netzwerkschnittstelle 21 an den ISP 11 zur Über­ tragung über das Internet 14 an die Firewall 30 verschlüs­ selt werden sollen, und um die verschlüsselten Abschnitte der Nachrichtenpakete zu entschlüsseln, welche durch die Vorrichtung 12(m) empfangen werden und welche verschlüsselt sind. Insbesondere nachdem der Paketgenerator 22 ein Nach­ richtenpaket zur Übertragung an die Firewall 30 über den Sicherheitstunnel erzeugt hat, liefert er das Nachrichten­ paket an den Sicherheits-Paketprozessor 26. Der Sicher­ heits-Paketprozessor 26 verschlüsselt daraufhin die Ab­ schnitte des Nachrichtenpakets, welche verschlüsselt werden sollen, unter Verwendung des Verschlüsselungsalgorithmus und des Verschlüsselungsschlüssels. Nachdem die Firewall 30 ein Nachrichtenpaket von der Vorrichtung 12(m) über den Si­ cherheitstunnel empfangen hat, wird sie dieses entschlüs­ seln und, falls der beabsichtigte Empfänger des Nachrich­ tenpakets eine andere Vorrichtung, z. B. ein Server 31(s), in dem virtuellen privaten Netzwerk 15 ist, wird die Fire­ wall 30 das Nachrichtenpaket an diese andere Vorrichtung über die Übertragungsverbindung 33 übertragen.
Wenn ein Nachrichtenpaket von einer Vorrichtung, z. B. einem Server 31(s), in dem virtuellen privaten Netzwerk 15 an die Vorrichtung 12(m) über den Sicherheitstunnel übertragen werden soll, empfängt die Firewall 30 ein solches Nachrich­ tenpaket über die Übertragungsverbindung 33 und verschlüs­ selt das Nachrichtenpaket zur Übertragung über das Internet 14 an den ISP 11. Der ISP 11 sendet daraufhin das Nachrich­ tenpaket an die Vorrichtung 12(m), insbesondere an deren Netzwerkschnittstelle 21. Die Netzwerkschnittstelle 21 lie­ fert das Nachrichtenpaket an den Sicherheits-Paketprozessor 26, welcher die verschlüsselten Abschnitte des Nachrichten­ pakets unter Verwendung des Entschlüsselungsalgorithmus und -schlüssels entschlüsselt.
Ein Problem tritt auf im Zusammenhang mit Zugriffen durch eine Vorrichtung, z. B. einer Vorrichtung 12(m), welche ex­ tern zum virtuellen privaten Netzwerk 15 ist, und einer Vorrichtung, z. B. einem Server 31(s), welche extern zu der Firewall ist, nämlich dann, wenn dem Namen-Server 17 keine Zahlen-Internetadressen für die Server 31(s) und andere Vorrichtungen bereitgestellt sind, die sich innerhalb des virtuellen privaten Netzwerkes 15 befinden - mit Ausnahme der Zahlen-Internetadressen, welche der Firewall 30 zuge­ ordnet sind. Folglich wird die Vorrichtung 12(m) nach Ein­ gabe der Klartext-Internetadresse durch den Bediener nicht in der Lage sein, die Zahlen-Internetadresse des Servers 31(s) zu erhalten, wenn er auf den Namen-Server 17 zu­ greift.
Wenn die Vorrichtung 12(m) und die Firewall 39 zusammenar­ beiten, um einen dazwischenliegenden Sicherheitstunnel auf­ zubauen, liefert die Firewall 30 zur Behebung des obigen Problems an die Vorrichtung 12(m) zusätzlich zu möglichen Identifikationen der Verschlüsselungs- und Entschlüsselung­ salgorithmen und -schlüsseln, welche im Zusammenhang mit der Übertragung der Nachrichtenpakete über den Sicher­ heitstunnel zu verwenden sind, an die Vorrichtung 12(m) auch die Identifizierung eines Namen-Servers, z. B. eines Namen-Servers 32, innerhalb des virtuellen privaten Netz­ werkes 15, auf welchen die Vorrichtung 12(m) zugreifen kann, um die geeigneten Zahlen-Internetadressen für die Klartext-Internetadressen zu erhalten, welche durch den Be­ diener einer Vorrichtung 12(m) eingegeben werden. Die Iden­ tifizierung des Namen-Servers 32 wird ebenfalls in dem IP-Parameterspeicher 25 gespeichert, zusammen mit der Identi­ fizierung des Namen-Servers 17, welche durch den ISP 11 be­ reitgestellt wurde, sobald die Vorrichtung 12(m) beim ISP 11 zu Beginn einer Kommunikationssitzung eingeloggt wurde. Wenn daher die Vorrichtung 12(m) ein Nachrichtenpaket an eine Vorrichtung, z. B. einen Server 31(s), in dem virtuel­ len privaten Netzwerk 15 unter Verwendung einer Klartext- Internetadresse übertragen möchte, welche z. B. durch einen Bediener bereitgestellt bzw. eingegeben wurde, greift die Vorrichtung 12(m) zu Beginn auf den Namen-Server 17 zu, wie es oben beschrieben wurde, um zu versuchen, die zu der Klartext-Internetadresse zugehörige Zahlen-Internetadresse zu erhalten. Da der Namen-Server 17 außerhalb des virtuel­ len privaten Netzwerkes 15 ist und die durch die Vorrich­ tung 12(m) angeforderten Information nicht besitzt, sendet er ein entsprechend lautendes Antwortnachrichtenpaket. Die Vorrichtung 12(m) wird sodann ein Anfragenachrichtenpaket zur Übertragung an den Namen-Server 32 durch die Firewall 30 und über den Sicherheitstunnel erzeugen. Falls der Na­ men-Server 32 eine Zahlen-Internetadresse besitzt, welche zu der Klartext-Internetadresse in dem Anfragenachrichten­ paket gehört, welches durch die Vorrichtung 12(m) geliefert wird, stellt er die Zahlen-Internetadresse in einer Weise bereit, welche im allgemeinen derjenigen ähnlich ist, wel­ che oben im Zusammenhang mit dem Namen-Server 17 beschrie­ ben wurde mit der Ausnahme, daß die Zahlen- Internetadresse durch den Namen-Server 32 in einem an die Firewall 30 gerichteten Nachrichtenpaket geliefert wird, und die Firewall 30 sodann das Nachrichtenpaket über den Sicherheitstunnel an die Vorrichtung 12(m) übermittelt. Es versteht sich, daß sich in dem Nachrichtenpaket, welches durch die Firewall 30 übertragen wird, die Zahlen- Internetadresse in dem Nachrichtenpaket im Datenabschnitt des Nachrichtenpakets befindet, welches über den Sicher­ heitstunnel übertragen wird und entsprechend verschlüsselt sein wird. Das Nachrichtenpaket wird durch die Vorrichtung 12(m) in einer ähnlichen Weise verarbeitet, wie sie oben im Zusammenhang mit anderen Nachrichtenpaketen beschrieben wurde, welche durch die Vorrichtung 12(m) über den Sicher­ heitstunnel empfangen werden. Das heißt, daß das Nachrich­ tenpaket durch den Sicherheits-Paketprozessor 26 vor dem Übermitteln an den Paketempfänger und -prozessor 23 zur Verarbeitung entschlüsselt wird. Die Zahlen-Internetadresse für den Server 31(s) kann in einem Cache in einer Zugriffs­ kontrolliste (ACL) in dem IP-Parameterspeicher 25 gespei­ chert werden, zusammen mit der Zuordnungsinformation bezüg­ lich der zugehörigen Klartext-Internetadresse, einer Anga­ be, daß der Server 31(s), der dieser Klartext- Internetadresse zugeordnet ist, über die Firewall 30 des virtuellen privaten Netzwerkes 15 zugänglich ist, und die Identifizierungen der Verschlüsselungs- und Entschlüsse­ lungsalgorithmen und -schlüssel, welche für eine Verschlüs­ selung und Entschlüsselung der geeigneten Abschnitte der Nachrichtenpakete zu verwenden sind, welche an den Server 31(s) übertragen und von diesem erhalten werden.
Es versteht sich, daß in Reaktion auf ein Nachrichtenpaket von der Vorrichtung 12(m), welches beim Namen-Server 32 die Bereitstellung einer Zahlen-Internetadresse für eine durch die Vorrichtung 12(m) angegebene Klartext-Internetadresse anfordert, falls der Namen-Server 32 keine Zuordnungsinfor­ mation zwischen der Klartext-Internetadresse und einer Zah­ len-Internetadresse besitzt, der Namen-Server 32 ein Ant­ wortnachrichtenpaket, das entsprechend lautet, übertragen kann. Falls die Vorrichtung 12(m) eine Identifizierung von anderen Namen-Servern besitzt, welche z. B. mit anderen vir­ tuellen privaten Netzwerken (nicht gezeigt) verbunden sein können und zu welchen die Vorrichtung 12(m) Zugriff hat, dann kann die Vorrichtung 12(m) versuchen, auf die anderen Namen-Server in einer ähnlichen Weise, wie es oben be­ schrieben ist, zuzugreifen. Falls die Vorrichtung 12(m) nicht in der Lage ist, eine Zahlen-Internetadresse, welche der Klartext-Internetadresse zugeordnet ist, von irgendei­ nem der Namen-Server zu erhalten, zu welchem sie Zugriff hat und welche im allgemeinen im IP-Parameterspeicher 25 der Vorrichtung 12(m) identifiziert sind, wird sie allge­ mein nicht in der Lage sein, auf eine Vorrichtung mit der vorgegebenen Klartext-Internetadresse zuzugreifen und wird den Bediener oder ein Programm, welche den Zugriff angefor­ dert haben, dementsprechend unterrichten.
Mit diesem Hintergrund werden nun Operationen, welche durch die Vorrichtung 12(m) und das virtuelle private Netzwerk 15 in Verbindung mit der vorliegenden Erfindung durchgeführt werden, im Detail beschrieben. Im allgemeinen laufen die Operationen in zwei Phasen ab. In einer ersten Phase arbei­ ten die Vorrichtung 12(m) und das virtuelle private Netz­ werk 15 zusammen, um einen Sicherheitstunnel durch das In­ ternet 14 aufzubauen. In dieser ersten Phase liefert das virtuelle private Netzwerk 15, insbesondere die Firewall 30, die Identifizierung eines Namen-Servers 32, und es kann auch die den Verschlüsselungs- und Entschlüsselungsalgo­ rithmus und -schlüssel betreffende Information bereitstel­ len, wie es oben beschrieben wurde. In der zweiten Phase, nachdem der Sicherheitstunnel eingerichtet wurde, kann die Vorrichtung 12(m) die während der ersten Phase gelieferten Information im Zusammenhang mit der Erzeugung und Übertra­ gung von Nachrichtenpaketen an einen oder mehrere Server 31(s) in dem virtuellen privaten Netzwerk 15 und bei dem notwendigen Umwandlungsvorgang der Klartext-Internet­ adressen zu Zahlen-Internetadressen aus dem Namen-Server 32, welcher durch die Firewall 30 während der ersten Phase identifiziert wurde, verwenden.
Folglich erzeugt die Vorrichtung 12(m) in der ersten (Sicherheitstunnelaufbau)phase zu Beginn ein Nachrichtenpa­ ket zur Übertragung an die Firewall 30, welches einen Auf­ bau eines Sicherheitstunnels anfordert. Das Nachrichtenpa­ ket enthält eine Zahlen-Internetadresse für die Firewall, (welche durch den Bediener der Vorrichtung oder ein Pro­ gramm bereitgestellt werden kann, welches durch die Vor­ richtung 12(m) verarbeitet wird, oder durch den Namen- Server 17 bereitgestellt werden kann, nachdem eine Klar­ text-Internetadresse durch den Bediener oder ein Programm bereitgestellt wurde), und welche insbesondere dazu dient, die Firewall 30 zu veranlassen, mit der Vorrichtung 12(m) einen Sicherheitstunnel aufzubauen. Falls die Firewall 30 die Anfrage bezüglich des Sicherheitstunnelaufbaus akzep­ tiert und falls die Firewall 30 die Verschlüsselungs- und Entschlüsselungsalgorithmen und -schlüssel bereitstellt, so wie es oben angegeben wurde, erzeugt die Firewall 30 ein Antwortnachrichtenpaket zur Übertragung an die Vorrichtung 12(m), welches die Verschlüsselungs- und Entschlüsselung­ salgorithmen und -schlüssel identifiziert. Wie oben be­ schrieben, wird dieses Antwortnachrichtenpaket nicht ver­ schlüsselt. Wenn die Vorrichtung 12(m) die Antwort emp­ fängt, werden die Identifizierungen der Verschlüsselungs- und Entschlüsselungsalgorithmen und -schlüssel in dem IP-Parameterspeicher 25 gespeichert.
Zu einem späteren Zeitpunkt in der ersten Phase erzeugt die Firewall 30 auch ein Nachrichtenpaket zur Übertragung an die Vorrichtung 12(m), welches die Zahlen-Internetadresse des Namen-Servers 32 enthält. Bei diesem Nachrichtenpaket wird der Abschnitt des Nachrichtenpakets, welcher die Zah­ len-Internetadresse des Namen-Servers 32 enthält, unter Verwendung eines Verschlüsselungsalgorithmus und Verschlüs­ selungsschlüssels verschlüsselt, und dies kann unter Ver­ wendung des Entschlüsselungsalgorithmus und -schlüssels, die durch das zuvor beschriebene Antwortnachrichtenpaket geliefert wurden, wieder entschlüsselt werden. Diese Nach­ richt hat im allgemeinen die folgende Struktur:
"<IIA(FW),IIA(DEV12(m)<<SEC_TUN<
<ENCR<<IIA(FW),IIA(DEV_12(m)<<(DNS_ADRS:IIA(NS_2<<<"
wobei
  • (i) "IIA(FW)" die Quellenadresse darstellt, d. h. eine Zah­ len-Internetadresse der Firewall 30,
  • (ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. die Zahlen-Internetadresse der Vorrichtung 12 (m),
  • (iii) "DNS_ADRS:IIA(NS)" angibt, daß "IIA(NS_32)" die Zahlen- Internetadresse des Namen-Servers 32 darstellt, für dessen Benutzung die Vorrichtung 12(m) authorisiert ist, und
  • (iv) "ENCR<. . . .<" bedeutet, daß die Information, zwischen den Klammern "<" und "<" verschlüsselt ist.
Der Anfangsabschnitt der Nachricht "IIA(FW),IIA(DEV_12(m))<" bildet wenigstens einen Teil des Kopfabschnitts der Nach­ richt, und "<ENCR<<IIA(FW),IIA(DEV_12(m))<<IIA(NS<<<" stellt wenigstens einen Teil des Datenabschnitts der Nachricht dar. "<SEC_TUN<" stellt einen Hinweis in dem Kopfabschnitt dar, welcher angibt, daß die Nachricht über den Sicher­ heitstunnel übertragen wird, wodurch auch angezeigt wird, daß der Datenabschnitt der Nachricht verschlüsselte Infor­ mation enthält.
Nachdem die Vorrichtung 12(m) die Nachricht von der Fire­ wall 30 empfängt, wie es oben beschrieben wurde, und weil das Nachrichtenpaket den <SEC_TUN< Hinweis enthält, über­ trägt deren Netzwerkschnittstelle 21 den verschlüsselten Abschnitt "<ENCR<<IIA(FW),IIA(DEV_12(m)<<DNS_ADRS:IIA(NS_32)<<<" an den Sicherheits-Paketprozessor 26 zur Verarbeitung. Der Sicherheits-Paketprozessor 26 entschlüsselt den verschlüs­ selten Abschnitt, bestimmt weiter, daß der Abschnitt "IIA(NS_32)" die Zahlen-Internetadresse des Namen-Servers darstellt, insbesondere des Namen-Servers 32, für dessen Benutzung die Vorrichtung 12(m) authorisiert ist, und spei­ chert diese Adresse in dem IP-Parameterspeicher 25 zusammen mit einer Angabe, daß die dorthin gerichteten Nachrichten­ pakete zu der Firewall 30 zu übertragen sind, und daß die Daten in den Nachrichtenpaketen unter Verwendung des Ver­ schlüsselungsalgorithmus und -schlüssels, die davor durch die Firewall 30 übermittelt wurden, zu verschlüsseln sind. Es versteht sich, daß aufgrund der Tatsache, daß die Zah­ len-Internetadresse des Namen-Servers 32 von der Firewall an die Vorrichtung 12(m) in verschlüsselter Form übertragen wird, diese vertraulich bleibt, selbst wenn das Paket durch einen Dritten abgefangen wird.
In Abhängigkeit des speziellen Protokolls, welches für den Aufbau des Sicherheitstunnels verwendet wird, können die Firewall 30 und die Vorrichtung 12(m) auch Nachrichtenpake­ te austauschen, welche andere Information enthalten als die oben beschriebenen.
Wie oben erwähnt wurde, kann die Vorrichtung 12(m) in der zweiten Phase nach der Einrichtung des Sicherheitstunnels die Information, welche während der ersten Phase bereitge­ stellt wurde, im Zusammenhang mit dem Erzeugen und Übertra­ gen von Nachrichtenpaketen zu einem oder mehreren der Ser­ ver 31(s) in dem virtuellen privaten Netzwerk 15 nutzen. Falls bei diesen Operationen der Bediener einer Vorrichtung 12(m) oder ein Programm, welches durch eine Vorrichtung 12(m) verarbeitet wird, möchte, daß die Vorrichtung 12(m) ein Nachrichtenpaket an einen Server 31(s) in dem virtuel­ len privaten Netzwerk 15 überträgt, und falls der Bediener durch die Bedienerschnittstelle 20 oder das Programm eine Klartext-Internetadresse bereitstellt, wird zunächst die Vorrichtung 12(m), insbesondere der Paketgenerator 22, be­ stimmen, ob der IP-Parameterspeicher 25 dort in einem Cache eine Zahlen-Internetadresse gespeichert hat, welche zu der Klartext-Internetadresse gehört. Falls dies nicht der Fall ist, erzeugt der Paketgenerator 22 ein Anfragenachrichten­ paket zur Übertragung an den Namen-Server 17, um von diesem die zu der Klartext-Internetadresse gehörige Zahlen- Internetadresse anzufordern. Falls der Namen-Server 17 eine zu der Klartext-Internetadresse gehörige Zahlen- Internetadresse besitzt, wird dieser die Zahlen- Internetadrese an die Vorrichtung 12(m) liefern. Es ver­ steht sich, daß dies nur erfolgen kann, wenn die Klartext- Internetadresse im Anfragenachrichtenpaket sowohl einer Vorrichtung 13 außerhalb des virtuellen privaten Netzwerkes 15 als auch einem Server 32(s) in dem virtuellen privaten Netzwerk 15 zugeordnet wurde. Danach kann die Vorrichtung 12(m) die Zahlen-Internetadresse verwenden, um Nachrichten­ pakete zur Übertragung über das Internet zu erzeugen, wie es oben beschrieben wurde.
Falls andererseits angenommen wird, daß der Namen-Server 17 keine der Klartext-Internetadresse zugeordnete Zahlen- Internetadresse besitzt, wird der Namen-Server 17 ein ent­ sprechend lautendes Antwortnachrichtenpaket an die Vorrich­ tung 12(m) übermitteln. Sodann erzeugt der Paketgenerator 22 der Vorrichtung 12(m) ein Anfragenachrichtenpaket zur Übertragung an den nächsten Namen-Server, der in ihrem IP-Parameterspeicher 25 identifiziert ist, um von diesem Na­ men-Server die der Klartext-Internetadresse zugeordnete Zahlen-Internetadresse anzufordern. Falls dieser nächste Namen-Server der Namen-Server 32 ist, liefert der Paketge­ nerator 22 das Nachrichtenpaket an den Sicherheits- Paketprozessor 26 zur weiteren Verarbeitung. Der Sicher­ heits-Paketprozessor 26 erzeugt daraufhin ein Anfragenach­ richtenpaket zur Übertragung über den Sicherheitstunnel an die Firewall 30. Diese Nachricht hat im allgemeinen folgen­ de Struktur:
"<IIA(DEV_12(m)),IIA(FW)<<SEC_TUN<
<ENCR<<IIA(DEV_12(m)),IIA(NS_32))<<IIA_REQ<<<"
wobei
  • (i) "IIA(DEV_12(m))" die Quellenadresse darstellt, d. h. die Zahlen-Internetadresse der Vorrichtung 12(m),
  • (ii) "IIA(FW)" die Zieladresse darstellt, d. h. die Zahlen- Internetadresse der Firewall 30,
  • (iii) "IIA(NS_32)" die Adresse des Namen-Servers 32 dar­ stellt,
  • (iv) "<<IIA(DEV_12(m)),IIA(NS_32))<<IIA_REQ<<<" das Anfragenach­ richtenpaket darstellt, welches durch den Paketgene­ rator 22 erzeugt wird, wobei "<IIA(DEV_12(m)),IIA(NS_32)<" den Kopfabschnitt des Anfragenachrichtenpakets und "<IIA_REQ<" den Datenabschnitt des Anfragenachrichten­ pakets darstellt,
  • (v) "ENCR<. . . .<" angibt, daß die Information zwischen den Klammern "<" und "<" verschlüsselt ist, und
  • (vi) "<SEC_TUN<" einen Hinweis in dem Kopfabschnitt des Nachrichtenpakets darstellt, welches durch den Si­ cherheitspaketgenerator 26 erzeugt wird und angibt, daß die Nachricht über den Sicherheitstunnel übertra­ gen wird, wobei hierdurch angegeben wird, daß der Da­ tenabschnitt der Nachricht verschlüsselte Information enthält.
Wenn die Firewall 30 das durch den Sicherheitspaketgenera­ tor 26 erzeugte Anfragenachrichtenpaket empfängt, wird die­ se den verschlüsselten Abschnitt des Nachrichtenpakets ent­ schlüsseln, um "<<IIA(DEV_12(m)),IIA(NS_32))<<IIA_REQ<<" zu er­ halten. Dies stellt das Anfragenachrichtenpaket dar, wel­ ches durch den Paketgenerator 22 erzeugt wird. Nachdem das Anfragenachrichtenpaket erhalten wurde, überträgt die Fire­ wall 30 dieses über die Übertragungsverbindung 33 an den Namen-Server 32. In Abhängigkeit von dem Protokoll zur Übertragung von Nachrichtenpaketen über die Übertragungs­ verbindung 33 kann es bei diesem Prozeß für die Firewall 30 notwendig sein, das Anfragenachrichtenpaket zu modifizie­ ren, damit es dem Protokoll der Übertragungsverbindung 33 entspricht.
Nachdem der Namen-Server 32 das Anfragenachrichtenpaket er­ halten hat, wird dieser das Anfragenachrichtenpaket verar­ beiten, um zu bestimmen, ob er eine der Klartext- Internetadresse, welche in dem Anfragenachrichtenpaket ge­ sendet wird, zugeordnete Zahlen-Internetadresse besitzt. Falls der Namen-Server feststellt, daß er eine solche Zah­ len-Internetadresse aufweist, wird dieser ein Antwortnach­ richtenpaket zur Übertragung an die Firewall erzeugen, wel­ ches die Zahlen-Internetadresse enthält. Im allgemeinen hat das Antwortnachrichtenpaket die folgende Struktur:
"<<IIA(NS_32),IIA(DEV_12(m)<<IIA_RESP<<"
wobei
  • (i) "IIA(NS_32)" die Quellenadresse darstellt, d. h. die Zahlen-Internetadresse des Namen-Servers 32,
  • (ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. die Zahlen-Internetadresse der Vorrichtung 12(m), und
  • (iii) "IIA_RESP" die Zahlen-Internetadresse darstellt, wel­ che der Klartext-Internetadresse zugeordnet ist.
Nachdem die Firewall 30 das Antwortnachrichtenpaket empfan­ gen hat, und weil die Kommunikation mit der Vorrichtung 12(m) über den dazwischenliegenden Sicherheitstunnel statt­ findet, verschlüsselt die Firewall 30 das von dem Namen- Server 32 empfangene Antwortnachrichtenpaket und erzeugt ein Nachrichtenpaket zur Übertragung an die Vorrichtung 12(m), welches das verschlüsselte Antwortnachrichtenpaket enthält. Im allgemeinen hat das durch die Firewall 30 er­ zeugte Nachrichtenpaket die folgende Struktur:
"<IIA(FW),IIA(DEV12(m)<<SEC_TUN)<
<ENCR<<IIA(NS_32),IIA(DEV_12(m))<<IIA_RESP<<<"
wobei
  • (i) "IIA(FW)" die Quellenadresse darstellt, d. h. die Zah­ len-Internetadresse der Firewall 30,
  • (ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. die Zahlen-Internetadresse der Vorrichtung 12(m),
  • (iii) "SEC_TUN" einen Hinweis in dem Kopfabschnitt des Nach­ richtenpakets darstellt, welches durch den Sicher­ heitspaketgenerator 26 erzeugt wird, und angibt, daß die Nachricht über den Sicherheitstunnel übertragen wird, und wobei auch angegeben wird, daß der Datenab­ schnitt der Nachricht verschlüsselte Information ent­ hält,
  • (iv) "ENCR<. . . .<" angibt, daß die Information zwischen den Klammern "<" und "<" (was dem von dem Namen-Server 32 empfangenen Antwortnachrichtenpaket entspricht) ver­ schlüsselt ist.
Zusätzlich kann es je nach dem Protokoll zur Übertragung von Nachrichtenpaketen über die Übertragungsverbindung 33 für die Firewall 30 notwendig sein, das Nachrichtenpaket zu bearbeiten und/oder zu modifizieren, damit dieses dem Pro­ tokoll des Internets 14 entspricht.
Wenn die Vorrichtung 12(m) das Nachrichtenpaket von der Firewall 30 empfängt, wird das Nachrichtenpaket an den Si­ cherheits-Paketprozessor 26 geliefert. Der Sicherheits­ paketprozessor 26 entschlüsselt daraufhin den verschlüssel­ ten Abschnitt des Nachrichtenpakets, um die der Klartext- Internetadresse zugeordnete Zahlen-Internetadresse zu er­ halten und lädt diese Information in den IP-Parameterspeicher 25. Danach kann die Vorrichtung diese Zahlen-Internetadresse beim Erzeugen von Nachrichtenpaketen zur Übertragung an den Server 31(s) verwenden, welcher zu der Klartext-Internetadresse gehört.
Es versteht sich, daß, falls der Namen-Server 32 keine Zah­ len-Internetadresse besitzt, welche der durch die Vorrich­ tung 12(m) in dem Anfragenachrichtenpaket gelieferte Klar­ text-Internetadresse zugeordnet ist, dies der Namen-Server 32 in dem durch ihn erzeugten Antwortnachrichtenpaket ent­ sprechend anzeigen. Die Firewall 30 erzeugt dann in Reakti­ on auf das durch den Namen-Server 32 gelieferte Antwort­ nachrichtenpaket auch ein Nachrichtenpaket zur Übertragung an die Vorrichtung 12(m), welches einen verschlüsselten Ab­ schnitt enthält, der das Antwortnachrichtenpaket umfaßt, das durch den Namen-Server 32 erzeugt wurde. Nachdem die Vorrichtung 12(m) das Nachrichtenpaket empfangen hat, wird der verschlüsselte Abschnitt durch den Sicherheits­ paketprozessor 26 entschlüsselt, welcher daraufhin den Pa­ ketgenerator 22 darüber informiert, daß der Namen-Server 32 keine der Klartext-Internetadresse zugeordnete Zahlen- Internetadresse besitzt. Falls der IP-Parameterspeicher 25 die Identifizierung eines anderen Namen-Servers enthält, erzeugt sodann der Paketgenerator 22 der Vorrichtung 12(m) ein Anfragenachrichtenpaket zur Übertragung an den nächsten Namen-Server, der in deren IP-Parameterspeicher 25 identi­ fiziert ist, um von diesem Namen-Server die Zahlen- Internetadresse anzufordern, welche der Klartext- Internetadresse zugeordnet ist. Falls andererseits der IP-Parameterspeicher 25 keine Identifizierung eines anderen Namen-Servers enthält, kann der Paketgenerator 22 die Be­ dienerschnittstelle 20 oder ein Programm darüber informie­ ren, daß er nicht in der Lage ist, ein Nachrichtenpaket zur Übertragung an eine Vorrichtung zu erzeugen, welche der Klartext-Internetadresse zugeordnet ist, welche durch die Bedienerschnittstelle 20 oder ein Programm eingegeben bzw. bereitgestellt wurde.
Die Erfindung liefert eine Anzahl von Vorteilen. Insbeson­ dere schafft die Erfindung ein System zum Vereinfachen der Kommunikation zwischen Vorrichtungen, welche mit einem öf­ fentlichen Netzwerk verbunden sind, z. B. mit dem Internet 14, und Vorrichtungen, welche mit privaten Netzwerken ver­ bunden sind, z. B. mit dem virtuellen privaten Netzwerk 15, indem die Umwandlung von Klartextadressen in Netzwerkadres­ sen durch einen Namen-Server, der bevorzugt über einen Si­ cherheitstunnel mit den privaten Netzwerken verbunden ist, ermöglicht wird.
Es versteht sich, daß eine Vielzahl von Modifikationen an der im Zusammenhang mit Fig. 1 beschriebenen Anordnung durchgeführt werden können. Obwohl das Netzwerk 10 so be­ schrieben wurde, daß die Identifizierung der Verschlüsse­ lungs- und Entschlüsselungsalgorithmen und -schlüssel durch die Vorrichtung 12(m) und die Firewall 30 während des Dia­ logs, währenddessen der Sicherheitstunnel eingerichtet wird, ausgetauscht wird, versteht es sich, daß beispiels­ weise Information durch die Vorrichtung 12(m) und die Fire­ wall 30 getrennt von dem Aufbau eines solchen Sicher­ heitstunnels bereitgestellt werden können.
Obwohl die Erfindung im Zusammenhang mit dem Internet be­ schrieben wurde, versteht es sich ferner, daß die Erfindung in Verbindung mit jedem, insbesondere globalen, Netzwerk verwendet werden kann. Obwohl die Erfindung im Zusammenhang mit einem Netzwerk beschrieben wurde, welches ein System von Klartext-Netzwerkadressen bereitstellt, versteht es sich ferner, daß die Erfindung nicht darauf beschränkt ist sondern in Verbindung mit jedem Netzwerk verwendet werden kann, welches irgendeine Form einer - den systemeigenen Netzwerkadressen übergeordnete - Sekundär-Netzwerkadres­ seneinrichtung oder vergleichbare nicht-formeller Netzwer­ kadresseneinrichtung vorsieht.
Es versteht sich ferner, daß ein erfindungsgemäßes System als ganzes oder in Teilen aus speziell hierfür geeigneter Hardware oder einem allgemein geeigneten Computersystem oder jeder Kombination davon aufgebaut werden kann, wobei jeder Abschnitt davon durch ein geeignetes Programm gesteu­ ert werden kann. Jedes Programm kann als ganzes oder in Teilen einen Teil des Systems umfassen oder auf dem System in einer konventionellen Weise gespeichert sein, oder es kann als ganzes oder in Teilen in das System über ein Netz­ werk oder andere Mechanismen zur Übertragung von Informati­ on in einer konventionellen Weise bereitgestellt werden. Zusätzlich versteht es sich, daß das System betrieben und/oder auf andere Art und Weise mittels Information ge­ steuert werden kann, welche durch einen Bediener mittels Bedienereingabeelementen (nicht gezeigt) bereitgestellt wird, welche direkt an das System angeschlossen sein können oder welche die Information über ein Netzwerk oder ändere Mechanismen zur Übertragung von Information in einer kon­ ventionellen Weise übertragen können.
Die vorstehende Beschreibung hat sich auf ein spezifisches Ausführungsbeispiel der Erfindung bezogen. Es versteht sich jedoch, daß verschiedene Variationen und Modifikationen der Erfindung gemacht werden können, bei welchen einige oder alle der Vorteile der Erfindung erreicht werden. Diese und andere Variationen und Modifikationen fallen in den Schutz­ bereich der vorliegenden Erfindung, der durch die nachfol­ genden Ansprüche bestimmt ist.

Claims (18)

1. System umfassend ein virtuelles privates Netzwerk (15) und eine externe Vorrichtung (12 (m)), welche über ein digitales Netzwerk (14) kommunizieren, wobei:
das virtuelle private Netzwerk (15) eine Firewall (30), wenigstens eine interne Vorrichtung (31(s)) und einen Namen-Server (32) aufweist, welche jeweils eine Netzwerkadresse besitzen, wobei die interne Vorrich­ tung (31(s)) auch eine Sekundäradresse besitzt und der Namen-Server (32) derart konfiguriert ist, daß er eine Zuordnung zwischen der Sekundäradresse und der Netz­ werkadresse bereitstellt,
die Firewall (30) derart konfiguriert ist, daß sie der externen Vorrichtung (12(m)) in Reaktion auf deren Anfrage zum Aufbau einer Verbindung zur Firewall (30) die Netzwerkadresse des Namen-Servers (32) lie­ fert, und
die externe Vorrichtung (12(m)) derart konfigu­ riert ist, daß sie in Reaktion auf eine Anfrage zum Zugriff auf die interne Vorrichtung (31(s)), welche die Sekundäradresse der internen Vorrichtung (31(s)) enthält, eine Netzwerkadressen-Anfragenachricht zur Übertragung über die Verbindung an die Firewall (30) erzeugt, welche eine Auflösung der der Sekundäradresse zugeordneten Netzwerkadresse anfordert, wobei die Firewall (30) derart konfiguriert ist, daß sie die Adressenauflösungsanfrage an den Namen-Server (32) übermittelt, der Namen-Server (32) derart konfiguriert ist, daß er die der Sekundäradresse zugeordnete Netz­ werkadresse bereitstellt, und die Firewall (30) dar­ aufhin die Netzwerkadresse in einer Netzwerkadressen- Antwortnachricht zur Übertragung über die Verbindung an die externe Vorrichtung (12(m)) bereitstellt.
2. System nach Anspruch 1, bei welchem die externe Vor­ richtung (12(m)) derart konfiguriert ist, daß sie die in der Netzwerkadressen-Antwortnachricht bereitgestell­ te Netzwerkadresse beim Erzeugen von wenigstens einer Nachricht zur Übertragung an die interne Vorrichtung (31(s)) verwendet.
3. System nach Anspruch 1 oder 2, bei welchem die externe Vorrichtung (12(m)) derart konfiguriert ist, daß sie mit dem Netzwerk (14) durch einen Netzwerk-Service- Provider (11) verbunden wird.
4. System nach Anspruch 3, bei welchem die externe Vor­ richtung (12(m)) derart konfiguriert ist, daß sie eine Kommunikationssitzung mit dem Netzwerk-Service-Provider (11) aufbaut, wobei der Netzwerk-Service-Provider (11) der externen Vorrichtung (12(m)) die Identifizierung eines weiteren Namen-Servers übermittelt, wobei der weitere Namen-Server derart konfiguriert ist, daß er eine Zuordnung zwischen einer Sekundäradresse und einer Netzwerkadresse für wenigstens eine Vorrichtung bereit­ stellt.
5. System nach einem der vorstehenden Ansprüche, bei wel­ chem die externe Vorrichtung (12(m)) derart konfigu­ riert ist, daß sie eine Liste von Namen-Servern erhält, welche der externen Vorrichtung (12(m)) identifiziert wurden, und die externe Vorrichtung (12(m)) die Namen- Server in der Liste nacheinander in Reaktion auf eine Anfrage zum Zugriff auf eine andere Vorrichtung ab­ fragt, wobei die Anfrage eine Sekundäradresse der ande­ ren Vorrichtung enthält, solange bis die externe Vor­ richtung (12(m)) eine Netzwerkadresse empfängt, wobei die externe Vorrichtung (12(m)) in jedem Abfragevorgang eine Netzwerkadressen-Anfragesnachricht zur Übertragung über das Netzwerk (14) erzeugt, welche durch einen der Namen-Server in der Liste zu beantworten ist, und von diesem eine Netzwerkadressen-Antwortnachricht empfängt.
6. System nach einem der vorstehenden Ansprüche, bei wel­ chem die Verbindung zwischen der externen Vorrichtung (12(m)) und der Firewall (30) ein Sicherheitstunnel ist, in welchem wenigstens ein der zwischen der exter­ nen Vorrichtung (12(m)) und der Firewall (30) übertra­ genen Nachrichten verschlüsselt ist.
7. Verfahren zum Betreiben eines Systems umfassend ein virtuelles privates Netzwerk (15) und eine externe Vorrichtung (12(m)), welche durch ein digitales Netz­ werk (14) miteinander verbunden sind, wobei das virtu­ elle private Netzwerk (15) eine Firewall (30), wenig­ stens eine interne Vorrichtung (31(s)) und einen Na­ men-Server (32) aufweist, welche jeweils eine Netzwer­ kadresse besitzen, wobei die interne Vorrichtung (31(s)) auch eine Sekundäradresse besitzt, und der Na­ men-Server (32) derart konfiguriert ist, daß er eine Zuordnung zwischen der Sekundäradresse und der Netz­ werkadresse bereitstellt, wobei:
  • A. in Reaktion auf eine Anfrage der externen Vorrich­ tung (12(m)) zum Aufbau einer Verbindung zur Fire­ wall (30) die Firewall (30) der externen Vorrich­ tung (12(m)) die Netzwerkadresse des Namen-Servers (32) übermittelt; und
  • B. (i) in Reaktion auf eine Anfrage zum Zugriff auf die interne Vorrichtung (31(s)), welche die Sekun­ däradresse der internen Vorrichtung (31(s)) ent­ hält, die externe Vorrichtung (12(m)) eine Netz­ werkadressen-Anfragenachricht zur Übertragung über die Verbindung an die Firewall (30) erzeugt, wel­ che eine Auflösung der Netzwerkadresse, welche der Sekundäradresse zugeordnet ist, anfordert,
  • (ii) die Firewall (30) die Adressenauflösungsan­ frage an den Namen-Server (32) übermittelt, (iii) der Namen-Server (32) die der Sekun­ däradresse zugeordnete Netzwerkadresse bereit­ stellt, und
  • (iv) die Firewall (30) die Netzwerkadresse in einer Netzwerkadressen-Antwortnachricht zur Über­ tragung über die Verbindung an die externe Vor­ richtung (12(m)) bereitstellt.
8. Verfahren nach Anspruch 7, bei welchem die externe Vor­ richtung (12((m) ferner die in der Netzwerkadressen- Antwortnachricht bereitgestellte Netzwerkadresse beim Erzeugen von wenigstens einer Nachricht zur Übertragung an die interne Vorrichtung (31(s)) verwendet.
9. Verfahren nach Anspruch 7 oder 8, bei welchem die ex­ terne Vorrichtung (12(m)) mit dem Netzwerk (14) durch einen Netzwerk-Service-Provider (11) verbunden werden kann.
10. Verfahren nach Anspruch 9, bei welchem die externe Vor­ richtung (12(m)) eine Kommunikationssitzung mit dem Netzwerk-Service-Provider (11) aufbaut, wobei der Netz­ werk-Service-Provider (11) der externen Vorrichtung (12(m)) die Identifizierung eines weiteren Namen- Servers übermittelt, wobei der weitere Namen-Server ei­ ne Zuordnung zwischen einer Sekundäradresse und einer Netzwerkadresse für wenigstens eine Vorrichtung bereit­ stellt.
11. Verfahren nach einem der Ansprüche 7 bis 10, bei wel­ chem die externe Vorrichtung (12(m)) eine Liste von Na­ men-Servern erhält, welche der externen Vorrichtung (12(m)) identifiziert wurden, und die externe Vorrich­ tung (12(m)) die Namen-Server in der Liste nacheinander in Reaktion auf eine Anfrage zum Zugriff auf eine ande­ re Vorrichtung abfragt, wobei die Anfrage eine Sekun­ däradresse der anderen Vorrichtung enthält, solange bis die externe Vorrichtung (12(m)) eine Netzwerkadresse empfängt, wobei die externe Vorrichtung (12(m)) in je­ dem Abfragevorgang eine Netzwerkadressen-Anfrage­ nachricht zur Übertragung über das Netzwerk (14) er­ zeugt, welche durch einen der Namen-Server in der Liste zu beantworten ist, und von diesem eine Netzwerkadres­ sen-Antwortnachricht empfängt.
12. Verfahren nach einem der Ansprüche 7 bis 11, bei wel­ chem die Verbindung zwischen der externen Vorrichtung (12(m)) und der Firewall (30) ein Sicherheitstunnel ist, in welchem wenigstens ein Abschnitt der zwischen der externen Vorrichtung (12(m)) und der Firewall (30) übertragenen Nachrichten verschlüsselt ist.
13. Computerprogramm-Produkt zur gemeinsamen Verwendung mit einem virtuellen privaten Netzwerk (15) und einer ex­ ternen Vorrichtung (12(m)), welche durch ein digitales Netzwerk (14) miteinander verbunden sind, wobei das virtuelle private Netzwerk eine Firewall (30), wenig­ stens eine interne Vorrichtung (31(s)) und einen Namen- Server (32) aufweist, welche jeweils eine Netzwer­ kadresse besitzen, wobei die interne Vorrichtung (31(s)) auch eine Sekundäradresse besitzt, und der Na­ men-Server (32) derart konfiguriert ist, daß er eine Zuordnung zwischen der Sekundäradresse und der Netzwer­ kadresse bereitstellt, wobei das Computerprogramm­ produkt ein maschinenlesbares Medium mit folgenden Codes aufweist:
  • A. ein Namen-Server-Identifizierungscodemodul, wel­ ches veranlaßt, daß die Firewall (30) der exter­ nen Vorrichtung (12(m)) in Reaktion auf deren An­ frage zum Aufbau einer Verbindung zur Firewall (30) die Netzwerkadresse des Namen-Servers (32) übermittelt,
  • B. ein Codemodul zur Erzeugung einer Netzwerkadres­ sen-Anfragenachricht, welches veranlaßt, daß die externe Vorrichtung (12(m)) in Reaktion auf eine Anfrage zum Zugriff auf die interne Vorrichtung (31(s)), welche die Sekundäradresse der internen Vorrichtung (31(s)) enthält, eine Netzwerkadres­ sen-Anfragenachricht zur Übertragung über die Verbindung an die Firewall (30) erzeugt, welche die Auflösung der der Sekundäradresse zugeordne­ ten Netzwerkadresse anfordert,
  • C. ein Modul zur Übermittlung einer Adressenauflö­ sungsanfrage, welches veranlaßt, daß die Firewall (30) die Adressenauflösungsanfrage an den Namen- Server (32) übermittelt,
  • D. ein Namen-Server-Steuerungsmodul, welches veran­ laßt, daß der Namen-Server (32) die der Sekun­ däradresse zugeordnete Netzwerkadresse bereit­ stellt, und
  • E. ein Modul zur Übermittlung einer Netzwerkadressen- Antwortnachricht, welches veranlaßt, daß die Fire­ wall (30) die Netzwerkadresse in einer Netzwer­ kadressen-Antwortnachricht zur Übertragung über die Verbindung an die externe Vorrichtung (12(m)) bereitstellt.
14. Computerprogramm-Produkt nach Anspruch 13, welches fer­ ner ein Netzwerkadressenverwendungsmodul aufweist, wel­ ches veranlaßt, daß die externe Vorrichtung (12(m)) die in der Netzwerkadressen-Antwortnachricht übermittelte Netzwerkadresse beim Erzeugen von wenigstens einer Nachricht zur Übertragung an die interne Vorrichtung (31(s)) verwendet.
15. Computerprogramm-Produkt nach Anspruch 13 oder 14, wel­ ches ferner ein Netzwerk-Service-Provider-Steuerungs­ modul aufweist, welches veranlaßt, daß die externe Vor­ richtung (12(m)) mit dem Netzwerk (14) durch einen Netzwerk-Service-Provider (11) verbunden wird.
16. Computerprogramm-Produkt nach Anspruch 15, bei welchem das Netzwerk-Service-Provider-Steuerungsmodul ein Kom­ munikationssitzungsaufbaumodul umfaßt, welches veran­ laßt, daß die externe Vorrichtung (12(m)) mit dem Netz­ werk-Service-Provider (11) eine Kommunikationssitzung aufbaut und von diesem eine Identifizierung von einem weiteren Namen-Server empfängt.
17. Computerprogramm-Produkt nach einem der Ansprüche 13 bis 16, welches ferner ein Namen-Server-Abfrage­ steuerungsmodul aufweist, welches veranlaßt, daß die externe Vorrichtung (12(m)) eine Liste von Namen- Servern erhält, welche der externen Vorrichtung (12(m)) identifiziert wurden, und die Namen-Server in der Liste nacheinander in Reaktion auf eine Anfrage zum Zugriff auf eine andere Vorrichtung abfragt, wobei die Anfrage eine Sekundäradresse der anderen Vorrichtung enthält, solange bis die externe Vorrichtung (12(m)) eine Netz­ werkadresse empfängt, und wobei die externe Vorrichtung (12(m)) in jedem Abfragevorgang eine Netzwerkadressen- Anfragesnachricht zur Übertragung über das Netzwerk (14) erzeugt, welche durch einen der Namen-Server in der Liste zu beantworten ist, und von diesem eine Netz­ werkadressen-Antwortnachricht empfängt.
18. Computerprogramm-Produkt nach einem der Ansprüche 13 bis 17, bei welchem die Verbindung zwischen der exter­ nen Vorrichtung (12(m)) und der Firewall (30) ein Si­ cherheitstunnel ist, in welchem wenigstens ein Ab­ schnitt der zwischen der externen Vorrichtung (12(m)) und der Firewall (30) übertragenen Nachrichten ver­ schlüsselt ist.
DE19924575A 1998-05-29 1999-05-28 Kommunikationssystem und -Verfahren Withdrawn DE19924575A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US09/087,823 US6557037B1 (en) 1998-05-29 1998-05-29 System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses

Publications (1)

Publication Number Publication Date
DE19924575A1 true DE19924575A1 (de) 1999-12-02

Family

ID=22207465

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19924575A Withdrawn DE19924575A1 (de) 1998-05-29 1999-05-28 Kommunikationssystem und -Verfahren

Country Status (5)

Country Link
US (1) US6557037B1 (de)
JP (1) JP2000049867A (de)
DE (1) DE19924575A1 (de)
FR (1) FR2782873B1 (de)
GB (1) GB2340702B (de)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10017573A1 (de) * 2000-04-10 2001-10-11 Thomas Hahn Verfahren zur Kommunikation zwischen Endeinrichtungen und Endeinrichtung
DE10108408A1 (de) * 2001-02-21 2002-08-29 Gloocorp Ag Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus
WO2001092997A3 (en) * 2000-04-26 2002-10-17 Science Applic Int Corp Secure domain name service
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
WO2003055176A1 (en) 2001-12-19 2003-07-03 Intel Corporation Access control management
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US7010604B1 (en) 1998-10-30 2006-03-07 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names

Families Citing this family (90)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7440498B2 (en) 2002-12-17 2008-10-21 Tellabs Operations, Inc. Time domain equalization for discrete multi-tone systems
US6631175B2 (en) * 1998-04-03 2003-10-07 Tellabs Operations, Inc. Spectrally constrained impulse shortening filter for a discrete multi-tone receiver
ES2389626T3 (es) 1998-04-03 2012-10-29 Tellabs Operations, Inc. Filtro para acortamiento de respuesta al impulso, con restricciones espectrales adicionales, para transmisión de múltiples portadoras
DE69937464T2 (de) * 1999-01-14 2008-08-21 Nokia Corp. Verfahren und vorrichtung zum abhören
US6870842B1 (en) 1999-12-10 2005-03-22 Sun Microsystems, Inc. Using multicasting to provide ethernet-like communication behavior to selected peers on a network
US6798782B1 (en) 1999-12-10 2004-09-28 Sun Microsystems, Inc. Truly anonymous communications using supernets, with the provision of topology hiding
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6938169B1 (en) 1999-12-10 2005-08-30 Sun Microsystems, Inc. Channel-specific file system views in a private network using a public-network infrastructure
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US7765581B1 (en) * 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
SE517217C2 (sv) * 1999-12-29 2002-05-07 Ericsson Telefon Ab L M Metod och system för kommunikation mellan olika nätverk
JP3596400B2 (ja) * 2000-01-21 2004-12-02 日本電気株式会社 Dnsサーバフィルタ
US7454457B1 (en) * 2000-02-07 2008-11-18 Parallel Networks, Llc Method and apparatus for dynamic data flow control using prioritization of data requests
WO2001071977A2 (en) * 2000-03-17 2001-09-27 America Online, Inc. Home-networking
US6631416B2 (en) 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
US7181766B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Methods and system for providing network services using at least one processor interfacing a base network
US7181542B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US7028334B2 (en) 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for using names in virtual networks
US7028333B2 (en) 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
US6996628B2 (en) 2000-04-12 2006-02-07 Corente, Inc. Methods and systems for managing virtual addresses for virtual networks
US7085854B2 (en) 2000-04-12 2006-08-01 Corente, Inc. Methods and systems for enabling communication between a processor and a network operations center
US7047424B2 (en) 2000-04-12 2006-05-16 Corente, Inc. Methods and systems for hairpins in virtual networks
US6981041B2 (en) * 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20010042202A1 (en) * 2000-04-14 2001-11-15 Horvath Charles J. Dynamically extendible firewall
EP2375672A1 (de) * 2000-04-26 2011-10-12 VirnetX Inc. Verbesserungen an einem agilen Netzwerkprotokoll für sichere Kommunikationen mit gesicherter Systemverfügbarkeit
GB2363548A (en) * 2000-06-15 2001-12-19 Int Computers Ltd Computer systems, in particular virtual private networks
US7126947B2 (en) * 2000-06-23 2006-10-24 Broadcom Corporation Switch having external address resolution interface
ATE291803T1 (de) * 2000-06-30 2005-04-15 Cit Alcatel Verfahren und apparat um mit apparate zu kommunizieren die nicht zum selben virtuellen privaten netzwerk (vpn) gehören
US7111163B1 (en) 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
CA2424167C (en) * 2000-10-10 2008-07-08 Nokia Corporation Techniques for hiding network element names and addresses
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US20020099666A1 (en) * 2000-11-22 2002-07-25 Dryer Joseph E. System for maintaining the security of client files
US20020103931A1 (en) * 2001-01-26 2002-08-01 Mott Charles J. Virtual private networking using domain name service proxy
US20020161844A1 (en) * 2001-02-27 2002-10-31 Overtoom Eric J. Method and apparatus for peer to peer communication over a master slave interface
JP2002278903A (ja) * 2001-03-15 2002-09-27 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム
GB2373418A (en) * 2001-03-16 2002-09-18 Kleinwort Benson Ltd Method and system to provide and manage secure access to internal computer systems from an external client
US20020138552A1 (en) * 2001-03-21 2002-09-26 Debruine Timothy S. Method and system for optimizing private network file transfers in a public peer-to-peer network
US7533409B2 (en) 2001-03-22 2009-05-12 Corente, Inc. Methods and systems for firewalling virtual private networks
US20020154635A1 (en) * 2001-04-23 2002-10-24 Sun Microsystems, Inc. System and method for extending private networks onto public infrastructure using supernets
KR20010079255A (ko) * 2001-06-27 2001-08-22 김태범 프록시 서버를 매개로 한 인터넷 전화 통화 시스템 및 그방법
GB2378009B (en) * 2001-07-27 2005-08-31 Hewlett Packard Co Method of establishing a secure data connection
KR100418246B1 (ko) * 2001-08-10 2004-02-11 (주)웹콜월드 웹콜에이전트와 웹콜프록시를 이용한NAT/Firewall환경에서의 인터넷 음성통신 방법
KR100453033B1 (ko) * 2001-08-28 2004-10-15 삼성전자주식회사 인터넷 어드레스를 자동적으로 생성하는 인터넷 접속이가능한 장치
US7260650B1 (en) * 2001-11-28 2007-08-21 Cisco Technology, Inc. Method and apparatus for tunneling information
KR20030047471A (ko) * 2001-12-10 2003-06-18 (주)애니 유저넷 인터넷 전화의 방화벽 통과방법 및 터널링 게이트웨이
KR20030050991A (ko) * 2001-12-20 2003-06-25 주식회사데이콤 방화벽 환경에서의 에스코티드 브라우징 서비스 방법 및그 시스템
KR100412041B1 (ko) * 2002-01-04 2003-12-24 삼성전자주식회사 시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법
KR100445983B1 (ko) * 2002-02-05 2004-08-25 (주)다보링크 인터넷 전화 시스템 및 그 운영방법
US7395354B2 (en) 2002-02-21 2008-07-01 Corente, Inc. Methods and systems for resolving addressing conflicts based on tunnel information
US7301925B2 (en) * 2002-03-08 2007-11-27 At Road, Inc. Combined LAN and WAN system for mobile resource management
US7532862B2 (en) * 2002-03-19 2009-05-12 Apple Inc. Method and apparatus for configuring a wireless device through reverse advertising
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US7937471B2 (en) 2002-06-03 2011-05-03 Inpro Network Facility, Llc Creating a public identity for an entity on a network
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US20040111623A1 (en) 2002-06-10 2004-06-10 Akonix Systems, Inc. Systems and methods for detecting user presence
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7707401B2 (en) * 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
KR100455802B1 (ko) * 2002-07-03 2004-11-06 주식회사 아이콘랩 휴대용 단말장치에 시변 코드를 표시하는 방법 및 장치,및 이를 이용한 결제 및 인증 방법 및 장치
US9497168B2 (en) * 2002-07-30 2016-11-15 Avaya Inc. Method and apparatus for supporting communications between a computing device within a network and an external computing device
US7383339B1 (en) 2002-07-31 2008-06-03 Aol Llc, A Delaware Limited Liability Company Local proxy server for establishing device controls
US7139828B2 (en) * 2002-08-30 2006-11-21 Ip Dynamics, Inc. Accessing an entity inside a private network
US8234358B2 (en) 2002-08-30 2012-07-31 Inpro Network Facility, Llc Communicating with an entity inside a private network using an existing connection to initiate communication
JP3445986B1 (ja) * 2002-09-27 2003-09-16 松下電器産業株式会社 インターネットに接続するサーバ、機器および通信システム
US7949785B2 (en) 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US7337219B1 (en) 2003-05-30 2008-02-26 Aol Llc, A Delaware Limited Liability Company Classifying devices using a local proxy server
FR2856215B1 (fr) * 2003-06-10 2005-08-26 Digital Airways Procede de transmission de donnees vers un terminal appartenant a un reseau local
US8005958B2 (en) 2003-06-27 2011-08-23 Ixia Virtual interface
DE602004010519T2 (de) * 2003-07-04 2008-11-13 Nippon Telegraph And Telephone Corp. Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
US20050228848A1 (en) * 2004-03-22 2005-10-13 Thurston Stacy D Method and system for operating a peer network
US7841005B2 (en) * 2004-05-21 2010-11-23 Computer Assoicates Think, Inc. Method and apparatus for providing security to web services
WO2005114956A1 (en) * 2004-05-21 2005-12-01 Computer Associates Think, Inc. Method and apparatus for processing web service messages
KR100601124B1 (ko) 2004-08-26 2006-07-19 주식회사 나라비전 Sip 서비스 기반의 tcp채널 제공 방법
JP4654006B2 (ja) * 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US20060222013A1 (en) * 2005-03-30 2006-10-05 Ban Oliver K Systems, methods, and media for improving security of a packet-switched network
WO2007056691A2 (en) 2005-11-03 2007-05-18 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
US20070214232A1 (en) * 2006-03-07 2007-09-13 Nokia Corporation System for Uniform Addressing of Home Resources Regardless of Remote Clients Network Location
US20080250152A1 (en) * 2007-04-03 2008-10-09 Ching-Hung Chou Communication method having firewall network tunnel and location transparency
KR100995834B1 (ko) 2008-05-27 2010-11-23 주식회사 베스트디지탈 사설망 또는 방화벽 내부에 위치한 컴퓨터의 접속 방법
WO2010141501A2 (en) * 2009-06-02 2010-12-09 Voltage Security, Inc. Purchase transaction system with encrypted payment card data
JP2011146933A (ja) * 2010-01-14 2011-07-28 Toshiba Corp 放送受信装置、及び放送受信装置の制御方法
US9967235B2 (en) * 2011-11-14 2018-05-08 Florida Power & Light Company Systems and methods for managing advanced metering infrastructure
JP6053364B2 (ja) * 2012-07-19 2016-12-27 キヤノン株式会社 情報処理システム、サーバ装置、クライアント装置および制御方法
JP6124603B2 (ja) 2013-01-21 2017-05-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報アクセス・システム、及び方法
JP5867448B2 (ja) * 2013-04-26 2016-02-24 コニカミノルタ株式会社 ネットワークシステム、アクセス支援サーバ、処理装置、通信代行装置、およびコンピュータプログラム
US9130904B2 (en) * 2013-05-08 2015-09-08 Texas Instruments Incorporated Externally and internally accessing local NAS data through NSFV3 and 4 interfaces
US11743265B2 (en) * 2019-03-24 2023-08-29 Zero Networks Ltd. Method and system for delegating control in network connection access rules using multi-factor authentication (MFA)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
JPH1065718A (ja) 1996-08-23 1998-03-06 Sony Corp データ伝送方法及び装置
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
WO1998031124A1 (en) * 1997-01-10 1998-07-16 Hanson Gordon L Reverse proxy server
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US5805803A (en) * 1997-05-13 1998-09-08 Digital Equipment Corporation Secure web tunnel
US6119234A (en) * 1997-06-27 2000-09-12 Sun Microsystems, Inc. Method and apparatus for client-host communication over a computer network
US6006268A (en) * 1997-07-31 1999-12-21 Cisco Technology, Inc. Method and apparatus for reducing overhead on a proxied connection

Cited By (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8516131B2 (en) 1998-10-30 2013-08-20 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US10187387B2 (en) 1998-10-30 2019-01-22 Virnetx, Inc. Method for establishing connection between devices
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US9967240B2 (en) 1998-10-30 2018-05-08 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6618761B2 (en) 1998-10-30 2003-09-09 Science Applications International Corp. Agile network protocol for secure communications with assured system availability
US8521888B2 (en) 1998-10-30 2013-08-27 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US6834310B2 (en) 1998-10-30 2004-12-21 Science Applications International Corp. Preventing packet flooding of a computer on a computer network
US6839759B2 (en) 1998-10-30 2005-01-04 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information
US6907473B2 (en) 1998-10-30 2005-06-14 Science Applications International Corp. Agile network protocol for secure communications with assured system availability
US9860283B2 (en) 1998-10-30 2018-01-02 Virnetx, Inc. Agile network protocol for secure video communications with assured system availability
US7010604B1 (en) 1998-10-30 2006-03-07 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US9819649B2 (en) 1998-10-30 2017-11-14 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US7133930B2 (en) 1998-10-30 2006-11-07 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7490151B2 (en) 1998-10-30 2009-02-10 Virnetx Inc. Establishment of a secure communication link based on a domain name service (DNS) request
US7933990B2 (en) 1998-10-30 2011-04-26 Virnetx, Inc. Agile network protocol for secure communications with assured system availability
US7945654B2 (en) 1998-10-30 2011-05-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7987274B2 (en) 1998-10-30 2011-07-26 Virnetx, Incorporated Method for establishing secure communication link between computers of virtual private network
US7996539B2 (en) 1998-10-30 2011-08-09 Virnetx, Inc. Agile network protocol for secure communications with assured system availability
US8051181B2 (en) 1998-10-30 2011-11-01 Virnetx, Inc. Method for establishing secure communication link between computers of virtual private network
US8458341B2 (en) 1998-10-30 2013-06-04 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8504696B2 (en) 1998-10-30 2013-08-06 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8504697B2 (en) 1998-10-30 2013-08-06 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US9479426B2 (en) 1998-10-30 2016-10-25 Virnetz, Inc. Agile network protocol for secure communications with assured system availability
US9386000B2 (en) 1998-10-30 2016-07-05 Virnetx, Inc. System and method for establishing a communication link
US9413766B2 (en) 1998-10-30 2016-08-09 Virnetx, Inc. Method for establishing connection between devices
US8554899B2 (en) 1998-10-30 2013-10-08 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US8560705B2 (en) 1998-10-30 2013-10-15 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8572247B2 (en) 1998-10-30 2013-10-29 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US8843643B2 (en) 1998-10-30 2014-09-23 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8850009B2 (en) 1998-10-30 2014-09-30 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8868705B2 (en) 1998-10-30 2014-10-21 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US8874771B2 (en) 1998-10-30 2014-10-28 Virnetx, Inc. Agile network protocol for secure communications with assured system availability
US8904516B2 (en) 1998-10-30 2014-12-02 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8943201B2 (en) 1998-10-30 2015-01-27 Virnetx, Inc. Method for establishing encrypted channel
US9027115B2 (en) 1998-10-30 2015-05-05 Virnetx, Inc. System and method for using a registered name to connect network devices with a link that uses encryption
US9037713B2 (en) 1998-10-30 2015-05-19 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US9038163B2 (en) 1998-10-30 2015-05-19 Virnetx, Inc. Systems and methods for connecting network devices over communication network
US9077695B2 (en) 1998-10-30 2015-07-07 Virnetx, Inc. System and method for establishing an encrypted communication link based on IP address lookup requests
US9077694B2 (en) 1998-10-30 2015-07-07 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US9094399B2 (en) 1998-10-30 2015-07-28 Virnetx, Inc. Method for establishing secure communication link between computers of virtual private network
US9100375B2 (en) 1998-10-30 2015-08-04 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US9374346B2 (en) 1998-10-30 2016-06-21 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US8516117B2 (en) 1998-10-30 2013-08-20 Virnetx, Inc. Agile network protocol for secure communications with assured system availability
DE10017573A1 (de) * 2000-04-10 2001-10-11 Thomas Hahn Verfahren zur Kommunikation zwischen Endeinrichtungen und Endeinrichtung
DE10017573C2 (de) * 2000-04-10 2002-12-05 Thomas Hahn Verfahren zur Kommunikation zwischen Endeinrichtungen und Endeinrichtung
EP1542429A1 (de) * 2000-04-26 2005-06-15 Science Applications International Corporation Verbesserung am behenden Netzwerkprotcoll für sichere Kommunikation mit gesicherter Systemverfürbarkeit
EP2330801B1 (de) * 2000-04-26 2019-10-23 VirnetX Inc. Sicherer Domänennamendienst
WO2001092997A3 (en) * 2000-04-26 2002-10-17 Science Applic Int Corp Secure domain name service
DE10108408A1 (de) * 2001-02-21 2002-08-29 Gloocorp Ag Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus
US7054944B2 (en) 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
WO2003055176A1 (en) 2001-12-19 2003-07-03 Intel Corporation Access control management

Also Published As

Publication number Publication date
GB9912200D0 (en) 1999-07-28
GB2340702B (en) 2000-07-19
FR2782873B1 (fr) 2001-08-10
GB2340702A (en) 2000-02-23
JP2000049867A (ja) 2000-02-18
US6557037B1 (en) 2003-04-29
FR2782873A1 (fr) 2000-03-03

Similar Documents

Publication Publication Date Title
DE19924575A1 (de) Kommunikationssystem und -Verfahren
DE60217962T2 (de) Benutzerauthentisierung quer durch die Kommunikationssitzungen
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60121101T2 (de) Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE60026838T2 (de) Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy
DE60114220T2 (de) System und verfahren zur implementierung des verbesserten transportschicht-sicherheitsprotokolls
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE69838769T2 (de) System und Verfahren zum anonymen, personalisierten Browsen in einem Netzwerk
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
EP3518492B1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
DE10008519C1 (de) Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
WO2013020207A1 (en) Method and system for providing secure external client access to device or service on a remote network
DE60307652T2 (de) Verfahren und System zur gesicherten Inhaltsüberlieferung
DE19721949C2 (de) Chiffriervorrichtung
WO2007045395A1 (de) Vorrichtungen und verfahren zum durchführen von kryptographischen operationen in einem server-client-rechnernetzwerksystem
EP0992146A2 (de) Verfahren und computersystem zur codierung einer digitalen nachricht, zur übertragung der nachricht von einer ersten computereinheit zu einer zweiten computereinheit und zur decodierung der nachricht
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
EP1404080A1 (de) Verfahren zur Abwehr von Angriffsdatenströmen auf Netzknoten in einem Kommunikationsnetz
EP3613193A1 (de) Verfahren, vorrichtungen und computerprogrammprodukt zur überprüfung von verbindungsparametern einer kryptographisch geschützten kommunikationsverbindung während des verbindungsaufbaus
DE60300661T2 (de) Initialisierung der Sicherheitsinformation in einem Netzwerkgerät
EP3767909B1 (de) Verfahren und kommunikationseinheit zur kryptographisch geschützten unidirektionalen datenübertragung von nutzdaten zwischen zwei netzwerken
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen

Legal Events

Date Code Title Description
8141 Disposal/no request for examination