[go: up one dir, main page]

DE60302833T2 - Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen - Google Patents

Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen Download PDF

Info

Publication number
DE60302833T2
DE60302833T2 DE60302833T DE60302833T DE60302833T2 DE 60302833 T2 DE60302833 T2 DE 60302833T2 DE 60302833 T DE60302833 T DE 60302833T DE 60302833 T DE60302833 T DE 60302833T DE 60302833 T2 DE60302833 T2 DE 60302833T2
Authority
DE
Germany
Prior art keywords
information
data packet
rule
user password
program code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60302833T
Other languages
English (en)
Other versions
DE60302833D1 (de
Inventor
Olli Mikkonen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Application granted granted Critical
Publication of DE60302833D1 publication Critical patent/DE60302833D1/de
Publication of DE60302833T2 publication Critical patent/DE60302833T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/56Routing software
    • H04L45/566Routing instructions carried by the data packet, e.g. active networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

  • Erfindungsgebiet
  • Die vorliegende Erfindung betrifft Datenpaketvermittlungen in Datennetzen und insbesondere die Vermittlung von Datenpaketen in virtuellen privaten Netzen (VPN).
  • Stand der Technik
  • In Datennetzen, so beispielsweise im Internet, wird die Information in Datenpaketen übermittelt, die auf der Grundlage einer Bestimmungsadresse, beispielsweise einer Internetprotokoll(IP)-Adresse einschließlich des Datenpaketes an ihren Bestimmungsort geleitet werden. Ursprünglich war eine IP-Adresse einer körperlichen Maschine zugeordnet und die Datenpakete konnten einfach auf der Grundlage der Bestimmungsadresse an die richtige Adresse gelenkt werden. Heutzutage jedoch kann eine reine Bestimmungsadresse nicht immer die Bestimmungseinrichtung eindeutig identifizieren.
  • So benutzen beispielsweise Organisationen aufgrund der begrenzten Zahl von IP-Adressen und bei der dem Internet eigenen Sicherheit oftmals eine begrenzte Anzahl öffentlicher IP-Adressen und verstecken die IP-Adressen ihrer internen Netze hinter diesen öffentlichen Adressen mit Hilfe einer Netz-Adressen-Übersetzung (NAT). Bei dieser Art der Anordnung können die in den zahlreichen unterschiedlichen internen Netzen (interne Adressen) benutzten IP-Adressen gleich sein. Gewöhnlich entstehen dadurch keinerlei Probleme, da oftmals eine Einrichtung, die an der Grenze des Internet-Netzes sitzt, die Übersetzung der internen Adressen in öffentliche Adressen und umgekehrt übernimmt und die Datenpakete an die richtigen Bestimmungsorte leitet.
  • Es gibt jedoch einige Situationen, in denen die Vermittlung der Datenpakete nur auf der Basis der Bestimmungsadresse nicht funktioniert. Eine Lösung zur Auffindung der richtigen Bestimmung besteht darin, Quellen-IP-Adressen und/oder Quellen-Bestimmungsportale zu benutzten als Basis der Übermittlungsentscheidung, die auch in einem Datenpaket aufgefunden werden können. Selbst diese Möglichkeit jedoch hilft nicht in allen Fällen, so daß Bedarf für eine neue Vermittlungslösung besteht.
  • Die US-A-6 154 839 beschreibt eine NAT, basierend auf Adressenübersetzung, wobei eine temporäre bevorzugte Adresse einem Fernteilnehmer zur Kommunikation innerhalb eines Firewalls zugeordnet wird. Die bevorzugte Adresse in den Antwortpaketen wird als Index für eine Nachschlagtabelle benutzt, die die Adressen des Fernteilnehmers enthält.
  • Zusammenfassung der Erfindung
  • Eine Aufgabe der Erfindung besteht darin, ein neues Verfahren, ein Computer-Programmprodukt und ein Netzelement zur Vermittlung der Datenpakete zu schaffen.
  • Diese Aufgabe wird erfindungsgemäß gemäß den beigefügten unabhängigen Ansprüchen gelöst. Bevorzugte Ausführungsbeispiele der Erfindung sind in den Unteransprüchen gekennzeichnet. Die Merkmale eines abhängigen Anspruchs lassen sich mit den Merkmalen kombinieren, die in einem anderen abhängigen Anspruch enthalten sind, um weitere vorteilhafte Ausführungsformen der Erfindung zu schaffen.
  • Die der Erfindung zugrunde liegende Idee beruht auf der Vermittlung von Datenpaketen auf der Basis von Informationen, die in den zu vermittelnden Datenpaketen nicht enthalten sind und damit zur Verfügung stehen. D. h., erfindungsgemäß wird ein Informationsstück, das indirekt dem Datenpaket zugeordnet ist, zunächst bestimmt, und das Datenpaket wird dann mindestens teilweise auf der Basis dieses Informationsstückes vermittelt. Diese Information kann beispielsweise ein Benutzerkennwort sein, das den Datenpaketen zugeordnet ist, oder eine Tageszeit oder ein Datum. Indirekt zugeordnet zu dem Datenpaket bedeutet hier, daß die Information, die zum Fällen der Vermittlungsentscheidung verwendet wird, nicht direkt von dem Datenpaket erhalten werden kann, sondern daß eine zusätzliche Handlung erforderlich ist. So wird beispielsweise, um ein Benutzerkennwort zu erhalten, die Beurkundung benötigt und von dem System, das die Erfindung umsetzt, beispielsweise der Tag oder das Datum erhalten.
  • Gemäß einem Erfindungsmerkmal wird zunächst ein Benutzerkennwort, das mit einem Datenpaket verbunden ist, bestimmt und das Datenpaket zumindest teilweise auf der Basis dieses Benutzerkennwortes vermittelt.
  • Gemäß einem anderen Erfindungsmerkmal ist die Vermittlung von Informationen Bestandteil eines Firewalls oder einer VPN-Regel, und zu der Vermittlung des Datenpaketes gehört das Auffinden einer Filterregel, die wenigstens zu dem besagten Benutzerkennwort paßt, sowie die Entnahme von Übermittlungsinformationen aus dieser Filterregel und die Vermittlung des Datenpaketes auf der Basis der Vermittlungsinformationen.
  • Zusätzlich zu dem Benutzerkennwort können beispielsweise Tageszeit und/oder Datum zum Auffinden der passenden Regel verwendet werden und demzufolge zur Informationsvermittlung für das Datenpaket.
  • Die Erfindung eignet sich insbesondere für virtuelle private Netze. Virtuelle private Netze bedeutet private Kommunikation über öffentliche Netze. So kann beispielsweise ein Laptop, der mit dem Internet verbunden ist, sicher mit einem Server kommunizieren, der in dem internen Netzwerk einer Organisation angesiedelt ist. Die interne Adressierung des Servers wird für aktuelle Datenpakete benutzt, für die Verwendung über das Internet werden jedoch die vom Laptop stammenden aktuellen Datenpakete verschlüsselt und in ein äußeres Datenpaket eingehäust, das an einen VPN-Zugang adressiert ist, der an der Grenze des inneren Netzwerkes sitzt. Der VPN-Zugang legt dann das Datenpaket frei und schickt es an das ursprüngliche Ziel, und zwar auf der Basis der in dem internen Datenpaket gefundenen Adresse. VPNs werden auch zwischen zwei VPN-Zugängen gebildet. Spezielle Details einer VPN-Verwendung sind jedoch für die vorliegende Erfindung nicht relevant und werden deshalb hier nicht weiter diskutiert.
  • Ein potentielles Problem bei der Vermittlung von Datenpaketen in Verbindung mit VPNs besteht beispielsweise dann, wenn ein Provider-Dienstleister (MSP) einer Vielzahl von Kunden VPN-Zugangservice anbietet. Nimmt man beispielsweise an, daß ein MSP einen VPN-Zugang benutzt, um VPN-Verbindungen für eine Vielzahl von Kunden zu betreiben, wobei jeder Kunde eine eigene Schnittstelle zu dem VPN-Zugang hat, und gleichzeitig den Kunden ermöglicht wird, sich überlappende interne Adressen zu benutzen. Wenn nun ein Datenpaket des VPN-Anschlusses von einer gegebenen externen Quelle an einer internen Adresse X an dem VPN- Zugang ankommt und die interne Adresse X für mehr als ein internes Netz verwendet wird, das an den VPN-Zugang angeschlossen ist, so ist es unmöglich, auf der Basis der Bestimmungsadresse herauszufinden, welches X die korrekte Bestimmung ist. Selbst die Benutzung einer Quelladresse hilft nicht, da die mobilen Terminals typischerweise dynamische IP-Adressen verwenden und somit die Quellenadresse keinerlei zusätzliche Information liefert. Das erfindungsgemäße Verfahren löst jedoch dieses Problem, da die Benutzerkennung für die Vermittlung verwendet wird. Erfindungsgemäß registrieren bei dem MSP unterschiedliche Kunden die Benutzerkennworte, die die Verwendung ihres VPN ermöglichen. Der VPN-Zugang des MSP kann dann leicht das korrekte Netz für ein gegebenes Datenpaket finden, indem das interne Netz bezogen auf die Benutzerkennung gefunden wird, die mit dem Datenpaket verbunden ist.
  • Ein weiteres Problem, das mit der Erfindung gelöst werden kann, besteht darin, daß, obgleich alle Kundennetze, die mit einem MSP-VPN-Zugang verbunden sind, verschiedene interne Adressenräume benutzen, ein Kunde verlangen kann, daß der ganze Verkehr, der von den Laptops der Kunden herrührt, durch sein internes Netz geleitet wird. D. h., selbst derjenige Verkehr, dessen Bestimmung im Internet liegt, soll zu dem internen Netz des Kunden gelenkt werden und von dort aus in das Internet. Auf diese Weise kann der Kunde seine eigene Sicherheitspolitik für den Verkehr bewerkstelligen, bevor diese weitergeleitet wird. Für diesen Fall bieten bekannte Lösungen keinerlei Möglichkeit für den VPN-Zugang, um herauszufinden, welches interne Netz die korrekte Bestimmung für ein verschlüsseltes Datenpaket ist, in dem die Bestimmungsadresse auf das Internet weist. Indem jedoch erfindungsgemäß die Vermittlungsentscheidung auf der Benutzerkennung basiert, läßt sich die korrekte Bestimmung auffinden.
  • Kurze Beschreibung der Zeichnungen
  • Verschiedene Merkmale der Erfindungen sowie Vorteile, die von ihr geboten werden, werden im folgenden im Detail unter Bezug auf die in der Zeichnung dargestellten Ausführungsbeispiele beschrieben. In der Zeichnung zeigen:
  • 1 eine beispielhafte Netzkonfiguration;
  • 2A ein Fließbild, das einen Gesichtspunkt des erfindungsgemäßen Verfahrens zeigt; und
  • 2B ein Fließbild, das einen anderen Gesichtspunkt des Verfahrens zeigt.
  • Bevorzugte Ausführungsformen der Erfindung
  • 1 zeigt ein Beispiel für eine Netzkonfiguration, bei der die Erfindung verwendet werden kann. Interne Netze von Kunden A, B und C 101103 sind mit dem Internet 104 über einen Firewall 100 verbunden, der durch eine MSP (in der Figur nicht gezeigt) verwaltet wird. Der Firewall arbeitet auch wie ein VPN-Zugang für das interne Netz und ermöglicht sichere Fernverbindungen von an das Internet angeschlossene Vorrichtungen, beispielsweise einem Laptop 105, mit dem internen Netz. Sobald ein Datenpaket vom Laptop 105 an dem Firewall 100 ankommt, wird erfindungsgemäß über den nächsten Sprung von dem Firewall bezüglich des Datenpakets entschieden, und zwar wenigstens teilweise auf der Basis der Benutzerkennung, die dem Datenpaket oder dem Laptop zugeordnet ist.
  • Die Erfindung kann in jedem beliebigen Netzelement verwendet werden, das Datenpakete an Kommunikationsnetze vermittelt. Das Netz kann ein Firewall sein, beispielsweise der Firewall 100 in 1, ein VPN-Zugang, ein Vermittler, ein Computer (PC) oder was auch immer für derartige Zwecke verwendet werden kann. Physikalisch gesehen ist das Netzelement eine Computerhardwareeinrichtung in Verbindung mit geeigneter Software, um Aufgaben zu erfüllen, denen sie zugeordnet ist.
  • Die Erfindung läßt sich beispielsweise in Firewall-Regeln verwirklichen. Firewall-Regeln werden zur Konfiguration des Firewalls benutzt. Regeln (bildend eine Richtschnur) bestimmen, welche Datenpakete den Firewall überqueren dürfen und welche nicht. Eine Regel enthält eine Information zur Identifizierung eines Datenpakets, beispielsweise Quellen- und Bestimmungsadressen und Anschlüsse, Benutzerkennung) und ein zugehöriger Vorgang, der beispielsweise das Paket zuläßt oder nicht zuläßt. Gewöhnlich wird alles, was nicht explizit in den Regeln erlaubt ist, verneint. Der Vorgang kann auch etwas anderes sein als bloßes Erlauben oder Nichterlauben. So kann beispielsweise der Vorgang in der Regel anzeigen, daß ein gewisser weiterer Vorgang stattfinden muß, bevor ein Datenpaket freigegeben wird, das prinzipiell akzeptiert wird. Ein solcher weiterer Vorgang kann beispielsweise eine Netzadressenübertragung (NAT), Verschlüsselung, Entschlüsselung oder eine Virusprüfung sein. Auch ein Zurückweisungsvorgang kann weitere Be arbeitung bedeuten. Gemäß einem Gesichtspunkt der Erfindung ist in der Regel eine Vermittlungsinformation enthalten, und alle anderen Vermittlungsregeln werden von den Datenpaketen überlaufen, die zu einer Regel passen, welche die Vermittlungsinformation enthält. Indem die Vermittlungsentscheidung von Firewall-Regeln abhängig gemacht wird, kann jede Information, die zum Aussieben von Datenpaketen in dem Firewall benutzt wird, für Vermittlungsentscheidungen Verwendung finden. Somit kann eine Vermittlungsentscheidung sowohl auf Bestimmungsadressen als auch auf Quellenadressen oder Orte oder Bestimmungsorte, aber auch auf jeder beliebig anderen Information innerhalb bestehender Regeln beruhen, so beispielsweise der Benutzerkennung, die von einem anderen Beglaubigungsvorgang oder der Tageszeit oder dem Datum erhalten wird.
  • Die übermittelte Information, die in einer Regel enthalten ist, kann beispielsweise ein Zugang sein, auf den das Datenpaket gerichtet ist, oder eine Netzschnittstellenkarte (NIC) oder ein Netzverbindungselement, das zur Übertragung des Datenpakets verwendet wird.
  • 2A ist ein Fließbild, das ein Merkmal des erfindungsgemäßen Verfahren erläutert. Im Schritt 200 wird zunächst ein Datenpaket der Vorrichtung, mit der die Erfindung ausgeführt wird, empfangen. Dann wird ein Informationsstück, das indirekt zu dem Datenpaket gehört, d. h. die Information, die in dem Datenpaket nicht direkt zur Verfügung steht, im Schritt 201 bestimmt. Die genaue Bestimmung wird für das Datenpaket wenigstens teilweise auf der Basis des Informationsstückes im Schritt 202 ausgewählt. Das Auswählen der Bestimmung bedeutet nicht notwendigerweise das Auswählen der endgültigen Bestimmung für das Datenpaket, sondern des nächsten Weges, den das Datenpaket nimmt. So wird beispielsweise ein zu der Benutzerkennung gehörender Zugang aus der Liste ausgewählt. Die klare Wahl der Bestimmung braucht nicht nur auf der Basis des Informationsstückes zu erfolgen, das indirekt zu dem Datenpaket gehört, sondern es kann auch die Information Verwendung finden, die fertig in dem Datenpaket zur Verfügung steht. So können beispielsweise dort, wo dies geeignet erscheint, Quellen- und Bestimmungsadressen Berücksichtigung finden. Im Schritt 203 wird dann das Datenpaket der Bestimmung zugeführt (beispielsweise der richtigen NIC oder dem nächsten Zugang). Informationsübermittlung (Information hinsichtlich des nächsten Schrittes) ist vorzugsweise Bestandteil eines Firewalls oder einer VPN-Regel, und das Datenpaket wird automatisch auf der Basis der Informationsübertragung übertragen, die in einer Regel enthalten ist, welche zu dem Datenpaket paßt.
  • 2B zeigt ein Fließbild, das einen anderen Aspekt des erfindungsgemäßen Verfahrens darstellt. Im Schritt 200 wird zunächst ein Datenpaket in der Vorrichtung, mit der die Erfindung ausgeführt wird, empfangen. Daraufhin wird eine Benutzerkennung, die zu dem Datenpaket gehört, im Schritt 204 festgestellt, beispielsweise mit Hilfe einer Beglaubigung. Die genaue Bestimmung wird für das Datenpaket wenigstens teilweise auf der Grundlage der Benutzerkennung im Schritt 205 ausgewählt. Ähnlich dem Schritt 202 in 2A bedeutet die Auswahl der Bestimmung nicht notwendigerweise die Auswahl der endgültigen Bestimmung für das Datenpaket, sondern den nächsten Weg für das Datenpaket. Auch bei diesem Verfahren wird für das Datenpaket eine zusätzliche Information erhalten, beispielsweise als Quellen- oder Bestimmungsadresse, oder eine zusätzliche Information erfolgt von sonst woher, z. B. als Tageszeit und/oder als Datum, die dort, wo dies geeignet erscheint, für die Wahl der Bestimmung berücksichtigt werden kann. Im Schritt 203 wird das Datenpaket zur Bestimmung auf dieselbe Weise zugeführt wie in 2A.
  • Es versteht sich, daß die Netzkonfiguration von 1 und die Nutzungsszenarien der Erfindung, die oben beschrieben worden sind, nur Beispiele darstellen sollen, die verdeutlichen sollen, wie die Erfindung auf verschiedene Weise eingesetzt werden kann, und zwar innerhalb des Schutzumfangs der Erfindung, der durch die beigefügten Ansprüche festgelegt ist.

Claims (13)

  1. Verfahren zur Vermittlung eines Datenpakets durch Bestimmung (201) eines Informationsstückes, das indirekt dem Datenpaket zugeordnet, jedoch nicht in ihm enthalten ist, dadurch gekennzeichnet, daß das Informationsstück allein oder in Verbindung mit anderen Informationen verwendet wird (202, 203), um eine Vermittlungsbestimmung für das Datenpaket auszuwählen.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Informationsstück das Benutzerkennwort ist, das für das Datenpaket aus einer Benutzerkartei erhalten wird.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Informationsstück eine Tageszeit und/oder ein Datum ist.
  4. Verfahren nach Anspruch 2, bei dem der Benutzungsschritt aus Auffinden einer Filterregel, die wenigstens zu dem Benutzerkennwort paßt, besteht, gekennzeichnet durch Erstellen einer Vermittlungsinformation aus der Filterregel und Vermitteln des Datenpaketes auf der Grundlage der Vermittlungsinformation.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß die Filterregel eine Firewall-Regel ist oder eine virtuelle Privatnetzregel.
  6. Verfahren nach Anspruch 4, bei dem die Tageszeit und/oder das Datum bestimmt werden, dadurch gekennzeichnet, daß der Schritt des Auffindens einer Filterregel das Auffinden einer derartigen Regel umfaßt, die zu der Tageszeit und/oder dem Datum paßt, und zwar zusätzlich zu dem Benutzerkennwort.
  7. Computerprogrammprodukt mit einem Computerprogrammcode, der, wenn er in einen Computer eingegeben wird, die Verfahrensschritte gemäß einem der Ansprüche 1 bis 6 ermöglicht.
  8. Netzwerkelement (100) zur Vermittlung von Datenpaketen, mit einem programmierten Computer zur Erstellung eines Speichers mit wenigstens einem Bereich zur Speicherung eines Betriebsprogrammcodes und mit einem Prozessor zur Ausführung des in dem Speicher gespeicherten Programmcodes, wobei der Programmcode zur Bestimmung (201) eines Informationsstücks dient, das indirekt dem Datenpaket zugeordnet, jedoch nicht in ihm enthalten ist, dadurch gekennzeichnet, daß der Programmcode zur Benutzung (202, 203) des bestimmten Informationsstückes dient, und zwar allein oder in Verbindung mit anderen Informationen, die zur Auswahl eines Vermittlungsbestimmungsortes für das Datenpaket dienen.
  9. Netzwerkelement nach Anspruch 8, dadurch gekennzeichnet, daß das Informationsstück das Benutzerkennwort ist, das aus einer Benutzerkartei erhalten wird.
  10. Netzwerkelement nach Anspruch 8, dadurch gekennzeichnet, daß das Informationsstück die Tageszeit und/oder das Datum sind.
  11. Netzwerkelement nach Anspruch 9, dadurch gekennzeichnet, daß der Programmcode für folgende weitere Schritte verwendet wird: Auffinden einer Filterregel, die wenigstens zu dem Benutzerkennwort paßt, Erstellen einer Vermittlungsinformation aus der Filterregel und Vermitteln des Datenpakets auf der Basis der Vermittlungsinformation.
  12. Netzwerkelement nach Anspruch 11, dadurch gekennzeichnet, daß die Filterregel eine Firewall-Regel oder eine virtuelle private Netzwerkregel ist.
  13. Netzwerkelement nach Anspruch 11, dadurch gekennzeichnet, daß der Programmcode zur Bestimmung von Tageszeit und/oder Datum dient und zum Auffinden einer Filterregel geeignet ist, die zu der Tageszeit und/oder dem Datum paßt, und zwar zusätzlich zu dem Benutzerkennwort.
DE60302833T 2002-07-01 2003-06-18 Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen Expired - Lifetime DE60302833T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US185714 2002-07-01
US10/185,714 US20040001475A1 (en) 2002-07-01 2002-07-01 Routing for virtual private networks

Publications (2)

Publication Number Publication Date
DE60302833D1 DE60302833D1 (de) 2006-01-26
DE60302833T2 true DE60302833T2 (de) 2006-08-17

Family

ID=29720397

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60302833T Expired - Lifetime DE60302833T2 (de) 2002-07-01 2003-06-18 Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen

Country Status (4)

Country Link
US (1) US20040001475A1 (de)
EP (1) EP1379037B1 (de)
AT (1) ATE313893T1 (de)
DE (1) DE60302833T2 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7403525B2 (en) * 2002-05-15 2008-07-22 Broadcom Corporation Efficient routing of packet data in a scalable processing resource
US7647410B2 (en) * 2002-08-28 2010-01-12 Procera Networks, Inc. Network rights management
US20050055463A1 (en) * 2003-05-16 2005-03-10 Verilegal, Inc. Secure internet functionality
US7493393B2 (en) * 2003-06-23 2009-02-17 Nokia Corporation Apparatus and method for security management in wireless IP networks
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
CN101102266B (zh) * 2006-07-03 2010-05-19 华为技术有限公司 基于分组网络的路由方法及系统
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
CN102035720B (zh) 2009-09-24 2012-07-04 华为技术有限公司 数据传输方法和系统
US10498764B2 (en) 2015-12-08 2019-12-03 Jpu.Io Ltd Network routing and security within a mobile radio network

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5621727A (en) * 1994-09-16 1997-04-15 Octel Communications Corporation System and method for private addressing plans using community addressing
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6154839A (en) * 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6182228B1 (en) * 1998-08-17 2001-01-30 International Business Machines Corporation System and method for very fast IP packet filtering
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
JP2003110596A (ja) * 2001-09-28 2003-04-11 Hitachi Ltd データ通信サービス提供方法
US7042988B2 (en) * 2001-09-28 2006-05-09 Bluesocket, Inc. Method and system for managing data traffic in wireless networks

Also Published As

Publication number Publication date
US20040001475A1 (en) 2004-01-01
ATE313893T1 (de) 2006-01-15
EP1379037B1 (de) 2005-12-21
DE60302833D1 (de) 2006-01-26
EP1379037A1 (de) 2004-01-07

Similar Documents

Publication Publication Date Title
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE60311297T2 (de) Gemeinsame port adressenumsetzung in einem router der als nat & nat-pt gateway agiert
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60314367T2 (de) Verfahren und Vorrichtung zur gleichrangigen Kommunikation
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE60310347T2 (de) Verfahren und System zur Regelassoziation in Kommunikationsnetzen
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE60207984T2 (de) Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung
DE69838769T2 (de) System und Verfahren zum anonymen, personalisierten Browsen in einem Netzwerk
DE69928504T2 (de) Bereitstellung eines sicheren Zugriffs auf Netzwerkdienste
EP1602214B1 (de) Verfahren, system und speichermedium um kompatibilität zwischen IPsec und dynamischem routing herzustellen
DE60121755T2 (de) Ipsec-verarbeitung
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE60018094T2 (de) Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung
DE19741239A1 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
EP2842291B1 (de) Authentifizierung eines ersten gerätes durch eine vermittlungsstelle
WO2009106214A2 (de) Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system
DE60302833T2 (de) Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
EP3901807B1 (de) Erstellen eines domain-name-system-container-images zum erstellen einer domain-name-system-container-instanz
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE60304704T2 (de) Netzsystem, Router und Netzeinrichtungsverfahren
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE10392807T5 (de) Verfahren und Vorrichtung für eine verbesserte Sicherheit für eine Kommunikation über ein Netzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition