DE69833605T2 - Sichere virtuelle LANS - Google Patents

Sichere virtuelle LANS Download PDF

Info

Publication number
DE69833605T2
DE69833605T2 DE69833605T DE69833605T DE69833605T2 DE 69833605 T2 DE69833605 T2 DE 69833605T2 DE 69833605 T DE69833605 T DE 69833605T DE 69833605 T DE69833605 T DE 69833605T DE 69833605 T2 DE69833605 T2 DE 69833605T2
Authority
DE
Germany
Prior art keywords
end station
authentication
vlan
new end
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69833605T
Other languages
English (en)
Other versions
DE69833605D1 (de
Inventor
William M.A. Stittsville Gage
Martin Nepean Wollensak
Lee Calgary Himbeault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nortel Networks Ltd
Original Assignee
Nortel Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nortel Networks Ltd filed Critical Nortel Networks Ltd
Application granted granted Critical
Publication of DE69833605D1 publication Critical patent/DE69833605D1/de
Publication of DE69833605T2 publication Critical patent/DE69833605T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/4608LAN interconnection over ATM networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • H04Q11/0478Provisions for broadband connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5614User Network Interface
    • H04L2012/5617Virtual LANs; Emulation of LANs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5687Security aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

  • Gebiet der Erfindung
  • Diese Erfindung bezieht sich auf lokale Netzwerke und insbesondere auf ein Verfahren zur Verbesserung der Sicherheit von Information, die in einem virtuellen lokalen Netzwerk zirkuliert.
  • Hintergrund der Erfindung
  • Übliche lokale Netzwerke (LAN) können so betrachtet werden, als ob sie eine Anzahl von Endstationen (oder Endgeräten) umfassen, die miteinander durch eine Kombination von Verbindungsstrecken und Vermittlungen oder Switch-Einrichtungen verbunden sind. Zusätzlich können entfernt angeordnete Switch-Einrichtungen oder Vermittlungen über virtuelle Verbindungen (VC) verbunden werden, die über asynchrone Betriebsart- (ATM-) Verbindungen laufen. Eine derartige Erweiterung eines LAN wird in vielen Fällen als eine LAN-Emulation über ATM- (LANE-) Umgebung bezeichnet. Wenn die Anzahl der Endstationen in dem LAN oder in der LANE-Umgebung wächst, werden die Verkehrs-Überlastungen und Sicherheitsfragen zu schwerwiegenden Problemen für Administratoren derartiger Netzwerke.
  • Die Segmentierung der LAN- oder LANE-Umgebung in eine Anzahl von virtuellen LAN's (VLAN's) wurde von Netzwerk-Administratoren verwendet, um eine Verkehrs-Überlastung zu mildern und eine Sicherheit für die Information zu schaffen, die sich in dem Netzwerk bewegt. Die Sicherheit, die sich bei traditionellen VLAN's ergibt, beruht auf zwei grundlegenden Prinzipien, die zur Übertragung von Datenpaketen in dem Netzwerk verwendet werden. Einerseits wird Rundsende- und Sammelsende-Verkehr lediglich zu Endstationen ausgesandt, die Mitglieder des VLAN sind. In diesem Fall kann eine gemeinsame Rundsende- oder Sammelsende-Adresse gemeinsam von vorgesehenen Empfängern verwendet werden. Zweitens wird Punkt-zu-Punkt-Verkehr lediglich zwischen den Quellen- und Ziel-Endstationen übertragen, obwohl der Ort eines vorgesehenen Empfängers in vielen Fällen lediglich dadurch bestimmt werden kann, dass zunächst ein „Ermittlungs"-Paket im Rundsendebetrieb an andere Endstationen innerhalb des VLAN gesandt wird. Es ist klar zu erkennen, dass die Netzwerk-Sicherheit beim Stand der Technik auf der Annahme beruht, dass Daten lediglich an diejenigen Endstationen gesandt werden, die autorisiert sind, die Daten zu sehen, wodurch eine Durchbrechung der Sicherheit aufgrund eines unbeabsichtigten oder böswilligen Schnüffelns durch Endstationen außerhalb des VLAN vermieden wird. Ein schwerwiegender Fehler bei dieser Lösung besteht darin, dass Endstationen dem VLAN mit nur geringer oder ohne Authentifizierung durch das Netzwerk beitreten können.
  • Die Mitgliedschaft in einem VLAN kann durch den Benutzernamen, die Zugangsport-Identifikation, die Endstations-Medienzugangskontroll- (MAC-) Adresse oder die Internetprotokoll- (IP-) Teilnetzwerk-Adresse definiert werden. Wenn die Mitgliedschaft in einem VLAN durch die Zugangsport-Identifikation definiert ist, ordnet der Netzwerk-Administrator die physikalischen Ports (beispielsweise auf einem Ethernet-Switch oder -Hub) zu, die Elemente eines VLAN bilden. Dies hindert einen Eindringling jedoch nicht daran, eine rechtmäßige Endstation abzutrennen und eine Verbindung einer unrechtmäßigen Endstation mit ein und dem gleichen physikalischen Port herzustellen. Nach der Herstellung der Verbindung hat die unrechtmäßige Endstation Zugang an möglicherweise vertrauliche Information, die in dem VLAN zirkuliert.
  • Die VLAN-Mitgliedschaft kann weiterhin unter Bezugnahme auf eine einzigartige 48-Bit-MAC-Adresse definiert werden, die jeder Endstation während der Herstellung zugeteilt wird. In diesem Fall definiert der Netzwerk-Administrator die MAC-Adressen der Endstationen, die Elemente des VLAN bilden. Wenn eine Endstation verbunden wird und mit der Aussendung von Datenpaketen beginnt, wird die Quellen-MAC-Adresse, die in jedem Datenpaket enthalten ist, dazu verwendet, das VLAN zu bestimmen, zu dem die Endstation gehört. Leider verhindert dies nicht, dass ein Eindringling eine unrechtmäßige Endstation mit dem Netzwerk verbindet und die MAC-Adresse einer rechtmäßigen Endstation in seine Datenpakete einfügt. Nachdem sie in erfolgreicher Weise eine rechtmäßige Endstation „emuliert" hat, erhält die unrechtmäßige Endstation Zugang an beschränkte Information, die in dem VLAN übertragen wird.
  • Schließlich kann der Netzwerk-Administrator auch die 32-Bit-IP-Adressenblöcke oder Benutzernamen der Endstationen definieren, denen es erlaubt ist, Mitglieder des VLAN zu sein. Die IP-Adresse und der Benutzername wirken ähnlich wie die MAC-Adresse, und eine unrechtmäßige Endstation kann wiederum durch Einfügen der Identität einer rechtmäßigen Endstation in ihre Datenpakete einen Zugang an beschränkte Daten erhalten.
  • Es würde daher von größter Wichtigkeit sein, ein Verfahren zu schaffen, das sicherstellt, dass unberechtigte Endstationen keine Verbindung zu einem VLAN herstellen können. Weiterhin würde es in dem Fall, in dem ein Authentifizierungsmechanismus vorgesehen würde, um diese Schwierigkeit zu mildern, es nützlich sein, sicherzustellen, dass nicht-autorisierte Switch-Einrichtungen oder Vermittlungen einen derartigen Authentifizierungsmechanismus nicht emulieren können.
  • Ein Gerät und eine LAN-Emulations-Norm, das bzw. die eine Quellenadressen-Validierung ausführt, ist in der europäischen Patentanmeldung EP 0 779 724 A1 beschrieben, die am 18. Juni 1997 unter der Anmeldenummer 96850182.5 veröffentlicht wurde. Bei der Herstellung einer Kommunkation prüft eine Kontrolleinrichtung, ob eine angeforderte Kommunkation zulässig ist, indem Information in einer Liste verwendet wird. Die Liste umfasst Information bezüglich zulässiger und/oder unzulässiger Kommunkationsfälle. Die Kontrolleinrichtung liest die Adresse des anfordernden Teilnehmers und prüft die Adresse gegen die Liste, bevor entschieden wird, ob eine Verbindung zuzulassen oder zurückzuweisen ist. Dieses Schema leidet jedoch an Nachteilen, die denen ähnlich sind, wie sie vorstehend beschrieben wurden.
  • Zusammenfassung der Erfindung
  • Es ist ein Ziel der vorliegenden Erfindung, einen oder mehrere Nachteile des Standes der Technik zu mildem oder zu vermeiden.
  • Daher kann die Erfindung gemäß einem ersten breiten Gesichtspunkt als ein lokales Netzwerk zusammengefasst werden, das eine Vielzahl von Endstationen und einen Authentifizierungs-Server umfasst, wobei das LAN in eine Vielzahl von virtuellen lokalen Netzwerken (VLAN's) unterteilt ist, wobei jedes VLAN zumindest eine Mitglieds-Endstation umfasst, wobei der Authentifizierungs-Server verfolgt, welche Endstationen Mitglieder welches VLAN sind, verfolgt, welche der Endstationen autorisiert sind, welchem VLAN beizutreten, und neue Endstationen, die einem VLAN beitreten, einem Authentifizierungstest unterwirft.
  • Vorzugsweise schließt die Erfindung ein lokales Netzwerk ein, das Folgendes umfasst: eine Vielzahl von Endstationen; eine Vielzahl von LAN-Emulations-Servern (LES's), einen LAN-Emulations-Konfigurations-Server (LECS); und einen Authentifizierungs-Server (AS); wobei das LAN in eine Vielzahl von virtuellen lokalen Netzwerken (VLAN's) unterteilt ist und jedes VLAN einen jeweiligen LES und zumindest eine Mitglieds-Endstation umfasst, wobei jeder LES verfolgt, welche Endstationen Mitglieder in dem betreffenden VLAN sind, wobei der LECS verfolgt, welche Endstation Mitglieder welches VLAN sind, wobei der Authentifizierungs-Server verfolgt, welche Endstationen autorisiert sind, welchem VLAN beizutreten, und neue Endstationen, die einem VLAN beitreten. einem Authentifizierungstest unterwirft.
  • Die Erfindung kann gemäß einem zweiten weiten Grundgedanken als ein Verfahren zur sicheren Hinzufügung einer neuen Endstation zu einem lokalen Netzwerk (LAN) zusammengefasst werden, wobei das LAN eine Vielzahl von Endstationen und einen Authentifizierungs-Server (AS) umfasst, wobei das LAN in eine Vielzahl von virtuellen lokalen Netzwerken (VLAN's) unterteilt ist, wobei jedes VLAN zumindest eine Mitglieds-Endstation umfasst, wobei der Authentifizierungs-Server verfolgt, welche Endstationen Mitglieder welches VLAN sind, verfolgt, welche Endstationen welchem VLAN beitreten dürfen, und eine Authentifizierung der Endstationen ausführt, die dem VLAN beitreten, wobei das Verfahren die folgenden Schritte umfasst: die neue Endstation sendet an den AS eine Mitteilung, die sowohl die neue Endstation als auch ein gewünschtes VLAN identifiziert; die neue Endstation unterwirft sich dem von dem AS durchgeführten Authentifizierungstest; und bei erfolgreicher Authentifizierung der neuen Endstation sendet der AS an die neue Endstation eine Mitteilung, die anzeigt, dass es der neuen Endstation erlaubt ist, die Verbindung mit dem gewünschten VLAN herzustellen.
  • Vorzugsweise schließt die Erfindung ein Verfahren zur gesicherten Hinzufügung einer neuen Endstation zu einem lokalen Netzwerk (LAN) ein, wobei das LAN eine Vielzahl von Endstationen, eine Vielzahl von LAN-Emulations-Servern (LES's), einen LAN-Emulations-Konfigurations-Server (LECS) und einen Authentifizierungs-Server (AS) umfasst, wobei jede Switch- oder Vermittlungseinrichtung mit zumindest einer Endstation kommuniziert, wobei die neue Endstation mit einer Switch-Einrichtung verbunden ist, wobei das LAN in eine Vielzahl von lokalen Netzwerken (VLAN's) unterteilt ist, wobei jedes VLAN einen jeweiligen LES und zumindest eine Mitglieds-Endstation umfasst, wobei jeder LES verfolgt, welche Endstationen derzeit Mitglieder in dem jeweiligen VLAN sind, und der LECS verfolgt, welchen Endstationen es erlaubt ist, Mitglieder welches VLAN zu sein, wobei der Authentifizierungs-Server eine Authentifizierung von Endstationen ausführt, die dem VLAN beitreten, wobei das Verfahren die folgenden Schritte umfasst: die neue Endstation sendet ihrer Switch-Einrichtung eine Mitteilung, die sowohl die neue Endstation als auch ein gewünschtes VLAN identifiziert; die Switch-Einrichtung sendet an den LECS eine Mitteilung, die Identität des LES anfordert, der dem gewünschten VLAN entspricht; der LECS sendet an den AS eine Mitteilung, die eine Authentifizierung der neuen Endstation anfordert; der AS erzeugt eine erste verschlüsselte Zahl unter Verwendung einer offenen Zahl und eines Algorithmus, der dem AS und der neuen Endstation bekannt ist; der AS sendet an den LECS eine Mitteilung, die die offene Zahl und die erste verschlüsselte Zahl umfasst; der LECS sendet an die Vermittlung eine Mitteilung, die die offene Zahl umfasst; die Switch-Einrichtung sendet an die neue Endstation eine Mitteilung, die die offene Zahl umfasst; die neue Endstation erzeugt eine zweite verschlüsselte Zahl unter Verwendung der offenen Zahl und des Algorithmus; die neue Endstation sendet an die Switch-Einrichtung eine Mitteilung, die die offene Zahl und die zweite verschlüsselte Zahl umfasst; die Switch-Einrichtung sendet an den LECS eine Mitteilung, die die offene Zahl und die zweite verschlüsselte Zahl umfasst; der LECS vergleicht die erste verschlüsselte Zahl mit der zweiten verschlüsselten Zahl; der LECS sendet an den dem gewünschten VLAN entsprechenden LES eine Mitteilung, dass die neue Endstation beabsichtigt, dem gewünschten VLAN beizutreten; der LECS sendet an die Switch-Einrichtung eine Mitteilung, die die Identität des dem gewünschten VLAN entsprechenden LES umfasst; die Switch-Einrichtung sendet an den dem gewünschten VLAN entsprechenden LES eine Mitteilung, die anfordert, dass die neue Endstation den gewünschten VLAN beitritt; und der dem gewünschten VLAN entsprechende LES sendet an die Switch-Einrichtung eine Mitteilung, dass es der neuen Endstation erlaubt ist, dem gewünschten VLAN beizutreten.
  • Kurze Beschreibung der Zeichnungen
  • Die bevorzugte Ausführungsform der vorliegenden Erfindung wird nunmehr unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in denen:
  • 1 ein Blockschaltbild einer LANE-Umgebung nach dem Stand der Technik ist;
  • 2 ein Blockschaltbild einer sicheren LANE-Umgebung, die zwei virtuelle lokale Netzwerke einschließt, gemäß der bevorzugten Ausführungsform der vorliegenden Erfindung ist;
  • 3 ein Mitteilungs-Flussdiagramm ist, das die Endstations-Authentifizierung in dem Netzwerk nach 2 zeigt; und
  • 4 ein Mitteilungs-Flussdiagramm ist, das die Endstations- und Netzwerk-Authentifizierung in dem Netzwerk nach 2 zeigt.
  • Ausführliche Beschreibung der bevorzugten Ausführungsform
  • 1 zeigt ein lokales Netzwerk 50, das eine Vielzahl von miteinander verbundenen Endstationen 101, 102, 105, 106, wie z.B. Personalcomputer, Arbeitsgruppen-Server oder Großrechner umfasst. Obwohl das Netzwerk zu Erläuterungszwecken als ein Ethernet-LAN angenommen wird, gilt die vorliegende Erfindung genauso für andere LAN's, beispielsweise Token-Ring, Datenverbindungsstrecken-Steuerung höherer Ebene (HDLC) und AppleTalk.
  • In einem lokalen Ethernet-Netzwerk enthält ein von einer sendenden Endstation in dem LAN ausgesandter Rahmen ein Kopffeld, das die sendende Endstation und eine vorgesehene Empfänger-Endstation (unter Verwendung beispielsweise der Quellen- und Ziel-MAC-Adressen) identifiziert, sowie die auszutauschende Information enthält. Die Ethernet-Rahmen können unter Verwendung eines Vielfachzugriffs mit Leitungsüberwachungs- und Kollisionsverhinderungs-Protokolls (CSMA-CD) oder irgendeines anderen Medienzugangs-Steuerprotokolls ausgesandt werden, das in der Technik bekannt ist. In 1 können die zwei Endstationen 101, 102, denen eine Ethernet-Verbindungsstrecke 201 gemeinsam ist, miteinander ohne externe Schnittstellenverbindung kommunizieren, weil jeder auf eine vorgegebene Verbindungsstrecke ausgesandte Rahmen von allen Endstationen „gesehen" wird, die mit dieser Verbindungsstrecke verbunden sind.
  • Eine Ethernet-Switch-Einrichtung 301 verbindet mehrfache Ethernet-Verbindungsstrecken 201, 202 und ermöglicht eine Kommunikation zwischen Endstationen, die auf den verschiedenen Ethernet-Verbindungsstrecken erscheinen. Die Ethernet-Verbindungsstrecken 201, 202 gehen von der Ethernet-Switch-Einrichtung 301 in einer sternförmigen Anordnung aus, und die Ethernet-Switch-Einrichtung verfolgt, welche Endstationen mit welcher Verbindungsstrecke verbunden sind. Wenn ein Ethernet-Rahmen von der Ethernet-Switch-Einrichtung 301 empfangen wird, überprüft sie das Kopffeld und sendet den Rahmen über die Ethernet-Verbindungsstrecke, die mit dem vorgesehenen Empfänger verbunden ist; der Rahmen wird nicht an irgendeine der anderen Verbindungsstrecken ausgesandt, wodurch eine Verkehrsüberlastung auf den Ethernet-Verbindungsstrecken verringert wird. In manchen Fällen können Endstationen mit ihren Ethernet-Switch-Einrichtungen über eine ausschließlich für diese bestimmte Ethernet-Verbindungsstrecke verbunden sein, um eine Teilung der Verbindungsstrecken-Bandbreite mit anderen Endstationen zu vermeiden, so dass der Endstation die maximal mögliche Betriebsleistung zur Verfügung gestellt wird. Ein Beispiel hiervon besteht in den Endstationen 105, 106, die mit der Ethernet-Switch-Einrichtung 303 über ausschließlich für diese bestimmte Verbindungsstrecken 205, 206 verbunden sind.
  • In einem großen lokalen Netzwerk kann es erforderlich sein, mehrere Ethernet-Switch-Einrichtungen einzuführen, um eine Überlastung auf Ethernet-Verbindungsstrecken weiter zu verringern. Obwohl es eine Anzahl von Mechanismen zur Verbindung von Ethernet-Switch-Einrichtungen in einem Netzwerk miteinander gibt, stellt die LAN-Emulation über ATM (LANE) eine übliche Lösung dar. Ethernet-Switch-Einrichtungen 301, 303 kommunizieren über virtuelle Verbindungen (VC's) über ein ATM-Netzwerk, das aus einem ATM-Switch oder einer ATM-Vermittlung 401 besteht, zusätzlich zu ATM-Verbindungsstrecken 501, 503, die die Ethernet-Switch-Einrichtungen mit den ATM-Vermittlungen verbinden. In einem komplexeren Netzwerk kann es mehrere ATM-Vermittlungen geben, die über zusätzliche ATM-Verbindungsstrecken miteinander verbunden sind.
  • Die Ethernet-Switch-Einrichtungen verfolgen, welche Endstation mit welchen ihrer lokalen Ethernet-Verbindungsstrecken verbunden sind, und sie wissen weiterhin, welche Endstationen mit anderen Ethernet-Switchen in dem Netzwerk verbunden sind. Ein LAN-Emulations-Server (LES) 602, der mit dem Netzwerk über eine ATM-Verbindungsstrecke 505 verbunden ist, umfasst eine aktualisierte Tabelle, die anzeigt, welche Endstationen mit welchen Ethernet-Switch-Einrichtungen verbunden sind, so dass die in den Ethernet-Switch-Einrichtungen 301, 303 enthaltene Information auf dem aktuellen Stand gehalten werden kann. Ein LAN-Emulations-Konfigurations-Server (LECS) 601, der für die „Konfiguration" des Netzwerkes verantwortlich ist, mit dem er über eine ATM-Verbindungsstrecke 504 verbunden ist, wickelt die anfängliche Verbindung neuer Endstationen in die LANE-Umgebung ab.
  • Wenn eine Ethernet-Switch-Einrichtung einen Ethernet-Rahmen von einer Endstation empfängt, so wird das Kopffeld überprüft, und wenn der Empfänger mit einem der örtlichen Ethernet-Verbindungsstrecken verbunden ist, so sendet die Ethernet-Switch-Einrichtung den Rahmen über die passende Ethernet-Verbindungsstrecke. Wenn der Empfänger jedoch mit einer anderen Ethernet-Switch-Einrichtung verbunden ist, so wird der Rahmen über die passende ATM VC zu der Ziel-Ethernet-Switch-Einrichtung ausgesandt. Bei Empfang des Rahmens über die ATM VC führt die Ziel-Ethernet-Switch-Einrichtung einen normalen Vergleich der Ziel-MAC-Adresse mit der Ethernet-Verbindungsstrecke aus und leitet den Rahmen über die passende Ethernet-Verbindungsstrecke an die Ziel-Endstation.
  • Wenn es zuviele Endstationen in einem LAN gibt, kann Sammelsende- und Rundsende-Verkehr einen Hauptbeitrag zur Netzwerk-Überlastung liefern. Um dieses Problem zu mildern, ist das Netzwerk in eine Anzahl von kleineren „virtuellen" Teil-Netzwerken (virtuelle LANS, oder VLAN's) segmentiert. Wie dies der Ausdruck „virtuell" andeutet, müssen nicht alle Endstationen, die als zu einem bestimmten VLAN zugehörig bezeichnet sind, mit dem einer Ethernet-Switch-Einrichtung verbunden sein, noch müssen alle mit einer Ethernet-Switch-Einrichtung verbundenen Endstationen zu dem einen VLAN gehören. Eine derartige Aufteilung des Netzwerkes ist für die Endstationen transparent. Jede Ethernet-Switch-Einrichtung umfasst andererseits eine interne Datenbank, um zu verfolgen, welche Endstationen zu welchen VLAN's gehören.
  • In 2 ist ein Beispiel einer LANE-Umgebung 50 gemäß der vorliegenden Erfindung gezeigt. Zwei virtuelle LAN's können identifiziert werden: ein „rotes" VLAN, das aus Endstationen 101-R, 102-R und 105-R besteht, und ein „grünes" VLAN, das aus den Endstationen 103-G, 104-G und 106-G besteht. Andere Gruppen von Endstationen 108, 109 gehören zu keinem VLAN. Physikalisch nutzen die Endstationen 101-R und 102-R eine Ethernet-Verbindungsstrecke 201 und sie sind mit einer Ethernet-Switch-Einrichtung 301 verbunden. Von der Ethernet-Switch-Einrichtung 301 geht weiterhin eine Ethernet-Verbindungsstrecke 202 aus, die Endstationen 108 verbindet. In ähnlicher Weise verbindet eine Ethernet-Switch-Einrichtung 302 die Endstationen 103-G und 104-G über eine gemeinsame Ethernet-Verbindungsstrecke 203 und die Endstationen 109 über eine andere Ethernet-Verbindungsstrecke 204. Eine dritte Ethernet-Switch-Einrichtung 303 verbindet Endstationen 105-R und 106-G über jeweilige nur diesen zugeteilte Ethernet-Verbindungsstrecken 205 und 206. Die Ethernet-Switch-Einrichtung 303 ist weiterhin physikalisch mit einer Endstation 107-R über eine ausschließlich hierfür bestimmte Ethernet-Verbindungsstrecke 207 verbunden. Die Endstation 107-R ist weder ein Mitglied des roten noch des grünen VLAN, beabsichtigt jedoch möglicherweise, dem roten VLAN beizutreten.
  • Ein LAN-Emulations-Konfigurations-Server (LECS) 601 enthält eine interne Datenbank, die eine Aufzeichnung jedes VLAN und der Endstationen speichert, die den VLAN's beitreten dürfen. Wenn die Endstationen mit Leistung versorgt werden oder umkonfiguriert werden, registrieren die Ethernet-Switch-Einrichtungen die Endstationen, die einem bestimmten VLAN mit einem LAN-Emulations-Server (LES, 602-R für das rote VLAN und 603-G für das grüne VLAN) beitreten möchten und hierzu zugelassen sind; eine Registrierung bei einem LES stellt eine Mitgliedschaft in dem entsprechenden VLAN dar. Virtuelle Verbindungen, die die Ethernet-Switch-Einrichtungen 301, 302, 303, den LECS 601 und die LAN-Emulations-Server 602-R verbinden, werden über eine ATM-Vermittlung oder einen Hub 401 hergestellt, und die Kommunikation erfolgt über jeweilige ATM-Verbindungsstrecken 501506.
  • Ein Sammelsende- oder Rundsende-Rahmen, der von einer Endstation empfangen wird, die ein Mitglied beispielsweise des roten VLAN ist, wird von der Ethernet-Switch-Einrichtung, die die Endstation mit Diensten versorgt, zu einer dem LES 602-R zugeordneten Funktion für eine Rundsendung und einen unbekannten Server (BUS-Funktion) weitergeleitet. Der LES 602-R leitet dann den Rahmen an alle Ethernet-Switch-Einrichtungen in dem Netzwerk weiter, die Endstationen haben, die Mitglieder des roten VLAN sind, das heißt die Ethernet-Switch-Einrichtungen 301 und 303. Die Ethernet-Switch-Einrichtungen 301 und 303 leiten ihrerseits den Sammelsende- oder Rundsende-Rahmen lediglich an diejenigen Ethernet-Verbindungsstrecken weiter, die mit Mitgliedern des roten VLAN verbunden sind, das heißt die Ethernet-Verbindungsstrecken 201 und 205. Auf diese Weise wird verhindert, dass Sammelsende- und Rundsende-Rahmen zu Endstationen außerhalb des VLAN ausgesandt werden, von dem der Rahmen ausging, wodurch eine Verkehrsüberlastung innerhalb des LAN insgesamt gemildert wird.
  • Eine primäre Funktion des LECS 601 besteht in der Konfiguration der VLAN's, das heißt, in der Information an neue Endstationen, die einem bestimmten VLAN beitreten möchten, über die Adresse, an der der LAS für dieses VLAN gefunden werden kann. In üblichen Netzwerken wird jedoch keine Authentifizierung der neuen Endstationen ausgeführt. Durch die Verwendung beispielsweise der MAC-Adresse einer Endstation, die berechtigt ist, einem bestimmten VLAN beizutreten, kann eine möglicherweise unberechtigte Endstation sich bei dem LES des VLAN registrieren, was zu dem weiter oben erläuterten Bruch der Sicherheit führt.
  • Gemäß der vorliegenden Erfindung liefert ein Authentifizierungs-Server (AS) 701, der mit dem Netzwerk über eine ATM-Verbindungsstrecke 507 verbunden ist, Sicherheitsmechanismen zu Authentifizierung von Endstationen, wenn sie versuchen, einem gewünschten VLAN beizutreten. Dieser AS 701 ist seinerseits für die Prüfung der Gültigkeit neuer Endstationen und dafür verantwortlich, dass ihre Registrierung mit irgendeinem LES nicht zugelassen wird, sofern sie nicht einen Authentifizierungs-"Test" bestehen, der bei einem Ausführungsbeispiel dadurch ausgeführt wird, dass ein Schlüssel-basierter Anforderungs-Antwort-Algorithmus verwendet wird. Ein Netzwerk-Administrator kann sehr einfach sicherstellen, dass lediglich der AS 701 und eine neue Endstation zu einer Zeit passende Schlüssel zur Durchführung und zum Bestehen des Tests besitzen. Es liegt innerhalb des Schutzumfanges der vorliegenden Erfindung, unterschiedliche Arten von Authentifizierungstests vorzusehen, wie z.B. Techniken, die auf Passworten, synchronisierten Sicherheitskarten, Sprachproben oder Fingerabdrücken beruhen. Die Haupterwägung ist in allen Fällen, dass eine erfolgreiche Authentifizierung nur dann möglich ist, wenn die neue Endstation wirklich berechtigt ist, dem gewünschten VLAN beizutreten.
  • Wenn der AS 701 mit dem Netzwerk über eine Ethernet-Verbindungsstrecke und eine Ethernet-Switch-Einrichtung verbunden ist, sollte der AS seine Ethernet-Verbindungsstrecke nicht gemeinsam mit anderen Endstationen nutzen, um sicherzustellen, dass Verkehr, der an den AS gerichtet ist, lediglich von dem AS gesehen wird. Der AS kann eine unabhängige Einheit realisiert werden, um eine verbesserte Sicherheit für die Algorithmen und Daten zu schaffen, die er enthält, oder er kann mit dem LECS 601 integriert werden.
  • Eine Folge von Schritten für eine Endstation 107-R zum Beitritt zu dem roten VLAN gemäß der vorliegenden Erfindung wird nunmehr unter zusätzlicher Bezugnahme auf 3 beschrieben, in der lediglich die Schritte gezeigt sind, die eine Übertragung von Information zwischen Netzwerk-Komponenten erfordern. Es ist verständlich, dass ein analoger Algorithmus in dem Fall einer neuen Endstation gilt, die dem grünen VLAN beitreten möchte.
    Schritt A. Die Endstation 107-R konstruiert einen Ethernet-Rahmen, der aus einem Rahmen-Kopffeld, das eine Zieladresse und eine Quellenadresse umfasst (beispielsweise die MAC-Adresse der Endstation 107-R), sowie aus Daten besteht, die ausgetauscht werden sollen. Die Zieladresse kann die MAC-Adresse des Ziel-Endgerätes oder eine bekannte Rundsendeadresse sein.
    Schritt B. Die Endstation 107-R sendet den Rahmen über die Ethernet-Verbindungsstrecke 207 an die Ethernet-Switch-Einrichtung 303 in Form einer „Daten"-Mitteilung unter Verwendung des CSMA-CD-Protokolls.
    Schritt C. Die Ethernet-Switch-Einrichtung 303 leitet die Quellenadresse (die MAC-Adresse der Endstation 107-R) aus dem Ethernet-Rahmen ab und konsultiert eine interne Tabelle, um das virtuelle LAN (und den LES) zu bestimmen, der der Quellenadresse zugeordnet ist.
    Schritt D. Wenn die Ethernet-Switch-Einrichtung 303 keinen zugehörigen LES durch Konsultieren seiner internen Tabelle finden kann, sendet die Ethernet-Switch-Einrichtung 303 eine Anfrage in Form einer „ConfigRqst"-Mitteilung an den LECS 601, um nach der Identität des LES zu fragen, der der Endstation 107-R zugeordnet ist.
    Schritt E. Der LECS 601 sendet eine „Authentifizieren"-Mitteilung an den AS 701, die die Authentifizierung der Endstation 107-R anfordert.
    Schritt F. Unter Verwendung eines Anforderungs-Antwort-Authentifizierungs-Algorithmus erzeugt der AS 701 eine offene Zahl, wie z.B. eine zufällige Zahl RN, und verschlüsselt sie unter Verwendung eines geheimen Schlüssels, der lediglich dem AS 701 und der Endstation 107-R bekannt ist, um die E-RN zu erzeugen. Sowohl die RN als auch die E-RN werden an den LECS 601 als eine „DoChallenge"- (Anforderung ausführen-) Mitteilung zurückgeliefert. Der geheime Schlüssel, der zur Erzeugung der E-RN verwendet wird, wird von dem AS 701 niemals offenbart.
    Schritt G. Der LECS 601 erzeugt einen Rahmen, der eine Anforderung an die Endstation 107-R enthält und die von dem AS 701 empfangene RN einschließt, nicht jedoch die E-RN. Der Rahmen wird dann in einer „Challenge"- (Anforderungs-) Mitteilung von dem LECS 601 an den Ethernet-Switch 303 gesandt und nachfolgend an die Endstation 107-R weitergeleitet.
    Schritt H. Die Endstation 107-R verschlüsselt die in der Anforderung empfangene RN unter Verwendung ihres geheimen Schlüssels und des gleichen Authentifizierungs-Algorithmus, der von dem AS 701 verwendet wird.
    Schritt I. Die Endstation 107-R antwortet auf die Anforderung mit einer „ChallengeResponse"- (Anforderungs-Antwort-) Mitteilung, die die von dem LECS 601 empfangene RN zusammen mit ihrer Version der E-RN enthält. Die Anforderungs-Antwort wird von der Ethernet-Switch-Einrichtung 303 an den LECS 601 weitergeleitet.
    Schritt J. Der LECS 601 vergleicht den Wert der von der Endstation 107-R empfangenen E-RN mit dem Wert der vorher von dem AS 701 empfangenen Wert von E-RN.
    Wenn die Werte übereinstimmen:
    Schritt K. Der LECS 601 konsultiert seine internen Tabellen, um festzustellen, dass die Endstation 107-R dem roten VLAN zugeordnet ist, das von dem LES 602-R verwaltet wird. Der LECS 601 sendet eine „Notify"- (Benachrichtigungs-) Mitteilung an den LES 602-R, die anzeigt, dass die Endstation 107-R versucht, dem roten VLAN beizutreten; diese Anzeige schließt die MAC-Adresse der Endstation 107-R ein.
    Schritt L. Der LECS 601 sendet dann die Identität des LES 602-R in einer „ConfigResp"- (Konfigurations-Antwort-) Mitteilung, die auf die ursprüngliche Anfrage von der Ethernet-Switch-Einrichtung 303 im Schritt D antwortet.
    Schritt M. Wenn er derzeit keine virtuelle ATM-Verbindung zu dem LES 602-R hat, erzeugt die Ethernet-Switch-Einrichtung 303 eine derartige Verbindung über die ATM-Vermittlung 401 unter Verwendung üblicher ATM-Signalisierungs-Techniken. Die Ethernet-Switch-Einrichtung 303 sendet dann eine „JoinRqst"- (Beitrittsanforderungs-) Mitteilung für die Endstation 107-R über ihre virtuelle Verbindung an den LES 602-R.
    Schritt N. Bei Empfang dieser Registrierungs-Mitteilung führt der LES 602-R die MAC-Adresse der Endstation 107-R in seine internen Tabellen ein und zeichnet die Identität der Ethernet-Switch-Einrichtung 303 als die Switch Einrichtung auf, die die Endstation 107-R mit Diensten versorgt. Der LES 602-R sendet eine „JoinAck"- (Beitrittsbestätigungs-) Mitteilung an die Ethernet-Switch-Einrichtung 303, die die erfolgreiche Registrierung der Endstation 107-R als ein Mitglied des roten VLAN bestätigt.
    Schritt O. Wenn die Ethernet-Switch-Einrichtung 303 die Bestätigung auf ihre Registrierungs-Anforderung empfängt, aktualisiert sie ihre internen Tabellen, um die Endstation 107-R dem roten VLAN zuzuordnen, das von dem LES 602-R verwaltet wird.
    Wenn die Werte nicht übereinstimmen:
    Schritt K'. Der LECS 601 sendet eine Antwort an die Ethernet-Switch-Einrichtung 303, die anzeigt, dass der Netzwerk-Zugang der Endstation 107-R verweigert wird (nicht gezeigt).
    Schritt L'. Die Ethernet-Switch-Einrichtung 303 verwirft alle Rahmen, die von der Endstation 107-R empfangen werden und leitet keine Rahmen an die Endstation 107-R weiter, so dass die Endstation 107-R gegenüber dem Netzwerk isoliert wird.
  • Eine zweite Form eines Sicherheitsangriffs beinhaltet eine gefälschte Ethernet-Switch-Einrichtung, die versucht, Informationen aus einem Netzwerk dadurch abzuleiten, dass sie sich als ein LAN-Emulations-Konfigurations-Server oder als ein Authentifizierungs-Server aufführt. Beispielsweise kann, wenn die vorstehenden Prozeduren von einer neuen Endstation befolgt werden, die tatsächlich berechtigt ist, in das rote VLAN einzutreten, die gefälschte Ethernet-Switch-Einrichtung ohne tatsächlichen Vergleich der verschlüsselten Zufallszahlen vorgeben, der neuen Endstation die Genehmigung zu geben, in das rote VLAN einzutreten. Vom Gesichtswinkel der neuen Endstation, die zu Beginn erwartet hat, „eingelassen" zu werden, beginnt diese einen Austausch von vertraulicher Information, die nunmehr von der gefälschten Ethernet-Switch-Einrichtung abgefangen wird.
  • Um diesem Angriff zu begegnen, kann die neue Endstation bei der Beantwortung der von dem Netzwerk abgegebenen Anforderung ihren eigenen Test ausführen, um die Authentität des Absenders der ursprünglichen Anforderung zu überprüfen. Unter Betrachtung des Netzwerkes nach 2 und unter Bezugnahme auf 4 ergibt die nachfolgende Folge von Schritten nicht nur eine Netzwerk-Sicherheit durch Überprüfen der Legitimität einer neuen Endstation 107-R beim Eintritt in das Netzwerk, sondern ermöglicht es auch der neuen (legitimen) Endstation 107-R sich gegen gefälschte Test-Administratoren zu schützen.
    Schritt A. Die Endstation 107-R konstruiert einen Ethernet-Rahmen, der aus einem Rahmen-Kopffeld, der eine Zieladresse und eine Quellenadresse (beispielsweise die MAC-Adresse der Endstation 107-R) umfasst, sowie aus auszutauschenden Daten besteht. Die Zieladresse kann die MAC-Adresse des Ziel-Endgerätes oder eine bekannte Rundsendeadresse sein.
    Schritt B. Die Endstation 107-R sendet den Rahmen über die Ethernet-Verbindungsstrecke 207 an die Ethernet-Switch-Einrichtung 303 in der Form einer „Daten"-Mitteilung unter Verwendung des CSMA-CD-Protokolls.
    Schritt C. Die Ethernet-Switch-Einrichtung 303 leitet die Quellenadresse (die MAC-Adresse der Endstation 107-R) aus dem Ethernet-Rahmen ab und konsultiert eine interne Tabelle, um das virtuelle LAN (und den LES) zu bestimmen, der der Quellenadresse zugeordnet ist.
    Schritt D. Wenn die Ethernet-Switch-Einrichtung 303 einen zugehörigen LES durch Konsultieren seiner internen Tabelle finden kann, sendet die Ethernet-Switch-Einrichtung 303 eine Anfrage in Form einer „ConfigRqst"-Mitteilung an den LECS 601, in der nach der Identität des LES gefragt wird, der der Endstation 107-R zugeordnet ist.
    Schritt E. Der LECS 601 sendet eine „Authentifizieren"-Mitteilung an den AS 701, die eine Authentifizierung der Endstation 107-R anfordert.
    Schritt F. Unter Verwendung eines Anforderungs-Antwort-Authentifizierungs-Algorithmus erzeugt der AS 701 eine offene Zahl, wie z.B. eine zufällige Zahl RN und verschlüsselt sie unter Verwendung eines geheimen Schlüssels, der lediglich dem AS 701 und der Endstation 107-R bekannt ist, um eine E-RN zu erzeugen. Sowohl die RN als auch die E-RN werden an dem LECS 601 als eine „DoChallenge"-Mitteilung zurückgeliefert. Der geheime Schlüssel, der zur Erzeugung der E-RN verwendet wird, wird von dem AS 701 niemals offenbart.
    Schritt G. Der LECS 601 erzeugt einen Rahmen, der eine Anforderung an die Endstation 107-R enthält, die die von dem AS 701 empfangene RN einschließt, nicht jedoch die E-RN einschließt. Der Rahmen wird dann in einer „Anforderungs"-Mitteilung von dem LECS 601 an die Ethernet-Switch-Einrichtung 303 gesandt und nachfolgend an die Endstation 107-R weitergeleitet.
    Schritt H. Die Endstation 107-R verschlüsselt die in der Anforderung empfangene RN unter Verwendung ihres geheimen Schlüssels und des gleichen Authentifikations-Algorithmus, wie er von dem AS 701 verwendet wird.
    Schritt I. Die Endstation 107-R erzeugt eine zweite offene Zahl, wie z. B. eine Zufallszahl RN2, und verschlüsselt sie unter Verwendung ihres geheimen Schlüssels zur Erzeugung von E-RN2.
    Schritt J. Die Endstation 107-R antwortet auf die Anforderung mit einer „ChallengeResponse"-Mitteilung, die die von dem LECS 601 empfangene RN zusammen mit RN2 und ihrer Version von E-RN antwortet, schließt jedoch E-RN2 nicht ein. Die Anforderungs-Antwort wird über die Ethernet-Switch-Einrichtung 303 an den LECS 601 weitergeleitet.
    Schritt K. Nachdem zunächst sichergestellt wurde, dass die Endstation 107-R legitim ist, indem überprüft wird, dass der Wert von E-RN, der von der Endstation 107-R empfangen wurde, mit dem Wert von E-RN übereinstimmt, der von dem AS 701 empfangen wurde, sendet der LECS 601 eine „Challenge"-Mitteilung an den AS 701, die RN2 und die MAC-Adresse der Endstation 107-R einschließt.
    Schritt L. Der AS 701 verschlüsselt die in der Anforderung empfangene RN2 unter Verwendung des Authentifizierungs-Algorithmus und des geheimen Schlüssels für die Endstation 107-R und liefert ihre Version von E-RN2 an den LECS 601 in Form einer „ChallengeResponse"-Mitteilung zurück.
    Schritt M. Der LECS 601 konsultiert seine eigenen internen Tabellen, um festzustellen, dass die Endstation 107-R dem roten VLAN zugeordnet ist, das von dem LES 602-R verwaltet wird. Der LECS 601 sendet eine „Notify"- (Benachrichtigungs-) Mitteilung an den LES 602-R, die anzeigt, dass die Endstation 107-R versucht, dem roten VLAN beizutreten; diese Anzeige schließt die MAC-Adresse der Endstation 107-R, die Zufallszahl RN2, die in der Anforderung von der Endstation 107-R empfangen wurde, und die verschlüsselte Zufallszahl E-RN2 ein, die von dem AS 701 berechnet wurde.
    Schritt N. Der LECS 601 sendet dann die Identität des LES 602-R in eine „ConfigResp"- (Konfigurations-Antwort-) Mitteilung als Antwort auf die ursprüngliche Anfrage von der Ethernet-Switch-Einrichtung 303 im Schritt D.
    Schritt O. Wenn sie derzeit noch keine virtuelle ATM-Verbindung mit dem LES 602-R hat, erzeugt die Ethernet-Switch-Einrichtung 303 eine derartige Verbindung über die ATM-Vermittlung 401 unter Verwendung üblicher ATM-Signalisierungs-Techniken. Die Ethernet-Switch-Einrichtung 303 sendet dann eine „JoinRqst"-Mitteilung für die Endstation 107-R über diese virtuelle Verbindung an den LES 602-R.
    Schritt P. Bei Empfang dieser Registrierungs-Mitteilung gibt der LES 602-R die MAC-Adresse der Endstation 107-R in seine interne Tabellen ein und zeichnet die Identität der Ethernet-Switch-Einrichtung 303 als der Switch-Einrichtung auf, die die Endstation 107-R mit Diensten versorgt. Der LES 602-R sendet eine „JoinAck"-Mitteilung an die Ethernet-Switch-Einrichtung 303, die die erfolgreiche Registrierung der Endstation 107-R als ein Mitglied des roten VLAN bestätigt.
    Schritt Q. Wenn die Ethernet-Switch-Einrichtung 303 die Bestätigung für ihre Registrierungsanforderung empfängt, aktualisiert sie ihre internen Tabellen, um die Endstation 107-R zu dem roten VLAN zuzuordnen, die von dem LES 602-R verwaltet wird.
    Schritt R. Unter Verwendung der von dem LECS 601 empfangenen Information sendet der LES 602-R außerdem eine „ChallengeResponse"-Mitteilung an die Endstation 107-R über die Ethernet-Switch-Einrichtung 303, die die Zufallszahl RN2 einschließt, die von der Endstation 107-R erzeugt wurde, sowie die verschlüsselte Zufallszahl E-RN2, die von dem AS 701 berechnet wurde.
    Schritt S. Wenn die Anforderungs-Antwort empfangen wurde, vergleicht die Endstation 107-R den Wert der von dem LES 602-R empfangenen E-RN2 mit dem örtlich berechneten Wert. Wenn die Werte übereinstimmen, ist für die Endstation 107-R sichergestellt, dass die Netzwerkverbindung legitim ist.
  • Es ist verständlich, dass es alternative Ausführungsformen der vorliegenden Erfindung gibt, bei denen keine ATM-Vermittlungen verwendet werden, wodurch irgendein Bedarf an einem LAN-Emulations-Konfigurations-Server oder LAN-Emulations-Servern entfällt. In einem derartigen Fall würde ein bestimmtes Mitglied jedes VLAN als der „VLAN-Server" bezeichnet, und die Konfiguration des Netzwerkes könnte einfach an den Authentifizierungs-Server übergeben werden.
  • Die gesamte Authentifizierungs-Prozedur könnte durch eine Kommunikation zwischen dem Authentifizierungs-Server und den bestimmten VLAN-Servern erfolgen.
  • Obwohl die bevorzugte Ausführungsform der Erfindung beschrieben und erläutert wurde, ist es für den Fachmann ersichtlich, dass Abänderungen der Konstruktion durchgeführt werden können. Der Schutzumfang der Erfindung ist daher lediglich durch die beigefügten Ansprüche beschränkt.

Claims (15)

  1. Lokales Netzwerk, das eine Vielzahl von Endstationen und einen Authentifizierungs-Server umfasst, wobei das LAN in eine Vielzahl von virtuellen lokalen Netzwerken, VLANs, unterteilt ist, wobei jedes VLAN zumindest eine Mitglieds-Endstation umfasst, wobei der Authentifizierungs-Server (701) verfolgt, welche Endstationen (101106) Mitglieder welches VLAN sind, verfolgt, welche der Endstationen (101106) autorisiert sind, eine Verbindung mit welchen VLAN herzustellen, und einen Authentifizierungs-Test an neuen Endstationen ausführt, die sich mit einem VLAN verbinden.
  2. Lokales Netzwerk nach Anspruch 1, das ein Token-ring-LAN ist.
  3. Lokales Netzwerk nach Anspruch 1 oder 2, das ein Ethernet-LAN ist.
  4. Lokales Netzwerk nach Anspruch 3, das weiterhin eine Vielzahl von Ethernet-Switch-Einrichtungen (301, 303) umfasst, wobei jede Switch-Einrichtung mit zumindest einer Endstation über eine Ethernet-Kommunikations-Verbindungsstrecke (202, 203, 205, 206, 207) kommuniziert.
  5. Verfahren zur gesicherten Hinzufügung einer neuen Endstation zu einem lokalen Netzwerk, LAN, wobei das LAN eine Vielzahl von Endstationen und einen Authentifizierungs-Server (701) umfasst, wobei das LAN in eine Vielzahl von virtuellen lokalen Netzwerken, VLANs, unterteilt ist, wobei jedes VLAN zumindest eine Mitglieds-Endstation umfasst, wobei der Authentifizierungs-Server (701) verfolgt, welche Endstationen (101106) Mitglieder welches VLAN sind, verfolgt, welche der Endstationen (101106) zugelassen sind, um eine Verbindung mit welchem VLAN herzustellen, und neue Endstationen (101106), die sich mit einem VLAN verbinden, einem Authentifizierungs-Test unterwirft, wobei das Verfahren die folgenden Schritte umfasst: die neue Endstation sendet an den AS eine Mitteilung, die sowohl die neue Endstation als auch ein gewünschtes VLAN identifiziert; die neue Endstation nimmt den von dem AS durchgeführten Authentifizierungs-Test an; und bei erfolgreicher Authentifizierung der neuen Endstation sendet der AS an die neue Endstation eine Mitteilung, die anzeigt, dass die neue Endstation zugelassen wurde, um die Verbindung mit dem gewünschten VLAN herzustellen.
  6. Verfahren nach Anspruch 5, das weiterhin die folgenden Schritte umfasst: die neue Endstation sendet an den Authentifizierungs-Server eine Mitteilung, die sowohl die neue Endstation als auch ein gewünschtes VLAN identifiziert; der Authentifizierungs-Server nimmt einen zweiten Authentifizierungs-Test an; und bei erfolgreicher Authentifizierung des Authentifizierungs-Servers verbindet sich die neue Endstation mit dem gewünschten VLAN.
  7. Verfahren nach Anspruch 6, bei dem die neue Endstation eine zweite Liste von Passworten speichert, und der zweite Authentifizierungs-Test aus Folgendem besteht: der Authentifizierungs-Server sendet eine Mitteilung an die neue Endstation, die ein drittes Passwort umfasst; und die neue Endstation vergleicht das dritte Passwort mit einem vierten Passwort, das in der zweiten Liste von Passworten enthalten ist; wobei die Authentifizierung des Authentifizierungs-Servers als erfolgreich betrachtet wird, wenn die dritten und vierten Passworte identisch sind.
  8. Verfahren nach Anspruch 6, bei dem der zweite Authentifizierungs-Test aus Folgendem besteht: die neue Endstation erzeugt eine dritte verschlüsselte Zahl unter Verwendung einer zweiten offenen Zahl und eines zweiten Algorithmus, der dem AS und der neuen Endstation bekannt ist; die neue Endstation sendet an den Authentifizierungs-Server eine Mitteilung, die die zweite offene Zahl umfasst; der Authentifizierungs-Server erzeugt eine vierte verschlüsselte Zahl unter Verwendung der zweiten offenen Zahl und des zweiten Algorithmus; der Authentifizierungs-Server sendet an die neue Endstation eine Mitteilung, die die zweite offene Zahl und die vierte verschlüsselte Zahl umfasst; und die neue Endstation vergleicht die dritte verschlüsselte Zahl mit der vierten verschlüsselten Zahl; wobei die Authentifizierung des Authentifizierungs-Servers als erfolgreich betrachtet wird, wenn die dritten und vierten verschlüsselten Zahlen identisch sind.
  9. Verfahren nach einem der Ansprüche 7 bis 8, bei dem der Authentifizierung-Server eine erste Liste von Passworten speichert und der erste Authentifizierungs-Test aus Folgendem besteht: die neue Endstation sendet an den Authentifizierungs-Server eine Mitteilung, die ein erstes Passwort umfasst; und der Authentifizierungs-Server vergleicht das erste Passwort mit einem zweiten Passwort, das in der ersten Liste von Passworten enthalten ist; wobei die Authentifizierung der neuen Endstation als erfolgreich betrachtet wird, wenn die ersten und zweiten Passworte identisch sind.
  10. Verfahren nach einem der Ansprüche 5 bis 8, bei dem der erste Authentifizierungs-Test aus Folgendem besteht: der Authentifizierungs-Server erzeugt eine erste verschlüsselte Zahl unter Verwendung einer offenen Zahl und eines ersten Algorithmus, der dem Authentifizierungs-Server und der neuen Endstation bekannt ist; der Authentifizierungs-Server sendet der neuen Endstation eine Mitteilung, die die offene Zahl umfasst; die neue Endstation sendet an den Authentifizierungs-Server eine Mitteilung, die die offene Zahl und die zweite verschlüsselte Zahl umfasst; und der Authentifizierungs-Server vergleicht die erste verschlüsselte Zahl mit der zweiten verschlüsselten Zahl; wobei die Authentifizierung der neuen Endstation als erfolgreich betrachtet wird, wenn die ersten und zweiten verschlüsselten Zahlen identisch sind.
  11. Verfahren nach Anspruch 10, bei dem die offene Zahl eine Zufallszahl ist.
  12. Verfahren nach Anspruch 10, bei dem der Algorithmus ein Schlüssel-basierter Verschlüsselungs-Algorithmus ist.
  13. Verfahren nach den Ansprüchen 5 bis 12, bei dem die neue Endstation durch eine 48-Bit-Medienzugangs-Kontrolladresse identifiziert wird.
  14. Verfahren nach den Ansprüchen 5 bis 12, bei dem die neue Endstation durch eine 32-Bit-Internetprotokoll-Adresse identifiziert wird.
  15. Verfahren nach den Ansprüchen 5 bis 12, bei dem die neue Endstation durch einen physikalischen Port auf einer Ethernet-Switch-Einrichtung identifiziert wird.
DE69833605T 1997-12-22 1998-12-09 Sichere virtuelle LANS Expired - Lifetime DE69833605T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US996159 1997-12-22
US08/996,159 US6035405A (en) 1997-12-22 1997-12-22 Secure virtual LANs

Publications (2)

Publication Number Publication Date
DE69833605D1 DE69833605D1 (de) 2006-04-27
DE69833605T2 true DE69833605T2 (de) 2006-08-10

Family

ID=25542567

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69833605T Expired - Lifetime DE69833605T2 (de) 1997-12-22 1998-12-09 Sichere virtuelle LANS

Country Status (4)

Country Link
US (1) US6035405A (de)
EP (1) EP0924900B1 (de)
CA (1) CA2252410C (de)
DE (1) DE69833605T2 (de)

Families Citing this family (101)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US7227837B1 (en) 1998-04-30 2007-06-05 At&T Labs, Inc. Fault tolerant virtual tandem switch
US6169735B1 (en) * 1998-04-30 2001-01-02 Sbc Technology Resources, Inc. ATM-based distributed virtual tandem switching system
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US6606323B1 (en) * 1998-12-31 2003-08-12 At&T Corp. Mobile MAC protocol for LAN-coupled devices interconnected by an ATM wide area network
IL130963A (en) * 1999-07-15 2006-04-10 Nds Ltd Key management for content protection
GB2353682B (en) * 1999-07-15 2004-03-31 Nds Ltd Key management for content protection
US6654347B1 (en) * 1999-10-22 2003-11-25 Dell Usa L.P. Site-to-site dynamic virtual local area network
US7739383B1 (en) * 1999-10-22 2010-06-15 Nomadix, Inc. Systems and methods for dynamic bandwidth management on a per subscriber basis in a communications network
US6343065B1 (en) * 2000-01-20 2002-01-29 Sbc Technology Resources, Inc. System and method of measurement-based adaptive caching of virtual connections
US7356841B2 (en) * 2000-05-12 2008-04-08 Solutioninc Limited Server and method for providing specific network services
US6907396B1 (en) * 2000-06-01 2005-06-14 Networks Associates Technology, Inc. Detecting computer viruses or malicious software by patching instructions into an emulator
KR100846530B1 (ko) 2000-07-05 2008-07-15 언스트 앤 영 엘엘피 컴퓨터 서비스를 제공하는 방법 및 장치
US7020773B1 (en) * 2000-07-17 2006-03-28 Citrix Systems, Inc. Strong mutual authentication of devices
US7088720B1 (en) 2000-08-07 2006-08-08 Sbc Technology Resources, Inc. Multiservice use of network connection capability under user-to-network interface signaling
US7307993B2 (en) * 2000-08-08 2007-12-11 At&T Labs, Inc. Controller based call control for ATM SVC signaling
US8087064B1 (en) 2000-08-31 2011-12-27 Verizon Communications Inc. Security extensions using at least a portion of layer 2 information or bits in the place of layer 2 information
US6850495B1 (en) * 2000-08-31 2005-02-01 Verizon Communications Inc. Methods, apparatus and data structures for segmenting customers using at least a portion of a layer 2 address header or bits in the place of a layer 2 address header
US7315554B2 (en) 2000-08-31 2008-01-01 Verizon Communications Inc. Simple peering in a transport network employing novel edge devices
DE10045975A1 (de) 2000-09-16 2002-04-11 Bosch Gmbh Robert Verfahren zur Steuerung des Zugriffs
US6886038B1 (en) * 2000-10-24 2005-04-26 Microsoft Corporation System and method for restricting data transfers and managing software components of distributed computers
US7606898B1 (en) * 2000-10-24 2009-10-20 Microsoft Corporation System and method for distributed management of shared computers
US7113900B1 (en) * 2000-10-24 2006-09-26 Microsoft Corporation System and method for logical modeling of distributed computer systems
US6986040B1 (en) 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US20020167950A1 (en) * 2001-01-12 2002-11-14 Zarlink Semiconductor V.N. Inc. Fast data path protocol for network switching
US7136386B2 (en) * 2001-07-19 2006-11-14 Sbc Technology Resources, Inc. Virtual private network over asynchronous transfer mode
US7187678B2 (en) 2001-08-13 2007-03-06 At&T Labs, Inc. Authentication for use of high speed network resources
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US20030137970A1 (en) * 2002-01-22 2003-07-24 Odman Knut T. System and method for improved synchronization in a wireless network
CN1192574C (zh) * 2002-01-30 2005-03-09 华为技术有限公司 受控组播的***及其实现方法
NO318091B1 (no) * 2002-03-04 2005-01-31 Telenor Asa System for bedret sikkerhet og bruker-fleksibilitet i lokale tradlose datanett
AUPS112202A0 (en) * 2002-03-14 2002-04-18 Commonwealth Scientific And Industrial Research Organisation Semiconductor manufacture
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US7701953B2 (en) * 2002-11-04 2010-04-20 At&T Intellectual Property I, L.P. Client server SVC-based DSL service
US7602788B2 (en) * 2002-11-04 2009-10-13 At&T Intellectual Property I, L.P. Peer to peer SVC-based DSL service
US7233987B2 (en) * 2002-12-20 2007-06-19 Alcatel Canada Inc. System and method for converting requests between different multicast protocols in a communication network
US7567510B2 (en) * 2003-02-13 2009-07-28 Cisco Technology, Inc. Security groups
US7382785B2 (en) * 2003-02-21 2008-06-03 At&T Knowledge Ventures, L.P. Extended virtual user-to-network interface with ATM network
US7072807B2 (en) 2003-03-06 2006-07-04 Microsoft Corporation Architecture for distributed computing system and automated design, deployment, and management of distributed applications
US7689676B2 (en) * 2003-03-06 2010-03-30 Microsoft Corporation Model-based policy application
US20040210623A1 (en) * 2003-03-06 2004-10-21 Aamer Hydrie Virtual network topology generation
US8122106B2 (en) * 2003-03-06 2012-02-21 Microsoft Corporation Integrating design, deployment, and management phases for systems
US7890543B2 (en) 2003-03-06 2011-02-15 Microsoft Corporation Architecture for distributed computing system and automated design, deployment, and management of distributed applications
US7370346B2 (en) * 2003-04-29 2008-05-06 Hewlett-Packard Development Company, L.P. Method and apparatus for access security services
US7587750B2 (en) * 2003-06-26 2009-09-08 Intel Corporation Method and system to support network port authentication from out-of-band firmware
US7590736B2 (en) * 2003-06-30 2009-09-15 Microsoft Corporation Flexible network load balancing
US7636917B2 (en) * 2003-06-30 2009-12-22 Microsoft Corporation Network load balancing with host status information
US7606929B2 (en) * 2003-06-30 2009-10-20 Microsoft Corporation Network load balancing with connection manipulation
US7613822B2 (en) * 2003-06-30 2009-11-03 Microsoft Corporation Network load balancing with session information
US7567504B2 (en) * 2003-06-30 2009-07-28 Microsoft Corporation Network load balancing with traffic routing
US7738467B2 (en) * 2003-07-15 2010-06-15 Hewlett-Packard Development Company, L.P. Output port based double Q tagging
US20050063547A1 (en) * 2003-09-19 2005-03-24 Audrius Berzanskis Standards-compliant encryption with QKD
US7778422B2 (en) 2004-02-27 2010-08-17 Microsoft Corporation Security associations for devices
US20050246529A1 (en) * 2004-04-30 2005-11-03 Microsoft Corporation Isolated persistent identity storage for authentication of computing devies
US7562389B1 (en) 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
EP1624638B1 (de) * 2004-08-05 2006-10-25 Alcatel Verfahren und Vorrichtung zur Zugriffssteuerung
US7310669B2 (en) 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US7725938B2 (en) 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US20060203815A1 (en) * 2005-03-10 2006-09-14 Alain Couillard Compliance verification and OSI layer 2 connection of device using said compliance verification
US7602919B2 (en) * 2005-03-16 2009-10-13 Magiq Technologies, Inc Method of integrating QKD with IPSec
CN101146662B (zh) * 2005-03-22 2011-06-15 东芝机械株式会社 多层膜、片成形用模具
US7797147B2 (en) 2005-04-15 2010-09-14 Microsoft Corporation Model-based system monitoring
US8489728B2 (en) 2005-04-15 2013-07-16 Microsoft Corporation Model-based system monitoring
US7802144B2 (en) 2005-04-15 2010-09-21 Microsoft Corporation Model-based system monitoring
WO2006116427A2 (en) * 2005-04-26 2006-11-02 Boloto Group, Inc. Creating or maintaining relationships within a private network or virtual private network of servers and clients
US7822982B2 (en) * 2005-06-16 2010-10-26 Hewlett-Packard Development Company, L.P. Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment
US8549513B2 (en) 2005-06-29 2013-10-01 Microsoft Corporation Model-based virtual system provisioning
US7832006B2 (en) 2005-08-09 2010-11-09 At&T Intellectual Property I, L.P. System and method for providing network security
US7941309B2 (en) * 2005-11-02 2011-05-10 Microsoft Corporation Modeling IT operations/policies
US20090210942A1 (en) * 2006-02-21 2009-08-20 Gil Abel Device, system and method of accessing a security token
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
CN100452773C (zh) * 2006-08-02 2009-01-14 杭州华三通信技术有限公司 基于虚拟局域网的数据发送方法与装置
US20080222693A1 (en) * 2006-08-08 2008-09-11 Cipheroptics, Inc. Multiple security groups with common keys on distributed networks
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US20080072282A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Intelligent overlay for providing secure, dynamic communication between points in a network
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US8607301B2 (en) * 2006-09-27 2013-12-10 Certes Networks, Inc. Deploying group VPNS and security groups over an end-to-end enterprise network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US8104082B2 (en) * 2006-09-29 2012-01-24 Certes Networks, Inc. Virtual security interface
US8046820B2 (en) * 2006-09-29 2011-10-25 Certes Networks, Inc. Transporting keys between security protocols
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US20080288622A1 (en) * 2007-05-18 2008-11-20 Microsoft Corporation Managing Server Farms
US8238340B2 (en) * 2009-03-06 2012-08-07 Futurewei Technologies, Inc. Transport multiplexer—mechanisms to force ethernet traffic from one domain to be switched in a different (external) domain
JP5334693B2 (ja) * 2009-06-04 2013-11-06 アライドテレシスホールディングス株式会社 ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
KR101252828B1 (ko) 2009-07-24 2013-04-11 한국전자통신연구원 Vlan기반 브리지의 이더넷 링 네트워크 관리 방법
CA2825047C (en) 2011-01-18 2021-02-23 Nomadix, Inc. Systems and methods for group bandwidth management in a communication systems network
CN108141433B (zh) * 2015-10-22 2020-12-01 西门子股份公司 用于在网络中使用的设备、控制器、网络和方法
US11539731B2 (en) * 2020-10-26 2022-12-27 Netskope, Inc. Dynamic hyper context-driven microsegmentation
US11700282B2 (en) * 2020-10-26 2023-07-11 Netskope, Inc. Dynamic hyper context-driven microsegmentation

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4823338B1 (en) * 1987-08-03 1998-11-10 At & T Information Systems Inc Virtual local area network
JPH0799836B2 (ja) * 1991-05-31 1995-10-25 インターナショナル・ビジネス・マシーンズ・コーポレイション ポイント・ツー・ポイント通信ネットワークのlan仮想化方法
US5394402A (en) * 1993-06-17 1995-02-28 Ascom Timeplex Trading Ag Hub for segmented virtual local area network with shared media access
US5588119A (en) * 1993-08-23 1996-12-24 Vincent; Ronald Method for correlating logical device names with a hub port in a local area network
US5473599A (en) * 1994-04-22 1995-12-05 Cisco Systems, Incorporated Standby router protocol
US5751967A (en) * 1994-07-25 1998-05-12 Bay Networks Group, Inc. Method and apparatus for automatically configuring a network device to support a virtual network
US5940597A (en) * 1995-01-11 1999-08-17 Sony Corporation Method and apparatus for periodically updating entries in a content addressable memory
US5600644A (en) * 1995-03-10 1997-02-04 At&T Method and apparatus for interconnecting LANs
JP2770782B2 (ja) * 1995-05-31 1998-07-02 日本電気株式会社 Lan間接続装置
CN1078996C (zh) * 1995-07-05 2002-02-06 西门子公司 确定一个目的地异步传输方式地址的方法
US5752003A (en) * 1995-07-14 1998-05-12 3 Com Corporation Architecture for managing traffic in a virtual LAN environment
US5874964A (en) * 1995-10-19 1999-02-23 Ungermann-Bass, Inc. Method for modeling assignment of multiple memberships in multiple groups
US5802306A (en) * 1995-10-31 1998-09-01 International Business Machines Corporation Supporting multiple client-server sessions from a protocol stack associated with a single physical adapter through use of a plurality of logical adapters
JPH09130421A (ja) * 1995-11-02 1997-05-16 Furukawa Electric Co Ltd:The 仮想ネットワーク管理方法
US5764887A (en) * 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
SE515497C2 (sv) * 1995-12-11 2001-08-13 Telia Ab Anordning vid LAN emuleringsstandard
US5751812A (en) * 1996-08-27 1998-05-12 Bell Communications Research, Inc. Re-initialization of an iterated hash function secure password system over an insecure network connection
US5892922A (en) * 1997-02-28 1999-04-06 3Com Corporation Virtual local area network memory access system

Also Published As

Publication number Publication date
CA2252410A1 (en) 1999-06-22
DE69833605D1 (de) 2006-04-27
EP0924900B1 (de) 2006-03-01
EP0924900A2 (de) 1999-06-23
EP0924900A3 (de) 2001-09-05
CA2252410C (en) 2009-01-27
US6035405A (en) 2000-03-07

Similar Documents

Publication Publication Date Title
DE69833605T2 (de) Sichere virtuelle LANS
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60309652T2 (de) Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
DE69836271T2 (de) Mehrstufiges firewall-system
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE602004011501T2 (de) Sende-empfangssystem mit nachrichtenauthentifizierungskode
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
DE10296445T5 (de) Adress-Mechanismen im Internet-Protokoll
WO2008074621A1 (de) Verfahren und server zum bereitstellen einer geschützten datenverbindung
DE60018913T2 (de) Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören
DE102021203094A1 (de) Kommunikationsnetzwerksystem für Fahrzeuge sowie dessen Betriebsverfahren
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
EP4054143A1 (de) Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage
DE69530886T2 (de) Prüfung der Echtheit von zwischen zwei Stationen eines Telecommunikationsnetz übertragenen Daten
DE3922642C2 (de)
EP3318033A1 (de) Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt

Legal Events

Date Code Title Description
8364 No opposition during term of opposition