Title:
Endanwenderspezifisches virtuelles globales Netzwerk
Kind Code:
A1


Abstract:

Die vorliegende Erfindung betrifft ein endanwenderspezifisches virtuelles globales Netzwerk, umfassend: mindestens ein netzwerkfähiges Endgerät eines Endanwenders, eine Datenbank mit einem Verzeichnis für jeden Endanwender, in dem mehrere netzwerkfähige Endgeräte des Endanwenders mit ihrer zugehörigen IP-Adresse hinterlegt sind, und eine Entscheidereinheit, die dazu ausgelegt ist, festzulegen, welches der Endgeräte untereinander und/oder mit anderen Netzwerken in Kommunikation treten darf, wobei eine von dem Endgerät ausgehende und/oder an das Endgerät gerichtete Kommunikation über die Entscheidereinheit geroutet wird, und die Entscheidereinheit unter Rückgriff auf die Datenbank den Datenverkehr unterschiedlicher Endanwender aufgrund einer Ziel-IP-Adresse und/oder einer Quell-IP-Adresse trennt.




Inventors:
Henrici, Dirk (80995, München, DE)
Nicoll, Wilfred (81375, München, DE)
Busch, Jan (85221, Dachau, DE)
Application Number:
DE102016010359A
Publication Date:
03/01/2018
Filing Date:
08/26/2016
Assignee:
Telefónica Germany GmbH & Co. OHG, 80992 (DE)
Domestic Patent References:
DE102012220834A1N/A2013-06-06



Foreign References:
201402448512014-08-28
Attorney, Agent or Firm:
Lorenz Seidler Gossel Rechtsanwälte Patentanwälte Partnerschaft mbB, 80538, München, DE
Claims:
1. Endanwenderspezifisches virtuelles globales Netzwerk, umfassend:
mindestens ein netzwerkfähiges Endgerät eines Endanwenders,
eine Datenbank mit einem Verzeichnis für jeden Endanwender, in dem mehrere netzwerkfähige Endgeräte des Endanwenders mit ihrer zugehörigen IP-Adresse hinterlegt sind, und
eine Entscheidereinheit, die dazu ausgelegt ist, festzulegen, welches der Endgeräte untereinander und/oder mit anderen Netzwerken in Kommunikation treten darf, wobei
eine von dem Endgerät ausgehende und/oder an das Endgerät gerichtete Kommunikation über die Entscheidereinheit geroutet wird, und
die Entscheidereinheit unter Rückgriff auf die Datenbank den Datenverkehr unterschiedlicher Endanwender aufgrund einer Ziel-IP-Adresse und/oder einer Quell-IP-Adresse trennt.

2. Netzwerk nach Anspruch 1, wobei die von dem Endgerät ausgehende und/oder an das Endgerät gerichtete Kommunikation über die Entscheidereinheit gemäß einer Nabe-Speiche-Architektur geroutet wird, bei der die Entscheidereinheit die Nabe darstellt.

3. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit bei der Festlegung, welches der Endgeräte untereinander und/oder mit anderen Netzwerken in Kommunikation treten darf, einstellbar ist, vorzugsweise über eine von dem Endanwender zugreifbaren Schnittstelle, so dass die Zulässigkeit eines Kommunikationspfads zwischen Endgeräten und/oder anderen Netzwerken durch den Endanwender vorgebbar ist.

4. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit das Trennen des Datenverkehrs unterschiedlicher Endanwender durch separate Routing-Tabellen ausführt.

5. Netzwerk nach Anspruch 4, wobei die separaten Routing-Tabellen für vom Endgerät ausgehende und an das Endgerät gerichtete Kommunikation unterschiedlich sind.

6. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit die Funktionalitäten eines Routers und/oder eines anderen Kommunikationsknotenpunkts umfasst.

7. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit dazu ausgelegt ist, Prozesse in einer endanwenderspezifischen Netzwerkumgebung auszuführen, vorzugsweise um einen Endpunkt für virtuelle Datentunnel darzustellen.

8. Netzwerk nach einem der vorhergehenden Ansprüche, wobei mehrere Entscheidereinheiten vorgesehen sind, vorzugsweise um eine redundante Ausführung zu schaffen.

9. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit dazu ausgelegt ist, für eine adress-basierte Trennung ein Policy-basiertes Routingverfahren und/oder Routinglisteneinträge mit Quell-Adress-Filter zu verwenden, vorzugsweise um ein bestimmtes Ziel auf Grundlage der Quell-IP-Adresse zu wählen.

10. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit dazu ausgelegt ist, auf einer gemeinsamen Infrastruktur abzulaufen, vorzugsweise in Form einer virtuellen Einheit.

11. Netzwerk nach einem der vorhergehenden Ansprüche, wobei in der Datenbank einem mobilfunkfähigen Endgerät eine pseudo-statische oder statische IP-Adresse zugewiesen wird, um anhand einer IP-Adresse einen Endanwender und/oder ein Netzwerkinterface zu identifizieren und den dafür bestimmten Datenverkehr zu separieren.

12. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit das IPv4-Protokoll und/oder das IPv6-Protokoll unterstützt.

13. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit einen Mobile-IP-Heimatagent umfasst.

14. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Datenbank ferner ein Verzeichnis umfasst, in dem ein IPv4-Endgerät mit einer jeweiligen IPv6-Adresse verknüpft ist, und die Entscheidereinheit dazu ausgelegt ist, ein an das IPv4-Endgerät gerichtetes IPv6-Datenpaket unter Rückgriff auf die Datenbank auf ein IPv4-Datenpaket abzubilden.

15. Netzwerk nach Anspruch 14, wobei die Datenbank ferner ein Verzeichnis umfasst, in dem der IPv6-Quell-IP-Adresse, die in einer Kommunikation mit einem IPv4-Endgerät steht, mit einer IPv4-Quell-IP-Adresse verknüpft ist, und die Entscheidereinheit beim Weiterleiten einer Kommunikation von IPv6 nach IPv4 dazu ausgelegt ist, sowohl die IPv6-Quell-IP-Adresse als auch die IPv6-Ziel-IP-Adresse unter Rückgriff auf die Datenbank 1:1 auf IPv4-Adressen abzubilden.

16. Netzwerk nach einem der vorhergehenden Ansprüche 14 oder 15, wobei die Abbildung von IPv6-Adressen auf IPv4-Adressen dynamisch vor dem Erstellen einer Verbindung in dem Verzeichnis zugewiesen wird.

17. Netzwerk nach einem der vorhergehenden Ansprüche, wobei die Entscheidereinheit die Funktionalitäten einer Firewall umfasst.

18. Netzwerk nach einem der vorhergehenden Ansprüche, wobei Kommunikation zwischen Entscheidereinheiten ermöglicht wird, insbesondere ohne diese Kommunikation über das Internet zu führen.

Description:

Die vorliegende Erfindung betrifft ein endanwenderspezifisches virtuelles globales Netzwerk.

Idealerweise hätte jeder Endanwender sein eigenes Netzwerk, in dem alle jeweiligen Endgeräte des Endanwenders verbunden wären. Dieses Netzwerk würde den Computer, das Notebook, ein Mobiltelefon, ein Tablet – sowohl zu Hause als auch mobil – miteinander verbinden. Darüber hinaus würden in einem solchen Netzwerk auch die Haushaltsgeräte des Endanwenders wie Geräte zur Medienwiedergabe oder ein Netzwerkspeicher, Wearables oder das Auto des Endanwenders verbunden sein. Dieses Netzwerk würde sich auch dazu eignen, in der Zukunft noch aufkommende Internet-der-Dinge-Vorrichtungen einzubinden.

Aus Endanwendersicht sollte dieses Netzwerk so privat wie ein drahtloses Heimnetzwerk sein, auf das nur durch den Endanwender autorisierte Vorrichtungen zugreifen können. Andererseits sollte dieses Netzwerk jedoch nicht auf einen beschränkten Bereich begrenzt bleiben, vielmehr sollte es landesweit wenn nicht sogar weltweit verwendbar sein. Es wäre wünschenswert, wenn mobile Endgeräte Teilnehmer dieses privaten Netzwerks werden und bleiben könnten unabhängig davon, wo sie sich befinden und wohin sie sich bewegen. Vorteilhaft wäre, wenn dieses Netzwerk verschiedene Zukunftstechnologien wie Festnetz, WLAN, mobile Netzwerke, Bluetooth und weitere kombinieren würde.

Aus praktischen Gründen ist es jedoch nicht möglich, ein separates globales Netzwerk für jeden Endanwender aufzubauen. Nichtsdestotrotz wird mit Hilfe dieser Erfindung ein endanwenderspezifisches virtuelles globales Netzwerk möglich, das die oben aufgezählten Eigenschaften besitzt und das heute verfügbare unterschiedlichste Netzwerkinfrastruktur wie das Internet oder Mobilfunknetzwerke verwenden kann. Anders ausgedrückt soll das endanwenderspezifische virtuelle globale Netzwerk dazu in der Lage sein, auf einer „shared infrastructure”, also eine Infrastruktur, die von mehreren Anwendern gleichzeitig benutzt werden kann, zu laufen. Dabei ist es das Ziel der vorliegenden Erfindung, dass jedes der heute verfügbaren Endgeräte Teilnehmer eines solchen endanwenderspezifischen virtuellen globalen Netzwerks sein kann, ohne dass es erforderlich ist, eine spezielle Clientsoftware aufzuspielen oder andere Änderungen daran vorzunehmen. Darüber hinaus soll das erfindungsgemäße Netzwerk IP-basierte Kommunikation unterstützen, d. h. die Endgeräte sollen dazu in der Lage sein, mit dem Internetprotoll IPv4 und IPv6 zu kommunizieren. Jeder zusätzliche darüber hinaus anfallende Overhead soll vermieden werden und es soll keine ungewollten Beschränkungen bezüglich Verbindbarkeit und Erreichbarkeit geben.

Kernpunkt des endanwenderspezifischen virtuellen globalen Netzwerks ist dabei die logische Trennung bzw. die logische Separierung von Endanwendern auf einer potenziell gemeinsamen Infrastruktur (= shared infrastructure). Im Stand der Technik gibt es hierfür eine Vielzahl von Ansätzen, die auf das vermeintliche Lösen dieses Problems gerichtet sind.

So gibt es im Stand der Technik den Ansatz, Endanwender von einer gemeinsamen Infrastruktur unter Verwendung von VPN-Lösungen zu separieren. In diesem Szenario besitzt der der Endanwender Equipment oder eine Software, die über die gemeinsame Infrastruktur (normalerweise das Internet), welche die Serverseite bildet, erreichbar ist. Von einem anderen Ort oder mit einem mobilen Endgerät wird Equipment oder Software als Client-Seite verwendet und ein sicherer Tunnel zu der Serverseite aufgebaut. Über diesen Tunnel kann sichere Kommunikation über die gemeinsame Infrastruktur durchgeführt werden. Bspw. ist das IPsec Protokoll und das SSLTTLS-Protokoll eine weit verbreitete Möglichkeit, um einen solchen sicheren VPN-Tunnel aufzubauen.

Nachteilig an dieser Lösung ist, dass ein VPN-Client notwendig ist und dass der virtuelle Tunnel der Kommunikation einen Overhead hinzufügt. Darüber hinaus befindet sich die Serverseite typischerweise in Räumlichkeiten des Endanwenders oder läuft auf physikalischen oder virtuellen Maschinen in einem Datencenter. Auch ist es typisch, dass das serverseitige Equipment/die serverseitige Software nicht von mehreren Endanwendern gemeinsam genutzt wird. Zudem ist dieser Stand der Technik oder auch Alternativen hierzu nur in sehr komplexer Weise aufzusetzen, so dass ein großer Installations- und Wartungsaufwand beim Betrieb erforderlich ist. Dies trägt teilweise auch dazu bei, dass Umsetzungen aus dem Stand der Technik für den Massenmarkt nicht skalierbar sind.

Ein weiterer im Stand der Technik verbreiteter Ansatz ist die Verwendung von virtuellen Verbindungen sogenannten „virtual circuits” zum Trennen der Endanwender. Mit Mehrfachzugriffsverfahren wie TDMA kann ein einziges Kommunikationsmedium wie eine Kupferleitung für darauf zugreifende Einheiten so erscheinen, als ob jede Einheit ein eigenes Kommunikationsmedium (mit entsprechend verringerter Kapazität) besitzt.

Um diese Möglichkeiten durchgängig zu gestalten, d. h. über mehrere Netzwerkssegmente mit zwischengeschalteten Netzwerkknoten, wurden Technologien geschaffen, die der Erzeugung von sogenannten virtuellen Verbindungen ermöglichen. Diese erlauben das Erstellen von sauber getrennten logischen Kommunikationspfaden auf einer einzigen physikalischen Infrastruktur. Die „Frame Relay” Technologie ist ein prominentes Beispiel, die für diesen Zweck eingesetzt wird. Ein ähnliches Konzept findet sich auch bei ATM (Asynchronous Transfer Mode), in dem virtuelle Pfade und virtuelle Verbindungen aufgesetzt werden können.

Zwar erlauben die oben aufgeführten Technologien das Verwenden von Infrastruktur, die durch mehrere Endanwender genutzt wird, jedoch sind die Endpunkte einem einzigen Endanwender vorbehalten.

Ähnliche Nachteile ergeben sich auch bei der Verwendung von MPLS-VPNs oder dem Einsatz eines Overlay-Protokolls wie VXLAN.

Es ist daher das Ziel der vorliegenden Erfindung ein endanwenderspezifisches virtuelles globales Netzwerk umzusetzen, das die vorstehend aufgeführten Nachteile überwindet.

Dies gelingt mit einem endanwenderspezifischen virtuellen globalen Netzwerk, das sämtliche Merkmale nach Anspruch 1 umfasst. Demnach weist das erfindungsgemäße Netzwerk mindestens ein netzwerkfähiges Endgerät eines Endanwenders, eine Datenbank mit einem Verzeichnis für jeden Endanwender, indem mehrere netzwerkfähige Endgeräte des Endanwenders mit ihrer zugehörigen IP-Adresse hinterlegt sind, und eine Entscheidereinheit auf, die dazu ausgelegt ist, festzulegen, welches der Endgeräte untereinander und/oder mit anderen Netzwerken in Kommunikation treten darf. Zudem wird hierbei eine von dem Endgerät ausgehende und/oder an das Endgerät gerichtete Kommunikation über die Entscheidereinheit geroutet, wobei die Entscheidereinheit unter Rückgriff auf die Datenbank den Datenverkehr unterschiedlicher Endanwender aufgrund einer Ziel-IP-Adresse und/oder einer Quell-IP-Adresse trennt.

Dadurch ist es möglich, eine Kommunikation von Endgeräten, die lediglich durch ihre Fähigkeit Teilnehmer in einem Netzwerk zu sein ausgezeichnet sind, zu unterbinden, falls dies gewünscht sein sollte. Auch wird eine nichtautorisierte Kommunikation von und mit dem Endgerät wirksam unterbunden. Vorteilhaft ist dies insbesondere für ressourcenarme Internet-der-Dinge-Vorrichtungen, da diese Vorrichtungen einen effektiven Schutz von Angreifern aus dem Internet durch geeignete Infrastruktur benötigen, jedoch für autorisierte Kommunikationspartner voll erreichbar bleiben sollen. Solche Endgeräte sollen dabei auch in der Lage sein, Verbindungen zu initiieren oder Pakete an einen zulässigen Kommunikationspartner zu senden bzw. eingehende Verbindungen entgegennehmen oder Pakete von einem zulässigen Kommunikationspartner erhalten können.

Es gibt daher keinen Bedarf für Behelfslösungen, wie bspw. das Offenhaltungen von Kommunikationsverbindungen, unter Verwendung von darauf aufgesetzten Protokollen, um die direktionale Kommunikation zu ermöglichen. Da solche Behelfslösungen nicht weiter verfolgt werden müssen, schont dies zudem die Ressourcen.

Darüber hinaus entfällt der Bedarf für das nicht notwendige Aufbauen einer Verbindung. Es können so genannte „fire and forget”-Protokolle wie UDP für Kommunikation in beide Richtungen verwendet werden.

Nach einer optionalen Modifikation der Erfindung wird die von dem Endgerät ausgehende und/oder an das Endgerät gerichtete Kommunikation über die Entscheidereinheit gemäß einer Nabe-Speiche-Architektur geroutet, bei der die Entscheidereinheit die Nabe dargestellt.

Durch diese Architektur wird ermöglicht, dass die Entscheidereinheit festlegen kann, welches der mit der Entscheidereinheit in Verbindung stehenden Endgeräte in welcher Form kommunizieren kann. So kann dadurch bspw. eine in der Datenbank nicht hinterlegte Kommunikationsverbindung unterbunden werden, indem die Entscheidereinheit eine Kommunikationsanfrage nicht weiterleitet.

Nach einer Fortbildung der Erfindung ist die Entscheidereinheit bei der Festlegung, welches der Endgeräte untereinander und/oder mit anderen Netzwerken in Kommunikation treten darf, einstellbar, vorzugsweise über eine von dem Endanwender zugreifbaren Schnittstelle, sodass die Zulässigkeit eines Kommunikationspfads zwischen Endgeräten und/oder anderen Netzwerken durch den Endanwender vorgebbar ist.

Vorzugsweise führt die Entscheidereinheit das Trennen des Datenverkehrs unterschiedlicher Endanwender durch separate Routingtabellen aus. Dabei kann vorgesehen sein, dass die separaten Routingtabellen für vom Endgerät ausgehende und an das Endgerät gerichtete Kommunikation unterschiedlich sind.

Nach einer weiteren Modifikation der Erfindung umfasst die Entscheidereinheit die Funktionalitäten eines Routers und/oder eines Hubs.

Innerhalb der anwenderspezifischen Netzwerkumgebung der Entscheidereinheit können Datentunnel enden. Dies ist insbesondere für ohnehin vorhandene teilnehmerspezifische Tunnel (etwa L2TP und PPPoE) sinnvoll, da sich dann kein zusätzlicher Overhead ergibt und dennoch innerhalb des jeweiligen Tunnels beliebige IP-Adressen verwendet werden können.

Zudem kann vorgesehen sein, dass die Entscheidereinheit dazu ausgelegt ist, Prozesse in einer anwenderspezifischen Netzwerkumgebung auszuführen, vorzugsweise um einen Endpunkt für virtuelle Datentunnel darzustellen.

Auch kann vorgesehen sein, dass in dem Netzwerk mehrere Entscheidereinheiten vorgesehen sind, vorzugsweise um eine redundante Ausführung zu schaffen.

Nach einer weiteren optionalen Modifikation der Erfindung ist die Entscheidereinheit dazu ausgelegt, für eine adressbasierte Trennung ein Policy-basiertes Routingverfahren und/oder Routinglisteneinträge mit Quelladressfilter zu verwenden, vorzugsweise um ein bestimmtes Ziel auf Grundlage der Quell-IP-Adresse zu wählen.

Weiter kann nach der Erfindung die Entscheidereinheit dazu ausgelegt sein, auf einer gemeinsamen Infrastruktur abzulaufen, vorzugsweise in Form einer virtuellen Einheit.

Nach einer weiteren Variation der Erfindung wird in der Datenbank einem mobilfunkfähigen Endgerät eine pseudostatische oder statische IP-Adresse zugewiesen, um anhand einer IP-Adresse einen Endanwender zu identifizieren und den für ihn bestimmten Datenverkehr zu separieren bzw. zu trennen.

Nach einer weiteren Modifikation der Erfindung unterstützt die Entscheidereinheit das IPv4-Protokoll und/oder das IPv6-Protkoll.

Optional umfasst die Entscheidereinheit einen Mobile-IP-Heimagenten.

Nach einer Fortbildung der Erfindung umfasst die Datenbank ferner ein Verzeichnis, in dem ein IPv4-Endgerät mit einer jeweiligen IPv6-Adresse verknüpft ist, und wobei die Entscheidereinheit dazu ausgelegt ist, ein an das IPv4-Endgerät gerichtetes IPv6-Datenpaket unter Rückgriff auf die Datenbank auf ein IPv4-Datenpaket abzubilden.

Nach einer Fortbildung umfasst die Datenbank ferner ein Verzeichnis, in dem der IPv6-Quell-IP-Adresse, die in einer Kommunikation mit einem IPv4-Endgerät steht, mit einer IPv4-Quell-IP-Adresse verknüpft ist und die Entscheidereinheit beim Weiterleiten einer Kommunikation von IPv6 nach IPv4 dazu ausgelegt ist, sowohl die IPv6-Quell-IP-Adresse als auch die IPv6-Ziel-IP-Adresse unter Rückgriff auf die Datenbank eins zu eins auf IPv4-Adressen abzubilden.

Nach einer weiteren Modifikation der Erfindung wird die Abbildung von IPv6-Adressen auf IPv4-Adressen dynamisch vor dem Erstellen einer Verbindung in dem Verzeichnis zugewiesen.

Vorzugsweise ist eine Kommunikation zwischen Entscheidereinheiten möglich, insbesondere ohne diese Kommunikation über das Internet zu führen.

Vorzugsweise umfasst die Entscheidereinheit die Funktionalitäten einer Firewall.

Weitere Merkmale, Details und Vorteile der Erfindung werden anhand der nachfolgenden Figurenbeschreibung ersichtlich. Dabei zeigen:

1: den grundsätzlichen Aufbau des erfindungsmäßen endanwenderspezifischen virtuellen globalen Netzwerks, und

2: die Implementierung der Erfindung mit mehreren Entscheidereinheiten, die mit dem Internet und einem Mobilnetzwerk verbunden ist.

Man erkennt, dass Endgeräte 1, 2 über das Internet 32 oder beliebige andere Netzwerke 31 mit der Entscheidereinheit 20, die in der Figur auch als Decision Point oder Routing Hub gekennzeichnet ist, verbunden sind. Die Entscheidereinheit 20 steht mit der Datenbank 10 in einer Verbindung, die über die gestrichelte Linie dargestellt ist.

Die Datenbank 10 weist ein Verzeichnis pro Endanwender auf, in dem die mehreren Endgeräte 1, 2 eines Endanwenders aufgelistet sind. Es wird also für jeden Endanwender ein Verzeichnis angelegt, in dem die einem Endanwender zuordenbaren Endgeräte mit ihren IP-Adressen enthalten sind. Darüber hinaus werden auch die IP-Adressen, die einem Endanwender zugewiesen werden, in dem Verzeichnis abgelegt.

Die Entscheidereinheit 20 kann flexibel konfiguriert werden, um festzulegen, welche Endgeräte eines Endanwenders untereinander und/oder mit anderen Netzwerken kommunizieren dürfen. Hierzu kann ein Endanwender auf die Entscheidereinheit 20 zugreifen und diese so konfigurieren, dass er die Berechtigungen für seine Endgeräte/Netzwerke einstellen kann. Diese Konfiguration stellt sicher, dass nur eine gewünschte Kommunikation aufgebaut werden kann. D. h. der Endanwender besitzt die Kontrolle, welche seiner Endgeräte mit welchen anderen Endgeräten kommunizieren. Dabei kann auch eingestellt werden, dass eine Kommunikation mit Endgeräten erfolgen kann, die nicht unter der Kontrolle des Endanwenders stehen.

Die Endgeräte 1 sind gemäß einer Nabe-Speiche-Architektur miteinander verbunden. Eine direkte Kommunikation der Endgeräte 1 untereinander und zu Geräten 2 ist nur über den Umweg der Entscheidereinheit 20 möglich. Dadurch wird sichergestellt, dass Datenverkehr zwischen den Endgeräten 1 und der Entscheidereinheit 20 keine ungewollten Abkürzungen nimmt, die dazu führen würden, dass die Entscheidereinheit 20 umgangen wird. Dies ist insbesondere relevant für Datenverkehr, der nicht mit Hilfe von anderen Mitteln eine Separierung je Endanwender vornehmen kann (bspw. gekapselt in einem Tunnel wie L2TP mit der Entscheidereinheit als Endpunkt). Das Nabe-Speiche-Konzept wird durch das Vorsehen von separaten Routing-Tabellen für Upstream-Verkehr und für Downstream-Verkehr implementiert.

Der mit dem Bezugszeichen 21 gekennzeichnete Bestandteil der Entscheidereinheit 20 dient für das adressbasierte Trennen von Netzwerkverkehr pro Endanwender auf einer gemeinsamen Infrastruktur. Anders als im Stand der Technik wird der Verkehr nicht durch Kennzeichnen des Datenverkehrs mit einer Zusatzkennung, die den Endanwender kennzeichnet, separiert, wie dies bspw. mit VLAN IDs oder mit Endanwenderbezeichnung in MPLS-VPNs der Fall ist. Die Erfindung sieht davon abweichend vor, Datenverkehr verschiedener Endanwender auf Grundlage einer Ziel- und/oder einer Quell-IP-Adresse zu separieren bzw. auseinander zu halten. Dies verhindert Overhead und ist ressourcenfreundlich in Bezug auf die Erfordernisse des Netzwerkequipments, da die Speicheranforderungen signifikant geringer sind.

Damit dieses Konzept reibungslos abläuft, muss entweder die Quelladresse oder die Zieladresse eines Kommunikationspfads mit einem bestimmten Endanwender verknüpft sein. Dabei ist es erforderlich, dass entweder die Quelladresse oder die Zieladresse statisch einem bestimmten Teilnehmer zum Zeitpunkt des Datenverkehrs zugewiesen ist. Dies bedeutet, dass entweder die Quelle, das Ziel oder beide in dem Verzeichnis der Datenbank 10 für den Endanwender enthalten sein müssen. Durch die Verwendung dieses adressbasierten Trennkonzepts kann die oben beschriebene Entscheidereinheit auch auf einer gemeinsamen Infrastruktur implementiert werden. Eine gemeinsame Infrastruktur oder auch „shared infrastructure” beschreibt dabei eine Infrastruktur, auf die mehrere Endanwender gleichzeitig zugreifen können.

Über ein Web-Frontend oder eine API 40 werden dem Endanwender Einstellmöglichkeiten der Entscheidereinheit 20 ermöglicht. Es ist damit möglich die Kommunikationspfade, die zwischen den Endgeräten zulässig sind, flexibel einzustellen. Aus technischer Sicht ist es hierzu erforderlich, dass eine softwarebasierte Einstellung von Datenverkehrsströmen (Routing-Tabellen, Routing-Policies, Firewall-Regeln, etc.) vorgenommen wird. Für Fälle, in denen Netzwerkequipment konfiguriert ist, das zu einer gemeinsamen Infrastruktur gehört, stellt die Business-Logic 50 sicher, dass jeder Endanwender nur solche Kommunikationspfade einstellen kann, die seine eigenen Endgeräte betreffen und nur die entsprechenden Listeneinträge in der Datenbank, die einen Bezug zu dem Endanwender haben, umgestellt werden können. Außerdem erlaubt die Business-Logic 50 Netzwerkequipment unterschiedlicher Hersteller transparent für die Endanwender zu nutzen.

Damit die Entscheidereinheit, auch Routing Hub genannt, wirklich vielseitiger ist, ist es nicht ausreichend die Datenströme zu steuern und zu beschränken. Es ist auch erforderlich einen Endpunkt für Datenverkehrstunnel vorzusehen, um einen Endpunkt für VPNs (in diesem Fall kann die Entscheidereinheit neben Routing auch Bridging vornehmen) oder einen Endpunkt für andere Kommunikationsdienste (bspw. einem IMS-client) darzustellen. Daher ist es erforderlich, die Fähigkeit zu besitzen, Prozesse in einer endanwenderspezifischen Umgebung zu betreiben, ähnlich wie ein Server-Daemon.

Ist es erforderlich eine hohe Anzahl von Endanwender zu unterstützen, ist es nicht mehr möglich sämtliche Endanwender über eine einzelne Entscheidereinheit zu bedienen. Vielmehr ist notwendig, die Gesamtlast auf mehrere Knoten bzw. Entscheidereinheiten aufzuteilen. Damit dies funktioniert, muss der Netzwerkverkehr für einen bestimmten Endanwender zu dem Knoten geleitet werden, auf dem die Entscheidereinheit des Endanwenders läuft. Daher kann eine Verkehrsleitschicht hinzugefügt werden, die den Datenverkehr an den richtigen Knoten verteilt. Diese Verkehrsleitschicht verwendet die bereits beschriebenen Konzepte, wie die Nabe-Speicher-Architektur und adressbasierte Endanwendertrennung. Für die adressbasierte Trennung muss ein spezifisches Ziel wie eine bestimmte Entscheidereinheit aufgrund der Quell-IP-Adresse ausgesucht werden. Dies kann man entweder unter Verwenden eines sogenannten policy-basierten Routings oder durch das Verwenden von Routinglisteneinträgen ausführen, die einen Quelladressfilter besitzen. Beide Merkmale werden normalerweise zum Implementieren einer Lastteilung und zum Definieren spezieller Datenverkehrsregeln verwendet.

Damit die adressbasierte Trennung funktioniert, muss es auf Grundlage der Endgeräteadresse möglich sein, festzulegen, ob ein Endgerät einem Endanwender gehört oder nicht. Der einfachste Weg dies zu erreichen, ist es immer dieselbe IP-Adresse demselben mobilen Teilnehmer zuzuweisen (bspw. basierend auf MSISDN oder der SIM-Karte). Damit besitzt jeder mobile Teilnehmer, bspw. ein Mobiltelefon oder dergleichen, eines Endanwenders immer dieselbe IP-Adresse, so dass diese dazu verwendet werden kann, den Endanwender zu identifizieren und seinen Datenverkehr zu separieren. Diese stabile Abbildung zwischen mobilem Teilnehmer (mobile subscription) und IP-Adresse wird in der Datenbank in dem entsprechenden Verzeichnis festgehalten.

Die endanwenderspezifische Entscheidereinheit kann entweder nur IPv4, nur IPv6 oder beide Protokollversionen parallel unterstützen. Wird sowohl IPv4 als auch IPv6 unterstützt, kann die Entscheidereinheit verschiedene IPv4-IPv6 Migrationsoptionen und Mischformen aufweisen. Durch die Fähigkeiten eines Network-Namespacings und das Bearbeiten von Prozessen werden auch Migrationsoptionen unterstützt, die eine Abbildungskomponente erfordern.

Darüber hinaus kann die Entscheidereinheit einen „mobilen IP-Heimagenten” betreiben.

Das IPv6-Protokoll kann eine hohe Anzahl von Hosts beherbergen, wohingegen der IPv4-Adressraum streng beschränkt ist. Nichtsdestotrotz gibt es eine große Anzahl von Endgeräten, die nicht IPv6-kompatibel sind. IPv6-Header sind größer als IPv4-Header, so dass IPv6 der Kommunikation einen größeren Overhead hinzufügt. Schlimmer noch, viele Netzwerkbibliotheken für ressourcenknappe, eingebettete Endgeräte unterstützen weiterhin nur IPv4 – auch wenn sich die Gesamtsituation verbessert. Daher kann man für Maschine-zu-Maschine Kommunikation und für Internet-der-Dinge-Endgeräte annehmen, dass IPv4 in der nächsten Zeit weiterhin eine signifikante Rolle einnimmt.

Unter der Annahme, dass der Endanwender die Wahl trifft, die Entscheidereinheit derart einzustellen, dass diese nur IPv6-kompatibel ist, bedingt dies zwar die Verfügbarkeit eines großen Adressraums, jedoch ist die Kommunikation mit IPv4-Endgeräten nicht ohne weiteres möglich. Jedoch kann auch in diesem Szenario eine Kommunikation mit Netzwerkinseln vorgenommen werden, die nur über IPv4-Endgeräte verfügen. All diesen Endgeräten würde dann eine IPV6-Adresse zugewiesen werden, die dazu verwendet wird, das Endgerät (auch in dem Verzeichnis der Datenbank) zu identifizieren und mit ihm zu kommunizieren. Bei der Kommunikation mit der Netzwerkinsel können IPV6-Pakete auf IPv4-Pakete mit Hilfe einer Eins-zu-eins-Abbildung abgebildet werden. Hierbei muss man beachten, dass dem anderen Kommunikationsteilnehmer intern auch eine IPv4-Adresse zuzuweisen ist, so dass sowohl die Quell- als auch die Ziel-Adresse des IPv6-Standard eins zu eins auf IPv4-Adressen abgebildet werden.

Eine solche Eins-zu-eins-Abbildung ist eine sehr einfache Methode, um weiterhin IPv4 für mobile Endgeräte zu unterstützen, wenn diese von einem IPv6-Netzwerk oder entsprechenden Endgeräten zugreifbar sind. Bspw. in einem Mobilnetzwerk können IPv4-Mobilteilnehmer private IPv4-Adressen pseudostatisch oder statisch zugewiesen werden, während die Entscheidereinheit bereits auf IPv6 arbeitet. Dies ist auch eine interessante Option für den Fall, dass die Netzwerkinsel IPv6 noch nicht unterstützt. Dies ist z. B. dann der Fall, falls das Mobilnetzwerk noch nicht IPv6-ready ist. Eine solche Eins-zu-eins-Abbildung ist auch praktisch um IPv6-Vorrichtungen in der Entscheidereinheit von IPv4-Internet, das eine öffentliche IPv4-Adresse verwendet, zugreifbar zu machen.

Öffentliche IPv4-Adressen sind eine sehr knappe Ressource. Nichtsdestotrotz werden diese weiterhin im Internet stark genutzt und viele Teile des Internets sind noch nicht auf IPv6 umgestellt. Wie bereits im vorstehend Paragraphen erwähnt, können Endgeräte mit IPv6-Adressen zugreifbar über öffentliche IPv4-Adressen gemacht werden, in dem eine statische Eins-zu-eins-Abbildung vorgenommen wird, die die Entscheidereinheit mithilfe eines Listeneintrags in der Datenbank vornimmt. Mit der Fähigkeit die Entscheidereinheit über die API zu konfigurieren, kann eine solche Abbildung dynamisch vorgenommen werden und so ermöglichen, mehrere IPv6-Adressen der Entscheidereinheit unter Verwendung einer einzelnen IPv4-Adresse zugreifbar zu machen. Das Verfahren läuft hierbei wie folgt ab:

  • 1. Über die API wird definiert, welches IPv6-Endgerät auf die IPv4-Adresse abgebildet wird, und
  • 2. eine Kommunikation unter Verwendung der IPv4-Adresse wird durchgeführt, wobei danach erneut mit Punkt 1 begonnen wird.

Dies soll anhand des nachfolgenden Beispiels verdeutlicht werden. Ein Endanwender hat eine hohe Anzahl von IPv6-Sensorendgeräten, die durch einen zentralen Steuerserver (unregelmäßig) bei Bedarf kontaktiert werden. Weiter wird angenommen, dass der Steuerserver mit dem Internet nur für das IPv4-Protokoll kommuniziert. Falls Verbindungen durch den Steuerserver initiiert werden sollen, werden IPv4-Zieladressen benötigt. Aufgrund der Knappheit globaler IPv4-Adressen ist es nicht machbar, jedem Endgerät eine IPv4-Adresse zuzuweisen. Die Lösung hierfür ist die Verwendung einer einzelnen, globalen IPv4-Adresse als Zieladresse und vor dem Erstellen über die API zu definieren, welches IPv6-Endgeräte die Adresse abbilden soll. Dies ermöglicht den Zugriff auf eine große Anzahl von Endgeräten während nur eine geringe Anzahl von IPv4-Adressen verwendet wird.

Dieses Verfahren lässt sich noch weiter verbessern. Anstelle des pseudostatischen oder statischen Zuweisens von IPv4-Adressen an Mobilteilnehmer werden Adressen eines dynamischen, privaten IPv4-Pools verwendet. Beim Erstellen der Sitzung ist es dann erforderlich, die Abbildung zwischen den stabilen IPv4-Adressen und den dynamischen IPv4-Adressen dynamisch zu aktualisieren. All diese dynamischen Zuweisungen werden einem externen IPv6-Endgerät transparent, da es mit dem IPv4-Kommunikationspartner unter Verwendung seiner gleichbleibenden IPv6-Adresse kommunizieren kann.

IP-Adressen dienen verschiedenen Zwecken. Sie dienen als Kennung für Netzwerkschnittstellen („mit wem möchte ich sprechen”); können jedoch auch als Positionierhilfe („wo finde ich meinen Kommunikationspartner”) dienen. Das Verwenden gleicher Adressen für beide Zwecke kann Probleme verursachen, bspw. in Multi-Homing-Szenarien. Für den Zweck einer endanwenderspezifischen Entscheidereinheit stellt es eine interessante Option dar, einen endanwenderspezifischen IP-Adressraum zu nutzen, um eine statische Präfixabbildung (bspw. nach RFC6296) von einem beliebigen externen Netzwerkadressbereich durchzuführen, das zur Kommunikation mit einem Endgerät eines Endanwenders genutzt wird, auf einen Bereich dieses Endanwender-IP-Adressraums. In einer Multibetreiberumgebung ermöglicht dies dem Endanwender Provider eines verbundenen Netzwerks leicht zu tauschen, ohne auf den neuen IP-Adressbereich, der die Kommunikation zwischen seinen Endgeräten betrifft, weiter eingehen zu müssen. Neben global routbaren IPv6-Adressen würden sich auch sogenannte UL-Adressen (vgl. RFC4193) gut eignen, um als gleichbleibender Endanwenderadressbereich zu dienen.

Neben der Aufgabe zu kontrollieren welche Endgeräte mit anderen Endgeräten kommunizieren können, kann die Entscheidereinheit Kommunikation mit erweiterten Firewallregeln steuern. Wird bspw. das Linux-Betriebssystem auf der Entscheidereinheit verwendet, können alle Fähigkeiten des Linux-Kernels und IP-Tables/Netfilter über die API und/oder das Web-Frontend in einer kontrollierten Art und Weise zugänglich gemacht und freigelegt werden.

Darüber hinaus können die Firewallregeln „on the fly” angepasst werden. Zum Beispiel kann die Firewall der Entscheidereinheit eine Applikationslevel-Firewall sein, die bei Bedarf dynamisch Regeln hinzufügt oder löscht. Ein Beispiel wäre ein Sitzungserstellungsverfahren (SIP, WebRTC, etc.), das einen Port zum Erstellen eines Mediastreams eröffnet. Die Entscheidereinheit kann als Gateway in Richtung des Internets dienen. Jeder Standard für eine solche Gateway-Vorrichtung kann unterstützt werden. Eine herkömmliche Fähigkeit ist es die Port-Weiterleitungen bei Bedarf konfigurieren zu können, bspw. Verwenden des Internet-Gateway-Vorrichtungsprotokolls (das beim UPnP-Standard verwendet wird) oder das NAT-Port-Abbildungsprotokoll (NAT-PNP, RFC6886).

Festnetzbetreiber können die Verbindungen ihrer Teilnehmerendgeräte (= CPE, costumer premises equipment) in der Entscheidereinheit des Endanwenders anstelle des Internets enden lassen. Der Tunnel-Endpunkt ist hier nicht auf einem virtuellen Heim-Gateway platziert, der im Internet sitzt, sondern ist in die Entscheidereinheit (den Network Namespace des Endanwenders) bewegt worden.

Das verhindert den Bedarf einen Overlay-VPN-Tunnel zwischen dem Teilnehmerendgerät (CPE) und der Entscheidereinheit herzustellen, um dasselbe Ergebnis zu erreichen.

Neben einem einzelnen Network Namespace, der als der Kern einer Entscheidereinheit eines Endanwenders dient, kann ein zweiter Network Namespace mit derselben Konfiguration aufgesetzt werden. Für den Fall eines Fehlers des Knotens, auf den der Network Namespace des Endanwenders läuft, wird der dahin geleitete Datenverkehr umkonfiguriert, so dass dieser an den zuvor passiven Knoten gerichtet ist. Damit ist ein Mechanismus geschaffen, der im Falle eines Fehlers schnell Abhilfe leistet und die Verfügbarkeit beträchtlich steigert. Das oben beschriebene Konzept für die Aktiv-Passiv-Redundanz kann verwendet werden, um eine gesteuerte Migration von einem Knoten zu einem anderen umzusetzen. Dies ist hilfreich beim Durchführen von Wartungsaktivitäten und beim Ersetzen von Hardware.