*DE T *

Transkript

1 *DE T * (19) Bundesrepublik Deutschland Deutsches Patent- und Markenamt (10) DE T (12) Übersetzung der europäischen Patentschrift (97) EP B1 (21) Deutsches Aktenzeichen: (86) PCT-Aktenzeichen: PCT/FI2004/ (96) Europäisches Aktenzeichen: (87) PCT-Veröffentlichungs-Nr.: WO 2005/ (86) PCT-Anmeldetag: (87) Veröffentlichungstag der PCT-Anmeldung: (97) Erstveröffentlichung durch das EPA: (97) Veröffentlichungstag der Patenterteilung beim EPA: (47) Veröffentlichungstag im Patentblatt: (30) Unionspriorität: FI (73) Patentinhaber: Nokia Corp., Espoo, FI (74) Vertreter: Samson & Partner, Patentanwälte, München (51) Int Cl. 8 : H04L 29/06 ( ) H04L 12/56 ( ) (84) Benannte Vertragsstaaten: AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IT, LI, LU, MC, NL, PL, PT, RO, SE, SI, SK, TR (72) Erfinder: POUSSA, Sakari, FI Espoo, FI; LATVALA, Mikael, FI Helsinki, FI (54) Bezeichnung: FERNVERWALTUNG VON IPSEC-SICHERHEITSASSOZIATIONEN Anmerkung: Innerhalb von neun Monaten nach der Bekanntmachung des Hinweises auf die Erteilung des europäischen Patents kann jedermann beim Europäischen Patentamt gegen das erteilte europäische Patent Einspruch einlegen. Der Einspruch ist schriftlich einzureichen und zu begründen. Er gilt erst als eingelegt, wenn die Einspruchsgebühr entrichtet worden ist (Art. 99 (1) Europäisches Patentübereinkommen). Die Übersetzung ist gemäß Artikel II 3 Abs. 1 IntPatÜG 1991 vom Patentinhaber eingereicht worden. Sie wurde vom Deutschen Patent- und Markenamt inhaltlich nicht geprüft. 1/9

2 Beschreibung HINTERGRUND DER ERFINDUNG: Gebiet der Erfindung: [0001] Die Erfindung betrifft Kommunikationstechnologie. Im Besonderen betrifft die Erfindung ein neues und verbessertes Verfahren und System zum entfernten und transparenten Verwalten von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit. Beschreibung der verwandten Technik: [0002] Internet-Protokoll-Sicherheit, auch bezeichnet als IPSec oder IPSec, ist ein Rahmen, um für Sicherheit in IP-Netzwerken auf Netzwerkebene zu sorgen. IPSec wird von der Internet Engineering Task Force (IETF) entwickelt. RFC-Dokumente (Aufforderung zu Kommentaren, engl.: Request for Comments, RFC) 2401 bis 2409 der IETF beschreiben IPSec. [0003] IPSec stellt vertrauliche Dienste und Authentifizierungsdienste für IP-Verkehr bereit. Diese Dienste werden von Protokollen bereitgestellt, die als Authentifizierungs-Header (AH, beschrieben in RFC 2402), der im Wesentlichen die Authentifizierung des Senders von Daten erlaubt, und gekapselte Sicherheitsnutzlast (engl.: Encapsulating Security Payload) (ESP, beschrieben in RFC 2406) bezeichnet werden, die sowohl die Authentifizierung des Senders als auch die Verschlüsselung von Daten unterstützt. [0004] Der Authentifizierungs-Header und die gekapselte Sicherheitsnutzlast erfordern Sitzungsschlüssel, um zu funktionieren. Die Sitzungsschlüssel werden typischerweise durch Schlüsselverwaltungsprotokolle erzeugt, wie zum Beispiel Internet-Schlüsselaustausch (engl.: Internet Key Exchange) (IKE, beschrieben in RFC 2409). Auch kann ein Schlüsselverwaltungsprotokoll namens Authentifizierung und Schlüsselübereinkunft (engl.: Authentication and Key Agreement) (AKA) verwendet werden, insbesonders bei Kommunikationsnetzwerken, die auf 3GPP-(Partnerschaftsprojekt der dritten Generation, engl.: 3 rd Generation Partnership Project)-Systemen basieren. Zusätzlich gibt es andere Schlüsselverwaltungsprotokolle, die verwendet werden können. [0005] Zusätzlich zu den oben angeführten Protokollen verwendet IPSec Sicherheitszuordnungen, um seine Dienste bereitzustellen. Eine IPSec-Sicherheitszuordnung umfasst Informationen wie Verkehrsselektoren (engl.: traffic selectors), kryptographische Transformatoren, Sitzungsschlüssel und Sitzungsschlüssellebensdauern. Eine Schlüsselverwaltungsanwendung ist für das Aushandeln der Erzeugung und des Löschens einer IPSec-Sicherheitszuordnung verantwortlich. [0006] Typischerweise sind IPSec-Dienste und Schlüsselverwaltungsprotokolle in dedizierten Sicherheits-Gateways, Servern, Arbeitsplatzcomputern und tragbaren Endgeräten zu finden. Beim Stand der Technik werden die IPSec-Dienste und Schlüsselverwaltungsprotokolle unabhängig von dem Zielgerät miteinander in dem Sinn verknüpft, dass sie in derselben Vorrichtung gemeinsam untergebracht sind. Daher folgt daraus auch, dass der Kommunikationsmechanismus zwischen IPSec-Diensten und einem zugeordneten Schlüsselverwaltungsprotokoll lokal ist. [0007] In einer verteilten Rechnerumgebung profitiert eine Netzwerkelementfunktionalität jedoch von einer Architektur, bei der zahlreiche Anwendungen in dedizierten Geräten plaziert sind. Zum Beispiel sind Anwendungen, die kryptographische Operationen erfordern, typischerweise in einem Gerät mit speziellem Zweck untergebracht, das geeignete Hardware und Software für die Aufgabe umfasst. Andere Anwendungen können mehr CPU-Verarbeitungsleistung benötigen und können daher in einem anderen Gerät für spezielle Zwecke untergebracht sein. Des Weiteren fordern Anwendungen in einer verteilten Rechnerumgebung typischerweise Dienste voneinander an, um die Netzwerkelementfunktionalität bereitzustellen. [0008] Im Fall von Sicherheit auf Netzwerkebene sind IPSec und deren zugeordneten Schlüsselverwaltungsprotokolle Beispiele von Anwendungen, die Dienste voneinander anfordern. Es wäre vorteilhaft, einen IP- Sec-Dienst an einer zu symmetrischer Hochgeschwindigkeitskryptographie fähigen Vorrichtung anzuordnen und dessen zugeordnetes Schlüsselverwaltungsprotokoll in einer anderen Vorrichtung mit großer CPU-Leistung und/oder asymmetrischer Kryptographiebeschleunigung anzuordnen. Beim Stand der Technik sind ein IP- Sec-Dienst und dessen von ihm verwendete Schlüsselverwaltungsprotokolle jedoch, wie oben erwähnt, in derselben Rechenvorrichtung lokalisiert. Es gibt viele Schlüsselverwaltungsprotokolle, von denen jedes unter- 2/9

3 schiedliche Charakteristika hat. Wenn, wie im Fall des Stands der Technik, alle diese verschiedenen Schlüsselverwaltungsprotokolle in derselben Vorrichtung wie der IPSec-Dienst lokalisiert werden müssen, werden Netzwerkelemententwicklung, -implementierung und -einsatz ineffizient und teilweise sogar unmöglich. [0009] Der Stand der Technik umfasst US 2002/157024, die einen intelligenten Sicherheitszuordnungsverwaltungsserver offenbart, der zwischen zwei bei Kommunikation mit IPsec verwendeten Knoten angeordnet ist, wodurch es dem Sicherheitszuordnungsverwaltungsserver ermöglicht wird, die Kommunikation zwischen den zwei Knoten zu analysieren. [0010] Der Stand der Technik umfasst des Weiteren US 2003/126466, die ein Implementieren von IPsec auf IP-Ebene offenbart. [0011] Somit existiert ein offensichtlicher Bedarf an einem ausgeklügelteren Ansatz, der es erlaubt, dass ein IPSec-Dienst und ihm zugeordnete Schlüsselverwaltungsprotokolle in verschiedenen Vorrichtungen angeordnet werden, insbesondere in verteilten Rechnerumgebungen. Des Weiteren wäre es vorteilhaft, in der Lage zu sein, diese Verteilung von IPSec und deren zugeordneten Schlüsselverwaltung transparent durchzuführen. ZUSAMMENFASSUNG DER ERFINDUNG: [0012] Die vorliegende Erfindung betrifft ein Verfahren gemäß Anspruch 10 und ein System zur entfernten und transparenten Verwaltung von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit. [0013] Das System umfasst eine oder mehrere Anwendungsvorrichtungen. [0014] Das System umfasst des Weiteren eine Dienstevorrichtung. Die Dienstevorrichtung umfasst eine Diensteeinrichtung für Internet-Protokoll-Sicherheit zur Bereitstellung von einem oder mehreren Internet-Protokoll-Sicherheitsdiensten, die zumindest einen von Authentifizierungs- und Verschlüsselungsdiensten umfassen. [0015] Das System umfasst des Weiteren ein Kommunikationsnetzwerk zur Verbindung der Anwendungsgeräte mit der Dienstevorrichtung. [0016] Das System umfasst des Weiteren eine Sicherheitszuordnungsverwaltungsanwendungseinrichtung, die konfiguriert ist, Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheitsdiensten zu erzeugen und mit einem Sitzungsschlüsselverwaltungsprotokoll zu verwalten. [0017] Gemäß der Erfindung umfasst die Sicherheitszuordnungsverwaltungsanwendungseinrichtung wenigstens einen Verwaltungs-Client, der in der Anwendungsvorrichtung angeordnet ist, und einen Verwaltungsserver, der in der Dienstevorrichtung angeordnet ist, wobei der wenigstens eine Verwaltungs-Client konfiguriert ist, um Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen auszugeben, und der Verwaltungsserver konfiguriert ist, die ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen zu empfangen und in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit auf diese zu reagieren. [0018] Bei einer Ausführungsform der Erfindung umfasst wenigstens eine Anwendungsvorrichtung des Weiteren eine Schnittstelleneinrichtung zum Bereitstellen einer Schnittstelle, über die der wenigstens eine Verwaltungs-Client, der der Anwendungsvorrichtung zugeordnet ist, und der Verwaltungs-Server miteinander kommunizieren. Daher erlaubt die Schnittstelleneinrichtung gemäß der vorliegenden Erfindung und der Verwaltungs-Server gemäß der vorliegenden Erfindung eine derartige Verteilung von IPSec und deren zugeordneten Schlüsselverwaltung, die für den Verwaltungs-Client und für die Diensteeinrichtung für Internet-Protokoll-Sicherheit transparent ist. Mit anderen Worten, die vorhandenen Verwaltungs-Clients müssen nicht modifiziert werden, damit sie in der Lage sind, von der Diensteeinrichtung für Internet-Protokoll-Sicherheit bereitgestellte Dienste zu nutzen, selbst wenn die Diensteeinrichtung für Internet-Protokoll-Sicherheit bei einer anderen Vorrichtung als der Verwaltungs-Client angeordnet sein kann. [0019] Bei einer Ausführungsform der Erfindung umfassen die Sicherheitszuordnungsverwaltungsanfragen Anfragen zum Hinzufügen von Sicherheitszuordnungen, Anfragen zum Löschen von Sicherheitszuordnung und/oder Anfragen zur Abfrage von Sicherheitszuordnungen. [0020] Bei einer Ausführungsform der Erfindung umfasst die Schnittstelleneinrichtung Datenstrukturen, die bei Kommunikation zwischen dem Verwaltungs-Client und dem Verwaltungs-Server verwendet werden, wobei 3/9

4 die Schnittstelleneinrichtungen als eine in einem entsprechenden Verwaltungs-Client dynamisch oder statisch eingebundene Software-Bibliothek implementiert werden. [0021] Bei einer Ausführungsform der Erfindung sind die Schnittstelleneinrichtungen zur Verwendung von Sockets zur Kommunikation mit dem Verwaltungs-Server angeordnet. [0022] Bei einer Ausführungsform der Erfindung sind die Diensteeinrichtung für Internet-Protokoll-Sicherheit und der Verwaltungs-Server ausgelegt, um einen lokalen Kommunikationskanal zur Kommunikation miteinander zu nutzen. [0023] Bei einer Ausführungsform der Erfindung umfasst wenigstens eine Anwendungsvorrichtung zwei oder mehrere Verwaltungs-Clients, von denen wenigstens zwei voneinander unterschiedliche Verwaltungs-Clients Sitzungsschlüsselverwaltungsprotokolle verwenden. [0024] Bei einer Ausführungsform der Erfindung ist das Kommunikationsnetzwerk ein lokales Netz (engl.: Local Area Network). [0025] Die Erfindung ermöglicht es, IPSec-Sicherheitszuordnungen entfernt zu verwalten. IPSec und deren zugeordnete Schlüsselverwaltung kann auf getrennte Rechenvorrichtungen transparent verteilt sein. Dadurch kann jede Rechenvorrichtung optimiert werden, um eine spezielle Anwendung auszuführen. Dies wiederum erhöht die Leistung und Flexibilität. [0026] Die Erfindung schließt aber die Nutzung von bekannten Standardlösungen nicht aus, wenn dies vorteilhaft ist. Zum Beispiel können das IPSec und dessen zugeordnete Schlüsselverwaltung bei kleineren Konfigurationen immer noch gemeinsam in derselben Vorrichtung untergebracht sein. Dies kann durch Umschalten eines entfernten Kommunikationskanals auf einen lokalen geschehen. Die Umschaltung ist für die Anwendungen transparent, wodurch Entwicklungsaufwand minimiert und Flexibilität erhöht werden. KURZE BESCHREIBUNG DER ZEICHNUNGEN: [0027] Die beigefügten Zeichnungen, die aufgenommen sind, um für ein weitergehendes Verständnis der Erfindung zu sorgen und einen Teil dieser Spezifikation darstellen, veranschaulichen Ausführungsformen der Erfindung und helfen zusammen mit der Beschreibung die Prinzipien der Erfindung zu erklären. In den Zeichnungen: [0028] Fig. 1 ist ein Blockdiagramm, das ein System gemäß einer Ausführungsform der Erfindung veranschaulicht; und [0029] Fig. 2 veranschaulicht ein Verfahren gemäß einer Ausführungsform der Erfindung. DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN: [0030] Nun wird detailliert Bezug auf die Ausführungsformen der Erfindung genommen, von denen Beispiele in den beigefügten Zeichnungen veranschaulicht sind. [0031] Fig. 1 veranschaulicht ein System zur entfernten und transparenten Verwaltung von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit gemäß einer Ausführungsform der Erfindung. Bei der beispielhaften Ausführungsform der Erfindung, die in Fig. 1 dargestellt ist, umfasst das System zwei Anwendungsvorrichtungen APP_DEV_1 und APP_DEV_2. Die Anwendungsvorrichtung APP_DEV_1 umfasst einen Verwaltungs-Client MNG_CL_1 zum Ausgeben von Sicherheitszuordnungsverwaltungsanfragen, wohingegen die Anwendungsvorrichtung APP_DEV_2 zwei Verwaltungs-Clients MNG_CL_2 und MNG_CL_3 umfasst. Die von den Verwaltungs-Clients MNG_CL_1, MNG_CL_2 und MNG_CL_3 ausgegebenen Sicherheitszuordnungsverwaltungsanfragen umfassen Anfragen zum Hinzufügen von Sicherheitszuordnungen, Anfragen zum Löschen von Sicherheitszuordnungen und/oder Anfragen zum Abfragen von Sicherheitszuordnungen. Bei der beispielhaften Ausführungsform der Erfindung, die in Fig. 1 dargestellt ist, nutzen die Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 jeweils ein anderes Sitzungsschlüsselverwaltungsprotokoll. [0032] Internet-Protokoll-Sicherheit wird typischerweise zum Beispiel von einem IP-Multimedia-Teilsystem (IMS) eines Telekommunikationsnetzwerks genutzt, das auf einem 3GPP-System basiert. In solch einem Fall kann ein Nutzergerät (nicht dargestellt) mit der Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 unter 4/9

5 Verwendung eines Schlüsselverwaltungsprotokolls kommunizieren, und das Endergebnis dieser Kommunikation wird dann von der Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 an die Dienstevorrichtung SRV_DEV weitergeleitet. Somit kann in diesem Fall die Anwendungsvorrichtung APP_DEV_1 oder APP_DEV_2 einen Server-Teil des Schlüsselverwaltungsprotokolls ausführen, wohingegen das Nutzergerät einen Client-Teil des Schlüsselverwaltungsprotokolls ausführen kann. Das Nutzergerät kann seine eigenen lokalen Mechanismen verwenden, um das Endergebnis zu seinem eigenen IPSec-Dienst zu kommunizieren. [0033] Bei der in Fig. 1 dargestellten beispielhaften Ausführungsform der Erfindung umfasst das System des Weiteren eine Dienstevorrichtung SRV_DEV. Die Dienstevorrichtung SRV_DEV umfasst eine Diensteeinrichtung für Internet-Protokoll-Sicherheit IPSEC, um einen oder mehrere Internet-Protokoll-Sicherheits-Dienste bereitzustellen. Die Dienstevorrichtung SRV_DEV umfasst des Weiteren einen Verwaltungsserver MNG_SRV, um die ausgegebenen Anfragen zu empfangen und um in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit IPSEC auf die empfangenen Anfragen zu antworten. Das System umfasst des Weiteren ein Kommunikationsnetzwerk CN zur Verbindung der Anwendungsvorrichtungen mit der Dienstevorrichtung. [0034] Bei der beispielhaften Ausführungsform der Erfindung, die in Fig. 1 dargestellt ist, umfassen die Anwendungsvorrichtungen APP_DEV_1 und APP_DEV_2 jeweils des Weiteren eine Schnittstelleneinrichtung IF zum Bereitstellen einer Schnittstelle, über die die Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 und der Verwaltungs-Server MNG_SRV miteinander kommunizieren. Des Weiteren umfasst bei der in Fig. 1 dargestellten beispielhaften Ausführungsform der Erfindung die Schnittstelleneinrichtung IF Datenstrukturen (nicht dargestellt), die bei Kommunikation zwischen den Verwaltungs-Clients MNG_CL_1, MNG_CL_2, MNG_CL_3 und dem Verwaltungs-Server MNG_SRV verwendet werden, und die Schnittstelleneinrichtungen IF werden jeweils als Software-Bibliothek (nicht dargestellt) implementiert, die entweder dynamisch oder statisch in einen Verwaltungs-Client eingebunden sein kann. [0035] Des Weiteren sind bei der beispielhaften Ausführungsform der Erfindung, die in Fig. 1 dargestellt ist, die Schnittstelleneinrichtung IF jeweils ausgelegt, um Sockel zur Kommunikation mit dem Verwaltungs-Server MNG_SRV zu verwenden, und die Diensteeinrichtung IPSEC für Internet-Protokoll-Sicherheit und der Verwaltungs-Server MNG_SRV sind für die Verwendung eines lokalen Kommunikationskanals zur Kommunikation miteinander ausgelegt. [0036] Bevorzugt wird des Weiteren, wie in Fig. 1 dargestellt, ein in das System gelangender externer IP-Verkehr EXT über die Dienstevorrichtung SRV_DEV geleitet. [0037] Fig. 2 veranschaulicht ein Verfahren zum entfernten und transparenten Verwalten von Sicherheitszuordnungen bei Internet-Protokoll-Sicherheit gemäß einer Ausführungsform der Erfindung. [0038] Ein oder mehrere Internet-Protokoll-Sicherheitsdienste werden in einer Dienstevorrichtung bereitgestellt, Phase 20. Sicherheitszuordnungsverwaltungsanfragen werden von einer oder mehreren Anwendungsvorrichtungen ausgegeben, Phase 21. Die Anwendungsvorrichtungen wurden mit der Dienstevorrichtung durch ein Kommunikationsnetzwerk sicher verbunden. [0039] Die ausgegebenen Anfragen werden in der Dienstevorrichtung empfangen, Phase 22. In der Dienstevorrichtung wird auf die empfangenen Anfragen in Verbindung mit den bereitgestellten Internet-Protokoll-Sicherheitsdiensten reagiert, Phase 23. [0040] Bei der beispielhaften Ausführungsform der Erfindung, die in Fig. 2 dargestellt ist, werden die Sicherheitszuordnungsverwaltungsanfragen, die von einer Anwendungsvorrichtung ausgegeben werden, und/oder korrespondierende Antworten über eine Schnittstelle, die der Anwendungsvorrichtung zugeordnet ist, übermittelt. [0041] Es ist für einen Fachmann auf dem Gebiet offensichtlich, dass mit dem Technologiefortschritt die grundlegende Idee der Erfindung auf verschiedene Arten implementiert werden kann. Die Erfindung und ihre Ausführungsformen sind somit nicht auf die oben beschriebenen Beispiele beschränkt, sondern können stattdessen innerhalb des Umfangs der Ansprüche variieren. 5/9

6 FIGURENLEGENDE ZU FIG. 2: ENGLISCH: Provide IPSec services Issue SA Management requests from one or more application devices Receive the SA Management requests in a service device Respond to the SA Management requests in the service device DEUTSCH: Stelle Dienste für Internet- Protoll-Sicherheit bereit Gib Sicherheitszuordnungs verwaltungsanfragen von einer oder mehreren Anwendungs vorrichtungen aus Empfange die Sicherheitszuord nungsverwaltungsanfragen in einer Dienstevorrichtung Antworte auf die Sicherheits zuordnungsverwaltungsanfragen in der Dienstevorrichtung Patentansprüche 1. System zum entfernten und transparenten Verwalten von Sicherheitszuordnungen für Internet-Protokoll-Sicherheit, wobei das System umfasst: eine Anwendungsvorrichtung (APP_DEV_1); eine Dienstevorrichtung (SRV_DEV) mit einer Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) zum Bereitstellen von einem oder mehreren Internet-Protokoll-Sicherheits-Diensten, wobei die Internet-Protokoll-Sicherheits-Dienste wenigstens einen eines Authentifizierungs- und Verschlüsselungsdienstes aufweisen; ein Kommunikationsnetzwerk (CN) zum Verbinden der Anwendungsvorrichtung (APP_DEV_1) mit der Dienstevorrichtung (SRV_DEV); und einer Sicherheitszuordnungsverwaltungsanwendungseinrichtung, die konfiguriert ist, Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheits-Diensten zu erzeugen und mit einem Sitzungsschlüsselverwaltungsprotokoll zu verwalten; dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanwendungseinrichtung wenigstens einen Verwaltungs-Client (MNG_CL_1), der in der Anwendungsvorrichtung (APP_DEV_1) angeordnet ist, und einen Verwaltungs-Server (MNG_SRV) umfasst, der in der Dienstevorrichtung (SRV_DEV) angeordnet ist, wobei der wenigstens eine Verwaltungs-Client (MNG_CL_1) konfiguriert ist, Sicherheitszuordnungserzeugungsund -verwaltungsanfragen auszugeben und der Verwaltungs-Server (MNG_SRV) konfiguriert ist, die ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen zu empfangen und auf diese in Verbindung mit der Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) zu antworten. 2. System nach Anspruch 1, dadurch gekennzeichnet, dass die Anwendungsvorrichtung (APP_DEV_1) ferner eine Schnittstelleneinrichtung (IF) umfasst, um für eine Schnittstelle zur Kommunikation zwischen dem wenigstens einen Verwaltungs-Client (MNG_CL_1), der der Anwendungsvorrichtung (APP_DEV_1) zugeordnet ist, und dem Verwaltungs-Server (MNG_SRV) bereitzustellen. 3. System nach Anspruch 1, dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanfragen wenigstens eine von Ergänzungsanfragen zum Ergänzen von Sicherheitszuordnungen, Löschanfragen zum Löschen von Sicherheitszuordnungen und Abfrageanfragen für Abfragen über Sicherheitszuordnungen aufweisen. 4. System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) ausgelegt ist, Sockets zur Kommunikation mit dem Verwaltungs-Server (MNG_SRV) zu verwenden. 5. System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) Datenstrukturen aufweist, die bei Kommunikation zwischen dem Verwaltungs-Client (MNG_CL_1) und dem Verwaltungs-Server (MNG_SRV) verwendet werden. 6. System nach Anspruch 2, dadurch gekennzeichnet, dass die Schnittstelleneinrichtung (IF) als Softwa- 6/9

7 re-bibliothek implementiert ist, die dynamisch oder statisch mit einem entsprechenden Verwaltungs-Client (MNG_CL_1) verknüpft ist. 7. System nach Anspruch 1, dadurch gekennzeichnet, dass die Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) und der Verwaltungs-Server (MNG_SRV) ausgelegt sind, einen lokalen Kommunikationskanal zur Kommunikation zwischen der Diensteeinrichtung für Internet-Protokoll-Sicherheit (IPSEC) und dem Verwaltungs-Server (MNG_SRV) zu verwenden. 8. System nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens eine Anwendungsvorrichtung (APP_DEV_2) zwei oder mehr Verwaltungs-Clients (MNG_CL_2, MNG_CL_3) umfasst, wobei wenigstens zwei der Verwaltungs-Clients (MNG_CL_2, MNG_CL_3) ausgelegt sind, unterschiedliche Sitzungsschlüsselverwaltungsprotokolle zu verwenden. 9. System nach Anspruch 1, dadurch gekennzeichnet, dass das Kommunikationsnetzwerk (CN) ein lokales Netzwerk umfasst. 10. Verfahren zum entfernten und transparenten Verwalten von Sicherheitszuordnungen für Internet-Protokoll-Sicherheit, wobei das Verfahren den Schritt umfasst: Bereitstellen von einem oder mehreren Internet-Protokoll-Sicherheits-Diensten in einer Dienstevorrichtung, wobei die bereitgestellten Dienste wenigstens einen eines Authentifizierungs- und Verschlüsselungsdienstes (20) aufweisen; dadurch gekennzeichnet, dass das Verfahren ferner die Schritte umfasst: Ausgeben von Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen von einer Anwendungsvorrichtung mit einem Sitzungsschlüsselverwaltungsprotokoll, wobei die zu erzeugenden und zu verwaltenden Sicherheitszuordnungen zur Verwendung von den bereitgestellten Internet-Protokoll-Sicherheits-Diensten dienen, und die Anwendungsvorrichtung mittels eines Kommunikationsnetzwerks (21) mit der Dienstevorrichtung verbunden ist; Empfangen der von der Anwendungsvorrichtung (22) ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen in der Dienstevorrichtung; Antworten auf die in der Dienstevorrichtung (23) empfangenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen in Verbindung mit einem Internet-Protokoll-Sicherheits-Dienst. 11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass wenigstens eine der von einer Anwendungsvorrichtung ausgegebenen Sicherheitszuordnungserzeugungs- und -verwaltungsanfragen und entsprechende Antworten über eine der Anwendungsvorrichtung zugeordneten Schnittstelle kommuniziert werden. 12. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Sicherheitszuordnungsverwaltungsanfragen wenigstens eine von Ergänzungsanfragen zum Ergänzen von Sicherheitszuordnungen, Löschanfragen zum Löschen von Sicherheitszuordnungen und Abfrageanfragen für Abfragen über Sicherheitszuordnungen aufweisen. Es folgen 2 Blatt Zeichnungen 7/9

8 Anhängende Zeichnungen 8/9

9 9/9