DE60221557T2 - Methode und gerät zur adressenübersetzung für gesicherte verbindungen - Google Patents

Methode und gerät zur adressenübersetzung für gesicherte verbindungen Download PDF

Info

Publication number
DE60221557T2
DE60221557T2 DE60221557T DE60221557T DE60221557T2 DE 60221557 T2 DE60221557 T2 DE 60221557T2 DE 60221557 T DE60221557 T DE 60221557T DE 60221557 T DE60221557 T DE 60221557T DE 60221557 T2 DE60221557 T2 DE 60221557T2
Authority
DE
Germany
Prior art keywords
encrypted
security
network address
node
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60221557T
Other languages
English (en)
Other versions
DE60221557D1 (de
Inventor
Kjeld Egevang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Application granted granted Critical
Publication of DE60221557D1 publication Critical patent/DE60221557D1/de
Publication of DE60221557T2 publication Critical patent/DE60221557T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Machine Translation (AREA)

Description

  • STAND DER TECHNIK
  • Netzsicherheit wird in dem Maße immer wichtiger, wie sensiblere Informationen über Kommunikationsnetze übertragen werden, insbesondere über das Internet. Infolgedessen hat sich eine Reihe von Sicherheitstechniken entwickelt, um Daten während des Transports zu schützen. Gewisse Netzwerktechnologien können jedoch einen Zugang zu den geschützten Daten benötigen, um zu funktionieren. Zum Beispiel ermöglicht Adressübersetzung einem Netz, eine Anzahl von Adressen in eine einzige Adresse zu übersetzen und umgekehrt, was insbesondere für lokale Netze (Local Area Networks, LANs) nützlich ist. Adressübersetzung kann jedoch schwierig auszuführen sein, wenn geschützte Daten verwendet werden. Daher kann ein erheblicher Bedarf bestehen, Adressübersetzung für geschützte Daten bei gleichzeitiger Beibehaltung einiger der Vorteile beider Techniken auszuführen.
  • Ein Versuch, dieses Problem zu lösen, wird im Dokument EP 1 130 846 A2 offenbart, welches ein Netzadressübersetzungs-Gateway beschreibt, wobei das Gateway eine Tabelle von Sicherheitskennungen verwendet, um eine Adressübersetzung auszuführen. Dieses System weist jedoch ernste Mängel auf. Zum Beispiel ist das beschriebene Verfahren nicht in der Lage, zwei LAN-Geräte zu handhaben, die versuchen, eine sichere Kommunikation mit demselben externen Gerät herzustellen. Ein solches Ereignis tritt häufig auf, wenn eine große Anzahl von LANs über ein Netz verbunden ist.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Aspekte der Erfindung sind in den beigefügten Ansprüchen dargelegt.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Der Gegenstand, der als Ausführungsformen der Erfindung betrachtet wird, wird im abschließenden Teil der Patentschrift genau dargelegt und klar beansprucht. Jedoch werden Ausführungsformen der Erfindung, sowohl was die Organisation als auch was die Funktionsweise anbelangt, zusammen mit Aufgaben, Merkmalen und Vorteilen derselben, am besten anhand der nachfolgenden ausführlichen Beschreibung verständlich, wenn diese in Verbindung mit den beigefügten Zeichnungen studiert wird, wobei:
  • 1 ein Blockschaltbild eines Systems ist, das für die Realisierung einer Ausführungsform der Erfindung geeignet ist;
  • 2 ein Blockschaltbild eines Knotens gemäß einer Ausführungsform der Erfindung ist;
  • 3 ein Blockschaltbild einer Programmpartition gemäß einer Ausführungsform der Erfindung ist;
  • 4 ein erstes Blockflussdiagramm der Verarbeitungslogik ist, die von einem Adressmanager für sichere Verbindungen (Secure Connection Address Manager, SCAM) gemäß einer Ausführungsform der Erfindung ausgeführt wird;
  • 5 ein zweites Blockflussdiagramm der Verarbeitungslogik für einen SCAM gemäß einer Ausführungsform der Erfindung ist;
  • 6 ein drittes Blockflussdiagramm der Verarbeitungslogik für einen SCAM gemäß einer Ausführungsform der Erfindung ist.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der folgenden ausführlichen Beschreibung werden zahlreiche spezielle Einzelheiten dargelegt, um ein umfassendes Verständnis der Erfindung zu gewährleisten. Für Fachleute ist jedoch klar, dass Ausführungsformen der Erfindung auch ohne diese speziellen Einzelheiten realisiert werden können. In anderen Fällen wurden wohlbekannte Verfahren, Prozeduren, Bauteile und Schaltungen nicht detailliert beschrieben, um die besagten Ausführungsformen der Erfindung nicht zu verdecken.
  • Ausführungsformen der Erfindung können die Leistungsfähigkeit eines Kommunikationsnetzes wie etwa eines Paketvermittlungsnetzes verbessern. Eine Ausführungsform der Erfindung verbessert die Leistungsfähigkeit eines Paketvermittlungsnetzes, indem sie die Verwaltung einer Sicherheitsverknüpfung (Security Association, SA), hier auch als "sichere Verbindung" bezeichnet, verbessert. Eine SA kann eine Beziehung zwischen zwei oder mehr Entitäten definieren, welche beschreibt, wie die Entitäten Sicherheitsdienste nutzen werden, um sicher zu kommunizieren. Diese Beziehung wird durch eine Menge von Informationen repräsentiert, welche als ein Vertrag zwischen den Entitäten betrachtet werden kann. Die Informationen sollten zwischen sämtlichen Entitäten vereinbart und von ihnen gemeinsam genutzt werden. Manchmal werden die Informationen allein als eine SA bezeichnet, doch diese sind normalerweise eine physische Instantiierung der existierenden Beziehung. Die Existenz dieser Beziehung, die durch die Informationen repräsentiert wird, ist das, was die vereinbarten Sicherheitsinformationen vorsieht, um Entitäten zu ermöglichen, sicher zu interoperieren.
  • Genauer, eine Ausführungsform der Erfindung verwaltet Adressübersetzung für sichere Verbindungen. Adressübersetzung kann in diesem Kontext das Übersetzen einer großen Anzahl von Adressen in weniger Adressen oder eine einzige Adresse bezeichnen, und umgekehrt. Eine Ausführungsform der Erfindung kann Adressübersetzung für eine sichere Verbindung verwalten, indem eine Menge von Heuristiken verwendet wird, um Routing-Informationen für ein Paket zu bestimmen. Demzufolge kann dies die Gesamtkapazität und Leistungsfähigkeit eines Netzes verbessern. Benutzer können dementsprechend von schnelleren Reaktionszeiten von Netzanwendungen und Diensten profitieren.
  • Paketvermittlung bleibt nach wie vor eine effiziente Technologie für Sprach- und Datenübermittlung. Paketvermittlung kann in diesem Kontext das Übermitteln von Informationen über ein Netz in der Form von relativ kurzen Paketen bezeichnen. Ein Paket bezeichnet in diesem Kontext eine Menge von Informationen von einer begrenzten Länge, wobei die Länge normalerweise in Bits oder Bytes ausgedrückt wird. Ein Beispiel einer Paketlänge könnte 1000 Bytes sein. Ein Netz umfasst normalerweise eine Anzahl von Netzknoten, die durch ein Kommunikationsmedium miteinander verbunden sind. Die Netzknoten können in der Lage sein, unter Verwendung eines oder mehrerer Protokolle Informationen über das Kommunikationsmedium zu anderen Netzknoten zu übermitteln. Ein Netzknoten kann in diesem Kontext ein beliebiges Gerät beinhalten, das in der Lage ist, Informationen zu übermitteln, wie etwa einen Computer, Server, Switch, Router, Bridge, Gateway und so weiter. Ein Kommunikationsmedium kann ein beliebiges Medium sein, das in der Lage ist, Informationssignale zu transportieren, wie etwa eine verdrillte Doppelleitung, ein Koaxialkabel, ein Lichtwellenleiter, Funkfrequenzen und so weiter. Ein Protokoll kann eine Menge von Anweisungen umfassen, mittels welcher die Informationssignale über das Kommunikationsmedium übermittelt werden. Zum Beispiel könnte das Protokoll ein Paketvermittlungsprotokoll sein, wie etwa das Transmission Control Protocol (TCP), das von der Internet Engineering Task Force (IETF) definiert wurde, Standard 7, Request For Comment (RFC) 793, verabschiedet im September 1981 ("TCP-Spezifikation"), und das Internet Protocol (IP), das von der IETF definiert wurde, Standard 5, RFC 791 ("IP Specification"), verabschiedet im September 1981, beide erhältlich von "www.ietf.org" (hier zusammen als "TCP/IP-Spezifikation" bezeichnet).
  • Ein Paketvermittlungsnetz kann eine Anzahl von Netzknoten umfassen, wie etwa einen Quellknoten, einen Zielknoten und Zwischenknoten. Der Quellknoten kann einen Knoten umfassen, welcher eine Menge von Informationen für die Übermittlung zum Zielknoten erzeugt. Die Informationen können beliebige Daten umfassen, die als ein Signal dargestellt werden können, wie etwa ein elektrisches Signal, optisches Signal, akustisches Signal und so weiter. Beispiele von Informationen in diesem Kontext können Daten von einem Gespräch, einer Videokonferenz, Streaming Video, einer elektronischen Nachricht ("E-Mail"), einer Voicemail-Nachricht, Graphiken, Bilder, Video, Text und so weiter sein. Der Zielknoten kann einen Knoten umfassen, welcher Informationen empfängt. Die Zwischenknoten können Knoten umfassen, welche die Informationen vom Quellknoten zum Zielknoten übertragen. Um das Routing von Informationen zwischen einem Quellknoten, (einem) Zwischenknoten und einem Zielknoten zu unterstützen, kann jedem Knoten eine Netzadresse zugewiesen sein, wie etwa eine IP-Adresse.
  • In Betrieb kann der Quellknoten Informationen in der Form von Paketen über einen oder mehrere Zwischenknoten zum Zielknoten senden. Der Quellknoten zerlegt eine Menge von Informationen in eine Reihe von Paketen. Jedes Paket kann einen Abschnitt der Informationen plus gewisse Steuerungsinformationen enthalten. Die Steuerungsinformationen können Zwischenknoten im Netz dabei unterstützen, jedes Paket zum Zielknoten zu routen. Der Quellknoten sendet die Pakete über das Netz, wo ein Zwischenknoten die Pakete empfängt, sie kurzzeitig speichert und sie zum nächsten Zwischenknoten weitersendet. Dies setzt sich so lange fort, bis der Zielknoten letzten Endes die gesamte Reihe von Paketen empfängt und sie verwendet, um die Informationen vom Quellknoten zu reproduzieren.
  • Pakete werden normalerweise in "Klartext" gesendet. Dies bedeutet, dass ein beliebiges Gerät Zugang zu den Informationen innerhalb eines Paketes haben kann, einschließlich der Header-Information und der Paketdaten. Unter gewissen Umständen kann es wünschenswert sein, eine Sicherheitstechnik zu verwenden, um zu verhindern, dass unbefugte Benutzer oder Geräte auf Paketinformationen zugreifen. Pakete können unter Anwendung einer Anzahl von Sicherheitstechniken geschützt werden, wie etwa gemäß einem IP-Sicherheitsprotokoll ("IPSec"), wie es in IETF RFC 2401, 2406, 2407, 2408, 2409 und anderen definiert ist. Ein Sicherheitsprotokoll enthält normalerweise Verschlüsselungs- und Entschlüsselungsalgorithmen, um ein Paket von Daten während des Transportes zu schützen. Dies kann zum Beispiel beim Erzeugen eines virtuellen Privatnetzes (Virtual Private Network, VPN) zwischen zwei Geräten unter Verwendung physikalischer Verbindungen, die mit anderen Netzknoten gemeinsam genutzt werden, von Nutzen sein.
  • Bei einer Ausführungsform der Erfindung kann eine sichere Verbindung zum Beispiel gemäß dem von der IETF vorgeschlagenen Standard mit dem Titel "Internet Security Association and Key Management Protocol", RFC 2408, veröffentlicht im November 1998 ("ISAKMP-Spezifikation"), erzeugt werden. Die ISAKMP-Spezifikation beschreibt ein Protokoll, das Sicherheitskonzepte benutzt, die von Nutzen sind, um sichere Verbindungen und kryptographische Schlüssel in einer Internet-Umgebung herzustellen. Zum Beispiel kann die ISAKMP-Spezifikation die Protokollaustausche vorsehen, um eine sichere Verbindung zwischen verhandelnden Entitäten herzustellen, gefolgt von der Herstellung einer sicheren Verbindung durch diese verhandelnden Entitäten auf der Basis irgendeines Protokolls. Ein Beispiel eines solchen Protokolls kann ein Protokoll sein, wie das IP Encapsulating Security Protocol (ESP), das in dem von der IETF vorgeschlagenen Standard RFC 2406 dargelegt ist, der im November 1998 veröffentlicht wurde ("ESP-Spezifikation"). Die ISAKMP-Spezifikation kann ferner Prozeduren zum Authentifizieren eines kommunizierenden Peers, zur Erzeugung und Verwaltung von sicheren Verbindungen, für Schlüsselerzeugungsverfahren und zur Verminderung von Bedrohungen (Threat Mitigation) (z.B. Denial-of-Service- und Replay-Attacken) definieren. Alle diese Funktionen können wünschenswert sein, um sichere Übertragungen in einer Internet-Umgebung herzustellen und aufrechtzuerhalten.
  • Sichere Verbindungen und verschlüsselte Pakete können jedoch ein Problem für Netzknoten erzeugen, die dafür konfiguriert sind, eine Netzadressübersetzung (Network Address Translation, NAT) auszuführen. NAT versetzt ein Netz wie etwa ein LAN in die Lage, eine Menge von IP-Adressen für internen Verkehr ("interne Adressen") und eine zweite Menge von Adressen für externen Verkehr ("externe Adressen") zu verwenden. Zum Beispiel kann ein NAT-Gerät so betrieben werden, dass es als ein Gateway zwischen einem LAN und einem anderen Netz wirkt, wobei jeder Netzknoten im LAN ("interner Knoten") eine separate interne Adresse hat. Jedes Mal, wenn ein Netzknoten aus dem LAN ein Paket an einen Netzknoten außerhalb des LAN ("externer Knoten") sendet, kann dieses das NAT-Gerät durchlaufen. Das NAT-Gerät kann die interne Adresse für den internen Knoten in eine externe Adresse übersetzen, welche von sämtlichen internen Knoten gemeinsam verwendet wird. In ähnlicher Weise kann jedes Mal, wenn ein externer Knoten ein Paket an einen internen Knoten sendet, das NAT-Gerät die gemeinsam genutzte externe Adresse in eine interne Adresse für den entsprechenden internen Knoten übersetzen. Dies kann verschiedene Vorteile bieten, wie etwa eine Erhöhung der Anzahl von IP-Adressen für einen Client oder eine Organisation und die Verringerung der Möglichkeit eines Konflikts mit IP-Adressen, die von anderen Firmen und Organisationen verwendet werden. Ein NAT-Gerät benötigt jedoch normalerweise Informationen aus dem Header eines Pakets, um eine NAT ordnungsgemäß auszuführen. Diese Informationen können zum Beispiel die IP-Adresse und das User Datagram Protocol (UDP) oder die TCP-Portnummer umfassen. Ein NAT-Gerät ist möglicherweise nicht in der Lage, diese Informationen aus einem verschlüsselten Paket abzufragen.
  • Herkömmliche Lösungen für dieses Problem sind aus einer Reihe von Gründen nicht zufrieden stellend. Eine Lösung könnte zum Beispiel darin bestehen, verschlüsselte Pakete in UDP- oder TCP-Pakete einzukapseln, bevor eine NAT ausgeführt wird. Dies wäre jedoch ein firmenspezifisches Verfahren, für dessen Ausführung viele herkömmliche Netzknoten möglicherweise nicht konfiguriert sind. Eine andere Lösung könnte darin bestehen, ein NAT-Gerät als Teil der sicheren Verbindung einzubeziehen. Dies könnte eine potentielle Sicherheitsverletzung verursachen, da Benutzer des NAT-Gerätes Zugang zu Informationen gewinnen können, die über die sichere Verbindung gesendet werden.
  • Ausführungsformen der Erfindung, die im Folgenden ausführlicher beschrieben werden, können Adressübersetzungen über sichere Verbindungen auf eine Art und Weise bewerkstelligen, welche diese und andere Probleme verringern oder beseitigen kann. Bei einer Ausführungsform der Erfindung kann ein Adressmanager für sichere Verbindungen (Secure Connection Address Manager, SCAM) eine Liste von sicheren Verbindungen zwischen internen Knoten und externen Knoten verwalten. Diese Liste kann hier als eine "Flussliste" bezeichnet werden. Ein "Fluss" kann in diesem Kontext zum Beispiel einen Fluss von Paketen bezeichnen, der mit einer sicheren Verbindung verknüpft ist oder eine solche umfasst. Der SCAM kann eine Flussliste erzeugen, indem er eine Überwachung bezüglich eines bestimmten verschlüsselten Paketes durchführt, welches den Beginn eines Flusses kennzeichnet. Bei einer Ausführungsform der Erfindung führt der SCAM eine Überwachung bezüglich eines ESP-Pakets durch, das eine Sequenznummer eins (1) hat. Normalerweise gibt das ESP mit dieser Sequenznummer den Beginn eines Flusses von Paketen an. Der SCAM zeichnet dann eine Kennung für das ESP-Paket zusammen mit einem Zeitstempel, der angibt, wann das ESP-Paket empfangen wurde, als Teil der Flussliste auf. Ein Beispiel für die Kennung kann ein Sicherheitsparameterindex (Security Parameter Index, SPI) sein, welcher verwendet wird, um zu helfen, ein ESP-Paket zu identifizieren. Jedes Mal, wenn der SCAM ein ESP-Paket von einem externen Knoten mit einer externen Adresse als Zieladresse für einen der internen Knoten in einem LAN empfängt, kann der SCAM versuchen, eine Kennung für das ESP-Paket des externen Knotens mit einer Kennung für ein ESP-Paket zu paaren, die in der Flussliste gespeichert ist. Zum Beispiel kann der SCAM eine ESP-Paket-Kennung, die den ältesten Zeitstempel hat, aus der Flussliste wählen. Bei einer alternativen Ausführungsform der Erfindung kann der SCAM bestimmen, welcher ISAKMP-Fluss am aktivsten ist, und das Paket dementsprechend zu der betreffenden internen Adresse weiterleiten. Die Ausführungsformen der Erfindung können weiter unten ausführlicher beschrieben werden.
  • Es ist anzumerken, dass eine beliebige Bezugnahme auf "eine Ausführungsform" in der Patentbeschreibung in diesem Kontext bedeutet, dass ein bestimmtes Merkmal, eine Struktur oder charakteristische Eigenschaft, die in Verbindung mit der Ausführungsform beschrieben ist, in wenigstens einer Ausführungsform der Erfindung enthalten sein kann. Die an verschiedenen Stellen in der Patentbeschreibung verwendete Formulierung "bei einer Ausführungsform" bezieht sich nicht notwendigerweise immer auf dieselbe Ausführungsform.
  • Es wird nun im Einzelnen auf die Zeichnungen Bezug genommen, in denen gleiche Teile durchgehend mit denselben Bezugszeichen bezeichnet sind; in 1 ist ein System dargestellt, das für die praktische Realisierung einer Ausführungsform der Erfindung geeignet ist. 1 ist ein Blockschaltbild eines Systems 100, das einen Netzknoten 102 umfasst, der mit einem Netz 104 verbunden ist. Ein Netzknoten 106 kann mit dem Netz 104 verbunden sein, ebenso wie Netzknoten 110 und 112 über ein LAN 108. Obwohl 1 eine begrenzte Anzahl von Netzknoten zeigt, ist es klar, dass eine beliebige Anzahl von Netzknoten in dem System 100 verwendet werden kann und nach wie vor in den Schutzbereich der Erfindung fällt. Ferner können der Begriff "Verbindung" und Varianten davon in diesem Kontext physikalische Verbindungen und/oder logische Verbindungen bezeichnen.
  • Bei einer Ausführungsform der Erfindung kann der Netzknoten 102 ein Quellknoten sein, der in der Lage ist, eine sichere Verbindung mit einem Zielknoten zu konfigurieren, wie etwa dem Netzknoten 110 und/oder 112. Der Netzknoten 102 kann ein Beispiel eines externen Knotens wie oben beschrieben sein. Der Netzknoten 106 kann ein Netzknoten wie etwa ein Router sein, der dafür konfiguriert ist, eine NAT für die Netzknoten 110 und 112 auszuführen. Bei einer Ausführungsform der Erfindung umfasst das LAN 108 Netzknoten 106, 110 und 112, die dafür konfiguriert sind, miteinander zum Beispiel gemäß einem oder mehreren Ethernet-Protokollen zu kommunizieren. Die Netzknoten 110 und 112 können Beispiele eines internen Knotens wie oben beschrieben sein. Bei einer Ausführungsform der Erfindung kann das Netz 104 Netzknoten umfassen, die dafür konfiguriert sind, Informationen gemäß einem oder mehreren Internet-Protokollen zu übermitteln, wie etwa gemäß der TCP/IP-Spezifikation.
  • Bei einer Ausführungsform der Erfindung kann der Netzknoten 102 dafür konfiguriert sein, eine sichere Verbindung mit einem anderen Netzknoten herzustellen, wie etwa dem Netzknoten 110 oder 112. Die Netzknoten 110 und 112 können ebenfalls dafür konfiguriert sein, eine sichere Verbindung mit einem anderen Netzknoten herzustellen, wie etwa dem Netzknoten 102. Bei einer Ausführungsform der Erfindung können die Netzknoten 102, 110 und 112 eine sichere Verbindung gemäß der ISAKMP-Spezifikation und der ESP-Spezifika tion erzeugen, obwohl die Ausführungsformen der Erfindung in diesem Zusammenhang nicht eingeschränkt sind.
  • 2 ist ein Blockschaltbild eines Knotens gemäß einer Ausführungsform der Erfindung. 2 zeigt einen Knoten 200, welcher für einen beliebigen in 1 dargestellten Netzknoten repräsentativ sein kann, einschließlich des Netzknotens 106, der dafür konfiguriert ist, ein NAT auszuführen. Der Netzknoten 106 kann eine NAT zum Beispiel gemäß der Informationsspezifikation mit dem Titel "Traditional IP Network Address Translator" ausführen, die durch die RFC 2022 definiert ist, die im Januar 2001 veröffentlicht wurde ("NAT-Spezifikation"), in der durch die hier dargelegten Prinzipien modifizierten Form.
  • Der Knoten 200 kann eine Computerplattform umfassen. Bei dieser Ausführungsform der Erfindung umfasst der Knoten 200 einen Prozessor 202, eine Eingangs-/Ausgangs-(E/A-) Adapter 204, eine Bedienerschnittstelle 206 und einen Speicher 210. Der Speicher 210 kann Computerprogrammanweisungen und Daten speichern. Der Prozessor 202 kann Programmanweisungen ausführen und die Daten verarbeiten, die im Speicher 210 gespeichert sind. Der E/A-Adapter 204 kann mit anderen Geräten kommunizieren und über eine Verbindung 224 Daten in einen und aus einem Zwischenknoten 200 übertragen. Die Bedienerschnittstelle 206 kann eine Schnittstelle zwischen einem Benutzer und einem Betriebssystem 216 zur Verfügung stellen. Die Bedienerschnittstelle 206 kann Befehle zwischen dem Benutzer und dem Betriebssystem 216 übertragen und stellt dem Benutzer Zustandsinformationen zur Verfügung. Sämtliche Elemente sind durch einen Bus 208 miteinander verbunden, welcher ermöglicht, dass Daten zwischen den Elementen übertragen werden. Der E/A-Adapter 204 kann einen oder mehrere E/A-Adapter oder Netzschnittstellen repräsentieren, welche mit Lokalnetzen oder Weitverkehrsnetzen verbunden sein können, wie zum Beispiel dem Netz 200. Daher kann die Verbindung 224 eine Verbindung zu einem Netz oder eine direkte Verbindung zu einem anderen Gerät darstellen. Es ist klar, dass der Knoten 200 eine beliebige Anzahl von E/A-Adaptern und Verbindungen von der Art des E/A-Adapters 204 und der Verbindung 224 aufweisen kann und nach wie vor in den Schutzbereich der Erfindung fällt.
  • Der Prozessor 202 kann ein Prozessor eines beliebigen Typs sein, der in der Lage ist, die Geschwindigkeit und den Funktionsumfang zur Verfügung zu stellen, die gewünscht werden, um Ausführungsformen der Erfindung zu implementieren. Zum Beispiel kann der Prozessor 202 ein Prozessor aus einer Familie von Prozessoren sein, die von Intel Corporation, Motorola, Compaq, AMD Corporation und Sun Microsystems hergestellt werden.
  • Der Speicher 210 kann beliebige Medien umfassen, die in der Lage sind, Anweisungen zu speichern, die so beschaffen sind, dass sie von einem Prozessor ausgeführt werden können. Zu den Beispielen für solche Medien gehören unter anderem Nur-Lese-Speicher (Read-Only Memory, ROM), Direktzugriffsspeicher (Random Access Memory, RAM), programmierbarer ROM, löschbarer programmierbarer ROM, elektronisch löschbarer, programmierbarer ROM, dynamischer RAM, Magnetplatte (z.B. Diskette und Festplattenlaufwerk), optische Platte (z.B. CD-ROM) und beliebige andere Geräte oder Signale, welche digitale Informationen speichern können. Bei einer Ausführungsform können die Anweisungen auf dem Medium in einem komprimierten und/oder verschlüsselten Format gespeichert sein. Die Formulierung "so beschaffen, dass sie von einem Prozessor ausgeführt werden können" wird hier in dem Sinne verwendet, dass sie Anweisungen umfasst, die in einem komprimierten und/oder verschlüsselten Format gespeichert sind, sowie Anweisungen, welche kompiliert oder von einem Installationsprogramm installiert werden können, bevor sie von dem Prozessor ausgeführt werden. Ferner kann der Knoten 200 über andere E/A-Steuerungen verschiedene Kombinationen von maschinenlesbaren Speichergeräten enthal ten, auf welche durch den Prozessor 202 zugegriffen werden kann und welche in der Lage sind, eine Kombination von Computerprogrammanweisungen und Daten zu speichern.
  • Bei einer Ausführungsform der Erfindung umfasst der Speicher 210 ein Betriebssystem 216, eine Programmpartition 212 und eine Datenpartition 214. Die Programmpartition 212 kann Programmanweisungen speichern und deren Ausführung durch den Prozessor 202 ermöglichen, welche die Funktionen jedes jeweiligen Knotens hier beschriebenen Knotens implementieren, wie etwa der Netzknoten 102, 106, 110 und 112. Die Datenpartition 214 kann Daten speichern, die während der Ausführung von Programmanweisungen verwendet werden sollen.
  • Der E/A-Adapter 204 kann eine Netzschnittstelle sein, welche eine beliebige geeignete Technologie zur Steuerung von Kommunikationssignalen zwischen Netzgeräten unter Verwendung einer gewünschten Menge von Kommunikationsprotokollen, Diensten und Arbeitsabläufen umfassen kann. Bei einer Ausführungsform der Erfindung arbeitet der E/A-Adapter 204 gemäß der TCP/IP-Spezifikation, obwohl die Ausführungsformen der Erfindung in diesem Zusammenhang nicht beschränkt sind.
  • Der E/A-Adapter 204 weist außerdem Verbinder zum Verbinden des E/A-Adapters 204 mit einem geeigneten Kommunikationsmedium auf. Für Fachleute ist klar, dass der E/A-Adapter 204 Informationssignale über ein beliebiges geeignetes Kommunikationsmedium empfangen kann, wie etwa eine verdrillte Doppelleitung, ein Koaxialkabel, einen Lichtwellenleiter, Funkfrequenzen und so weiter.
  • 3 ist ein Blockschaltbild einer Programmpartition gemäß einer Ausführungsform der Erfindung. 3 zeigt eine Programmpartition, welche für die Programmpartition 212 repräsentativ sein kann, wobei die Programmpartition einen Adressmanager für sichere Verbindungen (Secure Con nection Address Manager, SCAM) 300 aufweist. Bei dieser Ausführungsform kann der SCAM 300 Programmanweisungen enthalten, um eine Adressübersetzung für sichere Verbindungen über ein NAT-Gerät, wie etwa den Netzknoten 106, zu bewerkstelligen. Genauer, der SCAM 300 kann drei Mengen von Programmanweisungen benutzen, die hier als ein Flussmodul 302, ein Übersetzungsmodul 304 bzw. ein Kommunikationsmodul 306 bezeichnet werden. Natürlich ist der Schutzbereich der Erfindung nicht auf diese speziellen Mengen von Anweisungen beschränkt.
  • Die Funktionsweisen der Systeme 100 und 102 sowie der Modele 300, 302, 304 und 306 können unter Bezugnahme auf 4-6 und die beigefügten Beispiele genauer beschrieben werden. Obwohl die 4-6 in der hier dargestellten Form eine bestimmte Verarbeitungslogik enthalten können, ist klar, dass die Verarbeitungslogik lediglich ein Beispiel dafür liefert, wie der allgemeine Funktionsumfang, der hier beschrieben ist, implementiert werden kann. Ferner muss nicht jede Operation innerhalb einer angegebenen Verarbeitungslogik zwangsläufig in der dargestellten Reihenfolge ausgeführt werden, sofern nichts anderes angegeben ist.
  • 4 ist ein erstes Blockflussdiagramm der Verarbeitungslogik, die von einem SCAM gemäß einer Ausführungsform der Erfindung ausgeführt wird. Die Verarbeitungslogik 400 kann ein Verfahren zum Verwalten der Adressübersetzung für sichere Verbindungen veranschaulichen. Ein verschlüsseltes Paket mit einer Kennung und einer externen Adresse, welche mehrere interne Adressen repräsentiert, wird in einem Block 402 empfangen. Eine der internen Adressen wird im Block 404 ausgewählt. Das verschlüsselte Paket wird im Block 406 zu der ausgewählten internen Adresse übertragen.
  • 5 ist ein zweites Blockflussdiagramm der Verarbeitungslogik, die von einem SCAM gemäß einer Ausführungsform der Erfindung ausgeführt wird. Die Verarbeitungslogik 500 kann ein Verfahren zum Verwalten der Adressübersetzung für sichere Verbindungen veranschaulichen, und insbesondere zum Auswählen einer internen Adresse aus einer Flussliste. Eine Liste von Kennungen mit zugehörigen Zeiten kann im Block 502 durchsucht werden. Eine Kennung mit einer frühesten Zeit kann im Block 504 ausgewählt werden. Eine interne Adresse, die mit der ausgewählten Kennung verknüpft ist, kann im Block 506 abgerufen werden.
  • Bei einer Ausführungsform der Erfindung kann eine Liste wie folgt durchsucht werden. Zuerst wird eine Flussliste erzeugt. Die erzeugte Liste kann dann durchsucht werden. Die Liste kann erzeugt werden, indem ein verschlüsseltes Paket, das eine vorgegebene Sequenznummer und eine Kennung aufweist, von einem Gerät empfangen wird, das mit einer der oben erwähnten internen Adressen verknüpft ist. Es wird eine Bestimmung hinsichtlich einer Zeit vorgenommen, zu der das Paket empfangen wurde. Die Zeit und die interne Adresse können mit der Kennung verknüpft werden und in einem Speicher gespeichert werden.
  • Bei einer Ausführungsform der Erfindung kann das Paket zum Beispiel gemäß der ISAKPM-Spezifikation verschlüsselt sein. Das verschlüsselte Paket kann zum Beispiel ein ESP-verschlüsseltes Paket sein. Die Kennung kann zum Beispiel ein SPI sein.
  • Bei einer Ausführungsform der Erfindung wird möglicherweise keine interne Adresse für das verschlüsselte Paket gefunden, oder das verschlüsselte Paket kann an die falsche interne Adresse gesendet worden sein. In diesem Falle kann das NAT-Gerät eine Nachricht empfangen, dass das verschlüsselte Paket an eine falsche interne Adresse gesendet wurde, und ein Aktivitätsniveau für jeden Tunnel bestimmen, der an irgendeinem Gerät endet, das durch die mehreren internen Adressen repräsentiert wird. Das verschlüsselte Paket kann dann zu einer internen Adresse übermittelt werden, die einen Tunnel mit einem höchsten Aktivitätsniveau aufweist.
  • 6 ist ein drittes Blockflussdiagramm der Verarbeitungslogik, die von einem SCAM gemäß einer Ausführungsform der Erfindung ausgeführt wird. Die Verarbeitungslogik 600 kann ein Verfahren zum Verwalten der Adressübersetzung für sichere Verbindungen veranschaulichen. Eine Liste von Kennungen kann im Block 602 erzeugt werden. Jede Kennung in der Liste kann einen Tunnel repräsentieren, der an einem Gerät mit einer internen Adresse endet. Jede der internen Adressen wird im Block 604 in eine externe Adresse übersetzt. Ein verschlüsseltes Paket, welches die externe Adresse aufweist, kann im Block 606 empfangen werden. Eine der internen Adressen kann im Block 608 unter Verwendung der Liste von Kennungen ausgewählt werden. Das verschlüsselte Paket kann im Block 610 zu der ausgewählten internen Adresse übermittelt werden.
  • Die Funktionsweisen der Systeme 100 und 102 sowie der Modele 300, 302, 304 und 306 können unter Verwendung des folgenden Beispiels noch weiter beschrieben werden. Angenommen, ein Netzknoten wie etwa der Netzknoten 110 wird angewiesen, eine sichere Verbindung mit dem Netzknoten 102 herzustellen. Der Netzknoten 112 kann für die sichere Verbindung zum Beispiel gemäß der ISAKMP-Spezifikation verhandeln. Zum Beispiel kann die ISAKMP-Spezifikation die Protokollaustausche vorsehen, um eine sichere Verbindung zwischen verhandelnden Entitäten herzustellen, gefolgt von der Herstellung einer sicheren Verbindung durch diese verhandelnden Entitäten auf der Basis irgendeines Protokolls. Ein Beispiel eines solchen Protokolls kann ein Protokoll sein, wie es in der ESP-Spezifikation dargelegt ist. Zuerst ermöglicht ein Anfangs-Protokollaustausch, dass eine Grundmenge von Sicherheitsattributen vereinbart wird. Diese Grundmenge gewährleistet einen Schutz für anschließende ISAKMP-Austausche. Sie gibt außerdem das Authentifi zierungsverfahren und den Schlüsselaustausch an, welche als Teil des ISAKMP-Protokolls ausgeführt werden sollen. Nachdem die Grundmenge von Sicherheitsattributen vereinbart worden ist, eine Anfangskennung authentifiziert worden ist und erforderliche Schlüssel erzeugt worden sind, kann die hergestellte SA für nachfolgende Übertragungen durch die Entität, welche ISAKMP aufgerufen hat, verwendet werden.
  • Als Teil des Verhandlungsprozesses zum Aufbauen der sicheren Verbindung kann der Netzknoten 110 beginnen, Pakete über den Netzknoten 106 zum Netzknoten 102 zu senden. Bei einer Ausführungsform der Erfindung ist der Netzknoten 106 ein Router, der dafür konfiguriert ist, NAT zum Beispiel gemäß der NAT-Spezifikation auszuführen. Der Netzknoten 106 kann auch mit einem SCAM konfiguriert sein, wie etwa einem SCAM 3000. Der Netzknoten 106 kann die Quell-/Zieladressen und die Quell-/Zielports für den UDP-Fluss mitteilen, die für das ISAKMP verwendet wurden. Der Netzknoten 106 kann die interne Adresse für den Netzknoten 110 in eine einzige externe Adresse übersetzen, die von dem Netzknoten 106 für alle von dem LAN 108 stammenden Pakete verwendet wird.
  • In ähnlicher Weise werde angenommen, dass der Netzknoten 112 ebenfalls den Verhandlungsprozess für eine sichere Verbindung zum Netzknoten 102 über den Netzknoten 106 unter Verwendung von ISAKMP beginnt. Der Netzknoten 106 kann denselben Benachrichtigungs- und Übersetzungsprozess ausführen, der für die sichere Verbindung des Netzknotens 110 ausgeführt wurde. Falls der UDP-Quellport für den Netzknoten 112 derselbe ist wie der UDP-Quellport für den Netzknoten 110, wird er zu einem nicht verwendeten Wert übersetzt.
  • Angenommen, der Netzknoten 110 sendet sein erstes verschlüsseltes ESP-Paket. Das Flussmodul 302 kann das ESP-Paket verwenden, um eine Flussliste zu erzeugen. Die Flussliste kann zum Beispiel durch Inspizieren der Verhandlung einer sicheren Verbindung erzeugt werden. In diesem Bei spiel kann eine sichere Verbindung gemäß der ISAKMP-Spezifikation erzeugt werden. Gemäß der ISAKMP-Spezifikation werden alle sicheren Verbindungen unter Verwendung einer speziellen Portnummer erzeugt, welche Port 500 ist. Das Flussmodul 302 kann dafür konfiguriert sein, alle Flüsse zu überwachen, die einen Zielport das abgehenden Verkehrs 500 oder einen Quellport des ankommenden Verkehrs 500 haben, und einen SPI für alle ESP-Pakete abrufen, die eine bestimmte Sequenznummer haben, wie etwa die Sequenznummer 1. Dieses Paket kennzeichnet normalerweise den Beginn eines Flusses. Das Flussmodul 302 des SCAM 300 kann dieses ESP-Paket empfangen und seinen SPI abrufen. Das Flussmodul 302 kann dann den abgerufenen SPI und einen Zeitstempel in seiner Flusstabelle speichern, zusammen mit der internen Adresse für den Netzknoten 110. Das ESP-Paket kann dann zu dem Netzknoten 102 weitergeleitet werden, zum Beispiel durch das Kommunikationsmodul 306.
  • Angenommen, der Netzknoten 112 sendet sein erstes ESP-Paket. Das Flussmodul kann dann einen neuen Eintrag in der Flusstabelle erzeugen, indem es den SPI und den Zeitstempel für dieses Paket und die interne Adresse des Netzknotens 112 verwendet.
  • Der Netzknoten 102 kann sein erstes ESP-Paket an den Netzknoten 106 senden. Der Netzknoten 102 tut dies, da die Zieladresse, die er aus den ESP-Paketen empfangen hat, die von den Netzknoten 110 und 112 an ihn gesendet wurden, eine einzige externe Adresse war, die den Netzknoten 106 identifiziert. Der Netzknoten 106 muss nun bestimmen, ob das ESP-Paket vom Netzknoten 102 für den Netzknoten 110 oder den Netzknoten 112 bestimmt ist. Das Übersetzungsmodul 304 des SCAM 300 kann dies bewerkstelligen, indem es nach dem ältesten nicht gepaarten ESP-Paket in der Flussliste sucht, das eine Sequenznummer 1 hat. Da das älteste ESP-Paket dasjenige von dem Netzknoten 110 war, ruft das Übersetzungsmodul 304 die interne Adresse für den Netzknoten 110 ab und gibt diese Information an das Kommunikationsmodul 306 weiter. Das Kommunikationsmodul 306 kann das ESP-Paket vom Netzknoten 102 unter Verwendung der abgerufenen internen Adresse zum Netzknoten 110 weiterleiten. Danach kann der Netzknoten 106 Pakete, welche denselben SPI wie das erste ESP-Paket haben, an dieselbe interne Adresse weiterleiten.
  • Der Netzknoten 102 kann ein zweites ESP-Paket an den Netzknoten 106 senden. Der Netzknoten 106 muss nun erneut bestimmen, ob das ESP-Paket vom Netzknoten 102 für den Netzknoten 110 oder den Netzknoten 112 bestimmt ist. Das Übersetzungsmodul 304 greift auf seine Flusstabelle zu, um nach dem ältesten nicht gepaarten ESP-Paket in der Flussliste zu suchen, das eine Sequenznummer 1 hat. Dies ist das ESP-Paket vom Netzknoten 112. Das Übersetzungsmodul 304 ruft die interne Adresse für den Netzknoten 112 ab und gibt diese Information an das Kommunikationsmodul 306 weiter. Das Kommunikationsmodul 306 kann das ESP-Paket vom Netzknoten 102 unter Verwendung der abgerufenen internen Adresse zum Netzknoten 112 weiterleiten. Danach kann der Netzknoten 106 Pakete, welche denselben SPI wie das zweite ESP-Paket haben, an dieselbe interne Adresse weiterleiten.
  • Obwohl gewisse Merkmale der Ausführungsformen der Erfindung hier dargestellt und beschrieben wurden, sind für Fachleute nun viele Modifikationen, Substitutionen, Änderungen und Äquivalente denkbar. Es versteht sich daher, dass die beigefügten Ansprüche alle solchen Modifikationen und Änderungen, die in den Schutzbereich der Ansprüche fallen, mit einschließen sollen.

Claims (17)

  1. Verfahren zum Verwalten sicherer Verbindungen, welches umfasst: Empfangen eines ersten verschlüsselten Anfangspakets, das von einem internen Knoten (110, 112) gesendet wird und an einen sicheren Port eines externen Knotens (102) adressiert ist; Aufzeichnen eines nicht gepaarten Flusses, der eine interne Netzadresse und eine Sicherheitskennung, die mit dem ersten verschlüsselten Anfangspaket verknüpft sind, und Zeitstempel umfasst, in einer Liste, um eine sichere Verbindung zwischen dem internen Knoten (110, 112) und dem externen Knoten (102) zu bezeichnen; Empfangen eines zweiten verschlüsselten Anfangspakets, das eine Sicherheitskennung und eine externe Netzadresse aufweist, welche mehrere interne Netzadressen repräsentiert; Übersetzen der externen Netzadresse des zweiten verschlüsselten Anfangspakets durch Wählen einer der internen Netzadressen, die mit einem ältesten nicht gepaarten Fluss oder einem aktivsten nicht gepaarten Fluss, der in der Liste aufgezeichnet ist, verknüpft ist; Übermitteln des zweiten verschlüsselten Anfangspakets zu der gewählten internen Netzadresse; und Weiterleiten eines nachfolgenden verschlüsselten Pakets, das eine Sicherheitskennung aufweist, welche mit der Sicherheitskennung des zweiten verschlüsselten Anfangspakets übereinstimmt, zu der internen Netzadresse.
  2. Verfahren nach Anspruch 1, welches ferner umfasst: Durchsuchen einer Liste von Sicherheitskennungen mit dazugehörigen Empfangszeiten; Wählen einer Sicherheitskennung, die eine früheste Empfangszeit aufweist; und Abrufen der internen Adresse, die mit der gewählten Sicherheitskennung verknüpft ist.
  3. Verfahren nach Anspruch 2, welches ferner umfasst: Erzeugen der Liste; und Durchsuchen der erzeugten Liste.
  4. Verfahren nach Anspruch 3, wobei das Erzeugen umfasst: Empfangen eines verschlüsselten Pakets, das eine vorgegebene Laufnummer und eine Sicherheitskennung aufweist, von einem Gerät, das mit einer der internen Netzadressen verknüpft ist; Bestimmen einer Zeit, zu der das verschlüsselte Paket empfangen wurde; Verknüpfen der Zeit und der internen Adresse mit der Sicherheitskennung; und Speichern der Sicherheitskennung mit der zugehörigen Zeit und der zugehörigen internen Netzadresse.
  5. Verfahren nach Anspruch 1, wobei das Paket gemäß dem Internet Security Association And Key Management Protocol, ISAKMP, verschlüsselt ist.
  6. Verfahren nach Anspruch 1, wobei das verschlüsselte Paket ein gemäß Internet-Protokoll, IP, Encapsulating Security Payload, ESP, verschlüsseltes Paket ist.
  7. Verfahren nach Anspruch 1, wobei die Sicherheitskennung ein Sicherheitsparameterindex (Security Parameter Index), SPI, ist.
  8. Verfahren nach Anspruch 1, wobei die Sicherheitskennung einen Tunnel zwischen zwei Geräten repräsentiert und das Verfahren ferner umfasst: Empfangen einer Nachricht, dass das verschlüsselte Paket zu einer falschen internen Netzadresse übermittelt wurde; Bestimmen von Aktivitätsniveaus für jeden Tunnel, der an irgendeinem Gerät endet, das durch die mehreren internen Netzadressen repräsentiert wird; und Übermitteln des verschlüsselten Pakets zu einer internen Netzadresse, die einen Tunnel mit einem höchsten Aktivitätsniveau aufweist.
  9. Verfahren nach einem der Ansprüche 1 bis 8, welches ferner umfasst: Erzeugen einer Liste von nicht gepaarten Flüssen, die Sicherheitskennungen zum Bezeichnen sicherer Verbindungen umfassen, durch Speichern von Sicherheitskennungen in Reaktion auf das Empfangen von verschlüsselten Anfangspaketen, die an einen sicheren Port adressiert sind, wobei jede Sicherheitskennung einen Tunnel repräsentiert, der an einem Gerät mit einer internen Netzadresse endet.
  10. Manager für sichere Verbindungen (300), welcher umfasst: ein Flussmodul (302) zum Erzeugen einer Liste von nicht gepaarten Flüssen, die Sicherheitskennungen zum Bezeichnen sicherer Verbindungen umfassen, durch Speichern von Sicherheitskennungen und Zeitstempeln in Reaktion auf das Empfangen von verschlüsselten Anfangspaketen, die an einen sicheren Port adressiert sind, wobei jede Sicherheitskennung einen sicheren Fluss repräsentiert, der an einem Gerät mit einer internen Netzadresse endet; und ein Übersetzungsmodul (304) zum Wählen einer internen Netzadresse für ein verschlüsseltes Paket, das eine externe Netzadresse und eine Sicherheitskennung aufweist, wobei die interne Netzadresse mit einem ältesten nicht gepaarten Fluss oder einem aktivsten nicht gepaarten Fluss aus der Liste verknüpft ist, und zum Übersetzen der externen Netzadresse in die interne Netzadresse für ein nachfolgendes verschlüsseltes Paket, das eine Sicherheitskennung aufweist, welche mit der Sicherheitskennung des verschlüsselten Anfangspakets übereinstimmt.
  11. Manager für sichere Verbindungen (300) nach Anspruch 10, welcher ferner umfasst: ein Übermittlungsmodul (306) zum Übermitteln des verschlüsselten Pakets zu der gewählten internen Netzadresse.
  12. System zum Verwalten sicherer Verbindungen, welches umfasst: einen ersten Netzknoten (102) zum Senden verschlüsselter Pakete an eine externe Netzadresse; einen zweiten Netzknoten (106), der den Manager für sichere Verbindungen (300) nach Anspruch 10 oder 11 umfasst; und einen dritten Netzknoten (110, 112) mit einer internen Netzadresse zum Empfangen der verschlüsselten Pakete.
  13. System nach Anspruch 12, wobei der zweite Netzknoten (106) ein Router ist, der so konfiguriert ist, dass er eine NAT-Adressübersetzung (Natural Address Translation) durchführt.
  14. System nach Anspruch 12, wobei der erste (102) und die dritten Netzknoten (110, 112) so konfiguriert sind, dass sie unter Verwendung eines Tunnels kommunizieren, der gemäß dem Internet Security Association And Key Management Protocol, ISAKMP, erzeugt wurde.
  15. System nach Anspruch 12, wobei die verschlüsselten Pakete gemäß Internet-Protokoll, IP, Encapsulating Security Payload, ESP, verschlüsselte Pakete sind.
  16. System nach Anspruch 12, wobei der zweite Netzknoten (106) die Übersetzung unter Verwendung einer Liste von Flusskennungen ausführt, wobei jede Flusskennung einen Sicherheitsparameterindex (Security Parameter Index), SPI, repräsentiert und eine zugehörige interne Adresse und Empfangszeit aufweist.
  17. Artikel, welche umfasst: ein Speichermedium; wobei das Speichermedium gespeicherte Anweisungen enthält, welche, wenn sie von einem Prozessor ausgeführt werden, bewirken, dass eine sichere Verbindung verwaltet wird, indem das Verfahren nach einem der Ansprüche 1 bis 9 ausgeführt wird.
DE60221557T 2001-11-07 2002-10-31 Methode und gerät zur adressenübersetzung für gesicherte verbindungen Expired - Lifetime DE60221557T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/005,972 US7159109B2 (en) 2001-11-07 2001-11-07 Method and apparatus to manage address translation for secure connections
US5972 2001-11-07
PCT/US2002/035228 WO2003041268A2 (en) 2001-11-07 2002-10-31 Method and apparatus to manage address translation for secure connections

Publications (2)

Publication Number Publication Date
DE60221557D1 DE60221557D1 (de) 2007-09-13
DE60221557T2 true DE60221557T2 (de) 2008-04-24

Family

ID=21718646

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60221557T Expired - Lifetime DE60221557T2 (de) 2001-11-07 2002-10-31 Methode und gerät zur adressenübersetzung für gesicherte verbindungen

Country Status (8)

Country Link
US (1) US7159109B2 (de)
EP (1) EP1444775B1 (de)
CN (1) CN100576849C (de)
AT (1) ATE368956T1 (de)
AU (1) AU2002348164A1 (de)
DE (1) DE60221557T2 (de)
TW (1) TWI225345B (de)
WO (1) WO2003041268A2 (de)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI118170B (fi) 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
CN1232080C (zh) * 2002-05-15 2005-12-14 华为技术有限公司 网络中节省ip地址提供内部服务器的方法
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
AU2003239220A1 (en) 2002-06-10 2003-12-22 Akonix Systems, Inc. Systems and methods for a protocol gateway
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7707401B2 (en) * 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
GB0216000D0 (en) * 2002-07-10 2002-08-21 Nokia Corp A method for setting up a security association
US7603613B2 (en) * 2005-02-17 2009-10-13 Samsung Electronics Co., Ltd. Viterbi decoder architecture for use in software-defined radio systems
WO2007056691A2 (en) 2005-11-03 2007-05-18 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
JP2007165990A (ja) * 2005-12-09 2007-06-28 Hitachi Ltd Ipアドレス変換方法及び情報処理装置
US8069401B2 (en) * 2005-12-21 2011-11-29 Samsung Electronics Co., Ltd. Equalization techniques using viterbi algorithms in software-defined radio systems
US7809003B2 (en) * 2007-02-16 2010-10-05 Nokia Corporation Method for the routing and control of packet data traffic in a communication system
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
US9369302B1 (en) * 2008-06-24 2016-06-14 Amazon Technologies, Inc. Managing communications between computing nodes
WO2010054471A1 (en) 2008-11-17 2010-05-20 Sierra Wireless, Inc. Method and apparatus for network port and network address translation
US8228848B2 (en) * 2008-11-17 2012-07-24 Sierra Wireless, Inc. Method and apparatus for facilitating push communication across a network boundary
US8924486B2 (en) * 2009-02-12 2014-12-30 Sierra Wireless, Inc. Method and system for aggregating communications
EP2673927A4 (de) 2011-02-08 2016-08-24 Sierra Wireless Inc Verfahren und system zur datenweiterleitung zwischen netzwerkvorrichtungen
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) * 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) * 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11095617B2 (en) 2017-12-04 2021-08-17 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
US11075888B2 (en) * 2017-12-04 2021-07-27 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
US11347561B1 (en) 2018-04-30 2022-05-31 Vmware, Inc. Core to resource mapping and resource to core mapping
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11277343B2 (en) 2019-07-17 2022-03-15 Vmware, Inc. Using VTI teaming to achieve load balance and redundancy
US11509638B2 (en) 2019-12-16 2022-11-22 Vmware, Inc. Receive-side processing for encapsulated encrypted packets
US11425043B2 (en) 2020-06-16 2022-08-23 T-Mobile Usa, Inc. Duplex load balancing for massive IoT applications
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6119171A (en) * 1998-01-29 2000-09-12 Ip Dynamics, Inc. Domain name routing
US7058973B1 (en) 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses

Also Published As

Publication number Publication date
CN100576849C (zh) 2009-12-30
US20030088787A1 (en) 2003-05-08
WO2003041268A2 (en) 2003-05-15
US7159109B2 (en) 2007-01-02
EP1444775A2 (de) 2004-08-11
TWI225345B (en) 2004-12-11
AU2002348164A1 (en) 2003-05-19
ATE368956T1 (de) 2007-08-15
EP1444775B1 (de) 2007-08-01
WO2003041268A3 (en) 2004-01-29
DE60221557D1 (de) 2007-09-13
CN1586064A (zh) 2005-02-23

Similar Documents

Publication Publication Date Title
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60028897T2 (de) Verfahren und Vorrichtung zur Umschaltung zwischen zwei Netzwerkzugangstechnologien ohne Unterbrechung der aktiven Netzwerkanwendungen
DE69836271T2 (de) Mehrstufiges firewall-system
DE60114097T2 (de) Verfahren und System zur Verbesserung der Netzleistungsfähigkeit unter Verwendung eines leistungssteigernden Proxies
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
US9571330B2 (en) Computer network system and a method for monitoring and controlling a network
DE60121755T2 (de) Ipsec-verarbeitung
DE69927285T2 (de) Netzverwaltungssystem
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE602005005536T2 (de) Verfahren und Einrichtung zur Verwaltung von Netzwerkadressen für private Sprachkommunikationen
DE10393628T5 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE60311898T2 (de) Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen
DE112020000535B4 (de) Fehlerbehebung innerhalb und außerhalb der eigenen Räumlichkeiten
DE112013000649T5 (de) Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
US20070033641A1 (en) Distributed Network Security System
DE10392807T5 (de) Verfahren und Vorrichtung für eine verbesserte Sicherheit für eine Kommunikation über ein Netzwerk
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition