ES2287697T3 - Metodo de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrion (hip) entre legados y nodos hip. - Google Patents

Metodo de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrion (hip) entre legados y nodos hip. Download PDF

Info

Publication number
ES2287697T3
ES2287697T3 ES04710878T ES04710878T ES2287697T3 ES 2287697 T3 ES2287697 T3 ES 2287697T3 ES 04710878 T ES04710878 T ES 04710878T ES 04710878 T ES04710878 T ES 04710878T ES 2287697 T3 ES2287697 T3 ES 2287697T3
Authority
ES
Spain
Prior art keywords
host
address
hip
representative
team
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES04710878T
Other languages
English (en)
Inventor
Patrik Salmela
Jorma Wall
Petri Jokela
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2287697T3 publication Critical patent/ES2287697T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Cable Transmission Systems, Equalization Of Radio And Reduction Of Echo (AREA)
  • Time-Division Multiplex Systems (AREA)

Abstract

Un método de garantizar, al menos parcialmente, la seguridad de comunicaciones, a través de un equipo representante (16) para protocolo de identidad de anfitrión, HIP, entre un primer anfitrión (12) que no está habilitado para HIP y un segundo anfitrión (14) que está habilitado para HIP, cuyo método comprende: enviar una petición desde el primer anfitrión para resolver la dirección de protocolo de Internet, IP, del segundo anfitrión; en respuesta a dicha petición, recuperar una dirección de IP y una etiqueta de identidad de anfitrión, HIT, asociadas con el segundo anfitrión; en respuesta a dicha recuperación, devolver desde el equipo representante para HIP una dirección de IP sustituta, asociada con el segundo anfitrión; mantener en el equipo representante para HIP una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y al recibirse un mensaje de iniciación de sesión en el equipo representante para HIP procedente del primer anfitrión, queincluya como su dirección de destino la dirección de IP sustituta, utilizar la correspondencia para negociar una conexión a través de HIP entre el equipo representante para HIP y el segundo anfitrión.

Description

Método de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrión (HIP) entre nodos legados y nodos HIP.
Antecedentes del invento 1. Campo del invento
El presente invento se refiere a un método de garantizar, al menos parcialmente, la seguridad de las comunicaciones entre un equipo anfitrión no habilitado para HIP (protocolo de identidad de anfitrión) y otro equipo anfitrión que si esté habilitado para HIP. El presente invento se refiere, también, a un sistema de comunicaciones y a un equipo representante para HIP que utiliza dicho método.
2. Descripción de la técnica relacionada
Cuando se concibió originalmente Internet, los equipos anfitriones tenían posiciones fijas y existía una confianza implícita entre usuarios a pesar de la falta de seguridad real o de protocolos de identificación de los equipos anfitriones, y esta situación se prolongó incluso al crecer su aceptación y el uso de la tecnología. Había poca necesidad de considerar técnicas para enfrentarse a la movilidad de los equipos anfitriones ya que los ordenadores eran relativamente voluminosos e inmóviles.
Al producirse la revolución de la industria de los ordenadores y de las telecomunicaciones, al principio de los años 90, podía disponerse más fácilmente de ordenadores y equipos de comunicaciones más pequeños y el invento de la World Wide Web (red de ámbito mundial) y todos los servicios que nacieron con ella, Internet llegó a ser, finalmente, atractiva para los usuarios medios. La combinación de un creciente uso de la red y de las telecomunicaciones entre móviles creó la necesidad de una gestión segura de la movilidad en Internet.
El creciente número de participantes involucrados y las transacciones monetarias que exigían determinados servicios, generó también la necesidad de un nivel de seguridad incrementado para las aplicaciones. En la actualidad, los protocolos de cifrado más ampliamente utilizados, por ejemplo SSL/TLS, se ejecutan en las capas de nivel superior de la red, por ejemplo TCP.
Teniendo en cuenta las cuestiones de seguridad y de gestión de la movilidad anteriormente mencionadas, se han introducido la norma Mobile IP (IP para móviles) (C. Perkins, "Soporte IP de movilidad para IPv4", RFC 3220, IETF, 2002) y la norma Mobile IPv6 (IP versión 6 para móviles) (D. Johnson, C. Perkins, J. Arkko, "Soporte de movilidad en IPv6", Internet Draft, en elaboración, draft-ietf-mobileip-ipv6.24.txt, IETF, 2003). Estas especificaciones se planificaron, conjuntamente, para proporcionar soporte de movilidad para la Internet de siguiente generación. El trabajo relacionado con la seguridad se lleva a cabo en la forma de IPsec (seguridad de protocolo de Internet), y actividades relacionadas, tales como diversos protocolos de intercambio de claves, siendo el objetivo proporcionar seguridad en la capa IP. Sin embargo, la experiencia ha mostrado que resulta francamente difícil conseguir movilidad y seguridad combinadas observando las normas en vigor.
Una dirección de IP describe una situación topológica de un nodo en la red. La dirección de IP se utiliza para encaminar el paquete del nodo fuente al destino. Al mismo tiempo, la dirección de IP se utiliza, también, para identificar el nodo, ofreciendo dos funciones diferentes en una sola entidad. Es como una persona que responda con la dirección de su propia casa cuando se le pregunta quién es. Cuando se considera, también, la movilidad, la situación se complica todavía más: como en este esquema, las direcciones de IP actúan como identificadores del equipo anfitrión, no deben cambiarse; sin embargo, como las direcciones de IP también describen situaciones topológicas, han de cambiar necesariamente cuando un equipo anfitrión cambia de situación en la red. Evidentemente, es imposible conseguir, al mismo tiempo cambios dinámicos y estabilidad.
En el caso del IP para móviles, la solución es utilizar una posición origen fija que proporcione una "dirección origen" para el nodo. La dirección origen identifica el nodo y, a la vez, proporciona una posición estable cuando se encuentra en origen. La información sobre la posición corriente está disponible en forma de dirección de invitado, que se utiliza con fines de encaminamiento, cuando el nodo está fuera de origen.
Otra solución al problema consiste en separar las funciones de identificación y de localización, y este es el enfoque adoptado en la propuesta de HIP (R. Moskowitz, P. Nikander, P. Jokela, "Protocolo de identidad de anfitrión", Internet Draft, en elaboración, draft-moskowitz-hip-07.txt, IETF, 2003). El HIP separa los papeles de localización e identidad de las direcciones IP introduciendo un nuevo nombre-espacio, la identidad del anfitrión (HI). En el HIP, la identidad del anfitrión es, básicamente, una clave pública de cifrado de un par de claves pública-privada. La clave pública identifica a la parte que mantiene la única copia de la clave privada. Un anfitrión que posea la clave privada del par de claves puede probar directamente que "es propietario" de la clave pública que se utiliza para identificarle en la red. La separación también proporciona medios para gestionar, de manera segura, la movilidad y el multi-origen.
El HIP se describe con mayor detalle en lo que sigue, pero no se trata de la única propuesta basada en la idea de separación de posición e identidad. FARA (D. Clark, R. Braden, A. Falk, V.Pingali, "FARA: Reorganizando la arquitectura de direcciones", ACM SIGCOMM, 2003 Workshops, 25 y 27 de Agosto de 2003) es un modelo generalizado de ideas que proporciona una armazón a partir de la cual puede derivarse la arquitectura real. FARA podría hacer uso del HIP cuando se verifican las identificaciones de nodo y, en consecuencia, HIP podría ser parte de un caso particular de FARA. La propuesta PeerNet (J. Eriksson, M.Faloutsos, S. Krishmamurthy, "Red de iguales: Empujando la relación entre iguales hacia abajo de la pila", IPTPS '03, 20-21 de Febrero de 2003) también describe la separación de posición e identidad. La I^{3} (Internet Indirection Infrastructure'', ACM SIGCOMM '02, 19-23 de Agosto de 2002), también define una separación entre información de identidad y de encaminamiento.
Además, el direccionamiento en conexiones parcialmente basadas en el HIP entre nodos habilitados para HIP y legado se describe en el trabajo de L. Eggert, "Mecanismos de encuentro del protocolo de identidad de anfitrión (HIP)", Internet Draft, draft-eggert-hip-rendezvous.txt, IETF, 2004.
El protocolo de identidad de anfitrión introduce una separación entre la información de posición y la de identidad en la capa IP. Además de la separación, se define un protocolo para negociar asociaciones de seguridad (SA) entre nodos habilitados para HIP.
Con el HIP, cada anfitrión tiene una o más identidades, que pueden adoptarse a largo o a corto plazo, que pueden emplearse para identificarle en la red. Con el HIP, un identificador es la clave pública de par de claves pública-privada. Cuando el anfitrión posee la clave privada, puede probar que realmente es el "propietario" de esta identidad que representa la clave pública; es parecido a enseñar una tarjeta de identidad.
Cada anfitrión puede generar claves a corto plazo para uso durante cortos períodos de tiempo. Son útiles cuando no es necesario que el nodo se identifique ulteriormente con la misma identidad. Por ejemplo, la compra de libros en una librería puede ser una relación a largo plazo, mientras que el ponerse en contacto con un servidor una sola vez para recoger perfiles de usuario, puede considerarse como una acción a corto plazo. En este último caso, puede crearse una identidad a corto plazo para evitar una diseminación más amplia de la identidad a largo plazo.
La identidad de anfitrión (HI) del HIP, al ser una clave pública, puede ser muy larga y, por tanto, no resultar práctica en todas las situaciones. En el HIP, la HI se representa mediante una etiqueta de identidad del anfitrión (HIT) con una longitud de 128 bits, que es generada a partir de la HI, troceándola. Así, la HIT identifica una HI. Como la HIT tiene 128 bits de largo, puede utilizarse para aplicaciones IPv6 directamente, ya que tiene exactamente la misma longitud que las direcciones IPv6.
Cuando se utiliza el HIP, las capas superiores, incluyendo las aplicaciones, ya no ven la dirección de IP. En su lugar, ven la HIT como la "dirección" del anfitrión destino. La información de localización se oculta en una nueva capa, como se describirá más adelante. Las direcciones de IP ya no identifican los nodos; únicamente se las utiliza para encaminar los paquetes en la red.
Las aplicaciones no tienen un interés especial en la información sobre localización, pero necesitan conocer la identidad de sus iguales. La identidad está representada por la HIT. Esto quiere decir que la dirección de IP solamente tiene importancia en las capas inferiores, en lo que respecta al encaminamiento. Las HIT que utilizan las aplicaciones deben hacerse corresponder con las direcciones de IP correspondientes antes de que ningún paquete abandone el anfitrión. Esto se consigue en una nueva capa de identidad de anfitrión, como se describe en lo que sigue.
La figura 1 de los dibujos adjuntos ilustra las diversas capas en HIP, que comprenden la capa estándar 4 de transporte, la capa 8 de red y la capa 10 de enlace, con un proceso 2 que se comunica con la capa 4 de transporte situada debajo de ella. Con el HIP, una nueva capa 6 de identidad de anfitrión está dispuesta entre la capa 4 de transporte y la capa 8 de red.
Localmente, cada HI y su HIT asociada se hacen corresponder con las direcciones de IP del nodo. Cuando los paquetes abandonan el anfitrión, se elige el camino correcto (por cualquier medio que sea) y en el paquete se incorporan las direcciones de IP correspondientes como direcciones de fuente y de destino. Cada paquete que llega de la capa superior contiene la HIT del par como dirección de destino. La correspondencia entre la HIT y la información de posición puede encontrarse en la capa 6 de HI. De ahí, la dirección de destino se convierte en la dirección de IP asignada, y la HIT de la fuente se convierte en la dirección de IP de la fuente.
La asignación de correspondencia entre una HIT de un par y una dirección de IP puede recuperarse de diversas formas, una de las cuales es a partir de un servidor DNS. La información de posición puede ser actualizada por el nodo igual en cualquier momento. El procedimiento de actualización se describirá con más detalle en la subsección de gestión de movilidad.
El HIP define un intercambio de mensajes de base que contiene cuatro mensajes, una iniciación de diálogo de cuatro vías, y éste es utilizado para crear una asociación de seguridad (SA) entre anfitriones habilitados para HIP. Durante el intercambio de mensajes, se utiliza el procedimiento Diffie-Hellman para crear una clave de sesión y para establecer un par de asociaciones de seguridad (AS) para encapsular carga útil de seguridad (ESP) IPsec entre los nodos.
\newpage
La Figura 2 de los dibujos adjuntos ilustra el funcionamiento de la iniciación de diálogo de cuatro vías. Las partes en negociación son el iniciador, que comienza la conexión, y el respondedor. El iniciador comienza la negociación enviando un paquete I1 que contiene las HIT de los nodos que participan en la negociación. La HIT de destino puede, también, ser puesta a cero si la HIT del respondedor no es conocida por el iniciador.
Cuando el respondedor acepta el paquete I1, envía de vuelta un paquete R1 que contiene un rompecabezas que ha de ser resuelto por el iniciador. El protocolo está diseñado de modo que el iniciador debe realizar la mayor parte de los cálculos durante la resolución del rompecabezas. Esto proporciona cierta protección frente a los ataques de DoS El R1 inicia, también, el procedimiento Diffie-Hellman, que contiene la clave pública del respondedor junto con los parámetros Diffie-Hellman.
Una vez recibido el paquete R1, el iniciador resuelve el rompecabezas y envía un fragmento de información en un paquete I2 junto con un valor SPI de IPsec y su clave pública de cifrado al respondedor. El respondedor verifica que se ha resuelto el rompecabezas, autentifica al iniciador y crea las SA de ESP para IPsec. El mensaje R2 final contiene el valor SPI del respondedor.
Las SA entre los anfitriones se limitan a las identidades de anfitrión, representadas por las HIT. Sin embargo, los paquetes que viajan por la red no contienen la información real de HI, sino que el paquete que llega es identificado y se le asigna la correspondencia con la SA correcta utilizando el valor del índice de parámetro de seguridad (SPI) en la cabecera de IPsec. La Figura 3 de los dibujos adjuntos ilustra las estructuras de paquete, lógica y real, cuando viaja por la red.
A partir de lo que antecede, es evidente que cambiando la información de posición del paquete no se origina problema alguno para el tratamiento en IPsec. El paquete sigue estando correctamente identificado mediante el uso del SPI. Si, por alguna razón, el paquete es encaminado a un destino equivocado, el receptor no es capaz de abrirlo al no poseer la clave correcta.
Cuando un paquete saliente llega a la capa de HI desde la capa superior, se verifica la HIT de destino a partir de la SADB (base de datos de asociaciones de seguridad) de IPsec. Si se encuentra una SA que case con la HIT de destino, el paquete es cifrado utilizando la clave de sesión asociada con la SA.
La HIT no puede ser utilizada para encaminar el paquete. Así, las direcciones de destino (y de fuente) deben cambiarse para casar con las direcciones de IP de los nodos. Estas asignaciones de correspondencia se almacenan, como se ha mencionado antes, en la capa de HI. Una vez que se han cambiado las direcciones, el paquete puede ser enviado al red, donde es encaminado al destino utilizando la información sobre la dirección de IP.
En el anfitrión receptor, se utiliza el valor SPI para encontrar la SA correcta a partir de la SADB de Ipsec. Si se encuentra una entrada, las direcciones de IP pueden cambiarse a las HIT correspondientes y puede descifrarse el paquete utilizando la clave de la sesión.
La movilidad se define como la situación en que un anfitrión se mueve mientras mantiene activo su contexto de comunicaciones o, dicho de otro modo, mientras el anfitrión cambia su posición topológica, descrita por la dirección de IP, mientras conserva activas todas las conexiones existentes. Los procesos que se ejecutan en el anfitrión no aprecian la movilidad excepto, posiblemente, si cambia la calidad del servicio que se tiene.
El anfitrión móvil puede cambiar de posición dentro de una red de acceso, entre diferentes tecnologías de acceso o, incluso, entre diferentes regiones de direcciones de IP, por ejemplo entre las redes IPv4 e IPv6. En el HIP, la aplicación no aprecia el cambio de versión de la dirección de IP. La capa de HI oculta completamente el cambio a las capas superiores. Naturalmente, el nodo igual debe ser capaz de tratar la actualización de posición que cambia la versión de IP y los paquetes deben poder ser encaminados utilizando alguna dirección compatible. Si un nodo carece de conectividad IPv4 e IPV6, puede utilizar un equipo representante que realice la conversión de versión de la dirección y proporcione conectividad en nombre del nodo.
Con multi-origen se hace referencia a una situación en la que un punto final tiene varios trayectos de comunicaciones paralelas que puede utilizar. Usualmente, el multi-origen es el resultado de que el anfitrión tenga varias interconexiones de red (multi-origen en anfitrión final) o se debe a que una red entre el anfitrión y el resto de la red tenga trayectos redundantes(multi-origen en un sitio).
Con el HIP, la separación entre la información sobre identidad y sobre posición deja claro que la identificación del paquete y el encaminamiento, pueden separarse una de otro en forma definida. El anfitrión que recibe un paquete identifica al remitente obteniendo, primero, la clave correcta y descifrando luego el paquete. Así, las direcciones de IP que se encuentran en el paquete carecen de importancia.
Un nodo móvil en HIP (HMN) que se desplace en la red puede cambiar su punto de unión a Internet constantemente. Cuando se cambia el punto de conexión, también lo hace la dirección de IP. Esta información sobre la posición cambiada debe ser enviada a los nodos iguales, es decir, los nodos interlocutores en HIP (HCN), y esto se ilustra en la Figura 4 de los dibujos adjuntos. La misma dirección puede ser enviada, también, a un agente transitario (FA) del HMN, de forma que el HMN pueda ser alcanzado, también, a través de un punto más estable. El sistema DNS es demasiado lento para ser utilizado con información que cambie de situación constantemente. Por tanto, debe contarse con una dirección más estable que pueda ser utilizada para conectar el HMN. Esta dirección es la dirección proporcionada por el FA.
El protocolo de multi-origen y de movilidad HIP (P. Nikander, J. Arkko, P. Jokela, "Movilidad de anfitrión final y multi-origen con protocolo de identidad de anfitrión", Internet Draft, en elaboración, draft-nikander-hip-mm-00.txt, IETF. 2003) define un paquete de redirección (REA) que contiene la dirección de IP corriente del HMN. Cuando el HMN cambia de situación y de dirección de IP, genera un paquete de REA, firma el paquete con la clave privada que casa con la HI utilizada y envía el paquete al nodo igual y al FA.
Cuando el nodo igual recibe el paquete de REA, tiene que iniciar un proceso de verificación de dirección para la dirección de IP incluida en el paquete de REA. La verificación de dirección es necesaria para evitar la aceptación de actualizaciones falsas a partir del HMN. Envía un paquete de comprobación de dirección (AC) a la dirección que se encontró en el paquete de REA. Cuando el HMN recibe una AC que casa con la REA enviada anteriormente, responde con un paquete de contestación a la comprobación de dirección (ACR). Después de que el nodo igual ha recibido el paquete de ACR, se completa la verificación de dirección y se puede sumar la dirección de IP como información de situación del HMN.
Como el HMN puede moverse entre redes que utilizan diferentes versiones de dirección de IP, la dirección recibida por el HCN puede ser, también, de una familia de direcciones diferente que la de la dirección previa.
El HCN puede soportar solamente una versión de dirección de IP. En este caso, el HCN debe utilizar algún otro nodo representante que pueda emplearse para encaminar paquetes a la red con otra versión diferente de direcciones de IP.
Un anfitrión HIP multi-origen, con múltiples direcciones de IP configuradas en diferentes interconexiones, conectadas a diferentes redes de acceso, tiene muchas más posibilidades de tratar el tráfico hacia un nodo igual. Como tiene múltiples direcciones de IP que presentan su situación corriente en la red, puede querer hacer llegar todas estas direcciones a sus nodos iguales. Para ello, el nodo HIP multi-origen crea un paquete de REA que contiene todas las direcciones que sea capaz de utilizar hacia ese nodo particular. Este conjunto de direcciones puede contener todas las direcciones que tenga, o un subconjunto de estas direcciones. Cuando el nodo igual recibe el paquete de REA con las direcciones múltiples, debe realizar una verificación de dirección para cada una de estas direcciones con el fin de evitar posibles falsas actualizaciones.
El HCN envía un conjunto de paquetes de AC destinado a las direcciones de IP incluidas en el paquete de REA. Cuando el HMN recibe estas AC, responde a cada una de ellas con ACR. El HCN puede determinar, a partir de los paquetes de ACR recibidos, cuales de las direcciones eran válidas.
Las direcciones falsas, o a las que no se puede realizar un encaminamiento, del paquete de REA, pueden deberse a que el HMN es un nodo malintencionado, a que tiene un error en la ejecución de la pila, o a que el HMN puede encontrarse en una red que utilice direcciones privadas no encaminables en Internet.
Un nodo HIP multi-origen es capaz de utilizar todas las conexiones disponibles, pero el uso eficiente de las conexiones requiere un sistema de política que tenga conocimiento de las redes de acceso subyacentes y pueda controlar el uso de las mismas. Tal sistema de política puede utilizar diferentes clases de información, preferencias de usuario, preferencias de operador, entrada de las conexiones de red, tales como QoS, etc.
Con el fin de iniciar el intercambio de HIP con un nodo móvil, el nodo iniciador ha de conocer cómo alcanzar el nodo móvil. Aunque para esta función podría utilizarse un DNS dinámico para nodos con movimiento infrecuente, una alternativa al uso del DNS en esta forma es la utilización de la pieza de infraestructura estática antes introducida, el agente transitario, denominado también servidor de encuentro HIP). En lugar de registrar su dirección dinámica corriente con el servidor de DNS, el nodo móvil registra la o las direcciones de su o de sus agentes transitarios. El nodo móvil mantiene al o a los agentes transitarios continuamente actualizados con su o sus direcciones de IP corrientes. Un agente transitario simplemente envía el paquete de HIP inicial desde un iniciador al nodo móvil en su posición corriente. Todos los otros paquetes circulan entre el iniciador y el nodo móvil. Típicamente, hay muy poca actividad en un agente transitario, fundamentalmente actualizaciones de direcciones y envío de paquetes HIP. Así, un agente transitario puede soportar gran número de potenciales nodos móviles. Los nodos móviles deben confiar en el agente transitario para mantener apropiadamente sus correspondencias entre direcciones de IP y HIT. Un agente transitario puede ser utilizado, incluso, para nodos que tienen una posición fija ya que, con frecuencia, se da el caso de que nodos fijos puedan cambiar su dirección de IP frecuentemente, por ejemplo, cuando se asigna cada vez que un proveedor de servicios para ese nodo establece una conexión de Internet.
EL agente transitario también es necesario si ambos nodos son móviles y se mueven, ambos, al mismo tiempo. En ese caso, los paquetes de redirección de HIP se cruzarán en la red y nunca alcanzarán el nodo igual. Para resolver esta situación, los nodos deben recordar la dirección del agente transitario y reenviar el paquete de redirección de HIP al agente transitario si no se recibe contestación.
\newpage
El nodo móvil mantiene su dirección corriente en el agente transitario estableciendo una asociación de HIP con el agente transitario y enviándole paquetes de redirección de HIP. Un agente transitario permitirá que dos sistemas móviles utilicen el HIP sin ningún sistema extraño (además del propio agente transitario), incluyendo el DNS si tienen un método que no es una petición al DNS, para conseguir la HI y la HIT del otro.
En el caso de equipo legado, un anfitrión puede no estar habilitado para HIP y la única opción es identificar las conexiones entre los anfitriones que utilizan direcciones de IP. Esto no es seguro. La situación puede mejorarse situando un equipo representante para HIP entre el anfitrión habilitado para HIP y el anfitrión que no puede utilizar el HIP. Un escenario típico sería una pequeña LAN corporativa en la que los terminales cliente no estuviesen habilitados para HIP. El tráfico es encaminado a anfitriones interlocutores (que están habilitados para HIP) a través del equipo representante para HIP.
Esta disposición se ilustra en la Figura 5 de los dibujos adjuntos. En la Figura 5 se muestra un anfitrión legado 12 en comunicación con un nodo 14 habilitado para HIP (que tiene el nombre de dominio "hip.foo.com") a través de un equipo representante 16 para HIP. El anfitrión legado 12 accede al equipo representante 16 para HIP mediante una red de acceso 18 mientras que el equipo representante 16 para HIP accede al nodo 14 habilitado para HIP por la Internet 20. Para asegurar parcialmente la conexión entre el anfitrión legado 12 y el nodo 14 habilitado para HIP, todas las comunicaciones entre el equipo representante 16 para HIP y el nodo 14 habilitado para HIP se realizan a través de una asociación de seguridad establecida entre el equipo representante 16 para HIP y el nodo 14 habilitado para HIP, en forma similar a la descrita en lo que antecede con referencia a la Figura 3.
Sin embargo, incluso antes que pueda establecerse la asociación de seguridad 22, representada en la Figura 5, para permitir la comunicación entre el anfitrión legado 12 y el nodo 14 para HIP, surge un problema cuando el primero intenta resolver la dirección de IP del nodo 14 para HIP enviando una petición a un servidor de DNS 24-1 (y en su momento al servidor DNS 24-2) cuando el nodo 14 para HIP está situado detrás de un agente transitario 26, como se ha descrito anteriormente. El servidor DNS 24-1 devolverá una HIT del nodo 14 para HIP junto con la dirección de IP del agente transitario 26. Como el nodo legado 12 no está habilitado para HIP, despreciará la HIT y comenzará a enviar mensajes al agente transitario 26. Sin la HIT, el agente transitario 26 no podrá resolver la dirección de destino de estos mensajes, ya que los más probable es que varios nodos habilitados para HIP empleen el mismo agente transitario 26. Igualmente. como el nodo legado 12 desecha la HIT y solamente utiliza la dirección de IP del nodo 14 para HIP cuando se inicia una conexión, el equipo representante 16 habilitado para HIP no puede iniciar la negociación en HIP entre él mismo y el nodo 14 para HIP, ya que no conoce la HIT del nodo 14 para HIP.
Es deseable proporcionar un método para asegurar, al menos parcialmente, las comunicaciones entre un primer anfitrión que no está habilitado para HIP y un segundo anfitrión que está habilitado para HIP a través de un equipo representante habilitado para HIP, que evite los problemas antes mencionados.
Sumario del invento
De acuerdo con un primer aspecto del presente invento, se proporciona un método para asegurar, al menos parcialmente, las comunicaciones, a través de un equipo representante habilitado para HIP, entre un primer anfitrión que no está habilitado para HIP y un segundo anfitrión que sí lo está, cuyo método comprende: enviar una petición desde el primer anfitrión para resolver la dirección de IP del segundo anfitrión; recuperar, en respuesta a dicha petición, una dirección de IP y la HIT asociada con el segundo anfitrión; devolver, en respuesta a dicha recuperación, desde el equipo representante, una dirección de IP sustituta asociada con el segundo anfitrión; mantener en el equipo representante una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y, al recibirse un mensaje de iniciación de sesión en el equipo representante, procedente del primer anfitrión, que incluya como dirección de destino la dirección de IP sustituta, hacer valer la correspondencia para negociar una conexión en HIP entre el equipo representante y el segundo anfitrión.
El método puede comprender buscar la dirección de IP recuperada y la HIT recuperada a partir de la correspondencia basándose en la dirección de IP sustituta del mensaje de iniciación de sesión, y llevar a cabo la negociación en el HIP utilizando la dirección de IP y la HIT recuperadas para localizar e identificar al respondedor en la negociación en el HIP junto con una dirección de IP y una HIT del equipo representante para localizar e identificar al iniciador de la negociación en el HIP.
La dirección de IP recuperada puede ser la dirección de IP de un agente transitario utilizado por el segundo anfitrión y, además, el método comprende iniciar la negociación en el HIP entre el equipo representante y el segundo anfitrión enviando el paquete inicial de negociación en el HIP al agente transitario.
El método puede comprender, además, a continuación de la recepción de la dirección de IP real del segundo anfitrión en el equipo representante durante la negociación en el HIP, incluir la dirección de IP real en la correspondencia mantenida en el equipo representante. La dirección de IP recuperada puede ser reemplazada en la correspondencia por la dirección de IP real tras su recepción en el equipo representante.
La dirección de IP recuperada puede ser la dirección de IP real del segundo anfitrión.
El método puede comprender la generación de la dirección de IP sustituta en el equipo representante.
El método puede comprender, además, para un mensaje saliente recibido en el equipo representante una vez establecida la conexión del HIP incluyendo como su dirección de destino la dirección de IP sustituta, utilizar la correspondencia para encaminar el mensaje por la conexión de HIP al segundo anfitrión. Esto puede suponer la búsqueda de la dirección IP real y la HIT recuperadas a partir de la correspondencia basándose en la dirección de IP sustituta del mensaje saliente, y encaminar el mensaje saliente al segundo anfitrión utilizando la dirección de IP real y la HIT recuperadas para localizar e identificar el destino del mensaje, y utilizar una dirección de IP y la HIT del equipo representante para localizar e identificar la fuente del mensaje.
El método puede comprender, además, completar el establecimiento de comunicaciones entre el primero y el segundo anfitriones enviando un mensaje de iniciación de sesión desde el equipo representante al segundo anfitrión por la conexión de HIP, contestar con un mensaje de acuse de recibo de sesión a partir del segundo anfitrión hacia el equipo representante por la conexión de HIP y encaminar el mensaje de acuse de recibo de sesión al primer anfitrión. El mensaje de acuse de recibo de sesión puede ser un mensaje TCP ACK.
El mensaje de iniciación de sesión puede ser un mensaje TCP SYN.
El método puede comprender, además, para un mensaje entrante recibido en el equipo representante desde el segundo anfitrión por la conexión de HIP establecida, utilizar una función NAT del equipo representante para encaminar el mensaje al anfitrión de destino apropiado.
La petición antes mencionada puede ser una petición de DNS. El equipo representante puede interceptar la petición de DNS procedente del primer anfitrión. El equipo representante puede realizar la operación de recuperación de la dirección de IP y de la HIT asociadas con el segundo anfitrión.
El equipo representante puede recuperar la dirección de IP y la HIT asociadas con el segundo anfitrión a partir de un servidor DNS externo. O bien, el equipo representante puede recuperar la dirección de IP y la HIT asociadas con el segundo anfitrión a partir de un servidor de DNS externo.
De acuerdo con un segundo aspecto del presente invento, se proporciona un sistema de comunicaciones que comprende un primer anfitrión que no está habilitado para HIP, un segundo anfitrión que sí lo está y un equipo representante para HIP, en el que: el primer anfitrión comprende medios para enviar una petición para resolver la dirección de IP del segundo anfitrión; el equipo representante comprende medios para recuperar, en respuesta a dicha petición, una dirección de IP y una HIT asociada con el segundo anfitrión, para devolver, en respuesta a dicha recuperación, una dirección de IP sustituta asociada con el segundo anfitrión, para mantener una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada, y para utilizar la correspondencia, al recibirse un mensaje de iniciación de sesión procedente del primer anfitrión, que incluya como su dirección de destino la dirección de IP sustituta, para negociar una conexión de HIP entre el equipo representante y el segundo anfitrión.
De acuerdo con un tercer aspecto del presente invento, se proporciona un método para uso por un equipo representante habilitado para HIP, para establecer la seguridad de las comunicaciones, al menos parcialmente, a través del equipo representante, entre un primer anfitrión que no está habilitado para HIP y un segundo anfitrión que sí lo está, cuyo método comprende: recibir una petición del primer anfitrión para resolver la dirección de IP del segundo anfitrión; en respuesta a dicha petición, recuperar una dirección de IP y una HIT asociadas con el segundo anfitrión; en respuesta a dicha recuperación, devolver una dirección de IP sustituta asociada con el segundo anfitrión, y mantener una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y, al recibirse un mensaje de iniciación de sesión procedente del primer anfitrión, que incluye como su dirección de destino la dirección de IP sustituta, utilizar la correspondencia para negociar una conexión de HIP entre el equipo representante y el segundo anfitrión.
De acuerdo con un cuarto aspecto del presente invento, se proporciona un equipo representante habilitado para HIP, para uso con el fin de establecer, al menos parcialmente, la seguridad de las comunicaciones a través del equipo representante entre un primer anfitrión que no está habilitado para HIP y un segundo anfitrión que sí lo está, que comprende: medios para recibir una petición procedente del primer anfitrión para resolver la dirección de IP del segundo anfitrión; medios para recuperar, en respuesta a dicha petición, una dirección de IP y una HIT asociadas con el segundo anfitrión para devolver, en respuesta a dicha recuperación, una dirección de IP sustituta asociada con el segundo anfitrión, y mantener una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y medios para utilizar la correspondencia, al recibirse un mensaje de iniciación de sesión procedente del primer anfitrión que incluya como su dirección de destino la dirección de IP sustituta, para negociar una conexión de HIP entre el equipo representante y el segundo anfitrión.
De acuerdo con un quinto aspecto del presente invento, se proporciona un programa de ordenador que, cuando se ejecuta en un equipo representante habilitado para HIP, hace que el equipo representante lleve a la práctica un método de acuerdo con un tercer aspecto del presente invento.
De acuerdo con un sexto aspecto del presente invento, se proporciona un programa de ordenador que, cuando se carga en un equipo representante habilitado para HIP, hace que el equipo representante incluya todas las características de acuerdo con el cuarto aspecto del presente invento.
El programa de ordenador puede ejecutarse en un medio portador, que puede ser un medio de transmisión o un medio de almacenamiento.
Breve descripción de los dibujos
La Figura 1, descrita en lo que antecede, ilustra las diversas capas del protocolo de identidad de anfitrión;
la Figura 2, descrita también en lo que antecede, ilustra el funcionamiento de la iniciación de diálogo de cuatro vías en el protocolo HIP;
la Figura 3, descrita también en lo que antecede, ilustra las estructuras de paquete lógica y real en el HIP;
la Figura 4, descrita también en lo que antecede, ilustra el cambio entre IPv6 e IPv4;
la Figura 5, descrita también en lo que antecede, es un diagrama esquemático que ilustra la red general establecida para comunicaciones entre un anfitrión legado y un nodo habilitado para HIP, a través de un equipo representante habilitado para HIP;
la Figura 6 es un diagrama de intercambio de mensajes que ilustra, esquemáticamente, un método para establecer, al menos parcialmente la seguridad de las comunicaciones entre un anfitrión legado y un anfitrión habilitado para HIP, de acuerdo con una realización del presente invento;
la Figura 7 ofrece una ilustración esquemática, más detallada, de las estructuras de paquete utilizadas en TCP, UDP, ESP y HIP; y
las Figuras 8 a 12 son diagramas de intercambio de mensajes que muestran los pasos del método de la Figura 6 con mayor detalle.
Descripción detallada de las realizaciones preferidas
Se describirá ahora una realización del presente invento en el marco general del sistema antes descrito con referencia a la Figura 5. Una realización del presente invento proporciona un método de garantizar, al menos parcialmente, la seguridad en las comunicaciones entre el anfitrión legado 12, que no está habilitado para HIP, y el anfitrión 14 para HIP, que está habilitado para HIP, a través de equipo representante 16 habilitado para HIP. Se describirá ahora el funcionamiento de una realización del presente invento con referencia al diagrama de intercambio de mensajes de la Figura 6. Los pasos representados en la Figura 6 se ilustran también, con mayor detalle, en las Figuras 8 a 12, mientras que la Figura 7 ofrece una visión general más detallada de las estructuras de paquete utilizadas en TCP, UDP (protocolo de datagrama de usuario), ESP y HIP.
Consideremos situación en que el anfitrión legado 12 desea iniciar una comunicación entre él mismo y el anfitrión 14 para HIP. El anfitrión legado 12 conoce el nombre de dominio del anfitrión 14 para HIP, que es "hip.foo.com" y, como primer paso (marcado como "A" en las Figuras 6 y 8), el anfitrión legado 12 envía una petición de sistema de nombre de dominio (DNS) a su servidor de DNS usual, con el fin de resolver la dirección de IP del anfitrión 14 para HIP. Sin embargo, en lugar de ser recibida directamente en un servidor de DNS, en una realización del presente invento la petición de DNS es interceptada por el equipo representante 16 para HIP, que a su vez envía una petición de DNS al servidor de DNS 24-1 (esto está marcado como "B" en las Figuras 6 y 8).
En respuesta a esta petición de DNS, el servidor de DNS 24-1 comunica con el servidor de DNS 24-2 "foo.com" para recuperar una dirección de IP y una HIT asociadas con el anfitrión 14 para HIP (marcado como "C" en las Figuras 6 y 9). Dado que, en este ejemplo, el anfitrión 14 para HIP está utilizando en agente transitario (FA) 26 como "dirección de origen", como antes se ha descrito, la dirección de IP y la HIT recuperadas por la petición de DNS son la dirección de IP 3ffe:200::1 (IP_{fn}) del agente transitario 26 y la HIT del anfitrión 14 para HIP, denominada en este caso HIT_{hip}: Obsérvese que este no siempre ocurre que se requieran varios servidores de DNS para resolver una dirección de IP; si la
información se encuentra a partir del primer servidor, no habría necesidad de utilizar servidores de DNS adicionales.
Como el equipo representante para HIP sabe que el anfitrión iniciador que envió la petición de DNS no está habilitado para HIP, el equipo representante 16 para HIP no devuelve la información de DNS (HIT_{hip}; IP_{fa}). En cambio, el equipo representante 16 para HIP genera una dirección de IP sustituta IP_{res} que, en este ejemplo, es 3ffe:401::5. El equipo representante 16 para HIP mantiene una correspondencia {HIT_{hip};IP_{fa};IP_{res}} entre la HIT recibida del servidor de DNS 24, la dirección de IP recuperada del servidor de DNS 24 y la dirección de IP sustituta generada por el equipo representante 16 para HIP. Esta correspondencia es necesaria para tratar el encaminamiento de comunicaciones subsiguientes, como se describirá en lo que sigue. La generación de la dirección de IP sustituta, IP_{res}, y el mantenimiento de la correspondencia está marcado como "D" en las Figuras 6 y 9.
Entretanto, el equipo representante 16 para HIP envía una respuesta de DNS de vuelta al anfitrión legado 12 con la dirección de IP sustituta, IP_{res}, y esto está marcado con "E" en las Figuras 6 y 9. La dirección de IP sustituta, IP_{res} será utilizada por el anfitrión legado 12 como dirección de destino para todas las comunicaciones subsiguientes que envíe hacia el anfitrión 14 para HIP.
Cuando el anfitrión legado 12 está preparado para iniciar una conexión con el anfitrión 14 para HIP, envía un mensaje de iniciación de sesión, TCP SYN, que tiene como dirección de destino la dirección de IP sustituta, IP_{res}; esto está marcado con "F" en las Figuras 6 y 10. Como la dirección de IP sustituta, IP_{res} fue generada por el equipo representante 16 para HIP y mantenida en la correspondencia M, el equipo representante 16 para HIP reconoce la dirección de destino del mensaje de iniciación procedente del anfitrión legado 12 (marcado como "F.1" en la Figura 10) y asume la subsiguiente responsabilidad para el establecimiento y el tratamiento de las comunicaciones entre el anfitrión legado 12 y el anfitrión 14 para HIP.
El equipo representante 16 para HIP utiliza entonces la correspondencia M para negociar una conexión segura para HIP (asociación de seguridad) entre el equipo representante 16 para HIP y el anfitrión 14 para HIP. La negociación llevada a cabo entre el equipo representante 16 para HIP y el anfitrión 14 para HIP, es muy similar a la iniciación de diálogo de cuatro vías anteriormente descrita con referencia a la Figura 2, siendo el iniciador, en este ejemplo, el equipo representante 16 para HIP y siendo el respondedor el anfitrión 14 para HIP. El comienzo de la negociación en el HIP está marcado con "G" en las Figuras 6 y 10. Debe observarse que, cuando se utiliza en este documento la expresión "asociación de seguridad", ha de tenerse en cuenta que incluye el caso en que se cree un par de asociaciones de seguridad entre ambos anfitriones, una asociación de seguridad que gestiona el tráfico en una dirección y otra que lo gestiona en la otra dirección; lógicamente existiría un conducto para SA entre los dos anfitriones pero, físicamente, habría dos SA.
Haciendo uso de la correspondencia M, el equipo representante 16 para HIP determina que el paquete I1 debe ser enviado a la dirección de IP IP_{fa}, que es la dirección de IP del agente transitario 26 utilizado por el anfitrión 14 para HIP. El paquete I1 contiene las HIT de los nodos que participan en la negociación, es decir, HIT_{hip} y HIT_{representante}. Esta correspondencia está marcada como "H" en las Figuras 6 y 10. Cuando el paquete I1 es recibido por el agente transitario 26, éste prepara una correspondencia de HIT_{hip} para la dirección de IP real, IP_{hip} y lleva a cabo su función usual de envío del paquete 12 recibido al anfitrión 14 de HIP localizado mediante IP_{hip}.
A continuación de la recepción del paquete I1 en el anfitrión 14 para HIP, se forma el resto de la negociación para la iniciación de diálogo de cuatro vías, como se ha descrito en lo que antecede, con referencia a la Figura 2, mediante el envío de los paquetes R1, I2 y R2. Una vez completada esta negociación, se ha establecido la asociación de seguridad 22 entre el equipo representante 16 para HIP y el anfitrión 14 para HIP, y esto está marcado por "I" en las Figuras 6 y 10.
Ahora que se ha establecido la asociación de seguridad 22, el equipo representante 16 para HIP continúa enviando el mensaje de iniciación TCP SYN al anfitrión 14 para HIP. La función de traducción de la dirección de red (NAT) y de correspondencia ejecutada, se muestra con mayor detalle en la parte inferior de la Figura 11 y está marcada como "L1" en esa figura. El anfitrión 14 para HIP responde con un mensaje PCP ACK dirigido a la dirección de IP del equipo representante 16 para HIP que, en este ejemplo, es 3ffe:300::1; estos dos pasos están marcados como "J" en las Figuras 6 y 11. Finalmente, el equipo representante 16 para HIP devuelve un mensaje PCP ACK al anfitrión legado 12 en su dirección de IP 3ff3:400::50 para completar el procedimiento de iniciación de TCP; esto está marcado con "K" en las Figuras 6 y 12. Se observará que el mensaje TCP ACK, marcado como "J" en las Figuras 6 y 11, procedente del anfitrión 14 para HIP y dirigido al equipo representante 16 para HIP contenía, como su dirección de IP de destino la dirección de IP del equipo representante 16 para HIP y no la dirección de IP del anfitrión legado 12. Se describirá ahora el método por el que el equipo representante 16 para HIP conoce, subsiguientemente, cómo enviar el mensaje TCP ACK al anfitrión legado 12 correcto.
Solamente se establece una asociación de seguridad 12 entre el equipo representante 16 para HIP y el nodo 14 para HIP, y esta asociación de seguridad 22 es utilizada por múltiples anfitriones legados que comunican con el anfitrión 14 para HIP. La correspondencia M antes descrita está asociada con una asociación de seguridad y no con un anfitrión legado particular, tal como el anfitrión legado 12. Como la asociación de seguridad 22 y su correspondencia M asociada, deben ser utilizadas por una pluralidad de anfitriones legados, la correspondencia M no puede incluir información relacionada con un anfitrión legado particular tal como, por ejemplo, la dirección de IP del anfitrión legado que fue inicialmente responsable del establecimiento de la asociación de seguridad 22. En cambio, la función de traducción de dirección de red (NAT) en el equipo representante para HIP trata la correspondencia de paquetes para la dirección de IP correcta del anfitrión legado.
Para este fin, se utilizan los números de puerta de la capa superior, como para la función NAT usual. Para el tráfico entre el anfitrión 14 para HIP y el anfitrión legado 12 a través del equipo representante 16 para HIP, la dirección de la fuente cuando el paquete de IP llega al equipo representante 16 para HIP procedente del anfitrión 14 para HIP es, originalmente, la dirección de IP del anfitrión 14 para HIP. La dirección de IP sustituta IP_{hip} es recuperada a partir de la correspondencia M asociada con la asociación de seguridad 22 y reemplazada como dirección de fuente del paquete de IP. El paquete de IP es cambiado a la función NAT del equipo representante 16 para HIP y, empleando la información sobre la dirección de IP de la fuente y los números de puerta con fines de asignación de correspondencia a las direcciones. El número de puerta no puede utilizarse por sí solo, ya que dos anfitriones legado podrían estar utilizando el mismo número de puerta. La función NAT normalizada lleva a cabo, también, una correspondencia de puertas ya que, de otro modo, la traducción de la dirección no funcionará si dos anfitriones utilizan el mismo número de puerta fuente para comunicación hacia el mismo nodo externo. Cuando se ejecuta una correspondencia de NAT, también se consulta el protocolo, ya que UDP y TCP pueden utilizar los mismos números de puerta.
Por ejemplo, para dos anfitriones legado LH1 y LH2 que se comunican con el anfitrión 14 para HIP externo que escucha en la puerta 10000:
LH1:puerta fuente 5000, puerta dst 10000, srcIP IP_{lh1}, dstIP IP_{res}
LH2:puerta fuente 5000, puerta dst 10000, srcIP IP_{lh2}, dstIP IP_{res}
\vskip1.000000\baselineskip
El equipo representante 16 para HIP prepara la correspondencia para la conexión saliente (vinculada al anfitrión para HIP), como sigue:
LH1:puerta fuente 5001, puerta dst 10000, srcIP IP_{representante}, dstIP IP_{hip}
LH2:puerta fuente 5002, puerta dst 10000, srcIP IP_{representante}, dstIP IP_{hip}
\vskip1.000000\baselineskip
Lo que antecede es, por tanto, justamente la función NAT estándar, excepto porque la dirección de destino también es cambiada por el equipo representante 16 para HIP de IP_{res} a IP_{hip}.
El anfitrión 14 para HIP ve dos conexiones separadas desde el equipo representante 16 para HIP con la misma dirección de IP. Para el tráfico entrante (vinculado a LH) desde el anfitrión 14 para HIP, el equipo representante 16 para HIP puede preparar ahora la correspondencia:
dst IP_{representante},src IP_{hip},dst puerta 5001, src puerta 10000 => dst IP_{lh1}; src IP_{res};dst puerta 5000; src puerta 10000
dst IP_{representante},src IP_{hip},dst puerta 5002, src puerta 10000 => dst IP_{lh2}; src IP_{res};dst puerta 5000; src puerta 10000
\vskip1.000000\baselineskip
La función de NAT para paquetes entrantes se ilustra también, con mayor detalle, en la parte inferior de la Figura 12 y está marcada con "K".
Una vez establecida la asociación de seguridad 22 entre el equipo representante 16 para HIP y el anfitrión 14 para HIP, las subsiguientes comunicaciones entre el anfitrión legado 12 y el anfitrión 14 para HIP no pasan por el agente transitario 26, que solamente es utilizado para enviar el paquete I1 inicial, como antes se ha descrito. Por tanto, para una asociación de seguridad 22 establecida, ya no se necesita la dirección de IP del agente transitario (IP_{fa}) en la correspondencia M asociada con la asociación de seguridad 22. En cambio, se necesita la información sobre posición corriente (dirección de IP IP_{hip}) del anfitrión 14 para HIP.
Por tanto, la dirección de IP del agente transitario 26 (IP_{fa}) puede ser reemplazada en la correspondencia M por la dirección de IP del anfitrión 14 para HIP (IP_{hip}). Dicho de otro modo, la correspondencia M se cambia de {HIT_{hip}; IP_{fa}; IP_{res}} a {HIThip; IPhip; IP_{res}). Esto se ilustra en la Figura 10 mediante ''H.1). De esta forma, a cualesquiera paquetes subsiguientes enviados desde el anfitrión legado 12 que tengan como dirección de destino la dirección IP sustituta, IP_{res}, les puede ser asignada una correspondencia mediante el equipo representante 16 para HIP sobre la asociación de seguridad 22 utilizando la correspondencia M modificada y les puede enviar directamente al anfitrión 14 para HIP en el lugar IP_{hip}. A las direcciones de IP de fuente y de destino se les asigna una correspondencia en el equipo representante 16 para HIP de {dst=IP_{res};src=IP_{lh}} a {dst=IP_{hip};src=IP_{representante}}, tomándose la correspondencia a partir de la correspondencia M modificada. El equipo representante 16 para HIP recibe la dirección de IP real, IP_{hip} del anfitrión 14 para HIP a partir del paquete R1 durante la negociación de HIP.
Aunque se ha descrito en lo que antecede una realización del presente invento, en la cual el anfitrión 14 para HIP está situado detrás de un agente transitario 26, el presente invento tendrá aplicación, también, cuando el anfitrión 14 para HIP no utilice agente transitario. Por ejemplo, si el anfitrión 14 para HIP (con nombre de dominio "hip.foo.com") tiene una dirección de IP fija, IP_{fija},, sin agente transitario, una petición de DNS devolverá la dirección de IP fija, IP_{fija} y la HIT_{hip} del anfitrión 14 para HIP. Cuando un anfitrión legado 12 intente resolver la dirección de IP para "hip.foo.com", el equipo representante 16 para HIP interceptará esta petición de DNS y recuperará, por sí mismo, IP_{fija} y HIT_{hip} a partir de la DNS. El equipo representante 16 para HIP no puede saber, generalmente, que la dirección de IP devuelta desde el servidor de DNS 24 es la dirección de IP real del anfitrión 14 para HIP y no la dirección de IP de un agente transitario utilizado por el anfitrión 14 para HIP y, por tanto, genera una dirección de IP sustituta, IP_{res}, como se ha descrito en lo que antecede y devuelve esta dirección de IP sustituta al anfitrión legado 12, como anteriormente. El equipo representante 16 para HIP mantiene la correspondencia {HIT_{hip}; IP_{fija}; IP_{res}} quedando a la escucha de un paquete TCP SYN para IP_{res}, al recibir el cual negocia con el anfitrión 14 para HIP basándose en {HIT_{hip};IP_{fija}} a partir de la correspondencia. Una vez establecida la asociación de seguridad, los paquetes destinados a IP_{res} son recogidos por el equipo representante 16 para HIP y enviados a {HIT_{hip};IP_{fija}} utilizando la correspondencia. Esto se parece mucho al procedimiento anteriormente descrito, excepto en que IP_{fa} nunca se guarda en la correspondencia y, por tanto, nunca es reemplazada. En cambio, la correspondencia comprende, desde el principio, la dirección de IP del anfitrión
14 para HIP.
\newpage
Si fuese posible que el equipo representante 16 para HIP determinase que la dirección de IP recuperada del servidor de DNS 24 era la dirección de IP real del anfitrión 14 para HIP, entonces una alternativa a la generación de una dirección de IP sustituta consistiría, simplemente, en devolver la dirección de IP real del anfitrión 14 para HIP al anfitrión legado 12. Esto abriría la posibilidad de que las comunicaciones entre el anfitrión legado 12 y el anfitrión 14 para HIP pudieran "saltarse" el equipo representante 16 para HIP completamente, ya que el anfitrión legado 12 tiene la dirección de IP real del anfitrión 14 para HIP. Si fuese este el caso, entonces las comunicaciones no quedarían aseguradas por medio del protocolo HIP pero, no obstante, las comunicaciones serían posibles basándose en la norma TCP/IP. Sin embargo, en redes pequeñas, con un trayecto saliente del anfitrión legado 12 hacia el equipo representante 16 para HIP, seguiría siendo posible que el equipo representante 16 para HIP actuase como pasarela de seguridad entre el anfitrión legado 12 y el anfitrión 14 para HIP, con una asociación de seguridad establecida en forma muy parecida a lo que antecede, pero sin que se requiriese correspondencia entre una dirección de IP sustituta y la dirección de IP real del anfitrión 14 para HIP. Por tanto, en este último caso, la correspondencia M comprendería solamente la dirección de IP IP_{hip} del anfitrión 14 para HIP y la HIT del anfitrión 14 para HIP, HIT_{hip}.
Aunque en lo que antecede se ha descrito que el equipo representante 16 para HIP envía una petición de DNS a un servidor de DNS 24 externo, es posible que el equipo representante 16 para HIP también pudiera prestar la función de servidor de DNS, sin que fuese necesaria una petición de DNS externa.
Se apreciará que el funcionamiento de uno o más de entre el anfitrión legado 12, el equipo representante 16 para HIP y el anfitrión 14 para HIP puede ser controlado mediante un programa que se ejecute en el dispositivo. Dicho programa operativo puede almacenarse en un medio legible por ordenador o podría, por ejemplo, estar incorporado en una señal tal como una señal de datos descargable proporcionada a partir de un sitio de red de Internet. Ha de interpretarse que las reivindicaciones adjuntas cubren un programa operativo en sí mismo, o grabado en un portador, o en forma de señal o en cualquier otra forma.
Un experto en la técnica apreciará que las realizaciones del presente invento no están limitadas a ningún protocolo particular para cada una de las capas, por ejemplo, en las capas de transporte o de red, y que funcionarán dentro del marco del HIP, cualquiera que sea el protocolo de direccionamiento o de transporte que se utilice en ese marco.

Claims (26)

1. Un método de garantizar, al menos parcialmente, la seguridad de comunicaciones, a través de un equipo representante (16) para protocolo de identidad de anfitrión, HIP, entre un primer anfitrión (12) que no está habilitado para HIP y un segundo anfitrión (14) que está habilitado para HIP, cuyo método comprende:
enviar una petición desde el primer anfitrión para resolver la dirección de protocolo de Internet, IP, del segundo anfitrión;
en respuesta a dicha petición, recuperar una dirección de IP y una etiqueta de identidad de anfitrión, HIT, asociadas con el segundo anfitrión;
en respuesta a dicha recuperación, devolver desde el equipo representante para HIP una dirección de IP sustituta, asociada con el segundo anfitrión;
mantener en el equipo representante para HIP una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y
al recibirse un mensaje de iniciación de sesión en el equipo representante para HIP procedente del primer anfitrión, que incluya como su dirección de destino la dirección de IP sustituta, utilizar la correspondencia para negociar una conexión a través de HIP entre el equipo representante para HIP y el segundo anfitrión.
2. Un método como se reivindica en la reivindicación 1, que comprende buscar la dirección de IP recuperada y la HIT recuperada a partir de la correspondencia basándose en la dirección de IP sustituta en el mensaje de iniciación de sesión, y llevar a cabo la negociación a través del HIP utilizando la dirección de IP y la HIT recuperadas para localizar e identificar el respondedor en la negociación a través de HIP, junto con la dirección IP y la HIT del equipo representante para localizar e identificar al iniciador en la negociación a través de HIP.
3. Un método como se reivindica en la reivindicación 1 o en la reivindicación 2, en el que la dirección de IP recuperada es la dirección de IP de un agente transitario utilizado por el segundo anfitrión, y que comprende además iniciar la negociación a través de HIP entre el equipo representante y el segundo anfitrión enviando el paquete de negociación a través de HIP al agente transitario.
4. Un método como se reivindica en la reivindicación 3, que comprende además, a continuación de la recepción de la dirección IP real del segundo anfitrión en el equipo representante durante la negociación a través de HIP, incluir la dirección de IP real en la correspondencia mantenida en el equipo representante.
5. Un método como se reivindica en la reivindicación 4, en el que la dirección de IP recuperada es sustituida en la correspondencia por la dirección de IP real a continuación de su recepción en el equipo representante.
6. Un método como se reivindica en la reivindicación 1 o la reivindicación 2, en el que la dirección de IP recuperada es la dirección de IP real del segundo anfitrión.
7. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, que comprende generar la dirección de IP sustituta en el equipo representante.
8. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, que comprende además, para un mensaje saliente recibido en el equipo representante después de haberse establecido la conexión a través de HIP que incluye como su dirección de destino la dirección de IP sustituta, utilizar la correspondencia para encaminar el mensaje por la conexión HIP hacia el segundo anfitrión.
9. Un método como se reivindica en la reivindicación 8 cuando depende de la reivindicación 4, que comprende buscar la dirección de IP real y la HIT recuperadas a partir de la correspondencia basándose en la dirección de IP sustituta del mensaje saliente, y encamina el mensaje saliente hacia el segundo anfitrión utilizando la dirección de IP real y la HIT recuperadas para localizar e identificar el destino del mensaje, y utilizar una dirección de IP y la HIT del equipo representante para localizar e identificar la fuente del mensaje.
10. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, que comprende además, completar el establecimiento de las comunicaciones entre el primero y el segundo anfitriones enviando el mensaje de iniciación de expedición desde el equipo representante al segundo anfitrión por la conexión de HIP, contestar con un acuse de recibo de sesión procedente del segundo anfitrión hacia el equipo representante por la conexión de HIP, y encaminar el mensaje de acuse de recibo de sesión hacia el primer anfitrión.
11. Un método como se reivindica en la reivindicación 10, en el que el mensaje de acuse de recibo de sesión es un mensaje TCP ACK.
\newpage
12. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, en el que el mensaje de iniciación de sesión es un mensaje TCP SYN.
13. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, que comprende además, para un mensaje entrante recibido en el equipo representante procedente del segundo anfitrión por la conexión de HIP establecida, utilizar una función de NAT del equipo representante para encaminar el mensaje hacia el anfitrión de destino apropiado.
14. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, en el que la petición es una petición de DNS.
15. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, en el que el equipo representante ejecuta el paso de recuperar la dirección de IP y de la HIT asociadas con el segundo anfitrión.
16. Un método como se reivindica en la reivindicación 15, en el que el equipo representante recupera la dirección de IP y la HIT asociadas con el segundo anfitrión a partir de un servidor de DNS externo.
17. Un método como se reivindica en la reivindicación 15, en el que el equipo representante recupera la dirección de IP y la HIT asociadas con el segundo anfitrión a partir de un servidor de DNS interno.
18. Un método como se reivindica en cualquiera de las reivindicaciones precedentes, en el que el equipo representante intercepta la petición procedente del primer anfitrión.
19. Un sistema de comunicaciones, que comprende un primer anfitrión (12) que no está habilitado para protocolo de identidad de anfitrión, HIP, un segundo anfitrión (14) que está habilitado para HIP, y un equipo representante (16), en el que:
el primer anfitrión comprende medios para enviar una petición a fin de resolver la dirección de protocolo de Internet, IP, del segundo anfitrión;
el equipo representante comprende medios para recuperar, en respuesta a dicha petición, una dirección de IP y una etiqueta de identidad de anfitrión, HIT, asociada con el segundo anfitrión, para devolver, en respuesta a dicha recuperación, una dirección de IP sustituta asociada con el segundo anfitrión, para mantener una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada, y para utilizar la correspondencia, al recibirse un mensaje de iniciación de sesión procedente del primer anfitrión que incluye, como su dirección de destino, la dirección de IP sustituta, para negociar una conexión a través de HIP entre el equipo representante para HIP y el segundo anfitrión.
20. Un método para uso por un equipo representante (16) a través de un protocolo de identidad de anfitrión, HIP, de comunicaciones, al menos, parcialmente seguras, a través del equipo representante para HIP, entre un primer anfitrión (12) que no está habilitado para HIP y un segundo anfitrión (14) que está habilitado para HIP, cuyo método
comprende:
recibir una petición procedente del primer anfitrión para resolver la dirección de protocolo de Internet, IP, del segundo anfitrión;
en respuesta a dicha petición, recuperar una dirección de IP y una etiqueta de identidad de anfitrión, HIT, asociadas con el segundo anfitrión;
en respuesta a dicha recuperación, devolver una dirección de IP sustituta asociada con el segundo anfitrión, y mantener una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y
al recibirse un mensaje de iniciación de sesión procedente del primer anfitrión que incluye como su dirección de destino la dirección de IP sustituta, utilizar la correspondencia para negociar una conexión de HIP entre el equipo representante para HIP y el segundo anfitrión.
21. Un equipo representante (16) para protocolo de identidad de anfitrión, HIP, para uso con el fin de garantizar una seguridad, al menos parcial, de las comunicaciones, a través del equipo representante para HIP, entre un primer anfitrión (12) que no está habilitado para HIP y un segundo anfitrión (14) que está habilitado para HIP, que comprende:
medios para recibir una petición procedente del primer anfitrión para resolver la dirección de protocolo de Internet, IP, del segundo anfitrión;
medios para recuperar, en respuesta a dicha petición, una dirección de IP y una etiqueta de identidad de anfitrión, HIT, asociadas con el segundo anfitrión, para devolver, en respuesta a dicha recuperación, una dirección de IP sustituta asociada con el segundo anfitrión, y mantener una correspondencia entre la dirección de IP sustituta, la dirección de IP recuperada y la HIT recuperada; y
medios para utilizar la correspondencia al recibirse un mensaje de iniciación de sesión procedente del primer anfitrión que incluye, como su dirección de destino, la dirección de IP sustituta, para negociar una conexión de HIP entre el equipo representante para HIP y el segundo anfitrión.
22. Un programa de ordenador que, cuando se ejecuta en un equipo representante para HIP, hace que el equipo representante lleve a la práctica un método como el reivindicado en la reivindicación 20.
23. Un programa de ordenador que, cuando se carga en un equipo representante para HIP, hace que éste incorpore todas las características de un equipo representante para HIP como se reivindica en la reivindicación 21.
24. Un programa de ordenador como se reivindica en la reivindicación 22 o la reivindicación 23, llevado en un medio portador.
25. Un programa de ordenador como se reivindica en la reivindicación 24, en el que el medio portador es un medio de transmisión.
26. Un programa de ordenador como se reivindica en la reivindicación 24, en el que el medio portador es un medio de almacenamiento.
ES04710878T 2004-02-13 2004-02-13 Metodo de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrion (hip) entre legados y nodos hip. Expired - Lifetime ES2287697T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2004/050129 WO2005081466A1 (en) 2004-02-13 2004-02-13 Addressing method and method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes

Publications (1)

Publication Number Publication Date
ES2287697T3 true ES2287697T3 (es) 2007-12-16

Family

ID=34878414

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04710878T Expired - Lifetime ES2287697T3 (es) 2004-02-13 2004-02-13 Metodo de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrion (hip) entre legados y nodos hip.

Country Status (8)

Country Link
US (1) US7827313B2 (es)
EP (1) EP1714434B1 (es)
JP (1) JP4579934B2 (es)
CN (1) CN1938999B (es)
AT (1) ATE366017T1 (es)
DE (1) DE602004007301T2 (es)
ES (1) ES2287697T3 (es)
WO (1) WO2005081466A1 (es)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE602004007303T2 (de) * 2004-04-15 2008-03-13 Telefonaktiebolaget L M Ericsson (Publ) Identifizierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
GB2423448B (en) * 2005-02-18 2007-01-10 Ericsson Telefon Ab L M Host identity protocol method and apparatus
CN101233731B (zh) * 2005-05-18 2011-02-23 99有限公司 动态地址映射
GB2426672B (en) * 2005-05-27 2009-12-16 Ericsson Telefon Ab L M Host identity protocol method and apparatus
US7996675B2 (en) * 2005-06-17 2011-08-09 Telefonaktiebolaget Lm Ericsson (Publ) Host identity protocol method and apparatus
WO2007050244A2 (en) 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
GB2449118A (en) * 2007-05-11 2008-11-12 Ericsson Telefon Ab L M Host Identity Protocol Rendezvous Servers which store information about nodes connected to other servers and forward address requests
CN101335747B (zh) * 2007-07-01 2012-10-03 华为技术有限公司 通信地址通知、探索及通信检测、恢复方法及其装置
CN101350807B (zh) * 2007-07-20 2012-04-04 华为技术有限公司 多地址空间移动网络架构、主机信息注册及数据发送方法
GB2454645B (en) * 2007-08-31 2012-05-09 Ericsson Telefon Ab L M Location update of a mobile node
CN101383758B (zh) * 2007-09-07 2011-04-20 华为技术有限公司 多地址空间移动网络架构、路由器及数据发送方法
EP2201742B1 (en) * 2007-10-15 2011-12-14 Telefonaktiebolaget LM Ericsson (publ) Provisioning mobility services to legacy terminals
CN101425919B (zh) * 2007-11-02 2012-06-06 华为技术有限公司 主机标识标签的生成、分配方法和设备、网络
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
EP2394418A1 (en) * 2009-02-05 2011-12-14 Telefonaktiebolaget LM Ericsson (publ) Host identity protocol server address configuration
CN101827011B (zh) * 2009-03-04 2013-03-27 华为技术有限公司 一种主机通信的方法、系统和设备
CN102025587B (zh) 2009-09-17 2014-07-02 中兴通讯股份有限公司 Lisp网络与互联网互通的实现方法和系统
CN102025590B (zh) * 2009-09-18 2012-07-18 中兴通讯股份有限公司 新网与互联网互通的实现方法和系统
CN102036215B (zh) * 2009-09-25 2013-05-08 中兴通讯股份有限公司 实现网间漫游的方法、系统及查询和网络附着方法及系统
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
CN102223353A (zh) * 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
CN102238059B (zh) 2010-04-20 2015-05-13 中兴通讯股份有限公司 数据报文处理方法、系统及接入服务节点
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
CN101958910B (zh) * 2010-10-18 2013-05-22 清华大学 基于双代理的一体化标识网络个人通信移动管理方法
WO2012055112A1 (zh) * 2010-10-29 2012-05-03 华为技术有限公司 连接建立方法、装置及通信系统
CN101997875B (zh) * 2010-10-29 2013-05-29 北京大学 一种安全的多方网络通信平台及其构建方法、通信方法
US8683019B1 (en) * 2011-01-25 2014-03-25 Sprint Communications Company L.P. Enabling external access to a private-network host
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US9021104B2 (en) 2011-02-28 2015-04-28 Futurewei Technologies, Inc. System and method for mobility management in a wireless communications system
WO2012122709A1 (zh) * 2011-03-16 2012-09-20 中兴通讯股份有限公司 身份位置分离网络与互联网的互通方法及互通网络
US8315266B1 (en) * 2012-03-02 2012-11-20 Google Inc. Extending a local area network
CN103369519B (zh) * 2012-04-09 2016-09-28 腾讯科技(深圳)有限公司 获取终端号码的归属地信息的方法和终端
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US9912644B2 (en) * 2014-08-05 2018-03-06 Fireeye, Inc. System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US10893126B2 (en) * 2018-03-29 2021-01-12 Siemens Aktiengesellschaft Method and apparatus for protocol translation and exchange of selectable, contextualized data between a server using a next-generation protocol and a legacy server

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9303595D0 (en) * 1993-02-23 1993-04-07 Int Computers Ltd Licence management mechanism for a computer system
EP0840482B1 (en) 1996-11-01 2007-04-25 Hitachi, Ltd. Communicating method between IPv4 terminal and IPv6 terminal and IPv4-IPv6 converting apparatus
JP3344238B2 (ja) * 1996-11-01 2002-11-11 株式会社日立製作所 IPv4−IPv6通信方法およびIPv4−IPv6変換装置
US6839323B1 (en) * 2000-05-15 2005-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Method of monitoring calls in an internet protocol (IP)-based network
US20020194378A1 (en) * 2001-04-05 2002-12-19 George Foti System and method of hiding an internet protocol (IP) address of an IP terminal during a multimedia session
NO20013497D0 (no) * 2001-07-13 2001-07-13 Ericsson Telefon Ab L M Dynamisk distribuering av deltagere i sentraliserte IP- telefonkonferanser
US7028311B2 (en) * 2002-01-04 2006-04-11 Telefonaktiebolaget Lm Ericsson (Publ) Communications node architecture and method for providing control functions in a telecommunications network
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7532614B2 (en) * 2002-09-24 2009-05-12 Siemens Communications, Inc. Methods and apparatus for facilitating remote communication with an IP network

Also Published As

Publication number Publication date
ATE366017T1 (de) 2007-07-15
JP4579934B2 (ja) 2010-11-10
CN1938999B (zh) 2010-09-01
US20070274312A1 (en) 2007-11-29
EP1714434B1 (en) 2007-06-27
CN1938999A (zh) 2007-03-28
US7827313B2 (en) 2010-11-02
DE602004007301D1 (de) 2007-08-09
WO2005081466A1 (en) 2005-09-01
EP1714434A1 (en) 2006-10-25
JP2007522744A (ja) 2007-08-09
DE602004007301T2 (de) 2008-02-28

Similar Documents

Publication Publication Date Title
ES2287697T3 (es) Metodo de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrion (hip) entre legados y nodos hip.
US7949785B2 (en) Secure virtual community network system
US6915345B1 (en) AAA broker specification and protocol
US7174018B1 (en) Security framework for an IP mobility system using variable-based security associations and broker redirection
US7861080B2 (en) Packet communication system
US20040249974A1 (en) Secure virtual address realm
US20040249973A1 (en) Group agent
ES2368566T3 (es) Conexión rápida a red.
US20070081512A1 (en) Terminal and communication system
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
EP2201742B1 (en) Provisioning mobility services to legacy terminals
Henderson et al. Experience with the host identity protocol for secure host mobility and multihoming
US20110296027A1 (en) Host identity protocol server address configuration
Ylitalo et al. BLIND: A complete identity protection framework for end-points
JP2005277498A (ja) 通信システム
Jokela et al. Host Identity Protocol: Achieving IPv4 œ IPv6 handovers without tunneling
Arkko et al. Limitations of IPsec policy mechanisms
Ylitalo et al. SPINAT: Integrating IPsec into overlay routing
Aiash A novel security protocol for resolving addresses in the location/id split architecture
Ylitalo Secure mobility at multiple granularity levels over heterogeneous datacom networks
Camarillo et al. Hip bone: host identity protocol (hip) based overlay networking environment (bone)
Sadio et al. Improving security and mobility for remote access: a wireless sensor network case
Pulkkis et al. Mobile virtual private networking
Nikander et al. Host Identity Protocol (HIP): an overview
WO2001043329A2 (en) Enabling simultaneous provision of infrastructure services