FI105753B

FI105753B - Förfarande för autentisering av paket vid förekomst av ändrade nätadresser och protokollmodifieringar

Info

Publication number: FI105753B
Application number: FI974665A
Authority: FI
Inventors: Tatu Yloenen
Original assignee: Ssh Comm Security Oy
Priority date: 1997-12-31
Filing date: 1997-12-31
Publication date: 2000-09-29
Also published as: US6795917B1; IL136787A0; WO1999035799A3; AU1879599A; JP2002501332A; EP1036460A2; FI974665A0; ATE307449T1; FI974665A; EP1036460B1; WO1999035799A2; CA2315722C; JP3457645B2; DE69831974D1; CA2315722A1; DE69831974T2

Claims

1. Förfarande for att utföra autentisering av paket mellan en sändande nod (903) och en mottagande nod (902) enligt en säkerhetsprincip som tillämpas i nätet, kän- 5. netecknat av att det innefattar steg i vilka - formforändringar som sker i paketet pä vägen mellan den sändande och den mottagande noden detekteras dynamiskt (1003, 1004), - kontrolleras (1004) att de detekterade formförändringama är acceptabla enligt den tillämpade säkerhetsprincipen, och 10 -de dynamiskt detekterade, acceptabla formförändringama kompenseras (1004, 1006) innan de paket som sänts frän den sändande noden till den mottagande noden autentiseras.

2. Förfarande enligt patentkrav 1, kännetecknat av att varje paket som sänts frän 15 den sändande noden (903) till den mottagande noden (902) innehaller en kryptogra- fisk autentiseringskod (1101) som härletts frän ett hemligt chiffer och det ursprang-liga paketets innehall.

3. Förfarande enligt patentkrav 2, kännetecknat av att för att kompensera de dy-20 namiskt detekterade formförändringama behandlas innehället i ett ursprungligt paket i den sändande noden (903) innan nämnda kryptografiska autentiseringskod (1101) beräknas.

4. Förfarande enligt patentkrav 2, kännetecknat av att för att kompensera de dy-25 namiskt detekterade formförändringama behandlas innehället i ett mottaget paket i 9 ' ---------- den mottagande noden (902) innan nämnda kryptografiska autentiseringskod (1101) bekräftas.

5. Förfarande enligt patentkrav 4, kännetecknat av att ätminstone ett datapaket 30 (602, 901) som överförts frän den sändande noden (903) till den mottagande noden (902) innehäller en lagrad kopia av ätminstone en del av den ursprungliga paketrub-riken (1104) och den mottagande noden använder den lagrade kopian i paketrubri-• ken vid bekräftelse av det mottagna paketets nämnda kryptografiska autentiserings kod. 35

6. Förfarande enligt patentkrav 5, kännetecknat av att nämnda lagrade kopia lag- tm\ rats i en säroption av paketrubriken. 105753

7. Förfarande enligt patentkrav 6, kännetecknat av att nämnda säroption är en IP-option.

8. Förfarande enligt patentkrav 5, kännetecknat av att nämnda lagrade kopia har 5 autentiserats kryptografiskt.

9. Förfarande enligt patentkrav 1, kännetecknat av att det protokoll som ligger till grand för överföring av paket frän den sändande noden tili den mottagande noden är ett Ipv4-protokoll, och autentiseringen av paketen utförs genom att an- 10 vända IPSEC-protokoll.

10. Förfarande enligt patentkrav 1, kännetecknat av att det protokoll som ligger till grand för överföring av paket frän den sändande noden tili den mottagande noden är ett Ipv6-protokoll. 15

11. Förfarande enligt patentkrav 1, kännetecknat av att formforändringama inne-haller IP-adressförändringar (100).

12. Förfarande enligt patentkrav 1, kännetecknat av att formforändringama inne-20 häller TCP/UDP-portförändringar.

13. Förfarande enligt patentkrav 1, kännetecknat av att formforändringama inne-häller en omvandling mellan Ipv4- och IPvG-protokoll. 25

14. Förfarande enligt patentkrav 1, kännetecknat av att den dynamiska detekte- ringen utförs genom att använda en provmetod bland följande: ospridd provning i linje, spridande provning i linje, separat provning.

15. Förfarande enligt patentkrav 14, vid vilket provningsmetoden innefattar ett 30 steg för att sända en sond (1003) frän den sändande noden tili den mottagande noden, kännetecknat av att sonden är ett paket som sänds tili samma nätadress som • « normala datapaket.

16. Förfarande enligt patentkrav 15, kännetecknat av att som svar pä mottagande 35 av sond sänder den mottagande noden ett sondsvar (1005) tili den sändande noden. I · « 105753

17. Förfarande enligt patentkrav 1, kännetecknat av att de signalerande nodema underhandlar huravida de bada blir autentiserade da de överförda paketen utsätts för formforändringar. . 5

18. Förfarande enligt patentkrav 1, kännetecknat av att det innefattar ett steg för att säkra att omvandlingsegenskapema defmieras med tillräckligt liten komighet för att analysera de finkomigaste formforändrignama pä vägen mellan de signalerande nodema. 10

19. Nätanordning (1300) för att sända digital information i paketautentiserad form enligt en tillämpad säkerhetsprincip tili en annan nätanordning i ett nät, kännetecknat av att den innefattar organ (1305,1306, 1307) - för att dynamiskt detektera formforändringar som sker i paketet pä vägen mellan den och en annan nätanordning, 15. för att kontrollera att de detekterade formförändringama är acceptabla enligt den tillämpade säkerhetsprincipen, och - för att kompensera de dynamiskt detekterade, acceptabla formförändringama innan de paket som skall autentiseras sänds tili den andra nätanordningen.

20 20. Nätanordning (1300) för att ta emot digital information i paketautentiserad form enligt en tillämpad säkerhetsprincip frän en annan nätanordning i ett nät, kännetecknat av att den innefattar organ (1305, 1306, 1307) - för att dynamiskt detektera formforändringar som sker i paketet pä vägen mellan den och en annan nätanordning, 25. för att kontrollera att de detekterade formförändringama är acceptabla enligt den tillämpade säkerhetsprincipen, och - för att kompensera de dynamiskt detekterade, acceptabla formförändringama innan de paket som skall tagits emot frän den andra nätanordningen autentiseras. • ·