FI106594B - Communication method for sending a message through a firewall - Google Patents

Communication method for sending a message through a firewall Download PDF

Info

Publication number
FI106594B
FI106594B FI990265A FI990265A FI106594B FI 106594 B FI106594 B FI 106594B FI 990265 A FI990265 A FI 990265A FI 990265 A FI990265 A FI 990265A FI 106594 B FI106594 B FI 106594B
Authority
FI
Finland
Prior art keywords
firewall
message
computer system
information
transmitted
Prior art date
Application number
FI990265A
Other languages
Finnish (fi)
Swedish (sv)
Other versions
FI990265A0 (en
FI990265A (en
Inventor
Panu Pietikaeinen
Original Assignee
Intrasecure Networks
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intrasecure Networks filed Critical Intrasecure Networks
Priority to FI990265A priority Critical patent/FI106594B/en
Publication of FI990265A0 publication Critical patent/FI990265A0/en
Priority to EP00902692A priority patent/EP1153499A1/en
Priority to JP2000599188A priority patent/JP2002537689A/en
Priority to PCT/FI2000/000075 priority patent/WO2000048372A1/en
Priority to AU24445/00A priority patent/AU2444500A/en
Priority to CA002362634A priority patent/CA2362634A1/en
Publication of FI990265A publication Critical patent/FI990265A/en
Application granted granted Critical
Publication of FI106594B publication Critical patent/FI106594B/en
Priority to NO20013915A priority patent/NO20013915L/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

! 106594! 106594

TIETOLIIKENNEMENETELMÄ VIESTIN LÄHETTÄMISEKSI PALOMUURIN LÄPI TEKNINEN ALACOMMUNICATION METHOD FOR SENDING A MESSAGE THROUGH A FIREWALL AND TECHNICAL FIELD

55

Keksintö koskee tietoliikennemenetelmää viestin lähettämiseksi tietokoneverkossa ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen tietokonejärjestelmään palomuurin läpi. Menetelmää voidaan käyttää suojattujen viestien lähettämiseksi erilaisilla suojausmenetelmillä, erilaisissa 10 tietokoneverkoissa ja erilaisilla verkkoprotokollilla ja sen odotetaan olevan erityisen käyttökelpoinen esimerkiksi salaisten viestien lähettämiseksi.The invention relates to a communication method for transmitting a message in a computer network from a first computer system to at least one second computer system through a firewall. The method can be used to send secure messages by different security methods, different computer networks, and different network protocols, and is expected to be particularly useful, for example, for sending secret messages.

TEKNIIKAN TASON KUVAUSDescription of the Related Art

1515

Tietokoneverkko muodostuu kahdesta tai useammasta yhteen kytketystä tietokoneesta. Lähiverkot (tai sisäiset verkot) voivat muodostua yrityksen sisäisistä tietokoneista, kun taas kaukoverkot voivat käsittää laajempia alueita, kuten useita kaupunkeja tai jopa maita. Verkot voidaan kytkeä toisiinsa kaapeleilla, kuiduilla 20 ja/tai radioyhteyksillä.A computer network consists of two or more computers connected together. LANs (or internal networks) can consist of in-house computers, while long-distance networks can cover larger areas, such as several cities or even countries. The networks may be interconnected by means of cables, fibers 20 and / or radio links.

Internet on esimerkki kaukoverkosta. Tätä maailmanlaajuista verkkoa voidaan käyttää kommunikaatioon ja tiedon levittämiseen ja hakemiseen.The Internet is an example of a remote network. This global network can be used for communication and dissemination and retrieval of information.

25 Sisäisessä sähköpostijärjestelmässä kaikki lähiverkkoon kytketyt tietokoneet voivat lähettää viestejä toisilleen. Tällainen lähiverkko voidaan sitten kytkeä toiseen verkkoon, joka voi olla ulkoinen verkko, kuten Internet. Siten sähköpostia voidaan • _ lähettää koko maailmassa jokaiselle ulkoiseen verkkoon kytketylle. Internet on tavallisin yhteinen verkko tietoliikennettä varten, joka tapahtuu esimerkiksi 30 sähköpostilla.25 In the internal e-mail system, all computers on a LAN can send messages to each other. Such a LAN can then be connected to another network, which may be an external network such as the Internet. This allows you to send • emails worldwide to anyone connected to an external network. The Internet is the most common common network for telecommunication, for example with 30 e-mails.

2 1065942 106594

Se, että useita lähiverkkoja voidaan kytkeä muihin verkkoihin, varsinkin Internetiin, asettaa turvallisuus-ja laitevaatimuksia.The fact that multiple LANs can be connected to other networks, especially the Internet, sets security and hardware requirements.

Turvallisuuden parantamiseksi on olemassa erilaisia järjestelmiä. On tärkeätä, että 5 sisäisessä verkossa olevat tiedot voidaan suojata niin, että ainoastaan oikeat käyttäjät voivat muuttaa ja lukea niitä. Yleensä käyttäjät esittävät itsensä käyttäjänimellä ja salasanalla. Muitakin turvallisuusyksityiskohtia on olemassa. Muita turvallisuusongelmia ovat virheet verkossa ja käynnistyspysähdykset. Korkealle kehitettyjen turvallisuusjärjestelmien merkitys kasvaa yhä ίο monimutkaisempien järjestelmien myötä.There are different systems to improve security. It is important that the data on the 5 internal network can be protected so that only the right users can change and read it. Usually, users present themselves with a username and password. There are other security details. Other security issues include network errors and startup stops. The importance of sophisticated security systems is growing with ever more complex systems.

Internetin suosio heijastaa sitä, että uudet verkkotuotteet ja -palvelut kehittyvät koko ajan. Näitä tuotteita kehitetään uusien Internet-standardien mukaan ja sovitetaan niihin protokolliin, joita Internetissä käytetään siirtoihin.The popularity of the Internet reflects the fact that new online products and services are constantly evolving. These products are developed according to new Internet standards and are adapted to the protocols used for transmissions on the Internet.

1515

Palomuuri on turvallisuusjärjestelmä verkon suojaamiseksi muiden verkkojen, kuten internetin, oikeuttamattomien käyttäjien tunkeutumiselta. Palomuuri voi estää tietokoneita kommunikoimasta suoraan muiden verkkojen, kuten ulkoisten verkkojen, kanssa ja päinvastoin. Sen sijaan, kaikki kommunikaatio tapahtuu 20 sisäisen verkon ulkopuolelle asetetun palomuurin läpi. Palomuuri päättää sen, onko viestien ja liitteiden läpipäästäminen ulkoisen ja sisäisen verkon välillä turvallista. Viestit voivat olla tietopaketteja, ja läpipäästäminen päätetään viestin osoitteen ja erilaisten parametrien perusteella. Siten palomuuri hallitsee sisäisen ja ulkoisen verkon välistä kommunikaatiota ja muuntaa esimerkiksi TCP/IP:hen 25 perustuvan Internetin tietopaketteja (TCP/IP-protokollan suhteen, katso seuraava sivu). Yleensä palomuuri kääntää verkko-osoitteita ja muuta tietoa, jotka määräävät kommunikaation niin, että sisäinen osoite ja sisäiset parametrit muutetaan ulkoiseksi osoitteeksi ja ulkoisiksi parametreiksi. Tämä tarkoittaa sitä, että esimerkiksi sisäisessä tai paikallisessa verkossa käytetyt IP-osoitteet kätketään 30 ulkopuolisilta käyttäjiltä. Palomuuri muuntaa takaisin sellaisen paketin, joka tulee ulkoisesta verkosta sisäiseen verkkoon.A firewall is a security system designed to protect a network from intrusion by other users, such as the Internet. A firewall can prevent computers from communicating directly with other networks, such as external networks, and vice versa. Instead, all communication takes place through 20 firewalls set up outside the internal network. The firewall decides whether it is safe to pass messages and attachments between the external and internal network. The messages can be data packets, and the passage is decided based on the message address and various parameters. Thus, the firewall manages the communication between the internal and external network and converts, for example, TCP / IP based Internet data packets (for TCP / IP protocol, see next page). Generally, a firewall translates network addresses and other information that determine communication by converting the internal address and internal parameters into an external address and external parameters. This means that the IP addresses used, for example, on an internal or local network are hidden from external users. A firewall converts back a packet coming from an external network to an internal network.

3 1065943, 106594

Palomuuri voidaan muodostaa monella eri tavoilla ja se suunnitellaan tavallisesti yksilöllisesti tapauksesta riippuen verkon sen hetkisten tarpeiden mukaan. Jos palomuurin läpi menevän liikenteen määrä on hyvin korkea, palomuuria varten tarvitaan suhteellisen mittava laitteisto.A firewall can be set up in many different ways and is usually designed individually, depending on the case, according to the current needs of the network. If the volume of traffic passing through the firewall is very high, relatively large hardware is required for the firewall.

55

Toinen menetelmä turvallisuuden lisäämiseksi on lähetettävien viestien suojaaminen esimerkiksi tunneloinnilla virtuaalisissa verkoissa. Virtuaalisissa verkoissa useat paikalliset ja globaaliset verkot käyttävät Internetiä verkkojen kytkemiseksi toisiinsa. Tunneloinnilla tietoa siirretään kahden verkon välillä ίο kolmannen verkon, kuten Internetin, kautta. Tässä tekniikassa, tietyn protokollan mukaisesti tehtyjä tietopaketteja kapseloidaan jonkun muun protokollan mukaisiin paketteihin. Pakettimuoto on siirtomenetelmä, jota voidaan käyttää virtuaalisissa yhteyksissä. Tällä tekniikalla tietoa lähetetään pieninä "paketteina”, joilla on osoite ja lähettäjä, niin että useat henkilöt voivat käyttää yhteyttä samanaikaisesti. Toinen is käytetyistä protokollista on yleensä TCP/IP, kun siirrot tapahtuvat internetin läpi. Omat protokollat paketoidaan TCP/IP-pakkauksiin, jotka lähetetään Internetin läpi.Another method to increase security is to protect the messages being sent by, for example, tunneling in virtual networks. In virtual networks, many local and global networks use the Internet to connect networks. Tunneling transfers information between two networks over a third network, such as the Internet. In this technique, data packets made according to a particular protocol are encapsulated in packets according to another protocol. The packet format is a transport method that can be used in virtual connections. This technique sends information in small "packets" with an address and sender so that multiple people can use the connection at the same time. Another of the protocols used is usually TCP / IP when transmitting over the Internet. My protocols are packaged in TCP / IP broadcast over the Internet.

Tietokoneiden välinen tiedonsiirto tapahtuu tiettyjen sääntöjen mukaisesti, joita kutsutaan protokolliksi. TCP/IP on yksi sellainen protokolla ja se on lyhennys 20 sanoista "Transmission Control Protocol/lntemet Protocol”. TCP/IP-standardit on hyvin dokumentoitu nk. RFC (Request for Comments) dokumenteissa. IP-protokolla huolehtii tietopaketeista ja on vastuussa siitä että paketit löytävät oikean osoitteen. Tietopaketeille annetaan Internet-osoite ja ne menevät tietokoneesta toiselle kunnes saavutetaan oikea määräpää. IP:n avulla tapahtuva kommunikaatio on 25 yhteydetön koska kiinteää yhteyttä kommunikoivien tietokoneiden välillä ei ole. Viesti etenee askel kerrallaan. TCP-protokolla huolehtii viestien siirrosta kahden tietokoneen välillä luomalla niiden välille virtuaalisen yhteyden ilman fysikaalista yhteyttä. TCP on kuljetusprotokolla, joka on vastuussa itse yhteydestä lähettäjän ja vastaanottajan välillä. Internetissä voidaan käyttää myös muita kuin TCP/IP-30 standardeja.Data transfer between computers takes place according to certain rules called protocols. TCP / IP is one such protocol and is an acronym for "Transmission Control Protocol / Internet Protocol". TCP / IP standards are well documented in so-called RFC (Request for Comments) documents. The IP protocol takes care of the data packets and is responsible for ensuring that The packets find the correct address The data packets are given an Internet address and go from one computer to another until the right destination is reached Communication over IP is 25 offline because there is no wired connection between the computers communicating The message proceeds step by step TCP protocols TCP is a transport protocol that is responsible for the connection between the sender and the recipient, and other than TCP / IP-30 standards can be used over the Internet.

« 106594«106594

Paketit menevät Internetin ylläpitämän ’’tunnelin” läpi, joissa eri protokollien mukaiset paketit erotetaan toisistaan ja palautetaan alkuperäiseen muotoonsa. Vastaanottajan oikeudet voidaan tarkistaa eri tavoilla. Autentikoinnissa tarkistetaan käyttäjän identiteetti kun taas autorisointi määrittää mitkä oikeudet käyttäjällä on.The packets go through a "tunnel" maintained by the Internet, where packets according to different protocols are separated and returned to their original state. Recipient rights can be verified in different ways. Authentication verifies the identity of the user, while authentication determines what rights the user has.

55

Virtuaaliset verkot ovat erittäin turvallisia. Salaisella tiedolla on oma kanavansa Internetissä erilaisten autentikointi-, kryptaus-ja kapselointimenetelmien ansiosta.Virtual networks are very secure. Sensitive information has its own channel on the Internet thanks to various authentication, encryption and encapsulation methods.

Internetin turvallisuus ei ole riittävä kaiken tyyppisiin siirtoihin. On kuitenkin 10 olemassa menetelmiä Internetin läpi lähetettyjen sähköposti- ja muiden viestien suojaamiseksi muilta. Erityisen hyvä turvallisuus saavutetaan kryptauksella.Internet security is not sufficient for all types of transfers. However, there are 10 ways to protect email and other messages sent over the Internet from others. Particularly good security is achieved by encryption.

Kryptauksella viestit muutetaan ennen lähettämistä niin että niitä ei voi lukea ennen kryptauksen purkamista erityisellä avaimella ja yleensä varmistetaan myös, että 15 oikea henkilö lähetti viestin (autentikointi). On olemassa hyvin paljon erilaisia, tämän tyyppisiä kryptausmenetelmiä.By encryption, messages are modified before sending so that they cannot be read before decrypting with a special key, and usually also ensures that the 15 correct people sent the message (authentication). There are many different types of encryption methods of this type.

Monissa suojausmenetelmissä kaikilla yhteyksillä on eri parametrit. Sitä funktiota, jolla todellinen suojaus tehdään, kutsutaan transformaatioksi. Transformaatio-20 funktio muuttaa paketit tiettyjen parametrien mukaan riippuen kulloinkin käytetystä suojauksesta.In many security methods, each connection has different parameters. The function by which true protection is performed is called transformation. The transformation-20 function changes the packets according to certain parameters, depending on the type of protection used.

Eräs ongelma palomuurien yhteydessä on palomuuria varten tarvittavan laajan laitteiston tarve, jos palomuurin läpi menevän liikenteen määrä on korkea.One problem with firewalls is the need for extensive hardware for the firewall if the volume of traffic passing through the firewall is high.

2525

Toinen palomuurien yhteydessä esiintyvä ongelma on se, että kun käytetään suojausmenetelmiä verkoissa, jotka ovat palomuurin suojaamia, palomuuri ei kykene tunnistamaan lähetettäviä viestejä eikä siksi päästä niitä läpi.Another problem with firewalls is that when security methods are used in networks that are protected by a firewall, the firewall is unable to recognize the messages being transmitted and therefore cannot pass through them.

5 1065945 106594

Olemassa olevissa menetelmissä, suojausfunktio tai suojauksen parametrit annetaan palomuurille, jotta palomuuri voisi tunnistaa tai suojata viestin, jolloin se voidaan lähettää palomuurin läpi.In existing methods, a security function or security parameters are assigned to the firewall so that the firewall can identify or protect the message so that it can be sent through the firewall.

5 US-patentti 0715668 mainitaan tekniikan tasona. Tämä patentti koskee turvallista tiedonsiirtoa palomuurien välillä suojaamattoman verkon yli. Palomuuri käsittelee Intemet-protokollan turvallisuutta ja IPSec-viestejä olettamatta, että kryptatuilla viesteillä olisi oikeutta kaikkiin palveluihin purkamalla viesti ja tarkistamalla oikeudet.5 U.S. Patent No. 7,715,668 is mentioned as a state of the art. This patent relates to secure communication between firewalls over an unprotected network. The firewall handles Internet protocol security and IPSec messages without assuming that the encrypted messages have access to all services by decrypting the message and verifying the permissions.

1010

Toinen sellainen menetelmä on kuvattu US-patentissa 0586231, jossa palomuuri saa myöntää virtuaalisia tunneleita ja salaisia avaimia.Another such method is described in U.S. Patent No. 5,086,231, in which a firewall is allowed to issue virtual tunnels and secret keys.

Euroopan patenttihakemuksessa EP 0 858 201 sähköinen tiedonsiirtojärjestelmä is lähettää viestin ensimmäisen tietokonejärjestelmän,. loka on järjestetty palomuurin sisäpuolelle, ja toisen tietokonejärjestelmän välillä. Viestit, jotka eivät ole sopivia lähetettäväksi palomuurin läpi käännetään muotoon, jossa ne voidaan lähettää palomuurin ylitse.In the European patent application EP 0 858 201, the electronic data transmission system transmits the message to the first computer system. the October is arranged inside the firewall, and between another computer system. Messages that are not suitable for transmission through a firewall are translated into a format where they can be transmitted over the firewall.

2020

KEKSINNÖN TAVOITEOBJECT OF THE INVENTION

Keksinnön tavoitteena on menetelmä viestien lähettämiseksi, joka aiemmin tunnettuihin menetelmiin verrattuna vähentää palomuuritietokoneen suorittamaa 25 työmäärää.It is an object of the invention to provide a method for transmitting messages which, compared to prior art methods, reduces the workload performed by a firewall computer.

*> ·*> ·

Keksinnön toisena tavoitteena on turvallisempi menetelmä suojattujen viestien lähettämiseksi palomuurin läpi.Another object of the invention is to provide a safer method for transmitting protected messages through a firewall.

6 1065946 106594

Yksityiskohtaisemmin, keksinnön tavoitteena on menetelmä, jolla suojattuja viestejä voidaan lähettää palomuurin läpi antamatta paikallisen verkon ulkopuolelle olevalle palomuurille tietoa suojauksen parametreistä.More particularly, it is an object of the invention to provide a method for transmitting protected messages through a firewall without providing the firewall outside the local network with information about the security parameters.

55

KEKSINNÖN KUVAUSDESCRIPTION OF THE INVENTION

Keksinnön mukaisessa menetelmässä tietokoneverkossa lähetetään viesti ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen ίο tietokonejärjestelmään palomuurin läpi. Vaiheessa a) lähetetään tietoa sisältävä pyyntö ensimmäisestä tietokonejärjestelmästä palomuurille uutta yhteyttä varten ensimmäisen tietokonejärjestelmän ja toisen tietokonejärjestelmän välille. Vaiheessa b), kun viesti on hyväksytty, palomuuri lähettää ensimmäiselle tietokonejärjestelmälle tietoa niistä välttämättömistä muutoksista, jotka on tehtävä 15 viestiin, joka lähetetään pyydetyn yhteyden läpi palomuurin kautta. Vaiheessa c), lähetettävä suojattu viesti muutetaan ensimmäisessä tietokonejärjestelmässä palomuurin lähettämän tiedon mukaisesti. Vaiheessa d), joka on valinnainen ja joka voidaan suorittaa ennen vaihetta c) tai vaiheen c) jälkeen, palomuurille lähetetään tunnistustietoa siitä yhteydestä, jonka avulla lähetettävä viesti lähetetään 20 mainittujen tietokonejärjestelmien välillä niin, että palomuuri voi tunnistaa yiestin ja päästää sen läpi. Vaiheessa e) suolattu viesti sitten lähetetään ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen tietokonejärjestelmään palomuurin kautta.In the method of the invention, a message is sent from a first computer system to at least one second computer system through a firewall in a computer network. In step a), an information request is sent from the first computer system to the firewall for a new connection between the first computer system and the second computer system. In step b), once the message is accepted, the firewall sends to the first computer system information on the necessary changes to be made to the 15 messages that are transmitted through the requested connection through the firewall. In step c), the protected message to be transmitted is modified in the first computer system according to the information transmitted by the firewall. In step d), which is optional and can be performed before step c) or after step c), the firewall is sent identification information about the connection by which the message to be transmitted is transmitted between said computer systems so that the firewall can recognize and pass through the message. In step e), the salted message is then transmitted from the first computer system to the at least one second computer system via a firewall.

25 Eräässä menetelmän sovelluksessa, lähetettävä viesti suojataan koska menetelmä sopii erittäin hyvin suojattujen viestien lähettämiseksi. Siinä tapauksessa mainittujen tiekonejärjestelmien välillä lähetettävä viesti suojataan vaiheessa c) sen jälkeen kun se on muutettu, jolloin vaihe d) on pakollinen ja ensimmäisestä tietokonejärjestelmästä palomuurille lähetettävä tieto sisältää tarvittavan 30 informaation niin, että palomuuri voi tunnistaa viestiä varten olevan yhteyden.25 In one embodiment of the method, the message being transmitted is protected because the method is very well suited for sending protected messages. In that case, the message transmitted between said road machine systems is protected in step c) after being modified, wherein step d) is mandatory and the information transmitted from the first computer system to the firewall includes the necessary information 30 so that the firewall can identify the connection for the message.

7 1065947 106594

Suojausmenetelmä voi olla jokin alalla tunnettu menetelmä. Eräs sopiva tapa viestin suojaamiseksi on sellaisen menetelmän käyttäminen, joka on määritelty TCP/IP-standardissa RFC 1825. Tämä standardi sisältää alistandardeja esimerkiksi autentikointi- ja kryptausmenetelmille, joita voidaan käyttää erikseen tai 5 samanaikaisesti keksinnön mukaisella menetelmällä lähetettävässä viestissä. RFC 1825 on standardi, joka määrittelee IPSec-turvajärjestelmästandardin, joka muodostuu käytetyn menetelmän teknologiset periaatteet. IPSec:llä on puolestaan kryptausalistandardeja, kuten ESP-alistandardi, joka on lyhennys sanoista ’’abbreviation for encapsulated security protocol”, ja AH-alistandardi, joka on ίο lyhennys IP:ssä käytettävälle autentikointistandardille. Autentikointimenetelmä voi olla MD5, SHA tai jokin muu alalla tunnettu menetelmä. Kryptausmenetelmä voi olla jokin tunnettu menetelmä, kuten DES, Blowfish tai vastaava.The protection method may be any one known in the art. One convenient way to protect a message is to use a method as defined in TCP / IP standard RFC 1825. This standard contains sub-standards for, for example, authentication and encryption methods that can be used separately or simultaneously in a message transmitted by the method of the invention. RFC 1825 is a standard that defines an IPSec security system standard that is composed of the technological principles of the method used. IPSec, in turn, has encryption sub standards, such as the ESP sub standard, which stands for "abbreviation for encapsulated security protocol", and the AH sub standard, which is an abbreviation for the authentication standard used in IP. The authentication method may be MD5, SHA or any other method known in the art. The encryption method may be any known method, such as DES, Blowfish or the like.

Vaiheessa a), ensimmäisestä tietokonejärjestelmästä palomuurille lähetettävä is uuden yhteyden pyyntö sisältää esimerkiksi osoitteen tunnistustietoa ja muita parametrejä ensimmäisen tietokonejärjestelmän ja ainakin yhden muun tietokonejärjestelmän välille avatusta yhteydestä. Tyypillisiä muita parametrejä on esimerkiksi IP-tiedot (lähettäjän osoite, vastaanottajan osoite), protokollatyyppi ja TCP-tiedot (lähettäjän portti, vastaanottajan portti). Portti määrittelee sovelluksen 20 tiedon siirtämiseksi esim. TCP/IP:llä, kuten käytetyn ohjelman, verkkoselaimen jne.In step a), the request for a new connection to be sent from the first computer system to the firewall includes, for example, address identification information and other parameters of the open connection between the first computer system and at least one other computer system. Typical other parameters are, for example, IP information (sender address, recipient address), protocol type, and TCP information (sender port, recipient port). The port defines an application 20 for transmitting data e.g. via TCP / IP, such as the application being used, the web browser, etc.

Vaiheessa b), tyypillisiä parametrejä, joita palomuuri muuntaa niin, että viestit voivat läpäistä sen ovat edellä mainitut tiedot, esim. IP-tiedot (lähettäjän osoite, vastaanottajan osoite), protokollatyyppi ja TCP-tiedot (lähettäjän portti, 25 vastaanottajan portti). Muutokset voivat koskea kaikkia vaiheen a) tietoja, tai vain osaa niistä. Palomuuri saattaa tuntea kaiken muokattavan tiedon vaikka sitä ei nimenomaan olisi sisällytetty vaiheeseen a).In step b), typical parameters that the firewall converts to allow messages to pass through are the above information, e.g., IP information (sender address, recipient address), protocol type, and TCP information (sender port, 25 recipient port). Changes may apply to all or some of the information in step a). The firewall may know all the data being edited even if it is not explicitly included in step a).

Viestit voivat ainoastaan läpäistä palomuurin, jos palomuuri voi tunnistaa ne 30 hyväksyttäviksi viesteiksi. Vaiheessa d), palomuurille lähetetään mainittujen tietokonejärjestelmien välillä lähetettävän viestin suojaamiseksi käytetyn s 106594 suojauksen tunnistustietoja niin, että palomuuri voi tunnistaa suojatun viestin. Tunnistustiedot voivat olla sellaisessa muodossa, että palomuuri voi tunnistaa ko. yhteyden mutta ei viestin suojaamiseksi käytettyjä parametrejä. Monilla hyväksytyillä yhteyksillä voi olla sama IP-osoite, mutta erilaiset muut parametrit.Messages can only pass through the firewall if the firewall can recognize them as 30 acceptable messages. In step d), the firewall is provided with security identification information used to protect the message to be transmitted between said computer systems so that the firewall can identify the protected message. The identification information may be in a form that allows the firewall to identify the information. parameters used to protect the connection but not the message. Many accepted connections may have the same IP address but different parameters.

5 Ko. suojattu viesti lähetetään jonkun hyväksytyn yhteyden parametrien mukaisesti. Palomuurin on tunnistettava tämä viesti hyväksytyksi viestiksi ja turvalliseksi lähettää. Jos viesti ei ole suojattu, vaihe d) saattaa olla tarpeeton joissakin suoritusmuodoissa, mutta saattaa silti olla edullinen muissa suoritusmuodoissa. Jos esimerkiksi palomuurin läpi menevä liikenne on vilkasta, vaihe d) saattaa ίο nopeuttaa lähettämistä.5 Ko. the secure message is sent according to the parameters of an approved connection. The firewall must recognize this message as an accepted message and send it safely. If the message is not protected, step d) may be unnecessary in some embodiments, but may still be preferred in other embodiments. For example, if traffic through the firewall is heavy, step d) may expedite transmission.

Keksinnön keksinnöllisyys on siinä, että palomuurin toiminnasta osa on siirretty toiseen tietokonetomintoon ja suoritetaan ensimmäisessä tietokonejärjestelmässä. Jos viesti on suojattu, palomuuri ja ensimmäinen tietokonejärjestelmä siirtävät 15 tarpeellista tietoa niin, että palomuuri voi päästää suojatut viestit läpi ilman tietoa lähetettävän viestin suojaukseen käytetyistä parametreistä.The inventive aspect of the invention is that part of the function of the firewall is transferred to another computer function and executed in the first computer system. If the message is protected, the firewall and the first computer system transmit the necessary information so that the firewall can pass through the protected messages without knowing the parameters used to protect the message being transmitted.

Seuraavassa keksintöä kuvataan keksinnön eräiden edullisten suoritusmuotojen avulla. Suoritusmuotojen yksityiskohdat voivat vaihdella vaatimusten suojapiirin 20 puitteissa.The invention will now be described by means of some preferred embodiments of the invention. The details of the embodiments may vary within the scope of the claims.

PIIRUSTUSTEN LYHYT KUVAUSBRIEF DESCRIPTION OF THE DRAWINGS

25 Kuvio 1 on vuokaavio keksinnön mukaisen menetelmän eri vaiheista.Figure 1 is a flow chart of the various steps of the process of the invention.

Kuvio 2 on kaaviollinen kuva tietokoneverkosta, jossa keksinnön tietoliikenne-kommunikaatio suoritetaan.Figure 2 is a schematic view of a computer network in which the communication communication of the invention is performed.

30 9 10659430 9 106594

KEKSINNÖN YKSITYISKOHTAINEN KUVAUSDETAILED DESCRIPTION OF THE INVENTION

Kuvio 2 on kaaviollinen kuva tietokoneverkosta, jossa keksinnön tietoliikenne-kommunikaatio voidaan suorittaa. Viesti on lähetettävä ensimmäisestä 5 tietokonejärjestelmästä C1 toiseen tietokonejärjestelmään C2. Kuviossa 2, ensimmäinen tietokonejärjestelmä kuuluu sisäiseen verkkoon. Sisäistä verkkoa suojaa palomuuri niin, että palomuurin on tunnistettava ja hyväksyttävä kaikki viestit jotka lähetetään ja otetaan vastaan palomuurin kautta. Palomuuri valvoo sen yhteyden tietoja, jonka kautta viestit lähetetään ja jos palomuuri hyväksyy yhteyden, ίο viestit saavat mennä palomuurin läpi. Ennen kuin viestit voivat läpäistä palomuurin, ne muutetaan palomuurissa tiettyjen parametrien mukaisesti, jotka koskevat esimerkiksi osoitteen muutoksia ja protokollamuutoksia. Tietokonejärjestelmällä C1 on virtuaalinen yhteys tietokonejärjestelmään C2, mikä tarkoittaa sitä, että viestit, jotka on lähetettävä ensimmäisestä tietokonejärjestelmästä C1 toiseen is tietokonejärjestelmään C2 lähetetään yhden tai useamman muun, kuten ulkoisen, verkon kautta, esimerkiksi internetin, kun ne on läpäissyt palomuurin ennen kun ne saapuvat toiseen tietokonejärjestelmään C2 ja tämä vastaanottaa viestit.Figure 2 is a schematic view of a computer network in which the communication communication of the invention may be performed. The message must be sent from the first 5 computer systems C1 to the second computer system C2. In Figure 2, the first computer system is part of an internal network. The internal network is protected by a firewall so that the firewall must recognize and accept all messages sent and received through the firewall. The firewall controls the details of the connection through which the messages are sent, and if the firewall accepts the connection, the messages can go through the firewall. Before messages can pass through the firewall, they are modified in the firewall according to certain parameters, such as address changes and protocol changes. Computer system C1 has a virtual connection to computer system C2, which means that messages to be sent from the first computer system C1 to the second computer system C2 are sent over one or more other networks such as an external one, such as the Internet, after passing through a firewall computer system C2 and this receives the messages.

Kuvio 1 on vuokaavio keksinnön mukaisen menetelmän eri vaiheista. Viesti on 20 lähetettävä tietokoneverkossa ensimmäisestä tietokonejärjestelmästä C1 toiseen tietokonejärjestelmään, joka on asetettu sisäisen tai paikallisen verkon ulkopuolelle, johon ensimmäinen tietokonejärjestelmä C1 kuuluu. Keksinnön mukaista menetelmää voidaan käyttää sekä palomuurin suorittaman työn vähentämiseksi ja/tai suojattujen viestien lähettämiseksi. Jos lähetettävä viesti on 25 suojattava ennen lähettämistä keksinnön toisen suoritusmuodon mukaisesti, sitä ei voida lähettää palomuurin läpi normaalilla tavalla, koska palomuuri ei kykene * · * • valvomaan suojattujen viestien osoitetunnistustietoja tai lähettämään kryptattuja viestejä eteenpäin. Siksi, keksinnön vaiheen a) mukaisesti, lähetetään tietoviesti ensimmäisestä tietokonejärjestelmästä palomuurille, joka viesti sisältää tietoja 30 ensimmäisen tietokonejärjestelmän C1 ja toisen tietokonejärjestelmän C2 välisestä uudesta yhteydestä, esimerkiksi osoitteentunnistustietoja, ja mahdollisia muita ίο 106594 parametrejä mainittujen tietokonejärjestelmien välillä lähetettävää viestiä varten. Jos palomuuri hyväksyy tämän yhteyden, lähettäminen etenee niin, että vaiheen b) mukaisesti, tiedot viestiin tehtävistä välttämättömistä muutoksista lähetetään palomuurilta ensimmäiselle tietokonejärjestelmälle C1, niin että viesti voidaan 5 lähettää palomuurin läpi. Viesti, joka on tarkoitus lähettää ja suojata jollakin suojausmenetelmällä, joka yoi olla autentikointimenetelmä ja/tai kryptausmenetelmä muutetaan ensin vaiheen c) mukaisesti ensimmäisessä tietokonejärjestelmässä C1 ennen suojausta palomuurin lähettämän tiedon perusteella^ Ennen kuin suojattu viesti lähetetään, viestin suojaamiskesi käytetyn ίο suojausmenetelmän tunnistustiedot lähetetään kohdan d) mukaisesti ensimmäisestä tietokonejärjestelmästä C1 palomuurille F niin, että palomuuri voi tunnistaa suojatun viestin mutta ei lukemaan tätä, jolloin palomuuri voi päästää viestin läpi. Jos viesti ei ole suojattu, vaihe d) on valinnainen, jos palomuuri kykenee tunnistamaan viestin. Vaihe d) voidaan myös suorittaa ennen vaiheita c). 15 Silloin suojattu viesti lähetetään vaiheen e) mukaisesti ensimmäiseltä tietokonejärjestelmältä C1 toiseen tietokonejärjestelmään C2 palomuurin läpi. 1Figure 1 is a flow chart of the various steps of the process of the invention. The message 20 is to be transmitted on a computer network from the first computer system C1 to the second computer system set up outside the internal or local network to which the first computer system C1 belongs. The method according to the invention can be used both to reduce the work performed by the firewall and / or to send protected messages. If the message to be transmitted has to be protected before transmission according to another embodiment of the invention, it cannot be sent through the firewall in the normal way because the firewall is not able to · · * monitor the authentication address of protected messages or forward encrypted messages. Therefore, in accordance with step a) of the invention, a data message is transmitted from the first computer system to the firewall containing information about the new connection 30 between the first computer system C1 and the second computer system C2, such as address authentication information, and any other parameters If the firewall accepts this connection, the transmission proceeds such that, in accordance with step b), the necessary changes to the message are transmitted from the firewall to the first computer system C1 so that the message can be transmitted through the firewall. The message to be transmitted and protected by some security method, which may be an authentication method and / or the encryption method is first modified according to step c) in the first computer system C1 before security based on information transmitted by the firewall. ) from the first computer system C1 to the firewall F so that the firewall can detect but not read the protected message, allowing the firewall to pass through the message. If the message is not protected, step d) is optional if the firewall is able to recognize the message. Step d) can also be performed before steps c). Then, according to step e), the protected message is transmitted from the first computer system C1 to the second computer system C2 through a firewall. 1

Claims (10)

11 10659411 106594 1. Menetelmä viestin lähettämiseksi tietokoneverkossa ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen tietokonejärjestelmään 5 palomuurin läpi, tunnettu seuraavista vaiheista: a) lähetetään ensimmäisestä tietokonejärjestelmästä palomuurille pyyntö uudesta yhteydestä ensimmäisen tietokonejärjestelmän ja toisen tietokonejärjestelmän välille mainittujen tietokonejärjestelmien välillä lähetettävää viestiä varten, b) kun palomuuri on hyväksynyt yhteyden, ensimmäisestä tietokonejärjestelmästä ίο lähetetään palomuurille tietoa viestiin tehtävistä välttämättömistä muunnksista, joka viesti lähetetään pyydetyn yhteyden kautta palomuurin läpi, c) ensimmäisessä tietokonejärjestelmässä muutetaan lähetettävä viesti palomuurin lähettämän tiedon perusteella^ d) valinnaisesti, ennen tai jälkeen vaihetta c), ensimmäisestä is tietokonejärjestelmästä lähetetään palomuurille mainittujen tietokonejärjestelmien välillä lähetettävää viestiä varten olevasta yhteydestä tunnistustietoja niin, että palomuuri kykenee tunnistamaan viestiä varten olevan yhteyden ja viesti voi läpäistä palomuurin, e) ensimmäisestä tietokonejärjestelmästä lähetetään mainittu viesti ainakin yhteen 20 toiseen tietokonejärjestelmään mainitun palomuurin läpi.A method of transmitting a message on a computer network from a first computer system to at least one second computer system 5 through a firewall, characterized by the steps of: a) sending a request for a new connection between the first computer system and the second computer system to the firewall for transmission of a message; the first computer system ίο sending to the firewall information about the necessary conversions to be made to the message, which message is sent via the requested connection through the firewall; c) the first computer system modifies the message to be transmitted based on the firewall information; ^ d) optionally;between the connection for the message to be transmitted so that the firewall is able to recognize the connection for the message and the message can pass through the firewall; e) transmitting said message from the first computer system to at least one second computer system through said firewall. 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että mainittujen tietokonejärjestelmien välillä lähetettävä viesti suojataan vaiheessa c) sen jälkeen kun se on muunneltu, jolloin vaihe d) on välttämätön ja ensimmäisestä 25 tietokonejärjestelmästä palomuurille lähetettävät tiedot sisältää välttämättömän informaation niin, että palomuuri kykenee tunnistamaan viestiä varten olevan yhteyden.The method of claim 1, characterized in that the message to be transmitted between said computer systems is protected in step c) after being modified, wherein step d) is necessary and the information to be transmitted from the first computer system to the firewall contains the necessary information so that the firewall is for the connection. 3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että suojaus 30 tehdään käyttämällä IPSec-järjestelmää. 12 106594Method according to claim 2, characterized in that the protection 30 is performed using an IPSec system. 12 106594 4. Patenttivaatimuksen 2 tai 3 mukainen menetelmä, tunnettu siitä, että lähetettävä viesti autentikoidaan.Method according to claim 2 or 3, characterized in that the message to be transmitted is authenticated. 5. Jonkin patenttivaatimuksen 2-4 mukainen menetelmä, tunnettu siitä, että 5 lähetettävä viesti kryptataan vaiheessa c).Method according to one of claims 2 to 4, characterized in that the message to be transmitted is encrypted in step c). 6. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä, tunnettu siitä, että vaiheen a) informaatioviesti sisältää tietoja ensimmäisen ja ainakin yhden toisen tietokonejärjestelmän välille avattavasta uudesta yhteydestä osoitteen- lo tunnistustietojen ja mahdollisten muiden parametrien muodossa.Method according to one of Claims 1 to 5, characterized in that the information message of step a) includes information on a new connection to be opened between the first and at least one second computer system in the form of addressing information and any other parameters. 7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että mahdolliset muut parametrit ovat tietoja portista ja lähettämiseen käytetystä protokollasta. 15Method according to claim 6, characterized in that any other parameters are information about the port and the protocol used for transmission. 15 8. Jonkin patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä, että muunnoksiin sisältyy osoitteentunnistustietoja ja/tai tietoja portista tai lähettämiseen käytetystä protokollasta.A method according to any one of claims 1 to 7, characterized in that the transformations include address authentication information and / or information about the port or the protocol used for transmission. 9. Jonkin patenttivaatimuksen 1-7 mukainen menetelmä, tunnettu siitä, että viesti lähetetään käyttämällä TCP/IP-protokollaa.Method according to one of Claims 1 to 7, characterized in that the message is transmitted using the TCP / IP protocol. 10. Jonkin patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, että viesti lähetetään internetin kautta. 25 i « 30 o 106594Method according to one of Claims 1 to 8, characterized in that the message is transmitted over the Internet. 25 i «30 o 106594
FI990265A 1999-02-10 1999-02-10 Communication method for sending a message through a firewall FI106594B (en)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FI990265A FI106594B (en) 1999-02-10 1999-02-10 Communication method for sending a message through a firewall
EP00902692A EP1153499A1 (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
JP2000599188A JP2002537689A (en) 1999-02-10 2000-02-03 Data communication method of sending messages through firewall
PCT/FI2000/000075 WO2000048372A1 (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
AU24445/00A AU2444500A (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
CA002362634A CA2362634A1 (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
NO20013915A NO20013915L (en) 1999-02-10 2001-08-10 Method of data communication

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI990265A FI106594B (en) 1999-02-10 1999-02-10 Communication method for sending a message through a firewall
FI990265 1999-02-10

Publications (3)

Publication Number Publication Date
FI990265A0 FI990265A0 (en) 1999-02-10
FI990265A FI990265A (en) 2000-08-11
FI106594B true FI106594B (en) 2001-02-28

Family

ID=8553705

Family Applications (1)

Application Number Title Priority Date Filing Date
FI990265A FI106594B (en) 1999-02-10 1999-02-10 Communication method for sending a message through a firewall

Country Status (7)

Country Link
EP (1) EP1153499A1 (en)
JP (1) JP2002537689A (en)
AU (1) AU2444500A (en)
CA (1) CA2362634A1 (en)
FI (1) FI106594B (en)
NO (1) NO20013915L (en)
WO (1) WO2000048372A1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699513A (en) * 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
GB2317792B (en) * 1996-09-18 2001-03-28 Secure Computing Corp Virtual private network on application gateway
EP0858201A3 (en) * 1997-02-06 1999-01-13 Sun Microsystems, Inc. Method and apparatus for allowing secure transactions through a firewall

Also Published As

Publication number Publication date
NO20013915D0 (en) 2001-08-10
AU2444500A (en) 2000-08-29
CA2362634A1 (en) 2000-08-17
FI990265A0 (en) 1999-02-10
FI990265A (en) 2000-08-11
JP2002537689A (en) 2002-11-05
WO2000048372A1 (en) 2000-08-17
NO20013915L (en) 2001-08-10
EP1153499A1 (en) 2001-11-14

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
FI105753B (en) Procedure for authentication of packets in the event of changed URLs and protocol modifications
JP4081724B1 (en) Client terminal, relay server, communication system, and communication method
US6981278B1 (en) System and method for secure dual channel communication through a firewall
JP5492856B2 (en) Method and apparatus for ensuring privacy in communication between parties
JP3688830B2 (en) Packet transfer method and packet processing apparatus
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
CN101299665B (en) Message processing method, system and apparatus
US20080028225A1 (en) Authorizing physical access-links for secure network connections
EP1953954B1 (en) Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
JPH1141280A (en) Communication system, vpn repeater and recording medium
FI106594B (en) Communication method for sending a message through a firewall
Cisco Configuring IPSec Network Security
US20080059788A1 (en) Secure electronic communications pathway
CN101360096A (en) System security planning scheme applied to digital medical
KR100450774B1 (en) Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method
JP2001111612A (en) Information leakage prevention method and system, and recording medium recording information leakage prevention program
JP3962050B2 (en) Packet encryption method and packet decryption method
KR20110087972A (en) Method for blocking abnormal traffic using session table
JPH11203222A (en) Cryptocommunication method
Wright Virtual private network security
Sierra et al. Security protocols in the Internet new framework
CN115766063A (en) Data transmission method, device, equipment and medium
US20060015575A1 (en) Apparatus and method for negotiating network parameters

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: NETSEAL MOBILITY TECHNOLOGIES-NMT OY

Free format text: NETSEAL MOBILITY TECHNOLOGIES-NMT OY

PC Transfer of assignment of patent

Owner name: MOBILITY PATENT HOLDING MPH OY

Free format text: MOBILITY PATENT HOLDING MPH OY

PC Transfer of assignment of patent

Owner name: MPH TECHNOLOGIES OY

Free format text: MPH TECHNOLOGIES OY

MM Patent lapsed