FI106594B - Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi - Google Patents

Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi Download PDF

Info

Publication number
FI106594B
FI106594B FI990265A FI990265A FI106594B FI 106594 B FI106594 B FI 106594B FI 990265 A FI990265 A FI 990265A FI 990265 A FI990265 A FI 990265A FI 106594 B FI106594 B FI 106594B
Authority
FI
Finland
Prior art keywords
firewall
message
computer system
information
transmitted
Prior art date
Application number
FI990265A
Other languages
English (en)
Swedish (sv)
Other versions
FI990265A0 (fi
FI990265A (fi
Inventor
Panu Pietikaeinen
Original Assignee
Intrasecure Networks
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intrasecure Networks filed Critical Intrasecure Networks
Priority to FI990265A priority Critical patent/FI106594B/fi
Publication of FI990265A0 publication Critical patent/FI990265A0/fi
Priority to CA002362634A priority patent/CA2362634A1/en
Priority to JP2000599188A priority patent/JP2002537689A/ja
Priority to AU24445/00A priority patent/AU2444500A/en
Priority to EP00902692A priority patent/EP1153499A1/en
Priority to PCT/FI2000/000075 priority patent/WO2000048372A1/en
Publication of FI990265A publication Critical patent/FI990265A/fi
Application granted granted Critical
Publication of FI106594B publication Critical patent/FI106594B/fi
Priority to NO20013915A priority patent/NO20013915L/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

! 106594
TIETOLIIKENNEMENETELMÄ VIESTIN LÄHETTÄMISEKSI PALOMUURIN LÄPI TEKNINEN ALA
5
Keksintö koskee tietoliikennemenetelmää viestin lähettämiseksi tietokoneverkossa ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen tietokonejärjestelmään palomuurin läpi. Menetelmää voidaan käyttää suojattujen viestien lähettämiseksi erilaisilla suojausmenetelmillä, erilaisissa 10 tietokoneverkoissa ja erilaisilla verkkoprotokollilla ja sen odotetaan olevan erityisen käyttökelpoinen esimerkiksi salaisten viestien lähettämiseksi.
TEKNIIKAN TASON KUVAUS
15
Tietokoneverkko muodostuu kahdesta tai useammasta yhteen kytketystä tietokoneesta. Lähiverkot (tai sisäiset verkot) voivat muodostua yrityksen sisäisistä tietokoneista, kun taas kaukoverkot voivat käsittää laajempia alueita, kuten useita kaupunkeja tai jopa maita. Verkot voidaan kytkeä toisiinsa kaapeleilla, kuiduilla 20 ja/tai radioyhteyksillä.
Internet on esimerkki kaukoverkosta. Tätä maailmanlaajuista verkkoa voidaan käyttää kommunikaatioon ja tiedon levittämiseen ja hakemiseen.
25 Sisäisessä sähköpostijärjestelmässä kaikki lähiverkkoon kytketyt tietokoneet voivat lähettää viestejä toisilleen. Tällainen lähiverkko voidaan sitten kytkeä toiseen verkkoon, joka voi olla ulkoinen verkko, kuten Internet. Siten sähköpostia voidaan • _ lähettää koko maailmassa jokaiselle ulkoiseen verkkoon kytketylle. Internet on tavallisin yhteinen verkko tietoliikennettä varten, joka tapahtuu esimerkiksi 30 sähköpostilla.
2 106594
Se, että useita lähiverkkoja voidaan kytkeä muihin verkkoihin, varsinkin Internetiin, asettaa turvallisuus-ja laitevaatimuksia.
Turvallisuuden parantamiseksi on olemassa erilaisia järjestelmiä. On tärkeätä, että 5 sisäisessä verkossa olevat tiedot voidaan suojata niin, että ainoastaan oikeat käyttäjät voivat muuttaa ja lukea niitä. Yleensä käyttäjät esittävät itsensä käyttäjänimellä ja salasanalla. Muitakin turvallisuusyksityiskohtia on olemassa. Muita turvallisuusongelmia ovat virheet verkossa ja käynnistyspysähdykset. Korkealle kehitettyjen turvallisuusjärjestelmien merkitys kasvaa yhä ίο monimutkaisempien järjestelmien myötä.
Internetin suosio heijastaa sitä, että uudet verkkotuotteet ja -palvelut kehittyvät koko ajan. Näitä tuotteita kehitetään uusien Internet-standardien mukaan ja sovitetaan niihin protokolliin, joita Internetissä käytetään siirtoihin.
15
Palomuuri on turvallisuusjärjestelmä verkon suojaamiseksi muiden verkkojen, kuten internetin, oikeuttamattomien käyttäjien tunkeutumiselta. Palomuuri voi estää tietokoneita kommunikoimasta suoraan muiden verkkojen, kuten ulkoisten verkkojen, kanssa ja päinvastoin. Sen sijaan, kaikki kommunikaatio tapahtuu 20 sisäisen verkon ulkopuolelle asetetun palomuurin läpi. Palomuuri päättää sen, onko viestien ja liitteiden läpipäästäminen ulkoisen ja sisäisen verkon välillä turvallista. Viestit voivat olla tietopaketteja, ja läpipäästäminen päätetään viestin osoitteen ja erilaisten parametrien perusteella. Siten palomuuri hallitsee sisäisen ja ulkoisen verkon välistä kommunikaatiota ja muuntaa esimerkiksi TCP/IP:hen 25 perustuvan Internetin tietopaketteja (TCP/IP-protokollan suhteen, katso seuraava sivu). Yleensä palomuuri kääntää verkko-osoitteita ja muuta tietoa, jotka määräävät kommunikaation niin, että sisäinen osoite ja sisäiset parametrit muutetaan ulkoiseksi osoitteeksi ja ulkoisiksi parametreiksi. Tämä tarkoittaa sitä, että esimerkiksi sisäisessä tai paikallisessa verkossa käytetyt IP-osoitteet kätketään 30 ulkopuolisilta käyttäjiltä. Palomuuri muuntaa takaisin sellaisen paketin, joka tulee ulkoisesta verkosta sisäiseen verkkoon.
3 106594
Palomuuri voidaan muodostaa monella eri tavoilla ja se suunnitellaan tavallisesti yksilöllisesti tapauksesta riippuen verkon sen hetkisten tarpeiden mukaan. Jos palomuurin läpi menevän liikenteen määrä on hyvin korkea, palomuuria varten tarvitaan suhteellisen mittava laitteisto.
5
Toinen menetelmä turvallisuuden lisäämiseksi on lähetettävien viestien suojaaminen esimerkiksi tunneloinnilla virtuaalisissa verkoissa. Virtuaalisissa verkoissa useat paikalliset ja globaaliset verkot käyttävät Internetiä verkkojen kytkemiseksi toisiinsa. Tunneloinnilla tietoa siirretään kahden verkon välillä ίο kolmannen verkon, kuten Internetin, kautta. Tässä tekniikassa, tietyn protokollan mukaisesti tehtyjä tietopaketteja kapseloidaan jonkun muun protokollan mukaisiin paketteihin. Pakettimuoto on siirtomenetelmä, jota voidaan käyttää virtuaalisissa yhteyksissä. Tällä tekniikalla tietoa lähetetään pieninä "paketteina”, joilla on osoite ja lähettäjä, niin että useat henkilöt voivat käyttää yhteyttä samanaikaisesti. Toinen is käytetyistä protokollista on yleensä TCP/IP, kun siirrot tapahtuvat internetin läpi. Omat protokollat paketoidaan TCP/IP-pakkauksiin, jotka lähetetään Internetin läpi.
Tietokoneiden välinen tiedonsiirto tapahtuu tiettyjen sääntöjen mukaisesti, joita kutsutaan protokolliksi. TCP/IP on yksi sellainen protokolla ja se on lyhennys 20 sanoista "Transmission Control Protocol/lntemet Protocol”. TCP/IP-standardit on hyvin dokumentoitu nk. RFC (Request for Comments) dokumenteissa. IP-protokolla huolehtii tietopaketeista ja on vastuussa siitä että paketit löytävät oikean osoitteen. Tietopaketeille annetaan Internet-osoite ja ne menevät tietokoneesta toiselle kunnes saavutetaan oikea määräpää. IP:n avulla tapahtuva kommunikaatio on 25 yhteydetön koska kiinteää yhteyttä kommunikoivien tietokoneiden välillä ei ole. Viesti etenee askel kerrallaan. TCP-protokolla huolehtii viestien siirrosta kahden tietokoneen välillä luomalla niiden välille virtuaalisen yhteyden ilman fysikaalista yhteyttä. TCP on kuljetusprotokolla, joka on vastuussa itse yhteydestä lähettäjän ja vastaanottajan välillä. Internetissä voidaan käyttää myös muita kuin TCP/IP-30 standardeja.
« 106594
Paketit menevät Internetin ylläpitämän ’’tunnelin” läpi, joissa eri protokollien mukaiset paketit erotetaan toisistaan ja palautetaan alkuperäiseen muotoonsa. Vastaanottajan oikeudet voidaan tarkistaa eri tavoilla. Autentikoinnissa tarkistetaan käyttäjän identiteetti kun taas autorisointi määrittää mitkä oikeudet käyttäjällä on.
5
Virtuaaliset verkot ovat erittäin turvallisia. Salaisella tiedolla on oma kanavansa Internetissä erilaisten autentikointi-, kryptaus-ja kapselointimenetelmien ansiosta.
Internetin turvallisuus ei ole riittävä kaiken tyyppisiin siirtoihin. On kuitenkin 10 olemassa menetelmiä Internetin läpi lähetettyjen sähköposti- ja muiden viestien suojaamiseksi muilta. Erityisen hyvä turvallisuus saavutetaan kryptauksella.
Kryptauksella viestit muutetaan ennen lähettämistä niin että niitä ei voi lukea ennen kryptauksen purkamista erityisellä avaimella ja yleensä varmistetaan myös, että 15 oikea henkilö lähetti viestin (autentikointi). On olemassa hyvin paljon erilaisia, tämän tyyppisiä kryptausmenetelmiä.
Monissa suojausmenetelmissä kaikilla yhteyksillä on eri parametrit. Sitä funktiota, jolla todellinen suojaus tehdään, kutsutaan transformaatioksi. Transformaatio-20 funktio muuttaa paketit tiettyjen parametrien mukaan riippuen kulloinkin käytetystä suojauksesta.
Eräs ongelma palomuurien yhteydessä on palomuuria varten tarvittavan laajan laitteiston tarve, jos palomuurin läpi menevän liikenteen määrä on korkea.
25
Toinen palomuurien yhteydessä esiintyvä ongelma on se, että kun käytetään suojausmenetelmiä verkoissa, jotka ovat palomuurin suojaamia, palomuuri ei kykene tunnistamaan lähetettäviä viestejä eikä siksi päästä niitä läpi.
5 106594
Olemassa olevissa menetelmissä, suojausfunktio tai suojauksen parametrit annetaan palomuurille, jotta palomuuri voisi tunnistaa tai suojata viestin, jolloin se voidaan lähettää palomuurin läpi.
5 US-patentti 0715668 mainitaan tekniikan tasona. Tämä patentti koskee turvallista tiedonsiirtoa palomuurien välillä suojaamattoman verkon yli. Palomuuri käsittelee Intemet-protokollan turvallisuutta ja IPSec-viestejä olettamatta, että kryptatuilla viesteillä olisi oikeutta kaikkiin palveluihin purkamalla viesti ja tarkistamalla oikeudet.
10
Toinen sellainen menetelmä on kuvattu US-patentissa 0586231, jossa palomuuri saa myöntää virtuaalisia tunneleita ja salaisia avaimia.
Euroopan patenttihakemuksessa EP 0 858 201 sähköinen tiedonsiirtojärjestelmä is lähettää viestin ensimmäisen tietokonejärjestelmän,. loka on järjestetty palomuurin sisäpuolelle, ja toisen tietokonejärjestelmän välillä. Viestit, jotka eivät ole sopivia lähetettäväksi palomuurin läpi käännetään muotoon, jossa ne voidaan lähettää palomuurin ylitse.
20
KEKSINNÖN TAVOITE
Keksinnön tavoitteena on menetelmä viestien lähettämiseksi, joka aiemmin tunnettuihin menetelmiin verrattuna vähentää palomuuritietokoneen suorittamaa 25 työmäärää.
*> ·
Keksinnön toisena tavoitteena on turvallisempi menetelmä suojattujen viestien lähettämiseksi palomuurin läpi.
6 106594
Yksityiskohtaisemmin, keksinnön tavoitteena on menetelmä, jolla suojattuja viestejä voidaan lähettää palomuurin läpi antamatta paikallisen verkon ulkopuolelle olevalle palomuurille tietoa suojauksen parametreistä.
5
KEKSINNÖN KUVAUS
Keksinnön mukaisessa menetelmässä tietokoneverkossa lähetetään viesti ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen ίο tietokonejärjestelmään palomuurin läpi. Vaiheessa a) lähetetään tietoa sisältävä pyyntö ensimmäisestä tietokonejärjestelmästä palomuurille uutta yhteyttä varten ensimmäisen tietokonejärjestelmän ja toisen tietokonejärjestelmän välille. Vaiheessa b), kun viesti on hyväksytty, palomuuri lähettää ensimmäiselle tietokonejärjestelmälle tietoa niistä välttämättömistä muutoksista, jotka on tehtävä 15 viestiin, joka lähetetään pyydetyn yhteyden läpi palomuurin kautta. Vaiheessa c), lähetettävä suojattu viesti muutetaan ensimmäisessä tietokonejärjestelmässä palomuurin lähettämän tiedon mukaisesti. Vaiheessa d), joka on valinnainen ja joka voidaan suorittaa ennen vaihetta c) tai vaiheen c) jälkeen, palomuurille lähetetään tunnistustietoa siitä yhteydestä, jonka avulla lähetettävä viesti lähetetään 20 mainittujen tietokonejärjestelmien välillä niin, että palomuuri voi tunnistaa yiestin ja päästää sen läpi. Vaiheessa e) suolattu viesti sitten lähetetään ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen tietokonejärjestelmään palomuurin kautta.
25 Eräässä menetelmän sovelluksessa, lähetettävä viesti suojataan koska menetelmä sopii erittäin hyvin suojattujen viestien lähettämiseksi. Siinä tapauksessa mainittujen tiekonejärjestelmien välillä lähetettävä viesti suojataan vaiheessa c) sen jälkeen kun se on muutettu, jolloin vaihe d) on pakollinen ja ensimmäisestä tietokonejärjestelmästä palomuurille lähetettävä tieto sisältää tarvittavan 30 informaation niin, että palomuuri voi tunnistaa viestiä varten olevan yhteyden.
7 106594
Suojausmenetelmä voi olla jokin alalla tunnettu menetelmä. Eräs sopiva tapa viestin suojaamiseksi on sellaisen menetelmän käyttäminen, joka on määritelty TCP/IP-standardissa RFC 1825. Tämä standardi sisältää alistandardeja esimerkiksi autentikointi- ja kryptausmenetelmille, joita voidaan käyttää erikseen tai 5 samanaikaisesti keksinnön mukaisella menetelmällä lähetettävässä viestissä. RFC 1825 on standardi, joka määrittelee IPSec-turvajärjestelmästandardin, joka muodostuu käytetyn menetelmän teknologiset periaatteet. IPSec:llä on puolestaan kryptausalistandardeja, kuten ESP-alistandardi, joka on lyhennys sanoista ’’abbreviation for encapsulated security protocol”, ja AH-alistandardi, joka on ίο lyhennys IP:ssä käytettävälle autentikointistandardille. Autentikointimenetelmä voi olla MD5, SHA tai jokin muu alalla tunnettu menetelmä. Kryptausmenetelmä voi olla jokin tunnettu menetelmä, kuten DES, Blowfish tai vastaava.
Vaiheessa a), ensimmäisestä tietokonejärjestelmästä palomuurille lähetettävä is uuden yhteyden pyyntö sisältää esimerkiksi osoitteen tunnistustietoa ja muita parametrejä ensimmäisen tietokonejärjestelmän ja ainakin yhden muun tietokonejärjestelmän välille avatusta yhteydestä. Tyypillisiä muita parametrejä on esimerkiksi IP-tiedot (lähettäjän osoite, vastaanottajan osoite), protokollatyyppi ja TCP-tiedot (lähettäjän portti, vastaanottajan portti). Portti määrittelee sovelluksen 20 tiedon siirtämiseksi esim. TCP/IP:llä, kuten käytetyn ohjelman, verkkoselaimen jne.
Vaiheessa b), tyypillisiä parametrejä, joita palomuuri muuntaa niin, että viestit voivat läpäistä sen ovat edellä mainitut tiedot, esim. IP-tiedot (lähettäjän osoite, vastaanottajan osoite), protokollatyyppi ja TCP-tiedot (lähettäjän portti, 25 vastaanottajan portti). Muutokset voivat koskea kaikkia vaiheen a) tietoja, tai vain osaa niistä. Palomuuri saattaa tuntea kaiken muokattavan tiedon vaikka sitä ei nimenomaan olisi sisällytetty vaiheeseen a).
Viestit voivat ainoastaan läpäistä palomuurin, jos palomuuri voi tunnistaa ne 30 hyväksyttäviksi viesteiksi. Vaiheessa d), palomuurille lähetetään mainittujen tietokonejärjestelmien välillä lähetettävän viestin suojaamiseksi käytetyn s 106594 suojauksen tunnistustietoja niin, että palomuuri voi tunnistaa suojatun viestin. Tunnistustiedot voivat olla sellaisessa muodossa, että palomuuri voi tunnistaa ko. yhteyden mutta ei viestin suojaamiseksi käytettyjä parametrejä. Monilla hyväksytyillä yhteyksillä voi olla sama IP-osoite, mutta erilaiset muut parametrit.
5 Ko. suojattu viesti lähetetään jonkun hyväksytyn yhteyden parametrien mukaisesti. Palomuurin on tunnistettava tämä viesti hyväksytyksi viestiksi ja turvalliseksi lähettää. Jos viesti ei ole suojattu, vaihe d) saattaa olla tarpeeton joissakin suoritusmuodoissa, mutta saattaa silti olla edullinen muissa suoritusmuodoissa. Jos esimerkiksi palomuurin läpi menevä liikenne on vilkasta, vaihe d) saattaa ίο nopeuttaa lähettämistä.
Keksinnön keksinnöllisyys on siinä, että palomuurin toiminnasta osa on siirretty toiseen tietokonetomintoon ja suoritetaan ensimmäisessä tietokonejärjestelmässä. Jos viesti on suojattu, palomuuri ja ensimmäinen tietokonejärjestelmä siirtävät 15 tarpeellista tietoa niin, että palomuuri voi päästää suojatut viestit läpi ilman tietoa lähetettävän viestin suojaukseen käytetyistä parametreistä.
Seuraavassa keksintöä kuvataan keksinnön eräiden edullisten suoritusmuotojen avulla. Suoritusmuotojen yksityiskohdat voivat vaihdella vaatimusten suojapiirin 20 puitteissa.
PIIRUSTUSTEN LYHYT KUVAUS
25 Kuvio 1 on vuokaavio keksinnön mukaisen menetelmän eri vaiheista.
Kuvio 2 on kaaviollinen kuva tietokoneverkosta, jossa keksinnön tietoliikenne-kommunikaatio suoritetaan.
30 9 106594
KEKSINNÖN YKSITYISKOHTAINEN KUVAUS
Kuvio 2 on kaaviollinen kuva tietokoneverkosta, jossa keksinnön tietoliikenne-kommunikaatio voidaan suorittaa. Viesti on lähetettävä ensimmäisestä 5 tietokonejärjestelmästä C1 toiseen tietokonejärjestelmään C2. Kuviossa 2, ensimmäinen tietokonejärjestelmä kuuluu sisäiseen verkkoon. Sisäistä verkkoa suojaa palomuuri niin, että palomuurin on tunnistettava ja hyväksyttävä kaikki viestit jotka lähetetään ja otetaan vastaan palomuurin kautta. Palomuuri valvoo sen yhteyden tietoja, jonka kautta viestit lähetetään ja jos palomuuri hyväksyy yhteyden, ίο viestit saavat mennä palomuurin läpi. Ennen kuin viestit voivat läpäistä palomuurin, ne muutetaan palomuurissa tiettyjen parametrien mukaisesti, jotka koskevat esimerkiksi osoitteen muutoksia ja protokollamuutoksia. Tietokonejärjestelmällä C1 on virtuaalinen yhteys tietokonejärjestelmään C2, mikä tarkoittaa sitä, että viestit, jotka on lähetettävä ensimmäisestä tietokonejärjestelmästä C1 toiseen is tietokonejärjestelmään C2 lähetetään yhden tai useamman muun, kuten ulkoisen, verkon kautta, esimerkiksi internetin, kun ne on läpäissyt palomuurin ennen kun ne saapuvat toiseen tietokonejärjestelmään C2 ja tämä vastaanottaa viestit.
Kuvio 1 on vuokaavio keksinnön mukaisen menetelmän eri vaiheista. Viesti on 20 lähetettävä tietokoneverkossa ensimmäisestä tietokonejärjestelmästä C1 toiseen tietokonejärjestelmään, joka on asetettu sisäisen tai paikallisen verkon ulkopuolelle, johon ensimmäinen tietokonejärjestelmä C1 kuuluu. Keksinnön mukaista menetelmää voidaan käyttää sekä palomuurin suorittaman työn vähentämiseksi ja/tai suojattujen viestien lähettämiseksi. Jos lähetettävä viesti on 25 suojattava ennen lähettämistä keksinnön toisen suoritusmuodon mukaisesti, sitä ei voida lähettää palomuurin läpi normaalilla tavalla, koska palomuuri ei kykene * · * • valvomaan suojattujen viestien osoitetunnistustietoja tai lähettämään kryptattuja viestejä eteenpäin. Siksi, keksinnön vaiheen a) mukaisesti, lähetetään tietoviesti ensimmäisestä tietokonejärjestelmästä palomuurille, joka viesti sisältää tietoja 30 ensimmäisen tietokonejärjestelmän C1 ja toisen tietokonejärjestelmän C2 välisestä uudesta yhteydestä, esimerkiksi osoitteentunnistustietoja, ja mahdollisia muita ίο 106594 parametrejä mainittujen tietokonejärjestelmien välillä lähetettävää viestiä varten. Jos palomuuri hyväksyy tämän yhteyden, lähettäminen etenee niin, että vaiheen b) mukaisesti, tiedot viestiin tehtävistä välttämättömistä muutoksista lähetetään palomuurilta ensimmäiselle tietokonejärjestelmälle C1, niin että viesti voidaan 5 lähettää palomuurin läpi. Viesti, joka on tarkoitus lähettää ja suojata jollakin suojausmenetelmällä, joka yoi olla autentikointimenetelmä ja/tai kryptausmenetelmä muutetaan ensin vaiheen c) mukaisesti ensimmäisessä tietokonejärjestelmässä C1 ennen suojausta palomuurin lähettämän tiedon perusteella^ Ennen kuin suojattu viesti lähetetään, viestin suojaamiskesi käytetyn ίο suojausmenetelmän tunnistustiedot lähetetään kohdan d) mukaisesti ensimmäisestä tietokonejärjestelmästä C1 palomuurille F niin, että palomuuri voi tunnistaa suojatun viestin mutta ei lukemaan tätä, jolloin palomuuri voi päästää viestin läpi. Jos viesti ei ole suojattu, vaihe d) on valinnainen, jos palomuuri kykenee tunnistamaan viestin. Vaihe d) voidaan myös suorittaa ennen vaiheita c). 15 Silloin suojattu viesti lähetetään vaiheen e) mukaisesti ensimmäiseltä tietokonejärjestelmältä C1 toiseen tietokonejärjestelmään C2 palomuurin läpi. 1

Claims (10)

11 106594
1. Menetelmä viestin lähettämiseksi tietokoneverkossa ensimmäisestä tietokonejärjestelmästä ainakin yhteen toiseen tietokonejärjestelmään 5 palomuurin läpi, tunnettu seuraavista vaiheista: a) lähetetään ensimmäisestä tietokonejärjestelmästä palomuurille pyyntö uudesta yhteydestä ensimmäisen tietokonejärjestelmän ja toisen tietokonejärjestelmän välille mainittujen tietokonejärjestelmien välillä lähetettävää viestiä varten, b) kun palomuuri on hyväksynyt yhteyden, ensimmäisestä tietokonejärjestelmästä ίο lähetetään palomuurille tietoa viestiin tehtävistä välttämättömistä muunnksista, joka viesti lähetetään pyydetyn yhteyden kautta palomuurin läpi, c) ensimmäisessä tietokonejärjestelmässä muutetaan lähetettävä viesti palomuurin lähettämän tiedon perusteella^ d) valinnaisesti, ennen tai jälkeen vaihetta c), ensimmäisestä is tietokonejärjestelmästä lähetetään palomuurille mainittujen tietokonejärjestelmien välillä lähetettävää viestiä varten olevasta yhteydestä tunnistustietoja niin, että palomuuri kykenee tunnistamaan viestiä varten olevan yhteyden ja viesti voi läpäistä palomuurin, e) ensimmäisestä tietokonejärjestelmästä lähetetään mainittu viesti ainakin yhteen 20 toiseen tietokonejärjestelmään mainitun palomuurin läpi.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että mainittujen tietokonejärjestelmien välillä lähetettävä viesti suojataan vaiheessa c) sen jälkeen kun se on muunneltu, jolloin vaihe d) on välttämätön ja ensimmäisestä 25 tietokonejärjestelmästä palomuurille lähetettävät tiedot sisältää välttämättömän informaation niin, että palomuuri kykenee tunnistamaan viestiä varten olevan yhteyden.
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että suojaus 30 tehdään käyttämällä IPSec-järjestelmää. 12 106594
4. Patenttivaatimuksen 2 tai 3 mukainen menetelmä, tunnettu siitä, että lähetettävä viesti autentikoidaan.
5. Jonkin patenttivaatimuksen 2-4 mukainen menetelmä, tunnettu siitä, että 5 lähetettävä viesti kryptataan vaiheessa c).
6. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä, tunnettu siitä, että vaiheen a) informaatioviesti sisältää tietoja ensimmäisen ja ainakin yhden toisen tietokonejärjestelmän välille avattavasta uudesta yhteydestä osoitteen- lo tunnistustietojen ja mahdollisten muiden parametrien muodossa.
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että mahdolliset muut parametrit ovat tietoja portista ja lähettämiseen käytetystä protokollasta. 15
8. Jonkin patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä, että muunnoksiin sisältyy osoitteentunnistustietoja ja/tai tietoja portista tai lähettämiseen käytetystä protokollasta.
9. Jonkin patenttivaatimuksen 1-7 mukainen menetelmä, tunnettu siitä, että viesti lähetetään käyttämällä TCP/IP-protokollaa.
10. Jonkin patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, että viesti lähetetään internetin kautta. 25 i « 30 o 106594
FI990265A 1999-02-10 1999-02-10 Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi FI106594B (fi)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FI990265A FI106594B (fi) 1999-02-10 1999-02-10 Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi
CA002362634A CA2362634A1 (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
JP2000599188A JP2002537689A (ja) 1999-02-10 2000-02-03 ファイアウォールを通してメッセージを送るデータ通信方法
AU24445/00A AU2444500A (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
EP00902692A EP1153499A1 (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
PCT/FI2000/000075 WO2000048372A1 (en) 1999-02-10 2000-02-03 Data communication method for sending a message through a firewall
NO20013915A NO20013915L (no) 1999-02-10 2001-08-10 Fremgangsmåte ved datakommunikasjon

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI990265 1999-02-10
FI990265A FI106594B (fi) 1999-02-10 1999-02-10 Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi

Publications (3)

Publication Number Publication Date
FI990265A0 FI990265A0 (fi) 1999-02-10
FI990265A FI990265A (fi) 2000-08-11
FI106594B true FI106594B (fi) 2001-02-28

Family

ID=8553705

Family Applications (1)

Application Number Title Priority Date Filing Date
FI990265A FI106594B (fi) 1999-02-10 1999-02-10 Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi

Country Status (7)

Country Link
EP (1) EP1153499A1 (fi)
JP (1) JP2002537689A (fi)
AU (1) AU2444500A (fi)
CA (1) CA2362634A1 (fi)
FI (1) FI106594B (fi)
NO (1) NO20013915L (fi)
WO (1) WO2000048372A1 (fi)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699513A (en) * 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
GB2317792B (en) * 1996-09-18 2001-03-28 Secure Computing Corp Virtual private network on application gateway
EP0858201A3 (en) * 1997-02-06 1999-01-13 Sun Microsystems, Inc. Method and apparatus for allowing secure transactions through a firewall

Also Published As

Publication number Publication date
WO2000048372A1 (en) 2000-08-17
CA2362634A1 (en) 2000-08-17
AU2444500A (en) 2000-08-29
JP2002537689A (ja) 2002-11-05
NO20013915D0 (no) 2001-08-10
EP1153499A1 (en) 2001-11-14
NO20013915L (no) 2001-08-10
FI990265A0 (fi) 1999-02-10
FI990265A (fi) 2000-08-11

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
FI105753B (fi) Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US6981278B1 (en) System and method for secure dual channel communication through a firewall
JP5492856B2 (ja) パーティ間の通信におけるプライバシーを確保する方法及び装置
JP3688830B2 (ja) パケット転送方法及びパケット処理装置
CN101299665B (zh) 报文处理方法、系统及装置
US20080028225A1 (en) Authorizing physical access-links for secure network connections
EP1953954B1 (en) Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
JPH1141280A (ja) 通信システム、vpn中継装置、記録媒体
FI106594B (fi) Tietoliikennemenetelmä viestin lähettämiseksi palomuurin läpi
O'Guin et al. Application of virtual private networking technology to standards-based management protocols across heterogeneous firewall-protected networks
Cisco Configuring IPSec Network Security
US20080059788A1 (en) Secure electronic communications pathway
CN101360096A (zh) 一种应用于数字医疗的系统安全规划方案
KR100450774B1 (ko) NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법
JP2001111612A (ja) 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体
JP3962050B2 (ja) パケット暗号化方法及びパケット復号化方法
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
JPH11203222A (ja) 暗号通信方法
Wright Virtual private network security
Sierra et al. Security protocols in the Internet new framework
CN115766063A (zh) 数据传输方法、装置、设备及介质
US20060015575A1 (en) Apparatus and method for negotiating network parameters

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: NETSEAL MOBILITY TECHNOLOGIES-NMT OY

Free format text: NETSEAL MOBILITY TECHNOLOGIES-NMT OY

PC Transfer of assignment of patent

Owner name: MOBILITY PATENT HOLDING MPH OY

Free format text: MOBILITY PATENT HOLDING MPH OY

PC Transfer of assignment of patent

Owner name: MPH TECHNOLOGIES OY

Free format text: MPH TECHNOLOGIES OY

MM Patent lapsed