FI113127B - Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä - Google Patents

Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä Download PDF

Info

Publication number
FI113127B
FI113127B FI20021272A FI20021272A FI113127B FI 113127 B FI113127 B FI 113127B FI 20021272 A FI20021272 A FI 20021272A FI 20021272 A FI20021272 A FI 20021272A FI 113127 B FI113127 B FI 113127B
Authority
FI
Finland
Prior art keywords
ipsec
att
computer
packet
som
Prior art date
Application number
FI20021272A
Other languages
English (en)
Swedish (sv)
Other versions
FI20021272A0 (fi
FI20021272A (fi
Inventor
Santeri Paavolainen
Original Assignee
Ssh Comm Security Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ssh Comm Security Corp filed Critical Ssh Comm Security Corp
Priority to FI20021272A priority Critical patent/FI113127B/fi
Publication of FI20021272A0 publication Critical patent/FI20021272A0/fi
Priority to US10/611,358 priority patent/US7505473B2/en
Publication of FI20021272A publication Critical patent/FI20021272A/fi
Application granted granted Critical
Publication of FI113127B publication Critical patent/FI113127B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1836Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with heterogeneous network architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling

Description

113127
Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä - Överforing av allmänt sändade paket i säkrade kommuni-kationsforbindelser mellan datorer
5 TEKNINEN ALA
Keksintö koskee yleisesti tekniikkaa erityyppisten pakettien välittämisen järjestämiseksi pakettikytkentäiseen tietoliikenneverkkoon kytkettyjen tietokoneiden välillä. Erityisesti keksintö antaa vastauksen kysymykseen, kuinka turvallisuus- ja yleislä-hetysvalmiuksista voidaan huolehtia samanaikaisesti sellaisessa pakettikytkentäises-10 sä tietoliikenneverkossa.
KEKSINNÖN TAUSTA
Intemet-protokolla, IP, on yleisesti käytetty protokolla, joka määrittelee ns. IP-pakettien rakenteen ja käsittelyn pakettikytkentäisissä tietoliikenneverkoissa tietokoneiden välillä. IP-paketti koostuu otsikosta ja hyötykuormaosasta, joista otsikko 15 sisältää tietoa, joka määrittää paketin aiotun käsittelytavan, kun taas hyötykuorma-osa sisältää (toivottavasti) hyödyllistä hyötydataa. IP-paketin otsikon tärkeitä osia ovat lähde- ja kohdeosoitteet, jotka määrittävät, mistä paketti lähti ja kuka on aiottu . , vastaanottaja.
< · • 11 • * :’ .. IP:n mukaan on mahdollista lähettää ns. yleislähetyspaketteja, joissa verkkosegmen- :* .· 20 tin yleislähetysosoitetta käytetään kohdeosoitteena. Sellaiset paketit on tarkoitettu • 4 saavuttamaan jokainen tietokone, joka kuuluu kyseiseen verkkosegmenttiin. Yleis- . · : lähetyspakettien tyypillisiä käyttäjiä ovat pikaviestinnän protokollat, eräät protokol- ,· ·| lat, joita käytetään havaitsemaan, onko verkkosegmentissä vertaissolmuja, ja pelit.
» Pääkohdat yleislähetyspakettien käytöstä on esitetty julkaisussa RFC 919, jonka 25 ovat julkaisseet lokakuussa 1984 Internet Society ja IETF. Lyhenne RFC tulee sanoista Request For Comments, ja IETF on Internet Engineering Task Force. Mainit- > • ‘ tu asiakirja liitetään tähän hakemukseen viittaamalla siihen.
Toisaalta taas pakettikytkentäisten tietokoneverkkojen eräs tunnettu ominaisuus on jatkuvasti kasvava turvallisuuden tarve. Tämän patenttihakemuksen prioriteettipäi-! : 30 vänä IP-pohjaisen tietoliikenteen turvaamisen de facto -standardi on IPsec (Internet ; ,: Protocol security) -protokollasarja, jonka keskeinen käsite on turvayhteys, SA (Se curity Association). Turvayhteys SA on yksisuuntainen looginen ’’yhteys”, joka tarjoaa turvapalvelut kuljettamalleen liikenteelle. SA:n muodostamiseen sisältyy poik- 2 113127 keuksetta yhteyden osapuolien autentikointi. Kuten jo nimestä voi päätellä, SA:ssa salaus suoritetaan tasolla, joka tarjoaa hyvän salassapidon.
Ongelmia syntyy, jos yritetään yhdistää yleislähetys verkossa ja IPsec-pohjainen turvallisuus. Verkkosegmentin yleislähetysosoite ei ilmaise mitään, mikä voitaisiin 5 autentikoida tavalla, jota SA:n muodostaminen vaatisi. Suorana seurauksena tästä on se, että on mahdotonta muodostaa SA tällä hetkellä tunnettujen yleislähetyspa-kettien lähetystä varten; toisin sanoen IPsec-pohjaista turvallisuutta ei voida taijota yleislähetyspakettien lähettämiselle. Monissa turvallisuutta korostavissa verkoissa IPsecin käyttö on pakollista, mikä tarkoittaa sitä, että yleislähetyspaketteja hyödyn-10 tävät sovellukset eivät voi toimia sellaisissa verkoissa.
KEKSINNÖN YHTEENVETO
Tämän keksinnön tavoitteena on tarjota turvallisuus ja yleislähetyspakettien lähetysmahdollisuus samanaikaisesti pakettikytkentäisessä tietoliikenneverkossa tietokoneiden välillä. Tarkemmin sanottuna keksinnön tavoitteena on esittää menetel-15 miä, järjestelyjä ja tietokoneohjelmatuotteita yleislähetystyyppisten pakettien lähettämiseksi ja vastaanottamiseksi turvallisesti sellaisessa verkossa. Lisäksi keksinnön tavoitteena on varmistaa yleislähetystyyppisten pakettien turvallinen lähetys ja vastaanotto langattomilla isäntälaitteilla, samoin kuin se, että langalliset isäntälaitteet muodostavat yhteyksiä kyseiseen verkkosegmenttiin välissä olevan satunnaisen tur-20 vattomien verkkojen j ärjestelmän kautta.
. Keksinnön tavoitteet saavutetaan kuljettamalla kaikki yleislähetyspaketit, jotka pi- ' ; täisi lähettää IPsec-suojattujen yhteyksien kautta, sellaisen välitinlaitteen kautta, jo-
Mill ka toimii yleislähetyksen toistinasemana: se kapseloi yleislähetyspaketit ja lähettää '· : ne edelleen asianmukaisiin IPsec-suojattuihin yhteyksiin.
» · 25 Keksinnön ensimmäisen aspektin mukaan esitetään menetelmä yleislähetyspaketin : v. käsittelemiseksi välitintietokoneessa, jolla on IPsec-suojattu yhteys johonkin osaan » * ’ · · ·, loogista verkkosegmenttiä, jonka sisällä yleislähetyspaketti pitäisi jakaa. IPsec-suo-
• I
‘! ‘ jaus määrittää, millaiset paketit hyväksytään lähetettäväksi IPsec-suojatun yhteyden :. * · yli. Sellaisen menetelmän tunnusomaiset piirteet on esitetty vastaavassa itsenäisessä 30 menetelmävaatimuksessa.
» » · ’ ·' ’ Keksinnön toisen näkökohdan mukaan esitetään menetelmä yleislähetyspaketin lä- ‘. ’ ·; hettämiseksi isäntälaitteesta, joka on osa tiettyä loogista verkkosegmenttiä, jonka si sällä yleislähetyspaketti pitäisi jakaa, ja jolla on IPsec-suojattu yhteys loogisen verkkosegmentin toiseen osaan. IPsec-suojaus määrittää, millaiset paketit hyväksy- 3 113127 tään lähetettäväksi IPsec-suojatun yhteyden yli. Sellaisen menetelmän tunnusomaiset piirteet on esitetty vastaavassa itsenäisessä menetelmävaatimuksessa.
Keksinnön kolmannen näkökohdan mukaan esitetään menetelmä yleislähetyspake-tin kuljettamiseksi sen loogisen verkkosegmentin ensimmäisestä osasta, jonka sisäl-5 lä yleislähetyspaketti pitäisi jakaa, saman loogisen verkkosegmentin toiseen osaan, jolla on IPsec-suojattu yhteys ensimmäiseen osaan. IPsec-suojaus määrittää, millaiset paketit hyväksytään lähetettäväksi IPsec-suojatun yhteyden yli. Sellaisen menetelmän tunnusomaiset piirteet on esitetty vastaavassa itsenäisessä menetelmävaatimuksessa.
10 Keksinnön neljännen näkökohdan mukaan esitetään välitintietokone, joka taijoaa toiselle tietokonelaitteelle IPsec-suojatun kaksisuuntaisen yhteyden loogiseen verkkosegmenttiin, jonka sisällä yleislähetyspakettien jakelu on sallittu. IPsec-suojaus on järjestetty määrittämään, millaiset paketit hyväksytään lähetettäväksi IPsec-suojatun yhteyden yli. Sellaisen välitintietokoneen tunnusomaiset piirteet on esitetty 15 vastaavassa itsenäisessä laitevaatimuksessa.
Keksinnön viidennen näkökohdan mukaan esitetään isäntälaite, jossa on välineet IPsec-suojatun kaksisuuntaisen yhteyden muodostamiseksi sellaisen loogisen verkkosegmentin välitintietokoneeseen, jonka sisällä yleislähetyspakettien jakelu on sallittu. IPsec-suojaus on järjestetty määrittämään, millaiset paketit hyväksytään lähe-i 20 tettäväksi IPsec-suojatun yhteyden yli. Sellaisen isäntälaitteen tunnusomaiset piirteet on esitetty vastaavassa itsenäisessä laitevaatimuksessa.
; Keksinnön muiden näkökohtien mukaan esitetään tietokoneohjelmatuote, joka kä sittää tietokoneen luettavissa olevan välineen; tietokoneohjelmaelementti; tietoko-‘ : neella luettavissa olevaan välineeseen sisältyvä tietokoneohjelmaelementti; tietoko- : ; 25 neella luettavissa oleva väline, johon on tallennettu ohjelma; tietokoneohjelmatuote, joka on suoraan ladattavissa digitaalisen tietokoneen sisäiseen muistiin ja joka käsit-i : tää ohjelmakoodiosia; sekä tietokoneella käytettävissä olevaan välineeseen tallen- :' : nettu tietokoneohjelmatuote. Keksinnön näille näkökohdille on tunnusomaista se, että saadaan tietokone toteuttamaan menetelmä joidenkin edellä kuvattujen mene-; 30 telmään liittyvien näkökohtien mukaan.
. ·, Keksinnön erilaisia toteutusmuotoja on kuvattu epäitsenäisissä patenttivaatimuksis- I » » . ·, : sa·
• I
4 113127
PIIRUSTUSTEN LYHYT KUVAUS
Keksinnölle tunnusomaisina pidetyt uudet piirteet on esitetty erityisesti liitteenä olevissa patenttivaatimuksissa. Itse keksintö, sen rakenne ja toimintamenetelmä sekä sen muut tavoitteet ja edut selviävät parhaiten seuraavasta keksinnön toteutus-5 muotojen kuvauksesta ja siihen liittyvistä piirustuksista.
Kuva 1 esittää, kuinka fyysisesti eri paikoissa sijaitsevat laitteet voivat kuulua loogiseen verkkosegmenttiin,
Kuva 2 esittää yleislähetyksen toiston yhtä perustapausta keksinnön erään toteutusmuodon mukaan, 10 Kuva 3 esittää yleislähetyksen toistoa kaukana olevaan isäntälaitteeseen keksinnön erään toteutusmuodon mukaan,
Kuva 4 esittää yleislähetyspaketin kapselointia yleislähetyksen toistoa varten keksinnön erään toteutusmuodon mukaan,
Kuva 5 esittää yleislähetyksen toistoa, kun yleislähetyspaketti lähtee isäntälait-15 teelta, jolla on IPsec-suojattu yhteys,
Kuva 6 esittää loogisen verkkosegmentin muodostumista fyysisesti erillisistä ali-: verkoista, ' * Kuva 7 esittää yhdistelmää useista tapauksista, joissa keksintöä voidaan soveltaa, ,: Kuva 8 esittää yhtä yleislähetyksen toistotapahtumaa kuvan 7 järjestelyssä, i 20 Kuva 9 esittää keksinnön erään toteutusmuodon mukaista menetelmää, * ·
Kuva 10 esittää keksinnön erään toisen toteutusmuodon mukaista menetelmää, ·' Kuva 11 esittää IPsec-suojattujen yhteyksien ketjutusta, * * • 9
Kuva 12 esittää tapausta, jossa on useita samanaikaisesti aktiivisia SA-yhteyksiä kahden viestivän laitteen välillä, ja * · , : ·, 25 Kuva 13 esittää keksinnön erään toteutusmuodon mukaista laitetoteutusta.
Tässä patenttihakemuksessa esitettyjä esimerkinomaisia toteutusmuotoja ei ole tarkoitettu tulkittavaksi niin, että ne asettaisivat rajoituksia oheisten patenttivaatimusten sovellettavuudelle. Verbiä “käsittää” on käytetty tässä patenttihakemuksessa 5 113127 avoimena rajoituksena, joka ei sulje pois sellaisia ominaisuuksia, joita ei ole mainittu. Epäitsenäisissä vaatimuksissa esitetyt piirteet ovat keskenään vapaasti yhdistettävissä, ellei toisin nimenomaan ilmoiteta.
KEKSINNÖN YKSITYISKOHTAINEN KUVAUS
5 Kuva 1 esittää järjestelyä, jossa looginen verkkosegmentti 101 koostuu kahdesta fyysisestä verkon osasta, jotka ovat langallinen osa 102 ja langaton osa 103. Langallisessa osassa 102 on esitetty kaksi esimerkinomaista isäntälaitetta 111 ja 112, ja todellinen isäntälaitteiden määrä langallisessa osassa 102 voi olla mitä tahansa vain muutaman ja usean tuhannen väliltä. Vastaavasti on esitetty kaksi esimerkinomaista 10 isäntälaitetta 121 ja 122 toimimassa langattomassa osassa 103. Myös langattomassa osassa isäntälaitteiden määrä voi vaihdella huomattavasti, eikä sillä tarvitse olla mitään erityistä merkitystä. Langallisen osan 102 ja langattoman osan 103 välissä on välitinlaite 131, jota seuraavassa kuvauksessa nimitetään turvavälittimeksi. Fyysisesti se kuuluu sekä langalliseen osaan 102 että langattomaan osaan 103. Loogisen 15 verkkosegmentin 101 ja ulkopuolisen lankaverkon 104 välissä on reititin 132, jota nimitämme turvareitittimeksi ja joka kuuluu vielä langalliseen osaan 102.
Käytännön esimerkkinä voimme ajatella, että looginen verkkosegmentti 101 on yrityksen lähiverkko LAN (Local Area Network). Langalliset isäntälaitteet 111 ja 112 ovat tavanomaisia pöytätietokoneita, joilla on kaapeliyhteys yrityksen lähiverkkoon 20 LAN. Turvavälitin 131 sijaitsee kokoushuoneessa yrityksen tiloissa, joissa langattomille työasemille 121 ja 122 tarjotaan langaton yhteys yrityksen lähiverkkoon . : LAN. Turvareititin 132 toteuttaa yhteyden yrityksen lähiverkon 101 ja Internetin 104 välillä.
9 • % \ ‘: Kuva 1 esittää lisäksi, kuinka liikkuva etäisäntälaite, ’’matkailija”, 141 on kytketty 25 loogiseen verkkosegmenttiin 101 ulkopuolisen lankaverkon 104 kautta. Fyysisesti etäisäntälaite 141 voi sijaita missä päin maailmaa tahansa; yksi turvareitittimen 132 : tehtävistä on peittää tämä niin, että loogisen verkkosegmentin 101 muiden laitteiden näkökulmasta katsottuna etäisäntälaite näyttää olevan samassa verkkosegmentissä. Etätyöaseman 141 virtuaalihahmo loogisessa verkkosegmentissä 101 on esitetty pis- f > · ‘ ‘ ’ 30 teviivoilla ja viitenumerolla 141’.
♦ · * » J. Loogisen verkkosegmentin 101 langallisen osan 102 katsotaan olevan luonnostaan » « » , turvallinen, mikä merkitsee mm. sitä, että isäntälaitteet 111 ja 112 voivat viestiä * : keskenään langallisen osan 102 kautta käyttämättä IPsec-suojausta tai muuta siihen verrattavaa turvatoimenpidettä. Tälle vastakohtana langaton osa 103 ei ole luonnos- 6 113127 taan turvallinen, koska langattomien yhteyksien salakuuntelu on suhteellisen helppoa ja koska mikä tahansa vieraileva isäntälaite, ystävällinen tai vihamielinen, voi yrittää rekisteröityä langattomaan osaan 103. Myös ulkopuolisen lankaverkon 104 oletetaan olevan turvaton. Sana ’’turva” välittimen 131 ja reitittimen 132 nimityksis-5 sä korostaa niiden vastuuta turvallisuuden tarjoamisesta langallisen osan 102 ’’sisäpuolisten” isäntäilaitteiden ja joko langattomassa osassa 103 tai ulkopuolisessa lankaverkossa 104 olevien ’’ulkopuolisten” isäntälaitteiden välillä. IPsec-suojauksen käyttö edellyttää, että jokaisen langattoman isäntälaitteen 121 ja 122 ja turvavälitti-men 131 välille on muodostettava SA-yhteydet, samoin kuin etäisäntälaitteen 141 ja 10 turvareitittimen 132 välille.
Tähän liittyvien ongelmien kuvaamiseksi tarkemmin kertaamme pääkohdittain ’’epäilyttävien” isäntälaitteiden 121, 122 ja 141 IP-osoitteiden käsittelyprosessin. Turvavälitin 131 (tai siihen kytketty erillinen osoitepalvelin) ylläpitää dynaamisesti varattavia IP-osoitteita, joiden katsotaan kuuluvan loogisen verkkosegmentin 101 15 sisäiseen osoiteavaruuteen. Kun langaton isäntälaite rekisteröityy loogisen verkkosegmentin 101 langattomaan osaan 103, se saa yhden näistä dynaamisesti varattavista sisäisistä IP-osoitteista osoittaakseen henkilöllisyytensä vierailunsa aikana. ARP (Address Resolution Protocol) -välipalvelintoiminto turvavälittimessä 131 huolehtii kaikista loogisen verkkosegmentin 101 muilta isäntälaitteilta tulevista 20 ARP-kyselyistä: aina, kun tulee ARP-kysely, jonka tarkoituksena on selvittää kone-: osoite, joka vastaa langattomalle isäntälaitteelle annettua tiettyä IP-osoitetta, turva- i a välitin 131 vastaa kyselyyn antamalla oman koneosoitteensa. ARPia on käsitelty yksityiskohtaisesti esimerkiksi asiakirjassa Plummer, D.: ”An Ethernet Address ; Resolution Protocol - or - Converting Network Protocol Addresses to 48.bit I · 25 Ethernet Address for Transmission on Ethernet Hardware”, RFC 826, Symbolics, ’ : Inc., November 1982.
Tilanne on samanlainen, jos etäisäntälaite 141 ottaa yhteyden loogiseen verkkoseg- ; menttiin 101 puhelinverkon kautta soittamalla suoraan modeemipankkiin, joka on osa turvareititintä. Myös siinä tapauksessa etäisäntälaite saa sisäisen IP-osoitteen ti- ;' 30 läpäistä käyttöä varten, ja turvareititin huolehtii ARP-välipalvelintoiminnoista. Ku- v · van 1 järjestely muistuttaa enemmän tilannetta, jossa etäisäntälaite 141 kutsuu pai- : ’: kahisen Intemet-palveluntaijoajan (ISP, Internet Service Provider) modeemipankkia t J ·, senhetkisessä sijaintipaikassaan, ja saa tilapäisesti varatun IP-osoitteen ISP:n ylläpi- • « * . tämästä dynaamisesti varattavien IP-osoitteiden varastosta. Yhteyden ottamiseksi ' * 35 turvareitittimeen 132 ja IPsec-pohjaisen turvallisuuden soveltamiseksi sellaisen yh teyden kautta välitettävään tietoliikenteeseen etäisäntälaite käyttää tätä ’’ulkoista” 7 113127 IP-osoitetta, jossa se, että osoite on ulkoinen, merkitsee sitä, ettei se kuulu loogisen verkkosegmentin 101 sisäiseen osoiteavaruuteen. Loogisen verkkosegmentin 101 isäntälaitteet eivät tunnistaisi sellaista IP-osoitetta turvallisiin lähetyksiin kelpaa-vaksi, joten turvareititin 132 varaa lisäksi dynaamisesti varattavan, sisäisen IP-5 osoitteen etäisäntälaitteelle. Tämä ’’virtuaalinen” IP-osoite välitetään etäisäntälait-teelle, joka käyttää sitä rinnakkain paikalliselta ISPrltä saamansa ’’todellisen” IP-osoitteen kanssa. Virtuaalisten IP-osoitteiden käyttöä on kuvattu tarkemmin luon-nosasiakirjassa “draft-ietf-ipsec-dhcp-13.txt”, jonka on julkaissut vuonna 2001 Internet Society ja joka on saatavana osoitteesta http://www.ietf.org/shadow.html ja 10 joka liitetään tähän hakemukseen viittaamalla siihen.
Jos turvallisesta tietoliikenteestä huolehtiminen annetaan reitittimen tehtäväksi, reitittimellä on oltava pitkälle kehittyneet valmiudet. Eräs vaihtoehto on käyttää yksinkertaisempaa reititintä ja kytkeä turvavälitin loogisen verkkosegmentin 101 langalliseen osaan 102. Sellainen turvavälitin toimisi liitäntänä ulkopuoliseen verkkoon 15 104 menevän, turvatun tietoliikenteen ja langallisen osan 102 luonnostaan turvalli sen tietoliikenteen välissä.
Seuraavaksi tutkimme, mitä tapahtuu, kun yksi loogisen verkkosegmentin 101 langallisessa osassa 102 olevista isäntälaitteista 111 ja 112 lähettää yleislähetyspaketin. Kaikki muut isäntälaitteet langallisessa osassa 102 vastaanottavat yleislähetyspake-20 tin ongelmitta. Myös turvavälitin 131 ja turvareititin 132 vastaanottavat yleislähe-tyspaketin. Jokainen IPsec-suojattu yhteys - turvavälittimestä 131 langattomaan : ’·· isäntälaitteeseen 121, turvavälittimestä 131 langattomaan isäntälaitteeseen 122 ja ·,’·· turvareitittimestä 132 etäisäntälaitteeseen 141 - on kuitenkin tiukasti sidottu kysei- * * ’ i sen isäntälaitteen dynaamisesti varattuun IP-osoitteeseen ja vaatii SA-yhteyden pa- : ·,· 25 kettien välitystä varten. Yleislähetyspaketin verkkoyleislähetysosoitetta ei voida . ‘ · ·. käyttää ilmaisemaan mitään, mikä voitaisiin autentikoida, joten ilman tämän keksin nön toimenpiteitä yleislähetyspaketti, joka sai alkunsa langallisesta osasta 102, ei .... etenisi mihinkään langattomaan isäntälaitteeseen 121 ja 122 eikä etäisäntälaittee- seen 141.
» » « · . *: *. 30 Yleisen mielenkiinnon vuoksi voimme myös tutkia, mitä tapahtuisi, jos langattoman ,···, osan 103 turvallisuusvaatimuksia väljennettäisiin niin, ettei IPsecin käyttöä vaadit- • · taisi. Siinä tapauksessa välitin 131 vain päästäisi yleislähetyspaketin ulos sellaise-v : naan, eli toistaisi sen langallisesta välineestä langattomaan välineeseen, ja jokainen ’·,’·· langaton isäntälaite langattomassa osassa 103 vastaanottaisi sen suunnilleen saman- 35 aikaisesti kuin niiden langalliset vastineet langallisessa osassa 102. Vastaava yleinen toistotoiminto ei ole mahdollinen turvareitittimessä 132, koska yleislähetyspa- 8 113127 ketit on tarkoitettu leviämään vain loogisessa verkkosegmentissä 101, ja niiden toistaminen ulkopuoliseen lankaverkkoon 104 loukkaisi tätä periaatetta.
Kuva 2 esittää tämän keksinnön erään toteutusmuodon mukaista turvallista yleislä-hetyksen toistoa. Se, että tietyt langattomat isäntälaitteet ovat läsnä pakettikytken-5 täisen verkon langattomassa osassa, vaatii jo, että niillä on aktiivinen yhteys. Toisin sanoen voimme olettaa, että tietyllä hetkellä ennen yleislähetyspaketin esiintymistä on täytynyt tapahtua turvayhteyden muodostaminen kunkin langattoman isäntälait-teen ja turvavälittimen välillä, eikä tämä turvayhteys ole päättynyt yleislähetyspaketin saapuessa. Kuvassa 2 vaihe 201 edustaa turvayhteyden muodostamista turvavä-10 liitimen 131 ja ensimmäisen langattoman isäntälaitteen 121 välille, ja vaihe 202 edustaa turvayhteyden muodostamista turvavälittimen 131 ja toisen langattoman isäntälaitteen 122 välille. Nämä turvayhteydet ovat vielä voimassa, kun vaiheessa 203 langallinen isäntälaite 111 päättää lähettää yleislähetyspaketin loogisen verkkosegmentin kautta. Vaiheessa 204 turvavälitin 131 vastaanottaa yleislähetyspake-15 tin, kopioi sen niin moneksi kopioksi kuin on SA-yhteydessä olevia langattomia isäntälaitteita ja kapseloi jokaisen kopion sopivasti niin, että se voidaan lähettää sen turvayhteyden yli, jota varten se muodostettiin. Yleislähetyspaketin kapseloitujen kopioiden lähettämistä langattomille isäntälaitteille voidaan nimittää toistamiseksi, vaikka se, mikä lähetetään eteenpäin, ei ole tarkka kopio siitä, mitä turvavälitin vas-20 taanotti, vaan kapseloitu versio siitä. Vaihe 205 esittää toistoa ensimmäiselle langat- #· ; tomalle isäntälaitteelle 121 ja vaihe 206 esittää toistoa toiselle langattomalle isäntä- * laitteelle 122.
• » • * · • * | Vaiheet 201 ja 202, eli vaiheet, joissa muodostetaan SA-yhteydet, jotka odottavat, ·:*: että jotakin lähetetään välittimestä 131 langattomiin isäntälaitteisiin, suoritetaan 25 yleensä normaalin verkkoliikenteen osana. On kuitenkin mahdollista asettaa joko . ‘”, langattomat isäntälaitteet tai välitin tai molemmat suorittamaan erityinen ’’hengissä- pitoprosessi”, jonka tarkoituksena on varmistaa, että aina on olemassa SA-yhteys : . >t välittimeltä jokaiseen langattomaan isäntälaitteeseen, jos vain kyseinen langaton * · ’ ! isäntälaite on muuten sellaisessa tilassa, että se voi olla odottamassa välittimeltä tu- 30 leviä lähetyksiä.
( i f ·. Kuva 3 esittää vastaavaa tilannetta tapauksessa, jossa matkailijaksi kutsuttu etäisän- t · tälaite ottaa yhteyden Internetiin paikallisen ISP:n kautta senhetkisessä sijaintipai- v : kassaan ja pyrkii ottamaan yhteyden turvalliseen verkkosegmenttiin, jossa yleislähe- * · :,’*i tyspakettien odotetaan esiintyvän. Vaiheessa 301 etäisäntälaite aloittaa verkkoyh- 35 teyden muodostamisen, ja ottaa tämän johdosta yhteyden paikalliseen ISP:hen vaiheessa 302. Vaiheessa 303 paikallinen ISP tarjoaa etäisäntälaitteelle tilapäisen IP- 9 113127 osoitteen, jonka se ilmoittaa etäisäntälaitteelle vaiheessa 304. Tätä IP-osoitetta ja paikallisen ISP:n palveluita käyttäen etäisäntälaite ottaa yhteyden turvallisen verkkosegmentin turvareitittimeen tai turvavälittimeen vaiheessa 305. SA-yhteys muodostetaan turvareitittimen tai turvavälittimen ja etäisäntälaitteen välille vaiheessa 5 306. Vaiheessa 307 turvareititin tai turvavälitin varaa sisäisen IP-osoitteen etäisän tälaitteelle (sisäinen tarkoittaa turvallisen verkkosegmentin sisäistä), joka sisäinen IP-osoite välitetään etäisäntälaitteelle vaiheessa 308. Vaiheessa 309 etäisäntälaite muodostaa virtuaalisen verkkoyhteyden, joka käyttää vastaanottamaansa sisäistä IP-osoitetta. Tähän pisteeseen asti menettely voi noudattaa täysin tunnettuja toiminta-10 tapoja, eikä tätä keksintöä ole tarvinnut soveltaa vielä tässä vaiheessa.
Vaiheessa 310 turvallisessa verkkosegmentissä oleva yleislähetyksen lähtöasema lähettää yleislähetyspaketin siten, että turvareititin tai turvavälitin on niiden laitteiden joukossa, jotka vastaanottavat mainitun yleislähetyspaketin. Vaiheessa 311 turvareititin tai turvavälitin kopioi yleislähetyspaketin ja kapseloi sen niin, että se voi-15 daan lähettää SA-yhteyden kautta etäisäntälaitteelle. Kapseloidun yleislähetyspaketin lähetys eli ’’toisto” tapahtuu vaiheessa 312.
Kuvassa 4 esitetään lyhyesti, mitä tapahtuu vaiheessa, jossa turvavälitin tai turvareititin kapseloi yleislähetyspaketin tämän keksinnön yhden osan mukaan sen lähettämiseksi SA:n kautta langattomaan isäntälaitteeseen tai etäisäntälaitteeseen. Ennen 20 kapselointia paketti on normaali IP-paketti, joka käsittää IP-otsikon 401, hyöty-‘ ! kuormakentän 402 ja mahdollisesti joitakin muita kenttiä 403. IP-otsikko 401 käsit- i '·· tää muiden arvojen lisäksi verkon yleislähetysosoitteen kohdeosoitearvona. Yksin- •’.‘ί kertainen IPsec-käsittely säilyttäisi alkuperäisen IP-otsikon ja lisäisi turvaotsikon ’: ’': (AH-otsikon tai ESP-otsikon, jossa AH on Authentication Header ja ESP on Encap- ;' *, * 25 sulating Security Payload) otsikon ja hyötykuormakentän väliin. Sellaista käsittelyä » * ;"*· ei voida soveltaa tässä, koska verkon yleislähetysosoite alkuperäisessä IP-otsikossa ' 1 * ei sovellu autentikointiin. Sen sijaan pakettia muunnetaan niin, että paketin alkuun : ·, ·, lisätään uusi IP-otsikko 411, jota seuraavat turvaotsikko 412, alkuperäinen IP-otsik- ' ko 413, hyötykuormakenttä 414 ja muut kentät 415, jos niitä on. Uuden IP-otsikon 30 411 osoitearvot valitaan niin, että ne vastaavat sen SA:n päätepisteiden autentikoitu- v · ja osoitteita, jonka kautta kapseloitu yleislähetyspaketti lähetetään. Kenttien 413, 414 ja 415 salaaminen kapseloidussa paketissa suoritetaan käytetyn IPsec-suojauk-. t sen määritelmien mukaan.
V f » i Tähän mennessä kuvatuissa tapauksissa olemme olettaneet, että yleislähetyspaketin 35 lähtöasema on kytketty suoraan loogisen verkkosegmentin turvalliseen, langalliseen osaan, jossa yleislähetyspaketit esiintyvät. Asia ei välttämättä ole näin, koska sekä 10 113127 langattomien isäntälaitteiden - joilla on langaton, IPsec-suojattu suora yhteys turvalliseen verkkoon - ja etäisäntälaitteiden, joilla on IPsec-suojattu pääsy turvalliseen verkkoon turvattoman väliverkon kautta, on mahdollisesti myös lähetettävä yleislähetyspaketteja. Kuva 5 esittää, kuinka keksintöä sovelletaan sellaisessa tapa-5 uksessa.
Kuvaa 5 voidaan helpoimmin soveltaa tilanteeseen, jossa kahdella langattomalla isäntälaitteella on IPsec-suojatut langattomat yhteydet turvavälittimeen, joka on myös yksi solmu turvallisessa lankaverkossa, johon on kytketty langallisia isäntä-laitteita. Vaiheet 501 ja 502 osoittavat, kuinka mainitut langattomat isäntälaitteet 10 ovat jonakin aiempana ajankohtana muodostaneet SA-yhteydet itsensä ja turvavälit-timen välille. Vaiheessa 503 toinen langattomista isäntälaitteista päättää lähettää yleislähetyspaketin, joka muodostetaan tunnettujen toimenpiteiden mukaan. Langaton isäntälaite ei voi kuitenkaan vain lähettää yleislähetyspakettia turvavälittimeen SA-yhteyden kautta autentikointisyistä, joita on jo kuvattu. Siksi langaton isäntälai-15 te kapseloi yleislähetyspaketin vaiheessa 504, jotta se voi sen jälkeen lähettää sen turvavälittimeen vaiheessa 505. On huomattava, että vaikka itse paketti on tarkoitettu lähetettäväksi kauemmaksi (kaikille isäntälaitteille loogisessa verkkosegmentissä) kuin turvavälittimelle, vaiheiden 504 ja 505 tarkoituksena on vain välittää se sellaisen SA-yhteyden kautta, jonka päätepisteenä on turvavälitin. IPsec-pohjainen 20 suojaava käsittely estää kaikkia muita mahdollisia kuuluvuusalueella olevia langat-: tornia isäntälaitteita huomaamasta yleislähetyspaketin saapumista - siksi sanan ’’yleislähetys” ympärillä on lainausmerkit vaiheessa 505.
* · : Vaiheessa 506 turvavälitin avaa ensimmäiseltä langattomalta isäntälaitteelta vas- ': taanottamansa paketin kapseloinnin ja huomaa, että se sisältää yleislähetyspaketin.
: 25 Vaiheessa 507 se lähettää yleislähetyspaketin sellaisenaan loogisen verkkosegmen- : tin langalliseen osaan. Lisäksi sen on varmistettava, että muut IPsec-suojausta käyt tävät isäntälaitteet vastaanottavat yleislähetyksen. Siksi turvavälitin kopioi yleislähetyspaketin vaiheessa 508 niin moneksi kopioksi kuin muita langattomia isäntälaitteita on verkossa sillä hetkellä, ja kapseloi jokaisen kopion asianmukaisesti niin, että 30 se voidaan lähettää kyseiselle langattomalle isäntälaitteelle. Vaiheessa 509 turvavä-: · Iitin toistaa uudelleenkapseloidut yleislähetyspaketit kaikille muille langattomille : _: isäntälaitteille kuin sille, jolta paketti alunperin tuli.
' * Vain eräät menettelyn yksityiskohdat muuttuvat, jos ajattelemme tapauksia, joissa •V ·: ainakin yksi IP-suojausta käyttävistä isäntälaitteista on etäisäntälaite, joka kommu- 35 nikoi turvattoman lankaverkon kautta tai joissa on ainakin kaksi turvavälitintä langattomille yhteyksille samassa verkossa. Jos käytössä on ensimmäinen turvavälitin 11 113127 langattomille yhteyksille ja erillinen toinen turvavälitin tai turvareititin kaukaisille yhteyksille tai langattomille yhteyksille eri paikassa, kuvassa 5 yhdessä ’’reititin tai välitin” -sarakkeessa esitetty toiminto jaetaan kahdeksi: toinen laite vastaanottaa alkuperäisen kapseloidun yleislähetyspaketin lähtöaseman isäntälaitteelta ja suorittaa 5 kapseloinnin purku- ja eteenpäinlähetystoiminnot, kun taas toinen vastaanottaa eteenpäinlähetetyn yleislähetyspaketin ja suorittaa uudelleenkapselointi- ja toisto-toiminnot.
On huomattava, että voi olla tietyntyyppisiä paketteja, joita voitaisiin pitää yleislä-hetyspaketteina, mutta joita pitäisi kuitenkin käsitellä eri tavalla kuin edellä on ku-10 vattu. Oletetaan, että langaton isäntälaite haluaa lähettää yleislähetyksenä ARP-pyynnön, jossa se tiedustelee turvavälittimen tai jonkin muun sellaisen isäntälaitteen koneosoitetta, joka on turvavälittimen ’’takana” siinä mielessä, että viimeksi mainittu toimii ARP-välipalvelimena kyseisen isäntälaitteen puolesta. Kun turvavälitin on purkanut ARP-pyyntöpaketin kapseloinnin, se huomaa, että tämä on jotakin sellais-15 ta, johon se voi vastata tyhjentävästi itse. Siinä tapauksessa sen ei tarvitse lähettää pakettia eteenpäin siitä huolimatta, että se on luonteeltaan yleislähetyspaketti. Se voi vastata suoraan isäntälaitteelle, joka lähetti ARP-pyyntöpaketin.
Voidaan ajatella sellaista erikoistapausta, jossa ei ole lainkaan loogisen verkkosegmentin ’’turvallista langallista osaa”, mikä tarkoittaa sitä, että turvallisuutta ei voida , t 20 taata edes missään lankaverkon osassa, ja siksi IPsec-suojausta on käytettävä kaikis-sa yhteyksissä. On täysin mahdollista käyttää IPsec-suojausta kudosmaisessa verkkoarkkitehtuurissa, jossa jokainen solmu voi kommunikoida suoraan jokaisen muun I solmun kanssa; silloin on vain muodostettava erillinen SA-yhteys jokaiselle ver- ’taisyhteydelle verkossa. Tämä keksintö ei kuitenkaan toimi sellaisessa ympäristös-i 25 sä, ellei ainakin toinen kahdesta ehdosta täyty. Näistä ensimmäinen on se, ettei : ’: verkkoarkkitehtuuri ole kuitenkaan täysin kudosmainen, vaan verkossa on keskus- solmu, joka tietää, kuinka yleislähetyspaketti vastaanotetaan (kapseloituna ja SA-: ·. yhteyden kautta) sen lähettäjältä ja kuinka yleislähetyspaketin kapselointi puretaan , ', ja kuinka se kopioidaan ja kapseloidaan uudelleen niin, että keskussolmu voi toistaa V 30 yleislähetyspaketit edelleen kaikille muille laitteille loogisessa verkkosegmentissä, v ·’ Toinen mahdollisuus on se, että verkon jokainen solmu pystyy itse muuntamaan :: yleislähetyspaketin tavanomaisen lähetysmenettelyn sellaiseksi, jossa muodostetaan . , *. peräkkäin joukko SA-yhteyksiä lähettäjän ja loogisen verkkosegmentin kaikkien , ·. ; muiden isäntälaitteiden välille yleislähetyspaketin kopion lähettämiseksi vuorotellen *1» 35 jokaiselle vastaanottavalle laitteelle.
12 113127
Kuva 6 esittää keksinnön soveltamista tapauksessa, jossa looginen verkkosegmentti 601 koostuu kolmesta eri fyysisestä verkosta 611, 621 ja 631, joiden väliset yhteydet kulkevat sellaisen väliverkon 641 kautta, joka ei kuulu loogiseen verkkosegmenttiin 601. Fyysisiä verkkoja 611, 621 ja 631 voidaan myös nimittää aliverkoiksi.
5 Käytännön esimerkkinä voimme ajatella, että looginen verkkosegmentti 601 on kolmessa eri rakennuksessa toimivan yrityksen lähiverkko. Rakennusten väliset yhteydet kulkevat julkisen Internetin kautta ja vaativat IPsec-suojauksen, kun taas jokaisen fyysisen verkon 611, 621 ja 631 sisällä (kunkin rakennuksen seinien sisällä) tekstimuotoinen tietoliikenne on sallittu. Suojattujen yhteyksien muodostamiseksi ja 10 ylläpitämiseksi aliverkkojen 611, 621 ja 631 välillä niistä jokaisessa on turvavälitin tai turvareititin. Kuvassa 6 nämä näkyvät rajareitittiminä 612, 622 ja 632. Kuhunkin aliverkkoon kuuluvat isäntälaitteet on merkitty numeroilla 613 ja 614, 623 ja 624 sekä 633 ja 634.
Täyttääkseen tehtävänsä yhdistää eri aliverkot turvallisesti yhdeksi loogiseksi verk-15 kosegmentiksi turvareitittimet 612, 622 ja 632 ylläpitävät rutiininomaisesti SA-yhteyksiä toistensa välillä. Kun nyt jokin isäntälaitteista lähettää yleislähetyspake-tin, joka pitäisi jakaa loogisen verkkosegmentin kaikille isäntälaitteille, yleislähe-tyspaketti näkyy ensin aliverkossa, jossa lähettävä isäntälaite sijaitsee. Kyseisen aliverkon turvareititin vastaanottaa yleislähetyspaketin, kapseloi sen asianmukaisesti 20 ja lähettää sen muille turvareitittimille SA-yhteyksien kautta. Jokainen vastaanotta-, · : va turvareititin purkaa paketin kapseloinnin, tunnistaa sen yleislähetyspaketiksi ja ; ’ lähettää sen yleislähetyksenä kyseisessä aliverkossa.
* · ·. ! Kuva 7 esittää yhdistelmää monista sellaisista ominaisuuksista, joita on käsitelty ': ': erikseen edellä. Looginen verkkosegmentti 701 koostuu useista fyysisesti erillisistä : i 25 aliverkoista, joista ensimmäinen ja toinen aliverkko 710 ja 720 ovat langallisia ali- verkkoja, kolmas aliverkko 730 on langaton aliverkko ja neljäs aliverkko 740 on virtuaalinen aliverkko, jossa etäisäntälaitteet saadaan loogisesti näyttämään loogisen verkkosegmentin 701 isäntälaitteilta. Turvavälittimet 711, 721, 731 ja 741 kytkevät ’ ' t eri aliverkot toisiinsa yhteyksillä, jotka kulkevat luonnostaan turvattoman ulkopuo- 30 lisen verkon 705 kautta. Ensimmäisessä aliverkossa 710 isäntälaitteet 712 ja 713 on :. ·' suoraan kytketty turvavälittimeen 711; vastaavasti toisessa aliverkossa 720 isäntä- ϊ · laitteet 722 ja 723 on suoraan kytketty turvavälittimeen 721. Kolmannessa aliver- , ·. kossa 730 langattomilla isäntälaitteilla 732 ja 733 on langattomat yhteydet vastaa- i . vaan turvavälittimeen 731, ja neljännessä (virtuaalisessa) aliverkossa 740 tiettyjen 35 isäntälaitteiden loogisilla hahmoilla 742’ ja 743’ nähdään olevan yhteydet turvavä littimeen 741. Todellisuudessa isäntälaitteet 742 ja 743 sijaitsevat jossakin turvat- 13 113127 toman ulkopuolisen verkon 705 sisällä, ja yhteydet niistä turvavälittimeen 741 kulkevat jossakin Internetissä olevan ISP:n palvelimen 706 kautta.
Kuvassa 8 esitetään tapahtumaketju, joka liittyy tapahtumaan, jossa etäisäntälaite lähettää yleislähetystyyppisen paketin loogisessa verkkosegmentissä 701, joka on 5 esitetty kuvassa 7. Kuvassa 8 ylhäällä vasemmalla etäisäntälaitteet kirjautuvat sisään loogiseen verkkosegmenttiin 701. Isäntälaitteen 742 kohdalla siihen liittyvät vaiheet ovat yhteyden aloittaminen 801, yhteydenotto 802 ISP:hen 706, tilapäisen IP-osoitteen varaaminen 803 ISP:ssä 706, varatun tilapäisen IP-osoitteen välittäminen 804 isäntälaitteelle 742, yhteydenotto 805 turvavälittimeen 741, SA:n muodos-10 taminen 806 isäntälaitteen 742 ja turvavälittimen 741 välille, loogisen verkkosegmentin osoiteavaruuden sisäisen virtuaalisen IP-osoitteen varaaminen 807, varatun virtuaalisen IP-osoitteen välittäminen 808 isäntälaitteelle 742 ja virtuaalisen IP-yhteyden muodostaminen 809 isäntälaitteella 742. Isäntälaitteen 743 osalta samat toiminnot suoritetaan vaiheissa 811, 812, 813, 814, 815, 816, 817, 818 ja 819.
15 Eri turvavälittimien on myös täytynyt muodostaa SA-yhteydet keskenään; tämä on esitetty kuvassa 8 vaiheina 821, 822, 823, 824, 825 ja 826. Lisäksi langattomassa aliverkossa olevien langattomien isäntälaitteiden 732 ja 733 on muodostettava SA-yhteydet keskenään ja langattoman turvavälittimen 731 kanssa. Langattomien SA-yhteyksien muodostaminen on esitetty kuvassa 8 vaiheina 827 ja 828.
20 Vaiheessa 831 etäisäntälaite 742 muodostaa yleislähetyspaketin. Se ei voi lähettää i* ·.. sitä sellaisenaan, joten se kapseloi sen vaiheessa 832 lähetettäväksi 833 asianmukai- ;*·,· sen SA:n kautta turvavälittimeen 741. Vaiheessa 834 turvavälitin purkaa paketin ....: kapseloinnin ja huomaa, että se on yleislähetyspaketti matkalla kaikkiin muihin lait- : teisiin loogisessa verkkosegmentissä 701. Turvavälittimestä 741 on vain IPsec-suo- 25 jattuja yhteyksiä loogisen verkkosegmentin 701 muihin osiin, joten paketin tunnistaminen yleislähetyspaketiksi hipaisee sarjan uudelleenkapselointi- ja lähetystoimintoja. Järjestys, jossa lähettäminen verkon muihin osiin suoritetaan, ei ole tärkeä. : Esimerkiksi kuvassa 8 turvavälitin 741 ensin kapseloi uudelleen 835 ja lähettää 836 ‘ ' yleislähetyspaketin toiseen etäisäntälaitteeseen 743, joka sitten purkaa paketin kap- 30 seloinnin vaiheessa 837.
> · ’ Muita uudelleenkapselointi- ja lähetystoimintoja seuraa turvavälittimessä 741: lan- gattomaan turvavälittimeen 731 vaiheissa 838 ja 839, ensimmäiseen langalliseen turvavälittimeen 711 vaiheissa 840 ja 841, ja toiseen langalliseen turvavälittimeen 721 vaiheissa 842 ja 843. Viimeksi mainittu laite poistaa yleislähetyspaketin kapse-35 loinnin vaiheessa 844 ja lähettää sen yhtenä yleislähetystyyppisenä lähetyksenä 845 14 113127 vastaavassa aliverkossa oleviin isäntälaitteisiin 722 ja 723. Vastaavat kapseloinnin-purku- ja eteenpäinlähetystoiminnot tapahtuvat ensimmäisessä langallisessa turva-välittimessä 711 vaiheissa 846 ja 847. Langattomassa turvavälittimessä 731 on uu-delleenkapselointitoiminto vaiheessa 848, mutta langaton turvavälitin 731 ei voi 5 vain lähettää yleislähetyspakettia eteenpäin yhtenä lähetyksenä. Sen sijaan se suorittaa toisen uudelleenkapseloinnin vaiheessa 849 ennen kuin se lähettää 850 paketin ensimmäiselle langattomalle isäntälaitteelle 732, joka sitten taas purkaa paketin kapseloinnin vaiheessa 851. Toisen langattoman isäntälaitteen 733 kohdalla tapahtuu samanlainen toinen uudelleenkapselointi 852, lähetys 853 ja toinen kapseloinnin 10 purku 854.
Kuva 9 esittää keksinnön erään toteutusmuodon mukaista menetelmää: kyseinen menetelmä on tarkoitus toteuttaa turvavälittimellä, jolla voi olla suojattuja ja/tai suojaamattomia yhteyksiä muihin loogisen verkkosegmentin laitteisiin ja joiden pitäisi pystyä käsittelemään yleislähetyspaketteja. IPsec-valmiudet omaavan turvavä-15 littimen odotetaan ylläpitävän jatkuvasti SA-yhteyksiä verkossa oleviin isäntälaitteisiin sekä pitävän luetteloa sellaisista isäntälaitteista. Kuvan 9 esittämän menetelmän mukainen toiminto alkaa, kun turvavälitin vastaanottaa paketin joko suojaamattomalta yhteydeltä vaiheen 901 mukaan tai suojatulta yhteydeltä vaiheen 902 mukaan, jossa viimeksi mainitussa tapauksessa on väistämätön kapseloinnin purkuvaihe 903. 20 Vaiheessa 904 turvavälitin tutkii, oliko vastaanotettu paketti yleislähetyspaketti. Jos .· : ei, paketti käsitellään jollakin muulla tavalla. Positiivisessa tapauksessa turvavälitin :·, tarkistaa vaiheessa 905, onko sillä mitään suojaamattomia yhteyksiä, joihin sen pi- . täisi lähettää yleislähetyspaketti. Tietenkin, jos yleislähetyspaketti tuli suojaamat- * | toman yhteyden kautta, turvavälitin ei lähetä sitä uudelleen samaan yhteyteen. Jos » · * » # 25 asianmukaiset suojaamattomat yhteydet löydetään, turvavälitin lähettää paketin sel-'· i laisiin yhteyksiin vaiheessa 906. Negatiivinen havainto vaiheessa 905 johtaa suo- ’...: raan vaiheeseen 907.
: v. Vaiheessa 907 turvavälitin tarkistaa, onko sillä mitään suojattuja yhteyksiä, joihin ’•-t sen pitäisi lähettää yleislähetyspaketti. Taas jos yleislähetyspaketti tuli alunperin 30 suojatun yhteyden kautta, turvavälitin ei lähetä sitä uudelleen samaan yhteyteen, v · Niiden suojattujen yhteyksien määrä, joihin yleislähetyspaketti on lähetettävä, saa- daan sellaisten yhteyksien jatkuvasti päivitettävältä listalta. Vaiheessa 908 turvavä-. \ . Iitin alustaa laskurin N, jonka jälkeen se kiertää silmukkaa, jossa kapseloidaan yleis- _! . lähetyspaketti lähetettäväksi vaiheessa 909, lähetetään kapseloitu paketti vaiheessa ' ’ 35 910, tarkistetaan laskurin arvo vaiheessa 911 ja lisätään laskurin arvoa tarvittaessa yhdellä vaiheessa 912, kunnes tarkistus vaiheessa 911 osoittaa, että kaikki suojatut 15 113127 yhteydet on käsitelty. Sitten seuraa lopputila 913; suora hyppäys lopputilaan 913 on myös mahdollinen vaiheesta 907, jos havaitaan, ettei sillä hetkellä ole suojattuja yhteyksiä, joihin paketti pitäisi lähettää.
Kuva 10 esittää menetelmää, jonka suorittaa isäntälaite, jolla voi olla joko suojattu 5 tai suojaamaton verkkoyhteys. Kun ylemmän kerroksen sovellus käskee lähettämään yleislähetyspaketin, isäntälaite tarkistaa ensin vaiheessa 1001, onko senhetkinen verkkoyhteys suojattu vai ei. Jos verkkoyhteys on suojaamaton, yleislähetyspaketin lähetys etenee tunnettujen menetelmien mukaan vaiheessa 1002. Jos verkkoyhteyden kuitenkin havaitaan olevan suojattu, isäntälaite kapseloi yleislähetyspake-10 tin vaiheessa 1003 lähetettäväksi suojatun yhteyden yli, ja lähettää kapseloidun paketin vaiheessa 1004. Tila, jossa yleislähetys on suoritettu 1005, seuraa joko vaiheen 1004 tai vaiheen 1002 jälkeen.
Eräitä erikoistapauksia on vielä tarkasteltava. Yksi niistä on kuvan 11 esittämä tilanne, jossa looginen verkkosegmentti 1101 laajennetaan kattamaan erillään sijait-15 seva fyysinen aliverkko 1102 siten, että aliverkon 1102 ja muun loogisen verkkosegmentin välillä on langaton yhteys, ja lisäksi aliverkko 1102 käsittää langattomia isäntälaitteita. Esimerkkinä voimme ajatella, että aliverkko 1102 sijaitsee junanvaunussa, kun taas loogisen verkkosegmentin 1101 perusosat ovat paikallaan pysyviä. Ensimmäinen langaton välitin 1111 sijaitsee loogisen verkkosegmentin kiinteässä 20 osassa (tai sillä on suojattu yhteys siihen), ja toinen langaton välitin 1112 toimii se-; : kä koko junanvaunun yhteisenä pitkän matkan lähetin-vastaanottimena että paikalli- ' ' sena lyhyen matkan tukiasemana ja keskittimenä aliverkossa 1102. Kaksi langatonta * * *. ; isäntälaitetta 1113 ja 1114 on esitetty kuvassa 11.
, ·, : Yleislähetyspakettien lähettäminen keksinnön mukaan kuvan 11 järjestelyssä vaatii •' 25 kahden kapselointi - kapseloinnin purku -kierroksen ketjuttamisen. Jos yleislähetys- paketti sai alkunsa loogisen verkkosegmentin kiinteässä osassa 1101, ensimmäinen langaton välitin 1111 kapseloi sen ensin lähetettäväksi toiselle langattomalle välitti-melle 1112. Viimeksi mainittu purkaa paketin kapseloinnin vain saadakseen selvil-.' le, että se on yleislähetyspaketti. Sen jälkeen toinen langaton välitin 1112 kapseloi : '; 30 uudelleen ja lähettää paketin niin monta kertaa kuin aliverkossa 1102 on sillä het kellä verkkoon kytkettyjä isäntälaitteita. Toisessa suunnassa, mikäli yleislähetyspaketin lähettäjä oli jokin langattomista isäntälaitteista 1113 ja 1114, lähettävä isäntä-laite kapseloi yleislähetyspaketin ensimmäisen kerran ennen sen lähettämistä toi-: seen langattomaan välittimeen 1112. Viimeksi mainittu taas purkaa paketin kapse- 35 loinnin vain saadakseen selville, että se on yleislähetyspaketti, ja kapseloi uudelleen ja lähettää paketin niin monta kertaa kuin aliverkossa 1102 on sillä hetkellä verk- 16 113127 koon kytkettyjä isäntälaitteita. Lisäksi toinen langaton välitin 1112 kapseloi uudelleen ja lähettää paketin ensimmäiseen langattomaan välittimeen 1111, joka purkaa sen kapseloinnin ja huolehtii sen lähettämisestä tavanomaisena yleislähetyspakettina loogisen verkkosegmentin kiinteään osaan 1101.
5 Toinen erikoistapaus koskee kuvaa 12, jossa ensimmäisen laitteen 1201 ja toisen laitteen 1202 välillä on useita samanaikaisesti aktiivisia SA-yhteyksiä 1211, 1212, 1213 ja 1214. Jos nyt oletamme, että yhden laitteista 1201 ja 1202 pitäisi lähettää toiselle yleislähetyspaketti, kuinka sen pitäisi valita S A, jonka kautta yleislähetys-paketti lähetetään kapseloidussa muodossa? Periaatteessa on kaksi mahdollista ratio kaisua, jotka eroavat toisistaan siinä perusnäkökohdassa, kumman näistä laitteista pitäisi sisältää enemmän älyä. Ensimmäinen vaihtoehto on olettaa, että jokainen laite, joka kapseloi yleislähetyspaketteja toistoa varten, pystyy valitsemaan täsmälleen yhden SA:n jokaisesta ryhmästä SA-yhteyksiä, joilla on sama kohde. On sinänsä helppoa esittää joukko sääntöjä sellaisen valinnan suorittamiseksi: voimme esimer-15 kiksi määritellä, että lähettävän laitteen pitäisi aina valita se SA, joka on vanhin (tai uusin) siinä mielessä, että sen muodostamisesta on kulunut pisin (tai lyhin) aika. Vaihtoehtoisesti voimme käyttää hyväksi sitä seikkaa, että jokaisella SArlla on hyvin määritelty elinaika joko ajassa tai tavumääränä tai molempina, ja todeta, että aina pitäisi valita se SA, jonka kestoajasta on jäljellä enemmän (tai vähemmän) kuin 20 millään muulla senhetkisellä SA:lla. Voidaan myös yksinkertaisesti sanoa, että lä- . : hettävän laitteen pitäisi aina valita se SA, joka on ensimmäisenä (tai viimeisenä) tie- : ’ tyn vastaanottavan laitteen SA-yhteyksien luettelossa. Lähettävän laitteen voidaan » * » '. , myös antaa poimia SA satunnaisesti. On huolehdittava vain siitä, että valitun SA:n ’ ; päätepisteenä todella on aiottu vastaanottava laite. On tunnettua, että SA-yhteydet • < k 25 voivat olla sisäkkäisiä niin, että vaikka tietty ulompi SA päättyisikin tiettyyn toiseen : laitteeseen, sen sisällä oleva sisempi SA voi jatkaa eteenpäin tästä toisesta laitteesta ' , · vielä johonkin muuhun laitteeseen.
; . Toinen perusvaihtoehto on antaa lähettävän laitteen olla välittämättä siitä seikasta, ‘t että jotkin sen sillä hetkellä aktiivisista SA-yhteyksistä itse asiassa päättyvät samaan 30 vastaanottavaan laitteeseen. Tämän vuoksi lähettävä laite yksinkertaisesti kopioi, : kapseloi ja lähettää yleislähetyspaketin jokaiseen ulosmenevään SA:han, jonka vain : , : tiedetään päättyvän laitteeseen, joka kuuluu siihen loogiseen verkkosegmenttiin, . : , jonka sisällä yleislähetyspaketti kiertää. Sitten on vastaanottavan laitteen vastuulla ♦ * » . huomata, että se voi vastaanottaa kopioita samasta yleislähetyspaketista eri SA- 35 yhteyksien kautta. Nytkin käytännön toteutus on sinänsä yksinkertainen: on helppoa saada vastaanottava laite tallentamaan kaikki vastaanotetut yleislähetyspaketit tila- 17 113127 päiseen puskuriin, jolloin se voi verrata vastaanotettua yleislähetyspakettia puskurin sisältöön ja hylätä kaikki sellaiset vastaanotetut yleislähetyspaketit, joista jo on tarkka kopio puskurissa. Ensimmäistä perusvaihtoehtoa pidetään kuitenkin edullisempana, koska se auttaa välttämään tarpeettomat viipeet, joita voisi aiheutua yli-5 määräisestä kopioimisesta ja kapseloinnista turvavälittimessä. Lisäksi langattomissa liittymissä on usein pulaa kaistanleveydestä, ja lähetetty tavumäärä voi olla lasku-tusperusteena, joten tavallisesti on paras välttää tarpeettomia lähetyksiä.
Päätämme tämän selostuksen kuvaamalla keksinnön eräitä laitetoteutusmuotoja. Kuva 13 esittää tietokonelaitetta 1301, jossa ylempien kerrosten komponentti 1302 10 kaavamaisesti sisältää kaikki sellaiset toiminnot, jotka sijaitsevat IP-kerroksessa tai ylempänä seitsenkerroksisessa OSI (Open Systems Interconnection) -mallissa. Voimme olettaa, että tietokonelaite 1301 on keksinnön erään toteutusmuodon mukainen turvavälitin tai älykäs turvareititin. Ylempien kerrosten komponentista 1302 on kaksi IP-pohjaista yhteyttä muihin tietokonelaitteisiin: yksi ensimmäisen IPsec-15 komponentin 1311 ja niiden alempien kerrosten 1312 kautta, joita tiedetään käytettävän IP-tason alapuolella, ja toinen toisen IPsec-komponentin 1321 ja niiden alempien kerrosten 1322 kautta, joita tiedetään käytettävän IP-tason alapuolella. Käytännössä turvavälitinlaitteillakaan on harvoin enempää kuin yksi verkkoliitäntä, jossa IPsec on mahdollinen, koska ’’sisäinen” verkkoliitäntä kytkee turvavälittimen tur-20 valliseen sisäiseen verkkoon, jossa IPsec on tarpeeton. Kaksinkertaisen IPsec-suo-,· ; jauksen käyttöön perustuva toteutus on esitetty kuvassa 13 tämän esityksen täyden- ! ’ tämiseksi ja sen seikan korostamiseksi, että IPsec-suojausta on käytettävä aina, kun < * · , IP-pohjaiselle tietoliikenteelle on taattava turvallisuus. Seuraavassa selostamme • ; vain kuvan 13 vasemmanpuoleista liitäntää.
• J : t I • « 25 IPsec-standardin vaatimusten mukaan jokaisessa liitännässä, jossa IPsec-suojausta I · käytetään, on oltava tietyt IPsec-komponenttiin liittyvät tietokannat. Näihin tietokantoihin sisältyvät SPD (Security Policy Database) ja SAD (Security Association : v, Database), joiden on lisäksi tehtävä ero tulevan ja lähtevän tietoliikenteen välillä, ‘! koska monet turvayhteyksiin liittyvät parametrit ovat suunnasta riippuvia. Kuvassa V 30 13 IPsec-komponentilla 1311 on lähtevä tietokantalohko 1313 ja tuleva tietokanta- ν' ·' lohko 1314, joista kummassakin on SPD-osa ja SAD-osa. Tämän keksinnön kannal- ; _' ’: ta SAD-osa on tärkein, koska se antaa tiedon siitä, mihin SA-yhteyksiin lähetetyt, , v. kapseloidut yleislähetyspaketit pitäisi suunnata.
• i ·
• I
:. ’ ·; Ylempien kerrosten komponentin 1302 osana esitetään yleislähetyspakettien käsitte- 35 lijä 1350, joka sisältää käsittelytoiminnot 1351 ja 1352 vastaanotetuille ja lähetetyille yleislähetyspaketeille. Vastaanotettujen yleislähetyspakettien käsittelytoimintojen 18 113127 1351 tärkeä osa on paketit eteenpäin lähettävä osa 1353, joka on järjestetty lähettämään vastaanotetut yleislähetyspaketit eteenpäin näitä paketteja käyttäville sovelluksille ja lähetettyjen yleislähetyspakettien käsittelytoiminnoille 1352 lähetettäväksi edelleen kapseloidussa muodossa SA-yhteyksiin. Viimeksi mainittua tarkoitusta 5 varten lähetettyjen yleislähetyspakettien käsittelytoimintoihin 1352 sisältyy kopi-ointiosa 1354, jonka tehtävänä on kopioida yleislähetyspaketit kapseloitaviksi eri SA-yhteyksiin. RX/TX-liitäntä 1355 lähettää vastaanotetut yleislähetyspaketit sekä IPsec-suojatuista että suojaamattomista verkkoliitännöistä yleislähetyspakettien käsittelytoimintoihin 1351; se myös lähettää eteenpäin lähetettyjen yleislähetyspaket-10 tien käsittelytoiminnoista 1352 lähetettävät yleislähetyspaketit IPsec-suojattuihin ja suojaamattomiin verkkoliitäntöihin tarpeen mukaan. Verkko-osoiteliitäntä 1356 antaa käsittelytoiminnoille 1351 ja 1352 tarvittavat tiedot sillä hetkellä voimassa olevista verkko-osoitteista. Sovellusliitäntä 1357 lähettää vastaanotetut yleislähetyspaketit sovelluksiin ja siirtää yleislähetyspakettien lähetysmääräykset sovelluksista lä-15 hetettyjen yleislähetyspakettien käsittelytoimintoihin 1352.
Isäntälaitetoteutus olisi samanlainen kuin edellä kuvattu, mutta erona on se, että isäntälaitteissa on hyvin harvoin useampi kuin yksi verkkoliitäntä, mikä tarkoittaa sitä, että alhaalla oikealla oleva osa lohkosta 1301 (lohkot 1321 ja 1322 samoin kuin niihin liittyvät tietokannat) voidaan jättää pois.
t » » « I * t » t · ♦ * * • > I * e » » I S ♦ » · • t * » » * » i t ) · »
» » I
* ' *

Claims (21)

1. Menetelmä yleislähetyspaketin käsittelemiseksi välitintietokoneessa (131, 132, 612, 622, 632,711,721,731,741, 1111, 1112, 1301), jolla on IPsec-suojattu yhteys loogisen verkkosegmentin (101, 601, 701, 1101) osaan (121, 122, 141, 732, 733, 5 742, 743, 1113, 1114), jonka sisällä yleislähetyspaketti pitäisi jakaa, jossa IPsec- suojaus määrittää, millaiset paketit ovat hyväksyttäviä lähetettäväksi IPsec-suojatun yhteyden yli, tunnettu siitä, että menetelmässä on seuraavat vaiheet: - kapseloidaan (204, 311, 508, 835, 838, 840, 842, 849, 852, 909) yleislähetyspaketti muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun yhteyden yli, ja 10 -lähetetään (205, 206, 312, 509, 836, 839, 841, 843, 850, 853, 910) kapseloitu yleislähetyspaketti loogisen verkkosegmentin osaan IPsec-suojatun yhteyden yli.
2. Förfarande enligt patentkrav 1, kännetecknat av att det omfattar steg i vilka: 10. utsändningspaketet dupliceras (204, 311, 508, 835, 838, 840, 842, 849, 852, 909) till sä mänga kopior som det förekommer IPsec-skyddade anslutningar frän gate-way-datom (131, 132, 612, 622, 632, 711, 721, 731, 741, 1111, 1112, 1301) till sä-dana delar i det logiska nätsegmentet (101, 601, 701, 1101) till vilka utsändningspaketet skall sändas, och 15. nämnda isolerings- och sändningssteg upprepas för varje duplicerad kopia av ut sändningspaketet pä sä sätt att vid varje upprepning isoleras en duplicerad kopia av utsändningspaketet till en form som kan accepteras för att sändas over en IPsec-skyddad anslutning till en del till vilken det inte redan har sänts och frän vilken ut-’ · '· sändningspaketet inte har mottagits, och därefter sänds ett isolerat utsändningspaket : · · 20 till en sadan del. * · • · ..: 3. Förfarande enligt patentkrav 2, kännetecknat av att steget i vilket utsänd- : ningspaketet dupliceras (204, 311, 508, 835, 838, 840, 842, 849, 852, 909) omfattar • · . ‘ understeg i vilka: « - i det fall att det förekommer ett knippe av för tillfallet förekommande IPsec- : 25 skyddade anslutningar (1211, 1212, 1213, 1214) vilka börjar i gateway-datom och slutar i en viss samma mottagande apparat, vilken utgör en del av det logiska nät-:. segmentet, väljes endast en IPsec-skyddad anslutning frän varje sädant knippe, och : - utsändningspaketen inte dupliceras tili flera än en kopia per knippe; ' varvid en isolerad kopia av utsändningspaketet sänds frän gateway-datom till 30 nämnda vissa mottagande apparat endast over den valda IPsec-skyddade anslutningen. 113127
2. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että siinä on seuraavat vaiheet: - kopioidaan (204, 311, 508, 835, 838, 840, 842, 849, 852, 909) yleislähetyspaketti 15 niin moneksi kopioksi kuin on IPsec-suojattuja yhteyksiä välitintietokoneelta (131, 132, 612, 622, 632, 711, 721, 731, 741, 1111, 1112, 1301) niihin loogisen verkkosegmentin (101, 601, 701, 1101) osiin, joihin yleislähetyspaketti pitäisi lähettää, ja : j - toistetaan mainitut kapselointi- ja lähetysvaiheet yleislähetyspaketin jokaiselle ko- *'* , piolle, jolloin jokaisessa toistossa yleislähetyspaketista tehty kopio kapseloidaan : * 20 muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun yhteyden yli paikkaan, ,,, : johon sitä ei ole vielä lähetetty ja josta yleislähetyspakettia ei ole vastaanotettu, ja , -, : sen jälkeen sellainen kapseloitu yleislähetyspaketti lähetetään sellaiseen paikkaan.
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että vaihe, jossa kopioidaan (204, 311, 508, 835, 838, 840, 842, 849, 852, 909) yleislähetyspaketti, ; 25 käsittää seuraavat alivaiheet: -mikäli on olemassa ryhmä voimassa olevia IPsec-suojattuja yhteyksiä (1211, : : 1212, 1213, 1214), jotka alkavat välitintietokoneesta ja päättyvät tiettyyn samaan : vastaanottavaan laitteeseen, joka on osa loogista verkkosegmenttiä, valitaan vain yksi IPsec-suojattu yhteys jokaisesta sellaisesta ryhmästä, ja ! I :‘ ; 30 - pidätytään kopioimasta yleislähetyspakettia useammaksi kuin yhdeksi kopioksi ryhmää kohti, 113127 jolloin matkalla välitintietokoneesta mainittuun tiettyyn vastaanottavaan laitteeseen kapseloitu kopio yleislähetyspaketista lähetetään vain valitun IPsec-suojatun yhteyden kautta.
4. Förfarande enligt patentkrav 1, kännetecknat av att det omfattar steg i vilka: - en kontroll utförs (905) om det förekommer sädana icke-skyddade anslutningar frän gateway-datorn till delar i det logiska nätsegmentet inom vilket utsändningspa-ketet skulle distribueras, frän vilka icke-skyddade anslutningar utsändningspaketet 5 inte har mottagits i gateway-datorn, och - om sädana icke-skyddade anslutningar farms, sänds (906) utsändningspaketet som sädant tili dessa icke-skyddade anslutningar.
4. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että siinä on seu-5 raavat vaiheet: - tarkistetaan (905), onko sellaisia suojaamattomia yhteyksiä välitintietokoneesta sen loogisen verkkosegmentin osiin, jonka sisällä yleislähetyspaketti pitäisi jakaa, joista suojaamattomista yhteyksistä yleislähetyspakettia ei ole vastaanotettu välitin-tietokoneeseen, ja 10 -jos sellaisia suojaamattomia yhteyksiä löytyy, lähetetään (906) yleislähetyspaketti sellaisenaan näihin suojaamattomiin yhteyksiin.
5. Förfarande enligt patentkrav 1, kännetecknat av att isoleringssteget omfattar att nya rubriker (411, 412) tillsättes tili utsändningspaketet, vilka nya rubriker in- 10 kluderar en IP-rubrik (411) och en säkerhetsrubrik (412), av vilka den nya IP-rubriken (411) identifierar en ändpunkt i den IPsec-skyddade anslutningen som den avsedda destinationen för det isolerade utsändningspaketet och säkerhetsrubriken (412) är i enlighet med IPsec-skyddets säkerhetsegenskaper.
5. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että kapselointi-vaiheessa lisätään uusia otsikoita (411,412) yleislähetyspakettiin, ja nämä uudet otsikot sisältävät uuden IP-otsikon (411) ja turvaotsikon (412), joista uusi IP-otsikko 15 (411) osoittaa IPsec-suojatun yhteyden päätepisteen kapseloidun yleislähetyspaketin aiotuksi kohteeksi, ja turvaotsikko (412) on IPsec-suojauksen turvaominaisuuksien mukainen.
6. Förfarande för sändning av ett utsändningspaket frän en värddator (121, 122, 15 141, 732, 733, 742, 743, 1113, 1114, 1301), vilken värddator är en del av ett visst logiskt nätsegment (101, 601, 701, 1101) inom vilket utsändningspaketet skall distribueras och uppvisar en IPsec-skyddad anslutning tili en annan del (131, 132, 612, 622, 632, 711, 721, 731, 741, 1111, 1112) i det logiska nätsegmentet, varvid IPsec-, ·, : skyddet defmierar av vilken typ de paket är som kan accepteras för att sändas över .‘ 20 den IPsec-skyddade anslutningen, kännetecknat av att förfarandet uppvisar steg i ‘. , vilka: ' :* ’ i - utsändningspaketet isoleras (504, 832) i en form som kan accepteras för att sändas ;' ·, · över den IPsec-skyddade anslutningen, och * I - det isolerade utsändningspaketet sänds (505, 833) tili den andra delen i det logiska 25 nätsegmentet över den IPsec-skyddade anslutningen. •
6. Menetelmä yleislähetyspaketin lähettämiseksi isäntälaitteesta (121, 122, 141, 732, 733, 742, 743, 1113, 1114, 1301), joka on osa tiettyä loogista verkkosegment- 20 tiä (101, 601, 701, 1101), jonka sisällä yleislähetyspaketti pitäisi jakaa ja jolla on t : IPsec-suojattu yhteys loogisen verkkosegmentin toiseen osaan, (131, 132, 612, 622, : 632, 711, 721, 731, 741, 1111, 1112), jolloin IPsec-suojaus määrittää, millaiset pa- • ketit ovat hyväksyttäviä lähetettäväksi IPsec-suojatun yhteyden yli, tunnettu siitä, että menetelmässä on seuraavat vaiheet: 25. kapseloidaan (504, 832) yleislähetyspaketti muotoon, joka on hyväksyttävä lähe tettäväksi IPsec-suojatun yhteyden yli, ja - lähetetään (505, 833) kapseloitu yleislähetyspaketti loogisen verkkosegmentin toiseen osaan IPsec-suojatun yhteyden kautta.
7. Förfarande enligt patentkrav 6, kännetecknat av att isoleringssteget omfattar att nya rubriker (411, 412) tillsättes tili utsändningspaketet, vilka nya rubriker in- » * · kluderar en ny IP-rubrik (411) och en säkerhetsrubrik (412), av vilka den nya IP- ’ ;** rubriken (411) identifierar en ändpunkt i den IPsec-skyddade anslutningen som den ; 30 avsedda destinationen för det isolerade utsändningspaketet och säkerhetsrubriken ;· (412) är i enlighet med IPsec-skyddets säkerhetsegenskaper. * * 113127
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että kapselointi- , . 30 vaiheessa lisätään uusia otsikoita (411, 412) yleislähetyspakettiin, ja nämä uudet ot- * sikot sisältävät uuden IP-otsikon (411) ja turvaotsikon (412), joista uusi IP-otsikko (411) osoittaa IPsec-suojatun yhteyden päätepisteen kapseloidun yleislähetyspaketin 21 113127 aiotuksi kohteeksi, ja turvaotsikko (412) on IPsec-suojauksen turvaominaisuuksien mukainen.
8. Förfarande enligt patentkrav 6, kännetecknat av att steget i vilket utsänd-ningspaketet isoleras omfattar understeg i vilka: - i det fall att det förekommer ett knippe av för tillfället förekommande IPsec-skyddade anslutningar (1211, 1212, 1213, 1214) vilka börjar i värddatom och slutar 5. en viss samma mottagande apparat, vilken utgör en del av det logiska nätsegmen-tet, väljes endast en IPsec-skyddad anslutning frän ett sädant knippe, och - utsändningspaketet isoleras i en form som kan accepteras för att sändas över endast den valda IPsec-skyddade anslutningen.
8. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että vaiheessa, jossa yleislähetyspaketti kapseloidaan, on seuraavat alivaiheet: 5 -mikäli on olemassa ryhmä voimassa olevia IPsec-suojattuja yhteyksiä (1211, 1212, 1213, 1214), jotka alkavat isäntälaitteesta ja päättyvät tiettyyn samaan vastaanottavaan laitteeseen, joka on osa loogista verkkosegmenttiä, valitaan vain yksi IPsec-suojattu yhteys sellaisesta ryhmästä, ja - kapseloidaan yleislähetyspaketti muotoon, joka on hyväksyttävä lähetettäväksi 10 vain valitun IPsec-suojatun yhteyden yli.
9. Förfarande för förflyttning av ett utsändningspaket frän en första del (102, 10 611, 621, 623, 710, 720, 730, 740, 1101) i ett logiskt nätsegment (101, 601, 701, 1101) inom vilket utsändningspaketet skall distribueras tili en andra del (102, 611, 621, 623,710, 720, 730, 740, 1101) i det samma logiska nätsegmentet som uppvisar en IPsec-skyddad anslutning tili den första delen, varvid IPsec-skyddet definierar av vilken typ de paket är som kan accepteras för att sändas över den IPsec-skyddade 15 anslutningen, kännetecknat av att förfarandet uppvisar steg i vilka: - utsändningspaketet isoleras (204, 311, 504, 508, 832, 835, 838, 840, 842, 849, 852, 909) i den första delen av det logiska nätsegmentet i en form som kan accepteras för att sändas över den IPsec-skyddade anslutningen, : - det isolerade utsändningspaketet sänds (205, 206, 312, 505, 509, 833, 836, 839, ; ·· 20 841, 843, 850, 853, 910) tili den andra delen i det logiska nätsegmentet över den IP- : . i sec-skyddade anslutningen, och ; t · , . - det sända isolerade utsändningspaketet avisoleras (506, 844, 846, 851, 854) vid ;, / den andra delen i det logiska nätsegmentet. • ·
9. Menetelmä yleislähetyspaketin siirtämiseksi loogisen verkkosegmentin (101, 601, 701, 1101) ensimmäisestä osasta (102, 611, 621, 623, 710, 720, 730, 740, 1101), jonka sisällä yleislähetyspaketti pitäisi jakaa, saman loogisen verkkosegmentin toiseen osaan (102, 611, 621, 623, 710, 720, 730, 740, 1101), jolla on IPsec- 15 suojattu yhteys ensimmäiseen osaan, jolloin IPsec-suojaus määrittää, millaiset paketit ovat hyväksyttäviä lähetettäväksi IPsec-suojatun yhteyden yli, tunnettu siitä, että menetelmässä on seuraavat vaiheet: - kapseloidaan (204, 311, 504, 508, 832, 835, 838, 840, 842, 849, 852, 909) yleisiä- *· : hetyspaketti loogisen verkkosegmentin ensimmäisessä osassa muotoon, joka on hy- : ’ 20 väksyttävä lähetettäväksi IPsec-suojatun yhteyden yli, • » : - lähetetään (205, 206, 312, 505, 509, 833, 836, 839, 841, 843, 850, 853, 910) kap- ,· : seloitu yleislähetyspaketti loogisen verkkosegmentin toiseen osaan IPsec-suojatun ! . ‘ yhteyden kautta, ja - puretaan (506, 844, 846, 851, 854) lähetetyn, kapseloidun yleislähetyspaketin kap- ; : 25 selointi loogisen verkkosegmentin toisessa osassa. > »
10. Gateway-dator (131, 132, 612, 622, 632, 711, 721, 731, 741, 1111, 1112, 25 1301) som erbjuder en annan datoranordning en IPsec-skyddad anslutning tili och . \ frän ett logiskt nätsegment (101, 601, 701, 1101) inom vilket distributionen av ut- , ;t sändningspaket är tilläten, varvid IPsec-skyddet har anordnats att definiera av vilken • » · *; ‘ typ de paket är som kan accepteras för att sändas över en IPsec-skyddad anslutning, ’... · kännetecknad av att gateway-datorn uppvisar: ; ' 30 - organ (1311, 1321) för att isolera ett utsändningspaket i en form som kan accepte- t I t ' * " ras för att sändas över en IPsec-skyddad anslutning, och 113127 - organ (1312, 1322) för att sända det isolerade utsändningspaketet tili den andra da-toranordningen över en IPsec-skyddad anslutning.
10. Välitintietokone (131, 132, 612, 622, 632, 711, 721, 731, 741, 1111, 1112, : 1301) edestakaisen, IPsec-suojatun yhteyden tarjoamiseksi toiselle tietokonelaitteel- : le loogiseen verkkosegmenttiin (101, 601, 701, 1101), jonka sisällä yleislähetyspa- , , kettien jakelu on sallittu, jolloin IPsec-suojaus on järjestetty määrittämään, millaiset » » . 30 paketit ovat hyväksyttäviä lähetetettäväksi IPsec-suojatun yhteyden yli, tunnettu siitä, että välitintietokoneessa on: 113127 -välineet (1311, 1321) yleislähetyspaketin kapseloimiseksi muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun yhteyden yli, ja - välineet (1312, 1322) kapseloidun yleislähetyspaketin lähettämiseksi toiseen tietokonelaitteeseen IPsec-suojatun yhteyden kautta.
11. Gateway-dator enligt patentkrav 10, kännetecknad av att den uppvisar: - en första nätanslutning (1322) för att koppia gateway-datom till ett logiskt nät-5 segment som omfattar flera datoranordningar, - en andra nätanslutning (1312) för att koppia gateway-datom till individuella vär-dar för att göra att dessa individuella värdar uppträder som delar av det logiska nät-segmentet, - en IPsec-komponent (1311) som är kopplad tili den andra nätanslutningen (1312) 10 för att implementera IPsec-skydd inom anslutningar över nämnda andra nätanslutning, och - en behandlingskomponent (1350) för utsändningspaketet; varvid behandlingskomponenten för utsändningspaketet har anordnats att: - mottaga (1355) utsändningspaket frän den första (1322) och den andra (1312) nät-15 anslutningen, - sända vidare (1353) mottagna utsändningspaket tili applikationsskiktshelheter i (1302) i gateway-datom, : - sända vidare (1353) utsändningspaket som mottagits frän den första nätanslutning- , · en (1322) i riktning mot den andra nätanslutningen (1312), , : 20 - sända vidare (1353) utsändningspaket som mottagits frän den andra nätanslutning- i I f : en (1312) i riktning mot den första nätanslutningen (1322), . t - sända vidare (1353) utsändningspaket som mottagits frän applikationsskiktshelhe- ! ter (1302) i gateway-datom i riktning mot den första och den andra nätanslutningen, V* och , · - ·, 25 - ge IPsec-komponenten (1311) instruktioner gällande skyddad sändning av utsänd- « * I ‘ ningspaket över den andra nätanslutningen. I f · . *. : 12. Gateway-dator enligt patentkrav 11, kännetecknad av att behandlingskompo- a i nenten (1350) för utsändningspaketet dessutom har anordnats att mottaga information (1355) frän IPsec-komponenten (1311) gällande antalet och ändpunktema hos 113127 de for tillfället existerande IPsec-skyddade aslutningama over den andra nätanslut-ningen.
11. Patenttivaatimuksen 10 mukainen välitintietokone, tunnettu siitä, että se kä sittää: -ensimmäisen verkkoliitännän (1322) välitintietokoneen kytkemiseksi loogiseen verkkosegmenttiin, jossa on useita tietokonelaitteita, -toisen verkkoliitännän (1312) välitintietokoneen kytkemiseksi yksittäisiin isäntä-10 laitteisiin näiden yksittäisten isäntälaitteiden saamiseksi näyttämään loogisen verkkosegmentin osilta, -toiseen verkkoliitäntään (1312) kytketyn IPsec-komponentin (1311) IPsec-suo-jauksen toteuttamiseksi yhteyksien sisällä mainitun toisen verkkoliitännän kautta, ja - yleislähetyspakettien käsittelykomponentin (1350); 15 jossa yleislähetyspakettien käsittelykomponentti on järjestetty: -vastaanottamaan (1355) yleislähetyspaketteja ensimmäiseltä (1322) ja toiselta > (1312) verkkoliitännältä, “ j -lähettämään (1353) vastaanotetut yleislähetyspaketit välitintietokoneen sovellus- ,.; kerrosyksiköihin (1302), 20 -lähettämään (1353) ensimmäiseltä verkkoliitännältä (1322) vastaanotetut yleislähetyspaketit kohti toista verkkoliitäntää (1312), ; v. - lähettämään (1353) toiselta verkkoliitännältä (1312) vastaanotetut yleislähetyspa- ’ .t ketit kohti ensimmäistä verkkoliitäntää (1322), : - lähettämään (1353) yleislähetyspaketit välitintietokoneen sovelluskerrosyksiköistä . 25 (1302) kohti ensimmäistä j a toista verkkoliitäntää, j a ; - ohjaamaan IPsec-komponenttia (1311) yleislähetyspakettien suojatussa välittämi- ’ , | sessä toisen verkkoliitännän kautta. 113127
12. Patenttivaatimuksen 11 mukainen välitintietokone, tunnettu siitä, että yleislä-hetyspakettien käsittely komponentti (1350) on lisäksi järjestetty vastaanottamaan tietoa (1355) IPsec-komponentilta (1311) sillä hetkellä voimassa olevien IPsec-suojattujen yhteyksien määrästä ja päätepisteistä toisen verkkoliitännän kautta.
13. Värddator (121, 122, 141, 732, 733, 742, 743, 1113, 1114, 1301), omfattande organ (1311, 1312) för att upprätta en IPsec-skyddad anslutning tili och frän en ga- 5 teway-dator i ett sädant logiskt nätsegment inom vilket distributionen av utsänd-ningspaket är tilläten, varvid IPsec-skyddet har anordnats att specificera vilken typ av paket kan accepteras för att sändas over den IPsec-skyddade anslutningen, kän-netecknad av att värddatom uppvisar: - organ (1311) för isolering av ett utsändningspaket tili en form som är acceptabel 10 för sändning over den IPsec-skyddade anslutningen, och - organ (1312) för sändning av den skyddade utsändningen till gateway-datom over den IPsec-skyddade anslutningen.
13. Isäntälaite (121, 122, 141, 732, 733, 742, 743, 1113, 1114, 1301), joka käsittää välineet (1311, 1312) edestakaisen, IPsec-suojatun yhteyden muodostamiseksi sellaisen loogisen verkkosegmentin välitintietokoneeseen, jonka sisällä yleislähetyspa-kettien jakelu on sallittu, jolloin IPsec-suojaus on järjestetty määrittämään, millaiset paketit ovat hyväksyttäviä lähdetettäväksi IPsec-suojatun yhteyden yli, tunnettu 10 siitä, että isäntälaitteessa on: - välineet (1311) yleislähetyspaketin kapseloimiseksi muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun yhteyden yli, ja -välineet (1312) kapseloidun yleislähetyspaketin lähettämiseksi välitintietokoneeseen IPsec-suojatun yhteyden kautta.
14. Värddator enligt patentkrav 13, kännetecknad av att den uppvisar: - en nätanslutning (1312) för att koppia värddatom tili en gateway-dator, 15. en IPsec-komponent (1311) som är kopplad tili nätanslutningen (1312) för att im- plementera IPsec-skydd inom anslutningar över nämnda nätanslutning, och ; - en behandlingskomponent (1350) för utsändningspaketet; * · 1 : · varvid behandlingskomponenten för utsändningspaketet har anordnats att: ., , · - mottaga (1355) utsändningspaket frän nätanslutningen, \ : 20 - sända vidare (1353) mottagna utsändningspaket tili applikationsskiktshelheter :,,, ·’ (1302) i värddatom, ;v< - sända vidare (1353) utsändningspaket frän applikationsskiktshelheter (1302) i » » '.,; värddatom i riktning mot nätanslutningen (1312), och • t ; ·: . - ge IPsec-komponenten (1311) instmktioner gällande skyddad sändning av utsänd- , · · ·, 25 ningspaket över nätanslutningen. f · I I |
14. Patenttivaatimuksen 13 mukainen isäntälaite, tunnettu siitä, että se käsittää: - verkkoliitännän (1312) isäntälaitteen kytkemiseksi välitintietokoneeseen, - verkkoliitäntään (1312) kytketyn IPsec-komponentin (1311) IPsec-suojauksen to- : · : teuttamiseksi yhteyksien sisällä mainitun verkkoliitännän kautta, ja • « . -yleislähetyspakettienkäsittelykomponentin (1350); k » '·.··: 20 jossa yleislähetyspakettien käsittelykomponentti on järjestetty: • » · !.. * - vastaanottamaan (1355) yleislähetyspaketteja verkkoliitännästä, -lähettämään (1353) vastaanotetut yleislähetyspaketit isäntälaitteen sovellusker-: * *: rosyksiköihin (1302), -lähettämään (1353) yleislähetyspaketit isäntälaitteen sovelluskerrosyksiköistä • : 25 (1302) kohti verkkoliitäntää (1312), ja • - ohjaamaan IPsec-komponenttia (1311) yleislähetyspakettien suojatussa välittämi- • sessä verkkoliitännän kautta. »
15. Gateway-dator enligt patentkrav 14, kännetecknad av att behandlingskompo- . ’. : nenten (13 50) för utsändningspaketet dessutom har anordnats att mottaga (1355) in formation frän IPsec-komponenten (1311) gällande antalet och ändpunktema hos de för tillfället existerande IPsec-skyddade aslutningama över nätanslutningen. 113127
15. Patenttivaatimuksen 14 mukainen välitintietokone, tunnettu siitä, että yleislähetyspakettien käsittelykomponentti (1350) on lisäksi järjestetty vastaanottamaan 113127 tietoa (1355) IPsec-komponentilta (1311) sillä hetkellä voimassa olevien IPsec-suojattujen yhteyksien määrästä ja päätepisteistä verkkoliitännän kautta.
16. Datorprogramprodukt, omfattande ett medium som kan avläsas med dator, uppvisande: datorprogramkodorgan, som, da programmet laddas, ästadkommer att datom utför procedurer som isolerar ett utsändningspaket tili en form som kan ac-cepteras för att sändas över en IPsec-skyddad anslutning, och att sända det isolerade 5 utsändningspaketet tili en del av ett logiskt nätsegment som är ett annat än datom själv över en IPsec-skyddad anslutning.
16. Tietokoneohjelmatuote, joka käsittää tietokoneen luettavissa olevan välineen, jossa on: tietokoneohjelmakoodivälineet, jotka mainitun ohjelman ollessa ladattuna 5 saavat tietokoneen suorittamaan toimenpiteitä yleislähetyspaketin kapseloimiseksi muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun yhteyden kautta, ja lähettämään kapseloidun yleislähetyspaketin loogisen verkkosegmentin osaan, joka ei ole sama kuin tietokone itse, IPsec-suojatun yhteyden kautta.
17. Datorprogramelement, omfattande: datorprogramkodorgan, som ästadkom mer att datom utför en procedur som isolerar ett utsändningspaket tili en form som kan accepteras för att sändas över en IPsec-skyddad anslutning, och att sända det 10 isolerade utsändningspaketet tili en del av ett logiskt nätsegment som är ett annat än datorn själv över en IPsec-skyddad anslutning.
17. Tietokoneohjelmaelementti, jossa on: tietokoneohjelmakoodivälineet, jotka 10 saavat tietokoneen suorittamaan menettelyn yleislähetyspaketin kapseloimiseksi muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun yhteyden kautta, ja lähettämään kapseloidun yleislähetyspaketin loogisen verkkosegmentin osaan, joka ei ole sama kuin tietokone itse, IPsec-suojatun yhteyden kautta.
18. Datorprogramelement enligt patentkrav 17, vilket har placerats pä ett medium som kan avläsas med dator.
18. Patenttivaatimuksen 17 mukainen tietokoneohjelmaelementti, joka on sijoitet-15 tu tietokoneen luettavissa olevaan välineeseen.
19. Medium som kan avläsas med dator, omfattande ett program som har lagrats 15 pä detta, varvid programmet ästadkommer att datom utför procedurer som isolerar ett utsändningspaket tili en form som kan accepteras för att sändas över en IPsec-skyddad anslutning; och att sända det isolerade utsändningspaketet tili en del av ett logiskt nätsegment som är ett annat än datom själv över en IPsec-skyddad anslutning.
19. Tietokoneen luettavissa oleva väline, johon on tallennettu ohjelma, jossa ohjelman tarkoituksena on saada tietokone suorittamaan toimenpiteet yleislähetyspaketin kapseloimiseksi muotoon, joka on hyväksyttävä lähetettäväksi IPsec-suojatun . ·, : yhteyden kautta, ja lähettämään kapseloitu yleislähetyspaketti loogisen verkkoseg- • »· ’ 20 mentin osaan, joka ei ole sama kuin tietokone itse, IPsec-suojatun yhteyden kautta. • * *
20. Suoraan digitaalisen tietokoneen sisäiseen muistiin ladattavissa oleva tietoko- *: *': neohjelmatuote, joka käsittää ohjelmakoodiosia patenttivaatimuksen 19 vaiheiden ;*·,· suorittamiseksi, kun mainittua tuotetta käytetään tietokoneessa. • ·
21. Tietokoneella käytettävissä olevaan välineeseen tallennettu tietokoneohjelma-25 tuote, joka käsittää: tietokoneen luettavissa olevat ohjelma välineet tietokoneen saa- : miseksi suorittamaan patenttivaatimuksen 19 vaiheet, kun mainittua tuotetta käyte- • .: tään tietokoneessa. > * . # 1. Förfarande för hantering av ett utsändningspaket i en gateway-dator (131, 132, ; . 30 612, 622, 632, 711, 721, 731, 741, 1111, 1112, 1301) som uppvisar en IPsec- '* ’5 skyddad anslutning tili en del (121, 122, 141, 732, 733, 742, 743, 1113, 1114) i ett logiskt nätsegment (101, 601, 701, 1101) inom vilket utsändningspaketet skall dis- 113127 tribueras, varvid IPsec-skyddet speciflcerar av vilken typ de paket är som kan ac-cepteras för att sändas over den IPsec-skyddade anslutningen, kännetecknat av att forfarandet uppvisar steg i vilka: - utsändningspaketet isoleras (204, 311, 508, 835, 838, 840, 842, 849, 852, 909) i en 5 form som kan accepteras för att sändas over den IPsec-skyddade anslutningen, och - det isolerade utsändningspaketet sänds (205, 206, 312, 509, 836, 839, 841, 843, 850, 853, 910) till delen i det logiska nätsegmentet over den IPsec-skyddade anslutningen.
19 113127
20. Datorprogramprodukt som kan laddas direkt i det intema minnet i en digital ' dator, omfattande programkoddelar för att utföra stegen i patentkrav 19 dä nämnda : produkt körs pä en dator.
• 21. Datorprogramprodukt som har lagrats pä ett medium som kan användas av en ·. dator, omfattande: programorgan som kan läsas med dator som ästadkommer att da- 25 tom utför stegen i patentkrav 19 dä nämnda produkt körs pä en dator. * > l » * I < > · < I · < ft t · ! i ft * » ft 1 > · * ·
FI20021272A 2002-06-28 2002-06-28 Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä FI113127B (fi)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FI20021272A FI113127B (fi) 2002-06-28 2002-06-28 Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä
US10/611,358 US7505473B2 (en) 2002-06-28 2003-06-30 Transmission of broadcast packets in secure communication connections between computers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20021272 2002-06-28
FI20021272A FI113127B (fi) 2002-06-28 2002-06-28 Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä

Publications (3)

Publication Number Publication Date
FI20021272A0 FI20021272A0 (fi) 2002-06-28
FI20021272A FI20021272A (fi) 2003-12-29
FI113127B true FI113127B (fi) 2004-02-27

Family

ID=8564256

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20021272A FI113127B (fi) 2002-06-28 2002-06-28 Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä

Country Status (2)

Country Link
US (1) US7505473B2 (fi)
FI (1) FI113127B (fi)

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6959297B2 (en) 2002-04-25 2005-10-25 Winnow Technology, Llc System and process for searching within a data stream using a pointer matrix and a trap matrix
US8179870B2 (en) * 2004-09-29 2012-05-15 Intel Corporation Method and apparatus for securing devices in a network
WO2006075265A1 (en) * 2005-01-11 2006-07-20 Koninklijke Philips Electronics N.V. Efficient address-space extension to pseudo multi-homed hosts
US7486673B2 (en) 2005-08-29 2009-02-03 Connect Technologies Corporation Method and system for reassembling packets prior to searching
WO2009068045A1 (en) * 2007-11-26 2009-06-04 Telefonaktiebolaget Lm Ericsson (Publ) Technique for address resolution in a data transmission network
EP2319192B1 (en) * 2008-08-29 2015-10-07 Telefonaktiebolaget LM Ericsson (publ) Efficient working standby radio protection scheme
US8249073B2 (en) * 2010-03-25 2012-08-21 Fujitsu Limited Method and system for forwarding and switching over protected paths
US9769016B2 (en) 2010-06-07 2017-09-19 Brocade Communications Systems, Inc. Advanced link tracking for virtual cluster switching
US8867552B2 (en) 2010-05-03 2014-10-21 Brocade Communications Systems, Inc. Virtual cluster switching
US9270486B2 (en) 2010-06-07 2016-02-23 Brocade Communications Systems, Inc. Name services for virtual cluster switching
US9001824B2 (en) 2010-05-18 2015-04-07 Brocade Communication Systems, Inc. Fabric formation for virtual cluster switching
US9716672B2 (en) 2010-05-28 2017-07-25 Brocade Communications Systems, Inc. Distributed configuration management for virtual cluster switching
US9246703B2 (en) * 2010-06-08 2016-01-26 Brocade Communications Systems, Inc. Remote port mirroring
US9806906B2 (en) 2010-06-08 2017-10-31 Brocade Communications Systems, Inc. Flooding packets on a per-virtual-network basis
US9608833B2 (en) 2010-06-08 2017-03-28 Brocade Communications Systems, Inc. Supporting multiple multicast trees in trill networks
US9628293B2 (en) 2010-06-08 2017-04-18 Brocade Communications Systems, Inc. Network layer multicasting in trill networks
US9807031B2 (en) 2010-07-16 2017-10-31 Brocade Communications Systems, Inc. System and method for network configuration
US9270572B2 (en) 2011-05-02 2016-02-23 Brocade Communications Systems Inc. Layer-3 support in TRILL networks
US9736085B2 (en) 2011-08-29 2017-08-15 Brocade Communications Systems, Inc. End-to end lossless Ethernet in Ethernet fabric
US9699117B2 (en) 2011-11-08 2017-07-04 Brocade Communications Systems, Inc. Integrated fibre channel support in an ethernet fabric switch
US9450870B2 (en) 2011-11-10 2016-09-20 Brocade Communications Systems, Inc. System and method for flow management in software-defined networks
US8995272B2 (en) 2012-01-26 2015-03-31 Brocade Communication Systems, Inc. Link aggregation in software-defined networks
US9742693B2 (en) 2012-02-27 2017-08-22 Brocade Communications Systems, Inc. Dynamic service insertion in a fabric switch
US9154416B2 (en) 2012-03-22 2015-10-06 Brocade Communications Systems, Inc. Overlay tunnel in a fabric switch
US9374301B2 (en) 2012-05-18 2016-06-21 Brocade Communications Systems, Inc. Network feedback in software-defined networks
US10277464B2 (en) 2012-05-22 2019-04-30 Arris Enterprises Llc Client auto-configuration in a multi-switch link aggregation
US10454760B2 (en) 2012-05-23 2019-10-22 Avago Technologies International Sales Pte. Limited Layer-3 overlay gateways
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10601653B2 (en) * 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US9602430B2 (en) 2012-08-21 2017-03-21 Brocade Communications Systems, Inc. Global VLANs for fabric switches
US9166952B2 (en) 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
US9401872B2 (en) 2012-11-16 2016-07-26 Brocade Communications Systems, Inc. Virtual link aggregations across multiple fabric switches
US9413691B2 (en) 2013-01-11 2016-08-09 Brocade Communications Systems, Inc. MAC address synchronization in a fabric switch
US9548926B2 (en) 2013-01-11 2017-01-17 Brocade Communications Systems, Inc. Multicast traffic load balancing over virtual link aggregation
US9350680B2 (en) 2013-01-11 2016-05-24 Brocade Communications Systems, Inc. Protection switching over a virtual link aggregation
US9565113B2 (en) 2013-01-15 2017-02-07 Brocade Communications Systems, Inc. Adaptive link aggregation and virtual link aggregation
US9565099B2 (en) 2013-03-01 2017-02-07 Brocade Communications Systems, Inc. Spanning tree in fabric switches
WO2014145750A1 (en) 2013-03-15 2014-09-18 Brocade Communications Systems, Inc. Scalable gateways for a fabric switch
US20160205157A1 (en) * 2013-03-27 2016-07-14 Alcatel-Lucent Usa Inc. Broadcasting in communication networks
US9565028B2 (en) 2013-06-10 2017-02-07 Brocade Communications Systems, Inc. Ingress switch multicast distribution in a fabric switch
US9699001B2 (en) 2013-06-10 2017-07-04 Brocade Communications Systems, Inc. Scalable and segregated network virtualization
US9806949B2 (en) 2013-09-06 2017-10-31 Brocade Communications Systems, Inc. Transparent interconnection of Ethernet fabric switches
US9912612B2 (en) 2013-10-28 2018-03-06 Brocade Communications Systems LLC Extended ethernet fabric switches
CN105637819B (zh) * 2013-10-28 2019-08-27 柏思科技有限公司 用于传输广播数据的方法和系统
US9548873B2 (en) 2014-02-10 2017-01-17 Brocade Communications Systems, Inc. Virtual extensible LAN tunnel keepalives
US10581758B2 (en) 2014-03-19 2020-03-03 Avago Technologies International Sales Pte. Limited Distributed hot standby links for vLAG
US10476698B2 (en) 2014-03-20 2019-11-12 Avago Technologies International Sales Pte. Limited Redundent virtual link aggregation group
US10063473B2 (en) 2014-04-30 2018-08-28 Brocade Communications Systems LLC Method and system for facilitating switch virtualization in a network of interconnected switches
US9800471B2 (en) 2014-05-13 2017-10-24 Brocade Communications Systems, Inc. Network extension groups of global VLANs in a fabric switch
US10374826B2 (en) 2014-06-30 2019-08-06 Pismo Labs Technology Limited Methods and systems for transmitting broadcast data
US10616108B2 (en) 2014-07-29 2020-04-07 Avago Technologies International Sales Pte. Limited Scalable MAC address virtualization
US9544219B2 (en) 2014-07-31 2017-01-10 Brocade Communications Systems, Inc. Global VLAN services
US9807007B2 (en) 2014-08-11 2017-10-31 Brocade Communications Systems, Inc. Progressive MAC address learning
US9524173B2 (en) 2014-10-09 2016-12-20 Brocade Communications Systems, Inc. Fast reboot for a switch
US9699029B2 (en) 2014-10-10 2017-07-04 Brocade Communications Systems, Inc. Distributed configuration management in a switch group
US9626255B2 (en) 2014-12-31 2017-04-18 Brocade Communications Systems, Inc. Online restoration of a switch snapshot
US9628407B2 (en) 2014-12-31 2017-04-18 Brocade Communications Systems, Inc. Multiple software versions in a switch group
US10003552B2 (en) 2015-01-05 2018-06-19 Brocade Communications Systems, Llc. Distributed bidirectional forwarding detection protocol (D-BFD) for cluster of interconnected switches
US9942097B2 (en) 2015-01-05 2018-04-10 Brocade Communications Systems LLC Power management in a network of interconnected switches
US9807005B2 (en) 2015-03-17 2017-10-31 Brocade Communications Systems, Inc. Multi-fabric manager
US10038592B2 (en) 2015-03-17 2018-07-31 Brocade Communications Systems LLC Identifier assignment to a new switch in a switch group
US10579406B2 (en) 2015-04-08 2020-03-03 Avago Technologies International Sales Pte. Limited Dynamic orchestration of overlay tunnels
US10439929B2 (en) 2015-07-31 2019-10-08 Avago Technologies International Sales Pte. Limited Graceful recovery of a multicast-enabled switch
US10171303B2 (en) 2015-09-16 2019-01-01 Avago Technologies International Sales Pte. Limited IP-based interconnection of switches with a logical chassis
US9912614B2 (en) 2015-12-07 2018-03-06 Brocade Communications Systems LLC Interconnection of switches based on hierarchical overlay tunneling
US10237090B2 (en) 2016-10-28 2019-03-19 Avago Technologies International Sales Pte. Limited Rule-based network identifier mapping

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6873627B1 (en) * 1995-01-19 2005-03-29 The Fantastic Corporation System and method for sending packets over a computer network
US6112251A (en) * 1998-01-13 2000-08-29 Cabletron Systems, Inc. Virtual local network for sending multicast transmissions to trunk stations
US6640251B1 (en) 1999-03-12 2003-10-28 Nortel Networks Limited Multicast-enabled address resolution protocol (ME-ARP)
US6870842B1 (en) 1999-12-10 2005-03-22 Sun Microsystems, Inc. Using multicasting to provide ethernet-like communication behavior to selected peers on a network
US20010047422A1 (en) * 2000-01-21 2001-11-29 Mcternan Brennan J. System and method for using benchmarking to account for variations in client capabilities in the distribution of a media presentation
SE519251C2 (sv) 2000-11-08 2003-02-04 Icomera Ab En metod och ett system för överföring av paket mellan två olika enheter
US20030058274A1 (en) * 2000-11-17 2003-03-27 Jake Hill Interface device
US7286467B1 (en) * 2002-07-12 2007-10-23 Nortel Networks Limited Failure protection for packet telephony

Also Published As

Publication number Publication date
FI20021272A0 (fi) 2002-06-28
FI20021272A (fi) 2003-12-29
US7505473B2 (en) 2009-03-17
US20040057430A1 (en) 2004-03-25

Similar Documents

Publication Publication Date Title
FI113127B (fi) Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä
EP1760971B1 (en) Processing communication flows in asymmetrically routed networks
EP2253123B1 (en) Method and apparatus for communication of data packets between local networks
US8006296B2 (en) Method and system for transmitting information across a firewall
US20180288179A1 (en) Proxy for serving internet-of-things (iot) devices
AU2014363687B2 (en) Establishing a data transfer connection
TW560151B (en) Packet-oriented data communications between mobile and fixed data networks
JP4902635B2 (ja) 接続転送
US6970475B1 (en) System and method for handling flows in a network
US8817815B2 (en) Traffic optimization over network link
EP2449749B1 (en) Method and apparatus for relaying packets
US20040162915A1 (en) System and method for using data encapsulation in a virtual network
WO2021073565A1 (zh) 业务服务提供方法及系统
EP1472849B1 (en) Method and module for securing packet-based communications by address hopping
US20100281168A1 (en) Assymmetric Traffic Flow Detection
JP2001244957A (ja) Tcp終端機能付きipルータ装置および媒体
CN110290093A (zh) Sd-wan网络架构及组网方法、报文转发方法
US6618398B1 (en) Address resolution for internet protocol sub-networks in asymmetric wireless networks
US20060198367A1 (en) Content based secure rendezvous chaotic routing system for ultra high speed mobile communications in ad hoc network environment
CN102812685A (zh) 防火墙后面的安全连接发起主机
WO2017204969A1 (en) Apparatus and method of securing network communications
JP2013504956A (ja) 新たなネットワークとインターネットとの相互通信の実現方法、システム及び通信端
JP2007306251A (ja) パケットルーティング制御プログラム、パケットルーティング制御方法及びコンピュータシステム
CN102664804B (zh) 网络设备实现网桥功能的方法及系统
CN113364660B (zh) Lvs负载均衡中的数据包处理方法及装置

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: SAFENET, INC.

Free format text: SAFENET, INC.

PC Transfer of assignment of patent

Owner name: AUTHENTEC, INC.