FI113597B - Method of sending messages over multiple communication connections - Google Patents
Method of sending messages over multiple communication connections Download PDFInfo
- Publication number
- FI113597B FI113597B FI20011912A FI20011912A FI113597B FI 113597 B FI113597 B FI 113597B FI 20011912 A FI20011912 A FI 20011912A FI 20011912 A FI20011912 A FI 20011912A FI 113597 B FI113597 B FI 113597B
- Authority
- FI
- Finland
- Prior art keywords
- ipsec
- network
- packet
- protocol
- packets
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
11359/11359 /
MENETELMÄ VIESTIEN LÄHETTÄMISEKSI USEAN YHTEYDEN LÄPIMETHOD FOR SENDING MESSAGES THROUGH MULTIPLE CONNECTIONS
KEKSINNÖN ALAFIELD OF THE INVENTION
55
Keksinnön kohteena on menetelmä viestien lähettämiseksi usean yhteyden läpi, erityisesti se on tarkoitettu turvallisten viestien lähettämiseksi.The present invention relates to a method for transmitting messages over multiple connections, in particular for transmitting secure messages.
10 TEKNIIKAN TASO10 BACKGROUND OF THE INVENTION
Internet on joukko yksittäisiä verkkoja, jotka on kytketty yhteen niiden välissä olevien verkkolaitteiden kautta, ja toimii yhtenä ainoana suurena verkkona. Lähiverkot (Local Area Network, LAN) ovat suhteellisen pienen maantieteellisen alueen kattavia verkkoja 15 kun taas kaukoverkot (Wide Area Network, WAN) kytkevät lähiverkkoja (LAN) yhteen siten kytkien yhteen maantieteellisesti hajautuneita käyttäjiä.The Internet is a set of individual networks interconnected through network devices between them and acts as a single large network. Local area networks (LANs) are networks covering a relatively small geographic area 15, while Wide Area Network (WAN) links local area networks (LANs), thereby connecting geographically dispersed users.
Avoimien järjestelmien kytkentäviitemalli, Open Systems Interconnection reference model (OSI), kuvaa kuinka informaatio yhden tietokoneen tietokoneohjelma-: ,:20 sovelluksesta liikkuu verkkoväliaineen läpi toisen tietokoneen ohjelmasovellukseen.The Open Systems Interconnection Reference Model (OSI), an Open Systems Interconnection Reference Model, describes how information from one computer software program:,: 20 passes through a network medium to another computer program application.
; ·: OSI-viitemalli on konsepti, joka koostuu seitsemästä kerroksesta, jokaisen määrittäessä : : tiettyjä verkkofunktioita. Sitä pidetään nyt ensisijaisena arkkitehtuurimallina ’· tietokoneiden välistä viestintää varten. Avoimen järjestelmän kytkentäviitemallin, (OSI:n) 7 kerrosta ovat kerros 7 - sovelluskerros, kerros 6 - esityskerros, kerros 5 -/25 sessiokerros, kerros 4 - kuljetuskerros, kerros 3 - verkkokerros, kerros 2 - tietolinkkikerros ja kerros 1 - fysikaalinen kerros.; ·: The OSI reference model is a concept consisting of seven layers, each defining:: certain network functions. It is now considered the preferred architectural model for communication between computers. The 7 layers of the Open System Interconnection Reference Model (OSI) are Layer 7 - Application Layer, Layer 6 - Presentation Layer, Layer 5 - 25 Session Layer, Layer 4 - Transport Layer, Layer 3 - Network Layer, Layer 2 - Data Link Layer and Layer 1 - Physical Layer.
I > · ·...** OSI-viitemallin 7 kerrosta voidaan jakaa kahteen kategoriaan, ylempiin kerroksiin ja ·:* : alempiin kerroksiin. OSI-mallin ylemmät kerrokset koskevat sovelluksia ja ne ,,30 implementoidaan yleensä ainoastaan tietokoneohjelmiin. OSI-mallin alemmat kerrokset '; ‘; käsittelevät tiedon kuljetusta. Fysikaalinen kerros ja tietolinkkikerros implementoidaan : ’: sekä laitteistoon että ohjelmistoon.I> · · ... ** The 7 layers of the OSI reference model can be divided into two categories, the upper layers and ·: *: the lower layers. The upper layers of the OSI model apply to applications and are generally implemented only in computer programs. Lower layers of the OSI model '; '; deal with the transport of information. The physical layer and the data link layer are implemented in: ': both hardware and software.
2 113597 OSI-malli tarjoaa konseptin tietokoneiden väliseen viestintään mutta malli itse ei ole viestintämenetelmä. Itse viestintä mahdollistetaan käyttämällä viestintäprotokollia. Tietoverkoistoitumisen yhteydessä, protokolla on muodollinen keräelmä sääntöjä ja konventioita, jotka kertovat kuinka tietokone vaihtaa informaatiota verkkoväliaineessa.2 113597 The OSI model provides a concept for communication between computers, but the model itself is not a communication method. Communication itself is made possible by the use of communication protocols. In the context of networking, the protocol is a formal collection of rules and conventions that describe how a computer exchanges information in a network medium.
55
Protokolla implementoi yhden tai useamman OSI-kerroksen funktioita. Tietolinkki kerroksen protokollat, kuten Ethernet, tarjoaa palvelun pakettien lähettämiseen ja vastaanottamiseen käyttämällä kyseenomaista fysikaalista väliainetta, esim. Ethernet:iä. Verkkokerroksen protokollat, kuten Internet Protocol (IP), tarjoaa 10 palvelun verkkoasemien osoittamiseksi, jotka on kytketty heterogeeniseen verkkoon ja pakettien lähettämiseksi ja vastaanottamiseksi tälläisten verkkoasemien välillä. Verkkokerros tarjoaa palvelun, joka ihanteellisesti on riippumaton sen alla olevasta fysikaalisesta väliaineesta, ja siten verkkoasemat, jotka on kytketty erilaisia väliaineita käyttäen, voivat kommunoikoida. Verkkokerros tarjoaa myös reititinpalvelun, joka 15 varmistaa sen, että paketit, jotka lähetetään vastaanottajaa kohti, käyttävät optimaalista reittiä. Niin kutsuttuja reititysprotokollia, kuten RIP ja OSPF IP:tä varten, käytetään reititysinformaation ylläpitämiseksi erityisissä verkkoasemissa, joita kutsutaan reitittimiksi.The protocol implements the functions of one or more OSI layers. Data link layer protocols, such as Ethernet, provide a service for sending and receiving packets using the physical medium in question, e.g., Ethernet. Network layer protocols, such as Internet Protocol (IP), provide a service for addressing network stations connected to a heterogeneous network and for transmitting and receiving packets between such network stations. The network layer provides a service that is ideally independent of the underlying physical medium, and thus network stations connected using different media can communicate. The network layer also provides a router service which ensures that packets sent per recipient use the optimal route. So-called routing protocols, such as RIP and OSPF for IP, are used to maintain routing information on specific network drives called routers.
: 20 Kuljetuskerroksen protokollat tarjoavat erikoistuneempia sovellussuuntautuneita ·:: palveluita, kuten yhteyteen suuntautuneita tai yhteyksettömiä tietopalveluita, jotka v ·' voivat olla luotettavia (varmistavat tiedonjaon) tai ei-luotettavia. Kuljetusprotokollat : tarjoavat yleensä session multipleksointipalvelun, joka mahdollistaa minkä vain : verkkoaseman riippumattomien sessioiden ylläpidon vaikkakin verkkoasemilla :: 25 ainoastaan on yksi verkko-osoite.: 20 Transport layer protocols provide more specialized application-oriented :: services, such as connection-oriented or offline information services, which may be reliable (secure data sharing) or unreliable. Transport Protocols: Usually provides a session multiplexing service that allows you to: maintain network session independent sessions, although network drives :: 25 only have one network address.
·: Lähetyksenhallintaprotokolla, Transmission Control Protocol (TCP), on *·;·' kuljetuskerroksen protokolla, joka antaa luotettavan yhteyteen suunnatun tietovirta- “'· palvelun, kun taas User Datagram Protocol (UDP) on kuljetuskerroksen protokolla, joka·: The Transmission Control Protocol (TCP) is a transport layer protocol that provides a reliable connection-oriented data stream service, while the User Datagram Protocol (UDP) is a transport layer protocol that:
30 antaa ei-luotettavan kytkemättömän datagrammipalvelun. Sekä TCP että UDP30 provides an unreliable unlinked datagram service. Both TCP and UDP
* käyttävät nk. porttinumerolta session multipleksointiin.* use the so-called port number for session multiplexing.
• 3 1 1 7 F Ο ·7 * I ^ ν> >• 3 1 1 7 F Ο · 7 * I ^ ν>>
Sessio- ja esityskerroksen protokollat antavat hyvin erikoistuneita sovellussuuntautuneita palveluita, kuten eri tietoformaattien välisiä konversioita, sekä tarjoavat luotettavan siirtosuuntautuneen viestinnän. Lopuksi, sovelluskerroksen protokollat ovat hyvin sovellusspesifisiä ja hyödyntävät muita kerroksia palvelusten 5 tarjoamiseksi sovellusten käyttäjille.Session and presentation layer protocols provide highly specialized application-oriented services, such as conversions between different data formats, and provide reliable transmission-oriented communication. Finally, application layer protocols are very application specific and utilize other layers to provide services to application users.
TCP/IP pino ei hoida sessio- ja esityskerroksia. Sen sijaan sovellukset käyttävät kuljetuskerroksen protokollia, kuten TCP:täja UDP:tä, suoraan.The TCP / IP stack does not hold session and presentation layers. Instead, applications use transport layer protocols, such as TCP and UDP, directly.
10 Informaatio, jota siirretään yhden tietokonejärjestelmän ohjelmistosovelluksesta toisen tietokonejärjestelmän ohjelmistosovellukseen, läpäisee kaikki OSI-kerrokset.10 Information transmitted from a software application of one computer system to a software application of another computer system passes through all OSI layers.
Internet protokolla, IP, on verkkokerroksena (kerros 3) protokolla, joka sisältää osoiteinformaatiota ja jonkin verran hallintainformaatiota, joka mahdollistaa pakettien 15 reitittämisen. IP on dokumentoitu standardissa RFC 791 ja on ensisijainen verkkokerros protokolla internetin protokollajärjestelmässä. Yhdessä Transmission Control Protocol:an (TCP) kanssa IP edustaa internet protokollien ydintä. IP:llä on kaksi ensisijaista vastuuta; yhteyttömän parhaan mahdollisen datagrammijakelun saaminen internetin läpi ja sen osittaminen sekä datagrammien uudelleen kokoamisen .:20 datalinkkien tukemiseksi, joilla on eri pakettikokoja. IP-paketti sisältää osoite- ja muuta ·; i tietoa.The Internet Protocol, IP, is a network layer (layer 3) protocol that contains address information and some management information that enables packet routing. IP is documented in RFC 791 and is the preferred network layer protocol in the Internet protocol system. Together with the Transmission Control Protocol (TCP), IP represents the core of Internet protocols. IP has two primary responsibilities; obtaining and partitioning the best available datagram distribution over the internet and reassembling datagrams: 20 to support data links with different packet sizes. IP packet contains address and more ·; i know.
• · • » ·:··: IP-versio 4 (IPv4) on tällä hetkellä laajasti käytetty Internet Protokolla versio. Sen * ”·"· päähaittana on yksikäsitteisten julkisten IP-osoitteiden pieni määrä. IP-versiossa 6 .:25 (IPv6) on paljon suurempi osoitetila, joka ratkaisee tärkeimmmän tällä hetkellä tunnetun IPv4 ongelman. IPv6 myös muuttaa muita asioita Internet Protokollassa, esimerkiksi sen, kuinka pakettien osittaminen tehdään, mutta nämä muutokset ovat aika pieniä. Useimmilla protokollilla on eri määritelmiä siitä, kuinka niitä käytetään IPv4:n ja IPv6:n :·: yhteydessä. On esimerkiksi erilaisia IPSec-ja Mobile IP-versioita käytettäväksi IPv4:n ’’:30 ja IPv6:n kanssa. Sellaiset protokollamuutokset ovat kuitenkin pieniä eivätkä ne :·. yleensä muuta protokollan pääasioita merkittävästi.• · • »·: ··: IP version 4 (IPv4) is currently a widely used version of Internet Protocol. Its main disadvantage is the small number of unambiguous public IP addresses. IP version 6:25 (IPv6) has a much larger address space that solves the most important issue currently known to IPv4. IPv6 also changes other things in the Internet Protocol, such as , how packet partitioning is done, but these changes are quite small Most protocols have different definitions of how they are used with IPv4 and IPv6: ·: There are different versions of IPSec and Mobile IP for use with IPv4 ' ': 30 and IPv6, however, such protocol changes are minor and do not: · generally change the main features of the protocol significantly.
11359' 411359 '4
Kiinteissä verkoissa on olemassa ratkaisuja tiedon ja tiedonlähteiden suojaamiseksi leviämiseltä, tiedon autenttisuuden varmistamiseksi ja järjestelmien suojaamiseksi verkkoon perustuvilta hyökkäyksiltä. IPSec on teknologia, jolla saavutetaan turvallisuutta.In fixed networks, there are solutions to protect data and information sources from dissemination, to ensure the authenticity of data, and to protect systems from network-based attacks. IPSec is a technology that provides security.
5 IPSec-turvaprotokollat (IPSec) antaa valmiuden viestien turvaamiseksi LAN:issa, yksitys- ja yleissä kaukoverkoissa (WAN) ja internetissä. IPSec:iä voidaan käyttää eri tavoilla, kuten turvallisten virtuaalisten yksityisverkkojen rakentamiseksi, turvallisen pääsyn saamiseksi yritysverkkoon (IPSec:in etäispääsykäyttö) tai muiden 10 organisaatioiden viestinnän varmistamiseksi, varmistaen autentikoinnin ja luottamuksellisuuden, sekä avaintenvaihtomekanismin. Vaikka joillakin sovelluksilla jo on sisäänrakennettuja turvaprotokollia, IPSec:in käyttö parantaa turvallisuutta edelleen.5 IPSec security protocols (IPSec) provide the capability to secure messages across LANs, Unified and Public Remote Networks (WANs), and the Internet. IPSec can be used in various ways, such as building secure virtual private networks, securing secure access to a corporate network (remote access to IPSec), or securing communications from other organizations, ensuring authentication and confidentiality, and a key exchange mechanism. Although some applications already have built-in security protocols, using IPSec will further improve security.
IPSec voi salata ja/tai autentikoida liikennettä IP-tasolla. WAN:iin menevä liikenne 15 tyypillisesti salataan ja/tai autentikoidaan, ja WAN:lta tulevan liikenteen salaus puretaan ja sen pakkaus puretaan. IPSec:in määrittelee tietyt dokumentit, jotka sisältävät sääntöjä IPSec-arkkitehtuuria varten.IPSec can encrypt and / or authenticate traffic at the IP level. The traffic to the WAN 15 is typically encrypted and / or authenticated, and the traffic coming from the WAN is decrypted and decrypted. IPSec is defined by certain documents that contain rules for the IPSec architecture.
Kahta protokollaa käytetään varmuuden saamiseksi IP-tasolla; autentikointiprotokollaa, -20 jonka protokollan alkutunniste nimeää, Authentication Header (AH), ja yhdistetty *: : salaus/autentikointiprotokolla, jonka nimeää tämän protokollan pakettiformaatti, : Encapsulating Security Payload (ESP). Sekä AH että ESP ovat " ' pääsynhallintatyökaluja, jotka perustuvat salausavainten jakeluun ja liikennevirtojen * " : hallintaan, jotka liittyvät näihin turvaprotokolliin.Two protocols are used to provide assurance at the IP level; an authentication protocol, -20, designated by the protocol header, Authentication Header (AH), and a combined *:: encryption / authentication protocol, designated by the protocol packet format,: Encapsulating Security Payload (ESP). Both AH and ESP are "'access management tools based on the distribution of encryption keys and traffic flows *" associated with these security protocols.
.-‘25.- '25
Turvayhteys (Security Association, SA) on avainkäsite IP:n autentikointi- ja i* luottamuksellisuusmekanismeissa. Turvayhteys on yksisuuntainen suhde lähettäjän ja vastaanottajan välillä, joka tarjoaa varmuuspalveluja sen kantamalle liikenteelle. Jos ': tarvitaan kaksisuuntaista suhdetta, tarvitaan kaksi turvayhteyttä.Security Association (SA) is a key concept in IP authentication and i * confidentiality mechanisms. A security connection is a one-way communication between the sender and the recipient, which provides security services for the traffic it carries. If ': bidirectional relationship is required, two security connections are required.
J30 ;' * *: Termiä IPSec-yhteys käytetään seur^avassa IPSec-kimpun (IPSec bundle) sijasta : yhdestä tai useasta turvayhteydestä, tai yhden tai useamman turvayhteyden IPSec- 11359 5 kimppu kumpaakin suuntaa varten. Tämä termi kattaa siten sekä yksisuuntaisen että kaksisuuntaisen liikenteen suojaamisen. Suuntien symmetriaan ei oteta kantaa, s.o. kumpaakin suuntaa varten käytetyt algoritmit ja IPSec - muutokset voivat olla erilaisia.J30; ' * *: The term IPSec connection is used in the following in place of an IPSec bundle: one or more security connections, or a bundle of one or more security connections IPSec-11359 for each direction. This term thus encompasses the protection of both one-way and two-way traffic. There is no position on the symmetry of the directions, i. the algorithms and IPSec changes used for each direction may be different.
5 Turvayhteys määritetään ainutlaatuisesti kolmen parametrin avulla. Ensimmäinen, joka on turvaparametri-indeksi (Security Parameters Index, SPI), on tälle SA:lle osoitettu. SPI sijoitetaan AH- ja ESP-alkutunnisteisiin, jotta vastaanottajajärjestelmä voisi valita sen SA:n, jonka alla vastaanotettu paketti käsitellään. IP-kohdeosoite on toinen parametri, joka on SA:n kohteen loppupisteen osoite, joka voi olla loppukäyttäjän 10 järjestelmä tai verkkojärjestelmä, kuten palomuuri tai reititin. Kolmas parametri, joka on varmuusprotokollan tunnistin, ilmaisee, onko yhteys AH- tai ESP- turvayhteys.5 The security connection is uniquely determined by three parameters. The first one, the Security Parameters Index (SPI), is assigned to this SA. The SPI is placed in the AH and ESP headers so that the recipient system can select the SA under which the received packet is processed. The IP destination address is another parameter, which is the destination destination address of the SA, which may be an end user 10 system or a network system such as a firewall or router. The third parameter, which is the security protocol identifier, indicates whether the connection is an AH or ESP security connection.
Sekä AH että ESP tukevat kahta käytettyä menetelmää, kuljetus- ja tunnelimenetelmää.Both AH and ESP support the two methods used, transport and tunnel.
1515
Kuljetusmenetelmällä saadaan suoja ensisijaisesti ylempien kerrosten protokolliin ja se ulottuu IP-paketin hyötyinformaatio-osaan (payloadiin). Tyypillisesti kuljetusmenetelmää käytetään kahden verkkoaseman väliseen päästä - päähän viestintään. Kuljetusmenetelmää voidaan käyttää yhdessä tunnelointiprotokollan kanssa (muu kuin 20 IPSec-tunnelointi).The transport method provides protection primarily for the upper layer protocols and extends to the payload portion of the IP packet. Typically, the transport method is used for end-to-end communication between two network stations. The transport method can be used in conjunction with the tunneling protocol (other than 20 IPSec tunneling).
: Tunnelimenetelmä antaa suojan koko IP-paketille ja sitä käytetään yleisesti viestien lähettämiseksi yhden tai usean komponentin läpi. Tunnelimenetelmää käytetään usein * silloin, kun SA:n toinen tai molemmat päät ovat varmuusyhdyskäytäviä (security ‘ / 25 gateway), kuten palomuureja tai reitittimiä, jotka käyttävät IPSec.iä.A: The tunnel method provides protection for the entire IP packet and is commonly used to send messages through one or more components. The tunnel method is often used * when either or both ends of the SA are security gateways (security '/ 25 gateways), such as firewalls or routers that use IPSec.
Tunnelimenetelmällä joukko palomuurien takana olevissa verkoissa olevia .. . verkkoasemia voi ryhtyä turvalliseen viestintään käyttämättä IPSec:iä. Sellaisten '..: verkkoasemien tuottamat suojaamattomat paketit tunneloidaan ulkoisten verkkojen läpi : palomuurissa tai varmuusreitittimissä olevan IPSec-ohjelmiston asettamalla SA:n » * ;' 30 tunnelimenetelmällä alueverkon rajalla.By tunnel method, a set of networks behind firewalls ... network hosts can start secure communications without using IPSec. Unprotected packets produced by '..: network drives are tunnelled through external networks: IPSec software in firewall or backup routers by setting SA »*;' 30 tunnel method at the border of the regional grid.
1 1359: 6 Tämän saavuttamiseksi, sen jälkeen kun AH- tai ESP-kentät on lisätty IP-pakettiin, koko pakettia varmuuskenttineen käytetään uuden ulkoisen IP-paketin payload:ina, jolla on uusi ulkoinen IP-alkutunniste. Koko alkuperäinen, tai sisempi, paketti kulkeutuu tunnelin läpi IP-verkon yhdestä pisteestä toiseen: mikään reititin tien varrella ei kykene 5 tutkimaan sisempää IP-pakettia. Koska alkuperäinen paketti on kapseloimaton, uudella suuremmalla paketilla voi olla kokonaan erilaiset lähde- ja kohdeosoitteet, mikä lisää turvallisuutta. Toisin sanoen, ensimmäinen vaihe paketin suojaamisessa tunnelimenetelmää käytettäessä on uuden IP-alkutunnisteen lisääminen pakettiin, siten ΊΡ/payload’-paketista tulee ΊΡ/ΙΡ/payload’. Seuraava vaihe on paketin turvaaminen 10 käyttämällä ESP:tä tai AH:ta. ESP:n tapauksessa, tuloksena saatu paketti on ’IP/ESP/IP/payload’. Koko sisempi paketti on ESP:n tai AH:n suojan peittämä. AH myös suojaa ulkoisen alkutunnisteen osia koko sisäpaketin lisäksi.1 1359: 6 To achieve this, after the AH or ESP fields have been added to the IP packet, the entire packet with its backup fields is used as the payload of a new external IP packet with a new external IP header. The entire original, or inner, packet passes through the tunnel from one point in the IP network to the other: no router along the road is able to 5 examine the inner IP packet. Because the original packet is unencapsulated, the new larger packet can have completely different source and destination addresses, which increases security. In other words, the first step in protecting the packet when using the tunnel method is to add a new IP header to the packet, so that the ΊΡ / payload package becomes ΊΡ / ΙΡ / payload. The next step is to secure the packet 10 using ESP or AH. In the case of ESP, the resulting packet is 'IP / ESP / IP / payload'. The entire inner package is covered by ESP or AH protection. AH also protects parts of the external header in addition to the entire inner package.
IPSec-tunnelimenetelmä toimii esim. niin, että jos verkossa oleva verkkoasema tuottaa 15 IP-paketin, jossa on toisessa verkossa olevan verkkoaseman kohdeosoite, paketti reititetään alkuperäiseltä verkkoasemalta varmuusyhdyskäytävälle (Security GateVVay, SGW), palomuurille tai muulle turvareitittimelle ensimmäisen verkon rajalla. SGW suodattaa kaikki ulosmenevät paketit IPSec-käsittelyn tarpeen määrittelemiseksi. Jos tämä paketti ensimmäiseltä verkkoasemalta toiselle verkkoasemalle vaatii IPSec:in, 20 palomuuri suorittaa IPSec-käsittelyn, johon kuuluu paketin kapselointi ulkoiseen IP-: alkutunnisteeseen. Tämän ulkoisen IP-alkutunnisteen lähde-IP-osoite on tämä palomuuri ja kohdeosoite voi olla palomuuri, joka muodostaa toisen lähiverkon rajan. Tämä paketti reititetään nyt toisen verkkoaseman palomuurille siten, että välireitittimet ' tutkivat ainoastaan ulkoisen IP-alkutunnisteen. Ulompi IP-alkutunniste poistetaan toisen [, 25 verkkoaseman palomuurin äärellä ja sisempi paketti toimitetaan toiselle verkkoasemalle.The IPSec tunneling method works, for example, if a network host produces 15 IP packets with a destination address on a host on another network, the packet is routed from the original network station to a Security GateVVay (SGW), firewall or other security router at the border of the first network. SGW filters all outgoing packets to determine the need for IPSec processing. If this packet from the first network station to the second network station requires IPSec, the firewall performs IPSec processing, which includes encapsulation of the packet into an external IP: header. The source IP address of this external IP header is this firewall and the destination address can be a firewall that forms the boundary of another LAN. This packet is now routed to the firewall of another network host so that the routers' only look at the external IP header. The outer IP header is removed by the firewall of the second [25 network hosts and the inner packet is delivered to the other network hub.
• > ESP-tunnelimenetelmässä salataan ja valinnaisesti autentikoidaan koko sisempi IP-paketti, mukaanlukien sisempi IP-alkutunniste. Tunnelimenetelmässä AH autentikoi ’30 koko sisemmän IP-paketin, ja valittuja osia ulommasta IP-alkutunnisteesta.•> The ESP tunnel method encrypts and optionally authenticates the entire internal IP packet, including the internal IP header. In the tunnel method, AH authenticates '30 the entire inner IP packet, and selected portions of the outer IP header.
115 ^o'7 • I U \J S f IPSec:in avaintenhallintaosa sisältää salaisten avaimien määrityksen ja jakelun. IPSec:in automatisoitu avaintenhallinnan oletusprotokolla on ISAKMP/Oakley ja se muodostuu Oakleyn avaintenmäärittelyprotokollasta ja internetin Security Association ja Key Management-protokollasta (ISAKMP). Internet Key Exchange (IKE) on uudempi 5 nimi ISAKMP/Oakley-protokollalle. IKE perustuu Diffie Hellman-algoritmiin ja se tukee muun muassa RSA-allekirjoitusautentikointintia muiden mallien lisäksi. IKE perustuu Diffie-Hellman algoritmiin mutta antaa lisää turvallisuutta ja on yleinen siinä mielessä, että sitä helposti voidaan laajentaa.115 ^ o'7 • I U \ J S f The IPSec key management section contains the configuration and distribution of secret keys. The default IPSec automated key management protocol is ISAKMP / Oakley and is composed of the Oakley key definition protocol and the Internet Security Association and Key Management protocol (ISAKMP). Internet Key Exchange (IKE) is the newer name for the ISAKMP / Oakley protocol. IKE is based on the Diffie Hellman algorithm and supports, among other things, RSA signature authentication. IKE is based on the Diffie-Hellman algorithm but provides additional security and is common in the sense that it can be easily extended.
10 Reitittäminen tarkoittaa informaation liikuttamista Internetissä yhdestä lähteestä toiseen. Matkalla käytetään tavallisesti ainakin yhtä väliasemaa. Reitittämiseen kuuluu sekä optimaalisen reititystien määrittäminen että tietopakettien kuljettaminen. Reititysalgoritmit käynnistävät ja ylläpitävät reititystaulukoita, jotka sisältävät reititystietoa. Reitittimet kommunikoivat toistensa kanssa ja ylläpitävät 15 reititystaulukkojaan lähettämällä erilaisia viestejä. Reitityspäivitysviesti on yksi sellainen viesti, johon yleisesti ottaen kuuluu koko reititystaulukko tai osa siitä.10 Routing means moving information from one source to another on the Internet. Usually at least one intermediate station is used during the trip. Routing involves both determining the optimal routing route and carrying the data packets. Routing algorithms launch and maintain routing tables that contain routing information. The routers communicate with each other and maintain their routing tables by sending various messages. A routing update message is one message that generally includes all or part of a routing table.
Tavallisimmin IP-paketti reititetään käyttämällä unicast paradigmaa. Unicast tarkoittaa sitä, että paketti lähetetään tietylle vastaanottimelle käyttämällä yhtä reittiä. Multicasting .:20 on menetelmä tietyn paketin lähettämiseksi usealle ’’kiinnostunelle” vastaanottajalle ·: (esim. tietyn multimediavirran kuuntelijoille), kun taas broadcasting on menetelmä paketin lähettämiseksi kaikille paikallisille verkkoasemille (tai kaikille verkkoasemille ‘ ‘: tietyssä verkossa).Usually, an IP packet is routed using the unicast paradigm. Unicast means that a packet is sent to a particular receiver using a single route. Multicasting.: 20 is a method of transmitting a particular packet to multiple "interested" recipients ·: (e.g., listeners of a particular multimedia stream), while broadcasting is a method of transmitting a packet to all local network stations (or to all network stations on a given network).
« * ♦ * » » :...:25 n-casting (kuten termiä käytetään tässä asiakirjassa) on menetelmä tietyn paketin lähettämiseksi tietylle verkkoasemalla käyttämällä useita reittejä; erityisesti se on ···:* unicasting n kertaa. Tämä tehdään tavallisesti sen varmistamiseksi, että vastaanotin » I * • · ’·;·* saa ainakin yhden kopion paketista sen varalta, että yksi reitittimistä kaatuu. Yksi n- "*: casting sovellus on sen varmistaminen, että kytkennällisyys kahden verkon välillä »·» 30 (esim. yrityspaikkojen) on vakaa, suorittamalla n-casting paketeille verkkojen läpi, joita käyttää erilaiset Internetin palvelun tuottajat, Internet Service Providers, ISP. Jos yksi ISP kaatuu fti nla tnHannäkäietä ottä mmi+ boetnunt τΛ:.~—-----" — 11359:7 8 varmistaa, että paketit tulevat perille kohdeverkkoasemalle kun verkkoasema on mobiili ja on vaihtamassa yhdestä verkosta toiseen. Tässä tapauksessa paketille suoritettaisiin bicast, eli lähettäminen molemmille verkoille, tai yleisesti ottaen n-cast kaikkiin verkkoihin, joihin mobiiliverkkoasema mahdollisesti muuttaisi.«* ♦ *» »: ...: 25 n-Casting (as the term is used throughout this document) is a method of transmitting a particular packet to a particular network station using multiple paths; especially it is ···: * unicasting n times. This is usually done to ensure that the receiver »I * • · '·; · * receives at least one copy of the packet in case one of the routers crashes. One application of n-"*: Casting is to ensure that the connectivity between two networks» · »30 (eg, business locations) is stable by running n-Casting on packets through networks used by various Internet Service Providers, ISPs. If one ISP crashes fti nla tnHannahit please contact mmi + boetnunt τΛ:. ~ —----- "- 11359: 7 8 to ensure that packets arrive at the destination network station when the network station is mobile and is switching from one network to another. In this case, the packet would undergo bicast, i.e., transmission to both networks, or, generally speaking, n-cast to all networks to which the mobile network station would potentially change.
5 n-castingin ensisijainen ongelma on, että se tuottaa duplikaattipaketteja. Duplikaattipaketti on mikä vain paketin kopio, joka on vastaanotettu mainitun paketin alkuperäisen ensimmäisen vastaanoton jälkeen. Esim. jos paketti lähetetään kolme kertaa, on vain yksi alkuperäinen vastaanotto ja kaksi duplikaattipakettia. Ei ole 10 olemassa automaattista menetelmää tälläisten duplikaattien välttämiseksi ja siten korkeamman kerroksen protokollat vastaanottavat ja käsittelevät duplikaatteja. Esimerkiksi TCP, joka on korkeamman kerroksen protokolla, toimii huonosti kun se vastaanottaa duplikaattipaketteja.5 The primary problem with n-casting is that it produces duplicate packages. A duplicate packet is any copy of a packet received after the initial first reception of said packet. For example, if a packet is transmitted three times, there is only one original receipt and two duplicate packets. There are no automatic methods for avoiding such duplicates and thus higher layer protocols receive and process duplicates. For example, TCP, which is a higher-layer protocol, performs poorly when it receives duplicate packets.
15 Toinen ongelma esiintyy, kun mobiilipääte (MT) aikoo muuttaa yhdestä langattomasta pääsyverkosta toiseen. Tavallisimmin kahden tai useamman verkon radiokattavuus, joiden kanssa mobiilipäätteen radio voi kommunikoida, menee limittäin. Siten tietyn ajan ennen muuttamista uuteen pääsyverkkoon, mobiilipääte pystyy viestimään sekä sen hetkisen että uuden verkon kanssa. Mobiilipääte saattaa olla kykenemätön 20 päättämään mikä on optimaalinen muuttoaika ja siten olisi hyödyllistä voida vastaanottaa paketteja käyttämällä molempia verkkoja samaan aikaan, jotta vältyttäisiin ... pakettien menettämiseltä.Another problem occurs when a mobile terminal (MT) intends to move from one wireless access network to another. Usually, the radio coverage of two or more networks with which the radio of a mobile terminal can communicate overlaps. Thus, for a certain time before moving to a new access network, the mobile terminal is able to communicate with both the current and the new network. The mobile terminal may not be able to decide what is the optimal migration time and thus it would be useful to be able to receive packets using both networks at the same time to avoid ... packet loss.
Tunnettu ratkaisu mobiili-IP yhteyksissä, käyttämällä nk. mobiili-IP teknologiaa, tarjoaa .*··. 25 tätä tekniikkaa käyttämällä nk. samanaikaisia sidoksia, simultaneous bindings, jotka • » aiheuttavat sen, että kotiagentti suorittaa pakettien n-castingin mobiilipäätteelle ; ·. ·. kaikkien rekisteröityjen verkkojen läpi.A well-known solution for mobile IP using the so-called mobile IP technology offers. * ··. 25 using this technique, so-called simultaneous bindings, which cause the home agent to perform n-casting of packets on the mobile terminal; ·. ·. through all registered networks.
Ongelma on se, että mobiilipääte vastaanottaa duplikaattipaketteja kun käytetään 30 yhtäaikaisia sidoksia. Korkeamman kerroksen protokollat vastaanottavat duplikaatit (IP kerroksen yllä olevat protokollat), jotka pyörivät mobiilipääteverkkoasemalla.The problem is that the mobile terminal receives duplicate packets when 30 simultaneous bindings are used. The higher-layer protocols receive duplicates (protocols above the IP layer) that rotate at the mobile terminal network station.
1 1359:7 91 1359: 7 9
Kuten esitettiin edellä, useat kuljetus- ja sovellusprotokollat eivät käsittele duplikaattipaketteja hyvin. Yksi tärkeä esimerkki on Transmission Control Protocol (TCP), jolla on ongelmia duplikaattipakettien käsittelemisessä. Esimerkiksi nk. TCP fast retransmit (nopea uudelleen lähetys) ja fast recovery (nopea talteenotto) algoritmit 5 toimivat huonosti duplikaattipakettien kanssa.As discussed above, multiple transport and application protocols do not handle duplicate packages well. One important example is the Transmission Control Protocol (TCP), which has problems handling duplicate packets. For example, the so-called TCP fast retransmissions and fast recovery algorithms 5 work poorly with duplicate packets.
Stream Control Transmission Protocol (SCTP) on viimeaikainen kuljetuskerroksen protokolla, joka on määritelty Internetprotokollaa varten. SCTP sallii sen, että kuljetussessio liitetään enemmän kuin yhteen IP-osoitteeseen, s.o., kuljetussession 10 päätepisteet eivät ole välttämättä yksittäisiä osoitteita vaan osoiteryhmiä. SCTP:llä on oma duplikaatin estomekanismi, joka tunnistaa duplikaattilähetykset riippumatta siitä mitä osoitteita kuljetussession päätepisteistä käytetään kyseenomaisen paketin lähettämiseen. Tämä ratkaisu ei kuitenkaan toimi hyvin kaikilla korkeiden kerrosten protokollilla eikä se sovellu turvallisiin lähetyksiin, koska jokainen turvallinen lähetys 15 vaatisi erillisen yhteyden asettamisen.Stream Control Transmission Protocol (SCTP) is a recent transport layer protocol defined for the Internet Protocol. The SCTP allows a transport session to be associated with more than one IP address, i.e., the endpoints of transport session 10 are not necessarily individual addresses but groups of addresses. SCTP has its own duplicate blocking mechanism, which recognizes duplicate transmissions, regardless of the addresses at the transport session endpoints used to send the packet in question. However, this solution does not work well with all high-layer protocols and is not suitable for secure transmissions because each secure transmission 15 would require a separate connection to be set up.
Seuraavassa on luettelo käyttökelpoisista viitteistä keksinnön takana olevan teknologian ymmärtämiseksi.The following is a list of useful references for understanding the technology behind the invention.
2020
VIITTEETREFERENCES
'*’ IP yleensä, UDP ja TCP: • 1 [RFC768] • » J. Postel, User Datagram Protocol, RFC 768, August 1980. ftp://ftP.isi.edu/in-notes/rfc768.txt i [RFC791] ‘ 30 J. Postel, Internet Protocol, RFC 791, September 1981.'*' IP in general, UDP and TCP: • 1 [RFC768] • »J. Postel, User Datagram Protocol, RFC 768, August 1980. ftp://ftP.isi.edu/in-notes/rfc768.txt i [ RFC791] 30 J. Postel, Internet Protocol, RFC 791, September 1981.
ftp://ftD.isi.edu/in-notes/rfc791 .txt » 1 1359:7 10 (RFC792] J. Postel, Internet Control Message Protocol, RFC 792, September 1981. ftp://ftp.isi.edu/in-notes/rfc792.txt 5 [RFC793] J. Postel, Transmission Control Protocol, RFC 793, September 1981. ftp://ftp.isi.edu/in-notes/rfc793.txt [RFC826] 10 D.C. Plummer, An Ethernet Address Resolution Protocol, RFC 826, November 1982.ftp://ftD.isi.edu/in-notes/rfc791 .txt »1 1359: 7 10 (RFC792] J. Postel, Internet Control Message Protocol, RFC 792, September 1981. ftp://ftp.isi.edu /in-notes/rfc792.txt 5 [RFC793] J. Postel, Transmission Control Protocol, RFC 793, September 1981. ftp://ftp.isi.edu/in-notes/rfc793.txt [RFC826] 10 DC Plummer, An Ethernet Address Resolution Protocol, RFC 826, November 1982.
ftp://ftp.isi.edu/in-notes/rfc826.txt [RFC2460]ftp://ftp.isi.edu/in-notes/rfc826.txt [RFC2460]
15 S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification, RFC15 S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification, RFC
2460, December 1998.2460, December 1998.
Mobile IP; IP-IP; DHCP: 20 [RFC2002] \\ C. Perkins, IP Mobility Support, RFC 2002, October 1996.Mobile IP; IP-IP; DHCP: 20 [RFC2002] \\ C. Perkins, IP Mobility Support, RFC 2002, October 1996.
* '·" ftp://ftp.isi.edu/in-notes/rfc2002.txt • · * • » * ·:··: [RFC2003] ·:*· 25 C. Perkins, IP Encapsulation Within IP, RFC 2003, October 1996.* '· "Ftp://ftp.isi.edu/in-notes/rfc2002.txt • · * •» * ·: ··: [RFC2003] ·: * · 25 C. Perkins, IP Encapsulation Within IP, RFC 2003, October 1996.
ftp://ftp.isi.edu/in-notes/rfc2003.txt • · * [RFC2131] R. Drams, Dynamic Host Configuration Protocol, RFC 2131, March 1997.ftp://ftp.isi.edu/in-notes/rfc2003.txt • · * [RFC2131] R. Drams, Dynamic Host Configuration Protocol, RFC 2131, March 1997.
30 ftp://ftp.isi.edu/in-notes/rfc2131 .txt [RFC3115] : G. Dommety, and K. Leung, Mobile IP Vendor/Organization-specific Extensions, : RFC 3115, April 2001.30 ftp://ftp.isi.edu/in-notes/rfc2131 .txt [RFC3115]: G. Dommety, and K. Leung, Mobile IP Vendor / Organization-Specific Extensions,: RFC 3115, April 2001.
117κΟ' ^ I I \J y ftp://ftD.isi.edu/in-notes/rfc3115.txt [M0BILEIPv6] D. B. Johnson, C. Perkins, Mobility Support in IPv6, Work in progress (Internet-5 Draft is available), July 2000.117κΟ '^ II \ J y ftp://ftD.isi.edu/in-notes/rfc3115.txt [M0BILEIPv6] DB Johnson, C. Perkins, Mobility Support in IPv6, Work in Progress (Internet-5 Draft is available) , July 2000.
[DHCPV6] J. Bound, M. Carney, C. Perking, R.Droms, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), Work in progress (Internet-Draft is available), June 10 2001.[DHCPV6] J. Bound, M. Carney, C. Perking, R.Droms, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), Work in Progress (Internet-Draft is Available), June 10, 2001.
IPsec standardeja: [RFC2401]IPsec Standards: [RFC2401]
15 S. Kent, and R. Atkinson, Security Architecture for the Internet Protocol, RFC15 S. Kent, and R. Atkinson, Security Architecture for the Internet Protocol, RFC
2401, November 1998. ftp://ftp.isi.edu/in-notes/rfc24Q1.txt [RFC2402] 20 S. Kent, and R. Atkinson, IP Authentication Header, RFC 2402, November 1998.2401, November 1998. ftp://ftp.isi.edu/in-notes/rfc24Q1.txt [RFC2402] 20 S. Kent, and R. Atkinson, IP Authentication Header, RFC 2402, November 1998.
:/. ftp://ftp.isi.edu/in-notes/rfc2402.txt :/: [RFC2403]: /. ftp://ftp.isi.edu/in-notes/rfc2402.txt: /: [RFC2403]
·:··: C. Madson, R. Glenn, The Use of HMAC-MD5-96 within ESP and AH, RFC·: ··: C. Madson, R. Glenn, The Use of HMAC-MD5-96 within ESP and AH, RFC
*:··: 25 2403, November 1998.*: ··: 25 2403, November 1998.
• · · • · · [RFC2404] C. Madson, R. Glenn, The Use of HMAC-SHA-1 -96 within ESP and AH, RFC ,. 2404, November 1998.• · · · · [RFC2404] C. Madson, R. Glenn, The Use of HMAC-SHA-1 -96 within ESP and AH, RFC ,. 2404, November 1998.
v 30 [RFC2405] C. Madson, N. Doraswamy, The ESP DES-CBC Cipher Algorithm With Explicit IV, RFC 2405, November 1998.v 30 [RFC2405] C. Madson, N. Doraswamy, The ESP DES-CBC Cipher Algorithm With Explicit IV, RFC 2405, November 1998.
1 1359:7 12 [RFC2406] S. Kent, and R. Atkinson, IP Encapsulating Security Payload (ESP), RFC 2406, November 1998.1 1359: 7 12 [RFC2406] S. Kent, and R. Atkinson, IP Encapsulating Security Payload (ESP), RFC 2406, November 1998.
ftp://fto.isi.edu/in-notes/rfc2406.txt 5 [RFC2407] D. Piper, The internet IP Security Domain of Interpretation for ISAKMP, RFC 2407, November 1998.ftp://fto.isi.edu/in-notes/rfc2406.txt 5 [RFC2407] D. Piper, The Internet IP Security Domain of Interpretation for ISAKMP, RFC 2407, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2407.txt 10 [RFC2408] D. Maughan, M. Schneider, M. Schertler, and J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), RFC 2408, November 1998.ftp://ftp.isi.edu/in-notes/rfc2407.txt 10 [RFC2408] D. Maughan, M. Schneider, M. Schertler, and J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), RFC 2408, November 1998.
15 ftp://ftp.isi.edu/in-notes/rfc2408.txt [RFC2409] D. Harkins, and D. Carrel, The Internet Key Exchange (IKE), RFC 2409, November 1998.15 ftp://ftp.isi.edu/in-notes/rfc2408.txt [RFC2409] D. Harkins, and D. Carrel, The Internet Key Exchange (IKE), RFC 2409, November 1998.
20 ftp://ftp.isi.edu/in-notes/rfc2409.txt * · i [RFC2410]20 ftp://ftp.isi.edu/in-notes/rfc2409.txt * · i [RFC2410]
: R. Glenn, S. Kent, The NULL Encryption Algorithm and Its Use With IPsec, RFC: R. Glenn, S. Kent, The NULL Encryption Algorithm and Its Use With IPsec, RFC
: ': 2410, November 1998.: ': 2410, November 1998.
·; =25 O [RFC2411] R. Thayer, N. Doraswamy, R. Glenn, IP Security Document Roadmap, RFC ., I i * 2411, November 1998.·; = 25 O [RFC2411] R. Thayer, N. Doraswamy, R. Glenn, IP Security Document Roadmap, RFC., I i * 2411, November 1998.
:-:30 * * * 13 1 1 * ς O'' I ! ^ ✓ [RFC2412] H. Orman, The OAKLEY Key Determination Protocol, RFC 2412, November 1998.: -: 30 * * * 13 1 1 * ς O '' I! ^ ✓ [RFC2412] H. Orman, The OAKLEY Key Determination Protocol, RFC 2412, November 1998.
5 NAT: [RFC2694] P. Srisuresh, G. Tsirtsis, P. Akkiraju, and A. Heffernan, DNS extensions to Network Address Translators (DNS_ALG), RFC 2694, September 1999.5 NAT: [RFC2694] P. Srisuresh, G. Tsirtsis, P. Akkiraju, and A. Heffernan, DNS Extensions to Network Address Translators (DNS_ALG), RFC 2694, September 1999.
10 [RFC3022] P. Shisuresh, K. Egevang, Traditional IP Network Address Translator (Traditional NAT), RFC 3022, January 2001. fto://ftD.isi.edu/in-notes/rfc3022.txt 1510 [RFC3022] P. Shisuresh, K. Egevang, Traditional IP Network Address Translator (Traditional NAT), RFC 3022, January 2001. fto: //ftD.isi.edu/in-notes/rfc3022.txt 15
KEKSINNÖN KOHDEOBJECT OF THE INVENTION
20 Keksinnön kohteena on menetelmä, joka ratkaisee duplikaattipakettien yhteydessä olevat ongelmat.The invention relates to a method which solves the problems associated with duplicate packets.
t * : 25 KEKSINNÖN KUVAUS • »t *: 25 DESCRIPTION OF THE INVENTION • »
Keksinnön mukaisessa menetelmässä, viesti lähetetään ja vastaanotetaan enemmän ’ . t kuin yhden turvallisen viestintälinkin yli kommunikointiverkossa, joka käsittää ainakin • » kaksi tietokonetta, jonka välille kommunikointilinkit aikaansaadaan. Lähetettävä viesti ;’30 käsitellään lähettävässä tietokoneessa turvallista lähettämistä varten ja turvalliselle I ♦ viestille osoitetaan tunnus. Käsitelty viesti lähetetään ensimmäiseltä tietokoneelta ‘:: toiselle tietokoneelle mainitun ainakin kahden turvallisen kommunikointilinkin yli. Toinen 14 1Ί 3 5 9 7 tietokone ottaa vastaan ja hyväksyy ensimmäisen viesteistä, kun taas kaikki seuraavat viestit, joilla on sama tunnus kuin jo hyväksytyllä ja vastaanotetulla, hylätään.In the method of the invention, the message is sent and received more '. t over a single secure communication link in a communication network comprising at least »two computers between which communication links are provided. Outgoing message; '30 is processed on the sending computer for secure transmission and the secure I ♦ message is assigned an identifier. The processed message is sent from the first computer ':: to the second computer over said at least two secure communication links. The other 14 1Ί 3 5 9 7 computer receives and accepts the first of the messages, while all subsequent messages with the same ID as the one already accepted and received are rejected.
Turvallinen viestintälinkki mainitun kahden tietokoneen välillä on IPSec-yhteys, jolloin 5 toinen tai molemmat tietokoneet voivat olla joko koko yhteyden päätepiste (jossa viesti lähetetään), s.o. ei-reititinverkkoasema, tai se voi olla reititin yhdelle tai usealle verkolle.The secure communication link between the two computers is an IPSec connection, whereby one or both computers can be either the end point of the entire connection (where the message is sent), i.e.. a non-router network drive, or it can be a router for one or more networks.
Kuljetusmenetelmää voidaan käyttää IPSec:in yhteydessä, jos molemmat tietokoneet ovat ei-reititin verkkoasemia, kun taas IPSec tunnelimenetelmää voidaan käyttää jos 10 yksi tai molemmat tietokoneet ovat reitittimiä. IPSec tunnelimenetelmää voidaan käyttää kuljetusmenetelmän sijasta. IPSec kuljetusmenetelmää yhdessä tunnelointiprotokollan kanssa, kuten kerroksen 2 tunnelointiprotokolla, Layer 2 Tunneling Protocol (L2TP), voidaan käyttää IPSec tunnelimenetelmän sijasta. Siten IPSec menetelmät ovat vaihtokelpoisia keskenään.The transport method can be used with IPSec if both computers are non-router network drives, while the IPSec tunnel method can be used if 10 one or both computers are routers. The IPSec tunnel method can be used instead of the transport method. The IPSec transport method together with the tunneling protocol, such as the Layer 2 Tunneling Protocol (L2TP), can be used instead of the IPSec tunneling method. Thus, the IPSec methods are interchangeable.
1515
Menetelmässä tietty paketti voidaan lähettää useamman kommunikointilinkin läpi ja mahdollisesti useita kertoja saman linkin läpi.In the method, a particular packet may be transmitted over multiple communication links and possibly multiple times over the same link.
Keksinnössä, IPSec turvayhteys (SA) määritelmää muokataan IPSec j 20 tunnelipäätepisteen tai -pisteiden poissulkemiseksi itse IPSec SA:n määritelmästä.In the invention, the IPSec security connection (SA) definition is modified to exclude the IPSec j 20 tunnel endpoint (s) from the IPSec SA definition itself.
: Tämä sallii sen, että samaa SA:ta voidaan käyttää pakettien lähettämiseksi erilaisten v ' reittien läpi. Tämä tarkoittaa sitä, että SA:ssa, jonka normaalisti SPI, kohdeosoite ja : protokolla (ESP/AH) määrittää, tunnistus nyt määritellään SPI:llä ja protokollalla < : (ESP/AH). Osoitekentästä ei joko välitetä tai se liitetään osoitteiden asetelmaan.: This allows the same SA to be used to send packets through different v 'paths. This means that in SA, which is normally defined by the SPI, the destination address and: protocol (ESP / AH) are defined, the identification is now defined by the SPI and protocol <: (ESP / AH). The address field is either ignored or attached to the address layout.
25 Käyttämällä IPSecin toistosuojamekanismiteknologiaa (replay protection), joka perustuu IPSec:in sarjanumerokenttään ja toistosuojaikkunaan, dublikaattipaketit tunnistetaan ja hylätään keksinnössä vastaanottavassa IPSec päätepisteessä.Using IPSec replay protection technology based on the IPSec serial number field and the replay protection window, duplicate packets are identified and discarded by the invention at the receiving IPSec endpoint.
30 Tämä tapahtuu, koska mainitun teknologian mukaisesti viestit, joilla on sama sarjanumero (sequence number) ja sama SPI vastaanotetaan ainoastaan kerran. Tekniikan tasossa ei ollut mahdollista antaa samaa sarjanumeroa paketeille, jotka 11359 15 lähetettiin eri reitityksen läpi, koska SA:n määritti erottamattomasti aina sekä osoitteet että SPI (ja protokolla).30 This occurs because, according to said technology, messages having the same sequence number and the same SPI are received only once. In the prior art, it was not possible to assign the same serial number to packets that were sent via different routing because SAs were always inseparably defined by both addresses and SPI (and protocol).
Koska keksinnössä samaa SA:ta käytetään IPSec pakettien n-castingin 5 suorittamiseksi, jokaisella n-cast-paketilla on sama sarjanumero ja sama SPI ja siten se osallistuu samaan toistosuojaprosessiin. Ainoastaan yksi n-cast-paketeista hyväksytään vastaanottavassa IPSec tunnelipäätepisteessä.Since the same SA is used in the invention to perform n-casting 5 of IPSec packets, each n-cast packet has the same serial number and the same SPI and thus participates in the same replay protection process. Only one of the n-cast packets is accepted at the receiving IPSec tunnel endpoint.
Kuvattu keksintö käyttää samaa loogista SA:ta jokaisessa turvayhteydessä. Vaikka 10 osoitetut tunnelipäätepisteosoitteet ovat erilaisia erilaisissa kommunikointilinkeissä, keksintö sallii sen, että paketit hyväksytään useista tunnelipäätepisteosoitteista, jos IPSec-käsittely muuten onnistuu (s.o. salauksen purkaminen ja autentikointi suoritetaan asianmukaisesti).The invention described uses the same logical SA in each security connection. Although the 10 assigned tunnel endpoint addresses are different in different communication links, the invention allows packets to be accepted from multiple tunnel endpoint addresses if IPSec processing is otherwise successful (i.e., decryption and authentication are performed properly).
15 Keksintä on tarkoitettu erityisesti verkkokerrokselle (kerros 3), mikä on edullista koska ratkaisu on riippumaton käytetyistä kuljetus- ja sovellusprotokollista. Siten se hyödyntää kaikkia korkeamman kerroksen protokollia, mukaan lukien esimerkiksi TCP, UDP ja SCTP.The invention is specifically intended for the network layer (layer 3), which is advantageous because the solution is independent of the transport and application protocols used. Thus, it utilizes all higher-layer protocols, including, for example, TCP, UDP and SCTP.
; .:20 SCTP protokolla tukee kuljetussessioita, jotka liittyvät osoiteasetelmaan session * i päätepisteinä. Nykyinen IPSec ei kuitenkaan suoraan tue sellaista mallia. Keksinnön : mukaista menetelmää voidaan käyttää yhdessä SCTP:n kanssa. Tämä sallii esim.; .: The 20 SCTP protocol supports transport sessions associated with the address set as session * i endpoints. However, the current IPSec does not directly support such a model. The method of the invention can be used in combination with SCTP. This allows e.g.
"• 'i samaa loogista SA:ta käytettäväksi liikenteen suojaamiseksi minkä vain SCTP"• 'i use the same logical SA to use for traffic protection any SCTP
päätepisteosoitteiden välillä ilman että tarvittaisiin erillistä IPSec yhteyttä jokaiselle ’·. ,:25 osoiteparille.between endpoints without the need for a separate IPSec connection for each '·. ,: 25 address pairs.
..On olemassa ratkaisuja duplikaattipakettien käsittelemiseksi kuljetuskerroksessa, ’ · ’ sovelluskerroksessa ja muissa kerroksissa, jotka ovat korkeampia kuin verkkokerros...There are solutions for handling duplicate packets in transport layer, '' 'application layer and other layers that are higher than network layer.
*’ j Keksintö on tarkoitettu toimimaan verkkokerroksessa, s.o. verkkopalvelun laadun < » « ,,^30 parantamiseksi kuljetus-ja korkeammille kerroksille läpi menevällä tavalla. Keksinnöllä ‘ j ’; on seuraavat edut. Ensiksikin, kuljetuskerros ja korkeammat kerrokset eivät ole tietoisia duplikaattipakettien suojauksesta. Tämä on tärkeää, koska monet protokollat eivätThe invention is intended to operate in a network layer, i. to improve the quality of network service in transit and higher layers. By the invention 'j'; has the following benefits. First, the Transport layer and the higher layers are not aware of the protection of duplicate packets. This is important because many protocols do not
1 I1 I
11359/ 16 anna omaa suojausta duplikaatteja vastaan. Jotkut protokollat tarjoavat menetelmää duplikaattien käsittelemiseksi mutta sellaisten pakettien suorituskyky voi olla merkittävästi huonompi joissakin protokollissa, kuten esim. TCP protokollan yhteydessä. Toiseksi, suojaus duplikaattipaketteja vastaan pätee kaikkiin protokolliin, 5 jotka käyttävät keksintöä, riippumatta kyseisestä protokollasta. Kolmanneksi, keksintöä voidaan implementoida esim. tietyn käyttöjärjestelmän add-on muodossa. Ei ole minkäänlaista tarvetta vaihtaa esimerkiksi TCP-protokollan olemassa olevaa ohjelmakoodia.11359/16 provide your own protection against duplicates. Some protocols provide a method for handling duplicates, but the performance of such packets may be significantly lower in some protocols, such as TCP. Second, protection against duplicate packets applies to all protocols that use the invention, regardless of the protocol in question. Third, the invention can be implemented e.g. in the form of an add-on for a particular operating system. There is no need to change the existing program code for the TCP protocol, for example.
10 Keksinnön edut ovat ne, että täydellinen IPSec käsittely pitää suorittaa ainoastaan kerran vaikkakin sama paketti lähetettiin useita kertoja. Keksinnön mukainen n-casting ei tuota myöskään duplikaattipaketteja verkkoihin, jotka on sijoitettu turvayhdyskäytävien taakse. Lisäksi keksinnöllä, kytkettyjen paikkojen kytkennän vahvuus lisääntyy merkittävästi.The advantages of the invention are that the complete IPSec processing only needs to be performed once, although the same packet was transmitted several times. In addition, n-Casting according to the invention does not produce duplicate packets on networks located behind security gateways. In addition, with the invention, the strength of the coupling positions is significantly increased.
1515
Esimerkkejä skenaarioista, joissa keksintöä voidaan käyttää, ovat kiinteät verkot, jossa IPSec linkki on verkkoasemapäätteisiin kytkettyjen välitietokoneiden välillä. Keksintöä voidaan myös käyttää mobiiliverkoissa, joissa pitää lähettää duplikaattiviestejä kahden pääsyverkkoreitittimen läpi, kun mobiilipääte liikkuu yhdestä verkosta toiseen.Examples of scenarios in which the invention can be used are fixed networks where the IPSec link is between proxy computers connected to the network drive terminals. The invention can also be used in mobile networks where duplicate messages must be sent through two access network routers as the mobile terminal moves from one network to another.
• ; 20 Erityisesti mainitaan, että keksintöä voidaan soveltaa molempiin versioihin IPv4 ja IPv6.•; In particular, it is stated that the invention can be applied to both versions of IPv4 and IPv6.
·. Myöhemmin mainitussa vaihtoehdossa, menetelmää sovelletaan mobiilipääte-ongelmaan kun vaihdetaan ensimmäisestä pääsyverkosta, jota palvelee ensimmäinen ·· pääsyreititin (AR1), toiseen pääsyverkkoon, jota palvelee toinen pääsyreititin (AR2), '’: 25 joka skenaario on kuvattu tekniikan taso osassa.·. In a later mentioned alternative, the method is applied to the mobile terminal problem when switching from a first access network served by a first ·· access router (AR1) to a second access network served by a second access router (AR2), which is described in the prior art section.
;v: Siinä suoritusmuodossa, IPSec paketit, jotka kohdistetaan mobiilipäätteelle lähetetään sekä AR1:n että AR2:n läpi. Duplikaatit eliminoidaan käyttämällä IPSec toistosuojamekanismia mobiilipäätteellä, s.o. käyttämällä IPSec sarjanumeroa ja 30 toistasuojaikkunaa. Sarjanumero on sama jokaiselle n-castingkopiolle, ja siten mobiilipäätteen korkeamman kerroksen protokollat eivät koskaan näe duplikaatteja.; v: In this embodiment, the IPSec packets that are targeted to the mobile terminal are transmitted through both AR1 and AR2. Duplicates are eliminated using the IPSec replication protection mechanism on the mobile terminal, i. using an IPSec serial number and 30 playback windows. The serial number is the same for every n-casting copy, so that the higher layer protocols of the mobile terminal never see duplicates.
) I) I
17 1 1 7 Γ o I f ^ .17 1 1 7 Γ o I f ^.
IPSec SA on yhä mobiilipäätteen ja sen verkkoaseman välillä, joka lähetti viestin tai palvelimen, jos sellainen on olemassa.IPSec SA is still between the mobile terminal and the network station that sent the message or server, if one exists.
Kun keksinnössä käytetään modifioitua IPSec käsittelyä, se tarkoittaa sitä, että 5 turvallinen kommunikointilinkki muuten on IPSec standardin mukainen, paitsi uuden menetelmän suhteen, joka määrittää ja muodostaa IPSec SA:n, joka kuitenkin on hyvin tärkeä ja keksinnöllinen muutos ja jolla on se edullinen vaikutus, että se antaa mahdollisuudeen lähettää turvallisia viestejä useamman linkin läpi, mutta kuitenkin välttäen duplikaatteja. Uudenlaista turvakytkentää kutsutaan modifioiduksi IPSec:ksi, 10 kun käytetään tätä menetelmää turvallisen kommunikaatiolinkin muodostamiseksi, koska IPSec käsittelyn kuvattu muutos vaatii muutoksen IPSec käsittelykoodiin. Suuruusluokka on erittäin pieni, useimmissa tapauksissa vähemmän kuin muutama sata koodilinjaa, josta syystä tässä suoritusmuodossa turvallista kommunikointilinkkiä kutsutaan modifioiduksi IPSec:ksi.When the invention utilizes modified IPSec processing, it means that the secure communication link otherwise conforms to the IPSec standard except for the new method that defines and generates IPSec SA, which is however a very important and inventive change and has a beneficial effect, that it allows you to send secure messages over multiple links, while avoiding duplicates. A new type of secure connection is called modified IPSec when using this method to establish a secure communication link because the described change in IPSec processing requires a change in the IPSec processing code. The magnitude is very small, in most cases less than a few hundred lines of code, which is why in this embodiment the secure communication link is called modified IPSec.
1515
Seuraavassa keksintöä kuvataan seuraavien kuvioiden avulla. Keksintöä ei kuitenkaan ole tarkoitettu rajoitettavaksi niiden yksityiskohtiin.In the following, the invention will be described with reference to the following figures. However, the invention is not intended to be limited to their details.
20 KUVIOT20 FIGURES
Kuvio 1 kuvaa verkkoa, joka on tarkoitettu normaalin tekniikan tason IPSec-viestien lähettämiseksi.Figure 1 illustrates a network for transmitting standard prior art IPSec messages.
': 25 Kuvio 2 kuvaa verkkoa, joka on tarkoitettu viestien lähettämiseksi useiden linkkien läpi.Figure 2 illustrates a network for transmitting messages over multiple links.
Kuvio 3 kuvaa keksinnön mukaista menetelmää kuvion 2 mukaiseen verkkoon ” ’: sovellettuna.Figure 3 illustrates a method according to the invention applied to the network "" of Figure 2: applied.
i » •, 30 Kuvio 4 kuvaa verkkoa, jossa käytetään kuvion 5 mukaista menetelmää.Figure 4 illustrates a network using the method of Figure 5.
Kuvio 5 kuvaa keksinnön erästä toista suoritusmuotoa.Figure 5 illustrates another embodiment of the invention.
1 Ή ^ ο ·" Ί3 I I o J χ1 Ή ^ ο · „Ί3 I I o J χ
YKSITYISKOHTAINEN KUVAUSDETAILED DESCRIPTION
Kuvio 1 kuvaa verkkoa, jossa kaksi verkkoa on kytketty yhteen käyttämällä IPSec tunnelia turvayhdyskäytävien SGW1 ja SGW2 (IPSec verkkoasemat) välissä. IPSec SA 5 liittyy niihin (staattisiin) osoitteisiin, joita SGW1 ja SGW2 käyttää viestintäänsä, s.o. niiden julkiset osoitteet.Figure 1 illustrates a network in which two networks are interconnected using an IPSec tunnel between security gateways SGW1 and SGW2 (IPSec network stations). IPSec SA 5 relates to the (static) addresses used by SGW1 and SGW2 for their communication, i. their public addresses.
Ongelma tässä skenaariossa on, että IPSec tunnelipaketit viilaavat yhden ainoan reitin läpi SGW1:n ja SGW2:n välisessä verkossa (esim. julkinen Internet). Jos reitillä oleva 10 reititin kaatuu, kestää jonkin aikaa ennen kuin reitti suunnitellaan uudelleen. Jos ei ole toista reititintä epäonnistuneen tilalle, koko reitti kaatuu ja verkkojen välinen yhteys menetetään.The problem in this scenario is that the IPSec tunnel packets file through a single route on the network between SGW1 and SGW2 (e.g., public Internet). If the 10 routers on the route crash, it will take some time before the route is recalculated. If there is no other router to replace the failed one, the entire route will crash and the connection between the networks will be lost.
Kuviossa 2, jokainen paketti voidaan lähettää useiden riippumattomien väliverkkojen 15 läpi; voidaan esim. tehdä ISP sopimuksia. Olettaen, että ISPt käyttävät riippumattomia pakettien reititysmekanismeja (ainakin jossain määrin), verkot olisivat vastustuskykyisempiä jos niitä käytettäisiin samanaikaisesti.In Figure 2, each packet may be transmitted over a plurality of independent proxy networks 15; eg ISP contracts can be made. Assuming that ISPs use independent packet routing mechanisms (at least to some extent), networks would be more resistant if used concurrently.
Ongelma standardi IPSec:in käytössä tässä skenaariossa on, että tietty paketti : 20 lähetetään erillisten IPSec tunnelien läpi - yksi tunneli jokaista ISP verkkoa varten - ja paketit monistuu siten SGW2:ssa. Ei ole olemassa varsinaista mekanismia duplikaattien erottamiseksi, minkä kolminkertainen lähettäminen, 3-casting, aiheuttaa , : tässä esimerkissä. IPSec-paketit myös käsitellään (salataan ja/tai autentikoidaan) .,..: kolme kertaa tässä esimerkissä, käyttämällä huomattavaa tietokonelaskentaa.The problem with using standard IPSec in this scenario is that a particular packet: 20 is sent through separate IPSec tunnels - one tunnel for each ISP network - and the packets are thus amplified in SGW2. There is no actual mechanism for separating duplicates caused by 3-casting, in this example. IPSec packets are also processed (encrypted and / or authenticated)., ..: three times in this example, using considerable computing.
2525
Keksinnössä, kaikki duplikaattiviestit lähetetään käyttämällä samaa loogista IPSec •' ’; SA.ta vaikkakin ne lähetetään eri reittien kautta.In the invention, all duplicate messages are transmitted using the same logical IPSec • ''; SAs, although they are transmitted via different routes.
• · I I > :v. Kuvio 3 kuvaa keksinnön mukaista menetelmää, jota käytetään kuvion 2 mukaisessa • · » · .··. 30 verkossa. Verkkoasema X lähettää tietyn pakettiviestin (kuvion 3 vaihe 1) ’ . turvakäytävän 1 läpi jonka jälkeen seuraavat vaiheet tapahtuvat.• · I I>: v. Fig. 3 illustrates the method of the invention used in Fig. 2. 30 online. Network station X sends a specific packet message (step 1 of Figure 3) '. through security passage 1 followed by the following steps.
» t 1 1 · * · · · i · 11359; 19»T 1 1 · * · · · i · 11359; 19
Pakettiviestin ottaa ensin vastaan SGW1, ja se menee IPSec käsittelyn läpi. IPSec menettely antaa ymmärtää, että paketti pitää IPSec tunneloida käyttämällä kolminkertaista lähettämistä. Paketille suoritetaan IPSec käsittely (tunnelimenetelmä) ja aikaisemmin käyttämätön sarjanumero merkitään tunneloidulle paketille (vaihe 2).The packet message is first received by SGW1 and goes through IPSec processing. The IPSec procedure implies that the packet must be tunneled by IPSec using triple sending. The packet is subjected to IPSec processing (tunnel method) and the previously unused serial number is marked on the tunnel packet (step 2).
5 IPSec käsitelty paketti lähetetään sitten jokaisen yhteyden läpi. Kuviossa 3 tätä kuvataan sillä, että paketti lähetetään vaiheessa 3 ISP 1:n läpi, vaiheessa 3’ ISP2:n läpi ja vaiheessa 3” ISP 3:n läpi. SGW2 ottaa sitten vastaan kaikki nämä paketit. Tosiasissa tämä saattaa tapahtua niin, että SGW2 ottaa vastaan ainoastaan jotkut 10 paketeista johtuen esim. huonosta yhteydestä.The IPSec processed packet is then transmitted through each connection. In Figure 3, this is illustrated by the fact that the packet is transmitted in step 3 through ISP 1, in step 3 'through ISP2 and in step 3' through ISP 3. SGW2 will then receive all of these packages. In fact, this may happen so that only some of the packets will be received by SGW2 due to e.g. poor communication.
Menetelmässä pakettiviestien lähettämisessä tietyn yhteyden läpi, ulkoinen lähdeosoite on turvallinen viestintälinkki (paikallisen tunnelin päätepisteen osoite) ja mahdollisesti ulompi kohdeosoite muokataan jokaista ISP verkkoa varten. Jokainen paketti on 15 identtinen paitsi ulkoisten osoitteiden suhteen, jotka muokataan moninkertaista lähettämistä, n-castingia, varten. Jokaisella sellaisella paketilla on kuitenkin sama sarjanumero, joka annettiin vaiheessa 2. Huomaa, että IPSec (salaus ja/tai autentikointi) suoritetaan ainoastaan kerran, riippumatta siitä kuinka monta kertaa paketti lähetetään.In the method of sending packet messages over a particular connection, the external source address is a secure communication link (local tunnel endpoint address), and possibly the outer destination address is modified for each ISP network. Each packet is 15 identical except for external addresses which are modified for multiple sending, n-casting. However, each such packet has the same serial number as given in step 2. Note that IPSec (Encryption and / or Authentication) is performed only once, no matter how many times the packet is transmitted.
20 IPSec AH muutos autentikoi ulomman IP alkutunnisteen osoitekentät, josta syystä se vaatii erikoiskäsittelyn. AH autentikaattoriarvo voidaan laskea uudelleen jokaista n-., lähetyskopiota varten - arvo muuttuu koska ulommat osoitteet muuttuvat - tai sitten implementointi ei ota huomioon ulkoisia osotteita AH autentikointia varten. Se, mitä 25 näistä käsittelyvaihtoehdoista käytetään voidaan joko konfiguroida manuaalisesti tai neuvotella siinä vaiheessa kun turvayhteys asetetaan esim. käyttämällä IKE:ä. ESP ;' · ‘; muutos riittää melkein kaikkiin tarkoituksiin varsinkin jos käytetään tunnelimenetelmää.20 The IPSec AH change authenticates the address fields of the outer IP header and therefore requires special processing. The AH authentication value can be recalculated for each n-copy transmission - the value changes as the outer addresses change - or else the implementation does not take into account the external addresses for AH authentication. What 25 of these processing options are used can either be configured manually or negotiated when setting up a security connection using eg IKE. ESP; ' · '; the change is sufficient for almost all purposes, especially if the tunnel method is used.
. . Kolmesti lähetetyt paketit läpäisevät IPSec verkot riippumattomasti ja SGW2 ottaa ; 30 vastaan ne kaikki tai jotkut niistä. Jos yhteys on huono, on tietysti mahdollista, että ' . kaikki katoavat. Se todennäköisyys, että kaikki paketit katoavat, on kuitenkin huomattavasti pienempi kuin jos monikertaista lähettämistä, n-castingia, ei käytettäisi.. . The tri-transmitted packets pass through IPSec networks independently and SGW2 takes; 30 against all or some of them. If the connection is poor, it is of course possible that '. all disappear. However, the likelihood that all packets will be lost is significantly less than if multiple sending, n-casting, were not used.
20 1 17 1; ο : I I O \J s ;20 1 17 1; ο: I I O \ J s;
Ensimmäinen kolmesti lähetetty paketti, jonka SGW2 ottaa vastaan, hyväksytään IPSec tarkistuksen jälkeen, s.o. tarkistetaan sarjanumero suhteessa SPI:hin ajankohtaisessa IPSec turvayhteydessä (SA). Ensimmäinen näistä paketeista, jonka SGW 2 ottaa vastaan, hyväksytään, koska sitä paketin sarjanumeroa ei ole käytetty 5 ennen, koska SGW2 ei ole ennen ottanut vastaan pakettia, jolla on se sarjanumero.The first tri-transmitted packet received by SGW2 is accepted after the IPSec check, i. verifying the serial number relative to the SPI on the current IPSec security connection (SA). The first of these packets received by SGW 2 is accepted because the packet serial number has not been used before 5 because SGW2 has not received a packet having that serial number before.
Tämä tarkoittaa sitä, että SGW2 lähettää ensimmäisen hyväksytyn paketin edelleen verkkoasemalle Y vaiheessa 5, jonka tässä esimerkissä oletetaan olevan se, joka lähetetään ISP1 läpi.This means that SGW2 forwards the first accepted packet to network station Y in step 5, which in this example is assumed to be transmitted through ISP1.
1010
Loput kolmesti lähetetyistä paketeista saapuvat myös SGW2:lle, mutta ne hylätään, koska ne ovat duplikaatteja, s.o. koska niillä on sama sarjanumero kuin ensimmäisellä paketilla, jolla oli tämä SPI, niitä ei hyväksytä ja siten ne hylätään vaiheesa 5’ ja vaiheessa 5”.The rest of the packets sent three times also arrive at SGW2, but are discarded because they are duplicates, i. because they have the same serial number as the first packet that had this SPI, they will not be accepted and will therefore be rejected in step 5 'and step 5'.
1515
Siten, IPSec käsittely suoritetaan ainoastaan SGW2:ssa ja paketti lähetetään SGW2:n läpi Y:lle ainakin kerran. IPSec sarjanumerotarkistus pitäisi edullisimmin tehdä ennen IPSec käsittelyä (salauksen purkaminen ja/tai autentikoinnin tarkistus). Se mahdollisuus, että ainakin yksi moninkertaisesti lähetetyistä paketeista saadaan Y:lle , ; 20 suurenee saatavilla olevien yhteyksien lukumäärän myötä.Thus, IPSec processing is performed only in SGW2 and the packet is sent through YG at least once to SG. IPSec serial number verification should preferably be done before IPSec processing (decryption and / or authentication). The possibility that at least one of the multiple packets sent to Y is received; 20 increases with the number of connections available.
Kuvion 5 mukaista menetelmää käytetään kuvion 4 mukaisessa verkossa. Kuvion 4 . | mukainen verkko käsittää verkkoaseman X, jota kuviossa 4 palvelee palvelin, jota ·;··: kutusutaan PALVELIN ja joka on kytketty ainakin kahteen verkkoon, VERKK01 ja :25 VERKK02. Mobiilipääte MT vastaanottaa verkkoasemalta X lähetetyt viestit verkon 1 läpi ensimmäisen pääsyreitittimen AR1 kautta. Kun mobiilipääte MT liikkuu (merkitty : nuolella kuviossa 4) toiseen verkkoon, VERKK02, tehdään vaihto niin, että mobiilipääte ’: alkaa vastaanottaa viestejä toisen pääsyreitittimen AR2 kautta ensimmäisen sijasta.The method of Figure 5 is used in the network of Figure 4. 4. | The network according to FIG. 4 comprises a network station X served by a server in FIG. 4 which is called;; ··: called a SERVER and is connected to at least two networks, NETWORK01 and: NETWORK02. The mobile terminal MT receives messages transmitted from the network station X through the network 1 via the first access router AR1. When the mobile terminal MT moves (indicated by an arrow in Figure 4) to another network, NETWORK02, the handover is made such that the mobile terminal ': begins to receive messages via the second access router AR2 instead of the first.
: 30 Kuviossa 5, verkkoasema X lähettää viestin mobiilipäättelle MT. Viesti reititetään . palvelimen läpi, jota kutsutaan ’’PALVELIN” kuviossa 4, joka jakaa IPSec tunnelimenetelmä SA:n mobiilipäätteen kanssa. Kun mobiilipääte joskus ei kykene 11359" 21 määrittämään koska on optimaalista vaihtaa AR1:n käyttö AR2.een, on hyödyllistä jonkin aikaa vastaanottaa paketit verkkoasemasta X molempien verkkojen kautta samanaikaisesti. Tämä parantaa sitä todennäköisyyttä, että kaikki paketit vastaanotetaan ainakin kerran sen varalta, että pääsyverkkojen radiokattavuudet ovat 5 heikkoja tai ne ei ole ennustettavissa.: 30 In Figure 5, the network station X transmits a message to the mobile terminal MT. The message is being routed. through a server called "" SERVER "in Figure 4, which shares the IPSec tunnel method with the SA mobile terminal. When the mobile terminal is sometimes unable to determine 11359 "21 because it is optimal to switch AR1 usage to AR2, it is useful to receive packets from network station X over both networks at the same time. This improves the likelihood that all packets will be received at least once radio coverage is 5 weak or unpredictable.
Vaiheessa 2, IPSec käsittely suoritetaan pakettiviestille ja ainutlaatuinen sarjanumero annetaan viestille. Vaiheessa 2 esitetty viesti lähetetään edelleen molempien reitittimien AR1 ja AR2 läpi vaiheessa 3 ja vast. 3’ ja edelleen näistä vaiheissa 4 ja 4’ 10 mobiilipäätteelle.In step 2, the IPSec processing is performed on the packet message and a unique serial number is assigned to the message. The message shown in step 2 is forwarded through both routers AR1 and AR2 in step 3 and respectively. 3 'and further of these in steps 4 and 4' 10 for the mobile terminal.
Ainoastaan ensimmäinen mobiilipäättelle tulevista viesteistä saapuu korkeammille protokollille asti ja vastaanotetaan (vaihe 5). Toinen paketti, jolla on sama sarjanumero ja sama SPI, hylätään vaiheessa 5’ ennen kuin se saavuttaa korkeammat protokollat ja 15 siten korkeamman kerroksen protokollat eivät koskaan näe duplikaatteja.Only the first of the messages coming to the mobile terminal arrives up to the higher protocols and is received (step 5). Another packet having the same serial number and the same SPI is discarded in step 5 'before it reaches the higher protocols and thus the higher layer protocols never see duplicates.
IPSec SA voidaan asettaa manuaalisesti tai käyttämällä jotain avaintenvaihtoprotokollaa. Tämän hetkinen IPSec avaintenvaihtoprotokolla, IKE voi käsitellä duplikaattipaketteja, jos niitä sattuu esiintymään, niin että on mahdollista 20 lähettää moninkertaisesti IKE sellaisenaan huolellisella implementoinnilla. IKE.n moninkertainen lähetys ei ole kuitenkaan vaatimus IPSec pakettien moninkertaiselle lähettämiselle.IPSec SA can be configured manually or using any key exchange protocol. With the current IPSec key exchange protocol, IKE can handle duplicate packets if they occur, so that it is possible to send multiple IKEs per se with careful implementation. However, multiple transmission of IKE is not a requirement for multiple transmission of IPSec packets.
. IPSecin moninkertaisen lähettämisen käytön automaattinen neuvottelu, kun käytetään 25 esim. IKE:ä, vaatii jonkinlaisia laajennustunnistimia. IKE.IIä on nk. myyjän tunnistuskenttiä (Vendor ID payload), joita käytetään laajennustarkoituksiin IKE.ssä.. The automatic negotiation of IPSec Multiple Send using 25 eg IKE requires some kind of plug-in detectors. IKE has so-called Vendor ID payload fields, which are used for extension purposes in IKE.
:' ’ [; Automaattisiin neuvotteluihin saattaa kuulua mutta ne ei rajoitu näihin: ► ‘ » · · ·. 30 Se, hyväksytäänkö moninkertainen lähettäminen tai ei; tämä myös tarkoittaa sitä, että molemmat osapuolet ovat samaa mieltä siitä, kuinka IPSec tunneli-päätepisteosoitteiden käsittely suoritetaan, kun paketteja vastaanotetaan. Molempien 11359; 22 osapuolten on tuettava modifioitua IPSec SA määritelmää moninkertaisen lähettämisen, n-castingin, tarkoituksiin. Kun kyseessä on AH, verkkoasemat saattavat neuvotella siitä, kuinka ulkoisia IP osoitteita käsitellään, s.o. on AH autentikaattori, joka lasketaan uudelleen monta kertaa jokaista lähetettyä pakettia varten tai on ulkoiset IP-5 osoitteet, joita ei oteta huomioon AH autentikaattorilaskelmatarkoituksiin.: '' [; Automatic conferences may include, but are not limited to: ► '»· · ·. 30 Whether multiple posting is accepted or not; this also means that both parties agree on how IPSec tunnel endpoint address processing is performed when packets are received. 11359 of both; The modified IPSec SA definition must be supported by 22 parties for the purpose of multiple upload, n-casting. In the case of AH, network stations may negotiate how external IP addresses are handled, i. is an AH authenticator that is recalculated many times for each packet transmitted, or is an external IP-5 address that is not considered for AH authentication calculation purposes.
Se, mikä on se maksimimäärä paketteja, joka saadaan jokaista vastaanotettua pakettia varten, s.o. arvo ”n” n-casting:issa. Arvo 5 indikoi sitä, että enintään viisi pakettia voidaan tuottaa kun tiettyä pakettia käsitellään.What is the maximum number of packets that are received for each received packet, i. value 'n' in n-casting. A value of 5 indicates that up to five packets may be generated while a particular packet is being processed.
10 n-castingia varten käytetyt osoitteet. Dynaamisesti valittuja voidaan myös käyttää.10 addresses used for n-casting. Dynamically selected ones can also be used.
Keksinnön mukaista menetelmää voidaa laajentaa useilla tavoilla. Esimerkiksi VPN (Virtual Private Network) skenaariossa, turvayhdyskäytävät voivat käyttää ainoastaan 15 tiettyjä saatavilla olevia yhteyksiä ja ainoastaan ryhtyä käyttämään useampia kun yhteydessä on ongelmia. Esimerkiksi, turvayhdyskäytäviä voitaisiin käyttä yleiseen Internetyhteyteen useissa tapauksissa, mutta kun paketin mitattu hylkäämisaste nousee tietyn rajan yli otetaan käyttöön myös lainattu linjayhteys (mikä on kalliimpi, mutta myös luotettavampi). Olennaisesti lähettäjän on valittava kuinka suuri n-, 20 castingtoimenpide olisi.The method of the invention can be extended in several ways. For example, in a VPN (Virtual Private Network) scenario, security gateways can only use 15 specific connections available and only start using more when there are problems with the connection. For example, security gateways could be used for public Internet access in a number of cases, but when a measured packet rejection rate rises above a certain threshold, a borrowed line connection is introduced (which is more expensive but also more reliable). Essentially, the sender has to choose how large the n, 20 casting operation would be.
ί iί i
Kaavio voidaan myös laajentaa ottamaan liikennetyyppejä huomioon. Esimerkiksi, jos oletetaan että meillä on nopea, mutta ei luotettava yleinen Internet yhteys SGW1 ja SGW2 välillä ja myös hidas mutta luotettavampi yhteys. Kaikki liikenne lähettäisiin , 25 Internet yhteyden läpi mutta vain tärkeä liikenne luotettavan yhteyden läpi.The graph can also be expanded to include traffic types. For example, suppose we have a fast but unreliable general Internet connection between SGW1 and SGW2 and also a slow but more reliable connection. All traffic would be sent through 25 Internet connections but only important traffic through a reliable connection.
Sen määrittäminen kuinka monta kertaa ja minkä yhteyden läpi tietty paketti lähetetään : ei ole olennaista keksinnölle. Useita algoritmejä on esitelty ja on monia muita, jotka sopivat tiettyihin tarpeisiin.Determining how many times and through which connection a particular packet is transmitted is not essential to the invention. Several algorithms have been introduced and there are many others that fit specific needs.
ί-1; 30ί-one; 30
Kun paketteja lähetetään tietyn verkon läpi, on mahdollista että verkon sisäpuolella reititin tuottaa duplikaattipaketteja joko vahingossa tai tarkoituksella. Siten esimerkiksi, 11359/ 23 jos paketti lähetetään kolmesti, se saatetaan vastaanottaa useammin kuin kolme kertaa tälläisten dublikaattien takia. Keksintö käsittelee tätä tapausta automaattisesti käyttämällä samaa sarjanumeromekanismia.When packets are sent over a particular network, it is possible that inside the network the router will produce duplicate packets either accidentally or intentionally. Thus, for example, if the packet is transmitted three times, it may be received more than three times due to such duplicates. The invention automatically addresses this case using the same serial number mechanism.
5 On myös mahdollista ja käyttökelpoista lähettää paketti tietyn yhteyden läpi enemmän kuin kerran vastaanoton todennäköisyyden nostamiseksi. Näin saattaa olla silloin kun tietty liikennevirta on tärkeä, mutta jolla on paljon pienempi tietonopeus kuin yhteydellä.It is also possible and useful to send a packet over a given connection more than once to increase the probability of receiving. This may be the case when a particular traffic stream is important but has a much lower data rate than the connection.
IPSec kuljetusmenetelmäsovellus on myös mahdollinen. Silloin lähettäjä ja 10 vastaanottaja eivät välitä IPSec SA:n lähde- ja/tai kohde IP-osoitteista käsitellessään pakettaja. SPI.t valitaan varmistamalla että SPI ristiriitoja ei ole. IPSec kuljetusmenetelmä voidaan tietysti yhdistää ulkoiseen tunneliprotokollaan, kuten protokollaan Layer 2 Tunneling Protocol (L2TP).An IPSec transport method application is also possible. Then, the sender and the 10 recipients do not care about the source and / or destination IP addresses of the IPSec SA when processing the packet. SPIs are selected by ensuring that there are no conflicts with the SPI. Of course, the IPSec transport method can be combined with an external tunneling protocol, such as the Layer 2 Tunneling Protocol (L2TP).
15 Keksintöä voidaan käyttää IP verkoissa, esim. IPv4 ja IPv6 verkoissa, mutta ei ole mitenkään erityinen juuri näihin ja sitä voidaan käyttää erilaisten IP versioiden tai vastaavien kanssa ja myös IPSec:n tulevien versioiden.The invention may be used in IP networks, e.g., IPv4 and IPv6 networks, but is by no means specific to these and may be used with different versions of IP or the like and also future versions of IPSec.
Kun paketteja lähetetään monta kertaa tietty paketti saatetaan lähettää useiden eri 20 linkkien läpi ja mahdollisesti useita kertoja saman linkin läpi, jolloin se todennäköisyys että se saadaan tietyn linkin läpi, nousee.When packets are transmitted multiple times, a particular packet may be transmitted over several different links and possibly multiple times over the same link, thereby increasing the likelihood of being received over a particular link.
Keksintöä ei rajoiteta mihinkään erityiseen lähetysmediaan. Langattomia verkkoja » » .*··. kuten GSM tai cdma2000, voidaan käyttää samanaikaisesti langattoman Ethernet:in * · « 25 (IEEE 802.11, tunnettu myös nimellä WLAN), Ethernet lankaverkkojen tai Bluetooth verkkojen, kanssa esimerkiksi.The invention is not limited to any particular transmission medium. Wireless networks »». * ··. such as GSM or cdma2000, can be used simultaneously with wireless Ethernet * · «25 (IEEE 802.11, also known as WLAN), Ethernet wired networks or Bluetooth networks, for example.
• · • * *• · • * *
Keksintöä voidaan käyttää erilaisissa verkkotopologioissa. Eräässä skenaariossa on ainoastaan kaksi verkkoasemaa, joiden välillä viesti lähetetään ja näiden 30 verkkoasemien välille on asetettu IPSec SA. Toisenlaisessa skenaariossa voisi olla kaksi verkkoasemaa tai verkkoa, joilla on turvayhdyskäytävät välillään, jolloin IPSec SA asetettaisiin turvayhdyskäytävien välille.The invention can be used in various network topologies. In one scenario, there are only two network stations between which a message is transmitted and an IPSec SA set up between these network stations. In a different scenario, there could be two network stations or networks with security gateways in between, whereby IPSec SA would be set up between the security gateways.
11359Γ 2411359Γ 24
Kolmas esimerkki skenaariosta on sellainen, jossa keksintöä voitaisiin käyttää niin, että siinä esimerkiksi on ainoastaan yksi turvayhdyskäytävä verkkoa varten ja verkkoasema toisella puolella. Siinä tapauksessa IPSec SA asetettaisiin verkkoaseman ja turvayhdyskäytävän välille.A third example of a scenario is one in which the invention could be used to have, for example, only one security gateway for a network and a network station on the other side. In that case, IPSec SA would be set up between the network station and the security gateway.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20011912A FI113597B (en) | 2001-09-28 | 2001-09-28 | Method of sending messages over multiple communication connections |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20011912 | 2001-09-28 | ||
FI20011912A FI113597B (en) | 2001-09-28 | 2001-09-28 | Method of sending messages over multiple communication connections |
Publications (3)
Publication Number | Publication Date |
---|---|
FI20011912A0 FI20011912A0 (en) | 2001-09-28 |
FI20011912A FI20011912A (en) | 2003-03-29 |
FI113597B true FI113597B (en) | 2004-05-14 |
Family
ID=8561976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI20011912A FI113597B (en) | 2001-09-28 | 2001-09-28 | Method of sending messages over multiple communication connections |
Country Status (1)
Country | Link |
---|---|
FI (1) | FI113597B (en) |
-
2001
- 2001-09-28 FI FI20011912A patent/FI113597B/en not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
FI20011912A (en) | 2003-03-29 |
FI20011912A0 (en) | 2001-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI116025B (en) | A method and network to ensure the secure transmission of messages | |
US6839338B1 (en) | Method to provide dynamic internet protocol security policy service | |
US7516486B2 (en) | Communication between a private network and a roaming mobile terminal | |
KR101165825B1 (en) | Method and apparatus for providing low-latency secure communication between mobile nodes | |
KR100988186B1 (en) | Method and apparatus for dynamic home address assignment by home agent in multiple network interworking | |
US20060171365A1 (en) | Method and apparatus for L2TP dialout and tunnel switching | |
US20050195780A1 (en) | IP mobility in mobile telecommunications system | |
Montenegro et al. | Sun's SKIP firewall traversal for mobile IP | |
US8037302B2 (en) | Method and system for ensuring secure forwarding of messages | |
JP2010518718A (en) | Network control overhead reduction of data packet by route optimization processing | |
US20090106831A1 (en) | IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO | |
JP2008543140A (en) | Method and apparatus for using host identity protocol | |
EP1700430B1 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
JP2010517344A (en) | Data packet header reduction method by route optimization procedure | |
Lim et al. | TMSP: terminal mobility support protocol | |
FI113597B (en) | Method of sending messages over multiple communication connections | |
CN101091371A (en) | Method and apparatus for providing route-optimized secure session continuity between mobile nodes | |
Cabellos-Aparicio et al. | Mobility Agents: Avoiding the Signaling of Route Optimization on Large Servers | |
Montenegro et al. | RFC2356: Sun's SKIP Firewall Traversal for Mobile IP | |
Wang et al. | IPSec-based key management in mobile IP networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PC | Transfer of assignment of patent |
Owner name: NETSEAL MOBILITY TECHNOLOGIES - NMT OY Free format text: NETSEAL MOBILITY TECHNOLOGIES - NMT OY |
|
PC | Transfer of assignment of patent |
Owner name: MOBILITY PATENT HOLDING MPH OY Free format text: MOBILITY PATENT HOLDING MPH OY |
|
PC | Transfer of assignment of patent |
Owner name: MPH TECHNOLOGIES OY Free format text: MPH TECHNOLOGIES OY |
|
MM | Patent lapsed |