FI113597B - Menetelmä viestien lähettämiseksi usean yhteyden läpi - Google Patents

Menetelmä viestien lähettämiseksi usean yhteyden läpi Download PDF

Info

Publication number
FI113597B
FI113597B FI20011912A FI20011912A FI113597B FI 113597 B FI113597 B FI 113597B FI 20011912 A FI20011912 A FI 20011912A FI 20011912 A FI20011912 A FI 20011912A FI 113597 B FI113597 B FI 113597B
Authority
FI
Finland
Prior art keywords
ipsec
network
packet
protocol
packets
Prior art date
Application number
FI20011912A
Other languages
English (en)
Swedish (sv)
Other versions
FI20011912A (fi
FI20011912A0 (fi
Inventor
Sami Vaarala
Original Assignee
Intrasecure Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intrasecure Networks Oy filed Critical Intrasecure Networks Oy
Priority to FI20011912A priority Critical patent/FI113597B/fi
Publication of FI20011912A0 publication Critical patent/FI20011912A0/fi
Publication of FI20011912A publication Critical patent/FI20011912A/fi
Application granted granted Critical
Publication of FI113597B publication Critical patent/FI113597B/fi

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

11359/
MENETELMÄ VIESTIEN LÄHETTÄMISEKSI USEAN YHTEYDEN LÄPI
KEKSINNÖN ALA
5
Keksinnön kohteena on menetelmä viestien lähettämiseksi usean yhteyden läpi, erityisesti se on tarkoitettu turvallisten viestien lähettämiseksi.
10 TEKNIIKAN TASO
Internet on joukko yksittäisiä verkkoja, jotka on kytketty yhteen niiden välissä olevien verkkolaitteiden kautta, ja toimii yhtenä ainoana suurena verkkona. Lähiverkot (Local Area Network, LAN) ovat suhteellisen pienen maantieteellisen alueen kattavia verkkoja 15 kun taas kaukoverkot (Wide Area Network, WAN) kytkevät lähiverkkoja (LAN) yhteen siten kytkien yhteen maantieteellisesti hajautuneita käyttäjiä.
Avoimien järjestelmien kytkentäviitemalli, Open Systems Interconnection reference model (OSI), kuvaa kuinka informaatio yhden tietokoneen tietokoneohjelma-: ,:20 sovelluksesta liikkuu verkkoväliaineen läpi toisen tietokoneen ohjelmasovellukseen.
; ·: OSI-viitemalli on konsepti, joka koostuu seitsemästä kerroksesta, jokaisen määrittäessä : : tiettyjä verkkofunktioita. Sitä pidetään nyt ensisijaisena arkkitehtuurimallina ’· tietokoneiden välistä viestintää varten. Avoimen järjestelmän kytkentäviitemallin, (OSI:n) 7 kerrosta ovat kerros 7 - sovelluskerros, kerros 6 - esityskerros, kerros 5 -/25 sessiokerros, kerros 4 - kuljetuskerros, kerros 3 - verkkokerros, kerros 2 - tietolinkkikerros ja kerros 1 - fysikaalinen kerros.
I > · ·...** OSI-viitemallin 7 kerrosta voidaan jakaa kahteen kategoriaan, ylempiin kerroksiin ja ·:* : alempiin kerroksiin. OSI-mallin ylemmät kerrokset koskevat sovelluksia ja ne ,,30 implementoidaan yleensä ainoastaan tietokoneohjelmiin. OSI-mallin alemmat kerrokset '; ‘; käsittelevät tiedon kuljetusta. Fysikaalinen kerros ja tietolinkkikerros implementoidaan : ’: sekä laitteistoon että ohjelmistoon.
2 113597 OSI-malli tarjoaa konseptin tietokoneiden väliseen viestintään mutta malli itse ei ole viestintämenetelmä. Itse viestintä mahdollistetaan käyttämällä viestintäprotokollia. Tietoverkoistoitumisen yhteydessä, protokolla on muodollinen keräelmä sääntöjä ja konventioita, jotka kertovat kuinka tietokone vaihtaa informaatiota verkkoväliaineessa.
5
Protokolla implementoi yhden tai useamman OSI-kerroksen funktioita. Tietolinkki kerroksen protokollat, kuten Ethernet, tarjoaa palvelun pakettien lähettämiseen ja vastaanottamiseen käyttämällä kyseenomaista fysikaalista väliainetta, esim. Ethernet:iä. Verkkokerroksen protokollat, kuten Internet Protocol (IP), tarjoaa 10 palvelun verkkoasemien osoittamiseksi, jotka on kytketty heterogeeniseen verkkoon ja pakettien lähettämiseksi ja vastaanottamiseksi tälläisten verkkoasemien välillä. Verkkokerros tarjoaa palvelun, joka ihanteellisesti on riippumaton sen alla olevasta fysikaalisesta väliaineesta, ja siten verkkoasemat, jotka on kytketty erilaisia väliaineita käyttäen, voivat kommunoikoida. Verkkokerros tarjoaa myös reititinpalvelun, joka 15 varmistaa sen, että paketit, jotka lähetetään vastaanottajaa kohti, käyttävät optimaalista reittiä. Niin kutsuttuja reititysprotokollia, kuten RIP ja OSPF IP:tä varten, käytetään reititysinformaation ylläpitämiseksi erityisissä verkkoasemissa, joita kutsutaan reitittimiksi.
: 20 Kuljetuskerroksen protokollat tarjoavat erikoistuneempia sovellussuuntautuneita ·:: palveluita, kuten yhteyteen suuntautuneita tai yhteyksettömiä tietopalveluita, jotka v ·' voivat olla luotettavia (varmistavat tiedonjaon) tai ei-luotettavia. Kuljetusprotokollat : tarjoavat yleensä session multipleksointipalvelun, joka mahdollistaa minkä vain : verkkoaseman riippumattomien sessioiden ylläpidon vaikkakin verkkoasemilla :: 25 ainoastaan on yksi verkko-osoite.
·: Lähetyksenhallintaprotokolla, Transmission Control Protocol (TCP), on *·;·' kuljetuskerroksen protokolla, joka antaa luotettavan yhteyteen suunnatun tietovirta- “'· palvelun, kun taas User Datagram Protocol (UDP) on kuljetuskerroksen protokolla, joka
30 antaa ei-luotettavan kytkemättömän datagrammipalvelun. Sekä TCP että UDP
* käyttävät nk. porttinumerolta session multipleksointiin.
• 3 1 1 7 F Ο ·7 * I ^ ν> >
Sessio- ja esityskerroksen protokollat antavat hyvin erikoistuneita sovellussuuntautuneita palveluita, kuten eri tietoformaattien välisiä konversioita, sekä tarjoavat luotettavan siirtosuuntautuneen viestinnän. Lopuksi, sovelluskerroksen protokollat ovat hyvin sovellusspesifisiä ja hyödyntävät muita kerroksia palvelusten 5 tarjoamiseksi sovellusten käyttäjille.
TCP/IP pino ei hoida sessio- ja esityskerroksia. Sen sijaan sovellukset käyttävät kuljetuskerroksen protokollia, kuten TCP:täja UDP:tä, suoraan.
10 Informaatio, jota siirretään yhden tietokonejärjestelmän ohjelmistosovelluksesta toisen tietokonejärjestelmän ohjelmistosovellukseen, läpäisee kaikki OSI-kerrokset.
Internet protokolla, IP, on verkkokerroksena (kerros 3) protokolla, joka sisältää osoiteinformaatiota ja jonkin verran hallintainformaatiota, joka mahdollistaa pakettien 15 reitittämisen. IP on dokumentoitu standardissa RFC 791 ja on ensisijainen verkkokerros protokolla internetin protokollajärjestelmässä. Yhdessä Transmission Control Protocol:an (TCP) kanssa IP edustaa internet protokollien ydintä. IP:llä on kaksi ensisijaista vastuuta; yhteyttömän parhaan mahdollisen datagrammijakelun saaminen internetin läpi ja sen osittaminen sekä datagrammien uudelleen kokoamisen .:20 datalinkkien tukemiseksi, joilla on eri pakettikokoja. IP-paketti sisältää osoite- ja muuta ·; i tietoa.
• · • » ·:··: IP-versio 4 (IPv4) on tällä hetkellä laajasti käytetty Internet Protokolla versio. Sen * ”·"· päähaittana on yksikäsitteisten julkisten IP-osoitteiden pieni määrä. IP-versiossa 6 .:25 (IPv6) on paljon suurempi osoitetila, joka ratkaisee tärkeimmmän tällä hetkellä tunnetun IPv4 ongelman. IPv6 myös muuttaa muita asioita Internet Protokollassa, esimerkiksi sen, kuinka pakettien osittaminen tehdään, mutta nämä muutokset ovat aika pieniä. Useimmilla protokollilla on eri määritelmiä siitä, kuinka niitä käytetään IPv4:n ja IPv6:n :·: yhteydessä. On esimerkiksi erilaisia IPSec-ja Mobile IP-versioita käytettäväksi IPv4:n ’’:30 ja IPv6:n kanssa. Sellaiset protokollamuutokset ovat kuitenkin pieniä eivätkä ne :·. yleensä muuta protokollan pääasioita merkittävästi.
11359' 4
Kiinteissä verkoissa on olemassa ratkaisuja tiedon ja tiedonlähteiden suojaamiseksi leviämiseltä, tiedon autenttisuuden varmistamiseksi ja järjestelmien suojaamiseksi verkkoon perustuvilta hyökkäyksiltä. IPSec on teknologia, jolla saavutetaan turvallisuutta.
5 IPSec-turvaprotokollat (IPSec) antaa valmiuden viestien turvaamiseksi LAN:issa, yksitys- ja yleissä kaukoverkoissa (WAN) ja internetissä. IPSec:iä voidaan käyttää eri tavoilla, kuten turvallisten virtuaalisten yksityisverkkojen rakentamiseksi, turvallisen pääsyn saamiseksi yritysverkkoon (IPSec:in etäispääsykäyttö) tai muiden 10 organisaatioiden viestinnän varmistamiseksi, varmistaen autentikoinnin ja luottamuksellisuuden, sekä avaintenvaihtomekanismin. Vaikka joillakin sovelluksilla jo on sisäänrakennettuja turvaprotokollia, IPSec:in käyttö parantaa turvallisuutta edelleen.
IPSec voi salata ja/tai autentikoida liikennettä IP-tasolla. WAN:iin menevä liikenne 15 tyypillisesti salataan ja/tai autentikoidaan, ja WAN:lta tulevan liikenteen salaus puretaan ja sen pakkaus puretaan. IPSec:in määrittelee tietyt dokumentit, jotka sisältävät sääntöjä IPSec-arkkitehtuuria varten.
Kahta protokollaa käytetään varmuuden saamiseksi IP-tasolla; autentikointiprotokollaa, -20 jonka protokollan alkutunniste nimeää, Authentication Header (AH), ja yhdistetty *: : salaus/autentikointiprotokolla, jonka nimeää tämän protokollan pakettiformaatti, : Encapsulating Security Payload (ESP). Sekä AH että ESP ovat " ' pääsynhallintatyökaluja, jotka perustuvat salausavainten jakeluun ja liikennevirtojen * " : hallintaan, jotka liittyvät näihin turvaprotokolliin.
.-‘25
Turvayhteys (Security Association, SA) on avainkäsite IP:n autentikointi- ja i* luottamuksellisuusmekanismeissa. Turvayhteys on yksisuuntainen suhde lähettäjän ja vastaanottajan välillä, joka tarjoaa varmuuspalveluja sen kantamalle liikenteelle. Jos ': tarvitaan kaksisuuntaista suhdetta, tarvitaan kaksi turvayhteyttä.
J30 ;' * *: Termiä IPSec-yhteys käytetään seur^avassa IPSec-kimpun (IPSec bundle) sijasta : yhdestä tai useasta turvayhteydestä, tai yhden tai useamman turvayhteyden IPSec- 11359 5 kimppu kumpaakin suuntaa varten. Tämä termi kattaa siten sekä yksisuuntaisen että kaksisuuntaisen liikenteen suojaamisen. Suuntien symmetriaan ei oteta kantaa, s.o. kumpaakin suuntaa varten käytetyt algoritmit ja IPSec - muutokset voivat olla erilaisia.
5 Turvayhteys määritetään ainutlaatuisesti kolmen parametrin avulla. Ensimmäinen, joka on turvaparametri-indeksi (Security Parameters Index, SPI), on tälle SA:lle osoitettu. SPI sijoitetaan AH- ja ESP-alkutunnisteisiin, jotta vastaanottajajärjestelmä voisi valita sen SA:n, jonka alla vastaanotettu paketti käsitellään. IP-kohdeosoite on toinen parametri, joka on SA:n kohteen loppupisteen osoite, joka voi olla loppukäyttäjän 10 järjestelmä tai verkkojärjestelmä, kuten palomuuri tai reititin. Kolmas parametri, joka on varmuusprotokollan tunnistin, ilmaisee, onko yhteys AH- tai ESP- turvayhteys.
Sekä AH että ESP tukevat kahta käytettyä menetelmää, kuljetus- ja tunnelimenetelmää.
15
Kuljetusmenetelmällä saadaan suoja ensisijaisesti ylempien kerrosten protokolliin ja se ulottuu IP-paketin hyötyinformaatio-osaan (payloadiin). Tyypillisesti kuljetusmenetelmää käytetään kahden verkkoaseman väliseen päästä - päähän viestintään. Kuljetusmenetelmää voidaan käyttää yhdessä tunnelointiprotokollan kanssa (muu kuin 20 IPSec-tunnelointi).
: Tunnelimenetelmä antaa suojan koko IP-paketille ja sitä käytetään yleisesti viestien lähettämiseksi yhden tai usean komponentin läpi. Tunnelimenetelmää käytetään usein * silloin, kun SA:n toinen tai molemmat päät ovat varmuusyhdyskäytäviä (security ‘ / 25 gateway), kuten palomuureja tai reitittimiä, jotka käyttävät IPSec.iä.
Tunnelimenetelmällä joukko palomuurien takana olevissa verkoissa olevia .. . verkkoasemia voi ryhtyä turvalliseen viestintään käyttämättä IPSec:iä. Sellaisten '..: verkkoasemien tuottamat suojaamattomat paketit tunneloidaan ulkoisten verkkojen läpi : palomuurissa tai varmuusreitittimissä olevan IPSec-ohjelmiston asettamalla SA:n » * ;' 30 tunnelimenetelmällä alueverkon rajalla.
1 1359: 6 Tämän saavuttamiseksi, sen jälkeen kun AH- tai ESP-kentät on lisätty IP-pakettiin, koko pakettia varmuuskenttineen käytetään uuden ulkoisen IP-paketin payload:ina, jolla on uusi ulkoinen IP-alkutunniste. Koko alkuperäinen, tai sisempi, paketti kulkeutuu tunnelin läpi IP-verkon yhdestä pisteestä toiseen: mikään reititin tien varrella ei kykene 5 tutkimaan sisempää IP-pakettia. Koska alkuperäinen paketti on kapseloimaton, uudella suuremmalla paketilla voi olla kokonaan erilaiset lähde- ja kohdeosoitteet, mikä lisää turvallisuutta. Toisin sanoen, ensimmäinen vaihe paketin suojaamisessa tunnelimenetelmää käytettäessä on uuden IP-alkutunnisteen lisääminen pakettiin, siten ΊΡ/payload’-paketista tulee ΊΡ/ΙΡ/payload’. Seuraava vaihe on paketin turvaaminen 10 käyttämällä ESP:tä tai AH:ta. ESP:n tapauksessa, tuloksena saatu paketti on ’IP/ESP/IP/payload’. Koko sisempi paketti on ESP:n tai AH:n suojan peittämä. AH myös suojaa ulkoisen alkutunnisteen osia koko sisäpaketin lisäksi.
IPSec-tunnelimenetelmä toimii esim. niin, että jos verkossa oleva verkkoasema tuottaa 15 IP-paketin, jossa on toisessa verkossa olevan verkkoaseman kohdeosoite, paketti reititetään alkuperäiseltä verkkoasemalta varmuusyhdyskäytävälle (Security GateVVay, SGW), palomuurille tai muulle turvareitittimelle ensimmäisen verkon rajalla. SGW suodattaa kaikki ulosmenevät paketit IPSec-käsittelyn tarpeen määrittelemiseksi. Jos tämä paketti ensimmäiseltä verkkoasemalta toiselle verkkoasemalle vaatii IPSec:in, 20 palomuuri suorittaa IPSec-käsittelyn, johon kuuluu paketin kapselointi ulkoiseen IP-: alkutunnisteeseen. Tämän ulkoisen IP-alkutunnisteen lähde-IP-osoite on tämä palomuuri ja kohdeosoite voi olla palomuuri, joka muodostaa toisen lähiverkon rajan. Tämä paketti reititetään nyt toisen verkkoaseman palomuurille siten, että välireitittimet ' tutkivat ainoastaan ulkoisen IP-alkutunnisteen. Ulompi IP-alkutunniste poistetaan toisen [, 25 verkkoaseman palomuurin äärellä ja sisempi paketti toimitetaan toiselle verkkoasemalle.
• > ESP-tunnelimenetelmässä salataan ja valinnaisesti autentikoidaan koko sisempi IP-paketti, mukaanlukien sisempi IP-alkutunniste. Tunnelimenetelmässä AH autentikoi ’30 koko sisemmän IP-paketin, ja valittuja osia ulommasta IP-alkutunnisteesta.
115 ^o'7 • I U \J S f IPSec:in avaintenhallintaosa sisältää salaisten avaimien määrityksen ja jakelun. IPSec:in automatisoitu avaintenhallinnan oletusprotokolla on ISAKMP/Oakley ja se muodostuu Oakleyn avaintenmäärittelyprotokollasta ja internetin Security Association ja Key Management-protokollasta (ISAKMP). Internet Key Exchange (IKE) on uudempi 5 nimi ISAKMP/Oakley-protokollalle. IKE perustuu Diffie Hellman-algoritmiin ja se tukee muun muassa RSA-allekirjoitusautentikointintia muiden mallien lisäksi. IKE perustuu Diffie-Hellman algoritmiin mutta antaa lisää turvallisuutta ja on yleinen siinä mielessä, että sitä helposti voidaan laajentaa.
10 Reitittäminen tarkoittaa informaation liikuttamista Internetissä yhdestä lähteestä toiseen. Matkalla käytetään tavallisesti ainakin yhtä väliasemaa. Reitittämiseen kuuluu sekä optimaalisen reititystien määrittäminen että tietopakettien kuljettaminen. Reititysalgoritmit käynnistävät ja ylläpitävät reititystaulukoita, jotka sisältävät reititystietoa. Reitittimet kommunikoivat toistensa kanssa ja ylläpitävät 15 reititystaulukkojaan lähettämällä erilaisia viestejä. Reitityspäivitysviesti on yksi sellainen viesti, johon yleisesti ottaen kuuluu koko reititystaulukko tai osa siitä.
Tavallisimmin IP-paketti reititetään käyttämällä unicast paradigmaa. Unicast tarkoittaa sitä, että paketti lähetetään tietylle vastaanottimelle käyttämällä yhtä reittiä. Multicasting .:20 on menetelmä tietyn paketin lähettämiseksi usealle ’’kiinnostunelle” vastaanottajalle ·: (esim. tietyn multimediavirran kuuntelijoille), kun taas broadcasting on menetelmä paketin lähettämiseksi kaikille paikallisille verkkoasemille (tai kaikille verkkoasemille ‘ ‘: tietyssä verkossa).
« * ♦ * » » :...:25 n-casting (kuten termiä käytetään tässä asiakirjassa) on menetelmä tietyn paketin lähettämiseksi tietylle verkkoasemalla käyttämällä useita reittejä; erityisesti se on ···:* unicasting n kertaa. Tämä tehdään tavallisesti sen varmistamiseksi, että vastaanotin » I * • · ’·;·* saa ainakin yhden kopion paketista sen varalta, että yksi reitittimistä kaatuu. Yksi n- "*: casting sovellus on sen varmistaminen, että kytkennällisyys kahden verkon välillä »·» 30 (esim. yrityspaikkojen) on vakaa, suorittamalla n-casting paketeille verkkojen läpi, joita käyttää erilaiset Internetin palvelun tuottajat, Internet Service Providers, ISP. Jos yksi ISP kaatuu fti nla tnHannäkäietä ottä mmi+ boetnunt τΛ:.~—-----" — 11359:7 8 varmistaa, että paketit tulevat perille kohdeverkkoasemalle kun verkkoasema on mobiili ja on vaihtamassa yhdestä verkosta toiseen. Tässä tapauksessa paketille suoritettaisiin bicast, eli lähettäminen molemmille verkoille, tai yleisesti ottaen n-cast kaikkiin verkkoihin, joihin mobiiliverkkoasema mahdollisesti muuttaisi.
5 n-castingin ensisijainen ongelma on, että se tuottaa duplikaattipaketteja. Duplikaattipaketti on mikä vain paketin kopio, joka on vastaanotettu mainitun paketin alkuperäisen ensimmäisen vastaanoton jälkeen. Esim. jos paketti lähetetään kolme kertaa, on vain yksi alkuperäinen vastaanotto ja kaksi duplikaattipakettia. Ei ole 10 olemassa automaattista menetelmää tälläisten duplikaattien välttämiseksi ja siten korkeamman kerroksen protokollat vastaanottavat ja käsittelevät duplikaatteja. Esimerkiksi TCP, joka on korkeamman kerroksen protokolla, toimii huonosti kun se vastaanottaa duplikaattipaketteja.
15 Toinen ongelma esiintyy, kun mobiilipääte (MT) aikoo muuttaa yhdestä langattomasta pääsyverkosta toiseen. Tavallisimmin kahden tai useamman verkon radiokattavuus, joiden kanssa mobiilipäätteen radio voi kommunikoida, menee limittäin. Siten tietyn ajan ennen muuttamista uuteen pääsyverkkoon, mobiilipääte pystyy viestimään sekä sen hetkisen että uuden verkon kanssa. Mobiilipääte saattaa olla kykenemätön 20 päättämään mikä on optimaalinen muuttoaika ja siten olisi hyödyllistä voida vastaanottaa paketteja käyttämällä molempia verkkoja samaan aikaan, jotta vältyttäisiin ... pakettien menettämiseltä.
Tunnettu ratkaisu mobiili-IP yhteyksissä, käyttämällä nk. mobiili-IP teknologiaa, tarjoaa .*··. 25 tätä tekniikkaa käyttämällä nk. samanaikaisia sidoksia, simultaneous bindings, jotka • » aiheuttavat sen, että kotiagentti suorittaa pakettien n-castingin mobiilipäätteelle ; ·. ·. kaikkien rekisteröityjen verkkojen läpi.
Ongelma on se, että mobiilipääte vastaanottaa duplikaattipaketteja kun käytetään 30 yhtäaikaisia sidoksia. Korkeamman kerroksen protokollat vastaanottavat duplikaatit (IP kerroksen yllä olevat protokollat), jotka pyörivät mobiilipääteverkkoasemalla.
1 1359:7 9
Kuten esitettiin edellä, useat kuljetus- ja sovellusprotokollat eivät käsittele duplikaattipaketteja hyvin. Yksi tärkeä esimerkki on Transmission Control Protocol (TCP), jolla on ongelmia duplikaattipakettien käsittelemisessä. Esimerkiksi nk. TCP fast retransmit (nopea uudelleen lähetys) ja fast recovery (nopea talteenotto) algoritmit 5 toimivat huonosti duplikaattipakettien kanssa.
Stream Control Transmission Protocol (SCTP) on viimeaikainen kuljetuskerroksen protokolla, joka on määritelty Internetprotokollaa varten. SCTP sallii sen, että kuljetussessio liitetään enemmän kuin yhteen IP-osoitteeseen, s.o., kuljetussession 10 päätepisteet eivät ole välttämättä yksittäisiä osoitteita vaan osoiteryhmiä. SCTP:llä on oma duplikaatin estomekanismi, joka tunnistaa duplikaattilähetykset riippumatta siitä mitä osoitteita kuljetussession päätepisteistä käytetään kyseenomaisen paketin lähettämiseen. Tämä ratkaisu ei kuitenkaan toimi hyvin kaikilla korkeiden kerrosten protokollilla eikä se sovellu turvallisiin lähetyksiin, koska jokainen turvallinen lähetys 15 vaatisi erillisen yhteyden asettamisen.
Seuraavassa on luettelo käyttökelpoisista viitteistä keksinnön takana olevan teknologian ymmärtämiseksi.
20
VIITTEET
'*’ IP yleensä, UDP ja TCP: • 1 [RFC768] • » J. Postel, User Datagram Protocol, RFC 768, August 1980. ftp://ftP.isi.edu/in-notes/rfc768.txt i [RFC791] ‘ 30 J. Postel, Internet Protocol, RFC 791, September 1981.
ftp://ftD.isi.edu/in-notes/rfc791 .txt » 1 1359:7 10 (RFC792] J. Postel, Internet Control Message Protocol, RFC 792, September 1981. ftp://ftp.isi.edu/in-notes/rfc792.txt 5 [RFC793] J. Postel, Transmission Control Protocol, RFC 793, September 1981. ftp://ftp.isi.edu/in-notes/rfc793.txt [RFC826] 10 D.C. Plummer, An Ethernet Address Resolution Protocol, RFC 826, November 1982.
ftp://ftp.isi.edu/in-notes/rfc826.txt [RFC2460]
15 S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification, RFC
2460, December 1998.
Mobile IP; IP-IP; DHCP: 20 [RFC2002] \\ C. Perkins, IP Mobility Support, RFC 2002, October 1996.
* '·" ftp://ftp.isi.edu/in-notes/rfc2002.txt • · * • » * ·:··: [RFC2003] ·:*· 25 C. Perkins, IP Encapsulation Within IP, RFC 2003, October 1996.
ftp://ftp.isi.edu/in-notes/rfc2003.txt • · * [RFC2131] R. Drams, Dynamic Host Configuration Protocol, RFC 2131, March 1997.
30 ftp://ftp.isi.edu/in-notes/rfc2131 .txt [RFC3115] : G. Dommety, and K. Leung, Mobile IP Vendor/Organization-specific Extensions, : RFC 3115, April 2001.
117κΟ' ^ I I \J y ftp://ftD.isi.edu/in-notes/rfc3115.txt [M0BILEIPv6] D. B. Johnson, C. Perkins, Mobility Support in IPv6, Work in progress (Internet-5 Draft is available), July 2000.
[DHCPV6] J. Bound, M. Carney, C. Perking, R.Droms, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), Work in progress (Internet-Draft is available), June 10 2001.
IPsec standardeja: [RFC2401]
15 S. Kent, and R. Atkinson, Security Architecture for the Internet Protocol, RFC
2401, November 1998. ftp://ftp.isi.edu/in-notes/rfc24Q1.txt [RFC2402] 20 S. Kent, and R. Atkinson, IP Authentication Header, RFC 2402, November 1998.
:/. ftp://ftp.isi.edu/in-notes/rfc2402.txt :/: [RFC2403]
·:··: C. Madson, R. Glenn, The Use of HMAC-MD5-96 within ESP and AH, RFC
*:··: 25 2403, November 1998.
• · · • · · [RFC2404] C. Madson, R. Glenn, The Use of HMAC-SHA-1 -96 within ESP and AH, RFC ,. 2404, November 1998.
v 30 [RFC2405] C. Madson, N. Doraswamy, The ESP DES-CBC Cipher Algorithm With Explicit IV, RFC 2405, November 1998.
1 1359:7 12 [RFC2406] S. Kent, and R. Atkinson, IP Encapsulating Security Payload (ESP), RFC 2406, November 1998.
ftp://fto.isi.edu/in-notes/rfc2406.txt 5 [RFC2407] D. Piper, The internet IP Security Domain of Interpretation for ISAKMP, RFC 2407, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2407.txt 10 [RFC2408] D. Maughan, M. Schneider, M. Schertler, and J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), RFC 2408, November 1998.
15 ftp://ftp.isi.edu/in-notes/rfc2408.txt [RFC2409] D. Harkins, and D. Carrel, The Internet Key Exchange (IKE), RFC 2409, November 1998.
20 ftp://ftp.isi.edu/in-notes/rfc2409.txt * · i [RFC2410]
: R. Glenn, S. Kent, The NULL Encryption Algorithm and Its Use With IPsec, RFC
: ': 2410, November 1998.
·; =25 O [RFC2411] R. Thayer, N. Doraswamy, R. Glenn, IP Security Document Roadmap, RFC ., I i * 2411, November 1998.
:-:30 * * * 13 1 1 * ς O'' I ! ^ ✓ [RFC2412] H. Orman, The OAKLEY Key Determination Protocol, RFC 2412, November 1998.
5 NAT: [RFC2694] P. Srisuresh, G. Tsirtsis, P. Akkiraju, and A. Heffernan, DNS extensions to Network Address Translators (DNS_ALG), RFC 2694, September 1999.
10 [RFC3022] P. Shisuresh, K. Egevang, Traditional IP Network Address Translator (Traditional NAT), RFC 3022, January 2001. fto://ftD.isi.edu/in-notes/rfc3022.txt 15
KEKSINNÖN KOHDE
20 Keksinnön kohteena on menetelmä, joka ratkaisee duplikaattipakettien yhteydessä olevat ongelmat.
t * : 25 KEKSINNÖN KUVAUS • »
Keksinnön mukaisessa menetelmässä, viesti lähetetään ja vastaanotetaan enemmän ’ . t kuin yhden turvallisen viestintälinkin yli kommunikointiverkossa, joka käsittää ainakin • » kaksi tietokonetta, jonka välille kommunikointilinkit aikaansaadaan. Lähetettävä viesti ;’30 käsitellään lähettävässä tietokoneessa turvallista lähettämistä varten ja turvalliselle I ♦ viestille osoitetaan tunnus. Käsitelty viesti lähetetään ensimmäiseltä tietokoneelta ‘:: toiselle tietokoneelle mainitun ainakin kahden turvallisen kommunikointilinkin yli. Toinen 14 1Ί 3 5 9 7 tietokone ottaa vastaan ja hyväksyy ensimmäisen viesteistä, kun taas kaikki seuraavat viestit, joilla on sama tunnus kuin jo hyväksytyllä ja vastaanotetulla, hylätään.
Turvallinen viestintälinkki mainitun kahden tietokoneen välillä on IPSec-yhteys, jolloin 5 toinen tai molemmat tietokoneet voivat olla joko koko yhteyden päätepiste (jossa viesti lähetetään), s.o. ei-reititinverkkoasema, tai se voi olla reititin yhdelle tai usealle verkolle.
Kuljetusmenetelmää voidaan käyttää IPSec:in yhteydessä, jos molemmat tietokoneet ovat ei-reititin verkkoasemia, kun taas IPSec tunnelimenetelmää voidaan käyttää jos 10 yksi tai molemmat tietokoneet ovat reitittimiä. IPSec tunnelimenetelmää voidaan käyttää kuljetusmenetelmän sijasta. IPSec kuljetusmenetelmää yhdessä tunnelointiprotokollan kanssa, kuten kerroksen 2 tunnelointiprotokolla, Layer 2 Tunneling Protocol (L2TP), voidaan käyttää IPSec tunnelimenetelmän sijasta. Siten IPSec menetelmät ovat vaihtokelpoisia keskenään.
15
Menetelmässä tietty paketti voidaan lähettää useamman kommunikointilinkin läpi ja mahdollisesti useita kertoja saman linkin läpi.
Keksinnössä, IPSec turvayhteys (SA) määritelmää muokataan IPSec j 20 tunnelipäätepisteen tai -pisteiden poissulkemiseksi itse IPSec SA:n määritelmästä.
: Tämä sallii sen, että samaa SA:ta voidaan käyttää pakettien lähettämiseksi erilaisten v ' reittien läpi. Tämä tarkoittaa sitä, että SA:ssa, jonka normaalisti SPI, kohdeosoite ja : protokolla (ESP/AH) määrittää, tunnistus nyt määritellään SPI:llä ja protokollalla < : (ESP/AH). Osoitekentästä ei joko välitetä tai se liitetään osoitteiden asetelmaan.
25 Käyttämällä IPSecin toistosuojamekanismiteknologiaa (replay protection), joka perustuu IPSec:in sarjanumerokenttään ja toistosuojaikkunaan, dublikaattipaketit tunnistetaan ja hylätään keksinnössä vastaanottavassa IPSec päätepisteessä.
30 Tämä tapahtuu, koska mainitun teknologian mukaisesti viestit, joilla on sama sarjanumero (sequence number) ja sama SPI vastaanotetaan ainoastaan kerran. Tekniikan tasossa ei ollut mahdollista antaa samaa sarjanumeroa paketeille, jotka 11359 15 lähetettiin eri reitityksen läpi, koska SA:n määritti erottamattomasti aina sekä osoitteet että SPI (ja protokolla).
Koska keksinnössä samaa SA:ta käytetään IPSec pakettien n-castingin 5 suorittamiseksi, jokaisella n-cast-paketilla on sama sarjanumero ja sama SPI ja siten se osallistuu samaan toistosuojaprosessiin. Ainoastaan yksi n-cast-paketeista hyväksytään vastaanottavassa IPSec tunnelipäätepisteessä.
Kuvattu keksintö käyttää samaa loogista SA:ta jokaisessa turvayhteydessä. Vaikka 10 osoitetut tunnelipäätepisteosoitteet ovat erilaisia erilaisissa kommunikointilinkeissä, keksintö sallii sen, että paketit hyväksytään useista tunnelipäätepisteosoitteista, jos IPSec-käsittely muuten onnistuu (s.o. salauksen purkaminen ja autentikointi suoritetaan asianmukaisesti).
15 Keksintä on tarkoitettu erityisesti verkkokerrokselle (kerros 3), mikä on edullista koska ratkaisu on riippumaton käytetyistä kuljetus- ja sovellusprotokollista. Siten se hyödyntää kaikkia korkeamman kerroksen protokollia, mukaan lukien esimerkiksi TCP, UDP ja SCTP.
; .:20 SCTP protokolla tukee kuljetussessioita, jotka liittyvät osoiteasetelmaan session * i päätepisteinä. Nykyinen IPSec ei kuitenkaan suoraan tue sellaista mallia. Keksinnön : mukaista menetelmää voidaan käyttää yhdessä SCTP:n kanssa. Tämä sallii esim.
"• 'i samaa loogista SA:ta käytettäväksi liikenteen suojaamiseksi minkä vain SCTP
päätepisteosoitteiden välillä ilman että tarvittaisiin erillistä IPSec yhteyttä jokaiselle ’·. ,:25 osoiteparille.
..On olemassa ratkaisuja duplikaattipakettien käsittelemiseksi kuljetuskerroksessa, ’ · ’ sovelluskerroksessa ja muissa kerroksissa, jotka ovat korkeampia kuin verkkokerros.
*’ j Keksintö on tarkoitettu toimimaan verkkokerroksessa, s.o. verkkopalvelun laadun < » « ,,^30 parantamiseksi kuljetus-ja korkeammille kerroksille läpi menevällä tavalla. Keksinnöllä ‘ j ’; on seuraavat edut. Ensiksikin, kuljetuskerros ja korkeammat kerrokset eivät ole tietoisia duplikaattipakettien suojauksesta. Tämä on tärkeää, koska monet protokollat eivät
1 I
11359/ 16 anna omaa suojausta duplikaatteja vastaan. Jotkut protokollat tarjoavat menetelmää duplikaattien käsittelemiseksi mutta sellaisten pakettien suorituskyky voi olla merkittävästi huonompi joissakin protokollissa, kuten esim. TCP protokollan yhteydessä. Toiseksi, suojaus duplikaattipaketteja vastaan pätee kaikkiin protokolliin, 5 jotka käyttävät keksintöä, riippumatta kyseisestä protokollasta. Kolmanneksi, keksintöä voidaan implementoida esim. tietyn käyttöjärjestelmän add-on muodossa. Ei ole minkäänlaista tarvetta vaihtaa esimerkiksi TCP-protokollan olemassa olevaa ohjelmakoodia.
10 Keksinnön edut ovat ne, että täydellinen IPSec käsittely pitää suorittaa ainoastaan kerran vaikkakin sama paketti lähetettiin useita kertoja. Keksinnön mukainen n-casting ei tuota myöskään duplikaattipaketteja verkkoihin, jotka on sijoitettu turvayhdyskäytävien taakse. Lisäksi keksinnöllä, kytkettyjen paikkojen kytkennän vahvuus lisääntyy merkittävästi.
15
Esimerkkejä skenaarioista, joissa keksintöä voidaan käyttää, ovat kiinteät verkot, jossa IPSec linkki on verkkoasemapäätteisiin kytkettyjen välitietokoneiden välillä. Keksintöä voidaan myös käyttää mobiiliverkoissa, joissa pitää lähettää duplikaattiviestejä kahden pääsyverkkoreitittimen läpi, kun mobiilipääte liikkuu yhdestä verkosta toiseen.
• ; 20 Erityisesti mainitaan, että keksintöä voidaan soveltaa molempiin versioihin IPv4 ja IPv6.
·. Myöhemmin mainitussa vaihtoehdossa, menetelmää sovelletaan mobiilipääte-ongelmaan kun vaihdetaan ensimmäisestä pääsyverkosta, jota palvelee ensimmäinen ·· pääsyreititin (AR1), toiseen pääsyverkkoon, jota palvelee toinen pääsyreititin (AR2), '’: 25 joka skenaario on kuvattu tekniikan taso osassa.
;v: Siinä suoritusmuodossa, IPSec paketit, jotka kohdistetaan mobiilipäätteelle lähetetään sekä AR1:n että AR2:n läpi. Duplikaatit eliminoidaan käyttämällä IPSec toistosuojamekanismia mobiilipäätteellä, s.o. käyttämällä IPSec sarjanumeroa ja 30 toistasuojaikkunaa. Sarjanumero on sama jokaiselle n-castingkopiolle, ja siten mobiilipäätteen korkeamman kerroksen protokollat eivät koskaan näe duplikaatteja.
) I
17 1 1 7 Γ o I f ^ .
IPSec SA on yhä mobiilipäätteen ja sen verkkoaseman välillä, joka lähetti viestin tai palvelimen, jos sellainen on olemassa.
Kun keksinnössä käytetään modifioitua IPSec käsittelyä, se tarkoittaa sitä, että 5 turvallinen kommunikointilinkki muuten on IPSec standardin mukainen, paitsi uuden menetelmän suhteen, joka määrittää ja muodostaa IPSec SA:n, joka kuitenkin on hyvin tärkeä ja keksinnöllinen muutos ja jolla on se edullinen vaikutus, että se antaa mahdollisuudeen lähettää turvallisia viestejä useamman linkin läpi, mutta kuitenkin välttäen duplikaatteja. Uudenlaista turvakytkentää kutsutaan modifioiduksi IPSec:ksi, 10 kun käytetään tätä menetelmää turvallisen kommunikaatiolinkin muodostamiseksi, koska IPSec käsittelyn kuvattu muutos vaatii muutoksen IPSec käsittelykoodiin. Suuruusluokka on erittäin pieni, useimmissa tapauksissa vähemmän kuin muutama sata koodilinjaa, josta syystä tässä suoritusmuodossa turvallista kommunikointilinkkiä kutsutaan modifioiduksi IPSec:ksi.
15
Seuraavassa keksintöä kuvataan seuraavien kuvioiden avulla. Keksintöä ei kuitenkaan ole tarkoitettu rajoitettavaksi niiden yksityiskohtiin.
20 KUVIOT
Kuvio 1 kuvaa verkkoa, joka on tarkoitettu normaalin tekniikan tason IPSec-viestien lähettämiseksi.
': 25 Kuvio 2 kuvaa verkkoa, joka on tarkoitettu viestien lähettämiseksi useiden linkkien läpi.
Kuvio 3 kuvaa keksinnön mukaista menetelmää kuvion 2 mukaiseen verkkoon ” ’: sovellettuna.
i » •, 30 Kuvio 4 kuvaa verkkoa, jossa käytetään kuvion 5 mukaista menetelmää.
Kuvio 5 kuvaa keksinnön erästä toista suoritusmuotoa.
1 Ή ^ ο ·" Ί3 I I o J χ
YKSITYISKOHTAINEN KUVAUS
Kuvio 1 kuvaa verkkoa, jossa kaksi verkkoa on kytketty yhteen käyttämällä IPSec tunnelia turvayhdyskäytävien SGW1 ja SGW2 (IPSec verkkoasemat) välissä. IPSec SA 5 liittyy niihin (staattisiin) osoitteisiin, joita SGW1 ja SGW2 käyttää viestintäänsä, s.o. niiden julkiset osoitteet.
Ongelma tässä skenaariossa on, että IPSec tunnelipaketit viilaavat yhden ainoan reitin läpi SGW1:n ja SGW2:n välisessä verkossa (esim. julkinen Internet). Jos reitillä oleva 10 reititin kaatuu, kestää jonkin aikaa ennen kuin reitti suunnitellaan uudelleen. Jos ei ole toista reititintä epäonnistuneen tilalle, koko reitti kaatuu ja verkkojen välinen yhteys menetetään.
Kuviossa 2, jokainen paketti voidaan lähettää useiden riippumattomien väliverkkojen 15 läpi; voidaan esim. tehdä ISP sopimuksia. Olettaen, että ISPt käyttävät riippumattomia pakettien reititysmekanismeja (ainakin jossain määrin), verkot olisivat vastustuskykyisempiä jos niitä käytettäisiin samanaikaisesti.
Ongelma standardi IPSec:in käytössä tässä skenaariossa on, että tietty paketti : 20 lähetetään erillisten IPSec tunnelien läpi - yksi tunneli jokaista ISP verkkoa varten - ja paketit monistuu siten SGW2:ssa. Ei ole olemassa varsinaista mekanismia duplikaattien erottamiseksi, minkä kolminkertainen lähettäminen, 3-casting, aiheuttaa , : tässä esimerkissä. IPSec-paketit myös käsitellään (salataan ja/tai autentikoidaan) .,..: kolme kertaa tässä esimerkissä, käyttämällä huomattavaa tietokonelaskentaa.
25
Keksinnössä, kaikki duplikaattiviestit lähetetään käyttämällä samaa loogista IPSec •' ’; SA.ta vaikkakin ne lähetetään eri reittien kautta.
• · I I > :v. Kuvio 3 kuvaa keksinnön mukaista menetelmää, jota käytetään kuvion 2 mukaisessa • · » · .··. 30 verkossa. Verkkoasema X lähettää tietyn pakettiviestin (kuvion 3 vaihe 1) ’ . turvakäytävän 1 läpi jonka jälkeen seuraavat vaiheet tapahtuvat.
» t 1 1 · * · · · i · 11359; 19
Pakettiviestin ottaa ensin vastaan SGW1, ja se menee IPSec käsittelyn läpi. IPSec menettely antaa ymmärtää, että paketti pitää IPSec tunneloida käyttämällä kolminkertaista lähettämistä. Paketille suoritetaan IPSec käsittely (tunnelimenetelmä) ja aikaisemmin käyttämätön sarjanumero merkitään tunneloidulle paketille (vaihe 2).
5 IPSec käsitelty paketti lähetetään sitten jokaisen yhteyden läpi. Kuviossa 3 tätä kuvataan sillä, että paketti lähetetään vaiheessa 3 ISP 1:n läpi, vaiheessa 3’ ISP2:n läpi ja vaiheessa 3” ISP 3:n läpi. SGW2 ottaa sitten vastaan kaikki nämä paketit. Tosiasissa tämä saattaa tapahtua niin, että SGW2 ottaa vastaan ainoastaan jotkut 10 paketeista johtuen esim. huonosta yhteydestä.
Menetelmässä pakettiviestien lähettämisessä tietyn yhteyden läpi, ulkoinen lähdeosoite on turvallinen viestintälinkki (paikallisen tunnelin päätepisteen osoite) ja mahdollisesti ulompi kohdeosoite muokataan jokaista ISP verkkoa varten. Jokainen paketti on 15 identtinen paitsi ulkoisten osoitteiden suhteen, jotka muokataan moninkertaista lähettämistä, n-castingia, varten. Jokaisella sellaisella paketilla on kuitenkin sama sarjanumero, joka annettiin vaiheessa 2. Huomaa, että IPSec (salaus ja/tai autentikointi) suoritetaan ainoastaan kerran, riippumatta siitä kuinka monta kertaa paketti lähetetään.
20 IPSec AH muutos autentikoi ulomman IP alkutunnisteen osoitekentät, josta syystä se vaatii erikoiskäsittelyn. AH autentikaattoriarvo voidaan laskea uudelleen jokaista n-., lähetyskopiota varten - arvo muuttuu koska ulommat osoitteet muuttuvat - tai sitten implementointi ei ota huomioon ulkoisia osotteita AH autentikointia varten. Se, mitä 25 näistä käsittelyvaihtoehdoista käytetään voidaan joko konfiguroida manuaalisesti tai neuvotella siinä vaiheessa kun turvayhteys asetetaan esim. käyttämällä IKE:ä. ESP ;' · ‘; muutos riittää melkein kaikkiin tarkoituksiin varsinkin jos käytetään tunnelimenetelmää.
. . Kolmesti lähetetyt paketit läpäisevät IPSec verkot riippumattomasti ja SGW2 ottaa ; 30 vastaan ne kaikki tai jotkut niistä. Jos yhteys on huono, on tietysti mahdollista, että ' . kaikki katoavat. Se todennäköisyys, että kaikki paketit katoavat, on kuitenkin huomattavasti pienempi kuin jos monikertaista lähettämistä, n-castingia, ei käytettäisi.
20 1 17 1; ο : I I O \J s ;
Ensimmäinen kolmesti lähetetty paketti, jonka SGW2 ottaa vastaan, hyväksytään IPSec tarkistuksen jälkeen, s.o. tarkistetaan sarjanumero suhteessa SPI:hin ajankohtaisessa IPSec turvayhteydessä (SA). Ensimmäinen näistä paketeista, jonka SGW 2 ottaa vastaan, hyväksytään, koska sitä paketin sarjanumeroa ei ole käytetty 5 ennen, koska SGW2 ei ole ennen ottanut vastaan pakettia, jolla on se sarjanumero.
Tämä tarkoittaa sitä, että SGW2 lähettää ensimmäisen hyväksytyn paketin edelleen verkkoasemalle Y vaiheessa 5, jonka tässä esimerkissä oletetaan olevan se, joka lähetetään ISP1 läpi.
10
Loput kolmesti lähetetyistä paketeista saapuvat myös SGW2:lle, mutta ne hylätään, koska ne ovat duplikaatteja, s.o. koska niillä on sama sarjanumero kuin ensimmäisellä paketilla, jolla oli tämä SPI, niitä ei hyväksytä ja siten ne hylätään vaiheesa 5’ ja vaiheessa 5”.
15
Siten, IPSec käsittely suoritetaan ainoastaan SGW2:ssa ja paketti lähetetään SGW2:n läpi Y:lle ainakin kerran. IPSec sarjanumerotarkistus pitäisi edullisimmin tehdä ennen IPSec käsittelyä (salauksen purkaminen ja/tai autentikoinnin tarkistus). Se mahdollisuus, että ainakin yksi moninkertaisesti lähetetyistä paketeista saadaan Y:lle , ; 20 suurenee saatavilla olevien yhteyksien lukumäärän myötä.
Kuvion 5 mukaista menetelmää käytetään kuvion 4 mukaisessa verkossa. Kuvion 4 . | mukainen verkko käsittää verkkoaseman X, jota kuviossa 4 palvelee palvelin, jota ·;··: kutusutaan PALVELIN ja joka on kytketty ainakin kahteen verkkoon, VERKK01 ja :25 VERKK02. Mobiilipääte MT vastaanottaa verkkoasemalta X lähetetyt viestit verkon 1 läpi ensimmäisen pääsyreitittimen AR1 kautta. Kun mobiilipääte MT liikkuu (merkitty : nuolella kuviossa 4) toiseen verkkoon, VERKK02, tehdään vaihto niin, että mobiilipääte ’: alkaa vastaanottaa viestejä toisen pääsyreitittimen AR2 kautta ensimmäisen sijasta.
: 30 Kuviossa 5, verkkoasema X lähettää viestin mobiilipäättelle MT. Viesti reititetään . palvelimen läpi, jota kutsutaan ’’PALVELIN” kuviossa 4, joka jakaa IPSec tunnelimenetelmä SA:n mobiilipäätteen kanssa. Kun mobiilipääte joskus ei kykene 11359" 21 määrittämään koska on optimaalista vaihtaa AR1:n käyttö AR2.een, on hyödyllistä jonkin aikaa vastaanottaa paketit verkkoasemasta X molempien verkkojen kautta samanaikaisesti. Tämä parantaa sitä todennäköisyyttä, että kaikki paketit vastaanotetaan ainakin kerran sen varalta, että pääsyverkkojen radiokattavuudet ovat 5 heikkoja tai ne ei ole ennustettavissa.
Vaiheessa 2, IPSec käsittely suoritetaan pakettiviestille ja ainutlaatuinen sarjanumero annetaan viestille. Vaiheessa 2 esitetty viesti lähetetään edelleen molempien reitittimien AR1 ja AR2 läpi vaiheessa 3 ja vast. 3’ ja edelleen näistä vaiheissa 4 ja 4’ 10 mobiilipäätteelle.
Ainoastaan ensimmäinen mobiilipäättelle tulevista viesteistä saapuu korkeammille protokollille asti ja vastaanotetaan (vaihe 5). Toinen paketti, jolla on sama sarjanumero ja sama SPI, hylätään vaiheessa 5’ ennen kuin se saavuttaa korkeammat protokollat ja 15 siten korkeamman kerroksen protokollat eivät koskaan näe duplikaatteja.
IPSec SA voidaan asettaa manuaalisesti tai käyttämällä jotain avaintenvaihtoprotokollaa. Tämän hetkinen IPSec avaintenvaihtoprotokolla, IKE voi käsitellä duplikaattipaketteja, jos niitä sattuu esiintymään, niin että on mahdollista 20 lähettää moninkertaisesti IKE sellaisenaan huolellisella implementoinnilla. IKE.n moninkertainen lähetys ei ole kuitenkaan vaatimus IPSec pakettien moninkertaiselle lähettämiselle.
. IPSecin moninkertaisen lähettämisen käytön automaattinen neuvottelu, kun käytetään 25 esim. IKE:ä, vaatii jonkinlaisia laajennustunnistimia. IKE.IIä on nk. myyjän tunnistuskenttiä (Vendor ID payload), joita käytetään laajennustarkoituksiin IKE.ssä.
:' ’ [; Automaattisiin neuvotteluihin saattaa kuulua mutta ne ei rajoitu näihin: ► ‘ » · · ·. 30 Se, hyväksytäänkö moninkertainen lähettäminen tai ei; tämä myös tarkoittaa sitä, että molemmat osapuolet ovat samaa mieltä siitä, kuinka IPSec tunneli-päätepisteosoitteiden käsittely suoritetaan, kun paketteja vastaanotetaan. Molempien 11359; 22 osapuolten on tuettava modifioitua IPSec SA määritelmää moninkertaisen lähettämisen, n-castingin, tarkoituksiin. Kun kyseessä on AH, verkkoasemat saattavat neuvotella siitä, kuinka ulkoisia IP osoitteita käsitellään, s.o. on AH autentikaattori, joka lasketaan uudelleen monta kertaa jokaista lähetettyä pakettia varten tai on ulkoiset IP-5 osoitteet, joita ei oteta huomioon AH autentikaattorilaskelmatarkoituksiin.
Se, mikä on se maksimimäärä paketteja, joka saadaan jokaista vastaanotettua pakettia varten, s.o. arvo ”n” n-casting:issa. Arvo 5 indikoi sitä, että enintään viisi pakettia voidaan tuottaa kun tiettyä pakettia käsitellään.
10 n-castingia varten käytetyt osoitteet. Dynaamisesti valittuja voidaan myös käyttää.
Keksinnön mukaista menetelmää voidaa laajentaa useilla tavoilla. Esimerkiksi VPN (Virtual Private Network) skenaariossa, turvayhdyskäytävät voivat käyttää ainoastaan 15 tiettyjä saatavilla olevia yhteyksiä ja ainoastaan ryhtyä käyttämään useampia kun yhteydessä on ongelmia. Esimerkiksi, turvayhdyskäytäviä voitaisiin käyttä yleiseen Internetyhteyteen useissa tapauksissa, mutta kun paketin mitattu hylkäämisaste nousee tietyn rajan yli otetaan käyttöön myös lainattu linjayhteys (mikä on kalliimpi, mutta myös luotettavampi). Olennaisesti lähettäjän on valittava kuinka suuri n-, 20 castingtoimenpide olisi.
ί i
Kaavio voidaan myös laajentaa ottamaan liikennetyyppejä huomioon. Esimerkiksi, jos oletetaan että meillä on nopea, mutta ei luotettava yleinen Internet yhteys SGW1 ja SGW2 välillä ja myös hidas mutta luotettavampi yhteys. Kaikki liikenne lähettäisiin , 25 Internet yhteyden läpi mutta vain tärkeä liikenne luotettavan yhteyden läpi.
Sen määrittäminen kuinka monta kertaa ja minkä yhteyden läpi tietty paketti lähetetään : ei ole olennaista keksinnölle. Useita algoritmejä on esitelty ja on monia muita, jotka sopivat tiettyihin tarpeisiin.
ί-1; 30
Kun paketteja lähetetään tietyn verkon läpi, on mahdollista että verkon sisäpuolella reititin tuottaa duplikaattipaketteja joko vahingossa tai tarkoituksella. Siten esimerkiksi, 11359/ 23 jos paketti lähetetään kolmesti, se saatetaan vastaanottaa useammin kuin kolme kertaa tälläisten dublikaattien takia. Keksintö käsittelee tätä tapausta automaattisesti käyttämällä samaa sarjanumeromekanismia.
5 On myös mahdollista ja käyttökelpoista lähettää paketti tietyn yhteyden läpi enemmän kuin kerran vastaanoton todennäköisyyden nostamiseksi. Näin saattaa olla silloin kun tietty liikennevirta on tärkeä, mutta jolla on paljon pienempi tietonopeus kuin yhteydellä.
IPSec kuljetusmenetelmäsovellus on myös mahdollinen. Silloin lähettäjä ja 10 vastaanottaja eivät välitä IPSec SA:n lähde- ja/tai kohde IP-osoitteista käsitellessään pakettaja. SPI.t valitaan varmistamalla että SPI ristiriitoja ei ole. IPSec kuljetusmenetelmä voidaan tietysti yhdistää ulkoiseen tunneliprotokollaan, kuten protokollaan Layer 2 Tunneling Protocol (L2TP).
15 Keksintöä voidaan käyttää IP verkoissa, esim. IPv4 ja IPv6 verkoissa, mutta ei ole mitenkään erityinen juuri näihin ja sitä voidaan käyttää erilaisten IP versioiden tai vastaavien kanssa ja myös IPSec:n tulevien versioiden.
Kun paketteja lähetetään monta kertaa tietty paketti saatetaan lähettää useiden eri 20 linkkien läpi ja mahdollisesti useita kertoja saman linkin läpi, jolloin se todennäköisyys että se saadaan tietyn linkin läpi, nousee.
Keksintöä ei rajoiteta mihinkään erityiseen lähetysmediaan. Langattomia verkkoja » » .*··. kuten GSM tai cdma2000, voidaan käyttää samanaikaisesti langattoman Ethernet:in * · « 25 (IEEE 802.11, tunnettu myös nimellä WLAN), Ethernet lankaverkkojen tai Bluetooth verkkojen, kanssa esimerkiksi.
• · • * *
Keksintöä voidaan käyttää erilaisissa verkkotopologioissa. Eräässä skenaariossa on ainoastaan kaksi verkkoasemaa, joiden välillä viesti lähetetään ja näiden 30 verkkoasemien välille on asetettu IPSec SA. Toisenlaisessa skenaariossa voisi olla kaksi verkkoasemaa tai verkkoa, joilla on turvayhdyskäytävät välillään, jolloin IPSec SA asetettaisiin turvayhdyskäytävien välille.
11359Γ 24
Kolmas esimerkki skenaariosta on sellainen, jossa keksintöä voitaisiin käyttää niin, että siinä esimerkiksi on ainoastaan yksi turvayhdyskäytävä verkkoa varten ja verkkoasema toisella puolella. Siinä tapauksessa IPSec SA asetettaisiin verkkoaseman ja turvayhdyskäytävän välille.

Claims (9)

1 1 7 e o 2g * I o j / ,
1. Menetelmä viestien lähettämiseksi ja vastaanottamiseksi enemmän kuin yhden turvallisen yhteyden yli kommunikointiverkossa, jota käsittää ainakin kaksi 5 tietokonetta, joiden välille kommunikointilinkit asetetaan, tunnettu siitä, että a) käsitellään viesti ensimmäisessä tietokoneessa turvallista lähettämistä varten ja annetaan tunnus turvalliselle viestille, b) lähetetään käsitelty viesti ensimmäiseltä tietokoneelta toiselle tietokoneelle mainitun ainakin kahden turvallisen kommunikointilinkin yli toiselle tietokoneelle, 10 c) hyväksytään ja vastaanotetaan ensimmäinen vaiheessa b) lähetetyistä viesteistä, jonka toinen tietokone vastaanottaa, d) toinen tietokone hylkää kaikki sen jälkeiset viestit, joilla on sama tunnus kuin jo hyväksytyllä ja vastaanotetulla viestillä.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä että turvallinen viestintäyhteys mainitun kahden tietokoneen välillä on IPSec-yhteys, jolloin toinen tai molemmat tietokoneet voivat olla joko täydellisen yhteyden toinen päätepiste, jonka yhteyden yli viesti lähetetään, s. o. verkkoasema, joka ei ole reititin, tai se voi toimia reitittimenä yhdelle tai useammalle verkolle. ; ‘I 20 ... 3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä että käytetään • · » kuljetusmenetelmää tai tunnelimenetelmää IPSec-yhteydelle, jos molemmat .,.,: tietokoneet ovat yhteyden päätepisteitä.
4. Patenttivaatimuksen 3 mukainen menetelmä, tunnettu siitä että käytetään ;v. IPSec tunnelimenetelmää, jos toinen tai molemmat tietokoneet toimivat reitittiminä.
5. Patenttivaatimuksen 3 mukainen menetelmä, tunnettu siitä että voidaan käyttää ’ · *. erillistä tunnelointiprotokollaa IPSec kuljetusmenetelmän kanssa. 30 » 113597
6. Patenttivaatimuksen 5 mukainen menetelmä, tunnettu siitä että erillinen tunnelointiprotokolla on Layer 2 Tunneling protocol (L2TP)
7. Jonkin patenttivaatimuksen 1-6 mukainen menetelmä, tunnettu siitä että 5 menetelmässä voidaan lähettää tietty paketti jokaisen kommunikointilinkin läpi ainoastaan kerran ja/tai useita kertoja.
8. Jonkin patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä että turvallinen kommunikointilinkki, joka muodostetaan vaiheessa a) on modifioitu
10 IPSec SA, jonka määrittelee Security Parameter Index (SPI) kenttä ja protokolla (AH tai ESP) ja mahdollisesti asetelma kohdeosoitteita. 27 1 1359; PATENKRAV
FI20011912A 2001-09-28 2001-09-28 Menetelmä viestien lähettämiseksi usean yhteyden läpi FI113597B (fi)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FI20011912A FI113597B (fi) 2001-09-28 2001-09-28 Menetelmä viestien lähettämiseksi usean yhteyden läpi

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20011912 2001-09-28
FI20011912A FI113597B (fi) 2001-09-28 2001-09-28 Menetelmä viestien lähettämiseksi usean yhteyden läpi

Publications (3)

Publication Number Publication Date
FI20011912A0 FI20011912A0 (fi) 2001-09-28
FI20011912A FI20011912A (fi) 2003-03-29
FI113597B true FI113597B (fi) 2004-05-14

Family

ID=8561976

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20011912A FI113597B (fi) 2001-09-28 2001-09-28 Menetelmä viestien lähettämiseksi usean yhteyden läpi

Country Status (1)

Country Link
FI (1) FI113597B (fi)

Also Published As

Publication number Publication date
FI20011912A (fi) 2003-03-29
FI20011912A0 (fi) 2001-09-28

Similar Documents

Publication Publication Date Title
FI116025B (fi) Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7516486B2 (en) Communication between a private network and a roaming mobile terminal
KR101165825B1 (ko) 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
US20050195780A1 (en) IP mobility in mobile telecommunications system
Montenegro et al. Sun's SKIP firewall traversal for mobile IP
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
JP2010518718A (ja) 経路最適化処理によるデータ・パケットのネットワーク制御オーバーヘッド削減
US20090106831A1 (en) IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO
JP2008543140A (ja) ホストアイデンティティプトコルを使用する方法及び装置
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
Lim et al. TMSP: terminal mobility support protocol
FI113597B (fi) Menetelmä viestien lähettämiseksi usean yhteyden läpi
CN101091371A (zh) 提供移动节点之间路由优化安全会话连续性的方法和装置
Cabellos-Aparicio et al. Mobility Agents: Avoiding the Signaling of Route Optimization on Large Servers
Montenegro et al. RFC2356: Sun's SKIP Firewall Traversal for Mobile IP
Wang et al. IPSec-based key management in mobile IP networks

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

Free format text: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

PC Transfer of assignment of patent

Owner name: MOBILITY PATENT HOLDING MPH OY

Free format text: MOBILITY PATENT HOLDING MPH OY

PC Transfer of assignment of patent

Owner name: MPH TECHNOLOGIES OY

Free format text: MPH TECHNOLOGIES OY

MM Patent lapsed