FI119303B - Liitettävyys tilatietoisten palomuurien välillä - Google Patents

Liitettävyys tilatietoisten palomuurien välillä Download PDF

Info

Publication number
FI119303B
FI119303B FI20055295A FI20055295A FI119303B FI 119303 B FI119303 B FI 119303B FI 20055295 A FI20055295 A FI 20055295A FI 20055295 A FI20055295 A FI 20055295A FI 119303 B FI119303 B FI 119303B
Authority
FI
Finland
Prior art keywords
message
receipt
customer terminal
customer
tcp connection
Prior art date
Application number
FI20055295A
Other languages
English (en)
Swedish (sv)
Other versions
FI20055295A (fi
FI20055295A0 (fi
Inventor
Antti Maekelae
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Publication of FI20055295A0 publication Critical patent/FI20055295A0/fi
Priority to FI20055295A priority Critical patent/FI119303B/fi
Priority to AT06764483T priority patent/ATE385121T1/de
Priority to US11/663,098 priority patent/US8332532B2/en
Priority to EP06764483A priority patent/EP1792468B1/en
Priority to PCT/FI2006/050238 priority patent/WO2006131600A1/en
Priority to DE602006000489T priority patent/DE602006000489T2/de
Priority to DK06764483T priority patent/DK1792468T3/da
Priority to ES06764483T priority patent/ES2299169T3/es
Publication of FI20055295A publication Critical patent/FI20055295A/fi
Priority to NO20071396A priority patent/NO337990B1/no
Application granted granted Critical
Publication of FI119303B publication Critical patent/FI119303B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Stereo-Broadcasting Methods (AREA)
  • Circuits Of Receivers In General (AREA)
  • Reduction Or Emphasis Of Bandwidth Of Signals (AREA)
  • Exchange Systems With Centralized Control (AREA)

Description

119303
Liitettävyys tilatietoisten palomuurien välillä
Keksinnön ala
Nyt esillä oleva keksintö kohdistuu tietoliikenneverkkoihin ja tarkemmin liitettävyyteen tilatietoisten palomuurien välillä.
5 Keksinnön tausta
Turvallisuudesta on tulossa yhä tärkeämpi kysymys tietoliikenneverkoissa. Vastaavasti yhä useampia tietokoneita suojaa palomuuri. Palomuuri ohjaa esimerkiksi tietokoneen porttien toimintaa ja suodattaa Internet-yhteyden kautta tietokoneeseen tulevaa informaatiota. Käy-10 tettäessä niin sanottua tilatietoista valvontaa palomuurissa kunkin datapaketin sisältöä ei tutkita, vaan sen sijaan palomuuri vertaa datapaketin tiettyjä avainosia luotettavan informaation tietokantaan. Ulos lähtevästä informaatiosta tarkkaillaan tiettyjä määrittäviä tunnuslukuja, ja sitten sisään tulevaa informaatiota verrataan näihin tunnuslukuihin. 15 Jos vertailusta saadaan kohtuullinen vastaavuus, informaatio päästetään palomuurin läpi; muussa tapauksessa se hylätään.
Vaikka palomuurit parantavat tietoliikenneverkkojen turvallisuutta, ne samalla aiheuttavat lisäongelmia suoran yhteyden muodostamisessa 20 kahden loppukäyttäjän isäntäkoneen välillä, koska nykyään useimmiten molempien loppukäyttäjien tietokoneita suojaa palomuuri. Näin ollen osapuolet eivät voi muodostaa esimerkiksi suoraa TCP-yhteyttä tois-|*V tensa välillä, koska tämä vaatisi nykyään sen, että ainakin yhdellä osa- *.\Y puolten isäntäkoneista ei saa olla palomuuria, jolloin palomuurilla suo- *···* 25 jattu isäntäkone pystyisi muodostamaan yhteyksiä palomuurittomaan isäntään.
• * • t · * · · • * ···
Toinen ratkaisu olisi käyttää sovellustietoisia palomuureja, millä on se . .·. haittapuoli, että palomuurin konfiguraatiosta tulee monimutkaisempi, .·*·. 30 koska palomuurin tulee olla tietoinen kaikista mahdollisista sovelluk- • ·
" sista. Vielä eräs ratkaisu olisi käyttää hallintaprotokollaa, kuten UPnP
(Universal Plug and Play) sekä palomuurien että isäntätietokoneiden toiminnan hallitsemiseksi. Hallintaprotokolla kuitenkin lisää toteutuksen monimutkaisuutta ja altistumista virheille. Lisäksi tavallisesti vaaditaan, 119303 2 että sekä loppukäyttäjien isäntäkoneet että niiden palomuurit tukevat hallintaprotokollaa.
W002/071717 esittää menetelmän palomuurien ohittamiseksi, missä 5 kukin loppukäyttäjä on yhteydessä välipalvelimeen ja avaa TCP-kana-van. Välipalvelin puolestaan viestii kullekin osapuolelle toisen osapuolen lähdeosoitteen ja TCP-portin. Sitten osapuolet alkavat lähettää paketteja suoraan toisilleen käyttäen lähdeosoitetta ja välipalvelimen porttia, kun taas välipalvelinta käytetään samalla vain TCP-tilan yllä-10 pitämiseksi palomuurien huijaamiseksi. Julkaisun W002/071717 ratkaisu ei kuitenkaan ole kovin toteuttamiskelpoinen, koska useimmilla verkko-operaattoreilla on huijauksen estävä asetus verkoissaan, mikä estää edellä kuvatun menetelmän käytön. Näin ollen on olemassa tarve vaihtoehtoiselle menetelmälle palomuurien ohittamiseksi.
15 Keksinnön yhteenveto
Nyt on keksitty parannettu menetelmä ja menetelmän toteuttava tekninen laitteisto, johon verkkojen huijausta estävät asetukset eivät vaikuta. Keksinnön useat eri aspektit käsittävät menetelmän, tietoliikennejärjestelmän, asiakaspäätelaitteen ja tietokoneohjelman, joille on 20 tunnusomaista se, mitä itsenäisissä patenttivaatimuksissa esitetään.
: Keksinnön eri suoritusmuotoja on esitetty epäitsenäisissä patenttivaati- • ·* v ·* muksissa.
• · • · * » · * · : Ensimmäisen aspektin mukaisesti keksinnön mukainen menetelmä pe- : 25 rustuu ajatukseen muodostaa TCP-yhteys verkkojärjestelyssä, joka kä- * · · . ··. sittää ensimmäisen asiakaspäätelaitteen ja toisen asiakaspäätelait teen, jota ensimmäistä asiakaspäätelaitetta suojaa ensimmäinen tila-,v> tietoinen palomuuri ja mainittua toista asiakaspäätelaitetta suojaa toi- nen tilatietoinen palomuuri. Molemmat asiakaspäätelaitteet käsittävät **:·* 30 myös välineet viestien lähettämiseksi toisilleen viestintäpalvelimen kautta. Aluksi asiakaspäätelaitteet sopivat TCP-yhteyden muodostami-s*’*s sesta toistensa välillä lähettämällä viestin ensimmäiseltä asiakaspääte- laitteelta toiselle asiakaspäätelaitteelle viestintäpalvelimen kautta, joka ! viesti käsittää ainakin asiakaspäätelaitteiden porttinumerot käytettä- 35 väksi mainitulla yhteydellä, minkä jälkeen TCP-yhteyden muodostus-proseduuri aloitetaan kummassakin asiakaspäätelaitteessa. Vasteena 3
1193-tDI
TCP-yhteyden muodostusproseduurin ensimmäisen kättelyviestin lähettämiselle molemmat asiakaspäätelaitteet lähettävät viestin, joka ilmoittaa ensimmäisen kättelyviestin järjestysnumeron vastakkaiselle asiakaspäätelaitteelle viestintäpalvelimen kautta. Sitten vasteena sille, 5 että vastakkaisten asiakaspäätelaitteiden palomuurit hylkäävät ensimmäisen kättelyviestin johtuen sen yhteensopimattomuudesta tila-tietoisten palomuurien minkään säännön kanssa, kummassakin asia-kaspäätelaitteessa luodaan ns. raakapistokkeen (engl. raw socket) avulla kuittausviesti mainittuun ensimmäiseen kättelyviestiin, joka kuit-10 tausviesti käsittää vastaanotetun järjestysnumeron kuittausnumerona. Lopuksi raakapistokepohjainen kuittausviesti lähetetään vastapuolena toimivalle asiakaspäätteelle TCP-yhteyden muodostusproseduurin mukaista lisäkuittausta varten, joka kuittaus saattaa TCP-yhteyden muodostamisen loppuun.
15
Erään suoritusmuodon mukaisesti TCP-yhteyden muodostusproseduurin ensimmäinen kättelyviesti on TCP SYN -paketti, jolloin asiakas-päätelaitteita suojaavat tilatietoiset palomuurit luovat säännön, joka sallii ainoastaan vastaavan kuittausnumeron käsittävän TCP 20 SYN_ACK -paketin päästä palomuurien läpi sisäänpäin.
• φ * · *
Erään suoritusmuodon mukaisesti asiakaspäätelaitteita suojaavat tila-: tietoiset palomuurit vastaanottavat vastapuolena toimivan asiakas- päätelaitteen lähettämän raakapistokepohjaisen kuittausviestin, tun- j.i*: 25 nistavat kuittausviestin TCP SYN_ACK -paketiksi, ja sallivat kuittaus- viestin kulkea palomuurien läpi sisäänpäin vasteena sille, että kuittaus-viestin kuittausnumero vastaa TCP SYN -paketin järjestysnumeroa .
• · ·
Keksinnön mukaisella järjestetyllä on merkittäviä etuja. Luomalla « · · .··!. 30 SYN ACK -paketteja raakapistokkeilla, jotka perustuvat välissä lähe- tettyjen IM-viestien informaatioon, asiakaspäätelaitteet sekä palomuurit harhautetaan tulkitsemaan tilanne siten, että niillä on vain yksisuuntai-nen yhteys ulospäin, vaikka itse asiassa on muodostettu kaksisuuntai-nen yhteys. Lisäksi asiakaspäätelaitteet toimivat todellisilla IP-osoit- • · 35 teillään eikä huijausta tarvita, jolloin mitkään verkon huijauksenesto-asetukset eivät vaikuta järjestelyyn. Vielä edelleen koska suoritusmuodot perustuvat palomuurien tilatietoisuuteen, palomuurit eivät vaadi 119303 4 mitään sovellustietoisuustoiminnallisuutta tai niiden ei tarvitse tukea mitään palomuurin hallintaprotokollaa, kuten UPnP:tä, suoritusmuotojen tukemiseksi. Näin ollen järjestely yksinkertaistaa palomuurien toteutusta.
5
Keksinnön toisen aspektin mukaisesti esitetään tietoliikennejärjestelmä edellä kuvatun järjestelyn toteuttamiseksi.
Kolmannen aspektin mukaisesti esitetään tietoliikennejärjestelmän 10 asiakaspäätelaite, jota asiakaspäätelaitetta suojaa tilatietoinen palomuuri, ja asiakaspäätelaite käsittää välineet viestien lähettämiseksi ainakin toiseen asiakaspäätelaitteeseen viestintäpalvelimen kautta; välineet TCP-yhteyden muodostamisesta sopimiseksi toiseen asiakas-päätelaitteeseen vaihtamalla viestejä viestintäpalvelimen kautta, joista 15 viesteistä ainakin yksi käsittää ainakin asiakaspäätelaitteiden porttinumerot käytettäväksi mainitussa yhteydessä; välineet TCP-yhteyden muodostusproseduurin aloittamiseksi lähettämällä TCP-yhteyden muo-dostusproseduurin ensimmäinen kättely viesti; välineet ensimmäisen kättelyviestin järjestysnumeron osoittavan viestin lähettämiseksi toi-20 seen asiakaspäätelaitteeseen viestintäpalvelimen kautta; välineet toi- . . sen asiakaspäätelaitteen lähettämän ensimmäisen kättelyviestin jär- • · · ·*;!/* jestysnumeron osoittavan viestin vastaanottamiseksi viestintäpalveli- :·**: men kautta; välineet kuittausviestin luomiseksi toisen asiakaspääte- • · laitteen lähettämään mainittuun kättelyviestiin käyttäen raakapistoketta, I.:’: 25 joka kuittausviesti sisältää vastaanotetun järjestysnumeron kuittaus- :j': numerona; välineet raakapistokepohjaisen kuittausviestin lähettämi- seksi toiseen asiakaspäätelaitteeseen; välineet raakapistokepohjaisen ··· kuittausviestin vastaanottamiseksi toiselta asiakaspäätelaitteelta, joka .v. mainittu kuittausviesti sisältää ensimmäisen toiselle asiakaspääte- 30 laitteelle lähetetyn kättelyviestin järjestysnumeron; ja välineet kuittauk- • · "* sen lähettämiseksi vastaanotettuun raakapistokepohjaiseen kuittaus- viestiin, joka kuittaus saattaa TCP-yhteyden muodostamisen loppuun.
φ · · • · • · »··
Neljännen piirteen mukaan esitetään tietokoneohjelmatuote, joka on 35 tallennettu tietokoneella luettavissa olevaan tallennusvälineeseen ja joka on suoritettavissa tietojenkäsittelylaitteessa mainitun asiakas-päätelaitteen välineiden toteuttamiseksi.
119303 5
Piirustukset
Keksinnön useita erilaisia suoritusmuotoja selostetaan seuraavassa tarkemmin viitaten samalla oheisiin piirustuksiin, joissa 5
Kuva 1 esittää keksinnön erään suoritusmuodon mukaisen verkko-järjestelyn;
Kuva 2 esittää signalointikaaviona keksinnön erään suoritusmuoto don mukaisen menetelmän TCP-yhteyden muodostami seksi; ja
Kuva 3 esittää keksinnön erään suoritusmuodon mukaisen asiakas-päätelaitteen pelkistettynä lohkokaaviona.
15
Keksinnön suoritusmuotojen kuvaus
Seuraavassa keksintöä havainnollistetaan viittaamalla pikaviestintä-palveluihin (Instant Messaging, IM) eräänä edullisena alustana toteutukselle. Keksintöä ei kuitenkaan ole rajoitettu vain IM-palveluihin, vaan . . 20 sitä voidaan soveltaa muihin samantapaisiin viestintäsovelluksiin, "jj joissa ainakin kaksi loppukäyttäjää on yhdistetty toisiinsa jonkin keski- v : tetyn hakemistopalvelun kautta. Muita esimerkkejä tällaisista viestintä- • · palveluista ovat tekstiviestipalvelu (Short Messaging Service, SMS) ja j,:*: multimediasanomapalvelu (Multimedia Messaging Service, MMS), joita : 25 monet matkaviestinverkot tukevat.
«M · • · · 9 · • · ·· Φ
Pikaviestintäpalveluista (Instant Messaging, IM) on viime aikoina tullut yksi suosituimmista Internet-palveluista. Pikaviestintä perustuu IP-yh-teyden kautta suoraan osapuolten välillä välitettäviin tekstiviesteihin. ’.*** 30 IM-palvelin osallistuu vain yhteyden muodostamiseen osapuolten vä-
Iillä, mutta se ei ota osaa IM-viestien välitysprosessiin millään muulla tavalla kuin välittämällä ne eteenpäin, jolloin viestit voidaan välittää IM-palvelimen kautta minimiviiveellä, eli miltei reaaliaikaisesti. Eräs IM- • palveluiden suosittu sovellus tunnetaan päätekeskusteluna (chat), 35 jossa ennalta määritetty ryhmä päätelaitteiden käyttäjiä viestii toisilleen siten, että yhden käyttäjän lähettämä IM-viesti toimitetaan kaikkiin mui- 119303 6 hin ryhmään kuuluviin päätelaitteisiin. Yhteyden muodostamisen aikana IM-asiakas kullakin päätelaitteella lähettää yhteysinformaatiota IM-palvelimeen, joka yhteysinformaatio sisältää päätelaitteen IP-osoit-teen ja IM-asiakkaalle määrätyn päätelaitteen portin numeron. IM-pal-5 velin ylläpitää ja toimittaa tarpeellisen yhteysinformaation kullekin IM-istuntoon osallistuvalle päätelaitteelle.
Kuva 1 esittää erään edullisen suoritusmuodon mukaisen verkko-järjestelyn, jossa kaksi tietoliikenneverkkoon (104) yhdistettyä asia-10 kasta, asiakas A (100) ja asiakas B (102), haluavat muodostaa suoran yhteyden (106) toistensa välillä, esimerkiksi tiedostojen siirtoa tai muita suurempaa kaistanleveyttä vaativia toimintoja varten. Molempia asiakkaita suojaa tilatietoinen palomuuri, FW A (108) ja FW B (110) ja molemmat palomuurit ovat edullisesti tietoisia TCP:stä ja UDP:stä. Palo-15 muurit FW A (108) ja FW B (110) on konfiguroitu tavalliseen tapaan siten, että ne sallivat vain ulospäin suuntautuvia yhteyksiä, ja yhtään sisääntuloporttia ei ole auki. Molemmilla asiakkailla A ja B on yhteys (112, 114) pikaviestintäpalvelimeen (IM-palvelin 116), jolloin ne voivat välittää toisilleen lyhyitä viestejä palvelimen kautta. Tiedostojen siirtoa 20 tai muuta suurta kaistanleveyttä vaativia toimintoja ei kuitenkaan voi . . suorittaa IM-istunnon kautta, koska ne muodostavat liikaa kuormaa.
• · t t · · M· · ·*** *·’ | Nyt IM-alusta tarjoaa käyttökelpoisia työkaluja molempien palomuurien V·: FW A ja FW B sekä asiakaslaitteiden A ja B harhauttamiseksi usko- : 25 maan, että muodostettaessa suoraa yhteyttä asiakkaiden A ja B välillä molemmat asiakkaat A ja B sekä palomuurit FW A ja FW B muodosta- vat vain ulospäin suuntautuvan yhteyden, vaikka itse asiassa muo- dostetaankin kaksisuuntainen yhteys. Tämän vuoksi suoran yhteyden muodostamisen aikana käytetään hyväksi mahdollisuutta lähettää IM- .···. 30 viestejä suoraan asiakkaiden välillä hyvin pienellä viiveellä, mitä toi- * · mintosarjaa kuvataan jäljempänä tarkemmin.
t ·*· ♦ · · ··· O Toinen tässä hyväksikäytetty tekniikka on niin sanotut raakapistokkeet (raw socket). Kuten yleisesti tiedetään, pistoketta voidaan käyttää tie-35 tokoneverkoissa kahden ohjelman välisen kaksisuuntaisen viestintälin- • · kin yhden pään muodostamiseksi. TCP- tai UDP-protokollaan perustuvassa viestinnässä tietyn isäntäkoneen pistoke määritetään tavallisesti 119303 7 IP-osoitteen, protokollan ja porttinumeron yhdistelmäksi. Kukin pistoke on sidottu määrättyyn porttiin, mikä sailii kuljetuskerroksen protokollan tunnistaa mihin sovellukseen dataa tulisi lähettää. Kuitenkin melkein kaikki nykyaikaiset käyttöjärjestelmät tukevat myös ns. raakapistok-5 keitä, jotka sallivat lähettäjän määrittää datapaketin otsikkokentät, mukaan luettuna IP-osoitteet ja porttinumerot, jolloin tietyt toiminnot kuljetuskerroksessa, kuten TCP-kerroksessa, voidaan ohittaa. Vastaavasti raakapistokkeet mahdollistavat sovelluskohtaisen verkottumisprotokol-lan luomisen tiettyä tehtävää varten.
10
Erään suoritusmuodon mukainen menetelmä suoran TCP-yhteyden muodostamiseksi asiakkaiden A ja B välillä havainnollistetaan edelleen kuvan 2 signalointikaaviossa. Toiminta alkaa kun ensimmäinen osapuoli (asiakas A) lähettää IM-viestin (200) toiselle osapuolelle (asiakas 15 B) IM-palvelimen kautta, joka IM-viesti osoittaa halun muodostaa suora TCP-yhteys asiakasisäntien tiettyjen porttien välillä. Näin ollen IM-viesti on tekstipohjainen vapaamuotoinen viesti, mutta sen tulisi osoittaa seu-raava ajatus: “Muodostetaan TCP-yhteys, minun porttini X, sinun port-tisi Y”. Toinen osapuoli (asiakas B) kuittaa tämän lähettämällä vapaa-20 muotoisen IM-viestin ("Kuitattu”, 202) ensimmäiselle osapuolelle (asia- , . kas A) IM-palvelimen kautta.
« · « t · · ··· · ··· : Sitten asiakas A käynnistää normaalin TCP-yhteyden muodostamisen • 9 toimintosarjan, jossa asiakas A aloittaa pistokkeen API:llä bindQ-·.·*; 25 toiminnon, joka liittää asiakkaan A IP-osoitteen pistokkeeseen, ja connect()-toiminnon, joka muodostaa yhteyden tähän määritettyyn :***: pistokkeeseen. Sen jälkeen TCP-yhteys aloitetaan asiakkaan A isäntä koneen portista X asiakkaan B isäntäkoneen porttiin Y (204). Asiakas B suorittaa samat toimenpiteet vastakkaiseen suuntaan: aloittaa bind()- ja • · · 30 connect()-toiminnot pistokkeen API:lla, ja aloittaa sen jälkeen TCP-yh-**:*’ teyden asiakkaan B isäntäkoneen portista Y asiakkaan A isäntäkoneen \:V porttiin X (206).
·** • · Näin ollen asiakkaan A lähettämän ensimmäisen kättelyviestin (208) ....j 35 muoto on: TCP-paketti, lähdeportti X, kohdeportti Y, liput SYN, SEQ- numero I, ACK-numero 0. Vastaavasti asiakkaan B lähettämän ensimmäisen kättelyviestin (210) muoto on: TCP-paketti, lähdeportti Y, koh- 119303 8 deportti X, liput SYN, SEQ-numero J, ACK-numero 0. Sen jälkeen molempien asiakkaiden A ja B pistokkeiden tila on SYN^SENT (Synchronize segment sent).
5 Sitten palomuuri FW A vastaanottaa asiakkaan A lähettämän ensimmäisen kättely viestin (208). Palomuuri FW A tutkii (212) paketin ja havaitsee, että se on TCP SYN -paketti asiakkaalta A asiakkaalle B. Tila-tietoinen palomuuri FW A luo säännön, että palautuspaketit, joilla on sama ACK-numero pääsevät palomuurin läpi. Vastaavasti asiakkaan B 10 lähettämä ensimmäinen kättelyviesti (210) vastaanotetaan palomuurilla FW B, joka tutkii (214) paketin (’’TCP SYN -paketti asiakkaalta B asiakkaalle A”) ja luo säännön, että palautuspaketit, joilla on sama ACK-numero pääsevät palomuurin läpi.
15 Ensimmäisen kättelyviesti n lähettämisen jälkeen asiakas A lähettää IM-viestin (216) asiakkaalle B IM-palvelimen kautta, joka IM-viesti osoittaa, että Synchronize-segmentti lähetetään ja että se sisältää järjestysnumeron Ί”. Jälleen IM-viesti (216) voi olla vapaamuotoinen, mutta sen tulisi osoittaa seuraava ajatus: “TCP SYN -paketti lähetetty, SEQ-nu-20 mero I”. Vastaavasti asiakas B lähettää IM-viestin (218) asiakkaalle A
•... IM-palvelimen kautta: “TCP SYN -paketti lähetetty, SEQ-numero J”.
**· · ··· • · ·
Y ] Samaan aikaan asiakkaan A isäntäkonetta suojaava palomuuri FW A
/ *· vastaanottaa asiakkaan B lähettämän kättelyviestin (210). Kuitenkin i.: i 25 vastaanotetun TCP SYN -paketin ominaisuudet eivät täsmää minkään i tilatietoisen palomuurin FW A sallitun säännön kanssa, jolloin palo- θ’ muuri FW A päättää hylätä (220) paketin. Samoin palomuuri FW B hyl kää (222) asiakkaan A lähettämän TCP SYN -paketin.
* · ♦ · « • · # .··*. 30 Tässä vaiheessa asiakkaiden A ja B toisilleen lähettämien IM-viestien *" (216, 218) ansiosta molemmat asiakkaat ovat nyt tietoisia järjestys- Y;: numeroista, joita toisen pään palomuuri odottaa. Tämä mahdollistaa !...: sen, että molemmat asiakkaat luovat (224, 226) SYN_ACK -paketit TCP:n standardikättelyn mukaisesti, jotka SYN_ACK -paketit luodaan .....· 35 IM-viesteissä (216, 218) vastaanotetun informaation perusteella, ja jotka SYN_ACK -paketit täsmäävät molempien palomuurien FW A ja 119303 9 FW B sääntöihin. SYN_ACK -paketit luodaan raakapistokkeilla, jotka sallivat asiakkaiden määrittää paketteihin sisällytettävän datan.
Näin ollen asiakas A luo SYNACK -paketin, joka käsittää informaa-5 tion: TCP-paketti, lähdeportti X, kohdeportti Y, liput SYN+ACK, SEQ-numero I, ACK-numero J; tämä SYN_ACK -paketti lähetetään (228) asiakkaalle B. Vastaavasti asiakas B luo SYN_ACK -paketin, joka käsittää informaation: TCP-paketti, lähdeportti Y, kohdeportti X, liput SYN+ACK, SEQ-numero J, ACK-numero I; tämä SYN_ACK -paketti 10 lähetetään (230) asiakkaalle A.
Sitten palomuuri FW A vastaanottaa asiakkaan A lähettämän (228) SYN ACK -paketin. Palomuuri FW A tutkii (232) paketin ja havaitsee, että se on yksittäinen TCP SYN_ACK -paketti verkon ulkopuolelle. Ti-15 latietoinen palomuuri FW A ei mahdollisesti voi luoda mitään sääntöä paluupaketille, koska standardi TCP-kättelyn toimintosarjassa SYN ACK -paketti ei saisi olla peräisin suojatulta asiakkaalta, eli palomuurin sisäpuolelta. Palomuuri on kuitenkin konfiguroitu päästämään kaikki ulospäin suuntautuvat yhteydet läpi, ja näin ollen SYN_ACK -20 paketti lähetetään edelleen asiakkaalle B. Asiakkaan B lähettämä (230) SYN_ACK -paketti vastaanotetaan myös palomuurissa FW B, jossa se käsitellään (234) samalla tavoin kuin edellä on kuvattu.
• · * • · · • ·
Asiakkaan A lähettämä (228) ja palomuurin FW A edelleen lähettämä • · : 25 SYN ACK -paketti vastaanotetaan palomuurissa FW B, joka huomaa (236), että TCP-paketti asiakkaalta A vastaanotetaan, joka paketti kä-sittää liput SYN+ACK ja jolla on ACK-numero J. Tällainen SYN_ACK -paketti täsmää odotettuun sisääntulosääntöön, joka aiemmin luotiin palomuurissa FW B (214, ’’paluupaketit SYN-pakettiin, joissa on täs-····. 30 määvä ACK-numero päästetään palomuurin läpi”).
♦ Näin ollen SYN_ACK -paketti lähetetään edelleen (238) asiakkaalle B, ··· ' joka vastaa (240) standardi TCP-kättelyn toimintosarjan mukaisella ·...: ACK-paketilla, jolloin connect()-toiminto toimii kolmisuuntaisena kätte- 35 lynä: asiakas lähettää SYN-paketin, vastaanottaa SYN ACK -paketin ja lopulta kuittaa tämän ACK-paketilla. Koska asiakas B vastaanottaa nyt SYN ACK -paketin vastauksena SYN-paketin lähettämiseen, se 119303 10 vastaa automaattisesti ACK-paketilla, vaikka SYN_ACK -pakettia ei ole luotu tavallisen connect()-kättelyn toimintosarjan mukaisesti. Samoin asiakkaan B lähettämä (230) ja palomuurin FW B edelleen lähettämä SYN_ACK -paketti vastaanotetaan palomuurissa FW A, joka hy-5 väksyy (242) paketin ja lähettää sen edelleen (244) asiakkaalle A, joka vastaa (246) ACK-paketilla.
Tässä vaiheessa molemmat asiakkaat A ja B ovat suorittaneet TCP-standardin mukaisessa kättelyproseduurissa vaaditut toiminnot, jolloin 10 molempien asiakkaiden A ja B pistokkeiden tila on ESTABLISHED, eli kaksisuuntainen TCP-yhteys asiakkaiden A ja B välillä on muodostettu ja varsinainen tiedostojen siirto voi alkaa. Luomalla SYN_ACK -paketteja raakapistokkeilla, jotka perustuvat välissä olevien IM-viestien informaatioon, asiakkaat A ja B sekä palomuurit FW A ja FW B on har-15 hautettu tulkitsemaan tilanne väärin siten, että niillä olisi vain yksisuuntainen yhteys ulospäin. On tärkeää huomata, että asiakkaat toimivat oikeilla IP-osoitteillaan, eikä huijausta vaadita. Tällöin edellä kuvattuun järjestelyyn ei vaikuteta millään verkon huijauksenestoasetuk-silla.
20 . . Näin ollen suoritusmuodot perustuvat palomuurien tilatietoisuuteen, • · · **;!/ mikä tarkoittaa, että suoritusmuotojen tukemiseksi palomuurit eivät :·:: vaadi mitään sovellustietoisuustoiminnallisuutta tai niiden ei tarvitse tu- • · kea mitään palomuurin hallintaprotokollaa, kuten UPnP. Täten suori-25 tusmuodot yksinkertaistavat palomuurien toteutusta. Palomuurit voi-daan toteuttaa ohjelmana tai laitteistona, ja niitä voi käyttää yksityinen henkilö tai verkko-operaattori.
Asiakaspäätelaitteet A ja B voivat olla sinänsä tunnettuja PC-pohjaisia .···. 30 tietokoneita, jotka on yhdistetty mihin tahansa tietoverkkoon, tai asia- V kaspäätelaitteet A ja B voivat olla langattomia päätelaitteita, kuten mat- kaviestimiä tai PDA-laitteita liitettynä mihin tahansa tietoverkkoon mat-O kaviestinverkon kautta. Näin ollen asiakaspäätelaite käsittää, kuten ku- vassa 3 on havainnollistettu, muistin MEM, käyttöliittymän UI, l/O-väli-35 neen I/O tiedonsiirron järjestämiseksi muiden laitteiden kanssa, ja yh- den tai useamman keskusyksikön CPU, joka käsittää ainakin yhden prosessorin. Muisti MEM sisältää haihtumattoman osan keskusyksik- • · 119303 11 köä CPU ohjaavien sovellusten ja muun tallennettavan tiedon tallentamiseksi, ja haihtuvan osan käytettäväksi väliaikaisessa tiedonkäsittelyssä.
5 Suoritusmuotojen toiminnot on edullisesti automatisoitu asiakaspääte-laitteissa siten, että käyttäjän väliintuloa ei vaadita suoritusmuotojen mukaisen TCP-yhteyden muodostamisen aikana. Suoritusmuotojen mukaiset vaiheet voidaan pääosin toteuttaa ohjelmakomennoilla, jota suoritetaan kuvassa 3 esitetyssä asiakkaan päätelaitteen keskusyksi-10 köissä CPU. Näin ollen mainitut välineet edellä kuvatun menetelmän suorittamiseksi on edullisesti toteutettu ohjelmistokoodina. Ohjelmisto voidaan tallentaa mihin tahansa muistivälineelle, kuten PC:n kovalevylle tai CD-ROM -levylle, josta se voidaan ladata asiakaspääte-laitteen muistiin. Ohjelmisto voidaan ladata myös verkon kautta, esi-15 merkiksi käyttäen TCP/IP-protokollapinoa. On myös mahdollista käyttää laitteistoratkaisuja tai laitteisto- ja ohjelmistoratkaisujen yhdistelmää keksinnöllisten välineiden toteuttamiseksi.
On selvää, että nyt esillä oleva keksintö ei rajoitu pelkästään edellä 20 esitettyihin suoritusmuotoihin vaan sitä voidaan muunnella oheisten patenttivaatimusten puitteissa.
• · S ··· 1 ··· • · · • · 9 m • m • · · * ·« • · • · • · · • 1 · ··» · • 1 • · · • · · ·1« • • · «1 · • · · • 1 ♦ • · *·· • · • « • ♦ » · · ··· ··· • · • · •

Claims (10)

119303 12
1. Menetelmä TCP-yhteyden muodostamiseksi ensimmäisen asiakaspäätelaitteen (100; A) ja toisen asiakaspäätelaitteen 5 (102;B) välillä, jota ensimmäistä asiakaspäätelaitetta suojaa ensimmäi nen tilatietoinen palomuuri (108; FW A) ja mainittua toista asiakas-päätelaitetta suojaa toinen tilatietoinen palomuuri (110; FW B), ja molemmat asiakaspäätelaitteet käsittävät välineet viestien lähettämiseksi toisilleen viestintäpalvelimen (116; IM) kautta; tunnettu siitä, että me-10 netelmä käsittää: sovitaan TCP-yhteyden muodostamisesta asiakaspääte-laitteiden välillä lähettämällä (200) viesti ensimmäisestä asiakaspääte-laitteesta (A) toiseen asiakaspäätelaitteeseen (B) viestintäpalvelimen (IM) kautta, joka viesti käsittää ainakin asiakaspäätelaitteiden portti-15 numerot käytettäväksi mainitussa yhteydessä; aloitetaan (204, 206) TCP-yhteyden muodostusproseduuri kummassakin asiakaspäätelaitteessa; vasteena TCP-yhteyden muodostusproseduurin ensimmäisen kättelyviestin lähettämiselle (208, 210), lähetetään (216, 218) en-20 simmäisen kättelyviestin järjestysnumeron ilmoittava viesti kummalta- .... kin asiakaspäätelaitteelta vastapuolena toimivalle asiakaspääte- |:i.| laitteelle viestintäpalvelimen kautta; V | vasteena sille, että vastapuolina toimivien asiakaspääte- • · · ]· / laitteiden palomuurit hylkäävät (220, 222) ensimmäisen kättelyviestin : 25 (208, 210), muodostetaan (224, 226) kuittausviesti mainittuun ensim- • · : mäiseen kättelyviestiin kummassakin asiakaspäätelaitteessa käyttäen raakapistoketta (raw socket), joka kuittausviesti käsittää vastaanotetun järjestysnumeron kuittausnumerona; ja •V: lähetetään (228, 230) raakapistokepohjainen kuittausviesti • « .··*. 30 vastapuolena toimivalle asiakaspäätelaitteelle lisäkuittausta (240, 246) '** varten TCP-yhteyden muodostusproseduurin mukaisesti, joka lisä- kuittaus saattaa TCP-yhteyden muodostamisen loppuun. • · • · M*
·:··; 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu 35 siitä, että TCP-yhteyden muodostusproseduurin ensimmäinen kättely-viesti on TCP SYN -paketti, jolloin menetelmä edelleen käsittää: 119303 13 muodostetaan (212, 214) sääntö asiakaspäätelaitteita suo-jaavissa tilatietoisissa palomuureissa, joka sääntö sallii vain TCP SYN_ACK -paketin, jolla on vastaava kuittausnumero, kulkea palomuurien läpi sisäänpäin. 5
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että menetelmä edelleen käsittää: vastaanotetaan vastapuolena toimivan asiakaspäätelaitteen lähettämä raakapistokepohjainen kuittausviesti (228, 230) asiakas-10 päätelaitteita suojaavissa tilatietoisissa palomuureissa; tunnistetaan (236, 242) kuittausviesti TCP SYN_ACK -paketiksi; ja sallitaan (238, 244) kuittausviestin kulkea palomuurien läpi sisäänpäin vasteena sille, että kuittausviestin kuittausnumero vastaa 15 TCP SYN -paketin järjestysnumeroa.
4. Tietoliikennejärjestelmä, joka käsittää: - ensimmäisen asiakaspäätelaitteen (100; A); - toisen asiakaspäätelaitteen (102; B); 20. mainittua ensimmäistä asiakaspäätelaitetta suojaavan . . ensimmäisen tilatietoisen palomuurin (108; FW A); : - mainittua toista asiakaspäätelaitetta suojaavan toisen : tilatietoisen palomuurin (110; FW B); - viestintäpalvelimen (116; IM), joka on järjestetty toimitta- 25 maan viestejä päätelaitteiden välillä; : tunnettu siitä, että tietoliikennejärjestelmässä: asiakaspäätelaitteet on järjestetty sopimaan TCP-yhteyden muodostamisesta asiakaspäätelaitteiden välillä lähettämällä (200) .V, viesti ensimmäisestä asiakaspäätelaitteesta (A) toiseen asiakaspääte- • · · 30 laitteeseen (B) viestintäpalvelimen (IM) kautta, joka viesti käsittää aina-**:*' kin asiakaspäätelaitteiden porttinumerot käytettäväksi mainitulla yhtey- dellä; molemmat asiakaspäätelaitteet on järjestetty aloittamaan (204, 206) TCP-yhteyden muodostusproseduuri lähettämällä ensim- . 35 mäinen TCP-yhteyden muodostusproseduurin kättelyviesti (208, 210); molemmat asiakaspäätelaitteet on järjestetty lähettämään (216, 218) viesti, joka osoittaa ensimmäisen kättelyviestin järjestys- • · 119303 14 numeron vastapuolena toimivalle asiakaspäätelaitteelle viestintäpalve-limen (IM) kautta; vasteena sille, että vastapuolena toimivien asiakaspääte-laitteiden palomuurit hylkäävät (220, 222) ensimmäisen kättelyviestin 5 (208, 210), molemmat asiakaspäätelaitteet on järjestetty luomaan (224, 226. kuittausviesti mainittuun ensimmäiseen kättelyviestiin käyttäen raakapistoketta, joka kuittausviesti käsittää vastaanotetun järjestysnumeron kuittausnumerona; ja molemmat asiakaspäätelaitteet on järjestetty lähettämään 10 (228, 230) raakapistokepohjainen kuittausviesti vastapuolena toimivalle asiakaspäätelaitteelle lisäkuittausta (240, 246) varten TCP-yhteyden muodostusproseduurin mukaisesti, joka lisäkuittaus saattaa TCP-yhteyden muodostamisen loppuun.
5. Patenttivaatimuksen 4 mukainen tietoliikennejärjestelmä, tunnettu siitä, että TCP-yhteyden muodostusproseduurin ensimmäinen kättelyviesti on TCP SYN -paketti, ja asiakaspäätelaltteita suojaavat tilatietoiset palomuurit on järjestetty luomaan (212, 214) sääntö, joka sallii vain TCP SYN ACK -20 paketin, jolla on vastaava kuittausnumero kulkea palomuurien läpi si- , . säänpäin. • · · • * » *·· · • · · v
: 6. Patenttivaatimuksen 5 mukainen tietoliikennejärjestelmä, tunnettu siitä, että asiakaspäätelaltteita suojaavat tilatietoiset palo-25 muurit on järjestetty :vastaanottamaan vastapuolena toimivan asiakaspäätelait- • · · I .*·*. teen lähettämä raakapistokepohjainen kuittausviesti (228, 230); tunnistamaan (236, 242) kuittausviesti TCP SYN_ACK -pa- tV> ketiksi; ja 30 sallimaan (238, 244) kuittausviestin kulun palomuurien läpi V sisäänpäin vasteena sille, että kuittausviestin kuittausnumero vastaa TCP SYN -paketin järjestysnumeroa. • · · * · • t • * ·
7. Jonkin patenttivaatimuksen 4-6 mukainen tietoliikenne-; 35 järjestelmä, tunnettu siitä, että viestintäpalvelu on Instant Messaging Server, pikaviestintä- palvelin. 119303 15
8. Tietoliikennejärjestelmän asiakaspäätelaite (100; A), jota asiakaspäätelaitetta suojaa tilatietojen palomuuri (108; FW A), ja asiakaspäätelaite käsittää välineet viestien lähettämiseksi ainakin toi-5 seen asiakaspäätelaitteeseen (102; B) viestintäpalvelun (116; IM) kautta, tunnettu siitä, että asiakaspäätelaite käsittää: välineet TCP-yhteyden muodostamisesta sopimiseksi toiseen asiakaspäätelaitteeseen (102; B) vaihtamalla viestejä viestintä-palvelimen (116; IM) kautta, joista viesteistä ainakin yksi (200) käsittää 10 ainakin asiakaspäätelaitteiden porttinumerot käytettäväksi mainitussa yhteydessä; välineet TCP-yhteyden muodostusproseduurin aloittamiseksi lähettämällä (204) ensimmäinen TCP-yhteyden muodostus-proseduurin kättelyviesti; 15 välineet viestin (216) lähettämiseksi, joka viesti osoittaa en simmäisen kättelyviesti n järjestysnumeron toiselle asiakaspääte-laitteelle viestintäpalvelimen (IM) kautta; välineet viestin (218) vastaanottamiseksi viestintäpalvelimen kautta, joka viesti osoittaa toisen asiakaspäätelaitteen (102; B) lähet-20 tämän ensimmäisen kättelyviestin järjestysnumeron; , . välineet kuittausviestin (224) luomiseksi mainittuun toisen asiakaspäätelaitteen lähettämään ensimmäiseen kättelyviestiin (218) v : käyttäen raakapistoketta, joka kuittausviesti sisältää vastaanotetun • ♦ järjestysnumeron kuittausnumerona; 25 välineet raakapistokepohjaisen kuittausviestin (228) lähet- : tämiseksi toiseen asiakaspäätelaitteeseen; ··· · ..**·. välineet raakapistokepohjaisen kuittausviestin (230) vastaanottamiseksi toiselta asiakaspäätelaitteelta, joka mainittu kuittaus- ..... viesti sisältää toiseen asiakaspäätelaitteeseen lähetetyn ensimmäisen 30 kättelyviestin järjestysnumeron; ja ’·;·* välineet kuittauksen (240) lähettämiseksi vastaanotettuun raakapistokepohjaiseen kuittausviestiin, joka mainittu kuittaus saattaa TCP-yhteyden muodostamisen loppuun. | 35
9. Patenttivaatimuksen 8 mukainen asiakaspäätelaite, tun nettu siitä, että 119303 16 mainitut välineet viestien lähettämiseksi ainakin toiseen asiakaspäätelaitteeseen viestintäpalvelimen kautta käsittävät Instant Messaging -asiakassovelluksen.
10. Tietokoneohjelmatuote TCP-yhteyden muodostami seksi, joka tietokoneohjelmatuote on tallennettu tietokoneella luettavissa olevaan tallennusvälineeseen ja joka on suoritettavissa tiedon-käsittelylaitteessa, tunnettu siitä, että tietokoneohjelmatuote käsittää: ohjelmakoodiosuuden TCP-yhteyden muodostamisesta so-10 pimiseksi toiseen asiakaspäätelaitteeseen vaihtamalla viestejä viestintäpalvelimen kautta, joista viesteistä ainakin yksi käsittää ainakin asiakaspäätelaitteiden porttinumerot käytettäväksi mainitussa yhteydessä: ohjelmakoodiosuuden TCP-yhteyden muodostusproseduu-15 rin aloittamiseksi lähettämällä ensimmäinen TCP-yhteyden muodos-tusproseduurin kättely viesti; ohjelmakoodiosuuden viestin lähettämiseksi, joka viesti osoittaa ensimmäisen kättelyviestin järjestysnumeron toiselle asiakas-päätelaitteelle viestintäpalvelimen kautta; 20 ohjelmakoodiosuuden viestin vastaanottamiseksi viestintä- , . palvelimen kautta, joka viesti osoittaa toisen asiakaspäätelaitteen »* ·: lähettämän ensimmäisen kättelyviestin järjestysnumeron; v : ohjelmakoodiosuuden kuittausviestin luomiseksi mainittuun toisen asiakaspäätelaitteen lähettämään ensimmäiseen kättelyviestiin 25 käyttäen raakapistoketta, joka kuittausviesti sisältää vastaanotetun järjestysnumeron kuittausnumerona; :**·; ohjelmakoodiosuuden raakapistokepohjaisen kuittausviestin • · · lähettämiseksi toiseen asiakaspäätelaitteeseen; ohjelmakoodiosuuden raakapistokepohjaisen kuittausviestin • I I M 30 vastaanottamiseksi toiselta asiakaspäätelaitteelta, joka mainittu kuit-’·;·* tausviesti sisältää toiseen asiakaspäätelaitteeseen lähetetyn ensim- *.0 maisen kättelyviestin järjestysnumeron; ja ohjelmakoodiosuuden kuittauksen lähettämiseksi vastaan-otettuun raakapistokepohjaiseen kuittausviestiin, joka mainittu kuittaus saattaa TCP-yhteyden muodostamisen loppuun. • ♦ 17 119305
FI20055295A 2005-06-07 2005-06-07 Liitettävyys tilatietoisten palomuurien välillä FI119303B (fi)

Priority Applications (9)

Application Number Priority Date Filing Date Title
FI20055295A FI119303B (fi) 2005-06-07 2005-06-07 Liitettävyys tilatietoisten palomuurien välillä
PCT/FI2006/050238 WO2006131600A1 (en) 2005-06-07 2006-06-07 Connectivity over stateful firewalls
US11/663,098 US8332532B2 (en) 2005-06-07 2006-06-07 Connectivity over stateful firewalls
EP06764483A EP1792468B1 (en) 2005-06-07 2006-06-07 Connectivity over stateful firewalls
AT06764483T ATE385121T1 (de) 2005-06-07 2006-06-07 Konnektivität über stateful firewalls
DE602006000489T DE602006000489T2 (de) 2005-06-07 2006-06-07 Konnektivität über stateful firewalls
DK06764483T DK1792468T3 (da) 2005-06-07 2006-06-07 Konnektivitet via stateful-firewalls
ES06764483T ES2299169T3 (es) 2005-06-07 2006-06-07 Conectividad sobre cortafuegos de estado.
NO20071396A NO337990B1 (no) 2005-06-07 2007-03-15 Tilkoblingsbarhet over en "stateful" brannvegg

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20055295 2005-06-07
FI20055295A FI119303B (fi) 2005-06-07 2005-06-07 Liitettävyys tilatietoisten palomuurien välillä

Publications (3)

Publication Number Publication Date
FI20055295A0 FI20055295A0 (fi) 2005-06-07
FI20055295A FI20055295A (fi) 2006-12-08
FI119303B true FI119303B (fi) 2008-09-30

Family

ID=34778432

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20055295A FI119303B (fi) 2005-06-07 2005-06-07 Liitettävyys tilatietoisten palomuurien välillä

Country Status (9)

Country Link
US (1) US8332532B2 (fi)
EP (1) EP1792468B1 (fi)
AT (1) ATE385121T1 (fi)
DE (1) DE602006000489T2 (fi)
DK (1) DK1792468T3 (fi)
ES (1) ES2299169T3 (fi)
FI (1) FI119303B (fi)
NO (1) NO337990B1 (fi)
WO (1) WO2006131600A1 (fi)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7899031B2 (en) 2007-11-20 2011-03-01 Microsoft Corporation Locally terminating an established connection
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
US20110219113A1 (en) * 2010-03-02 2011-09-08 Grewal Avininder Pal Singh Method and system for client assisted stateful handling of packets in a communications network
US8776207B2 (en) 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
CN102130910B (zh) * 2011-02-28 2015-04-29 华为技术有限公司 Tcp代理插入和卸载方法及业务网关设备
US9998545B2 (en) * 2011-04-02 2018-06-12 Open Invention Network, Llc System and method for improved handshake protocol
GB2504461B (en) * 2012-06-14 2014-12-03 Microsoft Corp Notification of communication events
GB201210600D0 (en) 2012-06-14 2012-08-01 Microsoft Corp Call invites
GB201210596D0 (en) 2012-06-14 2012-08-01 Microsoft Corp Notification of communication events
GB201210598D0 (en) 2012-06-14 2012-08-01 Microsoft Corp Notification of communication events
CN103401890B (zh) * 2012-06-14 2017-03-01 微软技术许可有限责任公司 用于通信事件的通知的装置和方法
KR101563059B1 (ko) * 2012-11-19 2015-10-23 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법
US9426262B2 (en) 2014-04-07 2016-08-23 Cisco Technology, Inc. Transport control protocol sequence number recovery in stateful devices
US9825913B2 (en) * 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
GB2531586A (en) 2014-10-23 2016-04-27 Ibm Methods and systems for starting computerized system modules
US10958625B1 (en) * 2018-03-06 2021-03-23 F5 Networks, Inc. Methods for secure access to services behind a firewall and devices thereof
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11995024B2 (en) 2021-12-22 2024-05-28 VMware LLC State sharing between smart NICs
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088796A (en) * 1998-08-06 2000-07-11 Cianfrocca; Francis Secure middleware and server control system for querying through a network firewall
US20050125532A1 (en) * 2000-05-26 2005-06-09 Gur Kimchi Traversing firewalls and nats
WO2002071717A2 (en) 2000-12-14 2002-09-12 Vocaltec Communications Ltd. Traversing firewalls and nats
US7028051B1 (en) 2000-09-29 2006-04-11 Ugs Corp. Method of real-time business collaboration
US7043644B2 (en) * 2001-01-31 2006-05-09 Qurio Holdings, Inc. Facilitating file access from firewall-protected nodes in a peer-to-peer network
US7117267B2 (en) * 2001-06-28 2006-10-03 Sun Microsystems, Inc. System and method for providing tunnel connections between entities in a messaging system
US7207061B2 (en) * 2001-08-31 2007-04-17 International Business Machines Corporation State machine for accessing a stealth firewall
US7620808B2 (en) 2003-06-19 2009-11-17 Nokia Corporation Security of a communication system

Also Published As

Publication number Publication date
EP1792468B1 (en) 2008-01-23
DE602006000489D1 (fi) 2008-03-13
US8332532B2 (en) 2012-12-11
DE602006000489T2 (de) 2009-01-22
NO20071396L (no) 2008-02-26
EP1792468A1 (en) 2007-06-06
ATE385121T1 (de) 2008-02-15
US20080028097A1 (en) 2008-01-31
FI20055295A (fi) 2006-12-08
NO337990B1 (no) 2016-07-18
WO2006131600A1 (en) 2006-12-14
ES2299169T3 (es) 2008-05-16
DK1792468T3 (da) 2008-05-26
FI20055295A0 (fi) 2005-06-07

Similar Documents

Publication Publication Date Title
FI119303B (fi) Liitettävyys tilatietoisten palomuurien välillä
US10616379B2 (en) Seamless mobility and session continuity with TCP mobility option
US7822970B2 (en) Method and apparatus for regulating access to a computer via a computer network
US7831715B2 (en) Communication system, communication method, and program
EP2461524B1 (en) Network proxy implementation method and apparatus
US20120054851A1 (en) Systems and methods for multiplexing network channels
WO2006041080A1 (ja) ファイアウォールシステム及びファイアウォール制御方法
EP3276891B1 (en) Techniques for establishing a communication connection between two network entities via different network flows
US20070011731A1 (en) Method, system & computer program product for discovering characteristics of middleboxes
US10367893B1 (en) Method and apparatus of performing peer-to-peer communication establishment
US20110047261A1 (en) Information communication apparatus, information communication method, and program
US20110289312A1 (en) Tcp communication scheme
US20070091872A1 (en) Peer-to-peer connection establishment
TW480856B (en) Device and method for communication over a network
US7564848B2 (en) Method for the establishing of connections in a communication system
EP2353258A1 (en) Client - server communications in mobile radio communications device
CN105743852B (zh) 通过http实现跨越网闸进行Socket保持连接通信的方法及系统
CN107454178B (zh) 数据传输方法及装置
CN113542395B (zh) 报文处理方法和报文处理系统
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
CN114401304A (zh) 一种基于ip的去中心化端到端连接通信系统
CN106657015B (zh) 基于sdn网络的数据传输方法
CN117675829A (zh) 资源共享方法、系统、设备及介质
CN118540390A (zh) 报文处理方法、操作系统、存储介质及计算机设备
CN115883256A (zh) 基于加密隧道的数据传输方法、装置及存储介质

Legal Events

Date Code Title Description
MM Patent lapsed