JP2001313679A - ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ - Google Patents

ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ

Info

Publication number
JP2001313679A
JP2001313679A JP2001059821A JP2001059821A JP2001313679A JP 2001313679 A JP2001313679 A JP 2001313679A JP 2001059821 A JP2001059821 A JP 2001059821A JP 2001059821 A JP2001059821 A JP 2001059821A JP 2001313679 A JP2001313679 A JP 2001313679A
Authority
JP
Japan
Prior art keywords
address
datagram
local
spi
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001059821A
Other languages
English (en)
Inventor
Israel Daniel Sultan
ダニエル シェルタン イスラエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nexland Inc
Original Assignee
Nexland Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nexland Inc filed Critical Nexland Inc
Publication of JP2001313679A publication Critical patent/JP2001313679A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 (修正有) 【課題】NATゲートウェイを用いて安全なVPNを設
定する。 【解決手段】ゲートウェイ20は、ローカル・エリア・
ネットワーク10から外部ネットワークへと移動するI
Pデータグラムに対して通常のネットワーク変換を提供
するが、IPSecプロトコル・モデルの一部であるI
SAKMP「ハンドシェイキング」プロトコルのような
特定のプロトコルのためにポートが予約される場合に
は、ソース・サービス・アドレス(ポート)変換を中断
する。ポートを変換しないネットワーク・インターフェ
ースを提供することにより、本ゲートウェイにより、ロ
ーカルIPアドレスを使用するローカル・エリア・ネッ
トワーク10とインターネット50上のサーバーとの間
で、IPSecプロトコルを使用して、確実な暗号化さ
れた伝送を開始し、かつこれを維持することが可能とな
る。

Description

【発明の詳細な説明】
【背景】伝送制御プロトコル/インターネット・プロト
コル(TCP/IP)を使用する仮想私設網(VPN)
は、通信媒体としてインターネットを使用して、リモー
ト・コンピューティング・サイト間における安全な高速
通信を可能とする。インターネットを介してサイト間を
通過する情報は、多様なセキュリティ手段により、望ま
ない盗聴者又は悪質なハッカーによる傍受から保護され
うる。有効なセキュリティ手段は、少なくとも、以下の
あらゆる保護を保証する機能が組込まれていなければな
らない。すなわち、通過中の不注意又は不当なデータ修
正に対するデータ保全、再送防止手段を利用したサービ
ス不能攻撃の予防、ソース認証、通過中のソース・アド
レス及びその他ヘッダー情報の機密保持及び望まない傍
受に対するパケット・ペイロードの保護である。インタ
ーネット・セキュリティを提供する1つの標準モデル
は、インターネット・プロトコル・セキュリティのパッ
ケージ(IPSec)である。IPSecは、インター
ネットに接続するか、それ自体インターネットに接続す
るプライベートLAN(ローカル・エリア・ネットワー
ク)に接続する装置間の確実な通信を提供するために、
TCP/IP通信プロトコルと共に作動する。TCP/I
P(伝送制御プロトコル/インターネット・プロトコ
ル)プロトコルのパッケージは、ネットワーク上の各装
置を識別するためにIPアドレスを使用する。グローバ
ルIPアドレスは、インターネット上の装置を独自に識
別する。かかる装置は、コンピュータ、プリンター、ル
ーター、スイッチ、ゲートウェイ又はその他ネットワー
ク装置であってもよい。グローバルIPアドレスを有す
る装置は、インターネット上のソース又は宛先として直
接参照されることがある。しかしながら、TCP/IP
通信プロトコルは、インターネットにのみ制限されるの
ではなく、プライベートLANにおいても使用すること
ができる。TCP/IPを使用するプライベートLAN
は、ネットワーク装置の「ローカル」IPアドレスを頻
繁に使用する。プライベートLAN上の2つの装置が同
一のローカルIPアドレスを共有することはできない
が、プライベートLANはインターネットから切り離さ
れ、かつLAN上のローカル装置はインターネットから
隠される。従って、ローカル装置のIPアドレスは、
「世界的」に単一でなくてよい。ローカルIPアドレス
を使用するLANは、ゲートウェイを介してインターネ
ットに接続される。ゲートウェイとは、LANとインタ
ーネットとの間でメッセージを通過させ、又はその経路
を指定する装置である。ゲートウェイは、インターネッ
トに直接接続され、かつインターネットにおいて管理さ
れているので、インターネット通信用に世界的に単一の
IPアドレスを有する必要がある。しかしながら、LA
Nはインターネットにより直接管理されていないので、
LAN上のローカル・マシンは世界的に単一なIPアド
レスを必要としない。TCP/IPは、インターネット
上で使用される通信プロトコルである。TCP/IPを
使用して通信される情報は、「データグラム」に含まれ
る。データグラムは、一もしくは複数のヘッダーが追加
される情報の個別の「パケット」により構成される。ヘ
ッダーは、指定された宛先にパケットを向け、かつ通過
中の適切な処理がなされることを保証するためにTCP
/IPが必要とする情報を有している。各データグラム
はそれぞれ、アドレス指定可能であり、かつコネクショ
ン型TCPデータグラム又は「コネクションレス型」U
DP(ユーザ・データグラム・プロトコル)データグラ
ムであってもよい。各UDPデータグラムには、IPヘ
ッダーとUDPヘッダーが含まれる。UDPヘッダーが
ソース及び宛先サービス・アドレス(ポート・アドレ
ス、番号で与えられる)を有するのに対し、IPヘッダ
ーは、少なくとも一つの「ソース」IPアドレスと一つ
の「宛先」IPアドレスを含む。IPv4において、I
Pアドレスは、32ビットであり、現在では一般的なxx
x.xxx.xxx.xxx形式を連想する。この形式において、3
つに区切れられたそれぞれは、0から255までの数字を
表す2進数の8ビットバイト(オクテット)である。完
全なIPアドレスは、論理ネットワーク又はネットワー
ク・セグメントのアドレスとネットワーク上の「ノー
ド」(装置)のアドレスとを結合させる。ネットワーク
又はネットワーク・セグメントのアドレスには、IPア
ドレスの最初の3桁、6桁又は9桁を含めることができ
る。ネットワーク又はネットワーク・セグメント上の装
置は、ネットワーク又はネットワーク・セグメントのア
ドレスに使用されなかった残りの桁数からなるノード・
アドレスによって識別される。UDPヘッダーに含まれ
るソース及び宛先サービス・アドレスは、16ビット数
であり、送信又は受信装置上で行われる指定処理にパケ
ットを向けるために使用される「ポート」又は「ソケッ
ト」として様々に知られている。本明細書中で使用され
る場合、「ポート」又は「ポート・アドレス」の用語
は、UDPヘッダー中のサービス・アドレス・フィール
ドをいう。理論上、16ビット数のアドレスと同数のポ
ートが存在するが、慣習的に、多くのポート・アドレス
が既定の処理のために予約されている。例えば、ポート
80は、HTTP用に予約されており、ポート20及び
21は、FTP用に予約されている。ポート・アドレス
の使用により、1以上の処理を実行するローカル・マシ
ンに届くデータは、指定された処理に向けられる。ロー
カル・ホスト上で作動する処理が、予約された処理の一
つでない場合、かかるローカル・ホストは、「ソース」
アドレスを識別するために予約されていないポート数の
プールからポート数を選択することができる。「宛先」
フィールドのかかるポート数を参照する返信パケット
は、処理に向けられる。この10年間のインターネット
の利用の爆発的な増加及び予測される将来的な成長によ
り、世界的な単一IPアドレスは希少資源となった。さ
らに、プライベートLANを維持する多くのビジネス
は、LAN上の各コンピュータ及び装置用に固有のグロ
ーバルIPアドレスを備える必要はほとんどない。かか
るビジネスの多くは、いかなる場合においても、自己の
コンピュータのIPアドレスを機密に保持することを好
む。各ローカル装置に固有のグローバルIPアドレスを
与えることによって限られたグローバル資源を無駄にす
るより、多くのプライベートLANは、LAN上の装置
ごとにローカルIPアドレスを利用する。インターネッ
トに接続するために、かかるLANは、LANをインタ
ーネットから引き離しているゲートウェイがインターネ
ット上で使用する世界的な単一アドレスを利用する。ネ
ットワーク・アドレス変換(NAT)技術の使用によ
り、インターネットからLANを引き離すゲートウェイ
装置は、ローカルIPアドレスを有するマシンがゲート
ウェイの単一グローバル・アドレスを介してインターネ
ットにアクセスできるようにする一方、ファイアウォー
ルのようなセキュリティを提供できる。LAN上の装置
は、静的ローカルIPアドレス又はログ・オンの際に動
的に割当てられたローカルIPアドレスを有することが
できる。ゲートウェイは、LAN上の各装置ごとのロー
カルIPアドレスを有する変換テーブルを維持する。ロ
ーカル・マシンから送られ、かつインターネット用のU
DPパケットは、IPヘッダー及びUDPヘッダーのそ
れぞれのソース・フィールドにおいて認識されたローカ
ルIPアドレス及びポート・アドレスを有する。ゲート
ウェイは、ローカル・マシンからパケットを受信し、そ
の外部の単一グローバルIPアドレス及び新しいポート
・アドレス(未使用の予約されてないポート・アドレス
から選択される)をIPヘッダー及びUDPヘッダーの
ソース・フィールドに代入する。次に、ゲートウェイ
は、CRC(周期冗長検査)を更新し、かつその他デー
タの完全性を保証するために必要な変更を行い、さらに
インターネットにパケットを送信する。処理の一部とし
て、ゲートウェイは、マシンにより最初に報告されたソ
ース・ポート・アドレス、インターネット接続パケット
に割当てられた新しいソース・ポート・アドレス及び宛
先IPアドレスとローカル・マシンのIPアドレスを相
互参照するためにその内部変換テーブルを更新する。イ
ンターネットからの返信を受信する際、ゲートウェイ
は、パケット・ヘッダーの自己のIPアドレスを認識
し、かつ入力パケットの宛先ポート・アドレスを調べ
る。ゲートウェイは、その内部テーブルに宛先ポート・
アドレスを見つけると、相互参照されたローカル・マシ
ンのIPアドレス及びオリジナル・ポート・アドレスを
パケットの宛先フィールドに代入し、CRC及びその他
必要なパラメータを更新し、さらにLANにパケットを
送る。かかる時点において、パケットは、ローカル・マ
シンにより受信され、かつ適切な処理に向けられる。こ
の方法において、ローカルIPアドレスのみを有するL
AN上の多くのコンピュータは、単一のグローバルIP
アドレスを介して、インターネット経由で通信すること
ができる。NATゲートウェイは、インターネットから
LANへの直接的なアクセスに対してファイアウォール
・セキュリティを提供するけれども、インターネット通
過中におけるLAN用に指定されたパケットの傍受又は
変更に対するセキュリティは提供せず、さらにLAN内
で発生する問題に対する「信頼性」を保証しない。さら
に、IPSecにより提供されるセキュリティは、イン
ターネットとインターフェースする間にセキュリティを
維持しなければならない、LANに対する必要な保護で
ある。IPSecの共通のインプリメンテーションは、
少なくとも一つのメイン・コンピューティング・サイト
及び一もしくは複数のリモートLANから成るVPNに
対してセキュリティを提供することである。メイン・サ
イトとリモートLANは、かなり高価な個人専用回線の
代わりにサイト間で通信を行う高速媒体を使用してイン
ターネットを介して接続される。しかしながら、伝送媒
体としてインターネットを使用することにおける不利な
点は、インターネットが本質的に不確かなものであり、
詮索、検出、「いたずら」又は最終的な窃盗、ハッカー
によるメッセージの変更あるいは転送に対して固有の保
護をほとんど、又は全く行わない。従って、確実なデー
タ伝送を望む場合には、完全なセキュリティ手段が必要
である。IPSecプロトコルは、データ認証及びデー
タの完全性を保証するためのセキュリティ手段を実行す
る。IPSecプロトコルのパッケージは、多層OSI
(開放型システム間相互接続)ネットワーク参照モデル
のネットワーク層においてセキュリティを実行する。か
かるパッケージには、インターネットを通じて情報を運
ぶUDPデータグラムのセキュリティを保証するために
互いに関連して使用される多くの個別のプロトコルが含
まれる。IPSec対応システムの基本構造は、RFC
2401の「インターネット・プロトコルのセキュリテ
ィ構造」S.Kent及びR.Atkinson(19
98年11月)において説明される。AH(認証ヘッダ
ー)プロトコルは、データの完全性、ソース認証を保証
し、サービス不能攻撃を阻止するための「再送防止」手
段を組込む。ESP(密閉セキュリティ・ペイロード)
プロトコルは、AHに類似の保護を提供するが、ペイロ
ード暗号化という補助的特徴を追加する。AHヘッダー
及びESPヘッダーは両方とも、セキュリティ・パラメ
ータ・インデックス(SPI)用のフィールドを有す
る。SPIとは、データグラム用のセキュリティ・アソ
シエーション(SA)を識別するために用いられる32
ビットの擬似ランダム値である。さらに、これらのプロ
トコルに関する情報は、RFC1826のR.Atki
nson(1995年8月)による「IP認証ヘッダ
ー」及びRFC2506のS.Kent及びR.Atk
inson(1998年11月)による「IP隠蔽セキ
ュリティ・ペイロード(ESP)」において確認でき
る。ISAKMP/Oakley(インターネット・セ
キュリティ・アソシエーション・アンド・キー・マネー
ジネント・プロトコル、さらに一般的にインターネット
・キー・エクスチェンジ(IKE)という)は、2つの
ホスト間の確実なセッション用のパラメータを設置し、
さらに確実なセッションを実行し、かつ暗号化されたデ
ータの伝送を可能とするために使用されるキーの設定及
びその他セキュリティ情報の交換を提供するハンドシェ
イキング・プロトコルである。ISAKMP/Oakl
eyプロトコル(以下、単にISAKMPという)は、
認証を確立し、かつデータ暗号化用の安全キーを生じさ
せることが可能な初期設定データを2つのマシンに提供
するために暗号化されていないメッセージを初期交換す
る必要がある。かかる処理の説明については、RFC2
409のD.Harkins及びD.Carrel(1
998年11月)による「インターネット・キー交換」
において確認できる。セキュリティ・パラメータがホス
ト間のセキュリティ・アソシエーション(SA)が交換
されたことを十分に確証した時点で、全てのその後の伝
送は、合意されたプロトコルにしたがって暗号化され、
かつ完全に認証される。かかる点において、ISAKM
Pプロトコルは終了する。その後のアドレス指定につい
ては、各マシンごとのIPアドレス及びかかるセッショ
ンのマシンのSPIに基づいて行われる。SPIはセッ
ション中の各マシンに固有のものである。プライベート
LANのゲートウェイは内部テーブルを維持する。かか
る内部テーブルにおいて、「SPI内」値はローカル・
マシンのIPアドレスと相互参照され、かつ「SPI
外」値は、ローカル・マシンと通信しているインターネ
ット上のマシンのIPアドレスと相互参照される。各マ
シンごとのSPIは、ISAKMP伝送中に交換された
情報により算出され、UDPパケットに追加されるAH
又はESPヘッダーに送られる。IPSecプロトコル
は、様々な環境においてセキュリティを提供するために
組込まれることがあるので、単一データグラムは、AH
ヘッダー及びESPヘッダーの両方を含み、かつヘッダ
ー情報を暗号化することができる。前記セキュリティ・
プロトコルはそれぞれ、パケット上に新しいヘッダー情
報を配置し、使用されるプロトコルに適合するようパケ
ット内の特定のフィールドを変更し、かつ場合により、
ペイロード及びその他のパケット・ヘッダーの全てもし
くは一部を暗号化することにより、UDPパケットを変
更する。このように、IPSecの下に、UDPデータ
グラムが信頼できないネットワークを通過中に「セキュ
ア」ドメインを離れる場合には、UDPデータグラムは
通常、IPヘッダー、AHヘッダー又はESPヘッダー
(もしくはその両方)及び暗号化されたペイロードから
構成される。ヘッダー情報には、データグラムがその宛
先に届き、かつ宛先ホストに認証されうることを保証す
るための宛先アドレス、SPI及び十分なSA情報が含
まれる。ぺイロードの暗号化により、ペイロード内に含
まれる情報が、望まない盗聴者及びハッカーを受入れな
いことが保証される。データグラムの最初の宛先ホスト
は、LANとインターネット間のルーター、ゲートウェ
イ又はファイアウォールであってもよい。LANとイン
ターネット間の境界線上の装置に到達した際に、データ
グラムを開き、調べ、又は全体的、もしくは部分的にこ
れを暗号化し、さらにアドレス情報を解析して、LAN
上のローカルIPアドレスへのルーティングを行うこと
ができる。IPSecで使用されるISAKMPハンド
シェイキング・プロトコルにより、セキュア セッショ
ンを設定するとされる2つのホストは、最初のメッセー
ジ交換のために処理特定ポート・アドレス(ポート50
0)を使用することが要求される。そのため、ポート5
00は、ISAKMPプロトコルと独占的に使用するた
めに割当てられている。従来、ISAKMPプロトコル
を利用してセキュア通信パラメータを処理しようとする
コンピュータは、各コンピュータのポート500を通じ
て正確に通信しなければならない。すなわち、一方のコ
ンピュータからのISAKMPメッセージは、ソース・
ポート・アドレスと宛先ポート・アドレスの両方のアド
レスとしてポート500を特定しなければならない。一
方のコンピュータがソース・ポート・アドレスと宛先ポ
ート・アドレスの両方のアドレスとしてポート500が
特定されていないパケットを受信する場合、かかるパケ
ットは破棄される。当該プロトコルは、2つのホストが
互いに通信していることを保証する一方、1つのホスト
がローカルIPアドレスとNATゲートウェイを使用す
るLAN上に設置される場合には実行不可能となる。例
えば、NATゲートウェイにより保護されるリモートL
AN上にローカルIPアドレスを有するホストAが、本
社のコンピューティング・サイトに設置されたホストB
とのセキュア・セッションの設定を望む。ホストAは、
ホストBのIPアドレスとして「宛先」を、かつ「ポー
ト500」として宛先ポート・アドレスを与えて、ホス
トBに暗号化されていないUDPデータグラムを送信す
ることによりプロトコルを開始する。しかしながら、デ
ータグラムが、リモートLANをインターネットに接続
するNATゲートウェイに到達した場合、ゲートウェイ
は宛先ポートアドレスを任意のポート数に変換する。ホ
ストBにデータグラムが到達した際、ISAKMPプロ
トコルは、認識されず、かつホストBは返信しない。コ
ンピュータは、セキュア・セッションを設定しない。こ
のように困難なため、これまで、リモートLAN上の各
コンピュータがグローバルIPアドレスよりもローカル
IPアドレスを使用するNATゲートウェイを使用して
VPNを設定するためにISAKMPプロトコルを使用
することはできないと考えられてきた。従って、本発明
の目的は、伝送媒体としてインターネットを使用し、非
グローバルIPアドレスを持つコンピュータとホスト・
コンピュータとの間のISAKMPプロトコル認証の使
用及びキー変換を可能とするゲートウェイを提供するこ
とである。さらに、本発明の目的は、ローカルIPアド
レスを使用するプライベートLAN上の複数のコンピュ
ータが、ISAKMPプロトコルを使用してインターネ
ット経由でメッセージを開始、又は受信するできるよう
なゲートウェイを提供することである。又、本発明の目
的は、セキュア通信を開始するためにISAKMPプロ
トコルを使用して、インターネット上の2つ以上のLA
Nサイト間の仮想私設網を利用する方法を提供すること
である。本発明のこれらの、かつその他の目的について
は、以下に詳述される。
【発明の概要】本発明に基づき、NATゲートウェイを
通じて、インターネットのような外部ネットワークに接
続されるリモートLAN上のローカルIPアドレスを使
用するコンピュータは、キーを変換し、かつIPSec
に基づくセキュア・セッションをサポートするSAを設
定するためにISAKMPプロトコルを使用する。非I
SAKMPの通信量のために、ゲートウェイは通常のア
ドレス変換を行う。しかしながら、LAN上のマシンが
ISAKMPプロトコルのメッセージを発する時はいつ
も、ゲートウェイはポート500のポート・アドレスを
含むデータグラムを識別する。かかるデータグラムに直
面した際、ゲートウェイは、ソースIPアドレスを変換
するが、ソース・ポート・アドレスは変換せず、これを
ポート500のままに残す。さらにソース・ポート・ア
ドレスと宛先ポート・アドレスの両方に指定されたポー
ト500を介してインターネットにパケットを送る。さ
らにゲートウェイは、ポート500をローカルIPアド
レスに「結合」し、かつ所定時間中、かかる結合を宛先
マシンの外部IPアドレスと関連づけるために内部テー
ブルを更新する。所定時間内に有効な返信を受信しない
場合、ポート500とローカルIPアドレスとの間の
「結合」は解除される。この特徴は、例えば、ISAK
MPプロトコルが誤った宛先IPアドレスに伝送され始
めた場合に、ポート500と無制限に結合しないことを
保証するために必要である。かかる状況の下では、ゲー
トウェイは、有効な返信を受信しない。有効な返信が受
信されない期間終了後、ポート500を解放するタイマ
ーが存在しない場合、ゲートウェイがリセットされるま
で、ポートは、ローカルIPアドレスと結合したままで
いる。ほとんどの場合、有効な返信の待機中にポート5
00とローカルIPアドレスを結合させておくには2秒
で十分である。ポート500がローカルIPアドレスと
結合している間、ゲートウェイは、有効な返信を待機し
ながら、ポート500ポート・アドレスを有しないデー
タグラムの通常のデータグラム処理を続ける。有効な返
信とは、ポート500と対応づけられる外部IPアドレ
スと同一のソースIPアドレスを有するデータグラムで
あり、ポート500としてソース・ポート・アドレスと
宛先ポート・アドレスの両方のアドレスを有する。有効
な返信を待機しながら、ゲートウェイは、ポート500
のソース・ポート・アドレス及び宛先ポート・アドレス
を有するが、適切なソースIPアドレスを有しない外部ネ
ットワークからの他のUDPデータグラムを無視する。
さらに、ポート500がローカルIPアドレスと結合し
ている間、ポート500のソース・ポート・アドレスと
宛先ポート・アドレスを有するLANから受信したデー
タグラムは、「通常の」アドレス変換を行い、ポート5
00のソース・ポート・アドレスは、外部ネットワーク
への送信前に、任意の使用されていないポート・アドレ
スに変換される。かかるデータグラムは、ポート500
のソース・ポート・アドレスと宛先ポート・アドレスの
両方を有しているわけでないので、有効なISAKMP
データグラムではなく、かつそのIP宛先に到達した時
点で無視される。ゲートウェイが有効なデータグラムを
受信することなく、ポート500をローカルIPアドレ
スに結合する時間が満了となった場合、かかる結合は解
除され、ポート500は、ポート500のソース・ポー
ト・アドレスと宛先ポート・アドレスを有する次のデー
タグラムによって利用可能となる。ポート500が結合
されている間、ポート500のソース・ポート・アドレ
ス及び宛先ポートアドレス並びに適切なソースIPアド
レスを有する有効な返信データグラムを受信する際、ゲ
ートウェイは、ローカル・マシンのIPアドレスをデー
タグラム・ヘッダーの宛先IPアドレス・フィールドに
代入することによりデータグラムを処理し、その後ロー
カル・マシンへの引渡用のLANにデータグラムを通過
させる。データグラムがゲートウェイを離れると、ゲー
トウェイは、ローカルIPアドレスとポート500との
結合を解除し、通常のデータグラム処理を再開する。適
切なソースIPアドレス及びポート500のポート・ア
ドレスを有する返信を外部ネットワークから受信しない
場合、ゲートウェイは、短い所定時間後に時間切れとな
る。有効な返信を受信する前に、ゲートウェイを時間切
れとしなければならない場合、ISAKMPのメッセー
ジ交換を実行することはできず、これを再開しなければ
ならない。ISAKMPプロトコルが実行され、暗号化
されたセキュア・セッションが行われると、ゲートウェ
イは、入力及び出力データグラムのESPヘッダーのS
PIを参照してローカル・アドレス変換を行う。さらに
ゲートウェイは、各パケット・タイプ(ESPパケット
にはタイプ50)が、ゲートウェイを通過するデータグ
ラムに適切なものであることを保証する。一般的に、V
PNを通じたセキュア・セッションは中断されるか、新
たなセッションが開始される。本発明のゲートウェイの
最初の指示は、IPアドレスが認識されるが、宛先と関
連するSPIが内部テーブルに現われない、タイプ50
のデータグラムを受領することである。かかる受領が行
われる場合、ゲートウェイは、新しいSPIを使用して
宛先IPアドレスにデータグラムを送り、さらにゲート
ウェイのテーブルの宛先SPI値(伝送方向に応じてS
PI内値又はSPI外値とする)を新しい値に設定し、
かつソースのSPI値をゼロに設定する。伝送に対する
返信を受領した際、ゲートウェイは、SPIフィールド
・テーブルのゼロ値を宛先IPアドレス用に新しいSP
Iと置換える。本発明のゲートウェイはメッセージを暗
号化したり、解読するものではなく、単に受信マシンに
て処理するためにLANもしくはインターネットにペイ
ロード(暗号化又は解読されていてもよい)を通過させ
るので、集約的な処理機能を必要とせず、セットアップ
及び保守の経費並びに簡潔性を考慮したプライベートL
ANに使用することができる。本発明の目的及び利益に
ついては、添付の図面に関連して取上げられる好適実施
例の詳細な説明においてさらに確かめることができる。
【発明の実施の形態】図面の詳細な説明図1は、プライ
ベート・ローカル・エリア・ネットワーク(LAN)10
が、インターネット50に設置されたコンピューティング
・サイト30に接続されている仮想私設網(VPN)を示
している。LAN10は、ローカルIPアドレスを使用
し、かつ本発明のネットワーク・アドレス変換(NA
T)ゲートウェイ20を通じてインターネットに接続され
る。コンピューティング・サイト30は、事業本部、多国
籍企業により使用されるプライベートLANのうちのい
ずれか1つ、教育施設又はその他遠隔地から頻繁にアク
セスされるサイトであってもよい。かかるサイトは、通
常、暗号化及びその他セキュリティ・アプリケーション
の実行可能なファイアウォール又はゲートウェイ35を備
える。かかるゲートウェイは、パケットを開放し、その
コンテンツを解読又はアクセスし、かつアドレス変換、
ルーティング、開示及びデータ操作機能を行うことがで
きる。かかる装置はISAKMP及びその他IPSecプ
ロトコルを支援できるが、パケットを開放、かつ暗号化
し、データを操作することにより当該支援を行い、かつ
概して高価かつ強力なのでメイン・コンピューティング
・サイトによりVPNを設置しなければならないリモー
トLANサイトにて有効に利用することはできない。メ
イン・サイトのサーバー40は、VPNサーバー・ソフト
ウェアを実行する。リモート・サイトのコンピューター
15はそれぞれ、各コンピューター上のIPSecセキュ
リティ・プロトコルを実現する適切なVPNクライアン
ト・ソフトウェアを実行する。LAN10上のコンピュー
ター15は、コンピューティング・サイト30のサーバー40
にIPデータグラムを送信することによりゲートウェイ
20を介してインターネット上で、又はインターネットを
通じて装置と通信を行う。ゲートウェイ20で受信される
データグラムは、図2及び図3に示される決定図の通り
に処理される。図2及び図3のフローチャートは、処理
工程とかかる工程の順序を示しているが、機能について
はその実行順序が重要でないものもあり、かつかかる工
程については、最終的な結果に影響を及ぼさずに、フロ
ーチャートに示される以外の順序によって行われること
もある。例えば、図2及び図3によると、ゲートウェイ
によりデータグラムが受信された後の最初の工程は、デ
ータグラムの型を決定することであり、最終工程は、デ
ータグラムがゲートウェイを通過する前に必要とされる
IPアドレス変換を行うことである。しかしながら、い
くつかの実施例においては、処理のある時点より前にア
ドレス変換の工程を設定でき、これは処理の結果に影響
を及ぼさない。IPアドレスを変換する順序は、全体的
な処理に重要ではないので、かかる変換を行う時期を決
定することは、技術上の選択事項である。図2に示され
る通り、LANからデータグラムを受信する際、ゲート
ウェイは、データグラムが暗号化されているか否かを確
認する。これは、ゲートウェイが処理しているデータグ
ラムの型を決定し、かつデータグラムが暗号化されてい
るか否かを調べるためのIPヘッダーの「次のヘッダ
ー」フィールドを確認することにより行われる。50のデ
ータグラムの型(ESP)は、データグラムが暗号化さ
れ、かつポート・アドレス情報が利用不可能であるかも
しれないことを示す。さらに図2の決定樹によると、デ
ータグラムが暗号化された場合、ゲートウェイは、デー
タグラムのSPIがゲートウェイの内部テーブルのSP
I外値フィールドに現われるかを確認するために、かか
るデータグラムのSPIを確認する。かかるテーブルの
代表的なフィールドについては、図5a乃至図5cに示
す。データグラムのSPIが、内部テーブルのSPI外
値フィールドで検出される場合、ゲートウェイは、ゲー
トウェイの外部IPアドレスとなるようデータグラムの
ソースIPアドレスを変更し、外部装置への引渡のため
にデータグラムを外部ネットワークへ送信する。データ
グラムが暗号化されるが、SPIがゲートウェイの内部
テーブルに現われない場合、図2の決定図に従い、ゲー
トウェイは、データグラムが新たなセッションを開始し
ていると仮定する。この場合、ゲートウェイは、ゲート
ウェイの内部テーブルのSPI内値フィールドをゼロに
設定し、SPI外値をデータグラムからの新たなSPI
に設定する。このような内部テーブルの変更は、図5a
及び図5bに示されている。かかる変更において、図5
aのゲートウェイの内部テーブルのSPI外値フィール
ドに現われなかった「新しい」SPI(「1466
2」)は、図5bにおいてSPI外値フィールドに記入
され、かつSPI内値は、図5bにおいてゼロに設定さ
れていたとして示されている。暗号化されたデータグラ
ムは、その後ソースIPアドレスがローカル装置のソー
スIPアドレスからゲートウェイの外部IPアドレスに
変換された後、外部ゲートウェイに送信される。これら
の工程については、図5b及び図5cに示される。さら
に図2の決定樹によると、データグラムが暗号化されな
い場合、ゲートウェイは次にデータグラムの宛先ポート
・アドレスを確認する。ポート・アドレスがポート500
でない場合、ゲートウェイは、ソース・ポート・アドレ
スをゲートウェイの内部テーブルに入力し、(ローカ
ル)ソースIPアドレスと相互参照し、さらにIPヘッ
ダーのソース・ポート・アドレス・フィールド内に任意
の使用されていないポート・アドレスを代入する。さら
に、ゲートウェイは、ゲートウェイの内部テーブルに新
しいポート・アドレスを入力し、再度(ローカル)ソー
スIPアドレスと相互参照を行う。本処理は、ポート・
アドレスとしてポート500を有しない、暗号化されてい
ないデータグラム用に利用されるものであり、LAN上
で発するデータグラム用の「通常のアドレス変換」とし
て言及される。かかる変換については、図6の列1及び
列2に示される。その後データグラムは、宛先IPアド
レスに経路を指定してインターネットに発信される。図
2において、入力データグラムのソース・ポート・アド
レス及び宛先ポート・アドレスがポート500である場
合、ゲートウェイはさらに、ポート500が既にIPアド
レスと結合しているかを確認するために、ゲートウェイ
のテーブルを確認しなければならない。ポート500が解
放されている場合、ゲートウェイは、データグラムの
(ローカル)IPアドレスにポート500を「結合し」、ポ
ートと(外部)宛先IPアドレスを関連づけ、かつ内部
タイマーを始動するシグナルを送る。さらにゲートウェ
イは、ゲートウェイの外部IPアドレスをソースIPア
ドレス・フィールドのローカルIPアドレスに置換する
ことによりデータグラムを処理する。しかしながら、ゲ
ートウェイはソース・ポート・アドレスを変換しない。
「通常」のソース・ポート・アドレスの変換を中断する
ことにより、ゲートウェイは、ターゲット・マシンがか
かるデータグラムをISAKMPデータグラムであると
認識できることを保証する。本工程は、図6の列5及び
列6にも示される。図2において、LANからの入力デ
ータグラムが、ポート500のソース及び宛先ポート・
アドレスを有するが、ポート500が既に他のローカル
・ポート・アドレスと結合している場合、ゲートウェイ
は、かかる時点で処理されているメッセージのためにポ
ート500を結合することはできない。このような場
合、ゲートウェイは、ISAKMPデータグラムでない
かのように、かかるデータグラムを「通常に」処理す
る。すなわち、ゲートウェイは、データグラムのソース
・ポート・アドレスを任意の数に変換し、さらにソース
IPアドレスをゲートウェイの外部IPアドレスのアド
レスとなるように変換する。さらにゲートウェイは、イ
ンターネットにデータグラムを送信するが、ここでかか
るデータグラムはISAKMPデータグラムと一致しな
いので、ターゲットにより拒否される。本事象は、図7
の列15及び列16に示される。図3において、決定図は、
ゲートウェイが次にインターネットから受信したデータ
グラムを処理する工程を示す。データグラムを受信した
際、ゲートウェイはまずその型を確認し、データグラム
が暗号化されている場合は、SPIが内部テーブルに現
われているかを確認する。SPIが認識されると、その
宛先IPアドレスは、ローカル装置のIPアドレスとな
るように変換され、さらにデータグラムはローカル装置
への引渡のためにLANへと通過する。SPIが認識さ
れない場合、ゲートウェイは次に、データグラムのソー
スIPアドレスに対応するSPI内値フィールドがゼロ
であるかを確認する。SPI内値がゼロである場合、ゲ
ートウェイは、データグラムが新たなセッションの最初
の返信であると仮定し、SPI内値フィールドのゼロを
データグラムのSPIに置換する。そしてゲートウェイ
は、宛先IPアドレスをLAN上の装置のローカルIP
アドレスに変換し、引渡用のLANにデータグラムを送
信する。かかる事象については、図5b及び図5cに示
す。図5bにおいて、ローカル・マシンL-1のSPI
内値は、ゼロに設定されている。ゲートウェイがインタ
ーネットから3288のSPIを有するデータグラムを受信
した際、ゲートウェイは、かかるSPIをSPI内値フ
ィールドに見出さない。ゲートウェイは次に、SPI内
値フィールドがゼロ値を有しているかを確認する。ロー
カル・マシンL−1のSPI内値がゼロであることが判
明した場合、ゲートウェイは、ゼロ値をデータグラムの
SPI(「3288」)に置換し、LANへデータグラ
ムを送る。これについては図5cに示される。図3にお
いて、インターネットからのデータグラムが暗号化され
ない場合、ゲートウェイはデータグラムが500のポー
ト・アドレスを有するかを確認する。データグラムが50
0のポート・アドレスを有しない場合、かかるデータグ
ラムは、外部ネットワークのデータグラム用の「通常」
アドレス変換が行われる。これは、LAN上の装置のロ
ーカル・ポート・アドレスとローカルIPアドレスがデ
ータグラムの宛先フィールドに代入され、データグラム
は、引渡用のLANに送信されることを意味している。
インターネットからのデータグラムのこの「通常の」ア
ドレス変換については、図6の列3及び列4に示され
る。再度図3において、データグラムが500のポート
・アドレスを有する場合、ゲートウェイは次に、ポート
500がローカルIPアドレスと結合し、かつデータグ
ラムの(外部)ソースIPアドレスと関連づけられてい
るかを確認しなければならない。結合され、関連づけら
れている場合、データグラムは有効であり、宛先IPア
ドレスが外部ゲートウェイのIPアドレスからローカル
装置のIPアドレスへと変換された後、LANへ通過す
る。LANにデータグラムを通過させる際、ゲートウェ
イはポート500を解放する。本事象については、図6
の列7及び列8に示される。図3において、ポート50
0がローカルIPアドレスと結合し、データグラムのソ
ースIPアドレス中で見つけられる以外の外部IPアド
レスと関連づけられる場合、データグラムは無効であ
り、ゲートウェイによる処理は、これ以上行われない。
本事象については、図7列25乃至列31に示される。
列25及び列26において、ローカル・マシンL−1
は、ターゲットT−1にISAKMPデータグラムを送
信する。かかる時点において、ポート500は、ローカ
ル・マシンL−1のIPアドレスと結合し、ターゲット
T−1のIPアドレスと関連づけられる。しかしなが
ら、図7の通り、タイマーは、T−1からゲートウェイ
にて返信を受ける前に時間切れとなり、列27におい
て、ポート500は解放される。列28及び列29にお
いて、ローカル・マシンL−3は、ポート500をL−
3のIPアドレスに結合し、かつT−3のIPアドレス
と関連づけた、ターゲットT−3にISAKMPデータ
グラムを送信する。ポート500を結合する間に、返信
をT−1から受ける。しかしながら、ポート500はT
−3のIPアドレスと結合し、かつ関連づけられるの
で、T−1からの返信は破棄される。これについては、
図7の列30及び列31に示される。図5a乃至図5c
においては、ローカル・コンピューターとインターネッ
ト上のターゲットとの間の暗号化された通信用のIPア
ドレス及びSPI数が維持されている内部テーブルを示
す。参照を簡単にするために「L−1」「L−2」「L
−x」及び「T−1」乃至「T−3」用のフィールドが
参照を簡単にするために記載されており、ゲートウェイ
の内部テーブルには現われない。図5においては、「S
PI外値」のフィールドには、LAN上の特定のコンピ
ュータとのセキュア・セッション中の各ターゲット・マ
シンごとのSPIが記載されている。「SPI内値」フ
ィールドには、ローカル・コンピュータ向けの有効なデ
ータグラムを表すものとしてローカル・コンピュータに
よって認識される対応するSPIが示されている。図5
aにおいては、開始時のテーブルが示されている。8台
のローカル・コンピュータは、テーブルのデータの期間
中、T−1乃至T−3までの3つのターゲットとの暗号
化セッションに関与している。これは、各ローカル・マ
シンが、IPアドレスに関連づけられたSPI内値を示
すという事実により示される。テーブルには3つのター
ゲットのみが示されているが、各ターゲットが、各ロー
カル・マシンとの通信用に異なるSPI外値を使用して
いることに注目できる。この方法においては、暗号化さ
れたデータグラムが発生するソースからターゲットを認
識する。図5bは、図5aと同一のローカル・コンピュ
ータ及びターゲット・コンピュータを示す。しかしなが
ら、L−1とT−1の間のセッションのSPI外値は新
しいSPIであり、コンピューター間の新たなセッショ
ンを示している。ゲートウェイが、テーブルに記載され
ていないSPI「14662」を有するLANから暗号
化されたデータグラムを受信したことにより、新たなセ
ッションが行われていることが初めて示される。ゲート
ウェイはインターネットにデータグラムを送信するが、
さらにかかるデータグラムのソースIPアドレス及び宛
先IPアドレスと関連するSPI外値フィールドの新た
なSPIを設定するためにテーブルを変更する。さらに
ゲートウェイは、新たなSPI内値も期待されることを
示すためにマーカーとしてSPI内値フィールドをゼロ
に設定する。図5cは、新たなSPI「3288」がT−1
から受信したデータグラムに含まれていたことを示す。
このSPIは、ゲートウェイのSPI内値フィールドに
入力されており、さらにかかるセッション中のL−1と
T−1との間の通信において、そのメッセージを認証す
るためにそのSPI値が使用される。図6は、インター
ネット上のリモート・ターゲットと通信を行っているL
AN上の単一コンピューターによる、本発明のゲートウ
ェイを通じた代表的なデータグラムの流れを示す。チャ
ートの各列は、ゲートウェイとのLANインターフェー
ス又はゲートウェイとのインターネット・インターフェ
ースのいずれかにおけるデータグラム中の情報を表す。
連続的な列により、データが一方からゲートウェイに入
り、他方からゲートウェイを離れることが示される。ゲ
ートウェイは、LANとのインターフェースのローカル
IPアドレス及びインターネットとのインターフェース
のグローバルIPアドレスであってもよい、1つのIP
アドレスを有する。図6の欄には、データグラムが通過
しているゲートウェイの側面、データグラムの型、デー
タグラムのソースIPアドレス及びポート・アドレス、
データグラムの宛先IPアドレス及びポート・アドレス
並びにESP(密閉セキュリティ・ペイロード)プロト
コルを使用して、型50の暗号化されたデータグラムに対
するデータグラムのセキュリティ・パラメータ・インデ
ックス(SPI)が示される。図6の列1は、ゲートウ
ェイのローカル・インターフェースに届き、かつローカ
ル・コンピュータL−1に対応するソースIPアドレス
及びインターネットT−1上のターゲットの宛先IPア
ドレスを有するUDPデータグラムを示す。分かりやす
くするため、図4に、ローカル指定L−1乃至L−3と
ターゲット指定T−1乃至T−3を相互参照したIPア
ドレスのテーブルを示す。L−1のソース・ポート・ア
ドレスは、ポート6404であり、ターゲットの宛先ポ
ートは、ポート80である。データグラムは暗号化され
ず、かつ500のポート数を表示しないので、「任意」
ポート・アドレスであるポート10425がソース・ポ
ート・アドレス・フィールドに代入され、かつゲートウ
ェイの外部IPアドレスがデータグラムのソースIPア
ドレスの代わりとなる、通常の変換が行われる。変換さ
れたソース・ポート・アドレスは、「任意」であるとさ
れるが、通常、ゲートウェイが維持する、予約されず、
かつ現時点で使用されていないポート・アドレスのプー
ルの順番に変換される。データグラムがゲートウェイを
離れる場合、図6列2に示される通り、ゲートウェイの
アドレス変換機能により、ゲートウェイの外部IPアド
レスがソースIPアドレスのデータグラム・ヘッダーに
代入され、ソース・ポートに任意の数が与えられてい
る。列3及び列4には、ターゲットからの返信データグ
ラムが示される。列3において、ターゲットからのUD
Pデータグラムは、ゲートウェイの外部IPアドレスと
なるような宛先IPアドレス及びゲートウェイにより任
意に割当てられるポート・アドレスとなるような宛先ポ
ートが示される。データグラムは暗号化されず、かつ5
00のポート・アドレスを有しないので、宛先ポート・
アドレス及びIPアドレスの通常の変換を行われ、その
後LANへ送信される。列4において、ゲートウェイ
は、データグラムをLANへ送信する前に、ヘッダーの
宛先フィールドのローカル・コンピュータのローカルI
Pアドレス及びポート・アドレスを交換している。図6
の列5において、ローカル・コンピュータは、ターゲッ
トによりISAKMPプロトコルを開始する。データグ
ラムの型は、ISAKMPとして示される。ソース・ポ
ート・アドレス及び宛先ポート・アドレスは両方ともポ
ート500である。ゲートウェイにより、宛先ポート・
アドレスがポート500であると決定される場合、ゲー
トウェイはポート500が現時点において何らかのIP
アドレスと結合しているかを確認する。ポート500は
IPアドレスと結合していないので、ゲートウェイは、
ゲートウェイの外部IPアドレスを示すためにソースI
Pアドレス・フィールドのみを変換し、ソース・ポート
・アドレスを変換せずにデータグラムを通過させる。図
6の列5乃至列16においては、6つの標準SAKMP
「ハンドシェイキング」データグラムが、完全に暗号化
され、かつ認識されたデータグラムをサポートするため
のSA(セキュリティ・アソシエーション)の確立に必
要な交換を行うことを示す。ISAKMPの形態におい
てはは、ほとんど交換を行わないものもあるが、主要形
態については、図6に示す。SAを確立後、ローカル・
コンピュータとターゲットは、ESPプロトコルを使用
して暗号化されたデータグラムの通信を開始する。ここ
で、データグラムのヘッダーのSPIフィールドにおけ
るセキュリティ・パラメータ・インデックス−SPI数
を使用することにより、データグラムの有効性が維持さ
れる。各ホストは、そのSPIに「アドレス指定され
た」データグラムを認識する。かかるデータグラムにつ
いては、継続的にセキュリティを保証するために必要な
場合、ホスト間の相互の合意によりセッション中これを
変更することができる。暗号化されたデータグラムがゲ
ートウェイを通過する時、図6列17及び列18に示さ
れる通り、データグラムのソースIPアドレスは、ゲー
トウェイの外部IPアドレスとなるよう変換されるが、
ソース及び宛先SPIは、ゲートウェイにより変更され
ない。このように、暗号化されたデータグラムは、ゲー
トウェイに受信される時、型50のデータグラム(ES
P)によって示される。かかるデータグラムの型と出会
う時点で、ゲートウェイは、その内部テーブルに記録さ
れているかを確認するためにデータグラムのセキュリテ
ィ・パラメータ・インデックス(SPI)を確認する。
かかるSPIが記録されている場合、ゲートウェイは、
データグラムのソースIPアドレス又は宛先IPアドレ
スを適切に変換し、送信方向に依存して、データグラム
をLAN又はインターネットに送信する。しかしなが
ら、LANからのデータグラムのSPIがゲートウェイ
の内部テーブルに現われず、ソース及び宛先が認識され
たIPアドレスである場合、ゲートウェイは、新たなセ
ッションが開始されているとみなす。かかる場合、ゲー
トウェイは、新しいSPIを損わずにその内部テーブル
の「SPI外値」フィールドに新しいSPIを記録し、
かつ「SPI内値」フィールドをゼロに設定して外部ネ
ットワークにデータグラムを通過させる。列25及び列
26において、新たなセッションを表して、新しいSPI
が現われていることが確認できる。かかる事象は、図5
bに対応する。図5bにおいては、「SPI内値」フィ
ールドの「ゼロ」は、新しいSPI外値の「1466
2」に対応する。列27及び列28において、外部ネッ
トワークからの返信パケットにより、「旧」SPI、
「9802」が「新」SPI、「3288」に交換され
たことが分かる。図7は、図6に類似するが、図7は、
L−1、L−2及びL−3と指定されたLAN上の3つ
のコンピュータ及び単一のグローバルIPアドレスを有
するインターネット上の3つのターゲット、T−1、T
−2及びT−3との間の、本発明のゲートウェイを介し
たデータグラムの通路を示す。図4には、参照を簡潔に
するために、3つの装置のIPアドレスを記載したテー
ブルが与えられている。図7に示される通り、「L−1
外」と指定された伝送は、ローカル・コンピュータL−
1からゲートウェイへの伝送を示す。「T−1内」は、
ゲートウェイからターゲットT−1への伝送を示す。
「T−1外」は、ターゲットT−1からゲートウェイへ
の伝送を示すのに対し、「L−1内」は、ゲートウェイ
からコンピュータL−1への伝送を示す。図7の列1乃
至列8に示す通り、コンピュータL−1及びL−2は、
ターゲットT−1及びT−2と「自由な」通信を行う。
列9において、L−1は、T−1とのISAKMPセッ
ションを開始する。列9乃至列14において、ISAK
MPプロトコル中に、最初の3つのメッセージがL−1
とT−1との間で交換されたことが示される。列15に
おいて、コンピュータL−3は、T−3との間でISA
KMP−1メッセージ交換を開始する。しかしながら、
かかる時点においてポート500は、T−1からのIS
AKMP−4の返信を待機しながら、L−1に結合さ
れ、T−1のIPアドレスと関連づけられる。かかる状
況において、L−3からのデータグラムは、ポート50
0を結合できず、かつそのソース・ポート・アドレスは
変換される。このように、L−3は、列15において開
始された伝送を完了することができない。その後、列1
7及び列18において、T−1の返信(ISAKMP−
4)は、ゲートウェイにて受信され、かつL−1に送信
され、さらにポート500は、直ちに利用可能となる。
このように、列19においてL−3がそのISAKMP
−1の伝送を再度試みた場合、伝送は成功する。図7の
列19及び列20において、L−3のISAKMP−1
の伝送は、ポート500をL−3のIPアドレスに結合
する。このように、L−1がそのISAKMP−5伝送
を試みる場合、列21及び列22において、ポート50
0を利用できず、かつゲートウェイは単にポート500
からの宛先ポート・アドレスを「任意」のポート数(こ
の場合「9063」)に変換し、データグラムをインタ
ーネットに送信する。ここにおいて、ターゲットT−1
は、かかるデータグラムをISAKMPデータグラムと
して認識しない。しかしながら、L−3がポート500
を解放した後、列23及び列24において、次にL−1
がISAKMP−5の伝送を行おうとする場合、T−1
がこれを受信することにより達成される。しかしなが
ら、T−1の返信は速度が遅く、かつ列27において、
ポート500はL−1への結合を解除され、さらに列2
8及び列29においては、ISAKMP−3伝送のため
にL−3はポート500を直ちに取り込む。このよう
に、T−1のISAKMP−6の返信がゲートウェイに
到達した時、列30及び列31に示される通り、ポート
500は妨害され、データグラムは無視される。その
後、L−1は、ISAKMP−5に対する返信を受領し
なかったので、これを列34及び列35において再送す
る。T−1からの返信は、列36及び列37で受信され
る。そのISAKMPハンドシェイキング後、L−1及
びT−1は、列38及び列39並びに列42及び列43
にてESPプロトコル使用して、安全に通信を行うこと
ができる。図7の列38乃至列57は、ゲートウェイに
よる多数のローカル・コンピュータとターゲット間の多
様のデータグラムの取扱いを示す。UDPデータグラム
は、列40及び列41に示される。ESPデータグラム
は、列42及び列43並びに列52及び列53に示さ
れ、ISAKMPデータグラムは、列44及び列45に
示される。図7のチャートは、各装置ごとの異なるIP
アドレスを示す。実際、同一装置上で多数の処理が行わ
れている可能性がある。ゲートウェイによる固有のソー
ス・ポートの置換及び暗号化された伝送を識別するため
にSPIを使用することにより、1つのマシン上で実行
されている複数の処理から発生するデータグラムが宛先
を誤らないことが保証される。図8は、データグラム処
理回路100とタイマー110との間のシグナルの発生
及び送信を示す。IPアドレスに結合するポート・アド
レスを必要とする事象が発生した場合、シグナル120
は、タイミングを開始するためにタイマーに送られる。
適切な時間が終了した時点で、タイマーは、かかる時間
が終了したことを示すすシグナル140を送る。この場
合、結合されたポート・アドレスは解放される。当面、
予定されたデータグラムが届き、これまで結合されてい
たポートが解放されることになる場合、不要なシグナル
130は、タイマーがタイミングを開始する次のシグナ
ルを待ってリセットされるべきであることを示すためタ
イマーへ送られる。技術上周知である多くの時限回路が
存在することは明らかであり、図8に示された特定のコ
ンフィギュレーションは、多くの可能な具体例の1つの
具体例である。前記により、本明細書に記載される好適
実施例が、単に本発明を実施する手段ではないこと及び
発明の精神及び範囲から逸脱せずに、本発明を実施する
ために他の具体例を選択できることは、当業者により理
解されている。例えば、好適実施例は、ISAKMPプ
ロトコルと共に使用するためだけに予約されたポート5
00に関連して示されているが、今後他の処理又はプロ
トコルに割当てられるかもしれない他のポート・アドレ
スに定められたデータグラムを処理するために、同一の
方法で本発明を利用することができる。特に、インター
ネット上で行われる多くのゲームは、通常のアドレス変
換に耐えることのできないローカル・マシン及び外部マ
シン上の特定のポートを使用しなければならない。さら
に、本発明は、主にプライベートLANとインターネッ
トとの間の通信に関して説明されているが、本発明のゲ
ートウェイが、2つのネットワーク間のインターフェー
スにおいて使用でき、かつ説明されていた同一の機能を
有していることは明らかである。本明細書に添付の特許
請求の範囲は、本発明の精神及び範囲内の修正及び変更
をカバーしていることを示している。
【図面の簡単な説明】
【図1】 ローカルIPアドレスを使用するリモートL
ANが、インターネットであってもよい外部ネットワー
クを介してメイン・コンピューティング・サイトとネッ
トワーク接続される仮想私設網を表す。LANはNAT
ゲートウェイを通じて外部ネットワークへ接続される。
【図2】 インターネットへの伝送用のLANから受信
したUDPデータグラムを処理するために本発明のゲー
トウェイにより使用される決定図を表す。
【図3】 引渡用インターネットからLAN上の装置へ
受信されるUDPデータグラムを処理するために本発明
のゲートウェイにより用いられる工程の決定図を表す。
【図4】 以下の図5、図6及び図7に示される図表の
参照用に提示される。図4は、LAN上のローカル・マ
シン(L-1乃至L-3)のIPアドレス、ゲートウェイ
の内部IPアドレス及び外部IPアドレス並びに外部ネ
ットワーク上の外部装置(「ターゲット」T-1乃至T-
3)のIPアドレスを記載した表である。
【図5】 図5a乃至図5cは、暗号化データグラムを
認証するために使用されるSPI(セキュリティ・パラ
メータ・インデックス)によってLAN上のマシンのロ
ーカルIPアドレス(L-1、L-2…L-x)と外部装
置の外部IPアドレス(T−1乃至T−3)を相互参照
するゲートウェイの内部テーブルの代表的なフィールド
を示す。SPI外値は、インターネット上の装置用のゲ
ートウェイを離れる暗号化データグラムのSPIを表
し、SPI内値は、LAN上のローカル・マシン用の暗
号化データグラムのSPIを表す。表a、b、cはそれぞ
れ、異なる地点におけるソース、宛先及びSPIのヘッ
ダー値を示す。値の変更は、1つのローカル・マシンに
よるターゲット・マシンとの新たなセッションの開始を
示す。
【図6】 図6は、外部ネットワーク上の単一ローカル
・マシンと単一装置との間で交換されるデータグラム・
ヘッダーの代表的なフィールドを示す。ヘッダー値は、
本発明のゲートウェイによる処理を介して変更される。
【図7】 本発明のゲートウェイによる処理を介して変
更される、LAN上の3つのローカル・マシン(L-1
乃至L-3)と外部ネットワーク上の3つのターゲット
・マシン(T-1乃至T-3)の間で交換されるデータグ
ラム・ヘッダーの代表的なフィールドを示す。
【図8】 図8は、データグラム処理機能とタイマーと
の間を通過するシグナルの略図である。

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 外部ネットワークにLANを接続するネ
    ットワーク・アドレス変換ゲートウェイであって、該L
    ANは、ローカルIPアドレスを使用し、該ゲートウェ
    イは、該LAN上の装置により探索可能なローカルIP
    アドレスを有し、かつ該外部ネットワーク上の装置によ
    り探索可能な外部IPアドレスを有し、該ゲートウェイ
    は、該LAN上のローカル装置のローカルIPアドレス
    と、該外部ネットワーク上の外部装置の外部IPアドレ
    スと、SPI内値と、SPI外値と、ソース・ポート・
    アドレスと、宛先ポート・アドレスと、予約ポート・ア
    ドレスの組合わせを関連づけ、かつ予約ポート・アドレ
    ス・リストを維持する複数の内部テーブルと、該LAN
    から該外部ネットワークへ通過するデータグラム及び該
    外部ネットワークから該LANへ通過するデータグラム
    上で通常のアドレス変換を行う手段と、該外部ネットワ
    ーク上の外部装置への引渡を企図された該LAN上のロ
    ーカル装置からデータグラムを受信することにより、該
    LAN上のローカル装置から該外部ネットワーク上の外
    部装置へデータグラムを引渡し、かつ該データグラムが
    暗号化されるか否かを決定し、該データグラムが暗号化
    される場合は、該データグラムのSPIが該内部テーブ
    ルのSPI外値フィールドに記録されるか否かを決定
    し、該SPIが該SPI外値フィールドに記録される場
    合は、該外部装置へのルーティング及び引渡のために、
    該ゲートウェイの該外部IPアドレスとなるよう該デー
    タグラムのソースIPアドレスを変更し、かつ該データ
    グラムを該外部ネットワークへ通過させる手段であっ
    て、該SPIが該内部テーブルの該SPI外値フィール
    ドに記録されない場合は、ゼロに相当する該ローカル装
    置のローカルIPアドレスに対応するSPI内値フィー
    ルドを設置し、かつ該SPIに相当する該SPI外値フ
    ィールドを設置し、該外部装置へのルーティング及び引
    渡のために、該ゲートウェイの該外部IPアドレスとな
    るよう該データグラムの該ソースIPアドレスを変更
    し、かつ該データグラムを該外部ネットワークへ通過さ
    せ、該データグラムが暗号化されない場合は、該データ
    グラムの宛先ポート・アドレスが該予約ポート・アドレ
    ス・リストに含まれるか否かを決定し、該宛先ポート・
    アドレスが該予約ポート・アドレス・リストに含まれな
    い場合は、該外部装置へのルーティング及び引渡のため
    に該データグラム上で通常のアドレス変換を行い、かつ
    該データグラムを該外部ネットワークへ通過させ、該宛
    先ポート・アドレスが該予約ポート・アドレス・リスト
    に含まれる場合は、該宛先ポート・アドレスを該ローカ
    ル装置の該ローカルIPアドレスに結合するか否かを決
    定し、該宛先ポート・アドレスが該ローカルIPアドレ
    スに結合する場合は、該外部装置へのルーティング及び
    引渡のために、該データグラム上で通常のアドレス変換
    を行い、かつ該データグラムを該外部ネットワークへ通
    過させ、該宛先ポート・アドレスが該ローカル装置の該
    ローカルIPアドレスに結合されない場合は、該ゲート
    ウェイの該外部IPとなるよう該データグラムの該ソー
    スIPアドレスを変更し、該宛先ポート・アドレスを該
    ローカル装置の該ローカルIPアドレスに結合し、該宛
    先ポート・アドレスと該外部装置の外部IPアドレスを
    対応づけ、かつ該外部装置へのルーティング及び引渡の
    ために該データグラムを該外部ネットワークへ通過さ
    せ、さらに該LAN上の該ローカル装置への引渡しを企
    図された該外部ネットワーク上の該外部装置からデータ
    グラムを受信することにより該外部装置から該ローカル
    装置へとデータグラムを引渡す手段であって、該データ
    グラムが暗号化されるか否かを決定し、該データグラム
    が暗号化される場合は、データグラムのSPIが該内部
    テーブルの該SPI内値フィールドに記録されるか否か
    を決定し、該SPIが該SPI内値フィールドに記録さ
    れる場合は、該ローカル装置の該ローカルIPアドレス
    となるよう該データグラムの宛先IPアドレスを変更
    し、かつ該ローカル装置へのルーティング及び引渡のた
    めに該データグラムを該LANに通過させ、該SPIが
    該内部テーブルの該SPI内値フィールドに記録されな
    い場合は、該外部装置の該IPアドレスに対応する該S
    PI内値フィールドがゼロに相当するか否かを決定し、
    該SPI内値フィールドがゼロに相当しない場合は、該
    データグラムを破棄し、該SPI内値フィールドがゼロ
    に相当する場合は、該SPIに相当する該SPI内値フ
    ィールドを設置し、該ローカル装置の該ローカルIPア
    ドレスとなるよう該データグラムの宛先IPアドレスを
    変更し、かつ該ローカル装置への引渡のために該データ
    グラムを該LANへ通過させ、該データグラムが暗号化
    されない場合は、該データグラムの宛先ポート・アドレ
    スが、該予約ポート・アドレス・リストに含まれるか否
    かを決定し、該宛先ポート・アドレスが該予約ポート・
    アドレス・リストに含まれない場合は、該ローカル装置
    への引渡のために、該データグラム上で通常のアドレス
    変換を行い、かつ該データグラムを該LANに通過さ
    せ、該宛先ポート・アドレスが該予約ポート・アドレス
    ・リストに含まれる場合は、該宛先ポート・アドレスが
    該ローカル装置のローカルIPアドレスに結合されるか
    否かを決定し、該宛先ポート・アドレスが該ローカルI
    Pアドレスに結合されない場合は、該データグラムを破
    棄し、該宛先ポート・アドレスが該ローカルIPアドレ
    スに結合される場合は、該ローカル装置の該ローカルI
    Pアドレスとなるよう該データグラムの該宛先IPアド
    レスを変更し、該ローカルIPアドレスから該宛先ポー
    ト・アドレスを解き、かつ該ローカル装置への引渡のた
    めに該データグラムを該LANへ通過させる手段と、を
    備えるネットワーク・アドレス変換ゲートウェイ。
  2. 【請求項2】 タイマーをさらに備える特許請求の範囲
    第1項記載のネットワーク・アドレス変換ゲートウェイ
    であって、該タイマーは、ポート・アドレスがIPアド
    レスに結合されたというシグナルを受領した時に、所定
    時間のタイミングを開始し、該所定時間が満了となった
    時に、該ポート・アドレスを該IPアドレスから解放す
    るためのシグナルを送り、かつ該所定時間が満了となる
    前に該ポート・アドレスが該IPアドレスから解放され
    ていることを示すシグナルを受信した時に、該タイマー
    は、タイミングを停止し、かつリセットされる、ゲート
    ウェイ。
  3. 【請求項3】 該外部ネットワークがインターネットで
    ある、特許請求の範囲第1項記載のネットワーク・アド
    レス変換ゲートウェイ
  4. 【請求項4】 該LANが仮想私設網である、特許請求
    の範囲第3項記載のネットワーク・アドレス変換ゲート
    ウェイ
  5. 【請求項5】 ローカルIPアドレスを使用するLAN
    上のローカル装置から、ネットワーク変換ゲートウェイ
    を通じて、外部ネットワーク上の外部装置へIPデータ
    グラムを処理する方法であって、該LAN上のローカル
    装置のローカルIPアドレス、該外部ネットワーク上の
    外部装置の外部IPアドレス、該ローカル装置のポート
    ・アドレス、該外部装置のポート・アドレス、SPI内
    値、SPI外値と予約ポート・アドレスと、予約ポート
    ・アドレス・リストとを対応づける複数のテーブルを維
    持する工程と、該LANからデータグラムを受信する工
    程と、該データグラムが暗号化されるか否かを決定し、
    該データグラムが暗号化される場合は、該データグラム
    のSPIが、該複数の内部テーブルの一つのSPI外値
    フィールドに記録されるか否かを決定し、該SPIが該
    内部テーブルの該SPI外値フィールドに記録される場
    合は、該外部装置へのルーティング及び引渡のために、
    該ゲートウェイの外部IPアドレスとなるようソースI
    Pアドレスを変更し、かつ該データグラムを該外部ネッ
    トワークへ通過させる工程と、該SPIが該内部テーブ
    ルの該SPI外値フィールドに記録されない場合は、該
    SPIに相当する該外部装置のIPアドレスに対応する
    該SPI外値フィールドを設置し、かつ該内部テーブル
    のSPI内値フィールドをゼロに設定し、該ゲートウェ
    イの該外部IPアドレスとなるよう該ソースIPアドレ
    スを変更し、かつ該外部装置へのルーティング及び引渡
    のために該データグラムを該外部ネットワークへ通過さ
    せ、該データグラムが暗号化されない場合は、該データ
    グラムの宛先ポート・アドレスが該予約ポート・アドレ
    スのテーブルに含まれるか否かを決定し、該宛先ポート
    ・アドレスが該予約ポート・アドレスのテーブルに含ま
    れない場合は、該外部装置へのルーtレイン具及び引渡
    のために該データグラム上で通常のアドレス変換を行
    い、かつ該外部ネットワークに該データグラムを通過さ
    せ、該宛先ポート・アドレスが該予約ポート・アドレス
    のテーブルに含まれる場合は、該宛先ポート・アドレス
    がIPアドレスに結合するか否かを決定し、該宛先ポー
    トがIPアドレスに結合する場合は、該外部装置へのル
    ーティング及び引渡のために、該データグラム上で通常
    のアドレス変換を行い、かつ該データグラムをを該外部
    ネットワークへ通過させ、該宛先ポート・アドレスがI
    Pアドレスに結合しない場合は、該外部装置の該外部I
    Pアドレスとなるよう該ソースIPアドレスを変更し、
    該宛先ポート・アドレスを該ローカル装置のローカルI
    Pアドレスに結合し、かつ該宛先ポート・アドレスと該
    外部装置の該外部IPアドレスを関連づけ、該外部装置
    へのルーティング及び引渡のために該データグラムを該
    外部ネットワークへ通過させる工程と、を含む処理方
    法。
  6. 【請求項6】 外部ネットワーク上の外部装置から、ネ
    ットワーク変換ゲートウェイを介して、ローカルIPア
    ドレスを使用するLAN上のローカル装置へとIPデー
    タグラムを処理する方法であって、該LAN上のローカ
    ル装置のローカルIPアドレス、該外部ネットワーク上
    の外部装置の外部IPアドレス、該ローカル装置のポー
    ト・アドレス、該外部装置のポート・アドレス、SPI
    内値、SPI外値、予約ポート・アドレスと予約ポート
    ・アドレス・リストとを関連づける複数のテーブルを維
    持する工程と、該外部ネットワークからデータグラムを
    受信する工程と、該データグラムが暗号化されるか否か
    を決定し、該データグラムが暗号化される場合は、該デ
    ータグラム中のSPIが該複数の内部テーブルの一つの
    SPI内値フィールドに記録されるか否かを決定し、該
    SPIが該内部テーブルの該SPI内値フィールドに記
    録される場合は、該ローカル装置へのルーティング及び
    引渡のために、該ローカル装置の内部IPアドレスとな
    るよう宛先IPアドレスを変更し、かつ該データグラム
    を該LANに通過させる工程と、該SPIが該内部テー
    ブルの該SPI内値フィールドに記録されない場合は、
    該外部装置のIPアドレスに対応する該SPI内値フィ
    ールドがゼロであるか否かを決定し、かつ該SPI内値
    フィールドがゼロでない場合は、該データグラムを破棄
    し、該SPI内値フィールドがゼロに相当する場合は、
    該SPIとなるよう該SPI内値フィールドを変更し、
    該ローカル装置の該ローカルIPアドレスとなるよう該
    宛先IPアドレスを変更し、かつ該ローカル装置へのル
    ーティング及び引渡のために該データグラムを該LAN
    に通過させ、該データグラムが暗号化されない場合は、
    該データグラムの宛先ポート・アドレスが該予約ポート
    ・アドレス・リストに含まれるか否かを決定し、該宛先
    ポート・アドレスが該予約ポート・アドレス・リストに
    含まれない場合は、該ローカル装置へのルーティング及
    び引渡のために、通常のアドレス変換を行い、かつ該L
    ANに該データグラムを通過させ、該宛先ポート・アド
    レスが該予約ポート・アドレス・リストに含まれる場合
    は、該宛先ポート・アドレスが該ローカルIPアドレス
    に結合するか否かを決定し、かつ該宛先ポートが該ロー
    カルIPアドレスに結合しない場合には、該データグラ
    ムを破棄し、該宛先ポート・アドレスが該ローカルIP
    アドレスに結合する場合は、該ローカル装置の該ローカ
    ルIPアドレスとなるよう該宛先IPアドレスを変更
    し、該宛先ポート・アドレスを該ローカルIPアドレス
    から解き、かつ該ローカル装置へのルーティング及び引
    渡のために該データグラムを該LANへ通過させる工程
    と、を含む処理方法。
  7. 【請求項7】 該宛先ポート・アドレスが該ローカル装
    置の該ローカルIPアドレスに結合する場合はいつでも
    タイマーを始動させる工程と、該宛先ポート・アドレス
    が解放された場合はいつでも、該タイマーをリセットす
    る工程と、該タイマーが作動し、かつ該タイマーが始動
    した時からの所定時間が満了となった場合はいつでもシ
    グナルを送る工程と、をさらに備える特許請求の範囲第
    5項に記載のIPデータグラムの処理方法。
  8. 【請求項8】 該宛先ポート・アドレスが、該ローカル
    装置の該ローカルIPアドレスに結合する場合はいつで
    もタイマーを起動する工程と、該宛先ポート・アドレス
    が解放された場合はいつでも、該タイマーをリセットす
    る工程と、該タイマーが作動し、かつ該タイマーが始動
    した時からの所定時間が満了となった場合はいつでもシ
    グナルを送る工程と、をさらに備える、特許請求の範囲
    第6項に記載のIPデータグラムの処理方法。
  9. 【請求項9】 該外部ネットワークがインターネットで
    ある、特許請求の範囲第5項に記載のIPデータグラム
    の処理方法。
  10. 【請求項10】 該外部ネットワークがインターネット
    である、特許請求の範囲第6項に記載のIPデータグラ
    ムの処理方法。
  11. 【請求項11】 該LANが仮想私設網である特許請求
    の範囲第5項に記載のIPデータグラムの処理方法。
  12. 【請求項12】 該LANが仮想私設網である特許請求
    の範囲第6項に記載のIPデータグラムの処理方法。
JP2001059821A 2000-03-03 2001-03-05 ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ Pending JP2001313679A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/518399 2000-03-03
US09/518,399 US7058973B1 (en) 2000-03-03 2000-03-03 Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses

Publications (1)

Publication Number Publication Date
JP2001313679A true JP2001313679A (ja) 2001-11-09

Family

ID=24063767

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2001565007A Expired - Fee Related JP4634687B2 (ja) 2000-03-03 2001-02-27 ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
JP2001059821A Pending JP2001313679A (ja) 2000-03-03 2001-03-05 ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2001565007A Expired - Fee Related JP4634687B2 (ja) 2000-03-03 2001-02-27 ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ

Country Status (14)

Country Link
US (3) US7058973B1 (ja)
EP (2) EP1259886B1 (ja)
JP (2) JP4634687B2 (ja)
KR (2) KR100798660B1 (ja)
CN (2) CN1209712C (ja)
AT (1) ATE315860T1 (ja)
AU (1) AU2001243311B2 (ja)
BR (1) BR0109033B1 (ja)
CA (1) CA2401103C (ja)
DE (1) DE60116610T2 (ja)
MX (1) MXPA02008626A (ja)
RU (1) RU2241252C2 (ja)
TW (1) TW494301B (ja)
WO (1) WO2001067258A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
CZ298394B6 (cs) * 2002-10-01 2007-09-19 Anect A. S. Komunikacní infrastruktura spolupracující korporace
US7296148B2 (en) 2002-01-09 2007-11-13 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
WO2013069927A1 (en) * 2011-11-11 2013-05-16 Samsung Electronics Co., Ltd. Method and apparatus for provisioning network address translator traversal methods

Families Citing this family (158)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107614B1 (en) 1999-01-29 2006-09-12 International Business Machines Corporation System and method for network address translation integration with IP security
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
JP3636095B2 (ja) * 2000-05-23 2005-04-06 インターナショナル・ビジネス・マシーンズ・コーポレーション Vpn接続のセキュリティ
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7900042B2 (en) * 2001-06-26 2011-03-01 Ncipher Corporation Limited Encrypted packet inspection
US7769865B1 (en) * 2001-10-16 2010-08-03 Sprint Communications Company L.P. Configuring computer network communications in response to detected firewalls
US20030079000A1 (en) * 2001-10-19 2003-04-24 Chamberlain Robert L. Methods and apparatus for configuring multiple logical networks of devices on a single physical network
US7159109B2 (en) * 2001-11-07 2007-01-02 Intel Corporation Method and apparatus to manage address translation for secure connections
KR20030062106A (ko) * 2002-01-16 2003-07-23 한국전자통신연구원 가상 사설망으로부터 데이터 패킷을 수신하는 방법 및 장치
EP1331785B1 (en) * 2002-01-23 2005-04-20 Sony International (Europe) GmbH A method for enabling the negotiation of end-to-end QoS by using the end-to-end negotiation protocol (E2ENP)
JP4010830B2 (ja) * 2002-03-05 2007-11-21 富士通株式会社 通信装置およびネットワークシステム
US7243368B2 (en) * 2002-03-29 2007-07-10 Hewlett-Packard Development Company, L.P. Access control system and method for a networked computer system
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7243141B2 (en) * 2002-05-13 2007-07-10 Sony Computer Entertainment America, Inc. Network configuration evaluation
CN100433667C (zh) * 2002-05-29 2008-11-12 华为技术有限公司 网络地址转换中私网用户访问资源分配方法
US7191331B2 (en) 2002-06-13 2007-03-13 Nvidia Corporation Detection of support for security protocol and address translation integration
GB2418821B (en) * 2002-06-13 2006-08-09 Nvidia Corp Method and apparatus for enhanced security for communication over a network
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
JP4426443B2 (ja) * 2002-06-13 2010-03-03 エヌヴィディア コーポレイション ネットワークを経て通信するための改善セキュリティ方法及び装置
US7143188B2 (en) 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for network address translation integration with internet protocol security
US7120930B2 (en) 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
JP3564117B2 (ja) * 2002-07-01 2004-09-08 株式会社バッファロー 無線lan装置
KR100878764B1 (ko) * 2002-07-06 2009-01-14 삼성전자주식회사 사용자의 익명성보장을 위한 무선 랜 시스템 및 사용자의익명성 보장방법
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
JP4056849B2 (ja) * 2002-08-09 2008-03-05 富士通株式会社 仮想閉域網システム
US6826627B2 (en) 2002-09-03 2004-11-30 Burnbag, Ltd. Data transformation architecture
FR2844949B1 (fr) * 2002-09-24 2006-05-26 Radiotelephone Sfr Procede de gestion d'une configuration d'une passerelle par un utilisateur de la passerelle
KR100479261B1 (ko) 2002-10-12 2005-03-31 한국전자통신연구원 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
TWI220344B (en) * 2002-10-23 2004-08-11 Winbond Electronics Corp Manufacture and method for accelerating network address translation
US7921285B2 (en) * 2002-12-27 2011-04-05 Verizon Corporate Services Group Inc. Means of mitigating denial of service attacks on IP fragmentation in high performance IPsec gateways
US7290134B2 (en) * 2002-12-31 2007-10-30 Broadcom Corporation Encapsulation mechanism for packet processing
US7634805B2 (en) * 2003-03-05 2009-12-15 Microsoft Corporation Use of network address translation for implementation of stateful routing
CN1311664C (zh) * 2003-03-05 2007-04-18 华为技术有限公司 在分布式网络交换系统中实现的端口捆绑方法
DE10310351A1 (de) 2003-03-10 2004-09-23 Giesecke & Devrient Gmbh Laden von Mediendaten in einen tragbaren Datenträger
CN100356743C (zh) * 2003-06-03 2007-12-19 华为技术有限公司 网关地址和网络地址转换地址池中地址重叠的实现方法
CN1331328C (zh) * 2003-06-06 2007-08-08 华为技术有限公司 一种基于身份认证的地址转换方法
CN100356752C (zh) * 2003-06-14 2007-12-19 华为技术有限公司 一种网络地址资源的利用方法
US20050021839A1 (en) * 2003-06-23 2005-01-27 Russell Thomas C. Method and apparatus for providing a selectively isolated equipment area network for machine elements with data communication therebetween and with remote sites
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
KR100568178B1 (ko) 2003-07-18 2006-04-05 삼성전자주식회사 게이트웨이 장치 및 그 제어방법
CN1571440A (zh) * 2003-07-25 2005-01-26 中兴通讯股份有限公司 一种跨越私网实现多媒体呼叫的系统和方法
JP2005051473A (ja) * 2003-07-28 2005-02-24 Sony Corp ネットワーク相互接続装置及びネットワーク相互接続方法、名前解決装置、並びにコンピュータ・プログラム
CN100463551C (zh) * 2003-08-14 2009-02-18 中兴通讯股份有限公司 一种在移动通信系统中实现加密通信的系统和方法
CN100359893C (zh) * 2003-08-28 2008-01-02 华为技术有限公司 以主机代理方式实现地址转换应用网关的方法
US8687485B1 (en) * 2003-09-12 2014-04-01 Rockstar Consortium USLP Method and apparatus for providing replay protection in systems using group security associations
CN1317874C (zh) * 2003-09-27 2007-05-23 财团法人资讯工业策进会 提供虚拟主机服务快速查询置换的网络地址端口转换网关器与方法
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
CN100454882C (zh) * 2003-12-19 2009-01-21 华为技术有限公司 多isp局域网的出口选择方法及装置
US7992199B1 (en) * 2003-12-31 2011-08-02 Honeywell International Inc. Method for permitting two parties to establish connectivity with both parties behind firewalls
EP1562346A1 (en) * 2004-02-06 2005-08-10 Matsushita Electric Industrial Co., Ltd. Method and system for reliably disconnecting IPSec security associations
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
US8738159B2 (en) * 2004-03-15 2014-05-27 Siemens Industry, Inc. System and method for accessing PLC data on demand
US7539858B2 (en) * 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
US7422152B2 (en) 2004-05-13 2008-09-09 Cisco Technology, Inc. Methods and devices for providing scalable RFID networks
FI20045234A0 (fi) * 2004-06-21 2004-06-21 Nokia Corp Datan lähetys viestintäjärjestelmässä
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
WO2006012610A2 (en) 2004-07-23 2006-02-02 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
WO2006012612A1 (en) * 2004-07-23 2006-02-02 Citrix Systems, Inc. A method and systems for securing remote access to private networks
KR20070083482A (ko) 2004-08-13 2007-08-24 사이트릭스 시스템스, 인크. 다수의 원격 액세스 서버를 통한 트랜잭션 무결성 유지방법
CN1756259B (zh) * 2004-09-27 2011-04-20 国际商业机器公司 因特网协议网络中使用网络地址翻译的方法和系统
TWI253818B (en) * 2004-10-29 2006-04-21 Benq Corp Transparent address translation methods
US8458467B2 (en) 2005-06-21 2013-06-04 Cisco Technology, Inc. Method and apparatus for adaptive application message payload content transformation in a network infrastructure element
US7664879B2 (en) * 2004-11-23 2010-02-16 Cisco Technology, Inc. Caching content and state data at a network element
US7987272B2 (en) 2004-12-06 2011-07-26 Cisco Technology, Inc. Performing message payload processing functions in a network element on behalf of an application
US7725934B2 (en) 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection
US8082304B2 (en) * 2004-12-10 2011-12-20 Cisco Technology, Inc. Guaranteed delivery of application layer messages by a network element
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
WO2006072052A2 (en) 2004-12-31 2006-07-06 Anonymizer, Inc. System for protecting identity in a network environment
KR20070104566A (ko) 2005-01-24 2007-10-26 사이트릭스 시스템스, 인크. 네트워크에서 동적으로 발생된 객체들의 캐싱을 수행하는시스템 및 방법
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
CN100414929C (zh) * 2005-03-15 2008-08-27 华为技术有限公司 一种移动互联网协议网络中的报文传送方法
US7703124B2 (en) * 2005-03-31 2010-04-20 Hewlett-Packard Development Company, L.P. System and method for implementing a private virtual backbone on a common network infrastructure
JP4768324B2 (ja) * 2005-06-07 2011-09-07 株式会社東芝 無線通信機器
US8266327B2 (en) * 2005-06-21 2012-09-11 Cisco Technology, Inc. Identity brokering in a network element
EP1907841B1 (en) * 2005-06-22 2009-08-05 The Johns Hopkins University Biomarker for ovarian cancer: ctap3-related proteins
IES20050439A2 (en) * 2005-06-30 2006-08-09 Asavie R & D Ltd A method of network communication
KR100799575B1 (ko) * 2005-12-07 2008-01-30 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
US7345585B2 (en) 2005-08-01 2008-03-18 Cisco Technology, Inc. Network based device for providing RFID middleware functionality
US7672289B2 (en) * 2005-08-09 2010-03-02 Mitsubishi Electric Research Laboratories, Inc. Method for defining, allocating and assigning addresses in ad hoc wireless networks
US20070079366A1 (en) * 2005-10-03 2007-04-05 Microsoft Corporation Stateless bi-directional proxy
US20070088815A1 (en) * 2005-10-13 2007-04-19 Kenneth Ma Automated setup and test confirmation of dynamic DNS service
CN100477671C (zh) * 2005-12-16 2009-04-08 中国科学院计算技术研究所 Pat模式下支持多会话应用层协议的网络地址转换方法
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
CN101047711B (zh) * 2006-04-27 2010-08-18 华为技术有限公司 Ip报文传输、协商带宽节省能力和节省网络带宽的方法
US7797406B2 (en) * 2006-07-27 2010-09-14 Cisco Technology, Inc. Applying quality of service to application messages in network elements based on roles and status
US7539189B2 (en) * 2006-08-01 2009-05-26 Cisco Technology, Inc. Apparatus and methods for supporting 802.1X in daisy chained devices
US8079077B2 (en) 2006-08-08 2011-12-13 A10 Networks, Inc. System and method for distributed multi-processing security gateway
JP4708297B2 (ja) * 2006-09-29 2011-06-22 富士通テレコムネットワークス株式会社 IPsecの複数セッションを処理する通信装置
CN101155183B (zh) * 2006-09-29 2012-02-08 松下电器产业株式会社 处理巢状网际网络安全协议信道的方法及网络装置
US8095786B1 (en) * 2006-11-09 2012-01-10 Juniper Networks, Inc. Application-specific network-layer virtual private network connections
CN100525251C (zh) * 2006-11-30 2009-08-05 中国科学院计算技术研究所 一种网络地址转换方法
CN101072102B (zh) * 2007-03-23 2010-10-06 南京联创科技集团股份有限公司 网络环境下基于安全桌面的信息防泄漏技术
US8621552B1 (en) * 2007-05-22 2013-12-31 Skybox Security Inc. Method, a system, and a computer program product for managing access change assurance
US7729366B2 (en) * 2007-10-03 2010-06-01 General Instrument Corporation Method, apparatus and system for network mobility of a mobile communication device
CN101227494B (zh) * 2008-01-09 2013-06-12 中兴通讯股份有限公司 接入多分组数据网时因特网安全协议安全联盟的建立方法
US7817636B2 (en) * 2008-01-30 2010-10-19 Cisco Technology, Inc. Obtaining information on forwarding decisions for a packet flow
KR20090092503A (ko) * 2008-02-27 2009-09-01 주식회사 휴커넥스 하나의 아이피 주소로 복수의 아이피 장비들을 지원할 수있는 멀티포트 장치
WO2010054471A1 (en) 2008-11-17 2010-05-20 Sierra Wireless, Inc. Method and apparatus for network port and network address translation
US8228848B2 (en) * 2008-11-17 2012-07-24 Sierra Wireless, Inc. Method and apparatus for facilitating push communication across a network boundary
US8924486B2 (en) * 2009-02-12 2014-12-30 Sierra Wireless, Inc. Method and system for aggregating communications
US20100235689A1 (en) * 2009-03-16 2010-09-16 Qualcomm Incorporated Apparatus and method for employing codes for telecommunications
US8874785B2 (en) * 2010-02-15 2014-10-28 Damaka, Inc. System and method for signaling and data tunneling in a peer-to-peer environment
US8356087B1 (en) 2010-08-24 2013-01-15 Amazon Technologies, Inc. Automatically configuring virtual private networks
US20120269059A1 (en) * 2010-10-19 2012-10-25 Qualcomm Incorporated Methods and apparatus for contemporaneously providing quality of service functionality and local ip access
US9143480B2 (en) * 2011-01-10 2015-09-22 Secure Global Solutions, Llc Encrypted VPN connection
US9258271B1 (en) * 2011-01-13 2016-02-09 Google Inc. Network address translation for virtual machines
EP2673927A4 (en) 2011-02-08 2016-08-24 Sierra Wireless Inc METHOD AND DATA-TRANSFER SYSTEM BETWEEN NETWORK DEVICES
US9275238B2 (en) * 2011-04-29 2016-03-01 Antaios (Beijing) Information Technology Co., Ltd. Method and apparatus for data security reading
US8838735B2 (en) 2011-06-28 2014-09-16 At&T Intellectual Property I, L.P. Methods, systems, and products for address translation in residential networks
US8438240B2 (en) * 2011-09-27 2013-05-07 Cloudflare, Inc. Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service
US8621038B2 (en) 2011-09-27 2013-12-31 Cloudflare, Inc. Incompatible network gateway provisioned through DNS
US9258272B1 (en) * 2011-10-21 2016-02-09 Juniper Networks, Inc. Stateless deterministic network address translation
US9178846B1 (en) 2011-11-04 2015-11-03 Juniper Networks, Inc. Deterministic network address and port translation
CN103139189B (zh) * 2011-12-05 2017-03-22 京信通信系统(中国)有限公司 一种IPSec隧道共用方法、系统及设备
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US8891540B2 (en) 2012-05-14 2014-11-18 Juniper Networks, Inc. Inline network address translation within a mobile gateway router
US9596286B2 (en) 2012-05-25 2017-03-14 A10 Networks, Inc. Method to process HTTP header with hardware assistance
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
JP2015534769A (ja) 2012-09-25 2015-12-03 エイ10 ネットワークス インコーポレイテッドA10 Networks, Inc. データネットワークにおける負荷分散
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
EP3057374B1 (en) * 2013-10-09 2019-02-27 NEC Corporation Communication system, communication device, and communication control method
CN103797774B (zh) * 2013-11-05 2017-07-21 华为技术有限公司 一种网络地址转换设备及方法
CN103607403A (zh) * 2013-11-26 2014-02-26 北京星网锐捷网络技术有限公司 一种nat网络环境下使用安全域的方法、装置和系统
MX364546B (es) * 2014-02-06 2019-04-30 Acceleration Systems Llc Sistemas y métodos para proporcionar una arquitectura de enlace seguro múltiple.
CN103942499B (zh) * 2014-03-04 2017-01-11 中天安泰(北京)信息技术有限公司 基于移动存储器的数据黑洞处理方法及移动存储器
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US9525627B2 (en) 2014-05-27 2016-12-20 Google Inc. Network packet encapsulation and routing
US10129207B1 (en) 2015-07-20 2018-11-13 Juniper Networks, Inc. Network address translation within network device having multiple service units
ES2927575T3 (es) * 2015-08-21 2022-11-08 Ericsson Telefon Ab L M Comunicación de datos no de IP a través de redes de paquetes de datos
US10038672B1 (en) * 2016-03-29 2018-07-31 EMC IP Holding Company LLC Virtual private network sessions generation
CN106330653A (zh) * 2016-08-30 2017-01-11 成都极玩网络技术有限公司 基于轻量级安全虚拟专用网的智能分流网关
US10469446B1 (en) 2016-09-27 2019-11-05 Juniper Networks, Inc. Subscriber-aware network address translation
JP2018067248A (ja) * 2016-10-21 2018-04-26 富士通株式会社 制御プログラム、制御方法、及び情報処理装置
KR101920190B1 (ko) * 2016-11-22 2019-02-08 한국인터넷진흥원 임의의 ip 생성 방법 및 그 장치
US10594829B2 (en) * 2017-05-24 2020-03-17 At&T Intellectual Property I, L.P. Cloud workload proxy as link-local service configured to access a service proxy gateway via a link-local IP address to communicate with an external target service via a private network
US10565062B1 (en) * 2017-08-03 2020-02-18 Veritas Technologies Llc Systems and methods for managing replication of data to a remote storage device
CN107547690B (zh) * 2017-09-25 2021-06-18 新华三信息安全技术有限公司 Nat中的端口分配方法、装置、nat设备及存储介质
CN107943438A (zh) * 2017-12-21 2018-04-20 国网河北省电力有限公司衡水供电分公司 无人值守变电站的办公优化方法
US10791091B1 (en) * 2018-02-13 2020-09-29 Architecture Technology Corporation High assurance unified network switch
CN110858229B (zh) 2018-08-23 2023-04-07 阿里巴巴集团控股有限公司 数据处理方法、设备、访问控制系统及存储介质
CN109152096B (zh) * 2018-09-27 2020-09-25 安科讯(福建)科技有限公司 Eps架构的报文传输方法及计算机可读存储介质
CN110138748B (zh) * 2019-04-23 2020-10-23 北京交通大学 一种网络融合通信方法、网关设备和系统
JP7309443B2 (ja) * 2019-05-14 2023-07-18 キヤノン株式会社 印刷装置、制御方法及びプログラム
CN112671939B (zh) * 2020-08-17 2022-07-05 紫光云技术有限公司 一种区分nat删除和nat解绑弹性公网ip的方法
US11394686B1 (en) * 2021-02-25 2022-07-19 Nvidia Corporation Dynamic network address translation using prediction
CN113794788B (zh) * 2021-09-14 2023-07-25 北京百度网讯科技有限公司 网关导流方法、系统、装置、设备、存储介质及产品

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4727370A (en) * 1985-12-17 1988-02-23 Ampex Corporation Method and system for synchronous handshake generation
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
WO1997026734A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Transferring encrypted packets over a public network
WO1997026735A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Key management for network communication
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
KR100317443B1 (ko) * 1996-04-24 2002-01-16 블레이어 에프.모리슨 인터넷프로토콜필터
US5983350A (en) 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6006259A (en) 1998-11-20 1999-12-21 Network Alchemy, Inc. Method and apparatus for an internet protocol (IP) network clustering system
US6691168B1 (en) * 1998-12-31 2004-02-10 Pmc-Sierra Method and apparatus for high-speed network rule processing
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6449251B1 (en) * 1999-04-02 2002-09-10 Nortel Networks Limited Packet mapper for dynamic data packet prioritization
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6347376B1 (en) * 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
JP3597756B2 (ja) * 2000-06-09 2004-12-08 日本電信電話株式会社 ネットワークアドレス変換装置およびvpnクライアント多重化システム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
US7296148B2 (en) 2002-01-09 2007-11-13 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
US7627752B2 (en) 2002-01-09 2009-12-01 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
US7716471B2 (en) 2002-01-09 2010-05-11 Nec Corporation Communication system and network control apparatus with encryption processing function, and communication control method
CZ298394B6 (cs) * 2002-10-01 2007-09-19 Anect A. S. Komunikacní infrastruktura spolupracující korporace
WO2013069927A1 (en) * 2011-11-11 2013-05-16 Samsung Electronics Co., Ltd. Method and apparatus for provisioning network address translator traversal methods

Also Published As

Publication number Publication date
CN1408088A (zh) 2003-04-02
CN1332552A (zh) 2002-01-23
AU4331101A (en) 2001-09-17
EP1259886A4 (en) 2004-04-28
US7581247B2 (en) 2009-08-25
CA2401103C (en) 2007-04-10
EP1259886B1 (en) 2006-01-11
US7058973B1 (en) 2006-06-06
KR20020079979A (ko) 2002-10-21
RU2241252C2 (ru) 2004-11-27
RU2002126235A (ru) 2004-03-27
US20090059940A1 (en) 2009-03-05
EP1130846A3 (en) 2003-09-24
JP4634687B2 (ja) 2011-02-16
JP2003526270A (ja) 2003-09-02
US20060185010A1 (en) 2006-08-17
EP1130846A2 (en) 2001-09-05
WO2001067258A1 (en) 2001-09-13
CN1209712C (zh) 2005-07-06
DE60116610D1 (de) 2006-04-06
MXPA02008626A (es) 2003-02-24
BR0109033A (pt) 2003-06-03
DE60116610T2 (de) 2006-11-23
TW494301B (en) 2002-07-11
CA2401103A1 (en) 2001-09-13
ATE315860T1 (de) 2006-02-15
KR20010087322A (ko) 2001-09-15
BR0109033B1 (pt) 2015-03-10
KR100798660B1 (ko) 2008-01-28
US8165140B2 (en) 2012-04-24
EP1259886A1 (en) 2002-11-27
AU2001243311B2 (en) 2003-12-18

Similar Documents

Publication Publication Date Title
JP2001313679A (ja) ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ
US8631139B2 (en) System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client
US7949785B2 (en) Secure virtual community network system
US8549285B2 (en) Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
EP1714434B1 (en) Addressing method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes
US20040249974A1 (en) Secure virtual address realm
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
CN101156420A (zh) 防止来自网络地址端口转换器所服务的客户机的重复源
US9356952B2 (en) Packet redirection in a communication network
Atkinson et al. A proposal for unifying mobility with multi-homing, NAT, & security
Abdulla Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms
Heidari IPV6 Security considerations
JP2014220707A (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
CN112929435A (zh) 一种在ip层实现的跨内网通信方法及通信设备
Asghar et al. Security issues of SIP
Schläger Using the Remote Socket Architecture as NAT Replacement Michael Eyrich, Tobias Poschwatta
Shvecov NAT and Connections Management Facilities
Schmitt Host Identity Protocol Extensions for the Traversal of Network Address Translators