JP2003502913A - トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 - Google Patents

トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置

Info

Publication number
JP2003502913A
JP2003502913A JP2001504140A JP2001504140A JP2003502913A JP 2003502913 A JP2003502913 A JP 2003502913A JP 2001504140 A JP2001504140 A JP 2001504140A JP 2001504140 A JP2001504140 A JP 2001504140A JP 2003502913 A JP2003502913 A JP 2003502913A
Authority
JP
Japan
Prior art keywords
packet
computer device
protocol
network address
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001504140A
Other languages
English (en)
Other versions
JP2003502913A5 (ja
JP3793083B2 (ja
Inventor
キビネン,テロ
イローネン,タトゥ
Original Assignee
アスアスホー コミュニケーションズ セキュリティ リミティド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=23304429&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2003502913(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by アスアスホー コミュニケーションズ セキュリティ リミティド filed Critical アスアスホー コミュニケーションズ セキュリティ リミティド
Publication of JP2003502913A publication Critical patent/JP2003502913A/ja
Publication of JP2003502913A5 publication Critical patent/JP2003502913A5/ja
Application granted granted Critical
Publication of JP3793083B2 publication Critical patent/JP3793083B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/026Details of "hello" or keep-alive messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • H04L61/2553Binding renewal aspects, e.g. using keep-alive messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2578NAT traversal without involvement of the NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Burglar Alarm Systems (AREA)
  • Radio Relay Systems (AREA)
  • Exchange Systems With Centralized Control (AREA)

Abstract

(57)【要約】 本発明は、ネットワーク・アドレス翻訳(NAT)を通じて、IPSECプロトコルによって提供されるサービスなどネットワーク・セキュリティ・サービスを提供するための方法を提供する。この方法は、パケットに生じる変換を決定し、この変換を補償することに基づいている。TCPおよびUDPプロトコルしかNATを処理しないので、IPSEC AH/ESPパケットはトランスポートのためにカプセル化されて、UDPパケットとなる。この環境で信頼できる通信を可能にするために特殊な操作が行われる。

Description

【発明の詳細な説明】
【0001】 本発明は、一般的に言ってパケット交換データ伝送ネットワークにおけるコン
ピュータ間の安全な通信の分野に関するものである。より明確に言うと、本発明
は、ネットワーク・アドレス翻訳またはプロトコル変換を通じて安全な通信をセ
ットアップし維持する分野に関するものである。
【0002】 インターネット技術特別調査委員会(IETF)は、IPSEC(インターネット・プ
ロトコル・セキュリティ)プロトコル・セットを標準化した。この規格は、付属
参照文献リストに記載されるリクエスト・フォー・コメンツすなわちRFC文書番
号RFC2401、RFC2402、RFC2406、RFC2407、RFC2408およびRFC2409から周知である
。IPSECプロトコルは、RFC文書番号RFC791において規定されるIPすなわちインタ
ーネット・プロトコルにセキュリティを与える。IPSECは、新規のIPヘッダを生
成し、パケットの前に認証ヘッダ(AH)またはカプセル化セキュリティ・ペイロ
ード(ESP)ヘッダを付加することによって、パケット・レベルで認証および暗
号化を行う。オリジナルのパケットは、暗号的に認証され、任意に暗号化される
。パケットの認証および任意の暗号化に使用される方法は、AHおよびESPヘッダ
において記憶されるセキュリティ・パラメータ・インデクス(SPI)値によって
識別される。RFC文書番号RFC2401は、パケットのトランスポート・モードおよび
トンネリングモードを規定している。本発明は、どちらのモードが使用されるか
に関わりなく、応用可能である。
【0003】 近年、ネットワーク・アドレス翻訳(NAT)を開始するベンダおよびインター
ネット・サービス・プロバイダが増えている。NATについて、少なくともRFC文書
番号RFC1631並びに付属の参照文献リストにおいてSrisuresh98Terminology、Sri
sureshEgevang98、Srisuresh98Security、HoldregeSrisuresh99、TYS99、Rekhte
r99、LoBorella99およびBorellaLo99として明示される文書において言及されて
いる。図1aおよび1bにおいてアドレス翻訳の主要な2つの形式が図解的に示され
ている。すなわちホストNAT 101およびポートNAT 151である。ホストNAT 101は
、入パケット102のIPアドレスを単に翻訳するだけなので、出パケット103は別の
IPアドレスを持つ。ポートNAT 151は、入パケット152のTCPおよびUDPポート番号
(トラフィック制御プロトコル、ユーザ・データグラム・プロトコル)も処理し
て、出パケット153においていくつかのIPアドレスを単一のIPアドレスに多重化
し、これに応じて、反対方向に向かうパケットについては単一IPアドレスをいく
つかのIPアドレスにデマルチプレクスする(図には示されていない)。ポートNA
Tは、特に、家庭内および小さなオフィス環境においては一般的である。NAT装置
の入力接続と出力接続の物理的な分離は、図1aおよび1bにおいて図解を明確にす
るためにのみ示されている。実際には、物理的にNATを接続するために可能な方
法は多様にある。
【0004】 アドレス翻訳は、ローカル・ネットワークのエッジにおいて行われることがも
っとも多い(すなわち、複数のローカル・プライベート・アドレスともっと少数
の大域ルータブル・パブリック・アドレスの間の翻訳)。ポートNATが使用され
て、大域ルータブル・アドレスが1つしかないことが、最も多い。ローカル・ネ
ットワーク154は、図1bにおいて図解的に示されている。このような構成は、家
庭内および小規模なオフィス市場において非常に一般的になって来ている。一部
のインターネット・サービス・プロバイダは、カスタマにプライベート・アドレ
スを与え始めており、これらのアドレスのために自社のコア・ネットワークにお
いてアドレス翻訳を行っている。一般的に言って、ネットワーク・アドレス翻訳
は、インターネット技術特別調査委員会内部において例えばNAT作業委員会にお
いて広範に詳細に論じられてきた。NAT装置の動作原理は周知であり、無料で入
手できるソース・コードのインプリメンテーションを含めて、複数のベンダから
多数のインプリメンテーションを市場で入手できる。NATの典型的な動作は、IP
アドレスとポートの組み合わせを別のIPアドレスとポートの組み合わせにマッピ
ングするものとして説明できる。マッピングは、1回のネットワーク接続中一定
であるが、時間とともに(ゆっくりと)変化するかもしれない。実際には、NAT
の機能は、ファイヤウォールまたはルータに組み込まれることが多い。
【0005】 図1cは、送信ノード181が(第一のプライベート・ネットワークとしても知ら
れている)第一のローカル・エリア・ネットワーク182に配置され、このネッ
トワークがインターネットなど広域一般パケット交換ネットワーク184に接続す
るためにポートNAT 183を有するという、実際のネットワーク通信の状況例を示
している。広域一般パケット交換ネットワークは、さまざまな方法で相互接続さ
れた非常に多数のノードによって構成される。受信ノード185は、同様にNAT 187
を通じて広域ネットワークに結合される第二のローカル・エリア・ネットワーク
に配置される。ネットワーク・セキュリティ・サービスをセットアップするため
に必要な通信は双方向的なので、「送信ノード」および「受信ノード」という名
称は多少誤解を招きやすい。送信ノードは通信を開始するノードである。送信ノ
ードおよび受信ノードの代わりにそれぞれ「イニシエータ」および「レスポンダ
」という用語も使用される。
【0006】 図1cの目的は、通信ノードが、それが通信する際に使われる中間装置の数や性
質も、また行われる変換の性質も意識しないという事実を強調することにある。
NATの他に、インターネット上には、パケットが伝送されるときパケットを合法
的に修正するその他のタイプの装置がある。その典型的な例はプロトコル・コン
バータであり、その主な仕事は、通常の動作を妨害することなくパケットを異な
るプロトコルに変換することである。これを使用すると、NATの場合と非常によ
く似た問題を引き起こす。かなり単純だが重要な例は、インターネット・プロト
コルの異なるバージョンであるIPv4とIPv6の間の変換である。この種のコンバー
タは、近い将来非常に重要なありふれたものになるだろう。パケットはその伝播
中にこの種のいくつかの変換を経て、通信の終点では実際に異なるプロトコルを
使用する可能性がある。NATのように、プロトコル変換はルータおよびファイヤ
ウォールで行われることがしばしばある。
【0007】 IPSEC界では、IPSECプロトコルがネットワーク・アドレス翻訳を通すとうまく
機能しないことは周知である。この問題については、少なくともHoldregeSrisur
esh99およびRekhter99として示される参照文献において論じられている。
【0008】 参照のために本明細書に組み込まれるフィンランド特許出願第974665号および
対応PCT出願第FI98/01032号において、当該出願者は、IPSECアドレス翻訳を行う
ためのある種の方法およびパケットのルートにおいてアドレス変換およびプロト
コル変換に対して無反応なパケット認証方法を提示した。さらに、前記出願にお
いて、当該出願者は、上記の方法を利用することができる送信ネットワーク装置
および受信ネットワーク装置を提示した。しかし、ネットワーク・アドレス翻訳
を通じてネットワーク・セキュリティ・サービスを提供する際のいくつかの問題
点は、前記の以前の特許出願においては未解決のままである。
【0009】 信頼でき有利な方法でネットワーク・アドレス翻訳を通じてネットワーク・セ
キュリティ・サービスを提供するための方法および対応する装置を提供すること
が、本発明の目的である。
【0010】 従って、本発明の第一の態様に従って、中間コンピュータ装置を備えるパケッ
ト交換データ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピ
ュータ装置の間でパケットを安全に通信するための方法が提供される。この方法
において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレ
ス翻訳および/またはプロトコル変換を行う。この方法は: −第一のコンピュータ装置と第二のコンピュータ装置の間で伝送されるパケット
に、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決
定するステップ; −第一のプロトコルに従うパケットを取り上げ、これをカプセル化して、ネット
ワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにす
るステップ; −前記第二のプロトコルに従う前記パケットを第一のコンピュータ装置から第二
のコンピュータ装置に伝送するステップ;および −前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して、前
記第一のプロトコルに従うパケットにするステップを備える。
【0011】 本発明の第二の態様に従って、中間コンピュータ装置を備えるパケット交換デ
ータ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装
置の間で安全な通信接続を条件付きでセットアップするための方法が提供される
。この方法において、前記コンピュータ装置のうち少なくとも1つがネットワー
ク・アドレス翻訳および/またはプロトコル変換を行う。この方法は: −第二のコンピュータ装置がある通信方法をサポートするか否かを確認するステ
ップであり、このステップにおいて、第一のコンピュータ装置と第二のコンピュ
ータ装置の間で伝送されるパケットについてどのようなネットワーク・アドレス
翻訳が(行われる場合には)行われるかが決定され、第一のプロトコルに従うパ
ケットが取り上げられて、カプセル化され、ネットワーク・アドレス翻訳をトラ
バースできる第二のプロトコルに従うパケットにされ、前記第二のプロトコルに
従う前記パケットが、第一のコンピュータ装置から第二のコンピュータ装置に伝
送され、前記第二のプロトコルに従う前記伝送されたパケットがカプセル除去さ
れ、前記第一のプロトコルに従うパケットにされるステップ; −第二のコンピュータ装置が前記の通信方法をサポートすることを指示する確認
のステップに応答して、第一のコンピュータ装置と第二のコンピュータ装置の間
の安全な通信接続をセットアップするステップであり、この通信接続において前
記通信方法が採用されるステップ;および −第二のコンピュータ装置が前記通信方法をサポートしないことを指示する確認
のステップに応答して、第一のコンピュータ装置と第二のコンピュータ装置の間
で前記通信方法の使用を禁止するステップを備える。
【0012】 本発明の第三の態様に従って、中間コンピュータ装置を備えるパケット交換デ
ータ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装
置の間でパケットをトンネリングするための方法が提供される。この方法におい
て、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳
および/またはプロトコル変換を行う。この方法は: −第一のプロトコルに従うパケットを取り上げ、これを第一のコンピュータ装置
においてカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二
のプロトコルに従うパケットにするステップ; −前記第二のプロトコルに従う前記パケットを第一のコンピュータ装置から第二
のコンピュータ装置に伝送するステップ; −前記第二のコンピュータ装置において、前記第二のプロトコルに従う前記伝送
されたパケットをカプセル除去して、前記第一のプロトコルに従うパケットにす
るステップ; −前記第一のプロトコルに従う応答パケットを生成し、これを、第二のコンピュ
ータ装置においてカプセル化して、前記第二のプロトコルに従う応答パケットに
するステップ; −前記第二のプロトコルに従う前記応答パケットを第二のコンピュータから第一
のコンピュータに伝送するステップ; −第一のコンピュータ装置において前記第二のプロトコルに従う前記伝送された
応答パケットをカプセル除去して前記第一のプロトコルに従うパケットにするス
テップ; −第一のコンピュータ装置において応答パケットを使って、第一のコンピュータ
装置と第二のコンピュータ装置の間で伝送されるパケットについて行われたアド
レス翻訳に関する情報を入手するステップ;および −前記入手された情報を使って、第一のコンピュータ装置と第二のコンピュータ
装置の間のパケットのトンネリング操作を修正するステップを備える。
【0013】 本発明の第四の態様に従って、中間コンピュータ装置を備えるパケット交換デ
ータ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装
置の間でパケットをトンネリングするための方法が提供される。この方法におい
て、データ伝送ネットワークには、キー管理パケットのために特定のパケット・
フォーマットを採用するキー管理接続を備えるセキュリティ・プロトコルが存在
する。この方法は: −キー管理パケットではないデータ・パケットをカプセル化して、キー管理パケ
ットのための前記の特定のパケット・フォーマットにするステップ; −特定のパケット・フォーマットにカプセル化された前記データ・パケットを第
一のコンピュータ装置から第二のコンピュータ装置に伝送するステップ; −第二のコンピュータ装置において、特定のパケット・フォーマットにカプセル
化されたデータ・パケットを実際のキー管理パケットから区別するステップ;お
よび −特定のパケット・フォーマットにカプセル化されたデータ・パケットをカプセ
ル除去するステップを備える。
【0014】 本発明の第五の態様に従って、中間コンピュータ装置を備えるパケット交換デ
ータ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装
置の間でパケットを安全に通信するための方法が提供される。この方法において
は、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳
および/またはプロトコル変換を行い、またキー管理接続を含むセキュリティ・
プロトコルが存在する。この方法は: −第一のコンピュータ装置と第二のコンピュータ装置の間で伝送されるパケット
についてどのようなネットワーク・アドレス翻訳が行われるかを決定し、前記セ
キュリティ・プロトコルに従って第一のコンピュータ装置と第二のコンピュータ
装置の間のキー管理接続を確立し、共に第一のコンピュータ装置および第二のコ
ンピュータ装置のネットワーク・アドレスを含むヘッダ部分とペイロード部分を
有するインディケータ・パケットを、前記パケットを構成するノードが見るとお
りに構成し、キー管理接続内で前記インディケータ・パケットを送受し、受信さ
れるインディケータ・パケットにおいてヘッダ部分に含まれるアドレスとペイロ
ード部分に含まれるアドレスを比較するステップ;および −第一のコンピュータ装置と第二のコンピュータ装置の間で安全にパケットを通
信するために、決定されたネットワーク・アドレス翻訳の発生に関する情報を使
用するステップを備える。
【0015】 本発明の第六の態様に従って、中間コンピュータ装置を備えるパケット交換デ
ータ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装
置の間でパケットを安全に通信するための方法が提供される。この方法において
、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳お
よび/またはプロトコル変換を行い、送受のためにパケットのトランスポート・
モード処理を決定するセキュリティ・プロトコルに対して応答され、かつ高レベ
ル・プロトコル・チェックサムが受信パケットの保全性をチェックするために決
定されている。この方法は: −第一のコンピュータ装置において、第二のコンピュータ装置に伝送されるパケ
ットのトランスポート・モード処理を行うステップ; −第二のコンピュータ装置において、第一のコンピュータ装置から受信したパケ
ットのトランスポート・モード処理を行うステップであり、前記トランスポート
・モード処理が受信パケットのカプセル除去を含むステップ;および −第二のコンピュータ装置において、ネットワーク・アドレス翻訳によって変化
が生じた場合にはこれを補償するためにカプセル除去されたパケットの高レベル
・チェックサムをアップデートするステップを備える。
【0016】 本発明の第七の態様に従って、パケット交換データ伝送ネットワークを通じて
第一のコンピュータ装置と第二のコンピュータ装置の間で通信されるカプセル化
されたデータ伝送パケットに対してネットワーク・アドレス翻訳装置が行うアド
レス翻訳の不変の形式を維持するための方法が提供される。この方法は: −パケット交換データ伝送ネットワークを通じて第一のコンピュータ装置と第二
のコンピュータ装置の間で特定のアドレス情報と一緒に伝送される実際のデータ
・パケットについてどのアドレス翻訳が行われるかを決定するステップ;および
−たとえ第一のコンピュータ装置と第二のコンピュータ装置の間で通信されるパ
ケットの一部がネットワークにおいて紛失しても、ネットワーク・アドレス翻訳
装置が一貫してネットワーク・アドレス翻訳のために使用されるマッピングを再
使用するように、第一のコンピュータ装置および第二のコンピュータ装置のうち
少なくとも一方が、十分に高い頻度で実際のデータ・パケットのアドレス情報と
同一のアドレス情報と一緒にキープアライブ・パケットを他方のコンピュータ装
置に伝送するようにするステップを備える。
【0017】 本発明は、新規な発明的方法でUDP、IKEおよびIKE拡張メカニズムを通じてト
ンネリングするネットワーク・アドレス翻訳の方法をいくつか組み合わせ、これ
らを拡張して、ネットワーク・アドレス翻訳およびプロトコル変換を通じて安全
に通信する方法を提供する。この方法は、完全に自動的でユーザに対してトラン
スペアレントにすることができる。
【0018】 本発明の応用可能性に関するキーポイントは、本特許出願の優先日においては
、一般的に言ってTCP(RFC793において説明されている)およびUDP(RFC768にお
いて説明されている)のみがNATに対して機能していることである。なぜなら、
実際に使用されるNATのほとんどがポートNATであり、これが大域ルータブルIPア
ドレスの不足に関してもっとも有益なNATの形式である。しかしながら、本発明
は本特許出願の優先日に既知であるUDPおよびTCPの使用に限定されない。一般的
に言えば、UDPおよびTCPは、アドレス変換プロセスにおいて別の形式にマッピン
グされる接続識別情報(すなわちアドレス指定およびポート番号指定)を決定す
るプロトコルの例であるといえる。他の種類の通信プロトコルおよびアドレス変
換が将来出現するものと思われる。
【0019】 本発明のさまざまな態様は下記のことに関連する: -本発明に従って典型的な安全な通信方法である特定の方法をリモート・ホスト
がサポートするか否かの決定(「方法のサポート」態様); -パケットがある場合に、パケットについてどのようなネットワーク・アドレス
翻訳および/またはプロトコル変換が行われるかの決定(「翻訳の発生」態様)
; -パケットがNATを考察するように、特定の慎重に選択されたプロトコル、典型的
にはUDPの内部でのパケットのトンネリング(「選択されたトンネリング」態様
); -関与するNAT装置およびマッピングのためにタイムアウトを使用するその他の装
置が通信ホストのためのマッピングを損失しないようにするための、キープアラ
イブ方法の使用(「キープアライブ」態様); -AHパケットについてメッセージ認証コードを確認する前に行われる翻訳の補償
(「補償/認証」態様);および -複数のホストが単一のパブリック・アドレスにマッピングされることを補償す
るための、送信ノードまたは受信ノードにおけるアドレス翻訳の実施(「補償/
マッピング」態様)。
【0020】 異なる論理ネットワークを通じて伝送するためにデータ・パケットをカプセル
化するプロセスは、トンネリングと呼ばれる。一般には、IPプロトコルの場合、
トンネリングには、オリジナルのパケットの前に新しいIPヘッダを付加すること
、新しいヘッダにおいて適切にプロトコル・フィールドを設定することおよびパ
ケットを目標の宛先(トンネルの終点)に送ること、が含まれる。オリジナルの
パケットに関する十分な量の情報がこのプロセスにおいて保存されて、トンネル
の終わりのパケットをトンネルの始めのオリジナルのパケットと十分に類似する
形式に再構成できる限り、トンネリングは、オリジナルのパケットのヘッダ・フ
ィールドを修正してまたはこれを異なるヘッダと置き換えることによっても、実
現することができる。パケットと一緒に送る必要のある情報の正確な量はネット
ワーク・プロトコルによって左右され、情報は、明示的(トンネリングされるパ
ケットの一部として)でも暗示的(決定されるコンテキストにより、例えば、事
前に伝送されるパケットまたはトンネリングされるパケットにおけるコンテキス
ト識別子により)でも送ることができる。
【0021】 ネットワークを通じてパケットをトンネリングする方法は技術上既知である。
少なくともRFC1226、RFC1234、RFC1241、RFC1326、RFC1701、RFC1853、RFC2003
、RFC2004、RFC2107、RFC2344、RFC2401、RFC2406、RFC2473およびRFC2529は、
トンネリングのテーマを扱っている。例えば、RFC1234は、UDPを通じてIPXフレ
ームをトンネリングする方法を提示している。この方法においては、パケットは
、固定UDPポートおよびデキャプスレータのIPアドレスにトンネリングされる。
【0022】 背景説明において言及されたIPSECプロトコルは、一般に通信当事者を相互に
認証し、通信当事者のみに既知の共有の秘密を導出し、通信のために使用される
認証および暗号化方法を取り決め、通信のために使用されるセキュリティ・パラ
メータ・インデクス(SPI)値および1組のセレクタについて合意するために、イ
ンターネット・キー交換すなわちIKEプロトコル(参照文献RFC2409、RFC2408お
よびRFC2407から既知)を使用する。IKEプロトコルは、以前はISAKMP/Oakleyと
して知られていた。ISAKMPは、インターネット・セキュリティ・アソシエーショ
ン・キー管理プロトコルの略である。IKE標準において規定される通常のネゴシ
エーションの他に、IKEは、拡張のための特定のメカニズムをサポートする。参
照文献RFC2408から既知であるベンダIDペイロードは、相手方が特定のプライベ
ート拡張メカニズムをサポートするか否かを通信当事者が決定できるようにする
。RFC2407として知られるIPSEC DOI(解釈のドメイン)は、この種のプライベー
ト拡張のために特定の数値を確保する。
【0023】 現在、周知のベンダIDは、図2aに示されるフォーマットを持つものとして定義
される。ここで、カラム番号はビット・ポジションに一致する。本発明において
は、ベンダIDフィールド201は、ベンダIDペイロードの一番重要な部分である。I
KEプロトコルにおいては、リモート・ホストが安全なネットワーク通信を提供す
るための特定の方法をサポートするか否かのネゴシエーションは次のように行う
ことができる。ここで使用される用語は、IKEドキュメントから借用したもので
ある。
【0024】 IKEプロトコルは、イニシエータ(すなわち、相手側にパケットを最初に送信
するノード)とレスポンダ(すなわちパケットを最初に受信するノード)の間の
相互メッセージ交換のいわゆるフェーズ1を決定する。図3は、イニシエータとレ
スポンダの間の最初のフェーズ1メッセージの交換を図解している。本発明の「
方法のサポート」態様に従えば、両方の装置は、特定のフェーズ1メッセージの
中に特定のベンダIDペイロードを含み、これがその最初のフェーズ1メッセージ
であることが、もっとも有利である。このペイロードは、両方の装置が問題の方
法をサポートすることを指示する。
【0025】 図3において、イニシエータの最初の(またはその他の)フェーズ1メッセージ
に含まれるベンダIDフィールドは、図解的に201’として示されており、レスポ
ンダの最初の(またはその他の)フェーズ1メッセージに含まれるベンダIDフィ
ールドは、図解的に201''として示されている。特定の方法のサポートを示すた
めに、ベンダIDペイロードの中のベンダIDフィールドは、基本的にその方法の識
別子である。これは、例えば“SSH IPSEC NAT Traversal Version 1”など後端
のゼロまたは改行のない以前から既知の識別ストリングのMD5ハッシュであるこ
とが、有利である。任意の文字シーケンスのMD5ハッシュの生成は、例えば参照
文献リストに記載される刊行物RFC1321から技術上既知である。
【0026】 次に、本発明の「翻訳の発生」態様について説明する。上記のフェーズ1に加
えて、IKEプロトコルは、イニシエータとレスポンダの間の相互メッセージ交換
のいわゆるフェーズ2を決定する。本発明の「翻訳の発生」態様に従えば、当事
者は、特定のフェーズ2クイック・モード・メッセージのプライベート・ペイロ
ードにおいて当事者が見るIPアドレスを含めることにより、どの翻訳が行われる
かを決定することができる。フェーズ2クイック・モード・メッセージは最初の
フェーズ2クイック・モード・メッセージであることが、有利である。このよう
なプライベート・ペイロードの使用を表すためにプライベート・ペイロード番号
範囲のどのような未使用の番号でも使用することができる(例えば、本特許出願
の優先日の時点では未使用の157)。
【0027】 翻訳の発生を明らかにするために使用されるプライベート・ペイロードは、例
えば、図2bに示されるフォーマットを持つことができる。フィールド211は、フ
ィールド212および213に示されるアドレスのタイプを識別するタイプ・コードを
含んでいる。フィールド212は、メッセージを送るノードが見るとおりのイニシ
エータのアドレスを含んでおり、フィールド213は、メッセージを送るノードが
見るとおりのレスポンダのアドレスを含んでいる。図3は、イニシエータとレス
ポンダの間の(最初の)フェーズ2クイック・モード・メッセージの交換を示し
ているので、対応するフィールド211’、212’および213’は前者によって送ら
れるメッセージに含まれており、フィールド211’’、212’’および213’’は
後者によって送られるメッセージに含まれている。
【0028】 既知の慣行に従って、イニシエータおよびレスポンダのアドレスは図2bのペイ
ロードを含んでいるパケットのヘッダにも含まれる。ヘッダにおいて、これらの
アドレスはアドレス翻訳およびその他の処理の影響を受けるが、プライベート・
ペイロードにおいてはこの影響を受けない。図2bのペイロードを含むパケットが
受信されると、ペイロードに含まれるアドレスは、パケット・ヘッダに含まれる
アドレスと比較される。これが異なる場合、パケットにアドレス翻訳が行われた
ことになる。後に、本発明の応用と一緒に標準IKEポート番号500の使用について
触れる。翻訳の発生を検出する付加的方法として、受信パケットのポート番号を
標準IKEポート番号と比較して、ポート翻訳が行われたか否かを決定することが
できる。
【0029】 アドレスを処理する際にかなり重要な点は、後で使用するためにパケットのUD
Pソース・ポートを保存できることである。通常であれば、これは、フェーズ1 I
SAKMPセキュリティ・アソシエーションのためにデータ構造と一緒に保存され、
フェーズ2 IPSECセキュリティ・アソシエーションのために補償処理をセットア
ップするために使用される。
【0030】 上に説明される方法を本発明の「翻訳の発生」態様を実現するために使用する
ためには、ホストは、そのフェーズ2識別ペイロードを修正しなければならない
。すなわち、図2bに示されるペイロードは、既存の標準においては未知である。
1つの可能性は、ペイロードをID_IPV4_ADDRおよびID_IPV6_ADDRタイプに制限す
ることである。これは、ホスト間動作に適するであろう。
【0031】 次に、本発明の「トンネリングの選択」、「補償/認証」および「補償/マッピ
ング」態様について説明する。本発明のこの態様に従えば、実際のデータ・パケ
ットを通信接続のセキュリティ機構をセットアップするために使用されるのと同
じ接続、例えばIKEに使用されるUDP接続を通じてトンネリングすることができる
。これによって、実際のデータ・パケットは、翻訳が決定されたときIKEパケッ
トが受けたのと同じ翻訳を受けることができる。IKEについて標準ポート番号500
が決定されたとすると、これは、全てのパケットが、ソース・ポート500および
宛先ポート500で送られることになり、カプセル化されたデータを含んでいるパ
ケットから実IKEパケットを区別するための方法が必要となる。これを行う1つの
可能な方法は、実IKEパケットに使用されるIKEヘッダがイニシエータ・クッキー
・フィールドを含んでいるという事実を利用することである。すなわち、本発明
のこの態様をサポートするイニシエータは決してその最初の4つのバイトが全て
ゼロであるクッキーを生成しない、と規定することができる。そうすると、該当
する4つのバイトにおける値ゼロは、パケットをトンネリングされたデータ・パ
ケットとして認識するために使用される。このようにして、トンネリングされた
データ・パケットは、UPDペイロードの始めに4つのゼロ・バイトを持つが、実IK
Eパケットはこれを持たない。
【0032】 図4は、伝送のために実際のIPSECパケットをUPDにカプセル化するところを示
している。基本的に、UDPヘッダ403および短い中間ヘッダ404は、すでにパケッ
トの中にあるIPヘッダ401の後に挿入されている(プロトコル・フィールドは中
間ヘッダにコピーされている)。IPヘッダ401は小修正されて、修正IPヘッダ401
’となる。IPペイロード402はそのままである。左側のカプセル化されていないI
PSECパケットの単純な図解を誤解してはならない。このパケットは、プレーンテ
キストではなく、UDPにカプセル化される前に送信ノードにおいてAHまたはESPま
たはその他の対応する変換プロトコルに従ってすでに処理されている。
【0033】 一般性を制限することなく、本明細書における提示においては、図4に従った
カプセル化は常にIPSEC処理を行う同じノード(終点ノードかVPN装置)によって
行われると、仮定される。また、IPSECパケットをUDPにカプセル化する代わりに
、これをTCPにカプセル化できることにも留意しなければならない。この代替方
法の場合には、TCPプロトコルにおいて規定されるとおり最初のパケットがSYNビ
ットを持ち最後のパケットがFINビットを持つように、偽(fake)・セッション
開始および終了を使用する必要があるだろう。
【0034】 図4に従って実際のデータ・パケットまたは「データグラム」をカプセル化す
る際、オリジナルのIPヘッダ401(RFC971において定義される)は、下記のとお
り修正済みIPヘッダ401’を生成するように修正される: *IPヘッダのプロトコル・フィールド(別個に図示されていない)は、RFC768に
従ってUDPのためのプロトコル17に置き換えられる。 *IPヘッダの全長フィールド(別個に図示されていない)は、UDPおよび中間ヘッ
ダの結合サイズ(合計16バイト)だけ増加される。 *IPヘッダのヘッダ・チェックサム・フィールド(別個に図示されていない)はR
FC791に示されるルールに従って再計算される。
【0035】 図4に示されるとおり、UDPヘッダ403(RFC768において定義される)および中
間ヘッダは、IPヘッダの後に挿入される。UDPヘッダは8オクテット、中間ヘッダ
は8オクテットであり、合計で16オクテットである。これらのヘッダは、以下の
論証において1つのものとして扱われる。結合ヘッダは、図2cに図解されるフォ
ーマットを持つことが、もっとも有利である。このヘッダのフィールドは、以下
のとおりに設定される: *ソース・ポート・フィールド221は、500(IKEと同じ)に設定される。パケット
がNATを経る場合、パケットが受信されるときこれが異なる可能性がある。 *宛先ポート・フィールド222は、相手側がパケットを送っていると思われるポー
ト番号に設定される。パケットがNATを経る場合、受け手は異なるポート番号を
見る可能性がある。 *UDP長さフィールド223はUDPヘッダの長さプラスUDPデータ・フィールドの長さ
である。この場合、このフィールドは、中間ヘッダも含む。値は、バイトで、16
プラス、オリジナルのIPパケット・ペイロードとして計算される(オリジナルの
IPヘッダは含まず、これはIPヘッダの長さフィールドに含まれる)。 *UDPチェックサム・フィールド224は、0に設定されることが、もっとも有利であ
る。UDPチェックサムは、任意であり、このトンネリング・メカニズムを使って
これを計算またはチェックしようとは、出願者は考えていない。データの無欠性
は、トンネリングされるパケット内のAHまたはESPヘッダによって保護されると
想定される。 *マスト・ビー・ゼロ・フィールド225:このフィールドは、事前に合意された固
定値を含まなければならず、この値は全てゼロであることが、もっとも有利であ
る。このフィールドは、実際のIKEヘッダにおけるイニシエータ・クッキー・フ
ィールドの最初の4バイトとオーバーラップする。本発明のこの態様をサポート
するイニシエータは、最初の4つのバイトがゼロであるクッキーを使用してはな
らない。このゼロのバイトは、トンネリングされたパケットを実ISAKMPパケット
から分離するために使用される。当然、「全てゼロ」以外の他の固定を選択する
ことは可能であるが、値は、この特定の用途について固定されなければならない
。 *プロトコル・フィールド226:このフィールドの値は、オリジナルのIPヘッダに
おける既知のプロトコル・フィールド(図4には示されていない)からコピーさ
れる。 *予約フィールド227:全てゼロとして送られることが、もっとも有利である。受
信時には無視される。
【0036】 送り手は、NATの背景で宛先にトンネリングされるあらゆるパケットにこのヘ
ッダを挿入する。NATが使用されるか否かについての情報は、ポリシー・マネー
ジャにおいてSA(セキュリティ・アソシエーション)ごとに記憶することができ
る。図4において言及されるカプセル化は、新規の変換としてまたは既知のAHお
よびESP変換の一部として実施することができる。
【0037】 カプセル化操作は、IKEネゴシエーション中に決定されるリモート・ホストのI
PアドレスおよびUDPポート番号を使用する。
【0038】 受け手は、AHまたはESP処理を行う前にこのカプセル化されたパケットをカプ
セル除去する。カプセル除去は、このヘッダを取り除いて、IPヘッダのプロトコ
ル・フィールド、長さフィールドおよびチェックサム・フィールドを更新する。
構成データ(ポート番号など)はこの操作を必要としない。
【0039】 カプセル除去は、以下のセレクタの全てが合致する場合しか行う必要はない:
*宛先アドレスがこのホストの宛先アドレスであり、 *ソース・アドレスがこのホストがこのトンネリングのために使用する相手とし
て合意したホストのアドレスであり、 *プロトコル・フィールドがUDPを指示しており、 *宛先ポート・フィールドの値が500であり、かつ *ソース・ポート・フィールド値が、このホストがこのトンネリングを使用する
相手として合意したポートを指示している(このトンネリングは複数のソース・
アドレスおよびポートのために行われる場合があることに注意すること。その各
々が別個のセレクタ・セットによって処理される)。
【0040】 カプセル除去中、受信パケットの中のソース・アドレスを、IKEネゴシエーシ
ョン中受信される実ソース・アドレスと置き換えることができる。これは、AH M
AC確認の補償を実現する。アドレスは、下に説明する事後処理段階において再び
変更される。この補償により、標準AHおよびESP変換を無修正で使用することが
できる。
【0041】 図3において、送信ノードにおけるAH/ESP処理は、図解的にブロック301として
示されており、データグラムのUDPへのカプセル化は、図解的にブロック302とし
て示され、データグラムのUDPからのカプセル除去は、図解的にブロック303とし
て示され、受信ノードにおけるAH/ESP処理は、図解的にブロック304として示さ
れている。
【0042】 パケットがAHまたはESPからカプセル除去された後に付加的補償が行われなけ
ればならない。この付加的カプセル除去は、アウター・パケットは実際にはNAT
を経ている(図3においては図解的にブロック305として示される)ので、プレー
ンテキスト・パケットも同様の変換を経なければならないという事実に関係して
いる。受け手は、NAT装置のアドレスをオリジナルの内部アドレスとしてではな
くホストのアドレスとして見なければならない。その代わりに、パケットをAHま
たはESPにカプセル化する前に、この補償をパケットの送り手が行うことも可能
である。
【0043】 この付加的補償については、さまざまな特殊なケースに関して下記のとおりい
くつかの代替方法がある(最良の補償は個々の応用によって異なる): *この処理のためにある範囲ネットワーク・アドレスを割り当てる(例えば、リ
ンク・ローカルにおいて169.254.x.x.の範囲を使用する。実際の値は関係ない。
基本的には、単に他の誰も使用していない任意のネットワークが欲しいだけであ
る)。この範囲のあるアドレスが、各<natip、ownip、natport、ownport>組み
合わせに割り当てられる。ここで、natipはNATのIPアドレスを意味し、ownipは
処理装置自身のIPアドレスを意味し、natportはNATのポート番号を意味し、ownp
ortは処理装置自身のポート番号を意味する。パケットにおけるリモート・アド
レスは、パケットがプロトコル・スタックに送られる前にこのアドレスと置き換
えられる。 *補償の一部として、ホスト・アドレスまたはポート番号が変更された場合内部
ホストのTCPチェックサムを再計算しなければならない。TCPチェックサム計算は
、RFC1071から既知のとおりインクリメンタルでもよい。ソース・ポートについ
てポートNATを行う必要があるかもしれない。 *互換性のないプライベート・アドレス・スペース(オーバーラップの可能性が
ある)を使用する2つのサイト間でVPNとして使用される場合、アドレスをローカ
ル・アドレスと互換性を持つようにするためにアドレス翻訳を行わなければなら
ない。 *互換性のある(オーバーラップしない)プライベート・アドレス・スペースを
使用する2つのサイト間でVPNとして使用され、トンネル・モードが使用される場
合、付加的補償は必要ない。 *FTP(RFC959から既知)またはH.323など特定のプロトコル・パケットの内容に
ついてアドレス翻訳を行う必要がある場合がある。他の同様の問題については、
HoldregeSrisuresh99として示される参照文献において論じられている。 *サーバでクライアントのためにランダム・アドレスを使用して、このアドレス
にアドレス翻訳することも可能である。これにより、サーバが同一のNATの背景
で複数のクライアントを区別できるようにすることができ、ローカル・アドレス
・スペースの手動構成を避けることができる。 *補償操作は、UDPポート番号を確保するためにローカル・マシンにおいてTCP/IP
スタックと対話してもしなくてもよい。
【0044】 一般的に行って、本発明は、インナー・パケットのために使用される方法をア
ウター・ヘッドのために行われるNATに強要するものではない。この補償を行う
ための最適の方法は、実験により上記の代替方法の中から見つかるかも知れない
し、他の最適の方法が提示されるかも知れない。
【0045】 次に、本発明の「キープアライブ」態様、すなわち行われる翻訳が決定された
後はネットワークにおいて行われるネットワーク・アドレス翻訳が変化しないよ
うにする態様について述べる。ネットワーク・アドレス・トランスレータは、返
答パケットのためにマッピングを逆転できるように、アドレス・マッピングに関
する情報をキャッシュ・メモリに入れる。TCPが使用される場合、アドレス・ト
ランスレータは、特定のマッピングをドロップできるときを決定するためにTCP
ヘッダのFINビットを見ることができる。しかし、UDPの場合、流れの明示的な終
了の指示がない。そのため、多くのNATは、UDPについてはかなり速く(30秒ほど
)マッピングをタイプアウトする。従って、マッピングを維持させることが必要
となる。
【0046】 マッピングを維持させるための可能な方法は、アドレス翻訳がキャッシュ・メ
モリにとどまるのに十分な頻度でキープアライブ・パケットを送ることである。
要求される頻度を計算する際には、パケットがネットワークで紛失する可能性を
考慮に入れなければならないので、NATがマッピングを忘れるかもしれない推定
最短時間内に複数のキープアライブが送られなければならない。適切な頻度は、
マッピングがキャッシュに保持されている時間と、ネットワークのパケット損失
確率によって決まる。さまざまな状況での最適の頻度は実験によって見つけるこ
とができる。
【0047】 キープアライブ・パケットは、キープアライブ・パケットが実際のデータ・パ
ケットと同じように正確に処理されるようにするために、データ・パケット・ヘ
ッダと等しい必要なヘッダ以外には意味のある情報を含む必要はない。キープア
ライブ・パケットは、これをデータ・パケットではなくキープアライブ・パケッ
トとして識別するインディケータを含むことができる。ただし、意味のあるペイ
ロード情報を含まない全てのパケットはキープアライブ・パケットとして解釈さ
れると決定することもできる。図3において、キープアライブ・パケットの伝送
は、図解的にブロック306で示されており、その受信および廃棄は図解的にブロ
ック307で示される。実際のデータ・パケットが十分な頻度で伝送される場合お
よび/または中間装置がそのキャッシュからマッピング情報を削除しそうもない
短い時間しか(例えば数秒)接続を有効としない場合、キープアライブ・パケッ
トの使用は、全く必要とされないことが、分かるはずである。キープアライブ・
パケットは、双方向に伝送することもできるが、一方向にしか伝送する必要がな
い。双方向伝送の結果生じる欠点は、不必要なネットワーク・トラフィックが増
大することである。本発明は、キープアライブ・パケットが伝送される方向を制
限しない。
【0048】 図5は、本発明に従ったネットワーク・アドレス翻訳を通じて安全な通信を行
う方法に従ってイニシエータまたはレスポンダとして作用できるネットワーク装
置500の単純化されたブロック図である。ネットワーク・インターフェイス501は
、ネットワーク装置500を物理的にネットワークに接続する。アドレス管理ブロ
ック502は、正確なネットワーク・アドレス、ポート番号およびその他ネットワ
ーク装置500自体およびその同格物(図には示されていない)の両方に関する重
要な公開識別情報を追跡する。IKEブロック503は、キー管理および秘密情報の交
換に関係するその他のアクティビティを担当する。暗号化/暗号解読ブロック504
は、IKEブロック503が秘密キーを入手した後データの暗号化および解読を実施す
る。補償ブロック505は、本発明に従って送受されるパケットにおいて許容され
る変換を補償するために使用される。ブロック504および505のどちらも、キープ
アライブ・パケットを送受し、廃棄するために使用できる。パケット・アセンブ
ラ/ディセンブラ・ブロック506は、ブロック502から505までと物理的ネットワー
ク・インターフェイス501との間の中間ブロックである。全てのブロックは、制
御ブロック507の監督の下で動作し、制御ブロックは、例えば、ディスプレイ装
置(図には示されていない)を通じてユーザに情報を表示しキーボード(図には
示されていない)を通じてユーザからコマンドを受けるために、他のブロックと
ネットワーク装置の残り部分との間の情報のルーティングも制御する。図5のブ
ロックは、マイクロプロセッサの事前にプログラムされた動作手順として実現さ
れることがもっとも有利であり、この実現は、当業者には既知である。本発明を
実施するために、図に示される以外の配列も使用することができる。
【0049】 本発明をIKE、およびIKEポートを使用するトンネリングに関連して紹介したが
、本発明は異なるパケット・フォーマット化方法、異なるネゴシエーション細部
、異なるキー交換プロトコルまたは異なるセキュリティ・プロトコルを使用する
他の類似するケースにも応用されることが、分かるはずである。本発明は、適切
な特性を有する非IPプロトコルにも応用できる。本発明は、IPv4およびIPv6プロ
トコルに等しく応用できる。本発明は、また、IPSECおよびIKEプロトコルの将来
のバージョンに応用されることも予定している。
【0050】 本発明は単なるアドレス翻訳だけでなくプロトコル翻訳にも応用できることが
、分かるはずである。本発明をプロトコル翻訳に適合させることは、本明細書の
説明および上に言及され参照により本明細書に組み込まれる同じ出願者の前の特
許出願におけるプロトコル翻訳に関する論証を読めば、十分に当業者の能力の及
ぶ範囲にあるだろう。
【表1】
【表2】
【表3】
【表4】
【表5】
【図面の簡単な説明】
【図1a】 ホストNATの既知の使用法を示している。
【図1b】 ポートNATの既知の使用法を示している。
【図1c】 パケット交換ネットワークを通じて行われるノード間の既知の通信接続を示し
ている。
【図2a】 本発明において応用可能な特定のベンダIDペイロードを示している。
【図2b】 本発明において応用可能な特定のプライベート・ペイロードを示している。
【図2c】 本発明において応用可能な特定の組み合わせヘッダ構造を示している。
【図3】 本発明の応用に関係する特定の方法のステップを示している。
【図4】 本発明の1つの態様に従ったヘッダ構造の変換を示している。
【図5】 本発明に従った方法を実現するために使用されるネットワーク装置の単純化さ
れたブロック図を示している。
【手続補正書】特許協力条約第34条補正の翻訳文提出書
【提出日】平成13年8月18日(2001.8.18)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正の内容】
【特許請求の範囲】
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,MZ,SD,SL,SZ,TZ,UG ,ZW),EA(AM,AZ,BY,KG,KZ,MD, RU,TJ,TM),AE,AG,AL,AM,AT, AU,AZ,BA,BB,BG,BR,BY,CA,C H,CN,CR,CU,CZ,DE,DK,DM,DZ ,EE,ES,FI,GB,GD,GE,GH,GM, HR,HU,ID,IL,IN,IS,JP,KE,K G,KP,KR,KZ,LC,LK,LR,LS,LT ,LU,LV,MA,MD,MG,MK,MN,MW, MX,MZ,NO,NZ,PL,PT,RO,RU,S D,SE,SG,SI,SK,SL,TJ,TM,TR ,TT,TZ,UA,UG,US,UZ,VN,YU, ZA,ZW Fターム(参考) 5B089 GA04 HB02 HB10 KA12 KA17 KB06 KB13 KF05 5K030 GA15 HA08 HC01 HC14 HD03 HD06 HD09 JA11 LD19 5K033 AA08 CB02 CB09 DA06 DB18

Claims (23)

    【特許請求の範囲】
  1. 【請求項1】 中間コンピュータ装置(183、187、305)を備えるパケット
    交換データ伝送ネットワークを通じて第一のコンピュータ装置(181、イニシエ
    ータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットを安全に
    通信する方法であって、前記コンピュータ装置のうち少なくとも1つがネットワ
    ーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、 −前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送される
    パケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われ
    るかを決定するステップと、 −第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して
    (302)、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに
    従うパケットにするステップと、 −前記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から
    前記第二のコンピュータ装置に伝送するステップと、 −前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して(30
    3)、前記第一のプロトコルに従うパケットにする(304)ステップと、 を含むことを特徴とする、パケットを安全に通信する方法。
  2. 【請求項2】 第一のプロトコルに従うパケットを取り上げ(301)、これ
    をカプセル化して(302)第二のプロトコルに従うパケットにする前記ステップ
    が、 −インターネット・プロトコルに従うパケット(401、402)を取り上げるサブス
    テップと、 −IPSECプロトコル・セットに従って前記パケットを処理するサブステップと、
    −前記処理されたパケットをカプセル化して、ユーザ・データグラム・プロトコ
    ルに従うパケット(401’、403、404)にするサブステップと、 を含むことを特徴とする、請求項1に記載の方法。
  3. 【請求項3】 第一のプロトコルに従うパケットを取り上げ(301)、これ
    をカプセル化して(302)第二のプロトコルに従うパケットにする前記ステップ
    が、 −インターネット・プロトコルに従うパケットを取り上げるサブステップと、 −IPSECプロトコル・セットに従って前記パケットを処理するステップと、 −前記処理されたパケットをカプセル化して、伝送制御プロトコルに従うパケッ
    トにするステップと、 を含むことを特徴とする、請求項1に記載の方法。
  4. 【請求項4】 前記方法が、さらに前記第一のコンピュータ装置から前記第
    二のコンピュータ装置に伝送されるパケットにおいて前記第二のプロトコルにつ
    いてネットワーク・アドレス翻訳を補償するステップを含むことを特徴とする、
    請求項1に記載の方法。
  5. 【請求項5】 ネットワーク・アドレス翻訳を補償する前記ステップが、も
    しあるならば、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間
    で伝送されるパケットにどのようなネットワーク・アドレス翻訳が行われるかを
    決定する前記ステップにおいて入手される情報に基づいてアドレス翻訳を行うス
    テップを含むことを特徴とする、請求項4に記載の方法。
  6. 【請求項6】 ネットワーク・アドレス翻訳を補償する前記ステップが、も
    しあるならば、さらに、前記第一のコンピュータ装置と前記第二のコンピュータ
    装置の間で伝送されるパケットにどのようなネットワーク・アドレス翻訳が行わ
    れるかを決定する前記ステップにおいて入手される情報に基づいてポート番号翻
    訳を行うステップを含むことを特徴とする、請求項5に記載の方法。
  7. 【請求項7】 前記方法が、さらに、前記第一のコンピュータ装置と前記第
    二のコンピュータ装置の間で伝送されるパケットに対して行われるネットワーク
    ・アドレス翻訳が同じものであり続けるようにするために、前記第一のコンピュ
    ータ装置と前記第二のコンピュータ装置の間で周期的にキープアライブ・パケッ
    トを伝送する(306、307)ステップを含むことを特徴とする、請求項1に記載の
    方法。
  8. 【請求項8】 中間コンピュータ装置(183、187、305)を備えるパケット
    交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イ
    ニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間で安全な通信
    接続を条件付きでセットアップするための方法において、前記コンピュータ装置
    のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル
    変換を行い、該方法が、 −前記第二のコンピュータ装置がある通信方法をサポートするか否かを確認する
    (201’、201’)ステップであり、該ステップにおいて、もしあるならば、前記
    第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケッ
    トについてどのようなネットワーク・アドレス翻訳が行われるかが決定され、第
    一のプロトコルに従うパケットが取り上げられ、カプセル化されて、ネットワー
    ク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにされ、
    前記第二のプロトコルに従う前記パケットが前記第一のコンピュータ装置から前
    記第二のコンピュータ装置に伝送され、前記第二のプロトコルに従う前記伝送さ
    れたパケットがカプセル除去されて、前記第一のプロトコルに従うパケットにさ
    れる、ステップと、 −前記第二のコンピュータ装置が前記の通信方法をサポートすることを示す確認
    のステップに応答して、前記第一のコンピュータ装置と前記第二のコンピュータ
    装置の間の安全な通信接続をセットアップするステップであり、前記通信接続に
    おいて前記通信方法が採用されるステップと、 −前記第二のコンピュータ装置が前記通信方法をサポートしないことを示す確認
    のステップに応答して、前記第一のコンピュータ装置と前記第二のコンピュータ
    装置の間で前記通信方法の使用を禁止するステップと、 を含むことを特徴とする、方法。
  9. 【請求項9】 中間コンピュータ装置(183、187、305)を備えるパケット
    交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イ
    ニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットを
    トンネリングするための方法において、前記コンピュータ装置のうち少なくとも
    1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、該方
    法が、 −安全な通信プロトコルに従うパケットを交換することによって前記第一のコン
    ピュータ装置と前記第二のコンピュータ装置の間に双方向トンネリング・モード
    を確立するステップと、 −第一のプロトコルに従うパケットを取り上げ(301)、これを第一のコンピュ
    ータ装置においてカプセル化して(302)、ネットワーク・アドレス翻訳をトラ
    バースできる第二のプロトコルに従うパケットにするステップと、 −前記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から
    前記第二のコンピュータ装置に伝送するステップと、 −前記第二のコンピュータ装置において前記第二のプロトコルに従う前記伝送さ
    れたパケットをカプセル除去して(303)、前記第一のプロトコルに従うパケッ
    トにする(304)ステップと、 −前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送される
    パケットについて行われたアドレス翻訳に関する情報を入手するステップと、 −前記入手された情報を使って、前記第一のコンピュータ装置と前記第二のコン
    ピュータ装置に確立された双方向トンネリング・モードを修正するステップと、
    を含むことを特徴とする、方法。
  10. 【請求項10】 前記第一のコンピュータ装置と前記第二のコンピュータ装
    置の間で伝送されるパケットについて行われたアドレス翻訳に関する情報を入手
    する前記ステップが、 −前記第一のコンピュータ装置と前記第二のコンピュータ装置の間でヘッダ部分
    およびペイロード部分を含むパケットを伝送するサブステップと、 −前記ヘッダ部分において伝送されるネットワーク・アドレスにどのような変化
    が生じたか確認するために前記ペイロード部分において伝送されるネットワーク
    ・アドレスを前記ヘッダ部分において伝送されるネットワーク・アドレスと比較
    するサブステップと、 を含むことを特徴とする、請求項9に記載の方法。
  11. 【請求項11】 前記方法が、さらに、もしあるならば、前記第一のコンピ
    ュータと前記第二のコンピュータ装置の間で伝送されるパケットについて行われ
    るネットワーク・アドレス翻訳が同じものであり続けるようにするために、前記
    第一のコンピュータ装置と前記第二のコンピュータ装置の間でキープアライブ・
    パケットを周期的に伝送する(306、307)ステップを含むことを特徴とする、請
    求項9に記載の方法。
  12. 【請求項12】 前記入手された情報を使ってパケットのトンネリング操作
    を修正する前記ステップが、前記第一のコンピュータ装置と前記第二のコンピュ
    ータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻
    訳を補償するために、パケットのカプセル化(302)前にアドレス翻訳を導入す
    るサブステップを含むことを特徴とする、請求項9に記載の方法。
  13. 【請求項13】 前記入手された情報を使ってパケットのトンネリング操作
    を修正する前記ステップが、前記第一のコンピュータ装置と前記第二のコンピュ
    ータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻
    訳を補償するために、パケットのカプセル除去(303)後にアドレス翻訳を導入
    するサブステップを含むことを特徴とする、請求項9に記載の方法。
  14. 【請求項14】 中間コンピュータ装置(183、187、305)を備えるパケッ
    ト交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、
    イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケット
    をトンネリングするための方法であり、前記データ伝送ネットワークにおいて、
    キー管理パケットのために特定のパケット・フォーマットを採用するキー管理接
    続を備えるセキュリティ・プロトコルが存在し、該方法が、 −キー管理パケットではないデータ・パケットをキー管理パケットのための前記
    特定のパケット・フォーマットにカプセル化するステップと、 −前記特定のパケット・フォーマットにカプセル化された前記データ・パケット
    を前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステ
    ップと、 −前記第二のコンピュータ装置において、前記特定のパケット・フォーマットに
    カプセル化された前記データ・パケットを実際のキー管理パケットから区別する
    ステップと、 −前記特定のパケット・フォーマットにカプセル化された前記データ・パケット
    をカプセル除去するステップと、 を含むことを特徴とする、方法。
  15. 【請求項15】 キー管理パケットではないデータ・パケットをカプセル化
    する前記ステップが、 −キー管理パケットではないデータ・パケットを、特定のイニシエータ・クッキ
    ー・フィールドを定義するインターネット・キー交換プロトコルによって指定さ
    れるキー管理パケット・フォーマットにカプセル化するサブステップと、 −カプセル化されたデータ・パケットの前記イニシエータ・クッキー・フィール
    ドに、前記カプセル化されたパケットがキー管理パケットではなくデータ・パケ
    ットであることを指示する値を挿入するサブステップと、 を含むことを特徴とする、請求項14に記載の方法。
  16. 【請求項16】 中間コンピュータ装置(183、187、305)を備えるパケッ
    ト交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、
    イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケット
    を安全に通信するための方法において、前記コンピュータ装置のうち少なくとも
    1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、かつ
    該方法において、キー管理接続を含むセキュリティ・プロトコルが存在し、該方
    法が、 −前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送される
    パケットについて、もしあるならば、どのようなネットワーク・アドレス翻訳が
    行われるかを決定し、前記セキュリティ・プロトコルに従って前記第一のコンピ
    ュータ装置と前記第二のコンピュータ装置の間にキー管理接続を確立し、共に前
    記第一のコンピュータ装置および前記第二のコンピュータ装置のネットワーク・
    アドレスを含むヘッダ部分およびペイロード部分を有するインディケータ・パケ
    ットを、前記パケットを構成するノードが見るとおりに構成し、前記キー管理接
    続内で前記インディケータ・パケットを送受し、受信したインディケータ・パケ
    ットにおいて前記ヘッダ部分に含まれるアドレスと前記ペイロード部分に含まれ
    るアドレスを比較するステップと、 −前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で安全にパケ
    ットを通信するために、決定されたネットワーク・アドレス翻訳の発生に関する
    情報を使用するステップと、 を含むことを特徴とする、方法。
  17. 【請求項17】 前記セキュリティ・プロトコルが、キー管理接続のための
    標準ポート番号を決定し、該方法がさらに、前記受信されたインディケータ・パ
    ケットにおいてソース・ポート番号をキー管理接続のための前記標準ポート番号
    と比較するステップを含むことを特徴とする、請求項16に記載の方法。
  18. 【請求項18】 中間コンピュータ装置(183、187、305)を備えるパケッ
    ト交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、
    イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケット
    を安全に通信するための方法において、前記コンピュータ装置のうち少なくとも
    1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、該方
    法において、送受のためにパケットのトランスポート・モード処理を決定するセ
    キュリティ・プロトコルが確認され、かつ該方法において、高レベル・プロトコ
    ル・チェックサムが受信パケットの無欠性をチェックするために決定されており
    、該方法が、 −前記第一のコンピュータ装置において、前記第二のコンピュータ装置に伝送さ
    れるパケットのトランスポート・モード処理を行うステップと、 −前記第二のコンピュータ装置において、前記第一のコンピュータ装置から受信
    されるパケットのトランスポート・モード処理を行うステップであり、前記トラ
    ンスポート・モード処理が受信パケットのカプセル除去を含む、ステップと、 −前記第二のコンピュータ装置において、ネットワーク・アドレス翻訳によって
    変化が生じた場合にはこれを補償するためにカプセル除去されたパケットの高レ
    ベル・チェックサムをアップデートするステップと、 を含むことを特徴とする、方法。
  19. 【請求項19】 前記方法において、 −前記第一のコンピュータ装置において前記第二のコンピュータに伝送されるパ
    ケットのトランスポート・モード処理を行う前記ステップが、IPSECプロトコル
    ・セットにおいて決定されるトランスポート・モード処理を行う形をとり、 −前記第二のコンピュータ装置において前記第一のコンピュータ装置から受信さ
    れるパケットのトランスポート・モード処理を行う前記ステップが、IPSECプロ
    トコル・セットにおいて決定されるトランスポート・モード処理を行う形をとる
    、 ことを特徴とする、請求項18に記載の方法。
  20. 【請求項20】 前記方法が、さらに、 −前記第一のコンピュータ装置において、前記第二のコンピュータ装置に伝送さ
    れるパケットのトランスポート・モード処理を行った後に、前記処理済みのパケ
    ットをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二の
    プロトコルに従うパケットにするステップと、 −前記第二のコンピュータ装置において、前記第一のコンピュータ装置から受信
    されるパケットのトランスポート・モード処理を行う前に、前記第二のプロトコ
    ルに従うパケットから受信パケットをカプセル除去して、カプセル除去されたパ
    ケットの中の多数のネットワーク・アドレスを、カプセル除去前に受信パケット
    から得られた対応する数のネットワーク・アドレスと置き換えるステップと、 を含むことを特徴とする、請求項18に記載の方法。
  21. 【請求項21】 高レベル・プロトコル・チェックサムを更新する前記ステ
    ップが、トランス・モード処理されたパケットのチェックサムを再計算する形を
    とることを特徴とする、請求項18に記載の方法。
  22. 【請求項22】 前記方法が、さらに、ネットワーク・アドレス翻訳の前後
    に前記第一および第二のコンピュータ装置のネットワーク・アドレスに関する情
    報を入手するステップを含み、かつ高レベル・プロトコル・チェックサムを更新
    する前記ステップが、ネットワーク・アドレス翻訳の前後に前記第一および第二
    のコンピュータ装置のネットワーク・アドレスに関して入手された前記情報に基
    づいてチェックサムを増分更新する形をとることを特徴とする、請求項18に記載
    の方法。
  23. 【請求項23】 パケット交換データ伝送ネットワーク(184)を通じて第
    一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、
    レスポンダ)の間で特定のアドレス情報と一緒に伝送されるカプセル化された実
    際のデータ・パケットに対してネットワーク・アドレス翻訳装置が行うアドレス
    翻訳の不変の形式を維持するための方法であり、該方法が、 −たとえ前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で通信
    されるパケットの一部がネットワークにおいて紛失しても、ネットワーク・アド
    レス翻訳装置が一貫してネットワーク・アドレス翻訳(305)のために使用され
    るマッピングを再使用するように、前記第一のコンピュータ装置および前記第二
    のコンピュータ装置のうち少なくとも一方が、十分に高い頻度で実際のデータ・
    パケットのアドレス情報と同一のアドレス情報と一緒にキープアライブ・パケッ
    トを他方のコンピュータ装置に伝送するようにするステップ、 を含むことを特徴とする、方法。
JP2001504140A 1999-06-15 2000-06-15 トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 Expired - Fee Related JP3793083B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/333,829 1999-06-15
US09/333,829 US6957346B1 (en) 1999-06-15 1999-06-15 Method and arrangement for providing security through network address translations using tunneling and compensations
PCT/FI2000/000537 WO2000078008A1 (en) 1999-06-15 2000-06-15 A method and arrangement for providing security through network address translations using tunneling and compensations

Publications (3)

Publication Number Publication Date
JP2003502913A true JP2003502913A (ja) 2003-01-21
JP2003502913A5 JP2003502913A5 (ja) 2005-08-04
JP3793083B2 JP3793083B2 (ja) 2006-07-05

Family

ID=23304429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001504140A Expired - Fee Related JP3793083B2 (ja) 1999-06-15 2000-06-15 トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置

Country Status (10)

Country Link
US (13) US6957346B1 (ja)
EP (2) EP1186146B1 (ja)
JP (1) JP3793083B2 (ja)
AT (2) ATE523030T1 (ja)
AU (1) AU5225000A (ja)
DE (1) DE60045737D1 (ja)
DK (2) DK1186146T3 (ja)
ES (2) ES2362993T3 (ja)
PT (2) PT2254311E (ja)
WO (1) WO2000078008A1 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003526270A (ja) * 2000-03-03 2003-09-02 ネクスランド インコーポレイテッド ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
JP2006020301A (ja) * 2004-06-30 2006-01-19 Microsoft Corp セッション接続の持続
JP2006094266A (ja) * 2004-09-27 2006-04-06 Matsushita Electric Ind Co Ltd 情報処理装置、通信処理装置、情報処理システム、情報処理方法、及び通信処理方法
JP2006324783A (ja) * 2005-05-17 2006-11-30 Nippon Telegr & Teleph Corp <Ntt> 接続情報交換方法および端末装置
JPWO2006093021A1 (ja) * 2005-02-28 2008-08-07 日本電気株式会社 通信装置、通信システム、通信方法、及びプログラム
JP2008541675A (ja) * 2005-05-23 2008-11-20 ▲ホア▼▲ウェイ▼技術有限公司 ネットワークアドレス変換またはファイアウォール設備を越える方法及びシステム
JP2011511584A (ja) * 2008-02-02 2011-04-07 クゥアルコム・インコーポレイテッド 無線アクセスネットワーク(ran)レベルのキープアライブ・シグナリング
JP2014501970A (ja) * 2010-11-19 2014-01-23 ネスト ラブス, インコーポレイテッド ネットワーク接続されたサーモスタットとクラウドベースの管理サーバとの間でデータを交換するための方法およびシステム
US8654755B2 (en) 2005-11-16 2014-02-18 Kabushiki Kaisha Toshiba Device and method for communicating with another communication device via network forwarding device
US9851729B2 (en) 2010-11-19 2017-12-26 Google Inc. Power-preserving communications architecture with long-polling persistent cloud channel for wireless network-connected thermostat

Families Citing this family (127)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107614B1 (en) 1999-01-29 2006-09-12 International Business Machines Corporation System and method for network address translation integration with IP security
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6629163B1 (en) 1999-12-29 2003-09-30 Implicit Networks, Inc. Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components
JP3636095B2 (ja) * 2000-05-23 2005-04-06 インターナショナル・ビジネス・マシーンズ・コーポレーション Vpn接続のセキュリティ
US7757272B1 (en) * 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US9444785B2 (en) * 2000-06-23 2016-09-13 Cloudshield Technologies, Inc. Transparent provisioning of network access to an application
AU2001271263A1 (en) * 2000-06-30 2002-01-14 Net2Phone System, method, and computer program product for resolving addressing in a network including a network address translator
JP4365998B2 (ja) * 2000-07-21 2009-11-18 株式会社日立製作所 マルチキャスト通信方法および通信装置
CA2432589C (en) 2000-12-22 2008-12-02 Research In Motion Limited Wireless router system and method
FI20010596A0 (fi) * 2001-03-22 2001-03-22 Ssh Comm Security Oyj Turvallisuusjärjestelmä tietoliikenneverkkoa varten
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
US8077679B2 (en) 2001-03-28 2011-12-13 Qualcomm Incorporated Method and apparatus for providing protocol options in a wireless communication system
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7068655B2 (en) 2001-06-14 2006-06-27 Nortel Networks Limited Network address and/or port translation
US7684317B2 (en) 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
FI20011547A0 (fi) * 2001-07-13 2001-07-13 Ssh Comm Security Corp Turvallisuusjärjestelmä ja -menetelmä
US7054322B2 (en) * 2001-08-31 2006-05-30 The Boeing Company Mobile communications network using point-to-point protocol over ethernet
US7697523B2 (en) * 2001-10-03 2010-04-13 Qualcomm Incorporated Method and apparatus for data packet transport in a wireless communication system using an internet protocol
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
US6996126B2 (en) * 2001-10-09 2006-02-07 Motorola, Inc. Performance improvements for ATM AAL2/5 to IP packet processing
US7649829B2 (en) 2001-10-12 2010-01-19 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
US7139263B2 (en) * 2001-10-19 2006-11-21 Sentito Networks, Inc. Voice over IP architecture
EP1466261B1 (en) * 2002-01-08 2018-03-07 Seven Networks, LLC Connection architecture for a mobile network
US7181612B1 (en) * 2002-01-17 2007-02-20 Cisco Technology, Inc. Facilitating IPsec communications through devices that employ address translation in a telecommunications network
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US7500102B2 (en) * 2002-01-25 2009-03-03 Microsoft Corporation Method and apparatus for fragmenting and reassembling internet key exchange data packets
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
US7120930B2 (en) * 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
US7191331B2 (en) * 2002-06-13 2007-03-13 Nvidia Corporation Detection of support for security protocol and address translation integration
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7370197B2 (en) 2002-07-12 2008-05-06 Microsoft Corporation Method and system for authenticating messages
US7305546B1 (en) * 2002-08-29 2007-12-04 Sprint Communications Company L.P. Splicing of TCP/UDP sessions in a firewalled network environment
DE10244710A1 (de) * 2002-09-25 2004-04-08 Siemens Ag Verfahren zur Protokollauswahl für eine Übermittlung von Datennpaketen
US7346770B2 (en) * 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
US7599655B2 (en) 2003-01-02 2009-10-06 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US7536719B2 (en) 2003-01-07 2009-05-19 Microsoft Corporation Method and apparatus for preventing a denial of service attack during key negotiation
US7386881B2 (en) 2003-01-21 2008-06-10 Swander Brian D Method for mapping security associations to clients operating behind a network address translation device
US7610487B2 (en) * 2003-03-27 2009-10-27 Microsoft Corporation Human input security codes
US7409544B2 (en) * 2003-03-27 2008-08-05 Microsoft Corporation Methods and systems for authenticating messages
US7624264B2 (en) * 2003-03-27 2009-11-24 Microsoft Corporation Using time to determine a hash extension
US8245032B2 (en) * 2003-03-27 2012-08-14 Avaya Inc. Method to authenticate packet payloads
US8261062B2 (en) 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
US7577837B1 (en) * 2003-04-17 2009-08-18 Cisco Technology, Inc. Method and apparatus for encrypted unicast group communication
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
ATE492958T1 (de) * 2003-07-03 2011-01-15 Koninkl Philips Electronics Nv Gesicherte indirekte adressierung
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
WO2005015827A1 (ja) * 2003-08-08 2005-02-17 T.T.T.Kabushikikaisha 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
US7734909B1 (en) 2003-09-29 2010-06-08 Avaya Inc. Using voice over IP or instant messaging to connect to customer products
US7441179B2 (en) * 2003-10-23 2008-10-21 Intel Corporation Determining a checksum from packet data
WO2005043848A1 (en) * 2003-11-03 2005-05-12 Immertec Co., Ltd. Udp packet communication method and system for private ip terminals
CN100512278C (zh) * 2003-11-13 2009-07-08 中兴通讯股份有限公司 一种把ipsec嵌入到ip协议栈的方法
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
KR100597405B1 (ko) * 2004-05-28 2006-07-06 삼성전자주식회사 소켓 어플리케이션 프로그램을 이용한 데이터 중계 시스템및 데이터 중계 방법
US7929689B2 (en) 2004-06-30 2011-04-19 Microsoft Corporation Call signs
JP4759382B2 (ja) * 2004-12-21 2011-08-31 株式会社リコー 通信機器、通信方法、通信プログラム、及び記録媒体
CN100414929C (zh) * 2005-03-15 2008-08-27 华为技术有限公司 一种移动互联网协议网络中的报文传送方法
US20060221865A1 (en) * 2005-03-30 2006-10-05 Tellabs Operations, Inc. Method and system for autonomous link discovery and network management connectivity of remote access devices
US8936577B2 (en) 2005-05-02 2015-01-20 Shi Zi Technology, Ltd. Methods and devices for autoflush syringes
US8529517B2 (en) * 2005-05-02 2013-09-10 Shi Zi Technology, Ltd. Autoflush syringe
JP4709583B2 (ja) * 2005-05-31 2011-06-22 株式会社東芝 データ送信装置およびデータ送信方法
US7706371B1 (en) * 2005-07-07 2010-04-27 Cisco Technology, Inc. Domain based routing for managing devices operating behind a network address translator
US8731542B2 (en) 2005-08-11 2014-05-20 Seven Networks International Oy Dynamic adjustment of keep-alive message intervals in a mobile network
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
US7599365B1 (en) * 2005-10-12 2009-10-06 2Wire, Inc. System and method for detecting a network packet handling device
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US20080276302A1 (en) 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20070183417A1 (en) * 2006-02-09 2007-08-09 Maleport Joel J Data traffic router
US7962652B2 (en) * 2006-02-14 2011-06-14 International Business Machines Corporation Detecting network topology when negotiating IPsec security associations that involve network address translation
US8086842B2 (en) 2006-04-21 2011-12-27 Microsoft Corporation Peer-to-peer contact exchange
US8543808B2 (en) * 2006-08-24 2013-09-24 Microsoft Corporation Trusted intermediary for network data processing
WO2009005879A2 (en) * 2007-04-23 2009-01-08 Law Enforcement Support Agency System and method for remote surveillance
US8179872B2 (en) 2007-05-09 2012-05-15 Research In Motion Limited Wireless router system and method
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
US8533465B2 (en) * 2008-03-05 2013-09-10 The Johns Hopkins University System and method of encrypting network address for anonymity and preventing data exfiltration
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US20100058082A1 (en) * 2008-08-27 2010-03-04 Lenovo (Singapore) Ple., Ltd. Maintaining network link during suspend state
WO2010059864A1 (en) 2008-11-19 2010-05-27 Yoggie Security Systems Ltd. Systems and methods for providing real time access monitoring of a removable media device
CN102239677B (zh) 2008-12-04 2016-05-04 诺基亚技术有限公司 在用户面位置协议中的专有扩展方法及设备
US8750112B2 (en) 2009-03-16 2014-06-10 Echostar Technologies L.L.C. Method and node for employing network connections over a connectionless transport layer protocol
US20110029682A1 (en) * 2009-07-31 2011-02-03 Ribbit Corporation Telephonic communications with intelligent protocol switching
KR101563195B1 (ko) * 2009-08-18 2015-10-27 삼성전자주식회사 호스트 장치 및 슬레이브 장치 제어 방법
KR101144912B1 (ko) * 2010-08-03 2012-05-17 주식회사 네이블커뮤니케이션즈 트래픽 기반 통신 시스템 및 방법
TWI469570B (zh) * 2011-04-26 2015-01-11 Realtek Semiconductor Corp 具有遠端喚醒機制之的網路系統與遠端喚醒方法
US9515986B2 (en) * 2011-05-05 2016-12-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing public reachability and related systems and devices
US8806033B1 (en) * 2011-06-30 2014-08-12 Juniper Networks, Inc. Effective network identity pairing
US9699274B2 (en) * 2011-07-25 2017-07-04 Alcatel Lucent Method and apparatus for reliable session migration
US9769116B2 (en) * 2011-09-16 2017-09-19 Wilmerding Communications Llc Encapsulating traffic while preserving packet characteristics
TWI484804B (zh) * 2011-11-09 2015-05-11 Quanta Comp Inc 網路系統之資料管理方法及其相關系統
US8984110B1 (en) * 2012-02-14 2015-03-17 Sonus Networks, Inc. Secure media address learning for endpoints behind NAPT devices
US9008093B2 (en) 2012-03-12 2015-04-14 Comcast Cable Communications, Llc Stateless protocol translation
US9965972B2 (en) 2012-04-27 2018-05-08 President And Fellows Of Harvard College Management of off-task time in a participatory environment
CN103428690B (zh) * 2012-05-23 2016-09-07 华为技术有限公司 无线局域网络的安全建立方法及系统、设备
US20140003322A1 (en) * 2012-06-29 2014-01-02 Alcatel-Lucent Usa Inc. Seamless make-before-break transfer of multicast/broadcast sessions
US9973501B2 (en) 2012-10-09 2018-05-15 Cupp Computing As Transaction security systems and methods
US9647876B2 (en) * 2012-10-22 2017-05-09 Futurewei Technologies, Inc. Linked identifiers for multiple domains
US9621685B2 (en) * 2013-04-21 2017-04-11 Oliver Solutions Ltd. Architecture for an access network system management protocol control under heterogeneous network management environment
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
US9661005B2 (en) 2014-01-09 2017-05-23 International Business Machines Corporation Security level and status exchange between TCP/UDP client(s) and server(s) for secure transactions
US9762614B2 (en) 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
US11474767B1 (en) * 2014-05-28 2022-10-18 Amazon Technologies, Inc. Print from web services platform to local printer
US9912649B1 (en) * 2015-01-05 2018-03-06 Adtran, Inc. Systems and methods for facilitating communication between an authentication client and an authentication server
US10142229B2 (en) * 2015-03-13 2018-11-27 Oracle International Corporation Concealed datagram-based tunnel for real-time communications
US20180096938A1 (en) * 2016-09-30 2018-04-05 Advanced Micro Devices, Inc. Circuit board with multiple density regions
US10347825B2 (en) * 2017-02-17 2019-07-09 International Business Machines Corporation Selective deposition and nitridization of bottom electrode metal for MRAM applications
US20190097968A1 (en) * 2017-09-28 2019-03-28 Unisys Corporation Scip and ipsec over nat/pat routers
CN107579932B (zh) * 2017-10-25 2020-06-16 北京天融信网络安全技术有限公司 一种数据传输方法、设备和存储介质
WO2019094119A1 (en) * 2017-11-13 2019-05-16 Intel Corporation Multi-domain message routing with e2e tunnel protection
US11095617B2 (en) 2017-12-04 2021-08-17 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
CN108494549B (zh) * 2018-02-27 2020-10-02 北京赛博兴安科技有限公司 基于fpga的密钥索引协商装置、系统及方法
CN109088878A (zh) * 2018-09-03 2018-12-25 中新网络信息安全股份有限公司 一种抗拒绝云防护系统的报文处理方法
CN109474628B (zh) * 2018-12-27 2021-06-08 奇安信科技集团股份有限公司 一种基于双单向网闸的数据传输方法、系统、设备和介质
US11700241B2 (en) * 2019-02-27 2023-07-11 Sevitech, Llc Isolated data processing modules
CN110519282A (zh) * 2019-08-30 2019-11-29 新华三信息安全技术有限公司 一种报文处理的方法及装置
US11902264B2 (en) * 2020-06-22 2024-02-13 Vmware, Inc. Path selection for data packets encrypted based on an IPSEC protocol
US12107834B2 (en) 2021-06-07 2024-10-01 VMware LLC Multi-uplink path quality aware IPsec
US12113773B2 (en) 2021-06-07 2024-10-08 VMware LLC Dynamic path selection of VPN endpoint
US11792677B2 (en) * 2021-10-22 2023-10-17 Qualcomm Incorporated Reflective quality of service for encapsulating security payload packets
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels

Family Cites Families (165)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870474A (en) * 1995-12-04 1999-02-09 Scientific-Atlanta, Inc. Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers
US5185860A (en) * 1990-05-03 1993-02-09 Hewlett-Packard Company Automatic discovery of network elements
US5251205A (en) * 1990-09-04 1993-10-05 Digital Equipment Corporation Multiple protocol routing
GB9100389D0 (en) * 1991-01-09 1991-02-20 Digital Equipment Corp Method and apparatus for transparently bridging traffic across wide area networks
JP2571655B2 (ja) * 1991-11-27 1997-01-16 インターナショナル・ビジネス・マシーンズ・コーポレイション プロトコル変換機構、交換ネットワーク及びコンピュータ・システム
US6026452A (en) * 1997-02-26 2000-02-15 Pitts; William Michael Network distributed site cache RAM claimed as up/down stream request/reply channel for storing anticipated data and meta data
US5838894A (en) * 1992-12-17 1998-11-17 Tandem Computers Incorporated Logical, fail-functional, dual central processor units formed from three processor units
US5964835A (en) * 1992-12-17 1999-10-12 Tandem Computers Incorporated Storage access validation to data messages using partial storage address data indexed entries containing permissible address range validation for message source
US6157967A (en) * 1992-12-17 2000-12-05 Tandem Computer Incorporated Method of data communication flow control in a data processing system using busy/ready commands
US5506847A (en) 1993-04-26 1996-04-09 Kabushiki Kaisha Toshiba ATM-lan system using broadcast channel for transferring link setting and chaining requests
US5490134A (en) * 1993-06-29 1996-02-06 Southern California Edison Company Versatile communications controller
US5377182A (en) 1993-08-18 1994-12-27 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Non-blocking crossbar permutation engine with constant routing latency
US5544222A (en) * 1993-11-12 1996-08-06 Pacific Communication Sciences, Inc. Cellular digtial packet data mobile data base station
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
WO1996016515A1 (en) * 1994-11-17 1996-05-30 Northern Telecom Limited Intelligent network testing
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5636213A (en) * 1994-12-28 1997-06-03 Motorola Method, transceiver, and system for providing wireless communication compatible with 10BASE-T Ethernet
US5541918A (en) * 1995-01-31 1996-07-30 Fore Systems, Inc. Method and apparatus for manipulating an ATM cell
US5572528A (en) 1995-03-20 1996-11-05 Novell, Inc. Mobile networking method and apparatus
US5640446A (en) * 1995-05-01 1997-06-17 Mci Corporation System and method of validating special service calls having different signaling protocols
US5905729A (en) * 1995-07-19 1999-05-18 Fujitsu Network Communications, Inc. Mapping a data cell in a communication switch
WO1997004665A1 (en) 1995-07-31 1997-02-13 Alta Spinner Australia Pty. Limited Surface moisture removal from food products
US5757924A (en) 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5793763A (en) 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US5815667A (en) * 1995-11-28 1998-09-29 Ncr Corporation Circuits and methods for intelligent acknowledgement based flow control in a processing system network
US8291099B2 (en) * 1996-01-03 2012-10-16 International Business Machines Corporation Protocol conversion using facilities and utilities
US6233623B1 (en) 1996-01-11 2001-05-15 Cabletron Systems, Inc. Replicated resource management system for managing resources in a distributed application and maintaining a relativistic view of state
AU1829897A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Transferring encrypted packets over a public network
JP3464358B2 (ja) 1996-01-17 2003-11-10 株式会社東芝 通信制御方法、中継装置およびデータパケット処理装置
JPH09275414A (ja) 1996-04-05 1997-10-21 Hitachi Ltd 通信ネットワークシステム
US6141319A (en) * 1996-04-10 2000-10-31 Nec Usa, Inc. Link based alternative routing scheme for network restoration under failure
CN1216657A (zh) * 1996-04-24 1999-05-12 北方电讯有限公司 互联网协议过滤器
US5923654A (en) 1996-04-25 1999-07-13 Compaq Computer Corp. Network switch that includes a plurality of shared packet buffers
US5826023A (en) * 1996-06-03 1998-10-20 International Business Machines Corporation Communications tunneling
JPH1011369A (ja) 1996-06-27 1998-01-16 Hitachi Ltd 通信システムおよびホットスタンバイ切替機能を備える情報処理装置
JP3224745B2 (ja) * 1996-07-09 2001-11-05 株式会社日立製作所 高信頼化ネットワークシステム及びサーバ切り替え方法
DE19627778A1 (de) 1996-07-10 1998-01-15 Bayer Ag Arthropodenrepellierende Mittel
US5940394A (en) * 1996-08-08 1999-08-17 At&T Corp Transferring messages in networks made up of subnetworks with different namespaces
US6023563A (en) * 1996-08-20 2000-02-08 Shani; Ron Networking switch having the network presence of a bridge
US6701361B1 (en) * 1996-08-22 2004-03-02 Intermec Ip Corp. Enhanced mobility and address resolution in a wireless premises based network
US6463477B1 (en) * 1996-09-27 2002-10-08 Mci Communications Corporation Detection of presence of multiprotocol encapsulation in a data packet
US6751221B1 (en) 1996-10-04 2004-06-15 Kabushiki Kaisha Toshiba Data transmitting node and network inter-connection node suitable for home network environment
US6690669B1 (en) * 1996-11-01 2004-02-10 Hitachi, Ltd. Communicating method between IPv4 terminal and IPv6 terminal and IPv4-IPv6 converting apparatus
CA2218218A1 (en) * 1996-11-08 1998-05-08 At&T Corp. Promiscuous network monitoring utilizing multicasting within a switch
US7274662B1 (en) * 1998-08-04 2007-09-25 At&T Corp. Method for performing segmented resource reservation
US6335927B1 (en) * 1996-11-18 2002-01-01 Mci Communications Corporation System and method for providing requested quality of service in a hybrid network
US7145898B1 (en) * 1996-11-18 2006-12-05 Mci Communications Corporation System, method and article of manufacture for selecting a gateway of a hybrid communication system architecture
US6909708B1 (en) * 1996-11-18 2005-06-21 Mci Communications Corporation System, method and article of manufacture for a communication system architecture including video conferencing
US7161937B1 (en) 1996-12-13 2007-01-09 Intel Corporation Method and apparatus for routing encoded signals through a network
US6304546B1 (en) * 1996-12-19 2001-10-16 Cisco Technology, Inc. End-to-end bidirectional keep-alive using virtual circuits
US6201789B1 (en) * 1996-12-30 2001-03-13 Compaq Computer Corporation Network switch with dynamic backpressure per port
US6665733B1 (en) * 1996-12-30 2003-12-16 Hewlett-Packard Development Company, L.P. Network communication device including bonded ports for increased bandwidth
JP2001508627A (ja) 1997-01-03 2001-06-26 フォートレス テクノロジーズ インコーポレイテッド 改良されたネットワークセキュリティ装置
US6731625B1 (en) * 1997-02-10 2004-05-04 Mci Communications Corporation System, method and article of manufacture for a call back architecture in a hybrid network with support for internet telephony
US6393548B1 (en) 1997-02-14 2002-05-21 Advanced Micro Devices, Inc. Variable 16 or 32 bit PCI interface which supports steering and swapping of data
US7821926B2 (en) 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US6178505B1 (en) 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6199096B1 (en) * 1997-03-14 2001-03-06 Efusion, Inc. Method and apparatus for synchronizing information browsing among multiple systems
US6212192B1 (en) * 1997-03-14 2001-04-03 Itxc, Inc. Method and apparatus for synchronizing information browsing among multiple systems
JP3430908B2 (ja) 1997-03-27 2003-07-28 富士通株式会社 ネットワーク接続制御システムおよび記憶媒体
US6273622B1 (en) 1997-04-15 2001-08-14 Flash Networks, Ltd. Data communication protocol for maximizing the performance of IP communication links
US6212175B1 (en) * 1997-04-22 2001-04-03 Telxon Corporation Method to sustain TCP connection
US6028862A (en) * 1997-05-08 2000-02-22 3Com Corporation Fast path networking
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6098108A (en) 1997-07-02 2000-08-01 Sitara Networks, Inc. Distributed directory for enhanced network communication
US6278697B1 (en) * 1997-07-29 2001-08-21 Nortel Networks Limited Method and apparatus for processing multi-protocol communications
US6111893A (en) * 1997-07-31 2000-08-29 Cisco Technology, Inc. Universal protocol conversion
US6157641A (en) * 1997-08-22 2000-12-05 Cisco Technology, Inc. Multiprotocol packet recognition and switching
US6324161B1 (en) * 1997-08-27 2001-11-27 Alcatel Usa Sourcing, L.P. Multiple network configuration with local and remote network redundancy by dual media redirect
US6006254A (en) 1997-08-29 1999-12-21 Mitsubishi Electric Information Technology Center America, Inc. System for the reliable, fast, low-latency communication of object state updates over a computer network by combining lossy and lossless communications
JP3641112B2 (ja) 1997-09-05 2005-04-20 株式会社東芝 パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
US6084887A (en) * 1997-09-10 2000-07-04 Alcatel Usa Sourcing. L.P. Signaling protocol conversion system
US6172980B1 (en) * 1997-09-11 2001-01-09 3Com Corporation Multiple protocol support
US6744728B1 (en) * 1997-09-17 2004-06-01 Sony Corporation & Sony Electronics, Inc. Data pipeline timing optimization technique in a multi-port bridge for a local area network
US6617879B1 (en) * 1997-09-17 2003-09-09 Sony Corporation Transparently partitioned communication bus for multi-port bridge for a local area network
US6076168A (en) * 1997-10-03 2000-06-13 International Business Machines Corporation Simplified method of configuring internet protocol security tunnels
US5974453A (en) * 1997-10-08 1999-10-26 Intel Corporation Method and apparatus for translating a static identifier including a telephone number into a dynamically assigned network address
US6226680B1 (en) * 1997-10-14 2001-05-01 Alacritech, Inc. Intelligent network interface system method for protocol processing
US6047325A (en) * 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6198751B1 (en) * 1997-11-19 2001-03-06 Cabletron Systems, Inc. Multi-protocol packet translator
US6711166B1 (en) * 1997-12-10 2004-03-23 Radvision Ltd. System and method for packet network trunking
FR2772533B1 (fr) * 1997-12-15 2001-09-28 Inst Nat Rech Inf Automat Dispositif d'interconnexion entre segments de reseaux communiquant selon des protocoles de formats differents, et procede correspondant
US6178160B1 (en) 1997-12-23 2001-01-23 Cisco Technology, Inc. Load balancing of client connections across a network using server based algorithms
US6339595B1 (en) 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
FI105753B (fi) 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
DE19800772C2 (de) * 1998-01-12 2000-04-06 Ericsson Telefon Ab L M Verfahren und Vorrichtung zur Verbindung mit einem Paketaustauschnetz
US6535493B1 (en) * 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
FR2773656B1 (fr) * 1998-01-15 2000-02-11 Alsthom Cge Alcatel Passerelle intelligente entre un point de controle de service, et un reseau de signalisation
CN100397372C (zh) * 1998-01-22 2008-06-25 英纳瑞公司 用于通用数据交换网关的方法和装置
US6079020A (en) * 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6131163A (en) * 1998-02-17 2000-10-10 Cisco Technology, Inc. Network gateway mechanism having a protocol stack proxy
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6415329B1 (en) * 1998-03-06 2002-07-02 Massachusetts Institute Of Technology Method and apparatus for improving efficiency of TCP/IP protocol over high delay-bandwidth network
WO1999050974A1 (en) * 1998-03-30 1999-10-07 Motorola Inc. Method for routing data in a communication system
US6118785A (en) * 1998-04-07 2000-09-12 3Com Corporation Point-to-point protocol with a signaling channel
US6343083B1 (en) * 1998-04-09 2002-01-29 Alcatel Usa Sourcing, L.P. Method and apparatus for supporting a connectionless communication protocol over an ATM network
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6377571B1 (en) * 1998-04-23 2002-04-23 3Com Corporation Virtual modem for dialout clients in virtual private network
US6154839A (en) * 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6058431A (en) * 1998-04-23 2000-05-02 Lucent Technologies Remote Access Business Unit System and method for network address translation as an external service in the access server of a service provider
US7100020B1 (en) 1998-05-08 2006-08-29 Freescale Semiconductor, Inc. Digital communications processor
US6324178B1 (en) 1998-05-26 2001-11-27 3Com Corporation Method for efficient data transfers between domains of differing data formats
US6556540B1 (en) * 1998-05-29 2003-04-29 Paradyne Corporation System and method for non-intrusive measurement of service quality in a communications network
JP3581251B2 (ja) * 1998-06-16 2004-10-27 株式会社東芝 通信システム、データパケット転送方法、ルータ装置及びパケット中継装置
JP3946873B2 (ja) 1998-06-19 2007-07-18 株式会社日立製作所 ディスクアレイ制御装置
US6418476B1 (en) * 1998-06-29 2002-07-09 Nortel Networks, Limited Method for synchronizing network address translator (NAT) tables using the open shortest path first opaque link state advertisement option protocol
US6829242B2 (en) * 1998-06-30 2004-12-07 Cisco Technology, Inc. Method and apparatus for associating PVC identifiers with domain names of home gateways
US6377577B1 (en) 1998-06-30 2002-04-23 Cisco Technology, Inc. Access control list processing in hardware
GB9814412D0 (en) * 1998-07-03 1998-09-02 Northern Telecom Ltd Communications method and apparatus
US6360265B1 (en) * 1998-07-08 2002-03-19 Lucent Technologies Inc. Arrangement of delivering internet protocol datagrams for multimedia services to the same server
US6363056B1 (en) * 1998-07-15 2002-03-26 International Business Machines Corporation Low overhead continuous monitoring of network performance
US6519248B1 (en) * 1998-07-24 2003-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Packet data network having distributed database
US6282589B1 (en) 1998-07-30 2001-08-28 Micron Technology, Inc. System for sharing data buffers from a buffer pool
US6483912B1 (en) 1998-08-04 2002-11-19 At&T Corp. Method for allocating network resources
US7206397B1 (en) * 1998-08-04 2007-04-17 At&T Corp. Method for allocating network resources
US6694429B1 (en) * 1998-08-04 2004-02-17 At&T Corp. Method for establishing call state information without maintaining state information at gate controllers
US6757290B1 (en) * 1998-08-04 2004-06-29 At&T Corp. Method for performing gate coordination on a per-call basis
US6870845B1 (en) * 1998-08-04 2005-03-22 At&T Corp. Method for providing privacy by network address translation
US6331984B1 (en) * 1998-08-21 2001-12-18 Nortel Networks Limited Method for synchronizing network address translator (NAT) tables using the server cache synchronization protocol
EP1108320A1 (en) * 1998-08-26 2001-06-20 Nortel Networks Limited NON-BROADCAST, MULTIPLE ACCESS INVERSE NEXT HOP RESOLUTION PROTOCOL (InNHRP)
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6230191B1 (en) 1998-10-05 2001-05-08 Alcatel Internetworking (Pe), Inc. Method and apparatus for regulating the amount of buffer memory requested by a port in a multi-port switching device with shared buffer memory
US6094437A (en) * 1998-10-09 2000-07-25 Asc - Advanced Switching Communications Layer two tunneling protocol (L2TP) merging and management
US6219706B1 (en) 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6381646B2 (en) * 1998-11-03 2002-04-30 Cisco Technology, Inc. Multiple network connections from a single PPP link with partial network address translation
US6411986B1 (en) * 1998-11-10 2002-06-25 Netscaler, Inc. Internet client-server multiplexer
US6614781B1 (en) * 1998-11-20 2003-09-02 Level 3 Communications, Inc. Voice over data telecommunications network architecture
US6457061B1 (en) 1998-11-24 2002-09-24 Pmc-Sierra Method and apparatus for performing internet network address translation
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US8266266B2 (en) * 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US6496505B2 (en) * 1998-12-11 2002-12-17 Lucent Technologies Inc. Packet tunneling optimization to wireless devices accessing packet-based wired networks
US6584122B1 (en) * 1998-12-18 2003-06-24 Integral Access, Inc. Method and system for providing voice and data service
US6327267B1 (en) 1998-12-21 2001-12-04 Ericssoninc Systems and methods for routing a message through a signaling network associated with a public switched telephone network (PSTN), including a method for performing global title routing on an internet protocol (IP) address
US6480891B1 (en) * 1999-01-04 2002-11-12 3Com Corporation Embedded code memory size reduction in asynchronous mode transfer devices
US6724724B1 (en) * 1999-01-21 2004-04-20 Cisco Technology, Inc. System and method for resolving an electronic address
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
FI106593B (fi) 1999-02-15 2001-02-28 Valtion Teknillinen Paluuyhteydetön IP-multicast-palvelu
US6507908B1 (en) 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
WO2000054470A1 (en) * 1999-03-12 2000-09-14 Lextron Systems, Inc. System for controlling processing of data passing through network gateways between two disparate communications networks
US6590861B1 (en) * 1999-03-18 2003-07-08 3Com Corporation Combining virtual local area networks and load balancing with fault tolerance in a high performance protocol
US6512774B1 (en) * 1999-03-18 2003-01-28 3Com Corporation Fail over with multiple network interface cards
US6757250B1 (en) * 1999-04-12 2004-06-29 Mindspeed Technologies, Inc. Methods and apparatus for data communications through packet networks
US6925076B1 (en) * 1999-04-13 2005-08-02 3Com Corporation Method and apparatus for providing a virtual distributed gatekeeper in an H.323 system
US6888818B1 (en) * 1999-04-15 2005-05-03 Share Wave, Inc. Protocol extension scheme for wireless computer networks
US6563824B1 (en) * 1999-04-20 2003-05-13 3Com Corporation Apparatus and methods for determining the correct workstation within a LAN for a LAN modem to route a packet
US6785223B1 (en) * 1999-04-22 2004-08-31 Siemens Information And Communication Networks, Inc. System and method for restarting of signaling entities in H.323-based realtime communication networks
US20050038911A1 (en) * 1999-04-30 2005-02-17 Yoshikuni Watanabe Cooperative system and method therefor
US6515997B1 (en) 1999-05-17 2003-02-04 Ericsson Inc. Method and system for automatic configuration of a gateway translation function
US6760343B1 (en) * 1999-05-20 2004-07-06 Nortel Networks Limited Method and apparatus for providing a virtual SS7 link in a communications system
US6393488B1 (en) * 1999-05-27 2002-05-21 3Com Corporation System and method for supporting internet protocol subnets with network address translators
US6683881B1 (en) * 1999-05-28 2004-01-27 Ericsson Inc. Interface between an SS7 gateway and an IP network
US6965943B1 (en) * 1999-06-05 2005-11-15 Lucent Technologies Inc. End-to-end internet control
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6633540B1 (en) * 1999-07-02 2003-10-14 Nokia Internet Communications, Inc. Real-time traffic shaper with keep-alive property for best-effort traffic
US7155740B2 (en) * 2000-07-13 2006-12-26 Lucent Technologies Inc. Method and apparatus for robust NAT interoperation with IPSEC'S IKE and ESP tunnel mode
US20020042875A1 (en) * 2000-10-11 2002-04-11 Jayant Shukla Method and apparatus for end-to-end secure data communication
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7346770B2 (en) * 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
CN101546874B (zh) 2008-03-24 2012-04-04 华为技术有限公司 一种电连接模块、一种总配线架以及总配线架的割接方法

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003526270A (ja) * 2000-03-03 2003-09-02 ネクスランド インコーポレイテッド ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
KR101109276B1 (ko) * 2004-06-30 2012-01-30 마이크로소프트 코포레이션 세션 접속 유지
JP2006020301A (ja) * 2004-06-30 2006-01-19 Microsoft Corp セッション接続の持続
US9560086B2 (en) 2004-06-30 2017-01-31 Microsoft Technology Licensing, Llc Sustaining session connections
JP2012257288A (ja) * 2004-06-30 2012-12-27 Microsoft Corp セッション接続の持続
JP2006094266A (ja) * 2004-09-27 2006-04-06 Matsushita Electric Ind Co Ltd 情報処理装置、通信処理装置、情報処理システム、情報処理方法、及び通信処理方法
US7860021B2 (en) 2004-09-27 2010-12-28 Panasonic Corporation Apparatus, system and method for maintaining communication between an information processing device and a server
JPWO2006093021A1 (ja) * 2005-02-28 2008-08-07 日本電気株式会社 通信装置、通信システム、通信方法、及びプログラム
JP4826827B2 (ja) * 2005-02-28 2011-11-30 日本電気株式会社 通信装置、通信システム、通信方法、及びプログラム
JP2006324783A (ja) * 2005-05-17 2006-11-30 Nippon Telegr & Teleph Corp <Ntt> 接続情報交換方法および端末装置
JP2008541675A (ja) * 2005-05-23 2008-11-20 ▲ホア▼▲ウェイ▼技術有限公司 ネットワークアドレス変換またはファイアウォール設備を越える方法及びシステム
JP4705167B2 (ja) * 2005-05-23 2011-06-22 ▲ホア▼▲ウェイ▼技術有限公司 ネットワークアドレス変換またはファイアウォール設備を越える方法及びシステム
US8654755B2 (en) 2005-11-16 2014-02-18 Kabushiki Kaisha Toshiba Device and method for communicating with another communication device via network forwarding device
US8477811B2 (en) 2008-02-02 2013-07-02 Qualcomm Incorporated Radio access network (RAN) level keep alive signaling
JP2011511584A (ja) * 2008-02-02 2011-04-07 クゥアルコム・インコーポレイテッド 無線アクセスネットワーク(ran)レベルのキープアライブ・シグナリング
US9098279B2 (en) 2010-09-14 2015-08-04 Google Inc. Methods and systems for data interchange between a network-connected thermostat and cloud-based management server
US9846443B2 (en) 2010-09-14 2017-12-19 Google Inc. Methods and systems for data interchange between a network-connected thermostat and cloud-based management server
JP2014501970A (ja) * 2010-11-19 2014-01-23 ネスト ラブス, インコーポレイテッド ネットワーク接続されたサーモスタットとクラウドベースの管理サーバとの間でデータを交換するための方法およびシステム
US9851729B2 (en) 2010-11-19 2017-12-26 Google Inc. Power-preserving communications architecture with long-polling persistent cloud channel for wireless network-connected thermostat
US10732651B2 (en) 2010-11-19 2020-08-04 Google Llc Smart-home proxy devices with long-polling

Also Published As

Publication number Publication date
US20130347122A1 (en) 2013-12-26
WO2000078008A1 (en) 2000-12-21
US8973127B2 (en) 2015-03-03
DK2254311T3 (da) 2011-10-03
US20130346555A1 (en) 2013-12-26
US20160373406A1 (en) 2016-12-22
PT2254311E (pt) 2011-09-29
US9071578B2 (en) 2015-06-30
PT1186146E (pt) 2011-06-07
US20130346556A1 (en) 2013-12-26
ES2369132T3 (es) 2011-11-25
US8918858B2 (en) 2014-12-23
US8544079B2 (en) 2013-09-24
US8914872B2 (en) 2014-12-16
EP1186146A1 (en) 2002-03-13
US8365273B2 (en) 2013-01-29
US20100318682A1 (en) 2010-12-16
US8973126B2 (en) 2015-03-03
US20140007219A1 (en) 2014-01-02
US20140033296A1 (en) 2014-01-30
ATE502468T1 (de) 2011-04-15
US8127348B2 (en) 2012-02-28
US8245288B2 (en) 2012-08-14
US6957346B1 (en) 2005-10-18
ES2362993T3 (es) 2011-07-18
EP2254311B1 (en) 2011-08-31
US20130339524A1 (en) 2013-12-19
US8914873B2 (en) 2014-12-16
EP1186146B1 (en) 2011-03-16
DE60045737D1 (de) 2011-04-28
DK1186146T3 (da) 2011-07-04
US20110320623A1 (en) 2011-12-29
EP2254311A1 (en) 2010-11-24
US20150271140A1 (en) 2015-09-24
US9667594B2 (en) 2017-05-30
AU5225000A (en) 2001-01-02
US20100138560A1 (en) 2010-06-03
US20060256815A1 (en) 2006-11-16
JP3793083B2 (ja) 2006-07-05
ATE523030T1 (de) 2011-09-15

Similar Documents

Publication Publication Date Title
JP2003502913A (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
US6795917B1 (en) Method for packet authentication in the presence of network address translations and protocol conversions
US6055236A (en) Method and system for locating network services with distributed network address translation
US7032242B1 (en) Method and system for distributed network address translation with network security features
US8266428B2 (en) Secure communication system and method of IPv4/IPv6 integrated network system
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
EP1159815B1 (en) Method and system for distributed network address translation with network security features
Tuexen et al. UDP encapsulation of Stream Control Transmission Protocol (SCTP) packets for end-host to end-host communication
Schinazi et al. RFC 9484: Proxying IP in HTTP
Tuexen et al. RFC 6951: UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication
Phelan et al. DCCP-UDP: Datagram Congestion Control Protocol Encapsulation for NAT Traversal: DCCP-UDP
WO2010040420A1 (en) Security parameter index multiplexed network address translation

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060223

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060307

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060406

R150 Certificate of patent or registration of utility model

Ref document number: 3793083

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100414

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100414

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110414

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120414

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130414

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130414

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140414

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees