JP2009532919A - ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 - Google Patents

ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 Download PDF

Info

Publication number
JP2009532919A
JP2009532919A JP2008505871A JP2008505871A JP2009532919A JP 2009532919 A JP2009532919 A JP 2009532919A JP 2008505871 A JP2008505871 A JP 2008505871A JP 2008505871 A JP2008505871 A JP 2008505871A JP 2009532919 A JP2009532919 A JP 2009532919A
Authority
JP
Japan
Prior art keywords
packet
napt
ipsec
entry
source port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008505871A
Other languages
English (en)
Other versions
JP2009532919A5 (ja
JP4766574B2 (ja
Inventor
ジャクビック、パトリシア
オーバービー、リンウッド、ヒュー、ジュニア
ポーター、ジョイス、アン
ウィアボウスキー、デイビッド、ジョン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009532919A publication Critical patent/JP2009532919A/ja
Publication of JP2009532919A5 publication Critical patent/JP2009532919A5/ja
Application granted granted Critical
Publication of JP4766574B2 publication Critical patent/JP4766574B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】NAPTによって扱われるソース・アプリケーション識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するプロトコル接続上の重複ソースを防止する。
【解決手段】到着パケットが暗号化されたパケットをカプセル化して、宛先ホストへ向かう途中でNAPTを通った場合に、カプセル化されたパケットを復号化して、復号化されたパケットから元ソース・ポート番号と元パケット・プロトコルとを取得する。ソース・ポート・マッピング・テーブル(SPMT)を検索して、NAPTソース・アドレスと、元ソース・ポートと、NAPTソース・アドレスおよびポート番号に関連した元パケット・プロトコルとの間のアソシエーションを求める。不正確なアソシエーションが見つかると、パケットは、不正な重複ソース、すなわち、同一のソース・ポートおよびプロトコルを使用しているNAPTによって扱われる異なるホストからの第2のパケットを表すものとして拒絶される。
【選択図】図1

Description

本発明は、一般的には、インターネット・ネットワーキングに関し、特定的には、ネットワーク・アドレスおよびポート変換によって生じる衝突に対する対応に関する。
本明細書において、インターネットとインターネット通信の基礎を形成するTCP/IPプロトコルとの観点から、問題と解決策とを説明する。しかしながら、本技術は、プロトコルの詳細によっては、他の通信プロトコルにも同様に提供可能である。
インターネット・ネットワーク・アドレス変換を使用する理由はいくつかある。主な理由は、公開アドレスの使用を節約することである。ネットワーク・アドレス変換器(NAT)のインターネット・プロトコル(IP)アドレスは、一般的には公開アドレスである。すなわち、NAT IPアドレスは、外部世界に知られているが、NATの背後にあるサーバまたはクライアントのすべては、プライベート・アドレスであり、外部世界には知られていない。そのような場合、外部世界は、NATと通信を行い、NATは、その背後にある適切なサーバおよびクライアントとの通信を制御する。これは、NATの背後にある装置のIPアドレスは当該ファミリー内で固有であればよいが、世界のその他におけるIPアドレスは重複している可能性がある。NATは、IPアドレスの変換のみに関与する。さらに、ネットワーク・アドレス・ポート変換(NAPT)として知られる種類の変換があり、ここでは、IPアドレスおよびポート番号の両方が変換される。ネットワーク・アドレス変換(NAT)およびネットワーク・アドレス・ポート変換(NAPT)のための規格は、インターネット技術標準化委員会(IETF)の、「Traditional IP Network Address Translation」という名称のRFC3022に記載されている。
元来のインターネットは、セキュリティを主要な要素として設計されていない。実際、インターネットは、科学的および教育的通信に対する支援として、意図的に比較的オープンに作られた。しかしながら、ウェブの出現とその商用によって、安全なインターネット通信に対する必要性が増している。一般的にはIPsecとして知られるインターネット・セキュリティ・プロトコルは、これらの問題に対処するために定義されていた。例えば、IPsecは、ネットワーク装置の認証または送信データの暗号化もしくはその両方を提供する。ソース・アドレスと宛先アドレスとの間のIPsec通信は、セキュリティ・アソシエーション(SA)に従って管理される。SAは、通信に適用されるIPsec処理を定義する1つ以上の規則である。IPsecは、RFC2401および他のRFCに定義されている。パケットが拒否されるか、IPsec処理なしで許可されるか、またはIPsec処理ありで許可されるかどうかは、セキュリティ・ポリシー・データベース(SPD)内のセキュリティ規則を有するパケットの属性を照合することによって判断される。この判断を行うために、既知の技術は、送信および受信パケットの両方に関する最も特定性の高い属性から最も特定性の低い属性の順で、静的および動的規則を検索する。静的規則のセットが、実質的にはセキュリティ規則である。静的規則は、予め定義付けられており、一般的にはあまり頻繁に変化しない。動的規則は、IKE(インターネット鍵交換)処理中に必要に応じてノード間で交渉され、必要に応じて動的にセキュリティ・ポリシー・データベースに追加される規則である。IBM社の米国特許第6347376号は、SPDの動的規則を検索する好ましい一方法を記載する。
ネットワーク・アドレスまたはポート変換とIPsec処理との間には、固有の不適合性が存在する。このような不適合性が、IPsecの配置には障壁となる。RFC3715は、このような不適合性のいくつかを認識し説明しているが、一般的な解決策は提供していない。例えば、RFC3715の第4.1節は、RFC3456「Dynamic Host Configuration Protocol(DHCPv4,Configuration of IPsec Tunnel Mode)」に提案された限定的な解決策を示しているが、より一般的な解決策が必要とされていることを述べている。加えて、IETFのIPsecワーキング・グループからの「UDP Encapsulation of IPsec パケット」という名称のRFC3948の第5節も、不適合性のいくつかの問題に対処している。特に、RFC3948の第5.2節は、NATによって扱われるクライアントへの接続上でどんなIPsecセキュリティ・アソシエーションを使用するかを判断する問題について簡単に説明している。また、この節は、NAPTがIPsecトラフィックも扱う場合にNAPTの背後のクライアントへのクリア・テキスト接続を可能にする他の問題について述べている。
よって、クライアントがNAPTで扱われる場合には、重複ソースを回避するという問題に対処する必要性がある。この問題に対しては、どの関連のIETF RFC文献も解決策を提供していない。本明細書の目的のために、重複ソースは、同一のソース・アドレス(例えば、IPsecカプセル化された元のパケットに割り当てられたNAPTのIPアドレス)、同一のトランスポート・プロトコル、および同一の元ソース・ポート番号(すなわち、IPsecカプセル化されたパケットのトランスポート・ヘッダにおけるポート番号)を有するパケットとして定義される。
重複ソースは、ネットワークの整合性を破る重複接続という結果をもたらす。例えば、パケットが誤った宛先に送られる可能性がある。
「Negotiation of NAT‐Traversal in the IKE」という名称のRFC3947は、NATトラバーサル・サポートためのIKE(インターネット鍵交換)のフェーズ1およびフェーズ2において必要とされるものを記述している。これには、パケット通信における両端がNATトラバーサルをサポートしているかどうかを検出することと、ホストからホストへのパスに沿って1つ以上のNATがあるかどうかを検出することを含まれる。また、IKEクイック・モードにおけるユーザ・データグラム・プロトコル(UDP)のカプセル化されたIPsecパケットの使用を交渉するやり方も含まれており、元ソースIPアドレスを他端に必要に応じて送信するやり方を記載している。UDPは、RFC768に定義されている。RFC3948である「UDP Encapsulation of IPsec ESP Packets」は、NATをトラバースするために、UDPパケット内部のESP(カプセル化セキュリティ・ペイロード)パケットをカプセル化およびカプセル開放するための方法を定義している。ESPは、RFC2406に定義されている。ESPは、IPv4およびIPv6における混合セキュリティ・サービスを提供するように設計されている。
本発明は、NAPTによって扱われるソース・アプリケーションを識別するためのソース・アドレス、プロトコル、およびソース・ポート番号を使用する接続におけるパケットの複製ソースを防止することに向けられている。パケットがサーバで受信されると、当該パケットが、ネットワーク・アドレス・ポート変換器(NAPT)を含む送信路のESPパケットをカプセル化するUDPパケットかどうかについて判断する。この判断が合致すると、元パケットはカプセル開放されて、元ソース・ポート番号と、元トランスポート・プロトコルとを取得する。ソース・ポート・マッピング・テーブル(SPMT)を検索して、NAPTソースIPアドレスと、元ソース・ポート番号と、NAPTソースIPアドレスおよび変換されたソース・ポート番号に関連した元トランスポート・プロトコルとの間のアソシエーションを求める。不正確なアソシエーションが見つかると、パケットは、不正な重複ソース、すなわち、同一のソースIPアドレス、ソース・ポート番号およびプロトコルを使用しているNAPTによって扱われる異なるホストからの第2のパケットを表すものとして拒絶される。
好ましい実施形態において、サーバにおけるSPMT内のネットワーク・アドレス・ポート変換器(NAPT)ホスト・エントリが、インターネット・ホストからのインターネット鍵交換(IKE)メッセージに応答して動的に構築される。各NAPTホスト・エントリは、NAPTのソースIPアドレスと、NAPTによって割り当てられたソース・ポートとを含む。SPMT内のソース・ポート・エントリは、暗号化されたパケットが到着して復号化されるにつれて動的に構築され、ソース・ポート・エントリとSPMTのNAPTホスト・エントリとの間でアソシエーションが確立される。各ソース・ポート・エントリは、NAPTのソースIPアドレスと、元ソース・ポート番号と、元プロトコルとを含む。
本発明の好ましい一実施形態を、以下の図面を参照して一例として説明する。
本発明の実施形態によって対処される問題は、インターネット送信におけるトランスポート・モードおよびトンネル・モードの両方について存在するが、開示された実施形態は、トランスポート・モードに向けられている。説明する軽微な変形によって、トランスポート・モードに関する開示をトンネル・モードにおける動作のために適合させる。
本発明の実施形態は、ソフトウェア、ハードウェア、またはハードウェアおよびソフトウェアの組み合わせにおいて実施することができる。さらに、本発明の実施形態は、コンピュータまたは任意の命令実行システムによってまたはそれに関連して使用される媒体で実施されるプログラム・コード手段を有する、コンピュータ使用可能またはコンピュータ読み取り可能な記憶媒体上のコンピュータ・プログラム製品の形態を取ることができる。本明細書の場合、コンピュータ使用可能またはコンピュータ読み取り可能な媒体は、命令実行システム、装置、または機器によってまたはそれに関連して使用される、プログラムを包含、記憶、通信、伝播、または搬送することができる任意の手段でありうる。
しかしながら、媒体は、例えば、電子的、磁気的、光学的、電磁的、赤外線、または半導体のシステム、装置、機器、または伝播媒体であることが可能であるが、これらに限定されない。コンピュータ読み取り可能な媒体のより特定的な例(網羅したリストではない)には、1つ以上の線を有する電気接続、着脱可能なコンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラム可能読み出し専用メモリ(EPROMまたはフラッシュ・メモリ)、光ファイバ、携帯型コンパクト・ディスク読み出し専用メモリ(CD‐ROM)が含まれるだろう。注意すべきは、コンピュータ使用可能またはコンピュータ読み取り可能な媒体は、プログラムを印刷可能な用紙または他の適した媒体であってさえよく、なぜならば、プログラムを例えば用紙または他の媒体の光走査を介して電子的に取り込んでから、コンパイル、解釈、または、そうでない場合には必要があれば適切なやり方での処理の後、コンピュータ・メモリに記憶することができるからである。
本説明において、同様の番号は、全体に渡って同様の構成要素を示す。
IPsec処理を使用して、パケットの内容をセキュリティ目的のために認証または暗号化することができる。認証および暗号化は、共にパケットに適用できるか、または、別個に適用できる。この説明を簡略化すると、IPsec処理の説明は、暗号化および復号化の観点でのパケットのカプセル化およびカプセル開放について述べている。説明の処理は、認証が単独に適用されていても、暗号化と共に適用されていても、等しく有効である。
IPsec処理がソース・クライアントからの送信パケットに適用されると、当該処理は、元ソースおよび宛先ポートならびにプロトコル・フィールドを暗号化し、この暗号化されたものをUDPパケットにカプセル化する。元クライアント・ソースIPアドレスがUDPパケットに保持されるが、ソース・ポート番号は、RFC3948「UDP Encapsulation of IPsec ESP Packets」に規定されているような4500に設定される。UDPパケットはその後NAPTへ送られ、NAPTは、さらなる変換を行う。これらの変換は、図1および図2に対して以下に詳細に説明する。特に、NAPTは、その自身のIPアドレスをクライアント・ソースIPアドレスの代わりに使用し、UDPヘッダに対する新規の固有のポート番号を割り当て、戻りパケットが元ソースに対してマッピングされるようにこれらの変換を追跡する。RFC3948が説明する手法では、TCPまたはUDPパケット内の元ソース・ポート番号は、NAPT装置によって変更されない。なぜならば、これは、IPsec ESPペイロードの一部として暗号化されている元トランスポート・ヘッダの一部だからである。その代わりに、上述のように、UDPカプセル化のために追加されたUDPヘッダ内のポート番号が変更される。そのようなIPsecパケットがサーバによって受信されて暗号化されると、元ソースおよびパケットの宛先ポートを明らかにする。IPsecを通じて処理されなかったパケットについては、NAPT装置は、元ソースIPアドレスおよびソース・ポートを変換する。暗号化されないパケットについては、NAPTは、重複接続(重複ソース)がないことを保証する。
図1は、クライアント10.1.1.1からNAPT210.1.1.1とNAPT211.1.1.1を通って宛先ホスト11.1.1.1へのパケット進行と、パケット進行に伴うパケット・ヘッダおよび内容の変化とを示す。図2は、サーバからクライアントへの逆方向の戻りパケットの進行を示す。図1を参照して、IPアドレス10.1.1.1.のクライアントは、IPアドレス11.1.1.1のサーバ宛の暗号化されたパケットを送出する。IPsecによる処理以前のパケットの元の内容を100に示す。100の左欄はパケットのフィールド型を記述し、右欄はフィールド内容を示す。注意すべきなのは、100の宛先IPアドレスは、211.1.1.1であり、実際の宛先サーバ11.1.1.1の前のNATの公開アドレスである。NAT211.1.1.1の役割は、パケットを11.1.1.1のようなバックエンド・サーバにマッピングすることである。100において、ソースおよび宛先ポートは、例示的にそれぞれ4096および21に設定されている。IPsec処理後のパケットの内容を102に示す。パケット102の底部にある薄く網掛けされた部分は、IPsecによって暗号化された部分を示す。102の濃く網掛けされた部分(および送信路の他の点におけるパケット内容)は、送信の当該点において変化または追加されたフィールドである。102において、実際のソースおよび宛先ポートは、IPsecによる4096および21という暗号化された値であり、この時点では読み出し可能ではない。IPsec処理は、UDPヘッダを追加して、これが元クライアント・パケットのポートおよびプロトコルをカプセル化するIPsecパケットである旨を示す。IPsecによって追加されたクリア・テキストUDPヘッダ内のソースおよび宛先ポートは、RFC3948によって特定されるように4500に設定されている。SPI(セキュリティ・パラメータ・インデックス)フィールドは、例示的に256に設定されている。SPIフィールドは、セキュリティ・プロトコルおよび宛先アドレスと共に、暗号化アルゴリズムおよびこれらのエンティティ間の他のセキュリティ・パラメータを司るクライアント10.1.1.1とサーバ11.1.1.1との間のセキュリティ・アソシエーションをポイントする。
102のパケットは、IPアドレス210.1.1.1におけるNAPTによって変換されて、104に示すパケットとなる。この時点で、NAPT210.1.1.1は、ソースIPアドレスを変更して、210.1.1.1という自身のアドレスを反映させている。また、NAPTは、新規の固有のソース・ポート番号を設定する。図1において、選択されたソース・ポート番号は、4500から4501へ例示的に変更される。NAPT210.1.1.1は、サーバ11.1.1.1からの戻りパケットと、クライアントIP10.1.1.1およびソース・ポート4500からの今後の送信パケットとについて、この変換を追跡する。
104のパケットは、NAT211.1.1.1によって、サーバ11.1.1.1に対する入力パケットへ再変換する。この入力パケットを106に示す。実質的には、パケットの宛先IPアドレスが、NAT211.1.1.1によって、宛先サーバの実際の宛先アドレス11.1.1.1にマッピングされる。パケットのIPsec処理は、ソース10.1.1.1.におけるIPsec処理によって追加されたUDPヘッダを除去して、実際のソースおよび宛先ポート番号を復旧させる。その後、108に示すような復旧されたパケットは、宛先ポート(本例では21)へ送られて、アプリケーション処理に供される。
完全性のために、図2は、サーバ211.1.1.1から元クライアント10.1.1.1への戻りパケット・フローを示す。このパケット・フローの詳細を説明する必要がないのは、対処される重複ソースの問題は、戻りパケットには生じないからである。
図1を再び参照すると、108のパケットは、ソース・アドレスとして、NAPT210.1.1.1のアドレスと、ソース・ポート・アドレス4096を含む。しかしながら、NAPT2101.1.1の背後にある例えば、10.1.1.2という他のクライアントが、ソース・ポート4096からホスト11.1.1.1へパケットを送っている可能性もある。したがって、クライアント10.1.1.1およびホスト11.1.1.1間のパスにおけるNAPTがあるゆえに、衝突を生じさせる不正な重複ソースの可能性がある。
宛先ホストにおけるソース・ポート・マッピング・テーブル(SPMT)を使用して、NAPTによって扱われるクライアントまたはサーバからパケットが受信される重複ソースを検出する。SPMTの例示を図3の300に示す。このテーブルは、IPsecセキュリティ・アソシエーションが確立される場合にインターネット鍵交換(IKE)パケットがサーバで受信されるときに動的に構築される。図3を参照して、IKEがNAPTを
トラバースするIPsecセキュリティ・アソシエーションを交渉する場合、TCP/IPスタックは、302などのNAPTホスト・エントリを作成して、NAPTによって表される遠隔クライアントを表すように通知される。このエントリは、NAPTのソースIPアドレス(本例においては、210.1.1.1)と、NAPTによってこのクライアントに対して割り当てられたソース・ポート(本例においては、4501)とを含む。図3は、同一のNAPT IPソース・アドレス210.1.1.1と、NAPTによって割り当てられた異なるソース・ポート4502とを有する、第2の例示的なNAPTクライアント304を示す。SPMT300の右側は、ソース・ポート・エントリである。これらのエントリは、既存のエントリのないIPsecの暗号化されたパケットが到着するにつれて作成される。ソース・ポートエントリを追加する処理は、IPsec復号化が生じた後に生じる。ソース・ポート・エントリをNAPTホスト・エントリにマッピングするアソシエーション306は、ソース・ポート・エントリが作成されるにつれて作成される。NAPTホスト・エントリは、当該エントリに関する最終セキュリティ・アソシエーションが削除されると除去される。パケットが到着して復号化されると、ソースNAPTアドレスと、元パケットのソース・ポートと、元パケットのプロトコルとが利用可能である。これらの属性の合致を見つけるために、SPMTのソース・ポート・エントリが検索される。合致が見つかると、NAPTソース・アドレスと、NAPTによって割り当てられたソース・ポートとの合致を見つけるために、関連したNAPTホスト・エントリがチェックされる。これらの後者の属性が不一致の場合、ソースNAPTの背後の2つのクライアントは同一のソース・ポート番号を使用しようとしているということを意味する。これは、重複ソースを表し、第2のパケットは拒絶される。これらの後者の属性が一致すると、パケットは許可される。
図4から図7は、上述の説明を例示する助けとなる。図4は、ソースNAPTから来るパケットを示す。例示のため、クライアント・アドレスおよびポートは、10.1.1.1および4096であると仮定する。400は、NAPTによって更新されたIPヘッダである。これは、NAPTアドレス210.1.1.1と、ホスト宛先アドレス11.1.1.1とを含む。402は、IPsec処理によって追加されてNAPTによって更新されたカプセル化UDPヘッダである。ソース・ポート4500は、NAPTによって4501へ変更されている。404は、IPsec処理によって追加されたカプセル化されたセキュリティ制御(ESP)ヘッダを含む。TCPトランスポート・ヘッダ406は、元クライアント・ソースと、宛先ポートとを含み、それぞれ4096および21である。408は、ESPトレーラが続くペイロード・データを含む。トランスポート・ヘッダ406およびペイロード408は、IPsec処理に従って暗号化される。図5は、宛先ホストにおける復号化後の図4のパケットを表す。注意すべきなのは、(パケット・フィールド500からの)ソースNAPTアドレス210.1.1.1と、クライアント・ソース・ポート4096と、プロトコル(TCP)とが、フィールド506から利用可能である。これらの属性を使用して、SPMT300のソース・ポート・エントリが検索される。この例において、308において合致が見つかる。対応のアソシエーション306は、NAPTホスト・エントリ302をポイントする。ソースNAPTアドレス210.1.1.1およびNAPTソース・ポート4501は、このパケットと合致する(NAPTソース・ポート4501は、受信パケットのフィールド402からクリアで利用可能である)。よって、このパケットは、正確な接続に関連付けられて、受け付けられる。
図6および図7は、2番目に到着する「重複」ソース・パケットを表し、これは拒絶されることになる。なぜならば、フィールド700からのNAPTソース・アドレス210.1.1.1と、706からのプロトコルと、ソース・クライアント・ポート4096は、SPMT300のソース・ポート・エントリである308と合致するが、関連NAPTエントリ302は、受信パケットのフィールド602からの4502のNAPT割り当てポート番号と合致しないからである。
適切なフローチャートに関連して、この処理をより詳細に以下に説明する。
図8は、IKE交渉中のSPMT300のNAPTホスト・エントリの初期化を示す。IKE交渉は、ステップ802で表されている。交渉中に、ステップ804は、SPMT300における関連NAPTホスト・エントリを作成するためにTCP/IPスタックへ通知を送信する。この通知は、IKEフローから取り出されたNAPTソース・アドレスとポート番号とを含む。
図9は、データ・パケットが宛先ホストに到着する場合の重複ソースを検出する処理を開始する。ステップ902は、受信パケットがUDPヘッダ内にカプセル化されたESPパケットを含み、かつUDPヘッダ内のソース・ポートが予め規定されたUDPカプセル化ポート4500ではないかどうかを判断する。上記が真であれば、パケットは、暗号化または認証のいずれかのためにIPsecを使用しており、NAPTは送信路に含まれる。パケットが4500の宛先ポートを伴うUDPプロトコルを使用しており、最初の4バイトが非ゼロ・データを含む場合には、パケットは、UDPカプセル化されたESPパケットとして識別される。ステップ902におけるこれらの質問に対する答えがいいえの場合は、904におけるオプション1と906におけるオプション2という2つの代替処理オプションがある。これらを共に以下で説明する。902における答えがハイであると仮定すると、908は図10のAと続く。図10において、ステップ1002は、パケットを復号化するために必要なIPsec処理を行う。その結果、NAPTソース・アドレスと、元クライアント・ソース・ポート番号と、プロトコルとが、上述のようにクリアで取得される。ステップ1004は、これらの属性についてSPMT300のソース・ポート・エントリを検索する。1006において、合致が見つからない場合には、ステップ1008においてソース・ポート・エントリが作成され、パケットの受信処理は通常通り継続する。ステップ1006において合致が見つかると、ステップ1010は、対応のアソシエーション306を使用して、NAPT割り当てソース・アドレスと、復号化されたパケットからの同一の属性への対応NAPTホスト・エントリからのポート番号とを比較する。この比較が失敗すると、パケットは1011において拒絶される。合致が取得されると、パケット処理は、通常通り1012において継続する。
図9からのオプション1およびオプション2は、パケットがクリア内に送られる(IPsec処理がない)か、パス内にアドレス変換(NAPT)がないかのいずれかの状況を表す。しかしながら、重複ソースの可能性がまだある。代替オプション1および2は両方とも、そのような重複パケットを回避する。オプション1の処理は、図11のBで開始する。このオプションは、SPMTテーブル300を通じてすべてのデータ・パケットを処理する。これは、「NO IPSEC/NAPT」として指定された他の単一のNAPTホスト・エントリを追加することによって行われる。SPMT300のパケットが到着すると、ソース・ポート・エントリを上述のように検索する。合致が見つからない場合には、ソース・ポート・エントリが1106において作成されて、「NO IPSEC/NAPT」NAPTホスト・エントリに関連付けられる。合致するソース・ポート・エントリが1104で見つかると、ステップ1110は、対応アソシエーション306が「NO IPSEC/NAPT」NAPTホスト・エントリをポイントしているかどうかを判断する。ポイントしている場合には、パケットは1108で許可される。そうでなければ、パケットは1112で拒絶される。このオプション1の利点は、簡略性である。その利点は、すべてのデータ・トラフィックがSPMTテーブル300を通じて処理されるということである。
オプション2は、受信IPsecパケット・フィルタリングを使用して、重複ソース・パケットを拒絶する。IPsecがいったんホストに設定されると、すべてのパケットは、パケットが暗号化されているかどうかに関わらず、IPsec規則テーブル(SPD)を介して処理される。これは、所定の接続上のクリア・パケットがIPsec規則によって実際に許可されたことを検証するためのものである。オプション2の処理は、図12のCで開始する。ステップ1202において、受信パケットは、IPsec規則テーブル(図示せず)を介して処理される。好ましい一実施形態においてこれがどのように行われるかについては、上記の米国特許第6347376号から判断できる。この特許を、その全体を参照により援用するものとする。パケットが暗号化されると(ステップ1204)、ステップ1206は、支配的なIPsec規則が暗号化を要求しているかどうかを判断する。要求していると仮定すると、パケットは1206において許可される。そうでない場合には、1210において拒絶される。ステップ1204においてパケットが暗号化されていない場合には、1212において、支配的なIPsec規則は暗号化されていないパケットを許可するかどうかについての判断がなされ、それに従ってパケットが許可または拒絶される。トンネル・モードにおいて、IPsec SAは、必ずしもエンド・ツー・エンドではない。例えば、SAは、ホストと、複数のクライアントおよびサーバを扱うゲートウェイとの間を交渉してもよい。トンネル・モードにおいて、単一のNAPTアドレス(UDPカプセル化ヘッダにおけるソースIPアドレス)は、複数のホストを表す場合がある。トンネル・モードにおいて、パケットのカプセル化されかつ暗号化された部分は、ソースの元のIPアドレスとTCPトランスポート・ヘッダとの両方を含む。本明細書の目的のために、トンネル・モードにおけるソースの元のIPアドレスを、内部ソースIPアドレスと称する。内部ソースIPアドレスは、全体的に固有ではないので、パケット・ルーティングまたは接続のソースを表すためには使用できない。SPMT300のソース・ポート・エントリ内に含まれるような元のソース・ポートと、トランスポート・モードについて上述したようなUDPポートだけを伴うカプセル化ソースIPアドレスとは、固有でない場合もあろう。これに対処するために、内部ソースIPアドレスを含む追加のフィールドが、図3のSPMT300のソース・ポート・エントリ(例えば、308)に追加される。(トランスポート・モードにおいては利用可能ではない)内部ソースIPアドレスは、ソース・ポート・エントリの他の値と組み合わせると、トンネル・モードのIPsec SAによって保護されたホストについての固有の識別子を生じさせる。内部ソースIPアドレスは、ステップ1008の一部として、ソース・ポート・エントリに追加される。トンネル・モード・パケットが到着すると、ステップ1004において上述したようなSPMTのソース・ポート・エントリを検索して、NAPTホスト・エントリに対するアソシエーションを見つけ、ステップ1010において、上記説明に加えて、復号化されたパケットから取得した内部ソース・クライアントIPアドレスがソース・ポート・エントリ内のクライアントIPアドレスと同一であることを検証する。この検証が失敗すると、当該パケットは拒絶される。
好ましい実施形態が数多くの軽微の変形を有しうることは、当業者にとって明らかだろう。例えば、ICMPプロトコルは、ポート番号を使用せず、むしろクエリ識別子を使用する。開示され請求された本発明に関して、クエリ識別子は、ポート番号と等価である。
クライアントからNAPTを介して宛先ホストへのパケットの進行と、パケットの進行に伴うパケット・ヘッダおよび内容に対する変更とを示す。 図1のパケットに応答する戻りパケットを示す。 ソース・ポート・マッピング・テーブル(SPMT)の一実施形態を例示する。 暗号化された元パケットをカプセル化するNAPT変換パケットを示す。 復号化後の図4のパケットを示す。 図4に対応する、送信路内のNAPTを含ませることによって生じる違法な重複ソースを表す先のパケットと同一のパス上の第2のパケットを示す。 図5に対応する、送信路内のNAPTを含ませることによって生じる違法な重複接続を表す先のパケットと同一のパス上の第2のパケットを示す。 SPMT内のNAPTホスト・エントリの作成のフローチャートである。 受信パケットが最初に宛先ホストに到着した場合に利用可能なオプションを示すフローチャートである。 暗号化された元パケットをカプセル化しかつNAPTを通った受信パケットの処理を示すフローチャートである。 カプセル化およびNAPT通過という両条件を満足しない受信パケットを処理する一代替方法を示すフローチャートである。 カプセル化およびNAPT通過という両条件を満足しない受信パケットを処理する一代替方法を示すフローチャートである。

Claims (33)

  1. アプリケーションを識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止する方法であって、a)サーバでパケットを受信するステップと、b)前記パケットがネットワーク・アドレス・ポート変換器によって変換されかつIPsecカプセル化されたパケットを含むかどうかを判断するステップと、c)前記パケットが変換されかつIPsecカプセル化されたパケットを含む場合、前記パケットを処理して、元の接続情報を取得して、ソース・ポート・マッピング・テーブル(SPMT)を検索して、NAPT変換接続情報と前記元の接続情報との間のアソシエーションを見つけるステップと、d)ステップc)の結果が重複ソースであることを表す場合には、前記パケットを拒絶するステップとを含む、方法。
  2. 前記ソース・ポート・マッピング・テーブルは、クライアントとサーバとの間のセキュリティ・アソシエーションが交渉される場合に作成されるNAPTホスト・エントリと、重複ソースを検出するために使用される前記ソース・ポート・エントリと前記NAPTホスト・エントリとの間のマッピングを伴う、既存のエントリのない非重複ソース・パケットが到着すると作成されるソース・ポート・エントリとを含む、請求項1に記載の方法。
  3. 前記ソース・ポート・マッピング・テーブル内にNO IPSEC/NAPTホスト・エントリを確立して、請求項1のステップb)を失敗したすべての受信パケットを示して、ソース・ポート・エントリを有しないすべての受信パケットを表して、ソース・ポート・エントリを有しないすべての受信パケットについてのソース・ポート・エントリを作成し、前記ソース・ポート・エントリをNO IPSEC/NAPTホスト・エントリにマッピングし、前記NO IPSEC/NAPTホスト・エントリにマッピングされていない前記ソース・ポート・マッピング・テーブル内にソース・ポート・エントリを既に有する受信パケットのいずれかを拒絶するステップをさらに含む、請求項2に記載の方法。
  4. アプリケーションを識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止する方法であって、a)サーバでパケットを受信するステップと、b)前記パケットがIPsecカプセル化されたパケットかどうかを判断するステップと、c)前記パケットがIPsecカプセル化されたパケットである場合、前記パケットの前記送信パスがネットワーク・アドレス・ポート変換器(NAPT)を含むかどうかを判断するステップと、d)前記パケットの前記送信パスがNAPTを含む場合、前記IPsecカプセル化されたパケットをカプセル化して、元のソースポート番号と、元のパケット・プロトコルを取得するステップと、e)ソース・ポート・マッピング・テーブル(SPMT)を検索して、前記NAPTソース・アドレスと、前記元のソース・ポートと、前記NAPTソース・アドレスおよびポート番号に対する前記元のパケット・プロトコルとの間のアソシエーションを見つけるステップと、f)前記パケット内に含まれるのとは異なる元のポート番号に対するアソシエーションがステップe)で見つかると、前記パケットを拒絶するステップとを含む、方法。
  5. ステップb)は、ユーザ・データグラム・プロトコル(UDP)ヘッダによってカプセル化されたカプセル化セキュリティ・ペイロード(ESP)を含むかどうかを判断するステップをさらに含む、請求項4に記載の方法。
  6. 前記カプセル化されたUDPヘッダは、4500以外のソース・ポート・番号と、450に等しい宛先ポート番号を含むかどうかを判断するステップをさらに含む、請求項4に記載の方法。
  7. インターネット・ホストからのインターネット鍵交換(IKE)メッセージに応答して、前記サーバにおける前記SPMT内に、前記NAPTの前記ソースIPアドレスと、前記NAPTによって割り当てられたソース・ポート番号とをそれぞれ含むネットワーク・アドレス変換器(NAPT)ホスト・エントリを動的に構築するステップをさらに含む、請求項4に記載の方法。
  8. IPsecパケットが到着して処理されると、前記SPMT内に、NAPTのソース・アドレスと、元のソース・ポート番号と、元のプロトコルとをそれぞれ含むソース・ポート・エントリを動的に構築するステップと、前記ソース・ポート・エントリと前記SPMTの前記NAPTホスト・エントリとの間のアソシエーションを確立するステップとをさらに含む、請求項7に記載の方法。
  9. アソシエーションを確立する前記ステップは、アソシエーションがないIPsecパケットが到着する場合に、各アソシエーションを動的に確立するステップをさらに含む、請求項8に記載の方法。
  10. 単一のホスト「NO IPSEC/NAPT」エントリを前記SPMTに追加して、ESPヘッダを含まないかまたはNAPTを通過していないすべてのパケットを関連付けるステップと、ESPヘッダを含まないかまたはNAPTを通過しておらず、かつアソシエーションを有しないパケットが到着する場合に、前記SPMTのソース・ポート・エントリと、前記「NO IPSEC/NAPT」エントリとの間のアソシエーションを形成するステップと、前記「NO IPSEC/NAPT」エントリをポイントしない前記合致ソース・ポート・エントリについて確立されたアソシエーションが既にある場合に、ESPヘッダを含まないかまたはNAPTを通過していないパケットを拒絶するステップとをさらに含む、請求項9に記載の装置。
  11. 到着パケットの前記送信路がNAPTを含まないか、前記到着パケットがIPsecパケットでない場合に、規則のセキュリティ・テーブルを検索して、前記パケットの拒絶または受け入れを司る規則合致を見つけるステップと、前記パケットがIPsecパケットであって前記合致規則がIPsec処理を必要としない場合に、前記パケットを拒絶するステップと、前記パケットがIPsecパケットでなく前記合致規則がIPsec処理を必要とする場合に、前記パケットを拒絶するステップとをさらに含む、請求項4に記載の装置。
  12. コンピュータにロードおよび実行されると、アプリケーションを識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための以下のステップを前記コンピュータに行わせるプログラム・コードを含む記憶媒体を備えるコンピュータ・プログラム製品であって、a)サーバでパケットを受信するステップと、b)前記パケットがネットワーク・アドレス・ポート変換器によって変換されかつIPsecカプセル化されたパケットを含むかどうかを判断するステップと、c)前記パケットが変換されかつIPsecカプセル化されたパケットを含む場合、前記カプセル化されたパケットを復号化して、元の接続情報を取得して、ソース・ポート・マッピング・テーブル(SPMT)を検索して、NAPT変換接続情報と前記元の接続情報との間のアソシエーションを見つけるステップと、d)ステップc)の結果が重複ソースであることを表す場合には、前記パケットを拒絶するステップとを含む、コンピュータ・プログラム製品。
  13. 前記ソース・ポート・マッピング・テーブルは、クライアントとサーバとの間のセキュリティ・アソシエーションが交渉される場合に作成されるNAPTホスト・エントリと、重複ソースを検出するために使用される前記ソース・ポート・エントリと前記NAPTホスト・エントリとの間のマッピングを伴う、既存のエントリのない非重複ソース・パケットが到着すると作成されるソース・ポート・エントリとを含む、請求項12に記載のコンピュータ・プログラム製品。
  14. 前記ソース・ポート・マッピング・テーブル内にNO IPSEC/NAPTホスト・エントリを確立して、請求項1のステップb)を失敗したすべての受信パケットを示して、ソース・ポート・エントリを有しないすべての受信パケットを表して、ソース・ポート・エントリを有しないすべての受信パケットについてのソース・ポート・エントリを作成し、前記ソース・ポート・エントリをNO IPSEC/NAPTホスト・エントリにマッピングし、前記NO IPSEC/NAPTホスト・エントリにマッピングされていない前記ソース・ポート・マッピング・テーブル内のソース・ポート・エントリを既に有する受信パケットのいずれかを拒絶するためのプログラム・コードをさらに含む、請求項13に記載のコンピュータ・プログラム製品。
  15. コンピュータにロードおよび実行されると、アプリケーションを識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための以下のステップを前記コンピュータに行わせるプログラム・コードを含む記憶媒体を備えるコンピュータ・プログラム製品であって、a)サーバでパケットを受信するステップと、b)前記パケットの送信路がネットワーク・アドレス変換器(NAPT)を含むかどうかを判断するステップと、c)前記パケットの前記送信路がNAPTを含む場合、前記パケットが元のカプセル化されたパケットを含むかどうかを判断するステップと、d)前記パケットが元のカプセル化されたパケットを含む場合、前記元のカプセル化されたパケットを復号化して、元のソース・ポート番号と元のパケット・プロトコルとを取得するステップと、e)ソース・ポート・マッピング・テーブル(SPMT)を検索して、前記NAPTソース・アドレスと、前記元のソース・ポートと、前記NAPTソース・アドレスおよび元のポート番号に対する前記元のパケット・プロトコルとの間のアソシエーションを求めるステップと、f)ステップe)において前記パケットに含まれるのとは異なる元のポート番号であるアソシエーションが見つかる場合に、前記パケットを拒絶するステップとを含む、コンピュータ・プログラム製品。
  16. ステップb)は、前記パケットがユーザ・データグラム・プロトコル(UDP)ヘッダを含むかどうかを判断するステップをさらに含む、請求項15に記載のコンピュータ・プログラム製品。
  17. ステップc)は、前記パケットがカプセル化されたセキュリティ・ペイロード(ESP)ヘッダを含むかどうかを判断するステップをさらに含む、請求項15に記載のコンピュータ・プログラム製品。
  18. インターネット・ホストからのインターネット鍵交換(IKE)メッセージに応答して、前記サーバにおける前記SPMT内に、前記NAPTの前記ソースIPアドレスと、前記NAPTによって割り当てられたソース・ポート番号とをそれぞれ含むネットワーク・アドレス変換器(NAPT)ホスト・エントリを動的に構築するステップをさらに含む、請求項15に記載のコンピュータ・プログラム製品。
  19. IPsecパケットが到着して処理されると、前記SPMT内に、NAPTのソース・アドレスと、元のソース・ポート番号と、元のプロトコルとをそれぞれ含むソース・ポート・エントリを動的に構築するためのコードと、前記ソース・ポート・エントリと前記SPMTの前記NAPTホスト・エントリと間のアソシエーションを確立するためのコードとをさらに含む、請求項18に記載のコンピュータ・プログラム製品。
  20. アソシエーションを確立する前記ステップは、アソシエーションがないカプセル化されたパケットが到着する場合に、各アソシエーションを動的に確立するためのコードをさらに含む、請求項19に記載のコンピュータ・プログラム製品。
  21. 単一のホスト「No IPSEC/NAPT」エントリを前記SPMTに追加して、ESPヘッダを含まないすべてのパケットを関連付け、アソシエーションを有しない非IPsecパケットが到着する場合に、前記SPMTのソース・ポート・エントリと、前記「No IPSEC/NAPT」エントリとの間のアソシエーションを形成し、前記NAPT「No IPSEC/NAPT」エントリをポイントしない前記合致ソース・ポート・エントリについて確立されたアソシエーションが既にある場合に、非IPsecパケットを拒絶するためのコードをさらに含む、請求項20に記載のコンピュータ・プログラム製品。
  22. 到着パケットの前記送信路がNAPTを含まないか、前記到着パケットがIPsecパケットでない場合に、規則のセキュリティ・テーブルを検索して、前記パケットの拒絶または受け入れを司る規則合致を見つけるためのコードと、前記パケットがIPsecパケットであって前記合致規則がIPsec処理を必要としない場合に、前記パケットを拒絶するためのコードと、前記パケットがIPsecパケットでなく前記合致規則がIPsec処理を必要とする場合に、前記パケットを拒絶するためのコードとをさらに含む、請求項15または16に記載の装置。
  23. アプリケーションを識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための装置であって、a)サーバでパケットを受信するための手段と、b)前記パケットがネットワーク・アドレス・ポート変換器によって変換されかつIPsecカプセル化されたパケットを含むかどうかを判断するための手段と、c)NAPTからのIPsecカプセル化されたパケットを処理して、元の接続情報を取得するための手段と、ソース・ポート・マッピング・テーブル(SPMT)を検索して、NAPT変換接続情報と前記元の接続情報との間のアソシエーションを見つけるための手段と、d)前記SPMTが重複ソースであることを表す場合には、NAPTからのIPsecカプセル化されたパケットを拒絶するための手段とを備える、装置。
  24. クライアントとサーバとの間のセキュリティ・アソシエーションが交渉される場合に、NAPTホスト・エントリを前記ソース・ポート・マッピング・テーブル内に作成するための手段と、既存のエントリのない非重複ソース・パケットが到着するとソース・ポート・エントリを作成するための手段とをさらに備える、請求項23に記載の装置。
  25. 前記ソース・ポート・マッピング・テーブル内にNO IPSEC/NAPTホスト・エントリを確立して、NAPTによってIPsecカプセル化も変換もされていないすべての受信パケットを示すための手段と、NAPTによってIPsecカプセル化も変換もされていないすべての受信パケットについてのソース・ポート・エントリを作成するための手段と、ソース・ポート・エントリを前記NO IPSEC/NAPTホスト・エントリにマッピングするための手段と、NAPTによってIPsecカプセル化も変換もされておらず、かつ前記NO IPSEC/NAPTホスト・エントリにマッピングされていない前記ソース・ポート・マッピング・テーブル内のソース・ポート・エントリを既に有する受信パケットを拒絶するための手段をさらに備える、請求項24に記載の装置。
  26. アプリケーションを識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための装置であって、a)サーバでパケットを受信するための手段と、b)前記パケットの送信路がネットワーク・アドレス変換器(NAPT)を含むかどうかを判断するための手段と、c)前記パケットの前記送信路がNAPTを含むという判断に応答して、前記パケットがIPsecカプセル化されたパケットを含むかどうかを判断するための手段と、d)前記パケットがIPsecカプセル化されたパケットを含むという判断に応答して、前記パケットを処理して、元のソース・ポート番号と元のパケット・プロトコルとを取得するための手段と、e)ソース・ポート・マッピング・テーブル(SPMT)を検索して、前記NAPTソース・アドレスと、前記元のソース・ポートと、前記NAPTソース・アドレスおよび元のポート番号に対する前記元のパケット・プロトコルとの間のアソシエーションを求めるための手段と、f)前記パケットに含まれるのとは異なる元のポート番号であるアソシエーションに応答して、前記パケットを拒絶するための手段とを備える、装置。
  27. 前記パケットの前記送信路がネットワーク・アドレス変換器(NAPT)を含むかどうかを判断するための前記手段は、前記パケットがユーザ・データグラム・プロトコル(UDP)ヘッダを含むかどうかを判断することをさらに含む、請求項26に記載の装置。
  28. 前記パケットがIPsecカプセル化されたパケットを含むかどうかを判断するための前記手段は、前記パケットがカプセル化されたセキュリティ・ペイロード(ESP)ヘッダを含むかどうかを判断することをさらに含む、請求項26に記載の装置。
  29. インターネット・ホストからのインターネット鍵交換(IKE)メッセージに応答して、前記サーバにおける前記SPMT内に、前記NAPTの前記ソースIPアドレスと、前記NAPTによって割り当てられたソース・ポート番号とをそれぞれ含むネットワーク・アドレス変換器(NAPT)ホスト・エントリを動的に構築するための手段をさらに備える、請求項26に記載の装置。
  30. IPsecパケットが到着して処理されると、前記SPMT内に、NAPTのソース・アドレスと、元のソース・ポート番号と、元のプロトコルとをそれぞれ含むソース・ポート・エントリを動的に構築するための手段と、前記ソース・ポート・エントリと前記SPMTの前記NAPTホスト・エントリと間のアソシエーションを確立するための手段とをさらに備える、請求項29に記載の装置。
  31. アソシエーションを確立するための前記手段は、アソシエーションがないカプセル化されたパケットが到着する場合に、各アソシエーションを動的に確立するための手段をさらに備える、請求項30に記載の装置。
  32. 単一のホスト「No IPSEC/NAPT」エントリを前記SPMTに追加して、ESPヘッダを含まないすべてのパケットを関連付けるための手段と、アソシエーションを有しない非IPsecパケットが到着する場合に、前記SPMTのソース・ポート・エントリと、前記「No IPSEC/NAPT」エントリとの間のアソシエーションを形成するための手段と、前記NAPT「No IPSEC/NAPT」エントリをポイントしない前記合致ソース・ポート・エントリについて確立されたアソシエーションが既にある場合に、非IPsecパケットを拒絶するための手段とをさらに備える、請求項31に記載の装置。
  33. 到着パケットの前記送信路がNAPTを含まないか、前記到着パケットがIPsecパケットでないという判断に応答して、規則のセキュリティ・テーブルを検索して、前記パケットの拒絶または受け入れを司る規則合致を見つけるための手段、前記パケットがIPsecパケットであって前記合致規則がIPsec処理を必要としない場合に、前記パケットを拒絶するための手段と、前記パケットが非IPsecパケットであって前記合致規則がIPsec処理を必要とする場合に、前記パケットを拒絶するための手段とをさらに備える、請求項26または27に記載の装置。
JP2008505871A 2005-04-11 2006-04-07 ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 Active JP4766574B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/907,661 US7656795B2 (en) 2005-04-11 2005-04-11 Preventing duplicate sources from clients served by a network address port translator
PCT/EP2006/061433 WO2006108805A1 (en) 2005-04-11 2006-04-07 Preventing duplicate sources from clients served by a network address port translator

Publications (3)

Publication Number Publication Date
JP2009532919A true JP2009532919A (ja) 2009-09-10
JP2009532919A5 JP2009532919A5 (ja) 2011-03-31
JP4766574B2 JP4766574B2 (ja) 2011-09-07

Family

ID=36636455

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008505871A Active JP4766574B2 (ja) 2005-04-11 2006-04-07 ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止

Country Status (8)

Country Link
US (1) US7656795B2 (ja)
EP (1) EP1872561B1 (ja)
JP (1) JP4766574B2 (ja)
CN (1) CN101156420B (ja)
BR (1) BRPI0607515B1 (ja)
CA (1) CA2602778C (ja)
TW (1) TWI365651B (ja)
WO (1) WO2006108805A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030158959A1 (en) * 2002-02-15 2003-08-21 Jay Jayapalan Establishment of communications using point to point protocols such that duplicate negotiations are avoided
US8787393B2 (en) * 2005-04-11 2014-07-22 International Business Machines Corporation Preventing duplicate sources from clients served by a network address port translator
JP4709583B2 (ja) * 2005-05-31 2011-06-22 株式会社東芝 データ送信装置およびデータ送信方法
CN1937531B (zh) * 2006-08-28 2010-05-12 华为技术有限公司 检测维护组完整性的方法及装置和增加端点的方法及装置
CN101631113B (zh) * 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
CN101635710B (zh) * 2009-08-25 2011-08-17 西安西电捷通无线网络通信股份有限公司 一种基于预共享密钥的网络安全访问控制方法及其系统
WO2012111222A1 (ja) 2011-02-17 2012-08-23 日本電気株式会社 ネットワークシステム、及びネットワークフロー追跡方法
CN102984068B (zh) * 2012-11-23 2016-08-03 汉柏科技有限公司 实现报文穿越网络地址转换设备的方法
US9525627B2 (en) 2014-05-27 2016-12-20 Google Inc. Network packet encapsulation and routing
CN106210095B (zh) * 2016-07-18 2020-01-24 新华三技术有限公司 一种端口处理方法和装置
US11095617B2 (en) 2017-12-04 2021-08-17 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
US11245697B2 (en) * 2019-11-29 2022-02-08 Juniper Networks, Inc. Application-based network security
US11902264B2 (en) * 2020-06-22 2024-02-13 Vmware, Inc. Path selection for data packets encrypted based on an IPSEC protocol
CN112242943B (zh) * 2020-11-26 2022-08-16 迈普通信技术股份有限公司 IPSec隧道建立方法及装置、分支设备、中心端设备
TWI793904B (zh) * 2021-12-08 2023-02-21 中華電信股份有限公司 為本地服務進行訊務轉址的行動邊緣運算裝置和方法
CN114465755B (zh) * 2021-12-15 2024-02-23 广西电网有限责任公司电力科学研究院 基于IPSec传输异常的检测方法、装置及存储介质
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040143758A1 (en) * 2003-01-21 2004-07-22 Microsoft Corporation Method for mapping security associations to clients operating behind a network address translation device
JP2007142675A (ja) * 2005-11-16 2007-06-07 Toshiba Corp 通信装置、通信方法および通信プログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US7684317B2 (en) * 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US7747758B2 (en) * 2001-10-29 2010-06-29 International Business Machines Corporation Dynamic port assignment
US20030154306A1 (en) * 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
KR100479261B1 (ko) 2002-10-12 2005-03-31 한국전자통신연구원 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US7346770B2 (en) 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
CN100505634C (zh) * 2003-06-23 2009-06-24 腾讯科技(深圳)有限公司 数字信息穿透nat/fw的方法和系统
US20050166206A1 (en) * 2004-01-26 2005-07-28 Parson Dale E. Resource management in a processor-based system using hardware queues

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040143758A1 (en) * 2003-01-21 2004-07-22 Microsoft Corporation Method for mapping security associations to clients operating behind a network address translation device
JP2007142675A (ja) * 2005-11-16 2007-06-07 Toshiba Corp 通信装置、通信方法および通信プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム

Also Published As

Publication number Publication date
BRPI0607515A2 (pt) 2016-10-25
CA2602778C (en) 2014-04-01
US20060227807A1 (en) 2006-10-12
CA2602778A1 (en) 2006-10-19
TWI365651B (en) 2012-06-01
EP1872561B1 (en) 2012-11-07
BRPI0607515B1 (pt) 2020-04-22
CN101156420A (zh) 2008-04-02
WO2006108805A1 (en) 2006-10-19
JP4766574B2 (ja) 2011-09-07
CN101156420B (zh) 2011-07-20
US7656795B2 (en) 2010-02-02
TW200708009A (en) 2007-02-16
EP1872561A1 (en) 2008-01-02

Similar Documents

Publication Publication Date Title
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
JP4482601B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US7107614B1 (en) System and method for network address translation integration with IP security
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
JP3793083B2 (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
US20150304427A1 (en) Efficient internet protocol security and network address translation
EP1130846A2 (en) Network address translation gateway
US8250229B2 (en) Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
JP2009111437A (ja) ネットワークシステム
JP2004508768A (ja) ファイア・ウォールを経由する安全なデュアル・チャネル通信システム及び方法
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
KR100479261B1 (ko) 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US20020178356A1 (en) Method for setting up secure connections
US7908481B1 (en) Routing data to one or more entities in a network
JP4769877B2 (ja) Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出
GB2367222A (en) Network address translation integration with IP security

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110201

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20110201

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20110201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110428

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110601

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20110601

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110609

R150 Certificate of patent or registration of utility model

Ref document number: 4766574

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3