JP2011505761A - 暗号化されたパケットストリームおよびトンネリングされるパケットストリームのフロー分類 - Google Patents

暗号化されたパケットストリームおよびトンネリングされるパケットストリームのフロー分類 Download PDF

Info

Publication number
JP2011505761A
JP2011505761A JP2010536156A JP2010536156A JP2011505761A JP 2011505761 A JP2011505761 A JP 2011505761A JP 2010536156 A JP2010536156 A JP 2010536156A JP 2010536156 A JP2010536156 A JP 2010536156A JP 2011505761 A JP2011505761 A JP 2011505761A
Authority
JP
Japan
Prior art keywords
packet
filters
filter
packet filters
subset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010536156A
Other languages
English (en)
Other versions
JP5129343B2 (ja
Inventor
バッバー、アッピンダー・シング
バンガラ、ベンカタ・サティッシュ・クマー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of JP2011505761A publication Critical patent/JP2011505761A/ja
Application granted granted Critical
Publication of JP5129343B2 publication Critical patent/JP5129343B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Abstract

様々な通信ネットワークサブシステムによって要求される特殊な処理(例えば、QOS、セキュリティ、トンネリングなど)の問題を解決する方法およびシステム。幾つかの場合に、ある通信サブシステムによる処理が、上記パケットの追加処理の適用に影響する可能性がある変更されたIPデータパケットをもたらす場合がある。本方法およびシステムは、全てのエンドノードおよび中間ノードが変更されたパケットに対して要求された処理を行えるようにするために、ユースケースに基づいて、フィルタを変換し、追加のトンネルまたは他の手順をセットアップすることによって、問題を解決する。本方法およびシステムは、複数の異なるタイプのパケットフィルタのオーバーラップまたは交差を考慮に入れることが出来る。パケットフィルタの第1のセットは、変更されたパケットについて所望のパケット分類を提供するように変換される。パケットフィルタの第2のセットを、パケットフィルタの第1のセットに適用される変換に基づいて変換することが出来る。

Description

関連出願
本願は、2007年11月29日に出願した米国仮出願第60/991,087号に対する優先権の利益を主張し、その内容全体が参照によって本明細書に組み込まれている。
本発明は、一般的にはコンピュータネットワーク通信に関し、より具体的には、フロー分類(flow classification)およびアプリケーションまたはネットワーク管理者のいずれかによってインストールされるフィルタを変換する方法に関する。
フロー分類とは、ネットワークデータパケットをフローと呼ばれる様々な論理ストリームに分類するプロセスである。データパケットがインターネットプロトコル(IP)トラフィックにおいて移送される時に、そのデータパケットは、そのデータパケットに対して実行される特定の処理を必要とする場合がある。この特定の処理は、そのデータパケットを送信するか受信するアプリケーションによって、またはそのデータパケットがそれを通して移動する通信経路によって規定され得る。フロー分類は、典型的には、あるパラメータに基づいてパケットをフィルタリングすることによって実行される。例えば、雑音および干渉が通信経路中のリンクで発生し得るワイヤレス通信セッティングにおいては、ある種のアプリケーションは、最小サービス品質(QOS)が通信伝送全体を通じて維持されることを要求することが出来る。従って、最小QOSの維持を必要とするデータパケットを認識し、最小QOSが満足されることを保証する通信経路中の信頼出来るチャネルに沿ってそれらのデータパケットをルーティングするために、通信経路に沿ったルータ中でフィルタを実施することが出来る。
TCP/IPネットワーク通信においては、パケットフィルタリングは、典型的に、ソースIPアドレスおよび/または宛先IPアドレス、ソースポート番号および/または宛先ポート番号、プロトコル/次ヘッダフィールド、その他などのような、TCP/UDP/IPヘッダ中の様々なパラメータを使用して実行される。IPデータパケットトラフィック上で実行される特定の処理を、データパケットのルーティングに限定する必要はない。フィルタリングを、リアルタイムトランスポートプロトコル(Real-Time Transport Protocol、RTP)ヘッダまたはセッションイニシエーションプロトコル(Session Initiation Protocol、SIP)ヘッダからのような上位レイヤプロトコルヘッダパラメータを使用して実行することも出来る。フィルタによって対処されるパラメータを、アプリケーションレイヤヘッダまたはアプリケーションペイロード本体の一部とすることも出来る。
分類の基本概念は、IPパケットの特殊なハンドリングを可能にするために、ある種の特性(フィルタリングパラメータによって定義される)に基づいてIPパケットのストリーム内の、IPパケットなどのようなデータパケットを差異化することである。ストリーム(本明細書ではフローと称する)中へのパケットの分類は、ファイヤウォール、QOS、セキュリティ、ヘッダ圧縮、請求、ロギング、などのような、ネットワーク内の各フロー中のパケットに対する様々な選択的扱いを提供するのに使用することが出来る。
エンドツーエンド通信リンクが確立される時に、全てのトラフィックは、デフォルトQOSを使用して扱われ、アプリケーションが特殊な処理を要求する場合には、そのアプリケーションは、そのリンク中の適切なノードまたはルータにそのアプリケーションフィルタを指定することによってQOS処理を要求する。特定のアプリケーションが、通信リンクを通して移送されつつある、ある種のIPパケットのハンドリングおよび特定の処理を規定することが出来る追加フィルタの展開を必要とする場合がある。フィルタ間の衝突は、アプリケーションがQOS処理を要求する場合にルータに展開された先在するセキュリティフィルタがある時に発生する可能性があり、この場合には、セキュリティフィルタおよびQOSフィルタが、互いに交差するか衝突する可能性がある。
幾つかの場合に、エンドノードまたは中間ルータが、トンネリングを実行するため、セキュリティ対策を適用するため、などのようなIPデータパケットに対する追加処理を要求する場合がある。そのような状況で、IPデータパケットに対する処理は、オリジナルフィルタがこれらのパケットを正しく認識出来ないようにするために、フィルタリングを可能にするのに使用される様々なパラメータを移動し、変更し、または暗号化することが出来る。これは、IPトラフィックヘッダ中のパラメータが、暗号化されるかその典型的なオフセット位置から移動される時に発生し得る。そのような実例を、この説明においては変更されたパケットと称する。例えば、インターネットプロトコルセキュリティ(Internet Protocol Security、IPSec)が、暗号化を用いるカプセル化セキュリティペイロード(Encapsulating Security Payload、ESP)プロトコルを使用して実施される時に、トランスポートヘッダおよび上位ヘッダが暗号化される場合がある。その結果、ポート番号またはRTPのような他の上位レイヤヘッダに基づくフィルタリングを、正しく実行することが出来ない。
別の例として、IPトンネリング通信機構が使用される時に、IPトンネリングプロセスは、IPデータパケットを1つまたはそれより多くのIPレイヤヘッダまたは上位レイヤヘッダにカプセル化する。その結果、典型的なフィルタリング手順で作用されるパラメータが、その典型的な位置から位置をずらされる(即ち、オフセットされる)。その結果、これらのパラメータに基づくフィルタリングを、正しく実行することが出来ない。従来のフィルタリング動作に対する問題を生じる一般的に発生するIPトンネリングシナリオの例は、Mobile IP、IPv4−IPv6インターワーキング、およびIPSecを含む。
様々な実施形態は、パケット処理がIPデータパケットを変更する時にIPデータパケットの意図された分類を達成出来るようにするために、IPデータパケットフィルタを変換する方法を提供する。幾つかのシナリオでは、フィルタ変更は、さらに、全てのQOS要件を満足するために追加のトンネルをセットアップすることを含む。ある実施形態では、IPデータパケットが2つの異なるIPデータパケットフィルタにかけられ、IPデータパケットが変更される可能性がある時に、IPデータパケットフィルタが変換される。別の実施形態では、IPデータパケットが第1のIPデータパケットフィルタにかけられるが、IPデータパケットの一部だけが第2のIPデータパケットフィルタにかけられ、IPデータパケットが変更される可能性がある時に、IPデータパケットフィルタが変換される。第1および第2のIPデータパケットフィルタの各々にかけられるIPデータパケットの部分は、変化する可能性がある。
様々な実施形態は、エンドツーエンド通信リンク中の異なるノードまたはレイヤにある様々なサブシステムによって要求される特殊な処理(例えば、QOS、セキュリティ、トンネリングなど)の問題を解決する方法を提供する。幾つかのケースにおいて、あるサブシステムまたはあるノードによる処理が、追加処理の適用に影響する可能性がある変更されたIPデータパケットをもたらす場合がある。この問題を解決するために、様々な方法は、全てのサブシステムおよび中間ノードが変更されたIPデータパケットに対して要求された処理を行えるようにするために、ユースケースに基づいて、必要に応じてフィルタを変換する。幾つかのケースにおいて、フィルタ変換だけでは、同一のフロー分類を提供しない場合があり、その場合には、特定のレイヤ/ノード中のIPパケット変更の後に同一のフロー分類を達成するための追加トンネルの確立のように、追加の制御手順をも実施することが出来る。
本明細書に組み込まれ、本明細書の一部を構成する添付図面は、本発明の例示的実施形態を例解する。上で与えた一般的説明および下で与える詳細な説明と一緒に、図面は、本発明の特徴を説明するように働く。
図1Aは、QOS要件およびIPSec暗号化の対象であるIP通信を含む様々な通信ネットワークトポロジシナリオのうちの1つを例解する。 図1Bは、QOS要件およびIPSec暗号化の対象であるIP通信を含む様々な通信ネットワークトポロジシナリオのうちの1つを例解する。 図1Cは、QOS要件およびIPSec暗号化の対象であるIP通信を含む様々な通信ネットワークトポロジシナリオのうちの1つを例解する。 図1Dは、QOS要件およびIPSec暗号化の対象であるIP通信を含む様々な通信ネットワークトポロジシナリオのうちの1つを例解する。 図1Eは、QOS要件およびIPSec暗号化の対象であるIP通信を含む様々な通信ネットワークトポロジシナリオのうちの1つを例解する。 図2Aは、図1A〜1E中で例解されたネットワークトポロジシナリオに対する適切なフィルタ変更を例解する図である。 図2Bは、図1A〜1E中で例解されたネットワークトポロジシナリオに対する適切なフィルタ変更を例解する図である。 図2Cは、図1A〜1E中で例解されたネットワークトポロジシナリオに対する適切なフィルタ変更を例解する図である。 図2Dは、図1A〜1E中で例解されたネットワークトポロジシナリオに適切なフィルタ変更を例解する図である。 図2Eは、図1A〜1E中で例解されたネットワークトポロジシナリオに対する適切なフィルタ変更を例解する図である。 図3は、通信サービスによるIPデータパケット変更に起因する問題を解決する実施形態方法のプロセス流れ図である。 図4は、様々なネットワークトポロジシナリオで実施出来るIPデータパケットフィルタを変換するために実施出来る実施形態方法のプロセス流れ図である。 図5は、様々なネットワークトポロジシナリオで実施出来るIPデータパケットフィルタを変換するために実施出来る実施形態方法のプロセス流れ図である。 図6は、様々なネットワークトポロジシナリオで実施出来るIPデータパケットフィルタを変換するために実施出来る実施形態方法のプロセス流れ図である。 図7は、様々なネットワークトポロジシナリオで実施出来るIPデータパケットフィルタを変換するために実施出来る実施形態方法のプロセス流れ図である。 図8は、様々なネットワークトポロジシナリオで実施出来るIPデータパケットフィルタを変換するために実施出来る実施形態方法のプロセス流れ図である。 図9は、様々な実施形態を実施するのに適する移動体デバイスのコンポーネントブロック図である。 図10は、様々な実施形態を実施するのに適するコンピュータを示すコンポーネントブロック図である。
詳細な説明
様々な実施形態を、添付図面を参照して詳細に説明する。可能な限り、同一の符号を、同一のまたは同様の部分を参照するために複数の図面を通じて使用する。特定の例および実施態様に対して行われる言及は、例示のためであって、本発明または請求項の範囲を限定することは意図されてはいない。
本明細書で使用される時に、用語「コンピュータ」、「コンピューティングデバイス」、または「移動体デバイス」は、パーソナルコンピュータ、ノートブックコンピュータ、セルラ電話機、パーソナルデジタルアシスタント(PDA)、パームトップコンピュータ、ワイヤレス電子メール受信機およびセルラ電話受信機(例えば、Blackberry(登録商標)デバイスおよびTreo(登録商標)デバイス)、マルチメディアインターネット対応セルラ電話機(例えば、iPhone(登録商標))、ならびに、プログラマブルプロセッサ、メモリを含み、データネットワークを介して通信出来る類似するパーソナル電子デバイスのうちのいずれか1つまたは全てを指す。
この記述では、用語「例示的」は、本明細書では、「例、実例、または例解として働く」を意味するのに使用される。本明細書で「例示的」として説明される全ての実施態様を、必ずしも、他の実施態様より好ましいまたは有利と解釈してはならない。
エンドツーエンド通信リンクが確立される時に、全てのトラフィックは、デフォルトQOSを使用して扱われる。エンドポイントデバイス/端末で動作するアプリケーションが、そのアプリケーションによって利用されるIPデータパケットの特殊なハンドリングを要求する時に、そのアプリケーションに関連付けられたIPデータパケットのハンドリングおよびルーティングを指示するために、適当なフィルタを通信リンク中のルータ/ゲートウェイに展開することが出来る。幾つかのケースにおいて、IPデータパケットは、複数のフィルタによる分類を必要とする。しかし、IPデータパケットが、通信処理中(例えば、トンネルルーティングのためにパケットが暗号化されるかパッケージ化される時)に変更される場合があるので、デフォルトフィルタまたは標準フィルタが、変更されたIPデータパケットを認識出来ない場合があり、従って、その意図されたパケット分類機能を実行出来ない場合がある。
IPパケットフィルタリングの例は、最小QOS要件があるパケットを信頼出来る通信リンクを通してルーティング出来るように、これらのパケットを認識するように意図されたフィルタである(参照を簡単にするために、QOSフィルタは、図面および本明細書の式では「Q」として識別される)。そのようなフィルタは、様々なリンクが異なる信号品質を有するワイヤレス通信リンクを含む通信ネットワーク中で特に有用である。エンドツーエンド通信リンクがワイヤレスデバイス/端末を含む時に、サービス品質(QOS)フィルタを、QOSが提供されるネットワーク経路に沿った全てのルータに展開することが出来、その結果、各ルータは、順方向リンク上で所望の扱いを提供するために最小QOS要件を満足する特定の有線またはワイヤレスのリンクを正しく分類し、それを通してIPデータパケットを向けることが出来るようになる。幾つかの実施態様またはネットワーク構成では、QOSハンドリングは、ワイヤレスリンクでのみ発生する場合があり、この場合には、QOSフィルタを、ワイヤレスエンドポイントとして働く1つまたはそれより多くのルータだけに展開することが出来る。また、幾つかの実施態様では、QOSハンドリングを中間リンク内で(例えば、ワイヤレス通信リンクが2つの有線ネットワークの間の接続を提供する時)適用することが出来、従って、QOSフィルタは、ネットワーク経路のエンドポイント上のノードに限定されない。QOSまたは他のタイプのフィルタを、ネットワーク経路内の全てのルータに、またはネットワーク経路のエンドポイント上のノードだけに展開することが出来る。
例として、移動体デバイスは、インターネットからストリーミングビデオをも受信しつつある間にSMSテキストメッセージを送信し、受信することが出来る。SMSテキストメッセージングアプリケーションに関連付けられたIPデータパケットは、メッセージ全体が正しく受信されるまでパケットを再送することが出来るので、高いQOSを必要としない。しかし、ストリーミングされるビデオアプリケーションに関連付けられたIPデータパケットは、パケットが正確に受信されることを保証するために高QOS通信を必要とする。適当なエアリンクを通して移動体デバイス(またはネットワーク経路内の他のリンク)にSMSメッセージパケットおよびストリーミングビデオパケットをルーティングするために、適当なルータに展開されたQOSフィルタは、ワイヤレスデバイスに送信されつつあるIPデータパケットを、QOSルーティングを必要とするまたは必要としないのいずれかとして分類することが出来る。これを行うために、QOSフィルタは、パケットがQOSルーティングを必要とするかどうかを決定するために、IPデータパケットヘッダ内のビットの特定のセットをサンプリングすることが出来る。QOSルーティングを必要とするものとして分類されるIPデータパケット(即ち、この例ではビデオパケット)を、高QOS通信リンクを介してルーティングされるパケットフローにルーティングすることが出来、他のIPデータパケット(即ち、この例ではSMSメッセージパケット)を、別の通信リンクを通してルーティングすることが出来る。
エンドツーエンドQOSルーティングを提供するためにQOSパケットを正しくルーティングする代替の方法は、データパケットのIPヘッダ中でDifferentiated Services Code Point(DSCP)マーキングを使用することを含む。この方式では、特殊な整数値が、各フロータイプに割り当てられ、IPv4ヘッダのTOSフィールドまたはIPv6ヘッダのFlow labelフィールドに含まれる。これらの値は、経路に沿った全てのルータがアクセス可能な最も外のIPヘッダ中でマークされる。パケットが変更され、ヘッダが暗号化されるか、追加のヘッダが前に付加される場合に、パケットを変更する全てのルータは、付加される最も外のIPヘッダにDSCPマーキングをコピーしなければならず、これによってDSCPマーキング値をネットワーク経路に沿った諸点のルータから可視にしなければならない。DSCPマーキングは、ネットワーク経路に沿った各ルータに、パケットをどのように扱い、任意の所望のQOSハンドリングをどのように提供すべきかを示す。様々なDSCP値のセマンティクスは、各サービスプロバイダ/ネットワーク管理者によって定義される。この方法は、ネットワーク経路に沿った全てのルータがDSCP値の意図されたセマンティクスを理解する場合に限って有効である。この方法では、最初のホップ(即ち、起点ノードまたは起点ルータ)だけが、QOSに関するパケット分類を実行する必要がある。というのは、ネットワーク経路に沿った他の全てのルータが、DSCP値だけに頼ることが出来るからである。
IPデータ通信で使用される別の一般的なフィルタは、暗号化されたIPデータパケットを分類する。暗号化されたIPデータパケットは、これらが復号されるエンドポイントにこれらをルーティングするような、特殊な処理を必要とする。従って、セキュリティフィルタを、IPデータパケットの一部または全てがある点で暗号化される通信リンク内に展開することが出来る(参照を簡単にするために、セキュリティフィルタは、図面および本明細書の式では「S」として識別される)。
そのようなIPデータパケットフィルタリングは、上の例では良好に働くが、衝突する通信要件が同一の通信リンクに課せられる時に、問題が生じる場合がある。そのような問題の特定の例は、リンクの一部がQOS要件およびセキュリティ対策(例えば、IPSec)の対象になる通信リンクを含む。そのようなシナリオは、ユーザが取扱注意データを送信し、受信することを可能にするためにIPデータパケットを暗号化することによって、ワイヤレスデバイスがセキュアに通信するように構成される時に発生し、様々なセキュリティ対策が望まれる可能性がある。例えば、エンドツーエンド通信接続を、仮想プライベートネットワーク(VPN)機能を提供するために移動体デバイスとワークサーバとの間で確立することが出来る。ユーザは、取扱注意の情報を送信し、受信するのに、そのような暗号化された通信接続を利用することが出来る。ほとんどの場合に、IPデータパケットの暗号化は、パケット全体を暗号化することと、暗号化された結果を、変更されたヘッダ(即ち、オリジナルIPデータパケットのパケットヘッダとは異なるパケットヘッダ)を有する別のIPデータパケット内に含めることとを含む。その結果、オリジナル(即ち、暗号化されていない)パケット中のパラメータは、分類フィルタからアクセス可能ではなくなる可能性があり、新しいパケットヘッダに含まれるパラメータは、異なるオフセット位置にある可能性が高い。フィルタリングパラメータがアクセス不能または典型的なオフセット位置から移動された状態では、中間ルータ中のQOSフィルタのような分類フィルタが、IPデータパケットを所望のフローに分類出来ない場合がある。
様々な実施形態は、IPデータパケットが変更の対象になる様々なシナリオに対処するためにフィルタを変換する標準的な機構を提供することによって、これらの問題を克服する。変換されたフィルタは、パケットヘッダ変更に対処することによって、IPデータパケットを正しく分類することが出来る。次に、変換されたフィルタを、特定の通信セッションの通信経路に沿った様々なルータ/ゲートウェイに展開することが出来る。この形で、通信リンク中のネットワークノードは、パケットヘッダが変更されている時であっても、IPデータパケットを正しく分類し、ルーティングすることが出来る。従って、例えば、IPデータパケットが、IPトンネリングまたは暗号化を使用して送信される場合に、特定のアプリケーションによる使用を意図されたまたはQOSルーティングを必要とするIPデータパケットを、変換されたフィルタによって正しいフローに分類することが出来る。様々な実施形態を、本明細書ではIPデータパケットおよびIPベースのネットワークに関して述べるが、実施形態を、他のタイプのネットワークまたはプロトコルに拡張することが出来る。様々な実施形態は、エンドツーエンド通信リンク中の異なるノードまたは異なるレイヤにある様々なサブシステムによって要求される特殊な処理(例えば、QOS、セキュリティ、トンネリングなど)の問題を解決する方法を提供する。幾つかのケースにおいて、1つのサブシステムまたは1つのノードによる処理が、追加処理の適用に影響する可能性がある、変更されたIPデータパケットをもたらす場合がある。この問題を解決するために、様々な方法は、全てのサブシステムおよび中間ノードが変更されたIPデータパケットに対して必要な処理を行えるようにするために、ユースケースに基づいて、必要に応じてフィルタを変換し、追加のトンネルまたは他の制御手順をセットアップする。
トラフィックフロー方向は、変換されたフィルタの正しい展開を決定するために別々に考慮されなければならない。ほとんどの場合に、移動体デバイスからネットワークへのアップリンク即ち逆方向リンクトラフィックは、移動体デバイス中で発する。移動体デバイスは、IPSecドライバ、移動体IPスタック、または類似する後続の変更によってIPデータパケットが変更される前に、IPデータパケットを分類するためにフィルタを適用することが出来る。しかし、ネットワークから移動体デバイスへ流れる順方向/ダウンリンクIPデータパケットについて、フィルタリングまたはパケット分類は、IPデータパケット変更と同一のノードで発生しない場合がある。例えば、パケットのIPSec暗号化が通信リンクの最遠端部で実行され、QOS分類がワイヤレスゲートウェイ(即ち、IPデータパケットがワイヤレスデータリンクを介して移動体デバイスにルーティングされる場所)で実行される場合がある。従って、ほとんどのシナリオで、フィルタ変換は、順方向/ダウンリンクIPデータパケットについて必要とされる。
例として、図1A〜1Eに、QOSフローがIPSec暗号化フローと衝突し、かつ/または交差する可能性があるネットワークトポロジ中の様々なシナリオを示す。
図1Aに示されたネットワークトポロジでは、エンドツーエンド通信リンクが、ワイヤレスデバイス/端末101とピアデバイス/端末120との間で確立されている。通信経路は、それぞれデータネットワークまたはインターネット110へのゲートウェイとして働く、ルータ1 105およびルータ2 115を含む。データネットワークおよびインターネット110は、パケットヘッダに含まれる情報に従ってデータパケットを中継することによって単に通信リンクを完成させる複数の追加のルータおよびノードを含む場合がある。これらのノードのそれぞれは、単に経由点(via point)として働くので、これらのノードは、セット的にデータネットワークまたはインターネット110と称することが出来る。図1Aに示されたシナリオでは、順方向/ダウンリンク上で、ピアデバイス/端末120は、QOS要件の対象ではないデータリンクを介してルータ2 115にIPデータパケットを送信する。このシナリオでは、ルータ2 115は、IPSecドライバを使用してIPデータパケットを暗号化するセキュリティエンドポイント(Sec EP)として動作する。次に、暗号化されたIPデータパケットを、保護されないデータネットワークまたはインターネット110を通してルータ1 105に送信することが出来る。ルータ1 105は、ワイヤレスデバイス/端末101へのワイヤレス通信リンクを通して伝送のためにIPデータパケットを準備するQOSエンドポイント(QOS EP)として動作する。ワイヤレスデバイス/端末101へのIPデータパケットの伝送は、ワイヤレス通信リンクを通して発生するので、パケットがIPデータパケットの正確な受信を保証するのに十分な信号品質を有するか適当なデータ伝送速度の伝送経路を介して送信されることを保証するために、QOSフローを確立しなければならない。従って、QOSフィルタをルータ1 105に展開することが出来る。ルータ1 105は、暗号化されたIPデータパケットをルータ2 115から受信するので、展開されたQOSフィルタは、暗号化によって変更されている、暗号化されたIPデータパケット上で正しく操作しない可能性が高い。その結果、オリジナルQOSフィルタは、変更されたIPデータパケットをルータ1 105で分類し、必要なQOSを提供することが出来ない。従って、移動体デバイスは、QOSフィルタを変換し、変換されたフィルタを、ワイヤレスリンクに関するQOSサポートを提供するルータ1 105にインストールしなければならない。
しかし、逆方向/アップリンクでは、ワイヤレスデバイス/端末101がIPデータパケットの暗号化とQOS要件賦課との両方を行うので、フィルタ変換は不要である。従って、ワイヤレスデバイス/端末101は、データパケットを暗号化する前にQOSフィルタを使用してQOS分類を実行することが出来る。従って、パケット変更およびQOS分類は、通信リンクの同一ノード中で発生する。その結果、ルータ1 105は、この例のネットワーク経路中では特定のQOSがルータ1を超えてIPパケットに提供されないので、逆方向/アップリンクでのさらなる変換の必要なしに、セキュリティフィルタだけを使用して、受信したIPデータパケットを処理することが出来る。
図1Bに、IPデータパケットが、保護されたワイヤレスデータリンクを通して送信され、その後、ルータ2 115まで延びるQOSルーティングを伴うデータネットワークまたはインターネット110を通して暗号化されずに伝送される、第2のシナリオネットワークトポロジを示す。従って、セキュリティ暗号化は、IPデータパケットがルータ1 105とワイヤレスデバイス/端末101との間のワイヤレス通信リンクを通して伝送されるまで、順方向/ダウンリンク上では実施されない。このシナリオでは、順方向/ダウンリンク上のルータ1 105は、IPデータパケットがワイヤレス通信リンクを通して伝送される前に必要な暗号化を適用するセキュリティエンドポイントとして動作する。従って、順方向/ダウンリンク経路では、IPデータパケットは、ルータ1 105によって受信され、ワイヤレス通信リンクを通して伝送されるまで、変更されない。その結果、フィルタ変換は、ネットワーク経路に沿ってQOSを提供する全てのルータで、順方向/ダウンリンク上では不要である。その一方で、ルータ1は、この例のネットワーク経路中のQOSフィルタ変換を避けるために、データパケットを変更/暗号化する前に、QOSフィルタを使用してQOS分類を実行する。ルータ2 115に展開されたオリジナルフィルタは、変更されていないIPデータパケットを受信し、従って、必要なQOSフローを提供するためにパケットを正しく分類することが出来る。
この第2のシナリオでは、ワイヤレスデバイス/端末101がIPデータパケットの暗号化と、これによる変更との両方を行うが、QOS要件についてIPデータパケットを分類もするので、フィルタ変換は、逆方向/アップリンク経路上では不要である。従って、パケット変更およびQOS分類は、通信リンクの同一ノード中で発生する。ルータ105は、ルータ1を超えてパケットが変更されずに伝送されるようにするために、変更されたパケットをオリジナルパケット構成に復元し、従って、アップリンク経路に沿ってQOSフィルタを変換する必要はない。その結果、フィルタ変換および展開は、この例のネットワーク経路中の逆方向/アップリンクについて不要である。
図1Cは、IPデータパケットが、保護されたワイヤレスデータリンクを通してワイヤレスデバイス/端末101ヘ/から送信され、その後、ルータ2を使用せずに、暗号化されずにデータネットワークまたはインターネット110を通してピアデバイス/端末120に伝送される、第3のシナリオネットワークトポロジを例解する。このシナリオでは、順方向/ダウンリンク経路上で、IPデータパケット暗号化およびQOS分類が、同一ノード即ちルータ1 105で発生する。従って、順方向/ダウンリンクに対し、フィルタ変換は不要である。同様に、ワイヤレスデバイス/端末101が、IPデータパケットの暗号化(これによって、パケットヘッダを変更する)とQOS要件に関するIPデータパケットの分類との両方を行うので、逆方向/アップリンク経路上でフィルタ変換は不要である。従って、パケット変更およびQOS分類は、通信リンクの同一ノード中で発生する。
図1Dは、暗号化/復号がルータ(ルータ1 105およびルータ2 115)で発生するが、QOSパケットルーティングがワイヤレスデバイス/端末101からピア/デバイス端末120まで延びる、第4のシナリオネットワークトポロジを例解する。このシナリオでは、IPデータパケット変更は、パケットが暗号化される時にルータ105と115との両方で発生する。IPデータパケットは、ルータ105および115で暗号化され、復号されるので、端末デバイス101および120は、トラブルなしにQOS分類を実行することが出来る。というのは、端末デバイス101および120によって送信され、受信されるIPデータパケットが、変更されないからである。しかし、ルータ1とルータ2との間の経路に沿った他のルータは、変更されたパケットだけを受信するので、変換されたQOSフィルタを必要とする。
図1Eは、IPSecトンネルが、デバイス101とルータ2 115との間で確立され、QOSルーティングが、エンドツーエンドで即ち、ワイヤレスデバイス/端末101とピア/デバイス端末120との間で提供される、第5シナリオネットワークトポロジを示す。順方向/ダウンリンク経路上で、IPデータパケットは、セキュリティ暗号化をもたらすために、ルータ2 115中で変更される。ルータ2は、順方向/ダウンリンク中でピア/デバイス端末120から変更されないIPデータパケットを受信するので、ルータ2 115は、必要なQOSフローを作るためにQOS分類を実行することが出来る。従って、IPデータパケット変更およびQOS分類は、同一ノード(ルータ2 115)中で発生する。その後、順方向リンク経路に沿った他のルータは、変更されたIPパケットだけを受信するので、これらのルータ中でも、フィルタ変換が必要である可能性がある。デバイス/端末101は、IPデータパケットの暗号化(およびそれによる変更)とQOS要件に関するIPデータパケットの分類との両方を行うので、フィルタ変換は、ワイヤレスデバイス101上で逆方向/アップリンク経路については不要である。しかし、逆方向リンク経路に沿った他のルータは、変更されたIPパケットを受信するので、これらのルータについてはフィルタ変換が必要である可能性がある。その一方で、ルータ2は、IPパケットをオリジナルの形に復元し、逆方向/アップリンクデータ経路については変換されないQOSフィルタだけを使用することが出来る。
上のシナリオは、QOS over Mobile IPなどの上で説明した他のユースケースにも適用することが出来る。やはり、第1のシナリオ(図1A)は、Mobile IPトンネルが第1のホップルータの背後にあるホームエージェント(HA)で終わるので、Mobile IPについて最も一般的である。典型的な例は、CDMAネットワーク中のPacket Data Servicing Node(PDSN)である。QOS通信ルーティングは、典型的に、移動体デバイスとPDSNとの間で達成され、一方IPトンネルは、移動体デバイスとHAとの間で達成される。
図1A〜1Eに示されたシナリオに例解されたネットワーク経路は、フィルタ衝突が生じる可能性がある、全てではなく幾つかの可能なネットワーク構成を示すことを意図されたものである。他のネットワーク経路構成で生じるフィルタ衝突は、そのような構成が図1A〜1Eに示された例に含まれないが、本明細書で説明する様々な方法およびシステムを使用して対処することが出来る。
IPデータフィルタの処理が1つまたはそれより多くの展開されたパケットフィルタを無効にする(典型的には、ヘッダ中のフィルタリングパラメータ(1つまたは複数)が移動されるか暗号化されるので)状況は、IPデータパケットを変更しようとし、QOS処理をも提供しようとするノード(エンドデバイスまたはルータ)によって決定することが出来る。そのノードは、パケット処理状態を論理テーブルまたは決定木と比較することによるなど、2タイプのパケット処理が実施されることを認識することによって、フィルタで衝突があることを決定することが出来る。ノードが、フィルタ衝突が発生すると決定する時に、そのノードは、変換されたフィルタを生成し、変換されたフィルタをネットワーク経路に沿った全てのルータに伝搬させるという適切なアクションを実施することによって応答することが出来る。あるパケットがQOS分類を必要とし、変更の対象でもある(例えば、IPSec、トンネリングなどに起因して)ことを検出する最初のノードが、このアクションを行わなければならない。この決定は、1つのノード内に局所化されているので実施態様依存であり、そのノードは、この決定を行うのに必要な情報の全てを有して構成される。そしてそのようなノードは、フィルタ変換を実行し、変換されたフィルタをネットワーク経路に沿ってはるばる関連ルータまで送信する。フィルタ変換が、最初のQOSのオリジネータではないルータで発生する場合に(図1Dを参照されたい)、そのルータは、それでも、変換されたフィルタをルータの適切なセットに伝搬させなければならない。
QOSフィルタは、QOSリクエスタノードによって、ネットワーク経路に沿ってQOSが提供される点までの全てのルータに展開することが出来る。QOSが、アップリンクとダウンリンクとの両方について同一のノードによって要求される可能性があり、あるいは、各エンドノードが、それぞれ1つの方向についてQOSを要求するかその組合せを要求する可能性がある。フィルタを変換するノードは、QOSが提供される点または変換エンドポイントに出会う時のいずれかが、ネットワーク経路中で先に現れるまで、経路に沿って全てのルータに変換されたフィルタを送信する。変換エンドポイントは、そのノードがオリジナルフィルタ(1つまたはそれより多く)を使用して変更されていないパケットを分類出来るので、変換されたフィルタを捨てることが出来る。
図3は、エンドツーエンド通信リンクの異なるノードまたは異なるレイヤにある様々なサブシステムによって要求される特殊な処理(例えば、QOS、セキュリティ、トンネリングなど)の問題を解決する方法を例解する。ネットワーク経路内のノードは、特定のIPデータパケットに適用される2つの衝突するプロセス(例えば、QOS分類およびIPSec処理またはトンネリングなど)に起因してパケット分類フィルタの衝突が存在することを決定することが出来る、ステップ190。ネットワーク経路上で実施されるIPデータパケットに対する変更の性質に依存して、従って、パケットフィルタが影響を受けまたは衝突状態にされる形に依存して、パケットフィルタを、変更されたIPデータパケットの所望の分類をもたらす変換されたパケットフィルタに変更しまたは変換する、ステップ192。この変換ステップは、オリジナルパケットフィルタが変更されていないパケットを分類するのと同一の形で、変更されたIPデータパケットを分類する変換されたパケットフィルタ(1つまたはそれより多く)をもたらす。その後、変換されたパケットフィルタは、ネットワーク経路中のルータに展開される、ステップ194。
上で述べたように、展開されたパケットフィルタおよびIPデータパケットに対する変更から生じる展開されたパケットフィルタの間の衝突に関する問題は、展開されたフィルタを、変更されたパケットに対して所望のIPデータパケットフローを生成する変換されたフィルタに変換することによって解決することが出来る。フィルタ変換機構は、ユースケースおよびパケットストリーム上で実行されるタイプ変更に基づいて変化する。用語「フィルタ変換」は、変換されたフィルタセットが、変更されないフィルタセットが変更されないパケットを分類するのと同一の形で、変更されたパケットを分類することを可能にする、所与のフィルタセット中の各フィルタに対して行われる変更を指す。
仮説の例で、パケットPは、3つのフィールドを有するヘッダとそれに続くペイロードとを含む。従って、
Figure 2011505761
ここで、Field1、Field2、およびField3は、各々2バイトの長さである。
この仮説の例のさらなる要素として、フィルタセットFは、そのField2値が100と等しいパケットと一致するようにセットされた1つのフィルタfを含む。このフィルタを、f:Field2=100と表すことが出来る。典型的に、各フィルタは、オフセット/値/長さの3つ組によって表される。例えば、フィルタfを、f:Offset=2,Value=100,Length=2として構成することが出来る。この例では、オフセット2にある(オフセット0から開始して)100と等しい2バイト値を担持する、タイプPの全てのパケットが、フィルタfと一致する。
例解のために、パケットPを、次のように変更されたパケットP’を作成するためにヘッダにプリアンブルを追加することによるように、ネットワークルータのうちの1つの中で変更することが出来る。
Figure 2011505761
ここで、Preambleは、この例では10バイトの長さである。
この例は、様々な実施形態によって対処される問題を示す。フィルタfが、この変更されたパケットP’に適用される場合に、fは、フィルタ判断基準に一致することが出来ず、あるいは、プリアンブル中のオフセット2の2バイトに値100が現れる場合に、フィルタ判断基準に誤って一致する場合がある。フィルタが一致を正しく検出するために、フィルタを、次のようにフィルタのオフセットをプリアンブルの長さだけ増やすことによるなど、プリアンブルを考慮に入れるように変換しなければならない。
Figure 2011505761
変換されたフィルタf’は、変更されないパケットPに対して動作するフィルタfによって達成されるものと同一の結果を達成するために、変更されたパケットP’に正しく一致する。
上の例では、パケット変更が、オリジナルパケットPの内容の暗号化または変更を含む場合には、変換されたフィルタf’も、変更されたパケットP’に一致することが出来ない。従って、そのような場合には、より高度なフィルタ変換が必要になるはずである。
IPパケットが、1つまたはそれより多くのIPヘッダまたはトランスポートヘッダ中で再カプセル化される場合に、フィルタ変換は、トランスポートヘッダを考慮に入れるためにフィルタのオフセットをシフトすることを含む。この変換は、直接にまたは間接に達成することが出来る。直接法では、新しいオフセット値がフィルタ中で指定され、この新しいオフセット値は、トランスポートヘッダに関連する追加オフセットを反映する。間接法では、変換されたフィルタは、オリジナルヘッダのフィールドにフィルタオフセットを適用することを可能にするために、変更されたパケット中のオリジナルヘッダの位置を示すことが出来る。例えば、オリジナルIPデータパケットPは、
Figure 2011505761
の形をとることが出来、ここで、ペイロードデータには、IPデータヘッダ(IP HDr1)およびTCPデータヘッダ(TCP Hdr1)が先行する。変更されたIPデータパケットは、
Figure 2011505761
の形をとることが出来、ここで、変更されたIPデータパケットは、追加のIPヘッダ(IP Hdr2)を含む。
ワイヤレスデバイス/端末101またはピアデバイス/端末120上で動作するアプリケーションは、次のように、フローを生成するためにオリジナルフィルタを特定することが出来る。
Figure 2011505761
このフィルタを、IPデータパケットの所望の処理をもたらすために適切なルータ(順方向リンク処理または逆方向リンク処理に依存する)に展開することが出来る。従って、ルータによって特定のソースIPアドレスから受信された全てのIPデータパケットが、所望の処理「x」を受けるためにフィルタによって分類される。所望の処理xは、複数の処理機能のいずれにもすることが出来る。例えば、xがQOS機能である場合に、特定のソースIPから受信されたIPデータパケットを、最小QOSを提供するためにワイヤレス通信リンク内の特定のエアリンクを通してルーティングすることが出来る。別の例として、機能xは、IPデータパケットを暗号化することが出来る。従って、この例では、特定のソースIPアドレスから受信された全てのIPデータパケットを、機能xに従って暗号化することが出来る。
この例では、IPデータパケット変更Pを全く伴わずにルータに配送されるフィルタは、f:ソースIPアドレス=x,IP hdr #1のように見えるものとすることが出来る。変更されたパケットのためにルータに配送される変換されたフィルタは、
Figure 2011505761
のように見えるものとすることが出来、ここで、IP Hdr #2は、IPデータパケット変更P’に従って追加される。
直接フィルタ変換法または間接フィルタ変換法の使用を、ネットワーク内の様々なノードにフィルタセットを通信するのに使用されるシグナリングプロトコルに組み込むことが出来る。例えば、3GPP2 QOS仕様は、変換されたフィルタテンプレート(translated filter template、TFT)をPDSNに渡すメッセージ内の内側IPヘッダまたは外側IPヘッダを示すために1ビットを要求する。このプロトコルは、1つのIPヘッダカプセル化を可能にするのみである。
より洗練された方法が、典型的に、暗号化されたIPSecパケット用のフィルタを変換するのに必要である。IPSecは、2つの動作モード即ち、トランスポートモードおよびトンネルモードを含む。これらのモードは、次の形でIPデータパケットを変更することを含む。
Figure 2011505761
上の命名法では、ESPは、Encapsulating Security Protocolを表し、AHは、認証ヘッダ(Authentication Header)を表す。IPSec(IPセキュリティプロトコル)は、IPレイヤの2つのプロトコル即ち、IP認証ヘッダ(AH)およびEncapsulating Security Protocol(ESP)を含む。これらのプロトコルは、単独でまたは互いと組み合わせて適用することが出来る。AHは、アンチリプレイ(anti-replay)を提供し、パケットの内容が移動中に変更されていないことを検証する。AHは、IPパケット内に埋め込まれ、伝送される数学的コードであり、単独でまたはESPと組み合わせて適用することが出来る。ESPは、データ機密性(暗号化)、アンチリプレイ、および認証を提供する。ESPは、IPパケット内のデータをカプセル化し、単独でまたはAHと組み合わせて適用することが出来る。
トンネルモードまたはトランスポートモードのいずれにおいても、暗号化が達成される場合には、IPデータパケットの1つまたはそれより多くのいずれかのオリジナルヘッダが、アクセス不能になる。従って、そのような状況でのフィルタ変換は、オリジナルフィルタを、アクセス可能なままであるヘッダ中のフィールドにマッピングすることに頼る。トランスポートモードでは、オリジナルIPヘッダおよびESPパラメータまたはAHパラメータのみがアクセス可能である。TCPヘッダは、暗号化され、従って、もはやフィルタからアクセス可能ではない。従って、所望のフローを生成するのにTCPヘッダに頼る全てのオリジナルフィルタは、IPデータパケットが暗号化された後に、役に立たなくなる。従って、変換されたフィルタは、IPデータパケットを正しく分類し、所望のフローを生成するために、オリジナルIPヘッダ、ESPパラメータ、またはAHパラメータを調べる必要がある。
トンネルモードでは、内側IPヘッダ(IPデータパケット上のオリジナルIPヘッダであった)とは異なる外側IPヘッダおよびESPまたはAHのみが、アクセス可能になる(即ち、暗号化されない)。従って、中間ネットワークにまたがってカプセル化テクノロジを使用する通信チャネル(IPトンネル)を介して移送されるIPデータパケット用の変換されたフィルタは、IPデータパケットを分類し、正しいフローを生成するのに、外側IPヘッダおよびESPフィールドまたはAHフィールドに頼らなければならない。IPトンネリングは、例えば、ユーザが、仮想プライベートネットワーク(VPN)を通したまたはIPv4インターネットにまたがるIPv6実施態様の島を通したエンドツーエンド通信リンクを確立しようとする時に発生する可能性がある。IPトンネリングでは、全てのIPデータパケットが、トランジットネットワークにネイティブな別のパケットフォーマット内にカプセル化される。その結果、IPデータパケットがカプセル化される時には、IPデータパケットのヘッダに現れる複数のオリジナルパラメータが、もはやフィルタからアクセス可能ではなくなる。
様々な実施形態は、オリジナルフィルタを、宛先IPアドレス、プロトコル(ESP/AH)、およびセキュリティパラメータインデックス(SPI)を具備する新しいフィルタセットにマッピングすることによって、フィルタを変換する。また、この3つのフィールドは、各IPSecフローを一意に識別し、IPSec用語でセキュリティアソシエーション(SA)と呼ばれる。IPSecストリームを、各々が潜在的に同一のまたは異なるセキュリティアルゴリズムを使用する複数の保護されたストリームに分離するために、主SAを複数の子SAに分割することが出来る。最も外のIPヘッダ中のプロトコルフィールドは、ESPまたはAHのいずれかである。SPIは、ESPフィールドまたはAHフィールド内のセキュリティ識別子である。宛先IPアドレスは、最も外のIPヘッダから抽出される。次のアルゴリズムは、オリジナルフィルタがQOS分類のために作られていると仮定して、オリジナルフィルタをIPSecベースの変換されたフィルタにどのようにマッピングすべきかを説明するものである。これらの実施形態の主なアイデアは、IPSecストリームを使用するQOSストリームを識別するために、各QOSフローを1つまたはそれより多くのIPSec子SAに表すことである。この形で、オリジナルQOSフィルタは、分類に必要ではなくなる。
この実施形態の説明では、次の表記を使用する。
Figure 2011505761
Figure 2011505761
Figure 2011505761
SからS’への変換は、フィルタセットSの各フィルタを、上で説明したように宛先IPアドレス、プロトコル(ESP/AH)、およびSPIを構成する変換されたフィルタセットS’の対応するフィルタにマッピングすることによって実行される。フィルタセットSが複数のIPSecストリーム(子SA)に分割される場合には、各々の子SAを識別するのに使用されるフィルタのそれぞれを、同一の手順を使用して、宛先IPアドレス、プロトコル(ESP/AH)、およびSPIを構成する対応するフィルタにマッピングすることが出来る。
様々な実施形態は、QOSフローを表すフィルタのセットQと要求されたまたは構成されたIPSecフローを表すフィルタのセットSとの間の交差に依存して、変換されたQOSフィルタQ’へのQOSフィルタQの変換を実行する。通信リンクのネゴシエーションの間またはその後に、通信するデバイスは、通信経路を通して発生するパケット変更の性質(例えば、暗号化)ならびに、IPSecフィルタなどのパケットフィルタの第1のセットとQOSフィルタのようなパケットフィルタの第2のセットとの間のオーバーラップまたは交差が所与の通信経路に存在する度合を決定することが出来る。パケット変更の性質は、データを送信し、受信するアプリケーションに基づいて決定することが出来る。オーバーラップまたは交差の度合は、所与の通信セッションに用いられる通信リンクのタイプ(例えば、インターネットに接続されたワイヤレス通信リンク)、パケットを送信しまたは受信するアプリケーション、および所与の通信経路でのパケットに対する決定された変更に基づいて決定することが出来る。限られた個数の可能なフィルタオーバーラップまたは交差が、2つのタイプのパケットフィルタの間で可能である。可能な交差シナリオを、図2Aから2Eに例解する。可能なフィルタ交差シナリオのそれぞれについて、オリジナルフィルタの変換を、図3〜7に示されたプロセス流れ図に示されたものの中の適切な方法を使用して実行することが出来る。図3〜7に示されたプロセス流れは、QOSフローとIPSecフローとの間の交差を仮定するが、これらの方法は、他のタイプのパケットフローおよびそのオーバーラップまたは交差が図2A〜2Eに例解されたものに類似するフィルタに適用可能である。当業者は、他のタイプのIPデータパケットフィルタ変換を、図3〜7を参照して下で説明するものと同一の形で実施出来ることを了解するであろう。
図2Aは、QOSフローがIPSecプロセスフローと同等である(即ち、Q=S)ネットワークシナリオを示す。そのような状況では、QOSフィルタにかけられるIPデータパケットの全てが、IPSecフィルタにもかけられる。
図3は、QOSフィルタおよびIPSecフィルタが正確に同一のIPデータパケットを分類する(即ち、これらのフィルタが、フィルタパラメータが異なる可能性があっても、同一のパケットを分類する)時に、QOSフィルタまたはIPSecフィルタを変換する実施形態方法のプロセスフローを例解する。そのような状況は、図2Aに例解されたシナリオに類似する。図3を参照すると、IPSecフィルタとのセキュリティアソシエーション(SA)が、セットアップされる、ステップ205。言い換えると、IPトンネルのセキュリティエンドポイントの間のセキュリティ鍵が、その2つのエンドポイントだけがパケットデータを見られるようにするために、ネゴシエートされる。例として、ユーザが、保護されたサーバ(例えば、120)に遠隔的にログインすることを試みる時に、IPデータパケットが平文で遠隔端末エンドポイントに送信されないようにするために、セキュリティ予防措置を講じなければならない。従って、保護されたサーバおよび遠隔端末エンドポイントだけがIPデータパケットを見られるようにするために、保護されたサーバと遠隔端末エンドポイントとの間のセキュリティ鍵がネゴシエートされる。複数のIPトンネルを、遠隔端末エンドポイントとサーバとの間でネゴシエートすることが出来るが、各トンネルは、特定のトラフィックだけのために使用される。各トンネルは、通信リンクに沿った異なる伝送の必要を満足するために、変化する度合の暗号化保護を実施することが出来る。この形で、ユーザが遠隔端末から保護されたサーバにログインした状態で、異なるアプリケーションが、変化する度合の保護されたデータを要求することが出来る。例えば、ユーザが、ビデオ会議コールならびに機密の売上データのIPデータパケットを伝送する場合がある。ビデオ会議コールアプリケーションのIPデータパケットは、取扱注意ではない可能性があり、従って、これらのIPパケットを、より不安全な暗号化を使用するトンネルを通して伝送されるように、IPSecフィルタを介してルーティングすることが出来る。しかし、機密の売上データを、アプリケーションによって、高セキュリティ暗号化を実施するトンネルを通して伝送されなければならない非常に取扱注意の情報として認識することが出来る。従って、適当なIPSecフローを、パケットがビデオ情報またはテキスト情報のどちらを含むのかをチェックするフィルタによって実施することが出来る。この例では、2つのデータストリーム(即ち、ビデオおよびデータ)のQOS要件は、データパケットの内容にも依存する。これは、イメージがフリッカを引き起こさずにパケットの再送を待つことが出来ず、捨てられるパケットがイメージ品質を劣化させるので、ビデオパケットが伝送品質に敏感であるからである。対照的に、データパケットは、パケットが低QOS通信リンクで失われる場合に、再送することが出来る。従って、適切なQOSフローを、パケットがビデオ情報またはテキスト情報のどちらを含むのかをチェックするフィルタによって実施することが出来る。IPSecフィルタおよびQOSフィルタを使用して達成されるパケット分類は全く同一であるため、Q=Sである。
IPSecフィルタとのセキュリティアソシエーション(SA)がセットアップされた後に、IPSecフィルタSを変換されたIPSecフィルタS’に変換する、ステップ210。変換されたIPSecフィルタS’は、オリジナルのIPSecフィルタSが変更されないIPデータパケットに対して有するのと同一の、暗号化されたパケットに対する分類を達成するフィルタであり、従って、セキュリティアソシエーション(SA)は、IPデータパケットが暗号化される時であっても正しくマッピングされるようになる。SからS’への変換は、上で説明したものに似た方法を使用して達成することが出来る。IPSecフィルタが変換された後には、IPSecフィルタS’が、Qの代わりにQOS分類を実行するのに使用される、言い換えると、変換されたQOSフィルタQ’は、S’と同一即ちQ’=S’である、ステップ215。この形で、変換されたQOSフィルタも、IPデータパケットが暗号化される時であっても、IPデータパケットをその適切なQOSフローに正しく分類する。
図2Bは、IPSecフローとのQOSフローの交差がQOSプロセスフローを包含する(即ち、Q∩S=Q)ように、QOSフローがIPSecプロセスフロー未満であるネットワークシナリオを示す。そのような状況では、QOSフィルタにかけられるIPデータパケットの全てが、IPSecフィルタにもかけられるが、IPSecフィルタにかけられるIPデータパケットのうちの複数が、QOSフィルタにかけられない。この状況では、IPSecフィルタセットSによって実施される変化するレベルのセキュリティ暗号化がある場合がある。これらの変化するレベルのセキュリティの各々を、サブセットセキュリティフィルタs1、s2、s3によって表すことが出来る。例解された例では、QOSフィルタにかけられるIPデータパケットの全てが、IPSecサブセットフィルタs2と一貫し、またはこれにかけられるものとすることが出来るが、サブセットフィルタs1およびs3は、QOSフィルタと一貫しない。
図4は、QOSフローとIPSecフローとの間の交差が、図2Bに示されているようにQOSフローを含む時のQOSフィルタまたはIPSecフィルタを変換する実施形態方法のプロセスフローを例解する。この状況において、IPSecフィルタセットSが3つのサブセットフィルタs1、s2、s3の和と等しくなるように、IPSecフィルタセットSを、サブセットフィルタの第1のグループs1、s2、s3に分割することが出来、サブセットフィルタs2は、s2がQと同一のパケット分類を実行するようにQOSフィルタになるように選択される(s2=Q)、ステップ201。IPSecフィルタセットSが分割された後に、IPSecフィルタセットSとのセキュリティアソシエーション(SA)をセットアップする、ステップ205。次に、SAと同一のセキュリティアソシエーションを有する子セキュリティアソシエーションを、s2を使用してセットアップする、ステップ220。サブセットフィルタs2(QOSフィルタと同等である)をs’2に変換する、ステップ225。変換されたサブセットフィルタs’2は、サブセットフィルタs2が変更されないパケットに対して生成するものと同一のフローを、暗号化されたパケットに対して生成する。次に、QOSフィルタQを、変換されたQOSフィルタQ’に変換し、ここで、フィルタQ’は、フィルタS’2と同一である、ステップ230。オプションで、第2の子セキュリティアソシエーションを確立するために、サブセットIPSecフィルタs1を使用して、第2の子SAをセットアップすることが出来る、オプションのステップ235。さらに、サブセットIPSecフィルタs3を使用して、同一のセキュリティ SAを用いて第3の子SAをセットアップすることが出来る、オプションのステップ240。
図2Cは、IPSecフローとのQOSフローの交差がIPSecフローを包含する(即ち、Q∩S=S)ようにIPSecフローがQOSフロー未満であるネットワークシナリオを示す。そのような状況では、IPSecフィルタにかけられるIPデータパケットの全てが、QOSフィルタにもかけられるが、QOSフィルタにかけられるIPデータパケットのうちの複数が、IPSecフィルタにかけられない。例解された例では、IPSecフィルタSにかけられるIPデータパケットの全てが、QOSサブセットフィルタq2にもかけられるものとすることが出来る。
図5は、QOSフローとIPSecフローとの間の交差が図2Cに例解されているようにIPSecフローを含む時の、QOSフィルタまたはIPSecフィルタを変換する実施形態方法のプロセスフローを例解する。この状況では、QOSフィルタセットQが3つのサブセットフィルタq1、q2、q3の和と等しくなるように、QOSフィルタをサブセットフィルタの第1のグループq1、q2、q3に分割することが出来、サブセットフィルタq2は、q2がSと同一のパケット分類を実行するようにIPSecフィルタになるように選択される(q2=S)、ステップ250。QOSフィルタが分割された後に、IPSecフィルタセットSとのセキュリティアソシエーション(SA)をセットアップする、ステップ205。次に、IPSecフィルタセットS(サブセットQOSフィルタq2と同等である)を、変換されたIPSecフィルタS’に変換する、ステップ255。変換されたIPSecフィルタS’は、IPSecフィルタSが変更されていないパケットに対して生成するのと同一のフローを、変更されたパケットに対して生成する。次に、QOSフィルタQを、変換されたQOSフィルタQ’を作るために変換し、ここで、Q’は、サブセットQOSフィルタq1、変換されたIPSecフィルタS’、およびサブセットQOSフィルタq3の和と同等である(即ち、Q’=q1+S’+q3)、ステップ260。
図2Dは、IPSecプロセスフローとのQOSフローの交差がIPSecフローを包含する(即ち、Q∩S=S)ように、IPSecフローがQOSフローのサブセットであるネットワークシナリオを示す。そのような状況では、IPSecフィルタにかけられるIPデータパケットの全てが、QOSフィルタにもかけられるが、QOSフィルタにかけられるIPデータパケットのうちの複数が、IPSecフィルタにかけられない。例解された例では、IPSecフィルタSにかけられるIPデータパケットの全てが、QOSサブセットフィルタq2にもかけられるものとすることが出来る。
図6は、QOSフローとIPSecフローとの間の交差が図2Dに示されているようにIPSecフローを含む時のQOSフィルタまたはIPSecフィルタを変換する実施形態方法のプロセスフローを示す。この状況では、QOSフィルタセットQが、2つのサブセットQOSフィルタq1、q2の和と等しく、サブセットQOSフィルタq2がIPSecフィルタになるように選択される(q2=S)ように、QOSフィルタをサブセットフィルタの第1のグループq1、q2に分割することが出来る、ステップ270。QOSフィルタが分割された後に、IPSecフィルタセットSとのセキュリティアソシエーション(SA)をセットアップする、ステップ205。次に、IPSecフィルタセットS(サブセットQOSフィルタq2と同等である)を、変換されたIPSecフィルタセットS’を作るために変換する、ステップ275。変換されたIPSecフィルタセットS’は、IPSecフィルタセットSが変更されないパケットに対して生成するのと同一のフローを、暗号化されたパケットに対して生成する。次に、QOSフィルタQを、変換されたQOSフィルタQ’を作るために変換し、ここで、Q’は、サブセットQOSフィルタq1および変換されたIPSecフィルタS’の和と同等である(即ち、Q’=q1+S’)、ステップ280。
図2Eは、IPSecフローとのQOSフローの交差がQOSフロー以下でIPSecフロー以下の何かを包含する(即ち、Q∩S≦S、Q∩S≦Q)ように、IPSecフローの一部がQOSフローの一部と交差するネットワークシナリオを示す。そのような状況では、QOSフィルタにかけられるIPデータパケットの一部が、IPSecフィルタにもかけられ、逆も同様である。この状況では、IPSecフィルタセットSによって実施される変化するレベルのセキュリティ暗号化がある場合がある。これらの変化するレベルのセキュリティの各々を、サブセットセキュリティフィルタs1、s2によって表すことが出来る。例解された例では、QOSサブセットフィルタq2にかけられるIPデータパケットは、IPSecサブセットフィルタs1にもかけられる場合がある。
図8は、図2Eに例解されているようにQOSフローとIPSecフローとの間の交差がQOSフロー以下または等しい時、そしてIPSecフロー以下、または等しくもある時のQOSフィルタまたはIPSecフィルタを変換する実施形態方法のプロセスフローを例解する。この状況では、QOSフィルタセットQが2つのサブセットQOSフィルタq1、q2の和と等しくなるように、QOSフィルタをサブセットQOSフィルタの第1のグループq1、q2に分割することが出来る、ステップ290。IPSecフィルタセットSが2つのサブセットIPSecフィルタs1、s2の和と等しくなるように、IPSecフィルタを同様にサブセットIPSecフィルタの第2のグループs1、s2に分割することが出来る、ステップ295。加えて、QOSサブセットフィルタq2は、サブセットIPSecフィルタs1と同一のパケット分類を実行する。次に、IPSecフィルタセットSとのセキュリティアソシエーション(SA)をセットアップする、ステップ205。次に、サブセットQOSフィルタq2と同等であるかこれと一貫するIPsecフィルタセットSのサブセットであるサブセットIPSecフィルタs1を使用して、第1の子セキュリティアソシエーション(SA)をセットアップする、ステップ300。次に、変更されたIPデータパケットが第1の子SAに正しくマッピングされるようにするために、サブセットIPsecフィルタs1を変換されたサブセットIPsecフィルタs’1に変換する、ステップ305。サブセットIPsecフィルタs1は、サブセットQOSフィルタq2と同等であるかこれと一貫するので、サブセットフィルタs’1を、サブセットQOSフィルタq2の代わりに、QOS分類を提供するのに使用することが出来る。次に、QOSフィルタセットQを、変換されたQOSフィルタセットQ’に変換し、ここで、Q’は、サブセットQOSフィルタq1および変換されたサブセットIPsecフィルタs’1の和と同等である(即ち、Q’=q1+s’1)、ステップ310。オプションで、第2の子セキュリティアソシエーションを確立するために、サブセットIPSecフィルタs2を使用して、第2の子SAをセットアップすることが出来る、オプションのステップ315。
上で述べたように、IPデータパケットが衝突する処理(例えば、QOSおよびIPSec)にかけられると決定するネットワーク経路内のノードは、通信経路上で発生するパケット変更の性質(例えば、暗号化)ならびに、IPSecフィルタなどのパケットフィルタの第1のセットとQOSフィルタなどのパケットフィルタの第2のセットとの間のオーバーラップまたは交差が所与の通信経路に存在する度合を決定することが出来る。パケット変更の性質は、アプリケーションがセキュリティ対策(例えば、IPSec)の実施などのパケットに対する変更を要求したかどうかを含めて、または特定のノードが実行を要求されるパケット処理の際に、データを送信し、受信するアプリケーションに基づいて決定することが出来る。オーバーラップまたは交差の度合は、ノードが実行を要求されるパケット処理および所与の通信セッションに用いられる通信リンクのタイプ(例えば、インターネットに接続されたワイヤレス通信リンク)に基づいて決定することが出来る。フィルタSおよびQなど、第1のフィルタおよび第2のフィルタのセットを与えられれば、上のケースのうちの1つを適用するためにQフィルタとSフィルタとの間のオーバーラップ、交差、または共通サブセットを決定するプロセスは、実施態様依存である(即ち、通信するデバイスおよびネットワークトポロジに依存する)。QとSとの間の共通サブセットを決定するという問題がどのように解決されるかにかかわりなく、上で説明した方法を、フィルタを適切に変換するのに使用することが出来る。
フィルタを変換する時に考慮すべき幾つかの他の要因がある。上の方法は、Mobile IPおよびIPSecに関する詳細な変換方法を記述するのみである。類似する概念を、他のプロトコルまたはユースケースに適用することが出来る。IPトンネリングに関する他のユースケースは、IPv4−IPv6インターワーキング、非IPトランスポートを介するIPパケットのシッピング(バックエンドワイヤレスネットワークでしばしば使用される)などを含む。上で記述したQOSフィルタ変換方法およびIPSecフィルタ変換方法を、ヘッダ圧縮、アカウンティング、ファイヤウォールなどのための分類などのような、IPSecを行いながら他のフローごとのユースケースに拡張することが出来る。ネットワークトポロジ/アーキテクチャに依存して、変更された本発明のバージョンを、そのような問題を解決するために適用することが出来る。
幾つかのケースにおいて、フィルタを変換し、IPデータパケットの処理の後にフローの同一のセットを区別することを可能にするために使用可能な十分なパラメータがない実施態様など、フィルタ変換のみでは、同一のフロー分類が実現されない場合がある。例えば、IPSec処理の対象になるIPデータパケットの場合に、ネットワーク経路が1つのトンネル/セキュリティアソシエーションだけを含むならば、フィルタを変換することだけでは、複数のフローをサポートすることが出来ない。この問題を解決するためには、ノードがIPSecを超えて異なるフローを区別出来るようにするために、追加のIPトンネルを確立することが出来る。その様なケースにおいて、特定のレイヤ/ノードでのIPパケット変更の後に同一のフロー分類を達成するために追加のトンネル/セキュリティアソシエーションを確立することなど、追加の制御手順を実施することも出来る。
上で説明した実施形態を、様々な移動体デバイスのいずれにおいても実施することが出来る。典型的に、そのような移動体デバイスは、共通して図9に例解されたコンポーネントを有する。例えば、移動体デバイス130は、内部メモリ132およびディスプレイ133に結合されたプロセッサ131を含むことが出来る。加えて、移動体デバイス130は、ワイヤレスデータリンクおよび/またはプロセッサ131に結合されたセルラ電話トランシーバ135に接続される電磁放射を送信し、受信するアンテナ134を有する。幾つかの実施態様では、セルラ電話通信に使用される、トランシーバ135とプロセッサ131およびメモリ132の諸部分とが、ワイヤレスデータリンクを介するデータインターフェースを提供するので、これをエアインターフェースと称する。移動体デバイス130は、典型的に、キーパッド136またはミニチュアキーボードと、ディスプレイ133内でカーソルを位置決めするユーザ入力を受け取るポインティングデバイスとして働くメニュー選択ボタンまたはロッカースイッチ137をも含む。プロセッサ131を外部ポインティングデバイス(例えば、マウス)またはパーソナルコンピュータ160などのコンピューティングデバイスまたは外部ローカルエリアネットワークに接続するために、プロセッサ131を、さらに、universal serial bus(USB)またはFireWire(登録商標)コネクタソケットなどの有線ネットワークインターフェース138に接続することが出来る。
プロセッサ131は、任意のプログラマブルマイクロプロセッサ、マイクロコンピュータ、もしくは複数のプロセッサチップ、または、上で説明した様々な実施形態の機能を含む様々な機能を実行するためにソフトウェア命令(アプリケーション)によって構成出来るチップとすることが出来る。幾つかの移動体デバイス130では、ワイヤレス通信機能専用の1つのプロセッサおよび他のアプリケーションの実行専用の1つのプロセッサなど、複数のプロセッサ131を設けることが出来る。プロセッサを、通信チップセットの一部として含めることも出来る。典型的に、ソフトウェアアプリケーションにアクセスし、これをプロセッサ131にロードする前に、ソフトウェアアプリケーションを内部メモリ132に格納することが出来る。幾つかの移動体デバイス130では、プロセッサ131は、アプリケーションソフトウェア命令を格納するのに十分な内部メモリを含むことが出来る。この記述において、用語のメモリは、内部メモリ132およびプロセッサ131自体の中のメモリを含めて、プロセッサ131によってアクセス可能な全てのメモリを指す。アプリケーションデータファイルは、典型的に、メモリ132内に格納される。多くの移動体デバイス130では、メモリ132は、揮発性メモリまたはフラッシュメモリなどの不揮発性メモリ、あるいはその両方の混合とすることが出来る。
また、上で説明した実施形態を、図10に例解されたパーソナルコンピュータ160など、様々なコンピューティングデバイスのいずれにおいても実施することが出来る。そのようなパーソナルコンピュータ160は、典型的に、揮発性メモリ162およびディスクドライブ163などの大容量不揮発性メモリに結合されたプロセッサ161を含む。コンピュータ13は、プロセッサ161に結合された、フロッピー(登録商標)ディスクドライブ164およびコンパクトディスク(CD)ドライブ165をも含むことが出来る。典型的に、コンピュータデバイス160は、マウス167などのポインティングデバイス、キーボード168などのユーザ入力デバイス、およびディスプレイ166をも含む。コンピュータデバイス160は、USBまたはFireWire(登録商標)コネクタソケットなどのデータ接続を確立するか外部メモリデバイスを受けるためのプロセッサ161に結合された複数のコネクタポートまたはプロセッサ161をネットワークに結合するための他のネットワーク接続回路166をも含むことが出来る。ノートブック構成では、コンピュータハウジングは、コンピュータ技術で周知のとおり、ポインティングデバイス167、キーボード168、およびディスプレイ169を含む。
様々な実施形態を、説明された方法のうちの1つまたはそれより多くを実施するように構成されたソフトウェア命令を実行するコンピュータプロセッサ131、161によって実施することが出来る。そのようなソフトウェア命令を、実施形態方法を実施する別々のアプリケーションとしてまたはコンパイルされたソフトウェアとして、メモリ132、162、163に格納することが出来る。基準データベースを、内部メモリ132、162内に、ハードディスクメモリ164中に、有形の記憶媒体上に、またはネットワークを介してアクセス可能なサーバ(図示せず)上に格納することが出来る。命令は、様々なタイプの信号担持またはデータ記憶の一次、二次、または三次媒体に常駐することが出来る。例えば、媒体は、ワイヤレスネットワークのコンポーネントによってアクセス可能であるかその内に常駐するランダムアクセスメモリ(RAM)を備えることが出来る。さらに、ソフトウェア命令およびデータベースを、ランダムアクセスメモリ162、ハードディスクメモリ163、フロッピー(登録商標)ディスク(フロッピー(登録商標)ディスクドライブ164中で読取り可能)、コンパクトディスク(CDドライブ165内で読取り可能)、電気的消去可能/プログラマブル読取り専用メモリ(EEPROM)、読取り専用メモリ(フラッシュメモリおよびフラッシュメモリカードなど)、磁気テープ、光ストレージデバイス(例えば、CD−ROM、DVD、ディジタル光テープ)、紙「パンチ」カード、および/または外部メモリチップもしくはUSBネットワークポート166に挿入されたUSB接続可能外部メモリ(例えば、「フラッシュドライブ」)などのコンピュータ160に挿入されるメモリモジュール(図示せず)を含む任意の形の有形のプロセッサ可読メモリに格納することが出来る。
当業者は、本明細書で開示される実施形態に関連して記述される様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップを、電子ハードウェア、コンピュータソフトウェア、またはこの両方の組合せとして実施出来ることを了解するであろう。ハードウェアおよびソフトウェアのこの交換可能性を明瞭に例解するために、様々な例解的なコンポーネント、ブロック、モジュール、回路、およびステップを、上では一般的にその機能性に関して記述した。そのような機能性が、ハードウェアまたはソフトウェアのどちらとして実施されるかは、特定の応用例および全体的なシステムに課せられる設計制約に依存する。当業者は、特定の応用例ごとに様々な形で記述された機能性を実施することが出来るが、そのような実施判断が、本発明の範囲からの逸脱を引き起こすと解釈してはならない。
方法のステップが上で説明され、図面に記述される順序は、本発明および特許請求の範囲の趣旨および範囲から逸脱せずに一部のステップの順序を本明細書で記述された順序から変更出来るので、例示のみを目的とする。
本明細書で開示される実施形態に関連して記述される方法またはアルゴリズムのステップを、ハードウェアで直接に、プロセッサによって実行されるソフトウェアモジュールで、あるいはこの2つの組合せで実施することが出来る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、または当技術分野で既知の任意の他の形の記憶媒体のいずれともすることが出来るプロセッサ可読メモリに常駐することが出来る。例示的な記憶媒体は、プロセッサが記憶媒体から情報を読み取れ、記憶媒体に情報を書き込めるように、プロセッサに結合される。代替案では、記憶媒体は、プロセッサに一体化されたものとすることが出来る。プロセッサおよび記憶媒体が、1つのASICに常駐することが出来る。そのASICが、ユーザ端末または移動体デバイス内に常駐することが出来る。代替案では、プロセッサおよび記憶媒体が、ユーザ端末または移動体デバイス内の別々のコンポーネントとして常駐することが出来る。さらに、幾つかの面では、方法またはアルゴリズムのステップおよび/またはアクションが、コンピュータプログラム製品に組み込むことの出来る機械可読媒体および/またはコンピュータ可読媒体上のコードおよび/または命令の1つまたは任意の組合せまたはセットとして常駐することが出来る。
様々な実施形態の前述の説明は、当業者が本発明を作り、または使用することを可能にするために提供される。これらの実施形態に対する様々な変更は、当業者にすぐに明白になり、本明細書で定義される包括的な原理は、本発明の趣旨または範囲から逸脱せずに他の実施形態に適用され得る。従って、本発明は、本明細書で示される実施形態に限定されることを意図されてはおらず、その代わりに、特許請求の範囲は、本明細書で開示される原理および新規の特徴と一貫する最も広い範囲に従わなければならない。

Claims (48)

  1. ネットワーク通信を処理する方法であって、
    ネットワーク経路内のインターネットプロトコル(IP)データパケットの処理がIPデータパケットの変更に起因してパケットフィルタを無効にすることを決定することと、
    変換されたパケットフィルタが前記変更されたIPデータパケットの所望のパケット分類をもたらすようにするために前記パケットフィルタを変換することと、
    前記変換されたパケットフィルタを前記ネットワーク経路内の少なくとも1つのルータに展開することとを具備する方法。
  2. IPデータパケットが前記ネットワーク経路の特定のノード中で変更された後に、前記所望のパケット分類を達成するために追加のトンネルを確立することをさらに具備する請求項1記載の方法。
  3. 前記ネットワーク経路は、パケットフィルタの第1のセットおよびパケットフィルタの第2のセットを含み、前記方法は、
    前記ネットワーク経路中のパケットフィルタの前記第1のセットおよびパケットフィルタの前記第2のセットの交差を決定することと、
    パケットフィルタの変換された第1のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットを変換することと、
    パケットフィルタの変換された第2のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差に基づいて、パケットフィルタの前記第2のセットを変換することとをさらに具備する請求項1記載の方法。
  4. パケットフィルタの前記第1のセットを変換することは、
    変換された第1のサブセットフィルタが変更されたパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセット内の第1のサブセットフィルタを変換することを具備する請求項3記載の方法。
  5. パケットフィルタの前記第2のセットを変換することは、
    パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差ならびにパケットフィルタの前記変換された第1のセットに基づいて、パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換することを具備する請求項3記載の方法。
  6. パケットフィルタの前記第2のセットは、複数の第2のサブセットフィルタを備え、
    パケットフィルタの前記第2のセットを変換することは、パケットフィルタの前記第2のセット内の前記複数の第2のサブセットフィルタのうちの1つを前記変換された第1のサブセットフィルタに置換することを具備する請求項4記載の方法。
  7. フィルタの前記第1のセットとの第1のセキュリティアソシエーションを確立することをさらに備え、パケットフィルタの前記第1のセットを変換することは、パケットを前記確立された第1のセキュリティアソシエーションに正しくマッピングする請求項3記載の方法。
  8. パケットフィルタの前記第2のセットを変換することは、パケットフィルタの前記変換された第1のセットと等しくなるようにパケットフィルタの前記第2のセットをセッティングすることを具備する請求項3記載の方法。
  9. パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換することは、
    パケットフィルタの前記変換された第1のセットと等しくなるように前記第2のサブセットフィルタをセッティングすることを具備する請求項5記載の方法。
  10. パケットフィルタの前記第1のセットを複数のサブセットフィルタに分割することと、
    前記複数のサブセットフィルタのうちの1つのための第1の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第1の子セキュリティアソシエーションを確立することとをさらに備え、
    パケットフィルタの前記第2のセットを変換することは、パケットを前記確立された第1の子セキュリティアソシエーションに正しくマッピングする請求項7記載の方法。
  11. パケットフィルタの前記第1のセット内の第3のサブセットフィルタのための第2の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第2の子セキュリティアソシエーションを確立することをさらに具備する請求項10記載の方法。
  12. パケットフィルタの前記第1のセット内の第4のサブセットフィルタのための第3の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第3の子セキュリティアソシエーションを確立することをさらに具備する請求項11記載の方法。
  13. プロセッサと、
    前記プロセッサに結合されたメモリとを備え、前記プロセッサは、
    ネットワーク経路内のインターネットプロトコル(IP)データパケットの処理がIPデータパケットの変更に起因してパケットフィルタを無効にすることを決定することと、
    変換されたパケットフィルタが前記変更されたIPデータパケットの所望のパケット分類をもたらすようにするために前記パケットフィルタを変換することと、
    前記変換されたパケットフィルタを前記ネットワーク経路内の少なくとも1つのルータに展開することとを具備するステップを実行するためのソフトウェア命令を伴って構成されるコンピュータ。
  14. 前記プロセッサは、を具備するさらなるステップを実行するためのソフトウェア命令を伴って構成される請求項11記載のコンピュータ。
  15. 前記プロセッサは、
    前記ネットワーク経路中のパケットフィルタの前記第1のセットおよびパケットフィルタの前記第2のセットの交差を決定することと、
    パケットフィルタの変換された第1のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットを変換することと、
    パケットフィルタの変換された第2のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差に基づいて、パケットフィルタの前記第2のセットを変換することとを具備するさらなるステップを実行するためのソフトウェア命令を伴って構成される請求項11記載のコンピュータ。
  16. 前記プロセッサは、
    変換された第1のサブセットフィルタが変更されたパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットを変換することがパケットフィルタの前記第1のセット内の第1のサブセットフィルタを変換することを具備するように実行するためのソフトウェア命令を伴って構成される請求項15記載のコンピュータ。
  17. 前記プロセッサは、
    パケットフィルタの前記第2のセットを変換することが、パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差ならびにパケットフィルタの前記変換された第1のセットに基づいて、パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換することを具備するようにステップを実行するためのソフトウェア命令を伴って構成される請求項15記載のコンピュータ。
  18. 前記プロセッサは、
    パケットフィルタの前記第2のセットが、複数の第2のサブセットフィルタを備え、
    パケットフィルタの前記第2のセットを変換することは、パケットフィルタの前記第2のセット内の前記複数の第2のサブセットフィルタのうちの1つを、前記変換された第1のサブセットフィルタに置換することを具備するようにステップを実行するためのソフトウェア命令を伴って構成される請求項16記載のコンピュータ。
  19. 前記プロセッサは、
    フィルタの前記第1のセットとの第1のセキュリティアソシエーションを確立することを具備するさらなるステップを実行するためのソフトウェア命令を伴って構成され、
    パケットフィルタの前記第1のセットを変換することは、パケットを前記確立された第1のセキュリティアソシエーションに正しくマッピングする請求項15記載のコンピュータ。
  20. 前記プロセッサは、
    パケットフィルタの前記第2のセットを変換することが、パケットフィルタの前記変換された第1のセットと等しくなるようにパケットフィルタの前記第2のセットをセッティングすることを具備するようにステップを実行するためのソフトウェア命令を伴って構成される請求項15記載のコンピュータ。
  21. 前記プロセッサは、
    パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換することが、パケットフィルタの前記変換された第1のセットと等しくなるように前記第2のサブセットフィルタをセッティングすることを具備するようにステップを実行するためのソフトウェア命令を伴って構成される請求項17記載のコンピュータ。
  22. 前記プロセッサは、
    パケットフィルタの前記第1のセットを複数のサブセットフィルタに分割することと、
    前記複数のサブセットフィルタのうちの1つのための第1の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第1の子セキュリティアソシエーションを確立することとを具備するさらなるステップを実行するためのソフトウェア命令を伴って構成され、
    パケットフィルタの前記第2のセットを変換することは、パケットを前記確立された第1の子セキュリティアソシエーションに正しくマッピングする請求項19記載のコンピュータ。
  23. 前記プロセッサは、
    パケットフィルタの前記第1のセット内の第3のサブセットフィルタのための第2の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第2の子セキュリティアソシエーションを確立することを具備するさらなるステップを実行するためのソフトウェア命令を伴って構成される請求項22に記載のコンピュータ。
  24. 前記プロセッサは、
    パケットフィルタの前記第1のセット内の第4のサブセットフィルタのための第3の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第3の子セキュリティアソシエーションを確立することを具備するさらなるステップを実行するためのソフトウェア命令を伴って構成される請求項23記載のコンピュータ。
  25. ネットワーク経路内のインターネットプロトコル(IP)データパケットの処理がIPデータパケットの変更に起因してパケットフィルタを無効にすることを決定するための手段と、
    変換されたパケットフィルタが前記変更されたIPデータパケットの所望のパケット分類をもたらすようにするために前記パケットフィルタを変換するための手段と、
    前記変換されたパケットフィルタを、前記ネットワーク経路内の少なくとも1つのルータに展開するための手段とを具備するコンピュータ。
  26. IPデータパケットが前記ネットワーク経路の特定のノード中で変更された後に、前記所望のパケット分類を達成するために追加のトンネルを確立するための手段をさらに具備する請求項25記載のコンピュータ。
  27. 前記ネットワーク経路は、パケットフィルタの第1のセットおよびパケットフィルタの第2のセットを含み、前記方法は、
    前記ネットワーク経路中のパケットフィルタの前記第1のセットおよびパケットフィルタの前記第2のセットの交差を決定するための手段と、
    パケットフィルタの変換された第1のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットを変換するための手段と、
    パケットフィルタの変換された第2のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差に基づいて、パケットフィルタの前記第2のセットを変換するための手段とをさらに具備する請求項25記載のコンピュータ。
  28. パケットフィルタの前記第1のセットを変換するための手段は、変換された第1のサブセットフィルタが変更されたパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセット内の第1のサブセットフィルタを変換するための手段を具備する請求項27記載のコンピュータ。
  29. パケットフィルタの前記第2のセットを変換するための手段は、
    パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差ならびにパケットフィルタの前記変換された第1のセットに基づいて、パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換するための手段を具備する請求項27記載のコンピュータ。
  30. パケットフィルタの前記第2のセットは、複数の第2のサブセットフィルタを備え、
    パケットフィルタの前記第2のセットを変換するための手段は、パケットフィルタの前記第2のセット内の前記複数の第2のサブセットフィルタのうちの1つを前記変換された第1のサブセットフィルタに置換するための手段を具備する請求項28記載のコンピュータ。
  31. フィルタの前記第1のセットとの第1のセキュリティアソシエーションを確立するための手段をさらに備え、パケットフィルタの前記第1のセットを変換するための手段は、パケットを前記確立された第1のセキュリティアソシエーションに正しくマッピングする請求項27記載のコンピュータ。
  32. パケットフィルタの前記第2のセットを変換するための手段は、
    パケットフィルタの前記変換された第1のセットと等しくなるようにパケットフィルタの前記第2のセットをセッティングするための手段を具備する請求項27記載のコンピュータ。
  33. パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換するための手段は、
    パケットフィルタの前記変換された第1のセットと等しくなるように前記第2のサブセットフィルタをセッティングするための手段を具備する請求項29記載のコンピュータ。
  34. パケットフィルタの前記第1のセットを複数のサブセットフィルタに分割するための手段と、
    前記複数のサブセットフィルタのうちの1つのための第1の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第1の子セキュリティアソシエーションを確立するための手段とをさらに備え、
    パケットフィルタの前記第2のセットを変換するための手段は、パケットを前記確立された第1の子セキュリティアソシエーションに正しくマッピングする請求項31記載のコンピュータ。
  35. パケットフィルタの前記第1のセット内の第3のサブセットフィルタのための第2の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第2の子セキュリティアソシエーションを確立するための手段をさらに具備する請求項34記載のコンピュータ。
  36. パケットフィルタの前記第1のセット内の第4のサブセットフィルタのための第3の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第3の子セキュリティアソシエーションを確立するための手段をさらに具備する請求項35記載のコンピュータ。
  37. ネットワーク経路内のインターネットプロトコル(IP)データパケットの処理がIPデータパケットの変更に起因してパケットフィルタを無効にすることを決定することと、
    変換されたパケットフィルタが前記変更されたIPデータパケットの所望のパケット分類をもたらすようにするために前記パケットフィルタを変換することと、
    前記変換されたパケットフィルタを前記ネットワーク経路内の少なくとも1つのルータに展開することとを具備するステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される有形の記憶媒体。
  38. 前記有形の記憶媒体は、
    IPデータパケットが前記ネットワーク経路の特定のノード内で変更された後に、前記所望のパケット分類を達成するために追加のトンネルを確立することを具備するさらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項37記載の有形の記憶媒体。
  39. 前記有形の記憶媒体は、
    ネットワーク経路内のパケットフィルタの第1のセットおよびパケットフィルタの第2のセットの交差を決定することと、
    パケットフィルタの変換された第1のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットを変換することと、
    パケットフィルタの変換された第2のセットが変更されたIPデータパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差に基づいて、パケットフィルタの前記第2のセットを変換することとを具備するさらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項31記載の有形の記憶媒体。
  40. 前記有形の記憶媒体は、
    変換された第1のサブセットフィルタが変更されたパケットの所望のパケット分類をもたらすようにするために、パケットフィルタの前記第1のセットを変換することがパケットフィルタの前記第1のセット内の第1のサブセットフィルタを変換することを具備するように、さらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項39記載の有形の記憶媒体。
  41. 前記有形の記憶媒体は、
    パケットフィルタの前記第2のセットを変換することが、パケットフィルタの前記第1のセットおよび前記第2のセットの前記決定された交差ならびにパケットフィルタの前記変換された第1のセットに基づいて、パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換することを具備するように、さらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項39記載の有形の記憶媒体。
  42. 前記有形の記憶媒体は、
    パケットフィルタの前記第2のセットが、複数の第2のサブセットフィルタを備え、
    パケットフィルタの前記第2のセットを変換することが、パケットフィルタの前記第2のセット内の前記複数の第2のサブセットフィルタのうちの1つを前記変換された第1のサブセットフィルタに置換することを具備するように、さらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項40記載の有形の記憶媒体。
  43. 前記有形の記憶媒体は、
    フィルタの前記第1のセットとの第1のセキュリティアソシエーションを確立することを具備するさらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納され、
    パケットフィルタの前記第1のセットを変換することは、パケットを前記確立された第1のセキュリティアソシエーションに正しくマッピングする請求項39記載の有形の記憶媒体。
  44. 前記有形の記憶媒体は、
    パケットフィルタの前記第2のセットを変換することが、パケットフィルタの前記変換された第1のセットと等しくなるようにパケットフィルタの前記第2のセットをセッティングすることを具備するように、さらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項39記載の有形の記憶媒体。
  45. 前記有形の記憶媒体は、
    パケットフィルタの前記第2のセット内の第2のサブセットフィルタを変換することが、パケットフィルタの前記変換された第1のセットと等しくなるように前記第2のサブセットフィルタをセッティングすることを具備するように、さらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項41記載の有形の記憶媒体。
  46. 前記有形の記憶媒体は、
    パケットフィルタの前記第1のセットを複数のサブセットフィルタに分割することと、
    前記複数のサブセットフィルタのうちの1つのための第1の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第1の子セキュリティアソシエーションを確立することとを具備するさらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納され、
    パケットフィルタの前記第2のセットを変換することは、パケットを前記確立された第1の子セキュリティアソシエーションに正しくマッピングする請求項43記載の有形の記憶媒体。
  47. 前記有形の記憶媒体は、
    パケットフィルタの前記第1のセット内の第3のサブセットフィルタのための第2の子セキュリティアソシエーションが前記第1のセキュリティアソシエーションと一致するように、前記第2の子セキュリティアソシエーションを確立することを具備するさらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項46記載の有形の記憶媒体。
  48. 前記有形の記憶媒体は、
    パケットフィルタの前記第1のセット内の第4のサブセットフィルタのための第3の子セキュリティアソシエーションが、前記第1のセキュリティアソシエーションと一致するように、前記第3の子セキュリティアソシエーションを確立することを具備するさらなるステップをコンピュータのプロセッサに実行させるように構成されたプロセッサ実行可能ソフトウェア命令がその上に格納される請求項47記載の有形の記憶媒体。
JP2010536156A 2007-11-29 2008-11-26 暗号化されたパケットストリームおよびトンネリングされるパケットストリームのフロー分類 Expired - Fee Related JP5129343B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US99108707P 2007-11-29 2007-11-29
US60/991,087 2007-11-29
US12/277,997 2008-11-25
US12/277,997 US8763108B2 (en) 2007-11-29 2008-11-25 Flow classification for encrypted and tunneled packet streams
PCT/US2008/084820 WO2009073504A2 (en) 2007-11-29 2008-11-26 Flow classification for encrypted and tunneled packet streams

Publications (2)

Publication Number Publication Date
JP2011505761A true JP2011505761A (ja) 2011-02-24
JP5129343B2 JP5129343B2 (ja) 2013-01-30

Family

ID=40677168

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010536156A Expired - Fee Related JP5129343B2 (ja) 2007-11-29 2008-11-26 暗号化されたパケットストリームおよびトンネリングされるパケットストリームのフロー分類

Country Status (6)

Country Link
US (1) US8763108B2 (ja)
EP (1) EP2218223B1 (ja)
JP (1) JP5129343B2 (ja)
KR (1) KR101154734B1 (ja)
CN (1) CN101911611B (ja)
WO (1) WO2009073504A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016508682A (ja) * 2013-01-29 2016-03-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8914022B2 (en) * 1992-03-06 2014-12-16 Gogo Llc System for providing high speed communications service in an airborne wireless cellular network
US20110286331A1 (en) * 1999-08-24 2011-11-24 Gogo Llc Differentiated Services Code Point Mirroring For Wireless Communications
US20090201897A1 (en) * 2008-02-11 2009-08-13 Nokia Siemens Networks Oy Classification process involving mobile stations
US8739270B1 (en) * 2009-01-28 2014-05-27 The Boeing Company Trusted, cross domain information sharing between multiple legacy and IP based devices
US8438630B1 (en) * 2009-03-30 2013-05-07 Symantec Corporation Data loss prevention system employing encryption detection
US20100268935A1 (en) * 2009-04-21 2010-10-21 Richard Rodgers Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
WO2010127706A1 (en) * 2009-05-08 2010-11-11 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for handling qos relating to secure ip access
CN104811486B (zh) * 2009-06-19 2019-06-14 日本技术贸易株式会社 内容管理装置和内容管理方法
US8654659B2 (en) 2009-12-23 2014-02-18 Citrix Systems, Inc. Systems and methods for listening policies for virtual servers of appliance
JP5587085B2 (ja) * 2010-07-27 2014-09-10 パナソニック株式会社 通信システム、制御装置及び制御プログラム
US8800021B1 (en) * 2011-06-29 2014-08-05 Juniper Networks, Inc. Hardware implementation of complex firewalls using chaining technique
US9253164B2 (en) 2011-09-12 2016-02-02 Microsoft Technology Licensing, Llc Distribution of portions of content
EP2592808B1 (en) * 2011-11-14 2017-03-15 Alcatel Lucent Method and equipment for establishing a connection through a virtual private network
JP6052391B2 (ja) * 2012-03-30 2016-12-27 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 盗聴に対するIPsec通信のパフォーマンス及びセキュリティの向上
EP2845349B1 (en) * 2012-04-30 2017-08-16 Hewlett-Packard Enterprise Development LP Network access apparatus having a control module and a network access module
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9590911B2 (en) * 2014-06-27 2017-03-07 iPhotonix Wireless area network (WAN) overloading
US9979698B2 (en) 2014-06-27 2018-05-22 iPhotonix Local internet with quality of service (QoS) egress queuing
US9794172B2 (en) 2014-06-27 2017-10-17 iPhotonix Edge network virtualization
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
CN105704122B (zh) * 2016-01-08 2018-12-18 北京北方烽火科技有限公司 一种路由加密系统
US11100046B2 (en) * 2016-01-25 2021-08-24 International Business Machines Corporation Intelligent security context aware elastic storage
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10798059B1 (en) * 2017-10-06 2020-10-06 Juniper Networks, Inc Apparatus, system, and method for applying firewall rules at dynamic offsets within packets in kernel space
US10992654B2 (en) * 2018-08-17 2021-04-27 Cisco Technology, Inc. Secure WAN path selection at campus fabric edge
EP3847791A1 (en) * 2018-09-04 2021-07-14 Telefonaktiebolaget LM Ericsson (publ) Signalling storm mitigation in a secured radio access network
CN111182540B (zh) * 2018-12-14 2022-04-22 维沃移动通信有限公司 数据传送的保障方法及通信设备
US11516253B1 (en) * 2019-03-28 2022-11-29 Amazon Technologies, Inc. Identity-aware filtering proxy for virtual networks
EP4063296A1 (en) 2021-03-23 2022-09-28 ESE World B.V. Fastening device
US11863514B2 (en) * 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
JP2005286451A (ja) * 2004-03-29 2005-10-13 Hitachi Ltd ネットワークフロー設定装置
US20060109829A1 (en) * 2001-06-26 2006-05-25 O'neill Alan Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system
WO2007046596A1 (en) * 2005-10-21 2007-04-26 Samsung Electronics Co., Ltd. Method and apparatus of performing tunnel signaling over ip tunneling path

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1292354C (zh) * 2002-02-08 2006-12-27 联想网御科技(北京)有限公司 基于桥的二层交换式防火墙包过滤的方法
CN1536497A (zh) * 2003-04-04 2004-10-13 上海广电应确信有限公司 一种实现包过滤的防火墙及其实现包过滤的方法
US7913294B1 (en) * 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
KR20060117586A (ko) 2005-05-11 2006-11-17 삼성전자주식회사 IPv4/IPv6 통합 네트워크의 패킷 처리 방법 및 그장치
US7920548B2 (en) * 2005-08-18 2011-04-05 Hong Kong Applied Science And Technology Research Institute Co. Ltd. Intelligent switching for secure and reliable voice-over-IP PBX service
CN101043442B (zh) * 2006-11-17 2011-05-25 神州数码网络(北京)有限公司 一种在以太网交换机上实现urpf的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US20060109829A1 (en) * 2001-06-26 2006-05-25 O'neill Alan Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system
JP2005286451A (ja) * 2004-03-29 2005-10-13 Hitachi Ltd ネットワークフロー設定装置
WO2007046596A1 (en) * 2005-10-21 2007-04-26 Samsung Electronics Co., Ltd. Method and apparatus of performing tunnel signaling over ip tunneling path

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016508682A (ja) * 2013-01-29 2016-03-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成
US9942159B2 (en) 2013-01-29 2018-04-10 Telefonaktiebolaget Lm Ericsson Method and arrangement for QOS differentiation of VPN traffic across domains

Also Published As

Publication number Publication date
WO2009073504A3 (en) 2009-08-06
JP5129343B2 (ja) 2013-01-30
WO2009073504A2 (en) 2009-06-11
KR20110008001A (ko) 2011-01-25
CN101911611A (zh) 2010-12-08
CN101911611B (zh) 2013-03-27
EP2218223B1 (en) 2017-02-22
US20090144819A1 (en) 2009-06-04
EP2218223A2 (en) 2010-08-18
KR101154734B1 (ko) 2012-06-13
US8763108B2 (en) 2014-06-24

Similar Documents

Publication Publication Date Title
JP5129343B2 (ja) 暗号化されたパケットストリームおよびトンネリングされるパケットストリームのフロー分類
US8433900B2 (en) Secure transport of multicast traffic
US8942619B2 (en) Relay device
US9614774B2 (en) Method for providing a QoS prioritized data traffic
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
US8238343B2 (en) Method and apparatus of performing tunnel signaling over IP tunneling path
US7000120B1 (en) Scheme for determining transport level information in the presence of IP security encryption
US11695858B2 (en) Packet fragmentation control
US10616185B2 (en) Methods and first, second and network nodes for managing traffic characteristics
WO2017148419A1 (zh) 数据传输方法及服务器
Shen et al. NSIS Operation Over IP Tunnels
CN111614538A (zh) 一种基于IPsec封装协议的报文转发方法
US20090073971A1 (en) Per-packet quality of service support for encrypted ipsec tunnels
US7207063B1 (en) Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol
KR102564396B1 (ko) 암호화 패킷 전송장치 및 암호화 패킷 전송방법
JP4060764B2 (ja) 通信装置
Hinden et al. RFC 9268: IPv6 Minimum Path MTU Hop-by-Hop Option
CN114553633A (zh) 隧道协商方法及装置
Shen et al. RFC 5979: NSIS Operation over IP Tunnels
Jonsson RFC 4163: RObust Header Compression (ROHC): Requirements on TCP/IP Header Compression
JP2006121738A (ja) 中継装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120403

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121002

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121101

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151109

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees