JP3793083B2 - トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 - Google Patents

トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 Download PDF

Info

Publication number
JP3793083B2
JP3793083B2 JP2001504140A JP2001504140A JP3793083B2 JP 3793083 B2 JP3793083 B2 JP 3793083B2 JP 2001504140 A JP2001504140 A JP 2001504140A JP 2001504140 A JP2001504140 A JP 2001504140A JP 3793083 B2 JP3793083 B2 JP 3793083B2
Authority
JP
Japan
Prior art keywords
packet
computer device
protocol
packets
address translation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001504140A
Other languages
English (en)
Other versions
JP2003502913A (ja
JP2003502913A5 (ja
Inventor
キビネン,テロ
イローネン,タトゥ
Original Assignee
アスアスホー コミュニケーションズ セキュリティ リミティド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=23304429&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP3793083(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by アスアスホー コミュニケーションズ セキュリティ リミティド filed Critical アスアスホー コミュニケーションズ セキュリティ リミティド
Publication of JP2003502913A publication Critical patent/JP2003502913A/ja
Publication of JP2003502913A5 publication Critical patent/JP2003502913A5/ja
Application granted granted Critical
Publication of JP3793083B2 publication Critical patent/JP3793083B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/026Details of "hello" or keep-alive messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • H04L61/2553Binding renewal aspects, e.g. using keep-alive messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2578NAT traversal without involvement of the NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Description

〔技術分野〕
【0001】
本発明は、一般的に言ってパケット交換データ伝送ネットワークにおけるコンピュータ間の安全な通信の分野に関するものである。より明確に言うと、本発明は、ネットワーク・アドレス翻訳またはプロトコル変換を通じて安全な通信をセットアップし維持する分野に関するものである。
〔背景技術〕
【0002】
インターネット技術特別調査委員会(IETF)は、IPSEC(インターネット・プロトコル・セキュリティ)プロトコル・セットを標準化した。この規格は、付属参照文献リストに記載されるリクエスト・フォー・コメンツすなわちRFC文書番号RFC2401、RFC2402、RFC2406、RFC2407、RFC2408およびRFC2409から周知である。IPSECプロトコルは、RFC文書番号RFC791において規定されるIPすなわちインターネット・プロトコルにセキュリティを与える。IPSECは、新規のIPヘッダを生成し、パケットの前に認証ヘッダ(AH)またはカプセル化セキュリティ・ペイロード(ESP)ヘッダを付加することによって、パケット・レベルで認証および暗号化を行う。オリジナルのパケットは、暗号的に認証され、任意に暗号化される。パケットの認証および任意の暗号化に使用される方法は、AHおよびESPヘッダにおいて記憶されるセキュリティ・パラメータ・インデクス(SPI)値によって識別される。RFC文書番号RFC2401は、パケットのトランスポート・モードおよびトンネリングモードを規定している。本発明は、どちらのモードが使用されるかに関わりなく、応用可能である。
【0003】
近年、ネットワーク・アドレス翻訳(NAT)を開始するベンダおよびインターネット・サービス・プロバイダが増えている。NATについて、少なくともRFC文書番号RFC1631並びに付属の参照文献リストにおいてSrisuresh98Terminology、SrisureshEgevang98、Srisuresh98Security、HoldregeSrisuresh99、TYS99、Rekhter99、LoBorella99およびBorellaLo99として明示される文書において言及されている。図1aおよび1bにおいてアドレス翻訳の主要な2つの形式が図解的に示されている。すなわちホストNAT 101およびポートNAT 151である。ホストNAT 101は、入パケット102のIPアドレスを単に翻訳するだけなので、出パケット103は別のIPアドレスを持つ。ポートNAT 151は、入パケット152のTCPおよびUDPポート番号(トラフィック制御プロトコル、ユーザ・データグラム・プロトコル)も処理して、出パケット153においていくつかのIPアドレスを単一のIPアドレスに多重化し、これに応じて、反対方向に向かうパケットについては単一IPアドレスをいくつかのIPアドレスにデマルチプレクスする(図には示されていない)。ポートNATは、特に、家庭内および小さなオフィス環境においては一般的である。NAT装置の入力接続と出力接続の物理的な分離は、図1aおよび1bにおいて図解を明確にするためにのみ示されている。実際には、物理的にNATを接続するために可能な方法は多様にある。
【0004】
アドレス翻訳は、ローカル・ネットワークのエッジにおいて行われることがもっとも多い(すなわち、複数のローカル・プライベート・アドレスともっと少数の大域ルータブル・パブリック・アドレスの間の翻訳)。ポートNATが使用されて、大域ルータブル・アドレスが1つしかないことが、最も多い。ローカル・ネットワーク154は、図1bにおいて図解的に示されている。このような構成は、家庭内および小規模なオフィス市場において非常に一般的になって来ている。一部のインターネット・サービス・プロバイダは、カスタマにプライベート・アドレスを与え始めており、これらのアドレスのために自社のコア・ネットワークにおいてアドレス翻訳を行っている。一般的に言って、ネットワーク・アドレス翻訳は、インターネット技術特別調査委員会内部において例えばNAT作業委員会において広範に詳細に論じられてきた。NAT装置の動作原理は周知であり、無料で入手できるソース・コードのインプリメンテーションを含めて、複数のベンダから多数のインプリメンテーションを市場で入手できる。NATの典型的な動作は、IPアドレスとポートの組み合わせを別のIPアドレスとポートの組み合わせにマッピングするものとして説明できる。マッピングは、1回のネットワーク接続中一定であるが、時間とともに(ゆっくりと)変化するかもしれない。実際には、NATの機能は、ファイヤウォールまたはルータに組み込まれることが多い。
【0005】
図1cは、送信ノード181が(第一のプライベート・ネットワークとしても知られている)第一のローカル・エリア・ネットワーク182に配置され、このネットワークがインターネットなど広域一般パケット交換ネットワーク184に接続するためにポートNAT 183を有するという、実際のネットワーク通信の状況例を示している。広域一般パケット交換ネットワークは、さまざまな方法で相互接続された非常に多数のノードによって構成される。受信ノード185は、同様にNAT 187を通じて広域ネットワークに結合される第二のローカル・エリア・ネットワークに配置される。ネットワーク・セキュリティ・サービスをセットアップするために必要な通信は双方向的なので、「送信ノード」および「受信ノード」という名称は多少誤解を招きやすい。送信ノードは通信を開始するノードである。送信ノードおよび受信ノードの代わりにそれぞれ「イニシエータ」および「レスポンダ」という用語も使用される。
【0006】
図1cの目的は、通信ノードが、それが通信する際に使われる中間装置の数や性質も、また行われる変換の性質も意識しないという事実を強調することにある。NATの他に、インターネット上には、パケットが伝送されるときパケットを合法的に修正するその他のタイプの装置がある。その典型的な例はプロトコル・コンバータであり、その主な仕事は、通常の動作を妨害することなくパケットを異なるプロトコルに変換することである。これを使用すると、NATの場合と非常によく似た問題を引き起こす。かなり単純だが重要な例は、インターネット・プロトコルの異なるバージョンであるIPv4とIPv6の間の変換である。この種のコンバータは、近い将来非常に重要なありふれたものになるだろう。パケットはその伝播中にこの種のいくつかの変換を経て、通信の終点では実際に異なるプロトコルを使用する可能性がある。NATのように、プロトコル変換はルータおよびファイヤウォールで行われることがしばしばある。
【0007】
IPSEC界では、IPSECプロトコルがネットワーク・アドレス翻訳を通すとうまく機能しないことは周知である。この問題については、少なくともHoldregeSrisuresh99およびRekhter99として示される参照文献において論じられている。
【0008】
参照のために本明細書に組み込まれるフィンランド特許出願第974665号および対応PCT出願第FI98/01032号において、当該出願者は、IPSECアドレス翻訳を行うためのある種の方法およびパケットのルートにおいてアドレス変換およびプロトコル変換に対して無反応なパケット認証方法を提示した。さらに、前記出願において、当該出願者は、上記の方法を利用することができる送信ネットワーク装置および受信ネットワーク装置を提示した。しかし、ネットワーク・アドレス翻訳を通じてネットワーク・セキュリティ・サービスを提供する際のいくつかの問題点は、前記の以前の特許出願においては未解決のままである。
米国特許第 57933763 号はNATの原理にしたがってローカルIPアドレスを広域のユニークなIPアドレスに翻訳するシステム及び方法を提供している。インターネットから到来するパケットはアダプティブ・セキュリティ・アルゴリズム (adaptive security algorithm) により選別される。
国際公開 WO-A-98/32065 号は、保護されたクライアントとネットワークとの間にネットワーク・セキュリティ・デバイスがどのように接続されるかを示している。ネットワーク・セキュリティ・デバイスは任意の他のクライアントと暗号キーについて交渉をする。セキュリティ・デバイスはパケットをネットワークに送信する前及びネットワークからパケットを受信後に、クライアントのアドレスとそれ自身のアドレスとの間でアドレス翻訳を行う。
さらなる先行技術は、次の通りである。 DATA COMMUNICATIONS, MCGRAW HILL, NEW YORK , US, Journal Article, Vol. 26, Nr. 16, November 97, pages 55-59, Rodney Thayer: Bulletproof IP with authentication and encryption, IPSec adds a layer of armor to IP ; IEEE, COMPUTER, Vol. 31, Issue 9, September 1998, pages 43-47, Rolph Oppliger: Security at the Internet Layer , ISSN: 0018-9162; IETF, Internet Draft, 06.02.98, R.G. Moskowitz: Network Address Translation issues with IPsec , <URL:http://www.alternic.org/drafts/drafts-m-n/draft-moskowitz-net66-vpn-00.txt>; IETF, Internet Draft, 22.08.97, R.G. Moskowitz: Network Address Translation issues with IPsec , <URL:http://www.alternic.org/drafts/drafts-m-n/draft-moskowitz-net66-vpn-nat-00.txt>; and IETF, Internet Draft, 04.98, G. Tsirtis: AATN Components & Mechanism , <URL:http://www.alternic.org/drafts/drafts-t-u/draft-tsirtsis-aatn-mech-00.txt>. これらはパケット・データ・ネットワークにおけるNATの様々な知られた態様と確実な送信を記載している。
〔発明の開示〕
〔発明が解決しようとする課題〕
【0009】
信頼でき有利な方法でネットワーク・アドレス翻訳を通じてネットワーク・セキュリティ・サービスを提供するための方法および対応する装置を提供することが、本発明の目的である。
〔課題を解決するための手段〕
【0010】
従って、本発明の第一の態様に従って、中間コンピュータ装置を備えるパケット交換データ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装置の間でパケットを安全に通信するための方法が提供される。この方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行う。この方法は:
一のコンピュータ装置と第二のコンピュータ装置の間で伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップ;
行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ、これをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップ;
前記第二のプロトコルに従う前記パケットを第一のコンピュータ装置から第二のコンピュータ装置に伝送するステップ;および
ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化を無効にするために、前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して、前記第一のプロトコルに従うパケットにするステップを備えることを特徴とする。
【0011】
本発明の第二の態様に従って、中間コンピュータ装置を備えるパケット交換データ伝送ネットワークを通じて第一のコンピュータ装置から第二のコンピュータ装置安全にパケットを送信する方法が提供される。この方法、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行う。この方法は:
一のコンピュータ装置から第二のコンピュータ装置伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップ;
行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ、これをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップ;および
記第二のプロトコルに従う前記パケットを第一のコンピュータ装置から第二のコンピュータ装置に伝送するステップを備えることを特徴とする。
【0012】
本発明の第三の態様に従って、中間コンピュータ装置を備えるパケット交換データ伝送ネットワークを通じて第一のコンピュータ装置から第二のコンピュータ装置パケットを安全に受信するための方法が提供される。この方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行う。この方法は:
【0013】
一のコンピュータ装置と第二のコンピュータ装置の間伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップ;
【0014】
第一のコンピュータ装置から、第のコンピュータ装置に、ネットワーク・アドレス翻訳をトラバースすることが可能な第二のプロトコルに従うパケットを受信するステップ;および
ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化を無効にするために、前記第二のプロトコルに従う送信されたパケットを、前記第一のプロトコルに従うパケットにカプセル除去するステップを備えることを特徴とする。
〔発明を実施するための最良の形態〕
【0015】
本発明は、新規な発明的方法でUDP、IKEおよびIKE拡張メカニズムを通じてトンネリングするネットワーク・アドレス翻訳の方法をいくつか組み合わせ、これらを拡張して、ネットワーク・アドレス翻訳およびプロトコル変換を通じて安全に通信する方法を提供する。この方法は、完全に自動的でユーザに対してトランスペアレントにすることができる。
【0016】
本発明の応用可能性に関するキーポイントは、本特許出願の優先日においては、一般的に言ってTCP(RFC793において説明されている)およびUDP(RFC768において説明されている)のみがNATに対して機能していることである。なぜなら、実際に使用されるNATのほとんどがポートNATであり、これが大域ルータブルIPアドレスの不足に関してもっとも有益なNATの形式である。しかしながら、本発明は本特許出願の優先日に既知であるUDPおよびTCPの使用に限定されない。一般的に言えば、UDPおよびTCPは、アドレス変換プロセスにおいて別の形式にマッピングされる接続識別情報(すなわちアドレス指定およびポート番号指定)を決定するプロトコルの例であるといえる。他の種類の通信プロトコルおよびアドレス変換が将来出現するものと思われる。
【0017】
本発明のさまざまな態様は下記のことに関連する:
-本発明に従って典型的な安全な通信方法である特定の方法をリモート・ホストがサポートするか否かの決定(「方法のサポート」態様);
-パケットがある場合に、パケットについてどのようなネットワーク・アドレス翻訳および/またはプロトコル変換が行われるかの決定(「翻訳の発生」態様);
-パケットがNATを考察するように、特定の慎重に選択されたプロトコル、典型的にはUDPの内部でのパケットのトンネリング(「選択されたトンネリング」態様);
-関与するNAT装置およびマッピングのためにタイムアウトを使用するその他の装置が通信ホストのためのマッピングを損失しないようにするための、キープアライブ方法の使用(「キープアライブ」態様);
-AHパケットについてメッセージ認証コードを確認する前に行われる翻訳の補償(「補償/認証」態様);および
-複数のホストが単一のパブリック・アドレスにマッピングされることを補償するための、送信ノードまたは受信ノードにおけるアドレス翻訳の実施(「補償/マッピング」態様)。
【0018】
異なる論理ネットワークを通じて伝送するためにデータ・パケットをカプセル化するプロセスは、トンネリングと呼ばれる。一般には、IPプロトコルの場合、トンネリングには、オリジナルのパケットの前に新しいIPヘッダを付加すること、新しいヘッダにおいて適切にプロトコル・フィールドを設定することおよびパケットを目標の宛先(トンネルの終点)に送ること、が含まれる。オリジナルのパケットに関する十分な量の情報がこのプロセスにおいて保存されて、トンネルの終わりのパケットをトンネルの始めのオリジナルのパケットと十分に類似する形式に再構成できる限り、トンネリングは、オリジナルのパケットのヘッダ・フィールドを修正してまたはこれを異なるヘッダと置き換えることによっても、実現することができる。パケットと一緒に送る必要のある情報の正確な量はネットワーク・プロトコルによって左右され、情報は、明示的(トンネリングされるパケットの一部として)でも暗示的(決定されるコンテキストにより、例えば、事前に伝送されるパケットまたはトンネリングされるパケットにおけるコンテキスト識別子により)でも送ることができる。
【0019】
ネットワークを通じてパケットをトンネリングする方法は技術上既知である。少なくともRFC1226、RFC1234、RFC1241、RFC1326、RFC1701、RFC1853、RFC2003、RFC2004、RFC2107、RFC2344、RFC2401、RFC2406、RFC2473およびRFC2529は、トンネリングのテーマを扱っている。例えば、RFC1234は、UDPを通じてIPXフレームをトンネリングする方法を提示している。この方法においては、パケットは、固定UDPポートおよびデキャプスレータのIPアドレスにトンネリングされる。
【0020】
背景説明において言及されたIPSECプロトコルは、一般に通信当事者を相互に認証し、通信当事者のみに既知の共有の秘密を導出し、通信のために使用される認証および暗号化方法を取り決め、通信のために使用されるセキュリティ・パラメータ・インデクス(SPI)値および1組のセレクタについて合意するために、インターネット・キー交換すなわちIKEプロトコル(参照文献RFC2409、RFC2408およびRFC2407から既知)を使用する。IKEプロトコルは、以前はISAKMP/Oakleyとして知られていた。ISAKMPは、インターネット・セキュリティ・アソシエーション・キー管理プロトコルの略である。IKE標準において規定される通常のネゴシエーションの他に、IKEは、拡張のための特定のメカニズムをサポートする。参照文献RFC2408から既知であるベンダIDペイロードは、相手方が特定のプライベート拡張メカニズムをサポートするか否かを通信当事者が決定できるようにする。RFC2407として知られるIPSEC DOI(解釈のドメイン)は、この種のプライベート拡張のために特定の数値を確保する。
【0021】
現在、周知のベンダIDは、図2aに示されるフォーマットを持つものとして定義される。ここで、カラム番号はビット・ポジションに一致する。本発明においては、ベンダIDフィールド201は、ベンダIDペイロードの一番重要な部分である。IKEプロトコルにおいては、リモート・ホストが安全なネットワーク通信を提供するための特定の方法をサポートするか否かのネゴシエーションは次のように行うことができる。ここで使用される用語は、IKEドキュメントから借用したものである。
【0022】
IKEプロトコルは、イニシエータ(すなわち、相手側にパケットを最初に送信するノード)とレスポンダ(すなわちパケットを最初に受信するノード)の間の相互メッセージ交換のいわゆるフェーズ1を決定する。図3は、イニシエータとレスポンダの間の最初のフェーズ1メッセージの交換を図解している。本発明の「方法のサポート」態様に従えば、両方の装置は、特定のフェーズ1メッセージの中に特定のベンダIDペイロードを含み、これがその最初のフェーズ1メッセージであることが、もっとも有利である。このペイロードは、両方の装置が問題の方法をサポートすることを指示する。
【0023】
図3において、イニシエータの最初の(またはその他の)フェーズ1メッセージに含まれるベンダIDフィールドは、図解的に201’として示されており、レスポンダの最初の(またはその他の)フェーズ1メッセージに含まれるベンダIDフィールドは、図解的に201''として示されている。特定の方法のサポートを示すために、ベンダIDペイロードの中のベンダIDフィールドは、基本的にその方法の識別子である。これは、例えば“SSH IPSEC NAT Traversal Version 1”など後端のゼロまたは改行のない以前から既知の識別ストリングのMD5ハッシュであることが、有利である。任意の文字シーケンスのMD5ハッシュの生成は、例えば参照文献リストに記載される刊行物RFC1321から技術上既知である。
【0024】
次に、本発明の「翻訳の発生」態様について説明する。上記のフェーズ1に加えて、IKEプロトコルは、イニシエータとレスポンダの間の相互メッセージ交換のいわゆるフェーズ2を決定する。本発明の「翻訳の発生」態様に従えば、当事者は、特定のフェーズ2クイック・モード・メッセージのプライベート・ペイロードにおいて当事者が見るIPアドレスを含めることにより、どの翻訳が行われるかを決定することができる。フェーズ2クイック・モード・メッセージは最初のフェーズ2クイック・モード・メッセージであることが、有利である。このようなプライベート・ペイロードの使用を表すためにプライベート・ペイロード番号範囲のどのような未使用の番号でも使用することができる(例えば、本特許出願の優先日の時点では未使用の157)。
【0025】
翻訳の発生を明らかにするために使用されるプライベート・ペイロードは、例えば、図2bに示されるフォーマットを持つことができる。フィールド211は、フィールド212および213に示されるアドレスのタイプを識別するタイプ・コードを含んでいる。フィールド212は、メッセージを送るノードが見るとおりのイニシエータのアドレスを含んでおり、フィールド213は、メッセージを送るノードが見るとおりのレスポンダのアドレスを含んでいる。図3は、イニシエータとレスポンダの間の(最初の)フェーズ2クイック・モード・メッセージの交換を示しているので、対応するフィールド211’、212’および213’は前者によって送られるメッセージに含まれており、フィールド211’’、212’’および213’’は後者によって送られるメッセージに含まれている。
【0026】
既知の慣行に従って、イニシエータおよびレスポンダのアドレスは図2bのペイロードを含んでいるパケットのヘッダにも含まれる。ヘッダにおいて、これらのアドレスはアドレス翻訳およびその他の処理の影響を受けるが、プライベート・ペイロードにおいてはこの影響を受けない。図2bのペイロードを含むパケットが受信されると、ペイロードに含まれるアドレスは、パケット・ヘッダに含まれるアドレスと比較される。これが異なる場合、パケットにアドレス翻訳が行われたことになる。後に、本発明の応用と一緒に標準IKEポート番号500の使用について触れる。翻訳の発生を検出する付加的方法として、受信パケットのポート番号を標準IKEポート番号と比較して、ポート翻訳が行われたか否かを決定することができる。
【0027】
アドレスを処理する際にかなり重要な点は、後で使用するためにパケットのUDPソース・ポートを保存できることである。通常であれば、これは、フェーズ1 ISAKMPセキュリティ・アソシエーションのためにデータ構造と一緒に保存され、フェーズ2 IPSECセキュリティ・アソシエーションのために補償処理をセットアップするために使用される。
【0028】
上に説明される方法を本発明の「翻訳の発生」態様を実現するために使用するためには、ホストは、そのフェーズ2識別ペイロードを修正しなければならない。すなわち、図2bに示されるペイロードは、既存の標準においては未知である。1つの可能性は、ペイロードをID_IPV4_ADDRおよびID_IPV6_ADDRタイプに制限することである。これは、ホスト間動作に適するであろう。
【0029】
次に、本発明の「トンネリングの選択」、「補償/認証」および「補償/マッピング」態様について説明する。本発明のこの態様に従えば、実際のデータ・パケットを通信接続のセキュリティ機構をセットアップするために使用されるのと同じ接続、例えばIKEに使用されるUDP接続を通じてトンネリングすることができる。これによって、実際のデータ・パケットは、翻訳が決定されたときIKEパケットが受けたのと同じ翻訳を受けることができる。IKEについて標準ポート番号500が決定されたとすると、これは、全てのパケットが、ソース・ポート500および宛先ポート500で送られることになり、カプセル化されたデータを含んでいるパケットから実IKEパケットを区別するための方法が必要となる。これを行う1つの可能な方法は、実IKEパケットに使用されるIKEヘッダがイニシエータ・クッキー・フィールドを含んでいるという事実を利用することである。すなわち、本発明のこの態様をサポートするイニシエータは決してその最初の4つのバイトが全てゼロであるクッキーを生成しない、と規定することができる。そうすると、該当する4つのバイトにおける値ゼロは、パケットをトンネリングされたデータ・パケットとして認識するために使用される。このようにして、トンネリングされたデータ・パケットは、UPDペイロードの始めに4つのゼロ・バイトを持つが、実IKEパケットはこれを持たない。
【0030】
図4は、伝送のために実際のIPSECパケットをUPDにカプセル化するところを示している。基本的に、UDPヘッダ403および短い中間ヘッダ404は、すでにパケットの中にあるIPヘッダ401の後に挿入されている(プロトコル・フィールドは中間ヘッダにコピーされている)。IPヘッダ401は小修正されて、修正IPヘッダ401’となる。IPペイロード402はそのままである。左側のカプセル化されていないIPSECパケットの単純な図解を誤解してはならない。このパケットは、プレーンテキストではなく、UDPにカプセル化される前に送信ノードにおいてAHまたはESPまたはその他の対応する変換プロトコルに従ってすでに処理されている。
【0031】
一般性を制限することなく、本明細書における提示においては、図4に従ったカプセル化は常にIPSEC処理を行う同じノード(終点ノードかVPN装置)によって行われると、仮定される。また、IPSECパケットをUDPにカプセル化する代わりに、これをTCPにカプセル化できることにも留意しなければならない。この代替方法の場合には、TCPプロトコルにおいて規定されるとおり最初のパケットがSYNビットを持ち最後のパケットがFINビットを持つように、偽(fake)・セッション開始および終了を使用する必要があるだろう。
【0032】
図4に従って実際のデータ・パケットまたは「データグラム」をカプセル化する際、オリジナルのIPヘッダ401(RFC971において定義される)は、下記のとおり修正済みIPヘッダ401’を生成するように修正される:
*IPヘッダのプロトコル・フィールド(別個に図示されていない)は、RFC768に従ってUDPのためのプロトコル17に置き換えられる。
*IPヘッダの全長フィールド(別個に図示されていない)は、UDPおよび中間ヘッダの結合サイズ(合計16バイト)だけ増加される。
*IPヘッダのヘッダ・チェックサム・フィールド(別個に図示されていない)はRFC791に示されるルールに従って再計算される。
【0033】
図4に示されるとおり、UDPヘッダ403(RFC768において定義される)および中間ヘッダは、IPヘッダの後に挿入される。UDPヘッダは8オクテット、中間ヘッダは8オクテットであり、合計で16オクテットである。これらのヘッダは、以下の論証において1つのものとして扱われる。結合ヘッダは、図2cに図解されるフォーマットを持つことが、もっとも有利である。このヘッダのフィールドは、以下のとおりに設定される:
*ソース・ポート・フィールド221は、500(IKEと同じ)に設定される。パケットがNATを経る場合、パケットが受信されるときこれが異なる可能性がある。
*宛先ポート・フィールド222は、相手側がパケットを送っていると思われるポート番号に設定される。パケットがNATを経る場合、受け手は異なるポート番号を見る可能性がある。
*UDP長さフィールド223はUDPヘッダの長さプラスUDPデータ・フィールドの長さである。この場合、このフィールドは、中間ヘッダも含む。値は、バイトで、16プラス、オリジナルのIPパケット・ペイロードとして計算される(オリジナルのIPヘッダは含まず、これはIPヘッダの長さフィールドに含まれる)。
*UDPチェックサム・フィールド224は、0に設定されることが、もっとも有利である。UDPチェックサムは、任意であり、このトンネリング・メカニズムを使ってこれを計算またはチェックしようとは、出願者は考えていない。データの無欠性は、トンネリングされるパケット内のAHまたはESPヘッダによって保護されると想定される。
*マスト・ビー・ゼロ・フィールド225:このフィールドは、事前に合意された固定値を含まなければならず、この値は全てゼロであることが、もっとも有利である。このフィールドは、実際のIKEヘッダにおけるイニシエータ・クッキー・フィールドの最初の4バイトとオーバーラップする。本発明のこの態様をサポートするイニシエータは、最初の4つのバイトがゼロであるクッキーを使用してはならない。このゼロのバイトは、トンネリングされたパケットを実ISAKMPパケットから分離するために使用される。当然、「全てゼロ」以外の他の固定を選択することは可能であるが、値は、この特定の用途について固定されなければならない。
*プロトコル・フィールド226:このフィールドの値は、オリジナルのIPヘッダにおける既知のプロトコル・フィールド(図4には示されていない)からコピーされる。
*予約フィールド227:全てゼロとして送られることが、もっとも有利である。受信時には無視される。
【0034】
送り手は、NATの背景で宛先にトンネリングされるあらゆるパケットにこのヘッダを挿入する。NATが使用されるか否かについての情報は、ポリシー・マネージャにおいてSA(セキュリティ・アソシエーション)ごとに記憶することができる。図4において言及されるカプセル化は、新規の変換としてまたは既知のAHおよびESP変換の一部として実施することができる。
【0035】
カプセル化操作は、IKEネゴシエーション中に決定されるリモート・ホストのIPアドレスおよびUDPポート番号を使用する。
【0036】
受け手は、AHまたはESP処理を行う前にこのカプセル化されたパケットをカプセル除去する。カプセル除去は、このヘッダを取り除いて、IPヘッダのプロトコル・フィールド、長さフィールドおよびチェックサム・フィールドを更新する。構成データ(ポート番号など)はこの操作を必要としない。
【0037】
カプセル除去は、以下のセレクタの全てが合致する場合しか行う必要はない:
*宛先アドレスがこのホストの宛先アドレスであり、
*ソース・アドレスがこのホストがこのトンネリングのために使用する相手として合意したホストのアドレスであり、
*プロトコル・フィールドがUDPを指示しており、
*宛先ポート・フィールドの値が500であり、かつ
*ソース・ポート・フィールド値が、このホストがこのトンネリングを使用する相手として合意したポートを指示している(このトンネリングは複数のソース・アドレスおよびポートのために行われる場合があることに注意すること。その各々が別個のセレクタ・セットによって処理される)。
【0038】
カプセル除去中、受信パケットの中のソース・アドレスを、IKEネゴシエーション中受信される実ソース・アドレスと置き換えることができる。これは、AH MAC確認の補償を実現する。アドレスは、下に説明する事後処理段階において再び変更される。この補償により、標準AHおよびESP変換を無修正で使用することができる。
【0039】
図3において、送信ノードにおけるAH/ESP処理は、図解的にブロック301として示されており、データグラムのUDPへのカプセル化は、図解的にブロック302として示され、データグラムのUDPからのカプセル除去は、図解的にブロック303として示され、受信ノードにおけるAH/ESP処理は、図解的にブロック304として示されている。
【0040】
パケットがAHまたはESPからカプセル除去された後に付加的補償が行われなければならない。この付加的カプセル除去は、アウター・パケットは実際にはNATを経ている(図3においては図解的にブロック305として示される)ので、プレーンテキスト・パケットも同様の変換を経なければならないという事実に関係している。受け手は、NAT装置のアドレスをオリジナルの内部アドレスとしてではなくホストのアドレスとして見なければならない。その代わりに、パケットをAHまたはESPにカプセル化する前に、この補償をパケットの送り手が行うことも可能である。
【0041】
この付加的補償については、さまざまな特殊なケースに関して下記のとおりいくつかの代替方法がある(最良の補償は個々の応用によって異なる):*この処理のためにある範囲ネットワーク・アドレスを割り当てる(例えば、リンク・ローカルにおいて169.254.x.x.の範囲を使用する。実際の値は関係ない。基本的には、単に他の誰も使用していない任意のネットワークが欲しいだけである)。この範囲のあるアドレスが、各<natip、ownip、natport、ownport>組み合わせに割り当てられる。ここで、natipはNATのIPアドレスを意味し、ownipは処理装置自身のIPアドレスを意味し、natportはNATのポート番号を意味し、ownportは処理装置自身のポート番号を意味する。パケットにおけるリモート・アドレスは、パケットがプロトコル・スタックに送られる前にこのアドレスと置き換えられる。
*補償の一部として、ホスト・アドレスまたはポート番号が変更された場合内部ホストのTCPチェックサムを再計算しなければならない。TCPチェックサム計算は、RFC1071から既知のとおりインクリメンタルでもよい。ソース・ポートについてポートNATを行う必要があるかもしれない。
*互換性のないプライベート・アドレス・スペース(オーバーラップの可能性がある)を使用する2つのサイト間でVPNとして使用される場合、アドレスをローカル・アドレスと互換性を持つようにするためにアドレス翻訳を行わなければならない。
*互換性のある(オーバーラップしない)プライベート・アドレス・スペースを使用する2つのサイト間でVPNとして使用され、トンネル・モードが使用される場合、付加的補償は必要ない。
*FTP(RFC959から既知)またはH.323など特定のプロトコル・パケットの内容についてアドレス翻訳を行う必要がある場合がある。他の同様の問題については、HoldregeSrisuresh99として示される参照文献において論じられている。
*サーバでクライアントのためにランダム・アドレスを使用して、このアドレスにアドレス翻訳することも可能である。これにより、サーバが同一のNATの背景で複数のクライアントを区別できるようにすることができ、ローカル・アドレス・スペースの手動構成を避けることができる。
*補償操作は、UDPポート番号を確保するためにローカル・マシンにおいてTCP/IPスタックと対話してもしなくてもよい。
【0042】
一般的に行って、本発明は、インナー・パケットのために使用される方法をアウター・ヘッドのために行われるNATに強要するものではない。この補償を行うための最適の方法は、実験により上記の代替方法の中から見つかるかも知れないし、他の最適の方法が提示されるかも知れない。
【0043】
次に、本発明の「キープアライブ」態様、すなわち行われる翻訳が決定された後はネットワークにおいて行われるネットワーク・アドレス翻訳が変化しないようにする態様について述べる。ネットワーク・アドレス・トランスレータは、返答パケットのためにマッピングを逆転できるように、アドレス・マッピングに関する情報をキャッシュ・メモリに入れる。TCPが使用される場合、アドレス・トランスレータは、特定のマッピングをドロップできるときを決定するためにTCPヘッダのFINビットを見ることができる。しかし、UDPの場合、流れの明示的な終了の指示がない。そのため、多くのNATは、UDPについてはかなり速く(30秒ほど)マッピングをタイプアウトする。従って、マッピングを維持させることが必要となる。
【0044】
マッピングを維持させるための可能な方法は、アドレス翻訳がキャッシュ・メモリにとどまるのに十分な頻度でキープアライブ・パケットを送ることである。要求される頻度を計算する際には、パケットがネットワークで紛失する可能性を考慮に入れなければならないので、NATがマッピングを忘れるかもしれない推定最短時間内に複数のキープアライブが送られなければならない。適切な頻度は、マッピングがキャッシュに保持されている時間と、ネットワークのパケット損失確率によって決まる。さまざまな状況での最適の頻度は実験によって見つけることができる。
【0045】
キープアライブ・パケットは、キープアライブ・パケットが実際のデータ・パケットと同じように正確に処理されるようにするために、データ・パケット・ヘッダと等しい必要なヘッダ以外には意味のある情報を含む必要はない。キープアライブ・パケットは、これをデータ・パケットではなくキープアライブ・パケットとして識別するインディケータを含むことができる。ただし、意味のあるペイロード情報を含まない全てのパケットはキープアライブ・パケットとして解釈されると決定することもできる。図3において、キープアライブ・パケットの伝送は、図解的にブロック306で示されており、その受信および廃棄は図解的にブロック307で示される。実際のデータ・パケットが十分な頻度で伝送される場合および/または中間装置がそのキャッシュからマッピング情報を削除しそうもない短い時間しか(例えば数秒)接続を有効としない場合、キープアライブ・パケットの使用は、全く必要とされないことが、分かるはずである。キープアライブ・パケットは、双方向に伝送することもできるが、一方向にしか伝送する必要がない。双方向伝送の結果生じる欠点は、不必要なネットワーク・トラフィックが増大することである。本発明は、キープアライブ・パケットが伝送される方向を制限しない。
【0046】
図5は、本発明に従ったネットワーク・アドレス翻訳を通じて安全な通信を行う方法に従ってイニシエータまたはレスポンダとして作用できるネットワーク装置500の単純化されたブロック図である。ネットワーク・インターフェイス501は、ネットワーク装置500を物理的にネットワークに接続する。アドレス管理ブロック502は、正確なネットワーク・アドレス、ポート番号およびその他ネットワーク装置500自体およびその同格物(図には示されていない)の両方に関する重要な公開識別情報を追跡する。IKEブロック503は、キー管理および秘密情報の交換に関係するその他のアクティビティを担当する。暗号化/暗号解読ブロック504は、IKEブロック503が秘密キーを入手した後データの暗号化および解読を実施する。補償ブロック505は、本発明に従って送受されるパケットにおいて許容される変換を補償するために使用される。ブロック504および505のどちらも、キープアライブ・パケットを送受し、廃棄するために使用できる。パケット・アセンブラ/ディセンブラ・ブロック506は、ブロック502から505までと物理的ネットワーク・インターフェイス501との間の中間ブロックである。全てのブロックは、制御ブロック507の監督の下で動作し、制御ブロックは、例えば、ディスプレイ装置(図には示されていない)を通じてユーザに情報を表示しキーボード(図には示されていない)を通じてユーザからコマンドを受けるために、他のブロックとネットワーク装置の残り部分との間の情報のルーティングも制御する。図5のブロックは、マイクロプロセッサの事前にプログラムされた動作手順として実現されることがもっとも有利であり、この実現は、当業者には既知である。本発明を実施するために、図に示される以外の配列も使用することができる。
【0047】
本発明をIKE、およびIKEポートを使用するトンネリングに関連して紹介したが、本発明は異なるパケット・フォーマット化方法、異なるネゴシエーション細部、異なるキー交換プロトコルまたは異なるセキュリティ・プロトコルを使用する他の類似するケースにも応用されることが、分かるはずである。本発明は、適切な特性を有する非IPプロトコルにも応用できる。本発明は、IPv4およびIPv6プロトコルに等しく応用できる。本発明は、また、IPSECおよびIKEプロトコルの将来のバージョンに応用されることも予定している。
【0048】
本発明は単なるアドレス翻訳だけでなくプロトコル翻訳にも応用できることが、分かるはずである。本発明をプロトコル翻訳に適合させることは、本明細書の説明および上に言及され参照により本明細書に組み込まれる同じ出願者の前の特許出願におけるプロトコル翻訳に関する論証を読めば、十分に当業者の能力の及ぶ範囲にあるだろう。
【表1】
Figure 0003793083
【表2】
Figure 0003793083
【表3】
Figure 0003793083
【表4】
Figure 0003793083
【表5】
Figure 0003793083

【図面の簡単な説明】
【図1a】 ホストNATの既知の使用法を示している。
【図1b】 ポートNATの既知の使用法を示している。
【図1c】 パケット交換ネットワークを通じて行われるノード間の既知の通信接続を示している。
【図2a】 本発明において応用可能な特定のベンダIDペイロードを示している。
【図2b】 本発明において応用可能な特定のプライベート・ペイロードを示している。
【図2c】 本発明において応用可能な特定の組み合わせヘッダ構造を示している。
【図3】 本発明の応用に関係する特定の方法のステップを示している。
【図4】 本発明の1つの態様に従ったヘッダ構造の変換を示している。
【図5】 本発明に従った方法を実現するために使用されるネットワーク装置の単純化されたブロック図を示している。

Claims (25)

  1. 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク 184 を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットを安全に通信する方法であって、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、
    記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップと、
    行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して(302)、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
    記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
    ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化を無効にするために、前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して(303)、前記第一のプロトコルに従うパケットにする(304)ステップと、
    を含むことを特徴とする、パケットを安全に通信する方法。
  2. 第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して(302)第二のプロトコルに従うパケットにする前記ステップが、
    ンターネット・プロトコルに従うパケット(401、402)を取り上げるサブステップと、
    IPSECプロトコル・セットに従って前記パケットを処理するサブステップと、
    記処理されたパケットをカプセル化して、ユーザ・データグラム・プロトコルに従うパケット(401’、403、404)にするサブステップと、
    を含むことを特徴とする、請求項1に記載の方法。
  3. 第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して(302)第二のプロトコルに従うパケットにする前記ステップが、
    ンターネット・プロトコルに従うパケットを取り上げるサブステップと、
    IPSECプロトコル・セットに従って前記パケットを処理するステップと、
    記処理されたパケットをカプセル化して、伝送制御プロトコルに従うパケットにするステップと、
    を含むことを特徴とする、請求項1に記載の方法。
  4. 前記方法が、さらに前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送されるパケットにおいて前記第二のプロトコルについてネットワーク・アドレス翻訳を補償するステップを含むことを特徴とする、請求項1に記載の方法。
  5. ネットワーク・アドレス翻訳を補償する前記ステップが、もしあるならば、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットにどのようなネットワーク・アドレス翻訳が行われるかを決定する前記ステップにおいて入手される情報に基づいてアドレス翻訳を行うステップを含むことを特徴とする、請求項4に記載の方法。
  6. ネットワーク・アドレス翻訳を補償する前記ステップが、もしあるならば、さらに、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットにどのようなネットワーク・アドレス翻訳が行われるかを決定する前記ステップにおいて入手される情報に基づいてポート番号翻訳を行うステップを含むことを特徴とする、請求項5に記載の方法。
  7. 前記方法が、さらに、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットに対して行われるネットワーク・アドレス翻訳が同じものであり続けるようにするために、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で周期的にキープアライブ・パケットを伝送する(306、307)ステップを含むことを特徴とする、請求項1に記載の方法。
  8. 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間で安全な通信接続を条件付きでセットアップするための方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、該方法が、
    記第二のコンピュータ装置がある通信方法をサポートするか否かを確認する(201’、201’)ステップであり、該ステップにおいて、もしあるならば、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについてどのようなネットワーク・アドレス翻訳が行われるかが決定され、第一のプロトコルに従うパケットが取り上げられ、カプセル化されて、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにされ、前記第二のプロトコルに従う前記パケットが前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送され、前記第二のプロトコルに従う前記伝送されたパケットがカプセル除去されて、前記第一のプロトコルに従うパケットにされる、ステップと、
    記第二のコンピュータ装置が前記の通信方法をサポートすることを示す確認のステップに応答して、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間の安全な通信接続をセットアップするステップであり、前記通信接続において前記通信方法が採用されるステップと、
    記第二のコンピュータ装置が前記通信方法をサポートしないことを示す確認のステップに応答して、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で前記通信方法の使用を禁止するステップと、
    を含むことを特徴とする、請求項1記載の方法。
  9. 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットをトンネリングするための方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、該方法が、
    全な通信プロトコルに従うパケットを交換することによって前記第一のコンピュータ装置と前記第二のコンピュータ装置の間に双方向トンネリング・モードを確立するステップと、
    一のプロトコルに従うパケットを取り上げ(301)、これを第一のコンピュータ装置においてカプセル化して(302)、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
    記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
    記第二のコンピュータ装置において前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して(303)、前記第一のプロトコルに従うパケットにする(304)ステップと、
    記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われたアドレス翻訳に関する情報を入手するステップと、
    記入手された情報を使って、前記第一のコンピュータ装置と前記第二のコンピュータ装置に確立された双方向トンネリング・モードを修正するステップと、
    を含むことを特徴とする、請求項1記載の方法。
  10. 前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われたアドレス翻訳に関する情報を入手する前記ステップが、
    記第一のコンピュータ装置と前記第二のコンピュータ装置の間でヘッダ部分およびペイロード部分を含むパケットを伝送するサブステップと、
    −前記ヘッダ部分において伝送されるネットワーク・アドレスにどのような変化が生じたか確認するために前記ペイロード部分において伝送されるネットワーク・アドレスを前記ヘッダ部分において伝送されるネットワーク・アドレスと比較するサブステップと、
    を含むことを特徴とする、請求項9に記載の方法。
  11. 前記方法が、さらに、もしあるならば、前記第一のコンピュータと前記第二のコンピュータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻訳が同じものであり続けるようにするために、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間でキープアライブ・パケットを周期的に伝送する(306、307)ステップを含むことを特徴とする、請求項9に記載の方法。
  12. 前記入手された情報を使ってパケットのトンネリング操作を修正する前記ステップが、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻訳を補償するために、パケットのカプセル化(302)前にアドレス翻訳を導入するサブステップを含むことを特徴とする、請求項9に記載の方法。
  13. 前記入手された情報を使ってパケットのトンネリング操作を修正する前記ステップが、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻訳を補償するために、パケットのカプセル除去(303)後にアドレス翻訳を導入するサブステップを含むことを特徴とする、請求項9に記載の方法。
  14. 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットをトンネリングするための方法であり、前記データ伝送ネットワークにおいて、キー管理パケットのために特定のパケット・フォーマットを採用するキー管理接続を備えるセキュリティ・プロトコルが存在し、該方法が、
    −キー管理パケットではないデータ・パケットをキー管理パケットのための前記特定のパケット・フォーマットにカプセル化するステップと、
    記特定のパケット・フォーマットにカプセル化された前記データ・パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
    記第二のコンピュータ装置において、前記特定のパケット・フォーマットにカプセル化された前記データ・パケットを実際のキー管理パケットから区別するステップと、
    記特定のパケット・フォーマットにカプセル化された前記データ・パケットをカプセル除去するステップと、
    を含むことを特徴とする、請求項1記載の方法。
  15. キー管理パケットではないデータ・パケットをカプセル化する前記ステップが、
    −キー管理パケットではないデータ・パケットを、特定のイニシエータ・クッキー・フィールドを定義するインターネット・キー交換プロトコルによって指定されるキー管理パケット・フォーマットにカプセル化するサブステップと、
    −カプセル化されたデータ・パケットの前記イニシエータ・クッキー・フィールドに、前記カプセル化されたパケットがキー管理パケットではなくデータ・パケットであることを指示する値を挿入するサブステップと、
    を含むことを特徴とする、請求項14に記載の方法。
  16. キー管理接続を含むセキュリティ・プロトコルが存在し、前記方法が、
    記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定し、前記セキュリティ・プロトコルに従って前記第一のコンピュータ装置と前記第二のコンピュータ装置の間にキー管理接続を確立し、共に前記第一のコンピュータ装置および前記第二のコンピュータ装置のネットワーク・アドレスを含むヘッダ部分およびペイロード部分を有するインディケータ・パケットを、前記パケットを構成するノードが見るとおりに構成し、前記キー管理接続内で前記インディケータ・パケットを送受し、受信したインディケータ・パケットにおいて前記ヘッダ部分に含まれるアドレスと前記ペイロード部分に含まれるアドレスを比較するステップと、
    記第一のコンピュータ装置と前記第二のコンピュータ装置の間で安全にパケットを通信するために、決定されたネットワーク・アドレス翻訳の発生に関する情報を使用するステップと、
    を含むことを特徴とする、請求項1記載の方法。
  17. 前記セキュリティ・プロトコルが、キー管理接続のための標準ポート番号を決定し、該方法がさらに、前記受信されたインディケータ・パケットにおいてソース・ポート番号をキー管理接続のための前記標準ポート番号と比較するステップを含むことを特徴とする、請求項16に記載の方法。
  18. 送受のためにパケットのトランスポート・モード処理を決定するセキュリティ・プロトコルが確認され、かつ該方法において、高レベル・プロトコル・チェックサムが受信パケットの無欠性をチェックするために決定されており、該方法が、
    記第一のコンピュータ装置において、前記第二のコンピュータ装置に伝送されるパケットのトランスポート・モード処理を行うステップと、
    −前記第二のコンピュータ装置において、前記第一のコンピュータ装置から受信されるパケットのトランスポート・モード処理を行うステップであり、前記トランスポート・モード処理が受信パケットのカプセル除去を含む、ステップと、
    記第二のコンピュータ装置において、ネットワーク・アドレス翻訳によって変化が生じた場合にはこれを補償するためにカプセル除去されたパケットの高レベル・チェックサムをアップデートするステップと、
    を含むことを特徴とする、請求項1記載の方法。
  19. 前記方法において、
    記第一のコンピュータ装置において前記第二のコンピュータに伝送されるパケットのトランスポート・モード処理を行う前記ステップが、IPSECプロトコル・セットにおいて決定されるトランスポート・モード処理を行う形をとり、
    −前記第二のコンピュータ装置において前記第一のコンピュータ装置から受信されるパケットのトランスポート・モード処理を行う前記ステップが、IPSECプロトコル・セットにおいて決定されるトランスポート・モード処理を行う形をとる、
    ことを特徴とする、請求項18に記載の方法。
  20. 前記方法が、さらに、
    記第一のコンピュータ装置において、前記第二のコンピュータ装置に伝送されるパケットのトランスポート・モード処理を行った後に、前記処理済みのパケットをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
    −前記第二のコンピュータ装置において、前記第一のコンピュータ装置から受信されるパケットのトランスポート・モード処理を行う前に、前記第二のプロトコルに従うパケットから受信パケットをカプセル除去して、カプセル除去されたパケットの中の多数のネットワーク・アドレスを、カプセル除去前に受信パケットから得られた対応する数のネットワーク・アドレスと置き換えるステップと、
    を含むことを特徴とする、請求項18に記載の方法。
  21. 高レベル・プロトコル・チェックサムを更新する前記ステップが、トランス・モード処理されたパケットのチェックサムを再計算する形をとることを特徴とする、請求項18に記載の方法。
  22. 前記方法が、さらに、ネットワーク・アドレス翻訳の前後に前記第一および第二のコンピュータ装置のネットワーク・アドレスに関する情報を入手するステップを含み、かつ高レベル・プロトコル・チェックサムを更新する前記ステップが、ネットワーク・アドレス翻訳の前後に前記第一および第二のコンピュータ装置のネットワーク・アドレスに関して入手された前記情報に基づいてチェックサムを増分更新する形をとることを特徴とする、請求項18に記載の方法。
  23. パケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間で特定のアドレス情報と一緒に伝送されるカプセル化された実際のデータ・パケットに対してネットワーク・アドレス翻訳装置が行うアドレス翻訳の不変の形式を維持するための方法であり、該方法が、
    −たとえ前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で通信されるパケットの一部がネットワークにおいて紛失しても、ネットワーク・アドレス翻訳装置が一貫してネットワーク・アドレス翻訳(305)のために使用されるマッピングを再使用するように、前記第一のコンピュータ装置および前記第二のコンピュータ装置のうち少なくとも一方が、十分に高い頻度で実際のデータ・パケットのアドレス情報と同一のアドレス情報と一緒にキープアライブ・パケットを他方のコンピュータ装置に伝送するようにするステップ、
    を含むことを特徴とする、請求項1記載の方法。
  24. 中間コンピュータ装置( 183 187 305 )を備えるパケット交換データ伝送ネットワーク( 184 )を通じて第一のコンピュータ装置( 181 、イニシエータ)から第二のコンピュータ装置( 185 、レスポンダ)にパケットを安全に送信する方法であって、前記コンピュータ装置のうち少なくとも 1 つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、
    前記第一のコンピュータ装置から前記第二のコンピュータ装置に送信されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップと、
    行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ( 301 )、これをカプセル化して( 302 )、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
    前記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
    を備えることを特徴とする、パケットを安全に送信する方法。
  25. 中間コンピュータ装置( 183 187 305 )を備えるパケット交換データ伝送ネットワーク( 184 )を通じて第一のコンピュータ装置( 181 、イニシエータ)から第二のコンピュータ装置( 185 、レスポンダ)にパケットを安全に受信する方法であって、前記コンピュータ装置のうち少なくとも 1 つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、
    前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で送信されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップと、
    ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に受信するステップと、
    −ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化( 302 )を無効にするために、前記第二のプロトコルに従う前記送信されたパケットをカプセル除去して( 303 )、前記第一のプロトコルに従うパケットにする( 304 )ステップと、
    を備えることを特徴とする、パケットを安全に受信する方法。
JP2001504140A 1999-06-15 2000-06-15 トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 Expired - Fee Related JP3793083B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/333,829 US6957346B1 (en) 1999-06-15 1999-06-15 Method and arrangement for providing security through network address translations using tunneling and compensations
US09/333,829 1999-06-15
PCT/FI2000/000537 WO2000078008A1 (en) 1999-06-15 2000-06-15 A method and arrangement for providing security through network address translations using tunneling and compensations

Publications (3)

Publication Number Publication Date
JP2003502913A JP2003502913A (ja) 2003-01-21
JP2003502913A5 JP2003502913A5 (ja) 2005-08-04
JP3793083B2 true JP3793083B2 (ja) 2006-07-05

Family

ID=23304429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001504140A Expired - Fee Related JP3793083B2 (ja) 1999-06-15 2000-06-15 トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置

Country Status (10)

Country Link
US (13) US6957346B1 (ja)
EP (2) EP2254311B1 (ja)
JP (1) JP3793083B2 (ja)
AT (2) ATE523030T1 (ja)
AU (1) AU5225000A (ja)
DE (1) DE60045737D1 (ja)
DK (2) DK1186146T3 (ja)
ES (2) ES2362993T3 (ja)
PT (2) PT1186146E (ja)
WO (1) WO2000078008A1 (ja)

Families Citing this family (135)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107614B1 (en) 1999-01-29 2006-09-12 International Business Machines Corporation System and method for network address translation integration with IP security
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6629163B1 (en) 1999-12-29 2003-09-30 Implicit Networks, Inc. Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
JP3636095B2 (ja) * 2000-05-23 2005-04-06 インターナショナル・ビジネス・マシーンズ・コーポレーション Vpn接続のセキュリティ
US7757272B1 (en) * 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US9444785B2 (en) * 2000-06-23 2016-09-13 Cloudshield Technologies, Inc. Transparent provisioning of network access to an application
WO2002003217A1 (en) * 2000-06-30 2002-01-10 Net2Phone System, method, and computer program product for resolving addressing in a network including a network address translator
JP4365998B2 (ja) * 2000-07-21 2009-11-18 株式会社日立製作所 マルチキャスト通信方法および通信装置
EP1344353B1 (en) * 2000-12-22 2014-11-19 BlackBerry Limited Wireless router system and method
FI20010596A0 (fi) * 2001-03-22 2001-03-22 Ssh Comm Security Oyj Turvallisuusjärjestelmä tietoliikenneverkkoa varten
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US8077679B2 (en) 2001-03-28 2011-12-13 Qualcomm Incorporated Method and apparatus for providing protocol options in a wireless communication system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
US7684317B2 (en) 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7068655B2 (en) 2001-06-14 2006-06-27 Nortel Networks Limited Network address and/or port translation
FI20011547A0 (fi) * 2001-07-13 2001-07-13 Ssh Comm Security Corp Turvallisuusjärjestelmä ja -menetelmä
US7054322B2 (en) * 2001-08-31 2006-05-30 The Boeing Company Mobile communications network using point-to-point protocol over ethernet
US7697523B2 (en) 2001-10-03 2010-04-13 Qualcomm Incorporated Method and apparatus for data packet transport in a wireless communication system using an internet protocol
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
US6996126B2 (en) * 2001-10-09 2006-02-07 Motorola, Inc. Performance improvements for ATM AAL2/5 to IP packet processing
US7649829B2 (en) 2001-10-12 2010-01-19 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
US7139263B2 (en) * 2001-10-19 2006-11-21 Sentito Networks, Inc. Voice over IP architecture
EP1466261B1 (en) * 2002-01-08 2018-03-07 Seven Networks, LLC Connection architecture for a mobile network
US7181612B1 (en) * 2002-01-17 2007-02-20 Cisco Technology, Inc. Facilitating IPsec communications through devices that employ address translation in a telecommunications network
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US7500102B2 (en) * 2002-01-25 2009-03-03 Microsoft Corporation Method and apparatus for fragmenting and reassembling internet key exchange data packets
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7191331B2 (en) * 2002-06-13 2007-03-13 Nvidia Corporation Detection of support for security protocol and address translation integration
US7120930B2 (en) * 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7370197B2 (en) 2002-07-12 2008-05-06 Microsoft Corporation Method and system for authenticating messages
US7305546B1 (en) * 2002-08-29 2007-12-04 Sprint Communications Company L.P. Splicing of TCP/UDP sessions in a firewalled network environment
DE10244710A1 (de) * 2002-09-25 2004-04-08 Siemens Ag Verfahren zur Protokollauswahl für eine Übermittlung von Datennpaketen
US7346770B2 (en) * 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
US7599655B2 (en) 2003-01-02 2009-10-06 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US7536719B2 (en) 2003-01-07 2009-05-19 Microsoft Corporation Method and apparatus for preventing a denial of service attack during key negotiation
US7386881B2 (en) 2003-01-21 2008-06-10 Swander Brian D Method for mapping security associations to clients operating behind a network address translation device
US8261062B2 (en) 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
US7610487B2 (en) * 2003-03-27 2009-10-27 Microsoft Corporation Human input security codes
US7624264B2 (en) * 2003-03-27 2009-11-24 Microsoft Corporation Using time to determine a hash extension
US7409544B2 (en) * 2003-03-27 2008-08-05 Microsoft Corporation Methods and systems for authenticating messages
US8245032B2 (en) * 2003-03-27 2012-08-14 Avaya Inc. Method to authenticate packet payloads
US7577837B1 (en) * 2003-04-17 2009-08-18 Cisco Technology, Inc. Method and apparatus for encrypted unicast group communication
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US8015413B2 (en) * 2003-07-03 2011-09-06 Koninklijke Philips Electronics N.V. Secure indirect addressing
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
JP3783142B2 (ja) * 2003-08-08 2006-06-07 ティー・ティー・ティー株式会社 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
US7734909B1 (en) 2003-09-29 2010-06-08 Avaya Inc. Using voice over IP or instant messaging to connect to customer products
US7441179B2 (en) * 2003-10-23 2008-10-21 Intel Corporation Determining a checksum from packet data
AU2003277691A1 (en) * 2003-11-03 2005-05-19 Immertec Co., Ltd. Udp packet communication method and system for private ip terminals
CN100512278C (zh) * 2003-11-13 2009-07-08 中兴通讯股份有限公司 一种把ipsec嵌入到ip协议栈的方法
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
KR100597405B1 (ko) * 2004-05-28 2006-07-06 삼성전자주식회사 소켓 어플리케이션 프로그램을 이용한 데이터 중계 시스템및 데이터 중계 방법
US7929689B2 (en) 2004-06-30 2011-04-19 Microsoft Corporation Call signs
US7962623B2 (en) * 2004-06-30 2011-06-14 Microsoft Corporation Sustaining session connections
JP4440056B2 (ja) * 2004-09-27 2010-03-24 パナソニック株式会社 情報処理装置、通信処理装置、情報処理システム、情報処理方法、及び通信処理方法
JP4759382B2 (ja) * 2004-12-21 2011-08-31 株式会社リコー 通信機器、通信方法、通信プログラム、及び記録媒体
US8250643B2 (en) * 2005-02-28 2012-08-21 Nec Corporation Communication device, communication system, communication method, and program
CN100414929C (zh) * 2005-03-15 2008-08-27 华为技术有限公司 一种移动互联网协议网络中的报文传送方法
US20060221865A1 (en) * 2005-03-30 2006-10-05 Tellabs Operations, Inc. Method and system for autonomous link discovery and network management connectivity of remote access devices
US8936577B2 (en) 2005-05-02 2015-01-20 Shi Zi Technology, Ltd. Methods and devices for autoflush syringes
US8529517B2 (en) * 2005-05-02 2013-09-10 Shi Zi Technology, Ltd. Autoflush syringe
JP2006324783A (ja) * 2005-05-17 2006-11-30 Nippon Telegr & Teleph Corp <Ntt> 接続情報交換方法および端末装置
CN1870568A (zh) * 2005-05-23 2006-11-29 华为技术有限公司 实现网络地址转换/防火墙穿越的方法
JP4709583B2 (ja) * 2005-05-31 2011-06-22 株式会社東芝 データ送信装置およびデータ送信方法
US7706371B1 (en) * 2005-07-07 2010-04-27 Cisco Technology, Inc. Domain based routing for managing devices operating behind a network address translator
US8731542B2 (en) 2005-08-11 2014-05-20 Seven Networks International Oy Dynamic adjustment of keep-alive message intervals in a mobile network
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
US7599365B1 (en) * 2005-10-12 2009-10-06 2Wire, Inc. System and method for detecting a network packet handling device
JP4489008B2 (ja) * 2005-11-16 2010-06-23 株式会社東芝 通信装置、通信方法および通信プログラム
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US20080276302A1 (en) 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20070183417A1 (en) * 2006-02-09 2007-08-09 Maleport Joel J Data traffic router
US7962652B2 (en) * 2006-02-14 2011-06-14 International Business Machines Corporation Detecting network topology when negotiating IPsec security associations that involve network address translation
US8086842B2 (en) 2006-04-21 2011-12-27 Microsoft Corporation Peer-to-peer contact exchange
US8543808B2 (en) * 2006-08-24 2013-09-24 Microsoft Corporation Trusted intermediary for network data processing
WO2009005879A2 (en) * 2007-04-23 2009-01-08 Law Enforcement Support Agency System and method for remote surveillance
US8179872B2 (en) 2007-05-09 2012-05-15 Research In Motion Limited Wireless router system and method
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
US8477811B2 (en) * 2008-02-02 2013-07-02 Qualcomm Incorporated Radio access network (RAN) level keep alive signaling
US8533465B2 (en) * 2008-03-05 2013-09-10 The Johns Hopkins University System and method of encrypting network address for anonymity and preventing data exfiltration
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US20100058082A1 (en) * 2008-08-27 2010-03-04 Lenovo (Singapore) Ple., Ltd. Maintaining network link during suspend state
US8789202B2 (en) 2008-11-19 2014-07-22 Cupp Computing As Systems and methods for providing real time access monitoring of a removable media device
US9615198B2 (en) 2008-12-04 2017-04-04 Nokia Technologies Oy Proprietary extensions in user plane location protocols
US8750112B2 (en) 2009-03-16 2014-06-10 Echostar Technologies L.L.C. Method and node for employing network connections over a connectionless transport layer protocol
CN102474553B (zh) * 2009-07-31 2015-06-17 Bt美洲股份有限公司 利用智能协议交换的电话通信
KR101563195B1 (ko) 2009-08-18 2015-10-27 삼성전자주식회사 호스트 장치 및 슬레이브 장치 제어 방법
KR101144912B1 (ko) * 2010-08-03 2012-05-17 주식회사 네이블커뮤니케이션즈 트래픽 기반 통신 시스템 및 방법
US9098279B2 (en) * 2010-09-14 2015-08-04 Google Inc. Methods and systems for data interchange between a network-connected thermostat and cloud-based management server
US9046898B2 (en) 2011-02-24 2015-06-02 Google Inc. Power-preserving communications architecture with long-polling persistent cloud channel for wireless network-connected thermostat
TWI469570B (zh) * 2011-04-26 2015-01-11 Realtek Semiconductor Corp 具有遠端喚醒機制之的網路系統與遠端喚醒方法
US9515986B2 (en) * 2011-05-05 2016-12-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing public reachability and related systems and devices
US8806033B1 (en) * 2011-06-30 2014-08-12 Juniper Networks, Inc. Effective network identity pairing
US9699274B2 (en) * 2011-07-25 2017-07-04 Alcatel Lucent Method and apparatus for reliable session migration
US9769116B2 (en) * 2011-09-16 2017-09-19 Wilmerding Communications Llc Encapsulating traffic while preserving packet characteristics
TWI484804B (zh) * 2011-11-09 2015-05-11 Quanta Comp Inc 網路系統之資料管理方法及其相關系統
US8984110B1 (en) * 2012-02-14 2015-03-17 Sonus Networks, Inc. Secure media address learning for endpoints behind NAPT devices
US9008093B2 (en) * 2012-03-12 2015-04-14 Comcast Cable Communications, Llc Stateless protocol translation
WO2013163534A1 (en) 2012-04-27 2013-10-31 President And Fellows Of Harvard College Management of off-task time in a participatory environment
CN103428690B (zh) * 2012-05-23 2016-09-07 华为技术有限公司 无线局域网络的安全建立方法及系统、设备
US20140003322A1 (en) * 2012-06-29 2014-01-02 Alcatel-Lucent Usa Inc. Seamless make-before-break transfer of multicast/broadcast sessions
EP2907043B1 (en) 2012-10-09 2018-09-12 Cupp Computing As Transaction security systems and methods
WO2014066252A1 (en) * 2012-10-22 2014-05-01 Huawei Technologies Co, Ltd. Linked identifiers for multiple domains
US9621685B2 (en) * 2013-04-21 2017-04-11 Oliver Solutions Ltd. Architecture for an access network system management protocol control under heterogeneous network management environment
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
US9661005B2 (en) 2014-01-09 2017-05-23 International Business Machines Corporation Security level and status exchange between TCP/UDP client(s) and server(s) for secure transactions
WO2015123611A2 (en) 2014-02-13 2015-08-20 Cupp Computing As Systems and methods for providing network security using a secure digital device
US11474767B1 (en) * 2014-05-28 2022-10-18 Amazon Technologies, Inc. Print from web services platform to local printer
US9912649B1 (en) * 2015-01-05 2018-03-06 Adtran, Inc. Systems and methods for facilitating communication between an authentication client and an authentication server
US10142229B2 (en) * 2015-03-13 2018-11-27 Oracle International Corporation Concealed datagram-based tunnel for real-time communications
US20180096938A1 (en) * 2016-09-30 2018-04-05 Advanced Micro Devices, Inc. Circuit board with multiple density regions
US10347825B2 (en) * 2017-02-17 2019-07-09 International Business Machines Corporation Selective deposition and nitridization of bottom electrode metal for MRAM applications
US20190097968A1 (en) * 2017-09-28 2019-03-28 Unisys Corporation Scip and ipsec over nat/pat routers
CN107579932B (zh) * 2017-10-25 2020-06-16 北京天融信网络安全技术有限公司 一种数据传输方法、设备和存储介质
US11546304B2 (en) * 2017-11-13 2023-01-03 Intel Corporation Multi-domain message routing with E2E tunnel protection
US11095617B2 (en) 2017-12-04 2021-08-17 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
CN108494549B (zh) * 2018-02-27 2020-10-02 北京赛博兴安科技有限公司 基于fpga的密钥索引协商装置、系统及方法
CN109088878A (zh) * 2018-09-03 2018-12-25 中新网络信息安全股份有限公司 一种抗拒绝云防护系统的报文处理方法
CN109474628B (zh) * 2018-12-27 2021-06-08 奇安信科技集团股份有限公司 一种基于双单向网闸的数据传输方法、系统、设备和介质
US11700241B2 (en) * 2019-02-27 2023-07-11 Sevitech, Llc Isolated data processing modules
CN110519282A (zh) * 2019-08-30 2019-11-29 新华三信息安全技术有限公司 一种报文处理的方法及装置
US11902264B2 (en) * 2020-06-22 2024-02-13 Vmware, Inc. Path selection for data packets encrypted based on an IPSEC protocol
US11792677B2 (en) * 2021-10-22 2023-10-17 Qualcomm Incorporated Reflective quality of service for encapsulating security payload packets
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels

Family Cites Families (165)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870474A (en) * 1995-12-04 1999-02-09 Scientific-Atlanta, Inc. Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers
US5185860A (en) * 1990-05-03 1993-02-09 Hewlett-Packard Company Automatic discovery of network elements
US5251205A (en) * 1990-09-04 1993-10-05 Digital Equipment Corporation Multiple protocol routing
GB9100389D0 (en) * 1991-01-09 1991-02-20 Digital Equipment Corp Method and apparatus for transparently bridging traffic across wide area networks
JP2571655B2 (ja) * 1991-11-27 1997-01-16 インターナショナル・ビジネス・マシーンズ・コーポレイション プロトコル変換機構、交換ネットワーク及びコンピュータ・システム
US6026452A (en) * 1997-02-26 2000-02-15 Pitts; William Michael Network distributed site cache RAM claimed as up/down stream request/reply channel for storing anticipated data and meta data
US5964835A (en) * 1992-12-17 1999-10-12 Tandem Computers Incorporated Storage access validation to data messages using partial storage address data indexed entries containing permissible address range validation for message source
US6157967A (en) * 1992-12-17 2000-12-05 Tandem Computer Incorporated Method of data communication flow control in a data processing system using busy/ready commands
US5751955A (en) * 1992-12-17 1998-05-12 Tandem Computers Incorporated Method of synchronizing a pair of central processor units for duplex, lock-step operation by copying data into a corresponding locations of another memory
US5506847A (en) * 1993-04-26 1996-04-09 Kabushiki Kaisha Toshiba ATM-lan system using broadcast channel for transferring link setting and chaining requests
US5490134A (en) * 1993-06-29 1996-02-06 Southern California Edison Company Versatile communications controller
US5377182A (en) 1993-08-18 1994-12-27 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Non-blocking crossbar permutation engine with constant routing latency
US5544222A (en) * 1993-11-12 1996-08-06 Pacific Communication Sciences, Inc. Cellular digtial packet data mobile data base station
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
CA2198626A1 (en) * 1994-11-17 1996-05-30 Allan Alexander Melnyk Intelligent network testing
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5636213A (en) * 1994-12-28 1997-06-03 Motorola Method, transceiver, and system for providing wireless communication compatible with 10BASE-T Ethernet
US5541918A (en) * 1995-01-31 1996-07-30 Fore Systems, Inc. Method and apparatus for manipulating an ATM cell
US5572528A (en) 1995-03-20 1996-11-05 Novell, Inc. Mobile networking method and apparatus
US5640446A (en) * 1995-05-01 1997-06-17 Mci Corporation System and method of validating special service calls having different signaling protocols
AU6501496A (en) 1995-07-19 1997-02-18 Ascom Nexion Inc. Point-to-multipoint transmission using subqueues
WO1997004665A1 (en) 1995-07-31 1997-02-13 Alta Spinner Australia Pty. Limited Surface moisture removal from food products
US5757924A (en) 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5793763A (en) 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US5815667A (en) * 1995-11-28 1998-09-29 Ncr Corporation Circuits and methods for intelligent acknowledgement based flow control in a processing system network
US8291099B2 (en) * 1996-01-03 2012-10-16 International Business Machines Corporation Protocol conversion using facilities and utilities
US6233623B1 (en) * 1996-01-11 2001-05-15 Cabletron Systems, Inc. Replicated resource management system for managing resources in a distributed application and maintaining a relativistic view of state
WO1997026734A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Transferring encrypted packets over a public network
JP3464358B2 (ja) 1996-01-17 2003-11-10 株式会社東芝 通信制御方法、中継装置およびデータパケット処理装置
JPH09275414A (ja) 1996-04-05 1997-10-21 Hitachi Ltd 通信ネットワークシステム
US6141319A (en) * 1996-04-10 2000-10-31 Nec Usa, Inc. Link based alternative routing scheme for network restoration under failure
WO1997040610A2 (en) 1996-04-24 1997-10-30 Northern Telecom Limited Internet protocol filter
US5923654A (en) 1996-04-25 1999-07-13 Compaq Computer Corp. Network switch that includes a plurality of shared packet buffers
US5826023A (en) * 1996-06-03 1998-10-20 International Business Machines Corporation Communications tunneling
JPH1011369A (ja) * 1996-06-27 1998-01-16 Hitachi Ltd 通信システムおよびホットスタンバイ切替機能を備える情報処理装置
JP3224745B2 (ja) * 1996-07-09 2001-11-05 株式会社日立製作所 高信頼化ネットワークシステム及びサーバ切り替え方法
DE19627778A1 (de) 1996-07-10 1998-01-15 Bayer Ag Arthropodenrepellierende Mittel
US5940394A (en) * 1996-08-08 1999-08-17 At&T Corp Transferring messages in networks made up of subnetworks with different namespaces
US6023563A (en) 1996-08-20 2000-02-08 Shani; Ron Networking switch having the network presence of a bridge
US6701361B1 (en) * 1996-08-22 2004-03-02 Intermec Ip Corp. Enhanced mobility and address resolution in a wireless premises based network
US6463477B1 (en) * 1996-09-27 2002-10-08 Mci Communications Corporation Detection of presence of multiprotocol encapsulation in a data packet
US6751221B1 (en) 1996-10-04 2004-06-15 Kabushiki Kaisha Toshiba Data transmitting node and network inter-connection node suitable for home network environment
US6690669B1 (en) * 1996-11-01 2004-02-10 Hitachi, Ltd. Communicating method between IPv4 terminal and IPv6 terminal and IPv4-IPv6 converting apparatus
CA2218218A1 (en) * 1996-11-08 1998-05-08 At&T Corp. Promiscuous network monitoring utilizing multicasting within a switch
US7274662B1 (en) * 1998-08-04 2007-09-25 At&T Corp. Method for performing segmented resource reservation
US6335927B1 (en) * 1996-11-18 2002-01-01 Mci Communications Corporation System and method for providing requested quality of service in a hybrid network
US7145898B1 (en) * 1996-11-18 2006-12-05 Mci Communications Corporation System, method and article of manufacture for selecting a gateway of a hybrid communication system architecture
US6909708B1 (en) * 1996-11-18 2005-06-21 Mci Communications Corporation System, method and article of manufacture for a communication system architecture including video conferencing
US7161937B1 (en) 1996-12-13 2007-01-09 Intel Corporation Method and apparatus for routing encoded signals through a network
US6304546B1 (en) * 1996-12-19 2001-10-16 Cisco Technology, Inc. End-to-end bidirectional keep-alive using virtual circuits
US6665733B1 (en) * 1996-12-30 2003-12-16 Hewlett-Packard Development Company, L.P. Network communication device including bonded ports for increased bandwidth
US6201789B1 (en) 1996-12-30 2001-03-13 Compaq Computer Corporation Network switch with dynamic backpressure per port
EP0951767A2 (en) 1997-01-03 1999-10-27 Fortress Technologies, Inc. Improved network security device
US6731625B1 (en) * 1997-02-10 2004-05-04 Mci Communications Corporation System, method and article of manufacture for a call back architecture in a hybrid network with support for internet telephony
US6249521B1 (en) 1997-02-14 2001-06-19 Advanced Micro Devices, Inc. Method and apparatus for creating a port vector
US7821926B2 (en) 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US6178505B1 (en) 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6199096B1 (en) * 1997-03-14 2001-03-06 Efusion, Inc. Method and apparatus for synchronizing information browsing among multiple systems
US6212192B1 (en) * 1997-03-14 2001-04-03 Itxc, Inc. Method and apparatus for synchronizing information browsing among multiple systems
JP3430908B2 (ja) 1997-03-27 2003-07-28 富士通株式会社 ネットワーク接続制御システムおよび記憶媒体
US6273622B1 (en) 1997-04-15 2001-08-14 Flash Networks, Ltd. Data communication protocol for maximizing the performance of IP communication links
US6212175B1 (en) * 1997-04-22 2001-04-03 Telxon Corporation Method to sustain TCP connection
US6028862A (en) * 1997-05-08 2000-02-22 3Com Corporation Fast path networking
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6098108A (en) 1997-07-02 2000-08-01 Sitara Networks, Inc. Distributed directory for enhanced network communication
US6278697B1 (en) * 1997-07-29 2001-08-21 Nortel Networks Limited Method and apparatus for processing multi-protocol communications
US6111893A (en) * 1997-07-31 2000-08-29 Cisco Technology, Inc. Universal protocol conversion
US6157641A (en) * 1997-08-22 2000-12-05 Cisco Technology, Inc. Multiprotocol packet recognition and switching
US6324161B1 (en) * 1997-08-27 2001-11-27 Alcatel Usa Sourcing, L.P. Multiple network configuration with local and remote network redundancy by dual media redirect
US6006254A (en) 1997-08-29 1999-12-21 Mitsubishi Electric Information Technology Center America, Inc. System for the reliable, fast, low-latency communication of object state updates over a computer network by combining lossy and lossless communications
JP3641112B2 (ja) 1997-09-05 2005-04-20 株式会社東芝 パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
US6084887A (en) * 1997-09-10 2000-07-04 Alcatel Usa Sourcing. L.P. Signaling protocol conversion system
US6172980B1 (en) * 1997-09-11 2001-01-09 3Com Corporation Multiple protocol support
US6617879B1 (en) * 1997-09-17 2003-09-09 Sony Corporation Transparently partitioned communication bus for multi-port bridge for a local area network
US6751225B1 (en) * 1997-09-17 2004-06-15 Sony Corporation Port within a multi-port bridge including a buffer for storing routing information for data packets received in the port
US6076168A (en) * 1997-10-03 2000-06-13 International Business Machines Corporation Simplified method of configuring internet protocol security tunnels
US5974453A (en) * 1997-10-08 1999-10-26 Intel Corporation Method and apparatus for translating a static identifier including a telephone number into a dynamically assigned network address
US6226680B1 (en) * 1997-10-14 2001-05-01 Alacritech, Inc. Intelligent network interface system method for protocol processing
US6047325A (en) * 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6198751B1 (en) * 1997-11-19 2001-03-06 Cabletron Systems, Inc. Multi-protocol packet translator
US6711166B1 (en) * 1997-12-10 2004-03-23 Radvision Ltd. System and method for packet network trunking
FR2772533B1 (fr) * 1997-12-15 2001-09-28 Inst Nat Rech Inf Automat Dispositif d'interconnexion entre segments de reseaux communiquant selon des protocoles de formats differents, et procede correspondant
US6178160B1 (en) 1997-12-23 2001-01-23 Cisco Technology, Inc. Load balancing of client connections across a network using server based algorithms
US6339595B1 (en) 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
DE19800772C2 (de) * 1998-01-12 2000-04-06 Ericsson Telefon Ab L M Verfahren und Vorrichtung zur Verbindung mit einem Paketaustauschnetz
US6535493B1 (en) * 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
FR2773656B1 (fr) * 1998-01-15 2000-02-11 Alsthom Cge Alcatel Passerelle intelligente entre un point de controle de service, et un reseau de signalisation
AU2331099A (en) * 1998-01-22 1999-08-09 Intelogis, Inc. Method and apparatus for universal data exchange gateway
US6079020A (en) * 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6131163A (en) * 1998-02-17 2000-10-10 Cisco Technology, Inc. Network gateway mechanism having a protocol stack proxy
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6415329B1 (en) * 1998-03-06 2002-07-02 Massachusetts Institute Of Technology Method and apparatus for improving efficiency of TCP/IP protocol over high delay-bandwidth network
WO1999050974A1 (en) * 1998-03-30 1999-10-07 Motorola Inc. Method for routing data in a communication system
US6118785A (en) * 1998-04-07 2000-09-12 3Com Corporation Point-to-point protocol with a signaling channel
US6343083B1 (en) * 1998-04-09 2002-01-29 Alcatel Usa Sourcing, L.P. Method and apparatus for supporting a connectionless communication protocol over an ATM network
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6058431A (en) * 1998-04-23 2000-05-02 Lucent Technologies Remote Access Business Unit System and method for network address translation as an external service in the access server of a service provider
US6154839A (en) * 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6377571B1 (en) * 1998-04-23 2002-04-23 3Com Corporation Virtual modem for dialout clients in virtual private network
US7100020B1 (en) 1998-05-08 2006-08-29 Freescale Semiconductor, Inc. Digital communications processor
US6324178B1 (en) 1998-05-26 2001-11-27 3Com Corporation Method for efficient data transfers between domains of differing data formats
US6556540B1 (en) * 1998-05-29 2003-04-29 Paradyne Corporation System and method for non-intrusive measurement of service quality in a communications network
JP3581251B2 (ja) * 1998-06-16 2004-10-27 株式会社東芝 通信システム、データパケット転送方法、ルータ装置及びパケット中継装置
JP3946873B2 (ja) 1998-06-19 2007-07-18 株式会社日立製作所 ディスクアレイ制御装置
US6418476B1 (en) * 1998-06-29 2002-07-09 Nortel Networks, Limited Method for synchronizing network address translator (NAT) tables using the open shortest path first opaque link state advertisement option protocol
US6829242B2 (en) * 1998-06-30 2004-12-07 Cisco Technology, Inc. Method and apparatus for associating PVC identifiers with domain names of home gateways
US6377577B1 (en) * 1998-06-30 2002-04-23 Cisco Technology, Inc. Access control list processing in hardware
GB9814412D0 (en) * 1998-07-03 1998-09-02 Northern Telecom Ltd Communications method and apparatus
US6360265B1 (en) * 1998-07-08 2002-03-19 Lucent Technologies Inc. Arrangement of delivering internet protocol datagrams for multimedia services to the same server
US6363056B1 (en) * 1998-07-15 2002-03-26 International Business Machines Corporation Low overhead continuous monitoring of network performance
US6519248B1 (en) * 1998-07-24 2003-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Packet data network having distributed database
US6282589B1 (en) * 1998-07-30 2001-08-28 Micron Technology, Inc. System for sharing data buffers from a buffer pool
US6870845B1 (en) * 1998-08-04 2005-03-22 At&T Corp. Method for providing privacy by network address translation
US6757290B1 (en) * 1998-08-04 2004-06-29 At&T Corp. Method for performing gate coordination on a per-call basis
US6694429B1 (en) * 1998-08-04 2004-02-17 At&T Corp. Method for establishing call state information without maintaining state information at gate controllers
US7206397B1 (en) * 1998-08-04 2007-04-17 At&T Corp. Method for allocating network resources
US6324279B1 (en) 1998-08-04 2001-11-27 At&T Corp. Method for exchanging signaling messages in two phases
US6331984B1 (en) * 1998-08-21 2001-12-18 Nortel Networks Limited Method for synchronizing network address translator (NAT) tables using the server cache synchronization protocol
CA2341257A1 (en) * 1998-08-26 2000-03-09 Nortel Networks Limited Non-broadcast, multiple access inverse next hop resolution protocol (innhrp)
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6230191B1 (en) 1998-10-05 2001-05-08 Alcatel Internetworking (Pe), Inc. Method and apparatus for regulating the amount of buffer memory requested by a port in a multi-port switching device with shared buffer memory
US6094437A (en) * 1998-10-09 2000-07-25 Asc - Advanced Switching Communications Layer two tunneling protocol (L2TP) merging and management
US6219706B1 (en) 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6381646B2 (en) * 1998-11-03 2002-04-30 Cisco Technology, Inc. Multiple network connections from a single PPP link with partial network address translation
US6411986B1 (en) * 1998-11-10 2002-06-25 Netscaler, Inc. Internet client-server multiplexer
US6614781B1 (en) * 1998-11-20 2003-09-02 Level 3 Communications, Inc. Voice over data telecommunications network architecture
US6457061B1 (en) 1998-11-24 2002-09-24 Pmc-Sierra Method and apparatus for performing internet network address translation
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) * 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6496505B2 (en) * 1998-12-11 2002-12-17 Lucent Technologies Inc. Packet tunneling optimization to wireless devices accessing packet-based wired networks
US6584122B1 (en) * 1998-12-18 2003-06-24 Integral Access, Inc. Method and system for providing voice and data service
US6327267B1 (en) 1998-12-21 2001-12-04 Ericssoninc Systems and methods for routing a message through a signaling network associated with a public switched telephone network (PSTN), including a method for performing global title routing on an internet protocol (IP) address
US6480891B1 (en) * 1999-01-04 2002-11-12 3Com Corporation Embedded code memory size reduction in asynchronous mode transfer devices
US6724724B1 (en) * 1999-01-21 2004-04-20 Cisco Technology, Inc. System and method for resolving an electronic address
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
FI106593B (fi) 1999-02-15 2001-02-28 Valtion Teknillinen Paluuyhteydetön IP-multicast-palvelu
US6507908B1 (en) 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
US6603762B1 (en) * 1999-03-12 2003-08-05 Lextron Systems, Inc. System for controlling processing of data passing through network gateway between two disparate communications network
US6590861B1 (en) * 1999-03-18 2003-07-08 3Com Corporation Combining virtual local area networks and load balancing with fault tolerance in a high performance protocol
US6512774B1 (en) * 1999-03-18 2003-01-28 3Com Corporation Fail over with multiple network interface cards
US6757250B1 (en) * 1999-04-12 2004-06-29 Mindspeed Technologies, Inc. Methods and apparatus for data communications through packet networks
US6925076B1 (en) * 1999-04-13 2005-08-02 3Com Corporation Method and apparatus for providing a virtual distributed gatekeeper in an H.323 system
US6888818B1 (en) * 1999-04-15 2005-05-03 Share Wave, Inc. Protocol extension scheme for wireless computer networks
US6563824B1 (en) * 1999-04-20 2003-05-13 3Com Corporation Apparatus and methods for determining the correct workstation within a LAN for a LAN modem to route a packet
US6785223B1 (en) * 1999-04-22 2004-08-31 Siemens Information And Communication Networks, Inc. System and method for restarting of signaling entities in H.323-based realtime communication networks
US20050038911A1 (en) * 1999-04-30 2005-02-17 Yoshikuni Watanabe Cooperative system and method therefor
US6515997B1 (en) 1999-05-17 2003-02-04 Ericsson Inc. Method and system for automatic configuration of a gateway translation function
US6760343B1 (en) * 1999-05-20 2004-07-06 Nortel Networks Limited Method and apparatus for providing a virtual SS7 link in a communications system
US6393488B1 (en) * 1999-05-27 2002-05-21 3Com Corporation System and method for supporting internet protocol subnets with network address translators
US6683881B1 (en) * 1999-05-28 2004-01-27 Ericsson Inc. Interface between an SS7 gateway and an IP network
US6965943B1 (en) * 1999-06-05 2005-11-15 Lucent Technologies Inc. End-to-end internet control
US6957346B1 (en) 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6633540B1 (en) * 1999-07-02 2003-10-14 Nokia Internet Communications, Inc. Real-time traffic shaper with keep-alive property for best-effort traffic
US7155740B2 (en) * 2000-07-13 2006-12-26 Lucent Technologies Inc. Method and apparatus for robust NAT interoperation with IPSEC'S IKE and ESP tunnel mode
US20020042875A1 (en) * 2000-10-11 2002-04-11 Jayant Shukla Method and apparatus for end-to-end secure data communication
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7346770B2 (en) * 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
CN101546874B (zh) 2008-03-24 2012-04-04 华为技术有限公司 一种电连接模块、一种总配线架以及总配线架的割接方法

Also Published As

Publication number Publication date
US8973126B2 (en) 2015-03-03
US20140007219A1 (en) 2014-01-02
EP1186146B1 (en) 2011-03-16
US8914872B2 (en) 2014-12-16
ES2369132T3 (es) 2011-11-25
PT1186146E (pt) 2011-06-07
US20130346556A1 (en) 2013-12-26
ATE502468T1 (de) 2011-04-15
US20150271140A1 (en) 2015-09-24
US20130339524A1 (en) 2013-12-19
JP2003502913A (ja) 2003-01-21
US8544079B2 (en) 2013-09-24
EP2254311A1 (en) 2010-11-24
WO2000078008A1 (en) 2000-12-21
US20130346555A1 (en) 2013-12-26
US20160373406A1 (en) 2016-12-22
US6957346B1 (en) 2005-10-18
DE60045737D1 (de) 2011-04-28
US8914873B2 (en) 2014-12-16
US9071578B2 (en) 2015-06-30
US20100318682A1 (en) 2010-12-16
US20060256815A1 (en) 2006-11-16
PT2254311E (pt) 2011-09-29
US20140033296A1 (en) 2014-01-30
US9667594B2 (en) 2017-05-30
US20130347122A1 (en) 2013-12-26
US8127348B2 (en) 2012-02-28
AU5225000A (en) 2001-01-02
US20100138560A1 (en) 2010-06-03
US20110320623A1 (en) 2011-12-29
ES2362993T3 (es) 2011-07-18
US8245288B2 (en) 2012-08-14
EP2254311B1 (en) 2011-08-31
DK2254311T3 (da) 2011-10-03
DK1186146T3 (da) 2011-07-04
US8973127B2 (en) 2015-03-03
US8918858B2 (en) 2014-12-23
EP1186146A1 (en) 2002-03-13
ATE523030T1 (de) 2011-09-15
US8365273B2 (en) 2013-01-29

Similar Documents

Publication Publication Date Title
JP3793083B2 (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
US7657642B2 (en) IP network node and middleware for establishing connectivity to both the IPv4 and IPv6 networks
CA2602778C (en) Preventing duplicate sources from clients served by a network address port translator
Tuexen et al. UDP encapsulation of Stream Control Transmission Protocol (SCTP) packets for end-host to end-host communication
EP1159815B1 (en) Method and system for distributed network address translation with network security features
JP2008536418A (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
Schinazi et al. RFC 9484: Proxying IP in HTTP
Hadi An analytical study for Security in IPv6
Tuexen et al. RFC 6951: UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication
Ollikainen NAT traversal for IPsec
WO2010040420A1 (en) Security parameter index multiplexed network address translation

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060223

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060307

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060406

R150 Certificate of patent or registration of utility model

Ref document number: 3793083

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100414

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100414

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110414

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120414

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130414

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130414

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140414

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees