JP3793083B2 - トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 - Google Patents
トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 Download PDFInfo
- Publication number
- JP3793083B2 JP3793083B2 JP2001504140A JP2001504140A JP3793083B2 JP 3793083 B2 JP3793083 B2 JP 3793083B2 JP 2001504140 A JP2001504140 A JP 2001504140A JP 2001504140 A JP2001504140 A JP 2001504140A JP 3793083 B2 JP3793083 B2 JP 3793083B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- computer device
- protocol
- packets
- address translation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/026—Details of "hello" or keep-alive messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
- H04L61/2553—Binding renewal aspects, e.g. using keep-alive messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2564—NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2575—NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2578—NAT traversal without involvement of the NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/165—Combined use of TCP and UDP protocols; selection criteria therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/663—Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Description
【0001】
本発明は、一般的に言ってパケット交換データ伝送ネットワークにおけるコンピュータ間の安全な通信の分野に関するものである。より明確に言うと、本発明は、ネットワーク・アドレス翻訳またはプロトコル変換を通じて安全な通信をセットアップし維持する分野に関するものである。
〔背景技術〕
【0002】
インターネット技術特別調査委員会(IETF)は、IPSEC(インターネット・プロトコル・セキュリティ)プロトコル・セットを標準化した。この規格は、付属参照文献リストに記載されるリクエスト・フォー・コメンツすなわちRFC文書番号RFC2401、RFC2402、RFC2406、RFC2407、RFC2408およびRFC2409から周知である。IPSECプロトコルは、RFC文書番号RFC791において規定されるIPすなわちインターネット・プロトコルにセキュリティを与える。IPSECは、新規のIPヘッダを生成し、パケットの前に認証ヘッダ(AH)またはカプセル化セキュリティ・ペイロード(ESP)ヘッダを付加することによって、パケット・レベルで認証および暗号化を行う。オリジナルのパケットは、暗号的に認証され、任意に暗号化される。パケットの認証および任意の暗号化に使用される方法は、AHおよびESPヘッダにおいて記憶されるセキュリティ・パラメータ・インデクス(SPI)値によって識別される。RFC文書番号RFC2401は、パケットのトランスポート・モードおよびトンネリングモードを規定している。本発明は、どちらのモードが使用されるかに関わりなく、応用可能である。
【0003】
近年、ネットワーク・アドレス翻訳(NAT)を開始するベンダおよびインターネット・サービス・プロバイダが増えている。NATについて、少なくともRFC文書番号RFC1631並びに付属の参照文献リストにおいてSrisuresh98Terminology、SrisureshEgevang98、Srisuresh98Security、HoldregeSrisuresh99、TYS99、Rekhter99、LoBorella99およびBorellaLo99として明示される文書において言及されている。図1aおよび1bにおいてアドレス翻訳の主要な2つの形式が図解的に示されている。すなわちホストNAT 101およびポートNAT 151である。ホストNAT 101は、入パケット102のIPアドレスを単に翻訳するだけなので、出パケット103は別のIPアドレスを持つ。ポートNAT 151は、入パケット152のTCPおよびUDPポート番号(トラフィック制御プロトコル、ユーザ・データグラム・プロトコル)も処理して、出パケット153においていくつかのIPアドレスを単一のIPアドレスに多重化し、これに応じて、反対方向に向かうパケットについては単一IPアドレスをいくつかのIPアドレスにデマルチプレクスする(図には示されていない)。ポートNATは、特に、家庭内および小さなオフィス環境においては一般的である。NAT装置の入力接続と出力接続の物理的な分離は、図1aおよび1bにおいて図解を明確にするためにのみ示されている。実際には、物理的にNATを接続するために可能な方法は多様にある。
【0004】
アドレス翻訳は、ローカル・ネットワークのエッジにおいて行われることがもっとも多い(すなわち、複数のローカル・プライベート・アドレスともっと少数の大域ルータブル・パブリック・アドレスの間の翻訳)。ポートNATが使用されて、大域ルータブル・アドレスが1つしかないことが、最も多い。ローカル・ネットワーク154は、図1bにおいて図解的に示されている。このような構成は、家庭内および小規模なオフィス市場において非常に一般的になって来ている。一部のインターネット・サービス・プロバイダは、カスタマにプライベート・アドレスを与え始めており、これらのアドレスのために自社のコア・ネットワークにおいてアドレス翻訳を行っている。一般的に言って、ネットワーク・アドレス翻訳は、インターネット技術特別調査委員会内部において例えばNAT作業委員会において広範に詳細に論じられてきた。NAT装置の動作原理は周知であり、無料で入手できるソース・コードのインプリメンテーションを含めて、複数のベンダから多数のインプリメンテーションを市場で入手できる。NATの典型的な動作は、IPアドレスとポートの組み合わせを別のIPアドレスとポートの組み合わせにマッピングするものとして説明できる。マッピングは、1回のネットワーク接続中一定であるが、時間とともに(ゆっくりと)変化するかもしれない。実際には、NATの機能は、ファイヤウォールまたはルータに組み込まれることが多い。
【0005】
図1cは、送信ノード181が(第一のプライベート・ネットワークとしても知られている)第一のローカル・エリア・ネットワーク182に配置され、このネットワークがインターネットなど広域一般パケット交換ネットワーク184に接続するためにポートNAT 183を有するという、実際のネットワーク通信の状況例を示している。広域一般パケット交換ネットワークは、さまざまな方法で相互接続された非常に多数のノードによって構成される。受信ノード185は、同様にNAT 187を通じて広域ネットワークに結合される第二のローカル・エリア・ネットワークに配置される。ネットワーク・セキュリティ・サービスをセットアップするために必要な通信は双方向的なので、「送信ノード」および「受信ノード」という名称は多少誤解を招きやすい。送信ノードは通信を開始するノードである。送信ノードおよび受信ノードの代わりにそれぞれ「イニシエータ」および「レスポンダ」という用語も使用される。
【0006】
図1cの目的は、通信ノードが、それが通信する際に使われる中間装置の数や性質も、また行われる変換の性質も意識しないという事実を強調することにある。NATの他に、インターネット上には、パケットが伝送されるときパケットを合法的に修正するその他のタイプの装置がある。その典型的な例はプロトコル・コンバータであり、その主な仕事は、通常の動作を妨害することなくパケットを異なるプロトコルに変換することである。これを使用すると、NATの場合と非常によく似た問題を引き起こす。かなり単純だが重要な例は、インターネット・プロトコルの異なるバージョンであるIPv4とIPv6の間の変換である。この種のコンバータは、近い将来非常に重要なありふれたものになるだろう。パケットはその伝播中にこの種のいくつかの変換を経て、通信の終点では実際に異なるプロトコルを使用する可能性がある。NATのように、プロトコル変換はルータおよびファイヤウォールで行われることがしばしばある。
【0007】
IPSEC界では、IPSECプロトコルがネットワーク・アドレス翻訳を通すとうまく機能しないことは周知である。この問題については、少なくともHoldregeSrisuresh99およびRekhter99として示される参照文献において論じられている。
【0008】
参照のために本明細書に組み込まれるフィンランド特許出願第974665号および対応PCT出願第FI98/01032号において、当該出願者は、IPSECアドレス翻訳を行うためのある種の方法およびパケットのルートにおいてアドレス変換およびプロトコル変換に対して無反応なパケット認証方法を提示した。さらに、前記出願において、当該出願者は、上記の方法を利用することができる送信ネットワーク装置および受信ネットワーク装置を提示した。しかし、ネットワーク・アドレス翻訳を通じてネットワーク・セキュリティ・サービスを提供する際のいくつかの問題点は、前記の以前の特許出願においては未解決のままである。
米国特許第 57933763 号はNATの原理にしたがってローカルIPアドレスを広域のユニークなIPアドレスに翻訳するシステム及び方法を提供している。インターネットから到来するパケットはアダプティブ・セキュリティ・アルゴリズム (adaptive security algorithm) により選別される。
国際公開 WO-A-98/32065 号は、保護されたクライアントとネットワークとの間にネットワーク・セキュリティ・デバイスがどのように接続されるかを示している。ネットワーク・セキュリティ・デバイスは任意の他のクライアントと暗号キーについて交渉をする。セキュリティ・デバイスはパケットをネットワークに送信する前及びネットワークからパケットを受信後に、クライアントのアドレスとそれ自身のアドレスとの間でアドレス翻訳を行う。
さらなる先行技術は、次の通りである。 DATA COMMUNICATIONS, MCGRAW HILL, NEW YORK , US, Journal Article, Vol. 26, Nr. 16, November 97, pages 55-59, Rodney Thayer: “ Bulletproof IP with authentication and encryption, IPSec adds a layer of armor to IP ” ; IEEE, COMPUTER, Vol. 31, Issue 9, September 1998, pages 43-47, Rolph Oppliger: “ Security at the Internet Layer ” , ISSN: 0018-9162; IETF, Internet Draft, 06.02.98, R.G. Moskowitz: “ Network Address Translation issues with IPsec ” , <URL:http://www.alternic.org/drafts/drafts-m-n/draft-moskowitz-net66-vpn-00.txt>; IETF, Internet Draft, 22.08.97, R.G. Moskowitz: “ Network Address Translation issues with IPsec ” , <URL:http://www.alternic.org/drafts/drafts-m-n/draft-moskowitz-net66-vpn-nat-00.txt>; and IETF, Internet Draft, 04.98, G. Tsirtis: “ AATN Components & Mechanism ” , <URL:http://www.alternic.org/drafts/drafts-t-u/draft-tsirtsis-aatn-mech-00.txt>. これらはパケット・データ・ネットワークにおけるNATの様々な知られた態様と確実な送信を記載している。
〔発明の開示〕
〔発明が解決しようとする課題〕
【0009】
信頼でき有利な方法でネットワーク・アドレス翻訳を通じてネットワーク・セキュリティ・サービスを提供するための方法および対応する装置を提供することが、本発明の目的である。
〔課題を解決するための手段〕
【0010】
従って、本発明の第一の態様に従って、中間コンピュータ装置を備えるパケット交換データ伝送ネットワークを通じて第一のコンピュータ装置と第二のコンピュータ装置の間でパケットを安全に通信するための方法が提供される。この方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行う。この方法は:
第一のコンピュータ装置と第二のコンピュータ装置の間で伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップ;
行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ、これをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップ;
前記第二のプロトコルに従う前記パケットを第一のコンピュータ装置から第二のコンピュータ装置に伝送するステップ;および
ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化を無効にするために、前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して、前記第一のプロトコルに従うパケットにするステップを備えることを特徴とする。
【0011】
本発明の第二の態様に従って、中間コンピュータ装置を備えるパケット交換データ伝送ネットワークを通じて第一のコンピュータ装置から第二のコンピュータ装置に安全にパケットを送信する方法が提供される。この方法は、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行う。この方法は:
第一のコンピュータ装置から第二のコンピュータ装置に伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップ;
行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ、これをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップ;および
前記第二のプロトコルに従う前記パケットを第一のコンピュータ装置から第二のコンピュータ装置に伝送するステップを備えることを特徴とする。
【0012】
本発明の第三の態様に従って、中間コンピュータ装置を備えるパケット交換データ伝送ネットワークを通じて第一のコンピュータ装置から第二のコンピュータ装置にパケットを安全に受信するための方法が提供される。この方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行う。この方法は:
【0013】
第一のコンピュータ装置と第二のコンピュータ装置の間に伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップ;
【0014】
第一のコンピュータ装置から、第二のコンピュータ装置に、ネットワーク・アドレス翻訳をトラバースすることが可能な第二のプロトコルに従うパケットを受信するステップ;および
ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化を無効にするために、前記第二のプロトコルに従う送信されたパケットを、前記第一のプロトコルに従うパケットにカプセル除去するステップを備えることを特徴とする。
〔発明を実施するための最良の形態〕
【0015】
本発明は、新規な発明的方法でUDP、IKEおよびIKE拡張メカニズムを通じてトンネリングするネットワーク・アドレス翻訳の方法をいくつか組み合わせ、これらを拡張して、ネットワーク・アドレス翻訳およびプロトコル変換を通じて安全に通信する方法を提供する。この方法は、完全に自動的でユーザに対してトランスペアレントにすることができる。
【0016】
本発明の応用可能性に関するキーポイントは、本特許出願の優先日においては、一般的に言ってTCP(RFC793において説明されている)およびUDP(RFC768において説明されている)のみがNATに対して機能していることである。なぜなら、実際に使用されるNATのほとんどがポートNATであり、これが大域ルータブルIPアドレスの不足に関してもっとも有益なNATの形式である。しかしながら、本発明は本特許出願の優先日に既知であるUDPおよびTCPの使用に限定されない。一般的に言えば、UDPおよびTCPは、アドレス変換プロセスにおいて別の形式にマッピングされる接続識別情報(すなわちアドレス指定およびポート番号指定)を決定するプロトコルの例であるといえる。他の種類の通信プロトコルおよびアドレス変換が将来出現するものと思われる。
【0017】
本発明のさまざまな態様は下記のことに関連する:
-本発明に従って典型的な安全な通信方法である特定の方法をリモート・ホストがサポートするか否かの決定(「方法のサポート」態様);
-パケットがある場合に、パケットについてどのようなネットワーク・アドレス翻訳および/またはプロトコル変換が行われるかの決定(「翻訳の発生」態様);
-パケットがNATを考察するように、特定の慎重に選択されたプロトコル、典型的にはUDPの内部でのパケットのトンネリング(「選択されたトンネリング」態様);
-関与するNAT装置およびマッピングのためにタイムアウトを使用するその他の装置が通信ホストのためのマッピングを損失しないようにするための、キープアライブ方法の使用(「キープアライブ」態様);
-AHパケットについてメッセージ認証コードを確認する前に行われる翻訳の補償(「補償/認証」態様);および
-複数のホストが単一のパブリック・アドレスにマッピングされることを補償するための、送信ノードまたは受信ノードにおけるアドレス翻訳の実施(「補償/マッピング」態様)。
【0018】
異なる論理ネットワークを通じて伝送するためにデータ・パケットをカプセル化するプロセスは、トンネリングと呼ばれる。一般には、IPプロトコルの場合、トンネリングには、オリジナルのパケットの前に新しいIPヘッダを付加すること、新しいヘッダにおいて適切にプロトコル・フィールドを設定することおよびパケットを目標の宛先(トンネルの終点)に送ること、が含まれる。オリジナルのパケットに関する十分な量の情報がこのプロセスにおいて保存されて、トンネルの終わりのパケットをトンネルの始めのオリジナルのパケットと十分に類似する形式に再構成できる限り、トンネリングは、オリジナルのパケットのヘッダ・フィールドを修正してまたはこれを異なるヘッダと置き換えることによっても、実現することができる。パケットと一緒に送る必要のある情報の正確な量はネットワーク・プロトコルによって左右され、情報は、明示的(トンネリングされるパケットの一部として)でも暗示的(決定されるコンテキストにより、例えば、事前に伝送されるパケットまたはトンネリングされるパケットにおけるコンテキスト識別子により)でも送ることができる。
【0019】
ネットワークを通じてパケットをトンネリングする方法は技術上既知である。少なくともRFC1226、RFC1234、RFC1241、RFC1326、RFC1701、RFC1853、RFC2003、RFC2004、RFC2107、RFC2344、RFC2401、RFC2406、RFC2473およびRFC2529は、トンネリングのテーマを扱っている。例えば、RFC1234は、UDPを通じてIPXフレームをトンネリングする方法を提示している。この方法においては、パケットは、固定UDPポートおよびデキャプスレータのIPアドレスにトンネリングされる。
【0020】
背景説明において言及されたIPSECプロトコルは、一般に通信当事者を相互に認証し、通信当事者のみに既知の共有の秘密を導出し、通信のために使用される認証および暗号化方法を取り決め、通信のために使用されるセキュリティ・パラメータ・インデクス(SPI)値および1組のセレクタについて合意するために、インターネット・キー交換すなわちIKEプロトコル(参照文献RFC2409、RFC2408およびRFC2407から既知)を使用する。IKEプロトコルは、以前はISAKMP/Oakleyとして知られていた。ISAKMPは、インターネット・セキュリティ・アソシエーション・キー管理プロトコルの略である。IKE標準において規定される通常のネゴシエーションの他に、IKEは、拡張のための特定のメカニズムをサポートする。参照文献RFC2408から既知であるベンダIDペイロードは、相手方が特定のプライベート拡張メカニズムをサポートするか否かを通信当事者が決定できるようにする。RFC2407として知られるIPSEC DOI(解釈のドメイン)は、この種のプライベート拡張のために特定の数値を確保する。
【0021】
現在、周知のベンダIDは、図2aに示されるフォーマットを持つものとして定義される。ここで、カラム番号はビット・ポジションに一致する。本発明においては、ベンダIDフィールド201は、ベンダIDペイロードの一番重要な部分である。IKEプロトコルにおいては、リモート・ホストが安全なネットワーク通信を提供するための特定の方法をサポートするか否かのネゴシエーションは次のように行うことができる。ここで使用される用語は、IKEドキュメントから借用したものである。
【0022】
IKEプロトコルは、イニシエータ(すなわち、相手側にパケットを最初に送信するノード)とレスポンダ(すなわちパケットを最初に受信するノード)の間の相互メッセージ交換のいわゆるフェーズ1を決定する。図3は、イニシエータとレスポンダの間の最初のフェーズ1メッセージの交換を図解している。本発明の「方法のサポート」態様に従えば、両方の装置は、特定のフェーズ1メッセージの中に特定のベンダIDペイロードを含み、これがその最初のフェーズ1メッセージであることが、もっとも有利である。このペイロードは、両方の装置が問題の方法をサポートすることを指示する。
【0023】
図3において、イニシエータの最初の(またはその他の)フェーズ1メッセージに含まれるベンダIDフィールドは、図解的に201’として示されており、レスポンダの最初の(またはその他の)フェーズ1メッセージに含まれるベンダIDフィールドは、図解的に201''として示されている。特定の方法のサポートを示すために、ベンダIDペイロードの中のベンダIDフィールドは、基本的にその方法の識別子である。これは、例えば“SSH IPSEC NAT Traversal Version 1”など後端のゼロまたは改行のない以前から既知の識別ストリングのMD5ハッシュであることが、有利である。任意の文字シーケンスのMD5ハッシュの生成は、例えば参照文献リストに記載される刊行物RFC1321から技術上既知である。
【0024】
次に、本発明の「翻訳の発生」態様について説明する。上記のフェーズ1に加えて、IKEプロトコルは、イニシエータとレスポンダの間の相互メッセージ交換のいわゆるフェーズ2を決定する。本発明の「翻訳の発生」態様に従えば、当事者は、特定のフェーズ2クイック・モード・メッセージのプライベート・ペイロードにおいて当事者が見るIPアドレスを含めることにより、どの翻訳が行われるかを決定することができる。フェーズ2クイック・モード・メッセージは最初のフェーズ2クイック・モード・メッセージであることが、有利である。このようなプライベート・ペイロードの使用を表すためにプライベート・ペイロード番号範囲のどのような未使用の番号でも使用することができる(例えば、本特許出願の優先日の時点では未使用の157)。
【0025】
翻訳の発生を明らかにするために使用されるプライベート・ペイロードは、例えば、図2bに示されるフォーマットを持つことができる。フィールド211は、フィールド212および213に示されるアドレスのタイプを識別するタイプ・コードを含んでいる。フィールド212は、メッセージを送るノードが見るとおりのイニシエータのアドレスを含んでおり、フィールド213は、メッセージを送るノードが見るとおりのレスポンダのアドレスを含んでいる。図3は、イニシエータとレスポンダの間の(最初の)フェーズ2クイック・モード・メッセージの交換を示しているので、対応するフィールド211’、212’および213’は前者によって送られるメッセージに含まれており、フィールド211’’、212’’および213’’は後者によって送られるメッセージに含まれている。
【0026】
既知の慣行に従って、イニシエータおよびレスポンダのアドレスは図2bのペイロードを含んでいるパケットのヘッダにも含まれる。ヘッダにおいて、これらのアドレスはアドレス翻訳およびその他の処理の影響を受けるが、プライベート・ペイロードにおいてはこの影響を受けない。図2bのペイロードを含むパケットが受信されると、ペイロードに含まれるアドレスは、パケット・ヘッダに含まれるアドレスと比較される。これが異なる場合、パケットにアドレス翻訳が行われたことになる。後に、本発明の応用と一緒に標準IKEポート番号500の使用について触れる。翻訳の発生を検出する付加的方法として、受信パケットのポート番号を標準IKEポート番号と比較して、ポート翻訳が行われたか否かを決定することができる。
【0027】
アドレスを処理する際にかなり重要な点は、後で使用するためにパケットのUDPソース・ポートを保存できることである。通常であれば、これは、フェーズ1 ISAKMPセキュリティ・アソシエーションのためにデータ構造と一緒に保存され、フェーズ2 IPSECセキュリティ・アソシエーションのために補償処理をセットアップするために使用される。
【0028】
上に説明される方法を本発明の「翻訳の発生」態様を実現するために使用するためには、ホストは、そのフェーズ2識別ペイロードを修正しなければならない。すなわち、図2bに示されるペイロードは、既存の標準においては未知である。1つの可能性は、ペイロードをID_IPV4_ADDRおよびID_IPV6_ADDRタイプに制限することである。これは、ホスト間動作に適するであろう。
【0029】
次に、本発明の「トンネリングの選択」、「補償/認証」および「補償/マッピング」態様について説明する。本発明のこの態様に従えば、実際のデータ・パケットを通信接続のセキュリティ機構をセットアップするために使用されるのと同じ接続、例えばIKEに使用されるUDP接続を通じてトンネリングすることができる。これによって、実際のデータ・パケットは、翻訳が決定されたときIKEパケットが受けたのと同じ翻訳を受けることができる。IKEについて標準ポート番号500が決定されたとすると、これは、全てのパケットが、ソース・ポート500および宛先ポート500で送られることになり、カプセル化されたデータを含んでいるパケットから実IKEパケットを区別するための方法が必要となる。これを行う1つの可能な方法は、実IKEパケットに使用されるIKEヘッダがイニシエータ・クッキー・フィールドを含んでいるという事実を利用することである。すなわち、本発明のこの態様をサポートするイニシエータは決してその最初の4つのバイトが全てゼロであるクッキーを生成しない、と規定することができる。そうすると、該当する4つのバイトにおける値ゼロは、パケットをトンネリングされたデータ・パケットとして認識するために使用される。このようにして、トンネリングされたデータ・パケットは、UPDペイロードの始めに4つのゼロ・バイトを持つが、実IKEパケットはこれを持たない。
【0030】
図4は、伝送のために実際のIPSECパケットをUPDにカプセル化するところを示している。基本的に、UDPヘッダ403および短い中間ヘッダ404は、すでにパケットの中にあるIPヘッダ401の後に挿入されている(プロトコル・フィールドは中間ヘッダにコピーされている)。IPヘッダ401は小修正されて、修正IPヘッダ401’となる。IPペイロード402はそのままである。左側のカプセル化されていないIPSECパケットの単純な図解を誤解してはならない。このパケットは、プレーンテキストではなく、UDPにカプセル化される前に送信ノードにおいてAHまたはESPまたはその他の対応する変換プロトコルに従ってすでに処理されている。
【0031】
一般性を制限することなく、本明細書における提示においては、図4に従ったカプセル化は常にIPSEC処理を行う同じノード(終点ノードかVPN装置)によって行われると、仮定される。また、IPSECパケットをUDPにカプセル化する代わりに、これをTCPにカプセル化できることにも留意しなければならない。この代替方法の場合には、TCPプロトコルにおいて規定されるとおり最初のパケットがSYNビットを持ち最後のパケットがFINビットを持つように、偽(fake)・セッション開始および終了を使用する必要があるだろう。
【0032】
図4に従って実際のデータ・パケットまたは「データグラム」をカプセル化する際、オリジナルのIPヘッダ401(RFC971において定義される)は、下記のとおり修正済みIPヘッダ401’を生成するように修正される:
*IPヘッダのプロトコル・フィールド(別個に図示されていない)は、RFC768に従ってUDPのためのプロトコル17に置き換えられる。
*IPヘッダの全長フィールド(別個に図示されていない)は、UDPおよび中間ヘッダの結合サイズ(合計16バイト)だけ増加される。
*IPヘッダのヘッダ・チェックサム・フィールド(別個に図示されていない)はRFC791に示されるルールに従って再計算される。
【0033】
図4に示されるとおり、UDPヘッダ403(RFC768において定義される)および中間ヘッダは、IPヘッダの後に挿入される。UDPヘッダは8オクテット、中間ヘッダは8オクテットであり、合計で16オクテットである。これらのヘッダは、以下の論証において1つのものとして扱われる。結合ヘッダは、図2cに図解されるフォーマットを持つことが、もっとも有利である。このヘッダのフィールドは、以下のとおりに設定される:
*ソース・ポート・フィールド221は、500(IKEと同じ)に設定される。パケットがNATを経る場合、パケットが受信されるときこれが異なる可能性がある。
*宛先ポート・フィールド222は、相手側がパケットを送っていると思われるポート番号に設定される。パケットがNATを経る場合、受け手は異なるポート番号を見る可能性がある。
*UDP長さフィールド223はUDPヘッダの長さプラスUDPデータ・フィールドの長さである。この場合、このフィールドは、中間ヘッダも含む。値は、バイトで、16プラス、オリジナルのIPパケット・ペイロードとして計算される(オリジナルのIPヘッダは含まず、これはIPヘッダの長さフィールドに含まれる)。
*UDPチェックサム・フィールド224は、0に設定されることが、もっとも有利である。UDPチェックサムは、任意であり、このトンネリング・メカニズムを使ってこれを計算またはチェックしようとは、出願者は考えていない。データの無欠性は、トンネリングされるパケット内のAHまたはESPヘッダによって保護されると想定される。
*マスト・ビー・ゼロ・フィールド225:このフィールドは、事前に合意された固定値を含まなければならず、この値は全てゼロであることが、もっとも有利である。このフィールドは、実際のIKEヘッダにおけるイニシエータ・クッキー・フィールドの最初の4バイトとオーバーラップする。本発明のこの態様をサポートするイニシエータは、最初の4つのバイトがゼロであるクッキーを使用してはならない。このゼロのバイトは、トンネリングされたパケットを実ISAKMPパケットから分離するために使用される。当然、「全てゼロ」以外の他の固定を選択することは可能であるが、値は、この特定の用途について固定されなければならない。
*プロトコル・フィールド226:このフィールドの値は、オリジナルのIPヘッダにおける既知のプロトコル・フィールド(図4には示されていない)からコピーされる。
*予約フィールド227:全てゼロとして送られることが、もっとも有利である。受信時には無視される。
【0034】
送り手は、NATの背景で宛先にトンネリングされるあらゆるパケットにこのヘッダを挿入する。NATが使用されるか否かについての情報は、ポリシー・マネージャにおいてSA(セキュリティ・アソシエーション)ごとに記憶することができる。図4において言及されるカプセル化は、新規の変換としてまたは既知のAHおよびESP変換の一部として実施することができる。
【0035】
カプセル化操作は、IKEネゴシエーション中に決定されるリモート・ホストのIPアドレスおよびUDPポート番号を使用する。
【0036】
受け手は、AHまたはESP処理を行う前にこのカプセル化されたパケットをカプセル除去する。カプセル除去は、このヘッダを取り除いて、IPヘッダのプロトコル・フィールド、長さフィールドおよびチェックサム・フィールドを更新する。構成データ(ポート番号など)はこの操作を必要としない。
【0037】
カプセル除去は、以下のセレクタの全てが合致する場合しか行う必要はない:
*宛先アドレスがこのホストの宛先アドレスであり、
*ソース・アドレスがこのホストがこのトンネリングのために使用する相手として合意したホストのアドレスであり、
*プロトコル・フィールドがUDPを指示しており、
*宛先ポート・フィールドの値が500であり、かつ
*ソース・ポート・フィールド値が、このホストがこのトンネリングを使用する相手として合意したポートを指示している(このトンネリングは複数のソース・アドレスおよびポートのために行われる場合があることに注意すること。その各々が別個のセレクタ・セットによって処理される)。
【0038】
カプセル除去中、受信パケットの中のソース・アドレスを、IKEネゴシエーション中受信される実ソース・アドレスと置き換えることができる。これは、AH MAC確認の補償を実現する。アドレスは、下に説明する事後処理段階において再び変更される。この補償により、標準AHおよびESP変換を無修正で使用することができる。
【0039】
図3において、送信ノードにおけるAH/ESP処理は、図解的にブロック301として示されており、データグラムのUDPへのカプセル化は、図解的にブロック302として示され、データグラムのUDPからのカプセル除去は、図解的にブロック303として示され、受信ノードにおけるAH/ESP処理は、図解的にブロック304として示されている。
【0040】
パケットがAHまたはESPからカプセル除去された後に付加的補償が行われなければならない。この付加的カプセル除去は、アウター・パケットは実際にはNATを経ている(図3においては図解的にブロック305として示される)ので、プレーンテキスト・パケットも同様の変換を経なければならないという事実に関係している。受け手は、NAT装置のアドレスをオリジナルの内部アドレスとしてではなくホストのアドレスとして見なければならない。その代わりに、パケットをAHまたはESPにカプセル化する前に、この補償をパケットの送り手が行うことも可能である。
【0041】
この付加的補償については、さまざまな特殊なケースに関して下記のとおりいくつかの代替方法がある(最良の補償は個々の応用によって異なる):*この処理のためにある範囲ネットワーク・アドレスを割り当てる(例えば、リンク・ローカルにおいて169.254.x.x.の範囲を使用する。実際の値は関係ない。基本的には、単に他の誰も使用していない任意のネットワークが欲しいだけである)。この範囲のあるアドレスが、各<natip、ownip、natport、ownport>組み合わせに割り当てられる。ここで、natipはNATのIPアドレスを意味し、ownipは処理装置自身のIPアドレスを意味し、natportはNATのポート番号を意味し、ownportは処理装置自身のポート番号を意味する。パケットにおけるリモート・アドレスは、パケットがプロトコル・スタックに送られる前にこのアドレスと置き換えられる。
*補償の一部として、ホスト・アドレスまたはポート番号が変更された場合内部ホストのTCPチェックサムを再計算しなければならない。TCPチェックサム計算は、RFC1071から既知のとおりインクリメンタルでもよい。ソース・ポートについてポートNATを行う必要があるかもしれない。
*互換性のないプライベート・アドレス・スペース(オーバーラップの可能性がある)を使用する2つのサイト間でVPNとして使用される場合、アドレスをローカル・アドレスと互換性を持つようにするためにアドレス翻訳を行わなければならない。
*互換性のある(オーバーラップしない)プライベート・アドレス・スペースを使用する2つのサイト間でVPNとして使用され、トンネル・モードが使用される場合、付加的補償は必要ない。
*FTP(RFC959から既知)またはH.323など特定のプロトコル・パケットの内容についてアドレス翻訳を行う必要がある場合がある。他の同様の問題については、HoldregeSrisuresh99として示される参照文献において論じられている。
*サーバでクライアントのためにランダム・アドレスを使用して、このアドレスにアドレス翻訳することも可能である。これにより、サーバが同一のNATの背景で複数のクライアントを区別できるようにすることができ、ローカル・アドレス・スペースの手動構成を避けることができる。
*補償操作は、UDPポート番号を確保するためにローカル・マシンにおいてTCP/IPスタックと対話してもしなくてもよい。
【0042】
一般的に行って、本発明は、インナー・パケットのために使用される方法をアウター・ヘッドのために行われるNATに強要するものではない。この補償を行うための最適の方法は、実験により上記の代替方法の中から見つかるかも知れないし、他の最適の方法が提示されるかも知れない。
【0043】
次に、本発明の「キープアライブ」態様、すなわち行われる翻訳が決定された後はネットワークにおいて行われるネットワーク・アドレス翻訳が変化しないようにする態様について述べる。ネットワーク・アドレス・トランスレータは、返答パケットのためにマッピングを逆転できるように、アドレス・マッピングに関する情報をキャッシュ・メモリに入れる。TCPが使用される場合、アドレス・トランスレータは、特定のマッピングをドロップできるときを決定するためにTCPヘッダのFINビットを見ることができる。しかし、UDPの場合、流れの明示的な終了の指示がない。そのため、多くのNATは、UDPについてはかなり速く(30秒ほど)マッピングをタイプアウトする。従って、マッピングを維持させることが必要となる。
【0044】
マッピングを維持させるための可能な方法は、アドレス翻訳がキャッシュ・メモリにとどまるのに十分な頻度でキープアライブ・パケットを送ることである。要求される頻度を計算する際には、パケットがネットワークで紛失する可能性を考慮に入れなければならないので、NATがマッピングを忘れるかもしれない推定最短時間内に複数のキープアライブが送られなければならない。適切な頻度は、マッピングがキャッシュに保持されている時間と、ネットワークのパケット損失確率によって決まる。さまざまな状況での最適の頻度は実験によって見つけることができる。
【0045】
キープアライブ・パケットは、キープアライブ・パケットが実際のデータ・パケットと同じように正確に処理されるようにするために、データ・パケット・ヘッダと等しい必要なヘッダ以外には意味のある情報を含む必要はない。キープアライブ・パケットは、これをデータ・パケットではなくキープアライブ・パケットとして識別するインディケータを含むことができる。ただし、意味のあるペイロード情報を含まない全てのパケットはキープアライブ・パケットとして解釈されると決定することもできる。図3において、キープアライブ・パケットの伝送は、図解的にブロック306で示されており、その受信および廃棄は図解的にブロック307で示される。実際のデータ・パケットが十分な頻度で伝送される場合および/または中間装置がそのキャッシュからマッピング情報を削除しそうもない短い時間しか(例えば数秒)接続を有効としない場合、キープアライブ・パケットの使用は、全く必要とされないことが、分かるはずである。キープアライブ・パケットは、双方向に伝送することもできるが、一方向にしか伝送する必要がない。双方向伝送の結果生じる欠点は、不必要なネットワーク・トラフィックが増大することである。本発明は、キープアライブ・パケットが伝送される方向を制限しない。
【0046】
図5は、本発明に従ったネットワーク・アドレス翻訳を通じて安全な通信を行う方法に従ってイニシエータまたはレスポンダとして作用できるネットワーク装置500の単純化されたブロック図である。ネットワーク・インターフェイス501は、ネットワーク装置500を物理的にネットワークに接続する。アドレス管理ブロック502は、正確なネットワーク・アドレス、ポート番号およびその他ネットワーク装置500自体およびその同格物(図には示されていない)の両方に関する重要な公開識別情報を追跡する。IKEブロック503は、キー管理および秘密情報の交換に関係するその他のアクティビティを担当する。暗号化/暗号解読ブロック504は、IKEブロック503が秘密キーを入手した後データの暗号化および解読を実施する。補償ブロック505は、本発明に従って送受されるパケットにおいて許容される変換を補償するために使用される。ブロック504および505のどちらも、キープアライブ・パケットを送受し、廃棄するために使用できる。パケット・アセンブラ/ディセンブラ・ブロック506は、ブロック502から505までと物理的ネットワーク・インターフェイス501との間の中間ブロックである。全てのブロックは、制御ブロック507の監督の下で動作し、制御ブロックは、例えば、ディスプレイ装置(図には示されていない)を通じてユーザに情報を表示しキーボード(図には示されていない)を通じてユーザからコマンドを受けるために、他のブロックとネットワーク装置の残り部分との間の情報のルーティングも制御する。図5のブロックは、マイクロプロセッサの事前にプログラムされた動作手順として実現されることがもっとも有利であり、この実現は、当業者には既知である。本発明を実施するために、図に示される以外の配列も使用することができる。
【0047】
本発明をIKE、およびIKEポートを使用するトンネリングに関連して紹介したが、本発明は異なるパケット・フォーマット化方法、異なるネゴシエーション細部、異なるキー交換プロトコルまたは異なるセキュリティ・プロトコルを使用する他の類似するケースにも応用されることが、分かるはずである。本発明は、適切な特性を有する非IPプロトコルにも応用できる。本発明は、IPv4およびIPv6プロトコルに等しく応用できる。本発明は、また、IPSECおよびIKEプロトコルの将来のバージョンに応用されることも予定している。
【0048】
本発明は単なるアドレス翻訳だけでなくプロトコル翻訳にも応用できることが、分かるはずである。本発明をプロトコル翻訳に適合させることは、本明細書の説明および上に言及され参照により本明細書に組み込まれる同じ出願者の前の特許出願におけるプロトコル翻訳に関する論証を読めば、十分に当業者の能力の及ぶ範囲にあるだろう。
【表1】
【表2】
【表3】
【表4】
【表5】
【図面の簡単な説明】
【図1a】 ホストNATの既知の使用法を示している。
【図1b】 ポートNATの既知の使用法を示している。
【図1c】 パケット交換ネットワークを通じて行われるノード間の既知の通信接続を示している。
【図2a】 本発明において応用可能な特定のベンダIDペイロードを示している。
【図2b】 本発明において応用可能な特定のプライベート・ペイロードを示している。
【図2c】 本発明において応用可能な特定の組み合わせヘッダ構造を示している。
【図3】 本発明の応用に関係する特定の方法のステップを示している。
【図4】 本発明の1つの態様に従ったヘッダ構造の変換を示している。
【図5】 本発明に従った方法を実現するために使用されるネットワーク装置の単純化されたブロック図を示している。
Claims (25)
- 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク( 184 )を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットを安全に通信する方法であって、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、
前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップと、
行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して(302)、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
前記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化を無効にするために、前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して(303)、前記第一のプロトコルに従うパケットにする(304)ステップと、
を含むことを特徴とする、パケットを安全に通信する方法。 - 第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して(302)第二のプロトコルに従うパケットにする前記ステップが、
インターネット・プロトコルに従うパケット(401、402)を取り上げるサブステップと、
IPSECプロトコル・セットに従って前記パケットを処理するサブステップと、
前記処理されたパケットをカプセル化して、ユーザ・データグラム・プロトコルに従うパケット(401’、403、404)にするサブステップと、
を含むことを特徴とする、請求項1に記載の方法。 - 第一のプロトコルに従うパケットを取り上げ(301)、これをカプセル化して(302)第二のプロトコルに従うパケットにする前記ステップが、
インターネット・プロトコルに従うパケットを取り上げるサブステップと、
IPSECプロトコル・セットに従って前記パケットを処理するステップと、
前記処理されたパケットをカプセル化して、伝送制御プロトコルに従うパケットにするステップと、
を含むことを特徴とする、請求項1に記載の方法。 - 前記方法が、さらに前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送されるパケットにおいて前記第二のプロトコルについてネットワーク・アドレス翻訳を補償するステップを含むことを特徴とする、請求項1に記載の方法。
- ネットワーク・アドレス翻訳を補償する前記ステップが、もしあるならば、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットにどのようなネットワーク・アドレス翻訳が行われるかを決定する前記ステップにおいて入手される情報に基づいてアドレス翻訳を行うステップを含むことを特徴とする、請求項4に記載の方法。
- ネットワーク・アドレス翻訳を補償する前記ステップが、もしあるならば、さらに、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットにどのようなネットワーク・アドレス翻訳が行われるかを決定する前記ステップにおいて入手される情報に基づいてポート番号翻訳を行うステップを含むことを特徴とする、請求項5に記載の方法。
- 前記方法が、さらに、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットに対して行われるネットワーク・アドレス翻訳が同じものであり続けるようにするために、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で周期的にキープアライブ・パケットを伝送する(306、307)ステップを含むことを特徴とする、請求項1に記載の方法。
- 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間で安全な通信接続を条件付きでセットアップするための方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、該方法が、
前記第二のコンピュータ装置がある通信方法をサポートするか否かを確認する(201’、201’)ステップであり、該ステップにおいて、もしあるならば、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについてどのようなネットワーク・アドレス翻訳が行われるかが決定され、第一のプロトコルに従うパケットが取り上げられ、カプセル化されて、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにされ、前記第二のプロトコルに従う前記パケットが前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送され、前記第二のプロトコルに従う前記伝送されたパケットがカプセル除去されて、前記第一のプロトコルに従うパケットにされる、ステップと、
前記第二のコンピュータ装置が前記の通信方法をサポートすることを示す確認のステップに応答して、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間の安全な通信接続をセットアップするステップであり、前記通信接続において前記通信方法が採用されるステップと、
前記第二のコンピュータ装置が前記通信方法をサポートしないことを示す確認のステップに応答して、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で前記通信方法の使用を禁止するステップと、
を含むことを特徴とする、請求項1記載の方法。 - 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットをトンネリングするための方法において、前記コンピュータ装置のうち少なくとも1つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、該方法が、
安全な通信プロトコルに従うパケットを交換することによって前記第一のコンピュータ装置と前記第二のコンピュータ装置の間に双方向トンネリング・モードを確立するステップと、
第一のプロトコルに従うパケットを取り上げ(301)、これを第一のコンピュータ装置においてカプセル化して(302)、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
前記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
前記第二のコンピュータ装置において前記第二のプロトコルに従う前記伝送されたパケットをカプセル除去して(303)、前記第一のプロトコルに従うパケットにする(304)ステップと、
前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われたアドレス翻訳に関する情報を入手するステップと、
前記入手された情報を使って、前記第一のコンピュータ装置と前記第二のコンピュータ装置に確立された双方向トンネリング・モードを修正するステップと、
を含むことを特徴とする、請求項1記載の方法。 - 前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われたアドレス翻訳に関する情報を入手する前記ステップが、
前記第一のコンピュータ装置と前記第二のコンピュータ装置の間でヘッダ部分およびペイロード部分を含むパケットを伝送するサブステップと、
−前記ヘッダ部分において伝送されるネットワーク・アドレスにどのような変化が生じたか確認するために前記ペイロード部分において伝送されるネットワーク・アドレスを前記ヘッダ部分において伝送されるネットワーク・アドレスと比較するサブステップと、
を含むことを特徴とする、請求項9に記載の方法。 - 前記方法が、さらに、もしあるならば、前記第一のコンピュータと前記第二のコンピュータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻訳が同じものであり続けるようにするために、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間でキープアライブ・パケットを周期的に伝送する(306、307)ステップを含むことを特徴とする、請求項9に記載の方法。
- 前記入手された情報を使ってパケットのトンネリング操作を修正する前記ステップが、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻訳を補償するために、パケットのカプセル化(302)前にアドレス翻訳を導入するサブステップを含むことを特徴とする、請求項9に記載の方法。
- 前記入手された情報を使ってパケットのトンネリング操作を修正する前記ステップが、前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて行われるネットワーク・アドレス翻訳を補償するために、パケットのカプセル除去(303)後にアドレス翻訳を導入するサブステップを含むことを特徴とする、請求項9に記載の方法。
- 中間コンピュータ装置(183、187、305)を備えるパケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間でパケットをトンネリングするための方法であり、前記データ伝送ネットワークにおいて、キー管理パケットのために特定のパケット・フォーマットを採用するキー管理接続を備えるセキュリティ・プロトコルが存在し、該方法が、
−キー管理パケットではないデータ・パケットをキー管理パケットのための前記特定のパケット・フォーマットにカプセル化するステップと、
前記特定のパケット・フォーマットにカプセル化された前記データ・パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
前記第二のコンピュータ装置において、前記特定のパケット・フォーマットにカプセル化された前記データ・パケットを実際のキー管理パケットから区別するステップと、
前記特定のパケット・フォーマットにカプセル化された前記データ・パケットをカプセル除去するステップと、
を含むことを特徴とする、請求項1記載の方法。 - キー管理パケットではないデータ・パケットをカプセル化する前記ステップが、
−キー管理パケットではないデータ・パケットを、特定のイニシエータ・クッキー・フィールドを定義するインターネット・キー交換プロトコルによって指定されるキー管理パケット・フォーマットにカプセル化するサブステップと、
−カプセル化されたデータ・パケットの前記イニシエータ・クッキー・フィールドに、前記カプセル化されたパケットがキー管理パケットではなくデータ・パケットであることを指示する値を挿入するサブステップと、
を含むことを特徴とする、請求項14に記載の方法。 - キー管理接続を含むセキュリティ・プロトコルが存在し、前記方法が、
前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で伝送されるパケットについて、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定し、前記セキュリティ・プロトコルに従って前記第一のコンピュータ装置と前記第二のコンピュータ装置の間にキー管理接続を確立し、共に前記第一のコンピュータ装置および前記第二のコンピュータ装置のネットワーク・アドレスを含むヘッダ部分およびペイロード部分を有するインディケータ・パケットを、前記パケットを構成するノードが見るとおりに構成し、前記キー管理接続内で前記インディケータ・パケットを送受し、受信したインディケータ・パケットにおいて前記ヘッダ部分に含まれるアドレスと前記ペイロード部分に含まれるアドレスを比較するステップと、
前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で安全にパケットを通信するために、決定されたネットワーク・アドレス翻訳の発生に関する情報を使用するステップと、
を含むことを特徴とする、請求項1記載の方法。 - 前記セキュリティ・プロトコルが、キー管理接続のための標準ポート番号を決定し、該方法がさらに、前記受信されたインディケータ・パケットにおいてソース・ポート番号をキー管理接続のための前記標準ポート番号と比較するステップを含むことを特徴とする、請求項16に記載の方法。
- 送受のためにパケットのトランスポート・モード処理を決定するセキュリティ・プロトコルが確認され、かつ該方法において、高レベル・プロトコル・チェックサムが受信パケットの無欠性をチェックするために決定されており、該方法が、
前記第一のコンピュータ装置において、前記第二のコンピュータ装置に伝送されるパケットのトランスポート・モード処理を行うステップと、
−前記第二のコンピュータ装置において、前記第一のコンピュータ装置から受信されるパケットのトランスポート・モード処理を行うステップであり、前記トランスポート・モード処理が受信パケットのカプセル除去を含む、ステップと、
前記第二のコンピュータ装置において、ネットワーク・アドレス翻訳によって変化が生じた場合にはこれを補償するためにカプセル除去されたパケットの高レベル・チェックサムをアップデートするステップと、
を含むことを特徴とする、請求項1記載の方法。 - 前記方法において、
前記第一のコンピュータ装置において前記第二のコンピュータに伝送されるパケットのトランスポート・モード処理を行う前記ステップが、IPSECプロトコル・セットにおいて決定されるトランスポート・モード処理を行う形をとり、
−前記第二のコンピュータ装置において前記第一のコンピュータ装置から受信されるパケットのトランスポート・モード処理を行う前記ステップが、IPSECプロトコル・セットにおいて決定されるトランスポート・モード処理を行う形をとる、
ことを特徴とする、請求項18に記載の方法。 - 前記方法が、さらに、
前記第一のコンピュータ装置において、前記第二のコンピュータ装置に伝送されるパケットのトランスポート・モード処理を行った後に、前記処理済みのパケットをカプセル化して、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
−前記第二のコンピュータ装置において、前記第一のコンピュータ装置から受信されるパケットのトランスポート・モード処理を行う前に、前記第二のプロトコルに従うパケットから受信パケットをカプセル除去して、カプセル除去されたパケットの中の多数のネットワーク・アドレスを、カプセル除去前に受信パケットから得られた対応する数のネットワーク・アドレスと置き換えるステップと、
を含むことを特徴とする、請求項18に記載の方法。 - 高レベル・プロトコル・チェックサムを更新する前記ステップが、トランス・モード処理されたパケットのチェックサムを再計算する形をとることを特徴とする、請求項18に記載の方法。
- 前記方法が、さらに、ネットワーク・アドレス翻訳の前後に前記第一および第二のコンピュータ装置のネットワーク・アドレスに関する情報を入手するステップを含み、かつ高レベル・プロトコル・チェックサムを更新する前記ステップが、ネットワーク・アドレス翻訳の前後に前記第一および第二のコンピュータ装置のネットワーク・アドレスに関して入手された前記情報に基づいてチェックサムを増分更新する形をとることを特徴とする、請求項18に記載の方法。
- パケット交換データ伝送ネットワーク(184)を通じて第一のコンピュータ装置(181、イニシエータ)と第二のコンピュータ装置(185、レスポンダ)の間で特定のアドレス情報と一緒に伝送されるカプセル化された実際のデータ・パケットに対してネットワーク・アドレス翻訳装置が行うアドレス翻訳の不変の形式を維持するための方法であり、該方法が、
−たとえ前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で通信されるパケットの一部がネットワークにおいて紛失しても、ネットワーク・アドレス翻訳装置が一貫してネットワーク・アドレス翻訳(305)のために使用されるマッピングを再使用するように、前記第一のコンピュータ装置および前記第二のコンピュータ装置のうち少なくとも一方が、十分に高い頻度で実際のデータ・パケットのアドレス情報と同一のアドレス情報と一緒にキープアライブ・パケットを他方のコンピュータ装置に伝送するようにするステップ、
を含むことを特徴とする、請求項1記載の方法。 - 中間コンピュータ装置( 183 、 187 、 305 )を備えるパケット交換データ伝送ネットワーク( 184 )を通じて第一のコンピュータ装置( 181 、イニシエータ)から第二のコンピュータ装置( 185 、レスポンダ)にパケットを安全に送信する方法であって、前記コンピュータ装置のうち少なくとも 1 つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、
前記第一のコンピュータ装置から前記第二のコンピュータ装置に送信されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップと、
行われると決定されたネットワーク・アドレス翻訳をトラバース可能にするために、第一のプロトコルに従うパケットを取り上げ( 301 )、これをカプセル化して( 302 )、ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットにするステップと、
前記第二のプロトコルに従う前記パケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に伝送するステップと、
を備えることを特徴とする、パケットを安全に送信する方法。 - 中間コンピュータ装置( 183 、 187 、 305 )を備えるパケット交換データ伝送ネットワーク( 184 )を通じて第一のコンピュータ装置( 181 、イニシエータ)から第二のコンピュータ装置( 185 、レスポンダ)にパケットを安全に受信する方法であって、前記コンピュータ装置のうち少なくとも 1 つがネットワーク・アドレス翻訳および/またはプロトコル変換を行い、当該方法が、
前記第一のコンピュータ装置と前記第二のコンピュータ装置の間で送信されるパケットに、もしあるならば、どのようなネットワーク・アドレス翻訳が行われるかを決定するステップと、
ネットワーク・アドレス翻訳をトラバースできる第二のプロトコルに従うパケットを前記第一のコンピュータ装置から前記第二のコンピュータ装置に受信するステップと、
−ネットワーク・アドレス翻訳のトラバースを可能にするためになされたカプセル化( 302 )を無効にするために、前記第二のプロトコルに従う前記送信されたパケットをカプセル除去して( 303 )、前記第一のプロトコルに従うパケットにする( 304 )ステップと、
を備えることを特徴とする、パケットを安全に受信する方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/333,829 US6957346B1 (en) | 1999-06-15 | 1999-06-15 | Method and arrangement for providing security through network address translations using tunneling and compensations |
US09/333,829 | 1999-06-15 | ||
PCT/FI2000/000537 WO2000078008A1 (en) | 1999-06-15 | 2000-06-15 | A method and arrangement for providing security through network address translations using tunneling and compensations |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2003502913A JP2003502913A (ja) | 2003-01-21 |
JP2003502913A5 JP2003502913A5 (ja) | 2005-08-04 |
JP3793083B2 true JP3793083B2 (ja) | 2006-07-05 |
Family
ID=23304429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001504140A Expired - Fee Related JP3793083B2 (ja) | 1999-06-15 | 2000-06-15 | トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 |
Country Status (10)
Country | Link |
---|---|
US (13) | US6957346B1 (ja) |
EP (2) | EP2254311B1 (ja) |
JP (1) | JP3793083B2 (ja) |
AT (2) | ATE523030T1 (ja) |
AU (1) | AU5225000A (ja) |
DE (1) | DE60045737D1 (ja) |
DK (2) | DK1186146T3 (ja) |
ES (2) | ES2362993T3 (ja) |
PT (2) | PT1186146E (ja) |
WO (1) | WO2000078008A1 (ja) |
Families Citing this family (135)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7107614B1 (en) | 1999-01-29 | 2006-09-12 | International Business Machines Corporation | System and method for network address translation integration with IP security |
US6957346B1 (en) * | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
US6629163B1 (en) | 1999-12-29 | 2003-09-30 | Implicit Networks, Inc. | Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components |
US7058973B1 (en) * | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
JP3636095B2 (ja) * | 2000-05-23 | 2005-04-06 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Vpn接続のセキュリティ |
US7757272B1 (en) * | 2000-06-14 | 2010-07-13 | Verizon Corporate Services Group, Inc. | Method and apparatus for dynamic mapping |
US9444785B2 (en) * | 2000-06-23 | 2016-09-13 | Cloudshield Technologies, Inc. | Transparent provisioning of network access to an application |
WO2002003217A1 (en) * | 2000-06-30 | 2002-01-10 | Net2Phone | System, method, and computer program product for resolving addressing in a network including a network address translator |
JP4365998B2 (ja) * | 2000-07-21 | 2009-11-18 | 株式会社日立製作所 | マルチキャスト通信方法および通信装置 |
EP1344353B1 (en) * | 2000-12-22 | 2014-11-19 | BlackBerry Limited | Wireless router system and method |
FI20010596A0 (fi) * | 2001-03-22 | 2001-03-22 | Ssh Comm Security Oyj | Turvallisuusjärjestelmä tietoliikenneverkkoa varten |
US8121296B2 (en) | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
US8077679B2 (en) | 2001-03-28 | 2011-12-13 | Qualcomm Incorporated | Method and apparatus for providing protocol options in a wireless communication system |
US9100457B2 (en) | 2001-03-28 | 2015-08-04 | Qualcomm Incorporated | Method and apparatus for transmission framing in a wireless communication system |
US7684317B2 (en) | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
US7068655B2 (en) | 2001-06-14 | 2006-06-27 | Nortel Networks Limited | Network address and/or port translation |
FI20011547A0 (fi) * | 2001-07-13 | 2001-07-13 | Ssh Comm Security Corp | Turvallisuusjärjestelmä ja -menetelmä |
US7054322B2 (en) * | 2001-08-31 | 2006-05-30 | The Boeing Company | Mobile communications network using point-to-point protocol over ethernet |
US7697523B2 (en) | 2001-10-03 | 2010-04-13 | Qualcomm Incorporated | Method and apparatus for data packet transport in a wireless communication system using an internet protocol |
US7352868B2 (en) | 2001-10-09 | 2008-04-01 | Philip Hawkes | Method and apparatus for security in a data processing system |
US6996126B2 (en) * | 2001-10-09 | 2006-02-07 | Motorola, Inc. | Performance improvements for ATM AAL2/5 to IP packet processing |
US7649829B2 (en) | 2001-10-12 | 2010-01-19 | Qualcomm Incorporated | Method and system for reduction of decoding complexity in a communication system |
US7139263B2 (en) * | 2001-10-19 | 2006-11-21 | Sentito Networks, Inc. | Voice over IP architecture |
EP1466261B1 (en) * | 2002-01-08 | 2018-03-07 | Seven Networks, LLC | Connection architecture for a mobile network |
US7181612B1 (en) * | 2002-01-17 | 2007-02-20 | Cisco Technology, Inc. | Facilitating IPsec communications through devices that employ address translation in a telecommunications network |
FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
US7500102B2 (en) * | 2002-01-25 | 2009-03-03 | Microsoft Corporation | Method and apparatus for fragmenting and reassembling internet key exchange data packets |
US7558873B1 (en) | 2002-05-08 | 2009-07-07 | Nvidia Corporation | Method for compressed large send |
US7676579B2 (en) * | 2002-05-13 | 2010-03-09 | Sony Computer Entertainment America Inc. | Peer to peer network communication |
US7191331B2 (en) * | 2002-06-13 | 2007-03-13 | Nvidia Corporation | Detection of support for security protocol and address translation integration |
US7120930B2 (en) * | 2002-06-13 | 2006-10-10 | Nvidia Corporation | Method and apparatus for control of security protocol negotiation |
US7143137B2 (en) * | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for security protocol and address translation integration |
US7437548B1 (en) | 2002-07-11 | 2008-10-14 | Nvidia Corporation | Network level protocol negotiation and operation |
US7370197B2 (en) | 2002-07-12 | 2008-05-06 | Microsoft Corporation | Method and system for authenticating messages |
US7305546B1 (en) * | 2002-08-29 | 2007-12-04 | Sprint Communications Company L.P. | Splicing of TCP/UDP sessions in a firewalled network environment |
DE10244710A1 (de) * | 2002-09-25 | 2004-04-08 | Siemens Ag | Verfahren zur Protokollauswahl für eine Übermittlung von Datennpaketen |
US7346770B2 (en) * | 2002-10-31 | 2008-03-18 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
US7599655B2 (en) | 2003-01-02 | 2009-10-06 | Qualcomm Incorporated | Method and apparatus for broadcast services in a communication system |
US7536719B2 (en) | 2003-01-07 | 2009-05-19 | Microsoft Corporation | Method and apparatus for preventing a denial of service attack during key negotiation |
US7386881B2 (en) | 2003-01-21 | 2008-06-10 | Swander Brian D | Method for mapping security associations to clients operating behind a network address translation device |
US8261062B2 (en) | 2003-03-27 | 2012-09-04 | Microsoft Corporation | Non-cryptographic addressing |
US7610487B2 (en) * | 2003-03-27 | 2009-10-27 | Microsoft Corporation | Human input security codes |
US7624264B2 (en) * | 2003-03-27 | 2009-11-24 | Microsoft Corporation | Using time to determine a hash extension |
US7409544B2 (en) * | 2003-03-27 | 2008-08-05 | Microsoft Corporation | Methods and systems for authenticating messages |
US8245032B2 (en) * | 2003-03-27 | 2012-08-14 | Avaya Inc. | Method to authenticate packet payloads |
US7577837B1 (en) * | 2003-04-17 | 2009-08-18 | Cisco Technology, Inc. | Method and apparatus for encrypted unicast group communication |
US7620070B1 (en) | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7913294B1 (en) | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
US8015413B2 (en) * | 2003-07-03 | 2011-09-06 | Koninklijke Philips Electronics N.V. | Secure indirect addressing |
US8098818B2 (en) | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
US8718279B2 (en) | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
JP3783142B2 (ja) * | 2003-08-08 | 2006-06-07 | ティー・ティー・ティー株式会社 | 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム |
US8724803B2 (en) | 2003-09-02 | 2014-05-13 | Qualcomm Incorporated | Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system |
US7734909B1 (en) | 2003-09-29 | 2010-06-08 | Avaya Inc. | Using voice over IP or instant messaging to connect to customer products |
US7441179B2 (en) * | 2003-10-23 | 2008-10-21 | Intel Corporation | Determining a checksum from packet data |
AU2003277691A1 (en) * | 2003-11-03 | 2005-05-19 | Immertec Co., Ltd. | Udp packet communication method and system for private ip terminals |
CN100512278C (zh) * | 2003-11-13 | 2009-07-08 | 中兴通讯股份有限公司 | 一种把ipsec嵌入到ip协议栈的方法 |
US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
KR100597405B1 (ko) * | 2004-05-28 | 2006-07-06 | 삼성전자주식회사 | 소켓 어플리케이션 프로그램을 이용한 데이터 중계 시스템및 데이터 중계 방법 |
US7929689B2 (en) | 2004-06-30 | 2011-04-19 | Microsoft Corporation | Call signs |
US7962623B2 (en) * | 2004-06-30 | 2011-06-14 | Microsoft Corporation | Sustaining session connections |
JP4440056B2 (ja) * | 2004-09-27 | 2010-03-24 | パナソニック株式会社 | 情報処理装置、通信処理装置、情報処理システム、情報処理方法、及び通信処理方法 |
JP4759382B2 (ja) * | 2004-12-21 | 2011-08-31 | 株式会社リコー | 通信機器、通信方法、通信プログラム、及び記録媒体 |
US8250643B2 (en) * | 2005-02-28 | 2012-08-21 | Nec Corporation | Communication device, communication system, communication method, and program |
CN100414929C (zh) * | 2005-03-15 | 2008-08-27 | 华为技术有限公司 | 一种移动互联网协议网络中的报文传送方法 |
US20060221865A1 (en) * | 2005-03-30 | 2006-10-05 | Tellabs Operations, Inc. | Method and system for autonomous link discovery and network management connectivity of remote access devices |
US8936577B2 (en) | 2005-05-02 | 2015-01-20 | Shi Zi Technology, Ltd. | Methods and devices for autoflush syringes |
US8529517B2 (en) * | 2005-05-02 | 2013-09-10 | Shi Zi Technology, Ltd. | Autoflush syringe |
JP2006324783A (ja) * | 2005-05-17 | 2006-11-30 | Nippon Telegr & Teleph Corp <Ntt> | 接続情報交換方法および端末装置 |
CN1870568A (zh) * | 2005-05-23 | 2006-11-29 | 华为技术有限公司 | 实现网络地址转换/防火墙穿越的方法 |
JP4709583B2 (ja) * | 2005-05-31 | 2011-06-22 | 株式会社東芝 | データ送信装置およびデータ送信方法 |
US7706371B1 (en) * | 2005-07-07 | 2010-04-27 | Cisco Technology, Inc. | Domain based routing for managing devices operating behind a network address translator |
US8731542B2 (en) | 2005-08-11 | 2014-05-20 | Seven Networks International Oy | Dynamic adjustment of keep-alive message intervals in a mobile network |
US8250229B2 (en) * | 2005-09-29 | 2012-08-21 | International Business Machines Corporation | Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address |
US7599365B1 (en) * | 2005-10-12 | 2009-10-06 | 2Wire, Inc. | System and method for detecting a network packet handling device |
JP4489008B2 (ja) * | 2005-11-16 | 2010-06-23 | 株式会社東芝 | 通信装置、通信方法および通信プログラム |
US8381297B2 (en) | 2005-12-13 | 2013-02-19 | Yoggie Security Systems Ltd. | System and method for providing network security to mobile devices |
US20080276302A1 (en) | 2005-12-13 | 2008-11-06 | Yoggie Security Systems Ltd. | System and Method for Providing Data and Device Security Between External and Host Devices |
US8869270B2 (en) | 2008-03-26 | 2014-10-21 | Cupp Computing As | System and method for implementing content and network security inside a chip |
US20070183417A1 (en) * | 2006-02-09 | 2007-08-09 | Maleport Joel J | Data traffic router |
US7962652B2 (en) * | 2006-02-14 | 2011-06-14 | International Business Machines Corporation | Detecting network topology when negotiating IPsec security associations that involve network address translation |
US8086842B2 (en) | 2006-04-21 | 2011-12-27 | Microsoft Corporation | Peer-to-peer contact exchange |
US8543808B2 (en) * | 2006-08-24 | 2013-09-24 | Microsoft Corporation | Trusted intermediary for network data processing |
WO2009005879A2 (en) * | 2007-04-23 | 2009-01-08 | Law Enforcement Support Agency | System and method for remote surveillance |
US8179872B2 (en) | 2007-05-09 | 2012-05-15 | Research In Motion Limited | Wireless router system and method |
US8365272B2 (en) | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
US8477811B2 (en) * | 2008-02-02 | 2013-07-02 | Qualcomm Incorporated | Radio access network (RAN) level keep alive signaling |
US8533465B2 (en) * | 2008-03-05 | 2013-09-10 | The Johns Hopkins University | System and method of encrypting network address for anonymity and preventing data exfiltration |
US8631488B2 (en) | 2008-08-04 | 2014-01-14 | Cupp Computing As | Systems and methods for providing security services during power management mode |
US20100058082A1 (en) * | 2008-08-27 | 2010-03-04 | Lenovo (Singapore) Ple., Ltd. | Maintaining network link during suspend state |
US8789202B2 (en) | 2008-11-19 | 2014-07-22 | Cupp Computing As | Systems and methods for providing real time access monitoring of a removable media device |
US9615198B2 (en) | 2008-12-04 | 2017-04-04 | Nokia Technologies Oy | Proprietary extensions in user plane location protocols |
US8750112B2 (en) | 2009-03-16 | 2014-06-10 | Echostar Technologies L.L.C. | Method and node for employing network connections over a connectionless transport layer protocol |
CN102474553B (zh) * | 2009-07-31 | 2015-06-17 | Bt美洲股份有限公司 | 利用智能协议交换的电话通信 |
KR101563195B1 (ko) | 2009-08-18 | 2015-10-27 | 삼성전자주식회사 | 호스트 장치 및 슬레이브 장치 제어 방법 |
KR101144912B1 (ko) * | 2010-08-03 | 2012-05-17 | 주식회사 네이블커뮤니케이션즈 | 트래픽 기반 통신 시스템 및 방법 |
US9098279B2 (en) * | 2010-09-14 | 2015-08-04 | Google Inc. | Methods and systems for data interchange between a network-connected thermostat and cloud-based management server |
US9046898B2 (en) | 2011-02-24 | 2015-06-02 | Google Inc. | Power-preserving communications architecture with long-polling persistent cloud channel for wireless network-connected thermostat |
TWI469570B (zh) * | 2011-04-26 | 2015-01-11 | Realtek Semiconductor Corp | 具有遠端喚醒機制之的網路系統與遠端喚醒方法 |
US9515986B2 (en) * | 2011-05-05 | 2016-12-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods providing public reachability and related systems and devices |
US8806033B1 (en) * | 2011-06-30 | 2014-08-12 | Juniper Networks, Inc. | Effective network identity pairing |
US9699274B2 (en) * | 2011-07-25 | 2017-07-04 | Alcatel Lucent | Method and apparatus for reliable session migration |
US9769116B2 (en) * | 2011-09-16 | 2017-09-19 | Wilmerding Communications Llc | Encapsulating traffic while preserving packet characteristics |
TWI484804B (zh) * | 2011-11-09 | 2015-05-11 | Quanta Comp Inc | 網路系統之資料管理方法及其相關系統 |
US8984110B1 (en) * | 2012-02-14 | 2015-03-17 | Sonus Networks, Inc. | Secure media address learning for endpoints behind NAPT devices |
US9008093B2 (en) * | 2012-03-12 | 2015-04-14 | Comcast Cable Communications, Llc | Stateless protocol translation |
WO2013163534A1 (en) | 2012-04-27 | 2013-10-31 | President And Fellows Of Harvard College | Management of off-task time in a participatory environment |
CN103428690B (zh) * | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
US20140003322A1 (en) * | 2012-06-29 | 2014-01-02 | Alcatel-Lucent Usa Inc. | Seamless make-before-break transfer of multicast/broadcast sessions |
EP2907043B1 (en) | 2012-10-09 | 2018-09-12 | Cupp Computing As | Transaction security systems and methods |
WO2014066252A1 (en) * | 2012-10-22 | 2014-05-01 | Huawei Technologies Co, Ltd. | Linked identifiers for multiple domains |
US9621685B2 (en) * | 2013-04-21 | 2017-04-11 | Oliver Solutions Ltd. | Architecture for an access network system management protocol control under heterogeneous network management environment |
US11157976B2 (en) | 2013-07-08 | 2021-10-26 | Cupp Computing As | Systems and methods for providing digital content marketplace security |
US9661005B2 (en) | 2014-01-09 | 2017-05-23 | International Business Machines Corporation | Security level and status exchange between TCP/UDP client(s) and server(s) for secure transactions |
WO2015123611A2 (en) | 2014-02-13 | 2015-08-20 | Cupp Computing As | Systems and methods for providing network security using a secure digital device |
US11474767B1 (en) * | 2014-05-28 | 2022-10-18 | Amazon Technologies, Inc. | Print from web services platform to local printer |
US9912649B1 (en) * | 2015-01-05 | 2018-03-06 | Adtran, Inc. | Systems and methods for facilitating communication between an authentication client and an authentication server |
US10142229B2 (en) * | 2015-03-13 | 2018-11-27 | Oracle International Corporation | Concealed datagram-based tunnel for real-time communications |
US20180096938A1 (en) * | 2016-09-30 | 2018-04-05 | Advanced Micro Devices, Inc. | Circuit board with multiple density regions |
US10347825B2 (en) * | 2017-02-17 | 2019-07-09 | International Business Machines Corporation | Selective deposition and nitridization of bottom electrode metal for MRAM applications |
US20190097968A1 (en) * | 2017-09-28 | 2019-03-28 | Unisys Corporation | Scip and ipsec over nat/pat routers |
CN107579932B (zh) * | 2017-10-25 | 2020-06-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
US11546304B2 (en) * | 2017-11-13 | 2023-01-03 | Intel Corporation | Multi-domain message routing with E2E tunnel protection |
US11095617B2 (en) | 2017-12-04 | 2021-08-17 | Nicira, Inc. | Scaling gateway to gateway traffic using flow hash |
CN108494549B (zh) * | 2018-02-27 | 2020-10-02 | 北京赛博兴安科技有限公司 | 基于fpga的密钥索引协商装置、系统及方法 |
CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
CN109474628B (zh) * | 2018-12-27 | 2021-06-08 | 奇安信科技集团股份有限公司 | 一种基于双单向网闸的数据传输方法、系统、设备和介质 |
US11700241B2 (en) * | 2019-02-27 | 2023-07-11 | Sevitech, Llc | Isolated data processing modules |
CN110519282A (zh) * | 2019-08-30 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
US11902264B2 (en) * | 2020-06-22 | 2024-02-13 | Vmware, Inc. | Path selection for data packets encrypted based on an IPSEC protocol |
US11792677B2 (en) * | 2021-10-22 | 2023-10-17 | Qualcomm Incorporated | Reflective quality of service for encapsulating security payload packets |
US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
Family Cites Families (165)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5870474A (en) * | 1995-12-04 | 1999-02-09 | Scientific-Atlanta, Inc. | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers |
US5185860A (en) * | 1990-05-03 | 1993-02-09 | Hewlett-Packard Company | Automatic discovery of network elements |
US5251205A (en) * | 1990-09-04 | 1993-10-05 | Digital Equipment Corporation | Multiple protocol routing |
GB9100389D0 (en) * | 1991-01-09 | 1991-02-20 | Digital Equipment Corp | Method and apparatus for transparently bridging traffic across wide area networks |
JP2571655B2 (ja) * | 1991-11-27 | 1997-01-16 | インターナショナル・ビジネス・マシーンズ・コーポレイション | プロトコル変換機構、交換ネットワーク及びコンピュータ・システム |
US6026452A (en) * | 1997-02-26 | 2000-02-15 | Pitts; William Michael | Network distributed site cache RAM claimed as up/down stream request/reply channel for storing anticipated data and meta data |
US5964835A (en) * | 1992-12-17 | 1999-10-12 | Tandem Computers Incorporated | Storage access validation to data messages using partial storage address data indexed entries containing permissible address range validation for message source |
US6157967A (en) * | 1992-12-17 | 2000-12-05 | Tandem Computer Incorporated | Method of data communication flow control in a data processing system using busy/ready commands |
US5751955A (en) * | 1992-12-17 | 1998-05-12 | Tandem Computers Incorporated | Method of synchronizing a pair of central processor units for duplex, lock-step operation by copying data into a corresponding locations of another memory |
US5506847A (en) * | 1993-04-26 | 1996-04-09 | Kabushiki Kaisha Toshiba | ATM-lan system using broadcast channel for transferring link setting and chaining requests |
US5490134A (en) * | 1993-06-29 | 1996-02-06 | Southern California Edison Company | Versatile communications controller |
US5377182A (en) | 1993-08-18 | 1994-12-27 | The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration | Non-blocking crossbar permutation engine with constant routing latency |
US5544222A (en) * | 1993-11-12 | 1996-08-06 | Pacific Communication Sciences, Inc. | Cellular digtial packet data mobile data base station |
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
CA2198626A1 (en) * | 1994-11-17 | 1996-05-30 | Allan Alexander Melnyk | Intelligent network testing |
US5550984A (en) * | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
US5636213A (en) * | 1994-12-28 | 1997-06-03 | Motorola | Method, transceiver, and system for providing wireless communication compatible with 10BASE-T Ethernet |
US5541918A (en) * | 1995-01-31 | 1996-07-30 | Fore Systems, Inc. | Method and apparatus for manipulating an ATM cell |
US5572528A (en) | 1995-03-20 | 1996-11-05 | Novell, Inc. | Mobile networking method and apparatus |
US5640446A (en) * | 1995-05-01 | 1997-06-17 | Mci Corporation | System and method of validating special service calls having different signaling protocols |
AU6501496A (en) | 1995-07-19 | 1997-02-18 | Ascom Nexion Inc. | Point-to-multipoint transmission using subqueues |
WO1997004665A1 (en) | 1995-07-31 | 1997-02-13 | Alta Spinner Australia Pty. Limited | Surface moisture removal from food products |
US5757924A (en) | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
US5793763A (en) | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
US5815667A (en) * | 1995-11-28 | 1998-09-29 | Ncr Corporation | Circuits and methods for intelligent acknowledgement based flow control in a processing system network |
US8291099B2 (en) * | 1996-01-03 | 2012-10-16 | International Business Machines Corporation | Protocol conversion using facilities and utilities |
US6233623B1 (en) * | 1996-01-11 | 2001-05-15 | Cabletron Systems, Inc. | Replicated resource management system for managing resources in a distributed application and maintaining a relativistic view of state |
WO1997026734A1 (en) * | 1996-01-16 | 1997-07-24 | Raptor Systems, Inc. | Transferring encrypted packets over a public network |
JP3464358B2 (ja) | 1996-01-17 | 2003-11-10 | 株式会社東芝 | 通信制御方法、中継装置およびデータパケット処理装置 |
JPH09275414A (ja) | 1996-04-05 | 1997-10-21 | Hitachi Ltd | 通信ネットワークシステム |
US6141319A (en) * | 1996-04-10 | 2000-10-31 | Nec Usa, Inc. | Link based alternative routing scheme for network restoration under failure |
WO1997040610A2 (en) | 1996-04-24 | 1997-10-30 | Northern Telecom Limited | Internet protocol filter |
US5923654A (en) | 1996-04-25 | 1999-07-13 | Compaq Computer Corp. | Network switch that includes a plurality of shared packet buffers |
US5826023A (en) * | 1996-06-03 | 1998-10-20 | International Business Machines Corporation | Communications tunneling |
JPH1011369A (ja) * | 1996-06-27 | 1998-01-16 | Hitachi Ltd | 通信システムおよびホットスタンバイ切替機能を備える情報処理装置 |
JP3224745B2 (ja) * | 1996-07-09 | 2001-11-05 | 株式会社日立製作所 | 高信頼化ネットワークシステム及びサーバ切り替え方法 |
DE19627778A1 (de) | 1996-07-10 | 1998-01-15 | Bayer Ag | Arthropodenrepellierende Mittel |
US5940394A (en) * | 1996-08-08 | 1999-08-17 | At&T Corp | Transferring messages in networks made up of subnetworks with different namespaces |
US6023563A (en) | 1996-08-20 | 2000-02-08 | Shani; Ron | Networking switch having the network presence of a bridge |
US6701361B1 (en) * | 1996-08-22 | 2004-03-02 | Intermec Ip Corp. | Enhanced mobility and address resolution in a wireless premises based network |
US6463477B1 (en) * | 1996-09-27 | 2002-10-08 | Mci Communications Corporation | Detection of presence of multiprotocol encapsulation in a data packet |
US6751221B1 (en) | 1996-10-04 | 2004-06-15 | Kabushiki Kaisha Toshiba | Data transmitting node and network inter-connection node suitable for home network environment |
US6690669B1 (en) * | 1996-11-01 | 2004-02-10 | Hitachi, Ltd. | Communicating method between IPv4 terminal and IPv6 terminal and IPv4-IPv6 converting apparatus |
CA2218218A1 (en) * | 1996-11-08 | 1998-05-08 | At&T Corp. | Promiscuous network monitoring utilizing multicasting within a switch |
US7274662B1 (en) * | 1998-08-04 | 2007-09-25 | At&T Corp. | Method for performing segmented resource reservation |
US6335927B1 (en) * | 1996-11-18 | 2002-01-01 | Mci Communications Corporation | System and method for providing requested quality of service in a hybrid network |
US7145898B1 (en) * | 1996-11-18 | 2006-12-05 | Mci Communications Corporation | System, method and article of manufacture for selecting a gateway of a hybrid communication system architecture |
US6909708B1 (en) * | 1996-11-18 | 2005-06-21 | Mci Communications Corporation | System, method and article of manufacture for a communication system architecture including video conferencing |
US7161937B1 (en) | 1996-12-13 | 2007-01-09 | Intel Corporation | Method and apparatus for routing encoded signals through a network |
US6304546B1 (en) * | 1996-12-19 | 2001-10-16 | Cisco Technology, Inc. | End-to-end bidirectional keep-alive using virtual circuits |
US6665733B1 (en) * | 1996-12-30 | 2003-12-16 | Hewlett-Packard Development Company, L.P. | Network communication device including bonded ports for increased bandwidth |
US6201789B1 (en) | 1996-12-30 | 2001-03-13 | Compaq Computer Corporation | Network switch with dynamic backpressure per port |
EP0951767A2 (en) | 1997-01-03 | 1999-10-27 | Fortress Technologies, Inc. | Improved network security device |
US6731625B1 (en) * | 1997-02-10 | 2004-05-04 | Mci Communications Corporation | System, method and article of manufacture for a call back architecture in a hybrid network with support for internet telephony |
US6249521B1 (en) | 1997-02-14 | 2001-06-19 | Advanced Micro Devices, Inc. | Method and apparatus for creating a port vector |
US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US6178505B1 (en) | 1997-03-10 | 2001-01-23 | Internet Dynamics, Inc. | Secure delivery of information in a network |
US8914410B2 (en) | 1999-02-16 | 2014-12-16 | Sonicwall, Inc. | Query interface to policy server |
US6408336B1 (en) | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
US6199096B1 (en) * | 1997-03-14 | 2001-03-06 | Efusion, Inc. | Method and apparatus for synchronizing information browsing among multiple systems |
US6212192B1 (en) * | 1997-03-14 | 2001-04-03 | Itxc, Inc. | Method and apparatus for synchronizing information browsing among multiple systems |
JP3430908B2 (ja) | 1997-03-27 | 2003-07-28 | 富士通株式会社 | ネットワーク接続制御システムおよび記憶媒体 |
US6273622B1 (en) | 1997-04-15 | 2001-08-14 | Flash Networks, Ltd. | Data communication protocol for maximizing the performance of IP communication links |
US6212175B1 (en) * | 1997-04-22 | 2001-04-03 | Telxon Corporation | Method to sustain TCP connection |
US6028862A (en) * | 1997-05-08 | 2000-02-22 | 3Com Corporation | Fast path networking |
US6173399B1 (en) * | 1997-06-12 | 2001-01-09 | Vpnet Technologies, Inc. | Apparatus for implementing virtual private networks |
US6098108A (en) | 1997-07-02 | 2000-08-01 | Sitara Networks, Inc. | Distributed directory for enhanced network communication |
US6278697B1 (en) * | 1997-07-29 | 2001-08-21 | Nortel Networks Limited | Method and apparatus for processing multi-protocol communications |
US6111893A (en) * | 1997-07-31 | 2000-08-29 | Cisco Technology, Inc. | Universal protocol conversion |
US6157641A (en) * | 1997-08-22 | 2000-12-05 | Cisco Technology, Inc. | Multiprotocol packet recognition and switching |
US6324161B1 (en) * | 1997-08-27 | 2001-11-27 | Alcatel Usa Sourcing, L.P. | Multiple network configuration with local and remote network redundancy by dual media redirect |
US6006254A (en) | 1997-08-29 | 1999-12-21 | Mitsubishi Electric Information Technology Center America, Inc. | System for the reliable, fast, low-latency communication of object state updates over a computer network by combining lossy and lossless communications |
JP3641112B2 (ja) | 1997-09-05 | 2005-04-20 | 株式会社東芝 | パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法 |
US6084887A (en) * | 1997-09-10 | 2000-07-04 | Alcatel Usa Sourcing. L.P. | Signaling protocol conversion system |
US6172980B1 (en) * | 1997-09-11 | 2001-01-09 | 3Com Corporation | Multiple protocol support |
US6617879B1 (en) * | 1997-09-17 | 2003-09-09 | Sony Corporation | Transparently partitioned communication bus for multi-port bridge for a local area network |
US6751225B1 (en) * | 1997-09-17 | 2004-06-15 | Sony Corporation | Port within a multi-port bridge including a buffer for storing routing information for data packets received in the port |
US6076168A (en) * | 1997-10-03 | 2000-06-13 | International Business Machines Corporation | Simplified method of configuring internet protocol security tunnels |
US5974453A (en) * | 1997-10-08 | 1999-10-26 | Intel Corporation | Method and apparatus for translating a static identifier including a telephone number into a dynamically assigned network address |
US6226680B1 (en) * | 1997-10-14 | 2001-05-01 | Alacritech, Inc. | Intelligent network interface system method for protocol processing |
US6047325A (en) * | 1997-10-24 | 2000-04-04 | Jain; Lalit | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks |
US6198751B1 (en) * | 1997-11-19 | 2001-03-06 | Cabletron Systems, Inc. | Multi-protocol packet translator |
US6711166B1 (en) * | 1997-12-10 | 2004-03-23 | Radvision Ltd. | System and method for packet network trunking |
FR2772533B1 (fr) * | 1997-12-15 | 2001-09-28 | Inst Nat Rech Inf Automat | Dispositif d'interconnexion entre segments de reseaux communiquant selon des protocoles de formats differents, et procede correspondant |
US6178160B1 (en) | 1997-12-23 | 2001-01-23 | Cisco Technology, Inc. | Load balancing of client connections across a network using server based algorithms |
US6339595B1 (en) | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
FI105753B (fi) * | 1997-12-31 | 2000-09-29 | Ssh Comm Security Oy | Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa |
DE19800772C2 (de) * | 1998-01-12 | 2000-04-06 | Ericsson Telefon Ab L M | Verfahren und Vorrichtung zur Verbindung mit einem Paketaustauschnetz |
US6535493B1 (en) * | 1998-01-15 | 2003-03-18 | Symbol Technologies, Inc. | Mobile internet communication protocol |
FR2773656B1 (fr) * | 1998-01-15 | 2000-02-11 | Alsthom Cge Alcatel | Passerelle intelligente entre un point de controle de service, et un reseau de signalisation |
AU2331099A (en) * | 1998-01-22 | 1999-08-09 | Intelogis, Inc. | Method and apparatus for universal data exchange gateway |
US6079020A (en) * | 1998-01-27 | 2000-06-20 | Vpnet Technologies, Inc. | Method and apparatus for managing a virtual private network |
US6131163A (en) * | 1998-02-17 | 2000-10-10 | Cisco Technology, Inc. | Network gateway mechanism having a protocol stack proxy |
US7032242B1 (en) * | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
US6353614B1 (en) * | 1998-03-05 | 2002-03-05 | 3Com Corporation | Method and protocol for distributed network address translation |
US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
US6415329B1 (en) * | 1998-03-06 | 2002-07-02 | Massachusetts Institute Of Technology | Method and apparatus for improving efficiency of TCP/IP protocol over high delay-bandwidth network |
WO1999050974A1 (en) * | 1998-03-30 | 1999-10-07 | Motorola Inc. | Method for routing data in a communication system |
US6118785A (en) * | 1998-04-07 | 2000-09-12 | 3Com Corporation | Point-to-point protocol with a signaling channel |
US6343083B1 (en) * | 1998-04-09 | 2002-01-29 | Alcatel Usa Sourcing, L.P. | Method and apparatus for supporting a connectionless communication protocol over an ATM network |
US6226751B1 (en) | 1998-04-17 | 2001-05-01 | Vpnet Technologies, Inc. | Method and apparatus for configuring a virtual private network |
US6058431A (en) * | 1998-04-23 | 2000-05-02 | Lucent Technologies Remote Access Business Unit | System and method for network address translation as an external service in the access server of a service provider |
US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
US6377571B1 (en) * | 1998-04-23 | 2002-04-23 | 3Com Corporation | Virtual modem for dialout clients in virtual private network |
US7100020B1 (en) | 1998-05-08 | 2006-08-29 | Freescale Semiconductor, Inc. | Digital communications processor |
US6324178B1 (en) | 1998-05-26 | 2001-11-27 | 3Com Corporation | Method for efficient data transfers between domains of differing data formats |
US6556540B1 (en) * | 1998-05-29 | 2003-04-29 | Paradyne Corporation | System and method for non-intrusive measurement of service quality in a communications network |
JP3581251B2 (ja) * | 1998-06-16 | 2004-10-27 | 株式会社東芝 | 通信システム、データパケット転送方法、ルータ装置及びパケット中継装置 |
JP3946873B2 (ja) | 1998-06-19 | 2007-07-18 | 株式会社日立製作所 | ディスクアレイ制御装置 |
US6418476B1 (en) * | 1998-06-29 | 2002-07-09 | Nortel Networks, Limited | Method for synchronizing network address translator (NAT) tables using the open shortest path first opaque link state advertisement option protocol |
US6829242B2 (en) * | 1998-06-30 | 2004-12-07 | Cisco Technology, Inc. | Method and apparatus for associating PVC identifiers with domain names of home gateways |
US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
GB9814412D0 (en) * | 1998-07-03 | 1998-09-02 | Northern Telecom Ltd | Communications method and apparatus |
US6360265B1 (en) * | 1998-07-08 | 2002-03-19 | Lucent Technologies Inc. | Arrangement of delivering internet protocol datagrams for multimedia services to the same server |
US6363056B1 (en) * | 1998-07-15 | 2002-03-26 | International Business Machines Corporation | Low overhead continuous monitoring of network performance |
US6519248B1 (en) * | 1998-07-24 | 2003-02-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Packet data network having distributed database |
US6282589B1 (en) * | 1998-07-30 | 2001-08-28 | Micron Technology, Inc. | System for sharing data buffers from a buffer pool |
US6870845B1 (en) * | 1998-08-04 | 2005-03-22 | At&T Corp. | Method for providing privacy by network address translation |
US6757290B1 (en) * | 1998-08-04 | 2004-06-29 | At&T Corp. | Method for performing gate coordination on a per-call basis |
US6694429B1 (en) * | 1998-08-04 | 2004-02-17 | At&T Corp. | Method for establishing call state information without maintaining state information at gate controllers |
US7206397B1 (en) * | 1998-08-04 | 2007-04-17 | At&T Corp. | Method for allocating network resources |
US6324279B1 (en) | 1998-08-04 | 2001-11-27 | At&T Corp. | Method for exchanging signaling messages in two phases |
US6331984B1 (en) * | 1998-08-21 | 2001-12-18 | Nortel Networks Limited | Method for synchronizing network address translator (NAT) tables using the server cache synchronization protocol |
CA2341257A1 (en) * | 1998-08-26 | 2000-03-09 | Nortel Networks Limited | Non-broadcast, multiple access inverse next hop resolution protocol (innhrp) |
US6438612B1 (en) * | 1998-09-11 | 2002-08-20 | Ssh Communications Security, Ltd. | Method and arrangement for secure tunneling of data between virtual routers |
US6230191B1 (en) | 1998-10-05 | 2001-05-08 | Alcatel Internetworking (Pe), Inc. | Method and apparatus for regulating the amount of buffer memory requested by a port in a multi-port switching device with shared buffer memory |
US6094437A (en) * | 1998-10-09 | 2000-07-25 | Asc - Advanced Switching Communications | Layer two tunneling protocol (L2TP) merging and management |
US6219706B1 (en) | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
US6381646B2 (en) * | 1998-11-03 | 2002-04-30 | Cisco Technology, Inc. | Multiple network connections from a single PPP link with partial network address translation |
US6411986B1 (en) * | 1998-11-10 | 2002-06-25 | Netscaler, Inc. | Internet client-server multiplexer |
US6614781B1 (en) * | 1998-11-20 | 2003-09-02 | Level 3 Communications, Inc. | Voice over data telecommunications network architecture |
US6457061B1 (en) | 1998-11-24 | 2002-09-24 | Pmc-Sierra | Method and apparatus for performing internet network address translation |
US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
US7194554B1 (en) * | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
US8266266B2 (en) * | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US6496505B2 (en) * | 1998-12-11 | 2002-12-17 | Lucent Technologies Inc. | Packet tunneling optimization to wireless devices accessing packet-based wired networks |
US6584122B1 (en) * | 1998-12-18 | 2003-06-24 | Integral Access, Inc. | Method and system for providing voice and data service |
US6327267B1 (en) | 1998-12-21 | 2001-12-04 | Ericssoninc | Systems and methods for routing a message through a signaling network associated with a public switched telephone network (PSTN), including a method for performing global title routing on an internet protocol (IP) address |
US6480891B1 (en) * | 1999-01-04 | 2002-11-12 | 3Com Corporation | Embedded code memory size reduction in asynchronous mode transfer devices |
US6724724B1 (en) * | 1999-01-21 | 2004-04-20 | Cisco Technology, Inc. | System and method for resolving an electronic address |
US6330562B1 (en) * | 1999-01-29 | 2001-12-11 | International Business Machines Corporation | System and method for managing security objects |
US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
FI106593B (fi) | 1999-02-15 | 2001-02-28 | Valtion Teknillinen | Paluuyhteydetön IP-multicast-palvelu |
US6507908B1 (en) | 1999-03-04 | 2003-01-14 | Sun Microsystems, Inc. | Secure communication with mobile hosts |
US6603762B1 (en) * | 1999-03-12 | 2003-08-05 | Lextron Systems, Inc. | System for controlling processing of data passing through network gateway between two disparate communications network |
US6590861B1 (en) * | 1999-03-18 | 2003-07-08 | 3Com Corporation | Combining virtual local area networks and load balancing with fault tolerance in a high performance protocol |
US6512774B1 (en) * | 1999-03-18 | 2003-01-28 | 3Com Corporation | Fail over with multiple network interface cards |
US6757250B1 (en) * | 1999-04-12 | 2004-06-29 | Mindspeed Technologies, Inc. | Methods and apparatus for data communications through packet networks |
US6925076B1 (en) * | 1999-04-13 | 2005-08-02 | 3Com Corporation | Method and apparatus for providing a virtual distributed gatekeeper in an H.323 system |
US6888818B1 (en) * | 1999-04-15 | 2005-05-03 | Share Wave, Inc. | Protocol extension scheme for wireless computer networks |
US6563824B1 (en) * | 1999-04-20 | 2003-05-13 | 3Com Corporation | Apparatus and methods for determining the correct workstation within a LAN for a LAN modem to route a packet |
US6785223B1 (en) * | 1999-04-22 | 2004-08-31 | Siemens Information And Communication Networks, Inc. | System and method for restarting of signaling entities in H.323-based realtime communication networks |
US20050038911A1 (en) * | 1999-04-30 | 2005-02-17 | Yoshikuni Watanabe | Cooperative system and method therefor |
US6515997B1 (en) | 1999-05-17 | 2003-02-04 | Ericsson Inc. | Method and system for automatic configuration of a gateway translation function |
US6760343B1 (en) * | 1999-05-20 | 2004-07-06 | Nortel Networks Limited | Method and apparatus for providing a virtual SS7 link in a communications system |
US6393488B1 (en) * | 1999-05-27 | 2002-05-21 | 3Com Corporation | System and method for supporting internet protocol subnets with network address translators |
US6683881B1 (en) * | 1999-05-28 | 2004-01-27 | Ericsson Inc. | Interface between an SS7 gateway and an IP network |
US6965943B1 (en) * | 1999-06-05 | 2005-11-15 | Lucent Technologies Inc. | End-to-end internet control |
US6957346B1 (en) | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
US6633540B1 (en) * | 1999-07-02 | 2003-10-14 | Nokia Internet Communications, Inc. | Real-time traffic shaper with keep-alive property for best-effort traffic |
US7155740B2 (en) * | 2000-07-13 | 2006-12-26 | Lucent Technologies Inc. | Method and apparatus for robust NAT interoperation with IPSEC'S IKE and ESP tunnel mode |
US20020042875A1 (en) * | 2000-10-11 | 2002-04-11 | Jayant Shukla | Method and apparatus for end-to-end secure data communication |
US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
US7346770B2 (en) * | 2002-10-31 | 2008-03-18 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
CN101546874B (zh) | 2008-03-24 | 2012-04-04 | 华为技术有限公司 | 一种电连接模块、一种总配线架以及总配线架的割接方法 |
-
1999
- 1999-06-15 US US09/333,829 patent/US6957346B1/en not_active Expired - Lifetime
-
2000
- 2000-06-15 ES ES00936931T patent/ES2362993T3/es not_active Expired - Lifetime
- 2000-06-15 WO PCT/FI2000/000537 patent/WO2000078008A1/en active Application Filing
- 2000-06-15 AU AU52250/00A patent/AU5225000A/en not_active Abandoned
- 2000-06-15 AT AT10176040T patent/ATE523030T1/de active
- 2000-06-15 DE DE60045737T patent/DE60045737D1/de not_active Expired - Lifetime
- 2000-06-15 ES ES10176040T patent/ES2369132T3/es not_active Expired - Lifetime
- 2000-06-15 AT AT00936931T patent/ATE502468T1/de active
- 2000-06-15 PT PT00936931T patent/PT1186146E/pt unknown
- 2000-06-15 DK DK00936931.5T patent/DK1186146T3/da active
- 2000-06-15 JP JP2001504140A patent/JP3793083B2/ja not_active Expired - Fee Related
- 2000-06-15 EP EP10176040A patent/EP2254311B1/en not_active Expired - Lifetime
- 2000-06-15 EP EP00936931A patent/EP1186146B1/en not_active Expired - Lifetime
- 2000-06-15 PT PT10176040T patent/PT2254311E/pt unknown
- 2000-06-15 DK DK10176040.3T patent/DK2254311T3/da active
-
2005
- 2005-05-12 US US11/128,933 patent/US8127348B2/en not_active Expired - Fee Related
-
2010
- 2010-01-08 US US12/684,571 patent/US8365273B2/en not_active Expired - Fee Related
- 2010-08-24 US US12/862,305 patent/US8544079B2/en not_active Expired - Fee Related
-
2011
- 2011-09-08 US US13/228,271 patent/US8245288B2/en not_active Expired - Fee Related
-
2013
- 2013-08-26 US US13/975,514 patent/US8973127B2/en not_active Expired - Fee Related
- 2013-08-26 US US13/975,451 patent/US8973126B2/en not_active Expired - Fee Related
- 2013-08-26 US US13/975,492 patent/US8914872B2/en not_active Expired - Fee Related
- 2013-08-28 US US14/012,180 patent/US9071578B2/en not_active Expired - Fee Related
- 2013-08-28 US US14/012,130 patent/US8918858B2/en not_active Expired - Fee Related
- 2013-08-28 US US14/012,074 patent/US8914873B2/en not_active Expired - Fee Related
-
2015
- 2015-05-21 US US14/719,148 patent/US20150271140A1/en not_active Abandoned
-
2016
- 2016-09-02 US US15/255,253 patent/US9667594B2/en not_active Expired - Fee Related
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3793083B2 (ja) | トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 | |
US7657642B2 (en) | IP network node and middleware for establishing connectivity to both the IPv4 and IPv6 networks | |
CA2602778C (en) | Preventing duplicate sources from clients served by a network address port translator | |
Tuexen et al. | UDP encapsulation of Stream Control Transmission Protocol (SCTP) packets for end-host to end-host communication | |
EP1159815B1 (en) | Method and system for distributed network address translation with network security features | |
JP2008536418A (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
Schinazi et al. | RFC 9484: Proxying IP in HTTP | |
Hadi | An analytical study for Security in IPv6 | |
Tuexen et al. | RFC 6951: UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication | |
Ollikainen | NAT traversal for IPsec | |
WO2010040420A1 (en) | Security parameter index multiplexed network address translation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060223 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060307 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060406 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3793083 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100414 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100414 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110414 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120414 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130414 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130414 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140414 Year of fee payment: 8 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |