JP4634687B2 - ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ - Google Patents

ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ Download PDF

Info

Publication number
JP4634687B2
JP4634687B2 JP2001565007A JP2001565007A JP4634687B2 JP 4634687 B2 JP4634687 B2 JP 4634687B2 JP 2001565007 A JP2001565007 A JP 2001565007A JP 2001565007 A JP2001565007 A JP 2001565007A JP 4634687 B2 JP4634687 B2 JP 4634687B2
Authority
JP
Japan
Prior art keywords
address
datagram
local
spi
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001565007A
Other languages
English (en)
Other versions
JP2003526270A5 (ja
JP2003526270A (ja
Inventor
ダニエル イズラエル サルタン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2003526270A publication Critical patent/JP2003526270A/ja
Publication of JP2003526270A5 publication Critical patent/JP2003526270A5/ja
Application granted granted Critical
Publication of JP4634687B2 publication Critical patent/JP4634687B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
〈発明の属する技術分野〉
TCP/IPを用いたバーチャルプライベートネットワーキング(VPN)は、インターネットを通信の媒体として用いることにより、離れた演算サイト間での、安全で高速の通信を可能にする。インターネットを横断してサイト間を通過する情報は、好ましくない盗聴者や、悪質なハッカーによる妨害に対して、種々のセキュリティ手段により守られるのが望ましい。効果的なセキュリティ手段は、少なくとも、次のような保護の内の何れか、または全てを保証する連携した機能でなければならない。上記の保護としては、不注意又は通過途中でのデータの悪質な修正に対抗できるデータの完全性、反反復手段によりサービス妨害攻撃の回避、ソース認証、通過時のソースアドレスと他のヘッダ情報の信頼性、好ましくない妨害に対するパケットペイロードプロテクションの保護などがある。インターネットの安全を与える一つの標準的なモデルは、インターネットプロトコルセキュリティであるIPSecである。IPSecは、TCP/IP通信プロトコルと協働し、インターネットに接続されている機器間、又はそれ自体がインターネットに接続されている私的なLAN(ローカルエリアネットワーク)に接続されている機器間の安全な通信を提供する。
【0002】
〈従来の技術〉
TCP/IP(Transmission Control Protocol/Internet Protocol)プロトコルは、ネットワーク上の各機器を識別するためにIPアドレスを使用する。グローバルIPアドレスは、インターネット上の一つの機器を一意に識別する。そのような機器としては、コンピュータ、プリンタ、ルータ、スイッチ、ゲートウェイ、又は他のネットワーク機器を挙げることができる。グローバルIPアドレスを有する機器は、インターネット上でソース又は宛先として直接参照することができる。しかしながら、TCP/IP通信プロトコルは、専らインターネットに限定されたものではなく、私的なLANにも同様に使用される。TCP/IPを用いる私的なLANは、しばしば「ローカル」なIPアドレスをネットワーク機器に使用する。私的なLAN上の二つの機器が、同じローカルIPアドレスを共有することはないが、私的LANはインターネットから隔離されており、LAN上のローカル機器はインターネットから不可視である。従って、ローカル機器のIPアドレスは、「グローバル」に唯一のものである必要がない。ローカルIPアドレスを用いているLANは、ゲートウェイを通してインターネットに接続される。ゲートウェイは、LANとインターネットとの間でメッセージにフィルタをかけるか又は経路を決める機器である。ゲートウェイは直接インターネットに接続され、またインターネットから見ることができるため、ゲートウェイは、インターネットを横断して通信を行うために、グローバルに唯一のIPアドレスを持たなければならない。しかし、LANはインターネットから直接見えないため、LAN上のローカル機器はグローバルに唯一のものであるIPアドレスを要求しない。
【0003】
TCP/IPはインターネット上で使用される通信プロトコルである。TCP/IPを用いて通信される情報は、「データグラム」に入れられる。データグラムは不連続な情報の「パケット」からなり、一又はそれより多くのヘッダが付加されている。ヘッダは、TCP/IPが、パケットを所望の宛先に導き、通過の際にその正しい取り扱いを保証するために必要とする情報を含んでいる。各データグラムは個別にアドレスを付けることができ、コネクション型TCPデータグラム或いは「コネクションレス」UDP(User Datagram Protocol)データグラムである。各UDPデータグラムは、IPヘッダと、UDPヘッダとを含んでいる。IPヘッダは少なくとも「ソース」IPアドレスと、「宛先」IPアドレスとを含んでいる一方、UDPヘッダは、ソースアドレスと宛先サービスアドレス(番号で付与されるポートアドレス)とを含んでいる。IPv4では、IPアドレスは長さが32ビットであり、現在よく知られているxxx.xxx.xxx.xxxのフォーマットに関連している。このフォーマットでは、各3桁の部分は8ビットの2進数であり、0と255の間の番号を表している。完全なIPアドレスは、ロジカルネットワーク又はネットワークセグメントのアドレスをネットワーク上の「ノード」(機器)のアドレスと結合する。ネットワーク又はネットワークセグメントのアドレスは、IPアドレスの最初の3、6、又は9桁に含まれる。ネットワーク上又はネットワークセグメント上の機器は、ネットワーク又はネットワークセグメントのアドレスの中に、使用されることなく残っている桁からなるノードアドレスによって識別される。
【0004】
UDPヘッダに含まれるソースアドレス及び宛先サービスアドレスは、16ビットの数字で、「ポート」又は「ソケット」として種々知られており、送信又は受信の機器でアクティブな所望のプロセスにパケットを導くために使用される。用語「ポート」又は「ポートアドレス」は、ここで使用されているように、UDPヘッダ中のサービスアドレスフィールドに言及するものである。理論上は、16ビットの数字で表されるアドレスの数だけのポートがあるが、慣例により多くのポートアドレスは確立したプロセスのために留保されている。従って、例えば、ポート80はHTTPのために留保され、ポート20及び21はFTPのために留保されている。ポートアドレスを使用することにより、一つ以上のプロセスを実施しているローカルマシンに到着したデータは、所望のプロセスに導かれる。ローカルホストで実行されるプロセスは留保されているプロセスではないため、ローカルホストは、留保されていないポート番号の群の中から何れかのポート番号を「ソース」プロセスを識別するために選択する。そのポート番号を「宛先」フィールドで言及している応答パケットは、該当するプロセスに導かれる。
【0005】
過去10年間のインターネットの爆発的な発展と、将来の予測される発展により、グローバルに唯一のIPアドレスは乏しい資源となってきた。更に、私的なLANを維持する多くのビジネスは、LAN上の各コンピュータ及び機器がグローバルに唯一のIPアドレスを有する必要性を、ほとんど又は全く有しない。多くのそのようなビジネスは、少なくともそれらのコンピュータのIPアドレスの秘密性を維持することの方を望むであろう。各ローカル機器にグローバルに唯一のIPアドレスを与えることにより限られたグローバルな資源を浪費するよりむしろ、多くの私的LANはLAN上の機器にローカルIPアドレスを使用している。インターネットに対する接続性のために、そのようなLANは、LANをインターネットから切り離しているゲートウェイによってインターネット上で使用するべく、一つのグローバルに唯一のアドレスを用いている。
【0006】
ネットワークアドレス変換(NAT)技術を使用することで、LANをインターネットから分離しているゲートウェイ機器は、ローカルのIPアドレスを有するマシンがゲートウェイのグローバルに唯一のアドレスを通してインターネットに接続することを可能にしながらファイアウォールとしてセキュリティを提供することができる。LAN上の機器は、静的なローカルIPアドレスを有するか、またはログオン時に動的に割り当てられたローカルIPアドレスを有する。ゲートウェイは、LAN上の各機器のローカルIPアドレスを具備する変換テーブルを保持する。ローカルマシンから送信され、インターネットに向けられたUDPパケットは、IP及びUDPヘッダのソースフィールドでそれぞれ特定されるローカルIPアドレスとポートアドレスを有する。ゲートウェイは、ローカルマシンからパケットを受信し、その外部のグローバルに唯一のIPアドレスと、新しいポートアドレス(使われていない、備蓄されていないポートアドレスの群から取得された)をIP及びUDPヘッダのソースフィールドに置き換える。次にCRC(Cyclical Redundancy Check)を更新し、データの完全性を保証するための他の必要な変更を行い、パケットをインターネットに送る。プロセスの一部として、ゲートウェイはローカルマシンのIPアドレスと、そのマシンからオリジナルに報告されたソースポートアドレスと、インターネットに接続されたパケットに割り当てられた新しいソースポートアドレスと、宛先のIPアドレスとを相互に参照するためのその内部の変換テーブルを更新する。インターネットから応答を受信すると、ゲートウェイはパケットのヘッダ中の自身のIPアドレスを認識し、入って来たパケットの宛先ポートアドレスを調査する。内部のテーブルに宛先ポートアドレスがあるときは、ゲートウェイは、相互参照されたローカルマシンのIPアドレスと、オリジナルポートアドレスとをパケットの宛先フィールドに置き換え、CRCと、他の必要なパラメータを更新して、パケットをLANに送り出す。パケットはローカルマシンによって受信され、適切なプロセスに導かれる。この方法で、ローカルIPアドレスのみを持つLAN上の多くのコンピュータが、一つのグローバルに唯一のIPアドレスを介して、インターネットを横断して通信することができる。
【0007】
NATゲートウェイはインターネットからのLANへの直接のアクセスに対し、ファイアウォールによるセキュリティを備えている。しかし、インターネットを通過するときのLANに対して意図された妨害又はパケットの修正に対するセキュリティは備えておらず、また、LAN内で発生する問題に対する「信頼性」を保証するものではない。このように、IPSecにより提供されるセキュリティは、インターネットと接続しているときにセキュリティを維持しなければならないLANにとって必要な防備である。
【0008】
IPSecの代表的な実行は、少なくとも一つの主演算サイトと、1またはそれより多くの遠隔地のLANからなるVPNにセキュリティを提供することである。メインサイトと、遠隔地のLANとは、インターネットを横断して接続されている。サイト同士の通信には、かなり高価なリースされた私的回線の代わりに高速の媒体が用いられている。しかしながら、伝送媒体としてインターネットを使う場合の不利な点は、インターネットは本質的に不確かなものであり、詮索、探知、「茶化し」、根本的な窃盗、ハッカーによる修正や変更に対して、本質的に防備が少ししかないか、又は全くない。このように、信頼できるデータの伝送が得られる、総合的なセキュリティに対する要求がある。IPSecプロトコルは、セキュリティ手段のデータの認証と、データの完全性とを確実なものにする。
【0009】
IPSecプロトコルの一組は、マルチレイヤOSI(Open System Interconnection)ネットワーク参照システムのネットワークレイヤのセキュリティを実行する。プロトコルは、インターネットを横断する情報UDPデータグラムのセキュリティを確実にする共に互いに使用される多くの分かれたプロトコルを含む。IPecに準拠したシステムの基本アーキテクチャは、RFC2401「インターネットプロトコルのためのセキュリティアーキテクチャ」S.Kent及びR.Atkinson(1998年11月)において説明されている。AH(Authentication Header)プロトコルはデータの完全性、ソース認証を確実にし、サービス拒絶攻撃を阻止する「反反復」手段を具体化する。ESP(Encapsulation Security Payload)プロトコルは、AHに類似した防備を提供するが、ペイロードの暗号化の追加的特徴を追加する。AH及びESPヘッダの双方は、セキュリティパラメータインデックス(SPI)のフィールドを有する。SPIは、データグラムのためのセキュリティアソシエイション(SA)を確認するために使用される32ビットの疑似ランダム値である。これらのプロトコルに関連するさらなる情報は、R.Atkinson(1995年8月)によるRFC1826「IP認証ヘッダ」及びRFC2496「IPカプセル化セキュリティペイロード(ESP)」S.Kent及びR.Atkinson(1998年11月)に見出される。ISAKMP/Oakley(Internet Security Association and Key Manahgement Protocol、また通常インターネットキーイクスチェンジ−IKE)は、二つのホストとセキュリティセッションのパラメータを作るハンドシェイクプロトコルであり、セキュリティセッションを実施するために使用されるキーイングと他のセキュリティ情報の交換を提供し、暗号化データの送信を認める。ISAKMP/Oakleyプロトコル(以後、単にISAKMPとする)は、暗号化されていないメッセージの最初の交換をし、両方のマシンに、認証が行われ、データの暗号化のための安全キーが生成される開始データが提供される。これらのプロセスの説明は、RFC2409「インターネットキーイクスチェンジ」D.Harkins and D.Carrel(1998年11月)に見られる。ホスト間に、セキュリティアソシエイション(SA)を充分に作るセキュリティパラメータが一旦交換されると、全ての後の送信は暗号化され、一致するプロトコルに従って、完全に認証される。その時、ISAKMPプロトコルは終了する。次のアドレス付けは、各マシンのIPアドレスと、そのセッションの前記マシンのSPIとに基づく。SPIは、セッションの間、各マシンに特有のものである。私的LANのためのゲートウェイは、内部テーブルを保持している。前記内部テーブルにおいて、「SPI−in」がローカルマシンのIPアドレスに対して相互参照された値中にあり、また、「SPI−out」がローカルマシンと通信するインターネット上のマシンのIPアドレスに対して相互参照される。各マシンのSPIは、ISAKMPの送信の間に交換される情報から計算され、また、UDPパケットに付加されるAH又はESPヘッダ中で運ばれる。IPecプロトコルは種々の環境においてセキュリティを提供するために入れ子になっているため、一つのデータグラムは、AH及びESPヘッダの両方を含み、いくらかのヘッダ情報を暗号化する。
【0010】
先の各セキュリティプロトコルは、UDPパケットをパケットに新しいヘッダ情報を置くことで修正し、パケット中の何れかのフィールドを、使用されたプロトコルに一致するように修正し、場合によっては、ペイロードと、全ての又は一部の他のパケットヘッダとを暗号化する。このように、IPSecの下で、UDPのデータグラムが信用できないネットワークを通過するために「安全な」ドメインを残すとき、UDPデータグラムは通常IPヘッダ、AH又はESPヘッダ(あるいは両方)、そしてカプセル化したペイロードよりなる。ヘッダの情報は、宛先アドレス、SPI、データグラムがその宛先に届き、宛先ホストに認証されることができると保証するに十分なSA情報を含む。ペイロードのカプセル化は、ペイロードに含まれる情報が悪質な盗聴者とハッカーを拒絶することを保証する。データグラムの最初の宛先ホストは、ルータ、ゲートウェイ又はLANと、インターネットとの間のファイアウォールである。LANと、インターネットとの間の境界の機器に到着すると、全体又は部分が調査又は復号化される。そしてデータグラムが開かれ、更なるアドレス情報のために分析され、LAN上のローカルIPアドレスに送られる。
【0011】
IPSecで使用されたISAKMPハンドシェイクプロトコルは、両方のホストに、それらの間に、最初のメッセージの交換のためのプロセス特有のポートアドレス(ポート500)を用いた安全セッションを作ることを意図することを要求する。この理由で、ポート500は、ISAKMPプロトコルで、排他的に使用するものとして割り当てられて来ている。慣例により、ISAKMPプロトコルにより安全な通信パラメータを流通させようとするコンピュータは、それぞれのコンピュータのポート500を通して厳密に通信しなければならない。即ち、どちらのコンピュータからのISAKMPメッセージも、ポート500をソース及び宛先アドレスの両方として認識しなければならない。どちらかのコンピュータが、ポート500が、ソース及び宛先の両方として特定されないパケットを受信すると、パケットは捨てられる。
【0012】
このプロトコルは、2つのホストが互いに通信しているとの保証を提供するため、1つのホストがローカルIPアドレスとNATゲートウェイとを用いるLAN上に位置するとき、実行不可能になる。例えば、遠隔地のLANで、NATゲートウェイで守られているローカルIPアドレスを有し、ホストBと共に安全セッションを作ろうとしているホストAは、メインオフィスの演算サイトに位置している。ホストAは、ホストBに暗号化されていないUDPデータグラムを、「宛先」をホストBのIPアドレスとして、また、宛先アドレスを「ポート500」として送ることによりプロトコルを開始する。しかしながら、データグラムが、遠隔地のLANをインターネットに接続しているNATゲートウェイに到着したとき、ゲートウェイは、宛先ポートアドレスを任意のポートアドレスに変換する。ホストBへのデータグラムの到着によって、ISAKMPプロトコルは認識されずホストBは応答しない。コンピュータは安全セッションを作ることができなくなる。この困難性のため、ISAKMPプロトコルは、遠隔LAN上の各コンピュータが、グローバルIPアドレスよりむしろローカルIPアドレスを用いるNATゲートウェイを用いてVPNを作るために用いることができないと従来信じられて来た 。
【0013】
従って、ISAKMPプロトコルの認証の使用と、非グローバルIPアドレスを有するコンピュータと、ホストコンピュータとの間のキー交換を可能にするインターネットを伝送媒体として使用するゲートウェイを提供することが、本発明の目的である。
【0014】
ローカルIPアドレスを使用している私的LAN上の何台のコンピュータに対してもISAKMPプロトコルを用いてインターネットを介してメッセージを開始し、または受信することを可能にするゲートウェイを提供することは、本発明の更なる目的である。
【0015】
インターネット上の2またはそれより多くのLANサイト間のバーチャルプライベートネットワークを、安全な通信を開始するISAKMPプロトコルを用いて使用する方法を提供することは本発明の他の目的である。
【0016】
以降の説明により、本発明の種々の目的が明らかとなるであろう。
【0017】
〈発明の開示〉
本発明に基づき、NATゲートウェイを介してインターネットのような外部のネットワークに接続されている遠隔地のLANのローカルIPアドレスを用いているコンピュータは、ISAKMPプロトコルをキーを交換し、IPSecの下で安全セッションを支持するSAを作るために使用する。非−ISAKMPトラヒックのためにゲートウェイは、通常のアドレス変換を実行する。しかしながら、LAN上のマシンが、ISAKMPプロトコルメッセージを発したときはいつでもゲートウェイは、ポートアドレスポート500を含むデータグラムを認識する。そのようなデータグラムに出会うと、ゲートウェイはソースIPアドレスを変換するが、ソースポートアドレスは変換せず、ソースアドレスをポート500に留め、パケットをポート500をソース及び宛先ポートアドレスとしてインターネットに送り出す。ゲートウェイは、また、内部のテーブルをポート500をローカルIPアドレスに「接続」するために更新し、その接続を宛先マシンの外部アドレスと、予め決められた時間の間関連づける。予め決められた有効な応答がない場合は、ポート500とローカルIPアドレス間の「接続」は解除される。この特徴は、ポート500が例えばISAKMPプロトコル送信が不正確な宛先IPアドレスへ開始されるような状況において、無期限に一時停止しないことを保証するために必要である。そのような状況の下では、ゲートウェイは、有効な応答を受信することはない。有効な応答が受信されない期間の後にポート500を解除するタイマがなければ、ポートはゲートウェイがリセットされるまでローカルIPアドレスに接続されたままになる。ほとんどの状態では、2秒間の時間は有効な応答を待つ間ポート500とローカルIPアドレス間の接続を維持するために充分な長さである。
【0018】
ポート500がローカルIPアドレスに接続されている間、ゲートウェイは有効な応答を待つ間ポート500が、ポートアドレスを持つことなくデータグラムの通常のデータグラム処理を続けて行う。有効な応答は、ポート500と関連づけられている外部IPアドレスと同じソースIPアドレスを有するデータグラムであり、ソース及び宛先ポートアドレスをポート500とする。有効な応答を待つ間、ゲートウェイはポート500ソースと宛先ポートアドレスとを有するが、適切なソースIPアドレスを有しない外部のネットワークからの他のUDPデータグラムは無視する。また、ポート500が、ローカルIPアドレスに接続されている間、ポート500のソース及び宛先ポートアドレスを有するLANから受信したデータグラムは、ポート500ソースポートアドレスが、外部ネットワークに送られる前の任意なものへ変換される「通常の」アドレス変換を受ける。そのようなデータグラムは、ポート500のソース及び宛先アドレスを有していないので、有効なISAKMPデータグラムではなく、IP宛先に到着したときに無視される。ポート500をローカルIPアドレスに接続する期間が有効なデータグラムがゲートウェイに受信されることなく経過すると、接続は解除され、ポート500はポート500をソースと宛先ポートアドレスとする次のデータグラムが使用できるようになる。
【0019】
ポート500が接続されているので、ポート500のソース及び宛先ポートアドレスと、カレントソースIPアドレスとを有する有効な応答データグラムを受信すると、ゲートウェイはデータグラムをローカルマシンのIPアドレスをデータグラムのヘッダの宛先IPアドレスフィールドに置き換える処理をし、データグラムをローカルマシンへ送り出すためにLANに通過させる。データグラムがゲートウェイを離れるとき、ゲートウェイはローカルIPアドレスとポート500の間の接続を解除し、通常のデータグラム処理を開始する。
【0020】
ポート500の適切なソースIPアドレスとポートアドレスとを有する応答が外部ネットワークから受信できないときはゲートウェイは、短い、予め決められた時間の経過後時間切れとなる。ゲートウェイが有効な応答が受信される前に時間切れになると、ISAKMPメッセージ交換は完了することができず、再開されなければならない。
【0021】
一旦、ISAKMPプロトコルが完了し、暗号化された安全セッションが進行中であると、ゲートウェイは、入って来るデータグラムと、出て行くデータグラムのESPヘッダ中のSPIを参照し、ローカルアドレス変換を果たす。ゲートウェイはまた、各パケットタイプ(ESPパケットはタイプ50)がゲートウェイを通過するデータグラムに対して正しいことを保証する。時々、VPNを横断する安全セッションが妨害され、或いは新しいセッションが始まることがある。ゲートウェイのこのことについての最初の兆候は、IPアドレスは認識されるが、宛先と関係付けられているSPIはその内部のテーブルに現れないタイプ50データグラムの受信である。このことが起きると、ゲートウェイは、データグラムを新しいSPIを用いて宛先IPアドレスへ送り出し、また、そのテーブル中の宛先SPIの値(SPI−in又はSPI−out、送信の方向による)を新しい値にして、ソースSPIの値をゼロにする。送信に対する応答を受信すると、ゲートウェイは、SPIフィールドのテーブルのゼロを宛先IPアドレスの新しいSPIで置き換える。
【0022】
本発明のゲートウェイは、メッセージを暗号化したり、復号したりせず、単にペイロード(暗号化されたり、復号されたりする)を、LANまたはインターネットへ受信するマシンでの処理のために通過させるため、強い処理機能は求められず、費用と、準備の簡単さと、メンテナンスが、考慮すべき事項である私的LANで用いられる。
【0023】
〈発明を実施する場合の最良の形態〉
図1は、バーチャルプライベートネットワーク(VPN)を示し、プライベートローカルエリアネットワーク(LAN)10は、インターネット50に接続されている演算サイト30に接続されている。LAN10は、ローカルIPアドレスを用いており、インターネットに対して本発明20のネットワークアドレストランスレーション(NAT)ゲートウェイ20を介して接続されている。演算サイト30は、事業の本拠、或いは多国籍企業に使用されるプライベートLANの一つ、或いは教育施設、或いは遠隔地から頻繁にアクセスされる他のサイトとすることができる。そのようなサイトは、通常、常時機能する暗号化アプリケーション及び他のセキュリティーアプリケーションが利用できるファイアウォールまたはゲートウェイ35を有している。そのようなゲートウェイは、パケットを開き、復号化するか、そうでなければその内容にアクセスし、またアドレストランスレーション、ルーティング、反カプセル化、それにデータマニピュレーション機能を実施する。そのような機器は、ISAKMP及び他のIPSecプロトコルをサポートできる一方、それらは、パケットを開き、復号化し、データのマニピュレーションを行うことにより、前記サポートを行うので、メインの演算サイトでVPNを立ち上げる必要のある遠隔地のLANサイトで効果的に用いられるには全般に高価過ぎ、また強力過ぎる。
【0024】
メインサイトのサーバ40は、VPNサーバソフトウェアを実行する。遠隔地のサイトのコンピュータ15は、それぞれのコンピュータでIPSecのセキュリティプロトコルを実行する適切なVPNクライアントソフトウエアをそれぞれ実行する。
【0025】
LAN10上のコンピュータ15は、ゲートウェイ20を介して、演算サイト30のサーバ40にIPデータグラムを送信することによりインターネット上の、又はインターネットが介在する機器と通信する。
【0026】
ゲートウェイ20で受信されたデータグラムは、図2及び図3に示した決定チャートに基づいて処理される。図2及び図3のフローチャートは、共に処理のステップと、ステップの順序とを示しているが、いくつかの機能を実行する順序は重要ではなく、いくつかのステップは、最終の結果には影響を与えずにフローチャートに示された順序とは別の順序で実施することができる。例えば、図2及び図3は、データグラムがゲートウェイによって受信された後の最初のステップはデータグラムのタイプを決定するものであるが、最後のステップは、データグラムがゲートウェイを通過する前に必要なIPアドレス変換を実行することを示す。しかしながら、いくつかの実施形態は、アドレス変換のステップをプロセスの中のどこか早い場所に置くことができ、このことは、プロセスの結果に影響しない。IPアドレスの変換の順序はプロセス全体に対して重大な意味を持つものでないため、いつ変換を行うべきかを決めることは、技術上の選択の問題である。
【0027】
図2に示すように、LANからデータグラムを受信すると、ゲートウェイはデータグラムが暗号化されているかどうかをチェックする。このことは、IPヘッダ中の「次のヘッダ」フィールドをチェックして、それが係わっているデータグラムのタイプを判断し、データグラムが暗号化されたか否かを知ることにより行われる。データグラムのタイプ50(ESP)は、データグラムは暗号化され、ポートアドレス情報は得られないことを示す。
【0028】
図2のツリーを抜け、データグラムが暗号化されていると、ゲートウェイは、データグラムのSPIチェックして、SPIがゲートウェイの内部のテーブルのSPI−outフィールドに現れるか否かを知る。そのようなテーブルの代表的なフィールドを図5a乃至5cに示す。データグラムのSPIが内部のテーブルのSPI−outフィールドにあった場合、ゲートウェイはデータグラムのソースIPアドレスをゲートウェイの外部のIPアドレスであるように変更し、データグラムを、外部の機器に伝送するために外部のネットワークに送る。
【0029】
データグラムが暗号化されてもSPIがゲートウェイの内部のテーブルに現れない場合は、図2の決定チャートに基づき、ゲートウェイは、データグラムが新たな動作を開始したと推測する。この場合は、ゲートウェイは内部のテーブルのSPI−inフィールドをゼロ(0)とし、データグラムから、SPI−outを新しいSPIとする。内部のテーブルに対するこれらの変更は、図5a及び図5bに反映しており、図5a中のゲートウェイの内部のテーブルのSPI−outフィールドに現れない「新しい」SPI(「14662」)がSPI−outフィールドに入っているように示され、SPI−inは、図5bでゼロ(0)に設定されている。暗号化されたデータグラムは、ソースIPアドレスがローカルの機器のそれから変換された後、ゲートウェイの外部のIPアドレスに送られる。これらのステップは、図5b及び図5cに示されれている。
【0030】
図2の決定チャートによると、データグラムが暗号化されていない場合、ゲートウェイは次にデータグラムのデスティネイションポートアドレスのチェックを行う。ポートアドレスがPort500以外のときは、ゲートウェイはソースポートアドレスをその内部のテーブルに入れ、(ローカル)ソースIPアドレスと横断的に参照し、そして、任意に、使用されていないポートアドレスをIPヘッダのソースアドレスフィールドに置き換える。その内部のテーブルにまた、新しいポートアドレスが入り、再び(ローカル)ソースIPアドレスと横断的に参照される。このプロセスは、暗号化されていない、Port500を有しないデータグラムをポートアドレスとして使用するもので、LAN上で始まるデータグラムのための「ノーマルアドレス変換」として参照されるべきである。これらの変換は、図6の列1と列2に示されている。データグラムは、目的のIPアドレスに向かって経路をたどるようにインターネットに向けて発信される。
【0031】
図2では、入力されるデータグラムのソースと、目標ポートアドレスはPort500であり、ゲートウェイは次に、Port500が既にIPアドレスと接続されているか否かを知るためにテーブルをチェックしなければならない。Port500に何も接続されていない場合は、ゲートウェイは、Port500をデータグラムの(ローカル)ソースIPアドレスに「接続」し、ポートと、(外部の)目的IPアドレスとの間に関連性を作り出し、そして内部タイマをスタートさせる信号を送る。ゲートウェイもまた、ソースIPフィールドにおいて、データグラムをゲートウェイの外部IPアドレスをローカルIPアドレスに置き換える処理を行う。しかし、前記処理はソースポートアドレスは変換しない。ソースポートアドレスの「通常」の変換を一時的に中断することで、ゲートウェイは目的の機械がデータグラムがISAKMPデータグラムであることを認識することができることを保証する。これらのステップはまた、図6の列5及び列6に示されている。
【0032】
図2は、LANからの入力データグラムがソースアドレスとPort500の目的ポートアドレスを有しているが、Port500が既に他のいずれかのローカルIPアドレスと接続されており、ゲートウェイは、Port500を処理されているメッセージに接続できない場合である。この場合、ゲートウェイはデータグラムをそれがISAKMPデータグラムでないかのように「通常」の処理を行う。即ち、データグラムのソースポートアドレスを任意の番号に変換し、ソースIPアドレスをゲートウェイの外部のIPアドレスに変換する。ゲートウェイは、データグラムをインターネットに送るが、ISAKMPデータグラムに従わないため目標によって拒絶される。このことは、図7の列15及び列16に示されている。
【0033】
図3に、ステップの概略を示す決定チャートが示されており、ゲートウェイは、インターネットより受け取ったデータグラムの処理に追従する。データグラムを受け取ると、ゲートウェイは、最初にタイプをチェックし、データグラムが暗号化されている場合は、SPIがその内部のテーブルに現れているか否かをチェックする。SPIが承認されると、その目標のIPアドレスはローカル機器のIPアドレスに変換され、データグラムはLANに送られてローカル機器に伝えられる。SPIが承認されないときは、ゲートウェイは、次に、データグラムのソースIPアドレスに対応するそのSPI−inフィールドがゼロ(0)であるか否かをチェックする。SPI−inがゼロの場合は、ゲートウェイは、データグラムは新しい動作の最初の応答であるとみなし、また、SPI−inフィールドのゼロをデータグラムのSPIに置き換える。ゲートウェイは、目標のIPアドレスをLAN上の機器のローカルIPアドレスに変換し、データグラムを伝えるために、LANに送る。このことは、図5b及び図5cに示されている。図5bでは、ローカルマシンL−1のSPI−inは、ゼロに設定されている。ゲートウェイが、3288のSPIを有するインターネットからデータグラムを受け取ると、ゲートウェイは、SPI−inフィールドにSPIがあることを見つけることがない。ゲートウェイは、次にSPI−inフィールドがゼロの値を保持しているか否かをチェックする。ローカルマシンL−1に対するSPI−inがゼロであることを確認すると、ゲートウェイは前記ゼロをデータグラム(「3288」)のSPIに置き換え、データグラムをLANに送る。このことは、図5cに示されている。
【0034】
図3において、インターネットからのデータグラムが暗号化されていない場合、ゲートウェイはそれがポートアドレス500を有しているか否かをチェックする。有していないときは、データグラムは外部のネットワークから、「通常」のデータグラムのアドレス変換を受けるが、これはLAN上の機器のローカルポートアドレスとローカルIPアドレスがデータグラムの目標のフィールドに置き換えられることであり、データグラムは、伝送のためにLANに送られる。このインターネットからのデータグラムのための「通常」のアドレス変換は、図6の列3及び列4に示されている。
【0035】
再び図3に言及すると、データグラムがポートアドレス500を有している場合、ゲートウェイは次に、Port500はローカルIPアドレスに接続されているか否か、また、データグラムの(外部の)ソースIPアドレスと関連づけられているか否かをチェックする。上記データグラムが正当なものであるときは、目標のIPアドレスが、外部のゲートウェイのそれからローカル機器のIPアドレスに変換された後、LANに送られる。データグラムをLANに送ると、ゲートウェイはPort500を解除する。
【0036】
図3でPort500がローカルIPアドレスに接続され、データグラムのソースIPアドレス中のもの以外の外部のIPアドレスと関連づけられていると、データグラムは有効なものではなく、ゲートウェイにより更に処理されることがない。このことは、図7の列25乃至31に示されている。列25と列26において、ローカルマシンL−1は、目標T−1にISAKMPデータグラムを送る。ここで、Port500は、ローカルマシンL−1のIPアドレスに接続されており、また、目標T−1のIPアドレスと関連づけられている。しかし、図7に示すように、タイマは、ゲートウェイがT−1からの応答を受ける前に時間切れとなり、列27において、Port500は解除される。列28及び列29において、ローカルマシンL−3は、目標T−3にISAKMPデータグラムを送り、Port500とL−3のIPアドレスを接続し、またT−3のIPアドレスとの関連づけを作り出す。Port500が接続されている間、応答はT−1より受信される。しかしながら、Port500は接続されており、T−3のIPアドレスと関連づけられているため、T−1よりの応答は捨てられる。このことは、図7の列30及び列31に示されている。
【0037】
図5a乃至5cは、ローカルコンピュータと、目標との間の暗号化されたインターネット上の通信のためのIPアドレス及びSPI番号が保持されているゲートウェイの内部のテーブルを示す。フィールドL−1、L−2、L−x、及びT−1乃至T−3は、参照の便のために含まれており、ゲートウェイの内部のテーブルには現れない。図5においては、フィールド「SPI−out」は、LAN上の特定のコンピュータに対する安全セッションの間、SPIを各目標マシンに対して保持する。SPI−inフィールドは、ローカルコンピュータによって、承認されたデータグラムを表していると認められる、対応するSPIを与える。図5aは、開始時のテーブルを示す。8台のローカルコンピュータが、T−1乃至T−3の3つの目標と共に、テーブルのデータの寿命内において、暗号化されたセッションに加わっている。このことは、各ローカルマシンがそのIPアドレスと関連づけられているSPI−inを示しているという事実により説明される。前記テーブルには、3つの目標のみが示されているが、各目標は、各ローカルマシンとの通信のために、異なるSPI−outを用いていることが分かる。この方法で、目標はどのソースから暗号化データグラムが生成されたかを知る。
【0038】
図5bは、図5aと同一のローカルコンピュータと、目標コンピュータを示す。ここで、しかしながら、L−1とT−1との間のセッションのSPI−outは新規のSPIであり、コンピュータ間の新しいセッションを示している。ゲートウェイの、新規のセッションが実行されているとの最初の表示は、暗号化されたデータグラムのSPI「14662」(そのテーブル中にない)を有するLANからの受信である。ゲートウェイは、データグラムをインターネットに転送するが、また、そのデータグラムのためのソースと、宛先IPアドレスとに関連づけられているSPI−outフィールドに新しいSPIを入れるテーブルの修正を行う。そこではまた、SPI−inフィールドに、新規のSPI−inもまた予測されることを表示するマーカーとしてゼロを入れる。図5cは、新しいSPI「3288」は、T−1から受信されたデータグラムに含まれていたことを示している。そのSPIは、ゲートウェイのSPI−inフィールドに入力されてきたものであり、このセッション中のL−1とT−1との更なる通信は、これらのSPIをメッセージの認証を使用する。
【0039】
図6は、インターネット上の遠隔地の目標と連絡するLAN上の一つのコンピュータによる、本発明に係るゲートウェイを通過した代表的なデータグラムの流れを示している。テーブルの各列は、LANをゲートウェイに接続するか、またはインターネットをゲートウェイに接続するかのデータグラム中の情報を表している。連続した列は、ゲートウェイに一つの側から入り、他の側からゲートウェイから出るデータを表す。ゲートウェイは、LANとのインターフェイスにおいて、ローカルIPアドレスである一つのIPアドレスを、インターネットとのインターフェイスにおいてグローバルIPアドレスを有する。図6の縦行は、データグラムが通るゲートウェイの側面、データグラムのタイプ、データグラムのソースIPアドレスとポートアドレス、データグラムの宛先IPアドレスとポートアドレス、及び暗号化されたタイプ50のデータグラムのためのESP(カプセル化セキュリティペイロード)プロトコルを用いたデータグラムのセキュリティパラメータインデックス(SPI)を示す。
【0040】
図6の列1は、ゲートウェイのローカルインタフェイスに届いた、また、ローカルコンピュータL−1に対応したソースIPアドレスを有するUDPデータグラムと、インターネット上の目標T−1の宛先IPアドレスを示す。読みやすくするため、図4は、ローカルの記号表示L−1からL−3及び目標の記号表示T−1からT−3を相互に参照したIPアドレスのテーブルを提供する。L−1のソースポートアドレスはPort6404であり、目標の宛先ポートはPort80である。データグラムは、暗号化されておらずまた、ポート番号500は表示されないため、「任意」のポートアドレスであるPort10425がソースポートアドレスフィールドに置き換えられ、ゲートウェイの外部のIPアドレスがデータグラムのソースIPアドレスに置き換えられる通常の変換を受ける。変換されたソースポートアドレスは「任意」とされているが、通常は次の手順において、ゲートウェイにより維持された、予約されておらず、また現在使用されていないポートアドレスの蓄えの中から取られる。
【0041】
データグラムがゲートウェイから出たとき、図6の列2に示すように、ゲートウェイのアドレス変換機能は、ゲートウェイの外部IPアドレスをソースIPアドレスのデータグラムヘッダに置き換え、ソースポートに任意の番号を与えている。列3と列4は、目標からの応答データグラムを示す。列3では、目標からのUDPデータグラムは、宛先IPアドレスをゲートウェイの外部IPアドレスとして、宛先ポートをゲートウェイにより任意に割り当てられたポートアドレスとして表示する。データグラムは暗号化されておらず、またポートアドレス500を有しないため、データグラムは通常の宛先ポートアドレスとIPアドレスの変換を受け、LANに送信される。列4において、ゲートウェイは、ローカルコンピュータのヘッダの宛先フィールド中のローカルIPアドレスと、ポートアドレスとを、データグラムをLANに送信する前に置き換えている。
【0042】
図6の列5において、ローカルコンピュータは、目標と共にSAKMPプロトコルを開始する。データグラムのタイプは、ISAMPとして示されている。ソースアドレスと宛先ポートアドレスは、共にポート500である。ゲートウェイが宛先ポートアドレスをポート500と決定すると、ポート500がその時何れかのIPアドレスに接続されているか否かがチェックされる。上記チェック結果は否であるので、ゲートウェイは、データグラムを通過させ、ソースIPアドレスフィールドのみを、ゲートウェイの外部IPアドレスを示すために変換するが、ソースポートアドレスは変更しない。
【0043】
図6で、列5乃至列16は、完全に暗号化され、認証されたデータグラムを支持するためのSAs(セキュリティアソシエイションズ)を確立するために必要な、6つの標準のISAKMP「ハンドシェイク」のデータグラム交換を示す。ISAKMPのいくつかのモードは、より少ない交換を使用するが、主なモードは図6に示されている。SAsの確立に続いて、ローカルコンピュータと目標とは、ESPプロトコルで暗号化されたデータグラムを用いて通信を開始する。ここで、データグラムの妥当性は、データグラムのヘッダのSPIフィールド中でセキュリティパラメータインデキシング(SPI)番号を用いることで保たれる。各ホストは、データグラムがそのSPIに「アドレスされた」ことを認識し、SPIは、セッションの間、ホスト間の相互の同意により、連続的なセキュリティを確保するための修正がされうる。データグラムのソースIPアドレスがゲートウェイの外部IPアドレスに変換されても、暗号化されたデータグラムが、図6の列17及び列18に示すように、ゲートウェイを通過するとき、ソースも宛先SPIもゲートウェイにより修正されることがない。
【0044】
このように、暗号化されたデータグラムがゲートウェイにより受信されたとき、タイプ50のデータグラム(ESP)により示される。そのデータグラムタイプが出会うと、ゲートウェイは、データグラムのセキュリティパラメータインデックス(SPI)を、そのSPIがその初期の内部のテーブルに記録されているか否かをチェックする。記録されているときは、必要に応じて、ゲートウェイはデータグラムのソースまたは宛先IPアドレス翻訳し、送信の指示に従ってデータグラムをLANまたはインターネットに送信する。しかし、LANよりのデータグラムのSPIがゲートウェイの内部のテーブルに現れず、また、ソースと宛先が承認されたIPアドレスであるときは、ゲートウェイは、新しいセッションが始まったと推測する。この場合、それはデータグラムを外部のネットワークに、新しいSPIをそのままにして通過させるが、その内部のテーブルの「SPI−out」フィールド中の新しいSPIを記録し、「SPI−in」フィールドにゼロを入れる。列25及び列26において、新しいSPIが現れており、新しいセッションを示していることが認められる。このことは、「SPI−in」フィールドの「0」が新しいSPI−outの「14662」に対応している図5bに対応する。列27及び列28において、外部のネットワークからの応答パケットは、「古い」SPI「9802」が「新しい」SPI「3288」に置き換えられていることを示す。
【0045】
図7は、図6に対し、LAN上の、L−1、L−2及びL−3で示される3台のコンピュータと、インターネット上で独自のグローバルIPアドレスを有する3つの目標との間の、データグラムの本発明に係るゲートウェイを通る通過を示している点を除いて類似している。図4に、参照の便のために、これらの機器のIPアドレスを含むテーブルが示されている。図7に示すように、「L−1 Out」で示される送信は、ローカルコンピュータL−1からゲートウェイへの送信を表す。「T−1 in」は、ゲートウェイから目標T−1への送信を表す。「T−1 out」は、目標T−1からゲートウェイへの送信を表し、「L−1 in」はゲートウェイからコンピュータL−1への送信を表す。
【0046】
図7の列1乃至列8に示すように、コンピュータL−1及びL−2は、目標T−1及びT−2と、「暗号でない」通信を行う。列9で、L−1はT−1と共にISAKMPセッションを開始する。列9乃至列14は、ISAKMPプロトコルの間、L−1とT−1間で交換される最初の3つのメッセージを示す。列15で、コンピュータL−3は、ISAKMP−1のT−3とのメッセージ交換を開始する。しかし、そのときポート500は、L−1と接続され、T−1のIPアドレスと関連付けられ、T−1からのISAKMP−4の応答の待ち受けをしている。この状況において、L−3からのデータグラムは、ポート500を結び付けることができず、そのソースポートアドレスが変換される。従って、L−3は、列15で始まった送信を完遂することができない。
【0047】
従って、列17乃至列18において、T−1の応答(ISAKMP)はゲートウェイで受信されてL−1に送信され、ポート500は直ちに使用可能になる。このように、L−3が列19でISAKMP−1送信を再行したとき、送信は成功する。
【0048】
図7の列19乃至列20で、L−3のISAKMP−1送信は、ポート500をL−3のIPアドレスと接続する。このように、列21乃至列22でL−1がそのISAKMP−5送信を試みるとき、ポート500は使用できず、ゲートウェイは単に宛先ポートアドレスをポート500から「任意」のポート番号(本例では「9063」)に変換し、データグラムをインターネットに送る。ここで、目標T−1は、それをISAKMPデータグラムとして認識しない。しかし、列23乃至列24でL−3がポート500を解除した後、L−1の、そのISAKMP−5送信を送る次の試みはT−1によりうまく受信される。しかし、T−1の応答は遅く、列27でポート500は、そのL−1への接続が解除され、列28乃至列29で直ちにISAKMP−3送信のためにL−3によって取り込まれる。このように、T−1のISAKMP−6応答がゲートウェイに到着したとき、列30と、列31とに示すように、ポート500はブロックされ、データグラムは無視される。従って、L−1は、そのISAKMP−5に対する応答を受けることなく、列34乃至列35でそれを再送信し、T−1からの応答が列36乃至列37で受信される。それらのISAKMPハンドシェイクに従い、L−1及びT−1は、列38乃至列39及び列42乃至列43で、ESPプロトコルを用いて安全に通信することができる。
【0049】
図7の列38乃至列57は、ローカルコンピュータの数と、目標との間の種々のデータグラムに対するゲートウェイの対応を実演している。UDPデータグラムは列40乃至列41に、ESPデータグラムは列42乃至列43に、ISAKMPデータグラムは列44乃至列45に示されている。図7のテーブルは各機器について異なるIPアドレスを示しているが、実際は、多くの処理が同じ機器上で行われる。ゲートウェイによる唯一のソースポートの置き換えと、暗号化された送信を区別するためのSPIの使用とは、一つのマシンで実行される複数の処置により発せられるデータグラムが誤った宛先に送られないことを保証する。
【0050】
図8は、データグラムを処理する回路100と、タイマ110との間の信号の開始と転送とを示す。ポートアドレスをIPアドレスに接続することを要求する事象が発生すると、時間測定開始の信号120がタイマに送られる。適当な時間間隔の経過後、タイマは、時間切れを示す信号140を送り、接続されている何れのポートも解除される。その間に、予測されたデータグラムが到着し、これまで接続されていたポートが解除されると、タイマが、時間測定を開始する次の信号を待つためにリセットされるべきであることを示す不能化信号130がタイマに送られる。明らかに、この技術分野で多数のタイミング回路が知られており、図8に示された具体的な構成は、多くの可能な実施形態一つに過ぎない。
【0051】
前記より、当業者により、ここで述べられた好ましい実施形態は、発明を実施するただ一つの手段ではなく、しかも他の実施形態が、本発明の精神と範囲から離れることなく、本発明を実施するために選択されることが理解される。例えば、好ましい実施形態が、ISAKMPプロトコルでの使用のために専ら留保されてきたポート500に関して述べられたが、本発明は、同じ方法で将来他のプロセスまたはプロトコルに割り当てられる他のポートアドレスに向けられたデータグラムを処理するために用いられる。特に、インターネット上で実施されるゲームの多くは、通常のアドレス変換に耐えることのできない、ローカルと外部機器の特定のポートを使用することを要求する。加えて、本発明は主として私的なLANとインターネット間の通信に関して述べられたが、この発明のゲートウェイは、二つのネットワークのどのインターフェイスにも使用でき、これまでに述べたものと同じ機能性を有していることは明らかである。
【図面の簡単な説明】
【図1】 図1は、ローカルIPアドレスを用いる遠隔のLANがメイン演算サイトと、外部の、インターネットであるネットワークを介してネットワーク化されているバーチャルプライベートネットワークを示す。LANは、外部のネットワークにNATゲートウェイを介して接続されている。
【図2】 図2は、インターネットへ送信するために、LANから受信したUDPデータグラムを処理する本発明のゲートウェイにより使用される決定チャートを表す。
【図3】 図3は、本発明のゲートウェイにより使用されるインターネットからLAN上の機器へ伝送するために受信されたUDPデータグラムを処理するステップの決定チャートを示す。
【図4】 図4は、続く図5、図6及び図7の参照のために準備された図である。図4は、LAN(L−1乃至L−3)上のローカルマシンのIPアドレス、ゲートウェイの内部と外部のIPアドレス、及び外部ネットワーク上の外部機器(「目標」T−1乃至T−3)のIPアドレスを含むテーブルである。
【図5a】 図5aは、LAN(L−1、L−2、・・・L−x)上のマシンのローカルIPアドレスを横断的に参照しているゲートウェイの内部のテーブルよりの代表的なフィールドと、暗号化データグラムの認証に用いられるSPI(security parameter indexes)を伴う外部の機器(T−1乃至T−3)の外部IPアドレスとを表す。SPI−outは、ゲートウェイをインターネット上の機器のために残す暗号化データグラムのSPIを代表しており、SPI−inは、LAN上のローカルマシンを宛先とする暗号化データグラムのSPIを代表している。テーブルaは、ソースのヘッダの値、宛先及び異なる時点でのSPIを反映している。変化している値は、1つのローカルマシンと1つの目標マシンによる新しいセッションの関係を示す。
【図5b】 図5bは、LAN(L−1、L−2、・・・L−x)上のマシンのローカルIPアドレスを横断的に参照しているゲートウェイの内部のテーブルよりの代表的なフィールドと、暗号化データグラムの認証に用いられるSPI(security parameter indexes)を伴う外部の機器(T−1乃至T−3)の外部IPアドレスとを表す。SPI−outは、ゲートウェイをインターネット上の機器のために残す暗号化データグラムのSPIを代表しており、SPI−inは、LAN上のローカルマシンを宛先とする暗号化データグラムのSPIを代表している。テーブルbは、ソースのヘッダの値、宛先及び異なる時点でのSPIを反映している。変化している値は、1つのローカルマシンと1つの目標マシンによる新しいセッションの関係を示す。
【図5c】 図5cは、LAN(L−1、L−2、・・・L−x)上のマシンのローカルIPアドレスを横断的に参照しているゲートウェイの内部のテーブルよりの代表的なフィールドと、暗号化データグラムの認証に用いられるSPI(security parameter indexes)を伴う外部の機器(T−1乃至T−3)の外部IPアドレスとを表す。SPI−outは、ゲートウェイをインターネット上の機器のために残す暗号化データグラムのSPIを代表しており、SPI−inは、LAN上のローカルマシンを宛先とする暗号化データグラムのSPIを代表している。テーブルcは、ソースのヘッダの値、宛先及び異なる時点でのSPIを反映している。変化している値は、1つのローカルマシンと1つの目標マシンによる新しいセッションの関係を示す。
【図6A】 図6Aは、1つのローカルマシンと、外部ネットワーク上の1つの機器との間で交換が行われているデータグラムヘッダ中の代表的フィールドを示している。
【図6B】 図6Bは、1つのローカルマシンと、外部ネットワーク上の1つの機器との間で交換が行われているデータグラムヘッダ中の代表的フィールドを示している。
【図7A】 図7Aは、LAN上の3つのローカルマシン(L−1乃至L−3)と、外部ネットワーク上の3つの目標(T−1乃至T−3)との間で、本発明のゲートウェイによる処理によって修正されながら交換が行われている、データグラムヘッダ中の代表的なフィールドを示す。
【図7B】 図7Bは、LAN上の3つのローカルマシン(L−1乃至L−3)と、外部ネットワーク上の3つの目標(T−1乃至T−3)との間で、本発明のゲートウェイによる処理によって修正されながら交換が行われている、データグラムヘッダ中の代表的なフィールドを示す。
【図7C】 図7Cは、LAN上の3つのローカルマシン(L−1乃至L−3)と、外部ネットワーク上の3つの目標(T−1乃至T−3)との間で、本発明のゲートウェイによる処理によって修正されながら交換が行われている、データグラムヘッダ中の代表的なフィールドを示す。
【図8】 図8は、データグラムを処理する機能とタイマ間を通過する信号の概略図である。

Claims (16)

  1. LANを外部のネットワークに接続し、ネットワークアドレスを変換するゲートウェイであって、前記LANは、ローカルIPアドレスを用い、前記ゲートウェイは、前記LAN上の機器により認識可能なローカルIPアドレスを有し、また、外部ネットワーク上の機器により認識可能な外部IPアドレスを有し、 前記ゲートウェイは、 前記LAN上のローカル機器のローカルIPアドレス、前記外部ネットワーク上の外部機器の外部IPアドレス、SPI−Inの値、SPI−Outの値、ソースポートアドレス、宛先ポートアドレス、留保されたポートアドレス、及び留保されたポートアドレスのリストの組み合わせを関連づけた複数の内部のテーブルと、 前記LANから前記外部ネットワークに移るデータグラムに対して、及び、前記外部のネットワークから前記LANに移るデータグラムに対して通常のアドレス変換を実行する手段と、 前記外部ネットワーク上の外部機器へ伝送することを意図して前記LAN上のローカル機器よりデータグラムを受信することにより、データグラムを前記LAN上のローカル機器から前記外部ネットワーク上の外部機器へ伝送する手段とを備え、 前記データグラムの宛先ポートアドレスが、前記留保されたポートアドレスのリストに含まれているか否かを判断し、前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれていない場合は通常のアドレス変換を実行し、前記データグラムに前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行い、 前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれている場合は、前記宛先ポートアドレスが前記ローカル機器の前記ローカルIPアドレスに接続されているか否かを判断し、前記宛先ポートアドレスが前記ローカルIPアドレスに接続されている場合は、前記データグラムに通常のアドレス変換を実行し、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行い、 前記宛先ポートアドレスが前記ローカルIPアドレスに接続されていない場合は、前記データグラムの前記ソースIPアドレスを修正して前記ゲートウェイの前記外部IPアドレスとし、前記宛先ポートアドレスを前記ローカル機器の前記ローカルIPアドレスに接続して、前記宛先ポートアドレスと、前記外部機器の外部IPアドレスとの間を関連付け、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うことを特徴とするネットワークアドレス変換ゲートウェイ。
  2. 前記LAN上のローカル機器から外部機器へデータグラムを伝送する前記手段が更に、前記データグラムが暗号化されているか否かを判断し、前記データグラムが暗号化されている場合は、前記データグラムのSPIが前記内部のテーブルのSPI−Outフィールドに記録されているか否かを判断し、SPIが前記SPI−Outフィールドに記録されている場合は、前記データグラムのソースIPアドレスを前記ゲートウェイの前記外部IPアドレスに修正して、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行う手段を備えたことを特徴とする請求項1記載のネットワークアドレス変換ゲートウェイ。
  3. 前記SPIが前記内部のテーブルのSPI−Outフィールドに記録されていない場合、前記ローカル機器のローカルIPアドレスに対応するSPI−Inフィールドをゼロに設定し、前記SPI−Outフィールドを前記SPIに等しく設定し、前記データグラムの前記ソースIPアドレスを前記ゲートウェイの前記外部IPアドレスに修正して前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行う手段を更に備えたことを特徴とする請求項2に記載のネットワークアドレス変換ゲートウェイ。
  4. 前記ネットワークアドレス変換ゲートウェイが更に前記LAN上のローカル機器へ伝送することを意図して前記外部ネットワーク上の外部機器よりデータグラムを受信することにより、データグラムを前記外部機器から前記ローカル機器へ伝送する手段と、 前記データグラムが暗号化されているか否かを判断し、前記データグラムが暗号化されている場合は、データグラムのSPIが前記内部のテーブルの前記SPI−Inフィールドに記録されているか否かを判断し、前記SPIが前記SPI−Inフィールドに記録されている場合は、前記データグラムの宛先アドレスを前記ローカル機器の前記ローカルIPアドレスに修正して、前記データグラムを前記LANに移し、前記ローカル機器へのルーティングと伝送とを行い、 前記SPIが前記内部のテーブルの前記SPI−Inフィールドに記録されていない場合は、前記外部機器の前記IPアドレスに対応する前記SPI−Inフィールドがゼロであるか否かを判断し、前記SPI−Inフィールドがゼロでない場合は、前記データグラムを捨て、前記SPI−Inフィールドがゼロである場合は、前記SPI−Inフィールドを前記SPIと等しく設定し、前記データグラムの宛先IPアドレスを前記ローカル機器の前記ローカルIPアドレスに修正して、前記データグラムを前記LANに前記ローカル機器への伝送のために移し、 前記データグラムが暗号化されていない場合は、前記データグラムの宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれているか否かを判断し、前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれていない場合は、前記データグラムに対し通常のアドレス変換を実行して、前記データグラムを前記LANに前記ローカル機器への伝送のために移し、 前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれている場合は、前記宛先ポートアドレスが前記ローカル機器のローカルIPアドレスに接続されているか否かを判断し、前記宛先ポートアドレスが前記ローカルIPアドレスに接続されていない場合は、前記データグラムを捨て、前記宛先ポートアドレスが前記ローカルIPアドレスに接続されている場合は、前記データグラムの前記宛先IPアドレスを前記ローカル機器の前記ローカルIPアドレスに修正し、前記宛先ポートアドレスと前記ローカルIPアドレスとの接続を解除し、前記データグラムを前記LANに移し、前記ローカル機器への伝送を行う手段とを更に備えたことを特徴とする請求項1に記載のネットワークアドレス変換ゲートウェイ。
  5. 更にタイマを備え、ポートアドレスと、IPアドレスとが接続されたことを示す信号を受信した場合、前記タイマは、予め決められた長さの時間の測定を開始し、前記予め決められた長さの時間が経過した場合、前記ポートアドレスと、前記IPアドレスとを非接続状態にする信号を送信し、前記予め決められた長さの時間が経過する前に前記ポートアドレスと、前記IPアドレスとが非接続状態になったことを示す信号を受信した場合、前記タイマは時間の測定を停止しリセットされることを特徴とする請求項1に記載のネットワークアドレス変換ゲートウェイ。
  6. 前記外部のネットワークがインターネットであることを特徴とする請求項1に記載のネットワークアドレス変換ゲートウェイ。
  7. 前記LANがバーチャルプライベートネットワークであることを特徴とする請求項6に記載のネットワークアドレス変換ゲートウェイ。
  8. ローカルIPアドレスを用いるLAN上のローカル機器からのIPデータグラムをネットワーク変換ゲートウェイを介して外部ネットワーク上の外部機器へ処理する方法であって、 前記LAN上のローカル機器のローカルIPアドレス、前記外部ネットワーク上の外部の機器の外部IPアドレス、前記ローカル機器のポートアドレス、前記外部機器のポートアドレス、SPI−Inの値、SPI−Outの値、留保されたポートアドレス及び留保されたポートアドレスのリストを関連づけた複数のテーブルを保持するステップと、 データグラムを前記LANから受信するステップと、 前記データグラムの宛先ポートアドレスが前記留保されたポートアドレスのテーブルに含まれているか否かを判断し、前記宛先ポートアドレスが前記留保されたポートアドレスのテーブルに含まれていない場合は、前記データグラムに対して通常のアドレス変換を実行して前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うステップとを備え、 前記宛先ポートアドレスが前記留保されたポートアドレスのテーブルに含まれている場合は、前記宛先ポートアドレスがIPアドレスと接続されているか否かを判断し、前記宛先ポートアドレスがIPアドレスと接続されている場合は、前記データグラムに対して通常のアドレス変換を実行して前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行い、 前記宛先ポートアドレスがIPアドレスと接続されていない場合は、前記ソースIPアドレスを前記外部機器の前記外部IPアドレスに修正し、前記宛先ポートアドレスを前記ローカル機器のローカルIPアドレスに接続して前記宛先ポートアドレスと、前記外部機器の前記外部IPアドレス間の連携を作り出して前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うことを特徴とするIPデータグラムの処理方法。
  9. 前記データグラムが暗号化されているか否かを判断し、前記データグラムが暗号化されている場合は、前記データグラムのSPIが前記複数の内部のテーブルの内の一つのSPI−Outフィールドに記録されているか否かを判断し、SPIが前記内部のテーブルの前記SPI−Outフィールドに記録されている場合は、ソースIPアドレスを前記ゲートウェイの外部IPアドレスに修正し、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行い、 前記SPIが内部のテーブルの前記SPI−Outフィールドに記録されていない場合は、前記外部機器のIPアドレスに対応する前記SPI−Outフィールドを前記SPIに等しく設定すると共に前記内部のテーブルのSPI−Inフィールドをゼロに設定し、前記ソースIPアドレスを前記ゲートウェイの外部IPアドレスに修正し、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うステップを更に備えたことを特徴とする請求項8に記載のIPデータグラムの処理方法。
  10. 外部ネットワーク上の外部機器からのIPデータグラムをネットワーク変換ゲートウェイを介してローカルIPアドレスを用いるLAN上のローカル機器へ処理する方法であって、 前記LAN上のローカル機器のローカルIPアドレスと、前記外部ネットワーク上の外部の機器の外部IPアドレスと、前記ローカル機器のポートアドレスと、前記外部機器のポートアドレスと、SPI−Inの値と、SPI−Outの値と、留保されたポートアドレスと、留保されたポートアドレスのリストとを関連づけた複数のテーブルを保持するステップと、 データグラムを前記外部ネットワークから受信するステップと、 前記データグラムが暗号化されているか否かを判断し、前記データグラムが暗号化されていない場合は、前記データグラムの宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれているか否かを判断し、前記宛先ポートアドレスが留保されたポートアドレスのリストに含まれていない場合は、通常のアドレス変換を実行して前記データグラムを前記LANに移し、前記ローカル機器へのルーティングと伝送とを行うステップとを備え、 前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれている場合は、前記宛先ポートアドレスが前記ローカルIPアドレスに接続されているか否かを判断し、前記宛先ポートが前記ローカルIPアドレスに接続されていない場合は、前記データグラムを捨て、 前記宛先ポートアドレスが前記ローカルIPアドレスに接続されている場合は、前記宛先IPアドレスを前記ローカル機器の前記ローカルIPアドレスに修正し、前記宛先ポートアドレスと前記ローカルIPアドレスとの接続を解き、前記データグラムを前記LANに移し、前記ローカル機器へのルーティングと伝送とを行うことを特徴とするIPデータグラムの処理方法。
  11. 前記データグラムが暗号化されている場合において、 前記データグラムのSPIが前記複数の内部のテーブルの内の一つのSPI−Inフィールドに記録されているか否かを判断し、SPIが前記内部のテーブルの前記SPI−Inフィールドに記録されている場合は、宛先IPアドレスを前記ローカル機器の内部IPアドレスに修正して前記データグラムを前記LANに移し、前記ローカル機器へのルーティングと伝送とを行うステップを更に備え、 前記SPIが内部のテーブルの前記SPI−Inフィールドに記録されていない場合は、前記外部機器のIPアドレスに対応する前記SPI−Inフィールドがゼロか否かを判断し、前記SPI−Inフィールドがゼロでない場合前記データグラムを捨て、 前記SPI−Inフィールドがゼロである場合、前記SPI−Inフィールドを前記SPIに修正し、前記宛先IPアドレスを前記ローカル機器の前記ローカルIPアドレスに修正し、前記データグラムを前記LANに移し、前記ローカル機器へのルーティングと伝送とを行うことを特徴とする請求項10に記載のIPデータグラムの処理方法。
  12. 前記宛先ポートアドレスが、前記ローカル機器の前記ローカルIPアドレスに接続された場合、タイマを起動するステップと、 前記宛先ポートアドレスが解除された場合、前記タイマをリセットし、 前記タイマが作動中で且つ、前記タイマが起動した後予め決められた時間が経過した場合、信号を送信するステップを更に備えることを特徴とする請求項11に記載のIPデータグラムの処理方法。
  13. 前記宛先ポートアドレスが、前記ローカル機器の前記ローカルIPアドレスに接続された場合、タイマを起動するステップと、 前記宛先ポートアドレスが解除された場合、前記タイマをリセットし、 前記タイマが作動中で且つ、前記タイマが起動した後予め決められた時間が経過した場合、信号を送信するステップを更に備えることを特徴とする請求項12に記載のIPデータグラムの処理方法。
  14. 前記外部ネットワークがインターネットであることを特徴とする請求項11又は12に記載のIPデータグラムの処理方法。
  15. 前記LANはバーチャルプライベートネットワークであることを特徴とする請求項11又は12に記載のIPデータグラムの処理方法。
  16. 機械で実行可能な複数のコードセクションを有し、ネットワークアドレス変換ゲートウェイを介して外部のネットワークにLANを接続するコンピュータプログラムを記憶した機械的に読み取り可能な記憶装置であって、 前記ゲートウェイは、前記LAN上の機器により認識することができるローカルIPアドレスと、前記外部ネットワーク上の機器により認識することができる外部IPアドレスとを有し、更に前記LAN上のローカル機器のローカルIPアドレス、前記外部ネットワーク上の外部機器の外部IPアドレス、ソースポートアドレス、宛先ポートアドレス、留保されたポートアドレス及び留保されたポートアドレスのリストの組み合わせを関連づけた複数の内部のテーブルを含み、 前記LANローカル機器からのデータグラムを、前記外部ネットワーク上の外部の機器に、前記LAN上のローカル機器からのデータグラムを前記外部ネットワーク上の外部機器へ伝送することを意図して受信することによって伝送することを試みるステップと、 前記データグラムの宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれているか否か及び前記宛先ポートアドレスは前記ローカル機器の前記ローカルIPアドレスに接続されているか否かを判断するステップと、 前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれていない場合は、前記データグラムに対する通常のアドレス変換を実行し、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うステップと、 前記宛先ポートアドレスが前記留保されたポートアドレスのリストに含まれており、また、前記宛先ポートアドレスが前記ローカルIPアドレスに接続されている場合は、前記データグラムに対する通常のアドレス変換を実行し、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うステップと、 前記データグラムの前記ソースIPアドレスを前記ゲートウェイの前記外部のIPアドレスに変更し、前記宛先ポートアドレスを前記ローカル機器の前記ローカルIPアドレスに接続し、前記宛先ポートアドレスと、前記外部機器の外部IPアドレス間の連携を作り出し、前記宛先ポートアドレスが前記ローカル機器の前記ローカルIPアドレスに接続されていない場合は、前記データグラムを前記外部ネットワークに移し、前記外部機器へのルーティングと伝送とを行うステップとを前記マシンに実行させることを特徴とする記憶装置。
JP2001565007A 2000-03-03 2001-02-27 ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ Expired - Fee Related JP4634687B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/518,399 US7058973B1 (en) 2000-03-03 2000-03-03 Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
US09/518,399 2000-03-03
PCT/US2001/006257 WO2001067258A1 (en) 2000-03-03 2001-02-27 Network address translation gateway for local area networks using local ip addresses and non-translatable port addresses

Publications (3)

Publication Number Publication Date
JP2003526270A JP2003526270A (ja) 2003-09-02
JP2003526270A5 JP2003526270A5 (ja) 2008-02-21
JP4634687B2 true JP4634687B2 (ja) 2011-02-16

Family

ID=24063767

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2001565007A Expired - Fee Related JP4634687B2 (ja) 2000-03-03 2001-02-27 ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
JP2001059821A Pending JP2001313679A (ja) 2000-03-03 2001-03-05 ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2001059821A Pending JP2001313679A (ja) 2000-03-03 2001-03-05 ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ

Country Status (14)

Country Link
US (3) US7058973B1 (ja)
EP (2) EP1259886B1 (ja)
JP (2) JP4634687B2 (ja)
KR (2) KR100798660B1 (ja)
CN (2) CN1209712C (ja)
AT (1) ATE315860T1 (ja)
AU (1) AU2001243311B2 (ja)
BR (1) BR0109033B1 (ja)
CA (1) CA2401103C (ja)
DE (1) DE60116610T2 (ja)
MX (1) MXPA02008626A (ja)
RU (1) RU2241252C2 (ja)
TW (1) TW494301B (ja)
WO (1) WO2001067258A1 (ja)

Families Citing this family (162)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107614B1 (en) 1999-01-29 2006-09-12 International Business Machines Corporation System and method for network address translation integration with IP security
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
JP3636095B2 (ja) * 2000-05-23 2005-04-06 インターナショナル・ビジネス・マシーンズ・コーポレーション Vpn接続のセキュリティ
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7900042B2 (en) * 2001-06-26 2011-03-01 Ncipher Corporation Limited Encrypted packet inspection
US7769865B1 (en) * 2001-10-16 2010-08-03 Sprint Communications Company L.P. Configuring computer network communications in response to detected firewalls
US20030079000A1 (en) * 2001-10-19 2003-04-24 Chamberlain Robert L. Methods and apparatus for configuring multiple logical networks of devices on a single physical network
US7159109B2 (en) * 2001-11-07 2007-01-02 Intel Corporation Method and apparatus to manage address translation for secure connections
KR100449809B1 (ko) * 2001-12-27 2004-09-22 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
JP2003204326A (ja) 2002-01-09 2003-07-18 Nec Corp 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
KR20030062106A (ko) * 2002-01-16 2003-07-23 한국전자통신연구원 가상 사설망으로부터 데이터 패킷을 수신하는 방법 및 장치
ATE293863T1 (de) * 2002-01-23 2005-05-15 Sony Int Europe Gmbh Ein verfahren zur übertragung von end-to-end qos durch anwendung des end-to-end negotiation protocols (e2enp)
JP4010830B2 (ja) * 2002-03-05 2007-11-21 富士通株式会社 通信装置およびネットワークシステム
US7243368B2 (en) * 2002-03-29 2007-07-10 Hewlett-Packard Development Company, L.P. Access control system and method for a networked computer system
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US7243141B2 (en) * 2002-05-13 2007-07-10 Sony Computer Entertainment America, Inc. Network configuration evaluation
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
CN100433667C (zh) * 2002-05-29 2008-11-12 华为技术有限公司 网络地址转换中私网用户访问资源分配方法
GB2418821B (en) * 2002-06-13 2006-08-09 Nvidia Corp Method and apparatus for enhanced security for communication over a network
US7191331B2 (en) 2002-06-13 2007-03-13 Nvidia Corporation Detection of support for security protocol and address translation integration
US7143188B2 (en) 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for network address translation integration with internet protocol security
US7120930B2 (en) 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
GB2413248B (en) * 2002-06-13 2006-06-21 Nvidia Corp Method and apparatus for enhanced security for communication over a network
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
JP3564117B2 (ja) * 2002-07-01 2004-09-08 株式会社バッファロー 無線lan装置
KR100878764B1 (ko) * 2002-07-06 2009-01-14 삼성전자주식회사 사용자의 익명성보장을 위한 무선 랜 시스템 및 사용자의익명성 보장방법
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
JP4056849B2 (ja) * 2002-08-09 2008-03-05 富士通株式会社 仮想閉域網システム
US6826627B2 (en) 2002-09-03 2004-11-30 Burnbag, Ltd. Data transformation architecture
FR2844949B1 (fr) * 2002-09-24 2006-05-26 Radiotelephone Sfr Procede de gestion d'une configuration d'une passerelle par un utilisateur de la passerelle
CZ298394B6 (cs) * 2002-10-01 2007-09-19 Anect A. S. Komunikacní infrastruktura spolupracující korporace
KR100479261B1 (ko) 2002-10-12 2005-03-31 한국전자통신연구원 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
TWI220344B (en) * 2002-10-23 2004-08-11 Winbond Electronics Corp Manufacture and method for accelerating network address translation
US7921285B2 (en) * 2002-12-27 2011-04-05 Verizon Corporate Services Group Inc. Means of mitigating denial of service attacks on IP fragmentation in high performance IPsec gateways
US7290134B2 (en) * 2002-12-31 2007-10-30 Broadcom Corporation Encapsulation mechanism for packet processing
CN1311664C (zh) * 2003-03-05 2007-04-18 华为技术有限公司 在分布式网络交换系统中实现的端口捆绑方法
US7634805B2 (en) * 2003-03-05 2009-12-15 Microsoft Corporation Use of network address translation for implementation of stateful routing
DE10310351A1 (de) 2003-03-10 2004-09-23 Giesecke & Devrient Gmbh Laden von Mediendaten in einen tragbaren Datenträger
CN100356743C (zh) * 2003-06-03 2007-12-19 华为技术有限公司 网关地址和网络地址转换地址池中地址重叠的实现方法
CN1331328C (zh) * 2003-06-06 2007-08-08 华为技术有限公司 一种基于身份认证的地址转换方法
CN100356752C (zh) * 2003-06-14 2007-12-19 华为技术有限公司 一种网络地址资源的利用方法
US20050021839A1 (en) * 2003-06-23 2005-01-27 Russell Thomas C. Method and apparatus for providing a selectively isolated equipment area network for machine elements with data communication therebetween and with remote sites
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
KR100568178B1 (ko) 2003-07-18 2006-04-05 삼성전자주식회사 게이트웨이 장치 및 그 제어방법
CN1571440A (zh) * 2003-07-25 2005-01-26 中兴通讯股份有限公司 一种跨越私网实现多媒体呼叫的系统和方法
JP2005051473A (ja) * 2003-07-28 2005-02-24 Sony Corp ネットワーク相互接続装置及びネットワーク相互接続方法、名前解決装置、並びにコンピュータ・プログラム
CN100463551C (zh) * 2003-08-14 2009-02-18 中兴通讯股份有限公司 一种在移动通信系统中实现加密通信的系统和方法
CN100359893C (zh) * 2003-08-28 2008-01-02 华为技术有限公司 以主机代理方式实现地址转换应用网关的方法
US8687485B1 (en) * 2003-09-12 2014-04-01 Rockstar Consortium USLP Method and apparatus for providing replay protection in systems using group security associations
CN1317874C (zh) * 2003-09-27 2007-05-23 财团法人资讯工业策进会 提供虚拟主机服务快速查询置换的网络地址端口转换网关器与方法
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
CN100454882C (zh) * 2003-12-19 2009-01-21 华为技术有限公司 多isp局域网的出口选择方法及装置
US7992199B1 (en) * 2003-12-31 2011-08-02 Honeywell International Inc. Method for permitting two parties to establish connectivity with both parties behind firewalls
EP1562346A1 (en) * 2004-02-06 2005-08-10 Matsushita Electric Industrial Co., Ltd. Method and system for reliably disconnecting IPSec security associations
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
US8738159B2 (en) * 2004-03-15 2014-05-27 Siemens Industry, Inc. System and method for accessing PLC data on demand
US7539858B2 (en) * 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
US7422152B2 (en) 2004-05-13 2008-09-09 Cisco Technology, Inc. Methods and devices for providing scalable RFID networks
FI20045234A0 (fi) * 2004-06-21 2004-06-21 Nokia Corp Datan lähetys viestintäjärjestelmässä
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
ATE535078T1 (de) 2004-07-23 2011-12-15 Citrix Systems Inc Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
EP1771998B1 (en) 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
WO2006020823A1 (en) 2004-08-13 2006-02-23 Citrix Systems, Inc. A method for maintaining transaction integrity across multiple remote access servers
CN1756259B (zh) * 2004-09-27 2011-04-20 国际商业机器公司 因特网协议网络中使用网络地址翻译的方法和系统
TWI253818B (en) * 2004-10-29 2006-04-21 Benq Corp Transparent address translation methods
US8458467B2 (en) * 2005-06-21 2013-06-04 Cisco Technology, Inc. Method and apparatus for adaptive application message payload content transformation in a network infrastructure element
US7664879B2 (en) 2004-11-23 2010-02-16 Cisco Technology, Inc. Caching content and state data at a network element
US7987272B2 (en) 2004-12-06 2011-07-26 Cisco Technology, Inc. Performing message payload processing functions in a network element on behalf of an application
US7725934B2 (en) 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection
US8082304B2 (en) * 2004-12-10 2011-12-20 Cisco Technology, Inc. Guaranteed delivery of application layer messages by a network element
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
WO2006072052A2 (en) 2004-12-31 2006-07-06 Anonymizer, Inc. System for protecting identity in a network environment
US7849269B2 (en) 2005-01-24 2010-12-07 Citrix Systems, Inc. System and method for performing entity tag and cache control of a dynamically generated object not identified as cacheable in a network
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
CN100414929C (zh) * 2005-03-15 2008-08-27 华为技术有限公司 一种移动互联网协议网络中的报文传送方法
US7703124B2 (en) * 2005-03-31 2010-04-20 Hewlett-Packard Development Company, L.P. System and method for implementing a private virtual backbone on a common network infrastructure
JP4768324B2 (ja) * 2005-06-07 2011-09-07 株式会社東芝 無線通信機器
US8266327B2 (en) * 2005-06-21 2012-09-11 Cisco Technology, Inc. Identity brokering in a network element
US20070172902A1 (en) * 2005-06-22 2007-07-26 The Johns Hopkins University, a non-profit organization Biomarker for ovarian cancer
IES20050439A2 (en) * 2005-06-30 2006-08-09 Asavie R & D Ltd A method of network communication
KR100799575B1 (ko) * 2005-12-07 2008-01-30 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
US7345585B2 (en) 2005-08-01 2008-03-18 Cisco Technology, Inc. Network based device for providing RFID middleware functionality
US7672289B2 (en) * 2005-08-09 2010-03-02 Mitsubishi Electric Research Laboratories, Inc. Method for defining, allocating and assigning addresses in ad hoc wireless networks
US20070079366A1 (en) * 2005-10-03 2007-04-05 Microsoft Corporation Stateless bi-directional proxy
US20070088815A1 (en) * 2005-10-13 2007-04-19 Kenneth Ma Automated setup and test confirmation of dynamic DNS service
CN100477671C (zh) * 2005-12-16 2009-04-08 中国科学院计算技术研究所 Pat模式下支持多会话应用层协议的网络地址转换方法
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
CN101047711B (zh) * 2006-04-27 2010-08-18 华为技术有限公司 Ip报文传输、协商带宽节省能力和节省网络带宽的方法
US7797406B2 (en) * 2006-07-27 2010-09-14 Cisco Technology, Inc. Applying quality of service to application messages in network elements based on roles and status
US7539189B2 (en) * 2006-08-01 2009-05-26 Cisco Technology, Inc. Apparatus and methods for supporting 802.1X in daisy chained devices
US8079077B2 (en) * 2006-08-08 2011-12-13 A10 Networks, Inc. System and method for distributed multi-processing security gateway
CN101155183B (zh) * 2006-09-29 2012-02-08 松下电器产业株式会社 处理巢状网际网络安全协议信道的方法及网络装置
JP4708297B2 (ja) * 2006-09-29 2011-06-22 富士通テレコムネットワークス株式会社 IPsecの複数セッションを処理する通信装置
US8095786B1 (en) * 2006-11-09 2012-01-10 Juniper Networks, Inc. Application-specific network-layer virtual private network connections
CN100525251C (zh) * 2006-11-30 2009-08-05 中国科学院计算技术研究所 一种网络地址转换方法
CN101072102B (zh) * 2007-03-23 2010-10-06 南京联创科技集团股份有限公司 网络环境下基于安全桌面的信息防泄漏技术
US8621552B1 (en) * 2007-05-22 2013-12-31 Skybox Security Inc. Method, a system, and a computer program product for managing access change assurance
US7729366B2 (en) * 2007-10-03 2010-06-01 General Instrument Corporation Method, apparatus and system for network mobility of a mobile communication device
CN101227494B (zh) * 2008-01-09 2013-06-12 中兴通讯股份有限公司 接入多分组数据网时因特网安全协议安全联盟的建立方法
US7817636B2 (en) * 2008-01-30 2010-10-19 Cisco Technology, Inc. Obtaining information on forwarding decisions for a packet flow
KR20090092503A (ko) * 2008-02-27 2009-09-01 주식회사 휴커넥스 하나의 아이피 주소로 복수의 아이피 장비들을 지원할 수있는 멀티포트 장치
US8924486B2 (en) * 2009-02-12 2014-12-30 Sierra Wireless, Inc. Method and system for aggregating communications
WO2010054471A1 (en) 2008-11-17 2010-05-20 Sierra Wireless, Inc. Method and apparatus for network port and network address translation
US8228848B2 (en) * 2008-11-17 2012-07-24 Sierra Wireless, Inc. Method and apparatus for facilitating push communication across a network boundary
US20100235689A1 (en) * 2009-03-16 2010-09-16 Qualcomm Incorporated Apparatus and method for employing codes for telecommunications
US8874785B2 (en) * 2010-02-15 2014-10-28 Damaka, Inc. System and method for signaling and data tunneling in a peer-to-peer environment
US8356087B1 (en) 2010-08-24 2013-01-15 Amazon Technologies, Inc. Automatically configuring virtual private networks
US20120269059A1 (en) * 2010-10-19 2012-10-25 Qualcomm Incorporated Methods and apparatus for contemporaneously providing quality of service functionality and local ip access
US9143480B2 (en) * 2011-01-10 2015-09-22 Secure Global Solutions, Llc Encrypted VPN connection
US9258271B1 (en) * 2011-01-13 2016-02-09 Google Inc. Network address translation for virtual machines
WO2012106820A1 (en) 2011-02-08 2012-08-16 Sierra Wireless, Inc. Method and system for forwarding data between network devices
WO2012145915A1 (zh) * 2011-04-29 2012-11-01 北京中天安泰信息科技有限公司 数据安全读取方法及装置
US8838735B2 (en) 2011-06-28 2014-09-16 At&T Intellectual Property I, L.P. Methods, systems, and products for address translation in residential networks
US8438240B2 (en) * 2011-09-27 2013-05-07 Cloudflare, Inc. Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service
US8621038B2 (en) 2011-09-27 2013-12-31 Cloudflare, Inc. Incompatible network gateway provisioned through DNS
US9258272B1 (en) * 2011-10-21 2016-02-09 Juniper Networks, Inc. Stateless deterministic network address translation
US9178846B1 (en) * 2011-11-04 2015-11-03 Juniper Networks, Inc. Deterministic network address and port translation
KR20130052240A (ko) * 2011-11-11 2013-05-22 삼성전자주식회사 네트워크 주소 변환기 통과 기법을 프로비저닝하기 위한 방법 및 장치
CN103139189B (zh) * 2011-12-05 2017-03-22 京信通信系统(中国)有限公司 一种IPSec隧道共用方法、系统及设备
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US8891540B2 (en) 2012-05-14 2014-11-18 Juniper Networks, Inc. Inline network address translation within a mobile gateway router
US9596286B2 (en) 2012-05-25 2017-03-14 A10 Networks, Inc. Method to process HTTP header with hardware assistance
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
WO2014052099A2 (en) 2012-09-25 2014-04-03 A10 Networks, Inc. Load distribution in data networks
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
RU2637471C2 (ru) * 2013-10-09 2017-12-04 Нек Корпорейшн Система связи, аппаратура связи и способ управления связью
WO2015066840A1 (zh) * 2013-11-05 2015-05-14 华为技术有限公司 一种网络地址转换设备及方法
CN103607403A (zh) * 2013-11-26 2014-02-26 北京星网锐捷网络技术有限公司 一种nat网络环境下使用安全域的方法、装置和系统
MX364546B (es) * 2014-02-06 2019-04-30 Acceleration Systems Llc Sistemas y métodos para proporcionar una arquitectura de enlace seguro múltiple.
CN103942499B (zh) * 2014-03-04 2017-01-11 中天安泰(北京)信息技术有限公司 基于移动存储器的数据黑洞处理方法及移动存储器
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US9525627B2 (en) 2014-05-27 2016-12-20 Google Inc. Network packet encapsulation and routing
US10129207B1 (en) 2015-07-20 2018-11-13 Juniper Networks, Inc. Network address translation within network device having multiple service units
EP3286954B1 (en) * 2015-08-21 2019-04-17 Telefonaktiebolaget LM Ericsson (publ) Communication of non-ip data over packet data networks
US10038672B1 (en) * 2016-03-29 2018-07-31 EMC IP Holding Company LLC Virtual private network sessions generation
CN106330653A (zh) * 2016-08-30 2017-01-11 成都极玩网络技术有限公司 基于轻量级安全虚拟专用网的智能分流网关
US10469446B1 (en) 2016-09-27 2019-11-05 Juniper Networks, Inc. Subscriber-aware network address translation
JP2018067248A (ja) * 2016-10-21 2018-04-26 富士通株式会社 制御プログラム、制御方法、及び情報処理装置
KR101920190B1 (ko) * 2016-11-22 2019-02-08 한국인터넷진흥원 임의의 ip 생성 방법 및 그 장치
US10594829B2 (en) * 2017-05-24 2020-03-17 At&T Intellectual Property I, L.P. Cloud workload proxy as link-local service configured to access a service proxy gateway via a link-local IP address to communicate with an external target service via a private network
US10565062B1 (en) * 2017-08-03 2020-02-18 Veritas Technologies Llc Systems and methods for managing replication of data to a remote storage device
CN107547690B (zh) * 2017-09-25 2021-06-18 新华三信息安全技术有限公司 Nat中的端口分配方法、装置、nat设备及存储介质
CN107943438A (zh) * 2017-12-21 2018-04-20 国网河北省电力有限公司衡水供电分公司 无人值守变电站的办公优化方法
US10791091B1 (en) * 2018-02-13 2020-09-29 Architecture Technology Corporation High assurance unified network switch
CN110858229B (zh) 2018-08-23 2023-04-07 阿里巴巴集团控股有限公司 数据处理方法、设备、访问控制系统及存储介质
CN109152096B (zh) * 2018-09-27 2020-09-25 安科讯(福建)科技有限公司 Eps架构的报文传输方法及计算机可读存储介质
CN110138748B (zh) * 2019-04-23 2020-10-23 北京交通大学 一种网络融合通信方法、网关设备和系统
JP7309443B2 (ja) * 2019-05-14 2023-07-18 キヤノン株式会社 印刷装置、制御方法及びプログラム
CN112671939B (zh) * 2020-08-17 2022-07-05 紫光云技术有限公司 一种区分nat删除和nat解绑弹性公网ip的方法
US11394686B1 (en) * 2021-02-25 2022-07-19 Nvidia Corporation Dynamic network address translation using prediction
CN113794788B (zh) * 2021-09-14 2023-07-25 北京百度网讯科技有限公司 网关导流方法、系统、装置、设备、存储介质及产品

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4727370A (en) * 1985-12-17 1988-02-23 Ampex Corporation Method and system for synchronous handshake generation
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
AU1748797A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Key management for network communication
AU1829897A (en) * 1996-01-16 1997-08-11 Raptor Systems, Inc. Transferring encrypted packets over a public network
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
CN1216657A (zh) * 1996-04-24 1999-05-12 北方电讯有限公司 互联网协议过滤器
US5983350A (en) 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6006259A (en) 1998-11-20 1999-12-21 Network Alchemy, Inc. Method and apparatus for an internet protocol (IP) network clustering system
US6691168B1 (en) * 1998-12-31 2004-02-10 Pmc-Sierra Method and apparatus for high-speed network rule processing
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6449251B1 (en) * 1999-04-02 2002-09-10 Nortel Networks Limited Packet mapper for dynamic data packet prioritization
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6347376B1 (en) * 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
JP3597756B2 (ja) * 2000-06-09 2004-12-08 日本電信電話株式会社 ネットワークアドレス変換装置およびvpnクライアント多重化システム

Also Published As

Publication number Publication date
US7581247B2 (en) 2009-08-25
AU4331101A (en) 2001-09-17
BR0109033B1 (pt) 2015-03-10
EP1259886A1 (en) 2002-11-27
WO2001067258A1 (en) 2001-09-13
EP1259886B1 (en) 2006-01-11
EP1259886A4 (en) 2004-04-28
US7058973B1 (en) 2006-06-06
CN1332552A (zh) 2002-01-23
CN1209712C (zh) 2005-07-06
US20060185010A1 (en) 2006-08-17
ATE315860T1 (de) 2006-02-15
CN1408088A (zh) 2003-04-02
RU2002126235A (ru) 2004-03-27
US8165140B2 (en) 2012-04-24
CA2401103C (en) 2007-04-10
KR20020079979A (ko) 2002-10-21
DE60116610T2 (de) 2006-11-23
DE60116610D1 (de) 2006-04-06
KR100798660B1 (ko) 2008-01-28
TW494301B (en) 2002-07-11
RU2241252C2 (ru) 2004-11-27
MXPA02008626A (es) 2003-02-24
AU2001243311B2 (en) 2003-12-18
JP2003526270A (ja) 2003-09-02
EP1130846A3 (en) 2003-09-24
JP2001313679A (ja) 2001-11-09
US20090059940A1 (en) 2009-03-05
KR20010087322A (ko) 2001-09-15
EP1130846A2 (en) 2001-09-05
CA2401103A1 (en) 2001-09-13
BR0109033A (pt) 2003-06-03

Similar Documents

Publication Publication Date Title
JP4634687B2 (ja) ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
US11283772B2 (en) Method and system for sending a message through a secure connection
US7028337B2 (en) Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same
US7159242B2 (en) Secure IPsec tunnels with a background system accessible via a gateway implementing NAT
US20020042875A1 (en) Method and apparatus for end-to-end secure data communication
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP2008543140A (ja) ホストアイデンティティプトコルを使用する方法及び装置
US7346926B2 (en) Method for sending messages over secure mobile communication links
JP2006191205A (ja) 通信装置及び通信方法、通信システム
CN101124548A (zh) 具有伪服务器的虚拟专用网络

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040317

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20070413

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071227

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101022

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101119

R150 Certificate of patent or registration of utility model

Ref document number: 4634687

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131126

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131126

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees