JP4766574B2 - ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 - Google Patents
ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 Download PDFInfo
- Publication number
- JP4766574B2 JP4766574B2 JP2008505871A JP2008505871A JP4766574B2 JP 4766574 B2 JP4766574 B2 JP 4766574B2 JP 2008505871 A JP2008505871 A JP 2008505871A JP 2008505871 A JP2008505871 A JP 2008505871A JP 4766574 B2 JP4766574 B2 JP 4766574B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- napt
- ipsec
- source
- source port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims 1
- 238000013519 translation Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 8
- 230000003068 static effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011330 nucleic acid test Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、一般的には、インターネット・ネットワーキングに関し、特定的には、ネットワーク・アドレスおよびポート変換によって生じる衝突に対する対応に関する。
本明細書において、インターネットとインターネット通信の基礎を形成するTCP/IPプロトコルとの観点から、問題と解決策とを説明する。しかしながら、本技術は、プロトコルの詳細によっては、他の通信プロトコルにも同様に提供可能である。
インターネット・ネットワーク・アドレス変換を使用する理由はいくつかある。主な理由は、公開アドレスの使用を節約することである。ネットワーク・アドレス変換器(NAT)のインターネット・プロトコル(IP)アドレスは、一般的には公開アドレスである。すなわち、NAT IPアドレスは、外部世界に知られているが、NATの背後にあるサーバまたはクライアントのすべては、プライベート・アドレスであり、外部世界には知られていない。そのような場合、外部世界は、NATと通信を行い、NATは、その背後にある適切なサーバおよびクライアントとの通信を制御する。これは、NATの背後にある装置のIPアドレスは当該ファミリー内で固有であればよいが、世界のその他におけるIPアドレスは重複している可能性がある。NATは、IPアドレスの変換のみに関与する。さらに、ネットワーク・アドレス・ポート変換(NAPT)として知られる種類の変換があり、ここでは、IPアドレスおよびポート番号の両方が変換される。ネットワーク・アドレス変換(NAT)およびネットワーク・アドレス・ポート変換(NAPT)のための規格は、インターネット技術標準化委員会(IETF)の、「Traditional IP Network Address Translation」という名称のRFC3022に記載されている。
元来のインターネットは、セキュリティを主要な要素として設計されていない。実際、インターネットは、科学的および教育的通信に対する支援として、意図的に比較的オープンに作られた。しかしながら、ウェブの出現とその商用によって、安全なインターネット通信に対する必要性が増している。一般的にはIPsecとして知られるインターネット・セキュリティ・プロトコルは、これらの問題に対処するために定義されていた。例えば、IPsecは、ネットワーク装置の認証または送信データの暗号化もしくはその両方を提供する。ソース・アドレスと宛先アドレスとの間のIPsec通信は、セキュリティ・アソシエーション(SA)に従って管理される。SAは、通信に適用されるIPsec処理を定義する1つ以上の規則である。IPsecは、RFC2401および他のRFCに定義されている。パケットが拒否されるか、IPsec処理なしで許可されるか、またはIPsec処理ありで許可されるかどうかは、セキュリティ・ポリシー・データベース(SPD)内のセキュリティ規則を有するパケットの属性を照合することによって判断される。この判断を行うために、既知の技術は、送信および受信パケットの両方に関する最も特定性の高い属性から最も特定性の低い属性の順で、静的および動的規則を検索する。静的規則のセットが、実質的にはセキュリティ規則である。静的規則は、予め定義付けられており、一般的にはあまり頻繁に変化しない。動的規則は、IKE(インターネット鍵交換)処理中に必要に応じてノード間で交渉され、必要に応じて動的にセキュリティ・ポリシー・データベースに追加される規則である。IBM社の米国特許第6347376号は、SPDの動的規則を検索する好ましい一方法を記載する。
ネットワーク・アドレスまたはポート変換とIPsec処理との間には、固有の不適合性が存在する。このような不適合性が、IPsecの配置には障壁となる。RFC3715は、このような不適合性のいくつかを認識し説明しているが、一般的な解決策は提供していない。例えば、RFC3715の第4.1節は、RFC3456「Dynamic Host Configuration Protocol(DHCPv4,Configuration of IPsec Tunnel Mode)」に提案された限定的な解決策を示しているが、より一般的な解決策が必要とされていることを述べている。加えて、IETFのIPsecワーキング・グループからの「UDP Encapsulation of IPsec パケット」という名称のRFC3948の第5節も、不適合性のいくつかの問題に対処している。特に、RFC3948の第5.2節は、NATによって扱われるクライアントへの接続上でどんなIPsecセキュリティ・アソシエーションを使用するかを判断する問題について簡単に説明している。また、この節は、NAPTがIPsecトラフィックも扱う場合にNAPTの背後のクライアントへのクリア・テキスト接続を可能にする他の問題について述べている。
よって、クライアントがNAPTで扱われる場合には、重複ソースを回避するという問題に対処する必要性がある。この問題に対しては、どの関連のIETF RFC文献も解決策を提供していない。本明細書の目的のために、重複ソースは、同一のソース・アドレス(例えば、IPsecカプセル化された元のパケットに割り当てられたNAPTのIPアドレス)、同一のトランスポート・プロトコル、および同一の元ソース・ポート番号(すなわち、IPsecカプセル化されたパケットのトランスポート・ヘッダにおけるポート番号)を有するパケットとして定義される。
重複ソースは、ネットワークの整合性を破る重複接続という結果をもたらす。例えば、パケットが誤った宛先に送られる可能性がある。
「Negotiation of NAT‐Traversal in the IKE」という名称のRFC3947は、NATトラバーサル・サポートためのIKE(インターネット鍵交換)のフェーズ1およびフェーズ2において必要とされるものを記述している。これには、パケット通信における両端がNATトラバーサルをサポートしているかどうかを検出することと、ホストからホストへのパスに沿って1つ以上のNATがあるかどうかを検出することを含まれる。また、IKEクイック・モードにおけるユーザ・データグラム・プロトコル(UDP)のカプセル化されたIPsecパケットの使用を交渉するやり方も含まれており、元ソースIPアドレスを他端に必要に応じて送信するやり方を記載している。UDPは、RFC768に定義されている。RFC3948である「UDP Encapsulation of IPsec ESP Packets」は、NATをトラバースするために、UDPパケット内部のESP(カプセル化セキュリティ・ペイロード)パケットをカプセル化およびカプセル開放するための方法を定義している。ESPは、RFC2406に定義されている。ESPは、IPv4およびIPv6における混合セキュリティ・サービスを提供するように設計されている。
本発明は、NAPTによって扱われるソース・アプリケーションを識別するためのソース・アドレス、プロトコル、およびソース・ポート番号を使用する接続におけるパケットの複製ソースを防止することに向けられている。パケットがサーバで受信されると、当該パケットが、ネットワーク・アドレス・ポート変換器(NAPT)を含む送信路のESPパケットをカプセル化するUDPパケットかどうかについて判断する。この判断が合致すると、元パケットはカプセル開放されて、元ソース・ポート番号と、元トランスポート・プロトコルとを取得する。ソース・ポート・マッピング・テーブル(SPMT)を検索して、NAPTソースIPアドレスと、元ソース・ポート番号と、NAPTソースIPアドレスおよび変換されたソース・ポート番号に関連した元トランスポート・プロトコルとの間のアソシエーションを求める。不正確なアソシエーションが見つかると、パケットは、不正な重複ソース、すなわち、同一のソースIPアドレス、ソース・ポート番号およびプロトコルを使用しているNAPTによって扱われる異なるホストからの第2のパケットを表すものとして拒絶される。
好ましい実施形態において、サーバにおけるSPMT内のネットワーク・アドレス・ポート変換器(NAPT)ホスト・エントリが、インターネット・ホストからのインターネット鍵交換(IKE)メッセージに応答して動的に構築される。各NAPTホスト・エントリは、NAPTのソースIPアドレスと、NAPTによって割り当てられたソース・ポートとを含む。SPMT内のソース・ポート・エントリは、暗号化されたパケットが到着して復号化されるにつれて動的に構築され、ソース・ポート・エントリとSPMTのNAPTホスト・エントリとの間でアソシエーションが確立される。各ソース・ポート・エントリは、NAPTのソースIPアドレスと、元ソース・ポート番号と、元プロトコルとを含む。
本発明の好ましい一実施形態を、以下の図面を参照して一例として説明する。
本発明の実施形態によって対処される問題は、インターネット送信におけるトランスポート・モードおよびトンネル・モードの両方について存在するが、開示された実施形態は、トランスポート・モードに向けられている。説明する軽微な変形によって、トランスポート・モードに関する開示をトンネル・モードにおける動作のために適合させる。
本発明の実施形態は、ソフトウェア、ハードウェア、またはハードウェアおよびソフトウェアの組み合わせにおいて実施することができる。さらに、本発明の実施形態は、コンピュータまたは任意の命令実行システムによってまたはそれに関連して使用される媒体で実施されるプログラム・コード手段を有する、コンピュータ使用可能またはコンピュータ読み取り可能な記憶媒体上のコンピュータ・プログラム製品の形態を取ることができる。本明細書の場合、コンピュータ使用可能またはコンピュータ読み取り可能な媒体は、命令実行システム、装置、または機器によってまたはそれに関連して使用される、プログラムを包含、記憶、通信、伝播、または搬送することができる任意の手段でありうる。
しかしながら、媒体は、例えば、電子的、磁気的、光学的、電磁的、赤外線、または半導体のシステム、装置、機器、または伝播媒体であることが可能であるが、これらに限定されない。コンピュータ読み取り可能な媒体のより特定的な例(網羅したリストではない)には、1つ以上の線を有する電気接続、着脱可能なコンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラム可能読み出し専用メモリ(EPROMまたはフラッシュ・メモリ)、光ファイバ、携帯型コンパクト・ディスク読み出し専用メモリ(CD‐ROM)が含まれるだろう。注意すべきは、コンピュータ使用可能またはコンピュータ読み取り可能な媒体は、プログラムを印刷可能な用紙または他の適した媒体であってさえよく、なぜならば、プログラムを例えば用紙または他の媒体の光走査を介して電子的に取り込んでから、コンパイル、解釈、または、そうでない場合には必要があれば適切なやり方での処理の後、コンピュータ・メモリに記憶することができるからである。
本説明において、同様の番号は、全体に渡って同様の構成要素を示す。
IPsec処理を使用して、パケットの内容をセキュリティ目的のために認証または暗号化することができる。認証および暗号化は、共にパケットに適用できるか、または、別個に適用できる。この説明を簡略化すると、IPsec処理の説明は、暗号化および復号化の観点でのパケットのカプセル化およびカプセル開放について述べている。説明の処理は、認証が単独に適用されていても、暗号化と共に適用されていても、等しく有効である。
IPsec処理がソース・クライアントからの送信パケットに適用されると、当該処理は、元ソースおよび宛先ポートならびにプロトコル・フィールドを暗号化し、この暗号化されたものをUDPパケットにカプセル化する。元クライアント・ソースIPアドレスがUDPパケットに保持されるが、ソース・ポート番号は、RFC3948「UDP Encapsulation of IPsec ESP Packets」に規定されているような4500に設定される。UDPパケットはその後NAPTへ送られ、NAPTは、さらなる変換を行う。これらの変換は、図1および図2に対して以下に詳細に説明する。特に、NAPTは、その自身のIPアドレスをクライアント・ソースIPアドレスの代わりに使用し、UDPヘッダに対する新規の固有のポート番号を割り当て、戻りパケットが元ソースに対してマッピングされるようにこれらの変換を追跡する。RFC3948が説明する手法では、TCPまたはUDPパケット内の元ソース・ポート番号は、NAPT装置によって変更されない。なぜならば、これは、IPsec ESPペイロードの一部として暗号化されている元トランスポート・ヘッダの一部だからである。その代わりに、上述のように、UDPカプセル化のために追加されたUDPヘッダ内のポート番号が変更される。そのようなIPsecパケットがサーバによって受信されて暗号化されると、元ソースおよびパケットの宛先ポートを明らかにする。IPsecを通じて処理されなかったパケットについては、NAPT装置は、元ソースIPアドレスおよびソース・ポートを変換する。暗号化されないパケットについては、NAPTは、重複接続(重複ソース)がないことを保証する。
図1は、クライアント10.1.1.1からNAPT210.1.1.1とNAPT211.1.1.1を通って宛先ホスト11.1.1.1へのパケット進行と、パケット進行に伴うパケット・ヘッダおよび内容の変化とを示す。図2は、サーバからクライアントへの逆方向の戻りパケットの進行を示す。図1を参照して、IPアドレス10.1.1.1.のクライアントは、IPアドレス11.1.1.1のサーバ宛の暗号化されたパケットを送出する。IPsecによる処理以前のパケットの元の内容を100に示す。100の左欄はパケットのフィールド型を記述し、右欄はフィールド内容を示す。注意すべきなのは、100の宛先IPアドレスは、211.1.1.1であり、実際の宛先サーバ11.1.1.1の前のNATの公開アドレスである。NAT211.1.1.1の役割は、パケットを11.1.1.1のようなバックエンド・サーバにマッピングすることである。100において、ソースおよび宛先ポートは、例示的にそれぞれ4096および21に設定されている。IPsec処理後のパケットの内容を102に示す。パケット102の底部にある薄く網掛けされた部分は、IPsecによって暗号化された部分を示す。102の濃く網掛けされた部分(および送信路の他の点におけるパケット内容)は、送信の当該点において変化または追加されたフィールドである。102において、実際のソースおよび宛先ポートは、IPsecによる4096および21という暗号化された値であり、この時点では読み出し可能ではない。IPsec処理は、UDPヘッダを追加して、これが元クライアント・パケットのポートおよびプロトコルをカプセル化するIPsecパケットである旨を示す。IPsecによって追加されたクリア・テキストUDPヘッダ内のソースおよび宛先ポートは、RFC3948によって特定されるように4500に設定されている。SPI(セキュリティ・パラメータ・インデックス)フィールドは、例示的に256に設定されている。SPIフィールドは、セキュリティ・プロトコルおよび宛先アドレスと共に、暗号化アルゴリズムおよびこれらのエンティティ間の他のセキュリティ・パラメータを司るクライアント10.1.1.1とサーバ11.1.1.1との間のセキュリティ・アソシエーションをポイントする。
102のパケットは、IPアドレス210.1.1.1におけるNAPTによって変換されて、104に示すパケットとなる。この時点で、NAPT210.1.1.1は、ソースIPアドレスを変更して、210.1.1.1という自身のアドレスを反映させている。また、NAPTは、新規の固有のソース・ポート番号を設定する。図1において、選択されたソース・ポート番号は、4500から4501へ例示的に変更される。NAPT210.1.1.1は、サーバ11.1.1.1からの戻りパケットと、クライアントIP10.1.1.1およびソース・ポート4500からの今後の送信パケットとについて、この変換を追跡する。
104のパケットは、NAT211.1.1.1によって、サーバ11.1.1.1に対する入力パケットへ再変換する。この入力パケットを106に示す。実質的には、パケットの宛先IPアドレスが、NAT211.1.1.1によって、宛先サーバの実際の宛先アドレス11.1.1.1にマッピングされる。パケットのIPsec処理は、ソース10.1.1.1.におけるIPsec処理によって追加されたUDPヘッダを除去して、実際のソースおよび宛先ポート番号を復旧させる。その後、108に示すような復旧されたパケットは、宛先ポート(本例では21)へ送られて、アプリケーション処理に供される。
完全性のために、図2は、サーバ211.1.1.1から元クライアント10.1.1.1への戻りパケット・フローを示す。このパケット・フローの詳細を説明する必要がないのは、対処される重複ソースの問題は、戻りパケットには生じないからである。
図1を再び参照すると、108のパケットは、ソース・アドレスとして、NAPT210.1.1.1のアドレスと、ソース・ポート・アドレス4096を含む。しかしながら、NAPT2101.1.1の背後にある例えば、10.1.1.2という他のクライアントが、ソース・ポート4096からホスト11.1.1.1へパケットを送っている可能性もある。したがって、クライアント10.1.1.1およびホスト11.1.1.1間のパスにおけるNAPTがあるゆえに、衝突を生じさせる不正な重複ソースの可能性がある。
宛先ホストにおけるソース・ポート・マッピング・テーブル(SPMT)を使用して、NAPTによって扱われるクライアントまたはサーバからパケットが受信される重複ソースを検出する。SPMTの例示を図3の300に示す。このテーブルは、IPsecセキュリティ・アソシエーションが確立される場合にインターネット鍵交換(IKE)パケットがサーバで受信されるときに動的に構築される。図3を参照して、IKEがNAPTを
トラバースするIPsecセキュリティ・アソシエーションを交渉する場合、TCP/IPスタックは、302などのNAPTホスト・エントリを作成して、NAPTによって表される遠隔クライアントを表すように通知される。このエントリは、NAPTのソースIPアドレス(本例においては、210.1.1.1)と、NAPTによってこのクライアントに対して割り当てられたソース・ポート(本例においては、4501)とを含む。図3は、同一のNAPT IPソース・アドレス210.1.1.1と、NAPTによって割り当てられた異なるソース・ポート4502とを有する、第2の例示的なNAPTクライアント304を示す。SPMT300の右側は、ソース・ポート・エントリである。これらのエントリは、既存のエントリのないIPsecの暗号化されたパケットが到着するにつれて作成される。ソース・ポートエントリを追加する処理は、IPsec復号化が生じた後に生じる。ソース・ポート・エントリをNAPTホスト・エントリにマッピングするアソシエーション306は、ソース・ポート・エントリが作成されるにつれて作成される。NAPTホスト・エントリは、当該エントリに関する最終セキュリティ・アソシエーションが削除されると除去される。パケットが到着して復号化されると、ソースNAPTアドレスと、元パケットのソース・ポートと、元パケットのプロトコルとが利用可能である。これらの属性の合致を見つけるために、SPMTのソース・ポート・エントリが検索される。合致が見つかると、NAPTソース・アドレスと、NAPTによって割り当てられたソース・ポートとの合致を見つけるために、関連したNAPTホスト・エントリがチェックされる。これらの後者の属性が不一致の場合、ソースNAPTの背後の2つのクライアントは同一のソース・ポート番号を使用しようとしているということを意味する。これは、重複ソースを表し、第2のパケットは拒絶される。これらの後者の属性が一致すると、パケットは許可される。
トラバースするIPsecセキュリティ・アソシエーションを交渉する場合、TCP/IPスタックは、302などのNAPTホスト・エントリを作成して、NAPTによって表される遠隔クライアントを表すように通知される。このエントリは、NAPTのソースIPアドレス(本例においては、210.1.1.1)と、NAPTによってこのクライアントに対して割り当てられたソース・ポート(本例においては、4501)とを含む。図3は、同一のNAPT IPソース・アドレス210.1.1.1と、NAPTによって割り当てられた異なるソース・ポート4502とを有する、第2の例示的なNAPTクライアント304を示す。SPMT300の右側は、ソース・ポート・エントリである。これらのエントリは、既存のエントリのないIPsecの暗号化されたパケットが到着するにつれて作成される。ソース・ポートエントリを追加する処理は、IPsec復号化が生じた後に生じる。ソース・ポート・エントリをNAPTホスト・エントリにマッピングするアソシエーション306は、ソース・ポート・エントリが作成されるにつれて作成される。NAPTホスト・エントリは、当該エントリに関する最終セキュリティ・アソシエーションが削除されると除去される。パケットが到着して復号化されると、ソースNAPTアドレスと、元パケットのソース・ポートと、元パケットのプロトコルとが利用可能である。これらの属性の合致を見つけるために、SPMTのソース・ポート・エントリが検索される。合致が見つかると、NAPTソース・アドレスと、NAPTによって割り当てられたソース・ポートとの合致を見つけるために、関連したNAPTホスト・エントリがチェックされる。これらの後者の属性が不一致の場合、ソースNAPTの背後の2つのクライアントは同一のソース・ポート番号を使用しようとしているということを意味する。これは、重複ソースを表し、第2のパケットは拒絶される。これらの後者の属性が一致すると、パケットは許可される。
図4から図7は、上述の説明を例示する助けとなる。図4は、ソースNAPTから来るパケットを示す。例示のため、クライアント・アドレスおよびポートは、10.1.1.1および4096であると仮定する。400は、NAPTによって更新されたIPヘッダである。これは、NAPTアドレス210.1.1.1と、ホスト宛先アドレス11.1.1.1とを含む。402は、IPsec処理によって追加されてNAPTによって更新されたカプセル化UDPヘッダである。ソース・ポート4500は、NAPTによって4501へ変更されている。404は、IPsec処理によって追加されたカプセル化されたセキュリティ制御(ESP)ヘッダを含む。TCPトランスポート・ヘッダ406は、元クライアント・ソースと、宛先ポートとを含み、それぞれ4096および21である。408は、ESPトレーラが続くペイロード・データを含む。トランスポート・ヘッダ406およびペイロード408は、IPsec処理に従って暗号化される。図5は、宛先ホストにおける復号化後の図4のパケットを表す。注意すべきなのは、(パケット・フィールド500からの)ソースNAPTアドレス210.1.1.1と、クライアント・ソース・ポート4096と、プロトコル(TCP)とが、フィールド506から利用可能である。これらの属性を使用して、SPMT300のソース・ポート・エントリが検索される。この例において、308において合致が見つかる。対応のアソシエーション306は、NAPTホスト・エントリ302をポイントする。ソースNAPTアドレス210.1.1.1およびNAPTソース・ポート4501は、このパケットと合致する(NAPTソース・ポート4501は、受信パケットのフィールド402からクリアで利用可能である)。よって、このパケットは、正確な接続に関連付けられて、受け付けられる。
図6および図7は、2番目に到着する「重複」ソース・パケットを表し、これは拒絶されることになる。なぜならば、フィールド700からのNAPTソース・アドレス210.1.1.1と、706からのプロトコルと、ソース・クライアント・ポート4096は、SPMT300のソース・ポート・エントリである308と合致するが、関連NAPTエントリ302は、受信パケットのフィールド602からの4502のNAPT割り当てポート番号と合致しないからである。
適切なフローチャートに関連して、この処理をより詳細に以下に説明する。
図8は、IKE交渉中のSPMT300のNAPTホスト・エントリの初期化を示す。IKE交渉は、ステップ802で表されている。交渉中に、ステップ804は、SPMT300における関連NAPTホスト・エントリを作成するためにTCP/IPスタックへ通知を送信する。この通知は、IKEフローから取り出されたNAPTソース・アドレスとポート番号とを含む。
図9は、データ・パケットが宛先ホストに到着する場合の重複ソースを検出する処理を開始する。ステップ902は、受信パケットがUDPヘッダ内にカプセル化されたESPパケットを含み、かつUDPヘッダ内のソース・ポートが予め規定されたUDPカプセル化ポート4500ではないかどうかを判断する。上記が真であれば、パケットは、暗号化または認証のいずれかのためにIPsecを使用しており、NAPTは送信路に含まれる。パケットが4500の宛先ポートを伴うUDPプロトコルを使用しており、最初の4バイトが非ゼロ・データを含む場合には、パケットは、UDPカプセル化されたESPパケットとして識別される。ステップ902におけるこれらの質問に対する答えがいいえの場合は、904におけるオプション1と906におけるオプション2という2つの代替処理オプションがある。これらを共に以下で説明する。902における答えがハイであると仮定すると、908は図10のAと続く。図10において、ステップ1002は、パケットを復号化するために必要なIPsec処理を行う。その結果、NAPTソース・アドレスと、元クライアント・ソース・ポート番号と、プロトコルとが、上述のようにクリアで取得される。ステップ1004は、これらの属性についてSPMT300のソース・ポート・エントリを検索する。1006において、合致が見つからない場合には、ステップ1008においてソース・ポート・エントリが作成され、パケットの受信処理は通常通り継続する。ステップ1006において合致が見つかると、ステップ1010は、対応のアソシエーション306を使用して、NAPT割り当てソース・アドレスと、復号化されたパケットからの同一の属性への対応NAPTホスト・エントリからのポート番号とを比較する。この比較が失敗すると、パケットは1011において拒絶される。合致が取得されると、パケット処理は、通常通り1012において継続する。
図9からのオプション1およびオプション2は、パケットがクリア内に送られる(IPsec処理がない)か、パス内にアドレス変換(NAPT)がないかのいずれかの状況を表す。しかしながら、重複ソースの可能性がまだある。代替オプション1および2は両方とも、そのような重複パケットを回避する。オプション1の処理は、図11のBで開始する。このオプションは、SPMTテーブル300を通じてすべてのデータ・パケットを処理する。これは、「NO IPSEC/NAPT」として指定された他の単一のNAPTホスト・エントリを追加することによって行われる。SPMT300のパケットが到着すると、ソース・ポート・エントリを上述のように検索する。合致が見つからない場合には、ソース・ポート・エントリが1106において作成されて、「NO IPSEC/NAPT」NAPTホスト・エントリに関連付けられる。合致するソース・ポート・エントリが1104で見つかると、ステップ1110は、対応アソシエーション306が「NO IPSEC/NAPT」NAPTホスト・エントリをポイントしているかどうかを判断する。ポイントしている場合には、パケットは1108で許可される。そうでなければ、パケットは1112で拒絶される。このオプション1の利点は、簡略性である。その利点は、すべてのデータ・トラフィックがSPMTテーブル300を通じて処理されるということである。
オプション2は、受信IPsecパケット・フィルタリングを使用して、重複ソース・パケットを拒絶する。IPsecがいったんホストに設定されると、すべてのパケットは、パケットが暗号化されているかどうかに関わらず、IPsec規則テーブル(SPD)を介して処理される。これは、所定の接続上のクリア・パケットがIPsec規則によって実際に許可されたことを検証するためのものである。オプション2の処理は、図12のCで開始する。ステップ1202において、受信パケットは、IPsec規則テーブル(図示せず)を介して処理される。好ましい一実施形態においてこれがどのように行われるかについては、上記の米国特許第6347376号から判断できる。この特許を、その全体を参照により援用するものとする。パケットが暗号化されると(ステップ1204)、ステップ1206は、支配的なIPsec規則が暗号化を要求しているかどうかを判断する。要求していると仮定すると、パケットは1206において許可される。そうでない場合には、1210において拒絶される。ステップ1204においてパケットが暗号化されていない場合には、1212において、支配的なIPsec規則は暗号化されていないパケットを許可するかどうかについての判断がなされ、それに従ってパケットが許可または拒絶される。トンネル・モードにおいて、IPsec SAは、必ずしもエンド・ツー・エンドではない。例えば、SAは、ホストと、複数のクライアントおよびサーバを扱うゲートウェイとの間を交渉してもよい。トンネル・モードにおいて、単一のNAPTアドレス(UDPカプセル化ヘッダにおけるソースIPアドレス)は、複数のホストを表す場合がある。トンネル・モードにおいて、パケットのカプセル化されかつ暗号化された部分は、ソースの元のIPアドレスとTCPトランスポート・ヘッダとの両方を含む。本明細書の目的のために、トンネル・モードにおけるソースの元のIPアドレスを、内部ソースIPアドレスと称する。内部ソースIPアドレスは、全体的に固有ではないので、パケット・ルーティングまたは接続のソースを表すためには使用できない。SPMT300のソース・ポート・エントリ内に含まれるような元のソース・ポートと、トランスポート・モードについて上述したようなUDPポートだけを伴うカプセル化ソースIPアドレスとは、固有でない場合もあろう。これに対処するために、内部ソースIPアドレスを含む追加のフィールドが、図3のSPMT300のソース・ポート・エントリ(例えば、308)に追加される。(トランスポート・モードにおいては利用可能ではない)内部ソースIPアドレスは、ソース・ポート・エントリの他の値と組み合わせると、トンネル・モードのIPsec SAによって保護されたホストについての固有の識別子を生じさせる。内部ソースIPアドレスは、ステップ1008の一部として、ソース・ポート・エントリに追加される。トンネル・モード・パケットが到着すると、ステップ1004において上述したようなSPMTのソース・ポート・エントリを検索して、NAPTホスト・エントリに対するアソシエーションを見つけ、ステップ1010において、上記説明に加えて、復号化されたパケットから取得した内部ソース・クライアントIPアドレスがソース・ポート・エントリ内のクライアントIPアドレスと同一であることを検証する。この検証が失敗すると、当該パケットは拒絶される。
好ましい実施形態が数多くの軽微の変形を有しうることは、当業者にとって明らかだろう。例えば、ICMPプロトコルは、ポート番号を使用せず、むしろクエリ識別子を使用する。開示され請求された本発明に関して、クエリ識別子は、ポート番号と等価である。
Claims (14)
- アプリケーションを識別するためにネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止する方法であって、
a)サーバでパケットを受信するステップと、
b)前記パケットがネットワーク・アドレス・ポート変換器(NAPT)によって変換されており且つIPsecカプセル化されたパケットを含むかどうかを判断するステップと、
c)前記パケットが変換されており且つIPsecカプセル化されたパケットを含むことに応じて、前記パケットの送信者に関する元の接続情報を取得するために前記パケットを処理し、そしてNAPTによって変換された接続情報と前記元の接続情報との間のアソシエーションのためのソース・ポート・マッピング・テーブル(SPMT)を検索するステップと、
d)ステップc)の結果が重複ソースであることを表すことに応じて、前記パケットを拒絶するステップであって、前記元の接続情報が、前記SPMTにおいて合致し且つ前記パケット中に含まれる前記NAPTによって変換された前記接続情報に前記SPMTにおいて関連付けられていないことに応じて、前記重複ソースであることが表される、前記拒絶するステップと
を含む、前記方法。 - 前記ソース・ポート・マッピング・テーブルは、
クライアントとサーバとの間のセキュリティ・アソシエーションが交渉される場合に作成されるNAPTホスト・エントリと、
非重複ソース・パケットとして生成されるソース・ポート・エントリであって、前記非重複ソース・パケットは、重複ソースを検出するために使用される前記ソース・ポート・エントリと前記NAPTホスト・エントリとの間のマッピングを備える既存のエントリがない場所から到着する、前記ソース・ポート・エントリと
を含む、請求項1に記載の方法。 - 前記ソース・ポート・マッピング・テーブル内にNO IPSEC/NAPTホスト・エントリを確立して、請求項1のステップb)を失敗したすべての受信パケットを示して、ソース・ポート・エントリを有しないすべての受信パケットを表して、ソース・ポート・エントリを有しないすべての受信パケットについてのソース・ポート・エントリを作成し、
前記ソース・ポート・エントリをNO IPSEC/NAPTホスト・エントリにマッピングし、
前記NO IPSEC/NAPTホスト・エントリにマッピングされていない前記ソース・ポート・マッピング・テーブル内にソース・ポート・エントリを既に有する受信パケットのいずれかを拒絶するステップと
をさらに含む、請求項2に記載の方法。 - アプリケーションを識別するためにネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止する方法であって、
a)サーバでパケットを受信するステップと、
b)前記パケットがIPsecカプセル化されたパケットかどうかを判断するステップと、
c)前記パケットがIPsecカプセル化されたパケットであることに応じて、前記パケットの送信パスがネットワーク・アドレス・ポート変換器(NAPT)を含むかどうかを判断するステップと、
d)前記送信パスがNAPTを含むことに応じて、前記IPsecカプセル化されたパケットを復号化して、前記パケットの送信者に関する元のソース・ポート番号及び元のパケット・プロトコルを取得するステップと、
e)NAPTによって変換されたソース・アドレス及びソース・ポート番号を有するNAPTホスト・エントリと、NAPTによって変換されたソース・アドレス、元のソース・ポート番号及びパケット・プロトコルを有するソース・ポート・エントリとの間のアソシエーションを見つけるためのソース・ポート・マッピング・テーブル(SPMT)を使用して、アソシエーションを検索するステップと、
f)前記ステップe)において検索されたアソシエーションのソース・ポート・エントリが前記パケット内に含まれる元のソース・ポート番号と異なる元のソース・ポート番号を有する場合に、前記IPsecカプセル化されたパケットを拒絶するステップと
を含む、前記方法。 - ステップb)は、ユーザ・データグラム・プロトコル(UDP)ヘッダによってカプセル化されたカプセル化セキュリティ・ペイロード(ESP)を含むかどうかを判断するステップをさらに含む、請求項4に記載の方法。
- 前記カプセル化されたUDPヘッダは、4500以外のソース・ポート・番号と、450に等しい宛先ポート番号を含むかどうかを判断するステップをさらに含む、請求項4に記載の方法。
- インターネット・ホストからのインターネット鍵交換(IKE)メッセージに応答して、前記サーバにおける前記SPMT内に、NAPTによって変換されたソース・アドレス及びソース・ポート番号をそれぞれ含む複数のNAPTホスト・エントリを動的に構築するステップをさらに含む、請求項4に記載の方法。
- IPsecパケットが到着して処理されると、前記SPMT内に、NAPTによって変換されたソース・アドレス、元のソース・ポート番号及びパケット・プロトコルをそれぞれ含む複数のソース・ポート・エントリを動的に構築するステップと、前記構築されたNAPTホスト・エントリと前記構築されたソース・ポート・エントリとの間のアソシエーションを確立するステップとをさらに含む、請求項7に記載の方法。
- 前記アソシエーションを確立するステップは、アソシエーションがないIPsecパケットが到着することに応じて、各アソシエーションを動的に確立するステップをさらに含む、請求項8に記載の方法。
- 単一のホスト「NO IPSEC/NAPT」エントリを前記SPMTに追加して、ESPヘッダを含まないかまたはNAPTを通過していないすべてのパケットを関連付けるステップと、
ESPヘッダを含まないかまたはNAPTを通過しておらず、且つアソシエーションを有しないパケットが到着することに応じて、前記SPMTのソース・ポート・エントリと、前記「NO IPSEC/NAPT」エントリとの間のアソシエーションを形成するステップと、
前記「NO IPSEC/NAPT」エントリをポイントしない前記合致ソース・ポート・エントリについて確立されたアソシエーションが既にあることに応じて、ESPヘッダを含まないかまたはNAPTを通過していないパケットを拒絶するステップと
をさらに含む、請求項9に記載の方法。 - 到着パケットの送信パスがNAPTを含まないか、前記到着パケットがIPsecパケットでないことに応じて、規則のセキュリティ・テーブルを検索して、前記パケットの拒絶または受け入れを司る合致規則を見つけるステップと、
前記パケットがIPsecパケットであって前記合致規則がIPsec処理を必要としないことに応じて、前記パケットを拒絶するステップと、
前記パケットがIPsecパケットでなく且つ前記合致規則がIPsec処理を必要とすることに応じて、前記パケットを拒絶するステップと
をさらに含む、請求項4に記載の方法。 - コンピュータに、請求項1〜11のいずれか1項に記載の方法の各ステップを実行させるコンピュータ・プログラム。
- アプリケーションを識別するためにネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための装置であって、
a)サーバでパケットを受信するための手段と、
b)前記パケットがネットワーク・アドレス・ポート変換器(NAPT)によって変換されており且つIPsecカプセル化されたパケットを含むかどうかを判断するための手段と、
c)前記パケットが変換されており且つIPsecカプセル化されたパケットを含むことに応じて、前記パケットの送信者に関する元の接続情報を取得するために前記パケットを処理し、そしてNAPTによって変換された接続情報と前記元の接続情報との間のアソシエーションのためのソース・ポート・マッピング・テーブル(SPMT)を検索する手段と、
d)前記SPMTが重複ソースであることを表すことに応じて、前記パケットを拒絶するための手段あって、前記元の接続情報が、前記SPMTにおいて合致し且つ前記パケット中に含まれる前記NAPTによって変換された前記接続情報に前記SPMTにおいて関連付けられていないことに応じて、前記重複ソースであることが表される、前記拒絶するための手段と
を備える、前記装置。 - アプリケーションを識別するためにネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための装置であって、
a)サーバでパケットを受信するための手段と、
b)前記パケットがIPsecカプセル化されたパケットかどうかを判断するための手段と、
c)前記パケットがIPsecカプセル化されたパケットであることに応じて、前記パケットの送信パスがネットワーク・アドレス・ポート変換器(NAPT)を含むかどうかを判断するための手段と、
d)前記送信パスがNAPTを含むことに応じて、前記IPsecカプセル化されたパケットを復号化して、前記パケットの送信者に関する元のソース・ポート番号及び元のパケット・プロトコルを取得するための手段と、
e)NAPTによって変換されたソース・アドレス及びソース・ポート番号を有するNAPTホスト・エントリと、NAPTによって変換されたソース・アドレス、元のソース・ポート番号及びパケット・プロトコルを有するソース・ポート・エントリとの間のアソシエーションを見つけるためのソース・ポート・マッピング・テーブル(SPMT)を使用して、アソシエーションを検索するための手段と、
f)前記検索されたアソシエーションのソース・ポート・エントリが前記パケット内に含まれる元のソース・ポート番号と異なる元のソース・ポート番号を有する場合に、前記IPsecカプセル化されたパケットを拒絶するための手段と
を備える、前記装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/907,661 US7656795B2 (en) | 2005-04-11 | 2005-04-11 | Preventing duplicate sources from clients served by a network address port translator |
| PCT/EP2006/061433 WO2006108805A1 (en) | 2005-04-11 | 2006-04-07 | Preventing duplicate sources from clients served by a network address port translator |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009532919A JP2009532919A (ja) | 2009-09-10 |
| JP2009532919A5 JP2009532919A5 (ja) | 2011-03-31 |
| JP4766574B2 true JP4766574B2 (ja) | 2011-09-07 |
Family
ID=36636455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008505871A Active JP4766574B2 (ja) | 2005-04-11 | 2006-04-07 | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7656795B2 (ja) |
| EP (1) | EP1872561B1 (ja) |
| JP (1) | JP4766574B2 (ja) |
| CN (1) | CN101156420B (ja) |
| BR (1) | BRPI0607515B1 (ja) |
| CA (1) | CA2602778C (ja) |
| TW (1) | TWI365651B (ja) |
| WO (1) | WO2006108805A1 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030158959A1 (en) * | 2002-02-15 | 2003-08-21 | Jay Jayapalan | Establishment of communications using point to point protocols such that duplicate negotiations are avoided |
| US8787393B2 (en) | 2005-04-11 | 2014-07-22 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
| JP4709583B2 (ja) * | 2005-05-31 | 2011-06-22 | 株式会社東芝 | データ送信装置およびデータ送信方法 |
| CN1937531B (zh) * | 2006-08-28 | 2010-05-12 | 华为技术有限公司 | 检测维护组完整性的方法及装置和增加端点的方法及装置 |
| JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
| CN101631113B (zh) * | 2009-08-19 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种有线局域网的安全访问控制方法及其系统 |
| CN101635710B (zh) * | 2009-08-25 | 2011-08-17 | 西安西电捷通无线网络通信股份有限公司 | 一种基于预共享密钥的网络安全访问控制方法及其系统 |
| US9313128B2 (en) * | 2011-02-17 | 2016-04-12 | Nec Corporation | Network system and network flow tracing method |
| CN102984068B (zh) * | 2012-11-23 | 2016-08-03 | 汉柏科技有限公司 | 实现报文穿越网络地址转换设备的方法 |
| US9525627B2 (en) | 2014-05-27 | 2016-12-20 | Google Inc. | Network packet encapsulation and routing |
| CN106210095B (zh) * | 2016-07-18 | 2020-01-24 | 新华三技术有限公司 | 一种端口处理方法和装置 |
| US11095617B2 (en) | 2017-12-04 | 2021-08-17 | Nicira, Inc. | Scaling gateway to gateway traffic using flow hash |
| US11245697B2 (en) * | 2019-11-29 | 2022-02-08 | Juniper Networks, Inc. | Application-based network security |
| US11902264B2 (en) * | 2020-06-22 | 2024-02-13 | Vmware, Inc. | Path selection for data packets encrypted based on an IPSEC protocol |
| CN112242943B (zh) * | 2020-11-26 | 2022-08-16 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| US12113773B2 (en) | 2021-06-07 | 2024-10-08 | VMware LLC | Dynamic path selection of VPN endpoint |
| US12107834B2 (en) | 2021-06-07 | 2024-10-01 | VMware LLC | Multi-uplink path quality aware IPsec |
| TWI793904B (zh) * | 2021-12-08 | 2023-02-21 | 中華電信股份有限公司 | 為本地服務進行訊務轉址的行動邊緣運算裝置和方法 |
| CN114465755B (zh) * | 2021-12-15 | 2024-02-23 | 广西电网有限责任公司电力科学研究院 | 基于IPSec传输异常的检测方法、装置及存储介质 |
| US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
| US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| US7684317B2 (en) * | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
| US7363286B2 (en) * | 2001-10-29 | 2008-04-22 | International Business Machines Corporation | File system path alias |
| US20030154306A1 (en) * | 2002-02-11 | 2003-08-14 | Perry Stephen Hastings | System and method to proxy inbound connections to privately addressed hosts |
| US7143137B2 (en) * | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for security protocol and address translation integration |
| KR100479261B1 (ko) * | 2002-10-12 | 2005-03-31 | 한국전자통신연구원 | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 |
| US7346770B2 (en) | 2002-10-31 | 2008-03-18 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
| US7386881B2 (en) * | 2003-01-21 | 2008-06-10 | Swander Brian D | Method for mapping security associations to clients operating behind a network address translation device |
| CN100505634C (zh) * | 2003-06-23 | 2009-06-24 | 腾讯科技(深圳)有限公司 | 数字信息穿透nat/fw的方法和系统 |
| US20050166206A1 (en) * | 2004-01-26 | 2005-07-28 | Parson Dale E. | Resource management in a processor-based system using hardware queues |
| JP4489008B2 (ja) * | 2005-11-16 | 2010-06-23 | 株式会社東芝 | 通信装置、通信方法および通信プログラム |
-
2005
- 2005-04-11 US US10/907,661 patent/US7656795B2/en not_active Expired - Fee Related
-
2006
- 2006-04-07 CN CN200680011629XA patent/CN101156420B/zh not_active Expired - Fee Related
- 2006-04-07 CA CA2602778A patent/CA2602778C/en active Active
- 2006-04-07 EP EP06743263A patent/EP1872561B1/en active Active
- 2006-04-07 WO PCT/EP2006/061433 patent/WO2006108805A1/en not_active Application Discontinuation
- 2006-04-07 BR BRPI0607515A patent/BRPI0607515B1/pt active IP Right Grant
- 2006-04-07 TW TW095112554A patent/TWI365651B/zh not_active IP Right Cessation
- 2006-04-07 JP JP2008505871A patent/JP4766574B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP1872561B1 (en) | 2012-11-07 |
| US20060227807A1 (en) | 2006-10-12 |
| BRPI0607515B1 (pt) | 2020-04-22 |
| CN101156420B (zh) | 2011-07-20 |
| US7656795B2 (en) | 2010-02-02 |
| CA2602778C (en) | 2014-04-01 |
| JP2009532919A (ja) | 2009-09-10 |
| TWI365651B (en) | 2012-06-01 |
| CA2602778A1 (en) | 2006-10-19 |
| WO2006108805A1 (en) | 2006-10-19 |
| CN101156420A (zh) | 2008-04-02 |
| TW200708009A (en) | 2007-02-16 |
| BRPI0607515A2 (pt) | 2016-10-25 |
| EP1872561A1 (en) | 2008-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4766574B2 (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
| JP4482601B2 (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
| US6832322B1 (en) | System and method for network address translation integration with IP security | |
| US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
| JP3793083B2 (ja) | トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 | |
| US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
| EP1259886B1 (en) | Network address translation gateway for local area networks using local ip addresses and non-translatable port addresses | |
| US6795917B1 (en) | Method for packet authentication in the presence of network address translations and protocol conversions | |
| US7107614B1 (en) | System and method for network address translation integration with IP security | |
| US20150304427A1 (en) | Efficient internet protocol security and network address translation | |
| JP2009111437A (ja) | ネットワークシステム | |
| JP2004508768A (ja) | ファイア・ウォールを経由する安全なデュアル・チャネル通信システム及び方法 | |
| KR100479261B1 (ko) | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 | |
| US20130013915A1 (en) | Internet protocol security (ipsec) packet processing for multiple clients sharing a single network address | |
| US7908481B1 (en) | Routing data to one or more entities in a network | |
| JP4769877B2 (ja) | Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出 | |
| JP2005530404A (ja) | ネットワークを経て通信するための改善セキュリティ方法及び装置 | |
| KR100450774B1 (ko) | NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101207 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110201 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20110201 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20110201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110418 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110428 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110428 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110601 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110601 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20110601 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4766574 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140624 Year of fee payment: 3 |