JP4769877B2 - Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出 - Google Patents

Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出 Download PDF

Info

Publication number
JP4769877B2
JP4769877B2 JP2008553715A JP2008553715A JP4769877B2 JP 4769877 B2 JP4769877 B2 JP 4769877B2 JP 2008553715 A JP2008553715 A JP 2008553715A JP 2008553715 A JP2008553715 A JP 2008553715A JP 4769877 B2 JP4769877 B2 JP 4769877B2
Authority
JP
Japan
Prior art keywords
payload
address
nat
negotiation
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008553715A
Other languages
English (en)
Other versions
JP2009527138A (ja
Inventor
オバービィ、ジュニア、リンウッド、ヒュー
ウィアボウスキー、デービッド、ジョン
ポーター、ジョイス、アン
ジョング、ウーチー、ジェームズ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009527138A publication Critical patent/JP2009527138A/ja
Application granted granted Critical
Publication of JP4769877B2 publication Critical patent/JP4769877B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、一般に、インターネット・ネットワーキングに関し、具体的には、セキュリティ・アソシエーションを折衝することに対するネットワーク・アドレス変換により引き起こされるネットワーク・トポロジにおける曖昧な状況に関する。
本発明により対処される問題及び解決法は、本明細書において、インターネット、及びインターネット通信の基礎を形成するTCP/IPプロトコルにより説明される。しかしながら、本発明は、プロトコルの詳細に応じて、他の通信プロトコルにも適用することができる。
インターネット・ネットワーク・アドレス変換は、幾つかの理由のために用いられる。主な理由は、パブリック・アドレスを経済的に用いるためである。ネットワーク・アドレス変換機構(NAT)のインターネット・プロトコル(IP)アドレスは、一般に、パブリック・アドレスである。すなわち、NAT IPアドレスは外部の世界に知られているが、NATの後に位置するサーバ又はクライアントの全ては、NATにより管理されるプライベート・アドレスであり、外部の世界に知られていない。こうした場合には、外部の世界はNATと通信し、NATは、その後に位置する適切なサーバ及びクライアントとの通信を制御する。このことは、NATの後に位置する装置のIPアドレスは、そのファミリー内で独特であればよいが、残りの世界における他のIPアドレスと重複することがある。ネットワーク・アドレス変換機構(NAT)の基準は、「Traditional IP Network Address Translation」という表題の非特許文献1に述べられている。
米国特許公開番号第2006−0227867−A1号 米国特許公開番号第2006−0227770−A1号 米国特許出願第10/907661号 米国特許出願第10/907659号 インターネット技術タスクフォース(IETF)RFC 3022
元々のインターネットは、セキュリティが主たる要素として設計されていなかった。実際、インターネットは、科学的及び教育的な通信を助けるものとして、故意に、比較的オープンに作られた。しかしながら、ウェブの出現及びその商業的使用は、セキュリティ保護されたインターネット通信に対する必要性を増加させた。一般にIPsecとして知られるインターネット・セキュリティ・プロトコルは、これらの課題に対処するように定義された。例えば、IPsecは、ネットワーク・ユーザの認証、及び/又は、伝送データの暗号化を提供する。ソース・アドレスと宛先アドレスとの間のIPsec通信は、通信に適用されるIPsec処理を定義する1つ又は複数の規則である、セキュリティ・アソシエーション(SA)により管理される。IPsecは、RFC2401及び他のRFCに定義される。
ネットワーク・アドレス又はポート変換とIPsec処理との間には、固有の不適合がある。これらの不適合は、IPsecの配置に対する障壁となる。RFC3715は、これらの不適合の幾つかを認識し論じるが、一般的な解決法は与えない。IBM社に譲渡された2つの特許出願は、ネットワーク・アドレス・ポート変換(NAPT)を含む環境におけるパケット・ソースの重複に関するこれらの不適合の幾つかを解決する。第1のものは、「Negotiating IPsec Security Associations and Preventing Duplicate Sources in Networks that Involve Networkd Address Network Translation」と題する特許文献1である。第2のものは、特許文献1を改良した、特許文献2である。これらの出願は、全体が引用により本明細書に組み入れられる。
不適当な又は異常な結果を避けるために、特定のネットワーク・トポロジの認識を必要とする、IPsecセキュリティ・アソシエーションの折衝中に生じる特定の状況がある。例えば、接続がネットワーク・アドレス変換機構(NAT)を含むときに、サーバが中間ルータ又はセキュリティ保護されたゲートウェイにおいて終了するトンネル・モードSAを開始しようとする場合には、ホストはSA折衝を拒否しなければならないことがある。こうした場合、含まれるIPアドレスはプライベートなものとすることができ、これはホストが適当にパケットをルーティングするのは不可能であるとすることができることを意味する。ネットワーク・アドレス・ポート変換機構(NAT)を含む他の状況は、重複するIPソースの問題をもたらすことがある。これは、同一のソースIPアドレスを含む異なるソースからパケットを受信することが可能であることを意味する。重複するソースの問題に対する解決法は、上述の特許文献1及び特許文献2において対処される。SA折衝中に、サーバが、これらの特許出願の解決法を適用できる状況を識別する場合には、さらに有利である。
本発明は、請求項1及び請求項7に特許請求される方法、及び対応するシステム及びコンピュータ・プログラムを提供する。
図1は、折衝SAがクライアントとサーバとの間のNATを通ってエンドツーエンドに延びるネットワーク構成を示す。セキュリティ・アソシエーションの折衝において、この構成により導入されるネットワークの曖昧さはない。セキュリティ・アソシエーションの範囲は、この図、さらに図2及び図3において、太い黒線により示される。
図2は、折衝SAがサーバと複数のクライアントの前にあるゲートウェイとの間のNATを通って延びるネットワーク構成を示す。この構成は、セキュリティ・アソシエーションがエンドツーエンドに延びず、ゲートウェイで終わるため、特別な処置を必要とすることがある。
図3は、図2と同様なネットワーク構成を示すが、セキュリティ・アソシエーションは宛先サーバへのゲートウェイ(GATEWAY2)で終了する。この構成におけるIPSsecは、GATEWAY2は、GATEWAY2によりルーティング可能でないことがあるプライベートIPアドレスをもつパケットを受信することがある可能性のために、許可されないことがある。
本発明は、これらの構成のうちのどれが特定のSA折衝に適用されるかを判断し、セキュリティ・アソシエーションを受け入れる又は拒否することにより、又は、特定の状況においては、特許文献3及び特許文献4の特許出願の重複ソース解決法を適用することにより、どのようなネットワークの曖昧さも解決する処置を取る。
図4は、段階2のSA折衝中に本発明により用いるのに必要な情報を保存するためにSA折衝の段階1中に取られるステップを示す。図4のステップは、SAの段階1を開始するノード及び段階1の開始に応答するノードの両方で行われる。具体的には、NAT発見ペイロードNAT−Dがステップ402において保存される。RFC3947により、NAT−Dペイロードは、2つのインターネット・キー・エクスチェンジ(IKE)ピア間のNATの存在を検出するように用いることができる。NAT−Dペイロードは、後で、幾つかの場合において、段階2のSA折衝中に本発明により再計算され、402において保存された値と比較されて、問題の構成が存在するかどうか判断する。ステップ404は、段階1のSA折衝中にNAT−Dペイロードの後の再計算を可能にする情報を保存する。具体的には、この情報は、IKEポート値のリモート・ピアのビュー、段階1のパケットが受信されたローカル・ポート値、及びイニシエータ・クッキーCKY−I及びレスポンダ・クッキーCKY−Rである。ローカルIKEポート値のリモート・ピアのビューは、以下の表からの予測される変換されていない値である。
Figure 0004769877
図5及び図6は、SAを開始するサーバ又はゲートウェイにおいてSA段階中に取られるステップを示す。SAイニシエータがサーバである場合には、図5は、図1に示すようにSAが接続のリモート・クライアントまで延びるか(エンドツーエンド)、又は、図2に示すようにゲートウェイにおいて終了するか判断しようとする。図2に示すように、イニシエータがゲートウェイである場合には、図5のステップは、図2に示すようにSAがサーバまで延びるか、又は、図3に示すようにGATEWAY2のようなゲートウェイまで延びるか判断する。同様に、図6は、イニシエータがゲートウェイであるかどうか判断しようとする。ここでも、ゲートウェイで終了するSAは、好ましい実施形態においては許可されない。
段階2のSAメッセージは、図5及び図6の判断に用いられる2つのペイロード、IDci及びIDcrを含むことができる。存在する場合には、これらのペイロードは、SA開始ピア及び応答ピアそれぞれのIPアドレスを含む。SAイニシエータにおけるステップ502は、IDcrが存在するかどうか判断する。存在しない場合には、SAは、図1のようにエンドツーエンドに延びることがすぐに知られる。この場合、実行は509に進み、図6に示すローカル・ゲートウェイのチェックを始める。IDcrが存在すると仮定すると、ステップ504は、これがIPアドレスを含むかどうか判断する。アドレスを含まない場合には、ピア間のSA構成を確認することはできず、SAはステップ512で異常終了される。IDcrが実際にIPアドレスを含む場合には、ステップ506は、IDcrアドレスを、段階2のメッセージを含むIPパケットのIPヘッダから取得されたリモートSAエンドポイントのIPアドレスと比較する。SAがエンドツーエンドに延びるように適合が満足いくものである場合には、実行は再びステップ509に進み、ローカル・ゲートウェイのチェックを行う。506での比較が期待を裏切るものである場合には、NAT−Dペイロードを再計算し、これを図4の402で保存した値と比較して、エンドツーエンドのステータスを判断しなければならなくなる。ステップ508は、NAT−Dペイロードを再計算する。ステップ510は、比較をする。比較が満足いくものである場合には、509で始まるローカル・ゲートウェイのチェックが行われる。比較が期待を裏切るものである場合には、SAのリモート・エンドは、図2に示すように、ゲートウェイにおいて終了することを意味する。
クライアントに対する曖昧さに対処するために、SAは、ステップ512で拒否される。NAT−Dペイロードの計算方法は、RFC3947のセクション3.2において規定される。
図3の構成においては、ゲートウェイ、GATEWAY2は、パケットを宛先サーバにルーティングする。SAのローカル・エンドがGATEWAY2のようなゲートウェイで終了したときには、これは、ゲートウェイによりルーティング可能ではないことがあるプライベートIPアドレスの可能性のために、好ましい実施形態においては可能にならない構成である。この構成が可能でない場合には、SAはこの状況において確立されてはならない。これらのステップは、図5のエンドツーエンドのチェックのステップと非常に似ている。しかしながら、このチェックは別の宛先ノードへのSAイニシエータのゲートウェイのステータスに対するものであるため、試験は、イニシエータのIPアドレスとNAT−DペイロードのIDciフィールドのIPアドレスとの等しさを主たる対象とする。ステップ602にIDciフィールドがない場合には、このサーバは別の宛先サーバへのゲートウェイではなく、通常のSA処理が、ステップ609において継続することが可能にされる。IDciフィールドが602で存在するが、ステップ604でIPアドレスを含まない場合には、重複するソースが検出可能であるかどうか判断することができず、この場合、SA折衝は612において終了する。IDciが604においてIPアドレスを含む場合には、ステップ606は、パケットにおけるソースIPアドレスの値をIDciにおける値と比較する。これらが適合する場合には、直のサーバはゲートウェイではないことが判断され、通常処理が609で継続する。606の比較が期待を裏切るものである場合には、NAT−Dペイロードの再計算、及び、これをステップ402から保存された値と比較することが必要になる。ステップ608は再計算を行い、ステップ610は比較をする。これが満足いくものである場合には、通常の処理が継続する。或いは別の場合には、SA折衝が612で終了する。
図7及び図8は、当該サーバが、リモート・ピアにより開始されたSA折衝に応答する状況に対する図5及び図6のそれぞれに対応するフローチャートである。図7は、この応答状況に対するエンドツーエンドのチェックである。図8は、この状況に対するローカル・ゲートウェイのチェックである。図5及び図6で行われたように、これらのフローチャートを詳細に論じる必要はない。フローチャートは、この明細書の完全性のために与えられる。対応する図は、殆どの点で互いに同一であり、IDcr又はIDciのいずれがステップで用いられるか、及びどのIPアドレスが関連するか、段階2のパケットにおけるソース又は宛先IPアドレスだけが異なっている。応答状況におけるエンドツーエンドのチェック(図7)は、IDci及びリモート・イニシエータのIPアドレスを用いる。ステップ712においては、応答ノードにおける段階2のSA折衝は終了せず、むしろエンドツーエンドではないとマークされる。この場合、特許出願公開番号の特許文献1及び特許文献2に説明されるソースポート変換をレスポンダにおいて用いて、クライアント・ホストの重複するソースの曖昧さを避けるようにすることができる。この応答状況における図8のローカル・ゲートウェイのチェックは、IDcr及び段階2のパケットにおける宛先IPアドレスを用いる。
折衝SAが、この図に示されるサーバ及びクライアントのような2つのネットワーク・ピア間のNATを通ってエンドツーエンドに延びるネットワーク構成を示す。この構成においては、折衝SAの問題はない。 リモート・ピアがゲートウェイ・ノードである、折衝SAが2つのネットワーク・ピア間のNATを通って延びるネットワーク構成を示す。SERVERにおけるIPSec実施は、特別な処置を必要とするIPアドレスの曖昧さの問題を避けるために、この構成におけるSAの折衝を制限することがある。 SAが終了するローカル・ピアが別の宛先サーバへのサーバ・ゲートウェイ(GATEWAY2)として作用する、図2と同様なネットワーク構成を示す。GATEWAY2におけるIPSecの実施は、プライベートIPアドレスをもつパケットのルーティング問題を避けるために、この構成におけるSAの折衝を制限することがある。 サーバからのSAがエンドツーエンドまで延びるか(図1)、又はリモート・ゲートウェイまで延びるか(図2)を判断するために、段階2の間に後で必要になる情報を保存する、SA折衝の段階1の間にサーバで行われるステップを示すフローチャートである。 図1から図3のうちのどの構成が適用されるかを判断することが目的である、サーバが折衝のイニシエータであるときのSA折衝の段階2中にサーバで実行されるフローチャートを含む。 図1から図3のうちのどの構成が適用されるかを判断することが目的である、サーバが折衝のイニシエータであるときのSA折衝の段階2中にサーバで実行されるフローチャートを含む。 図1から図3のうちのどの構成が適用されるかを判断することが目的である、サーバがリモート・エンドで開始される折衝に応答するときにSA折衝の段階2中にサーバで実行されるフローチャートを含む。 図1から図3のうちのどの構成が適用されるかを判断することが目的である、サーバがリモート・エンドで開始される折衝に応答するときにSA折衝の段階2中にサーバで実行されるフローチャートを含む。

Claims (10)

  1. セキュリティ・アソシエーション(SA)折衝を開始するノードにおいて応答ノードとのIPSecセキュリティ・アソシエーションを折衝するための方法であって、
    IDcrペイロードを含むSAメッセージを前記応答ノードから受信するステップと、
    前記IDcrペイロードがアドレスを含むかどうかを判断するステップと、
    前記IDcrペイロードがアドレスを含むと判断した場合に前記アドレスを前記応答ノードのアドレスと比較するステップと、
    前記アドレスが前記応答ノードのアドレスと一致しなかった場合にNAT−Dペイロードを再計算するステップと、
    再計算したNAT−Dペイロードに応じて前記SA折衝を拒否するか継続するかを判断するステップと、
    を含む方法。
  2. 前記SA折衝の段階1の間、NAT−Dペイロード及び前記NAT−Dペイロードを再計算するのに必要なデータを保存するステップをさらに含む、請求項1に記載の方法。
  3. 前記SA折衝を拒否するか継続するかを判断するステップが、前記再計算したNAT−Dペイロードを前記保存するステップで保存しておいたNAT−Dペイロードと比較するステップを含み、
    前記再計算したNAT−Dペイロードが前記保存しておいたNAT−Dペイロードと一致した場合には前記SA折衝を継続し、
    前記再計算したNAT−Dペイロードが前記保存しておいたNAT−Dペイロードと一致しなかった場合には前記SA折衝を拒否する、
    請求項2に記載の方法。
  4. 前記SA折衝を継続すると判断した場合に、前記SAメッセージに含まれるIDciペイロードがアドレスを含むかどうかを判断するステップと、
    前記IDciペイロードがアドレスを含むと判断した場合に前記アドレスを前記SA折衝を開始するノードのアドレスと比較するステップと、
    をさらに含む、請求項3に記載の方法。
  5. 前記IDciペイロードのアドレスが前記SA折衝を開始するノードのアドレスと一致しなかった場合に、前記NAT−Dペイロードを再計算するステップと、
    再計算したNAT−Dペイロードに応じて前記SA折衝を拒否するか継続するかを判断するステップと、
    をさらに含む、請求項4に記載の方法。
  6. セキュリティ・アソシエーション(SA)折衝に応答するノードにおいてIPsecセキュリティ・アソシエーションを折衝するための方法であって、
    IDciペイロードを含むSAメッセージを前記SA折衝を開始するノードから受信するステップと、
    前記IDciペイロードがアドレスを含むかどうかを判断するステップと、
    前記IDciペイロードがアドレスを含むと判断した場合に前記アドレスを前記SA折衝を開始するノードのアドレスと比較するステップと、
    前記アドレスが前記SA折衝を開始するノードのアドレスと一致しなかった場合にNAT−Dペイロードを再計算するステップと、
    再計算したNAT−Dペイロードに応じて、前記セキュリティ・アソシエーションがエンドツーエンドではないとマークするか、または前記SA折衝を継続するステップと、
    を含む方法。
  7. 前記SA折衝の段階1の間、NAT−Dペイロード及び前記NAT−Dペイロードを再計算するのに必要なデータを保存するステップをさらに含む、請求項6に記載の方法
  8. 前記継続するステップが、前記再計算したNAT−Dペイロードを前記保存するステップで保存しておいたNAT−Dペイロードと比較するステップを含み、
    前記再計算したNAT−Dペイロードが前記保存しておいたNAT−Dペイロードと一致した場合には前記SA折衝を継続し、
    前記再計算したNAT−Dペイロードが前記保存しておいたNAT−Dペイロードと一致しなかった場合には前記セキュリティ・アソシエーションがエンドツーエンドではないとマークする、
    請求項7に記載の方法
  9. 前記SA折衝を継続すると判断した場合に、前記SAメッセージに含まれるIDcrペイロードがアドレスを含むかどうかを判断するステップと、
    前記IDcrペイロードがアドレスを含むと判断した場合に前記アドレスを前記SA折衝に応答するノードのアドレスと比較するステップと、
    をさらに含む、請求項8に記載の方法。
  10. 前記IDcrペイロードのアドレスが前記SA折衝に応答するノードのアドレスと一致しなかった場合に、前記NAT−Dペイロードを再計算するステップと、
    再計算したNAT−Dペイロードに応じて前記SA折衝を拒否するか継続するかを判断するステップと、
    をさらに含む、請求項に記載の方法。
JP2008553715A 2006-02-14 2007-01-29 Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出 Expired - Fee Related JP4769877B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/307,598 2006-02-14
US11/307,598 US7962652B2 (en) 2006-02-14 2006-02-14 Detecting network topology when negotiating IPsec security associations that involve network address translation
PCT/EP2007/050834 WO2007093493A1 (en) 2006-02-14 2007-01-29 Detecting network topology when negotiating ipsec security associations

Publications (2)

Publication Number Publication Date
JP2009527138A JP2009527138A (ja) 2009-07-23
JP4769877B2 true JP4769877B2 (ja) 2011-09-07

Family

ID=38001896

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008553715A Expired - Fee Related JP4769877B2 (ja) 2006-02-14 2007-01-29 Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出

Country Status (9)

Country Link
US (1) US7962652B2 (ja)
EP (1) EP1985089B1 (ja)
JP (1) JP4769877B2 (ja)
CN (1) CN101385306B (ja)
AT (1) ATE485663T1 (ja)
CA (1) CA2636882C (ja)
DE (1) DE602007009935D1 (ja)
TW (1) TWI390927B (ja)
WO (1) WO2007093493A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3009163B1 (fr) * 2013-07-25 2015-09-04 Thales Sa Procede pour l'echange en securite d'une donnee sur un reseau ad-hoc mettant en oeuvre un service de diffusion xcast; noeud associe
US10257061B2 (en) * 2016-05-31 2019-04-09 128 Technology, Inc. Detecting source network address translation in a communication system
WO2021121574A1 (en) * 2019-12-18 2021-06-24 Huawei Technologies Co., Ltd. Executing security negotiation for network configuration
EP4423971A1 (en) * 2021-10-29 2024-09-04 Telefonaktiebolaget LM Ericsson (publ) Communication device and method therein for facilitating ipsec communications

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002217941A (ja) * 2001-01-12 2002-08-02 Matsushita Electric Ind Co Ltd ネットワークアドレス再割り当て方法及びルータ

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
GB2365717B (en) * 2000-05-24 2004-01-21 Ericsson Telefon Ab L M IPsec processing
US6931529B2 (en) 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7496748B2 (en) * 2001-07-23 2009-02-24 Itt Manufacturing Enterprises Method for establishing a security association between two or more computers communicating via an interconnected computer network
KR100479261B1 (ko) 2002-10-12 2005-03-31 한국전자통신연구원 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US7346770B2 (en) * 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
US7937578B2 (en) * 2002-11-14 2011-05-03 Qualcomm Incorporated Communications security methods for supporting end-to-end security associations
AU2003276588A1 (en) * 2002-11-18 2004-06-15 Nokia Corporation Faster authentication with parallel message processing
US7949785B2 (en) * 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US7434045B1 (en) * 2003-04-21 2008-10-07 Cisco Technology, Inc. Method and apparatus for indexing an inbound security association database
JP4006403B2 (ja) * 2004-01-21 2007-11-14 キヤノン株式会社 ディジタル署名発行装置
US20060268901A1 (en) * 2005-01-07 2006-11-30 Choyi Vinod K Method and apparatus for providing low-latency secure session continuity between mobile nodes
US8787393B2 (en) 2005-04-11 2014-07-22 International Business Machines Corporation Preventing duplicate sources from clients served by a network address port translator
US7949044B2 (en) 2005-04-12 2011-05-24 Lsi Corporation Method for coefficient bitdepth limitation, encoder and bitstream generation apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002217941A (ja) * 2001-01-12 2002-08-02 Matsushita Electric Ind Co Ltd ネットワークアドレス再割り当て方法及びルータ

Also Published As

Publication number Publication date
ATE485663T1 (de) 2010-11-15
CA2636882C (en) 2015-03-24
US7962652B2 (en) 2011-06-14
US20070192848A1 (en) 2007-08-16
CN101385306B (zh) 2012-09-19
TWI390927B (zh) 2013-03-21
TW200810463A (en) 2008-02-16
EP1985089B1 (en) 2010-10-20
CN101385306A (zh) 2009-03-11
WO2007093493A1 (en) 2007-08-23
EP1985089A1 (en) 2008-10-29
CA2636882A1 (en) 2007-08-23
JP2009527138A (ja) 2009-07-23
DE602007009935D1 (de) 2010-12-02

Similar Documents

Publication Publication Date Title
CN1938999B (zh) 寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US10298616B2 (en) Apparatus and method of securing network communications
CN102484656A (zh) 用于中继分组的方法和设备
JP4482601B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
CN101702962A (zh) 在移动性环境中执行交互式连通性检查
Phuoc et al. NAT traversal techniques in peer-to-peer networks
JP4769877B2 (ja) Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出
CN100464540C (zh) 一种跨网关通信的方法
CN104756462A (zh) 用于在限制性防火墙后进行tcp turn操作的方法和系统
Blanchet et al. IPv6 Tunnel Broker with the Tunnel Setup Protocol (TSP)
US11171928B2 (en) Local peer to peer direct connection in network address translator (NAT) and overlay networks
WO2011044810A1 (zh) 实现多方通信的方法、装置及系统
CN110691113B (zh) 一种双方为非对称型的nat的穿透方法
Komu et al. Basic host identity protocol (HIP) extensions for traversal of network address translators
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
Komu et al. RFC 5770: Basic Host Identity Protocol (HIP) Extensions for Traversal of Network Address Translators
Slehat et al. Securing teredo client from NAT holes vulnerability
JP2019216449A (ja) データ送信補助方法
Swander et al. IP Security Protocol Working Group (IPSEC) T. Kivinen INTERNET-DRAFT SSH Communications Security draft-ietf-ipsec-nat-t-ike-04. txt A. Huttunen Expires: 24 April 2002 F-Secure Corporation
Huttunen et al. IP Security Protocol Working Group (IPSEC) T. Kivinen INTERNET-DRAFT SSH Communications Security draft-ietf-ipsec-nat-t-ike-07. txt B. Swander Expires: 29 March 2004 Microsoft
CN106027689A (zh) 一种通信方法和通信装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090421

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110620

R150 Certificate of patent or registration of utility model

Ref document number: 4769877

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees